光明日报|一部建构个人信息保护制度体系的专门立法

:原题为_光明日报|一部建构个人信息保护制度体系的专门立法。
一部建构个人信息保护制度体系的专门立法
经过数年的研究与酝酿 , 备受社会各界关注的个人信息保护法草案(以下简称“草案”)终于亮相 , 接受全国人大常委会审议 。 这标志着我国个人信息保护法的立法 , 迈出了具有决定性意义的一步 。 围绕这一草案还会有很多讨论 , 草案的文本也会有进一步的修改与完善 。 但由草案所勾勒的个人信息保护规则以及个人信息保护制度体系 , 已清晰可辨 。
中国的个人信息保护立法立规早已开始 , 并且已经颇具规模 。 从《全国人民代表大会常务委员会关于加强网络信息保护的决定》 , 到网络安全法的制定、消费者权益保护法的修订 , 再到电子商务法以及今年刚刚颁布的民法典 , 这些法律都涉及个人信息保护问题 , 都可以找到关于个人信息保护的某一个方面、某一个领域的专门规则 。 特别是在今年5月28日颁布的民法典中 , 针对个人信息的民法保护问题 , 设立了相当全面的规则 。 在这样的背景之下 , 全国人大要进一步制定一部专门的个人信息保护法 , 其意义何在?是为了解决什么样的问题?
首先 , 先前立法中涉及个人信息保护的规则 , 相对而言 , 比较原则与抽象 , 需要通过专门的立法 , 对有关规则的内涵以及在不同场景中的把握 , 做进一步明确具体的规定 。 缺乏具体明确的可操作的规则 , 个人信息保护制度就难以真正落地 。 因此 , 针对个人信息保护进行专门立法的首要目的在于 , 进一步明确个人信息保护规则 。 这一点在草案的文本中表现得相当突出 。 举例来说 , 关于个人信息的处理 , 先前立法都一以贯之地强调 , 原则上需要获得个人信息主体的同意(只是在有限的几种例外情况下 , 不经过个人的同意 , 也可以进行个人信息的处理) 。 但关于“同意” , 具体来说 , 应该如何理解?是需要明示的同意还是默示同意就可以;是概括同意、打包同意 , 一揽子同意就可以 , 还是需要单独的同意?是比较宽松的包括口头同意在内的同意就可以 , 还是需要以特定的书面方式同意才可以?是一次性同意就代表了对后续的处理都视为同意 , 还是说根据个人信息处理场景的转换 , 需要另外重新获得同意才可以?更加重要的是 , 如果个人信息主体不同意 , 相对人是否可以因此拒绝提供产品或者服务?这些都是在实务上非常重要 , 需要在立法上予以进一步明确的问题 。 对此 , 草案都给出了相当明确清晰的答案 。
在个人信息主体所具有的受法律保护权益的具体内涵上 , 先前的立法也没有给出明确具体的表述 , 草案对此给出了非常具体的规定 。 个人在信息处理活动中 , 针对其个人信息 , 可以享有知情权、决定权、查询权、更正权、删除权等等 。 这些都是非常重要的规定 , 使得个人信息保护的规定 , 具有更强的可操作性 。
其次 , 个人信息保护是一个完整的制度体系 。 先前在这一问题上的立法 , 往往只关注制度的一个特定方面 , 因此仍然需要通过一个专门的综合性立法 , 来建构一个相对完整的个人信息保护制度体系 。 我们可以看到 , 草案针对个人信息保护法的域外效力问题、个人信息跨境提供问题、个人信息处理者的义务问题、履行个人信息保护职责的部门的权限界定问题 , 都作出了明确具体的规定 。 这些都是一国的个人信息保护制度体系中不可或缺的组成部分 。 通过这一立法 , 才可以说 , 中国建立了一个相对完整的个人信息保护的制度体系 。
值得注意的是 , 草案关于个人信息处理者的义务体系的规定 , 相当系统和全面 。 仅草案中提到的管理措施就涉及相关处理者的内部管理措施、不同类型的个人信息分类管理制度、安全技术措施、应急预案、个人信息保护负责人、个人信息处理活动审计制度、个人信息处理风险评估制度、个人信息泄露事件的披露以及补救制度等等 。 这些制度先前只是零散地被提及 , 这次通过草案的规定 , 得以系统化地提出 。 而这些配套制度的建立 , 对于完善中国的个人信息保护制度体系具有重大意义 。


推荐阅读