丁晓东 《个人信息保护法》的比较法重思：中國(guó)道路与解释原理(lǐ)（上）
2022-05-31 09:14:12

目次

一、个人信息保护立法的初步比较

二、个人信息保护立法的文(wén)化背景差异

三、《个人信息保护法》的文(wén)本再分(fēn)析

四、《个人信息保护法》的解释原理(lǐ)

五、结语：《个人信息保护法》的中國(guó)道路

摘要

我國(guó)《个人信息保护法》在表面与形式上与欧盟《一般数据保护条例》高度相似，但并非后者的翻版，二者在法律性质、立法目的等方面存在重大差别。欧盟的个人数据保护法具有(yǒu)高度意识形态化的文(wén)化渊源，其风险防范以人格与身份為(wèi)核心，而我國(guó)的《个人信息保护法》则更加具有(yǒu)实用(yòng)主义的特点，其保护的法益包括了人格与人身财产安全等多(duō)项权益。而中美个人信息保护立法虽存在重大差异，但也存在若干共同点。《个人信息保护法》在借鉴欧美立法的同时，具有(yǒu)鲜明的中國(guó)特色。解释与适用(yòng)这部法律，应坚持实用(yòng)主义、风险规制、公私法合作治理(lǐ)、场景化适用(yòng)等解释原理(lǐ)，从而创造出為(wèi)全球个人信息保护贡献落地实施的中國(guó)方案。 

关键词

个人信息；隐私；人格尊严；一般数据保护条例；风险

2021年8月20日，千呼万唤的《个人信息保护法》终于经全國(guó)人大常委会表决通过，并于2021年11月1日起正式实施。在我國(guó)的立法历史中，很(hěn)少有(yǒu)哪部法律像《个人信息保护法》这样，引起如此广泛的关注与争议。从2012年全國(guó)人大常委会通过《关于加强网络信息保护的决定》到《个人信息保护法》的最终出台，學(xué)界围绕个人信息保护法与宪法等相关法律的关系、个人信息与隐私保护的區(qū)别、个人信息保护法的立法方向、个人信息权利（益）的法律属性以及公私法属性，展开了深入的讨论。如今，伴随《个人信息保护法》的通过，一些宏观问题已经有(yǒu)了答(dá)案。例如在立法體(tǐ)例上，这部法律采取了统一的立法模式，在立法體(tǐ)例与内容方面较多(duō)借鉴了欧盟的立法，尤其是2018年生效的《一般数据保护条例》。

但《个人信息保护法》是否是一部与《一般数据保护条例》高度类似的法律，或者是一部“小(xiǎo)型《一般数据保护条例》”（mini-GDPR）？本文(wén)认為(wèi)，《个人信息保护法》的文(wén)本虽然与《一般数据保护条例》高度相似，但这并不代表二者的基本原理(lǐ)与法律特征完全相同。同样的用(yòng)语和表述，其含义在不同地區(qū)可(kě)能(néng)完全不同。例如，中西方可(kě)能(néng)都使用(yòng)隐私一词，且同样在法律里规定了隐私权保护，但对于何谓隐私存在不同的认识——西方可(kě)能(néng)会将个人收入视為(wèi)隐私，但中國(guó)的大多(duō)数人可(kě)能(néng)认為(wèi)这不属于隐私。即使在西方國(guó)家中，欧美对于隐私的理(lǐ)解也具有(yǒu)重大差异，例如，欧盟更多(duō)以尊严的立场理(lǐ)解隐私，而美國(guó)则更可(kě)能(néng)以自由的立场理(lǐ)解隐私。个人信息保护亦是如此，理(lǐ)解《个人信息保护法》，需要进行更深的文(wén)化背景比较与文(wén)本细读，从而剖析中國(guó)与欧美立法的异同。

