华政学报 | 丁晓东 《个人信息保护法》的比较法重思:中国道路与解释原理
《个人信息保护法》的比较法重思:
中国道路与解释原理
作者简介
丁晓东 中国人民大学法学院、未来法治研究院副教授,法学博士
目 次
一、个人信息保护立法的初步比较
二、个人信息保护立法的文化背景差异
三、《个人信息保护法》的文本再分析
四、《个人信息保护法》的解释原理
五、结语:《个人信息保护法》的中国道路
摘 要
我国《个人信息保护法》在表面与形式上与欧盟《一般数据保护条例》高度相似,但并非后者的翻版,二者在法律性质、立法目的等方面存在重大差别。欧盟的个人数据保护法具有高度意识形态化的文化渊源,其风险防范以人格与身份为核心,而我国的《个人信息保护法》则更加具有实用主义的特点,其保护的法益包括了人格与人身财产安全等多项权益。而中美个人信息保护立法虽存在重大差异,但也存在若干共同点。《个人信息保护法》在借鉴欧美立法的同时,具有鲜明的中国特色。解释与适用这部法律,应坚持实用主义、风险规制、公私法合作治理、场景化适用等解释原理,从而创造出为全球个人信息保护贡献落地实施的中国方案。
►►►
关 键 词
个人信息 隐私 人格尊严
一般数据保护条例 风险
2021年8月20日,千呼万唤的《个人信息保护法》终于经全国人大常委会表决通过,并于2021年11月1日起正式实施。在我国的立法历史中,很少有哪部法律像《个人信息保护法》这样,引起如此广泛的关注与争议。从2012年全国人大常委会通过《关于加强网络信息保护的决定》到《个人信息保护法》的最终出台,学界围绕个人信息保护法与宪法等相关法律的关系、个人信息与隐私保护的区别、个人信息保护法的立法方向、个人信息权利(益)的法律属性以及公私法属性,展开了深入的讨论。如今,伴随《个人信息保护法》的通过,一些宏观问题已经有了答案。例如在立法体例上,这部法律采取了统一的立法模式,在立法体例与内容方面较多借鉴了欧盟的立法,尤其是2018年生效的《一般数据保护条例》。
但《个人信息保护法》是否是一部与《一般数据保护条例》高度类似的法律,或者是一部“小型《一般数据保护条例》”(mini-GDPR)?本文认为,《个人信息保护法》的文本虽然与《一般数据保护条例》高度相似,但这并不代表二者的基本原理与法律特征完全相同。同样的用语和表述,其含义在不同地区可能完全不同。例如,中西方可能都使用隐私一词,且同样在法律里规定了隐私权保护,但对于何谓隐私存在不同的认识——西方可能会将个人收入视为隐私,但中国的大多数人可能认为这不属于隐私。即使在西方国家中,欧美对于隐私的理解也具有重大差异,例如,欧盟更多以尊严的立场理解隐私,而美国则更可能以自由的立场理解隐私。个人信息保护亦是如此,理解《个人信息保护法》,需要进行更深的文化背景比较与文本细读,从而剖析中国与欧美立法的异同。
据此,本文引入法律文化研究与方法,比较中欧个人信息保护的异同。根据格尔茨的说法,文化“是一种历史上传播的符号意义模式,一种以符号形式表达的继承观念体系,人们通过这种方式交流、延续和发展对生活的认识和态度”。格尔茨曾经以“眨眼”(wink)为例,指出在某些社会眨眼意味着阴谋诡计,而在其他社会眨眼则意味着调情。因此理解某一社会的眨眼,不能仅仅描述这一概念本身,而必须结合其文化背景进行“深描”(thick description),以“理解并抓住其多重复杂概念结构”。《个人信息保护法》的文本研究亦是如此,应结合不同文化背景对其进行深描。
本文的结论是,《个人信息保护法》虽然在表面上采取了一条类似欧盟的进路,但两部法律在本质上仍然存在众多差异。另外,虽然我国立法在形式上采取了与美国相迥异的领域立法模式,但二者在若干方面仍然存在相似性。当然,我国的个人信息保护和美国也有巨大差异,我国的《个人信息保护法》采取了与欧美不同的独特的中国道路,具有回应中国实践需求的实用主义导向。
因此,无论在实证法层面还是正当性层面,未来的个人信息保护都应当避免以欧美的进路来解释我国的《个人信息保护法》及相关法律的简单思路。相反,对域外个人信息保护的经验与原理的借鉴应该建立在对其原理与背景的深层理解上,将域外经验视为我国个人信息保护的参照。从《个人信息保护法》的中国特色出发,本文提出了实用主义、风险规制、公私法合作治理、场景化适用等若干解释原理与方法,以期为《个人信息保护法》的解释与适用提供若干指引。
一、个人信息保护立法的初步比较
在我国《个人信息保护法》的立法过程中,欧盟的《一般数据保护条例》是一部不得不提的法律,这部法律对《个人信息保护法》有着毋庸置疑的巨大影响。在多个不同层面,我们都可以发现这两部法律的相似性。
