《个人信息保护法》赋予了我们消费者或者公民个人哪些权利，特别关注的是有关财产的权利。

张新宝：中国人民大学法学院教授，博士生导师我谈一下我的观点，根据立法说明或者三审稿法律的修改，第一条就规定的比较清楚，根据《宪法》制定，涉及到人的尊严，涉及到人的一些安全问题，涉及到通信秘密与通信自由的问题，还涉及到其他的一些人权方面的概括性人权问题，总的来说没有涉及到财产权，一旦我们谈到权利的时候首先说这是谁的权利？我认为谈个人信息权益的时候指的是个人享有的权利或者义务，尽管学者也有不同的认识，但是立法精神和观点来看个人不享受信息财产权，享有的是具有《宪法》上面人的权益，为了保护这些人格权利，我们法律专门规定了一章是个人在个人信息处理活动中的权利，包括同意或者拒绝，包括查阅、删除以及携带权利等等，这些本身既不带来人格利益也不带来财产利益，是保护刚才所谈到的这些具有宪法性的权益的，因此是属于为了保护那些本权或者是实际权利而享有的这样一些程序性权利，这个可以算权利。但是我们的法律规定来说作为信息权益就没有用权利，涉及到《宪法》，另外包容性比较强，跟民事权利不一样，民事各种权利比较单一，还有个人信息处理本身个人具有强烈支配性，但是又受到诸多限制，有些东西还不能支配，第13条规定的是同意，后面接下来第二项到第七项规定了那么多是不需要你同意的。这是个人角度而言，个人信息，欧洲人说是个人数据，个人信息处理者，无论是大处理者还是小处理者，收集到它的那个地方，可能以三种形态出现，第一种就是个人信息情况存在，不更名不换姓放在那个地方。第二可能做一些替代性处理，深究可能找到是谁，如果不深究的话不大能看的出来。第三种是进行了匿名化处理。企业或者个人信息处理者以三种形态占有这个个人信息，都是个人信息数据，这些数据到了一个处理者手里面具有经济价值，可以在《合同法》上面进行交换，我们有大数据交易中心，可以受到《反不正当竞争法》的保护，自身也可以作为工业财产，工业原料来对大数据进行分析、进行处理后为公司能够写出来一个程序，写出来产品，比如写出来更好的自动驾驶的产品等等。《民法典》制定过程中本来想财产法里面写几条，关于财产这一块的立法还是有所欠缺，我觉得未来一个时间里面可能会要立法，对于虚拟财产的保护立法。基于个人信息享有一些《宪法》上面或者《民法》上面规定的人格权或者是人权类的实体权益，通过法律规定的那些处理上面的权利也就是同意、不同意、删除这样一些处理上的权利，来保护前面所说的人格权益或者是宪法权益，但是这些不具有财产价值，我们很难主张我个人一条信息能够卖多少钱，假如一条信息能够卖多少钱的话一定是极其个别的情况，因此不在财产法的角度里面考虑。但是个人信息被企业进行处理以后能够转化为财产权的要素，受到《合同法》、《反不正当竞争法》、乃至《知识产权法》的保护，因此我个人所关注的是人格方面的利益，企业关注的是财产方面的利益，才可能在这个问题上面大家能够达成一致，如果大家都是财产利益的话那这是搞不成的，如果都重视的是人格利益的话也是搞不成的，各取所需。

