【法学前沿】论《个人信息保护法》的亮点、特色与适用（中）

　　（四）构建了敏感个人信息的严格保护规则

　　敏感个人信息（Sensitive Personal Information），在欧盟《一般数据保护条例》（GDPR）中被称为“特殊类型的个人数据”（Special Categories of Personal Data）。《日本个人信息保护法》第2条将敏感的个人信息称为“需注意的个人信息”，美国联邦《消费者数据隐私与安全法令》以及有关州称其为“敏感个人信息”或“敏感数据”。敏感个人信息由于直接关系到个人人格尊严和人身、财产安全等重大权益，因此需要特殊保护。我国《民法典》虽然规定了私密信息的保护规则，但并没有对敏感个人信息作出明确规定。我国《个人信息保护法》在借鉴比较法经验的基础上，立足中国实践，设立专章规定了敏感个人信息的处理规则，弥补了《民法典》个人信息保护规则的不足。《个人信息保护法》在敏感个人信息保护方面具有如下几个特点。

　　首先，明确列举了敏感个人信息的概念和具体类型。从比较法上来看，对敏感个人信息存在法律具体列举模式和综合考量模式。[35]《个人信息保护法》第28条对敏感个人信息的界定采“概括+列举”的立法例。一方面，其明确界定了敏感个人信息的概念为“一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息”。该概念为实践中出现的各种新型的敏感个人信息的认定提供了明确判断标准。另一方面，该条具体列举了敏感个人信息的类别，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。概括型定义的立法例具有足够的弹性和开放性，能够应对互联网时代更迭迅速、层出不穷的信息类型，列举型定义则保证了界定范围的可操作性，即除第28条所列举的类别之外，只要符合敏感个人信息的概括定义，亦应适用敏感个人信息的处理规则。

　　其次，强化了对未成年人个人信息的保护。从比较法上来看，《一般数据保护条例》虽然规定了需要特殊保护的特殊类型的信息，但没有将未成年人信息纳入此类信息。[36]美国有关未成年人个人信息的保护规定则集中于《儿童在线隐私保护法》（COPPA），并未采取特别严厉的个人信息保护规则。[37]我国《个人信息保护法》将不满14周岁的未成年人的个人信息均纳入敏感个人信息的范畴，将保护的对象由儿童扩张到了未满14周岁的未成年人，提供了更为全面的对未成年人群体的保护规则。同时，依据《个人信息保护法》第31条，个人信息处理者处理不满14周岁未成年人的个人信息应当取得其父母或者其他监护人的同意，并且应当制定专门的个人信息处理规则。

　　最后，构建了严格的敏感个人信息处理规则。对敏感个人信息的保护很大程度上不是采取特殊的法律责任的方式，而主要是在个人信息处理环节规定特殊的个人信息处理方式。在敏感个人信息处理过程中，对信息处理者的要求越严格，越有利于保护敏感个人信息。《个人信息保护法》建立了如下敏感个人信息保护特殊的处理规则：一是增加了更严格的处理前提。《个人信息保护法》第28条升级了处理个人信息的“必要”原则和保障个人信息安全的“必要措施”。如果处理个人信息仅仅是为了一般服务或产品功能必要，将无法满足处理个人敏感信息的必要前提。二是单独同意和依法取得书面同意。所有的敏感个人信息都应当采取单独同意的方式，而不能采取概括同意、授权捆绑等方式，或者强迫、变相强迫自然人同意处理其人脸信息。这种同意也应当是明示的同意，而不应当是默示的方式。例如，小区门禁对居民出入采用人脸识别的方式进行限制，必须取得个人的明示同意。三是规定了特殊的告知义务。依据《个人信息保护法》第30条，处理敏感个人信息不仅要履行基本的告知义务，而且还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响。例如，小区在收集个人的人脸识别信息时，应当明确告知收集该信息的用途、收集的必要性以及收集人脸信息可能对个人产生的不利影响。如果在进行告知后，个人拒绝的，则信息处理者不得收集此类敏感个人信息。只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。

