上海市法学会消费者权益保护法研究会2021年“个人信息法律保护”学术研讨会成功举办

发布者:管理员发布时间:2021-10-25浏览次数:10

2021年10月13日下午,上海市法学会消费者权益保护法研究会(以下简称“上海市法学会消法研究会”)2021年“个人信息法律保护”学术研讨会在上海市普陀区人民法院顺利召开。本次会议由上海市法学会指导、上海市普陀区人民法院、上海财经大学法学院和上海市法学会消法研究会共同主办。此次研讨会上,共有来自复旦大学、华东师范大学、华东理工大学、南京大学、上海大学、上海政法学院、上海财经大学、上海市普陀区人民法院、上海金融法院、上海乐邦律师事务所、上海瀛东律师事务所、上海方本律师事务所、上海达尧律师事务所、上海都邦律师事务所、上海中联律师事务所、上海市凌云永然律师事务所、字节跳动、浦银金融租赁股份有限公司、上海奥莱尔冷暖设备配套工程有限公司等理论界、实务界和实业界的30余位嘉宾与会,就“个人信息法律保护”的主题展开深入的分享和交流。


开幕式

开幕式由上海市法学会消法研究会会长、上海财经大学党委常委、统战部部长周杰普教授主持。周杰普会长对与会专家的到来表示热烈的欢迎和衷心的感谢,同时表示在疫情防控常态化的情况下本次会议的召开着实不易。本次探讨会以个人信息法律保护为主题,契合《个人信息保护法》的颁布施行,深入研究该话题也属于消法研究会的职责范围。

上海市普陀区人民法院院长、上海市法学会消法研究会副会长刘力致开幕词。刘力院长对出席本次会议的嘉宾表示感谢。他指出,十三届全国人大第三十次会议于2021年8月20日首次表决通过《个人信息保护法》,这是我国首部对个人信息保护的专门性法律。刘院长认为,此次会议的召开正当其时:第一,这次会议将是分享对于法律科学理解的一个极佳机会。之所以围绕着数据和信息主题,是因为随着信息社会的到来,信息和数据治理领域的秩序建构需要重新考量。这是技术加速创新深刻影响经济社会给法律所提出的任务,需要法律共同体对其作理性的观察和恰当的理解,即我们怎样判断信息时代背景下信息和数据的规制需求,怎样理解国家立法的精神,怎样进行观念的表达,怎样贡献法学的智识。第二,在新生事物的发展过程中,如何把法律制度概念化,把法律体系化,最后融合成一个符合数字经济发展趋势和规律的知识体系,这需要系统的方法论。第三,从法律发展和法律渊源角度出发,虽然现在有制定法,但是法律渊源可能还需要司法判决的探索,也离不开学者学识、学术的贡献,因为法律的发展是一个过程,其整个框架体系的形成也具有持续性。

最后,刘力院长预祝本次座谈会取得圆满成功。

本次研讨会设三个单元,即“经济法视阈下的个人信息保护:理论基础、工具选择和实务应用”、“私法视阈下的个人信息保护:价值定位、规范路径和司法适用”及“跨境流动的个人信息及其保护:战略政策、制度框架和国际比较”。

第一单元

 第一单元由上海市法学会消法研究会副会长、上海大学法学院民商法研究中心主任张秀全教授主持。

上海乐邦律师事务所王厚忠主任进行了题为“浅论企业处理个人信息的义务”的报告。王主任认为,企业也是《个人信息保护法》里面的一个重要的主体,《个人信息保护法》的第51条了规定企业的合规义务。如果企业能遵守这些合规义务,就达到了个人信息合法使用的状态。整个《个人信息保护法》讲究的是利益平衡,不单要保护个人信息安全,同时也要保护使用个人信息的经营性企业的利益。

王主任主要从以下五个方面来展开:第一,企业应制定内部管理制度和操作规程,王主任以隐私政策的合规为例提出,隐私政策应清晰说明各项业务功能和所收集个人信息的类型,并且清晰呈现个人信息处理规则及用户权益保障。同时,企业不应在隐私政策中设置不合理的免责条款。第二,企业须对个人信息实行分类管理,将信息分类为个人信息、个人敏感信息和匿名化信息。在对个人信息进行分级分类时应结合自身业务特点,针对采集、存储和处理的数据,制定数据分级分类规范。需要注意的是,企业在使用个人信息时,要加强隐私权的保护。第三,企业要采取相应的加密、去标识化等安全技术措施。第四,企业须合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训。第五,企业要制定并组织实施个人信息安全事件应急预案。

