【主办方】
　　时间：2019年7月3日
　　地点：北京市律师协会四层第五会议室
　　
　　【座谈嘉宾】
　　刘德良 北京师范大学法学院教授、博士生导师
　　孙 彦 十届北京律协信息网络与电信邮政法律专业委员会主任
　　李德成 十届北京律协信息网络与电信邮政法律专业委员会副主任
　　蔡 鹏 十届北京律协业务拓展与创新工作委员会副主任
　　黎辉辉 金杜律师事务所律师

　　
　　【主持人】
　　杜 萌  《北京律师》编委会特邀委员

　　【议题背景】
　　随着网络和信息技术的迅猛发展和快速普及，个人信息作为“大数据”的核心和基础在各领域中得到广泛应用，其商业价值日益凸显。一些企业在利益驱使下漠视法律，导致随意收集、非法获取、擅自使用甚至滥用个人信息的现象泛滥。
　　2012年，全国人大常委会通过关于加强网络信息保护的决定，确立了个人信息收集、使用规则及网络服务提供者保护个人信息安全义务等基本规范。
　　2013年，全国人大常委会修改消费者权益保护法，对消费者个人信息保护作了专门规定。
　　全国人大常委会分别于2009年和2015年两次通过《刑法修正案（七）》和《刑法修正案（九）》，专门增加了出售或者非法提供、窃取或者非法获取公民个人信息的犯罪及刑罚条款。
　　2016年，全国人大常委会通过《网络安全法》，进一步充实完善了收集、使用个人信息的规则，以及网络运营者保护个人信息安全的义务与责任。
　　2017年3月，十二届全国人民代表大会第五次会议表决通过《民法总则》，将个人信息受到法律保护作为一项重要民事权利予以规定。
　　2019年3月4日，十三届全国人民代表大会第二次会议新闻发言人表示，已将制定“个人信息保护法”列入本届人大立法规划，“相关部门正在抓紧研究和起草，争取早日出台”。
　　2019年4月21日，中国法学会行政法学研究会与中国政法大学法治政府研究院共同发布了《法治政府蓝皮书：中国法治政府发展报告2018》，报告中提到：“当前中国有近40部法律、30部行政法规以及200余部规章的规定直接涉及对个人数据的保护，并有以身份证法、护照法等为代表的多部间接立法调整个人数据的保障工作”。

　　主持人：今年是律师制度恢复重建40年。北京律协自恢复重建以来，至今已创设70个专业委员会和研究会，各专业委员会积极组织律师参加全国人大、司法部、北京市政府以及各级政府的立法讨论，为国家法治建设建言献策，几十年来一直保持这项优良传统。今天，我们请来各位嘉宾，就全国人大常委会已将制定“个人信息保护法”列入本届立法规划作为议题，请各位嘉宾在此交流来自个人的专业思考。
　　黎辉辉：我是从事企业合规业务的律师，在实务中没有直接处理过相关的刑事案件，我们团队主要为企业客户落实《网络安全法》及其配套措施提供法律咨询服务。我们注意到，早在互联网前期阶段，其经济发展逻辑就是“羊毛出在猪身上”，很多企业尝试让用户提交他的个人信息，换取一些相应廉价或者免费的服务。随着互联网经济的快速发展，我们国家出台了《网络安全法》，将个人信息保护的一些基本原则写进了法律中。这部法律出台以后，企业面临的难题就是，处理既存用户的数据是不是会出现法律瑕疵，以及怎么将个人信息合法合理地盘活、利用起来？这可能也是我们立法工作者需要更好解决的问题。我先简单开个头儿，请各位老师点评和指教。
　　
　　李德成：我一直密切关注网络个人信息保护，1999年写过《网络广告法律制度初论》一书，2000年写了《网络隐私法律制度初论》一书，还参与过《网络游戏管理暂行规定》的起草工作。近期，关注了央视3•15曝光的几个比较典型的案件，有探针盒子，有银行卡隔空盗刷案，以及银行免密支付、社保掌上通，等等。关注到市场监督管理总局在这方面的行政执法工作已经在三线城市开展。尽管十几年来特别期盼个人信息保护法出台，但是近三年，我的心态有些纠结。为什么纠结？