据此，本文(wén)引入法律文(wén)化研究与方法，比较中欧个人信息保护的异同。根据格尔茨的说法，文(wén)化“是一种历史上传播的符号意义模式，一种以符号形式表达的继承观念體(tǐ)系，人们通过这种方式交流、延续和发展对生活的认识和态度”。格尔茨曾经以“眨眼”（wink）為(wèi)例，指出在某些社会眨眼意味着阴谋诡计，而在其他(tā)社会眨眼则意味着调情。因此理(lǐ)解某一社会的眨眼，不能(néng)仅仅描述这一概念本身，而必须结合其文(wén)化背景进行“深描”（thick description），以“理(lǐ)解并抓住其多(duō)重复杂概念结构”。《个人信息保护法》的文(wén)本研究亦是如此，应结合不同文(wén)化背景对其进行深描。

本文(wén)的结论是，《个人信息保护法》虽然在表面上采取了一条类似欧盟的进路，但两部法律在本质上仍然存在众多(duō)差异。另外，虽然我國(guó)立法在形式上采取了与美國(guó)相迥异的领域立法模式，但二者在若干方面仍然存在相似性。当然，我國(guó)的个人信息保护和美國(guó)也有(yǒu)巨大差异，我國(guó)的《个人信息保护法》采取了与欧美不同的独特的中國(guó)道路，具有(yǒu)回应中國(guó)实践需求的实用(yòng)主义导向。

因此，无论在实证法层面还是正当性层面，未来的个人信息保护都应当避免以欧美的进路来解释我國(guó)的《个人信息保护法》及相关法律的简单思路。相反，对域外个人信息保护的经验与原理(lǐ)的借鉴应该建立在对其原理(lǐ)与背景的深层理(lǐ)解上，将域外经验视為(wèi)我國(guó)个人信息保护的参照。从《个人信息保护法》的中國(guó)特色出发，本文(wén)提出了实用(yòng)主义、风险规制、公私法合作治理(lǐ)、场景化适用(yòng)等若干解释原理(lǐ)与方法，以期為(wèi)《个人信息保护法》的解释与适用(yòng)提供若干指引。

1、个人信息保护立法的初步比较

在我國(guó)《个人信息保护法》的立法过程中，欧盟的《一般数据保护条例》是一部不得不提的法律，这部法律对《个人信息保护法》有(yǒu)着毋庸置疑的巨大影响。在多(duō)个不同层面，我们都可(kě)以发现这两部法律的相似性。

其一，《个人信息保护法》与《一般数据保护条例》在立法结构上具有(yǒu)高度的相似性。二者都采取了统一立法模式，对不同行业、不同主體(tǐ)、不同目的的个人信息收集与处理(lǐ)的行為(wèi)做统一性规定。只要存在个人信息的专业化或商(shāng)业化处理(lǐ)行為(wèi)，此类行為(wèi)就可(kě)以為(wèi)两部法律管辖与适用(yòng)。在《一般数据保护条例》中，所有(yǒu)决定“个人数据处理(lǐ)目的与方式的自然人或法人、公共机构、规制机构或其他(tā)实體(tǐ)”都被称為(wèi)“控制者”，在《个人信息保护法》中，所有(yǒu)“自主决定处理(lǐ)目的、处理(lǐ)方式的组织、个人”则被称為(wèi)“处理(lǐ)者”。

我國(guó)和欧盟的这种立法结构与美國(guó)领域性、分(fēn)散式的立法模式有(yǒu)较大差异。美國(guó)并无一般性与统一性的联邦立法，美國(guó)联邦层面的个人信息保护立法集中于那些风险较大、社会关注较多(duō)的领域。例如美國(guó)首部涉及个人信息保护的《公平信用(yòng)报告法》，其立法目的是為(wèi)了防止征信领域个人信息的不正当收集与滥用(yòng)。而在州立法层面，美國(guó)的个人信息保护法也主要针对特定领域，例如，2020年实施的《加利福尼亚州消费者隐私保护法案》和2021年批准的《弗吉尼亚州消费者数据保护法》主要就消费者领域的个人信息收集与处理(lǐ)进行了规制。

