個人信息保護立法面臨的兩難選擇*

王新銳

（北京安理律師事務所，北京 100004）

0 引 言

個人信息保護不僅是法律問題，還要考慮數字經濟的發展和公眾的感受，因此經常面臨很多矛盾。中國是個大國，現實情況千差萬別，各個行業、各種場景都面臨個人信息保護的問題，并且不同行業、不同場景下處理個人信息的需求以及對個人信息的保護方式均有其特殊性，而公眾對個人信息保護的感受、看法又不盡相同。抽象的法律如何回應這種復雜性，是研究者在提意見時需要思考的，否則就容易“只見樹木，不見森林”。

《個人信息保護法（草案）》（以下簡稱草案）公布后，不少條文看起來都似曾相識，曾出現在之前其他的規則中，或者和域外的立法相近。筆者團隊一直在做國內個人信息法律法規和規范的匯編，從幾年以前的幾十頁到現在的超過800 頁，深知從這些現行規則中把一些有效的做法上升為法律是非常不容易的事情。通過詳細的條文比對，草案一共70 條，大概有40 條和歐盟的《通用數據保護條例》（General Data Protection Regulation，以下簡稱GDPR）有近似的地方。GDPR 正文共99 條，但官方已經出了近30 份指南，平均每3 個條文就有一份指南，是一套非常復雜、精密的規則體系，借鑒起來也不容易。所以一方面需要借鑒現有的實踐和域外立法，一方面又要兼顧內在的體系，再加之前述個人信息保護的復雜性，這就會帶來多處“兩難選擇”。

1 個人信息定義

草案將個人信息定義為“以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息”，這一定義和GDPR 非常接近。GDPR 將個人數據定義為“任何已識別或可識別的自然人（‘數據主體’）相關的信息”。草案與GDPR 的定義均強調“與已識別或可識別的自然人有關”的信息。

在國內以往立法中，《民法典》下的個人信息是“以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息”，《網絡安全法》下的個人信息是“以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息”，均強調“單獨或者結合識別自然人”。與《網絡安全法》、《民法典》中強調“識別”的定義相比，草案中“與已識別或可識別的自然人有關”的定義，個人信息的范圍是有所擴大的。

如果個人信息的范圍比較寬，是否處理個人信息的合法性基礎也應該相對靈活？否則很容易導致普遍性違法和選擇性執法，也有損于法律尊嚴。

我國的立法沒有必要完全模仿GDPR，因為GDPR 也存在不少負面教訓。GDPR 出臺以后，大量歐洲中小企業因為承受不了高額的合規成本，導致其創新能力不足，難以支撐和發展，反而是大型企業的壟斷能力得到了強化，已經有不少實證研究支持這一結論[1-3]。GDPR 的目的之一也是規制谷歌、臉書等大型企業，結果這一立法目的并沒有完全實現。個人信息保護法和勞動法在立法中存在類似之處，出發點也許是好的，但有可能會導致弱勢企業、個人面臨更加糟糕的處境，所以要特別關注好心辦壞事的情況。

2 合法性事由

合法性基礎是否貫穿整部立法也是需要予以考慮的問題。目前草案在第十三條提到了處理個人信息的合法性基礎，其中包括：取得個人的同意；為訂立或者履行個人作為一方當事人的合同所必需；為履行法定職責或者法定義務所必需；為應對突發公共衛生事件，或者緊急情況下為保護自然人的生命健康和財產安全所必需；為公共利益實施新聞報道、輿論監督等行為在合理的范圍內處理個人信息；以及法律、行政法規規定的其他情形。但在第二十四條所規定的向第三方提供個人信息的情形中，又回到了知情同意這一種合法性基礎，要求個人信息處理者向第三方提供其處理的個人信息要取得個人的單獨同意。那么就會出現一種情況，比如某商家與消費者在線上訂立了購物合同，約定商家負責發貨，而商家為了履行合同中的發貨義務就必需把消費者的地址、聯系方式等信息提供給物流服務方，這一提供行為本應該已經具備了草案第十三條中規定的“為訂立或者履行個人作為一方當事人的合同所必需”這一合法性基礎，但根據草案第二十四條，卻又需要取得消費者的單獨同意。

