法学博士、亚太网络法律研究中心(:
http://www.apcyber-law.com/ )创始人、主任;亚太人工智能法律研究院院长;北京师范大学法学院教授、博士生导师;北京大学国际知识产权研究中心、互联网法律研究中心研究员;英国牛津大学客座教授;中美网络安全对话机制中方首席法律专家;中央政法委、工信部、商务部、外交部、工商总局、新闻办、网信办、发改委、最高法院、最高检察院、北京市、上海市、广东省等网络与信息法律咨询专家;国家社科基金、教育部人文社科基金、司法部部级课题、中国法学会部级课题、中国博士后基金项目评审专家。
研究领域
研究方向为民商法,尤其专注于网络与电子商务法、信息法与信息财产权、大数据与人工智能法治等交叉领域的法律问题,是国内权威、国际知名的网络与信息法律专家。近年来,已经在《中国法学》《法学研究》等学术杂志上公开发表有关学术论文90余篇;出版有关专著四部,主持国家社科基金、国家242、教育部人文社科基金、司法部等国家级和省部级课题十多项。
其“身份人格权论”一文(《中国法学》2023年第4期)在国际上开创性提出了“身份人格权理论”。现行人格权理论认为,人格权是自然人对自身人格利益所享有的权利,与他人(亲属)无关,不能转让、不能继承。这种理论既与人性和现实不符,又无法为近亲属的损害赔偿请求权提供法理依据。从人性和现实而言,基于血缘和婚姻关系的亲属之间,彼此不仅在乎自身人格利益,同时也在乎对方的人格利益(不受第三人侵害)。其中,前者在现行人身权理论下被视为(自我)人格权;后者不被现行人身权理论所承认。因此,现行人身权理论无法为近亲属的精神损害赔偿提供法理依据。该文所提出的身份人格权理论,既丰富和发展了现行人身权理论,还为亲属相互之间一方在另一方的人格利益被第三人侵害时的损害赔偿请求权提供了法理基础,符合人性和社会现实。
其在《南都学坛》(2023.5)上发表的“科学思维与法律上的隐私概念界定”一文,在国际上开创性地从科学思维的视角审视了既有的隐私概念不符合下定义的基本规则,不利于科学思维;本文提出应该区分心理学、政治学、社会学、人类学、宗教学、法学等不同社会科学上的隐私概念,不能不加区分地使用;它指出国际上所谓的“隐私悖论”实际上是混淆了不同学科不同语境下的隐私概念的结果;最后,该文从科学思维的角度上对包括我国立法在内的两大法系主流隐私权理论进行评价分析,指出了其对隐私的概念界定都违反了科学思维下的定义界定方法,并在国际上首次提出法律意义上的隐私概念是“与公共利益社会利益没有直接关系,同时有直接攸关个人名誉或尊严的个人信息”。
其发表在《澳门法学》(2021年第3期)“大数据、人工智能战略与个人信息立法”一文在国际上开创性地提出了“个人信息法学理论”,包括“应该区分个人信息和与个人有关的信息”“梳理正确的隐私观念”两个方面的内容。它首次提出现行主流认识论和立法上的个人信息概念实际上是技术意义上的概念,而非法律意义上的概念;真正法律意义上的个人信息“应该是个人所特有、独有、直接承载其人格利益的符号形式”。它首次科学地提出“个人信息保护法应该保护的是个人信息之上所直接承载的人格利益和商业价值”;“与个人有关的信息或数据是指基于社会活动而产生的与个人有关的信息或数据,其基本价值就是维系正常的社会活动和社会交往,因此不应该是个人信息保护法的保护对象,而应该是信息(数据)滥用防治法所规范的范畴”;“对与个人有关的数据的处理不需要征得个人同意,其产权属于合法持有者所有;这样,既兼顾了个人利益、产业发展和国家利益,扫清了大数据和人工智能技术和产业发展的认识障碍,又有利于产业发展和技术创新”。它首次在国际上科学地把法律意义上的个人信息分为自我表征型和隐匿型两类:前者是生物特征信息,后者是法律意义上的隐私;在国际上开创性地提出了科学的隐私理论,即隐私一定是人与人而非人与机器之间的关系;隐私在心理学、政治学、社会学、人类学、法学等不同社会科学上具有不同的内涵和外延,不能不加区分地使用;法律意义上的隐私是指与公共利益、社会利益没有直接关系,同时又直接攸关个人名誉或尊严的个人信息。
