2019年3月23日，北京师范大学法学院数字经济与法律研究中心主办的“个人信息保护立法的体系建构与现实路径”学术研讨会在后主楼1822高铭暄报告厅顺利举行。法学院党委书记梁迎修教授致欢迎辞。中央网信办政策法规局李长喜副局长，《中外法学》主编、北京大学法学院王锡锌教授发表主旨演讲。随后与会者围绕相关主题展开了热烈而丰富的讨论。来自全国人大常委会法工委、中央网信办、中国法学会、北京大学、中国人民大学、中国社科院法学所、中国政法大学、北京航空航天大学、西安交通大学、中国传媒大学、北京市高级人民法院、北京市三中院、北京互联网法院、电子四院信安中心、南都个人信息保护中心和环球律师事务所的嘉宾和企业界代表以及校内外学生共计四十余人参与了本次研讨会。

 

 

欢迎致辞

 

 

北京师范大学法学院数字经济与法律研究中心主任汪庆华教授主持开幕式。

 

 

       北京师范大学法学院党委书记梁迎修教授致辞，对各位嘉宾表示欢迎，简要介绍了北京师范大学法学院的情况，对各位与会者对法学院还有中心的支持表示感谢，并预祝本次研讨会取得圆满成功。

 

 

主旨演讲

 

中央网信办政策法规局李长喜副局长认为，推进个人信息保护法，应当从体系化的视角出发明确法的具体定位；在立法思路方面要妥善处理个人信息保护与利用的关系；在制度设计上要从问题导向出发，应对和解决个人信息保护领域的立法空白问题、立法碎片化问题和强化管理机制体制问题；立法过程中既要立足国情，立足当前的发展阶段，也要充分借鉴域外的成功经验。

 

 

北京大学法学院教授、《中外法学》主编王锡锌老师认为立法应当具有价值、关系、手段和规范四个方面的系统性。立法就是对价值的保护和排序。《网络安全法》强调国家安全，个人信息保护法的基本价值是对个体自由的保护。关系层面，国家、个人、企业对于数据的权利需要给出界定，应当明晰数据的核心权利及其边界。手段层面，个人信息保护法的性质需要深思，需要私法与公法的协同。规范上，个人信息保护法需要与其他法律的衔接，也需要考虑应对国外立法。

 

第一单元 个人信息权的本质及其权利束

 

 

中国法学会研究部彭伶副主任主持了第一单元的讨论。彭老师在引言中提出个人信息保护立法是一个跨学科问题，本单元题目中的“权利束”一词本来是经济学家常用的概念，而把它用在法学研讨中也显示出个人信息保护方面跨学科的特征。个人信息是一种权利类型，也是一种基本人权。

 

 

       中央财经大学法学院邢会强教授认为个人信息保护法的立法背景是目前技术发展突飞猛进的大数据时代，首先应当明确个人信息是一种权利类型，其外延大于隐私权范畴，而且与著作权相类似。个人信息权由人格权与财产权组成。另外，许可使用制度不适合大数据时代，数据交易非常普遍，应该建立个人信息财产权实现的新方式。

 

 

中国人民大学法学院丁晓东副教授认为，美国对于个人信息的保护接近于消费者权利保护法。面对信息巨量的现状，要使用强制性的规则进行干预。个人信息保护的方式可以借鉴信托法，对于侵犯个人信息的行为可以提起公益诉讼。另外，中国的个人信息保护法需要结合中国的数据国际战略。

 

 

      中国法学会法治研究所刘金瑞副研究员不建议采纳个人信息权或个人信息自决权的理论。个人信息自决权理论难以克服新情况层出不穷需要平衡各方利益的问题，不建议过度依赖刑事立法打击侵犯个人信息的行为。企业通过技术掌握个人信息的权利如何界定，需要民法基础理论给出答案。信息与数据不同于物， 回答这一问题要打破“有形物”概念的束缚，理清保护个人信息的权利体系方为正确途径。

 

 

