个人生物信息安全的法律保护——以人脸识别为例

随着人脸识别等生物识别技术的广泛应用,个人生物识别信息作为一种特殊的个人敏感信息,所蕴含的个人信息权利应受到法律保护.在此基础上,应当确立风险预防及利益平衡原则以保障个人生物信息安全.在生物信息安全法律领域,我国现有的私法和公法保护模式都难以实现体系化保护.我国应以网络安全法、生物安全法、个人信息保护法、数据安全法等综合性立法为契机,通过相关行政法与刑法的衔接协调,构建个人生物信息安全的法律法规体系.     

生物特征识别信息商业应用的中国立场与制度进路——鉴于欧美法律模式的比较评价

针对生物特征识别信息的唯一识别作用及其经济价值,法律应合理平衡公民数据安全与生物技术产业发展、公共管理效益、个人生活便利之间的多方利益冲突,并同时促进生物识别技术的创新发展。由此,在个人信息分级分类保护制度建设中,生物特征识别信息有其专门的规则构建路径,包括规范文件形式、文本整体框架、具体规制对象、技术保护要求、技术工具监管等方面。关于生物特征识别信息的收集与应用的具体规则设计,我国制度建构进路应围绕四个维度探讨:一是法律规范体系的结构化安排;二是规制框架的样本参照方案;三是立法内容的多维规制层面,涉及企业安全责任、市场交易规范、信息主体权利等方面;四是提前的司法救济模式。     

个人生物识别信息的公益诉讼保护路径优化

生物识别信息作为敏感的个人信息,深度体现个人的生理和行为特征。数字时代下,个人信息保护与经济价值产出之间产生对立,同时个人信息权益逐渐由个体私益向社会公益交织演变,构建优化多维的公益诉讼保护路径、维护个人基本权利符合发展要义。坚持行政公益诉讼为主,发挥行政机关守护社会公共利益的第一顺位作用,民事公益诉讼为辅,拓宽多元主体参与守护公共利益通道,创新刑事附带民事诉讼,发挥传统检察优势力量与新时期救济手段相结合,完善公益诉讼救济内涵路径、增设惩罚性规则等体制机制,符合我国司法信息保护能动治理之路。     

个人生物识别信息的民法保护构想

目前，我国没有对公民个人生物识别信息进行专门性立法，在民事法律法规中也没有对个人生物识别信息的内涵和外延作出明文规定。在我国现有法律规范中，涉及个人生物识别信息这一范畴，多是直接反映在对个人信息概念的界定中；在司法实践中，对于个人生物识别信息中存在的问题，一般采取将其纳入个人信息法律保护中加以规范。我国这种个人生物识别信息的立法保护模式，与欧盟等国家和地区有关立法规定很相似，是把个人生物识别信息视作个人信息的特有类别加以保障。但随着现代生物识别信息技术的日益发达，把个人生物识别信息从个人信息中划分出来，已成为未来的立法趋势。应当构建和完善个人生物识别信息权利保障体系，构建和完善个人生物识别信息义务规范体系，完善个人生物识别信息民事救济路径，以进一步规范我国个人生物识别信息法律保护体系。     

论生物特征识别系统个人信息采集处理授权同意机制

当前生物特征识别技术面临个人信息被盗窃、泄露、滥用及系统被侵入两大安全风险.为此,我国《民法典》确立了个人信息采集处理授权同意机制,一定程度上保护了生物特征安全.但由于生物特征识别系统的复杂性和多样性,不同系统的安全性能和个人信息保护性能差异较大;同时,普通的被识别人对识别系统的安全风险难以鉴别,导致以同意机制为基础的个人信息法律保护框架显得十分无力.因此,我国应从技术和法律上对系统的安全性能和个人信息保护性能进行分级规制,并制定包括生物识别信息在内的个人信息保护的专门法律规范,以便进一步完善授权同意机制.     

已公开生物特征信息保护中单独同意规则的功能转向及实现

生物特征信息是兼具人格属性和财产“基因”的敏感个人信息,涉及识别和分析两个不同的处理行为及信息权益。生物特征信息一旦公开,受保护的权益重心就由识别利益转化为分析利益,法律风险已经由识别风险转化到分析风险。《个人信息保护法》中的单独同意规则注重收集时的识别利益,忽视了后续处理中的分析利益,因而面临失灵的风险。单独同意规则的功能应以信息安全生命周期为基础实现其由控制到防范的功能转换,从而契合已公开生物特征信息的复杂特性及人格自由发展的动态化保护需求。     

公民生物识别信息的刑法保护

人脸识别的广泛应用在推动社会发展的同时产生了公民个人信息被非法收集、人脸识别黑产泛滥等问题.生物识别信息具有直接识别性、不可更改性、易采集性、法益特殊性以及不可匿名性等特征.现行刑法在生物识别信息保护方面存在侵犯公民个人信息罪立法及司法解释滞后、无法有效规制非法使用公民生物识别信息行为等问题.可通过完善侵犯公民个人信息...     

