美女高潮潮喷出白浆视频,欧美村妇激情内射,日本少妇被爽到高潮无码,CHINESE猛男自慰GV

(網(wǎng)經(jīng)社訊)2020年10月21日，《中華人民共和國個(gè)人信息保護(hù)法（草案）》公布并公開征求社會(huì)公眾意見，這標(biāo)志著我國個(gè)人信息保護(hù)法的立法，邁出了具有決定性意義的一步，將深刻并長(zhǎng)遠(yuǎn)地影響我國數(shù)字經(jīng)濟(jì)和數(shù)字社會(huì)的未來發(fā)展。

　　值此立法的關(guān)鍵時(shí)刻，對(duì)外經(jīng)濟(jì)貿(mào)易大學(xué)數(shù)字經(jīng)濟(jì)與法律創(chuàng)新研究中心作為受邀提供草案意見的單位，于2020年11月15日召開“《個(gè)人信息保護(hù)法（草案）》深度學(xué)習(xí)與建議研討會(huì)”，邀請(qǐng)來自立法部門、監(jiān)管機(jī)構(gòu)、科研單位以及產(chǎn)業(yè)界的 專家和代表，對(duì)草案八章70條開展逐條、逐句的研讀，盡可能匯聚多維度、多立場(chǎng)的觀點(diǎn)意見，盡可能匯聚多維度、多立場(chǎng)的觀點(diǎn)意見，為《個(gè)人信息保護(hù)法》的 出臺(tái)建言獻(xiàn)策。與會(huì)人員既有中央財(cái)經(jīng)大學(xué)法學(xué)院教授邢會(huì)強(qiáng)、中國人民大學(xué)法學(xué)院副教授暨未來法治研究院副院長(zhǎng)丁曉東、中國法學(xué)會(huì)法治研究所副研究員劉金 瑞、浙江大學(xué)互聯(lián)網(wǎng)金融研究院研究人員潘政、中國信通院互聯(lián)網(wǎng)法律研究中心主任方禹、中國信通院安全研究所工程師葛鑫以及對(duì)外經(jīng)貿(mào)法學(xué)院張欣副 教授等專家學(xué)者，也有歐盟商會(huì)網(wǎng)絡(luò)安全子工作組主席兼SAP政策研究總監(jiān)宮仁海、Zoom中國區(qū)首席代表顧文杰、微軟中國公共及法律事務(wù)總監(jiān)黃麗丹、螞蟻 集團(tuán)隱私保護(hù)研究中心主任李海英、京東法律研究院總監(jiān)李麗、亞馬遜AWS中國公共政策總監(jiān)李國俊、阿里巴巴政策法規(guī)研究室高級(jí)專家劉明、西云數(shù)據(jù)法律顧問陳巍、科文頓·柏靈律師事務(wù)所合伙人羅嫣、安理律師事務(wù)所高級(jí)合伙人王新銳等實(shí)務(wù)部門代表。全國人大法工委經(jīng)濟(jì)法室副處長(zhǎng)林一英也蒞臨會(huì)議，聽取各方意見。

　　外經(jīng)貿(mào)大學(xué)數(shù)字經(jīng)濟(jì)與法律創(chuàng)新研究中心執(zhí)行主任許可作為本次會(huì)議的主持人首先介紹了本次研討會(huì)的背景和目的，旨在總結(jié)和梳理學(xué)界關(guān)于《個(gè)人信息保護(hù)法（草案）》的意見和觀點(diǎn)，為全國人大法工委的后續(xù)立法提供參考。隨后簡(jiǎn)單介紹了與會(huì)嘉賓和研討會(huì)議程，本次會(huì)議主要按照草案條款逐章展開討論，鼓勵(lì)各位集思廣益，踴躍發(fā)言。

　　對(duì)外經(jīng)濟(jì)貿(mào)易大學(xué)法學(xué)院教授梅夏英隨 后致辭，在強(qiáng)調(diào)了本次草案的重要意義以及本次會(huì)議的服務(wù)目的后，提出了自己對(duì)于草案的三點(diǎn)看法。其一，個(gè)保法草案的一大特點(diǎn)在于兼顧了個(gè)人權(quán)利和國家保 護(hù)，個(gè)人權(quán)利的賦予應(yīng)當(dāng)僅僅是為了降低個(gè)人信息被濫用的風(fēng)險(xiǎn)，不應(yīng)過度放大，而國家在個(gè)人信息方面的公共安全責(zé)任應(yīng)當(dāng)加強(qiáng)。其二，征詢同意屬于基礎(chǔ)性規(guī) 則，但草案中的同意規(guī)則設(shè)置過多，平臺(tái)處理時(shí)、交付第三方時(shí)、匿名化后再處理時(shí)諸多環(huán)節(jié)均需個(gè)人同意，導(dǎo)致實(shí)務(wù)操作性存疑。其三，個(gè)保法草案未進(jìn)行適當(dāng)?shù)? 信息分類分級(jí)，僅僅區(qū)分出敏感信息難以滿足實(shí)務(wù)需要，比如公開信息和非公開信息、成年人信息和未成人信息、人臉指紋等直接與個(gè)人相關(guān)的信息和間接有關(guān)的個(gè) 人信息、企業(yè)收集的信息和國家收集的信息等都存在明顯不同。

　　第一章 總則

　　關(guān)于第二條本法對(duì)象，專家提出提出第二條中的規(guī)制對(duì)象存在重復(fù)，因?yàn)樽匀蝗死镏挥歇?dú)立處理信息的專業(yè)人士才應(yīng)受到規(guī)制。倘若個(gè)保法管轄平等民事主體之間的信息糾紛，要求企業(yè)承擔(dān)大量的通知?jiǎng)h除義務(wù)，無疑負(fù)擔(dān)過重。

