您所在的位置:首页 - 新闻快讯 - 学术活动

学术活动

数字经济与法律创新研究中心“得理”(DE&LI)工作坊第4期:欧盟GDPR实施评估...


2019年8月23日,对外经济贸易大学数字经济与法律创新研究中心在宁远楼729举办了第四期得理(DE&LI)工作坊。本工作坊由数字经济与法律创新研究中心主办,数字经济与社会研究会协办。

本次工作坊的主题为“欧盟GDPR实施评估与我国个人信息保护法制定”。会上各位专家学者就欧盟2018年5月实施的《一般数据保护条例》(以下简称“GDPR”)一年多来的执法情况评估和我国正在制定的《个人信息保护法》如何借鉴GDPR的规则进行了深入探讨。本次与会人有:中国信通院安全研究所数据安全研究部副主任陈湉、中国信通院互联网法律研究中心主任方禹、中国社会科学院大学互联网法治研究中心执行主任刘晓春、北京大学法治与发展研究院高级研究员洪延青、中国法学会法治研究所副研究员刘金瑞、中国政法大学副教授沈伟伟、阿里巴巴集团国际隐私合规高级专家郭戎晋、北京市网络法学研究会理事刘元兴、美团点评法律研究中心高级研究员刘笑岑、普华永道高级法律顾问宋雅菲、京东法律研究院秘书长严少敏、百度公司高级法律顾问鲁艳、对外经济贸易大学数字经济与法律创新研究中心执行主任许可,以及其他业内专家。


首先,陈湉主任以《欧盟GDPR合规指引白皮书》为基础,进行引导发言。她主要从欧盟GDPR实施一周年的基本情况、实施一周年的评估情况、我国的经验借鉴和实践三部分发表了独到见解。就欧盟GDPR实施一周年的基本情况,陈主任从欧盟层面、成员国层面、执法处罚方面、企业合规层面进行了介绍。就GDPR实施一周年的评价,她重点关注EDPB发布的评估报告,认为GDPR实施的成绩在于解决了《1995年个人数据保护指令》时代成员国各自为政的问题,但是,EDPB报告并没有正面回应如何提振欧盟的数字经济,仅仅说明通过一站式的监管协作机制打造欧盟统一的监管环境、营造欧洲单一的数字市场。此外,陈主任还就数据泄露、APP第三方管理问题发表了看法。

许可老师发表了题为《GDPR周年反思及其对中国个人信息保护法的启示》的引导发言。许老师首先介绍了GDPR的四个维度:文本中的GDPR (GDPR In Book)、行动中的GDPR(GDPR In Action)、价值中的GDPR(GDPR In Value)、经济中的GDPR(GDPR In Economy),其中,“文本中的GDPR”和“价值中的GDPR”是事前观点,“行动中的GDPR”和“经济中的GDPR”是事后观点,后者比前者更为重要。就行动中的GDPR,他介绍了欧盟层面和各成员国的执法情况、GDPR对民众、企业和欧盟境外的影响以及对GDPR实施的批评。就经济中的GDPR,他认为GDPR可能戕害创新、伤及互联网成熟业态、阻碍新兴产业的发展、减少风险投资、未必有利于企业和用户建立信任。最后,在中国制定《个人信息保护法》的过程中,应明确《个人信息保护法》的“通用性”和“一般性”,将收集和处理个人信息的政府机构纳入规制对象,灵活解释个人信息保护中的“知情同意”,重新锚定个人信息保护的制度基点。

在许可老师的指导下,我院硕士研究生王好好同学对GDPR实施一周年的正面评估进行了观点梳理。正面观点总结起来有三个角度:第一是对消费者的保护角度,第二是对企业带来的现实商业利益,第三对整个竞争市场的促进。从消费者角度看,GDPR提高了消费者数据的安全性,有利于对消费者隐私和个人信息的保护。GDPR中各项数据权利加强了消费者对数据的控制权,保护消费者的利益。GDPR的落实还能使消费者享受到更好的服务。从企业角度看,GDPR的落实有利于企业降低数据记录泄露和由此产生的财务成本,可以帮助企业缩短销售周期,减少销售延迟,还能够帮助企业提高营销投资回报率(ROI),可以提升客户对企业的忠诚度和信任度,建立品牌,提高竞争力。从市场角度看,GDPR的落实能提供公平的竞争环境、建立新的商业文化、促进新商业模式的产生。


