日,由中国法学会网络与信息法学研究会主办、中国信息通信研究院互联网法律研究中心承办的第六届“网络法治三十人论坛”在京召开。来自中央网信办政策法规局、中国法学会网络与信息法学研究会、中国信通院政策与经济研究所、中国法学会研究部、多所高校和企业智库等的40名代表及资深专家学者与会。会议以“依法治理网络空间”为主题,就个人信息保护、网络空间治理、国际治理规则等角度进行了讨论。

中国人民大学法学院教授张新宝:

“守门人”特别义务还需进一步完善

《个人信息保护法》的制定赶上了互联网以及互联网经济发展的新阶段,为野蛮生长阶段画上了句号,进入了新的发展时期。强化网络台等大型在线企业的治理,配置与其控制力和影响力相适应的个人信息保护特别义务,正在形成全球普遍共识。我国目前制定《个人信息保护法》,适应这一趋势正当其时,对这些企业的个人信息保护义务作出特别规定。

在《个人信息保护法》中增加“守门人”的特别义务,在立法例上有可供参考的经验,并具有技术上的可行和经济上的合理台规则的建立是《电子商务法》、《反不正当竞争法》无法完全覆盖的。在具体的行为合法的考量上,还需要进一步明确,包括协助调查中如何认定行为主体的违法违规、社会责任报告的写作指引和制度安排等。

北京大学法学院教授王锡锌:

个人信息处理权利本质上是公法权利

《个人信息保护法》的核心是防控大规模、持续的个人信息处理中的风险。第四章规定的个人在个人信息处理中的权利与第二章、第三章规定的处理规则、跨境提供规则共同构成了一套监管规则。个人在个人信息处理活动中权利的控制对象不是个人信息,而是控制处于强势的非对称权力结构当中强势一方的信息处理整合工具,个人在个人信息处理中的权利,本质上其实是一种公法上的权利。

从功能上看,个人在个人信息处理中的权利是工具的权利,可以从程序正义和分配正义的角度来理解。在程序正义上,主要表现为权利诉讼中的防御权利,对抗强势的个人信息处理者;在分配正义上,可携带权、删除权等竞争权利对资源的分配提出了新的要求。对数据高度结构化的要求可能会对小企业产生过高的成本,反而起到相反的作用。

在救济上看,《个人信息保护法》中增加“个人信息处理者拒绝个人行使权利的请求的,个人可以依法向人民法院提起诉讼。”对个人信息权益受到侵害时的救济渠道提出了新问题,民事诉讼的提出是否需要穷尽行政救济?应当遵循权利的质和与之相匹配的救济手段。

北京航空航天大学法学院教授周学峰:

个人信息处理者的义务有待细化

个人信息主体的权利依赖于个人信息处理者的义务的履行。在对个人信息处理义务的规制上,一方面对小型的个人信息处理者,授权国家网信部门就小型个人信息处理者制定专门的个人信息保护规则标准;另一方面,对一般的个人信息处理者,即达到网信部门所规定的数量标准,要求指定个人信息保护负责人,以达到区分设计。

在未来的法律适用中还可能存在一些问题,例如,如何理解“重要的互联网台服务”,具体包括哪些类型?公公正的标准如何判断?台管理过程中的误判如何救济?台未尽到此类公法义务时,个人是否存在民事上的请求权?在对台施加责任的同时,也作出了管理台用户的授权,仅仅依靠司法手段进行救济是不足的,需要制定特殊的规则。

中国社科院法学所研究员支振峰:

怎样规制台对个人的单向操纵

社会科学革新的过程中,大量的知识失效。诞生于西方工业时代的现代法学或知识,愈发不足以解释新型社会,愈发难以解决中国问题,而对时代和世界的重新思考并未同步增强。在时代背景下,应该从功能的意义上看法律,在动态的演化和场景化的意义上去理解法治。信息时代对法治机制提出了新的要求,例如国家安全。而人类的大变局,体现为新空间的创生,即本次论坛的主题:网络空间。

信息时代给人类社会带来的最根本变化是操纵,即台与个体之间单向透明的操纵关系。因此需要重新思考人与人之间的关系,如何利用法治作为人类尊严和自由的最后的庇护,重新把“人”找回来。

中国人民大学法学院教授张龑:

《个人信息保护法》和《民法典》应行适用

《个人信息保护法》与《民法典》两部法律之间的关系,既非上位法与下位法的关系,也不是一般法与特别法的关系。

网络空间不是单纯的虚拟空间,而是虚拟空间和物理空间的结合。《民法典》是物理空间的法,在这个空间里国家是基本秩序单位。物理空间时代公法与私法界限清楚,而网络空间中国家地位不明确,公共和私人的边界也没有清晰划定。所以,《个人信息保护法》的质更为复杂,既非公法也非私法,而是一种过渡法。因为,网络空间还处于形成过程中。

