>腾讯互联网大讲堂第4期 国际社会个人数据保护的最新发展 [查看全文]

主题：国际社会个人数据保护的最新发展

周汉华：大家下午好，非常高兴大家来参加今天下午这个学术讲座，由法学所来承办的这次关于国际社会个人数据保护的最新发展的这次讲座。我想借此机会首先感谢今天讲座的各位主讲专家，他们是这个领域应该说最权威的专家。用我的说法，我们请到了一支“梦之队”。他们明天下午坐飞机去新加坡，帮新加坡政府起草个人数据保护的法律，今天是抽空来我们法学所给我们做这个讲座。而且他们这个专家团队也是在国际上11月的APEC所制定的跨进数据规则，他们也是积极的最主要的推动者。而且在11月初墨西哥城召开的第33届国际数据保护专员会议上，在座的好几位都是这里面非常重要的整个会议的策划者、议题的确定者以及重要的发言者。同时我们也非常高兴地邀请到法学所相关的对这个问题感兴趣的部门的专家。各位专家的精神食粮会在内部的平台上，会把各位专家的演说进行传播，让更多中国的专家能够了解这个进程。所以我们很高兴地把这次讲座作为腾讯互联网大讲堂的其中一讲，腾讯正在中国各个著名的高校在推系列的讲座。我再次对大家的到来表示热烈的欢迎。现在有请司晓总监作为今天重要的资助方，虽然腾讯公司是迈出了一小步，但是对中国走向国际，在网络数据保护方面迈出了一大步。有请司晓总监。 [查看全文]

司晓：尊敬的各位领导，各位专家，以及我们在座的各位同行，大家下午好。今天非常荣幸有这个机会来参加和学习这个活动。今天我们是以腾讯互联网法律研究中心的机构来支持这个活动，我想简单介绍一下这个研究中心。现在是依托于公司内部的法律与政策部，还有外部的研究力量，从而建立的公益性的研究机构。这应该是国内互联网公司在法律政策研究中走出的第一步。我们正在处于起步阶段，正在建设自己的网站，大家看到的杂志是我们中心的刊物，我们和北京大学在做一套相关的丛书，以及我们今天参与的这个讲座和论坛。今天我们有幸与社科院法学所联合冠名的互联网大讲堂是我们面向高校和科研机构的非常重要的活动，我们讲座的话题包括个人信息、虚拟财产、电子商务及支付，以及知识产权等等所有与法律和政策有关的问题。[查看全文]

Martin Abrams：大家好，我是Martin Abrams，我是合威信息政策的总裁，我非常高兴回到中国，和周教授共同就这个话题进行交流，同时周教授现在也在很多国际有关隐私的会议上发言。我非常荣幸上周作为在墨西哥召开的第33届个人信息保护大会上作总顾问，我今天也有机会把大会的内容向各位做一个介绍。首先我想对这次发言的几位发言的专家做个介绍。Christoph Luykx，来自Inter，也是代表Inter参加欧盟的相关活动；Peter Cullen，来自微软；Harvey Jang，来自惠普，负责数据部分的副经理；Jennifer Glasgow，来自安客臣，负责相关的活动；Mikko Niva，来自芬兰的诺基亚，负责诺基亚公司隐私的事务。 [查看全文]

如果我们回想上一次和中科院讨论这个话题的时候，过去的做法还是让个体授权管理自己的数据。那么对于数据的登记也会有相应的程序规定，如果数据的存储和转移发生转变的话，就要向数据的主体发出通告，对于数据的使用、数据的主体必须要知情同意。现在，在全球的数据保护当局关注的问题已经和过去有区别了。其中也包括欧盟，他们也在致力于数据保护，来制定国际的标准。原来是基于个体能够授权他们管理数据的原则，现在法律整个的系统转变，要求机构制定全面的系统来保护数据。现在监管机构提出来的不是如何对于个别的规则合规，现在的监管机构可能要求去展示，哪怕机构内部有什么全面的有关数据保护的制度。所以，信息政策领导中心，我们就非常的荣幸能够去协作，努力，探讨这样的一个国际上的新的数据保护的框架。这样的一个数据保护的制度，首先是基于法律。已有数据保护政策之后，要制定如何实施这个政策的机制。在内部要有确保这些机制能够得到遵守和执行的规定。而且必须要制定使公众能够理解信息保护政策的机制。如果在机构内部发生违背这些法律的情况的话，要提供监管机构能够执法的途径。所以今天我们请了一些专家，和大家就如何进行个人数据保护的责任问题分享他们各自的经验。下面有请Peter Cullen先生，让他来和我们介绍一下大数据。[查看全文]