办公大楼进出要求填写身份证信息是否属于个人隐私保护申诉的范畴？

胡钢：中国互联网协会法工委副秘书长、中国消费者协会律师团成员《居民身份证法》也是规定了公民必须出示身份证的情况，像进大楼，如果这个大楼不是特殊部门、特殊行业的大楼要求出示或者记载、登记这种信息实际上都是没有法律依据的，因为我们的居民身份证最大问题是它记载了我们很多关键信息，包括居民身份证号码编码规则，直接反应了众多个人信息，比如说你的出生日期、当时所谓的行政区划，包括性别等等一些信息，所以未来居民身份证本身的编码规则也应该像我们护照编码规则一样完全的去标识化，这是我们值得做的。另外还有一点，2016年公安部和其他八部委出了一个《关于居民使用身份证的公告》，里面也特别提到了如果公权力机关查验的话不能完全记录相关信息，而且要求明确记载公民抵制复印、扫描、拍摄身份证的行为。有的时候为了证明实名要求公民手持自己身份证双面高清拍摄两张照片发过去，其实这是非常高度危险的行为，强烈不建议我们广大消费者或者普通公民为了一点点优惠，一点点所谓方便，或者一点点时尚荣耀感牺牲自己作为保护的个人信息和隐私，因为个人信息和隐私是人区别于动物最显著的特征之一。

有哪位愿意介绍一下《个人信息保护法》和GDPR的区别。

庞理鹏：北京策略律师事务所执行主任，数据合规项目组负责人我在讲课的时候主要讲欧盟的GDPR，我也把欧盟GDPR和《个人信息保护法》一直在做对比，我的观点可能不是特别成熟，大部分《个保法》条款是借鉴或者参考了GDPR的相关规定，但是我们国家在一些特别规定上是有区别的，比如说GDPR里面关于特殊种类数据采取的是列举式，八类，但是咱们国家其实采取的是概括加列举的方式。比如说在欧盟里面GDPR里面规定了死者权益不在GDPR讨论范围之内，但是我们国家其实也是对死者权益进行了相关增加。总体来看我们国家的内容，我们国家立法要和欧盟差不多，和美国比不吃亏，所以基本上我们国家无论是对等原则还是处罚力度还是相关法律法规的要求上几乎是要保持一致，之前我关注的一个点，《个人信息保护法》三审稿之前没有把可携带权纳入进去，而可携权纳入了这次正式公布的稿子当中，我的观点是在于在法律法规上基本上《个人信息保护法》大部分是借鉴了参考了欧盟GDPR的规定。

在数据交易中心购买的数据是否可以作为企业财务制度上认可的资产？以及国际上有无类似的案例？因为数据的概念太广泛了，个人数据的话恐怕连买卖都是不可以的，如果不涉及到个人问题或者完全不可逆，不可识别为个人数据，特别是总体性数据应该问题不是很大。

庞理鹏：北京策略律师事务所执行主任，数据合规项目组负责人庞理鹏：我简单讲两句，因为咱们《数据安全法》当中其实是推动数据的发展，数据交易中心本身国家是鼓励的，前段时间主要是以央财大数据中心和信通院联合搞了一个大数据交易中心活跃度调查，我是非常有幸考察了几家大数据交易中心，目前国内备案的，官方背景的是17家大数据交易中心，这是全国的。现在行业人员也很困惑，讲到目前这个数据交易类型当中如果涉及到个人信息的更多采取的是验证式的，比如说这边有大量数据沉淀，采取隐私计算，验证一次多少钱。目前很敏感，大数据交易中心对数据权属问题也是属于比较敏感的话题，目前没有明确界定的点，所以很多交易中心也面临这样的困扰，我看过验证式的服务，很少有直接把个人数据交易的行为存在。后续是不是存在，就看后续法律落地以后各个交易中心新的一种数据产品了，目前没有看到直接交易数据产品的，拿到数据做了脱敏化直接交易的，目前我了解的应该是没有。

