个人信息保护中知情同意的困境及重构

传统的个人信息保护框架以知情同意为其原则,隐私政策正是知情同意在网络时代的具体运用。大数据分析的发展引发了对公民隐私的严峻挑战,隐私政策中知情同意的异化,使其有效性备受质疑。对此,不能完全否认知情同意原则的必要性,无论从传统民法视角而是从现行法出发,知情同意都是个人信息保护宗旨的体现。为了化解知情同意所面临的困境,提出了场景风险管理理念、社会控制理论和“弱同意”架构设计等新构想,尝试在个人信息保护与数据开发之间找到新的平衡点。     

大数据时代个人信息保护的行政监管立场及其智慧化转型

[提要]《个人信息保护法》在“告知—知情—同意”框架基础上,创造性地设置了以行为规制为中心的个人信息权益保护模式。行政监管的功能在这一全新保护模式中能否准确定位,关系到个人信息保护的成效。然而相比于大数据时代的飞速推进,行政监管的长期踯躅导致信息保护效果并不理想,因而亟需对个人信息保护法中行政规范条款进行重新诠释。在法理逻辑上,行政监管介入个人信息保护旨在建构“明确保护个人信息权益”“规范个人信息处理活动”“促进个人信息合理利用”三者的有效连接,维护个人信息的良性使用秩序。在价值立场上,行政监管应以协调个人信息处理中的不平等关系为基本取向,调和个人信息主体和信息处理者的非对称关系,以平等主体之间的不平等结构为调控重点并平衡公私主体间的不平等关系。个人信息保护中的行政监管需维护“告知—知情—同意”的基本保护模式,并加强针对信息处理者自我规制的行政监督,同时还须依循数字社会的变化向智慧化监管转型,创新技术监管方式以加强行政监管的职能建设。     

政府数据开放背景下个人信息知情同意权的行政法架构

政府数据开放的趋势对于个人信息保护的要求越来越高。个人信息保护中的知情同意权是公民个人信息自决权的核心,是政府数据开放制度中必不可少的内容。知情同意权最早起源于医疗领域,是医学界保护接受测试者的基本规范,这一规范从医学伦理转化而来,最终在法律中得到确认。个人信息保护中的知情同意,要求任何主体在收集和利用个人信息时应当如实、全面地告知当事人具体情况,并征得当事人同意后方可对信息进行处理,包含具体同意和概括同意。个人信息知情同意权在行政法领域的特殊性表现为:双方主体地位不平等,知情同意权更多地表现为知情权,个人信息泄露影响巨大。同时应当构建如下规则:知情同意不能构成责任免除;概括同意和具体同意并行;剔除具有可识别性的信息,且不能恢复;制定大数据使用规范,避免出现大数据歧视。     

人脸识别信息收集与使用过程中知情同意原则的修正

人脸信息是大数据背景下蕴含发展红利的潜力资源。经由人像采集技术收集而成的人脸面部特征信息属于“个人敏感信息”的范畴,在信息收集、共享、传输、分析和存储方面应当设定比个人一般信息更高的保护门槛。现行法律框架构建了以知情同意原则为基石的个人信息保护制度,但该原则的适用在人脸识别技术的应用场景中局限于形式上的同意,或由于地位的不对等、技术非对称性而被掏空同意内核。鉴于此,必须在坚守知情同意原则首要正当性来源的前提下根据人脸信息的特征对其进行局部修正,保障知情基础,建立标准化的司法风险评估制度,严格限制人脸信息的社会控制,增加特殊删除请求权,扩展数据安全的公益诉讼内容,以回应大数据时代公民信息流动和保护的正当需求。     

