首页 > 学会动态 > 学会要闻

王春晖:《个人信息保护法》实施一周年回顾与展望

发布日期:2022-10-31 16:45:16

2022年11月1日,《中华人民共和国个人信息保护法》(以下称:《个人信息保护法》)正式施行一周年。《个人信息保护法》集中体现了以人民为中心的立法理念,并将在国家层面建立健全个人信息保护制度,预防和惩治侵害个人信息权益的行为,加强个人信息保护宣传教育,推动形成政府、企业、相关社会组织、公众共同参与个人信息保护的良好环境,确保《个人信息保护法》的各项要求和规定在社会生活中得到全面的贯彻和实施。在《个人信息保护法》实施一周年之际,让我们回顾并领会《个人信息保护法》的精彩亮点和相关案例,展望《个人信息保护法》实施之未来。

一、“规范个人信息处理活动”是《个人信息保护法》的核心

目前,在各类《个人信息保护法》的解读文章中,大多在谈论个人信息保护的内容,很少涉及如何促进个人信息合理利用。实质上,《个人信息保护法》的立法目的不仅仅是“保护”个人信息,而是“保护”和“利用”同步推进。

《个人信息保护法》第一条规定:“为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。” 从《个人信息保护法》的立法目的看,《个人信息保护法》的实质功能是一部个人信息处理活动行为规范法,个人信息保护的真正立法目的有两个,一个是“保护个人信息权益”,另一个是“促进个人信息合理利用”,其中“规范个人信息处理活动”处于整个个人信息保护法的核心地位,只有夯实“规范个人信息处理活动”这个关键环节,才能确保实现保护个人信息权益和促进个人信息合理利用之目的。

二、个人信息的内涵与匿名化

《个人信息保护法》第四条第一款明确了“个人信息”的定义:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”该定义与网络安全法、民法典以及最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中的“个人信息”定义在基本概念上保持了一致,强调了“已识别或者可识别的自然人信息”,但在内涵上却有很大的不同。《个人信息保护法》中的“个人信息”定义增加了“不包括匿名化处理后的信息”,明确了“个人信息”经匿名化处理后不属于个人信息,也就无须适用个人信息保护法的相关规定,体现了《个人信息保护法》的“保护”和“利用”并重。

《个人信息保护法》第七十三条(四)将“匿名化”定义为:“是指个人信息经过处理无法识别特定自然人且不能复原的过程。”该定义中的“不能复原”主采取了以下两种方法,一是删除个人信息包含的个人描述部分,包括将描述部分替换为其他描述部分,或者使用具有不可恢复的方法等;二是删除所述个人信息中所包含的全部标识符,包括将标识符替换为其他描述部分,或者使用具有不可恢复的方法等。

三、个人信息保护法的域外效力

在数字化、智能化和网络化的时代,数据正在以前所未有的方式自由流动和跨境传输,因此个人信息保护立法仅有域内效力的规定根本无法充分保护本国公民的个人信息。2018年生效的欧盟GDPR率先确立了个人数据保护的域外效力,目前已有多个国家的个人信息保护法借鉴了GDPR域外效力的立法实践,我国的个人信息保护法也反映了国际个人信息保护的域外效力趋势。

我国《个人信息保护法》第三条第二款的规定,在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列三种情形之一的,也适用个人信息保护法:一是“以向境内自然人提供产品或者服务为目的”,比如一家位于美国运营的电子商务网站(Amazon)向中国境内的自然人(包括本国人、外国人和无国籍人)提供产品或服务;二是“分析、评估境内自然人的行为”,比如一家位于境外的社交网站分析、评估中国境内自然人的行为,像全球最大的社交网站Facebook(已更名为“Meta”),每年发布专门的用户行为习惯研究分析报告;三是法律、行政法规规定的其他情形,如我国数据安全法第二条第二款明确规定:“在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。”

四、个人信息处理的核心原则

《个人信息保护法》总则部分确立了多项处理个人信息的基本原则,对这部法律的实施具有重要的指导意义,个人信息保护法的基本原则主要涉及的是个人信息处理的基本准则,特别是在云环境和平台经济的背景下,很多新型和疑难的个人信息保护案件很难精准地适用具体相应的法律条款,但是个人信息处理的基本原则具有协调、漏洞补充和缓和规则不公正的作用,对新型个人信息保护案件的适用将发挥重要作用,应当透彻的理解。

