“个人信息保护立法基本问题”研讨会会议综述

“个人信息保护立法基本问题”研讨会

会议综述

2020年10月23日，由《华东政法大学学报》和华东政法大学数字法治研究院共同主办的“个人信息保护立法基本问题”研讨会顺利召开。来自众多高校的专家学者们以我国首部《个人信息保护法（草案）》（以下简称《草案》）为基点，聚焦个人信息保护立法进行深入讨论和研究。

第一阶段 开幕致辞

本次会议的第一阶段开幕致辞由《华东政法大学学报》主编、数字法治研究院院长马长山教授主持，华东政法大学学术委员会主任何勤华教授、中国人民大学副校长王轶教授分别致辞。

华东政法大学学术委员会主任何勤华教授代表华东政法大学向与会专家表示了热烈的欢迎和诚挚的感谢。致辞中提出随着信息革命到来，《数据安全法》《个人信息保护法》的制定必然是大势所趋，这是法学界必须关注的重大课题。华政对此十分重视，将研究与学校发展战略相结合：一是先后成立了多个相关研究机构，形成了实力雄厚的新兴学科创新团队，在中国社会科学法学研究、中国法学等期刊上发表了有重要学术影响的研究成果。二是经教育部批准，学校增设了智能法学硕士、博士学位授权点，直接培养一流的前沿学术人才，为数字中国建设提供理论动力和智力支撑。三是依托《华东政法大学学报》，开辟信息社会与未来法治专题研讨等栏目，制定前沿选题，发表前沿论文，引领和推进智能法学和数字法治的研究。期待通过此次研讨会，能在信息和数据的范畴界定、信息权益保护的基本理论、数字社会的风险控制三方面有所收获。

中国人民大学副校长王轶教授代表人大法学院、人大未来法治研究院对会议的召开表示诚挚的祝贺。致辞指出，个人信息保护与自然人密切相关，《民法典》也为个人信息保护法制的发展埋下了伏笔，预留了空间。随着《草案》的出台可以引发学者更全面的探讨，进一步形成共识。其中，有七个值得关注的方向：一是信息与数据之间的关系；二是个人信息保护关注的信息与隐私权保护的私密信息之间的关系；三是是否需要明确认可个人信息权；四是在个人信息处理所遵循的“合法、正当、必要”原则中，如何理解合法和正当之间的关系；五是个人信息保护与数字经济发展如何平衡协调；六是个人信息保护中民事责任、行政责任与刑事责任的配置问题；七是一些具体规则设计问题。

第二阶段 嘉宾座谈

本阶段由《华东政法大学学报》主编、数字法治研究院院长马长山教授主持，来自清华大学、北京航空航天大学、北京理工大学、中国人民大学、上海交通大学的专家学者分别进行了发言。

清华大学法学院院长申卫星教授对草案作出总体评价，提出《草案》的两大核心问题。《草案》借鉴了欧洲《通用数据保护条例》（GDPR）和美国《加州消费者隐私法》（CCPA），从整体上来看比较完善，体现出通用性。其中，首先需要关注的核心问题是，《个人信息保护法》与民法典的关系。是否要与《民法典》完全一致，能否允许不同；这将涉及到《草案》中的敏感信息与《民法典》的私密信息之间的协调，个人信息定义范围，个人信息中涉及的个人与《民法典》中的自然人是否相同等问题。其次，需要注意个人信息立法的基点，一方面要加强对个人信息保护，另一方面有助于数字经济产业的发展。

北京航空航天大学法学院院长龙卫球教授对立法背景、基础和结构进行解读。他认为，对于《个人信息保护法》的立法背景，发展过程中有两个值得关注的节点。第一个是开始的点，早在2012年12月28日，全国人大常委会颁布了《关于加强网络信息保护的决定》，从法律的角度对个人信息保护做了原则性的规定。第二个点就是从《网络安全法》到《民法典》关于个人信息保护的法律规定。经过近十年的探索和发展，我们现在已经对个人信息保护形成了清晰思想，《草案》是成熟的。第二，《个人信息保护法》的立法基础产生了变化，现在越来越清楚呈现数字经济创新驱动和融合的需要，必须从消极和积极多方面的角度处理好个人信息保护问题。第三，个人信息保护的法益或权利存在一定的争议，这是因为从结构上来说，十分复杂。总的来看，《草案》在结构上是“行为规范、权利规范，治理规范”三统一，应当从这一角度加以科学化系统化认识和设计，特别要注重其中的管理规范和责任规范。

中国人民大学未来法治研究院执行院长张吉豫副教授立足于《个人信息保护法》的定位问题展开讨论，并对部分条文细节展开推敲。该法从新的技术时代出发，存于新的制度环境之下。单纯的私法保护路径较难在个人信息保护方面取得实效，而这部《个人信息保护法》融合兼顾了私法和公法的保护路径，从体系性的角度对于重要的权利提供多维度的保护。然而，部分条文细节、特别是一些核心概念仍值得进一步推敲。如第69条中个人信息保护核心概念要进行比较体系化的考虑；个人信息处理者界定在“自主决定处理目的、处理方式”的主体范围之内，结合草案全篇来看，将使对受托处理个人信息的主体的规制不足。第24条中的信息界定在去标识化信息还是提供匿名化信息，会导致相应规范范围的变化，需要进行审慎的考虑。风险评估和审计环节建议补充伦理维度。