华东师范大学法学院王美舒副教授进行了题为“公共数据授权运营中的个人信息保护规则”的报告。王教授主要从三个层面论述公共数据授权运营中遭遇的个人信息保护问题。第一,公共数据的范围如何界定?对于这个概念的界定不同,就会导致相应的授权运营或者开放政策不同。第二,公共数据授权运营、公共数据开放以及公共数据开放的市场化运营之间界限何在?第三,《个人信息保护法》设置了个人信息的政务利用以合目的性为限的制度,亦即,国家机关不得超出履行法定职责的范围和限度利用个人信息。那么,政府违反上述限定,超出了相应的法定职责所必须的范围和限度,应怎样规制?

针对这些问题,王教授提出,一个思路是在公共数据授权运营过程当中,进行场景化的个人信息保护,以实现《个人信息保护法》的目的。大体上,最底层的是代码和技术保护,在代码技术上避免二次授权过程中个人信息被使用于超出原有目的的领域和范围。中间层是企业的数据合规政策的应用。上层则是,相应的个人信息保护具体法律制度在国家机关政务利用个人信息行为中的落实。

与谈嘉宾上海市普陀区人民法院民事审判庭邵莉星副庭长针对第一单元的主题发表了自己的看法。邵庭长从如下三个方面进行点评:首先,《个人信息保护法》既要保护个人的信息权益、规范个人信息处理流程,也要引导数字经济发展、营造利于企业经营的法治环境。所以,这两种利益之间的平衡,才是《个人信息保护法》所意欲追求的本旨所在。其次,个人信息权益属于民事权益中人格权益,因此对其进行制度性的保护时,要兼顾民法典中关于个人信息保护的原则、规则以及私法主体针对个人信息所享有的诸项民事权利。最后,《个人信息保护法》规定的法律责任涵盖了行政处罚、失信公示、国家机关工作人员的处罚以及侵权责任、民事公益诉讼等诸多方面,就侵害个人信息权益而言,其侵权责任适用过错推定归责原则。若以侵权法规则作为保护个人信息的制度工具,要从侵权行为、损害后果、因果关系、过错四个要件切入和认定。

与谈嘉宾上海财经大学法学院袁波老师分享了他学习两位报告人发言的体会。对于王厚忠主任的发言,袁老师认为有三个点非常关键:一是,整个《个人信息保护法》遵循了个人信息保护和开发利用相平衡的价值取向。就此,个人信息的法律定义是最佳体现和承载。该定义特别强调,匿名化处理之后的个人信息不再属于该法所规制的“个人信息”。二是,知情同意原则。目前来讲,互联网企业主要通过隐私政策或做用户记录的方式来满足合规的要求,履行知情同意原则。但是未来如何更好落实,仍有待努力。三是,如何理清个人隐私和个人信息这两个客体之间的关系。

对于王美舒副教授分享,袁老师从经济法角度进行评析。他提到隐私悖论现象其所反映的每个人的隐私偏好,或者说对隐私的珍惜程度是不一样的。袁老师认为,《个人信息保护法》如欲解决政府监管、政府干预和市场调节之间的关系问题,就有必要厘清政府在个人信息保护中的边界。

之后,袁老师谈到三部相关法律在个人信息保护领域可能发挥的功用和效能。第一部是《反垄断法》,他以Facebook收购WhatsApp一案为例,指出反垄断法保护市场竞争,这可以保障消费者基于特殊的隐私偏好选择不同产品和服务主体时存有充分的自由空间和可能性。第二部是《反不正当竞争法》,他以新浪微博诉脉脉案为例进行说明,该案裁判法院提出三重授权原则的裁判思路,与《反不正当竞争法》第2条对于个人信息的保护是关联的。第三部是《消费者权益保护法》,回顾《个人信息保护法》的起草历程,2012年全国人大出台了关于加强网络信息的保护规定,其为《个人信息保护法》的前身。2013年修订《消费者权益保护法》时,才真正第一次把个人信息保护的内容引入到实体法。