李欲晓：中国网络空间安全协会秘书长只说个人的感受，庞律师讲这个我很赞同，这个问题其实很有意思。现在来讲大家对于不管是个保涉及到的还是《数据安全法》里面涉及到的数据交易，整体来讲还是一个支持和鼓励的态度，但是目前来说在已有数据交易中心或者是包括现在正在建设的这种数据交易这样一些体系当中可能还有很多缺失。核心的缺失主要还是在于什么地方呢，当我们去研究这个数据交易问题，特别是王寒冰老师提到的这个问题是否可以把数据当做财务制度上的资产界定的时候，回过头来看这个交易其实不是一个数据对数据的交易，而是一个数据对一般等价物的交易，就像我们今天去衡量我们的日常商品一样，但是我们恰恰是在数据交易当中现在根本没有一般等价物，我们现在很难把数据交易当中一般等价物衡量出来。所以这里面数据安全和《个人信息保护法》里面很多东西有借鉴，有突破，也有很多东西真正在数据交易方面有一些基础性的研究，包括基础性的工具和基础性探索性的东西还远远不够。这段时间我一直在说我们的数据交易和数据治理当中这四个问题其实需要我们下很大功夫做研究的，第一个是数据的价值认定，这个里面核心就是在于数据一般等价物现在根本没有，刚才讲的十几个交易所、交易中心这种方式很好，但是能否提炼出来形成一般等价物，因为我们没法说根据一个数据量的大小或者根据什么进行一般程度的衡量，在这里面如果形不成这样的东西的话很难说数据交易未来只是靠数据间的交换能够形成什么样的规则。第二个就是数据资产的管理。大家都在谈数据资产的管理，但是这个数据资产管理目前来讲其实有一个大的问题就是数据资产价值关系基本没有涉及到，而且数据资产本身认定也存在问题。第三个就是数据有序流动，不管是《数据安全法》还是《个保法》里面对于数据有序流动都有相应界定，不管是学界还是在产业界包括现在开展的数据交易中心或者是这方面的一些机构来讲现在在这方面提供了必要工具了吗，或者提供了有效技术手段没有？其实在这方面我觉得可能还是有缺失的。最后一个就是数据安全保障，还存在很大的不足，当然这个不足并不是说我们在这里面和别的国家落后什么，我认为其实恰恰相反是我们在这个方面是领先的，欧盟尽管有了GDPR，但是过去这些年当中，包括跟他们GDPR起草人进行过交流，感觉他们在这方面的应用和实际管理之间是有脱钩的地方，我们现在很多应用面对的这些问题通过法律探索是有价值的，而且通过我们实践可能会找出新的路来。光去看欧盟或者美国已有的路径的话并不能解决这些问题，因为我们在这些方面的探索已经有了一些新的可能性，但是还没有形成系统化基础性的而且可以工具化的能力。所以刚才庞律师讲到的是很现实的问题，也是很有道理的。这个话题其实非常有价值，但是我们现在在这方面的探索还远远不够，至少我们各位将来可以在这方面花更大的功夫去做一些讨论。协会也成立了一个数据安全专家组，希望在这方面系统的好好把这方面的东西讨论一下。

胡钢：中国互联网协会法工委副秘书长、中国消费者协会律师团成员胡钢：高屋建瓴，我们可能要做的事情非常多，因为《数据安全法》意义上的数据等于什么都是数据，任何信息就变成数据，按照欧盟的一些定义最基层的数据，数据有意义化再变成信息，信息再往上走，我们好像是反过来的，数据和信息现在各方面的定义也是有些差异。无论如何数据安全也好，或者数据的交易等等，显然你不能影响或者说损害其他的数据所有人或者说所有者的这种相应权利，所以刚才聊天室有人提到欧盟对于工业数据是鼓励交易，这个非常好，因为凡是涉及到个人的一些数据，哪怕你引入类似于联邦计算这样隐私计算的技术，我看到比较新的论文也是凑一凑还是很容易做出来的，因为这种大数据技术本身这两年发展的非常迅猛，数据挖掘的技术非常生猛了，超出了我们的想象，稳妥的方式来说数据交易本身要做非常好的审核，是否属于国家秘密，是否属于商业竞争性的商业秘密信息，是否属于消费者个人的信息，还要做多重排除，最后排掉了或者说去标识都去掉了才能做交易，最后是统计化的数据，这个更适合干规划，而不是让你针对个人进行某种所谓定向推送，凡是定向推送的数据可能涉及到刑事责任，所以都值得我们进行深思。