大数据背景下个人信息处理行为的法律规制——以个人信息处理行为的双重外部性为分析视角

大数据背景下个人信息处理行为既引发数据安全风险等负外部性，也会带来分享经济价值实现等正外部性，"大数据悖论"现象揭示了双重外部性成因。基于"外部性内在化"原理赋予信息主体以个人信息权并赋予数据控制者以大数据财产权虽有助分别规制其双重外部性，但网络大数据背景下其双重外部性规制彼此交互影响而面临两难困境。法经济学关于"损害之相互性"理论证立了基于"风险导向理念"规制个人信息处理以破解其两难困境的经济逻辑。大数据产业发展有赖个人信息处理的"外部性外部化"而实现分享经济。法经济学关于"公地喜剧"理论证立了基于"外部性外部化"规制个人信息处理而满足大数据产业发展需要的经济逻辑。大数据背景下个人信息处理的规制有赖从"压制型法"到兼及"回应型法"的理念转换，从"外部性内在化"兼及"外部性外部化"的机制并举，从数据资源权利配置兼及数字技术权力干预的措施协同，实现大数据产业创新与个人信息安全的有机平衡。     

个人信息侵权风险性损害的证成与认定

个人信息侵权损害源于个人信息权益或者其他人身、财产权益遭受侵害，损害的新型特征及复杂样态引发了救济难题。囿于传统损害观念无法回应信息社会风险治理的现实需要，个人信息侵权风险性损害（未来损害风险的增加、风险预防成本、风险引发的焦虑）在依据传统侵权损害理论寻求救济时面临困境。化解个人信息侵权风险性损害救济难题既需要理论支撑，亦需要方法论指引。风险性损害的可赔偿性因风险符合损害的质的规定性（法律上不利益的本质属性）与量的规定性（符合特定法律标准），是大数据时代实现侵权法多重功能的客观需要且符合法律体系逻辑推演结果而得以证成。风险性损害认定可以动态系统论为利益衡量的方法论基础，"实质性风险标准"和"合理性标准"构成动态系统论分析框架中的基础评价，个人信息类型及数量、信息处理目的、方式、持续时间、风险预防措施采取情况和影响后果等是动态系统论分析框架中的要素，在具体个案中应综合衡量相关要素并结合相应法律标准作出判断。     

个人信息保护的法律问题研究

随着科技的不断创新和发展,人类已经步入信息社会,不管是政府部门还是非政府部门在进行各种活动时都会收集、储存大量的个人信息,但是中国目前个人信息保护方面的法制建设相对落后,个人信息泄露现象日益严重。在分析我国个人信息保护相关立法现状的基础上,借鉴欧盟、美国、日本等国家和地区关于个人信息保护的法律制度,明确了信息主体对个人信息享有的权利属性,规范了信息处理者的个人信息处理行为,肯定了在保护个人信息的同时应兼顾信息流通。     

个人信息保护的权利基础探析

个人信息保护本质在于践行公平信息实践原则,秉承利益衡量理论,贯彻保护利用并举。比较国际社会的立法模式,欧美趋同于"积极确权+行为规范"的保护模式。中国单一的"行为规范"模式暴露出权利基础缺位的制度性弊端。继《民法总则》后,《民法典》"隐私权与个人信息保护"专章未完成个人信息权的续造。《个人信息保护法》出台后,"根据宪法,制定本法"的表述使个人信息保护的宪法位阶明确。国家尊重和保障人权,公民的人格尊严不受侵犯,公民的通信自由和通信秘密受法律的保护,为基本权利范畴的个人信息保护提供了宪法规范基础。在确立个人信息保护基本权利的概念表达时,应与权利内涵保持一致。数字时代的个人信息保护除应延续传统立法所强调的侵害防御机制外,更应关注个人信息的积极利用,以及基于人格自由发展所要求的对个人信息财产性利益的保护。那么,采用"个人信息权"的概念表述,确认个人信息之于个人利益的实质价值,赋予个人对其个人信息享有完整权利形态,内含个人信息受法律保护的基本要求,也为权利内容的细化留有空间。如此,可在宪法"个人信息权"的统合下,以人格尊严及其自由发展为核心,通过发挥基本权利的主观防御权功能与客观价值秩序功能,在公、私法领域实践国家保护义务,分别形成私法上以客体支配导向,保障个人信息自决的具体人格权,与公法上以行为规制导向,保障个人实质参与的程序性权利集合。而作为基本权利的个人信息权唯有落实到个人可具体主张法律保护与救济的民事权利时才有赋权之意义。基于此,检视《民法典》中个人信息所属的"民事权益"已具备升级为"民事权利"的充分条件。区别于一般人格权、隐私权等属性,个人信息权在我国民事权利体系中可确定为具体人格权。以民法典的原则性规范,人格权法的独立权属定性,个人信息保护法的权利体系构建,可渐次实现个人信息权从顶层设计到全面布局的逻辑推演。     