　　因为我没有看到大量涉及政府、执法机构、包括行业协会对个人信息开展的自查工作。如果上述机构和单位关于个人信息搜集、使用甚至滥用行为没有出台限制标准、没有自查、没有纠错，我们在这样的一个大的背景情况下讨论“个人信息保护法”的出台，难免存在重重顾虑。

　　主持人：到底存在什么样的顾虑？
　　李德成：比如，某机构或协会搜集了个人信息材料，包括个人年检、注册信息，参加会议信息，甚至体检信息，这件事情本应公示，问题在于大家没有见到你在哪个地方公布你收集个人信息的政策、使用信息的政策、分享信息的政策，包括数据处理政策。这样的情形在交通、医疗领域更不用说了。有一年，我出国前发现手机短信突然停了，我追问原因？对方说你发了大量的垃圾短信，我要求查证，对方一查，发现是我发给12321投诉平台的。我说我收到那么多垃圾短信，投诉给你们，你们却把我的短信停了，我还是你们工信部垃圾邮件与垃圾短信处理委员会的副主任呢。
　　
　　蔡 鹏：我们团队很早参与过与电信等行业相关法律的立法工作，我个人也做了这方面的一些诉讼和非诉的项目和案件。我想从另外一个角度谈谈个人看法。
　　《网络安全法》颁布以后，社会上关于网络安全、数据保护、个人信息保护的立法和执法可以称之为风起云涌。记得2017年发生过很多起数据安全案件，其中有一个数据堂事件。数据堂是一个新三板上市公司，这个公司的主营业务就是做数据分析、收集以及处理，基于收集和处理这些数据产生自己的商业模式，再去做一些商业推广并产生盈利。根据相关媒体报道，数据堂的几位高管被公安机关以侵犯公民个人信息罪立案调查并逮捕，这个事件在当时引起了轩然大波。因为这类商业模式不是个案，有很多企业与它的商业模式相似。这家公司是一家在全国中小企业股份转让系统挂牌的公司，其必须遵从一定交易规则和信息披露制度，并由相关主管机构监管。可以说，2017年的数据堂事件只是揭开了整个数据交易黑市的冰山一角。
　　
　　李德成：这起案件是由公安部和最高人民检察院督办的大案。
　　
　　蔡 鹏：2017年6月颁布实施的《网络安全法》，实际上可以称为网络安全和个人信息保护领域的基本法，这部法律实施后，结合其他相关规定和司法解释，我们看到个人信息保护的立法框架已经形成。我注意到，在现在相关的执法中，有关概念和依据来源于《信息安全技术个人信息安全规范》。该规范是国家标准但不是强制性标准，是推荐性标准。尽管目前国家对个人信息保护采用行政等强力手段往前推进。但是没有一个上位的专门法律、法规，缺少个人信息保护的专门法或是特别法。
　　《网络安全法》是这样定义个人信息的：是指以电子或者以其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息。《网络安全法》在界定个人信息时判断的关键是识别。我们再看看近期包括个人信息安全规范的立法趋势，实际上对个人信息概念的边界已经有不同程度的拓展，不仅仅是《网络安全法》所能完全涵盖的。它是怎么界定的呢？指以电子或者以其他方式记录，能够单独或者与其他信息结合，识别特定自然人身份或者反映特定自然人活动情况的各种信息，这里还对个人信息作了一些解释性列举，不仅有识别，而且还有关联。我们从商业模式上看，很多商业模式是基于数据的采集和交换产生的，而很多商业模式根本不以营利为目的，它在大量采集各种各样的数据后与其他平台产生关联关系，然后共同促生一些商业利益，这是需要我们在数据交易的合法合规方面关注的一个问题。