个人信息保护中告知同意规则的规范构造

告知同意规则在个人信息保护中处于重要地位,但是告知同意规则在适用中存在诸多问题。引入激励机制能够促进信息处理者积极履行告知义务以及信息主体提供更高质量的“同意”。在对信息处理者激励的层面上,赋予告知同意规则以排除管理性强制性规定的功能,并限制信息主体单方变更权的行使范围。在对信息主体激励的层面上,赋予信息主体可选择“同意”的空间,设置“一键同意+可以商讨”的选择结构。引入激励机制的告知同意规则能够在不偏离原有制度框架的基础上,有效促进个人信息保护与个人信息流通的平衡。     

个人信息保护中知情同意原则的困境与出路

在大数据的背景下,企业数据活动确实具有越来越重要的社会经济功用.个人信息保护的知情同意原则,不宜追求形式上的绝对化,而应转向更加具体的实质化,以期在真正有效保护个人信息的同时,也鼓励企业更加积极而有效地开展数据活动.一方面,数据活动应获得用户清晰和明确的同意,即使个人一般信息亦然;信息主体的同意应当符合可期待性要求.另一方面,为了实现与数据活动的平衡,应当为数据活动提供必要法律豁免.立法应规定,企业数据活动的正当基础应不限于信息主体的知情同意;此外,还可以通过引入个人信息匿名化可以获得知情同意豁免的方式,鼓励和促进企业在有效开发数据和保护个人信息上齐头并进.     

大数据时代个人信息“控制—利用”二元立法路径重构

大数据时代的个人信息立法应平衡个人信息控制保护与促进利用的关系。当前国内外个人信息立法的既有路径未协调好这一关系,出现知情同意机制失灵、个人信息出售机制乱象、匿名化制度遭遇技术壁垒的困局。破除既有路径困境的关键是从应然目标、理论基础和规则重建三个方面,对个人信息“控制—利用”二元立法路径进行体系化重构。二元路径的目标是通过划清私人领域与公共领域的界限,以平衡个人信息控制保护与利用流通的关系;理论基础是承认个人信息的人格与财产双层、个人与公共的双重价值属性;通过构建个人信息直接识别、个人信息利用促进、利用规制和信息财产权属制度,重构个人信息控制保护与促进流通利用的规则体系。     

从静态到动态:场景理论下的个人信息保护

随着互联网场景时代的到来,静态保护个人信息安全面临诸多挑战,个人信息保护需要"由静至动".场景理论是一种动态分析框架,可以尝试将其运用于个人信息保护实践,构建个人信息动态保护框架.在场景理论下,个人信息保护的内在逻辑是动态地保护个人信息安全,价值追求是统筹兼顾地保护个人信息所有者和个人信息处理者的利益,遵循动态平衡、合法、必要、正当等原则.基于个人信息保护的内在逻辑、价值追求、遵循的原则,个人信息动态保护的实现需要重新界定个人信息,重塑知情同意规则,设计针对性的个人信息处理规则.     

论政府数据开放中的个人信息合理使用

政府数据开放中处理个人信息的行为应随《个人信息保护法》调整,但政府数据开放与《个人信息保护法》的目标定位存在一定分歧。《个人信息保护法》中的知情同意规则无法充分证成政府数据开放中处理个人信息的行为具有合法性,进一步引入并充分解释合理使用规则,方能为该行为提供合法性基础。在知情同意、合理使用双重规则的调整之下,政府数据开放中处理个人信息的行为应当遵循“合法、正当、必要”等法治原则的指导;应将个人信息的性质、处理个人信息的目的及造成的影响“三要件”,设定为判断处理个人信息是否构成合理使用的具体标准;在适用方式上,则应根据不同类型、层级的公共利益对个人信息和数据进行分类、分级开放。     

利益衡平视角下个人信息处理规则研究

个人信息承载着多重利益,在个人信息处理中,容易引发个人与组织、社会以及国家之间的多元利益冲突。个人信息的内涵和外延界定不清,个人信息处理行为不规范,是引发利益冲突的重要原因。把握利益衡平的价值理念,在个人信息处理中寻找各方利益契合点,是消除利益冲突的有效途径。在个人信息处理规则的阐释与适用中,应当以利益衡平为目标,在“合法、正当、必要、诚信”的基础上,准确把握“知情同意”规则的适用要求与例外情形,关注敏感个人信息保护,促进一般个人信息利用,规范个人信息处理行为,实现个人信息保护与信息合理利用的动态平衡。     

