《个人信息保护法》二审稿深度学习与建议研讨会综述

2021年4月，全国人大法工委公布备受瞩目的《个人信息保护法》二审稿草案。此次公布的法律草案积极回应民众和各方关切，在若干方面进行了调整，引起了国内外的高度关注和积极评价。

值此立法的关键时刻，对外经济贸易大学法学院、数字经济与法律创新研究中心于2021年5月22日召开“《个人信息保护法》二审稿深度学习与建议研讨会”，会议由外经济贸易大学数字经济与法律创新研究中心执行主任许可主持，对外经济贸易大学法学院院长梅夏英教授、全国人大法工委经济法室处长高飞、中国社科院法学研究所编审《环球法律评论》编辑部主任姚佳、中国社会科学院大学互联网法治研究中心执行主任刘晓春、中国信通院互联网法律研究中心主任方禹、清华大学法学院助理研究员刘云、对外经济贸易大学法学院助理教授孔祥稳、字节跳动法律研究中心主任丁道勤、腾讯研究院秘书长张钦坤、SAP（中国）有限公司大中华区政策研究总监宫仁海、蚂蚁集团隐私保护研究中心主任李海英、阿里巴巴政策法规研究室高级专家刘明、科文顿·柏灵律师事务所合伙人罗嫣、亚马逊云科技法律顾问石皓、华控清交信息科技（北京）有限公司高级战略发展总监杨祖艳、亚马逊（中国）公共政策及政府事务高级总监张靖、滴滴法务部数据合规负责人张娜、领英(中国)资深法律顾问郑璇、中国信息通信研究院安全研究所研究员葛鑫等专家学者齐聚一堂，就《个人信息保护法》中的相关问题，尤其是二审稿调整问题展开讨论。

外经贸大学数字经济与法律创新研究中心执行主任许可作为本次会议的主持人介绍了本次研讨会的会议议程和背景目的，会议议程分为两部分，先由产业界专家就实务操作抛出问题，再由学术界专家展开理论探讨，旨在从行业发展和全球视野对个人信息保护法未来的修订和完善提出一些建议。

对外经济贸易大学法学院院长、教授梅夏英首先进行会议致辞，指出个保法的基本思路有待明晰，本次会议应把握三大要点进行讨论：第一，个保法的目的是什么；第二，探讨个人信息控制权利的实际操作性；第三，同意规则究竟如何设计。

会议第一部分由业界专家从实务角度分享了对于个保法二审稿的观点。

字节跳动法律研究中心主任丁道勤具体分析了个保法的条文，提出了详细的修改意见：建议限缩第6条和第8条个人信息权益的措辞；第13条应当列入正当利益条款；第20条的“最短时间”可以被“必要性原则”所吸收；第24条将个人单独同意修改为取得个人的明示同意；在第45条、第46条个人信息查询复制方面增加核实程序以平衡利益；第57条第一款独立机构的组成不明晰；第57条第二款应当由有关部门认定并采取相关措施。

SAP（中国）有限公司大中华区政策研究总监宫仁海从公司实务操作的角度分享了自己的看法。首先，相关法律按照效力位阶，个保法应当与数安法并列于第二级。其次，人工审核的负担重、效率低，建议推行技术治理。最后，建议协调个保法、三网安法和密码法大法律的认证规定，统一整合监管机构，提高企业经营效率。

蚂蚁集团隐私保护研究中心主任李海英建议第24条进一步区分匿名化和去标识化，匿名化不可复原，而去标识化借助其它信息可以再使用再识别。由于去标识化信息的风险性明显低于敏感个人信息和一般个人信息，在整个制度设计中应当有更多的区分保护规定，建议第24条向他人提供去标识化的信息能够免除单独同意，这将有助于未来个性化数字广告的发展。

阿里巴巴政策法规研究室高级专家刘明首先提出个人信息权益的概念不清晰，适用范围过大难以达到预期的立法效果，应将个人信息权益局限于第四章个人在个人信息处理活动中的权利；第二，建议第49条的表述方式直接对标民法典；第三，需要进一步解释第58条受托人的义务范围；第四，第59条在实践中需要协调跨地域经营者和条块分割的行政区分监管职责。

