除在概念上扩张个人信息的内涵外,《个人信息保护法》还在如下方面扩张了个人信息的范围:一方面,在列举敏感个人信息时扩张了个人信息的范围。关于敏感个人信息,《个人信息保护法》第28条与《民法典》第1034条相比,增加了宗教信仰、特定身份、金融账户等个人信息类型,并且明确了不满14周岁未成年人的个人信息均属于敏感个人信息。另一方面,依据《个人信息保护法》第73条的规定,去标识化信息“是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人”的信息;匿名化信息“是指个人信息经过处理无法识别特定自然人且不能复原的”信息。该法将匿名化信息排除在个人信息之外,但仍然将去标识化信息认定为个人信息。因此综合而言,《个人信息保护法》对个人信息的范围进行了扩张和更为全面的规定。
个人信息权利的自主决定权能够得到尊重与实现,很大程度上依赖于信息处理者对此种权利的尊重以及依法履行保护义务。因此,《个人信息保护法》第五章专章规定,个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。《个人信息保护法》还对大型和小型个人信息处理者进行了区分,细化落实了个人信息处理者的保护义务。具体来说:
第一,细化了信息处理者合法处理个人信息的义务,确保个人信息的处理活动符合法律、行政法规的规定。依据《民法典》第111条的规定,个人信息处理活动应当依法进行,信息处理者不得非法处理个人信息,但何为合法处理个人信息,何为非法处理个人信息,该条并没有作出明确规定。《个人信息保护法》第51条具体列举了个人信息处理中应当采取的六项举措,只有切实采取这些举措,才能保障个人信息处理活动的合法性。
敏感个人信息(SensitivePersonalInformation),在欧盟《一般数据保护条例》(GDPR)中被称为“特殊类型的个人数据”(SpecialCategoriesofPersonalData)。《日本个人信息保护法》第2条将敏感的个人信息称为“需注意的个人信息”,美国联邦《消费者数据隐私与安全法令》以及有关州称其为“敏感个人信息”或“敏感数据”。敏感个人信息由于直接关系到个人人格尊严和人身、财产安全等重大权益,因此需要特殊保护。我国《民法典》虽然规定了私密信息的保护规则,但并没有对敏感个人信息作出明确规定。我国《个人信息保护法》在借鉴比较法经验的基础上,立足中国实践,设立专章规定了敏感个人信息的处理规则,弥补了《民法典》个人信息保护规则的不足。《个人信息保护法》在敏感个人信息保护方面具有如下几个特点。
三是确立了损害赔偿责任。依据《个人信息保护法》第69条的规定,侵害个人信息的“损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额”。该条规定是对《民法典》第1182条的细化规定,因为从《民法典》第1182条规定来看,其仅适用于侵害人身权益的情形,其能否适用于个人信息保护,存在一定的争议。《个人信息保护法》第69条则进一步明确了其可以适用于侵害个人信息的情形。
可以预见,随着互联网与大数据的发展,《个人信息保护法》的时代意义将得到进一步彰显。科技产品与信息技术不断普及,企业、政府机关以及各类信息处理者收集与利用个人信息的需求将越来越大、途径将越来越多,范围将越来越广、处理将越来越快。在这个意义上,《个人信息保护法》将为个人信息处理活动提供更明确的法律依据,为个人维护其个人信息权益提供充分保障,为企业合规处理提供操作指引。
第一,确立了个人信息保护的基本原则。《个人信息保护法》在总则中集中规定了个人信息保护的基本原则,此种立法模式在比较法上较为少见。例如,《个人信息保护法》第5条规定的处理个人信息的诚信原则,确实是我国《个人信息保护法》的特色。
四是系统回应个人信息保护的国内与国际实践需求。随着全球大多数国家完成个人信息保护立法,我国个人信息保护法的缺位,将使得我国成为全球个人信息保护的洼地,并导致我国在参与国际数据规则制定时丧失话语权。在此背景下,我国企业与跨国企业在进行个人信息跨境传输时,将面临个人信息只能从中国传到有关国家,而很难从有关国家传回中国的窘困局面。我国《个人信息保护法》的制定,系统性地回应个人信息保护的国内与国际实践需求,有力提升了我国的个人信息保护水平。
五是引入公益诉讼制度。在我国,个人信息泄露等侵害个人信息的现象已经成为一种“公害”,其侵害的不仅是个人的信息权利,而且对海量个人信息的侵害也构成对社会公共秩序和公共利益的侵害。《个人信息保护法》第70条对侵害个人信息的公益诉讼制度作出了规定,在很大程度上解决了个人信息保护中个体维权积极性不高、维权难度大等难题。
《个人信息保护法》还需要处理好与《网络安全法》《数据安全法》的关系。在网络信息法治体系中,这三部法律具有基础性作用,构成了数字社会治理与数字经济发展的基本法。其中,《网络安全法》的宗旨是为了保障网络安全,维护网络空间主权和国家安全、各方合法权益,其重点是对网络运营者进行规范,因此在其中也对网络运营者收集与处理个人信息进行了若干规定。《数据安全法》的宗旨是为了规范数据处理活动,保障数据安全,维护国家主权、安全和发展利益,其重点是国家数据安全与数据跨境流通等问题。而《个人信息保护法》的宗旨是为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用。由此可见,三部法律是从不同角度与层面维护我国的网络信息法治。在适用《个人信息保护法》时,除了本法条文适用,在涉及网络运营者特别是网络关键信息基础设施时要注意和《网络安全法》进行衔接,在涉及数据跨境流通等问题时要注重和《数据安全法》进行衔接。