其一,《个人信息保护法》与《一般数据保护条例》在立法结构上具有高度的相似性。二者都采取了统一立法模式,对不同行业、不同主体、不同目的的个人信息收集与处理的行为做统一性规定。只要存在个人信息的专业化或商业化处理行为,此类行为就可以为两部法律管辖与适用。在《一般数据保护条例》中,所有决定“个人数据处理目的与方式的自然人或法人、公共机构、规制机构或其他实体”都被称为“控制者”,在《个人信息保护法》中,所有“自主决定处理目的、处理方式的组织、个人”则被称为“处理者”。
我国和欧盟的这种立法结构与美国领域性、分散式的立法模式有较大差异。美国并无一般性与统一性的联邦立法,美国联邦层面的个人信息保护立法集中于那些风险较大、社会关注较多的领域。例如美国首部涉及个人信息保护的《公平信用报告法》,其立法目的是为了防止征信领域个人信息的不正当收集与滥用。而在州立法层面,美国的个人信息保护法也主要针对特定领域,例如,2020年实施的《加利福尼亚州消费者隐私保护法案》和2021年批准的《弗吉尼亚州消费者数据保护法》主要就消费者领域的个人信息收集与处理进行了规制。
其二,《个人信息保护法》与《一般数据保护条例》在宪法依据上具有相似性。由于涉及个人信息或个人数据的保护,我国《个人信息保护法》在三审稿与最终稿第1条中增添了“根据宪法,制定本法”的表述,从而将保护个人信息的依据上升到宪法的高度。与我国类似,欧盟也将个人数据被保护的权利视为一种宪法上的基本权利。《欧盟基本权利宪章》第8条第1款规定:“每个人都有权保护与其有关的个人数据。”《一般数据保护条例》第1条第2款在规定“本条例保护自然人的基本权利和自由,特别是其个人数据被保护的权利”的同时,又在其“重述”(recital)中重申:“在处理个人信息时保护自然人是一项基本权利。”
相较而言,美国的个人信息保护立法并未明确上升到宪法层面。无论是美国联邦层面的领域性立法,还是州层面的立法,其个人信息保护法更多是出于实用主义的考虑,尤其是基于保护消费者和个人的知情权的目的。就宪法基本权利而言,美国由于其国家行动(state action)教义的限制,其基本权利只能针对公权力主体,既不能像欧盟那样通过第三人效力而辐射到私主体,也不能像中国这样要求国家承担对个体信息的保护义务。总体而言,美国宪法至今仍然认可美国联邦与州层面的个人信息保护立法,但并未将其视为一种宪法上的义务。
其三,《个人信息保护法》与《一般数据保护条例》在个人信息处理的合法性基础方面具有高度的相似性。两部法律首先都规定处理个人信息需要合法性基础,缺乏合法性基础的,信息处理者不得收集与处理个人信息。具体而言,我国《个人信息保护法》列举了七种情形,而欧盟《一般数据保护条例》也规定了类似的合法性基础,增加了“处理对于保护数据主体或另一个自然人的核心利益所必要”和“处理对于控制者或第三方所追求的正当利益必要”两项条件,而这两项条件在中国个人信息保护立法中也被广泛讨论,并被认为可以通过其他条款加以解释。
这与美国的个人信息保护立法有较大差别。在美国,首先,个人信息保护的相关立法主要是为了保障公民在个人信息处理中受到公平对待,其个人信息保护中的同意等机制主要为了保障公民知情权,是矫正市场信息不对称的一种手段,而非处理合法性条件的一种方式或途径。其次,在没有立法的领域,美国对收集与处理个人信息采取了更加市场化的原则,即国家并不设置任何处理个人信息的合法性基础。在这些领域,美国主要采取消费者保护的进路,即监管企业在收集与处理个人信息时是否存在“不公平与欺诈”(unfair or deceptive)的行为。
其四,《个人信息保护法》与《一般数据保护条例》在权利义务设置上具有高度相似性。就个人信息权利而言,两部法律虽然在表述上有一定差异,但都规定了个人的知情选择权、查询复制权、更正权、删除权、携带权、自动化处理与算法决策等相关权利。就信息处理义务而言,二者都要求信息处理者或数据控制者收集个人信息以必要为限度,处理或分析个人信息以最小化为原则,同时履行保护个人信息安全、保障个人信息质量、在数据泄露等情形下采取必要措施并通知用户的义务。
相较而言,美国的个人信息立法没有规定这么宽泛的个人信息权利与信息处理者义务。例如,《家庭教育权利与隐私法》《健康保险可携带性和责任法》《联邦有线通讯政策法案》《视频隐私保护法》《司机隐私保护法案》《儿童在线隐私保护法》《加利福尼亚州消费者隐私法案》等大多规定了个人对于其信息的知情同意权、查询权、更正权、删除权等权利,但除了极个别情况,并未明确规定被遗忘权、携带权及与自动化处理相关的权利。同时在义务方面,美国的大多数法律未强制要求信息处理者遵循最小必要原则,也并未要求企业设置专门的个人信息保护人员。
