丁曉東

2021 年8 月20 日，千呼萬(wàn)喚的《個(gè)人信息保護(hù)法》終于經(jīng)全國(guó)人大常委會(huì)表決通過(guò)，并于2021年11 月1 日起正式實(shí)施。在我國(guó)的立法歷史中，很少有哪部法律像《個(gè)人信息保護(hù)法》這樣，引起如此廣泛的關(guān)注與爭(zhēng)議。從2012 年全國(guó)人大常委會(huì)通過(guò)《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》到《個(gè)人信息保護(hù)法》的最終出臺(tái)，學(xué)界圍繞個(gè)人信息保護(hù)法與憲法等相關(guān)法律的關(guān)系、〔1〕參見(jiàn)全國(guó)人大法工委經(jīng)濟(jì)法室：《個(gè)人信息保護(hù)法草案二次審議稿各方面意見(jiàn)（分解材料）》，2021 年6 月，第1 頁(yè)。個(gè)人信息與隱私保護(hù)的區(qū)別、〔2〕參見(jiàn)王利明：《和而不同：隱私權(quán)與個(gè)人信息的規(guī)則界分和適用》，載《法學(xué)評(píng)論》2021 年第2 期，第15-24 頁(yè)。個(gè)人信息保護(hù)法的立法方向、〔3〕參見(jiàn)周漢華：《探索激勵(lì)相容的個(gè)人數(shù)據(jù)治理之道——中國(guó)個(gè)人信息保護(hù)法的立法方向》，載《法學(xué)研究》2018 年第2 期，第3-23 頁(yè)。個(gè)人信息權(quán)利（益）的法律屬性〔4〕參見(jiàn)張新寶：《〈民法總則〉個(gè)人信息保護(hù)條文研究》，載《中外法學(xué)》2019 年第1 期，第54-75 頁(yè)；高富平：《論個(gè)人信息保護(hù)的目的——以個(gè)人信息保護(hù)法益區(qū)分為核心》，載《法商研究》2019 年第1 期，第93-104 頁(yè)；丁曉東：《個(gè)人信息權(quán)利的反思與重塑論個(gè)人信息保護(hù)的適用前提與法益基礎(chǔ)》，載《中外法學(xué)》2020 年第2 期，第339-356 頁(yè)。以及公私法屬性，〔5〕參見(jiàn)王錫鋅：《個(gè)人信息國(guó)家保護(hù)義務(wù)及展開(kāi)》，載《中國(guó)法學(xué)》2021 年第1 期，第145-166 頁(yè)；程嘯：《論大數(shù)據(jù)時(shí)代的個(gè)人數(shù)據(jù)權(quán)利》，載《中國(guó)社會(huì)科學(xué)》2018 年第3 期，第102-122 頁(yè)。展開(kāi)了深入的討論。如今，伴隨《個(gè)人信息保護(hù)法》的通過(guò)，一些宏觀問(wèn)題已經(jīng)有了答案。例如在立法體例上，這部法律采取了統(tǒng)一的立法模式，在立法體例與內(nèi)容方面較多借鑒了歐盟的立法，尤其是2018 年生效的《一般數(shù)據(jù)保護(hù)條例》。

但《個(gè)人信息保護(hù)法》是否是一部與《一般數(shù)據(jù)保護(hù)條例》高度類似的法律，或者是一部“小型《一般數(shù)據(jù)保護(hù)條例》”（mini-GDPR） ？本文認(rèn)為，《個(gè)人信息保護(hù)法》的文本雖然與《一般數(shù)據(jù)保護(hù)條例》高度相似，但這并不代表二者的基本原理與法律特征完全相同。同樣的用語(yǔ)和表述，其含義在不同地區(qū)可能完全不同。例如，中西方可能都使用隱私一詞，且同樣在法律里規(guī)定了隱私權(quán)保護(hù)，但對(duì)于何謂隱私存在不同的認(rèn)識(shí)——西方可能會(huì)將個(gè)人收入視為隱私，但中國(guó)的大多數(shù)人可能認(rèn)為這不屬于隱私?！?〕隱私的中西比較法研究， See Tiffany Li, Zhou Zhou & Jill Bronfman, “Saving Face: Unfolding the Screen of Chinese Privacy Law”, https://papers.ssrn.com/sol3/papers.cfm?abstract_id=2826087, accessed December 12, 2020.即使在西方國(guó)家中，歐美對(duì)于隱私的理解也具有重大差異，例如，歐盟更多以尊嚴(yán)的立場(chǎng)理解隱私，而美國(guó)則更可能以自由的立場(chǎng)理解隱私。〔7〕See James Q. Whitman, “The Two Western Cultures of Privacy: Dignity Versus Liberty”, 113 Yale Law Journal 1153, 1153-1221 （2004）.個(gè)人信息保護(hù)亦是如此，理解《個(gè)人信息保護(hù)法》，需要進(jìn)行更深的文化背景比較與文本細(xì)讀，從而剖析中國(guó)與歐美立法的異同。

據(jù)此，本文引入法律文化研究與方法，比較中歐個(gè)人信息保護(hù)的異同。根據(jù)格爾茨的說(shuō)法，文化“是一種歷史上傳播的符號(hào)意義模式，一種以符號(hào)形式表達(dá)的繼承觀念體系，人們通過(guò)這種方式交流、延續(xù)和發(fā)展對(duì)生活的認(rèn)識(shí)和態(tài)度”。〔8〕Clifford Geertz, The Interpretation of Cultures: Selected Essays, New York: Basic Books, 1973, p.89.格爾茨曾經(jīng)以“眨眼”（wink）為例，指出在某些社會(huì)眨眼意味著陰謀詭計(jì)，而在其他社會(huì)眨眼則意味著調(diào)情。因此理解某一社會(huì)的眨眼，不能僅僅描述這一概念本身，而必須結(jié)合其文化背景進(jìn)行“深描”（thick description），以“理解并抓住其多重復(fù)雜概念結(jié)構(gòu)”。〔9〕Clifford Geertz, The Interpretation of Cultures: Selected Essays, New York: Basic Books, 1973, p.10.《個(gè)人信息保護(hù)法》的文本研究亦是如此，應(yīng)結(jié)合不同文化背景對(duì)其進(jìn)行深描。

本文的結(jié)論是，《個(gè)人信息保護(hù)法》雖然在表面上采取了一條類似歐盟的進(jìn)路，但兩部法律在本質(zhì)上仍然存在眾多差異。另外，雖然我國(guó)立法在形式上采取了與美國(guó)相迥異的領(lǐng)域立法模式，但二者在若干方面仍然存在相似性。當(dāng)然，我國(guó)的個(gè)人信息保護(hù)和美國(guó)也有巨大差異，我國(guó)的《個(gè)人信息保護(hù)法》采取了與歐美不同的獨(dú)特的中國(guó)道路，〔10〕《個(gè)人信息保護(hù)法》出臺(tái)之前的比較法研究，See Emmanuel Pernot-Leplay, “China's Approach on Data Privacy Law: A Third Way Between the U.S. and the E.U.?”, 8 Penn State Journal of Law & International Affairs 49, 51-117 （2020）.具有回應(yīng)中國(guó)實(shí)踐需求的實(shí)用主義導(dǎo)向。

因此，無(wú)論在實(shí)證法層面還是正當(dāng)性層面，未來(lái)的個(gè)人信息保護(hù)都應(yīng)當(dāng)避免以歐美的進(jìn)路來(lái)解釋我國(guó)的《個(gè)人信息保護(hù)法》及相關(guān)法律的簡(jiǎn)單思路。相反，對(duì)域外個(gè)人信息保護(hù)的經(jīng)驗(yàn)與原理的借鑒應(yīng)該建立在對(duì)其原理與背景的深層理解上，將域外經(jīng)驗(yàn)視為我國(guó)個(gè)人信息保護(hù)的參照。從《個(gè)人信息保護(hù)法》的中國(guó)特色出發(fā)，本文提出了實(shí)用主義、風(fēng)險(xiǎn)規(guī)制、公私法合作治理、場(chǎng)景化適用等若干解釋原理與方法，以期為《個(gè)人信息保護(hù)法》的解釋與適用提供若干指引。

一、個(gè)人信息保護(hù)立法的初步比較

在我國(guó)《個(gè)人信息保護(hù)法》的立法過(guò)程中，歐盟的《一般數(shù)據(jù)保護(hù)條例》是一部不得不提的法律，這部法律對(duì)《個(gè)人信息保護(hù)法》有著毋庸置疑的巨大影響。在多個(gè)不同層面，我們都可以發(fā)現(xiàn)這兩部法律的相似性。

其一，《個(gè)人信息保護(hù)法》與《一般數(shù)據(jù)保護(hù)條例》在立法結(jié)構(gòu)上具有高度的相似性。二者都采取了統(tǒng)一立法模式，對(duì)不同行業(yè)、不同主體、不同目的的個(gè)人信息收集與處理的行為做統(tǒng)一性規(guī)定。只要存在個(gè)人信息的專業(yè)化或商業(yè)化處理行為，此類行為就可以為兩部法律管轄與適用。在《一般數(shù)據(jù)保護(hù)條例》中，所有決定“個(gè)人數(shù)據(jù)處理目的與方式的自然人或法人、公共機(jī)構(gòu)、規(guī)制機(jī)構(gòu)或其他實(shí)體”都被稱為“控制者”，〔11〕《一般數(shù)據(jù)保護(hù)條例》第4 條第7 款。在《個(gè)人信息保護(hù)法》中，所有“自主決定處理目的、處理方式的組織、個(gè)人”則被稱為“處理者”?！?2〕《個(gè)人信息保護(hù)法》第73 條第1 款。《一般數(shù)據(jù)保護(hù)條例》中的“處理者”概念則類似于我國(guó)《個(gè)人信息保護(hù)法》中的“受托人”。

我國(guó)和歐盟的這種立法結(jié)構(gòu)與美國(guó)領(lǐng)域性、分散式的立法模式有較大差異。美國(guó)并無(wú)一般性與統(tǒng)一性的聯(lián)邦立法，美國(guó)聯(lián)邦層面的個(gè)人信息保護(hù)立法集中于那些風(fēng)險(xiǎn)較大、社會(huì)關(guān)注較多的領(lǐng)域。例如美國(guó)首部涉及個(gè)人信息保護(hù)的《公平信用報(bào)告法》，其立法目的是為了防止征信領(lǐng)域個(gè)人信息的不正當(dāng)收集與濫用。而在州立法層面，美國(guó)的個(gè)人信息保護(hù)法也主要針對(duì)特定領(lǐng)域，例如，2020 年實(shí)施的《加利福尼亞州消費(fèi)者隱私保護(hù)法案》和2021 年批準(zhǔn)的《弗吉尼亞州消費(fèi)者數(shù)據(jù)保護(hù)法》主要就消費(fèi)者領(lǐng)域的個(gè)人信息收集與處理進(jìn)行了規(guī)制。

