據天津大學法學院消息,2021年6月12日,作為該院復建六周年(建院126周年)系列活動之一的“個人信息保護與數據安全研討會”采取線上線下相結合的方式成功舉行。此次研討會由天津大學法學院、國浩律師(天津)事務所、天大-國浩共建數字法治研究中心和天津大學中國智慧法治研究院主辦。
天津大學法學院院長孫佑海教授、清華大學法學院院長申衛星教授、華東政法大學數字法治研究院院長馬長山教授、中國人民大學信息法中心主任張新寶教授、清華大學法學院副院長程嘯教授、浙江大學王春暉教授、中國人民大學法學院副院長程雷教授、西南政法大學刑事偵查學院梁坤教授、北京航空航天大學法學院裴煒副教授以及來自北京交通大學、國浩律師事務所等十余家高校、學術機構和律所的專家學者出席本次研討會,兩百多名專家和學生線上參會交流。
本次研討會以個人信息保護與數據安全為主題,深入研討了個人信息保護的相關內容,從理論和實務的角度論證和探討了個人信息保護立法的進程和現狀,對《個人信息保護法》(草案)和最新出臺的《數據安全法》中的核心問題進行了研討,并就未來的立法和法的實施提出了新的思路和修改建議。
一、開幕式
首先,天津大學法學院院長、博士生導師孫佑海教授致辭,孫院長首先介紹了天大法學院源遠流長的歷史,對與會嘉賓表示熱烈的歡迎。接著,孫院長強調本次研討會開展的必要性和重要性,希望藉由各位專家的共同智慧促進立法,合理規范對個人信息的保護和利用,強化國家對數據安全的科學管理。
開幕式由天津大學法學院博士生導師、天津大學國家制度與國家治理研究院副院長熊文釗教授主持。
二、第一階段主題發言
第一階段的主題發言由天津大學熊文釗教授主持。
1.清華大學申衛星教授作“個人信息保護的利用和平衡”發言
第一部分,介紹了個人信息保護與利用平衡原則得以確立的正當性基礎,主要有三點理由:第一,信息與隱私不同,隱私注重個人的生活安寧,信息解決不確定性,信息只有交流才能發揮作用。信息的融合利用能夠發揮數字社會中的倍增效用。第二,信息的客體是無形的,信息邊界相對模糊,風險不能被消除,只能堅持風險治理的理念。第三,《個人信息保護法》(草案)的一、二稿第1條確立了該法的規范目的,體現了規范個人信息合理保護與利用平衡理念。
第二部分,梳理了具體的六個重要制度。第一,知情同意原則是意思自治在個人信息保護領域的具體化,是利用與保護最重要的平衡器。一體兩面,信息可以被利用,但要得到主體同意。同意包括概括同意與單獨同意、默示同意與明示同意適用不同情形,體現保護與利用的平衡。同意的基礎上促進利用是以后立法要著力解決的重要問題,草案中規定了個人信息保護同意的例外,一定情況下可以免除知情同意。13條第1款第1項要求告知義務,2-7項免除告知義務,體現了保護與利用平衡的理念。第二,第15條規定,處理不滿14歲的未成年人信息時應取得未成年人父母或其他監護人的同意,應恢復一審稿中關于“知道或應當知道”的主觀要件,否則所有人都要證明自己不是未成年人,反而會加重每個人信息可及性的負擔,同時未成年人的父母等監護人也應承擔網絡使用的監護責任,這體現了自治和法治的平衡。第三,第25條規定自動化推送的規則,并進行了區分。自動化推薦如格式條款一般兼具利弊,有必要進行區分規制:自動化推薦是默示同意,自動化決策是明示同意。第四,個人信息主體既要有權利,也要有一定的義務。例如,對于個人信息主體的查詢、復制、更正、刪除權利的行使,也要防止權利濫用,權利和義務應當平衡。第五,第57條規定了分級三類管理。由于各平臺的體量不同,平臺的義務也應不同,不能一刀切,該規則了體現了風險治理的原則。第六,要堅持企業、行業自律和他律結合,他律包括第三方的審計和評估。申教授認為應當構建懲罰性賠償的制度。
