美女高潮潮喷出白浆视频,欧美村妇激情内射,日本少妇被爽到高潮无码,CHINESE猛男自慰GV

(網經社訊)2020年10月21日，《中華人民共和國個人信息保護法（草案）》公布并公開征求社會公眾意見，這標志著我國個人信息保護法的立法，邁出了具有決定性意義的一步，將深刻并長遠地影響我國數字經濟和數字社會的未來發(fā)展。

　　值此立法的關鍵時刻，對外經濟貿易大學數字經濟與法律創(chuàng)新研究中心作為受邀提供草案意見的單位，于2020年11月15日召開“《個人信息保護法（草案）》深度學習與建議研討會”，邀請來自立法部門、監(jiān)管機構、科研單位以及產業(yè)界的 專家和代表，對草案八章70條開展逐條、逐句的研讀，盡可能匯聚多維度、多立場的觀點意見，盡可能匯聚多維度、多立場的觀點意見，為《個人信息保護法》的 出臺建言獻策。與會人員既有中央財經大學法學院教授邢會強、中國人民大學法學院副教授暨未來法治研究院副院長丁曉東、中國法學會法治研究所副研究員劉金 瑞、浙江大學互聯網金融研究院研究人員潘政、中國信通院互聯網法律研究中心主任方禹、中國信通院安全研究所工程師葛鑫以及對外經貿法學院張欣副 教授等專家學者，也有歐盟商會網絡安全子工作組主席兼SAP政策研究總監(jiān)宮仁海、Zoom中國區(qū)首席代表顧文杰、微軟中國公共及法律事務總監(jiān)黃麗丹、螞蟻 集團隱私保護研究中心主任李海英、京東法律研究院總監(jiān)李麗、亞馬遜AWS中國公共政策總監(jiān)李國俊、阿里巴巴政策法規(guī)研究室高級專家劉明、西云數據法律顧問陳巍、科文頓·柏靈律師事務所合伙人羅嫣、安理律師事務所高級合伙人王新銳等實務部門代表。全國人大法工委經濟法室副處長林一英也蒞臨會議，聽取各方意見。

　　外經貿大學數字經濟與法律創(chuàng)新研究中心執(zhí)行主任許可作為本次會議的主持人首先介紹了本次研討會的背景和目的，旨在總結和梳理學界關于《個人信息保護法（草案）》的意見和觀點，為全國人大法工委的后續(xù)立法提供參考。隨后簡單介紹了與會嘉賓和研討會議程，本次會議主要按照草案條款逐章展開討論，鼓勵各位集思廣益，踴躍發(fā)言。

　　對外經濟貿易大學法學院教授梅夏英隨 后致辭，在強調了本次草案的重要意義以及本次會議的服務目的后，提出了自己對于草案的三點看法。其一，個保法草案的一大特點在于兼顧了個人權利和國家保 護，個人權利的賦予應當僅僅是為了降低個人信息被濫用的風險，不應過度放大，而國家在個人信息方面的公共安全責任應當加強。其二，征詢同意屬于基礎性規(guī) 則，但草案中的同意規(guī)則設置過多，平臺處理時、交付第三方時、匿名化后再處理時諸多環(huán)節(jié)均需個人同意，導致實務操作性存疑。其三，個保法草案未進行適當的 信息分類分級，僅僅區(qū)分出敏感信息難以滿足實務需要，比如公開信息和非公開信息、成年人信息和未成人信息、人臉指紋等直接與個人相關的信息和間接有關的個 人信息、企業(yè)收集的信息和國家收集的信息等都存在明顯不同。

　　第一章 總則

　　關于第二條本法對象，專家提出提出第二條中的規(guī)制對象存在重復，因為自然人里只有獨立處理信息的專業(yè)人士才應受到規(guī)制。倘若個保法管轄平等民事主體之間的信息糾紛，要求企業(yè)承擔大量的通知刪除義務，無疑負擔過重。

　　關于第三條適用范圍，專家提出草案第三條第二款使用了“分析、評估”，而GDPR中使用的是“監(jiān)控”的概念，希望后續(xù)能夠進一步明確用語含義。另有學者則提出第三條第一款和第二款有過分擴大之嫌，具體指明目的性會更為適當，否則連無意瀏覽也會被納入個保法的管轄范圍。

