专家热议:数字经济与数据保护 前瞻与挑战并存(实录)
12月4日消息,阿布扎比国际金融中心与阿联酋中央银行在两国首都联合举办“2020中国-阿联酋创新投资大会”。本次大会是中东北非最大金融科技和创新盛会“阿布扎比金融科技节”(Fintech Abu Dhabi)的中国平行会议。大会在全球疫情和经济不确定性高企、多边合作备受挑战背景下召开,围绕创新投资和金融服务两大主题进行深度探讨,百余位中外嘉宾通过15场专题圆桌和35场主旨演讲展开深度交流。
{image=1}
北京大学法学院助理教授左亦鲁,北京大学法学院前副院长、法治与发展研究院执行院长、教授王锡锌,北京安理律师事务所、高级合伙人王新锐,中国网络空间安全协会法律与公共政策专业委员会秘书长、北京邮电大学互联网治理与法律研究中心副主任、副教授崔聪聪出席“2020中国-阿联酋创新投资大会”,并就“机遇与挑战:数字经济与数据保护”话题发表洞见。
以下为圆桌对话实录:
左亦鲁:大家中午好,这一节圆桌讨论的主题是“机遇与挑战:数字经济与数据保护”。大家想到中东的一个直觉反应是石油,石油是传统工业的主要原材料,相信大家也听过一个说法,数据就是新石油。今天我们谈论新的经济形势、新商业模式都离不开数据。这个题目有两个维度,一是数据保护的维度。个人信息权,或者个人隐私权,可能是这些年新兴的最重要的权利之一。另一个维度是我们不能走向过度保护,因为数据是新石油,我们也要在助力新的经济产业、新的商业模式的过程中,在数据利用和保护之间取得平衡。
今天非常荣幸请到了三位非常重量级的嘉宾:
王锡锌 北京大学法学院前副院长、法治与发展研究院执行院长、教授
王新锐 北京安理律师事务所、高级合伙人
崔聪聪 中国网络空间安全协会法律与公共政策专业委员会秘书长、北京邮电大学互联网治理与法律研究中心副主任、副教授
首先每位嘉宾分享一下他们对数据保护的认识,最后剩下12到15分钟的时间,嘉宾之间讨论和交流。
王锡锌:特别高兴参加这样一个没有圆桌的圆桌对话,我们今天讨论的话题是数字经济和数据保护,而且题目更加细化了,是关于机遇和挑战。我是主要研究公法的,对数字经济、数据保护的视角跟传统民法学者所做的研究有点不一样,当然我们可能也是互补的。我想简要讨论一下,从《网络安全法》到《数据安全法》,到正在热议的《个人信息保护法(草案)》,当然也包括今年年初通过的《民法典》,特别是《民法典》1034条关于对个人信息的民法上的法律界定的问题。
从目前中国法律的规定来看,我们都在强调一个核心:在数字经济时代对数据要采用什么样的态度。中国宏观上是非常明确的,就是一直在强调安全和发展并重,流通、利用和保护三位一体。这个数据是广义的,包括集成的以及个人化的信息。国家的宏观原则是既要保证安全又要坚持发展,安全和发展都指向了具体的诉求。
我想跟大家分享的一点思考,就是我们所说的数据的安全利用,数据的安全和数字经济的发展,两者的关系到底怎么权衡?说起来比较容易,安全与发展都要,但在具体法律规则的设定和制度设定上,有可能每一个主体的视角是不一样的,至少可以从四个不同的主体视角来看待安全发展的偏好问题:
一是主权者的视角。在某种意义上,我们可以把主权者具象化为国家,国家考虑数据问题主要关注的是安全,安全是另外一个主权的问题。主权的忧虑在数据时代是比较明显的,主权者对主权的担忧来自两方面:
1、对内的主权,在传统的霍布斯意义上,主权就是国内最高的权力。但今天我们看到,许多大型平台和技术公司所拥有的技术优势在某种意义上超过了国家。主权者的一个担忧是,数据为这些企业所控制,其控制能力甚至超越了国家,国家在这个意义上并不是最高的控制者,传统的霍布斯意义上的主权优势受到影响。
2、国际法意义上的主权的担忧。国际法意义上的主权概念,或者主权体系,到目前为止来自于威斯特伐利亚体系。威斯特伐利亚体系主权是以传统的领土作为基础的,互联网也好,数据经济也好,其根本特点是超越领土的,比如数据跨境、数据流动,可能都会在不同的领土范围之外流动。比如一家美国的执法机构,或者美国的法院,要求中国的一些企业向他们提供数据,用于执法或者诉讼的目的,中国可能就会说,这些数据涉及到我的主权,我为什么要把这些数据给你,反过来也是一样的。
所以,从国家作为主权者的视角来看,数据跟传统因素不一样。大家都说数据是新石油,因为它们都是经济的燃料动力,但是两者之间非常大的不同在于数据是流动的,而石油是有所有者的,数据在某种意义上更像空气,它是共有的。数据要流动,不流动的话空气会变得很污浊。主权者会考虑怎样控制这些数据,同时又让它流动。
另外是安全。前两天我出差去了几个地方,填行程轨迹花了很长时间,国家在收集我的数据,当然是出于公共利益的要求,这个公共利益的要求某种意义上也超出了很多个人信息保护的法律原则,比如知情同意原则。总之,从国家作为主权者的视角看过去,一方面希望数字经济发展,但国家会把主权和安全放在比较重要的位置上考虑。我们怎样从国家角度真正落实安全与发展?
