据天津大学法学院消息,2021年6月12日,作为该院复建六周年(建院126周年)系列活动之一的“个人信息保护与数据安全研讨会”采取线上线下相结合的方式成功举行。此次研讨会由天津大学法学院、国浩律师(天津)事务所、天大-国浩共建数字法治研究中心和天津大学中国智慧法治研究院主办。
天津大学法学院院长孙佑海教授、清华大学法学院院长申卫星教授、华东政法大学数字法治研究院院长马长山教授、中国人民大学信息法中心主任张新宝教授、清华大学法学院副院长程啸教授、浙江大学王春晖教授、中国人民大学法学院副院长程雷教授、西南政法大学刑事侦查学院梁坤教授、北京航空航天大学法学院裴炜副教授以及来自北京交通大学、国浩律师事务所等十余家高校、学术机构和律所的专家学者出席本次研讨会,两百多名专家和学生线上参会交流。
本次研讨会以个人信息保护与数据安全为主题,深入研讨了个人信息保护的相关内容,从理论和实务的角度论证和探讨了个人信息保护立法的进程和现状,对《个人信息保护法》(草案)和最新出台的《数据安全法》中的核心问题进行了研讨,并就未来的立法和法的实施提出了新的思路和修改建议。
一、开幕式
首先,天津大学法学院院长、博士生导师孙佑海教授致辞,孙院长首先介绍了天大法学院源远流长的历史,对与会嘉宾表示热烈的欢迎。接着,孙院长强调本次研讨会开展的必要性和重要性,希望藉由各位专家的共同智慧促进立法,合理规范对个人信息的保护和利用,强化国家对数据安全的科学管理。
开幕式由天津大学法学院博士生导师、天津大学国家制度与国家治理研究院副院长熊文钊教授主持。
二、第一阶段主题发言
第一阶段的主题发言由天津大学熊文钊教授主持。
1.清华大学申卫星教授作“个人信息保护的利用和平衡”发言
第一部分,介绍了个人信息保护与利用平衡原则得以确立的正当性基础,主要有三点理由:第一,信息与隐私不同,隐私注重个人的生活安宁,信息解决不确定性,信息只有交流才能发挥作用。信息的融合利用能够发挥数字社会中的倍增效用。第二,信息的客体是无形的,信息边界相对模糊,风险不能被消除,只能坚持风险治理的理念。第三,《个人信息保护法》(草案)的一、二稿第1条确立了该法的规范目的,体现了规范个人信息合理保护与利用平衡理念。
第二部分,梳理了具体的六个重要制度。第一,知情同意原则是意思自治在个人信息保护领域的具体化,是利用与保护最重要的平衡器。一体两面,信息可以被利用,但要得到主体同意。同意包括概括同意与单独同意、默示同意与明示同意适用不同情形,体现保护与利用的平衡。同意的基础上促进利用是以后立法要着力解决的重要问题,草案中规定了个人信息保护同意的例外,一定情况下可以免除知情同意。13条第1款第1项要求告知义务,2-7项免除告知义务,体现了保护与利用平衡的理念。第二,第15条规定,处理不满14岁的未成年人信息时应取得未成年人父母或其他监护人的同意,应恢复一审稿中关于“知道或应当知道”的主观要件,否则所有人都要证明自己不是未成年人,反而会加重每个人信息可及性的负担,同时未成年人的父母等监护人也应承担网络使用的监护责任,这体现了自治和法治的平衡。第三,第25条规定自动化推送的规则,并进行了区分。自动化推荐如格式条款一般兼具利弊,有必要进行区分规制:自动化推荐是默示同意,自动化决策是明示同意。第四,个人信息主体既要有权利,也要有一定的义务。例如,对于个人信息主体的查询、复制、更正、删除权利的行使,也要防止权利滥用,权利和义务应当平衡。第五,第57条规定了分级三类管理。由于各平台的体量不同,平台的义务也应不同,不能一刀切,该规则了体现了风险治理的原则。第六,要坚持企业、行业自律和他律结合,他律包括第三方的审计和评估。申教授认为应当构建惩罚性赔偿的制度。
