数字经济伙伴关系协定中个人信息保护研究

张轩诚

(山西大学法学院 太原 030006)

《中华人民共和国民法典》(以下简称《民法典》)于2021年1月1日正式施行,其中最大的亮点在于人格权独立成编.人格权编规定了隐私权和个人信息保护,彰显了我国对人格利益的关怀.2021年《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)的颁布,使得个人信息具有清晰的价值指向.在后现代化的今天,个人信息发挥着越来越重要的作用.继农业经济、工业经济的发展,全球数字经济应运而生,全球数字治理于每个国家而言愈发重要.

从区域层面来看,2020年6月,智利、新西兰和新加坡(双新)签署了《数字经济伙伴关系协定》(digital economy partnership agreement, DEPA),该协定旨在通过数字经济促进数字发展,包括数字包容性、数据流动与保护等内容[1].我国于2022年8月22日正式成立了DEPA工作组,实现我国全面推进加入DEPA谈判的目标[2].2019年超过80%的经合组织国家报告称,人工智能和大数据分析是“隐私和个人数据保护”的最大挑战,因此各国政府正提高对隐私和数据保护的认识[3]14.为此分析个人信息侵害的特殊性,并着眼“双新”的相关规则,为我国个人信息的保护提供优化路径.

1 DEPA个人信息保护梳理:聚焦“双新”研究

新加坡与新西兰作为DEPA中唯二的发达国家,无论是新加坡新修订的《个人资料保护法令修正案》,还是新西兰新颁布的《2020年隐私法》,于我国而言,有效地借鉴二者的相关规则,有助于在个人信息保护方面实现与国际规则的衔接,加强数字贸易合作并建立相关规范,力争尽早正式加入DEPA.本节将从新加坡与新西兰的个人信息保护入手进入梳理.

1.1 新加坡:《个人资料保护法令》

DEPA缔约方之一的新加坡于2012年颁布了《个人资料保护法令》(the personal data protection act, PDPA),规范了相关组织对个人资料的收集、使用与披露,并于2020年进行了修订,通过了《个人资料保护法令修正案》,新增信息可携权、数据传输义务以及组织的问责制等,提高了对机构违法行为的处罚力度[4]123.

在权利构架方面,新加坡运用三方主体为平衡权利人的个人权益、数据收集者的经济发展和国家安全之间的冲突提供一个切实可行的方案.换言之,新加坡发布的《网络安全法案》《个人数据保护法》《计算机滥用法》3部法案,分别由新加坡网络安全局、新加坡个人数据保护委员会和新加坡警察部队牵头执法,各个法案之间相互联动,各个部门各司其职共同维护新加坡的数据发展和网络安全.如一起网络事件涉及某个计算机系统,需要在规定的时间内向网络安全局报告该事件,此外,个人数据泄露规模巨大,可能对个人造成重大伤害,则必须通知个人数据保护委员会,更有甚者,未经授权进入某电脑系统,应向警方报告[5]12.

知情同意规则作为个人信息收集的核心条款,应当详实地保障权利人的知情权,提高信息处理的可操作性.鉴于此,为缓和利益之间的不平衡,新加坡在PDPA中不仅规定了一般同意的规定,还规定“视为同意”的规则.在一般同意规则下,在取得权利人同意的同时还需遵守以下义务:其一,在收集、使用和披露个人资料的同时,不得超出提供产品或服务的合理性;其二,禁止组织通过提供虚假的资料或欺骗性的做法,取得或企图取得同意,否则同意无效(1)参见新加坡《个人资料保护法令》第14条.,具体而言,新加坡的PDPA视为同意分为3种情形,分别是视为行为同意、根据合同被视为同意以及通过通知视为同意.第1种视为同意是个人自愿向机构提供个人数据,即视为行为同意(2)参见新加坡《个人资料保护法令》第15(1)条.;第2种情形为根据合同被视为同意(3)参见新加坡《个人资料保护法令》第15(3)条和第15(6)条.,该视为同意项下的为了合同目的的情形,不仅是简单的“用户-服务端”的模式,而是涉及多重服务供应商,因此权利人被视为同意具有合理性;而第3种情形是通过“通知”视为同意(4)参见新加坡《个人资料保护法令》第15A(2)条.,但此种通过“通知”视为同意的情形也存在权利的边界,首先,需要对收集的个人资料进行评估(5)评估的方法和手段参见新加坡《个人资料保护法令》附件B.,该行为不会产生不利影响(6)参见新加坡《个人资料保护法令》第15A(4)(a)条.,并采取合理措施以消除不良影响、降低不良反应发生的可能性以及减轻不良影响(7)参见新加坡《个人资料保护法令》第15A(5)条..通知的规则要尽量保障组织能够采取合理的措施保障通知的传达,即应当告知权利人收集数据的意图以及权利人选择不被收集而有的合理期限与方式(8)参见新加坡《个人资料保护法令》第15A(4)(b)条.,增强了权利人获取产品与服务的体验感.与此同时,新加坡PDPA附件A列举了个人资料同意要求的例外事项,并将其分为重大利益、影响公众的事项、公共利益、合法利益等7项内容,其下列举了具体的适用情形也为权利人行使权利增加了透明性.

