查看原文
其他

数据保护与网络安全:第一届互联网治理青年论坛专题报告(乙场)

2017-11-12 李静彧 赵精武 网络法前沿


专题报告

(乙场)

我国互联网开放数据的问题研讨

报告:张辉

北京航空航天大学计算机学院教授

尊敬的龙院长,各位老师,同学们,朋友们,大家好!我汇报的题目是“我国互联网开放数据的问题研讨”。我来自北京航空航天大学计算机学院,经科技部批复,我们成立了国家科技资源共享服务工程技术研究中心,近15年来我一直从事国家科技资源开放共享的工作。我国成立了28个科技资源共享服务平台,目的是推动国家层面的科技资源数据向社会开放共享。这次报告,我以科技资源为例,探讨我国互联网数据开放共享方面的一些问题。

所谓大数据。先了解什么是数据,数据实际上是一个记号或者符号,做记号的人明白1,你不明白1是什么意思,有可能1个人、1个班或者1年,到一个医院可能1表示男人,换一个医院可能1表示女人,所以离开语境数据没有含义,只是一个符号而已。什么是信息呢?信息是有含义的,有上下文的,是经过人工处理和加工的。就像我刚刚说的1如果表示一个男人,或者1个人、1年等明确含义就是信息,实际生活中往往数据和信息不区分的,但是实际上在专业领域是有严格定义的。你得到的数据没有含义、没有说明是没有用的,只有语义或有加工处理以后的数据是有用的。数据和信息知识的关系是三层关系,没有数据就没有信息,信息是对数据的加工。有大量的信息以后可以获得知识,我们也叫数据分析挖掘,挖掘出了知识。大数据,不是少量采样的一些个例,而是全样本的海量数据,所以分析挖掘后会非常的精准,有了精准数据以后我们才会有丰富的知识。大家知道,现在让机器去识别图片、无人驾驶以及中英文互译等正确率已经大大超过人了,原因就是机器经过海量数据的学习就获得了知识,有了大量的知识以后就有了逻辑推理和智能,很多方面就能战胜人类,因为他有超强的计算能力,有海量的存储空间,还可以不停地学习,不断修正自己,所以Alpha Go战胜人类世界冠军,Alpha Zero下了一百盘又战胜了Alpha Go,结果是100:0。现在图象识别领域最有名的华人李飞飞(音),斯坦福大学教授,她的ImageNet图象识别系统经过1500万张图片的训练学习,对照片的识别率已达到97.5%,已超过了人类。她下一步工作开展,不仅仅是识别图片中的赵精武,可以知道赵精武在干吗,只要给出题材,机器就可以写成一本小说了。所以,大数据开放共享是非常重要的。

前段时间我作为国务院扶贫办的专家到贵州去考察,贵州大数据很火,省、市、县、镇都在搞。我经常问他们三个问题,第一个问题是,你有大数据吗?第二个问题是,你能用这个大数据吗?第三个问题是,别人能用吗?这三个问题意图很明显,因为有大数据不意味着你能用或会用大数据,如果别人不能用,大数据价值就大打折扣。数据上升到信息,信息是非常重要的。信息表征与实体的具有分离性,就是说你在千里之外可以获得信息,现在更加丰富了,文字、图片、视频都有,图文并茂,你可以依据这些信息、数据来做出科学的判断,真正实现运筹帷幄,决胜千里之外。信息还有共享的特性,拷贝,包括盗版,零成本的、疯狂的拷贝,0.00几秒就得到信息,你有信息可以干大事。没有信息、缺少信息也造成了落后和贫困,老说要消除信息鸿沟、数字鸿沟,就要消除信息的不对称性。

还有信息增值性,通过信息挖掘以后,机器比医生更厉害。包括法律,机器人代替律师或者代替法律人的部分工作也将成为现实,因为机器通过大量信息的学习,起到增值效果,就是说他的判断能力有很多方面比你强,创造新的价值。还有信息的战略性,战略性就是国家层面上,有了海量信息以后,可以无所不能,而且很精准,所以信息有战略性,信息资源也是一个国家的战略资源。

有关战略资源,大家听说过有三个方面,物质、能源和信息。在信息、物质、能源三个角度,哈佛大学研究小组提出,没有物质什么都不存在,没有能源什么都不会发生,没有信息任何事情都没有意义。以前没有计算机的时候,这信息怎么来的?有古书传下来的,有一代代口口相传的,现在有海量存储,有互联网以后,这些东西就越来越多、流传越来越广。总书记指出:信息流引领技术流、资金流和人才流,信息掌握的多寡,成为国家软实力的标志。把信息放到非常高的高度,信息已成为一种资产,大家都很重视。十九大报告提出:推动互联网、大数据、人工智能的融合,其中有8次提到“互联网”,通过互联网可以获得各种各样的数据,包括国家情况、经济情况等,各种信息都可以挖掘,所以也是双刃剑。

信息的开放共享无疑给大家带来一个好处。大家可以看这个图,比如说原来一个城市,他有社保、人事局、政法局、国库、财税等,互相之间数据如果不开放共享的话,信息要进行两两对接,工作量很大很繁重。信息开放共享后,可以建立一个信息中心,现在叫云平台或者数据中心,大家都可以通过中心进行交互,数据交换就非常简单。上世纪90年代在北航,这个地方到那个地方没有一卡通,图书馆有图书馆证、游泳馆有游泳馆证,吃饭要饭票,每个人有五六个证很麻烦。数据接口开放以后,在校园就可以用一卡通漫游了,包括买各种东西,全国都可以漫游的话最好了,我想这个时代也很快会到来,目前微信、支付宝等等已经开始流通了。如果学校一卡通都可以流通的话,你当然要设计一下权限了,以免别的学校都来这儿吃饭,咱们学校学生可能就挤不上去了。

数据开放共享方面当然还有很多事情没做好,比如医院之间的信息孤岛,在这个医院拍的片子在那个医院是不认的,实际上很多东西都已经电子化了,但是病人的信息不能共享,给大家带来非常大的烦恼,因为你要重复的做检验检测,各种核磁共振、拍片子。

目前我国开始在推动大型仪器的开放共享工作,50万元以上的设备都要上报信息,你用项目经费买仪器的时候,要经过我们开发的系统进行查重。比如说北航,如果同样的仪器同样的型号已经拥有多少台就不让你再买了。以前信息不公开的时候,就不知道赵精武手里有多少仪器。我国进行大型仪器的开放共享工作以后,近5年来因为仪器查重节约了192亿,这个数据来自于2017年2月22日的科技部新闻发布会。所以说,我们做的工作很有意义。

在欧洲,欧盟90年代启动了e-infrastructure项目,实际上作用就是利用互联网对各领域、各学科进行互联,互联以后有了跨界,跨界会产生新的价值,该项目上层就是实现跨学科数据资源的融合,中间层就是跨地域计算资源的融合,最下层是网络的互联互通。因为先有网络,有网络以后又有计算机、存储,以后才有了上面各种数据的存储和融合,才能促进科研的发展。我们已经意识到科学技术是第一生产力,所以说我们顶端科技数据开放共享非常重要。我本人也承担过国家项目课题,如果三五年没有人管我的话,存在硬盘里的软件、数据可能就全丢了,也没有人管。所以项目数据必须进行开放共享,要有一个国家平台来支持这些工作,因为国家项目都是纳税人的钱,都是国家的钱,你有权利、有责任在做完项目课题以后,对形成的成果进行开放共享,除非涉及到个人隐私、国家机密和商业机密不能公开,国外都是这么规定的,我们这么规定很少,很笼统。所以我讲的这个问题,就是国家科技资源的开放共享问题。大的层面来讲,也是“互联网+”中政府数据的开放共享问题。

我们国家非常注重硬件的建设,承担项目,买硬件,OK,大家喜欢看到大机器放在那儿,有价值,买了以后软件就没钱买了,因为正版软件也是很贵的,尤其是国外原装的软件都非常贵,能省就省,所以机器放在那儿无非就是耗电而已。有些单位好不容易买了软件,却没数据跑,数据没地方来,也没人整理,刚刚说了纯数据没有意义,还要人为加工,所以数据质量普遍不高。有些单位内,有的机器好不容易有了数据却不共享。像我这样,可能不会给我的隔壁邻居用一下,因为我要产生我的成果,你要用的话你的成果比我厉害怎么办呢,所以有数据难以共享,前总理温家宝说过一句话非常贴切“国家科技投入产生的大量的科技信息和数据,目前基本处于分散、搁置、甚至流失状态,没有充分利用起来”,这是一个大的问题。

我们再深入考虑一下,什么问题呢?今天报告有个定位,今天讨论的是国家、政府投入的资金或者是项目形成的数据,或者政府的数据。个人数据自己可以处理,企业数据自由按意愿开放,我这里不再讨论,因为没有办法强制他们,他们是自己掏的钱。政府数据开放问题就是管理制度的问题,我为什么共享,我的医院凭什么跟你的医院共享,所以信息是有所属权的,现在有物权法,有没有数权法、信息权法?没有,这是国家的数据,由于项目原因临时跑你那儿去的,由你采集、保管和存储,但这是化国家纳税人的钱,你应该解决这个问题,应该开放共享。

第二,标准规范方面,因为多年来各说各的,各做各的,所以标准规范也不统一,就像灯泡一样,你这头、那头大小不匹配,根本拧不上,要重新做非常困难。

第三,知识产权不清楚,大家对产权意识非常淡薄。论文引用或数据下载使用,可能最后连致谢都没有。服务理念问题,前两天开了一个会,科学家说了,开放共享不是我们的事,应该让科学家干喜欢的事,不能让天天研究、大脑装着怎么搞发明、搞研究的科学家去搞开放共享。实际上国家也有这样的考虑,开放共享是不是科学家的事情?但是项目经费里有一部分经费让你开放共享,你可以聘用专人来搞这个事。国家项目都要求让你的成果上报到国家指定的部门并开放共享,但是他们有很多理由不愿意,成效并不好,这也是个问题。

还有安全界定问题。有些论文跟导师商量一下,就可以自定为涉秘,就不能开放共享了,评审也在小范围,说对不起,我的论文是涉秘的,所以没人敢看。

我再研究深层次的问题,刚刚说科学家的什么什么问题,我个人认为,还是在于国家顶层设计不完善,第二,相关的法律法规较为滞后,开放共享已经成为国家的五大发展理念了,绿色、协调、创新,最后是开放共享,开放是“一带一路”,共享是全民共享、全面共享。根本问题就是顶层。我跟美国对比来看,美国政府层面设立了CIO、CDO,为什么要与美国比呢?因为美国开放共享做得很好,包括我们计算机领域的一些研究都要到美国下载数据,国内几乎得不到这样的数据。我们互联网,原来这个网络叫ARPAnet,是美国国防部军用的网络,后来成为互联网,不管怎么说咱们应该承认这个事实或者表示感谢,军转民的成果还有GPS,产生了多少价值,所以在开放共享方面他们做的很好并值得我们学习。

美国政府数据开放七原则,完整性,除国家安全、商业机密、隐私外、整个数据集全套应开放。原始性,数据是原始的,不是加工处理过的,也不是统计的结果数据。描述性,刚刚说数据给你没用,那个行、那个列代表什么都得清清楚楚。所以七个要求下来以后,你得到的数据才有用,否则01、01数 19 79327 19 15287 0 0 4345 0 0:00:18 0:00:03 0:00:15 4345一点用没有。美国有很多法律,包括《透明与开放的政府备忘录》、《开放政府指南》,我们国家也有《政府信息公开条例》、《科技进步法》,比如《科技进步法》说了应当开放,但是里面还有一句话,法律、行政法规规定应当保密的,依照其规定。所以我说保密方面我国有《保守国家秘密法》,是一个双刃剑,大家都不敢碰,所以我一说保密的,OK,通过。

第三个问题,配套的措施问题。没有管理细则、可操作的方法,比如《科技进步法》为例。《科技进步法》是一个法,违法也应该判刑,但从来没有听说过。里面说:应当建立有利于科技技术共享的机制。我不应当、我不做怎么样呢?没有任何说明,没有说判刑几年或者怎么惩罚,没有,“应当”这个话太软了。还有《电信和互联网用户个人信息保护规定》,我从头看到尾个人信息定义是什么,没有,包括前段时间网信办出台什么规定,说要保护个人信息,个人信息定义也没有,这个就是很难操作。美国非常清晰,Private信息,包括个人的疾病、爱好、婚姻情况、收入什么什么的,明确规定,好操作啊,什么叫商业秘密?我专门看了美国有关商业秘密的定义,大体意思是,商业秘密就是我跟其他公司,我们内部相关的,跟其他人无关的合同、协议等等,被他人非法获取的就是违法。国家安全就不说了,因为涉及到军事各种东西。所以他们还有监督手段,开发了相应网站用来做大众评议、社会评价等等,这个所以很重要的。我问了一些美国科学家,你们就心甘情愿地把科研项目的成果信息交上去吗?他们说我们根本没有考虑过个人愿不愿意的问题,让我们交我们就交,让我们如何交就如何交,他们把个人的信誉看得比天还重,一旦失信什么都没有了。

