个人信息保护合规审计的理论逻辑与制度构建

个人信息保护合规审计制度不仅是个人信息处理者的法定义务,同时其预防型免责的功能也有助于激励个人信息处理者合理规避法律风险、主动提升个人信息保护能力、推动监管模式转型背景下政府监管与企业自律协同进行。《个人信息保护法》规定了“自主审计+强制审计”双层审计模式,《个人信息保护合规审计管理办法(征求意见稿)》为合规审计的落地提供了重要依据,但仍在制度衔接、法律效力、审计工作开展等方面留有空白。个人信息保护合规审计在风险内涵上应兼顾个人信息保护风险和合规风险,并与个人信息保护影响评估、算法审计等制度在适用情形、目的、内容等方面明确区分。为个人信息保护合规审计的有效性,审计制度既需要关注审计原则、审计准备、审计依据、审计方式、审计内容、审计结论等体系化的制度建设,同时也需要考虑审计活动实际开展过程中,审计原则的落实、审计清单的制定、审计依据的选择、审计结论的应用等关键事项。

云时代下图书馆数据保护合规体系的提倡与构建

文章对云时代下图书馆的数据类别与面临风险进行了研究,考察了域外以美国为代表的图书馆数据保护行业合规模式和以德国为代表的图书馆数据保护法律合规模式。立足于我国图书馆核心价值与信息组织变革原理的理论基础、数据立法及图书馆数据安保法定义务的规范基础、国内企业合规与数据合规浪潮勃兴的实践基础,提出我国应以数据保护合规治理理念为“一体”,以数据保护合规计划、数据保护合规岗位组织体系、图书馆全数据保护合规文化、图书馆全数据保护合规技术为“四翼”,形成图书馆全流程数据保护合规体系。

个人信息保护合规疑难问题研究

企业在落实《个人信息保护法》规定的合规义务时,经常会遇到规则不清晰、不明确,且无法得到合规确认等问题。此外,《个人信息保护法》并非企业个人信息保护全部合规义务来源,不同法律法规之间也存在要求不一致的情况,从而将企业置于两难的合规困境。通过对个人信息保护规则落实情况的调研,梳理企业在个人信息保护合规中遇到的疑难问题,进而分析个人信息保护合规体系构建和持续改建的可行路径。

图书馆未成年人读者信息隐私权保护研究

未成年人读者信息隐私权是该群体在数字环境中所享有的自由阅读、生活安宁不被打扰、私密信息不被发现的权利,但图书馆智慧化服务的发展在一定程度上引发了未成年人读者信息隐私权的保护风险,亟需在理论实践上采取更加规范与实质的方案来加强对图书馆未成年人读者信息隐私权的保护。本文从信息隐私权的概念入手,认为图书馆在保护未成年人读者信息隐私权的基本原则的基础上需要确立具体的保护规则,建立保护制度,并在风险预防原则、独立保护原则、实效性保护原则的指导下,通过在《公共图书馆法》中增设义务条款、在内部落实合规责任、在外部优化协同模式等方法实现对未成年人读者更好的保护。

数字时代图书馆未成年读者信息隐私权保护路径研究

数字环境下图书馆面临着对未成年读者信息隐私权保护不足的挑战,亟需在廓清“未成年读者信息隐私权”概念的基础上,建立一套切实可行的保护措施。未成年读者信息隐私权与读者个人信息及其衍生数据息息相关,通过明确未成年读者信息隐私权的概念,进而以整体性保护原则、独立性保护原则与实体性保护原则为指引,以机能主义合规保护模式与资源调配协同保护模式为参照,建立全方位的保护制度。就前者而言,图书馆可分别建立整体性合规与专项性合规以实现对未成年读者信息隐私权的合规保护;就后者而言,图书馆可通过完善信息处理的同意规则、加强与企业的深度合作以及开展针对未成年人及家长的信息隐私保护教育来实现对未成年读者信息隐私权的协同保护。

Changes and Adjustments:The Rule of Law Response to Medical Institution Data Compliance

Medical institution data compliance is an exogenous product of the digital society,serving as a crucial means to maintain and balance the relationship between data protection and data sharing,as well as individual interests and public interests.The implementation of the Healthy China Initiative greatly benefits from its practical significance.In practice,data from medical institutions takes varied forms,including personally identifiable data collected before diagnosis and treatment,clinical medical data generated during diagnosis and treatment,medical data collected in public health management,and potential medical data generated in daily life.In the new journey of comprehensively promoting the Chinese path to modernization,it is necessary to clarify the shift from an individual-oriented to a societal-oriented value system,highlighting the reinforcing role of the trust concept.Guided by the principle of minimizing data utilization,the focus is on the new developments and changes in medical institution data in the postpandemic era.This involves a series of measures such as fulfilling the obligation of notification and consent,specifying the scope of data collection and usage,strengthening the standardized use of relevant technical measures,and establishing a sound legal responsibility system for data compliance.Through these measures,a flexible and efficient medical institution data compliance system can be constructed.

