全程回顾|“清华无问论坛-数据保护法治论坛”顺利举行

在致辞环节，清华大学法学院院长申卫星指出，大学是否可以回应社会、解决社会问题，是判断大学是否优秀的重要标准。因此为了回应信息技术发展带来的问题，清华将加强相关法律问题的研究，并将无问论坛作为对外交流的窗口。

USITO总裁缪万德从行业角度出发，探讨信息技术及数据的重大影响。第一，信息技术发展所带来的问题不仅对信息技术产业十分重要，也对社会发展十分重要，因此我们需要积极回应技术发展带来的问题。第二，当今世界拥有海量数据，数据已经融入社会生活，未来世界里数据将是最基础的连接性载体，因此法律应回应数据发展的趋势，并保证未来的空间社会安全、充满机会、公平、透明、信任。

中华全国律师协会副会长、中伦律师事务所主任张学兵作为司法届代表，对网络安全与数据保护进行探讨。首先，网络安全正在受到境内外的高度关注，若企业不重视网络安全与数据保护，一旦发生恶性事件和突发事件，将会严重危及到企业的声誉、形象，造成巨额经济损失。其次，我国网络安全和数据保护的立法体系正在逐渐完善，《网络安全法》采取的有限域外管辖的原则，展现了我国网络安全立法的进步。最后，欧盟与美国数据保护立法具有域外效力，对国内企业影响日益加深，数据安全、网络安全已经成为律师事务所的新兴业务。律师不仅要掌握相应的法律法规，而且还需要掌握先进的技术，这样才能为客户提供更有建设性、针对性的法律服务。

在主题演讲环节，清华法学院院长申卫星作为学界代表，回顾了技术发展变迁，探讨隐私的保护和大数据产业发展之间的关系。第一，虽然《个人信息保护法》、《数据安全法》已经得到立法的关注，个人信息保护也是民法典立法的重点内容之一，但是对个人信息是以权利形式保护、还是以法益方式保护，现在仍有争论，需要立法者予以衡量。第二，隐私保护是产业发展的底线，若不加强对隐私的保护，不仅会给企业金钱损失，也会造成商业信誉的下降，影响人们对企业的信任。第三，保护隐私不能仅靠道德教化，还需要通过技术和组织制度设计进行保护。第四，知情同意是个人隐私保护和技术创新的平衡器，但是目前我国《网络安全法》没有规定不经同意处理数据的情形，企业普遍获取同意成本太高，同意原则虚化。因此，建议增加公序良俗、国家安全、公共利益等例外情形，平衡各方利益。

全国律师协会信息网络与高新技术委员会副主任、中伦律师事务所合伙人陈际红以“全球数据跨境流动的监管趋势”为主题，全面分析了包括美国、欧洲、俄罗斯、APEC等域外国家和地区的数据跨境监管政策，提出对中国数据跨境流动方案的建议。陈际红律师认为，我国数据跨境流动监管方案应平衡数据保护和数据流动的关系，促进数据在中国的聚集，维护国家安全，保证重要数据的本地化。此外，我国也应积极参与国际数据治理规则制定，对数据本地存储和数据出境进行双重监管，对大企业和中小企业进行分类监管，对个人信息和重要数据进行双规监管，促进跨境数据合法传输途径的多元化，并根据中国国情适当增加长臂管辖的范围。

微软亚太研发集团法务部总经理罗立凡以“全球数据治理政策与数据保护解决方案”为主题，探讨了世界各国数据治理的政策，并提出数据保护解决方案。第一，中国、澳大利亚、印度、俄罗斯、新西兰等国颁布针对个人信息、金融数据、政府政务信息等法律法规及政策，提出了不同的合规要求；第二，建议通过技术手段助力企业合规。现在防火墙的形式已经不能保护数据，企业可以通过利用公有云平台技术，将数据集中处理、最大限度保护数据，并简化合规流程。

第一环节由USITO副总裁毛蕾明主持，主要围绕“政府在数据政策中的角色”展开。

北京邮电大学人文学院副院长谢永江指出，政府作为国家利益、社会公共利益的代表在网络安全领域扮演着主导的角色，但是政府不是万能的，需要行业协会或者企业发挥相应的作用。

甲骨文公司亚太政府事务高级总监MattRoberts从企业界角度提出政府数据保护监管框架的原则，包括政府应充分跟企业界和社会其它利益体共同商量、制定稳妥的政策、及时了解信息产业界的全球状况。

