丁晓东 《个人信息保护法》的比较法重思：中國(guó)道路与解释原理(lǐ)（下）
2022-05-31 09:17:45

目次

一、个人信息保护立法的初步比较

二、个人信息保护立法的文(wén)化背景差异

三、《个人信息保护法》的文(wén)本再分(fēn)析

四、《个人信息保护法》的解释原理(lǐ)

五、结语：《个人信息保护法》的中國(guó)道路

摘要

我國(guó)《个人信息保护法》在表面与形式上与欧盟《一般数据保护条例》高度相似，但并非后者的翻版，二者在法律性质、立法目的等方面存在重大差别。欧盟的个人数据保护法具有(yǒu)高度意识形态化的文(wén)化渊源，其风险防范以人格与身份為(wèi)核心，而我國(guó)的《个人信息保护法》则更加具有(yǒu)实用(yòng)主义的特点，其保护的法益包括了人格与人身财产安全等多(duō)项权益。而中美个人信息保护立法虽存在重大差异，但也存在若干共同点。《个人信息保护法》在借鉴欧美立法的同时，具有(yǒu)鲜明的中國(guó)特色。解释与适用(yòng)这部法律，应坚持实用(yòng)主义、风险规制、公私法合作治理(lǐ)、场景化适用(yòng)等解释原理(lǐ)，从而创造出為(wèi)全球个人信息保护贡献落地实施的中國(guó)方案。 

关键词

个人信息；隐私；人格尊严；一般数据保护条例；风险

4、《个人信息保护法》的解释原理(lǐ)

《个人信息保护法》并非欧盟或美國(guó)相关法律的翻版，其具有(yǒu)鲜明的中國(guó)特色和价值取向，且以回应我國(guó)人民(mín)与现实社会的实际需求為(wèi)出发点和落脚点。从这一根本特征出发，可(kě)以提出《个人信息保护法》的若干解释原理(lǐ)与方法。

（一）实用(yòng)主义

实用(yòng)主义是一个宽泛的哲學(xué)流派，囊括了杜威、皮尔斯、詹姆斯、哈贝马斯、罗蒂等当代众多(duō)哲學(xué)家与思想家。在法學(xué)领域，这一思想流派影响尤其宽泛，包括波斯纳、桑斯坦等很(hěn)多(duō)主流法學(xué)家。不同學(xué)者对这一思想资源的理(lǐ)解有(yǒu)一定差别，但也有(yǒu)共识性的核心主张，即强调真理(lǐ)与价值的相对可(kě)接受性，在法律解释与法律适用(yòng)时，应当以实践与问题為(wèi)导向看待法律问题。

在个人信息保护问题上坚持实用(yòng)主义，与《个人信息保护法》所涉及的法益多(duō)元性具有(yǒu)密切关系。如上所述，欧盟将人格尊严视為(wèi)个人数据保护的核心，并且上升到了基本权利层面，我國(guó)难以致此的原因即在于《个人信息保护法》所要保护的法益具有(yǒu)多(duō)元性。在《个人信息保护法》的立法过程中，人身与财产安全风险的防范问题一直是讨论的重要议题。例如，徐玉玉因个人信息泄漏被诈骗而自杀案等各类人身财产案件，在促进《个人信息保护法》的立法中起到了关键作用(yòng)。2015年《刑法修正案（九）》对侵犯个人信息罪的规定，也主要是為(wèi)了规制个人信息大规模非法交易所导致的電(diàn)信诈骗等各类行為(wèi)。因此在解释与适用(yòng)《个人信息保护法》时，仍应注重这部法律的“初心”，避免以单一和欧盟意识形态化的法益基础来理(lǐ)解这部法律。

此外，随着大型互联网平台的公共属性日益增强，对用(yòng)户权益的影响日益加深，个人信息保护中的权力制约问题也应成為(wèi)理(lǐ)解与适用(yòng)这部法律的重要目标。一方面，大型平台等信息处理(lǐ)者和个人之间往往构成数据权力支配，矫正二者的不平等本身就是个人信息保护法的初衷。另一方面，大型平台和作為(wèi)集體(tǐ)的信息主體(tǐ)之间也具有(yǒu)权力支配关系，大型平台往往可(kě)以通过对不同用(yòng)户的比较分(fēn)析，使得它们能(néng)够“从数据主體(tǐ)中获得总體(tǐ)层面的洞察，以实现总體(tǐ)层面的适用(yòng)性，而不是特定于数据主體(tǐ)的个人层面的洞察”。因此有(yǒu)學(xué)者提出，应当超越信息处理(lǐ)者与个人的关系，从集體(tǐ)与民(mín)主权力制约的角度理(lǐ)解和适用(yòng)个人信息保护法。对于这两种权力支配关系，我國(guó)《个人信息保护法》都给予了一定程度的回应，该法中大量个人知情权的条款，如第11条规定的公众参与、第24条关于自动化决策差别化待遇的规定，都关注了平台与个人或集體(tǐ)的权力失衡问题。因此在解释与适用(yòng)《个人信息保护法》时，应当采取实用(yòng)主义原则，把权力制约也作為(wèi)《个人信息保护法》的目标。