上海交通大学数据法律研究中心执行主任何渊副教授讨论了《个人信息保护法》亟待解决的十大议题。这十大议题包括法律定位（该法本质上是一部公法和私法深度融合的法律，与《民法典》中的相关内容有着本质的区别）、立法目的（是保护法还是利用法，即GDPR提出的命题——数据权利保护与数据流动的平衡）、个人信息的定义（识别抑或关联）、同意规则、数据跨境问题、数据权力体系（增加抑或限缩）、数据处理者的义务、监管机关（是否需要成立国家数据执法委员会）、法律责任（加大罚款力度，要有足够的震慑力，但是并不建议运用刑法进行规制）、未尽事宜（数据共享及交易）等方面。

第三阶段 主题研讨

议程第三阶段由《华东政法大学学报》肖崇俊编辑主持，来自中国人民大学、西安交通大学、对外经济贸易大学、北京科技大学、阿里巴巴集团司法协同创新中心、西南政法大学、北京理工大学、华东理工大学、安徽财经大学、华东政法大学的专家学者进行了发言。

中国人民大学未来法治研究院副院长丁晓东副教授谈论了《个人信息保护法》需要注意两个问题。一是，《民法典》和《个人信息保护法》之间的协调。他指出，《民法典》对于隐私与个人信息保护的规定是非常合理准确的，《民法典》1032条到1039条使用个人信息处理者的概念，说明《民法典》已经采用了一种新民法的思维来看待个人信息保护，将个人信息保护视为一种不平等法律关系。这和德国民法典将消法纳入其中，加州民法典纳入CCPA有类似之处。个人信息保护法也基本实现了和民法典的良好衔接。二是，相关条文的理解问题。他指出，中国的立法需要考虑法律执行的问题，所以很多法条的规定也有理想与现实的差距问题。草案的起草者对很多问题其实有很深刻的把握，但出于法律的信息规范传递作用，相对又比较谨慎。这也是我们看这部法律需要注意的。在分析了这两个宏观问题之后，丁晓东副教授还具体分析了一些“魔鬼之处的细节”，包括个人信息的定义、同意机制的落实、个人信息权利的落实、以及个人信息的司法与执法救济机制等。总体而言，丁晓东认为《草案》所体现的保护个人信息的决心与整体水准值得肯定。

西安交通大学法学院王玥副教授以《进一步增强个人对个人信息的控制——以基因信息为例》进行探讨。基因信息在个人信息里是比较特别的存在，个人一旦提供了含有这样的基因信息的样本，就从实质上丧失了对自己全部基因信息的控制权。此外，提供基因信息所可能造成的潜在影响不仅涉及个人，还会影响其家人甚至相关群体，这会从根本上消解知情同意制度的正当性。因此，欧盟GDPR、印度、巴西、韩国、美国等国家都对基因信息做特别保护的处理。然而，《草案》没有把基因信息作为单独的类别纳入其中。此外，《草案》也缺乏个人信息可携权的相关内容，这可能会造成技术和社会成本的大幅度增加。期待通过《草案》的进一步完善，最大程度的消减我们对于个人信息控制权丧失的无力感，增强人们在数字生活中的幸福感。

对外经济贸易大学数字经济与法律创新研究中心执行主任张欣副教授以《<草案>自动化决策相关条款分析》为题展开讨论。她首先对《草案》中自动化决策和自动化个人信息处理的有关规定进行了梳理，选取了三个比较重要的条文进行了分析。《草案》第69条第2款对自动化决策进行了清晰定义，但在该定义中对于识别分析和自动化决策的内涵和外延处理仍然需要完善。第53条是我国在自动化决策当中的亮点，确定个人信息处理的审计制度，但仅以法律、法规为依据，未能包括伦理规范，未能明晰内部审计和外部审计的启动条件，可能导致对企业合规指引不清，从而使得审计制度流于形式。第54条第1款确定了自动化决策风险事前评估制度。但该项制度设计与国际通行的算法影响评估实践有四项不同。第一、我国集中于风险评估，而非更为广泛的影响性评估。第二、我国的风险评估主要集中于对个人的影响和风险程，并未对社会、经济、生态等多方面的影响予以关照。第三、我国的风险评估并不区分被评估系统的优先级。第四、我国的风险评估聚焦于事前阶段，而目前已有的算法影响评估实际上是采取事前、事中和事后阶段的全周期视角的评估。

