目次
一、个人信息保护立法的初步比较
二、个人信息保护立法的文化背景差异
三、《
个人信息保护法》的文本再分析
四、《
个人信息保护法》的解释原理
五、结语:《
个人信息保护法》的中国道路
内容摘要:我国《
个人信息保护法》在表面与形式上与欧盟《一般数据保护条例》高度相似,但并非后者的翻版,二者在法律性质、立法目的等方面存在重大差别。欧盟的个人数据保护法具有高度意识形态化的文化渊源,其风险防范以人格与身份为核心,而我国的《
个人信息保护法》则更加具有实用主义的特点,其保护的法益包括了人格与人身财产安全等多项权益。而中美个人信息保护立法虽存在重大差异,但也存在若干共同点。《
个人信息保护法》在借鉴欧美立法的同时,具有鲜明的中国特色。解释与适用这部法律,应坚持实用主义、风险规制、公私法合作治理、场景化适用等解释原理,从而创造出为全球个人信息保护贡献落地实施的中国方案。
关键词:个人信息;隐私;人格尊严;一般数据保护条例;风险
2021年8月20日,千呼万唤的《
个人信息保护法》终于经全国人大常委会表决通过,并于2021年11月1日起正式实施。在我国的立法历史中,很少有哪部法律像《
个人信息保护法》这样,引起如此广泛的关注与争议。从2012年全国人大常委会通过《关于加强网络信息保护的决定》到《
个人信息保护法》的最终出台,学界围绕
个人信息保护法与
宪法等相关法律的关系、
[1]个人信息与隐私保护的区别、
[2]个人信息保护法的立法方向、
[3]个人信息权利(益)的法律属性
[4]以及公私法属性,
[5]展开了深入的讨论。如今,伴随《
个人信息保护法》的通过,一些宏观问题已经有了答案。例如在立法体例上,这部法律采取了统一的立法模式,在立法体例与内容方面较多借鉴了欧盟的立法,尤其是2018年生效的《一般数据保护条例》。
但《
个人信息保护法》是否是一部与《一般数据保护条例》高度类似的法律,或者是一部“小型《一般数据保护条例》”(mini-GDPR)?本文认为,《
个人信息保护法》的文本虽然与《一般数据保护条例》高度相似,但这并不代表二者的基本原理与法律特征完全相同。同样的用语和表述,其含义在不同地区可能完全不同。例如,中西方可能都使用隐私一词,且同样在法律里规定了隐私权保护,但对于何谓隐私存在不同的认识——西方可能会将个人收入视为隐私,但中国的大多数人可能认为这不属于隐私。
[6]即使在西方国家中,欧美对于隐私的理解也具有重大差异,例如,欧盟更多以尊严的立场理解隐私,而美国则更可能以自由的立场理解隐私。
[7]个人信息保护亦是如此,理解《
个人信息保护法》,需要进行更深的文化背景比较与文本细读,从而剖析中国与欧美立法的异同。
据此,本文引入法律文化研究与方法,比较中欧个人信息保护的异同。根据格尔茨的说法,文化“是一种历史上传播的符号意义模式,一种以符号形式表达的继承观念体系,人们通过这种方式交流、延续和发展对生活的认识和态度”。
[8]格尔茨曾经以“眨眼”(wink)为例,指出在某些社会眨眼意味着阴谋诡计,而在其他社会眨眼则意味着调情。因此理解某一社会的眨眼,不能仅仅描述这一概念本身,而必须结合其文化背景进行“深描”(thick description),以“理解并抓住其多重复杂概念结构”。
[9]《
个人信息保护法》的文本研究亦是如此,应结合不同文化背景对其进行深描。
本文的结论是,《
个人信息保护法》虽然在表面上采取了一条类似欧盟的进路,但两部法律在本质上仍然存在众多差异。另外,虽然我国立法在形式上采取了与美国相迥异的领域立法模式,但二者在若干方面仍然存在相似性。当然,我国的个人信息保护和美国也有巨大差异,我国的《
个人信息保护法》采取了与欧美不同的独特的中国道路,
