丁晓东
2021 年8 月20 日,千呼万唤的《个人信息保护法》终于经全国人大常委会表决通过,并于2021年11 月1 日起正式实施。在我国的立法历史中,很少有哪部法律像《个人信息保护法》这样,引起如此广泛的关注与争议。从2012 年全国人大常委会通过《关于加强网络信息保护的决定》到《个人信息保护法》的最终出台,学界围绕个人信息保护法与宪法等相关法律的关系、〔1〕参见全国人大法工委经济法室:《个人信息保护法草案二次审议稿各方面意见(分解材料)》,2021 年6 月,第1 页。个人信息与隐私保护的区别、〔2〕参见王利明:《和而不同:隐私权与个人信息的规则界分和适用》,载《法学评论》2021 年第2 期,第15-24 页。个人信息保护法的立法方向、〔3〕参见周汉华:《探索激励相容的个人数据治理之道——中国个人信息保护法的立法方向》,载《法学研究》2018 年第2 期,第3-23 页。个人信息权利(益)的法律属性〔4〕参见张新宝:《〈民法总则〉个人信息保护条文研究》,载《中外法学》2019 年第1 期,第54-75 页;高富平:《论个人信息保护的目的——以个人信息保护法益区分为核心》,载《法商研究》2019 年第1 期,第93-104 页;丁晓东:《个人信息权利的反思与重塑论个人信息保护的适用前提与法益基础》,载《中外法学》2020 年第2 期,第339-356 页。以及公私法属性,〔5〕参见王锡锌:《个人信息国家保护义务及展开》,载《中国法学》2021 年第1 期,第145-166 页;程啸:《论大数据时代的个人数据权利》,载《中国社会科学》2018 年第3 期,第102-122 页。展开了深入的讨论。如今,伴随《个人信息保护法》的通过,一些宏观问题已经有了答案。例如在立法体例上,这部法律采取了统一的立法模式,在立法体例与内容方面较多借鉴了欧盟的立法,尤其是2018 年生效的《一般数据保护条例》。
但《个人信息保护法》是否是一部与《一般数据保护条例》高度类似的法律,或者是一部“小型《一般数据保护条例》”(mini-GDPR) ?本文认为,《个人信息保护法》的文本虽然与《一般数据保护条例》高度相似,但这并不代表二者的基本原理与法律特征完全相同。同样的用语和表述,其含义在不同地区可能完全不同。例如,中西方可能都使用隐私一词,且同样在法律里规定了隐私权保护,但对于何谓隐私存在不同的认识——西方可能会将个人收入视为隐私,但中国的大多数人可能认为这不属于隐私。〔6〕隐私的中西比较法研究, See Tiffany Li, Zhou Zhou & Jill Bronfman, “Saving Face: Unfolding the Screen of Chinese Privacy Law”, https://papers.ssrn.com/sol3/papers.cfm?abstract_id=2826087, accessed December 12, 2020.即使在西方国家中,欧美对于隐私的理解也具有重大差异,例如,欧盟更多以尊严的立场理解隐私,而美国则更可能以自由的立场理解隐私。〔7〕See James Q. Whitman, “The Two Western Cultures of Privacy: Dignity Versus Liberty”, 113 Yale Law Journal 1153, 1153-1221 (2004).个人信息保护亦是如此,理解《个人信息保护法》,需要进行更深的文化背景比较与文本细读,从而剖析中国与欧美立法的异同。
据此,本文引入法律文化研究与方法,比较中欧个人信息保护的异同。根据格尔茨的说法,文化“是一种历史上传播的符号意义模式,一种以符号形式表达的继承观念体系,人们通过这种方式交流、延续和发展对生活的认识和态度”。〔8〕Clifford Geertz, The Interpretation of Cultures: Selected Essays, New York: Basic Books, 1973, p.89.格尔茨曾经以“眨眼”(wink)为例,指出在某些社会眨眼意味着阴谋诡计,而在其他社会眨眼则意味着调情。因此理解某一社会的眨眼,不能仅仅描述这一概念本身,而必须结合其文化背景进行“深描”(thick description),以“理解并抓住其多重复杂概念结构”。〔9〕Clifford Geertz, The Interpretation of Cultures: Selected Essays, New York: Basic Books, 1973, p.10.《个人信息保护法》的文本研究亦是如此,应结合不同文化背景对其进行深描。
本文的结论是,《个人信息保护法》虽然在表面上采取了一条类似欧盟的进路,但两部法律在本质上仍然存在众多差异。另外,虽然我国立法在形式上采取了与美国相迥异的领域立法模式,但二者在若干方面仍然存在相似性。当然,我国的个人信息保护和美国也有巨大差异,我国的《个人信息保护法》采取了与欧美不同的独特的中国道路,〔10〕《个人信息保护法》出台之前的比较法研究,See Emmanuel Pernot-Leplay, “China's Approach on Data Privacy Law: A Third Way Between the U.S. and the E.U.?”, 8 Penn State Journal of Law & International Affairs 49, 51-117 (2020).具有回应中国实践需求的实用主义导向。
因此,无论在实证法层面还是正当性层面,未来的个人信息保护都应当避免以欧美的进路来解释我国的《个人信息保护法》及相关法律的简单思路。相反,对域外个人信息保护的经验与原理的借鉴应该建立在对其原理与背景的深层理解上,将域外经验视为我国个人信息保护的参照。从《个人信息保护法》的中国特色出发,本文提出了实用主义、风险规制、公私法合作治理、场景化适用等若干解释原理与方法,以期为《个人信息保护法》的解释与适用提供若干指引。
在我国《个人信息保护法》的立法过程中,欧盟的《一般数据保护条例》是一部不得不提的法律,这部法律对《个人信息保护法》有着毋庸置疑的巨大影响。在多个不同层面,我们都可以发现这两部法律的相似性。
其一,《个人信息保护法》与《一般数据保护条例》在立法结构上具有高度的相似性。二者都采取了统一立法模式,对不同行业、不同主体、不同目的的个人信息收集与处理的行为做统一性规定。只要存在个人信息的专业化或商业化处理行为,此类行为就可以为两部法律管辖与适用。在《一般数据保护条例》中,所有决定“个人数据处理目的与方式的自然人或法人、公共机构、规制机构或其他实体”都被称为“控制者”,〔11〕《一般数据保护条例》第4 条第7 款。在《个人信息保护法》中,所有“自主决定处理目的、处理方式的组织、个人”则被称为“处理者”。〔12〕《个人信息保护法》第73 条第1 款。《一般数据保护条例》中的“处理者”概念则类似于我国《个人信息保护法》中的“受托人”。
