2019年4月14日,“第三届上海数据安全与隐私保护高峰论坛暨中国科学技术法学会第三届创新与法治论坛”在上海国际贵都大酒店举行。
本次论坛的主办单位是中国科学技术法学会、上海交通大学网络空间治理研究中心、IT Share、CTOA首席技术官领袖联盟;协办单位包括中国科学技术法学会网络空间法专业委员会(筹)、广东省法学会网络与电子商务法学研究会、北京邮电大学互联网治理与法律研究中心、华东政法大学数据法律研究中心、上海国际问题研究院网络空间国际治理研究中心、上海弼兴律师事务所、上海汇业律师事务所、上海锦天城律师事务所、上海通力律师事务所、北京大成律师事务所、北京金杜律师事务所、北京隆安律师事务所、北京中伦律师事务所、浙江泰杭律师事务所、上海交通大学知识产权研究中心、上海市软件行业协会知识产权保护工作委员会。
开幕式由中国科学技术法学会副会长、上海交通大学网络空间治理研究中心主任寿步教授主持。他说,2014年4月15日,习近平总书记首次提出“总体国家安全观”,成为新时代维护国家安全的根本方针政策。2015年7月1日起实施的《国家安全法》明文规定,4月15日是全民国家安全教育日。2016年4月15日是首个全民国家安全教育日。明天,将是第四个全民国家安全教育日。我们知道,数据安全和隐私保护属于“网络与信息安全”的范畴;而“网络与信息安全”在《国家安全法》第二十五条中有明文规定。因此,在全民国家安全教育日的前夕召开本次论坛,具有特殊的意义。
中国科学技术法学会常务副会长、复旦大学法学院教授陈乃蔚在致辞时说:要治理好网络空间,就需要法律工作者和科技工作者携手共进,法学界和法律界群策群力,重视从战略、法律、政策的不同层面来研讨如何维护我国网络空间安全。这也是上海交通大学网络空间治理研究中心等相关智库机构汇聚法律和技术界的菁英人士,持续举办相关会议,展开头脑风暴、思想碰撞的重要原因。
中华全国律师协会副会长、上海市法学会副会长盛雷鸣在致辞时说:过去的2018年,人们称为“数据合规元年”。《网络安全法》落地实施后的各个层面的数据立法进程全面启动,行政监管重点突显,司法保护能动出新,市场自治初现端倪。也正值此时,国内外数据泄露事件频现。从年初Facebook 8700万名用户数据滥用,到年中数据堂涉数百亿条信息泄露,再到年末爆出万豪酒店喜达屋系统中高达5亿个人数据被窃。数据安全的问题令人唏嘘。他认为推动我国出台统一专门的《个人信息保护法》势在必行。
演讲第一节由北京邮电大学互联网治理与法律研究中心常务副主任谢永江教授主持。
中国网络空间安全协会副理事长、上海交通大学信息内容分析技术国家工程实验室主任李建华教授在题为《人工智能与数据安全保护》的演讲中,分析了从大数据到人工智能时代,移动互联网所孕育的新一轮创新和变革。数据本身不是目的;知识和智慧才是永恒的价值。他认为,大数据安全呈现以下特点:风险成因复杂交织、威胁范围全域覆盖、时间影响重大深远。一旦数据泄露,将超越技术范畴和组织边界,产生重大财产损失、威胁生命安全甚至改变政治进程。数据资产是政府和企业信息安全的核心目标。数据识别是保护的前提,主流数据资产主要通过加密、管理、数据权限、数据防泄漏等方法保护;数据安全不仅是目的,更是动态的过程。网络空间安全面临日趋复杂的威胁,需加强数据资产保护。
上海交通大学信息内容分析技术国家工程实验室副主任、上海交通大学网络空间治理研究中心主任潘理研究员在题为《面向传播控制的社交网络隐私保护》的演讲中,将隐私划分为财务隐私、互联网隐私、医疗隐私、政治隐私、信息隐私。从大数据生命周期看,涉及数据发布、数据存储、数据挖掘、数据使用。各个阶段所产生的隐私隐患,可通过建立大数据生命周期的隐私保护模型针对性地解决问题。对于社交网络中所需的隐私保护,引入了面向传播控制的隐私保护方法。通过研究动机、模型框架、关键技术、实验与结果等步骤建立了基于隐私意识的个人信息传播管理框架,在研究动机、算法主要思想、实验与结果等一系列步骤操作上实现社交网络用户隐私保护投资决策。