前段时间在征求意见的《数据安全法》,现在正在征求意见的《个人信息保护法(草案)》,这是主权者所做的决断,但主权者的决断里明确表现出对安全和主权的明显的偏好,这种强烈的偏好会不会压制到企业和行业的发展,会不会压制到数据技术的进步,这样的担忧是有道理的。
二是规制的视角。中国从《网络安全法》到《数据安全法》、《个人信息保护法》,本质上都是政府对数据领域进行行政规制,基本上是设计各种各样的标准,合规的义务,企业做合规,通过合规达到各种各样的管理目的。从规制的视角来看,传统上任何国家,特别在中国,规制者都有明显的路径依赖。比如对于数据安全,监管部门一定是用一种比较方便于自己的监管手段进行监管,所以它会给这个平台、数据的处理者设置更多的合规意见,这样对监管来说是最方便的。从宏观来讲,我国整个数据监管方面仍然需要我们认真反思。
三是企业或者数据处理者的视角。新的《个人信息保护法》对新的数据处理者有更多的定义,包括收集、采集、分析存储等等一系列,当然也包括国家机关作为处理者。处理者视角,特别对企业来说,它所考虑的是产权的问题:这些数据,我投入了资源、技术、劳动,我能不能对它拥有产权?产权的问题仍然是一个争议很大的问题。在法律上,前段时间深圳市有一个特区的规定,把许多数据产权规定为共有财产,引发很大争议。我个人觉得,对数据产权的界定要谨慎,如果简单地把它公有化,对于企业投入的积极性肯定会产生非常大的抑制。另一方面,企业对数据的产权到底是什么?财产权在多大程度上能成立?我个人倾向于企业投入了劳动资源,通过劳动获得数据,某种意义上符合古典的获得财产权的属性,但也应该看到,企业收集的这些数据,其实是具有公共性的。比如中国移动,获得了大量的行程轨迹的信息,这些信息是不是都属于企业的?说不准,如果是属于企业的,政府要调取行程轨迹并应用它进行抗疫,权属关系会更加复杂。所以在具有准公共性的产品当中,一方面要承认产权,另一方面要对它附加更多的社会义务和公共义务,换言之,为了公共利益的需要,产权所受到的限制应该是更多的。
四是个人的视角。在整个数据时代,如果数据是石油,我们每个自然人可能就是生产石油的基本单位,信息更多地从自然人角度出来。关于个人信息怎么保护,在中国《民法典》的编撰过程中,曾有过很多呼吁,最集中的表现在应该设定个人信息权。但是民法典,无论是总则部分的110条,还是人格权编的134条,最后都没有将个人信息私权化。我觉得这个处理是对的,个人信息是必须要保护的,但个人信息的保护不应该走一种私权化的路径,不应该设定一个个人信息权,也不应该像民法学者主张的把个人信息权放在人格权的内容当中。很显然,个人信息的内涵与传统的隐私和人格的内涵是完全不一样的,比如一个自然人的电话号码、身份证号码,显然是个人信息,但绝不属于隐私。用传统的隐私权概念解释它,在理论上是行不通的。
更重要的是,在实践中,如果这是隐私权,它会对数据的流通和有效利用带来极高的交易成本。如果个人不同意就没法处理了,因为这是个人权利,它会对整个数据经济带来非常基础性的成本提升。对个人信息的保护,我觉得应该放到公法的视角当中,也就是要提出一个个人信息受保护权的概念。个人信息受保护权的概念,基本上强调的是国家对个人信息富有一种宪法上的保护义务,通过积极保护,也就是通过各种手段规制、立法,提供各种各样的法律上的控制手段进行保护。
另外一方面,个人信息的保护,当然也包括民法上侵权责任的保护。它是一种融合多种保护手段的新型保护,从法律的角度来说,整个个人信息保护的法律部门,既不属于民法,也不属于行政法,是一个新型的领域法。在这个新的领域法当中,各种保护手段都必须要利用。比如,我们的刑九、刑七规定了对于侵犯个人信息行为的惩处。这次行政保护法里,大家谈到了5000万的巨额罚款,其实是一种行政法手段的保护,当然也包括《民法典》当中讲的侵权责任的保护。
我们的机遇就是数字经济当中有新的资源出来,我们的挑战是怎么样从主权者的视角、监管者的视角、企业的视角、个人的视角平衡考虑个人信息安全和发展的关系。
