个人信息保护“入典”：体系功能及其与专门立法的关系

个人信息保护"入典"是我国民事立法的创举。在专门立法之外,将个人信息保护的核心规范写入《民法典》,不仅可为个人信息的私法保护提供明确依据,还具有价值指引功能、体系解释功能和权利孵化功能。《民法典》人格权益保护的价值取向为个人信息的私法保护提供了根本性的评价基准,在其指引下,个人信息保护的具体规则可在《民法典》中得以体系化的解释和适用。《民法典》围绕个人信息自决,针对个人信息处理行为,初步形成了具体权利内容,为个人信息权利的体系化发展奠定了基础。与《民法典》的个人信息保护规范相比,《个人信息保护法》在调整对象上大同小异,但在保护方式上存在递增,其通过公法手段保护的个人权利仍然具有私权属性。该项专门法律属于领域立法,兼具公法和私法属性。个人信息的公法保护与私法保护同等重要,个人信息保护的体系性也将在两者联动中得以加强。     

论个人信息法律体系下的基因信息保护

《民法典》和《个人信息保护法》构成我国个人信息保护的基本法律体系。然而，高度敏感、特异性显著的基因信息之于人格尊严关系重大，亟待特殊制度保护，但抽象概括的现行法缺少针对性，无法全面因应个人基因信息权益保护及社会实践的制度需求，有必要开展专门立法，构建民法典、个人信息保护法、基因信息法三层制度体系。基因信息保护应以基因信息隐私自决与安全为先，兼顾流动利用；以自然人基因权益为本，衡平多重利益；实行法律与伦理共治，融合宽容及责任原则。据此，在基因信息类型化及可处理性分级的前提下，立足通用个人信息法律制度，明晰个人基因信息权益，厘清特定的目的、充分的必要性和严格保护措施等处理前置条件，重点围绕基因信息处理告知同意，开展差异化制度设计，构造非完全行为能力人同意、以书面为原则的同意方式、同意的无条件撤回、基于基因信息类型的同意豁免事由等特殊规则。     

个人信息处理“同意”行为解析及规则完善

目前我国多将"同意"定性为合同承诺或信息权益处分行为,产生了各种实践困局。信息处理者对个人享有事实上的私权力,"同意"这一法律行为定性与意思自治精神发生背离。从制度逻辑看,"同意"实现的是合作性组织秩序,个人没有设权意愿也不设定权利义务规则,与合同权益变动规律有罅隙;从法律技术看,个人信息人格价值不得处分,财产价值处分权不由个人享有,"同意"不构成处分性的抽象法律行为。"同意"是准法律行为,行为意思与表示意思保护个人"同意"自主性及其对"同意"法律意义的认识,效果法定是对权力失衡的纠偏,避免了主体客体化。作为正当基础,"同意"是信息处理加入权的行使,法定效果是处理者既获得了限制个人信息人格价值和生产保有个人信息财产价值的双重正当性,又产生了法定的个人信息保护义务。《个人信息保护法》规定的动态"同意",是对信息处理决策权和退出权的行使。"同意"这一准法律行为定性,使个人信息保护的公法性强制规范与私法性自由规范形成链接,在定纷止争的基础上,给个人提供更加完整的权利救济。     

个人信息侵权的理论反思与规范构建

个人信息侵权规则体系对于发挥私法在个人信息利益保护中的作用、确保法律规范的准确适用具有重要意义。“可识别规则”将可能识别个人身份的信息均纳入规制范围,体现了公法对信息处理全过程的关注,与公法全面保障信息安全、经济安全和国家安全的功能相匹配。但私法对“可识别规则”的借鉴则造成了保护的信息范围过广,与私法关注个人信息人格利益的定位不符。故而需要对侵权责任法保护的个人信息范围进行限缩,在具体侵权样态中进行具体化判定。个人信息侵害造成的实际损害并不明确,差额说在适用上存在一定的障碍,而风险损害说则面临风险不确定与风险多样等问题,亦难被采纳。较为妥适的办法是采取规范损害说,将个人信息侵权损害认定为法律保护的利益状态之变化以及给个人造成的精神损害两方面。而在归责原则方面,应当将《个人信息保护法》第69条确立的过错推定原则的适用范围限制在采用自动化处理技术的场合,对于普通公民之间的个人信息侵权则应回归一般过错原则。     

