机器学习所涉数据保护合理边界的厘定

机器学习过程中会利用自然人个人信息、他人享有著作权的作品、经营者享有竞争利益的数据等,为此需准确厘清这三种数据类型的权益边界。利用自然人个人信息时,要以保护自然人人格利益为前提,同时考虑数据收集是否具有合法性和安全保障措施是否充分,谨慎地划定边界。利用他人作品时判断是否侵犯著作权需从输入结果的过程、输出结果的过程以及侵权责任主体等确定保护的合理边界。利用经营者具有竞争利益的其他数据时,构成商业秘密的数据可受保护;未经他人同意而利用他人公开的数据,应考虑是否存在竞争关系以及竞争是否正当。     

论政府数据开放中的个人信息合理使用

政府数据开放中处理个人信息的行为应随《个人信息保护法》调整,但政府数据开放与《个人信息保护法》的目标定位存在一定分歧。《个人信息保护法》中的知情同意规则无法充分证成政府数据开放中处理个人信息的行为具有合法性,进一步引入并充分解释合理使用规则,方能为该行为提供合法性基础。在知情同意、合理使用双重规则的调整之下,政府数据开放中处理个人信息的行为应当遵循“合法、正当、必要”等法治原则的指导;应将个人信息的性质、处理个人信息的目的及造成的影响“三要件”,设定为判断处理个人信息是否构成合理使用的具体标准;在适用方式上,则应根据不同类型、层级的公共利益对个人信息和数据进行分类、分级开放。     

论同意处理个人信息作为提供网络服务的对价

负担行为和处分行为区分的学理框架有助于界定用户无需付款的网络服务合同中用户同意处理其个人信息的法律属性，网络服务提供者提供网络服务的对价并非用户提供其个人信息，而是用户同意网络服务提供者处理其个人信息。解释论层面，同意处理个人信息构成提供网络服务的对价(对待给付),网络服务合同的对价性并不体现为牵连性，而是体现为条件上的联系或原因上的联系。功能论层面，同意处理个人信息作为对价涉及认定用户的同意是否自愿作出，进而影响同意的效力。“捆绑授权”情形下用户作出的同意无效，欺诈或误导情形下同意的效力须借助“跷跷板理论”进行场景化认定。     

在线平台企业个人信息保护的智能合约机制构建

个人信息保护政策是在线平台企业为维护用户个人信息权益,根据现行法律法规制定并详细说明其在获取、管理及保护用户个人信息方面的措施及文本。智能合约作为涵盖告知同意规则并自动执行的特定代码程序,在智能化应用场景下可用于实现个人信息保护政策。进入实施层面的我国《个人信息保护法》需要通过一定的程序机制来保障企业个人信息处理行为合规,现存程序机制的非智能化难以应对个人信息处理者凭借技术优势造成的过度收集和滥用现象。因此,有必要尝试运用智能合约的技术性管理功能弥补企业个人信息保护政策的不足,具体措施为：将作为智能合约底层技术的区块链进行针对性改造,使其达到保护个人信息的要求,进而发挥智能合约个性化拟制和动态化控制特性保障告知同意规则的实现,将智能合约嵌入在线平台企业处理个人信息的全过程,构建用户与平台之间以智能合约为内核的个人信息保护政策。     

政府数据开放背景下个人信息知情同意权的行政法架构

政府数据开放的趋势对于个人信息保护的要求越来越高。个人信息保护中的知情同意权是公民个人信息自决权的核心,是政府数据开放制度中必不可少的内容。知情同意权最早起源于医疗领域,是医学界保护接受测试者的基本规范,这一规范从医学伦理转化而来,最终在法律中得到确认。个人信息保护中的知情同意,要求任何主体在收集和利用个人信息时应当如实、全面地告知当事人具体情况,并征得当事人同意后方可对信息进行处理,包含具体同意和概括同意。个人信息知情同意权在行政法领域的特殊性表现为:双方主体地位不平等,知情同意权更多地表现为知情权,个人信息泄露影响巨大。同时应当构建如下规则:知情同意不能构成责任免除;概括同意和具体同意并行;剔除具有可识别性的信息,且不能恢复;制定大数据使用规范,避免出现大数据歧视。     