草案中規定的以上幾種合法事由在很大程度上借鑒了GDPR。但由于在草案出臺以前，基于《網絡安全法》的規定，中國法律語境下處理個人信息的合法事由僅有同意這一項，因而在以往的立法與實踐當中，對于處理個人信息的合規要求集中圍繞“同意”而展開。這也導致了，雖然本次草案在合法事由方面借鑒了GDPR 中同意之外的幾項合法性基礎，但在整部立法中的其他方面，仍然保持了圍繞“同意”而展開的模式，對于同意之外的其他合法性基礎下個人信息處理者的義務是否有別于基于同意的個人信息處理活動，草案并未多做展開，多種合法性基礎并行的體系未能得到貫穿。

當然貫穿有貫穿的好處，不貫穿有不貫穿的優點，比如規則簡單的話，公眾更容易理解，也沒有那么多字面上的空子可以鉆。但不管選擇哪種方案，面對現實的復雜性，還是需要更精巧的設計。比如，大家都有共識的是，在向第三方提供個人信息的情形中應該加強對個人信息的保護，但在GDPR 中，向第三方提供個人信息的情況同樣可以適用原則部分的各項合法性基礎，而草案只能基于“單獨同意”，就顯得過于簡化和嚴苛了。

對于這一組兩難選擇，筆者認為主要是加強保護力度和考慮例外情況的問題。一旦例外情形增多、個人權利約束減少，公眾又會覺得有很多口子、有很多空子，但完全不開又不行。

3 同意的界定

要討論個人信息，就繞不過“同意”，“同意”是最復雜、最難的問題?！睹穹ǖ洹分袑⑼夥譃槊魇竞湍荆莅钢袆t包含單獨同意、自愿明確同意、書面同意、重新取得同意。比如根據草案，向第三方提供個人信息、公開個人信息、基于個人同意處理敏感個人信息等，需要取得個人單獨同意；而個人信息的處理目的、處理方式和處理的個人信息種類發生變更的，要重新取得同意。在各種不同類型的同意要求下，個人多少會感到困惑，也會導致實踐中很多時候各種類型的“同意”無法完全落地。

雖然草案中提供了同意以外的合法性基礎（如前所述并沒有貫穿），但在大部分情況下可能還是要依賴同意作為個人信息處理的主要基礎，或者說這是大路，其他合法性基礎是小路，那這條大路就得修得寬敞一些，讓大部分人都能通行。

比如，根據草案，“去標識化”的信息仍然是個人信息，然而在醫療健康行業，很多數據都是去標識化而不是匿名化的[4]，也沒有辦法做到匿名化，而在此種帶有科學研究性質的場景下，反復去獲得患者的單獨同意又可能和科研本身的規則相沖突。

關于同意的討論很多，在此不多做展開。核心的觀點是，以知情同意作為主要合法性基礎并不存在問題，這可以說是全世界個人信息保護立法的共識。但具體怎么界定同意、怎么解釋同意，這一問題非常復雜，可能都不是兩難選擇，是三難、四難。筆者所在團隊曾經翻譯過歐盟關于GDPR 下同意的指南[5]，在業務實踐中感覺到，雖然其立法是比較清晰的，但實際效果可能并不好。

4 完善思考

草案規定了信息主體在個人信息處理中的權利，包括知情權、決定權、限制或拒絕處理權、查詢權、復制權、更正權、刪除權、要求解釋權、投訴權等。從法理和國內外立法實踐來說，這些權利都不是絕對的。目前草案中個人信息的合法性事由和GDPR 能夠大體對應，但GDPR下不同合法性路徑對信息主體即個人的權利有不同的約束，或者直接說明不適用。