论图像采集设备安装行为的合法性边界

《个人信息保护法》第26条在法律层面上,首次对图像采集设备的安装设定严苛的合法性依据。图像采集设备的安装,不仅构成个人信息处理行为,还因部分个人信息之上承载人格利益,同时受到《民法典》人格权编,尤其是其中肖像权和隐私权规则的规范。两部法律在合法性判定上标准不同,被《民法典》评价为合法的行为极大可能被《个人信息保护法》第26条所禁止。人脸识别技术对个人信息权益存在较大的潜在加害风险,故人脸识别设备之安装应当直接适用《个人信息保护法》第26条。对于其他类型图像采集设备之安装,应当宽松解释《个人信息保护法》第72条的“私人事务例外规则”,构成私人事务的,排除《个人信息保护法》第26条的适用,依据《民法典》隐私保护路径判定其合法性:引入“公共空间的合理隐私期待”新型隐私观念,并于个案中衡量安装者对立利益。     

从个人信息到数据要素：个人信息商业利用的制度安排——以《个人信息保护法》为中心

个人信息作为数据要素的组成颗粒在规模化的商业利用中爆发出巨大经济价值,但也产生信息主体、企业及国家之间的利益冲突。既有理论主要通过赋予个人信息财产权或个人信息社会控制等路径平衡各方利益冲突,但却可能阻滞数据流通或忽视个人信息可识别性的根本特性。个人信息与个人数据混同是造成理论争议的主要原因。中国《个人信息保护法》通过明确个人信息处理一般规则及处理过程中的个人与信息处理者之间的权利义务关系,实现在数据红利与个人信息保护之间的平衡。未来应在区分个人信息和个人数据的制度前提下,细化《个人信息保护法》中个人信息处理的合法性基础与使用方式,明确个人数据的权属及商业流通规则,从而实现个人信息商业利用中的多方利益平衡。     

敏感个人信息精神损害赔偿之检视与制度建构——以《个人信息保护法》生效前45例已决样本分析

《个人信息保护法》对敏感个人信息首次予以立法规定,并专节规定敏感个人信息处理原则,确立了更为严格的过错推定责任,关于精神损害赔偿未置可否而引发学界的审视与思考。以检索到2018 2021年侵犯敏感个人信息的45例已决样本为分析对象,发现司法实践中优先采取《民法典》私密信息隐私权的保护路径,并导致敏感个人信息的精神损害赔偿支持率低、赔偿标准适用及赔偿金额确定随意等问题。这反映出《个人信息保护法》与《民法典》隐私权保护路径的竞合与冲突,敏感个人信息精神损害赔偿条款缺位,设定损害后果须“严重”的赔偿门槛较高以及赔偿金额的自由裁量权失范等困境。对敏感个人信息受侵的案件,应优先适用《个人信息保护法》的保护路径,应设定敏感个人信息精神损害条款,将精神损害赔偿损害门槛从“严重”降为“一般”,并通过司法解释设置赔偿数额区间和引入新的衡量因素以限缩法官的自由裁量权。     

大数据时代个人信息处理与保护之平衡

借力科技日新月异的发展,大数据、人工智能使得人们的生活越来越便利,社会管理服务水平也在不断提升,同时也在迫使人们被动地提供多种个人信息.《民法典》将个人信息的收集、存储、使用、加工、传输、提供、公开等活动称为个人信息处理.个人信息处理是国家、社会信息化发展的必然要求,个人信息保护与处理的冲突却又不可避免,以往的个人信息...     