个人信息保护中知情同意原则的困境与出路

在大数据的背景下,企业数据活动确实具有越来越重要的社会经济功用.个人信息保护的知情同意原则,不宜追求形式上的绝对化,而应转向更加具体的实质化,以期在真正有效保护个人信息的同时,也鼓励企业更加积极而有效地开展数据活动.一方面,数据活动应获得用户清晰和明确的同意,即使个人一般信息亦然;信息主体的同意应当符合可期待性要求.另一方面,为了实现与数据活动的平衡,应当为数据活动提供必要法律豁免.立法应规定,企业数据活动的正当基础应不限于信息主体的知情同意;此外,还可以通过引入个人信息匿名化可以获得知情同意豁免的方式,鼓励和促进企业在有效开发数据和保护个人信息上齐头并进.     

个人信息保护中知情同意的困境及重构

传统的个人信息保护框架以知情同意为其原则,隐私政策正是知情同意在网络时代的具体运用。大数据分析的发展引发了对公民隐私的严峻挑战,隐私政策中知情同意的异化,使其有效性备受质疑。对此,不能完全否认知情同意原则的必要性,无论从传统民法视角而是从现行法出发,知情同意都是个人信息保护宗旨的体现。为了化解知情同意所面临的困境,提出了场景风险管理理念、社会控制理论和“弱同意”架构设计等新构想,尝试在个人信息保护与数据开发之间找到新的平衡点。     

数字经济时代个人信息保护的法治规范及机制构建

数字经济时代个人信息全面数据化成为日趋明显的现象,个人信息的数据价值,特别是商业价值的比重骤增,如何协调并处理相关法律主体之间的权利义务冲突和数据权力的扩张,如何保护个人信息的数据安全成为数字经济时代背景下的重要问题。个人信息的法治规范虽已基本成型,但国民经济和社会发展仍要求加强相关法律保障和救济,需要我国进一步完善相关机制的构建。这些机制应包括：通过做好数据溯源概念的延伸和拓展,强化数据溯源技术引导;借鉴西方的数据信托模式,建立静态与动态的个人信息数据信任“防火墙”;规范权力边界以破解数据权力的垄断,同时,用规范和机制的全面覆盖来筑牢个人信息数据链条的“安全屏障”,即我国应从多层次、多领域、多阶段为个人信息提供综合性法治规范,通过立法、司法和执法以实现对其协调、保护和促进之目的。     

大数据应用中数据收集的合法性分析

在"大数据"时代,大量的数据涉及到个人信息和商业信息,遵守相关的法律和政策、对个人信息和商业秘密进行适当和充分的保护,是企业必须面对的挑战。本文立足于大数据应用的整体环境,结合最新出台的法律法规,对数据收集的合法性进行深入浅出、条分缕析的说明,进而为企业在个人信息保护、著作权保护、不正当竞争、计算机系统保护等方面提出法律风险提示和控制措施。     

论智能裁判中的个人信息保护

随着我国大力推动"人工智能+"建设,大数据收集及智能化信息处理在法庭裁判中的运用也逐步发展.智能裁判需仰赖大量数据采集及使用,其中包含了案件中当事人的个人信息数据采集.人工智能在后台数据进行学习、分析的过程,不可避免地涉及对个人信息的侵犯,并由此引发新的问题——隐私风险和算法歧视风险.需要从技术层面和法律层面联合对个人信息进行保障,并重视人本身在科技运用中的价值,使人工智能更好地发挥其社会效能.     