（二）风险规制

解释与适用(yòng)《个人信息保护法》，还应坚持合理(lǐ)的风险规制原理(lǐ)，摒弃零风险的“预防性原则”（precautionary principle）。风险规制与零风险的“预防性原则”之间的區(qū)别在于，前者更强调对风险进行合理(lǐ)规制，在风险预防与事后救济之间寻求恰当的平衡；而后者则对风险采取零容忍态度，强调对所有(yǒu)风险进行事前规制。近年来，在食品安全、环境保护、核電(diàn)安全、疫情疾病等问题上，风险预防具有(yǒu)广泛的影响，但是除了一些极端的系统性风险，采取零风险的预防原则常常并不合理(lǐ)，尤其在个人信息保护问题上，采取此类原理(lǐ)并不符合我國(guó)《个人信息保护法》的特征。

其一，个人信息保护所涉及的法益并不绝对，这决定了其风险防范应当采取符合比例的措施。在學(xué)术研究中，对这一问题已经积淀了较多(duō)的共识，學(xué)者们对其进行了不同角度的论述。例如有(yǒu)论述指出，个人信息与个人相关，但也具有(yǒu)公共性功能(néng)，涉及第三方与公众对其的合理(lǐ)利用(yòng)。还有(yǒu)论述指出，个人信息保护所涉及的法益更多(duō)是一种权益，而非一种刚性权利。另有(yǒu)论述指出，对个人信息权益进行保护不能(néng)简单套用(yòng)私权赋权的模式。在实践中，这一特征也取得了广泛认同，例如，即使个人数据严格保护的欧盟，也明确指出“保护个人数据的权利不是一项绝对权利；必须结合其在社会中的作用(yòng)加以考虑，并与其他(tā)基本权利相平衡”。总结而言，个人信息兼具个體(tǐ)属性与流通属性，同时信息处理(lǐ)者与个人之间构成了复杂的关系，二者不仅仅具有(yǒu)侵害与防御的关系，而且具有(yǒu)合作与公共属性。商(shāng)业属性的信息处理(lǐ)者对个人信息进行规范合理(lǐ)使用(yòng)，有(yǒu)利于市场的良性运转；具有(yǒu)公共属性的信息处理(lǐ)者对个人信息进行规范合理(lǐ)使用(yòng)，则有(yǒu)利于公众知情权与社会的有(yǒu)效治理(lǐ)。

其二，个人信息保护须追求安全与发展的平衡，避免安全问题的意识形态化。对于类似新(xīn)冠疫情的系统性风险，在不具备疫苗群體(tǐ)免疫的情形下进行严防死守，这对于避免医疗资源挤兑、保护人民(mín)生命安全具有(yǒu)重要意义。但这种预防策略并不能(néng)用(yòng)在所有(yǒu)问题上，尤其不能(néng)简单套用(yòng)在网络与信息技术问题上。对于网络与信息技术发展中出现的风险，如果罔顾发展，追求绝对安全，最终可(kě)能(néng)造成社会发展的失败和人民(mín)权益的重大损失。

（三）公私法合作治理(lǐ)

《个人信息保护法》兼具公法属性与私法属性，这已成為(wèi)共识。但在解释与适用(yòng)这部法律时，公私法如何配合与适用(yòng)，是一个亟待加强研究的问题。从上文(wén)比较法研究与原理(lǐ)分(fēn)析出发，应注意《个人信息保护法》中公私法规范的深度融合与合作治理(lǐ)，避免从意识形态与传统部门法本位的角度进行理(lǐ)解适用(yòng)。

