《个人信息保护法》视角下的隐私保护方法设计研究:隐私告知及其对隐私不确定性的影响

要确保社会稳定和数字经济高质量发展,加强移动应用(App)的个人信息保护至关重要。本文以2021年11月施行的《中华人民共和国个人信息保护法》作为缓解用户对个人信息被收集、使用与保护的不确定性的突破口,展开隐私保护方法设计研究。总结归纳《个人信息保护法》中App服务商需要告知用户的隐私相关信息,理解用户对这些隐私相关信息的偏好,据此提出并设计App下载阶段面向用户的隐私告知方法,并通过基于插图的实验方法展开三项研究,系统探究用户在App下载阶段感知的隐私不确定性,以及隐私告知对用户隐私不确定性和App下载意愿的影响机理。研究发现,在中国App应用中,用户普遍存在隐私不确定性,且用户感知的隐私不确定性具有情境依赖性,即在信息敏感度更高的移动应用环境下,用户感知的隐私不确定性更高。本文提出的隐私告知能够有效缓解用户感知的隐私不确定性,并且显著缓解隐私不确定性对App下载意愿的负向影响。

论通报批评中的个人信息保护--以《个人信息保护法》为视角

新修订的《行政处罚法》第九条将“通报批评”明确为一般行政处罚种类,未明确通报批评的具体含义及通报内容。从《个人信息保护法》的视角出发,通报内容不明确极易诱发对公民个人信息的不当侵害。有必要从规范通报内容、明确行政机关履行个人信息权益保护职责、程序合法性控制、建构通报批评后信息删除制度四个方面对通报批评的作出进行法律规制,以实现个人信息保护与行政机关维护行政管理秩序之间的平衡。

生成式人工智能与个人信息保护法律规范的冲突及其协调

生成式人工智能在数据处理和内容创造领域的作用日益增强,但其与个人信息保护法律规范存在冲突。这体现在生成式人工智能对庞大数据集的需求与同意撤回权间的矛盾、算法的黑箱问题与隐私透明度的对立、自动化处理与数据使用目的限制之间的分歧,以及多源数据应用与信息控制权之间的冲突。鉴于个人信息的重要性,需采用比例原则合理协调生成式人工智能与个人信息保护法律规范之间的衔接问题。这就要求实施增强通知路径以提升数据使用透明度,采纳用户自主路径以强化个人数据控制,设定“透明目标”路径以明确数据处理目的,以及推行参与式治理路径以改进自动化决策过程。依据上述路径,在制度上明确动态同意与透明度增强工具、个人数据仓库与权限管理引擎、数据用途标签与同意管理框架、决策审计和反馈机制的技术框架,由此实现生成式人工智能与个人信息保护法律规范的有效衔接。

图书馆读者个人信息概念界定研究--基于《中华人民共和国个人信息保护法》视域

《中华人民共和国个人信息保护法》将个人信息判断路径由“识别”拓展至“关联”,意在强调个人信息界定的动态性和场景化。基于关联路径,图书馆对读者个人信息概念的界定应侧重从信息主体的角度出发,按照信息在特定场景中与读者的关联形式,将读者个人信息区分为指向个体身份、特征或行为的内容关联信息以及目的或结果关联信息两大类,并在此基础上构建读者个人信息风险层级,据此明确不同类别个人信息处理目的、方式及相应的保护义务。

《个人信息保护法》第50条(个人信息权利行使保障机制)评注

《个人信息保护法》第50条规定了个人信息权利行使的保障机制,其规范目的在于保障以知情同意为核心的信息自决权得以实现。个人信息权利行使保障机制存在双重结构:一重是以个人信息处理者为义务主体搭建的个人信息权利行使保障机制,包括权利行使申请的受理与处理机制,这一机制应当符合便捷性的要求;另一重是对保障机制的保障和兜底,以有关监管部门和法院等为救济主体,在保障机制失灵时借助国家强制力实现权利救济。为了实现保护个人信息权益和避免过度加重信息处理者成本之间的平衡,第50条在对个人信息处理者保障个人信息权利行使的义务作出原则性规定的同时,也赋予其特殊情形下的拒绝权以豁免此种义务。权利行使保障机制需要从请求受理机制、身份核查机制、请求处理机制和衔接机制四个方面进行具体的构建与完善。

