俄罗斯个人资料法研究

俄罗斯个人资料法以在《自动化处理个人资料时保护自然人欧盟公约》为基础,以保护包括隐私权在内的处理个人资料时人和公民的权利与自由为宗旨,适用于包括非自动化个人资料处理在内的所有个人资料处理.其立法的最鲜明特色在于,以最大篇幅规定了个人资料处理人的义务,以此保障个人资料主体权利的实现,同时,明确规定了俄罗斯公民个人资料必须在俄罗斯境内保存的本地化保存要求,在作为法人的处理人内部设立个人资料专员制度.在国家监督与监察方面,创设了非独立的行政机关模式的个人资料主体权利保护主管机关,而非追随欧盟所倡导的独立的个人资料保护机关模式.     

企业信息安全法律治理

企业信息安全法律治理可有效保障国家网络与信息安全，捍卫个人权益，促进产业在"安全"中得以"发展"。我国相关立法中规定的企业安全保护义务多为静态性、措施性的管理性义务，不足以防御多变的安全风险；企业安全法规遵从激励机制缺失，合规动力不足；企业信息安全文化的普及力度欠缺。解决以上难题，应基于"法律治理"思维，将"法人治理"定位为企业信息安全法律治理的重心。在制度设计层面，适当借鉴美国企业信息安全法律治理在立法监管与企业自治中的有益经验，以信息安全法律治理的基本原则为指引，充分发挥立法激励作用，鼓励所有企业建立强制与自愿相结合的信息安全"法人治理"结构，对企业董事、高官人员的信息安全义务之履行予以充分重视，增强企业信息安全文化建设，凸显安全文化的价值。     

论农民体育权利法律保障与实现的国家义务

城乡二元体制下，农民体育权利保障和实现面临农民缺乏体育意识和体育权利观念、经济能力有限、时间难以保障、场地和器材严重不足、缺少体育专业指导人才等困境。从法律上审视这些困境，一是全民健身观念尚未成为体育立法的基本指导思想；二是就法律性质上看，体育法仍然是体育管理法，法律规定并没有明确农民体育权利保障的国家责任。应该从根本上转变国家体育发展导向，确立民生体育观念，同时，在农民体育权利保障上改革管理法模式，树立服务型法观念。农民体育权利内在地产生了对国家义务的需求，农民体育权利保障和实现是国家的绝对义务。应该按照国家义务“三层次”分析方式，对农民体育权利保障和实现的国家义务归纳为“尊重的义务”、“保护的义务”和“实现的义务”三个层次，以把握分析和理解农民体育权利保障和实现的国家义务的基本结构，从国家义务的视角有利于切实保障农民体育权利的实现。     

个人资料保护之辩

个人资料保护是现代社会的新型课题。个人信息的准确表述应为个人资料。个人资料的权利基础是制度构建的核心问题,在学说上有两大进路:财产权说和人格权说。财产权进路又分成个人资料财产保护说和个人信息双重保护说,前者忽视了物权法定的体系障碍和人格权商业化利用的趋势,后者混淆了资料与信息、客体与利益的区别,导致了民法体系的混乱。人格权进路可分为一般人格权说、隐私权说、独立人格权说。一般人格权说是德国法的特殊现象;独立人格权说的立论基础存在瑕疵;隐私权说,特别是现代社会的信息控制权说,为个人资料保护提供了合理的解决方案。     

德国个人资料保护法简论

德国联邦个人资料保护法是大陆法系国家最有代表性的一部个人资料保护专法,它采取统一立法模式,以信息自决权为宪法基础、一般人格权为民法基础,对全部个人资料给予同等保护。经过长期的适用和反复修订,联邦资料保护法的原则和本人权利、监督机关、损害赔偿等制度,已日臻成熟,成为大陆法系其他国家个人资料保护的立法范本。     

犯罪客体新说

犯罪客体是指自身合法权利和利益遭受犯罪行为侵害的自然人、法人（单位）以及国家和社会，其基本特征是受侵害性和受救助性。犯罪客体的权利包括控告权、申诉权、自诉权、正当防卫和紧急避险权、获得赔偿权。犯罪客体的义务包括如实作证的义务、尊重国家法律和司法的义务。犯罪客体的构成条件是：享有受刑法保护的权利和利益；遭受到犯罪行为的侵害；具有特定的法律资格。自然人的犯罪客体，可以分为人身被害客体、财产被害客体。法人（单位）的犯罪客体可以分为经济权益被害客体和非经济权益被害客体。国家与社会的犯罪客体可以分为本国国家与社会和外国国家与社会的犯罪客体     

