委托处理个人信息的私法规制

委托处理个人信息是信息流动、共享与利用的必然选择。《个人信息保护法》第21条专门为委托处理个人信息提供了规范基础,填补了《民法典》《电子商务法》《网络安全法》等规范空白,但就该条的规范内容如何解释适用,对委托处理私法规制的目的、对象及方式等要素的具体展开,仍需藉由解释论予以完善。由于司法实践中,信息处理者通常会援引其与第三人之间存在合同或其他交易安排,系由他人造成了损害而与自身的处理行为无关,给信息主体的权益保护带来了挑战,这构成了委托处理私法规制的核心。作为对委托处理进行私法规制的基础论证,委托处理的法律结构不同于共同处理,信息处理者与受托人之间为从属关系,信息处理者决定了处理的目的、方式,受托人只能按信息处理者的指示处理个人信息。为了更好地保障信息主体的合法权益,委托处理关系内部合同应当包含必备条款以确保受托人合法处理数据,且信息处理者可以检查受托人是否遵守这些规定。相较于《个人信息保护法》第20条由内部主体约定各方的权利义务,第21条第1款详细列举委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等事项,是值得肯定的立法选择。结合《个人信息保护法》第21...     

网络民营企业数据合规的风险防范与体系建设——以Z公司非法获取计算机信息系统数据案为视角

数据合规作为信息网络社会中企业合规的具体类型之一,它通过促进信息网络公司依法依规处理信息数据,实现企业利益与国家安全、个人信息保护的有效平衡,有利于实现个人信息保护和数据安全领域的“国家监管”向“合规治理”模式转变。信息网络公司作为数字经济时代和网络社会的“看门人”,数据合规是其履行信息网络安全管理义务的必要途径。从数据的完整生命周期来看,数据合规风险主要包括数据收集中的合规风险、数据提供中的合规风险、数据跨境中的合规风险等不同类型。企业需要根据《数据安全法》《个人信息保护法》等法律法规来制定相应的合规政策,在数据分类分级基础上确立不同类型数据的处理流程和内部规则,建立贯穿数据收集、存储、处理、提供、销毁等完整生命周期的数据合规体系,在公司治理结构中设置以数据安全负责人/个人信息保护负责人为核心的数据合规组织机构。     

大数据时代个人信息保护的行政监管立场及其智慧化转型

[提要]《个人信息保护法》在“告知—知情—同意”框架基础上,创造性地设置了以行为规制为中心的个人信息权益保护模式。行政监管的功能在这一全新保护模式中能否准确定位,关系到个人信息保护的成效。然而相比于大数据时代的飞速推进,行政监管的长期踯躅导致信息保护效果并不理想,因而亟需对个人信息保护法中行政规范条款进行重新诠释。在法理逻辑上,行政监管介入个人信息保护旨在建构“明确保护个人信息权益”“规范个人信息处理活动”“促进个人信息合理利用”三者的有效连接,维护个人信息的良性使用秩序。在价值立场上,行政监管应以协调个人信息处理中的不平等关系为基本取向,调和个人信息主体和信息处理者的非对称关系,以平等主体之间的不平等结构为调控重点并平衡公私主体间的不平等关系。个人信息保护中的行政监管需维护“告知—知情—同意”的基本保护模式,并加强针对信息处理者自我规制的行政监督,同时还须依循数字社会的变化向智慧化监管转型,创新技术监管方式以加强行政监管的职能建设。     

个人健康医疗数据可携权的本土化

数据可携权的提法源自欧盟2016年《通用数据保护条例》，出于健康医疗领域数据来源者权利保护与数据资源共享的需求，我国也存在设立个人健康医疗数据可携权的现实必要性，但该权利设立面临立法、司法与数据安全方面的障碍。我国《个人信息保护法》第四十五条第三款首次规定了个人信息携带权，但仅作原则性规定，为个人健康医疗数据适用该条款留下了解释空间。信息与数据虽然存在内容与形式的区别，但根据有关理论与实践，将个人健康医疗数据归入可携权的客体范畴具有一定合理性与可行性。因此，建议参照适用《个人信息保护法》个人信息携带权的规定，并通过部门规章和司法解释明晰个人健康医疗数据可携权的行使条件和健康医疗数据安全保障义务，从而推进我国个人健康医疗数据可携权的设立及保障。     

