数字经济时代个人信息法律保护的困境与思考

随着数字经济的不断发展,公民个人信息遭到泄露等不法侵害屡有发生。我国立法在个人信息保护领域有所欠缺,相关部门对其监管不到位,公民维权困难。此外,由于个人信息权属界定不明,个人信息热点问题在立法上回应较为模糊,以及现行相关法律的救济手段尚不足以完全解决纠纷,影响了实践中个人信息的保护效果。为此我国迫切需要细化并完善个人信息保护法律,并加强对个人信息处理全过程的监管,进而构建具有多样化的救济渠道,为保护公众的个人信息合法权益提供法律保障。

深度合成技术处理个人信息“合理范围”界定路径研究

个人信息安全是我国信息法治体系的核心。新一代深度合成技术采用无监督训练、多途径收集和自主式生成的研发逻辑处理个人信息。技术革新为社会生活带来便利的同时,也存在内部身份失窃、交互数据泄露以及制造、传播虚假个人信息等法律风险。深度合成技术处理个人信息亟待明确个人信息的合理范围。本文探讨“合理范围”的界定路径,即通过进行主体资格审查,以开放状态分类处理个人信息,再结合公开目的与处理方式展开实质审查,借助比例原则实现信息利用和信息保护的平衡。

个人信息保护纠纷侵权救济路径探究

伴随着《中华人民共和国个人信息保护法》的出台,我国的个人信息保护请求权基础得到了进一步丰富,但是与同为含有规制个人信息法律关系的法律规范的《中华人民共和国民法典》相比,两部法律关于个人信息保护的请求权基础并不相同,进而导致在个人信息保护这一问题上存在两种救济路径,不同救济路径的选择导致不同的法律责任和法律后果,这会对自然人选择何种救济路径保护其个人信息权益产生影响,一般情况下,当两部法律对案涉个人信息有相同或相似规定时,应优先适用《中华人民共和国个人信息保护法》;没有相同或近似规定时,应优先适用对案涉个人信息有具体规定的法律,并结合立法目的、社会公共利益、行业与科技发展等因素综合考量是否有例外情况,属于个人信息保护纠纷的案件应适用过错推定责任原则。此外,区分私密与非私密个人信息、区分案涉具体人格权是否具有个人信息性质等都会对法律规范的适用产生影响,是确定救济路径选择的关键条件。

法益二元论视野下侵犯公民个人信息罪之法益内涵与规制路径

侵犯公民个人信息罪的法益内涵存在个人法益论和集体法益论的争论,但个人信息兼具私人性和公共性,单一的个人法益论或集体法益论均无法统摄本罪的法益内涵。这也进一步导致当前本罪的保护模式存在集体法益与个人法益保护不均、行为规制范围过窄、与前置法衔接不畅等问题。构建侵犯公民个人信息罪的整体法益构造,应立足于个人信息的属性,厘清本罪的复合法益性质,明确刑法的保护目的不仅在于保障个人信息权,更在于确保个人信息的安全与流通,规避个人信息流通风险。完善本罪的规制进路,需借助“场景一致性”理论,以类型化思维区分个案保护法益,并通过扩充行为类型、明确行为对象等手段实现刑法与前置法的衔接,在教义学上植入比例性思维以控制集体法益的不当扩张,坚持实质出罪,避免刑法成为社会发展的掣肘。

关于“处理已公开个人信息刑法规制”核心概念的辨析与厘清

一、问题的提出对于公民个人信息的保护,《中华人民共和国刑法》(以下简称《刑法》)第253条之一、《中华人民共和国民法典》(以下简称《民法典》)第1036条、《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)第27条等都对侵犯公民个人信息罪作出了相应的规定。

