- 中华人民共和国个人信息保护法释义
- 龙卫球主编
- 7371字
- 2022-07-29 16:12:43
第十二条 【个人信息保护国际交流合作】
国家积极参与个人信息保护国际规则的制定,促进个人信息保护方面的国际交流与合作,推动与其他国家、地区、国际组织之间的个人信息保护规则、标准等互认。
【释义】
本条是关于个人信息保护国际交流合作的规定。当前,个人信息保护已经成为全球共同面临的问题,加强个人信息保护领域国际合作也正在成为一个全球性的议题。随着各国数字经济的发展,目前有超过140多个国家和地区先后制定了个人信息保护领域的法律,[51]但由于各国互联网技术发展水平以及数字经济发展程度不同,其在对待个人信息保护方面的理念和态度存在较大差异,在一定程度上阻碍了个人信息保护国际规则和共识的形成。与此同时,互联网又是一个全球性的网络,任何一个国家个人信息保护的法律政策都会产生超出国界的后果,产生全球范围的影响。[52]在实践中,某一经济体制定的个人信息保护法律规定,对于另一经济体而言,可能就构成了贸易壁垒。近年来,世界各国已经深刻认识到加强个人信息保护国际合作的重要性,并采取了很多实际行动。例如,在《跨太平洋伙伴关系协定》(TPP)、《区域全面经济伙伴关系协定》(RECP)等系列国际数字贸易相关协定中,都将个人信息保护规则作为重要议题,并强调加强该议题的合作交流。[53]
我国也高度重视包括个人信息保护在内的网络空间国际合作。2016年通过的《网络安全法》就明确规定了国家参与网络安全国际合作的内容,强调加强个人信息保护在内的网络安全国际合作的任务与目标;[54]2017年,外交部和国家互联网信息办公室发布了《网络空间国际合作战略》,也明确提出促进企业提高数据安全保护意识,支持企业加强行业自律,就网络空间个人信息保护最佳实践展开讨论,推动政府和企业加强合作,共同保护网络空间个人隐私。[55]此前通过的《数据安全法》也指出,国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作,参与数据安全相关国际规则和标准的制定,促进数据跨境安全、自由流动。[56]此次《个人信息保护法》第12条规定,进一步明确了我国在个人信息保护国际合作交流方面的发展战略,包括三个层面,即国际规则制定、国际交流合作以及标准规则互认。
首先是参与个人信息保护国际规则的制定。周鲠生教授指出,“国内法和国际法之间不是相互对立而是相互联系的,国家既制定国内法,也参与制定国际法”。[57]近年来,中国在建立健全国内个人信息保护制度规则的同时,也在相关国际协定或条约中积极推进个人信息保护议题。早在2015年签署的《中国—韩国自由贸易协定》电子商务章节中就明确规定“各缔约方认识到在电子商务中保护个人信息的重要性,应采纳或实施措施以保证电子商务用户的个人信息得到保护,并就电子商务中的个人信息保护交流信息和经验。”[58]此外,在2020年中国主导推动达成的《区域全面经济伙伴关系协定》中也设置了“线上个人信息保护”专门条款,规定“每一缔约方应当采取或维持保证电子商务用户个人信息受到保护的法律框架”,并要求“缔约方应当在可能的范围内合作,以保护从一缔约方转移来的个人信息”。[59]现阶段,虽然各国都认识到个人信息保护的重要性,但尚未形成个人信息保护的普遍共识,相关国际规则还处于形成的阶段。中国拥有最大的互联网用户群体,也是全球第二大数字经济体,未来应该在个人信息保护国际规则制定中发挥更大作用,增强中国在国际规则制定中的话语权,这也是《个人信息保护法》相关规定的目的。
其次是促进个人信息保护方面的国际交流与合作。从全球范围来看,个人信息和数据保护的议题由来已久,1970年全球首部个人数据保护法出现在德国黑森州,随后瑞典、奥地利、丹麦、法国、挪威等国先后立法,相关国际组织也发布了个人信息保护的指南,掀起了全球范围内个人数据立法高潮。中国个人信息保护工作起步相对较晚,需要充分借鉴吸收有关国际组织和国家、地区的有益做法和实践经验,建立健全适应我国个人信息保护和数字经济发展需要的法律制度。近年来,随着国内个人信息保护相关工作的持续推进,中国也开始积极主动开展个人信息保护领域的国际交流活动。例如,在2018年第五届世界互联网大会上,最高人民检察院主办了“大数据时代的个人信息保护”分论坛,来自中国、俄罗斯、白俄罗斯、厄瓜多尔等国检察机关首脑和资深检察官,以及来自多国相关领域专家学者出席论坛,深入交流了各国个人信息保护的经验和做法。与此同时,中国也需要主动向国际社会传达自身个人信息保护经验主张,发出中国声音,贡献中国智慧。2020年9月,中国在“抓住数字机遇,共谋合作发展”国际研讨会上发布《全球数据安全倡议》,强调各方应在相互尊重的基础上,加强沟通交流,倡议各国承诺采取措施防范、制止利用网络侵害个人信息的行为,反对滥用信息技术从事针对他国的大规模监控、非法采集他国公民个人信息。随着数字经济全球化发展,未来个人信息保护的融合性、国际性会越来越明显,相关工作的国际交流与合作也将更加频繁。