　　關(guān)于第三條適用范圍，專家提出草案第三條第二款使用了“分析、評(píng)估”，而GDPR中使用的是“監(jiān)控”的概念，希望后續(xù)能夠進(jìn)一步明確用語含義。另有學(xué)者則提出第三條第一款和第二款有過分?jǐn)U大之嫌，具體指明目的性會(huì)更為適當(dāng)，否則連無意瀏覽也會(huì)被納入個(gè)保法的管轄范圍。

　　關(guān)于第四條個(gè)人信息的界定， 有學(xué)者首先指明草案重點(diǎn)就是要解決定位問題，需要立足于個(gè)保法的架構(gòu)，從定義和規(guī)則相掛鉤的角度去理解，嚴(yán)格的規(guī)則輔之以狹窄的定義，寬松的定義適用于寬 松的規(guī)則。通過對(duì)比現(xiàn)行的網(wǎng)安法和個(gè)保法自身演變過程，個(gè)人被識(shí)別的應(yīng)當(dāng)是身份而非自然人，建議個(gè)保法草案第四條應(yīng)當(dāng)添加“身份”二字。并且專家更傾向個(gè) 保法屬于行政法保護(hù)，目的在于解決個(gè)人信息濫用和泄露問題，同時(shí)不能阻礙信息的正常使用?；谏鐣?huì)背景的變遷，個(gè)人信息保護(hù)是法律賦予的權(quán)利而非天然權(quán) 利，保護(hù)的對(duì)象是自然人在社會(huì)活動(dòng)中的角色，重點(diǎn)在于其身份。其次，學(xué)者分析了草案第四條的立法方式。本次草案未通過列舉方式規(guī)定適用對(duì)象，一種解釋是實(shí) 際生活中很清楚，無需列舉，另一種解釋是爭(zhēng)議太大了。比如兩高和司法解釋都 肯定了電子郵箱為個(gè)人信息，而12年香港判例卻認(rèn)為不能從郵箱識(shí)別出個(gè)人身份。目前的草案采用了單獨(dú)或結(jié)合的識(shí)別說，對(duì)于單獨(dú)不能識(shí)別而結(jié)合才能識(shí)別的信 息是不是個(gè)人信息，學(xué)者持否定觀點(diǎn)，并且指出簡(jiǎn)單的信息編纂不應(yīng)當(dāng)認(rèn)定為個(gè)人信息，關(guān)鍵在于理解最終目的是防止信息濫用和泄露還是加強(qiáng)國家管制。參考韓國、法國以及我國的網(wǎng)安法都規(guī)定了“簡(jiǎn)單結(jié)合能夠識(shí)別”，簡(jiǎn)單的信息編纂不適宜認(rèn)定為個(gè)人信息。并且草案第四條后半款規(guī)定了匿名化后不是個(gè)人信息，比照匿名化和信息編纂的關(guān)系，也可以參考匿名化的分析思路。

　 　有專家主要針對(duì)IP地址是否屬于個(gè)人信息的問題發(fā)表了看法。即使用戶關(guān)閉了地理位置授權(quán)，互聯(lián)網(wǎng)公司也能利用IP區(qū)段，判斷地理位置進(jìn)行個(gè)性化推薦，這 是否屬于使用個(gè)人信息。立法上解決這個(gè)問題有三種手段，第一種是在法律規(guī)定中特別說明，第二種是通過模糊的指引性規(guī)定或者保持沉默，交給未來的實(shí)踐和立法 解決。專家指出這個(gè)問題的難點(diǎn)在于識(shí)別的判定，誰來識(shí)別，到什么程度算識(shí)別，有學(xué)者提出將可識(shí)別作為單獨(dú)的部分進(jìn)行規(guī)制，對(duì)于可識(shí)別的權(quán)利義務(wù)，在風(fēng)險(xiǎn)防 范方面可以適用，但適用于查詢權(quán)這種情形反倒招致危險(xiǎn)，這部分還需要大家進(jìn)一步討論。

　　諸位學(xué)者繼續(xù)針對(duì)這一問題討論，認(rèn)為應(yīng)以業(yè)內(nèi)客觀 水平能夠識(shí)別作為標(biāo)準(zhǔn)，并結(jié)合不同的使用場(chǎng)景進(jìn)行判定，僅掌握IP地址區(qū)段而無法關(guān)聯(lián)到具體對(duì)象不構(gòu)成個(gè)人信息，在互聯(lián)網(wǎng)實(shí)名制的背景下，互聯(lián)網(wǎng)企業(yè)利用 IP地址對(duì)應(yīng)特定用戶并進(jìn)行個(gè)性化廣告推送等行為則屬于個(gè)人信息的使用。

　　關(guān)于第六條處理個(gè)人信息的目的，有專家認(rèn)為第六條“不得從事與處理目的無關(guān)”過于嚴(yán)格，會(huì)阻礙新技術(shù)發(fā)展。比如機(jī)器學(xué)習(xí)和大數(shù)據(jù)依賴信息收集進(jìn)行算法訓(xùn)練，收集時(shí)往往不確定使用的目的并且技術(shù)上也很難取得知情同意，建議放寬規(guī)定以適應(yīng)技術(shù)發(fā)展。

　　關(guān)于第八條個(gè)人信息處理的要求，專家認(rèn)為個(gè)保法沒必要規(guī)定“所處理的個(gè)人信息應(yīng)當(dāng)準(zhǔn)確，并及時(shí)更新”，信息服務(wù)質(zhì)量應(yīng)由市場(chǎng)規(guī)制而非通過個(gè)保法規(guī)定。有學(xué)者提出第八條主要針對(duì)征信行業(yè)。另有專家也指出OECD也規(guī)定了準(zhǔn)確性原則，于各方均有利，并且也映襯了后面規(guī)定的更正權(quán)。

　　第二章 個(gè)人信息處理規(guī)則

　　關(guān)于第十三條個(gè)人信息處理的條件，有學(xué)者認(rèn)為個(gè)保法規(guī)定的合法利益相較于網(wǎng)安法具有進(jìn)步性，在為企業(yè)提供方便之余也容易發(fā)生信用卡欺詐此類濫用現(xiàn)象，需要進(jìn)一步限制。

