《个人信息保护法》的亮点与创新

《个人信息保护法》是一部全面保护个人信息的专门性立法.作为公法和私法的混合,该法的私法部分作为《民法典》的特别法,进一步丰富和发展了《民法典》的个人信息保护规则.《个人信息保护法》在总结《民法典》等的立法经验基础上,借鉴了欧盟《一般数据保护条例》等比较法的经验,形成了诸多的亮点和创新之处.包括进一步扩张了个人信息的保护范围,构建了以"告知—同意"为核心的个人信息处理规则,对自动化决策的全面规范,严格保护敏感个人信息,确认个人在个人信息处理活动中的各项权利,强化个人信息处理者义务,规范国家机关的个人信息处理行为以及个人信息跨境流动,完善了侵害个人信息的法律责任,这些内容都充分彰显了这部法律的时代性、国际性和本土性.     

从个人信息到数据要素：个人信息商业利用的制度安排——以《个人信息保护法》为中心

个人信息作为数据要素的组成颗粒在规模化的商业利用中爆发出巨大经济价值,但也产生信息主体、企业及国家之间的利益冲突。既有理论主要通过赋予个人信息财产权或个人信息社会控制等路径平衡各方利益冲突,但却可能阻滞数据流通或忽视个人信息可识别性的根本特性。个人信息与个人数据混同是造成理论争议的主要原因。中国《个人信息保护法》通过明确个人信息处理一般规则及处理过程中的个人与信息处理者之间的权利义务关系,实现在数据红利与个人信息保护之间的平衡。未来应在区分个人信息和个人数据的制度前提下,细化《个人信息保护法》中个人信息处理的合法性基础与使用方式,明确个人数据的权属及商业流通规则,从而实现个人信息商业利用中的多方利益平衡。     

论《个人信息保护法》中的删除权

删除权是个人在个人信息处理活动中的一项重要权利,该权利是个人对其个人信息处理活动享有决定权的具体体现,也是对目的限制原则与合法原则的贯彻落实。在我国法已经对删除权、网络侵权责任中通知删除规则以及对合法公开的个人信息的处理等作出了明确规定的情形下,无需规定被遗忘权。删除权不同于自然人撤回同意以及网络侵权责任中的通知删除规则。删除权的权利主体是个人,义务主体是个人信息处理者。在符合《个人信息保护法》第47条规定的情形时,个人信息处理者应当主动删除个人信息,个人也有权请求处理者删除。如果法律、行政法规规定的保存期限尚未届满或者删除个人信息从技术上难以实现的,个人不得行使删除权,但是个人信息处理者应当停止除储存和采取必要的安全保护措施以外的处理活动。如果个人信息处理者拒绝个人行使删除权的请求,个人可以向法院提起诉讼,从而实现对删除权的司法保护。     

数字时代个人信息处理的法律规制——以行政机关履职行为为例

数字时代个人信息的价值不断突显,现有的个人信息处理框架主要是按照私人机构作为个人信息处理者的逻辑来设计的。然而,与一般的个人信息处理行为相比,行政机关为履行法定职责处理个人信息形成了公法关系,不同于私人机构的个人信息处理行为。因此,告知—同意不能成为行政机关履职行为中处理个人信息的正当性基础,基本考量应为信息共享前提下的公共利益。将公共利益作为行政机关履职行为中处理个人信息的正当理由,并适用比例原则实现信息共享,有助于促进数字经济的健康有序发展。为了防止行政机关借由履行法定职责对个人信息的不当处理,行政机关为履行法定职责处理个人信息的行为还应遵循科学、中立的组织规则,破除不对称的程序规则,适用于行政行为的监督救济规则。     

已公开个人信息弱化保护的解释论矫正

弱化保护已公开个人信息既是我国的司法实践传统,也是平衡信息保护负担的务实选择,但若不释明处理已公开个人信息的合理范围,必将削弱个人信息保护的制度意义和私法意涵,减损对个人信息自决权的有效保障。已公开的个人信息应限于向不特定多数人发布、无需借助特殊手段即可从公开渠道合法获得的信息。若信息处理将对信息主体权益有重大影响,需适用告知同意规则。合理处理范围应基于信息主体意愿界定,除非该处理是法定的公共利益所必需。处理者应提供有效的表意机制,未提供而个人未明示拒绝信息处理的,应视为默示拒绝。个人的拒绝信息被处理权不可被格式条款排除。     

