12月15日,由清华大学法学院主办,北京清律律师事务所承办,清华大学法学院个人信息保护与数据权利研究中心协办的第二届明理·清律司法实务论坛“个人信息司法保护的现状与趋势研讨会”,在清华大学法学院法律图书馆大楼模拟法庭成功举行。来自中国人民大学、北京大学、清华大学、中央财经大学、中国政法大学的专家学者,来自全国人大常委会法制工作委员会的立法机关代表,来自中国法学会、北京市委网信办、中国消费者协会、北京市第一中级人民法院、北京市第四中级人民法院、杭州互联网法院、北京市怀柔区人民法院、北京市西城区人民法院、北京市昌平区人民法院、北京市海淀区人民检察院的实务嘉宾,来自北京清律律师事务所、腾讯集团、字节跳动公司、美团点评、南都个人信息保护研究中心、阿里巴巴、联想、宁波银行、北京安理律师事务所、美国翰宇公司、华为公司等企业代表以及来自新华社、光明日报、法制日报、民主与法制时报的媒体代表共200余人参加了本次会议。
清华大学法学院副院长程啸教授主持了会议开幕式,隆重介绍了各位与会嘉宾,并代表主办单位、承办单位和协办单位,对各位嘉宾在年终岁末工作繁忙之际拨冗参会,表示了最诚挚的谢意!
清华大学法学院院长申卫星教授在开幕式上致辞。首先,他对各位嘉宾牺牲休息时间来到清华大学研讨个人信息保护问题表示了衷心感谢!他说,当前清华大学法学院正在进行法律和信息科技交叉学科计算法学的建设,为此,学院成立了包括个人信息保护与数据权利研究中心在内的一系列研究机构。2018年,清华大学法学院成功中标了《互联网经济的法治保障研究》《大数据时代个人数据保护与数据权利体系研究》两项国家社科基金重大项目,2019年法学院又中标了一项与大数据、人工智能研究有关的国家社科基金重大项目。在这一背景下,本次研讨会的召开非常及时!本次会议的研讨既有利于未来我国民法典人格权更好地保护个人信息以及个人信息保护法的制定,也有利于促进清华大学法学院计算法学学科的发展。最后,申卫星教授向王利明教授等各位嘉宾多年来对清华大学法学院人才培养和学科建设的支持表示衷心感谢,并送上诚挚的冬日祝福,希望各位专家今后能够一如既往的关心和支持清华法学院!
开幕式结束后,本次研讨会共分为“个人信息保护立法与司法规制” “个人信息保护的审判、监管和发展趋势”两个单元进行。
会议的第一单元由程啸教授主持。
中国人民大学常务副校长、中国法学会副会长、民法学研究会会长王利明教授首先进行了主题发言。他认为,在民法典中加强个人信息保护极具必要性,民法典人格权编草案对个人信息保护的规定已经日趋完善,但是,在个人信息部分还有几点可以继续完善。第一,在“个人信息”后面应当加上“权”字,明确规定个人信息权。这样,一方面可以为特别法提供上位法依据,另一方面也可以落实个人信息司法保护的需求。第二,应当区分隐私信息和个人信息。隐私信息主要与私生活有关,个人信息除隐私信息外,还可能涉及其他信息。对于私密信息的保护程度、侵害后果等都与其他个人信息存在区别。第三,需要明确个人信息究竟是一个框架性权利,还是具体人格权。凡是个人信息中已经被其他权利所保护的信息,就不需要再通过个人信息权予以保护。例如,姓名信息已被姓名权保护,肖像、声音等生物识别信息已被肖像权保护,而隐私信息也被隐私权保护,这些信息都不需要通过个人信息权加以保护。第四,民法典人格权编草案的第816条还有两处需要完善。其一,建议将草案第816条改成“有下列情形涉及公共利益的,行为人有权收集处理”,因为目前“行为人不承担民事责任”的表述过于笼统宽泛,似乎只要涉及公共利益就无需承担任何责任,但是即便收集是合法的,如果没有妥善保管导致泄露,依然要承担责任。其二,建议将草案第816条往前提,与第814条连在一起。第五,应当对个人信息的“处理(process)”一词能否包含信息的“共享”加以明确。按照GDPR的解释,“处理”一词包括“共享”的意思,人格权编草案中没有这一点,建议参照GDPR这一做法,或者单独对信息的“共享”作出规定。
全国人大法工委民法室黄薇主任首先对王利明教授提出的五条具体建议表示了感谢,然后,从立法的角度对人格权编草案的主要内容进行了介绍。她说,人格权编立法既是我国民法典编纂的亮点,也是难点。人格权编草案有关个人信息的规定一共六条,主要涉及个人信息定义、收集处理个人信息原则及要求、个人信息被收集者和收集者的权利义务、国家机关和工作人员履职过程中对知悉的个人信息依法保存保密的义务等四个方面。她认为,民法典人格权编规定个人信息保护时,考虑了三个方面的关系:一是处理好隐私权和个人信息保护之间的关系,二是处理好个人信息保护与信息的合理使用之间的关系,三是处理好民法典与网络安全法、个人信息保护法等其他立法的关系。最后,黄薇主任对各位专家学者一直以来对民法典立法的支持表示了感谢,并希望与会嘉宾能够继续对民法典的编纂工作给予关注和支持!