上海交通大学法学院教授、中国法学会网络与信息法学研究会副会长寿步在题为《网络安全法的演进路径》的演讲中认为,网络安全法中涉及个人信息保护、违法信息管控、数据跨境传输、未成年人网络保护等方面的规定并不在“网络安全”的定义范围之内。他建议,在对现行《网络安全法》进行分解瘦身的基础上,再扩容重构,制定《网络空间安全法》。未来由《网络空间安全法》与相关的涉及个人信息保护、违法信息管控、数据跨境传输、未成年人网络保护等的单行法律法规一起,构成网络空间安全法律体系。
演讲第二节,由中国科学技术法学会副会长、华东政法大学知识产权学院院长黄武双教授主持。
北京邮电大学人文学院副院长、互联网治理与法律研究中心常务副主任谢永江教授在题为《人工智能与数据安全保护》的演讲中认为,权利是一个具有发展性的概念,某种利益具有加以保护的必要时,得经由立法或判例学说赋予法律之力,使其成为权利。数据是一种新型客体,数据权是一项新型权利。民事权利体系中除了人身权、物权、债权、知识产权外,还包括数据权。数据权既包括精神性权利,也包括财产性权利。行使数据权时,与国家安全、国防安全、公共安全、公共卫生以及与犯罪侦查、起诉、审判和判决执行等直接相关时,或者出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人同意的,个人信息控制者为新闻单位且其在开展合法的新闻报道所必需的情况下,可以对数据权的权利进行限制。
华东政法大学法律学院教授、数据法律研究中心主任、财产法研究院院长高富平在题为《什么是信息隐私(个人信息保护)》演讲中,对个人信息保护的世界之源进行梳理。1948年《世界人权宣言》将隐私作为人权进行保护。美国隐私权是个人自由的法律表达和普通法救济,源自公民基本权利。他根据美国信息隐私保护法律框架,阐述了作为公正信息准则的隐私保护,进而讨论中国个人信息保护立法该何去何从?他认为,世界上107个国家有个人信息保护法,目前处于数据经济的风口浪尖上,需要研究“为什么和如何保护个人信息”这样的基本问题,思考如何在世界趋势中把握中国机遇。
公安部第三研究所网络安全法律研究中心主任、副研究员黄道丽在题为《安全视野下的数据治理与合规》的演讲中谈到,大数据的基础性战略资源地位让“数据依赖”成为新的威胁,数据收集与利用、数据泄漏、数据跨境等传统问题迎来新的挑战。安全是治理法律语境的天然属性,所有的治理评价都需要安全指标的评价。数据应用与数据安全是硬币的一体两面,安全治理的目标是促进数据产业、信息网络产业乃至数字经济的良性发展,数据治理可能涉及的权益众多。我国正处于个人信息保护、数据安全立法和实践的快速发展期,同时也是探索期,要重点研究如何做数据安全的治理和合规化。
演讲第三节,由e律师联盟主席、中国科学技术法学会网络空间法专业委员会(筹)副主任汪政主持。
北京中伦律师事务所合伙人陈际红律师在题为《网安法2018年回顾与2019年展望》的演讲中认为,2018年被称为中国“数据合规元年”,但立法方面配套法规千呼万唤不出来。配套法规的制定与宏观的法律框架相比,生效法规数量较少,制定进展不尽如人意,关键制度的配套法规尚未落地。网安行政执法仍是“九龙治水”,刑事风险如达摩克里斯之剑。全球各国和地区的数据立法此起彼伏,且很多具有域外“长臂管辖”效果。域外立法对中国企业之影响不容忽视。落实企业网络安全与数据合规工作,标准与指南指引企业数据合规,核心就是合规。最后展望了2019年网络安全工作新动向。
