个人信息处理中个人同意规则释论

我国《个人信息保护法》关于信息主体同意的规定存在着内在缺陷,需要进一步细化改进和完善。在个人同意的性质上“意思表示说”与“处分行为说”难以成立,应将其定性为准法律行为,在性质允许的范围内适用法律行为的相关规定。信息主体表示同意无需局限于书面形式,口头形式或行为推定方式亦无不可。信息主体须具有民事行为能力,年满14周岁的未成年人具有同意能力,除此之外的未成年人与成年被监护人做出的同意无效。信息主体受到欺诈、胁迫以及在压迫关系下做出的同意无效。处理者通过违法处理个人信息取得的同意无效。     

个人信息同意任意撤回：目的、体系与规则

个人信息同意任意撤回构成对个人信息同意这一有效意思表示的撤销,但与《民法典》第147～152条规定的可撤销法律行为有若干不同,其规范目的在于保障个人信息自决。就权利行使而言,个人信息同意任意撤回权的权利主体是信息处理所涉及的个人。撤回同意时,个人应具有辨认和控制能力。个人信息同意撤回不受期间限制,既可采取书面形式,也可采取口头形式。处理者应提供便捷的撤回方式并保证撤回是免费的。同意被撤回后,处理者应停止处理并删除个人信息,但不影响撤回前已进行的处理的效力。在未通过“捆绑禁止”测试时,处理者不得以同意被撤回为由拒绝提供产品或服务。随着数字经济的发展,出现了若干限制个人信息同意撤回权的尝试。     

个人信息保护中知情同意的困境及重构

传统的个人信息保护框架以知情同意为其原则,隐私政策正是知情同意在网络时代的具体运用。大数据分析的发展引发了对公民隐私的严峻挑战,隐私政策中知情同意的异化,使其有效性备受质疑。对此,不能完全否认知情同意原则的必要性,无论从传统民法视角而是从现行法出发,知情同意都是个人信息保护宗旨的体现。为了化解知情同意所面临的困境,提出了场景风险管理理念、社会控制理论和“弱同意”架构设计等新构想,尝试在个人信息保护与数据开发之间找到新的平衡点。     

大数据背景下我国个人信息保护与数据在商业中的合理使用

《个人信息保护法》已于2021年11月正式生效,在对于合理使用的认定上,延续传统知情同意原则的强势地位,将其作为个人信息合理使用判断的主流原则,同时引入合理使用原则规定了例外情况,在一定程度上弥补同意原则在大数据背景下的局限性.但《个人信息保护法》第13条列明的情况并未将商业运行中的数据开发利用的合理使用判断标准给予认...     

利益衡平视角下个人信息处理规则研究

个人信息承载着多重利益,在个人信息处理中,容易引发个人与组织、社会以及国家之间的多元利益冲突。个人信息的内涵和外延界定不清,个人信息处理行为不规范,是引发利益冲突的重要原因。把握利益衡平的价值理念,在个人信息处理中寻找各方利益契合点,是消除利益冲突的有效途径。在个人信息处理规则的阐释与适用中,应当以利益衡平为目标,在“合法、正当、必要、诚信”的基础上,准确把握“知情同意”规则的适用要求与例外情形,关注敏感个人信息保护,促进一般个人信息利用,规范个人信息处理行为,实现个人信息保护与信息合理利用的动态平衡。     

个人信息保护中知情同意原则的困境与出路

在大数据的背景下,企业数据活动确实具有越来越重要的社会经济功用.个人信息保护的知情同意原则,不宜追求形式上的绝对化,而应转向更加具体的实质化,以期在真正有效保护个人信息的同时,也鼓励企业更加积极而有效地开展数据活动.一方面,数据活动应获得用户清晰和明确的同意,即使个人一般信息亦然;信息主体的同意应当符合可期待性要求.另一方面,为了实现与数据活动的平衡,应当为数据活动提供必要法律豁免.立法应规定,企业数据活动的正当基础应不限于信息主体的知情同意;此外,还可以通过引入个人信息匿名化可以获得知情同意豁免的方式,鼓励和促进企业在有效开发数据和保护个人信息上齐头并进.     

