基于信息生态理论的个人数据保护策略研究——由英国下议院《网络安全:个人在线数据保护》报告说开去

介绍信息生态理论的核心思想,通过包含信息人和信息环境在内的信息生态理论框架分析英国下议院文化、媒体和体育委员会近期发布的报告《网络安全:个人在线数据保护》,剖析涉及其中的英国信息专员办公室、TalkTalk公司及其用户、第三方合作机构、公共安全部门等信息人在个人数据保护生态系统中的角色和生态位,概括《报告》中对以上信息人提出的建议,总结相关经验和做法;在此基础上,分析在线个人数据保护生态系统中存在的生态链割裂、生态位失位、生态系统失衡等问题,从信息人和信息生态环境等方面剖析产生问题的可能原因,并构建个人数据保护的宏观机制和提出解决问题的微观策略。

个人信息保护法域外效力研究——以欧盟《一般数据保护条例》为视角

大数据时代,随着智能设备的普及和数据处理技术的成熟,搜索引擎、社交网络、电子商务等互联网信息服务快速发展。信息以前所未有的方式自由流动和跨境传输,由此引发了个人数据保护法域外效力的扩张。相较于早期的《数据保护指令》,新近通过的欧盟《一般数据保护条例》增加了域外适用情形,将为欧盟境内的数据主体提供商品或服务以及监控其行为的境外企业也纳入了规制范围。纵观世界范围内的个人数据保护法,多数国家已设立域外适用条款,扩大法律的域外效力已经成为国际社会的主流做法。就当前信息产业发展和个人信息保护规范的现状而言,我国应借鉴欧盟立法经验,在未来的个人信息保护法中设立域外适用条款,扩大法律的地域适用范围。

论个人信息保护中知情同意原则之完善——以欧盟《一般数据保护条例》为例

对知情同意原则进行完善既是信息社会的时代要求,更是我国未来《个人信息保护法》立法工作的一项重要任务。欧盟2016年4月27日通过的《一般数据保护条例》对欧盟现有知情同意原则的完善对我国立法具有重要的借鉴意义。知情同意原则是信息自决权的前提和基础,是信息处理正当性的一般依据和特殊依据,但并非信息处理正当性的唯一依据。我国未来立法应正确认识同意的价值定位、明确有效同意的五个要素、构建敏感个人信息的特殊同意规则、规定同意的举证责任倒置、加强儿童信息处理同意的保护。

欧盟《一般数据保护条例》对我国个人信息保护的启示

随着互联网信息技术的快速发展,种类繁多的"APP"在我国迅速普及,给个人信息安全造成极大隐患,导致当前我国个人信息泄露及侵犯公民信息案件频发,强化个人信息保护迫在眉睫。2018年5月25日生效的欧盟《一般数据保护条例》被称为史上最严个人信息保护立法,从多个方面强化对个人信息主体权利的保护,对我国加强个人信息保护具有一定借鉴意义。

欧盟《通用数据保护条例》的亮点与启示——兼论隐私与个人信息保护

欧盟《通用数据保护条例》(General Data Protection Regulation)及附属规定自2018年5月25日起在欧盟成员国正式生效。该条例总结和整合了欧洲个人信息保护的经验,被称为"史上最严"的个人信息保护立法。本文建议借鉴该条例的理念和做法,注重理念培育和制度推进,加快我国个人信息保护立法,加强个人信息保护监管;开展个人信息保护风险等级评估,统一认证标准和标识;拓展责任追究维度,有效保障信息主体的权利。

我国儿童个人信息保护制度的发展与完善——以欧盟《通用数据保护条例》为借鉴

我国儿童个人信息保护制度经历了从原则性规定到有可操作性的具体规定、从部门规章到法律的演进过程。随着儿童个人信息保护制度逐渐清晰,其中的实质性规定也开始面临诸多争议。借鉴欧盟《通用数据保护条例》关于儿童个人信息保护的立法,我国应注重保障儿童的自主权,采取双重同意模式,以义务教育阶段代替年龄界限作为阶段划分的标准,明确父母或者其他监护人的权利边界,建立监护人同意验证机制和禁止范围逐步缩减的用户画像限制制度。

美国个人数据保护法律制度的演进与启示

美国自20世纪70年代起开启了个人数据保护的立法,但基于其重视言论自由的文化背景和促进产业发展的经济需要,制度设计重点在于保障数据的自由流动,而非对个人权利的保护。因此,美国早期确立了公私分立、分散立法的个人数据保护的制度格局。随着数据安全事件的频发,特别是在“施雷姆斯案”后,美国现已开始着手制定统一的联邦数据保护法规,同时,美国一些州也已经完成了各自的个人数据保护立法工作。影响美国个人数据保护制度演进的内在因素包括:对权利保护与言论自由的平衡、对权利保护与产业发展的平衡以及从防御政府到防御市场的理念转变。我国的个人数据保护立法应平衡好产业发展与权利保护的利益冲突,在立足自身文化传统与背景的前提下完善相关制度建设,同时积极参与数据保护的国际规则制定。