　　（五）规范了国家机关的个人信息处理行为

　　在我国，政府机关在行政管理过程中也会大量收集个人的信息，如何有效规范政府机关处理个人信息的行为，也是个人信息保护制度的重要组成部分。实际上，个人信息作为一项人格权益，最初产生的目的之一，就是防止政府机关不当处理个人信息。[38]从比较法视角看，将公权力机关纳入信息隐私法规范范畴已成为共识和趋势。[39]在我国，政府机关收集个人信息，很大程度上也是为了国家治理和社会治理的需要。习近平总书记强调，“要运用大数据提升国家治理现代化水平”，[40]数字政府作为数字中国的有机组成部分，不仅是推动数字中国建设、实现经济高质量发展的重要支撑，更是推动政府治理现代化的重要动能。在此背景下，国家机关是个人信息最大的处理者和持有者，在工作中必然涉及对公民个人信息的处理活动。然而一些个人信息泄露事件也暴露出有些国家机关存在个人信息保护意识不强、处理流程不规范、安全保护措施不到位等问题，从而可能造成对个人信息的侵害。据此，《个人信息保护法》规定，国家机关处理个人信息的活动，适用本法，这意味着国家机关作为个人信息处理者也要遵守相关法律规定。国家机关遵循《个人信息保护法》开展个人信息处理活动，有助于在全社会起到示范效应，形成数字法治的良好氛围。

　　当然，国家机关处理个人信息是为了公共利益，区别于商业机构对于个人信息的收集和利用，因此《个人信息保护法》对国家机关处理个人信息制定了特别规定。[41]一是要求国家机关必须为履行法定职责处理个人信息。也就是说，只有出于履行法定职责的需要，国家机关才能处理个人信息，而且国家机关处理个人信息的行为不得超出法定职责的范围和限度；同时，国家机关在处理个人信息时，还应当依照法律、行政法规规定的权限、程序进行，否则可能构成非法处理个人信息的行为。二是依据《个人信息保护法》第35条规定，国家机关为履行法定职责处理个人信息，应当依照本法规定履行告知义务，该条就国家机关处理个人信息的一般规则区别于对一般处理者的“告知—同意”要求。由于国家机关是基于公共利益的目的处理公民个人信息，如果个人对相关信息具有同意权、决定权等权利，则将从根本上破坏公权力部门公共职能的行使。三是《个人信息保护法》第35条对告知义务还作了例外规定，免除保密情形和不需要告知的情形的义务，较好平衡了公民个人权利与国家行政权力之间的冲突。四是国家机关处理个人信息应当在国内储存。国家机关大规模收集的个人信息，不仅关系个人的信息权利保护，而且关系到国家安全，因此，《个人信息保护法》第36条对国家机关收集的个人信息的储存规则作出了特别规定。

　　需要指出的是，国家机关处理个人信息活动适用《个人信息保护法》，也应限于《个人信息保护法》规定的处理行为。如果国家机关对于个人的信息并不存在自动化或半自动化的处理行为，也不存在大规模的手动存档行为，则此类行为并不构成处理。[42]例如国家执法机关的工作人员在日常执法中进行的偶发性的查证、问询，但不对信息进行系统化存储与处理，则此类行为不受《个人信息保护法》调整，而只受《民法典》隐私权规则和其他法律的调整。[43]

　　（六）完善了个人信息的法律救济途径

　　“权利的存在和得到保护的程度，只有诉诸民法和刑法的一般规则才能得到保障。”[44]非法倒卖个人信息、非法泄露个人信息已经成为一种社会公害。在实践中，诸如大学生徐玉玉因个人信息泄露被诈骗而死亡案，对个人信息保护立法的加速起了重要作用。广受社会关注的“微信读书案”“抖音案”“人脸识别第一案”等，充分说明了全面保护个人信息的重要性。《个人信息保护法》为了强化对个人信息权利的保护，在《民法典》规定的基础上，新增了一些特殊的个人信息保护措施。

　　一是建立了多元化的救济机制。个人信息权益兼具人格利益和财产利益，并存个人利益和公共利益，[45]如何通过损害赔偿的方式来救济此种大规模且属性复杂的权益侵害，是传统民事司法救济、行政与刑事难以单独解决的问题。[46]《个人信息保护法》采取了行政责任、刑事责任和民事责任的结合，为受害人提供保护。同时，依据《个人信息保护法》第50条，个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制，在个人信息处理者拒绝个人行使权利的请求时，个人可以依法向人民法院提起诉讼。这也为个人信息权利的保护提供了新的救济途径。

