王新銳

（北京安理律師事務(wù)所，北京 100004）

0 引 言

個人信息保護不僅是法律問題，還要考慮數(shù)字經(jīng)濟的發(fā)展和公眾的感受，因此經(jīng)常面臨很多矛盾。中國是個大國，現(xiàn)實情況千差萬別，各個行業(yè)、各種場景都面臨個人信息保護的問題，并且不同行業(yè)、不同場景下處理個人信息的需求以及對個人信息的保護方式均有其特殊性，而公眾對個人信息保護的感受、看法又不盡相同。抽象的法律如何回應(yīng)這種復(fù)雜性，是研究者在提意見時需要思考的，否則就容易“只見樹木，不見森林”。

《個人信息保護法（草案）》（以下簡稱草案）公布后，不少條文看起來都似曾相識，曾出現(xiàn)在之前其他的規(guī)則中，或者和域外的立法相近。筆者團隊一直在做國內(nèi)個人信息法律法規(guī)和規(guī)范的匯編，從幾年以前的幾十頁到現(xiàn)在的超過800 頁，深知從這些現(xiàn)行規(guī)則中把一些有效的做法上升為法律是非常不容易的事情。通過詳細(xì)的條文比對，草案一共70 條，大概有40 條和歐盟的《通用數(shù)據(jù)保護條例》（General Data Protection Regulation，以下簡稱GDPR）有近似的地方。GDPR 正文共99 條，但官方已經(jīng)出了近30 份指南，平均每3 個條文就有一份指南，是一套非常復(fù)雜、精密的規(guī)則體系，借鑒起來也不容易。所以一方面需要借鑒現(xiàn)有的實踐和域外立法，一方面又要兼顧內(nèi)在的體系，再加之前述個人信息保護的復(fù)雜性，這就會帶來多處“兩難選擇”。

1 個人信息定義

草案將個人信息定義為“以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息”，這一定義和GDPR 非常接近。GDPR 將個人數(shù)據(jù)定義為“任何已識別或可識別的自然人（‘?dāng)?shù)據(jù)主體’）相關(guān)的信息”。草案與GDPR 的定義均強調(diào)“與已識別或可識別的自然人有關(guān)”的信息。

在國內(nèi)以往立法中，《民法典》下的個人信息是“以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人的各種信息”，《網(wǎng)絡(luò)安全法》下的個人信息是“以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別自然人個人身份的各種信息”，均強調(diào)“單獨或者結(jié)合識別自然人”。與《網(wǎng)絡(luò)安全法》、《民法典》中強調(diào)“識別”的定義相比，草案中“與已識別或可識別的自然人有關(guān)”的定義，個人信息的范圍是有所擴大的。

如果個人信息的范圍比較寬，是否處理個人信息的合法性基礎(chǔ)也應(yīng)該相對靈活？否則很容易導(dǎo)致普遍性違法和選擇性執(zhí)法，也有損于法律尊嚴(yán)。

我國的立法沒有必要完全模仿GDPR，因為GDPR 也存在不少負(fù)面教訓(xùn)。GDPR 出臺以后，大量歐洲中小企業(yè)因為承受不了高額的合規(guī)成本，導(dǎo)致其創(chuàng)新能力不足，難以支撐和發(fā)展，反而是大型企業(yè)的壟斷能力得到了強化，已經(jīng)有不少實證研究支持這一結(jié)論[1-3]。GDPR 的目的之一也是規(guī)制谷歌、臉書等大型企業(yè)，結(jié)果這一立法目的并沒有完全實現(xiàn)。個人信息保護法和勞動法在立法中存在類似之處，出發(fā)點也許是好的，但有可能會導(dǎo)致弱勢企業(yè)、個人面臨更加糟糕的處境，所以要特別關(guān)注好心辦壞事的情況。