其二，《个人信息保护法》与《一般数据保护条例》在宪法依据上具有(yǒu)相似性。由于涉及个人信息或个人数据的保护，我國(guó)《个人信息保护法》在三审稿与最终稿第1条中增添了“根据宪法，制定本法”的表述，从而将保护个人信息的依据上升到宪法的高度。与我國(guó)类似，欧盟也将个人数据被保护的权利视為(wèi)一种宪法上的基本权利。《欧盟基本权利宪章》第8条第1款规定：“每个人都有(yǒu)权保护与其有(yǒu)关的个人数据。”《一般数据保护条例》第1条第2款在规定“本条例保护自然人的基本权利和自由，特别是其个人数据被保护的权利”的同时，又(yòu)在其“重述”（recital）中重申：“在处理(lǐ)个人信息时保护自然人是一项基本权利。”

相较而言，美國(guó)的个人信息保护立法并未明确上升到宪法层面。无论是美國(guó)联邦层面的领域性立法，还是州层面的立法，其个人信息保护法更多(duō)是出于实用(yòng)主义的考虑，尤其是基于保护消费者和个人的知情权的目的。就宪法基本权利而言，美國(guó)由于其國(guó)家行动（state action）教义的限制，其基本权利只能(néng)针对公权力主體(tǐ)，既不能(néng)像欧盟那样通过第三人效力而辐射到私主體(tǐ)，也不能(néng)像中國(guó)这样要求國(guó)家承担对个體(tǐ)信息的保护义務(wù)。总體(tǐ)而言，美國(guó)宪法至今仍然认可(kě)美國(guó)联邦与州层面的个人信息保护立法，但并未将其视為(wèi)一种宪法上的义務(wù)。

其三，《个人信息保护法》与《一般数据保护条例》在个人信息处理(lǐ)的合法性基础方面具有(yǒu)高度的相似性。两部法律首先都规定处理(lǐ)个人信息需要合法性基础，缺乏合法性基础的，信息处理(lǐ)者不得收集与处理(lǐ)个人信息。具體(tǐ)而言，我國(guó)《个人信息保护法》列举了七种情形，而欧盟《一般数据保护条例》也规定了类似的合法性基础，增加了“处理(lǐ)对于保护数据主體(tǐ)或另一个自然人的核心利益所必要”和“处理(lǐ)对于控制者或第三方所追求的正当利益必要”两项条件，而这两项条件在中國(guó)个人信息保护立法中也被广泛讨论，并被认為(wèi)可(kě)以通过其他(tā)条款加以解释。

这与美國(guó)的个人信息保护立法有(yǒu)较大差别。在美國(guó)，首先，个人信息保护的相关立法主要是為(wèi)了保障公民(mín)在个人信息处理(lǐ)中受到公平对待，其个人信息保护中的同意等机制主要為(wèi)了保障公民(mín)知情权，是矫正市场信息不对称的一种手段，而非处理(lǐ)合法性条件的一种方式或途径。其次，在没有(yǒu)立法的领域，美國(guó)对收集与处理(lǐ)个人信息采取了更加市场化的原则，即國(guó)家并不设置任何处理(lǐ)个人信息的合法性基础。在这些领域，美國(guó)主要采取消费者保护的进路，即监管企业在收集与处理(lǐ)个人信息时是否存在“不公平与欺诈”（unfair or deceptive）的行為(wèi)。

其四，《个人信息保护法》与《一般数据保护条例》在权利义務(wù)设置上具有(yǒu)高度相似性。就个人信息权利而言，两部法律虽然在表述上有(yǒu)一定差异，但都规定了个人的知情选择权、查询复制权、更正权、删除权、携带权、自动化处理(lǐ)与算法决策等相关权利。就信息处理(lǐ)义務(wù)而言，二者都要求信息处理(lǐ)者或数据控制者收集个人信息以必要為(wèi)限度，处理(lǐ)或分(fēn)析个人信息以最小(xiǎo)化為(wèi)原则，同时履行保护个人信息安全、保障个人信息质量、在数据泄露等情形下采取必要措施并通知用(yòng)户的义務(wù)。

相较而言，美國(guó)的个人信息立法没有(yǒu)规定这么宽泛的个人信息权利与信息处理(lǐ)者义務(wù)。例如，《家庭教育权利与隐私法》《健康保险可(kě)携带性和责任法》《联邦有(yǒu)線(xiàn)通讯政策法案》《视频隐私保护法》《司机隐私保护法案》《儿童在線(xiàn)隐私保护法》《加利福尼亚州消费者隐私法案》等大多(duō)规定了个人对于其信息的知情同意权、查询权、更正权、删除权等权利，但除了极个别情况，并未明确规定被遗忘权、携带权及与自动化处理(lǐ)相关的权利。同时在义務(wù)方面，美國(guó)的大多(duō)数法律未强制要求信息处理(lǐ)者遵循最小(xiǎo)必要原则，也并未要求企业设置专门的个人信息保护人员。