我国和欧盟的这种立法结构与美国领域性、分散式的立法模式有较大差异。美国并无一般性与统一性的联邦立法,美国联邦层面的个人信息保护立法集中于那些风险较大、社会关注较多的领域。例如美国首部涉及个人信息保护的《公平信用报告法》,其立法目的是为了防止征信领域个人信息的不正当收集与滥用。而在州立法层面,美国的个人信息保护法也主要针对特定领域,例如,2020 年实施的《加利福尼亚州消费者隐私保护法案》和2021 年批准的《弗吉尼亚州消费者数据保护法》主要就消费者领域的个人信息收集与处理进行了规制。
其二,《个人信息保护法》与《一般数据保护条例》在宪法依据上具有相似性。由于涉及个人信息或个人数据的保护,我国《个人信息保护法》在三审稿与最终稿第1 条中增添了“根据宪法,制定本法”的表述,从而将保护个人信息的依据上升到宪法的高度。与我国类似,欧盟也将个人数据被保护的权利视为一种宪法上的基本权利。《欧盟基本权利宪章》第8 条第1 款规定:“每个人都有权保护与其有关的个人数据。”《一般数据保护条例》第1 条第2 款在规定“本条例保护自然人的基本权利和自由,特别是其个人数据被保护的权利”的同时,又在其“重述”(recital)中重申:“在处理个人信息时保护自然人是一项基本权利。”
相较而言,美国的个人信息保护立法并未明确上升到宪法层面。无论是美国联邦层面的领域性立法,还是州层面的立法,其个人信息保护法更多是出于实用主义的考虑,尤其是基于保护消费者和个人的知情权的目的。就宪法基本权利而言,美国由于其国家行动(state action)教义的限制,其基本权利只能针对公权力主体,既不能像欧盟那样通过第三人效力而辐射到私主体,〔13〕参见李海平:《论基本权利私人间效力的范式转型》,载《中国法学》2022 年第2 期,第26-44 页;杨登杰:《基本权利私人间效力:直接还是间接?》,载《中外法学》2022 年第2 期,第285-304 页。也不能像中国这样要求国家承担对个体信息的保护义务。总体而言,美国宪法至今仍然认可美国联邦与州层面的个人信息保护立法,但并未将其视为一种宪法上的义务。〔14〕美国联邦层面的数据保护立法曾经被指控违反美国宪法,但最终获得法院认可。从这个层面来看,美国宪法仍然认可联邦与州的个人信息保护立法,See Sorrell v. IMS Health Inc, 131 S. Ct. 2653 (2011).
其三,《个人信息保护法》与《一般数据保护条例》在个人信息处理的合法性基础方面具有高度的相似性。两部法律首先都规定处理个人信息需要合法性基础,缺乏合法性基础的,信息处理者不得收集与处理个人信息。具体而言,我国《个人信息保护法》列举了七种情形,而欧盟《一般数据保护条例》也规定了类似的合法性基础,增加了“处理对于保护数据主体或另一个自然人的核心利益所必要”和“处理对于控制者或第三方所追求的正当利益必要”两项条件,而这两项条件在中国个人信息保护立法中也被广泛讨论,并被认为可以通过其他条款加以解释。
这与美国的个人信息保护立法有较大差别。在美国,首先,个人信息保护的相关立法主要是为了保障公民在个人信息处理中受到公平对待,其个人信息保护中的同意等机制主要为了保障公民知情权,是矫正市场信息不对称的一种手段,而非处理合法性条件的一种方式或途径。其次,在没有立法的领域,美国对收集与处理个人信息采取了更加市场化的原则,即国家并不设置任何处理个人信息的合法性基础。在这些领域,美国主要采取消费者保护的进路,即监管企业在收集与处理个人信息时是否存在“不公平与欺诈”(unfair or deceptive)的行为。
其四,《个人信息保护法》与《一般数据保护条例》在权利义务设置上具有高度相似性。就个人信息权利而言,两部法律虽然在表述上有一定差异,但都规定了个人的知情选择权、查询复制权、更正权、删除权、携带权、自动化处理与算法决策等相关权利。就信息处理义务而言,二者都要求信息处理者或数据控制者收集个人信息以必要为限度,处理或分析个人信息以最小化为原则,同时履行保护个人信息安全、保障个人信息质量、在数据泄露等情形下采取必要措施并通知用户的义务。
相较而言,美国的个人信息立法没有规定这么宽泛的个人信息权利与信息处理者义务。例如,《家庭教育权利与隐私法》《健康保险可携带性和责任法》《联邦有线通讯政策法案》《视频隐私保护法》《司机隐私保护法案》《儿童在线隐私保护法》《加利福尼亚州消费者隐私法案》等大多规定了个人对于其信息的知情同意权、查询权、更正权、删除权等权利,但除了极个别情况,并未明确规定被遗忘权、携带权及与自动化处理相关的权利。同时在义务方面,美国的大多数法律未强制要求信息处理者遵循最小必要原则,也并未要求企业设置专门的个人信息保护人员。
《个人信息保护法》的文本虽然在若干方面与《一般数据保护条例》高度相似,与美国立法具有重大差异,但这并不意味着三者在根本原理方面也存在类似的情况。
首先就法律性质而言,欧盟以《一般数据保护条例》为代表的数据立法是欧盟基本权利意识形态的一部分。欧盟的宪法基本权利首先具有欧盟与欧洲共同体建构的功能,个人数据被保护权作为最为重要的一种基本权利,其功能尤其突出。
二战以后,欧盟出现了严重的身份认同危机——欧洲存在的意义是什么?正如哈贝马斯所言,这一问题构成了欧洲知识分子与精英阶层的灵魂之问。对于这一问题,欧洲给出的答案是保护人权与基本权利。〔15〕参见[德]尤尔根•哈贝马斯:《关于欧洲宪法的思考》,伍慧萍、朱苗苗译,上海人民出版社2013 年版,第33-69 页。为了保护人权与基本权利,欧盟在其成员国、欧盟与欧盟之外分别建立了复杂的人权保护体系。在成员国内,各国具有其独立的宪法基本权利及其保护体系。在欧盟内部,《欧盟基本权利宪章》确立了尊严、自由、平等、团结、公民权利和正义等基本权利,并由欧盟正义法院作为最后裁决者;〔16〕Charter of Fundamental Rights of the European Union, 2000 O.J C 364/10.在欧盟外部,《欧洲人权公约》以国际公约的形式确认了签署国的人权义务,并由《欧洲人权公约》作为最终裁决者。〔17〕Convention for the Protection of Human Rights and Fundamental Freedoms, art. 1, Nov. 4, 1950, 213 U.N.T.S. 222.对于欧洲而言,离开了人权与基本权利的话语体系,欧洲各国公民对于其欧洲的共同身份认同就难以维持,欧盟超国家的制度体系就不具备正当性。〔18〕See Alec Stone Sweet, Governing with Judges: Constitutional Politics in Europe, Oxford University Press, 2000, pp.3-5;Federico Fabbrini, Fundamental Rights in Europe: Challenges and Transformations in Comparative Perspective, Oxford University Press,2014, p.26.
