公共图书馆读者个人信息保护的原则与进路--参照《个人信息保护法》

保护读者个人信息是公共图书馆提升服务质量与治理效率的基础,也是图书馆治理法治化的内在要求。而今,读者个人信息仍存泄露、滥用风险。此与信息安全意识不足、信息安全技术落后、风险防控系统缺位、内外监督机制薄弱关联甚大。为此,公共图书馆应坚持事前预防为中心、事中控制为基础、事后救济为补充的保护范式,在遵守《个人信息保护法》信息处理五项原则的前提下,致力于增强信息安全意识、推动安全技术革新、健全风险防控系统、强化内外监督机制。

论个人信息保护“目的限定原则”的兼容性标准

[目的/意义]我国《个人信息保护法》第六条确立了个人信息处理行为的目的限定原则,规定信息处理者的处理行为须与初始收集目的间具有直接关联。然而,严格的直接关联性标准过度强调个人对信息的支配与控制,难以因应大数据时代下信息流通利用的现实需求,亦无法在法律实效层面真正实现对个人合法信息权益的有效保护。因此,确有必要对目的限定原则的适用标准进行优化。[方法/过程]通过参考借鉴欧盟立法中的兼容性标准与最新发展,归纳构建以关联性评估要素与风险性评估要素为内核,公法关系与私法关系差序适用的本土化兼容性标准。[结果/结论]目的限定原则采取兼容性标准能够合理放宽目的限制的程度,为信息处理行为预留柔性缓冲空间,平衡个人信息的流通与保护。

论个人信息处理中比例原则的适用

比例原则的思想内嵌于个人信息处理的原则和规则之中。如何适用比例原则,发挥比例原则在个人信息处理中的工具理性价值,是把握个人信息处理规范内涵亟需面对的问题。比例原则具有经济效率的特性,宜对比例原则在个人信息处理中适用的经济逻辑进行分析。构建个人信息处理中比例原则的审查结构,利用工具理性带动适用理性增强,同时,引入成本收益理论辅助分析。针对比例原则在个人信息处理适用中存在的局限,应划清个人信息和个人数据的界限,提倡比例原则类型化适用,从而协调个人信息保护与合理利用的关系。

论个人信息处理中最小必要原则的审查

最小必要原则实践上的审查结构不完整,学理上的审查内涵有争议,其完整的审查框架尚不明确。为保障《个人信息保护法》等相关法的实施效果,应清楚最小必要原则的完整审查框架。基于现行规范的释义,最小必要原则属于比例原则在个人信息处理中的体现;基于欧盟法上最小化原则的追溯,必要性审查与比例性审查对个人数据的处理作了全面、精细的考察,具备坚实的欧盟法实施基础,亦契合中国的实定法依据,有较强的借鉴价值。按比例原则“全位阶”的操作架构,吸收必要性审查与比例性审查,最小必要原则即形成完整的审查框架,且在比例原则“目的—手段”关系下,最小必要原则可展开规范审查,其规范的步骤包括“事实描述”“目的正当性考察”“手段有效性、‘最小’损害性及比例性考察”三大环节。而告知—同意原则可确定最小必要原则的适用与收缩空间。

读者个人信息处理的基本原则研究——以智慧图书馆建设为视角

现行信息法规为智慧图书馆处理读者信息措置了规模庞大却凌乱无序的十数项基本原则,唯有对基本原则进行条分缕析式的摒挡与归结方能实现制度的远期目标。通过动态交融的领域法定性可使信息法规脱离公、私二性界定的固有束缚;通过摄入方法论意义上的比例原则可为信息处理原则的分级重组提供实用性工具;通过对基本原则的演绎与归纳可实现信息处理的科学减负。因此,可由比例原则为统领形成原则域,以可识别性、可拓展性和可支配性为标准,采取以点带面的演绎手法将信息划分为三级;以适当性、必要性、损益均衡性为逻辑基点,采取由面化线的归纳手法将法定基本原则归结为三性,最终可围绕第二性原则与逐级信息形成的涵摄模型进行详细的制度规划。

论个人信息保护中的必要原则:法律理解、实践困境与化解思路

必要原则作为个人信息保护中的基本原则,通过限制个人信息处理者不合理、过度地处理个人信息,以实现保护个人的人格尊严与自主、管理与控制个人信息安全风险的功能作用.但是,由于个人信息保护与互联网经济特征间存在冲突,以及严格适用必要原则与数字经济创新发展需要的自由、开放环境间存在矛盾,导致必要原则在落地过程中产生诸多现实困境.从必要原则的概念定位、制度衔接以及监管救济方面出发,提出应弹性化适用必要原则,通过缓解个人信息保护和数据有效利用之间的紧张关系,以实现个人权益、企业利益和公共利益间的有效平衡,从而推动数字经济的健康发展.

