2021年5月22日，由北京市环球律师事务所主办，威科先行、好丽友食品有限公司、南都个人信息保护研究中心和《财经》E法协办的“聚焦数据保护新热点，共探数据治理新思路”主题论坛在北京丽思卡尔顿酒店成功举办。来自环球律师事务所、中国社会科学院法学研究所、北京大学法学院、中国信息安全研究院、中国信息通信研究院、中国网络安全审查技术与认证中心、国民认证科技（北京）有限公司、小鹏汽车、字节跳动、微软（中国）有限公司、威科先行、完美世界集团、小米集团、芒果TV、安永、万向区块链等相关高校、政府部门、企业、律所、媒体的160余名专家学者及业界同仁参与了本次会议。

会议上午场由小米集团法务部政策研究对外负责人蓝琳女士主持，下午场会议由隐私合规专家Vera Zhu主持。各位嘉宾围绕个人信息保护，聚焦了个保法、人脸识别技术的使用、智联网汽车的数据合规等热点议题，为各位参会者带来了精彩的知识盛宴。

环球律师事务所合伙人刘成伟律师首先代表环球对全体参会嘉宾表示热烈欢迎，感谢嘉宾们利用周末的时间进行研讨交流，也希望与会者能通过本次会议论坛有所收获、有所收益，最后预祝大会圆满成功。

会议伊始，中国社会科学院法学研究所副所长周汉华教授以“个保法实施难点展望—隐私权与个人信息权的关系”为题，分析指出法律法规对隐私权和个人信息权关系的界定，将很大程度上影响到法律的适用。周教授梳理近年来个人信息保护相关案件指出，法律判决受到对隐私权和个人信息权关系界定的很大影响。他认为，这个问题既涉及到理论，又涉及到实际操作。周教授指出，国内立法中，对个人信息保护的重视是逐步形成的。2017年正式实施的《网络安全法》将个人信息保护纳入为重要部分；今年施行的《民法典》则在人格权篇将隐私权与个人信息保护写为一章。这意味着，隐私权和个人信息权开始被交织在一起。“这在全世界几乎是绝无仅有的。”周汉华教授认为，这样的规定极大增加了法律适用的不确定性。“比较理想的状态还是由两个不同的机制来保护这两种权利。”

随后，北京大学法学院教授、法治与发展研究院执行院长王锡锌教授就“告知—同意”规则的效力、实践中遇到的阻力等问题分享了他的观点与建议。王教授分析，“告知-同意”规则代表个人有知情和决定的权利。知情权的核心建构了一套“企业等个人信息处理者处理个人信息的合规规则”。也就是说，个人有权利要求企业告知自己，要处理自己的哪些信息以及为何处理等，而决定权的核心是个人对个人信息处理者行为的控制。在他看来，个人的决定权如何行使是未来的核心问题。在实践中或许会出现如下场景——个人在面对大型平台等强势权力的时候，很难基于个人自由意志做出选择和决定。“这种力量具有控制性、主导性，处于弱势地位的个人难以对抗。” 王教授建议，国家宜建立“告知-同意”规则的国家标准以及相应的投诉举报机制，相应的监管部门对此进行审查。同时，企业着重于内部组织控制和行为控制，不断审查和反思“告知-同意”的处理规则。另外，他建议第三方评估企业的合规标准，在“个人赋权”和“国家规制”的双轮驱动下保护个人信息。

法律如何既保护普通人的权利，又不过分限制企业的创新发展，也是个人信息保护的一大难题。中国信息安全研究院副院长左晓栋认为，从数据安全顶层设计的角度来看，一些规则的设计很可能会限制部分新业态的发展。最典型的就是互联网广告业。近期，苹果公司在其生产的硬件中采取隐私新规，要求App经用户同意后才可以获取广告标识符（IDFA），以此来保护用户个人信息。不过，左院长指出，“一刀切”地禁止App获取标识符，可能会给互联网广告业带来毁灭性打击。因为互联网广告大多基于用户数据形成用户画像来推送，而广告也是许多互联网公司的主要收入来源。“同一个问题，在不同场景下会出现不同取向的讨论。但顶层设计必须将这些不同的方面都考虑进去，寻求一个可以最大程度平衡各方利益的解决方案。”左院长说。对个人信息进行匿名化处理，能否解决这一矛盾？左院长指出，匿名化可以一定程度上保护个人信息，但同时数据价值也会大为减弱。

中国信息通信研究院互联网法律研究中心主任方禹则试图厘清大众对于匿名化的几点误解。他指出，以现有的技术其实并不能做到绝对匿名，现在匿名将来也有可能破解；匿名化的过程中不能仅靠自动化工具，还需要人工专家的干预。“对于网络安全法等法律的适用，并不是画一条红线应该怎样或者不应怎样，而是应当设置一个规则，其目标在于不断地降低便利性，提高复杂度，从而实现整体、全社会利益的最大化，而非仅仅聚焦某一个体的利益。”方禹主任说。

中国网络安全审查技术与认证中心高级工程师樊华介绍了当前我国个人信息保护工作简要的情况，并解读了近年来监管部门发布的个人信息保护相关文件。当前移动网民数量迅速增长，移动互联网应用程序由于其便捷性、普惠性、及时性被民众广泛应用，在促进经济社会发展、服务民生等方面发挥了重要的作用。但与此同时，App强制授权、过度索权、超范围收集个人信息的现象普遍存在，个人信息泄露、滥用等情形时有发生。“监管部门很重视这个问题，为保障个人信息安全，维护广大网民合法权益，从2017年开始就组织开展了个人信息保护相关工作。”樊华老师指出。