左亦鲁:非常感谢您,下面有请王新锐律师从实务界的角度讲讲。
王新锐:非常荣幸在线下跟大家相聚,2020年能够在线下见到各位是非常不容易的事情。我跟王锡梓老师每年都见面很多次,这是今年第一次在线下见面。这在某种程度上是数字经济的反映。
我从实务的三个小片段跟大家分享一下关于数据保护隐私的一些问题。有一点很有意思,在大家谈到隐私保护、数据保护的时候,在我们法学界很少有这样的理论涉及到这么多的部门法,包括宪法、行政法、民法、刑法。而且,这个领域有很多经济学家会谈到很多问题。比如,前面谈到数字经济,大家会认为数据的确权是一个很重要的问题。但是,我们法学界的共识是数据很难用所有权这样一种绝对的方式去保护,这就形成了不同方法论之间的冲突。所以,很多东西没有明确的答案。
我们意识到天平的摆针很难停在中间,我们在疫情期间有很多反思,想刚好停在中间是非常困难的。我想举三个小例子。
第一个例子是长度,我做这个领域很长时间了,也在较长的时间里参与到实务中。最开始说到关于中国个人信息、数据保护的规则,当时只有30多页的汇编,现在汇编的量,我们团队做的汇编已经超过了800页。大家知道,页是一个概念,经过这么些年发生了什么事情,为什么在法律的规则上发生了爆炸。
刚才王老师提到了这点,整个规则不断的细化,它有自己的路径依赖,有大的外部环境促成的因素。很有意思的是,我做了很多大的跨国公司在中国数据保护的落地,也做了很多大的中国公司出海的实务,我们发现很多时候中国的隐私政策要求比西方等地区更细。这种“更细”我们不能简单地评定更好或是更坏,但是,它确实更细,更加基于场景做一些数据保护。我很多时候在跟欧洲、美国律师讨论的时候,他们也会觉得有一些他们没想到的地方,我们把我们的隐私政策翻译成英文、日文的时候,他们都会很惊讶为什么这么长,为什么要写这么细。我会跟他们解释,因为我们有800页的规则,我们国家有很多细致的规定。这时候,很难单一地评价中国在数据保护隐私保护上不重视,或不严格,或过于严格。其实,很难用一句话、一个形容词、一个维度去评价这件事情,这是第一个给大家带来的新信息。
第二我想谈一下人脸识别。人脸识别是非常热的领域,我做了非常多跟人脸识别有关的风险评估。很多时候,人脸识别提高了效率。比如,一个大商场会用这种方式测温度。但是,另一方面,所有人都感觉到了对人们隐私的威胁。最近,在舆情上、地方立法上都有回调的趋势,很多时候法律上要求提供一个选择权,让大家有不用人脸识别的权利。立法者、监管者也感受到了对自己的威胁,自己也感觉到数据可能被不知道什么样的公司拿走滥用。这种新技术在中国的落地会有很多冲突。
我们谈到数据隐私,人脸识别在不同的场景中风险不一样,带来的法律上的规制它的必要性也是不一样的。西方采取相对严格的方式,之前一段时间在中国比较宽松,个人信息保护法中也对生物识别有一定的规定。
第三个例子我想讲跨境流动。我经常跟国际上很多客户交流,我在手机上装了除了腾讯、华为国内的APP以外还装了ZOOM等一堆东西,我们会吐槽有一些软件因为在中国没有server,所以服务不太稳定。例如,思科被很多跨国公司认为很安全,因为在中国没有server,所以导致他们的服务非常不稳定,包括今年疫情期间大家被迫使用的在线会议系统存在着数据流动的问题、数据安全的问题。思科在中国没有server,这是个安全的选择,因为在中国没有server数据不会被调取,但反过来说服务质量调低了。
我们考虑到数据流动,现在数据流动的规则愈加复杂,中国现在有一套规则,欧洲有,俄罗斯有,越南有。大家在过程中会去模仿这些规则,但这些规则对自身经济产生了影响,我们要考虑到数据隐私保护的时候总是要跟这些因素去结合。当然现实解决方案是我们真的去识别哪些场景下是国家公权力有必要管,哪些应该放给企业。这个事情就像最开始说的,从平衡上来讲并不是很容易找到平衡点,并且放在这个平衡点上不动,这是我们在疫情期间面临的重大思维方式上的挑战。大家意识到以前在数据保护上有正确答案或者有接近正确答案,但是现在在科技和疫情的巨大挑战下,大家会发现正确答案好像变得不那么正确了,原来我们认为有很大问题的方案也有改进的空间。
