信托关系视角下个人信息处理行为规则的类型化

个人信息处理是覆盖信息流动全过程的多种不同行为,具体信息处理行为的风险因场景变化存在差异,增加了形成具有统一标准之行为规则的难度。解决个人信息处理行为标准不统一问题需要纠正目前对个人信息处理行为规则缺乏类型化的错误导向,以重构个人与个人信息处理者之间的信托关系。个人信息处理行为规则应以法律规则的效力实现方式作为类型化标准,信息关系中具体信义义务的内容和范围作为考量因素,具体包括应为模式、勿为模式、可为模式三种规则类型。个人信息处理行为规则类型化在我国《个人信息保护法》中的解释需要明确个人信息处理者在应为模式下的覆盖信息处理全过程的告知义务和安全保护义务,勿为模式下的自动化决策要求和可为模式下的弹性化、场景化引导和激励措施,由此形成规则、标准、行业习惯的多元共治。     

信托关系视角下个人信息处理行为规则的类型化

个人信息处理是覆盖信息流动全过程的多种不同行为,具体信息处理行为的风险因场景变化存在差异,增加了形成具有统一标准之行为规则的难度。解决个人信息处理行为标准不统一问题需要纠正目前对个人信息处理行为规则缺乏类型化的错误导向,以重构个人与个人信息处理者之间的信托关系。个人信息处理行为规则应以法律规则的效力实现方式作为类型化标准,信息关系中具体信义义务的内容和范围作为考量因素,具体包括应为模式、勿为模式、可为模式三种规则类型。个人信息处理行为规则类型化在我国《个人信息保护法》中的解释需要明确个人信息处理者在应为模式下的覆盖信息处理全过程的告知义务和安全保护义务,勿为模式下的自动化决策要求和可为模式下的弹性化、场景化引导和激励措施,由此形成规则、标准、行业习惯的多元共治。     

论同意规则在个人信息保护中的适用 ——以情景类型化为视角

同意规则是勾勒信息主体的人格利益与信息处理者财产利益的重要分界线,然而信息主体的理性缺失、信息处理者的程序操纵以及第三方信息处理者处理的未知风险导致同意规则的功能逐渐弱化.依据情景类型化的规范设计是破解同意规则适用困境的关键,基于此,可根据个人信息处理的参与主体、信息类型和处理行为分为收集、转让、共享三种情景.首先,收...     

利益衡平视角下个人信息处理规则研究

个人信息承载着多重利益,在个人信息处理中,容易引发个人与组织、社会以及国家之间的多元利益冲突。个人信息的内涵和外延界定不清,个人信息处理行为不规范,是引发利益冲突的重要原因。把握利益衡平的价值理念,在个人信息处理中寻找各方利益契合点,是消除利益冲突的有效途径。在个人信息处理规则的阐释与适用中,应当以利益衡平为目标,在“合法、正当、必要、诚信”的基础上,准确把握“知情同意”规则的适用要求与例外情形,关注敏感个人信息保护,促进一般个人信息利用,规范个人信息处理行为,实现个人信息保护与信息合理利用的动态平衡。     

个人信息保护的法律问题研究

随着科技的不断创新和发展,人类已经步入信息社会,不管是政府部门还是非政府部门在进行各种活动时都会收集、储存大量的个人信息,但是中国目前个人信息保护方面的法制建设相对落后,个人信息泄露现象日益严重。在分析我国个人信息保护相关立法现状的基础上,借鉴欧盟、美国、日本等国家和地区关于个人信息保护的法律制度,明确了信息主体对个人信息享有的权利属性,规范了信息处理者的个人信息处理行为,肯定了在保护个人信息的同时应兼顾信息流通。     

论《民法典》中自甘风险的适用范围与认定标准——基于92份判决的实证考察

《民法典》第一千一百七十六条确立的自甘风险是一项具体且严格限定适用范围的法律规则，“具有一定风险的文体活动”和“因其他参加者的行为受到损害”,从适用场景和行为主体两方面框定了自甘风险规则的适用范围。基于立法目的，对适用范围的法律解释应采严格解释立场。该法条所构建的自甘风险包含主观要件、客观要件和消极要件三个方面，主观要件强调知情和自愿，客观要件强调损害系固有风险现实化结果，消极要件强调行为人非故意和重大过失。对主观要件的认定，应采用“客观标准”推定受害的主观状态；对固有风险的认定，应采用“场地性”标准；对行为人过错的认定，应对犯规行为进行法律评价，只有对损害结果具有故意或重大过失的犯规行为，才能排除适用自甘风险规则。     