其二，《個(gè)人信息保護(hù)法》與《一般數(shù)據(jù)保護(hù)條例》在憲法依據(jù)上具有相似性。由于涉及個(gè)人信息或個(gè)人數(shù)據(jù)的保護(hù)，我國(guó)《個(gè)人信息保護(hù)法》在三審稿與最終稿第1 條中增添了“根據(jù)憲法，制定本法”的表述，從而將保護(hù)個(gè)人信息的依據(jù)上升到憲法的高度。與我國(guó)類似，歐盟也將個(gè)人數(shù)據(jù)被保護(hù)的權(quán)利視為一種憲法上的基本權(quán)利?！稓W盟基本權(quán)利憲章》第8 條第1 款規(guī)定：“每個(gè)人都有權(quán)保護(hù)與其有關(guān)的個(gè)人數(shù)據(jù)?！薄兑话銛?shù)據(jù)保護(hù)條例》第1 條第2 款在規(guī)定“本條例保護(hù)自然人的基本權(quán)利和自由，特別是其個(gè)人數(shù)據(jù)被保護(hù)的權(quán)利”的同時(shí)，又在其“重述”（recital）中重申：“在處理個(gè)人信息時(shí)保護(hù)自然人是一項(xiàng)基本權(quán)利?！?/p>

相較而言，美國(guó)的個(gè)人信息保護(hù)立法并未明確上升到憲法層面。無(wú)論是美國(guó)聯(lián)邦層面的領(lǐng)域性立法，還是州層面的立法，其個(gè)人信息保護(hù)法更多是出于實(shí)用主義的考慮，尤其是基于保護(hù)消費(fèi)者和個(gè)人的知情權(quán)的目的。就憲法基本權(quán)利而言，美國(guó)由于其國(guó)家行動(dòng)（state action）教義的限制，其基本權(quán)利只能針對(duì)公權(quán)力主體，既不能像歐盟那樣通過(guò)第三人效力而輻射到私主體，〔13〕參見(jiàn)李海平：《論基本權(quán)利私人間效力的范式轉(zhuǎn)型》，載《中國(guó)法學(xué)》2022 年第2 期，第26-44 頁(yè)；楊登杰：《基本權(quán)利私人間效力：直接還是間接?》，載《中外法學(xué)》2022 年第2 期，第285-304 頁(yè)。也不能像中國(guó)這樣要求國(guó)家承擔(dān)對(duì)個(gè)體信息的保護(hù)義務(wù)?？傮w而言，美國(guó)憲法至今仍然認(rèn)可美國(guó)聯(lián)邦與州層面的個(gè)人信息保護(hù)立法，但并未將其視為一種憲法上的義務(wù)?！?4〕美國(guó)聯(lián)邦層面的數(shù)據(jù)保護(hù)立法曾經(jīng)被指控違反美國(guó)憲法，但最終獲得法院認(rèn)可。從這個(gè)層面來(lái)看，美國(guó)憲法仍然認(rèn)可聯(lián)邦與州的個(gè)人信息保護(hù)立法，See Sorrell v. IMS Health Inc, 131 S. Ct. 2653 （2011）.

其三，《個(gè)人信息保護(hù)法》與《一般數(shù)據(jù)保護(hù)條例》在個(gè)人信息處理的合法性基礎(chǔ)方面具有高度的相似性。兩部法律首先都規(guī)定處理個(gè)人信息需要合法性基礎(chǔ)，缺乏合法性基礎(chǔ)的，信息處理者不得收集與處理個(gè)人信息。具體而言，我國(guó)《個(gè)人信息保護(hù)法》列舉了七種情形，而歐盟《一般數(shù)據(jù)保護(hù)條例》也規(guī)定了類似的合法性基礎(chǔ)，增加了“處理對(duì)于保護(hù)數(shù)據(jù)主體或另一個(gè)自然人的核心利益所必要”和“處理對(duì)于控制者或第三方所追求的正當(dāng)利益必要”兩項(xiàng)條件，而這兩項(xiàng)條件在中國(guó)個(gè)人信息保護(hù)立法中也被廣泛討論，并被認(rèn)為可以通過(guò)其他條款加以解釋。

這與美國(guó)的個(gè)人信息保護(hù)立法有較大差別。在美國(guó)，首先，個(gè)人信息保護(hù)的相關(guān)立法主要是為了保障公民在個(gè)人信息處理中受到公平對(duì)待，其個(gè)人信息保護(hù)中的同意等機(jī)制主要為了保障公民知情權(quán)，是矯正市場(chǎng)信息不對(duì)稱的一種手段，而非處理合法性條件的一種方式或途徑。其次，在沒(méi)有立法的領(lǐng)域，美國(guó)對(duì)收集與處理個(gè)人信息采取了更加市場(chǎng)化的原則，即國(guó)家并不設(shè)置任何處理個(gè)人信息的合法性基礎(chǔ)。在這些領(lǐng)域，美國(guó)主要采取消費(fèi)者保護(hù)的進(jìn)路，即監(jiān)管企業(yè)在收集與處理個(gè)人信息時(shí)是否存在“不公平與欺詐”（unfair or deceptive）的行為。

其四，《個(gè)人信息保護(hù)法》與《一般數(shù)據(jù)保護(hù)條例》在權(quán)利義務(wù)設(shè)置上具有高度相似性。就個(gè)人信息權(quán)利而言，兩部法律雖然在表述上有一定差異，但都規(guī)定了個(gè)人的知情選擇權(quán)、查詢復(fù)制權(quán)、更正權(quán)、刪除權(quán)、攜帶權(quán)、自動(dòng)化處理與算法決策等相關(guān)權(quán)利。就信息處理義務(wù)而言，二者都要求信息處理者或數(shù)據(jù)控制者收集個(gè)人信息以必要為限度，處理或分析個(gè)人信息以最小化為原則，同時(shí)履行保護(hù)個(gè)人信息安全、保障個(gè)人信息質(zhì)量、在數(shù)據(jù)泄露等情形下采取必要措施并通知用戶的義務(wù)。

相較而言，美國(guó)的個(gè)人信息立法沒(méi)有規(guī)定這么寬泛的個(gè)人信息權(quán)利與信息處理者義務(wù)。例如，《家庭教育權(quán)利與隱私法》《健康保險(xiǎn)可攜帶性和責(zé)任法》《聯(lián)邦有線通訊政策法案》《視頻隱私保護(hù)法》《司機(jī)隱私保護(hù)法案》《兒童在線隱私保護(hù)法》《加利福尼亞州消費(fèi)者隱私法案》等大多規(guī)定了個(gè)人對(duì)于其信息的知情同意權(quán)、查詢權(quán)、更正權(quán)、刪除權(quán)等權(quán)利，但除了極個(gè)別情況，并未明確規(guī)定被遺忘權(quán)、攜帶權(quán)及與自動(dòng)化處理相關(guān)的權(quán)利。同時(shí)在義務(wù)方面，美國(guó)的大多數(shù)法律未強(qiáng)制要求信息處理者遵循最小必要原則，也并未要求企業(yè)設(shè)置專門的個(gè)人信息保護(hù)人員。

二、個(gè)人信息保護(hù)立法的文化背景差異

《個(gè)人信息保護(hù)法》的文本雖然在若干方面與《一般數(shù)據(jù)保護(hù)條例》高度相似，與美國(guó)立法具有重大差異，但這并不意味著三者在根本原理方面也存在類似的情況。

（一）歐盟

首先就法律性質(zhì)而言，歐盟以《一般數(shù)據(jù)保護(hù)條例》為代表的數(shù)據(jù)立法是歐盟基本權(quán)利意識(shí)形態(tài)的一部分。歐盟的憲法基本權(quán)利首先具有歐盟與歐洲共同體建構(gòu)的功能，個(gè)人數(shù)據(jù)被保護(hù)權(quán)作為最為重要的一種基本權(quán)利，其功能尤其突出。

二戰(zhàn)以后，歐盟出現(xiàn)了嚴(yán)重的身份認(rèn)同危機(jī)——?dú)W洲存在的意義是什么？正如哈貝馬斯所言，這一問(wèn)題構(gòu)成了歐洲知識(shí)分子與精英階層的靈魂之問(wèn)。對(duì)于這一問(wèn)題，歐洲給出的答案是保護(hù)人權(quán)與基本權(quán)利?！?5〕參見(jiàn)［德］尤爾根?哈貝馬斯：《關(guān)于歐洲憲法的思考》，伍慧萍、朱苗苗譯，上海人民出版社2013 年版，第33-69 頁(yè)。為了保護(hù)人權(quán)與基本權(quán)利，歐盟在其成員國(guó)、歐盟與歐盟之外分別建立了復(fù)雜的人權(quán)保護(hù)體系。在成員國(guó)內(nèi)，各國(guó)具有其獨(dú)立的憲法基本權(quán)利及其保護(hù)體系。在歐盟內(nèi)部，《歐盟基本權(quán)利憲章》確立了尊嚴(yán)、自由、平等、團(tuán)結(jié)、公民權(quán)利和正義等基本權(quán)利，并由歐盟正義法院作為最后裁決者；〔16〕Charter of Fundamental Rights of the European Union, 2000 O.J C 364/10.在歐盟外部，《歐洲人權(quán)公約》以國(guó)際公約的形式確認(rèn)了簽署國(guó)的人權(quán)義務(wù)，并由《歐洲人權(quán)公約》作為最終裁決者。〔17〕Convention for the Protection of Human Rights and Fundamental Freedoms, art. 1, Nov. 4, 1950, 213 U.N.T.S. 222.對(duì)于歐洲而言，離開(kāi)了人權(quán)與基本權(quán)利的話語(yǔ)體系，歐洲各國(guó)公民對(duì)于其歐洲的共同身份認(rèn)同就難以維持，歐盟超國(guó)家的制度體系就不具備正當(dāng)性?！?8〕See Alec Stone Sweet, Governing with Judges: Constitutional Politics in Europe, Oxford University Press, 2000, pp.3-5;Federico Fabbrini, Fundamental Rights in Europe: Challenges and Transformations in Comparative Perspective, Oxford University Press,2014, p.26.