论《儿童个人信息网络保护规定》之完善——以美欧儿童网络隐私保护立法的比较和借鉴为视角

由国家互联网信息办公室起草颁布的《儿童个人信息网络保护规定》于2019年10月1日正式实施,这是我国第一部保护未成年人网络个人信息的专门法.《儿童个人信息网络保护规定》借鉴了美国《儿童在线隐私保护法》和欧盟《通用数据保护条例》的基本原则,被国外观察者视为中国版本的《儿童在线隐私保护法》.本文在分析《儿童个人信息网络保护规定》出台的立法背景和比较法环境的基础上,探索《儿童个人信息网络保护规定》所借鉴的美欧儿童个人信息保护主要原则,并通过探讨2019年美国启动《儿童在线隐私保护法》新一轮修订所征求到的建议,提出进一步完善我国《儿童个人信息网络保护规定》的方案.     

个人信息在智慧治理中的风险与保护——以《民法典》个人信息保护为中心

伴随着大数据、人工智能等技术在社会治理领域的长足发展,政府利用个人信息实现智慧治理得以可能.但行政机关在收集、加工、使用、共享等处理个人信息过程中存在诸多风险,且现行法律体系对规制政府利用个人信息的制度供给严重不足.《民法典》作为私权领域的基础性法律,明确了公民个人信息受法律保护,具有规范、平衡和指引政府处理个人信息的重要意义.未来需要在《民法典》的框架下,通过制定个人信息在公共领域合理使用规则,明确行政机关的责任形态,完善对个人信息主体的损害赔偿制度,促使政府在智慧治理中合理利用个人信息.     

从注销到删除:"账号注销权"的体系定位与制度建构

《网络数据安全管理条例(征求意见稿)》,首次将个人信息删除权与账号注销进行关联,凸显了账号注销的体系性地位.账号作为用户访问手机移动应用的主要媒介,集成了大量用户在使用移动应用过程中主动提供、被动获取和自动生成的个人信息.用户常通过账号注销的方式切断与运营者之间的联系,以期保护个人信息与财产安全,但账号注销仍存在主动注销复杂、被动注销缺位以及注销后信息处理模糊等难题亟待解决.结合我国当前的立法现状以及域外被遗忘权制度的实践经验,我国账号注销管理制度的建构应当以释法取代立法作为有效的解决方案,围绕《个人信息保护法》第四章所规定的权利体系,构建以知情为引导、以删除为核心、以查阅为保障的流程化账号注销行为规范,以此解决账号注销过程可能存在的信息泄露风险.     

个人信息转移权客体范围和实现方式的反思与修正

《个人信息保护法》确立了个人信息转移权,该权被赋予促进个人信息流通、打破数据平台垄断的期待。然而,作为新兴权利的个人信息转移权在实践中面临着客体范围模糊、操作性不强等主要问题,这导致个人信息转移权落地困难。在剖析困境成因、比较域外立法经验和反思实践成效的基础上,建议将直接数据和部分观察数据纳入个人信息转移权客体范畴,确定差异化数据传输要求,以期实现个人信息转移权的多重效能。     

个人信息处理规则的法律经济学分析

个人信息处理规则是信息保护制度的风向标,反映了制度在信息利用与保护之间的价值偏向。实现个人信息保护与利用的衡平,本质上是追求效益最大化的资源配置问题。法经济学中的边际效益理论以及静态博弈范式有助于对个人信息处理规则的法律效果作出鉴证。通过边际成本收益分析,信息处理规则中对主体、处理者以及信息的分类正视了不同情形下帕累托最优点的差异,提高了资源的配置效率。在静态博弈视角下,信息处理规则的确立规避了信息主体与信息处理者双方消极对立的囚徒困境,促进了信息要素市场的流通。针对实践中存在的一般个人信息保护过度以及敏感个人信息保护不足的问题,应通过动态化信息分类、督促企业数据保护合规等方式予以解决。     

个人生物识别信息保护的立法模式与制度构建

个人生物识别信息具有唯一性及不可更改性的特质,一旦被非法处理,将造成不可逆的损害,由此催生出个人生物识别信息特殊保护的现实需求。对此,应当制定个人生物识别信息专门法律保护规范,以明确个人生物识别信息的保护指向及救济措施,构建系统完备的保护体系。同时,应在敏感个人信息基础上强化个人生物识别信息的保护力度,以回应对生物识别信息产业严格规制的现实需求。综合来看,我国应构建相对独立于敏感个人信息的专门立法保护模式,并在此基础上细化个人生物识别信息保护规则。具体包括：明确个人生物识别信息保护核心概念及宗旨、构建个人生物识别信息处理的特殊规则、完善非法处理个人生物识别信息的权利救济机制。     