数字时代个人信息的法律保护—— 以“合法、正当、必要”原则为中心

数字时代,网络运营者及其他主体处理个人信息更趋便捷化,个人信息安全风险加大。通过分析“合法、正当、必要”原则内在逻辑关系并结合限制理论得出,该原则可有效遏制人性贪婪,实现对个人信息保护“外部环境”限制,提高信息主体认真对待个人信息意识。“合法、正当、必要”原则作为个人信息处理的正当性基础,符合加强个人信息私法保护理念,体现私权保护宗旨,尊重信息主体自决权,并可兼顾个人信息保护、数字发展和社会公共利益三者间衡平。

个人信息保护中“告知—同意”原则的困境与出路

个人信息被称为“站在大数据顶峰的宝石”,“告知—同意”原则是保护个人信息权的黄金原则,却在实际适用中面临困境:“敏感信息”与“一般信息”难以界定,信息保护和信息利用之间的动态平衡空间难以建立。这就导致“告知”的结构性缺陷和“同意”的认知性缺陷。在现行法律框架中,根据“告知—同意”原则的价值基础,采取两分法将信息处理行为分为涉人格尊严的行为和无涉人格尊严的行为,以此作为“告知”与“同意”不同适用程度要求的标准,在解释论的立场为破解“告知—同意”原则的适用困境寻求出路。

委托处理个人信息侵权责任的认定困境与纾解路径

数字经济时代,委托处理个人信息有助于促进个人信息的合理利用与流动共享,进而实现信息的经济价值。然而,委托处理个人信息侵权责任认定在现有立法上存在诸多障碍,尤其体现在侵权责任承担形式尚存争议、受托人法律地位存疑以及责任主体识别困难等。形塑委托处理个人信息的责任认定范式,应首先坚持信息处理主体二元角色转型逻辑,其次,细化适用于不同受托人角色定位的委托处理信息归责原则,最后,构建责任主体识别的优化路径。

高校图书馆读者个人信息处理的困境及其应对机制

大数据技术下,高校图书馆读者应获取其个人信息被处理所生成的知识,从而满足人格发展需求。但缘于图书馆关怀读者人格与处理者利用信息资源的价值冲突,需求未充分满足,处理也受阻。针对这一困境,我国宜调整《个人信息保护法(草案)》衡量取舍冲突价值的策略,按照激励相容原理构造机制,鼓励处理者与读者通过彼此交互实现后者需求,进而提高读者对信息处理的认同度并调和价值冲突。研究发现,激励相容机制下,立法者按照个人信息与知识在促进读者人格发展中的不同作用,在它们之上分别为读者与处理者配置权利;读者与处理者将权利交叉许可给对方,从而兼顾彼此人格发展及信息利用需求;交互中处理者应评估读者需求并据此优化知识生成权限及知识供给效果。

论个人信息处理的必要原则

针对《民法典》尚未详细界定现实,应明确将个人信息处理限于达到目的所需最低范围之内的必要原则作为个人信息处理者的法定义务。必要原则贯彻了比例原则的理念,有利于在个人信息保护和利用中取得平衡,弥补传统告知同意规则的不足。必要原则的判断标准由目的特定性、密切关联性、最小处理性和期限受限性构成。

个人信息处理:重新审视对同意原则的适用

在我国当前的个人数据保护立法框架下,同意原则是个人数据处理的首要合法性基础,其他合法性基础被设置为“同意的例外”。但随着数据领域的快速发展,同意作为个人信息处理的必要前提出现了越来越多的问题和局限。本文将基于比较法的角度,研究中国香港、菲律宾、欧盟、美国加州这几个司法辖区的个人信息保护立法中对同意原则的适用情况,探究同意与个人信息处理行为之间的逻辑关系,并与我国个人信息保护立法中的相关立法进行比较,研究同意原则应当被如何适用,才能有利于我国个人信息治理体系的有效性和稳定性。

