财新传媒
位置:博客 > 李汶龙 > 个人信息保护法中的制度创新:后发优势或弯道超车?| 中国的GDPR系列

个人信息保护法中的制度创新:后发优势或弯道超车?| 中国的GDPR系列

许可老师之前曾抛出过一个问题:中国的个人信息保护法能否后来追上,引领国际的趋势?对于这一点我一直是比较悲观的,考虑到中国的数据隐私文化与数字经济发展的冲突,隐私文化与集体主义的冲突,立法垄断和民意受阻,以及《民法典》已经将很多可能性盖棺定论。后发优势的前提是能够对现有经验(目前都在国外)进行充分的了解、评估和反思,在此之上推陈出新。根据Greenleaf教授的统计,截至2019年底,全球已经有超过130个国家有了已成型在实施的数据保护法。《个人信息保护法》草案(以下简称“草案“)出台之前,GDPR也已经执行了两年有余。从草案的条文设计和深度来看,立法者并没有对国际范围内数据保护规则实证语境中国出现的问题予以足够的重视、研究和评估。对于GDPR规则的理解和借鉴,也更多是概念层面上的,而且是选择性借鉴。很显然,立法者不仅没有学到GDPR最新最有潜力的东西,恰恰相反把所有有变革潜力的制度抛在一旁,只抄了一些看起来正确,但实践起来基本上没什么大用的制度。这一点我会在下一篇文章中详谈。当然,草案里面还是存在着一些让人眼前一亮的条文,虽然眼里的光亮只是暂时的。

 

GDPR没有但中国的新法案里有的大致有这样几条。第十三条确定了数据处理的法律基础,它的作用类似于基础设施,所有其他制度建筑其上。这是一个另我翘首以盼的制度,因为看到民法典关于个人信息处理基础的思维凌乱(尤其是同意制度的定位和属性)。我觉得很有必要在后来出台的个人信息保护法中正本清源。第十三条很多内容效仿了GDPR第6(1)条,但其中将实施新闻报道、舆论监督作为法律基础之一让我有些意外,尤其是考虑到中国的言论环境和文化。如此安排会对于新闻事业清扫了一些法律障碍,这是积极的一面。但是,这样做也不无问题。与其他法律基础相比,明确拎出新闻、监督本身或许有些过于详尽,而其他公共利益相关的事由又没有囊括(当然理论上可适用兜底条款,但凡事兜底而不尽言这样的做法会让人对立法技术产生质疑)。值得一提,GDPR在这个问题上的做法是将新闻报道与数据保护的冲突问题置后作为特殊情形,跟法律基础问题区分开来。另外,将新闻报道、舆论监督认定为数据处理的基础忽视了新闻从事者和舆论监督者也可能滥用数据的风险。

 

第二十七条是对人脸识别进小区的现象的强烈回应,很可能已经影响到了地方立法(例如杭州)。诚然,法律制度应当解决当下问题,但我的质疑在于第二十七条本身使用的概念是否足够的技术中立。当下一轮科技变革取代了人脸识别技术之后,我们的生物识别数据是否还能得到充分保护?如果法律需要不停修缮才能实现目的,那么我们需要重新反思所使用的概念框架。最为基础的一点:法律条文不宜过具体地描述技术特性,这是技术中立原则(technology neutrality)的应有之义。此外,第二十七条似乎也没有跟第十三条建立联动。换句话说,人脸识别处理系统并没有从数据处理的角度进行概念重构。究竟人脸识别系统处理生物识别数据是否需要有公共安全之外的法律基础(以及公共安全是否在这个语境作为一个法律基础),该条表述并不清晰,甚至有所混淆。考虑到人脸识别科技产业的蠢蠢欲动,这里非常有必要对公共安全做狭义解释。

 

传统数据保护语境下没有而草案从其他法域中借鉴的有如下几个。第三十二条提到处理敏感数据可能需要行政许可或者实施更严苛限制,我觉得是一个好条文。敏感数据的保护仅仅依靠明确同意、重大利益等作为法律基础可能不够。有效的出路可能还是要依靠有效的监管或者管控。另外,第六十六条看上去是一个性质不确定的公诉或公益诉讼机制,是救济渠道方面的一个“中国”创新。基于目前的条文,尚且无法揣测其性质或者评估其优劣。也希望立法者能做更多解释。

 

还有一些在GDPR中“犹抱琵琶半遮面“的概念在草案当中予以了明确的认可。第十七条强调同意不能附加条件,性质上是对于近来“追踪墙”(tracking wall) 问题的一个回应。实际上GDPR本身也有类似的规定,但追踪墙(也即用户不提供同意不能获取到服务或者产品)本身是否合法并无法轻易下结论,尤其考虑到媒体刚经历数字转型,资金来源很大程度上被数字平台瓜分,且不得不吃数字经济剩下的残羹冷炙。另外,与巴西新出台的数据保护法类似,在第四十四条对(信息)决定权予以肯认。信息自决(informational self-determination) 这个概念本身来自于德国宪法法院,后来被认为是欧盟数据保护法的概念和哲学基础。理论上,承认这样一种权利存在对于落实同意制度以及数字权利而言将影响深远。但是,考虑到中国新法案效仿了诸多概念却在落实方面只字不提,对信息自决权的肯认的效力可能十分有限。

 

除了数据保护自由的原则,诸如合法(lawfulness)、正当(fairness)之外,中国新法案还注入了本身属于消费者保护范畴的原则,包括欺诈、误导。这样的一种做法可能会带来“制度重叠”的质疑。但是,考虑到消费者保护和数据保护本属同源,以及在数字时代两类规则正在发生融合,融入消费者保护原则可能会为数据保护措施提供更宽广的基础,是为优点。让我最感兴趣的莫过于第六十二条的“没收违法所得”。考虑到数据保护法涵盖诸多软性规则或者原规则 (meta-regulation),如何定义“违法“是一个复杂的问题。假设凡是违法就没收所得,那么第62条的威力可能远远大于五千万或年收入5%的罚款。

 

最后,国家审查和监控基本上是《国家安全法》《网络安全法》等本质上根本不是数据保护法制度的延伸和接轨,本质上不算制度创新。值得一提的是,第四十三条关于数据贸易战的宣誓性条款也很中国特色,可能会在国际社会掀起些许波澜。

 

 

 

 

 



推荐 0