根据新加坡PDPA经济处罚的规定,违反个人资料的保护、个人资料的收集、使用和披露、访问个人资料与个人资料的更正等,对组织施加的经济处罚不得超过100万新加坡元(9)参见新加坡《个人资料保护法令》第48J(3)条..除此之外,在违反上述情形中,对组织不仅要处以经济处罚,还要规制相关行为,即:停止违反PDPA收集、使用或披露个人数据;销毁违反PDPA收集的个人数据;拒绝提供个人资料的访问、更正、传输等权限(10)参见新加坡《个人资料保护法令》第48I(2)条..

1.2 新西兰:《2020年隐私法》

纵观国际社会,DEPA的另一缔约方新西兰颁布了《2020年隐私法》,该法案引入了隐私违规通知义务,并加强了跨境保护与刑事犯罪等内容.该法案为新西兰提供了更好的隐私保护,并把控了隐私侵权风险.

在知情同意规则方面,新西兰的7项告知内容提高了司法的适用性.据新西兰的《2020年隐私法》规定的13个信息隐私的原则(11)参见新西兰《2020年隐私法》第22条.,其中第3个原则个人信息收集的主题恰好体现了机构的通知义务,即应该采取合理的措施将有关内容告知权利人:1)收集信息的事实;2)收集信息的目的;3)信息的预期接收者;4)姓名和地址;5)个人提供的信息是自愿还是强制性;6)未提供完整信息的法律后果;7)访问和更正IPP提供的信息的权利.上述的告知内容为经济的发展预留了备用空间.

在刑事责任方面,相较于新西兰的《2013年隐私法》,《2020年隐私法》在其基础上新增了2项刑事条款(12)参见新西兰《2013年隐私法》第127条.:一是冒充他人或假装以该人的权限行事,从而误导机构,并获取该个人的信息或对其进行更改或破坏(13)参见新西兰《2020年隐私法》第212(2)(c)条.;二是在明知已有要求提取某些信息的情况下,销毁包含个人信息的文件(14)参见新西兰《2020年隐私法》第212(2)(d)条..故新西兰将上述6种情形作为刑事处罚的对象,一经定罪,将处于最高1万新西兰元的罚款.上述2种情形更多的是立足于数字经济的发展,利用互联网的虚拟性非法采集、获取以及冒用权利人的个人信息,处以刑事处罚更有利于体现法律普适性与动态变化.

2 我国加入DEPA存在的缺憾与挑战

2.1 个人信息保护的法律体系架构性不足

2016年颁布的《中华人民共和国网络安全法》(以下简称《网络安全法》)首次明确了个人信息的含义.2020年通过《民法典》第1034条也规定了的个人信息的含义.通过比较《网络安全法》《民法典》《个人信息保护法》在不同的领域保护个人信息,难免出现法律冲突.在义务主体上,《网络安全法》的义务主体为网络运营者,主要对网络上的环境进行监管,而《民法典》中的义务主体是除权利人以外的所有人,在适用的过程中会出现主体选择问题.此外,在个人信息保护的权利模式上规定不清,《民法典》规定个人信息受法律保护,《个人信息保护法》规定保护个人信息权益.由此看出,二者都没有对其采用“权利”保护,故在法律层面会受到一定的限制.

2.2 个人信息处理同意规则的异化

《民法典》第1035条规定,处理用户的个人信息必须经过用户的同意.信息收集者应遵守合法、正当和必要的原则以及权利人的知情同意规则,并使得个人信息的获取成为一项合法事由.可以看出,用户的知情同意规则成为信息处理者处理个人信息的有效工具,保障个人权利主体享有信息自决权,也是保障权利人对个人信息的控制[6]75.《个人信息保护法》第17条规定了处理个人信息的收集方式,但在实践中各种APP的隐私条款内容冗杂,难以发挥知情同意规则的作用.其次,《个人信息保护法》第16条阐述了个人信息的知情同意规则,若权利人不同意收集,则相关数据服务站也不能拒绝提供相应的服务.但权利人不同意用户规则,其后果将是无法使用.

显然,上述规则也显示出知情同意存在滥用的风险.由于隐私条款的特性会导致用户不经阅读就同意该规则,此时这些条款在烙上告知同意的名号后,不仅合法地收集个人信息,还将对个人信息的安全造成威胁[7]48.《个人信息保护法》第14条规定,该同意应当由个人在充分知情的前提下自愿作出,但用户往往出于各种原因不想阅读冗长的条款而选择同意.此时,权利人在没有“明知”的情况下完成了同意,而信息服务平台也因此完成了信息提供义务并免除了超范围收集信息行为的责任,这种“异化”责任有违反公平合理的原则[8]128-129.