北京大学互联网发展研究中心研究员洪延青介绍了全国信息安全标准化委员会标准制定的过程，指出我国网络安全相关标准是在大量征求企业界意见、听取各方面意见后才出台的。

蚂蚁金服隐私保护资深专家李海英认为需要以平衡的视角观察政府、企业和个人在数据政策制订过程中的责任和角色，政府作为监管者也有数据诉求，也可能担任数据控制者的角色。

第二环节由USITO副总裁毛蕾明主持，主要围绕“数据保护与网络安全”展开。

亚马逊AWS首席信息安全顾问王绍斌认为网络安全应该考虑如何增加人的安全感、降低风险，并在此基础上制定法律法规，引导企业提高职业操守。

中国社会科学院大学互联网法治研究中心执行主任刘晓春指出，由于企业真正了解风险出现的场景，因此建议采取自下而上的保护模式，由产业界为政府提供风险出现的场景和相应解决方案，双方共同进行安全管控和成本控制。

中国人民大学未来法治研究院副院长丁晓东认为企业在进行开展合规工作时，应首先做好形式上的制度、文件，然后确保所采取的预防措施或者安全保护措施是合理的，最后在伦理上确定以数据主体的利益为主的原则。

360法律研究院高级研究员张素伦从反垄断的角度对数据保护进行探讨。首先，分析网络安全信息的共享是否会构成垄断协议，美国反垄断执法机构作出的声明和《网络安全信息共享法案》提供了借鉴，认为网络安全信息的共享在一般情况下不会构成法律上的垄断。其次，对于能不能利用数据方面的垄断力或者市场支配地位进行滥用的问题，德国存在将获取数据的能力作为认定是否构成垄断的依据。

第三环节由甲骨文公司标准化及政策高级总监丁蔚主持，主要围绕“跨境数据流动”展开。

北京师范大学副教授、北京互联网协会研究中心秘书长吴沈括将数据跨境置于数据流转共享规则的大背景下考虑，认为业界应继续深化数据流转概念，提升对数据流转的认识水平，及时提供、更新、完善法规的指导，在企业层面建立数据流转、共享框架等。

中国人民大学未来法治研究院副院长丁晓东认为我国不一定采取欧盟做法，通过强化数据主体的个人控制权限制数据流通和数据跨境，而应在中外产业界沟通的基础上，自上而下推动自己的数据跨境流的标准做法。

中国电子标准化研究院信息安全研究中心胡影介绍了《数据出境安全评估指南》、《个人信息和重要数据出境安全评估办法》的出台过程，分析了安全评估的适用对象、流程、评估内容等，认为目前的标准只是落实网安法的需要，未来的标准可能涉及国家间的充分性的认定、接收方国家法律和政策环境等的评估内容。

飞利浦中国区隐私保护官张灵子探讨了美国和欧洲对个人数据的保护机制，提出对我们数据出境安全影响评估的借鉴，我国可以学习欧盟GDPR利用法律原则判断出境风险的方式，而非通过量化方式判断数据风险，因为相对于量化方式判断出境风险，法律原则可以减少企业认知的差异、成本也相对较低。

第一环节由清华大学法学院副院长崔国斌主持，主要围绕“平台的数据权益及利益”展开，核心问题是数据到底以什么法律保护，数据权利有哪些必要的限制。

中国信通院互联网法律研究中心副主任方禹认为，可以参照美国经验，分行业、分领域对数据权属问题进行规定；或者依据日本的经验，通过协议的方式解决数据权属的问题。

阿里巴巴集团法律研究中心副主任顾伟指出，由于数据本身的独立性、特异性，数据可以在一定程度上通过物权保护，合同法、侵权责任法都难以保护数据。

新浪互联网法律研究院秘书长王磊认为，第一，平台数据由于其规模效应与一般的个人信息相区别；第二，数据可以通过知识产权中的邻接权进行保护，以鼓励投资，保护劳动成果，促进行业的发展。中伦律师事务所合伙人石必胜认为，在涉及数据及其保护时，应关注现有的法律资源和现有司法实践中的规则。现有的司法案例倾向于通过《反不正当竞争法》保护数据，而不是通过物权保护数据。

第二环节由中伦律师事务所合伙人陈际红律师主持，主要围绕“个人权益保护及数据分享”展开，核心问题是何种保护水平和保护路径对个人信息是适度、恰当的，如何平衡个人信息保护与信息流动。

全国信息安全标准化技术委员会秘书处（TC260）陈舒以互联网产品隐私条款国内外差异为切入点，分析造成差异的原因，一是国外（特别是欧盟）很早开始个人信息保护，保护历史悠久；二是我国《网安法》等法律规定比较笼统，不利于企业实践操作；三是我国法律法规对个人信息保护的正面激励不足；最后，可以通过保障数据主体的知情同意、进行安全评估及积极履行平台相应责任保障数据分享的安全。

