数据治理的行为法经济学转向：助推理论实现个人信息保护

虽然以“知情—同意”为基础的个人信息保护制度已经基本确立下来,但“知情—同意”制度的实践效果一直备受非议,由此引发了对整个个人信息保护制度有效性的质疑。“知情—同意”设计的最初目的是为人们的理性选择提供制度保障,但在现实的数据协商中却存在着大量的非理性行为,由此引发了对传统法律经济学视野下个人信息保护制度困境的思考。行为法经济学理论可以对人们在数据协商中的非理性选择作出合理解释,结论是选择框架的变化使人们偏离了最佳选择。对此,可以利用助推手段,通过优化选择框架的方式促使人们作出最佳选择。建议在中国的数据治理中融入助推理念,通过增加默认数据设置规定、禁止不合理助推、构建数据隐私标准评价体系等措施促进中国个人信息保护制度的发展与完善。     

政府数据开放背景下个人信息知情同意权的行政法架构

政府数据开放的趋势对于个人信息保护的要求越来越高。个人信息保护中的知情同意权是公民个人信息自决权的核心,是政府数据开放制度中必不可少的内容。知情同意权最早起源于医疗领域,是医学界保护接受测试者的基本规范,这一规范从医学伦理转化而来,最终在法律中得到确认。个人信息保护中的知情同意,要求任何主体在收集和利用个人信息时应当如实、全面地告知当事人具体情况,并征得当事人同意后方可对信息进行处理,包含具体同意和概括同意。个人信息知情同意权在行政法领域的特殊性表现为:双方主体地位不平等,知情同意权更多地表现为知情权,个人信息泄露影响巨大。同时应当构建如下规则:知情同意不能构成责任免除;概括同意和具体同意并行;剔除具有可识别性的信息,且不能恢复;制定大数据使用规范,避免出现大数据歧视。     

数字经济时代个人信息处理的法律基础

在数字经济时代,为实现个人信息保护与利用的平衡,2021年8月20日通过的《个人信息保护法》明确将规范个人信息处理活动作为立法目的之一,并围绕其具体构建个人信息处理制度.个人信息处理的合法性事由不仅包括知情同意,还可涵盖法律、行政法规规定的其他情形;而敏感个人信息一经泄露或非法使用即会产生侵害权利的高度风险,其处理应受到严格限制.应在解释论上进一步完善个人信息处理制度,构建知情同意的动态信息披露机制,完善个人信息处理的合法性事由,确立"原则禁止、法定允许"的敏感个人信息处理原则,从而奠定数字经济时代个人信息处理的法律基础.     

数字经济时代个人信息处理的法律基础

在数字经济时代,为实现个人信息保护与利用的平衡,2021年8月20日通过的《个人信息保护法》明确将规范个人信息处理活动作为立法目的之一,并围绕其具体构建个人信息处理制度.个人信息处理的合法性事由不仅包括知情同意,还可涵盖法律、行政法规规定的其他情形;而敏感个人信息一经泄露或非法使用即会产生侵害权利的高度风险,其处理应受到严格限制.应在解释论上进一步完善个人信息处理制度,构建知情同意的动态信息披露机制,完善个人信息处理的合法性事由,确立"原则禁止、法定允许"的敏感个人信息处理原则,从而奠定数字经济时代个人信息处理的法律基础.     

从防疫健康码谈公民个人信息的利用与保护

防疫健康码在加强疫情管理、实现精准防控中发挥了重要作用。与此同时,应当加强公民个人信息的保护。防疫健康码对公民个人信息的收集、使用应当遵循合法原则、必要原则、目的限制原则、知情同意原则、利益平衡原则以及信息保护原则。防疫健康码在使用个人信息时存在信息泄露以及超出目的使用等风险,应主动积极地加以防范,侵害公民个人信息权应当承担法律责任。     

