中德研讨会：个人数据保护与算法规制—欧盟与中国的视角

      2021年6月10日《数据安全法》颁布并于2021年9月1日正式生效，2021年8月20日《个人信息保护法》颁布并于2021年11月1日生效。至此，中国数据保护的法律框架基本确立。2021年8月27日《互联网信息服务算法推荐管理规定（征求意见稿）》公开征求意见，算法规制提上议事日程。

中国人民大学未来法治研究院密切关注国内外数据保护及算法规制立法动态，并于2021年12月21日在浙江大学国家制度研究院成功举办“中德研讨会：个人数据保护与算法规制-欧盟与中国的视角”。本次会议由中国人民大学未来法治研究院与德国汉斯·赛德尔基金会、德国国际合作机构中德法律合作项目联合举办，邀请了国内外学界及产业界的代表参会。与会嘉宾围绕个人数据保护与算法规制问题进行了热烈的讨论，为中德两国个人数据保护及算法规制提供了丰富的理论及实践视角。

开幕致辞

中国人民大学未来法治研究院执行院长张吉豫副教授主持了本次会议的开幕式，中国人民大学副校长、未来法治研究院院长王轶教授，德国汉斯·赛德尔基金会北京代表处的刘小熊先生，德国国际合作机构中德法律合作项目的项目主任汉马可博士以及浙江大学国家制度研究院的袁清副院长分别进行了致辞。

王轶教授认为个人数据保护和算法规制问题是人类进入信息文明时代后需要认真回应和对待的两个关键词。就个人数据保护问题而言，在《个人信息保护法》出台的背景下，如何实现“保护、规范、促进”三种价值的权衡和安排将成为关键问题。而算法规制带来的崭新挑战是，法律应当如何有效回应意思表示形成过程中包含的价值判断。这两个问题与“未来法治”密切相关，也希望本次研讨会与会嘉宾之间能够相互理解并形成一些共识。

刘小熊先生指出此次论坛植根于二十年来中德法治对话之中，德国汉斯·赛德尔基金会与中国人民大学的合作是其在中国开展活动的重要组成部分，并表示在欧盟的数据保护立法以及中国的《个人信息保护法》、《数据安全法》等数据保护法律陆续出台并生效的背景下，从中德两国的视角观察共同面临的挑战，针对数据保护的原则、方法、宗旨等问题开展讨论具有重要意义。

汉马可博士表示，在数据保护的问题上，国家安全、经济发展等目标的冲突需要兼顾，而个人权利的保护也非常重要。针对数据保护，各国都处于试验状态，而中国与欧盟的选择的道路具有一定的相似性，因此充分的交流具有重要意义。在中国数据保护立法体系不断完善的背景下，观察实践中法律如何实施是重要课题。

袁清副院长指出，数据技术的发展及算法的广泛应用为个人权益的保护带来了新的课题，算法黑箱、算法歧视、算法滥用、算法安全等问题都亟需治理，个人数据保护和自动化决策规制问题的立法与研究将深刻影响世界数字产业的发展与个体权利的保护，期待与会的专家共同为数字时代的世界规则建构提供真知灼见。

环节一：欧盟数据保护的基础与现实挑战

本环节由全国人大法工委研究室处长王洪宇先生主持，由埃里克·希尔根多夫教授及德国联邦律师协会数据保护事务负责人、数据保护事务协调人塞巴斯蒂安·奥里奇先生就欧盟的数据保护问题分别进行了主题报告。

埃里克·希尔根多夫教授报告的主题是“欧盟数据保护的基础暨现实挑战”。希尔根多夫教授从人口普查案出发，介绍了德国基本法上作为数据保护经典论证依据的信息自决权，在此基础上讨论了当下数据保护面临的危机。希尔根多夫教授认为，欧盟的《一般数据保护条例》更新了传统的数据保护模式，但是也存在非个人数据保护被忽视、隐私悖论、数据保护原则滞后于大数据技术的发展等五个方面的危机。因此，当前的数据保护立法需要与时俱进，需要关注的问题主要有：第一，充分关注非个人数据的保护、中小企业等市场参与者的权益保护以及数据垄断问题；第二，在新冠疫情的背景下，应当警惕数据保护专制主义；第三，平台监管和数据经济的立法可以通过赋予公民更有利的地位，平台透明度及问责框架的建立等方式，直接或间接影响数据保护立法；第四，从单打独斗转向国际合作，从数据保护转向数据主权、数据赋权，当前的数据保护要求我们进行思维模式的转化。

