大数据时代个人信息保护的行政监管立场及其智慧化转型

[提要]《个人信息保护法》在“告知—知情—同意”框架基础上,创造性地设置了以行为规制为中心的个人信息权益保护模式。行政监管的功能在这一全新保护模式中能否准确定位,关系到个人信息保护的成效。然而相比于大数据时代的飞速推进,行政监管的长期踯躅导致信息保护效果并不理想,因而亟需对个人信息保护法中行政规范条款进行重新诠释。在法理逻辑上,行政监管介入个人信息保护旨在建构“明确保护个人信息权益”“规范个人信息处理活动”“促进个人信息合理利用”三者的有效连接,维护个人信息的良性使用秩序。在价值立场上,行政监管应以协调个人信息处理中的不平等关系为基本取向,调和个人信息主体和信息处理者的非对称关系,以平等主体之间的不平等结构为调控重点并平衡公私主体间的不平等关系。个人信息保护中的行政监管需维护“告知—知情—同意”的基本保护模式,并加强针对信息处理者自我规制的行政监督,同时还须依循数字社会的变化向智慧化监管转型,创新技术监管方式以加强行政监管的职能建设。     

个人信息保护中告知同意规则的规范构造

告知同意规则在个人信息保护中处于重要地位,但是告知同意规则在适用中存在诸多问题。引入激励机制能够促进信息处理者积极履行告知义务以及信息主体提供更高质量的“同意”。在对信息处理者激励的层面上,赋予告知同意规则以排除管理性强制性规定的功能,并限制信息主体单方变更权的行使范围。在对信息主体激励的层面上,赋予信息主体可选择“同意”的空间,设置“一键同意+可以商讨”的选择结构。引入激励机制的告知同意规则能够在不偏离原有制度框架的基础上,有效促进个人信息保护与个人信息流通的平衡。     

风险控制理念下我国个人信息匿名化处理的法律规制

数据匿名化为数据的流通和共享提供了重要的技术助力，技术的易变性同时也对数据匿名化处理的法律规制带来诸多障碍。在当前的技术背景下，我国个人信息⁽(1))匿名化面临身份识别标准不确定、身份再识别可逆转等风险，个人信息匿名化处理过程中所产生的技术风险给个人隐私利益带来极大挑战。目前以结果导向为目标的规制手段在个人信息匿名化规制方面缺乏灵活性，难以缓释技术带来的不确定性风险。平衡好个人隐私利益、企业经济利益以及社会公共利益之间的冲突是个人信息匿名化处理的终极目标。风险控制导向理念的优位在理念层面上摆脱了数据保护的现实诉求与理想价值判断之间的束缚，替代结果导向理念，为信息处理者内源性的数据合规与自律监管、信息主体外向性的权利保护与数据使用提供了较为有效的弥合思维进路，为个人信息匿名化处理的法律规制提供新的可能。以风险控制理念为核心的个人信息匿名化法律规制架构以实现数据的有效性与实用性之间的动态平衡为目标，围绕降低个人信息匿名化处理过程中的风险进行法律机制设计，通过课以信息处理者相应的信息处理风险评估义务实现对个人信息匿名化规制的良善治理。在无规范性文件作理据支撑的前提下，个...     

个人信息侵权法保护的价值与理据新论——基于大数据悖论的分析视角

为有效应对信息科技发展引致的个人信息保护和信息产业发展的矛盾冲突,必须创新优化个人信息侵权法保护的制度设计,肯定个人信息受法律保护的同时又限制信息主体的排他性控制权,制衡“数据权力”以抑制个人信息处理者的恣意和滥权,谋求信息时代人权保护以及为信息产业内置发展空间的“双赢”。基于大数据透明化悖论、权力悖论、身份悖论的视角,个人信息处理事实上同时存在正负效应双重外部性,这决定了个人信息法律保护不能仅依赖“基于权利的方法”,还应直面大数据时代面临的认知和结构困境,并“基于风险的方法”对个人信息的法律保护进行路径重构。大数据悖论决定了个人信息侵权法保护的价值取向不能简单化、绝对化,其实质是要求在信息处理者秘密搜集处理信息与个人主张信息处理透明化、信息处理者的数据特权与个人对信息权利的“让渡”或“牺牲”、信息处理者识别个人身份与个人主张身份隐私保护等博弈关系中求得优解。为此,个人信息侵权法保护的价值既要定位于保护公民个人的人格尊严,保障数字时代人权,又要衡平信息有序流动、跨境交易以及信息产业发展中的各方利益。大数据悖论非但不应成为个人信息权利保护、政府信息治理权力、信息产业发展间“非零和博弈”的...     