最后是推动与其他国家、地区、国际组织之间的个人信息保护规则、标准等互认。实践中,一国制定的个人信息保护法律规则、政策标准等往往是立足本国具体国情,优先促进本国产业发展,旨在维护本国数字贸易发展利益,而不同成员之间如果没有共同的规则或具有互认的机制,其对互联网和个人信息保护的不同监管要求可能导致国际和地区之间贸易、投资壁垒增加,从而限制企业和消费者进入市场的意愿和能力,影响国际交流与合作。因此,随着国际数字贸易的发展,很多国际贸易协定在强调维持或制定国内个人信息保护法律框架的同时,提出要求各缔约方充分考虑到现有的国际个人信息保护相关规则、标准,并推动解决不同缔约方之间个人信息保护兼容性或一致性的问题。例如欧盟在《加勒比论坛国家—欧盟自由贸易协定》《欧盟—韩国自由贸易协定》等中都明确要求“电子商务的发展必须与最高的国际数据保护标准完全兼容”。[60]除国际标准外,部分协议中还提出要参考有关国际组织或机构的标准、规则或原则。例如《区域全面经济伙伴关系协定》电子商务章节规定“在制定保护个人信息的法律框架时,每一缔约方应当考虑相关国际组织或机构的国际标准、原则、指南和准则”[61]。当前,发达成员间围绕个人信息跨境流动正在推动区域性互操作机制的建立,以解决跨大西洋个人信息传输问题;再如,欧盟采用GDPR中的充分性认定来推动双边国际合作互认,截至2021年6月,欧盟委员会已承认安道尔、阿根廷、加拿大、法罗群岛、根西岛、以色列、马恩岛、日本、泽西岛、新西兰、瑞士、乌拉圭、韩国和英国等提供了足够的个人数据保护水平。[62]未来,我国也应积极参与关于个人信息保护技术、标准、政策等多方面的国际交流与合作,寻求与重要贸易伙伴国家建立个人信息保护互认等信任机制。
【关联规定】
《中华人民共和国网络安全法》第7条,《中华人民共和国数据安全法》第11条
(撰稿人:何波)
[1] 例如2021年最高院《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》、2018年最高检《检察机关办理侵犯公民个人信息案件指引》、2017年“两高”《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,以及“两高”相继发布的多件个人信息保护典型案例等。
[2] 例如2021年《常见类型移动互联网应用程序必要个人信息范围规定》、2019年《互联网个人信息安全保护指南》、2019年《儿童个人信息网络保护规定》、2019年《App违法违规收集使用个人信息行为认定方法》、2014年《寄递服务用户个人信息安全管理规定》、2013年《电信和互联网用户个人信息保护规定》等。
[3] 例如《信息安全技术 个人信息安全规范》(GB/T 35273—2020)、《信息安全技术:个人信息安全影响评估指南》(GB/T 39335—2020)、《信息安全技术:个人信息去标识化指南》(GB/T 37964—2019)、《信息安全技术:移动智能终端个人信息保护技术要求》(GB/T 34978—2017)、《信息安全技术:公共及商用服务信息系统个人信息保护指南》(GB/T 28828—2012)、《网络安全标准实践指南:移动互联网应用程序(App)个人信息保护常见问题及处置指南》(TC 260—PG—20203A)等。
[4] 参见王利明:《论个人信息权在人格权法中的地位》,载《苏州大学学报(哲学社会科学版)》2012年第6期;张里安、韩旭至:《大数据时代下个人信息权的私法属性》,载《法学论坛》2016年第3期。
[5] 申卫星:《大数据时代个人信息保护的中国路径》,载《探索与争鸣》2020年第11期。
[6] 参见程啸:《论我国民法典中个人信息权益的性质》,载《政治与法律》2020年第8期。
[7] 参见周汉华:《个人信息保护的法律定位》,载《法商研究》2020年第3期。
[8] GDPR第3条第1款规定,本条例适用于设在(establishment)欧盟境内的数据控制者和处理者所进行的个人数据处理活动,而不论该处理活动是否发生在欧盟境内。
第2款规定,当数据处理活动涉及以下情形时,本条例适用于非设立于欧盟境内的数据控制者或处理者对位于欧盟境内的数据主体的个人数据所进行的数据处理活动:
(a)为欧盟境内的数据主体提供货物或服务,而不论数据主体是否被要求付费;
(b)对数据主体在欧盟境内的行为进行监控。
[9] GDPR适用范围指南(Guidelines 3/2018 on the territorial scope of the GDPR)。
[10] 针对如何判定“为欧盟境内的数据主体提供产品或服务”,可以综合考虑以下因素:(1)产品或服务提供时提及了欧盟或至少一个成员国;(2)数据控制者或处理者向搜索引擎服务商支付费用,以方便欧盟消费者访问其网站;或者控制者或处理者针对欧盟国家的消费者发起了营销和广告活动;(3)有关活动具有国际性质,如某些旅游活动;(4)提及欧盟国家的专用地址或电话号码;(5)使用顶级域名,而非控制者或处理者所在第三国的域名,如“.de”,或使用中性顶级域名,如“.eu”;(6)从一个或多个其他欧盟成员国到提供服务地点的旅行指示说明;(7)提及由居住在不同欧盟成员国的客户组成的国际客户;(8)使用非交易商所在国的通用语言或货币,尤其是使用一个或多个欧盟成员国的语言或货币;(9)数据控制者在欧盟成员国提供货物交付。
