2020年10月21日,《中華人民共和國個人信息保護法(草案)》公布並公開徵求社會公眾意見,這標誌著我國個人信息保護法的立法,邁出了具有決定性意義的一步,將深刻並長遠地影響我國數字經濟和數字社會的未來發展。
值此立法的關鍵時刻,對外經濟貿易大學數字經濟與法律創新研究中心作為受邀提供草案意見的單位,於2020年11月15日召開「《個人信息保護法(草案)》深度學習與建議研討會」,邀請來自立法部門、監管機構、科研單位以及產業界的專家和代表,對草案八章70條開展逐條、逐句的研讀,儘可能匯聚多維度、多立場的觀點意見,儘可能匯聚多維度、多立場的觀點意見,為《個人信息保護法》的出臺建言獻策。與會人員既有中央財經大學法學院教授邢會強、中國人民大學法學院副教授暨未來法治研究院副院長丁曉東、中國法學會法治研究所副研究員劉金瑞、浙江大學網際網路金融研究院研究人員潘政、中國信通院網際網路法律研究中心主任方禹、中國信通院安全研究所工程師葛鑫以及對外經貿法學院張欣副教授等專家學者,也有歐盟商會網絡安全子工作組主席兼SAP政策研究總監宮仁海、Zoom中國區首席代表顧文杰、微軟中國公共及法律事務總監黃麗丹、螞蟻集團隱私保護研究中心主任李海英、京東法律研究院總監李麗、亞馬遜AWS中國公共政策總監李國俊、阿里巴巴政策法規研究室高級專家劉明、西雲數據法律顧問陳巍、科文頓·柏靈律師事務所合伙人羅嫣、安理律師事務所高級合伙人王新銳等實務部門代表。全國人大法工委經濟法室副處長林一英也蒞臨會議,聽取各方意見。
外經貿大學數字經濟與法律創新研究中心執行主任許可作為本次會議的主持人首先介紹了本次研討會的背景和目的,旨在總結和梳理學界關於《個人信息保護法(草案)》的意見和觀點,為全國人大法工委的後續立法提供參考。隨後簡單介紹了與會嘉賓和研討會議程,本次會議主要按照草案條款逐章展開討論,鼓勵各位集思廣益,踴躍發言。
對外經濟貿易大學法學院教授梅夏英隨後致辭,在強調了本次草案的重要意義以及本次會議的服務目的後,提出了自己對於草案的三點看法。其一,個保法草案的一大特點在於兼顧了個人權利和國家保護,個人權利的賦予應當僅僅是為了降低個人信息被濫用的風險,不應過度放大,而國家在個人信息方面的公共安全責任應當加強。其二,徵詢同意屬於基礎性規則,但草案中的同意規則設置過多,平臺處理時、交付第三方時、匿名化後再處理時諸多環節均需個人同意,導致實務操作性存疑。其三,個保法草案未進行適當的信息分類分級,僅僅區分出敏感信息難以滿足實務需要,比如公開信息和非公開信息、成年人信息和未成人信息、人臉指紋等直接與個人相關的信息和間接有關的個人信息、企業收集的信息和國家收集的信息等都存在明顯不同。
第一章 總則
關於第二條本法對象,專家提出提出第二條中的規制對象存在重複,因為自然人裡只有獨立處理信息的專業人士才應受到規制。倘若個保法管轄平等民事主體之間的信息糾紛,要求企業承擔大量的通知刪除義務,無疑負擔過重。
關於第三條適用範圍,專家提出草案第三條第二款使用了「分析、評估」,而GDPR中使用的是「監控」的概念,希望後續能夠進一步明確用語含義。另有學者則提出第三條第一款和第二款有過分擴大之嫌,具體指明目的性會更為適當,否則連無意瀏覽也會被納入個保法的管轄範圍。