其“论个人信息的财产权保护”一文(《法学研究》2007.3)在国内首次提出个人信息财产权保护理论;其《论个人信息的财产权保护》(人民法院出版社2008.7版)是国内外首次系统研究个人信息财产权保护理论的专著;其《网络时代的民法学问题》(人民法院出版社2004.1版)是大陆法系首次系统研究网络时代的民法学基本理论问题的专著;其《民法学上的权利客体与权利对象区分及其意义》(暨南大学学报2014年第9期)一文创立了权利客体与权利对象区分理论。
学术交流
近年来,刘德良教授多次应邀对欧美著名大学和研究机构进行学术交流和访问;十多次应邀出国参加国际学术会议,并作大会主题发言。作为牛津大学的客座教授,刘德良教授曾多次用中文在牛津大学做讲座,其关于欧盟有关个人信息保护立法缺陷及中国的立法选择、网络侵权问题的法律规制、网络安全与网络治理等问题的讲座赢得了听众和国外同行的好评。在国内,刘德良教授曾应邀在北京大学、人民大学、清华大学、浙江大学等五十多所国内著名高校发表学术演讲。
媒体关注
中央电视台、中央人民广播电台、中国教育电视台、光明日报、人民日报、新华社、中国法制日报、检察日报、人民法院报、香港凤凰卫视、亚洲电视台、有线电视台、《南华早报》、《镜报》以及美国纽约时报、CNN、美国之音、基督教科学箴言报、迈齐报业、彭博新闻社、法国费加罗报、英国金融时报、BBC、意大利《南都周刊》、日本《产经新闻》、西班牙巴斯克电视台、荷兰国家电视台、瑞士国家电视台、墨西哥改革报、阿拉伯半岛电视台等著名媒体曾经多次采访报道过刘德良教授的学术观点。尤其是纽约时报、CNN、基督教科学箴言报、BBC、金融时报、费加罗报、产经新闻、阿拉伯半岛电视台等国际媒体多次就有关网络、信息法律问题采访刘德良教授。近年来,刘德良教授曾经分别十多次做客《今日说法》、《大家看法》、《经济与法》,并多次接受《焦点访谈》记者专访。刘德良教授也曾经多次做客《新华网》、《人民网》、《正义网》、《腾讯网》等国内著名门户网进行在线视频学术访谈。
学术观点
刘德良教授在个人信息与隐私保护、人格权与财产权区分、信息财产权理论、网络和信息安全法律等领域内有独创性观点。
首先,刘德良教授在个人信息、隐私与隐私权问题上具有开创性的见解。
刘德良教授认为,自从1995年个人数据保护指令(DPD)出台之后,由于其意识形态和虚高的道德站位迎合了很多尊崇人权的学者、官员、媒体的心理,因此,其立法的影响力非常广泛。欧盟也因此一直以个人信息立法领域的世界警察角色自居并引以为傲 。尤其是2016年出台的通用数据保护条例(GDPR),越来越成为全球个人数据保护立法的“黄金标准” 。GDPR收获了包括许多政治家、监管机构、数据保护官员、律师、顾问、信息技术专家、学者、隐私活动家等在内的众多粉丝;几乎所有人都在为GDPR唱赞歌:对他们来说,欧盟的个人数据保护法就是全球个人信息保护法的“金本位”和“大教堂”。因此,包括我国主流观点和以此为基础的既有个人信息保护法在内的世界绝大多数国家和地区立法基本上都是照抄了欧盟2016年的《通用数据保护条例(GDPR)》。
