《个人信息保护法》的亮点与创新

《个人信息保护法》是一部全面保护个人信息的专门性立法.作为公法和私法的混合,该法的私法部分作为《民法典》的特别法,进一步丰富和发展了《民法典》的个人信息保护规则.《个人信息保护法》在总结《民法典》等的立法经验基础上,借鉴了欧盟《一般数据保护条例》等比较法的经验,形成了诸多的亮点和创新之处.包括进一步扩张了个人信息的保护范围,构建了以"告知—同意"为核心的个人信息处理规则,对自动化决策的全面规范,严格保护敏感个人信息,确认个人在个人信息处理活动中的各项权利,强化个人信息处理者义务,规范国家机关的个人信息处理行为以及个人信息跨境流动,完善了侵害个人信息的法律责任,这些内容都充分彰显了这部法律的时代性、国际性和本土性.     

“个人信息权益”的民法新定位

《个人信息保护法》创设的“个人信息权益”源于基本权利，经由间接第三人效力理论而同时具有民法上意义。学界主张个人信息权益在民法上定位为新型权利或新型利益。然而，个人信息制度的“预防法”定位和个人信息权益不具有独立客体利益的窘境，都无法支持该主张。既然个人信息保护制度的作用是事前预防大规模、技术化的个人信息分析评估活动给既有一切民事权益造成系统性风险，那么个人信息权益毋宁只是既有一切民事权益在信息分析评估场景下的全新表达。进而，个人的权益因信息分析评估而受侵害并造成损害时适用《个人信息保护法》第69条，非因信息分析评估而受侵害并造成损害时则适用《民法典》第1165条第1款，二者不存在竞合或聚合关系。《民法典》第1034条第3款中的“没有规定”应解释为“没有关于信息分析评估场景中的规定”。     

论基因信息的二阶人格权形态

基因信息是运用基因技术方法从包括基因在内的人体生物材料中提取的反映自然人遗传特征的个人信息，具有显著的身份识别性、预测性，呈现私密性、高度敏感性，非普通个人信息以及一般生物识别信息、医疗健康信息等敏感信息可比拟。《中华人民共和国民法典》就私密信息保护采取隐私权与个人信息权益双重进路，基因信息作为私密信息，权利适宜认定为隐私权与个人信息权二阶形态，基因信息隐私权更为基础，二者具有利益一体性、功能互补性、适用接续性等特征。     

个人信息保护“入典”：体系功能及其与专门立法的关系

个人信息保护"入典"是我国民事立法的创举。在专门立法之外,将个人信息保护的核心规范写入《民法典》,不仅可为个人信息的私法保护提供明确依据,还具有价值指引功能、体系解释功能和权利孵化功能。《民法典》人格权益保护的价值取向为个人信息的私法保护提供了根本性的评价基准,在其指引下,个人信息保护的具体规则可在《民法典》中得以体系化的解释和适用。《民法典》围绕个人信息自决,针对个人信息处理行为,初步形成了具体权利内容,为个人信息权利的体系化发展奠定了基础。与《民法典》的个人信息保护规范相比,《个人信息保护法》在调整对象上大同小异,但在保护方式上存在递增,其通过公法手段保护的个人权利仍然具有私权属性。该项专门法律属于领域立法,兼具公法和私法属性。个人信息的公法保护与私法保护同等重要,个人信息保护的体系性也将在两者联动中得以加强。     

数字社会中算法消费者的个人信息保护体系构建

算法消费者是消费者体系中的一种新类型,是通过在智能算法接入互联网等信息网络为生活消费购买商品或接受服务的消费者。算法消费者个人信息保护体系的构建需要在《民法典》《个人信息保护法》《消费者权益保护法》《电子商务法》等法律法规的基础上,进行法律衔接与适用空间的解释或立法构造。算法消费者个人信息过程保护应围绕算法消费者的同意机制多元化、平台经营者个性化披露、算法消费者自动化决策拒绝权及个人信息处理者信息信义义务等维度展开,并以公益诉讼保护作为结果保护的手段。     