最后是共享文化的问题。我们国家历经悠久的农耕经济、小作坊式的工业,缺乏大工业社会的多方协作、共建共享理念,资本主义大工业需要互相协作。而我们的文化则是多一事不如少一事,现在很多媒体都不景气,比如有的媒体养了很多记者,辛辛苦苦采访花了很多成本,结果网上一弄,图片被人PS了,文本让人家改头换面改变成人家的了,人家可以不养一个记者,照样吸引大量的流量,打官司还打不过他,这些东西法院怎么管,法律也没有明确,PS怎么界定呢。下面我说一些矛盾,比方要说保护个人信息吧,个人信息可以花钱随便买的,有没有人管呢?源头在哪?黑市猖獗。好不容易建个网站,别人一爬,他的山寨网站跟我一模一样的,流量都跑他那儿去了,我打不起官司。说要保护知识产权,现在人盗版软件、下载数据卖钱、论文剽窃等,连个致谢都没有。说要保护秘密、机密,现在你们发现一个趋势,特别理工科的,国外很多期刊要求你提交原始的数据,包括原始的代码,他说你的数据不太准确,或者结果太好不可信,我们要印证,怎么印证呢?他说你把代码给我、原始数据给我,这种东西你给人家,根据安全的短板原理,木桶的水一下漏光了,人家说你不给我,我就不发表你的论文,为了发表论文,不发表就不能毕业,什么都给人家了。包括签证的时候,人家要你填报各项信息,你的亲属、家庭、单位、学历、研究经历、论文等等,人家要通过这些大数据分析我国,比咱们国内清楚得多了,这些也没人管,这就是大问题。

我们国家已经取得了一些进展,也开始做起来了,包括国家气象局全部数据开放了,工信部发布了《互联网新闻信息服务单位内容管理从业人员管理办法》,说从业人员不得从事有偿信息,不得转载、审核、敲诈、勒索等等,但是怎么实现呢?配套措施有吗,暂时没有看到。

这些年我参与了一些政府开放共享网站的开发,包括中国科技资源共享网、国家自然基金共享服务网、国家大型仪器共享服务平台等等。像国家自然基金共享服务网,把项目结题报告都公开了,比如谁拿了多少钱、结题情况、发表论文情况、社会评价等,社会评价很重要。但是,有时我国的社会评价也有问题,比如“水军”问题,所以很怪异。

最后做点广告,我们正在举办第五届“共享杯”大学生竞赛,如果每位学生能够写一篇政府数据开放共享跟法律有关的论文上传到“共享杯”网站里的,我们组委会会非常高兴的,希望同学们积极参赛,很有意义,很有价值。

最后谢谢大家!

《网络安全法》的法律衔接与执法实践

报告:黄道丽

公安部三所研究员、网络安全法律研究中心主任

首先感谢主办单位和龙院长的邀请,我的题目稍微调整为“《网络安全法》的法律衔接与执法实践”,刚才主持人说下午时间紧凑,每个嘉宾只有15分钟,这对于讲《网络安全法》的衔接和实践问题其实是非常紧张的,但是我还是想较为宏观的给大家展示下《网络安全法》,15分钟时间里能够讲清楚一两个问题就成功了。我本人来自公安部第三研究所,公安三所是公安部直属的事业单位,我带领的这个团队主要从事网络安全法律研究工作,为政府机构、科研单位等提供网络安全战略、政策和立法方面的研究支撑。

大家看到这两年我国网络安全管理方面的立法节奏是非常快的,立法的迅速推进源自我国面临国内外网络安全形势的客观实际和紧迫需要,“棱镜门”事件唤醒了中国的网络安全危机意识,国内各方面日益严峻的网络安全形势,基础性立法的缺位等几大因素共同推动了我国《网络安全法》的立法进程。

作为我国第一部全面规范网络空间安全管理问题的基础性法律,网安法给我国原有网络安全管理带来的改变很多,包括不限于法律层级的提升、有效衔接网络安全战略、加大基于网络安全生命周期的调整力度、调整网络安全监管职责、强化责任主体和补充完善网络安全制度设计等。如在网络安全监管职责方面,网安法规定了国家网信部门统筹协调,电信、公安依法履行安全保护和监督管理的管理体制,这有助于进一步强化各部门的资源整合和行动协同;在责任主体方面,网安法涉及广泛,覆盖了各类政府机构、网络运营者、网络产品和服务提供者、关键信息基础设施运营者、个人和组织、电子信息发送服务提供者、应用软件下载服务提供者、网络安全服务机构、网络相关行业组织、研究机构、企业、高校、大众传播媒介等二十多类主体,对于特定组织,网安法明确了网络安全保护义务和责任要求,强化了社会责任,实施信用惩戒,并加大了对相关违法行为的处罚力度;在制度设计方面,网安法重申或补充了原有的网络安全管理制度,形成了网络安全等级保护、关键信息基础设施安全保护(含国家安全审查、个人信息和重要数据境内存储)、网络安全监测预警和信息通报、用户信息保护、网络信息安全投诉举报、网络关键设备和网络安全专用产品认证、网络可信身份管理、网络安全事件应急预案/处置、漏洞等网络安全信息发布、网络信息内容管理、网络安全人员背景审查和从业禁止、网络安全教育和培训、数据留存和协助执法等制度。

总的来说,制定网安法是我国长期以来立法“沉淀”的梳理与“提升”,回应技术发展、风险控制理念和治理思路的升级,也体现了立法重点从信息系统到网络空间、从重要信息系统到关键信息基础设施、从信息系统安全到网络安全的演变过程。自网安法通过以来,相关部门紧锣密鼓制定或已出台配套行政法规、规章、规范性文件和标准等,对网安法进行细化补充。

下面谈谈网安法的法律衔接问题。网安法是基础性法律。基础性法律的功能更多注重的不是解决问题,而是为问题的解决提供具体指导思路,问题的解决要依靠相配套的法律法规。网安法第31条和37条明确预留了关键信息基础设施保护和数据出境评估的配套接口,第8条和26条衔接了“国家有关规定”,引用“法律、行政法规”的更是多达20处。

行政执法与刑事司法形成行政执法机关与司法机关打击犯罪的合力,网安法致力于完善“两法衔接”机制,开始探索网络安全行政执法权与刑事司法权的有效衔接。如网安法第63条规定的从事危害网络安全的活动中的窃取网络数据,提供专门用于从事危害网络安全活动的程序、工具的行为,与《刑法》第285条第2款规定的非法获取计算机信息系统数据罪,提供侵入、非法控制计算机信息系统程序、工具罪相衔接。第63条规定的为他人从事危害网络安全的活动提供技术支持、广告推广、支付结算等帮助,与《刑法》第287条之二中规定的帮助信息网络犯罪活动罪相链接。第64条规定的窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息的行为,与《刑法》第253条之一规定的侵犯公民个人信息罪相衔接。第67条规定的设立用于实施违法犯罪活动的网站、通讯群组,或者利用网络发布涉及实施违法犯罪活动的信息,与《刑法》第287条之一规定的非法利用信息网络罪相衔接。值得一提的是,最高人民检察院会同最高人民法院目前正在共同研究起草《关于办理网络犯罪案件适用法律若干问题的解释》,将针对《刑法修正案(九)》增设的拒不履行信息网络安全管理义务罪、非法利用信息网络罪、帮助信息网络犯罪活动罪明确定罪量刑标准和有关法律适用问题。行政执法与刑事司法,在适用对象、范围、强度和最终法律效果上都存在不同。行政处罚与刑事制裁之间的衔接一直是我国司法实践的难点。执法对象的客观行为决定了行政执法与刑事司法的衔接关系,违反网安法行政处罚和刑事制裁之间的衔接是非常值得持续关注的。

网安法施行以来,与其相关的执法行为逐渐走向常态,全国各地相继出现违反网安法的行政执法“第一案”,也引起社会各界的广泛关注。这是我们法律研究中心梳理的近期网安法执法案例汇总,这些案例中执法机关依据网安法具体条款对违法行为予以行政处罚,意味着网安法已经由法律条文设计进入到实际操作层面,对于强化网络安全监督管理职责、落实网安法主体责任意义重大。从这些案例来分析,执法机构为网信部门、通管行业主管部门和各级公安部门;其查处依据不仅包括网安法,还包括了《计算机信息系统安全保护条例》《互联网信息服务管理办法》等行政法规、《电话用户真实身份信息登记规定》等部门规章和《信息安全等级保护管理办法》《互联网用户账号名称管理规定》等规范性文件;处罚对象以互联网和教育行业为主,全部集中于网络运营者这一核心责任主体;处罚行为主要包括网络运营者不履行网安法第21条所规定的网络安全等级保护义务,第24条所规定的用户真实身份管理义务,第47条所规定的平台违法违规信息管理义务;行政处罚措施包括了警告、罚款、暂停相关业务等类型。

我国与网络安全管理相关的基础立法已经基本建立,反恐法、国安法、网安法、警察法、保密法等基础法律各有侧重,与相关或配套的行政法规、部门规章和规范性文件一起为执法机构提供了丰富的执法依据,再加上司法解释等文件对执法程序、电子证据等则提出了更加严格、精准的要求,执法的规范性被提出了更高要求。

总的来说,《网络安全法》施行后,网络安全领域立法呈现的滞后性有所缓解,但立法的执行与有效性尚待检验,《网络安全法》和它配套的法规文件,以及现在还没有被废止的相关法律法规等之间的结构性冲突问题和协调问题是亟待解决的。法律的生命力在于实施,网安法的落地实施是当前和今后相当长一段时间的重要工作。个人认为,网安法的研究走势或落地实施观察,可以从以下四方面进行:基于现时法律框架体例梳理完善,基于检查、检测、评估问题发现,基于传统和新型案例的个案评析,基于国际政治、政策变化的因应。

以上是一些个人看法,有不当之处欢迎大家指出,共同交流,谢谢大家!

数据产权的经济学分析

报告:陈永伟

北京大学市场与网络经济研究中心研究员、主任助理

每一次听到杨老师的报告都是那么催人奋进,使得我不得不不忘初心,要不断的砥砺奋进,刚才几位老师都是高屋建瓴的谈,我主要的责任就是用来节约时间的。也要感谢一下精武给我一个假装青年的机会。

我是做经济学的,是这个法学论坛纯属是跨界,所以我讲一些个人的看法,讲一些我对数据产权问题的看法。首先是问题的提出,问题的提出当然跟我们一个时代背景相关了,我想如果是把我们这个时间倒推回几年,我们没有人去关心数据的问题,但是突然这几年一下子告诉我们已经走进了新时代,在新时代之前我们先走入了一个大数据的时代。原来我们只是讲数据,但是我们现在是要讲大数据,大数据是要很多个V,一开始是3个V,后来4个V,据说现在已经到了7个V,也有人已经到了28个V,以后有多少个V,不知道,可能以后数字都不用了。现在情况,一方面,数据正在变成一种生产要素,像Economist上面说,已经是新时代的石油。一方面数据的产生越来越快,一方面越来越有用,另外一方面越来越多、生产越来越快,这个使得我们在这种情况下怎么来界定数据产权才是有利的,就像Demsetz当年讲的一下,说一样东西只有将它外部性内部化的收益超过它内部的成本的时候,它的产权界定才会产生,这就告诉了可能数据产权问题前几年不是一个大的问题,但是这几年可能是重要的问题了。

说到数据产权,可能这个问题非常复杂,要解读这个问题我想我们首先要解读一个问题,就是说到底什么是产权?首先我要说明的是,产权这个东西是不如所有权的,因为我前两天讲了这个是数据产权问题,马上有一位律师就说你讲的是不对的,但是我其实想纠正一下,第一个,产权不是一个所有权,所有权是一个法律上面的概念,是一个绝对或者普遍的权利,但是产权是一个相对的经济的概念,他讲的是一些相对的权利,他是指不同的所有权主体,在交易当中形成的一系列的权利。另外一个方面,就是说产权他是一种权利,我们这边要说明,就是一种权利他当然是当中包括一些使用权、收益权、处置权、转让权等等。当然这些权利你可以说这些权利笼统的一起加以界定,分配给哪一方,也可以把这些权利分开界定。在我看来,我个人认为在现在的情况下可能要把这些数据的产权当中的一组权利分开界定可能是更加合理一点。

要怎么样来进行一个数据产权的划分呢?因为我是做经济学的,所以我提出的标准一定是一个经济学的标准,经济学的标准是什么?笼统的来讲,就是说是我们要设立的一种产权的界定方法,使得他们所能产生的一个社会的收益要超过社会的成本,并且使得这个一个净的收益最大化。我们可以以一个具体的情境来讨论这个问题,当然现实当中非常复杂,因为数据涉及到非常多的主体,前几天我们的会议上面,他们告诉我你可能是涉及到企业、涉及到个人,结果后来有一位老师马上提出,说你不能忘了政府,政府是一个非常巨大的主体,所以我们也记得,我一直记得我们要不忘初心,我们讨论问题的时候我们其实是可以用一个具体的情境来思考这个问题。我们举一个具体的情境是什么,就是说当我们个人,比如说在网上面进行一些交易,然后我们这个是平台,收集我们很多行为的数据,这种情况下这些数据应该要归顺所有。如果根据我们经济学的思维方式,我们就可以来想象一下,如果说是我们把数据的产权界定给了平台的话,他的收益是什么,收益是两方面?一个是他的数据的规模经济,一个是范围经济。我们想一想,一个数据如果是在我们把这个数据放在我们手里的话到底有没有价值?它可能也有价值,比如我叫陈永伟,我知道我叫陈永伟,我知道我住在哪儿,事实上这个价值可能并不是特别高的,或者我知道我今天买什么东西,可能有助于我以后写我的回忆录,或者大家以后比如说赵精武的一个购物清单,以后他女朋友查岗的时候可能有用处,这个小子今天又花钱了。你说有多大用处呢?未必有特别大的用处,如果把这些数据总结到一个平台上面,由平台综合利用,第一,把这个数据的量能做到很大,第二,维度非常多,可以看到比如我陈永伟这个名字可能本身不包含任何东西,但是如果说比如说他叫杨东老师、还有精武,他们的名字一分析,然后说取你陈永伟这个名字的人可能就能分析出你家庭的教育程度不会很高,为什么?要不然不会取那么土的名字,一般会取诗意的比如精武这样的名字,这是范围经济,但是我们个人范围经济是不存在的。这是把数据产权界定给平台的话,可能他能获得的收益。