其一，在公私法属性上不应将《个人信息保护法》等同于欧盟《一般数据保护条例》。从公私法属性来看，《一般数据保护条例》的公法属性较强，很(hěn)大程度上是公法基本权利在民(mín)事领域的深度辐射。即使是知情同意原则，也被视為(wèi)个人信息处理(lǐ)的合法性基础，而非合同或合意。相反，美國(guó)的很(hěn)多(duō)信息隐私法则主要从市场调节的角度看待个人信息保护，具有(yǒu)更多(duō)私法属性或市场调整法的属性，例如美國(guó)《加利福尼亚州消费者权利保护法》就被编撰在《加利福尼亚州民(mín)法典》中。我國(guó)《个人信息保护法》与欧盟仍存在很(hěn)大差别，与美國(guó)的市场规制进路反而存在一定相似性。就此而言，我國(guó)《个人信息保护法》的解释与适用(yòng)仍应注重从市场规制法的原理(lǐ)出发，為(wèi)市场调整与私法规范预留合理(lǐ)空间。

其二，应注重《个人信息保护法》中公私法规范的融合与协调。这是因為(wèi)，这部法律中的大量规范已经體(tǐ)现了公私法的高度融合。以知情权、决定权、查阅复制权、更正补充权、删除权、解释说明权等个人信息权利為(wèi)例，此类权利既具有(yǒu)一定的民(mín)事法律特征，同时又(yòu)是公法规制和國(guó)家强制赋权的产物(wù)，很(hěn)难说属于传统公法还是传统私法。同样，信息处理(lǐ)者义務(wù)也不仅仅是國(guó)家对信息处理(lǐ)者的监管，无论是企业内部自我规制、专门负责人制度、合规审计、影响评估还是补救措施，都涉及信息处理(lǐ)者与个人之间的民(mín)事关系。此外，公私法规范在个人信息保护与治理(lǐ)中也会相互影响，二者不可(kě)能(néng)完全独立于对方而存在。例如在公法监管非常严厉有(yǒu)效的环境中，个人信息的市场调节与私法自治就能(néng)更好地发挥作用(yòng)。同样，如果个人信息的市场机制运行有(yǒu)效，则國(guó)家就未必需要过多(duō)的公法监管。公私法规范的相互影响说明，《个人信息保护法》应当摆脱纯粹的部门法本位思维，从公私法协调与联动的角度进行解释与适用(yòng)。

（四）场景化

解释与适用(yòng)《个人信息保护法》，还应坚持场景化适用(yòng)。场景理(lǐ)论认為(wèi)，保护个人信息并非要对其进行统一与标准化保护，而是要寻求与“具體(tǐ)场景相关的信息规范”（context-relative informational norms），维护具體(tǐ)信息关系与生活秩序的公正性或融贯性（integrity）。个人信息保护依赖于具體(tǐ)场景与关系，已经在很(hěn)多(duō)中外文(wén)信息隐私法研究中得以體(tǐ)现。具體(tǐ)而言，个人信息保护应当考虑场景、行為(wèi)人、信息类型、传输原则等不同要素，对不同场景适用(yòng)不同规范。例如，民(mín)族信息在我國(guó)简历场景下并不属于敏感信息，但在西方可(kě)能(néng)就属于敏感信息或特定类型信息。線(xiàn)下出售贵重物(wù)品的商(shāng)家进行监控，可(kě)能(néng)需要在合适的地方竖立警示牌进行提醒告知，但并不一定需要个人的明确同意，因為(wèi)在此类场景中，消费者可(kě)能(néng)有(yǒu)存在视频监控的预期；而線(xiàn)上录像则需要非常严格的告知与同意，仅仅通过一般性的同意而调取用(yòng)户摄像头进行录像，会对用(yòng)户权益造成重大威胁。因此，有(yǒu)必要结合不同场景以及个人信息法中不同规范所具有(yǒu)的不同功能(néng)，对个人信息规范进行场景化适用(yòng)。

