数字社会个人信息被遗忘权的宪法权利属性、边界与国家义务

被遗忘权的重心在"遗忘",大数据时代通过"删除"来实现;被遗忘权主要指向的是国家公权力,关注的重心是公民在面对国家公权力对个人信息的搜集、处理、应用时被遗忘权如何实现?被遗忘权本质上反映的是独立的个体对个人信息的自主决定、自我支配和自我控制的权利,这种权利体现了对主体性价值的尊重,形成了信息主体对信息控制者发布的信息进行撤回、删除、控制、支配的积极权能与防止信息再次被第三人利用传播的免受侵害的消极权能。个人信息被遗忘权的行使不仅仅有面对国家权力行使的限度问题,也有与其他基本权利行使产生竞合关系的问题,还有特殊权利主体(如公众人物、公权力主体)的个人信息被遗忘权的克减问题,从而形成其权利行使的边界。国家对公民个人信息被遗忘权有尊重义务、保护义务和实现的义务。     

区块链技术与个人信息保护法律的冲突及协调路径研究

区块链技术对个人信息的处理并非以完全匿名化的技术措施贯穿全链条网络，区块链技术以节点利用机器算法对个人信息进行去中心化处理为特征，而现行个人信息保护法律以个人信息处理者集中化对个人信息进行处理为逻辑，区块链的技术特性及运行逻辑与现行个人信息保护法律的规范逻辑产生冲突。冲突的化解需要在符合区块链技术发展特性的前提下衔接现行个人信息保护法律规范。规范区块链上个人信息处理活动应坚持以多元主体共同参与治理为价值面向，区分区块链多方主体参与个人信息处理活动的角色定位与责任分配、明确区块链信息服务者合规义务以及创新区块链监管模式。基于区块链技术优化与相对解释论的立场，构建区块链上更正和删除个人信息的权利体系。根据区块链具体应用实践以及信息服务主体对链上个人信息处理的关键要素有无实际影响力和参与程度，以区块链信息服务提供者为主体构建个人信息处理的分级分类责任体系。     

被遗忘权:搜索引擎上过时个人信息的私法规制

作为一种新型个人信息权，被遗忘权的产生是为了调整搜索引擎上的过时个人信息。通过删除或隐匿搜索引擎上脱离情境的个人信息，信息主体的人格权益得以实现。欧盟法院在谷歌诉冈萨雷斯案中确立了被遗忘权，并强调了信息处理和传播行为的适度性和适时性。传统隐私权理论无从应对网络个人信息散播行为，也难以为规范搜索引擎上的过时个人信息提供充分法理支持。鉴于个人信息权与隐私权的差异性、过时个人信息的负面性、以及删除过时个人信息对于社会和解的积极意义，我国有必要在个人信息保护立法中引入被遗忘权。然而，被遗忘权与公众知情权等权利间的潜在冲突也值得注意。在决定是否删除过时个人信息时，比例原则可被用来进行利益衡量。     

个人信息处理“同意”行为解析及规则完善

目前我国多将"同意"定性为合同承诺或信息权益处分行为,产生了各种实践困局。信息处理者对个人享有事实上的私权力,"同意"这一法律行为定性与意思自治精神发生背离。从制度逻辑看,"同意"实现的是合作性组织秩序,个人没有设权意愿也不设定权利义务规则,与合同权益变动规律有罅隙;从法律技术看,个人信息人格价值不得处分,财产价值处分权不由个人享有,"同意"不构成处分性的抽象法律行为。"同意"是准法律行为,行为意思与表示意思保护个人"同意"自主性及其对"同意"法律意义的认识,效果法定是对权力失衡的纠偏,避免了主体客体化。作为正当基础,"同意"是信息处理加入权的行使,法定效果是处理者既获得了限制个人信息人格价值和生产保有个人信息财产价值的双重正当性,又产生了法定的个人信息保护义务。《个人信息保护法》规定的动态"同意",是对信息处理决策权和退出权的行使。"同意"这一准法律行为定性,使个人信息保护的公法性强制规范与私法性自由规范形成链接,在定纷止争的基础上,给个人提供更加完整的权利救济。     

解释论视域下的区块链个人信息删除权

在区块链场域中，个人信息删除权的行使与区块链记录的完整性、防篡改性、可追溯性等原生特性存在实践悖论，往往在技术上难以实现。由于我国现有关于个人信息保护的立法并未明确界定“删除”的含义，导致个人信息处理者在回应公民的链上个人信息删除请求时面临多重困境：链上删除存在法律解释难题，其是否与数据最小化原则相抵触，以及链上删除对算力要求过高等。为此，有必要基于解释论立场，以法律规范解读下的绝对删除与相对删除为切入点，多维度解释“链上删除”的含义。通过匿名化处理、断开、限制或屏蔽链上个人信息的访问路径等替代性方案发挥实质性删除效果，抑或从访问控制与链外存储的二元结合、历史记录追溯与特定信息检索的双重满足等方面构建“链上+链外”的个人信息删除权协同保障机制。     