因此,研究欧盟的个人数据被保护权,必须将其还原到欧盟建构与普世主义价值的意识形态中去理解,而不能仅仅从实用主义的层面去理解。“General Data Protection Regulation”中的“General”一词,正是这一意识形态的最佳佐证。“General”既可以翻译为“一般”和“通用”,又可以翻译为“统一”,表明欧盟希冀将数据权利建构为一种一般性和普适性的权利。
此外,欧盟认为,个人数据处理本身会带来侵害人格的风险。欧盟的个人数据保护立法以风险预防为原则,而且是一种基于人格尊严为核心的风险预防。〔19〕参见马长山:《智慧社会背景下的“第四代人权”及其保障》,载《中国法学》2019 年第5 期,第13 页;王苑:《个人信息保护在民法中的表达——兼论民法与个人信息保护法之关系》,载《华东政法大学学报》2021 年第2 期,第68-79 页。个人数据保护虽然可能关乎多种权益,但欧盟对此问题的探讨仍以人格尊严为基础。早在1977 年德国制定《联邦数据保护法》时,联邦议会就指出,其立法目的在于预防数据处理对“个人完整性”(personal integrity)的威胁。〔20〕See Spiros Simitis, Einleitung, in KOMMENTAR ZUM BUNDESDATENSCHUTZGESETZ 63 (Spiros Simitis et al. eds., 2d ed.), 1979.1978 年,法国也在相关法律中指出,基于个人信息的“信息计算”可能对“人类身份、人权、隐私,和个人或公共自由”构成威胁。〔21〕See Act 1978-17 of 6 January 1978, Data Protection Law, art.1, https://www.cnil.fr/sites/default/files/typo/document/Act78-17VA.pdf, accessed February 18, 2021.及至1995 年通过的第95/46/EC 号《数据保护指令》和2016 年通过的《一般数据保护条例》,这一立场一直延续。
欧盟之所以采取这种视角,与欧盟在二战期间的纳粹历史密切相关。二战期间德国等国对犹太人等群体的迫害,就是利用个人信息来对特定群体进行大规模区分和识别。因此在二战后,欧盟对于基于个人信息的自动化、半自动化与大规模个人信息存档的行为尤其警惕。在德国著名的人口普查案中,德国法院之所以提出个体相对于信息处理者的“信息自决权”和“信息系统中的信任和完整权”,在一定程度上就是因为此类信息普查引起了德国惨痛的纳粹记忆。〔22〕参见BVerfG, 1 BvR 209/83, 1 BvR 484/83, 1 BvR 440/83, 1 BvR 420/83, 1 BvR 362/83, 1 BvR 269/83( Volkszählungsurteil)(Census case) , 转引自Paul M. Schwartz & Karl-Nikolaus Peifer,“ Transatlantic Data Privacy Law”, 106 Geo. L. J. 115, 127( 2017).
就法律性质而言,美国个人信息保护主要采取消费者保护的立场,具有市场调节法的特征。一方面,在没有进行个人信息保护立法的领域,美国的个人信息保护采取一般消费者保护的模式,通过美国联邦贸易委员会(FTC)进行市场监管。〔23〕See What We Do, FTC, https://www.ftc.gov/about-ftc/what-we-do, accessed February 18, 2021.而在已经进行个人信息保护立法的领域和州,美国采取了“特殊型”(sui generis)消费者保护法。〔24〕See Omri Ben-Shahar, “Contracting Over Privacy: Introduction”, 45 Journal of Legal Studies 51, 51-60 (2017).美国州层面的若干统一立法也具有类似性质,例如上文提到的《加利福尼亚州消费者隐私权利法案》《弗吉尼亚州消费者数据保护法》,以及奥巴马政府时期起草但未获通过的《消费者隐私权利法案》,也都被冠以消费者保护法之名。
相比欧洲来说,美国的消费者法更少规定规制方面的内容,而是更接近民事法律,特别是合同法制度。〔25〕See Jane K. Winn & Mark Webber, “The Impact of EU Unfair Contract Terms Law on U.S. Business-to- Consumer Internet Merchants”, 62 Bus. Law. 209 (2006).在一般消费者保护方面,美国联邦贸易委员会进行的市场监管较少,只要不存在明显的不公平对待,尤其是不存在欺骗性对待,用户的同意就可以被视为或被拟制为一种合同或是用户授权。同时,即使在已经进行个人信息保护立法的领域,美国所进行的监管也远不如欧盟严厉。如果说欧盟在整体上不信任个人信息保护的市场化机制,在一定程度上采取了施瓦茨教授所谓的“信息隐私不可让渡”(information privacy inalienability)规则,〔26〕See Paul M. Schwartz, “Privacy Inalienability and the Regulation of Spyware”, 20 Berkeley Tech. L.J. 1269 (2005).则美国整体上仍然肯定市场在个人信息保护中的重要作用,其立法目标更多是为了矫正市场的信息不对称与不公平问题。〔27〕See Omri Ben-Shahar & Carl E. Schneider, “The Failure of Mandated Discourse”, 159 University of Pennsylvania Law Review 647 (2011).在这个意义上,可以说美国的大多数个人信息保护立法本质上仍然是一种市场监管法或市场调节法。