个人信息保护的行政规制:实践检视及完善路径

行政规制在个人信息保护方面发挥着重要作用,有利于弥补民法规制与刑法规制对个人信息保护的不足,较大程度地防止相关主体对个人信息权益的侵害。然而,实践中个人信息保护的行政规制存在立法内容的涵盖性有待加强、监督制度的有效性有待提高、处罚制度的严谨性有待强化、救济程序的规范性有待提升等方面的不足,应通过完善现行立法内容、优化行政监督体制、调适行政处罚机制、改进行政救济程序等路径对个人信息保护的行政规制予以完善。

法益与权利:大数据时代个人信息保护立法选择与价值表达

大数据时代背景下,社会活动的数字化特征逐渐拱现。作为该种社会活动载体的个人信息兼具人格价值和财产价值,应当予以合理保护才能保障好该项社会资源。在对我国个人信息保护立法成果、我国个人信息保护司法考察、域外个人信息保护效果等进行评述的基础之上,把握当前我国个人信息立法保护严重滞后的现实,分析了大数据时代对个人信息带来的深远影响和挑战,最后从厘清个人信息本质、调整个人信息保护的原则和标准、完善三种责任类型三大方面,提出个人信息的保护完善途径。

已公开个人信息的刑法保护界限

未经同意处理已公开个人信息是否构成犯罪在司法实务中存在争议。既有理论中,二次授权说违反法秩序统一原则,也过度限制了个人信息的合理运用;信息开放程度说则使知情同意的判断沦为形式。基于弱同意说,若未经同意的信息处理行为符合自愿公开个人信息的用途或情境,便是在合理范围内处理个人信息,因而不够成犯罪;即便不符合,只要信息主体未表示明确拒绝且未损害其重大利益,便不具有可罚的违法性因而不构成犯罪。由于依法必须公开的个人信息涉及公共利益,只要信息处理行为不以违法犯罪为目的便不应构成犯罪。对已公开个人信息的刑法保护需要侧重于打击非法使用个人信息的行为,为此应将其犯罪化。

个人信息范围的界定与要件判断

个人信息是个人信息保护法中最核心的概念,也是个人信息保护法律规范的适用前提。我国法律对个人信息采取了统一定义的模式。从《中华人民共和国网络安全法》(下文简称《网络安全法》)到《中华人民共和国个人信息保护法》(下文简称《个人信息保护法》),个人信息的概念经历了一个从窄到宽的发展演变过程。《个人信息保护法》第4条第1款将个人信息的判断要件分为积极要件与消极要件,前者是通过关联性与识别性去界定个人信息的概念范围,后者则将匿名化处理后的信息排除在个人信息之外。为了防止个人信息的范围过于宽泛,以至于个人信息保护法成为无所不包的法律,应明确个人信息积极要件中关联性要件与识别性要件之间为“且”的关系而非“或”的关系,以此来相应地控制个人信息的范围。认定关联性要件时,不仅应考虑信息的内容、目的和结果,还要考虑信息与个人权益是否存在一定的因果关联。在判断识别性时,应当限定识别主体的范围及所使用的手段与方式。作为消极要件的匿名化虽然并非可以绝对消除信息的可识别性,但是其对于保护个人信息权益也有重要的意义。

个人信息数据财产化及其确权授权模式构建

个人信息数据确权授权若适用传统人格标识财产化模式,要么导致基础权益错配,要么造成流转效用受阻。通过对财产价值溯源可以发现,个人信息存在原始数据、数据集合、衍生数据三种形态。原始数据非对人“有用的财物”,不构成财产权客体,但因其是个人信息的比特化表达,所以在数字空间中,个人信息权需以其为行权媒介;而数据集合与衍生数据则是数据财产权客体。数据三形态厘清了个人信息权、个人信息数据使用权及数据财产权的差序格局。个人信息数据的商业利用以个人信息权为基础,基于人格自决形成以信息主体同意为路径的许可机制。同意为准法律行为,许可生成低自由度的个人信息数据使用权,该权区别于处理者的数据财产权,需引入告知允诺之债和法定信义义务,以保护信息主体在同意许可中的信赖。

