个人信息与数据流通高峰论坛成功举办
时间:2018-05-242018年4月,十三届全国人大常委会发布本年度立法计划,其中,8月将审议包括人格权编在内的民法典各分编,“个人信息权是否应成为具体人格权”以及“如何在数字经济背景下建立个人信息保护规范”由此成为各界关注焦点。2018年5月15日,中国人民大学未来法治研究院邀请美国康奈尔大学海伦·尼森鲍姆教授,以及全国人大法工委、最高人民法院、中国社会科学院、北京大学、清华大学、阿里巴巴、百度、腾讯等各界人士召开“个人信息与数据流通高峰论坛”,围绕在数据流通已经成为社会不可逆趋势的背景下如何构建兼顾社会发展与个人利益保护的规范体系展开研讨。
一、会议开幕式
会议开幕式由中国人民大学未来法治研究院执行院长张吉豫副教授主持,中国人民大学常务副校长王利明教授致辞。
王利明教授在致辞中指出,在民法典制定、个人信息保护法即将启动立法的阶段,讨论个人信息保护问题是十分及时且必要的。他认为,应当在人格权法中确认区别于隐私权的个人信息权;在个人信息权的制度构建中,王利明教授认为应当明确个人信息保护的客体、范围,个人信息保护的范围应根据信息的内容、具体的公开使用的方式及场景的区别来分别对待;个人信息应区分为敏感信息和一般信息;此外,出于未成年人利益最大化原则的要求,还应注重未成年人信息的特别保护;最后,应协调兼顾大数据开发利用和个人信息保护。
二、主旨演讲
主旨演讲环节由中国人民大学未来法治研究院副院长丁晓东副教授主持,海伦·尼森鲍姆(Helen Nissenbaum)教授发表了题为“场景公正理论与数据隐私(Theory of Contextual Integrity and Data Privacy)”的主题演讲。
丁晓东副教授对海伦·尼森鲍姆(Helen Nissenbaum)教授做了简短介绍。海伦·尼森鲍姆(Helen Nissenbaum)教授从事科技、数据隐私领域研究多年,曾参与奥巴马政府的消费者隐私权利法案的起草,尼森鲍姆教授提出的场景性公正理论(Theory of Contextual Integrity)在各界都极具影响力。
海伦·尼森鲍姆(Helen Nissenbaum)教授以隐私问题在美国的源起展开。美国自1970年代就出台相关数据隐私保护立法,但是,重心不是约束产业,而是限制政府(公权力)。随着技术发展和实践需求,美国以隐私权为基础,分散立法和行业自律相结合的隐私保护模式在多个领域得到确立和完善。她指出,与欧盟GDPR的模式不同,美国法并未将隐私信息作为一项绝对性权利,隐私本质上不是不能碰触的数据,而是一种合理的信息流通(Privacy is appropriate flow of data);她认为欧盟法律框架内推崇的知情同意原则表面上强调了个人信息主体对个人信息的自决权,但是在实践中失灵,消费者很难理解数据控制者提供的冗长的隐私权政策。那么,隐私究竟是什么?隐私为什么这么重要?基于场景公正理论(Theory of Contextual Integrity),尼森鲍姆教授认为隐私是适当的信息流通。保护隐私与个人信息的关键并不在于隔绝信息,而在于确保信息流通的“语境性公正(contextual integrity)”,即在特定的语境中,信息流通应符合人们预期;特定的信息流通与特定的场景化的信息模式相匹配,在特定语境中分享的信息,不应在有违这种语境的环境中分享。因此,隐私与个人信息保护法一定要尊重语境(respect for context),应当根据语境制定数据使用方式的规则。她进一步指出,判断侵犯隐私与否,应通过具体化信息的主体、信息的接收者和发送者、信息的传输原则以及信息的类型五个独立参数来描述信息流进而得出结论。最后,她认为,隐私与个人信息如果保护恰当,将有利于实现信息的恰当使用与社会的共同善,如果保护不恰当,则将危害企业与社会。
三、主题研讨
主题研讨环节分为三个单元。
第一单元由《现代法学》编辑部主任林士平主持,中国法学会网络与信息法学研究会常务副会长兼秘书长、中国社科院法学所研究员周汉华教授进行主题发言,中央财经大学法学院高秦伟教授、北京外国语大学法学院万方副教授点评。