因此，研究歐盟的個(gè)人數(shù)據(jù)被保護(hù)權(quán)，必須將其還原到歐盟建構(gòu)與普世主義價(jià)值的意識(shí)形態(tài)中去理解，而不能僅僅從實(shí)用主義的層面去理解。“General Data Protection Regulation”中的“General”一詞，正是這一意識(shí)形態(tài)的最佳佐證?！癎eneral”既可以翻譯為“一般”和“通用”，又可以翻譯為“統(tǒng)一”，表明歐盟希冀將數(shù)據(jù)權(quán)利建構(gòu)為一種一般性和普適性的權(quán)利。

此外，歐盟認(rèn)為，個(gè)人數(shù)據(jù)處理本身會(huì)帶來(lái)侵害人格的風(fēng)險(xiǎn)。歐盟的個(gè)人數(shù)據(jù)保護(hù)立法以風(fēng)險(xiǎn)預(yù)防為原則，而且是一種基于人格尊嚴(yán)為核心的風(fēng)險(xiǎn)預(yù)防。〔19〕參見(jiàn)馬長(zhǎng)山：《智慧社會(huì)背景下的“第四代人權(quán)”及其保障》，載《中國(guó)法學(xué)》2019 年第5 期，第13 頁(yè)；王苑：《個(gè)人信息保護(hù)在民法中的表達(dá)——兼論民法與個(gè)人信息保護(hù)法之關(guān)系》，載《華東政法大學(xué)學(xué)報(bào)》2021 年第2 期，第68-79 頁(yè)。個(gè)人數(shù)據(jù)保護(hù)雖然可能關(guān)乎多種權(quán)益，但歐盟對(duì)此問(wèn)題的探討仍以人格尊嚴(yán)為基礎(chǔ)。早在1977 年德國(guó)制定《聯(lián)邦數(shù)據(jù)保護(hù)法》時(shí)，聯(lián)邦議會(huì)就指出，其立法目的在于預(yù)防數(shù)據(jù)處理對(duì)“個(gè)人完整性”（personal integrity）的威脅?！?0〕See Spiros Simitis, Einleitung, in KOMMENTAR ZUM BUNDESDATENSCHUTZGESETZ 63 （Spiros Simitis et al. eds., 2d ed.）, 1979.1978 年，法國(guó)也在相關(guān)法律中指出，基于個(gè)人信息的“信息計(jì)算”可能對(duì)“人類身份、人權(quán)、隱私，和個(gè)人或公共自由”構(gòu)成威脅?！?1〕See Act 1978-17 of 6 January 1978, Data Protection Law, art.1, https://www.cnil.fr/sites/default/files/typo/document/Act78-17VA.pdf, accessed February 18, 2021.及至1995 年通過(guò)的第95/46/EC 號(hào)《數(shù)據(jù)保護(hù)指令》和2016 年通過(guò)的《一般數(shù)據(jù)保護(hù)條例》，這一立場(chǎng)一直延續(xù)。

歐盟之所以采取這種視角，與歐盟在二戰(zhàn)期間的納粹歷史密切相關(guān)。二戰(zhàn)期間德國(guó)等國(guó)對(duì)猶太人等群體的迫害，就是利用個(gè)人信息來(lái)對(duì)特定群體進(jìn)行大規(guī)模區(qū)分和識(shí)別。因此在二戰(zhàn)后，歐盟對(duì)于基于個(gè)人信息的自動(dòng)化、半自動(dòng)化與大規(guī)模個(gè)人信息存檔的行為尤其警惕。在德國(guó)著名的人口普查案中，德國(guó)法院之所以提出個(gè)體相對(duì)于信息處理者的“信息自決權(quán)”和“信息系統(tǒng)中的信任和完整權(quán)”，在一定程度上就是因?yàn)榇祟愋畔⑵詹橐鹆说聡?guó)慘痛的納粹記憶。〔22〕參見(jiàn)BVerfG, 1 BvR 209/83, 1 BvR 484/83, 1 BvR 440/83, 1 BvR 420/83, 1 BvR 362/83, 1 BvR 269/83（ Volksz?hlungsurteil）（Census case） , 轉(zhuǎn)引自Paul M. Schwartz & Karl-Nikolaus Peifer,“ Transatlantic Data Privacy Law”, 106 Geo. L. J. 115, 127（ 2017）.

（二）美國(guó)

就法律性質(zhì)而言，美國(guó)個(gè)人信息保護(hù)主要采取消費(fèi)者保護(hù)的立場(chǎng)，具有市場(chǎng)調(diào)節(jié)法的特征。一方面，在沒(méi)有進(jìn)行個(gè)人信息保護(hù)立法的領(lǐng)域，美國(guó)的個(gè)人信息保護(hù)采取一般消費(fèi)者保護(hù)的模式，通過(guò)美國(guó)聯(lián)邦貿(mào)易委員會(huì)（FTC）進(jìn)行市場(chǎng)監(jiān)管?！?3〕See What We Do, FTC, https://www.ftc.gov/about-ftc/what-we-do, accessed February 18, 2021.而在已經(jīng)進(jìn)行個(gè)人信息保護(hù)立法的領(lǐng)域和州，美國(guó)采取了“特殊型”（sui generis）消費(fèi)者保護(hù)法?！?4〕See Omri Ben-Shahar, “Contracting Over Privacy: Introduction”, 45 Journal of Legal Studies 51, 51-60 （2017）.美國(guó)州層面的若干統(tǒng)一立法也具有類似性質(zhì)，例如上文提到的《加利福尼亞州消費(fèi)者隱私權(quán)利法案》《弗吉尼亞州消費(fèi)者數(shù)據(jù)保護(hù)法》，以及奧巴馬政府時(shí)期起草但未獲通過(guò)的《消費(fèi)者隱私權(quán)利法案》，也都被冠以消費(fèi)者保護(hù)法之名。

相比歐洲來(lái)說(shuō)，美國(guó)的消費(fèi)者法更少規(guī)定規(guī)制方面的內(nèi)容，而是更接近民事法律，特別是合同法制度。〔25〕See Jane K. Winn & Mark Webber, “The Impact of EU Unfair Contract Terms Law on U.S. Business-to- Consumer Internet Merchants”, 62 Bus. Law. 209 （2006）.在一般消費(fèi)者保護(hù)方面，美國(guó)聯(lián)邦貿(mào)易委員會(huì)進(jìn)行的市場(chǎng)監(jiān)管較少，只要不存在明顯的不公平對(duì)待，尤其是不存在欺騙性對(duì)待，用戶的同意就可以被視為或被擬制為一種合同或是用戶授權(quán)。同時(shí)，即使在已經(jīng)進(jìn)行個(gè)人信息保護(hù)立法的領(lǐng)域，美國(guó)所進(jìn)行的監(jiān)管也遠(yuǎn)不如歐盟嚴(yán)厲。如果說(shuō)歐盟在整體上不信任個(gè)人信息保護(hù)的市場(chǎng)化機(jī)制，在一定程度上采取了施瓦茨教授所謂的“信息隱私不可讓渡”（information privacy inalienability）規(guī)則，〔26〕See Paul M. Schwartz, “Privacy Inalienability and the Regulation of Spyware”, 20 Berkeley Tech. L.J. 1269 （2005）.則美國(guó)整體上仍然肯定市場(chǎng)在個(gè)人信息保護(hù)中的重要作用，其立法目標(biāo)更多是為了矯正市場(chǎng)的信息不對(duì)稱與不公平問(wèn)題?！?7〕See Omri Ben-Shahar & Carl E. Schneider, “The Failure of Mandated Discourse”, 159 University of Pennsylvania Law Review 647 （2011）.在這個(gè)意義上，可以說(shuō)美國(guó)的大多數(shù)個(gè)人信息保護(hù)立法本質(zhì)上仍然是一種市場(chǎng)監(jiān)管法或市場(chǎng)調(diào)節(jié)法。

另一方面，就立法目的與風(fēng)險(xiǎn)預(yù)防而言，美國(guó)并沒(méi)有采取本質(zhì)主義的立場(chǎng)，認(rèn)為個(gè)人信息處理本身就會(huì)帶來(lái)風(fēng)險(xiǎn)。美國(guó)通過(guò)立法的方式預(yù)防個(gè)人信息風(fēng)險(xiǎn)，主要集中在少數(shù)處理個(gè)人信息行業(yè)風(fēng)險(xiǎn)較高或社會(huì)關(guān)注度較高的領(lǐng)域。例如，在征信、金融、視頻、電信、醫(yī)療、兒童保護(hù)等領(lǐng)域中不當(dāng)處理個(gè)人信息被認(rèn)為會(huì)帶來(lái)較高風(fēng)險(xiǎn)，因此需要單獨(dú)進(jìn)行立法?！?8〕還有的立法則是因?yàn)楣彩录苿?dòng)，例如著名的羅伯特?伯克（Robert Bork）法官被里根總統(tǒng)提名為美國(guó)聯(lián)邦最高法院大法官候選人之后，其租借錄像的信息被泄露，引起了社會(huì)各界的軒然大波。這一事件導(dǎo)致了《視頻隱私保護(hù)法》的制定?？傮w而言，美國(guó)并不像歐洲那樣，認(rèn)為個(gè)人信息處理本身就存在侵害個(gè)人人格尊嚴(yán)的風(fēng)險(xiǎn)。對(duì)美國(guó)而言，個(gè)人信息處理更像是放大相關(guān)風(fēng)險(xiǎn)的過(guò)程，而且會(huì)因?yàn)椴煌I(lǐng)域和不同場(chǎng)景的差異而不同。在一些風(fēng)險(xiǎn)較小的領(lǐng)域，個(gè)人信息處理所帶來(lái)的風(fēng)險(xiǎn)擴(kuò)張可能微不足道，因此不需要立法上的風(fēng)險(xiǎn)事前預(yù)防。在風(fēng)險(xiǎn)較高的領(lǐng)域，才需要立法與事前規(guī)制。就此而言，美國(guó)個(gè)人信息立法的風(fēng)險(xiǎn)觀更為務(wù)實(shí)，更接近個(gè)人信息使用不當(dāng)或泄露所帶來(lái)的實(shí)際風(fēng)險(xiǎn)。

（三）中國(guó)

借助歐美法律文化背景的比較，可以發(fā)現(xiàn)我國(guó)《個(gè)人信息保護(hù)法》的獨(dú)特性。就法律性質(zhì)而言，我國(guó)的《個(gè)人信息保護(hù)法》與歐美的相關(guān)立法都有所差異。本文第一部分曾經(jīng)提到我國(guó)《個(gè)人信息保護(hù)法》在憲法淵源上與歐盟《一般數(shù)據(jù)保護(hù)條例》相似，都將個(gè)人信息被保護(hù)權(quán)視為一種基本權(quán)利。但我國(guó)對(duì)于這種憲法基本權(quán)利的理解與歐盟相關(guān)立法并不完全相同，如果說(shuō)歐盟憲法基本權(quán)利和個(gè)人信息被保護(hù)權(quán)具有身份建構(gòu)與普世主義價(jià)值的特征，那么我國(guó)則更多將個(gè)人信息被保護(hù)權(quán)視為一種樸素的國(guó)家保護(hù)義務(wù)。與歐盟不同，我國(guó)并不以基本權(quán)利來(lái)維持超國(guó)家的身份認(rèn)同，也不主張建構(gòu)普世主義的意識(shí)形態(tài)。