2.華東政法大學馬長山教授作“個人信息保護的深層問題”發言
第一部分,厘清基本概念。信息概念的界定一直很模糊,原來的立法并未區分信息與數據。本次立法兩法分立,《數據安全法》第3條規定數據是指任何以電子或其他形式對信息的記錄,這表明數據是載體、表現形式,信息是內容。但是,立法還未說清楚信息是什么。如果信息概念不清,屬性就會不明,范圍也就會模糊。
第二部分,信息的確權。個人信息保護法草案沒有走權利確認的路徑,走的是權益保護路徑,草案對其進行了模糊化處理,沒有按照人格、財產權的關系定位,走向注重處理過程的行為定位。因此,無法再采用以前的關系框架來規制,而應當構建新型的行為框架和規范,它有別于原來框架的原則、規則和責任體系。例如,知情同意和民法上的意思表示就不太一樣,知情同意的性質、狀態和范圍等,在不同應用場景中是不同的。其合理的目的、最小的范圍如何界定,也都需要深入研究。
第三部分,法律規制與技術規制相結合。僅僅有立法規范個人信息的處理活動是不夠的,在法律規制為主導的同時,也應關注技術規制,技術問題由技術創新來規制是個好的辦法。《個人信息保護法》(二次審議稿)明確提出“國家支持數據開發利用和數據安全技術研究”。例如,數字公民的身份證技術就可以解決很多個人信息的收集、處理行為。立法通過法律規制加技術規制,可以使得個人信息更加規范、安全。
3.中國人民大學張新寶教授作“個人信息的人身非財產性”發言
第一部分,個人信息的屬性。法律對個人信息和數據進行了定義,信息的定義仍需完善。對個人信息保護的研究有幾個不同的群體,有計算機群體、有法學群體,法學群體又分幾部分,有法理學的老師、行政法的老師、民法的老師。學術群體具有不同的知識體系,各主體都結合自己的背景知識研究,同樣也會受到局限。比如,知情同意與民法的意思表示是存在區別的。又如,個人信息被處理后,有可能對人格權益帶來某種影響,但處理后對個人既不增加財產也不減損財產,處理錯了也可以聯系修改,因此很難說是民法上的實體權利,張新寶教授傾向于不用傳統實體權利去界定個人信息。個人信息的財產性是值得商榷的。談財產必然談權屬,談個人信息則是屬于個人所享有的非財產性的權益。別人處理信息并不給錢,因為信息被處理、發表獲益是由于著作權,不是由于個人信息的財產權屬性,因此采用財產權定位是不符合個人信息保護的定位的。有人認為個人信息的大規模利用產生強大的經濟效益,但這種信息不是屬于個人的,這種信息集合不同于個人單個的個人信息。個人信息具有規模后才能產生效益,但這是大數據產生的價值。雖然個人對信息(數據)的集合有貢獻,但這可忽略不計。把財產價值配置給經濟處理者,注重個人信息的人格利益,更有利于個人人格的保護。
第二部分,重視微信、淘寶等頭部企業的個人信息保護義務,建立守門人制度。二審稿第57條有了初步規定。問題是,第一,守門人的概念、范圍需要明確,根據用戶、日處理量、營業額等作為標準確定。張新寶教授認為最多不超過100個。應當分門別類,比如應區別做生態的騰訊,做系統的華為等。第二,以外部機構對個人信息處理進行監督,是否會導致個人信息廣泛被外部利用。涉及到隱私政策,是否建立了相關機制,應當根據程序性事項寫明,監督的時程序合規,不涉及具體的個人信息和企業數據。第三,應規制頭部企業把義務轉化為權利,規制其把競爭對手剔除出去搞“二選一”的做法,要明確相關義務。第四,守門企業是全流程的參與個人信息保護,立法應當跟進全流程。第五,社會責任。如何與上市公司年報、半年報結合起來、是單獨還是融入年報、是否定期發布都還需要有細化規定,法律還需配套的技術性規范。