2 合法性事由

合法性基礎(chǔ)是否貫穿整部立法也是需要予以考慮的問題。目前草案在第十三條提到了處理個人信息的合法性基礎(chǔ)，其中包括：取得個人的同意；為訂立或者履行個人作為一方當(dāng)事人的合同所必需；為履行法定職責(zé)或者法定義務(wù)所必需；為應(yīng)對突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護自然人的生命健康和財產(chǎn)安全所必需；為公共利益實施新聞報道、輿論監(jiān)督等行為在合理的范圍內(nèi)處理個人信息；以及法律、行政法規(guī)規(guī)定的其他情形。但在第二十四條所規(guī)定的向第三方提供個人信息的情形中，又回到了知情同意這一種合法性基礎(chǔ)，要求個人信息處理者向第三方提供其處理的個人信息要取得個人的單獨同意。那么就會出現(xiàn)一種情況，比如某商家與消費者在線上訂立了購物合同，約定商家負(fù)責(zé)發(fā)貨，而商家為了履行合同中的發(fā)貨義務(wù)就必需把消費者的地址、聯(lián)系方式等信息提供給物流服務(wù)方，這一提供行為本應(yīng)該已經(jīng)具備了草案第十三條中規(guī)定的“為訂立或者履行個人作為一方當(dāng)事人的合同所必需”這一合法性基礎(chǔ)，但根據(jù)草案第二十四條，卻又需要取得消費者的單獨同意。

草案中規(guī)定的以上幾種合法事由在很大程度上借鑒了GDPR。但由于在草案出臺以前，基于《網(wǎng)絡(luò)安全法》的規(guī)定，中國法律語境下處理個人信息的合法事由僅有同意這一項，因而在以往的立法與實踐當(dāng)中，對于處理個人信息的合規(guī)要求集中圍繞“同意”而展開。這也導(dǎo)致了，雖然本次草案在合法事由方面借鑒了GDPR 中同意之外的幾項合法性基礎(chǔ)，但在整部立法中的其他方面，仍然保持了圍繞“同意”而展開的模式，對于同意之外的其他合法性基礎(chǔ)下個人信息處理者的義務(wù)是否有別于基于同意的個人信息處理活動，草案并未多做展開，多種合法性基礎(chǔ)并行的體系未能得到貫穿。

當(dāng)然貫穿有貫穿的好處，不貫穿有不貫穿的優(yōu)點，比如規(guī)則簡單的話，公眾更容易理解，也沒有那么多字面上的空子可以鉆。但不管選擇哪種方案，面對現(xiàn)實的復(fù)雜性，還是需要更精巧的設(shè)計。比如，大家都有共識的是，在向第三方提供個人信息的情形中應(yīng)該加強對個人信息的保護，但在GDPR 中，向第三方提供個人信息的情況同樣可以適用原則部分的各項合法性基礎(chǔ)，而草案只能基于“單獨同意”，就顯得過于簡化和嚴(yán)苛了。

對于這一組兩難選擇，筆者認(rèn)為主要是加強保護力度和考慮例外情況的問題。一旦例外情形增多、個人權(quán)利約束減少，公眾又會覺得有很多口子、有很多空子，但完全不開又不行。

3 同意的界定

要討論個人信息，就繞不過“同意”，“同意”是最復(fù)雜、最難的問題?！睹穹ǖ洹分袑⑼夥譃槊魇竞湍?，草案中則包含單獨同意、自愿明確同意、書面同意、重新取得同意。比如根據(jù)草案，向第三方提供個人信息、公開個人信息、基于個人同意處理敏感個人信息等，需要取得個人單獨同意；而個人信息的處理目的、處理方式和處理的個人信息種類發(fā)生變更的，要重新取得同意。在各種不同類型的同意要求下，個人多少會感到困惑，也會導(dǎo)致實踐中很多時候各種類型的“同意”無法完全落地。

雖然草案中提供了同意以外的合法性基礎(chǔ)（如前所述并沒有貫穿），但在大部分情況下可能還是要依賴同意作為個人信息處理的主要基礎(chǔ)，或者說這是大路，其他合法性基礎(chǔ)是小路，那這條大路就得修得寬敞一些，讓大部分人都能通行。

