您的位置:首页 >基金 > 正文

每日视讯:进一步完善个人信息保护法的规则

资料图片

《个人信息保护法》的颁布和实施,为保护个人信息权益、规范个人信息处理活动、促进个人信息合理利用发挥了重要作用。近日,由清华大学法学院举办的“个人信息保护法适用重大疑难问题研讨会”在北京进行,来自全国人大法工委、高校、研究机构、法院和实务界的四十多位专家、学者参加了研讨会。会议围绕《个人信息保护法》适用中的重大疑难问题展开深入细致的讨论,为进一步完善个人信息保护规则,起草个人信息保护相关司法解释,促进数字经济健康有序发展铺实理论基础。


(资料图片)

个人信息处理中

个人同意的性质与适用规则

中国人民大学法学院张新宝教授认为,在立法过程中,《个人信息保护法》草案第一稿曾将同意界定为意思表示,第二稿则删除这一表述,最终法律只规定了同意的前提和有效的要件。同意不产生具有约束力的人身性质或者财产性质的权利义务,而是使得处理者的处理行为获得合法性的基础,与民法上的意思表示效果是有差异的。

北京大学法学院王锡锌教授认为,同意的法律效果不是完整的授权,而是使个人信息处理者获得处理个人信息的合法性基础,至于个人信息处理的具体活动则应通过决定权来控制。

中国人民大学法学院石佳友教授认为,告知义务和同意义务应当分离,即使在不需要同意来处理个人信息的情况下,处理者仍应履行告知义务。

就个人同意在司法实践中的法律适用,北京市第二中级人民法院民二庭邹治庭长表示,实务中主要从侵权、抗辩的角度考察同意。北京市海淀区人民法院陈昶屹庭长认为,同意的目的在于保障个体的知情决定权,知情和决定、告知和征得同意是相对概念。

自动化决策、算法歧视的规制

清律律师事务所首席合伙人熊定中表示,关于自动化决策和算法的规则,需强调在个案中个人信息处理者使用自动化推荐的行为是否真的在利用个人信息。

陈昶屹认为,实践中的难点在于黑箱鉴定,鲜有企业会提供算法让法院鉴定。如何把握大数据杀熟在技术上不合理的差别和价格歧视本身的经济学的差别,论证其合理性或不合理性是一个难题。

东南大学法学院讲师王苑博士认为,判断是否对个人权益有重大影响,可以结合具体场景进行分析,并考虑个人的主观感受,且不合理的差别待遇不仅限于价格歧视。

全国人大常委会法制工作委员会经济法室副处长林一英认为,自动化决策存在分析用户画像以及据此作出决策这两个步骤,处理者一旦特定到个人后,收集到的信息都是个人信息。

中国人民大学法学院讲师阮神裕博士认为,在证明不合理差别待遇后,合同可撤销、无效或保持有效,但可要求损害赔偿的路径都存在一定问题,并倾向于将合同认定为有效、用户可要求损害赔偿。

个人信息权益的保护与救济

王锡锌教授认为,个人信息保护涉及《民法典》《网络安全法》《个人信息保护法》,具有重叠规制的特点。民法上的保障救济机制固然非常重要,但也应该从行政规制的角度充分理解《个人信息保护法》的规范设计。《个人信息保护法》不是单纯的民事法律。个人信息保护民事纠纷案件的解决中必然要涉及个人信息的处理规则,必然要涉及对个人信息处理者的义务的理解,但是个人信息处理者的义务并不是对应个人的权益的,这个义务对应的是国家监管。从这个意义上说,个人信息保护的民事案件必然涉及个人信息监管的专业性、技术性,甚至是法定的程序问题。个人信息的监管职能具有较强的专业性,如果将法院作为实质上的监管机构,将对司法能力造成挑战。因此,未来个人信息保护法的司法解释要注意厘清规范的边界。

关于司法解释的起草工作,张新宝教授认为,《个人信息保护法》是以监管为主的法律,涉及到民事责任、行政法律责任和刑事法律责任的问题。最高法院的司法解释不能就有关行政监管方面的事项作出解释,只能对裁判规则进行规定。

熊定中律师认为,制定《个人信息保护法》的司法解释具有极强的必要性。首先,个人信息处理者的过错判断标准仍然是模糊的。其次,侵犯个人信息的现象较为严重,形成了诉累,未来需要更加明晰的审判规则。最后,行政监管在个人信息保护问题上的专业度和对抗性远不如民事诉讼。

清华大学法学院程啸教授认为,法院通过司法解释制定相关规则,具有明确个人信息处理规则,推动个人信息保护监管机关制定完善相应的规则的功能,同时也能减轻个人信息处理者的合规压力和成本,意义非常重大。