第二,如果把数据产权给平台的话他当然也有成本,他有什么成本呢?一方面他有一个侵权的成本,他掌握了你那么多信息,他可能到时候会来侵犯你的隐私权,第二,会产生现在很热议的数据垄断的行为,当然我觉得在具体的讨论当中我们是需要来对这些成本和收益进行权衡,这是一个经济学的分析框架,当然正如经济学家经常做的一样,就是说他会给你一个分析的框架,但是经常基本上是没有用的。所以我们可以做思想的实验,回到刚才的当中,比如他可能有成本、可能有收益,成本和收益当中哪个更高,这种情况到底应该界定给平台还是界定给个人呢,我们可以做一个思想实验。我想大家可能很多人听说过科斯定理,意思告诉我们,如果交易成本是0的时候,我们把这个东西初始的产权界定给谁是不重要的,因为最终我们是不同的人之间可以通过讨价还价再使得这个产权得到最优的划分,但科斯在他原始的论文当中举的是放牛的例子,如果是农民很愉快的放牛,可能会造成什么后果呢?可能会造成他踩坏隔壁农夫种的庄稼,这个时候比如说农夫就可以跟放牛人进行讨价还价,你原来养一百头牛,你养第一百头牛的时候可能能得80块,我告诉你现在愿意付你90块,因为你对我造成的损害是100块,我付给你90块你少养一头好不好,他说那可以。你在这种情况下我们一直会讨价还价,最后讨价还价的一个差价一直会到两个人之间对多放一头牛、少放一头牛差价不存在,这个时候就达到社会最优。相反,如果我们现在规定农夫可以有权利来决定牧民是否可以养牛的时候,也可以讨价还价达到最优的情况。

如果把思想实验用来分析数据的话,其实也是同样成立的。如果在市场上交易成本是0的话,我们无论是把这个数据界定给一个平台还是界定给一个个人,最终都可以通过讨价还价达到最优的配置,当然现实当中科斯也说了,在现实当中交易成本是不为0的,所以现实当中产权的界定归属才是重要。但是尽管在现实当中说交易成本是存在的,所以产权的界定是重要的,但是无交易成本实际上可以作为我们思考的东西,什么时候这些交易成本是很好的呢?我们可以给出回答,在实验当中。有没有人做这个实验?显然是有的,微软的首席经济学家Susan Athey曾经做过一个实验,他发现实验室当中即使那些宣称对自己的隐私非常重视的人,他也会以非常小的代价出卖自己的数据。大家可以反思一下,比如前几天我在三里屯吃饭,他们告诉我5块吃一个蛋汤,你填一个东西可以免费获得这个5块钱的蛋汤,我很高兴的填了,并且我告诉我的朋友们之后,他们也说到底哪填的我们也要去填一下。其实大家反思一下,很多情况下我们是不是,其实那些所谓的平台收集的数据都是我们自己泄漏出去的,其实我们也是用我们泄漏的数据交换了一个我们可能便利的服务等等。所以从这点上来看,如果说交易成本很小的话,这个数据最后是会流到哪儿?通过自动交换会流到哪儿?显然会流到平台,因为对平台来讲这些数据对他们更有价值,而相对来说我们自己来说对我们的数据很有价值,事实上并没有那么多的价值。当然我们这边说了,可能产权这个概念是太大,我认为平台至少拥有一部分的产权,例如说使用权跟收益权是可以的,而作为个人来讲,我想他至多应该是能做到分享部分的收益权就行了。但是如果让平台拥有产权会有很多的隐患,我们刚才已经讲了,第一个,可能侵犯隐私权。不过我要提醒大家,隐私权的概念是历史的概念,工业社会之前事实上我们是没有隐私权的。其实不用到工业时代,比如说在我小时候住在一个大杂院里边,比如说每天洗澡的时候大家都是看到,我们这个时候提什么意思,为什么呢?因为这个时候我们拥有隐私权的收益是小于我们拥有隐私权的成本,你在这个时候拥有隐私权是不重要的,这是我要提的第一个方面。第二个方面,隐私权事实上是在侵权的背景下提出的,最早是Warren和Brandeis提出,隐私权是利用侵犯别人隐私对别人的生活造成了不便,但是如果我是对你造成便利的呢,可能我觉得在这方面他可能不涉及到一个隐私权的问题。所以在信息时代我觉得可能是个人放弃一些隐私权而获得一些服务的便利,可能是更加有利的。

第二个,如果是平台拥有产权的话,可能是导致一个垄断的隐患,当然这边其实我们要思考一个问题,所谓的数据平台可能造成垄断的话,涉及到一个重要的问题,这个数据到底是不是可以被替代的,这个平台到底能不能那么容易的垄断这个数据,其实现实当中是挺难的。比如说你可以去垄断我们这边所有人的住宿信息,OK,这个平台你说他是可以垄断吗?其实他不是重要的,如果我另外一家企业我知道你每天的出行信息,我也可以把你的一个住处反推出来,当然在这方面可能也是有一定的争议的,这是有一个实证的问题,可能还需要争论下去,就我个人来看可能让平台拥有产权的话,问题也不是那么严重。

最后我想讲一下,其实我们讲数据的产权界定本身是很重要的,但是事实上我认为,用什么方式来保护产权是很重要的。比如说沿着我刚才的思路走,如果是我们把数据的产权界定给了平台的话,是不是可以有办法克服我们刚才提出的那些问题呢,我们认为是有的。这边我想我们重新回到Calabresi 1972年的论文,他当时提出了财产规则、责任规则、不可转让规则,他提出交易成本很低的时候适用财产规则,交易成本很高的时候可以适用责任规则,对于我们那些数据,假使我们已经把他的一些数据产权界定给了一些平台企业,我们可以怎么样抑制那些是侵权问题呢,我觉得可能这个情况下我们应该要对这些平台的一些权利让他适用于一个不可转让性。虽然这些平台可以用这些数据来进行使用,但是不能对它进行转让。

另外怎么样去抑制这些平台可能产生的垄断的问题,我认为可能应该要适用Calabresi讲的责任规则,如果说我们要使用数据跟平台去讨价还价,事实上交易成本是很高的,我们可以用先使用后付款是更好的,我记得Linkedin的案例是有一些启示的,最后是可以用领英的数据,适用了责任原则的思路。这个当中我们还需要设置一个重要的问题,如果适用责任规则,最后数据使用者对数据产权所有者要进行一定的补偿,在这个估价到底怎么来,这个可能就是另外一个问题,可能需要我们有一个数据市场的建设,从而让数据很好的形成他的一个价格。

小结一下:

第一,数据产权很重要。

第二,界定产权应该要考虑当中不同的权利。

第三,要从成本收益的角度出发。

第四,我们可以用科斯定理进行思想实验。

第五,平台和个人之间,可能平台拥有产权是更加的。

第六,除了重视产权界定的问题之外,我们还应该重视产权保护方式的选择。

商用无人机发展中的个人隐私信息保护——美国经验与可行保护路径

报告:张凌寒

东北师范大学政法学院副教授

论题引入:

其一,图为2017年国际消费电子展上,大疆公司推出的GS Pro APP(一款配合pad用的软件),用来操作其产品“悟”Inspire 1,该APP实现了无人机的完全自动飞行[1]。

   其二,背景:无人机发展迅速。商用无人机的应用领域除了娱乐用途之外,进一步扩张:包括农业领域,石油、天然气勘探,电气工程,房地产,快递运输业,新闻业,电影电视拍摄方面,甚至救援任务。无人机应用前景广的另一面,无人机侵犯个人隐私的案件也频发。2015年到2016年间,美国各州发生多起无人机侵犯隐私信息的案件。堪萨斯州,一男子报警称其邻居的无人机在男子的女儿卧房窗边出现[2];迈阿密州的高层建筑中,一女子报警称在其哺乳其子时有无人机在其窗边窥视[3];布鲁克林区的一位新闻工作者称:在其13楼的报社办公室窗边,一搭载有摄像头的无人机在其窗外长时间悬停[4]。

3、提出问题:商用无人机收集个人隐私信息的天然便利性:机动、快速、经济。

 对于信息依存企业而言,无人机的主要作用是收集用户个人信息。

4、举例:图为亚马逊专利(17年7月)。该公司计划未来派无人机配备数据抓取传感器,扫描客户的房子,分析客户的购买行为,并为客户推荐更多的商品。其获取信息的能力远超过人们的想象,不仅仅是房屋外部的个人信息,通过扫描技术,无人机技术可以收集到房屋内部的信息。

5、现行规制(标题页,无内容)

6、中国:无人机规制主要由两部分组成:其一,行业自律。其二,行政法规。主要措施是划分整体空域的“禁飞区”制度[5]。各省、直辖市依据各地情况自行规定禁飞区。有地区设置严格,未经批准,严格限制民用无人驾驶航空器进入车站、街道、公园、大型活动场所、展览馆、学校、医院、居民小区等人口密集区域[6]。另一些地区则更注重机场净空保护[7],对人口密集区域的无人机飞行未做规定。从整体情况看,禁飞区规定的制定目的仍然是保障航空安全。

7、美国:美国FAA对于无人机飞行空间按照纵向高度来划分空域,不进一步区分无人机公共航道与私人领域的横向范围。从现有的空间划分上来看(见图),商用无人机可能飞行的空域被划分为三个部分:其一,1958年FAA将通航空域[8]定义为地面垂直距离为500英尺(约152.4米)的空域[9],这部分空域属于公共空间,也是大型航空器的最小安全飞行高度[10],出于安全因素的考虑,商用无人机禁止在此空域飞行;其二,根据2016年FAA制定的关于商用无人机的新规,该规定无人机最高飞行高度为400英尺(约121.9米),与航空空域之间预留了100英尺的安全距离;其三,无人机飞行高度(排除起降阶段高度)的下限由于不涉及航空安全因素,因此并非FAA的关注重点。

总结问题:现行规制是以无人机以及其操作者为中心,以安全问题为重点的机制。个人信息保护问题并非重点,但是实际上无人机只要经过申请登记就可以在城区飞行,对个人信息而言,无法确定侵权人的无人机是一个可移动的小型监控。转变思维:建立以个人信息保护为中心的无人机规制机制。

8、提出方案:(标题页,无内容)

9、建立以RFID技术为基础的双向个人信息保护机制

该机制由三部分组成:

其一,关于无人机的有效管理方式,作为基础技术引进的是有源识别射频技术(Radio Frequency Identification,简称为RFID技术),用于识别近空中的无人机[11]。原始的RFID技术识别系统由芯片和感应天线组成[12],实际上已经在全球各国广泛使用,比如电子不停车收费系统(ETC)[13]。以RFID技术为基础,可以建立一套有效的无人机识别系统。包含三部分:无人机信息登记系统(有登记无人机的信息)+无人机搭载RFID技术识别芯片(300米范围内可被感知)+个人可获取搭载RFID技术的APP客户端(可获取经过无人机的信息)。

其二,强制性义务:商用无人机所有者的登记注册义务与注意义务。首先,所有无人机应履行登记注册义务,由登记注册部门将无人机信息登记,并同步上传无人机的登记注册码至APP客户端,以建立切实可用的无人机快速识别系统。其次,无人机的操作者应在操作中应对地面个人的信息尽到不同程度的注意义务。

其三,指导性建议:隐私信息权利主体提高权利防御意识。以RFID技术为基础的APP赋予个人保护个人信息的主动权,避免个人为击落无人机而采取过激的自力救济行为。

 总结:针对无人机技术的现阶段发展情况,以RFID技术为基础的双向个人信息保护机制能有效地在侵权情形下授权个人定位侵权者,同时对无人机所有者起到义务告知的作用。但是这种制度的实施,必然需要生产和使用无人机的企业、政府管理部门以及作为受众和使用者的个人,这三者共同合作,起到各方作用,才能使之切实可行。


[1] http://www.ifanr.com/770973

[2] Leawood Man Says Peeping Tom Flew Drone next to Teen Daughter's Window,FOX 4 NEWS KAN.CITY (Oct. 9, 2015, 10:37 PM),

http://fox4ke.com/2015/10/09/leawood-man-says-peeping-tom-flew-drone-next-to-teen-daughterswindow/;

[3] Carey Codd, Brickell Key Woman Says Drone Spied on Her as She Breastfed, CBS MIAMI (May20, 2015,

11:00 PM), http://miami.cbslocal.com/2015/05/20/brickell-key-woman-says-drone-spied-onher-as-she-breastfed/.