个人信息保护“入典”：体系功能及其与专门立法的关系

个人信息保护"入典"是我国民事立法的创举。在专门立法之外,将个人信息保护的核心规范写入《民法典》,不仅可为个人信息的私法保护提供明确依据,还具有价值指引功能、体系解释功能和权利孵化功能。《民法典》人格权益保护的价值取向为个人信息的私法保护提供了根本性的评价基准,在其指引下,个人信息保护的具体规则可在《民法典》中得以体系化的解释和适用。《民法典》围绕个人信息自决,针对个人信息处理行为,初步形成了具体权利内容,为个人信息权利的体系化发展奠定了基础。与《民法典》的个人信息保护规范相比,《个人信息保护法》在调整对象上大同小异,但在保护方式上存在递增,其通过公法手段保护的个人权利仍然具有私权属性。该项专门法律属于领域立法,兼具公法和私法属性。个人信息的公法保护与私法保护同等重要,个人信息保护的体系性也将在两者联动中得以加强。     

预测分析技术背景下的个人信息行政保护新机制建构

我国现行基于知情—同意原则的个人信息保护自我控制范式的“事前”逻辑与个人信息处理预测分析技术的“事后”逻辑之间存在无法调和的冲突，亟需将个人信息保护自我控制范式转换为个人信息社会保护范式。个人信息社会保护范式下的裁量型行政执法表现为彻底的“事后”逻辑，是应对预测分析技术下个人信息处理新模式的最优路径。依据“有效率的行政权”与“有限制的行政权”两个行政法的基本原则，应构建效率与公平“两端平衡”的“前端过滤—后端裁量”个人信息保护裁量型行政执法机制，此种新机制的合法性和实践性均可通过实际案例得到充分验证。     

个人信息处理“同意”行为解析及规则完善

目前我国多将"同意"定性为合同承诺或信息权益处分行为,产生了各种实践困局。信息处理者对个人享有事实上的私权力,"同意"这一法律行为定性与意思自治精神发生背离。从制度逻辑看,"同意"实现的是合作性组织秩序,个人没有设权意愿也不设定权利义务规则,与合同权益变动规律有罅隙;从法律技术看,个人信息人格价值不得处分,财产价值处分权不由个人享有,"同意"不构成处分性的抽象法律行为。"同意"是准法律行为,行为意思与表示意思保护个人"同意"自主性及其对"同意"法律意义的认识,效果法定是对权力失衡的纠偏,避免了主体客体化。作为正当基础,"同意"是信息处理加入权的行使,法定效果是处理者既获得了限制个人信息人格价值和生产保有个人信息财产价值的双重正当性,又产生了法定的个人信息保护义务。《个人信息保护法》规定的动态"同意",是对信息处理决策权和退出权的行使。"同意"这一准法律行为定性,使个人信息保护的公法性强制规范与私法性自由规范形成链接,在定纷止争的基础上,给个人提供更加完整的权利救济。     

个人信息保护立法、信息伦理与和谐信息社会

信息技术的发展与进步在带给人类社会和人们的生活方式、交往方式巨、太变化与便利的同时，也带来了各种信息伦理问题。对个人信息进行立法保护、构建信息伦理规范体系，对于提高信息处理活动主体的信息法律意识和信息道德自律精神、构建和谐信息社会与构建社会主义和谐社会具有重要的现实意义与理论价值，     

个人信息处理规则的法律经济学分析

个人信息处理规则是信息保护制度的风向标,反映了制度在信息利用与保护之间的价值偏向。实现个人信息保护与利用的衡平,本质上是追求效益最大化的资源配置问题。法经济学中的边际效益理论以及静态博弈范式有助于对个人信息处理规则的法律效果作出鉴证。通过边际成本收益分析,信息处理规则中对主体、处理者以及信息的分类正视了不同情形下帕累托最优点的差异,提高了资源的配置效率。在静态博弈视角下,信息处理规则的确立规避了信息主体与信息处理者双方消极对立的囚徒困境,促进了信息要素市场的流通。针对实践中存在的一般个人信息保护过度以及敏感个人信息保护不足的问题,应通过动态化信息分类、督促企业数据保护合规等方式予以解决。     

网络社会中个人信息的保护——构建侵犯公民个人信息罪的规范意蕴

网络社会语境下侵犯公民个人信息呈现出膨胀和多元的态势,“偷拍”“偷录”等能够被评价为侵犯公民个人信息罪.“违反国家有关规定”是“违反国家规定”的另外一种表达,旨在突出规定的相关性和广泛性,但是并不降低国家规定的主体是全国人大及其常委会、国务院的定位.个人信息是指与个人有关的信息,不要求可识别性.个人信息与个人隐私不是对立关系,个人隐私在内容上是个人信息的一部分.个人信息可以分为四种类型:个人生物信息和个人社会信息、个体信息和涉众信息、动态信息(行为信息)和静态信息、识别信息和非识别信息.对个人信息进行多种分类,可以为以后新类型信息识别打开通道.在侵犯公民个人信息罪中,“公民”是一个泛称概念,包括所有自然人,也包括死者.     

