财新传媒 财新传媒
李汶龙

Lost in Translation? 个人信息保护法中的概念迷宫 | 中国的GDPR系列(三)

李汶龙 12月07日

英国爱丁堡大学法学院讲师、信息科技法博士

一个好的规范体系需要缜密、准确和有弹性的法律概念。

 

欧盟在近几十年来很注重法律概念的形成,这一点应该有德国传统的影响。立法文本之外,很多判例的核心争点也多在概念的范围和弹性上。

 

草案很难说有什么概念创新,当然审查的部分不在讨论范围之内。唯一的创新还是一个民法典带来的毒瘤:第28条关于已经公开的个人信息在没有法律基础的情况下处理个人信息,甚至可以完全忽略第13条的规定。这个第三人理论的不当使用可追溯自民法典,我之前的评论曾有提及。当然,GDPR第9(2)(e)条也有类似的规定,但考虑概念的弹性和语境,...

.
李汶龙

中国的 GDPR系列(二):《个人信息保护法》中的制度借鉴和取舍

李汶龙 11月15日

英国爱丁堡大学法学院讲师、信息科技法博士

在西有GDPR,东有CCPA的国际格局下,中国的《个人信息保护法》草案(下文简称“草案“)选择借鉴和参考西方法律文本是可以预见的,甚至无法避免的。考虑到美国近一两年来的立法(包括CCPA)在内都很明显受到了欧洲的影响(所谓“GDPR-lite”),本文只讨论草案对于GDPR的借鉴和取舍,或者欧盟对于中国的概念和制度输出。

 

GDPR中有的制度几乎都可以在草案中找到仿效的条款,虽然有些制度在草案中表述上有所不同,甚至明显在标新立异。关于草案中概念层面的问题比较多,我决定另起一文讨论,这里先说说草案在制度上的取舍。

 

​...

.
李汶龙

个人信息保护法中的制度创新:后发优势或弯道超车?| 中国的GDPR系列

李汶龙 11月06日

英国爱丁堡大学法学院讲师、信息科技法博士

许可老师之前曾抛出过一个问题:中国的个人信息保护法能否后来追上,引领国际的趋势?对于这一点我一直是比较悲观的,考虑到中国的数据隐私文化与数字经济发展的冲突,隐私文化与集体主义的冲突,立法垄断和民意受阻,以及《民法典》已经将很多可能性盖棺定论。后发优势的前提是能够对现有经验(目前都在国外)进行充分的了解、评估和反思,在此之上推陈出新。根据Greenleaf教授的统计,截至2019年底,全球已经有超过130个国家有了已成型在实施的数据保护法。《个人信息保护法》草案(以下简称“草案“)出台之前,GDPR也已经执行了两年有...

.
李汶龙

中国的GDPR系列 | 评估新《个人信息保护法》的四个角度

李汶龙 11月01日

英国爱丁堡大学法学院讲师、信息科技法博士

 

文/李汶龙

 

上周末被邀请做一个分享,有机会从头到尾过了一遍《个人信息保护法》草案。在研讨会上得知,国内现在讨论热情高涨,大家观点也纷繁多元。

 

对于这部新法案的观感:没有太多眼前一亮,时而出现瞠目结舌。

 

本质上,这部法律可以归纳为一方面效仿欧盟的数据保护法,另一方面确保《网络安全法》的监管逻辑能够渗透其中。对于这样的立法思路我其实并不感到惊讶。条文本身也没有太多可点评。虽然GDPR有的基本上中国的新法案都有,但是条文基本上只勾勒出了轮廓,往往在真正落实的环节戛然而止。这就好比某...