我做一些评测的时候甚至发现中国很多APP在安全方面并不比国外欧洲做得差,因为采用了很多技术手段来做,但是意识各方面还有很多提高的空间。这是我想讲的几个实际的例子,我觉得通过这几个例子,大家可以去思考在数字经济的过程中数字保护是刹车片还是防止风险,就像防止打开潘多拉的盒子似的,是安全保护的法还是可能是历史上形成的观念造成的东西,因为有些历史上形成的观念在数字经济时代确实产生了一些影响,也许需要去调整,这是我要讲的部分,谢谢大家。
左亦鲁:下面有请第三位嘉宾崔聪聪教授。
崔聪聪:谢谢主持人,很荣幸有机会和大家交流个人信息保护法草案的一些内容。今天主要从立法的背景和模式以及主要的制度汇报一下个人的学习心得。数据无论是经济学界还是法学界都是热门的话题,说它重要,因为它是数字经济、人工智能发展的基础,同时在国际投资、国际贸易领域也是非常重要的。数据在现在各方面的领域中都有它的重要性,我们说大数据,大数据最主要的组成部分就是个人信息,或者有价值的部分是个人信息。通过看实践当中的一些规律,我们发现它不仅关系到个人的人身财产安全,还和社会公共安全、国家安全紧密联系起来,比如典型的“剑桥分析”事件,这个对我们触动很大,数据不单单关系我们个人权益了,它还成为一些违法犯罪甚至威胁国家安全的工具,基于这样的背景,国际上整体的趋势是对个人信息、对数据安全越来越重视。
基于这样的背景,我们国家提供了《中华人民共和国数据安全法(草案)》和《中华人民共和国个人信息保护法(草案)》。个保法对投资来说是一个利好消息,等它通过以后,它就明确了我们出境的规则、收集处理的规则。这对大家来说是一个利好消息,在现实当中,个人数据出境的问题,现行的只能按照网安法的规定,收集的重要数据和个人信息应该存放在境内,出境的时候要经过安全评估,有关部门的评估办法没出来,导致很多企业咨询这个问题,现在不评估也涉及到个人同意的问题,还是有相应的一些规则,只不过这个规则还不能满足我们现实的需要,亟待需要个保法、数安法出境的细则。
从保护模式和保护路径来看,个人信息究竟用什么样的方式?上世纪七十年代开始的个人信息保护法主要是采用个人权利保护的方式,近期的风险显著加剧,个人不足以应对风险,同时由于企业或处理者和我们个人之间的实力差距越来越大,权利保护的模式越来越发挥不了它应有的作用,这个时候我们就求助于公法保护,或者再具体一点就是行政监管。无论是美国以市场自律的保护方式,还是欧盟的权利模式,他们有一个共同的趋同点就是在行政阶段方面他们出现了趋同,比如近期2019年美国的FTC(Federal Trade Commission)处罚了很多大公司,欧盟GDPR(《通用数据保护条例》,General Data Protection Regulation)在监管条文的设计上也有调整。基于这样的判断,我个人认为我们国家现行的个保法确立了以权利为基础,同时重心放在监管上,这就回应了刚刚王锡梓老师提到的公法保护模式在大数据时代应当并且可以发挥充分作用,这是保护模式。
监管主要的功能在于校正当事人之间的不平等的实力,最终是构建信任。现在影响数据流通和利用的主要障碍就是个人不愿意把数据提供给处理者,企业之间的信任也没有建立起来,企业之间的共享还远远没有达到最理想的状态,主要原因是大家都不信任。监管通过处罚违法行为,校正当事人之间不平等的实力最终实现信任,这样才能构筑大家各取所需的环境。个保法的主要制度,我想主要谈这几个方面,一个是我们现在明确了处理的界限。
崔聪聪:在有些人看来,既然处理者收集了数据,就可以想怎么用就怎么用。其实不是,我们应当有处理界线,这个界线就是个人的权益,还有社会公共安全、国家安全,不能突破这三个界线,这是个保法的亮点。除此之外,我们还明确了境内存储和出境评估。个保法草案扩大了存储的范围。除了CII(关键信息基础设施),还包括网信部门达到一定数量的处理者,他们也应当存储到境内,具体数量按之前的评估办法是50万人的信息,最后究竟落在多少人,10万人还是100万人、50万人,还有待于讨论和值得商榷。我个人觉得,50万的数量比较大,是不是定在10万左右比较合理,当然这也要继续讨论。
