《個人信息保護法》的比較法重思：

中國道路與解釋原理

作者簡介

丁曉東 中國人民大學法學院、未來法治研究院副教授，法學博士

目? 次

一、個人信息保護立法的初步比較

二、個人信息保護立法的文化背景差異

三、《個人信息保護法》的文本再分析

四、《個人信息保護法》的解釋原理

五、結語：《個人信息保護法》的中國道路

摘? 要

我國《個人信息保護法》在表面與形式上與歐盟《一般數據保護條例》高度相似，但并非后者的翻版，二者在法律性質、立法目的等方面存在重大差別。歐盟的個人數據保護法具有高度意識形態化的文化淵源，其風險防范以人格與身份為核心，而我國的《個人信息保護法》則更加具有實用主義的特點，其保護的法益包括了人格與人身財產安全等多項權益。而中美個人信息保護立法雖存在重大差異，但也存在若干共同點。《個人信息保護法》在借鑒歐美立法的同時，具有鮮明的中國特色。解釋與適用這部法律，應堅持實用主義、風險規制、公私法合作治理、場景化適用等解釋原理，從而創造出為全球個人信息保護貢獻落地實施的中國方案。

???

關 鍵 詞

個人信息? ?隱私? ?人格尊嚴

一般數據保護條例? ?風險

2021年8月20日，千呼萬喚的《個人信息保護法》終于經全國人大常委會表決通過，并于2021年11月1日起正式實施。在我國的立法歷史中，很少有哪部法律像《個人信息保護法》這樣，引起如此廣泛的關注與爭議。從2012年全國人大常委會通過《關于加強網絡信息保護的決定》到《個人信息保護法》的最終出臺，學界圍繞個人信息保護法與憲法等相關法律的關系、個人信息與隱私保護的區別、個人信息保護法的立法方向、個人信息權利（益）的法律屬性以及公私法屬性，展開了深入的討論。如今，伴隨《個人信息保護法》的通過，一些宏觀問題已經有了答案。例如在立法體例上，這部法律采取了統一的立法模式，在立法體例與內容方面較多借鑒了歐盟的立法，尤其是2018年生效的《一般數據保護條例》。

但《個人信息保護法》是否是一部與《一般數據保護條例》高度類似的法律，或者是一部“小型《一般數據保護條例》”（mini-GDPR）？本文認為，《個人信息保護法》的文本雖然與《一般數據保護條例》高度相似，但這并不代表二者的基本原理與法律特征完全相同。同樣的用語和表述，其含義在不同地區可能完全不同。例如，中西方可能都使用隱私一詞，且同樣在法律里規定了隱私權保護，但對于何謂隱私存在不同的認識——西方可能會將個人收入視為隱私，但中國的大多數人可能認為這不屬于隱私。即使在西方國家中，歐美對于隱私的理解也具有重大差異，例如，歐盟更多以尊嚴的立場理解隱私，而美國則更可能以自由的立場理解隱私。個人信息保護亦是如此，理解《個人信息保護法》，需要進行更深的文化背景比較與文本細讀，從而剖析中國與歐美立法的異同。

據此，本文引入法律文化研究與方法，比較中歐個人信息保護的異同。根據格爾茨的說法，文化“是一種歷史上傳播的符號意義模式，一種以符號形式表達的繼承觀念體系，人們通過這種方式交流、延續和發展對生活的認識和態度”。格爾茨曾經以“眨眼”（wink）為例，指出在某些社會眨眼意味著陰謀詭計，而在其他社會眨眼則意味著調情。因此理解某一社會的眨眼，不能僅僅描述這一概念本身，而必須結合其文化背景進行“深描”（thick description），以“理解并抓住其多重復雜概念結構”。《個人信息保護法》的文本研究亦是如此，應結合不同文化背景對其進行深描。

本文的結論是，《個人信息保護法》雖然在表面上采取了一條類似歐盟的進路，但兩部法律在本質上仍然存在眾多差異。另外，雖然我國立法在形式上采取了與美國相迥異的領域立法模式，但二者在若干方面仍然存在相似性。當然，我國的個人信息保護和美國也有巨大差異，我國的《個人信息保護法》采取了與歐美不同的獨特的中國道路，具有回應中國實踐需求的實用主義導向。

因此，無論在實證法層面還是正當性層面，未來的個人信息保護都應當避免以歐美的進路來解釋我國的《個人信息保護法》及相關法律的簡單思路。相反，對域外個人信息保護的經驗與原理的借鑒應該建立在對其原理與背景的深層理解上，將域外經驗視為我國個人信息保護的參照。從《個人信息保護法》的中國特色出發，本文提出了實用主義、風險規制、公私法合作治理、場景化適用等若干解釋原理與方法，以期為《個人信息保護法》的解釋與適用提供若干指引。

