引言
《中華人民共和國國民經(jīng)濟和社會發(fā)展第十四個五年規(guī)劃和2035年遠景目標綱要》(以下稱:《國家“十四五”規(guī)劃和2035遠景目標綱要》)明確提出����,構(gòu)建數(shù)字規(guī)則體系,營造開放��、健康����、安全的數(shù)字生態(tài)?��!秶摇笆奈濉币?guī)劃和2035遠景目標綱要》特別提到��,加強涉及國家利益����、商業(yè)秘密��、個人隱私的數(shù)據(jù)保護����,加快推進數(shù)據(jù)安全、個人信息保護等領域基礎性立法�,強化數(shù)據(jù)資源全生命周期安全保護?!吨腥A人民共和國數(shù)據(jù)安全法》和《中華人民共和國個人信息保護法》是社會關(guān)注度極高的兩部數(shù)據(jù)安全和個人信息保護領域的基礎性法律,已經(jīng)在“十四五”的開局之年出臺�����,分別于2021年9月1日和2021年11月1日起施行����。本文認為����,《中華人民共和國網(wǎng)絡安全法》���、《中華人民共和國數(shù)據(jù)安全法》和《中華人民共和國個人信息保護法》是營造良好數(shù)字社會生態(tài)的三大法治基石�����。
首先�,網(wǎng)絡安全已經(jīng)成為關(guān)系國家安全和發(fā)展�����、關(guān)系廣大人民群眾切身利益的重大問題�����,網(wǎng)絡已經(jīng)深刻地融入了經(jīng)濟社會生活的各個方面����,網(wǎng)絡安全的威脅正在向經(jīng)濟社會的各個層面滲透。實踐表明�,我國網(wǎng)絡安全法為維護網(wǎng)絡空間主權(quán)和國家安全�、社會公共利益�,保護公民�����、法人和其他組織的合法權(quán)益��,提供了堅實的法律保障�。
其次,網(wǎng)絡安全的核心是數(shù)據(jù)安全�,在數(shù)據(jù)對各領域的重要性與日俱增的同時,數(shù)據(jù)風險與數(shù)據(jù)安全問題也愈發(fā)突顯�����,給人類和社會帶來了前所未有的挑戰(zhàn)��。數(shù)據(jù)安全與數(shù)據(jù)治理��,不僅關(guān)乎數(shù)據(jù)作為重要生產(chǎn)要素的開發(fā)利用�����,而且與國家主權(quán)�����、國家安全、社會秩序�����、公共利益�����、公民隱私等休戚相關(guān)����。《中華人民共和國數(shù)據(jù)安全法》以貫徹總體國家安全觀的目的為出發(fā)點��,以數(shù)據(jù)治理中最為重要的安全問題作為切入點�����,抓住了數(shù)據(jù)安全的主要矛盾和平衡點�����,是我國數(shù)據(jù)安全領域的一部重要基礎性法律���。
第三��,個人信息涉及到自然人的人格權(quán)和財產(chǎn)權(quán)�����,在網(wǎng)絡環(huán)境下�����,公民作為信息內(nèi)容的主體完全不能控制自己的個人數(shù)據(jù)和信息���,根本無法了解自己的信息和數(shù)據(jù)在何時、何地�����、被何人�、以何種方式非法收集、使用��、加工�����、傳輸?���!吨腥A人民共和國個人信息保護法》是社會關(guān)注度極高的一部新興領域立法,其核心不在于“個人信息”本身��,而重點在于規(guī)范個人信息的處理活動��,確保個人敏感信息不受侵害的基礎上���,促進個人信息的依法合理利用����。
強化網(wǎng)絡空間的生態(tài)治理��,必須要構(gòu)建完整的數(shù)字規(guī)則體系��,營造開放�、健康、安全的數(shù)字生態(tài)����。習近平總書記在4.19講話中強調(diào),網(wǎng)絡空間是億萬民眾共同的精神家園��。網(wǎng)絡空間天朗氣清、生態(tài)良好����,符合人民利益。網(wǎng)絡空間烏煙瘴氣�、生態(tài)惡化,不符合人民利益���。我們要本著對社會負責�、對人民負責的態(tài)度�����,依法加強網(wǎng)絡空間治理����。
