论正当权益作为个人信息处理的法律基础

我国《个人信息保护法》第13条有关个人信息处理的法律基础的规定,并没有为实现处理者或第三人的正当权益而允许处理个人信息的情形。有关个人信息保护的司法实践却不断遭遇处理者为了自己或他人的正当权益而处理个人信息的纠纷。立法的无视或有意的空白,并不能消除或根除为实现处理者或第三人的正当权益而处理个人信息的情形。司法实践以曲折迂回的方式,特别是用免责事由的形式,在很大程度上实现了将“正当权益”的情形作为事实上的个人信息处理的法律基础。在未来,有必要在司法裁判上或以司法解释的方式正式承认处理者或第三人的正当权益可以作为处理个人信息的法律基础。

处理者的合法利益不是个人信息处理的法律根据

我国《个人信息保护法》《民法典》等法律未如欧盟《通用数据保护条例》那样将个人信息处理者(或第三方)的合法利益作为一类独立的个人信息处理的法律根据。这种规定是科学合理的。一方面,合法利益的范围过于宽泛,并且适用前需要考虑个案情形及各种因素进行利益平衡测试,所以在解释上和适用上具有较大的不可预期性和难度,也不符合我国法律严格规范个人信息处理活动及充分保护个人信息权益的要求。另一方面,我国现行法律制度足以保护个人信息处理者(或第三方)的合法利益,司法实践中处理者(或第三方)的合法利益抗辩都可以通过有关规定逐一解决。此外,我国法也对处理者(或第三方)的合法利益与个人的权益间位阶有相应的规定。故此,合法利益不应当作为我国法上个人信息处理的法律根据。

侦查中个人信息处理的合法性基础

个人信息处理的合法性基础是指处理个人信息所依据的正当法律理由,属于侦查中干预个人信息权利的前置性要件。然而,在数据主义思潮的影响下,侦查机关陷入了超期存储、重复利用、片面使用、重量轻质四种行为误区,致使个人信息处理的合法性存疑。通过分析现行规范可知,侦查中个人信息处理的合法性基础在性质上属于概括授权条款而非特别授权条款,在表述上应采取正向授权方式而非反向禁止方式,在结构上应遵循多元基础而非一元基础。在制度设计上,在侦查中应形成个人信息处理的二元合法性基础,以“履行法定职责或者法定义务所必需”作为法定基础,以“取得个人同意”作为意定基础。

公安数据开放场景下个人信息匿名化处理法律标准探究

在公安数据开放的背景下,个人信息匿名化处理逐渐成为平衡公安数据开放与个人信息保护的黄金分割点。通过国际横向比较分析,揭示了我国现行“无法识别特定个人且不能复原”的匿名化处理法律标准在操作层面的局限性,并选取我国17省市公安数据开放平台发布的《行政处罚决定书》为样本,对数据开放的类、量、质进行系统性评估。研究发现,公安数据匿名化开放尚处于初步阶段,存在顶层设计缺乏刚性约束、数据过度保密、格式不规范和处理标准不统一等现象。基于此,我国可以确立操作方法、风险检验及效果评估三维协同的匿名化处理法律标准:区分处理直接标识符与准标识符的操作方法标准,引入蓄意侵入者角色的再识别风险检验标准,以及去识别化效果评估标准。通过三重维度的协同作用,助推公安匿名数据最终实现“无法识别特定个人且不能复原”的法律效果。

论同意不是个人信息处理的正当性基础

无论是国际法规范和多数国家的个人信息保护法,还是以网络服务商为代表的用户协议、服务条款和隐私权政策,均就个人信息处理的同意作了相关规定,将同意作为个人信息处理的正当性基础,已经成为一种理论上的通说和实践中的通行做法。然而就判断个人信息处理的正当性基础而言,同意规定的实质是事先判断,即在个人信息处理行为发生之前,如若信息处理者取得了信息主体的同意,则意味着其处理行为具有正当性。在大数据时代,个人信息处理行为的规制原则应是防止滥用,而非严格保护,故对个人信息处理行为是否具有正当性的考察宜采用责任规则及事后判断的方式,同意不应是个人信息处理的正当性基础。通过赋予信息主体删除权,并构建一种"宽进严出+删除权"的个人信息保护策略,可以在合理保护信息主体权益的基础上最大程度利用个人信息,推动经济的发展和社会的进步。