4.清華大學程嘯教授作“我國個人信息保護法中個人信息處理規則的發展與完善”發言
個人信息保護法涉及方方面面的問題,之所以我國要單獨制定《個人信息保護法》,主要就是為了規范個人信息的處理。《個人信息保護法草案》的第二章詳細規定了個人信息的處理規則,再加上第三章個人信息的跨境提供,那么該法關于處理規則的條文就有31條,占整個草案73條數量的將近一半。個人信息保護中的個人信息權益不同于民法中的個人信息權益,個人信息上承載了各種類型的權利和受保護的利益權益,所以,除了民法規則側重于從民事權益的角度加以保護外,還應當以《個人信息保護法》來實現個人信息的保護和合理利用,尤其是通過個人信息處理規則實現對個人信息權益的全方位的動態性的保護。
目前我國《個人信息保護法》(二次審議稿)對處理規則做了很多豐富發展,具體表現在:第一,明確了知情同意規則的基本規則的地位,告知同意不是意思表示,而是違法阻卻事由,另一類違法阻卻事由是由草案第13條第1款第2-7項規定。二審稿突出了知情同意原則的地位,是對于個人信息處理規則很重要的發展。第二,對告知義務的規定,告知同意規則由兩部組成,一是告知,一是同意,前者可被稱為告知義務。二審稿19、35條規定了免除告知義務的情形,采取的是一般規定加特殊規定的模式,同時明確要求告知義務應當以顯著、清晰易懂的方式履行。第三,對同意規則和例外的規定。同意的規則也值得研究,其中同意要件的研究是重點。一個有效的同意至少包括四個要件,即同意能力、充分的知情(告知義務)、自愿、明確的同意。對同意要件的規定對于保護個人信息權益是非常重要的。第四,多數人處理信息的規范。實踐中處理信息的人數為多數的情形是很常見的,草案第21-24條分別對共同處理、委托處理、個人信息轉移、向他人提供個人信息等四種情形作出了規定,尤其是確立了共同處理侵害個人信息權益的連帶責任,第21條第2款屬于一個獨立的連帶責任的請求權基礎。第五,二審稿首創了我國法上對敏感和非敏感信息的區分,這種區分不同于《民法典》中私密信息和非私密信息的區分,后者側重從隱私權等民事權益的角度進行區分,以決定侵權責任的類型。而在個人信息保護法中區分敏感信息與非敏感信息,對于構建個人信息處理規則,精準執法、降低合規成本等都非常必要。
5.浙江大學王春暉教授作“構建數據私權至上的個人信息保護法律制度”發言
數字時代,“數據”主要是附著在電子信息系統載體的客觀事物記錄,是未經過處理的原始記錄,包括結構化、半結構化和非結構化數據;“個人信息”主要是以電子方式記錄,能夠單獨或者與其他信息結合識別特定自然人的信息,而“數據”之前加“個人”,即“個人數據”也屬于“可識別”的“個人信息”。
我國個人信息保護立法充分借鑒了國際組織和一些發達國家的個人信息保護立法的先進經驗。目前,從國際組織和國外一些先進的立法經驗看,包括GDPR、OECD “隱私框架”、APEC “隱私框架”、歐美“隱私盾”、美國“消費者隱私權法案”、《美國加利福利亞消費者隱私法案》(CCPA)等個人隱私信息保護方面的立法,均強調未經被收集者同意,不得收集和向他人提供個人隱私信息,特別是歐盟將個人信息權看作一項基本人權,個人數據保護的重要性在于對基本人權的保護,對人格尊嚴的尊重。
縱觀我國的《網絡安全法》、《民法典》,以及我國《個人信息保護法(草案)》的兩次審議稿,我國個人信息保護立法始終堅持了“以人民為中心”的理念。因此,我國個人信息保護法有必要構建數據私權至上的個人信息保護法律制度體系。需要指出,網絡平臺時代的個人信息從一開始就與自然人主體分離,而且不斷在數字平臺上聚合。所以,個人信息保護是基于對個人信息消極權利的尊重,即公民作為信息內容的主體有權知悉和決定其個人信息在何時、何地及以何種方式被何人控制和處理。