韩国《个人信息保护法》的最新修正及其对我国之启示

基于提升对核心资源数据的利用活性化,发展新产业等目的,韩国立法机关在2020年对《个人信息保护法》进行了幅度最大且最具有现实意义的一次修正。此次新增“假名信息”的概念并明确其具体的含义,否认需要耗费极多时间和费用、运用超前技术才能被识别的信息属于个人信息。与此同时,还扩大了“知情同意原则”的例外情形,认为只要与收集信息的目的合理关联,在满足一定条件的前提下可以不经信息主体的同意利用或者向第三者提供个人信息。若是出于统计、科学研究、公益记录保存等目的,亦可无须信息主体的同意对个人信息进行假名处理。这些修正内容为今后《中华人民共和国个人信息保护法》的进一步完善提供了诸多有价值的启发,可以积极地予以借鉴。具体而言,应当在《中华人民共和国个人信息保护法》中肯定匿名化信息的相对性,确立目的相关联原则以及合理框定不适用“知情同意原则”的情形。     

数字经济时代个人信息处理的法律基础

在数字经济时代,为实现个人信息保护与利用的平衡,2021年8月20日通过的《个人信息保护法》明确将规范个人信息处理活动作为立法目的之一,并围绕其具体构建个人信息处理制度.个人信息处理的合法性事由不仅包括知情同意,还可涵盖法律、行政法规规定的其他情形;而敏感个人信息一经泄露或非法使用即会产生侵害权利的高度风险,其处理应受到严格限制.应在解释论上进一步完善个人信息处理制度,构建知情同意的动态信息披露机制,完善个人信息处理的合法性事由,确立"原则禁止、法定允许"的敏感个人信息处理原则,从而奠定数字经济时代个人信息处理的法律基础.     

数字经济时代个人信息处理的法律基础

在数字经济时代,为实现个人信息保护与利用的平衡,2021年8月20日通过的《个人信息保护法》明确将规范个人信息处理活动作为立法目的之一,并围绕其具体构建个人信息处理制度.个人信息处理的合法性事由不仅包括知情同意,还可涵盖法律、行政法规规定的其他情形;而敏感个人信息一经泄露或非法使用即会产生侵害权利的高度风险,其处理应受到严格限制.应在解释论上进一步完善个人信息处理制度,构建知情同意的动态信息披露机制,完善个人信息处理的合法性事由,确立"原则禁止、法定允许"的敏感个人信息处理原则,从而奠定数字经济时代个人信息处理的法律基础.     

患者权利的法律保护——以医疗知情同意权为视角

医疗知情同意以法律制度的形式详细地规定在《侵权责任法》第55条和56条中。医疗知情同意无非就是医院讲清楚其是如何治疗、怎样用药以及手术过程中存在哪些可以预知的风险,本是尊重患者知情权和选择权的制度安排。但是在司法实践中,由于医患之间缺乏信任,医疗知情同意制度被认为是医生推卸责任的"保护伞"。减少知情同意环节引发的纠纷,充分发挥医疗知情同意制度的作用,保护医患双方的权益,离不开医患双方的共同努力。     

大数据时代个人信息保护的路径探索

当人类社会逐步进入大数据时代,个人信息的资源性价值日渐突出.个人信息权属于一项集合了人格权和财产权于一体的新型权利,与知识产权具有相似性,在对保护个人信息的路径进行探索时,可以从二者的权利相似性出发,在知识产权制度框架内为个人信息保护寻求"制度模板".通过借鉴知识产权法相关制度,对个人信息保护进行制度设计,从而形成顺应"大数据"时代背景的个人信息利用与保护的制度.     