　　專家對(duì)合法利益也持較為慎重的考慮，例外設(shè)置過多會(huì)架空同意規(guī)則，像第二款“訂立履行合同所必需”可以納入防欺詐的審核，或者需要后續(xù)標(biāo)準(zhǔn)再明確規(guī)定防欺詐。

　　有學(xué)者也認(rèn)為合法利益相較于正當(dāng)利益的涵蓋范圍太廣，同意以上提出的合同涵蓋廣泛的思路。并提出有必要賦予科學(xué)研究或歷史性存檔以合法性，有專家也指出一帶一路法律規(guī)定中也包括了個(gè)人信息科學(xué)研究方面的使用。

　 　另有專家也提出進(jìn)一步明確其中的模糊概念，以便企業(yè)更好的遵循，并指出了權(quán)利不平等的勞務(wù)供應(yīng)合同、ICT產(chǎn)業(yè)的B2B大批量交易業(yè)務(wù)、公司內(nèi)部管理等 嚴(yán)重依賴個(gè)人信息的例外情況。并且第13條第二款的合同訂立履行僅適用于上游，中下游客戶難以知曉，可以增加適當(dāng)性規(guī)定使之更具操作性。

　　關(guān)于第十四條的同意，有專家先提出了自己的兩個(gè)問題，第十四條中的單獨(dú)同意如何解釋，單獨(dú)同意是否可以采用默示方式。有學(xué)者提出因?yàn)樾畔⑻幚碜兏匦氯〉猛?，需要考察此種變更是否具有實(shí)質(zhì)性，倘若與原來的處理目的可兼容，未必需要重新向個(gè)人取得同意。

　 　有專家首先提出將同意表述為意思表示不妥，此處撤回并不能發(fā)生民法中撤回即撤銷的效果，建議刪除意思表示四個(gè)字，并且在第16條規(guī)定撤回時(shí)應(yīng)該明確意思 表示的撤回不影響撤回前基于該同意所進(jìn)行的處理的合法性。其次，應(yīng)當(dāng)在第14條明確界定單獨(dú)同意，比如規(guī)定為具體的同意或者叫明確具體同意，或者進(jìn)一步規(guī) 定為一個(gè)或多個(gè)目的處理個(gè)人信息的時(shí)候，應(yīng)當(dāng)逐一取得個(gè)人明確同意。在單獨(dú)同意解釋不明確的情況下，后續(xù)法條頻繁出現(xiàn)了單獨(dú)同意該用語，直接規(guī)定依據(jù)本法 第14條或者依據(jù)本法規(guī)定的同意取得個(gè)人同意即可。

　　還有學(xué)者提出了自動(dòng)化駕駛情景下如何適用個(gè)保法的問題，自動(dòng)化駕駛的汽車會(huì)自動(dòng)收集周圍車輛、行人的信息，根據(jù)道路情況來做出自動(dòng)化決策。但是這種情況是收集合同外第三方的信息，不能援引關(guān)于訂立履行合同作為正當(dāng)事由。對(duì)此，有專家提出可以適用第四條規(guī)定。

　　關(guān)于第十六條、第十七條的撤回， 專家提出這是對(duì)《網(wǎng)安法》重大的變化，之前的刪除根據(jù)違反法律規(guī)定或者違反約定才可以刪除，規(guī)定刪除權(quán)后考慮撤回同意的后果是很有價(jià)值。有學(xué)者同意之前的 觀點(diǎn)，認(rèn)為撤回同意應(yīng)當(dāng)增加不溯及既往的規(guī)定。有專家還提出當(dāng)處理使用信息存在多個(gè)合法性基礎(chǔ)時(shí)，如何處理刪除權(quán)的問題，比如既取得了同意有屬于訂立履行 合同所必需，反觀GDPR只能享有一個(gè)合法性基礎(chǔ)。后面討論中各位表示立法者無法考慮過細(xì)，屬于立法者意味深長(zhǎng)的沉默。

　　關(guān)于第十八條的告知，專家認(rèn)為第19條例外中“不需要告知”應(yīng)當(dāng)加上“法律、行政法規(guī)規(guī)定”的前提。各位討論后認(rèn)為，除了第19條規(guī)定的例外，其他所有情形都應(yīng)當(dāng)告知，包括具備第13條其他合法性基礎(chǔ)的情形，甚至包括公開信息的收集，合理性有待探討。

　　關(guān)于二十一條到第二十四涉及到第三方的規(guī)定，專家認(rèn)為草案的信息保護(hù)過度，在第一層取得同意后進(jìn)行匿名化流通即可，繁雜的同意制度會(huì)限制平臺(tái)的發(fā)展。而且通過層層的告知同意來轉(zhuǎn)嫁風(fēng)險(xiǎn)根本難以實(shí)現(xiàn)，個(gè)人的決定權(quán)本就是有限的，草案中規(guī)定的權(quán)利多而無用，紙上談兵難以實(shí)現(xiàn)。

　 　有學(xué)者同意以上觀點(diǎn)，在跨國公司實(shí)際操作場(chǎng)景當(dāng)中，普遍存在上下游企業(yè)之間需要轉(zhuǎn)化數(shù)據(jù)進(jìn)行業(yè)務(wù)再分包的情況，如果公司必須取得個(gè)人的明示同意，合規(guī)成 本過高。主張可以參考GDPR第28條第2款的反向同意，反對(duì)者在規(guī)定時(shí)間內(nèi)提出，以此最大程度的保障制度實(shí)施。有專家從云服務(wù)提供商的角度補(bǔ)充，在分包 必須的大背景下，同意制度應(yīng)解釋為大體的同意，根據(jù)GDPR可以通過定期會(huì)上傳名單來委托給其它方。

