武丹/制图
作者|李谦
责编|薛应军
正文共2991个字,预计阅读需9分钟▼
11月24日,全国网络安全标准化技术委员会发布《个人信息保护 个人信息识别指南(征求意见稿)》《个人信息保护 个人信息去标识化指南(征求意见稿)》《个人信息保护 个人信息匿名化指南(征求意见稿)》3项网络安全标准实践指南,面向社会公开征求意见。这是全国网络安全标准化技术委员会继今年8月就《个人信息保护国家标准体系(2025版)(征求意见稿)》公开征求意见,组织制定个人信息保护系列标准,为个人信息处理者提供具体、可操作的实施细则的又一重要举措。
近年来,随着人工智能等数智技术的广泛应用,国家标准已成为个人信息保护的重要工具,正重塑个人信息保护的治理结构。作为个人信息保护的重要力量,司法裁判要准确适用个人信息保护国家标准,有助于合理、有效应对个人信息侵害风险,提高个人信息保护能力,依法保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用。比如,《个人信息保护国家标准体系》以个人信息权益保护为核心,对涉及个人信息相关的技术、服务、管理、系统等内容进行标准化设定,包括获取、存储、使用、加工、传输、提供、公开、删除等个人信息处理行为。这一标准体系是司法工作人员理解个人信息处理行为规范内涵的重要抓手,也是增强个人信息保护案件释法说理的有力素材。如何提高个人信息保护国家标准司法适用的准确性和有效性,值得关注。
个人信息保护国家标准司法适用面临的问题
作为司法工作人员释法说理的主要工具,个人信息保护国家标准在适用过程中,通常会遇到规范性、适配性和有效性三方面问题。
第一,司法适用个人信息保护国家标准的规范性有待加强。个人信息保护国家标准大多为推荐性国家标准。这使得其适用的效力很少在个人信息保护案件释法说理中得到充分彰显。大多个人信息保护案件因担心引用标准可能引发当事人或社会对其效力的质疑,通常较少直接援引未获强制效力的技术标准。
第二,司法适用个人信息保护国家标准的适配性有待提升。一些个人信息保护案件援引相关技术标准,既未指明其具体内容,也没有依据特定法律法规的条文进行释法说理。其在释法说理时,仅提及个人信息保护国家标准的名称,没有就涉及的标准内容及其法律法规的转致情形进行论证。
第三,司法适用个人信息保护国家标准的有效性有待解决。不同的个人信息保护国家标准,可能对于同一个人信息保护事项具有效力,但一些个人信息保护案件就同一个人信息保护事项,仅列举一个国家标准进行释法说理。这从国家标准适用的有效性来看,还有待列举其他相关的国家标准加以阐释或进一步说明。
个人信息保护国家标准司法适用问题的原因分析
第一,尚无完整的个人信息保护国家标准司法适用的方案。理论上,尚缺少对个人信息保护国家标准司法适用的方法论建构,其规范性由哪些要素组成,如何从理论上实现规范性等还缺乏系统研究。实践上,个人信息保护国家标准司法适用仅出现在部分案件中,尚没有就适用个人信息保护国家标准的规范性形成一致的思路。
第二,尚未充分形成国家标准与法律法规的衔接机制。作为推荐性标准的个人信息保护国家标准,在融入释法说理的裁判文书过程中,需要依托法律法规的具体条款。个人信息保护转致条款的解释与适用,是个人信息保护国家标准得以融入的重要机制。目前,从学术研究及司法实践看,尚未在国家标准与法律法规之间建立环环相扣的衔接机制。
第三,尚缺乏对国家标准之间“竞合”内容的充分研究。一些个人信息保护案件的争议焦点,亟待运用多个国家标准进行司法裁判。例如,涉及人脸识别数据案件的释法说理,需要运用个人信息保护的“一般标准”和人脸识别数据/技术的“特别标准”。如何选择适用,这可能涉及标准的“竞合”问题。