另一方面,就立法目的与风险预防而言,美国并没有采取本质主义的立场,认为个人信息处理本身就会带来风险。美国通过立法的方式预防个人信息风险,主要集中在少数处理个人信息行业风险较高或社会关注度较高的领域。例如,在征信、金融、视频、电信、医疗、儿童保护等领域中不当处理个人信息被认为会带来较高风险,因此需要单独进行立法。〔28〕还有的立法则是因为公共事件推动,例如著名的罗伯特•伯克(Robert Bork)法官被里根总统提名为美国联邦最高法院大法官候选人之后,其租借录像的信息被泄露,引起了社会各界的轩然大波。这一事件导致了《视频隐私保护法》的制定。总体而言,美国并不像欧洲那样,认为个人信息处理本身就存在侵害个人人格尊严的风险。对美国而言,个人信息处理更像是放大相关风险的过程,而且会因为不同领域和不同场景的差异而不同。在一些风险较小的领域,个人信息处理所带来的风险扩张可能微不足道,因此不需要立法上的风险事前预防。在风险较高的领域,才需要立法与事前规制。就此而言,美国个人信息立法的风险观更为务实,更接近个人信息使用不当或泄露所带来的实际风险。
借助欧美法律文化背景的比较,可以发现我国《个人信息保护法》的独特性。就法律性质而言,我国的《个人信息保护法》与欧美的相关立法都有所差异。本文第一部分曾经提到我国《个人信息保护法》在宪法渊源上与欧盟《一般数据保护条例》相似,都将个人信息被保护权视为一种基本权利。但我国对于这种宪法基本权利的理解与欧盟相关立法并不完全相同,如果说欧盟宪法基本权利和个人信息被保护权具有身份建构与普世主义价值的特征,那么我国则更多将个人信息被保护权视为一种朴素的国家保护义务。与欧盟不同,我国并不以基本权利来维持超国家的身份认同,也不主张建构普世主义的意识形态。
此外,我国的《个人信息保护法》在事实上也聚焦于消费者个人信息保护,在这一点上反而和美国有一定的相似性。〔29〕当然,我国消费者保护与欧美也存在一定区别,参见姚佳:《中国消费者法理论的再认识——以消费者运动与私法基础为观察重点》,载《政治与法律》2019 年第4 期,第131-140 页。在我国《个人信息保护法》的立法过程中,最为聚焦的议题始终是以互联网企业为代表的企业对个人信息的收集与利用,这些议题在很大程度上支配了立法者与参与者对《个人信息保护法》的想象。《个人信息保护法》采取了统一立法的模式,但其立法模式恰巧将国家机关作为单独一节进行规定,区别于欧盟不加区分的模式。这一立法体例说明我国的《个人信息保护法》更像是消费者隐私法与国家机关处理个人信息法的叠加,而非像欧盟法那样,是一部高度融合与统一化的个人信息立法。〔30〕就此而言,个人信息的消费者保护进路仍然值得高度重视,参见张守文:《消费者信息权的法律拓展与综合保护》,载《法学》2021 年第12 期,第149-161 页。
就立法目的与风险防范而言,我国更多采取实用主义的立场。在过去若干年的个人信息立法过程中,学界、产业界与公共舆论围绕个人信息保护展开了激烈的争论,议题包括立法应当按欧盟模式还是美国模式,应当更严格还是更宽松,应当更顾及产业发展还是个人信息保护?〔31〕相关讨论,参见张金平:《欧盟个人数据权的演进及其启示》,载《法商研究》2019 年第5 期,第182-192 页;许可:《欧盟〈一般数据保护条例〉的周年回顾与反思》,载《电子知识产权》2019 年第6 期,第4-15 页。这些问题如今都已经尘埃落定。但这些争论说明我国的个人信息保护立法在根本原理上与欧盟并不完全相同。如果二者完全相同,此类争议就不可能存在。因为按欧盟的理论,个人信息处理本身就存在对人格尊严的威胁,需要无可争议的法律严格规制。我国在立法过程中存在此类争论,恰巧反映出我国个人信息保护立法是从实用主义的角度出发,对个人信息合理利用与相应风险进行权衡判断的结果。
对于我国《个人信息保护法》的保护性特征与实用主义特征,还可以从文本的某些核心细节中再次获得佐证。与欧盟高度意识形态化的个人数据被保护权、以人格尊严为核心的风险预防不同,我国的《个人信息保护法》更具实用主义倾向,其防范的风险也更加多元化和贴近实际。
中欧个人信息界定的不同首先反映了二者的根本性差异。从表面上看,《个人信息保护法》对个人信息的定义采取了类似欧盟的表述,将其定义为“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”。〔32〕参见《个人信息保护法》第4 条。这与欧盟《一般数据保护条例》规定的“任何已识别或可识别的自然人(数据主体)相关的信息”高度相似。〔33〕参见《一般数据保护条例》第4 条第1 款。二者不但以“识别”作为界定个人信息的重要标准,而且引入相关或关联的标准,对个人信息采取较为宽泛的定义。
但二者在“识别”这一关键问题上存在着重大差异。欧盟的识别围绕身份展开。根据欧盟《一般数据保护条例》第4 条,可识别的自然人包括“能够被直接或间接识别的个体,特别是通过诸如姓名、身份编号、地址数据、网上标识或者自然人所特有的一项或多项的身体性、生理性、遗传性、精神性、经济性、文化性或社会性身份而识别个体”。在欧盟法中,识别概念的重点在于身份的识别,不仅包括姓名、身份编号这类能直接联系到个体的识别信息,而且包括各类身份特征的识别。〔34〕See Article 29 Working Party “Opinion 4/2007 on the concept of personal data” (WP 136, 20 June 2007).