关于个人在个人信息处理活动中的权利和个人信息处理活动诉讼,北京市第三中级人民法院审管办主任黄海涛认为,司法解释一定言必称法条,法官对实体法的理解往往争议较小,争议较大的往往是程序法问题。北京金融法院审判一庭丁宇翔庭长认为,《个人信息保护法》第47条第1款第1项需要进一步解释,尤其是在金融领域,金融服务机构收集个人信息是一个长期动态的过程,该如何认定目的是否实现,仍存在问题。陈昶屹认为,个人信息保护领域的司法实践中更多涉及的是本权请求权而非侵权请求权,建议在司法解释中对二者进行区分。

关于个人信息保护禁令的问题,中国人民大学法学院丁晓东教授认为,个人信息保护涉及大规模的微型权利,法律应当鼓励可以用最小的成本防止事故发生的人提起侵权之诉。邹治庭长认为,个人信息保护禁令应当受到重视,因为个人信息权益更多是防御性的,且一般发现时情况已经较为紧急。

个人信息处理者的义务与责任

中国社会科学院法学研究所姚佳研究员认为,近年来,国际上针对大型平台进行更加严格的监管,赋予守门人义务等更多的义务和责任,主要是希望给消费者更多的保护。对于平台责任,经历了“避风港原则”、“红旗原则”、“通知-删除”规则、“通知-必要措施”规则等演进。《个人信息保护法》第58条规定的仅是平台责任的一个侧面,更主要规定大型互联网平台在个人信息领域的守门人责任。但这一责任与此前讨论较多的平台责任之间是什么关系?在具体案件中,平台内产品或服务提供者处理个人信息之时侵害了个人信息权益,那么,平台究竟应当承担何种责任?是否包括民事责任?如何认定民事责任?都是很现实的问题。

中国信息通信研究院互联网法律研究中心方禹主任认为,关于大型平台守门人义务,欧盟和美国认定大型平台主要有两种路径,一是影响力标准,二是规模标准。这两种方法在一定程度上是推定的,因而他们的立法也会规定有权部门认定平台的守门人地位。我国立法目前还在探索阶段,就个人信息处理者的行政责任与民事责任的关系,可以考虑参考欧盟的作法。民事责任并不一定需要以行政处罚为前提,但司法机关应该尊重行政机关的判断。

关于大型平台守门人义务,中央财经大学法学院武腾副教授认为,平台应该积极主动履行较高标准的个人信息保护义务来换取较大范围的个人信息处理空间。

腾讯集团法律专家臧雷认为,大型平台守门人义务的责任问题缺乏法律依据,不应该在司法解释中规定。

程啸教授认为,大型平台守门人义务违反并不都对应侵权责任的问题,有些可能只是行政处罚。个人信息监管机关对违法的个人信息处理行为作出处罚与否不是民事责任的前置程序,但是,处罚中的一些事实可以作为民事案件中的证据。

林一英认为,设置大型守门人义务主要是基于监管需要,违反这个规则应当受到行政处罚,但若是要求承担民事责任,则不合适;侵害个人信息权益和侵害人格权益归责原则的区分,可以结合主体不对等和侵害的权益类型两方面评判。

陈昶屹认为,侵害个人信息权益造成损害,存在侵害个人信息权益和侵害人格权益的归责原则适用问题,根据过错推定归责原则认定侵害个人信息权益后,是否需要在根据过错规则原则证明侵害人格权益,可能会是具体适用上的难题。

侵害个人信息权益的法律责任

清华大学法学院王洪亮教授围绕《个人信息保护法》第69条进行了讨论。对该条的基本内涵,他认为,如果扩张解释到违反所有义务的行为都可以导致侵权,可能导致侵权损害赔偿范围过大,应该对此作谨慎考虑。关于财产损害的赔偿计算中的下游损害界定,应当通过因果关系判断当事人是否能预见损害结果。第69条最大的缺点在于只考虑自然人的损害,未考虑企业的损害。

关于法定义务抗辩的问题,清律律师事务所朱芸阳主任提出,实践中实际已出现法定义务不限于法律和行政法规的情况,如果排除部门规章等,会造成现有的互联网企业在违法违规的情况下来处理个人信息的情形。

阿里巴巴集团田喜清研究员提出,平台不仅是一个法律主体,也是入口,上有许多其他独立主体构成的多元生态。这种生态下,平台对平台上第三方对用户造成损害的溯源或者赔偿,以及赔偿具体损失额的大小仍有疑问。

关于多数人处理个人信息的侵权责任,熊定中律师提出,目前存在过错推定之下,证明了自己的处理行为没有过错和没有因果关系的处理者,是否要与其他未能证明自己无过错的共同处理者承担连带责任的问题。

程啸教授指出,此时要看处理目的是否一致,处理目的不一样的不是共同处理。且共同处理不能推定,需要证明。鉴于证明上确实存在难度,个人信息共同处理应允许证明没有因果关系可以脱离责任。

标签:

热门资讯

最新图文

资讯播报