亚洲综合图片20p,欧美一级黄片视频免费,天天干天天日天天干天天日天天日,亚洲av最新版本天堂在线,电影人妻和服诱惑之,日韩人妻一区二区三区不卡,97超碰大香蕉久久草,亚洲无码专区中文字幕专区,最近日韩av一区二区

據(jù)天津大學法學院消息，2021年6月12日，作為該院復建六周年（建院126周年）系列活動之一的“個人信息保護與數(shù)據(jù)安全研討會”采取線上線下相結(jié)合的方式成功舉行。此次研討會由天津大學法學院、國浩律師（天津）事務所、天大-國浩共建數(shù)字法治研究中心和天津大學中國智慧法治研究院主辦。

天津大學法學院院長孫佑海教授、清華大學法學院院長申衛(wèi)星教授、華東政法大學數(shù)字法治研究院院長馬長山教授、中國人民大學信息法中心主任張新寶教授、清華大學法學院副院長程嘯教授、浙江大學王春暉教授、中國人民大學法學院副院長程雷教授、西南政法大學刑事偵查學院梁坤教授、北京航空航天大學法學院裴煒副教授以及來自北京交通大學、國浩律師事務所等十余家高校、學術(shù)機構(gòu)和律所的專家學者出席本次研討會，兩百多名專家和學生線上參會交流。

本次研討會以個人信息保護與數(shù)據(jù)安全為主題，深入研討了個人信息保護的相關內(nèi)容，從理論和實務的角度論證和探討了個人信息保護立法的進程和現(xiàn)狀，對《個人信息保護法》（草案）和最新出臺的《數(shù)據(jù)安全法》中的核心問題進行了研討，并就未來的立法和法的實施提出了新的思路和修改建議。

一、開幕式

首先，天津大學法學院院長、博士生導師孫佑海教授致辭，孫院長首先介紹了天大法學院源遠流長的歷史，對與會嘉賓表示熱烈的歡迎。接著，孫院長強調(diào)本次研討會開展的必要性和重要性，希望藉由各位專家的共同智慧促進立法，合理規(guī)范對個人信息的保護和利用，強化國家對數(shù)據(jù)安全的科學管理。

開幕式由天津大學法學院博士生導師、天津大學國家制度與國家治理研究院副院長熊文釗教授主持。

二、第一階段主題發(fā)言

第一階段的主題發(fā)言由天津大學熊文釗教授主持。

1.清華大學申衛(wèi)星教授作“個人信息保護的利用和平衡”發(fā)言

第一部分，介紹了個人信息保護與利用平衡原則得以確立的正當性基礎，主要有三點理由：第一，信息與隱私不同，隱私注重個人的生活安寧，信息解決不確定性，信息只有交流才能發(fā)揮作用。信息的融合利用能夠發(fā)揮數(shù)字社會中的倍增效用。第二，信息的客體是無形的，信息邊界相對模糊，風險不能被消除，只能堅持風險治理的理念。第三，《個人信息保護法》（草案）的一、二稿第1條確立了該法的規(guī)范目的，體現(xiàn)了規(guī)范個人信息合理保護與利用平衡理念。

第二部分，梳理了具體的六個重要制度。第一，知情同意原則是意思自治在個人信息保護領域的具體化，是利用與保護最重要的平衡器。一體兩面，信息可以被利用，但要得到主體同意。同意包括概括同意與單獨同意、默示同意與明示同意適用不同情形，體現(xiàn)保護與利用的平衡。同意的基礎上促進利用是以后立法要著力解決的重要問題，草案中規(guī)定了個人信息保護同意的例外，一定情況下可以免除知情同意。13條第1款第1項要求告知義務，2-7項免除告知義務，體現(xiàn)了保護與利用平衡的理念。第二，第15條規(guī)定，處理不滿14歲的未成年人信息時應取得未成年人父母或其他監(jiān)護人的同意，應恢復一審稿中關于“知道或應當知道”的主觀要件，否則所有人都要證明自己不是未成年人，反而會加重每個人信息可及性的負擔，同時未成年人的父母等監(jiān)護人也應承擔網(wǎng)絡使用的監(jiān)護責任，這體現(xiàn)了自治和法治的平衡。第三，第25條規(guī)定自動化推送的規(guī)則，并進行了區(qū)分。自動化推薦如格式條款一般兼具利弊，有必要進行區(qū)分規(guī)制：自動化推薦是默示同意，自動化決策是明示同意。第四，個人信息主體既要有權(quán)利，也要有一定的義務。例如，對于個人信息主體的查詢、復制、更正、刪除權(quán)利的行使，也要防止權(quán)利濫用，權(quán)利和義務應當平衡。第五，第57條規(guī)定了分級三類管理。由于各平臺的體量不同，平臺的義務也應不同，不能一刀切，該規(guī)則了體現(xiàn)了風險治理的原則。第六，要堅持企業(yè)、行業(yè)自律和他律結(jié)合，他律包括第三方的審計和評估。申教授認為應當構(gòu)建懲罰性賠償?shù)闹贫取?/span>