在《个人信息保护法》制定的背景下，场景化适用(yòng)可(kě)能(néng)面临若干质疑或困惑。其一，场景化保护会不会不符合《个人信息保护法》的成文(wén)法特征，并且导致其规则的形同虚设？这一问题实际涉及一个经典的法理(lǐ)學(xué)命题，即法律是否主要由规则构成。对于这一命题，法理(lǐ)學(xué)界有(yǒu)着历史悠久的研究与争论，基本的共识是，并非所有(yǒu)的法律都是规则主导的。法律中经常包含了规则、标准、原则等不同要素，而不同法律不同要素的“比重”（weight）可(kě)能(néng)不同。有(yǒu)的法律可(kě)能(néng)是规则主导型的法，例如道路交通法，诸如时速限定之类的规定在其中占据主导地位。而有(yǒu)的法可(kě)能(néng)是标准或原则主导型的法，其规则在法律适用(yòng)中所起的作用(yòng)并没有(yǒu)标准与原则重要，例如反垄断法，实践中一般都按照合理(lǐ)性规则（rule of reason）进行执法，而非按照规则本身（rule per se）进行执法。我國(guó)《个人信息保护法》采取统一立法模式，恰巧使得这部法和反垄断法等法律类似，呈现出“非规则型法”或非纯粹规则型法的特征。因此，以场景化原理(lǐ)理(lǐ)解和适用(yòng)《个人信息保护法》，恰巧符合这部法律的特征。同时，场景化原理(lǐ)也并不意味着规则的形同虚设，“非规则型的法”仅仅意味着规则适用(yòng)需要在具體(tǐ)场景中结合法律的合理(lǐ)性标准与法律原则，而并非意味着规则不起作用(yòng)。

其二，场景化保护是否意味着“具體(tǐ)问题具體(tǐ)分(fēn)析”，从而导致法律的不确定性与法律适用(yòng)的恣意性？这也同样涉及法理(lǐ)學(xué)的一些基本命题。简略而言，场景化保护需要依赖案例与程序，借助案例与程序动态性地界定个人信息保护规则。案例的意义在于其贴近具體(tǐ)生活场景，其对于规范的理(lǐ)解与适用(yòng)是一个动态的过程，既需要参照过往案例，又(yòu)需要进行类比与实质性判断。在具有(yǒu)审级制度的司法与执法體(tǐ)制中，案例则既包含了自下而上的规范制定，又(yòu)具备自上而下的规范统一。而程序的意义在于，其给很(hěn)多(duō)相对不确定的问题提供了审议与思辨的空间与时间，特别是為(wèi)不同意见提供了抗辩的机会。在实践中，美欧也在法律适用(yòng)中高度依赖案例与程序。例如，美國(guó)联邦贸易委员会的消费者隐私执法被认為(wèi)具有(yǒu)“普通法”的特征；而欧盟则经常在各类指南中“以案说法”，采用(yòng)“合理(lǐ)性规则”来解释《一般数据保护条例》，并且建立了比较完备的申诉、司法复核等程序性的数据保护制度。就此而言，场景化保护恰巧是為(wèi)了避免个人信息保护规则僵化所带来的恣意性。通过案例与程序，场景化保护可(kě)以化解“非规则型法”所带来的适用(yòng)挑战，构建动态但相对确定统一的个人信息保护规范。

5、结语：《个人信息保护法》的中國(guó)道路

在《个人信息保护法》制定之初，學(xué)界与业界曾掀起了一场走美國(guó)道路还是走欧盟道路的争论。一方面，以互联网企业為(wèi)代表的一方主张，中美两國(guó)已经成為(wèi)数字经济的领跑者，而欧盟则在这场全球数字经济的竞争中遠(yuǎn)遠(yuǎn)落后，因此不应作茧自缚模仿欧盟立法。另一方面，有(yǒu)的声音则认為(wèi)，我國(guó)个人信息保护面临着國(guó)内外双重压力，亟须效仿以《一般数据保护条例》為(wèi)代表的严厉规制模式，对个人信息进行全方位的保护。

我國(guó)《个人信息保护法》做出了清晰的立法战略抉择，制定了形似欧盟《一般数据保护条例》的《个人信息保护法》，并且在很(hěn)多(duō)方面更為(wèi)严格。但表面上的相似性并不意味着我國(guó)完全采取了欧盟的个人信息保护进路。从比较法的视角对我國(guó)《个人信息保护法》进行“深描”，可(kě)以发现我國(guó)在借鉴欧美经验的基础上，开启了一条具有(yǒu)中國(guó)特色的个人信息保护道路。从其特征出发，解释与适用(yòng)《个人信息保护法》应当遵循实用(yòng)主义、风险规制、公私法合作治理(lǐ)和场景化适用(yòng)等原理(lǐ)与方法，使其成為(wèi)真正满足本國(guó)现实需求，并贡献全球数据治理(lǐ)规则的中國(guó)方案。

来源：华东政法大學(xué)學(xué)报/丁晓东