11月1日，时值个人信息保护法正式施行一周年之际，由北京大学粤港澳大湾区知识产权发展研究院、北京大学法治与发展研究院和中国法学交流基金会联合主办的“《个人信息保护法》一周年观察学术研讨会”在北京举行。

会上，中国科学技术大学公共事务学院、网络空间安全学院教授左晓栋发表了以“规则设计与法律实施的关系”为主题的演讲。他指出，此前通常是法学专家在个人信息保护立法工作中发挥重要作用，希望今后技术专家也能在立法立规阶段更多地参与进去，以期解决法律规则与技术实现之间的矛盾。

个保法施行一年来，效果如何？左晓栋表示，考察一部法律的实施效果可以有很多角度，但其中一个必须是“老百姓的感受”。他指出，个人信息保护法制定并实施以后，我国个人信息保护状况确实发生了很大改观。不过，“从用户的角度来看，他们是否感受到与个人信息保护有关的骚扰事件变少了？是否主张权益变得更容易了？目前我认为还没有本质上的改变。”

对企业而言，左晓栋表示，虽然这一年来出现了不少个人信息相关的司法判例，但受到个保法处罚的违规企业只是是极少数。个保法出台前，许多互联网企业感到高度紧张，后来也逐渐归于平静——“大部分法律都存在这样的情况：时间长了，大家对法律的效力就没那么重视了。”

一部法律立法的背后，通常是学界、实务界、立法机构的多方碰撞。谈及法学研究和技术之间的关系，左晓栋表示，目前的法律规则与技术实现之间存在一定脱节。此前更多是法学专家在个人信息保护法的起草过程中发挥重要作用，希望今后技术专家也能在立法立规阶段更多地参与相关讨论。

他举例说道，个保法第十三条规定，符合“取得个人的同意”等情形之一的，个人信息处理者方可处理个人信息。于是，一个值得思考的问题出现了：企业是否对用户同意事项进行了留存？

“多数（企业）都没有留存。”左晓栋坦言，目前只有个别企业会进行留存，或是因为他们有这方面的意识，或是其在架构系统时，留存功能模块较容易设计。他强调，“告知-同意”撑起了整个个人信息保护法的基本规则框架，如果同意记录都没有留存，相关规定也失去了意义。

此外，另一个典型的矛盾体现在个人信息的收集过程中。左晓栋指出，如果用户在安装或首次使用App时点击了同意，那么这个“同意”的有效期有多长？法律还没有规定。“在实际工作中，很多App都在‘绕过’法律规定，这是违规收集个人信息的实际情况。”

个保法施行一年来，部分条款至今暂无配套政策和实际运用案例，企业在实践过程中也面临诸多困惑。

左晓栋表示，目前，应高度关注法律规则制定后的解释细则。以个保法中有关死者个人信息继承的条款为例，他在会上分享了一个案例。

有一位儿子不幸在国外自杀身亡的父亲，希望获取儿子生前的社交账号以作怀念，于是他借助个保法的相关规定，以合法继承人的身份完成了这一心愿。然而，由于这位父亲认定儿子的死亡与儿子的女友有关，在拿到账号后，利用该账号曝光其女友隐私并发表大量不负责任的言论，后来导致女孩轻生。

左晓栋认为，个保法中有关死者个人信息继承规定的立法本意是“为了自身的合法、正当利益”。例如自然人去世后，其微信账号里的钱有没有、有多少——这便是与“合法、正当利益”有关。该案例中父亲的行为显然并不符合。此外，个保法规定近亲属可以对死者相关个人信息行使的权利包括查阅、复制、更正、删除等，并不包括利用死者的账号再次发声。

然而，这一观点在实践中也产生了争议。有企业法务认为，个保法并未列举穷尽近亲属可以对死者个人信息行使的权利，其中使用了“等”字，因此该父亲在通过合法手段获取死者个人信息后，利用其社交账号再次发言或许并无不妥。他甚至提出，立法部门并没有明确这个“等”字不包括“复活”账号。

“一个‘等’字竟挑战了本来不该有任何争议的常识，这可能超出事前的预料。”左晓栋说。

左晓栋强调，在法律的规则设计与实施之间的关系上，要“慎之又慎”。“个人信息保护法是学术、论文、理论，但它同时也是鲜活的生命。我们不仅要从学术角度讨论问题，更应当充分考虑老百姓的诉求，关注老百姓的权益。”

采写：南都记者樊文扬

编辑：蒋琳

本文作者

樊文扬

3770W

南方都市报记者