 2.華東政法大學馬長山教授作“個人信息保護的深層問題”發(fā)言

第一部分，厘清基本概念。信息概念的界定一直很模糊，原來的立法并未區(qū)分信息與數(shù)據(jù)。本次立法兩法分立，《數(shù)據(jù)安全法》第3條規(guī)定數(shù)據(jù)是指任何以電子或其他形式對信息的記錄，這表明數(shù)據(jù)是載體、表現(xiàn)形式，信息是內(nèi)容。但是，立法還未說清楚信息是什么。如果信息概念不清，屬性就會不明，范圍也就會模糊。

第二部分，信息的確權(quán)。個人信息保護法草案沒有走權(quán)利確認的路徑，走的是權(quán)益保護路徑，草案對其進行了模糊化處理，沒有按照人格、財產(chǎn)權(quán)的關系定位，走向注重處理過程的行為定位。因此，無法再采用以前的關系框架來規(guī)制，而應當構(gòu)建新型的行為框架和規(guī)范，它有別于原來框架的原則、規(guī)則和責任體系。例如，知情同意和民法上的意思表示就不太一樣，知情同意的性質(zhì)、狀態(tài)和范圍等，在不同應用場景中是不同的。其合理的目的、最小的范圍如何界定，也都需要深入研究。

第三部分，法律規(guī)制與技術(shù)規(guī)制相結(jié)合。僅僅有立法規(guī)范個人信息的處理活動是不夠的，在法律規(guī)制為主導的同時，也應關注技術(shù)規(guī)制，技術(shù)問題由技術(shù)創(chuàng)新來規(guī)制是個好的辦法�！秱�人信息保護法》（二次審議稿）明確提出“國家支持數(shù)據(jù)開發(fā)利用和數(shù)據(jù)安全技術(shù)研究”。例如，數(shù)字公民的身份證技術(shù)就可以解決很多個人信息的收集、處理行為。立法通過法律規(guī)制加技術(shù)規(guī)制，可以使得個人信息更加規(guī)范、安全。

3.中國人民大學張新寶教授作“個人信息的人身非財產(chǎn)性”發(fā)言

第一部分，個人信息的屬性。法律對個人信息和數(shù)據(jù)進行了定義，信息的定義仍需完善。對個人信息保護的研究有幾個不同的群體，有計算機群體、有法學群體，法學群體又分幾部分，有法理學的老師、行政法的老師、民法的老師。學術(shù)群體具有不同的知識體系，各主體都結(jié)合自己的背景知識研究，同樣也會受到局限。比如，知情同意與民法的意思表示是存在區(qū)別的。又如，個人信息被處理后，有可能對人格權(quán)益帶來某種影響，但處理后對個人既不增加財產(chǎn)也不減損財產(chǎn)，處理錯了也可以聯(lián)系修改，因此很難說是民法上的實體權(quán)利，張新寶教授傾向于不用傳統(tǒng)實體權(quán)利去界定個人信息。個人信息的財產(chǎn)性是值得商榷的。談財產(chǎn)必然談權(quán)屬，談個人信息則是屬于個人所享有的非財產(chǎn)性的權(quán)益。別人處理信息并不給錢，因為信息被處理、發(fā)表獲益是由于著作權(quán)，不是由于個人信息的財產(chǎn)權(quán)屬性，因此采用財產(chǎn)權(quán)定位是不符合個人信息保護的定位的。有人認為個人信息的大規(guī)模利用產(chǎn)生強大的經(jīng)濟效益，但這種信息不是屬于個人的，這種信息集合不同于個人單個的個人信息。個人信息具有規(guī)模后才能產(chǎn)生效益，但這是大數(shù)據(jù)產(chǎn)生的價值。雖然個人對信息（數(shù)據(jù)）的集合有貢獻，但這可忽略不計。把財產(chǎn)價值配置給經(jīng)濟處理者，注重個人信息的人格利益，更有利于個人人格的保護。

第二部分，重視微信、淘寶等頭部企業(yè)的個人信息保護義務，建立守門人制度。二審稿第57條有了初步規(guī)定。問題是，第一，守門人的概念、范圍需要明確，根據(jù)用戶、日處理量、營業(yè)額等作為標準確定。張新寶教授認為最多不超過100個。應當分門別類，比如應區(qū)別做生態(tài)的騰訊，做系統(tǒng)的華為等。第二，以外部機構(gòu)對個人信息處理進行監(jiān)督，是否會導致個人信息廣泛被外部利用。涉及到隱私政策，是否建立了相關機制，應當根據(jù)程序性事項寫明，監(jiān)督的時程序合規(guī)，不涉及具體的個人信息和企業(yè)數(shù)據(jù)。第三，應規(guī)制頭部企業(yè)把義務轉(zhuǎn)化為權(quán)利，規(guī)制其把競爭對手剔除出去搞“二選一”的做法，要明確相關義務。第四，守門企業(yè)是全流程的參與個人信息保護，立法應當跟進全流程。第五，社會責任。如何與上市公司年報、半年報結(jié)合起來、是單獨還是融入年報、是否定期發(fā)布都還需要有細化規(guī)定，法律還需配套的技術(shù)性規(guī)范。

