宁宣凤吴涵蒋科等  原载于金杜研究院 2020-10-26

2020年10月21日，《个人信息保护法（草案）》（以下简称“《个信法》草案”或“草案”）全文终于在万众瞩目下揭开面纱。草案通过全方面深化个人信息保护制度，体现了对个人信息强保护为主、兼顾经济社会生活的复杂性的立法思路。近八千字的草案，代表了我国首次尝试在法律层面上系统性地定义、构建并有机整合个人信息的保护与监管规定，既浓缩了近年来以《网络安全法》（以下简称“《网安法》”）为代表的我国数据安全立法、监管与实务成果，也借鉴了国际上以GDPR为代表的各类数据保护立法经验。

从内容上看，草案显然没有辜负业界对它的殷切期待，产研学各界都对诸多令人兴奋的立法亮点做了详细的介绍。但除了立法技术上的研讨以外，值得强调的是，个人信息保护立法的意义不仅仅是进一步保护“个人信息权益”和“维护网络空间良好生态”，同样也是“促进数字经济健康发展的重要举措”。在全球数字经济迅猛发展同时数字主权造成的数据孤立主义抬头的背景下，《个信法》草案既是中国个人信息保护思路的重要亮相，也应当站在数据竞争的视野高度来看待其背后指向的数字经济发展策略。

限于篇幅，我们摘选了《个信法》草案中九个重点立法思路问题，和大家一起从比较法和经济发展双角度来追本溯源，探讨立法背后的深意和未来的影响。

一、如何看待“个人信息”范围可能的扩展？

个人信息概念的界定是个人信息保护立法的核心问题和逻辑起点[1]，直接关系到法律保护对象的边界，因此个人信息的定义通常是立法者反复权衡多种法律关系后的成果。

1. 识别与关联标准的区别与变化

此前在多部法律法规中都曾基于个人信息的定义来说明其内涵和外延。比如《网安法》第七十六条规定个人信息为“电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息”。《民法典》基本上沿用了《网安法》中“识别”的标准，但同时也将“行踪轨迹”列明为个人信息的一种，一定程度上也呼应了《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（“《双高解释》”）对公民个人信息的定义。考虑到刑事法律保护的法律关系特殊且有所侧重，《双高解释》将“反映特定自然人活动”的信息纳入个人信息范围，通常被理解为在“识别”标准上兼顾“关联”标准，扩大了个人信息的范围。

《个信法》作为个人信息保护的专门法律，其对个人信息的定义将在民事、刑事及行政法律关系中产生无可比拟的影响。草案第四条将个人信息定义为“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息”，一定程度上结合了 “识别+关联”标准，客观上存在将个人信息概念外延扩张的可能性。

2. 他山之石与因地制宜

纵观全球法律实践，在立法上清晰、准确且恰当地界定个人信息的具体含义，并非易事。作为数据保护立法的比较法源之一，欧盟《通用数据保护条例》（“GDPR”）第四条同样采取“识别+关联”标准，任何已识别或者可识别的自然人相关（“relating to”）数据都是个人数据。这种定义标准也承受了一定质疑，有观点认为这种定义方式“非常模糊甚至模棱两可”[2]，可能造成法律适用的不确定性；还有观点认为过于宽泛的定义可能使得GDPR成为“万能法律”[3]，不仅难以实现GDPR提供最全面数据保护的美好愿景，还将导致数据保护系统过载[4]，无法平衡数据产业利益。

事实上，欧盟也认识到了问题所在，第29条工作组对个人信息定义的意见中曾提出应适当限制定义的范畴[5]，但由于GDPR自始尤为注重“可识别”数据的保护，并不将其与“已识别”数据加以区分保护[6]，只要数据处理的最终目的是识别数据主体，那就会被认定为属于个人数据。这实际上将个人信息处理目的与数据本身的可识别性进行了绑定[7]，现实问题和矛盾仍悬而未决。而相较于欧盟相较激进的“扩张主义”（expansionist view），美国秉持普通法系实务导向下的“简化主义”（reductionist view），认为当信息实际上可与特定人相连接（link）时才属于个人信息。[8]《美国加州消费者隐私法案》（“CCPA”）主要通过详细列举的方式给予了具体定义。

尽管目前世界范围内仍然将“识别性”作为个人信息定义的主要因素，但随着识别技术的发展，个人信息可识别性的判断事实上是动态的过程，许多原本不可被识别的信息经组合后可能被识别，直接拓宽了个人信息的范围。因此有学者也提出通过区分已识别和可识别两类不同层级的个人信息并设计了不同保护措施。[9]从监管者的角度出发，我们需要理解在数字技术快速发展和个人信息权益侵害事件频发的背景之下，强化个人信息保护立法存在相当的必要性与紧迫性。与此同时，基于域外立法实践和经验教训，个人信息概念的过度扩张仍可能有违个人信息保护之初衷。实践中，对于个人信息违规收集及滥用确实广泛存在，但值得注意的是，在中国数字经济高速发展的当前，大量场景下比如机器学习的商业化及技术研究中并不以识别特定个人为目的，通常仅为了验真等目的需要标识或者关联某个对象。个人信息范围的模糊或者扩展可能导致数据处理受限，使得数字经济无法发挥最大潜力。

但不可否认的是，在数字经济社会，个人信息的定义作为核心概念将是我们需要长期探讨的时代难题。是否需要区分识别个人信息的目的？是否要结合场景来判断个人信息范围？是否需要结合主体处理分析数据的能力来判断？去标识化个人信息的对外共享是否能达到相对匿名化效果？这些问题将伴随技术和经济发展，不断地要求我们深入思考：在当前的社会发展阶段，如何准确界定个人信息，同时在实践中增加弹性，以实现多方主体利益的平衡。

二、“域外适用”是暂时的反制，还是虚拟空间推动的时代潮流？

草案规定的域外适用效力，毫无疑问是最受关注、最广为探讨的立法亮点之一。根据草案第三条，该法适用于境内处理个人信息，还适用于三种境外处理境内自然人个人信息的活动：

（1）以向境内自然人提供产品或服务为目的；

（2）为分析、评估境内自然人的行为；或

（3）法律、行政法规规定的其他情形。

1. “长臂管辖”的出发点与实践困局

随着数据主权意识的不断强调与深化，各国在数据权属与域外管辖领域内存在客观的竞争需要。面对欧盟GDPR、美国《澄清域外合法使用数据法案》（“Cloud法案”）等一系列域外立法中存在的“长臂管辖”规定，以及近段时间以来美国、印度政府对我国出海企业以国家安全、公民数据保护等为由的一系列调查与纠纷，草案有必要给予相对积极的回应。

