个人信息的类型化分析及区分保护

大数据时代充分利用个人信息的迫切需求,对各国个人信息保护法提出了巨大挑战.个人信息的人格属性和财产属性、个体性和社会性的矛盾统一于个人信息的利用行为中.然而,各种个人信息识别信息主体的程度各有不同,在社会交往活动中的媒介作用不同,与人格尊严的紧密程度亦不同,实践中不应当对个人信息采取单一的保护模式.对于同时满足间接识别性、社会性强、非敏感性三个特征的个人信息,与信息主体的人格尊严联系较为疏远,不必采取传统的人格权保护模式,采取财产权益一元保护的模式即可.而对于符合直接识别性、个体性强、敏感性任何一个特征的个人信息,应当采取二元保护模式,即人格权益和财产权益共同受到保护的模式.     

个人信息:从财产属性到公共利益属性——基于信息产权制度构成理论的比较研究

大数据时代个人信息的商业价值不断凸显，在个人信息人格权基础上明确个人信息财产属性并以此确立个人信息财产制度的观点层出不穷。然而，个人信息具有不同于知识产权客体的特殊属性，劳动财产理论、人格权财产理论以及经济激励理论等信息产权构成理论并不能成为构建个人信息财产制度的基础。产权制度注重个体支配而淡化了个人信息的公共利益属性，不仅难以激发企业的内在驱动力，还限制了信息主体人格自由发展，并由此催生新型不平等关系。个人信息保护应侧重于公共利益考量，涵盖“公共人格属性”和“公共产品属性”两部分，前者为人格属性的升华，后者则为财产属性的本质。公共利益属性内涵下的个人信息保护应以正义原则为指引配置权益，回归法律保护弱势群体利益的正义价值。一方面，法律应当在信息主体人格权益优位保护的前提下确保信息企业无偿且平等地获取个人信息，事前个人信息保护可类比环境治理，以技术规范信息处理方式；另一方面，为修复公众对数字环境之信任，个人信息事后司法救济应采取民主途径，并将信息处理者的制造权益风险与其举证责任相关联。群体性信息主体的权益保护与信息处理者的信息利用二者并非处于对立面，个人信息的公共利益属性也表明，双方可据之促成共善发展。     

侵犯公民个人信息罪犯罪圈的“收缩”与出罪化路径——基于个人信息多元化属性的思考

侵犯公民个人信息罪的增设与修正,以及司法解释对个人信息保护范围的扩张,不断彰显出刑法对于个人信息保护的力度。梳理个人信息的刑法保护历程可以发现,自97年刑法以来,个人信息多是以附属于其他法益受到刑法的保护,这恰恰是个人信息多元化属性下刑法评价模式的体现。在权利属性上,个人信息同时具有了人格权属性、财产属性、数据属性、信息安全属性、公共属性等"信息复合属性";在权利外延上,个人信息同时涵盖了信息决定、信息保密、信息查询、信息更正、信息删除、信息可携、被遗忘等权利类型。因此,刑法对个人信息的保护,应当将数据属性、信息安全属性等剥离出个人信息之外,在个人利益与公共利益平衡的基础上,确立侵犯公民个人信息犯罪的豁免事由,实现个人信息合法应用与保护的刑法兼顾。     

个人信息处理“同意”行为解析及规则完善

目前我国多将"同意"定性为合同承诺或信息权益处分行为,产生了各种实践困局。信息处理者对个人享有事实上的私权力,"同意"这一法律行为定性与意思自治精神发生背离。从制度逻辑看,"同意"实现的是合作性组织秩序,个人没有设权意愿也不设定权利义务规则,与合同权益变动规律有罅隙;从法律技术看,个人信息人格价值不得处分,财产价值处分权不由个人享有,"同意"不构成处分性的抽象法律行为。"同意"是准法律行为,行为意思与表示意思保护个人"同意"自主性及其对"同意"法律意义的认识,效果法定是对权力失衡的纠偏,避免了主体客体化。作为正当基础,"同意"是信息处理加入权的行使,法定效果是处理者既获得了限制个人信息人格价值和生产保有个人信息财产价值的双重正当性,又产生了法定的个人信息保护义务。《个人信息保护法》规定的动态"同意",是对信息处理决策权和退出权的行使。"同意"这一准法律行为定性,使个人信息保护的公法性强制规范与私法性自由规范形成链接,在定纷止争的基础上,给个人提供更加完整的权利救济。     