4.清華大學程嘯教授作“我國個人信息保護法中個人信息處理規(guī)則的發(fā)展與完善”發(fā)言

個人信息保護法涉及方方面面的問題，之所以我國要單獨制定《個人信息保護法》，主要就是為了規(guī)范個人信息的處理。《個人信息保護法草案》的第二章詳細規(guī)定了個人信息的處理規(guī)則，再加上第三章個人信息的跨境提供，那么該法關于處理規(guī)則的條文就有31條，占整個草案73條數(shù)量的將近一半。個人信息保護中的個人信息權(quán)益不同于民法中的個人信息權(quán)益，個人信息上承載了各種類型的權(quán)利和受保護的利益權(quán)益，所以，除了民法規(guī)則側(cè)重于從民事權(quán)益的角度加以保護外，還應當以《個人信息保護法》來實現(xiàn)個人信息的保護和合理利用，尤其是通過個人信息處理規(guī)則實現(xiàn)對個人信息權(quán)益的全方位的動態(tài)性的保護。

目前我國《個人信息保護法》（二次審議稿）對處理規(guī)則做了很多豐富發(fā)展，具體表現(xiàn)在：第一，明確了知情同意規(guī)則的基本規(guī)則的地位，告知同意不是意思表示，而是違法阻卻事由，另一類違法阻卻事由是由草案第13條第1款第2-7項規(guī)定。二審稿突出了知情同意原則的地位，是對于個人信息處理規(guī)則很重要的發(fā)展。第二，對告知義務的規(guī)定，告知同意規(guī)則由兩部組成，一是告知，一是同意，前者可被稱為告知義務。二審稿19、35條規(guī)定了免除告知義務的情形，采取的是一般規(guī)定加特殊規(guī)定的模式，同時明確要求告知義務應當以顯著、清晰易懂的方式履行。第三，對同意規(guī)則和例外的規(guī)定。同意的規(guī)則也值得研究，其中同意要件的研究是重點。一個有效的同意至少包括四個要件，即同意能力、充分的知情（告知義務）、自愿、明確的同意。對同意要件的規(guī)定對于保護個人信息權(quán)益是非常重要的。第四，多數(shù)人處理信息的規(guī)范。實踐中處理信息的人數(shù)為多數(shù)的情形是很常見的，草案第21-24條分別對共同處理、委托處理、個人信息轉(zhuǎn)移、向他人提供個人信息等四種情形作出了規(guī)定，尤其是確立了共同處理侵害個人信息權(quán)益的連帶責任，第21條第2款屬于一個獨立的連帶責任的請求權(quán)基礎。第五，二審稿首創(chuàng)了我國法上對敏感和非敏感信息的區(qū)分，這種區(qū)分不同于《民法典》中私密信息和非私密信息的區(qū)分，后者側(cè)重從隱私權(quán)等民事權(quán)益的角度進行區(qū)分，以決定侵權(quán)責任的類型。而在個人信息保護法中區(qū)分敏感信息與非敏感信息，對于構(gòu)建個人信息處理規(guī)則，精準執(zhí)法、降低合規(guī)成本等都非常必要。

5.浙江大學王春暉教授作“構(gòu)建數(shù)據(jù)私權(quán)至上的個人信息保護法律制度”發(fā)言

數(shù)字時代，“數(shù)據(jù)”主要是附著在電子信息系統(tǒng)載體的客觀事物記錄，是未經(jīng)過處理的原始記錄，包括結(jié)構(gòu)化、半結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)；“個人信息”主要是以電子方式記錄，能夠單獨或者與其他信息結(jié)合識別特定自然人的信息，而“數(shù)據(jù)”之前加“個人”，即“個人數(shù)據(jù)”也屬于“可識別”的“個人信息”。

我國個人信息保護立法充分借鑒了國際組織和一些發(fā)達國家的個人信息保護立法的先進經(jīng)驗。目前，從國際組織和國外一些先進的立法經(jīng)驗看，包括GDPR、OECD “隱私框架”、APEC “隱私框架”、歐美“隱私盾”、美國“消費者隱私權(quán)法案”、《美國加利福利亞消費者隱私法案》（CCPA）等個人隱私信息保護方面的立法，均強調(diào)未經(jīng)被收集者同意，不得收集和向他人提供個人隱私信息，特別是歐盟將個人信息權(quán)看作一項基本人權(quán)，個人數(shù)據(jù)保護的重要性在于對基本人權(quán)的保護，對人格尊嚴的尊重。

縱觀我國的《網(wǎng)絡安全法》、《民法典》，以及我國《個人信息保護法（草案）》的兩次審議稿，我國個人信息保護立法始終堅持了“以人民為中心”的理念。因此，我國個人信息保護法有必要構(gòu)建數(shù)據(jù)私權(quán)至上的個人信息保護法律制度體系。需要指出，網(wǎng)絡平臺時代的個人信息從一開始就與自然人主體分離，而且不斷在數(shù)字平臺上聚合。所以，個人信息保護是基于對個人信息消極權(quán)利的尊重，即公民作為信息內(nèi)容的主體有權(quán)知悉和決定其個人信息在何時、何地及以何種方式被何人控制和處理。

《個人信息保護法（草案）》對個人信息權(quán)益的保護中集中體現(xiàn)在“草案”六條處理個人信息的兩個“最小”，即“應當限于實現(xiàn)處理目的所必要的最小范圍”和“采取對個人權(quán)益影響最小的方式”�！白钚》秶�”和“最小影響”是“草案”總則中一項非常重要的原則，建議個人信息保護法要強調(diào)和突出這兩個“最小”，并貫徹到整個立法中。同時，要嚴格限制對個人敏感信息的處理。