塞巴斯蒂安·奥里奇先生则发表了题为“《一般数据保护条例》中数据保护官的任务和数据保护影响评估”的报告，对实务中如何委任数据保护官及如何进行数据保护影响评估进行有较为全面系统的介绍。奥里奇先生强调数据保护官履职应当具有独立性，且其任命应当由数据处理的责任方（即数据控制者或处理者）来进行，同时数据保护官应当具有熟悉数据保护法、实务经验及其他相关的素质和能力。而就数据保护影响评估的问题，奥里奇先生立足于《一般数据保护条例》第35条介绍了实务中进行风险评估的基本方法和具体流程。

本环节的评议由王莹副教授主持，王莹副教授感谢两位报告人从理论和实践的不同维度对欧盟数据法的介绍，并邀请洪延青教授进行详细的评议。

洪延青教授总结到，两位嘉宾分别从权利视角和风险视角对欧盟的数据保护法进行了讨论，而实际上两个视角又相辅相成，权利的保障离不开风险的控制，风险的控制也是为了实现主体权利。同时，洪教授作为中国《个人信息保护法》立法的进程的亲历者，基于两位教授对欧盟数据保护法的介绍，讨论到了中国《个人信息保护法》与欧盟GDPR的共通与不同。一方面，中国的《个人信息保护法》与GDPR一脉相承，充分关注信息主体权利的保障、明确了个人信息保护影响评估制度；另一方面在个人信息保护责任人等的责任上以及其他具体制度上，又和《个人信息保护法》与GDPR存在显著区别。因此，在中德数据流通方面，各国的专家学者和官员应当对不同的制度保持一定的包容性。

随后，在讨论与提问环节，王世洲教授分别对两位报告人就欧盟数据保护规则对于公共机构的个人信息处理活动的适用性及数据合规官的职责进行提问与讨论。

环节二：算法事前规制理论与实践

环节二由王世洲教授主持，洪延青教授、张吉豫副教授和许可副教授分别进行了主题报告。

洪延青教授进行了主题为“自动化决策的中国监管路径”的报告。洪教授首先从概念上分析了欧盟和中国自动化决策条款的区别：欧盟GDPR的自动化决策条款中用户画像（profiling）只是实现自动化决策的一种路径，而中国的自动化决策条款规制的是基于用户画像的自动化决策。这种概念上的不同，导致欧盟GDPR触发该条款的条件主要是（1）进行了自动化处理（包用户画像是其中一种方式）、（2）决策的形成完全依赖于自动化决策、（3）有严重的法律后果或类似严重影响，而中国则始终以用户画像的使用为触发点。因此欧盟GDPR自动化决策条款的覆盖面要广于中国法项下的自动化决策的概念。

随后，张吉豫副教授进行了主题为“构建多元共治的算法治理体系”的报告。张吉豫副教授认为科学技术对于整个社会的影响尚在规律总结阶段，算法治理过程中涉及到比较复杂的知识，算法治理手段也尚未稳定，因此在算法治理领域优化治理格局，倡导多元共治具有特别重要的意义。多元共治体系应当从手段和规则多元化以及主体多元化两个角度进行，中国当前的实践中部分企业和国家机关都在进行多元共治的有益探索，例如企业公开算法原理，国家建立分类分级的监管规则、建立约谈制度等。最后，张教授从法律监督、舆论监督、企业自治等方面提出了构建多元算法治理体系的建议。

最后，许可副教授进行了主题为“中国算法规制的价值立场及其反思”的报告。许可副教授在将全球84份算法治理的规范性文件和中国已经发布的2个算法部门规章相比较的基础上，将中国算法的基本价值总结为四种，分别是：算法安全、算法透明、算法公平、算法向善，其中算法安全和算法向善属于中国特色的算法价值观。而在未来的算法治理中，需要注意的问题是算法安全与发展的平衡、算法公平需要兼顾结果公平和过程公平、算法向善也需要保障人的主体性。最后，许可副教授建议中国未来的算法治理应当以算法发展和算法安全为纲，以人化算法为魂，以蕴含权利公平的算法公平为体，以算法透明为用，采取基于风险的规制路径，在国家网信办和其他监管机构的分工协作下实现私营部门和国家机关的一体监管问责，为未来的智能社会建构法律基础。