反观我国《个人信息保护法》,其识别概念的重心在于是否可以联系到特定个体或“识别特定自然人”。《个人信息保护法》第73 条规定,去标识化“是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程”;匿名化“是指个人信息经过处理无法识别特定自然人且不能复原的过程”。这些规定都表明,我国将识别“特定自然人”作为最终标准。〔35〕《民法典》的相关规定也以是否可以识别特定自然人作为标准,该法第1034 条规定:“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息。”就此而言,我国《个人信息保护法》虽然在《民法典》个人信息定义的基础上添加了“关联”标准,但实质上和《民法典》的个人信息定义保持了一致。
个人信息的定义并不仅仅是一个技术问题,它反映了中欧在个人信息保护问题上的重大差异,即前者以个体被联系的风险界定个人信息,后者则以身份性区分的角度界定个人信息。正如上文所述,欧盟的身份认同恰巧是要防止识别各类具体身份,因此身份成为其个人信息界定的核心问题。而我国则采取相对而言更具实用主义倾向的方式,以实际联系风险作为区分个人信息的标准。
中欧关于敏感个人信息定义的不同也反映了二者的根本性差异。我国《个人信息保护法》第28条将敏感个人信息界定为“一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息”。对于敏感个人信息,《个人信息保护法》规定只有在具有特定的目的和充分的必要性并采取严格保护措施的情形下才可以进行处理。而欧盟《一般数据保护条例》单独列举了“特殊类型个人数据”,〔36〕参见《一般数据保护条例》第9 条。对于特殊种类的个人信息,欧盟规定除非有法定例外情形,否则原则上不得处理。
比较中欧关于这两类特殊保护的个人信息类型,同样可以发现二者具有本质差异。仔细分析欧盟“特殊类型个人数据”,会发现其主要指那些带来身份性歧视的个人数据,例如种族、民族、性取向等个人数据。在历史上,这些类型的身份信息曾经在欧洲造成了大规模歧视,在当代也仍然可能给个体带来歧视风险。而对于其他可能给公民带来风险但与身份不相关的个人数据,欧盟并未将其视为“特殊类型个人数据”,例如,金融账户、行踪轨迹类的数据并不在其范围之内。反观中国,对敏感个人信息具有较为明显的实用主义与风险防范导向,其防范的不仅包括“人格尊严”,而且包括“人身、财产安全”,并将金融账户、行踪轨迹明确纳入列举的类型中。作为个人信息保护的升级版本,我国与欧盟关于敏感或特殊种类个人信息的界定充分说明了二者的差异。
中欧个人信息保护的差异还可以从用户画像与自动化决策中看出。一方面,欧盟对用户画像与自动化决策进行了非常严格的限制,并且对二者进行了一体化规制。根据《一般数据保护条例》的定义,“用户画像”指的是“为了评估自然人的某些条件而对个人数据进行的任何自动化处理”,并进一步规定,数据控制者在收集个人信息时应当告知“存在自动化的决策”和“用户画像”,〔37〕参见《一般数据保护条例》第13 条第2 款第f 项。个体应当有权脱离或反对“完全依靠自动化处理——包括用户画像——对数据主体做出具有法律影响或类似严重影响的决策”。〔38〕参见《一般数据保护条例》第22 条第1 款。
欧盟的这一立法特点表明,欧盟将用户画像和自动化决策视为同等威胁。在欧盟看来,即使用户画像没有直接用于决策,只要存在用户画像或者说存在自动化处理的评估,此类行为就应当受到个人数据保护法的规制。正如上文所述,个人数据的处理行为本身就被认为是一种对个体基本权利的威胁。在欧洲,此类行为很容易引起人们对纳粹时期德国等国家利用身份信息鉴别犹太人和有关群体的历史记忆。
反观我国,《个人信息保护法》关注的是伴随着个人信息分析与处理中的决策风险,尤其是市场中的不合理决策风险,而非个人信息分析与处理本身的风险。《个人信息保护法》没有明确提到用户画像,第3 条虽然原则性地规定“分析、评估境内自然人的行为”也适用本法,但其规定主要集中在自动化决策活动。正如第73 条规定,“自动化决策,是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动”。此外,该法对自动化决策的规定也具有显著的中国特征。《个人信息保护法》的自动化决策条款更多针对中国背景下的“大数据杀熟”问题。该法第24 条规定,自动化决策应当“保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇”。这一规定表明,《个人信息保护法》对于自动化决策的关注更聚焦于市场性行为,尤其是市场中的信任问题,而非自动化处理所导致的一般人格尊严问题。〔39〕参见丁晓东:《基于信任的自动化决策:算法解释权的原理反思与制度重构》,载《中国法学》2022 年第1 期,第99-118 页。
个人信息的监管、救济与合规制度也反映了中欧差异。欧盟《一般数据保护条例》允许超越民族国家的行政监管与个人申诉或起诉,即一方面监管机构可以对违法行为进行行政罚款或采取其他行政处罚措施,〔40〕参见《一般数据保护条例》第83 条。另一方面个人可以向监管机构进行申诉,或向法院寻求司法救济。〔41〕参见《一般数据保护条例》第77、78 条。同时,它设立了企业内部的独立数据保护官制度,在企业内部独立履行个人信息合规与治理责任。根据规定,个人数据保护官“不能因为完成其任务而被控制者或处理者解雇。其可以直接向控制者或处理者的最高管理层进行报告”。〔42〕参见《一般数据保护条例》第38 条第3 款。
与欧盟相比,我国《个人信息保护法》不仅建立了监管与救济制度,而且规定了企业“个人信息保护负责人”。但有几点不同,一是我国并未确立类似欧盟的独立监管机构,而是将“国家网信部门”与“县级以上地方人民政府有关部门”“统称为履行个人信息保护职责的部门”;〔43〕《个人信息保护法》第60 条。二是并未赋予“个人信息保护负责人”独立的法律地位,“个人信息保护负责人”只是企业内部的专业负责人员,而非独立于企业的独立人员;三是确立了公益诉讼机制,我国《个人信息保护法》第70 条规定:“侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。”
欧盟的独立监管机构与企业独立数据保护官制度表明,欧盟将个人数据保护视为一种特殊的,甚至是具有优先性的基本权利。欧盟仅仅在个人数据领域要求企业设置独立人员,而在其他安全生产、环境保护、文化保护等领域,并未做此类强制性要求。此外,欧盟也没有设置公益诉讼制度。〔44〕《加利福尼亚州消费者隐私权利法案》则在一定程度上引入了公益诉讼,规定对于违规且30 天后不纠正的行为,可以“由总检察长以加利福尼亚州人民的名义提起民事诉讼”。参见《加利福尼亚州民法典》第1798.155 节。而我国不仅在《个人信息保护法》中创设了“个人信息保护负责人”,也在安全生产、食品安全等法律法规中创设了负责安全的专门人员。我国虽然目前极为重视个人信息保护,但就权利性质而言,并未将个人信息保护上升到一个比环境保护或食品安全更优先、对个人基本权利威胁更大的领域。此外,我国设立专门的公益诉讼制度,也表明我国不仅从个体权利角度,而且从公共性或集体权益的角度看待个人信息保护。〔45〕参见张新宝、赖成宇:《个人信息保护公益诉讼制度的理解与适用》,载《国家检察官学院学报》2021 年第5 期,第55-74 页。
《个人信息保护法》并非欧盟或美国相关法律的翻版,其具有鲜明的中国特色和价值取向,且以回应我国人民与现实社会的实际需求为出发点和落脚点。〔46〕参见王利明、丁晓东:《论〈个人信息保护法〉的特色、亮点与适用》,载《法学家》2021 年第6 期,第1-16 页。从这一根本特征出发,可以提出《个人信息保护法》的若干解释原理与方法。
实用主义是一个宽泛的哲学流派,囊括了杜威、皮尔斯、詹姆斯、哈贝马斯、罗蒂等当代众多哲学家与思想家。在法学领域,这一思想流派影响尤其宽泛,包括波斯纳、桑斯坦等很多主流法学家。不同学者对这一思想资源的理解有一定差别,但也有共识性的核心主张,即强调真理与价值的相对可接受性,在法律解释与法律适用时,应当以实践与问题为导向看待法律问题。〔47〕See Richard Posner, The Problems of Jurisprudence, Harvard University Press, 1990, pp.454-469.