關於第四條個人信息的界定,有學者首先指明草案重點就是要解決定位問題,需要立足於個保法的架構,從定義和規則相掛鈎的角度去理解,嚴格的規則輔之以狹窄的定義,寬鬆的定義適用於寬鬆的規則。通過對比現行的網安法和個保法自身演變過程,個人被識別的應當是身份而非自然人,建議個保法草案第四條應當添加「身份」二字。並且專家更傾向個保法屬於行政法保護,目的在於解決個人信息濫用和洩露問題,同時不能阻礙信息的正常使用。基於社會背景的變遷,個人信息保護是法律賦予的權利而非天然權利,保護的對象是自然人在社會活動中的角色,重點在於其身份。其次,學者分析了草案第四條的立法方式。本次草案未通過列舉方式規定適用對象,一種解釋是實際生活中很清楚,無需列舉,另一種解釋是爭議太大了。比如兩高和司法解釋都肯定了電子郵箱為個人信息,而12年香港判例卻認為不能從郵箱識別出個人身份。目前的草案採用了單獨或結合的識別說,對於單獨不能識別而結合才能識別的信息是不是個人信息,學者持否定觀點,並且指出簡單的信息編纂不應當認定為個人信息,關鍵在於理解最終目的是防止信息濫用和洩露還是加強國家管制。參考韓國、法國以及我國的網安法都規定了「簡單結合能夠識別」,簡單的信息編纂不適宜認定為個人信息。並且草案第四條後半款規定了匿名化後不是個人信息,比照匿名化和信息編纂的關係,也可以參考匿名化的分析思路。
有專家主要針對IP位址是否屬於個人信息的問題發表了看法。即使用戶關閉了地理位置授權,網際網路公司也能利用IP區段,判斷地理位置進行個性化推薦,這是否屬於使用個人信息。立法上解決這個問題有三種手段,第一種是在法律規定中特別說明,第二種是通過模糊的指引性規定或者保持沉默,交給未來的實踐和立法解決。專家指出這個問題的難點在於識別的判定,誰來識別,到什麼程度算識別,有學者提出將可識別作為單獨的部分進行規制,對於可識別的權利義務,在風險防範方面可以適用,但適用於查詢權這種情形反倒招致危險,這部分還需要大家進一步討論。
諸位學者繼續針對這一問題討論,認為應以業內客觀水平能夠識別作為標準,並結合不同的使用場景進行判定,僅掌握IP位址區段而無法關聯到具體對象不構成個人信息,在網際網路實名制的背景下,網際網路企業利用IP位址對應特定用戶並進行個性化廣告推送等行為則屬於個人信息的使用。
關於第六條處理個人信息的目的,有專家認為第六條「不得從事與處理目的無關」過於嚴格,會阻礙新技術發展。比如機器學習和大數據依賴信息收集進行算法訓練,收集時往往不確定使用的目的並且技術上也很難取得知情同意,建議放寬規定以適應技術發展。
關於第八條個人信息處理的要求,專家認為個保法沒必要規定「所處理的個人信息應當準確,並及時更新」,信息服務質量應由市場規制而非通過個保法規定。有學者提出第八條主要針對徵信行業。另有專家也指出OECD也規定了準確性原則,於各方均有利,並且也映襯了後面規定的更正權。
第二章 個人信息處理規則
關於第十三條個人信息處理的條件,有學者認為個保法規定的合法利益相較於網安法具有進步性,在為企業提供方便之餘也容易發生信用卡欺詐此類濫用現象,需要進一步限制。
專家對合法利益也持較為慎重的考慮,例外設置過多會架空同意規則,像第二款「訂立履行合同所必需」可以納入防欺詐的審核,或者需要後續標準再明確規定防欺詐。
有學者也認為合法利益相較於正當利益的涵蓋範圍太廣,同意以上提出的合同涵蓋廣泛的思路。並提出有必要賦予科學研究或歷史性存檔以合法性,有專家也指出一帶一路法律規定中也包括了個人信息科學研究方面的使用。
另有專家也提出進一步明確其中的模糊概念,以便企業更好的遵循,並指出了權利不平等的勞務供應合同、ICT產業的B2B大批量交易業務、公司內部管理等嚴重依賴個人信息的例外情況。並且第13條第二款的合同訂立履行僅適用於上遊,中下遊客戶難以知曉,可以增加適當性規定使之更具操作性。
關於第十四條的同意,有專家先提出了自己的兩個問題,第十四條中的單獨同意如何解釋,單獨同意是否可以採用默示方式。有學者提出因為信息處理變更而重新取得同意,需要考察此種變更是否具有實質性,倘若與原來的處理目的可兼容,未必需要重新向個人取得同意。