积极顺应与面对国际立法是我们的基本立场，但作为一种付诸执行的具体立法实践，“长臂管辖”规定本身的合理性以及应用方式值得我们谨慎审视。有观点认为，欧盟GDPR的域外适用并非国际法上的“最佳实践”，在尚未形成数据保护国际规则的情形下，GDPR的域外适用的规定在事实上构成了对非欧盟区公民数据权利的限制[10]和对分享全球数据产业红利的不合理障碍。这种管辖可能将会带来对其他主权国家执法权完整性的挑战、增加引发贸易乃至外交冲突的可能性。[11]此外，欧盟内部执法机构也认为，要求境外企业在境内设立分支机构与指定代表的相关规定无法落地。[12]另外，高昂的数据合规成本使得包括跨国公司在内企业“望而却步”，有数据统计68%的公司预计将花费100万到1000万美元的合规成本。[13]

2. 有限度的回应与长远考虑

尽管国际法共识认为长臂管辖可能不符合国际法规则，且各国深知限制或禁止离岸数据运营模式将限制跨国企业的经营动力，但时下各国数据立法赋予必要的域外效力俨然成为了一种潮流。除上述GDPR的域外适用效力规定外，新近通过立法如新加坡的PDPA、南非POPIA和埃及PDPL等国的个人数据保护法，以及印度的个人信息保护法案草案等，均涉及针对域外企业处理域内数据的规定。

但从具体条文规定的细节对比来看，相较于GDPR、Cloud法案等积极寻求域外适用的立法态度，草案则更多地体现出保护我国境内个人信息的基本立场和回应姿态。例如，根据GDPR以及欧盟数据保护委员会（“EDPB”）就域外适用的相关指引文件[14]，GDPR规定无论在何处设立和处理欧盟境内个人数据，凡是向欧盟境内提供货物或服务的实体，均受到GDPR的管辖；此外，还规定了域外监控行为的适用。

跨国公司处理关联公司所在国用户或者本集团内部员工的数据是企业运营的普遍及必要情况，而尽管GDPR在各类指南及实践中也在尽可能地纠正过于扩张的管辖，但GDPR“以提供服务的事实”为标准的规定理论上几乎可以涵盖所有向欧盟区提供服务的跨国企业，因此必将带来大量的管辖冲突问题。相比GDPR，草案的域外适用条款则显得更为克制，规定“以向境内自然人产品或服务为目的”而处理境内个人信息才受约束，相当于对域外适用的要求新增“数据处理的目的限制”。

另外，我国企业近年来愈发陷于各国长臂管辖的合规困境，但与之相对，如果跨国企业通过运营离岸数据中心向境内提供网络服务，在缺乏监管的条件下，大量境内个人信息可能在数据跨境中“裸奔”而无法得到保障。唯有推进域外适用，使跨国企业的离岸模式逐渐成为过去式，境内个人的信息安全方能在当今全球形势下获得对等的保护。

但抛开对国际立法对等规则以及境内个人信息对等保护等考虑，我们会发现基于数据或者网络的域外适用规则在数字经济全球化时代几乎无法避免。当前国际经济的驱动力包括网络的互联互通以及数据的全球流通及整合，尽管我们要避免无序管辖对全球经济发展的阻碍，同时虚拟空间全球化交互从数据安全以及数据主权等多个角度都要求国家适度地扩展域外管辖，维护市场经济秩序和公共安全与利益。从长远考虑，如果缺乏域外管辖的规则，从实质上将会影响个人信息权益的保护以及数据主权的行使。

顺带一提，除了本草案，为应对各国域外长臂管辖带来的消极影响，从立法层面看我国以近期出台的《数据安全法（草案）》为代表主要做了两方面努力：其一，做好针对个人信息保护的数据本地化和关键基础设施、重要数据的安全审查等自我保护制度的建设；其二，为境内法律的境外适用留有必要的空间，以灵活根据国际法的“对等原则”，采取维护国家和公民合法利益的必要的反制措施。例如，《数据安全法（草案）》的第二十四条和草案的第四十三条对外国歧视性措施的反制措施。在数据主权化浪潮当下，各国数据立法普遍带有域外适用效力，跨国企业经营的确需要在日常业务中谨慎经营、做好合规，以尽可能提前避免落入域外管辖的“争执”之中。

三、个人信息主体对信息处理“绝对”权利的利弊

1.  个人信息处理合法性依据的扩展

草案第十三条首次明确个人信息处理多达六项的合法性依据，分别是同意、履行合同所必需、履行法定职责或法定义务所必需、应对突发公共卫生事件或紧急情况下保护自然人生命健康和财产安全所必需、为公共利益在合理范围内处理、法律和行政法规另行规定。

尽管草案增加了个人信息处理的合法性依据，但其与欧盟GDPR的规定仍存在一些差别。草案第四项合法性基础是紧急情况下对自然人生命健康和财产安全保护所必需，而GDPR则是表述为对自然人重大利益（vital interests）的保护。对比来看，草案规定得更为具体，避免“重大利益”这一概念的模糊不清。同时，草案没有规定类似GDPR中对保护控制者或第三方合法利益（legitimate interests）必要的情形，但是其兜底条款“法律法规规定的其他情形”可以在很大程度上涵盖这一情况，并且法律明确规定的形式也更具有确定性和可操作性，避免滥用相关条款从而造成对信息主体权益的损害。

草案中“为履行法定职责或者法定义务所必需”与“法律、行政法规规定的其他情形”这两项合法性基础之间的关系也值得探讨。前者的“法定”要求需要其所适用的情形有法律法规的依据，与后者含义一致。但前者在“法定”的基础上加上了“必需”要求，实践中可能更多指向法律法规未对个人信息收集有明确例外规定，但法定要求必需处理个人信息的场景。此外应当肯定的是，草案还结合疫情防控经验，加入了“为应对突发公共卫生事件所必需”这一合法性基础，充分体现法律与时俱进的时代特色。