一、個人信息保護立法的初步比較

在我國《個人信息保護法》的立法過程中，歐盟的《一般數據保護條例》是一部不得不提的法律，這部法律對《個人信息保護法》有著毋庸置疑的巨大影響。在多個不同層面，我們都可以發現這兩部法律的相似性。

其一，《個人信息保護法》與《一般數據保護條例》在立法結構上具有高度的相似性。二者都采取了統一立法模式，對不同行業、不同主體、不同目的的個人信息收集與處理的行為做統一性規定。只要存在個人信息的專業化或商業化處理行為，此類行為就可以為兩部法律管轄與適用。在《一般數據保護條例》中，所有決定“個人數據處理目的與方式的自然人或法人、公共機構、規制機構或其他實體”都被稱為“控制者”，在《個人信息保護法》中，所有“自主決定處理目的、處理方式的組織、個人”則被稱為“處理者”。

我國和歐盟的這種立法結構與美國領域性、分散式的立法模式有較大差異。美國并無一般性與統一性的聯邦立法，美國聯邦層面的個人信息保護立法集中于那些風險較大、社會關注較多的領域。例如美國首部涉及個人信息保護的《公平信用報告法》，其立法目的是為了防止征信領域個人信息的不正當收集與濫用。而在州立法層面，美國的個人信息保護法也主要針對特定領域，例如，2020年實施的《加利福尼亞州消費者隱私保護法案》和2021年批準的《弗吉尼亞州消費者數據保護法》主要就消費者領域的個人信息收集與處理進行了規制。

其二，《個人信息保護法》與《一般數據保護條例》在憲法依據上具有相似性。由于涉及個人信息或個人數據的保護，我國《個人信息保護法》在三審稿與最終稿第1條中增添了“根據憲法，制定本法”的表述，從而將保護個人信息的依據上升到憲法的高度。與我國類似，歐盟也將個人數據被保護的權利視為一種憲法上的基本權利。《歐盟基本權利憲章》第8條第1款規定：“每個人都有權保護與其有關的個人數據。”《一般數據保護條例》第1條第2款在規定“本條例保護自然人的基本權利和自由，特別是其個人數據被保護的權利”的同時，又在其“重述”（recital）中重申：“在處理個人信息時保護自然人是一項基本權利。”

相較而言，美國的個人信息保護立法并未明確上升到憲法層面。無論是美國聯邦層面的領域性立法，還是州層面的立法，其個人信息保護法更多是出于實用主義的考慮，尤其是基于保護消費者和個人的知情權的目的。就憲法基本權利而言，美國由于其國家行動（state action）教義的限制，其基本權利只能針對公權力主體，既不能像歐盟那樣通過第三人效力而輻射到私主體，也不能像中國這樣要求國家承擔對個體信息的保護義務。總體而言，美國憲法至今仍然認可美國聯邦與州層面的個人信息保護立法，但并未將其視為一種憲法上的義務。

其三，《個人信息保護法》與《一般數據保護條例》在個人信息處理的合法性基礎方面具有高度的相似性。兩部法律首先都規定處理個人信息需要合法性基礎，缺乏合法性基礎的，信息處理者不得收集與處理個人信息。具體而言，我國《個人信息保護法》列舉了七種情形，而歐盟《一般數據保護條例》也規定了類似的合法性基礎，增加了“處理對于保護數據主體或另一個自然人的核心利益所必要”和“處理對于控制者或第三方所追求的正當利益必要”兩項條件，而這兩項條件在中國個人信息保護立法中也被廣泛討論，并被認為可以通過其他條款加以解釋。

這與美國的個人信息保護立法有較大差別。在美國，首先，個人信息保護的相關立法主要是為了保障公民在個人信息處理中受到公平對待，其個人信息保護中的同意等機制主要為了保障公民知情權，是矯正市場信息不對稱的一種手段，而非處理合法性條件的一種方式或途徑。其次，在沒有立法的領域，美國對收集與處理個人信息采取了更加市場化的原則，即國家并不設置任何處理個人信息的合法性基礎。在這些領域，美國主要采取消費者保護的進路，即監管企業在收集與處理個人信息時是否存在“不公平與欺詐”（unfair or deceptive）的行為。

其四，《個人信息保護法》與《一般數據保護條例》在權利義務設置上具有高度相似性。就個人信息權利而言，兩部法律雖然在表述上有一定差異，但都規定了個人的知情選擇權、查詢復制權、更正權、刪除權、攜帶權、自動化處理與算法決策等相關權利。就信息處理義務而言，二者都要求信息處理者或數據控制者收集個人信息以必要為限度，處理或分析個人信息以最小化為原則，同時履行保護個人信息安全、保障個人信息質量、在數據泄露等情形下采取必要措施并通知用戶的義務。