二、个人信息保护立法的文化背景差异
《个人信息保护法》的文本虽然在若干方面与《一般数据保护条例》高度相似,与美国立法具有重大差异,但这并不意味着三者在根本原理方面也存在类似的情况。
(一)欧盟
首先就法律性质而言,欧盟以《一般数据保护条例》为代表的数据立法是欧盟基本权利意识形态的一部分。欧盟的宪法基本权利首先具有欧盟与欧洲共同体建构的功能,个人数据被保护权作为最为重要的一种基本权利,其功能尤其突出。
二战以后,欧盟出现了严重的身份认同危机——欧洲存在的意义是什么?正如哈贝马斯所言,这一问题构成了欧洲知识分子与精英阶层的灵魂之问。对于这一问题,欧洲给出的答案是保护人权与基本权利。为了保护人权与基本权利,欧盟在其成员国、欧盟与欧盟之外分别建立了复杂的人权保护体系。在成员国内,各国具有其独立的宪法基本权利及其保护体系。在欧盟内部,《欧盟基本权利宪章》确立了尊严、自由、平等、团结、公民权利和正义等基本权利,并由欧盟正义法院作为最后裁决者;在欧盟外部,《欧洲人权公约》以国际公约的形式确认了签署国的人权义务,并由《欧洲人权公约》作为最终裁决者。对于欧洲而言,离开了人权与基本权利的话语体系,欧洲各国公民对于其欧洲的共同身份认同就难以维持,欧盟超国家的制度体系就不具备正当性。
因此,研究欧盟的个人数据被保护权,必须将其还原到欧盟建构与普世主义价值的意识形态中去理解,而不能仅仅从实用主义的层面去理解。“General Data Protection Regulation”中的“General”一词,正是这一意识形态的最佳佐证。“General”既可以翻译为“一般”和“通用”,又可以翻译为“统一”,表明欧盟希冀将数据权利建构为一种一般性和普适性的权利。
此外,欧盟认为,个人数据处理本身会带来侵害人格的风险。欧盟的个人数据保护立法以风险预防为原则,而且是一种基于人格尊严为核心的风险预防。个人数据保护虽然可能关乎多种权益,但欧盟对此问题的探讨仍以人格尊严为基础。早在1977年德国制定《联邦数据保护法》时,联邦议会就指出,其立法目的在于预防数据处理对“个人完整性”(personal integrity)的威胁。1978年,法国也在相关法律中指出,基于个人信息的“信息计算”可能对“人类身份、人权、隐私,和个人或公共自由”构成威胁。及至1995年通过的第95/46/EC号《数据保护指令》和2016年通过的《一般数据保护条例》,这一立场一直延续。
欧盟之所以采取这种视角,与欧盟在二战期间的纳粹历史密切相关。二战期间德国等国对犹太人等群体的迫害,就是利用个人信息来对特定群体进行大规模区分和识别。因此在二战后,欧盟对于基于个人信息的自动化、半自动化与大规模个人信息存档的行为尤其警惕。在德国著名的人口普查案中,德国法院之所以提出个体相对于信息处理者的“信息自决权”和“信息系统中的信任和完整权”,在一定程度上就是因为此类信息普查引起了德国惨痛的纳粹记忆。
(二)美国
就法律性质而言,美国个人信息保护主要采取消费者保护的立场,具有市场调节法的特征。一方面,在没有进行个人信息保护立法的领域,美国的个人信息保护采取一般消费者保护的模式,通过美国联邦贸易委员会(FTC)进行市场监管。而在已经进行个人信息保护立法的领域和州,美国采取了“特殊型”(sui generis)消费者保护法。美国州层面的若干统一立法也具有类似性质,例如上文提到的《加利福尼亚州消费者隐私权利法案》《弗吉尼亚州消费者数据保护法》,以及奥巴马政府时期起草但未获通过的《消费者隐私权利法案》,也都被冠以消费者保护法之名。
相比欧洲来说,美国的消费者法更少规定规制方面的内容,而是更接近民事法律,特别是合同法制度。在一般消费者保护方面,美国联邦贸易委员会进行的市场监管较少,只要不存在明显的不公平对待,尤其是不存在欺骗性对待,用户的同意就可以被视为或被拟制为一种合同或是用户授权。同时,即使在已经进行个人信息保护立法的领域,美国所进行的监管也远不如欧盟严厉。如果说欧盟在整体上不信任个人信息保护的市场化机制,在一定程度上采取了施瓦茨教授所谓的“信息隐私不可让渡”(information privacy inalienability)规则,则美国整体上仍然肯定市场在个人信息保护中的重要作用,其立法目标更多是为了矫正市场的信息不对称与不公平问题。在这个意义上,可以说美国的大多数个人信息保护立法本质上仍然是一种市场监管法或市场调节法。