總體來看，當前和未來一段時期我國個人信息安全保護邊界的基本要義是在確保個人敏感信息不受非法侵害的基礎上，促進個人信息資源在“知情同意、合法、正當、必要”原則的基礎上，遵循“實現(xiàn)處理目的的最小范圍”和“采取對個人權(quán)益影響最小的方式”，進行合情、合理、合法的開發(fā)和利用。

6.天津大學孫佑海教授作“《數(shù)據(jù)安全法》實質(zhì)問題研究”發(fā)言

發(fā)生論。主要是法律出臺背景、立法政策等的梳理。第一，維護國家安全的需要。數(shù)據(jù)是國家基礎性戰(zhàn)略資源，沒有數(shù)據(jù)安全就沒有國家安全。第二，控制安全風險的需要。當前，各類數(shù)據(jù)的擁有主體多樣，處理活動復雜，安全風險加大，必須通過立法建立健全各項制度措施，切實加強數(shù)據(jù)安全保護，維護公民、組織的合法權(quán)益。第三，支持數(shù)字經(jīng)濟的發(fā)展。通過立法規(guī)范數(shù)據(jù)活動，完善數(shù)據(jù)安全治理體系，以安全保發(fā)展、以發(fā)展促安全。第四，推進政務科學發(fā)展的需要。通過立法明確政務數(shù)據(jù)安全管理制度和開放利用規(guī)則，大力推進政務數(shù)據(jù)資源開放和開發(fā)利用。

定位論。第一，把握正確方向，貫徹整體安全國家觀，堅持黨對數(shù)據(jù)安全的領導。第二，基本原則是“一體兩翼”，一方面鼓勵數(shù)據(jù)的開發(fā)利用，一方面保障數(shù)據(jù)依法合理利用。第三，數(shù)據(jù)安全法的性質(zhì)是行政法，個人信息保護法的性質(zhì)是民法的特別法。行政法應當堅持義務本位，義務優(yōu)先。第四，數(shù)據(jù)安全法是數(shù)據(jù)領域的基礎法律。

制度論。第一，建立數(shù)據(jù)分類分級管理制度，建立數(shù)據(jù)保護目錄，保護列入目錄的重點數(shù)據(jù)。第二，建立集中統(tǒng)一、高效權(quán)威的數(shù)據(jù)安全風險評估機制。第三，建立數(shù)據(jù)安全應急處理機制，有效應對和處置數(shù)據(jù)安全事件。第四，與有關數(shù)據(jù)安全制度銜接，建立數(shù)據(jù)安全審查制度和出口管制制度。第五，針對一些國家對我國相關投資和貿(mào)易歧視做法采取有針對性的制度和措施。第六，數(shù)據(jù)安全保護相關主體的義務制度。第七，法律責任制度。

三、第二階段主題發(fā)言 

第二階段主題發(fā)言由天津大學副教授王燃主持。

1.中國人民大學程雷教授作“刑事司法中的個人信息保護”發(fā)言

第一部分，個人信息保護在刑事司法領域的定位，是例外還是特殊領域？現(xiàn)在的個人信息保護法對刑事司法領域基本處于一種漠視的狀態(tài)，這也不僅僅是中國獨有。絕大多數(shù)國家無視刑事司法領域的個人信息保護。一種觀點認為刑事司法領域沒有規(guī)定個人信息保護，那么就籠統(tǒng)適用一般意義上的個人信息保護，這樣顯然是很難的。在立法論上還沒有做出特別好的一個制度安排，這就存在很大的問題，因為個人信息保護上最深刻的教訓都是來自刑事司法領域，刑事司法領域的權(quán)限顯然是非常大的，應當明確立法上的態(tài)度：刑事司法領域是個人信息保護的特殊領域，不應當作為例外排除在個人信息保護的立法框架之外。

第二部分，個人信息保護法出臺以后，與刑事訴訟法傳統(tǒng)的規(guī)制工具（即隱私權(quán)）到底是什么關系？我們傳統(tǒng)上通過隱私來間接保護個人信息，這個與各國刑事訴訟法發(fā)展的歷史也是有關系的。2012年大規(guī)模進行的刑事訴訟法的修改，當時我國還沒有完全進入到信息社會，當時規(guī)范技術(shù)偵查的時候還沒有預料到個人信息成為了司法機關辦案主要的工具，滯后于我國信息技術(shù)的發(fā)展，技術(shù)偵查規(guī)范在個人信息保護上是不足的。

第三部分，《數(shù)據(jù)安全法》35條應該怎么解讀？本法第35條規(guī)定了調(diào)取數(shù)據(jù)的基本條款，在這條法規(guī)中沒有用技術(shù)偵查而是使用了新的術(shù)語，我理解這和我講述的第二條有關系。立法者和司法執(zhí)法機關已經(jīng)意識到調(diào)取數(shù)據(jù)和傳統(tǒng)的技術(shù)偵查是有區(qū)別的。但這一條仍然沒有規(guī)定使用和分析，實際上這一條也具有局限性，其仍然沿用我國之前技偵的表述，這一點我是存疑的。技術(shù)偵查程序規(guī)定的信息規(guī)范過于僵化，不適合我國現(xiàn)在的需要。這值得進一步的解讀和研究。

