专家热议《个人信息保护法(草案)》
专家视角I Expert P e rsp e c tive s
专家热议《个人信息保护法(草案)》■王春晖丨文
2020年10月21曰,《中华人民共和国个人信息保护法(草案)》(以下简称《草案》)公布并公开征求社会公众意见。为了进一步完善《草案》,近曰,中国通信学会网络空间安
全战略与法律委员会、国家社科基金重大专项“建立健全我国网络综合治理体系研究”课题
组、浙江大学当代中国话语研究中心、浙江大学网络空间国际治理研究基地、中国数字经济
安全与发展50人论坛、上海市法学会互联网司法研究会、上海市光明律师事务所通过远程
会议系统联合举办了“《个人信息保护法(草案)》专家研讨会”,与会专家为出台一部髙
质量的《草案》积极建言献策。
会议甶中国通信学会网络空间安全战略与法律委员会副主任、浙江大学当代中国话语 研究中心主任程乐教授主持。会上,各位专家学者积极参与了交流与讨论,形成了以下核心
观点。
考出熱宇体贫民所事有昀探利
中国通信学会网络空间安全战略与法 律委员会副主任、工信部信息通信经济专家 委员会委员、浙江大学教授王春晖指出,数 字化、智能化和网络化是数字经济时代的三 大特征,在数字经济的大环境下,个人信息 保护的立法应当重点突出数字化公民所享有 的权利。在个人信息的分类中,应重点强调 对自然人个人隐私信息的保护,甚至应作为 一种个人信息保护的文化来传承。因此,《草 案》中对个人隐私信息和个人私密信息应当 进一步设置严格的限制处理规则,确实需要 处理的(如电子病理报告等)应与个人单独 进行交涉来取得授权。
王春晖针对《草案》提出了以下几点 修改建议:
要考虑个人数据流动的域外效应。比 如,草案第三条第一款中的“以向境内自然 人提供产品或者服务为目的”应加上“无论 改处理活动是否发生在中华人民共和国境 内”。因为数字贸易和技术交易跨境流动曰益频繁的情况下,个人信息处理的范围明显
已不再是本国境内,相关的立法也应当与时
俱进。
个人信息的定义有待完善。建议根据
《民法典》和《网络安全法》等相关法律,
将第四条中的“自然人有关的各种信息”应
改为“特定自然人有关的各种信息”,并且
“已识别或者可iPsW’的信息应包含“单独
可以识别”和“单独不能识别但与其他信息
可以结合iRS啲”两类。
建议删除匿名化的概念及《草案》第
二十四条第二款的相关内容。建议直接规定
“个人信息经过技术处理而无法识别到特定
自然人且不能复原的信息”,从而将技术术
语法律化。此外,还应按照国家规定的处理
标准,特别强调技术化和不能恢复性。
《草案》第二章第二节中有关敏感信
息的定义有待进一步明确。个人隐私信息和
个人私密信息主要是法律层面的用语,而个
人敏感信息主要是技术标准层面的用语。但
是必须指出,目前在我国个人信息保护立法
实践中,还没有任何涉及到“敏感信息”的
立法保护,因此技术框架下敏感信息的立法
怎么自制贴纸王春晖
王春晖,浙江大学教授、博导;工
业和信息化部倍息通信经济专家委
发朋友圈表达对妈妈的爱
员会委员;中国通信学会学术工作
委员会委员;中国法学会网络与信
息法学研究会常务理事,长期从事
信息通信法治研究,并在基础电信
运营商担任首席法律顾问。目前,
担任《电信法》起草专家组成员,
多次参加国际电联《国际电信规则》
的审议,出版专著七部,发表学术
论文150余篇。
58中国电值业
CHINA
TELECOMMUNICATIONS TRADE
专家视角I Expert P ersp e ctives I
有待完善和统一。