生成式人工智能应用场景下个人信息保护的法律风险及应对

数据已成为新的产权要素和产业基础,而具备了一定理性能力的生成式人工智能ChatGPT在大数据喂养、人为数据标识处理和信息再输出三个层次对个人信息权益构成了新的侵权范式。尽管《个人信息保护法》《网络安全法》等法律规范已确立起一系列个人信息保护手段,但在生成式人工智能服务与应用端仍面临着解释和适用上的难题。为此,我国需要在保障个人信息权益的前提下鼓励发展人工智能技术——在总体上要树立起基于风险的个人信息保护原则,并尝试以“风险预知—解构—化解”为基本路径,在微观上优化“知情-同意”规则,以“设计保护”原则强化企业内部自治,并灵活调整侵权责任追究机制。

论《个人信息保护法》的合作治理定位--基于倾斜保护型法的视角

《个人信息保护法》具有公私法融合的属性,采取何种治理框架成为亟待解决的理论与实践问题。欧盟、美国与中国的个人信息保护均形成了合作治理的基础框架。个人信息保护法的关注重点在于信息主体与信息处理者之间的持续性不平等以及信息处理关系的外部性,因而与劳动法、消费者权益保护法等倾斜保护型法构成家族相似。应参照倾斜保护型法的既有制度经验,进一步构建《个人信息保护法》公私法协同的合作治理框架。具体而言,可从自由主义家长制的告知同意制度、公共信托制度与公益诉讼制度三个方面进行重构。

论《个人信息保护法》在保险领域的适用困境及进路

一、问题的提出随着信息时代的到来,个人信息已成为一项宝贵的资源。海量个人信息背后所蕴含的巨大商业价值使其成为经营者竞相争夺的对象。国内外早已将个人信息保护作为立法议题,保护个人信息的重要性更是不言自明。保险业务有其特有的运作模式,即保险人在收集投保信息的基础上,运用概率论和大数法则对海量的个人信息进行处理和分析,将个别危险发生及损失的不确定性转变为众多同类危险发生及损失的可预测性。在对危险共同体进行风险评估的基础上.

论敏感个人信息的法律保护机制优化——兼评我国《个人信息保护法》相关条文

在信息化已成为当今时代潮流的背景下,侵犯敏感个人信息的案(事)件频发,但依照现行法律法规却难以有效规制。我国刚颁布的《个人信息保护法》在借鉴西方发达国家(地区)的先进法律保护机制的基础上,结合中国国情在立法理念、界定标准、保护机制等方面有所发展和突破,对敏感个人信息特别关注,不过在具体法律条文上还有完善的空间。建议从进一步划分敏感信息类别、强化信息主体的权利、细化信息处理者的义务、建立惩罚性赔偿制度以及引入独立的第三方监管机制的路径出发,优化完善敏感个人信息的法律保护机制。

个人信息保护法律本体模型构建

个人信息保护是时代数字化发展的重要议题。在人工智能辅助裁判的背景下,司法保障的关键是个人信息保护案件的裁判公正与审判效率之间的协调。法律本体模型是连接法律知识和人工智能裁判之间的桥梁,是法律知识的计算机化,是人工智能辅助裁判的底层逻辑。因此,对个人信息保护相关法律规范解构,在此基础上,构建个人信息保护法律本体模型,实现个人信息保护领域法律知识的组织和表示。挖掘个人信息保护法律本体模型在司法保障中的应用场景,从法律咨询的可靠度、量刑辅助的准确度和类案推荐的相关度等三方面保障个人信息保护案件的裁判公正。