个人信息保护国家标准司法适用问题的应对路径
个人信息保护国家标准司法适用问题的成因多样,难以通过单一维度的治理路径得到破解。有必要依托现有个人信息保护国家标准体系,着力建构技术标准、法律法规与释法说理协同适配的应对路径。
优化技术标准的实施路径。第一,理论上应逐步探索个人信息保护国家标准的司法适用方法论。个人信息保护国家标准实施不是一经选择就适用所有问题,而是包含技术标准的识别与选取、法律法规的转致、技术标准的引用等多个阶段的动态过程。理论上建构方法论旨在为司法工作人员提供一套逻辑严密的工具,力图破解从个人信息保护国家标准“能否援引”到“如何选取”再到“如何说理”的一系列问题。第二,实务上应逐步细化个人信息保护国家标准的释法说理步骤。就个人信息保护案件中涉及的“知情—同意”规则的应用、个人信息处理必要性原则中“必要”的判断、个人信息“识别性”的认定等一系列事项,细化相关技术标准的实施方案。第三,借助人工智能等数智技术,辅助完善技术标准实施的图谱。尽管目前尚无完整一致的技术标准实施路径,但在理论研究和实践探索中,可以借助人工智能等数智技术为司法工作人员提供相对清晰的“思维导图”和“适用步骤”,并为其有效解决个人信息保护案件的争议焦点提供智能化支撑。
探索技术标准的说理路径。第一,可按照个人信息保护国家标准融入司法裁判的方式及发挥的作用,确立技术标准的说理路径。个人信息保护国家标准司法适用的目标不同,决定了技术标准的说理路径有所区别。有些个人信息保护案件需要结合国家标准来阐明个人信息的概念及范围;有些个人信息保护案件需要结合国家标准来论证企业采取的技术措施是否符合合规要求;有些个人信息保护案件需要结合国家标准来判断特定个人信息处理行为是否合法。不同案件所涉及的问题影响不同技术标准司法适用的方法与方案,因此,要形成技术标准的不同说理路径。第二,就技术标准的竞合、复合适用等问题,提供详尽的说理内容。技术标准的竞合,可按照形式要件和实质要件来选择需要适用的个人信息保护国家标准。形式要件关注国家标准的效力,实质要件则关注国家标准所涉内容与待解决事项的匹配度。技术标准的复合适用意味着运用一个国家标准或者多个国家标准中的多个条款。对于技术标准的竞合及复合适用等问题,要在理论和实务上进行体系化研究,尽可能提供详尽的说理方案。
彰显技术标准的功能指向。第一,提炼个人信息保护国家标准在司法适用中的功能指向。一方面,设定相应个人信息处理的行为标准。这既包括企业处理个人信息的行为标准,还包括相关机构管理个人信息的行为标准。另一方面,确定合规要件的技术要求。比如,准确适用我国个人信息保护法涉及的“安全技术措施”“保护措施”表述,要结合相关个人信息保护国家标准,综合判断企业采取的“安全技术措施”“保护措施”是否达到合规条件。第二,确立个人信息保护国家标准司法适用的激励制度。个人信息保护国家标准司法适用,是技术标准与法律法规的一场深度对话,应以法治思维与标准化原理为指引,进一步提升司法工作人员准确适用技术标准的积极性。
总体而言,要发挥个人信息保护国家标准的作用,科学地进行司法适用,既加强技术标准实施,又提升个人信息保护案件释法说理的方式。应全面、系统、准确把握个人信息保护国家标准司法适用的原理与步骤,力争建立一套面向司法适用的方法论,进而有效解决个人信息保护案件的司法适用难题。
本文为2024—2025年度江苏省司法厅法治科研项目“江苏发展新质生产力的法治需求研究”(项目编号:2024jssf03)的阶段性研究成果。
(作者单位:南京师范大学中国法治现代化研究院)
热门跟贴