个人信息保护是信息时代下法律所面临的重要挑战。
欧盟2016年出台《通用数据保护条例(GDPR)》,并于2018年正式实施;英国2018年通过《数据保护法(DPA 2018)》;瑞士也在2020年9月对其个人信息保护法作大幅度修订。在美国,加利福尼亚州2018年率先通过了《加州消费者隐私法案 (CCPA) 》,这是美国第一部全面保护隐私的法案。
我国相关部门高度重视个人信息保护的立法工作,全国人大常委会2012年通过《关于加强网络信息保护的决定》,2016年表决通过《网络安全法》。2020年5月由全国人大表决通过的《民法典》在人格权编对个人信息保护作出了全面规定;2020年10月,全国人大常委会审议并公布了《个人信息保护法》一审稿草案,引起了国内外的高度关注和积极评价。
为充分吸收借鉴国际经验,进一步提升《个人信息保护法(草案)》的立法质量,同时增进国际学术界对我国法治建设的全面了解,经教育部批准,2021年3月22日至23日,由中国人民大学民商事法律科学研究中心和英国杜伦大学法学院联合主办,英国驻华使馆支持的“中英个人信息保护法研讨会”在中国人民大学法学院召开。
来自全国人大常委会法工委、最高人民法院、国家互联网信息办公室、北京互联网法院、中国人民大学、清华大学、北京大学、中国社会科学院、英国驻华使馆、英国杜伦大学、伦敦政治经济学院、伦敦国王学院和瑞士日内瓦大学等各方面的专家学者出席会议,会议采取线上线下结合的灵活方式。
3月22日下午,研讨会正式开幕。开幕致辞由中国人民大学民商事法律科学研究中心执行主任、法学院教授石佳友主持。石佳友教授首先向参会嘉宾表示了热烈的欢迎,并由衷感谢与会各方对本次研讨会的大力支持。
受中国人民大学副校长、法学院党委书记兼院长王轶教授的委托,中国人民大学法学院副院长程雷教授代表中国主办方发表开幕致辞。程雷教授首先对中外与会嘉宾表示诚挚的欢迎,同时向会议主办方和支持方表示衷心的感谢。随后,程雷教授介绍了本次会议的召开背景、目的、意义和主要任务,赞赏了各界人士对个人信息保护立法、司法及业界规则的完善等作出的重要贡献,也特别感谢各位专家和记者对此次会议给予的帮助,并预祝会议圆满成功。
杜伦大学法学院中国法讲席教授陈磊代表英国主办方致开幕辞。陈磊教授表示非常荣幸参加本次研讨会,并向主办方和各位参会嘉宾致以谢意。陈磊教授认为,数字经济时代背景下的个人信息保护立法是一项全球性议题,应在国际视野下设计中国方案。同时,相关立法应以强化和平衡个人数据的保护和利用为要义。陈磊教授指出,此次会谈是针对信息保护难题提出应对策略的重要平台,并希望通过此次学术交流强化合作、收获启发。最后他衷心祝愿本次会议能够取得成功。
英国驻华使馆政务参赞Alastair Arnold代表支持方致开幕辞。Alastair Arnold参赞首先向本次会议的参会人员和组织人员表达了诚挚的谢意。Alastair Arnold参赞表示,各国共同参与构建可预期的、公平的法律规则体系是世界人民的共同期望。在信息科技加速发展的时代,政府、企业或其他组织对数据的利用既带来效益,也引发风险,建立安全透明的数据监管体系具有空前价值。为期两天的会议有助于深入了解中国法律框架的核心部分,对中国以及与中国交流的其他国家均具有重要的理论意义和实践价值。
会议的第一节由杜伦大学法学院中国法讲席教授陈磊主持。
中国人民大学法学院教授张新宝首先作了题为“《个人信息保护法(草案)》:个人信息处理者的义务条文理解与完善”的主旨发言。张新宝教授认为,法律草案第5章没有明确区分一般的个人信息处理者与充当“守门人”角色的个人信息处理者。鉴于“守门人”处于互联网个人信息处理的关键环节,管控众多APP接入互联网进行个人信息收集处理的必要通道、空间以及提供必要的技术资源,因此有必要对“守门人”扼守的关键环节设置个人信息保护义务,以实现对APP处理个人信息的有效治理。在具体的法律条文设计上,张新宝教授建议在草案第51条之后增加规定“守门人”对个人信息保护的特别义务。