在个人信息保护问题上坚持实用主义,与《个人信息保护法》所涉及的法益多元性具有密切关系。如上所述,欧盟将人格尊严视为个人数据保护的核心,并且上升到了基本权利层面,我国难以致此的原因即在于《个人信息保护法》所要保护的法益具有多元性。在《个人信息保护法》的立法过程中,人身与财产安全风险的防范问题一直是讨论的重要议题。例如,徐玉玉因个人信息泄漏被诈骗而自杀案等各类人身财产案件,在促进《个人信息保护法》的立法中起到了关键作用。2015 年《刑法修正案(九)》对侵犯个人信息罪的规定,也主要是为了规制个人信息大规模非法交易所导致的电信诈骗等各类行为。因此在解释与适用《个人信息保护法》时,仍应注重这部法律的“初心”,避免以单一和欧盟意识形态化的法益基础来理解这部法律。
此外,随着大型互联网平台的公共属性日益增强,对用户权益的影响日益加深,个人信息保护中的权力制约问题也应成为理解与适用这部法律的重要目标。一方面,大型平台等信息处理者和个人之间往往构成数据权力支配,矫正二者的不平等本身就是个人信息保护法的初衷。〔48〕参见王锡锌:《国家保护视野中的个人信息权利束》,载《中国社会科学》2021 年第11 期,第115 页;陈林林、严书元:《论个人信息保护立法中的平等原则》,载《华东政法大学学报》2021 年第5 期,第6-16 页;丁晓东:《法律如何调整不平等关系?——论倾斜保护型法的法理基础与制度框架》,载《中外法学》2022 年第2 期,第445-464 页。另一方面,大型平台和作为集体的信息主体之间也具有权力支配关系,大型平台往往可以通过对不同用户的比较分析,使得它们能够“从数据主体中获得总体层面的洞察,以实现总体层面的适用性,而不是特定于数据主体的个人层面的洞察”。〔49〕See Neil M. Richards & Jonathan H. King, “Three Paradoxes of Big Data”, 66 Stan. L. Rev. 41, 45(2013).因此有学者提出,应当超越信息处理者与个人的关系,从集体与民主权力制约的角度理解和适用个人信息保护法。〔50〕See Salome Viljoen, “Democratic Data: A Relational Theory for Data Governance”, 131 Yale Law Journal 577, 577-641 (2021).对于这两种权力支配关系,我国《个人信息保护法》都给予了一定程度的回应,该法中大量个人知情权的条款,如第11 条规定的公众参与、第24 条关于自动化决策差别化待遇的规定,都关注了平台与个人或集体的权力失衡问题。因此在解释与适用《个人信息保护法》时,应当采取实用主义原则,把权力制约也作为《个人信息保护法》的目标。
解释与适用《个人信息保护法》,还应坚持合理的风险规制原理,〔51〕近年来部分从风险角度进行的分析,参见谢鸿飞:《个人信息泄露侵权责任构成中的“损害”——兼论风险社会中损害的观念化》,载《国家检察官学院学报》2021 年第5 期,第21-37 页;申卫星:《大数据时代个人信息保护的中国路径》,载《探索与争鸣》2021 年第11 期,第5-8 页;刘艳红:《公共空间运用大规模监控的法理逻辑及限度——基于个人信息有序共享之视角》,载《法学论坛》2020 年第2 期,第5-16 页;欧阳本祺:《侵犯公民个人信息罪的法益重构:从私法权利回归公法权利》,载《比较法研究》2021 年第3 期,第55-68 页;刘泽刚:《大数据隐私权的不确定性及其应对机制》,载《浙江学刊》2020 年第6 期,第48-58 页;丁晓东:《什么是数据权利?——从欧洲〈一般数据保护条例〉看数据隐私的保护》,载《华东政法大学学报》2018 年第4 期,第39-53 页。摒弃零风险的“预防性原则”(precautionary principle)。风险规制与零风险的“预防性原则”之间的区别在于,前者更强调对风险进行合理规制,在风险预防与事后救济之间寻求恰当的平衡;而后者则对风险采取零容忍态度,强调对所有风险进行事前规制。近年来,在食品安全、环境保护、核电安全、疫情疾病等问题上,风险预防具有广泛的影响,但是除了一些极端的系统性风险,采取零风险的预防原则常常并不合理,〔52〕对预防性原则本身的批判,See Cass R. Sunstein, Laws of Fear: Beyond the Precautionary Principle, Cambridge University Press, 2005, pp.1-25.尤其在个人信息保护问题上,采取此类原理并不符合我国《个人信息保护法》的特征。
其一,个人信息保护所涉及的法益并不绝对,这决定了其风险防范应当采取符合比例的措施。在学术研究中,对这一问题已经积淀了较多的共识,学者们对其进行了不同角度的论述。例如有论述指出,个人信息与个人相关,但也具有公共性功能,涉及第三方与公众对其的合理利用。〔53〕参见梅夏英:《在分享和控制之间:数据保护的私法局限和公共秩序构建》,载《中外法学》2019 年第4 期,第845-870 页;商希雪:《超越私权属性的个人信息共享——基于〈欧盟一般数据保护条例〉正当利益条款的分析》,载《法商研究》2020 年第2 期,第57-70 页。还有论述指出,个人信息保护所涉及的法益更多是一种权益,而非一种刚性权利。〔54〕参见张新宝:《论个人信息权益的构造》,载《中外法学》2021 年第5 期,第1144-1166 页;程啸:《民法典编纂视野下的个人信息保护》,载《中国法学》2019 年第4 期,第26-43 页;杨芳:《个人信息自决权理论及其检讨:兼论个人信息保护法之保护客体》,载《比较法研究》2015 年第6 期,第22-33 页。另有论述指出,对个人信息权益进行保护不能简单套用私权赋权的模式。〔55〕参见郑晓剑:《个人信息的民法定位及保护模式》,载《法学》2021 年第3 期,第116-130 页、第57-70 页。在实践中,这一特征也取得了广泛认同,例如,即使个人数据严格保护的欧盟,也明确指出“保护个人数据的权利不是一项绝对权利;必须结合其在社会中的作用加以考虑,并与其他基本权利相平衡”。〔56〕《一般数据保护条例》,“重述”第4 条。总结而言,个人信息兼具个体属性与流通属性,同时信息处理者与个人之间构成了复杂的关系,二者不仅仅具有侵害与防御的关系,而且具有合作与公共属性。〔57〕参见王利明:《数据共享与个人信息保护》,载《现代法学》2019 年第1 期,第45-57 页。商业属性的信息处理者对个人信息进行规范合理使用,有利于市场的良性运转;具有公共属性的信息处理者对个人信息进行规范合理使用,则有利于公众知情权与社会的有效治理。