相較而言，美國的個人信息立法沒有規定這么寬泛的個人信息權利與信息處理者義務。例如，《家庭教育權利與隱私法》《健康保險可攜帶性和責任法》《聯邦有線通訊政策法案》《視頻隱私保護法》《司機隱私保護法案》《兒童在線隱私保護法》《加利福尼亞州消費者隱私法案》等大多規定了個人對于其信息的知情同意權、查詢權、更正權、刪除權等權利，但除了極個別情況，并未明確規定被遺忘權、攜帶權及與自動化處理相關的權利。同時在義務方面，美國的大多數法律未強制要求信息處理者遵循最小必要原則，也并未要求企業設置專門的個人信息保護人員。

二、個人信息保護立法的文化背景差異

《個人信息保護法》的文本雖然在若干方面與《一般數據保護條例》高度相似，與美國立法具有重大差異，但這并不意味著三者在根本原理方面也存在類似的情況。

（一）歐盟

首先就法律性質而言，歐盟以《一般數據保護條例》為代表的數據立法是歐盟基本權利意識形態的一部分。歐盟的憲法基本權利首先具有歐盟與歐洲共同體建構的功能，個人數據被保護權作為最為重要的一種基本權利，其功能尤其突出。

二戰以后，歐盟出現了嚴重的身份認同危機——歐洲存在的意義是什么？正如哈貝馬斯所言，這一問題構成了歐洲知識分子與精英階層的靈魂之問。對于這一問題，歐洲給出的答案是保護人權與基本權利。為了保護人權與基本權利，歐盟在其成員國、歐盟與歐盟之外分別建立了復雜的人權保護體系。在成員國內，各國具有其獨立的憲法基本權利及其保護體系。在歐盟內部，《歐盟基本權利憲章》確立了尊嚴、自由、平等、團結、公民權利和正義等基本權利，并由歐盟正義法院作為最后裁決者；在歐盟外部，《歐洲人權公約》以國際公約的形式確認了簽署國的人權義務，并由《歐洲人權公約》作為最終裁決者。對于歐洲而言，離開了人權與基本權利的話語體系，歐洲各國公民對于其歐洲的共同身份認同就難以維持，歐盟超國家的制度體系就不具備正當性。

因此，研究歐盟的個人數據被保護權，必須將其還原到歐盟建構與普世主義價值的意識形態中去理解，而不能僅僅從實用主義的層面去理解。“General Data Protection Regulation”中的“General”一詞，正是這一意識形態的最佳佐證。“General”既可以翻譯為“一般”和“通用”，又可以翻譯為“統一”，表明歐盟希冀將數據權利建構為一種一般性和普適性的權利。

此外，歐盟認為，個人數據處理本身會帶來侵害人格的風險。歐盟的個人數據保護立法以風險預防為原則，而且是一種基于人格尊嚴為核心的風險預防。個人數據保護雖然可能關乎多種權益，但歐盟對此問題的探討仍以人格尊嚴為基礎。早在1977年德國制定《聯邦數據保護法》時，聯邦議會就指出，其立法目的在于預防數據處理對“個人完整性”（personal integrity）的威脅。1978年，法國也在相關法律中指出，基于個人信息的“信息計算”可能對“人類身份、人權、隱私，和個人或公共自由”構成威脅。及至1995年通過的第95/46/EC號《數據保護指令》和2016年通過的《一般數據保護條例》，這一立場一直延續。

歐盟之所以采取這種視角，與歐盟在二戰期間的納粹歷史密切相關。二戰期間德國等國對猶太人等群體的迫害，就是利用個人信息來對特定群體進行大規模區分和識別。因此在二戰后，歐盟對于基于個人信息的自動化、半自動化與大規模個人信息存檔的行為尤其警惕。在德國著名的人口普查案中，德國法院之所以提出個體相對于信息處理者的“信息自決權”和“信息系統中的信任和完整權”，在一定程度上就是因為此類信息普查引起了德國慘痛的納粹記憶。

（二）美國

就法律性質而言，美國個人信息保護主要采取消費者保護的立場，具有市場調節法的特征。一方面，在沒有進行個人信息保護立法的領域，美國的個人信息保護采取一般消費者保護的模式，通過美國聯邦貿易委員會（FTC）進行市場監管。而在已經進行個人信息保護立法的領域和州，美國采取了“特殊型”（sui generis）消費者保護法。美國州層面的若干統一立法也具有類似性質，例如上文提到的《加利福尼亞州消費者隱私權利法案》《弗吉尼亞州消費者數據保護法》，以及奧巴馬政府時期起草但未獲通過的《消費者隱私權利法案》，也都被冠以消費者保護法之名。

相比歐洲來說，美國的消費者法更少規定規制方面的內容，而是更接近民事法律，特別是合同法制度。在一般消費者保護方面，美國聯邦貿易委員會進行的市場監管較少，只要不存在明顯的不公平對待，尤其是不存在欺騙性對待，用戶的同意就可以被視為或被擬制為一種合同或是用戶授權。同時，即使在已經進行個人信息保護立法的領域，美國所進行的監管也遠不如歐盟嚴厲。如果說歐盟在整體上不信任個人信息保護的市場化機制，在一定程度上采取了施瓦茨教授所謂的“信息隱私不可讓渡”（information?privacy?inalienability）規則，則美國整體上仍然肯定市場在個人信息保護中的重要作用，其立法目標更多是為了矯正市場的信息不對稱與不公平問題。在這個意義上，可以說美國的大多數個人信息保護立法本質上仍然是一種市場監管法或市場調節法。