有專家首先提出將同意表述為意思表示不妥,此處撤回並不能發生民法中撤回即撤銷的效果,建議刪除意思表示四個字,並且在第16條規定撤回時應該明確意思表示的撤回不影響撤回前基於該同意所進行的處理的合法性。其次,應當在第14條明確界定單獨同意,比如規定為具體的同意或者叫明確具體同意,或者進一步規定為一個或多個目的處理個人信息的時候,應當逐一取得個人明確同意。在單獨同意解釋不明確的情況下,後續法條頻繁出現了單獨同意該用語,直接規定依據本法第14條或者依據本法規定的同意取得個人同意即可。
還有學者提出了自動化駕駛情景下如何適用個保法的問題,自動化駕駛的汽車會自動收集周圍車輛、行人的信息,根據道路情況來做出自動化決策。但是這種情況是收集合同外第三方的信息,不能援引關於訂立履行合同作為正當事由。對此,有專家提出可以適用第四條規定。
關於第十六條、第十七條的撤回,專家提出這是對《網安法》重大的變化,之前的刪除根據違反法律規定或者違反約定才可以刪除,規定刪除權後考慮撤回同意的後果是很有價值。有學者同意之前的觀點,認為撤回同意應當增加不溯及既往的規定。有專家還提出當處理使用信息存在多個合法性基礎時,如何處理刪除權的問題,比如既取得了同意有屬於訂立履行合同所必需,反觀GDPR只能享有一個合法性基礎。後面討論中各位表示立法者無法考慮過細,屬於立法者意味深長的沉默。
關於第十八條的告知,專家認為第19條例外中「不需要告知」應當加上「法律、行政法規規定」的前提。各位討論後認為,除了第19條規定的例外,其他所有情形都應當告知,包括具備第13條其他合法性基礎的情形,甚至包括公開信息的收集,合理性有待探討。
關於二十一條到第二十四涉及到第三方的規定,專家認為草案的信息保護過度,在第一層取得同意後進行匿名化流通即可,繁雜的同意制度會限制平臺的發展。而且通過層層的告知同意來轉嫁風險根本難以實現,個人的決定權本就是有限的,草案中規定的權利多而無用,紙上談兵難以實現。
有學者同意以上觀點,在跨國公司實際操作場景當中,普遍存在上下遊企業之間需要轉化數據進行業務再分包的情況,如果公司必須取得個人的明示同意,合規成本過高。主張可以參考GDPR第28條第2款的反向同意,反對者在規定時間內提出,以此最大程度的保障制度實施。有專家從雲服務提供商的角度補充,在分包必須的大背景下,同意制度應解釋為大體的同意,根據GDPR可以通過定期會上傳名單來委託給其它方。
對於第22條第2款,各位都認可將個人信息返還個人信息處理者或者刪除的規定不適當,有學者指出返還還是局限於物的思維,有專家認為交給當事人自行約定,另有專家認為這剝奪了平臺基本的數據統計功能,保留不用便可防止濫用,不必刪除抹去。有學者認為第23條的合併分立應加上破產情形,以應對破產後個人信息的大量處理工作。還有學者在此基礎上提出要考慮破產後信息歸屬問題。此外,有專家針對第24條提出了幾點建議:首先,第24條以及很多條款都基於單獨同意,應當考慮到13條的合法權益,增加例外情況。其次,因為匿名化的信息不可能再被是被,建議第二款中的「匿名化」改為「去標識化」。
關於第二十五條和第六十七條的自動化決策,專家提出幾點看法:其一,提出透明度更多是宣誓性作用,在機器深度學習、涉及商業秘密等情形下很難實施,確定透明度的邊界還是個問題。其二,建議刪除「保證處理結果的公平合理」中的「結果」二字,主流看法認為自動化個人信息處理不僅要保證結果的公平合理,也要保證程序公平合理。其三,「重大影響」很難界定,我國採用主觀判斷方法,個人認為有重大影響便可行使說明權,會給企業帶來沉重負擔。並且這裡的說明對象也需要進一步解釋,只需要對結果進行說明還是需要對整個系統設置等更多的內容進行說明。其四,商業實踐中採用的手段不限於自動化決策,還包括非自動化決策,這裡限制了個人信息權利的範圍。最後,認為第67條對於自動化決策的定義過窄,實際上自動化決策不僅僅包括對個人的經濟、健康信息狀況的評估,比如自動駕駛便不涉及到評估行為,而第25條對於自動化決策的規制又較為嚴格,這在實踐中會存在一些問題。