　　二是确立了侵害个人信息的过错推定责任。过错推定也称过失推定，它是指行为人因过错侵害他人民事权益，依据法律的规定，推定行为人具有过错。如行为人不能证明自己没有过错的，应当承担侵权责任。根据《个人信息保护法》第69条的规定，“处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任”。《民法典》中的个人信息侵权也采取了过错推定原则。之所以采取此种归责原则，很大程度上是因为在实践中，受害人举证困难已经成为个人信息保护所面临的一大困境；同时，个人信息处理者距证据较近，且专业性较强，受害人举证的成本较高。因此，采用过错推定有利于减轻受害人的举证负担，强化信息处理者的举证义务，从而对受害人提供有效的救济。[47]

　　三是确立了损害赔偿责任。依据《个人信息保护法》第69条的规定，侵害个人信息的“损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定；个人因此受到的损失和个人信息处理者因此获得的利益难以确定的，根据实际情况确定赔偿数额”。该条规定是对《民法典》第1182条的细化规定，因为从《民法典》第1182条规定来看，其仅适用于侵害人身权益的情形，其能否适用于个人信息保护，存在一定的争议。《个人信息保护法》第69条则进一步明确了其可以适用于侵害个人信息的情形。

　　四是引入了侵害个人信息的公益诉讼制度。《个人信息保护法》还引入了公益诉讼制度，对个人信息侵权救济问题进行了重大创新。公益诉讼具有延伸性的制度张力，可以调动诸多手段，协同多个部门，通过具有更强纠纷解决能力的组织和机关介入，对个人信息的保护更具专业性、权威性和便利性，有助于克服实践中个人起诉存在的举证困难以及成本过高等问题。从制度安排上看，提起个人信息保护公益诉讼的诉权主体有人民检察院、法律规定的消费者组织和由国家网信部门确定的组织。[48]此前，最高人民检察院出台《关于积极稳妥拓展公益诉讼案件范围的指导意见》，已明确将个人信息保护纳入公益诉讼检察工作新领域。对于涉公民个人信息的案件，检察机关在决定是否提起公益诉讼时，需考虑公民个人信息被侵犯的程度以及对整个社会造成的影响等因素。在《个人信息保护法》通过后，最高人民检察院又下发了《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》，对个人信息公益诉讼的若干制度进行了进一步规定。公益诉讼制度的确立，有利于有效破解互联网个人信息侵害的治理难题，进一步提升我国个人信息的保护力度。

　　二、《个人信息保护法》的特色

　　（一）时代性

　　进入互联网、大数据时代，个人信息保护比以往任何时候都凸显其意义，保护个人信息也是保护人民群众在数字化时代所享有的合法权益。自1967年美国学者阿兰·威斯丁（Alan Westin）首次提出了个人信息的概念与个人对于自身信息控制的权利以来，[49]各国普遍重视个人信息保护。我国立法积极回应个人信息保护的重大时代问题，2012年，全国人大常委会审议通过了《全国人民代表大会常务委员会关于加强网络信息保护的决定》，开启了个人信息的法律保护之路。2016年《网络安全法》通过，规定网络运营者收集个人信息应当遵循合法、正当、必要的原则，而且应当获得个人的知情同意。[50]2020年通过的《民法典》人格权编对个人信息进行了较大篇幅和较为全面的规定，不仅在总则编第五章规定了个人信息保护的基本规则，还在人格权编中设置专章，明确规定了个人信息的保护规则。可见，我国的《个人信息保护法》是在总结我国立法和司法实践保护个人信息的基础上，积极回应了个人信息保护的现实需求。