最后,王春晖认为,个人信息保护立 法应实现公权与私权的良性互动,且以个人 私权保障为基础规范公权。个人信息保护边 界的基本要义,就是确保公民个人隐私和私 密信息不受到非法侵害的前提下,在合法、正当、必要、安全和知情同意的原则为指导,对个人信息要素进行合理、合情、合法的利 用。
关注J草案》璋埤执行
云安全联盟C S A大中华区主席李雨肮 针对《草案》的落地执行及《草案》内容本 身提出建议。
在《草案》的落地执行层面,他建议 借鉴G D PR中允许民间社团联盟帮助的相 关规定,比如积极与相关技术部门开展合作、将企业隐私保护框架和培训教程等纳入落地 工作等。
在《草案》内容层面,他提出几点修 改建议:第一,关于概念定义和划分需要进一步明确。比如对于确权的问题,当个人信 息涉及多个权限,比如所有权、使用权、流 转交易权、受益权、继承权、销
毁权等如何 分离,以及事前合规和事后惩罚的重要•注划 分。第二,信息控制者和信息处理者的责任 区分需要明确。《草案》中只笼统规定了“信 息处理者”,而在实际操作的过程中,信息 控制者违规的风险其实更大。第三,监管部 门的定位值得商榷,除了网信办之外,建议 把公安部也纳入监管体系。第四,建议进一 步明确个人信息受到侵犯时的求助渠道。此 外,大集团的子公司在处理个人信息违规时,公司的集团是否也续承担责任,是另一个有 待明确的问题。
立法翻隨
中国法学会网络与信息法学研究会副 会长、中国移动通信集团法务部总经理于莽 认为,本部《草案》是我国个人信息保护层 面较为完善的立法。他也就一些值得改进的 地方提出了意见。
建议明确个人信息保护权利的来源。比如有关敏感个人信息的规定、国家机关处 理个人信息的规定以及履行个人信息保护职 责的规定等,应当与《宪法》保持一致,比 如《宪法》第二章中公民权利与义务的相关 规定。
个人信息分级分类方面有待改进。目前个人信息分为一般个人信息和敏感个人信 息,实际上对于后者也应当体现出分级分类 的思路,明确敏感信息、《民法典》中的隐 私权与《数据安全法(草案)》中重要数据 的边界与划分。
在个人信息处理中,受托方的法律义 务有待进一步明确。《草案》仅规定受托方 根据合同处理个人信息,而没有进一步规定 受托方的法定义务。
建议参照《民法典》《国家安全法》《网
中B电倌处5
9
专家视角I ExpertPerspectiues
络安全法》《电子商务法》中个人信息保护 相关条款,保持立法的统一性和规范性,如 关于匿名化的表述与《民法典》中隐私权的 表述应保持一致。
建议关注个人信息保护和个人信息合 理利用的基础。《草案》明确了履行个人信 息保护的部门,但是忽略了自然人作为个人 信息处理的当然保护者,也应当规定其保护 义务。此外,个人信息维权的痛点在于自然 人技术维权和侵权鉴别的能力,因此应增加 鼓励企业开发相关技术工具的条款。
秀连热洼砰节
广东省通信管理局网络安全管理处处 长张红霞博士针对《草案》提出如下几点修 改建议。
你说是我们相见恨晚《草案》第六章当中规定了履行个人 信息保护职责的部门,但是除了对网信部门 的统筹和监督管理等职能的规定外,国务院 有关部门的职责范围并未明确。因此,建议 将履行个人信息保护职责的部门分为主要部 门和次要部门,在突出主要部门的义务和法 律地位的同时,次要部门也需要有清晰明确 的职责。否则,由于个人信息保护职责部门 的责任划分的不明确,对《草案》第五H—
条第二款规定的个人信息处理者信息报备的 规定存在操作上的难度。
《草案》对处罚种类的规定不够,尽 管营业额5%的看似较重,但其实在实 践中,比起来说,公司更在意的并非罚 款,而是信用管理和网络资源的申请。因此,建议在《草案》的处罚种类中增加规定暂停 网络接入、暂停新增网络资源和许可的申请 等。