[4] Claude Scales, Drones Spotted Outside Eagle Offices, BROOKLYN HEIGHTS BLOG (Aug. 15, 2015, 11:33 PM), http://brooklynheightsblog.com/archives/76132.

[5] 2015年民航局公布的《轻小型无人机运行管理规定(试行)》(AC-91-FS-2015-31)中规定:“15.1.6 满足当地人大和地方政府出台的法律法规,遵守军方为保证国家安全而发布的通告和禁飞要求”。各省直辖市以此为依据设置各地的禁飞区。

[6] 2017年6月江西省公安厅发布《针对民用无人机发布飞行管理通告》,链接见:http://jx.people.com.cn/n2/2017/0610/c190181-30307752.html;2017年7月广东省公安厅发布《关于加强无人机等“低慢小”航空器安全管理的通告》,链接见:http://www.gdga.gov.cn/xxgk/jfgg/201706/t20170629_793490.html,最后访问日期:2017年8月27日。

[7] 《四川省民用无人驾驶航空器安全管理暂行规定》,链接见:http://zcwj.sc.gov.cn/xxgk/NewT.aspx?i=20170818212119-634178-00-000,最后访问日期:2017年9月2日。

[8] 通航空域:联邦法允许航空器以最小安全高度飞越土地的这段空域。原文见:Troy A. Rule, Airspace in an Age of Drones, 95 B.U. L. REV. 155, 203 (2015).at166.

[9] Federal Aviation Act of 1958, Pub. L. No. 85-726,§101(24), 72 Stat. 731.

[10] Florida v. Riley, 488 U.S. 445, 445 (1989).

[11] Steve Ragatzki, Filling in the Gaps in FAA Drone Regulations: A Proposed Dual-Zone Model of Personal Privacy, 25 Mich. St. Int'l L. Rev. 193, 231 (2017)

[12] Radio Frequency Identification (RFID) Frequently Asked Questions, AIM, http://www.aimglobal.org/?page-rfid faq.

[13] Jennifer E. Smith, You Can Run, but You Can't Hide: Protecting Privacy from Radio Frequency Identification Technology, 8 N.C. J. L. & TECH. 249, 257 (2007).

网络服务提供者执法协助义务边界

报告:陈廷 

军委政法委

涉密,略

反思合理隐私期待标准在网络时代的适用——重读Katz判例多数意见

报告:王星译

中国政法大学证据科学研究院博士后

谢谢主持人!各位老师、前辈、同行,下午好!我是王星译,来自中国政法大学证据科学研究院,刚刚主持人反复强调说今天下午时间特别有限,我刚刚说的我这篇文章结构简单、清晰、观点特别明确,可以一句话概括核心观点。

我这篇文章的题目大家能看得出来是属于比较法研究的一篇文章,而且主要是以分析美国的Katz判例和后续发展,来考察合理隐私权期待标准的发展脉络及其现代是否还适合当前全新的网络时代的现实背景。

我先摆出核心观点,美国法上合理隐私权期待标准在司法适用当中被异化,而且自身也存在一些实践的困境,可以认为它当前没有办法应对网络时代的这些挑战,换言之,这个Katz标准并不能充分的为公民隐私提供保障。下面时间有限,我就简洁的来概括一下,如果待会儿有问题的老师或者前辈我们讨论或者评议的时候再进行深入的开展。

首先需要讲的两个问题,一个是,这个主题是关于美国判例法的介绍,而且是对美国判例法的教义学分析。可能会面临一些问题,比如大家觉得说你研究美国法跟中国有什么关系?其实我的立场是:比较法研究是非常必要而且很现实的问题,不光美国有这样的问题、中国有这样的问题,在法律全球化和经济全球化这样一个宏观背景之下,人类或者法治国不分国别、种族、民族都会面临同样的问题,学术研究应当不能仅仅局限于现实或者局限于本国法,应当放眼于全球这一个开放宽容的心态,走在法律的前面,不能说走在未来的前面,有一个超前的预见性,这样才是一个法学学者应当有的基本的法学素养。这个也是我想要跟大家分享的一点关于比较法研究的态度。

到底什么是Katz标准?Katz是美国联邦最高法院在1967年在宪法第四修正案语境下做出的一个判例,这个标准包括两个要素,即是说对于公民的隐私权期待要考察以下两点,第一点是,对于某个东西个人有没有隐私权的真实期待?第二个要素,这个公民所享有的真实的隐私权期待是不是在社会上被认可为具有合理性?所以这两个标准被认为是Katz标准分别说主观标准和客观标准,这是当前美国对于公民隐私权保障的一个现行法的标准,被概括为Katz标准。

但是事实确是,在实践过程当中Katz标准到现在应该有半个多世纪了吧,现在客观世界也发生了相当大的变化。尤其是网络时代,信息爆炸,而且大家通过一些手机、APP、网络这样使信息更具有近用性。基本上每个人都可以得到各种海量的信息,而且这些信息其实不止是说可能为公安机关非法所得,其实人们不需要非法手段就能获得这些信息。因为像刚刚前面几位前辈也讲到,很多信息是我们自愿的公布给个人、他人或者社会、或者政府的,所以他们不需要非法手段就能获得这些信息,那么这些信息应该如何使用呢?所以这是我这篇文章研究的一个出发点。至于为什么说Katz判例他有实践困境呢?因为本来这个标准,刚刚我讲到两个标准,就是社会是否认为个人对这个期待具有合理性。首先这个标准他有一个循环的悖论、一个逻辑,比如说社会期待,对于某项东西我们往往受到法院的判决或者立法的影响,如果根据这个标准,法院个案裁判的时候可能要考虑到这个社会上的价值或者社会上理念是什么样子的,最终回到所谓的期待就变成了法院判决的影响,所以这是第一个原因。第二个原因是因为Katz标准本身现在大家如果了解到美国法也知道,判例法上可能有一些法官他的态度会前后发生变化,所以这个适用标准会不一致,包括一些矛盾、冲突或者缺乏连贯性。还有一个就是,比如说刚刚前面有位前辈讲到的无人机,像这些比较新的高科技手段在当时这个判决做出的时候并没有被联邦局所考虑到,这也是社会现实的矛盾,我没们有办法逃避这个问题。第四,Katz标准的应用偏向于经验论与概率论,反而不利于对合理隐私权期待的首要性判断。

所以问题出在哪儿了呢?如果我们要读这个案例大家可能会知道,所谓的合理咨询标准Katz标准其实是大法官写的一个附带意见,并不是这个判决的多数意见,多数意见中其实讲到这个标准虽然有他的积极意义,而且适用比较明确,有两个要件,分第一步、第二步判断就可以了,但是还是没有办法对公民的隐私权提供相当充分有效的保障。我个人觉得,多数意见的标准可能更宽泛一些,即如果公民隐私具有正当的信赖,那么该信赖应受到国家或者政府的保护,当然这个可能会也有一些比如说存在一些不确定性、不适用性的考虑或者问题,但是我们如果两权相较的话,因为毕竟没有一个最好的标准来确定如何保障公民的信息,你可以从中选择一个最不坏的,或者虽然没有最优,但是可以讲最不还的标准。Katz判例多数意见所称的正当信赖,实际上是从宪法文本,即第四修正案中解读出来的,并考虑了公民个人安全与集体公共安全的保障及二者之间的平衡。毕竟公民权利保障不应过犹不及,而应当将其置于国家权力运行,社会治理等公共目标的实现之中。可以认为上述思路可以提供比Katz标准更广、更充分的隐私权保障,且给予法官有克制的权衡。我觉得时间也差不多了,如果有问题可以待会儿直接建议或沟通,因为毕竟这是一个特别狭窄、特别小的一个主题,可能我没有讲的太明白,毕竟这也是部门法比较的研究和其他法理学或者像计算机科学或者学科研究方法论上不一样,不足之处,请大家多多包涵。谢谢!

大数据环境下侵犯公民个人信息罪法益的应然转向

报告:敬力嘉

武汉大学法学博士

尊敬的各位老师、各位同学,大家好!非常荣幸有这样一个机会给各位专家做自我学习、体会的简要报告,如果有错误的地方敬请批评指正。我的汇报题目是“大数据时代侵犯公民个人信息法益的应然转向——兼论公民个人信息刑法保护规范体制的完善”。

首先是问题的提出。我们的生活空间正在加速的数据化,因为从我们企业的经营方式来讲,社会数据就是关于公民的活动、行为方式、兴趣爱好等等,能够识别公民社会属性的这些个人数据它已经逐渐成为我们企业经营的核心,可以说是互联网时代的黄金,同时我们以互联网为基础的信息也正在加速成为社会的基本结构,大数据环境下数据是黄金也是权力,但企业和国家都蜕变为“渴望数据的利维坦”,这样的危险是现实存在的。在自由法治国的语境下,应该有明确的法律规范体系,刑法规范也不例外。我们在刑法中具体直接对应的就是侵犯公民个人信息罪253条之一,本罪采取的是情节犯的立法模式,在刑法规范的层面有非常强的明确性跟确定性的要求,所以要明确情节严重和情节特别严重的构成要件的行为所侵害的确切法益,而不是作为侵害对象的公民信息,才能确定本罪的保护范围。

首先是公民个人信息的个体属性和信息自决权。信息自绝权法院于德国、且发展于德国,是德国联邦数据保护法的根基,也是德国完善个人信息保护法律法规的基点,也是对欧盟一系列相关法规产生了长远而深刻的影响,内涵是面对国家使公民个体对个人信息收集、使用和处理的决定权。之后因为时代的发展,信息自决权超越了为公民个人面对国家对公民个人信息或者个人数据滥用的保护范围,已经构建成为普遍意义上公民个体对于个人信息进行收集使用和处理的决定权。当然它不是排他性的支配权,德国宪法法院在相关的判例当中也明确了要符合显著公共利益、基于法律保留的合目的、透明、必要与合比例性这四项基本原则。

在我国的现行宪法第2章公民基本权利和义务中第38条也规定了人格尊严的条款,根据我国宪法学界通说,是朝着德国宪法判例意义上一般人格权的方向进行构建。根据本条的规定,证成信息自决权是我国宪法所保护的新型具体人格权,应当不存在理论障碍。作为刑法法益的信息自决权是需要进行否定的。世界各国对于信息的界定不尽相同,总体来说是以公民个体的识别性为一个基本标准,具体来说有两种进路,第一种,将个人信息界定为个人有效识别公民个体自然属性,识别个人身份的一些相关信息,遵循这一进路的代表国家例如由美国跟我国,我国《网络安全法》第76条第5款的个人信息的界定,包括我们的最高检出的侵犯公民个人信息罪的司法解释,对于个人信息的范围界定基本是遵循了对于公民个体自然属性识别的这样一种思路。第二种是否则个人信息的个体属性,将它界定为能够有效识别公民个体社会属性的相关信息,这个进路是以德国为代表。

个人信息流动的载体,就是网络服务提供者和收集使用处理的主体,就是其他公民个体、国家行政主体、网络服务提供者以及它指向的权利对象,就是公民个体并不一致。公民个人信息的具体形象,应该是以公民个体为对象的信息图像。

    侵犯公民个人信息罪法益的信息自决权之否定。第一,大数据环境下,个人信息的社会属性,决定了公民个体不直接享有公民自决权。在这个图中我们可以明确的看到,在整个信息流动的链条过程当中,我们的公民个体除了跟其他个体之间的信息流动掌握有主动权之外,针对其他行业主体我们公民主体都无法自主决定我们信息的流向。以企业为例,之前也有专家老师都有讲到,APP来让我们对个人的数据收集获取实施同意的服务协议,实际上是我们公民个人对于信息自决权放弃的声明,我们如果不同意这样一些条款就无法使用这些软件所提供的服务,正确适用本罪应该明确保护法益的类型。第二种进路是信息安全,信息安全的进路我认为不能够,因为信息安全和信息自决价值导向相冲突,不能明确本罪处罚范围,也不能提供刑事违法性的现实根据。我是提出了信息专有权的概念,具体来讲是法定主体对于所占有的个人信息的处分权限,在我的文章中对这个概念会有系列具体的厘清。

我在文章当中根据我们的刑法条文和司法解释的规定,情节严重和情节非常严重以及相关的数额和情节的具体标准也作出了自己的个人理解和分析,结论是应当在大数据环境下,从安全本位转向权利本位,以信息专有权为刑法所保护的核心法益,构建与完善刑法对公民个人信息保护的规范体系。各位如果对这个主题还继续感兴趣,欢迎大家批评指正,参见我具体的文章。谢谢!