另一方面，就立法目的與風險預防而言，美國并沒有采取本質主義的立場，認為個人信息處理本身就會帶來風險。美國通過立法的方式預防個人信息風險，主要集中在少數處理個人信息行業風險較高或社會關注度較高的領域。例如，在征信、金融、視頻、電信、醫療、兒童保護等領域中不當處理個人信息被認為會帶來較高風險，因此需要單獨進行立法。總體而言，美國并不像歐洲那樣，認為個人信息處理本身就存在侵害個人人格尊嚴的風險。對美國而言，個人信息處理更像是放大相關風險的過程，而且會因為不同領域和不同場景的差異而不同。在一些風險較小的領域，個人信息處理所帶來的風險擴張可能微不足道，因此不需要立法上的風險事前預防。在風險較高的領域，才需要立法與事前規制。就此而言，美國個人信息立法的風險觀更為務實，更接近個人信息使用不當或泄露所帶來的實際風險。

（三）中國

借助歐美法律文化背景的比較，可以發現我國《個人信息保護法》的獨特性。就法律性質而言，我國的《個人信息保護法》與歐美的相關立法都有所差異。本文第一部分曾經提到我國《個人信息保護法》在憲法淵源上與歐盟《一般數據保護條例》相似，都將個人信息被保護權視為一種基本權利。但我國對于這種憲法基本權利的理解與歐盟相關立法并不完全相同，如果說歐盟憲法基本權利和個人信息被保護權具有身份建構與普世主義價值的特征，那么我國則更多將個人信息被保護權視為一種樸素的國家保護義務。與歐盟不同，我國并不以基本權利來維持超國家的身份認同，也不主張建構普世主義的意識形態。

此外，我國的《個人信息保護法》在事實上也聚焦于消費者個人信息保護，在這一點上反而和美國有一定的相似性。在我國《個人信息保護法》的立法過程中，最為聚焦的議題始終是以互聯網企業為代表的企業對個人信息的收集與利用，這些議題在很大程度上支配了立法者與參與者對《個人信息保護法》的想象。《個人信息保護法》采取了統一立法的模式，但其立法模式恰巧將國家機關作為單獨一節進行規定，區別于歐盟不加區分的模式。這一立法體例說明我國的《個人信息保護法》更像是消費者隱私法與國家機關處理個人信息法的疊加，而非像歐盟法那樣，是一部高度融合與統一化的個人信息立法。

就立法目的與風險防范而言，我國更多采取實用主義的立場。在過去若干年的個人信息立法過程中，學界、產業界與公共輿論圍繞個人信息保護展開了激烈的爭論，議題包括立法應當按歐盟模式還是美國模式，應當更嚴格還是更寬松，應當更顧及產業發展還是個人信息保護？這些問題如今都已經塵埃落定。但這些爭論說明我國的個人信息保護立法在根本原理上與歐盟并不完全相同。如果二者完全相同，此類爭議就不可能存在。因為按歐盟的理論，個人信息處理本身就存在對人格尊嚴的威脅，需要無可爭議的法律嚴格規制。我國在立法過程中存在此類爭論，恰巧反映出我國個人信息保護立法是從實用主義的角度出發，對個人信息合理利用與相應風險進行權衡判斷的結果。

三、《個人信息保護法》的文本再分析

對于我國《個人信息保護法》的保護性特征與實用主義特征，還可以從文本的某些核心細節中再次獲得佐證。與歐盟高度意識形態化的個人數據被保護權、以人格尊嚴為核心的風險預防不同，我國的《個人信息保護法》更具實用主義傾向，其防范的風險也更加多元化和貼近實際。

（一）

個人信息的界定

中歐個人信息界定的不同首先反映了二者的根本性差異。從表面上看，《個人信息保護法》對個人信息的定義采取了類似歐盟的表述，將其定義為“以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息”。這與歐盟《一般數據保護條例》規定的“任何已識別或可識別的自然人（數據主體）相關的信息”高度相似。二者不但以“識別”作為界定個人信息的重要標準，而且引入相關或關聯的標準，對個人信息采取較為寬泛的定義。

但二者在“識別”這一關鍵問題上存在著重大差異。歐盟的識別圍繞身份展開。根據歐盟《一般數據保護條例》第4條，可識別的自然人包括“能夠被直接或間接識別的個體，特別是通過諸如姓名、身份編號、地址數據、網上標識或者自然人所特有的一項或多項的身體性、生理性、遺傳性、精神性、經濟性、文化性或社會性身份而識別個體”。在歐盟法中，識別概念的重點在于身份的識別，不僅包括姓名、身份編號這類能直接聯系到個體的識別信息，而且包括各類身份特征的識別。