2.3 个人信息法律救济的有效性缺位

要承担侵权责任就要明确证明责任的分配.根据《个人信息保护法》第69条规定,采用过错推定的归责原则,将原本属于权利人的“过错”赋予信息处理者证明,若举证不能,将面临诉讼上的不利益.如今,技术措施相较于传统行业具有不透明性,在取证的过程中,权利人一般难以举证信息收集者存在“过错”,但若将证明责任转移给信息收集者,才更能保护劣势的权利人.

个人信息的属性可归属为人格利益和财产利益.由于人格权部分与人身相关联、人格权部分与个人的权利能力相关联;财产权部分没有人身利益的部分,因此法律可以规定一个使用、转让的具体期限[9]87.在人格利益方面,由于没有隐私权的绝对保护,难以真正维护个人的人格价值.因此《个人信息保护法》第69条的内容应适时而变,尽管规定了损害赔偿顺序,但由于个人信息具有人格的属性,由此带来的损失难以估量,无法作出相应赔偿,此时应考虑如何实现立法与司法的有机配合.

3 对接DEPA个人信息保护规则的法律思考

3.1 明确民法视阈下个人信息保护的法律规范

我国《民法典》仅涉及个人信息的原则性内容,而《个人信息保护法》第62条对人工智能新技术、人脸识别技术等的个人信息保护原则做出了规定,但内容不够详实.因此,在我国法律体系上,应当以《民法典》保护为基础,《个人信息保护法》为有效支撑,《人脸识别信息若干规定》等个人信息为全新视角.

本文认为应细化生物识别信息的种类并出台相应的法律规范.对一般信息与敏感信息进行“分类分级分权”保护,并进行证明责任的分配以此确定相关的责任.因此对个人信息的收集应采取更加严苛的保护,即过错原则对一般信息使用,而涉及第三方从终端用户获取个人信息、敏感信息以及个人跨境信息采取无过错原则.无过错原则只要侵权人采取的手段对权利人造成损害,则应当对权利人承担责任.

更重要的是,虽然我国区分了一般信息和敏感信息,但随着社会的发展权利人面对不同的信息会有不同的触感反应.在大多数情况下,与医疗和财务有关的信息被列为敏感信息.对已淡化为一般信息的进行及时调整,对极为重要的个人信息优化升级,此举更符合权利人的期待.

3.2 优化个人信息保护权利体系

《民法典》规定,“个人信息受法律保护”,《个人信息保护法》则采用“利益”.利益相较于权利而言保护力度更弱,此种手段难以应对当今时代个人信息泄露的巨大风险.

一方面,如果将利益和权利采取同样的法律保护[10]99,不对个人信息以权利保护也在情理之中.此时,利益可以享有绝对权的保护,可以很好地体现在《民法典》人格权编中体现对个人权利以利益的优先考虑.另一方面,由于“利益”在民法体系上的保护力度相对“权利”而言较弱,若以利益进行规制难免对个人信息保护不周,因而可以出台《个人信息保护法》的相关解释,明确个人信息保护的权利定位,将信任原则纳入该法案中,在利用信息的同时不得超出权利人的合理期待[11]152.新西兰的《2020年隐私法》将个人信息界定为有关可识别个人身份的信息与死亡有关的信息(15)参见新西兰《2020年隐私法》第7条.,新加坡对个人资料的定义亦是如此(16)参见新加坡《个人资料保护法令》第2条..由此可见,对《个人信息保护法》的保护应采取宽进宽出的模式,为新技术的发展提供法律兜底.

如何合理利用而非盗用个人信息是亟待解决的问题.一般对个人信息的侵害主要是对个人信息的二次利用和出售个人信息以换取经济价值[12]36.而DEPA在个人信息保护中强调,对个人信息的保护可以促进个人信息的社会效益,采取不同的法律方式保证不同体制之间的交互操作性;除此之外,该协定对保护个人信息的原则进行列举,在规则无法穷尽社会问题时以原则进行保护,其中规定了收集限制、用途说明等,保障数据收集的安全性与规则的透明度.

3.3 明确个人信息处理的同意规则

3.3.1 采用简洁易懂的告知同意规则

个人信息收集的告知同意规则以平实的语言告知权利人,能更清楚信息收集的范围,同时应避免晦涩的语言.通过简单的隐私条款可以使权利人容易了解信息采集的过程,采用友好型的操作页面能使用户对隐私条款进行清楚地解读.