　　關于第四條個人信息的界定， 有學者首先指明草案重點就是要解決定位問題，需要立足于個保法的架構，從定義和規(guī)則相掛鉤的角度去理解，嚴格的規(guī)則輔之以狹窄的定義，寬松的定義適用于寬 松的規(guī)則。通過對比現行的網安法和個保法自身演變過程，個人被識別的應當是身份而非自然人，建議個保法草案第四條應當添加“身份”二字。并且專家更傾向個 保法屬于行政法保護，目的在于解決個人信息濫用和泄露問題，同時不能阻礙信息的正常使用?；谏鐣尘暗淖冞w，個人信息保護是法律賦予的權利而非天然權 利，保護的對象是自然人在社會活動中的角色，重點在于其身份。其次，學者分析了草案第四條的立法方式。本次草案未通過列舉方式規(guī)定適用對象，一種解釋是實 際生活中很清楚，無需列舉，另一種解釋是爭議太大了。比如兩高和司法解釋都 肯定了電子郵箱為個人信息，而12年香港判例卻認為不能從郵箱識別出個人身份。目前的草案采用了單獨或結合的識別說，對于單獨不能識別而結合才能識別的信 息是不是個人信息，學者持否定觀點，并且指出簡單的信息編纂不應當認定為個人信息，關鍵在于理解最終目的是防止信息濫用和泄露還是加強國家管制。參考韓國、法國以及我國的網安法都規(guī)定了“簡單結合能夠識別”，簡單的信息編纂不適宜認定為個人信息。并且草案第四條后半款規(guī)定了匿名化后不是個人信息，比照匿名化和信息編纂的關系，也可以參考匿名化的分析思路。

　 　有專家主要針對IP地址是否屬于個人信息的問題發(fā)表了看法。即使用戶關閉了地理位置授權，互聯網公司也能利用IP區(qū)段，判斷地理位置進行個性化推薦，這 是否屬于使用個人信息。立法上解決這個問題有三種手段，第一種是在法律規(guī)定中特別說明，第二種是通過模糊的指引性規(guī)定或者保持沉默，交給未來的實踐和立法 解決。專家指出這個問題的難點在于識別的判定，誰來識別，到什么程度算識別，有學者提出將可識別作為單獨的部分進行規(guī)制，對于可識別的權利義務，在風險防 范方面可以適用，但適用于查詢權這種情形反倒招致危險，這部分還需要大家進一步討論。

　　諸位學者繼續(xù)針對這一問題討論，認為應以業(yè)內客觀 水平能夠識別作為標準，并結合不同的使用場景進行判定，僅掌握IP地址區(qū)段而無法關聯到具體對象不構成個人信息，在互聯網實名制的背景下，互聯網企業(yè)利用 IP地址對應特定用戶并進行個性化廣告推送等行為則屬于個人信息的使用。

　　關于第六條處理個人信息的目的，有專家認為第六條“不得從事與處理目的無關”過于嚴格，會阻礙新技術發(fā)展。比如機器學習和大數據依賴信息收集進行算法訓練，收集時往往不確定使用的目的并且技術上也很難取得知情同意，建議放寬規(guī)定以適應技術發(fā)展。

　　關于第八條個人信息處理的要求，專家認為個保法沒必要規(guī)定“所處理的個人信息應當準確，并及時更新”，信息服務質量應由市場規(guī)制而非通過個保法規(guī)定。有學者提出第八條主要針對征信行業(yè)。另有專家也指出OECD也規(guī)定了準確性原則，于各方均有利，并且也映襯了后面規(guī)定的更正權。

　　第二章 個人信息處理規(guī)則

　　關于第十三條個人信息處理的條件，有學者認為個保法規(guī)定的合法利益相較于網安法具有進步性，在為企業(yè)提供方便之余也容易發(fā)生信用卡欺詐此類濫用現象，需要進一步限制。

　　專家對合法利益也持較為慎重的考慮，例外設置過多會架空同意規(guī)則，像第二款“訂立履行合同所必需”可以納入防欺詐的審核，或者需要后續(xù)標準再明確規(guī)定防欺詐。