敏感个人信息处理规则的反思与修正

现行敏感个人信息的处理规则未明确敏感个人信息的保护价值,难以界分敏感个人信息与私密个人信息,无法充分保护敏感个人信息。造成前述问题的根源在于敏感个人信息的本质未得到准确揭示。作为界定敏感个人信息的主流方法,场景化界定将信息处理行为限定为传统处理行为,忽视了作为现代处理行为的算法决策。在此背景下,基于场景化界定的“敏感个人信息”均为私密个人信息。敏感个人信息只能在算法决策的语境下进行界定,其本质是一旦被用于算法决策将很可能对信息主体权益与社会公共利益造成严重侵害的个人信息。敏感个人信息与私密个人信息的界线借此确定。立足敏感个人信息的本质,告知同意规则的局限性得以明确。敏感个人信息的处理规则应当从“告知同意”的个体本位规则转向“原则禁止+例外允许”的规制规则,即信息处理者不得将敏感个人信息用于算法决策,除非符合例外情形。作为配套规则,敏感个人信息的合规保护机制应予以确立。

数据保护合规体系研究

数据保护合规是企业为防控数据合规风险所建立的一种专项治理机制,由数据合规政策和数据合规管理流程两大要素构成。数据保护领域的合规风险包括违反合规政策性条款的数据滥用类风险,以及违反合规流程性条款的管理失职类风险。打造数据保护合规体系需要遵循有效数据合规、行政合规与刑事合规一体化建设、对外合规与对内合规相分离、全流程数据合规、数据合规技术等基本原则。面对实践中数据保护合规的纸面化和针对性、体系性、专业性不足等问题,企业需要围绕数据保护合规政策和合规管理流程两个层面完善数据保护合规体系,强化数据保护合规政策与员工手册、合规组织、防范体系、监控体系、应对体系的建设。

高等教育机构数据风险的合规纾解

高等教育机构的数据运行过程中存在着泄漏、滥用等风险,虽然当前初具规模的数据类法律规范可在一定程度上应对,但仍具有不成体系之诟病。为此,在高校数据安全管理中引入数据合规机制具有积极意义,既能形成体系化的数据保护模式,又能由“被动式”数据管理迈向“主动式”的数据合规,在提升内部管理效能的同时,保障数据运行的法治化。具体可通过数据合规机制纾解高等教育机构的数据风险:一是基于风险评估确定高校合规制度的体系性之基本内容;二是在数据运行全生命周期中,以分段评估保障高校数据合规制度运行的有效性。最终型塑高等教育机构数据治理的体系性合规方案,确保其数据风险的有效化解。

Combination of Ecoprofile and Least-cost Model for Eco-network Planning

The protecting requirements and functional connectivity of species in isolated habitat patches are crucial factors of eco-network planning.This study aimed to improve the method of eco-network planning for species conservation.Ecoprofiling was used to group the species by similar behavior types,namely,choice of ecosystem,area requirement,and short distance dispersal abilities.A least-cost model was used to simulate the optimal corridor location to maintain functional connectivity.A combination of ecoprofile and least-cost model was hired to develop an eco-network that promoted species conservation.A case study was also conducted in Beijing,China.In addition to the required ecosystem,habitat area is an important parameter for habitat extraction.Habitat area can remove noise habitat patches because of lacking area.Short-distance dispersal can be used to identify corridor requirements and avoid unnecessary building requirements.Species with various dispersal abilities exhibit significant differences in terms of corridor length and location requirement.Habitat isolation is the main threat for weakly mobile species,and habitat loss is the major risk of mobile species protection.Different species groups also exhibit distinct landscape pattern demands for an eco-network,and the eco-network planning based on specific species can not protect other species.We proposed that a combination of ecoprofile and least-cost model improved the efficiency of species conservation by eco-network planning.

污染环境罪司法适用的困境及其破解

由于地方政府与污染企业的利益联结、污染企业的经济实力与严密的组织构造、直接受害人的程序缺位、刑法谦抑理念的不当助推,因此导致污染环境罪在司法适用中出现“刑不制罪”的困境。在现行立法和司法解释的框架内,应秉持积极能动、又严又厉的刑事司法理念,扩大对犯罪参与者的打击范围和打击力度,强化刑罚的必然性和威慑力,以期实现污染环境罪在司法适用中“以刑制罪”的目标。在完善企业环境保护合规制度的前提下,以环境行政机关、刑事侦查机关、审查起诉机关、刑事审判机关的职能定位为基点,以罪案移送制度为主线,构建污染环境罪司法适用的综合保障机制,强化该罪在司法适用中“以刑制罪”的司法效果,以有效遏制和预防污染环境犯罪。