目的限制原则的反思及其解释论构造--以《个人信息保护法》第6条第1款为中心

目的限制原则强调信息处理的可预见性,是个人信息控制论的时代产物,符合基于风险的个人信息保护进路,其功能的多维性奠定了其在个人信息保护中的“帝王条款”地位。目的限制原则包含双重维度--目的特定与目的兼容,但现有的规则既难以获得“明确、合理目的”的特定性标准,亦无法划定“与处理目的直接相关”的兼容性边界。在解释目的限制原则时,除考虑处理目的不应对个人信息权益造成特定风险外,还需考虑明确、合理的目的必须符合理性人的合理期待,满足多方利益主体的可预见性。在评估处理目的是否兼容上,基于社会场景的兼容性判断标准是一种较为宽泛的客观标准,首先应通过明确、合理的处理目的锚定信息处理的初始场景,次而通过社会场景所确立的价值来确定处理目的的兼容边界。

《中华人民共和国个人信息保护法》在高校学生工作实践中的应用

《中华人民共和国个人信息保护法》作为我国第一部系统、全面保护个人信息的专门性法律,能为高校学生工作在个人信息保护方面提供权威的遵循与指引。然而,其在适用过程中面临诸多难题,主要表现为在学生信息的收集范围等方面与惯常实践相冲突,“取得个人的同意”合法性处理规则将影响行政效率,以及学生选择“不同意”将迫使工作陷入僵局。法律的运行有一个适应和协调的过程,应结合高校学工实际实现《中华人民共和国个人信息保护法》与学生工作的有机衔接:第一是思想贯通,充分认识保护权益与促进利用的辩证关系;第二是规则落实,应限缩信息收集范围、完善敏感个人信息制度、修补安全制度漏洞,同时设立一次性同意制度、自动化决策制度、信息权利保障制度;第三是行为融入,包括多做告知工作、多做留痕管理、践行“两个最小”以及善用“去标识化”。

《个人信息保护法》视域下的企业合规义务与建议

在侵犯公民个人信息犯罪频发的背景下,我国《个人信息保护法》颁布实施,这意味着企业应建立个人信息合规体系,其价值主要体现在降低企业风险并减少损失,增强品牌价值和市场竞争力,主张减轻或免除企业法律责任。企业的合规义务包括但不限于制定内部管理制度和操作规程,对个人信息实行分类管理,保障信息查阅、复制、更正等权益,数据与算法的合规义务等。《个人信息保护法》要求企业重视个人信息保护合规建设,制定内部管理制度和操作规程;对个人信息分类分级进行管理;采取安全技术措施处理个人信息;加强对从业人员的管理,进行教育和培训;制定关于个人信息安全事件的应急预案。

《个人信息保护法》视野下互联网医疗数据的法律保护

伴随互联网医疗模式的发展,医疗数据成为个人信息的重要载体;《个人信息保护法》虽为监管互联网医疗数据和保护患者隐私提供了法律基础,但其还需辅之以完善的行政监管体系来明确互联网医疗数据的行政监管部门与职责划分、制定科学合理的行政裁量基准、完善医疗数据之公私法保护措施的衔接与协调等来进一步强化之。

人脸识别个人信息保护法律问题研究

当前以知情同意为核心的个人信息保护制度,难以应对人脸识别的飞速发展,无法充分保护被识别者的人格权益和财产利益。对比,可借鉴欧美的立法和实践经验,对知情同意规则进行动态化重构。在此基础上,还应当引入应用前的检验评估机制、降低司法救济门槛、加强行政监管和行业规制,以保障信息主体在人脸识别应用中的合法权益。