　　對(duì)于第22條第2款，各位都認(rèn)可將 個(gè)人信息返還個(gè)人信息處理者或者刪除的規(guī)定不適當(dāng)，有學(xué)者指出返還還是局限于物的思維，有專家認(rèn)為交給當(dāng)事人自行約定，另有專家認(rèn)為這剝奪了平臺(tái)基本的數(shù) 據(jù)統(tǒng)計(jì)功能，保留不用便可防止濫用，不必刪除抹去。有學(xué)者認(rèn)為第23條的合并分立應(yīng)加上破產(chǎn)情形，以應(yīng)對(duì)破產(chǎn)后個(gè)人信息的大量處理工作。還有學(xué)者在此基礎(chǔ) 上提出要考慮破產(chǎn)后信息歸屬問題。此外，有專家針對(duì)第24條提出了幾點(diǎn)建議：首先，第24條以及很多條款都基于單獨(dú)同意，應(yīng)當(dāng)考慮到13條的合法權(quán)益，增 加例外情況。其次，因?yàn)槟涿男畔⒉豢赡茉俦皇潜唬ㄗh第二款中的“匿名化”改為“去標(biāo)識(shí)化”。

　　關(guān)于第二十五條和第六十七條的自動(dòng)化決策， 專家提出幾點(diǎn)看法：其一，提出透明度更多是宣誓性作用，在機(jī)器深度學(xué)習(xí)、涉及商業(yè)秘密等情形下很難實(shí)施，確定透明度的邊界還是個(gè)問題。其二，建議刪除“保 證處理結(jié)果的公平合理”中的“結(jié)果”二字，主流看法認(rèn)為自動(dòng)化個(gè)人信息處理不僅要保證結(jié)果的公平合理，也要保證程序公平合理。其三，“重大影響”很難界 定，我國采用主觀判斷方法，個(gè)人認(rèn)為有重大影響便可行使說明權(quán)，會(huì)給企業(yè)帶來沉重負(fù)擔(dān)。并且這里的說明對(duì)象也需要進(jìn)一步解釋，只需要對(duì)結(jié)果進(jìn)行說明還是需 要對(duì)整個(gè)系統(tǒng)設(shè)置等更多的內(nèi)容進(jìn)行說明。其四，商業(yè)實(shí)踐中采用的手段不限于自動(dòng)化決策，還包括非自動(dòng)化決策，這里限制了個(gè)人信息權(quán)利的范圍。最后，認(rèn)為第 67條對(duì)于自動(dòng)化決策的定義過窄，實(shí)際上自動(dòng)化決策不僅僅包括對(duì)個(gè)人的經(jīng)濟(jì)、健康信息狀況的評(píng)估，比如自動(dòng)駕駛便不涉及到評(píng)估行為，而第25條對(duì)于自動(dòng)化 決策的規(guī)制又較為嚴(yán)格，這在實(shí)踐中會(huì)存在一些問題。

　　有專家提出并非所有的人工智能技術(shù)都是可以解釋的人工智能，這種法律愿景非常難實(shí) 現(xiàn)。對(duì)于某些業(yè)務(wù)，自動(dòng)化決策是個(gè)人信息處理者提供服務(wù)類型的必要條件，建議參考GDPR第22條增加三個(gè)例外，即履行合同所必需、法律和相關(guān)法規(guī)授權(quán)、 數(shù)據(jù)主體明示同意。并且專家提出如果自動(dòng)化決策涉及到個(gè)人敏感信息，在自動(dòng)化決策前是否需要清晰說明所用到相關(guān)信息，或者需要單獨(dú)同意、明示同意。

　　關(guān)于第二十七條安裝設(shè)備， 有專家建議將第27條的“為了公共安全”調(diào)整到句首，表述更加明確。因?yàn)楝F(xiàn)實(shí)生活中很多并不是為了公共安全，比如刷臉門禁是為了身份識(shí)別的便利性而安裝信 息設(shè)備，一律禁止與立法目的也有所抵觸。還有學(xué)者指出該條款中“圖像識(shí)別”涵蓋太寬泛，應(yīng)該限制在指紋、虹膜此類生物識(shí)別，排除刷身份證、消費(fèi)卡此種生活 情形。現(xiàn)在身份識(shí)別技術(shù)用的過多，應(yīng)當(dāng)規(guī)定安裝此類信息設(shè)備進(jìn)行必要性論證，在沒有替代性技術(shù)的情況下才能使用。其他學(xué)者也強(qiáng)調(diào)該條目的在于防止核驗(yàn)、一 對(duì)多、監(jiān)控等行為，已經(jīng)收集信息進(jìn)行身份核對(duì)的不應(yīng)納入其中。

　　關(guān)于第二十八條公開信息，有專家對(duì)此 條規(guī)定持肯定態(tài)度，已經(jīng)公開的信息無需再征詢個(gè)人同意，對(duì)于公開信息可以參考侵權(quán)法的通知?jiǎng)h除制度，進(jìn)行弱保護(hù)。各位就第28條的“公開”概念展開了討 論，提出了一些觀點(diǎn)：線下公開場(chǎng)所被拍攝放到網(wǎng)上可以適用侵權(quán)法、線下公開的隱私期望比較高、線上公開由于可以回看和傳播范圍大的特點(diǎn)要格外保護(hù)等。有學(xué) 者提出在自動(dòng)駕駛此種情形下，難以告知，建議采用侵權(quán)規(guī)則，規(guī)定超出相關(guān)合理范圍使用信息不應(yīng)當(dāng)侵害自然人相關(guān)個(gè)人信息權(quán)利。還有學(xué)者指出第28條的“重 大信息”應(yīng)當(dāng)進(jìn)一步明確，否則會(huì)給技術(shù)發(fā)展帶來不必要的負(fù)擔(dān)。并且第二款掙得他人同意，可以參考GDPR第21條的2、3、5條款，個(gè)人享有拒絕權(quán)，公開 后相關(guān)當(dāng)事人可以拒絕，如此實(shí)操效果會(huì)更好。有學(xué)者認(rèn)為第25條和第28條中“重大影響”改成“對(duì)個(gè)人權(quán)益造成重大影響”更為清楚。