同时,我们值得一提的亮点是监管体制方面。按照现行的网络安全法,确定了网安部门协调、行业部门监管、还涉及到公安的权力——对违法收集和违法提供公安是有处罚权力的。网安法的这个规定,在一定程度上解决了九龙治水的问题,但是对于统筹协调,可能力度还不够。因为个人信息保护的问题,确实是一个复杂的问题,既需要一些技术层面的支撑,还需要一些规则层面的支撑,有必要参照国外的一些监管体制,明确一个比较核心的机构,在这个基础上加上行业监管。这次个保法草案强化了监督部门的监督权,主要体现在“统筹协调”后面加了“相关监督管理工作”,“相关”怎么理解?它比有关部门力度还要大,所谓相关,他认为跟他相关的就可以管,可以看出我们的监管体制跟德国、英国、法国更加靠近。
最后我想谈的是集体诉讼,个人受到侵害以后,自己去法院起诉面临着成本的问题,获得赔偿的数额肯定不会太大,个人诉讼的积极性就不大。为了既有效保护个人权益,同时又不至于使个人那么浪费诉讼成本,也考虑到法院的诉讼资源,个保法确定了集体诉讼,人民检察院和个人信息保护部门、网信部门确定的组织,可以代表个体提起集体诉讼。这就有效实现了我们权利保护模式中最后的保障方式,也就是在我们受到侵害以后,可以求助于法院,求助于司法机关。
左亦鲁:非常感谢三位嘉宾的分享。我有几个问题也希望跟三位嘉宾讨论一下。三位嘉宾在讲的时候都提到了个人信息保护法,在10月份人大常委会也第一次审议了。刚才都谈到了个保法,因为我们今天面向的不是法律的讨论,所以我的问题是这样的,能不能请三位嘉宾分享一下目前个保法一审草案里最大的亮点是什么,最肯定的一处是什么?让你提立法建议的话,你最希望在接下来的二审、三审中改进的一点是什么?
崔聪聪:我觉得个保法草案的亮点很多。最大的亮点,我觉得是采用了一种综合的保护模式,既明确了个体的权利,同时加大了监管力度,特别是监管部门、监管手段、监管职权,对他们都进行了非常详细的规定,使得在执行的过程当中,具有很强的操作性。另一个最大的亮点之一是既契合了数据安全或者个人信息安全风险不断加剧的背景,同时也回应了现实的问题——个人确实很难求助,包括首先谁收集我的信息?他怎么用?他给了谁?我真的是很难知道,更别说控制了。这时候靠个人的私力救助模式很难实现,所以需要行政监管。
提立法建议的话,权利的问题、数据确权的问题,大家都是关注的。所以我个人的建议是,泛泛的说数据权利很难区分,能不能聚焦在基于个人信息收集利用过程当中产生的一些权利,把这个过程和权利理清楚。比如我的个人信息属于我的,大家都没有争议,企业收集来以后,他有什么权力?这时候企业对他收集的信息就有确权的问题,如果企业是简单的汇聚,这时候我们可以参照数据库,这时候它对个人信息不享有所有权,只是有一个简单的法律权,别人在用的时候要看我的意见,或者我不同意其他人用,其他人是不能用的,这是对原始个人信息的布局。但是如果他经过加工处理产生了一个不同于原始个人信息的数据产品,比如对搜索记录、浏览记录的分析,能得出一个市场研究报告,比如今年冬装是流行灰色还是流行咖色等等,这个研究报告是不同于原始的个人信息的,这时候赋予企业相应的权利,比如财产权,这是不是应该可行。我们先把基于个人信息的收集处理过程当中的个人、企业之间的权利理清一下,暂时还是可行的。所以有必要在个保法当中尝试性的规定,能够看得清的先写进去,如果后续发现有问题,是不是再调整或者再修改,这也不是说不可以的事情。
王新锐:我参加了蛮多个保法的研讨会,当说到亮点的时候,就要看是站在立法机构、企业还是个人的角度,从不同的角度发现的亮点是不一样的。我觉得最大的亮点是罚款金额非常高,是5000万和收入的5%。这个收入是全球收入还是中国的收入,现在还有争论,没有定论。我服务企业时发现,很多企业有很大的意见。我跟企业交流的时候讲,我相信中国将来高额的赔偿、高额的罚款会出现得非常少。但这个东西悬在上面,让企业把数据安全和隐私保护提到了比较高的高度上,给大家增加了很多压力。当然,不同的立场看待这个问题是不同的,有的人说为什么罚款金额这么高,法律依据是什么?这么高会不会肆意执法?权利下放到县级以上,是不是县级也可以罚这么高?我相信将来真的罚5%的情况会非常克制,或者经过一个程序,有这样高的东西悬在脑袋上,其实是帮助公众和企业认识到这是一个多么严重的事件。这是中国立法史上有史以来最高的处罚金额,这是挺大的亮点。