2. 个人信息主体权利在不同经济发展阶段的限度

自2012年全国人民代表大会常务委员会《关于加强网络信息保护的决定》中首次提出收集和使用个人信息应当征得个人信息被收集者的同意以来，除法律及行政法规另有规定以外，个人信息主体的“同意”一直是我国个人信息处理的主要合法性依据，甚至学者认为赋予了个人信息主体对于个人信息的“绝对权利”。此次草案第十三条首次从法律层面对于个人信息处理活动的合法性基础进行扩充，其由单一到多元化的转变是否合理？这背后又有哪些考量？

个人信息权益的定位其人格属性尽管在《民法典》出台后才相对清晰，在个人信息保护的初级阶段，尤其是隐私权与个人信息权利尚未完全厘清关系的时期，赋予个人信息主体较为“绝对”的控制权对于个人信息权益尤其是人格权益保护具有积极意义。但在大数据与高科技浪潮的推动下，个人信息逐渐体现出其所附着的信息主体利益、信息使用者利益与公共利益等多重利益。信息主体的利益主要体现为对个人尊严与自由的保护。同时，个人信息还具有社会性、工具性与功能性，因此还应保障信息使用者的利益，促进个人信息的使用与流通。此外，在遇到公共利益时，信息主体可能需要让渡或牺牲部分个人利益以保障公共管理目的的实现。[15]

鉴于此，将知情同意作为个人信息处理的唯一合法性基础在事实上赋予了信息主体对个人信息较为绝对的支配权利，但不同于知识产权等相对成熟的权利，考虑到个人信息“所有权”或“控制权”当前尚未有定论，较为绝对的支配权利将可能对建立个人信息的权利束制度造成不利影响，并且会对不同主体的权利分配造成阻碍。因此，这种绝对性支配权制度在多主体参与的个人信息处理中会导致较高的授权成本并可能阻碍科技和社会发展，造成经济实践的巨大困境。从比较法上来看，欧盟GDPR除同意外还规定了五种合法性基础，以实现个人数据保护与数据流通之间的平衡。美国CCPA则在保障数据流动方面走的更远，甚至未严格将同意作为处理的前提性条件，而是以“告知+选择退出”作为保障消费者权益的方式。国际社会更倾向于不将保护个人数据主体权益作为个人数据保护的唯一目的，而是尽可能地在数据保护与数据流通之间寻求平衡。

3. 从个人控制向多方控制，打开数据权益大门

《民法典》已将“法律法规另有规定”作为同意的例外，留下变通空间，并将处理已合法公开的个人信息、维护公共利益或自然人合法权利作为免责情形。草案更进一步，具体规定了除同意和法律法规另有规定以外的其他四种合法性基础，体现出个人信息保护制度正逐步从个人控制走向社会控制[16]、多方控制，既符合时代发展需要，也顺应国际社会潮流。从个人控制到多方控制并不妨碍保护个人信息主体对于个人信息的人格权益，并让参与个人信息处理不同环节的主体一定程度上脱离个人信息主体基于绝对同意的控制权，有空间来寻求对于个人信息可能主张的财产权益。当前数据立法中重点和难点问题集中在数据确权之上，通过对个人信息控制权主体的扩展，有利于从理论和实务两个方面打破禁锢，有望实现平衡个人信息主体和其他处理主体权益的新型数据权益规则。

四、 “同意”的两难

草案对于不同情形的“同意”规则做了细化。草案第十四条要求同意应当“由个人在充分知情的前提下，自愿、明确作出意思表示”，并规定法定应当取得单独同意或书面同意的，从其规定。同时，草案第二十四条规定，在对个人信息进行共享时应取得信息主体的单独同意。与此相关的还有草案第三十条，要求对敏感个人信息的处理应取得个人的单独同意，并且法律法规规定处理敏感个人信息应当取得书面同意的，从其规定。草案第一次尝试在法律层面根据处理的不同情形对“同意”进行分类，如何准确的界定“同意”、“单独同意”与“书面同意”将需要从实务角度探寻可行性。

1.  同意分类的合理性和实现困难

纵观全球数据保护立法，“同意”的概念均有所涉及但又有所差异。草案将“同意”定义为“由个人在充分知情的前提下，自愿、明确作出意思表示”，与GDPR所定义的“通过陈述或积极行为表示”的主要区别在于意思表示实现方式的多样性。单独同意与一般同意相比，更强调信息主体对个人信息处理在充分知情和审慎考虑基础上的授权，属于对一般同意的补强措施，从理论上看具有必要性。

对于向第三方共享个人信息与处理敏感个人信息这两种敏感度较高的情形而言，单独同意确实可以在一定程度上征得信息主体更充分和有效的同意。由于草案中并未给出单独同意的具体定义，实践中多将其理解为与概括同意相对的授权同意方式，并常以单独提示或者弹窗的形式实现。但单独同意需要在线上实现，尤其是数据收集或共享要求实时性时，则实现方式会出现侵扰用户同时达不到保护个人信息主体自由意志的情况。

比如根据草案第二十四条，个人信息处理者向第三方提供其处理的个人信息的，应当取得个人的单独同意。但是实践中以SDK方式向第三方共享个人信息的情形已屡见不鲜，这也成为了一种常见且高效的商业合作模式。对于大型企业来说，其服务中可能包含多种来自不同第三方的、具有不同处理目的和处理方式的SDK，并可能在其提供服务过程中不断更新，若按照每种SDK都分别用一个弹窗的形式来征得单独同意，则可能成本过高且会给用户带来不良交互体验。因此结合实践合规成本与落地难度来看，如何设计同意机制，使得既达到单独同意的要求又不造成侵扰用户的后果，仍值得探讨。

书面同意对比一般同意不仅突出信息主体的充分知情权与授权有效性，其还强调信息主体同意的可验证性。草案中虽提及此概念，我们更期待明确其具体适用的场景，以及有效书面同意的定义。比如俄罗斯个人信息保护法（Federal Law No.152-FZ of 27 July 2006）中规定“以电子签名签署的电子文档形式的同意应被视为等同于包含个人数据主体手写签名的书面同意书”。类似的规定有助于明确新经济环境下，尤其是互联网经济中书面同意的边界。

