预测分析技术背景下的个人信息行政保护新机制建构

我国现行基于知情—同意原则的个人信息保护自我控制范式的“事前”逻辑与个人信息处理预测分析技术的“事后”逻辑之间存在无法调和的冲突，亟需将个人信息保护自我控制范式转换为个人信息社会保护范式。个人信息社会保护范式下的裁量型行政执法表现为彻底的“事后”逻辑，是应对预测分析技术下个人信息处理新模式的最优路径。依据“有效率的行政权”与“有限制的行政权”两个行政法的基本原则，应构建效率与公平“两端平衡”的“前端过滤—后端裁量”个人信息保护裁量型行政执法机制，此种新机制的合法性和实践性均可通过实际案例得到充分验证。     

有机融合与双向升级:区块链技术下的个人信息保护研究

区块链技术与个人信息保护具有天然冲突,亟须从技术与规范层面加以调和。区块链技术下的个人信息主要存在于注册数据中,区块数据中的个人信息界定存在困难。区块链下的个人信息权需要进行重塑,可从个人信息更正权和删除权的新涵义、被遗忘权的全面确立以及可携带权的新形式三个方面展开。为促进区块链与个人信息保护的融合,可从技术和规范角度双向升级,确立私权保护的共同理念,以可编辑、可删除区块链的模型设计促进区块链技术迭代,采取“合理可能”标准区分个人信息与技术数据,以“相对删除”对个人信息删除进行规范解释,以链外存储与目的解释相结合实现技法平衡。     

解释论视域下的区块链个人信息删除权

在区块链场域中，个人信息删除权的行使与区块链记录的完整性、防篡改性、可追溯性等原生特性存在实践悖论，往往在技术上难以实现。由于我国现有关于个人信息保护的立法并未明确界定“删除”的含义，导致个人信息处理者在回应公民的链上个人信息删除请求时面临多重困境：链上删除存在法律解释难题，其是否与数据最小化原则相抵触，以及链上删除对算力要求过高等。为此，有必要基于解释论立场，以法律规范解读下的绝对删除与相对删除为切入点，多维度解释“链上删除”的含义。通过匿名化处理、断开、限制或屏蔽链上个人信息的访问路径等替代性方案发挥实质性删除效果，抑或从访问控制与链外存储的二元结合、历史记录追溯与特定信息检索的双重满足等方面构建“链上+链外”的个人信息删除权协同保障机制。     

个人生物识别信息保护的立法模式与制度构建

个人生物识别信息具有唯一性及不可更改性的特质,一旦被非法处理,将造成不可逆的损害,由此催生出个人生物识别信息特殊保护的现实需求。对此,应当制定个人生物识别信息专门法律保护规范,以明确个人生物识别信息的保护指向及救济措施,构建系统完备的保护体系。同时,应在敏感个人信息基础上强化个人生物识别信息的保护力度,以回应对生物识别信息产业严格规制的现实需求。综合来看,我国应构建相对独立于敏感个人信息的专门立法保护模式,并在此基础上细化个人生物识别信息保护规则。具体包括：明确个人生物识别信息保护核心概念及宗旨、构建个人生物识别信息处理的特殊规则、完善非法处理个人生物识别信息的权利救济机制。     

论个人信息法律体系下的基因信息保护

《民法典》和《个人信息保护法》构成我国个人信息保护的基本法律体系。然而，高度敏感、特异性显著的基因信息之于人格尊严关系重大，亟待特殊制度保护，但抽象概括的现行法缺少针对性，无法全面因应个人基因信息权益保护及社会实践的制度需求，有必要开展专门立法，构建民法典、个人信息保护法、基因信息法三层制度体系。基因信息保护应以基因信息隐私自决与安全为先，兼顾流动利用；以自然人基因权益为本，衡平多重利益；实行法律与伦理共治，融合宽容及责任原则。据此，在基因信息类型化及可处理性分级的前提下，立足通用个人信息法律制度，明晰个人基因信息权益，厘清特定的目的、充分的必要性和严格保护措施等处理前置条件，重点围绕基因信息处理告知同意，开展差异化制度设计，构造非完全行为能力人同意、以书面为原则的同意方式、同意的无条件撤回、基于基因信息类型的同意豁免事由等特殊规则。     