全球数据监管竞争下我国个人信息出境标准合同研究

个人信息出境标准合同产生于全球数据跨境流动监管竞争加剧的时代,是一种重要的数据跨境监管工具,并为国际层面提供了具有可互操作性的数据跨境流动模式。通过梳理历史沿革、剖析制度现状可以发现,我国个人信息出境标准合同秉承着以数据安全为基础的数据自由流动的价值取向,是结合行政监管和企业自治的创新型数据监管工具,旨在保护合同外第三方受益人并监管数据出境全过程,以合同权利义务固定化数据监管标准。作为我国加入全球数据监管竞争的重要手段,个人信息出境标准合同制度在时代趋势下经历了从无到有的发展历程,各方面细节也在逐步完善,但在规范结构、条款规范和持续监管等方面尚存难题有待进一步研究和破解。我国应当从立法重心、结构重塑、监管内容等三个方面夯实制度基础以促进中国参与全球数据竞争。

侵害敏感个人信息惩罚性赔偿制度的建构

侵害个人信息的现象并未随着保护个人信息立法的不断出台而减少。应当提升信息主体保护个人信息的积极性。应当将一般个人信息与敏感个人信息相区分的思路贯彻到侵害个人信息赔偿制度的构建上。针对敏感个人信息建立惩罚性赔偿制度,可以避免劣币驱除良币的现象。其构成要件包括故意侵害敏感个人信息、以侵害他人个人信息为业等情节严重或者造成了严重后果。惩罚赔偿金应当归属于受害人。

侵犯公民个人信息罪的法益证成与处罚条件限定

自侵犯公民个人信息罪设置以来,该罪之法益究竟是什么,刑法学界始终存在巨大的分歧。较为常见的做法是,通过对构成要件的解释来确定该罪的法益,但如此一来会使该罪的法益证成侧重于形式层面,进而导致其法益证成出现循环论证现象。如果根据实质法益之立场确定该罪法益的话,就不难发现:一方面,集体法益观将个人信息的社会属性凌驾于私人属性之上,违背了个人信息刑法保护的个人本位;另一方面,个人信息的社会属性的日益增长,个人法益观主张的信息自决权不能满足实质法益的自由保护要求。对此,应当在公民人格权的基础上,构建符合个人信息双重属性的个人信息受保护权;同时,为保障个人信息的自由流通及合理使用,有必要对个人信息刑法保护范围进行限缩,重构个人信息受保护权的同意机制,实现侵犯公民个人信息罪处罚条件的实质性限定。

侵犯公民个人信息罪中敏感个人信息的特殊保护研究

大数据时代,敏感个人信息与公民人身、财产安全直接相关且易受侵犯,故需作特殊保护。近年来,侵犯公民个人信息罪中敏感个人信息特殊保护的规范,经历了从无到有、从有到优、从粗到细的过程,并由此形成了比较完善的敏感个人信息分类保护规则、从严保护规则、弹性保护规则。侵犯公民个人信息罪中敏感个人信息的范围和分类,可基于刑法保护法益的独立性原则,作适当有别于《个人信息保护法》的评判。侵犯公民个人信息罪中高度敏感个人信息与低度敏感个人信息的区别保护模式应继续坚持,高度敏感个人信息和低度敏感个人信息的既有数量标准不宜调整,高度敏感个人信息的既有种类不宜增加,高度敏感个人信息的司法认定应坚持实质标准从严慎重判断。《个人信息保护法》施行后,应在坚持刑法保护敏感个人信息的模式不变、力度不减的基础上,着力通过《个人信息保护法》等前置法的严格实施,增强敏感个人信息法律保护的整体效能。

数字赋能时代刑事侦查中个人信息保护制度探究

数字赋能时代的背景下,信息化侦查逐渐成为侦查机关的主要破案手段之一。由于信息化侦查具有秘密性特点,在刑事侦查过程中不可避免地在收集、调取信息主体的个人信息时对公民个人信息权利造成一定侵害。我国当前《个人信息保护法》是以私法角度对个人信息进行保护的规范,导致刑事侦查过程中侦查机关权力过大,而信息主体权利则很难得到保障。因此,应当在立法层面完善侦查中个人信息保护的法律规定,以立法确立侦查机关的义务和责任,并赋予信息主体侦查阶段的个人信息权利,以此预防信息化侦查中的权力滥用风险。