大数据背景下个人信息处理行为的法律规制——以个人信息处理行为的双重外部性为分析视角

大数据背景下个人信息处理行为既引发数据安全风险等负外部性,也会带来分享经济价值实现等正外部性,“大数据悖论”现象揭示了双重外部性成因。基于“外部性内在化”原理赋予信息主体以个人信息权并赋予数据控制者以大数据财产权虽有助分别规制其双重外部性,但网络大数据背景下其双重外部性规制彼此交互影响而面临两难困境。法经济学关于“损害之相互性”理论证立了基于“风险导向理念”规制个人信息处理以破解其两难困境的经济逻辑。大数据产业发展有赖个人信息处理的“外部性外部化”而实现分享经济。法经济学关于“公地喜剧”理论证立了基于“外部性外部化”规制个人信息处理而满足大数据产业发展需要的经济逻辑。大数据背景下个人信息处理的规制有赖从“压制型法”到兼及“回应型法”的理念转换,从“外部性内在化”兼及“外部性外部化”的机制并举,从数据资源权利配置兼及数字技术权力干预的措施协同,实现大数据产业创新与个人信息安全的有机平衡。

信息处理者处理个人信息的法律规制、法定职责与侵权责任

在“十四五”期间乃至更长的一段时期内,我国要建立健全个人数据分类管理和分级确权授权使用制度体系,建立数据资源共享和数据产权制度体系,建立健全个人信息数据保护法规体系,完善数据全流程合规和监管法律体系。法律规定信息处理者对信息权利人人格权与人格权益保护负有同等职责,对信息权利人公开信息的处理负有法定的保护职责,信息保护合规制度体系对信息处理者处理信息行为负有监督职责。法律还规定了信息处理者侵犯信息权利人个人信息权益的侵权责任,包括所应承担的民事责任、行政责任和刑事责任。

已公开个人信息处理规则的构造及适用——以合法处理事由为中心

立法规定在合理范围内处理已公开个人信息豁免同意,“已公开”作为豁免同意规则的合法处理事由,但是个人(信息主体)明确拒绝的除外,以及“对个人权益有重大影响的”还需取得个人同意,以此为基点形成了耦合式、层次化但遵循了平衡逻辑的规则体系。一方面,规则体系表达了调和个人信息自决和适当必要保护、个人利益与公共利益、同一保护和差异保护、保护成本与流通收益的期许;另一方面,由于规范构成要件因素具有不确定性,规则体系内部以及与外部关系尚处于“混沌”状态。要解决此问题,须以“合法处理事由”为切入点,在明确规则体系内部关系及各要件意蕴的基础上厘清“已公开”“在合理范围内处理”“个人明确拒绝”“对个人权益有重大影响”与相关规范构成要件因素之间的关系,进而调适处理规则体系,使之协调统一。

个人信息保护视域下用户标签的法律属性与分层治理

目前学界对用户标签属性的讨论主要集中于其是否为个人信息,并以此为基础建构相应的保护机制。然而,现有讨论主要基于标签本身能否识别到具体个人的静态考量,无法准确把握其本质。通过对用户标签生成过程及机理的动态考察可以发现,用户标签对个人信息的碎片化处理并不能否定其个人信息的本质属性,但在形成的不同阶段其权利构成有所不同。因此,用户标签的治理应当根据不同阶段的权利构成进行分层治理。信息收集层的权利基础是用户对个人信息的自主控制,用户享有是否同意个人信息处理行为的绝对权;标签生成层的权利基础是维护秩序合理和平衡的国家义务,用户享有免于歧视或错误评判的相对权;标签应用层的权利基础是避免用户标签应用侵害用户实体利益、支配个人意志,用户享有维系人格和权利保障的防御性权利。用户标签治理需要根据不同层级以充分知情和自主决定、人为干预和用户控制,以及多维拒绝和规则解释为基本目标进行制度建构和规制适用。