上海通力律师事务所合伙人潘永建律师在题为《个人信息定义与权属迷思—从应用场景出发》的演讲中,通过对2012年以后个人信息的定义进行梳理,分析对于“单独或结合可识别”标准这种只有定性没有定量的规定,在具体情况下如何适用。通过对应用场景的列举,例如Wi-Fi探针是否收集了个人信息、何种行踪轨迹才算是个人信息、无互动连接点的情况下如何获取同意等,具体讨论了“单独或结合可识别”的标准和“匿名化”的信息,最后提出数据立法政策中的 “不可能三角”。通过对个人信息的所有权和死者个人信息的追问,发现个人信息的所有权归属是一个暂无答案的问题,有待进一步研究。
上海汇业律师事务所合伙人李天航律师在题为《网络安全与数据合规的刑责边界及应对》的演讲中认为,从侵犯个人信息罪到个人信息保护法,是刑法谦抑性在立法层面的让渡。从两高一部《关于依法惩处侵害公民个人信息犯罪活动的通知》,到两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,再到最高检《检察机关办理侵犯公民个人信息案件指引》,可以看出刑法谦抑性在司法实践层面的让渡。他基于刑法的谦抑性原则,分析了侵犯公民个人信息犯罪刑事责任的边界——对象边界、行政法规制边界、行为边界、量化边界。
演讲第四节,由中国法学会网络与信息法学研究会常务理事、中国科学技术法学会网络空间法专业委员会(筹)副主任陈际红律师主持。
北京金杜律师事务所合伙人宁宣凤律师在题为《金融服务数据跨境合规》的演讲中认为,数据保护法律体系在全球范围内逐渐完善,跨国企业所面临的数据合规要求(尤其是跨境传输方面的规则协调)愈发严格。各国的数据保护立法通常规制的是数据控制者和处理者所进行的个人数据处理活动。在全球数据保护中,规制对象空前广泛,执法活动尤为活跃,违法成本显著提升。从GDPR的适用范围可知,中国企业需适用境外法律管辖。通过美国《澄清境外数据的合法使用法案》和欧盟《电子证据(草案)》可以看出,域外取证权力在扩张。在限制本土数据的跨境传输方面,提出对金融数据的特别保护要求,加强对境外投资的审查。
上海锦天城律师事务所合伙人吴卫明律师以《车联网带来的数据合规新思考》的演讲中认为,在互联网时代,车辆从交通工具到智能终端,汽车行业生态发生了变化。车联网时代产生了大量数据,数据应用主要场景有:对汽车销售、车辆保险、差异化定价和其他周边服务行业的行为数据分析;对二手车定价的维修保养数据分析;对维修和充电等辅助行业布局、汽车租赁领域、道路交通规划等位置数据分析;对汽车设计制造做出行为数据和车辆实时数据分析。车联网数据生态关键点包括个人信息保护、平衡公共利益,数据跨境传输。
上海超零信息科技有限公司(SERO)联合创始人兼CEO包钧在题为《用区块链技术实现隐私保护的难题》的演讲中认为,区块链的隐私保护问题严峻。对于个人用户而言,主要是信息泄漏;对于商业而言,将无法在竞争对手面前隐藏自己的商业机密。关于隐私保护的法律保护手段,如欧盟的GDPR《通用数据保护条例》,其保护作用有限。通过技术手段能更好的解决隐私保护。他重点介绍了超零协议SERO(Super ZERO)。超零协议的使命就是,不受别国的监控和干预,有效使用区块链技术带来的优点,同时克服区块链隐私保护的缺陷,完全可以不受霸权国家对正常经贸行为的监控和干预,让中国在同一起跑线的数字货币战争中处于领先地位。
演讲第五节,由上海弼兴律师事务所主任、中国科学技术法学会网络空间法专业委员会(筹)副主任兼秘书长薛琦律师主持。
浙江泰杭律师事务所主任汪政律师在题为《关于数据资源保护的若干思考》的演讲中,从客观形势、专业教育、国际共识等不同角度切入,对数据资源保护的背景进行了全面介绍。利用网站漏洞、木马病毒非法获取、“内鬼”利用职务便利、还有跟踪、偷拍、监控、窃取、交换、接受赠送等非法手段,纷繁复杂的泄漏途径带来极大的危害,防止泄漏成为数据资源保护的主要内容。泄漏的法律后果:违反宪法、民事侵权、刑事犯罪、危害国家安全。他对数据资源保护的立法提出以下建议:数据安全与隐私保护之道——关注五项基本改革;私权利与公权利的平衡;数据保护和数据利用的平衡;新法与旧法/其他法的平衡;个人权利与产业权利的平衡;法律与技术的平衡;立法与司法的平衡。
