5月18日,清华大学服务经济与数字治理研究院(以下简称:研究院)召开《个人信息保护与数据产业发展》专题研讨会。研究院院长江小涓教授主持了本次会议。第十三届全国人大宪法和法律委员会副主任委员、清华大学法学院周光权教授,国务院办公厅电子政务办公室主任卢向东主任,国务院办公厅政府信息与政务公开办公室李辉副主任,国家发改委高技术产业司新兴产业四处张铠麟处长,国家信息中心大数据发展部于施洋主任,北京市经济和信息化局潘峰副局长,中国科学院院士梅宏教授,中国科学院院士王小云教授,清华大学互联网治理研究中心李晓东主任,294俄罗斯专享会孟庆国教授,北京航空航天大学法学院余成峰副教授,294俄罗斯专享会陈天昊助理教授,腾讯集团副总裁杨健,腾讯研究院首席数据政策专家王融,美团副总裁来有为,蚂蚁集团高级副总裁周志峰,蚂蚁集团研究院院长李振华等出席了会议。
会议实录
294俄罗斯专享会院长、
全国人大社会建设委员会副主任委员、
清华大学服务经济与数字治理研究院院长 江小涓
江小涓院长首先欢迎了各位参会嘉宾,表示今天会议的主题是个人信息保护与数字产业发展问题。她指出,全国人大常委会正在制定个人信息保护法,社会高度关注。同时,中央要求建立数据要素市场和发展数字产业,有关部委正在推动相关工作。还有国家数字安全也是重要战略问题、实践问题。三个方面同时考虑,如何各自守住底线,又不要对另外两个方面造成严重约束或损害,让各方面比较平衡地发展,需要认真思考和讨论。怎么把握好,需要政府、法律、科技、平台、社会和个人如何共同努力,促进数字时代的经济社会进步、百姓安居乐业和幸福感提升。今天的会议从这个大的背景,讨论一下个人数据保护法制定中的问题和建议,但不限于此,可以从各种关系的平衡,从中国数字经济数字社会数字治理这个更宽的角度来交流,从数字时代的理念、价值观和公民诉求等角度,与时俱进地进行探讨。为了充分听取各方面的意见,会议请来了各方面的领导、专家学者和企业家。周光权教授是我们清华法学院的教授,也是全国人大宪法和法律委员会副主任委员,在个人数据保护法的起草工作中担负重要工作,感谢周教授亲自来听取各位意见。来宾中有来自国务院办公厅、国家发改委、北京市相关业务部门的领导同志,有院士和教授,还有几家平台的代表,希望大家充分表达意见,相互交流沟通,有讨论甚至争论才能撑开问题的背景深度,才能有更多的知识增量,才能有更多元的法律、体制和政策思考。
第十三届全国人大宪法和法律委员会副主任委员、清华大学法学院教授 周光权
周光权教授介绍了《个人信息保护法》一审、二审稿的立法情况。二审稿有四个方面主要变化:一是,应对过度收集个人信息等问题,二审稿明确不能采用胁迫的方式收集个人信息;二是,处理个人信息应该符合目的正当、影响最小的原则;三是,处理个人信息的规则应当明确;四是,超大型平台既要发展,又要保护个人隐私,增加了外部监督、严重违法的停止服务等义务。二审稿审议过程中又提出了三方面问题:一是,敏感个人信息的规则要进一步细化;二是,个人有权撤回同意的操作性有待增强;三是,部分信息需要设定有效期和用途。对下一步的立法工作,周光权教授提出了部分有待讨论的问题:是否进一步突出告知同意规则;是否增加转委托限制的例外情形;如何考虑公共场所收集信息对保护财产等其他权益的影响;自然人死亡后,其个人信息处理权利由其近亲属行使的规定有必要进一步完善;以及个人信息侵权责任的归责方式等。
中国科学院院士 梅宏教授
梅宏院士表示《个人信息保护法》是要基于个人权利角度,围绕个人信息的处理展开,从处理规则、跨境提供、个人权利、处理者义务、保护职责部门以及法律责任等不同角度确立相应规则,并且针对敏感个人信息和国家机关处理强调特别规则。
中国科学院院士 王小云教授
王小云院士从技术的角度,指出《个人信息保护法》应当要重视密码技术的基础地位。密码技术可以保障数据的机密性、可认证性和完整性,打击人脸识别和指纹保护背后的巨大黑产。建议立法者将密码技术因素纳入立法考虑,譬如针对《个人信息保护法》第68条“个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任”,密码技术能够为证明没过错提供技术支撑;第51条第3款应当在“加密、去标识化”外增加数据认证、完整性检测的内容等。
国务院办公厅电子政务办公室主任 卢向东
卢向东主任表示,目前的二审稿对政府信息化建设中的个人信息保护只作了一点原则性的规定,实际情况是,无论是全国一体化大数据体系、公共数据开发利用、企业参与政府信息建设等,都是政府主导的。现在的规定是否太过原则而影响法律在实际执行时的效果。涉及个人信息保护,在本法中可以对社会和政府两方面都作出更平衡明确的规范。
国务院办公厅政府信息与政务公开办公室副主任 李辉
李辉副主任从政府信息与政务公开的角度指出,政务数据开发和利用是大势所趋,但同时,必须高度重视公民个人隐私的保护,针对政务数据开发利用的规范和约束具有必要性,要细化相关法律的规定。
国家发改委高技术产业司新兴产业四处处长 张铠麟