另一方面,就立法目的与风险预防而言,美国并没有采取本质主义的立场,认为个人信息处理本身就会带来风险。美国通过立法的方式预防个人信息风险,主要集中在少数处理个人信息行业风险较高或社会关注度较高的领域。例如,在征信、金融、视频、电信、医疗、儿童保护等领域中不当处理个人信息被认为会带来较高风险,因此需要单独进行立法。总体而言,美国并不像欧洲那样,认为个人信息处理本身就存在侵害个人人格尊严的风险。对美国而言,个人信息处理更像是放大相关风险的过程,而且会因为不同领域和不同场景的差异而不同。在一些风险较小的领域,个人信息处理所带来的风险扩张可能微不足道,因此不需要立法上的风险事前预防。在风险较高的领域,才需要立法与事前规制。就此而言,美国个人信息立法的风险观更为务实,更接近个人信息使用不当或泄露所带来的实际风险。
(三)中国
借助欧美法律文化背景的比较,可以发现我国《个人信息保护法》的独特性。就法律性质而言,我国的《个人信息保护法》与欧美的相关立法都有所差异。本文第一部分曾经提到我国《个人信息保护法》在宪法渊源上与欧盟《一般数据保护条例》相似,都将个人信息被保护权视为一种基本权利。但我国对于这种宪法基本权利的理解与欧盟相关立法并不完全相同,如果说欧盟宪法基本权利和个人信息被保护权具有身份建构与普世主义价值的特征,那么我国则更多将个人信息被保护权视为一种朴素的国家保护义务。与欧盟不同,我国并不以基本权利来维持超国家的身份认同,也不主张建构普世主义的意识形态。
此外,我国的《个人信息保护法》在事实上也聚焦于消费者个人信息保护,在这一点上反而和美国有一定的相似性。在我国《个人信息保护法》的立法过程中,最为聚焦的议题始终是以互联网企业为代表的企业对个人信息的收集与利用,这些议题在很大程度上支配了立法者与参与者对《个人信息保护法》的想象。《个人信息保护法》采取了统一立法的模式,但其立法模式恰巧将国家机关作为单独一节进行规定,区别于欧盟不加区分的模式。这一立法体例说明我国的《个人信息保护法》更像是消费者隐私法与国家机关处理个人信息法的叠加,而非像欧盟法那样,是一部高度融合与统一化的个人信息立法。
就立法目的与风险防范而言,我国更多采取实用主义的立场。在过去若干年的个人信息立法过程中,学界、产业界与公共舆论围绕个人信息保护展开了激烈的争论,议题包括立法应当按欧盟模式还是美国模式,应当更严格还是更宽松,应当更顾及产业发展还是个人信息保护?这些问题如今都已经尘埃落定。但这些争论说明我国的个人信息保护立法在根本原理上与欧盟并不完全相同。如果二者完全相同,此类争议就不可能存在。因为按欧盟的理论,个人信息处理本身就存在对人格尊严的威胁,需要无可争议的法律严格规制。我国在立法过程中存在此类争论,恰巧反映出我国个人信息保护立法是从实用主义的角度出发,对个人信息合理利用与相应风险进行权衡判断的结果。
三、《个人信息保护法》的文本再分析
对于我国《个人信息保护法》的保护性特征与实用主义特征,还可以从文本的某些核心细节中再次获得佐证。与欧盟高度意识形态化的个人数据被保护权、以人格尊严为核心的风险预防不同,我国的《个人信息保护法》更具实用主义倾向,其防范的风险也更加多元化和贴近实际。
(一)
个人信息的界定
中欧个人信息界定的不同首先反映了二者的根本性差异。从表面上看,《个人信息保护法》对个人信息的定义采取了类似欧盟的表述,将其定义为“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”。这与欧盟《一般数据保护条例》规定的“任何已识别或可识别的自然人(数据主体)相关的信息”高度相似。二者不但以“识别”作为界定个人信息的重要标准,而且引入相关或关联的标准,对个人信息采取较为宽泛的定义。
但二者在“识别”这一关键问题上存在着重大差异。欧盟的识别围绕身份展开。根据欧盟《一般数据保护条例》第4条,可识别的自然人包括“能够被直接或间接识别的个体,特别是通过诸如姓名、身份编号、地址数据、网上标识或者自然人所特有的一项或多项的身体性、生理性、遗传性、精神性、经济性、文化性或社会性身份而识别个体”。在欧盟法中,识别概念的重点在于身份的识别,不仅包括姓名、身份编号这类能直接联系到个体的识别信息,而且包括各类身份特征的识别。
反观我国《个人信息保护法》,其识别概念的重心在于是否可以联系到特定个体或“识别特定自然人”。《个人信息保护法》第73条规定,去标识化“是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程”;匿名化“是指个人信息经过处理无法识别特定自然人且不能复原的过程”。这些规定都表明,我国将识别“特定自然人”作为最终标准。