《個人信息保護法(草案)》對個人信息權益的保護中集中體現在“草案”六條處理個人信息的兩個“最小”,即“應當限于實現處理目的所必要的最小范圍”和“采取對個人權益影響最小的方式”。“最小范圍”和“最小影響”是“草案”總則中一項非常重要的原則,建議個人信息保護法要強調和突出這兩個“最小”,并貫徹到整個立法中。同時,要嚴格限制對個人敏感信息的處理。
總體來看,當前和未來一段時期我國個人信息安全保護邊界的基本要義是在確保個人敏感信息不受非法侵害的基礎上,促進個人信息資源在“知情同意、合法、正當、必要”原則的基礎上,遵循“實現處理目的的最小范圍”和“采取對個人權益影響最小的方式”,進行合情、合理、合法的開發和利用。
6.天津大學孫佑海教授作“《數據安全法》實質問題研究”發言
發生論。主要是法律出臺背景、立法政策等的梳理。第一,維護國家安全的需要。數據是國家基礎性戰略資源,沒有數據安全就沒有國家安全。第二,控制安全風險的需要。當前,各類數據的擁有主體多樣,處理活動復雜,安全風險加大,必須通過立法建立健全各項制度措施,切實加強數據安全保護,維護公民、組織的合法權益。第三,支持數字經濟的發展。通過立法規范數據活動,完善數據安全治理體系,以安全保發展、以發展促安全。第四,推進政務科學發展的需要。通過立法明確政務數據安全管理制度和開放利用規則,大力推進政務數據資源開放和開發利用。
定位論。第一,把握正確方向,貫徹整體安全國家觀,堅持黨對數據安全的領導。第二,基本原則是“一體兩翼”,一方面鼓勵數據的開發利用,一方面保障數據依法合理利用。第三,數據安全法的性質是行政法,個人信息保護法的性質是民法的特別法。行政法應當堅持義務本位,義務優先。第四,數據安全法是數據領域的基礎法律。
制度論。第一,建立數據分類分級管理制度,建立數據保護目錄,保護列入目錄的重點數據。第二,建立集中統一、高效權威的數據安全風險評估機制。第三,建立數據安全應急處理機制,有效應對和處置數據安全事件。第四,與有關數據安全制度銜接,建立數據安全審查制度和出口管制制度。第五,針對一些國家對我國相關投資和貿易歧視做法采取有針對性的制度和措施。第六,數據安全保護相關主體的義務制度。第七,法律責任制度。
三、第二階段主題發言
第二階段主題發言由天津大學副教授王燃主持。
1.中國人民大學程雷教授作“刑事司法中的個人信息保護”發言
第一部分,個人信息保護在刑事司法領域的定位,是例外還是特殊領域?現在的個人信息保護法對刑事司法領域基本處于一種漠視的狀態,這也不僅僅是中國獨有。絕大多數國家無視刑事司法領域的個人信息保護。一種觀點認為刑事司法領域沒有規定個人信息保護,那么就籠統適用一般意義上的個人信息保護,這樣顯然是很難的。在立法論上還沒有做出特別好的一個制度安排,這就存在很大的問題,因為個人信息保護上最深刻的教訓都是來自刑事司法領域,刑事司法領域的權限顯然是非常大的,應當明確立法上的態度:刑事司法領域是個人信息保護的特殊領域,不應當作為例外排除在個人信息保護的立法框架之外。
第二部分,個人信息保護法出臺以后,與刑事訴訟法傳統的規制工具(即隱私權)到底是什么關系?我們傳統上通過隱私來間接保護個人信息,這個與各國刑事訴訟法發展的歷史也是有關系的。2012年大規模進行的刑事訴訟法的修改,當時我國還沒有完全進入到信息社會,當時規范技術偵查的時候還沒有預料到個人信息成為了司法機關辦案主要的工具,滯后于我國信息技術的發展,技術偵查規范在個人信息保護上是不足的。
