《个人信息保护法》视野下隐私权与个人信息权益的相互关系 ——以私密信息的法律适用为中心

个人信息权益究竟属于隐私权的保护范围,抑或是一项独立的权利,在理论上尚存争议.我国在隐私权和个人信息权益的保护模式上经历了从一体化保护到逐渐分离,再到《民法典》对二者进行严格区分的制度变迁.这种严格的区分保护在实践中面临个人信息的私密性检验难题、私密信息与敏感信息的关系难题、非私密信息保护力度的降低问题等.在《个人信息...     

私密信息界定的司法困境及其破解方向

《中华人民共和国民法典》关于私密信息法条竞合的适用方式未能厘清隐私与个人信息的关系，由此导致法院的裁判立场虽然呈现从一元保护到二元区分的嫁接路径，但仍未跳脱传统先验分配范式对私密信息定义的司法僵局。无论采用“私密—公开”的场域解释，抑或是“私密与非私密”内容解读，均是对私密信息主观预判的循环定义，反映出传统隐私理论的失效。美国法调整信息隐私权的学理演进与法治实践表明，主流观点转向采用更为灵活的情境完整性理论对信息隐私进行动态定义，更能适应信息流动的价值需求。有鉴于此，我国法应依次遵循确定信息参与者的群体关系、提取具体情境中的共同利益、限定信息传播的合理范围三步骤明确信息流动规范，再辅以伦理合法性规则对既有规范加以修正，从而实现对私密信息内涵的实质把握。     

论敏感信息二元同意规则的刑法构造

刑法中针对敏感信息建构同意规则的突破口在于《个人信息保护法》第32条的规定。敏感信息二元同意规则的刑法构造具备理论根据和现实基础。二元同意规则以对信息法益属性的准确厘定为前提，在信息分类的基础上通过结合一般恐惧理论对敏感信息敏感等级进行划分，最终得出针对敏感程度极高的敏感信息同意无效的结论。刑法对于高度敏感信息同意无效的情形还涉及到后续保障问题的探讨，这又可以细分为司法及立法上的双重启示。司法上的启示主要以对《刑法》第253条之一“情节严重”的解释为切入点，即对侵犯高度敏感信息行为“情节严重”的入罪判断不应当再局限于“量”的标准。立法上的启示主要以侵犯个人信息的“行为”为切入点，以《个人信息保护法》为参照进一步细化刑法中侵犯公民个人信息的行为方式，最终拟提出增设“滥用公民个人信息罪”的构想。     

委托处理个人信息的私法规制

委托处理个人信息是信息流动、共享与利用的必然选择。《个人信息保护法》第21条专门为委托处理个人信息提供了规范基础,填补了《民法典》《电子商务法》《网络安全法》等规范空白,但就该条的规范内容如何解释适用,对委托处理私法规制的目的、对象及方式等要素的具体展开,仍需藉由解释论予以完善。由于司法实践中,信息处理者通常会援引其与第三人之间存在合同或其他交易安排,系由他人造成了损害而与自身的处理行为无关,给信息主体的权益保护带来了挑战,这构成了委托处理私法规制的核心。作为对委托处理进行私法规制的基础论证,委托处理的法律结构不同于共同处理,信息处理者与受托人之间为从属关系,信息处理者决定了处理的目的、方式,受托人只能按信息处理者的指示处理个人信息。为了更好地保障信息主体的合法权益,委托处理关系内部合同应当包含必备条款以确保受托人合法处理数据,且信息处理者可以检查受托人是否遵守这些规定。相较于《个人信息保护法》第20条由内部主体约定各方的权利义务,第21条第1款详细列举委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等事项,是值得肯定的立法选择。结合《个人信息保护法》第21条第2款以及域外法的通常规则,受托人应当承担依指示处理、服务结束后的返还(或删除)、保密三项法定义务。此外,在转委托、告知同意以及适当化任命与监督上不能适用委托合同的一般规则,其目的在于确保受托人正确、合适地履行职责,遵守个人信息保护法规。对于各方的责任承担,《个人信息保护法》第69条规定了损害赔偿责任,同时,依靠《民法典》规范实现体系拓展,使信息主体的权益救济不仅可以通过人格权编加以解决,还可以通过侵权责任编进行兜底保护。然而,《个人信息保护法》第21条并未规定信息处理者与受托人之间如何进行责任划分,构成法律漏洞。为消解委托处理中责任主体不明的救济困境,应当通过连带责任规则实现信息主体的权益救济。具体而言,在漏洞填补上可以借助共同危险行为理论,类推适用《民法典》第1170条的规定,除非能够证明损害确实是由对方引起,否则要求信息处理者与受托人就同一处理中的损害承担连带责任。     