《草案》第四条中对个人信息的处理 的内容,应增加“销毁”的环节。此外,对 个人信息“收集”环节的知情同意方面有很 多条款,但对存储、传输等其他环节的着墨太少;并且《草案》对敏感个人信息处理环 节的规定也不够全面——仅仅停留在“知情 同意”的环节,建议增加对其他环节的规范。
vc是什么意思《草案》主要集中于对信息本身的描 述,忽略了信息的泄露与很多方面有关一 比如网络安全方面的漏洞,因此,建议对网 络安全方面的评估等方面做出更多规范。
张红霞还指出,关于个人信息的跨境 评估方面,建议进一步明确网信办的评估次 数和时间间隔;《草案》第四条关于个人 信息定义中所提到的“匿名化处理后的信 息”,应该在《民法典》第1034条的基础 上进一步的限制,与《民法典》关于个人信 息的定义做好衔接,保持一致;而《草案》第六十五条中“个人信息处理者能够证明自 己没有过错的,可以减轻或者免除责任”的 规定,由于没有规定具体的“证明”标准,则不利于敦促处理者主动保护个人信息。
60中国电倌业
CHINA TELECOMMUNICATIONS TRADE
专家视角丨Expert P e rs p e c tiu e s出国留学读研流程
腿本角薩.〈變》
教育部信息安全专业教学指导委员会 委员、中国人民大学信息学院教授石文昌从 技术的角度给出了对《草案》的几点看法。
关于《草案》中有关个人信息的定义问 题。建议将第四条中“以电子或其他方式记 录”修改为“以各种方式记录' 因为身份证、住址和电话等非电子记录很明显属于个人信 息,没有必要单独强调电子记录的方式。整 体来看,《草案》对个人信息的界定比较模 糊,也未明确静态信息和动态信息的划分。
关于《草案》中的个人同意问题。首先 是第十六条中“基于个人同意而进行的个人 信息处理活动,个人有权撤回其同意”,但 在实际情况中,信息被泄露以后“撤回”意 义不大。此外,关于个人同意的问题还出现 了与其他法律不一致的情况,比如第十七条 中“个人信息处理者不得以个人不同意处理 其个人信息或者撤回其对个人信息处理的同 意为由,拒绝提供产品或者服务”实际上与 《网络安全法》第二+四条有关实名制的相 关规定相冲突;而对于非自然人直接提供信 息(如用户录像等的行为信息)的保护,与 《网络安全法》第二十一条(在用户不知情 的情况下)保存网络曰志的规定不一致。
关于《草案》落地实施方面的技术问题。在当今区块链背景下,个人信息的销毁是不 可行的,因此相
关规定具体落地时可能带来 争端;此外,在具体实施的过程中,由于技 术问题,(非国家机关的)监控摄像难以事 先征得每个用户的同意。
处理好《草案》与其他法律的关系案》不是私法,而是公法和私法的结合,因 此《民法典》和《草案》不是一般法和特别 法的关系。何博士指出,要处理好《草案》与《国家安全法》《数据安全法》和《网络 安全法》的关系问题,认为未来的数据保护 基本框架将由《数据安全法》《个人信息保 护法》以及未来可出台的《数据利用法》构 成。就立法目的而言,何博士认为《草案》强调了个人信息保护,而对于个人信息的利 用(例如数据跨境流动)着墨较少。此外,何博士针对《草案》提出了以下几条建议。
建议《草案》中个人信息的定义应当维 持“抽象定义+不完全列举”的立法方式。其中,应注意两大事项:其一,匿名化是不 是判断“非个人信息”的唯一标准,去标识 化的信息或聚合的信息到底是不是个人信 息;其二,明确“个人信息”是否包含一些 易产生争议的数据类型,如“消费历史记录 或消费趋势”“浏览记录、搜索记录,以及 网站及应用程序等网络活动信息”“视觉、热量、嗅觉”等。