周汉华教授报告的主题是“我国个人信息保护观念的演变及启示”。他在报告中指出,新中国成立之后,我国个人信息保护观念历经四个明显的阶段:传统的“阴私”观念,民法上的“隐私”观念,公法上的个人信息保护的观念,大数据时代个人数据的观念。总结不同阶段个人信息保护观念的特点可看出,个人信息保护观念从诉讼程序权利保护到成为实体权利,权利的保护方法亦趋向多元,隐私或个人信息概念涵盖范围也递进扩张;每个阶段都体现出鲜明的时代特征,这启示我们:观念及其规制制度的转变是由具体实践所推动的;立法规制应对不同意义上的个人信息采用不同的规制原则、强度和方式;不同代际个人信息保护观念混淆会导致严重的错位与混乱,厘清不同观念及其规制方式是目前最需要解决的问题。
高秦伟教授及万方副教授对从纵向历史性角度梳理个人信息保护观念的演变的研究方法表示了肯定。针对企业倾向于通过同意和选择机制保护个人信息,高秦伟教授建议从关注前端、关注程序问题转向关注信息生命周期、关注实体价值。万方教授则分别从信息主体及信息控制者、管理者的角度梳理了个人信息保护的发展阶段。
第二单元由中央财经大学法学院高秦伟教授主持,华东政法大学教授、数据法学研究中心主任高富平教授做主题报告,《现代法学》编辑部主任林士平、中国社科院大学互联网法治研究中心执行主任刘晓春副教授点评。
高富平教授作“个人信息流通利用视角下的个人信息保护新理念、新模式”的主题发言。他认为,构筑个人信息保护模式,法律理念要从个人本位到社会本位,从个人控制到社会控制。他指出,在数据经济图景下,数据会成为一种资源,个人数据是数据社会化利用的重要组成部分。个人信息的使用,是信息披露与流通的结合。个人信息资源化会带来信息社会化流通的需求,如果个人信息的获取都必须获得当事人同意,无疑会阻碍信息流通。个人信息使用规范面对的问题包括信息主体和特定的数据控制人的使用关系、个人数据的社会化利用关系以及关系结束时,权利人是否有权删除信息。
过往的个人信息保护模式,是以个人对个人数据拥有控制权这样的一个基础来构建的,是个人本位的。GDPR遵循这一思路,赋予个人诸多权利,突出捍卫“个人数据保护权”这一基本人权。我国也有个人信息私权化的尝试。但是,这种个人本位的保护模式不利于信息的流通与利用。我们应当转向社会本位的个人信息保护模式,从个人本位到社会本位,从个人控制到社会控制,以数据控制人的义务规范为核心。制定一个基本权利层面的个人信息保护法,构建以公法为基础的保护模式。在私法层面,采取法益保护的模式,或者一般人格权的模式来保护个人信息。
林士平主任和刘晓春主任对主题发言做出点评。林士平主任指出,从个人本位到社会本位,从个人控制到社会控制,这一理念转变必要且重要。个人信息的保护模式,可以采用公法层面的基本人格权与私法层面上一般人格权并行的模式。刘晓春主任认为,个人信息保护模式的选择,要考虑社会共识。个人信息保护制度的构建,要在可预期性静态的规则和动态的不稳定性之间寻找一个折中的道路。比如依赖产业界自下而上产生出一些典型化的场景,然后通过立法或者标准,把这些场景规定下来,形成行业细分导向的治理模式。
第三单元由《中国社会科学》杂志编辑刘鹏主持,北京大学法学院副院长、教授、《中外法学》主编王锡锌教授做“数据权力的概念及展开:个人信息权利保护的公法路径”主题报告,中国社科院法学所助理研究员周辉与南都个人信息保护研究中心主任娜迪亚点评。
王锡锌教授围绕“数据权力”展开论述。他指出,个人信息保护,还要考虑公法路径,尤其是宪法和行政法角度。个人信息(用户)与大数据(政企)存在不对称关系,这种不对称体现为数据主体能力不对称与信息不对称。这种不对称关系,就是数据权力。数据权力包括数据采集权、处理权、采掘权、利用权。数据权力存在滥用情形,包括监控泛滥、算法歧视、操纵公共生活、过度收集。因此,个人信息保护的本质是控制数据权力的滥用。目前,个人信息保护的纯粹私法路径存在缺陷,存在立法规定有限列举与权利无限内容之间的矛盾。因此,与其从正面列举个人信息权利内涵,不如从数据角度列出负面清单,关注如何控制数据。通过公法与私法的结合,达到权力-权利的平衡,以促进数据利用,控制数据滥用。
