千呼萬喚始出來。
2021年8月20日,在大陸第十三屆全國人民代表大會常務委員會第三十次會議期間,《個人信息保護法》獲審議通過,並將於2021年11月1日起正式施行。
伴隨《個人信息保護法》的正式出爐,大陸對個人信息的處理活動將迎來「強監管」時期。
應該說,《個人信息保護法》是大陸個人信息保護領域的專門立法,但並非唯一立法。
在《個人信息保護法》正式出爐前,從2000年左右開始,大陸就在不同的規範性法律文件中逐步關注或提及「個人信息」保護,並初步建立起了一些相應制度,比如,特定主體對個人信息的保密義務等。那麼,回溯大陸將近20餘年的個人信息保護立法進程,還有哪些關鍵節點或重要立法要點,是值得關注的呢?
要點一:個人信息保護立法最早可追溯至2002年
個人信息作為法律用語,最早出現在大陸規範性法律文件中的時間,可追溯到2002年。
2002年6月26日審議通過,並於2002年10月1日起施行的《深圳經濟特區人才市場條例》,是大陸最早提及「個人信息」的規範性法律文件。
當時制定的《深圳經濟特區人才市場條例》第九條規定,用人單位在招聘活動中,「未經應聘人才本人同意」,不得擅自公開其「個人信息」。
可以看到,最早出現的個人信息保護場景指向了招聘活動,而這也是當下個人信息保護的重要領域所在。
不過,值得注意的是,按照當時的規定,從文義分析來看,求職資料和個人信息屬兩類不同的內容,其中,個人信息更傾向於指向姓名、性別、籍貫、住址、身份證號等身份證上記錄的個人信息。
根據大陸國家法律法規數據庫顯示,截至目前,在文件正文出現「個人信息」字樣的規範性法律文件共計411件,其中,在文件標題出現「個人信息」字樣的規範性法律文件共計2件。
從法律層級來看,在文件正文出現「個人信息」字樣的411件規範性法律文件中,有26件是全國人大及其常委會制定的法律,有13件是國務院制定的行政法規,有4件是最高人民法院和最高人民檢察院單獨或聯合制定的司法解釋,另有368件屬地方性法規。
由此可見,在《個人信息保護法》出爐前,大陸個人信息保護的立法呈現出兩大特點:其一是有關個人信息保護的一些原則、規則或機制,散落在不同的規範性法律文件中;其二是地方性立法探索早於且多於中央層面的立法。
要點二:《居民身份證法》是大陸首部涉及「個人信息」保護的全國性立法
2003年6月28日審議通過,2004年1月1日起施行的《居民身份證法》是大陸首部提及「個人信息」保護的全國人大常委會立法。
《居民身份證法》第六條規定,「公安機關及其人民警察對因製作、發放、查驗、扣押居民身份證而知悉的公民的個人信息,應當予以保密。」
從國家立法角度來看,最早設定的個人信息保護義務相對人為「公安機關及人民警察」。
2009年2月28日審議通過的《刑法修正案(七)》首次將個人信息納入刑事法律保護範疇,也是首次將特定侵犯個人信息的行為認定為犯罪行為。
根據大陸《刑法修正案(七)》,個人信息保護義務相對人擴大至「國家機關或者金融、電信、交通、教育、醫療等單位的工作人員」,對「出售、非法提供」以及「竊取或其他方式非法獲取」等違法行為納入重點打擊範疇。
國家法律法規數據庫顯示,在文件正文出現「個人信息」字樣的411件規範性法律文件中,從公佈時間分佈來看,2009年以後公佈的共計350件,約占全部文件的85.16%。
簡單說,自2009年起,大陸涉及個人信息保護的立法全面進入「快車道」,大量涉規範性法律文件或多或少對個人信息保護有所涉及或提及。
要點三:2009年起個人信息保護立法駛入快車道
制定於1983年12月8日的大陸《統計法》,分別在1996年和2009年經歷了兩次修正或修訂。
其中,2009年的修訂增加了專門個人信息保護要求。
2009年6月27日修訂、2010年1月1日起施行的《統計法》第九條規定,統計機構和統計人員對在統計工作中知悉的國家秘密、商業秘密和個人信息,應當予以保密。
應該說,《統計法》增加「個人信息保護」的條款,與《刑法修正案(七)》有密切關係,在進一步細化「國家機關」的範疇。