2.  新型同意机制呼吁新业态

应当肯定立法针对不同情形区分同意的类型，但由于不同同意类型的界定将在很大程度上影响各相关主体的权益，具体对同意的界定与适用可能亟待相关法规或指南进一步明确。与此同时，如何实现不同的同意要求以匹配新型的同意机制将是企业重点关注的难题。

实践中，必须承认隐私政策与同意提示等对于个人信息主体的提醒作用十分有限。借由同意机制发生变化的契机，企业应当进一步研究如何增加个人信息主体对同意的管理路径，比如让个人信息主体通过dashboard等方式自行管理其对个人信息的同意，即增加告知及同意的强度，又降低反复提醒降低产品体感的影响。尽管上述要求可能进一步增加企业合规成本，但在尊重个人信息主体意志大原则不变的前提下，可以预见的是以适当、透明的方式使得个人信息主体享有一定的个人信息管理权限，将有助于自证合规并提高消费者体验。与此同时，考虑到个人信息权利束理论形成后，个人信息附着的财产性权益同样有突出的管理需求，企业对合规的投资可能转换为类似privacy box等可商业化的新业态。

五、处理者法律责任分配背后的政策考虑，如何实现个人信息权益保护与促进产业发展的矛盾统一？

 草案第二十一条规定，两个或两个以上的个人信息共同处理者承担连带责任，成为一大亮点。具体而言，受共同处理行为侵害个人信息权益的个人，有权向任何一个处理者主张全部损害赔偿。从个人信息的强保护立场来看，连带责任固然有利于保障个人求偿权的实现，鼓励共同处理者之间充分约定共同处理的安全保护义务，促使共同处理者积极就数据保护进行互相监督。但在推动数字经济的大背景下，处理者连带责任所代表的强保护政策导向，应如何响应 “促进企业联动转型、跨界合作”[17]的新业态发展需求？

我们不妨假设一个场景：整车制造厂商（OEM）希望搭建自己的车联网系统，而其中的地图导航服务则作由第三方运营。第三方导航服务直接调用传感器收集用户个人位置信息以提供导航定位服务，属于直接的个人信息处理者；而OEM将导航服务获取并处理的位置信息用于智慧加油、智能停车、旅游信息等车联网服务，属于位置信息的共同个人信息处理者。根据草案，若OEM在车载外卖服务中泄露了个人位置信息，第三方共同处理者亦需承担连带责任。考虑到车联网方案的开放性，第三方无法充分预见位置信息泄露的可能性与风险，为避免承担连带责任，很可能会因此减少与OEM的合作，或通过合同限制OEM的车联网方案应用范围，从而限制车联网产业的发展合作。

从上述例子来看，若共同处理行为可分割且分工明确，一方处理者为另一方处理行为承担连带责任，可能有失公平、打击企业参与此类产业合作的积极性。但另一方面，若用户无法对共同处理者涉嫌侵权的处理行为的分工有合理清晰认知，则共同处理者承担连带责任则显然具有保障个人权益的正当性、必要性，也在我国司法实践中获得认可。[18]事实上，我国立法对连带侵权责任的规定一向采取谨慎态度，如《民法典》中对网络服务提供者提出限制条件的连带责任。[19]而从国际立法实践来看，虽然GDPR第26条第3款规定“数据主体可以对每一名[共同]控制者行使权利”，但该条是否可以理解为共同控制者存在连带责任仍有极大争议。[20]显然，处理者的法律责任分配应当如何权衡个人权益保障与促进产业合作发展，仍有很长的政策研讨之路要走——是否应当以个人存在对处理行为的分工有合理认识为判断标准？该判断标准是否造成过高的司法判断成本，以至于一刀切地规定连带责任更具有可行性？

类似的政策问题同样出现在草案第六十五条：对于处理活动侵害个人信息权益的，“个人信息处理者能够证明自己没有过错的,可以减轻或者免除责任”。该条似乎可以理解为采用了过错推定的归责原则，即将证明个人信息处理没有过错的举证责任转移至作为被告的处理者身上；但该条进一步可理解为若处理者证明自己无过错的，可能仅减轻了其赔偿责任，似乎又像是规定了某种公平责任。此外，将本条与草案第二十一条结合理解，进一步产生了归责难题：承担连带责任的两名共同处理者，且个人信息处理中双方仅分别负责不同阶段的个人信息处理时，若甲方能证明自己无过错，而乙方无法证明，个人引述第二十一条的连带责任条款，要求甲方承担损害赔偿责任，甲方是否可以引述草案第六十五条抗辩？如何将六十五条的特殊归责与共同处理者的连带责任进行统一，在有过错的乙方、无过错的甲方与受损害的个人之间如何实现权益平衡？无论处理者的责任如何划定，该条毫无疑问将增加处理者的诉讼成本、降低其寻求数字经济产业创新的积极性。如何在改善当前个人信息诉讼维权困难的现状与保障产业发展之间取得微妙的平衡，显然值得进一步广泛探讨。

六、如何划定处理公开个人信息的“合理界限”？

1. 有限度“公开”的个人信息

草案第二十八条规定了处理公开个人信息的基本行为规范，已公开的个人信息只能在被公开的用途之合理范围内被处理，否则需向个人告知并取得同意，即“公开”不能成为无限制处理个人信息的通行证。此前《民法典》第一千零三十六条已将“合理范围内使用公开个人信息”规定为个人信息处理的免责事由（个人信息主体明确表示拒绝或者处理侵害其重大利益除外），草案第二十八条在予以继承与衔接的基础之上，进一步作出规定：

（1）在使用范围上，一般局限于“个人信息公开时的用途”，超出此用途相关合理范围的，应当执行“告知-同意”；

（2）在使用方式上，应当合理、谨慎，如果对个人有重大影响时，应当执行“告知-同意”。

考虑到已公开个人信息一定范围内的公开性或公共性，其处理不再以“同意”为原则和必要，但从条文规定来看，“合理谨慎”、“符合用途”成为把握公开个人信息处理行为边界的关键要素。对于现代企业而言，大量的个人信息处理行为都离不开已公开的个人信息，比如常见的运用“爬虫”在互联网平台采集公开信息等，而如何在个人和企业之间划定公开个人信息处理的合理边界，包括商业化采集、识别人脸等“暴露”在公共场合的生物特征信息，成为公众关心的问题。