个人信息保护中知情同意原则的困境与出路

在大数据的背景下,企业数据活动确实具有越来越重要的社会经济功用.个人信息保护的知情同意原则,不宜追求形式上的绝对化,而应转向更加具体的实质化,以期在真正有效保护个人信息的同时,也鼓励企业更加积极而有效地开展数据活动.一方面,数据活动应获得用户清晰和明确的同意,即使个人一般信息亦然;信息主体的同意应当符合可期待性要求.另一方面,为了实现与数据活动的平衡,应当为数据活动提供必要法律豁免.立法应规定,企业数据活动的正当基础应不限于信息主体的知情同意;此外,还可以通过引入个人信息匿名化可以获得知情同意豁免的方式,鼓励和促进企业在有效开发数据和保护个人信息上齐头并进.     

从静态到动态:场景理论下的个人信息保护

随着互联网场景时代的到来,静态保护个人信息安全面临诸多挑战,个人信息保护需要"由静至动".场景理论是一种动态分析框架,可以尝试将其运用于个人信息保护实践,构建个人信息动态保护框架.在场景理论下,个人信息保护的内在逻辑是动态地保护个人信息安全,价值追求是统筹兼顾地保护个人信息所有者和个人信息处理者的利益,遵循动态平衡、合法、必要、正当等原则.基于个人信息保护的内在逻辑、价值追求、遵循的原则,个人信息动态保护的实现需要重新界定个人信息,重塑知情同意规则,设计针对性的个人信息处理规则.     

大数据时代疫情防控中的信息披露与隐私保护

新冠肺炎疫情防控中,大数据技术被广泛应用。疫情信息的公开提高了疫情防控工作的有效性,但频发的隐私泄露事件也暴露了疫情信息披露与隐私保护之间的问题。大数据时代隐私的范围已经被扩大化,为公益目的个人应当接受对其隐私权的限制,但是这种限制应该是合法、适度的。新冠肺炎疫情防控中,个人隐私保护面临着知情同意规则失灵、公共利益与个人隐私利益相冲突、公众知情权和个人隐私权相冲突等困境。为保护个人隐私,必须严格规制疫情信息披露行为,首先要遵循相关法律原则保证其合法性,其次要保障公众的知情、同意和监督权保证其透明化,最后必须严格落实隐私侵权责任制度,严守隐私保护的最后一道法律防线。     

生成式人工智能场景中个人信息保护的风险、逻辑与规范

生成式人工智能的应运而生使得个人信息保护面临着日益严峻的新风险,生成式人工智能从个人信息收集、使用和生成场景中引发了信任危机,传统的个人信息自决路径已然无法适应数字时代的变革。生成式人工智能应用场景中个人信息的算法识别本质成为个人信息保护的新契机,算法对个人信息识别从因果关系转向相关关系,而个人信息流通则基于场景一致性理论建构起信息规范,使得个人信息流通具备合理性,并将个人信息流通的风险控制在信息规范的限度之下。重塑以算法可识别为核心的风险规范路径,需要建构数字守门人的二元规制机制,形成个人信息流通的外部监管规范;同时在个人信息识别流通中,对知情同意原则以信息信托义务进行补充,从而实现个人信息的内部流通机理;对个人信息流通风险基于场景化分置,将个人信息和模型算法进行分级分类,促进个人信息保护的敏捷性治理,以此实现个人信息保护和流通的平衡。     

隐私政策对个人信息的保护研究

理论上,隐私政策为用户提供了一个网站信息实践的通知,基于该通知,用户可以根据其个人隐私偏好,选择是否使用网站或在线服务,在极大赋予个人信息自主决策权的同时,有效地维护个人信息。然而在我国实践中,隐私政策作为一种公平的信息实践,并没有被认真对待。其本身因为存在诸多桎梏,导致用户的个人信息并没有得到预期的保护,例如隐私政策语言描述含糊不清、可执行性存在争议以及因为版本前后的不一致而导致的效力问题等等。隐私政策对个人信息的保护应当以满足用户的合理隐私期待为目标,并结合我国相关规定构建起本土化的具体实现路径,从而推动和加强我国互联网的安全治理。     