针对当前的互联网广告业标识困境问题，中国信通院泰尔终端实验室数字生态研究与治理中心主任、移动安全联盟秘书长杨正军分享了一些个人建议。杨主任认为，总体思路是要寻找合规与发展的平衡点。首先，广告标识在设计上应该要遵循一些规则，比如要具有可开关性、可重置性、可更新性；其次，在推进标识时还要保障数据安全；最后在推进产业发展时还要尊重产业利益，做到数据不落地，确保服务的稳定性和可持续性。

近年来，随着人脸识别等技术的发展和应用，网民在享受着人脸技术带来的便利时，保护个人信息和数据安全的呼声渐涨。国民认证科技（北京）有限公司首席架构师李俊建议，应在管理层面形成事前、事中、事后的闭环。首先在事前评估是否有使用人脸识别的必要；实施过程中，应符合公开透明原则，切实按照所制定的保护政策来执行；事后当数据主体要求撤回授权或不再享受服务时，应及时进行删除、匿名化等处理。生物特征终身不变，无法撤销更换，一旦丢失后果非常严重。“我们需要针对生物特征系统的生命周期来实施隐私工程，从技术和管理的角度采取措施，保护生物特征的隐私安全，消除用户的担忧。”李俊老师说。

智能汽车自动驾驶技术等近期也引发公众热议。对此，监管部门作出了积极回应。工信部《智能网联汽车生产企业及产品准入管理指南(试行)》、互联网信办《汽车数据安全管理若干规定（征求意见稿）》等各项法规、标准正逐一出台。规则的落地实施过程中出现了哪些难点？小鹏汽车法务高级总监林森才从企业角度讲述了目前面临的困境。他举例道，最近网信办出台的《汽车数据安全管理若干规定（征求意见稿）》将车辆位置定义为敏感信息，并倡导运营者处理个人信息和重要数据过程中坚持车内处理原则。“这让我们感觉很紧张。”他解释，自动驾驶基本功能的实现离不开定位车辆位置，而以目前的技术，智能车还做不到在车内处理数据。

字节跳动海外隐私办公室隐私数据专家朱玲凤分享了“Privacy by Design（PbD）”的实质、迷思以及实践方案。Privacy by Design究竟是什么？“对政府来说，它是一个很好的监管工具，它基于当前的技术发展最需要的方式，要求企业用最新的技术保护用户的隐私，具有很大的包容性。有一天数据化转型也好，人类新的时代来临也好，PbD仍然可用，因为它要求基于当前的最新技术，对用户实施自由和权利上的保护。”朱玲凤如是说。她认为，对于企业来说，PbD最能够证明自己的隐私合规工作做到位了，可以将隐私做成文化、做成品牌效应提升差异化，这是未来真正的一套隐私保护的方法论，值得从业者深深研究。

随后，会议进入重磅报告发布环节，首先是《国内外标准兼容下的个人信息合规体系构建》指引报告的发布。报告发布前，微软美国的专家Alex Li发送来了惊喜视频，恭喜报告的发布并对环球的工作做出肯定。随后，环球律师事务所合伙人孟洁律师介绍道，随着综合实力的增强，很多企业都开始有全球化的布局。在这一过程中，务必要解决各个国家在数据保护法律，包括标准，在不同的规制下如何进行平衡这一问题，因此这一报告应运而生，结合国际性的ISO/IEC 27701及国内的GB/T 35273两大标准进行分析。微软（中国）有限公司资深标准专家王劲松介绍了开源工具的使用，该工具将各个地区的法规联系在一起，并可以逐个和“27701”进行对比分析。

论坛发布的第二个报告为中英双语版的《数据全球化与隐私保护指引》。威科先行高级编辑陈梦媛介绍了报告发布的背景，她指出，报告中收录了一百多个国家数据保护、隐私合规和网络安全的法律法规解读，能为中国企业走出国门提供很好的指引。环球律师事务所顾问许国盛律师对报告的内容进行了概括与解读。在当前全球各国在隐私保护立法各不相同的情况下，报告中全生命周期的合规指引对于走出去的中国企业如何开展合规工作而言很有参考价值。

会议最后，由完美世界集团法务部知产总监薛颖作为主持人，小米集团法务部副总监张向拓、芒果TV海外与数据合规事务负责人陈琪曼、小米集团安全与隐私合规高级工程师赵彤彤、安永网络安全与隐私保护咨询经理左超、万向区块链首席安全官蔡俊磊等作为特邀嘉宾，围绕“企业数据合规中律师和安全专家的工作”共同展开了精彩的圆桌讨论。薛颖律师认为企业数据合规数据合规始终是一个跨学科、多领域交互的专业工作，法律的专业人士和安全人士作为这个领域的中坚力量，需共同推动个人信息和隐私保护领域不断地向前发展。各位嘉宾从各自工作的视角，结合实践中生动具体的案例，围绕“如何在产品中嵌入隐私保护理念”、“律师和安全专家如何交互工作”、“和业务侧同事交流面临怎样的压力“、”如何真正的处理用户行权“等话题进行了充分的交流。大家思维火花碰撞，研讨成果显著。

会议的其他精彩瞬间回顾：