數(shù)字社會具有五維空間屬性�,即地理空間、能力空間���、有序空間�����、人文空間��、梯度空間���;數(shù)字社會具有三大特征����,一是以網(wǎng)絡為重要載體�����,二是以數(shù)據(jù)為關(guān)鍵要素�,三是以增進人民福祉為發(fā)展目標。這是數(shù)字社會的本質(zhì)要求�����,脫離了數(shù)字社會的本質(zhì)����,將會成為無源之水和無本之木,不但不能給社會帶來智慧����,而且還可能會導致數(shù)字風險和危機�。因此����,數(shù)字社會生態(tài)就是要使上述的“五維空間”更智慧、更便捷��、更效率�����、更安全�。
我注意到,不少中譯英的文件中將“數(shù)字社會”翻譯成digital society��,我對此有異議��,我認為“數(shù)字社會”的英文����,應翻譯成Society powered by digital technology��,社會和數(shù)字的關(guān)系是由數(shù)字技術(shù)賦能于社會�����,即“數(shù)字技術(shù)賦能的社會”,數(shù)字技術(shù)賦能的社會是一種綜合性����、整體性、安全性的數(shù)字化�����、網(wǎng)絡化和智能化的發(fā)展過程����。在整個發(fā)展過程中,需要建立五大綜合體系�,一是建設廣泛覆蓋的信息通信網(wǎng)絡;二是具備深度互聯(lián)的信息體系����;三是構(gòu)建協(xié)同的信息共享機制;四是實現(xiàn)信息的智能處理����;五是拓展信息的開放應用。
當前�,數(shù)字社會將大量的智能終端設備和傳感器接入網(wǎng)絡和數(shù)字平臺,由此產(chǎn)生復雜的接入環(huán)境、多樣化的接入方式���、數(shù)量龐大的智能接入終端�,帶來更復雜的網(wǎng)絡與數(shù)據(jù)安全問題�。在以上數(shù)字社會五大體系的建設中很多涉及到關(guān)鍵信息基礎設施的建設,因此必須按照《關(guān)鍵信息基礎設施安全保護條例》的要求���,優(yōu)先采購安全可信的網(wǎng)絡產(chǎn)品和服務��;采購網(wǎng)絡產(chǎn)品和服務可能影響國家安全的�����,應當按照國家網(wǎng)絡安全規(guī)定通過安全審查�����。
數(shù)字社會涵蓋政務服務�、城市管理����、民生服務等各個領域���,從技術(shù)角度來看��,通信網(wǎng)�����、互聯(lián)網(wǎng)和物聯(lián)網(wǎng)成為數(shù)字社會發(fā)展的基礎設施��,基于三個網(wǎng)絡的云計算平臺和大數(shù)據(jù)應用成為數(shù)字社會發(fā)展的核心�,而承載社會運行管理的網(wǎng)絡設施、信息系統(tǒng)和海量數(shù)據(jù)極容易成為網(wǎng)絡攻擊的顯著目標���,一旦遭到破壞�����、喪失功能或者數(shù)據(jù)泄露�����,將嚴重危害國家安全����、國計民生��、公共利益?���!吨腥A人民共和國網(wǎng)絡安全法》、《中華人民共和國數(shù)據(jù)安全法》和《中華人民共和國個人信息保護法》為營造良好數(shù)字生態(tài)提供了堅實的法律保障�,是構(gòu)建安全數(shù)字社會生態(tài)體系的三大法治基石。
一���、保護關(guān)鍵信息基礎設施安全是網(wǎng)絡安全法的核心
達沃斯曾發(fā)表過一個報告����,在整個世界可能出現(xiàn)最高的風險排名中�����,第一是極端的天氣�;第二是自然災害;第三是網(wǎng)絡攻擊���;第四是數(shù)據(jù)詐騙和竊取���。可見�,網(wǎng)絡攻擊和數(shù)據(jù)詐騙,被列為全球最高十大風險的前三和前四名����。我國網(wǎng)絡安全法是在國際網(wǎng)絡安全最嚴峻的時期出臺,顯得非常及時且極為重要��。