委托处理个人信息的私法规制

委托处理个人信息是信息流动、共享与利用的必然选择。《个人信息保护法》第21条专门为委托处理个人信息提供了规范基础,填补了《民法典》《电子商务法》《网络安全法》等规范空白,但就该条的规范内容如何解释适用,对委托处理私法规制的目的、对象及方式等要素的具体展开,仍需藉由解释论予以完善。由于司法实践中,信息处理者通常会援引其与第三人之间存在合同或其他交易安排,系由他人造成了损害而与自身的处理行为无关,给信息主体的权益保护带来了挑战,这构成了委托处理私法规制的核心。作为对委托处理进行私法规制的基础论证,委托处理的法律结构不同于共同处理,信息处理者与受托人之间为从属关系,信息处理者决定了处理的目的、方式,受托人只能按信息处理者的指示处理个人信息。为了更好地保障信息主体的合法权益,委托处理关系内部合同应当包含必备条款以确保受托人合法处理数据,且信息处理者可以检查受托人是否遵守这些规定。相较于《个人信息保护法》第20条由内部主体约定各方的权利义务,第21条第1款详细列举委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等事项,是值得肯定的立法选择。结合《个人信息保护法》第21...     

个人信息查阅权的法理基础及实现路径

个人信息查阅权是数字时代矫正信息主体和信息处理者之间不对等状态的重要权利，其法理基础可以追溯到信息自决理论、正当程序原则和权力不对称关系理论。在个人信息权利束中，个人信息查阅权处于基础性地位，是更正补充、删除权等的行使前提。然而在实践中，由于权利实践成本过高、身份验证存在泄露风险、权利客体范围仍不明确以及权利行使的负外部性导致个人信息查阅权的实现存在困境。以信义义务为保护框架，结合正当程序原则，个人信息查阅权是集法律维度与技术维度于一体的重要矫正工具，其实现应以“多方参与、协同合作”为理念，共同推进权利的实现。具体而言，信息查阅权可通过系统设计增强其可操作性，通过对信息查阅权的行使方式、行使期限以及权利限制等进行细化，保障权利实现的可操作性，以期从根本上保证信息主体的合法权益。     

信息性人格权的规范构造

信息性人格权是以“不同面向的个人信息”为客体建构的新兴人格权，其具有主体识别性、客体动态性、有限支配性等特质。在类型体系上，信息性人格权包括信息性隐私权、个人信息权、信用权和被遗忘权等具体权利。上述各权利在规制对象上具有同质性，即为个人与信息处理者之间在数字社会形成的一种持续性的信息不平等关系。在规范构造层面，信息性隐私权宜采取合理隐私期待标准，建立“私人安宁+私密信息”的保护范式，实现空间隐私向场景隐私的转化；个人信息权的权能体系建构需以信息保有权为基础、以信息自决权为主干、以信息获取权为分支、以信息修复权维系数字人格的完整性；被遗忘权的本质是一种免受不当信息惩罚的要求权，其具体形态为删除权。吸纳信息性人格权，有助于保障人格尊严和人的自主性、规范新兴人格权法权构造、丰富人格权规则体系和化解智能时代人的主体性危机。     

论同意规则在个人信息保护中的适用 ——以情景类型化为视角

同意规则是勾勒信息主体的人格利益与信息处理者财产利益的重要分界线,然而信息主体的理性缺失、信息处理者的程序操纵以及第三方信息处理者处理的未知风险导致同意规则的功能逐渐弱化.依据情景类型化的规范设计是破解同意规则适用困境的关键,基于此,可根据个人信息处理的参与主体、信息类型和处理行为分为收集、转让、共享三种情景.首先,收...     

平台共治视角下个人信用保护的范式转换

党的二十大报告提出建立市场经济中的信用基础制度,加强个人信息保护的目标。平台企业参与的信用治理是中国式现代化指引下的治理创新,始终在国家顶层设计中占据重要地位。随着平台企业成为信用治理的关键枢纽,个人信用保护面临信息处理边界不清和信用制度利益失衡的困境。必须仔细探寻个人信用保护困境背后的理论根源,防止信用共享共治异化为信用管制。现行信用法律制度在权利归属、程序设计、责任机制方面均存在空白,导致个人信用仅构成一种反射利益。传统权力制约范式难以回应数字时代的个人信用保护需求,新型信息权利是解决困境的根本,数据流通规则有助于解决权利成本过高问题。应当围绕个人在信息处理活动中的权利体系,完善数据流通规则,重建个人信用保护的法律框架。首先,必须明确界定信息的敏感程度及其信用评判价值功能,并对信用领域的信息处理行为适用层次化同意规则:针对有利于信息主体的正面敏感个人信息采取单独同意与资格准入规则,适用责任规则;针对不利于信息主体的负面敏感个人信息一般采取禁易规则,基于公共利益目的除外。其次,信用领域数据流通的商业实践要求转向行为风险规制模式,实施以合同为中心的支配规则,适当运用特别规则强化个人信用保护力度。其中,平台与经济组织之间的数据流通应当在同意规则以外,增设标准合同文本、平台责任强化、证明责任分配规则三类倾斜性保护措施。平台与行政部门之间的数据流通应当确立以主体责任和救济机制为关键内容的流通秩序。     