2.华东政法大学马长山教授作“个人信息保护的深层问题”发言
第一部分,厘清基本概念。信息概念的界定一直很模糊,原来的立法并未区分信息与数据。本次立法两法分立,《数据安全法》第3条规定数据是指任何以电子或其他形式对信息的记录,这表明数据是载体、表现形式,信息是内容。但是,立法还未说清楚信息是什么。如果信息概念不清,属性就会不明,范围也就会模糊。
第二部分,信息的确权。个人信息保护法草案没有走权利确认的路径,走的是权益保护路径,草案对其进行了模糊化处理,没有按照人格、财产权的关系定位,走向注重处理过程的行为定位。因此,无法再采用以前的关系框架来规制,而应当构建新型的行为框架和规范,它有别于原来框架的原则、规则和责任体系。例如,知情同意和民法上的意思表示就不太一样,知情同意的性质、状态和范围等,在不同应用场景中是不同的。其合理的目的、最小的范围如何界定,也都需要深入研究。
第三部分,法律规制与技术规制相结合。仅仅有立法规范个人信息的处理活动是不够的,在法律规制为主导的同时,也应关注技术规制,技术问题由技术创新来规制是个好的办法。《个人信息保护法》(二次审议稿)明确提出“国家支持数据开发利用和数据安全技术研究”。例如,数字公民的身份证技术就可以解决很多个人信息的收集、处理行为。立法通过法律规制加技术规制,可以使得个人信息更加规范、安全。
3.中国人民大学张新宝教授作“个人信息的人身非财产性”发言
第一部分,个人信息的属性。法律对个人信息和数据进行了定义,信息的定义仍需完善。对个人信息保护的研究有几个不同的群体,有计算机群体、有法学群体,法学群体又分几部分,有法理学的老师、行政法的老师、民法的老师。学术群体具有不同的知识体系,各主体都结合自己的背景知识研究,同样也会受到局限。比如,知情同意与民法的意思表示是存在区别的。又如,个人信息被处理后,有可能对人格权益带来某种影响,但处理后对个人既不增加财产也不减损财产,处理错了也可以联系修改,因此很难说是民法上的实体权利,张新宝教授倾向于不用传统实体权利去界定个人信息。个人信息的财产性是值得商榷的。谈财产必然谈权属,谈个人信息则是属于个人所享有的非财产性的权益。别人处理信息并不给钱,因为信息被处理、发表获益是由于著作权,不是由于个人信息的财产权属性,因此采用财产权定位是不符合个人信息保护的定位的。有人认为个人信息的大规模利用产生强大的经济效益,但这种信息不是属于个人的,这种信息集合不同于个人单个的个人信息。个人信息具有规模后才能产生效益,但这是大数据产生的价值。虽然个人对信息(数据)的集合有贡献,但这可忽略不计。把财产价值配置给经济处理者,注重个人信息的人格利益,更有利于个人人格的保护。
第二部分,重视微信、淘宝等头部企业的个人信息保护义务,建立守门人制度。二审稿第57条有了初步规定。问题是,第一,守门人的概念、范围需要明确,根据用户、日处理量、营业额等作为标准确定。张新宝教授认为最多不超过100个。应当分门别类,比如应区别做生态的腾讯,做系统的华为等。第二,以外部机构对个人信息处理进行监督,是否会导致个人信息广泛被外部利用。涉及到隐私政策,是否建立了相关机制,应当根据程序性事项写明,监督的时程序合规,不涉及具体的个人信息和企业数据。第三,应规制头部企业把义务转化为权利,规制其把竞争对手剔除出去搞“二选一”的做法,要明确相关义务。第四,守门企业是全流程的参与个人信息保护,立法应当跟进全流程。第五,社会责任。如何与上市公司年报、半年报结合起来、是单独还是融入年报、是否定期发布都还需要有细化规定,法律还需配套的技术性规范。