个人信息处理“同意”行为解析及规则完善

目前我国多将"同意"定性为合同承诺或信息权益处分行为,产生了各种实践困局。信息处理者对个人享有事实上的私权力,"同意"这一法律行为定性与意思自治精神发生背离。从制度逻辑看,"同意"实现的是合作性组织秩序,个人没有设权意愿也不设定权利义务规则,与合同权益变动规律有罅隙;从法律技术看,个人信息人格价值不得处分,财产价值处分权不由个人享有,"同意"不构成处分性的抽象法律行为。"同意"是准法律行为,行为意思与表示意思保护个人"同意"自主性及其对"同意"法律意义的认识,效果法定是对权力失衡的纠偏,避免了主体客体化。作为正当基础,"同意"是信息处理加入权的行使,法定效果是处理者既获得了限制个人信息人格价值和生产保有个人信息财产价值的双重正当性,又产生了法定的个人信息保护义务。《个人信息保护法》规定的动态"同意",是对信息处理决策权和退出权的行使。"同意"这一准法律行为定性,使个人信息保护的公法性强制规范与私法性自由规范形成链接,在定纷止争的基础上,给个人提供更加完整的权利救济。     

个人生物识别信息的民法保护构想

目前，我国没有对公民个人生物识别信息进行专门性立法，在民事法律法规中也没有对个人生物识别信息的内涵和外延作出明文规定。在我国现有法律规范中，涉及个人生物识别信息这一范畴，多是直接反映在对个人信息概念的界定中；在司法实践中，对于个人生物识别信息中存在的问题，一般采取将其纳入个人信息法律保护中加以规范。我国这种个人生物识别信息的立法保护模式，与欧盟等国家和地区有关立法规定很相似，是把个人生物识别信息视作个人信息的特有类别加以保障。但随着现代生物识别信息技术的日益发达，把个人生物识别信息从个人信息中划分出来，已成为未来的立法趋势。应当构建和完善个人生物识别信息权利保障体系，构建和完善个人生物识别信息义务规范体系，完善个人生物识别信息民事救济路径，以进一步规范我国个人生物识别信息法律保护体系。     

个人信息处理规则的法律经济学分析

个人信息处理规则是信息保护制度的风向标,反映了制度在信息利用与保护之间的价值偏向。实现个人信息保护与利用的衡平,本质上是追求效益最大化的资源配置问题。法经济学中的边际效益理论以及静态博弈范式有助于对个人信息处理规则的法律效果作出鉴证。通过边际成本收益分析,信息处理规则中对主体、处理者以及信息的分类正视了不同情形下帕累托最优点的差异,提高了资源的配置效率。在静态博弈视角下,信息处理规则的确立规避了信息主体与信息处理者双方消极对立的囚徒困境,促进了信息要素市场的流通。针对实践中存在的一般个人信息保护过度以及敏感个人信息保护不足的问题,应通过动态化信息分类、督促企业数据保护合规等方式予以解决。     

法益论视角下个人信息侵权法保护之类型化

个人信息的法律属性界定为个人信息侵权法保护的逻辑起点。将个人信息绝对权化，违反《民法总则》第111条规范目的，不符合“权益区分三标准”，阻碍信息的自由流通，并背离比较法上的主流趋势，应予否定。个人信息的本质是一个法益综合体，法益的保护宜采用德国式的类型化路径，有“违反保护性规定的侵权任”和“故意背俗致损的侵权责任”两种，前者在个人信息保护上具有更大优势，应作为主要保护路径。以行为作为主要基准将有关个人信息的保护性规定类型化，具体分析每一类型确立的行为标准以及违反时的侵权判定、责任承担、抗辩事由等，能够构建完善的个人信息侵权法保护体系。     

《个人信息保护法》的亮点与创新

《个人信息保护法》是一部全面保护个人信息的专门性立法.作为公法和私法的混合,该法的私法部分作为《民法典》的特别法,进一步丰富和发展了《民法典》的个人信息保护规则.《个人信息保护法》在总结《民法典》等的立法经验基础上,借鉴了欧盟《一般数据保护条例》等比较法的经验,形成了诸多的亮点和创新之处.包括进一步扩张了个人信息的保护范围,构建了以"告知—同意"为核心的个人信息处理规则,对自动化决策的全面规范,严格保护敏感个人信息,确认个人在个人信息处理活动中的各项权利,强化个人信息处理者义务,规范国家机关的个人信息处理行为以及个人信息跨境流动,完善了侵害个人信息的法律责任,这些内容都充分彰显了这部法律的时代性、国际性和本土性.     