论人工智能领域个人信息安全法律保护

人工智能时代的个人数据和信息支撑着人工智能系统的运行，个人信息在当下的重要性和具有的价值已不言而喻。个人信息的识别要素包括"可识别性"和"可固定性"，人工智能领域的个人信息在此基础上呈现出不同形式，包括被"智能物"收集的个人信息和被智能系统分析得出的个人信息。而人工智能在不同情形中侵犯个人信息，其侵权主体在现行法律的规定下难以判定。"智造时代"，人工智能严重威胁着个人信息的安全。因此，在人工智能时代到来的同时，更应当对人工智能领域中的个人信息安全问题提供有效的法律保障。     

个人信息查阅权的法理基础及实现路径

个人信息查阅权是数字时代矫正信息主体和信息处理者之间不对等状态的重要权利，其法理基础可以追溯到信息自决理论、正当程序原则和权力不对称关系理论。在个人信息权利束中，个人信息查阅权处于基础性地位，是更正补充、删除权等的行使前提。然而在实践中，由于权利实践成本过高、身份验证存在泄露风险、权利客体范围仍不明确以及权利行使的负外部性导致个人信息查阅权的实现存在困境。以信义义务为保护框架，结合正当程序原则，个人信息查阅权是集法律维度与技术维度于一体的重要矫正工具，其实现应以“多方参与、协同合作”为理念，共同推进权利的实现。具体而言，信息查阅权可通过系统设计增强其可操作性，通过对信息查阅权的行使方式、行使期限以及权利限制等进行细化，保障权利实现的可操作性，以期从根本上保证信息主体的合法权益。     

大数据时代个人信息被遗忘权法理辨析——基于欧美隐私自主与言论自由博弈视角

个人信息被遗忘权是在欧美隐私自主与言论自由的博弈中产生和发展的。基于文化传统、历史缘由、现实考量等原因,一些欧美国家虽然认识到大数据时代个人信息被遗忘权对于人权保护的重要作用,但各国对个人信息被遗忘权的法理逻辑取向并不相同,欧盟针对大数据时代隐私保护策略明确赋予互联网用户个人信息被遗忘权,而崇尚言论自由的美国并未将个人信息被遗忘权认同为普遍法律权利。大数据时代个人信息被遗忘权法理逻辑的再定位,应当立足于在隐私自主与言论自由博弈的衡平中探寻价值理念上的交集,协调"公益"与"私益"的冲突,坚持"目的和约定优先"原则,规范相关权利的空间布局。     

网络与大数据时代的隐私权

隐私一般指个人免于被打扰和干预的权利。它是流动社会的个体性得以发展的必要条件。隐私权是一种随着技术的发展而变迁的一种开放性与扩充性的权利赋予,并在不同的法律文化背景中被视为一种基本的个人权利或人权。信息隐私是隐私在信息时代的新发展,信息隐私权指个人拥有控制或限制他人获悉或披露个人信息的权利。在网络与大数据时代,信息隐私的保护建立在对个人数据的规制之上。在不同的规制架构下,个人许可与数据使用者的责任担当日益受到重视,它们是提升消费者对信息服务信心必不可少的前提。     

平台共治视角下个人信用保护的范式转换

党的二十大报告提出建立市场经济中的信用基础制度,加强个人信息保护的目标。平台企业参与的信用治理是中国式现代化指引下的治理创新,始终在国家顶层设计中占据重要地位。随着平台企业成为信用治理的关键枢纽,个人信用保护面临信息处理边界不清和信用制度利益失衡的困境。必须仔细探寻个人信用保护困境背后的理论根源,防止信用共享共治异化为信用管制。现行信用法律制度在权利归属、程序设计、责任机制方面均存在空白,导致个人信用仅构成一种反射利益。传统权力制约范式难以回应数字时代的个人信用保护需求,新型信息权利是解决困境的根本,数据流通规则有助于解决权利成本过高问题。应当围绕个人在信息处理活动中的权利体系,完善数据流通规则,重建个人信用保护的法律框架。首先,必须明确界定信息的敏感程度及其信用评判价值功能,并对信用领域的信息处理行为适用层次化同意规则:针对有利于信息主体的正面敏感个人信息采取单独同意与资格准入规则,适用责任规则;针对不利于信息主体的负面敏感个人信息一般采取禁易规则,基于公共利益目的除外。其次,信用领域数据流通的商业实践要求转向行为风险规制模式,实施以合同为中心的支配规则,适当运用特别规则强化个人信用保护力度。其中,平台与经济组织之间的数据流通应当在同意规则以外,增设标准合同文本、平台责任强化、证明责任分配规则三类倾斜性保护措施。平台与行政部门之间的数据流通应当确立以主体责任和救济机制为关键内容的流通秩序。     

个人信息权二元利益保护

个人信息权是信息主体对于自身个人信息所享有的权利,该种权利除了体现信息主体的人格尊严外还囊括了相应的经济利益.个人信息权利的保护包舍着对人格利益与财产利益的双重保护,二者缺一不可.当前学界对于个人信息权二元利益的保护存在多种保护路径,但均存在不合理之处,并且会破坏现有法律体系的架构.因此,可以在现有法律体系下,依靠侵权法保护路径对个人信息权利进行全面救济.     