Peter Cullen： 非常感谢能够邀请我，并有机会给大家做一个发言。由于在这个领域，每天都有新的变化，所以有关数据的变化，我个人感觉自己更多的是一个学生，而不是专家。有一个关于技术的历史学家Melvin Kranzberg在95年说了一句话，他当时说这番话的时候，可能并没有想到会有这么长远的意义，他说现在可以说我们的生活、我们工作的一切都受到信息巨大驱动的影响。这样的一个信息的巨量的增长和流动，我们也把它们制作成大数据。就像Martin所讲的，我们现在在考虑数据和数据保护的时候，已经发生了一个范式的变化。可以说，在这个领域要实施监管的话，几方面都要发挥作用，其中就包括有市场、有法律，还有行业的做法，以及技术所能够提供的工具。有的时候，这些不同的因素，他们可能彼此之间会有矛盾。所以，当我们在想到大数据时候，我们要想大数据意味着什么，什么人可以访问这些数据？什么人可以去使用这些数据？它的用途究竟恰当不恰当。[查看全文]

那就意味着我们有关隐私的考虑，这些观念也要相应地发生变化。比如说，我们要考虑如果通过DNA是不是能够帮助我们去鉴别可能存在的一些疾病，或者说通过DNA是否会导致这种医疗不公的状况更加严重，这是值得我们去思考的问题。有的时候，当我们在设想未来的时候，回顾一下过去可能会有所帮助。在六年前，Facebook这个网站可能只是美国的大学生或者中学生去登录、使用的网站，现在Facebook注册的人口可以称得上全球“第三大国”了。在06年的时候，iphone还没有上市，iphone应有的网店也不存在，在那个时候，Netflix还没有把网络上的内容通过“流”的形式发布。可以说，技术如何影响我们的生活，已经有了相当大的变化。今天，我们都很习惯用触摸屏或者语音控制的数码的装置。而且比如说，在我们公司也有一些装置是可以用人的身体作为一个控制器。这些新的产品，这些技术刚推出的时候，人们可能并没有想到未来会如何运用这样的技术。可以说，像这种触摸屏的技术、语音控制的技术，对于我们未来如何利用相关的技术奠定了一个很好的基础。[查看全文]

也许我们说的“大数据”不是一个恰当的措词。在技术上，大数据原来指的是比较大型的数据集，可以供计算机去处理。而现在每个人的个人电脑不需要什么额外的软件就可以处理这样大规模的数据集了。大数据的特征不仅仅是数据的规模大，更重要的一个特征就是这些数据之间的关系非常的复杂。所以我们可以通过这些巨量的数据可以考察这些信息和数据之间有什么样的模式，应该说这是一个数据的空气。我们要考虑这个数据的空气是我们的氧气，还是二氧化碳。[查看全文]

Martin Abrams： 我非常高兴地把麦克风转交给Harvey Jang做下一节的发言，问责制并不是一个新词，我们现在刚刚开始去真正地理解在1980年OECD提出这个词时真正的含义是什么，下面有请Harvey来做介绍。[查看全文]