　　有學者也認為合法利益相較于正當利益的涵蓋范圍太廣，同意以上提出的合同涵蓋廣泛的思路。并提出有必要賦予科學研究或歷史性存檔以合法性，有專家也指出一帶一路法律規(guī)定中也包括了個人信息科學研究方面的使用。

　 　另有專家也提出進一步明確其中的模糊概念，以便企業(yè)更好的遵循，并指出了權利不平等的勞務供應合同、ICT產業(yè)的B2B大批量交易業(yè)務、公司內部管理等 嚴重依賴個人信息的例外情況。并且第13條第二款的合同訂立履行僅適用于上游，中下游客戶難以知曉，可以增加適當性規(guī)定使之更具操作性。

　　關于第十四條的同意，有專家先提出了自己的兩個問題，第十四條中的單獨同意如何解釋，單獨同意是否可以采用默示方式。有學者提出因為信息處理變更而重新取得同意，需要考察此種變更是否具有實質性，倘若與原來的處理目的可兼容，未必需要重新向個人取得同意。

　 　有專家首先提出將同意表述為意思表示不妥，此處撤回并不能發(fā)生民法中撤回即撤銷的效果，建議刪除意思表示四個字，并且在第16條規(guī)定撤回時應該明確意思 表示的撤回不影響撤回前基于該同意所進行的處理的合法性。其次，應當在第14條明確界定單獨同意，比如規(guī)定為具體的同意或者叫明確具體同意，或者進一步規(guī) 定為一個或多個目的處理個人信息的時候，應當逐一取得個人明確同意。在單獨同意解釋不明確的情況下，后續(xù)法條頻繁出現了單獨同意該用語，直接規(guī)定依據本法 第14條或者依據本法規(guī)定的同意取得個人同意即可。

　　還有學者提出了自動化駕駛情景下如何適用個保法的問題，自動化駕駛的汽車會自動收集周圍車輛、行人的信息，根據道路情況來做出自動化決策。但是這種情況是收集合同外第三方的信息，不能援引關于訂立履行合同作為正當事由。對此，有專家提出可以適用第四條規(guī)定。

　　關于第十六條、第十七條的撤回， 專家提出這是對《網安法》重大的變化，之前的刪除根據違反法律規(guī)定或者違反約定才可以刪除，規(guī)定刪除權后考慮撤回同意的后果是很有價值。有學者同意之前的 觀點，認為撤回同意應當增加不溯及既往的規(guī)定。有專家還提出當處理使用信息存在多個合法性基礎時，如何處理刪除權的問題，比如既取得了同意有屬于訂立履行 合同所必需，反觀GDPR只能享有一個合法性基礎。后面討論中各位表示立法者無法考慮過細，屬于立法者意味深長的沉默。

　　關于第十八條的告知，專家認為第19條例外中“不需要告知”應當加上“法律、行政法規(guī)規(guī)定”的前提。各位討論后認為，除了第19條規(guī)定的例外，其他所有情形都應當告知，包括具備第13條其他合法性基礎的情形，甚至包括公開信息的收集，合理性有待探討。

　　關于二十一條到第二十四涉及到第三方的規(guī)定，專家認為草案的信息保護過度，在第一層取得同意后進行匿名化流通即可，繁雜的同意制度會限制平臺的發(fā)展。而且通過層層的告知同意來轉嫁風險根本難以實現，個人的決定權本就是有限的，草案中規(guī)定的權利多而無用，紙上談兵難以實現。

　 　有學者同意以上觀點，在跨國公司實際操作場景當中，普遍存在上下游企業(yè)之間需要轉化數據進行業(yè)務再分包的情況，如果公司必須取得個人的明示同意，合規(guī)成 本過高。主張可以參考GDPR第28條第2款的反向同意，反對者在規(guī)定時間內提出，以此最大程度的保障制度實施。有專家從云服務提供商的角度補充，在分包 必須的大背景下，同意制度應解釋為大體的同意，根據GDPR可以通過定期會上傳名單來委托給其它方。

