《个人信息保护法（草案）》（以下简称《草案》）有很多亮点，其中之一就是坚持立足国情与借鉴国际经验相结合。《草案》既从我国实际出发，坚持问题导向，将实践中行之有效的做法和措施上升为法律规范，聚焦现实中的突出问题，又充分借鉴国际组织和相关国家、地区的有益做法，体现了立法的前瞻性和完整性，系统构建起我国个人信息保护法律制度。

自20 世纪60 年代末开始，信息化、全球化加快发展，相互促进，深刻改变了人类经济社会生活。由于计算机和信息系统的采用，欧洲与美国最早关注到个人信息使用与滥用的问题，认识到需要确保某些记录的保密性和安全性。在此基础上，各国逐步形成“公平信息实践”，并出台了针对个人信息自动处理的第一批法律。尽管各国个人信息保护法各不相同，并且国际上一直存在所谓的欧盟模式与美国模式之分。但是，从基本规律看，由于信息技术的通用性，网络泛在互联的跨界性，全球化所要求的国际规则一致性以及个人信息保护面临问题的普遍性等，都导致各国个人信息保护法律规则的共性远远大于其相互差异。应该承认，欧盟1995 年制定的《数据保护指令》和2016 年制定的《通用数据保护条例》（GDPR）所确立的基本框架，已经对各国立法都产生了直接影响。

自2009 年《刑法修正案（七）》将非法提供、非法获取公民个人信息罪纳入刑法以来，我国开启了高位阶保护个人信息的立法进程，《消费者权益保护法》《网络安全法》《电子商务法》《民法典》等均对个人信息保护问题予以重视和规范，为制定《草案》积累了经验。然而，上述立法的一个普遍缺陷是不系统、不成体系，基本概念不明确，一些重要的制度缺位，甚至相互之间脱节，导致法律实施的效果受到影响。

《草案》在基本框架、立法目的、适用范围、核心概念、基本原则、具体制度等方面，充分借鉴国际经验，构造了以“告知—同意”为核心的个人信息处理规则，首次在我国确立了一整套系统的个人信息保护法律制度，弥补了以前立法的缺陷。《草案》确立的整个规则体系应该说与国际立法是同步的，体现了国际视野，既有利于解决随意收集、违法获取、过度使用、非法买卖个人信息等现实问题，也有利于推动数字经济持续健康发展。

当前，唯独信息领域缺乏国际通行的规则和有效的执行机制，各种力量正在纵横捭阖，推动形成国际数据治理体系，机会稍纵即逝。《草案》没有陷入《民法典》人格权编制定过程中争论不休的诸如个人信息究竟是权利还是权益，个人信息权是财产权还是人身权，个人信息权是一般人格权还是具体人格权等理论与实务都难有定论的问题，而是直接从国际经验切入设计相关制度，起点高、视野开阔、思路清晰、规则明确，为我国参与国际对话和国际数据治理规则制定奠定了坚实的基础。

从我国实际出发，坚持问题导向，处理好与有关法律的关系，一直是我国立法的成功经验，这在《草案》中也得到充分的体现。比如，为避免简单采用行政审批方式维护安全的传统做法，《草案》贯彻中央简政放权精神与严格控制行政许可项目的要求，借鉴《网络安全法》《电子商务法》等信息网络专项立法的经验，没有新设任何行政许可（包括登记）。这一点上，《草案》不同于很多国家个人信息保护法律的规定，特点突出，有利于推动个人信息保护管理方式创新，实现双赢、多赢。与此相似，针对数字经济与个人信息保护执法的特点，《草案》没有按照惯常立法设置“监督检查”专章，而是将监督管理措施放在“履行个人信息保护职责的部门”一章中，突出了个人信息行政保护的特点，体现了尽量防止其他领域常见的监督检查措施随意、武断甚至牟利的立法考虑。

再如，对于《网络安全法》《数据安全法（草案）》等已经确立的网络和数据安全监管相关制度措施，《草案》都没有再作规定，避免了立法的重复和可能的冲突。对于敏感个人信息的种类，《草案》在总结我国个人信息保护司法实践的基础上，列举了大部分国家都没有列举的金融账户、个人行踪等类别，有利于解决实践中突出的现实问题。对于跨境信息提供，《草案》在《网络安全法》的基础上，根据国内外形势确立了个人信息境内存储制度，明确了跨境提供要求，并为采取对等限制措施提供了明确的依据。

如何通过设计有效的激励相容机制调动信息处理者的积极性，提高个人信息保护的实效，实现保护与利用的统一，避免命令控制式管理方式带来的各种负面影响，一直是各国关注的重点，《草案》在这方面也进行了有益的探索。针对我国信息安全管理实践中存在的重复检测、认证等痼疾，《草案》第53 条、54条分别设计了特色鲜明的合规审计与风险评估制度，不同于很多国家的法律规定。这些制度设计既避免了采用检测、认证等传统手段可能带来的负作用，调动了信息处理者自我合规审计、自主风险评估的积极性，又保留了特定情形下管理部门要求委托专业机构进行合规审计，并通过明确界定风险评估的范围和标准，实现以自律为主、自律与他律相结合的管理方式创新。如果相关制度能够顺利实施，有望走出传统管理方式中常见的“一抓就死、一放就乱”的两难格局。