2.  合理隐私期待原则的参考与运用

如何在个人信息公开用途不明确的情形下“合理、谨慎”地处理公开个人信息？我们理解， “合理隐私期待”（Reasonable Expectation of Privacy）原则可以作为参考。自1967年Katz诉United States的判例[21]首次确立，该原则用于公民对抗公权力搜查行为而可能造成的侵犯公民隐私（“执法隐私”）。现如今，随着互联网数字经济的兴起，该原则被理论界移植对“信息隐私”的讨论研究。根据理论观点，应当在具体场景[22]（Context）的信息关系中确定个人对信息享有的权益边界，其重要标准即“合理隐私期待”——个人信息的收集、处理与流转应当符合个体的合理预期。一般认为，当个人信息的处理超出一个社会中正常理性个体的合理预期时，个人信息处理者必须对个体进行显著告知，确保个体理解伴随此类的风险，并且获得个体的明确授权。[23]例如在实际场景中，某知名视频Up主在视频中公开分享了一定的个人信息，由于媒介传播特性，信息很可能被“断章取义”“随意剪辑”导致公开个人信息的目的、用途被削弱乃至抹灭，但至少可以合理期待Up主不希望公开个人信息以任何不利于自己的方式被处理。

3. 期待随着行业和技术发展动态调整的合理期待标准

在实践中，合理期待的判断也并非没有难度，其最大的不确定性在于结合场景和个案化的动态评估方式。作为对已公开个人信息处理的替代性原则，其应当在经济学考量下优于“告知-同意”的实施成本，否则合理期待的制度设计便失去了实际意义。与此同时，对合理隐私期待的判断依赖于个人信息保护领域具体的执法与司法实践案例，企业作为个人信息处理者需要一个类似于经验积累的过程，从而形成公开个人信息处理行业实践中的有益互动。

合理隐私期待建立在个人存在具体可感的隐私意识之下，相对而言，公共场所采集、识别人脸等个人生物特征信息因可感性较低，清晰、明确地界定合理处理范围就显得尤为关键。此前，轰动一时的“国内人脸识别第一案”[24]正是对人脸识别技术合理使用范围的纷争。根据草案第二十九条，人脸信息属于敏感个人信息，但其一般“暴露”在公共场合之下，如若法律不加以必要限制，其无感知的处理过程可能带来严重后果。对该等信息的处理，草案第二十七条规定仅限于维护公共安全所必需，并且需要企业设置显著标识。由此，立法者明确地将人脸等生物特征信息排除在公开个人信息之外，并以强制性规范严格约束了未经个人单独同意情形下公共场所内人脸信息采集和识别的信息处理范围。

但值得注意的是，除公共安全所必需的以外，人脸、虹膜、步态等生物识别信息有着当前设备识别码、手机号码、IP地址等个人标识信息无法比拟的准确性和真实性，可以预见其有广阔的商业运用空间。随着无人超市、智慧商圈、智慧社区甚至智慧城市的推广与普及，在公开或者半公开空间，在（1）具有显著标识，（2）能够提供用户超值便利的前提条件下，大家对步入类似空间后会被有限度采集“暴露”在外的生物识别信息是否可能具有合理的期待？对于类似的新型业态，是否需要动态调整合理期待标准值得我们前瞻性的思考。

七、从网络安全到数据安全，如何构建中国数据本地化与跨境规则？

1. 多种数据出境路径与新增本地化要求

数据本地化与跨境流动规则构建一直以来是各国数据保护立法关注的重点。除了要求处理者充分告知个人并获得单独同意，此次草案更进一步拓展《网安法》下的数据本地化及跨境规则，将数据本地化义务主体从“关键信息基础设施运营者”进一步扩展到“处理个人信息达到国家网信部门规定数量的个人信息处理者”，且要求该两类主体必须通过网信部门的安全评估方能向境外提供个人信息。而对于其他企业，草案则提供了多种数据出境路径，只要符合“通过国家网信部门组织的安全评估（存在例外）”、“经国家网信部门指定专业机构进行认证”或“签订合同并保证达到与本法一致的个人信息保护标准”三项条件的其中一项，即可向实施数据出境，体现了草案兼顾商业需求，为风险级别低的处理者提供出境便利。

草案的跨境规则与GDPR有类似之处，如“指定机构认证”要求与GDPR下经认可的有约束力的公司规则（Binding Corporate Rules）相似、“订立合同”要求与GDPR下标准合同条款（Standard Contractual Clauses）有所关联。同时，草案第十二条规定了国家将积极参与个人信息保护国际规则的制定，推动与其他国家、地区和国际组织之间就个人信息保护规则、标准的互认。由此可以预见的是，未来将会越来越多得通过国际互认等方式建立起数据自由流动的区域性联盟，同时也将通过私人协议的约束约定以及标准认定等方式完善数据跨境的合法性依据。

2.  以网络为中心转向数据为中心的安全策略

草案的数据出境监管核心是数据本地化要求。从国家战略的角度而言，数据本地化存储是维护国家数据主权，应对跨国网络攻击或威胁的重要方式，例如美国很早便开始了网络安全的战略部署，近期特朗普政府战略政策频发，先后发布《国家安全战略》《网络安全战略》和《国家网络战略》[25]，在《国家网络战略》中特别强调保护数据和底层基础设施，将重点从保护网络扩大到保护这些网络上的数据，确保数据安全。[26]在2010年10月8日，美国国防部发布了首部《数据战略》（“DoD Data Strategy”）[27]，被理解是以网络为中心向以数据为中心安全模式的转变。[28]

草案第四十条所确立的本地化规则事实上也顺应了当前世界主权之争从网络上升到数据的变革趋势，如果说《网安法》对于关键信息基础设施运营者的本地化要求是以网络安全为出发点，那么草案将本地化要求辐射到“处理个人信息达到一定量级的处理者”则以数据安全为立足点，体现了立法者对于本地化要求的关注点从网络安全层面延伸到数据安全层面，以及以网络为中心转向数据为中心的立法思维的进步，是立法者在各国数据主权博弈态势下所做出的积极回应。