被遗忘权:搜索引擎上过时个人信息的私法规制

作为一种新型个人信息权,被遗忘权的产生是为了调整搜索引擎上的过时个人信息。通过删除或隐匿搜索引擎上脱离情境的个人信息,信息主体的人格权益得以实现。欧盟法院在谷歌诉冈萨雷斯案中确立了被遗忘权,并强调了信息处理和传播行为的适度性和适时性。传统隐私权理论无从应对网络个人信息散播行为,也难以为规范搜索引擎上的过时个人信息提供充分法理支持。鉴于个人信息权与隐私权的差异性、过时个人信息的负面性、以及删除过时个人信息对于社会和解的积极意义,我国有必要在个人信息保护立法中引入被遗忘权。然而,被遗忘权与公众知情权等权利间的潜在冲突也值得注意。在决定是否删除过时个人信息时,比例原则可被用来进行利益衡量。     

区块链技术与个人信息保护法律的冲突及协调路径研究

区块链技术对个人信息的处理并非以完全匿名化的技术措施贯穿全链条网络，区块链技术以节点利用机器算法对个人信息进行去中心化处理为特征，而现行个人信息保护法律以个人信息处理者集中化对个人信息进行处理为逻辑，区块链的技术特性及运行逻辑与现行个人信息保护法律的规范逻辑产生冲突。冲突的化解需要在符合区块链技术发展特性的前提下衔接现行个人信息保护法律规范。规范区块链上个人信息处理活动应坚持以多元主体共同参与治理为价值面向，区分区块链多方主体参与个人信息处理活动的角色定位与责任分配、明确区块链信息服务者合规义务以及创新区块链监管模式。基于区块链技术优化与相对解释论的立场，构建区块链上更正和删除个人信息的权利体系。根据区块链具体应用实践以及信息服务主体对链上个人信息处理的关键要素有无实际影响力和参与程度，以区块链信息服务提供者为主体构建个人信息处理的分级分类责任体系。     

刑法视阈下已公开个人信息的合理利用——以个人自治法益观为中心的探讨

基于自媒体时代较强的交互性,已公开的个人信息虽已丧失私密性,但其后续利用行为仍应遵循合理性要求,合理性的剖析应以信息处理者的行为是否构成犯罪为基准。而当前理论界和实务界对已公开个人信息的后续利用行为是否构成犯罪尚无定论,其根源在于未能厘清侵犯公民个人信息罪的保护法益,即界定已公开个人信息的利用是否构罪,需判断信息处理者的行为是否侵犯该罪规制的法益。经论证发现,侵犯公民个人信息罪规制的法益应为公民信息自决权,而公民信息自决权中蕴含的个人自治法益观对于正确限定刑法上已公开个人信息合理利用的界限有重要意义。基于个罪中超个人法益必然导向背后具体个人法益之考量,为界定刑法中已公开个人信息合理利用的范畴,应提倡以尊崇个人自治的法益观为前提,以激活信息自决权的行使为手段,依据《刑法》第253条的规定,在法秩序统一原理下,通过辩证性审视前置法相关规定中已公开个人信息合理利用路径的优劣,创新性地提出“场景式判断+知情同意”融合式刑法规制举措。即根据已公开个人信息的后续利用是否从低风险场景僭越到高风险场景进行判断,如若不是,则信息处理者的行为属于合理利用;如若是,则需进一步判断信息处理者的行为是否取得信息...     

数字经济时代个人信息的识别标准及规范续造

个人信息的内涵范围及其类型化问题是个人信息保护理论研究的原问题,也是个人信息保护立法的基础性问题。从域外法来看,个人信息界定模式发生了重大改变,即从“识别标准”发展到“识别+关联标准”。我国立法关于个人信息的界定尚未统一,理论上也尚未完全形成对个人信息内涵与标准的共识。在数字经济时代,传统个人信息的“可识别性标准”存在操作难题,难以满足数字经济发展的迫切需要。分级分类是有针对性、差别化保护个人信息的重要进路,但整体而言,我国现有个人信息分类分级制度仍相对粗陋,个人信息收集知情同意规则、敏感个人信息处理规则、相关主体权利义务规则等仍有优化空间,特别是个人信息识别标准制度仍亟待改进。寻求个人信息范围之理论突破,可以识别标准为突破口,从单一“可识别”标准转向多元场景“可识别”标准,注重个人信息界定的情景化、弹性化、本土化。从制度创新角度,应当进一步创新我国个人信息内涵规则、外延规则、分类规则和分级规则等规则体系,实现个人信息保护的法律规范续造。     