论智能裁判中的个人信息保护

随着我国大力推动"人工智能+"建设,大数据收集及智能化信息处理在法庭裁判中的运用也逐步发展.智能裁判需仰赖大量数据采集及使用,其中包含了案件中当事人的个人信息数据采集.人工智能在后台数据进行学习、分析的过程,不可避免地涉及对个人信息的侵犯,并由此引发新的问题——隐私风险和算法歧视风险.需要从技术层面和法律层面联合对个人信息进行保障,并重视人本身在科技运用中的价值,使人工智能更好地发挥其社会效能.     

企业数据财产权与用户个人信息权益之冲突与协调

数据保密性与知情权的冲突、数据控制权与被遗忘权的冲突以及数据泄露与敏感信息非公开性的冲突,是我国企业数据财产权与用户个人信息权益冲突的主要类型。协调企业数据保密性与用户知情权的冲突可从两方面入手,一方面将去识别化后的个人信息确定为企业所有,另一方面由于用户对信息享有知情权,企业需履行告知义务,考虑告知平台的运行成本,可采分级告知的形式。协调数据控制权与被遗忘权的冲突,一是限制企业数据交易的对象为非敏感信息,二是引入被遗忘权,即给予信息主体请求数据控制者删除尚未被去识别化个人信息的权利。协调数据泄露与敏感信息非公开性的冲突,就企业而言,需细化隐私协议,规范个人信息的收集、使用及存储,约定个人信息交易范围;就立法而言,应尽快建立个人信息侵权赔偿机制,明晰精神损害赔偿的适用标准,可将社会地位是否降低、工作生活是否受到影响等列为参考因素。     

韩国《个人信息保护法》的最新修正及其对我国之启示

基于提升对核心资源数据的利用活性化,发展新产业等目的,韩国立法机关在2020年对《个人信息保护法》进行了幅度最大且最具有现实意义的一次修正。此次新增“假名信息”的概念并明确其具体的含义,否认需要耗费极多时间和费用、运用超前技术才能被识别的信息属于个人信息。与此同时,还扩大了“知情同意原则”的例外情形,认为只要与收集信息的目的合理关联,在满足一定条件的前提下可以不经信息主体的同意利用或者向第三者提供个人信息。若是出于统计、科学研究、公益记录保存等目的,亦可无须信息主体的同意对个人信息进行假名处理。这些修正内容为今后《中华人民共和国个人信息保护法》的进一步完善提供了诸多有价值的启发,可以积极地予以借鉴。具体而言,应当在《中华人民共和国个人信息保护法》中肯定匿名化信息的相对性,确立目的相关联原则以及合理框定不适用“知情同意原则”的情形。     

侵犯公民个人信息罪刑法适用的调整和重构

司法解释有关侵犯公民个人信息罪中的个人信息的定义应同《个人信息保护法》的规定保持一致。合法获取但非法使用个人信息的行为亦应构成侵犯公民个人信息罪。侵犯公民个人信息罪是故意犯罪且相关行为应具有法益侵害具体结果。获得公民知情同意的侵犯公民个人信息行为不构成侵犯公民个人信息罪,"公民知情同意"的效力应当以《个人信息保护法》赋予公民最后一次行使同意权的效力为基准。侵犯公民个人信息罪的保护法益应为与公民人格、财产权紧密关联的个人信息自决权。司法解释对"情节严重"的认定应根据个人信息对公民个人利益影响的紧密程度以及行为人的主观动机两个方面综合考量。司法解释应采用《个人信息保护法》的分类方式,将个人信息区分为敏感个人信息和一般个人信息两种,并对侵犯公民个人信息再犯情形的构罪标准进行修改。     

大数据时代个人信息保护的路径探索

当人类社会逐步进入大数据时代,个人信息的资源性价值日渐突出.个人信息权属于一项集合了人格权和财产权于一体的新型权利,与知识产权具有相似性,在对保护个人信息的路径进行探索时,可以从二者的权利相似性出发,在知识产权制度框架内为个人信息保护寻求"制度模板".通过借鉴知识产权法相关制度,对个人信息保护进行制度设计,从而形成顺应"大数据"时代背景的个人信息利用与保护的制度.     