论个人信息法律体系下的基因信息保护

《民法典》和《个人信息保护法》构成我国个人信息保护的基本法律体系。然而，高度敏感、特异性显著的基因信息之于人格尊严关系重大，亟待特殊制度保护，但抽象概括的现行法缺少针对性，无法全面因应个人基因信息权益保护及社会实践的制度需求，有必要开展专门立法，构建民法典、个人信息保护法、基因信息法三层制度体系。基因信息保护应以基因信息隐私自决与安全为先，兼顾流动利用；以自然人基因权益为本，衡平多重利益；实行法律与伦理共治，融合宽容及责任原则。据此，在基因信息类型化及可处理性分级的前提下，立足通用个人信息法律制度，明晰个人基因信息权益，厘清特定的目的、充分的必要性和严格保护措施等处理前置条件，重点围绕基因信息处理告知同意，开展差异化制度设计，构造非完全行为能力人同意、以书面为原则的同意方式、同意的无条件撤回、基于基因信息类型的同意豁免事由等特殊规则。     

个人信息类型化研究

个人信息可依三种不同标准作类型化划分.依能否直接识别特定自然人的标准可分为直接个人信息与间接个人信息.一切需要借助其他信息确定特定自然人身份的信息均属间接个人信息.依敏感度的标准可分为敏感个人信息与一般个人信息.敏感个人信息应包括医疗及健康信息、性生活及性取向信息、身份识别号码、个人生物识别信息.依信息主体身份的标准可分为普通人的个人信息与特殊群体的个人信息.特殊群体的个人信息指的是未成年人、公众人物、公务员、企业高级管理人员及控制人的个人信息.     

个人生物识别信息的公益诉讼制度优化研究

个人生物识别信息公益诉讼制度建立在信息的公共性基础之上,能有效改善信息个人的弱势处境,缓解公权力与私权利的内在张力。公益诉讼制度介入到个人生物识别信息保护中,其法律依据是《个人信息保护法》第70条。当前,在适用上还存在着适用条件不具体、起诉主体顺位难确定、举证责任未合理分配以及不同公益诉讼关系未厘清等问题,需要细化具体适用条件、明晰起诉主体顺位、公平分配证明责任以及整体把握不同公益诉讼的衔接与配合,从而保障个人生物识别信息公益诉讼制度在实践中有效落实,实现平衡信息主体间的利益,维护信息公共安全的目标。     

《个人信息保护法》的亮点与创新

《个人信息保护法》是一部全面保护个人信息的专门性立法.作为公法和私法的混合,该法的私法部分作为《民法典》的特别法,进一步丰富和发展了《民法典》的个人信息保护规则.《个人信息保护法》在总结《民法典》等的立法经验基础上,借鉴了欧盟《一般数据保护条例》等比较法的经验,形成了诸多的亮点和创新之处.包括进一步扩张了个人信息的保护范围,构建了以"告知—同意"为核心的个人信息处理规则,对自动化决策的全面规范,严格保护敏感个人信息,确认个人在个人信息处理活动中的各项权利,强化个人信息处理者义务,规范国家机关的个人信息处理行为以及个人信息跨境流动,完善了侵害个人信息的法律责任,这些内容都充分彰显了这部法律的时代性、国际性和本土性.     

个人信息处理规则的法律经济学分析

个人信息处理规则是信息保护制度的风向标,反映了制度在信息利用与保护之间的价值偏向。实现个人信息保护与利用的衡平,本质上是追求效益最大化的资源配置问题。法经济学中的边际效益理论以及静态博弈范式有助于对个人信息处理规则的法律效果作出鉴证。通过边际成本收益分析,信息处理规则中对主体、处理者以及信息的分类正视了不同情形下帕累托最优点的差异,提高了资源的配置效率。在静态博弈视角下,信息处理规则的确立规避了信息主体与信息处理者双方消极对立的囚徒困境,促进了信息要素市场的流通。针对实践中存在的一般个人信息保护过度以及敏感个人信息保护不足的问题,应通过动态化信息分类、督促企业数据保护合规等方式予以解决。     

