個(gè)人信息保護(hù)立法面臨的兩難選擇*

王新銳

（北京安理律師事務(wù)所，北京 100004）

0 引 言

個(gè)人信息保護(hù)不僅是法律問(wèn)題，還要考慮數(shù)字經(jīng)濟(jì)的發(fā)展和公眾的感受，因此經(jīng)常面臨很多矛盾。中國(guó)是個(gè)大國(guó)，現(xiàn)實(shí)情況千差萬(wàn)別，各個(gè)行業(yè)、各種場(chǎng)景都面臨個(gè)人信息保護(hù)的問(wèn)題，并且不同行業(yè)、不同場(chǎng)景下處理個(gè)人信息的需求以及對(duì)個(gè)人信息的保護(hù)方式均有其特殊性，而公眾對(duì)個(gè)人信息保護(hù)的感受、看法又不盡相同。抽象的法律如何回應(yīng)這種復(fù)雜性，是研究者在提意見(jiàn)時(shí)需要思考的，否則就容易“只見(jiàn)樹(shù)木，不見(jiàn)森林”。

《個(gè)人信息保護(hù)法（草案）》（以下簡(jiǎn)稱(chēng)草案）公布后，不少條文看起來(lái)都似曾相識(shí)，曾出現(xiàn)在之前其他的規(guī)則中，或者和域外的立法相近。筆者團(tuán)隊(duì)一直在做國(guó)內(nèi)個(gè)人信息法律法規(guī)和規(guī)范的匯編，從幾年以前的幾十頁(yè)到現(xiàn)在的超過(guò)800 頁(yè)，深知從這些現(xiàn)行規(guī)則中把一些有效的做法上升為法律是非常不容易的事情。通過(guò)詳細(xì)的條文比對(duì)，草案一共70 條，大概有40 條和歐盟的《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，以下簡(jiǎn)稱(chēng)GDPR）有近似的地方。GDPR 正文共99 條，但官方已經(jīng)出了近30 份指南，平均每3 個(gè)條文就有一份指南，是一套非常復(fù)雜、精密的規(guī)則體系，借鑒起來(lái)也不容易。所以一方面需要借鑒現(xiàn)有的實(shí)踐和域外立法，一方面又要兼顧內(nèi)在的體系，再加之前述個(gè)人信息保護(hù)的復(fù)雜性，這就會(huì)帶來(lái)多處“兩難選擇”。

1 個(gè)人信息定義

草案將個(gè)人信息定義為“以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息”，這一定義和GDPR 非常接近。GDPR 將個(gè)人數(shù)據(jù)定義為“任何已識(shí)別或可識(shí)別的自然人（‘?dāng)?shù)據(jù)主體’）相關(guān)的信息”。草案與GDPR 的定義均強(qiáng)調(diào)“與已識(shí)別或可識(shí)別的自然人有關(guān)”的信息。

在國(guó)內(nèi)以往立法中，《民法典》下的個(gè)人信息是“以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人的各種信息”，《網(wǎng)絡(luò)安全法》下的個(gè)人信息是“以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人個(gè)人身份的各種信息”，均強(qiáng)調(diào)“單獨(dú)或者結(jié)合識(shí)別自然人”。與《網(wǎng)絡(luò)安全法》、《民法典》中強(qiáng)調(diào)“識(shí)別”的定義相比，草案中“與已識(shí)別或可識(shí)別的自然人有關(guān)”的定義，個(gè)人信息的范圍是有所擴(kuò)大的。

如果個(gè)人信息的范圍比較寬，是否處理個(gè)人信息的合法性基礎(chǔ)也應(yīng)該相對(duì)靈活？否則很容易導(dǎo)致普遍性違法和選擇性執(zhí)法，也有損于法律尊嚴(yán)。