　　對于第22條第2款，各位都認可將 個人信息返還個人信息處理者或者刪除的規(guī)定不適當，有學者指出返還還是局限于物的思維，有專家認為交給當事人自行約定，另有專家認為這剝奪了平臺基本的數 據統(tǒng)計功能，保留不用便可防止濫用，不必刪除抹去。有學者認為第23條的合并分立應加上破產情形，以應對破產后個人信息的大量處理工作。還有學者在此基礎 上提出要考慮破產后信息歸屬問題。此外，有專家針對第24條提出了幾點建議：首先，第24條以及很多條款都基于單獨同意，應當考慮到13條的合法權益，增 加例外情況。其次，因為匿名化的信息不可能再被是被，建議第二款中的“匿名化”改為“去標識化”。

　　關于第二十五條和第六十七條的自動化決策， 專家提出幾點看法：其一，提出透明度更多是宣誓性作用，在機器深度學習、涉及商業(yè)秘密等情形下很難實施，確定透明度的邊界還是個問題。其二，建議刪除“保 證處理結果的公平合理”中的“結果”二字，主流看法認為自動化個人信息處理不僅要保證結果的公平合理，也要保證程序公平合理。其三，“重大影響”很難界 定，我國采用主觀判斷方法，個人認為有重大影響便可行使說明權，會給企業(yè)帶來沉重負擔。并且這里的說明對象也需要進一步解釋，只需要對結果進行說明還是需 要對整個系統(tǒng)設置等更多的內容進行說明。其四，商業(yè)實踐中采用的手段不限于自動化決策，還包括非自動化決策，這里限制了個人信息權利的范圍。最后，認為第 67條對于自動化決策的定義過窄，實際上自動化決策不僅僅包括對個人的經濟、健康信息狀況的評估，比如自動駕駛便不涉及到評估行為，而第25條對于自動化 決策的規(guī)制又較為嚴格，這在實踐中會存在一些問題。

　　有專家提出并非所有的人工智能技術都是可以解釋的人工智能，這種法律愿景非常難實 現。對于某些業(yè)務，自動化決策是個人信息處理者提供服務類型的必要條件，建議參考GDPR第22條增加三個例外，即履行合同所必需、法律和相關法規(guī)授權、 數據主體明示同意。并且專家提出如果自動化決策涉及到個人敏感信息，在自動化決策前是否需要清晰說明所用到相關信息，或者需要單獨同意、明示同意。

　　關于第二十七條安裝設備， 有專家建議將第27條的“為了公共安全”調整到句首，表述更加明確。因為現實生活中很多并不是為了公共安全，比如刷臉門禁是為了身份識別的便利性而安裝信 息設備，一律禁止與立法目的也有所抵觸。還有學者指出該條款中“圖像識別”涵蓋太寬泛，應該限制在指紋、虹膜此類生物識別，排除刷身份證、消費卡此種生活 情形?，F在身份識別技術用的過多，應當規(guī)定安裝此類信息設備進行必要性論證，在沒有替代性技術的情況下才能使用。其他學者也強調該條目的在于防止核驗、一 對多、監(jiān)控等行為，已經收集信息進行身份核對的不應納入其中。

　　關于第二十八條公開信息，有專家對此 條規(guī)定持肯定態(tài)度，已經公開的信息無需再征詢個人同意，對于公開信息可以參考侵權法的通知刪除制度，進行弱保護。各位就第28條的“公開”概念展開了討 論，提出了一些觀點：線下公開場所被拍攝放到網上可以適用侵權法、線下公開的隱私期望比較高、線上公開由于可以回看和傳播范圍大的特點要格外保護等。有學 者提出在自動駕駛此種情形下，難以告知，建議采用侵權規(guī)則，規(guī)定超出相關合理范圍使用信息不應當侵害自然人相關個人信息權利。還有學者指出第28條的“重 大信息”應當進一步明確，否則會給技術發(fā)展帶來不必要的負擔。并且第二款掙得他人同意，可以參考GDPR第21條的2、3、5條款，個人享有拒絕權，公開 后相關當事人可以拒絕，如此實操效果會更好。有學者認為第25條和第28條中“重大影響”改成“對個人權益造成重大影響”更為清楚。