Harvey Jang：就隐私而言，我们知道OECD大概30年前就推出了有关隐私保护的几项原则。其中问责制就是第八个原则，同样APEC在有关隐私的内容中，问责制或者说落实责任是第九个内容。就隐私这个领域而言，问责制也不是一个新的概念，但现在人们更多地认识到要让这些企业本身承担保护数据、保护隐私的责任。其中最重要的原因就是我们所处的时代已经发生了变化，像前面的发言人都提到了，数据现在是无所不在的。有很多人根本就没有意识到别人所收集的有关自身的这些数据的重要意义。而现在监管机构也面临着很多的挑战，一个是法律法规赶不上变化，第二执法所需要的资源也有限。通过实施问责制，可以使前面的矛盾得到更好地解决。现在新推出来的法律框架中，都是纳入了问责制这个概念。就APEC有关隐私保护这个领域，问责制可以说是贯穿了整个框架。在欧洲，当欧盟95年时候推出隐私保护指南的时候，他已经提出来具有约束力的企业的规则。明年欧盟将会推出有关隐私保护新的指令，在新的指令当中，问责制会得到更加明确的体现。[查看全文]

在北美、美国、拉美我们都会看到他们新推出来的法律会涵盖问责制的概念。就问责制，可以说把责任从原来个体承担更多的责任，还有监管机构承担更多的责任，现在转变为由企业承担责任。所以那些收集并且去加工这些数据的企业要承担责任，来妥善地处理所收集到的信息。根据问责制，企业必须要去阐明自己内部是不是制定了这样全面的保护隐私的制度，同时也要去说明你的保护隐私的制度是否可以有效识别或者化解针对个人隐私的风险。[查看全文]

前面发言人提到了问责制的一个框架，我们现在用图形的方式予以说明。所以在这里有三个重要的组成部分，一个是监管，一个是有效的制度，还有就是能够去展示。作为一个企业，我们认为最大的挑战就是如何去实施这样的一个问责制的框架。对于公司来讲，去制定政策、制定规则，把他写下来本不是那么困难，最大的挑战就是在于如何确保公司所有的成员都能够理解他们每个人的职责是什么。在惠普，最初的时候我们有一个关于隐私的手册，有300页。通过和我们相关的机构进行磋商，然后我们现在不再使用这样一个手册了，而是推出了一个动态的工具，来供我们的员工加以利用。[查看全文]

Martin Abrams：我可以请在座的任何一家公司介绍一下公司内部有关隐私保护的工具，一会儿我还会和大家介绍中小企业如何通过协作来开发这样的工具。在此之前，我们还是要再次强调一下，过去我们的重点是放在信息的收集上，现在的重点是要放在信息的应用上。下面有请安客臣公司的Jennifer Glasgow女士介绍。[查看全文]

Jennifer Glasgow：根据这样一个新的问责制的理念，Martin请我来讲一下，我们原来主要是一个基于收集的做法，现在我们更多地是转向基于应用的监管和公司治理。在原来，信息的收集意味着对于被收集的个体，监管者要承担责任。在收集信息的同时，要遵守一个透明度的原则，这个原则就是在收集信息的时候，通过一个隐私的通知的形式，让个体或者是信息的主体知道企业在收集什么样的信息。[查看全文]

根据很多国家关于隐私保护的法律，其中包括加拿大、日本、澳大利亚、香港、墨西哥等等，他在收集数据的同时，要根据隐私通知的形式，向个人信息的主体通报收集的信息如何应用，包括一级应用，也包括二级应用。我们前面都已经说了，一般情况下，所收集到的信息都是由信息主体在知情的情况下收集的。像前面的发言人也提到了，几年前更多的企业采用的是一个比较简单的商业模式，而现在更多的服务提供商采用的是非常复杂的商业模式，很多的都是在线的形式。所以，它是由个体来决定怎么去用这个数据，因此就需要向信息的主体发出隐私的通报，同时也要做知情同意。现在我们所处的世界已经发生了变化，原来使用的通知或者隐私的同志的做法，可以说他的效果已经不能够满足保护隐私、保护数据的需求，特别是现在很多人都是用移动的装置，没有人会花很长的时间认真地去阅读很小的字上写着长篇大论的隐私保护的条款。[查看全文]

