個人信息保護法自2021年11月1日起實行以來,行政執(zhí)法和司法審判工作都取得了很大成效。目前,個人信息保護法的落地實施正在持續(xù)全面深入推進,但對一些問題仍存在不同的認識和理解。在個人信息保護法實施兩周年之際,筆者就該法實施中的幾個問題談談個人看法,以期為今后辦案和研究提供參考。
我國個人信息保護法充分考察借鑒了有關國際組織、國家和地區(qū),特別是歐盟的一些有益做法和經驗,但是我們要認識到我國個人信息保護法產生的歷史背景與歐美個人信息保護法產生的歷史背景并不相同。認識我國個人信息保護法產生的歷史背景后,就比較容易理解我國個人信息保護法所針對的主要問題,明確其主要適用場景,理解和適用該法時要認識到并不是所有涉及個人信息處理的問題都屬于個人信息保護法規(guī)制的問題。
要系統地理解個人信息保護法的立法目的。不同法律部門有不同的價值思想和實現機制。個人與個人之間相互關系的正確性在私法中占據主要地位,個人行為在公共管理秩序中的正確性在公法中占據主要地位,整體經濟的正確性則在經濟法中占據主要地位。個人信息保護法兼具私法功能和公法功能,并且其私法功能和公法功能要和諧地融入到整個經濟秩序之中。個人信息保護法的立法目的包括“保護個人信息權益”“規(guī)范個人信息處理活動”“促進個人信息合理利用”。“保護個人信息權益”屬于私法范疇,但不再局限于個人與個人信息處理者之間相互關系的正確性;“規(guī)范個人信息處理活動”屬于公法范疇,但不再局限于個人信息處理行為在公共管理秩序中的正確性;“促進個人信息合理利用”則直接體現整體經濟的正確性?!氨Wo個人信息權益”和“規(guī)范個人信息處理活動”都要融入到“促進個人信息合理利用”,都要融入到整個經濟的正確性。通過建立權責明確、保護有效、利用規(guī)范的制度規(guī)則,在保障個人信息權益的基礎上,重在促進個人信息合理有效利用,推動數字經濟健康發(fā)展。因此,個人信息保護法,雖名為保護法,實則為促進法,即促進個人信息合理利用的法。
要注意個人信息民事保護中個人信息保護法與民法典的法律適用問題。個人信息保護法是個人信息保護的基本法。個人信息保護法雖然與民法典的有關規(guī)定相銜接,明確在個人信息處理活動中個人的各項權利,包括知情權、決定權、查詢權、更正權、刪除權等,但個人信息保護法與民法典之間并不是特別法與一般法的關系,個人信息民事保護應依據民法典的相關規(guī)定。至于侵害個人信息權益造成損害的歸責原則應依據個人信息保護法,這并不是因為個人信息保護法相較于民法典具有優(yōu)先適用效力,而是因為民法典第一千一百六十五條第二款規(guī)定了過錯推定的法定原則,即“依照法律規(guī)定推定行為人有過錯,其不能證明自己沒有過錯的,應當承擔侵權責任”。對于侵害個人信息權益造成損害的歸責原則來說,此處的“依照法律規(guī)定”自然是指依照個人信息保護法規(guī)定,而個人信息保護法第六十九條第一款恰恰規(guī)定了侵害個人信息權益造成損害的過錯推定原則,因此該條款得以適用。
應采取分別審查、整體把握的方法適用“合法正當必要”原則。適用該原則時,既要對合法性、正當性、必要性分別進行審查,又要從整體上綜合考慮是否符合該原則。合法性審查側重處理個人信息的法律依據,重點審查是否屬于法律規(guī)定的各種允許處理個人信息的情形,尤其是要妥善處理作為兜底條款的“法律、行政法規(guī)規(guī)定的其他情形”。正當性審查側重處理個人信息目的和手段的正當性,重點審查處理個人信息的目的和手段是否明確、合理,是否符合個人信息保護法確立的基本原則。必要性審查側重審查處理個人信息的行為類型、個人信息類型、個人信息范圍及數量、與處理目的相關度、對個人權益的影響等。
個人信息保護法第二十四條和第五十五條出于個人信息保護的立法目的,對自動化決策的應用從不同角度規(guī)定了具體要求。考慮到通過自動化決策進行個人信息處理可能會對個人權益產生重大影響,第五十五條要求個人信息處理者利用自動化決策時應事先評估自動化決策對個人信息保護的影響,并對處理情況進行記錄。這實際上屬于立法對個人信息處理者提出的合規(guī)義務,與自動化決策及算法的可解釋性無關。第二十四條第一款要求自動化決策應透明、公平、公正、不歧視,從條文本身難以得出該法將可解釋性作為自動化決策的一項強制性法律要求;該條第二款要求自動化決策應賦予個人選擇權或者拒絕權,從條文本身也難以得出可解釋性是自動化決策的一項強制性法律要求;該條第三款要求自動化決策對個人權益有重大影響時應賦予個人要求說明的權利和賦予個人拒絕完全自動化決策的權利。對于“拒絕個人信息處理者僅通過自動化決策的方式作出決定”,無論是理解為拒絕完全自動化決策這種方式,還是拒絕完全自動化決策這種方式作出的決策結果,都不涉及算法的可解釋性。賦予個人拒絕權足以保證自動化決策結果的可接受性,因此“個人有權要求個人信息處理者予以說明”中的“說明”應指個人信息處理者將對個人權益有重大影響的自動化決策結果告知個人,該個人則相應地享有拒絕該自動化決策結果的權利。個人信息保護法未賦予個人算法解釋權,個人信息處理者不負有算法解釋義務,但負有告知義務,即個人信息處理者應將對個人權益有重大影響的自動化決策結果告知該個人。