我國于2017年6月1日正式實施的《中華人民共和國網(wǎng)絡安全法》確定了十大法律制度�����,一是確立了維護網(wǎng)絡空間主權(quán)法律制度��;二是明確了網(wǎng)絡安全標準體系法律制度�;三是完善了網(wǎng)絡安全等級保護法律制度;四是明確了網(wǎng)絡運營者安全義務法律制度�����;五是構(gòu)建了個人信息保護法律制度����;六是建立了關(guān)鍵信息基礎設施安全保護法律制度;七是確定了培養(yǎng)網(wǎng)絡安全人才法律制度��;八是確立了關(guān)鍵信息基礎設施重要數(shù)據(jù)跨境傳輸法律制度�;九建立了監(jiān)測預警與應急處置法律制度�����;十是確立了網(wǎng)絡通信管制法律制度����。
我以為��,《中華人民共和國網(wǎng)絡安全法》的核心要素是維護關(guān)鍵信息基礎設施的安全����,這是網(wǎng)絡安全法的基石。國家關(guān)鍵信息基礎設施涉及公共通信和信息服務�����、國防����、能源、交通�����、水利����、金融�����、公共服務、電子政務等重要行業(yè)和領域�����,一旦這些重要領的關(guān)鍵信息基礎設施遭到破壞��、喪失功能或者數(shù)據(jù)泄露���,將會嚴重危害國家安全��、國計民生�����、公共利益����。我的團隊曾系統(tǒng)地研究了“911”事件之后�,美國政府對網(wǎng)絡空間整體戰(zhàn)略的調(diào)整�。2003年2月����,鑒于“9·11”恐怖襲擊事件的發(fā)生,小布什政府將網(wǎng)絡空間發(fā)展戰(zhàn)略從“發(fā)展優(yōu)先”調(diào)整為“安全優(yōu)先”����,正式通過了《網(wǎng)絡空間安全國家戰(zhàn)略》,該戰(zhàn)略明確了實施網(wǎng)絡空間安全保護計劃的指導方針����,提出了三大戰(zhàn)略目標:一是預防美國的關(guān)鍵基礎設施遭到信息網(wǎng)絡攻擊;二是減少國家對信息網(wǎng)絡攻擊的脆弱性�����;三是減少國家在信息網(wǎng)絡攻擊中遭受的破壞�,減少恢復時間。
我國網(wǎng)絡安全法第三十一條采用了“非窮盡列舉行業(yè)和領域+危害后果”的立法技術(shù)�����,明確了關(guān)鍵信息基礎設施的重點保護范圍�����,但并沒有給出關(guān)鍵信息基礎設施定義。2021年7月30日���,國務院公布的《關(guān)鍵信息基礎設施安全保護條例》(以下稱:《條例》)第二條明確了“關(guān)鍵信息基礎設施”的定義��,即“關(guān)鍵信息基礎設施����,是指公共通信和信息服務�、能源��、交通����、水利、金融����、公共服務、電子政務���、國防科技工業(yè)等重要行業(yè)和領域的����,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露���,可能嚴重危害國家安全��、國計民生�����、公共利益的重要網(wǎng)絡設施和信息系統(tǒng)等����?�!?/p>
《條例》例舉的重點行業(yè)和領域基本上與網(wǎng)絡安全法保持了一致�,但是《條例》增加了一類“國防科技工業(yè)”,成為八類被例舉的重點行業(yè)和領域�����?��!稐l例》中的“關(guān)鍵信息基礎設施”的定義��,有兩層結(jié)構(gòu)�,第一層結(jié)構(gòu)明確了關(guān)鍵信息基礎設施屬于重要的網(wǎng)絡設施和重要的信息系統(tǒng);第二層結(jié)構(gòu)是由三個定語進一步修飾和說明“網(wǎng)絡設施和重要的信息系統(tǒng)”的重要性���,第一個定語是列舉了若干特別重要的八類行業(yè)和領域�,第二個定語是其他不特定的重要領域����,第三個定語是可能造成的危害的程度和后果。
《條例》第八條規(guī)定:“本條例第二條涉及的重要行業(yè)和領域的主管部門�、監(jiān)督管理部門是負責關(guān)鍵信息基礎設施安全保護工作的部門(以下簡稱保護工作部門)”。由此����,《條例》第二條“關(guān)鍵信息基礎設施”定義中例舉的八類行業(yè)和領域�,在《條例》中被正式界定為是“負責關(guān)鍵信息基礎設施安全保護工作部門”,具有非常強的針對性����。
