健康码应用中个人信息权益受损风险与救济

健康码是政府通过数据治理的个案典范,在疫情防控中发挥了重要作用,但同时也存在导致个人信息权益受损的风险。在健康码的应用中,政府依靠企业的技术进行个人信息处理,政府是个人信息处理者,企业是受托人。对于政府而言,政府依职权处理个人信息的行为违法,权利人可以根据《行政诉讼法》和《国家赔偿法》获得救济。对于企业而言,作为受托人原则上不对外承担责任,除非违反《个人信息保护法》第21条和第59条明确规定的个人信息保护义务,受托人就该处理行为应被视为个人信息处理者,并承担《个人信息保护法》所规定的相关责任形式。     

从个人信息到数据要素：个人信息商业利用的制度安排——以《个人信息保护法》为中心

个人信息作为数据要素的组成颗粒在规模化的商业利用中爆发出巨大经济价值,但也产生信息主体、企业及国家之间的利益冲突。既有理论主要通过赋予个人信息财产权或个人信息社会控制等路径平衡各方利益冲突,但却可能阻滞数据流通或忽视个人信息可识别性的根本特性。个人信息与个人数据混同是造成理论争议的主要原因。中国《个人信息保护法》通过明确个人信息处理一般规则及处理过程中的个人与信息处理者之间的权利义务关系,实现在数据红利与个人信息保护之间的平衡。未来应在区分个人信息和个人数据的制度前提下,细化《个人信息保护法》中个人信息处理的合法性基础与使用方式,明确个人数据的权属及商业流通规则,从而实现个人信息商业利用中的多方利益平衡。     

《个人信息保护法》的亮点与创新

《个人信息保护法》是一部全面保护个人信息的专门性立法.作为公法和私法的混合,该法的私法部分作为《民法典》的特别法,进一步丰富和发展了《民法典》的个人信息保护规则.《个人信息保护法》在总结《民法典》等的立法经验基础上,借鉴了欧盟《一般数据保护条例》等比较法的经验,形成了诸多的亮点和创新之处.包括进一步扩张了个人信息的保护范围,构建了以"告知—同意"为核心的个人信息处理规则,对自动化决策的全面规范,严格保护敏感个人信息,确认个人在个人信息处理活动中的各项权利,强化个人信息处理者义务,规范国家机关的个人信息处理行为以及个人信息跨境流动,完善了侵害个人信息的法律责任,这些内容都充分彰显了这部法律的时代性、国际性和本土性.     

信息处理者侵害个人信息权益的民法救济

我国《个人信息保护法》以实现个人信息处理中信息权益保护与合理利用之平衡为规范意旨,并赋予自然人对自我信息的决定、查阅、复制、更正、删除等权能,构成法律保护个人信息权益的前提基础,成为相对人处理个人信息与自动化决策的合法性依据。立法设计以“知情同意-同意例外”规则为个人信息合规处理的架构基础。当个人信息权益被侵害时,法官应充分运用动态系统论厘清信息权益损害的要素层次,适用过错推定原则认定信息处理者损害赔偿责任。为实现充分有效救济,权利人可考量行使人格权请求权和侵权请求权二元救济路径,明确损害赔偿具体范围,保障其人格权益和人格尊严不受侵犯。     

网络平台公开用户IP属地信息的适法性分析

用户IP属地信息系属用户的个人信息,网络平台未经用户同意公开用户IP属地信息的行为不属于《个人信息保护法》第12条所明确规定的“法定许可”情形,其是对用户个人信息的不当处理。目前,《互联网用户账号名称信息管理规定》第12条虽然已明确规定网络平台负有展示账号IP属地信息的法定义务,但因为该条有违比例原则,所以其也不宜成为网络平台公开用户IP属地信息的合法性依据。网络平台公开用户IP属地信息的适法性路径应具有以下双重面向的要求：一方面,网络平台在公开用户IP属地信息前应充分履行告知义务并取得用户同意;另一方面,网络平台在公开用户IP属地信息后应充分保障用户的个人信息处理撤回权,允许其自主关闭。     