萨塞克斯大学法学院教授Sirko Harder以“《中华人民共和国个人信息保护法(草案)》的地域适用范围”为主题进行发言,并着重就草案第3条进行了评议。Harder教授肯定该条在适用主体方面的合理性,并将该条第1款与GDPR相关规定进行比较,说明了《个人信息保护法(草案)》针对不同类型信息处理者在境内外收集和处理数据时可能出现的适用情形及潜在的问题。Harder教授认为草案第3条第2款可能存在适用范围的模糊性。为避免同一信息处理者可能因地域变化导致法律适用冲突,该款可根据具体情况再作进一步澄清。
中国社会科学院法学研究所教授周汉华聚焦于“中国《个人信息保护法》起草的国际经验”。周汉华教授详细梳理了中国《个人信息保护法(草案)》的起草历程,指出国际经验对草案产生的重大影响。在模式的选择上,草案综合吸收了欧盟与美国的有益经验,旨在打造一套激励相容的法律规则,实现个人信息保护与数字经济的平衡发展。周汉华教授还指出,在借鉴国际经验时可能会面临各种挑战,如国际经验如何落地,不同救济体制之间的衔接,制度的可行性等。
清华大学法学院教授程啸发表了题为“中国《个人信息保护法(草案)》中的个人信息处理规则”的报告。程啸教授指出,中国的个人信息处理规则存在四个特征:一是强调“告知—同意”;二是区分不同类型的个人信息;三是区分不同的个人信息处理行为;四是区分不同的个人信息处理者。程啸教授认为,“告知—同意”作为个人信息处理的基本规则,本质上是为了维护人格尊严和人身自由。草案中敏感信息和《民法典》中私密信息的不同划分具有不同的规范目的,不存在冲突。未来应当更多关注国家机关处理个人信息的义务,不断提高政府的治理能力。
在讨论环节,与会嘉宾就“守门人”规则的适用范围、《个人信息保护法(草案)》与数据交易如何衔接、《个人信息保护法(草案)》与公法的关系等问题深入交换了意见。
3月22日第二节会议由《中国法学》杂志社副编审任彦主持。
杜伦大学法学院中国法讲席教授陈磊作了题为“个人数据跨境传输中的规则设计:徘徊在监管与市场之间”的报告。陈磊教授强调,在跨境数据传输的问题上,民商法规则应该与国际贸易投资战略相协调。数据传输涉及“权利经济化”的问题,需要受到数据本地化和隐私权监管等限制。目前《个人信息保护法(草案)》对于跨境传输的限制虽然表面上较为严格,但网信部门的安全评估豁免权可能使跨境信息流动实际上更加自由。基于利益协调的考虑,提出以下建议:1.将维护数据安全作为基本要求;2.进行非敏感信息跨境传输的试点;3.重视双边投资协定,提出定制化的解决方案。
北京大学法学院教授薛军的发言主题是“中国法上个人信息的分类讨论”。薛军教授认为,私密信息的划分应当限缩在民法领域。《个人信息保护法(草案)》是敏感信息的单独立法,两种分类方式不能置于同一层面观察。虽然私密信息和敏感信息也存在交叉,但是法律适用并不冲突。薛军教授指出,个人信息的类别决定法律责任的认定,对于敏感信息的列举要考虑社会文化因素,并保留开放性以适应社会观念的发展。此外,薛军教授建议将敏感信息的认定规则置于草案的总则部分。
伦敦政治经济学院法学院教授Andrew Murray以“作为个人和经济行为者的数据主体”为主题进行报告。Andrew Murray教授认为,中英两国信息保护法的核心都是数据隐私。数据具有双重角色,既是个人权利和尊严的体现,又是具有经济价值的资源。信息流动能够提高生产效率,保证数据的合理流动是信息保护法的立法目的。为了平衡两种价值目标,两国的信息保护法律都规定了允许信息使用的条件,比如知情同意、出于履行合同或者合法利益的必要等。与GDPR相比,中国的《个人信息保护法(草案)》在信息跨境传输方面还设定了对企业的监管,这为个人数据提供了更高强度的保护。
国家互联网信息办公室法治局副局长尤雪云详细解读了《APP违法违规收集使用个人信息行为认定方法》《常见类型移动互联网应用程序(APP)必要个人信息范围》《儿童个人信息网络保护规定》三则文件的具体条款和精神。尤雪云副局长指出,以上规定细化了《网络安全法》第41条至第45条关于用户个人信息保护的基本制度,强调收集个人信息的必要性应当以应用软件的基本功能为准。此外,会议当日通过的《常见类型移动互联网应用程序必要个人信息范围规定》明确了地图导航、网络约车、即时通信等39类常见类型APP必要个人信息范围,以满足保护用户个人信息、监管移动互联网应用软件的需求。