第二单元

第二单元“私法视阈下的个人信息保护:价值定位、规范路径和司法适用”由上海政法学院副校长郑少华教授主持。

南京大学法学院副研究员陈洪杰老师进行了题为“个人信息保护的价值定位和司法适用”的报告。陈老师从以下方面进行了探讨:第一,以《个人信息保护法》第2条、第4条、第10条为例揭示其立法目的实现的规范路径。第二,在价值定位上,个人信息保护并不仅仅关乎个人,亦关乎信息权益主体;第三,从关系视角出发,《个人信息保护法》是涉及个人信息利用和保护双重维度所做出的制度安排。个人信息保护机制并非单纯以私人利益的实现为导向,也涉及到信息公共秩序的生成。陈老师还就“淘宝诉美景反不正当竞争”案进行了分享和阐释。

复旦大学法学院葛江虬老师以“《个人信息保护法》第24条的理解适用”为主题进行了报告。葛老师主要从《个人信息保护法》24条涉及的三款内容分别进行探讨:第一款是自动化决策规制的一般原则,其中包括两个部分,即决策过程的透明度要求和决策结果的公平公正性要求。葛老师认为这两个内容应该做细化处理,尤其是决策过程的透明度,要保证对消费者的公开透明,对于决策结果的公平公正主要是通过“不得对个人在交易价格等交易条件上实行不合理的差别待遇”来体现的。第二款主要内容是自然选项和拒绝方式的提供义务。葛老师将此款与《电子商务法》第18条第1款作比较,提出后者在规制场景上做了扩充,但《电子商务法》第18条第1款解释论作业存在的问题,在《个人信息保护法》24条中仍旧未得到解决。第三款主要规定了算法解释权和拒绝权。总结而言,自动化决策是保护消费者的权益,尤其是知情权、选择权和受尊重权。

与谈嘉宾上海市凌云永然律师事务所主任袁新忠律师结合自己的业务实践经验发表观点。袁主任指出,《个人信息保护法》的规定是双管齐下的,一方面强调个人信息的保护,另一方面也关注企业对于个人信息的利用。《个人信息保护法》中的很多条款依然原则性较强,诸如“重大影响”在内的许多概念的界定,还有待在个案中加以具体化。袁主任还以设例的方式发问:该法颁布并实施后,在某些案件中,自然人在接到律师函后就会质问律师,你是如何收集到我个人信息的,就称律师违反《个人信息保护法》,要求司法行政部门针对侵犯个人信息的行为进行处罚,那么其规范依据是哪一条?这是不是对《个人信息保护法》过度的延伸和解读?目前来看,这其实还显得有些泛泛和模糊。

与谈嘉宾上海财经大学法学院叶韫平教授指出,本单元两位报告人分别从宏观、微观两个角度研究个人信息的法律保护。陈洪杰老师对《个人信息保护法》的价值定位展开了精到的讲解,葛江虬老师对《个人信息保护法》第24条的教义学构造进行了深入的剖析。他认为,两位报告人都共同关注了个人信息保护如下焦点议题:其一,《个人信息保护法》调整的信息关系究竟为何?其二,《个人信息保护法》保护的法益为何?其三,在法律适用过程中更偏向于何种法律选择?

结合上述三个问题,叶教授谈了自己的见解。首先,《个人信息保护法》调整的信息关系是从个人隐私权保护起源的,但是两者并不相同。个人隐私权主要借助于侵权责任法获得保护;但《个人信息保护法》的生成源自个人信息被控制的事实,这意味着,个人信息保护法意欲规制的对象不一定是平等主体之间的关系,而是针对具备信息收集、处理和控制能力的主体,因此它不同于传统意义上的平等主体之间的关系。其次,关于《个人信息保护法》所保护的法益,叶教授认为它包含隐私权,和传统隐私相比虽然范围有缩小,但是这种法益仍然是存在的,这在民法典中也有所体现,比如个人信息中的个人隐私信息。除此之外,从个人在个人信息处理过程中所享有的权利这一角度来看,《个人信息保护法》保护的法益还包括信息自主控制的权益,如知情权、选择权、访问权,这些权益有的是财产权,有的是人格权,因此较为复杂,由此可能存在法益上的冲突。叶老师认为,由于存在这种法益冲突,很难仅依单一法律条文就对案件完成裁判,更多的是要结合现实的各种因素来做个案的利益衡量。最后,《个人信息保护法》的法律适用问题,既涉及到公法也涉及到私法。从私法的角度来讲,传统隐私用侵权制度保护,而《个人信息保护法》中规定了很多基础性的权利,其中很多权益的保护难以直接经由侵权法得到完全实现,可能需要更多地仰赖合同法,通过“知情同意”等模式来实现。



