《个人信息保护法》的六大关系：反思与前路

本文转自作者 | 许可 对外经济贸易大学数字经济与法律创新研究中心执行主任的文章

六大关系所蕴含的六对矛盾，亦是《个人信息保护法》永恒矛盾，它们不可能一劳永逸地化解，可这又何尝不是其臻于完善的动力？

8月20日，《中华人民共和国个人信息保护法》正式颁行。自2012年《全国人大常委会关于加强网络信息保护的决定》已降，已经9年，自2003年国务院信息化办公室开展个人信息保护法立法研究已降，更历18年。最终成稿的8章74条《个人信息保护法》，可谓句句有故事，字字不容易。在2018年《个人信息保护法》列入全国人大立法计划和2020年《个人信息保护法（草案）》公开征求意见之时，我曾分别以“《个人信息保护法》前瞻：六大关系待解”和“再论《个人信息保护法》的六大关系”为题，剖析了贯穿于《个人信息保护法》始终的六大关系。值此立法功成，我们不妨仍从六大关系出发，检视《个人信息保护法》最终版本，并展望其实施前景。
个人和企业的关系
正如欧盟《一般数据保护条例》（GDPR）第1条将“数据保护”与“数据流动”作为并置目标，《个人信息保护法》亦开宗明义，申明“保护个人信息权益”与“促进个人信息合理利用”两大立法目的。

在“个人信息保护”层面，《个人信息保护法》延续《民法典》中查阅权、复制权、更正权的规定，拓展了删除权边界，从基于违法、违约的删除权放宽至个人的任意删除权。《个人信息保护法》还增设个人对自动化决策的拒绝权和解释权、一定条件下的可携带权和死者个人信息权益，并从种种具体权利中抽象、升华为“个人对其信息的知情权、决定权、限制或拒绝权”等概括性权利（第44条），使得个人信息权益兼具法定性和开放性。不仅如此，《个人信息保护法》强化了“生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹以及不满十四周岁未成年人的个人信息”等敏感个人信息保护，对于个人信息公开、向第三方提供个人信息和敏感个人信息处理的高风险活动，赋予用户“单独同意”的特别权利。

在“个人信息利用”层面，《个人信息保护法》第13条可谓“法眼”所在。该条一改《民法典》“个人同意+特定情形免责”的逻辑，引入了订立履行合同、人力资源管理、履行法定职责或法定义务、应对突发公共卫生事件、保护自然人的生命健康和财产安全、处理公开个人信息等多元化个人信息处理事由，有效平衡了个人和企业对个人信息不同诉求。同时，《个人信息保护法》沿用《网络安全法》第42条第1款后段“大数据条款”，将“匿名化信息”排除在保护之外，以推动大数据产业发展。基于此，在“匿名化”判断上，应采取特定信息处理者采取合理可能手段无法识别个人的“相对匿名标准”，以避免“绝对匿名化”在技术上和商业上的强人所难，以至立法意图落空。
个人和国家的关系
在个人信息保护中，国家呈现出两种截然不同的面貌：一方面作为“保护者”，国家应为个人信息安全提供一切必要的条件和制度保障，打击严重侵害个人信息的犯罪行为，处罚企业和其他组织不当收集、处理、存储、利用和传输个人信息的行为，就此而言，没有国家权力的介入，个人权利就无法得到有效保护和实施；但另一方面，“政欲得民必先知民”，为满足社会管理需要，国家自然拥有处理个人信息的公共权威，可其强有力的行政权力又可能导致个人权利受损。仿效经济学上的诺斯悖论，此可谓“个人信息保护的国家悖论”。《个人信息保护法》直面这一难题，将国家机关和私营部门一体规则，除另有规定外，均应遵循同等的个人信息保护义务（第33条）。“国家机关处理个人信息的特别规定”一节遵循法治国家的原理，确立国家处理个人信息的合法行政原则、程序正当原则和比例原则。

可只有这些还不够。如果说《民法典》将个人信息权益作为私权，那么《个人信息保护法》则通过“根据宪法，制定本法”的宣誓，与《宪法》第33条第三款“国家尊重和保障人权”、第38条“中华人民共和国公民的人格尊严不受侵犯”、第40条“中华人民共和国公民的通信自由和通信秘密受法律的保护”相勾连，从而将个人信息权益从平等主体之间的私权，提升到公民与国家之间的宪法性权利，个体不仅可籍此对抗和约束行政权力恣意扩张，而且为将来国家赔偿引入提供了坚实的法律之基，国家悖论有望消解。
权利法和管理法的关系
个人信息保护法究竟是权利法还是管理法？随着《个人信息保护法》的出台，公私混合法已是普遍共识。《个人信息保护法》从个人信息权利中汲取价值源泉（第四章），进而在个人信息生命周期中（第二章、第三章）将其外化为处理者义务（第五章），并通过履行个人信息保护责任部门（第六章）和法律责任追究（第七章）落实上述权利和义务安排。除宏观结构上的相互支援外，权利规则和管理规则如何在微观效果上衔接依然破费思量。譬如，个人信息处理者管理义务的遵循，能否成为侵权责任的抗辩事由？再如，行政处罚过巨以至企业破产时，侵权赔偿如何实现？这些问题，还有待公私法的通盘考量。

