我国公民个人信息刑法保护范围研究

我国公民个人信息的刑法保护范围模糊不清,造成司法实践的困惑。界定公民个人信息刑法保护范围应遵循刑法的谦抑性原则、权利保护与公民个人信息流通相协调原则,以及法益保护原则。建议采用新限制说对刑法所保护公民个人信息中的信息内涵与主体范围进行具体界定。     

论重大疫情防控中个人信息的民法保护——以新冠肺炎疫情为例

在重大疫情防控的特殊时期进行个人信息共享,是对疫情状况进行研判预测的前提.在新冠肺炎疫情防控时期,个人信息共享中存在信息获取内容的非必要性、信息获取主体的非授权性、信息登记传播的非隐私性、信息获取使用的非程序性以及信息泄露侵权风险.在重大疫情防控中,个人信息的获取应该遵循程序法定原则,认定只有法律明确授权的机构才能收集个人信息,获取信息内容应当以必要性为原则,获取过程需要遵循"告知同意"原则,在个人信息的合法使用中,应符合目的性原则,实现个人信息的民法保护.对于重大疫情防控时期个人信息共享中的侵权问题,应当区分不同情形,认定相关主体的补充责任、按份责任或连带责任,实现疫情防控时期个人信息的依法保护.     

论疫情防控中个人信息保护——以CoviD-19突发公共卫生事件应急为视角

CoviD-19疫情引发的特别重大突发公共卫生事件中,个人信息在有效预防和及时防控疫情中发挥了非常重大的作用,但是也出现了一些个人信息泄露和侵权的问题。因此,需要平衡个人信息收集处理与个人信息保护。第一,在疫情防控中个人信息收集,应当明确与个人数据的不同,不能简单用保护网络数据规则保护个人信息;与《民法总则》私法规范基于知情合意收集个人信息不同,无需个人同意,且个人必须如实提供个人信息。同时,个人信息收集主体对涉及个人隐私等敏感信息得保密或去敏化处理。第二,在疫情防控中个人信息处理,遵从统一领导原则和奉行属地原则,以维护公共健康利益为目的对个人信息进行处理利用,分离敏感信息,由专门职能部门对个人信息使用及时公布;严格遵守最小比例原则,将使用范围控制在使用目的所必需的范围内。第三,《传染病防治法》《突发事件应对法》《突发公共卫生事件应急条例》等法律法规对疫情防控中个人信息收集处理规定的内容过于抽象、操作性差,《网络安全法》不能代替个人信息保护的立法,需要制定统一的《个人信息保护法》,根据公开透明原则、比例原则、个人信息安全管理原则、以私权为中心兼顾公共利益原则,建立完善个人信息保护法律制度。     

个人信息自动化处理领域的个人信息保护规则

个人信息自动化处理技术能大量存储个人信息、整合诸多个人信息片断以及给第三人获取个人信息创造便利条件,属于对个人人格和财产具有较高加害危险的领域。因此,有必要在此领域引入以信息禁止原则为出发点的个人信息保护规则：原则上禁止收集、处理和利用个人信息,除非得到信息主体的同意、符合法定事由或者具有其他合法利益;收集个人信息时的目的限制了日后的处理和利用行为。另外,在这个高度危险领域,应当赋予信息主体干预信息处理过程的权利,具体包括：查询权、更正错误信息的权利、删除错误信息的权利等。我国未来的个人信息保护法应当将上述严格的保护规则限定在个人信息自动化处理行为上。     

侵犯公民个人信息罪的价值选择与认定

侵犯公民个人信息罪的设立,较为有效地保护了公民的个人信息。随后最高人民法院会同最高人民检察院出台的相关司法解释及指导性案例,也为司法实践中正确处理此类案件提供了较为可行的操作标准。但由于本罪具有预防刑法的特性,对其理解与适用应进行合理限缩。在理解这一罪名时,应当以兼顾公民个人信息的保护与数据产业发展的平衡为价值指引,注意两高的相关解释与《网络安全法》的衔接。在侵犯公民个人信息罪的构成要件的具体涵摄中,应将相关信息豁免制度作为辅助性参考,正确认定阻却构成要件的情形。公民个人信息的内涵具有"可识别性",其范围包括身份识别信息和活动情况的信息,IP地址、Cookies等都可纳入,但在具体的认定上应当增加认定要素以限缩范围;作为构成要件要素的"国家有关规定"的范围应当限制为法律、行政法规,部门规章应当排除在外。     