2、个人信息保护立法的文(wén)化背景差异

《个人信息保护法》的文(wén)本虽然在若干方面与《一般数据保护条例》高度相似，与美國(guó)立法具有(yǒu)重大差异，但这并不意味着三者在根本原理(lǐ)方面也存在类似的情况。

（一）欧盟

首先就法律性质而言，欧盟以《一般数据保护条例》為(wèi)代表的数据立法是欧盟基本权利意识形态的一部分(fēn)。欧盟的宪法基本权利首先具有(yǒu)欧盟与欧洲共同體(tǐ)建构的功能(néng)，个人数据被保护权作為(wèi)最為(wèi)重要的一种基本权利，其功能(néng)尤其突出。

二战以后，欧盟出现了严重的身份认同危机——欧洲存在的意义是什么？正如哈贝马斯所言，这一问题构成了欧洲知识分(fēn)子与精英阶层的灵魂之问。对于这一问题，欧洲给出的答(dá)案是保护人权与基本权利。為(wèi)了保护人权与基本权利，欧盟在其成员國(guó)、欧盟与欧盟之外分(fēn)别建立了复杂的人权保护體(tǐ)系。在成员國(guó)内，各國(guó)具有(yǒu)其独立的宪法基本权利及其保护體(tǐ)系。在欧盟内部，《欧盟基本权利宪章》确立了尊严、自由、平等、团结、公民(mín)权利和正义等基本权利，并由欧盟正义法院作為(wèi)最后裁决者；在欧盟外部，《欧洲人权公约》以國(guó)际公约的形式确认了签署國(guó)的人权义務(wù)，并由《欧洲人权公约》作為(wèi)最终裁决者。对于欧洲而言，离开了人权与基本权利的话语體(tǐ)系，欧洲各國(guó)公民(mín)对于其欧洲的共同身份认同就难以维持，欧盟超國(guó)家的制度體(tǐ)系就不具备正当性。

因此，研究欧盟的个人数据被保护权，必须将其还原到欧盟建构与普世主义价值的意识形态中去理(lǐ)解，而不能(néng)仅仅从实用(yòng)主义的层面去理(lǐ)解。“General Data Protection Regulation”中的“General”一词，正是这一意识形态的最佳佐证。“General”既可(kě)以翻译為(wèi)“一般”和“通用(yòng)”，又(yòu)可(kě)以翻译為(wèi)“统一”，表明欧盟希冀将数据权利建构為(wèi)一种一般性和普适性的权利。

此外，欧盟认為(wèi)，个人数据处理(lǐ)本身会带来侵害人格的风险。欧盟的个人数据保护立法以风险预防為(wèi)原则，而且是一种基于人格尊严為(wèi)核心的风险预防。个人数据保护虽然可(kě)能(néng)关乎多(duō)种权益，但欧盟对此问题的探讨仍以人格尊严為(wèi)基础。早在1977年德國(guó)制定《联邦数据保护法》时，联邦议会就指出，其立法目的在于预防数据处理(lǐ)对“个人完整性”（personal integrity）的威胁。1978年，法國(guó)也在相关法律中指出，基于个人信息的“信息计算”可(kě)能(néng)对“人类身份、人权、隐私，和个人或公共自由”构成威胁。及至1995年通过的第95/46/EC号《数据保护指令》和2016年通过的《一般数据保护条例》，这一立场一直延续。

欧盟之所以采取这种视角，与欧盟在二战期间的纳粹历史密切相关。二战期间德國(guó)等國(guó)对犹太人等群體(tǐ)的迫害，就是利用(yòng)个人信息来对特定群體(tǐ)进行大规模區(qū)分(fēn)和识别。因此在二战后，欧盟对于基于个人信息的自动化、半自动化与大规模个人信息存档的行為(wèi)尤其警惕。在德國(guó)著名的人口普查案中，德國(guó)法院之所以提出个體(tǐ)相对于信息处理(lǐ)者的“信息自决权”和“信息系统中的信任和完整权”，在一定程度上就是因為(wèi)此类信息普查引起了德國(guó)惨痛的纳粹记忆。

