專家:損害賠償是個人信息保護必要環節

原標題:專家:損害賠償是個人信息保護必要環節

個人信息是民事權益而非權利。圖/unsplash

新京報訊(記者 鄭偉彬) 11月1日,《個人信息保護法》正式施行。這是一部保護公民個人信息的專門法律,與《網路安全法》《數據安全法》《電子商務法》《消費者權益保護法》等法律共同編織成一張消費者個人信息「保護網」。

近日,圍繞中國在個人信息保護和數據安全方面的現狀、存在的缺點以及如何加強保護等議題,新京智庫聯合中國法學交流基金會新興產業發展及法治環境建設專項基金共同舉辦主題為「《個人信息保護法》落地實施,如何用好這個『法』」的研討會,來自北京大學、中國社科院和工業和信息化部網路安全產業發展中心等機構的相關專家參與研討。

個人信息是民事權益而非權利

中國法學會副會長、中國人民大學教授王利明從《民法典》與《個人信息保護法》兩者間的關係進行了闡述。

王利明表示,《個人信息保護法》有關個人信息保護的相關規定是《民法典》的組成部分。這體現在《個人信息保護法》依據《民法典》的規定,採用「個人信息」的概念,而不是「個人信息權」的表述。之所以沒有採用「個人信息權」,是為了兼顧對各類個人信息的保護和利用。如果保護過度,在一定程度上將妨礙對個人信息的利用。

同時,王利明認為,我們應當把個人信息理解為一項重要的民事權益。這是因為個人信息是《民法典》確認的一項重要的人格權益,個人信息和隱私權、人格權關係十分密切,《民法典》構建了保護個人信息的基本法律框架,如果把個人信息當作一種公法權利,就會和《民法典》分割開來,這其實不利於對個人信息進行全面的保護。

此外,王利明強調,只有把《民法典》和《個人信息保護法》相結合,才能形成一個有效的規則體系。一個重要的原因是《民法典》具有兜底保護的作用。《個人信息保護法》畢竟容量有限,大量有關合約、侵權等規則,不可能都在這部法律里規定。因此,兩者的結合才能形成一個完整的、全面的保護個人信息的體系性的規則。

損害賠償是個人信息保護的必要環節

北京大學法學院教授薛軍表示,《個人信息保護法》的出台,儘管提供了一個很好的法律框架,但目前仍然存在一些問題,需要進一步通過條例、法院裁判規則等加以完善、填充和落地。

薛軍認為,《個人信息保護法》的有些條款比較粗線條、框架性,實操性不夠;有些則是存在多種理解方式。這些對企業的實際運營而言,都有非常大的影響。

比如該法中一方面強調,企業在為用戶提供服務前,要讓用戶明確是否同意採集個人信息;但同時又規定,如果用戶拒絕同意,企業產品依然需要為用戶提供服務。

這對企業而言就是一個難題。因為有些軟體的功能,缺乏相應的個人信息是無法正常運行的。更值得注意的是,薛軍認為,該法更多地體現了監管思維,結合中國當前的語境,其實需要更多地從民法的視角、從損害賠償的角度,從受害者救濟的角度出發。

中國社會科學院法學研究所民法研究室主任、中國社科院大學博導謝鴻飛同樣認為,個人信息的損害賠償是需要及時跟上的必要環節。如果缺乏相應的損害賠償,那麼對於企業而言,可能會將與之相關的大量成本外部化,而非企業本身消化。

謝鴻飛表示,《民法典》明確了隱私信息,《個人信息保護法》明確了敏感信息,但在這些之外還存在一般信息。這些信息應不應該保護,保護到何種程度,是個很大問題。尤其是,當這些一般信息被泄露,卻既不構成隱私權的損害,也不構成財產權或人格權的損害時,能否從民法上找到對應的損害,就是個問題了。

而在諸如電信詐騙的案例中,受損人無法確定是誰導致了個人信息被泄露,到目前為止,沒有看到有個人主動提起訴訟的案例。儘管檢察機關可以代表受害人提起一些公益訴訟,但這些訴訟的訴求主要是賠禮道歉和刪除個人信息等,沒有見到有關任何賠償的內容這些手段都只是防禦、保護性手段。

因此,謝鴻飛建議,法律體系要綜合運用起來,行政監管和司法必須齊頭並進。目前來看,法律的適用或者執法過程中,偏重於行政監管。在目前存在大量個人信息違法的情況下,僅依靠行政監管發揮很大作用是不太現實的。

避免過高要求損害小企業競爭力

而即便是在監督角度上,也存在不少值得關注的問題。工業和信息化部網路安全產業發展中心副主任李新社表示,比如某類應用需要採集多少個人信息,信息如何刪除、從哪些地方刪除,在該法出台前企業已經採集的大量歷史數據該如何處理等問題,這些都需要有人判定、監督執行。

資料圖。圖/unsplash

同樣,企業在發展過程中,數據的積累已經不知不覺中超出企業經營的範圍,達到可能涉及國家安全、行業安全的一種狀態。那麼這種狀態又應該是由誰來判斷呢?

因此,李新社認為,《個人信息保護法》的出台是必需、必要的,但還遠遠不夠。尤其是需要其他相關法律、配套條例,以更好地銜接《數據安全法》和《個人信息保護法》。

對外經貿大學數字經濟與法律創新研究中心主任許可認為,《個人信息保護法》是中國個人信息保護領域非常重要的一部基礎性法律,可以視為數字經濟的基本法。

不過,儘管該法是中國個人信息保護進步的一種重要體現,但該法也存在三個方面的不平衡。首先是關於保護對象、保護主體的不平衡。在執法層面上,從關注度和學理研究來說,對於國家機關收集、處理個人信息的關注度不高、不夠,國家機關如何處理、收集個人信息,現在相關的規則也不明確。

其次是大小企業的失衡。《個人信息保護法》是以大企業為模本制定的一部關於個人信息保護規則的法律。無論是設立個人信息保護的專門負責人,還是建立一個外部委員會以及建立一套個人信息保護的內部規則,這些都是針對大企業而言的。對於小企業來說,要想去滿足這樣的立法要求是非常困難的。許可表示,如何平衡好大企業和小企業的合規成本,避免過高的監管要求損害小企業的競爭力和發展空間,這是需要認真研究的問題。

最後則是保護和利用之間的不平衡。許可認為,《個人信息保護法》一方面是保護不足,另一方面是利用不足。中國個人信息在非常多的環節都存在著濫用的問題,這個濫用問題迫切需要我們進行強有力的保護;但在另一方面,因為執法力量、監管手段的短缺,使得我們大量的執法放在非常顯眼的大企業身上,反而是很多黑灰產,並沒有完全成為監管的重點。

同時,從現在的執法來看,有的時候是過分偏重了保護,而沒有很好突出《個人信息保護法》第1條所強調的個人信息保護與合理利用平衡的宗旨。因此,許可表示,保護和利用之間如何再平衡,是《個人信息保護法》存在的較大缺點,這些今後應繼續補充、完善。

記者 | 鄭偉彬

編輯 | 張笑緣

加入好友

台灣疫情資訊

台灣疫苗接種

相關熱門