【思想库】
随着大数据、人工智能等信息科技的快速发展,个人信息保护的重要性日益凸显。今年全国两会上,全国人大常委会法工委有关人士表示,个人信息保护法的制定已经提上日程。近日,记者就个人信息保护立法问题专访了北京大学法学院教授、副院长,北京大学电子商务法研究中心主任薛军。
记者:我国近年来不断加大对个人信息的法律保护,民法典为此作出了规定,为何还需专门出台个人信息保护法?
薛军:个人信息保护,除了从民法角度进行明确,还包括个人信息保护的行政管理,比如由哪些部门来管、有哪些具体的操作性规定和监督管理机制等,目前我国法律体系在这方面还不是特别明确。
民法典人格权编对个人信息保护的相关规定,也需要专门立法进一步细化。比如,处理个人信息应当遵循合法、正当、必要原则。这就需要明确具体由哪个部门、基于何种具体规则,来判断是否正当、必要;对涉及个人信息保护的相关事项,由哪个部门具体负责、落实执行,都需要进一步明确。简单来说,当公民的个人信息权益受到侵害,他至少应该知道,根据个人信息保护法的相关规定如何去维权。
另外,在世界范围内,对个人信息保护进行专门立法也是一个趋势,比如欧盟的《一般数据保护条例》,美国也有类似的专门立法的尝试。
记者:在个人信息保护立法中,应如何对个人信息进行分类?
薛军:个人信息是以电子或者其他方式记录的、能够单独或者与其他信息结合识别特定自然人的各种信息。以前通常把个人信息分为敏感个人信息和一般个人信息。敏感个人信息受保护的程度更高,比如在获取用户同意这个问题上,敏感个人信息必须要明示同意;而其他的一般个人信息则可采取没有表示反对就推定为同意。
民法典对个人信息又引入了一个新的分类,分为私密信息和其他个人信息,个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。
实际上,民法典规定的个人信息中,包括人脸、指纹、虹膜在内的生物识别信息,通常也被认为是敏感个人信息。所以将来可能出现某种意义上的“三分法”:私密个人信息通过隐私权的规定来保护,其他的个人信息还应区分为敏感个人信息与一般个人信息。针对不同类型的个人信息,法律保护的模式、强度、力度会有所差别。
记者:政府、企业等责任主体在信息的收集、储存、使用等过程中分别负有哪些责任?
薛军:涉及个人信息处理的企业,在信息收集存储中,要履行合规的要求。比如酒店登记住店者的个人信息,那么它的整个收集存储住店者个人信息的系统必须符合国家规定的个人信息安全等级保护要求。另外为防止企业“内鬼”泄露个人信息,应当建立内控机制。任何员工访问用户数据都会数据留痕,便于将来溯源追查。
同时,公安、网信、市场监管等部门要履行管理者、监管者的责任。对那些在个人信息保护问题上涉嫌违规的企业,在未来要根据个人信息保护法等有关规定给予处罚。如果构成犯罪,则要追究刑责。
还要注重发挥行业协会、消费者协会等社会组织的作用,通过行业评级、消费预警等各种方法来督促经营者严格履行个人信息保护的法定职责。
记者:某种意义上,信息就是大数据、人工智能等产业发展的“石油”。立法中该如何处理信息保护和产业发展的关系?
薛军:民法典关于个人信息的保护,并没有一味采取权利化的保护模式,而是采取了一种更有弹性的法益保护模式。这实际上就是强调一定要在守住个人信息保护底线的前提下,为我们国家未来的数据产业、互联网创新发展留下充足的发展空间。
关于个人信息的保护模式的选择,是各国立法者普遍遭遇的立法政策上的难题。如果对个人信息保护的力度、密度、程度都非常严格的话,相应的数据产业会面临很高的合规成本,会束缚住数据产业发展的手脚。我们制定个人信息保护法,要避免采取泛权利化的,以及过度管制的导向,不能让法律制定之日成为大数据产业被套上绳索之时。
为此,我们不能一味只追求对于个人信息的最强保护,也需要注意技术的发展以及其他同样值得兼顾的价值。个人信息保护的立法应在不同的政策目标之间寻求适当的平衡,但平衡的前提是守住基本的底线。
我们制定个人信息保护法这样一部专门法律,就是要明确相应企业在收集、存储、使用、加工、传输、提供、公开个人信息过程中,能够做到尊重个人信息的基本法益不受侵害。守住了这个底线,再给相关产业一个相对友好、宽松的法律环境,这是一种比较妥当的价值判断和衡量。
(本报记者 刘华东)