反觀我國《個人信息保護法》，其識別概念的重心在于是否可以聯系到特定個體或“識別特定自然人”。《個人信息保護法》第73條規定，去標識化“是指個人信息經過處理，使其在不借助額外信息的情況下無法識別特定自然人的過程”；匿名化“是指個人信息經過處理無法識別特定自然人且不能復原的過程”。這些規定都表明，我國將識別“特定自然人”作為最終標準。

個人信息的定義并不僅僅是一個技術問題，它反映了中歐在個人信息保護問題上的重大差異，即前者以個體被聯系的風險界定個人信息，后者則以身份性區分的角度界定個人信息。正如上文所述，歐盟的身份認同恰巧是要防止識別各類具體身份，因此身份成為其個人信息界定的核心問題。而我國則采取相對而言更具實用主義傾向的方式，以實際聯系風險作為區分個人信息的標準。

（二）

敏感個人信息

中歐關于敏感個人信息定義的不同也反映了二者的根本性差異。我國《個人信息保護法》第28條將敏感個人信息界定為“一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息”。對于敏感個人信息，《個人信息保護法》規定只有在具有特定的目的和充分的必要性并采取嚴格保護措施的情形下才可以進行處理。而歐盟《一般數據保護條例》單獨列舉了“特殊類型個人數據”，對于特殊種類的個人信息，歐盟規定除非有法定例外情形，否則原則上不得處理。

比較中歐關于這兩類特殊保護的個人信息類型，同樣可以發現二者具有本質差異。仔細分析歐盟“特殊類型個人數據”，會發現其主要指那些帶來身份性歧視的個人數據，例如種族、民族、性取向等個人數據。在歷史上，這些類型的身份信息曾經在歐洲造成了大規模歧視，在當代也仍然可能給個體帶來歧視風險。而對于其他可能給公民帶來風險但與身份不相關的個人數據，歐盟并未將其視為“特殊類型個人數據”，例如，金融賬戶、行蹤軌跡類的數據并不在其范圍之內。反觀中國，對敏感個人信息具有較為明顯的實用主義與風險防范導向，其防范的不僅包括“人格尊嚴”，而且包括“人身、財產安全”，并將金融賬戶、行蹤軌跡明確納入列舉的類型中。作為個人信息保護的升級版本，我國與歐盟關于敏感或特殊種類個人信息的界定充分說明了二者的差異。

（三）

用戶畫像與自動化決策

中歐個人信息保護的差異還可以從用戶畫像與自動化決策中看出。一方面，歐盟對用戶畫像與自動化決策進行了非常嚴格的限制，并且對二者進行了一體化規制。根據《一般數據保護條例》的定義，“用戶畫像”指的是“為了評估自然人的某些條件而對個人數據進行的任何自動化處理”，并進一步規定，數據控制者在收集個人信息時應當告知“存在自動化的決策”和“用戶畫像”，個體應當有權脫離或反對“完全依靠自動化處理——包括用戶畫像——對數據主體做出具有法律影響或類似嚴重影響的決策”。

歐盟的這一立法特點表明，歐盟將用戶畫像和自動化決策視為同等威脅。在歐盟看來，即使用戶畫像沒有直接用于決策，只要存在用戶畫像或者說存在自動化處理的評估，此類行為就應當受到個人數據保護法的規制。正如上文所述，個人數據的處理行為本身就被認為是一種對個體基本權利的威脅。在歐洲，此類行為很容易引起人們對納粹時期德國等國家利用身份信息鑒別猶太人和有關群體的歷史記憶。

反觀我國，《個人信息保護法》關注的是伴隨著個人信息分析與處理中的決策風險，尤其是市場中的不合理決策風險，而非個人信息分析與處理本身的風險。《個人信息保護法》沒有明確提到用戶畫像，第3條雖然原則性地規定“分析、評估境內自然人的行為”也適用本法，但其規定主要集中在自動化決策活動。正如第73條規定，“自動化決策，是指通過計算機程序自動分析、評估個人的行為習慣、興趣愛好或者經濟、健康、信用狀況等，并進行決策的活動”。此外，該法對自動化決策的規定也具有顯著的中國特征。《個人信息保護法》的自動化決策條款更多針對中國背景下的“大數據殺熟”問題。該法第24條規定，自動化決策應當“保證決策的透明度和結果公平、公正，不得對個人在交易價格等交易條件上實行不合理的差別待遇”。這一規定表明，《個人信息保護法》對于自動化決策的關注更聚焦于市場性行為，尤其是市場中的信任問題，而非自動化處理所導致的一般人格尊嚴問題。

