生成式人工智能场景中个人信息保护的风险、逻辑与规范

生成式人工智能的应运而生使得个人信息保护面临着日益严峻的新风险,生成式人工智能从个人信息收集、使用和生成场景中引发了信任危机,传统的个人信息自决路径已然无法适应数字时代的变革。生成式人工智能应用场景中个人信息的算法识别本质成为个人信息保护的新契机,算法对个人信息识别从因果关系转向相关关系,而个人信息流通则基于场景一致性理论建构起信息规范,使得个人信息流通具备合理性,并将个人信息流通的风险控制在信息规范的限度之下。重塑以算法可识别为核心的风险规范路径,需要建构数字守门人的二元规制机制,形成个人信息流通的外部监管规范;同时在个人信息识别流通中,对知情同意原则以信息信托义务进行补充,从而实现个人信息的内部流通机理;对个人信息流通风险基于场景化分置,将个人信息和模型算法进行分级分类,促进个人信息保护的敏捷性治理,以此实现个人信息保护和流通的平衡。     

个人信息保护的经济考量

彻底反对个人信息财产化的观点容易导致在保护人格权的激情下忽视个人信息合理市场流通在市场经济中的重要作用。事实上，个人信息合理的市场流通不仅能够提高市场效率、减少消费者被不相关信息轰炸的几率；更重要的是，合理的个人信息流通机制的构建还能够促进国际经济贸易的发展。至于个人信息财产化可能导致的社会危机，则可以通过合理设计法律制度及市场规则予以克服。     

个人信息财产化及其法律规制研究

从事实角度而言,个人信息之财产化发展已经成为信息社会中的一种不可逆转的趋势;从理论角度而言,个人信息之财产化发展亦具备相当坚实的法理基础。个人信息财产化之发展与传统民法人格利益之维护并不矛盾。通过恰当的法律制度设计,并赋予信息主体信息自决权、信息再转让限制权、撤销权、变更权以及匿名权,可以较好地平衡个人信息人格保护与个人信息自由流通的冲突。     

大数据时代个人信息法律保护路径研究

大数据容易导致个人信息保护问题的放大，人格尊严、信息自决权与知情权是个人信息法律保护的三个重要维度。个人信息作为现代人形成人格形象的重要组成部分，承载着丰富的财产利益，同时也兼具公共产品的属性。在法律解释上，个人信息的保护范围应充分考量信息主体各方的法益诉求，达到个人信息保护与利用的平衡。在法律适用上，应通过直接收集原则、目的明确原则以及保密原则等法律原则，实现法律制度与法律规则的协调统一。     

平台共治视角下个人信用保护的范式转换

党的二十大报告提出建立市场经济中的信用基础制度,加强个人信息保护的目标。平台企业参与的信用治理是中国式现代化指引下的治理创新,始终在国家顶层设计中占据重要地位。随着平台企业成为信用治理的关键枢纽,个人信用保护面临信息处理边界不清和信用制度利益失衡的困境。必须仔细探寻个人信用保护困境背后的理论根源,防止信用共享共治异化为信用管制。现行信用法律制度在权利归属、程序设计、责任机制方面均存在空白,导致个人信用仅构成一种反射利益。传统权力制约范式难以回应数字时代的个人信用保护需求,新型信息权利是解决困境的根本,数据流通规则有助于解决权利成本过高问题。应当围绕个人在信息处理活动中的权利体系,完善数据流通规则,重建个人信用保护的法律框架。首先,必须明确界定信息的敏感程度及其信用评判价值功能,并对信用领域的信息处理行为适用层次化同意规则:针对有利于信息主体的正面敏感个人信息采取单独同意与资格准入规则,适用责任规则;针对不利于信息主体的负面敏感个人信息一般采取禁易规则,基于公共利益目的除外。其次,信用领域数据流通的商业实践要求转向行为风险规制模式,实施以合同为中心的支配规则,适当运用特别规则强化个人信用保护力度。其中,平台与经济组织之间的数据流通应当在同意规则以外,增设标准合同文本、平台责任强化、证明责任分配规则三类倾斜性保护措施。平台与行政部门之间的数据流通应当确立以主体责任和救济机制为关键内容的流通秩序。     

比较视野下的数据权属立法研究

大数据背景下,数据产业不正常竞争乱象丛生,个人信息被泄露和滥用事件频发,使得数据保护与数据利用之间的矛盾日益凸显。《个人信息保护法》为数据上的人格性权利提供了法律保障,而数据的财产性权利却没有专门的法律保护。企业之间的数据财产权利该如何配置,以及数据作为新型财产该如何对其进行保护的问题仍未解决。借鉴国外经验,我国亟需构建以个人信息保护为基础,以部分数据权利财产化为主要手段的数据确权体系,完善数据领域反不正当竞争规则,促进数据流通与数据市场健康发展。     