更重要的是,我国个人信息的告知同意规定,应以显著方式,清晰易懂、准确、完整地告知个人,对相关事项采取“列举+兜底”的方式,但该事项仅是原则性规定,并非具体事项.有法院认为,未在显著位置且未通过弹窗提示用户阅读隐私政策,属于违法处理个人信息的行为(17)杭州互联网法院发布个人信息保护10大典型案例(2020)浙0192民初4252号..故个人信息的告知同意应以明显清楚的方式进行.此外,2022年发布的《信息安全技术移动互联网应用程序(APP)收集个人信息基本要求》附件A提出了常见APP必要个人信息的范围,涉及网约车类、即时通信类和餐饮外卖类等39类APP必要个人信息的使用要求.但该附件仅对当前APP的必要个人信息进行说明,但未涉及其他领域.故对个人信息的保护应当结合上述39项必要个人信息的说明要求以及新加坡关于同意告知的例外情况,增强《个人信息保护法》法律适用性.

3.3.2 提高告知同意的规则的法律适用性

一般信息采用告知同意规则即可解决问题,而敏感信息对权利人的影响较大,在一般个人信息处理规则的基础上,还应当告知处理的必要性以及对个人的影响.根据《个人信息保护法》处理者向其他个人信息处理者提供其处理的个人信息的(第23条)、公开处理个人信息(第25条)、在所收集的个人图像和身份识别信息用于维护公共安全以外的目的(第26条)、处理敏感信息的(第29条)以及向境外提供信息的(第39条)需要单独同意.此外,还建立动态的知情同意机制,信息处理者告知其信息的动态使用情况,赋予其继续同意或撤销的权利[13]158.本文认为还应对特殊信息应采用多颜色提示并采取弹框的形式,提示权利人.

从实践来看,我国规定了个人信息的知情同意规则,“用户-服务端”简单的运营模式能避免隐私泄露,但多链垂式的运营模式通过权利人的同意之后,并经过层层上报无疑会导致效率的低下,最终影响权利人的体验.因此我国可以借鉴新西兰《2020年隐私法》中的内容并细化知情规则,即:1)信息处理者的基本信息;2)处理的目的、种类与期限;3)处理的方式和程序(自愿还是强制);4)未提供完整信息的法律后果;5)访问和更正IPP提供的信息的权利.故上述“5要素”规则可以适用单链模式与多链模式,保障权利人的数据信息安全.

3.4 侵犯个人信息的法律责任的合理适用

3.4.1 个人信息保护之刑法规制的解释

我国侵犯公民个人信息罪顺应了互联网的社会形势,且个人信息的获取变得十分便捷,合法获取个人信息的行为变得较为常见,通过权利人的合法授权等方式获取,但合法获取个人信息而进行非法利用的法律性质更加恶劣[14]151,此时应当对《刑法》第253条之一第2款进行完善,将在履行职责或者提供服务过程中获得的公民个人信息纳入其中,也就是说上述的行为应从重处罚.

上述对侵犯公民个人信息的行为给予刑事处罚.刑事处罚不仅要于法有据,更要符合社会常理,在一动一静中维护法治的权威,故在完善我国《刑法》关于侵犯公民个人信息罪的同时,借鉴新西兰中有关刑事责任的处罚,明确冒充他人权限以误导机构,由此使用、更改或销毁个人信息的行为,并处以一定的罚款.

3.4.2 个人信息保护的经济责任初构建

随着电子支付的兴起,支付方式也发生了变化.电子支付方式通过指纹、人脸识别将相关信息传输到数字媒介中,实现了个人信息与数字技术的链接.DEPA在电子支付中强调应通过监管的方式加强电子支付的系统安全,保障支付下的个人信息安全.若形成电子支付下的安全缺失,DEPA将健全金融责任措施,阻止相关信息在各缔约方间流转,保障权利人的个人信息,并完善个人信息收集者的金融责任,实现兼容性发展(18)参见《数字经济伙伴关系协定》第15章 例外 第15.4.3条 审慎例外和货币和汇率政策例外..

在经济责任方面,新加坡将违反个人信息的赔偿金提升至较高的赔偿额度,法定化更有利于信息处理者履行好职责.我国可以借鉴新加坡的赔偿标准,在个人数据的处理、泄露方面,对相关组织及人员施加一定的经济处罚,实现权责相统一.这也是我国顺应全球数字经济发展的大潮并逐渐与国际接轨的举措.

4 结 语

在个人信息保护方面,我国以《民法典》为基础、《个人信息保护法》为解决方案.区分一般信息和敏感信息,真正保障权利人的人格尊严.细化“知情同意”规则,使其更具有实践操作性,并在刑事犯罪领域惩治侵犯个人信息的犯罪行为.在个人信息保护方面,DEPA与其缔约方的法律制度为我国的规则构建提供了多元选择,更重要的是有助于加速我国加入DEPA的谈判进程,促进创新与数字化发展.