【副标题】兼论《中华人民共和国个人信息保护法》第58条
【作者】李爱君(中国政法大学教授,博士生导师)
内容提要:随着数字经济的发展,个人信息安全事件的发生,各国均将类似“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者(以下简称“重要个人信息处理者”)的特别监管作为研究重点和立法内容。互联网平台是数字经济的新业态,个人信息所形成的数据是新业态的重要生产要素。无论是互联网所形成的新业态,还是个人信息处理的实践,都充分证明了对一般个人信息处理者的监管已经无法适应重要个人信息处理者带来的个人信息安全风险的防范。本文针对个人信息处理的实践问题,分析典型国家、地区和我国有关重要个人信息处理者的监管研究,提出我国重要个人信息处理者的特别监管的完善路径,进而实现个人信息安全风险防范,有效维护国家安全、公共利益和个人信息主体权益。
关键词:个人信息;个人信息保护;个人信息安全;重要个人信息处理者;特别监管
目次一、重要个人信息处理者的认定条件和认定程序二、重要个人信息处理者个人信息安全的特殊风险三、重要个人信息处理者特别监管设计
《个人信息保护法》第58条对“个人信息处理者”的限定条件存在的问题。首先,“重要互联网平台服务”“用户数量巨大”和“业务类型复杂”三个要素中的“重要”“用户数量巨大”“复杂”等用语都没有明确界定标准。其次“互联网平台”在我国的法律层面没有定义,《个人信息保护法》中也没有对其定义,因此其主体性质和范围仍具有不确定性。再次,《个人信息保护法》第58条“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”中的界定三要素是界定“重要个人信息处理者”的充分条件,还是必要条件缺乏明确的规定。最后,《个人信息保护法》中缺乏对第58条“重要个人信息处理者”主体界定的认定程序。
一
重要个人信息处理者的认定条件和认定程序
“重要个人信息处理者”是对《个人信息保护法》第58条中的“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”进行本质分析而抽象出的此类主体的概括总称。重要个人信息处理者在个人信息安全方面具有特殊的风险,其主体的认定条件决定着个人信息权益保护和个人信息安全的实现,决定着对其进行的特别监管的公平与正义。
(一)重要个人信息处理者的认定原则
(二)“重要信息处理者”的认定条件
1.“互联网平台”的界定
2.“重要”的界定
3.“用户数量巨大”的界定
4.“业务类型复杂”的界定
重要个人信息者“业务类型复杂”比较难以界定。从法律规定和客观实践的角度考察,业务类型复杂的认定可从互联网平台业务类型多、交易量大、法律关系复杂化、平台经营者集团化和个人信息处理透明度几个维度进行判断。其中,法律关系复杂即“平台是双边或多边主体交互的载体,平台承载着多主体的多种法律关系,形成平台与平台内经营者的纵向关系、平台内经营者之间的横向关系及其与平台参与主体之间的关系。
5.三要素是充分条件亦或必要条件
除了对于各要素的界定,还需明确“重要互联网平台服务”“用户数量巨大”“业务类型复杂”三要素分别是“重要个人信息处理者”认定的充分条件,还是必要条件。三要素分别是充分条件还是必要条件涉及到《个人信息保护法》调整对象的范围和认定的难易程度。若三要素分别作为重要个人信息处理者认定的充分条件,则重要个人信息处理者只要具备三要素之一,就可以被界定为是重要个人信息处理者;若三要素分别是重要个人信息处理者认定的必要条件,则重要个人信息处理者需同时具备“重要互联网平台服务”“用户数量巨大”“业务类型复杂”三个要素,才能被认定为重要个人信息处理者。从《个人信息保护法》保护和促进开发利用的立法目标来看,三要素是重要个人信息处理者认定的必要条件。同时,由于认定“业务类型复杂”的标准缺失,使得该要素的确定性低和可操作性差,进而导致执法成本高和执法标准不统一,三要素中“重要互联网平台服务”和“用户数量巨大”应作为实质判断要件,“业务类型复杂”作为形式判断要件。
(三)“重要信息处理者”的认定程序
二
重要个人信息处理者个人信息安全的特殊风险
(一)社会风险
社会风险是一种导致社会冲突,危及社会稳定和社会秩序的可能性,更直接地说,社会风险意味着爆发社会危机的可能性。一旦这种可能性变成了现实,社会风险就转变成了社会危机,对社会稳定和社会秩序都会造成灾难性的影响。随着现代社会的演进,社会风险有了更多的涵义,现代一般意义上的社会风险意指在一定条件下某种自然现象、生理现象或社会现象是否发生、及对人类社会财富和生命安全是否造成损失和损失程度的客观不确定性。个人信息处理活动具有社会风险,因为它是一种社会现象,且对其处理会带来对人类社会财富和生命安全是否造成损失和损失程度的客观不确定性。