王世洲教授总结到，各国的算法规制可能体现了个人主义和集体主义两种基础价值的博弈，两种价值并不完全对立，应当根据具体的情况有所取舍并实现动态平衡。

本环节的评议由刘小熊先生主持。美国科文顿·柏灵律师事务所合伙人罗嫣女士从实务角度进行了点评，罗律师认为，《互联网信息服务算法推荐管理规定（征求意见稿）》等规范性文件还是以企业自己运行算法作为规制对象。但是在实践中算法应用产业链较长，在规范没有明确的前提下，上下游企业算法相关权利义务的分配主要是通过合同进行。但是规范层面如何进一步完善责任分配，以实现商业角度的权责一致可能是未来的重点。

北京理工大学法学院助理教授包晓丽博士则从三个层面进一步讨论了多元共治的问题。首先，多元共治应当在具体的场景下细化不同主体的共治，例如消费者、外卖骑手、平台等。其次，算法规制对象除了企业和国家之外，个人是否也应当被考虑在内。最后，规制手段可以采用负面清单与正面引导相结合的手段。

中国信通院互联网法律研究中心研究员程莹女士则针对中德算法规制的比较发表了自己的见解。程女士认为，第一，中国与欧盟具有不同的算法规制维度，欧盟GDPR第22条重点从技术伦理的角度切入，而我国算法管理规定的核心是针对信息内容安全问题，更多从平台监管层面对平台底层逻辑的规制。第二，各国的算法规制很大程度上受到本土实践的推动，与各国社会文化、产业实践等有密切关联。第三，科学合理设置平台责任是平衡安全与发展、秩序与活力的重要保障。如应关注声誉罚机制的合理利用，各部委职能之间的统筹协调等问题。

环节三：算法事后规制理论与实践

本环节由中国社会科学院副研究员高仕银博士主持，中国社会科学院法学研究所的姚佳教授、北京科技大学文法学院的张凌寒副教授、北京市海淀区人民检察院的白磊检察官、中国人民大学王莹副教授分别进行了主题报告。

姚佳教授进行了主题为“算法推荐与平台责任”的报告，依次讨论了三个问题。首先，算法推荐是一种技术还是一种行为目前尚存争议，但是本次的报告中将其定位为行为。其次，算法推荐将给人类社会造成价格歧视等新型损害，而监管机构主要通过监管平台实现算法治理。而判断平台是否需要承担责任则可能通过是否具有实际的控制能力和管理能力从而是否负有相应注意义务来判断，也可能只看行为的最终结果。但是从法律规制的成本和收益的角度来分析，如何分配责任尚需考虑立法成本、责任设置、监管状态、技术与社会发展阶段等多种因素。最后，应始终关注技术进步的大势，法律主要立足于考虑如何对抗风险，这种风险化解实际上涉及到社会治理的各个方面，而法律责任能够解决的只是落入法律规制范围内的问题。

张凌寒教授以“中国的平台算法问责方案”为题进行了报告，全面介绍了中国算法治理执法实践的特色和难点问题。首先，中国的算法治理区分了公共部门和私人领域，私人领域的算法治理主要通过平台治理的路径实现。其次，目前的算法治理还是以行政监管为主，因为算法领域民事上如何界定损害尚不清晰。再次，数据问题和算法问题难以完全分割，目前会尽量宽泛地理解算法，包括派单、定价、排序、搜索算法等。最后，基于中国互联网产业的发展状况，中国的算法治理体系比欧盟更加全面、具体，价值取向也更加多元化。中国平台算法治理的基本理念是穿透式监管，并基于此建立了事前、事中、事后的监管框架。但是具体的制度例如事前的备案、事中的审计、事后的行政约谈等制度如何落地还需摸索，法律责任体系如何设置也尚需讨论。

白磊检察官则以AI治理的“行vs.刑”界限为主题进行了报告。白磊检察官从上市发行资格审查、行政处罚和刑事打击三个层面介绍了数据保护、算法规制方面执法案例，例如墨迹天气IPO审核、滴滴网络安全审查、小鹏汽车违规收集人脸信息处罚案等。白磊检察官认为我国目前的AI违法范围的治理虽然存在明确的行政、刑事责任梯度，但核心问题是线索移交不畅、同时行政部门与司法机关的诉求存在差异。他建议应当以企业合规为契机和视角，来解决和化解技术冒进、个人隐私和法律规则之间的多发矛盾冲突。

最后，王莹副教授进行了题为“算法侵害归责困境及方案”的报告。王莹副教授首先简要介绍了算法归化、算法歧视、算法错误等不同类型的算法侵害并分析了对上述侵害进行归责的技术、传统部门法与数据法三重困境，并结合算法技术与教义学理论中的义务犯、不作为犯等理论探讨了不同场景下过错责任、集合式责任、严格责任等在算法归责中的拓展适用可能性。王莹副教授总结到，互联网不是法外之地，人工智能并非责任真空，随着2021年中国迈入算法治理元年，治理责任其中非常重要的一环。