个人信息的定义并不仅仅是一个技术问题,它反映了中欧在个人信息保护问题上的重大差异,即前者以个体被联系的风险界定个人信息,后者则以身份性区分的角度界定个人信息。正如上文所述,欧盟的身份认同恰巧是要防止识别各类具体身份,因此身份成为其个人信息界定的核心问题。而我国则采取相对而言更具实用主义倾向的方式,以实际联系风险作为区分个人信息的标准。
(二)
敏感个人信息
中欧关于敏感个人信息定义的不同也反映了二者的根本性差异。我国《个人信息保护法》第28条将敏感个人信息界定为“一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息”。对于敏感个人信息,《个人信息保护法》规定只有在具有特定的目的和充分的必要性并采取严格保护措施的情形下才可以进行处理。而欧盟《一般数据保护条例》单独列举了“特殊类型个人数据”,对于特殊种类的个人信息,欧盟规定除非有法定例外情形,否则原则上不得处理。
比较中欧关于这两类特殊保护的个人信息类型,同样可以发现二者具有本质差异。仔细分析欧盟“特殊类型个人数据”,会发现其主要指那些带来身份性歧视的个人数据,例如种族、民族、性取向等个人数据。在历史上,这些类型的身份信息曾经在欧洲造成了大规模歧视,在当代也仍然可能给个体带来歧视风险。而对于其他可能给公民带来风险但与身份不相关的个人数据,欧盟并未将其视为“特殊类型个人数据”,例如,金融账户、行踪轨迹类的数据并不在其范围之内。反观中国,对敏感个人信息具有较为明显的实用主义与风险防范导向,其防范的不仅包括“人格尊严”,而且包括“人身、财产安全”,并将金融账户、行踪轨迹明确纳入列举的类型中。作为个人信息保护的升级版本,我国与欧盟关于敏感或特殊种类个人信息的界定充分说明了二者的差异。
(三)
用户画像与自动化决策
中欧个人信息保护的差异还可以从用户画像与自动化决策中看出。一方面,欧盟对用户画像与自动化决策进行了非常严格的限制,并且对二者进行了一体化规制。根据《一般数据保护条例》的定义,“用户画像”指的是“为了评估自然人的某些条件而对个人数据进行的任何自动化处理”,并进一步规定,数据控制者在收集个人信息时应当告知“存在自动化的决策”和“用户画像”,个体应当有权脱离或反对“完全依靠自动化处理——包括用户画像——对数据主体做出具有法律影响或类似严重影响的决策”。
欧盟的这一立法特点表明,欧盟将用户画像和自动化决策视为同等威胁。在欧盟看来,即使用户画像没有直接用于决策,只要存在用户画像或者说存在自动化处理的评估,此类行为就应当受到个人数据保护法的规制。正如上文所述,个人数据的处理行为本身就被认为是一种对个体基本权利的威胁。在欧洲,此类行为很容易引起人们对纳粹时期德国等国家利用身份信息鉴别犹太人和有关群体的历史记忆。
反观我国,《个人信息保护法》关注的是伴随着个人信息分析与处理中的决策风险,尤其是市场中的不合理决策风险,而非个人信息分析与处理本身的风险。《个人信息保护法》没有明确提到用户画像,第3条虽然原则性地规定“分析、评估境内自然人的行为”也适用本法,但其规定主要集中在自动化决策活动。正如第73条规定,“自动化决策,是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动”。此外,该法对自动化决策的规定也具有显著的中国特征。《个人信息保护法》的自动化决策条款更多针对中国背景下的“大数据杀熟”问题。该法第24条规定,自动化决策应当“保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇”。这一规定表明,《个人信息保护法》对于自动化决策的关注更聚焦于市场性行为,尤其是市场中的信任问题,而非自动化处理所导致的一般人格尊严问题。
(四)
监管、救济与合规制度
个人信息的监管、救济与合规制度也反映了中欧差异。欧盟《一般数据保护条例》允许超越民族国家的行政监管与个人申诉或起诉,即一方面监管机构可以对违法行为进行行政罚款或采取其他行政处罚措施,另一方面个人可以向监管机构进行申诉,或向法院寻求司法救济。同时,它设立了企业内部的独立数据保护官制度,在企业内部独立履行个人信息合规与治理责任。根据规定,个人数据保护官“不能因为完成其任务而被控制者或处理者解雇。其可以直接向控制者或处理者的最高管理层进行报告”。