（二）美國(guó)

就法律性质而言，美國(guó)个人信息保护主要采取消费者保护的立场，具有(yǒu)市场调节法的特征。一方面，在没有(yǒu)进行个人信息保护立法的领域，美國(guó)的个人信息保护采取一般消费者保护的模式，通过美國(guó)联邦贸易委员会（FTC）进行市场监管。而在已经进行个人信息保护立法的领域和州，美國(guó)采取了“特殊型”（sui generis）消费者保护法。美國(guó)州层面的若干统一立法也具有(yǒu)类似性质，例如上文(wén)提到的《加利福尼亚州消费者隐私权利法案》《弗吉尼亚州消费者数据保护法》，以及奥巴马政府时期起草(cǎo)但未获通过的《消费者隐私权利法案》，也都被冠以消费者保护法之名。

相比欧洲来说，美國(guó)的消费者法更少规定规制方面的内容，而是更接近民(mín)事法律，特别是合同法制度。在一般消费者保护方面，美國(guó)联邦贸易委员会进行的市场监管较少，只要不存在明显的不公平对待，尤其是不存在欺骗性对待，用(yòng)户的同意就可(kě)以被视為(wèi)或被拟制為(wèi)一种合同或是用(yòng)户授权。同时，即使在已经进行个人信息保护立法的领域，美國(guó)所进行的监管也遠(yuǎn)不如欧盟严厉。如果说欧盟在整體(tǐ)上不信任个人信息保护的市场化机制，在一定程度上采取了施瓦茨教授所谓的“信息隐私不可(kě)让渡”（information privacy inalienability）规则，则美國(guó)整體(tǐ)上仍然肯定市场在个人信息保护中的重要作用(yòng)，其立法目标更多(duō)是為(wèi)了矫正市场的信息不对称与不公平问题。在这个意义上，可(kě)以说美國(guó)的大多(duō)数个人信息保护立法本质上仍然是一种市场监管法或市场调节法。

另一方面，就立法目的与风险预防而言，美國(guó)并没有(yǒu)采取本质主义的立场，认為(wèi)个人信息处理(lǐ)本身就会带来风险。美國(guó)通过立法的方式预防个人信息风险，主要集中在少数处理(lǐ)个人信息行业风险较高或社会关注度较高的领域。例如，在征信、金融、视频、電(diàn)信、医疗、儿童保护等领域中不当处理(lǐ)个人信息被认為(wèi)会带来较高风险，因此需要单独进行立法。总體(tǐ)而言，美國(guó)并不像欧洲那样，认為(wèi)个人信息处理(lǐ)本身就存在侵害个人人格尊严的风险。对美國(guó)而言，个人信息处理(lǐ)更像是放大相关风险的过程，而且会因為(wèi)不同领域和不同场景的差异而不同。在一些风险较小(xiǎo)的领域，个人信息处理(lǐ)所带来的风险扩张可(kě)能(néng)微不足道，因此不需要立法上的风险事前预防。在风险较高的领域，才需要立法与事前规制。就此而言，美國(guó)个人信息立法的风险观更為(wèi)務(wù)实，更接近个人信息使用(yòng)不当或泄露所带来的实际风险。

（三）中國(guó)

借助欧美法律文(wén)化背景的比较，可(kě)以发现我國(guó)《个人信息保护法》的独特性。就法律性质而言，我國(guó)的《个人信息保护法》与欧美的相关立法都有(yǒu)所差异。本文(wén)第一部分(fēn)曾经提到我國(guó)《个人信息保护法》在宪法渊源上与欧盟《一般数据保护条例》相似，都将个人信息被保护权视為(wèi)一种基本权利。但我國(guó)对于这种宪法基本权利的理(lǐ)解与欧盟相关立法并不完全相同，如果说欧盟宪法基本权利和个人信息被保护权具有(yǒu)身份建构与普世主义价值的特征，那么我國(guó)则更多(duō)将个人信息被保护权视為(wèi)一种朴素的國(guó)家保护义務(wù)。与欧盟不同，我國(guó)并不以基本权利来维持超國(guó)家的身份认同，也不主张建构普世主义的意识形态。

