《个人信息保护法》中“告知—同意”规则的适用

《个人信息保护法》所确立的“告知—同意”规则中“同意”的性质应是一种与“告知”相对应的意思表示,两者达成双方法律行为,进而设立个人与信息处理者之间的法律关系。单独同意、书面同意、重新取得同意、监护人同意均是特别形式的“同意”,所对应的告知应包含特定内容,要根据法律要求的严格程度进行分层适用,并结合个人合理预期和社会发展要求来分析其适用。     

论非基于个人同意的个人信息处理与单独同意规则的体系解释

出于个人信息保护与利用相协调的目的，立法者对个人信息设置了与著作权法的合理使用规则类似的无需个人同意的个人信息合理使用规则，赋予了个人信息处理者在特定情形下无需取得个人同意而实施个人信息处理行为的合法性。合理使用规则对自主决定权的限制不能类推得出知情权同样被限制的结论。不同于《通用数据保护条例》对一般情形和特殊情形相区分的双层合理使用规则，我国并没有对特殊情形下的合理使用规则进行单独设置，因此产生了合理使用规则与单独同意规则在具体适用时的排斥竞合。在解释论视角下，通过体系解释可以得出原则上单独同意优先于合理使用规则适用的结论。同时，限制个人知情权的例外条款可以作为个人信息合理使用规则的制度填补，在敏感信息等特殊场景下妥适地协调个人信息保护与利用的关系。     

论敏感信息二元同意规则的刑法构造

刑法中针对敏感信息建构同意规则的突破口在于《个人信息保护法》第32条的规定。敏感信息二元同意规则的刑法构造具备理论根据和现实基础。二元同意规则以对信息法益属性的准确厘定为前提，在信息分类的基础上通过结合一般恐惧理论对敏感信息敏感等级进行划分，最终得出针对敏感程度极高的敏感信息同意无效的结论。刑法对于高度敏感信息同意无效的情形还涉及到后续保障问题的探讨，这又可以细分为司法及立法上的双重启示。司法上的启示主要以对《刑法》第253条之一“情节严重”的解释为切入点，即对侵犯高度敏感信息行为“情节严重”的入罪判断不应当再局限于“量”的标准。立法上的启示主要以侵犯个人信息的“行为”为切入点，以《个人信息保护法》为参照进一步细化刑法中侵犯公民个人信息的行为方式，最终拟提出增设“滥用公民个人信息罪”的构想。     

个人信息同意任意撤回：目的、体系与规则

个人信息同意任意撤回构成对个人信息同意这一有效意思表示的撤销,但与《民法典》第147～152条规定的可撤销法律行为有若干不同,其规范目的在于保障个人信息自决。就权利行使而言,个人信息同意任意撤回权的权利主体是信息处理所涉及的个人。撤回同意时,个人应具有辨认和控制能力。个人信息同意撤回不受期间限制,既可采取书面形式,也可采取口头形式。处理者应提供便捷的撤回方式并保证撤回是免费的。同意被撤回后,处理者应停止处理并删除个人信息,但不影响撤回前已进行的处理的效力。在未通过“捆绑禁止”测试时,处理者不得以同意被撤回为由拒绝提供产品或服务。随着数字经济的发展,出现了若干限制个人信息同意撤回权的尝试。     

个人信息处理中个人同意规则释论

我国《个人信息保护法》关于信息主体同意的规定存在着内在缺陷,需要进一步细化改进和完善。在个人同意的性质上“意思表示说”与“处分行为说”难以成立,应将其定性为准法律行为,在性质允许的范围内适用法律行为的相关规定。信息主体表示同意无需局限于书面形式,口头形式或行为推定方式亦无不可。信息主体须具有民事行为能力,年满14周岁的未成年人具有同意能力,除此之外的未成年人与成年被监护人做出的同意无效。信息主体受到欺诈、胁迫以及在压迫关系下做出的同意无效。处理者通过违法处理个人信息取得的同意无效。     