比较法视角下个人信息删除权的法律适用

欧盟GDPR在“谷歌案”后逐步确立了被遗忘权的概念，我国《个人信息保护法》第47条在借鉴GDPR被遗忘权理论的同时对个人信息删除权进行了较为具体的规定，但其在具体内涵上与欧盟被遗忘权的概念存在分野与辨析空间。在司法实践的应用之中，各法院对第47条的理解与适用存在一定分歧，需要在解释论上进行统一。在判断处理目的是否实现以及处理目的必要性时，需要通过公众知情权与个人信息删除权的利益平衡进行判断，并结合不同场景划定信息删除义务主体的范围；对于删除权的实现，实质性的物理删除应优先于匿名化的形式，以最大程度消除个人信息之上可能的信息聚合风险。     

网络空间个人信息保护的民事法律责任

网络空间个人信息权利保护日益受到重视,个人信息保护的义务及民事法律责任在学界却没有引起足够的关注。由于网络空间个人信息保护的特殊性,从本质上看是个人信息利用中的保护。个人信息保护的义务主体应进行类型化的研究,并赋予主体积极的义务。根据网络空间个人信息收集与利用情况的不同,网络空间个人信息保护的民事法律责任应当包括合同责任与侵权责任。网络空间个人信息侵权责任的归责原则是一个多元化的体系,便于信息主体的权利救济。结合我国法治建设的具体情况和信息产业的发展,网络空间个人信息保护宜采用综合立法的模式。     

《个人信息保护法》的亮点与创新

《个人信息保护法》是一部全面保护个人信息的专门性立法.作为公法和私法的混合,该法的私法部分作为《民法典》的特别法,进一步丰富和发展了《民法典》的个人信息保护规则.《个人信息保护法》在总结《民法典》等的立法经验基础上,借鉴了欧盟《一般数据保护条例》等比较法的经验,形成了诸多的亮点和创新之处.包括进一步扩张了个人信息的保护范围,构建了以"告知—同意"为核心的个人信息处理规则,对自动化决策的全面规范,严格保护敏感个人信息,确认个人在个人信息处理活动中的各项权利,强化个人信息处理者义务,规范国家机关的个人信息处理行为以及个人信息跨境流动,完善了侵害个人信息的法律责任,这些内容都充分彰显了这部法律的时代性、国际性和本土性.     

个人信息拒绝权的界定与适用

《个人信息保护法》第44条规定了一般性的个人信息拒绝权，从法律中拒绝概念的内涵、《个人信息保护法》第24条3款、第27条中所规定的两种具体拒绝权来看，个人信息拒绝权就是在选择退出的逻辑下，由个人所享有的针对法定权限、无溯及效力的终止形成权。这一内涵理解也与比较法上个人信息拒绝权的内涵特征相契合。个人信息拒绝权的外延则不仅包括了《个人信息保护法》第24条3款、第27条中的具体拒绝权，而且包括了针对第13条（四）项下无因管理型合法权限的具体拒绝权。此外，第13条（二）项下是否存在具体拒绝权也有解释的空间。个人信息拒绝权作为形成权，其生效时点的认定应当采取到达标准，其行使原则上不得附条件和期限。拒绝权的例外实际指明了限制个人信息拒绝权的三种思路和方法，但这三种方法的适用本身也受到限制。在第24条3款、第27条下具体拒绝权适用的特殊问题则主要体现为特别的构成要求。     

已公开个人信息弱化保护的解释论矫正

弱化保护已公开个人信息既是我国的司法实践传统,也是平衡信息保护负担的务实选择,但若不释明处理已公开个人信息的合理范围,必将削弱个人信息保护的制度意义和私法意涵,减损对个人信息自决权的有效保障。已公开的个人信息应限于向不特定多数人发布、无需借助特殊手段即可从公开渠道合法获得的信息。若信息处理将对信息主体权益有重大影响,需适用告知同意规则。合理处理范围应基于信息主体意愿界定,除非该处理是法定的公共利益所必需。处理者应提供有效的表意机制,未提供而个人未明示拒绝信息处理的,应视为默示拒绝。个人的拒绝信息被处理权不可被格式条款排除。