第三单元

第三单元:跨境流动的个人信息及其保护:战略政策、制度框架和国际比较”由华东理工大学校办副主任兼法务办主任董溯战教授主持。

上海市普陀区人民法院吴文俊法官以“安全与自由:个人信息跨境流动规则的选择——以美国与欧盟模式比较和博弈为例”为主题展开报告。吴法官以习近平新时代网络强国战略思想作为基础,通过对美国和欧盟个人信息跨境流动模式的比较分析,思考中国应该如何更有效地合作参与全球合作,建立起和平、安全、开放、合作的网络空间。吴法官认为,数据的生命在于流动,数据跨境流动是工业文明转向信息文明的过程中必须面对的问题:一方面,数据的流动可以促进经济增长、加速创新、推动全球化;另一方面,数据流动会带来数据安全风险、影响本国数字产业发展机会,甚至可能威胁国家主权与安全。

吴法官首先通过时间脉络展示了美国隐私权的扩张历程以及欧盟法中个人信息自决权的立法演变过程。在制度设计上方面,美国强调“行业自律”和“事后问责”,针对政府等公共领域,以及征信、金融、通讯等不同商业领域,以尊重信息主体隐私权为前提,提倡信息的合理正当使用,形成分门别类的“公平信息实践”法律规范。欧盟则以个人信息自决权和人格权为基础,制定了统领政府部门和所有商业领域的统一性个人信息保护法律制度,设立单一的个人信息保护机构,建立通用的保护标准和信息处理原则,对个人信息实行统一监管和保护。立法方式上,美国采用的是分散式立法,而欧盟则是采统一立法的模式。美欧在数据跨境流动框架方面的博弈,于欧盟法院认定《安全港协议》和《隐私盾协议》先后的行动中有充分的体现。在利益冲突和政策考量上,2019年《全球云基础设施服务市场排行》显示,美国的亚马逊、微软和谷歌公司分别是全球排名前三的云服务提供商。欧盟的数字技术发展远远落后于美国和中国,中美占全球70个最大数字平台市值的90%,而欧洲所占份额仅为4%。

除了谷歌、脸书、亚马逊、微软、苹果等一批本土巨头企业外,几乎所有国际化科技企业都会在美国设立分支机构。在这种市场分布状态下,倡导数据全球自由流动,推行较低的数据安全保护要求,实际上是为数据向美国流动营造有利的政策环境。而在GDPR颁布后,欧盟采用属地原则和效果原则扩大了自身的管辖权。

吴法官认为,世界经济朝着数字化方向转型,数据驱动的趋势越来越明显,确保数据的安全、自由流动是普遍需求。如何建立具有国际共识、统一框架的方案协调数据主权和数据流动需求成为难点。在构建并细化我国个人信息保护制度时,如何拿捏安全与自由流动、数据主体权利和数据使用者权利、个体权利与国家主权之间的关系,是我们必须慎重考虑和研究的重大问题。

字节跳动数据法务总监田申进行了题为“数据竞争与跨境规则构建”的报告,田总监首先展示了两幅数据图,分别是数字产业规模的分布图和数据本地化法律政策图,两张图的深色部分重叠,体现了数字产业化规模越大,对于数据本地化的要求就会更多。田总监认为,在数字时代需要回答关于产业竞争和国家竞争的问题。产业竞争的角度来看,数字经济方面,要管控与境外业务合作中的数据共享、转让,确保本国经济产业加速实现数字化转型并为人工智能技术产业升级奠定基础。数据任意跨境流动可能引起数据聚集,数据由发展中国家不断积聚到发达国家,深化经济失衡和经济依附。国家竞争角度来看,数据主权方面,出于执法(监管程序)或司法目的(诉讼程序)跨境调取数据,以确保国家安全、捍卫国家司法主权;而国家安全方面,发电量、交通运输量等数据的聚集可在一定程度上反映一国的经济发展状况。