北京大成律师事务所合伙人邓志松律师在题为《限制数据跨境传输的国际冲突与企业应对》的演讲中提出,数据跨境传输既有大国博弈又是商业需求,在数据跨境流通冲突下的企业如何应对?他通过《网络安全法》立法进程的回顾,对法律、行政法规、部门规章和标准等各方面规定的梳理,对信息跨境传输监管的法律框架进行分析,重点介绍了中国监管对象的变化。根据美国CLOUD法案出台背景,着重讲述美国电子取证的管辖原则。欧盟在1995年数据保护指令已经建立个人数据跨境传输监管框架;GDPR的出台对欧盟个人数据跨境传输监管框架进一步优化。通过对中美欧的法律监管分析可知,在数据自由流动区,需双边和多边数据跨境流通协议。
北京隆安律师事务所合伙人魏云律师在题为《从案例出发关于企业数据权益问题的思考》的演讲中,对(2017)浙8601民初4034号案例进行剖析,认为本案争议焦点在于:1.淘宝公司收集并使用网络用户信息的行为是否正当;2.淘宝公司对于“生意参谋”数据产品是否享有法定权益;3被诉行为是否构成不正当竞争。通过分析对双方争议的权利边界进行界定。其一,单一的网络用户信息不当然具有直接的经济价值,无独立的财产权或者财产性权益可言;其二,原始网络数据不享有独立的权利;其三,网络大数据产品享有独立的财产性权益,不享有财产所有权。
演讲第六节,由上海通力律师事务所合伙人潘永建律师主持。
上海国际问题研究院网络空间国际治理研究中心秘书长、副研究员鲁传颖在题为《网络安全困境与数据安全治理》的演讲中认为,国际网络安全内涵演变引发大国在网络安全领域的博弈,失灵的网络空间国际治理机制无法实现危机管控和冲突降级,国际网络安全特性引发大国在网络空间的低烈度对抗,大国战略博弈态势加剧。治理机制构建的困境,体现在现有的规范未被认真落实;治理机制失灵,不仅使得国际层面的网络危机管控和争端解决等相关机制处于空白状态,而且一些重要的双边对话合作也受到很大影响。大国博弈和国际治理机制失灵以及低烈度网络冲突不断等现象与国际网络安全困境之间互为因果,相互作用,形成了一个看似难以解决的系统性安全困境。国际网络安全困境是由不同层次因素共同影响的结果,从双边关系来看,建立较为长效、稳定的信任措施应是解决网络安全困境的重点工作,各方需要在此问题上取得共识,克服困难共同推进。
上海交通大学网络空间治理研究中心兼职研究员史宇航在题为《法律之外——技术与设计如何赋能数据保护》的演讲中认为,数据保护应该是技术加上法律,二者并行不悖。当技术措施成为法律义务,主要内容包括:其一,制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;其二,采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;其三,采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;其四,采取数据分类、重要数据备份和加密等措施。通过设计保护数据与隐私,需要包括以下原则:可见性和透明性、尊重用户隐私、积极预防而非被动救济、隐私默认保护、将隐私嵌入设计之中、功能完整——整合而非零和、全生命周期的保护。
最后,北京市隆安律师事务所合伙人、中国科学技术法学会网络空间法专业委员会(筹)副主任哈斯律师致闭幕词。她说,本次论坛经过一天紧张有序的演讲和交流即将结束。今天上午的七位专家和下午的十一位专家分别从不同角度讨论了数据安全与隐私保护问题。这次会议的信息量非常大。许多参会代表感觉收获很大。希望通过我们的系列交流活动,推动全社会对网络安全法的关注、重视、理解和遵守。
上下午的会议时间累计近8小时。会议在下午6点结束。约230位来自企业、律师事务所、中介机构、高校的代表参加会议。