首页
张继红
□安全评估结论决定了网络运营者收集个人信息并出境的商业模式是否合法,为了平衡公权的过度扩张而损害市场发展活力,势必需要通过异议申诉权等方式予以制约。
□目前,欧盟已经形成了三套标准合同范本,分别适用于“数据控制者到数据控制者之间的转移”、“数据控制者到数据处理者之间的转移”。我国仅靠《办法》在三个条款中零散分布的只言片语显然难以实现该项立法目的,建议通过附件合同范本的形式予以细化。
□为了增加个人信息主体维权的合理预期,建议进一步细化“先行赔付”的赔偿义务规则,如直接损失的计算依据,以及是否包括间接损失、精神损害赔偿等。
2019年6月13日,国家互联网信息办公室发布《个人信息出境安全评估办法(征求意见稿)》(下称《办法》),旨在降低我国公民个人信息出境带来的安全风险,综合运用法治手段,既注重公民个人信息权益的保护,又兼顾信息的合理合法利用,实现公民利益、企业利益和国家利益的平衡。然而《办法》中相关条款所涉概念和权利义务安排仍存在待商榷之处,相关表述亟待厘清。
利益相关方的异议权
第一,建议增加利益相关方针对出境安全评估结论的异议权。依据《办法》第7条,省级网信部门应当将个人信息出境安全评估情况报国家网信部门,并且赋予网络运营者对安全评估结论的异议申诉权。安全评估结论决定了网络运营者收集个人信息并出境的商业模式是否合法,通过事先评估的审查方式实现了国家监管权力的扩张。为了平衡公权的过度扩张而损害市场发展活力,势必需要通过异议申诉权等方式予以制约。然而,安全评估结论所涉及的,远不止网络运营者的利益,该条第二款偏重保障网络运营商的利益,却没有给个人信息主体利益、社会利益、国家利益留下救济空间。
因此,建议增加利益相关方的异议权,主要包括两类主体。第一类是个人信息出境所涉信息主体,以公民个人身份提起异议,该条款的设置将充分彰显《办法》对公民权利的尊重,并调动社会和市场的力量对安全评估过程予以监督。第二类是相关公共部门,如国家市场监管总局反垄断局等公共行政部门,防止相关市场主体利用行政程序疏漏,对外传输个人信息损害国家利益;以及行业自律组织等社会公益组织,使得安全评估异议成为社会监督、行业自律的一项重要手段。
完善条款用语
第二,建议进一步完善《办法》条款用语,使之更加体系化、科学化。第11条规定了暂停或终止向境外提供个人信息的情形。其中,第二款“个人信息主体不能或者难以维护个人合法权益”具体指哪些情形,语焉不详,还会引发不必要的误解,建议删去。同时,《办法》第21条还界定了个人信息和个人敏感信息,建议应直接采用2018年5月1日生效的《信息安全技术个人信息安全规范》(以下简称《个人信息安全规范》)国家标准中的“术语和定义”。从内容上看,《个人信息安全规范》对“个人信息”、“个人敏感信息”更加规范、全面,似乎并无在《办法》中重新加以定义的必要。
《办法》定义上述两类信息的初衷,可能旨在践行“差别监管”理论,然而这一点亦未在相关条款中得到体现。个人敏感信息仅在《办法》第16条第三款出现,但该条款目的是豁免接收者不得将个人信息传输给第三方的义务。虽然结合第一款来看,个人敏感信息得到了区别于“通知义务”的“同意规则”的特别保护,但该条款规定过于模糊,并未明确到底是明示同意抑或默示同意,执行过程中可能引发争议。建议《办法》增设并细化个人敏感信息特别保护规则,进一步贯彻差别监管的思路。
形成体系化合同范本