个人信息保护领域公益诉讼的法理困境及其纾难——兼论违反“公共利益豁免规则”的公益诉讼应对

将《个人信息保护法》第70条视为个人信息保护领域公益诉讼的规范渊源会造成法益保护的限制与公益诉讼风险防范机能的减损,应以“保护群体公民的信息自决权”“保护国家的数据主权”和“防范信息处理活动引发其他社会公共利益风险”三个角度建构个人信息保护领域公益诉讼法益体系。在违反“公共利益豁免规则”的场合,公共利益存在个案的层次性差异,相应的信息处理活动规范要求也不尽相同,应参照GDPR区分“重要或重大公共利益”和“一般公共利益”。公益诉讼可以提出“去标识化”的技术合规主张,并借助“专家审查+安全港制度”进行“去标识化”认定,但仍应警惕“去标识化”只是“附加保障”,而非一劳永逸的安全。     

大数据时代下被遗忘权的理论思辨与本土构建

大数据时代，网络技术的发展引发信息危机，激发了公众个人信息“被遗忘”的需求。被遗忘权是数据主体基于信息自主，采取特定手段将其已经公开的个人信息重新归于隐私领域从而使公众遗忘的权利。被遗忘权与我国《个人信息保护法》第47条所规定的删除权在界定和适用上均有区别。作为个人信息权中的具体权利，被遗忘权能够提高个人尊严的保护力度，弥补立法和司法漏洞；同时强化信息处理者在信息传播过程中的责任，规范企业操作。在我国当前民事法律体系的立法背景下，未来应当将被遗忘权的构建纳入《个人信息保护法》的立法框架内，在立法设计上明晰被遗忘权的权利边界，贯彻适用中的必要原则；在实施机制上建立数据保护体系，推动行业自律。     

《个人信息保护法》下网络平台的地位和责任构造

平台在内容收集和传播环节上的自主性决定了它属于《个人信息保护法》下的信息处理者,而相应的合规义务不仅会侵害内容发布者的合法权益,减损信息自由传播效率和公众言论自由,还有可能颠覆平台的商业模式。应当正确认识平台信息处理者和网络服务提供者的双重身份,避免采取任何一种全无或全有的责任适用方式。在由典型的网络服务提供者和典型的信息处理者作为两端的类型光谱上,根据平台对内容收集和传播的自主性,将其分为信息处理受托者、类信息处理者和非典型信息处理者,分别配置责任范围,并以过错推定责任作为激发其履行个人信息保护义务的动力,兑现我国高水平保护个人信息的承诺。     

我国个人信息保护现状及立法思考

信息社会中,个人信息作为主要财产形式之一,具有价值和使用价值.个人信息的经济价值使其参与到经济社会中,并被最大限度地收集、使用和处分.由于我国《个人信息保护法》的缺失,致使个人信息泄露并被非法利用等行为大量存在,严重威胁个人利益、社会利益乃至国家安全,而现有法律法规对个人信息保护的分散规定不利于保护个人信息,制定《个人信息保护法》迫在眉睫.     

未成年人个人信息权民法保护的立法思考

随着互联网的迅猛发展,公民个人信息被侵害的事件频频发生,未成年人是一特殊的弱势群体,个人信息被侵害的事件更是屡见不鲜,应加强对未成年人个人信息权的民法保护.个人信息权是一项新型、独立的人格权,将个人信息权作为一项重要的民事权利在人格权法中予以确认,同时,制定一部《个人信息保护法》对个人信息权进行专门保护,对个人信息权保护的法律体系中,应对未成年人这一弱势群体进行特殊保护,或制定一部未成年人个人信息保护特别法,或在《个人信息保护法》中对未成年人个人信息单列章节进行保护,为未成年人的成长营造一个健康、安全的环境.     