全国人大宪法和法律委员会副主任委员、清华大学法学院教授周光权老师从三个方面对个人信息的刑法保护进行了阐述。他说,首先,刑法是个人信息保护的最后手段,刑法对个人信息的保护有赖于其他部门法研究的进一步深入;其次,刑法上对公民个人信息保护不足的问题非常突出,公民饱受个人信息被泄露和被非法提供的困扰,但是报案动机不强,这也造成了尽管每个人都觉得个人信息保护存在很严重的问题,但是实际中刑事案件的数量很少;最后,刑法也存在打击不准的问题。他认为互联网犯罪在刑法领域很严重,需要进行打击规制,但打击要精准打击,并不是范围越大越好。
北京大学法学院王锡锌教授在发言时指出:第一,未来个人信息保护法可能仍需要进一步关注“个人信息权”和“个人信息受保护权”这两个概念之间微妙的差别;第二,需要重点关注如何兼顾个人信息保护和数据合理使用。他说,可以通过引入权益保护与经济激励相结合的机制,促使数据主体用户更多地与数据平台之间进行合作性的博弈,从而在有效保护各类信息的同时,充分实现信息和数据的流动。
中国人民大学民商事法律科学研究中心石佳友教授在发言中表示,一些日本学者不理解为何人格权编中存在部分公法规定。对此,他认为,在公法和私法之间难有泾渭分明界线的现代法律体系下,需要承认这样一种新的治理模式,即通过公法与私法的衔接和协调,更好地解决个人信息保护等问题。然后,他针对性地就民法典人格权编草案提出了三条建议:第一,针对“删除权”问题,他不同意《民法典人格权编草案(三次审议稿)》对删除权适用的情形所进行的删减;第二,针对“私密信息”问题,他认为,考虑到敏感信息的极端重要性,民法典应该对其加以界定;第三,人格权草案的三审稿新增了生物识别信息,这是一个很大的进步,但目前人脸识别的滥用几乎到了失控的地步,基于问题导向,应该进一步加强对生物识别信息的保护。
中央财经大学法学院院长尹飞教授围绕“个人信息的性质及其立法保护”提出以下观点:首先,关于个人信息的概念,他认为,目前个人信息的定义强调了“可识别性”中“识别”层面的内容,却忽略了“关联”层面的内容,因此,建议在目前人格权编草案的定义的基础上增加“或者反映特定自然人特定情况的个人信息”的表述。其次,关于个人信息的性质要正确认识。在过去,个人信息里的绝大多数内容都可以为其他权利涵盖,剩下的内容如职业、职位、工作单位、学历似乎并没有保护的必要,但是,在大数据时代下,通过对海量信息收集和计算,很容易精确识别特定自然人,因此将个人信息从其他具体的人格权独立出来有其必要。他进一步提出,应将个人信息界定为一项具体的人格权。
清华大学法学院劳东燕教授以“如何实现对于个人数据的刑法保护”为主题,讨论了以下四个方面的内容:第一,个人数据的特性和法律地位。关于个人数据的特性,她认为,数据本身是一种代码,具有可再生性和可分享性;关于个人数据法律地位的争议,需要关注的问题有:个人信息是权利还是利益?是否为单一的权利?是私权还是公权?第二,刑法对于个人数据的保护框架问题。她将刑法对于个人数据的保护模式归纳为四种:经济秩序保护模式、人格权保护模式、物权保护模式和公共秩序保护模式,并从中得出了四点观察结论。第三,刑法现有保护框架存在的问题。她指出,一是没有规制数据滥用的行为,二是对个人权利的刑法保障明显不足,三是没有办法准确地体现行为的不法性质,四是保护不足与过度犯罪化并存的问题。针对这四个问题,她进一步提出需要实现四个转换。第四,如何调整刑法的保护框架。她表示,或许可以根据不同的风险类型和所侵犯的法益性质采取不同模式。