第三部分,《數據安全法》35條應該怎么解讀?本法第35條規定了調取數據的基本條款,在這條法規中沒有用技術偵查而是使用了新的術語,我理解這和我講述的第二條有關系。立法者和司法執法機關已經意識到調取數據和傳統的技術偵查是有區別的。但這一條仍然沒有規定使用和分析,實際上這一條也具有局限性,其仍然沿用我國之前技偵的表述,這一點我是存疑的。技術偵查程序規定的信息規范過于僵化,不適合我國現在的需要。這值得進一步的解讀和研究。
2.北京航空航天大學裴煒副教授作“網絡信息業者協助偵查中的信息主體告知義務”發言
《個人信息保護法(草案)》內容涵蓋私領域和公領域,但對于公領域特別是刑事司法領域的特殊性關注不足,致使二者存在明顯的張力。以知情同意原則為例,其是《個人信息保護法(草案)》制度設計的基本邏輯起點。這一原則實則包含兩個部分:一是知情,二是同意。知情是所有權利保護的開端,無論之后對于個人信息的處理是否需要信息主體同意,都需要以知情作為一項基本前提。因此對于權利的減損有一個階層性:先減損同意,再減損知情;而一旦減損知情,同意亦無從提起。《個人信息保護法(草案)》第13條明確列舉了處理個人信息無需同意的具體情形,其中包括“為履行法定職責或者法定義務所必需”。對此,無論根據《刑事訴訟法》還是《網絡安全法》,犯罪偵查均屬于此種情形。但此時僅免除信息處理者獲取同意的義務,如果要進一步免除其告知義務,則需要進一步看是否存在符合《個人信息保護法(草案)》第35條的情形。根據該條文,國家機關處理個人信息時免除告知義務主要基于兩種情形:其一是法律、行政法規有保密規定;其二是個案中告知可能妨礙國家機關履行法定職責。就前者而言,犯罪偵查中僅技術偵查措施涉及此類要求,而調取措施不在此類,因此該情形的適用范圍有限。就后者而言,盡管取決于偵查機關的個案裁量,但該裁量權本身需要有明確的法律授權。《刑事訴訟法》目前尚未針對個人信息保護形成“有礙偵查”下的義務豁免,這與刑訴中其他因“有礙偵查”而豁免特定義務的情形形成鮮明對比,因此后者的正當性在實踐中同樣存在疑問。上述問題的解決有賴于個人信息保護制度與刑事訴訟制度的進一步融合和銜接。
3.西南政法大學梁坤教授作“調取數據之‘經過嚴格的批準手續’之理解”發言
第一部分,調取數據之“經過嚴格的批準手續”之定位。《數據安全法》35條規定,調取數據要“經過嚴格的批準手續”,從這樣的一個條文來看是和刑事訴訟法的技術偵查的表述完全一致的。經過嚴格的批準手續,面向的是誰?通過對立法目的的剖析我們認為主要是對掌握信息的第三方網絡信息業者。由此,經過嚴格的批準手續的第一個目的就是保障第三方平臺數據安全、用戶數據安全。《刑事訴訟法》沒有做的事情,《數據安全法》為我們做了。第二個就是要落實第三方平臺的責任。
第二部分,調取數據與技術偵查/調查的批準手續的關系。在監察機關十五項調查措施中,經過批準手續不僅僅適用于技術偵查,還包括其他調查措施。而如果沒有監察法或刑訴法的規定,那么《數據安全法》種“經過嚴格的批準手續”也就沒有存在的意義。
第三部分,調取數據“經過嚴格的批準手續”如何在刑事程序中落實?《數據安全法》第21條做了非常原則性的規定,需要各地區、各部門進行細化。其次是要探索刑事程序中數據安全的分級分類保護,并對批準手續予以區分。如果沒有這些規定,數據安全法的寬泛規定很可能成為一紙空文。至于如何落實這些規定,還有待我們在未來進行研究。
4.國浩律師(北京)事務所胡靜律師作“數據跨境傳輸的路徑探討”發言
個人數據跨境傳輸的困局在實踐中極易遇到。比如,在跨境并購中,中國企業對歐盟境內并購標的員工勞動合同的審查會遇到GDPR的阻礙。并購完成后,中國買方在投后出于人力資源管理的目的也很難獲取歐盟境內公司員工的個人數據。