如果说改进,技术上可以改进的地方特别多,比如70个条款里有大概40个条款来自于GDPR(通用数据保护条例,General Data Protection Regulation),有些地方对GDPR的规则解释或概念的改变有很多技术性的问题。用大家比较容易理解的方式讲,我觉得多设置一些鼓励性的政策会比较好,当企业采取了一些技术手段、合规措施,企业多投入在数据保护上,比如用了去标识化的方法做这些事情,那么当它出现问题的时候,可以减轻或者免除处罚。目前来讲,个保法给企业提了一个蛮高的标准,要求企业做到这些,做不到可能有处罚。我认为,还是需要提供一个激励机制,使得企业愿意在这里面多去投入使得将来能够减轻处罚。这样的激励机制能引导企业的业务部门去平衡风险和投入,否则他会觉得大家做不到,我也做不到,甚至到法不责众的地步。这可能是一个调整的方向。
王锡锌:简单说,《个人信息保护法草案》对我来说,最大的亮点是把国家机关处理个人信息也纳入到法律调控的范围,这肯定是一个非常大的亮点。我们今天担心个人信息被侵害,一方面是各种各样的平台、企业,但不要忘了,国家机关处理个人信息,无论是量还是敏感度,都是更高的。所以,《个人信息保护法草案》把这个放进去单独作为一节,还是值得我们肯定的。与此同时,这个亮点本身也是它的不足,尽管把国家机关处理个人信息纳入了个人信息保护法的调控范围,到底怎么调控,其实不太明确。比如罚款5000万,收入的5%,如果国家侵犯了我的个人信息,要不要罚款5000万?不清楚怎么罚,一罚肯定完了。国家机关处理个人信息到底是作为一个公法机构还是作为一个民法上的主体,如果是民法主体是有侵权责任的,如果是公法人主体的国家赔偿,不可能有这么高的赔偿,因为它有弥补性原则。
另外,国家机关如果侵害个人信息的话,只是说上级部门可以责令下级改正。我就问一个问题,如果下级不改正怎么办?改正不满意怎么办?我能不能去法院告?按照行政诉讼法没问题,但个人信息保护法在这里不详。所以我觉得能把国家机关纳入是它的亮点,但是纳入以后,要处理好国家机关个人信息保护的问题比平台方的个人信息保护要复杂的多,所以也看出来立法者把这部分纳进来了,到底具体如何处理,细节上的确有很多有待清晰化,我们希望在未来二审、三审的时候,能够最起码有一个基本的原则框架提供。这是我想提出的一个建议。
左亦鲁:非常感谢三位嘉宾,刚才三位嘉宾谈的时候都提到了欧盟通用数据保护规则GDPR,我的第二个问题是一方面我们都知道GDPR或欧盟在个人数据保护上走得很靠前,力度也非常大,但我们清楚对于普法的批评是不是会造成过高的成本,是不是会影响效率影响创新,有些诛心之论,因为跟欧美比没有巨型的互联网巨头所以才会搞这些东西,它本来搞的心里装的规制对象是谷歌亚马逊这些企业,很可能你会发现这些大企业有钱,他能够做到合规,反而是中小企业做不了合规,无法满足这么高的合规要求,所以会影响创新,影响中小企业的发展,所以我的问题是能不能请三位嘉宾帮我们分享你对GDPR的看法以及GDPR有哪些好的方面不好的方面,中国在进行个人信息或个人数据保护立法的时候可以从GDPR的经验或教训中学习什么,我们还是从崔老师这边开始。