个人信息保护基本原则的本土化移植

个人信息保护的基本原则集中反映了个人信息保护的本质和规律,在个人信息保护立法相对滞后的我国,明确个人信息保护的基本原则不失为一种权宜之计。工业和信息化部颁布的文件确立了我国个人信息保护的国家标准,但其关于个人信息保护的基本原则还有待商榷。我国的学术研究和政府文件借鉴了域外立法,分析域外立法关于个人信息保护的基本原则,结合我国的国情,我国个人信息保护的基本原则应当包括透明度原则、目的原则、安全保障原则、责任原则。     

论个人信息权在人格权法中的地位

尽管实践中对个人信息采用刑法、行政法等多重保护机制,但并不能影响或改变个人信息权为民事权利的基本属性。个人信息与个人人格密不可分,个人信息主要体现的是一个人的各种人格特征,故个人信息权是一种新型的具体人格权。个人信息权不属于一般人格权。个人信息与个人隐私在内容上存在一定的重合,但整体而言,个人信息概念远远超出了隐私信息的范围,应当将个人信息权单独规定,而非附属于隐私权之下。我国未来"人格权法"应当对于个人信息权作出规定,明确个人信息权的范围、内容、收集原则、侵害责任,以及商品化使用问题。     

政府数据开放背景下个人信息知情同意权的行政法架构

政府数据开放的趋势对于个人信息保护的要求越来越高。个人信息保护中的知情同意权是公民个人信息自决权的核心,是政府数据开放制度中必不可少的内容。知情同意权最早起源于医疗领域,是医学界保护接受测试者的基本规范,这一规范从医学伦理转化而来,最终在法律中得到确认。个人信息保护中的知情同意,要求任何主体在收集和利用个人信息时应当如实、全面地告知当事人具体情况,并征得当事人同意后方可对信息进行处理,包含具体同意和概括同意。个人信息知情同意权在行政法领域的特殊性表现为:双方主体地位不平等,知情同意权更多地表现为知情权,个人信息泄露影响巨大。同时应当构建如下规则:知情同意不能构成责任免除;概括同意和具体同意并行;剔除具有可识别性的信息,且不能恢复;制定大数据使用规范,避免出现大数据歧视。     

试论中国个人信息的法律保护

为了使公民个人信息的保护有法可依,运用实证分析法对个人信息的内涵和立法价值进行深入分析,认为个人信息保护和隐私保护不可等同,法律应该保护以各种形态存在的个人信息;个人信息保护的价值体现在保障基本人权实现、促进电子商务和电子政务健康发展、推动国际贸易发展等方面;中国应该采取以制定统一的个人信息保护法为主导,同时发挥企业自律的个人信息保护模式,法律保护应体现八项原则.     

大数据时代个人信息法益刑法保护的应然转向——以规制非法使用个人信息为重点

我国《刑法》第253条之一侵犯公民个人信息罪规定的行为类型仅限于非法获取、出售或提供个人信息代表的转移行为,没有将非法使用个人信息行为纳入规制范围,造成刑事规制出现漏洞,体现了将个人信息自主片面地理解为转移自主、忽视使用自主的法益认识缺陷,进而仅以防范非法转移个人信息为入罪逻辑,使得个人信息法益刑法保护不周延。当前个人信息已然成为网络犯罪中的关键要素,非法使用个人信息现象愈演愈烈,侵犯公民个人信息犯罪已经逐渐形成"提供者—中间商—非法使用"的完整黑色产业链,各环节分工明确、组织严密,通过非法使用个人信息实施违法犯罪活动,进而变现牟利是诱发个人信息泛在泄露以及违法交易激增的根源,刑法单纯打击制裁非法转移个人信息行为只能是治标之策,导致侵犯个人信息犯罪刑事治理效果欠佳。随着进入大数据深度挖掘应用阶段,数字经济蓬勃发展背景下根植于个人信息的人身性、财产性、公共性等复合法益属性的使用价值日益凸显,使得个人信息使用自主相较于个人信息转移自主更具核心法益地位,个人信息刑法保护的重点理应从转移环节转向使用环节。非法使用个人信息属于下游行为,对公民的人身财产安全以及社会管理秩序造成极大损害或威胁,与处于上游的非法转移个人信息行为相比,非法使用个人信息行为具有更为严重的法益侵害性,表现为法益侵害的根源性、直接性和精准性。因此,刑事立法应以需求端为导向,有必要在遵循刑法谦抑性原则的前提下合理确定非法使用个人信息行为的入罪要件与出罪事由,即以未征得信息主体同意且情节严重为危害行为,以非经匿名化处理的个人信息为行为对象,以符合个人信息合理使用的情形为违法阻却事由,既从源头上规范个人信息使用行为,又限定非法使用个人信息行为刑事入罪的边界,在保护个人信息安全的同时促进个人信息有序自由流动、合理有效利用,平衡信息主体的使用自主利益与信息处理者的正当使用利益,为数字经济高质量发展提供强有力的刑事法治保障。