论《个人信息保护法》中的删除权

删除权是个人在个人信息处理活动中的一项重要权利,该权利是个人对其个人信息处理活动享有决定权的具体体现,也是对目的限制原则与合法原则的贯彻落实。在我国法已经对删除权、网络侵权责任中通知删除规则以及对合法公开的个人信息的处理等作出了明确规定的情形下,无需规定被遗忘权。删除权不同于自然人撤回同意以及网络侵权责任中的通知删除规则。删除权的权利主体是个人,义务主体是个人信息处理者。在符合《个人信息保护法》第47条规定的情形时,个人信息处理者应当主动删除个人信息,个人也有权请求处理者删除。如果法律、行政法规规定的保存期限尚未届满或者删除个人信息从技术上难以实现的,个人不得行使删除权,但是个人信息处理者应当停止除储存和采取必要的安全保护措施以外的处理活动。如果个人信息处理者拒绝个人行使删除权的请求,个人可以向法院提起诉讼,从而实现对删除权的司法保护。     

个人信息在智慧治理中的风险与保护——以《民法典》个人信息保护为中心

伴随着大数据、人工智能等技术在社会治理领域的长足发展,政府利用个人信息实现智慧治理得以可能.但行政机关在收集、加工、使用、共享等处理个人信息过程中存在诸多风险,且现行法律体系对规制政府利用个人信息的制度供给严重不足.《民法典》作为私权领域的基础性法律,明确了公民个人信息受法律保护,具有规范、平衡和指引政府处理个人信息的重要意义.未来需要在《民法典》的框架下,通过制定个人信息在公共领域合理使用规则,明确行政机关的责任形态,完善对个人信息主体的损害赔偿制度,促使政府在智慧治理中合理利用个人信息.     

个人信息:从财产属性到公共利益属性——基于信息产权制度构成理论的比较研究

大数据时代个人信息的商业价值不断凸显，在个人信息人格权基础上明确个人信息财产属性并以此确立个人信息财产制度的观点层出不穷。然而，个人信息具有不同于知识产权客体的特殊属性，劳动财产理论、人格权财产理论以及经济激励理论等信息产权构成理论并不能成为构建个人信息财产制度的基础。产权制度注重个体支配而淡化了个人信息的公共利益属性，不仅难以激发企业的内在驱动力，还限制了信息主体人格自由发展，并由此催生新型不平等关系。个人信息保护应侧重于公共利益考量，涵盖“公共人格属性”和“公共产品属性”两部分，前者为人格属性的升华，后者则为财产属性的本质。公共利益属性内涵下的个人信息保护应以正义原则为指引配置权益，回归法律保护弱势群体利益的正义价值。一方面，法律应当在信息主体人格权益优位保护的前提下确保信息企业无偿且平等地获取个人信息，事前个人信息保护可类比环境治理，以技术规范信息处理方式；另一方面，为修复公众对数字环境之信任，个人信息事后司法救济应采取民主途径，并将信息处理者的制造权益风险与其举证责任相关联。群体性信息主体的权益保护与信息处理者的信息利用二者并非处于对立面，个人信息的公共利益属性也表明，双方可据之促成共善发展。     

已公开个人信息弱化保护的解释论矫正

弱化保护已公开个人信息既是我国的司法实践传统,也是平衡信息保护负担的务实选择,但若不释明处理已公开个人信息的合理范围,必将削弱个人信息保护的制度意义和私法意涵,减损对个人信息自决权的有效保障。已公开的个人信息应限于向不特定多数人发布、无需借助特殊手段即可从公开渠道合法获得的信息。若信息处理将对信息主体权益有重大影响,需适用告知同意规则。合理处理范围应基于信息主体意愿界定,除非该处理是法定的公共利益所必需。处理者应提供有效的表意机制,未提供而个人未明示拒绝信息处理的,应视为默示拒绝。个人的拒绝信息被处理权不可被格式条款排除。     

信息处理者侵害个人信息权益的民法救济

我国《个人信息保护法》以实现个人信息处理中信息权益保护与合理利用之平衡为规范意旨,并赋予自然人对自我信息的决定、查阅、复制、更正、删除等权能,构成法律保护个人信息权益的前提基础,成为相对人处理个人信息与自动化决策的合法性依据。立法设计以“知情同意-同意例外”规则为个人信息合规处理的架构基础。当个人信息权益被侵害时,法官应充分运用动态系统论厘清信息权益损害的要素层次,适用过错推定原则认定信息处理者损害赔偿责任。为实现充分有效救济,权利人可考量行使人格权请求权和侵权请求权二元救济路径,明确损害赔偿具体范围,保障其人格权益和人格尊严不受侵犯。     