评议

刘晓春

中国社会科学院大学互联网法治研究中心执行主任

谢谢赵精武博士,我也是之前接到了精武布置的任务,要求我们重点来点评其中的一篇文章,我接到的任务是王星译博士的论文。刚才王博士在她的介绍当中的确是限于时间,很多精彩的内容,包括主要观点没有特别全面的展现出来,我之前还是很认真的阅读了她的文章,在此谈一下我的感想。首先,这篇文章在合理隐私期待标准这个问题之上,更多的是政府对个人进行搜查、扣押行为本身的合法性以及跟公民的隐私利益之间的关系这样一个角度的考察,跟我们当下经常在讨论的个人信息保护或者隐私保护可能还是在背景上和限定上是有一定的区别,这篇文章可能更多的是在政府行为的合法性上去进行判断。我们现在讨论隐私和个人信息保护,比较常见的是从《网络安全法》的角度,或者从《民法总则》的角度讨论个人隐私,或者放在更大的框架上探讨,包括刑法上可能会从风险控制的角度来谈。比如后面的武汉大学的敬博士,实际上他的角度对王博士这篇文章是很好的补充,因为他是把个人信息作为信息自决权作为起点,并提出了专有权的概念。

    这篇文章讨论合理隐私期待标准的思路是,梳理了美国法上很多很细致的案例和不同的标准,去判断特定场景之下政府行为和个人权利之间的关系。此外还引入了集体安全的问题,包括与合宪性审查相关的一些权衡原则。所以要理解这篇文章,需要首先分清楚这样的隐私和我们平常讨论的隐私在概念背景上的区分。

    如果说在政府行为或者政府对数据的获取这个意义上谈隐私的这个问题,在中国的场景之下,除了界定清楚概念,比如个体应该有什么样的期待,或者个体应该有什么样的权益,政府应该有什么样的行为边界之外,可能还需要一套更复杂的机制来进行一个保障,这可能本来也不在王博士这篇文章的讨论范围当中,但可能要放在这样的背景之下去考虑。

    另外一方面,我想谈一下对于合理隐私期待标准,以及文章后面细致梳理了很多标准本身的发展和进行一些反思,包括正当信赖标准。这对于我们去理解现在中国和全球面临的隐私和数据治理问题会有一些启发。如果在我们现有的中国法的框架下来看,目前可以认为至少是从整体上是借鉴了一个权利导向的一个框架,会给予主体一个权利,比如核心体现为知情同意的权利,这有点类似于刚才敬博士提到的自绝权或者控制权或者专有权这样的机制。我们会在这个设计上先给他一个权利的框架,这种设计可能是一种确定化的机制,先确定一个标准,然后任何人的利用行为可能都会是对于权利边界的一个入侵,这种情况之下其实我们不一定需要考虑所谓的合理期待或者正当性,我们首先是确定了这个边界,认为这个边界里所有东西都是需要经过明确的授权的,这也是借鉴了欧洲的框架。

    不同的机制会具备不同的优势和劣势,王博士在文章里提出了对合理期待标准的批判,比如说过于缺乏确定性,导致反倒后来成为排除隐私保护的机制了。“隐私期待”或者“正当合理”这样的表述,优点在于可以很有弹性,可以把特定的社会环境下的特定政策,特定的社会状况,民众的心理和认知状态都纳入进来,它具有开放性,有可能会有助于实现个案当中的实质正义,但是缺点也同样很明显,缺乏规则的可预期性和确定性,这恰恰是框架性的、确定性的权利客体的建构机制可以去解决的。

    如果我们回到确定权利框架或者客体框架下来考虑,美国的这一套“合理期待”标准,包括前段时间我们在人大法学院的读书课上讨论到的美国FTC在实践中确立的“消费者期待”的标准,是不是可以通过一定的机制纳入到我们的框架里来。在某些特定的情况下或许用来对“知情同意”作出解释或者限定,虽然不是明示同意,但或许可以通过“合理期待”的概念或者通过“默示”的概念来建构、推定同意的成立。回到刚刚陈永伟老师提到的,制度建构过程中需要作出成本收益的衡量,如果我们做一个非常刚性的、僵硬的权利客体的机制的时候,我们可能会创设很多成本,牺牲很多收益,可以通过软化刚性设置,把一些能够降低交易成本同时又符合理性的例外规则引入进来,为“同意”这个概念构建的一个开放的可能性。这是我粗浅的一点想法,请大家指教。谢谢!


杨乐

腾讯研究院高级研究员

谢谢各位!谢谢主办方的邀请!结合我们在整个站在互联网一线企业对于近几年中国的互联网相关的立法,以下是近几年大家关心的最核心的几个问题。第一个,是在市场竞争领域其实是围绕着以数据形成的各种新型竞争规则的变动以及新型竞争规则的挑战,这里面有大量的案例已经涌现出来。第二个核心问题,在网络治理领域,会围绕着提供双边市场网络平台的法律责任的问题,特别是在去年以及前年的各种研讨会,属于频次出现高的关键词,从去年底到今年这一年以来,其实更多的是围绕着个人信息保护、个人隐私以及大数据合理利用之间的这个问题,套用一句十九大报告对于中国最主要社会矛盾的变化,我们放到大数据和个人信息保护的领域,其实可以体现为人们对于大数据新技术为社会运转、日常生活带来便利的美好需求和个人信息保护不平衡的这一对矛盾来看。第二个我想说的是,在以数据为核心的法律关系当中,其实会涉及到个人、企业和政府的三方主体,按照流程上至少是可以分为数据的生产者、数据控制者以及数据的使用者。我们再回到个人企业和政府三方主体分别来看,其实个人的数据权至少应该是包含了人格权,主要是以隐私权为核心的这个范畴。隐私当然是一个历史性的概念,他以个人的人格尊严为关注点,在个人的项下还应该包括了财产权。首先我们去想个人用户作为原始数据的生产者,他是否能够享受到或者说是否应当享受到这种数据相关的收益权,这块其实很多的论述以及实践中的案例还没有涌现出来,但我觉得这其实一个值得关注的点。

第二个主题,企业。企业的数据权利也包括了几种,第一点其实是法学界最先动起来的那部分部门法,知识产权,企业的知识产权是最先出现的跟网络相结合的领域,这两年出现的争端比较多的就是数据的经营权,企业的数据经营权和数据的财产权,刚才提到的各种各样的数据竞争的案例不断的出现,其实都是中间的边界不清楚导致的。跟企业项下相关的第三块的内容其实涉及到的是数据的跨境问题,尤其是随着中国的互联网企业不断的向外走出去,像摩拜单车都已经发展到英国、发展到很多海外国家,很多城市,涉及到数据跨境的问题怎么解决。今年9月13日欧盟发布的非个人数据自由流动条例的一个提案,其实他是从界限上非常明确的区分出来个人数据和非个人数据两类数据其实是立法规制的原则是完全不同的,对个人数据要加以严格的保护,反而对非个人数据要促进它的积极自由流动和共享。

回到第三个主体上,对于政府来说,政府的角色越来越多元,既是社会的管理者,同时也是数据的控制者和数据的使用者。一方面要在信息公开,包括像贵阳大数据交易等等这种数据交易的问题,更重要的是放再一个国与国之间的关系,还涉及到整个的数据严重或者国家安全或者国家的数据主权的问题。围绕这几方主体的多个权益,其实中国现在互联网的立法都在逐步的推荐当中,我们整体的法律秩序正在建构,比如以个体为入手,我们经常在民法典里设一个人格权篇,还是一个独立的个人信息保护法,二者之间怎么协调的问题,围绕着企业,当然我们的《反法》也在修订,我们数据的各种规则,关键基础设施的各种条例都在制定当中,同样对于政府来说,政府的信息公开条例也正在制定过程当中。其实我们站在企业一线的研究者来说,特别希望我们法学界的各个部门法的学者、研究人员大家能够站在一个超越部门法的界限的基础上,能够宏观的通盘的去考虑这些问题。

以上就是想跟大家分享的问题。谢谢!


许可

中国人民大学法学院助理教授

谢谢主办方的邀请。非常荣幸来到这里谈一些看法,我跟永伟兄一见如故,第二见就变成老朋友了,所以我说话就可以很直接。

我觉得永伟兄的报告是非常鲜明的反映出了经济学的力量和经济学的弱点,力量毫无疑问,我们看到永伟作为一个外行,施施然就来到我们法学圈里面,对数据问题提出非常有价值的和值得我们进一步思考的很多议题。他的很多观点,我确实觉得非常有洞见和有启发。就弱点不用说了,因为他不懂法嘛,所以永伟的很多问题需要在法律的框架下进一步去思考。其实这也是法经济学里面很大的弊端,法经济学当应用到法学的领域去的时候,很容易被传统的法学研究者质疑,质疑有两个层面,第一个质疑,视角确实很新颖,但是结论没有什么新意。第二,即使你得到这样的结论,但是忽略了其他法律体系的考虑,个案中的效率性和整体性的效率没有完全好的匹配,我觉得这个是法经济学必须面对的两个问题。

回到关于数据产权的分析当中我想谈几点,第一点就是说,数据是要被产权化,我是非常同意的,但是这里面问题在于怎么衡量数据的价值和数据界定的成本,他的价值好像很大,我们都知道所谓数据都变成了石油,石油可不是非常有价值的嘛。但是成本来说,作为产权必须有两种成本,一种是建立集中化的登记系统或分散化登记系统的登记,第二个,每一个产权确定的时候确权的时候必须自己去登记,还有怎么去登记,就变成了分次的登记成本。一旦登记之后我们进行交易,交易会产生另外一个成本,必须要去估量这个产权的边界在哪儿,你的数据的权利边界在哪儿,所以产生的估量成本,这两个成本可能专业成本还比较好解决,因为本身是电子化的,这种估量成本就很难,实际上也是数据进行交易非常困难的一个原因,因为这个数据我们没法判断边界在哪儿,所以交易非常困难,这就是为什么大数据交易所,比如说贵阳、上海都很难交易成功,为什么德国法对数据采取商业秘密的保护而不是采取权益的保护,这个问题不是说不可以做,只是说该怎么做。

 第二,在数据赋权的时候到底赋给谁,赋给用户还是收集者和使用者。第一讨论的是,交易成本有多高,如果按照科斯定理,交易成本为零的时候赋给谁都一样的,如果交易成本比较低的时候,应该允许他们进行自由交易,永伟可能一下子跳出来说交易成本太高了,所以我们必须通过科斯定理的第三个版本或者霍布斯定立,直接富给对他定价最高的人,因为平台对数据定价最高我们富给平台,但是一下子得出结论太快了。通过平台的用户集,其实我们实际中大量的通过数据协议包括隐私政策、隐私条款进行这个权利的我们叫做通知并选择或者统治并同意这么一个标准,通过电子这个场景下的达成交易的成本到底有多高,我觉得应该是一个需要考虑的问题,我觉得要分成两个部分,第一个部分我们讨论哪两类数据,第一个数据就是说,如果个人主动提供的数据,比如我的信息姓名,我的家庭住址。第二个增值的数据,通过数据的处理者对于各种网上活动进行收集整理的数据,比如数据引擎、电子商务,对这个数据进行谈判的时候实际上他们交易成本并不高的,因为我主动提供的。但是第二种我们进行电子商务记录、用户使用习惯这种进行交易是非常高的,因为用户自己不知道,而且用户使用之前,商家或者数据的收集者也不知道,对于这些信息来说可能就是交易成本过高了,所以是不是还要进一步去考虑这种情况该怎么去考虑,还有一种情况,间接收集、二次利用、通过向第三方共享等等这些问题,可能也没有办法在事前进行约定,属于交易成本过高的。对于那些交易成本过高的,可以通过法定的强制性的赋权的方式赋给权利更高的人,比如说平台、比如说企业,对于其他的如果交易成本不那么高呢,我们可以考虑别的方式进行,这是关于科斯定理的赋权的问题。

最后谈到的property rule 和 liability rule的问题,我觉得在法学界看来,这个问题并没有那么重要,因为无论是财产权还是合同权利,都可能会同时涉及到两种规则的使用事实上,property rule和liability rule的选择,取决于法院决策成本和市场交易成本的比较。但实践上,在缺乏数据市场的前提下,法院很难判断数据价值。况且,大量数据是作为商业秘密保护的。因此,法院是否就是更好的权利维护者,存在不确定性。因而,是否property rule是更好的选择?其次,在property rule 和 liability rule之外,不可让渡性也非常重要,它常常和外部性联系到一起。在数据交易中,外部性会产生两个,第一个,市场的外部性,第二个,道德的外部性,比如说为什么禁止人体器官的买卖,是道德的外部性,同样的,对于个人的隐私、个人的敏感信息和敏感数据,可能要回到这样的问题去讨论。

时间有限讨论这么多,下次请永伟到人大好好讲讲。



石冠彬

海南大学法学院教授

昨天我是穿着短袖下的飞机,之后得到会务组热情的招待,让我没有感受到一点点寒意,真的非常感谢会务组的周到安排!根据会议负责人赵精武博士事先的指派,我负责点评无人机侵犯隐私权一文。事先声明一下,哥们农民出生,素质不是太好,所以评论的话可能有点难听,但确实是我的肺腑之言,希望作者有则改之无则加勉。下面针对该论文简单谈下我的几点看法:

首先,客观而言,无人机这个话题我并不了解,但为了做好点评,我查阅了部分文献,也发到了我们群里。科技的进步、成本的降低时无人机技术从军用到民用,至今已经有了非常大的发展。2016年全球无人机已经达到了200多万架,2017年2月的一项预测认为2017年底会达到299.64万架,发展速度是非常之惊人的。就中国而言,今年6月份我们中国民航已经展开了一个无人机的登记注册系统,要求实名注册登记,我从新闻看到的数据是中国现在总共有5万人进行了注册。所以,研究无人机侵权问题本身具有前瞻性、实践价值这一点是毋庸置疑的。