个人信息安全影响评估标准在支付业务领域的应用实践

围绕《中华人民共和国个人信息保护法》提出的个人信息保护影响评估要求,遵循GB/T 39335—2020《信息安全技术个人信息安全影响评估指南》,构建符合企业业务实际的个人信息保护影响评估体系,通过评估业务或产品对个人的自主选择权、财产权、公平权等权益的影响程度以及个人信息全生命周期安全保护措施的适应性,并配套管理制度和平台工具,提前识别并降低业务可能存在的个人信息安全风险,主要应用在转接清算、二维码支付、无卡支付等各种支付业务场景且取得良好效果。

个人信息保护禁令建构研究

时下个人信息权益保护链条有断裂现象,事后诉讼救济正在司法摸索中,然而事前救济路径呈现闭塞状态,个人信息侵害具有区别于传统人格权损害的特性,亟须构建一种崭新有效的事前救济制度,即“个人信息保护禁令”。其可行性体现在“个人信息保护禁令”可以比照人身安全保护令定性和构建,并且可以依据个人信息敏感度分层动态适用。在此基础上对个人信息保护禁令之申请条件、请求内容、效力期限进行逐一建构。

从类型化分析到区别判定:个人信息合理使用的逻辑进路

我国《民法典》及《个人信息保护法》虽然确立了个人信息合理使用制度,但并没有明确区分不同类型的个人信息合理使用判定的具体标准,导致实践中认定结果差异较大。面对不断丰富的个人信息利用场景,应先按照“敏感性判断标准+场景应用标准”动态界定一般个人信息和敏感个人信息的类型,再结合“基本要素+敏感要素”进行合理使用区别判定。从类型化动态界定到合理使用区别判定的逻辑进路能够更精准地为不同场景的个人信息合理使用判定提供参考标准。

爬取已公开个人信息行为的刑事归责研究——以侵犯公民个人信息罪为视角

爬取已公开个人信息行为于刑事归责层面存在同质化爬取场景异质化归责结果、同质化归责结果异质化归责路径的现象。这些归责困境的生成原因主要集中于犯罪对象的认定抵牾减损了归责结果的同一性、归责路径的错落适用增加了归责效果的离散性、法益内核的界定模糊削弱了归责结论的聚合性。基于类案裁判及规范归责分析,对爬取已公开个人信息行为归责路径界定时,应首先依循刑事违法性判断基准,即在形式之维界定已公开个人信息属于侵犯公民个人信息罪的犯罪对象并考察相应的归责要素,在实质之维提出在动态保护导向下重释个人信息权法益。此外,可引入情境脉络完整性理论厘清爬取行为的刑事归责边界,亦即遵循形式违法性层面的归责要素,基于场景化模式,厘清爬取行为是否符合个人信息公开时的合理预期、是否改变信息用途、是否具备法益侵害性进行全面衡量,从而建构爬取行为刑事归责模型。此种归责模型有助于厘清中立爬取行为、隐性爬取行为、显性爬取行为的刑事归责域界。

学术期刊作者个人信息保护的实证研究——以新闻传播类CSSCI来源期刊为例

全面考察学术期刊对作者个人信息的保护情况,以推进学术期刊对作者个人信息保护的规范化进程。文章对17种新闻传播类CSSCI来源期刊的作者个人信息收集、个人信息著录、个人信息删除与存储等情况进行实证分析,并对新闻传播学科的学者与学生开展问卷调查分析,发现存在个人信息收集非最小化、知情同意原则空心化、行业标准虚置化等问题。提出制定行业性自律制度、充分保障作者的知情权、遵循最小必要原则、构建信息安全保障机制等解决策略。