       中国社会科学院法学研究所副研究员、《环球法律评论》编辑部副主任姚佳老师认为个人利益至上的传统“知情-同意”原则不适合中国的个人信息保护法。对于数据交易的承认是否会导致个人利益缺乏保护，诸多学说竞争使得立法非常犹豫，但消费者法路径并不合适。

 

 

       中国政法大学法治政府研究院林华副教授指出个人信息的权利界定非常重要，但《民法总则》回避了界定。适用规范主义还是功能主义去界定个人信息需要商讨，从功能主义角度衡量信息的不同属性可以区分为信息的个人属性与企业属性，对应于私法保护和平台自我规制两种路径。

 

 

北京师范大学法学院郭殊副教授首先对各位嘉宾来到北京师范大学表示欢迎。他从宪法角度分析，个人信息是公民的一项基本权利。“法权”一词表现了权力的客观性与主观性，个人信息一方面是民事主体的私权，一方面也涉及国家的安全秩序。国家应当尊重公民的自由，也应该负担实现义务。

 

第二单元 个人信息保护权的具体展开

 

 

    北京市高级人民法院研究室刘书星副主任担任本单元的主持。

 

 

       北京航空航天大学法学院周学峰教授指出，我国关于未成年人信息保护的立法应当明确以下问题：保护的对象是所有未成年人还是仅限于儿童，如何识别用户为未成年人，如何验证未成年人的监护人的身份和同意的真实性。周学峰指出了美国和欧盟在这方面的立法和相关实践经验，并指出可通过互联网行业组织制定符合法律要求的儿童网络信息保护的自律规范，在获得监管机关的认可后，可以给予其“安全港”的法律地位，以此来激励互联网行业充分合理地运用当前技术保护儿童网络信息，将未成年人网络保护制度落到实处。

 

 

       中国传媒大学政法学院刘文杰教授讲到，冈萨雷斯案提出了被遗忘权在互联网时代的新语境问题，涉及新闻与信息自由和人格保护之间的冲突。互联网的价值不仅仅在于对新近发生事件的陈述，还在于其保存历史的功能。德国联邦最高法院在一个涉及网站档案的存储是否合法的案例中认为：一般性的删除权将会对意见和新闻自由发生阻吓效果，将束缚信息和通讯流转。如果媒体被迫对其报道内容删来删去，历史就变成了到处是破洞的地毯。

 

 

       北京市三中院民三庭副庭长刘建刚法官从解释论角度分析，认为民法总则同时规定了个人信息保护和数据保护，所以一方面，信息和数据是不同保护对象，二者应区分开来思考；另一方面，个人信息保护和相关主体的数据保护应该并重。现阶段，相对而言，个人信息保护的规则供给更为充足，而且可以通过具体人格权或大隐私权或一般人格权的路径对个人信息保护提供救济。而数据保护和利用的规则供给相对缺乏，所以进一步立法时应两者并重，甚至数据保护和利用更为急迫。

 

 

       北京师范大学法学院马建银副教授认为，目前来说，立法并不最重要的，重要的是把如何现有的规则落实好。有些概念立法无法细化，需要通过司法方式解释。信息收集过程中，平台有个信息收集的过程，有些网站已经超过合理使用范围。数据和信息在立法上区分很难。去标识化其实是程度问题，什么样的程度算是已经去标识化这需要讨论。有些信息脱敏后可能复原，再进行商业利用。个人信息保护上司法比立法更重要。

 

 

       北京市高级人民法院张玲玲法官指出，法官要秉持利益平衡原则，即体现个人利益和企业利益的平衡。大数据的经济价值日益凸显，企业的自我保护主要是两种手段一是通过技术手段控制，二是通过法律。要平衡竞争自由和民事权益保护，要有正当性和必要性。对消费者利益的保护是新的反法中新增的立法目的。企业在收集数据时应该少收集一些，让消费者少交出一些自己的信息。对于大数据时代的商业道德我们要动态理解。

 

 

