目录｜《上海法学研究》集刊2022年第20卷

——数据合规流通论坛文集

主题：数据合规流通与隐私计算

隐私与个人信息保护研究

李锦华

数据合规时代个性化推送行为的法律风险及其治理

隐私计算技术赋能个人信息保护的风险及其规制

人脸识别的法律规制路径思考

个人信息保护合规审计的悖论及其解决——以个人信息流转合法性基础为例

梁  灯

个人信息删除权的法教义学分析

公共图书馆数字化服务中的信息网络传播权侵权问题研究

数据安全保护研究

数据犯罪的底层逻辑与预控—以刑事合规角度为切入

杨  猛  陈博文  张  猛

数据产品及服务权益认定的理论与制度综述研究

商建刚

合规流通视阈下的刑事电子数据取证—尊重第三方企业权益的协作

吴俊杰

破产法视域下个人数据转让规则研究

陈绮倩

数据可携权制度的证成与反思

张一凡

数据安全视域下知识产权的检察保护路径构建

朱姗依

IP属地的法律性质证成及平台责任评析

严  驰

作者：刘云（清华大学智库中心助理研究员），孙绮雯（清华大学法学院计算法学方向硕士研究生）

内容摘要：同态加密技术有助于区分数据和个人信息，让个人信息在加密数据的保护下以可控的方式流转，以此实现安全与发展的平衡。同态加密支持在无须访问数据本身的情况下对密文进行运算，解密所得运算结果与直接对明文进行同样计算的结果相同的属性，让同态加密可以在统计计算场景下实现原始个人信息不出域，在信息共享场景下实现敏感个人信息保护，在结果验证场景下实现最小必要信息才出域。同态加密后的个人信息是否是匿名化数据需要根据具体场景来判断。通过同态加密进行数据脱敏具有很高的安全性，但仍然存在加密数据泄露的风险，故而需要履行相应的网络安全义务。同态加密技术使用的法律意义存在不同结果，有时可以通过减少个人信息处理类型的方法降低数据合规成本，有时则属于履行必要技术措施的法定义务的选择之一，有时还会基于同态加密计算获得用户画像结果等新的个人信息而增加新的个人信息保护义务。总之，同态加密技术可以在不受信任的环境中保护个人信息安全，有助于个人信息在安全的环境中实现数据赋能个人、组织与社会的发展目标。

关键词：同态加密  隐私计算  个人信息保护  数据脱敏数据共享  技术选择

作者：抖音集团数据及隐私法务（田申、高震、张吉、顾翔、刘笑岑、张清芳、李亚楠）

内容摘要：隐私计算作为一项新兴的安全技术，近年来受到了广泛重视。在剖析不同类型私计算技术特点的基础上，结合产业实践，对这一技术在保障目的限制、最小必要以及安全可信原则方面的供给作用进行了深入阐释。在充分肯定该类技术为法律合规提供重要保障的同时，也揭示其自身局限性，提出需要将其与数据安全影响评估制度有机结合，共同构建完整的“数据保护评估体系”，方可真正发挥其平衡“数据要素充分利用”与“数据安全隐私保障”的核心价值。

关键词：隐私计算  个人信息保护  供给效应  协同效应  数据安全影响评估  数据安全

作者：刘学涛（西北政法大学枫桥经验与社会治理研究院研究员），彭与格（暨南大学法学院本科生）

内容摘要：随着人工智能技术的发展，人脸识别技术日渐成熟，并且相比于指纹识别、虹膜识别等其他生物识别技术，人脸识别技术因其“非接触性”的特点更容易进行远程快速采集，被普遍运用到社会生活中。现阶段，我国各行业数据资源丰富，价值优势突出，利益相关方蜂拥而至，且随着各行各业数据内外部应用的同步拓展和推进，数据合规问题日益凸显，严重阻碍数据资源价值释放，数据合规需求更加迫切，数据合规研究及指导落地刻不容缓。未来，人 脸识别数据在内的个人信息处理应坚持合法、正当、必要与告知-同意原则，规制数据合规的系统性路径则应健全个人信息保护组织机构、树立个人信息保护合规价值观，从而提高合规意识，加强合规管理，促进合规工作。