二、《中華人民共和國數(shù)據(jù)安全法》聚焦數(shù)據(jù)安全領域的突出問題
網(wǎng)絡安全的核心是數(shù)據(jù)安全�,數(shù)據(jù)的保護與治理不僅關(guān)乎數(shù)據(jù)本身作為重要生產(chǎn)要素的開發(fā)利用與安全問題,而且與國家主權(quán)����、國家安全�����、社會秩序�、公共利益等休戚相關(guān)�����。
《中華人民共和國數(shù)據(jù)安全法》體現(xiàn)了總體國家安全觀的立法目標�,聚焦數(shù)據(jù)安全領域的突出問題,明確了我國數(shù)據(jù)安全保護的域外法律效力����,確立了數(shù)據(jù)分類分級管理制度,建立了數(shù)據(jù)安全風險評估�����、監(jiān)測預警��、應急處置制度���,構(gòu)建了數(shù)據(jù)安全審查等基本制度�����,并明確了相關(guān)數(shù)據(jù)處理者的數(shù)據(jù)安全保護義務�����,是我國首部有關(guān)數(shù)據(jù)安全的基礎性法律�。
《中華人民共和國數(shù)據(jù)安全法》第三條第一款明確了“數(shù)據(jù)”的定義:“數(shù)據(jù),是指任何以電子或者其他方式對信息的記錄���?��!痹摽罹哂袃蓪雍x,一是“數(shù)據(jù)”是對信息的記錄���,這表明數(shù)據(jù)安全法中的數(shù)據(jù)是有語義的信息,具有可識別性���,其本身具有價值��;二是對信息的記錄可以是電子形式���,也可以是非電子形式��。
《中華人民共和國數(shù)據(jù)安全法》首次以法律的形式對“數(shù)據(jù)”進行定義���,實際上我國網(wǎng)絡安全法第七十六條并沒有對“數(shù)據(jù)”進行定義,而是對“網(wǎng)絡數(shù)據(jù)”給出了定義:“通過網(wǎng)絡收集���、存儲�、傳輸�、處理和產(chǎn)生的各種電子數(shù)據(jù)”,網(wǎng)絡安全法中的“網(wǎng)絡數(shù)據(jù)”只涉及了網(wǎng)絡環(huán)境下被處理的各種“網(wǎng)絡數(shù)據(jù)”(電子數(shù)據(jù))����。
《中華人民共和國數(shù)據(jù)安全法》確立的“數(shù)據(jù)”定義不僅涉及到數(shù)字網(wǎng)絡環(huán)境下的“網(wǎng)絡數(shù)據(jù)”,也涉及非數(shù)字網(wǎng)絡環(huán)境下的傳統(tǒng)數(shù)據(jù)��,特別是考慮到“電子數(shù)據(jù)”和“非電子數(shù)據(jù)”之間本身可以相互轉(zhuǎn)化�。由此,《中華人民共和國數(shù)據(jù)安全法》有關(guān)“數(shù)據(jù)”的定義更寬泛��,且具有可操作性��,特別是在中外法律中多數(shù)不能用數(shù)據(jù)或信息表述的情形下更具有實用性����。
《中華人民共和國數(shù)據(jù)安全法》第七條提出:“國家保護個人�����、組織與數(shù)據(jù)有關(guān)的權(quán)益�����,鼓勵數(shù)據(jù)依法合理有效利用��,保障數(shù)據(jù)依法有序自由流動���,促進以數(shù)據(jù)為關(guān)鍵要素的數(shù)字經(jīng)濟發(fā)展?��!痹摋l明確了國家對個人�����、組織與數(shù)據(jù)有關(guān)權(quán)益保護的基礎上�,鼓勵數(shù)據(jù)的依法合理有效利用����,并促進以數(shù)據(jù)為關(guān)鍵要素的數(shù)字經(jīng)濟的發(fā)展�����。