敏感个人信息精神损害赔偿之检视与制度建构——以《个人信息保护法》生效前45例已决样本分析

《个人信息保护法》对敏感个人信息首次予以立法规定,并专节规定敏感个人信息处理原则,确立了更为严格的过错推定责任,关于精神损害赔偿未置可否而引发学界的审视与思考。以检索到2018 2021年侵犯敏感个人信息的45例已决样本为分析对象,发现司法实践中优先采取《民法典》私密信息隐私权的保护路径,并导致敏感个人信息的精神损害赔偿支持率低、赔偿标准适用及赔偿金额确定随意等问题。这反映出《个人信息保护法》与《民法典》隐私权保护路径的竞合与冲突,敏感个人信息精神损害赔偿条款缺位,设定损害后果须“严重”的赔偿门槛较高以及赔偿金额的自由裁量权失范等困境。对敏感个人信息受侵的案件,应优先适用《个人信息保护法》的保护路径,应设定敏感个人信息精神损害条款,将精神损害赔偿损害门槛从“严重”降为“一般”,并通过司法解释设置赔偿数额区间和引入新的衡量因素以限缩法官的自由裁量权。     

信息处理者侵害个人信息权益的民法救济

我国《个人信息保护法》以实现个人信息处理中信息权益保护与合理利用之平衡为规范意旨,并赋予自然人对自我信息的决定、查阅、复制、更正、删除等权能,构成法律保护个人信息权益的前提基础,成为相对人处理个人信息与自动化决策的合法性依据。立法设计以“知情同意-同意例外”规则为个人信息合规处理的架构基础。当个人信息权益被侵害时,法官应充分运用动态系统论厘清信息权益损害的要素层次,适用过错推定原则认定信息处理者损害赔偿责任。为实现充分有效救济,权利人可考量行使人格权请求权和侵权请求权二元救济路径,明确损害赔偿具体范围,保障其人格权益和人格尊严不受侵犯。     

公开个人信息处理中的企业合规

《个人信息保护法》对公开的个人信息呈现出弱化保护态势，但这并不意味着无需保护。公开个人信息承载了自然人的人格尊严和自由权益，企业处理公开个人信息仍需遵守《个人信息保护法》等法律法规。公开个人信息处理的合法性依据是以法定许可为原则，以个人同意为例外。公开的个人信息，并不是泛指任何处于公开状态的个人信息，它仅限于合法、绝对公开的个人信息。公开个人信息处理应限于合理范围之内，且应尊重信息权人的拒绝权。公开个人信息处理，虽然通常会因其公开性具有阻却违法、阻却责任的法律效果，但若违法处理也会让企业面临行政处罚和刑事追诉的合规风险。这主要包括欠缺合法性根据的合规风险，处理对象不适格的合规风险，处理方式不合理的合规风险三类。为防范公开个人信息处理中的合规风险，企业有必要建立公开个人信息处理中的合规方案，将其纳入数据保护专项合规计划之中，在数据业务中正确识别个人信息类型和公开个人信息类型，建立公开个人信息处理的影响评估机制。     

个人信息处理“同意”行为解析及规则完善

目前我国多将"同意"定性为合同承诺或信息权益处分行为,产生了各种实践困局。信息处理者对个人享有事实上的私权力,"同意"这一法律行为定性与意思自治精神发生背离。从制度逻辑看,"同意"实现的是合作性组织秩序,个人没有设权意愿也不设定权利义务规则,与合同权益变动规律有罅隙;从法律技术看,个人信息人格价值不得处分,财产价值处分权不由个人享有,"同意"不构成处分性的抽象法律行为。"同意"是准法律行为,行为意思与表示意思保护个人"同意"自主性及其对"同意"法律意义的认识,效果法定是对权力失衡的纠偏,避免了主体客体化。作为正当基础,"同意"是信息处理加入权的行使,法定效果是处理者既获得了限制个人信息人格价值和生产保有个人信息财产价值的双重正当性,又产生了法定的个人信息保护义务。《个人信息保护法》规定的动态"同意",是对信息处理决策权和退出权的行使。"同意"这一准法律行为定性,使个人信息保护的公法性强制规范与私法性自由规范形成链接,在定纷止争的基础上,给个人提供更加完整的权利救济。     