此外，我國(guó)的《个人信息保护法》在事实上也聚焦于消费者个人信息保护，在这一点上反而和美國(guó)有(yǒu)一定的相似性。在我國(guó)《个人信息保护法》的立法过程中，最為(wèi)聚焦的议题始终是以互联网企业為(wèi)代表的企业对个人信息的收集与利用(yòng)，这些议题在很(hěn)大程度上支配了立法者与参与者对《个人信息保护法》的想象。《个人信息保护法》采取了统一立法的模式，但其立法模式恰巧将國(guó)家机关作為(wèi)单独一节进行规定，區(qū)别于欧盟不加區(qū)分(fēn)的模式。这一立法體(tǐ)例说明我國(guó)的《个人信息保护法》更像是消费者隐私法与國(guó)家机关处理(lǐ)个人信息法的叠加，而非像欧盟法那样，是一部高度融合与统一化的个人信息立法。

就立法目的与风险防范而言，我國(guó)更多(duō)采取实用(yòng)主义的立场。在过去若干年的个人信息立法过程中，學(xué)界、产业界与公共舆论围绕个人信息保护展开了激烈的争论，议题包括立法应当按欧盟模式还是美國(guó)模式，应当更严格还是更宽松，应当更顾及产业发展还是个人信息保护？这些问题如今都已经尘埃落定。但这些争论说明我國(guó)的个人信息保护立法在根本原理(lǐ)上与欧盟并不完全相同。如果二者完全相同，此类争议就不可(kě)能(néng)存在。因為(wèi)按欧盟的理(lǐ)论，个人信息处理(lǐ)本身就存在对人格尊严的威胁，需要无可(kě)争议的法律严格规制。我國(guó)在立法过程中存在此类争论，恰巧反映出我國(guó)个人信息保护立法是从实用(yòng)主义的角度出发，对个人信息合理(lǐ)利用(yòng)与相应风险进行权衡判断的结果。

对于我國(guó)《个人信息保护法》的保护性特征与实用(yòng)主义特征，还可(kě)以从文(wén)本的某些核心细节中再次获得佐证。与欧盟高度意识形态化的个人数据被保护权、以人格尊严為(wèi)核心的风险预防不同，我國(guó)的《个人信息保护法》更具实用(yòng)主义倾向，其防范的风险也更加多(duō)元化和贴近实际。

（一）个人信息的界定

中欧个人信息界定的不同首先反映了二者的根本性差异。从表面上看，《个人信息保护法》对个人信息的定义采取了类似欧盟的表述，将其定义為(wèi)“以電(diàn)子或者其他(tā)方式记录的与已识别或者可(kě)识别的自然人有(yǒu)关的各种信息，不包括匿名化处理(lǐ)后的信息”。这与欧盟《一般数据保护条例》规定的“任何已识别或可(kě)识别的自然人（数据主體(tǐ)）相关的信息”高度相似。二者不但以“识别”作為(wèi)界定个人信息的重要标准，而且引入相关或关联的标准，对个人信息采取较為(wèi)宽泛的定义。

但二者在“识别”这一关键问题上存在着重大差异。欧盟的识别围绕身份展开。根据欧盟《一般数据保护条例》第4条，可(kě)识别的自然人包括“能(néng)够被直接或间接识别的个體(tǐ)，特别是通过诸如姓名、身份编号、地址数据、网上标识或者自然人所特有(yǒu)的一项或多(duō)项的身體(tǐ)性、生理(lǐ)性、遗传性、精神性、经济性、文(wén)化性或社会性身份而识别个體(tǐ)”。在欧盟法中，识别概念的重点在于身份的识别，不仅包括姓名、身份编号这类能(néng)直接联系到个體(tǐ)的识别信息，而且包括各类身份特征的识别。