《民法典》中私密信息的内涵——兼论私密信息与敏感个人信息的关系

我国《民法典》采用了隐私权与个人信息并立保护的"二元模式",并将"私密信息"作为二元并立的交叉部分规定在第1034条第3款,形成了《民法典》私密信息与一般个人信息的划分.《民法典》中未对"私密信息"作出界定."私密信息"的内涵为可直接或间接识别至特定自然人,且不愿为他人知晓的信息;同时"私密信息"应受到公共利益的限制.与《民法典》的分类不同,《个人信息保护法》采用的是敏感个人信息与一般个人信息的分类.但是,"敏感个人信息"不等于"私密信息",二者之间是包含与被包含的关系.二者在内涵上存在重叠;信息主体对"私密信息"的控制程度远高于"敏感个人信息";"敏感个人信息"的外延大于"私密信息".     

利益衡平视角下个人信息处理规则研究

个人信息承载着多重利益,在个人信息处理中,容易引发个人与组织、社会以及国家之间的多元利益冲突。个人信息的内涵和外延界定不清,个人信息处理行为不规范,是引发利益冲突的重要原因。把握利益衡平的价值理念,在个人信息处理中寻找各方利益契合点,是消除利益冲突的有效途径。在个人信息处理规则的阐释与适用中,应当以利益衡平为目标,在“合法、正当、必要、诚信”的基础上,准确把握“知情同意”规则的适用要求与例外情形,关注敏感个人信息保护,促进一般个人信息利用,规范个人信息处理行为,实现个人信息保护与信息合理利用的动态平衡。     

个人信息保护中告知同意规则的规范构造

告知同意规则在个人信息保护中处于重要地位,但是告知同意规则在适用中存在诸多问题。引入激励机制能够促进信息处理者积极履行告知义务以及信息主体提供更高质量的“同意”。在对信息处理者激励的层面上,赋予告知同意规则以排除管理性强制性规定的功能,并限制信息主体单方变更权的行使范围。在对信息主体激励的层面上,赋予信息主体可选择“同意”的空间,设置“一键同意+可以商讨”的选择结构。引入激励机制的告知同意规则能够在不偏离原有制度框架的基础上,有效促进个人信息保护与个人信息流通的平衡。     

人脸识别信息收集与使用过程中知情同意原则的修正

人脸信息是大数据背景下蕴含发展红利的潜力资源。经由人像采集技术收集而成的人脸面部特征信息属于“个人敏感信息”的范畴,在信息收集、共享、传输、分析和存储方面应当设定比个人一般信息更高的保护门槛。现行法律框架构建了以知情同意原则为基石的个人信息保护制度,但该原则的适用在人脸识别技术的应用场景中局限于形式上的同意,或由于地位的不对等、技术非对称性而被掏空同意内核。鉴于此,必须在坚守知情同意原则首要正当性来源的前提下根据人脸信息的特征对其进行局部修正,保障知情基础,建立标准化的司法风险评估制度,严格限制人脸信息的社会控制,增加特殊删除请求权,扩展数据安全的公益诉讼内容,以回应大数据时代公民信息流动和保护的正当需求。     

韩国《个人信息保护法》的最新修正及其对我国之启示

基于提升对核心资源数据的利用活性化,发展新产业等目的,韩国立法机关在2020年对《个人信息保护法》进行了幅度最大且最具有现实意义的一次修正。此次新增“假名信息”的概念并明确其具体的含义,否认需要耗费极多时间和费用、运用超前技术才能被识别的信息属于个人信息。与此同时,还扩大了“知情同意原则”的例外情形,认为只要与收集信息的目的合理关联,在满足一定条件的前提下可以不经信息主体的同意利用或者向第三者提供个人信息。若是出于统计、科学研究、公益记录保存等目的,亦可无须信息主体的同意对个人信息进行假名处理。这些修正内容为今后《中华人民共和国个人信息保护法》的进一步完善提供了诸多有价值的启发,可以积极地予以借鉴。具体而言,应当在《中华人民共和国个人信息保护法》中肯定匿名化信息的相对性,确立目的相关联原则以及合理框定不适用“知情同意原则”的情形。     