在讨论环节,与会专家学者就《个人信息保护法(草案)》和《民法典》规定的统一性、个人信息的分类模式、必要个人信息范围的具体界定以及APP违法违规收集信息的监督处理机制等议题进行了探讨。
3月23日第一节会议由最高人民法院研究室民法室处长陈龙业主持。
中国人民大学一级教授、中国民法学研究会会长王利明作了“《民法典》对个人信息保护制度的发展”的主题报告。王利明教授指出,《民法典》将人格权单独设编是体系上的重大创新。个人信息是人格权编规定的一项重要人格权益。《民法典》对个人信息保护的特点体现在六个方面:一是进一步扩张了个人信息保护的范围;二是第一次在中国法中就“个人信息的处理”这一概念作出了广义理解;三是赋予了个人信息主体提出异议、更正和删除的权利;四是针对信息共享行为作出了明确规范;五是规定了国家机关对个人信息的保护义务;六是确立了隐私权与个人信息并存时应当优先适用隐私权保护的规则。
全国人大常委会法工委民法室处长李恩正就“个人信息的民法定位与价值平衡”作主旨发言。李恩正处长介绍了《民法典》编纂过程中对于个人信息保护的各方面考量,认为个人信息虽然可以作为一项民事权利,但也与其他民事权利存在区别。例如,在支配性方面,个人信息显然不如物权效力强大。对个人信息进行保护,关键是要厘清其中的价值判断。这不仅要从民事主体的角度予以考虑,还涉及到背后的经济效益。《民法典》已经就此构建了基本的制度框架,《个人信息保护法(草案)》的规定可以更为具体。
北京互联网法院综合审判庭负责人孙铭溪报告的主题是“个人信息保护的司法实践”。孙铭溪法官指出,在《民法典》实施以前,法院对个人信息保护纠纷主要围绕隐私权展开,但实际上隐私权纠纷和个人信息保护纠纷存在较大差别。随着技术的发展,动态化的信息会越来越多,信息识别的穿透度更需要加以关注。个人信息的匿名化和去标识化也存在很大的探讨空间。要实际理解个人信息匿名化,还需要对技术的发展有更加深入的了解。
中国人民大学民商事法律科学研究中心主任、法学院教授姚辉以“中国个人信息保护:一个民法上的观察与思考”为主题进行发言。姚辉教授认为,无论公法还是私法都与个人信息的保护息息相关。对于个人信息的理解,学界和实务界之间,不同部门法之间都存在不同的看法。在立法论的层面,如果认为个人信息是一项权利,则重点在于阐明它相对于隐私权所具有的特殊性。如果以民法学为观察视角,在个人信息的侵权责任中,对个体的保护应该坚持无过错责任,但从信息产业发展的角度来看,适用过错责任显然更为合适。立法和司法应当寻求一个更为妥当的方案来平衡各方的利益。
伦敦国王学院法学院教授Mateja Durovic和博士后研究员Jonathon Watson共同作了“新兴技术和消费者数据保护的挑战”的主题报告。Mateja Durovic教授首先指出,立法既要保护基本的价值和权利,又不能妨碍技术的发展,但两者在实践中经常难以平衡。对此,可以从技术监管层面着手,鼓励企业去开发对用户更友好的应用程序,同时以许可的方式实现个人信息使用合法化,比如设置同意管理的工具、信息管理助手等。Jonathon Watson博士进一步认为,应当更加关注人工智能、大数据和消费者保护三者之间的融合。在不同的国家,技术发展的不确定性对消费者的影响也会不一样。因此需要一个法律框架鼓励技术的发展用于满足消费者的利益和需求。
杜伦大学法学院助理教授王佳的报告题目是“定向广告与新的《个人信息保护法》”。王佳博士认为,在信息时代,既要加强对个人信息的控制,也要使信息主体享受到现代科技的便利。《个人信息保护法(草案)》一方面对用于定向广告的个人信息的范围未作出限制,另一方面对个人信息的定义也略显宽泛。因此建议对《个人信息保护法(草案)》第4条规定的间接可识别的个人信息作进一步细化。第14条对个人作出同意的方式可以规定得更为具体,并明确个人的同意应当是真实的同意。