　　關于第二十九條到第三十二條的敏感信息， 多位學者認為我國在對敏感信息的定義中增加了“導致個人的人身財產安全受到嚴重威脅”，但問題不在于信息本身，而在于信息使用的方式。草案對于敏感信息的 定義采用了抽象和具體相結合的方法，對此各位學者展開了討論，有專家認為個人敏感信息的范圍劃定的越小越便于操作，可以參考GDPR第9條的窮舉法，抽象 和具體兼顧在操作上很困難。有的學者則認為GDPR對同樣的概念也存在不同的解釋，法律本身定義清晰很難，立法上保持模糊反倒留出更多解釋空間。重點還是 要看隨著技術發(fā)展，在個人信息廣泛使用的未來，如何有機銜接抽象和具體兩種定義方式。其他學者隨后對立法模糊表示理解，認為敏感信息條款的最大問題在于如 何處理與第13條合法性基礎的關系。

　　關于第三十三條到第三十七條的國家機關，各位學者對國家機關處理個人信息的規(guī)定持基本認同的態(tài)度。有專家指出第35條的取得同意條款與第13條法定職責無需同意有沖突，需要解釋調和。還有專家認為本章主體范圍過窄，建議增加為國家機關、承擔行政職能的法定機構及其工作人員，與民法典第1039條保持一致。

　　第三章 信息跨境提供的規(guī)則

　　關于第三十八條和第三十九條信息跨境的條件， 專家認為第38條相較網安法有了很大的進步，但認證機制和以后企業(yè)主要依賴的合同如何實施還有待細化，此外，專家建議可以刪去“本地存儲”，首先達到多大 的信息量要求存儲難以明確，其次，對于數據支付、涉及未成年等敏感重要信息要求本地存儲尚可以理解，要求一般個人信息也要求本地存儲不太適當，其他國家也 未有此類規(guī)定。還有學者認為跨境信息問題上設置個人單獨同意規(guī)則不太合適，信息能否出境屬于國家公共安全的問題并非純粹涉及個人利益，不宜交由個人單獨決 定。另有學者指出第39條的單獨同意未必是基于同意，比如基于雇傭合同的合法性利益便無需個人同意，并且就算符合第38條的評估等條件，也要保留個人的反 對權，使其個人信息不出境。其他專家提出個人信息保護認證缺乏執(zhí)法權力，具有很大的實踐困難。參考歐盟新版的SCC，要考慮到跨境情況下的歐盟認定標準。

　 　有專家認為第38條和第39條應當結合起來解讀，只有當無法適用第38條時，才適用第39條作為保障，如此便開辟出一條無需征求個人同意的綠色通道，比 如說跨國公司集團內部的個人信息，包括數據轉移、勞動雇傭的記錄、人事關系等。還有專家建議刪除第39條，規(guī)定只要是個人信息處理者向境外提供個人信息都 需要征得個人同意，在之前談到的機器學習、人工智能、自動駕駛等場景下，尤其涉及到跨國的全球化運營時，會對效率、成本造成極大的負擔。

　 　有學者提出要思考個保法的定位，個保法應當立足于保護個人權益，鼓勵個人信息的有序流動，涉及到國家利益的部分應當由數安法來規(guī)制。對于企業(yè)倆說，需要 通過第38條規(guī)定的評估或認證，如果選擇第三款的合同也會擔心不夠充分。在數字經濟全球競爭的格局下，國內企業(yè)走出去是一個雙向的過程，既要流出也要流 入，持有大國心態(tài)就不能過于守勢。建議在38條增加一款，明確規(guī)定個人信息處理者處于業(yè)務等目的，需要向中華人民共和國境外提供信息的，應當確保達到本法 對自然人的保護程度，參考GDPR的數據保護洼地流動思路，將安全問題放到數安法中規(guī)定，達到網信部門規(guī)定數量或者其它標準的數據，不再稱之為個人信息而 是重要數據。有專家對以上思路表示肯定，建議將本地存儲的規(guī)定放到網安法中，同時具體個保法第38條的細則來指導安全評估，在個保法中規(guī)定本地存儲會產生 一種封閉式的觀感。