我國(guó)的立法沒(méi)有必要完全模仿GDPR，因?yàn)镚DPR 也存在不少負(fù)面教訓(xùn)。GDPR 出臺(tái)以后，大量歐洲中小企業(yè)因?yàn)槌惺懿涣烁哳~的合規(guī)成本，導(dǎo)致其創(chuàng)新能力不足，難以支撐和發(fā)展，反而是大型企業(yè)的壟斷能力得到了強(qiáng)化，已經(jīng)有不少實(shí)證研究支持這一結(jié)論[1-3]。GDPR 的目的之一也是規(guī)制谷歌、臉書(shū)等大型企業(yè)，結(jié)果這一立法目的并沒(méi)有完全實(shí)現(xiàn)。個(gè)人信息保護(hù)法和勞動(dòng)法在立法中存在類(lèi)似之處，出發(fā)點(diǎn)也許是好的，但有可能會(huì)導(dǎo)致弱勢(shì)企業(yè)、個(gè)人面臨更加糟糕的處境，所以要特別關(guān)注好心辦壞事的情況。

2 合法性事由

合法性基礎(chǔ)是否貫穿整部立法也是需要予以考慮的問(wèn)題。目前草案在第十三條提到了處理個(gè)人信息的合法性基礎(chǔ)，其中包括：取得個(gè)人的同意；為訂立或者履行個(gè)人作為一方當(dāng)事人的合同所必需；為履行法定職責(zé)或者法定義務(wù)所必需；為應(yīng)對(duì)突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全所必需；為公共利益實(shí)施新聞報(bào)道、輿論監(jiān)督等行為在合理的范圍內(nèi)處理個(gè)人信息；以及法律、行政法規(guī)規(guī)定的其他情形。但在第二十四條所規(guī)定的向第三方提供個(gè)人信息的情形中，又回到了知情同意這一種合法性基礎(chǔ)，要求個(gè)人信息處理者向第三方提供其處理的個(gè)人信息要取得個(gè)人的單獨(dú)同意。那么就會(huì)出現(xiàn)一種情況，比如某商家與消費(fèi)者在線上訂立了購(gòu)物合同，約定商家負(fù)責(zé)發(fā)貨，而商家為了履行合同中的發(fā)貨義務(wù)就必需把消費(fèi)者的地址、聯(lián)系方式等信息提供給物流服務(wù)方，這一提供行為本應(yīng)該已經(jīng)具備了草案第十三條中規(guī)定的“為訂立或者履行個(gè)人作為一方當(dāng)事人的合同所必需”這一合法性基礎(chǔ)，但根據(jù)草案第二十四條，卻又需要取得消費(fèi)者的單獨(dú)同意。

草案中規(guī)定的以上幾種合法事由在很大程度上借鑒了GDPR。但由于在草案出臺(tái)以前，基于《網(wǎng)絡(luò)安全法》的規(guī)定，中國(guó)法律語(yǔ)境下處理個(gè)人信息的合法事由僅有同意這一項(xiàng)，因而在以往的立法與實(shí)踐當(dāng)中，對(duì)于處理個(gè)人信息的合規(guī)要求集中圍繞“同意”而展開(kāi)。這也導(dǎo)致了，雖然本次草案在合法事由方面借鑒了GDPR 中同意之外的幾項(xiàng)合法性基礎(chǔ)，但在整部立法中的其他方面，仍然保持了圍繞“同意”而展開(kāi)的模式，對(duì)于同意之外的其他合法性基礎(chǔ)下個(gè)人信息處理者的義務(wù)是否有別于基于同意的個(gè)人信息處理活動(dòng)，草案并未多做展開(kāi)，多種合法性基礎(chǔ)并行的體系未能得到貫穿。

