2018年9月,《个人信息保护法》被纳入“十三届全国人大常委会立法规划”,位列“条件比较成熟、任期内拟提请审议”的69部法律草案之中。两年后的金秋,《个人信息保护法(草案)》如期公布。屈指算来,距离2012年《全国人大常委会关于加强网络信息保护的决定》已有8年,距离2003年国务院信息化办公室部署个人信息保护法立法研究工作已有17年。我想,无论是立法者,还是参与其间的学者,亦或是关注个人信息保护的普罗大众,如今都可称夙愿得尝。不过,草案出台只是第一步,正所谓“行百里者半九十”,如何使之臻于完善,依然任重道远。两年前,就在《个人信息保护法》列入立法计划不久,我梳理了《个人信息保护法》的六大关系(见“《个人信息保护法》前瞻:六大关系待解”一文),值此立法关口,不妨仍以此为线索,对草案再加检视。
个人和企业的关系
在世界数字化转型的背景下,个人“数据人格”和企业“数据资产”的重要意义与日俱增。两年来,个人信息的边界不断向生物识别信息、基因信息的拓展,数据作为关键生产要素业已被中央文件所确认,如何平衡个人信息保护和大数据利用之间的关系,由此成为《个人信息保护法》的首要定位问题。对此,草案第一条开宗明义,将“保护个人信息权益、促进个人信息合理利用”作为二元并置的立法目标。在条款设计上,草案两边发力,一方面在《民法典》的基础上,赋予个人一系列新型权利,尤其是“基于同意撤回的删除权”(第16条、第47条第3项)和“针对自动化决策的说明权和拒绝权”(第25条);另一方面,草案拓展了个人信息合理使用的范围,细化了公共利益例外的情形(公共卫生事件、履行法定义务、法定职责、新闻报道),并将“为订立或者履行个人作为一方当事人的合同所必需”纳入正当事由。更重要的是,草案根本上改变了《民法典》下“个人同意+特定免责”的个人信息使用模式,转向融知情同意在内的“多元合理事由模式”,以实现承载于个人信息之上的多元价值。