目前,各類網(wǎng)絡平臺���,尤其是超級網(wǎng)絡平臺通過自身營造的網(wǎng)絡生態(tài)系統(tǒng)���,將網(wǎng)絡公共空間的數(shù)據(jù)當作一種私權(quán),這是一種典型的數(shù)據(jù)壟斷��,嚴重阻礙了數(shù)據(jù)要素市場的構(gòu)建��。對此��,《中華人民共和國數(shù)據(jù)安全法》明確提出了開展數(shù)據(jù)處理活動的六項核心義務��,一是應當遵守法律���、法規(guī)�;二是應當尊重社會公德和倫理���;三是應當遵守商業(yè)道德和職業(yè)道德���;四是應當履行誠實守信原則����;五是應當履行數(shù)據(jù)安全保護義務�;六是應當承擔社會主體責任。在任何情況下�,都不得危害國家安全、公共利益�,不得損害個人、組織的合法權(quán)益�。
三、《中華人民共和國個人信息保護法》最大亮點是確立了以“告知-知情-同意”和“兩個最小”為核心的個人信息處理規(guī)則
《中華人民共和國個人信息保護法》是社會關(guān)注度極高的一部法律���,該部法律總體上堅持了“以人民為中心”的法治理念���,突出了國家尊重和保障人權(quán)的憲法原則,規(guī)范了個人信息處理的規(guī)則�,強化了對個人敏感信息的保護,充分保障了個人信息權(quán)益的行使�����,強化個人信息處理者的義務等��,抓住了個人信息保護的主要矛盾和平衡點,是我國個人信息保護領域的一部重要基礎性法律��。
在學習和貫徹《中華人民共和國個人信息保護法》時����,建議重點把握以下七大要點:一是個人信息保護應遵循的基本原則�,尤其是處理個人信息應當遵循合法、正當���、必要和誠實信用����,以及“最小方式”和“最小范圍”原則�;二是個人信息處理的規(guī)則體系,重點掌握個人信息處理的核心規(guī)則—“告知-知情-同意”����,自動化決策的透明度和公平性,嚴格禁止“大數(shù)據(jù)殺熟”�,尤其是強化對敏感個人信息和未成年個人信息的保護,以及規(guī)范國家機關(guān)的個人信息處理活動等�;三是個人信息跨境提供的規(guī)則,重點掌握關(guān)鍵信息基礎設施運營者以及處理個人信息達到規(guī)定數(shù)量的個人信息處理者����,應當將在中國境內(nèi)收集和產(chǎn)生的個人信息存儲在境內(nèi)�,向境外提供的�����,應當接受國家的安全評估��;四是保障個人信息權(quán)利的行使��,包括知情權(quán)��、決定權(quán)�����、查閱與復制權(quán)�、個人信息可攜帶權(quán)以及個人信息的更正、補充和刪除權(quán)等�;五是個人信息處理者的義務,重點關(guān)注對個人信息保護影響的評估機制和大型網(wǎng)絡平臺的主體責任���;六是個人信息保護的工作機制��,熟悉和了解國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)下的個人信息保護工作機制和相關(guān)監(jiān)督管理工作�����;七是對不履行個人信息保護義務應承擔的法律責任,重點把握對企業(yè)的董事�、監(jiān)事、高級管理人員和個人信息保護負責人的法律責任�,以及個人信息處理者侵權(quán)責任的過錯推定等�����。
我以為��,以上七大要點中的重點是對個人信息處理規(guī)則的確立��,尤其是確立以“告知-知情-同意”和“兩個最小”為核心的個人信息處理規(guī)則���。我國個人信息保護法在立法過程中��,充分借鑒了國際組織和一些發(fā)達國家的個人信息保護立法先進經(jīng)驗���,包括GDPR、OECD “隱私框架”��、APEC“隱私框架”����、美國“消費者隱私權(quán)法案”(Consumer Privacy Bill of Rights)����、《美國加利福利亞消費者隱私法案》(California Consumer Privacy Act�����,CCPA)等個人隱私信息保護方面的立法���。
