目次
一、个人信息保护立法的初步比较
二、个人信息保护立法的文化背景差异
三、《个人信息保护法》的文本再分析
四、《个人信息保护法》的解释原理
五、结语:《个人信息保护法》的中国道路
摘要
我国《个人信息保护法》在表面与形式上与欧盟《一般数据保护条例》高度相似,但并非后者的翻版,二者在法律性质、立法目的等方面存在重大差别。欧盟的个人数据保护法具有高度意识形态化的文化渊源,其风险防范以人格与身份为核心,而我国的《个人信息保护法》则更加具有实用主义的特点,其保护的法益包括了人格与人身财产安全等多项权益。而中美个人信息保护立法虽存在重大差异,但也存在若干共同点。《个人信息保护法》在借鉴欧美立法的同时,具有鲜明的中国特色。解释与适用这部法律,应坚持实用主义、风险规制、公私法合作治理、场景化适用等解释原理,从而创造出为全球个人信息保护贡献落地实施的中国方案。
关键词
个人信息;隐私;人格尊严;一般数据保护条例;风险
4、《个人信息保护法》的解释原理
《个人信息保护法》并非欧盟或美国相关法律的翻版,其具有鲜明的中国特色和价值取向,且以回应我国人民与现实社会的实际需求为出发点和落脚点。从这一根本特征出发,可以提出《个人信息保护法》的若干解释原理与方法。
(一)实用主义
实用主义是一个宽泛的哲学流派,囊括了杜威、皮尔斯、詹姆斯、哈贝马斯、罗蒂等当代众多哲学家与思想家。在法学领域,这一思想流派影响尤其宽泛,包括波斯纳、桑斯坦等很多主流法学家。不同学者对这一思想资源的理解有一定差别,但也有共识性的核心主张,即强调真理与价值的相对可接受性,在法律解释与法律适用时,应当以实践与问题为导向看待法律问题。
在个人信息保护问题上坚持实用主义,与《个人信息保护法》所涉及的法益多元性具有密切关系。如上所述,欧盟将人格尊严视为个人数据保护的核心,并且上升到了基本权利层面,我国难以致此的原因即在于《个人信息保护法》所要保护的法益具有多元性。在《个人信息保护法》的立法过程中,人身与财产安全风险的防范问题一直是讨论的重要议题。例如,徐玉玉因个人信息泄漏被诈骗而自杀案等各类人身财产案件,在促进《个人信息保护法》的立法中起到了关键作用。2015年《刑法修正案(九)》对侵犯个人信息罪的规定,也主要是为了规制个人信息大规模非法交易所导致的电信诈骗等各类行为。因此在解释与适用《个人信息保护法》时,仍应注重这部法律的“初心”,避免以单一和欧盟意识形态化的法益基础来理解这部法律。
此外,随着大型互联网平台的公共属性日益增强,对用户权益的影响日益加深,个人信息保护中的权力制约问题也应成为理解与适用这部法律的重要目标。一方面,大型平台等信息处理者和个人之间往往构成数据权力支配,矫正二者的不平等本身就是个人信息保护法的初衷。另一方面,大型平台和作为集体的信息主体之间也具有权力支配关系,大型平台往往可以通过对不同用户的比较分析,使得它们能够“从数据主体中获得总体层面的洞察,以实现总体层面的适用性,而不是特定于数据主体的个人层面的洞察”。因此有学者提出,应当超越信息处理者与个人的关系,从集体与民主权力制约的角度理解和适用个人信息保护法。对于这两种权力支配关系,我国《个人信息保护法》都给予了一定程度的回应,该法中大量个人知情权的条款,如第11条规定的公众参与、第24条关于自动化决策差别化待遇的规定,都关注了平台与个人或集体的权力失衡问题。因此在解释与适用《个人信息保护法》时,应当采取实用主义原则,把权力制约也作为《个人信息保护法》的目标。
(二)风险规制
解释与适用《个人信息保护法》,还应坚持合理的风险规制原理,摒弃零风险的“预防性原则”(precautionary principle)。风险规制与零风险的“预防性原则”之间的区别在于,前者更强调对风险进行合理规制,在风险预防与事后救济之间寻求恰当的平衡;而后者则对风险采取零容忍态度,强调对所有风险进行事前规制。近年来,在食品安全、环境保护、核电安全、疫情疾病等问题上,风险预防具有广泛的影响,但是除了一些极端的系统性风险,采取零风险的预防原则常常并不合理,尤其在个人信息保护问题上,采取此类原理并不符合我国《个人信息保护法》的特征。