.
李汶龙

20194月,负责网络治理的英国政府部门DCMS(全称为Department for Digital, Culture, Media & Sport)发布了《网络伤害白皮书》 (Online Harm White Paper)[1] 所谓网络伤害,在报告中泛指来自互联网的各种形式的伤害。英国议会成员Jeremy Wright在序言中写道,网络给整个社会带来的诸多利益,也潜藏着各式各样的伤害来源。宽泛的“伤害”定义表明英国这一新的网络治理模式辐射范围之广,涵盖诸多治理议题,例如(儿童)性虐待、恐怖主义行径、移民犯罪、现代奴隶制、极端/复仇色情、网络骚扰、仇恨犯罪、鼓励或协助性自杀、煽动暴力...

.
李汶龙

欧美网络法年度述评2019(十之七):AdTech产业的历史转折点

李汶龙 01月07日

英国爱丁堡大学法学院讲师、信息科技法博士

英国的AdTech产业——主要指使用网络追踪和监测和追踪工具收集用户数据用于精准投放广告的行业——很可能在2019年后发生剧变。前有数据保护机关ICO的调研,后有竞争竞争执法机关CMA(Competition and Markets Authority)的中期调查报告,整改进程一触即发。此外,欧盟法院也在2019年做出了若干有关广告治理的判例,适用于正在脱欧进程中的英国,也将影响到欧洲之外的跨国企业。

概念层面上,AdTech主要涵盖哪些基于编程进行网络广告推送(programmatic advertising)的商业行为。Online Behavioural Advertising (OBA)——国内行业对应的...

.
李汶龙

欧美网络法年度述评2019(十之六):人脸识别的合法性争议

李汶龙 01月07日

英国爱丁堡大学法学院讲师、信息科技法博士

2019年关于人脸识别技术(尤其是实时运用在公共场所)的使用纷争不断,但究竟是否合法的问题一直没有定论。

20199月,英国高院作出判决,认定南威尔士警方使用人脸识别技术是合法的。[1]传媒隐私法专家Suneet Sharma在著名网络法博客Inforrm’s Blog上评论到[2],法院作出这样的判决不足为奇,可以视为对早期判决(有关警方权力的使用和界限)的延续。但是,在英国数据保护法已经形成的情形下,法院仍然按照旧有框架和原则做出判决有些意外。由于该案还有可能上诉到欧洲人权法院,进一步的讨论将围绕着《欧洲人权条约》第8条展开。...

.
李汶龙

欧美网络法年度述评2019(十之三):数据保护影响评估——GDPR的另一个面向

李汶龙 01月07日

英国爱丁堡大学法学院讲师、信息科技法博士

有人说GDPR是一个以数据权利为主的法律制度,这一判断并不完全正确。网络用户对数据的控制是欧盟数据保护法强化的重要面向,但GDPR也增设了完全有别于个人救济的治理措施——Data Protection Impact Assessment (DPIA)就是其中之一。[1] 这项制度创新或可追溯于21世纪初提出的Privacy by Design的理念[2],欧盟立法者在此基础上与数据保护的概念和原则进行了融合创新。

与自力救济的数据权利相对应,DPIA是一个自上而下的治理机制。前者强调通俗易懂,能够让网络用户自行平衡隐私与数据使用;后者更为全面,为系统性治理提供基础...

.
李汶龙

欧美网络法年度述评2019(十之一):长臂GDPR——域外执行与理念传播

李汶龙 01月06日

英国爱丁堡大学法学院讲师、信息科技法博士

GDPR是欧盟层面最新一部数据保护法,全称为General Data Protection Regulation (GDPR),在国内有时被译作《通用数据保护规定》。这部法律于20185月开始在全欧盟成员国范围内正式生效,距今已一年有余。

全球视野内,欧盟设立的数据保护标准要明显高于其他法域。因此,在欧洲开展业务的企业就要承担更高的合规成本。对于很多国内企业而言,他们最为关心的就是GDPR的适用性问题,尤其是域外执行(extraterritoriality)

由于互联网(线上)服务并不受地理疆域的限制,很多科技企业都会跨境提供服务。根据GDPR第三条的规定,不在欧...

.