2020年12月22日，在“2020啄木鸟数据治理论坛”上，中国社会科学院法学研究所副所长，中国社会科学院教授、CIDEG学术委员周汉华做题为“《个人信息保护法》与中国式立法智慧”的演讲。

模糊性与中国式智慧

“法律、行政法规另有规定的除外”、“有关主管部门”这样的表述在我国的法律法规中较为常见。在今年10月刚刚面世的《个人信息保护法（草案）》（下称“草案”）中，有四条规定提到“法律、行政法规另有规定的除外”。比如草案第三十条规定，国家机关不得公开或者向他人提供其处理的个人信息，法律、行政法规另有规定或者取得个人同意的除外。

“中国的立法体制是多元立法”，周汉华解释道，“我国有近300部法律，600多部行政法规，8000多部地方性法规。如果都要列举，难度比较大，而且容易遗漏，所以只能写‘法律、行政法规另有规定的除外’”。

在草案出台前，很多业内专家常年呼吁设立独立的个人信息保护机构。目前，在个人信息保护领域，我国的行政执法呈现一种“九龙治水”的分散执法体制。网信、市场监管、工信、公安以及教育、医疗、卫生、金融等相关领域的管理部门都负有相应的管理责任。“如果要写清楚的话，这个草案可能就变不成法律了。”他说，现在虽然写得模糊一点，但在中国这个问题是可以解决的。“法律实施之后，如果不清楚，那就层层请示。比如司法部还解决不了，那就让全国人大常委会来释法或者人大法工委进行工作层面上的解释。”模糊即意味着有一定的伸缩性，有灰度决策的空间。周汉华将其总结为中国式立法智慧的特点之一。

周汉华认为，这样立法的好处在于，能解决法律制定过程中各方争论不休、无法落地的问题，而且还能通过事后机制进行弥补，并且带有很强的解决特定问题的立法原则。

不确定性与法治价值

草案第五十三条规定个人信息处理者要定期对其个人信息处理活动进行审计，可以自己审计，也可以由履行职责的部门要求其委托专业机构审计。草案第五十四条提出，个人信息处理者要对高风险的个人信息处理活动进行事前风险评估。对于这两条条文，有立法标杆地位的欧盟《通用数据保护条例》（GDPR）并没有类似规定。

关于这是否会加重企业的负担？周汉华表示，上述两条规定所体现的其实是一种合作式监管，而且有创新精神。他认为，和此前出台的网络安全法一致，草案中并没有增设任何行政监督检查的权力。“里面隐藏的意思是要解决实际执法中检查过多、重复检查的问题，其实是在给市场主体减轻负担”，他说。

结合具体案例，周汉华还将中国式立法智慧的特点概括为广泛性、实践性和渐进性。在设立统一独立的个人信息保护执法机构的问题上，他解释道，草案的出台不是要“毕其功于一役”，既然已经写上有关主管部门，“一步解决不了”，可以一步一步来解决。在解读完内在合理性之后，周汉华也谈到了中国式立法智慧存在的问题。“不确定性是问题之一”，他表示，在各项制度规则演化落实的过程中，相关主体还是“要打很多架”。“有些市场主体可能就要被反复揉搓，它已经打不下去了。虽然最后问题解决了，但对有些主体来说可能已经太晚了。”周汉华说。

另外，执法当中的不平等和法律程序空转也可能存在。他举例道，比如新来的外资企业，它并不理解这套规则，就可能撞得头破血流。

在演讲的最后，周汉华提出解决方案。首先，法治一定是规则之治，它的最底线要求就是规则必须明确，规则必须是一般适用的，规则不溯及既往，规则是可以执行的。其次，所有人要得到平等的保护。制定的规则可以严格，但是规则所体现的价值不能变，这个价值就是法律中的各种基本原则。