反观我國(guó)《个人信息保护法》，其识别概念的重心在于是否可(kě)以联系到特定个體(tǐ)或“识别特定自然人”。《个人信息保护法》第73条规定，去标识化“是指个人信息经过处理(lǐ)，使其在不借助额外信息的情况下无法识别特定自然人的过程”；匿名化“是指个人信息经过处理(lǐ)无法识别特定自然人且不能(néng)复原的过程”。这些规定都表明，我國(guó)将识别“特定自然人”作為(wèi)最终标准。

个人信息的定义并不仅仅是一个技术问题，它反映了中欧在个人信息保护问题上的重大差异，即前者以个體(tǐ)被联系的风险界定个人信息，后者则以身份性區(qū)分(fēn)的角度界定个人信息。正如上文(wén)所述，欧盟的身份认同恰巧是要防止识别各类具體(tǐ)身份，因此身份成為(wèi)其个人信息界定的核心问题。而我國(guó)则采取相对而言更具实用(yòng)主义倾向的方式，以实际联系风险作為(wèi)區(qū)分(fēn)个人信息的标准。

（二）敏感个人信息

中欧关于敏感个人信息定义的不同也反映了二者的根本性差异。我國(guó)《个人信息保护法》第28条将敏感个人信息界定為(wèi)“一旦泄露或者非法使用(yòng)，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息”。对于敏感个人信息，《个人信息保护法》规定只有(yǒu)在具有(yǒu)特定的目的和充分(fēn)的必要性并采取严格保护措施的情形下才可(kě)以进行处理(lǐ)。而欧盟《一般数据保护条例》单独列举了“特殊类型个人数据”，对于特殊种类的个人信息，欧盟规定除非有(yǒu)法定例外情形，否则原则上不得处理(lǐ)。

比较中欧关于这两类特殊保护的个人信息类型，同样可(kě)以发现二者具有(yǒu)本质差异。仔细分(fēn)析欧盟“特殊类型个人数据”，会发现其主要指那些带来身份性歧视的个人数据，例如种族、民(mín)族、性取向等个人数据。在历史上，这些类型的身份信息曾经在欧洲造成了大规模歧视，在当代也仍然可(kě)能(néng)给个體(tǐ)带来歧视风险。而对于其他(tā)可(kě)能(néng)给公民(mín)带来风险但与身份不相关的个人数据，欧盟并未将其视為(wèi)“特殊类型个人数据”，例如，金融账户、行踪轨迹类的数据并不在其范围之内。反观中國(guó)，对敏感个人信息具有(yǒu)较為(wèi)明显的实用(yòng)主义与风险防范导向，其防范的不仅包括“人格尊严”，而且包括“人身、财产安全”，并将金融账户、行踪轨迹明确纳入列举的类型中。作為(wèi)个人信息保护的升级版本，我國(guó)与欧盟关于敏感或特殊种类个人信息的界定充分(fēn)说明了二者的差异。

（三）用(yòng)户画像与自动化决策

中欧个人信息保护的差异还可(kě)以从用(yòng)户画像与自动化决策中看出。一方面，欧盟对用(yòng)户画像与自动化决策进行了非常严格的限制，并且对二者进行了一體(tǐ)化规制。根据《一般数据保护条例》的定义，“用(yòng)户画像”指的是“為(wèi)了评估自然人的某些条件而对个人数据进行的任何自动化处理(lǐ)”，并进一步规定，数据控制者在收集个人信息时应当告知“存在自动化的决策”和“用(yòng)户画像”，个體(tǐ)应当有(yǒu)权脱离或反对“完全依靠自动化处理(lǐ)——包括用(yòng)户画像——对数据主體(tǐ)做出具有(yǒu)法律影响或类似严重影响的决策”。

欧盟的这一立法特点表明，欧盟将用(yòng)户画像和自动化决策视為(wèi)同等威胁。在欧盟看来，即使用(yòng)户画像没有(yǒu)直接用(yòng)于决策，只要存在用(yòng)户画像或者说存在自动化处理(lǐ)的评估，此类行為(wèi)就应当受到个人数据保护法的规制。正如上文(wén)所述，个人数据的处理(lǐ)行為(wèi)本身就被认為(wèi)是一种对个體(tǐ)基本权利的威胁。在欧洲，此类行為(wèi)很(hěn)容易引起人们对纳粹时期德國(guó)等國(guó)家利用(yòng)身份信息鉴别犹太人和有(yǒu)关群體(tǐ)的历史记忆。