　　从立法层面来看，关于个人信息保护的立法机构很多，执法机构也很多，我们感觉就现有实践层面，特别是在执法领域有“九龙治水”的问题。如果从法律渊源的角度，现有法律、法规不能涵盖整个执法实践，很多执法行为缺乏有效依据。
　　
　　李德成：执法只能借助规章。
　　
　　蔡 鹏：对。这中间可能会造成对同一个问题的处理不一，尺度不一。从真正的法律渊源来看，对于法律和法规的解释是法律、行政法规、部门规章，司法解释也可以算是法律渊源。个人信息安全规范是什么？这是推荐性的国家标准，从严格意义上来说，不能作为法律来看待。
　　
　　孙 彦：我注意到在司法实践操作过程中，保护个人信息对个人救济不到位，如果发现个人信息被泄露，根本没有救济途径。我们可以看看欧盟相关的保护规定，一些具体措施的要求很明确，很具有操作性。大数据也好，个人信息数据也好，大众被骚扰的情形已经很多，怎么处理，我能不能投诉骚扰我的人，这个尺度谁来衡量？我认为，这一点要在立法过程中细化。我们强调个人信息保护应该是对私权的保护，其实侵犯私权真的不完全是运营商和网络经营者，政府执法部门滥用公权力获取个人信息并侵犯私权的现象也是存在的。
　　
　　蔡 鹏：现在看来，整个国家对个人信息保护的执法趋势趋严，但通过执法案例也反映出一个问题，即立法不足，真正能形成有效法律依据或者一些关键概念的厘清显得不够。什么关键概念呢？比如个人信息概念的基本内涵和外延。现在很多人都在讨论个人隐私问题，我们国家没有一部法律规定个人隐私这个概念，我认为，个人隐私和个人信息是完全不同的两个概念，这两个概念不能混为一谈，这两个概念相当于两个交叉的集合，对于不同的人，对自己隐私的界定是不一样的。
　　现在是大量集中式立法，对执法中出现的一些问题进行规范。但对一些经营者来说，他们存在很多担心，普遍担心自己使用个人信息的时候怎么能够不触碰到红线？红线在哪儿？这对法律执业者来说也是个困惑。实际上这个时候我们找不到现成的法律依据。真正的数据主体是谁，谁对这些数据拥有权利？没有任何一部法律能够说清楚。当然，现在的立法包括民法分则也在讨论这个问题，学界的观点也不一致。
　　
　　孙 彦：我接着蔡律师的话说两句。我觉得个人信息保护现有规定确实太狭窄了，仅仅是身份识别的作用。在商业里最有用的是你的消费行为信息，这些行为信息价值非常大，这个信息如果被泄露，不仅侵犯个人隐私，而且可能会对人身带来伤害性的风险。
　　
　　李德成：很多国家对涉及个人信息的挖掘是有禁止性规定的，你可以合法地获取这些信息，但是获取这些信息以后，对它进行深入挖掘法律有禁止和限制性规定的。对信息挖掘是通过立法进行规范的。具体定位到某个人，什么情况才可以使用，什么情况下不允许使用，针对特殊情况要经过什么样的程序才可以被允许。此类行为在法律上是有一系列的禁止与限制性规定，并对违法行为规定有严重的法律（包括刑事）责任的。
　　
　　孙 彦：国内是不是没有这样的法律规定？
　　
　　李德成：不明确，禁止性规范与法律责任都不清晰。
　　
　　孙 彦：将来侵犯我们的不仅仅是个人身份证信息，这个一定要说清楚。
　　
　　蔡 鹏：只要能够关联到你的个人主体信息，都视为你的个人信息，这是没有问题的。从整个判断标准来看，就是识别+关联。

　　主持人：蔡律师，你们团队有没有关于这方面的建议或者讨论立法规划的建议？
　　蔡 鹏：目前还没有提出具体建议。我们一直跟立法部门保持比较紧密的联系，很关注个人信息保护法的立法，我们毕竟是在第一线能接触到很多案件，但目前还没有到立法者向我们征求立法修改意见这个层面。