浅谈网络环境下的个人信息数据保护

随着21世纪以来计算机网络技术的快速发展,各种企业出于经营需要,在其用户或消费者不知情的情况下,搜集并积累了各类的消费者信息数据用于发展自己的业务。个人信息数据包括个人的基本信息(如:姓名、性别、年龄、住址等)和专项信息(如:婚姻状况、电话、电子邮箱、账号、健康、习惯、照片等)。

大数据背景下个人支付数据信息利用研究

随着移动支付等非现金支付方式日益普及,支付交易与生产生活场景深度融合,支付数字化、信息化、移动化趋势日趋明显,支付服务提供商采集的支付信息数据呈指数级增长,已经成为支付服务提供商的重要资产。但同时,个人支付信息数据保护问题日益突出,法律法规对个人支付信息数据保护力度不足、支付服务提供商获取信息冲动强烈且对信息数据风险管理不力、公众信息保护意识不强,给不法分子非法获取和利用信息带来可乘之机。结合我国支付市场实际,应从健全支付信息数据保护的法规制度体系、优化监管资源配置和使用、推进行业自律规范、提高公民个人信息数据保护意识等方面提出政策建议。

个人信息安全影响评估标准在支付业务领域的应用实践

围绕《中华人民共和国个人信息保护法》提出的个人信息保护影响评估要求,遵循GB/T 39335—2020《信息安全技术个人信息安全影响评估指南》,构建符合企业业务实际的个人信息保护影响评估体系,通过评估业务或产品对个人的自主选择权、财产权、公平权等权益的影响程度以及个人信息全生命周期安全保护措施的适应性,并配套管理制度和平台工具,提前识别并降低业务可能存在的个人信息安全风险,主要应用在转接清算、二维码支付、无卡支付等各种支付业务场景且取得良好效果。

数据画像领域个人金融信息保护问题及其对策研究

大数据时代,数据画像越来越盛行,尤其在金融领域,大多数金融机构都利用个人的身份信息、账户信息、交易信息、社交信息、兴趣爱好等对其开展数据画像,以此有针对性地、分层次地向其推销产品或服务。但不规范的数据画像或数据画像运用不当不仅容易导致信息主体的隐私权遭到侵害,还可能导致其财产损失。研究数据画像领域个人金融信息保护存在的问题,明确数据画像的合理边界,规范数据画像的运用,对于平衡个人信息的使用与保护之间的矛盾有着重要的意义。

欧盟个人数据保护的“后隐私权”变革

个人数据保护权的兴起是大数据时代法制发展的新动向。在欧盟范围内,个人数据保护权取代隐私权,成为信息隐私保护和数据保护法制重构的首要权利。个人数据保护进入"后隐私权"时代。与强调消极防御的隐私权不同,个人数据保护权具有鲜明的主动防护特征。与人格权、信息自决权相比,它的规范内容更加确定。欧盟力推个人数据保护权兼具浓厚的法律和产业背景。棱镜门事件后,个人数据保护权的影响力突破区域局限,对全球大数据时代相关市场和法律规范重构发挥重大作用。然而,个人数据保护权也不是没有成本的制度设置,运用不当可能拖累互联网经济发展,甚至会产生保护主义的过度防御问题。我国应对欧盟个人数据保护权的效应进行综合研判,可在规范基础、制度结构和法律形态方面对其进行适当借鉴,但不宜盲目照搬其立法形态。

论个人数据保护制度的源流——域外立法的历史分析和启示

个人数据保护制度发端于20世纪70年代几个代表国家的立法,在20世纪80年代因OECD和欧洲委员会的努力成为国际规则,而这些国际规则逐渐于20世纪90年代之后被各国所接受,以不同法律体制保护个人数据上的主体权利。个人数据保护制度的产生缘由是,在个人档案的电子化背景下,与个人有关的个人数据脱离个人被处理,可能有害于个人尊严、自由,因而需要在基本人权上确立个人数据保护(信息隐私)制度,规范个人数据流通利用行为,防范个人数据滥用。从域外立法源流来看,个人信息保护制度本质上是个人信息正当利用的一套规则,是个人数据上的主体权利受保护,而不是个人对数据的支配权受保护。我国在制定个人信息保护法和建构保护体系时,既要借鉴域外的基本原则,接轨国际规则,又要从我国实际出发,构筑既适应时代需要又解决本国问题的制度规则。