個人數據跨境傳輸路徑的探討,先從歐盟看起。個人數據跨境的首選路徑要去看是否在歐盟的白名單里,目前中國尚不在名單里。除首選路徑外,常規路徑是看數據控制者是否采取適當的保障措施,且數據主體是否能行使權利和獲得司法救濟。是否有適當的保障措施,可以從BCR、SCC等方面去判斷。在中歐的數據傳輸中,SCC用的比較多。前幾天,歐盟更新了新版的SCC,跟上一版SCC有了重大的變化。如首選路徑和常規路徑都不滿足條件,則需要看是否滿足GDPR的特殊豁免情形。總體而言,EEA國家向中國的個人數據跨境傳輸并不容易。
再看美國,目前美國對個人數據跨境傳輸保持一個相對開放的態度,但對重要數據的跨境傳輸采取限制措施,例如《出口管制條例》和《健康保險攜帶和責任法案》中有相關規定。美國采取這樣的態度,我個人判斷有兩個原因:其一,美國數據相關的立法正在進行,從拜登政府的動態來看,未來可能會針對中國的數據跨境傳輸設置專門的障礙;其二,美國的跨國公司居多,美國政府希望這些跨國公司能夠在全球獲取更多的數據。
除歐美外,有些國家對數據有本地化存儲的要求,例如俄羅斯和印度。俄羅斯也設置了數據跨境傳輸的白名單制度,目前中國也不在這一白名單里。
最后再看回來中國的數據跨境傳輸,在剛剛生效的《數據安全法》和還未生效的《個人信息保護法》二審稿里也有相關的制度設置。
總體而言,剛生效的《數據安全法》鼓勵數據的跨境流動,積極開展數據安全治理、數據開發利用等領域的國際交流與合作,參與數據安全相關國際規則和標準的制定,促進數據跨境安全和自由流動。需要強調的是,《數據安全法》對于中國企業配合境外的司法或執法機構調取中國境內的數據加強了管理,規定未經主管部門的同意,不得提供,否則將面臨嚴峻的處罰措施。這一規定,在我看來是對美國針對中國的《外國公司問責法案》及相關歧視性制裁措施的反制措施。
《個人信息保護法》二審稿里,就個人數據的跨境傳輸創設了標準合同制度,如果這一制度最終能落地生效,跟歐盟的SCC相比,中國的個人數據出境時也能要求獲得對等保護。
中國的數據立法正在日趨完善,其中關于數據跨境傳輸的規定也在日趨完善。我們期待這一天盡快到來。
四、第三階段主題發言
第三階段的主題發言由國浩律師(天津)事務所管理合伙人曹會杰主持。
1.天津大學田野教授作“個人基因信息的特別保護:正當性與進路”發言
田野教授指出,在數據時代個人信息的種類繁多,遵循普遍的保護制度下,不同的個人信息應有自己的個性,正如人類的基因,不同的堿基對的不同配比形成不同的基因。
而基因檢測是產生個人信息的最主要的源頭,可能出現于孕婦產前基因檢測,雇主挑選雇員,保險公司根據健康情況設置保險,對犯罪嫌疑人進行DNA鑒定,還有兒童天賦基因檢測等商業基因檢測情形中。基因檢測的泛濫,也會導致了基因污名化、濫用、泄露等風險,正如佛山市人力資源保障局案件中,當事人被查出身體中含有地中海貧血基因,因此不得錄用,但在隨后的起訴中遺憾的是當事人敗訴了。
具體而言,基因信息具有5種特殊性:家族遺傳性,不可變性、預測性、難以真正匿名化之特性、超高的敏感性。
相應的,基因信息保護的個性化規則包括以下幾個方面:
第一,族群的同意問題。因為基因信息的披露必然涉及族群信息的泄露,可能導致族群污名化,比如毛利族群中存在暴力基因,均對族群發展產生了不良影響。
第二,不知情權的問題。當事人是否應該知道自己有不好的基因,如果提前知道會打破人內心的寧靜,帶來焦慮,反而影響身體健康。
第三,基因信息是否應向近親屬的披露。在患者不同意的情況下,醫生是否可以擅自披露?