大数据背景下个人信息保护的公私法衔接

当前立法规范所呈现的个人信息权利化路径面临着过度保护与保护不足的双重困境,同时也难以回应大数据时代系统性的信息安全风险.个人信息本质上是由一些具体人格权权利内容和其他人格性利益糅杂而成的综合体.内容上的复杂性要求私法采取"权利"与"法益"相区分的保护路径.属于"法益"部分的个人信息,承载了更多的社会公共利益,无法由具体人格权所覆盖,但可通过"违反保护他人的法律的侵权责任"进行保护,从解释论的角度以《侵权责任法》第6条第1款作为转介条款,将公法域的个人信息保护性规定引入私法体系,增强法律适用的确定性,实现公私法保护的有效衔接.     

个人信息侵权责任的规范构造

《个人信息保护法》中的个人信息权益可作为民事权益受到侵权责任的保护,无论其被理解为民事权利抑或民事利益,对其侵权责任构成并不产生影响。由于个人信息中的部分内容同时也属于隐私权、肖像权、姓名权等具体人格权的保护对象,个人信息权益和具体人格权不可避免地会发生重叠保护。其中对于私密信息的保护应优先适用《民法典》的规定,但为最大程度化解立法上的冲突,应降低信息主体对过错要件的证明标准,而对于肖像、姓名等个人信息的保护,则产生请求权竞合,信息主体可择一主张。个人信息侵害具备筛选受保护法益的功能,与损害有区分的必要。无论个人信息是否被非法利用,都可能产生财产损害和非财产损害。侵害个人信息权益造成的既有人身或财产权益的损害与个人信息权益自身被侵害而产生的损害应当各自获得单独赔偿。     

元宇宙背景下的数据人格权研究

随着虚拟空间和数据交互技术的深入发展,人格数据的属性变化引发了在数据确权理论上的“权益论”和“权利论”的分歧,并由此导致当前数据跃迁、信息膨胀和数据价值失衡等现实问题。透过对前述两种理论的比较研究,人格数据权益相较于权利而言,存在权利归属限制和核心法益缺失等问题;而鉴于数据人格权符合主体性差异、立法例比较和独立性权利证成三要素之基本要求,亦可从“权利 行为”的规制模式中探索数据人格权与隐私权、个人信息权之边界,并在当前技术发展阶段内从主体规制与场域突破两方面协调数据人格权与传统人格权之间的关系,以数据人格权作为具体人格权规范的有益补充,在未来虚拟空间技术发展到人格拟态阶段和局域空间自制时,于虚拟空间内逐步取代隐私权、个人信息权等部分具体权利。同时,在数据人格权的法律关系上又以积极权能和消极权能的划分为视角,结合数据场景化应用流通图示的方式,构建其基本权利和系统性义务的内容,而后围绕着构建人格数据产业系统,逐步探索和建立人格数据分类分级制度、人格数据库制度和以人格数据业务为代表的数据银行制度,实现人格数据规范、安全和享益的价值理念,以期构建多元虚拟空间数据信息交互平台背景下的人格数据保护规制体系。     

个人信息权益侵权损害赔偿应然范围探讨：基于数字社会的场景

个人信息权益侵权损害赔偿范围的确定应与数字社会相契合。《中华人民共和国个人信息保护法》第69条规定的个人信息权益侵权损害赔偿范围应包括精神损害，且个人信息权益侵权精神损害赔偿应适度淡化“严重精神损害”的程度要件，降低证明标准。数字社会的个人信息具有显著的财产利益，如个人信息处理者擅自利用个人信息，个人将遭受个人信息财产利益损失，理应获得相应的赔偿。个人信息权益侵权损害往往具有潜伏性、未知性等特征，如个人未来遭受实际损害具有“客观合理可能性”，应将个人为防止未来损害发生所支出的预防费用纳入个人信息权益侵权损害赔偿范围，以契合数字社会中风险规制的需要。     

个人信息保护“入典”：体系功能及其与专门立法的关系

个人信息保护"入典"是我国民事立法的创举。在专门立法之外,将个人信息保护的核心规范写入《民法典》,不仅可为个人信息的私法保护提供明确依据,还具有价值指引功能、体系解释功能和权利孵化功能。《民法典》人格权益保护的价值取向为个人信息的私法保护提供了根本性的评价基准,在其指引下,个人信息保护的具体规则可在《民法典》中得以体系化的解释和适用。《民法典》围绕个人信息自决,针对个人信息处理行为,初步形成了具体权利内容,为个人信息权利的体系化发展奠定了基础。与《民法典》的个人信息保护规范相比,《个人信息保护法》在调整对象上大同小异,但在保护方式上存在递增,其通过公法手段保护的个人权利仍然具有私权属性。该项专门法律属于领域立法,兼具公法和私法属性。个人信息的公法保护与私法保护同等重要,个人信息保护的体系性也将在两者联动中得以加强。     

