文│ 中国信息通信研究院互联网法律研究中心副主任 方禹
日本于2017年施行了新版《个人信息保护法》,其中一些理念不失为热议良久的个人信息保护法律制度的新探索。本文针对个人信息保护法律制度的几个关键问题,思考了该法中的有益经验,以期为更合理的个人信息保护立法提供参考。
日本《个人信息保护法》(2017)的背景
日本第一部《个人信息保护法》于2005年4月1日起施行。随着互联网技术的不断发展,2015年进行了大幅修正,2017年5月30日,2015年日本《个人信息保护法》(Personal Information Protection Act ,“PIPA”)(修订稿)全面实施。该法比较符合成文法国家的常见体例,从总则、有关机构职责、个人信息保护的规则、个人信息处理业者的义务、个人信息保护委员会、附则、罚则等七个方面规定了七章的内容。修改后日本的个人信息保护规则发生了很大变化变化,特别是在跨境流动方面增加了一些内容,想必也是为欧盟与日本间就个人信息跨境的充分性认定所做的准备。
2019年1月24日,欧盟委员会通过对日本的充分性认定,创建了目前世界上最大的数据流动安全区域。从日本《个人信息保护法》(2017)的文本来看,或多或少体现了关注产业发展的思路,其第一条立法目的就指出:“在高度信息通信社会的深化所带来的对个人信息的利用显著扩大的背景下,通过对个人信息之正当处理的基本理念、由政府制定基本方针及采取其他保护个人信息的措施等基本事项做出规定,明确国家和地方公共团体的职责等,并对个人信息处理业者应遵守的义务等做出规定,从而重视个人信息的正当且有效利用在促进新兴产业的创造、实现充满活力的经济社会和富足的国民生活上的作用以及其他个人信息的作用,保护个人的权利或利益。”这与GDPR在前言中所倡导的理念十分相似,提出有必要在打造高水平个人信息保护环境的同时,进一步促进个人信息跨境自由流动。我们在关注国外个人信息保护立法中用户权利、新型规则等的同时,也同样应该注意到立法者的深意以及隐藏在法律文本背后的考量。法律是将成熟的社会关系上升为强制性的国家意志,个人信息保护是一个产业利益和用户权利之间的博弈,立法是调整两者之间,乃至更多主体之间的社会关系,而非仅仅关注某一主体的权利或者义务,这才是立法成熟度的衡量指标。
关于“个人信息”的范围
2005年日本《个人信息保护法》中对“个人信息”的定义是“与生存着的个人有关的信息中因包含有姓名、出生年月以及其他内容而可以识别出特定个人的部分(包含可以较容易地与其他信息向比照并可以借此识别出特定个人的信息)”,2017版中规定为能够识别特定个人或者含有个人识别符号的信息。这符合多数国家的思路,采用了“识别说”来界定个人信息,以是否能够识别特定自然人来作为判断标准。“识别说”具有理论合理性,但是实践场景十分复杂,任何一种类型的信息都可以与姓名、身份证号等信息组合而识别出特定个人。当我们设计一种比较严苛的法律规则时,就不宜将调整对象设置过宽。遗憾的是,大多数国家都没有很好地解决这一问题。我们看到国外的个人信息保护法“史上最严”以及比最严还严的情形,但是这些立法中对“个人信息”的调整范围往往较宽,这使得产业界陷入了困境,如何实现合规同时保证产业健康,成为争执不下的话题。
日本《个人信息保护法》(2017)中做了一些有意思的规定,或可作为解决上述问题的一种探索,其中对“个人信息”和“个人数据”进行了区分处理,同时引入了“个人信息数据库”的概念,是指含有个人信息的信息集合物,包括为了能够用电子计算机检索而将特定的个人信息有体系地构建而成的信息集合物,以及由政令规定的、为了能够容易检索而将特定的个人信息有体系地构建而成的信息集合物。“个人数据”就是指构成个人数据库的个人信息。
