2020年10月21日,《中华人民共和国个人信息保护法(草案)》公布并公开征求社会公众意见,这标志着我国个人信息保护法的立法,迈出了具有决定性意义的一步,将深刻并长远地影响我国数字经济和数字社会的未来发展。
值此立法的关键时刻,对外经济贸易大学数字经济与法律创新研究中心作为受邀提供草案意见的单位,于2020年11月15日召开“《个人信息保护法(草案)》深度学习与建议研讨会”,邀请来自立法部门、监管机构、科研单位以及产业界的专家和代表,对草案八章70条开展逐条、逐句的研读,尽可能汇聚多维度、多立场的观点意见,尽可能汇聚多维度、多立场的观点意见,为《个人信息保护法》的出台建言献策。与会人员既有中央财经大学法学院教授邢会强、中国人民大学法学院副教授暨未来法治研究院副院长丁晓东、中国法学会法治研究所副研究员刘金瑞、浙江大学互联网金融研究院研究人员潘政、中国信通院互联网法律研究中心主任方禹、中国信通院安全研究所工程师葛鑫以及对外经贸法学院张欣副教授等专家学者,也有欧盟商会网络安全子工作组主席兼SAP政策研究总监宫仁海、Zoom中国区首席代表顾文杰、微软中国公共及法律事务总监黄丽丹、蚂蚁集团隐私保护研究中心主任李海英、京东法律研究院总监李丽、亚马逊AWS中国公共政策总监李国俊、阿里巴巴政策法规研究室高级专家刘明、西云数据法律顾问陈巍、科文顿·柏灵律师事务所合伙人罗嫣、安理律师事务所高级合伙人王新锐等实务部门代表。全国人大法工委经济法室副处长林一英也莅临会议,听取各方意见。
外经贸大学数字经济与法律创新研究中心执行主任许可作为本次会议的主持人首先介绍了本次研讨会的背景和目的,旨在总结和梳理学界关于《个人信息保护法(草案)》的意见和观点,为全国人大法工委的后续立法提供参考。随后简单介绍了与会嘉宾和研讨会议程,本次会议主要按照草案条款逐章展开讨论,鼓励各位集思广益,踊跃发言。
对外经济贸易大学法学院教授梅夏英随后致辞,在强调了本次草案的重要意义以及本次会议的服务目的后,提出了自己对于草案的三点看法。其一,个保法草案的一大特点在于兼顾了个人权利和国家保护,个人权利的赋予应当仅仅是为了降低个人信息被滥用的风险,不应过度放大,而国家在个人信息方面的公共安全责任应当加强。其二,征询同意属于基础性规则,但草案中的同意规则设置过多,平台处理时、交付第三方时、匿名化后再处理时诸多环节均需个人同意,导致实务操作性存疑。其三,个保法草案未进行适当的信息分类分级,仅仅区分出敏感信息难以满足实务需要,比如公开信息和非公开信息、成年人信息和未成人信息、人脸指纹等直接与个人相关的信息和间接有关的个人信息、企业收集的信息和国家收集的信息等都存在明显不同。
第一章 总则
关于第二条本法对象,专家提出提出第二条中的规制对象存在重复,因为自然人里只有独立处理信息的专业人士才应受到规制。倘若个保法管辖平等民事主体之间的信息纠纷,要求企业承担大量的通知删除义务,无疑负担过重。
关于第三条适用范围,专家提出草案第三条第二款使用了“分析、评估”,而GDPR中使用的是“监控”的概念,希望后续能够进一步明确用语含义。另有学者则提出第三条第一款和第二款有过分扩大之嫌,具体指明目的性会更为适当,否则连无意浏览也会被纳入个保法的管辖范围。
关于第四条个人信息的界定,有学者首先指明草案重点就是要解决定位问题,需要立足于个保法的架构,从定义和规则相挂钩的角度去理解,严格的规则辅之以狭窄的定义,宽松的定义适用于宽松的规则。通过对比现行的网安法和个保法自身演变过程,个人被识别的应当是身份而非自然人,建议个保法草案第四条应当添加“身份”二字。并且专家更倾向个保法属于行政法保护,目的在于解决个人信息滥用和泄露问题,同时不能阻碍信息的正常使用。基于社会背景的变迁,个人信息保护是法律赋予的权利而非天然权利,保护的对象是自然人在社会活动中的角色,重点在于其身份。其次,学者分析了草案第四条的立法方式。本次草案未通过列举方式规定适用对象,一种解释是实际生活中很清楚,无需列举,另一种解释是争议太大了。比如两高和司法解释都肯定了电子邮箱为个人信息,而12年香港判例却认为不能从邮箱识别出个人身份。目前的草案采用了单独或结合的识别说,对于单独不能识别而结合才能识别的信息是不是个人信息,学者持否定观点,并且指出简单的信息编纂不应当认定为个人信息,关键在于理解最终目的是防止信息滥用和泄露还是加强国家管制。参考韩国、法国以及我国的网安法都规定了“简单结合能够识别”,简单的信息编纂不适宜认定为个人信息。并且草案第四条后半款规定了匿名化后不是个人信息,比照匿名化和信息编纂的关系,也可以参考匿名化的分析思路。
有专家主要针对IP地址是否属于个人信息的问题发表了看法。即使用户关闭了地理位置授权,互联网公司也能利用IP区段,判断地理位置进行个性化推荐,这是否属于使用个人信息。立法上解决这个问题有三种手段,第一种是在法律规定中特别说明,第二种是通过模糊的指引性规定或者保持沉默,交给未来的实践和立法解决。专家指出这个问题的难点在于识别的判定,谁来识别,到什么程度算识别,有学者提出将可识别作为单独的部分进行规制,对于可识别的权利义务,在风险防范方面可以适用,但适用于查询权这种情形反倒招致危险,这部分还需要大家进一步讨论。
诸位学者继续针对这一问题讨论,认为应以业内客观水平能够识别作为标准,并结合不同的使用场景进行判定,仅掌握IP地址区段而无法关联到具体对象不构成个人信息,在互联网实名制的背景下,互联网企业利用IP地址对应特定用户并进行个性化广告推送等行为则属于个人信息的使用。
关于第六条处理个人信息的目的,有专家认为第六条“不得从事与处理目的无关”过于严格,会阻碍新技术发展。比如机器学习和大数据依赖信息收集进行算法训练,收集时往往不确定使用的目的并且技术上也很难取得知情同意,建议放宽规定以适应技术发展。
关于第八条个人信息处理的要求,专家认为个保法没必要规定“所处理的个人信息应当准确,并及时更新”,信息服务质量应由市场规制而非通过个保法规定。有学者提出第八条主要针对征信行业。另有专家也指出OECD也规定了准确性原则,于各方均有利,并且也映衬了后面规定的更正权。
第二章 个人信息处理规则
关于第十三条个人信息处理的条件,有学者认为个保法规定的合法利益相较于网安法具有进步性,在为企业提供方便之余也容易发生信用卡欺诈此类滥用现象,需要进一步限制。
专家对合法利益也持较为慎重的考虑,例外设置过多会架空同意规则,像第二款“订立履行合同所必需”可以纳入防欺诈的审核,或者需要后续标准再明确规定防欺诈。