有專家提出並非所有的人工智慧技術都是可以解釋的人工智慧,這種法律願景非常難實現。對於某些業務,自動化決策是個人信息處理者提供服務類型的必要條件,建議參考GDPR第22條增加三個例外,即履行合同所必需、法律和相關法規授權、數據主體明示同意。並且專家提出如果自動化決策涉及到個人敏感信息,在自動化決策前是否需要清晰說明所用到相關信息,或者需要單獨同意、明示同意。
關於第二十七條安裝設備,有專家建議將第27條的「為了公共安全」調整到句首,表述更加明確。因為現實生活中很多並不是為了公共安全,比如刷臉門禁是為了身份識別的便利性而安裝信息設備,一律禁止與立法目的也有所牴觸。還有學者指出該條款中「圖像識別」涵蓋太寬泛,應該限制在指紋、虹膜此類生物識別,排除刷身份證、消費卡此種生活情形。現在身份識別技術用的過多,應當規定安裝此類信息設備進行必要性論證,在沒有替代性技術的情況下才能使用。其他學者也強調該條目的在於防止核驗、一對多、監控等行為,已經收集信息進行身份核對的不應納入其中。
關於第二十八條公開信息,有專家對此條規定持肯定態度,已經公開的信息無需再徵詢個人同意,對於公開信息可以參考侵權法的通知刪除制度,進行弱保護。各位就第28條的「公開」概念展開了討論,提出了一些觀點:線下公開場所被拍攝放到網上可以適用侵權法、線下公開的隱私期望比較高、線上公開由於可以回看和傳播範圍大的特點要格外保護等。有學者提出在自動駕駛此種情形下,難以告知,建議採用侵權規則,規定超出相關合理範圍使用信息不應當侵害自然人相關個人信息權利。還有學者指出第28條的「重大信息」應當進一步明確,否則會給技術發展帶來不必要的負擔。並且第二款掙得他人同意,可以參考GDPR第21條的2、3、5條款,個人享有拒絕權,公開後相關當事人可以拒絕,如此實操效果會更好。有學者認為第25條和第28條中「重大影響」改成「對個人權益造成重大影響」更為清楚。
關於第二十九條到第三十二條的敏感信息,多位學者認為我國在對敏感信息的定義中增加了「導致個人的人身財產安全受到嚴重威脅」,但問題不在於信息本身,而在於信息使用的方式。草案對於敏感信息的定義採用了抽象和具體相結合的方法,對此各位學者展開了討論,有專家認為個人敏感信息的範圍劃定的越小越便於操作,可以參考GDPR第9條的窮舉法,抽象和具體兼顧在操作上很困難。有的學者則認為GDPR對同樣的概念也存在不同的解釋,法律本身定義清晰很難,立法上保持模糊反倒留出更多解釋空間。重點還是要看隨著技術發展,在個人信息廣泛使用的未來,如何有機銜接抽象和具體兩種定義方式。其他學者隨後對立法模糊表示理解,認為敏感信息條款的最大問題在於如何處理與第13條合法性基礎的關係。
關於第三十三條到第三十七條的國家機關,各位學者對國家機關處理個人信息的規定持基本認同的態度。有專家指出第35條的取得同意條款與第13條法定職責無需同意有衝突,需要解釋調和。還有專家認為本章主體範圍過窄,建議增加為國家機關、承擔行政職能的法定機構及其工作人員,與民法典第1039條保持一致。
第三章 信息跨境提供的規則
關於第三十八條和第三十九條信息跨境的條件,專家認為第38條相較網安法有了很大的進步,但認證機制和以後企業主要依賴的合同如何實施還有待細化,此外,專家建議可以刪去「本地存儲」,首先達到多大的信息量要求存儲難以明確,其次,對於數據支付、涉及未成年等敏感重要信息要求本地存儲尚可以理解,要求一般個人信息也要求本地存儲不太適當,其他國家也未有此類規定。還有學者認為跨境信息問題上設置個人單獨同意規則不太合適,信息能否出境屬於國家公共安全的問題並非純粹涉及個人利益,不宜交由個人單獨決定。另有學者指出第39條的單獨同意未必是基於同意,比如基於僱傭合同的合法性利益便無需個人同意,並且就算符合第38條的評估等條件,也要保留個人的反對權,使其個人信息不出境。其他專家提出個人信息保護認證缺乏執法權力,具有很大的實踐困難。參考歐盟新版的SCC,要考慮到跨境情況下的歐盟認定標準。