北京科技大学法学院副教授张凌寒以《<个人信息保护法>下平台的算法责任》为题展开了深入的探讨。依据《草案》，平台算法治理形成了“政府监管+个人权利”完整的基本规制框架。《草案》吸收了世界各国制度，对算法设计、部署、运行、结果进行了全流程的覆盖。关于自动化决策条款设置的平台事前的合规义务，例如对风险评估报告的披露，《草案》目前的规定并不足够。在自动化决策条款设置的平台算法义务中，算法审计是一大亮点。其采取了“平台自我定期审计+监管部门启动审计”的两大模式。

阿里巴巴集团司法协同创新中心主任申欣旺重点就保护数字经济发展的角度对《草案》进行解读。《个人信息保护法》的目标是更好地加强个人信息保护与更好地推动数字经济领域依法合理地使用数据，两者之间的平衡有赖于法律在具体条文中做出细致的安排。第一，《草案》仍未能解决数据要素有序流动方面的制度性障碍。第二，建议删除《草案》第59条对履行个人信息保护职责部门的额外授权，厘清个人信息保护的范围。第三，在设定法律责任的过程中，避免给数字经济带来较大负面影响。建议在涉及个人信息侵权责任归责原则和损害赔偿的问题上遵循《民法典》确立的基本规则，以过错责任为归责原则。

西南政法大学人工智能法律研究院自动驾驶研究中心主任郑志峰副教授对个人信息的定义、个人信息的分类、个人信息侵权的归责原则三个方面进行了探讨。在定义上，《草案》第4条中的“已识别”、“可识别”概念不同于《民法典》第1034条、《网络安全法》第76条中的“识别”，该创新并无必要。在分类上，如果采取一般信息、敏感信息、私密信息这样三个层次或许可以达到更全面的保护。在归责上，《草案》第65条尚不清晰，既不像无过错责任也不像过错推定责任。此外，遗憾的是《草案》未能完全从设计的角度规范个人信息保护。

北京理工大学法学院讲师陈姿含讨论了《草案》中敏感信息的标准。敏感信息不同于《民法典》中有个人私密信息的规定。敏感信息建立在法律对其明确的列举，目的是处理这类信息的明确授权。目前主要存在三大标准对一般信息和敏感信息进行划分：第一，基本权利与自由标准，强调的是对敏感信息使用的一般性禁止；第二，歧视性标准，强调流动性，防止个人信息的泄露或者使用使主体遭受不公平待遇；第三，风险标准，个保法草案采用的就是这种标准，但是风险判断的要素，应该进一步明确和科学化，以防止完全的行业标准造成的差异与对个体信息造成的侵害。

华东理工大学法学院讲师肖梦黎重点关注了匿名信息的确切含义、合法处理个人信息的基础性条款与个人信息共享的规定等三个问题。其中，在匿名化信息的界定中中，有必要将关联性标准纳入考量之中，但具体的边界还需要进一步界定。从体系性的角度考虑，《草案》第69条第4款将与第24条第2款中对匿名化信息的定义可能存在一定的冲突。此外，第13条是处理个人信息合法性的基础条款，需要对订立或履行个人作为一方当事人的合同所必需，以及履行法定职责或者法定义务所必需做进一步的阐释。在个人信息共享问题上，个人信息的转委托以及个人信息如何授权给第三方的问题值得更加深入的关注。肖梦黎认为法律规定的留白有些是立法者的刻意为之，从而为后续的法律解释与司法实践提供更加弹性的空间。

安徽财经大学法学院讲师陈逸飞重点关注了《草案》第56条。第56条明确了国家网信部门负责个人信息保护工作的统筹协调，发挥其统筹协调作用，同时规定了国家网信部门和国务院有关部门在各自职责范围内负责个人信息保护和监管工作。该条蕴含了国家对保护个人信息的积极义务，形成了以行业为横轴，从中央到地方的个人信息保护监管体系。然而，具体怎么发挥统筹协调作用尚不明晰。建议借鉴域外（如GDPR、法国《信息与自由法》）经验，对该条予以修订或者予以进一步细致化规定。

华东政法大学数字法治研究院副院长、副研究员韩旭至从《草案》的属性问题、体例结构问题、核心范畴问题、告知同意的处理规则问题、特定场景中的个人信息保护问题、信息主体权益与信息处理者的义务问题、个人信息保护机制和保护机构问题、缺乏个人信息保护设计的问题八个方面展开讨论。与此同时，对草案有一定的域外效力、明确了促进个人信息依法自由流动的立法目的、在合法正当原则外确立了比较符合国际潮流的立法基本原则、明确了自动化决策的拒绝权等方面也给予了肯定。

第四阶段 会议总结

本阶段由山东大学法学院副院长李忠夏教授进行学术总结。总结发言指出，此次会议既有宏观性、总体性，又有具体细节上的讨论，具有重大意义。至少引发了以下四个问题的思考：一是，《个人信息保护法》在整个法律体系当中定位的问题；二是，《个人信息保护法》立法中所存在的个人权利保护与数据流动开发之间的矛盾或者紧张关系的问题；三是，如何依据《个人信息保护法》建立一个完善的请求权体系的问题；四是，如何从宪法出发去考量宪法的价值以及宪法的统领性的问题。

（华东政法大学硕士研究生潘佳妮协助整理）