美国范式中,数据流入能使美国政府能够直接获取国内外数据,出境限制上主要通过司法协助程序。欧盟范式主要通过强化数据监管,以获得数据竞争优势。GDPR在管辖范围上确立了长臂管辖,企图维护数据主权,防范外国政府直接跨境调取数据。

在对美国和欧盟范式分析完毕后,田总监介绍了我国数据跨境流动规则的构建以及针对全球数据管辖博弈中我国的应对。他认为,中国跨境数据流动规则将朝向加强数据跨境安全和自由流动、推进国内相关制度建设、监管机构的组建和试点、加强安全技术发展等方向迈进。

田总监认为,我国数据跨境流动规则构建上应采取“制度规则+技术规则”的模式。技术规则层面,他展示了隐私计算技术主要类型,包括可信执行环境、安全多方计算、联邦学习、差分隐私、同态加密等。最后,他指出了隐私计算中“提供的保护”、“未提供的保护”和隐私计算在个人信息保护方面的局限。

上海金融法院葛翔法官进行了题为“个人信息跨境流动的事前许可与事后监管”的报告。葛法官从审判的角度提出,个人信息保护最主要还是依赖于行政保护,只有行政机关有技术手段和资源来控制平台对于数据的使用和搜集。我国《个人信息保护法》第38条就把行政安全评估前置,随后才以法律、行政法规或者国家网信部门规定的其他条款兜底,其意即在突出行政规制的角色和重要性。由此引发的问题是,目前行政规制无论事前抑或事后规制,其立法条款都是原则性的,难以具体适用。另一方面《数据安全法》和《个人信息保护法》之间产生了客观竞和,两者之间的界限当下仍不够清晰。这会造成保护不足的问题,也可能引发数据无法正常流动的困境。除此而外,葛法官还指出,“跨境”的概念也需要明确和完善,此乃阻断域外长臂管辖的需要,境外监管也依赖于行政机关职责的履行。

与谈人上海财经大学助理研究员郑洁老师对三位报告人的发言进行了总结。郑老师首先指出,吴法官是从美欧之间不同历史传统、民族认同的独特视角切入,分析了两者在个人信息保护制度建设方面的差异。美国以国家安全为由,限制国外高新科技企业进入美国市场,尤其是涉及到用户信息存储和处理的企业,例如我国的抖音、微信都受到了美国此种政策的不良影响。欧盟则侧重于保护个人信息和数字人权,对于数据跨境流动的接收国或流入国设置了很高的保护门槛,其要求数据接收国在个人信息保护方面必须达到与欧盟相似的程度。其次,她认为田总监是从数据经济、数字产业规模和国家竞争战略的角度,对数据跨境的问题进行了剖析。田总监提到了企业合规以及统一标准的建立。例如怎样提高、优化技术规则,以为客户提供更好的服务,同时也保障数据的安全性。最后,郑老师指出,葛法官以行政保护为视角探讨数据保护。葛法官注意到《个人信息保护法》和《数据安全法》之间的衔接需求和竞合问题、跨境概念的澄清、长臂管辖的阻断等。

在总结完三位报告人的发言后,郑老师从国际条约以及国际贸易谈判的角度,探讨了跨境数据流动国际法规制。她从国际层面和区域层面梳理了各国基于自己不同的商业利益,对于跨境数据流动监管的不同要求。郑老师从三个方面对我国数据跨境流动规制提出了建议:一是,进行数据分类,区分重要数据、敏感数据以及危及国家安全的数据等,通过对于数据出境的安全评估进行监管和限制。二是,对于数据数据本地化制定我国的政策,加强监管。三是,运用比例原则,既要鼓励数据自由流动,又要基于国家安全公共利益这些政策,限制一些重要数据的流出。

