- 中华人民共和国个人信息保护法释义
- 龙卫球主编
- 2580字
- 2022-07-29 16:12:43
第十条 【个人信息处理的禁止性规定】
任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。
【释义】
本条是关于个人信息处理的一般禁止性规定。
在现代法治国家中,禁止违法和危害国家安全、公共利益是任何组织和个人必须严格遵循的基本行为准则。我国《宪法》第5条第4款规定,一切国家机关和武装力量、各政党和各社会团体、各企业事业组织都必须遵守宪法和法律。一切违反宪法和法律的行为,必须予以追究。《国家安全法》第13条第2款明确规定,任何个人和组织违反本法和有关法律,不履行维护国家安全义务或者从事危害国家安全活动的,依法追究法律责任。《民法典》第8条规定,民事主体从事民事活动,不得违反法律,不得违背公序良俗。就个人信息保护而言,《民法典》第111条规定,自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。同时,根据《刑法》第253条之一的规定,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,依法需承担刑事责任。工信部《电信和互联网用户个人信息保护规定》第9条第3款也明确规定,电信业务经营者、互联网信息服务提供者不得收集其提供服务所必需以外的用户个人信息或者将信息用于提供服务之外的目的,不得以欺骗、误导或者强迫等方式或者违反法律、行政法规以及双方的约定收集、使用信息。本条在延续既有法律、法规规定的基础上,对个人信息处理作出了一般禁止性规定,为个人信息处理者的信息处理活动划出了较为明确的“红线”。
依其内容来看,本条规定注意应从以下两方面理解:
其一,任何组织、个人不得非法处理个人信息。与本法草案第二次审议稿相比较,本条规定不但对个人信息处理的方式作出了较为明确的列举,也与《民法典》第111条的规定保持基本一致,而且,以“不得非法……”取代此前“不得违反法律、行政法规的规定”的表述,更显严谨且符合个人信息处理活动的实际。以实践来看,个人信息处理的主体主要可以分为民事主体和公共机关两大类型。其中,对于网络运营者等作为民事主体的个人信息处理者而言,基于《民法典》关于“遵循自愿原则”的基本精神和本法的相关规定,在征得个人信息主体同意的基础上,个人信息处理者原则上可以对个人信息开展多种形式的灵活处理和利用,所谓“不得非法”处理个人信息实质上确实主要是指个人信息处理者的处理行为不得违反法律、行政法规的规定,集中体现的是对民事主体在个人信息处理活动中意思自治范围的必要限制。而对于作为公共机关的个人信息处理者来讲,基于“权力法定”的基本法理,所谓“非法”则主要是指其个人信息处理活动缺乏法律依据或已经超出法律授权的范围。
值得注意的是,就其规范效用而论,本条规定对于促进我国个人信息保护制度的体系协调和开放具有十分积极的意义。在本法颁布以前,我国个人信息保护一直处于分散立法的状态,[37]关于个人信息保护的规定散见于全国人大常委会《关于加强网络信息保护的决定》《网络安全法》《数据安全法》《民法典》《消费者权益保护法》《电子商务法》《征信业管理条例》《电信和互联网用户个人信息保护规定》《人口健康信息管理办法(试行)》等法律法规中。而以目前数字技术及其应用的发展趋势来看,《个人信息保护法》的颁布并非意味着个人信息保护制度体系构建的终点,此后另以特别立法或在相关法律法规的制定中对个人信息保护领域的新生、特别问题再行规范续造也势属必然。因此,本条以“不得非法”的方式对个人信息处理行为作出一般性的禁止性规定,较好地处理本法与其他法律、法规中个人信息保护相关规定的规范衔接问题,对维护我国个人信息保护制度体系的协调性和开放性具有不可忽视的积极意义。
至于“不得非法”中“法”的范围,参考本法草案第二次审议稿的规定,主要是指法律和行政法规,是否包括公安部、工信部、国家网信办等中央政府部门制定部门规章等规范性文件尚值得关注。根据最高人民法院和最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第2条的规定,违反法律、行政法规、部门规章有关公民个人信息保护的规定的,应当认定为《刑法》第253条之一规定的“违反国家有关规定”。以实践来看,针对当前数字经济发展中日益丰富和复杂的个人信息处理实践,我国相关主管部门纷纷结合各自监管工作的实际需要出台了不少与个人信息保护相关的规范性文件,就其实际效用而论,这些规范性文件虽未必当然属于本条规定的“法”的范畴,但对个人信息处理行为合法性的判断具有不可忽视的作用。例如,国家网信办秘书局、工信部办公厅、公安部办公厅、国家市场监督管理总局办公厅在2019年联合印发的《App违法违规收集使用个人信息行为认定方法》 (国信办秘字〔2019〕191号)列举出“未公开收集使用规则”“未明示收集使用个人信息的目的、方式和范围”“未经用户同意收集使用个人信息”“违反必要原则,收集与其提供的服务无关的个人信息”“未经同意向他人提供个人信息”“未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息”7类常见的违法违规处理个人信息的行为,并对各类违法违规行为的认定作出了明确的规定,为监督管理部门的行政执法提供了重要的参考,也为个人信息处理者自查自纠和网民社会监督提供积极指引,对于个人信息是否“非法”的判断无疑具有不可忽视的现实意义。
其二,任何组织、个人不得从事危害国家安全、公共利益的个人信息处理活动。个人信息虽首先体现为信息主体的个人利益,但同时也与国家安全、公共利益不无相关。不得从事危害国家安全、公共利益是法律对各类个人信息处理活动的兜底性、强制性要求。从实践来看,某些网络运营者的个人信息处理行为,虽未必违反现有法律、行政法规的禁止性规定,或者已经征得个人信息主体的明确同意,但如其已实际构成对国家安全或公共利益的侵害,根据本条的规定,信息处理者也许因此承担相应的法律责任。
【关联规定】
《中华人民共和国宪法》第5条,《中华人民共和国刑法》第253条之一,《中华人民共和国民法典》第111条,《中华人民共和国国家安全法》第13条,《中华人民共和国网络安全法》第12条,《中华人民共和国数据安全法》第8条
(撰稿人:雷震文)