2018中国互联网大会个人信息保护论坛

时间：2018年7月12日上午

地点：国家会议中心

论坛概况：

7月12日，2018中国互联网大会个人信息保护论坛在2018中国互联网大会期间举办，论坛旨在汇众智聚众力，呼吁社会各界关注个人信息保护相关热点问题，聚焦发展难点，回应用户痛点，共同促进产业健康有序发展。个人信息保护论坛吸引了来自互联网界、法律界代表600余人参加会议，通过交流互动，对话研讨，有效汇集行业的中坚力量，信息汇聚，内容精彩，成果丰硕。

隋静 工业和信息化部信息通信管理局副局长

信息采集的广度和深度不断拓展，信息流动日益突破地域和行业，对个人信息保护和安全保障提出了严峻挑战。工业和信息化部作为行业主管部门，高度重视个人信息保护工作，始终将维护用户合法权益、保障行业健康有序发展作为监管的重要理念。一方面，着力完善个人信息保护的规章制度，2013年制定出台了《电信和互联网用户个人信息保护规定》。另一方面，大力加强事中事后监管，强化对用户个人信息收集使用规则的告知、账号注销等环节的监督检查和违法违规行为处置，持续开展手机应用软件、用户个人信息保护技术检测等工作。

周汉华 中国互联网协会个人信息保护工作委员会主任委员

《个人信息保护法》的制定一直是各界呼吁的热点问题。在立法过程中，要建立一个激励相容的制度。以欧盟为代表的国家（地区），从个人权利角度论证个人信息保护的必要性。美国实践中更多将个人信息保护作为风险管理处理。路径的选择关键在于个人数据治理的制度设计是否科学。探索中国个人数据治理之道，必须超越欧美两种模式的简单对比或移植，避免简单立法的可能陷阱，找到解决问题的正确方向。在数据沉睡时代，个人数据实际处于未被开发的受保护状态。大数据时代，开发的力度越大，数据面临的风险就越大，失衡现象就愈发严重和常见。个人信息保护需要有效的内部组织架构，培育良性运行外部环境，并循序渐进。如果打破次序，不是先从风险管理角度切入，由易到难，而是反其道而行之，或者一步追求最终目标，势必加大内生机制的形成难度，欲速则不达，事与愿违。

院长对话

讨论嘉宾：

时建中 中国政法大学副校长

申卫星 清华大学法学院院长

蔡立东 吉林大学法学院院长

龙卫球 北京航空航天大学法学院院长

卢建平 北京师范大学法学院院长

杨 东 中国人民大学法学院副院长

清华大学法学院院长申卫星指出，个人信息保护严格来讲是由于利益驱动导致如此复杂。个人信息保护的难点是很多个人信息覆在一定的数据之上，例如数据的传输、数据的利用。工业4.0社会将数据比作石油，财富发挥作用，不可避免会引起对个人信息的侵害。个人信息保护经历了网络经济和数字经济的发展，从野蛮时代到规范时代发展的当下关口，现在是一个非常好的时机，制定一个符合当下文化，经济发展水平相适应的个人隐私保护的行业标准，以此来规范所有的行业，大浪淘沙一定会留下一批优秀的企业。同时，要倡导数据治理的三个平衡原则，个人权益保障和行业发展之间的平衡，公权力和私权利的平衡，法律与技术共同治理的平衡。

吉林大学法学院院长蔡立东指出，个人信息的界定和保护首先是法律规范问题，但它不是在一个法教义学范围内能够完全解决的问题。个人信息保护是经济问题，甚至是一个政治问题、国家战略问题。研究个人信息保护不能脱离中国的现实，不能脱离中国国家治理的特点。个人信息保护立法模式采取了个人信息人格权益加上隐私权的立法体例。

北京师范大学法学院院长卢建平指出，我国个人信息保护立法走的是逆常规路线，也就是"最后法先行、刑法先行"。按照常规，个人信息保护方面要先通过《民法》、《行政法》等划定边界、确定规则，但在其他边界、规则还没有划清前，《刑法》首先划出了一条高压线，这反映了一个很迫切的现实。随着信息时代的来临，信息的重要性、价值越来越突出，但信息的滥用或者对公民个人信息破坏、侵犯到了一个难以容忍的地步，《刑法》不得不出手。

北京航空航天大学法学院院长龙卫球指出，数据保护立法或者数据立法的思路，需要从归属走向利用，重利用而不是简单的重归属。过去立法中，物权法、财产法的概念中比较重归属，简单地以归属为中心。但是，从当前数据经济的合理需求逻辑来看，数据保护转向重利用或者归属和利用并重是其基本趋势。我国目前的数据立法或者个人信息保护立法情况总体上走出了一条比较独特、比较先进的路子。我们将来数据立法的完善，应该立足数据在经济社会和管理上的合理利用，明确数据开发利用者的必要权利，同时确保数据保护的三大底线，一是必要的个人信息和隐私保护底线，二是信息社会保护底线，数据是信息，许多信息与公众知情权紧密相关，三是信息和数据安全以及其他公共利益的底线。