此外，我國(guó)的《個(gè)人信息保護(hù)法》在事實(shí)上也聚焦于消費(fèi)者個(gè)人信息保護(hù)，在這一點(diǎn)上反而和美國(guó)有一定的相似性?！?9〕當(dāng)然，我國(guó)消費(fèi)者保護(hù)與歐美也存在一定區(qū)別，參見(jiàn)姚佳：《中國(guó)消費(fèi)者法理論的再認(rèn)識(shí)——以消費(fèi)者運(yùn)動(dòng)與私法基礎(chǔ)為觀察重點(diǎn)》，載《政治與法律》2019 年第4 期，第131-140 頁(yè)。在我國(guó)《個(gè)人信息保護(hù)法》的立法過(guò)程中，最為聚焦的議題始終是以互聯(lián)網(wǎng)企業(yè)為代表的企業(yè)對(duì)個(gè)人信息的收集與利用，這些議題在很大程度上支配了立法者與參與者對(duì)《個(gè)人信息保護(hù)法》的想象?！秱€(gè)人信息保護(hù)法》采取了統(tǒng)一立法的模式，但其立法模式恰巧將國(guó)家機(jī)關(guān)作為單獨(dú)一節(jié)進(jìn)行規(guī)定，區(qū)別于歐盟不加區(qū)分的模式。這一立法體例說(shuō)明我國(guó)的《個(gè)人信息保護(hù)法》更像是消費(fèi)者隱私法與國(guó)家機(jī)關(guān)處理個(gè)人信息法的疊加，而非像歐盟法那樣，是一部高度融合與統(tǒng)一化的個(gè)人信息立法?！?0〕就此而言，個(gè)人信息的消費(fèi)者保護(hù)進(jìn)路仍然值得高度重視，參見(jiàn)張守文：《消費(fèi)者信息權(quán)的法律拓展與綜合保護(hù)》，載《法學(xué)》2021 年第12 期，第149-161 頁(yè)。

就立法目的與風(fēng)險(xiǎn)防范而言，我國(guó)更多采取實(shí)用主義的立場(chǎng)。在過(guò)去若干年的個(gè)人信息立法過(guò)程中，學(xué)界、產(chǎn)業(yè)界與公共輿論圍繞個(gè)人信息保護(hù)展開(kāi)了激烈的爭(zhēng)論，議題包括立法應(yīng)當(dāng)按歐盟模式還是美國(guó)模式，應(yīng)當(dāng)更嚴(yán)格還是更寬松，應(yīng)當(dāng)更顧及產(chǎn)業(yè)發(fā)展還是個(gè)人信息保護(hù)？〔31〕相關(guān)討論，參見(jiàn)張金平：《歐盟個(gè)人數(shù)據(jù)權(quán)的演進(jìn)及其啟示》，載《法商研究》2019 年第5 期，第182-192 頁(yè)；許可：《歐盟〈一般數(shù)據(jù)保護(hù)條例〉的周年回顧與反思》，載《電子知識(shí)產(chǎn)權(quán)》2019 年第6 期，第4-15 頁(yè)。這些問(wèn)題如今都已經(jīng)塵埃落定。但這些爭(zhēng)論說(shuō)明我國(guó)的個(gè)人信息保護(hù)立法在根本原理上與歐盟并不完全相同。如果二者完全相同，此類爭(zhēng)議就不可能存在。因?yàn)榘礆W盟的理論，個(gè)人信息處理本身就存在對(duì)人格尊嚴(yán)的威脅，需要無(wú)可爭(zhēng)議的法律嚴(yán)格規(guī)制。我國(guó)在立法過(guò)程中存在此類爭(zhēng)論，恰巧反映出我國(guó)個(gè)人信息保護(hù)立法是從實(shí)用主義的角度出發(fā)，對(duì)個(gè)人信息合理利用與相應(yīng)風(fēng)險(xiǎn)進(jìn)行權(quán)衡判斷的結(jié)果。

三、《個(gè)人信息保護(hù)法》的文本再分析

對(duì)于我國(guó)《個(gè)人信息保護(hù)法》的保護(hù)性特征與實(shí)用主義特征，還可以從文本的某些核心細(xì)節(jié)中再次獲得佐證。與歐盟高度意識(shí)形態(tài)化的個(gè)人數(shù)據(jù)被保護(hù)權(quán)、以人格尊嚴(yán)為核心的風(fēng)險(xiǎn)預(yù)防不同，我國(guó)的《個(gè)人信息保護(hù)法》更具實(shí)用主義傾向，其防范的風(fēng)險(xiǎn)也更加多元化和貼近實(shí)際。

（一）個(gè)人信息的界定

中歐個(gè)人信息界定的不同首先反映了二者的根本性差異。從表面上看，《個(gè)人信息保護(hù)法》對(duì)個(gè)人信息的定義采取了類似歐盟的表述，將其定義為“以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息”。〔32〕參見(jiàn)《個(gè)人信息保護(hù)法》第4 條。這與歐盟《一般數(shù)據(jù)保護(hù)條例》規(guī)定的“任何已識(shí)別或可識(shí)別的自然人（數(shù)據(jù)主體）相關(guān)的信息”高度相似?！?3〕參見(jiàn)《一般數(shù)據(jù)保護(hù)條例》第4 條第1 款。二者不但以“識(shí)別”作為界定個(gè)人信息的重要標(biāo)準(zhǔn)，而且引入相關(guān)或關(guān)聯(lián)的標(biāo)準(zhǔn)，對(duì)個(gè)人信息采取較為寬泛的定義。

但二者在“識(shí)別”這一關(guān)鍵問(wèn)題上存在著重大差異。歐盟的識(shí)別圍繞身份展開(kāi)。根據(jù)歐盟《一般數(shù)據(jù)保護(hù)條例》第4 條，可識(shí)別的自然人包括“能夠被直接或間接識(shí)別的個(gè)體，特別是通過(guò)諸如姓名、身份編號(hào)、地址數(shù)據(jù)、網(wǎng)上標(biāo)識(shí)或者自然人所特有的一項(xiàng)或多項(xiàng)的身體性、生理性、遺傳性、精神性、經(jīng)濟(jì)性、文化性或社會(huì)性身份而識(shí)別個(gè)體”。在歐盟法中，識(shí)別概念的重點(diǎn)在于身份的識(shí)別，不僅包括姓名、身份編號(hào)這類能直接聯(lián)系到個(gè)體的識(shí)別信息，而且包括各類身份特征的識(shí)別。〔34〕See Article 29 Working Party “Opinion 4/2007 on the concept of personal data” （WP 136, 20 June 2007）.

反觀我國(guó)《個(gè)人信息保護(hù)法》，其識(shí)別概念的重心在于是否可以聯(lián)系到特定個(gè)體或“識(shí)別特定自然人”?！秱€(gè)人信息保護(hù)法》第73 條規(guī)定，去標(biāo)識(shí)化“是指?jìng)€(gè)人信息經(jīng)過(guò)處理，使其在不借助額外信息的情況下無(wú)法識(shí)別特定自然人的過(guò)程”；匿名化“是指?jìng)€(gè)人信息經(jīng)過(guò)處理無(wú)法識(shí)別特定自然人且不能復(fù)原的過(guò)程”。這些規(guī)定都表明，我國(guó)將識(shí)別“特定自然人”作為最終標(biāo)準(zhǔn)。〔35〕《民法典》的相關(guān)規(guī)定也以是否可以識(shí)別特定自然人作為標(biāo)準(zhǔn)，該法第1034 條規(guī)定：“個(gè)人信息是以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人的各種信息?！本痛硕?，我國(guó)《個(gè)人信息保護(hù)法》雖然在《民法典》個(gè)人信息定義的基礎(chǔ)上添加了“關(guān)聯(lián)”標(biāo)準(zhǔn)，但實(shí)質(zhì)上和《民法典》的個(gè)人信息定義保持了一致。

個(gè)人信息的定義并不僅僅是一個(gè)技術(shù)問(wèn)題，它反映了中歐在個(gè)人信息保護(hù)問(wèn)題上的重大差異，即前者以個(gè)體被聯(lián)系的風(fēng)險(xiǎn)界定個(gè)人信息，后者則以身份性區(qū)分的角度界定個(gè)人信息。正如上文所述，歐盟的身份認(rèn)同恰巧是要防止識(shí)別各類具體身份，因此身份成為其個(gè)人信息界定的核心問(wèn)題。而我國(guó)則采取相對(duì)而言更具實(shí)用主義傾向的方式，以實(shí)際聯(lián)系風(fēng)險(xiǎn)作為區(qū)分個(gè)人信息的標(biāo)準(zhǔn)。

（二）敏感個(gè)人信息

中歐關(guān)于敏感個(gè)人信息定義的不同也反映了二者的根本性差異。我國(guó)《個(gè)人信息保護(hù)法》第28條將敏感個(gè)人信息界定為“一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息”。對(duì)于敏感個(gè)人信息，《個(gè)人信息保護(hù)法》規(guī)定只有在具有特定的目的和充分的必要性并采取嚴(yán)格保護(hù)措施的情形下才可以進(jìn)行處理。而歐盟《一般數(shù)據(jù)保護(hù)條例》單獨(dú)列舉了“特殊類型個(gè)人數(shù)據(jù)”，〔36〕參見(jiàn)《一般數(shù)據(jù)保護(hù)條例》第9 條。對(duì)于特殊種類的個(gè)人信息，歐盟規(guī)定除非有法定例外情形，否則原則上不得處理。