4.清华大学程啸教授作“我国个人信息保护法中个人信息处理规则的发展与完善”发言
个人信息保护法涉及方方面面的问题,之所以我国要单独制定《个人信息保护法》,主要就是为了规范个人信息的处理。《个人信息保护法草案》的第二章详细规定了个人信息的处理规则,再加上第三章个人信息的跨境提供,那么该法关于处理规则的条文就有31条,占整个草案73条数量的将近一半。个人信息保护中的个人信息权益不同于民法中的个人信息权益,个人信息上承载了各种类型的权利和受保护的利益权益,所以,除了民法规则侧重于从民事权益的角度加以保护外,还应当以《个人信息保护法》来实现个人信息的保护和合理利用,尤其是通过个人信息处理规则实现对个人信息权益的全方位的动态性的保护。
目前我国《个人信息保护法》(二次审议稿)对处理规则做了很多丰富发展,具体表现在:第一,明确了知情同意规则的基本规则的地位,告知同意不是意思表示,而是违法阻却事由,另一类违法阻却事由是由草案第13条第1款第2-7项规定。二审稿突出了知情同意原则的地位,是对于个人信息处理规则很重要的发展。第二,对告知义务的规定,告知同意规则由两部组成,一是告知,一是同意,前者可被称为告知义务。二审稿19、35条规定了免除告知义务的情形,采取的是一般规定加特殊规定的模式,同时明确要求告知义务应当以显著、清晰易懂的方式履行。第三,对同意规则和例外的规定。同意的规则也值得研究,其中同意要件的研究是重点。一个有效的同意至少包括四个要件,即同意能力、充分的知情(告知义务)、自愿、明确的同意。对同意要件的规定对于保护个人信息权益是非常重要的。第四,多数人处理信息的规范。实践中处理信息的人数为多数的情形是很常见的,草案第21-24条分别对共同处理、委托处理、个人信息转移、向他人提供个人信息等四种情形作出了规定,尤其是确立了共同处理侵害个人信息权益的连带责任,第21条第2款属于一个独立的连带责任的请求权基础。第五,二审稿首创了我国法上对敏感和非敏感信息的区分,这种区分不同于《民法典》中私密信息和非私密信息的区分,后者侧重从隐私权等民事权益的角度进行区分,以决定侵权责任的类型。而在个人信息保护法中区分敏感信息与非敏感信息,对于构建个人信息处理规则,精准执法、降低合规成本等都非常必要。
5.浙江大学王春晖教授作“构建数据私权至上的个人信息保护法律制度”发言
数字时代,“数据”主要是附着在电子信息系统载体的客观事物记录,是未经过处理的原始记录,包括结构化、半结构化和非结构化数据;“个人信息”主要是以电子方式记录,能够单独或者与其他信息结合识别特定自然人的信息,而“数据”之前加“个人”,即“个人数据”也属于“可识别”的“个人信息”。
我国个人信息保护立法充分借鉴了国际组织和一些发达国家的个人信息保护立法的先进经验。目前,从国际组织和国外一些先进的立法经验看,包括GDPR、OECD “隐私框架”、APEC “隐私框架”、欧美“隐私盾”、美国“消费者隐私权法案”、《美国加利福利亚消费者隐私法案》(CCPA)等个人隐私信息保护方面的立法,均强调未经被收集者同意,不得收集和向他人提供个人隐私信息,特别是欧盟将个人信息权看作一项基本人权,个人数据保护的重要性在于对基本人权的保护,对人格尊严的尊重。
纵观我国的《网络安全法》、《民法典》,以及我国《个人信息保护法(草案)》的两次审议稿,我国个人信息保护立法始终坚持了“以人民为中心”的理念。因此,我国个人信息保护法有必要构建数据私权至上的个人信息保护法律制度体系。需要指出,网络平台时代的个人信息从一开始就与自然人主体分离,而且不断在数字平台上聚合。所以,个人信息保护是基于对个人信息消极权利的尊重,即公民作为信息内容的主体有权知悉和决定其个人信息在何时、何地及以何种方式被何人控制和处理。