有專家認為第38條和第39條應當結合起來解讀,只有當無法適用第38條時,才適用第39條作為保障,如此便開闢出一條無需徵求個人同意的綠色通道,比如說跨國公司集團內部的個人信息,包括數據轉移、勞動僱傭的記錄、人事關係等。還有專家建議刪除第39條,規定只要是個人信息處理者向境外提供個人信息都需要徵得個人同意,在之前談到的機器學習、人工智慧、自動駕駛等場景下,尤其涉及到跨國的全球化運營時,會對效率、成本造成極大的負擔。
有學者提出要思考個保法的定位,個保法應當立足於保護個人權益,鼓勵個人信息的有序流動,涉及到國家利益的部分應當由數安法來規制。對於企業倆說,需要通過第38條規定的評估或認證,如果選擇第三款的合同也會擔心不夠充分。在數字經濟全球競爭的格局下,國內企業走出去是一個雙向的過程,既要流出也要流入,持有大國心態就不能過於守勢。建議在38條增加一款,明確規定個人信息處理者處於業務等目的,需要向中華人民共和國境外提供信息的,應當確保達到本法對自然人的保護程度,參考GDPR的數據保護窪地流動思路,將安全問題放到數安法中規定,達到網信部門規定數量或者其它標準的數據,不再稱之為個人信息而是重要數據。有專家對以上思路表示肯定,建議將本地存儲的規定放到網安法中,同時具體個保法第38條的細則來指導安全評估,在個保法中規定本地存儲會產生一種封閉式的觀感。
關於第四十條關鍵信息基礎設施,有專家提出關鍵信息基礎設施的認定需要進一步澄清,僅僅是在關鍵信息基礎設施上面運行個人數據時的出境會受到管制,而其它的正常業務所處理的個人信息不受其管制,還是不論運營何種數據,不論在關鍵信息基礎設施上還是之外都要受出境的管制。有學者認為第40條要求將個人信息存儲在中國境內,不利於我國數字經濟發展,需要立法智慧和技術將其限定在最小的範圍內。基於草案規定,跨國公司在中國進行投資時,為了將個人信息存儲在中國境內,不得不多部署孤立的IT架構,如此高額的成本會阻礙跨境投資。並且將個人信息存儲在中國境內的嚴格要求往往與國家安全相掛鈎,要注意個保法和網安法、數安法的定位不同。
關於第四十一條司法行政協助,學者提出第41條的行政執法協助範圍非常廣,還涉及到公司內部調查,而且各個國家法律不一樣,需要進一步協調和明確。
有的學者對本章持積極態度,認為個保法在信息跨境方面的靈活性很高。首先,草案規定達到一定數量才需要評估,而且安全評估是基於風險考慮,並非行政許可意義上的嚴格評估,不要求一事一議或者不現實的事先批准。其次,在評估認證之外還設有合同渠道,後續網信辦會出臺具體細則,相信對於集團內部信息流動的特殊情況也有有所調整。
第四章 個人在個人信息處理活動中的權利
關於第四十四條知情決定權,有專家反對第44條的決定權表述,容易和國外的個人信息自決權混淆,而且個人信息涉及多重利益,個人根本無法決定。
關於第四十五條的查詢複製權,有專家提出第45條的查詢複製權已有糾紛顯現,信息的範圍如何確定、查詢費用如何分擔等,可以參考行政法的信息公開和公司法的股東查詢權的有關規定。有專家認為為了平衡兩端利益,查詢複製權應限制在合理範圍內,超出合理範圍應當支付對價。
有專家在發表對該條的意見時,首先提出刪除權要考慮到現在的區塊鏈技術,區塊鏈的核心就是在於建立信任機制,讓信息不能夠隨意篡改或者刪除,與草案的刪除權有所衝突。在能夠刪除情形下,比如用戶運用最普遍的聯盟鏈,刪除成本非常之高。並且刪除區塊任意一條信息會打亂整個區塊,甚至幹擾到非個人信息。其次,如果法律和行政法規保存期沒有屆滿,主體又請求刪除,就會造成權利衝突,有的人認為這裡可以理解為刪除義務的豁免,先停止處理即可。建議表述為停止公開或者再加以利用,更為準確。最後需要進一步明確刪除和更正的含義。刪除包括物理上直接清除數據、直接加密格式化、覆蓋掉原數據、設置加密訪問權限等,甚至匿名化也符合歐盟的刪除要求。而更正包括把原來信息刪掉發布新的信息、發布公示說明信息錯誤、直接發布新的信息而不處理原來信息等。有專家提出信息和數據屬於內容和形式的關係,只要達到不侵犯個人的人格的權利便為更正,可以設置訪問權限,切斷個人信息與個人的聯繫,而不用把整個數據刪除,這也減輕了企業的壓力。