（四）

監管、救濟與合規制度

個人信息的監管、救濟與合規制度也反映了中歐差異。歐盟《一般數據保護條例》允許超越民族國家的行政監管與個人申訴或起訴，即一方面監管機構可以對違法行為進行行政罰款或采取其他行政處罰措施，另一方面個人可以向監管機構進行申訴，或向法院尋求司法救濟。同時，它設立了企業內部的獨立數據保護官制度，在企業內部獨立履行個人信息合規與治理責任。根據規定，個人數據保護官“不能因為完成其任務而被控制者或處理者解雇。其可以直接向控制者或處理者的最高管理層進行報告”。

與歐盟相比，我國《個人信息保護法》不僅建立了監管與救濟制度，而且規定了企業“個人信息保護負責人”。但有幾點不同，一是我國并未確立類似歐盟的獨立監管機構，而是將“國家網信部門”與“縣級以上地方人民政府有關部門”“統稱為履行個人信息保護職責的部門”；二是并未賦予“個人信息保護負責人”獨立的法律地位，“個人信息保護負責人”只是企業內部的專業負責人員，而非獨立于企業的獨立人員；三是確立了公益訴訟機制，我國《個人信息保護法》第70條規定：“侵害眾多個人的權益的，人民檢察院、法律規定的消費者組織和由國家網信部門確定的組織可以依法向人民法院提起訴訟。”

歐盟的獨立監管機構與企業獨立數據保護官制度表明，歐盟將個人數據保護視為一種特殊的，甚至是具有優先性的基本權利。歐盟僅僅在個人數據領域要求企業設置獨立人員，而在其他安全生產、環境保護、文化保護等領域，并未做此類強制性要求。此外，歐盟也沒有設置公益訴訟制度。而我國不僅在《個人信息保護法》中創設了“個人信息保護負責人”，也在安全生產、食品安全等法律法規中創設了負責安全的專門人員。我國雖然目前極為重視個人信息保護，但就權利性質而言，并未將個人信息保護上升到一個比環境保護或食品安全更優先、對個人基本權利威脅更大的領域。此外，我國設立專門的公益訴訟制度，也表明我國不僅從個體權利角度，而且從公共性或集體權益的角度看待個人信息保護。

四、《個人信息保護法》的解釋原理

《個人信息保護法》并非歐盟或美國相關法律的翻版，其具有鮮明的中國特色和價值取向，且以回應我國人民與現實社會的實際需求為出發點和落腳點。從這一根本特征出發，可以提出《個人信息保護法》的若干解釋原理與方法。

（一）實用主義

實用主義是一個寬泛的哲學流派，囊括了杜威、皮爾斯、詹姆斯、哈貝馬斯、羅蒂等當代眾多哲學家與思想家。在法學領域，這一思想流派影響尤其寬泛，包括波斯納、桑斯坦等很多主流法學家。不同學者對這一思想資源的理解有一定差別，但也有共識性的核心主張，即強調真理與價值的相對可接受性，在法律解釋與法律適用時，應當以實踐與問題為導向看待法律問題。

在個人信息保護問題上堅持實用主義，與《個人信息保護法》所涉及的法益多元性具有密切關系。如上所述，歐盟將人格尊嚴視為個人數據保護的核心，并且上升到了基本權利層面，我國難以致此的原因即在于《個人信息保護法》所要保護的法益具有多元性。在《個人信息保護法》的立法過程中，人身與財產安全風險的防范問題一直是討論的重要議題。例如，徐玉玉因個人信息泄漏被詐騙而自殺案等各類人身財產案件，在促進《個人信息保護法》的立法中起到了關鍵作用。2015年《刑法修正案（九）》對侵犯個人信息罪的規定，也主要是為了規制個人信息大規模非法交易所導致的電信詐騙等各類行為。因此在解釋與適用《個人信息保護法》時，仍應注重這部法律的“初心”，避免以單一和歐盟意識形態化的法益基礎來理解這部法律。

此外，隨著大型互聯網平臺的公共屬性日益增強，對用戶權益的影響日益加深，個人信息保護中的權力制約問題也應成為理解與適用這部法律的重要目標。一方面，大型平臺等信息處理者和個人之間往往構成數據權力支配，矯正二者的不平等本身就是個人信息保護法的初衷。另一方面，大型平臺和作為集體的信息主體之間也具有權力支配關系，大型平臺往往可以通過對不同用戶的比較分析，使得它們能夠“從數據主體中獲得總體層面的洞察，以實現總體層面的適用性，而不是特定于數據主體的個人層面的洞察”。因此有學者提出，應當超越信息處理者與個人的關系，從集體與民主權力制約的角度理解和適用個人信息保護法。對于這兩種權力支配關系，我國《個人信息保護法》都給予了一定程度的回應，該法中大量個人知情權的條款，如第11條規定的公眾參與、第24條關于自動化決策差別化待遇的規定，都關注了平臺與個人或集體的權力失衡問題。因此在解釋與適用《個人信息保護法》時，應當采取實用主義原則，把權力制約也作為《個人信息保護法》的目標。