“个人信息权益”的民法新定位

《个人信息保护法》创设的“个人信息权益”源于基本权利，经由间接第三人效力理论而同时具有民法上意义。学界主张个人信息权益在民法上定位为新型权利或新型利益。然而，个人信息制度的“预防法”定位和个人信息权益不具有独立客体利益的窘境，都无法支持该主张。既然个人信息保护制度的作用是事前预防大规模、技术化的个人信息分析评估活动给既有一切民事权益造成系统性风险，那么个人信息权益毋宁只是既有一切民事权益在信息分析评估场景下的全新表达。进而，个人的权益因信息分析评估而受侵害并造成损害时适用《个人信息保护法》第69条，非因信息分析评估而受侵害并造成损害时则适用《民法典》第1165条第1款，二者不存在竞合或聚合关系。《民法典》第1034条第3款中的“没有规定”应解释为“没有关于信息分析评估场景中的规定”。     

论图像采集设备安装行为的合法性边界

《个人信息保护法》第26条在法律层面上,首次对图像采集设备的安装设定严苛的合法性依据。图像采集设备的安装,不仅构成个人信息处理行为,还因部分个人信息之上承载人格利益,同时受到《民法典》人格权编,尤其是其中肖像权和隐私权规则的规范。两部法律在合法性判定上标准不同,被《民法典》评价为合法的行为极大可能被《个人信息保护法》第26条所禁止。人脸识别技术对个人信息权益存在较大的潜在加害风险,故人脸识别设备之安装应当直接适用《个人信息保护法》第26条。对于其他类型图像采集设备之安装,应当宽松解释《个人信息保护法》第72条的“私人事务例外规则”,构成私人事务的,排除《个人信息保护法》第26条的适用,依据《民法典》隐私保护路径判定其合法性：引入“公共空间的合理隐私期待”新型隐私观念,并于个案中衡量安装者对立利益。     

论个人信息法律体系下的基因信息保护

《民法典》和《个人信息保护法》构成我国个人信息保护的基本法律体系。然而，高度敏感、特异性显著的基因信息之于人格尊严关系重大，亟待特殊制度保护，但抽象概括的现行法缺少针对性，无法全面因应个人基因信息权益保护及社会实践的制度需求，有必要开展专门立法，构建民法典、个人信息保护法、基因信息法三层制度体系。基因信息保护应以基因信息隐私自决与安全为先，兼顾流动利用；以自然人基因权益为本，衡平多重利益；实行法律与伦理共治，融合宽容及责任原则。据此，在基因信息类型化及可处理性分级的前提下，立足通用个人信息法律制度，明晰个人基因信息权益，厘清特定的目的、充分的必要性和严格保护措施等处理前置条件，重点围绕基因信息处理告知同意，开展差异化制度设计，构造非完全行为能力人同意、以书面为原则的同意方式、同意的无条件撤回、基于基因信息类型的同意豁免事由等特殊规则。     

个人信息权益侵权损害赔偿应然范围探讨：基于数字社会的场景

个人信息权益侵权损害赔偿范围的确定应与数字社会相契合。《中华人民共和国个人信息保护法》第69条规定的个人信息权益侵权损害赔偿范围应包括精神损害，且个人信息权益侵权精神损害赔偿应适度淡化“严重精神损害”的程度要件，降低证明标准。数字社会的个人信息具有显著的财产利益，如个人信息处理者擅自利用个人信息，个人将遭受个人信息财产利益损失，理应获得相应的赔偿。个人信息权益侵权损害往往具有潜伏性、未知性等特征，如个人未来遭受实际损害具有“客观合理可能性”，应将个人为防止未来损害发生所支出的预防费用纳入个人信息权益侵权损害赔偿范围，以契合数字社会中风险规制的需要。     

由事后惩治向事前合规：侵犯公民个人信息罪的治理模式转型

随着互联网大数据时代的快速发展,个人信息保护问题已然成为人民群众利益保护的核心议题。面对愈演愈烈的个人信息相关违法犯罪案件的激增态势,我国刑事立法不断地使制裁范围更加严密,司法实践也在贯彻从严惩治政策,试图通过纯粹的刑事制裁机制来实现对侵犯公民个人信息犯罪的有效治理。但是,当前我国治理侵犯公民个人信息犯罪存在过分依赖国家公权保护、强化刑法事后惩治性的威慑预防、偏颇定位个人信息保护法益等问题,这导致了事前合规式风险防控机制缺失,不利于个人信息协同保护机制的建立与完善。刑事合规通过前置侵犯公民个人信息罪的风险控制基点、构建多元化防控机制、提升企业治理的激励性方式,将合规的事前规划式激励预防与刑法的事后惩治性威慑预防融为一体,有利于实现侵犯公民个人信息罪治理模式的转型。在理论层面,合规计划融入侵犯公民个人信息罪治理符合可能、必要且可期待等标准。在实体法层面,应增设侵犯公民个人信息罪的前置性免责程序条款,发挥行政处罚程序的出罪功能,同时将单位认罪认罚作为量刑从宽情节,赋予刑事合规影响侵犯公民个人信息罪构罪和量刑的双重功能。在程序法层面,应严格限制涉罪企业合规的适用条件,完善单位犯罪附条件不起诉...     

