本文作者:李汶龍博士
李汶龍,
英國愛丁堡大學科技法博士,講師,博士論文專攻歐盟資料保護法 (GDPR)。目前在伯明翰大學法學院與資訊學院擔任博士後研究員。曾任英國SCRIPTed學術期刊編輯、牛津普萊斯傳媒法模擬法庭教練、微思客WeThinker編輯及聯合創始人。國內曾就職於騰訊研究院、中國政法大學傳媒法研究中心。
一個好的規範體系需要縝密、準確和有彈性的法律概念。
歐盟在近幾十年來很注重法律概念的形成,這一點應該有德國傳統的影響。立法文字之外,很多判例的核心爭點也多在概念的範圍和彈性上。
草案很難說有什麼概念創新,當然審查的部分不在討論範圍之內。唯一的創新還是一個民法典帶來的毒瘤:第28條關於已經公開的個人資訊在沒有法律基礎的情況下處理個人資訊,甚至可以完全忽略第13條的規定。這個第三人理論的不當使用可追溯自民法典,我之前的評論曾有提及。當然,GDPR第9(2)(e)條也有類似的規定,但考慮概念的彈性和語境,二者的範圍和影響不可相提並論。
草案中的核心概念基本概念基本都來自GDPR。有些文字的處理讓我有種學生翻譯作品的感覺。或許為了避免痕跡很重,很多條文縝密規則化為原則,原則化為概念,概念乾脆就扔掉不講。如果將GDPR視為一本詳盡的書籍,那麼中國的GDPR可能連一個大綱都算不上。關於這套化繁為簡的邏輯的影響,我在上篇關於制度的借鑑和取捨的文章中已有所涉及。這篇文章僅關注概念,相當於是上篇的衍生品。因為草案中的概念問題實在太多,很多核心概念牽涉多個機制,很難放在制度框架下來說。
當翻譯質量太差已經影響到規範意義
草案中有些概念的翻譯痕跡很重,重到會影響概念本身的準確性,因此也就會對規則施行的效果帶來影響。比如說,第六條的初衷應當是設立目的限制原則(purpose limitation),但是條文字身的描述——“處理個人資訊應當限於實現處理目的的最小範圍,不得進行與處理目的無關的個人資訊處理”——實在令人失望。該條前半段存在一個如何用中文轉述data minimisation這個概念的問題,而後半段的“個人資訊處理”有存在歧義。GDPR對於為個人所用的資料處理是存在適用例外的,而草案的表述不禁讓人覺得引入了更多的混亂。
我們需要的是資料保護的特殊概念還是民法概念?
近來感覺國內討論最多的概念無疑就是資料控制者。這也很好理解,這個概念對於“誰需要合規,誰不需要”至關重要,企業也就自然很在意。我還沒有仔細去看歐盟關於這個概念的立法歷史,但是感覺之所以歐盟選擇形成“控制者”、“處理者”和“共同處理者”的關聯概念組,很重要的原因是一個概念無法有效釐清資料產業複雜的(法律)關係。單純將所有參與者一視同仁並非是最佳方案,且是對這一複雜關係網路的不當簡化。草案本質上並沒有選擇忽略,而是另設了“第三人”概念,其背後的原理令人費解。我希望未來能聽到不單純是概念偏好的一種解釋。粗略來看,這倒是跟立法者化繁為簡、化細為粗的策略相契合。既然無力創設資料保護語境中的特殊概念,那麼就一路往上追溯,追溯到寬泛不能再寬泛的民法語境。
無法用一個概念解釋清楚的就不要強行定義
有人在讚揚敏感資訊的定義,認為它有助於我們解決演算法歧視的問題。草案將“敏感資訊”定義為“使人受到歧視或者人身財產安全受到嚴重危害的個人資訊”。提出“敏感”與“不敏感”的二分是為了對一部分資料予以特別保護,這些資料的確可能造成歧視性的影響。但隨之而來的一個問題是,不產生歧視性效果的資料就不“敏感”了嗎?就不需要提供特殊保護了嗎?演算法歧視是一個我們應該關注的重要面向,但是自動化決策對於人類(社會)的影響絕不僅限於此。自二戰以來人類社會關於需要保護的核心價值所形成的共識(也就是人權)很多都在數字時代受到了嚴重的威脅。這些價值也大多被吸納在了我國憲法第二章當中(隱私除外)。很遺憾,由於沒有憲法或人權語境的澤及,很多關於演算法多維度影響的討論幾乎沒有被開啟。“敏感資訊”概念中還提到了人身財產安全。考慮到“安全”這個概念在中國網路法中已經無所不包,我想不到有什麼資訊跟安全無關因而不是“敏感資訊”。所謂“嚴重危害”又要如何界定?