《个人信息保护法(草案)》对个人信息权益的保护中集中体现在“草案”六条处理个人信息的两个“最小”,即“应当限于实现处理目的所必要的最小范围”和“采取对个人权益影响最小的方式”。“最小范围”和“最小影响”是“草案”总则中一项非常重要的原则,建议个人信息保护法要强调和突出这两个“最小”,并贯彻到整个立法中。同时,要严格限制对个人敏感信息的处理。
总体来看,当前和未来一段时期我国个人信息安全保护边界的基本要义是在确保个人敏感信息不受非法侵害的基础上,促进个人信息资源在“知情同意、合法、正当、必要”原则的基础上,遵循“实现处理目的的最小范围”和“采取对个人权益影响最小的方式”,进行合情、合理、合法的开发和利用。
6.天津大学孙佑海教授作“《数据安全法》实质问题研究”发言
发生论。主要是法律出台背景、立法政策等的梳理。第一,维护国家安全的需要。数据是国家基础性战略资源,没有数据安全就没有国家安全。第二,控制安全风险的需要。当前,各类数据的拥有主体多样,处理活动复杂,安全风险加大,必须通过立法建立健全各项制度措施,切实加强数据安全保护,维护公民、组织的合法权益。第三,支持数字经济的发展。通过立法规范数据活动,完善数据安全治理体系,以安全保发展、以发展促安全。第四,推进政务科学发展的需要。通过立法明确政务数据安全管理制度和开放利用规则,大力推进政务数据资源开放和开发利用。
定位论。第一,把握正确方向,贯彻整体安全国家观,坚持党对数据安全的领导。第二,基本原则是“一体两翼”,一方面鼓励数据的开发利用,一方面保障数据依法合理利用。第三,数据安全法的性质是行政法,个人信息保护法的性质是民法的特别法。行政法应当坚持义务本位,义务优先。第四,数据安全法是数据领域的基础法律。
制度论。第一,建立数据分类分级管理制度,建立数据保护目录,保护列入目录的重点数据。第二,建立集中统一、高效权威的数据安全风险评估机制。第三,建立数据安全应急处理机制,有效应对和处置数据安全事件。第四,与有关数据安全制度衔接,建立数据安全审查制度和出口管制制度。第五,针对一些国家对我国相关投资和贸易歧视做法采取有针对性的制度和措施。第六,数据安全保护相关主体的义务制度。第七,法律责任制度。
三、第二阶段主题发言
第二阶段主题发言由天津大学副教授王燃主持。
1.中国人民大学程雷教授作“刑事司法中的个人信息保护”发言
第一部分,个人信息保护在刑事司法领域的定位,是例外还是特殊领域?现在的个人信息保护法对刑事司法领域基本处于一种漠视的状态,这也不仅仅是中国独有。绝大多数国家无视刑事司法领域的个人信息保护。一种观点认为刑事司法领域没有规定个人信息保护,那么就笼统适用一般意义上的个人信息保护,这样显然是很难的。在立法论上还没有做出特别好的一个制度安排,这就存在很大的问题,因为个人信息保护上最深刻的教训都是来自刑事司法领域,刑事司法领域的权限显然是非常大的,应当明确立法上的态度:刑事司法领域是个人信息保护的特殊领域,不应当作为例外排除在个人信息保护的立法框架之外。
第二部分,个人信息保护法出台以后,与刑事诉讼法传统的规制工具(即隐私权)到底是什么关系?我们传统上通过隐私来间接保护个人信息,这个与各国刑事诉讼法发展的历史也是有关系的。2012年大规模进行的刑事诉讼法的修改,当时我国还没有完全进入到信息社会,当时规范技术侦查的时候还没有预料到个人信息成为了司法机关办案主要的工具,滞后于我国信息技术的发展,技术侦查规范在个人信息保护上是不足的。
