2018年9月,《個人資訊保護法》被納入「十三屆全國人大常委會立法規劃」,位列「條件比較成熟、任期內擬提請審議」的69部法律草案之中。兩年後的金秋,《個人資訊保護法(草案)》如期公佈。屈指算來,距離2012年《全國人大常委會關於加強網路資訊保護的決定》已有8年,距離2003年國務院資訊化辦公室部署個人資訊保護法立法研究工作已有17年。我想,無論是立法者,還是參與其間的學者,亦或是關注個人資訊保護的普羅大眾,如今都可稱夙願得嘗。不過,草案出臺只是第一步,正所謂「行百里者半九十」,如何使之臻於完善,依然任重道遠。兩年前,就在《個人資訊保護法》列入立法計劃不久,我梳理了《個人資訊保護法》的六大關係(見「《個人資訊保護法》前瞻:六大關係待解」一文),值此立法關口,不妨仍以此爲線索,對草案再加檢視。
個人和企業的關係
在世界數位化轉型的背景下,個人「數據人格」和企業「數據資產」的重要意義與日俱增。兩年來,個人資訊的邊界不斷向生物識別資訊、基因資訊的拓展,數據作爲關鍵生產要素業已被中央檔案所確認,如何平衡個人資訊保護和大數據利用之間的關係,由此成爲《個人資訊保護法》的首要定位問題。對此,草案第一條開宗明義,將「保護個人資訊權益、促進個人資訊合理利用」作爲二元並置的立法目標。在條款設計上,草案兩邊發力,一方面在《民法典》的基礎上,賦予個人一系列新型權利,尤其是「基於同意撤回的刪除權」(第16條、第47條第3項)和「針對自動化決策的說明權和拒絕權」(第25條);另一方面,草案拓展了個人資訊合理使用的範圍,細化了公共利益例外的情形(公共衛生事件、履行法定義務、法定職責、新聞報導),並將「爲訂立或者履行個人作爲一方當事人的合同所必需」納入正當事由。更重要的是,草案根本上改變了《民法典》下「個人同意+特定免責」的個人資訊使用模式,轉向融知情同意在內的「多元合理事由模式」,以實現承載於個人資訊之上的多元價值。