其一,个人信息保护所涉及的法益并不绝对,这决定了其风险防范应当采取符合比例的措施。在学术研究中,对这一问题已经积淀了较多的共识,学者们对其进行了不同角度的论述。例如有论述指出,个人信息与个人相关,但也具有公共性功能,涉及第三方与公众对其的合理利用。还有论述指出,个人信息保护所涉及的法益更多是一种权益,而非一种刚性权利。另有论述指出,对个人信息权益进行保护不能简单套用私权赋权的模式。在实践中,这一特征也取得了广泛认同,例如,即使个人数据严格保护的欧盟,也明确指出“保护个人数据的权利不是一项绝对权利;必须结合其在社会中的作用加以考虑,并与其他基本权利相平衡”。总结而言,个人信息兼具个体属性与流通属性,同时信息处理者与个人之间构成了复杂的关系,二者不仅仅具有侵害与防御的关系,而且具有合作与公共属性。商业属性的信息处理者对个人信息进行规范合理使用,有利于市场的良性运转;具有公共属性的信息处理者对个人信息进行规范合理使用,则有利于公众知情权与社会的有效治理。
其二,个人信息保护须追求安全与发展的平衡,避免安全问题的意识形态化。对于类似新冠疫情的系统性风险,在不具备疫苗群体免疫的情形下进行严防死守,这对于避免医疗资源挤兑、保护人民生命安全具有重要意义。但这种预防策略并不能用在所有问题上,尤其不能简单套用在网络与信息技术问题上。对于网络与信息技术发展中出现的风险,如果罔顾发展,追求绝对安全,最终可能造成社会发展的失败和人民权益的重大损失。
(三)公私法合作治理
《个人信息保护法》兼具公法属性与私法属性,这已成为共识。但在解释与适用这部法律时,公私法如何配合与适用,是一个亟待加强研究的问题。从上文比较法研究与原理分析出发,应注意《个人信息保护法》中公私法规范的深度融合与合作治理,避免从意识形态与传统部门法本位的角度进行理解适用。
其一,在公私法属性上不应将《个人信息保护法》等同于欧盟《一般数据保护条例》。从公私法属性来看,《一般数据保护条例》的公法属性较强,很大程度上是公法基本权利在民事领域的深度辐射。即使是知情同意原则,也被视为个人信息处理的合法性基础,而非合同或合意。相反,美国的很多信息隐私法则主要从市场调节的角度看待个人信息保护,具有更多私法属性或市场调整法的属性,例如美国《加利福尼亚州消费者权利保护法》就被编撰在《加利福尼亚州民法典》中。我国《个人信息保护法》与欧盟仍存在很大差别,与美国的市场规制进路反而存在一定相似性。就此而言,我国《个人信息保护法》的解释与适用仍应注重从市场规制法的原理出发,为市场调整与私法规范预留合理空间。
其二,应注重《个人信息保护法》中公私法规范的融合与协调。这是因为,这部法律中的大量规范已经体现了公私法的高度融合。以知情权、决定权、查阅复制权、更正补充权、删除权、解释说明权等个人信息权利为例,此类权利既具有一定的民事法律特征,同时又是公法规制和国家强制赋权的产物,很难说属于传统公法还是传统私法。同样,信息处理者义务也不仅仅是国家对信息处理者的监管,无论是企业内部自我规制、专门负责人制度、合规审计、影响评估还是补救措施,都涉及信息处理者与个人之间的民事关系。此外,公私法规范在个人信息保护与治理中也会相互影响,二者不可能完全独立于对方而存在。例如在公法监管非常严厉有效的环境中,个人信息的市场调节与私法自治就能更好地发挥作用。同样,如果个人信息的市场机制运行有效,则国家就未必需要过多的公法监管。公私法规范的相互影响说明,《个人信息保护法》应当摆脱纯粹的部门法本位思维,从公私法协调与联动的角度进行解释与适用。
(四)场景化
