文/李汶龙

上周末被邀请做一个分享，有机会从头到尾过了一遍《个人信息保护法》草案。在研讨会上得知，国内现在讨论热情高涨，大家观点也纷繁多元。

对于这部新法案的观感：没有太多眼前一亮，时而出现瞠目结舌。

本质上，这部法律可以归纳为一方面效仿欧盟的数据保护法，另一方面确保《网络安全法》的监管逻辑能够渗透其中。对于这样的立法思路我其实并不感到惊讶。条文本身也没有太多可点评。虽然GDPR有的基本上中国的新法案都有，但是条文基本上只勾勒出了轮廓，往往在真正落实的环节戛然而止。这就好比某些学者的作品，习惯性将自己的论点棱角磨平，永远保持正确，让人不置可否。 

与条文的细枝末节相比，我更关心的是接下来一段时间的立法演进：学术研究和公共讨论能否渗透到立法过程？多大程度上目前的条文能够得到修改？还是跟《民法典》征求意见一样，任凭如何谏言，只是只字不改？

在年初参与提供《民法典》修改意见之后，我意识到国内的立法程序不容太多公共讨论，更多只是权威者一家言。《立法法》虽然要求了征求公众意见的一环，但我们距离真正有机会、有空间、有能力参与立法过程还相去甚远。这或许也是为什么中国法律学者如此热衷得到参与立法“特权“的原因吧。相较之下，欧盟或者英国的立法更为复杂、开放和交互，能够容纳不同意见，能够形成交锋和讨论，并且会对所有的讨论存档、公开、定期评估。虽然在这样的环境中仍然会滋生很多问题，但程序正义本身至少是国内需要的。

我赞同何渊老师的观点，虽然如今学术研究、公共讨论尚且未能与立法程序接洽，我们参与、促进讨论仍然十分必要。交互性立法环境的形成，需要很多人迈出讨论的第一步，并且用不懈努力来换来制度层面上的一小点进步。我也希望与同仁一道努力，能够在未来看到中国也能有这样的法治景象。

如何能够通过讨论促进一个健康的立法文化，在其中学术、公共讨论和立法有互动和融合，探讨有交锋、有反思，条文能够有渐进优化的可能，这些是我思考的方向。基于此，我觉得国内关于《个人信息保护法》的讨论、评估和修改可以考量这样几个维度。

1. 制度创新：中国GDPR是否有后发优势，能够弯道超车？
2. 制度借鉴与取舍：中国立法者在效仿或超越GDPR的问题上做得如何？
3. 制度有效性：新规则的出台能否有效解决中国数字社会中的难题？
4. 制度互认：中国的数字法律框架能否得到欧盟的肯认 (adequacy decision)

 这只是一篇引子。考虑到篇幅，我会将这四个角度分别呈现。