其二,个人信息保护须追求安全与发展的平衡,避免安全问题的意识形态化。对于类似新冠疫情的系统性风险,在不具备疫苗群体免疫的情形下进行严防死守,这对于避免医疗资源挤兑、保护人民生命安全具有重要意义。但这种预防策略并不能用在所有问题上,尤其不能简单套用在网络与信息技术问题上。对于网络与信息技术发展中出现的风险,如果罔顾发展,追求绝对安全,最终可能造成社会发展的失败和人民权益的重大损失。
《个人信息保护法》兼具公法属性与私法属性,这已成为共识。〔58〕部分从公私法融合角度进行的分析,参见周汉华:《平行还是交叉 个人信息保护与隐私权的关系》,载《中外法学》2021年第5 期,第1167-1187 页、第845-870 页;梅夏英:《论被遗忘权的法理定位与保护范围之限定》,载《法律适用》2017 年第16 期,第48-54 页;吴伟光:《平台组织内网络企业对个人信息保护的信义义务》,载《中国法学》2021 年第6 期,第45-60 页;郭春镇、马磊:《大数据时代个人信息问题的回应型治理》,载《法制与社会发展》2020 年第2 期,第180-196 页;于浩:《我国个人数据的法律规制——域外经验及其借鉴》,载《法商研究》2020 年第6 期,第139-151 页;丁晓东:《个人信息私法保护的困境与出路》,载《法学研究》2018 年第6 期,第194-206 页。但在解释与适用这部法律时,公私法如何配合与适用,是一个亟待加强研究的问题。〔59〕从宪法、民法与行政法三维角度的深入分析,参见王锡锌:《个人信息权益的三层构造及保护机制》,载《现代法学》2021 年第5 期,第105-123 页。从上文比较法研究与原理分析出发,应注意《个人信息保护法》中公私法规范的深度融合与合作治理,避免从意识形态与传统部门法本位的角度进行理解适用。〔60〕参见刘权:《论个人信息处理的合法、正当、必要原则》,载《法学家》2021 年第5 期,第14-15 页。
其一,在公私法属性上不应将《个人信息保护法》等同于欧盟《一般数据保护条例》。从公私法属性来看,《一般数据保护条例》的公法属性较强,很大程度上是公法基本权利在民事领域的深度辐射。即使是知情同意原则,也被视为个人信息处理的合法性基础,而非合同或合意。相反,美国的很多信息隐私法则主要从市场调节的角度看待个人信息保护,具有更多私法属性或市场调整法的属性,例如美国《加利福尼亚州消费者权利保护法》就被编撰在《加利福尼亚州民法典》中。我国《个人信息保护法》与欧盟仍存在很大差别,与美国的市场规制进路反而存在一定相似性。就此而言,我国《个人信息保护法》的解释与适用仍应注重从市场规制法的原理出发,为市场调整与私法规范预留合理空间。
其二,应注重《个人信息保护法》中公私法规范的融合与协调。这是因为,这部法律中的大量规范已经体现了公私法的高度融合。以知情权、决定权、查阅复制权、更正补充权、删除权、解释说明权等个人信息权利为例,此类权利既具有一定的民事法律特征,同时又是公法规制和国家强制赋权的产物,很难说属于传统公法还是传统私法。同样,信息处理者义务也不仅仅是国家对信息处理者的监管,无论是企业内部自我规制、专门负责人制度、合规审计、影响评估还是补救措施,都涉及信息处理者与个人之间的民事关系。此外,公私法规范在个人信息保护与治理中也会相互影响,二者不可能完全独立于对方而存在。例如在公法监管非常严厉有效的环境中,个人信息的市场调节与私法自治就能更好地发挥作用。同样,如果个人信息的市场机制运行有效,则国家就未必需要过多的公法监管。公私法规范的相互影响说明,《个人信息保护法》应当摆脱纯粹的部门法本位思维,从公私法协调与联动的角度进行解释与适用。〔61〕参见马长山:《智能互联网时代的法律变革》,载《法学研究》2018 年第4 期,第20-38 页。
解释与适用《个人信息保护法》,还应坚持场景化适用。场景理论认为,保护个人信息并非要对其进行统一与标准化保护,而是要寻求与“具体场景相关的信息规范”(context-relative informational norms),维护具体信息关系与生活秩序的公正性或融贯性(integrity)。〔62〕See Helen Nissenbaum, Privacy in Context: Technology, Policy, and the Integrity of Social Life, Stanford University Press, 2009,p.141.个人信息保护依赖于具体场景与关系,已经在很多中外文信息隐私法研究中得以体现。〔63〕英文文献对与个人信息保护的场景化(contextual)特征几乎已经形成共识,主要的分歧和研究在于如何从制度层面落实场景理论,See Danielle Keats Citron & Daniel J. Solove, “Privacy Harm”, 102 Boston University Law Review 41, 3-60 (2021);中文文献的分析,参见邢会强:《人脸识别的法律规制》,载《比较法研究》2020 年第5 期,第51-63 页;江溯:《从记忆到遗忘:欧盟被遗忘权制度的运行及其启示》,载《南京师大学报(社会科学版)》2021 年第4 期,第122-130 页;田野:《风险作为损害:大数据时代侵权“损害”概念的革新》,载《政治与法律》2021 年第10 期,第25-39 页;宁园:《敏感个人信息的法律基准与范畴界定——〈个人信息保护法〉第28条第1 款为中心》,载《比较法研究》2021 年第5 期,第33-49 页;韩旭至:《刷脸的法律治理:由身份识别到识别分析》,载《东方法学》2021 年第5 期,第69-79 页;苏今:《后疫情时代个人涉疫信息的控制特点及其路径修正——以隐私场景理论为视角》,载《情报杂志》2021 年第9 期,第124-132 页;谢尧雯:《基于数字信任维系的个人信息保护路径》,载《浙江学刊》2021 年第4 期,第72-84 页;丁晓东:《个人信息的双重属性与行为主义规制》,载《法学家》2020 年第1 期,第64-76 页。具体而言,个人信息保护应当考虑场景、行为人、信息类型、传输原则等不同要素,对不同场景适用不同规范。例如,民族信息在我国简历场景下并不属于敏感信息,但在西方可能就属于敏感信息或特定类型信息。〔64〕对于敏感个人信息中的场景性问题,参见王利明:《敏感个人信息保护的基本问题——以〈民法典〉和〈个人信息保护法〉的解释为背景》,载《当代法学》2022 年第1 期,第3-14 页。线下出售贵重物品的商家进行监控,可能需要在合适的地方竖立警示牌进行提醒告知,但并不一定需要个人的明确同意,因为在此类场景中,消费者可能有存在视频监控的预期;而线上录像则需要非常严格的告知与同意,仅仅通过一般性的同意而调取用户摄像头进行录像,会对用户权益造成重大威胁。因此,有必要结合不同场景以及个人信息法中不同规范所具有的不同功能,对个人信息规范进行场景化适用。