當(dāng)然貫穿有貫穿的好處，不貫穿有不貫穿的優(yōu)點(diǎn)，比如規(guī)則簡(jiǎn)單的話，公眾更容易理解，也沒(méi)有那么多字面上的空子可以鉆。但不管選擇哪種方案，面對(duì)現(xiàn)實(shí)的復(fù)雜性，還是需要更精巧的設(shè)計(jì)。比如，大家都有共識(shí)的是，在向第三方提供個(gè)人信息的情形中應(yīng)該加強(qiáng)對(duì)個(gè)人信息的保護(hù)，但在GDPR 中，向第三方提供個(gè)人信息的情況同樣可以適用原則部分的各項(xiàng)合法性基礎(chǔ)，而草案只能基于“單獨(dú)同意”，就顯得過(guò)于簡(jiǎn)化和嚴(yán)苛了。

對(duì)于這一組兩難選擇，筆者認(rèn)為主要是加強(qiáng)保護(hù)力度和考慮例外情況的問(wèn)題。一旦例外情形增多、個(gè)人權(quán)利約束減少，公眾又會(huì)覺(jué)得有很多口子、有很多空子，但完全不開(kāi)又不行。

3 同意的界定

要討論個(gè)人信息，就繞不過(guò)“同意”，“同意”是最復(fù)雜、最難的問(wèn)題?！睹穹ǖ洹分袑⑼夥譃槊魇竞湍?，草案中則包含單獨(dú)同意、自愿明確同意、書(shū)面同意、重新取得同意。比如根據(jù)草案，向第三方提供個(gè)人信息、公開(kāi)個(gè)人信息、基于個(gè)人同意處理敏感個(gè)人信息等，需要取得個(gè)人單獨(dú)同意；而個(gè)人信息的處理目的、處理方式和處理的個(gè)人信息種類(lèi)發(fā)生變更的，要重新取得同意。在各種不同類(lèi)型的同意要求下，個(gè)人多少會(huì)感到困惑，也會(huì)導(dǎo)致實(shí)踐中很多時(shí)候各種類(lèi)型的“同意”無(wú)法完全落地。

雖然草案中提供了同意以外的合法性基礎(chǔ)（如前所述并沒(méi)有貫穿），但在大部分情況下可能還是要依賴同意作為個(gè)人信息處理的主要基礎(chǔ)，或者說(shuō)這是大路，其他合法性基礎(chǔ)是小路，那這條大路就得修得寬敞一些，讓大部分人都能通行。

比如，根據(jù)草案，“去標(biāo)識(shí)化”的信息仍然是個(gè)人信息，然而在醫(yī)療健康行業(yè)，很多數(shù)據(jù)都是去標(biāo)識(shí)化而不是匿名化的[4]，也沒(méi)有辦法做到匿名化，而在此種帶有科學(xué)研究性質(zhì)的場(chǎng)景下，反復(fù)去獲得患者的單獨(dú)同意又可能和科研本身的規(guī)則相沖突。

關(guān)于同意的討論很多，在此不多做展開(kāi)。核心的觀點(diǎn)是，以知情同意作為主要合法性基礎(chǔ)并不存在問(wèn)題，這可以說(shuō)是全世界個(gè)人信息保護(hù)立法的共識(shí)。但具體怎么界定同意、怎么解釋同意，這一問(wèn)題非常復(fù)雜，可能都不是兩難選擇，是三難、四難。筆者所在團(tuán)隊(duì)曾經(jīng)翻譯過(guò)歐盟關(guān)于GDPR 下同意的指南[5]，在業(yè)務(wù)實(shí)踐中感覺(jué)到，雖然其立法是比較清晰的，但實(shí)際效果可能并不好。

4 完善思考

草案規(guī)定了信息主體在個(gè)人信息處理中的權(quán)利，包括知情權(quán)、決定權(quán)、限制或拒絕處理權(quán)、查詢權(quán)、復(fù)制權(quán)、更正權(quán)、刪除權(quán)、要求解釋權(quán)、投訴權(quán)等。從法理和國(guó)內(nèi)外立法實(shí)踐來(lái)說(shuō)，這些權(quán)利都不是絕對(duì)的。目前草案中個(gè)人信息的合法性事由和GDPR 能夠大體對(duì)應(yīng)，但GDPR下不同合法性路徑對(duì)信息主體即個(gè)人的權(quán)利有不同的約束，或者直接說(shuō)明不適用。