　　關(guān)于第二十九條到第三十二條的敏感信息， 多位學(xué)者認(rèn)為我國在對(duì)敏感信息的定義中增加了“導(dǎo)致個(gè)人的人身財(cái)產(chǎn)安全受到嚴(yán)重威脅”，但問題不在于信息本身，而在于信息使用的方式。草案對(duì)于敏感信息的 定義采用了抽象和具體相結(jié)合的方法，對(duì)此各位學(xué)者展開了討論，有專家認(rèn)為個(gè)人敏感信息的范圍劃定的越小越便于操作，可以參考GDPR第9條的窮舉法，抽象 和具體兼顧在操作上很困難。有的學(xué)者則認(rèn)為GDPR對(duì)同樣的概念也存在不同的解釋，法律本身定義清晰很難，立法上保持模糊反倒留出更多解釋空間。重點(diǎn)還是 要看隨著技術(shù)發(fā)展，在個(gè)人信息廣泛使用的未來，如何有機(jī)銜接抽象和具體兩種定義方式。其他學(xué)者隨后對(duì)立法模糊表示理解，認(rèn)為敏感信息條款的最大問題在于如 何處理與第13條合法性基礎(chǔ)的關(guān)系。

　　關(guān)于第三十三條到第三十七條的國家機(jī)關(guān)，各位學(xué)者對(duì)國家機(jī)關(guān)處理個(gè)人信息的規(guī)定持基本認(rèn)同的態(tài)度。有專家指出第35條的取得同意條款與第13條法定職責(zé)無需同意有沖突，需要解釋調(diào)和。還有專家認(rèn)為本章主體范圍過窄，建議增加為國家機(jī)關(guān)、承擔(dān)行政職能的法定機(jī)構(gòu)及其工作人員，與民法典第1039條保持一致。

　　第三章 信息跨境提供的規(guī)則

　　關(guān)于第三十八條和第三十九條信息跨境的條件， 專家認(rèn)為第38條相較網(wǎng)安法有了很大的進(jìn)步，但認(rèn)證機(jī)制和以后企業(yè)主要依賴的合同如何實(shí)施還有待細(xì)化，此外，專家建議可以刪去“本地存儲(chǔ)”，首先達(dá)到多大 的信息量要求存儲(chǔ)難以明確，其次，對(duì)于數(shù)據(jù)支付、涉及未成年等敏感重要信息要求本地存儲(chǔ)尚可以理解，要求一般個(gè)人信息也要求本地存儲(chǔ)不太適當(dāng)，其他國家也 未有此類規(guī)定。還有學(xué)者認(rèn)為跨境信息問題上設(shè)置個(gè)人單獨(dú)同意規(guī)則不太合適，信息能否出境屬于國家公共安全的問題并非純粹涉及個(gè)人利益，不宜交由個(gè)人單獨(dú)決 定。另有學(xué)者指出第39條的單獨(dú)同意未必是基于同意，比如基于雇傭合同的合法性利益便無需個(gè)人同意，并且就算符合第38條的評(píng)估等條件，也要保留個(gè)人的反 對(duì)權(quán)，使其個(gè)人信息不出境。其他專家提出個(gè)人信息保護(hù)認(rèn)證缺乏執(zhí)法權(quán)力，具有很大的實(shí)踐困難。參考?xì)W盟新版的SCC，要考慮到跨境情況下的歐盟認(rèn)定標(biāo)準(zhǔn)。

　 　有專家認(rèn)為第38條和第39條應(yīng)當(dāng)結(jié)合起來解讀，只有當(dāng)無法適用第38條時(shí)，才適用第39條作為保障，如此便開辟出一條無需征求個(gè)人同意的綠色通道，比 如說跨國公司集團(tuán)內(nèi)部的個(gè)人信息，包括數(shù)據(jù)轉(zhuǎn)移、勞動(dòng)雇傭的記錄、人事關(guān)系等。還有專家建議刪除第39條，規(guī)定只要是個(gè)人信息處理者向境外提供個(gè)人信息都 需要征得個(gè)人同意，在之前談到的機(jī)器學(xué)習(xí)、人工智能、自動(dòng)駕駛等場(chǎng)景下，尤其涉及到跨國的全球化運(yùn)營時(shí)，會(huì)對(duì)效率、成本造成極大的負(fù)擔(dān)。

　 　有學(xué)者提出要思考個(gè)保法的定位，個(gè)保法應(yīng)當(dāng)立足于保護(hù)個(gè)人權(quán)益，鼓勵(lì)個(gè)人信息的有序流動(dòng)，涉及到國家利益的部分應(yīng)當(dāng)由數(shù)安法來規(guī)制。對(duì)于企業(yè)倆說，需要 通過第38條規(guī)定的評(píng)估或認(rèn)證，如果選擇第三款的合同也會(huì)擔(dān)心不夠充分。在數(shù)字經(jīng)濟(jì)全球競(jìng)爭(zhēng)的格局下，國內(nèi)企業(yè)走出去是一個(gè)雙向的過程，既要流出也要流 入，持有大國心態(tài)就不能過于守勢(shì)。建議在38條增加一款，明確規(guī)定個(gè)人信息處理者處于業(yè)務(wù)等目的，需要向中華人民共和國境外提供信息的，應(yīng)當(dāng)確保達(dá)到本法 對(duì)自然人的保護(hù)程度，參考GDPR的數(shù)據(jù)保護(hù)洼地流動(dòng)思路，將安全問題放到數(shù)安法中規(guī)定，達(dá)到網(wǎng)信部門規(guī)定數(shù)量或者其它標(biāo)準(zhǔn)的數(shù)據(jù)，不再稱之為個(gè)人信息而 是重要數(shù)據(jù)。有專家對(duì)以上思路表示肯定，建議將本地存儲(chǔ)的規(guī)定放到網(wǎng)安法中，同時(shí)具體個(gè)保法第38條的細(xì)則來指導(dǎo)安全評(píng)估，在個(gè)保法中規(guī)定本地存儲(chǔ)會(huì)產(chǎn)生 一種封閉式的觀感。