京东集团法律研究执行院长丁道勤指出，我国个人信息保护立法可以吸收驱动理论、激励理论，让用户在数据商业化使用中获得更多价值，实现数据流动与数据保护的平衡；同时，个人信息保护立法还可以借鉴企业内具有驱动性的规则，将这些规则可以上升到标准、法律。

清华大学法学院副院长崔国斌首先探讨了个人信息权和隐私权的立法框架，认为可以继续沿用隐私权保护个人信息；其次，他认为通过合同机制或者自由选择的机制保障用户的知情权可能无法真正实现，最终可能是标准化的规则规范相关主体；最后，以财产权的形式保护个人信息并不合适，会导致权利范围过于宽泛。

中伦律师事务所合伙人薛熠从个人人格权的延伸和财产权界限角度展开对个人信息保护的讨论。首先，他认为需要明确个人信息的概念和范畴，因此在不同语境下个人信息的概念和范畴存在巨大差异；其次，数据权利越接近个人人格权的延伸，越应该向保护人格权偏移。如果越向财产权延伸就应该越向平台和信息控制者方向偏移。

第三环节由中伦律师事务所合伙人陈际红律师主持，主要围绕“大数据及数据流动秩序”展开，核心问题是大数据发展路径和大数据流动中制定何种标准，数据杀熟、数据歧视以及数据脱敏、数据流动秩序的问题。

针对大数据发展路径和大数据流动中制定何种标准的问题，阿里巴巴集团法律研究中心副主任顾伟认为大数据应用有三个要素：算法、算力、数据，因此在数据流动中应确认数据收集和使用的合法性，对不同算法划分不同的法律责任，并且通过相应的法律解决算力垄断的问题。微软亚太研发集团法务部总经理罗立凡结合实际应用场景，提出大数据应用中存在的问题，一是使用客户数据训练算法时，算法的归属问题，二是利用某一客户数据训练后的算法可否用于服务其他客户。励讯集团政府事务总监尹鹏翎认为目前全球的数据安全和隐私保护政策法规相继出台，企业合规任务和成本明显提高，企业需要进一步明确相关的政策和标准的制定与执行情况。英特尔中国法律政策总监续俊旗指出，不必拘泥于传统的物权或者知识产权的方式，可以用更加灵活的方式保护数据权益。对外经济贸易大学数字经济与法律创新研究中心执行主任许可提出数据权属、信息不对称、数据流动中责任划分等问题，认为只有加深对数据的认识才能解决上述问题。

针对数据杀熟、数据歧视问题，阿里巴巴集团法律研究中心副主任顾伟指出，增强数据收集使用规则的透明度可以一定程度上解决数据杀熟、数据歧视，但很难彻底避免。微软亚太研发集团法务部总经理罗立凡强调人工干预的作用，人的参与调整可以纠正数据杀熟、数据歧视的问题。励讯集团政府事务总监尹鹏翎认为数据杀熟、数据歧视并不是技术的问题，而是技术运用方向、技术使用者的问题。英特尔中国法律政策总监续俊旗认为数据杀熟、数据歧视既有主观过错的问题，也有技术限制的问题，用户应有权要求修改不当行为。对外经济贸易大学数字经济与法律创新研究中心执行主任许可提出数据个性化服务的三个层次，包括自主选择、个性化定价及自动化决策，认为可以通过控制数据输入、数据输出解决数据杀熟和歧视的问题。

针对数据脱敏及数据流动秩序问题，阿里巴巴集团法律研究中心副主任顾伟认为数据脱敏需要考虑企业成本，在企业尽到注意义务、约定不进行识别、逆推等活动时可以视为符合脱敏要求。微软亚太研发集团法务部总经理罗立凡从国际贸易角度探讨数据流动，认为对数据流动的限制会对国际贸易带来负面影响。励讯集团政府事务总监尹鹏翎认为流动的数据才会产生价值，只要能够合理适度保护隐私权就应该为技术创新和研发提供一定空间。英特尔中国法律政策总监续俊旗认为不应在数据流动上一刀切地要求数据主体的同意，应当做到数据流动与个人信息保护的平衡。对外经济贸易大学数字经济与法律创新研究中心执行主任许可认为完全的匿名化不利于数据流动和交易，可以通过数据假名化等方式赋予数据的交易价值，促进数据的流动。