比如，針對(duì)刪除權(quán)，GDPR 在第17 條第1 款、第2 款規(guī)定了數(shù)據(jù)主體有權(quán)要求控制者刪除其個(gè)人數(shù)據(jù)，以及控制者有義務(wù)刪除的情形。同時(shí)在第17 條第3 款，GDPR 也提供了排除第1 款、第2 款適用的例外情形，也即在這些例外情況下，控制者可以不響應(yīng)數(shù)據(jù)主體的刪除請(qǐng)求。這些例外情形包括：(a)為了行使表達(dá)自由和信息自由的權(quán)利；(b)為了遵守歐盟或者控制者所屬成員國(guó)法律規(guī)定的法定義務(wù)、為了公共利益或在行使控制者被賦予的官方權(quán)限時(shí)必須對(duì)數(shù)據(jù)進(jìn)行處理(c)根據(jù)第9 條第2 款(h)和(i)項(xiàng)以及第9 條第3 款，為了公共衛(wèi)生領(lǐng)域的公共利益的原因；(d)根據(jù)第89 條第1 款，為了公共利益進(jìn)行檔案管理、科學(xué)或歷史研究目的或統(tǒng)計(jì)目的，而第1 款所述權(quán)利的實(shí)施已成為不可能或者很可能?chē)?yán)重阻礙該處理目標(biāo)的實(shí)現(xiàn)；(e)為了提起、行使或捍衛(wèi)法律訴求。而在草案中，僅規(guī)定了個(gè)人信息處理者應(yīng)當(dāng)主動(dòng)或根據(jù)個(gè)人請(qǐng)求刪除個(gè)人信息的情形，并未對(duì)刪除情形的例外作出規(guī)定。

再比如，針對(duì)查閱、復(fù)制權(quán)的行使，GDPR第15 條規(guī)定了控制者應(yīng)當(dāng)向數(shù)據(jù)主體提供一份處理數(shù)據(jù)的備份，但數(shù)據(jù)主體要求額外的備份時(shí)，控制者可以收取合理費(fèi)用。但在草案對(duì)個(gè)人行使查詢、復(fù)制權(quán)的規(guī)定中，僅規(guī)定個(gè)人有權(quán)向個(gè)人信息處理者查詢、復(fù)制其個(gè)人信息，且規(guī)定個(gè)人信息處理者應(yīng)當(dāng)及時(shí)提供，并未提及處理者可以對(duì)額外的要求收取合理費(fèi)用。在這種情況下，若個(gè)人頻繁行使復(fù)制權(quán)，反復(fù)要求個(gè)人信息處理者提供數(shù)據(jù)備份時(shí)，個(gè)人信息處理者較可能處于十分被動(dòng)的狀態(tài)，導(dǎo)致不合理地增加處理者的負(fù)擔(dān)。

根據(jù)統(tǒng)計(jì)，GDPR 中的權(quán)利限制就有20 多處。這是在立法技術(shù)上需要考慮的問(wèn)題,即我國(guó)的立法在某些方面是否在實(shí)質(zhì)上比GDPR 還要嚴(yán)格。

但如果說(shuō)這些權(quán)利不是絕對(duì)的，那么在法律中應(yīng)該如何增加限制條件，或者在特定情況下給予企業(yè)豁免和優(yōu)待？一部法律的制定，不僅需要政府的強(qiáng)力推動(dòng)，也需要提供正向激勵(lì)，讓有技術(shù)能力的公司愿意多投入，目前來(lái)看法律中的正向激勵(lì)是不夠的。比如，如果企業(yè)采取了隱私計(jì)算技術(shù)，使得數(shù)據(jù)可用而不可見(jiàn)，減少因匯聚融合而泄露的風(fēng)險(xiǎn)，是否會(huì)比不采取該技術(shù)的公司得到一定優(yōu)待？