　　關(guān)于第四十條關(guān)鍵信息基礎(chǔ)設(shè)施，有專家提出關(guān)鍵信息基礎(chǔ)設(shè)施的認(rèn)定需要進(jìn)一步澄 清，僅僅是在關(guān)鍵信息基礎(chǔ)設(shè)施上面運(yùn)行個(gè)人數(shù)據(jù)時(shí)的出境會(huì)受到管制，而其它的正常業(yè)務(wù)所處理的個(gè)人信息不受其管制，還是不論運(yùn)營何種數(shù)據(jù)，不論在關(guān)鍵信息 基礎(chǔ)設(shè)施上還是之外都要受出境的管制。有學(xué)者認(rèn)為第40條要求將個(gè)人信息存儲(chǔ)在中國境內(nèi)，不利于我國數(shù)字經(jīng)濟(jì)發(fā)展，需要立法智慧和技術(shù)將其限定在最小的范 圍內(nèi)?；诓莅敢?guī)定，跨國公司在中國進(jìn)行投資時(shí)，為了將個(gè)人信息存儲(chǔ)在中國境內(nèi)，不得不多部署孤立的IT架構(gòu)，如此高額的成本會(huì)阻礙跨境投資。并且將個(gè)人 信息存儲(chǔ)在中國境內(nèi)的嚴(yán)格要求往往與國家安全相掛鉤，要注意個(gè)保法和網(wǎng)安法、數(shù)安法的定位不同。

　　關(guān)于第四十一條司法行政協(xié)助，學(xué)者提出第41條的行政執(zhí)法協(xié)助范圍非常廣，還涉及到公司內(nèi)部調(diào)查，而且各個(gè)國家法律不一樣，需要進(jìn)一步協(xié)調(diào)和明確。

　 　有的學(xué)者對(duì)本章持積極態(tài)度，認(rèn)為個(gè)保法在信息跨境方面的靈活性很高。首先，草案規(guī)定達(dá)到一定數(shù)量才需要評(píng)估，而且安全評(píng)估是基于風(fēng)險(xiǎn)考慮，并非行政許可 意義上的嚴(yán)格評(píng)估，不要求一事一議或者不現(xiàn)實(shí)的事先批準(zhǔn)。其次，在評(píng)估認(rèn)證之外還設(shè)有合同渠道，后續(xù)網(wǎng)信辦會(huì)出臺(tái)具體細(xì)則，相信對(duì)于集團(tuán)內(nèi)部信息流動(dòng)的特 殊情況也有有所調(diào)整。

　　第四章 個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利

　　關(guān)于第四十四條知情決定權(quán)，有專家反對(duì)第44條的決定權(quán)表述，容易和國外的個(gè)人信息自決權(quán)混淆，而且個(gè)人信息涉及多重利益，個(gè)人根本無法決定。

　　關(guān)于第四十五條的查詢復(fù)制權(quán)，有專家提出第45條的查詢復(fù)制權(quán)已有糾紛顯現(xiàn)，信息的范圍如何確定、查詢費(fèi)用如何分擔(dān)等，可以參考行政法的信息公開和公司法的股東查詢權(quán)的有關(guān)規(guī)定。有專家認(rèn)為為了平衡兩端利益，查詢復(fù)制權(quán)應(yīng)限制在合理范圍內(nèi)，超出合理范圍應(yīng)當(dāng)支付對(duì)價(jià)。

　 　有專家在發(fā)表對(duì)該條的意見時(shí)，首先提出刪除權(quán)要考慮到現(xiàn)在的區(qū)塊鏈技術(shù)，區(qū)塊鏈的核心就是在于建立信任機(jī)制，讓信息不能夠隨意篡改或者刪除，與草案的刪 除權(quán)有所沖突。在能夠刪除情形下，比如用戶運(yùn)用最普遍的聯(lián)盟鏈，刪除成本非常之高。并且刪除區(qū)塊任意一條信息會(huì)打亂整個(gè)區(qū)塊，甚至干擾到非個(gè)人信息。其 次，如果法律和行政法規(guī)保存期沒有屆滿，主體又請(qǐng)求刪除，就會(huì)造成權(quán)利沖突，有的人認(rèn)為這里可以理解為刪除義務(wù)的豁免，先停止處理即可。建議表述為停止公 開或者再加以利用，更為準(zhǔn)確。最后需要進(jìn)一步明確刪除和更正的含義。刪除包括物理上直接清除數(shù)據(jù)、直接加密格式化、覆蓋掉原數(shù)據(jù)、設(shè)置加密訪問權(quán)限等，甚 至匿名化也符合歐盟的刪除要求。而更正包括把原來信息刪掉發(fā)布新的信息、發(fā)布公示說明信息錯(cuò)誤、直接發(fā)布新的信息而不處理原來信息等。有專家提出信息和數(shù) 據(jù)屬于內(nèi)容和形式的關(guān)系，只要達(dá)到不侵犯?jìng)€(gè)人的人格的權(quán)利便為更正，可以設(shè)置訪問權(quán)限，切斷個(gè)人信息與個(gè)人的聯(lián)系，而不用把整個(gè)數(shù)據(jù)刪除，這也減輕了企業(yè) 的壓力。

　　關(guān)于第四十七條的刪除情形，有學(xué)者首先贊同刪除應(yīng)慎重，參考GDPR，違法的違約應(yīng)當(dāng)刪 除，但僅屬于違約糾紛或者是法律未確定性質(zhì)還是不要?jiǎng)h除為妥。建議第47條第三款加上“基于同意”的前置條件，即基于同意則個(gè)人撤回同意，第47條第四款 刪除“違反約定”，保留“違反法律、行政法規(guī)”。其次，可以設(shè)立刪除的例外情況或?yàn)樾畔⑻幚碚弑Ａ粜畔⒔⒖罐q權(quán)，以緩解企業(yè)刪除信息后的高額損失。最后 提出，在特定場(chǎng)景下，可以采用匿名化的手段實(shí)現(xiàn)刪除的效果。有專家提出第47條一個(gè)語詞上的問題，第一款和第二款屬于信息處理者主動(dòng)刪除，第三款和第四款 屬于個(gè)人請(qǐng)求刪除，倘弱目的實(shí)現(xiàn)或期限屆滿但個(gè)人未提出請(qǐng)求時(shí)，信息處理者是可以不主動(dòng)刪除。

