尊敬的来自两岸的各位专家、各位老师：

　　大家上午好!我今天发言的题目是“数据共享与个人信息的保护”。大家知道我们进入了一个互联网大数据时代，数据的共享可以说现在成了一个重要的发展趋势和潮流，最近，有“互联网女皇”之称的玛丽·米克尔在其发布的《全球互联网趋势报告》中指出，数据共享成为互联网和大数据发展的必然趋势、全球数据采集的优化在不断加速，以疯狂的步伐在激增。数据不能共享、只能自己利用的话，数据本身就不能成为一项真正的财产，数据产业也不能发展。大数据开发成为一个重要的产业兴起，很大程度上就是因为有数据共享。我到很多地方看到，各地都在发展大数据产业，大数据产业发展起来后，大量的涉及个人信息的数据将进行共享。数据共享提出了法律上必须要回应的重大问题：在共享过程中如何强化个人信息的保护，这提出了很多问题，值得我们探讨。

　　我个人认为数据共享应当坚持几个规则：

　　首先需要对信息进行必要的分类。通常我们把信息分为公开的、没有公开的和敏感的、一般的信息，对于已经公开的信息应该是可以分享的，但是对于没有公开的信息恐怕需要授权同意。这个过程中需要进一步区分是敏感信息还是一般信息，如果涉及到个人敏感信息，比如个人家庭住址、身份证号码、银行帐户等等，这些信息必须有书面同意。

　　第二点，数据共享必须要有信息主体的授权，也就是信息权利人的授权。共享不等于倒卖，根本区别在于获得授权，如果没有授权或者没有真正的明确授权，可能就异化为一种数据买卖，可能是非法的。数据共享之所以需要授权，也是数据共享也可能是一种个人信息的传输和收集，共享过程中可能对个人的信息和隐私带来一定的威胁甚至侵害。所以必须要获得授权。当然，数据控制者对个人信息进行处置的时候，完全通过匿名化的方式处理，按照通常的技术手段已经无法识别个人信息主体，很大程度上阻断了相关信息和个人身份的关联性，这种情况下共享障碍已经大大降低了，这种情况下通常不需要授权。

　　关于授权，我个人认为有必要注意如下几个问题：一是授权必须是明确的。授权条款写的不清楚，即便消费者同意，也不能认为是获得了授权。我们在app下载手机应用时，一般都会签订相关的个人信息、隐私利用与保护条款，其中就可能包括对数据分享的授权，缺乏此种授权，相关的信息控制者即无权进行数据分享。但是不少授权条款写得非常模糊，或者以过于复杂的表述使信息主体难以准确把握其中的内容。所以授权必须是明确的。二是必须针对数据共享和科学授权。最近在“北京淘友天下技术有限公司等与北京微梦创科网络技术有限公司不正当竞争纠纷案”中，双方当事人通过OpenAPI开展合作，但被告则在合作过程中不当抓取原告的用户个人信息，法院认为，“OpenAPI开发合作模式中数据提供方向第三方开放数据的前提是数据提供方取得用户同意，同时，第三方平台在使用用户信息时还应当明确告知用户其使用的目的、方式和范围，再次取得用户的同意。因此，在OpenAPI开发合作模式中，第三方通过OpenAPI获取用户信息时应坚持‘用户授权’+‘平台授权’+‘用户授权’的三重授权原则。”，北京高院提出了三重授权规则：数据授权+平台授权+用户授权。从信息权利人角度，实际上是双重授权。第一次你要给数据的收集者在收集信息的时候必须获得授权，第二次你把收集到的信息进行分享的时候还要获得另一次授权，也就是数据的分享必须要再一次获得个人信息权利人的同意。创建这个规则我是非常赞成的。这个判例判得很好，建议立法从相关案例中总结经验。三是必须严格控制概括授权。现在有一些隐私条款使用了一种概括的授权方式，你下载APP的时候，你同意了我可以使用你的信息，但是条款规定，授权包括共享，获得将来共享的授权，我觉得这种方式恐怕是有问题的。由于信息主体对数据分享的第三方主体并不了解，对数据分享可能产生的问题也缺乏足够的认识，因此，应当对此种概括授权进行严格限制。我认为在共享方面必须按照北京高院的意见，在共享的时候也应当获得信息主体的特别授权。四是采取未明确授权即视为拒绝共享的模式。在世界范围来看，现在有两种模式，一个是美国模式，采用“未反对即视为同意”的做法，第二种是欧盟的一般数据保护条例，采取“未明确授权即视为拒绝共享”的授权模式。我国没有明确规定，我建议授权必须是明确的，明确的才能视为同意，不能说没有反对就同意了。五是不需要授权的情况应该法定化，现在有一种看法为人，凡是为了公共利益而进行数据共享，都不需要信息主体的授权，但“公共利益”的概念太宽泛了，特别是个人宾馆开房记录、个人刷卡记录都涉及到个人的核心隐私，是不是所有的政府部门都可以利用，是不是从事教学科研等涉及公共利益的活动都可以利用?我认为不需要授权的情况应当由法律明确规定下来，做出明确列举，这样可以保护个人信息的权利。

　　第三个方面是使用范围必须界定，如果同意分享，那么分享者是否不受限制?和初次授权是一样的。我认为，第一次授权允许干什么，第二次也允许干什么。也得明确告诉给谁、做什么、目的是什么。授权第一个数据控制者，已经有了用途限制，那么给第三方也要有用途限制。不是说，获得授权以后想干什么就可以干什么，最近据报道，谷歌曾经让第三方开发者和服务提供商扫描几百万Gmail用户的个人邮件，目的是推出其他针对性的互联网服务，一家服务网络广告主、通过用户邮件获取信息的公司“Return Path”，对于200多万Gmail用户的信件进行了软件阅读，另外该公司员工亲自阅读了8000封并未对敏感内容进行遮挡的信件。这就存在问题。

　　第四分享者应当遵循必要的、合理的原则，而且应该是最小化利益。获得的分享权利后，分享数据，也应当遵循与初次收集个人信息相同的基本规则，包括遵循正当的、必要的、最小化利用等规则。《网络安全法》对此作出了规定。

　　第五点是共享过程中充分尊重和保护信息权利人的各项权利，比如知情同意权、信息查询权、安全维护权、信息删除权等。这些权利都应当在我们的民法典做明确规定。

　　从数据分享我们可以看出，今天的人格权已经不再是单纯的消极防卫，而是积极利用权利。从世界范围来看，法律或者民法都遇到了一个难题，就是怎么样协调好、处理好对各类信息的保护与数据的开发利用、分享的关系。从世界范围来看，我们可以看出美国更注重信息数据的利用，这样有利于占据数据产权制高点。但今天我发现美国已经占据了制高点后，开始重视对信息的保护，对隐私的保护。最近我们发现美国加州对消费者的隐私保护法案可以看出。欧洲不是像美国那样更注重数据的利用，而是更注重数据的保护。不过我们注意到两大法系都在重视数据开发分享过程中对个人信息的保护。我们不能因为保护过度而限制产业的发展，特别是数据产业的发展，也不能为了充分鼓励数据产业发展而忽视个人信息保护，这两者怎么达到一个有效的平衡我觉得是今天民法典能够从中所应当回应、应当解决的一个重大问题。总的趋势是加强人格权立法，注重个人信息保护，使民法典保持开放性。就像苏永钦老师刚才所说的，“民法典不仅要争一时，而且要争千秋”，加强个人信息保护正是民法典要争千秋的重要内容和举措。

　　时间关系，我就简单谈一点想法，谢谢各位。