敏感个人信息行政许可的公法效用、体系难题与法治完善

敏感个人信息的法律保护，正在成为法学界讨论的热点命题。而《个人信息保护法》第32条则为敏感个人信息的处理提供了一种全新的路径：行政许可。该路径体现出了明显的公法效用：补足了敏感个人信息的行政法保护，强化了敏感个人信息公共风险预防作用，拓宽了敏感个人信息的救济途径。然而，敏感个人信息的行政许可路径在我国也面临着一系列的体系性难题：告知同意规则与行政许可的形式冲突、充分必要规则与行政许可的价值冲突、意思自治规则与行政许可的程序冲突等。因此，为了完善敏感个人信息的法治保护，我国应当明确行政许可的敏感个人信息判断标准及其优先效力，创设行政许可的具体条件以及限制性措施，并以行政许可承诺制来抑制意思自治规则。     

互联网时代未成年人生物信息的特殊保护

未成年人生物信息保护与使用的争议不断白热化，立法应正视技术发展并积极回应社会关切，使未成年人在特殊保护下享受科技带来的福祉。未成年人生物信息权益存在主体有限性与客体特殊性，沿用一般个人信息保护规则难以周延保护未成年人生物信息。生物识别技术收益与风险的比例均衡，可在不同适用场景、区分保护对象下合理使用。未成年人信息权益源自国际性公约中儿童生存权、受保护权、发展权、参与权等基本权利在数据时代的全新解读。应检讨域内外生物信息立法现状，完善未成年人生物信息的特殊保护路径：一是弥补未成年人行权能力不足，确立充分知情与可验证同意、实现多层次告知程序；二是由侵权后救济转向生物信息处理前风险识别、处理中动态反馈、处理后及时删除的信息安全影响评估管理；三是改善保护主体单一结构，构造法定保护、商业保护、算法保护、监督保护的多元保护体系。     

论中国侵权法上的知情同意规则

知情同意规则起源于美国法,后来被许多国家所采纳。中国《医疗机构管理条例》、《执业医师法》等法律法规都确立了这一规则,《侵权责任法》在总结既有立法经验和借鉴比较法经验的基础上,予以发展完善。知情同意规则,应当包括两项要素,即医务人员的告知义务（也称说明义务）、患者或其近亲属的同意。医务人员违反知情同意规则承担的责任应当是过错责任,其所保护的权益包括受害人的隐私权（即自主决定权）、生命权和健康权。在符合责任构成要件时,医务人员要对患者承担责任。医疗机构要依据雇主责任制度对患者承担责任。     

政府数据开放背景下个人信息知情同意权的行政法架构

政府数据开放的趋势对于个人信息保护的要求越来越高。个人信息保护中的知情同意权是公民个人信息自决权的核心,是政府数据开放制度中必不可少的内容。知情同意权最早起源于医疗领域,是医学界保护接受测试者的基本规范,这一规范从医学伦理转化而来,最终在法律中得到确认。个人信息保护中的知情同意,要求任何主体在收集和利用个人信息时应当如实、全面地告知当事人具体情况,并征得当事人同意后方可对信息进行处理,包含具体同意和概括同意。个人信息知情同意权在行政法领域的特殊性表现为:双方主体地位不平等,知情同意权更多地表现为知情权,个人信息泄露影响巨大。同时应当构建如下规则:知情同意不能构成责任免除;概括同意和具体同意并行;剔除具有可识别性的信息,且不能恢复;制定大数据使用规范,避免出现大数据歧视。     

个人信息保护中知情同意原则的困境与出路

在大数据的背景下,企业数据活动确实具有越来越重要的社会经济功用.个人信息保护的知情同意原则,不宜追求形式上的绝对化,而应转向更加具体的实质化,以期在真正有效保护个人信息的同时,也鼓励企业更加积极而有效地开展数据活动.一方面,数据活动应获得用户清晰和明确的同意,即使个人一般信息亦然;信息主体的同意应当符合可期待性要求.另一方面,为了实现与数据活动的平衡,应当为数据活动提供必要法律豁免.立法应规定,企业数据活动的正当基础应不限于信息主体的知情同意;此外,还可以通过引入个人信息匿名化可以获得知情同意豁免的方式,鼓励和促进企业在有效开发数据和保护个人信息上齐头并进.     