　　第五章 個(gè)人信息處理者的義務(wù)

　　關(guān)于第五十條信息處理者的義務(wù)，有學(xué)者建議第50條可以參考GDPR增加中小企業(yè)的豁免，比如網(wǎng)上電商或者小微企業(yè)獲取了很多個(gè)人信息，但要求其嚴(yán)格履行管理職責(zé)不現(xiàn)實(shí)，在整個(gè)第5章都可以規(guī)定此種豁免。

　　關(guān)于第五十一條個(gè)人信息保護(hù)負(fù)責(zé)人， 專家就第51條達(dá)到規(guī)定的數(shù)量要指定信息保護(hù)負(fù)責(zé)人，提問這個(gè)人的作用到底是什么，僅僅為網(wǎng)信辦提供聯(lián)系嗎，外企能否在境外設(shè)置聯(lián)系人。還有學(xué)者認(rèn)為個(gè)人 信息保護(hù)負(fù)責(zé)人是為了盡責(zé)，對(duì)外公開你的姓名聯(lián)系方式，包括起到聯(lián)絡(luò)作用。有專家認(rèn)為負(fù)責(zé)人應(yīng)該設(shè)置在境內(nèi)，便于網(wǎng)信辦聯(lián)絡(luò)，內(nèi)部權(quán)限再具體溝通。有學(xué)者 建議51條第二款改為公開機(jī)構(gòu)的聯(lián)系方式，因?yàn)閭€(gè)人流動(dòng)是很快的，具有較大的不確定性。

　　關(guān)于第五十四條風(fēng)險(xiǎn)評(píng)估， 專家提出第54條需要評(píng)估范圍太大，偶爾的情況也需要評(píng)估，負(fù)擔(dān)未免太重，建議參考GDPR限定“大規(guī)?！保热绱笠?guī)模處理影響個(gè)人信息或者是利用個(gè)人信 息進(jìn)行大規(guī)模的自動(dòng)化決策，或者說委托個(gè)人信息處理向無關(guān)第三方提供個(gè)人信息或者大規(guī)模發(fā)布個(gè)人信息。有學(xué)者建議在54條第二款利用個(gè)人信息進(jìn)行自動(dòng)化決 策，加上“對(duì)個(gè)人產(chǎn)生影響”這一限定條件。有學(xué)者表示贊同，比如內(nèi)部決策便不需要評(píng)估。還有學(xué)者則認(rèn)為評(píng)估了才知道是否有影響，這里EIP評(píng)估應(yīng)當(dāng)靈活解 釋，如果內(nèi)部已經(jīng)做過評(píng)估對(duì)個(gè)人沒影響便可。

　　關(guān)于第五十五條個(gè)人信息泄露，專家建議刪除“個(gè)人信息 泄露的原因”，在實(shí)踐操作中找出問題可能要花費(fèi)很長(zhǎng)時(shí)間，信息泄露原因當(dāng)然需要匯報(bào)，但是可以放寬到之后匯報(bào)。有專家也提出可以改成立即采取措施和及時(shí)通 知。還有學(xué)者指出網(wǎng)安法中就刪去了“及時(shí)”，這是考慮到泄露后沒有相應(yīng)補(bǔ)救措施，告知范圍越大反而安全越差。程序上，該位學(xué)者提出通知時(shí)間上應(yīng)該區(qū)分規(guī)定 向政府匯報(bào)和通知個(gè)人。有專家認(rèn)為影響比較小的泄露也需要通知監(jiān)管部門，過分嚴(yán)格，另外如果影響比較大，但企業(yè)及時(shí)補(bǔ)救且影響較小，可以不需要通知監(jiān)管部 門。還有專家建議明知濫用也應(yīng)當(dāng)負(fù)有告知義務(wù)。

　　第六章 履行個(gè)人信息保護(hù)職責(zé)的部門

　　關(guān)于第五十六條執(zhí)法機(jī)構(gòu)， 有學(xué)者指出縣級(jí)執(zhí)法能力不高，可以規(guī)定注冊(cè)地所在地將執(zhí)法權(quán)限提升到省級(jí)。專家討論又提出，根據(jù)草案全中國所有的縣級(jí)以上機(jī)關(guān)都有執(zhí)法權(quán)，但理論上只有國 家一級(jí)的機(jī)關(guān)最多到省一級(jí)在執(zhí)法上具有有一定的專業(yè)性。大量的縣級(jí)部門的執(zhí)法能力薄弱，這樣會(huì)造成執(zhí)法不統(tǒng)一。歐盟GDPR選擇了一站式執(zhí)法，中國怎么考 慮一站式執(zhí)法以及多個(gè)機(jī)構(gòu)的一致性執(zhí)法，還是需要討論。

　　有專家提出本章的核心在于所規(guī)定的權(quán)利義務(wù)是不是可以直接進(jìn)行起訴。GDPR認(rèn) 為信息糾紛具有專業(yè)性，要先去監(jiān)管機(jī)構(gòu)提起申訴，不滿去法院提起針對(duì)監(jiān)管機(jī)構(gòu)的復(fù)議或者司法審查。這方面我國更像CCPA，個(gè)人可以向加州總檢察長(zhǎng)提出訴 訟，加州總檢察長(zhǎng)有權(quán)罰款，還可以提起公益訴訟。我們立法體例上來說采取GDPR的方式，但是從執(zhí)法上采取CCPA的模式，具體是否直接起訴，還是需要先 去網(wǎng)信辦投訴尚不可知。各位學(xué)者還討論了針對(duì)查詢復(fù)制刪除更正而產(chǎn)生的糾紛如何處理，這對(duì)于法院和行政部門都是難題。

