第四节 个人信息主体的权利及其他
1.确保实现个人信息主体权利
(1)个人信息主体权利类型概览
个人信息主体拥有的权利从一定程度上也对应了企业应当履行的义务。《个人信息保护法》第44条规定,个人拥有知情权、决定权、限制或拒绝他人对其个人信息进行处理等权利,这对应了企业的告知义务等。同时,第48条规定了有权要求个人信息处理者解释说明个人信息处理规则,以及第16条还规定了个人享有撤回同意权。
第45条规定了个人有权查阅、复制个人信息,同时提出了类似GDPR项下的“可携带权”,即个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,应当提供转移的途径。
第46条规定了个人享有更正权,即核实后更正和补充的权利。
第47条还规定了企业应及时删除个人信息的5种情形,实则为个人信息主体的删除权:1)处理目的已实现、无法实现或者为实现处理目的不再必要;2)个人信息处理者停止提供产品或者服务,或者保存期限已届满;3)个人撤回同意;4)个人信息处理者违反法律、行政法规或者违反约定处理个人信息;5)法律、行政法规规定的其他情形。法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。
《个人信息保护法》第49条还对近亲属的相关权利做了相关规定,即自然人死亡的,近亲属为了自身的合法、正当利益,可对死者的相关个人信息行使查阅、复制、更正、删除等权利(除非死者另有安排)。例如,近亲属可以查阅死者生前的银行账户等。《民法典》第994条也规定了死者的隐私受到侵犯时,其配偶、子女、父母或近亲属有权依法请求行为人承担民事责任。此外,《人脸识别司法解释》第15条亦规定“自然人死亡后,信息处理者违反法律、行政法规的规定或者双方的约定处理人脸信息,死者的近亲属依据《民法典》第994条请求信息处理者承担民事责任的,适用本规定”,也为死者近亲属如何保护其自身权益提供了配套规定。即使有上述规定,个人信息保护法也特别提到“死者生前另有安排的除外”,所以生前设立遗嘱时,也要考虑将对个人信息的安排,像对房产、车辆、存款、股票、知识产权的处理一样,可列入遗嘱中进行特殊要求。
《个人信息保护法》还完善了个人信息保护投诉举报机制,第59条要求个人信息处理者应当建立“便捷的”行权申请和处理机制,同时,个人信息处理者拒绝个人行使权利的,个人可以依法向人民法院提起诉讼。根据第61条,履行个人信息保护职责的部门负责接受、处理与个人信息保护有关的投诉、举报。此外,第64条规定,履行个人信息保护职责的部门在履行职责中,发现违法处理个人信息涉嫌犯罪的,应当及时移送公安机关依法处理。这些措施形成了对个人信息保护的强有力闭环。
(2)数据可携权
《个人信息保护法》规定中的“可携带权”是大家非常关注的条款。可携带权最早规定于GDPR中,而其他国家在引入该权利时也有诸多讨论。因为可携带权既有实际实施的难度,又因其同时肩负保障公平竞争、限制垄断的价值诉求的争议。
对比《个人信息保护法》对数据可携带权的规定与GDPR项下对数据可携带权的规定,笔者认为该权利在《个人信息保护法》的规定下应为“有限的数据可携带权”。首先,从结构上来讲,《个人信息保护法》对携带权的规定只是比复制和查阅权利多加了一款,而非单独一条。其次,从实施条件上来讲,《个人信息保护法》规定只有在符合网信部门的规定下才予以实施数据可携带权,提供转移至指定的个人信息处理者的途径。这样的尝试可能是考虑到GDPR本身对于数据可携带权的规定从2018年生效到现在的实施困境。
从具体权利要求上来说,《个人信息保护法》与GDPR的规定也不同。从权利的客体角度来说,《个人信息保护法》未做限制。GDPR对权利的客体做了很明确的范围限定,首先针对数据主体自己提供的数据以及在自动化采集过程中的数据,信息主体不可以要求企业把经过其智力创造和衍生加工之后的模型数据作为用户行使可携带权的内容。同时,因为GDPR仅要求对电子形式的数据提供可携带权,所以主体不可以要求企业把如纸质方式收集和存储的数据转化为电子版提供可携带权的实现。
