财新传媒
位置:博客 > 李汶龙 > Lost in Translation? 个人信息保护法中的概念迷宫 | 中国的GDPR系列(三)

Lost in Translation? 个人信息保护法中的概念迷宫 | 中国的GDPR系列(三)

一个好的规范体系需要缜密、准确和有弹性的法律概念。

 

欧盟在近几十年来很注重法律概念的形成,这一点应该有德国传统的影响。立法文本之外,很多判例的核心争点也多在概念的范围和弹性上。

 

草案很难说有什么概念创新,当然审查的部分不在讨论范围之内。唯一的创新还是一个民法典带来的毒瘤:第28条关于已经公开的个人信息在没有法律基础的情况下处理个人信息,甚至可以完全忽略第13条的规定。这个第三人理论的不当使用可追溯自民法典,我之前的评论曾有提及。当然,GDPR第9(2)(e)条也有类似的规定,但考虑概念的弹性和语境,二者的范围和影响不可相提并论。

 

草案中的核心概念基本概念基本都来自GDPR。有些文本的处理让我有种学生翻译作品的感觉。或许为了避免痕迹很重,很多条文缜密规则化为原则,原则化为概念,概念干脆就扔掉不讲。如果将GDPR视为一本详尽的书籍,那么中国的GDPR可能连一个大纲都算不上。关于这套化繁为简的逻辑的影响,我在上篇关于制度的借鉴和取舍的文章中已有所涉及。这篇文章仅关注概念,相当于是上篇的衍生品。因为草案中的概念问题实在太多,很多核心概念牵涉多个机制,很难放在制度框架下来说。

 

当翻译质量太差已经影响到规范意义

 

草案中有些概念的翻译痕迹很重,重到会影响概念本身的准确性,因此也就会对规则施行的效果带来影响。比如说,第六条的初衷应当是设立目的限制原则(purpose limitation),但是条文本身的描述——“处理个人信息应当限于实现处理目的的最小范围,不得进行与处理目的无关的个人信息处理”——实在令人失望。该条前半段存在一个如何用中文转述data minimisation这个概念的问题,而后半段的“个人信息处理”有存在歧义。GDPR对于为个人所用的数据处理是存在适用例外的,而草案的表述不禁让人觉得引入了更多的混乱。

 

我们需要的是数据保护的特殊概念还是民法概念?

 

近来感觉国内讨论最多的概念无疑就是数据控制者。这也很好理解,这个概念对于“谁需要合规,谁不需要”至关重要,企业也就自然很在意。我还没有仔细去看欧盟关于这个概念的立法历史,但是感觉之所以欧盟选择形成“控制者”、“处理者”和“共同处理者”的关联概念组,很重要的原因是一个概念无法有效厘清数据产业复杂的(法律)关系。单纯将所有参与者一视同仁并非是最佳方案,且是对这一复杂关系网络的不当简化。草案本质上并没有选择忽略,而是另设了“第三人”概念,其背后的原理令人费解。我希望未来能听到不单纯是概念偏好的一种解释。粗略来看,这倒是跟立法者化繁为简、化细为粗的策略相契合。既然无力创设数据保护语境中的特殊概念,那么就一路往上追溯,追溯到宽泛不能再宽泛的民法语境。

 

无法用一个概念解释清楚的就不要强行定义

 

有人在赞扬敏感信息的定义,认为它有助于我们解决算法歧视的问题。草案将“敏感信息”定义为“使人受到歧视或者人身财产安全受到严重危害的个人信息”。提出“敏感”与“不敏感”的二分是为了对一部分数据予以特别保护,这些数据的确可能造成歧视性的影响。但随之而来的一个问题是,不产生歧视性效果的数据就不“敏感”了吗?就不需要提供特殊保护了吗?算法歧视是一个我们应该关注的重要面向,但是自动化决策对于人类(社会)的影响绝不仅限于此。自二战以来人类社会关于需要保护的核心价值所形成的共识(也就是人权)很多都在数字时代受到了严重的威胁。这些价值也大多被吸纳在了我国宪法第二章当中(隐私除外)。很遗憾,由于没有宪法或人权语境的泽及,很多关于算法多维度影响的讨论几乎没有被开启。“敏感信息”概念中还提到了人身财产安全。考虑到“安全”这个概念在中国网络法中已经无所不包,我想不到有什么信息跟安全无关因而不是“敏感信息”。所谓“严重危害”又要如何界定?