比較中歐關(guān)于這兩類特殊保護(hù)的個(gè)人信息類型，同樣可以發(fā)現(xiàn)二者具有本質(zhì)差異。仔細(xì)分析歐盟“特殊類型個(gè)人數(shù)據(jù)”，會(huì)發(fā)現(xiàn)其主要指那些帶來(lái)身份性歧視的個(gè)人數(shù)據(jù)，例如種族、民族、性取向等個(gè)人數(shù)據(jù)。在歷史上，這些類型的身份信息曾經(jīng)在歐洲造成了大規(guī)模歧視，在當(dāng)代也仍然可能給個(gè)體帶來(lái)歧視風(fēng)險(xiǎn)。而對(duì)于其他可能給公民帶來(lái)風(fēng)險(xiǎn)但與身份不相關(guān)的個(gè)人數(shù)據(jù)，歐盟并未將其視為“特殊類型個(gè)人數(shù)據(jù)”，例如，金融賬戶、行蹤軌跡類的數(shù)據(jù)并不在其范圍之內(nèi)。反觀中國(guó)，對(duì)敏感個(gè)人信息具有較為明顯的實(shí)用主義與風(fēng)險(xiǎn)防范導(dǎo)向，其防范的不僅包括“人格尊嚴(yán)”，而且包括“人身、財(cái)產(chǎn)安全”，并將金融賬戶、行蹤軌跡明確納入列舉的類型中。作為個(gè)人信息保護(hù)的升級(jí)版本，我國(guó)與歐盟關(guān)于敏感或特殊種類個(gè)人信息的界定充分說(shuō)明了二者的差異。

（三）用戶畫(huà)像與自動(dòng)化決策

中歐個(gè)人信息保護(hù)的差異還可以從用戶畫(huà)像與自動(dòng)化決策中看出。一方面，歐盟對(duì)用戶畫(huà)像與自動(dòng)化決策進(jìn)行了非常嚴(yán)格的限制，并且對(duì)二者進(jìn)行了一體化規(guī)制。根據(jù)《一般數(shù)據(jù)保護(hù)條例》的定義，“用戶畫(huà)像”指的是“為了評(píng)估自然人的某些條件而對(duì)個(gè)人數(shù)據(jù)進(jìn)行的任何自動(dòng)化處理”，并進(jìn)一步規(guī)定，數(shù)據(jù)控制者在收集個(gè)人信息時(shí)應(yīng)當(dāng)告知“存在自動(dòng)化的決策”和“用戶畫(huà)像”，〔37〕參見(jiàn)《一般數(shù)據(jù)保護(hù)條例》第13 條第2 款第f 項(xiàng)。個(gè)體應(yīng)當(dāng)有權(quán)脫離或反對(duì)“完全依靠自動(dòng)化處理——包括用戶畫(huà)像——對(duì)數(shù)據(jù)主體做出具有法律影響或類似嚴(yán)重影響的決策”。〔38〕參見(jiàn)《一般數(shù)據(jù)保護(hù)條例》第22 條第1 款。

歐盟的這一立法特點(diǎn)表明，歐盟將用戶畫(huà)像和自動(dòng)化決策視為同等威脅。在歐盟看來(lái)，即使用戶畫(huà)像沒(méi)有直接用于決策，只要存在用戶畫(huà)像或者說(shuō)存在自動(dòng)化處理的評(píng)估，此類行為就應(yīng)當(dāng)受到個(gè)人數(shù)據(jù)保護(hù)法的規(guī)制。正如上文所述，個(gè)人數(shù)據(jù)的處理行為本身就被認(rèn)為是一種對(duì)個(gè)體基本權(quán)利的威脅。在歐洲，此類行為很容易引起人們對(duì)納粹時(shí)期德國(guó)等國(guó)家利用身份信息鑒別猶太人和有關(guān)群體的歷史記憶。

反觀我國(guó)，《個(gè)人信息保護(hù)法》關(guān)注的是伴隨著個(gè)人信息分析與處理中的決策風(fēng)險(xiǎn)，尤其是市場(chǎng)中的不合理決策風(fēng)險(xiǎn)，而非個(gè)人信息分析與處理本身的風(fēng)險(xiǎn)?！秱€(gè)人信息保護(hù)法》沒(méi)有明確提到用戶畫(huà)像，第3 條雖然原則性地規(guī)定“分析、評(píng)估境內(nèi)自然人的行為”也適用本法，但其規(guī)定主要集中在自動(dòng)化決策活動(dòng)。正如第73 條規(guī)定，“自動(dòng)化決策，是指通過(guò)計(jì)算機(jī)程序自動(dòng)分析、評(píng)估個(gè)人的行為習(xí)慣、興趣愛(ài)好或者經(jīng)濟(jì)、健康、信用狀況等，并進(jìn)行決策的活動(dòng)”。此外，該法對(duì)自動(dòng)化決策的規(guī)定也具有顯著的中國(guó)特征。《個(gè)人信息保護(hù)法》的自動(dòng)化決策條款更多針對(duì)中國(guó)背景下的“大數(shù)據(jù)殺熟”問(wèn)題。該法第24 條規(guī)定，自動(dòng)化決策應(yīng)當(dāng)“保證決策的透明度和結(jié)果公平、公正，不得對(duì)個(gè)人在交易價(jià)格等交易條件上實(shí)行不合理的差別待遇”。這一規(guī)定表明，《個(gè)人信息保護(hù)法》對(duì)于自動(dòng)化決策的關(guān)注更聚焦于市場(chǎng)性行為，尤其是市場(chǎng)中的信任問(wèn)題，而非自動(dòng)化處理所導(dǎo)致的一般人格尊嚴(yán)問(wèn)題?！?9〕參見(jiàn)丁曉東：《基于信任的自動(dòng)化決策：算法解釋權(quán)的原理反思與制度重構(gòu)》，載《中國(guó)法學(xué)》2022 年第1 期，第99-118 頁(yè)。

（四）監(jiān)管、救濟(jì)與合規(guī)制度

個(gè)人信息的監(jiān)管、救濟(jì)與合規(guī)制度也反映了中歐差異。歐盟《一般數(shù)據(jù)保護(hù)條例》允許超越民族國(guó)家的行政監(jiān)管與個(gè)人申訴或起訴，即一方面監(jiān)管機(jī)構(gòu)可以對(duì)違法行為進(jìn)行行政罰款或采取其他行政處罰措施，〔40〕參見(jiàn)《一般數(shù)據(jù)保護(hù)條例》第83 條。另一方面?zhèn)€人可以向監(jiān)管機(jī)構(gòu)進(jìn)行申訴，或向法院尋求司法救濟(jì)?！?1〕參見(jiàn)《一般數(shù)據(jù)保護(hù)條例》第77、78 條。同時(shí)，它設(shè)立了企業(yè)內(nèi)部的獨(dú)立數(shù)據(jù)保護(hù)官制度，在企業(yè)內(nèi)部獨(dú)立履行個(gè)人信息合規(guī)與治理責(zé)任。根據(jù)規(guī)定，個(gè)人數(shù)據(jù)保護(hù)官“不能因?yàn)橥瓿善淙蝿?wù)而被控制者或處理者解雇。其可以直接向控制者或處理者的最高管理層進(jìn)行報(bào)告”?！?2〕參見(jiàn)《一般數(shù)據(jù)保護(hù)條例》第38 條第3 款。

與歐盟相比，我國(guó)《個(gè)人信息保護(hù)法》不僅建立了監(jiān)管與救濟(jì)制度，而且規(guī)定了企業(yè)“個(gè)人信息保護(hù)負(fù)責(zé)人”。但有幾點(diǎn)不同，一是我國(guó)并未確立類似歐盟的獨(dú)立監(jiān)管機(jī)構(gòu)，而是將“國(guó)家網(wǎng)信部門”與“縣級(jí)以上地方人民政府有關(guān)部門”“統(tǒng)稱為履行個(gè)人信息保護(hù)職責(zé)的部門”；〔43〕《個(gè)人信息保護(hù)法》第60 條。二是并未賦予“個(gè)人信息保護(hù)負(fù)責(zé)人”獨(dú)立的法律地位，“個(gè)人信息保護(hù)負(fù)責(zé)人”只是企業(yè)內(nèi)部的專業(yè)負(fù)責(zé)人員，而非獨(dú)立于企業(yè)的獨(dú)立人員；三是確立了公益訴訟機(jī)制，我國(guó)《個(gè)人信息保護(hù)法》第70 條規(guī)定：“侵害眾多個(gè)人的權(quán)益的，人民檢察院、法律規(guī)定的消費(fèi)者組織和由國(guó)家網(wǎng)信部門確定的組織可以依法向人民法院提起訴訟。”

歐盟的獨(dú)立監(jiān)管機(jī)構(gòu)與企業(yè)獨(dú)立數(shù)據(jù)保護(hù)官制度表明，歐盟將個(gè)人數(shù)據(jù)保護(hù)視為一種特殊的，甚至是具有優(yōu)先性的基本權(quán)利。歐盟僅僅在個(gè)人數(shù)據(jù)領(lǐng)域要求企業(yè)設(shè)置獨(dú)立人員，而在其他安全生產(chǎn)、環(huán)境保護(hù)、文化保護(hù)等領(lǐng)域，并未做此類強(qiáng)制性要求。此外，歐盟也沒(méi)有設(shè)置公益訴訟制度?！?4〕《加利福尼亞州消費(fèi)者隱私權(quán)利法案》則在一定程度上引入了公益訴訟，規(guī)定對(duì)于違規(guī)且30 天后不糾正的行為，可以“由總檢察長(zhǎng)以加利福尼亞州人民的名義提起民事訴訟”。參見(jiàn)《加利福尼亞州民法典》第1798.155 節(jié)。而我國(guó)不僅在《個(gè)人信息保護(hù)法》中創(chuàng)設(shè)了“個(gè)人信息保護(hù)負(fù)責(zé)人”，也在安全生產(chǎn)、食品安全等法律法規(guī)中創(chuàng)設(shè)了負(fù)責(zé)安全的專門人員。我國(guó)雖然目前極為重視個(gè)人信息保護(hù)，但就權(quán)利性質(zhì)而言，并未將個(gè)人信息保護(hù)上升到一個(gè)比環(huán)境保護(hù)或食品安全更優(yōu)先、對(duì)個(gè)人基本權(quán)利威脅更大的領(lǐng)域。此外，我國(guó)設(shè)立專門的公益訴訟制度，也表明我國(guó)不僅從個(gè)體權(quán)利角度，而且從公共性或集體權(quán)益的角度看待個(gè)人信息保護(hù)?！?5〕參見(jiàn)張新寶、賴成宇：《個(gè)人信息保護(hù)公益訴訟制度的理解與適用》，載《國(guó)家檢察官學(xué)院學(xué)報(bào)》2021 年第5 期，第55-74 頁(yè)。

四、《個(gè)人信息保護(hù)法》的解釋原理

《個(gè)人信息保護(hù)法》并非歐盟或美國(guó)相關(guān)法律的翻版，其具有鮮明的中國(guó)特色和價(jià)值取向，且以回應(yīng)我國(guó)人民與現(xiàn)實(shí)社會(huì)的實(shí)際需求為出發(fā)點(diǎn)和落腳點(diǎn)?！?6〕參見(jiàn)王利明、丁曉東：《論〈個(gè)人信息保護(hù)法〉的特色、亮點(diǎn)與適用》，載《法學(xué)家》2021 年第6 期，第1-16 頁(yè)。從這一根本特征出發(fā)，可以提出《個(gè)人信息保護(hù)法》的若干解釋原理與方法。

（一）實(shí)用主義

實(shí)用主義是一個(gè)寬泛的哲學(xué)流派，囊括了杜威、皮爾斯、詹姆斯、哈貝馬斯、羅蒂等當(dāng)代眾多哲學(xué)家與思想家。在法學(xué)領(lǐng)域，這一思想流派影響尤其寬泛，包括波斯納、桑斯坦等很多主流法學(xué)家。不同學(xué)者對(duì)這一思想資源的理解有一定差別，但也有共識(shí)性的核心主張，即強(qiáng)調(diào)真理與價(jià)值的相對(duì)可接受性，在法律解釋與法律適用時(shí)，應(yīng)當(dāng)以實(shí)踐與問(wèn)題為導(dǎo)向看待法律問(wèn)題。〔47〕See Richard Posner, The Problems of Jurisprudence, Harvard University Press, 1990, pp.454-469.