大数据时代个人信息的行政法保护分析：内涵、困境与路径选择

大数据时代,我们要明确区分个人信息与个人资料、个人隐私、个人数据的内涵。通过对个人信息行政法保护理论依据与现状的分析,可以发现我国个人信息保护存在监管不力等现实困境。对此,我们应采取提高个人信息保护意识、制定个人信息保护法、建立国家个人信息数据库、引导行业自律等对策,以应对大数据时代的挑战。     

公共卫生事件中的个人信息保护

新冠肺炎疫情发生在大数据时代背景下,除了公共利益与个人信息权益之间原本就存在着张力之外,大数据时代联防联控的要求进一步增加了个人信息被侵犯的风险。文章以新冠肺炎疫情防控为视角,分析了公共卫生事件中个人信息保护应遵循的三个原则:绝对公益原则、比例原则、正当程序原则。并提出了公共卫生事件中个人信息保护的具体措施。在此基础上尝试构建公共卫生事件中的个人信息保护制度:明确保护的规范化路径、保护机构以及个人信息被侵犯之后的救济途径。     

网络社会个人信息侵权问题研究

随着信息社会中各种个人信息侵权案件的大量发生,传统民事法律将个人信息置于隐私权之下的保护模式已越来越不能满足人们对个人信息利益保护的要求。个人信息侵权符合民事侵权行为的法律构成要件,因此,应将个人信息权确立为一种新的民事权利,而且应在遵循合法原则、告知原则、安全和完整原则和利益平衡原则基础上完善与个人信息保护相关的法律制度,建立包括辅助侵害责任和代理责任制度和信息侵权惩罚性赔偿制度在内的法律法规。     

个人数据损害的类型及其确定

依告知同意原则构建的个人数据保护制度面临着过度收集、擅自披露与滥用等问题的严重挑战。公权保护路径存在监管力度、范围及效力的局限性,而传统侵权法上的损害观念架空了数据主体的私法救济权利。因此,为保障数字经济的健康发展,必须扩张侵权法上损害的含义。法律上可予赔偿的个人数据损害应延及两类新型损害：数据主体遭受次生损害的风险,以及社会分选歧视、数据监控、自动化决策等造成的人格利益减损。在确定具体赔偿数额时,为解决风险与人格利益减损所产生的经济量化与举证责任之困境,《个人信息保护法》应采用知识产权法中广泛适用的法定赔偿制度。     

识别与再识别:个人信息的概念界定与立法选择

大数据时代,数据已成为社会生产和经济发展的关键要素,个人信息在提高政府决策水平、企业精准营销、社会管理创新等方面具有巨大的潜在利用价值.纵观全球,以欧盟为代表的个人信息保护单行立法模式成为当前世界各国的主流做法.国际社会在个人信息的界定上基本形成了以可识别性为核心判定标准的共识;但个人信息界定的动态性和场景性不仅带来了司法认定上的困难,也使企业在匿名化处理问题上无所适从.充分借鉴国外立法,以加强个人信息权顶层设计为核心,通过事前同意、事中风险评估和事后个案认定机制来弥补个人信息界定的固有缺陷,是提升中国未来民法典人格权编和个人信息保护法科学性的应有之义.     

大数据时代疫情防控中的信息披露与隐私保护

新冠肺炎疫情防控中,大数据技术被广泛应用。疫情信息的公开提高了疫情防控工作的有效性,但频发的隐私泄露事件也暴露了疫情信息披露与隐私保护之间的问题。大数据时代隐私的范围已经被扩大化,为公益目的个人应当接受对其隐私权的限制,但是这种限制应该是合法、适度的。新冠肺炎疫情防控中,个人隐私保护面临着知情同意规则失灵、公共利益与个人隐私利益相冲突、公众知情权和个人隐私权相冲突等困境。为保护个人隐私,必须严格规制疫情信息披露行为,首先要遵循相关法律原则保证其合法性,其次要保障公众的知情、同意和监督权保证其透明化,最后必须严格落实隐私侵权责任制度,严守隐私保护的最后一道法律防线。     

大数据时代个人数据利用与保护的均衡——“资源准入模式”之提出

在大数据时代,传统的人格权、财产权两种个人数据保护路径不仅无法为个人隐私提供实质性保障,而且已成为制约数据利用的重要掣肘。借助经济学上的公共物品概念可以发现,所谓平衡个人数据的利用与保护实际上就是如何合理圈定数据流转范围的问题,应采用兼顾个人数据利用与保护的“资源准入模式”：第一,只有具备数据安全保障能力的企业才能收集、使用个人数据,且个人数据只能在适格企业范围内流转;第二,被收集后的个人数据以可逆转的方式在适格企业范围内成为公共物品;第三,应匹配相应的私权规则、激励规则、行政监管手段,并对接统一的数据资源平台。