（二）風險規制

解釋與適用《個人信息保護法》，還應堅持合理的風險規制原理，摒棄零風險的“預防性原則”（precautionary?principle）。風險規制與零風險的“預防性原則”之間的區別在于，前者更強調對風險進行合理規制，在風險預防與事后救濟之間尋求恰當的平衡；而后者則對風險采取零容忍態度，強調對所有風險進行事前規制。近年來，在食品安全、環境保護、核電安全、疫情疾病等問題上，風險預防具有廣泛的影響，但是除了一些極端的系統性風險，采取零風險的預防原則常常并不合理，尤其在個人信息保護問題上，采取此類原理并不符合我國《個人信息保護法》的特征。

其一，個人信息保護所涉及的法益并不絕對，這決定了其風險防范應當采取符合比例的措施。在學術研究中，對這一問題已經積淀了較多的共識，學者們對其進行了不同角度的論述。例如有論述指出，個人信息與個人相關，但也具有公共性功能，涉及第三方與公眾對其的合理利用。還有論述指出，個人信息保護所涉及的法益更多是一種權益，而非一種剛性權利。另有論述指出，對個人信息權益進行保護不能簡單套用私權賦權的模式。在實踐中，這一特征也取得了廣泛認同，例如，即使個人數據嚴格保護的歐盟，也明確指出“保護個人數據的權利不是一項絕對權利；必須結合其在社會中的作用加以考慮，并與其他基本權利相平衡”。總結而言，個人信息兼具個體屬性與流通屬性，同時信息處理者與個人之間構成了復雜的關系，二者不僅僅具有侵害與防御的關系，而且具有合作與公共屬性。商業屬性的信息處理者對個人信息進行規范合理使用，有利于市場的良性運轉；具有公共屬性的信息處理者對個人信息進行規范合理使用，則有利于公眾知情權與社會的有效治理。

其二，個人信息保護須追求安全與發展的平衡，避免安全問題的意識形態化。對于類似新冠疫情的系統性風險，在不具備疫苗群體免疫的情形下進行嚴防死守，這對于避免醫療資源擠兌、保護人民生命安全具有重要意義。但這種預防策略并不能用在所有問題上，尤其不能簡單套用在網絡與信息技術問題上。對于網絡與信息技術發展中出現的風險，如果罔顧發展，追求絕對安全，最終可能造成社會發展的失敗和人民權益的重大損失。

（三）公私法合作治理

《個人信息保護法》兼具公法屬性與私法屬性，這已成為共識。但在解釋與適用這部法律時，公私法如何配合與適用，是一個亟待加強研究的問題。從上文比較法研究與原理分析出發，應注意《個人信息保護法》中公私法規范的深度融合與合作治理，避免從意識形態與傳統部門法本位的角度進行理解適用。

其一，在公私法屬性上不應將《個人信息保護法》等同于歐盟《一般數據保護條例》。從公私法屬性來看，《一般數據保護條例》的公法屬性較強，很大程度上是公法基本權利在民事領域的深度輻射。即使是知情同意原則，也被視為個人信息處理的合法性基礎，而非合同或合意。相反，美國的很多信息隱私法則主要從市場調節的角度看待個人信息保護，具有更多私法屬性或市場調整法的屬性，例如美國《加利福尼亞州消費者權利保護法》就被編撰在《加利福尼亞州民法典》中。我國《個人信息保護法》與歐盟仍存在很大差別，與美國的市場規制進路反而存在一定相似性。就此而言，我國《個人信息保護法》的解釋與適用仍應注重從市場規制法的原理出發，為市場調整與私法規范預留合理空間。

其二，應注重《個人信息保護法》中公私法規范的融合與協調。這是因為，這部法律中的大量規范已經體現了公私法的高度融合。以知情權、決定權、查閱復制權、更正補充權、刪除權、解釋說明權等個人信息權利為例，此類權利既具有一定的民事法律特征，同時又是公法規制和國家強制賦權的產物，很難說屬于傳統公法還是傳統私法。同樣，信息處理者義務也不僅僅是國家對信息處理者的監管，無論是企業內部自我規制、專門負責人制度、合規審計、影響評估還是補救措施，都涉及信息處理者與個人之間的民事關系。此外，公私法規范在個人信息保護與治理中也會相互影響，二者不可能完全獨立于對方而存在。例如在公法監管非常嚴厲有效的環境中，個人信息的市場調節與私法自治就能更好地發揮作用。同樣，如果個人信息的市場機制運行有效，則國家就未必需要過多的公法監管。公私法規范的相互影響說明，《個人信息保護法》應當擺脫純粹的部門法本位思維，從公私法協調與聯動的角度進行解釋與適用。

