5月15日下午,由上海法学会、浙江清华长三角研究院法治与社会治理研究中心、上海政法学院人工智能法学院共同主办的《个人信息保护法》、《数据安全法》二审征求意见稿研讨会在上海-合作组织国际司法交流合作培训基地举行。包括上海政法学院人工智能法学院院长杨华,华东政法大学教授、互联网法治研究院高富平,浙江清华长三角研究院法治与社会治理研究中心赵玉成在内的多位学者,与多家涉及数据及个人信息安全的企业家代表齐聚上合基地,就《个人信息保护法》、《数据安全法》草案中涉及的诸多问题进行了亲切友好的交流与探讨。
作为主办方之一的上海政法学院人工智能法学院院长杨华首先致辞。他表示,数据和个人信息是我国未来发展的关键要素。希望参会各方畅所欲言,致力于研究如何通过法律引领和规范技术创新,推动《个人信息保护法》和《数据安全法》草案立法从规划到施工的演进。
浙江清华长三角研究院法治与社会治理研究中心詹可研究员简单介绍了《个人信息保护法》和《数据安全法》草案的立法背景。他表示,政府与个体,与市场、企业的关系,是复杂而多面向的,无论是“自上而下”还是“自下而上”原则都无法一语而论,治理要平衡安全和发展两种利益。
上海大学法学院副教授陈吉栋谈到了一般数据和个人敏感信息是否要区别规制的问题。《民法典》和《个保法》中对两者都有相应规定,不应将两者直接划等号,而应区分两者的不同关系。此外,知情同意规制是否也适用个人敏感信息的收集和处理、匿名化信息的数据权属、如何制定合理的数据交易规制,也存在进一步理清关系的空间。
上海政法学院讲师黄一帆以2021年4月21日欧盟《关于人工智能的统一规则(人工智能法)并修正某些联合立法行为》为例,简单介绍了欧盟对于高风险人工智能相关数据的法律规定。他认为,欧盟在人工智能相关数据方面的定义十分细致且专业,值得我国参考借鉴。同时,也就相关法律中涉及人工智能专业领域的术语向在座的各位专家学者提出了疑问。
上海交通大学日本研究中心、凯原法学院助理研究员朱翘楚简单介绍了日本数据安全法的相关立法背景。她认为,日本的数据安全法立法过严,限制了日本大数据产业的发展。例如,收集限制原则、目的明确原则、使用限制原则、安全保护原则、事前公开原则、责任原则对公民个人信息的保护过于严格。此外,取得利用规则、信息转移规则等具体实施细则也束缚了日本科技企业的创新手脚,在法律合规问题上耗费了太多资源。
上海交通大学博士后刘浏首先就黄一帆之前提到的问题进行了解答。他表示,数据在处理中涉及收集、标注、部署等复杂过程。以人脸为例,从技术角度看人脸识别应用的需求与落地情况,各公司使用的算法不尽相同,但超越单纯的人脸数据,收集包括穿衣偏好、佩戴习惯等个人信息的情况已然成为常态。
上海大学法学院许端蓉介绍了政务数据安全保护责任的承担。她认为,个保法与数据安全法的制定有利于政务数据安全保护责任的进一步明晰。
重庆尚优副总经理赵阳提到了企业在信息安全和数据保护的诉求。他表示,企业数据泄露导致企业资产损失的事件时有发生,每个网络接口都有可能成为黑客窃取企业数据的跳板。数据企业应严格遵循技术授权、管理授权、客户授权的行业规范。对此,个保法与数据安全法也应有所体现。
仙塔科技经理江汶主要就实践过程中遇到的法律问题进行了发言。她表示,法律合规与技术实现存在差距。例如,使用用户个人信息时的同意原则、跨境的具体定义、隐私保护标准、跨境数据传输合同是否要向国家网信部门备案、向第三方提供数据时是否需要征得用户同意、死者的个人信息保护等具体细节都需要通过立法或司法解释等进一步阐明和澄清。
浙江清华长三角研究院法治与社会治理研究中心赵玉栋简单阐述了未能到会的企业代表意见。包括科大讯飞知识产权部经理乔玉平、乐言科技和高汤科技等企业代表都表达了数据分级分类的立法诉求。
华东政法大学教授、互联网法治研究院高富平院长认为,个保法和数据安全法中的基本原则自70年代以来并未发生太大的变化。其核心在于谁能够决定个人信息数据的社会化配置。通过分享自己对于欧盟GDPR的研究成果,他表示,就数据要素市场的需求来说,创造价值者应该决定数据的配置。建议改“同意”规则为“告知”规则,一旦数据涉及或针对个人则应得到个人的授权同意。此外,《个保法》应考虑加入数据控制者合法利益的相关条款,并定义个人信息使用者而非个人信息处理者的概念。
会议总结的最后,上海政法学院人工智能法学院院长杨华认为,我国对于数据和个人信息的保护已迫在眉睫,这些立法应当坚持中国的主线,适合中国的国情。区别于美国欧盟等西方发达国家,中国的《个保法》和《数据安全法》不应操之过急地推出立法,唯有与社会各界以及相关立法部门精诚团结、通力合作、充分交流,走有中国特色社会主义法治道路,才能保障两法立法任务的顺利完成。
2021年5月16日
新闻稿撰写:黄一帆
上海政法学院人工智能法学院讲师
新闻图片拍摄:赵玉成
上海教育报刊总社编辑部副主任