崔聪聪:我的观察是GDPR的讨论很多,去年我请的德国一个做这方面的专家跟我讲GDPR和背后的国家竞争的策略,我们在讨论的时候专门跟他提了一个问题,你觉得如果欧盟存在像阿里或谷歌等这样的公司的话,你觉得GDPR会出台吗?第二如果出台会这么写吗?他给了我两个不,如果有这么大公司的话GDPR这个时候很难出得来,第二即使出来了肯定不会像现在出来的那样,因为整个数据经济的竞争当中,我们看到美国的竞争策略、欧盟的竞争策略以及未来中国要考虑的竞争策略其实是不一样的,美国我们可以看到它是技术为基础的,它主要还是从技术的优势方面去设定各种规则,技术的优势最典型的规则就是民法案,他用数据控制着标准,美国无论是谷歌、苹果,数据宏观看都是美国的公司,有的时候我开玩笑美国的跨国企业就是帝国的军团,只要他打到哪里去,我要说我要数据,就是控制着标准,我就用它。
欧洲没有这样的一些公司,欧洲一直在担心这个问题,他们是规范作为基础,无论是人权宪章第八条个人信息受保护权,这个东西其实是GDPR的前身,许多人都讲了GDPR确认了个人信息权,错了,GDPR从来没有确认个人信息权,确认的是个人信息受保护权,这个在英文中区分非常明确,它强调公法的视角,它基本强调的既有道德的层面同时也通过GDPR形成规范进行保护,规制的门槛过高很多时候更有利于大型的企业,因为新的小的企业很难达到这么高的合规标准,这个在我们国家过去很多立法的时候,比如征信业的管理条例,当时我们就提到一个问题,征信业把门槛设得过高的话,基本上别的小型企业不可能达到你合规的门槛,不可能进入这个领域玩了,我觉得从长远来说GDPR对欧洲对欧盟的互联网信息产业会带来比较深远的影响,某种程度上它会是负面的。
欧洲今年也在讲主权竞争,今年疫情期间德国推动欧盟发布了三个关于技术主权的文件,他们也回到技术,包括云平台的建设,这里面也是有反思的。中国过多的借助GDPR把这样的规则引入到个人信息的保护当中,我个人一直呼吁是要谨慎的,我们一直强调安全与发展、流通与保护必须要并重,有些企业说之所以这么快的发展因为没有规制,完全是野蛮生长的状态,说起来有点残酷,但是事实,我们现在一定要很好的规制,很好的规制不代表过高的规制,一下子搞了800多页,安全标准越来越多,其实很多时候会产生权力的寻租,我对你下手能找到依据,更多的时候是选择性执法,不仅会给产业带来更高的成本,给权力运行也会增加很多腐败的风气,规则设定的时候就一定要考虑我们这个产业发展的现状。数据产业这块的立法跟别的立法有很大的不同,别的立法你要讲求长时间跨度的稳定性,技术和数字经济这个领域做立法别想一步到位,它是动态连续性的,每隔几年是要调整的,整个数据本身技术的发展太快了,我们根本想不到明年后年会怎么样,所以立法应该根据阶段性动态的做,这样能够做到包容审慎,而不是一味强调过于严苛,这是我的看法。
王新锐:欧洲人随便提GDPR,六个人有四个观点,我快速回应一下,我们简单评价GDPR叫做成也萧何败也萧何,很难把它放在很短的时间段里来评价,你问天主教对欧洲的经济发展到底是好还是坏,某种程度上GDPR也是这样,它是整个欧洲历史传统包括二战教训的自然延续,现在往往说如果刚好有巨头的公司也许GDPR不叫这个名字也不是这个样子,我相信一定会有类似的东西,如果回顾的时间长点会发现整个亚洲地区,最早引入个人信息保护的这些国家或地区恰恰都是因为贸易,我不具体列举了,新加坡他们都是因为贸易,一旦他们跟这个东西对接会促进他们的经济发展。我有时候也会看到我们的一些隐私敏感性产品,很喜欢说他去欧洲转一圈,你看我符合GDPR,让全世界的人相信他对隐私保护的水平比较高,目前GDPR对欧洲的影响、对数字经济的影响是公认的,因为它有很多实证的研究,“一边倒”指向对经济有负面影响,但拉长时间来看,它也许是自然的产物,它是欧洲历史和文化的自然产物。也许欧洲意识到在这个方面无法跟中国美国这样去竞争,我可以用另外的方式去竞争,也许创造新的隐私保护的市场,或者我牺牲这个市场,本身我的竞争力不在这个方面,当我们评价的时候站在中国的竞争视角和站在欧洲内部的视角看,很多问题不一样。