个人信息侵权责任的规范构造

《个人信息保护法》中的个人信息权益可作为民事权益受到侵权责任的保护,无论其被理解为民事权利抑或民事利益,对其侵权责任构成并不产生影响。由于个人信息中的部分内容同时也属于隐私权、肖像权、姓名权等具体人格权的保护对象,个人信息权益和具体人格权不可避免地会发生重叠保护。其中对于私密信息的保护应优先适用《民法典》的规定,但为最大程度化解立法上的冲突,应降低信息主体对过错要件的证明标准,而对于肖像、姓名等个人信息的保护,则产生请求权竞合,信息主体可择一主张。个人信息侵害具备筛选受保护法益的功能,与损害有区分的必要。无论个人信息是否被非法利用,都可能产生财产损害和非财产损害。侵害个人信息权益造成的既有人身或财产权益的损害与个人信息权益自身被侵害而产生的损害应当各自获得单独赔偿。     

个人生物信息安全的法律保护——以人脸识别为例

随着人脸识别等生物识别技术的广泛应用,个人生物识别信息作为一种特殊的个人敏感信息,所蕴含的个人信息权利应受到法律保护.在此基础上,应当确立风险预防及利益平衡原则以保障个人生物信息安全.在生物信息安全法律领域,我国现有的私法和公法保护模式都难以实现体系化保护.我国应以网络安全法、生物安全法、个人信息保护法、数据安全法等综合性立法为契机,通过相关行政法与刑法的衔接协调,构建个人生物信息安全的法律法规体系.     

个人信息保护的法律规制与法治路径

数据是信息的主要表现和转换形式，数据共享已成为个人信息利用的一种极为快捷便利的有效方式。需要建立对个人信息严密保护的数据共享机制，建立以数据为核心的数据所有权保护制度，构建个人信息“权利束”保护的工具性体系。个人信息权保护的法律规制主要体现在四个方面:个人信息私法保护的法律规制，个人信息正当处置的法律规制，个人信息合法删除的法律规制，侵害个人信息权益的法律规制。个人信息权保护的法治路径集中反映在三个方面:对已经公开的个人信息适用刑法保护，对侵犯个人信息的犯罪行为追究刑事责任，个人信息权益保护适用公益诉讼。     

对开放平台背景下个人信息保护的立法经验与借鉴——以我国台湾地区为例

云计算时代,开放平台逐步成为个人信息存储中心,个人信息安全与权利保护亟需法律制度的保障.我国台湾地区“个人资料保护法”确立的个人信息权利体系、个人信息利用要件等个人信息保护制度对于开放平台背景下个人信息的利用与保护具有重要意义,为大陆地区开放平台背景下个人信息保护提供了可资借鉴的经验.     

个人信息在智慧治理中的风险与保护——以《民法典》个人信息保护为中心

伴随着大数据、人工智能等技术在社会治理领域的长足发展,政府利用个人信息实现智慧治理得以可能.但行政机关在收集、加工、使用、共享等处理个人信息过程中存在诸多风险,且现行法律体系对规制政府利用个人信息的制度供给严重不足.《民法典》作为私权领域的基础性法律,明确了公民个人信息受法律保护,具有规范、平衡和指引政府处理个人信息的重要意义.未来需要在《民法典》的框架下,通过制定个人信息在公共领域合理使用规则,明确行政机关的责任形态,完善对个人信息主体的损害赔偿制度,促使政府在智慧治理中合理利用个人信息.     

私密信息合理使用规则及其优化路径

在信息社会，私密信息处理甚至合理使用成为一种常态。理论界与实务界对此存在争议，《民法典》与《个人信息保护法》则保持沉默。信息处理者因公共利益等原因使用私密信息导致其与信息主体之间的利益冲突呈白热化趋势。域外在私密信息保护及其限制方面进行了有益的探索，但终因相关制度的固有缺陷未能较好地达致私密信息保护与利用的衡平。基于私密信息与个人信息的特殊关系及私密信息与个人信息、其他人格要素的三重逻辑，私密信息合理使用具有正当性。为应对私密信息合理使用遭遇的系列法律困境，可以参照个人信息合理使用规则指导私密信息合理使用，体系化构筑私密信息合理使用标准，类型化构造私密信息合理使用的具体规则，完成私密信息合理使用的制度化建构。     