讓我來如何理解你,奇葩的概念?
草案中有些概念無法被納入到翻譯質量太差的範疇。恰恰相反,這些奇葩概念反映了立法者尋求創新的努力。在評論民法典人格權章節的時候,我曾提到同意概念的複雜性和多維度。草案一定程度上解決了這個問題,內容基本與GDPR的內容類似。但是,有些概念卻找不到GDPR原文字的出處。比如說,草案文字多次出現了“單獨同意”以及“重新取得同意”的概念。從語境來看,單獨同意相較於“一般同意”似乎要求更為嚴格,因為出現的語境都是敏感資料保護、跨境資料流動等等。但是,如何理解一個同意行為是否是單獨或者不單獨做出的呢?以及何時需要“重新取得同意”呢?對比歐盟法院的案例法,所謂“單獨同意”或許可能出自Planet49中歐盟法官關於“separate consent”的論述。但是從其位置和功能來看,所謂”單獨“同意本質上要表達的是”(更)明確“同意(explicit consent)。草案對需要“重新取得同意”的情形表述十分寬泛,凡是目的、處理方式、資訊種類任一發生變化都需要重新取得同意。然而,資料處理的潛能就在於不斷概念目的和角度、使用不同處理方法、融合不同資料。所謂“重新獲得同意“的說法無疑會對企業增加很多負擔;然而合規相對容易,負擔最終還是會落在消費者頭上。或許GDPR的同意概念中關於”具體性“ (specific consent) 的要求與此對應,且能提供更多的概念彈性。
其他的概念問題
上一篇文章曾提到,草案第13條中缺乏一個足夠寬泛的“公共利益“的資料處理基礎。第(五)款提及”實施新聞報道、輿論監督“有可能會排除掉其他的公共利益情形。實際上,草案第10條也提到了公共利益,但僅僅反向排除掉”危害公共利益“的個人資訊處理, 而沒有考慮到有些資料處理目的旨在促進公共利益。這一條理應併入第13條,實現“法不同意即禁止”的格局就解決了上述所有問題。
其次,草案將“monitoring“、”tracking”、“targeting”委婉表述為“分析、評估”。或許是因為直譯過於敏感,草案選擇了相對中立且語義相近的概念。但一個實際問題是是否任何“分析“行為和”評估“行為都落入到個人資訊保護法的範圍之內?很顯然這個語境需要被限縮,而最終立法者或者司法者還是繞不過對於監控、追蹤和定位的表述。
還有一些表述上沒有問題,但亟待澄清、解釋、明確、細化的概念。明確吸納這些概念本身是一件好事,但是如果沒有能夠落實這些概念的制度,那麼個人資訊保護就永遠只是在課本上出現。這些概念包括“透明度“、”公平合理“、”重大影響“、”嚴重損害“、”不針對個人“等等。有些概念語義上問題不大,但是因為嚴重脫離了數字語境,也會產生歧義。最顯著例子的莫過於在“被遺忘權”條文下使用類似於政府資訊公開的概念,諸如“查閱”、“複製”等等。
“Lost in Translation” 這個習語原意是指表達在語言轉化和翻譯過程中勢必會存在語義丟失或者詞不達意的情況。個人資訊保護法的出臺就是一個翻譯的過程,語義丟失在“借鑑”過程中也在所難免。但在這篇文章中,Lost in Translation還有第二層含義,那就是為了避免看起來抄襲嚴重,立法者想在某些概念上標新立異,卻隨之引來了很多的規範難題。
立法者這次沒有丟失原義,卻丟失在自己創設的概念迷宮當中。