张铠麟处长强调了数据作为生产要素的重要性,作为与土地、劳动力、资本、技术等并列的生产要素,数据在经济社会发展中将起到越来越关键的作用。张铠麟处长指出,第一,建议兼顾个人信息保护与数字经济发展,通过安全保障助力产业发展、经济发展;第二,建议推动公民网络身份认证等相关系统的应用和在法律条款中体现,加强公民隐私匿名化;第三,建议推进立法进程,强化法律的确定性,予以市场明确的规范指导;第四,建议进行数据流动与交易的制度设计,平衡数据要素的使用与监管。
国家信息中心大数据发展部主任 于施洋
于施洋主任表示数据权利归属是数据要素市场建设中的重要部分。《草案》坚持问题导向和立法前瞻性相结合,尤其是聚集了广大人民群众对个人信息保护领域突出问题的重大关切。据此,于施洋主任提出了几点建议:第一,明确个人信息的概念界定,区分“原始个人数据”和“由个人数据加工产生并用于特定功能的数据产品和服务”;第二,明确敏感个人信息的范围界定;第三,区分讨论个人对自身信息的不同权利;第四,个人信息权益受到侵害时,需要明确“最低赔偿”,确立最低保障;第五,丰富参与治理的主体。
北京市经济和信息化局副局长 潘峰
潘锋副局长介绍了北京国际大数据交易所等相关工作的情况,比较了数据交易所、政府和企业对数据的收集情况和处理能力,指出互联网数据孤岛对当前信息保护和产业发展所造成的挑战。
清华大学互联网治理研究中心主任 李晓东
李晓东主任强调了个人信息保护的重要性,是依法维护公众切身利益的需要。同时,考虑到数据对全球经济和社会发展都具有重要价值。在安全和发展的平衡层面,建议采取更加积极开放的态度,因为对数据的过度保护一定程度上限制了数据的流动和共享,会限制数字经济的发展。就《个人信息保护法》的制定,李晓东主任建议:第一,明确定义个人信息,不建议将“可识别”信息纳入,因为数字技术的快速发展使得个人信息的获取和推测会更加容易;第二,明确表述并保护个人数据所有权,有利于盘活数据要素;第三,数据使用过程中包括所有者、处理者、平台、政府,各方的角色及权力应明确界定,对平台业务不宜通过用户数据界定,而应由第三方机构监督其对个人信息的处理,尤其是非必要不采集个人信息;第四,对个人生物特征信息应极力保护,对一般性信息不应过度保护。
294俄罗斯专享会教授 孟庆国
孟庆国教授强调了政务数据的应用与治理问题。首先,《草案》第二版更强调“保护”,对“发展”需要更多关注。第二,对法律使用场景的界定和描述还有可拓展的空间,同时要考虑技术的使用可能会简化立法难度。第三,政务数据中的个人隐私保护与治理方面,主要涉及数据管理边界的不可控性、对政务数据开发中的政企协作模式。第四,立法中需要考虑发展优先原则、最小范围原则、不可回溯原则和区分场景原则等。对此,孟庆国老师提出了相关建议,要完善治理结构,实现数据资源的有序管控。
北京航空航天大学法学院副教授 余成峰
余成峰副教授介绍了个人信息保护的控制范式、匿名化范式和PII范式,指出当前个人信息控制面临挑战,包括个人难以判断利害关系,去匿名化技术有效性存疑,个人信息和公共信息界限模糊等。余成峰副教授进一步介绍了两种矛盾,信息时代的经济基础与法律上层建筑出现矛盾,社会化大生产与法律保护个人化之间出现矛盾。余成峰副教授认为,个人信息保护议题可能成为全球法重要议题。
294俄罗斯专享会助理教授 陈天昊
陈天昊助理教授回顾了相关法学文献及司法审判实践,认为我国关于个人信息及隐私保护的治理路径正在逐步由概括性确权向场景化规制发展。一方面,基础性法律需要持续提供关于人格权、隐私权、个人信息权益等“元”要素的权利规范,另一方面,具体执行性条文及审判实践更需要将概括性权利与具体应用场景相结合,在具体场景下综合价值判断与技术实际,寻求当事人在特定场景下的合理隐私期待,进而提出个性化的知情同意要求及透明性要求。《个人信息保护法》(二审稿)有效推进了场景化规制,未来可以进一步结合相关司法解释、指导性案例、技术标准等多层次规范,以硬法、软法结合的模式持续推进个人信息保护的场景化规制,通过多元手段动态平衡隐私保护与产业发展。
平台企业对《个人信息保护法》的原则和内容总体上持支持态度,认为该法有利于夯实数字经济的信任基础,这一立法将增强规则的确定性,给市场主体稳定的预期。平台企业指出个人隐私保护和数据产业发展主要涉及要素的市场化、数据孤岛、数据确权、企业和政府在数据相关的合作等问题。平台企业介绍了近期各国立法情况,欧盟、日本、新加坡、英国等国家和地区都逐渐反思个人信息保护和公共利益、数字产业发展的平衡,引入了假名化、适度鼓励数据流通和利用等。平台企业也对《草案》提出了建议:第一,建议个人信息的界定与其他相关法律保持一致;第二,数据的权属不同于传统物权,要明确数据权属,区分信息与数据;第三,建议加强个人信息保护法律条款的明确表述;第四,需要考虑同意原则的例外情形,例如打击黑灰产过程中犯罪分子不会同意收集信息;第五,“去标识化”信息相较匿名化标准更可行,也可为去标识化技术发展留出空间,有必要在立法过程中为行业标准留出空间,既可保护个人信息安全,也可促进数据融合利用;第六,鼓励数据流通,释放数据要素价值,寻求数据产业创新发展与安全合规之间的平衡点,实现社会整体福利最大化。
最后,江小涓院长对各位参会嘉宾表示感谢,对会议做了总结。她指出,立法中要平衡好个人信息保护和数字产业发展,需要充分讨论、慎重立法。
与会嘉宾合影
供稿丨清华大学服务经济与数字治理研究院