3. 实操性有待考验

当然在实际执法过程中，“处理个人信息达到一定量级的处理者”的规定可能带来一定不确定性。一方面，如何界定个人信息的量级可能存在一定争议，如参考《双高解释》，个人信息量级的计算将以个人信息主体的数量为维度计算，但考虑到现实中企业处理个人信息的数量呈动态波动的趋势，具体数量的认定可能存在一定难度。极端情况下，如一家跨国企业由于员工数据达到了网信部门规定的数量，此时跨国企业是否需要或者有必要根据草案要求将此前在中国收集存储在境外的员工数据全部本地化；另一方面，数量为依据的计算方式可能会出现“蚂蚁搬家”的规避方式，企业可能将数据存储在不同子公司所运营的信息系统，或者以多个关联公司的名义来处理数据，以规避处理数量达到量级所带来的本地化要求。如果上述情况确有可能规避本地化要求，考虑到实质上同样数量的数据仍然会发生跨境或者境外存储，是否需要结合跨境安全评估等规则来进一步规范？

因此，我们理解具体规则的构建可能还有待网信主管部门出台进一步的规章或指南予以指导，当然我们也不排除关键信息基础设施运营者与如达到一定数量的个人信息处理者间在事实上存在竞合。进一步确认将处理个人信息达到规定数量纳入关键信息基础设施运营者的认定标准，在立法上将本地化要求限定于关键信息基础设施运营者或可一定程度解决上述问题。

八、个人信息可携权是“乌托邦”还是“救命稻草”？

个人在个人信息处理活动中所享有的权利一直是个人信息保护立法过程中备受关注的重点话题。草案第四章在《网安法》与《民法典》的基础上对于个人信息主体在个人信息处理活动中的权利作了进一步明确与细化，个人在个人信息处理中的知情权、决定权、限制权、拒绝权、查阅复制权、更正权、删除权在草案中到得到了进一步确认。我国对于个人信息主体权利的设置与欧盟GDPR，巴西LGPD等相关规定类似，但与GDPR相比，草案与《网安法》及《民法典》一样，并没有赋予个人信息主体GDPR第20条中所规定的 “数据可携权”。正如立法者在草案说明中所述，对一些尚存争议的理论问题，应在本法中留下必要空间。但可携权的现实难度和立法精神并不妨碍需要我们用时代的眼光来审视可携权需要的变化和未来可能的发展空间。

在GDPR语境下，数据可携权主要包括“数据主体有权下载存储在数据控制者处的个人数据”和“条件允许时数据主体有权要求数据控制者为其将数据传输给其他控制者”两方面基本内容，当然GDPR为其设立了“行使可携权不得妨碍执行公共利益和官方授权所需，及不得对他人权利和自由造成不利影响”的例外情形。[29]从技术可实现性和经济成本考虑，数据可携权自提出之日就被质疑，代表观点认为这种权利将导致数据使用效率的牺牲而失去存在的价值。[30]草案并未接受“可携权”作为个人信息主体的权利，其背后是什么的考量？我们目前是否做好了数据可携落地的充分准备？这些问题还需要我们分别从数据可携权其背后隐藏的多方主体的权益平衡谈起。

1. 数据主体信息自决利益范围之考量

从数据主体的立场来看，可携权的理论基础来源于最初确立于德国联邦宪法案例“人口普查法案”的信息自决权。[31]但事实上，信息自决被理解为对个人信息绝对的控制权实乃人们对该案判决的误读。[32]将个人信息作为客体排他性地归属于信息主体的做法，无法为他人的行为划定清晰的禁区，因此也不可能构成私权意义上、受侵权法保护的民事权利。一般认为，在为保护个人信息的隐私利益而行使自决权时，也应受到相应的合理限制。[33]这里的合理限制，其中的相当大的因素考量在于数字企业在用户数据之上享有的一定“财产权利益”。[34]应该考虑到，数据可携权强化个人对于个人数据的绝对控制权的同时，必将减损为维护数据资源投入高额成本的企业的利益、不合理地增加企业运营成本。此种信息自决空间是否过宽、影响社会和产业秩序有效运转本就值得研讨。

2. 数据企业竞争性利益的保护

数据可携不仅是个人数据保护法的调整对象，也是竞争法的调整范围。[35]从数据作为战略资源角度而言，用户数据资源的市场占有率已成为现代数字驱动型企业的独特竞争性优势。目前例如“头腾大战”在内普遍而多发的企业间数据争夺不正当竞争案例已足以证明这一点。但试图利用数据可携权来破除数据垄断，可能只是一厢情愿的“乌托邦”。有观点认为，赋予个人数据主体数据可携权能够有效制约互联网巨头对于数据的垄断地位，促进数据自由流动，打破数据市场准入障碍[36]，但该种观点只关注了头部巨型企业，事实上，在尚未形成成熟的数字产业体系基础之上贸然引入数据可携权制度，更为严重的问题可能是急剧加重中小企业负担。[37]根据“锁定效应”理论，先进入市场的积累了大量用户的企业（先发优势企业）对数据具有绝对性的先占优势，在占有大量数据的同时，先发优势企业为了保护自身已形成的优势地位，会采取各种方式提高行业准入的门槛，最典型的方式就是将数据进行封锁，提高用户转换服务商的成本。[38]此外，数据可携的落地可能还会引发和变相鼓励企业间“搭便车”的不正当竞争，随之而来的可能是各种绕过数据可携的技术压制，反而加剧围绕数据的“分封割据”，最后形成个别巨型企业独占山头的局面，恰恰违背了数据可携的制度初衷，从而埋下了违反竞争法确定基础秩序的隐患。

但尽管数据可携权争议较大，实施难度极高，但其立法基于个人信息主体权益主动权利的本意，以及蕴含的技术中立性和“乌托邦”精神，仍然值得我们思考。个人信息从个体控制向多方控制发展的趋势尽管可能无法改变，设置可携权或者其他权利促使数据标准化和有条件的自由流动可能在数据成为生产要素的时代困难重重，但我们期待突破数据瓶颈后的智能时代，类似的权利能够发挥更大的作用。