[10]具有回应中国实践需求的实用主义导向。
因此,无论在实证法层面还是正当性层面,未来的个人信息保护都应当避免以欧美的进路来解释我国的《
个人信息保护法》及相关法律的简单思路。相反,对域外个人信息保护的经验与原理的借鉴应该建立在对其原理与背景的深层理解上,将域外经验视为我国个人信息保护的参照。从《
个人信息保护法》的中国特色出发,本文提出了实用主义、风险规制、公私法合作治理、场景化适用等若干解释原理与方法,以期为《
个人信息保护法》的解释与适用提供若干指引。
一、个人信息保护立法的初步比较
在我国《
个人信息保护法》的立法过程中,欧盟的《一般数据保护条例》是一部不得不提的法律,这部法律对《
个人信息保护法》有着毋庸置疑的巨大影响。在多个不同层面,我们都可以发现这两部法律的相似性。
其一,《
个人信息保护法》与《一般数据保护条例》在立法结构上具有高度的相似性。二者都采取了统一立法模式,对不同行业、不同主体、不同目的的个人信息收集与处理的行为做统一性规定。只要存在个人信息的专业化或商业化处理行为,此类行为就可以为两部法律管辖与适用。在《一般数据保护条例》中,所有决定“个人数据处理目的与方式的自然人或法人、公共机构、规制机构或其他实体”都被称为“控制者”,
[11]在《
个人信息保护法》中,所有“自主决定处理目的、处理方式的组织、个人”则被称为“处理者”。
[12]
我国和欧盟的这种立法结构与美国领域性、分散式的立法模式有较大差异。美国并无一般性与统一性的联邦立法,美国联邦层面的个人信息保护立法集中于那些风险较大、社会关注较多的领域。例如美国首部涉及个人信息保护的《公平信用报告法》,其立法目的是为了防止征信领域个人信息的不正当收集与滥用。而在州立法层面,美国的
个人信息保护法也主要针对特定领域,例如,2020年实施的《加利福尼亚州消费者隐私保护法案》和2021年批准的《弗吉尼亚州消费者数据保护法》主要就消费者领域的个人信息收集与处理进行了规制。
其二,《
个人信息保护法》与《一般数据保护条例》在
宪法依据上具有相似性。由于涉及个人信息或个人数据的保护,我国《
个人信息保护法》在三审稿与最终稿第
1条中增添了“根据
宪法,制定本法”的表述,从而将保护个人信息的依据上升到
宪法的高度。与我国类似,欧盟也将个人数据被保护的权利视为一种
宪法上的基本权利。《欧盟基本权利宪章》第8条第1款规定:“每个人都有权保护与其有关的个人数据。”《一般数据保护条例》第1条第2款在规定“本条例保护自然人的基本权利和自由,特别是其个人数据被保护的权利”的同时,又在其“重述”(recital)中重申:“在处理个人信息时保护自然人是一项基本权利。”
相较而言,美国的个人信息保护立法并未明确上升到
宪法层面。无论是美国联邦层面的领域性立法,还是州层面的立法,其
个人信息保护法更多是出于实用主义的考虑,尤其是基于保护消费者和个人的知情权的目的。就
宪法基本权利而言,美国由于其国家行动(state action)教义的限制,其基本权利只能针对公权力主体,既不能像欧盟那样通过第三人效力而辐射到私主体,
[13]也不能像中国这样要求国家承担对个体信息的保护义务。总体而言,美国宪法至今仍然认可美国联邦与州层面的个人信息保护立法,但并未将其视为一种
宪法上的义务。
[14]
其三,《
个人信息保护法》与《一般数据保护条例》在个人信息处理的合法性基础方面具有高度的相似性。两部法律首先都规定处理个人信息需要合法性基础,缺乏合法性基础的,信息处理者不得收集与处理个人信息。具体而言,我国《