關於第四十七條的刪除情形,有學者首先贊同刪除應慎重,參考GDPR,違法的違約應當刪除,但僅屬於違約糾紛或者是法律未確定性質還是不要刪除為妥。建議第47條第三款加上「基於同意」的前置條件,即基於同意則個人撤回同意,第47條第四款刪除「違反約定」,保留「違反法律、行政法規」。其次,可以設立刪除的例外情況或為信息處理者保留信息建立抗辯權,以緩解企業刪除信息後的高額損失。最後提出,在特定場景下,可以採用匿名化的手段實現刪除的效果。有專家提出第47條一個語詞上的問題,第一款和第二款屬於信息處理者主動刪除,第三款和第四款屬於個人請求刪除,倘弱目的實現或期限屆滿但個人未提出請求時,信息處理者是可以不主動刪除。
第五章 個人信息處理者的義務
關於第五十條信息處理者的義務,有學者建議第50條可以參考GDPR增加中小企業的豁免,比如網上電商或者小微企業獲取了很多個人信息,但要求其嚴格履行管理職責不現實,在整個第5章都可以規定此種豁免。
關於第五十一條個人信息保護負責人,專家就第51條達到規定的數量要指定信息保護負責人,提問這個人的作用到底是什麼,僅僅為網信辦提供聯繫嗎,外企能否在境外設置聯繫人。還有學者認為個人信息保護負責人是為了盡責,對外公開你的姓名聯繫方式,包括起到聯絡作用。有專家認為負責人應該設置在境內,便於網信辦聯絡,內部權限再具體溝通。有學者建議51條第二款改為公開機構的聯繫方式,因為個人流動是很快的,具有較大的不確定性。
關於第五十四條風險評估,專家提出第54條需要評估範圍太大,偶爾的情況也需要評估,負擔未免太重,建議參考GDPR限定「大規模」,比如大規模處理影響個人信息或者是利用個人信息進行大規模的自動化決策,或者說委託個人信息處理向無關第三方提供個人信息或者大規模發布個人信息。有學者建議在54條第二款利用個人信息進行自動化決策,加上「對個人產生影響」這一限定條件。有學者表示贊同,比如內部決策便不需要評估。還有學者則認為評估了才知道是否有影響,這裡EIP評估應當靈活解釋,如果內部已經做過評估對個人沒影響便可。
關於第五十五條個人信息洩露,專家建議刪除「個人信息洩露的原因」,在實踐操作中找出問題可能要花費很長時間,信息洩露原因當然需要匯報,但是可以放寬到之後匯報。有專家也提出可以改成立即採取措施和及時通知。還有學者指出網安法中就刪去了「及時」,這是考慮到洩露後沒有相應補救措施,告知範圍越大反而安全越差。程序上,該位學者提出通知時間上應該區分規定向政府匯報和通知個人。有專家認為影響比較小的洩露也需要通知監管部門,過分嚴格,另外如果影響比較大,但企業及時補救且影響較小,可以不需要通知監管部門。還有專家建議明知濫用也應當負有告知義務。
第六章 履行個人信息保護職責的部門
關於第五十六條執法機構,有學者指出縣級執法能力不高,可以規定註冊地所在地將執法權限提升到省級。專家討論又提出,根據草案全中國所有的縣級以上機關都有執法權,但理論上只有國家一級的機關最多到省一級在執法上具有有一定的專業性。大量的縣級部門的執法能力薄弱,這樣會造成執法不統一。歐盟GDPR選擇了一站式執法,中國怎麼考慮一站式執法以及多個機構的一致性執法,還是需要討論。