在当下，可携权在特殊情况下仍有生存的空间。在某些数据流转严格监管的行业，比如金融及医疗健康等，由于立法滞后禁止不具备相应资质机构处理行业数据，确实存在无法实现数据安全流转，发挥数据价值的困局。在这种特殊时期，实际上机构或企业对于可携权并不抵触，企业与个人信息主体之间从数据角度不存在利益矛盾，从数据有序流转的目标出发，甚至有动力促使个人信息主体行使可携权来打破数据孤岛。因此是否有条件的设置可携权能够达到多主体利益平衡并且保障个人信息安全，可能仍然是具有现实意义的讨论。

九、如何看待个人信息违法的高额处罚？

秉持着我国立法体系特色，草案第七章以专章的形式规定了个人信息违法行为应负的“法律责任”。草案第六十二条用两款规定了违反本法规定处理个人信息或者未采取必要的安全保障措施的行政监管责任，其中备受关注的是草案在《网安法》的基础之上大幅度提高了处罚力度，并与GDPR采取了相似的处罚方式，以最高罚金限额以及年度营业额百分比（5%）作为处罚限额。针对时下个人信息监管的严峻形势，草案为监管部门实施个人信息违法处罚提供了强有力的法律支撑。

英美普通法系下经典的“效率违约”[39]理论一定程度上或可解释提高处罚额度的合理性，个人信息处理者在考量包括罚款在内的违法成本与经济收益对比后，如若认为放弃合规努力时仍然有利可图乃至收益结构优化，监管处罚必然仅停留在法律文本之中。然而，监管处罚的目标不仅停留在处罚本身，评估处罚机制的指标之一便是其是否能帮助纠正个人信息违法。根据欧盟委员会此前就GDPR实施两周年的评估报告[40]来看，通过使用监管工具，在2018年5月25日至2019年11月30日期间，22个欧盟/欧洲经济区的DPA共开出约785张罚单。从数量上看，行政处罚并不占少数，但从效果上来说，NGO组织Access Now指出，与各DPA收到的投诉量相比，罚款次数仍然很少，这意味着“大量的投诉没有得到解决”。[41]

草案通过立法提高处罚额度实乃应时、应势而为，但与此同时，考虑将违法主体以是否主要依靠个人信息处理获得经济利润为标准予以界分进而来评估具体监管处罚的实施；在多场景下配合运用“吊销执照”、“停止个人信息处理”等其他处罚工具，也可能成为未来进一步细化罚则的可能方向。

总结与展望

草案作为我国个人信息保护专门立法，立足国内信息领域具体实践、充分借鉴域外立法经验，回应了时下的产业与法律实践的热点难点，一定程度上揭示了今后的立法与执法趋势，例如严格规范授权同意形式、以数据本地化为视角监管数据跨境传输、提升违法行为的处罚力度等。这些规定在与国际个人信息保护规则标准对接、与网安法、民法典等相关法律规范做好衔接与细化工作的同时，也为日后配套法规的颁行预留了通道，彰显了立足国情的务实态度，为国际个人信息保护立法贡献了中国方案。尤为可贵的是，草案站在促进数字经济健康发展的战略高度，以将个人信息保护思路从网络为中心进一步丰富为以数据为中心，并兼顾经济生活的复杂性，为我国将数据作为新生产要素的数字社会转型夯实基础。我们有理由期待，经充分讨论、完善与打磨后的个人信息保护法，将平衡好个人信息权益保护与有序自由流动的辩证关系，规范个人信息处理活动、保障广大人民个人信息权益、激发数字产业活力，在数据主权激烈竞争的国际环境下为我国数字经济发展带来新机遇。

脚注：

[1] 何波：《试论个人信息概念之界定》，载《信息通信技术与政策》，2018年第6期。

[2] 胡延平：《MDPG：为中国数据保护方案提供一种新可能》，https://www.secrss.com/articles/11899，最后访问日期：2020年10月23日。

[3] Nadezhda Purtova: The law of everything. Broad concept of personal data and future of EU data protection law，https://www.tandfonline.com/doi/full/10.1080/17579961.2018.1452176，最后访问日期：2020年10月23日。

[4] 程德理，赵丽丽：《个人信息保护中的“识别”要素研究》，载《河北法学》2020年第9期。

[5] WP29: Opinion 4/2007 on the concept of personal data, https://www.clinicalstudydatarequest.com/Documents/Privacy-European-guidance.pdf，最后访问日期：2020年10月23日。

[6] 例如：在Patrick Breyer一案中，欧盟法院将不可直接识别到个人的动态IP地址作为个人数据加以保护，直接扩大了个人信息的定义范围。See Patrick Breyer v. Federal Republic of Germany, http://curia.europa.eu/juris/document/document.jsf?docid=184668&doclang=EN，最后访问日期：2020年10月23日。

[7] 刘洪岩, 唐林：《基于“可识别性”风险的个人信息法律分类——以欧美个人信息立法比较为视角》，载《上海政法学院学报(法治论丛)》2020年第5期。

[8] Paul M.Schwartz, Daniel J.Solove. The PII Problem: Privacy and a New Concept of Personality Identifiable Information. New York University Law Reviews, 2011(86).

[9] Berkeley law: PII 2.0 law.berkeley.edu/article/pii-2-0/ ，最后访问日期：2020年10月23日。

[10] Shakila Bu-Pasha. Cross-border issues under EU data protection law with regards to personal data protection, https://www.tandfonline.com/doi/full/10.1080/13600834.2017.1330740, 最后访问日期：2020年10月23日。

[11] 摘录自王锡锌教授在腾讯研究院午餐会《数据主权的博弈：长臂管辖原则的起源与扩张》主题下的发言，https://mp.weixin.qq.com/s/NU1xaTZDdAwcxGZARU8r9g , 最后访问日期：2020年10月23日。

[12] 王融，朱军彪（腾讯研究院）：《GDPR 2周年，来自欧盟内部的反思与启示》，https://mp.weixin.qq.com/s/Iw1J0lYQOa5Kl8fszvqkgw，最后访问日期：2020年10月23日。