比如，根據(jù)草案，“去標(biāo)識化”的信息仍然是個人信息，然而在醫(yī)療健康行業(yè)，很多數(shù)據(jù)都是去標(biāo)識化而不是匿名化的[4]，也沒有辦法做到匿名化，而在此種帶有科學(xué)研究性質(zhì)的場景下，反復(fù)去獲得患者的單獨同意又可能和科研本身的規(guī)則相沖突。

關(guān)于同意的討論很多，在此不多做展開。核心的觀點是，以知情同意作為主要合法性基礎(chǔ)并不存在問題，這可以說是全世界個人信息保護立法的共識。但具體怎么界定同意、怎么解釋同意，這一問題非常復(fù)雜，可能都不是兩難選擇，是三難、四難。筆者所在團隊曾經(jīng)翻譯過歐盟關(guān)于GDPR 下同意的指南[5]，在業(yè)務(wù)實踐中感覺到，雖然其立法是比較清晰的，但實際效果可能并不好。

4 完善思考

草案規(guī)定了信息主體在個人信息處理中的權(quán)利，包括知情權(quán)、決定權(quán)、限制或拒絕處理權(quán)、查詢權(quán)、復(fù)制權(quán)、更正權(quán)、刪除權(quán)、要求解釋權(quán)、投訴權(quán)等。從法理和國內(nèi)外立法實踐來說，這些權(quán)利都不是絕對的。目前草案中個人信息的合法性事由和GDPR 能夠大體對應(yīng)，但GDPR下不同合法性路徑對信息主體即個人的權(quán)利有不同的約束，或者直接說明不適用。

比如，針對刪除權(quán)，GDPR 在第17 條第1 款、第2 款規(guī)定了數(shù)據(jù)主體有權(quán)要求控制者刪除其個人數(shù)據(jù)，以及控制者有義務(wù)刪除的情形。同時在第17 條第3 款，GDPR 也提供了排除第1 款、第2 款適用的例外情形，也即在這些例外情況下，控制者可以不響應(yīng)數(shù)據(jù)主體的刪除請求。這些例外情形包括：(a)為了行使表達(dá)自由和信息自由的權(quán)利；(b)為了遵守歐盟或者控制者所屬成員國法律規(guī)定的法定義務(wù)、為了公共利益或在行使控制者被賦予的官方權(quán)限時必須對數(shù)據(jù)進(jìn)行處理(c)根據(jù)第9 條第2 款(h)和(i)項以及第9 條第3 款，為了公共衛(wèi)生領(lǐng)域的公共利益的原因；(d)根據(jù)第89 條第1 款，為了公共利益進(jìn)行檔案管理、科學(xué)或歷史研究目的或統(tǒng)計目的，而第1 款所述權(quán)利的實施已成為不可能或者很可能嚴(yán)重阻礙該處理目標(biāo)的實現(xiàn)；(e)為了提起、行使或捍衛(wèi)法律訴求。而在草案中，僅規(guī)定了個人信息處理者應(yīng)當(dāng)主動或根據(jù)個人請求刪除個人信息的情形，并未對刪除情形的例外作出規(guī)定。

再比如，針對查閱、復(fù)制權(quán)的行使，GDPR第15 條規(guī)定了控制者應(yīng)當(dāng)向數(shù)據(jù)主體提供一份處理數(shù)據(jù)的備份，但數(shù)據(jù)主體要求額外的備份時，控制者可以收取合理費用。但在草案對個人行使查詢、復(fù)制權(quán)的規(guī)定中，僅規(guī)定個人有權(quán)向個人信息處理者查詢、復(fù)制其個人信息，且規(guī)定個人信息處理者應(yīng)當(dāng)及時提供，并未提及處理者可以對額外的要求收取合理費用。在這種情況下，若個人頻繁行使復(fù)制權(quán)，反復(fù)要求個人信息處理者提供數(shù)據(jù)備份時，個人信息處理者較可能處于十分被動的狀態(tài)，導(dǎo)致不合理地增加處理者的負(fù)擔(dān)。

