近日,中国人民大学未来法治研究院主办的“数据法治化治理”学术研讨会在京举行。法律界专家、学者围绕《数据安全管理办法》、《儿童个人信息网络保护规定》、《个人信息出境安全评估办法》的征求意见稿,结合信息标识、儿童个人信息保护、平台责任等问题,就“数据法治化治理”话题进行了探讨。
北京大学法学院教授王锡锌
数据治理应符合法治要求
北京大学法学院教授王锡锌首先围绕“数据治理法治化”进行主旨发言。王教授提出,数据治理的法治化问题,简而言之,也就是对数据治理主体的权利义务的设定及其关系模式之制度安排,应如何符合法治主义要求。
“数据治理法治化”要特别关注合法性:第一个是作为底线的形式合法性。下位规则不能跟上位法抵触。第二个是体系的一致性或者体系合法性。数据治理的整个法律体系应当保持必要的一致性。第三个是实质合法性。即安全与发展的平衡。安全并不等于一味地保护,真正的网络空间安全不是没有网络空间,而是建立起新兴企业和监管机构的结合,既保护数据主体的权益,也实现国家利益和社会福利的最大化。这种结合的内在逻辑前提是行业不断升级、发展。
他认为,《数据安全管理办法(征求意见稿)》更多采用了对秩序的强烈偏好,这种偏好本身没有问题,但是如果极大损害了互联网网络经营者的利益,那么最终它会损害我们的利益,最终也涉及国家利益。数据治理的法治化问题,不仅需要国内法治,也需要考虑国际法治,促成维护国家利益但又能进行对话、竞争和合作的国际数据治理体系,以提升我们在国际数据治理体系中的话语权和治理能力。
中国人民大学法学院教授张翔
不应干预通信自由和秘密
中国人民大学法学院教授张翔主要就《数据安全管理办法(征求意见稿)》提出自己的看法。他认为,其中第25条可能危及《宪法》第40条规定的公民通信自由和通信秘密。宪法对通信自由和通信秘密的保护,在《监察法》、《电信条例》等法律法规和全国人大常委会的备案审查工作中是得到了严格贯彻的。《数据安全管理办法(征求意见稿)》不能背离整个法律体系。征求意见稿宣称以《网络安全法》等为制定依据,但25条的内容明显超越《网络安全法》,在没有上位法依据的情况下,克减了公民权利,增加了网络运营者义务,违反了《立法法》第80条的要求。互联网的数据流越大,互联网产业才会越繁荣越健康。此条规定若是出台,信息流可能会降下来,就会对产业的发展有巨大的影响。这一条基本没有修改完善的余地,建议删除。
北京师范大学法学院教授汪庆华
平台治理要考察三个要素
北京师范大学法学院教授、数字经济与法律研究中心主任汪庆华认为,平台治理有三个要素:数据、算法、平台。
在数据的问题上,我国采取的是国际上通行的知情同意机制。《数据安全管理办法(征求意见稿)》采用了源头治理的进路,将同意机制规定得更为具体、详细。不过,是否可以更明确设定一些例外情形。《数据安全管理办法(征求意见稿)》在个人信息权的权利内涵上,基本是对《电子商务法》第24条、《网络安全法》第43条的进一步明确,没有新设用户权利。在算法的问题上,《数据安全管理办法(征求意见稿)》第23条规定了“定推”标识义务、用户的退出权和删除义务。如果行使删除权就意味着同时行使了退出权,但行使退出权可能并不意味着同时行使了删除权。这是需要进一步讨论的问题。第24条规定了算法“合成”信息的标识义务,该条后半段不得谋利的规定有侵犯企业经营自主权之虞,需要进一步明确该条的立法目的。第三方应用平台责任的问题上,《数据安全管理办法(征求意见稿)》进一步体现了《电子商务法》中已经反映出来的监管平台并通过平台进行监管的思路。另外,由于规制对象过于宽泛,尤其需要考虑对中小微企业发展的不利影响。
中国社科院法学所研究员姚佳
定向推送可以增加消费者选择
中国社科院法学研究所研究员、《环球法律评论》编辑部主任姚佳提出两个观点,一是要跳出办法看办法,二是要看办法本身。跳出办法看办法,最核心的是立法的主要目的或者合规律性,立法要合乎技术发展、人的行为发展的客观规律。回到办法看办法,以《数据安全管理办法(征求意见稿)》第23条为例,管理部门预设的价值判断是,只要定向推送,就会侵犯消费者的自主选择权,而恰恰定向推送是增加了消费者的选择空间,其选择权不受影响。