关键词：人脸识别  个人信息  数据合规  数据资源  个人信息保护  告知-同意原则

4.从冲突到互惠的个人信息处理关系转向——兼论个性化推荐、定向广告等操纵问题

作者：李锦华（中国人民大学法学院博士研究生）

内容摘要：数据利用已经成为不可阻挡的时代趋势，信息处理活动给个人信息隐私、合法信息权益等均带来了风险和问题。由于当前信息处理活动中权力不平等、信息不对称等问题导致信息处理关系的紧张和冲突。个人赋权严格规制信息处理活动的机制已经失灵，信息处理行为也并非全然需要公权力介入，公法规制的成本可能大于实质性收益，甚至产生阻碍数字社会发展的反效果。如何将冲突的信息不平等关系转向互惠的信息处理信任关系，保障个人信息合法权益、平衡信息处理主体之间的利益矛盾、促进数据利用模式的发展，实现数据高效共享和流通，是亟待解决的重点和难点。行为经济中的“助推”理论，可以为从市场自由竞争到私人赋权再到公法规制的规范信息处理行为提供一种反向思考。

关键词：数据利用  信息处理关系  信任  冲突到互惠  助推  规范

5.数据合规时代个性化推送行为的法律风险及其治理

作者：周姹（上海市黄浦区人民法院法官助理）

内容摘要：个性化推送是数字经济中常见的商业运营模式，其本质是在大量挖掘用户数据的基础上，以推荐算法为核心进行数据运算，为用户提供“千人千面”的决策定制参考的技术。随着数据合规时代的到来，个性化推送风险暴露与异化现象频繁出现。为应对风险治理缺失问题，需充分贯彻“以人为本”“审慎运用”“风险预防”的治理理念，并搭建起多元治理框架，同时从明确企业义务履行限度、探索第三方参与治理、平衡技术发展水平与治理规则以及精细设定责任等方面推进治理实施。

关键词：互联网平台  算法推荐  个性化推送  风险预防  数据治理  个人信息保护

6.隐私计算技术赋能个人信息保护的风险及其规制

作者：唐树源（上海杉达学院法学教师，知识产权法商研究中心研究人员）

内容摘要：隐私计算技术赋能数据要素发挥更大价值时，应处理好个人信息保护与利用的矛盾、数据流通中的主体不信任引发“囚徒困境”和处理个人信息的合法性基础问题。为此，通过明确隐私计算技术的法律属性，找寻隐私计算技术对接个人信息保护难题中的嵌合点，来揭示出隐私计算技术的内外部风险形态，最终提出筑牢隐私计算中处理个人信息的合法性基础、引入“相对匿名化”的信息处理要求、建立隐私计算技术的行业标准、重点关注重要场景下隐私计算应用的合规建设、建立信任原则等法律规制进路。

关键词：隐私计算技术个人信息保护风险形态技术赋能  数据流通  数据合规

7.人脸识别的法律规制路径思考

作者：王修竹（三峡大学硕士研究生）

内容摘要：近年来，人脸识别以其速度快、使用门槛低、配置简易、易操作等优势被大量应用于互联网交友、购物平台和线下支付。值得注意的是，现阶段我国对个人信息保护的法律机制不健全，人脸识别技术带来诸多法律风险。人的面部特征识别技术是一种算法技术，与其他生物识别方式如掌纹、声纹识别相比，对应用环境的要求更高。国外对人脸识别的民法规制主要有两种具有代表性的立法模式—欧洲统一的立法模式和美国联邦与州并行的立法模式。我国对该技术的规制集中于对个人信息及隐私的的保护，结合当下法律对个人信息保护的规制现状，未来可以从立法、执法、司法等多层面进行规制。