中国人民大学法学院副院长杨东指出，个人数据以及隐私的立法应该在一个大的、宏观的数字经济环境背景之下来考量，因为整个经济体系是从传统的工业革命、工业经济向数字革命、数字经济的大变革时期。人工智能（AI）是生产力，大数据是生产资料，区块链是生产关系。要把大数据的生产资料利用好，是一个非常浩大的系统工程，需要很多的制度设计，而不单纯是一个私法的隐私保护或者数据保护，中国需要从宏观、体系化的角度去占领下一个数字经济时代全球的领导地位。

中国政法大学副校长时建中总结指出，我国个人信息保护立法已经起步，并且表现出了先进性。在现代信息社会，个人信息保护制度的核心是相关主体的权利及权利体系安排。这就涉及到了围绕个人信息或者数据的生成、存储、利用、流动等各个环节来分析在不同主体之间的不同关系、利益。回顾我国正在形成过程的个人信息保护制度，形成了刑法倒逼之势。先画出红线，对于推动个人信息法治体系的建设发挥了非常好的作用。其他法律的介入和进一步细化又可以推动刑法得以完善，使得个人信息保护整个法律制度体系得到完善。对于个人信息保护议题的讨论，是一个法律问题，也是一个技术问题。所以，我们不仅要进行法学思考，而且要进行技术方面的思考。如何实现技术的规律、技术程序与法治规律和法律程序的有效连接，是我们面临的新问题。

谭晓生 360集团技术总裁、首席安全官

产业界在符合法律法规要求下，应当对所收集的个人信息负责，在保证个人信息不泄露的前提下，坚决不滥用个人信息，促进数据合理合法的流动、共享形成数据链，发挥数据的最大价值，保证大数据产业的健康发展。

张 凡 华为消费者BG云服务应用市场业务部部长

中国企业要做全球化业务或跨国业务，针对效力范围的要求来讲，有三点挑战：一是海外业务装载问题；二是合规性的挑战；三是流动性的问题。由于数据存储的隔离导致业务的碎片化和区域化，在开展正常经营时会面临很大的挑战。从数据保护的充分性决定、适当的保障措施、豁免场景的三个维度去思考全球化业务的应对策略，建议企业防范内部的数据壁垒，构建系统化、便捷的数据跨境转移解决方案。

张世长 阿里巴巴集团数据安全负责人

建议从国内外法律法规的要求作出分析以建立机制，建立完善的组织保障和职责要求体系，把合规的能力沉淀成产品服务或者以技术的方式赋能到整个公司不同的业务之中。同时希望在国家监管部门的帮助下，能够把相关企业个人信息保护方面的尝试和实践经验转换成行业标准，运用到产业实践之中，最终形成良性的他律和自律关系。

陈献青 中国电信综合平台开发运营中心账号事业部总经理

重视企业自身经营过程中的个人信息保护，发挥基础网络能力为行业提供个人信息保护的智能化解决方案，通过识别用户手机SIM卡信息进行无密码登录，不仅便捷安全，还能够有效杜绝“账号密码易泄露”“短信验证码被劫持”“二次放号引发隐私安全风险”等问题，从而有效地保护用户的个人信息安全。

温暖 中国移动信息安全管理与运行中心品质管理处副经理

通过技管结合、立体防护来构建客户信息安全保护的体系。其中，“金库模式”客户信息保护技术手段实现了对网管、业支、业务平台三大领域36套共600余个关键系统的全面覆盖，覆盖范围涵盖31个省公司及各专业公司，实现了高风险操作和高权限账号登录次数下降50%以上，有效地保障了客户信息安全。

王小夏 腾讯集团大数据法务合规中心总经理

分享了新技术时代互联网企业数据合规管理之道，结合具体案例展示企业产品功能设计优秀实践，从透明度、用户控制力、数据安全三个维度介绍了腾讯数据合规的管理方法，并积极参与管理部门有关行动，从隐私条款内容、展示方式和征得用户同意方式等不同维度加强用户信息保护。

丁道勤 京东法律研究院执行院长

介绍了欧盟GDPR的核心内容，并结合产业实践分析了GDPR合规要点和难点，建议思考借鉴风险管理和激励驱动的数据保护理念。数字经济治理规则没有最优，只有最适合。欧美对数据治理的态度有明显差别，背后是由其发展阶段和所处的竞争位势决定，建议制定符合我国数据经济发展的个人数据保护策略与规则。

孟然 中国信息通信研究院标准所业务与网络研究部副主任

以典型的实践案例解读了跨行业号码应用的突出问题，特别是二次放号引发的用户信息泄露风险，介绍了码号服务推进组的主要工作内容，提出了推进跨行业健康码号服务生态体系建设的具体建议。■