数字时代侵害个人信息的归责原则适用——以类型化为视角

数字时代，个人信息应用范围愈加广泛，同时，个人信息侵权现象较为普遍。侵害信息呈现主体多样性、侵害方式专业性、隐蔽性等特点。通常，不同主体处理个人信息过程中可能会损害信息主体的人格权、财产权等合法权益。个人信息侵权视阈中侵权责任归责原则一概适用过错责任归责原则难谓合理。根据我国《民法典》《个人信息保护法》等法规，并结合不同类型信息处理主体、侵害不同敏感度个人信息境况，应精细个人信息侵权责任归责原则，明确不同侵权主体和侵害不同类型个人信息的侵权责任归责原则，有利于平衡个人信息保护与合理利用间的关系。     

大数据背景下个人信息处理行为的法律规制——以个人信息处理行为的双重外部性为分析视角

大数据背景下个人信息处理行为既引发数据安全风险等负外部性，也会带来分享经济价值实现等正外部性，"大数据悖论"现象揭示了双重外部性成因。基于"外部性内在化"原理赋予信息主体以个人信息权并赋予数据控制者以大数据财产权虽有助分别规制其双重外部性，但网络大数据背景下其双重外部性规制彼此交互影响而面临两难困境。法经济学关于"损害之相互性"理论证立了基于"风险导向理念"规制个人信息处理以破解其两难困境的经济逻辑。大数据产业发展有赖个人信息处理的"外部性外部化"而实现分享经济。法经济学关于"公地喜剧"理论证立了基于"外部性外部化"规制个人信息处理而满足大数据产业发展需要的经济逻辑。大数据背景下个人信息处理的规制有赖从"压制型法"到兼及"回应型法"的理念转换，从"外部性内在化"兼及"外部性外部化"的机制并举，从数据资源权利配置兼及数字技术权力干预的措施协同，实现大数据产业创新与个人信息安全的有机平衡。     

信托关系视角下个人信息处理行为规则的类型化

个人信息处理是覆盖信息流动全过程的多种不同行为,具体信息处理行为的风险因场景变化存在差异,增加了形成具有统一标准之行为规则的难度。解决个人信息处理行为标准不统一问题需要纠正目前对个人信息处理行为规则缺乏类型化的错误导向,以重构个人与个人信息处理者之间的信托关系。个人信息处理行为规则应以法律规则的效力实现方式作为类型化标准,信息关系中具体信义义务的内容和范围作为考量因素,具体包括应为模式、勿为模式、可为模式三种规则类型。个人信息处理行为规则类型化在我国《个人信息保护法》中的解释需要明确个人信息处理者在应为模式下的覆盖信息处理全过程的告知义务和安全保护义务,勿为模式下的自动化决策要求和可为模式下的弹性化、场景化引导和激励措施,由此形成规则、标准、行业习惯的多元共治。     

国家机关处理个人信息的特殊风险及其法律规制

国家机关作为我国数据资源的最大掌控者，在履行法定职责过程中涉及大量个人信息的处理。国家机关处理个人信息存在处理失控、处理泛化、信息监控和信息泄露等特殊风险，但我国现有立法对国家机关处理个人信息所涉及的特殊风险缺乏足够多的有实际约束力的制度设计。面对国家机关处理个人信息的特殊风险，针对我国现有立法对国家机关处理个人信息法律规制的不足，国家机关处理个人信息的法律规制应从细化国家机关处理个人信息的告知义务、规范国家机关对个人信息处理的授权、明确国家机关处理个人信息的比例原则、强化国家机关处理个人信息的安全保障义务、建立国家机关个人信息处理的分级机制等五个方面展开。     

