论我国个人信息保护法中的个人信息处理规则.docx

《论我国个人信息保护法中的个人信息处理规则.docx》由会员分享，可在线阅读，更多相关《论我国个人信息保护法中的个人信息处理规则.docx（12页珍藏版）》请在第一文库网上搜索。

1、论我国个人信息保护法中的个人信息处瞰则一、引言个人信息保护法是个人信息保护领域的基本法律，以规范个人信息处理活动为核心，旨在实现个人信息权益保护 与个人信息合理利用之间的协调。个人信息上承载多种利益，不仅有自然人的人格尊严、隐私权及个人信息权益等民事 权益，也有企业、国家机关等主体合理利用个人信息的利益，还涉及言论自由、公共安全、国家安全等。（1）参见高富平： 个人信息保护：从个人控制到社会控制，载法学研究2018年3期，第84页以下；程啸：论我国民法典中个 人信息权益的性质，熨政治与法律2020年第8期，第2页以下；丁晓东：个人信息权利的反思与宣塑一论 个人信息保护的适用前提与法益基础，载中

2、外法学2020年第2期，第339页以下。个人信息处理规则的主要功 能在于科学合理地协调这些利建。故此，个人信息保护法需要对个人信息处理规则作出详细规定。2018年5月25日起 施行的欧盟一段数据保护条例（GDPR）专设第二章原则二对与个人数据处理相关的原则、处理的合法性、同意的要 件、特殊类型的个人数据处理、无需识别个人数据的处理等作出了详细的规定（第511条）。此种立法模式对不少国家 的个人信息保护立法产生了重要的影响。（2）参见张继红、姚约茜主编：“一带一路”沿线国家数据保护与网络安全法律 指南，知识产权出版社2021年版，第1页以下。我国也采纳了该立法模式。十三届全国人大常委会第二十二次

3、会议 审议的我国个人信息保护法草案（以下简称草案（一审稿）的第二章即“个人信息处理规则”，该章共分“一般规定”“敏 感个人信息的处理规则”以及国家机关处理个人信息的特别规定等三节，采用了 25个条文对个人信息处理规则作出了 详尽的规定.2021年4月29日第十三届全国人大常委会第二十八次会议审议的个人信息保护法草案（二次审议稿）（以 下简称草案（二审稿）第二章与一审稿基本相同，条文数量也是25条。我国个人信息保护法应如何构速科学合理的个人信息处理规则，值得研究，其中，需要重点思考的问题有以 下三个：首先，个人信息处理的涵义，即我国个人信息保护法调整的个人信息处理活动的范围问题。其次，个人信 息

4、处理行为的合法性基础是什么？告知同意规则在确定个人信息处理规则中处于何种地位？不适用告知同意规则的合 法处理个人信息的情形有哪些？再次，个人信息保护法中的敏感信息与民法典中的私密信息是什么关系？如何 针对敏感信息的处理作出有针对性的规定？二、个人信息处理的涵义与个人信息保护法的调整范 围（一）我国民法典中的个人信息处理“个人信息於理（PrOCeSSing of personal information）”也称个人数据处理，该词来源于欧盟指令和相关立法。1995 年10月24日欧洲议会以及欧盟理事会关于对于个人数据处理有关的个人进行保护以及数据自由流动的指令（95/46号 指令）（DPD）笫2条

5、第2款规定：“个人数据处理（简称处理），是指不管是否以自动方式对个人数据进行的任何操作，如 收集、录制、组织、存储、改变或修改、检索、查同、使用、通过传送使数据公开、传播或者使数据可被他人获取、# 列或组合、冻结、删除或销毁。”欧盟一般数据保护条例（GDPR）总体上延续了这一规定，其第4条第2款规定：处 理是指针对个人数据或个人数据集合的任何一个或一系列操作，如收集、记录、组织、建构、存储、调整、修改、检索、 咨询、使用、披露、传播或其他方式利用、排列或组合、限制、删除或销毁，无论该等操作是否采用自动化方式。不少 国家的个人信息保护法或个人数据保护法梆接受了“个人信息依理.这一概念，如日本个人