2.北京航空航天大學裴煒副教授作“網(wǎng)絡信息業(yè)者協(xié)助偵查中的信息主體告知義務”發(fā)言

《個人信息保護法（草案）》內(nèi)容涵蓋私領域和公領域，但對于公領域特別是刑事司法領域的特殊性關注不足，致使二者存在明顯的張力。以知情同意原則為例，其是《個人信息保護法（草案）》制度設計的基本邏輯起點。這一原則實則包含兩個部分：一是知情，二是同意。知情是所有權(quán)利保護的開端，無論之后對于個人信息的處理是否需要信息主體同意，都需要以知情作為一項基本前提。因此對于權(quán)利的減損有一個階層性：先減損同意，再減損知情；而一旦減損知情，同意亦無從提起�！秱�人信息保護法（草案）》第13條明確列舉了處理個人信息無需同意的具體情形，其中包括“為履行法定職責或者法定義務所必需”。對此，無論根據(jù)《刑事訴訟法》還是《網(wǎng)絡安全法》，犯罪偵查均屬于此種情形。但此時僅免除信息處理者獲取同意的義務，如果要進一步免除其告知義務，則需要進一步看是否存在符合《個人信息保護法（草案）》第35條的情形。根據(jù)該條文，國家機關處理個人信息時免除告知義務主要基于兩種情形：其一是法律、行政法規(guī)有保密規(guī)定；其二是個案中告知可能妨礙國家機關履行法定職責。就前者而言，犯罪偵查中僅技術(shù)偵查措施涉及此類要求，而調(diào)取措施不在此類，因此該情形的適用范圍有限。就后者而言，盡管取決于偵查機關的個案裁量，但該裁量權(quán)本身需要有明確的法律授權(quán)。《刑事訴訟法》目前尚未針對個人信息保護形成“有礙偵查”下的義務豁免，這與刑訴中其他因“有礙偵查”而豁免特定義務的情形形成鮮明對比，因此后者的正當性在實踐中同樣存在疑問。上述問題的解決有賴于個人信息保護制度與刑事訴訟制度的進一步融合和銜接。

3.西南政法大學梁坤教授作“調(diào)取數(shù)據(jù)之‘經(jīng)過嚴格的批準手續(xù)’之理解”發(fā)言

第一部分，調(diào)取數(shù)據(jù)之“經(jīng)過嚴格的批準手續(xù)”之定位�！稊�(shù)據(jù)安全法》35條規(guī)定，調(diào)取數(shù)據(jù)要“經(jīng)過嚴格的批準手續(xù)”，從這樣的一個條文來看是和刑事訴訟法的技術(shù)偵查的表述完全一致的。經(jīng)過嚴格的批準手續(xù)，面向的是誰？通過對立法目的的剖析我們認為主要是對掌握信息的第三方網(wǎng)絡信息業(yè)者。由此，經(jīng)過嚴格的批準手續(xù)的第一個目的就是保障第三方平臺數(shù)據(jù)安全、用戶數(shù)據(jù)安全�！缎淌略V訟法》沒有做的事情，《數(shù)據(jù)安全法》為我們做了。第二個就是要落實第三方平臺的責任。

第二部分，調(diào)取數(shù)據(jù)與技術(shù)偵查/調(diào)查的批準手續(xù)的關系。在監(jiān)察機關十五項調(diào)查措施中，經(jīng)過批準手續(xù)不僅僅適用于技術(shù)偵查，還包括其他調(diào)查措施。而如果沒有監(jiān)察法或刑訴法的規(guī)定，那么《數(shù)據(jù)安全法》種“經(jīng)過嚴格的批準手續(xù)”也就沒有存在的意義。

第三部分，調(diào)取數(shù)據(jù)“經(jīng)過嚴格的批準手續(xù)”如何在刑事程序中落實？《數(shù)據(jù)安全法》第21條做了非常原則性的規(guī)定，需要各地區(qū)、各部門進行細化。其次是要探索刑事程序中數(shù)據(jù)安全的分級分類保護，并對批準手續(xù)予以區(qū)分。如果沒有這些規(guī)定，數(shù)據(jù)安全法的寬泛規(guī)定很可能成為一紙空文。至于如何落實這些規(guī)定，還有待我們在未來進行研究。

4.國浩律師（北京）事務所胡靜律師作“數(shù)據(jù)跨境傳輸?shù)穆窂教接憽卑l(fā)言

個人數(shù)據(jù)跨境傳輸?shù)睦Ь衷趯嵺`中極易遇到。比如，在跨境并購中，中國企業(yè)對歐盟境內(nèi)并購標的員工勞動合同的審查會遇到GDPR的阻礙。并購完成后，中國買方在投后出于人力資源管理的目的也很難獲取歐盟境內(nèi)公司員工的個人數(shù)據(jù)。

