我国公民个人信息刑法保护范围研究

我国公民个人信息的刑法保护范围模糊不清,造成司法实践的困惑。界定公民个人信息刑法保护范围应遵循刑法的谦抑性原则、权利保护与公民个人信息流通相协调原则,以及法益保护原则。建议采用新限制说对刑法所保护公民个人信息中的信息内涵与主体范围进行具体界定。     

非法获取个人数据犯罪的法益分析及处罚限定

个人信息权益、数据权益、信息管理秩序、数据安全秩序，是大数据时代下刑法保护的新兴法益。侵犯公民个人信息罪保护个人信息权益，非法获取计算机信息系统数据罪保护数据权益，二者都应作为个人法益保护。一方面，侵犯公民个人信息罪中“同意”要件的规范化构造，以刑法对个人信息的保护程度为基础，在因“同意”而产生的合理预期范围内由信息主体承担信息社会的风险。另一方面，以私法上个人数据确权理论为依据，非法获取计算机信息系统数据罪的对象应包含个人数据所承载的数据控制者的数据权益，处罚范围取决于个人数据上的企业投入及合法获取。非法获取个人数据的行为，可能构成侵犯公民个人信息罪与非法获取计算机信息系统数据罪的想象竞合。     

个人信息保护的权利基础探析

个人信息保护本质在于践行公平信息实践原则,秉承利益衡量理论,贯彻保护利用并举。比较国际社会的立法模式,欧美趋同于"积极确权+行为规范"的保护模式。中国单一的"行为规范"模式暴露出权利基础缺位的制度性弊端。继《民法总则》后,《民法典》"隐私权与个人信息保护"专章未完成个人信息权的续造。《个人信息保护法》出台后,"根据宪法,制定本法"的表述使个人信息保护的宪法位阶明确。国家尊重和保障人权,公民的人格尊严不受侵犯,公民的通信自由和通信秘密受法律的保护,为基本权利范畴的个人信息保护提供了宪法规范基础。在确立个人信息保护基本权利的概念表达时,应与权利内涵保持一致。数字时代的个人信息保护除应延续传统立法所强调的侵害防御机制外,更应关注个人信息的积极利用,以及基于人格自由发展所要求的对个人信息财产性利益的保护。那么,采用"个人信息权"的概念表述,确认个人信息之于个人利益的实质价值,赋予个人对其个人信息享有完整权利形态,内含个人信息受法律保护的基本要求,也为权利内容的细化留有空间。如此,可在宪法"个人信息权"的统合下,以人格尊严及其自由发展为核心,通过发挥基本权利的主观防御权功能与客观价值秩序功能,在公、私法领域实践国家保护义务,分别形成私法上以客体支配导向,保障个人信息自决的具体人格权,与公法上以行为规制导向,保障个人实质参与的程序性权利集合。而作为基本权利的个人信息权唯有落实到个人可具体主张法律保护与救济的民事权利时才有赋权之意义。基于此,检视《民法典》中个人信息所属的"民事权益"已具备升级为"民事权利"的充分条件。区别于一般人格权、隐私权等属性,个人信息权在我国民事权利体系中可确定为具体人格权。以民法典的原则性规范,人格权法的独立权属定性,个人信息保护法的权利体系构建,可渐次实现个人信息权从顶层设计到全面布局的逻辑推演。     

个人信息法律保护路径分析

个人信息权是一项基本的人权。目前,中国对个人信息保护不容乐观,特别在云计算环境下,个人信息被盗用、滥用现象极其严重。个人信息保护问题本身跨越了宪法、行政法、刑法和民法等法律部门的界限,如果仅仅从某个部门法的角度观察它难免会顾此失彼。中国应该制定一部统一的个人信息保护法,确立科学的基本原则,准确界定个人信息法律关系的主体制度,明晰个人信息法律关系的客体制度及其对象,同时构建合理的个人信息权利救济制度。     

个人信息权的法益与性质的审视与再界定

我国个人信息保护制度正在快速探索与不断完善之中,但迄今为止尚未对个人信息权的法益与性质等基本问题予以明确,这为理论界的探讨与解释留下了巨大的空间,但目前理论界观点已较为明显地与个人信息保护实践相脱节,将个人信息权置于民事权利体系下将弱化其应有功能,不利于个人信息权益的保护与信息化社会的稳定快速发展.个人信息权与民事权益...     