　　主持人：黎律师，您对个人信息保护法立法的关注点是什么？
　　黎辉辉：我觉得，厘清立法部门、部门或监管机构的分工和职责可能是很重要的一点，也是企业希望明确了解的。希望能够在立法中得以明晰这一点。说起立法的必要性，现在欧盟有《通用数据保护条例》（简称“GDPR”），其他很多国家也有专项的个人信息立法。尽管立法面对的困难很多，就像几位律师前面说的，是否将一些具备可操作性的规则直接拟进基本法法条中，还是后续制定实施的细则，需要立法者周密地进行思考。

　　主持人：前面主要是专业委员会的律师和黎律师介绍了个人的思考和评判，请刘教授翔我们介绍您的学术研究体会。
　　刘德良：为什么要保护个人信息？我们的个人信息在实际中所面临的真正问题是什么？人们常提到的个人信息泄露问题很严重，而“泄露”本身会有什么直接危害吗？
　　其实，个人信息有两类，有一类真的需要保护，那是有关个人名誉和尊严的一类信息，比如裸照、人的情感经历、性取向、不为人知的重大生理疾病缺陷等。除此之外的其他个人信息，像姓名、家庭住址、工作单位、电话号码、身份证信息等，都是人们在社会经济、文化交往中彼此了解（认知）而产生的。所以，我们在上学、求职、社交、交易等都彼此需要这类信息。我们的这类信息都已经存在于社会中的N个节点了。“N”实际上是多少，我们自己都不知道。如果不考虑到后续的滥用问题：这些个人信息因为“泄露”而“被N个主体知道”和“被N+1（或M）个主体知道”有什么本质的区别吗？
　　实际上，对于此类个人信息，我们真正担心的不是“泄露”本身，而是后续的滥用问题造成的危害。事实上，试图通过个人“控制”这些信息，或者通过防止“泄露”来解决我们真正面临的诸如骚扰电话、垃圾短信、垃圾邮件、身份假冒、歧视等问题，不仅成本巨大，而且收益甚小。因此，我们的立法应该朝着有效遏制滥用（而不是防止泄露或个人控制）个人信息的方向努力。
　　目前，包括欧盟立法以及主张照抄欧盟立法的中国立法在内的主流观点，恰恰混淆了个人信息与个人数据的区别，把个人数据完全等同于个人信息对待。按照这种观点，个人对所有与其有关的数据都拥有自主权（即所谓的个人信息权），任何收集、加工和处理与个人有关的数据（不管这些数据能否识别出某一特定自然人）都应该征得个人同意，否则都是违法的，都应该追究其法律责任。
　　在现实中，企业为了所谓的“合规”，不得不制定形式合法的所谓“隐私政策”。这些所谓“合规”的隐私政策，即使在欧盟内部的成员国也只有少数情况得到真正落实，更不用说在国情完全不同的中国了。倘若真的持续不断地严格执行目前的法律及所谓合规的隐私政策，其执行成本将几乎会使所有的企业都无法长期承受。因此，目前欧盟立法以及深受欧盟立法影响的中国立法不仅根本无法保障互联网和大数据产业的健康发展，而且还会是其健康发展的制度障碍。
　　大数据时代，数据流通是互联网和大数据产业发展的必要条件，强调个人信息保护的同时也应该注重对个人数据的利用，不要混淆了个人数据和个人信息的概念。我提出个人信息是指在任何给定的情形下可以直接识别出某一特定自然人的信息（数据）或信息（数据）组合。在任何特定情形下，如果未经允许或授权，商家手中持有的数据如果可以直接识别出特定自然人，这种持有或利用就是一种侵犯个人信息财产权的行为，就应该承担法律责任。反之，只要商家手中持有的数据不能直接识别出某一特定自然人，它就可以对这些数据享有财产权益，可以自由使用、交易。但是，对于个人数据只能合理使用，不得进行价格或就业歧视等滥用。这样，我们个人所真正担心的问题也就不存在了，大数据产业和个人利益之间就能够保持合理的平衡了。