论智能网联汽车终端用户个人信息的保护困境及其出路

终端数据作为驱动智能网联汽车发展的核心资源,引发了终端用户个人信息保护的诸多问题。细究现行智能网联汽车信息处理的相关法律制度,具体的规范指引缺位、信息处理的核心制度即知情同意规则难以适应、数据加密技术评估标准未确立等问题直接导致其在实践中面临监控用户行为、用户信任缺失和存在博弈侵权可能等困境。文章认为立足相关的法律与实践,以利益平衡与激励促进合作的思路,应当在量化隐私损失和服务质量之间权衡的基础之上,尝试构建基于场景的动态知情同意+经济激励的信息收集模式以促成双方形成新的合作,提出现行法律制度的应然设计,以期为确保车主隐私及个人信息安全、加速智能网联汽车产业稳步发展提供智识助力。     

个人信息保护领域公益诉讼的法理困境及其纾难——兼论违反“公共利益豁免规则”的公益诉讼应对

将《个人信息保护法》第70条视为个人信息保护领域公益诉讼的规范渊源会造成法益保护的限制与公益诉讼风险防范机能的减损,应以“保护群体公民的信息自决权”“保护国家的数据主权”和“防范信息处理活动引发其他社会公共利益风险”三个角度建构个人信息保护领域公益诉讼法益体系。在违反“公共利益豁免规则”的场合,公共利益存在个案的层次性差异,相应的信息处理活动规范要求也不尽相同,应参照GDPR区分“重要或重大公共利益”和“一般公共利益”。公益诉讼可以提出“去标识化”的技术合规主张,并借助“专家审查+安全港制度”进行“去标识化”认定,但仍应警惕“去标识化”只是“附加保障”,而非一劳永逸的安全。     

论同意处理个人信息作为提供网络服务的对价

负担行为和处分行为区分的学理框架有助于界定用户无需付款的网络服务合同中用户同意处理其个人信息的法律属性，网络服务提供者提供网络服务的对价并非用户提供其个人信息，而是用户同意网络服务提供者处理其个人信息。解释论层面，同意处理个人信息构成提供网络服务的对价(对待给付),网络服务合同的对价性并不体现为牵连性，而是体现为条件上的联系或原因上的联系。功能论层面，同意处理个人信息作为对价涉及认定用户的同意是否自愿作出，进而影响同意的效力。“捆绑授权”情形下用户作出的同意无效，欺诈或误导情形下同意的效力须借助“跷跷板理论”进行场景化认定。     

非法获取个人数据犯罪的法益分析及处罚限定

个人信息权益、数据权益、信息管理秩序、数据安全秩序，是大数据时代下刑法保护的新兴法益。侵犯公民个人信息罪保护个人信息权益，非法获取计算机信息系统数据罪保护数据权益，二者都应作为个人法益保护。一方面，侵犯公民个人信息罪中“同意”要件的规范化构造，以刑法对个人信息的保护程度为基础，在因“同意”而产生的合理预期范围内由信息主体承担信息社会的风险。另一方面，以私法上个人数据确权理论为依据，非法获取计算机信息系统数据罪的对象应包含个人数据所承载的数据控制者的数据权益，处罚范围取决于个人数据上的企业投入及合法获取。非法获取个人数据的行为，可能构成侵犯公民个人信息罪与非法获取计算机信息系统数据罪的想象竞合。     

浅议我国人体试验知情同意之立法完善

知情同意是人体试验的关键问题,对于受试者利益的保护具有重要意义。我国在规范人体试验时,对知情同意有相关规定,但存在一定的缺失和不足。通过研究认为,在研究者告知义务方面,对于研究者的说明事项规范有待改进。在受试者同意方面,将行为能力制度运用于受试者的同意能力不适当,有建立“医事上同意能力制度”的必要,且受试者的同意能力应当依据个案判断。知情同意实践中,弱势群体之一孕妇参与人体试验在我国存在立法缺失,应予以补充和完善。