　　關于第四十條關鍵信息基礎設施，有專家提出關鍵信息基礎設施的認定需要進一步澄 清，僅僅是在關鍵信息基礎設施上面運行個人數據時的出境會受到管制，而其它的正常業(yè)務所處理的個人信息不受其管制，還是不論運營何種數據，不論在關鍵信息 基礎設施上還是之外都要受出境的管制。有學者認為第40條要求將個人信息存儲在中國境內，不利于我國數字經濟發(fā)展，需要立法智慧和技術將其限定在最小的范 圍內?；诓莅敢?guī)定，跨國公司在中國進行投資時，為了將個人信息存儲在中國境內，不得不多部署孤立的IT架構，如此高額的成本會阻礙跨境投資。并且將個人 信息存儲在中國境內的嚴格要求往往與國家安全相掛鉤，要注意個保法和網安法、數安法的定位不同。

　　關于第四十一條司法行政協助，學者提出第41條的行政執(zhí)法協助范圍非常廣，還涉及到公司內部調查，而且各個國家法律不一樣，需要進一步協調和明確。

　 　有的學者對本章持積極態(tài)度，認為個保法在信息跨境方面的靈活性很高。首先，草案規(guī)定達到一定數量才需要評估，而且安全評估是基于風險考慮，并非行政許可 意義上的嚴格評估，不要求一事一議或者不現實的事先批準。其次，在評估認證之外還設有合同渠道，后續(xù)網信辦會出臺具體細則，相信對于集團內部信息流動的特 殊情況也有有所調整。

　　第四章 個人在個人信息處理活動中的權利

　　關于第四十四條知情決定權，有專家反對第44條的決定權表述，容易和國外的個人信息自決權混淆，而且個人信息涉及多重利益，個人根本無法決定。

　　關于第四十五條的查詢復制權，有專家提出第45條的查詢復制權已有糾紛顯現，信息的范圍如何確定、查詢費用如何分擔等，可以參考行政法的信息公開和公司法的股東查詢權的有關規(guī)定。有專家認為為了平衡兩端利益，查詢復制權應限制在合理范圍內，超出合理范圍應當支付對價。

　 　有專家在發(fā)表對該條的意見時，首先提出刪除權要考慮到現在的區(qū)塊鏈技術，區(qū)塊鏈的核心就是在于建立信任機制，讓信息不能夠隨意篡改或者刪除，與草案的刪 除權有所沖突。在能夠刪除情形下，比如用戶運用最普遍的聯盟鏈，刪除成本非常之高。并且刪除區(qū)塊任意一條信息會打亂整個區(qū)塊，甚至干擾到非個人信息。其 次，如果法律和行政法規(guī)保存期沒有屆滿，主體又請求刪除，就會造成權利沖突，有的人認為這里可以理解為刪除義務的豁免，先停止處理即可。建議表述為停止公 開或者再加以利用，更為準確。最后需要進一步明確刪除和更正的含義。刪除包括物理上直接清除數據、直接加密格式化、覆蓋掉原數據、設置加密訪問權限等，甚 至匿名化也符合歐盟的刪除要求。而更正包括把原來信息刪掉發(fā)布新的信息、發(fā)布公示說明信息錯誤、直接發(fā)布新的信息而不處理原來信息等。有專家提出信息和數 據屬于內容和形式的關系，只要達到不侵犯個人的人格的權利便為更正，可以設置訪問權限，切斷個人信息與個人的聯系，而不用把整個數據刪除，這也減輕了企業(yè) 的壓力。

　　關于第四十七條的刪除情形，有學者首先贊同刪除應慎重，參考GDPR，違法的違約應當刪 除，但僅屬于違約糾紛或者是法律未確定性質還是不要刪除為妥。建議第47條第三款加上“基于同意”的前置條件，即基于同意則個人撤回同意，第47條第四款 刪除“違反約定”，保留“違反法律、行政法規(guī)”。其次，可以設立刪除的例外情況或為信息處理者保留信息建立抗辯權，以緩解企業(yè)刪除信息后的高額損失。最后 提出，在特定場景下，可以采用匿名化的手段實現刪除的效果。有專家提出第47條一個語詞上的問題，第一款和第二款屬于信息處理者主動刪除，第三款和第四款 屬于個人請求刪除，倘弱目的實現或期限屆滿但個人未提出請求時，信息處理者是可以不主動刪除。

