我国个人信息保护立法:共411件法律文件,最早可追溯至2002年

我国个人信息保护立法:共411件法律文件,最早可追溯至2002年
2021年08月29日 21:19 李俊慧

文/李俊慧 校对/陈莉

千呼万唤始出来。

2021年8月20日,在第十三届全国人民代表大会常务委员会第三十次会议期间,《个人信息保护法》获审议通过,并将于2021年11月1日起正式施行。

伴随《个人信息保护法》的正式出台,我国对个人信息的处理活动将迎来“强监管”时期。

应该说,《个人信息保护法》是我国个人信息保护领域的专门立法,但并非唯一立法。

在《个人信息保护法》正式出台前,从2000年左右开始,我国就在不同的规范性法律文件中逐步关注或提及“个人信息”保护,并初步建立起了一些相应制度,比如,特定主体对个人信息的保密义务等。

那么,回溯我国将近20余年的个人信息保护立法进程,还有哪些关键节点或重要立法要点,是值得关注的呢?

要点一:个人信息保护立法最早可追溯至2002年

个人信息作为法律用语,最早出现在规范性法律文件中的时间可追溯到2002年。

2002年6月26日审议通过,并于2002年10月1日起施行的《深圳经济特区人才市场条例》是我国最早提及“个人信息”的规范性法律文件。

当时制定的《深圳经济特区人才市场条例》第九条规定,用人单位在招聘活动中,“未经应聘人才本人同意”,不得擅自公开其“个人信息”。

可以看到,最早出现的个人信息保护场景指向了招聘活动,而这也是当下个人信息保护的重要领域所在。

不过,值得注意的是,按照当时的规定,从文义分析来看,求职资料和个人信息属于两类不同的内容,其中,个人信息更倾向于指向姓名、性别、籍贯、住址、身份证号等身份证上记录的个人信息。

国家法律法规数据库显示,截至目前,在文件正文出现“个人信息”字样的规范性法律文件共计411件,其中,在文件标题出现“个人信息”字样的规范性法律文件共计2件。

从法律层级来看,在文件正文出现“个人信息”字样的411件规范性法律文件中,有26件是全国人大及其常委会制定的法律,有13件是国务院制定的行政法规,有4件是最高人民法院和最高人民检察院单独或联合制定的司法解释,另有368件属于地方性法规。

由此可见,在《个人信息保护法》出台前,我国个人信息保护的立法呈现出两大特点:其一是有关个人信息保护的一些原则、规则或机制,散落在不同的规范性法律文件中;其二是地方性立法探索早于且多于中央层面的立法。

要点二:《居民身份证法》是我国首部涉及“个人信息”保护的全国性立法

2003年6月28日审议通过,2004年1月1日起施行的《居民身份证法》是我国首部提及“个人信息”保护的全国人大常委会立法。

《居民身份证法》第六条规定,“公安机关及其人民警察对因制作、发放、查验、扣押居民身份证而知悉的公民的个人信息,应当予以保密。”

从国家立法角度来看,最早设定的个人信息保护义务相对人为“公安机关及人民警察”。

2009年2月28日审议通过的《刑法修正案(七)》首次将个人信息纳入刑事法律保护范畴,也是首次将特定侵犯个人信息的行为认定为犯罪行为。

根据《刑法修正案(七)》,个人信息保护义务相对人扩大至“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”,对“出售、非法提供”以及“窃取或其他方式非法获取”等违法行为纳入重点打击范畴。

国家法律法规数据库显示,在文件正文出现“个人信息”字样的411件规范性法律文件中,从公布时间分布来看,2009年以后公布的共计350件,约占全部文件的85.16%。

简单说,自2009年起,我国涉及个人信息保护的立法全面进入“快车道”,大量涉规范性法律文件或多或少对个人信息保护有所涉及或提及。

要点三:2009年起个人信息保护立法驶入快车道

制定于1983年12月8日《统计法》,分别在1996年和2009年经历了两次修正或修订。

其中,2009年的修订增加了专门个人信息保护要求。

2009年6月27日修订、2010年1月1日起施行的《统计法》第九条规定,统计机构和统计人员对在统计工作中知悉的国家秘密、商业秘密和个人信息,应当予以保密。

应该说,《统计法》增加“个人信息保护”的条款,与《刑法修正案(七)》有密切关系,在进一步细化“国家机关”的范畴。

2010年10月28日审议通过,2011年7月1日起施行的《社会保险法》设置专门条款,对社会保险领域相关主体的个人信息保护义务予以明确。

《社会保险法》第九十二条规定,“社会保险行政部门和其他有关行政部门、社会保险经办机构、社会保险费征收机构及其工作人员”负责个人信息保护义务。

2013年10月25日,《消费者权益保护法》第二次修正时,将个人信息保护的范围扩大至消费者权益保护领域。

《消费者权益保护法》第十四条规定,消费者“享有个人信息依法得到保护的权利。”

2015年8月29日审议通过的《刑法修正案(九)》,进一步强化个人信息刑事保护力度。

《刑法修正案(九)》对个人信息保护义务相对人的表述,一改《刑法修正案(七)》列举式,概括性的调整为“违反国家有关规定”。

2017年3月15日审议通过,2017年10月1日起施行的《民法总则》设置专门条款明确个人信息保护。

应该说,《民法总则》第一百一十一条有关个人信息保护的规定,不仅是后续《民法典》个人信息保护综合立法逐步完善的基础,也是《个人信息保护法》规范个人信息处理活动的前提。

2018年8月11日修订后公布《全国经济普查条例》(2004年9月5日公布并施行),明确了经济普查工作中相关主体对个人信息保密义务,包括:各级经济普查机构及其工作人员。

要点四:《个人信息保护法》推动个人信息处理迎来强监管时代

2017年6月1日起施行的最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《“两高”司法解释》)是我国首个对“个人信息”概念或定义予以明确的司法解释。

《“两高”司法解释》第一条规定,刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。

2021年1月1日起施行的《民法典》,对于个人信息的保护,既继承了《民法总则》的立法精神,同时,又做了相应的拓展和延伸。

《民法典》设立专门章节,将个人信息保护和隐私权纳入其中。

按照《民法典》第一千零三十四条规定,个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。

应该说,《“两高”司法解释》对个人信息的界定方法、思路和做法,在《民法典》中得到了延续和确认。

而即将于2021年11月1日起施行的《个人信息保护法》,又对个人信息范围做了微调,将“匿名化处理后的信息”剔除在个人信息范围之外。

《个人信息保护法》第四条规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。

通过对比可以看到,与《“两高”司法解释》和《民法典》相比,《个人信息保护法》对个人信息范围的界定采用了概括性表述,而非列举式表述。

值得关注的是,《个人信息保护法》共八章、七十四条、全文共计9074字中,共计有222处涉及“处理”,仅有不足十个条款未直接提及“处理”二字。

因此,《个人信息保护法》与其说是“个人信息保护法”,不如说是“个人信息处理行为规范法”。

由此可见,伴随《个人信息保护法》的出台,意味着个人信息处理活动将迎来“强监管”时代,包括对个人信息的收集、存储、使用、加工、传输、提供、公开、删除以及跨境流动等。

财经自媒体联盟更多自媒体作者

新浪首页 语音播报 相关新闻 返回顶部