个人信息自动化处理领域的个人信息保护规则

个人信息自动化处理技术能大量存储个人信息、整合诸多个人信息片断以及给第三人获取个人信息创造便利条件,属于对个人人格和财产具有较高加害危险的领域。因此,有必要在此领域引入以信息禁止原则为出发点的个人信息保护规则：原则上禁止收集、处理和利用个人信息,除非得到信息主体的同意、符合法定事由或者具有其他合法利益;收集个人信息时的目的限制了日后的处理和利用行为。另外,在这个高度危险领域,应当赋予信息主体干预信息处理过程的权利,具体包括：查询权、更正错误信息的权利、删除错误信息的权利等。我国未来的个人信息保护法应当将上述严格的保护规则限定在个人信息自动化处理行为上。     

个人信息权二元利益保护

个人信息权是信息主体对于自身个人信息所享有的权利,该种权利除了体现信息主体的人格尊严外还囊括了相应的经济利益.个人信息权利的保护包舍着对人格利益与财产利益的双重保护,二者缺一不可.当前学界对于个人信息权二元利益的保护存在多种保护路径,但均存在不合理之处,并且会破坏现有法律体系的架构.因此,可以在现有法律体系下,依靠侵权法保护路径对个人信息权利进行全面救济.     

个人信息侵权法保护的价值与理据新论——基于大数据悖论的分析视角

为有效应对信息科技发展引致的个人信息保护和信息产业发展的矛盾冲突，必须创新优化个人信息侵权法保护的制度设计，肯定个人信息受法律保护的同时又限制信息主体的排他性控制权，制衡"数据权力"以抑制个人信息处理者的恣意和滥权，谋求信息时代人权保护以及为信息产业内置发展空间的"双赢"。基于大数据透明化悖论、权力悖论、身份悖论的视角，个人信息处理事实上同时存在正负效应双重外部性，这决定了个人信息法律保护不能仅依赖"基于权利的方法"，还应直面大数据时代面临的认知和结构困境，并"基于风险的方法"对个人信息的法律保护进行路径重构。大数据悖论决定了个人信息侵权法保护的价值取向不能简单化、绝对化，其实质是要求在信息处理者秘密搜集处理信息与个人主张信息处理透明化、信息处理者的数据特权与个人对信息权利的"让渡"或"牺牲"、信息处理者识别个人身份与个人主张身份隐私保护等博弈关系中求得优解。为此，个人信息侵权法保护的价值既要定位于保护公民个人的人格尊严，保障数字时代人权，又要衡平信息有序流动、跨境交易以及信息产业发展中的各方利益。大数据悖论非但不应成为个人信息权利保护、政府信息治理权力、信息产业发展间"非零和博弈"的"共赢"目标之障碍，作为源流之诱因反而要求个人信息侵权法保护的价值不仅定位于救济信息主体遭受损害的权利和筑牢个人信息权利的边界，还在于制约公权力可能对个人信息的侵犯，对信息业者利用个人信息予以明确规范并提供"负面调整"的方向警示。个人信息侵权法保护的理据也因此不仅限于人权保护理论，还应从经济分析理论、危险控制理论、营业收益风险理论、企业社会责任理论等多维视角进行深度审视，籍以考索个人。     

个人信息查阅权的法理基础及实现路径

个人信息查阅权是数字时代矫正信息主体和信息处理者之间不对等状态的重要权利，其法理基础可以追溯到信息自决理论、正当程序原则和权力不对称关系理论。在个人信息权利束中，个人信息查阅权处于基础性地位，是更正补充、删除权等的行使前提。然而在实践中，由于权利实践成本过高、身份验证存在泄露风险、权利客体范围仍不明确以及权利行使的负外部性导致个人信息查阅权的实现存在困境。以信义义务为保护框架，结合正当程序原则，个人信息查阅权是集法律维度与技术维度于一体的重要矫正工具，其实现应以“多方参与、协同合作”为理念，共同推进权利的实现。具体而言，信息查阅权可通过系统设计增强其可操作性，通过对信息查阅权的行使方式、行使期限以及权利限制等进行细化，保障权利实现的可操作性，以期从根本上保证信息主体的合法权益。     