敏感个人信息精神损害赔偿之检视与制度建构——以《个人信息保护法》生效前45例已决样本分析

《个人信息保护法》对敏感个人信息首次予以立法规定,并专节规定敏感个人信息处理原则,确立了更为严格的过错推定责任,关于精神损害赔偿未置可否而引发学界的审视与思考。以检索到2018 2021年侵犯敏感个人信息的45例已决样本为分析对象,发现司法实践中优先采取《民法典》私密信息隐私权的保护路径,并导致敏感个人信息的精神损害赔偿支持率低、赔偿标准适用及赔偿金额确定随意等问题。这反映出《个人信息保护法》与《民法典》隐私权保护路径的竞合与冲突,敏感个人信息精神损害赔偿条款缺位,设定损害后果须“严重”的赔偿门槛较高以及赔偿金额的自由裁量权失范等困境。对敏感个人信息受侵的案件,应优先适用《个人信息保护法》的保护路径,应设定敏感个人信息精神损害条款,将精神损害赔偿损害门槛从“严重”降为“一般”,并通过司法解释设置赔偿数额区间和引入新的衡量因素以限缩法官的自由裁量权。     

论《个人信息保护法》中的删除权

删除权是个人在个人信息处理活动中的一项重要权利,该权利是个人对其个人信息处理活动享有决定权的具体体现,也是对目的限制原则与合法原则的贯彻落实。在我国法已经对删除权、网络侵权责任中通知删除规则以及对合法公开的个人信息的处理等作出了明确规定的情形下,无需规定被遗忘权。删除权不同于自然人撤回同意以及网络侵权责任中的通知删除规则。删除权的权利主体是个人,义务主体是个人信息处理者。在符合《个人信息保护法》第47条规定的情形时,个人信息处理者应当主动删除个人信息,个人也有权请求处理者删除。如果法律、行政法规规定的保存期限尚未届满或者删除个人信息从技术上难以实现的,个人不得行使删除权,但是个人信息处理者应当停止除储存和采取必要的安全保护措施以外的处理活动。如果个人信息处理者拒绝个人行使删除权的请求,个人可以向法院提起诉讼,从而实现对删除权的司法保护。     

论诉讼中个人信息的保护

2021年《个人信息保护法》的施行,触发了诉讼过程中的自然人信息保护问题。诉讼法中的秘密保护本围绕隐私权而建构,在保护范围、保护方式、保护规则上恐怕难以适应数据化时代的需求。个人信息保护导入诉讼程序,首先应排除依附型导入这一选项,在明确个人信息保护与隐私保护差异的基础上,确定诉讼中独立建构个人信息保护框架的必要性。其次,个人信息导入诉讼的路径,理论上既有强调司法机关职责的国家义务模式,也有强调信息主体权的个人赋权模式,而前者更为契合个人信息保护的宗旨。最后,诉讼中个人信息保护的具体规则设计是一个依赖场景化分析的问题,在在线庭审、庭审直播和裁判文书网上公开这三种导入场景中,旧有的秘密保护规定都有进一步调整完善的必要。     

已公开个人信息弱化保护的解释论矫正

弱化保护已公开个人信息既是我国的司法实践传统,也是平衡信息保护负担的务实选择,但若不释明处理已公开个人信息的合理范围,必将削弱个人信息保护的制度意义和私法意涵,减损对个人信息自决权的有效保障。已公开的个人信息应限于向不特定多数人发布、无需借助特殊手段即可从公开渠道合法获得的信息。若信息处理将对信息主体权益有重大影响,需适用告知同意规则。合理处理范围应基于信息主体意愿界定,除非该处理是法定的公共利益所必需。处理者应提供有效的表意机制,未提供而个人未明示拒绝信息处理的,应视为默示拒绝。个人的拒绝信息被处理权不可被格式条款排除。     