论我国个人信息法律保护的制度构建

个人信息是人格权的重要组成部分。然而,我国目前对个人信息保护的形势不容乐观。对于个人信息采取何种保护模式,学界进行了广泛而有益的探讨。为了充分保护个人信息权,规范信息流转制度,维护数字社会的信息安全,我们亟需制定一部统一的个人信息保护法,构建健全的权利制度保障体系,从而实现信息社会的可持续发展。     

数字时代侵害个人信息的归责原则适用——以类型化为视角

数字时代，个人信息应用范围愈加广泛，同时，个人信息侵权现象较为普遍。侵害信息呈现主体多样性、侵害方式专业性、隐蔽性等特点。通常，不同主体处理个人信息过程中可能会损害信息主体的人格权、财产权等合法权益。个人信息侵权视阈中侵权责任归责原则一概适用过错责任归责原则难谓合理。根据我国《民法典》《个人信息保护法》等法规，并结合不同类型信息处理主体、侵害不同敏感度个人信息境况，应精细个人信息侵权责任归责原则，明确不同侵权主体和侵害不同类型个人信息的侵权责任归责原则，有利于平衡个人信息保护与合理利用间的关系。     

在线平台企业个人信息保护的智能合约机制构建

个人信息保护政策是在线平台企业为维护用户个人信息权益,根据现行法律法规制定并详细说明其在获取、管理及保护用户个人信息方面的措施及文本。智能合约作为涵盖告知同意规则并自动执行的特定代码程序,在智能化应用场景下可用于实现个人信息保护政策。进入实施层面的我国《个人信息保护法》需要通过一定的程序机制来保障企业个人信息处理行为合规,现存程序机制的非智能化难以应对个人信息处理者凭借技术优势造成的过度收集和滥用现象。因此,有必要尝试运用智能合约的技术性管理功能弥补企业个人信息保护政策的不足,具体措施为：将作为智能合约底层技术的区块链进行针对性改造,使其达到保护个人信息的要求,进而发挥智能合约个性化拟制和动态化控制特性保障告知同意规则的实现,将智能合约嵌入在线平台企业处理个人信息的全过程,构建用户与平台之间以智能合约为内核的个人信息保护政策。     

死者人格保护的伦理基础——兼论《民法典》第994条同第185条的体系调适

死者人格保护问题上存在诸多理论解释方案,其中以"近亲属保护"说为通说。《民法典》颁布后,该问题既有解释方案或因存在理论体系上的漏洞,或因不再符合现实的保护要求而无法通过逻辑周延性标准、体系严密性标准及客观现实性标准的三重检验,亟须构建新的理论诠释框架。死者人格保护的价值基座在伦理领域,表现为一种普遍的道德义务为所有生者遵守,该道德义务通过上升为法定义务的方式为民法吸纳。以《民法典》第994条为一般条款,第185条为特殊条款可以构建起死者人格保护的规范体系,条文表述不同反映现实不同的伦理取向,但不影响二者统一于共同的公共利益维护之目的。以此为基础,未来死者人格保护的规范体系存在进一步类型化的潜力及可能。     

《民法典》个人信息保护规定与数据资产治理观念的协调路径

除《民法典》总则编有少量针对个人信息保护的规定外,《民法典》对个人信息保护的规定主要集中于人格权编。在实践中载有个人信息之数据的利用价值日益显现,故针对个人信息的财产属性以及数据利用在《民法典》适用语境下的解释路径成为学界与业界关注的重点之一。人格权编下个人信息保护的规定自然是从保护私主体的人格尊严出发,相关规定不涉及亦不排斥载有个人信息之数据的市场化利用;《民法典》总则编第125条及第127条规定已为数据权利保护与数据利用规范的适用除外提供空间,《数据安全法》与《个人信息保护法》的规定可藉逐渐成形的数据资产治理观念实现与《民法典》规定的协调,表彰其所内含之个人信息的财产属性,亦可避免一些涉及《民法典》适用范围的理论争议。     

论个人信息侵权中的“损害”

