前言
对于法律工作者而言,阅读、熟悉、学习新的法律法规、规范性文件、监管准则是再常见不过的了,不论是提供一般商事、合同法律服务涉及的《民法典》《担保制度解释》,还是从事特定行业、领域涉及的保险、银行、医药法律服务,法律法规的迭代与推陈出新,是可以预见但不能避免的一个问题,那么,如何快速、便捷地熟悉新出台的法律法规,可能是对法律实务工作者有吸引力的一个话题,本文以《个人信息保护法》为例,简单介绍一下熟悉法律法规的快捷方式。
一、总体、框架、体系
看书先看目录,是一个好习惯。先看目录,可以大概了解整本书的体例、内容、章节,确定内容是否符合阅读的需要;先看目录,可以大致推断作者的逻辑、文章的层次重点、详略的安排,确定作者的写作水准;先看目录,既可以避免“上当受骗”买到“包装精美”、“排名前列”、“大家推荐”但却不合适、没营养的书,也可以避免书“越读越慢”、“越读越沉”,最后由“读书”转为“藏书”的问题。
阅读、熟悉法律法规也是一样。
从大量的法律法规起草以及公司规章制度起草的实践来看,法律、制度文件一般由“总分附”三个大的部分构成,也即“总则-分则-附则”。总则,一般是对法律法规概括性的论述,涉及立法宗旨与依据、目的意义、适用范围、基本原则、核心定义等内容,具有一般性、普遍性的特征;分则,则是根据法律法规所要规范的具体事项、情况,分别地、有针对性的作出明确规定,具有特殊性的特点;附则,是附在法律法规后面的补充规则,往往在法律法规的整体中作为总则和分则辅助性内容而存在的一个组成部分,一些具体概念的释明,法律法规废止情况的描述等内容也常在附则中体现,具有补充性和释明性。
其实,读目录,具体到一个法律法规而言,就是先读总体、框架、体系。以《个人信息保护法》为例,梳理如下:
阅读法律法规具体条文之前,首先形成如是框架,在开始阅读具体条款之时,可以高效的定位条款在整个法规中所处的位置,上下文的关系,便于对具体法条理解时,适时采取体系解释、目的解释等法学方法论。
二、具体、要点、核心
同时,从分则部分具体的章节标题也可以事先了解法律法规的规范要点,以《个人信息保护法》为例,“个人信息的处理规则”、“个人在个人信息处理活动的权利”、“个人信息处理者的义务”,都是熟悉本法需要特别关注的内容,毕竟规则、权利、义务,是天然的“敏感词”,这是明确法律法规具体、要点、核心第一个方法,“关键词”或“敏感词”定位法。
此外,如果对于拟阅读的法律法规已经有了一定了解,比如系某一法规的修订版本,或者是某一熟悉领域的新法新规,则可以从在先立法的侧重、业务开展的流程、新法旧法的变更等角度,发现和识别需要着重关注的章节条款。
最后,明确整部法律法规要点,还有一个比较简单的方法,就是看条款分部或者法条侧重,以《个人信息保护法》为例,梳理如下:
第一章 总 则 <1—12条>
第二章 个人信息处理规则<13—37条>
第一节 一般规定<13—27条>
第二节 敏感个人信息的处理规则<28—32条>
第三节 国家机关处理个人信息的特别规定<33—37条>
第三章 个人信息跨境提供的规则<38—43条>
第四章 个人在个人信息处理活动中的权利<44—50条>
第五章 个人信息处理者的义务<51—59条>
第六章 履行个人信息保护职责的部门<60—65条>
第七章 法律责任<66—71条>
第八章 附 则<72—74条>
在明确了法律法规中具体、要点、核心内容之后,阅读时就可以更具有侧重点了,毕竟“履行个人信息保护职责的部门”、“法律责任”、“附则”一般是可以略读或者浏览即可的。
三、熟悉、对比、理解
熟悉、对比、理解是指在具体到某一法条的阅读时,可以采取的方法。本文以《个人信息保护法》为例,举例如下:
示例:【个人信息与个人信息处理】
第四条 个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
仅从本条出发,阅读时可能产生如下几个问题,
一是什么是个人信息;
二是什么是处理。
仅就《个人信息保护法》而言,采用的是“已识别或者可识别”的表述,从层次上看,是两个层次,1)“已经识别”的以及2)“可以识别的”。
从《民法典》第1034条来看,“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等”。《民法典》系采用“识别”的表述,实质上类似于《个人信息保护法》中1)“已经识别”的范畴,仅就个人信息范围来对比,《个人信息保护法》所认定的范围,或者界定范围的方式手段,是比《民法典》更为宽泛的。
类似地,与《信息安全技术 个人信息安全规范》3.1个人信息的定义对比,也可以看出,《个人信息保护法》对个人信息的定义外延更为广泛。
除此之外,还需要关注的是后半句的“不包括匿名化处理后的信息”。从行业一般理解来看,常用的个人信息“清洗”方式,主要包括去标识化、匿名化,《个人信息保护法》将匿名化后的信息明确排除在个人信息的范围之外,那么可能会引起如下思考:
“去标识化”后的信息,还是个人信息吗?
“去标识化”与“匿名化”的区别是什么?
“去标识化”和“匿名化”是否有程度上的差别?
这样对比、延伸的去阅读和理解,法律法规可以越读越厚,印象也越来越深。
再如,关于“处理”,不同的法律法规、规范文件也有不同的表述,也是一个值得关注的问题,到底哪些行为属于处理呢?常见的处理行为又有哪些呢?
比如《数据安全法》第三条 数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。
再如《个人金融信息保护技术规范》第4.3条 个人金融信息生命周期指对个人金融信息进行收集、传输、存储、使用、删除、销毁等处理的整个过程。
采用熟悉、对比、理解的方式,便于对具体法条、法条中的具体用语、用词分析时,适时采取文义解释、历史解释、当然解释、扩大限缩解释等法学方法论。
作者:商事合规团队