個人數(shù)據(jù)跨境傳輸路徑的探討，先從歐盟看起。個人數(shù)據(jù)跨境的首選路徑要去看是否在歐盟的白名單里，目前中國尚不在名單里。除首選路徑外，常規(guī)路徑是看數(shù)據(jù)控制者是否采取適當?shù)谋Ｕ洗胧�，且�?shù)據(jù)主體是否能行使權(quán)利和獲得司法救濟。是否有適當?shù)谋Ｕ洗胧�，可以�?/span>BCR、SCC等方面去判斷。在中歐的數(shù)據(jù)傳輸中，SCC用的比較多。前幾天，歐盟更新了新版的SCC，跟上一版SCC有了重大的變化。如首選路徑和常規(guī)路徑都不滿足條件，則需要看是否滿足GDPR的特殊豁免情形�？傮w而言，EEA國家向中國的個人數(shù)據(jù)跨境傳輸并不容易。

再看美國，目前美國對個人數(shù)據(jù)跨境傳輸保持一個相對開放的態(tài)度，但對重要數(shù)據(jù)的跨境傳輸采取限制措施，例如《出口管制條例》和《健康保險攜帶和責任法案》中有相關規(guī)定。美國采取這樣的態(tài)度，我個人判斷有兩個原因：其一，美國數(shù)據(jù)相關的立法正在進行，從拜登政府的動態(tài)來看，未來可能會針對中國的數(shù)據(jù)跨境傳輸設置專門的障礙；其二，美國的跨國公司居多，美國政府希望這些跨國公司能夠在全球獲取更多的數(shù)據(jù)。

除歐美外，有些國家對數(shù)據(jù)有本地化存儲的要求，例如俄羅斯和印度。俄羅斯也設置了數(shù)據(jù)跨境傳輸?shù)陌酌麊沃贫�，目前中國也不在這一白名單里。

最后再看回來中國的數(shù)據(jù)跨境傳輸，在剛剛生效的《數(shù)據(jù)安全法》和還未生效的《個人信息保護法》二審稿里也有相關的制度設置。

總體而言，剛生效的《數(shù)據(jù)安全法》鼓勵數(shù)據(jù)的跨境流動，積極開展數(shù)據(jù)安全治理、數(shù)據(jù)開發(fā)利用等領域的國際交流與合作，參與數(shù)據(jù)安全相關國際規(guī)則和標準的制定，促進數(shù)據(jù)跨境安全和自由流動。需要強調(diào)的是，《數(shù)據(jù)安全法》對于中國企業(yè)配合境外的司法或執(zhí)法機構(gòu)調(diào)取中國境內(nèi)的數(shù)據(jù)加強了管理，規(guī)定未經(jīng)主管部門的同意，不得提供，否則將面臨嚴峻的處罰措施。這一規(guī)定，在我看來是對美國針對中國的《外國公司問責法案》及相關歧視性制裁措施的反制措施。

《個人信息保護法》二審稿里，就個人數(shù)據(jù)的跨境傳輸創(chuàng)設了標準合同制度，如果這一制度最終能落地生效，跟歐盟的SCC相比，中國的個人數(shù)據(jù)出境時也能要求獲得對等保護。

中國的數(shù)據(jù)立法正在日趨完善，其中關于數(shù)據(jù)跨境傳輸?shù)囊?guī)定也在日趨完善。我們期待這一天盡快到來。

四、第三階段主題發(fā)言

第三階段的主題發(fā)言由國浩律師(天津)事務所管理合伙人曹會杰主持。

1.天津大學田野教授作“個人基因信息的特別保護:正當性與進路”發(fā)言

田野教授指出，在數(shù)據(jù)時代個人信息的種類繁多，遵循普遍的保護制度下，不同的個人信息應有自己的個性，正如人類的基因，不同的堿基對的不同配比形成不同的基因。

而基因檢測是產(chǎn)生個人信息的最主要的源頭，可能出現(xiàn)于孕婦產(chǎn)前基因檢測，雇主挑選雇員，保險公司根據(jù)健康情況設置保險，對犯罪嫌疑人進行DNA鑒定，還有兒童天賦基因檢測等商業(yè)基因檢測情形中�；�因檢測的泛濫，也會導致了基因污名化、濫用、泄露等風險，正如佛山市人力資源保障局案件中，當事人被查出身體中含有地中海貧血基因，因此不得錄用，但在隨后的起訴中遺憾的是當事人敗訴了。

具體而言，基因信息具有5種特殊性：家族遺傳性，不可變性、預測性、難以真正匿名化之特性、超高的敏感性。

相應的，基因信息保護的個性化規(guī)則包括以下幾個方面：

第一，族群的同意問題。因為基因信息的披露必然涉及族群信息的泄露，可能導致族群污名化，比如毛利族群中存在暴力基因，均對族群發(fā)展產(chǎn)生了不良影響。

第二，不知情權(quán)的問題。當事人是否應該知道自己有不好的基因，如果提前知道會打破人內(nèi)心的寧靜，帶來焦慮，反而影響身體健康。

第三，基因信息是否應向近親屬的披露。在患者不同意的情況下，醫(yī)生是否可以擅自披露？

第四，“匿名”基因信息的保護。如果基因信息匿名，其科學價值就會大打折扣，因此是否需要匿名是需要權(quán)衡的。在基因信息中，肯定存在財產(chǎn)利益，這和肖像權(quán)不是財產(chǎn)權(quán)但存在財產(chǎn)利益是相似的。