　　關(guān)于第五十九條執(zhí)法措施， 有學(xué)者提出涉及到國家安全便交由公法規(guī)制，個(gè)保法本質(zhì)在于保護(hù)私權(quán)，但第59條有關(guān)部門采取措施的權(quán)力太大，詢問調(diào)查查詢復(fù)制會(huì)破壞信息處理者的保密義 務(wù)，并且封存扣押此類手段過于嚴(yán)格，會(huì)對(duì)企業(yè)造成嚴(yán)重的損害。并且從國際視角來看，歐洲很難認(rèn)同我國這種監(jiān)管機(jī)關(guān)直接介入的執(zhí)法方式。所以建議設(shè)定啟動(dòng)閥 門或者通過第三方授權(quán)機(jī)制或者評(píng)審機(jī)制才能采取此種嚴(yán)厲措施，如果法院能充當(dāng)?shù)谌竭€能保留當(dāng)事人司法救濟(jì)的權(quán)利。有專家以云服務(wù)為例，指出第4款查封、 扣押個(gè)人信息處理者的設(shè)備和物品還會(huì)對(duì)其他無關(guān)客戶造成嚴(yán)重影響。另有學(xué)者認(rèn)為如此嚴(yán)厲的措施會(huì)對(duì)我國企業(yè)的國際發(fā)展造成很大阻礙，必須設(shè)有正當(dāng)程序的限 制。

　　第七章 法律責(zé)任

　　關(guān)于第六十二條處罰措施，有專家認(rèn)為62條第二款適用前提 中的違法行為規(guī)定太泛泛，懲罰措施又很嚴(yán)厲，而且自由裁量權(quán)很大，建議能夠具體指出前述哪些違法行為適用升格處罰。還有學(xué)者指出第二款的嚴(yán)重處罰比較極 端，更常見的還是適用第一款的一百萬以下罰款，自由裁量權(quán)很大，同意建議具體第一款的違法行為。

　　各位學(xué)者對(duì)第62條5%的罰款規(guī)定展開 了討論，有專家提出中國市場(chǎng)是嚴(yán)格割裂的市場(chǎng)，而且又是高監(jiān)管的部門，像云服務(wù)只能交給合資企業(yè)來做，如果5%針對(duì)的是全球收入，收入不多，罰款太重，有 失公允，很多學(xué)者也認(rèn)同這條規(guī)定的罰款太重。有專家提出5%主要發(fā)揮一個(gè)震懾作用，一來罰款受限于法定裁量，二來真達(dá)到5%的嚴(yán)重程度，直接適用刑罰，未 必真罰款5%。有學(xué)者表示同意，我國立法常常是高高舉起，輕輕放下。

　　對(duì)于歸責(zé)原則，有專家認(rèn)為設(shè)立過錯(cuò)推定和無過錯(cuò)責(zé)任要面臨職業(yè)索賠 的壓力，適用無過錯(cuò)責(zé)任需要考慮到個(gè)人信息侵權(quán)的性質(zhì)以及政策考量，適用過錯(cuò)推定責(zé)任需要區(qū)分敏感信息和非敏感信息、區(qū)分不同的個(gè)人侵權(quán)行為類型來進(jìn)行判 斷。認(rèn)為第65條“可以減輕或者免除”不妥當(dāng)，“可以減輕”實(shí)際上相當(dāng)于無過錯(cuò)責(zé)任，但個(gè)人信息侵權(quán)的危險(xiǎn)程度又尚未達(dá)到此種規(guī)制必要，建議刪除“可以減 輕”，直接規(guī)定過錯(cuò)推定責(zé)任。有學(xué)者也提出過錯(cuò)推定的情況下，信息處理者也很難證明自己沒過錯(cuò)，但賠償責(zé)任又很重。

　　第八章 附則

　　關(guān)于第六十九條的匿名化和去標(biāo)識(shí)化，有學(xué)者提出匿名化的定義問題，到底要求所有人都無法識(shí)別還是部分人無法識(shí)別即可。有專家順勢(shì)提出了醫(yī)藥領(lǐng)域的例子，除醫(yī)院以外，其他人只能掌握性別、年齡、癥狀等信息，無法特定到具體自然人，此種情形是否屬于去標(biāo)識(shí)化。

　 　有專家首先提出跳出互聯(lián)網(wǎng)行業(yè)的局限，關(guān)注到醫(yī)療、金融等其他領(lǐng)域的信息化問題。我國匿名化規(guī)定“經(jīng)過處理無法識(shí)別特定自然人且不能復(fù)原”，個(gè)保法草案 所采用的標(biāo)準(zhǔn)比GDPR更嚴(yán)格，而現(xiàn)實(shí)中存在雖掌握信息單主觀上并不想識(shí)別的情況。所以建議提高該款的容納性，能夠?qū)⒅饔^動(dòng)機(jī)解釋進(jìn)去，不應(yīng)當(dāng)苛責(zé)盡到主 觀努力并缺少使用動(dòng)機(jī)的主體，如此才能鼓勵(lì)企業(yè)積極合規(guī)，實(shí)現(xiàn)數(shù)據(jù)流通使用與數(shù)據(jù)保護(hù)的利益平衡。

　　有學(xué)者從其云服務(wù)行業(yè)的角度，提出參 考GDPR對(duì)于信息擁有者和使用者的區(qū)分，有些企業(yè)雖然處理存儲(chǔ)了大量的用戶信息，但實(shí)際很難進(jìn)行保護(hù)和控制，個(gè)保法應(yīng)當(dāng)區(qū)分規(guī)定不同行業(yè)的責(zé)任義務(wù)。對(duì) 此有專家援引個(gè)保法草案第69條第一款進(jìn)行了簡(jiǎn)單回應(yīng)，非自主決定的情形不必負(fù)擔(dān)其中規(guī)定的義務(wù)。

　　本次研討會(huì)在各位專家學(xué)者的熱烈討論中完滿結(jié)束。