论图像采集设备安装行为的合法性边界

《个人信息保护法》第26条在法律层面上,首次对图像采集设备的安装设定严苛的合法性依据。图像采集设备的安装,不仅构成个人信息处理行为,还因部分个人信息之上承载人格利益,同时受到《民法典》人格权编,尤其是其中肖像权和隐私权规则的规范。两部法律在合法性判定上标准不同,被《民法典》评价为合法的行为极大可能被《个人信息保护法》第26条所禁止。人脸识别技术对个人信息权益存在较大的潜在加害风险,故人脸识别设备之安装应当直接适用《个人信息保护法》第26条。对于其他类型图像采集设备之安装,应当宽松解释《个人信息保护法》第72条的“私人事务例外规则”,构成私人事务的,排除《个人信息保护法》第26条的适用,依据《民法典》隐私保护路径判定其合法性：引入“公共空间的合理隐私期待”新型隐私观念,并于个案中衡量安装者对立利益。     

刍议个人信息的法律保护

个人信息保护法的客体是个人信息,个人信息体现的是一种基本人权。个人信息法律保护应遵循一定的原则,对特殊行业和领域应制定特别的法律规范,并实行行业自律。     

个人信息保护的立法基础、规范意涵与体系构造——以我国《个人信息保护法》立法依据条款为考察中心

我国《个人信息保护法》“根据宪法,制定本法”的规定,为理解我国个人信息权利及其保护制度提供了一个全新视野,隐藏了个人信息保护立法基础从隐私权向公民基本权利的转向,揭示了《个人信息保护法》的基本性法律地位、横跨公私法的混合法性质,彰显了个人信息权利丰富的基本权利特征与内涵,为国家公权力主动保护个人信息奠定了理论基础。“根据宪法”全面加强个人信息保护,需要构建科学有序的个人信息权利束,以个人信息自决权为束点整合协调各具体信息权利;拓展个人信息权利的保护功能,推动国家机关与信息处理者履行更加积极的保护义务;进一步理顺个人信息保护各项法律法规之间的适用关系。     

从分类到分级：我国公民个人信息的刑法保护

《关于办理公民个人信息刑事案件适用法律若干问题的解释》对公民个人信息进行分类并对不同种类的信息设定不同的适用数量，再将不同的数量与侵犯公民个人信息罪的“情节严重”挂钩，以刑法和司法解释的联动方式，形成了我国刑事立法中特有的公民个人信息分类保护的双层次模式。《民法典》《个人信息保护法》和我国学术界亦对公民个人信息进行了不同的分类。但上述分类在多个方面均存在缺陷，以至于无法对公民个人信息提供充足和合理的保护。有必要吸取相关经验教训，先确立公民个人信息的分类根据，再据此将其分为三级信息，以该新型分类法重构双层次模式的分类并修正《解释》第5条第1款第3-5项，在刑法层面充分、合理地保护我国公民的个人信息。     

大数据时代个人信息保护的理论反思与规则优化

新技术的发展弱化了以知情同意机制和匿名化机制为主的传统个人信息保护手段功效,公共数据的需求推动着个人信息保护模式的创新变革,公共利益的相对优位更是限制了个人信息保护的内容范围。《中华人民共和国个人信息保护法》对大数据时代个人信息保护面临的重大挑战作出了制度回应,并在基本原则、调整范围、保护模式等方面呈现出诸多亮点。数据时代的个人信息财产权属性日益增强、公共属性日益明显、积极权利属性日益突出。从隐私向个人信息再向数据的发展演进过程中,立法理念和价值导向亦发生了相应变化,即从严格保护隐私到个人信息保护和自由利用并重,再到鼓励大数据开发和数据产业发展。现代信息技术的发展客观上增加了个人信息保护的难度,以隐私权或自决权为主要内容的个人信息权保护模式受到重大挑战甚至陷入困境。构建具有中国特色的个人信息保护法律制度,必须实现个人信息保护与促进经济发展之间的利益平衡。具体而言,要将个人信息保护事先预防和事中控制确立为主模式,在对信息主体赋权的同时更要强调企业、社会组织、政府机关等在个人信息保护中的义务和责任,采用“积极确权+行为规范”规范模式,完善公共数据和公共利益规则体系。