科文顿·柏灵律师事务所合伙人罗嫣首先比较了GDPR和个保法的异同。其次就具体条款表达了自己的看法：第13条第二款应当考虑到具有多个同意基础的处理情况；第58条和第56条，受托方的相关义务规定过于模糊，实务中合同通常约定受托人先通知委托人，如此一来，有关机关可能会受到个人信息处理者和受托方的两波通知。

亚马逊云科技法律顾问石皓首先希望第3条明确主管部门如何监管境外主体以及在什么情况下会触发监管。其次从云服务提供商的行业角度提出了一些建议，建议第五章根据行业特点进行灵活规定，对部分条款进行调整或进一步明晰。建议第57条明确超级互联网平台的概念，认为政府执法即可，第一项没必要成立专门独立机构，对于第二项希望明确是主动自查还是被动监管，需要考虑到主动自查的要求与数据保密义务相矛盾。

华控清交信息科技（北京）有限公司高级战略发展总监杨祖艳首先主要介绍了清华大学姚老师的多方计算理论。随后从技术发展的角度提出了五点立法启示：一我国去标识化标准不够客观、不易实现，并且缺乏匿名化的相关标准；二建议去标识化信息可以考虑不适用“告知—同意”的限制；三信息处理的分级分类应考虑具体的业务场景；四希望承认密文数据的法律地位；五数据安全的基础上鼓励数据流动。

腾讯研究院秘书长张钦坤简要分享了两点看法：第一，凡是由技术带来很多负面的问题，往往最后还是由技术人员来解决，某种意义上来讲，法律在倒逼技术去解决这些技术上的问题。第二，建议第57条去掉“基础性互联网平台服务”，并将措辞更改为“用户数量并大并业务类型复杂”。

亚马逊（中国）公共政策及政府事务高级总监张靖首先也认为第57条应当尽量缩小基础性互联网平台服务的表述范围，还需要明确外部机构到底独立到何种程度；其次建议第一项规定的独立机构独立于公司业务部门；还提出第65条应当附有配套的司法救济条款，为公司提供申诉途径；最后建议第24条的单独同意可以考虑回归到明示同意。

滴滴法务部数据合规负责人张娜对个保法提出了四点建议：第一，建议第13条第四项删除“紧急情况”；第二，建议将第24条的“单独同意”改为“明确同意”；第三，将复制所有材料的“复制”删除；第四，建议第65条区分处罚层级，使其决策能力和处罚力度相匹配。

领英(中国)资深法律顾问郑璇首先希望个保法能够更好的与GOPR衔接。其次提出第49条规定近亲属行使死者的个人信息权利，给平台增加了很重的判断负担。最后建议增加数据跨境的选择路径，可以考虑引入GDPR的充分性决定。

会议第二部分由学术界学者从理论层面对二审稿展开法律分析。

中国信通院互联网法律研究中心主任方禹提出以下三点建议：其一，应当将个人身份纳入个人信息定义之中；其二，个人信息保护需要区分不同情况下的保护，需要妥善处理个人信息保护机关从监管到指导的职能转变，避免职能冲突；其三，数据泄露不通知应当单独设置相应的法律后果，建议罚款金额等于造成的损失除以发生概率。

中国信息通信研究院安全研究所研究员葛鑫主要分析了个保法的跨境规则。第一，从多元化跨境规则设计来看，第38条第一项不要局限于第40条的主体，将安全评估作为一种个人信息出境的选择路径，既包括第40条规定规模性个人信息处理者的强制安全评估，也保留未来可由个人信息处理者自行申报安全评估的可能性。第二，从跨境规则的制度目的来看，其应确保境内监管要求延伸、个人信息保护水平延伸以及避免境外数据不当使用。从监管要求延伸来看，第38条第三项后半段“监督个人信息处理活动打到本法规定的个人信息保护标准”，应为所有出境路径下境内提供方均应负担的普遍性义务；从个人信息保护水平延伸来看，第39条还应当增加“个人信息处理者向中华人民共和国境外提供个人信息的，应当为个人向境外接收方行使本法提供的权利等提供便利或协助”；从避免境外数据被不当利用尤其是避免被境外执法机构获取来看，第41条应当增加第二款“中华人民共和国境外的的司法或者执法机构要求境外接收方提供其所接收的中华人民共和国境内提供的个人信息的，应当及时告知境内的提供方，非经中华人民共和国主管机关批准，不得提供”，同时原条文中“中华人民共和国地接或者参加的国际条约、协定有规定的，可以按照规定执行”，作为第三款。针对监管机制，其认为第61条第一项应当进一步明确赋权国家网信部门“协调”个人信息保护具体规则、标准，用于完善个人信息保护监管活动中，实际执法标准不一的问题。