随着数据变得无所不在，他的数据和应用之间发生的关联也是越来越复杂。数据的流动和转移可以发生在不同的机构之间，很多情况下是跨境的流动和转移。对于这样的数据转移，连行业的专家都很难去理解，更不要说那些普通人了。所以，几年前，有几家公司想协商，随着时代的变化，有关信息数据的治理，企业和个人各自应当承担什么样的责任。[查看全文]

30年前有关公平的数据应用实践这一块的原则，应该说到现在还是应当遵守的，但把这些原则加以实践是有很大难度的。所以，在我们探讨如何将这些原则付诸实施的过程中，我们也逐渐发现，原来是基于信息收集的做法已经过时了，更多的是要从基于信息的应用这个角度去考虑信息保护的问题。所以，提出来的想法就是有关信息的透明度、个体的选择、信息的访问，还有改正，信息的收集和使用的限制，信息的质量和数据安全，这些原则是根据不同的使用方式，我们可以有不同的做法。想要有效地保护个人隐私，同时也要去简化，让个体知道他们最担心、最关注的点是什么。[查看全文]

Martin Abrams：我不会和大家讲有关信息使用和保护方面是没有争议的，很显然在这个领域存在着很多的争议。我们越深入地去考察现在产生的越来越多的巨大的数据集，然后再来分析与收集、使用相关的规则的话，我们会发现难度越来越大。通过这样一个基于应用和使用的义务，迫使所有在数据链上参与的机构都要去承担各自的责任。尽管这个领域还是有很多的争议，但是我还是相信未来这样的观念和做法还是会成为隐私保护的基础。下面我们到下一个话题，有关安全性。很多人可能都会觉得数据安全和数据泄露有关，下面我就请Mikko Niva先生和大家来介绍一下这个话题。[查看全文]

Mikko Niva：大家好，我是Mikko Niva，我来自诺基亚，非常荣幸今天能够在这么多出色的同行面前和大家有一个做一个发言。我主要是想介绍一下数据安全以及相关的话题。今天我们谈论了很多有关隐私保护的内容，这些内容和数据信息的安全也都有关。数据的安全是一个过程，并不是一个静止的产品。而且数据的安全，对于隐私的保护和用户的信息也是至关重要的，除非企业已经采取了妥善的数据安全的措施，否则的话很难去赢得用户的信任。而且安全性可以说是一系列的事件或者说网络所构成的，那么他可能最容易击破的地方是他的短板。所以作为企业或者机构而言，必须要非常的关注有关信息安全保护的程序或者措施，这样的话才能够使自己受到用户信赖，存放在你这里的信息要确保他的安全。有关数据安全的定义有很多，其实它是有很多公司的行动所构成的，目的最终是要确保你的信息的完整性、保密性和可获得性。其中就包括技术的手段，还有组织的手段。数据的完整性就意味着除非你受到授权的许可，否则不能够对这个信息加以改动，或者说你收到一个信息，信息的接收人不是有接收意图的人，而是其他人。[查看全文]

信息的保密性意味着只有那些正当授权的人才去获取这个信息，否则就无法去访问这个信息。还有就是信息的可获得性，它既包括正面的，也包括负面的，那些需要获得信息的人能够获得信息，而不是提供给那些不应当获得的人。如果我们回顾一下Peter在前面的发言中，给大家看到我们正所处的互联互通的世界的那张图。其中也包括有关医疗保健这方面信息的应用，我们就由此可以认识到如何能够实现信息安全的三维的安全性的重要意义。[查看全文]