其次,个人觉得本文写作方向出了偏差,如果我没有理解错的话,本文实质上解决的是无人机涉嫌侵权时的举证责任问题,举个例子来说,“你在家里洗澡,无人机在上面飞,把你拍了,你怎么来查到无人机的主人”,就此提出了射频技术控制的观点,也就是相当于民航管理系统一样,掌握谁的无人机何时出现在何地这些信息,并通APP上传这些信息,从而让被侵权人可以据此查到相关信息。作者本该围绕这一问题,严格按照“提出问题——分析问题——解决问题”的思路来对上述问题展开论述,而不是像现在这样着重于无人机的各方面介绍,问题意识似乎并不明显。按照我个人的理解,这篇文章真的该重写,之所以这么说,文章无人机科普的内容比解决问题的内容还多,确实显得多余,文章第二部分完全可以用几句话说清楚,简单说,就是“无人机技术发展了,侵犯隐私权的认定出现了新问题”,完全没有必要向现在这样写。

最后,就无人机侵犯隐私权的问题,我个人觉得还应当考虑一个问题,就是权利受侵犯者的私力救济程度问题。在美国曾经有过70岁的老太太把拍摄自己的无人机击落,这样的行为有没有超过私力救济的幅度,是值得研究的问题。文章没有考虑这个问题,应该说是不完整的。

此外,按照我个人看法,除了证明侵权人这一点比较特殊外,剩下的无人机侵犯隐私权其实跟监控录像侵犯他人隐私比较相似,作者应该对此加以类比之类研究,我做过隐私权裁判的类型化研究,监控录像侵权这一点实践中法官的裁判规则非常多元,值得归纳总结。

还有,文章的个别表述可能并不准确。比如文章提到无人机侵权基于空间权理论不足这一点应该是存在瑕疵的,一个人在非建筑领域内也有被侵犯隐私权,这一结论是不存在争论的,所以纯粹认为空间权理论不足显然是不恰当的。

我特别想重复讲的一点还是觉得这个论文不像一个学术论文,真的应该进行精简。我在点评之前也跟其他专家交流过看法,就都觉得看起来很累,当然作者在外文文献综述上面所下的功夫还是值得肯定的。讲的不对的地方请多多包涵,可能是我对这方面知识欠缺所以这篇论文第一感觉就是觉得看起来特别累不明白作者想说什么。我简单说下以上几点,不合适的地方肯定有,欢迎沟通,谢谢。


吴玄

中国网络空间研究院助理研究员

感谢精武博士的邀请,因为我本身个人之前有比较法的研究经历,所以我选取的两篇文章也是有关比较法的,第一个是无人机的这篇文章,王星译第二篇是关于美国法的这篇文章。因为这两篇文章都涉及到隐私保护的问题,关于隐私保护我觉得有以下几点可能是需要我们去关注一下的。第一点就是说,隐私保护本身的界限到底是什么,因为正如美国的惠特曼教授曾经有一篇文章,是比较欧美的隐私文化的差异,这篇文章里面得出的结论是说,可能美国更注重的是自由的价值在隐私保护的体现上,他所着重的关注点是防止政府以及公权力对于他个人隐私、个人权力的侵犯,相反在欧洲就不是这样的,在欧洲更注重的是个人尊严的保护,这两点区别就可以看到,隐私保护其实在各个国家,包括各个文化圈里面是一个很差异化的概念,我们反观来看我们中国,我们中国第一个是隐私,我们就说每一个个人对于隐私认识的程度有一个很大的不同。

我可以举一个例子,我们之前有去一家互联网公司调研,这家互联网公司他们做了一个主要业务是在中部地区他们培训一些月嫂,把这些月嫂运到东部大城市来,提供给这些家庭里面提供服务,但是这些月嫂不仅仅是提供月嫂的服务,在这些雇主的家里除了要带孩子、照顾孕妇之外,她还要有一个功能,她要为公司去收集这些雇主家里面关于他们使用的母婴用品包括奶粉的这些情况和信息,收集来这些信息之后公司就可以统一的去进货。之后这些家庭里面的母婴用品这些奶粉用的这些东西,结果是全部由这个公司统一去包办了。这种商业模式化我觉得侵犯了我,我不能接受一个月嫂或者一个保姆对于我家的各种消费支出都了如指掌。但是我们一起去的其他的一些同事,包括当地的互联网公司的这些销售,他们的这些管理分析员,都觉得这是一个很好的商机,他们觉得这个不是问题,因为这样给我解决了很大的难题,我直接交给月嫂,包括这些买东西的事情,每个月告诉我交给你多少钱就可以了。

所以说我们考虑一下,在中国、美国、欧洲我们所有的人,不同的文化,对于隐私的认识是不同的,在美国好比王星译博士这篇文章,在美国主要是防止政府对于个人权利的侵犯或者个人信息收集以后如何使用这些信息,这是一个防范,我们更希望政府,可能希望一个政府有更好的一个监控,比如城市的天眼系统,一切东西都可以查到,好比我一个小孩子被拐卖了,我肯定很希望政府每个路口都有摄像头,很快的就可以找到我的小孩子到什么地方去了,这是差异化,是比较法研究当中应该考虑的问题。

    第二点,隐私保护与技术进步和产业发展的关系。因为互联网产业发展的一个特点就是说破坏式的发展,通过这些新的技术对于旧有的法律关系进行的重构,是迫使旧有的法律关系进行他的一个进步、他的一个改善,如果是我们对于互联网的隐私保护,我们如果是过严的话,会不会扼杀了这种技术进步,当然如果过松的话,可能这个技术进步不受控制,这也是很危险的事情,所以要找准平衡点。

第三点,隐私保护还要与国家安全、公众安全相关的,可能每个人的隐私对于每个人来说是一个问题,但是所有人的隐私积聚到一块就构成特别大的大数据,这种数据的保管者如果处理不当,对于他的公共安全以及他如果数据出境了对于国家安全都是不可估量的后果。

我的点评就到这里。谢谢!


张金平 

中央财经大学法律系助理教授

首先特别感谢龙老师、周老师特别是精武博士的邀请,刚刚精武的介绍过誉了,非常感谢能来这里跟大家学习。根据精武安排,我也是主要点评或者说与王星译博士讨论她的文章。我非常认真地阅读了,观点上跟各位前辈的角度略有不同。

首先,这篇文章是非常认真的梳理了美国在宪法这个层面上关于隐私保护范围的一系列界定标准,从侵入标准到合理预期标准到明知暴露标准还有第三方标准。然后,通过梳理和分析,你指出Katz合理预期标准中客观部分的不确定性,提出要替代这个标准。你最主要的点就是说,合理预期标准不客观,没有一个确定的标准可以去做,所以在实践当中会导致很多问题。但是,你在提出替代性的信赖标准时,你怎么去界定这个信赖的内容是什么。信赖这个概念我们民法用的比较多,信赖是因为有公示的外观看到了,我们对这个外观很信赖。在文章中,您对这个信赖的内容有一个界定,即第四修正案的发展史、文本和语境当中。这个发展史文本和语境,相对于公民而言,它的信赖力度有多大是值得质疑的,因为公众对于这个法律的发展只有达到非常清晰的认识,才会基于这个信赖确定这是他或者她的隐私权应该得到宪法的保护。但是,美国第四修正案其实也并没有直接规定隐私权是受宪法保护的,隐私权的概念都是因为法院在后面案件中的解释当中提出来的,所以你说的信赖的基础和依据其实也是法官在后面解释或者学者学理的解释构建出来的。由此可见,信赖标准虽然强调对于宪法第四修正案的条文这个外观的信赖,但也是要依据法官或者学者对鱼第四修正案的解释。

然而,Katz案的合理预期标准中客观部分的合理性判断,指的就是社会公众对于个人的主观的预期的合理性判断,判断的依据也是根据社会发展当中由法院判决或者是政府的立法给他们设定的合理性判断标尺。所以,你提出的信赖标准和合理预期标准一样同样存在不确定性,但你没有对二者的不确定性进行非常充分的比对,并提出前者比后者更客观更应当采纳。因此,我的建议是,你在这块要充分论证信赖标准为什么相对是客观的,对合理预期标准到底好在哪里。

    还有一个,各位老师已经提到了,即您谈这个问题时候其实是在宪法维度上的,但是你在前面的介绍中并没有特别充分的界定,容易让人理解为你是在谈一个民法领域下面的合理预期准,所以大家会直接代入到民法维度上进行讨论。其实,没有宪法上的合理预期标准已经延伸到民法领域当中,例如Linkedin v HiQ案就涉及到用合理预期标准来确定隐私权的保护范围。但是你这篇文章没有做适当介绍和区别,容易被大家误解。建议你在文章开头做一个清晰的界定,限定自己论文讨论的范围。


鞠晔 

北京联合大学法律系助理教授

感谢主持人!首先对敬力嘉博士的论文谈一点学习体会。这是一篇观点鲜明的论文,两个思路体现的比较明确,第一,从时代特征来看,大数据时代侵犯个人信息的法益属性应该有超个人的法益属性。因为会涉及到很多主体,具有一定的社会属性,我们不能从宪法上具有明显个人属性的信息自决权角度予以定位。第二,信息安全是否可以作为法益,信息安全作为法益有可能会造成安全和自由的对抗,但是安全和自由并不是不相容的,可以从具体制度设计上实现安全本位实现向权利本位的转化。

敬博士论文里提到了信息专有权,这个概念兼顾了个体和社会属性,但是对于信息专有权,内容和边界可以阐述得更具体。文章对于信息专有权的观点非常好的处理是,在最后的建议上并没有对侵犯公民个人信息权的问题进行严苛的打压,而是理性地思考刑法安定性与社会发展变化之间的平衡。我的考虑是,从保护个人信息角度,源头治理很重要,但不能矫枉过正。这联系到另一个重要问题,对于信息保护而言,要遵循的基本原则是什么?大数据时代的关键在于创新,创新可能是颠覆性的或者高频率的,比如说在去年的互联网治理会议上,我们听到报告人在给我们介绍人工智能,但是在今年我想在座各位很多对人工智能已经有了很深入的认识和研究。从社会发展来讲,创新是不可阻挡的,我们法律工作者也要给技术开创一条法律上的出路。今天探讨的无人机技术是比较前沿的,对于这些技术创新法律上应当有包容的态度,在规则的制定方面是需要审慎的,并不是说一项新的技术发展非常快,就要匹配法律上的严格限制。无人机技术只是一项先进的技术,可能产生一些骚扰、跟踪、监视等侵权行为,对于这样的行为其实很早的立法都有所准备了,在这方面不管是无人机还是望远镜,规制都是一样的,额外或重复立法有可能会使将来的个人信息保护体系缺乏整体性和全局性。适当的路径是,在个人信息保护法的框架下,把前沿技术涉及的信息保护问题纳入到其中进行原则性一般性的规定辅之以兜底条款,体现立法的前瞻性,推进法律对技术的动态监管。

自由研讨

王一

法学博士、中国文化网络传播研究会副秘书长兼网络文化学院院长

我讲两点。第一点,回到法律本身看法律。人大的许可老师刚才说到一句我很有感触,他说对面的陈老师其实不懂法,因为他不是学法律的,这句话的意思不是指对方不知道法条不了解规定,而是说法律人跟非法律人有个最根本的差别,就是是否具有法律思维。养成并坚持法律思维,我们才能培育起真正的法治精神。今天的论坛质量很高,信息量非常大,来自各地的优秀青年学者贡献了各自对互联网治理的新思考新成果,我颇受启发。但是,我觉得对不少问题症结的求解,咱们应该回到那些年曾经学过的法理,回到法律思维本身,很多问题会迎刃而解。因为法律思维,不仅是立法、司法、执法过程要坚持,也要贯穿于法学研究的始终。法律思维就是按照法律的逻辑分析和解决社会问题的思考方式,时间关系不能展开讲,我们就来关注四个基本要素和一个基本逻辑。四个基本要素,就是我们熟知的权利、义务、责任、程序,这四个基本要素之间有个基本逻辑,就是义务必须从权利推导出来,责任必须从义务推导出来,也就是说,只有为了保障某项权利实现而设定的义务才有正当性(合法性),只有为了保障义务实现而设定的责任才有正当性,而权利、义务、责任这三者的分配和实现必须通过正当公平公正的程序。比如立法,咱们看《网络安全法》,里面有23处提及“个人信息”,这个基本范畴就很重要,必须要理得清清楚楚。我们为什么要保护个人信息,因为公民个人信息涉及到他的一系列权利,那么我们就应当从网络安全有可能涉及到的个人权利出发,采取列举加概括的方式尽可能地把“个人信息”这个范畴表述清楚,这样来设定相应法律义务才有依据。虽然《网络安全法》里提到:“涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。”但我认为《网络安全法》作为我国网络安全领域的基础性法律,应当对此类重要基础性范畴作出有示范性和标准意义的界定,而不是简单地参照其他法律或行政法规的界定。期待出台网安法实施细则时能对这个工作很好地加以解决。

再比如,今天周老师提到的网络平台在网络治理中的责任,裴老师提到的网络服务提供者执法协助义务的边界,他们在论述中都直接或间接地展示了法律思维的基本逻辑。义务的设定必须是为了保护和实现某项权利,而不是为了其他考虑,更不是相反,义务的边界也就是权利保护的边界,否则,义务就失去了正当性合法性。当然,义务设定很多时候需要考虑在多种权利保护之间的侧重或平衡,这是立法技术层面的事,但不能改变这个基本逻辑。义务和责任也是,不是从合法义务推导得出的责任是不正当的,没有责任匹配的义务是得不到保障的。法律法规中所有提到“应当”两字的都是义务,每一项“应当”都得对应着如果违反了这个“应当”,要承担什么样的责任,否则这项义务就是一句空话。回到《网络安全法》,我们要仔细检查,这里面提到的所有“应当”后面,是否都有相应的责任跟上了或在其他地方呼应上了?