从权利实现方式来说,《个人信息保护法》未做明确的要求,仅说明提供转移的途径。GDPR中规定了要求提供“结构化、普遍使用和机器可读”的格式,这产生的问题是什么叫作“普遍使用的”。EDPB解释:“‘普遍使用’不是要求企业将数据转化成某一种格式使用,而是强调须具有‘通用性’。”但是现在对此没有明确的标准,即使在诉讼过程中,法院也只是强调了“通用性”和“互操作性”,没有具体解释应该怎么做。由此产生的实施困难是,除了少数大型互联网企业如谷歌、微软和苹果,可以给用户提供一个平台以结构化的方式提供数据外,小平台根本没有办法实现该要求。
“数据可携权”一直到终审稿才进入《个人信息保护法》,一经颁布就成为明星条款。虽然该条款是用户“权利”树条款中最需要进一步细化的一个,但《个人信息保护法》下的“个人主体权利”体系却因此更为完善,在这一方面也得以使其在全球个人信息保护立法中保持了领先地位。
《个人信息保护法》下复杂全面的“个人权利”条款大大弥补了此前我国个人信息保护领域各层级规范性文件和执法中的薄弱环节,体现了《个人信息保护法》从既往的重视监管“数据处理者”走向兼顾“赋权个人”,立法角度更为全面,这也意味着企业的数据合规工作会有更多来自个人信息主体层面的推动力。
2.识别违法后果和承担举证责任
与GDPR的最高处以上一年度营业额4%罚款的规定比较,《个人信息保护法》将罚款力度增加到上一年度营业额的5%。《个人信息保护法》对违法后果的规定看似十分严格,但是《个人信息保护法》的处罚规则并不是“一揽子”条款。实际上,对违法行为以及对应的违法后果做了阶梯性的规定。
与《网络安全法》类似,《个人信息保护法》对违法后果的规定采用了“双罚制”的结构。第一,针对违法处理个人信息的数据处理者,除了罚款,还能责令其暂停或终止提供服务。第二,对于情节严重的违法行为,除了罚款,还可以一并责令其暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者营业执照。针对直接负责的主管人员和其他直接负责人员,除了罚款以外,还可禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。值得注意的是,《个人信息保护法》并没有严格界定什么情况属于“情节严重”,但结合GDPR相关处罚案例来说,数据泄露、受影响的信息主体数量可能成为较大的考虑因素。同时,该条还使用了“拒不改正”这样的表达,因此笔者认为无论在何种情况下,展现出积极的改正态度始终是优解。
《个人信息保护法》第67条规定违法行为依照规定记入信用档案。
对于侵害个人信息权益的处理活动,其应当承担损害赔偿等侵权责任。赔偿额度根据个人受到的损失或者侵害人获取的利益决定,法院也可能会对此进行调整。
值得注意的是,《最高人民法院关于适用〈中华人民共和国民事诉讼法〉的解释》第284条规定,环境保护法、消费者权益保护法等法律规定的机关和有关组织对污染环境、侵害众多消费者合法权益等损害社会公共利益的行为,根据《民事诉讼法》第55条的规定提起公益诉讼。《个人信息保护法》第70条规定,对于受到侵害的对象是多人的情况,人民检察院、法律规定的消费者组织与国家网信部门确定的组织可以依法向人民法院提起诉讼。“国家网信部门确定的组织”具体包括哪些组织,还需要法规进一步解释说明。
《个人信息保护法》第71条还规定,违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
由此能看出,《个人信息保护法》对违法后果的规定体现了“多维”以及“阶梯形”的特点。