云计算视野的个人信息与刑法保护

个人信息的法律保护主要涉及刑法、行政法和民法方面。在云计算的背景下。为及时有效地打击犯罪、保护个人信息权益,加强个人信息的刑法保护已显得刻不容缓。通过个人信息犯罪的实证分析看出,我国现有的个人信息刑法保护存在诸多不足,应借鉴其他立法中可行部分,增加刑事规范内容,尽快出台个人信息保护法,加大司法与执法力度．促进个人信息得到有效保护。     

论个人信息网络侵权的民法规制

在网络技术不断发展的信息社会,如何有效规制个人信息的收集、处理与使用,已成为一个热点法律问题,保护网络中的个人信息成为当务之急。个人信息网络侵权的法律规制中,应确立一般个人信息网络侵权、特殊个人信息网络侵权的责任适用与行为构成,明确不承担或减轻民事责任的事由,以求多方面完善个人信息网络侵权的民事救济制度。     

大数据时代执法合作中个人数据跨境保护问题研究

为打击跨国网络犯罪,维护国家安全,各国积极开展双边或多边的执法合作,其中对个人数据的保护问题成为关注的焦点.执法领域个人数据保护的全球标准尚未形成,美国和欧盟因数据保护立法的差异性和对隐私权概念的不同理解,在致力于协调两国数据保护立法上进行了诸多尝试,美国和欧盟签订了一系列数据分享协定,比如《欧盟—美国双边法律互助协定》《旅客订座记录协定》《环球银行金融电信协会协定》等,但这些数据分享协定有不同的数据保护标准.为了重建跨大西洋数据流动的信任,美国和欧盟达成了《欧美数据保护总协定》,为美国和欧盟提供综合性的执法领域数据保护框架.根据美国和欧盟的经验,我国应积极参与全球多边规则的制定、统一国内个人数据保护规则、针对执法领域个人数据保护进行专门立法、分阶段和分部门与境外执法机构订立双边协定.     

个人信息保护的法律规制与法治路径

数据是信息的主要表现和转换形式，数据共享已成为个人信息利用的一种极为快捷便利的有效方式。需要建立对个人信息严密保护的数据共享机制，建立以数据为核心的数据所有权保护制度，构建个人信息“权利束”保护的工具性体系。个人信息权保护的法律规制主要体现在四个方面:个人信息私法保护的法律规制，个人信息正当处置的法律规制，个人信息合法删除的法律规制，侵害个人信息权益的法律规制。个人信息权保护的法治路径集中反映在三个方面:对已经公开的个人信息适用刑法保护，对侵犯个人信息的犯罪行为追究刑事责任，个人信息权益保护适用公益诉讼。     

个人信息行政法保护的国际经验与借鉴

个人信息行政法保护是个人信息保护法中的重要部分,其内容主要涉及对个人信息处理者的行政监督管理方面。发达国家的个人信息专门立法中,大都有个人信息监督机关的设置、权利义务责任以及救济等相关内容,结合我国现有的法律、建议稿和案例,在行政法的重点向权力监管转移的背景下,应着重考虑个人信息监管法律关系的调整、行政责任与法律救济的完善等问题。     

法益论视角下个人信息侵权法保护之类型化

个人信息的法律属性界定为个人信息侵权法保护的逻辑起点。将个人信息绝对权化，违反《民法总则》第111条规范目的，不符合“权益区分三标准”，阻碍信息的自由流通，并背离比较法上的主流趋势，应予否定。个人信息的本质是一个法益综合体，法益的保护宜采用德国式的类型化路径，有“违反保护性规定的侵权任”和“故意背俗致损的侵权责任”两种，前者在个人信息保护上具有更大优势，应作为主要保护路径。以行为作为主要基准将有关个人信息的保护性规定类型化，具体分析每一类型确立的行为标准以及违反时的侵权判定、责任承担、抗辩事由等，能够构建完善的个人信息侵权法保护体系。