　　主持人：最后，请各位嘉宾对个人信息保护立法进行归纳性发言。
　　蔡 鹏：“个人信息保护法”是专门法。在我们国家现有的相应规章、制度、标准中缺少一个上位法律对现有执法依据或者法律规范作出一个清晰的梳理，特别像我刚才谈到的个人信息概念的内涵和外延。在成熟的商业社会，如何能够在充分保护的基础上合理使用个人信息，包括个人信息的权利属性，以及权属范围和使用范围这几个核心问题，都是个人信息保护的关键问题，我们都期望能够在立法当中得以准确界定和充分规范。作为法律实践者，我们非常愿意贡献我们的一些经验和智慧，为推动立法奉献出一份力量。
　　黎辉辉：希望“个人信息保护法”在立法中明确监管和主管部门的职能架构和职责，这对于如何更好地保障执法一致性，以及指导企业合规使用很有必要。我们的立法部门可能还有两点需要考虑：第一，“个人信息保护法”怎么给商业模式保留一定的灵活空间，可以由法律适用和解释来构建；第二，光靠一部法律难以全面适应商业模式的发展，当我们的基本法建立起来以后，后续的实施细则、国家标准和规范要能够跟得上。
　　
　　孙 彦：个人信息保护的基本法律理念和法律原则都有了，怎么在这个原则之上制定一些接地气的、解决问题的条款；大数据产业的发展必然是利用个人信息，利用到什么程度,怎样充分考虑产业发展，要确定更细的原则；针对政府机关和执法部门滥用个人信息这方面一定要规范严格；最后一点，立这么多法，这么多执法部门，我们发现问题时有没有救济途径，政府执法部门能不能直接接受个人投诉，比如规定个人有删除权、撤除权等，要给个人创设救济途径。
　　
　　李德成：将来最难、最能够考量我们个人信息保护立法和执法状态的标准到底是什么？我认为，就是要通过司法在个案审理的过程中确定获取与使用的必要性。收集个人信息时要告知，你跟第三人分享时要得到同意等，可以通过立法作出一般性的规定甚至“一刀切”。但是，获取与使用的信息，是否遵循了必要（够用）的原则，这在规范性法律文件中很难作出更具体的规定，即便作出了规定其操作性也不强。所以，我最期望的是在司法实践中，通过个案的判决对获取与使用个人信息的“必要性”形成司法裁量的标准，供行业包括政府等公权力机构遵行。这是最难的，也是最有积极价值意义的。我最期望能体现法律人价值的，对立法和司法最有贡献的点也是在这个地方。
　　
　　刘德良：简言之，谈到个人信息保护，我认为个人信息的保护应该包括三层含义：一是要确保那些直接攸关个人名誉和尊严同时又与社会和公共利益无关的少数个人信息（我国1986年之前法律上的阴私，即真正法律意义上的隐私）不被非法收集、刺探、公开和利用。二是要注意区分个人信息的公开、披露与对个人信息的滥用行为：只有那些直接攸关主体名誉和尊严而又与公共利益和社会利益无关的个人信息才需要保密、防止公开和披露；而对于其他个人信息，由于公开或披露行为本身是不会对主体造成伤害的，因此，立法努力的方向应该是如何防止被滥用，而不是要求保密、防止泄露。三是要承认个人信息（而不是不能识别出特定人的个人数据）之上的商业价值属于个人而不是商家；而那些不能识别出特定自然人的与个人有关的（个人）数据的商业价值，则属于合法收集和拥有的商家。这样，商家如果想合法拥有（那些不能识别出特定自然人的）个人数据的商业价值的话，其势必有动力确保个人数据的非识别性（匿名性），因为（可以识别特定自然人个人的）个人信息的商业价值属于个人，而不属于商家；否则商家就很可能构成侵权，更何况商家一般是不会对特定自然人是张三还是李四感兴趣的。