6、信息保护法菲律宾数据 隐私法南非个人信息保护法韩国个人信息保护法等。民法典之前我国的法律均未采取个人信息处理的概念。2012年全国人民代表大会常务委员会关于加强网 络信息保护的决定采用的是“收集、使用”公民个人电子信息的表述，此后的网络安全法电子商务法也都延续 了这L概念。在我国编纂民法典的过程中，就如何表述与个人信息相关的各种活动经历了一个变化的过程。2018年9 月的民法典各分编（草案）与2019年4月的民法典人格权编（草案）（二次审议稿”采取的仍是1收集、使用”个人信 息的表述。2019年8月的民法典人格权编（草案）（三次审议稿”首次使用了“处理”一词，但将其与“收集”并列，该草案 第8

7、14条第2款将“个人信息的处理”界定为包括个人信息的使用、加工、传输、提供、公开等（3）石冠彩主编：中 华人民共和国民法典立法演进与新旧法对照，法律出版社2020年版，第387页。正式颁布的民法典使用“个人信 息的处理”统称围绕着个人信息展开的各种行为、活动。民法典第1035条第2款规定：“个人信息的处理包括个人 信息的收集、存储、使用、加工、传输、提供、公开等。”这一规定的理由在于：一方面，个人信息处理的内涵极为丰富， 种类众多，收集也属于处理的一种方式，无须单列；另一方面，统一采取个人信息处理的表述很方便，也与国际上通行 的做法基本保持一致。（4）黄筱主编：中华人民共和国民法典人格权编解读

8、，中国法制出版社2020年版，第218-219 页。草案（一审稿）第4条第2款规定：“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公 开等活动。”草案（二审稿）删除了活动”一词，从而与民法典第1035条第2款完全一致。个人信息保护法是个人信息保护领域最重要的法律，但该法也不可能解决所有的个人信息保护问题，更不可 能取代民法典等法律中已有的个人信息保护的规则或制度（如姓名权、肖像权、隐私权等人格权），而应当各有侧重， 合理分工，共同实现个人信息权益保护与个人信息合理利用的协调。因此，需要研究的问题是：在民法典已经界定 个人信息处理的前提下，我国的个人信息保护法是与民法典保持L

9、致即可，还是有必要对个人信息处理的涵义 作出独特的规定？如果是后者，该独特性如何体现？笔者认为，要解决这一问题，首先应当清楚个人信息保护法对个人 信息处理行为予以规范的必要性，才能据此确定个人信息保护法规范的个人信息处理的涵义。（二）通过个人信息保护法规范个人信息处理的必要性在进入网络信息时代之前，自然人的姓名、身份证号码、电话号码、家庭住址、肖像、声音、指纹、财产信息、 病历资料等个人信息就巳存在，并被政府、企业等主体所处理。民法、刑法等法律巳经对自然人的这些个人信息给予相 应的保护。例如，通过姓名权、M像权、隐私权等耒保护自然人的姓名、肖像和隐私等个人信息不被他人非法使用、公 开或以其他方

10、式加以侵害。但是，在进入网络信息时代之后，基于以下原因，有必要通过个人信息保护法来对个人信息 处理予以规范：1 .个人信息类型和范围的发展变化。现代网络信息社会之前，个人信息的类型相对较少且产生渠道有限。但是， 随着网络信息等科学技术的高速发展，个人信息的范围越来越广，种类也越来越多。一方面，现代科技的发展产生了以 往没有的新类型的个人信息，如电子邮箱、通信记录、网络交易信息、上网浏览痕迹、网络社交媒体留言、行踪轨迹、 脸部特征信息等。此前，这些信息要么根本不存在，要么无法被收集和存储，现在，这些个人信息每天大量的产生并且 很容易地被各种智能设备加以收集和保存。另一方面，除了传统的能够直接识别