3月23日第二节会议由北京互联网法院综合审判庭负责人孙铭溪主持。
日内瓦大学法学院教授Yaniv Benhamou的报告题目是“瑞士的个人信息保护法:其修订及与其他法律的互动”。Yaniv Benhamou教授认为,当单个数据或数据集合同时受到几种制度的约束时,可能会出现权利的重叠。这种制度的重叠和冲突可能会破坏每一项具体权利的平衡。对此,既要限制权利的扩展范围,也要限制每个法律的规制范围。在采用和解释数据保护时,需要在整个法律框架内综合考虑数据保护问题。尤其是今天大多数数据都被汇总在不可分割的混合数据库之中,难以实现有效分类。因此,需要平衡每一种法律制度的基本功能和价值取向,而不是让一个制度整体凌驾于其他制度之上。
北京大学法学院教授王锡锌的主题报告聚焦于“国家机关处理个人信息的规则建构”。王锡锌教授认为,国家机关作为信息处理者具有公共性、法定性、垄断性、强制性等特点,这与以私人机构作为个人信息处理者为设想场景的《个人信息保护法(草案)》具有明显不同。因此,国家机关在处理个人信息的时候很难照搬《个人信息保护法(草案)》所确立的规则。未来应当制定一个特别的规则调整国家机关处理个人信息的行为。这些规则设计可以根据时间、空间和责任三个维度来展开。在规则衔接方面,国家机关处理个人信息的专门立法属于《个人信息保护法》和《民法典》的特别法,只有在特别法缺位的时候,才能适用一般法律。
中国人民大学民商事法律科学研究中心执行主任、法学院教授石佳友的报告以“人脸识别的法律规制”作为切入点。石佳友教授指出,人脸信息的收集会严重威胁个人隐私,人脸识别技术也会造成人身、财产和心理上的安全隐忧,人脸识别算法更可能造成对特定群体的歧视和“自由危机”。石佳友教授强调,应当贯彻《民法典》确立的合法、正当、必要原则,建立人脸识别的技术准入审查机制,落实有效的知情同意原则,严格限制“概括同意”的应用场景,引入“动态知情同意”模式。此外,还应当严格规制公共视频的人脸识别应用,强调“基于预防、调查违法、犯罪行为等目的”,并增加“依法保护个人的隐私权等合法权益”的规定。
中国人民大学法学院副教授郭锐的报告围绕“人脸识别的伦理反思”展开。郭锐副教授指出,在伦理层面,利益平衡的方法可能陷入伦理相对主义的困境。以人脸识别为代表的人工智能的发展存在“终极准则难题”和“因果关系难题”。前者表现为社会对诸多问题的价值判断缺乏共识;后者体现在人类缺乏对全部后果的认知,对决策结果的伦理性判断不足。对此可以从“人的根本利益原则”和“责任原则”两个方面思考法律规制的路径。同时还要更加注重问题产生的社会背景,关注社会的长远利益和弱势群体的利益。
中国人民大学法学院副教授丁晓东的发言以“欧盟GDPR与美国CCPA之间:中国个人信息保护法解读”为主题。丁晓东副教授对中国《个人信息保护法(草案)》和欧盟GDPR、美国CCPA进行比较分析后认为,欧盟的法律比较偏向于基本权利和合同法,美国的法律民法因素更强,而中国的《个人信息保护法(草案)》介于两者之间。具体而言,传统的隐私权保护是以侵权法为主要救济手段的预防机制,但个人信息保护中的双方既有合作又有对抗,侵权法的适用具有一定的局限性。知情同意原则实际上是合同法上的规则,司法实践对此应当给予更高程度的重视。
在讨论环节,与会各方就具有社会管理职能的机构应当遵循的个人信息处理规则、中国《民法典》中的隐私权与个人信息的关系、企业数据的保护和商业秘密的关系展开了深入交流。
研讨结束后,中国人民大学民商事法律科学研究中心主任、法学院教授姚辉发表了闭幕致辞。姚辉教授表示,与会的国内外专家为此次会议作了精心的准备,讨论的内容非常丰富。既有立意高远的宏观讨论,又有细致入微的具体分析。他代表主办方感谢各位专家学者在此次会议中贡献的智慧;感谢合作主办方英国杜伦大学法学院和陈磊教授,希望这种友谊和交流能够一直延续;感谢英国驻华使馆给予的大力支持;感谢石佳友教授及其会务团队为此次会议付出的努力;他还特别感谢参加此次研讨会的翻译老师、嘉宾和同学。