信托关系视角下个人信息处理行为规则的类型化

个人信息处理是覆盖信息流动全过程的多种不同行为,具体信息处理行为的风险因场景变化存在差异,增加了形成具有统一标准之行为规则的难度。解决个人信息处理行为标准不统一问题需要纠正目前对个人信息处理行为规则缺乏类型化的错误导向,以重构个人与个人信息处理者之间的信托关系。个人信息处理行为规则应以法律规则的效力实现方式作为类型化标准,信息关系中具体信义义务的内容和范围作为考量因素,具体包括应为模式、勿为模式、可为模式三种规则类型。个人信息处理行为规则类型化在我国《个人信息保护法》中的解释需要明确个人信息处理者在应为模式下的覆盖信息处理全过程的告知义务和安全保护义务,勿为模式下的自动化决策要求和可为模式下的弹性化、场景化引导和激励措施,由此形成规则、标准、行业习惯的多元共治。     

论社区治理参与主体的利益追求与规制

社区治理是在政府主导下,由政府、社会组织和社区成员共同参与,通过管理、协商、合作或自治等方式处理社区公共事务或提供社区公共服务的过程。社区治理参与主体包括社区成员、社区党组织、社区政府机构和群众性自治组织等,它们在社区治理中扮演着不同角色,有着不同的利益追求和功能定位。应建立和改进有关社区治理合作机制,丰富社区治理规范内容和优化社区治理规范结构,对社区治理参与主体间的利益关系加以规制以更好地实现社区治理目标。     

个人信息保护的法律问题研究

随着科技的不断创新和发展,人类已经步入信息社会,不管是政府部门还是非政府部门在进行各种活动时都会收集、储存大量的个人信息,但是中国目前个人信息保护方面的法制建设相对落后,个人信息泄露现象日益严重。在分析我国个人信息保护相关立法现状的基础上,借鉴欧盟、美国、日本等国家和地区关于个人信息保护的法律制度,明确了信息主体对个人信息享有的权利属性,规范了信息处理者的个人信息处理行为,肯定了在保护个人信息的同时应兼顾信息流通。     

学术期刊用户画像个人信息保护：风险与规制——以《个人信息保护法》为视角

用户画像技术在学术期刊智能化应用中为用户提供精准知识服务，但用户画像中个人信息的大规模应用加剧了用户信息收集、用户标签侵权以及算法歧视、算法偏见等风险，本文基于法律视角剖析学术期刊用户画像个人信息和敏感个人信息界定、个人信息主体权利认定、算法自动化决策透明度与可解释性的实现、个人信息处理者特殊保护义务的规定、个人信息跨境交流管理等，提出了学术期刊用户画像个人信息保护法律规制策略。     

生成式人工智能场景中个人信息保护的风险、逻辑与规范

生成式人工智能的应运而生使得个人信息保护面临着日益严峻的新风险,生成式人工智能从个人信息收集、使用和生成场景中引发了信任危机,传统的个人信息自决路径已然无法适应数字时代的变革。生成式人工智能应用场景中个人信息的算法识别本质成为个人信息保护的新契机,算法对个人信息识别从因果关系转向相关关系,而个人信息流通则基于场景一致性理论建构起信息规范,使得个人信息流通具备合理性,并将个人信息流通的风险控制在信息规范的限度之下。重塑以算法可识别为核心的风险规范路径,需要建构数字守门人的二元规制机制,形成个人信息流通的外部监管规范;同时在个人信息识别流通中,对知情同意原则以信息信托义务进行补充,从而实现个人信息的内部流通机理;对个人信息流通风险基于场景化分置,将个人信息和模型算法进行分级分类,促进个人信息保护的敏捷性治理,以此实现个人信息保护和流通的平衡。     

数字时代个人信息的法律保护——以“合法、正当、必要”原则为中心

数字时代，网络运营者及其他主体处理个人信息更趋便捷化，个人信息安全风险加大。通过分析“合法、正当、必要”原则内在逻辑关系并结合限制理论得出，该原则可有效遏制人性贪婪，实现对个人信息保护“外部环境”限制，提高信息主体认真对待个人信息意识。“合法、正当、必要”原则作为个人信息处理的正当性基础，符合加强个人信息私法保护理念，体现私权保护宗旨，尊重信息主体自决权，并可兼顾个人信息保护、数字发展和社会公共利益三者间衡平。     

大数据时代最小必要原则的悖论与超越

最小必要原则及其规则与大数据时代个人信息保护的理念目标、运行规律等产生了较激烈的对立冲突。在大数据时代,一种合理且必要的个人信息收集处理机制,需要构建以公共利益审视必要信息的合理范围,以比例原则实现理念目标与规制手段的均衡,考量具体情境更新必要原则的实施机制,推动必要性原则在大数据潮流中超越升华,实现个人信息保护与数字社会生存与发展的双重目标。