第三部分,《数据安全法》35条应该怎么解读?本法第35条规定了调取数据的基本条款,在这条法规中没有用技术侦查而是使用了新的术语,我理解这和我讲述的第二条有关系。立法者和司法执法机关已经意识到调取数据和传统的技术侦查是有区别的。但这一条仍然没有规定使用和分析,实际上这一条也具有局限性,其仍然沿用我国之前技侦的表述,这一点我是存疑的。技术侦查程序规定的信息规范过于僵化,不适合我国现在的需要。这值得进一步的解读和研究。
2.北京航空航天大学裴炜副教授作“网络信息业者协助侦查中的信息主体告知义务”发言
《个人信息保护法(草案)》内容涵盖私领域和公领域,但对于公领域特别是刑事司法领域的特殊性关注不足,致使二者存在明显的张力。以知情同意原则为例,其是《个人信息保护法(草案)》制度设计的基本逻辑起点。这一原则实则包含两个部分:一是知情,二是同意。知情是所有权利保护的开端,无论之后对于个人信息的处理是否需要信息主体同意,都需要以知情作为一项基本前提。因此对于权利的减损有一个阶层性:先减损同意,再减损知情;而一旦减损知情,同意亦无从提起。《个人信息保护法(草案)》第13条明确列举了处理个人信息无需同意的具体情形,其中包括“为履行法定职责或者法定义务所必需”。对此,无论根据《刑事诉讼法》还是《网络安全法》,犯罪侦查均属于此种情形。但此时仅免除信息处理者获取同意的义务,如果要进一步免除其告知义务,则需要进一步看是否存在符合《个人信息保护法(草案)》第35条的情形。根据该条文,国家机关处理个人信息时免除告知义务主要基于两种情形:其一是法律、行政法规有保密规定;其二是个案中告知可能妨碍国家机关履行法定职责。就前者而言,犯罪侦查中仅技术侦查措施涉及此类要求,而调取措施不在此类,因此该情形的适用范围有限。就后者而言,尽管取决于侦查机关的个案裁量,但该裁量权本身需要有明确的法律授权。《刑事诉讼法》目前尚未针对个人信息保护形成“有碍侦查”下的义务豁免,这与刑诉中其他因“有碍侦查”而豁免特定义务的情形形成鲜明对比,因此后者的正当性在实践中同样存在疑问。上述问题的解决有赖于个人信息保护制度与刑事诉讼制度的进一步融合和衔接。
3.西南政法大学梁坤教授作“调取数据之‘经过严格的批准手续’之理解”发言
第一部分,调取数据之“经过严格的批准手续”之定位。《数据安全法》35条规定,调取数据要“经过严格的批准手续”,从这样的一个条文来看是和刑事诉讼法的技术侦查的表述完全一致的。经过严格的批准手续,面向的是谁?通过对立法目的的剖析我们认为主要是对掌握信息的第三方网络信息业者。由此,经过严格的批准手续的第一个目的就是保障第三方平台数据安全、用户数据安全。《刑事诉讼法》没有做的事情,《数据安全法》为我们做了。第二个就是要落实第三方平台的责任。
第二部分,调取数据与技术侦查/调查的批准手续的关系。在监察机关十五项调查措施中,经过批准手续不仅仅适用于技术侦查,还包括其他调查措施。而如果没有监察法或刑诉法的规定,那么《数据安全法》种“经过严格的批准手续”也就没有存在的意义。
第三部分,调取数据“经过严格的批准手续”如何在刑事程序中落实?《数据安全法》第21条做了非常原则性的规定,需要各地区、各部门进行细化。其次是要探索刑事程序中数据安全的分级分类保护,并对批准手续予以区分。如果没有这些规定,数据安全法的宽泛规定很可能成为一纸空文。至于如何落实这些规定,还有待我们在未来进行研究。
4.国浩律师(北京)事务所胡静律师作“数据跨境传输的路径探讨”发言
个人数据跨境传输的困局在实践中极易遇到。比如,在跨境并购中,中国企业对欧盟境内并购标的员工劳动合同的审查会遇到GDPR的阻碍。并购完成后,中国买方在投后出于人力资源管理的目的也很难获取欧盟境内公司员工的个人数据。