《个人信息保护法》主要确立以下五项重要原则:一是遵循合法、正当、必要和诚信原则;二是采取对个人权益影响最小的方式,限于实现处理目的的最小范围原则;三是处理个人信息应当遵循公开、透明原则;四是处理个人信息应当保证个人信息质量原则;五是采取必要措施确保个人信息安全原则等。以上个人信息处理原则,如“遵循合法、正当、必要”、“应当遵循公开、透明原则”以及“保障个人信息安全”等原则在《全国人民代表大会常务委员会关于加强网络信息保护的决定》《网络安全法》《民法典》《消费者权益保护法》等相关个人信息保护立法中均规定,已经成为我国个人信息处理应遵循的通用规则。

我以为,个人信息保护法总则部分第六条确立的两个“最小原则”,是个人信息处理应遵循的核心原则,尤其是处理目的的“最小范围”,这是禁止“过度收集个人信息”的关键要点,因为个人信息处理者只有在严格遵守处理目的的“最小范围”的前提下,即“非必要不收集”的情况下,才能确保其采取对个人权益影响最小的方式。个人信息保护法第八条还专门规定了处理个人信息应当保证个人信息的质量,这项原则也极为重要,如果个人信息不准确或不完整将对个人权益造成不利影响。

五、以“告知-知情-同意”为核心的个人信息处理规则

“告知-同意”这一个人信息处理规则,在全国人大常委会的《决定》《网络安全法》《消费者权益保护法》以及《民法典》等法律中均有规定。事实上,个人信息保护法不仅是确立了以“告知-同意”的个人信息处理规则,而是构建了以“告知-知情-同意”为核心的个人信息处理规则体系。

应当指出,个人信息处理者“告知”的目的是为了确保被告知者的充分“知情”,只有被告知者在充分知情的前提下才能自愿、明确地作出决定。为此,个人信息保护法第十四条明确规定:“基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。”由此,个人信息保护法构建了以“告知-知情-同意”为核心的个人信息处理规则。

2022年7月,江苏苏州相城网安部门在对苏州某科技有限公司检查时发现,该公司开发运营的某小程序在收集用户申请基因检测个人信息时,未向被收集者明示处理个人信息的方式、种类及保存期限等,在存储、传输个人基因检测报告等敏感信息时未采取必要的安全技术措施,涉嫌处理个人信息未告知并征得个人同意和不履行个人信息安全保护义务。对此,苏州相城网安部门依据《中华人民共和国个人信息保护法》第13条、第17条、第51条和第66条规定,对该公司予以行政警告处罚并责令限期改正。

六、敏感个人信息的认定与保护规则

《民法典》第一千零三十四条的三款:“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”因此,个人信息保护法没有对自然人的隐私信息做出专门规定,而是将个人信息分为敏感信息和非敏感信息,并设专节设置了“敏感个人信息的处理规则”。

《个人信息保护法》第二十八条给出了“敏感个人信息”的定义,即“敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。”该定义采用了“个人信息被泄露或者非法使用+危害后果+列举重要敏感个人信息”的立法技术,同时将不满十四周岁未成年人的个人信息也纳入了“敏感个人信息”给予重点保护。

《个人信息保护法》对处理敏感个人信息作出了严格的限制性规定,即在履行“告知-知情-同意”原则的基础上,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。特别是处理敏感个人信息应当取得个人的单独同意,如果法律、行政法规规定处理敏感个人信息应当取得书面同意的,应当从其规定。

七、严禁“大数据杀熟”以及为“用户画像”等涉及不当自动化决策

针对“大数据杀熟”、“用户画像”和“算法推荐”等涉及个人信息自动化决策的热点问题,个人信息保护法作出了明确规范(第二十四条):首先,个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇;其次,通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式;第三,通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。

《个人信息保护法》就个人信息处理者利用个人信息进行自动化决策重点确立了一项义务性规范和一项禁止性规定:一是应当保证决策的透明度和结果公平、公正;二是不得对个人在交易价格等交易条件上实行不合理的差别待遇。

八、明确个人信息跨境提供规则

在数字和网络时代,特别是疫情激发的非接触式经济,使得个人信息的跨境流动日益频繁,但是由于不同国家的个人信息法律制度存在差异,个人信息跨境流动的规则也有所不同。我国个人信息保护法立足我国实际,并借鉴了国际立法经验,确立了一套完善的个人信息跨境提供规则。

