尊敬的來自兩岸的各位專家、各位老師：

　　大家上午好!我今天發(fā)言的題目是“數(shù)據(jù)共享與個人信息的保護”。大家知道我們進入了一個互聯(lián)網(wǎng)大數(shù)據(jù)時代，數(shù)據(jù)的共享可以說現(xiàn)在成了一個重要的發(fā)展趨勢和潮流，最近，有“互聯(lián)網(wǎng)女皇”之稱的瑪麗·米克爾在其發(fā)布的《全球互聯(lián)網(wǎng)趨勢報告》中指出，數(shù)據(jù)共享成為互聯(lián)網(wǎng)和大數(shù)據(jù)發(fā)展的必然趨勢、全球數(shù)據(jù)采集的優(yōu)化在不斷加速，以瘋狂的步伐在激增。數(shù)據(jù)不能共享、只能自己利用的話，數(shù)據(jù)本身就不能成為一項真正的財產(chǎn)，數(shù)據(jù)產(chǎn)業(yè)也不能發(fā)展。大數(shù)據(jù)開發(fā)成為一個重要的產(chǎn)業(yè)興起，很大程度上就是因為有數(shù)據(jù)共享。我到很多地方看到，各地都在發(fā)展大數(shù)據(jù)產(chǎn)業(yè)，大數(shù)據(jù)產(chǎn)業(yè)發(fā)展起來后，大量的涉及個人信息的數(shù)據(jù)將進行共享。數(shù)據(jù)共享提出了法律上必須要回應的重大問題：在共享過程中如何強化個人信息的保護，這提出了很多問題，值得我們探討。

　　我個人認為數(shù)據(jù)共享應當堅持幾個規(guī)則：

　　首先需要對信息進行必要的分類。通常我們把信息分為公開的、沒有公開的和敏感的、一般的信息，對于已經(jīng)公開的信息應該是可以分享的，但是對于沒有公開的信息恐怕需要授權同意。這個過程中需要進一步區(qū)分是敏感信息還是一般信息，如果涉及到個人敏感信息，比如個人家庭住址、身份證號碼、銀行帳戶等等，這些信息必須有書面同意。

　　第二點，數(shù)據(jù)共享必須要有信息主體的授權，也就是信息權利人的授權。共享不等于倒賣，根本區(qū)別在于獲得授權，如果沒有授權或者沒有真正的明確授權，可能就異化為一種數(shù)據(jù)買賣，可能是非法的。數(shù)據(jù)共享之所以需要授權，也是數(shù)據(jù)共享也可能是一種個人信息的傳輸和收集，共享過程中可能對個人的信息和隱私帶來一定的威脅甚至侵害。所以必須要獲得授權。當然，數(shù)據(jù)控制者對個人信息進行處置的時候，完全通過匿名化的方式處理，按照通常的技術手段已經(jīng)無法識別個人信息主體，很大程度上阻斷了相關信息和個人身份的關聯(lián)性，這種情況下共享障礙已經(jīng)大大降低了，這種情況下通常不需要授權。

　　關于授權，我個人認為有必要注意如下幾個問題：一是授權必須是明確的。授權條款寫的不清楚，即便消費者同意，也不能認為是獲得了授權。我們在app下載手機應用時，一般都會簽訂相關的個人信息、隱私利用與保護條款，其中就可能包括對數(shù)據(jù)分享的授權，缺乏此種授權，相關的信息控制者即無權進行數(shù)據(jù)分享。但是不少授權條款寫得非常模糊，或者以過于復雜的表述使信息主體難以準確把握其中的內容。所以授權必須是明確的。二是必須針對數(shù)據(jù)共享和科學授權。最近在“北京淘友天下技術有限公司等與北京微夢創(chuàng)科網(wǎng)絡技術有限公司不正當競爭糾紛案”中，雙方當事人通過OpenAPI開展合作，但被告則在合作過程中不當抓取原告的用戶個人信息，法院認為，“OpenAPI開發(fā)合作模式中數(shù)據(jù)提供方向第三方開放數(shù)據(jù)的前提是數(shù)據(jù)提供方取得用戶同意，同時，第三方平臺在使用用戶信息時還應當明確告知用戶其使用的目的、方式和范圍，再次取得用戶的同意。因此，在OpenAPI開發(fā)合作模式中，第三方通過OpenAPI獲取用戶信息時應堅持‘用戶授權’+‘平臺授權’+‘用戶授權’的三重授權原則?！?，北京高院提出了三重授權規(guī)則：數(shù)據(jù)授權+平臺授權+用戶授權。從信息權利人角度，實際上是雙重授權。第一次你要給數(shù)據(jù)的收集者在收集信息的時候必須獲得授權，第二次你把收集到的信息進行分享的時候還要獲得另一次授權，也就是數(shù)據(jù)的分享必須要再一次獲得個人信息權利人的同意。創(chuàng)建這個規(guī)則我是非常贊成的。這個判例判得很好，建議立法從相關案例中總結經(jīng)驗。三是必須嚴格控制概括授權?，F(xiàn)在有一些隱私條款使用了一種概括的授權方式，你下載APP的時候，你同意了我可以使用你的信息，但是條款規(guī)定，授權包括共享，獲得將來共享的授權，我覺得這種方式恐怕是有問題的。由于信息主體對數(shù)據(jù)分享的第三方主體并不了解，對數(shù)據(jù)分享可能產(chǎn)生的問題也缺乏足夠的認識，因此，應當對此種概括授權進行嚴格限制。我認為在共享方面必須按照北京高院的意見，在共享的時候也應當獲得信息主體的特別授權。四是采取未明確授權即視為拒絕共享的模式。在世界范圍來看，現(xiàn)在有兩種模式，一個是美國模式，采用“未反對即視為同意”的做法，第二種是歐盟的一般數(shù)據(jù)保護條例，采取“未明確授權即視為拒絕共享”的授權模式。我國沒有明確規(guī)定，我建議授權必須是明確的，明確的才能視為同意，不能說沒有反對就同意了。五是不需要授權的情況應該法定化，現(xiàn)在有一種看法為人，凡是為了公共利益而進行數(shù)據(jù)共享，都不需要信息主體的授權，但“公共利益”的概念太寬泛了，特別是個人賓館開房記錄、個人刷卡記錄都涉及到個人的核心隱私，是不是所有的政府部門都可以利用，是不是從事教學科研等涉及公共利益的活動都可以利用?我認為不需要授權的情況應當由法律明確規(guī)定下來，做出明確列舉，這樣可以保護個人信息的權利。