正所谓“法律一经制定,就过时了”。《民法典》是物理空间时代立法的产物,属于比较典型的私法。《个人信息保护法》是网络空间时代立法的产物,基本原则是目的必要,也就是兼顾个人信息保护和网络发展。目前来说,《个人信息保护法》应该和《民法典》行适用,将来二者之间会相互融合。

中国法学会法治研究所研究员刘金瑞:

将影响国家安全的个人信息集合纳入重要数据

数据经济时代带来了新挑战,数据安全的范式从以往的数据三变为数据利用安全,即增加了可控和正当的要求,以风险管控为中心。

个人信息不仅涉及个人利益,也可能影响国家安全,可能被以威胁国家安全的方式利用。在这一方面,欧盟以“权利保护”为名作出限制,而美国将敏感个人数据纳入外资安全审查。我国《个人信息保护法》、《数据安全法》提出了个人信息跨境提供的规则,还有进一步收紧空间。建议将影响国家安全的个人信息集合纳入重要数据;注重《个人信息保护法》、《数据安全法》的分工;建立高透明度的数据安全评估审查制度;建立重要数据出境管制制度,而非数据出口管制。

北京科技大学文法学院副教授张凌寒:

台算法的“穿透式监管”

2008年金融危机之后,国际货基金组织提出“良好的监管”应当具备侵入、全面、适应,敢于质疑,积极主动,并形成决定的结论。美国《投资公司法》提出了“看穿规则”。在此背景下,“穿透式监管”在2016年国务院办公厅《互联网金融风险专项整治工作实施方案》中首次被作为政策概念正式提出,要求各监管机构按照“实质重于形式”原则甄别业务质。

台算法的“穿透式监管”怎么做?第一,穿透“仅提供网络连接”的技术面纱,涉及用户行为、避风港规则;第二,穿透“互联网创新商业模式”的面纱,涉及控制力、台用工、推荐内容;第三,穿透“法人企业”的面纱,只对结果追责,涉及算法设计运行行为。

对外经济贸易大学法学院副教授许可:

《个人信息保护法》与有关法律的关系

《个人信息保护法》和其他法律的关系:与《宪法》的关系,是母法与子法;与《民法典》的关系,涉及等主体间的规定的内容,是从《民法典》第四编第六章“个人信息保护”所衍生的特别法;与《网络安全法》的关系,是取代其第四章“个人信息安全”规定的新法;与《数据安全法》的关系,是对涉及个人信息数据处理活动的补充法;与《消费者权益保护法》、《商业银行法》等专门法律的关系,是特别法与个人信息领域的一般法。

《个人信息保护法》和国际法律的关系,涉及条款则包括:中国境外处理境内自然人个人信息(第3条第2款);信息处理者向境外提供个人信息(第38、39、40、42条);因司法协助或行政执法协助的个人信息出境(第41条);针对境外国家或地区的贸易对等措施(第43条);国际条约、协定的例外规定(第41条第2款)。

东南大学法学院博士刘双阳:

以刑法保护已公开个人信息应进行合理考察

从积极预防滥用个人信息风险的立场出发,司法解释将知情同意与否确定为判断是否构成侵犯公民个人信息罪的关键标准,导致我国司法实践中倾向于以未获得信息主体“二次授权”同意为由,对擅自向他人出售或提供已公开的个人信息行为一律入罪规制。目前,前置法对已公开的个人信息的处理规则作出重大调整,旨在避免对个人信息处理行为过度规制,促进个人信息合理利用,因此,刑法学需要及时对已公开的个人信息处理规则的变动作出阐释和回应。

信息主体拥有有限的信息自决权,信息处理者拥有数据财产权。利益衡视角下,考察侵犯公民个人信息罪的司法边界,应当基于比例原则合理处理。正当审查阶段,判断是否符合个人信息公开的目的;适当与必要审查阶段,判断是否改变个人信息被公开时的用途;均衡审查阶段,判断是否侵害信息主体的重大利益。

北京字节跳动法律研究中心主任丁道勤:

及时思考个人公开信息保护规则

个人公开信息利用的涉诉案件越来越多,例如:转载裁判文书网公开的判决书是否侵犯隐私权及个人信息利益,能否收集处理政府信息公开等依法公开的个人信息,能否收集处理个人自行公开的个人信息,能否收集处理企业自行公开的个人信息等。

各国对个人公开信息的态度不一。美国加州等直接在个人信息定义中排除公开信息,欧盟、新加坡等将“公开可获得”作为某类违规数据处理行为的抗辩理由,日本、加拿大等国直接将公开信息作为无须取得主体同意的例外情形。我国《网络安全法》、《刑法》也规定了部分个人公开信息保护的公法规则,《民法典》规定了个人公开信息的“合理利用”,《个人信息保护法》第13条和第27条明确规定了合理范围内处理自行公开或已经合法公开的个人信息属于合法依据。

(金灿)

推荐内容