学术 | 个人信息保护法的调整对象

1.涉及个人信息处理活动

与欧盟GDPR一样，《个保法草案》第1条规定立法目的是为规范个人信息处理活动，即通过对个人信息处理活动主体的规制，以实现保护个人信息和促进个人信息合理自由流动，以建设统一、合法有序的数据市场。

据此，任何涉及个人信息处理活动的主体都可能适用《个保法草案》。而如何识别的标准则在于理解“个人信息处理活动”，其实，个人信息处理活动可拆分为“个人信息”+“处理活动”。

第一，个人信息概念是界定个人信息处理者范围的首要前提，就法律层面规定而言，《网络安全法》和《民法典》个人信息的概念规定较为限缩，标准是单独或结合其他信息可识别，侧重于识别。但个人信息并不是一个封闭的概念。个人、信息两个概念本身具有一定的扩张性，随着技术的发展，个人信息被识别或结合其他信息识别到特定个人变得更加容易，个人信息概念外延会扩大。例如2013年的“朱烨诉百度案”，南京中院二审认为用cookie技术收集朱烨网页浏览信息无法识别到个人，所以不属于个人信息。但个人信息不仅是从信息识别中得出的，还包括关联信息，即与该自然人活动产生的信息。对此，2017年《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》和《个人信息安全规范》补充了规定有限关联性标准，由此个人网页浏览记录被认定为个人信息，这为司法裁判认定个人信息提供了更多的解释路径。例如，北京互联网法院就“微信读书案”一审判决关于微信读书信息是否为个人信息的判断体现了个人信息的扩张性。

《个保法草案》第4条则结合已有立法和司法实践的情况，将个人信息概念界定为电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，采取识别+关联性标准，与欧盟GDPR规定基本相同。

第二，个人信息概念确定之后，接着要判断是否属于处理个人信息的活动。《个保法草案》第4条第2款延续《民法典》规定，明确个人信息处理包括收集、存储、使用、加工、传输、提供、公开等活动，个人信息全生命周期都纳入处理概念之内，结合第3条“组织、个人在中华人民共和国境内处理自然人个人信息的活动”。也就是说，从这两条来看，任何组织或个人涉及以上个人信息处理行为都受到《个保法草案》的约束，且负有相应的合规义务。

2.个人或家庭事务豁免

按照《个保法草案》第3和第4条规定，原则上任何组织或个人对于个人信息的处理活动、家里或纯粹朋友之间交往不可避免涉及个别的个人信息处理活动，如果这些情况的发生均受到《个保法》约束，则并不合理，也没有必要。

《个保法草案》附则规定了两个豁免情形，其一就是“自然人因个人或者家庭事务而处理个人信息的，不适用本法”，这借鉴了GPDR的做法，但GDPR规定还增加了纯粹为个人或家庭活动的限定。

“是否适用家庭处理豁免”的情形是较好判断的，但在涉及互联网的情况下则变得复杂。例如，今年荷兰有位外婆在Facebook上晒娃，被孩子父母起诉要求删除，法官认为，尽管外婆在Facebook帐户上发布照片的行为是出于个人或家庭活动目的，但无法充分认定外婆的Facebook帐户是受到保护的，也不清楚是否可以通过搜索引擎找到该照片。因此，不能排除Facebook上的照片会被再次分发，进入第三方。故法院裁定外婆应删除照片且不得再发布相关照片，否则将处以罚款。由此看来，是否适用家庭或个人事务豁免，要结合处理目的和实际情况进行具体判断。

1.国家机关是否适用？

前文讨论了除为个人或家庭事务的情形外，凡是涉及个人信息处理活动的主体均适用《个保法草案》，适用范围非常广泛。比较典型是App的运营者必须适用《个保法草案》，这类以个人信息作为业务基础的企业在开展业务过程中屡屡出现违法违规处理个人信息的情况正是该草案出台的重要背景之一。除上述以个人信息为业务基础的互联网企业外，部分金融机构、医疗机构也涉及大量个人信息处理，也必须以《个保法草案》作为合规依据。同样道理，个体工商户、行业协会、合伙组织等只要涉及个人信息处理都要适用《个保法草案》。

