8月20日,《中华人民共和国个人信息保护法》正式颁行。自2012年《全国人大常委会关于加强网络信息保护的决定》已降,已经9年,自2003年国务院信息化办公室开展个人信息保护法立法研究已降,更历18年。最终成稿的8章74条《个人信息保护法》,可谓句句有故事,字字不容易。在2018年《个人信息保护法》列入全国人大立法计划和2020年《个人信息保护法(草案)》公开征求意见之时,我曾分别以“《个人信息保护法》前瞻:六大关系待解”和“再论《个人信息保护法》的六大关系”为题,剖析了贯穿于《个人信息保护法》始终的六大关系。值此立法功成,我们不妨仍从六大关系出发,检视《个人信息保护法》最终版本,并展望其实施前景。
个人和企业的关系
正如欧盟《一般数据保护条例》(GDPR)第1条将“数据保护”与“数据流动”作为并置目标,《个人信息保护法》亦开宗明义,申明“保护个人信息权益”与“促进个人信息合理利用”两大立法目的。
在“个人信息保护”层面,《个人信息保护法》延续《民法典》中查阅权、复制权、更正权的规定,拓展了删除权边界,从基于违法、违约的删除权放宽至个人的任意删除权。《个人信息保护法》还增设个人对自动化决策的拒绝权和解释权、一定条件下的可携带权和死者个人信息权益,并从种种具体权利中抽象、升华为“个人对其信息的知情权、决定权、限制或拒绝权”等概括性权利(第44条),使得个人信息权益兼具法定性和开放性。不仅如此,《个人信息保护法》强化了“生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹以及不满十四周岁未成年人的个人信息”等敏感个人信息保护,对于个人信息公开、向第三方提供个人信息和敏感个人信息处理的高风险活动,赋予用户“单独同意”的特别权利。
在“个人信息利用”层面,《个人信息保护法》第13条可谓“法眼”所在。该条一改《民法典》“个人同意+特定情形免责”的逻辑,引入了订立履行合同、人力资源管理、履行法定职责或法定义务、应对突发公共卫生事件、保护自然人的生命健康和财产安全、处理公开个人信息等多元化个人信息处理事由,有效平衡了个人和企业对个人信息不同诉求。同时,《个人信息保护法》沿用《网络安全法》第42条第1款后段“大数据条款”,将“匿名化信息”排除在保护之外,以推动大数据产业发展。基于此,在“匿名化”判断上,应采取特定信息处理者采取合理可能手段无法识别个人的“相对匿名标准”,以避免“绝对匿名化”在技术上和商业上的强人所难,以至立法意图落空。