然而,包括欧盟立法在内的世界个人信息立法及其理论缺乏科学的个人信息认识论,把个人信息界定为“与已识别或可识别的个人有关的任何信息”。这种从外在“识别性”而不是从个人信息的内在本质属性来界定个人信息的做法,导致个人信息概念因为缺乏内涵而外延无法确定;由此不仅无法为大数据和人工智能产业提供清晰的产权和法理基础,不利于大数据和人工智能产业的健康发展,还会导致了个人信息保护法的法律适用不确定,法律风险不确定。
由此,刘德良教授认为,应该彻底摒弃目前主流的个人信息认识论和立法论,从科学的思维与方法出发,结合我们对个人信息伦理价值认识来界定个人信息。以此为基础,刘德良教授提出了“个人信息是指个人特有、独有、直接承载其人格利益的各种符号形式”这一科学定义。这种界定方法既抓住了个人信息的本质内涵,即“个人特有、独有”,又能够与我们把个人信息视为“人格要素”的主流伦理价值认识保持一致;还可以明确区分个人信息和与个人有关的信息,从而使得数据权益的确定变得清晰和具有可操作性;从而有利于大数据、人工智能技术和产业发展。按照刘德良教授的这种科学理论,个人信息的人格利益和商业价值受法律保护;与个人有关的信息或数据,其商业价值归合法持有者所有,机构收集、处理、分享、交易和利用不需要取得个人同意或授权,但不得以违背这类信息的正常社会功能的方式对其进行滥用,从而侵害不特定个人或群体的合法正当权益。未来个人信息立法应该包括个人信息保护法和信息(数据)滥用防治法。个人信息保护法的唯一宗旨就是保护个人信息之上所直接承载的人格利益和商业价值不受非法侵害;所谓的防范风险不应该是个人信息保护法的功能;相反,它应该是未来的信息(数据)滥用防治法的任务所在。在信息时代的今天,一切个人信息都具有潜在的商业价值,故而其商业价值都应该被纳入到财产权或作为独立的财产利益予以保护。对于个人信息的人格利益和商业价值,法律应该同时以人格权和财产权来分别予以双重保护,而不是把商业价值视为人格权的内容或纳入到人格权中予以保护;否则,既混淆了人格权和财产权的区分,又无法为死者的姓名、肖像、声音中的商业价值的法律保护提供自洽的理论依据。具体请参见
http://2021 年第 3 期(?第 47 期) - 澳?大?法?院 https://fll.um.edu.mo/macau-law-review/2021-no-3-serial-no-47/?lang=zh-hant
刘德良教授认为,我们应该梳理正确的隐私观,而不是盲目照抄欧美错误的隐私观念。我国《民法典》上的隐私是在美国隐私概念下糅合了欧美隐私的内容。无论是美国法上的私人生活安宁,还是德法等国的私密活动、私密空间、私密信息,都不是严谨的法律概念;因此,在我国法律上的隐私概念缺乏内涵的情况下,其外延也难以确定,隐私权的边界因此而模糊不清,不符合法律上权利边界清晰的基本要求。
刘德良教授认为,隐私在社会学、政治学、心理学、经济学、法学和日常生活等不同学科、不同语境以及不同的地地域文化下具有不同的内涵和外延;而目前,无论是大陆法系,抑或是英美法系,还是我国主流观念,都没有对隐私做上述区分,而是把法学上的隐私与其他学科和日常生活中的隐私概念混淆在一起。在西方,人们把政治信仰、宗教信仰、种族等视为法律上隐私的观点就是这种混淆隐私观的体现。