方禹主任发表了题为《GDPR与中国个人信息保护立法》的引导性发言。他认为我国制定个人信息保护法,应当从六个方面着手:个人信息保护专门机构、个人信息主体的权利、个人信息收集和使用、个人信息的跨境转移、登记注册制度、泄露通知制度。他认为强化数据主体的控制力是个悖论,从产业实践来看,用户一旦把数据交给数据控制主体或者处理主体就失去了控制力,各国立法想弥补这个问题很自然就强化数据主体的控制力,这其实与产业实践矛盾,立法需要做的是解决失去控制力后可能产生的问题。他还认为个人信息保护制度比较重要的就是登记注册制度,以该制度为核心展开个人信息保护的一系列规则。最后,方主任还就个人信息定义的界定发表了看法。


在自由讨论环节,洪延青博士接着方主任的演讲,就个人信息的定义进行了发言。洪博士明确了什么是个人信息、GDPR的“identity”含义以及什么是识别。关于GDPR的评估,他指出其必然有着正面和负面的效果,现在还无法做出全面的评价。此外,GDPR和我国个人信息立法的最大差异之一,就是我国习惯从数据生命周期逻辑进行规定,而GDPR通过更为抽象的“处理”(processing)概念来适用一整套原则和规则,从而避免了分环节规制的割裂状态。此外,他还提出我国的立法对于数据生命周期中数据保存、使用、提供等表述应统一法律术语,避免技术用语。


郭戎晋的发言提到了数据勒索的问题。他介绍GDPR带动了隐私合规产业链的发展,目前欧盟有五家初创企业代表用户去主张个人数据权利。他担心欧盟用户权利的行使会不会变相成为资料勒索的合法手段,这是目前欧盟GDPR实务上存在的问题,未来我国如何预防通过相关方滥用权利,来牟取利益,值得关注。


刘晓春主任认为,GDPR对产业带来的成本是不需要论证的,促进隐私产业本身发展也是肯定的,但并非能够产生新的产业就是好的事情,我们关注的是对资源分配的影响。GDPR展现出其高合规成本更有利于大企业的资源分配,并且可能导致资源从创新投入转移到信息保护上去,这是不妥当的。


刘金瑞认为,GDPR是由很多条文组成的整体,很难笼统评价它的好坏,什么样的立场决定了我们对这个问题的观点,评价时要排除先入为主的观念,尽量客观看待。他对GDPR能够建构出单一数字市场持有怀疑态度,GDPR实施需要各国内化为国内法,各国条文并不相同,即使条文一样,各国的理解也有差异,比如对公共利益的理解。他还认为,将个人作为个人信息所有者的思路过分强化个人控制权,而在此基础上,增加例外的立法技术是有问题的,因为要不断论证例外是不是合理的,各种例外是需要实践检验的,甚至需要司法判决做出。


刘元兴认为,我们可以评估文本,但不可能站在我们的制度环境和经济发展情况或我们的认知上去评估GDPR。我们可以借鉴文本,但不可以借鉴的是制度背景和后面的价值,包括司法、行政还有整个配套的机制,我们是不能模仿的。他还认为在互联网3.0时代,应从消费者的角度和从风险规制的角度来制定个人信息保护法。


刘笑岑分享了在个人信息保护实务中面临的问题和困惑。她还认为,不同部门法如刑法跟行政法之间,同样都是保护个人信息,但所谓的法益和保护视角是完全不一样的。她主张在借鉴境外的同时,也应该基于自身的法律体系,对不同的法律概念、法益、规范目的进行更细化的理解。





还有其他与会专家纷纷贡献真知灼见。鲁艳从企业的价值和合规成本权衡、企业之间的利益平衡、企业跟用户之间的利益平衡三个方面进行了发言。沈伟伟老师认为,个人信息保护应该放在整个国家战略和国际格局上考虑。严少敏认为,GDPR是很成功的,统一了立法,并对全世界造成了影响,而其本质,是以欧盟庞大的用户控制了世界规则的话语权。宋雅菲就个人信息出境评估办法是否形成域外效力以及实务操作问题进行了发言。

会议结束了,但大家讨论仍在继续。作为复杂而不断演进的法律制度,GDPR的最终效果,仍需要时间,而对于大力发展数字经济的我国,发展依然是第一要务。数据是未来数字经济的核心生产要素,对数据的治理应该包容审慎、以发展为导向。云大智物移等的新技术群落,目前仍然在快速迭代,存在很多可能性,技术和法律的二元治理框架亟待建立。总之,作为拥有网民最多、数字经济位居世界前列的国家,中国理应成为全球个人信息保护制度的关键塑造者,中国《个人信息保护法》的制定仍应回应我国的真实世界和真实问题,立足于产业实践、技术进步、人的理性行为选择,给未来留下空间,给技术留下空间,形成契合我国长远利益和根本价值的个人信息保护规则。