中国社会科学院大学互联网法治研究中心执行主任刘晓春首先分析了第57条的逻辑结构，其中第三项的守门人责任建议单独规制，并建议，一方面配上相应的通知程序；另一方面细化处罚层次。其次，第44条规定的框架性权利过于宽泛，并建议扩宽同意例外规定。最后提出公开的个人信息都须判断其授权来源，会阻碍数字经济的发展。

中国社科院法学研究所编审《环球法律评论》编辑部主任姚佳首先提出草案中规定的个人信息处理的受托方与个人信息处理者之间的关系需要进一步解释。其次提出二审稿第6条与一审稿第6条对比，增加了“采取对个人权益影响最小的方式”这一规定，该规定事实上范围过大且难以确定具体含义与边界，可能会给未来司法实践带来一定难题。其三，建议第68条的承担民事责任的归责原则进一步细化，对于一部包含了几乎所有主体、所有行为、所有信息在内的《个人信息保护法（草案）》，应在归责原则方面采取“二分法”思路，建议分别针对不同主体、不同行为和不同信息类型等分别规定无过错责任和过错推定责任。最后，姚佳强调在个人权利方面，对于知情权的侵害，消法上更多是通过合同关系予以保护和救济的，而在个人信息保护领域，对于知情权的救济更应侧重于侵权领域，同时在侵害个人权利与其他侵害个人信息的行为发生交叉之时，需在个案中进行辨别。

清华大学法学院助理研究员刘云提出以下建议：第一，将信息分级写入个保法；第二，第13条将第二款改为“符合个人信息权利的合理期待”；第三，第58条增加数据经纪人制度；第四，将58条改为“维护个人信息的权利，履行个人信息处理者的义务”；第五，保留第24条第二款关于匿名化的规定并改成去标识化；第六，第51条将窃取篡改排除出泄露范围，将泄露修改为未经授权的访问公开；第七，将身份认证更改为支持开发安全方面的隐私计算技术。

对外经济贸易大学法学院助理教授孔祥稳从行政法角度分享了看法。一方面，国家机关应适用无过错归责原则；删除原第36条难以衔接《政府信息公开条例》；第35条需要解释何为“妨碍国家机关履行法定职责”。另一方面，未区分民事和行政两种救济机制，未详细规定违反哪条承担何种法律责任；第65条责令暂停业务以及罚款的具体情形有待明晰，建议统一监管体制；第69条公益诉讼条款的主体不明确，也没有明确是行政公益诉讼还是民事公益诉讼。

对外经济贸易大学数字经济与法律创新研究中心执行主任许可就具体条款提出了建议：第6条忽视了社会总体福利效果；应协调与民法典公开个人信息规定的关系；第28条阻碍政府公开信息的二次加工；第49条应采取消极保护模式；第58条应明确义务或者明确角色转换规则；建议在第五章增加小微企业的豁免规则。而组织架构方面建议加强61条规网信部门的保护职责，加强与新技术发展的兼容；提升个人信息权益的宪法渊源或者建立独立专业的中立机关以解决个人信息保护法的国家悖论。

在自由讨论环节，高飞、张靖，郑璇、许可等与会嘉宾就合法利益的问题讨论了具体情形，梅夏英也分享了自己对于用户同意、个人信息保护法律责任的独特观点。各位专家分享了各自独到的观点和见解，在辨明事实、各抒己见的基础上探求真知，在交流研讨中碰撞出了思维的火花。

在会议总结阶段，全国人大法工委经济法室处长高飞简单总结了目前个保法制定难的原因，一方面需要协调各种场景对个人信息保护的要求，另一方面个保法需要处理多重立法目标。未来将继续开门立法、科学立法的原则，为个保法的出台好做后续工作。

声明：本文来自数字经济与社会，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。