学术期刊用户画像个人信息保护：风险与规制——以《个人信息保护法》为视角

用户画像技术在学术期刊智能化应用中为用户提供精准知识服务，但用户画像中个人信息的大规模应用加剧了用户信息收集、用户标签侵权以及算法歧视、算法偏见等风险，本文基于法律视角剖析学术期刊用户画像个人信息和敏感个人信息界定、个人信息主体权利认定、算法自动化决策透明度与可解释性的实现、个人信息处理者特殊保护义务的规定、个人信息跨境交流管理等，提出了学术期刊用户画像个人信息保护法律规制策略。     

风险控制理念下我国个人信息匿名化处理的法律规制

数据匿名化为数据的流通和共享提供了重要的技术助力，技术的易变性同时也对数据匿名化处理的法律规制带来诸多障碍。在当前的技术背景下，我国个人信息⁽(1))匿名化面临身份识别标准不确定、身份再识别可逆转等风险，个人信息匿名化处理过程中所产生的技术风险给个人隐私利益带来极大挑战。目前以结果导向为目标的规制手段在个人信息匿名化规制方面缺乏灵活性，难以缓释技术带来的不确定性风险。平衡好个人隐私利益、企业经济利益以及社会公共利益之间的冲突是个人信息匿名化处理的终极目标。风险控制导向理念的优位在理念层面上摆脱了数据保护的现实诉求与理想价值判断之间的束缚，替代结果导向理念，为信息处理者内源性的数据合规与自律监管、信息主体外向性的权利保护与数据使用提供了较为有效的弥合思维进路，为个人信息匿名化处理的法律规制提供新的可能。以风险控制理念为核心的个人信息匿名化法律规制架构以实现数据的有效性与实用性之间的动态平衡为目标，围绕降低个人信息匿名化处理过程中的风险进行法律机制设计，通过课以信息处理者相应的信息处理风险评估义务实现对个人信息匿名化规制的良善治理。在无规范性文件作理据支撑的前提下，个...     

电子商务环境下消费者个人信息保护危机与应对——以新制度经济学为视角

电子商务环境中,经营者常利用其与消费者之间的非均衡博弈关系擅自处理后者的个人信息,这不但侵害了消费者的人格利益,而且阻碍了个人信息资源的高效配置。我国为促使经营者尊重消费者对个人信息的排他性产权,应强制经营者在处理个人信息前履行征得消费者许可等义务,进而改变这种不均衡状态。而立法者为了优化规制效果,宜立足于商业伦理与网络治理等因素构筑的特殊国情并重点借鉴欧盟的成例,凭借作为公共选择的立法活动将前述义务予以明确化。但刚性的法律规范又会不当限制经营者与消费者的决策自由,并阻碍个人信息的有效利用,对此,我国还需要参照美欧做法对经营者义务规则的适用设定例外情形。     

AI换脸技术的应用风险及法律规制

AI换脸源于深度伪造技术,涉及大量人脸信息,兼具数据属性。AI换脸的逼真度高、操作门槛低,获得了广泛的应用。但是该技术的滥用导致了较高的著作权、人格权等私权利侵犯风险、信息安全风险和犯罪防控风险。目前域外对AI换脸技术的法律规制主要存在分散式立法规制和统一立法规制两种模式。我国尚未建立系统化的规制体系,今后应当从以下方面进行完善：一是明确以区分应用场景前提下的合理使用为基本规制原则;二是构建事前、事中规制体系,明确研发者的技术伦理和制作者的标识义务、声明义务,保障信息主体的知情权和同意权,加强传播平台的内容审查义务;三是构建以数据、算法为核心的监管体制;四是严格民事法律责任追究,加大刑法制裁力度。     

论网络购物消费者个人信息的立法保护

网络购物消费者个人信息具有信息范围的广泛性、信息易获得性和商品性三个特征。目前我国网络购物消费者个人信息保护立法存在缺乏系统、专门的法律、个人信息权利未建立、法律义务规定不明确、法律责任设置不合理等缺陷。借鉴国外相关经验,通过出台个人信息保护立法,建立个人信息权利体系、明确信息掌控者的义务、调整法律责任的比重等,能够有效加强网络购物消费者个人信息保护。     

