个人生物识别信息的民法保护构想

目前，我国没有对公民个人生物识别信息进行专门性立法，在民事法律法规中也没有对个人生物识别信息的内涵和外延作出明文规定。在我国现有法律规范中，涉及个人生物识别信息这一范畴，多是直接反映在对个人信息概念的界定中；在司法实践中，对于个人生物识别信息中存在的问题，一般采取将其纳入个人信息法律保护中加以规范。我国这种个人生物识别信息的立法保护模式，与欧盟等国家和地区有关立法规定很相似，是把个人生物识别信息视作个人信息的特有类别加以保障。但随着现代生物识别信息技术的日益发达，把个人生物识别信息从个人信息中划分出来，已成为未来的立法趋势。应当构建和完善个人生物识别信息权利保障体系，构建和完善个人生物识别信息义务规范体系，完善个人生物识别信息民事救济路径，以进一步规范我国个人生物识别信息法律保护体系。     

个人生物识别信息保护的立法模式与制度构建

个人生物识别信息具有唯一性及不可更改性的特质,一旦被非法处理,将造成不可逆的损害,由此催生出个人生物识别信息特殊保护的现实需求。对此,应当制定个人生物识别信息专门法律保护规范,以明确个人生物识别信息的保护指向及救济措施,构建系统完备的保护体系。同时,应在敏感个人信息基础上强化个人生物识别信息的保护力度,以回应对生物识别信息产业严格规制的现实需求。综合来看,我国应构建相对独立于敏感个人信息的专门立法保护模式,并在此基础上细化个人生物识别信息保护规则。具体包括：明确个人生物识别信息保护核心概念及宗旨、构建个人生物识别信息处理的特殊规则、完善非法处理个人生物识别信息的权利救济机制。     

数字时代个人信息处理的法律规制——以行政机关履职行为为例

数字时代个人信息的价值不断突显,现有的个人信息处理框架主要是按照私人机构作为个人信息处理者的逻辑来设计的。然而,与一般的个人信息处理行为相比,行政机关为履行法定职责处理个人信息形成了公法关系,不同于私人机构的个人信息处理行为。因此,告知—同意不能成为行政机关履职行为中处理个人信息的正当性基础,基本考量应为信息共享前提下的公共利益。将公共利益作为行政机关履职行为中处理个人信息的正当理由,并适用比例原则实现信息共享,有助于促进数字经济的健康有序发展。为了防止行政机关借由履行法定职责对个人信息的不当处理,行政机关为履行法定职责处理个人信息的行为还应遵循科学、中立的组织规则,破除不对称的程序规则,适用于行政行为的监督救济规则。     

个人生物识别信息的公益诉讼制度优化研究

个人生物识别信息公益诉讼制度建立在信息的公共性基础之上,能有效改善信息个人的弱势处境,缓解公权力与私权利的内在张力。公益诉讼制度介入到个人生物识别信息保护中,其法律依据是《个人信息保护法》第70条。当前,在适用上还存在着适用条件不具体、起诉主体顺位难确定、举证责任未合理分配以及不同公益诉讼关系未厘清等问题,需要细化具体适用条件、明晰起诉主体顺位、公平分配证明责任以及整体把握不同公益诉讼的衔接与配合,从而保障个人生物识别信息公益诉讼制度在实践中有效落实,实现平衡信息主体间的利益,维护信息公共安全的目标。     

论个人信息法律体系下的基因信息保护

《民法典》和《个人信息保护法》构成我国个人信息保护的基本法律体系。然而，高度敏感、特异性显著的基因信息之于人格尊严关系重大，亟待特殊制度保护，但抽象概括的现行法缺少针对性，无法全面因应个人基因信息权益保护及社会实践的制度需求，有必要开展专门立法，构建民法典、个人信息保护法、基因信息法三层制度体系。基因信息保护应以基因信息隐私自决与安全为先，兼顾流动利用；以自然人基因权益为本，衡平多重利益；实行法律与伦理共治，融合宽容及责任原则。据此，在基因信息类型化及可处理性分级的前提下，立足通用个人信息法律制度，明晰个人基因信息权益，厘清特定的目的、充分的必要性和严格保护措施等处理前置条件，重点围绕基因信息处理告知同意，开展差异化制度设计，构造非完全行为能力人同意、以书面为原则的同意方式、同意的无条件撤回、基于基因信息类型的同意豁免事由等特殊规则。     