　　《个人信息保护法》的时代性首先表现在，其形成与《民法典》个人信息保护规则有机结合。一方面，《民法典》确定了个人信息保护的基本框架、原则和理念、价值，界分了个人信息与隐私权等其他人格权的关系，进一步为个人信息保护法确立了最基础的规则。《民法典》所确立的保护人格尊严、保障民事权利等价值，也是解释《个人信息保护法》的基础。另一方面，从价值层面上看，《民法典》确认个人信息受保护本质上彰显的就是个人尊严。学者大多认为，侵害个人信息实际上都侵害了个人的自由，因而需要法律的保护。[51]通过保护个人信息不受信息数据处理等技术的侵害，就可以发挥保护个人人格尊严和人格自由的效果。[52]《个人信息保护法》第28条关于敏感个人信息的规定，就以人格尊严为基本标准。还应当看到，《民法典》确认私法自治，个人信息自决就是私法自治的具体体现，在民事权利体系中，其应当属于人格权的范畴。《民法典》是民事单行法解释的基础。在《个人信息保护法》的相关规定存在不明确、不清晰、不仔细的情形下，应当依据《民法典》进行解释。如果无特殊的正当理由，其应当尽可能与《民法典》保持一致。例如，《个人信息保护法》增加了“诚信”原则，但对于“诚信”的内涵，应当依据《民法典》第7条进行解释。再如，《个人信息保护法》第69条虽然规定了获利返还规则，但显然不如《民法典》第1182条全面，因此，应当根据《民法典》进行解释。习近平总书记强调，《民法典》彰显了时代性，[53]而《个人信息保护法》正是在与《民法典》的结合过程中充分彰显了其时代性。

　　《个人信息保护法》自身的制度和规则也体现了时代性。习近平总书记指出：“问题是时代的声音”。[54]《个人信息保护法》针对当今时代所提出的问题，在法律上作出了制度回应，为破解社会问题、强化个人信息保护提供了法律方案，也为解决世界各国普遍面临的个人信息保护问题提供了中国经验和中国方案。总体结构上，该法采用的是总分结构，第一章规定的总则，第二章至第七章是关于个人信息保护分则的规定。在制度设计上，该法从中国实际出发，积极借鉴域外的制度，回应了时代的需求。例如，规定数据携带权，确立安全评估制度，规定个人信息跨境提供的规则，规定有关信息处理的合法性规则，规定敏感个人信息的处理规则，规定国家机关处理个人信息的规则等，都具有鲜明的时代特征。尤其应当看到，《个人信息保护法》还对与个人信息相关的新兴问题进行了规定。例如关于人脸识别与人工智能技术，《个人信息保护法》第62条规定，国家网信部门统筹协调人脸识别、人工智能等新技术、新应用。再如，关于社会广泛关注的“大数据杀熟”“算法茧房”等问题，《个人信息保护法》第24条规定，利用个人信息进行自动化决策，不得对个人在交易价格等交易条件上实行不合理的差别待遇；通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。

　　可以预见，随着互联网与大数据的发展，《个人信息保护法》的时代意义将得到进一步彰显。科技产品与信息技术不断普及，企业、政府机关以及各类信息处理者收集与利用个人信息的需求将越来越大、途径将越来越多，范围将越来越广、处理将越来越快。在这个意义上，《个人信息保护法》将为个人信息处理活动提供更明确的法律依据，为个人维护其个人信息权益提供充分保障，为企业合规处理提供操作指引。

　　（二）本土性

　　从个人信息保护制度的起源与发展来看，“公平信息实践”制度对于各国的个人信息保护制度具有较大影响。这一制度一方面对个体进行赋权，赋予个体以查询复制权、纠正权、删除权、脱离自动化处理权、携带权等权利；另一方面对信息处理者施加责任，赋予信息处理者目的限制、信息最小化、限期储存、信息安全、信息质量等义务。[55]经过几十年的发展，“公平信息实践”制度经过演进与发展，如今已经比较成熟。我国的《个人信息保护法》也采用了这种制度设计，与全球通行的个人信息保护制度具有相似性。但在基本框架之外，我国的《个人信息保护法》立足于中国实践，许多规则彰显了中国元素，体现了中国特色，具体可以从如下几个方面来观察。

　　第一，确立了个人信息保护的基本原则。《个人信息保护法》在总则中集中规定了个人信息保护的基本原则，此种立法模式在比较法上较为少见。例如，《个人信息保护法》第5条规定的处理个人信息的诚信原则，确实是我国《个人信息保护法》的特色。