[11] See GDPR Whereas(14),https://eurlex.europa.eu/legalcontent/EN/TXT/PDF/?uri=CELEX:32016R0679&from=en.
[12] 在《个人信息保护法》之前,我国已经有多部立法和标准对“个人信息”进行过界定,典型的如:我国《民法典》第1034条规定,个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。我国《网络安全法》第76条第5项规定,个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。我国《个人信息安全规范》(尽管该规范只属于推荐性标准,并无法律意义上的规范性和强制力,但在相当长的《个人信息保护法》缺位期间内,该规范普遍被作为个人信息保护执法和个人信息安全遵从的重要依据,具有很强的参照性)规定,个人信息是指,以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。
[13] 例如,欧盟《一般数据保护条例》(GDPR)规定,个人数据是指与已识别或者可识别的自然人(数据主体)相关的任何数据。
[14] 对于匿名化信息的适用除外性,在GDPR序言第26条中已经有过深入阐述,其指出,匿名化是指将个人数据移除可识别个人信息的部分,并且通过这一方法,数据主体不会再被识别。匿名化数据不属于个人数据,因此无须适用条例的相关要求,机构可以自由地处理匿名化数据。欧盟29条工作组在针对匿名化技术的2014/05号意见中进一步指出,经匿名化处理的数据,控制者或第三方“即便使用所有合理的方法”也无法再识别特定的自然人,其中的重要因素是,处理过程是“不可逆的”。日本《个人信息保护法》(APPI)规定与GDPR类似,但更为精准和具有可操作性,其规定的“匿名化信息”是指,针对个人信息采取措施,删除该个人信息中所含有的部分记述等(包括以使该部分的记述等丧失有可能恢复的规律性的方式,将该部分记述等转换为其他记述等),以保证无法识别特定个人。
[15] 我国《数据安全法》也有类似的界定,其第3条第2款规定,数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。
[16] 王晨:《关于〈中华人民共和国个人信息保护法(草案)〉的说明》,载全国人大网2020年5月22日,http://www.npc.gov.cn/npc/c30834/202005/50c0b507ad32464aba87c2ea65bea00d.shtml,2021年5月28日访问。
[17] 《关于加强网络信息保护的决定》第2条规定:“网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息。”
[18] 《消费者权益保护法》第29条第1款规定:“经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。”
[19] 《网络安全法》第41条规定:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。”
[20] 《网络安全法》第22条第3款:“网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。”
[21] 《电子商务法》第23条规定:“电子商务经营者收集、使用其用户的个人信息,应当遵守法律、行政法规有关个人信息保护的规定。”
[22] 黄薇主编:《中华人民共和国民法典人格权编释义》,法律出版社2020年版,第197页
[23] 黄薇主编:《中华人民共和国民法典人格权编释义》,法律出版社2020年版,第198页。
[24] 高富平:《个人信息使用的合法性基础》,载《比较法研究》2019年第2期。
[25] 黄薇主编:《中华人民共和国民法典人格权编释义》,法律出版社2020年版,第199页。
[26] 参见黄薇主编:《中华人民共和国民法典人格权编释义》,法律出版社2020年版,第200页。
[27] 《100款App个人信息收集与隐私政策测评报告》,载中国消费者协会官网2018年11月28日,http://www.cca.org.cn/jmxf/detail/28310.html,2021年5月31日访问。
[28] \[英\]戴恩·罗兰德、伊丽莎白·麦克唐纳:《信息技术法》,宋连斌等译,武汉大学出版社2004年版,第298页。
[29] 参见\[美\]艾伦·托克音顿:《美国隐私法——学说、判例与立法》,冯建妹等译,中国民主法制出版社2004年版,第206~208页。