论订立合同作为个人信息处理合法性基础的限缩适用

我国《个人信息保护法》第13条第1款第2项前段确立了“合同必需规则”,包括以订立合同作为合法性基础的情形。然而,该项仅要求“为订立……个人作为一方当事人的合同所必需”过于宽泛,既不符合目的正当性原则,又可能危及信息自决,存在隐藏的法律漏洞。为此,应对该项作目的论限缩,增加“应信息主体要求采取措施”以限制其范围。订立合同作为个人信息处理的合法性基础应符合三项构成要件：其一,处理行为发生在与信息主体订立合同的过程中,但应排除法律规定的例外情形;其二,信息主体主动要求处理者采取措施;其三,处理行为是为采取先合同措施所必需。个人信息保护法与合同法之间存在密切的体系关联,但同时又应保持其自身的独立性。     

论基因信息的二阶人格权形态

基因信息是运用基因技术方法从包括基因在内的人体生物材料中提取的反映自然人遗传特征的个人信息，具有显著的身份识别性、预测性，呈现私密性、高度敏感性，非普通个人信息以及一般生物识别信息、医疗健康信息等敏感信息可比拟。《中华人民共和国民法典》就私密信息保护采取隐私权与个人信息权益双重进路，基因信息作为私密信息，权利适宜认定为隐私权与个人信息权二阶形态，基因信息隐私权更为基础，二者具有利益一体性、功能互补性、适用接续性等特征。     

个人信息处理规则的法律经济学分析

个人信息处理规则是信息保护制度的风向标,反映了制度在信息利用与保护之间的价值偏向。实现个人信息保护与利用的衡平,本质上是追求效益最大化的资源配置问题。法经济学中的边际效益理论以及静态博弈范式有助于对个人信息处理规则的法律效果作出鉴证。通过边际成本收益分析,信息处理规则中对主体、处理者以及信息的分类正视了不同情形下帕累托最优点的差异,提高了资源的配置效率。在静态博弈视角下,信息处理规则的确立规避了信息主体与信息处理者双方消极对立的囚徒困境,促进了信息要素市场的流通。针对实践中存在的一般个人信息保护过度以及敏感个人信息保护不足的问题,应通过动态化信息分类、督促企业数据保护合规等方式予以解决。     

涉隐私政府信息公开中的“第三方同意”

个人信息保护法普遍采用的同意规则源于隐私权的支配功能。新修订的《政府信息公开条例》也有"第三方同意"的规定,对该规定的理解应该是:行政机关在特定情形下对涉隐私信息作出公开与否的决定前应与第三方——隐私权人进行协商。但相关案例显示,行政机关对"第三方同意"规定的适用存在误解,误把个人同意当成了涉隐私信息公开的必要条件,事实上限缩了政府信息公开的范围。"第三方同意"在政府信息公开中的适用具有一定的特殊性,其得以适用的时机应该是在行政机关对具体事实中的个人隐私利益和公共利益加以判断、衡量之后,其适用的范围应该基于行政效率和行政成本的考虑而有所限制,就其形式而言,隐私权人同意的意思表示可以采用多种表达形式。     

个人生物信息安全的法律保护——以人脸识别为例

随着人脸识别等生物识别技术的广泛应用,个人生物识别信息作为一种特殊的个人敏感信息,所蕴含的个人信息权利应受到法律保护.在此基础上,应当确立风险预防及利益平衡原则以保障个人生物信息安全.在生物信息安全法律领域,我国现有的私法和公法保护模式都难以实现体系化保护.我国应以网络安全法、生物安全法、个人信息保护法、数据安全法等综合性立法为契机,通过相关行政法与刑法的衔接协调,构建个人生物信息安全的法律法规体系.     