前面的发言人也提到了企业的信息的安全，既是基于公司的技术手段，同时也是基于公司内部的流程。那就意味着在信息安全这个大帽子底下，我们是要有具体的措施和举措。我们知道，在任何一家企业都要有保安保护公司的财产和人员的安全。还有信息技术的安全性，就是要保护自己的服务器，或者是其他的装置和上面所存储的信息的安全。还有产品和服务的安全性，要确保自己的产品、服务、工程，都是把保护安全的考虑在设计阶段就涵盖在内了。而且在信息产业部也提出相关的法规，要提供移动终端手机的安全。还要设定反应机制，如果出现数据的外泄包括软件上的安全，必须要及时地采取措施。要实现安全性，我们是要平衡相关的因素，在这里我们有三个最重要的因素，同时也要认识到我们不可能同时完全地实现这三方面的目标：这个很安全，并且和用户很友好的话，成本也不会很低；而且如果这个产品的用户很友好，价格又低廉，可能安全性上没有那么高；另外一些产品可能很安全，但是价格低廉，但是对用户友好方面做得不够。[查看全文]

在这张图上，我们可以看到企业在从商的时候，我们如何去平衡这几方面不同的因素。在这张图上的这条区县就可以代表我们理想中的曲线如何去实现前面三个因素。就城市间而言，我们可以想象没有公司去长时间地保持这样的一个理想的状态。所以，企业之间是要不断地竞争，有自己的人员的竞争，有资源的竞争，然后去竞争如何能够以合理的成本推出对用户最友好而且是最安全的产品。而且在不同的时期，针对这个产品安全所面临的攻击也不一样，有些新推出来的非常受欢迎的产品受到很多的攻击，但是随着新产品新服务的推出，这些攻击者的注意力又转变了。[查看全文]

Martin Abrams：下面由我来给大家介绍一下有关信息保护法规的问题。在1997年的时候，那个时候出了一本书《大象麦斯》，那本书的意思是，如果政府想要对“大象”——大型的机构进行监管的话，这些“小老鼠”也会遵守这些法规。我们的监管这些法规的出发点应该是针对大型的企业，而那些小型的企业会自己做到了。在互联网的时代，企业可能在很短的时间变成庞然大物，这样的一个监管的理念可以说是完全不对路的。所以，有关数据保护法律的执行，应当说既便于大型企业，也是我们可以据此来要求各种规模、各种复杂程度的企业都加以执行。这样的执行是要和企业规模和企业在市场上的影响力成比例的。所以在这一节我要讨论的第一点就是有关问责制是无论企业的大小都是能加以执行的。[查看全文]

第二点我想讨论一下有关跨境的数据转移的问责制。这个解决方案就是具有约束力的自律行为，具有约束力的自律的概念是源自《行为准则》的概念。《行为准则》是由一个行业或者一企业来制定的一系列的规则，这一套规则或者说行为准则也获得了相关机构的批准。在这里我们所说，获得了相关当局的批准，这个批准的机构可以是监管者，也可以是由监管者授权的第三方。这样的一个行为准则应该是基于法律的，而这个行为的准则这一套的规则应当是对参与这个行为准则的企业和机构都具有约束力。[查看全文]

这样的一个行业准则是自律性的，是由企业或者行业自己制定的。但是这样的行业准则具有约束力，是因为它是由监管者批准的，并且参与的企业都同意要遵守这样准则。现在这样的具有约束力的自律，可以说在拉美也在进行实验。在拉美，很多的企业规模都不大，这样具有约束力的自律规则，我们可以用这样的概念让中小企业自己去协调和合作，出台大家都同意的规则。一个行业的协会可以来出面为这个行业来制定一系列的规则。基于这样的行业规则，企业就可以去制定自己应用这些规则的工具，就像前面惠普的发言人所介绍的。小型的企业就可以应用这样的工具达到合规的目的。等这个行业协会制定了行业自律规则之后，本行业的一些企业可以去参与，可以去批准，之后再由监管机构对这样的行业自律规则加以批准。这样等监管机构通过之后，行业自律的规则就针对那些参与的企业具有约束力。所以，我们就可以通过这样一个有约束力的自律规则，使问责制可以适用于大型的企业，也适用于中小企业。[查看全文]