在自由讨论环节,北京市第一中级人民法院民四庭丁宇翔法官从法院实际工作的角度向立法提出了建议,希望能够明确个人信息保护的风险承担责任问题,进一步完善归责原则,例如明确侵害个人信息采取过错推定责任。
北京大学法学院金锦萍副教授认为,当前对于个人信息的概念界定和权利属性还有待进一步的梳理。不仅要考虑侵权法的保护,也应当关注从合同法、财产法的角度来研究个人信息数据的交易问题。当然,目前先界定侵权问题,也为将来从合同和财产角度考虑数据信息的交易提供了前提。
本次会议研讨的第二单元由北京清律律师事务所熊定中主任主持。
中国法学会研究部副主任彭伶女士从自身经历和当前个人信息保护的现状出发,论述了个人信息保护存在六个方面的矛盾,即立法与现实的矛盾、不同领域政策导向之间的矛盾、促进产业发展跟个人信息保护之间的矛盾、思想与实践的矛盾、国家安全与个人信息保护之间的矛盾、社会公平正义与个人信息之间的矛盾。
北京市第四中级人民法院民庭庭长马军法官就个人信息保护在司法实践当中的问题,从个人信息保护的范围、价值判断等方面展开论述,并提出了两个建议:一是必须要规定知情同意权;二是要有随时且不附任何条件的可撤销权。
杭州互联网法院研究中心负责人曾宪未法官结合杭州互联网法院的探索实践,分享了自己对个人信息保护的思考,包括个人信息司法保护面临的困难、个人信息司法保护的杭州互联网法院的实践情况和对于个人信息司法保护的展望三方面内容。
北京市海淀区人民检察院科技犯罪监察团队的负责人许丹检察官则从检察人员的视角,介绍他们在办理个人信息和网络犯罪的司法实践中对于个人信息及其相关概念所存在的困惑及疑点难点。
中国消费者协会法律部主任陈剑以中消协在2014年所做的一个网民个人信息保护状况的调查入手,归纳了信息采集、隐私政策等侵权典型类型,总结了信息使用和数据转移等方面的问题,并针对性地提出了四个建议。
北京市委网信办政策法规处的伍萌女士首先简要介绍了网信部门的职责,进一步梳理了网信领域的相关立法、互联网管法时遇到的问题以及网信部门所采取的针对性措施。
腾讯公司的法务林梦楚女士表示,随着数据违规的代价逐渐增高,不少互联网企业积极升级转型,给予了个人隐私和个人数据信息较高等级的保护。在此背景下,腾讯从对内和对外两个角度进行了积极探索。
字节跳动公司的法务刘莹莹女士认为,在个人信息保护的基本原则问题上,实践中存在过度依赖“知情同意”原则作为合法收集使用依据的现象,而所谓“合理、正当、必要”原则似乎也缺乏具体的判断标准。她认为,应当在用户权益保护和互联网发展之间找到一个平衡,避免对互联网服务提供者施以过多的责任。
美团点评数据合规法务刘笑岑女士首先介绍了美团目前的数据合规现状,然后又基于实务经验,特别选取了个人信息泄露、个人信息和数据集合法益的平衡两个问题进行分享。
南都个人信息保护研究中心主任娜迪娅女士从南都所做的APP用户测评入手,对两个部分进行了论述:第一部分,展示问卷调研内容及经过;第二部分对测评结果进行了分析,通过具体数据让大家了解了目前公众对于个人信息保护的认知程度、公众面对个人信息泄露时的举措等内容。
在会议的总结环节,程啸教授说,这次会议通过民法、刑法、行政法等不同的学科,由来自理论界、立法界、司法界和实务界等不同领域的专家学者,围绕着个人信息保护问题进行了集中探讨,很有意义!虽然研讨会的时间很短暂,但是,大家在个人信息保护的很多方面取得了共识,同时也发现有很多问题值得将来进一步深入研究。随着明年我国民法典的颁布以及未来个人信息保护法的制定,个人信息保护领域将有更多值得研究和关注的问题。最后,程啸教授对各位嘉宾的到来再次表示了衷心的感谢,也预祝与会各位嘉宾新年快乐!