人脸识别信息收集与使用过程中知情同意原则的修正

人脸信息是大数据背景下蕴含发展红利的潜力资源。经由人像采集技术收集而成的人脸面部特征信息属于“个人敏感信息”的范畴,在信息收集、共享、传输、分析和存储方面应当设定比个人一般信息更高的保护门槛。现行法律框架构建了以知情同意原则为基石的个人信息保护制度,但该原则的适用在人脸识别技术的应用场景中局限于形式上的同意,或由于地位的不对等、技术非对称性而被掏空同意内核。鉴于此,必须在坚守知情同意原则首要正当性来源的前提下根据人脸信息的特征对其进行局部修正,保障知情基础,建立标准化的司法风险评估制度,严格限制人脸信息的社会控制,增加特殊删除请求权,扩展数据安全的公益诉讼内容,以回应大数据时代公民信息流动和保护的正当需求。     

教学医院与患者隐私保护

针对教学医院存在的侵犯患者隐私现象,探讨医院教学医疗科研过程中保护患者隐私的法律、伦理意义。提出提高法律意识,缩小医患认知差异;营造隐私保护的就医环境;采用“解释-征询-获得配合”的教学观摩程序;加强隐私操作的防护;研究征得患者知情同意,发表征得患者授权;掌握医疗隐私保护的原则具体措施。     

个人信息权法益确证及其场景化实践规则

个人信息权的语境实质是权利保护与个人信息利用二律背反的逻辑协调问题,是个人权利处分自由以及要求他人（包括国家）给予法益尊重的法律问题。在科学阐释个人信息权作为一项新型独立性权利的法理依据、理论内涵以及客体归属基础上,界定侵犯公民个人信息罪保护法益为个人信息权,明确个人信息权法益自决性立场,理性论证个人信息权一体两面的权利特征及其实践规则。方法论上将个人信息处理进行场景化审视,正确认识知情同意作为个人信息处理的合法性依据;明确相对同意作为权利主体同意的基本形态;强调真实同意作为权利主体的意思表达。原则承载价值,法律规制行为。作为二次规范法的刑法,理应在保护理念、条文结构以及罪名优化等方面给予回应,形成既具有理论逻辑自洽性亦彰显实践功能自足性的刑法结构样态。     

网络社交的隐私问题与伦理规范

网络社交具有真实性、广泛性、即时性、透明性和繁衍性,网络社交隐私泄露的表现和途径主要有个人网络用户、社交网站公司和黑客攻击等。用户在网络社交时应当树立保护自己隐私和尊重他人隐私的意识,遵守知情同意原则,网络社交的道德建设应得到加强。     

韩国《个人信息保护法》的最新修正及其对我国之启示

基于提升对核心资源数据的利用活性化,发展新产业等目的,韩国立法机关在2020年对《个人信息保护法》进行了幅度最大且最具有现实意义的一次修正。此次新增“假名信息”的概念并明确其具体的含义,否认需要耗费极多时间和费用、运用超前技术才能被识别的信息属于个人信息。与此同时,还扩大了“知情同意原则”的例外情形,认为只要与收集信息的目的合理关联,在满足一定条件的前提下可以不经信息主体的同意利用或者向第三者提供个人信息。若是出于统计、科学研究、公益记录保存等目的,亦可无须信息主体的同意对个人信息进行假名处理。这些修正内容为今后《中华人民共和国个人信息保护法》的进一步完善提供了诸多有价值的启发,可以积极地予以借鉴。具体而言,应当在《中华人民共和国个人信息保护法》中肯定匿名化信息的相对性,确立目的相关联原则以及合理框定不适用“知情同意原则”的情形。     