此外不容易发现的是，《个人信息保护法》第11条另外潜藏了权利法和管理法统一的蹊径。其“政府、企业、相关社会组织、公众共同参与个人信息保护”的倡导，呼应了各利益相关方以公私合作形式实现“个人信息协同治理”的主张。借用一句习语：个人信息如此之重要，以至于不能把它只留给个人，它需要公权力机关和私人主体围绕个人信息治理形成一套原则、一套程序、一套持续互动的整体方案，究其实质，它需要强制性法律、市场秩序、社群规范和信息科技的分工协调与有机组合，以达致个人信息保护与利用的平衡。
分散监管和集中监管的关系
我国个人信息保护监管一直是国家网信办、工信部、公安部、市场监管总局以及其他行业监管部门“九龙共治”，《个人信息保护法》因而肩负着统一监管的大众期待。但遗憾的是，受限于我国政府机构职能配置的路径依赖，《个人信息保护法》不得不退而求其次，将监管权一分为二，形成“规则制定权相对统一，规则执行权相对分散”的格局。其中，国家网信办统筹协调有关部门制定个人信息保护具体规则、标准，特别是针对小型个人信息处理者、敏感个人信息以及人脸识别、人工智能等新技术、新应用的专门规则和标准（第62条）；国务院有关部门和县级以上地方政府有关部门在各自职责范围内负责个人信息保护和监督管理工作（第60条）。不过，“魔鬼都在细节中”，“执行分散”可能令“立规统一”的好处化为乌有。以当前移动应用程序测评为例，各部门的执法尺度、口径和标准已显现出人为差异化的后果。然则，有无防控之道？

《个人信息保护法》第60条已赋予国家网信办负责统筹协调和监督个人信息保护工作之责，作为专业性的监管机构，其理应监督其他部门的执法，避免误解或者曲解《个人信息保护法》的原则、规则。同时，根据62条，国家网信办应完善个人信息保护投诉、举报工作机制。不论是个人信息主体，还是个人信息处理者权益受损，均可依法向其投诉和举报，从而间接促进其他部门合法合理监管。
《个人信息保护法》和其他法律的关系
《个人信息保护法》并非遗世独立的孤岛，只有在与其他法律的关联中才能显现其意义。在《宪法》看来，《个人信息保护法》是落实宪法人权保障的“子法”；在《民法典》看来，《个人信息保护法》中涉及平等主体间的规定，是从其第四编第六章“个人信息保护”所衍生的“特别法”；在《网络安全法》看来，《个人信息保护法》是取代其第四章“个人信息安全”规定的“新法”；在《数据安全法》看来，《个人信息保护法》是对涉及个人信息数据处理活动的“补充法”；在《消费者权益保护法》《商业银行法》等专门性法律看来，《个人信息保护法》是个人信息领域的“一般法”。

如何把握《个人信息保护法》的定位，即是立法问题，也是执法问题。在后续执行中，当面临条文疑义时，司法者和执法者应从《宪法》出发，以宪法作为论证依据，通过合宪性解释明确条文含义。在《民法典》与《个人信息保护法》相互冲突的情形下，譬如对“个人信息”范围认定存在抵牾之时，应采“特别法优先于一般法”的原则，优先适用《个人信息保护法》。在《网络安全法》与《个人信息保护法》矛盾时，依“新法优于旧法”之法理，后者理应优先。至于《数据安全法》和《个人信息保护法》，则系针对“载体”和“内容”不同层次上的规定，可相互补充、一并适用。最后，如果专门性法律另有规定，则根据“特别法优先于一般法”，一般须从专门性法律之规定。不过，倘若该法系旧法，还请在立法目的上仔细衡量。
《个人信息保护法》和国际法律的关系
作为数字时代和网络空间的基本法之一，《个人信息保护法》一开始就是跨国界的。不论是个人信息跨境提供，还是个人信息的境外处理，都必须在统筹国内国外两个大局的宏观视野下，作出适且判断。从欧盟GDPR到欧洲法院宣告欧美隐私盾协议无效，从美国以TikTok个人信息保护不力为由发布禁令到滴滴上市事件，个人信息保护早已成为各国经济博弈与政治角力的核心议题。《个人信息保护法》既高扬“人权保障”的旗帜，又要在现实主义的国际关系中回应挑战并建构我国所期待的国际秩序。就此而言，第38条、41条、42条、43条正是从正反两面破题之举。从正面看，我国积极参与个人信息保护国际规则的制定，可以根据缔结或参加的国际条约、协定可对外提供个人信息而无需受制于《个人信息保护法》，从而为《区域全面经济伙伴关系协定》（RCEP）和未来《全面与进步跨太平洋伙伴关系协定》（CPTPP）签署预留了空间。从反面看，首先，如境外组织、个人从事侵害中国公民个人信息权益，或者危害中国国家安全、公共利益的个人信息处理活动的，将被列入限制或禁止个人信息提供清单；其次，如任何国家或地区在个人信息保护方面对中国取歧视性的禁止、限制措施的，我国可对等采取措施；最后，非经主管机关批准，个人信息处理者不得向外国司法、执法机构提供存储于境内的个人信息，以维护我国主权。

毛泽东在《论十大关系》的名文中指出：关系就是矛盾，世界是由矛盾组成的，没有矛盾就没有世界。六大关系所蕴含的六对矛盾，亦是《个人信息保护法》永恒矛盾，它们不可能一劳永逸地化解，所有的解决都是局部的、动态的和情景化的。可这又何尝不是其臻于完善的永恒动力？我们期待着《个人信息保护法》在矛盾中前行，在实践中改进，最终成就个人信息的良法善治。