上述國際組織和國家的個人信息保護立法均強調(diào)未經(jīng)被收集者同意���,不得收集和向他人提供個人隱私信息,突出了知情權(quán)���、明示同意權(quán)�����、訪問權(quán)�、注銷權(quán)��、撤回權(quán)��、封鎖權(quán)、更正權(quán)�����、刪除權(quán)等個人信息權(quán)�。比如GDPR將個人信息權(quán)看作一項基本人權(quán),個人數(shù)據(jù)保護的重要性在于對人格尊嚴的尊重�����,是對基本人權(quán)的保護����。
我國憲法明確規(guī)定��,國家尊重和保障人權(quán)��,公民的人格尊嚴不受侵犯����,公民的通信自由和通信秘密受法律保護。制定實施個人信息保護法對于保障公民的人格尊嚴和其他權(quán)益具有重要意義�。據(jù)此,《中華人民共和國個人信息保護法》第一條明確規(guī)定:“為了保護個人信息權(quán)益�����,規(guī)范個人信息處理活動,促進個人信息合理利用�����,根據(jù)憲法�����,制定本法���?��!痹摋l作為立法宗旨,突出了國家尊重和保障人權(quán)的憲法原則��,有著極其重要和深遠的意義���。
《中華人民共和國個人信息保護法》在總則部分第六條提出了處理個人信息的“兩個最小”原則����,一個是處理個人信息應當具有明確���、合理的目的��,并應當與處理目的直接相關(guān)�����,采取對個人權(quán)益影響最小的方式�;另一個是收集個人信息,應當限于實現(xiàn)處理目的的最小范圍�����,不得過度收集個人信息�����。這兩個“最小原則”是個人信息處理的核心規(guī)則��,也是個人信息保護法的最大亮點�,尤其是處理目的的“最小范圍”�����,是禁止“過度收集個人信息”的核心要點����,因為個人信息處理者只有在嚴格遵守處理目的的“最小范圍”的前提下����,才能確保對個人權(quán)益影響最小�����。
《中華人民共和國個人信息保護法》第二章專章規(guī)定了“個人信息處理規(guī)則”����,并在第二節(jié)專門確立了對“敏感個人信息的處理規(guī)則”。最近���,筆者在網(wǎng)絡上閱讀眾多“對個人信息處理規(guī)則”的解析�����,大多認為《中華人民共和國個人信息保護法》確立了以“告知-同意”為核心的個人信息處理規(guī)則��。事實上��,《中華人民共和國個人信息保護法》不僅是確立了以“告知-同意”的個人信息處理規(guī)則�,而是構(gòu)建了以“告知-知情-同意”為核心的個人信息處理規(guī)則體系���。
必須指出�����,個人信息處理者“告知”的目的是為了確保被告知者的充分“知情”���,只有被告知者在充分知情的前提下才能自愿�����、明確地作出決定��。因此�����,《中華人民共和國個人信息保護法》第十四條明確規(guī)定:“基于個人同意處理個人信息的,該同意應當由個人在充分知情的前提下自愿���、明確作出����。法律�����、行政法規(guī)規(guī)定處理個人信息應當取得個人單獨同意或者書面同意的,從其規(guī)定���?����!痹摋l特別強調(diào)了“基于個人同意處理個人信息的�,該同意應當由個人在充分知情的前提下自愿���、明確作出”�����,即“告知-知情-同意”���。
大數(shù)據(jù)和云環(huán)境下的個人信息,從一開始就與自然人主體分離進入數(shù)字平臺����,因此尊重個人信息的消極權(quán)利,防止個人信息的控制者和處理者的父權(quán)主義對個人信息權(quán)利的收集、存儲�����、使用�����、加工����、傳輸、提供�����、公開等�,這是個人信息保護法對自然人“告知-知情-同意”保護的根源和本旨。
《中華人民共和國民法典》第一千零三十四條規(guī)定:“自然人的個人信息受法律保護���。
個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人的各種信息���,包括自然人的姓名����、出生日期��、身份證件號碼��、生物識別信息���、住址、電話號碼���、電子郵箱��、健康信息��、行蹤信息等����。