这里值得关注的是，国家机关是否适用？《民法典》并没有对此规定，《个保法草案》第3节第33条规定国家机关处理个人信息的活动适用本法；本节有特别规定的，适用本节规定。故国家机关适用《个保法草案》。国家机关行业类型较多，包括卫健委疾控等医疗行政管理部门和教育行政主管机构等，《个保法草案》却没有明确国家机关的定义。

而在欧盟，GDPR仅以是否涉及个人信息处理行为作为适用的标准，政府机构适用GDPR已无争议，并没有区分主体，我国《个保法草案》本来也采取同样思路，但增加了第3节国家机关处理个人信息的特别规定，有意明确规制国家机关处理个人信息的行为。

2.司法机关是否适用？

最值得讨论的是司法机关，即公安、法院和检察院如何适用《个保法草案》的问题。例如，当法院在审判案件过程中涉及个人信息处理时是否也要受到《个保法草案》的约束，以及个人信息保护和监督管理机构（网信办负责统筹）与司法机关独立行使审判职权如何协调的问题，而公安机关本身就是个人信息保护和监督管理机构之一。

实际上，GDPR第2条明确规定了当司法行政机关以侦察、起诉或审理案件为目的而处理个人信息时，无需征得信息主体的同意，GDPR第55条规定了“对于法庭在其司法活动中进行的处理操作，监管机构不具有监管职权”，但我国《个保法草案》仅第68条第2款规定了法律对各级人民政府及其有关部门组织实施的统计和档案管理活动中的个人信息处理有规定的，适用其规定。对于司法机关是否适用我国《个保法草案》没有明确规定，这是需要在征求意见阶段调整的。

3.适用范围是否需要限缩？

作为个人信息保护领域的一般性法规，《个保法草案》适用各类机构已无争议，受调整对象需要承担相应的合规义务，增加合规成本和相应的监管和执法成本。但社会生活中涉及个人信息处理活动的情况纷繁复杂，除了豁免家庭或个人目的处理活动、国家机关为实施统计和档案管理的情形，个人信息处理活动所涵摄的范围十分广泛。例如，在拍摄个人照时误把他人一并拍入，且在朋友圈上传了这张有他人存在的照片则可能涉及未经他人允许公开他人信息的行为。此类行为涵盖在个人信息处理活动范围之内，要受到监管，信息主体享有相应权利。而且对于小规模或者线下处理个人信息的小企业、个体工商户、行业协会、合伙组织也要承担这么高要求的合规义务，是否必要？换言之，《个保法草案》是否能在实际获得执行？实际上，《个保法草案》相对于《民法典》而言是专门性法律，具有很强的公法性质，保护范围应与《民法典》有区别，《个保法草案》的调整对象应该限缩在通过网络自动化处理个人信息或其他大规模处理个人信息的机构，小规模的处理个人信息由《民法典》调整即可。

GDPR除了从个人信息处理出发认定调整对象外，还限定了只有全部或部分自动化方式处理个人信息，或者非自动化方式处理但以形成档案系统处理个人信息才适用GDPR。即便如此，GDPR生效执行两年以来，因投诉门槛低，造成了欧洲各国监管机构不堪重负。2016年GDPR颁布以来，即便陆续对中小企业合规义务进行部分豁免，但均难以落到实处。

因此，调整对象广泛能够体现保护个人信息权益的宗旨，但存在增加监管和执法成本、增加调整对象合规成本、实际执法难落地等问题。笔者认为我国《个保法草案》也应该借鉴GDPR规定，专门规制以个人信息处理为主要业务场景的机构，进行适当的限缩。

当前，我国《个保法草案》征求意见的核心是落实《民法典》个人信息保护所需平衡的“两个利益”：一是促进基于个人信息自由流动而发展起来的数据的创新应用，二是个人信息权益保护，最大限度遏制对个人基本权益的负面影响。而《个人信息保护法》调整对象的规定是协调这两个利益的基础，需要进一步细化。由于篇幅所限，本文简要对《个保法草案》进行探讨，以期为读者释疑、解惑。