第三,建议细化网络运营者的合同条款内容要求。依据《办法》第13条至15条,网络运营者与个人信息接收者签订的合同或者其他有法律效力的文件(统称合同)应当满足一定的内容要求,并明确网络运营者、接收者承担的责任和义务。这些条款吸收借鉴了欧盟《通用数据保护条例》(GDPR)在充分保护措施中的 “标准合同文本(Standard Clauses Contract)”机制。通过对市场主体之间的协议约定进行约束,将行政监管压力通过市场约束机制予以释放,顺应了市场活动的规律,实现行政监管和市场约束的有机融合。然而,欧盟的立法先例基于具体的业务场景,采取了更为细致的条款设计。截至目前,欧盟已经形成了三套标准合同范本,分别适用于“数据控制者到数据控制者之间的转移”、“数据控制者到数据处理者之间的转移”。我国仅靠《办法》在三个条款中零散分布的只言片语显然难以实现该项立法目的,建议通过附件合同范本的形式予以细化。合同用语的解释往往难以断章取义,需要结合合同上下文、合同订立背景予以认定。因此,体系化的合同范本不仅有利于立法目的在实践中真正得以贯彻,还可有效防止未来可能发生条款解释不同引发纠纷的情形。
此外,《办法》第13条的本质是通过行政监管对合同条款施加内容要求,其中第五款“合同的终止不能免除合同中涉及个人信息主体合法权益有关条款规定的网络运营者和接收者的责任和义务,除非接收者已经销毁了接收到的个人信息或作了匿名化处理”。这里,并未考虑到匿名化处理同样可能通过大数据画像、多种途径多种数据的叠加方式关联并识别出特定的个人,因此建议对匿名化处理进行进一步限制,即不得存在可能识别出个人的情形。第六款“双方约定的其他内容”本质是合同意思自治的兜底性规定,显然并不适合行政监管的语境,建议改为“国家有关部门要求的其他内容”。
细化“先行赔付”规定
第四,建议进一步厘清并细化“先行赔付”规定。《办法》第13条第三款“个人信息主体合法权益受到损害时,可以自行或者委托代理人向网络运营者或者接收者或者双方索赔,网络运营者或者接收者应当予以赔偿,除非证明没有责任”,第14条第三款“应请求向接收者转达个人信息主体诉求,包括向接收者索赔;个人信息主体不能从接收者获得赔偿时,先行赔付”,第16条第四款“因向第三方传输个人信息对个人信息主体合法权益带来损害时,网络运营者同意先行承担赔付责任”规定了一旦个人信息主体权益受损,网络运营商的“推定过错+先行赔付”制度。
之所以要求网络运营商“先行赔付”,其主要原因在于个人信息接收者大都位于境外,责任追究比较困难且耗时耗力;而“过错推定责任”的确立,又大大减轻了个人信息主体的举证和索赔难度,切实保障了个人信息主体的合法权益。立法出发点固然是好的,但事实上却难以执行。我国适用推定过错责任的法定情形规定在《侵权责任法》中,《办法》作为部门规章能否设定“推定过错责任”,值得商榷。与此同时,在个人信息保护法尚未出台、司法实践对公民个人信息保护认识不一、民事赔偿依据的请求权规范基础依然阙如的情况下,网络运营商的赔偿义务的计算依据如何确定,将直接关系到该条款的实际适用效果。应该说,《办法》所确立的“推定过错+先行赔付”制度,其宣示意义大于实质意义。为了增加个人信息主体维权的合理预期,建议进一步细化“先行赔付”的赔偿义务规则,如直接损失的计算依据,以及是否包括间接损失、精神损害赔偿等。
此外,《办法》仅规定了网络运营商和接收者的信息保护义务和责任,而未明确其免责事由。虽然关注了个人信息主体的信息权益保护,但未给予网络运营商相应的责任豁免,权责安排略显失衡,有损企业信息使用的积极性,建议进一步补充。
总体而言,《办法》充分考察和吸收了域外先进的立法经验,并尊重我国本土的商业和监管环境,既对现阶段个人信息保护理论研究成果有所体现,又具备实践中的可操作性。相信在广泛征求意见的基础上,完善后的《办法》将有助于平衡及协调个人信息保护和个人信息利用之间的冲突,进一步提升新形势下具有中国特色的个人信息法制的保护实效。
(作者系上海对外经贸大学法学院教授)
SourcePh" style="display:none">
放大
上一版