个人信息侵权法保护的价值与理据新论——基于大数据悖论的分析视角

为有效应对信息科技发展引致的个人信息保护和信息产业发展的矛盾冲突，必须创新优化个人信息侵权法保护的制度设计，肯定个人信息受法律保护的同时又限制信息主体的排他性控制权，制衡"数据权力"以抑制个人信息处理者的恣意和滥权，谋求信息时代人权保护以及为信息产业内置发展空间的"双赢"。基于大数据透明化悖论、权力悖论、身份悖论的视角，个人信息处理事实上同时存在正负效应双重外部性，这决定了个人信息法律保护不能仅依赖"基于权利的方法"，还应直面大数据时代面临的认知和结构困境，并"基于风险的方法"对个人信息的法律保护进行路径重构。大数据悖论决定了个人信息侵权法保护的价值取向不能简单化、绝对化，其实质是要求在信息处理者秘密搜集处理信息与个人主张信息处理透明化、信息处理者的数据特权与个人对信息权利的"让渡"或"牺牲"、信息处理者识别个人身份与个人主张身份隐私保护等博弈关系中求得优解。为此，个人信息侵权法保护的价值既要定位于保护公民个人的人格尊严，保障数字时代人权，又要衡平信息有序流动、跨境交易以及信息产业发展中的各方利益。大数据悖论非但不应成为个人信息权利保护、政府信息治理权力、信息产业发展间"非零和博弈"的"共赢"目标之障碍，作为源流之诱因反而要求个人信息侵权法保护的价值不仅定位于救济信息主体遭受损害的权利和筑牢个人信息权利的边界，还在于制约公权力可能对个人信息的侵犯，对信息业者利用个人信息予以明确规范并提供"负面调整"的方向警示。个人信息侵权法保护的理据也因此不仅限于人权保护理论，还应从经济分析理论、危险控制理论、营业收益风险理论、企业社会责任理论等多维视角进行深度审视，籍以考索个人。     

数据作为新兴法益的证成

《数据安全法》已于2021年6月通过，同年9月正式实施。但是，依然有很多重要问题存有争论和有待解决，其中一个就是数据能否作为一种新兴的法益获得法律保护。一项事物需要通过三维度四路径七规则的审查，才能成为刑法保护的法益；若属于新兴法益，还需要经过新兴比较维度的审查。其中，三维度是指，主体制约维度、利益规范维度和法律权衡维度。四路径是指，保护谁的利益、保护什么利益、利益为什么要保护，以及利益怎么保护等四个审查路径。保护谁的利益对应着主体制约维度，保护什么利益对应着利益规范维度，利益为什么要保护以及利益怎么保护则对应着法律权衡维度。七规则是指，从主体制约维度来看，存在以下两项规则， "保护人的利益：对人有用性的标准（规则一），保护不特定多数人的利益：不特定多数人享有的标准（规则二）" ；从利益规范维度来看，存在以下三项规则： "保护生活利益：经验实在性的标准（规则三），保护可被管理的生活利益：管理可能性的标准（规则四），保护重要的生活利益：重要利益的标准（规则五）" ；从体系权衡维度来看，存在以下两项规则，"利益发生现实侵害（危险）：侵害可能性的标准（规则六），刑法保护必要性：法益主体及其他法律难以充分保护的标准（规则七）"。在大数据时代，数据法益需要从现象观察层面推进到理论建构层面。因此，数据通过法益理论的判断规则的审查，可以成为新兴法益，具有刑法保护的正当性。《数据安全法》的出台，就是基于数据对个体、社会和国家的重要价值而作为法益保护的立法宣示。具体而言，个人数据是一种纯正的新兴法益；企业数据和国家数据则是一种不纯正的新兴法益。数据法益可以分为原始的价值性利益和派生的工具性利益。数据法益的对象内容，具体可以表现为数据的有用性、完整性、保密性和安全性。     