《个人信息保护法》第三章专章确立了“个人信息跨境提供的规则”,第三十八条的要求,个人信息处理者因业务等需要,确需向我国境外提供个人信息的,应当具备下列四项条件之:一是依照《个人信息保护法》第四十条的规定通过国家网信部门组织的安全评估;二是按照国家网信部门的规定经专业机构进行个人信息保护认证;三是按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;四是法律、行政法规或者国家网信部门规定的其他条件。

2022年9月1日,《数据出境安全评估办法》(以下称:《办法》)正式施行,《办法》第二条对数据出境安全评估做出了划分,即“数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和依法应当进行安全评估的个人信息,应当按照本办法的规定进行安全评估;法律、行政法规另有规定的,依照其规定。”根据上述规定,不是所有的个人信息出境都要进行安全评估,个人信息出境应当在符合法律法规要求安全评估条件时,才应当按照《办法》的规定进行安全评估。

《办法》第四条明确了有以下四种情形之一的,应当申报数据出境安全评估,一是数据处理者向境外提供重要数据;二是关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;三是自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;四是国家网信部门规定的其他需要申报数据出境安全评估的情形。

《个人信息保护法》对个人信息处理者跨境提供个人信息的“告知与单独同意”作出了严格的要求;对因国际司法协助或者行政执法协助,需要向境外提供个人信息的,要求依法申请有关主管部门批准,特别是对从事损害我国公民个人信息权益或者危害我国国家安全、公共利益等活动的境外组织、个人,以及在个人信息保护方面对我国采取不合理措施的国家和地区,规定了相应的限制或者禁止措施。

九、个人在个人信息处理活动中的七项权利

个人信息保护法全面构建了个人在个人信息处理活动中的权利,包括知情权、决定权(限制、拒绝和撤回权)、查阅复制权、个人信息可携带权、更正补充权、删除权、规则解释权。

1.知情同意权,收集和使用公民个人信息必须遵循合法、正当、必要原则,且目的必须明确并经用户的知情同意;2.决定权,有权限制、拒绝或撤回他人对其个人信息的处理;3.查阅复制权,个人有权向个人信息处理者查阅、复制其个人信息;4.个人信息移转权,个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径;5.更正补充权,个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充;6.删除权,在五种情形下,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除:1)处理目的已实现、无法实现或者为实现处理目的不再必要,2)个人信息处理者停止提供产品或者服务,或者保存期限已届满,3)个人撤回同意,4)个人信息处理者违反法律、行政法规或者违反约定处理个人信息,5)法律、行政法规规定的其他情形;7.规则解释权,个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。上述请求权大部分是包括排除个人信息的处理者违法侵害的消极请求权,很少有个人控制、支配个人信息的积极请求权。

根据《个人信息保护法》第五十条的规定,个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的,应当说明理由。个人信息处理者拒绝个人行使权利的请求的,个人可以依法向人民法院提起诉讼。上述规定属于个人信息权利请求权诉权行使的前置条件,即只有在申请受理和处理机制未建立、有限时间内未答复、无正当理由拒绝或机制失效等情况下,方可向法院行使诉权。

2022年,杭州互联网法院审理我国首例个人信息权利请求权诉权行使前置条件审查的典型案例,本案旨在探索信息主体行使个人信息权利时诉权的前置条件的司法审查标准,厘清《中华人民共和国个人信息保护法》第五十条与第六十九条不同请求权的适用条件,敦促不得滥用个人信息保护诉权,同时避免司法介入过多而抑制个人信息的有效传播和共享,强调个人信息处理者所应承担的权利保障义务,引导当事人直接向信息处理者或信息保护履职部门进行维权。

案情介绍:

原告杜某系某电商平台(系被告某网络公司运营)用户,并在该平台多次购买商品。某日,杜某在购物过程中,被平台发布的“好友圈好友等你开拼手气红包”字样吸引,遂点击该字样,随后页面跳出“进圈并邀请好友”的跳转链接,杜某受吸引点击进入“好友圈”。随后,杜某发现其在该平台的购物记录被自动公开并被分享到“好友圈”为其自动设定的第三人视线之下。社会交往中,朋友通过此功能看到了其购物记录的部分信息,杜某认为隐私受到了侵犯。对此,杜某曾向该电商平台咨询“好友圈”的功能。杜某认为,某网络公司在对用户个人信息处理活动中未依法保障自身的知情权和决定权,侵犯了个人信息权的合法权益,且已严重违反诚实信用原则,造成了相应精神损失,并在诉讼中明确其系依据个人信息保护法第十四条和第四十四条的规定,认为某网络公司构成对其对个人信息的处理享有知情权、决定权的侵害。某网络公司提交了关于行使个人信息权利的申请受理和处理机制路径的相关材料,并指出,杜某在用户注册时,已通过协议约定明确告知用户收集及使用用户个人信息的方式、范围及目的,并获得用户同意,且未收到杜某对其个人信息处理活动的查询申请或投诉信息,不存在侵犯个人信息权益的行为。