個人信息中的私密信息���,適用有關(guān)隱私權(quán)的規(guī)定��;沒有規(guī)定的��,適用有關(guān)個人信息保護的規(guī)定����。”
按照《中華人民共和國民法典》的上述規(guī)定���,個人信息保護應當由特別法《中華人民共和國個人信息保護法》做出規(guī)定����。對此《中華人民共和國民法典》規(guī)定�,個人信息中的私密信息,適用《中華人民共和國民法典》有關(guān)隱私權(quán)的規(guī)定�����;《中華人民共和國民法典》沒有規(guī)定的����,適用有關(guān)個人信息保護的規(guī)定。因此��,我國個人信息保護法沒有對自然人的隱私信息做出專門規(guī)定�,而是將個人信息分為敏感信息和非敏感信息,并設專節(jié)設置了“敏感個人信息的處理規(guī)則”�,對“敏感個人信息”的概念和敏感個人信息的處理規(guī)則作出了明確具體的規(guī)定。
《中華人民共和國個人信息保護法》第二十八條是“敏感個人信息”的定義���,即“敏感個人信息是一旦泄露或者非法使用��,容易導致自然人的人格尊嚴受到侵害或者人身����、財產(chǎn)安全受到危害的個人信息�,包括生物識別、宗教信仰���、特定身份���、醫(yī)療健康、金融賬戶��、行蹤軌跡等信息�����,以及不滿十四周歲未成年人的個人信息���?!?該定義采用了“個人信息被泄露或者非法使用+危害后果+列舉重要敏感個人信息”的立法技術(shù)�,同時將不滿十四周歲未成年人的個人信息也納入了“敏感個人信息”給予重點保護�。
《中華人民共和國個人信息保護法》對處理敏感個人信息作出了嚴格的限制性規(guī)定��,即只有在具有特定的目的和充分的必要性�,并采取嚴格保護措施的情形下,個人信息處理者方可處理敏感個人信息���。特別是處理敏感個人信息應當取得個人的單獨同意�����。如果法律��、行政法規(guī)規(guī)定處理敏感個人信息應當取得書面同意的�,應當從其規(guī)定�����。
《中華人民共和國個人信息保護法》還特別針對“大數(shù)據(jù)殺熟”����、“用戶畫像”和“算法推薦”等涉及個人信息自動化決策的熱點問題作出了規(guī)范,并明確要求���,處理個人信息應當遵循合法�����、正當�����、必要和誠信原則�����,不得通過誤導�����、欺詐�����、脅迫等方式處理個人信息���。
值得注意的是,《中華人民共和國個人信息保護法》第五條引入了“誠信原則”����,“誠信原則”是“誠實信用原則”的簡稱����,這是民法中最重要的一項原則���,被稱為“帝王原則”�����?��!吨腥A人民共和國個人信息保護法》中的“誠信原則”要求所有個人信息的處理者在不損害個人信息權(quán)益的前提下,追求自己的合法利益���。盡管“誠信原則”屬于《中華人民共和國個人信息保護法》的一般條款���,但其外延和內(nèi)涵都不確定,且涵蓋的范圍極大����,遠遠超過其他一般條款的規(guī)定。
隨著《中華人民共和國個人信息保護法》的實施�,我國個人信息安全保護的基本要義在于:在確保個人敏感信息不受非法侵害的基礎上,促進個人信息在“合法、正當���、必要和誠信原則”和“告知-知情-同意”原則的基礎上��,并遵循“實現(xiàn)處理目的的最小范圍”和“采取對個人權(quán)益影響最小的方式”原則的前期下���,進行合情、合理����、合法的開發(fā)和利用�����。
法律的生命在于實施��,法律的權(quán)威也在于實施����,要想真正營造良好的數(shù)字社會生態(tài),絕不僅僅是靠科學技術(shù)的進步�,必須構(gòu)建包含以法律為保障、以道德為支撐�����、以誠信為基石、以增進人民福祉為目標的四大核心價值體系�。
本文作者系浙江大學教授、博導�,網(wǎng)絡空間治理與數(shù)字經(jīng)濟法治(長三角)研究基地主任兼首席專家、中國網(wǎng)絡與數(shù)據(jù)安全法治50人論壇主席����;本文是作者在首屆“中國網(wǎng)絡與數(shù)據(jù)安全法治50人論壇”的演講內(nèi)容,經(jīng)本人重新整理����。
法治號