走出侵犯公民个人信息罪的法益保护之迷思——超个人法益之提倡

大数据时代,公民个人信息安全岌岌可危,对侵犯公民个人信息罪的研究也越发重要,而关于该罪的法益属性存在诸多争议。本文认为,个人信息应该作为超个人法益进行保护。首先,从刑法教义学角度分析,不能得出该罪保护的法益为个人法益的结论,而是保护个人法益之上的超个人法益;其次,个人信息权是一种被“泛化”的权利,不宜作为刑法法益。大数据时代,个人信息的非个人控制性导致个人信息权的实现没有可行性基础,且个人信息具有巨大的商业价值和公共管理价值,强行保护公民个人信息权的成本过高。     

论个人信息的民法保护基础——兼论个人信息、民法保护的精神利益与物质利益

对个人信息的认定关键是能够识别信息主体,其民法保护的基础在于确立个人信息权,以个人信息权益为客体,并在具体权利中表现出不同层面.个人信息权应定性为兼有精神利益与物质利益的双重性质人格权:在人格识别意义上,精神利益具有原始性、第一性,是信息主体内在的构成部分;物质利益来源并依附于精神利益指向的主体本身,具有附属性、第二性.个人信息权是一种框架性人格权,应对包括姓名、肖像等传统具体人格在内的个人信息进行系统设计、统一调整.     

个人信息侵权的损害赔偿责任

侵害个人信息权益造成的损害包括财产损失与精神损害,因个人信息泄露而增加的未来遭受不法侵害的风险不属于损害,但个人为了避免因个人信息泄露而遭受电信网络诈骗或者其他侵权行为而支出的费用属于应当赔偿的财产损失。因个人信息权益被侵害而造成的财产损害,既包括合理的维权成本与下游损害,也包括因侵权行为导致信息主体丧失了对个人信息进行商业化利用的损失。侵害个人信息权益造成的精神损害分为两类：一是同时侵害姓名权、名誉权、隐私权等其他人格权而造成的精神损害,二是单纯地因侵害个人信息权益而给自然人造成的精神损害。对于后一种损害,即便没有达到严重的程度,也可以适用《个人信息保护法》第69条第2款。在《国家赔偿法》没有作出特别规定前,国家机关侵害个人信息权益的侵权赔偿责任性质上属于民事责任。     

作为漂流资源的个人数据权属分置设计

在大数据时代，为兼顾数据安全和数据利用，隐私计算成为助推个人信息匿名化的通行操作。个人信息匿名化剥离了个体可识别性，形成“个人数据”。隐私计算在破解“数据孤岛”的同时又形成了“数据群岛”困境，制约了数据开放共享和数据市场发展。从根本上化解这一困境需要明确个人数据权属。然而，个人数据权属问题在实践与立法中或与个人信息权属混同，或被留白处理，值得深入研究。在数据流动的链条上，个人数据表现出一种多向度、零许可流动和嵌套式增殖的漂流资源特性，蕴含着公共资源禀赋、集体人格利益和开放性财产利益，理应由全社会公有，其权属配置应采取“国家受托—社会用益”的二元分置思路。“国家受托”是国家基于公共利益要求、国家治理的必需和应急管理的必要而享有的飞行检查权、算法共享权、读取使用权等权能，“社会用益”应从建立两级用益权制度出发，通过在地化转换、共建式开放、强制性开放的途径实现。     

论我国个人信息保护立法的权利基础

美国信息隐私法以隐私权作为个人信息保护的权利基础,而德国个人信息保护法以人格权为基础。我国法上隐私权的内涵与美国法上的隐私权不同,是人格权的一种。因此,美国个人信息上的隐私权保护模式不适合中国。个人信息保护立法的目的在于保护所有体现于个人信息之上的人格利益,我国立法应以人格权为基础构建个人信息权利体系。     