公开个人信息处理中的企业合规

《个人信息保护法》对公开的个人信息呈现出弱化保护态势，但这并不意味着无需保护。公开个人信息承载了自然人的人格尊严和自由权益，企业处理公开个人信息仍需遵守《个人信息保护法》等法律法规。公开个人信息处理的合法性依据是以法定许可为原则，以个人同意为例外。公开的个人信息，并不是泛指任何处于公开状态的个人信息，它仅限于合法、绝对公开的个人信息。公开个人信息处理应限于合理范围之内，且应尊重信息权人的拒绝权。公开个人信息处理，虽然通常会因其公开性具有阻却违法、阻却责任的法律效果，但若违法处理也会让企业面临行政处罚和刑事追诉的合规风险。这主要包括欠缺合法性根据的合规风险，处理对象不适格的合规风险，处理方式不合理的合规风险三类。为防范公开个人信息处理中的合规风险，企业有必要建立公开个人信息处理中的合规方案，将其纳入数据保护专项合规计划之中，在数据业务中正确识别个人信息类型和公开个人信息类型，建立公开个人信息处理的影响评估机制。     

生物特征识别信息商业应用的中国立场与制度进路——鉴于欧美法律模式的比较评价

针对生物特征识别信息的唯一识别作用及其经济价值,法律应合理平衡公民数据安全与生物技术产业发展、公共管理效益、个人生活便利之间的多方利益冲突,并同时促进生物识别技术的创新发展。由此,在个人信息分级分类保护制度建设中,生物特征识别信息有其专门的规则构建路径,包括规范文件形式、文本整体框架、具体规制对象、技术保护要求、技术工具监管等方面。关于生物特征识别信息的收集与应用的具体规则设计,我国制度建构进路应围绕四个维度探讨:一是法律规范体系的结构化安排;二是规制框架的样本参照方案;三是立法内容的多维规制层面,涉及企业安全责任、市场交易规范、信息主体权利等方面;四是提前的司法救济模式。     

私密信息合理使用规则及其优化路径

在信息社会，私密信息处理甚至合理使用成为一种常态。理论界与实务界对此存在争议，《民法典》与《个人信息保护法》则保持沉默。信息处理者因公共利益等原因使用私密信息导致其与信息主体之间的利益冲突呈白热化趋势。域外在私密信息保护及其限制方面进行了有益的探索，但终因相关制度的固有缺陷未能较好地达致私密信息保护与利用的衡平。基于私密信息与个人信息的特殊关系及私密信息与个人信息、其他人格要素的三重逻辑，私密信息合理使用具有正当性。为应对私密信息合理使用遭遇的系列法律困境，可以参照个人信息合理使用规则指导私密信息合理使用，体系化构筑私密信息合理使用标准，类型化构造私密信息合理使用的具体规则，完成私密信息合理使用的制度化建构。     

论私密信息隐私权保护优先规则的困局与破解——以《民法典》第1034条第3款为中心

在私密信息的侵权责任构成上,隐私权保护规则适用的是过错责任,个人信息保护规则适用的是过错推定责任,《民法典》第1034条第3款确立的私密信息隐私权保护优先规则导致两种保护规则在侵权责任构成的过错要件上存在冲突。由于限缩适用《民法典》第1034条第3款前半句或《个人信息保护法》适用范围均难以彻底化解这种冲突,不妨考虑隐私权保护规则优先性的缓和化方案：隐私权保护规则下私密信息的侵权责任构成,应降低信息主体对过错要件的证明标准,这可通过事实推定规则确定侵权事实及个人信息处理者在此基础上是否违反成文法义务来实现。     

论生物特征识别系统个人信息采集处理授权同意机制

当前生物特征识别技术面临个人信息被盗窃、泄露、滥用及系统被侵入两大安全风险.为此,我国《民法典》确立了个人信息采集处理授权同意机制,一定程度上保护了生物特征安全.但由于生物特征识别系统的复杂性和多样性,不同系统的安全性能和个人信息保护性能差异较大;同时,普通的被识别人对识别系统的安全风险难以鉴别,导致以同意机制为基础的个人信息法律保护框架显得十分无力.因此,我国应从技术和法律上对系统的安全性能和个人信息保护性能进行分级规制,并制定包括生物识别信息在内的个人信息保护的专门法律规范,以便进一步完善授权同意机制.