关键词：人脸识别  面部信息  个人信息  数据安全  敏感信息  法律规制

8.个人信息保护合规审计的悖论及其解决—以个人信息流转合法性基础为例

作者：梁灯（广东君信律师事务所律师）

内容摘要：个人信息保护法是我国首次也是目前为止唯一一次在法律中规定合规审计，这体现了个人信息保护制度与其他法律制度的异质性。该异质性具体表现为个人信息保护制度的技术融贯、刚性规制和柔性治理结合等特质，导致个人信息保护合规审计在实务中呈现双重悖论：其一是合规审计要求审计标尺精准和个人信息保护法律规范过于概括的矛盾；其二是合规审计的权威性期待与审计因标尺不清而难以维持独立性的矛盾。为此，需调整传统的审计方法论以适用于新型的个人信息保护合规审计。从演绎转向类比、从定性转向定量是完善合规审计方法论的两个方向，但需警惕和避免合规审计在方法论改进过程中被风险评估同质化的趋势，以捍卫个人信息保护合规审计机制的立法原意和审计的鉴证和监督功能。

关键词：个人信息  流转  合规审计  悖论  方法论   民事责任

9.个人信息删除权的法教义学分析

作者：赵棒（上海财经大学法学院硕士研究生）

内容摘要：作为个人信息权的权能之一，删除权对于维护个人信息自决力和控制力具有极其重要的作用，删除权的客体是狭义上的个人信息，不同于隐私和数据。我国现行法已经对个人信息删除权做出了较为明确的规定，不能将其和隐私权混为一谈，也无需引入欧盟的被遗忘权概念。删除权的权利主体主要是个人信息主体，义务主体是个人信息处理者。当符合行使删除权的条件时，个人信息处理者应当主动履行删除义务，权利主体也有权请求处理者删除相关信息，亦可直接向法院提起诉讼，从而实现对删除权的司法保护。应当从维护个人信息权利主体的人格尊严出发，将删除权构筑成保护个人信息的一道坚固屏障。

关键词：个人信息  删除权  隐私权  被遗忘权  数据法教义学分析

10.公共图书馆数字化服务中的信息网络传播权侵权问题研究

作者：朱莹（上海社会科学院图书馆助理馆员）

内容摘要：随着数字化时代的到来，公共图书馆的传统服务模式发生了转变，数字资源建设成为公共图书馆服务内容的重要方面。正因如此，公共图书馆更易陷入信息网络传播权的侵权困境。为了纠正公共图书馆侵权纠纷中出现的信息网络传播权认知误区，需要进一步厘清信息网络传播权的权利内涵。以法律视角观之，一方面应当全面理解信息网络传播权的专有属性，另一方面应当把握信息网络传播权的核心在于“向公众提供作品”，使其可在自己选定的时间和地点获得作品。在此基础之上，公共图书馆应注重在数字化服务过程中，充分履行其法律义务，尽可能规避信息网络传播权侵权风险。

关键词：数字时代  公共图书馆  数字资源  信息网络传播权  数字化服务  侵权

1.数据抓取类不正当竞争案件的裁判思维及反思

作者：翟虎祥（上海政法学院经济法学院硕士研究生）

内容摘要：囿于反不正当竞争法在数据抓取领域缺失明确规范，裁判滥用技术手段实施数据抓取行为纠纷案件的法律依据主要是反不正当竞争法第2条以及第12条第2款第4项。从司法角度看，基于一般条款裁判更需要释法明理，施加更为严苛的适用条件。因此在“私益优先”和“多益平衡”裁判思维的选择困境之下，有必要对第2条加以严苛的适用条件；并反思现有要素构造法的弊病，转而采纳以比例原则为核心的行为正当性标准判断范式，从数据权益保护和数据应用创新两方面对数据抓取行为的正当性进行综合认定。这对跳出传统民法侵权损害判断范式的局限性，实现反不正当竞争法和反垄断法的耦合，革新竞争法裁判思维，具有重要意义。

关键词：数据抓取  私益优先  多益平衡  不正当竞争法  裁判思维  不正当竞争案件

2.关于互联网平台反垄断规制的思考

3.新反垄断法中经营者集中条款的相关评析

作者：钱程（上海政法学院经济法学院硕士研究生）

内容摘要：2022年8月1日，新修改的反垄断法正式开始施行，本次修订解决了从2008年反垄断法发布以来面临的市场经济发展中的各类问题。经营者集中作为反垄断法事前审查最重要的规制手段，在本次修订中也有颇具创新性的制度设计。本次修订在经营者集中章节里主要包括：修订申报标准，新增“停表”制度，新增“分类分级审查制度”。通过分析本次修订后经营者集中的相关法条，发现其中的不足之处，以供后续相应细则的出台进行参考。