解释与适用《个人信息保护法》,还应坚持场景化适用。场景理论认为,保护个人信息并非要对其进行统一与标准化保护,而是要寻求与“具体场景相关的信息规范”(context-relative informational norms),维护具体信息关系与生活秩序的公正性或融贯性(integrity)。个人信息保护依赖于具体场景与关系,已经在很多中外文信息隐私法研究中得以体现。具体而言,个人信息保护应当考虑场景、行为人、信息类型、传输原则等不同要素,对不同场景适用不同规范。例如,民族信息在我国简历场景下并不属于敏感信息,但在西方可能就属于敏感信息或特定类型信息。线下出售贵重物品的商家进行监控,可能需要在合适的地方竖立警示牌进行提醒告知,但并不一定需要个人的明确同意,因为在此类场景中,消费者可能有存在视频监控的预期;而线上录像则需要非常严格的告知与同意,仅仅通过一般性的同意而调取用户摄像头进行录像,会对用户权益造成重大威胁。因此,有必要结合不同场景以及个人信息法中不同规范所具有的不同功能,对个人信息规范进行场景化适用。
在《个人信息保护法》制定的背景下,场景化适用可能面临若干质疑或困惑。其一,场景化保护会不会不符合《个人信息保护法》的成文法特征,并且导致其规则的形同虚设?这一问题实际涉及一个经典的法理学命题,即法律是否主要由规则构成。对于这一命题,法理学界有着历史悠久的研究与争论,基本的共识是,并非所有的法律都是规则主导的。法律中经常包含了规则、标准、原则等不同要素,而不同法律不同要素的“比重”(weight)可能不同。有的法律可能是规则主导型的法,例如道路交通法,诸如时速限定之类的规定在其中占据主导地位。而有的法可能是标准或原则主导型的法,其规则在法律适用中所起的作用并没有标准与原则重要,例如反垄断法,实践中一般都按照合理性规则(rule of reason)进行执法,而非按照规则本身(rule per se)进行执法。我国《个人信息保护法》采取统一立法模式,恰巧使得这部法和反垄断法等法律类似,呈现出“非规则型法”或非纯粹规则型法的特征。因此,以场景化原理理解和适用《个人信息保护法》,恰巧符合这部法律的特征。同时,场景化原理也并不意味着规则的形同虚设,“非规则型的法”仅仅意味着规则适用需要在具体场景中结合法律的合理性标准与法律原则,而并非意味着规则不起作用。
其二,场景化保护是否意味着“具体问题具体分析”,从而导致法律的不确定性与法律适用的恣意性?这也同样涉及法理学的一些基本命题。简略而言,场景化保护需要依赖案例与程序,借助案例与程序动态性地界定个人信息保护规则。案例的意义在于其贴近具体生活场景,其对于规范的理解与适用是一个动态的过程,既需要参照过往案例,又需要进行类比与实质性判断。在具有审级制度的司法与执法体制中,案例则既包含了自下而上的规范制定,又具备自上而下的规范统一。而程序的意义在于,其给很多相对不确定的问题提供了审议与思辨的空间与时间,特别是为不同意见提供了抗辩的机会。在实践中,美欧也在法律适用中高度依赖案例与程序。例如,美国联邦贸易委员会的消费者隐私执法被认为具有“普通法”的特征;而欧盟则经常在各类指南中“以案说法”,采用“合理性规则”来解释《一般数据保护条例》,并且建立了比较完备的申诉、司法复核等程序性的数据保护制度。就此而言,场景化保护恰巧是为了避免个人信息保护规则僵化所带来的恣意性。通过案例与程序,场景化保护可以化解“非规则型法”所带来的适用挑战,构建动态但相对确定统一的个人信息保护规范。
5、结语:《个人信息保护法》的中国道路
在《个人信息保护法》制定之初,学界与业界曾掀起了一场走美国道路还是走欧盟道路的争论。一方面,以互联网企业为代表的一方主张,中美两国已经成为数字经济的领跑者,而欧盟则在这场全球数字经济的竞争中远远落后,因此不应作茧自缚模仿欧盟立法。另一方面,有的声音则认为,我国个人信息保护面临着国内外双重压力,亟须效仿以《一般数据保护条例》为代表的严厉规制模式,对个人信息进行全方位的保护。
我国《个人信息保护法》做出了清晰的立法战略抉择,制定了形似欧盟《一般数据保护条例》的《个人信息保护法》,并且在很多方面更为严格。但表面上的相似性并不意味着我国完全采取了欧盟的个人信息保护进路。从比较法的视角对我国《个人信息保护法》进行“深描”,可以发现我国在借鉴欧美经验的基础上,开启了一条具有中国特色的个人信息保护道路。从其特征出发,解释与适用《个人信息保护法》应当遵循实用主义、风险规制、公私法合作治理和场景化适用等原理与方法,使其成为真正满足本国现实需求,并贡献全球数据治理规则的中国方案。
来源:华东政法大学学报/丁晓东