继而,日本《个人信息保护法》(2017)第四章中对个人信息处理业务者所设定的义务多限定为“个人数据”,包括删除、安全管理措施、内部要求、委托、共享、披露等,都以“个人数据”为对象。从“个人信息数据库”的概念来看,强调的是以检索为目的,对个人信息进行的集合。理论上反推之,不具有检索能力的个人信息集合,就不属于规范对象。此外,专门规范“个人信息”的规则主要聚焦于收集、使用环节。循此逻辑,日本对个人信息的保护就分为两条路径,用户同意的规则适用于所有个人信息处理业者,这也是比较容易做到的规则。其他个人信息保护的规则以符合“个人数据”为前提,而非适用于所有的个人信息处理业者。这与GDPR中雇员250人的划线比较类似,并且似乎更为科学。对于个人信息保护,关键在于避免身份可识别。个人信息保护本身也是信息时代发展的新型问题,正是基于信息的可检索性、检索便捷性导致了个人信息滥用等不合理现象。对于非可检索的个人信息系统,其潜在风险类似于前互联网时代,产生问题的可能性大大降低。这一思路,十分典型地体现了产业发展和用户保护之间的平衡。
关于“知情同意”
一般认为,“知情同意”是个人信息保护的核心制度之一,从用户权利的角度出发,取得用户的授权同意是开展个人信息所有活动的正当性基础。我们可以看到国外很多个人信息保护立法中都有收集、使用用户个人信息需要事先取得用户同意的要求。但是,与其他很多国家和地区的个人信息保护法律制度有所不同,日本《个人信息保护法》(2017)没有强化事先的“知情同意”规则,只有对于“需注意的个人信息”(指含有政令规定的、为避免发生针对本人的人种、信条、社会身份、病历、犯罪经历、因犯罪而被害的事实及其他方面的不当歧视、偏见以及其他不利益而需要在处理上予以特别注意的记述等之个人信息),规定了必须事先取得用户同意。而对于一般个人信息,则以限制滥用为原则。其中第十五条规定“个人信息处理业者在处理个人信息时,应当尽可能地将利用该个人信息的目的特定”,第十六条规定“个人信息处理业者不得未事先取得本人的同意,而超出达到依照前一条的规定所特定的利用目的所必要的范围,处理个人信息”,第十七条规定“个人信息处理业者不得以虚假及其他不正当手段获取个人信息”,第十八条规定“个人信息处理业者取得个人信息后,除已事先公布其利用目的的情形外,应当迅速将该个人信息的利用目的通知本人或者予以公布。”实际上,“知情同意”原则并非个人信息保护法律制度所特有,获取同意是很多调整民事法律关系的制度基础。美国在治理垃圾邮件的过程中,也以用户同意接受为基础,但是有两种思路,一种是“opt-in”,只有用户同意了,才能向其发送广告邮件;另一种是“opt-out”,默认可以给用户发送广告邮件,但是如果用户拒绝,就不得继续向其发送广告邮件。日本《个人信息保护法》(2017)实际上采用了类似“opt-out”的规则,一定程度上方便了个人信息处理业者收集、使用用户个人信息的行为。其意义是默认了收集、使用个人信息的正当性,适应了“高度信息通信社会”的特点——收集、使用个人信息是一项日常的、普遍的情况。
“opt-in”和“opt-out”两种模式分别体现了“用户优先”和“产业优先”两种思路的取舍,前者更注重用户权利的保障,后者更有利于产业发展的需要。产业成熟需要经历一定的发展期,在每个阶段都最大程度保护用户权利,是一个难以实现的命题。然而,过度保护产业利益,必然对用户权利造成减损。因此,在不同的发展阶段,制度设计应当有所侧重。不过,权利保护关系广大用户(很多场景下属于消费者)切身利益,如果不对其多做保护,往往容易引起较大争议。比如日本《个人信息保护法》(2017)所设计的“opt-out”模式,就是一种默认同意的机制,在国内已经出现过类似的案例。2018年1月份的支付宝“年度账单”事件就是例证。支付宝采用默认勾选的方式取得用户同意,在选择权上属于“opt-out”模式,只是用户往往容易忽略,也不易察觉,从知情权、选择权保障的角度来看,对用户不利,有损于用户权利的有效、完整实现。“年度账单”事件在国内引起很大争议,支付宝也被有关部门约谈,要求履行个人信息保护义务,妥善保护用户权益。如果按照日本《个人信息保护法》(2017)的规定,支付宝是不是就属于第十六条所规定的按照特定利用目的处理个人信息,或者属于第十八条的规定,在特定目的意外处理个人信息,但是迅速将该个人信息的利用目的通知本人或者予以公布,就可以免责。(本文参考了北京航空航天大学刘颖副教授所译中文本,在此致谢。)
本文刊登于《中国信息安全》杂志2019年第5期
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。