洛克论个人财产权

个人财产权是人的自然权利,从自然法中衍生出来.政府的产生只能是基于财产权的统治权,保护个人私有财产权构成了国家权力的正当性基础.立法权对财产权不能专断.税赋在交纳国家财政之前属于个人财产,公民的同意是政府征税的合法性所在.     

个人征信中信息失真的民事法律责任

信用信息失真不仅对信息主体的预期产生负面影响,而且直接侵害信息主体的信息权益.个人信息的资源价值、个人信用的人格利益与经济利益的双重属性是确立个人征信中信息失真民事法律责任时应当保护的法律权益.国外对个人信用信息的立法都确立了责任规则.在个人征信中,信息失真既可能产生侵权责任,又可能引起合同责任.这种法律责任以"过错"为必要,因征信活动的阶段和征信活动当事人的不同,具体的法律责任也各不相同.     

论生物特征识别系统个人信息采集处理授权同意机制

当前生物特征识别技术面临个人信息被盗窃、泄露、滥用及系统被侵入两大安全风险.为此,我国《民法典》确立了个人信息采集处理授权同意机制,一定程度上保护了生物特征安全.但由于生物特征识别系统的复杂性和多样性,不同系统的安全性能和个人信息保护性能差异较大;同时,普通的被识别人对识别系统的安全风险难以鉴别,导致以同意机制为基础的个人信息法律保护框架显得十分无力.因此,我国应从技术和法律上对系统的安全性能和个人信息保护性能进行分级规制,并制定包括生物识别信息在内的个人信息保护的专门法律规范,以便进一步完善授权同意机制.     

电子病历与患者个人医疗信息的法律保护

电子病历并不是纸张病历的简单电子化,其实质为一个具备诸多医疗功能的智能型计算机系统。电子病历的推广使得患者医疗信息面临新的巨大风险。保护患者个人医疗信息应贯彻个人医疗信息完整正确原则、直接收集原则、限制利用原则、安全保护原则、保密原则、保存时限原则等法律原则。我国个人信息保护专项立法应尽快出台。     

刑法视阈下已公开个人信息的合理利用——以个人自治法益观为中心的探讨

基于自媒体时代较强的交互性,已公开的个人信息虽已丧失私密性,但其后续利用行为仍应遵循合理性要求,合理性的剖析应以信息处理者的行为是否构成犯罪为基准。而当前理论界和实务界对已公开个人信息的后续利用行为是否构成犯罪尚无定论,其根源在于未能厘清侵犯公民个人信息罪的保护法益,即界定已公开个人信息的利用是否构罪,需判断信息处理者的行为是否侵犯该罪规制的法益。经论证发现,侵犯公民个人信息罪规制的法益应为公民信息自决权,而公民信息自决权中蕴含的个人自治法益观对于正确限定刑法上已公开个人信息合理利用的界限有重要意义。基于个罪中超个人法益必然导向背后具体个人法益之考量,为界定刑法中已公开个人信息合理利用的范畴,应提倡以尊崇个人自治的法益观为前提,以激活信息自决权的行使为手段,依据《刑法》第253条的规定,在法秩序统一原理下,通过辩证性审视前置法相关规定中已公开个人信息合理利用路径的优劣,创新性地提出“场景式判断+知情同意”融合式刑法规制举措。即根据已公开个人信息的后续利用是否从低风险场景僭越到高风险场景进行判断,如若不是,则信息处理者的行为属于合理利用;如若是,则需进一步判断信息处理者的行为是否取得信息...     