根據(jù)統(tǒng)計，GDPR 中的權(quán)利限制就有20 多處。這是在立法技術(shù)上需要考慮的問題,即我國的立法在某些方面是否在實質(zhì)上比GDPR 還要嚴(yán)格。

但如果說這些權(quán)利不是絕對的，那么在法律中應(yīng)該如何增加限制條件，或者在特定情況下給予企業(yè)豁免和優(yōu)待？一部法律的制定，不僅需要政府的強力推動，也需要提供正向激勵，讓有技術(shù)能力的公司愿意多投入，目前來看法律中的正向激勵是不夠的。比如，如果企業(yè)采取了隱私計算技術(shù)，使得數(shù)據(jù)可用而不可見，減少因匯聚融合而泄露的風(fēng)險，是否會比不采取該技術(shù)的公司得到一定優(yōu)待？

在信息主體權(quán)利的限制這一問題上，尤其能夠感受到立法者的兩難，因為這已經(jīng)不完全是法理的問題，而涉及到公共政策的選擇。有時法律上并不盡完美，但又是多種約束下沒有辦法的辦法?？赡芤埠苌儆幸徊糠桑駛€人信息保護法這樣對每一個公民都有影響。所以對于信息主體權(quán)利的慎重態(tài)度，也許是斟酌后的選擇。

5 結(jié) 論

值得肯定的是，草案較為及時地回應(yīng)了我國現(xiàn)有的數(shù)據(jù)治理需求和國際當(dāng)前的數(shù)據(jù)競爭態(tài)勢，但在把握好大方向的同時，也要對制度設(shè)計的精準(zhǔn)性和現(xiàn)實中的可操作性有所重視，對此筆者嘗試提出以下幾點建議：

對域外經(jīng)驗的借鑒應(yīng)更有批判性和針對性。以前述的歐盟經(jīng)驗為鑒，如果草案對個人信息的定義最終得到適用，個人信息權(quán)益的具體內(nèi)容將有所延伸，那么規(guī)范的寬嚴(yán)尺度也應(yīng)該有所調(diào)整，既要使得立法對權(quán)利的保障和限制功能充分發(fā)揮，又要給持續(xù)變化的現(xiàn)實問題留足調(diào)適的空間，以達(dá)到較為理想的實施效果。

需要用更連貫的思路去協(xié)調(diào)規(guī)范內(nèi)部潛在的矛盾?？紤]合法性基礎(chǔ)是否貫穿整部立法，其實也是在考慮各項合法性基礎(chǔ)之間、特別是知情同意這一主要合法性基礎(chǔ)與其他合法性基礎(chǔ)的關(guān)系，不恰當(dāng)?shù)倪x擇可能會導(dǎo)致處理個人信息行為的合法性被重復(fù)評價、合法性基礎(chǔ)的功能彼此消解的后果。

除此之外，對個人信息的保護從來都是多方主體利益的權(quán)衡，個體權(quán)益、公共利益、產(chǎn)業(yè)發(fā)展需求等要素都要納入考量，但決定讓哪一主體的利益優(yōu)先或讓渡都要設(shè)定具體的場景和條件，以防執(zhí)法邊界任意限縮或擴張。

最后，個人信息保護立法的過程中遇到的難點很多，中國數(shù)字經(jīng)濟發(fā)展得較快，風(fēng)險暴露得較為充分，而當(dāng)前國際局勢復(fù)雜，數(shù)據(jù)已經(jīng)成為博弈的焦點，這和很多國家進(jìn)行個人信息保護立法時所處的國內(nèi)外環(huán)境都有很大不同。不過正因為如此，討論和解決上述以及其他兩難選擇，可能需要更體系化的視角，通過細(xì)節(jié)處的微調(diào)為復(fù)雜性問題的解決保留可能性。