11、特定自然人的信息（如姓名、身份证号码、 家庭地址、电话号码等）之外，现代信息社会中还出现了大量本身不足以识别特定的自然人但与其他信息结合后就能识别 出特定自然人的信息，如爱好、习惯、兴趣、性别、年龄、职业等。在这种情况下，仅仅依靠民法的陛私权、肖像权、 姓名权等人格权制度，既难以充分保护自然人的人格尊严与人格自由，也无法预防由于个人信息的处理而产生的对自然 人人身财产权益的危险。故此，迫切需要基于现代网络信息科技的特点而由个人信息保护法对个人信息处理进行全面的 规范。2 .个人信息处理行为的发展变化。进入网络信息社会前，个人信息的处理方法较为简单，主要表现为收集的手段 单一，分析与传播的能力较

12、弱。这种情形下，人格权及侵权法规范可以满足个人信息保护的需要。例如，未经同意公开 或披露自然人的私密信息（如性取向、病历资料等）的,构成对隐私权或名誉权的侵害；未经许可将他人的姓名、肖像等 用于商业目的，属于侵害姓名权、肖像权的侵权行为。但是，随着科技尤其是大数据与人工智能的发展，个人信息的处 理方式发生了巨大的变化。一方面，个人信息处理行为的类型越来越多，现代网络信息技术已将现代社会生活高度数字 化，COOkie技术和各种传感舞可以自动地收集与存储个人信息。个人信息被大规模、自动化地收集和存储变得越来越普 遍，几乎无处不在、无时不在。另一方面，对个人信息的使用具有人们难以想象的无限可能性，只

13、要新技术不断发展， 就会产生各种前所未有的使用方法，这也导致了处理者不仅不愿意删除已经收集并存储的个人信息，（5）删除这些个人信 息的成本远远大于收集、存储的成本。参见美迈克尔费蒂克、戴维C.汤普森：信誉经济：大数据时代的个人信息价 值与商业变革，王臻译，中信出版臬团2016年版，笫35页。还渴求获取更多的个人信息。大数据与人工智能技术的 发展使得对海量数据的分析与使用变得非常简单，个人信息被滥用的可能性极大地增加。例如，各种网络平台通过分析 和利用海量的个人信息，对目标群体做人格画像，实施精准营销，甚至行为操纵，严重危害自然人的人格尊严，妨害人 格的自由发展。3 .个人信息处理主体日渐复杂。

14、现代网络信息社会中的信息处理主体越来越复杂,个人信息处理活动也不限于单 纯的作为平等主体的自然人、法人和非法人组织之间。由于个人信息的处理无论对企业的经营活动还是政府的管理行为， 都具有越来越重要的作用。因此处理个人信息的主体日渐增多，它们都具有处理个人信息的强烈渴求。虽然信息代理者 与作为信息主体的自然人的法律地位是平等的，但双方在信息、技术、经济等方面的地位实际上完全不对等。面对强大 的网络企业和国家机关实施个人信息处理行为时，个人难以依敕意思自治以及侵权责任的规则来维护自己的权益。例如， 民法中的人格权制度虽然发展出了停止侵害、排除妨碍、消除危险等人格权请求权，但行使这些请求权是以人格权

15、主体 能够及时发现侵害人格权的行为为前提的。现代网络信息社会中，收集、使用个人信息的处理行为日益普遍，成为生产 生活的重要组成部分，不可或缺。个人信息被谁结理及被如何於理，难以为信息主体所知悉或真正了解。从效率上说， 势单力薄的个人对大量收集、存储和利用个人信息的大公司或政府机关以起诉的方式来保护个人信息，也很不现实。无 论是人格权请求权还是侵权损害赔偿请求权，均难以满足全方面保护个人信息权益的需要。有必要通过专门的个人信息 保护立法，对个人信息处理行为进行全方位的规范，以做到未雨绸缪，防患于未然。事实上，从个人信息保护法的发展 源流来看，个人信息保护法制定之初，其主要立法宗旨就是要解决计算机

16、处理个人信息所带来的巨大风险问题，发理好 技术进步与个人权利保护之问的关系。（6）Otto Mallmann1 Computer and Civil Liberties: The Situation in the Federal Republic of Germany, in United States Senate Committee on Government Operations, Privacy and Protection of Personal Information in Europe, United States Government Printing Office, 1975, pp.90-91.转弓I 自王苑：个人信息 保护在民法中的表达一兼论民法与个人信息保护法之关系，载华东政法大学学报20