个人数据跨境传输路径的探讨,先从欧盟看起。个人数据跨境的首选路径要去看是否在欧盟的白名单里,目前中国尚不在名单里。除首选路径外,常规路径是看数据控制者是否采取适当的保障措施,且数据主体是否能行使权利和获得司法救济。是否有适当的保障措施,可以从BCR、SCC等方面去判断。在中欧的数据传输中,SCC用的比较多。前几天,欧盟更新了新版的SCC,跟上一版SCC有了重大的变化。如首选路径和常规路径都不满足条件,则需要看是否满足GDPR的特殊豁免情形。总体而言,EEA国家向中国的个人数据跨境传输并不容易。
再看美国,目前美国对个人数据跨境传输保持一个相对开放的态度,但对重要数据的跨境传输采取限制措施,例如《出口管制条例》和《健康保险携带和责任法案》中有相关规定。美国采取这样的态度,我个人判断有两个原因:其一,美国数据相关的立法正在进行,从拜登政府的动态来看,未来可能会针对中国的数据跨境传输设置专门的障碍;其二,美国的跨国公司居多,美国政府希望这些跨国公司能够在全球获取更多的数据。
除欧美外,有些国家对数据有本地化存储的要求,例如俄罗斯和印度。俄罗斯也设置了数据跨境传输的白名单制度,目前中国也不在这一白名单里。
最后再看回来中国的数据跨境传输,在刚刚生效的《数据安全法》和还未生效的《个人信息保护法》二审稿里也有相关的制度设置。
总体而言,刚生效的《数据安全法》鼓励数据的跨境流动,积极开展数据安全治理、数据开发利用等领域的国际交流与合作,参与数据安全相关国际规则和标准的制定,促进数据跨境安全和自由流动。需要强调的是,《数据安全法》对于中国企业配合境外的司法或执法机构调取中国境内的数据加强了管理,规定未经主管部门的同意,不得提供,否则将面临严峻的处罚措施。这一规定,在我看来是对美国针对中国的《外国公司问责法案》及相关歧视性制裁措施的反制措施。
《个人信息保护法》二审稿里,就个人数据的跨境传输创设了标准合同制度,如果这一制度最终能落地生效,跟欧盟的SCC相比,中国的个人数据出境时也能要求获得对等保护。
中国的数据立法正在日趋完善,其中关于数据跨境传输的规定也在日趋完善。我们期待这一天尽快到来。
四、第三阶段主题发言
第三阶段的主题发言由国浩律师(天津)事务所管理合伙人曹会杰主持。
1.天津大学田野教授作“个人基因信息的特别保护:正当性与进路”发言
田野教授指出,在数据时代个人信息的种类繁多,遵循普遍的保护制度下,不同的个人信息应有自己的个性,正如人类的基因,不同的碱基对的不同配比形成不同的基因。
而基因检测是产生个人信息的最主要的源头,可能出现于孕妇产前基因检测,雇主挑选雇员,保险公司根据健康情况设置保险,对犯罪嫌疑人进行DNA鉴定,还有儿童天赋基因检测等商业基因检测情形中。基因检测的泛滥,也会导致了基因污名化、滥用、泄露等风险,正如佛山市人力资源保障局案件中,当事人被查出身体中含有地中海贫血基因,因此不得录用,但在随后的起诉中遗憾的是当事人败诉了。
具体而言,基因信息具有5种特殊性:家族遗传性,不可变性、预测性、难以真正匿名化之特性、超高的敏感性。
相应的,基因信息保护的个性化规则包括以下几个方面:
第一,族群的同意问题。因为基因信息的披露必然涉及族群信息的泄露,可能导致族群污名化,比如毛利族群中存在暴力基因,均对族群发展产生了不良影响。
第二,不知情权的问题。当事人是否应该知道自己有不好的基因,如果提前知道会打破人内心的宁静,带来焦虑,反而影响身体健康。
第三,基因信息是否应向近亲属的披露。在患者不同意的情况下,医生是否可以擅自披露?