个人信息保护法》列举了七种情形,而欧盟《一般数据保护条例》也规定了类似的合法性基础,增加了“处理对于保护数据主体或另一个自然人的核心利益所必要”和“处理对于控制者或第三方所追求的正当利益必要”两项条件,而这两项条件在中国个人信息保护立法中也被广泛讨论,并被认为可以通过其他条款加以解释。
这与美国的个人信息保护立法有较大差别。在美国,首先,个人信息保护的相关立法主要是为了保障公民在个人信息处理中受到公平对待,其个人信息保护中的同意等机制主要为了保障公民知情权,是矫正市场信息不对称的一种手段,而非处理合法性条件的一种方式或途径。其次,在没有立法的领域,美国对收集与处理个人信息采取了更加市场化的原则,即国家并不设置任何处理个人信息的合法性基础。在这些领域,美国主要采取消费者保护的进路,即监管企业在收集与处理个人信息时是否存在“不公平与欺诈”(unfair or deceptive)的行为。
其四,《
个人信息保护法》与《一般数据保护条例》在权利义务设置上具有高度相似性。就个人信息权利而言,两部法律虽然在表述上有一定差异,但都规定了个人的知情选择权、查询复制权、更正权、删除权、携带权、自动化处理与算法决策等相关权利。就信息处理义务而言,二者都要求信息处理者或数据控制者收集个人信息以必要为限度,处理或分析个人信息以最小化为原则,同时履行保护个人信息安全、保障个人信息质量、在数据泄露等情形下采取必要措施并通知用户的义务。
相较而言,美国的个人信息立法没有规定这么宽泛的个人信息权利与信息处理者义务。例如,《家庭教育权利与隐私法》《健康保险可携带性和责任法》《联邦有线通讯政策法案》《视频隐私保护法》《司机隐私保护法案》《儿童在线隐私保护法》《加利福尼亚州消费者隐私法案》等大多规定了个人对于其信息的知情同意权、查询权、更正权、删除权等权利,但除了极个别情况,并未明确规定被遗忘权、携带权及与自动化处理相关的权利。同时在义务方面,美国的大多数法律未强制要求信息处理者遵循最小必要原则,也并未要求企业设置专门的个人信息保护人员。
二、个人信息保护立法的文化背景差异
《
个人信息保护法》的文本虽然在若干方面与《一般数据保护条例》高度相似,与美国立法具有重大差异,但这并不意味着三者在根本原理方面也存在类似的情况。
(一)欧盟
首先就法律性质而言,欧盟以《一般数据保护条例》为代表的数据立法是欧盟基本权利意识形态的一部分。欧盟的
宪法基本权利首先具有欧盟与欧洲共同体建构的功能,个人数据被保护权作为最为重要的一种基本权利,其功能尤其突出。
二战以后,欧盟出现了严重的身份认同危机——欧洲存在的意义是什么?正如哈贝马斯所言,这一问题构成了欧洲知识分子与精英阶层的灵魂之问。对于这一问题,欧洲给出的答案是保护人权与基本权利。
[15]为了保护人权与基本权利,欧盟在其成员国、欧盟与欧盟之外分别建立了复杂的人权保护体系。在成员国内,各国具有其独立的
宪法基本权利及其保护体系。在欧盟内部,《欧盟基本权利宪章》确立了尊严、自由、平等、团结、公民权利和正义等基本权利,并由欧盟正义法院作为最后裁决者;
[16]在欧盟外部,《欧洲人权公约》以国际公约的形式确认了签署国的人权义务,并由《欧洲人权公约》作为最终裁决者。
[17]对于欧洲而言,离开了人权与基本权利的话语体系,欧洲各国公民对于其欧洲的共同身份认同就难以维持,欧盟超国家的制度体系就不具备正当性。
[18]
因此,研究欧盟的个人数据被保护权,必须将其还原到欧盟建构与普世主义价值的意识形态中去理解,而不能仅仅从实用主义的层面去理解。“General Data Protection Regulation”中的“General”一词,正是这一意识形态的最佳佐证。“General”既可以翻译为“一般”和“通用”,又可以翻译为“统一”,表明欧盟希冀将数据权利建构为一种一般性和普适性的权利。