个人信息保护的权利基础探析

个人信息保护本质在于践行公平信息实践原则,秉承利益衡量理论,贯彻保护利用并举。比较国际社会的立法模式,欧美趋同于"积极确权+行为规范"的保护模式。中国单一的"行为规范"模式暴露出权利基础缺位的制度性弊端。继《民法总则》后,《民法典》"隐私权与个人信息保护"专章未完成个人信息权的续造。《个人信息保护法》出台后,"根据宪法,制定本法"的表述使个人信息保护的宪法位阶明确。国家尊重和保障人权,公民的人格尊严不受侵犯,公民的通信自由和通信秘密受法律的保护,为基本权利范畴的个人信息保护提供了宪法规范基础。在确立个人信息保护基本权利的概念表达时,应与权利内涵保持一致。数字时代的个人信息保护除应延续传统立法所强调的侵害防御机制外,更应关注个人信息的积极利用,以及基于人格自由发展所要求的对个人信息财产性利益的保护。那么,采用"个人信息权"的概念表述,确认个人信息之于个人利益的实质价值,赋予个人对其个人信息享有完整权利形态,内含个人信息受法律保护的基本要求,也为权利内容的细化留有空间。如此,可在宪法"个人信息权"的统合下,以人格尊严及其自由发展为核心,通过发挥基本权利的主观防御权功能与客观价值秩序功能,在公、私法领域实践国家保护义务,分别形成私法上以客体支配导向,保障个人信息自决的具体人格权,与公法上以行为规制导向,保障个人实质参与的程序性权利集合。而作为基本权利的个人信息权唯有落实到个人可具体主张法律保护与救济的民事权利时才有赋权之意义。基于此,检视《民法典》中个人信息所属的"民事权益"已具备升级为"民事权利"的充分条件。区别于一般人格权、隐私权等属性,个人信息权在我国民事权利体系中可确定为具体人格权。以民法典的原则性规范,人格权法的独立权属定性,个人信息保护法的权利体系构建,可渐次实现个人信息权从顶层设计到全面布局的逻辑推演。     

浅议证人权利及其保护制度

证人有作证的义务,也有其相应的作证权利,这种权利应当受到保护。证人权利保护具有法理依据,证人权利保护应包含经济补偿权、安全保护权、拒证权等内容,一些国家在证人权利保护方面具有较丰富的立法实践。针对我国证人保护所存在的问题,要建立完善证人经济补偿和安全保护制度,明确证人拒证权的法律地位。     

委托处理个人信息的私法规制

委托处理个人信息是信息流动、共享与利用的必然选择。《个人信息保护法》第21条专门为委托处理个人信息提供了规范基础,填补了《民法典》《电子商务法》《网络安全法》等规范空白,但就该条的规范内容如何解释适用,对委托处理私法规制的目的、对象及方式等要素的具体展开,仍需藉由解释论予以完善。由于司法实践中,信息处理者通常会援引其与第三人之间存在合同或其他交易安排,系由他人造成了损害而与自身的处理行为无关,给信息主体的权益保护带来了挑战,这构成了委托处理私法规制的核心。作为对委托处理进行私法规制的基础论证,委托处理的法律结构不同于共同处理,信息处理者与受托人之间为从属关系,信息处理者决定了处理的目的、方式,受托人只能按信息处理者的指示处理个人信息。为了更好地保障信息主体的合法权益,委托处理关系内部合同应当包含必备条款以确保受托人合法处理数据,且信息处理者可以检查受托人是否遵守这些规定。相较于《个人信息保护法》第20条由内部主体约定各方的权利义务,第21条第1款详细列举委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等事项,是值得肯定的立法选择。结合《个人信息保护法》第21条第2款以及域外法的通常规则,受托人应当承担依指示处理、服务结束后的返还(或删除)、保密三项法定义务。此外,在转委托、告知同意以及适当化任命与监督上不能适用委托合同的一般规则,其目的在于确保受托人正确、合适地履行职责,遵守个人信息保护法规。对于各方的责任承担,《个人信息保护法》第69条规定了损害赔偿责任,同时,依靠《民法典》规范实现体系拓展,使信息主体的权益救济不仅可以通过人格权编加以解决,还可以通过侵权责任编进行兜底保护。然而,《个人信息保护法》第21条并未规定信息处理者与受托人之间如何进行责任划分,构成法律漏洞。为消解委托处理中责任主体不明的救济困境,应当通过连带责任规则实现信息主体的权益救济。具体而言,在漏洞填补上可以借助共同危险行为理论,类推适用《民法典》第1170条的规定,除非能够证明损害确实是由对方引起,否则要求信息处理者与受托人就同一处理中的损害承担连带责任。     