裁判要旨:

1. 当个人信息主体以《中华人民共和国个人信息保护法》第四章所规定的个人信息权利受到侵害或妨碍,但没有产生损害时所产生的一种“个人信息权利请求权”行使诉权,应以“个人信息处理者拒绝个人行使权利的请求”为受理前提。因个人信息流动大、使用频率高、范围广,如果直接向法院起诉,不但会造成不必要的诉累,增加个人信息处理的成本,而且可能导致诉讼频发、浪费司法资源,甚至成为恶意诉讼人滥用诉权的工具。实践中,个人信息主体根据现有法律规定,向个人信息处理者积极主张权利,应是最快捷、最便利、最有效的维权方式。

2.个人信息权利行使的落实有赖于处理者的尊重和依法履行保护义务,故《个人信息保护法》全面规定了个人在信息处理中的权利,并明确规定个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制,强化个人信息处理者的权利保障义务。只有在申请受理和处理机制未建立、有限时间内未答复、无正当理由拒绝或机制失效等情况下,方可向法院行使诉权。

十、重要互联网平台的“守门人”制度

鉴于重要互联网平台掌握海量用户数据,一旦发生信息泄露或滥用,可能导致严重后果,《个人信息保护法》专门要求其履行“守门人”角色,并承担更多责任,主要包括:1.应按照国家规定建立健全个人信息保护合规制度体系;2.成立主要由外部成员组成的独立机构进行监督;3.遵循公开、公平、公正的原则制定平台规则;4.对严重违法处理个人信息的平台内产品或服务提供者停止提供服务;5.定期发布个人信息保护社会责任报告并接受社会监督等。

2021年10月29日,国家市场监督管理总局就《互联网平台分类分级指南(征求意见稿)》《互联网平台落实主体责任指南(征求意见稿)》公开征求意见。《互联网平台分类分级指南(征求意见稿)》根据用户规模、业务种类、限制能力,将互联网平台分为以下三级:超级平台、大型平台和中小平台,其中“超级平台”指同时具备超大用户规模、超广业务种类、超高经济体量和超强限制能力的平台。其中,超大用户规模,即平台上年度在中国的年活跃用户不低于5亿;超广业务种类,即平台核心业务至少涉及两类平台业务,该业务涉及网络销售、生活服务、社交娱乐、信息资讯、金融服务、计算应用等六大方面;超高经济体量,即平台上年底市值(估值)不低于10000亿元人民币;超强限制能力,即平台具有超强的限制商户接触消费者(用户)的能力。

《互联网平台落实主体责任指南(征求意见稿)》明确了超大型平台经营者的八大主体责任,一是公平竞争的示范责任,超大型平台经营者具有规模、数据、技术等优势,应当发挥公平竞争示范引领作用;二是平等治理的责任,超大型平台经营者应当遵守公平和非歧视原则,平等对待平台自身(或关联企业)和平台内经营者,不实施自我优待;三是开放生态的责任,超大型平台经营者应当在符合安全以及相关主体权益保障的前提下,推动其提供的服务与其他平台经营者提供的服务具有互操作性;四是数据管理的责任,超大型平台经营者应当建立健全数据安全审查与内控机制,对涉及用户个人信息的处理、数据跨境流动,涉及国家和社会公共利益的数据开发行为,必须严格依法依规进行,确保数据安全;五是内部治理的责任,超大型平台经营者应当设置平台合规部门,不断完善平台内部合规制度和合规机制,响应监管部门的监管要求,并建立平台内部预防腐败机制;六是风险评估的责任,超大型平台经营者应当至少每年进行一次风险评估,重点识别、分析和评估由其提供的互联网平台服务可能引起的各种风险,并定期发布风险评估报告;七是安全审计的责任,超大型平台经营者应定期委托第三方独立机构对《互联网平台落实主体责任指南》所规定的主体责任的遵守情况进行审计,并由第三方独立机构发布书面审计报告;八是促进创新的责任,超大型互联网平台经营者应当充分利用数据、资金、人才、用户和技术等资源优势,加大创新投入,提升技术水平,组织核心技术攻关,加快技术迭代,扶持中小科技企业创新,不断激发平台经济领域创新发展活力。