论个人信息保护基本策略的政府选择

个人信息保护的基本策略是指国家在信息化过程中针对个人信息收集和利用应采取和建立的基本立场与保护机制。我国政府应以个人权利保护作为个人信息保护的基本立场。在此基础上,通过保护机制的选择实现促进经济发展的目的。我国应选择相加型综合机制保护个人信息。德国、美国和日本三大立法模式对全球个人信息保护立法产生了重大的影响。我国应借鉴德国统一立法模式制定个人信息保护法,在个案中承认自律规范的效力,以促进商业机构对个人信息的自律保护。     

劳动者个人信息法律保护面临的挑战及其应对

劳动者个人信息保护面临隐私权与个人信息保护二元框架、个人信息处理合法性基础、具体权利义务适用等方面的挑战。究其原因，个人信息保护法与劳动法所调整的都是具有一定支配性的不平等关系，而且其关系都兼具合作性与对抗性。二者的问题叠加使得劳动者个人信息保护不能简单套用个人信息保护的一般框架。应当坚持信义义务与实用主义原则，在兼顾用人单位人力资源管理需求的同时，要求用人单位承担企业的个人信息治理责任，为劳动者个体与集体提供安全与可信赖的个人信息处理。在制度上，应根据不同场景适用个人信息保护的相关制度，实现个人信息保护与劳动者保护的双重目标。     

个人信息自动化处理领域的个人信息保护规则

个人信息自动化处理技术能大量存储个人信息、整合诸多个人信息片断以及给第三人获取个人信息创造便利条件,属于对个人人格和财产具有较高加害危险的领域。因此,有必要在此领域引入以信息禁止原则为出发点的个人信息保护规则：原则上禁止收集、处理和利用个人信息,除非得到信息主体的同意、符合法定事由或者具有其他合法利益;收集个人信息时的目的限制了日后的处理和利用行为。另外,在这个高度危险领域,应当赋予信息主体干预信息处理过程的权利,具体包括：查询权、更正错误信息的权利、删除错误信息的权利等。我国未来的个人信息保护法应当将上述严格的保护规则限定在个人信息自动化处理行为上。     

行政法学视角下的我国个人信息保护立法初探

行政法学视角下的个人信息保护研究,具有重要理论意义与现实意义。与个人信息具有基本相同的含义并为各国立法使用的其他概念主要有个人资料、个人数据、个人隐私三种。控制行政权力、保护行政相对人的个人信息权是个人信息保护的行政法基础。行政信息公开与个人信息保护会发生冲突,其根本原因在于它们据以建立的权利基础迥异,前者是行政知情权,后者是个人信息权。个人信息保护法与行政信息公开法的关系应加以合理厘定。     

大数据时代的个人信用信息保护——以个人征信制度的完善为契机

我国个人征信制度具有鲜明的时代特征,但在个人信息保护方面不仅与欧美发达国家之间存在着明显差距,自身也面临着诸多的挑战。我国个人征信主体权利的实现,应当以权利的规范与保护为核心,建立在个人信息控制权的基础上。GDPR规则下的欧盟个人征信监管模式以及FCRA规则下的美国征信监管体系,对我国个人征信监管模式的发展具有借鉴意义。完善我国的个人征信制度,应当提升个人信息保护的立法层级,平衡个人信用信息使用与个人信息保护之间的冲突,健全个人征信主体的权利保护与救济体系,发展个人征信行业协会,促进行业自律,推动个人征信业的发展。     

数字经济时代个人信息处理的法律基础

在数字经济时代,为实现个人信息保护与利用的平衡,2021年8月20日通过的《个人信息保护法》明确将规范个人信息处理活动作为立法目的之一,并围绕其具体构建个人信息处理制度.个人信息处理的合法性事由不仅包括知情同意,还可涵盖法律、行政法规规定的其他情形;而敏感个人信息一经泄露或非法使用即会产生侵害权利的高度风险,其处理应受到严格限制.应在解释论上进一步完善个人信息处理制度,构建知情同意的动态信息披露机制,完善个人信息处理的合法性事由,确立"原则禁止、法定允许"的敏感个人信息处理原则,从而奠定数字经济时代个人信息处理的法律基础.     

个人信息权二元利益保护

个人信息权是信息主体对于自身个人信息所享有的权利,该种权利除了体现信息主体的人格尊严外还囊括了相应的经济利益.个人信息权利的保护包舍着对人格利益与财产利益的双重保护,二者缺一不可.当前学界对于个人信息权二元利益的保护存在多种保护路径,但均存在不合理之处,并且会破坏现有法律体系的架构.因此,可以在现有法律体系下,依靠侵权法保护路径对个人信息权利进行全面救济.     

数字经济时代个人信息处理的法律基础

在数字经济时代,为实现个人信息保护与利用的平衡,2021年8月20日通过的《个人信息保护法》明确将规范个人信息处理活动作为立法目的之一,并围绕其具体构建个人信息处理制度.个人信息处理的合法性事由不仅包括知情同意,还可涵盖法律、行政法规规定的其他情形;而敏感个人信息一经泄露或非法使用即会产生侵害权利的高度风险,其处理应受到严格限制.应在解释论上进一步完善个人信息处理制度,构建知情同意的动态信息披露机制,完善个人信息处理的合法性事由,确立"原则禁止、法定允许"的敏感个人信息处理原则,从而奠定数字经济时代个人信息处理的法律基础.     