与欧盟相比,我国《个人信息保护法》不仅建立了监管与救济制度,而且规定了企业“个人信息保护负责人”。但有几点不同,一是我国并未确立类似欧盟的独立监管机构,而是将“国家网信部门”与“县级以上地方人民政府有关部门”“统称为履行个人信息保护职责的部门”;二是并未赋予“个人信息保护负责人”独立的法律地位,“个人信息保护负责人”只是企业内部的专业负责人员,而非独立于企业的独立人员;三是确立了公益诉讼机制,我国《个人信息保护法》第70条规定:“侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。”
欧盟的独立监管机构与企业独立数据保护官制度表明,欧盟将个人数据保护视为一种特殊的,甚至是具有优先性的基本权利。欧盟仅仅在个人数据领域要求企业设置独立人员,而在其他安全生产、环境保护、文化保护等领域,并未做此类强制性要求。此外,欧盟也没有设置公益诉讼制度。而我国不仅在《个人信息保护法》中创设了“个人信息保护负责人”,也在安全生产、食品安全等法律法规中创设了负责安全的专门人员。我国虽然目前极为重视个人信息保护,但就权利性质而言,并未将个人信息保护上升到一个比环境保护或食品安全更优先、对个人基本权利威胁更大的领域。此外,我国设立专门的公益诉讼制度,也表明我国不仅从个体权利角度,而且从公共性或集体权益的角度看待个人信息保护。
四、《个人信息保护法》的解释原理
《个人信息保护法》并非欧盟或美国相关法律的翻版,其具有鲜明的中国特色和价值取向,且以回应我国人民与现实社会的实际需求为出发点和落脚点。从这一根本特征出发,可以提出《个人信息保护法》的若干解释原理与方法。
(一)实用主义
实用主义是一个宽泛的哲学流派,囊括了杜威、皮尔斯、詹姆斯、哈贝马斯、罗蒂等当代众多哲学家与思想家。在法学领域,这一思想流派影响尤其宽泛,包括波斯纳、桑斯坦等很多主流法学家。不同学者对这一思想资源的理解有一定差别,但也有共识性的核心主张,即强调真理与价值的相对可接受性,在法律解释与法律适用时,应当以实践与问题为导向看待法律问题。
在个人信息保护问题上坚持实用主义,与《个人信息保护法》所涉及的法益多元性具有密切关系。如上所述,欧盟将人格尊严视为个人数据保护的核心,并且上升到了基本权利层面,我国难以致此的原因即在于《个人信息保护法》所要保护的法益具有多元性。在《个人信息保护法》的立法过程中,人身与财产安全风险的防范问题一直是讨论的重要议题。例如,徐玉玉因个人信息泄漏被诈骗而自杀案等各类人身财产案件,在促进《个人信息保护法》的立法中起到了关键作用。2015年《刑法修正案(九)》对侵犯个人信息罪的规定,也主要是为了规制个人信息大规模非法交易所导致的电信诈骗等各类行为。因此在解释与适用《个人信息保护法》时,仍应注重这部法律的“初心”,避免以单一和欧盟意识形态化的法益基础来理解这部法律。
此外,随着大型互联网平台的公共属性日益增强,对用户权益的影响日益加深,个人信息保护中的权力制约问题也应成为理解与适用这部法律的重要目标。一方面,大型平台等信息处理者和个人之间往往构成数据权力支配,矫正二者的不平等本身就是个人信息保护法的初衷。另一方面,大型平台和作为集体的信息主体之间也具有权力支配关系,大型平台往往可以通过对不同用户的比较分析,使得它们能够“从数据主体中获得总体层面的洞察,以实现总体层面的适用性,而不是特定于数据主体的个人层面的洞察”。因此有学者提出,应当超越信息处理者与个人的关系,从集体与民主权力制约的角度理解和适用个人信息保护法。对于这两种权力支配关系,我国《个人信息保护法》都给予了一定程度的回应,该法中大量个人知情权的条款,如第11条规定的公众参与、第24条关于自动化决策差别化待遇的规定,都关注了平台与个人或集体的权力失衡问题。因此在解释与适用《个人信息保护法》时,应当采取实用主义原则,把权力制约也作为《个人信息保护法》的目标。
(二)风险规制
解释与适用《个人信息保护法》,还应坚持合理的风险规制原理,摒弃零风险的“预防性原则”(precautionary principle)。风险规制与零风险的“预防性原则”之间的区别在于,前者更强调对风险进行合理规制,在风险预防与事后救济之间寻求恰当的平衡;而后者则对风险采取零容忍态度,强调对所有风险进行事前规制。近年来,在食品安全、环境保护、核电安全、疫情疾病等问题上,风险预防具有广泛的影响,但是除了一些极端的系统性风险,采取零风险的预防原则常常并不合理,尤其在个人信息保护问题上,采取此类原理并不符合我国《个人信息保护法》的特征。