　　第三個方面是使用范圍必須界定，如果同意分享，那么分享者是否不受限制?和初次授權是一樣的。我認為，第一次授權允許干什么，第二次也允許干什么。也得明確告訴給誰、做什么、目的是什么。授權第一個數(shù)據(jù)控制者，已經(jīng)有了用途限制，那么給第三方也要有用途限制。不是說，獲得授權以后想干什么就可以干什么，最近據(jù)報道，谷歌曾經(jīng)讓第三方開發(fā)者和服務提供商掃描幾百萬Gmail用戶的個人郵件，目的是推出其他針對性的互聯(lián)網(wǎng)服務，一家服務網(wǎng)絡廣告主、通過用戶郵件獲取信息的公司“Return Path”，對于200多萬Gmail用戶的信件進行了軟件閱讀，另外該公司員工親自閱讀了8000封并未對敏感內容進行遮擋的信件。這就存在問題。

　　第四分享者應當遵循必要的、合理的原則，而且應該是最小化利益。獲得的分享權利后，分享數(shù)據(jù)，也應當遵循與初次收集個人信息相同的基本規(guī)則，包括遵循正當?shù)摹⒈匾?、最小化利用等?guī)則。《網(wǎng)絡安全法》對此作出了規(guī)定。

　　第五點是共享過程中充分尊重和保護信息權利人的各項權利，比如知情同意權、信息查詢權、安全維護權、信息刪除權等。這些權利都應當在我們的民法典做明確規(guī)定。

　　從數(shù)據(jù)分享我們可以看出，今天的人格權已經(jīng)不再是單純的消極防衛(wèi)，而是積極利用權利。從世界范圍來看，法律或者民法都遇到了一個難題，就是怎么樣協(xié)調好、處理好對各類信息的保護與數(shù)據(jù)的開發(fā)利用、分享的關系。從世界范圍來看，我們可以看出美國更注重信息數(shù)據(jù)的利用，這樣有利于占據(jù)數(shù)據(jù)產(chǎn)權制高點。但今天我發(fā)現(xiàn)美國已經(jīng)占據(jù)了制高點后，開始重視對信息的保護，對隱私的保護。最近我們發(fā)現(xiàn)美國加州對消費者的隱私保護法案可以看出。歐洲不是像美國那樣更注重數(shù)據(jù)的利用，而是更注重數(shù)據(jù)的保護。不過我們注意到兩大法系都在重視數(shù)據(jù)開發(fā)分享過程中對個人信息的保護。我們不能因為保護過度而限制產(chǎn)業(yè)的發(fā)展，特別是數(shù)據(jù)產(chǎn)業(yè)的發(fā)展，也不能為了充分鼓勵數(shù)據(jù)產(chǎn)業(yè)發(fā)展而忽視個人信息保護，這兩者怎么達到一個有效的平衡我覺得是今天民法典能夠從中所應當回應、應當解決的一個重大問題?？偟内厔菔羌訌娙烁駲嗔⒎?，注重個人信息保護，使民法典保持開放性。就像蘇永欽老師剛才所說的，“民法典不僅要爭一時，而且要爭千秋”，加強個人信息保護正是民法典要爭千秋的重要內容和舉措。

　　時間關系，我就簡單談一點想法，謝謝各位。