论私密信息处理的告知同意

私密信息与敏感信息在具体内容上的交叉或重合与《民法典》对私密信息适用法律的规定,是私密信息处理适用敏感信息规则的客观基础和法律依据。私密信息处理的必要性主要考量处理目的是否正当、特定和处理手段是否合理,可由处理者、个人或者人民法院评判并采取书面形式单独告知,而告知义务的免除应当严格限制。对个人权益的影响可参照国家标准由多方组成的评估组织从不同维度进行评价、分级,以私密信息保护影响评估报告的形式告知。私密信息处理的单独同意应当在充分知情的前提下采取书面同意形式,同意的例外情形在适用《个人信息保护法》相关规定的同时,还要考虑私密信息的特殊性。     

论同意规则在个人信息保护中的适用 ——以情景类型化为视角

同意规则是勾勒信息主体的人格利益与信息处理者财产利益的重要分界线,然而信息主体的理性缺失、信息处理者的程序操纵以及第三方信息处理者处理的未知风险导致同意规则的功能逐渐弱化.依据情景类型化的规范设计是破解同意规则适用困境的关键,基于此,可根据个人信息处理的参与主体、信息类型和处理行为分为收集、转让、共享三种情景.首先,收...     

个人信息保护中告知同意规则的规范构造

告知同意规则在个人信息保护中处于重要地位,但是告知同意规则在适用中存在诸多问题。引入激励机制能够促进信息处理者积极履行告知义务以及信息主体提供更高质量的“同意”。在对信息处理者激励的层面上,赋予告知同意规则以排除管理性强制性规定的功能,并限制信息主体单方变更权的行使范围。在对信息主体激励的层面上,赋予信息主体可选择“同意”的空间,设置“一键同意+可以商讨”的选择结构。引入激励机制的告知同意规则能够在不偏离原有制度框架的基础上,有效促进个人信息保护与个人信息流通的平衡。     

论同意处理个人信息作为提供网络服务的对价

负担行为和处分行为区分的学理框架有助于界定用户无需付款的网络服务合同中用户同意处理其个人信息的法律属性,网络服务提供者提供网络服务的对价并非用户提供其个人信息,而是用户同意网络服务提供者处理其个人信息。解释论层面,同意处理个人信息构成提供网络服务的对价(对待给付),网络服务合同的对价性并不体现为牵连性,而是体现为条件上的联系或原因上的联系。功能论层面,同意处理个人信息作为对价涉及认定用户的同意是否自愿作出,进而影响同意的效力。“捆绑授权”情形下用户作出的同意无效,欺诈或误导情形下同意的效力须借助“跷跷板理论”进行场景化认定。     

《个人信息保护法》同意撤回规则的教义学评析

同意有不同的类型,其撤回也各有不同的理论依据。单纯阻却信息处理行为违法性的同意,性质上是单方的准法律行为,基于人的自我决定权之法理,在侵害行为实施前,应当允许受害人撤回已作出的同意。在各类服务协议中授予相对人使用个人信息的同意,性质上是订立合同的意思表示,不仅存在违法性阻却的效力,更在双方之间建立了无偿的服务合同关系,基于服务受领人的任意解除权,信息主体可以撤回授权。统合了上述情形的同意之撤回,或以撤销称之更为妥适。同意撤回的规范构造包括信息处理者的告知义务、撤回权行使的方式、撤回前信息处理行为的合法性不受影响、信息主体不因撤回同意而蒙受不利、撤回同意后信息处理者的删除义务等方面。     

论中国侵权法上的知情同意规则

知情同意规则起源于美国法,后来被许多国家所采纳。中国《医疗机构管理条例》、《执业医师法》等法律法规都确立了这一规则,《侵权责任法》在总结既有立法经验和借鉴比较法经验的基础上,予以发展完善。知情同意规则,应当包括两项要素,即医务人员的告知义务(也称说明义务)、患者或其近亲属的同意。医务人员违反知情同意规则承担的责任应当是过错责任,其所保护的权益包括受害人的隐私权(即自主决定权)、生命权和健康权。在符合责任构成要件时,医务人员要对患者承担责任。医疗机构要依据雇主责任制度对患者承担责任。     

人脸识别信息收集与使用过程中知情同意原则的修正

人脸信息是大数据背景下蕴含发展红利的潜力资源。经由人像采集技术收集而成的人脸面部特征信息属于“个人敏感信息”的范畴,在信息收集、共享、传输、分析和存储方面应当设定比个人一般信息更高的保护门槛。现行法律框架构建了以知情同意原则为基石的个人信息保护制度,但该原则的适用在人脸识别技术的应用场景中局限于形式上的同意,或由于地位的不对等、技术非对称性而被掏空同意内核。鉴于此,必须在坚守知情同意原则首要正当性来源的前提下根据人脸信息的特征对其进行局部修正,保障知情基础,建立标准化的司法风险评估制度,严格限制人脸信息的社会控制,增加特殊删除请求权,扩展数据安全的公益诉讼内容,以回应大数据时代公民信息流动和保护的正当需求。     