《民法典》个人信息保护规定与数据资产治理观念的协调路径

除《民法典》总则编有少量针对个人信息保护的规定外,《民法典》对个人信息保护的规定主要集中于人格权编。在实践中载有个人信息之数据的利用价值日益显现,故针对个人信息的财产属性以及数据利用在《民法典》适用语境下的解释路径成为学界与业界关注的重点之一。人格权编下个人信息保护的规定自然是从保护私主体的人格尊严出发,相关规定不涉及亦不排斥载有个人信息之数据的市场化利用;《民法典》总则编第125条及第127条规定已为数据权利保护与数据利用规范的适用除外提供空间,《数据安全法》与《个人信息保护法》的规定可藉逐渐成形的数据资产治理观念实现与《民法典》规定的协调,表彰其所内含之个人信息的财产属性,亦可避免一些涉及《民法典》适用范围的理论争议。     

侵犯公民个人信息罪刑法适用的调整和重构

司法解释有关侵犯公民个人信息罪中的个人信息的定义应同《个人信息保护法》的规定保持一致。合法获取但非法使用个人信息的行为亦应构成侵犯公民个人信息罪。侵犯公民个人信息罪是故意犯罪且相关行为应具有法益侵害具体结果。获得公民知情同意的侵犯公民个人信息行为不构成侵犯公民个人信息罪,"公民知情同意"的效力应当以《个人信息保护法》赋予公民最后一次行使同意权的效力为基准。侵犯公民个人信息罪的保护法益应为与公民人格、财产权紧密关联的个人信息自决权。司法解释对"情节严重"的认定应根据个人信息对公民个人利益影响的紧密程度以及行为人的主观动机两个方面综合考量。司法解释应采用《个人信息保护法》的分类方式,将个人信息区分为敏感个人信息和一般个人信息两种,并对侵犯公民个人信息再犯情形的构罪标准进行修改。     

个人信息保护的权利基础探析

个人信息保护本质在于践行公平信息实践原则,秉承利益衡量理论,贯彻保护利用并举。比较国际社会的立法模式,欧美趋同于"积极确权+行为规范"的保护模式。中国单一的"行为规范"模式暴露出权利基础缺位的制度性弊端。继《民法总则》后,《民法典》"隐私权与个人信息保护"专章未完成个人信息权的续造。《个人信息保护法》出台后,"根据宪法,制定本法"的表述使个人信息保护的宪法位阶明确。国家尊重和保障人权,公民的人格尊严不受侵犯,公民的通信自由和通信秘密受法律的保护,为基本权利范畴的个人信息保护提供了宪法规范基础。在确立个人信息保护基本权利的概念表达时,应与权利内涵保持一致。数字时代的个人信息保护除应延续传统立法所强调的侵害防御机制外,更应关注个人信息的积极利用,以及基于人格自由发展所要求的对个人信息财产性利益的保护。那么,采用"个人信息权"的概念表述,确认个人信息之于个人利益的实质价值,赋予个人对其个人信息享有完整权利形态,内含个人信息受法律保护的基本要求,也为权利内容的细化留有空间。如此,可在宪法"个人信息权"的统合下,以人格尊严及其自由发展为核心,通过发挥基本权利的主观防御权功能与客观价值秩序功能,在公、私法领域实践国家保护义务,分别形成私法上以客体支配导向,保障个人信息自决的具体人格权,与公法上以行为规制导向,保障个人实质参与的程序性权利集合。而作为基本权利的个人信息权唯有落实到个人可具体主张法律保护与救济的民事权利时才有赋权之意义。基于此,检视《民法典》中个人信息所属的"民事权益"已具备升级为"民事权利"的充分条件。区别于一般人格权、隐私权等属性,个人信息权在我国民事权利体系中可确定为具体人格权。以民法典的原则性规范,人格权法的独立权属定性,个人信息保护法的权利体系构建,可渐次实现个人信息权从顶层设计到全面布局的逻辑推演。     

侵犯公民个人信息罪"情节严重"中信息分级保护的结构重塑

司法解释根据刑法保护必要性与紧迫性程度的不同将个人信息划分为三个层级并设置高低有别的入罪门槛,形成了公民个人信息的分级保护模式.这种模式最能直接反映行为的危害性程度与刑法对不同类型信息的保护力度,但其亦存在第一层级要素范围过窄、第二层级认定标准单一、第三层级行为类型欠缺的弊端.因此应对现行分级保护体系予以调整与完善.具体而言,应在第一层级中增加"生物识别信息"及"与性相关的信息";将第二层级的认定标准延展至"可能导致个人受到歧视",并且增加列举个人联系方式、个人经历信息、网络关联信息等常见的信息类型;为《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第6条设置"5万条以上"的信息数量标准,使其被纳入分级保护体系并作为第四层级.     