北京互联网法院刘书涵法官提到目前已经有一些涉及个人信息保护的案件进入司法程序。关于这类案件的举证责任分配、证明标准、赔偿标准等，是目前案件审理中需要深入研究的问题。司法实践中还涉及到很多技术相关的问题，互联网企业应该对个人信息保护提供技术上的保障。个人信息的采集问题现在有观点认为在采集阶段宜适当宽松，在利用阶段应当相对严格，但是具体对宽严程度的把握还要在加强个人信息保护的前提下根据个案判断。

 

 

       京东数字科技研究院法律与政策研究中心负责人何海锋先生非常同意立法要给技术留空间，应该把行业自律行为交给实践解决。他分享了征信中的个人信息保护问题。征信是对于数据共享禁止的例外，是法定的数据共享产业化化。征信产品有一定的公共性，保护个人信息、赋予个人对信息的控制权是征信领域的重要问题。

 

第三单元 个人信息保护立法的国际比较

 

 

     京东法律研究院总监郑慧媛女士主持了“个人信息保护立法的国际比较”单元的讨论。

 

 

 

       西安交通大学苏州信息安全法律研究中心副主任朱莉欣老师提及个人信息还事关国家安全，要发展地看问题。我们应该如何处理信息、数据、隐私三者的关系？GDPR和我国两高都有对于对个人信息的解释，那么个人信息的界定是否会影响大数据的发展。对于有些信息比如医疗信息，很难脱敏，那么如何保障安全又保证发展，这是立法和司法都需要考虑的。

 

 

       北京师范大学吴沈括副教授认为GDPR是动态流变的体系，立法层面上，它不局限于GDPR的文本本身，欧盟各国有自己落实的国内法。GDPR体现了国际上对个人数据保护的趋势，但美国认为GDPR对商业不友好。GDPR对我国的启示是我们要有对全球规则的研判、适当调整国内规范，首先要有价值清晰的顶层设计的架构，然后做出对数据的保密性安全性和差别规范的制度安排。

 

 

       西安交通大学信息安全法律研究中心主任马民虎教授指出, 个人信息保护问题不能完全从媒体层面判断，首先应当具有场景化思维，才能制定一部好的法律。立法背后的影响因素应该深思，中国问题要从中国实际出发，对信息安全人员需要配套相关的职业标准与素质方面的制度。另外，中国的个人信息安全立法需要与国际标准接近。

 

 

       中国社科院法学所周辉助理研究员主要讲了美国个人信息保护立法前沿问题。美国Facebook数据泄露丑闻促使美国联邦层面加快推进个人信息保护综合立法，但短期还难以顺利出台。他具体介绍了美国联邦层面的个人信息保护执法机制和最新变化以及《加州消费者隐私法》出台的背景和过程。

 

 

       电子四院信安中心数据安全部法律总监陈舒介绍了我国数据安全与个人信息保护相关国家标准。陈舒认为，数据安全国家标准是对国家法律法规和政策规章的细化支撑，也是大数据安全保障体系的重要组成部分。

 

 

      环球律师事务所合伙人孟洁律师指出，欧盟出台GDPR之后，美国加州签署了《消费者隐私保护法》，要求收集消费者个人信息的企业向消费者披露收集的类别和具体要素权利，企业应当尊重消费者选择不出售个人数据信息权利的义务，不得对消费者歧视。

 

 

南方都市报个人信息保护研究中心主任娜迪娅女士认为用户对行业的不信任导致个人信息保护非常敏感，如何建立信任是首先要解决的问题。

 

 

京东法律研究院秘书长严少敏女士认为增强个人信息收集使用的透明度是企业获取用户信任的基石；数据安全保障可通过国家监督下的自律性的标准进行规范；而个人信息收集使用须经个人“同意”的绝对化，已不符合产业发展需求，建议个人信息保护法对此进行完善。

 

会议总结

 

 

       北京师范大学法学院数字经济与法律研究中心执行主任张江莉副教授主持总结阶段。汪庆华教授对大家牺牲周末时间参加会议再次表示感谢，期待在各方的共同努力下，制定出前瞻性和务实性相结合，实现个人权利保护、企业创新发展和数据安全相平衡的个人信息保护法。