在個(gè)人信息保護(hù)問(wèn)題上堅(jiān)持實(shí)用主義，與《個(gè)人信息保護(hù)法》所涉及的法益多元性具有密切關(guān)系。如上所述，歐盟將人格尊嚴(yán)視為個(gè)人數(shù)據(jù)保護(hù)的核心，并且上升到了基本權(quán)利層面，我國(guó)難以致此的原因即在于《個(gè)人信息保護(hù)法》所要保護(hù)的法益具有多元性。在《個(gè)人信息保護(hù)法》的立法過(guò)程中，人身與財(cái)產(chǎn)安全風(fēng)險(xiǎn)的防范問(wèn)題一直是討論的重要議題。例如，徐玉玉因個(gè)人信息泄漏被詐騙而自殺案等各類人身財(cái)產(chǎn)案件，在促進(jìn)《個(gè)人信息保護(hù)法》的立法中起到了關(guān)鍵作用。2015 年《刑法修正案（九）》對(duì)侵犯?jìng)€(gè)人信息罪的規(guī)定，也主要是為了規(guī)制個(gè)人信息大規(guī)模非法交易所導(dǎo)致的電信詐騙等各類行為。因此在解釋與適用《個(gè)人信息保護(hù)法》時(shí)，仍應(yīng)注重這部法律的“初心”，避免以單一和歐盟意識(shí)形態(tài)化的法益基礎(chǔ)來(lái)理解這部法律。

此外，隨著大型互聯(lián)網(wǎng)平臺(tái)的公共屬性日益增強(qiáng)，對(duì)用戶權(quán)益的影響日益加深，個(gè)人信息保護(hù)中的權(quán)力制約問(wèn)題也應(yīng)成為理解與適用這部法律的重要目標(biāo)。一方面，大型平臺(tái)等信息處理者和個(gè)人之間往往構(gòu)成數(shù)據(jù)權(quán)力支配，矯正二者的不平等本身就是個(gè)人信息保護(hù)法的初衷?！?8〕參見(jiàn)王錫鋅：《國(guó)家保護(hù)視野中的個(gè)人信息權(quán)利束》，載《中國(guó)社會(huì)科學(xué)》2021 年第11 期，第115 頁(yè)；陳林林、嚴(yán)書(shū)元：《論個(gè)人信息保護(hù)立法中的平等原則》，載《華東政法大學(xué)學(xué)報(bào)》2021 年第5 期，第6-16 頁(yè)；丁曉東：《法律如何調(diào)整不平等關(guān)系?——論傾斜保護(hù)型法的法理基礎(chǔ)與制度框架》，載《中外法學(xué)》2022 年第2 期，第445-464 頁(yè)。另一方面，大型平臺(tái)和作為集體的信息主體之間也具有權(quán)力支配關(guān)系，大型平臺(tái)往往可以通過(guò)對(duì)不同用戶的比較分析，使得它們能夠“從數(shù)據(jù)主體中獲得總體層面的洞察，以實(shí)現(xiàn)總體層面的適用性，而不是特定于數(shù)據(jù)主體的個(gè)人層面的洞察”?！?9〕See Neil M. Richards & Jonathan H. King, “Three Paradoxes of Big Data”, 66 Stan. L. Rev. 41, 45（2013）.因此有學(xué)者提出，應(yīng)當(dāng)超越信息處理者與個(gè)人的關(guān)系，從集體與民主權(quán)力制約的角度理解和適用個(gè)人信息保護(hù)法?！?0〕See Salome Viljoen, “Democratic Data: A Relational Theory for Data Governance”, 131 Yale Law Journal 577, 577-641 （2021）.對(duì)于這兩種權(quán)力支配關(guān)系，我國(guó)《個(gè)人信息保護(hù)法》都給予了一定程度的回應(yīng)，該法中大量個(gè)人知情權(quán)的條款，如第11 條規(guī)定的公眾參與、第24 條關(guān)于自動(dòng)化決策差別化待遇的規(guī)定，都關(guān)注了平臺(tái)與個(gè)人或集體的權(quán)力失衡問(wèn)題。因此在解釋與適用《個(gè)人信息保護(hù)法》時(shí)，應(yīng)當(dāng)采取實(shí)用主義原則，把權(quán)力制約也作為《個(gè)人信息保護(hù)法》的目標(biāo)。

（二）風(fēng)險(xiǎn)規(guī)制

解釋與適用《個(gè)人信息保護(hù)法》，還應(yīng)堅(jiān)持合理的風(fēng)險(xiǎn)規(guī)制原理，〔51〕近年來(lái)部分從風(fēng)險(xiǎn)角度進(jìn)行的分析，參見(jiàn)謝鴻飛：《個(gè)人信息泄露侵權(quán)責(zé)任構(gòu)成中的“損害”——兼論風(fēng)險(xiǎn)社會(huì)中損害的觀念化》，載《國(guó)家檢察官學(xué)院學(xué)報(bào)》2021 年第5 期，第21-37 頁(yè)；申衛(wèi)星：《大數(shù)據(jù)時(shí)代個(gè)人信息保護(hù)的中國(guó)路徑》，載《探索與爭(zhēng)鳴》2021 年第11 期，第5-8 頁(yè)；劉艷紅：《公共空間運(yùn)用大規(guī)模監(jiān)控的法理邏輯及限度——基于個(gè)人信息有序共享之視角》，載《法學(xué)論壇》2020 年第2 期，第5-16 頁(yè)；歐陽(yáng)本祺：《侵犯公民個(gè)人信息罪的法益重構(gòu)：從私法權(quán)利回歸公法權(quán)利》，載《比較法研究》2021 年第3 期，第55-68 頁(yè)；劉澤剛：《大數(shù)據(jù)隱私權(quán)的不確定性及其應(yīng)對(duì)機(jī)制》，載《浙江學(xué)刊》2020 年第6 期，第48-58 頁(yè)；丁曉東：《什么是數(shù)據(jù)權(quán)利?——從歐洲〈一般數(shù)據(jù)保護(hù)條例〉看數(shù)據(jù)隱私的保護(hù)》，載《華東政法大學(xué)學(xué)報(bào)》2018 年第4 期，第39-53 頁(yè)。摒棄零風(fēng)險(xiǎn)的“預(yù)防性原則”（precautionary principle）。風(fēng)險(xiǎn)規(guī)制與零風(fēng)險(xiǎn)的“預(yù)防性原則”之間的區(qū)別在于，前者更強(qiáng)調(diào)對(duì)風(fēng)險(xiǎn)進(jìn)行合理規(guī)制，在風(fēng)險(xiǎn)預(yù)防與事后救濟(jì)之間尋求恰當(dāng)?shù)钠胶?；而后者則對(duì)風(fēng)險(xiǎn)采取零容忍態(tài)度，強(qiáng)調(diào)對(duì)所有風(fēng)險(xiǎn)進(jìn)行事前規(guī)制。近年來(lái)，在食品安全、環(huán)境保護(hù)、核電安全、疫情疾病等問(wèn)題上，風(fēng)險(xiǎn)預(yù)防具有廣泛的影響，但是除了一些極端的系統(tǒng)性風(fēng)險(xiǎn)，采取零風(fēng)險(xiǎn)的預(yù)防原則常常并不合理，〔52〕對(duì)預(yù)防性原則本身的批判，See Cass R. Sunstein, Laws of Fear: Beyond the Precautionary Principle, Cambridge University Press, 2005, pp.1-25.尤其在個(gè)人信息保護(hù)問(wèn)題上，采取此類原理并不符合我國(guó)《個(gè)人信息保護(hù)法》的特征。

其一，個(gè)人信息保護(hù)所涉及的法益并不絕對(duì)，這決定了其風(fēng)險(xiǎn)防范應(yīng)當(dāng)采取符合比例的措施。在學(xué)術(shù)研究中，對(duì)這一問(wèn)題已經(jīng)積淀了較多的共識(shí)，學(xué)者們對(duì)其進(jìn)行了不同角度的論述。例如有論述指出，個(gè)人信息與個(gè)人相關(guān)，但也具有公共性功能，涉及第三方與公眾對(duì)其的合理利用。〔53〕參見(jiàn)梅夏英：《在分享和控制之間：數(shù)據(jù)保護(hù)的私法局限和公共秩序構(gòu)建》，載《中外法學(xué)》2019 年第4 期，第845-870 頁(yè)；商希雪：《超越私權(quán)屬性的個(gè)人信息共享——基于〈歐盟一般數(shù)據(jù)保護(hù)條例〉正當(dāng)利益條款的分析》，載《法商研究》2020 年第2 期，第57-70 頁(yè)。還有論述指出，個(gè)人信息保護(hù)所涉及的法益更多是一種權(quán)益，而非一種剛性權(quán)利?！?4〕參見(jiàn)張新寶：《論個(gè)人信息權(quán)益的構(gòu)造》，載《中外法學(xué)》2021 年第5 期，第1144-1166 頁(yè)；程嘯：《民法典編纂視野下的個(gè)人信息保護(hù)》，載《中國(guó)法學(xué)》2019 年第4 期，第26-43 頁(yè)；楊芳：《個(gè)人信息自決權(quán)理論及其檢討：兼論個(gè)人信息保護(hù)法之保護(hù)客體》，載《比較法研究》2015 年第6 期，第22-33 頁(yè)。另有論述指出，對(duì)個(gè)人信息權(quán)益進(jìn)行保護(hù)不能簡(jiǎn)單套用私權(quán)賦權(quán)的模式?！?5〕參見(jiàn)鄭曉劍：《個(gè)人信息的民法定位及保護(hù)模式》，載《法學(xué)》2021 年第3 期，第116-130 頁(yè)、第57-70 頁(yè)。在實(shí)踐中，這一特征也取得了廣泛認(rèn)同，例如，即使個(gè)人數(shù)據(jù)嚴(yán)格保護(hù)的歐盟，也明確指出“保護(hù)個(gè)人數(shù)據(jù)的權(quán)利不是一項(xiàng)絕對(duì)權(quán)利；必須結(jié)合其在社會(huì)中的作用加以考慮，并與其他基本權(quán)利相平衡”?！?6〕《一般數(shù)據(jù)保護(hù)條例》，“重述”第4 條?？偨Y(jié)而言，個(gè)人信息兼具個(gè)體屬性與流通屬性，同時(shí)信息處理者與個(gè)人之間構(gòu)成了復(fù)雜的關(guān)系，二者不僅僅具有侵害與防御的關(guān)系，而且具有合作與公共屬性?！?7〕參見(jiàn)王利明：《數(shù)據(jù)共享與個(gè)人信息保護(hù)》，載《現(xiàn)代法學(xué)》2019 年第1 期，第45-57 頁(yè)。商業(yè)屬性的信息處理者對(duì)個(gè)人信息進(jìn)行規(guī)范合理使用，有利于市場(chǎng)的良性運(yùn)轉(zhuǎn)；具有公共屬性的信息處理者對(duì)個(gè)人信息進(jìn)行規(guī)范合理使用，則有利于公眾知情權(quán)與社會(huì)的有效治理。