　　第二，关于个人信息和敏感个人信息的概念表述，都采取了“概括+具体列举”的模式，且通过附则的规定对其作出了更为具体的阐述。我国《个人信息保护法》中的敏感信息既包括“生物识别、宗教信仰、特定身份”等身份性信息，也包括“医疗健康、金融账户、行踪轨迹”“不满十四周岁未成年人的个人信息”，这一规定从实际风险出发，以威胁人格尊严和危害个人人身、财产安全作为界定敏感信息的范围。[56]同时，这一规定最终没有明确将“民族、种族”纳入敏感信息范畴，因为在中国，大多数情况下“民族、种族”都被认为是公开信息，并不会导致重大风险。

　　第三，通过敏感个人信息的处理规则保护未成年人的个人信息。从比较法上看，国外关于个人信息保护最显著的立法成果——欧盟《一般数据保护条例》虽然规定了需要特殊保护的信息类型，但没有将未成年人信息作为特殊类型对待。美国《弗吉尼亚州消费者数据保护法令》（Virginia Consumer Data Protection Act，VCDPA）规定，从“已知儿童”处收集的数据属于敏感数据。[57]我国在借鉴他国立法经验的基础上，将保护的对象由儿童扩张到了未满14周岁的未成年人，使得对未成年人的保护规定更加具体、明确。并且，为了与《民法典》保持一致，《个人信息保护法》第31条规定：“个人信息处理者处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意。个人信息处理者处理不满十四周岁未成年人个人信息的，应当制定专门的个人信息处理规则。”

　　第四，构建了中国特色的综合法律保护机制。首先，《个人信息保护法》确立了“国家网信部门”作为负责统筹协调个人信息保护工作和相关监督管理工作的机关。“国家网信部门”和“县级以上地方人民政府有关部门”履行“开展个人信息保护宣传教育，指导、监督”“接受、处理与个人信息保护有关的投诉、举报”“组织对应用程序等个人信息保护情况进行测评”“调查、处理违法个人信息处理活动”等工作。与欧盟相比，我国并未确立完全独立的个人信息监管机关。作为个人信息保护标准较为严格的地区，欧盟在《一般数据保护条例》中明确要求各成员国成立独立监管机构，并在欧盟层面成立数据保护委员会。我国由于多种原因并未进行此类机构设置。

　　第五，《个人信息保护法》确立了个人信息权利的司法保护机制。从比较法上看，不同国家采取了不同的法律保护方式。例如欧盟要求个人在一般情况下先向监管机构提起申诉，但赋予个人向法院提起诉讼的最终救济机制。美国则采取了准司法的民事救济制度，利用美国联邦贸易委员会（FTC）对消费者个人信息进行“普通法”保护，[58]但对于个人信息权利的直接可诉性则较为谨慎。[59]美国法院在若干案件中认定，个人信息保护中的一般违规行为不存在“具体伤害（concrete harm）”，且原告在此类案件中往往缺乏诉权。[60]美国加州则允许用户在数据泄露的情形下提起诉讼，以及加州总检察长在企业违规且30天后不改正的情形下以加州人民的名义提起民事诉讼。[61]我国《个人信息保护法》第50条规定：“个人信息处理者拒绝个人行使权利的请求的，个人可以依法向人民法院提起诉讼”。该法实际上采取由权利人自行选择救济机制的方式，即其既可以选择采取行政救济方式，也可以采取司法救济方式，这也是我国《个人信息保护法》独具特色之处。

　　第六，明确规定了侵害个人信息的损害赔偿规则。在传统民法中，长期以来关于个人信息保护的损害赔偿责任一直是个争议比较大的问题。个人信息就损害赔偿而言既有财产属性又有人格属性，对个人信息的侵害大多数实施的是一个大规模的侵权，其损害具有范围广、程度深的特点，尤其在侵害个人信息的情况下，有可能构成大规模侵权。但对单个的受害人来说，损害又可能是轻微的。所以，它会形成一种集合性的、针对众多人的大规模损害。瓦格纳将此种行为称为“大规模的微型侵害”。[62]对于此种损害，由于其侵害的轻微性，单个的受害人往往势单力薄，也不愿意要求加害人承担责任。对此，需要由国家公权力机关作为公共利益的代理人去追究侵害人的责任，保护公共利益。所以如何通过损害赔偿的方式来救济的确是一个在法律上没有解决的重大难题。

　　来源：《法学家》2021年第6期