刘德良教授认为,包括在我国在内的大陆法系国家的主流理论认为“隐私是自然人的私生活安宁不受侵犯和私密活动、私密空间、私密信息”。刘德良教授认为,这种理论及其立法所规定的四种隐私类型不仅缺乏“公因子”,而且各自都有值得推敲的地方:其中的“私人生活安宁”是个人主观心理感受,对其“侵扰”是任何侵权行为都会导致的间接后果,因此,它本身不应该作为侵权法直接保护的客体。如果按照第1033条之(一)规定的逻辑,噪音污染、打骂、盗窃、破坏财产等所有侵权行为都可以导致主体的私人生活安宁受到侵扰,如此,是不是所有侵权行为也都应该被视为侵犯隐私?所谓的“私密空间”跟物权法上空间(权)是什么关系?因此,把 “私密空间”作为隐私权的保护对象的做法将会面临如何区分人格权和财产权区分的理论问题;从语义上讲,所谓的“私密信息”也应该包括个人掌握的商业秘密、技术秘密?如此,个人隐私跟商业秘密、技术秘密如何区分?把“不愿为他人知晓”这一主观因素作为隐私的要件的做法不仅混淆了“隐私”和“侵犯隐私”的区别:因为所有侵权行为都是违背权利人的主观意愿,而且也违背了下定义的基本准则,而且还会导致隐私概念的个人化。鉴于民法典的这种规定在实际中必然会令人对隐私的理解仁者见仁智者见智,进而导致隐私权的保护边界模糊不清,不仅不利于定分止争,还会导致不必要的纠纷。因此,有必要对我国《民法典》关于隐私的规定及其背后的理论进行思考。
刘德良教授认为,从法理上讲,个人权利(隐私权)的实现或保护是通过他人的义务来保障的,而一旦这种权利的范围不确定或因人而异的话,那么,势必会对他人的行为自由造成不当的限制。显然,这种因人而异的隐私概念和隐私观是有悖于法理的,是不能在法律上使用的。法律上的隐私应该是个内涵确定、外延明确的范畴,而不是一个仁者见仁智者见智的概念。据此,刘德良教授开创性地提出:法律上的隐私应该是与公共利益、社会利益无直接关系同时又直接攸关人的名誉或人格尊严的一类个人信息,它包括但不限于与性有关的个人信息、情感经历、性取向、不为人知的重大生理疾病缺陷等。当然,法律上的隐私范围并不是封闭不变的,其外延会随着时代发展而不断发展。
其次,刘德良教授关于权利客体与权利对象、人格权与财产权区分理论、信息财产权与一般民事权利的关系等方面的观点都具有独创性。
刘德良教授认为,尽管目前民法学上有人试图区分权利客体与权利对象,但是,并没有形成说服力的观点和理论;而主流观点和理论则对权利客体和权利对象混淆使用。在人格权和财产权的区分上,主流观点认为,人格权是主要体现人格利益或不直接体现财产利益的权利,或人格权是不以财产利益为直接内容的权利;相反,财产权则是以财产利益为主要内容的权利。且不说这种以权利内容作为人格权和财产权定义和区分的依据的方法是否合理(因为主要和次要、直接和间接总是相对的,如何区分它们本身就是一个大问题);即使按照这种观点,为了解释肖像等个人信息商业化现象时,主流观点则认为,尽管(作为人格权的)肖像权中的肖像利用权具有财产属性,但是,肖像权主要还是体现为人格利益,人格权是其主要属性,财产权是其次要属性。因此,这种具有财产权属性的肖像权仍然是人格权,其中的财产利益属于人格权的内容。显然,这种解释是以牺牲人格权和财产权区分理论为代价,或者说,这种解释的逻辑结果将是没有必要为人格权和财产权下定义。
随着个人信息商业化利用现象的日益普遍,越来越多的学者开始提出所谓的“人格权的商业化利用”、“人格要素的商业化利用”、“混合型权利”、“财产型人格权”、“经济性人格权”、“商品化权”等观点来解释这种被传统人格权保护的个人信息的商业化利用所带来的权利定性问题。为了解释定情信物、继承物等“特殊物”在遭受损坏时受害人为何可以同时要求精神损害和财产损害双重赔偿问题时,很多学者开始提出所谓的“人格型财产权”、“人格物”、“混合型权利”、“中间权利”、“二元权利”等观点予以应对。显然,不论上述哪种观点都是以牺牲作为大陆法系民法学根基的人格权和财产权区分理论为代价的。