点评阶段,周辉研究员指出可从数据的社会属性重新探讨数据的利用与保护。数据权力是建立在双方数据资源不对称的情况之上。对企业、私主体的规制手段可以借鉴传统公法对于公权力约束的机制,包括最典型的公开机制和用户的参与机制。此外,第三方专业机构的制衡机制也很重要。娜迪亚主任从实践角度证明王教授观点。用户同意阶段是数据流转环节中用户权力最强的阶段。即便如此,在发布的报告中,在这一阶段仍有一半企业无法做到合规。因此,赋予用户更多的权利是必要的。
第四单元由中国人民大学未来法治研究院副院长王莹副教授主持,清华大学法学院党委副书记程啸教授做主题报告,中国人民大学未来法治研究院研究员许可和中国人民大学未来法治研究院执行院长张吉豫进行了点评。
程啸教授就民法典编撰和个人信息保护发表讲话。他指出,权利背后是一种稳定的典型的利益。个人信息权背后稳定的典型的利益,是一种自我决定的利益,而非人格利益与经济利益。个人信息权具有防御性,通过赋予个人对于信息自我决定的权利,以实现对既有利益的保护。人格权编规定个人信息权,能为今后利用个人信息来侵害他人既有权益的情形,提供救济的可能性。个人信息权规定的关键在于实现公法管制方法和民事救济方法间的连接。在这一点上,德国侵权法的三分模式可资借鉴。
许可研究员总结程啸教授对个人信息权定位,将个人信息权作为一种工具性的权利,它保护的是一般人格权或者是具体人格权。他指出个人信息权既是公法上的权力,也是私法上的权利。它的出发点可能是人格权利,但是它的边界需要公法进行划定。最后,对于信息和数据的关系,他认为应作为两种权利保护,并要有协调机制。张吉豫副教授指出,民法典对个人信息的保护,更多是出于防御性质的目的。个人信息保护与数据流通之间的关系,可从产权的角度进行研究,以实现民法典对这一问题的回应。
四、自由讨论
王锡锌教授主持自由讨论环节。
全国人大法工委民法室副主任石宏指出了在将个人信息作为权利还是利益加以保护时的考虑要素,如侵犯利益或权利的构成要件,责任方式的选择。石宏主任强调,无论采取何种方式,都要处理好产业发展和社会平等的问题,实现双赢或多赢局面。
阿里巴巴集团安全部高级专家郭戎晋指出,个人信息保护已为世所公认。民事立法要将个人信息合理使用落到实处,要注重用科技的方式来强化个人信息保护,同时促进个人信息的使用。
百度公司高级副总裁梁志祥指出,大数据给社会带来巨大便利,不能逆潮流而动,要在数据保护与利用之间寻找平衡。
阿里巴巴集团政策研究室总监李倩与海伦·尼森鲍姆教授和全国人大法工委民法室副主任石宏进行了交流。李倩总监向海伦·尼森鲍姆教授请教她对于以GDPR为代表的欧盟路径的看法,及欧盟路径与美国路径的比较。海伦·尼森鲍姆回应称,尽管现在美国立法上隐私权利法案被删除,但是研究仍可以进行使用。个人对于GDPR印象深刻是,不仅要求具体化信息收集目的,还要求论证信息收集目的的合法性。李倩总监向石宏主任请教,欧盟路径与美国路径,哪一种更能实现平衡,在可操作性上,是否有细化规则。石宏主任回应,两种路径核心内容一样,细化规则如合理使用情形会有规定。目前面临的问题有,个人信息保护是否要区分不同信息采取不同保护方式。合理使用的具体情形有哪些。
中国人民大学未来法治研究院研究员许可指出,个人信息保护的核心问题是数据和信息的关系。对于这种关系目前有三种看法。
腾讯研究院法律研究中心首席研究员蔡雄山总结了四个问题,技术与商业模式发展导致个人信息边界泛化,个人数据保护和国家安全方面价值冲突,数据的跨境流动所引起的管辖权的冲突,数据产权的概念和人格权保护之间的冲突。
五、会议总结
张吉豫副教授对论坛进行总结发言。她指出,本次论坛聚焦于个人信息保护模式的取舍,即应从个人信息权保护的正当性出发,选择兼顾信息主体权益保护与数据流通的保护道路。最后,她再次向远道而来的美国康奈尔大学海伦·尼森鲍姆教授,以及光临本次论坛的来自全国人大法工委、最高人民法院、中国社会科学院、北京大学、清华大学、阿里巴巴、百度、腾讯等的专家学者表示感谢。