第五，基因信息的惠益分享�；菀娣窒聿荒芙^對而論，需要考察不同情形下的不同種類基因的分享問題。

第六，基因研究中的數(shù)據(jù)庫信息共享問題。

在比較法上，對基因信息的考慮并非空想，主要體現(xiàn)在：《歐洲人權(quán)與生物醫(yī)學公約》第10條第2款：每個人都有權(quán)知道有關他自己的任何健康信息，但是，個人不愿被告知的意愿應當被尊重�！稙榻】的康牡幕�因檢測附加議定書》第16條第2款：每個人不被告知基因檢測結(jié)果的權(quán)利應當被尊重。還有聯(lián)合國教科文組織《世界生命倫理與人權(quán)宣言》第6條和我國臺灣地區(qū)所謂“人體研究法”第15條等規(guī)定。

在我國的《個人信息保護法》（二次審議稿）第13條也對此有相應的規(guī)定，但是第一款第三項值得商榷。譬如老板對雇員進行基因檢測，用人單位是具有維護職場員工健康義務的，但是員工始終不同意。但按照第一款第三項的規(guī)定，不管同意不同意都是能夠收集。所以是否是需要區(qū)分不同情況是個值得考慮的問題。

在我國的《個人信息保護法》（二次審議稿）第14條中，法律規(guī)范的主體是個人，尚未規(guī)定族群作為個人信息同意披露的主體，可能存在涵攝性不足的問題。

對于不同的場景，可能出現(xiàn)不同的基因信息問題。在醫(yī)療場景下，可能涉及基因編輯等敏感診療；消費場景下，存在DTC基因檢測的亂象；研究場景下，需要探索基因信息合理利用的邊界；就業(yè)場景下，需要討論基因歧視的議題；在保險場景下，考慮基因狀況拒保問題；司法鑒定場景下，如何進行基因信息的獲取也需要討論。

目前，我國對基因信息的重視程度不高，與人類資源信息等概念上的關系混亂，缺少自己的獨立地位。在不同國家，其立法模式也不同。以美國、德國為例，是以基因信息保護專門立法；在GDPR中，是在個人信息保護法中嵌入特別條款；以法國為例，是在《民法典》中嵌入特別條款（概念）；另外則是以零散的特別條款進行規(guī)定。

曾經(jīng)在《民法典》的編纂中，如《中華人民共和國民法典人格權(quán)法編專家建議稿》（征求意見稿）、《民法典人格權(quán)編》（草案室內(nèi)稿）對生命信息和基因圖譜信息有一定的提及，但最終很遺憾沒有保留下來。我國的基因信息的特別保護仍任重道遠。

 2.天津大學劉爽副教授作“隱私政策與 GDPR 的合規(guī)性檢測技術(shù)研究”發(fā)言

隨著移動設備的普及，包括購物、出行、政務等在內(nèi)的人們?nèi)粘Ｉ�活事務均可通過手機APP完成，在享受移動APP帶來的方便的同時，隨之而來的是個人隱私數(shù)據(jù)被各種服務提供商采集利用，以及由此引發(fā)的信息泄漏問題。隱私政策規(guī)定了服務提供商對用戶隱私數(shù)據(jù)的處理細則，是服務提供商與用戶之間簽訂的有法律效力的協(xié)議。因此，對隱私政策的合規(guī)性檢測尤為重要。意識到個人隱私數(shù)據(jù)保護的重要性，世界很多國家均出臺了相應的法律法規(guī)，其中歐盟的《通用數(shù)據(jù)保護條例》（GDPR）以其適用范圍廣，處罰力度大而備受關注。因而我們也將GDPR作為范例進行研究。

在GDPR第13條中指出收集和數(shù)據(jù)主題相關的個人數(shù)據(jù)時的信息提供�？刂普咭�收集個人數(shù)據(jù)時，需要提供不同的信息，包括數(shù)據(jù)存儲期限、數(shù)據(jù)處理目的、聯(lián)系方式、訪問個人數(shù)據(jù)的權(quán)利、擦除或修改的權(quán)利、限制處理的權(quán)利、拒絕處理的權(quán)利、數(shù)據(jù)攜帶權(quán)、提出申訴權(quán)。GDPR第13條中規(guī)定的內(nèi)容，是最直接可體現(xiàn)在隱私政策中的，因此本工作重點研究隱私政策與GDPR第13條的合規(guī)性檢測問題。

對于合規(guī)技術(shù)檢測的方法步驟主要分三步，第一步是進行規(guī)則抽取，即從GDPR中抽取規(guī)則。第二步是文本分類，通過搭建、訓練模型對隱私政策的句子標簽進行預測分類。第三步是規(guī)則匹配，依據(jù)文本分類結(jié)果及規(guī)則，得出合規(guī)性檢測的結(jié)果。目前在304篇隱私政策上的驗證結(jié)果顯示，方法準確率達到了90%。我們實現(xiàn)了一個可視化界面，用于可視化顯示分析結(jié)果以及檢測出的合規(guī)性問題。

我們對2021年4月的國內(nèi)官網(wǎng)隱私政策進行分析，包括新聞媒體網(wǎng)站（26家）、政府網(wǎng)站（46家）和國有企業(yè)網(wǎng)站（94家），尋找其英文官網(wǎng)的英文隱私政策，并檢測合規(guī)性。分析結(jié)果顯示，在上述行業(yè)的隱私政策中，經(jīng)常漏寫用戶權(quán)利問題。由于GDPR規(guī)定，凡是處理歐盟數(shù)據(jù)，都受其管制，故我國各個行業(yè)都需要進一步提升數(shù)據(jù)保護問題。