面对上述观点的理论缺陷,为了与法律关于“权利是法律(明确)保护的利益”这一基本共识在逻辑上保持一致,刘德良教授认为应该区分权利客体和权利对象。其中,权利客体是一个抽象的概念,它是法律所保护的利益;按照利益的属性不同,权利客体可以分为人格利益和财产利益两类。权利对象则是一个相对直观、具体的范畴,是指权利所直接保护的物、行为、信息等具体对象。在权利客体和权利对象之间的关系问题上,权利客体是体现或承载在权利对象上的内容(具体利益),权利对象则是权利客体的载体。据此,权利之间的根本区别在于其客体的属性及具体内容上,而不在于承载这些客体的对象上;不存在两个客体相同的具体权利形态,但却可以存在两个对象相同的权利;同一个权利对象上可以承载人格利益和财产利益两种不同的权利客体,因此可以同时给予人格权和财产权的双重保护。其中,人格权的客体是其中的人格利益;财产权的客体是其上的财产利益。这样,在捍卫作为大陆法系民法和民法学根基的人格权和财产权区分理论的基础之上,可以完美地解释诸如肖像、姓名等个人信息的商业化利用与诸如定情信物、继承物等“特殊物”的双重保护问题:肖像等个人信息是一个直观、具体权利对象,而非权利客体,它上面同时承载人格利益和财产利益;其中,作为人格权的肖像权(肖像人格权)是以肖像上的人格利益为客体的支配权;作为财产权的肖像权(肖像财产权)是以肖像上的财产利益(商业价值)为客体的支配权。对于特殊物而言,它既非物权也非人格权的客体,而是物权和人格权共同保护的对象;在它之上既承载有财产利益,也承载有人格利益(精神利益),因此,应该给予其人格权和财产权的双重权利保护。这样,既秉持了作为大陆法系民法学根基的人格权和财产权区分理论,避免了理论和逻辑上的混乱,又还原了社会生活的现实。
按照他对权利客体和权利对象的区分理论,人格权和财产权的区分泾渭分明,根本不存在所谓的“混合型权利”、“二元权利”、“第三类权利”、“财产型人格权”、“人格型财产权”、“经济型人格权”等混淆或破坏人格权和财产权区分理论的所谓特殊权利形态。按照他的这种理论,作为财产权的物权,其客体不是有体物,而是物上所承载的财产利益;作为财产权的债权,其客体不是债务人的履行行为,而是履行行为所体现的财产利益。以名、肖像、声音这类个人信息为保护对象的权利(姓名权、肖像权、声音权),属于类型化权,应该是这类个人信息之上所承载的人格权和财产权的统称,而不应该是单纯的人格权。换言之,当我们说姓名权时,实际上应该是姓名人格权和姓名财产权的统称;当我们说肖像权时,应该是指肖像人格权和肖像财产权的统称;以此类推,当我们说版权或作者权时,实际上是以作品(这种独创性表现形式的信息)之上所承载的作者人格利益为客体的作品人格权和以(作品之上的)商业价值为客体的作品财产权的统称。由此,目前所谓的个人信息商业化利用现象根本不是人格权的商业化利用,而是对个人信息上的商业价值的开发与利用;我们之前所争论的版权的性质问题也就很容易解释了。
根据刘德良教授的这种理论,有形财产权是以有形对象上的财产利益为客体的支配权;而无形财产权,则是以无形对象上所承载的财产利益为客体的支配权,而其中的信息财产权,则是以信息之上的商业价值(而非信息本身)为客体的支配权;狭义的知识产权则是以独创性信息的商业价值为客体的支配权。这样,不仅包括知识产权在内的信息财产权与物权、债权等财产权利之间不再存在本质的区别,它们之间因为具有共同的质的规定性---(存在于各种不同对象之上的)财产利益这一共同客体而可以和谐存在于财产权体系;而且财产权和人格权之间也因为抽象意义上的客体---(民事)利益为纽带而构筑起民事权利的基本框架。刘德良教授的这种理论不仅对于科学的民事权利体系构建具有重要的理论价值,而且对于将包括知识产权在内的信息财产纳入到民法典财产权编,进而为编纂和谐、统一的民法典,最终将使中国未来的民法典成为超越德国民法、领袖世界民法典潮流之光辉典范具有重大的现实意义。