个人信息:从财产属性到公共利益属性——基于信息产权制度构成理论的比较研究

大数据时代个人信息的商业价值不断凸显，在个人信息人格权基础上明确个人信息财产属性并以此确立个人信息财产制度的观点层出不穷。然而，个人信息具有不同于知识产权客体的特殊属性，劳动财产理论、人格权财产理论以及经济激励理论等信息产权构成理论并不能成为构建个人信息财产制度的基础。产权制度注重个体支配而淡化了个人信息的公共利益属性，不仅难以激发企业的内在驱动力，还限制了信息主体人格自由发展，并由此催生新型不平等关系。个人信息保护应侧重于公共利益考量，涵盖“公共人格属性”和“公共产品属性”两部分，前者为人格属性的升华，后者则为财产属性的本质。公共利益属性内涵下的个人信息保护应以正义原则为指引配置权益，回归法律保护弱势群体利益的正义价值。一方面，法律应当在信息主体人格权益优位保护的前提下确保信息企业无偿且平等地获取个人信息，事前个人信息保护可类比环境治理，以技术规范信息处理方式；另一方面，为修复公众对数字环境之信任，个人信息事后司法救济应采取民主途径，并将信息处理者的制造权益风险与其举证责任相关联。群体性信息主体的权益保护与信息处理者的信息利用二者并非处于对立面，个人信息的公共利益属性也表明，双方可据之促成共善发展。     

论被遗忘权的本土化移植

随着信息技术的高速发展，公民的个人信息和个人隐私极易遭受滥用和侵害。以达成数据主体对于个人信息的主动自决意愿为内驱动力的被遗忘权，欧美发达国家因符合其政治需求和价值主张而广泛确立。虽然被遗忘权权利本质亦与我国社会发展实际相契合，且国内的立法司法实践也为其培育了移植基础，但被遗忘权在我国的本土化移植仍然面临诸多障碍，如信息技术瓶颈、商业风险增加、现有制度衔接低效等。从厘清被遗忘权基本概念、建立专门信息保护机构、构建商业化个人信息储存及使用机制、明确被遗忘权救济渠道与规则以及升级信息保护技术等方面为切入点，寻求被遗忘权本土化移植的解决思路。     

个人信息的类型化分析及区分保护

大数据时代充分利用个人信息的迫切需求,对各国个人信息保护法提出了巨大挑战.个人信息的人格属性和财产属性、个体性和社会性的矛盾统一于个人信息的利用行为中.然而,各种个人信息识别信息主体的程度各有不同,在社会交往活动中的媒介作用不同,与人格尊严的紧密程度亦不同,实践中不应当对个人信息采取单一的保护模式.对于同时满足间接识别性、社会性强、非敏感性三个特征的个人信息,与信息主体的人格尊严联系较为疏远,不必采取传统的人格权保护模式,采取财产权益一元保护的模式即可.而对于符合直接识别性、个体性强、敏感性任何一个特征的个人信息,应当采取二元保护模式,即人格权益和财产权益共同受到保护的模式.     

我国网站个人信息保护的合规性考察——基于九家网站隐私政策的文本分析

信息技术变革与数据价值应用所引发的信息安全问题,促使个人信息保护成为行业发展所面临的重要议题.制定隐私政策是当前信息保护领域网络服务提供者自律规约的主要途径,结合法律规范框架下的十一项要求指标,通过对九家网站隐私政策的一般及特殊规定、信息收集与使用、信息保存与管理以及信息共享、转让与公开披露四大方面内容条款的合规性考察发现,当前,我国网站隐私保护政策虽渐趋完善,但存在着明显的自主规约匮乏与法律规制依赖困境,自律效力依然堪忧.我国个人信息保护问题的解决,有赖于制定专门的个人信息保护法,并根据行业特性实施相应的个人信息保护特别法;设立专门的个人信息保护监管机构,完善保障个人信息安全的协调管理机制;加强行业自律管理,提升个人信息保护的行业自律规约能力,通过法律规制与行业自治的有效协同.推进我国个人信息保护的规范化进程.     

个人信息保护与垃圾短信的法律规制

垃圾短信的泛滥已非“专项治理活动”所能解决，对垃圾短信的规制需要更加综合性和体系性的法律措施。现行法律规范主要从“内容”界定来规制垃圾短信的方式存在缺陷，应考虑以个人信息保护为切入点，结合“行为”的角度来规制垃圾短信。具体而言，应在个人信息保护立法的框架下，规定个人信息合法收集者的保密义务、非法盗取者和非法传播者的法律责任等内容。同时，加强垃圾短信治理专门法规的建设，对运营商、SP等主体进行规范；并且在特别法立法完成之前，积极利用普通法的一般保护手段对个人信息进行保护，遏制垃圾短信的泛滥。     

个人信息保护:作为基本权利的解读

个人信息保护将个人信息视作权益的传统模式已难以胜任保障个人信息安全的要求,有必要将个人信息上升到宪法维度中的基本权利予以保护。基于基本权利视角下构建个人信息权,对于数字时代的人权保障更具深远意义。确立以人的尊严和自由为核心的个人信息权,需要国家承担相应的保护义务,具体而言,首先应当加强个人信息权作为基本权利的地位,并健全相应的个人信息保护法律体系;其次,使专门机构在个人信息保护中依法履责,发挥作用;最后,注重司法机关作为"最后防线"的地位,完善个人信息权的司法救济渠道。