其二，個(gè)人信息保護(hù)須追求安全與發(fā)展的平衡，避免安全問(wèn)題的意識(shí)形態(tài)化。對(duì)于類似新冠疫情的系統(tǒng)性風(fēng)險(xiǎn)，在不具備疫苗群體免疫的情形下進(jìn)行嚴(yán)防死守，這對(duì)于避免醫(yī)療資源擠兌、保護(hù)人民生命安全具有重要意義。但這種預(yù)防策略并不能用在所有問(wèn)題上，尤其不能簡(jiǎn)單套用在網(wǎng)絡(luò)與信息技術(shù)問(wèn)題上。對(duì)于網(wǎng)絡(luò)與信息技術(shù)發(fā)展中出現(xiàn)的風(fēng)險(xiǎn)，如果罔顧發(fā)展，追求絕對(duì)安全，最終可能造成社會(huì)發(fā)展的失敗和人民權(quán)益的重大損失。

（三）公私法合作治理

《個(gè)人信息保護(hù)法》兼具公法屬性與私法屬性，這已成為共識(shí)?！?8〕部分從公私法融合角度進(jìn)行的分析，參見(jiàn)周漢華：《平行還是交叉 個(gè)人信息保護(hù)與隱私權(quán)的關(guān)系》，載《中外法學(xué)》2021年第5 期，第1167-1187 頁(yè)、第845-870 頁(yè)；梅夏英：《論被遺忘權(quán)的法理定位與保護(hù)范圍之限定》，載《法律適用》2017 年第16 期，第48-54 頁(yè)；吳偉光：《平臺(tái)組織內(nèi)網(wǎng)絡(luò)企業(yè)對(duì)個(gè)人信息保護(hù)的信義義務(wù)》，載《中國(guó)法學(xué)》2021 年第6 期，第45-60 頁(yè)；郭春鎮(zhèn)、馬磊：《大數(shù)據(jù)時(shí)代個(gè)人信息問(wèn)題的回應(yīng)型治理》，載《法制與社會(huì)發(fā)展》2020 年第2 期，第180-196 頁(yè)；于浩：《我國(guó)個(gè)人數(shù)據(jù)的法律規(guī)制——域外經(jīng)驗(yàn)及其借鑒》，載《法商研究》2020 年第6 期，第139-151 頁(yè)；丁曉東：《個(gè)人信息私法保護(hù)的困境與出路》，載《法學(xué)研究》2018 年第6 期，第194-206 頁(yè)。但在解釋與適用這部法律時(shí)，公私法如何配合與適用，是一個(gè)亟待加強(qiáng)研究的問(wèn)題?！?9〕從憲法、民法與行政法三維角度的深入分析，參見(jiàn)王錫鋅：《個(gè)人信息權(quán)益的三層構(gòu)造及保護(hù)機(jī)制》，載《現(xiàn)代法學(xué)》2021 年第5 期，第105-123 頁(yè)。從上文比較法研究與原理分析出發(fā)，應(yīng)注意《個(gè)人信息保護(hù)法》中公私法規(guī)范的深度融合與合作治理，避免從意識(shí)形態(tài)與傳統(tǒng)部門法本位的角度進(jìn)行理解適用?！?0〕參見(jiàn)劉權(quán)：《論個(gè)人信息處理的合法、正當(dāng)、必要原則》，載《法學(xué)家》2021 年第5 期，第14-15 頁(yè)。

其一，在公私法屬性上不應(yīng)將《個(gè)人信息保護(hù)法》等同于歐盟《一般數(shù)據(jù)保護(hù)條例》。從公私法屬性來(lái)看，《一般數(shù)據(jù)保護(hù)條例》的公法屬性較強(qiáng)，很大程度上是公法基本權(quán)利在民事領(lǐng)域的深度輻射。即使是知情同意原則，也被視為個(gè)人信息處理的合法性基礎(chǔ)，而非合同或合意。相反，美國(guó)的很多信息隱私法則主要從市場(chǎng)調(diào)節(jié)的角度看待個(gè)人信息保護(hù)，具有更多私法屬性或市場(chǎng)調(diào)整法的屬性，例如美國(guó)《加利福尼亞州消費(fèi)者權(quán)利保護(hù)法》就被編撰在《加利福尼亞州民法典》中。我國(guó)《個(gè)人信息保護(hù)法》與歐盟仍存在很大差別，與美國(guó)的市場(chǎng)規(guī)制進(jìn)路反而存在一定相似性。就此而言，我國(guó)《個(gè)人信息保護(hù)法》的解釋與適用仍應(yīng)注重從市場(chǎng)規(guī)制法的原理出發(fā)，為市場(chǎng)調(diào)整與私法規(guī)范預(yù)留合理空間。

其二，應(yīng)注重《個(gè)人信息保護(hù)法》中公私法規(guī)范的融合與協(xié)調(diào)。這是因?yàn)?，這部法律中的大量規(guī)范已經(jīng)體現(xiàn)了公私法的高度融合。以知情權(quán)、決定權(quán)、查閱復(fù)制權(quán)、更正補(bǔ)充權(quán)、刪除權(quán)、解釋說(shuō)明權(quán)等個(gè)人信息權(quán)利為例，此類權(quán)利既具有一定的民事法律特征，同時(shí)又是公法規(guī)制和國(guó)家強(qiáng)制賦權(quán)的產(chǎn)物，很難說(shuō)屬于傳統(tǒng)公法還是傳統(tǒng)私法。同樣，信息處理者義務(wù)也不僅僅是國(guó)家對(duì)信息處理者的監(jiān)管，無(wú)論是企業(yè)內(nèi)部自我規(guī)制、專門負(fù)責(zé)人制度、合規(guī)審計(jì)、影響評(píng)估還是補(bǔ)救措施，都涉及信息處理者與個(gè)人之間的民事關(guān)系。此外，公私法規(guī)范在個(gè)人信息保護(hù)與治理中也會(huì)相互影響，二者不可能完全獨(dú)立于對(duì)方而存在。例如在公法監(jiān)管非常嚴(yán)厲有效的環(huán)境中，個(gè)人信息的市場(chǎng)調(diào)節(jié)與私法自治就能更好地發(fā)揮作用。同樣，如果個(gè)人信息的市場(chǎng)機(jī)制運(yùn)行有效，則國(guó)家就未必需要過(guò)多的公法監(jiān)管。公私法規(guī)范的相互影響說(shuō)明，《個(gè)人信息保護(hù)法》應(yīng)當(dāng)擺脫純粹的部門法本位思維，從公私法協(xié)調(diào)與聯(lián)動(dòng)的角度進(jìn)行解釋與適用?！?1〕參見(jiàn)馬長(zhǎng)山：《智能互聯(lián)網(wǎng)時(shí)代的法律變革》，載《法學(xué)研究》2018 年第4 期，第20-38 頁(yè)。