大数据时代公民个人非敏感信息的刑法保护

大数据时代,公民个人非敏感信息日渐呈现出数据资源贡献与数据资源受害的双面脸谱,公民个人非敏感信息刑法保护的现实需求与日俱增.《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》通过确立公民个人非敏感信息整体保护规则、分类定罪规则、区别量刑规则,努力为公民个人非敏感信息刑法保护提供司法准据.当前务实应对公民个人非敏感信息刑法保护的实践困境,应聚焦个人信息权,在宏观层面对接国家大数据战略,深化公民个人非敏感信息刑法保护的法治认识,在微观层面立足定罪体系性标准,细化公民个人非敏感信息刑法保护的数量规则.     

数字经济时代个人信息处理的法律基础

在数字经济时代,为实现个人信息保护与利用的平衡,2021年8月20日通过的《个人信息保护法》明确将规范个人信息处理活动作为立法目的之一,并围绕其具体构建个人信息处理制度.个人信息处理的合法性事由不仅包括知情同意,还可涵盖法律、行政法规规定的其他情形;而敏感个人信息一经泄露或非法使用即会产生侵害权利的高度风险,其处理应受到严格限制.应在解释论上进一步完善个人信息处理制度,构建知情同意的动态信息披露机制,完善个人信息处理的合法性事由,确立"原则禁止、法定允许"的敏感个人信息处理原则,从而奠定数字经济时代个人信息处理的法律基础.     

数字经济时代个人信息处理的法律基础

在数字经济时代,为实现个人信息保护与利用的平衡,2021年8月20日通过的《个人信息保护法》明确将规范个人信息处理活动作为立法目的之一,并围绕其具体构建个人信息处理制度.个人信息处理的合法性事由不仅包括知情同意,还可涵盖法律、行政法规规定的其他情形;而敏感个人信息一经泄露或非法使用即会产生侵害权利的高度风险,其处理应受到严格限制.应在解释论上进一步完善个人信息处理制度,构建知情同意的动态信息披露机制,完善个人信息处理的合法性事由,确立"原则禁止、法定允许"的敏感个人信息处理原则,从而奠定数字经济时代个人信息处理的法律基础.     

大数据时代个人信息保护问题与法律对策

随着大数据时代的到来,大数据不仅受到企业的青睐,而且国家也逐渐开始重视。但这也给个人信息保护带来了挑战,现行的个人信息保护策略(告知与许可、信息模糊化、信息匿名化)似乎都变得不可行。在大数据时代,保障个人信息安全的着力点应聚焦于:改变个人信息收集的"个人许可模式",让数据使用者承担责任;推行新技术"差别隐私",用于保障个人信息安全;制定《个人信息保护法》,以加强互联网个人信息的保护。     

论疫情防控中个人信息保护——以CoviD-19突发公共卫生事件应急为视角

CoviD-19疫情引发的特别重大突发公共卫生事件中,个人信息在有效预防和及时防控疫情中发挥了非常重大的作用,但是也出现了一些个人信息泄露和侵权的问题。因此,需要平衡个人信息收集处理与个人信息保护。第一,在疫情防控中个人信息收集,应当明确与个人数据的不同,不能简单用保护网络数据规则保护个人信息;与《民法总则》私法规范基于知情合意收集个人信息不同,无需个人同意,且个人必须如实提供个人信息。同时,个人信息收集主体对涉及个人隐私等敏感信息得保密或去敏化处理。第二,在疫情防控中个人信息处理,遵从统一领导原则和奉行属地原则,以维护公共健康利益为目的对个人信息进行处理利用,分离敏感信息,由专门职能部门对个人信息使用及时公布;严格遵守最小比例原则,将使用范围控制在使用目的所必需的范围内。第三,《传染病防治法》《突发事件应对法》《突发公共卫生事件应急条例》等法律法规对疫情防控中个人信息收集处理规定的内容过于抽象、操作性差,《网络安全法》不能代替个人信息保护的立法,需要制定统一的《个人信息保护法》,根据公开透明原则、比例原则、个人信息安全管理原则、以私权为中心兼顾公共利益原则,建立完善个人信息保护法律制度。     

非法取得或利用人脸识别信息行为刑法规制论

人脸识别信息具备识别特定自然人身份的属性,应属于《刑法》第253条之一规定中的"公民个人信息".对于非法取得或利用人脸识别信息行为,现行刑法主要存在以下规制困境:一是尚未明确对非法获取、出售或者提供人脸识别信息的行为进行规制;二是尚未对非法存储、使用、加工人脸识别信息等可罚性较高的行为进行规制.人脸识别信息实际上可以归...     