个人信息保护“入典”：体系功能及其与专门立法的关系

个人信息保护"入典"是我国民事立法的创举。在专门立法之外,将个人信息保护的核心规范写入《民法典》,不仅可为个人信息的私法保护提供明确依据,还具有价值指引功能、体系解释功能和权利孵化功能。《民法典》人格权益保护的价值取向为个人信息的私法保护提供了根本性的评价基准,在其指引下,个人信息保护的具体规则可在《民法典》中得以体系化的解释和适用。《民法典》围绕个人信息自决,针对个人信息处理行为,初步形成了具体权利内容,为个人信息权利的体系化发展奠定了基础。与《民法典》的个人信息保护规范相比,《个人信息保护法》在调整对象上大同小异,但在保护方式上存在递增,其通过公法手段保护的个人权利仍然具有私权属性。该项专门法律属于领域立法,兼具公法和私法属性。个人信息的公法保护与私法保护同等重要,个人信息保护的体系性也将在两者联动中得以加强。     

个人信息侵权责任的规范构造

《个人信息保护法》中的个人信息权益可作为民事权益受到侵权责任的保护,无论其被理解为民事权利抑或民事利益,对其侵权责任构成并不产生影响。由于个人信息中的部分内容同时也属于隐私权、肖像权、姓名权等具体人格权的保护对象,个人信息权益和具体人格权不可避免地会发生重叠保护。其中对于私密信息的保护应优先适用《民法典》的规定,但为最大程度化解立法上的冲突,应降低信息主体对过错要件的证明标准,而对于肖像、姓名等个人信息的保护,则产生请求权竞合,信息主体可择一主张。个人信息侵害具备筛选受保护法益的功能,与损害有区分的必要。无论个人信息是否被非法利用,都可能产生财产损害和非财产损害。侵害个人信息权益造成的既有人身或财产权益的损害与个人信息权益自身被侵害而产生的损害应当各自获得单独赔偿。     

我国公民个人网络信息保护的困境与出路——兼评《关于加强网络信息保护的决定》

保障公民个人信息安全是宪法所保护的公民通信自由和通信秘密的重要内容之一。我国当下个人信息安全之保护却面临诸多困境，主要体现在我国相关立法位阶较低而且呈现出“重刑轻民”、“重公轻私”的特点。全国人大常委会《关于关于加强网络信息保护的决定》已经意识到这些问题，并且也做出了针对性的回应。但是，要从根本上保护我国公民个人网络信息安全，宜建立专门的监管机构，建立健全民事救济机制，并制定《个人信息保护法》。     

数字社会中算法消费者的个人信息保护体系构建

算法消费者是消费者体系中的一种新类型,是通过在智能算法接入互联网等信息网络为生活消费购买商品或接受服务的消费者。算法消费者个人信息保护体系的构建需要在《民法典》《个人信息保护法》《消费者权益保护法》《电子商务法》等法律法规的基础上,进行法律衔接与适用空间的解释或立法构造。算法消费者个人信息过程保护应围绕算法消费者的同意机制多元化、平台经营者个性化披露、算法消费者自动化决策拒绝权及个人信息处理者信息信义义务等维度展开,并以公益诉讼保护作为结果保护的手段。     

侵犯公民个人信息的刑法边界研究——以已公开个人信息的保护为视角

已公开个人信息是否值得保护以及如何保护在刑法理论与司法实务中存在重大分歧。侵犯公民个人信息罪的法益应当确定为信息自决权,处理已公开个人信息的行为有侵犯信息自决权之可能,因此刑法应当对已公开个人信息进行保护。通过对大庆高新区人民检察院近三年办理侵犯公民个人信息案件的梳理,虽多为未公开信息,但也不乏存在已公开个人信息的情况,对于此部分信息应如何认定,在把握上存在分歧。本文认为,对已公开的个人信息应进行分类保护。具体而言,将已公开的个人信息分为自行公开与合法公开。对于自行公开的个人信息,除信息主体明确拒绝外,处理行为不宜入罪;对于合法公开的个人信息,除信息主体明确拒绝以及处理行为侵害重大利益外,处理行为不宜入罪。     

大数据时代个人信息处理与保护之平衡

借力科技日新月异的发展,大数据、人工智能使得人们的生活越来越便利,社会管理服务水平也在不断提升,同时也在迫使人们被动地提供多种个人信息.《民法典》将个人信息的收集、存储、使用、加工、传输、提供、公开等活动称为个人信息处理.个人信息处理是国家、社会信息化发展的必然要求,个人信息保护与处理的冲突却又不可避免,以往的个人信息...