论同意规则在个人信息保护中的适用 ——以情景类型化为视角

同意规则是勾勒信息主体的人格利益与信息处理者财产利益的重要分界线,然而信息主体的理性缺失、信息处理者的程序操纵以及第三方信息处理者处理的未知风险导致同意规则的功能逐渐弱化.依据情景类型化的规范设计是破解同意规则适用困境的关键,基于此,可根据个人信息处理的参与主体、信息类型和处理行为分为收集、转让、共享三种情景.首先,收...     

论敏感个人信息在个人征信中的运用

个人征信体系运行的本质就是个人信用信息的收集、加工和传播。个人信用信息的范围非常广泛,有一些信息属于可公开程度较大的"琐细个人信息",有一些信息属于可公开程度较小的"敏感个人信息"。敏感个人信息是对社会或个人具有特殊风险,应当受到特殊保护的个人信息。包括我国在内的世界各国均对于"敏感个人信息"在个人征信中的运用作出了若干特别规定,相对限制其收集、加工和传播。但就结合个人征信原理和我国实践,还是应当尽量放宽对于所谓敏感个人信息使用的限制,在不威胁重要的、基本的个人人权或社会正义前提下,还是应当以提高预测个人信用状况的准确性为首要任务。     

《民法典》时代的个人健康信息保护

疫情防控期间,个人健康信息处理呈现常态化趋势.个人健康信息蕴含其他信息所无法比拟的人格要素,对其加强保护不乏正当理由.《民法典》出台为个人健康信息提供了私法保护基础.在正当化处理的情形中,健康信息处理必须坚持高标准的同意规则,给予公开健康信息必要的保护,并正确运用为维护别种利益时的信息合理处理规则.由于个人健康信息的特殊性,侵权责任应在传统四要件的体系之下做出更灵活的变通.在信息共享的场景下,加害行为的证明可适用共同危险行为制度.损害结果应吸纳风险性损害作为新型损害.主观过错可依据处理者法定义务的履行情况进行客观化的认定.因果关系要件的认定则应依据处理者的数量进行动态调整.     

论私密信息侵权归责原则的适用

《个人信息保护法》规定侵害私密信息致人损害适用过错推定原则,《民法典》将私密信息当作隐私权的保护对象,隐私侵权属于一般侵权行为,根据《民法典》适用的是过错原则。故个人信息权益与隐私权不可避免会发生重叠保护,亟待厘清。其中,因侵害私密信息构成侵权时,个人信息处理者的财产损害赔偿责任与精神损害赔偿责任适用过错推定原则;反之则适用过错原则,但为充分保护信息主体的合法权益,应降低信息主体对过错要件的证明标准。为了避免精神损害赔偿制度的滥用以及平衡信息主体与侵权主体之间的利益,应在对精神损害的“严重性”有所要求的同时降低对其认定的标准。     

论政府信息公开制度下的个人隐私之保护

2019年修订的《政府信息公开条例》第15条规定涉及个人隐私的政府信息公开会对第三方合法权益造成损害的,行政机关不得公开,但第三方同意公开,或行政机关进行利益衡量后认为需要公开的,可以公开。然而,从实施现状看,该制度存在不确定的个人隐私概念导致对类似信息的定性不同、行政机关在涉及个人隐私的政府信息公开中怠于行使裁量权、征求权利人同意的程序不明确等问题。结合司法实践中法院认定个人隐私的方法及该规定在适用中存在的问题,完善政府信息公开中个人隐私保护制度应当明确个人隐私的判断方法,规范政府信息公开案件中行政机关的裁量行为,法院在判决时也应当选择有利于解决行政争议的判决类型。