中国法学会法学所副研究员刘金瑞
数据安全的规定需要完善
中国法学会法学研究所副研究员刘金瑞表示,目前《个人信息出境安全评估办法(征求意见稿)》,并没有区分是为了安全目的进行安全评估,还是为了保护个人权利进行安全评估,这两种评估定位明显不同,不应该混同规定。就《数据安全管理办法(征求意见稿)》而言,其中第30条,现在这个方案采用过错推定规则,侧重于事后救济。这实际上会造成只要第三方应用发生数据泄露等安全事件,网络平台基本就需要承担法律责任,这便对网络平台苛以了过重的法律责任。建议规定网络平台对第三方应用的事前和事中管理义务以预防和避免数据安全事件发生,包括接入第三方应用时要做登记和审查、出现违法行为要报告和处置、出现数据泄露要通知等。
北京外国语大学法学院副教授万方
要确保体系逻辑性和可执行性
北京外国语大学法学院副教授万方认为,数据治理需要从立法是否足够以及立法是否能产生实效两个方面进行考察。从立法是否足够的角度审查,目前数据确权的问题引起各方争议。这涉及网络空间的基本治理规范设计,属于基础架构,对此应谨慎界定,充分论证。另一个是关于网络平台的司法实践。网络空间确有其特殊性,但对此不可过度解读,在既有民法框架内可解决的问题,不宜盲目扩张或突破,否则会干扰到一些基本权利的行使。另外,还应当观察现有的立法是否发挥了其应当发挥的作用。例如,目的限制原则在现实中难以完全落地,删除权的行使存在现实的技术性障碍,《儿童个人信息网络保护规定(征求意见稿)》对于监护人的有效告知也很难确保。因此,不应当仅仅盲目追求立法的数量也要确保规则体系内的逻辑性、稳定性及可执行性。
中央民族大学法学院副教授朱芸阳
立法要注意法律体系衔接问题
中央民族大学法学院副教授朱芸阳认为,从整体上来说,三份征求意见稿都体现出监管机构对个人信息权利的高度重视,其中要注意两个问题。
一是与其他法律的衔接问题,即如何保持立法体系内的一致性。例如,关于“知情同意”原则,《民法总则》规定意思表示可以以明示或者默示作出,沉默在特定条件下也可视为意思表示。《网络安全法》规定“明示并取得同意”,没有要求“明确同意”。而《数据安全管理办法(征求意见稿)》第9、11条将“同意”限制在“明确同意”,也不允许采用“默示授权”。
二是,《数据安全管理办法(征求意见稿)》应当回归本源,网络运营者违反相关规定的法律后果应该重点在于承担行政责任,而不是侵权责任。《数据安全管理办法(征求意见稿)》第30条中网络运营者的责任,应理解为违反《网络安全法》第9、22条所规定的“网络安全保护义务”而产生的行政责任并非侵权责任,此处是否承担侵权责任应当回归《侵权责任法》关于共同侵权即第8至13条的相关规定。
中国人民大学法学院副教授郭锐
好的管制需要把握管制的限度
中国人民大学法学院副教授、未来法治研究院研究员郭锐主要就《数据安全管理办法(征求意见稿)》第36条和第37条发表了自己的看法。他认为,根据这两条规定,任何一个行政机构都可以向网络经营者去要数据,在这种情况下,头部的企业还有足够的力量应对,小微企业将会是遍体鳞伤。比较好的管制,真正能够保护到投资者,同时能够保护到公司。好的管制需要对企业提供良好的保护,要把握管制的限度,有时甚至是管得越少、危害越小。我们目前的体制与灵活创新是有不适应的地方的,这个还需要去调整、去探索。
安理律师所高级合伙人王新锐
应体现比例原则和正当程序原则
北京安理律师事务所高级合伙人王新锐律师在发言中提出,在目前的大环境下,数据立法首先是一个行政法问题,公法色彩更重。我们可以发现世界各国的个人信息保护和数据保护立法几乎都体现了比例原则、正当程序原则,我国在立法中也应有所借鉴,处理好不同法益的冲突,否则难免出现事与愿违的情况,还有可能无意中影响了其他价值的实现。中国的数字经济能有今天的发展非常不容易,同时也暴露出了很多需要认真对待的问题。风险治理导向的立法和监督完全可以理解,但要考虑到数据立法既有全局性也有行业特殊性(比如金融、医疗、汽车、能源就各有不同),体系的协调性对法规落地的效果会非常关键。