 

让我来如何理解你,奇葩的概念?

 

草案中有些概念无法被纳入到翻译质量太差的范畴。恰恰相反,这些奇葩概念反映了立法者寻求创新的努力。在评论民法典人格权章节的时候,我曾提到同意概念的复杂性和多维度。草案一定程度上解决了这个问题,内容基本与GDPR的内容类似。但是,有些概念却找不到GDPR原文本的出处。比如说,草案文本多次出现了“单独同意”以及“重新取得同意”的概念。从语境来看,单独同意相较于“一般同意”似乎要求更为严格,因为出现的语境都是敏感数据保护、跨境数据流动等等。但是,如何理解一个同意行为是否是单独或者不单独做出的呢?以及何时需要“重新取得同意”呢?对比欧盟法院的案例法,所谓“单独同意”或许可能出自Planet49中欧盟法官关于“separate consent”的论述。但是从其位置和功能来看,所谓”单独“同意本质上要表达的是”(更)明确“同意(explicit consent)。草案对需要“重新取得同意”的情形表述十分宽泛,凡是目的、处理方式、信息种类任一发生变化都需要重新取得同意。然而,数据处理的潜能就在于不断概念目的和角度、使用不同处理方法、融合不同数据。所谓“重新获得同意“的说法无疑会对企业增加很多负担;然而合规相对容易,负担最终还是会落在消费者头上。或许GDPR的同意概念中关于”具体性“ (specific consent) 的要求与此对应,且能提供更多的概念弹性。

 

其他的概念问题

 

上一篇文章曾提到,草案第13条中缺乏一个足够宽泛的“公共利益“的数据处理基础。第(五)款提及”实施新闻报道、舆论监督“有可能会排除掉其他的公共利益情形。实际上,草案第10条也提到了公共利益,但仅仅反向排除掉”危害公共利益“的个人信息处理, 而没有考虑到有些数据处理目的旨在促进公共利益。这一条理应并入第13条,实现“法不同意即禁止”的格局就解决了上述所有问题。

 

其次,草案将“monitoring“、”tracking”、“targeting”委婉表述为“分析、评估”。或许是因为直译过于敏感,草案选择了相对中立且语义相近的概念。但一个实际问题是是否任何“分析“行为和”评估“行为都落入到个人信息保护法的范围之内?很显然这个语境需要被限缩,而最终立法者或者司法者还是绕不过对于监控、追踪和定位的表述。

 

还有一些表述上没有问题,但亟待澄清、解释、明确、细化的概念。明确吸纳这些概念本身是一件好事,但是如果没有能够落实这些概念的制度,那么个人信息保护就永远只是在课本上出现。这些概念包括“透明度“、”公平合理“、”重大影响“、”严重损害“、”不针对个人“等等。有些概念语义上问题不大,但是因为严重脱离了数字语境,也会产生歧义。最显著例子的莫过于在“被遗忘权”条文下使用类似于政府信息公开的概念,诸如“查阅”、“复制”等等。

 

“Lost in Translation” 这个习语原意是指表达在语言转化和翻译过程中势必会存在语义丢失或者词不达意的情况。个人信息保护法的出台就是一个翻译的过程,语义丢失在“借鉴”过程中也在所难免。但在这篇文章中,Lost in Translation还有第二层含义,那就是为了避免看起来抄袭严重,立法者想在某些概念上标新立异,却随之引来了很多的规范难题。

 

立法者这次没有丢失原义,却丢失在自己创设的概念迷宫当中。

 



推荐 1