信息处理者侵害个人信息权益的民法救济

我国《个人信息保护法》以实现个人信息处理中信息权益保护与合理利用之平衡为规范意旨,并赋予自然人对自我信息的决定、查阅、复制、更正、删除等权能,构成法律保护个人信息权益的前提基础,成为相对人处理个人信息与自动化决策的合法性依据。立法设计以“知情同意-同意例外”规则为个人信息合规处理的架构基础。当个人信息权益被侵害时,法官应充分运用动态系统论厘清信息权益损害的要素层次,适用过错推定原则认定信息处理者损害赔偿责任。为实现充分有效救济,权利人可考量行使人格权请求权和侵权请求权二元救济路径,明确损害赔偿具体范围,保障其人格权益和人格尊严不受侵犯。     

大数据时代企业数据边界的界定与澄清——兼谈不同类型数据之间的分野与勾连

企业数据是企业所持有的且能够以符号或代码形式表现出来的数据,是能够为企业带来经济性利益的稀缺性资源。企业数据与个人数据、公共数据在构成要件、法律属性以及权益保护路径三个维度上均存在差异性,不同数据类型之间的差异性并不意味着它们之间是完全孤立不可转化的。与个人数据"强人格权弱财产权"属性、公共数据"社会属性"不同的是,企业数据体现的是"强财产权弱人格权属性"。对个人数据及企业数据的法律保护应当作精细化的类型区分,进而实行差别化保护;公共数据采用的是管理化保护路径而非财产权化保护路径,维持私有权益与公共权益之间的平衡。厘清企业数据与其他类型数据的区别与联系,有助于推动企业数据权益法律保护制度的建构以及数据产业的崛起。     

侵害个人信息权益精神损害赔偿的制度建构

在侵权法保护路径之下,个人信息权益受到侵害是否应该以及如何获得精神损害赔偿的问题面临正当性质疑、认定标准严格、损害赔偿数额难以计算等困境,导致个人信息主体的合法权益难以获得有效保护。个人信息权益具有明显的人格属性,与个人信息主体的人格尊严、人格自由密切相关,因此个人信息权益遭受侵害时,被侵权人应获得精神损害赔偿具有一定的理论根基与实践需求。对被侵权人的精神损害赔偿的认定应该适度淡化“严重精神损害”的标准。在具体的损害赔偿数额计算方面,应以个人信息主体的实际损害或者个人信息处理者(侵权主体)的实际获利为基本依据,并构建法定赔偿数额制度。     

社会系统论视域下的个人信息权及其类型化

现代社会的网络化、大数据化带来全新的生产和生活方式,个人信息某种程度上是社会系统分配的结果,将个人信息置于社会系统考虑才是最佳认知方式。社会系统论中,信息主体、信息收集者、公众以及政府对个人信息的利益诉求呈现有机整体的特征,需要各主体之间进行协调与平衡。个人信息权的设置应协调社会与个人的关系,基本逻辑是在合理利用的基础上防止个人信息的滥用,个人信息保护适合采取社会本位立法,个人信息权应采取法定主义。基于社会合理利用的前提,在保护个人信息权人格利益和财产利益的双重目标下,可对个人信息类别化,形成不同类别的信息流通和信息保护机制。     

大数据时代的个人信息权及其法律保护

互联网时代每个人都能参与信息的发布与传递,云计算和社会化媒体等技术促进数据融通与共享,有必要完善相关法律规定来保护个人信息权。个人信息权与在其基础上产生的财产权不同,人格属性仍然是其本质特征。我国个人信息保护宜采用"基本法+特殊法"的立法保护机制,在立法上应当确立个人信息权及其权利与义务的内容;明确个人信息的保护范围及其界定标准,针对不同类型个人信息进行分层保护;采取有效救济措施,切实保障个人信息权;建立行业自律机制,完善配套制度。     

我国人格权基础理论与立法建构的再思考

厘清人格权制度的理论基础是合理建构人格权法律体系的前提。人格权是自然法层面人格伦理价值外化的结果,是以人格为客体并兼具宪法权利与民法权利二元属性的“私权利”,非财产权属性是人格权的基本特征,财产权属性是人格权的第二性特征。人格权独立成编是理想与现实权衡的较佳选择,将使民法的重心从“财产”转向“财产和人身并重”,引导人们在尊重自己和尊重他人的人性关怀中捍卫自由和平等;以“一般条款”代替“一般人格权”,采取“具体列举＋兜底条款”的立法模式,不仅有利于克服法律规定的不周延性,弥补法律“漏洞”,完善人格权体系,而且能比较好地适应社会生活变化,给法官以自由裁量权,公正处理各种案件,维护新型的人格伦理要素。