诸如管理体制、法律适用例外、行政处罚主体等，在国外立法中往往必须写得非常明确，以体现法律的明确性、可预期性。比如，日本等国家的个人信息保护法对于哪些法律另有规定除外，都进行了明确的列举，以处理好个人信息保护法与相关法律的关系。对于个人信息保护的执法体制，各国普遍通过立法确立统一、独立、权威的专门执法机构，以解决管办不分、运动员与裁判员不分、执法权过于分散等问题。我国政府机关的职能配置由三定方案确定，立法通常不涉及机构、编制、职能（俗称的立法“三不主义”）；我国多元立法主体背景之下，法律、行政法规之间的关系较为复杂，明确列举适用例外难免会挂一漏万，并因此导致横向与纵向行政处罚权的配置缺乏刚性规则，需要在实践中逐步明确。上述几个方面，如果简单照搬国外的经验，立法进程很有可能因为在任何一个具体问题上无法达成共识而陷入停滞，或者即使勉强规定下来，在实施中也无法落实。

针对上述这些难点，《草案》发挥中国式立法智慧，进行了符合我国国情的处理。在管理体制方面，确立了类似于《网络安全法》的管理体制，“国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作”，“国务院有关部门，在各自职责范围内负责个人信息保护和监督管理工作”。在法律适用例外方面，多处均通过概括方式规定“法律、行政法规另有规定的除外”。在行政处罚权的主体方面，继续沿用其他法律常用的“有关主管部门”表述。由于我国独有的政治优势，这些相对原则、概括的规定，进入到法律实施环节以后，可以根据不同的适用场景，通过法律修改、法律解释、制定实施细则、制定司法解释、法院选择适用等方式，逐步明确、充实其内容。也就是说，在我国的法律制度下，这些立法难点最终是可以找到解决方法的。

可见，对于一时难以形成共识或者找到答案的问题，立法阶段写得更为原则一些，将相关问题留给执法环节，待问题充分暴露以后再通过相应的机制解决，既是现阶段我国国情的反映，也是中国式立法智慧的体现，蕴含着“灰度决策”的思想，与我国渐进性改革的基本经验一脉相承。当然，法律写得太原则，从守法者的角度来看，可能产生是否足够明确、可预期的担心。比如，按照《草案》第62 条第2 款的处罚标准（营业额5% 以下罚款），处罚额度能够达到十亿甚至百亿级别，然而，该条规定的主体是“履行个人信息保护职责的部门”，既没有明确具体的部门，也没有明确级别管辖与地域管辖，好像任何一个县级管理部门都有可能成为处罚主体，这对于企业来说当然构成重大的营商环境法律风险。再如，《草案》第53、54 条设计的自我合规审计、自主风险评估制度出发点是好的，但是，在对行政权力行使缺乏明确的程序、标准与制约机制的情况下，如果管理部门对信息处理者施加不合理的要求，就有可能使自律为主的立法思路无法落地，并导致企业合规成本与违规风险大幅上升，成为新的营商环境风险点。从过去的经验看，我们的一些法律最初写得都很好，但因为各种原因，实施中无法落实或者变异的例子并不少，对此，也要有充分的认识。

同样，对于借鉴国际经验，也要保持清醒的认识。我们可以借鉴具体的立法经验，但法律规则运作的制度环境不可能全盘借鉴。在制度环境存在很大差异的背景下，如何使国际经验顺利落地，会是一个很大的挑战。改革开放以来，我们很多法律都借鉴了国际经验，但因为配套制度不具备而使不少规定无法落地，只能停留在纸面上。对于《草案》来说，因为涉及面广，利益关系复杂，技术进步速度快，需要平衡的价值多，存在大量的争议，很多规定可能无法完全落实。这就要求我们在借鉴国际经验的时候要有更为宏大的视野和更为全面的认识，不能简单采用拿来主义，或者头痛医头脚痛医脚。

当前，在全面依法治国进入新阶段，加速打造市场化、法治化国际化营商环境提出新要求的形势下，如何提高个人信息保护制度的明确性与可预期性，提高《草案》的立法质量与可执行性，使中国式立法智慧与国际经验更好结合，是值得研究的重大课题。首先，法律贵在实施，要从能否有效实施来判断具体制度设计的合理性。对《草案》的内容，不论是借鉴国际经验还是立足国情设计的制度，都要从是否能够有效实施来进行评价，在立法阶段就对实施问题给予充分的考虑，这样才能进一步提高立法质量，为未来法律的实施奠定坚实的基础。其次，《草案》应该更加符合立法的规律与基本要求，如法律必须明确、不溯及既往、一般适用（一般性），公开（公布）、不矛盾、稳定性、可人为遵守等。只有实现这些法治的基本要求，才能最大程度消除守法者对《草案》存在的不确定性、可预期不够、实施走形等担心，助推中国式立法智慧转型与升级。为此，《草案》中能够明确的地方应该尽量明确，减少不确定性。

如果大家都做“二传手”，无人做“铁榔头”，难题后移，立法阶段无法解决的问题转入到修法、制定实施细则阶段仍然可能会无法解决，并导致整个立法修法过程不断循环与空转。彭真同志很早就指出，“立法是在矛盾的焦点上砍一刀”，这揭示了立法工作本质要求，这也完全适用于《草案》的进一步讨论与完善。最后，要使《草案》符合法治的基本要求，就必须借助立法推进个人信息保护相关制度的系统改革，使立法决策与改革决策同步，实现个人信息保护制度的系统构造与整体跃升。

作者：周汉华，中国社会科学院法学研究所副所长、研究员。

来源：《探索与争鸣》2020年第11期。