第四,“匿名”基因信息的保护。如果基因信息匿名,其科学价值就会大打折扣,因此是否需要匿名是需要权衡的。在基因信息中,肯定存在财产利益,这和肖像权不是财产权但存在财产利益是相似的。
第五,基因信息的惠益分享。惠益分享不能绝对而论,需要考察不同情形下的不同种类基因的分享问题。
第六,基因研究中的数据库信息共享问题。
在比较法上,对基因信息的考虑并非空想,主要体现在:《欧洲人权与生物医学公约》第10条第2款:每个人都有权知道有关他自己的任何健康信息,但是,个人不愿被告知的意愿应当被尊重。《为健康目的的基因检测附加议定书》第16条第2款:每个人不被告知基因检测结果的权利应当被尊重。还有联合国教科文组织《世界生命伦理与人权宣言》第6条和我国台湾地区所谓“人体研究法”第15条等规定。
在我国的《个人信息保护法》(二次审议稿)第13条也对此有相应的规定,但是第一款第三项值得商榷。譬如老板对雇员进行基因检测,用人单位是具有维护职场员工健康义务的,但是员工始终不同意。但按照第一款第三项的规定,不管同意不同意都是能够收集。所以是否是需要区分不同情况是个值得考虑的问题。
在我国的《个人信息保护法》(二次审议稿)第14条中,法律规范的主体是个人,尚未规定族群作为个人信息同意披露的主体,可能存在涵摄性不足的问题。
对于不同的场景,可能出现不同的基因信息问题。在医疗场景下,可能涉及基因编辑等敏感诊疗;消费场景下,存在DTC基因检测的乱象;研究场景下,需要探索基因信息合理利用的边界;就业场景下,需要讨论基因歧视的议题;在保险场景下,考虑基因状况拒保问题;司法鉴定场景下,如何进行基因信息的获取也需要讨论。
目前,我国对基因信息的重视程度不高,与人类资源信息等概念上的关系混乱,缺少自己的独立地位。在不同国家,其立法模式也不同。以美国、德国为例,是以基因信息保护专门立法;在GDPR中,是在个人信息保护法中嵌入特别条款;以法国为例,是在《民法典》中嵌入特别条款(概念);另外则是以零散的特别条款进行规定。
曾经在《民法典》的编纂中,如《中华人民共和国民法典人格权法编专家建议稿》(征求意见稿)、《民法典人格权编》(草案室内稿)对生命信息和基因图谱信息有一定的提及,但最终很遗憾没有保留下来。我国的基因信息的特别保护仍任重道远。
2.天津大学刘爽副教授作“隐私政策与 GDPR 的合规性检测技术研究”发言
随着移动设备的普及,包括购物、出行、政务等在内的人们日常生活事务均可通过手机APP完成,在享受移动APP带来的方便的同时,随之而来的是个人隐私数据被各种服务提供商采集利用,以及由此引发的信息泄漏问题。隐私政策规定了服务提供商对用户隐私数据的处理细则,是服务提供商与用户之间签订的有法律效力的协议。因此,对隐私政策的合规性检测尤为重要。意识到个人隐私数据保护的重要性,世界很多国家均出台了相应的法律法规,其中欧盟的《通用数据保护条例》(GDPR)以其适用范围广,处罚力度大而备受关注。因而我们也将GDPR作为范例进行研究。
在GDPR第13条中指出收集和数据主题相关的个人数据时的信息提供。控制者要收集个人数据时,需要提供不同的信息,包括数据存储期限、数据处理目的、联系方式、访问个人数据的权利、擦除或修改的权利、限制处理的权利、拒绝处理的权利、数据携带权、提出申诉权。GDPR第13条中规定的内容,是最直接可体现在隐私政策中的,因此本工作重点研究隐私政策与GDPR第13条的合规性检测问题。
对于合规技术检测的方法步骤主要分三步,第一步是进行规则抽取,即从GDPR中抽取规则。第二步是文本分类,通过搭建、训练模型对隐私政策的句子标签进行预测分类。第三步是规则匹配,依据文本分类结果及规则,得出合规性检测的结果。目前在304篇隐私政策上的验证结果显示,方法准确率达到了90%。我们实现了一个可视化界面,用于可视化显示分析结果以及检测出的合规性问题。