　　第五章 個人信息處理者的義務

　　關于第五十條信息處理者的義務，有學者建議第50條可以參考GDPR增加中小企業(yè)的豁免，比如網上電商或者小微企業(yè)獲取了很多個人信息，但要求其嚴格履行管理職責不現實，在整個第5章都可以規(guī)定此種豁免。

　　關于第五十一條個人信息保護負責人， 專家就第51條達到規(guī)定的數量要指定信息保護負責人，提問這個人的作用到底是什么，僅僅為網信辦提供聯系嗎，外企能否在境外設置聯系人。還有學者認為個人 信息保護負責人是為了盡責，對外公開你的姓名聯系方式，包括起到聯絡作用。有專家認為負責人應該設置在境內，便于網信辦聯絡，內部權限再具體溝通。有學者 建議51條第二款改為公開機構的聯系方式，因為個人流動是很快的，具有較大的不確定性。

　　關于第五十四條風險評估， 專家提出第54條需要評估范圍太大，偶爾的情況也需要評估，負擔未免太重，建議參考GDPR限定“大規(guī)?！?，比如大規(guī)模處理影響個人信息或者是利用個人信 息進行大規(guī)模的自動化決策，或者說委托個人信息處理向無關第三方提供個人信息或者大規(guī)模發(fā)布個人信息。有學者建議在54條第二款利用個人信息進行自動化決 策，加上“對個人產生影響”這一限定條件。有學者表示贊同，比如內部決策便不需要評估。還有學者則認為評估了才知道是否有影響，這里EIP評估應當靈活解 釋，如果內部已經做過評估對個人沒影響便可。

　　關于第五十五條個人信息泄露，專家建議刪除“個人信息 泄露的原因”，在實踐操作中找出問題可能要花費很長時間，信息泄露原因當然需要匯報，但是可以放寬到之后匯報。有專家也提出可以改成立即采取措施和及時通 知。還有學者指出網安法中就刪去了“及時”，這是考慮到泄露后沒有相應補救措施，告知范圍越大反而安全越差。程序上，該位學者提出通知時間上應該區(qū)分規(guī)定 向政府匯報和通知個人。有專家認為影響比較小的泄露也需要通知監(jiān)管部門，過分嚴格，另外如果影響比較大，但企業(yè)及時補救且影響較小，可以不需要通知監(jiān)管部 門。還有專家建議明知濫用也應當負有告知義務。

　　第六章 履行個人信息保護職責的部門

　　關于第五十六條執(zhí)法機構， 有學者指出縣級執(zhí)法能力不高，可以規(guī)定注冊地所在地將執(zhí)法權限提升到省級。專家討論又提出，根據草案全中國所有的縣級以上機關都有執(zhí)法權，但理論上只有國 家一級的機關最多到省一級在執(zhí)法上具有有一定的專業(yè)性。大量的縣級部門的執(zhí)法能力薄弱，這樣會造成執(zhí)法不統(tǒng)一。歐盟GDPR選擇了一站式執(zhí)法，中國怎么考 慮一站式執(zhí)法以及多個機構的一致性執(zhí)法，還是需要討論。

　　有專家提出本章的核心在于所規(guī)定的權利義務是不是可以直接進行起訴。GDPR認 為信息糾紛具有專業(yè)性，要先去監(jiān)管機構提起申訴，不滿去法院提起針對監(jiān)管機構的復議或者司法審查。這方面我國更像CCPA，個人可以向加州總檢察長提出訴 訟，加州總檢察長有權罰款，還可以提起公益訴訟。我們立法體例上來說采取GDPR的方式，但是從執(zhí)法上采取CCPA的模式，具體是否直接起訴，還是需要先 去網信辦投訴尚不可知。各位學者還討論了針對查詢復制刪除更正而產生的糾紛如何處理，這對于法院和行政部門都是難題。