建议《草案》首先应肯定对敏感数据和 公共数据的特殊保护,其次应强调特定条件 下的默示(通知)规则,即是否需要对处理 一般数据作出更为宽松的规定,比如是否能 引入默示通知规则,侧重规范数据的商业化 利用,即强调企业在处理数据之前的“通知”义务,只要个人不反对,就默认为符合“同 意规则”。
建议《草案》详细论证,在已有的知情 同意权、查阅权、复制权、更正权及删除权 之外,是否需要增加被遗忘权、数据可携权、数据财产权等新的权利内容。此外,对已有 的权利,建议通过更加精细化的立法技术,加强法律的系统性、针对性和可操作‘性。
重庆邮电大学网络空间安全与信息法
上海交通大学数据法律研究中心执行
好听的手机来电铃声主任何渊博士认为,从法律定位而言,《草
中国电侑业61
专家视角Expert P e rs p e c tiu e s
学院王志刚教授认为,《草案》亮点众多,
但是仍然存在较为粗糙和操作性不强的问 题,主要包括以下几方面。
就个人信息的范围界定而言,条款存在
语言逻辑混乱的情况。《草案》第四条第二
项提到了“包括个人信息的收集、存储、使 用、加工、传输、提供、公幵等活动”,此
处的“等活动”是否包括其第一项提到的“不
包括匿名化处理后的信息”。按照一般理解
和行业管理,匿名化是个人信息处理过程中
的不可避免的活动,那么这就出现了语言逻
辑混乱的情况。
个别条款表述上缺乏严谨性。第八条缺
乏义务主体,即信息处理的主体是个人信息
提供者还是处理者。如果是处理者,则处理
者如何保证所处理的信息应当是准确的,并
及时更新。
《数据安全法(草案)》和《草案》在 个别条款上存在不协调、不一致的问题。《数 据安全法(草案)》中对数据的界定范围和x〈草 案》中对个人信息的界定范围存在一定程度 上的交叉,会增加企业与监管机构在实践中 区分数据和个人信息的难度,进而造成处罚 力度和处理金额上的难以判断和不一致,这 也造成了《草案》难以得到有效的实施。因 此,鉴于《草案》出台后可能出现操作性和 实时性不强等问题,王教授建议弱化个人信 息保护立法,而细化数据保护立法,《草案》更多应定位为一部导向性、基础性的法律,不宜规定过细。
就法律责任而言,《草案》所规定的处 罚类型过于单一,建议处罚手段进一步进行 细化和多样化。
《草案》缺乏技术标准的有关规定。个人信息保护立法本质上,应是技术和法 律交织的问题,但是《草案》未涉及相关 技术标准。大数据时代出现的新行业和新 趋势以及其自身的复杂性,也需要技术属 性的监管制度予以回应,而标准能够灵活 回应现实变迁的需要。因此,建议《草案》62中■电傕业
CHINA TELECOMMUNICATIONS TRADE 正面回应相关技术标准的相关援引和使用 问题,为实践中适用这些标准提供法律依 据。具体而言,可在附则中加上一条,即 有关信息保护方面的国家技术标准可以作 为本法的适用依据。
《草案》体现时代特点
中伦律师事务所合伙人陈际红律师认 为,《草案》立法进程快、质量好,适应了 当今大数据和数字经济时代的发展。陈律师 针对《草案》主要指出了以下四个方面的问 题。
关于个人信息的定义问题,通过比较 中国已出台的法律法规中关于个人信息的定 义,陈际红认为《草案》对个人信息的定义 是较为妥当的。
关于同意这沖方式,陈际红认为《草案》的知情同意框架较为完善,其中对知情同意 的原则规定是比较高的条件。但是,较于之 前的同意方式,《草案》首次增加单独同意
和书面同意的要求,这就应考虑这两种同意

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。