第四,“匿名”基因信息的保護。如果基因信息匿名,其科學價值就會大打折扣,因此是否需要匿名是需要權衡的。在基因信息中,肯定存在財產利益,這和肖像權不是財產權但存在財產利益是相似的。
第五,基因信息的惠益分享。惠益分享不能絕對而論,需要考察不同情形下的不同種類基因的分享問題。
第六,基因研究中的數據庫信息共享問題。
在比較法上,對基因信息的考慮并非空想,主要體現在:《歐洲人權與生物醫學公約》第10條第2款:每個人都有權知道有關他自己的任何健康信息,但是,個人不愿被告知的意愿應當被尊重。《為健康目的的基因檢測附加議定書》第16條第2款:每個人不被告知基因檢測結果的權利應當被尊重。還有聯合國教科文組織《世界生命倫理與人權宣言》第6條和我國臺灣地區所謂“人體研究法”第15條等規定。
在我國的《個人信息保護法》(二次審議稿)第13條也對此有相應的規定,但是第一款第三項值得商榷。譬如老板對雇員進行基因檢測,用人單位是具有維護職場員工健康義務的,但是員工始終不同意。但按照第一款第三項的規定,不管同意不同意都是能夠收集。所以是否是需要區分不同情況是個值得考慮的問題。
在我國的《個人信息保護法》(二次審議稿)第14條中,法律規范的主體是個人,尚未規定族群作為個人信息同意披露的主體,可能存在涵攝性不足的問題。
對于不同的場景,可能出現不同的基因信息問題。在醫療場景下,可能涉及基因編輯等敏感診療;消費場景下,存在DTC基因檢測的亂象;研究場景下,需要探索基因信息合理利用的邊界;就業場景下,需要討論基因歧視的議題;在保險場景下,考慮基因狀況拒保問題;司法鑒定場景下,如何進行基因信息的獲取也需要討論。
目前,我國對基因信息的重視程度不高,與人類資源信息等概念上的關系混亂,缺少自己的獨立地位。在不同國家,其立法模式也不同。以美國、德國為例,是以基因信息保護專門立法;在GDPR中,是在個人信息保護法中嵌入特別條款;以法國為例,是在《民法典》中嵌入特別條款(概念);另外則是以零散的特別條款進行規定。
曾經在《民法典》的編纂中,如《中華人民共和國民法典人格權法編專家建議稿》(征求意見稿)、《民法典人格權編》(草案室內稿)對生命信息和基因圖譜信息有一定的提及,但最終很遺憾沒有保留下來。我國的基因信息的特別保護仍任重道遠。
2.天津大學劉爽副教授作“隱私政策與 GDPR 的合規性檢測技術研究”發言
隨著移動設備的普及,包括購物、出行、政務等在內的人們日常生活事務均可通過手機APP完成,在享受移動APP帶來的方便的同時,隨之而來的是個人隱私數據被各種服務提供商采集利用,以及由此引發的信息泄漏問題。隱私政策規定了服務提供商對用戶隱私數據的處理細則,是服務提供商與用戶之間簽訂的有法律效力的協議。因此,對隱私政策的合規性檢測尤為重要。意識到個人隱私數據保護的重要性,世界很多國家均出臺了相應的法律法規,其中歐盟的《通用數據保護條例》(GDPR)以其適用范圍廣,處罰力度大而備受關注。因而我們也將GDPR作為范例進行研究。
在GDPR第13條中指出收集和數據主題相關的個人數據時的信息提供。控制者要收集個人數據時,需要提供不同的信息,包括數據存儲期限、數據處理目的、聯系方式、訪問個人數據的權利、擦除或修改的權利、限制處理的權利、拒絕處理的權利、數據攜帶權、提出申訴權。GDPR第13條中規定的內容,是最直接可體現在隱私政策中的,因此本工作重點研究隱私政策與GDPR第13條的合規性檢測問題。
對于合規技術檢測的方法步驟主要分三步,第一步是進行規則抽取,即從GDPR中抽取規則。第二步是文本分類,通過搭建、訓練模型對隱私政策的句子標簽進行預測分類。第三步是規則匹配,依據文本分類結果及規則,得出合規性檢測的結果。目前在304篇隱私政策上的驗證結果顯示,方法準確率達到了90%。我們實現了一個可視化界面,用于可視化顯示分析結果以及檢測出的合規性問題。
我們對2021年4月的國內官網隱私政策進行分析,包括新聞媒體網站(26家)、政府網站(46家)和國有企業網站(94家),尋找其英文官網的英文隱私政策,并檢測合規性。分析結果顯示,在上述行業的隱私政策中,經常漏寫用戶權利問題。由于GDPR規定,凡是處理歐盟數據,都受其管制,故我國各個行業都需要進一步提升數據保護問題。