与谈嘉宾上海财经大学法学院刘洋老师针对第三单元的主题发表了自己的看法。刘洋老师指出前面两个单元的讨论中,视角基本停留在国内,可以看到在个人信息保护的理论和实践中存在两重因素,一是个人信息和隐私的保护,二是产业的发展和经济利益的提升。如果加上国际的视角,就出现了三重利益的博弈,这第三个便是数据领域的国家主权维系。在任何一个国家或地区,制定关于个人信息跨境流动规则,实际上就是在这三重利益之间实现着有机的平衡。欧盟的GDPR更侧重数据安全,因为其数字经济和信息科技相较于美国更落后。美国主导制定的CBPR更加倡导数据的自由跨境流动。在两重的夹缝当中,中国如何建构自己的个人数据跨境的规则?总体来看,我国在个人信息的跨境保护上是比较保守的,我国的立法和制度设计与信息科技和数字经济实力可能不是完全匹配的。

刘洋老师还分享了他对于《个人信息保护法》的一些看法:第一,《个人信息保护法》第三章关于个人信息跨境流动的规则有受到国外立法的启发的影子,但还有很多的概念仍然有待解释,。第二,《个人信息保护法》很多条文提到了“个人单独同意”的概念,比如第39条、第29条、第27条、第26条等。由此需要追问,这是否意味着与“个人单独同意”相对的还有“个人概括同意”或者“集体化的同意”制度?怎样判断和认定“个人单独同意”?这种“个人单独同意”的规范设计,在实现保护个人信息的同时,会对经济效率造成一定程度的减损,此种减损是否真的值得?正当性基础何在?第三,在跨境数据流动规则制定方面,我国不能单纯移植美国和欧盟。我国如何能在两个高峰夹击中取得一定的话语权,并尽可能促成信息立法与我国眼下的信息科技和数据产业发展现状相匹配,都是值得关注的议题,也需要我们跟进国家的立法动态及走向,希望我国在此方面有更多的突破。


自由讨论

自由讨论环节,叶韫平老师补充表达了观点。他指出:《个人信息保护法》调整的信息关系,是一种不平等的关系。《个人信息保护法》对适用范围做了限定,比如自然人因个人或者家庭生活处理个人信息不适用本法,该条实际上导致平等主体的信息处理关系被排除在外。另外,对各级人民政府及其有关部门组织实施的统计档案管理活动中的个人信息处理,其他法律有规定的,适用其他法律的规定。这也显示,《个人信息保护法》的主要适用对象是市场主体中有能力收集、处理信息的主体。再者,《个人信息保护法》的法益权衡关系比较复杂。总体而言,在司法适用中,依然更多地仰赖于法官根据具体案件、具体场景裁量处理。于此,可能考虑的因素有很多,如信息关系当中的场景因素、行为者、信息的种类等,因此不能够一概地按照一种权益衡量模式加以适用。


闭幕式

大会闭幕式由上海市法学会消法研究会副会长、上海大学法学院民商法研究中心主任张秀全教授主持,上海市法学会消法研究会会长、上海财经大学党委常委、统战部部长周杰普教授作总结发言。

周杰普会长首先解读了此次研讨会的主题及分议题的选择,考虑到个人信息保护涉及到公法、司法等层面,也涉及到数据的跨境流动等问题。本次研讨会的参会嘉宾来源多元,有法学理论界的专家学者,也有司法实务界的专家,还有来自市场主体的相关管理者,大家从不同的视角对个人信息保护进行解读和分析,贡献了很多精彩的观点和分享,研讨会是一次思想的碰撞、一次很好的学习机会,这也是研究会社会责任的体现。周杰普会长认为,我国的个人信息保护立法体现了以人民为中心的理念,许多需要探讨的问题,如个人隐私、数据安全、科技赋能、数据权属、数据主权、利益平衡等,凸显的是社会治理体系和治理能力。同时该话题涉及多项法律,除《个人信息保护法》外,还有《反垄断法》、《反不正当竞争法》、《电子商务法》、《消费者权益保护法》等,需要认真梳理和协调。该话题又是一个跨学科的问题,比如法学、数据科学、伦理学、经济学等都有涉及,值得认真探讨。“徒法不足以自行”,个人信息的司法保护是重要路径,同样需要深入研究。她表示上海市法学会消法研究会今后会继续关注消费者保护领域的重要问题,为国家和地方经济社会发展出力献策。最后,她对上海市法学会的指导和上海市普陀区人民法院及上海财经大学法学院的大力支持表示衷心感谢,对与会嘉宾的分享和贡献表示敬意。

至此,上海市法学会消法研究会2021年“个人信息法律保护”学术研讨会圆满闭幕。