其一,个人信息保护所涉及的法益并不绝对,这决定了其风险防范应当采取符合比例的措施。在学术研究中,对这一问题已经积淀了较多的共识,学者们对其进行了不同角度的论述。例如有论述指出,个人信息与个人相关,但也具有公共性功能,涉及第三方与公众对其的合理利用。还有论述指出,个人信息保护所涉及的法益更多是一种权益,而非一种刚性权利。另有论述指出,对个人信息权益进行保护不能简单套用私权赋权的模式。在实践中,这一特征也取得了广泛认同,例如,即使个人数据严格保护的欧盟,也明确指出“保护个人数据的权利不是一项绝对权利;必须结合其在社会中的作用加以考虑,并与其他基本权利相平衡”。总结而言,个人信息兼具个体属性与流通属性,同时信息处理者与个人之间构成了复杂的关系,二者不仅仅具有侵害与防御的关系,而且具有合作与公共属性。商业属性的信息处理者对个人信息进行规范合理使用,有利于市场的良性运转;具有公共属性的信息处理者对个人信息进行规范合理使用,则有利于公众知情权与社会的有效治理。
其二,个人信息保护须追求安全与发展的平衡,避免安全问题的意识形态化。对于类似新冠疫情的系统性风险,在不具备疫苗群体免疫的情形下进行严防死守,这对于避免医疗资源挤兑、保护人民生命安全具有重要意义。但这种预防策略并不能用在所有问题上,尤其不能简单套用在网络与信息技术问题上。对于网络与信息技术发展中出现的风险,如果罔顾发展,追求绝对安全,最终可能造成社会发展的失败和人民权益的重大损失。
(三)公私法合作治理
《个人信息保护法》兼具公法属性与私法属性,这已成为共识。但在解释与适用这部法律时,公私法如何配合与适用,是一个亟待加强研究的问题。从上文比较法研究与原理分析出发,应注意《个人信息保护法》中公私法规范的深度融合与合作治理,避免从意识形态与传统部门法本位的角度进行理解适用。
其一,在公私法属性上不应将《个人信息保护法》等同于欧盟《一般数据保护条例》。从公私法属性来看,《一般数据保护条例》的公法属性较强,很大程度上是公法基本权利在民事领域的深度辐射。即使是知情同意原则,也被视为个人信息处理的合法性基础,而非合同或合意。相反,美国的很多信息隐私法则主要从市场调节的角度看待个人信息保护,具有更多私法属性或市场调整法的属性,例如美国《加利福尼亚州消费者权利保护法》就被编撰在《加利福尼亚州民法典》中。我国《个人信息保护法》与欧盟仍存在很大差别,与美国的市场规制进路反而存在一定相似性。就此而言,我国《个人信息保护法》的解释与适用仍应注重从市场规制法的原理出发,为市场调整与私法规范预留合理空间。
其二,应注重《个人信息保护法》中公私法规范的融合与协调。这是因为,这部法律中的大量规范已经体现了公私法的高度融合。以知情权、决定权、查阅复制权、更正补充权、删除权、解释说明权等个人信息权利为例,此类权利既具有一定的民事法律特征,同时又是公法规制和国家强制赋权的产物,很难说属于传统公法还是传统私法。同样,信息处理者义务也不仅仅是国家对信息处理者的监管,无论是企业内部自我规制、专门负责人制度、合规审计、影响评估还是补救措施,都涉及信息处理者与个人之间的民事关系。此外,公私法规范在个人信息保护与治理中也会相互影响,二者不可能完全独立于对方而存在。例如在公法监管非常严厉有效的环境中,个人信息的市场调节与私法自治就能更好地发挥作用。同样,如果个人信息的市场机制运行有效,则国家就未必需要过多的公法监管。公私法规范的相互影响说明,《个人信息保护法》应当摆脱纯粹的部门法本位思维,从公私法协调与联动的角度进行解释与适用。
(四)场景化
解释与适用《个人信息保护法》,还应坚持场景化适用。场景理论认为,保护个人信息并非要对其进行统一与标准化保护,而是要寻求与“具体场景相关的信息规范”(context-relative informational norms),维护具体信息关系与生活秩序的公正性或融贯性(integrity)。个人信息保护依赖于具体场景与关系,已经在很多中外文信息隐私法研究中得以体现。具体而言,个人信息保护应当考虑场景、行为人、信息类型、传输原则等不同要素,对不同场景适用不同规范。例如,民族信息在我国简历场景下并不属于敏感信息,但在西方可能就属于敏感信息或特定类型信息。线下出售贵重物品的商家进行监控,可能需要在合适的地方竖立警示牌进行提醒告知,但并不一定需要个人的明确同意,因为在此类场景中,消费者可能有存在视频监控的预期;而线上录像则需要非常严格的告知与同意,仅仅通过一般性的同意而调取用户摄像头进行录像,会对用户权益造成重大威胁。因此,有必要结合不同场景以及个人信息法中不同规范所具有的不同功能,对个人信息规范进行场景化适用。