隐私保护与企业业绩表现——基于《个人信息保护法》的实证研究

数据作为一种继资本、劳动力之后的新型生产要素,是经济发展的重要基础和动力,为社会经济形态、商业模式、生活方式等带来一系列变革。然而在数据的获得和处理过程中,用户常面临着个人信息滥用和泄露的风险,平衡好个人信息保护与企业发展之间的关系成为当前数字经济发展中的一大难题。本文基于2021年颁布的《个人信息保护法》,借助于自然语言处理的办法,构建双重差分模型,研究隐私保护政策对企业业绩表现指标的影响。本文的研究结果表明,加强个人信息的保护对企业业绩表现有积极作用,这一作用在非国有企业、规模较大的企业和流动负债比率低的企业中更显著。机制分析表明,受隐私保护政策的影响,企业增加了创新研发支出和隐私保护型专利的申请数量,更重视产品质量和公平竞争理念的体系建设。同时,隐私保护政策的冲击使得行业集中度提升,头部企业拥有更多资源支持,进一步提升了市场竞争优势。

死者个人信息的法律保护——以《个人信息保护法》第49条为基础

数字信息时代,死者个人信息受侵害问题日益突显。死者个人信息兼具价值性与伦理性,保护死者个人信息关乎逝者尊严与近亲属权益。《个人信息保护法》第49条赋予近亲属、死者生前安排的其他主体对死者个人信息请求保护,构筑了死者个人信息保护的具体规则,但整体上存在诸多不足。保护死者个人信息应以“维护近亲属利益”与“尊重自然人身后自主”作为理论基础。死者生前未特别安排,近亲属可行使死者个人信息权利;若存有生前安排,近亲属外主体亦可主张死者个人信息权利。近亲属、死者生前安排的其他主体对死者个人信息享有权益的内容不应仅限于查阅、复制、更正、删除四种权利,还应包括补充权、更正权、解释说明权等内容。死者个人信息保护同样应受到“合法正当利益”条件、“死者生前另有安排”以及死者个人信息保护期限的限制。

个人信息保护公益诉讼的制度检讨与规范续造——以《个人信息保护法》第七十条为中心

《个人信息保护法》第七十条确立了我国个人信息保护公益诉讼的基本框架,但在司法实践中还存在起诉条件模糊、起诉主体职权范围和顺位不明、个人信息保护公益诉讼独立性不足、能否适用惩罚性赔偿存在争议等问题。从维护公益的制度目的来看,“侵害众多个人的权益”的起诉条件不是一个需要量化的问题;基于弥补个人诉讼的不足,检察机关、消费者组织、国家网信部门确定的组织应侧重在个人信息保护公益诉讼的不同领域发挥作用;为强化个人信息保护公益诉讼的独立性,需要完善检察机关提起公益诉讼的职能;为遏制侵权行为的再次发生,在个人信息保护公益诉讼中有必要适用惩罚性赔偿,但需要明确其适用要件、赔偿金额的计算方法并规范赔偿资金的管理使用。

个人信息被遗忘权的确立基础与构造路径——基于《个人信息保护法》第47条

我国《个人信息保护法》第47条对个人信息删除权的规定,在一定程度上反映被遗忘权的实质精神。删除是被遗忘权的重要手段,被遗忘权是删除的实现目的,二者属于交叉竞合关系。被遗忘权是保护信息主体人格利益与再社会化权利的必要措施,能够弥补现有删除权的功能缺失。实践中,被遗忘权与公众的知情权、言论自由权存在价值冲突,信息繁杂性与流通性致使遗忘操作困难,加之高成本抑制作用共同导致信息遗忘效果难以实现。我国应当在删除权基础上确立被遗忘权,通过层次化权利主体、扩大化义务主体、类别化权利客体以及精细化权利义务内容,构造具有本土适用性与可操作性的被遗忘权。

我国征信领域中个人信息保护机制研究——以《个人信息保护法》实施为背景

伴随着我国《个人信息保护法》的颁布实施,我国对个人信息的保护进一步加强。《个人信息保护法》的颁布实施改变了征信体系的根本旨向,个人信用信息的定义和处理原则发生了巨大变化,并补充增加了合法、诚信和有限制的公开、透明处理这几个原则。《个人信息保护法》的颁布对征信业的合法合规提出了更大的挑战。通过分析征信领域个人信息保护问题的现状、成因,进而提出完善征信业个人信息保护的法律方面的建议。