论疫情防控中个人信息保护——以CoviD-19突发公共卫生事件应急为视角

CoviD-19疫情引发的特别重大突发公共卫生事件中,个人信息在有效预防和及时防控疫情中发挥了非常重大的作用,但是也出现了一些个人信息泄露和侵权的问题。因此,需要平衡个人信息收集处理与个人信息保护。第一,在疫情防控中个人信息收集,应当明确与个人数据的不同,不能简单用保护网络数据规则保护个人信息;与《民法总则》私法规范基于知情合意收集个人信息不同,无需个人同意,且个人必须如实提供个人信息。同时,个人信息收集主体对涉及个人隐私等敏感信息得保密或去敏化处理。第二,在疫情防控中个人信息处理,遵从统一领导原则和奉行属地原则,以维护公共健康利益为目的对个人信息进行处理利用,分离敏感信息,由专门职能部门对个人信息使用及时公布;严格遵守最小比例原则,将使用范围控制在使用目的所必需的范围内。第三,《传染病防治法》《突发事件应对法》《突发公共卫生事件应急条例》等法律法规对疫情防控中个人信息收集处理规定的内容过于抽象、操作性差,《网络安全法》不能代替个人信息保护的立法,需要制定统一的《个人信息保护法》,根据公开透明原则、比例原则、个人信息安全管理原则、以私权为中心兼顾公共利益原则,建立完善个人信息保护法律制度。     

敏感个人信息行政许可的公法效用、体系难题与法治完善

敏感个人信息的法律保护，正在成为法学界讨论的热点命题。而《个人信息保护法》第32条则为敏感个人信息的处理提供了一种全新的路径：行政许可。该路径体现出了明显的公法效用：补足了敏感个人信息的行政法保护，强化了敏感个人信息公共风险预防作用，拓宽了敏感个人信息的救济途径。然而，敏感个人信息的行政许可路径在我国也面临着一系列的体系性难题：告知同意规则与行政许可的形式冲突、充分必要规则与行政许可的价值冲突、意思自治规则与行政许可的程序冲突等。因此，为了完善敏感个人信息的法治保护，我国应当明确行政许可的敏感个人信息判断标准及其优先效力，创设行政许可的具体条件以及限制性措施，并以行政许可承诺制来抑制意思自治规则。     

公共属性视角下个人信息保护的思路转变与制度完善

基于“个人自治”的私法保护路径已经无法满足大数据时代下个人信息保护的新要求。数据时代下共享社会的有机性、个人信息标识性以及国家社会治理的需求性共同塑造个人信息的公共性,由此生成维护个人信息公共利益、预防个人信息风险、规制个人信息处理规则的公法保护路径,弥补了传统个人信息私法保护路径的单一性、有限性、扩张性缺陷。但公法保护路径仍存在法理依据不明、个人信息专责保护机构缺失、信息保护节点导向性不足等问题。为完善个人信息保护公法规范体系,提出以基本权利作为公法法理依据设立个人信息保护专责机构,建立事前、事中、事后一体化保护机制,以加快形成我国公私并行的个人信息法律保护体系。     

论个人信息的法律保护

在世界主要国家已就个人信息进行专门立法保护的背景下,我国个人信息保护研究的薄弱以及个人信息保护法律的空白既不利于我国公民基本权利的保护,也不利于我国经济的发展及其与全球经济的互动。加强个人信息保护的研究,明确个人信息法律保护制度的立法模式、内容和保护机制,制定符合我国国情又与国际接轨的高水平个人信息保护法刻不容缓。     

论个人信息财产权的独立性

关于个人信息财产权与人格权的关系,目前学界有"一元论"和"二元论"两种不同观点。个人信息财产权具有可转让性,与人格权的人身专属性有明显区别,应当独立确认个人信息财产权。个人信息财产权可以独立行使,形成"个人信息人格权-个人信息财产权-个人信息使用权"的权利层次,有利于保障个人信息商业利用行为中各权利人合法利益的实现。不同类型个人信息对人格的"外在性"意义不同,对个人信息财产权进行独立保护,有利于真正实现人格尊严保护与信息自由的价值平衡。因此,只有对个人信息财产权采取独立确认、独立行使、独立保护的二元模式,才能保障个人信息通过市场进行最有效率地配置,促进信息时代个人信息商业利用的有序进行。     

特定行业中个人信息保护问题探讨

信息社会里,调和个人信息流动与个人信息保护的问题已引起世界各国的高度关注.通过对大众传播、征信行业和医疗机构三个特定行业中的个人信息保护问题的案例分析,对个人信息保护立法问题作了思考:保护个人信息安全是个人经济生活、社会互动的基础,对个人信息的立法必将推动整个信息化法律体系的建设与完善.国家应在吸收国外个人信息保护经验的基础上,加快中国的个人信息保护立法进程,消除立法藩篱,促进信息流动与信息保护的和谐发展.