王世洲教授主持了本环节的评议，他总结到，中国算法和个人数据保护方面的归责制度，已经进入到全要素考察的时代。同时本次活动的讨论主要集中在让谁承担责任的问题，但是出于刑法法益保护的补充性原则免责的问题也是需要充分考虑的。

中国政法大学刑法学研究所所长罗翔教授认为，算法本身包含着一种价值判断，应当受到法律的规制。而在算法规制中，刑法应该保持谦抑性，而刑法中侵犯公民个人信息罪的“违反国家有关规定”的用语体现出了明显的重刑主义、先刑主义的倾向，在未来的算法治理中应当充分发挥行业自律的作用。同时，在算法治理中，家长主义和自由主义的选择也需要慎重思考。

北京植德律师事务所合伙人李斌博士则从实务角度提出了两个问题。一个是国家机关使用算法，例如使用智能量刑辅助系统分析案件计算量刑可能对个人信息主体权益造成较为重大的影响，因此国家机关使用算法也应当有相应的规则。二是应当充分发挥企业合规对于算法治理的作用，充分利用税收优惠、补贴等正向激励手段。

环节四：圆桌讨论

本环节由黄笑岩博士主持，百度交易合规法律部法律顾问沈萌、映客集团安全总监游涛等互联网企业人员以及法国ADALTYS律师事务所合伙人李慧妮围绕技术创新与个人信息保护之间的平衡，企业个人信息保护合规的难点等问题展开了讨论。

沈萌女士从三个角度分析了企业数据保护的难点。首先，数据类型复杂，目前的监管体系也较为复杂，数据分类涉及个人信息、重要数据、测绘数据等，均可能对应不同法律规定和监管主体，因此现阶段会存在不同监管机构衔接的问题，对公司合规提出了很高的学习和适应要求。其次，现阶段从数安法到个保法等均不会涉及确定数据权属，但会支持就数据主张权利，因此在企业合作的场景下，如何就数据责任与权益进行分配也对企业合规提出一定挑战。最后，聚焦到汽车领域，从汽车数据管理若干规定的出台到最近多地公布车企数据年度上报要求等来看，今年可以称为是汽车数据治理的元年。实务上亟待更加明确的行为指引，使得合规工作可以更好开展，同时也须考量企业合规成本与监管效益相平衡的问题。

游涛先生则认为，企业进行平台内容治理时如何平衡用户隐私保护与内容审核、风控之间的关系是难点。如何设置后台内容查看权限、如何设置风控的触发机制才能使工作更加合规尚待讨论。另外，在涉及网络赌博等非法内容时，直播平台运营者与主播之间的刑事责任区隔或界分也是值得学界探讨的问题。

李慧妮律师则以数据跨境的场景为例，讨论了企业的数据合规困境。在目前的规则体系下，中小企业在人力资源管理等场景下，可能需要为签署DPA、进行个人信息保护影响评估等付出较高的合规成本。这种高昂的合规成本可能导致中小企业的生存困境。

闭幕式

本次活动闭幕式环节由中德法律合作项目法律顾问史蜜迪女士主持。

在此环节，刘小熊先生感谢了各位与会嘉宾以及浙江大学的国家制度研究院对会议的支持。

黄笑岩博士代表德国国际合作交流机构中德法律项目对本次活动进行了总结。他说道，本次活动是中国人民大学未来法治研究院、德国国际合作交流机构中德法律项目、德国汉斯·赛德尔基金会三方首次合作举办的活动，取得了圆满的成功。中德两国在数据保护领域都非常活跃，未来应当保持深入持续的交流。

最后，王莹副教授对本次活动进行总结并致谢。在中德学术合作交流这个宏观层面，未来法治研究院与希尔根多夫教授共同搭建了跨国、跨学科的新兴科技法律领域的交流机制，汉斯·赛德尔基金会也致力于促进中德学术、文化交流机制的构建，本次活动正是中德学术交流的丰硕果实。在德国新一届联合政府成立之时，延续既往的中德学术文化交流机制非常重要。其次，在数据与算法立法的专业层面，《个人信息保护法》通过并实施，算法规制方兴未艾，本次活动也起到了承上启下的作用。最后，王莹副教授对各位与会嘉宾表示了真挚的感谢，本次会议在热烈的掌声中落下了帷幕。