论智能网联汽车终端用户个人信息的保护困境及其出路

终端数据作为驱动智能网联汽车发展的核心资源,引发了终端用户个人信息保护的诸多问题。细究现行智能网联汽车信息处理的相关法律制度,具体的规范指引缺位、信息处理的核心制度即知情同意规则难以适应、数据加密技术评估标准未确立等问题直接导致其在实践中面临监控用户行为、用户信任缺失和存在博弈侵权可能等困境。文章认为立足相关的法律与实践,以利益平衡与激励促进合作的思路,应当在量化隐私损失和服务质量之间权衡的基础之上,尝试构建基于场景的动态知情同意+经济激励的信息收集模式以促成双方形成新的合作,提出现行法律制度的应然设计,以期为确保车主隐私及个人信息安全、加速智能网联汽车产业稳步发展提供智识助力。     

个人信息的民法保护

随着人们对个人信息价值的认识不断深化,传统条件下的立法主要针对隐私利益给以保护的模式越来越不能满足人们对个人信息利益保护的要求,个人信息财产属性的彰显使得人们需要法律对个人信息积极利用的权利加以保护。计算机技术的快速发展使得人们越来越难以控制自己的信息。因而迫切需要从原有的对隐私利益的消极被动的保护模式过渡到全面积极的个人信息保护模式。     

论疫情防控中个人信息保护——以CoviD-19突发公共卫生事件应急为视角

CoviD-19疫情引发的特别重大突发公共卫生事件中,个人信息在有效预防和及时防控疫情中发挥了非常重大的作用,但是也出现了一些个人信息泄露和侵权的问题。因此,需要平衡个人信息收集处理与个人信息保护。第一,在疫情防控中个人信息收集,应当明确与个人数据的不同,不能简单用保护网络数据规则保护个人信息;与《民法总则》私法规范基于知情合意收集个人信息不同,无需个人同意,且个人必须如实提供个人信息。同时,个人信息收集主体对涉及个人隐私等敏感信息得保密或去敏化处理。第二,在疫情防控中个人信息处理,遵从统一领导原则和奉行属地原则,以维护公共健康利益为目的对个人信息进行处理利用,分离敏感信息,由专门职能部门对个人信息使用及时公布;严格遵守最小比例原则,将使用范围控制在使用目的所必需的范围内。第三,《传染病防治法》《突发事件应对法》《突发公共卫生事件应急条例》等法律法规对疫情防控中个人信息收集处理规定的内容过于抽象、操作性差,《网络安全法》不能代替个人信息保护的立法,需要制定统一的《个人信息保护法》,根据公开透明原则、比例原则、个人信息安全管理原则、以私权为中心兼顾公共利益原则,建立完善个人信息保护法律制度。     

论重大疫情防控中个人信息的民法保护——以新冠肺炎疫情为例

在重大疫情防控的特殊时期进行个人信息共享,是对疫情状况进行研判预测的前提.在新冠肺炎疫情防控时期,个人信息共享中存在信息获取内容的非必要性、信息获取主体的非授权性、信息登记传播的非隐私性、信息获取使用的非程序性以及信息泄露侵权风险.在重大疫情防控中,个人信息的获取应该遵循程序法定原则,认定只有法律明确授权的机构才能收集个人信息,获取信息内容应当以必要性为原则,获取过程需要遵循"告知同意"原则,在个人信息的合法使用中,应符合目的性原则,实现个人信息的民法保护.对于重大疫情防控时期个人信息共享中的侵权问题,应当区分不同情形,认定相关主体的补充责任、按份责任或连带责任,实现疫情防控时期个人信息的依法保护.     

个人信息商品化：识别、困境与保护

信息时代下,随着商品经济的发展,将个人信息作为交易对象的现象屡见不鲜,信息安全所面临的问题也逐渐暴露出来。个人信息商品化在一元论保护模式下呈现出的规则适用混乱、信息主体的信息认知与处理不对等、侵害个人信息精神损害认定困难、侵害个人信息结果类型不明确等问题为信息安全带来了严重隐患。通过分析讨论个人信息的商品化能够区分财产规则和责任规则的适用范围,强化知情同意原则的适用性,解决精神损害的认定难题,并明确风险作为损害结果类型,实现对个人信息的有效保护。