最后,刘德良教授还在国内外首次提出“三纵四横”的系统网络安全法治理论。
刘德良教授认为,从主体上看,法律上的网络安全应该包括国家网络安全、公共网络安全、私人网络安全这三个方面的内容。这三个方面构成了网络安全立法体系展开的“三纵”。
所谓的国家网络安全,应该是指攸关国家安全利益的网络基础设施及其信息系统的安全。一般来说,它涉及到重大的国家政治、军事、经济机密和安全利益;从范围上讲,它主要包括攸关国家政治、军事和经济安全的网络基础设施和信息系统安全。纵观我国刑法,并没有从危害国家安全的角度来规制那些针对国家网络关键基础设施和信息系统的违法行为,而是把它们视为妨害社会管理(扰乱公共)秩序的行为规范。
所谓的公共网络安全,是指攸关不特定多数人的人身和财产利益的网络和信息系统的安全,这是一个被忽视的网络安全问题。实际上,网络空间跟现实空间一样,都存在公共空间及其安全问题。这里的公共空间不是指网络空间及其信息系统的归属而言,而是指它是不特定多数人可以自由访问而攸关不特定人利益的地方。实际上,有人利用他人网站或系统中存在的技术漏洞而埋置病毒或木马等有害程序,一旦不特定的用户访问该网站或网页,其电脑、手机等终端系统就很可能被这些有害程序非法侵入,进而导致其利益受损(信息存储空间被占、信息被窃取或损毁、账户上的财产被盗)。由于木马和病毒跟现实空间里的危险物品一样可以针对不特定人的利益造成损害,因此,在网络上传授、制作、销售、使用病毒、木马等有害程序的行为跟现实空间里非法制作、运输、贩卖、使用危险物品一样都是针对公共安全利益构成威胁的行为,因此,立法应该将这些视为危害网络公共安全的行为,予以规制。纵观我国现行的治安管理处罚法和刑法的有关规定,并没有从危害公共网络安全的角度对这种行为予以规范,而同样是把它视为妨害社会管理(扰乱公共)秩序的行为予以规制的。
所谓的私人网络安全,是指特定的个人或企业对自己的网络及其信息系统所享有的安全利益不受非法侵害。这种非法侵害不仅表现为未经授权非法侵入(网络及其信息系统,即信息存储空间)并占据私人信息存储空间的行为,还表现为在私人网络信息存储空间里进一步实施窃取、删除、损毁信息以及监听、窥视行为等侵权行为。虽然针对私人网络安全利益的侵害行为首先属于侵权法上的侵权行为,应该被纳入到侵权法中予以规制,但是,对于严重的危害私人网络安全的违法行为,也应该被纳入到公法(治安管理处罚法和刑法)规制的范围。纵观我国现行的侵权法,并没有针对私人网络安全利益的明确、具体的规定;治安管理处罚法和刑法也只是从扰乱公共秩序的角度做出规范。
从内容上看,网络安全既包括组成网络及其系统上的软硬件安全---物理上的安全,也包括网络上的秩序的可控,这种秩序包括网络及其系统的运行维护合规、信息内容及数据流动合法、有害行为的预防和打击等。这四个方面构成了网络安全立法体系横向展开的“四横”。
就网络安全法内容方面,刘德良教授认为,网络安全法其实就是应该有关网络安全立法的基本法,在网络安全立法领域处于类似于“宪法”地位的法律。据此,网络安全法应该仅仅从宏观和抽象的层面规定网络安全的基本制度内容,不规定具体的法律责任;而具体落实其中的制度则是民法侵权责任法、治安管理处罚法、刑法、标准法、市场准入法、网络基础设施法、信息服务法等部门法的使命。
另外。刘德良教授还在网络犯罪、网络治理、人工智能政策与法治等领域有独到的见解。