论敏感信息二元同意规则的刑法构造

刑法中针对敏感信息建构同意规则的突破口在于《个人信息保护法》第32条的规定。敏感信息二元同意规则的刑法构造具备理论根据和现实基础。二元同意规则以对信息法益属性的准确厘定为前提,在信息分类的基础上通过结合一般恐惧理论对敏感信息敏感等级进行划分,最终得出针对敏感程度极高的敏感信息同意无效的结论。刑法对于高度敏感信息同意无效的情形还涉及到后续保障问题的探讨,这又可以细分为司法及立法上的双重启示。司法上的启示主要以对《刑法》第253条之一“情节严重”的解释为切入点,即对侵犯高度敏感信息行为“情节严重”的入罪判断不应当再局限于“量”的标准。立法上的启示主要以侵犯个人信息的“行为”为切入点,以《个人信息保护法》为参照进一步细化刑法中侵犯公民个人信息的行为方式,最终拟提出增设“滥用公民个人信息罪”的构想。     

论敏感个人信息在个人征信中的运用

个人征信体系运行的本质就是个人信用信息的收集、加工和传播。个人信用信息的范围非常广泛,有一些信息属于可公开程度较大的琐细个人信息,有一些信息属于可公开程度较小的敏感个人信息。敏感个人信息是对社会或个人具有特殊风险,应当受到特殊保护的个人信息。包括我国在内的世界各国均对于敏感个人信息在个人征信中的运用作出了若干特别规定,相对限制其收集、加工和传播。但就结合个人征信原理和我国实践,还是应当尽量放宽对于所谓敏感个人信息使用的限制,在不威胁重要的、基本的个人人权或社会正义前提下,还是应当以提高预测个人信用状况的准确性为首要任务。     

《个人信息保护法》中“告知—同意”规则的适用

《个人信息保护法》所确立的“告知—同意”规则中“同意”的性质应是一种与“告知”相对应的意思表示,两者达成双方法律行为,进而设立个人与信息处理者之间的法律关系。单独同意、书面同意、重新取得同意、监护人同意均是特别形式的“同意”,所对应的告知应包含特定内容,要根据法律要求的严格程度进行分层适用,并结合个人合理预期和社会发展要求来分析其适用。     

敏感个人信息行政许可的公法效用、体系难题与法治完善

敏感个人信息的法律保护，正在成为法学界讨论的热点命题。而《个人信息保护法》第32条则为敏感个人信息的处理提供了一种全新的路径：行政许可。该路径体现出了明显的公法效用：补足了敏感个人信息的行政法保护，强化了敏感个人信息公共风险预防作用，拓宽了敏感个人信息的救济途径。然而，敏感个人信息的行政许可路径在我国也面临着一系列的体系性难题：告知同意规则与行政许可的形式冲突、充分必要规则与行政许可的价值冲突、意思自治规则与行政许可的程序冲突等。因此，为了完善敏感个人信息的法治保护，我国应当明确行政许可的敏感个人信息判断标准及其优先效力，创设行政许可的具体条件以及限制性措施，并以行政许可承诺制来抑制意思自治规则。     

“同意”:个人信息控制的边界问题

国外的个人信息保护已从归属同意向过程同意转变,而我国的公民个人信息的权属在现行的法律中尚无定论。用户同意正成为各方进行数据争夺的话语工具,授权行为通过程序正当窃取了个人意志的表达,同意语境下的个人信息控制边界存在多元的力量冲突。我国解决信息安全与数据开放之间的矛盾,需要充分注重用户的信息自决权、充分理解同意边界的权力作用关系。同意边界需要从自由意志和公共利益两方面进行合理规制。     

个人信息自动化处理领域的个人信息保护规则

个人信息自动化处理技术能大量存储个人信息、整合诸多个人信息片断以及给第三人获取个人信息创造便利条件,属于对个人人格和财产具有较高加害危险的领域。因此,有必要在此领域引入以信息禁止原则为出发点的个人信息保护规则：原则上禁止收集、处理和利用个人信息,除非得到信息主体的同意、符合法定事由或者具有其他合法利益;收集个人信息时的目的限制了日后的处理和利用行为。另外,在这个高度危险领域,应当赋予信息主体干预信息处理过程的权利,具体包括：查询权、更正错误信息的权利、删除错误信息的权利等。我国未来的个人信息保护法应当将上述严格的保护规则限定在个人信息自动化处理行为上。     

个人信息商品化：识别、困境与保护

信息时代下,随着商品经济的发展,将个人信息作为交易对象的现象屡见不鲜,信息安全所面临的问题也逐渐暴露出来。个人信息商品化在一元论保护模式下呈现出的规则适用混乱、信息主体的信息认知与处理不对等、侵害个人信息精神损害认定困难、侵害个人信息结果类型不明确等问题为信息安全带来了严重隐患。通过分析讨论个人信息的商品化能够区分财产规则和责任规则的适用范围,强化知情同意原则的适用性,解决精神损害的认定难题,并明确风险作为损害结果类型,实现对个人信息的有效保护。