商品化权侵权责任的认定——以我国《侵权责任法》一般条款的适用为视角

在我国,商品化权虽非法定权利,但属于《侵权责任法》保护的民事权益,《侵权责任法》的一般条款能够为商品化权侵权责任的认定提供依据。由于《侵权责任法》中一般条款的规定过于原则,因此应在一般条款概括的侵权责任构成要件的基础上,明晰商品化权侵权责任认定中的几个问题：认定侵犯商品化权的行为,应以＂可识别性＂为标准;侵犯商品化权的结果,不必限定为实际损害,采用＂损害的可能性＂标准为宜;过错只是影响商品化权侵权之损害赔偿责任的因素,而并非一切责任方式的要件。     

个人信息自动化处理领域的个人信息保护规则

个人信息自动化处理技术能大量存储个人信息、整合诸多个人信息片断以及给第三人获取个人信息创造便利条件,属于对个人人格和财产具有较高加害危险的领域。因此,有必要在此领域引入以信息禁止原则为出发点的个人信息保护规则：原则上禁止收集、处理和利用个人信息,除非得到信息主体的同意、符合法定事由或者具有其他合法利益;收集个人信息时的目的限制了日后的处理和利用行为。另外,在这个高度危险领域,应当赋予信息主体干预信息处理过程的权利,具体包括：查询权、更正错误信息的权利、删除错误信息的权利等。我国未来的个人信息保护法应当将上述严格的保护规则限定在个人信息自动化处理行为上。     

委托处理个人信息的私法规制

委托处理个人信息是信息流动、共享与利用的必然选择。《个人信息保护法》第21条专门为委托处理个人信息提供了规范基础,填补了《民法典》《电子商务法》《网络安全法》等规范空白,但就该条的规范内容如何解释适用,对委托处理私法规制的目的、对象及方式等要素的具体展开,仍需藉由解释论予以完善。由于司法实践中,信息处理者通常会援引其与第三人之间存在合同或其他交易安排,系由他人造成了损害而与自身的处理行为无关,给信息主体的权益保护带来了挑战,这构成了委托处理私法规制的核心。作为对委托处理进行私法规制的基础论证,委托处理的法律结构不同于共同处理,信息处理者与受托人之间为从属关系,信息处理者决定了处理的目的、方式,受托人只能按信息处理者的指示处理个人信息。为了更好地保障信息主体的合法权益,委托处理关系内部合同应当包含必备条款以确保受托人合法处理数据,且信息处理者可以检查受托人是否遵守这些规定。相较于《个人信息保护法》第20条由内部主体约定各方的权利义务,第21条第1款详细列举委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等事项,是值得肯定的立法选择。结合《个人信息保护法》第21条第2款以及域外法的通常规则,受托人应当承担依指示处理、服务结束后的返还(或删除)、保密三项法定义务。此外,在转委托、告知同意以及适当化任命与监督上不能适用委托合同的一般规则,其目的在于确保受托人正确、合适地履行职责,遵守个人信息保护法规。对于各方的责任承担,《个人信息保护法》第69条规定了损害赔偿责任,同时,依靠《民法典》规范实现体系拓展,使信息主体的权益救济不仅可以通过人格权编加以解决,还可以通过侵权责任编进行兜底保护。然而,《个人信息保护法》第21条并未规定信息处理者与受托人之间如何进行责任划分,构成法律漏洞。为消解委托处理中责任主体不明的救济困境,应当通过连带责任规则实现信息主体的权益救济。具体而言,在漏洞填补上可以借助共同危险行为理论,类推适用《民法典》第1170条的规定,除非能够证明损害确实是由对方引起,否则要求信息处理者与受托人就同一处理中的损害承担连带责任。     

大数据时代公民个人信息刑法保护的边界——以“违反国家有关规定”的实质解释为中心

"违反国家有关规定"是成立侵犯公民个人信息罪的前置性条件,对其性质和地位的正确把握,是确定公民个人信息刑法保护边界的重要依据。在本罪中"违反国家有关规定"仅仅是为提示违法性而存在,而不是构成要件要素。本罪所保护的法益是个人生活的安宁,而不是所谓的信息自决权。在本罪司法认定过程中,"违反国家有关规定"有两个层面的价值和意义：一方面在认定行为人的行为符合构成要件之后,通过"违反国家有关规定"的提示违法性功能,审查行为人的行为是否具有违法阻却事由即法律上的根据;另一方面,在行为人的责任评价阶段,通过本罪所保护的法益对"违反国家有关规定"的实质解释评价行为人违法性认识的有无、错误的可避免性,进而作出行为人的行为是否可归责的评价。