[30] 此类观点摘自对外经济贸易大学法学院2020年11月15日召开的“《个人信息保护法(草案)》深度学习与建议研讨会”相关综述的专家意见。参见“《个人信息保护法(草案)》深度学习与建议研讨会综述”,载和讯网2020年11月24日,http://tech.hexun.com/2020-11-24/202491826.html,2021年9月4日访问。
[31] 参见周汉华:《中华人民共和国个人信息保护法(专家建议稿)及立法研究报告》,法律出版社2006年版,第61页。张新宝教授对于个人信息质量原则中包含及时更新的要求,同样持肯定观点,参见张新宝、葛鑫:《个人信息保护法(专家建议稿)及立法理由书》,中国人民大学出版社2021年版,第39~40页。
[32] 《首例公共数据不正当竞争案宣判“某蚁”胜诉——杭州互联网法院判决确立公共数据使用基本原则及合法使用边界》,载《人民法院报》2020年4月30日,第3版。
[33] (2019)浙8601民初1594号。
[34] (2020)浙01民终4847号。
[35] 参见杨尚东:《应尽快规范个人信息控制者和处理者的行为》,载《民主与法制时报》2020年4月2日,第6版。
[36] 参见姚佳:《论个人信息处理者的民事责任》,载《清华法学》2021年第3期。
[37] 参见杨帆、刘业:《个人信息保护的“公私并行”路径:我国法律实践及欧美启示》,载《国际经济法学刊》2021年第2期。
[38] 参见王锡锌:《个人信息国家保护义务及展开》,载《中国法学》2021年第1期。
[39] 参见《民法典》第111条。
[40] 参见《个人信息保护法》第59条。
[41] See EC,Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data,OJ L 281,23.11.1995,pp.31-50.
[42] See EU,Regulation(EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data,and repealing Directive 95/46/EC,OJ L 119,4.5.2016,pp.1-88.
[43] 参见《网络安全法》第四章“网络信息安全”;《电子商务法》第23条至第25条;《消费者权益保护法》第14条、第29条等。
[44] 参见《刑法修正案(九)》第17条:将《刑法》第253条之一修改为:“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”
[45] 《民法典》人格权编第六章。
[46] 参见全国人大常委会法制工作委员会:《关于〈中华人民共和国个人信息保护法(草案)〉的说明》。
[47] 参见《网络安全法》第6条。
[48] 参见《数据安全法》第9条。
[49] 参见《个人信息保护法》第61条。
[50] 参见《数据安全法》第9条。
[51] 参见全国人大常委会法制工作委员会:《关于〈中华人民共和国个人信息保护法(草案)〉的说明》。
[52] See Akhtar,Shayerah Ilias,and Wayne M.Morrison,Digital Trade and US Trade Policy,Congressional Research Service,May 21,2019.
[53] 参见《跨太平洋伙伴关系协定》第14.8条;《区域全面经济伙伴关系协定》第十二章第8条。
[54] 《网络安全法》第7条规定,国家积极开展网络空间治理、网络技术研发和标准制定、打击网络违法犯罪等方面的国际交流与合作,推动构建和平、安全、开放、合作的网络空间,建立多边、民主、透明的网络治理体系。
[55] 参见《网络空间国际合作战略》第四章行动计划第6项:倡导对隐私权等公民权益的保护。
[56] 参见《数据安全法》第11条。
[57] 参见周鲠生:《国际法》(上册),商务印书馆1976年版,第19~21页。
[58] 参见《中国—韩国自由贸易协定》第13.5条。
[59] 参见《区域全面经济伙伴关系协定》第十二章第8条。
[60] See EU-CARIFORUM Economic Partnership Agreement,Article 119.2;European Union-South Korea Free Trade Agreement,Article 7.48.2.
[61] 参见《区域全面经济伙伴关系协定》第十二章第8条第2款。
[62] See European Commission,Adequacy decisions,How the EU determines if a non-EU country has an adequate level of data protection,available at: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en,last visited on 18 Aug 2021.