第二点,是跳出法律自身看法律。今天我想提醒各位法律人和法学专家注意一个内容,这个内容咱们论坛所有的论文和发言都没有涉及,就是网络文化安全。作为这个领域的基础性法律,所有涉及网络安全的都应当归《网络安全法》调整和规制,所以我们首先要厘清“网络安全”的范畴。这里咱们有必要先学习一下习近平总书记提出的要坚持“总体国家安全观”,努力构建集政治安全、国土安全、军事安全、经济安全、文化安全、社会安全、科技安全、信息安全、生态安全、资源安全、核安全等于一体的国家安全体系。大家可以看到,国家安全体系涉及11个大的方面,网络安全其实跟这11个方面都有直接或间接的联系。请大家注意,这里面清晰地表明了,信息安全和文化安全不是一回事。《网络安全法》第三章和第四章专门就以“网络运行安全”和“网络信息安全”。我认为,网络安全,不光是网络本身运行的安全,还包括网络上传播内容的安全,传播内容涉及两个方面,一个是狭义上的信息,包括个人信息、单位信息、组织信息、国家信息等,还有一个大家不要忘了是文化。《网络安全法》第六条、第十二条、第十三条一定程度提到了文化安全方面的内容,但没有直接提出“网络文化安全”的概念,我刚才说了,法律的颁布实施对民众是一种教育引导。文化安全其实是一个国家和民族更根本、更长远、更核心的利益。因为文化是一个民族独有的集体记忆,是民族文化身份和独特个性的象征,是培育民族精神的土壤,是人们赖以栖息的精神家园。以什么样的精神文化为主流,对一个民族、国家的兴衰发展有着决定性的影响。中东一些国家和乌克兰发生的“颜色革命”和社会动乱说明,一个国家无论经济和科技如何发达,如果文化遭到摧毁、民族精神丧失,会导致毁灭性的灾难。所以,军事上、经济上的打击并不是最可怕,文化上的渗透、打击、侵略才最可怕。而现在,互联网已经成为人们最主要的信息获得渠道,很多“颜色革命”和煽动颠覆都是主要通过网络传播来完成,因此互联网其实已经成为维护国家文化安全的主战场,网络文化安全必须作为网络空间治理的重要考量。

很多人说文化是思想精神层面的事,法律不应该管太多,我不同意这个观点。我认为,正常的文化交流和思想对话当然是可以的,但是对威胁和危害国家文化安全的言行,法律必须管,达到一定危害程度的,法律必须制裁。所以《网络安全法》应当对在网络上传播涉及危害国家文化安全的内容和行为作进一步梳理和规制,明确提出“网络文化安全”的概念,除了现有列举出的危害公序良俗、危害国家政治安全、宣扬恐怖极端主义、破坏民族团结、传播暴力淫秽等等内容之外,还应当列举出诸如以历史虚无主义来否定中华民族悠久历史文化、鼓吹西方价值至上来否定社会主义核心价值观、刻意突出西方文化优越性来打压贬损中华文化等等旨在摧毁文化自信、萎顿民族精神的网络传播言行,这些言行达到一定危害程度和影响范围的,《网络安全法》必须明确禁止并规定相应的法律责任。文化安全这根弦也许不需要时时绷着,但必须得有。所以我建议,《网络安全法》对网络文化安全的重视和保护应当提升到一个新的层次。


张旺

 国防科技大学哲学流动站博士后、少校

我主要结合自己现在进行的智库课题研究工作,谈一下自己正在研究的有关互联网治理相关内容。目前我正在开展中国科协的《基于深度学习的网络安全战略预见》课题研究,主要想法就是用深度学习技术解决网络安全问题,对网络风险进行量化评估,构建基于深度学习的网络安全战略预见分析模型,从技术驱动的角度对战略预见作出丰富完善,缩短网络安全战略预见周期,扩展网络安全认知空间和可预见范围。比较通俗地解释就是,实现网络安全治理方式由亡羊补牢式防治向前瞻性预见的跨越转变。

现在我主要在研究三个方面的内容:一是网络安全社会共治机制的建构路径研究。社会共治的理念在食品安全、环境治理等领域已经开展了比较普遍的研究应用。在网络治理领域,

早在2016年4月19日召开的网络安全和信息化工作座谈会上,习近平总书记便强调:“网络安全是共同的而不是孤立的。网络安全为人民,网络安全靠人民,维护网络安全是全社会共同责任,需要政府、企业、社会组织、广大网民共同参与,共筑网络安全防线。”在党的十九大报告中又明确指出:“加强互联网内容建设,建立网络综合治理体系,营造清朗的网络空间。”建立网络综合治理体系的目标达成,最为紧要的便是有效破解体系建构难题,从战略牵引、技术治理、法律规制、伦理约束和教育引导等方面推进实施路径,进而建立多元主体共同参与的智能化、生态化的网络综合治理体系。二是网络治理的伦理规范问题研究。

对网络安全的治理,从技术规范、法律规范的角度研究成果比较多,而从伦理规范角度开展的相关研究并不多见,特别是基于新兴技术治理的伦理约束。而这方面国外已经有了较为深入系统的研究,微软、谷歌等互联网公司都围绕人工智能的发展风险而成立了伦理研究所和伦理监督委员会,这也是我们当前需要深入思考的社会问题和迫切解决的现实问题。三是网络治理的法律预见研究。网络治理领域相关研究成果中,谈技术预见、科技预见、战略预见的比较多,而从法律前瞻性角度出发谈法律预见的内容还比较少,更多地是围绕技术快速发展进步阐释法律应对的滞后性,从网络安全法治角度谈相关法律制定的预见性或者是跟进式的作用发挥,对于推进依法治网进程也有明显的必要性。

以上便是我正在开展的一些相关研究内容,其中观点性的表述有不准确、不到位的地方,还请各位专家学者批评指正。

我的发言完了。

李栗燕

南京航空航天大学法律系教授

首先感谢主办方给我的机会,因为我自己想跟大家交流的一个题目,是我自己心里还不是特别成熟的一个研究项目,也是比较新的,涉及的是网络意识形态安全的问题,从大会开始到现在我还没有听到专门有讲网络意识形态的,但是正好前面两位发言人都提到了网络文化安全这个方面,可能有一定的可借鉴性。主要有这个想法、有这个研究动因的一个背景,是因为我博士后在南京师范大学做马克思主义法学理论的研究,中国法治现代化研究院一直比较关注中国法治领域比较重大的、相对来讲战略性的一些宏观层面的问题。由于我有交叉的学科背景,因为我是中南政法毕业的,本科和硕士学的是法学,博士做的马克思主义政治哲学研究,所以在这个学科背景下想研究一下网络安全意识领域中的法律之治,怎么把法治的触角运用到意识形态这个领域当中。

 其实当时做这个论题的时候还是有很多疑惑的,因为我们说意识形态安全的问题,或者说意识形态的问题,他其实是个思想之治,但是法治我们说是一个规则之治,应该说两者之间的对话性不高,这个论题的立论会受到很多质疑,觉得可能两者不能对话或者边界是极其不好掌控的,我自己是想做出一定的尝试,在思考和论证基础上,分别分成两块申报了今年国家社科基金和中国博士后基金,报的时候马列科社的专家认为你这个选题应该报在马列科社,法学的专家看说你这个法学应该报在法学,所以说是个交叉学科研究,今年主报在马列社科,有幸两个基金都获得立项,我就开始着手这项研究。今天,我把我们目前构思的一个思路跟大家汇报一下,希望大家多多批评。

网络领域当中去谈意识形态的问题,两者听起来都是虚无缥渺的,所以需要用一定的方法具象。我采用的模型是网络安全学里面非常成熟的一个动态循环理论——P2D2理论,P2DR即Policy(安全策略)、Protection(防护)、Detection(检测)和Response(响应)模型。思路就是针对我国网络空间安全面临的挑战,以网络技术手段对弈网络战场,探索维护网络意识形态安全的法治新路径。通过防护、检测、响应三个环节的设计,实现维护网络意识形态安全策略(P)。

我们把这三个环节分别在理论和实践当中进行一定的梳理设计,理论层面,包括剖析与分辨网络社会思潮(P)、解读与提炼社会主义法治精神(D)、渗透与弘扬社会主义法治精神核心内涵(R),以构建“防御、甄别、引导”三个功能的法治理论体系。具体而言,防护环节需要对中西方法治思想进行辨析,去伪存真,对充斥网络的社会思潮进行剖析,明其实质,构筑起对网络错误思潮、阴谋思潮的防御体系;检测环节,要针对网络社会从不同角度提出的具有代表性的观点,运用马克思主义的科学世界观、价值观、方法论来完成对网络文化资源的甄别检测,看其是否符合我国主流价值观;响应环节是通过上一步的检测与提炼,寻求较为完整的社会主义法治精神的学理解读,将其核心理念融入到网络意识形态安全维护的理论构建中,实现引领与弘扬。实践层面可能更加落实一些,刚刚前面发言人也提到《网络安全法》对网络文化方面的管理有所欠缺,我自己其实也有这样的感受,但是通过对《网络安全法》整体的所有的制度进行一定的梳理之后,我们发现如果以P2D2模型的思路构建来理解,现行网安法是可以实现对内容的有效监管以及文化弘扬的,只是需要进一步细化和具体法律制度的衔接。我们课题组进行了一些梳理思考和整体设计后,防护环节(P)的设计包含网络安全标准化制度、网络信息留存制度、网络身份管理制度,检测环节(D)的设计包含监测通报制度、网络安全信息共享制度、综合评估制度,响应环节(R)的设计包含信息过滤制度、应急处理制度、网络管制制度,由此构建起“防御、控制、惩戒”三个功能的法治实践体系。有些制度是《网络安全法》里面没有涉及的,但大部分制度在《网络安全法》里都有迹可循,都是可以进行进一步下位细化的,我们也提出了一些具体做法和完善建议。因为这里面涉及到的内容也比较多,比较短的时间也很难给大家汇报得比较清楚,我希望大家如果感兴趣的话多给我们提一些意见、建议和想法,就像我们《网络安全法》通过的时候,第六条里面直接就说要推进社会主义核心价值观,当时就有不少人士质疑,因为推进社会主义核心价值观属于意识形态领域的问题,道德领域的问题,怎么放在我们法律的法条里面直接提出来呢?法律和道德本身就是两个领域的问题,着实难解。但是《网络安全法》里面已经明确提出,也有其时代背景和现实需要,实际当中怎么落实、怎么操作,就需要进行一定的尝试,我就是想在这个方面进行一定的尝试,觉得还是有可能把意识形态安全问题从思想领域当中的教化之治拓展到我们法律领域当中的规则之治的,但也只是比较源初的想法,希望大家多给我提出意见和建议。

刘云

大连海事大学法学院助理教授、法学博士

我是之前在欧洲一般个人信息保护条例颁布之后自己写的一篇关于这个背景比较全面的解读发表在计算机学报,我认为我应该是做的一些比较精准的文献,可以供大家了解欧洲的个人信息保护法、可以参考我这篇文章,另外我这次大会也提交了关于个人数据方面的文章,我们从以前的民事权利,从隐私权的隐私角度保护个人数据或者个人信息,涉及到个人信息权的保护权利和范围得在扩张,但是扩张过程中其实我们新的时代已经进入到大数据时代,我们很多新兴技术都依托于与我们的个人信息,都依托于我们的共享。其实个人信息权属于信息中心,个人信息还属于我们的企业、属于个人的发展,还包括言论自由,我们都要应用个人信息。我们要回想一下个人信息保护的目的,个人信息保护一方面是对于个人信息本身的安全,另外像在欧盟制定个人信息保护法的时候很多人对他进行指责,说他太严苛了,他的一个反驳就是说,我的信息保护是为了提高消费者的信心,这样更好保护,消费者更愿意把个人信息分享出来,这样可以促进这个信息的发展。所以说我们在个人信息保护的时候要考虑到一些个人信息他的分享的目的,就是说保护本身他是其中的一个目的,另外就是怎么去建立促进个人信息的分享,包括像我们一些GPS定位,在他刚出来的时候,很多人说这个太可怕了,会造成我们的信息泄漏,现在大家不会认为GPS定位会给我们造成什么不便。

赵尧

西南政法大学经济法学院助理教授、法学博士

各位老师好!感谢主委会的邀请给予我这样一个机会,我本人研究的方向是法与经济学的研究,我们法律人实际上是有一个前见,法律是有效的,实际上在互联网金融当中有一个现象,2016年我们试图通过信息披露的规制来提高P2P网络借贷市场当中的有效性、降低它的风险,但是我们以跑路这件事情为例子就会看到,信息披露这个制度出现以后,从2016年—2017年,跑路的现象是不降反升,所以我们通过这样一个现象就会提出一个问题,信息披露制度为代表的法律有没有对互联网金融的规制产生有效的影响。实际上最近的法律经济学研究的文献证明说,信息披露制度可能是失效的,但是信息披露制度失效的解释,包括消费者的阅读能力、消费者的阅读经历等等,只能说明一件事情,就是信息披露对于消费者的保护是失效的,但是消费者的保护只能解决一个话题,就是网络平台有跑路,但是网络平台有跑路,并不代表网络平台跑路现象不降反升。为什么网络平台跑路的现象在信息披露制度以后我们看到的是呈直线往上涨呢,这里我提出一个观点,中间有一个论证没有展开,中间的结论是,我们现在信息披露规制的对象,包括在理论上不应该着眼于消费者,因为传统的经典的法经济学已经进行了解释,实际上我们看到的结果是信息披露制度帮助互联网平台之间进行朝上竞争,能够形成一种机制,但是怎么实现这个机制的,在文献当中和在机制探讨过程当中还有待进一步的挖掘,我的文章这方面做了一些初步的尝试,因为时间关系没法完全展开,各位有兴趣我们可以接下来再做一些相应的讨论。谢谢主委会,谢谢大家!