数字时代背景下,个人信息侵权中的损害与传统私法中损害的经典概念之间存在龃龉,使得个人信息侵权难以被损害赔偿请求权所涵盖。《中华人民共和国个人信息保护法》第69条中的损害包括财产损害与非财产损害,但司法实践中几乎不存在财产损害;同时,作为精神损害赔偿适用要件之一的严重精神损害也较少出现。个人信息侵权的实质是对人格利益,即人格自由与尊严的损害,从损害救济角度来看,传统的“损害”概念应当进行革新与扩张。故而,将非严重精神损害与升高的未来风险纳入个人信息侵权损害概念体系之中,具有一定的理论基础与比较法解释基础。为了促进《中华人民共和国个人信息保护法》的适用和对被告予以充分威慑,文章认为,应当基于损害类型构建赔偿责任体系,淡化精神损害赔偿认定的标准,引入惩罚性赔偿制度,确定侵害个人信息权益的小额损害最低赔偿限额。     

电子商务环境下个人信息保护制度的几点思考

立法模式、保护原则和标准是个人信息保护制度中的重要内容.综合立法、部门立法、共同规制和行业自律是国际社会采取的主要立法模式.EU、OECD和APEC等颁布实施的个人信息保护法中确立了高度一致的基本原则即由同意、控制和安全管理构成的"3C"原则,而且都将"可识别性"作为保护个人信息的标准.我国《个人信息保护法》已启动立法程序,对上述问题的研究与分析将有助于理清我国相关立法的思路.     

论个人信息保护执法机构的设置及其职能

《个人信息保护法》作为规范个人信息的处理,保护自然人的人格权,保障个人信息合法利用的专门法律,其功能的有效发挥离不开一个权威、独立的执法机构。本文在介绍国外相关个人信息保护执法机构设置及职能的基础上,阐述其对我国个人信息保护执法机构的设置及职能的参考和借鉴作用。     

双层社会下短信嗅探犯罪刑法规制研究

在双层社会背景下，针对短信嗅探犯罪的刑法规制陷入困局，由于保护法益范畴不明，导致无法对技术作出合理的刑法解释，并且适用的罪名存在竞合。短信嗅探犯罪的保护法益包括财产法益和公民个人信息法益，所以应该适用双重法益说。由于受双层社会场域特征的影响，短信嗅探犯罪实行行为的认定标准和刑法解释发生异化，应该基于保护公民个人信息法益来解释实行行为。在具体规制路径的选择上，应该适用盗窃罪来保护财产法益，与侵犯公民个人信息罪数罪并罚，并在量刑标准上“升维”，保持刑法谦抑性。     

论非基于个人同意的个人信息处理与单独同意规则的体系解释

出于个人信息保护与利用相协调的目的，立法者对个人信息设置了与著作权法的合理使用规则类似的无需个人同意的个人信息合理使用规则，赋予了个人信息处理者在特定情形下无需取得个人同意而实施个人信息处理行为的合法性。合理使用规则对自主决定权的限制不能类推得出知情权同样被限制的结论。不同于《通用数据保护条例》对一般情形和特殊情形相区分的双层合理使用规则，我国并没有对特殊情形下的合理使用规则进行单独设置，因此产生了合理使用规则与单独同意规则在具体适用时的排斥竞合。在解释论视角下，通过体系解释可以得出原则上单独同意优先于合理使用规则适用的结论。同时，限制个人知情权的例外条款可以作为个人信息合理使用规则的制度填补，在敏感信息等特殊场景下妥适地协调个人信息保护与利用的关系。     

论私密信息侵权归责原则的适用

《个人信息保护法》规定侵害私密信息致人损害适用过错推定原则,《民法典》将私密信息当作隐私权的保护对象,隐私侵权属于一般侵权行为,根据《民法典》适用的是过错原则。故个人信息权益与隐私权不可避免会发生重叠保护,亟待厘清。其中,因侵害私密信息构成侵权时,个人信息处理者的财产损害赔偿责任与精神损害赔偿责任适用过错推定原则;反之则适用过错原则,但为充分保护信息主体的合法权益,应降低信息主体对过错要件的证明标准。为了避免精神损害赔偿制度的滥用以及平衡信息主体与侵权主体之间的利益,应在对精神损害的“严重性”有所要求的同时降低对其认定的标准。