我们如果学习的话,GDPR还有很多值得学习的东西,它是非常精巧的立法,它贯穿了很多原则,它有非常多的例外,很多行政法的一些核心名词在GDPR是有贯彻的,我觉得要把它精巧的部分学过来,对于它的过于严格的部分想学也学不了,从这个角度来讲多研究它,至于什么东西能学还真的是现有的制度决定的,你真的想学很多好的制度你也学不了,这么一个看法,其实这是个比较折中的看法,GDPR是很复杂的体系,我们说到GDPR的时候到底说的是什么,说的是它那些很细致的很有精巧设计的东西,它的执法也很复杂,有的很大的执法,有的很小的执法,这个问题我觉得中国需要更虚心地把制度核心的东西去理解,为什么在欧洲会有这样的制度,就像我们评价他们的很多想法一样,我自己觉得很难用对错评价,这是它生活方式的一部分,你甚至可以理解GDPR就是欧洲生活方式的延续。
王锡锌:谢谢主持人,这个问题确实难度太大,我尝试着谈一下自己粗浅的认识。要评价GDPR还必须和美国的模式比较,这样才能看得出,大家都觉得GDPR是个非常严格的强保护模式,美国是一种弱保护模式,无论是采取强保护模式还是弱保护模式,其实都体现出对数据资源背后的保护,强保护模式弱保护模式都有背后的技术背景、产业背景和规划背景,决定了我们国家和地区到底采用什么样的模式。对中国来说到底怎么选择,我们看《个人信息保护法(草案)》的条文,能大概看出我们现在的思路,我个人觉得兼采了美国模式和GDPR的模式,这两个模式当中比较成功的经验或者大家觉得好的地方都拿来,美国模式大家都在说它是一种市场自律的模式,我们说看到它市场自律的背后还有它监管的模式,美国的监管模式是这么一个思路,由企业自己承诺在隐私政策中你怎么保护个人信息,FTC(联邦贸易委员会)专门负责监管,怎么监管,我就看你这个企业是不是违反了你的隐私政策或者违反了你的承诺。
美国的这种模式给消费者更多的是保护消费者的知情权和选择权,从消费者的知情权选择权的这个角度去保护个人信息,欧盟的这种模式确实也有很详细的权利的规定,但其实我们看它有效的手段,让企业害怕的就是它的最高额的4%以及1千万欧元的罚款,或者它用的比较多的也是处罚的模式。我们个保法草案兼采了在权利设置上,刚刚王老师提到的保护的是个人信息数据保护权,而不是简单的私权模式,基本上借鉴了美国的知情和选择权。私下跟全国人大法工委的领导聊过,他们基本持这种看法,从权利的角度借鉴的是美国的方式,从监管的角度引用GDPR是比较多的,我们国家兼采了美欧的模式。
为什么我们要选择不同于美国的模式或者第三条道路,就在于我刚刚提到的制度设计的背后要有它的技术背景、文化背景和产业背景,起重要作用的是技术和产业,技术背景就在于我们在技术方面和美国差距非常大,我们后续要往前赶或者逐渐和美国缩小差距,这个时候就依赖于我们国内的技术创新,技术创新源于各种各样的数据个人信息,在AI时代我们能不能赶上,这个时候对我们来说是非常关键的,在PC端在互联网时代我们是落后的。我们的制度设计背后首先要考虑的是我们的技术创新,同时我们跟欧洲不同的地方在于我们有强大的产业、有强大的应用,这方面是我们需要采取的与欧盟不同的模式,基于这个我们只能选择第三条道路。第三条道路怎么设计,摆在最重要的位置就是国家安全,也就是个人信息的处理首先一个界限不能突破的就是国家安全,有这个红线以后我们需要平衡的三方关系是技术创新、个人安全和产业发展,把这三者的关系平衡好了,服务于最终的数据资源的终极话题,谢谢。
左亦鲁:非常感谢,不知道还有没有补充?作为主持人我说两点,第一是数字经济和数据保护这个议题非常复杂,今天的讨论肯定不能很清楚,所以我们非常期待接下来有其他的机会能够和主办方和其他几位专家在其他的场合或者以其他形式继续这个讨论。第二是数据保护非常重要,但是按时吃饭也非常重要,时间已经不早了,希望大家再次感谢各位听众,感谢主办方,尤其是在座的各位嘉宾,本节panel到此结束,谢谢大家!
主持人:特别感谢四位,这是三天里唯一一场法学的法律角度上的讨论,从立法、监管、司法,我们这场会在中东地区全年播放,预计听众会达到高潮,我们作为监管机构最大的问题是已经意识到不再是我们的技术我们的监管科技有多好,而是我们在法律问题上能不能在实行普通法的较为宽松的环境里,实现隐私、效率以及公平的多种考量因素都整合进来的好的监管架构,这个问题可能会有利于我们从中国的立法实践、行业发展找到更好的借鉴、更好的启迪。
责任编辑:张译文