徐红军

上海市浦东新区人民政府法制办主任科员

感谢各位嘉宾,各位老师!时间所限我就把我互联网集体行动对当前治理的刑诉我介绍一下我的主要思路。随着互联网尤其是移动互联网的迅猛发展,各种维权型的网络集体行动层出不穷,这些集体行动往往能够及时的揭露现象,比如孙志刚会影响到司法案件的处理,拓展传统的以信访为代表的纠纷解决模式,推动治理方式的变革,比如说孙志刚案最后推动了我们法律的修改。与此同时政府通过积极回应这些集体行动倾听民意、发现问题,与民众形成有效互动,并在这个基础上加强网络行为的监管,引导民众理性维权。因此,网络治理的出现在冲击传统治理模式的同时也推动政府完善社会治理的法治化,当前我们应该结合转型时期集体行动模式和社会治理模式的特点,推动我们网络社会规范化建设,通过鼓励引导规范公众参与制度建设推动政府与民众形成良性互动机制,通过司法改革来重塑司法权威和守住司法受质疑的底线,并在此基础上不断完善我国的网络社会治理制度,推动国家治理体制和治理能力的现代化。

以上是我简单的思路,时间所限,希望跟各位专家探讨。谢谢!

冯洋

浙江大学光华法学院博士后

谢谢各位老师!谢谢主办方的邀请!我的论文主题是关于数据跨境流动中的问题,是从全球数据统计的角度谈这个问题,为什么研究这个题目呢?因为数据跨境流动已经不是国际法解决的问题,而欧美试图用国内法解决,是不是有问题呢?现在的国内学者可能更多借鉴比较了欧盟的模式、欧盟的规则,在进行借鉴比较支持讨论一个问题,就是我们应不应该借鉴欧盟的规则,我的论文试图在这方面进行探讨。欧盟的跨境数据流动的规则是世界上最复杂、发展时间最长的规则,无论他的具体规则是什么,以及他的例外规则是什么,他的根本目的在于要求进口欧盟的个人数据的国家,他的个人数据保护的状况达到充分的程度。但是现行的欧盟规则他没有解决一个问题,那就是什么是充分保护?1995年的指令规定,必须是实施了实质性的充分保护才能构成充分保护,但是一个问题在于,他没有给出一个标准来说明为什么加拿大的是充分保护,而中国的不是充分保护?2016年的基本法规有了很大的提高,他在坚持实质充分保护的基础之上提出了一个刑事保护要求,就是有两点,第一,要有基本法规,要有基本的法律来规定保护个人数据,另外,要有专门的监管机构。这样一个刑事保护要求虽然有更明确的标准,我们就可以发现,美国不符合这个要求,所以美国和欧盟签订了双边协议,通过双边协议、安全港等制度,欧盟确保了出口到美国的个人数据得到了美国企业的充分保护,而美国也有一个好处,就是在于使得其国内的传统的个人数据保护的法治得到了尊重和保护,所以这是一个相互妥协的结果。所以我的结论是,当前的欧盟规则很难成为未来全球的统一规则,2000年指定的安全港协议是不完全的,2016年制定的领事顿(音)协议是前途未卜的,所以美国没有跟着欧盟走,我们中国的未来应该怎么选择呢?这是以后可能要讨论的问题。



李伟民

中国政法大学博士后、北京伟博律师事务所合伙人

我的发言是关于个人信息权性质方面的。早在在2010年的时候我在云南昆明市中级人民法院代理了一个标的几个亿的股权纠纷,原告、被告、第三人共六位代理律师参与庭审,庭审中当时美女法官停下来突然问了一个问题,请问在座的六位律师,股权是什么权?云南的律师当场回答,股权是财产权,问到我,李律师你说股权是什么权?我回答股权就是股权,昆明的律师当场还笑我,后来我马上又接了一句,我说大家请看《公司法》的第4条,股东有选举权、被选举权、财产利益分配权,你无法用它是人身权、还是财产权来界定股权。所以现在已经达成共识,股权就是股权,没有任何争议。对知识产权也是一样,我硕士研究阶段是知识产权方向,博士后研究阶段也是知识产权方向,2011年我考北大的法学博士的时候,老师出的考试题目就是论知识产权的性质,论知识产权的性质在国内至少争论了几十年,后来trips协议在序言部门明确规定知识产权是私权,关于知识产权是公权、人权方面的争论全部烟消云散。

    回到个人信息权,如果在《民法总则》生效之前来争论个人信息权的性质,我觉得还有必要,但是从今年10月1日开始,《民法总则》正式生效,我们的《民法总则》的111条规定了“个人信息权”,在110条的人身权和人格权之外单列了一个条款,并没有把个人信息权放在第110条的人身权和人格权当中,立法者告诉我们,个人信息权仍然是和人格权和人身权是有区别的,不然的话他会在110条的人身权和人格权当中包括隐私权当中予以并列,但是并没有并列,也没有予以包含。

    另外一个,在《民法总则》中,我的观点是,个人信息权也不是知识产权,因为在《民法总则草案》的第二稿当中,108条当时是把“信息数据”写进了知识产权保护的客体,但是后来在《民法总则》通过的时候拿掉了,所以说现在关于怎么称呼“个人信息”已经没有争论了,原来还有信息数据和个人信息这样称谓上的区别,《民法总则》盖棺定论现在叫个人信息。《民法总则》123条对信息数据做的一个规定,所以说已经对个人信息和信息数据做了区分。我的结论是,个人信息权是私权,没有任何争议,《民法总则》已经盖棺定论,在2013年修改的《消费者权益保护法》当中也提到了个人信息权,在公法和其他法当中对个人信息进行保护,但是我们不能倒过来说因为公法规定了个人信息权,所以是个人信息权是公权利、是人权。《民法总则》已经对个人信息的私权性质进行了明确规定,并且与隐私权、人格权并列,所以我个人观点认为个人信息权是一类新型的民事权利。所以有人问我个人信息权是什么,我仍然像回答股权和知识产权的性质一样回答他,个人信息权就是个人信息权,下一步我们需要尽快制定《个人信息保护法》,对于个人信息权的内涵、外延边界权利的权能组成,包括使用规则做出详细规定,再行辅助对其他公法、行政法、银行方面监管方面的法律相应条款做出调整,跟《民法总则》保持高度一致,一切要依《民法总则》为依据,切实维护个人信息权是一种新型民事权利的中心地位。

韩旭至

武汉大学法学院博士生

我是武汉大学的博士生韩旭至,我有三个疑问想向诸位前辈请教。第一,关于隐私个人信息、信息、数据、大数据这几个概念我觉得应该是属于我们今天探讨最核心、最根本的问题,如果学界对这几个概念都没有完全缕清,讨论其他东西会产生非常大的问题。就以个人信息、隐私两个概念为例,很多人认为隐私即个人信息,至少主流观点认为敏感信息是涉及隐私的,但是转念一想,真的是这样吗?“我是一名优秀的共产党员”,这个信息可以说是隐私信息吗?可能说不上。但党派资格无论哪个国家都是敏感信息。第二个,被遗忘权、数据权、信息权等概念,真的有这么多“权”吗?在民法的角度或者在权利的角度,真的有这么多符合权利要素的权吗?还是说只是一个权能或者其他什么东西呢?包括今天谈论的无人机的问题,他跟以前的一些其他传统的问题,如CCTV摄像问题、直升机的问题、热成像的问题等,有什么本质的区别呢?第三,关于信息安全,我们到底追求一种什么样的信息安全,是100%的安全,还是相对靠谱的安全?如果我们追求100%的信息安全的话,我可以100%的保证这种安全是不存在的。另外,对于信息的权属究竟能不能够通过成本收益方法进行判断的,我个人也是有疑问的。刚刚有位老师说过,数据集中起来利用收益更大,我们每个人1分钱没有用,但是13亿个人都集中1分钱给马云、马化腾,就有1.3亿了,但能论证这钱是属于马云、马化腾的吗?可能也不行。

李定毅

北京经济职业学院副教授、法律教研室主任

我是人民大学法理学博士毕业的,上个月我参加了立法学研究会年会,有一个主题是关于大数据运用这方面的立法,因为时间比较紧,我就提交了一篇小的论文。我最近又看到一个邀请函,2018年1月份在西安又要召开一个人工智能与法律发展的研讨会,是法理学搞的,是西北政法大学主办的。我说这个意义在哪儿,关于大数据、人工智能其实不光是知识产权或者其他的法律,其实也引起了法理学领域的高度的关注,希望各位大家可以到我们的法理学研究会上贡献你们的智慧。

下面我说一下我的简短的论文,其实是一个问题,因为我的博士论文就是关于立法协商这块的,所以关注个人信息保护法这么多年为什么迟迟不能出台,还有立法精神、立法博弈以及完善的问题。前面听了黄研究员的发言,其实我们已经解决了一部分答案,在个人信息保护法迟迟不能出台,我觉得可能面临很多的难题,比如说个人信息权利的保护,还有数据合理的利用,尤其是跨境流动,比如欧盟和美国的争议,一个是注重权利保护,另外更加注重跨境流动带来的效益,所以欧盟和美国才有这样一个较量。

第二个,关于立法当中的博弈问题。其实我查阅了有关资料,有些资料是查不到的,看到立法过程当中欧美的一些大企业、大公司联名提交了总的建议,应该是影响我们国家网络安全法的立法。奇怪的是没有发现我们国家的,可能是收集数据信息的问题,国内的一些企业,包括一些民营企业,他们的呼声反而没有得到一个很好的体现。

 最后,我也觉得《网络安全法》,应该说个人信息保护立法的里程碑,虽然没有制定完整的个人信息保护法。看了这个法律,跟以前的法律相比,里面提出的配套的法律特别多,这实际上又面临着法律的可操作性问题。还有一些没有完全界定清楚,比如说网络安全审查、网络安全基础设施、用户信息个人信息的进一步区分、关键基础设施的范围等等,这里面有些是有争议的;还有数据本地化要求当中的重要数据,什么是重要数据,这里面还有好多问题需要进一步明确。因为这里面有些配套措施还没有出台,所以导致了运用当中的一些困境,尤其是关于搞数据方面的一些企业,反映比较大,不知所措,可以说遇到一个寒流。


孙潇琳

西南政法大学法学院博士生

非常感谢组委会的邀请,我非常荣幸来这里跟各位老师讨教。我是西南政法大学法学院刑事诉讼专业的博士研究生,今天这个论坛当中有很多老师他们谈到很多都是关于实体法的问题,在早上有个老师谈到了关于第三方电子证据取证问题,下午王老师提到了关于合理隐私期待电子证据的问题,我觉得在程序法方面我也想发表一下我的想法。这次我提交的文章是关于网络犯罪刑事司法管辖权的问题,8月份当时我来投稿那篇文章,最近两个月我倒是指导下又进行了一次颠覆性的修改,我针对我最新修改的文章简单说一下。

首先我的题目是关于刑事司法管辖权。因为在过去的将近20年研究网络犯罪管辖权的文章当中主要都是刑法那些学者来研究的,我们程序法方面涉及到的很少,所以我就从程序法的角度来看,因为在程序法,网络犯罪管辖权是成为打击网络犯罪的需要解决的首要问题,这个问题要解决了我们才能够立案、侦查,一直到最后的审判执行,网络犯罪的司法管辖权实践和理论当中也是有很多问题,主要分为三块,第一块关于地域管辖的问题,主要存在于管辖权的竞合现象非常严重。

比如去年发布的关于电芯网络诈骗里面规定的犯罪定义非常非常多,因为时间关系我就不多说了,另外一个关于设备所在地,也是那个规定的,规定了其实效果不是很好,另外,最初受理地原则,也是受到了很大的挑战。另外从刑事诉讼法典到后面的解释,立法上下都是不太协调的,这是关于地域管辖。

关于指令管辖,一个是案件范围看起来有范围,实际上是被架空的,另外实务部门特别喜欢用指定管辖解决管辖权的争议问题,有时候会突破法律的限制,有时候指定管辖的时候公安机关特别主动,法典被动一些,与我们审判为中心的刑事制度的改革也是有一点冲突。

关于并案处理的问题,在管辖权理论中很少有讨论,实践当中蛮多用到,也是在下位法当中有一些规定,上位法没有什么规定,。针对地域管辖、指令管辖、并案处理的问题,出现这些障碍有三个原因,第一个,原有的立法思路没有更新,表现就是他的管辖权的竞合现象特别特别严重。

后面有一些解决的对策性我就不再发表了。




您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存