个人信息泄露通知制度中自由裁量的规制研究

我国《个人信息保护法》第57条首次确立了个人信息泄露通知制度,规定了个人信息处理者在发生信息泄露后向有关部门与个人履行通知的义务。个人信息的泄露往往给个人信息主体带来持续性、衍生性的危害,涉及人身、财产安全以及精神损害等方面,故而及时有效的泄露通知能够更好地保护个人信息权益。在涉及履行个人信息泄露通知的义务上,处理者被赋予了一定的自由裁量空间,即采取措施能够有效避免相关危害的,可以不通知个人。基于此,该自由裁量主要存在两个挑战:一是损害了泄露通知引发的声誉制裁有效性,企业在预见到泄露通知带来的巨大商业风险与社会责任时,往往选择内部"消化"处理已经发生的泄露事件,破坏声誉制裁的运行机制;二是个人信息处理者与行政机关之间的信息不对称以及基于显性监管指标的"规制捕获",导致企业以最容易实现合法外观的方式来满足监管要求,降低合规成本。关于如何规制该制度的自由裁量空间以及如何构建监管部门与商业组织之间协调机制的讨论并未停止。妥当地规制"自由裁量"空间,是个人信息泄露通知制度有效运行的关键。通过借鉴欧美等国个人信息泄露通知制度中关于触发标准、阈值分布等方面令人瞩目的立法政策,基于行政法中第三方义务理论框架分析了企业声誉制裁体系及其正当性基础和自由裁量的适用条件;同时,从戴维斯提出的"结构化自由裁量"角度切入,提出我国个人信息泄露通知制度在细化完善方面应当注重自由裁量的常态化监督,持续性介入个人信息处理者在自由裁量方面的审核;在泄露通知方式上采取双层化处理,即原则上发现信息泄露应当立即通知监管机构,而对于个人信息主体的通知设定较高触发阈值;在显性监管指标方面进行协同性弱化,主要职责部门在收到自由裁量决定后与其他相关部门协同审查,弱化显性监管指标概念;在泄露通知有效性方面,强化通知的具体内容设计以及发送通知的方式,严格规范泄露通知所能包含内容的范围,禁止任何商业推广危害通知的可阅读性。     

论我国个人信息保护法域外效力制度的构建

个人信息保护法域外效力制度是指一国对某一法域外处理个人信息的人、物或行为实施管辖，从而将其管辖范围扩展至该国领土之外的一种法律制度，其不仅是建立在各方参与主体切实利益需求之上的制度创新，在更宏观的意义上，也是一国实现政治、经济等多元目的的法律武器。从《欧盟数据保护指令》到《欧盟通用数据保护条例》，欧盟进一步扩大法律域外效力范围，确立了以属地原则为主、效果原则为补充的管辖原则，并为多数国家所效仿，这种做法的实质是以整个欧洲市场作为筹码参与国际博弈。《美国云法案》以技术和市场占优的美国企业对全球数据的控制为筹码，通过美国企业在全球的分布将法律武器延伸至世界各地，输出美国式隐私保护标准，以最大化维护其国家利益。在尚未形成国际惯例和条约的现状下，通过国内立法进行域外效力扩张是多数国家维护数据主权并参与网络空间国际治理的共通做法。面对这一国际立法主流，我国应构建域外立法管辖和域外执法管辖并存的法律制度，进一步提升个人信息保护法域外效力制度的适用性和体系性，积极参与并主导个人信息保护法国际条约的制定，推动互联网全球治理体系变革中国方案的实现。     

数字经济时代个人信息保护的法治规范及机制构建

数字经济时代个人信息全面数据化成为日趋明显的现象，个人信息的数据价值，特别是商业价值的比重骤增，如何协调并处理相关法律主体之间的权利义务冲突和数据权力的扩张，如何保护个人信息的数据安全成为数字经济时代背景下的重要问题。个人信息的法治规范虽已基本成型，但国民经济和社会发展仍要求加强相关法律保障和救济，需要我国进一步完善相关机制的构建。这些机制应包括：通过做好数据溯源概念的延伸和拓展，强化数据溯源技术引导；借鉴西方的数据信托模式，建立静态与动态的个人信息数据信任“防火墙”；规范权力边界以破解数据权力的垄断，同时，用规范和机制的全面覆盖来筑牢个人信息数据链条的“安全屏障”，即我国应从多层次、多领域、多阶段为个人信息提供综合性法治规范，通过立法、司法和执法以实现对其协调、保护和促进之目的。     

大数据时代个人数据利用与保护的均衡——“资源准入模式”之提出

在大数据时代,传统的人格权、财产权两种个人数据保护路径不仅无法为个人隐私提供实质性保障,而且已成为制约数据利用的重要掣肘。借助经济学上的公共物品概念可以发现,所谓平衡个人数据的利用与保护实际上就是如何合理圈定数据流转范围的问题,应采用兼顾个人数据利用与保护的“资源准入模式”：第一,只有具备数据安全保障能力的企业才能收集、使用个人数据,且个人数据只能在适格企业范围内流转;第二,被收集后的个人数据以可逆转的方式在适格企业范围内成为公共物品;第三,应匹配相应的私权规则、激励规则、行政监管手段,并对接统一的数据资源平台。     

个人信息犯罪的刑法规制--以内地和澳门为比较

刑法将严重侵犯个人信息的行为予以犯罪化,表明了个人信息包含的人身特性、经济价值和社会属性的重要性。中国内地通过两部刑法修正案确立和优化了个人信息犯罪立法,澳门因深受葡萄牙立法影响而具有独特法律品格。《澳门个人资料保护法》作为澳门规制个人信息犯罪的主要依据,为澳门个人信息安全提供了专门性和体系性的法律保护。通过比较研究,内地可在立法模式、规制方式和追诉机制方面借鉴澳门的有益立法经验。