（四）場(chǎng)景化

解釋與適用《個(gè)人信息保護(hù)法》，還應(yīng)堅(jiān)持場(chǎng)景化適用。場(chǎng)景理論認(rèn)為，保護(hù)個(gè)人信息并非要對(duì)其進(jìn)行統(tǒng)一與標(biāo)準(zhǔn)化保護(hù)，而是要尋求與“具體場(chǎng)景相關(guān)的信息規(guī)范”（context-relative informational norms），維護(hù)具體信息關(guān)系與生活秩序的公正性或融貫性（integrity）?！?2〕See Helen Nissenbaum, Privacy in Context: Technology, Policy, and the Integrity of Social Life, Stanford University Press, 2009,p.141.個(gè)人信息保護(hù)依賴于具體場(chǎng)景與關(guān)系，已經(jīng)在很多中外文信息隱私法研究中得以體現(xiàn)?！?3〕英文文獻(xiàn)對(duì)與個(gè)人信息保護(hù)的場(chǎng)景化（contextual）特征幾乎已經(jīng)形成共識(shí)，主要的分歧和研究在于如何從制度層面落實(shí)場(chǎng)景理論，See Danielle Keats Citron & Daniel J. Solove, “Privacy Harm”, 102 Boston University Law Review 41, 3-60 （2021）；中文文獻(xiàn)的分析，參見(jiàn)邢會(huì)強(qiáng)：《人臉識(shí)別的法律規(guī)制》，載《比較法研究》2020 年第5 期，第51-63 頁(yè)；江溯：《從記憶到遺忘：歐盟被遺忘權(quán)制度的運(yùn)行及其啟示》，載《南京師大學(xué)報(bào)（社會(huì)科學(xué)版）》2021 年第4 期，第122-130 頁(yè)；田野：《風(fēng)險(xiǎn)作為損害：大數(shù)據(jù)時(shí)代侵權(quán)“損害”概念的革新》，載《政治與法律》2021 年第10 期，第25-39 頁(yè)；寧園：《敏感個(gè)人信息的法律基準(zhǔn)與范疇界定——〈個(gè)人信息保護(hù)法〉第28條第1 款為中心》，載《比較法研究》2021 年第5 期，第33-49 頁(yè)；韓旭至：《刷臉的法律治理：由身份識(shí)別到識(shí)別分析》，載《東方法學(xué)》2021 年第5 期，第69-79 頁(yè)；蘇今：《后疫情時(shí)代個(gè)人涉疫信息的控制特點(diǎn)及其路徑修正——以隱私場(chǎng)景理論為視角》，載《情報(bào)雜志》2021 年第9 期，第124-132 頁(yè)；謝堯雯：《基于數(shù)字信任維系的個(gè)人信息保護(hù)路徑》，載《浙江學(xué)刊》2021 年第4 期，第72-84 頁(yè)；丁曉東：《個(gè)人信息的雙重屬性與行為主義規(guī)制》，載《法學(xué)家》2020 年第1 期，第64-76 頁(yè)。具體而言，個(gè)人信息保護(hù)應(yīng)當(dāng)考慮場(chǎng)景、行為人、信息類型、傳輸原則等不同要素，對(duì)不同場(chǎng)景適用不同規(guī)范。例如，民族信息在我國(guó)簡(jiǎn)歷場(chǎng)景下并不屬于敏感信息，但在西方可能就屬于敏感信息或特定類型信息?！?4〕對(duì)于敏感個(gè)人信息中的場(chǎng)景性問(wèn)題，參見(jiàn)王利明：《敏感個(gè)人信息保護(hù)的基本問(wèn)題——以〈民法典〉和〈個(gè)人信息保護(hù)法〉的解釋為背景》，載《當(dāng)代法學(xué)》2022 年第1 期，第3-14 頁(yè)。線下出售貴重物品的商家進(jìn)行監(jiān)控，可能需要在合適的地方豎立警示牌進(jìn)行提醒告知，但并不一定需要個(gè)人的明確同意，因?yàn)樵诖祟悎?chǎng)景中，消費(fèi)者可能有存在視頻監(jiān)控的預(yù)期；而線上錄像則需要非常嚴(yán)格的告知與同意，僅僅通過(guò)一般性的同意而調(diào)取用戶攝像頭進(jìn)行錄像，會(huì)對(duì)用戶權(quán)益造成重大威脅。因此，有必要結(jié)合不同場(chǎng)景以及個(gè)人信息法中不同規(guī)范所具有的不同功能，對(duì)個(gè)人信息規(guī)范進(jìn)行場(chǎng)景化適用。

在《個(gè)人信息保護(hù)法》制定的背景下，場(chǎng)景化適用可能面臨若干質(zhì)疑或困惑。其一，場(chǎng)景化保護(hù)會(huì)不會(huì)不符合《個(gè)人信息保護(hù)法》的成文法特征，并且導(dǎo)致其規(guī)則的形同虛設(shè)？這一問(wèn)題實(shí)際涉及一個(gè)經(jīng)典的法理學(xué)命題，即法律是否主要由規(guī)則構(gòu)成。對(duì)于這一命題，法理學(xué)界有著歷史悠久的研究與爭(zhēng)論，〔65〕See Richard Posner, The Problems of Jurisprudence, Harvard University Press, 1990，pp.42-61.基本的共識(shí)是，并非所有的法律都是規(guī)則主導(dǎo)的。法律中經(jīng)常包含了規(guī)則、標(biāo)準(zhǔn)、原則等不同要素，而不同法律不同要素的“比重”（weight）可能不同?！?6〕See Joseph Raz, Practical Reasons and Norms, Princeton University Press, 1990, pp.59-62.有的法律可能是規(guī)則主導(dǎo)型的法，例如道路交通法，諸如時(shí)速限定之類的規(guī)定在其中占據(jù)主導(dǎo)地位。而有的法可能是標(biāo)準(zhǔn)或原則主導(dǎo)型的法，其規(guī)則在法律適用中所起的作用并沒(méi)有標(biāo)準(zhǔn)與原則重要，例如反壟斷法，實(shí)踐中一般都按照合理性規(guī)則（rule of reason）進(jìn)行執(zhí)法，而非按照規(guī)則本身（rule per se）進(jìn)行執(zhí)法?！?7〕See Robert H. Bork, “The Rule of Reason and the Per Se Concept: Price Fixing and Market Division”, 74 Yale Law Journal 775 （1965）.我國(guó)《個(gè)人信息保護(hù)法》采取統(tǒng)一立法模式，恰巧使得這部法和反壟斷法等法律類似，呈現(xiàn)出“非規(guī)則型法”或非純粹規(guī)則型法的特征。因此，以場(chǎng)景化原理理解和適用《個(gè)人信息保護(hù)法》，恰巧符合這部法律的特征。同時(shí)，場(chǎng)景化原理也并不意味著規(guī)則的形同虛設(shè)，“非規(guī)則型的法”僅僅意味著規(guī)則適用需要在具體場(chǎng)景中結(jié)合法律的合理性標(biāo)準(zhǔn)與法律原則，而并非意味著規(guī)則不起作用。

其二，場(chǎng)景化保護(hù)是否意味著“具體問(wèn)題具體分析”，從而導(dǎo)致法律的不確定性與法律適用的恣意性？這也同樣涉及法理學(xué)的一些基本命題。簡(jiǎn)略而言，場(chǎng)景化保護(hù)需要依賴案例與程序，借助案例與程序動(dòng)態(tài)性地界定個(gè)人信息保護(hù)規(guī)則。案例的意義在于其貼近具體生活場(chǎng)景，其對(duì)于規(guī)范的理解與適用是一個(gè)動(dòng)態(tài)的過(guò)程，既需要參照過(guò)往案例，又需要進(jìn)行類比與實(shí)質(zhì)性判斷?！?8〕See Cass R. Sunstein, Legal Reasoning and Political Conflict, Oxford University Press, 1996, pp.1-25.在具有審級(jí)制度的司法與執(zhí)法體制中，案例則既包含了自下而上的規(guī)范制定，又具備自上而下的規(guī)范統(tǒng)一。而程序的意義在于，其給很多相對(duì)不確定的問(wèn)題提供了審議與思辨的空間與時(shí)間，特別是為不同意見(jiàn)提供了抗辯的機(jī)會(huì)。在實(shí)踐中，美歐也在法律適用中高度依賴案例與程序。例如，美國(guó)聯(lián)邦貿(mào)易委員會(huì)的消費(fèi)者隱私執(zhí)法被認(rèn)為具有“普通法”的特征；〔69〕See Daniel J. Solove & Woodrow Hartzog, “The FTC and the New Common Law of Privacy”, 114 COLUM. L. REV. 583, 585-686 （2014）.而歐盟則經(jīng)常在各類指南中“以案說(shuō)法”，采用“合理性規(guī)則”來(lái)解釋《一般數(shù)據(jù)保護(hù)條例》，〔70〕See Opinion of Advocate General J??skinen in Case C-131/12, Google Spain SL & Google Inc v Agencia Espa?ola de Protección de Datos （AEPD） and Mario Costeja González ［2013］ ECR I-0000, para 30.并且建立了比較完備的申訴、司法復(fù)核等程序性的數(shù)據(jù)保護(hù)制度。就此而言，場(chǎng)景化保護(hù)恰巧是為了避免個(gè)人信息保護(hù)規(guī)則僵化所帶來(lái)的恣意性。通過(guò)案例與程序，場(chǎng)景化保護(hù)可以化解“非規(guī)則型法”所帶來(lái)的適用挑戰(zhàn)，〔71〕“非規(guī)則型法”與我國(guó)傳統(tǒng)法律文化具有類似之處。參見(jiàn)馬小紅：《“軟法”定義：從傳統(tǒng)的“禮法合治”中尋求法的共識(shí)》，載《政法論壇》2017 年第1 期，第21-30 頁(yè)；王志強(qiáng)：《“非規(guī)則型法”：貢獻(xiàn)、反思與追問(wèn)》，載《華東政法大學(xué)學(xué)報(bào)》2018 年第2 期，第61-68 頁(yè)。構(gòu)建動(dòng)態(tài)但相對(duì)確定統(tǒng)一的個(gè)人信息保護(hù)規(guī)范。

五、結(jié)語(yǔ)：《個(gè)人信息保護(hù)法》的中國(guó)道路

在《個(gè)人信息保護(hù)法》制定之初，學(xué)界與業(yè)界曾掀起了一場(chǎng)走美國(guó)道路還是走歐盟道路的爭(zhēng)論。一方面，以互聯(lián)網(wǎng)企業(yè)為代表的一方主張，中美兩國(guó)已經(jīng)成為數(shù)字經(jīng)濟(jì)的領(lǐng)跑者，而歐盟則在這場(chǎng)全球數(shù)字經(jīng)濟(jì)的競(jìng)爭(zhēng)中遠(yuǎn)遠(yuǎn)落后，因此不應(yīng)作繭自縛模仿歐盟立法。另一方面，有的聲音則認(rèn)為，我國(guó)個(gè)人信息保護(hù)面臨著國(guó)內(nèi)外雙重壓力，亟須效仿以《一般數(shù)據(jù)保護(hù)條例》為代表的嚴(yán)厲規(guī)制模式，對(duì)個(gè)人信息進(jìn)行全方位的保護(hù)。

我國(guó)《個(gè)人信息保護(hù)法》做出了清晰的立法戰(zhàn)略抉擇，制定了形似歐盟《一般數(shù)據(jù)保護(hù)條例》的《個(gè)人信息保護(hù)法》，并且在很多方面更為嚴(yán)格?！?2〕有域外媒體將我國(guó)《個(gè)人信息保護(hù)法》稱為全球最嚴(yán)的類似法律之一，來(lái)源：https://www.wsj.com/articles/china-passes-oneof-the-worlds-strictest-data-privacy-laws-11629429138，2021 年2 月18 日訪問(wèn)。但表面上的相似性并不意味著我國(guó)完全采取了歐盟的個(gè)人信息保護(hù)進(jìn)路。從比較法的視角對(duì)我國(guó)《個(gè)人信息保護(hù)法》進(jìn)行“深描”，可以發(fā)現(xiàn)我國(guó)在借鑒歐美經(jīng)驗(yàn)的基礎(chǔ)上，開(kāi)啟了一條具有中國(guó)特色的個(gè)人信息保護(hù)道路。從其特征出發(fā)，解釋與適用《個(gè)人信息保護(hù)法》應(yīng)當(dāng)遵循實(shí)用主義、風(fēng)險(xiǎn)規(guī)制、公私法合作治理和場(chǎng)景化適用等原理與方法，使其成為真正滿足本國(guó)現(xiàn)實(shí)需求，并貢獻(xiàn)全球數(shù)據(jù)治理規(guī)則的中國(guó)方案。