网络环境下的个人信息保护立法

个人信息关系到人格尊严及人格自由发展,对个人信息进行保护是个人信息自决权的必然要求。由此,个人信息保护立法成为全球最为瞩目的立法运动之一,中国也不例外,数年前即开始酝酿个人信息保护立法。为此,有必要广泛参考国外的经验特别是欧盟的模式;以民法典和单行法的二元立法模式来对个人信息进行保护。为了保证立法的实效,必须针对信息和网络技术发展为个人信息所带来的挑战,提出有效的原则和措施。就此而言,中国的行政机关已开始进行探索和尝试,其中所包含的成就和不足,对未来的个人信息保护法来说都是十分有益的参考。     

论敏感个人信息在个人征信中的运用

个人征信体系运行的本质就是个人信用信息的收集、加工和传播。个人信用信息的范围非常广泛,有一些信息属于可公开程度较大的"琐细个人信息",有一些信息属于可公开程度较小的"敏感个人信息"。敏感个人信息是对社会或个人具有特殊风险,应当受到特殊保护的个人信息。包括我国在内的世界各国均对于"敏感个人信息"在个人征信中的运用作出了若干特别规定,相对限制其收集、加工和传播。但就结合个人征信原理和我国实践,还是应当尽量放宽对于所谓敏感个人信息使用的限制,在不威胁重要的、基本的个人人权或社会正义前提下,还是应当以提高预测个人信用状况的准确性为首要任务。     

针对生物识别信息的刑法保护:现实境遇与完善路径——以四川“人脸识别案”为切入点

当前生物识别信息在我国社会中的运用呈现逐年递增的趋势.生物识别信息具备本体特殊性和社会特殊性,这决定了其具备与普通公民个人信息不同的重要性,应受到刑法的特殊保护,但我国既定刑事立法对生物识别信息并未进行任何形式的特殊保护.可运用实质解释的方法,在不违反罪刑法定原则的前提下,充分利用两高《解释》第5条中第1款第10项和第2款第4项这两个兜底条款,将"侵犯生物识别信息5条及以上"认定为"情节严重",将"侵犯生物识别信息50条及以上"认定为"情节特别严重",由此降低针对生物识别信息原本的入罪和法定刑升格的数量,最终实现对生物识别信息的特殊刑法保护.     

数字时代侵害个人信息的归责原则适用——以类型化为视角

数字时代，个人信息应用范围愈加广泛，同时，个人信息侵权现象较为普遍。侵害信息呈现主体多样性、侵害方式专业性、隐蔽性等特点。通常，不同主体处理个人信息过程中可能会损害信息主体的人格权、财产权等合法权益。个人信息侵权视阈中侵权责任归责原则一概适用过错责任归责原则难谓合理。根据我国《民法典》《个人信息保护法》等法规，并结合不同类型信息处理主体、侵害不同敏感度个人信息境况，应精细个人信息侵权责任归责原则，明确不同侵权主体和侵害不同类型个人信息的侵权责任归责原则，有利于平衡个人信息保护与合理利用间的关系。     

刑事司法领域信息自决权研究

信息自决权是一项独立的人格权利，其与个人隐私权、通信秘密权等传统的隐私性权利不同。我国《民法典》确定了独立的个人信息权利，《刑法》规定了侵犯公民个人信息罪。我国刑事司法领域规定对个人信息的保密与保护义务，但缺少对干预信息自决权的前提和违法干预后法律后果的明确规范，不仅有侵害被追诉人权利的风险，而且可能导致司法实践对违法干预所获得证据的证据能力意见不一。公安司法机关在侦查犯罪过程中需要干预信息自决权时，应当遵循合法性、比例性、最后手段性与安全性原则，并采取外部审批程序、履行通知义务、促进权利人实现其信息查询权利等保障措施，同时，违法干预的侦查行为还应当受到程序性制裁。     

法秩序统一视野下“个人信息”的认定——从侵犯公民个人信息罪切入

个人信息已成为21世纪最有价值的资源之一。非法利用公民个人信息的行为不断涌现，成为当前刑事治理的重点领域。在司法实践中，混用个人信息与相关概念的现象屡屡发生，影响对侵犯公民个人信息罪犯罪构成要件的理解，也关系着刑罚的处罚边界。“个人信息”作为侵犯公民个人信息罪的行为对象，是刑民规范聚合的必然产物。因此，应当尝试在法秩序统一性原理的价值指引下解读“个人信息”概念：在形式上，以《民法典》的相关规定为基础，采取狭义的个人信息认定方式，将个人信息与个人数据、隐私进行明确区分；在实质上，深刻把握侵犯公民个人信息罪的法益内核，个人信息作为本罪的行为对象应当充分体现个人信息自决权的法益本质，从而为实现信息主体的选择权和决定权提供坚实基础。