此外,欧盟认为,个人数据处理本身会带来侵害人格的风险。欧盟的个人数据保护立法以风险预防为原则,而且是一种基于人格尊严为核心的风险预防。
[19]个人数据保护虽然可能关乎多种权益,但欧盟对此问题的探讨仍以人格尊严为基础。早在1977年德国制定《联邦数据保护法》时,联邦议会就指出,其立法目的在于预防数据处理对“个人完整性”(personal integrity)的威胁。
[20]1978年,法国也在相关法律中指出,基于个人信息的“信息计算”可能对“人类身份、人权、隐私,和个人或公共自由”构成威胁。
[21]及至1995年通过的第95/46/EC号《数据保护指令》和2016年通过的《一般数据保护条例》,这一立场一直延续。
欧盟之所以采取这种视角,与欧盟在二战期间的纳粹历史密切相关。二战期间德国等国对犹太人等群体的迫害,就是利用个人信息来对特定群体进行大规模区分和识别。因此在二战后,欧盟对于基于个人信息的自动化、半自动化与大规模个人信息存档的行为尤其警惕。在德国著名的人口普查案中,德国法院之所以提出个体相对于信息处理者的“信息自决权”和“信息系统中的信任和完整权”,在一定程度上就是因为此类信息普查引起了德国惨痛的纳粹记忆。
[22]
(二)美国
就法律性质而言,美国个人信息保护主要采取消费者保护的立场,具有市场调节法的特征。一方面,在没有进行个人信息保护立法的领域,美国的个人信息保护采取一般消费者保护的模式,通过美国联邦贸易委员会(FTC)进行市场监管。
[23]而在已经进行个人信息保护立法的领域和州,美国采取了“特殊型”(sui generis)消费者保护法。
[24]美国州层面的若干统一立法也具有类似性质,例如上文提到的《加利福尼亚州消费者隐私权利法案》《弗吉尼亚州消费者数据保护法》,以及奥巴马政府时期起草但未获通过的《消费者隐私权利法案》,也都被冠以消费者保护法之名。
相比欧洲来说,美国的消费者法更少规定规制方面的内容,而是更接近民事法律,特别是合同法制度。
[25]在一般消费者保护方面,美国联邦贸易委员会进行的市场监管较少,只要不存在明显的不公平对待,尤其是不存在欺骗性对待,用户的同意就可以被视为或被拟制为一种合同或是用户授权。同时,即使在已经进行个人信息保护立法的领域,美国所进行的监管也远不如欧盟严厉。如果说欧盟在整体上不信任个人信息保护的市场化机制,在一定程度上采取了施瓦茨教授所谓的“信息隐私不可让渡”(information privacy inalienability)规则,
[26]则美国整体上仍然肯定市场在个人信息保护中的重要作用,其立法目标更多是为了矫正市场的信息不对称与不公平问题。
[27]在这个意义上,可以说美国的大多数个人信息保护立法本质上仍然是一种市场监管法或市场调节法。
另一方面,就立法目的与风险预防而言,美国并没有采取本质主义的立场,认为个人信息处理本身就会带来风险。美国通过立法的方式预防个人信息风险,主要集中在少数处理个人信息行业风险较高或社会关注度较高的领域。例如,在征信、金融、视频、电信、医疗、儿童保护等领域中不当处理个人信息被认为会带来较高风险,因此需要单独进行立法。
[28]总体而言,美国并不像欧洲那样,认为个人信息处理本身就存在侵害个人人格尊严的风险。对美国而言,个人信息处理更像是放大相关风险的过程,而且会因为不同领域和不同场景的差异而不同。在一些风险较小的领域,个人信息处理所带来的风险扩张可能微不足道,因此不需要立法上的风险事前预防。在风险较高的领域,才需要立法与事前规制。就此而言,美国个人信息立法的风险观更为务实,更接近个人信息使用不当或泄露所带来的实际风险。