其次,重要个人信息处理活动对人类社会财富和生命安全可能造成损失和客观不确定性。重要个人信息处理活动的实践已充分证明,违反《个人信息保护法》第10条会对人类社会财富和生命安全造成损失和客观不确定性,如在各类支付工具以及各类电子锁设备纷纷开始发展人脸识别的背景下,相较于一般的个人信息与隐私信息,人脸信息与个人的金融安全及人身安全往往更紧密牵连。人脸信息的泄露既有可能导致个人金融账户被盗用而造成财产损失,也可能导致各类人脸识别锁被轻易破解,从而危及人身安全。最为典型的个人信息泄露案件“徐玉玉被电信诈骗案”中,信息泄露不仅带来了财产损失,还让一个刚被大学录取的18岁年轻人失去了生命。因此,个人信息的泄露和违法使用存在重大安全隐患,对人身和财产安全均具有一定威胁,会对人类社会财富和生命安全造成损失和客观不确定性。
(二)重要个人信息处理者缺乏个人信息处理透明度的风险
重要个人信息处理者对个人信息处理的透明度的缺乏会导致被处理的个人信息主体丧失知情权,增加个人信息安全管理者和监管者预判和通过监管防范其违法违规行为造成的个人信息安全风险的难度。同时,重要个人信息处理者可能利用个人信息处理的透明度缺乏来掩盖个人信息处理的风险,导致个人信息处理风险隐患的隐蔽性加剧,造成系统性风险。重要个人信息处理者产生缺乏个人信息处理透明度风险的原因主要有:第一,重要个人信息处理者业务类型多、法律关系复杂和平台经营者集团化,其信息处理主体难以确定、个人信息处理的用途是否改变难以观察、处理行为关系不明晰,进而导致了透明度的缺乏;第二,处理技术、传输路径的复杂带来了透明度的缺乏;第三,重要个人信息数据处理者往往存在业务结构多层级、多链条,金字塔控股结构以及复杂的交叉持股等情况,导致其个人信息数据流通路径具有隐蔽性。
(三)重要个人信息处理者“权力”滥用的风险
重要个人信息处理者“权力”滥用的风险会造成公平缺失、竞争性降低和为了维护自身利益限制个人信息合法利用等风险。重要个人信息处理者“权力”的获得,主要是通过利用互联网平台基础设施的优势地位。互联网平台通过提供技术、设施和服务,形成了数字经济的基础设施。个人信息数据只能依托于平台的数字经济基础设施进行,无经济实力和技术能力的企业只能以接入平台的方式获得平台的数字经济基础设施服务并对数据进行处理。互联网平台的优势地位即由此获得。
重要个人信息处理者“权力”的获得,不仅赋予了其对整个互联网平台生态系统的控制权,且进一步扩大和巩固了其在多边市场上的优势地位。由此,重要个人信息处理者围绕其核心业务建立扩张性数据驱动型生态系统,最终导致公平性、竞争性降低和对个人信息合法利用的限制。
三
重要个人信息处理者特别监管设计
(一)建立双层个人信息安全治理结构
重要个人信息处理者是重要的互联网平台服务经营者,为互联网平台内的经营者和用户提供基础设施和技术服务。个人信息处理活动中,个人信息处理者包括重要个人信息处理者自身和互联网平台内的经营者,因此重要个人信息处理者的个人信息安全治理结构应进行双层设计。第一层是重要个人信息处理者本身的个人信息安全治理结构,第二层是重要个人信息处理者对平台内商家的个人信息安全治理结构。
《个人信息保护法》第58条的规定本身即体现了对重要个人信息处理者双层个人信息安全治理结构的构建。但《个人信息保护法》第58条对重要个人信息处理者特别监管的双层设计还存在不足,应进一步根据重要个人信息处理者的特殊个人信息安全风险进一步完善。
(二)明确重要个人信息处理机构“权力”与国家对个人信息处理机构的监管权力的边界
(三)重要个人信息处理机构公司治理结构特别设计
(四)信息披露制度设计
-向上滑动,查看完整目录-
《中国政法大学学报》2023年第4期要目
【研究阐释党的二十大精神】
1.新时代对中国特色社会主义理论体系的理论认同研究
王静修(5)
【法治文化】
2.《唐律》之赓续与新生:蒙元“旧例”考
谭天枢(20)
【热点聚焦|数字、数据与信息保护专题】
3.数字经济时代的数据要素流通
——以产权“结构性分置”为视角的分析
郭雳、尚博文(42)
4.重要个人信息处理者的特别监管
——兼论《中华人民共和国个人信息保护法》第58条
李爱君(56)
5.数字经济治理体系中企业衍生数据法律保护研究
——以北京市为例
唐建国(68)
6.私密信息的范围界定与法律保护的完善
张革新(84)
7.元宇宙信息治理面临的新挑战及其法律应对
包晓丽(97)
8.侵犯公民个人信息罪中“公民个人信息”可识别性的意蕴重释