健康码应用中个人信息权益受损风险与救济

健康码是政府通过数据治理的个案典范,在疫情防控中发挥了重要作用,但同时也存在导致个人信息权益受损的风险。在健康码的应用中,政府依靠企业的技术进行个人信息处理,政府是个人信息处理者,企业是受托人。对于政府而言,政府依职权处理个人信息的行为违法,权利人可以根据《行政诉讼法》和《国家赔偿法》获得救济。对于企业而言,作为受托人原则上不对外承担责任,除非违反《个人信息保护法》第21条和第59条明确规定的个人信息保护义务,受托人就该处理行为应被视为个人信息处理者,并承担《个人信息保护法》所规定的相关责任形式。     

公开个人信息处理中的企业合规

《个人信息保护法》对公开的个人信息呈现出弱化保护态势，但这并不意味着无需保护。公开个人信息承载了自然人的人格尊严和自由权益，企业处理公开个人信息仍需遵守《个人信息保护法》等法律法规。公开个人信息处理的合法性依据是以法定许可为原则，以个人同意为例外。公开的个人信息，并不是泛指任何处于公开状态的个人信息，它仅限于合法、绝对公开的个人信息。公开个人信息处理应限于合理范围之内，且应尊重信息权人的拒绝权。公开个人信息处理，虽然通常会因其公开性具有阻却违法、阻却责任的法律效果，但若违法处理也会让企业面临行政处罚和刑事追诉的合规风险。这主要包括欠缺合法性根据的合规风险，处理对象不适格的合规风险，处理方式不合理的合规风险三类。为防范公开个人信息处理中的合规风险，企业有必要建立公开个人信息处理中的合规方案，将其纳入数据保护专项合规计划之中，在数据业务中正确识别个人信息类型和公开个人信息类型，建立公开个人信息处理的影响评估机制。     

个人信息:从财产属性到公共利益属性——基于信息产权制度构成理论的比较研究

大数据时代个人信息的商业价值不断凸显，在个人信息人格权基础上明确个人信息财产属性并以此确立个人信息财产制度的观点层出不穷。然而，个人信息具有不同于知识产权客体的特殊属性，劳动财产理论、人格权财产理论以及经济激励理论等信息产权构成理论并不能成为构建个人信息财产制度的基础。产权制度注重个体支配而淡化了个人信息的公共利益属性，不仅难以激发企业的内在驱动力，还限制了信息主体人格自由发展，并由此催生新型不平等关系。个人信息保护应侧重于公共利益考量，涵盖“公共人格属性”和“公共产品属性”两部分，前者为人格属性的升华，后者则为财产属性的本质。公共利益属性内涵下的个人信息保护应以正义原则为指引配置权益，回归法律保护弱势群体利益的正义价值。一方面，法律应当在信息主体人格权益优位保护的前提下确保信息企业无偿且平等地获取个人信息，事前个人信息保护可类比环境治理，以技术规范信息处理方式；另一方面，为修复公众对数字环境之信任，个人信息事后司法救济应采取民主途径，并将信息处理者的制造权益风险与其举证责任相关联。群体性信息主体的权益保护与信息处理者的信息利用二者并非处于对立面，个人信息的公共利益属性也表明，双方可据之促成共善发展。     

对开放平台背景下个人信息保护的立法经验与借鉴——以我国台湾地区为例

云计算时代,开放平台逐步成为个人信息存储中心,个人信息安全与权利保护亟需法律制度的保障.我国台湾地区“个人资料保护法”确立的个人信息权利体系、个人信息利用要件等个人信息保护制度对于开放平台背景下个人信息的利用与保护具有重要意义,为大陆地区开放平台背景下个人信息保护提供了可资借鉴的经验.     

个人信息权利的共同善维度

在信息社会的巨大挑战面前，个人信息的法律保护需要确定个人信息权利的基本属性，然而个人信息权利的证成在理论上存在争议。信息的本质与权利的道德意义是界定个人信息权利需要解决的两个理论难题。信息是一个解释性概念，在高度复杂的信息技术的支持下，个人信息所展现的技术、价值和社会维度是展示信息之重要性的基础。证成个人信息权利依然需要回到自由论和利益论之争的价值框架之中，但信息社会中技术理性与价值世界的碰撞、个体与社会互动的方式转型以及个人人格向数字人格的转变等因素，使得个人信息权利的证成面临更多难题。基于共同善的权利观回应了信息社会的法律挑战，主张个人信息权利的基础在于对个体利益和社会共同善的双重贡献。对个人信息权利的捍卫在很大程度上是为信息社会的发展确立伦理准则和文明规则，保护个人信息的法律制度设计也应体现共同善的价值指引。