(三)中国
借助欧美法律文化背景的比较,可以发现我国《
个人信息保护法》的独特性。就法律性质而言,我国的《
个人信息保护法》与欧美的相关立法都有所差异。本文第一部分曾经提到我国《
个人信息保护法》在
宪法渊源上与欧盟《一般数据保护条例》相似,都将个人信息被保护权视为一种基本权利。但我国对于这种
宪法基本权利的理解与欧盟相关立法并不完全相同,如果说欧盟
宪法基本权利和个人信息被保护权具有身份建构与普世主义价值的特征,那么我国则更多将个人信息被保护权视为一种朴素的国家保护义务。与欧盟不同,我国并不以基本权利来维持超国家的身份认同,也不主张建构普世主义的意识形态。
此外,我国的《
个人信息保护法》在事实上也聚焦于消费者个人信息保护,在这一点上反而和美国有一定的相似性。
[29]在我国《
个人信息保护法》的立法过程中,最为聚焦的议题始终是以互联网企业为代表的企业对个人信息的收集与利用,这些议题在很大程度上支配了立法者与参与者对《
个人信息保护法》的想象。《
个人信息保护法》采取了统一立法的模式,但其立法模式恰巧将国家机关作为单独一节进行规定,区别于欧盟不加区分的模式。这一立法体例说明我国的《
个人信息保护法》更像是消费者隐私法与国家机关处理个人信息法的叠加,而非像欧盟法那样,是一部高度融合与统一化的个人信息立法。
[30]
就立法目的与风险防范而言,我国更多采取实用主义的立场。在过去若干年的个人信息立法过程中,学界、产业界与公共舆论围绕个人信息保护展开了激烈的争论,议题包括立法应当按欧盟模式还是美国模式,应当更严格还是更宽松,应当更顾及产业发展还是个人信息保护?
[31]这些问题如今都已经尘埃落定。但这些争论说明我国的个人信息保护立法在根本原理上与欧盟并不完全相同。如果二者完全相同,此类争议就不可能存在。因为按欧盟的理论,个人信息处理本身就存在对人格尊严的威胁,需要无可争议的法律严格规制。我国在立法过程中存在此类争论,恰巧反映出我国个人信息保护立法是从实用主义的角度出发,对个人信息合理利用与相应风险进行权衡判断的结果。
三、《个人信息保护法》的文本再分析
对于我国《
个人信息保护法》的保护性特征与实用主义特征,还可以从文本的某些核心细节中再次获得佐证。与欧盟高度意识形态化的个人数据被保护权、以人格尊严为核心的风险预防不同,我国的《
个人信息保护法》更具实用主义倾向,其防范的风险也更加多元化和贴近实际。
(一)个人信息的界定
中欧个人信息界定的不同首先反映了二者的根本性差异。从表面上看,《
个人信息保护法》对个人信息的定义采取了类似欧盟的表述,将其定义为“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”。
[32]这与欧盟《一般数据保护条例》规定的“任何已识别或可识别的自然人(数据主体)相关的信息”高度相似。
[33]二者不但以“识别”作为界定个人信息的重要标准,而且引入相关或关联的标准,对个人信息采取较为宽泛的定义。
但二者在“识别”这一关键问题上存在着重大差异。欧盟的识别围绕身份展开。根据欧盟《一般数据保护条例》第4条,可识别的自然人包括“能够被直接或间接识别的个体,特别是通过诸如姓名、身份编号、地址数据、网上标识或者自然人所特有的一项或多项的身体性、生理性、遗传性、精神性、经济性、文化性或社会性身份而识别个体”。在欧盟法中,识别概念的重点在于身份的识别,不仅包括姓名、身份编号这类能直接联系到个体的识别信息,而且包括各类身份特征的识别。
[34]
反观我国《
个人信息保护法》,其识别概念的重心在于是否可以联系到特定个体或“识别特定自然人”。《
个人信息保护法》第
73条