在《个人信息保护法》制定的背景下,场景化适用可能面临若干质疑或困惑。其一,场景化保护会不会不符合《个人信息保护法》的成文法特征,并且导致其规则的形同虚设?这一问题实际涉及一个经典的法理学命题,即法律是否主要由规则构成。对于这一命题,法理学界有着历史悠久的研究与争论,基本的共识是,并非所有的法律都是规则主导的。法律中经常包含了规则、标准、原则等不同要素,而不同法律不同要素的“比重”(weight)可能不同。有的法律可能是规则主导型的法,例如道路交通法,诸如时速限定之类的规定在其中占据主导地位。而有的法可能是标准或原则主导型的法,其规则在法律适用中所起的作用并没有标准与原则重要,例如反垄断法,实践中一般都按照合理性规则(rule of reason)进行执法,而非按照规则本身(rule per se)进行执法。我国《个人信息保护法》采取统一立法模式,恰巧使得这部法和反垄断法等法律类似,呈现出“非规则型法”或非纯粹规则型法的特征。因此,以场景化原理理解和适用《个人信息保护法》,恰巧符合这部法律的特征。同时,场景化原理也并不意味着规则的形同虚设,“非规则型的法”仅仅意味着规则适用需要在具体场景中结合法律的合理性标准与法律原则,而并非意味着规则不起作用。
其二,场景化保护是否意味着“具体问题具体分析”,从而导致法律的不确定性与法律适用的恣意性?这也同样涉及法理学的一些基本命题。简略而言,场景化保护需要依赖案例与程序,借助案例与程序动态性地界定个人信息保护规则。案例的意义在于其贴近具体生活场景,其对于规范的理解与适用是一个动态的过程,既需要参照过往案例,又需要进行类比与实质性判断。在具有审级制度的司法与执法体制中,案例则既包含了自下而上的规范制定,又具备自上而下的规范统一。而程序的意义在于,其给很多相对不确定的问题提供了审议与思辨的空间与时间,特别是为不同意见提供了抗辩的机会。在实践中,美欧也在法律适用中高度依赖案例与程序。例如,美国联邦贸易委员会的消费者隐私执法被认为具有“普通法”的特征;而欧盟则经常在各类指南中“以案说法”,采用“合理性规则”来解释《一般数据保护条例》,并且建立了比较完备的申诉、司法复核等程序性的数据保护制度。就此而言,场景化保护恰巧是为了避免个人信息保护规则僵化所带来的恣意性。通过案例与程序,场景化保护可以化解“非规则型法”所带来的适用挑战,构建动态但相对确定统一的个人信息保护规范。
五、结语:《个人信息保护法》的中国道路
在《个人信息保护法》制定之初,学界与业界曾掀起了一场走美国道路还是走欧盟道路的争论。一方面,以互联网企业为代表的一方主张,中美两国已经成为数字经济的领跑者,而欧盟则在这场全球数字经济的竞争中远远落后,因此不应作茧自缚模仿欧盟立法。另一方面,有的声音则认为,我国个人信息保护面临着国内外双重压力,亟须效仿以《一般数据保护条例》为代表的严厉规制模式,对个人信息进行全方位的保护。
我国《个人信息保护法》做出了清晰的立法战略抉择,制定了形似欧盟《一般数据保护条例》的《个人信息保护法》,并且在很多方面更为严格。但表面上的相似性并不意味着我国完全采取了欧盟的个人信息保护进路。从比较法的视角对我国《个人信息保护法》进行“深描”,可以发现我国在借鉴欧美经验的基础上,开启了一条具有中国特色的个人信息保护道路。从其特征出发,解释与适用《个人信息保护法》应当遵循实用主义、风险规制、公私法合作治理和场景化适用等原理与方法,使其成为真正满足本国现实需求,并贡献全球数据治理规则的中国方案。
(责任编辑:宫 雪)
(推送编辑:陈宜修)
本文载于《华东政法大学学报》2022年第2期。因篇幅较长,已略去原文注释。如需了解更多,请查阅原文。阅读和下载全文pdf请点击下方“阅读原文”或登陆本刊官网xuebao.ecupl.edu.cn;编辑部在线投稿系统已更新,欢迎学界同仁登录journal.ecupl.edu.cn惠赐大作!
推 荐 阅 读
彭 錞 | 论国家机关处理的个人信息跨境流动制度——以《个人信息保护法》第36条为切入点
金鸿浩 | 互联网时代传播淫秽物品罪的实务反思与规则重塑——基于对368份传播淫秽物品罪判决书的分析
王 苑 | 个人信息保护在民法中的表达——兼论民法与个人信息保护法之关系
订 阅 方 式
【向编辑部订阅】
1.银行汇款
户名:华东政法大学
账号:1001223609026407097
开户支行:中国工商银行愚园路支行
2.邮局汇款
地址:上海市长宁区万航渡路1575号《华东政法大学学报》编辑部
邮编:200042
订阅电话:021-62071670
【邮局订阅】
国内读者可到全国各地邮政公司办理
邮局发行代号:4-618