国家网信办尤雪云:经营者不得通过误导、欺诈、胁迫等方式处理消费者个人信息

4月9日,在中华人民共和国国务院新闻办公室举行的介绍《中华人民共和国消费者权益保护法实施条例》(以下简称《条例》)有关情况吹风会上,国家网信办网络法治局负责人尤雪云表示,我国高度重视个人信息保护,2021年就制定实施该领域的基础性法律《个人信息保护法》。《条例》第23条从三个方面规定了经营者保护消费者个人信息的义务。

个人信息匿名化处理法律标准探究

个人信息匿名化处理法律制度作为联通个人信息保护与个人信息流通利用的制度桥梁,能够以一种隐私友好的方式满足社会的信息需求。我国现行“无法识别特定个人且不能复原”的匿名化处理法律标准缺乏可操作性,难以有效规范匿名化处理实践。我国可以确立操作方法标准与识别风险检验标准协同的匿名化处理法律标准:关于操作方法标准,可以在技术领域确定适用于直接标识符和间接标识符的匿名化处理措施指南;关于识别风险检验标准,可以引入“蓄意侵入者检验”标准,明确规定侵入者的识别动机和识别能力。通过操作方法维度与识别风险检验维度的协同作用,最终实现“无法识别特定个人且不能复原”的匿名化处理法律效果。

《个人信息保护法》第13条第1款(个人信息处理的合法性基础)评注

《个人信息保护法》第13条第1款确立了个人信息处理的合法性基础,其规范目的是平衡以信息自决为核心的多元价值及利益冲突,并与“合法、正当、必要”三原则、其他合法性基础规定及法律责任规定具有密切联系。相较于信息主体同意和同意以外的其他合法性基础的简单划分而言,更为妥当的分类方式是区分自主决定型合法性基础、引致条款型合法性基础和法益权衡型合法性基础。基于此并结合私人领域和公共领域的差异,不但能对该款所列各种合法性基础予以体系化梳理,而且能超越文义对各项规定予以解释和续造。由此便可以划定信息主体同意、履行合同必需规则、订立合同必需规则、法定职责必需规则、法定义务必需规则、正当利益规则等不同合法性基础的适用范围和主要场景,从而将信息自决的价值理念落到实处。

论个人信息处理的正当性基础——以合法公开的个人信息为视角

合法公开的个人信息包括信息主体自行公开和其他已合法公开两类。比较法上,很多国家(地区)将已合法公开的个人信息作为个人信息处理的正当性基础之一,我国也有类似规定。通过解读《中华人民共和国民法典》第1036条第(2)款和《中华人民共和国个人信息保护法》第27条可以看出,将已合法公开的个人信息作为个人信息处理的正当性基础存在合理性,但也存在个人信息保护和信息主体“明确拒绝”适用等问题。需妥当协调《中华人民共和国民法典》《中华人民共和国个人信息保护法》对此规定的衔接适用,做到个人信息保护和利用间的衡平。

论个人信息保护的法律关系

在我国,个人信息保护的重要性已经不可忽视地摆在人们的面前,屡屡泄露的个人信息已经给国家和人民造成了极大的危害,要求个人信息保护的立法呼声越来越高。现在,个人信息保护的立法工作正在如火如荼地进行。因此,厘清个人信息保护法的一些理论问题,十分重要。作者在此就个人信息保护的法律关系问题作一浅显的分析。

个人信息流转环节的法律规制

个人信息流转的主体包括公务主体(或公益主体)与私务主体(或私益主体)。个人信息收集的一般规则包括:目的特定、知情同意、限制收集、内容正确等,公务主体与私务主体收集个人信息还存在不同的规则。个人信息处理规则的设定主要就是为了保证个人信息处理的安全进行,个人信息处理的安全规则要求个人信息处理主体采取一定的组织措施,要求处理人员负有保密义务,强调计算机设备与系统的安全。公务部门传输个人信息必须以法律的规定或授权为前提条件,必须在行使公权力的职能范围内进行;公务部门以外的主体传输个人信息受到诸多限制。"安全港"机制是美欧之间个人信息跨境传输的一种安排。个人信息利用是获取、处理、传输个人信息的最终目的,也是出现个人信息侵权行为的核心环节。利用个人信息应当遵照:法律明文规定的范围;当事人自愿;符合特定的目的等。个人信息交易是主要以市场机制进行调节、辅以必要的国家干预的信息资源配置行为。特殊个人信息保护有特殊制度,包括敏感个人信息、未成年人个人信息等特殊种类个人信息的保护制度,电子政务、电子商务、电信、医疗、金融、信用等特殊领域的个人信息保护制度。