3.北京交通大學王毅純助理教授作“《民法典》中個人信息的區分保護路徑”發言
王毅純博士主要討論了《民法典》中提出的私密信息和一般個人信息的區分,以及《個人信息保護法(草案)》二審稿中敏感信息的區分和保護問題,尤其是私密信息和敏感信息的范圍是否存在重合問題,規則適用上是否需要差別對待。
《民法典》第1034條指出了私密信息優先適用隱私權的規定,由此產生了個人信息中的私密信息存在雙重保護的問題。基于此,我們應先區分什么是私密信息。《民法典》第1032條規定了隱私的范圍,并且明確了私密信息的界定標準為“不愿為他人知曉”,我們可以將其概括為主觀秘密性。對于規則適用的核心影響在于《民法典》第1033條規定的侵害私密信息的隱私權的違法性阻卻事由與《民法典》第1035條規定的侵害一般個人信息的違法性阻卻事由不同,包括另有規定的范圍是否僅限于法律、以及同意的主體是否僅限于權利人本人、同意的方式是否僅包括明示同意等。《個人信息保護法(草案)》二審稿第29第2款對于敏感信息的界定標準是損害后果的特定性和嚴重性。在損害后果的特定性方面,敏感個人信息局限于侵害憲法基本權利,如言論自由、宗教信仰等;損害后果要求涉及人身財產權益安全,如個人生物特征,醫療健康等。在損害后果的嚴重性方面,需要對于相關權利的損害程度是嚴重的。
對于私密信息與敏感信息的重合問題,首先,對于同時屬于私密信息和敏感信息的,如性取向、醫療健康信息等,必須本人明確的單獨同意,甚至要求書面同意。其次,屬于私密信息,但不屬于敏感信息的,如個人特別癖好、遭受性騷擾的信息等,適用《民法典》隱私權保護規則即可。第三,屬于敏感信息但未必屬于私密信息的,如種族信息、宗教信仰、政治主張、個人面貌特征等,公開可能帶來損害后果特定性和嚴重性,不具有主觀保密性的特征,適用《個人信息保護法(草案)》二審稿第30條規定,即需要權利人單獨的書面同意。至于私密信息的保護,難點在于私密信息如何識別,在《民法典》第1032條第2款中體現為主觀秘密性。理論上還有其他的界定標準,因其作為隱私權的核心范圍,通常還要符合隱私權的合理期待,所以應當是主觀標準和相對的客觀標準的統一。至于主張增加侵害后果嚴重性的要件,對此是值得商榷的。
4.國浩律師(上海)事務所黃寧寧律師作“數據保護與涉外法律服務”發言
長期以來,中國對法律域外管轄(長臂管轄)的理解和認知持較為否定的態度,很大程度上因為中國深受其害。然而,過去五年間,我們看到了我國立法上的新動向,《出口管制法》、《阻斷外國法律與措施不當域外適用辦法》和《反外國制裁法》等,都已包括有域外效力的法條。就數據安全及保護而言,如《數據安全法》第36條規定,中華人民共和國主管機關根據有關法律和中華人民共和國締結或者參加的國際條約、協定,或者按照平等互惠原則,處理外國司法或者執法機構關于提供數據的請求。非經中華人民共和國主管機關批準,境內的組織、個人不得向外國司法或者執法機構提供存儲于中華人民共和國境內的數據。這一條有典型的域外管轄特點。這些法律規范規定的內容引起了涉外法律服務的變化,同時也加強了我國應對國際形勢變化的能力。
第二部分,法律服務市場的機遇。我們需要有國際法影響的立法,也需要涉外律師能提供相應的法律服務,以真正體現這些法律的作用。從2017年國務院四部委《關于發展涉外法律服務業的意見》中,國家開始關注涉外領域的法律服務戰場。發展到今天,涉外法治已成為習近平法治思想的重要組成部分,“要堅持統籌推進國內法治和涉外法治。”具體到數據保護領域,涉外律師可以在數據保護的合規服務,爭議解決領域提供有針對性的法律服務。
總之,數據保護是分層次的,個人信息的不同種類保護力度不同,數據保護的廣度、空間都是需要律師進一步介入并較好地運用法律規范。
五、會議總結
國浩律師(天津)事務所梁爽主任和天津大學孫佑海院長進行會議總結,對各位專家學者的支持表示衷心感謝。