　　關于第五十九條執(zhí)法措施， 有學者提出涉及到國家安全便交由公法規(guī)制，個保法本質在于保護私權，但第59條有關部門采取措施的權力太大，詢問調查查詢復制會破壞信息處理者的保密義 務，并且封存扣押此類手段過于嚴格，會對企業(yè)造成嚴重的損害。并且從國際視角來看，歐洲很難認同我國這種監(jiān)管機關直接介入的執(zhí)法方式。所以建議設定啟動閥 門或者通過第三方授權機制或者評審機制才能采取此種嚴厲措施，如果法院能充當第三方還能保留當事人司法救濟的權利。有專家以云服務為例，指出第4款查封、 扣押個人信息處理者的設備和物品還會對其他無關客戶造成嚴重影響。另有學者認為如此嚴厲的措施會對我國企業(yè)的國際發(fā)展造成很大阻礙，必須設有正當程序的限 制。

　　第七章 法律責任

　　關于第六十二條處罰措施，有專家認為62條第二款適用前提 中的違法行為規(guī)定太泛泛，懲罰措施又很嚴厲，而且自由裁量權很大，建議能夠具體指出前述哪些違法行為適用升格處罰。還有學者指出第二款的嚴重處罰比較極 端，更常見的還是適用第一款的一百萬以下罰款，自由裁量權很大，同意建議具體第一款的違法行為。

　　各位學者對第62條5%的罰款規(guī)定展開 了討論，有專家提出中國市場是嚴格割裂的市場，而且又是高監(jiān)管的部門，像云服務只能交給合資企業(yè)來做，如果5%針對的是全球收入，收入不多，罰款太重，有 失公允，很多學者也認同這條規(guī)定的罰款太重。有專家提出5%主要發(fā)揮一個震懾作用，一來罰款受限于法定裁量，二來真達到5%的嚴重程度，直接適用刑罰，未 必真罰款5%。有學者表示同意，我國立法常常是高高舉起，輕輕放下。

　　對于歸責原則，有專家認為設立過錯推定和無過錯責任要面臨職業(yè)索賠 的壓力，適用無過錯責任需要考慮到個人信息侵權的性質以及政策考量，適用過錯推定責任需要區(qū)分敏感信息和非敏感信息、區(qū)分不同的個人侵權行為類型來進行判 斷。認為第65條“可以減輕或者免除”不妥當，“可以減輕”實際上相當于無過錯責任，但個人信息侵權的危險程度又尚未達到此種規(guī)制必要，建議刪除“可以減 輕”，直接規(guī)定過錯推定責任。有學者也提出過錯推定的情況下，信息處理者也很難證明自己沒過錯，但賠償責任又很重。

　　第八章 附則

　　關于第六十九條的匿名化和去標識化，有學者提出匿名化的定義問題，到底要求所有人都無法識別還是部分人無法識別即可。有專家順勢提出了醫(yī)藥領域的例子，除醫(yī)院以外，其他人只能掌握性別、年齡、癥狀等信息，無法特定到具體自然人，此種情形是否屬于去標識化。

　 　有專家首先提出跳出互聯網行業(yè)的局限，關注到醫(yī)療、金融等其他領域的信息化問題。我國匿名化規(guī)定“經過處理無法識別特定自然人且不能復原”，個保法草案 所采用的標準比GDPR更嚴格，而現實中存在雖掌握信息單主觀上并不想識別的情況。所以建議提高該款的容納性，能夠將主觀動機解釋進去，不應當苛責盡到主 觀努力并缺少使用動機的主體，如此才能鼓勵企業(yè)積極合規(guī)，實現數據流通使用與數據保護的利益平衡。

　　有學者從其云服務行業(yè)的角度，提出參 考GDPR對于信息擁有者和使用者的區(qū)分，有些企業(yè)雖然處理存儲了大量的用戶信息，但實際很難進行保護和控制，個保法應當區(qū)分規(guī)定不同行業(yè)的責任義務。對 此有專家援引個保法草案第69條第一款進行了簡單回應，非自主決定的情形不必負擔其中規(guī)定的義務。

　　本次研討會在各位專家學者的熱烈討論中完滿結束。