个人信息泄露通知制度中自由裁量的规制研究

我国《个人信息保护法》第57条首次确立了个人信息泄露通知制度,规定了个人信息处理者在发生信息泄露后向有关部门与个人履行通知的义务。个人信息的泄露往往给个人信息主体带来持续性、衍生性的危害,涉及人身、财产安全以及精神损害等方面,故而及时有效的泄露通知能够更好地保护个人信息权益。在涉及履行个人信息泄露通知的义务上,处理者被赋予了一定的自由裁量空间,即采取措施能够有效避免相关危害的,可以不通知个人。基于此,该自由裁量主要存在两个挑战:一是损害了泄露通知引发的声誉制裁有效性,企业在预见到泄露通知带来的巨大商业风险与社会责任时,往往选择内部"消化"处理已经发生的泄露事件,破坏声誉制裁的运行机制;二是个人信息处理者与行政机关之间的信息不对称以及基于显性监管指标的"规制捕获",导致企业以最容易实现合法外观的方式来满足监管要求,降低合规成本。关于如何规制该制度的自由裁量空间以及如何构建监管部门与商业组织之间协调机制的讨论并未停止。妥当地规制"自由裁量"空间,是个人信息泄露通知制度有效运行的关键。通过借鉴欧美等国个人信息泄露通知制度中关于触发标准、阈值分布等方面令人瞩目的立法政策,基于行政法中第三方义务理论框架分析了企业声誉制裁体系及其正当性基础和自由裁量的适用条件;同时,从戴维斯提出的"结构化自由裁量"角度切入,提出我国个人信息泄露通知制度在细化完善方面应当注重自由裁量的常态化监督,持续性介入个人信息处理者在自由裁量方面的审核;在泄露通知方式上采取双层化处理,即原则上发现信息泄露应当立即通知监管机构,而对于个人信息主体的通知设定较高触发阈值;在显性监管指标方面进行协同性弱化,主要职责部门在收到自由裁量决定后与其他相关部门协同审查,弱化显性监管指标概念;在泄露通知有效性方面,强化通知的具体内容设计以及发送通知的方式,严格规范泄露通知所能包含内容的范围,禁止任何商业推广危害通知的可阅读性。     

委托处理个人信息的私法规制

委托处理个人信息是信息流动、共享与利用的必然选择。《个人信息保护法》第21条专门为委托处理个人信息提供了规范基础,填补了《民法典》《电子商务法》《网络安全法》等规范空白,但就该条的规范内容如何解释适用,对委托处理私法规制的目的、对象及方式等要素的具体展开,仍需藉由解释论予以完善。由于司法实践中,信息处理者通常会援引其与第三人之间存在合同或其他交易安排,系由他人造成了损害而与自身的处理行为无关,给信息主体的权益保护带来了挑战,这构成了委托处理私法规制的核心。作为对委托处理进行私法规制的基础论证,委托处理的法律结构不同于共同处理,信息处理者与受托人之间为从属关系,信息处理者决定了处理的目的、方式,受托人只能按信息处理者的指示处理个人信息。为了更好地保障信息主体的合法权益,委托处理关系内部合同应当包含必备条款以确保受托人合法处理数据,且信息处理者可以检查受托人是否遵守这些规定。相较于《个人信息保护法》第20条由内部主体约定各方的权利义务,第21条第1款详细列举委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等事项,是值得肯定的立法选择。结合《个人信息保护法》第21条第2款以及域外法的通常规则,受托人应当承担依指示处理、服务结束后的返还(或删除)、保密三项法定义务。此外,在转委托、告知同意以及适当化任命与监督上不能适用委托合同的一般规则,其目的在于确保受托人正确、合适地履行职责,遵守个人信息保护法规。对于各方的责任承担,《个人信息保护法》第69条规定了损害赔偿责任,同时,依靠《民法典》规范实现体系拓展,使信息主体的权益救济不仅可以通过人格权编加以解决,还可以通过侵权责任编进行兜底保护。然而,《个人信息保护法》第21条并未规定信息处理者与受托人之间如何进行责任划分,构成法律漏洞。为消解委托处理中责任主体不明的救济困境,应当通过连带责任规则实现信息主体的权益救济。具体而言,在漏洞填补上可以借助共同危险行为理论,类推适用《民法典》第1170条的规定,除非能够证明损害确实是由对方引起,否则要求信息处理者与受托人就同一处理中的损害承担连带责任。     

个人信息刑法保护的理性思考

从侵犯个人信息犯罪之立法变革可以看出对此类犯罪的刑法规制缺乏统一的前置法、刑法条文表述不准确、处罚行为范围较狭隘、救济程序不完善等诸多问题。为合理规制侵犯个人信息类犯罪,建议通过加快统一前置法的立法进程、删除刑法条文中不恰当的表述、明确刑法对此类犯罪的处罚范围、完善法律救济程序、建立国际间合作等方式,加强对个人信息的全面保护。     

试析我国个人信息保护现状及完善对策

个人信息保护是在信息化过程中产生的问题,在国外有关国家和地区早已掀起了个人信息立法的浪潮。鉴于此。为促进我国市场经济、电子商务与电子政务的健康发展以及推动我国信息化法律体系建设等,同时立足于我国个人信息法律保护现状,我国应着重从个人信息法的制定、行业自律性的加强以及正确处理信息的自由流动与合理保护等几个方面来进一步完善我国的个人信息法律保护体系。     

自动化决策中数据处理者的合理分析义务

以立法形式规定数据处理者的合理分析义务，是预防算法风险、推进算法规制的一条基本路径。基于元规制理念的合理分析义务设置，既是一种过程性规制，也是一种目的性规制。该义务要求数据处理者既应保证分析过程正当，还要确保分析结果合理。合理分析义务目前分散规定在我国个人信息保护法律体系中，按照自动化决策流程可将其类型化为三项内容：分析前的注意义务、分析过程中的控制义务、分析后的审查义务。合理分析义务的规范取向是防止算法歧视，公平对待公民个人或数据主体。数据处理者违反此种义务将面临行政责任和民事责任。当下主要的问责途径是惩治“大数据杀熟”“信息茧房”和“社会分选”现象。