关键词：反垄断法  事前审查  经营者集中  申报标准   “停表”制度  分类分级审查制度

作者：程然（上海政法学院经济法学院硕士研究生）

内容摘要：数字经济领域的各种垄断以及不正当竞争行为对市场竞争秩序造成了巨大的影响，也给反垄断执法带来了新的挑战，仅依靠行政执法无法完全涵盖和满足数字经济领域的多数经营者的利益需求。当前，严格监管、审慎监管是包括我国在内的全球各司法辖区广泛达成的共识，欧盟、美国、日本等国家围绕立法修订或司法运用，在不断探索数字经济领域反垄断制度的完善。行政监管仍然是数字经济下反垄断制度的核心，我国在数字经济领域反垄断制度的建立和完善，要立足国情，围绕更加科学、审慎的监管加强立法、贯彻多路径监管的执法、拓展司法运用，由此才能真正发挥反垄断在数字经济领域保护竞争、维护市场秩序的作用。

关键词：数字经济  反垄断制度  审慎监管必需设施  公益诉讼  企业合规

5.平台拒绝数据许可的反垄断规制—基于反垄断法禁止拒绝交易条款的适用展开

6.数字经济下经营者集中的审查困局及规制进路

作者：石旭芳（上海政法学院经济法学院硕士研究生）

内容摘要：市场竞争和社会经济结构伴随数字经济的发展而变化，数据驱动型经营者集中的情况逐年增加，修订后的反垄断法在处理数据领域的经营者集中行为时仍具有一定的局限性，数据驱动型经营者集中的审查正面临着经营者申报标准单一、审查范围和审查标准局限、传统相关市场界定标准不适用等困局。规制经营者集中制度需要从调整申报标准、规范申报义务、细化审查标准、革新大数据相关市场界定及认定途径入手，申报标准多样化，规范具有重要市场力量的数字平台企业强制申报的义务；审查标准精细化；革新大数据相关市场界定及认定途径，综合分析数据产业经营者集中的竞争影响。

关键词：经营者集中  申报标准  审查标准  相关市场  数字经济  数据驱动型经营者

7.我国反垄断法修订中第十九条组织帮助型垄断协议的修改建议

作者：赵蔚源（上海政法学院经济法学院硕士研究生）

内容摘要：反垄断法新修订第19条的立法目的在于调整网络平台企业参与轴辐协议的难点问题。前提是确认组织帮助型垄断协议在垄断协议中的定位。其次，传统的垄断协议的二分法使得算法合谋与平台轴辐合谋既无法归为横向垄断协议又无法归为纵向垄断协议，最终导致该问题无法可依。对此，应当明确在组织帮助型垄断协议项下可以规制轴辐协议与算法合谋行为。对于轴辐协议适用本身违法原则还是合理原则，如果生产商出现即使无直接共谋也会采取其他涉及垄断法规制的措施，适用本身违法原则。其余的情况需要采取个案分析。

关键词：算法合谋  轴辐协议  反垄断法  制度完善  修订建议  垄断协议

8.数字经济发展的法治保障研究

1.数据犯罪的底层逻辑与预控—以刑事合规角度为切入

作者：杨猛（同济大学法学院助理教授），陈博文（华东政法大学法律学院硕士研究生），张猛（大连海事大学法学院本科生）

内容摘要：数据合规是企业合规建设的重要内容，同时与刑事合规不起诉的启动与实现有必然关联性。但是企业刑事合规不起诉的本土化过程中仍然存在一定弊端，尤其是目前我国数据合规缺乏明确的统一标准，因此应当首先设置应然标准即原则性理论标准与制度性实践标准。并在梳理与透析企业的数据治理结构风险与数据治理技术风险类型的基础上，针对性规制其中涉及的刑事风险，包括企业数据治理结构的内外部刑事风险以及企业数据治理技术的使用方式之合规风险、运行场景之合规风险以及孵化研发之合规风险。由此，才能推动我国数据平台经济的合规健康发展。