在信息主體權(quán)利的限制這一問(wèn)題上，尤其能夠感受到立法者的兩難，因?yàn)檫@已經(jīng)不完全是法理的問(wèn)題，而涉及到公共政策的選擇。有時(shí)法律上并不盡完美，但又是多種約束下沒(méi)有辦法的辦法。可能也很少有一部法律，像個(gè)人信息保護(hù)法這樣對(duì)每一個(gè)公民都有影響。所以對(duì)于信息主體權(quán)利的慎重態(tài)度，也許是斟酌后的選擇。

5 結(jié) 論

值得肯定的是，草案較為及時(shí)地回應(yīng)了我國(guó)現(xiàn)有的數(shù)據(jù)治理需求和國(guó)際當(dāng)前的數(shù)據(jù)競(jìng)爭(zhēng)態(tài)勢(shì)，但在把握好大方向的同時(shí)，也要對(duì)制度設(shè)計(jì)的精準(zhǔn)性和現(xiàn)實(shí)中的可操作性有所重視，對(duì)此筆者嘗試提出以下幾點(diǎn)建議：

對(duì)域外經(jīng)驗(yàn)的借鑒應(yīng)更有批判性和針對(duì)性。以前述的歐盟經(jīng)驗(yàn)為鑒，如果草案對(duì)個(gè)人信息的定義最終得到適用，個(gè)人信息權(quán)益的具體內(nèi)容將有所延伸，那么規(guī)范的寬嚴(yán)尺度也應(yīng)該有所調(diào)整，既要使得立法對(duì)權(quán)利的保障和限制功能充分發(fā)揮，又要給持續(xù)變化的現(xiàn)實(shí)問(wèn)題留足調(diào)適的空間，以達(dá)到較為理想的實(shí)施效果。

需要用更連貫的思路去協(xié)調(diào)規(guī)范內(nèi)部潛在的矛盾。考慮合法性基礎(chǔ)是否貫穿整部立法，其實(shí)也是在考慮各項(xiàng)合法性基礎(chǔ)之間、特別是知情同意這一主要合法性基礎(chǔ)與其他合法性基礎(chǔ)的關(guān)系，不恰當(dāng)?shù)倪x擇可能會(huì)導(dǎo)致處理個(gè)人信息行為的合法性被重復(fù)評(píng)價(jià)、合法性基礎(chǔ)的功能彼此消解的后果。

除此之外，對(duì)個(gè)人信息的保護(hù)從來(lái)都是多方主體利益的權(quán)衡，個(gè)體權(quán)益、公共利益、產(chǎn)業(yè)發(fā)展需求等要素都要納入考量，但決定讓哪一主體的利益優(yōu)先或讓渡都要設(shè)定具體的場(chǎng)景和條件，以防執(zhí)法邊界任意限縮或擴(kuò)張。

最后，個(gè)人信息保護(hù)立法的過(guò)程中遇到的難點(diǎn)很多，中國(guó)數(shù)字經(jīng)濟(jì)發(fā)展得較快，風(fēng)險(xiǎn)暴露得較為充分，而當(dāng)前國(guó)際局勢(shì)復(fù)雜，數(shù)據(jù)已經(jīng)成為博弈的焦點(diǎn)，這和很多國(guó)家進(jìn)行個(gè)人信息保護(hù)立法時(shí)所處的國(guó)內(nèi)外環(huán)境都有很大不同。不過(guò)正因?yàn)槿绱?，討論和解決上述以及其他兩難選擇，可能需要更體系化的視角，通過(guò)細(xì)節(jié)處的微調(diào)為復(fù)雜性問(wèn)題的解決保留可能性。