论个人信息权的权利结构——以“控制权”为束点和视角

个人信息权是信息主体依法对其个人信息所享有的支配、控制并排除他人侵害的特殊人格权。从支配与控制的语义考察、个人信息本身的特点与保护需求出发,以个人信息的共享为逻辑起点,着眼于个人信息法律关系的分析,个人信息权应当以“控制权”为权利束点来演绎其权利外延,并具有个人信息自决、管理、许可、禁止和收益等权能,以全面保护个人信息上的人格利益。     

隐私权保护的民法转向与刑法因应

隐私权是重要的人格权,必须立法保护。在我国《民法典》编纂前,已经初步形成以部门法为核心的隐私权保障体系。《民法典》沿用《民法总则》的保护模式,将隐私权从名誉权中脱离出来,与个人信息权并列为独立一节。民法对隐私权保护的转变直接影响到刑法的隐私权保护。在刑法中,隐私权的独立法益地位尚未呈现,涉及隐私权法益的保护采取依托于名誉权、个人信息权等法益的间接保护,可能导致隐私权法益保护的不周延和错位。鉴于民法承认隐私权的独立地位和刑法隐私权间接保护的困境,隐私权的刑法保护应着眼于风险控制。刑法需要探寻隐私权直接保护的新路径,以便构建我国隐私权全面保护体系。     

新刑事诉讼法中个人信息保护的检视与路径探索———基于传统和互联网两种样态的考察

侵害个人信息的违法行为在信息技术和商业利益驱动的双重作用下大量发生。以新刑事诉讼法条文为基础，论题从积极保护与消极保护相结合、概括保护与具体保护相结合、一般保护与特殊保护相结合、刑事诉讼四阶段保护相结合等四个层面对刑事诉讼保护个人信息进行了规范性分析和归纳。刑事诉讼法律规范具体设计的疏漏、公权力对个人信息权界限仍不明晰、个人信息保护与司法公开之张力以及责任追究的缺位等是检讨所在。文章试图以刑事诉讼法中存在个人信息权利为基点来提供刑事诉讼法保护个人信息的简要模式与注意事项。     

大数据时代个人信息法益刑法保护的应然转向——以规制非法使用个人信息为重点

我国《刑法》第253条之一侵犯公民个人信息罪规定的行为类型仅限于非法获取、出售或提供个人信息代表的转移行为,没有将非法使用个人信息行为纳入规制范围,造成刑事规制出现漏洞,体现了将个人信息自主片面地理解为转移自主、忽视使用自主的法益认识缺陷,进而仅以防范非法转移个人信息为入罪逻辑,使得个人信息法益刑法保护不周延。当前个人信息已然成为网络犯罪中的关键要素,非法使用个人信息现象愈演愈烈,侵犯公民个人信息犯罪已经逐渐形成"提供者—中间商—非法使用"的完整黑色产业链,各环节分工明确、组织严密,通过非法使用个人信息实施违法犯罪活动,进而变现牟利是诱发个人信息泛在泄露以及违法交易激增的根源,刑法单纯打击制裁非法转移个人信息行为只能是治标之策,导致侵犯个人信息犯罪刑事治理效果欠佳。随着进入大数据深度挖掘应用阶段,数字经济蓬勃发展背景下根植于个人信息的人身性、财产性、公共性等复合法益属性的使用价值日益凸显,使得个人信息使用自主相较于个人信息转移自主更具核心法益地位,个人信息刑法保护的重点理应从转移环节转向使用环节。非法使用个人信息属于下游行为,对公民的人身财产安全以及社会管理秩序造成极大损害或威胁,与处于上游的非法转移个人信息行为相比,非法使用个人信息行为具有更为严重的法益侵害性,表现为法益侵害的根源性、直接性和精准性。因此,刑事立法应以需求端为导向,有必要在遵循刑法谦抑性原则的前提下合理确定非法使用个人信息行为的入罪要件与出罪事由,即以未征得信息主体同意且情节严重为危害行为,以非经匿名化处理的个人信息为行为对象,以符合个人信息合理使用的情形为违法阻却事由,既从源头上规范个人信息使用行为,又限定非法使用个人信息行为刑事入罪的边界,在保护个人信息安全的同时促进个人信息有序自由流动、合理有效利用,平衡信息主体的使用自主利益与信息处理者的正当使用利益,为数字经济高质量发展提供强有力的刑事法治保障。     