《个人信息保护法》的亮点与创新

《个人信息保护法》是一部全面保护个人信息的专门性立法.作为公法和私法的混合,该法的私法部分作为《民法典》的特别法,进一步丰富和发展了《民法典》的个人信息保护规则.《个人信息保护法》在总结《民法典》等的立法经验基础上,借鉴了欧盟《一般数据保护条例》等比较法的经验,形成了诸多的亮点和创新之处.包括进一步扩张了个人信息的保护范围,构建了以"告知—同意"为核心的个人信息处理规则,对自动化决策的全面规范,严格保护敏感个人信息,确认个人在个人信息处理活动中的各项权利,强化个人信息处理者义务,规范国家机关的个人信息处理行为以及个人信息跨境流动,完善了侵害个人信息的法律责任,这些内容都充分彰显了这部法律的时代性、国际性和本土性.     

未成年人信息同意能力的双重功能及其法律实现

个人信息处理中的同意能力对于未成年人来说具有消极与积极之双重功能，前者以限制未成年人独立作出同意实现未成年人保护，后者保障未成年人信息自决权的行使。在同意能力的判断标准上，无论是德国的“十六周岁+理解能力”、瑞士的“判断能力+年龄参考”,还是日本的“意思能力+年龄参考”,均以形式与实质相结合的方式实现上述双重功能，并与其民法行为能力制度保持体系一致。就我国法律而言，意思能力构成信息主体同意能力的基础，未成年人同意属于与其年龄、智力相适应的单方法律行为。未成年人作为信息主体的同意能力，其法律适用应当与《民法典》行为能力制度体系相衔接，坚持“十四周岁+意思能力”标准。在举证责任方面，信息处理者须履行双重验证义务。但是，如果基于对未成年人的保护，主张不适用法定年龄标准者，应对相反事实承担举证责任。     

个人生物识别信息的公益诉讼保护路径优化

生物识别信息作为敏感的个人信息,深度体现个人的生理和行为特征。数字时代下,个人信息保护与经济价值产出之间产生对立,同时个人信息权益逐渐由个体私益向社会公益交织演变,构建优化多维的公益诉讼保护路径、维护个人基本权利符合发展要义。坚持行政公益诉讼为主,发挥行政机关守护社会公共利益的第一顺位作用,民事公益诉讼为辅,拓宽多元主体参与守护公共利益通道,创新刑事附带民事诉讼,发挥传统检察优势力量与新时期救济手段相结合,完善公益诉讼救济内涵路径、增设惩罚性规则等体制机制,符合我国司法信息保护能动治理之路。     

从个人信息到数据要素：个人信息商业利用的制度安排——以《个人信息保护法》为中心

个人信息作为数据要素的组成颗粒在规模化的商业利用中爆发出巨大经济价值,但也产生信息主体、企业及国家之间的利益冲突。既有理论主要通过赋予个人信息财产权或个人信息社会控制等路径平衡各方利益冲突,但却可能阻滞数据流通或忽视个人信息可识别性的根本特性。个人信息与个人数据混同是造成理论争议的主要原因。中国《个人信息保护法》通过明确个人信息处理一般规则及处理过程中的个人与信息处理者之间的权利义务关系,实现在数据红利与个人信息保护之间的平衡。未来应在区分个人信息和个人数据的制度前提下,细化《个人信息保护法》中个人信息处理的合法性基础与使用方式,明确个人数据的权属及商业流通规则,从而实现个人信息商业利用中的多方利益平衡。     

论我国个人征信中信息主体的权利

个人信用信息具有一定程度的可公开性,因此现代社会更强调当事人控制下的信息使用。个人信用信息的收集和使用无需征得信息主体的同意;对于信息主体的告知,应当在已经使用信息主体的信用信息,并对其采取"不利行动"时进行。不仅应当保障信息主体查询自身信用信息的权利,还应当保障一定条件下免费查询的权利,并明确查询的范围和程序。在明确信息主体享有对错误信用信息提出异议,以及请求更正或删除权利的同时,还应当明确:核实争议信用信息的举证责任由个人征信机构承担;信用信息更正后,应当通知此前一段时间内曾经获得该信用信息的使用者。