关键词：刑事合规  数据合规  适用前提  合规内容  数据治理结构风险  企业合规

作者：商建刚（上海政法学院副教授，硕士生导师）

内容摘要：数据产品及服务具有较高的经济价值已经成为社会各界的共识，但面临确权难以及数据资源开发和个人信息保护之间的张力无法调和等问题，亟需理论定位。学界曾经探索以人格利益财产化、扩大知识产权的标的范围、扩张解释物权标的、直接赋予数据财产权等范式来认定数据产品及服务的权益。司法实务界曾经采取过知识产权制度、债权制度、反不正当竞争法等路径保护数据资源。然而，学界倡议的“强保护”范式不利于数据流通，司法实践采取的“弱保护”范式又无法真正保护数据资源权益，应当探索建立处于“强保护”和“弱保护”中间地带的，以数据分类分级为基础、保障数据安全为前提的“数据产品经营权”理论来认定数据产品及服务权益。

关键词：数据产品及服务权益  人格利益财产化  数据财产权  数据产品经营权  数据流通  数据合规

3.合规流通视阈下的刑事电子数据取证—尊重第三方企业权益的协作

作者：吴俊杰（华东政法大学刑事法学院硕士研究生）

内容摘要：企业作为第三方在刑事电子取证中承担着协助义务，其来源应是基于企业数据合规目的下的权利。数据合规具有隐私保护和流通的双重含义，数据只有在流通的过程中才能实现价值。电子取证中的数据流通是公安司法部门与企业的协作，需尊重第三方企业的数据权益。为打击数据爬取，企业作为数据控制者需要享有数据权益；为实现数据安全法的衔接，企业数据权益的来源应当是数据主体的个人信息和隐私权以及企业作为数据控制者的权益；企业在民法上也具有财产权等权利诉求。应进行数据分类分级以确立比例原则；明确公安司法部门数据处理者的义务或创新数据信托取证方式来构建正当程序；确立第三方企业在刑事诉讼中的地位进行协助费用补偿。

关键词：数据流通  数据合规  电子数据  取证规制  第三方协作  正当程序

4.破产法视域下个人数据转让规则研究

作者：张一凡（山东大学法学院硕士研究生）

内容摘要：数据可携权赋予用户积极的数字人格和权利，一定程度上打破了平台和用户之间的不对称性，解决了潜在竞争者进入市场难的问题，是数据财产化的基础和数据流通的有效途径。与此同时，缺乏权利基础使其存在先天的不足，技术条件不匹配带来了后天的障碍。立足我国具体国情和欧盟实践经验，数据可携权制度在构建过程中不能盲目扩张，权利义务设定不宜过分激进 。要明确权利内容和行使方式，鼓励建立新型数据流通机制。

关键词：数据可携权  个人数据  数据权益  数据垄断  数据流通  数据财产化

作者：朱姗依（东阳市人民检察院检察官助理，四级主任科员）

内容摘要：数字时代下，知识产权保护工作面临数据安全等层层挑战，一方面以元宇宙为代表的技术浪潮对知识产权造成新的冲击，另一方面国际贸易战围绕数据保护、知识产权安全等问题提出了更高水平的保护标准。立足当前检察保护现状和问题，深刻把握数字化改革与检察机关保护知识产权一体履职的有利契机，通过供给侧改革、跨部门合作、大数据应用等方式，重塑知识产权领域检察履职新路径。

关键词：数据安全  知识产权  检察机关  检察保护  数字时代  智慧法治

7.IP属地的法律性质证成及平台责任评析

往期精彩回顾

目录｜《上海法学研究》集刊2022年第19卷

目录｜《上海法学研究》集刊2022年第18卷

目录｜《上海法学研究》集刊2022年第17卷

目录｜《上海法学研究》集刊2022年第16卷

目录｜《上海法学研究》集刊2022年第15卷

目录｜《上海法学研究》集刊2022年第14卷

上海市法学会官网

http://www.sls.org.cn