后《通用数据保护条例》时代反兴奋剂信息的法律保护

欧盟《通用数据保护条例》对反兴奋剂领域的个人信息保护规则产生了很大的影响,迫使世界反兴奋剂机构做出法律改革,但依然存在许多争议。最引人注目的是反兴奋剂信息处理的合法性问题,是否要在反兴奋剂领域引入被遗忘权和数据可携带权问题,反兴奋剂信息的跨境传输问题。只有厘清反兴奋剂领域自治与法治的关系,才能找到解决上述问题的正确路径。在反兴奋剂领域,应当进一步提高个人信息的保护标准,以必要性原则对反兴奋剂机构的信息处理和跨境传输做出限制,同时引入被遗忘权和数据可携带权,加强对信息主体的法律保护。

中外个人数据保护标准研究进展与未来趋势分析

[目的/意义]大数据时代,个人数据保护标准正在成为中外企业规避“数据合规”风险的行动指南,了解中外个人数据保护标准的发展进程,分析目前学术研究现状与未来趋势具有重要的理论与现实意义。[方法/过程]运用文献研究法及CiteSpace和Excle工具分析了中外个人数据保护标准的发展历程、研究动态及其主要研究内容与学术观点。[结论/结果]国内外个人数据保护标准的发展均以本国的立法为基础,国际、区域、国家三位一体的个人数据保护标准体系正在形成,国际间标准的适用性问题,特别是企业面对“数据合规”风险的问题,将成为未来个人数据保护标准的研究方向。

欧盟个人数据保护法上的反自动化决策权研究

在大数据时代,信息成为一项重要的社会资源,如何开发和利用数据是现代社会无可回避的问题。个人数据①保护法随着科学技术和数据产业的发展备受关注。其中,欧盟对个人数据立法的研究和相关法律的规定较为成熟,其赋予了数据主体多种数据权利。最新成果体现在2016年的《一般数据保护条例》(GDPR),其规定的反自动化决策权也成为了理论和实务界的焦点。但对于反自动化决策权的研究尚需进一步深入,包括明晰反自动化决策权的概念和理论基础、反自动化决策权的权利架构及反自动化决策权对我国个人信息保护立法的启示等。希望通过对反自动化决策权的研究,为我国未来个人信息保护立法提供借鉴。

大数据背景下个人信息保护的公私法衔接

当前立法规范所呈现的个人信息权利化路径面临着过度保护与保护不足的双重困境,同时也难以回应大数据时代系统性的信息安全风险。个人信息本质上是由一些具体人格权权利内容和其他人格性利益糅杂而成的综合体。内容上的复杂性要求私法采取"权利"与"法益"相区分的保护路径。属于"法益"部分的个人信息,承载了更多的社会公共利益,无法由具体人格权所覆盖,但可通过"违反保护他人的法律的侵权责任"进行保护,从解释论的角度以《侵权责任法》第6条第1款作为转介条款,将公法域的个人信息保护性规定引入私法体系,增强法律适用的确定性,实现公私法保护的有效衔接。

《民法典》新规背景下消费者隐私权和个人信息及数据保护的路径研究

随着电子支付渠道的普及,消费者不得不在参与经济活动的同时暴露个人隐私和个人信息及数据。企业间的竞争应该在法律许可的范围内,既发展经济,又维护社会公序良俗。在《中华人民共和国民法典》设置专章对公民隐私权与个人信息进行保护以及出台信息数据保护的专门法律的背景下,对消费者隐私权、个人信息和数据保护的路径进行研究,对保护消费者消费隐私和个人信息,促进消费、发展绿色健康经济有非常深远的意义。

数据保护刑法路径的完善——以侵犯公民个人信息罪为切入视角

在数据与信息深度融合的大数据背景下,对公民个人信息这一抽象客体的保护,付诸实践层面就是对储存相关信息的数据进行保护。我国《刑法》第253条对侵犯公民个人信息罪进行了规定,但是在公民个人信息日益重要且面临风险日益增加的社会背景下,《刑法》的保护仍有所欠缺。为了满足公民个人信息保护的现实需求,完善数据保护的刑法路径,应当在侵犯公民个人信息罪中补充增设新的犯罪行为模式,并针对特定主体设置过失犯的犯罪形态,这两处增补具有科学性和合理性,同时也并不违背我国刑法的谦抑性原则。

移动支付领域中的个人金融信息保护研究

随着移动互联时代的到来,移动支付因具有移动性、便捷性、及时性的优势而得到迅猛发展,但随之出现的个人金融信息违法收集、非法倒卖、信息滥用等问题时有发生,个人金融信息保护机制亟待健全。文章简单梳理了我国移动支付发展趋势,分析了移动支付个人金融信息保护现状,对移动支付领域个人信息泄露原因进行初步探讨,最后给出了进一步加强移动支付领域个人信息保护的政策建议。