我们对2021年4月的国内官网隐私政策进行分析,包括新闻媒体网站(26家)、政府网站(46家)和国有企业网站(94家),寻找其英文官网的英文隐私政策,并检测合规性。分析结果显示,在上述行业的隐私政策中,经常漏写用户权利问题。由于GDPR规定,凡是处理欧盟数据,都受其管制,故我国各个行业都需要进一步提升数据保护问题。
3.北京交通大学王毅纯助理教授作“《民法典》中个人信息的区分保护路径”发言
王毅纯博士主要讨论了《民法典》中提出的私密信息和一般个人信息的区分,以及《个人信息保护法(草案)》二审稿中敏感信息的区分和保护问题,尤其是私密信息和敏感信息的范围是否存在重合问题,规则适用上是否需要差别对待。
《民法典》第1034条指出了私密信息优先适用隐私权的规定,由此产生了个人信息中的私密信息存在双重保护的问题。基于此,我们应先区分什么是私密信息。《民法典》第1032条规定了隐私的范围,并且明确了私密信息的界定标准为“不愿为他人知晓”,我们可以将其概括为主观秘密性。对于规则适用的核心影响在于《民法典》第1033条规定的侵害私密信息的隐私权的违法性阻却事由与《民法典》第1035条规定的侵害一般个人信息的违法性阻却事由不同,包括另有规定的范围是否仅限于法律、以及同意的主体是否仅限于权利人本人、同意的方式是否仅包括明示同意等。《个人信息保护法(草案)》二审稿第29第2款对于敏感信息的界定标准是损害后果的特定性和严重性。在损害后果的特定性方面,敏感个人信息局限于侵害宪法基本权利,如言论自由、宗教信仰等;损害后果要求涉及人身财产权益安全,如个人生物特征,医疗健康等。在损害后果的严重性方面,需要对于相关权利的损害程度是严重的。
对于私密信息与敏感信息的重合问题,首先,对于同时属于私密信息和敏感信息的,如性取向、医疗健康信息等,必须本人明确的单独同意,甚至要求书面同意。其次,属于私密信息,但不属于敏感信息的,如个人特别癖好、遭受性骚扰的信息等,适用《民法典》隐私权保护规则即可。第三,属于敏感信息但未必属于私密信息的,如种族信息、宗教信仰、政治主张、个人面貌特征等,公开可能带来损害后果特定性和严重性,不具有主观保密性的特征,适用《个人信息保护法(草案)》二审稿第30条规定,即需要权利人单独的书面同意。至于私密信息的保护,难点在于私密信息如何识别,在《民法典》第1032条第2款中体现为主观秘密性。理论上还有其他的界定标准,因其作为隐私权的核心范围,通常还要符合隐私权的合理期待,所以应当是主观标准和相对的客观标准的统一。至于主张增加侵害后果严重性的要件,对此是值得商榷的。
4.国浩律师(上海)事务所黄宁宁律师作“数据保护与涉外法律服务”发言
长期以来,中国对法律域外管辖(长臂管辖)的理解和认知持较为否定的态度,很大程度上因为中国深受其害。然而,过去五年间,我们看到了我国立法上的新动向,《出口管制法》、《阻断外国法律与措施不当域外适用办法》和《反外国制裁法》等,都已包括有域外效力的法条。就数据安全及保护而言,如《数据安全法》第36条规定,中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。这一条有典型的域外管辖特点。这些法律规范规定的内容引起了涉外法律服务的变化,同时也加强了我国应对国际形势变化的能力。
第二部分,法律服务市场的机遇。我们需要有国际法影响的立法,也需要涉外律师能提供相应的法律服务,以真正体现这些法律的作用。从2017年国务院四部委《关于发展涉外法律服务业的意见》中,国家开始关注涉外领域的法律服务战场。发展到今天,涉外法治已成为习近平法治思想的重要组成部分,“要坚持统筹推进国内法治和涉外法治。”具体到数据保护领域,涉外律师可以在数据保护的合规服务,争议解决领域提供有针对性的法律服务。
总之,数据保护是分层次的,个人信息的不同种类保护力度不同,数据保护的广度、空间都是需要律师进一步介入并较好地运用法律规范。
五、会议总结
国浩律师(天津)事务所梁爽主任和天津大学孙佑海院长进行会议总结,对各位专家学者的支持表示衷心感谢。
来源:http://www.fxcxw.org.cn/dyna/content.php?id=22051