在《个人信息保护法》制定的背景下,场景化适用可能面临若干质疑或困惑。其一,场景化保护会不会不符合《个人信息保护法》的成文法特征,并且导致其规则的形同虚设?这一问题实际涉及一个经典的法理学命题,即法律是否主要由规则构成。对于这一命题,法理学界有着历史悠久的研究与争论,〔65〕See Richard Posner, The Problems of Jurisprudence, Harvard University Press, 1990,pp.42-61.基本的共识是,并非所有的法律都是规则主导的。法律中经常包含了规则、标准、原则等不同要素,而不同法律不同要素的“比重”(weight)可能不同。〔66〕See Joseph Raz, Practical Reasons and Norms, Princeton University Press, 1990, pp.59-62.有的法律可能是规则主导型的法,例如道路交通法,诸如时速限定之类的规定在其中占据主导地位。而有的法可能是标准或原则主导型的法,其规则在法律适用中所起的作用并没有标准与原则重要,例如反垄断法,实践中一般都按照合理性规则(rule of reason)进行执法,而非按照规则本身(rule per se)进行执法。〔67〕See Robert H. Bork, “The Rule of Reason and the Per Se Concept: Price Fixing and Market Division”, 74 Yale Law Journal 775 (1965).我国《个人信息保护法》采取统一立法模式,恰巧使得这部法和反垄断法等法律类似,呈现出“非规则型法”或非纯粹规则型法的特征。因此,以场景化原理理解和适用《个人信息保护法》,恰巧符合这部法律的特征。同时,场景化原理也并不意味着规则的形同虚设,“非规则型的法”仅仅意味着规则适用需要在具体场景中结合法律的合理性标准与法律原则,而并非意味着规则不起作用。
其二,场景化保护是否意味着“具体问题具体分析”,从而导致法律的不确定性与法律适用的恣意性?这也同样涉及法理学的一些基本命题。简略而言,场景化保护需要依赖案例与程序,借助案例与程序动态性地界定个人信息保护规则。案例的意义在于其贴近具体生活场景,其对于规范的理解与适用是一个动态的过程,既需要参照过往案例,又需要进行类比与实质性判断。〔68〕See Cass R. Sunstein, Legal Reasoning and Political Conflict, Oxford University Press, 1996, pp.1-25.在具有审级制度的司法与执法体制中,案例则既包含了自下而上的规范制定,又具备自上而下的规范统一。而程序的意义在于,其给很多相对不确定的问题提供了审议与思辨的空间与时间,特别是为不同意见提供了抗辩的机会。在实践中,美欧也在法律适用中高度依赖案例与程序。例如,美国联邦贸易委员会的消费者隐私执法被认为具有“普通法”的特征;〔69〕See Daniel J. Solove & Woodrow Hartzog, “The FTC and the New Common Law of Privacy”, 114 COLUM. L. REV. 583, 585-686 (2014).而欧盟则经常在各类指南中“以案说法”,采用“合理性规则”来解释《一般数据保护条例》,〔70〕See Opinion of Advocate General Jääskinen in Case C-131/12, Google Spain SL & Google Inc v Agencia Española de Protección de Datos (AEPD) and Mario Costeja González [2013] ECR I-0000, para 30.并且建立了比较完备的申诉、司法复核等程序性的数据保护制度。就此而言,场景化保护恰巧是为了避免个人信息保护规则僵化所带来的恣意性。通过案例与程序,场景化保护可以化解“非规则型法”所带来的适用挑战,〔71〕“非规则型法”与我国传统法律文化具有类似之处。参见马小红:《“软法”定义:从传统的“礼法合治”中寻求法的共识》,载《政法论坛》2017 年第1 期,第21-30 页;王志强:《“非规则型法”:贡献、反思与追问》,载《华东政法大学学报》2018 年第2 期,第61-68 页。构建动态但相对确定统一的个人信息保护规范。
在《个人信息保护法》制定之初,学界与业界曾掀起了一场走美国道路还是走欧盟道路的争论。一方面,以互联网企业为代表的一方主张,中美两国已经成为数字经济的领跑者,而欧盟则在这场全球数字经济的竞争中远远落后,因此不应作茧自缚模仿欧盟立法。另一方面,有的声音则认为,我国个人信息保护面临着国内外双重压力,亟须效仿以《一般数据保护条例》为代表的严厉规制模式,对个人信息进行全方位的保护。
我国《个人信息保护法》做出了清晰的立法战略抉择,制定了形似欧盟《一般数据保护条例》的《个人信息保护法》,并且在很多方面更为严格。〔72〕有域外媒体将我国《个人信息保护法》称为全球最严的类似法律之一,来源:https://www.wsj.com/articles/china-passes-oneof-the-worlds-strictest-data-privacy-laws-11629429138,2021 年2 月18 日访问。但表面上的相似性并不意味着我国完全采取了欧盟的个人信息保护进路。从比较法的视角对我国《个人信息保护法》进行“深描”,可以发现我国在借鉴欧美经验的基础上,开启了一条具有中国特色的个人信息保护道路。从其特征出发,解释与适用《个人信息保护法》应当遵循实用主义、风险规制、公私法合作治理和场景化适用等原理与方法,使其成为真正满足本国现实需求,并贡献全球数据治理规则的中国方案。