[13] 新华网：《要么“裸奔”要么“弃用”？隐私保护的“中国方案”该如何完善》，http://www.xinhuanet.com/legal/2019-07/16/c_1124757320.htm，最后访问日期：2020年10月23日。

[14] Guidelines 3/2018 on the territorial scope of the GDPR (Article 3) – version adopted after public consultation

[15] 高富平：《个人信息使用的合法性基础——数据上利益分析视角》，载《比较法研究》2019年第2期。

[16] 高富平：《个人信息保护：从个人控制到社会控制》，载《法学研究》2018年第3期。

[17] 国家发展和改革委员会等：《关于支持新业态新模式健康发展激活消费市场带动扩大就业的意见》，发改高技〔2020〕1157号

[18] 见黄某与被告腾讯科技（深圳）有限公司广州分公司、腾讯科技（北京）有限公司隐私权、个人信息权益网络侵权责任纠纷一审民事判决书，（2019）京0491民初16142号。本案中，北京互联网法院认为，普通用户无法对造成侵权的微信和微信读书的运营者腾讯计算机公司产生相对于腾讯北京公司、腾讯深圳公司的清晰认识，因此判决前述三被告公司共同承担连带责任。

[19] 《民法典》第一千一百九十五条规定，网络用户利用网络服务侵权时，网络服务提供者在接到通知后仅在未及时采取必要措施时对损害扩大的范围承担连带责任；一千一百九十七条规定，网络服务提供者知道或应当知道网络用户利用其网络服务侵权，未采取必要措施的，与该网络用户承担连带责任。

[20] 虽然不少观点认为该条应理解为连带责任，但欧盟《数据保护指令》设立的个人数据处理保护工作小组（Working Party on the Protection of Individuals with regard to the Processing of Personal Data）在2010年的“关于控制者和处理者概念”第1/2020号意见书对共同控制者的连带责任问题进行了深入讨论，且提出了不同观点。工作小组指出，共同控制不一定意味着连带责任（joint and several liability），仅当共同控制者没有约定或从现实情况无法得出其他同样清晰、有效的归责方式时，连带责任才应成为默认规则。对于工作小组的深入探讨和建议，GDPR并没有明确纳入连带责任的表述，可见其对于第26条是否构成连带责任留了一定的解释空间。详见WP169, Opinion 1/2010 on the concepts of “controller” and “processor”。此外，2018年的Wirtschaftsakademie Schleswig-Holstein (C‑210/16)案判决中，欧盟法院指出，GDPR前身《数据保护指令》中“共同控制者”的“共同责任”不意味着平等责任，应当结合具体案件的所有相关情况评估每个控制者的责任大小，一定程度上为GDPR是否设立了连带责任的开放问题提供了否定性论述的参考。

[21] See Katz v. United States, 389 U.S. 347 (1967).

[22] Helen Nissenbaum,” Privacy as Contextual Integrity”, Washington Law Review,2004,79(01).

[23] 丁晓东：《论个人信息法律保护的思想渊源与基本伦理——基于“公平信息实践”的分析》，载《现代法学》2019年第3期。

[24] 新华网：《人脸识别第一案：用法律拦住“伸得太长的手”》，http://www.xinhuanet.com/tech/2019-11/08/c_1125206288.htm，最后访问日期：2020年10月23日。

[25] 互联网新技术新业务安全评估中心：近期美国网络安全政策动向及对我国的启示，https://www.secrss.com/articles/10782, 最后访问日期：2020年10月24日。

[26] 许晔：美国《国家网络战略》对我国的防范遏制与对策建议，http://www.casted.org.cn/channel/newsinfo/7656, 最后访问日期：2020年10月24日。

[27] 参见：https://view.inews.qq.com/a/20201013A04HBS00, 最后访问日期：2020年10月24日。

[28] 参见：https://mp.weixin.qq.com/s/odxcaU73cAqtprQ8bMI1uA, 最后访问日期：2020年10月24日。

[29] 高富平，余超：《欧盟数据可携权评析》，载《大数据》2016年第4期。

[30] Swire P, Lagos Y. Why the Right to data protability likely reduce consumer welfare: antitrust and privacy critique. Maryland Law Review, 2013(2).

[31] 张哲：《探微与启示:欧盟个人数据保护法上的数据可携权研究》，载《广西政法管理干部学院学报》2016年第6期。

[32] 杨芳：《个人信息自决权理论及其检讨——兼论个人信息保护法之保护客体》，载《比较法研究》2015年第6期。

[33] 彭礼堂，饶传平：《网络隐私权的属性:从传统人格权到资讯自决权》，载《法学评论》2006年第1期。

[34] 互联网企业对其用户数据进行加工创造后的衍生数据产品享有一定的“财产性利益”，已被我国司法实践所采纳，具体参见：淘宝（中国）软件有限公司诉安徽美景信息科技有限公司不正当竞争案，(2017)浙8601民初4034号。该案杭州铁路运输法院判决认为，在无法律规定或合同特别约定的情况下，网络用户对于用户信息无财产权益；网络运营者对于原始数据应受制于网络用户对信息的控制，只享有有限使用权；网络运营者对于其开发的数据产品，享有独立的财产权益。

[35] 付新华：《数据可携的双重路径探析——以个人数据保护法与竞争法为核》，载《河南大学学报(社会科学版)》2019年第5期。

[36] 崔俊杰：《数据可携：让流动的数据成为企业竞争的鲇鱼》，https://www.sohu.com/a/399479298_260616, 最后访问日期：2020年10月24日。

[37] 谢琳，曾俊森：《数据可携权之审视》，载《电子知识产权》2019年第1期。

[38] Gabriela Zanfir, The right to Data portability in the context of the EU data protection reform.International Data Privacy Law, 22012,2(03).

[39] 霍政欣：《效率违约的比较法研究》，载《比较法研究》2011年第1期

[40] See Data protection as a pillar of citizens’ empowerment and the EU’s approach to the digital transition – two years of application of the General Data Protection Regulation, https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:52020DC0264&from=EN, 最后访问日期：2020年10月24日。

[41] 蒋琳：《首份GDPR评估审查报告：实施两年，欧盟的数据保护变好了吗？》https://mp.weixin.qq.com/s/p4s9G-7QISglgy0NfFt0Iw，最后访问日期：2020年10月24日。