构建“以人为本”的个人信息保护法律制度

《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》(以下简称:"十四五"规划纲要)提出:"加强涉及国家利益、商业秘密、个人隐私的数据保护,加快推进数据安全、个人信息保护等领域基础性立法,强化数据资源全生命周期安全保护。"加快推进个人信息保护立法,必须恪守"以人民为中心"的理念,构建"以人为本"的个人信息保护法律制度,提升人民群众的获得感、幸福感、安全感。

“数字战役”背景下个人信息处理 行为的利益平衡机制--基于双重外部性视角

“数字战役”背景下,大数据分析及数据价值挖掘不仅因“数据红利”带来个人信息数据在研判疫情发展态势、实施精准防控策略、完善医疗卫生事业等方面的正外部性,也会引发个人信息泄露、隐私侵犯、权利损害等数据安全风险的负外部性。由于多元主体间不同诉求的冲突与矛盾,其双重外部性呈交互影响、交互损害的两难困境。文章在对个人信息权进行权利界定的基础上提出个人信息处理行为的双重外部性规制有赖于构建“外部性内在化”与“权利救济”为一体的保护体系,以推动社会整体福利达到“帕累托最优”状态。

论大数据背景下的个人信息自决权——由“大数据杀熟”引发的思考

大数据时代背景下,“大数据杀熟”给个人生活造成多方面困扰。个人信息自决权是有效规避“杀熟”的手段之一。有别于隐私权,个人信息自决权的内涵体现为自主自决,是积极控制之权利,其保护对象是具有可识别性和关联性的个人信息。个人信息自决权是一项具体的人格权,具有自身的独立性和所承载人格利益的特殊性。传统意义上的具体人格权体系的构造及其内容无法涵盖民事主体个人信息自决权的利益。合理设置个人信息自决权作为具体人格权的规范构造,要从权利义务主体、客体范围、权利义务内容三个方面开展。从比较法角度观察,反省我国创设个人信息自决权的必要性,能够实现个人信息全面且高度的保护。此外,个人信息自决权的创设在我国已具备现实性、客观性及坚实的法律基础,但明确个人信息自决权作为一项独立的具体人格权的法律地位,仍然是亟待完成的一项时代课题。

网络平台个人信息保护责任的法律经济学分析

随着网络领域个人信息侵权事件的日益增多,网络平台的个人信息保护责任已成为社会各界关注的焦点。网络平台和商家的个人信息保护责任划分不清,告知同意机制日益流于形式,个人信息保护手段的威慑效果不足,极大制约了网络平台个人信息保护责任的有效履行。作为以较低成本履行个人信息保护责任的网络平台,应承担个人信息保护的主要责任。网络平台与商家应成为共同个人信息处理者,从而实现个人信息保护责任的内部化,二者之间的关系适用《个人信息保护法》的必要连带责任规则。加强网络平台个人信息保护合规激励机制建设及提高对网络平台违法行为制裁的确定性,是网络平台个人信息保护责任制度的优化路径。

论共同处理个人信息的侵权损害赔偿责任

《个人信息保护法》第20条对两个以上个人信息处理者的共同处理行为进行规制,规定了共同处理个人信息的侵权损害赔偿责任。第2款虽然采纳了“依法承担”之表述,但在性质上仍属于独立的请求权基础,包含完整的构成要件与法律效果。如果将其参引《民法典》多数人侵权责任的规定,将面临规范目的无法融洽、构成要件适用困难等难题。“个人信息处理者共同处理个人信息”构建了共同处理的基本场景,对此,应坚持功能性路径,借鉴动态系统论原理,结合协作意愿、目的相似性、相互访问数据库的可能性以及信息主体的客观预期等要素,综合考察具体场景中信息处理者实际施加的影响力,进行共同处理的场景识别。认定共同处理者承担侵权损害赔偿责任,应满足如下要件:共同处理者应参与处理行为,但无须均实施直接侵权行为;造成的损害包括财产及精神损害;主观归责采过错推定原则;因果关系证明采对受害者有利的证明规则以矫正信息主体证明能力不足、证明成本过高的劣势地位。