3.北京交通大學王毅純助理教授作“《民法典》中個人信息的區(qū)分保護路徑”發(fā)言

王毅純博士主要討論了《民法典》中提出的私密信息和一般個人信息的區(qū)分，以及《個人信息保護法（草案）》二審稿中敏感信息的區(qū)分和保護問題，尤其是私密信息和敏感信息的范圍是否存在重合問題，規(guī)則適用上是否需要差別對待。

《民法典》第1034條指出了私密信息優(yōu)先適用隱私權(quán)的規(guī)定，由此產(chǎn)生了個人信息中的私密信息存在雙重保護的問題�；�于此，我們應先區(qū)分什么是私密信息。《民法典》第1032條規(guī)定了隱私的范圍，并且明確了私密信息的界定標準為“不愿為他人知曉”，我們可以將其概括為主觀秘密性。對于規(guī)則適用的核心影響在于《民法典》第1033條規(guī)定的侵害私密信息的隱私權(quán)的違法性阻卻事由與《民法典》第1035條規(guī)定的侵害一般個人信息的違法性阻卻事由不同，包括另有規(guī)定的范圍是否僅限于法律、以及同意的主體是否僅限于權(quán)利人本人、同意的方式是否僅包括明示同意等�！秱�人信息保護法（草案）》二審稿第29第2款對于敏感信息的界定標準是損害后果的特定性和嚴重性。在損害后果的特定性方面，敏感個人信息局限于侵害憲法基本權(quán)利，如言論自由、宗教信仰等；損害后果要求涉及人身財產(chǎn)權(quán)益安全，如個人生物特征，醫(yī)療健康等。在損害后果的嚴重性方面，需要對于相關權(quán)利的損害程度是嚴重的。

對于私密信息與敏感信息的重合問題，首先，對于同時屬于私密信息和敏感信息的，如性取向、醫(yī)療健康信息等，必須本人明確的單獨同意，甚至要求書面同意。其次，屬于私密信息，但不屬于敏感信息的，如個人特別癖好、遭受性騷擾的信息等，適用《民法典》隱私權(quán)保護規(guī)則即可。第三，屬于敏感信息但未必屬于私密信息的，如種族信息、宗教信仰、政治主張、個人面貌特征等，公開可能帶來損害后果特定性和嚴重性，不具有主觀保密性的特征，適用《個人信息保護法（草案）》二審稿第30條規(guī)定，即需要權(quán)利人單獨的書面同意。至于私密信息的保護，難點在于私密信息如何識別，在《民法典》第1032條第2款中體現(xiàn)為主觀秘密性。理論上還有其他的界定標準，因其作為隱私權(quán)的核心范圍，通常還要符合隱私權(quán)的合理期待，所以應當是主觀標準和相對的客觀標準的統(tǒng)一。至于主張增加侵害后果嚴重性的要件，對此是值得商榷的。

4.國浩律師（上海）事務所黃寧寧律師作“數(shù)據(jù)保護與涉外法律服務”發(fā)言

長期以來，中國對法律域外管轄（長臂管轄）的理解和認知持較為否定的態(tài)度，很大程度上因為中國深受其害。然而，過去五年間，我們看到了我國立法上的新動向，《出口管制法》、《阻斷外國法律與措施不當域外適用辦法》和《反外國制裁法》等，都已包括有域外效力的法條。就數(shù)據(jù)安全及保護而言，如《數(shù)據(jù)安全法》第36條規(guī)定，中華人民共和國主管機關根據(jù)有關法律和中華人民共和國締結(jié)或者參加的國際條約、協(xié)定，或者按照平等互惠原則，處理外國司法或者執(zhí)法機構(gòu)關于提供數(shù)據(jù)的請求。非經(jīng)中華人民共和國主管機關批準，境內(nèi)的組織、個人不得向外國司法或者執(zhí)法機構(gòu)提供存儲于中華人民共和國境內(nèi)的數(shù)據(jù)。這一條有典型的域外管轄特點。這些法律規(guī)范規(guī)定的內(nèi)容引起了涉外法律服務的變化，同時也加強了我國應對國際形勢變化的能力。

第二部分，法律服務市場的機遇。我們需要有國際法影響的立法，也需要涉外律師能提供相應的法律服務，以真正體現(xiàn)這些法律的作用。從2017年國務院四部委《關于發(fā)展涉外法律服務業(yè)的意見》中，國家開始關注涉外領域的法律服務戰(zhàn)場。發(fā)展到今天，涉外法治已成為習近平法治思想的重要組成部分，“要堅持統(tǒng)籌推進國內(nèi)法治和涉外法治�！本唧w到數(shù)據(jù)保護領域，涉外律師可以在數(shù)據(jù)保護的合規(guī)服務，爭議解決領域提供有針對性的法律服務。

總之，數(shù)據(jù)保護是分層次的，個人信息的不同種類保護力度不同，數(shù)據(jù)保護的廣度、空間都是需要律師進一步介入并較好地運用法律規(guī)范。

五、會議總結(jié)

國浩律師(天津)事務所梁爽主任和天津大學孫佑海院長進行會議總結(jié)，對各位專家學者的支持表示衷心感謝。