十一、严格的行政和民事法律责任

为了确保个人信息处理者遵守个人信息保护之义务,严格规范个人信息的处理活动,《个人信息保护法》设置了严格的行政和民事法律责任。

《个人信息保护法》第六十六条对违法处理个人信息,或者处理个人信息未履行法定的个人信息保护义务设置了三项法律责任,一是由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;二是拒不改正的,并处一百万元以下罚款;三是对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

如果有上述规定的违法行为,且情节严重的,设置了两项更严格的法律责任,一是由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;二是对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

应当而别关注:“并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照”,这项处罚是非常严厉的。我们可以对比GDPR对违反信息披露和保护个人信息违规实施的处罚:严重违约罚款2000万欧元或全球营业额的4%(以较高者为准);轻微违约罚款 1000万欧元或全球营业额的2%(以较高者为准),比如苹果公司最近几年的收入都超过了2000亿美元,那么按照“全球营业额的4%”计算,罚金就有可能高达80亿美元。可见,我国《个人信息保护法》的处罚金额与GDPR的罚金是一个等量级的,不过GDPR对违反信息披露和保护个人信息的经济处罚责任重点强调违约罚款,特别强调了是“全球营业额”的罚款比例。

2022年7月21日,国家互联网信息办公室对滴滴全球股份有限公司依法作出网络安全审查相关行政处罚的决定。国家互联网信息办公室依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等法律法规,对滴滴全球股份有限公司处人民币80.26亿元罚款,对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。

经国家网信办查明,滴滴公司共存在16项违法事实,归纳起来主要是8个方面:一是违法收集用户手机相册中的截图信息1196.39万条;二是过度收集用户剪切板信息、应用列表信息83.23亿条;三是过度收集乘客人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条;四是过度收集乘客评价代驾服务时、App后台运行时、手机连接桔视记录仪设备时的精准位置(经纬度)信息1.67亿条;五是过度收集司机学历信息14.29万条,以明文形式存储司机身份证号信息5780.26万条;六是在未明确告知乘客情况下分析乘客出行意图信息539.76亿条、常驻城市信息15.38亿条、异地商务/异地旅游信息3.04亿条;七是在乘客使用顺风车服务时频繁索取无关的“电话权限”;八是未准确、清晰说明用户设备信息等19项个人信息处理目的。从国家网信办公布的调查的16条违法违规行为看,滴滴公司严重违反《网络安全法》《数据安全法》《个人信息保护法》,社会责任严重缺失。

未来展望:

党的二十大报告在第十一部分“推进国家安全体系和能力现代化,坚决维护国家安全和社会稳定”中强调,要“加强个人信息保护”。

我们要深入学习贯彻党的二十大精神,坚持以习近平法治思想为指导,加强个人信息保护,继续出台系列个人信息保护法配套规定,重点聚焦个人信息保护合规制度体系和标准的建设,建立个人信息收集、存储、使用、共享、转让、公开披露、删除等全生命周期的个人信息保护制度和标准体系,出台专门的个人敏感信息保护规则,制定个人在个人信息处理活动中的权利细则等。同时,要充分运用新技术新媒体开展个人信息保护领域的宣传普及力度,把个人信息保护法治教育纳入干部教育体系、国民教育体系、社会教育体系,不断提升全体公民的国家安全法治意识和个人信息保护法治素养。

法律的生命力在于实施,法律的权威也在于实施。坚持全面推进依法治国,重点就在于保证法律的严格实施,做到严格执法、公正司法、全民守法。

作者系:中国行为法学会学术委员会副主任兼网络与数据法学研究部主任、工业和信息化部信息通信经济专家委员会委员、南京邮电大学信息产业发展战略研究院首席教授、中国通信学会网络与数据法治决策咨询团队首席专家(2022年入选中国科协决策咨询专家团队建设试点名单)、网络空间治理与数字经济(长三角)研究基地主任兼首席专家、中国法学会网络信息法学研究会常务理事、上海市法学会互联网司法研究会副会长、江苏省法学会大数据与人工智能法学研究会副会长、联合国国际贸易法委员会(第四工作组)中国观察员专家团成员。