2010年10月28日審議通過,2011年7月1日起施行的大陸《社會保險法》,則設置專門條款對社會保險領域相關主體的個人信息保護義務予以明確。
《社會保險法》第九十二條規定,「社會保險行政部門和其他有關行政部門、社會保險經辦機構、社會保險費徵收機構及其工作人員」負責個人信息保護義務。
2013年10月25日,大陸《消費者權益保護法》第二次修正時,將個人信息保護的範圍擴大至消費者權益保護領域。
《消費者權益保護法》第十四條規定,消費者「享有個人信息依法得到保護的權利。」
2015年8月29日審議通過的《刑法修正案(九)》,進一步強化個人信息刑事保護力度。
《刑法修正案(九)》對個人信息保護義務相對人的表述,一改《刑法修正案(七)》列舉式,概括性的調整為「違反國家有關規定」。
2017年3月15日審議通過,2017年10月1日起施行的大陸《民法總則》,設置專門條款明確個人信息保護。
應該說,《民法總則》第一百一十一條有關個人信息保護的規定,不僅是後續《民法典》個人信息保護綜合立法逐步完善的基礎,也是《個人信息保護法》規範個人信息處理活動的前提。
2018年8月11日大陸修訂後公佈《全國經濟普查條例》(2004年9月5日公佈並施行),明確了經濟普查工作中相關主體對個人信息保密義務,包括:各級經濟普查機構及其工作人員。
要點四:《個人信息保護法》推動個人信息處理迎來強監管時代
2017年6月1日起施行的最高人民法院、最高人民檢察院《關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(以下簡稱《「兩高」司法解釋》)是大陸首個對「個人信息」概念或定義予以明確的司法解釋。
《「兩高」司法解釋》第一條規定,刑法第二百五十三條之一規定的「公民個人信息」,是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息,包括姓名、身份證件號碼、通信通訊聯繫方式、住址、賬號密碼、財產狀況、行蹤軌跡等。
大陸2021年1月1日起施行的《民法典》,對於個人信息的保護,既繼承了《民法總則》的立法精神,同時,又做了相應的拓展和延伸。
《民法典》設立專門章節,將個人信息保護和隱私權納入其中。
按照《民法典》第一千零三十四條規定,個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息,包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。
應該說,《「兩高」司法解釋》對個人信息的界定方法、思路和做法,在《民法典》中得到了延續和確認。
而即將於2021年11月1日起施行的《個人信息保護法》,又對個人信息範圍做了微調,將「匿名化處理後的信息」剔除在個人信息範圍之外。
《個人信息保護法》第四條規定,個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息,不包括匿名化處理後的信息。
通過對比可以看到,與《「兩高」司法解釋》和《民法典》相比,《個人信息保護法》對個人信息範圍的界定採用了概括性表述,而非列舉式表述。
值得關注的是,《個人信息保護法》共八章、七十四條、全文共計9074字中,共計有222處涉及「處理」,僅有不足十個條款未直接提及「處理」二字。
因此,《個人信息保護法》與其說是「個人信息保護法」,不如說是「個人信息處理行為規範法」。
由此可見,伴隨《個人信息保護法》的出爐,意味著個人信息處理活動將迎來「強監管」時代,包括對個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除以及跨境流動等。
【本文僅反映專家作者意見,不代表本報立場。】
|
|
作者: |
李俊慧 |
現任: |
中國政法大學知識產權研究中心特約研究員 |
簡介: |
作者李俊慧先生為中國政法大學知識產權研究中心特約研究員,長期關注網際網路、智慧財產權,以及其相關監管政策和法律問題(大陸地區)。 |
|
|
|
Facebook |
|
在北美智權報粉絲團上追踪我們 |
|
|
|
|
|
|
|