Christoph Luykx：大家下午好，我的名字是Christoph Luykx，我是代表Inter在欧盟工作。我知道，作为下午的最后一个发言人，我面临着重大的挑战，所以我尽可能讲得简明扼要。我会和大家介绍一下欧盟现在有关信息保护、隐私保护方面的情况。我想主要讲三点，第一点是当前有关数据保护的指令；第二点和大家展望一下很快就会推出来的新指令；第三点我想讲新的指令为什么这么重要，可能也会对中国产生重大的影响。 [查看全文]

首先，我们来看当前还在生效的1995年推出来的数据保护指令。我们可以问自己一个问题，为什么17年前的时候，欧盟觉得需要推出这样的一部法律。当时他们在欧盟有两方面的目标，一方面是在那个时候欧盟内部和跨境已经有很多的数据转移，他们也希望这样的数据转移能够持续下去。第二个目标就是希望在欧盟能够对数据实施强有力的保护。这部法律是欧盟的法律，那就意味这在27个成员国都生效。所以这是一部重要的法律。我想和大家来介绍一下这部法律当中一些重要的理念。[查看全文]

首先就是在这部法律当中要明确有关隐私和数据保护的最重要的原则。之后，要做出很多重要的定义，比如什么是个人信息。这部法律另外一个重要的组成部分就是作为企业内部有关数据的保护要采取哪些措施。而且它也确定了机构的框架，比如说有数据保护的机构。在不同国家，有关数据保护的机构如何密切的合作。以上就是当前数据保护指令的重要内容。[查看全文]

自从95年推出欧盟数据保护的职能以来，可以说受到了很好的成效。一个重要的成就就是因为欧盟有27个成员国，那么在27个成员国就数据的保护做了大量的协同工作。而且像Martin所讲的，欧盟的指令也或多或少成为全球数据保护的一个标准。这是一部伟大的法律，我们为什么要进行修改呢？之所以要修订这部法律，原因我其他几位同事都和大家阐述过的，比如我们现在有数据的大爆发、有新的技术，而且这部法律本身也还是又可以改进的空间。这部法律很多都描述性的规定，比如说在进行数据登记的时候，要发出通告，对所有的数据库和数据跨境转移的时候，都要进行通报。[查看全文]

在两年之后，欧盟委员会就列出来以下几点作为修订这部法律的重点：首先是在欧盟内部，我们有一个很强的内部市场，能够去提高用户信息的保护，使这个法律的框架更有效，能够使相关的机构更好地合作，还有就是法律的执行，政府是如何可以去获取这些信息，如何去加以执行。Peter讲到我们现在所处的“大数据”的时代，我在这里列出来是“大辩论”，我们在接下来的两年肯定会有很多的辩论。[查看全文]

在接下来的修订过程中，我们会重点地讨论这些问题。其中有几点我前面都已经讲到了，最重要的一个就是问责制，在新的指令当中，可能不会直接采用问责制这个词。因为在欧盟，有很多种的语言，而且在其国家的语言当中，这个词不能够直接地翻译。但我想问责制这个理念一定会在新的指令当中有所体现。Martin刚才也谈到自律，行业的行为准则。新的指令当中肯定会涵盖这些概念，并且会加强这些概念，并且会有监管的概念。比如说前面我们提到从设计阶段考虑到信息保护、隐私保护的问题。还有关信息访问的隐私保护，还有就是具有约束力企业的规则，这个清单还很多。[查看全文]

Martin Abrams：首先我要感谢所有的发言人，他们都做了精彩的介绍，我们的翻译也很出色。我们可以说是在很短的时间讲了很多的内容，现在有关数据和隐私的保护可以说日益的复杂，我们也需要中国就这个话题进行参与，因为只有这样才能确保我们未来的框架和法律有互操作性。[查看全文]

周汉华：确实非常感谢六位专家用了很短的时间做的非常精彩的发言，我想我们在茶歇之后肯定会有很多的讨论，但是我想先给一个评论，一个是信息量非常大，第二他们所谈的时效性非常强，都是最前沿的问题，第三就是思考非常深刻，提出了对个人数据保护的新的范式或者说模式的前沿问题。所以，我们现在就休息，4点35分我们开始进行讨论。[查看全文]