有專家提出本章的核心在於所規定的權利義務是不是可以直接進行起訴。GDPR認為信息糾紛具有專業性,要先去監管機構提起申訴,不滿去法院提起針對監管機構的複議或者司法審查。這方面我國更像CCPA,個人可以向加州總檢察長提出訴訟,加州總檢察長有權罰款,還可以提起公益訴訟。我們立法體例上來說採取GDPR的方式,但是從執法上採取CCPA的模式,具體是否直接起訴,還是需要先去網信辦投訴尚不可知。各位學者還討論了針對查詢複製刪除更正而產生的糾紛如何處理,這對於法院和行政部門都是難題。
關於第五十九條執法措施,有學者提出涉及到國家安全便交由公法規制,個保法本質在於保護私權,但第59條有關部門採取措施的權力太大,詢問調查查詢複製會破壞信息處理者的保密義務,並且封存扣押此類手段過於嚴格,會對企業造成嚴重的損害。並且從國際視角來看,歐洲很難認同我國這種監管機關直接介入的執法方式。所以建議設定啟動閥門或者通過第三方授權機制或者評審機制才能採取此種嚴厲措施,如果法院能充當第三方還能保留當事人司法救濟的權利。有專家以雲服務為例,指出第4款查封、扣押個人信息處理者的設備和物品還會對其他無關客戶造成嚴重影響。另有學者認為如此嚴厲的措施會對我國企業的國際發展造成很大阻礙,必須設有正當程序的限制。
第七章 法律責任
關於第六十二條處罰措施,有專家認為62條第二款適用前提中的違法行為規定太泛泛,懲罰措施又很嚴厲,而且自由裁量權很大,建議能夠具體指出前述哪些違法行為適用升格處罰。還有學者指出第二款的嚴重處罰比較極端,更常見的還是適用第一款的一百萬以下罰款,自由裁量權很大,同意建議具體第一款的違法行為。
各位學者對第62條5%的罰款規定展開了討論,有專家提出中國市場是嚴格割裂的市場,而且又是高監管的部門,像雲服務只能交給合資企業來做,如果5%針對的是全球收入,收入不多,罰款太重,有失公允,很多學者也認同這條規定的罰款太重。有專家提出5%主要發揮一個震懾作用,一來罰款受限於法定裁量,二來真達到5%的嚴重程度,直接適用刑罰,未必真罰款5%。有學者表示同意,我國立法常常是高高舉起,輕輕放下。
對於歸責原則,有專家認為設立過錯推定和無過錯責任要面臨職業索賠的壓力,適用無過錯責任需要考慮到個人信息侵權的性質以及政策考量,適用過錯推定責任需要區分敏感信息和非敏感信息、區分不同的個人侵權行為類型來進行判斷。認為第65條「可以減輕或者免除」不妥當,「可以減輕」實際上相當於無過錯責任,但個人信息侵權的危險程度又尚未達到此種規制必要,建議刪除「可以減輕」,直接規定過錯推定責任。有學者也提出過錯推定的情況下,信息處理者也很難證明自己沒過錯,但賠償責任又很重。
第八章 附則
關於第六十九條的匿名化和去標識化,有學者提出匿名化的定義問題,到底要求所有人都無法識別還是部分人無法識別即可。有專家順勢提出了醫藥領域的例子,除醫院以外,其他人只能掌握性別、年齡、症狀等信息,無法特定到具體自然人,此種情形是否屬於去標識化。
有專家首先提出跳出網際網路行業的局限,關注到醫療、金融等其他領域的信息化問題。我國匿名化規定「經過處理無法識別特定自然人且不能復原」,個保法草案所採用的標準比GDPR更嚴格,而現實中存在雖掌握信息單主觀上並不想識別的情況。所以建議提高該款的容納性,能夠將主觀動機解釋進去,不應當苛責盡到主觀努力並缺少使用動機的主體,如此才能鼓勵企業積極合規,實現數據流通使用與數據保護的利益平衡。
有學者從其雲服務行業的角度,提出參考GDPR對於信息擁有者和使用者的區分,有些企業雖然處理存儲了大量的用戶信息,但實際很難進行保護和控制,個保法應當區分規定不同行業的責任義務。對此有專家援引個保法草案第69條第一款進行了簡單回應,非自主決定的情形不必負擔其中規定的義務。
本次研討會在各位專家學者的熱烈討論中完滿結束。
本文首發於微信公眾號:數字經濟與社會。文章內容屬作者個人觀點,不代表和訊網立場。投資者據此操作,風險請自擔。
(責任編輯:冉笑宇 )