从静态到动态:场景理论下的个人信息保护

随着互联网场景时代的到来,静态保护个人信息安全面临诸多挑战,个人信息保护需要"由静至动".场景理论是一种动态分析框架,可以尝试将其运用于个人信息保护实践,构建个人信息动态保护框架.在场景理论下,个人信息保护的内在逻辑是动态地保护个人信息安全,价值追求是统筹兼顾地保护个人信息所有者和个人信息处理者的利益,遵循动态平衡、合法、必要、正当等原则.基于个人信息保护的内在逻辑、价值追求、遵循的原则,个人信息动态保护的实现需要重新界定个人信息,重塑知情同意规则,设计针对性的个人信息处理规则.     

识别与再识别:个人信息的概念界定与立法选择

大数据时代,数据已成为社会生产和经济发展的关键要素,个人信息在提高政府决策水平、企业精准营销、社会管理创新等方面具有巨大的潜在利用价值.纵观全球,以欧盟为代表的个人信息保护单行立法模式成为当前世界各国的主流做法.国际社会在个人信息的界定上基本形成了以可识别性为核心判定标准的共识;但个人信息界定的动态性和场景性不仅带来了司法认定上的困难,也使企业在匿名化处理问题上无所适从.充分借鉴国外立法,以加强个人信息权顶层设计为核心,通过事前同意、事中风险评估和事后个案认定机制来弥补个人信息界定的固有缺陷,是提升中国未来民法典人格权编和个人信息保护法科学性的应有之义.     

电子商务环境下个人信息保护制度的几点思考

立法模式、保护原则和标准是个人信息保护制度中的重要内容.综合立法、部门立法、共同规制和行业自律是国际社会采取的主要立法模式.EU、OECD和APEC等颁布实施的个人信息保护法中确立了高度一致的基本原则即由同意、控制和安全管理构成的"3C"原则,而且都将"可识别性"作为保护个人信息的标准.我国《个人信息保护法》已启动立法程序,对上述问题的研究与分析将有助于理清我国相关立法的思路.     

大数据时代个人信息被遗忘权法理辨析——基于欧美隐私自主与言论自由博弈视角

个人信息被遗忘权是在欧美隐私自主与言论自由的博弈中产生和发展的。基于文化传统、历史缘由、现实考量等原因,一些欧美国家虽然认识到大数据时代个人信息被遗忘权对于人权保护的重要作用,但各国对个人信息被遗忘权的法理逻辑取向并不相同,欧盟针对大数据时代隐私保护策略明确赋予互联网用户个人信息被遗忘权,而崇尚言论自由的美国并未将个人信息被遗忘权认同为普遍法律权利。大数据时代个人信息被遗忘权法理逻辑的再定位,应当立足于在隐私自主与言论自由博弈的衡平中探寻价值理念上的交集,协调"公益"与"私益"的冲突,坚持"目的和约定优先"原则,规范相关权利的空间布局。     

“场景完整性理论”的应用检视和功能再造——以个人信息保护司法裁判为视角

“场景完整性理论”重视纠纷化解的个性化、差异化应对,强调以动态的规范模型构建个人信息保护框架,在国外立法和司法实践中的应用越来越多。在我国个人信息保护纠纷司法裁判中,不乏在个人信息认定、判定同意规则的合理使用和利益平衡等问题上运用该理论化解争议,司法实践暗含着可归纳的理论应用规则,同时也暴露出舶来理论在我国司法实践中应用的不适应性。一方面,既要从已有的个人信息纠纷裁判中归纳总结该理论在司法应用上的实践经验与共性,提取纠纷化解的公因式;另一方面,对该理论也要做出符合我国实践需要的适当改进和创新,在理论基础上设计出与我国个人信息保护纠纷更契合的司法评价方案,回应个人信息保护实践关切。