比如，針對刪除權，GDPR 在第17 條第1 款、第2 款規定了數據主體有權要求控制者刪除其個人數據，以及控制者有義務刪除的情形。同時在第17 條第3 款，GDPR 也提供了排除第1 款、第2 款適用的例外情形，也即在這些例外情況下，控制者可以不響應數據主體的刪除請求。這些例外情形包括：(a)為了行使表達自由和信息自由的權利；(b)為了遵守歐盟或者控制者所屬成員國法律規定的法定義務、為了公共利益或在行使控制者被賦予的官方權限時必須對數據進行處理(c)根據第9 條第2 款(h)和(i)項以及第9 條第3 款，為了公共衛生領域的公共利益的原因；(d)根據第89 條第1 款，為了公共利益進行檔案管理、科學或歷史研究目的或統計目的，而第1 款所述權利的實施已成為不可能或者很可能嚴重阻礙該處理目標的實現；(e)為了提起、行使或捍衛法律訴求。而在草案中，僅規定了個人信息處理者應當主動或根據個人請求刪除個人信息的情形，并未對刪除情形的例外作出規定。

再比如，針對查閱、復制權的行使，GDPR第15 條規定了控制者應當向數據主體提供一份處理數據的備份，但數據主體要求額外的備份時，控制者可以收取合理費用。但在草案對個人行使查詢、復制權的規定中，僅規定個人有權向個人信息處理者查詢、復制其個人信息，且規定個人信息處理者應當及時提供，并未提及處理者可以對額外的要求收取合理費用。在這種情況下，若個人頻繁行使復制權，反復要求個人信息處理者提供數據備份時，個人信息處理者較可能處于十分被動的狀態，導致不合理地增加處理者的負擔。

根據統計，GDPR 中的權利限制就有20 多處。這是在立法技術上需要考慮的問題,即我國的立法在某些方面是否在實質上比GDPR 還要嚴格。

但如果說這些權利不是絕對的，那么在法律中應該如何增加限制條件，或者在特定情況下給予企業豁免和優待？一部法律的制定，不僅需要政府的強力推動，也需要提供正向激勵，讓有技術能力的公司愿意多投入，目前來看法律中的正向激勵是不夠的。比如，如果企業采取了隱私計算技術，使得數據可用而不可見，減少因匯聚融合而泄露的風險，是否會比不采取該技術的公司得到一定優待？

在信息主體權利的限制這一問題上，尤其能夠感受到立法者的兩難，因為這已經不完全是法理的問題，而涉及到公共政策的選擇。有時法律上并不盡完美，但又是多種約束下沒有辦法的辦法。可能也很少有一部法律，像個人信息保護法這樣對每一個公民都有影響。所以對于信息主體權利的慎重態度，也許是斟酌后的選擇。

5 結 論

值得肯定的是，草案較為及時地回應了我國現有的數據治理需求和國際當前的數據競爭態勢，但在把握好大方向的同時，也要對制度設計的精準性和現實中的可操作性有所重視，對此筆者嘗試提出以下幾點建議：

對域外經驗的借鑒應更有批判性和針對性。以前述的歐盟經驗為鑒，如果草案對個人信息的定義最終得到適用，個人信息權益的具體內容將有所延伸，那么規范的寬嚴尺度也應該有所調整，既要使得立法對權利的保障和限制功能充分發揮，又要給持續變化的現實問題留足調適的空間，以達到較為理想的實施效果。

需要用更連貫的思路去協調規范內部潛在的矛盾?？紤]合法性基礎是否貫穿整部立法，其實也是在考慮各項合法性基礎之間、特別是知情同意這一主要合法性基礎與其他合法性基礎的關系，不恰當的選擇可能會導致處理個人信息行為的合法性被重復評價、合法性基礎的功能彼此消解的后果。

除此之外，對個人信息的保護從來都是多方主體利益的權衡，個體權益、公共利益、產業發展需求等要素都要納入考量，但決定讓哪一主體的利益優先或讓渡都要設定具體的場景和條件，以防執法邊界任意限縮或擴張。

最后，個人信息保護立法的過程中遇到的難點很多，中國數字經濟發展得較快，風險暴露得較為充分，而當前國際局勢復雜，數據已經成為博弈的焦點，這和很多國家進行個人信息保護立法時所處的國內外環境都有很大不同。不過正因為如此，討論和解決上述以及其他兩難選擇，可能需要更體系化的視角，通過細節處的微調為復雜性問題的解決保留可能性。