平台共治视角下个人信用保护的范式转换

党的二十大报告提出建立市场经济中的信用基础制度,加强个人信息保护的目标。平台企业参与的信用治理是中国式现代化指引下的治理创新,始终在国家顶层设计中占据重要地位。随着平台企业成为信用治理的关键枢纽,个人信用保护面临信息处理边界不清和信用制度利益失衡的困境。必须仔细探寻个人信用保护困境背后的理论根源,防止信用共享共治异化为信用管制。现行信用法律制度在权利归属、程序设计、责任机制方面均存在空白,导致个人信用仅构成一种反射利益。传统权力制约范式难以回应数字时代的个人信用保护需求,新型信息权利是解决困境的根本,数据流通规则有助于解决权利成本过高问题。应当围绕个人在信息处理活动中的权利体系,完善数据流通规则,重建个人信用保护的法律框架。首先,必须明确界定信息的敏感程度及其信用评判价值功能,并对信用领域的信息处理行为适用层次化同意规则:针对有利于信息主体的正面敏感个人信息采取单独同意与资格准入规则,适用责任规则;针对不利于信息主体的负面敏感个人信息一般采取禁易规则,基于公共利益目的除外。其次,信用领域数据流通的商业实践要求转向行为风险规制模式,实施以合同为中心的支配规则,适当运用特别规则强化个人信用保护力度。其中,平台与经济组织之间的数据流通应当在同意规则以外,增设标准合同文本、平台责任强化、证明责任分配规则三类倾斜性保护措施。平台与行政部门之间的数据流通应当确立以主体责任和救济机制为关键内容的流通秩序。     

政府数据开放背景下个人信息知情同意权的行政法架构

政府数据开放的趋势对于个人信息保护的要求越来越高。个人信息保护中的知情同意权是公民个人信息自决权的核心,是政府数据开放制度中必不可少的内容。知情同意权最早起源于医疗领域,是医学界保护接受测试者的基本规范,这一规范从医学伦理转化而来,最终在法律中得到确认。个人信息保护中的知情同意,要求任何主体在收集和利用个人信息时应当如实、全面地告知当事人具体情况,并征得当事人同意后方可对信息进行处理,包含具体同意和概括同意。个人信息知情同意权在行政法领域的特殊性表现为:双方主体地位不平等,知情同意权更多地表现为知情权,个人信息泄露影响巨大。同时应当构建如下规则:知情同意不能构成责任免除;概括同意和具体同意并行;剔除具有可识别性的信息,且不能恢复;制定大数据使用规范,避免出现大数据歧视。     

独联体成员国示范个人资料法研究

在新的立法潮流和技术背景下通过的独联体成员国示范个人资料法，更具有与时俱进的时代特色。示范法不像立法纲要那样具有对成员国直接的约束力，而是试图通过其优良的立法质量来吸引成员国自主将其整体或部分引入本国法律中，其本身具有相当高的质量和有益的创新。个人资料流通被放置在更加重要的位置上，成为与个人资料处理同等重要（甚至是更重要）的个人资料法调整对象，"个人资料流通的调整"和"个人资料流通的国家调整"成为独立部分，较之于欧盟的个人资料保护立法而言，不失其创新性；规定了具有特别重要的意义且更为详尽的个人资料保护有关的立法概念，对于正确调整有关个人资料的法律关系极其重要；个人资料主体的权利群与处理者（持有者）的义务群，是个人资料立法的两大重要内容，保持了与世界上先进个人资料立法的同频共振，处理者（持有者）的义务按照个人资料流通和处理的阶段与行为类型进行了细致缜密的义务群的设置；个人资料流通的国家调整的职能和角色更加突出，突出"公法与私法保护并重的综合性保护"，特别是关于个人资料主体权利保护机关的法律地位及其权利和义务，作为国家调整手段的个人资料软件技术保护，作为国家调整手段的个人资料的封存与销毁，及对违反个人资料立法的责任。