（四）場景化

解釋與適用《個人信息保護法》，還應堅持場景化適用。場景理論認為，保護個人信息并非要對其進行統一與標準化保護，而是要尋求與“具體場景相關的信息規范”（context-relative informational norms），維護具體信息關系與生活秩序的公正性或融貫性（integrity）。個人信息保護依賴于具體場景與關系，已經在很多中外文信息隱私法研究中得以體現。具體而言，個人信息保護應當考慮場景、行為人、信息類型、傳輸原則等不同要素，對不同場景適用不同規范。例如，民族信息在我國簡歷場景下并不屬于敏感信息，但在西方可能就屬于敏感信息或特定類型信息。線下出售貴重物品的商家進行監控，可能需要在合適的地方豎立警示牌進行提醒告知，但并不一定需要個人的明確同意，因為在此類場景中，消費者可能有存在視頻監控的預期；而線上錄像則需要非常嚴格的告知與同意，僅僅通過一般性的同意而調取用戶攝像頭進行錄像，會對用戶權益造成重大威脅。因此，有必要結合不同場景以及個人信息法中不同規范所具有的不同功能，對個人信息規范進行場景化適用。

在《個人信息保護法》制定的背景下，場景化適用可能面臨若干質疑或困惑。其一，場景化保護會不會不符合《個人信息保護法》的成文法特征，并且導致其規則的形同虛設？這一問題實際涉及一個經典的法理學命題，即法律是否主要由規則構成。對于這一命題，法理學界有著歷史悠久的研究與爭論，基本的共識是，并非所有的法律都是規則主導的。法律中經常包含了規則、標準、原則等不同要素，而不同法律不同要素的“比重”（weight）可能不同。有的法律可能是規則主導型的法，例如道路交通法，諸如時速限定之類的規定在其中占據主導地位。而有的法可能是標準或原則主導型的法，其規則在法律適用中所起的作用并沒有標準與原則重要，例如反壟斷法，實踐中一般都按照合理性規則（rule of reason）進行執法，而非按照規則本身（rule per se）進行執法。我國《個人信息保護法》采取統一立法模式，恰巧使得這部法和反壟斷法等法律類似，呈現出“非規則型法”或非純粹規則型法的特征。因此，以場景化原理理解和適用《個人信息保護法》，恰巧符合這部法律的特征。同時，場景化原理也并不意味著規則的形同虛設，“非規則型的法”僅僅意味著規則適用需要在具體場景中結合法律的合理性標準與法律原則，而并非意味著規則不起作用。

其二，場景化保護是否意味著“具體問題具體分析”，從而導致法律的不確定性與法律適用的恣意性？這也同樣涉及法理學的一些基本命題。簡略而言，場景化保護需要依賴案例與程序，借助案例與程序動態性地界定個人信息保護規則。案例的意義在于其貼近具體生活場景，其對于規范的理解與適用是一個動態的過程，既需要參照過往案例，又需要進行類比與實質性判斷。在具有審級制度的司法與執法體制中，案例則既包含了自下而上的規范制定，又具備自上而下的規范統一。而程序的意義在于，其給很多相對不確定的問題提供了審議與思辨的空間與時間，特別是為不同意見提供了抗辯的機會。在實踐中，美歐也在法律適用中高度依賴案例與程序。例如，美國聯邦貿易委員會的消費者隱私執法被認為具有“普通法”的特征；而歐盟則經常在各類指南中“以案說法”，采用“合理性規則”來解釋《一般數據保護條例》，并且建立了比較完備的申訴、司法復核等程序性的數據保護制度。就此而言，場景化保護恰巧是為了避免個人信息保護規則僵化所帶來的恣意性。通過案例與程序，場景化保護可以化解“非規則型法”所帶來的適用挑戰，構建動態但相對確定統一的個人信息保護規范。

五、結語：《個人信息保護法》的中國道路

在《個人信息保護法》制定之初，學界與業界曾掀起了一場走美國道路還是走歐盟道路的爭論。一方面，以互聯網企業為代表的一方主張，中美兩國已經成為數字經濟的領跑者，而歐盟則在這場全球數字經濟的競爭中遠遠落后，因此不應作繭自縛模仿歐盟立法。另一方面，有的聲音則認為，我國個人信息保護面臨著國內外雙重壓力，亟須效仿以《一般數據保護條例》為代表的嚴厲規制模式，對個人信息進行全方位的保護。

我國《個人信息保護法》做出了清晰的立法戰略抉擇，制定了形似歐盟《一般數據保護條例》的《個人信息保護法》，并且在很多方面更為嚴格。但表面上的相似性并不意味著我國完全采取了歐盟的個人信息保護進路。從比較法的視角對我國《個人信息保護法》進行“深描”，可以發現我國在借鑒歐美經驗的基礎上，開啟了一條具有中國特色的個人信息保護道路。從其特征出發，解釋與適用《個人信息保護法》應當遵循實用主義、風險規制、公私法合作治理和場景化適用等原理與方法，使其成為真正滿足本國現實需求，并貢獻全球數據治理規則的中國方案。

本文載于《華東政法大學學報》2022年第2期。因篇幅較長，已略去原文注釋。