反观我國(guó)，《个人信息保护法》关注的是伴随着个人信息分(fēn)析与处理(lǐ)中的决策风险，尤其是市场中的不合理(lǐ)决策风险，而非个人信息分(fēn)析与处理(lǐ)本身的风险。《个人信息保护法》没有(yǒu)明确提到用(yòng)户画像，第3条虽然原则性地规定“分(fēn)析、评估境内自然人的行為(wèi)”也适用(yòng)本法，但其规定主要集中在自动化决策活动。正如第73条规定，“自动化决策，是指通过计算机程序自动分(fēn)析、评估个人的行為(wèi)习惯、兴趣爱好或者经济、健康、信用(yòng)状况等，并进行决策的活动”。此外，该法对自动化决策的规定也具有(yǒu)显著的中國(guó)特征。《个人信息保护法》的自动化决策条款更多(duō)针对中國(guó)背景下的“大数据杀熟”问题。该法第24条规定，自动化决策应当“保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理(lǐ)的差别待遇”。这一规定表明，《个人信息保护法》对于自动化决策的关注更聚焦于市场性行為(wèi)，尤其是市场中的信任问题，而非自动化处理(lǐ)所导致的一般人格尊严问题。

（四）监管、救济与合规制度

个人信息的监管、救济与合规制度也反映了中欧差异。欧盟《一般数据保护条例》允许超越民(mín)族國(guó)家的行政监管与个人申诉或起诉，即一方面监管机构可(kě)以对违法行為(wèi)进行行政罚款或采取其他(tā)行政处罚措施，另一方面个人可(kě)以向监管机构进行申诉，或向法院寻求司法救济。同时，它设立了企业内部的独立数据保护官制度，在企业内部独立履行个人信息合规与治理(lǐ)责任。根据规定，个人数据保护官“不能(néng)因為(wèi)完成其任務(wù)而被控制者或处理(lǐ)者解雇。其可(kě)以直接向控制者或处理(lǐ)者的最高管理(lǐ)层进行报告”。

与欧盟相比，我國(guó)《个人信息保护法》不仅建立了监管与救济制度，而且规定了企业“个人信息保护负责人”。但有(yǒu)几点不同，一是我國(guó)并未确立类似欧盟的独立监管机构，而是将“國(guó)家网信部门”与“县级以上地方人民(mín)政府有(yǒu)关部门”“统称為(wèi)履行个人信息保护职责的部门”；二是并未赋予“个人信息保护负责人”独立的法律地位，“个人信息保护负责人”只是企业内部的专业负责人员，而非独立于企业的独立人员；三是确立了公益诉讼机制，我國(guó)《个人信息保护法》第70条规定：“侵害众多(duō)个人的权益的，人民(mín)检察院、法律规定的消费者组织和由國(guó)家网信部门确定的组织可(kě)以依法向人民(mín)法院提起诉讼。”

欧盟的独立监管机构与企业独立数据保护官制度表明，欧盟将个人数据保护视為(wèi)一种特殊的，甚至是具有(yǒu)优先性的基本权利。欧盟仅仅在个人数据领域要求企业设置独立人员，而在其他(tā)安全生产、环境保护、文(wén)化保护等领域，并未做此类强制性要求。此外，欧盟也没有(yǒu)设置公益诉讼制度。而我國(guó)不仅在《个人信息保护法》中创设了“个人信息保护负责人”，也在安全生产、食品安全等法律法规中创设了负责安全的专门人员。我國(guó)虽然目前极為(wèi)重视个人信息保护，但就权利性质而言，并未将个人信息保护上升到一个比环境保护或食品安全更优先、对个人基本权利威胁更大的领域。此外，我國(guó)设立专门的公益诉讼制度，也表明我國(guó)不仅从个體(tǐ)权利角度，而且从公共性或集體(tǐ)权益的角度看待个人信息保护。

来源：华东政法大學(xué)學(xué)报/丁晓东