读者在线服务协议中个人信息保护条款的意义与内容研究

大数据环境在推动数字化阅读发展的同时,也引发了读者个人信息保护的问题。读者在线服务协议中的个人信息保护条款不仅有利于保护读者的合法权益,而且有利于保护图书馆的合法权益和数字化阅读的良性发展。个人信息保护条款在制订过程中应秉持依法原则、平衡原则、同意原则与公开原则,根据《中华人民共和国公共图书馆法》和相关立法条款,重点规定读者个人信息的范围,读者个人信息的收集、提供与利用过程,以及读者对其个人信息享有的权利。

个人信息处理同意原则存废研究

个人信息保护在当下已经成为一种趋势,在个人信息处理前取得信息主体的同意是保护个人信息的一个重要手段,但该种同意原则正面临着很大的困境。同意的形式化使一部分学者对其作用产生了质疑,认为同意原则不应当成为个人信息保护的基本原则,同时仍有一部分学者坚持同意原则的重要性。同意原则体现了大数据时代法律对个人尊严个自由的尊重,体现了社会发展以人为本的理念,不应被随意废弃,对其进行技术上的完善才是合理之道。在阐述个人信息处理同意原则面临的挑战基础上分析相关走向。

论突发公共卫生事件个人信息处理中知情同意原则的适用——以《个人信息保护法》为中心的考察

《个人信息保护法》第13条对个人信息处理规则予以规定,其将知情同意原则作为个人信息处理的基本原则,同时规定了应对突发公共卫生事件等其他无需信息主体同意即可处理个人信息的合法情形。突发公共卫生事件因其本身具有的紧迫性以及涉及到的重大公共利益,在此期间限制知情同意原则的适用存在必要性与合理性。然而因公共利益的非至上性以及处理个人信息需具有明确目的之限制,《个人信息保护法》并非完全否定知情同意原则在突发公共卫生事件中的适用,而是强调在必需情形下方可限制。为充分保障知情权,处理个人信息时保留知情规则;通过比例原则的检验明确限制知情同意原则时需遵循合理目的标准与最小损害标准。

个人信息自动化处理领域的个人信息保护规则

个人信息自动化处理技术能大量存储个人信息、整合诸多个人信息片断以及给第三人获取个人信息创造便利条件,属于对个人人格和财产具有较高加害危险的领域。因此,有必要在此领域引入以信息禁止原则为出发点的个人信息保护规则:原则上禁止收集、处理和利用个人信息,除非得到信息主体的同意、符合法定事由或者具有其他合法利益;收集个人信息时的目的限制了日后的处理和利用行为。另外,在这个高度危险领域,应当赋予信息主体干预信息处理过程的权利,具体包括:查询权、更正错误信息的权利、删除错误信息的权利等。我国未来的个人信息保护法应当将上述严格的保护规则限定在个人信息自动化处理行为上。

诚信原则在个人信息处理中的价值、内涵与适用

《中华人民共和国个人信息保护法》在个人信息处理中增设了诚信原则,有效应对了个人信息侵权无法穷举的情况,使个人信息处理标准更为严格,进一步保障了处理过程中的个人信息安全。诚信原则以告知同意原则为前提,要求信息处理主体必须诚恳坦白,信守诺言,充分保障信息主体的个人信息权益。个人信息处理者在实践适用时应注意规范公开信息处理过程,明确权利义务和算法透明等内容,并对敏感个人信息作特别规定。

论劳动者个人信息处理的合法性基础

劳动场景有别于一般生活场景,劳资双方在经济地位、技术认知上的非对称性关系所形成的权力势差,极易损害劳动者的个人信息权益。传统告知同意机制在劳动场景中面临着实质要件虚化的困境,劳动者个人信息处理的合法性判定方法逐渐转向"必需"事由这一客观性标准的适用。然而,现行立法模糊的"必需"亦会产生滥用问题,仍难以破解用人单位与劳动者之间的利益冲突。为细化"必需"事由的适用规则,建议采用场景化的分析方法综合考量信息处理活动中的利益与风险,针对用人单位个人信息处理行为的正当性、必要性构建具体的评估测试标准。

个人信息的侵权救济

个人信息是记录于载体之上的具有可识别性的信息。与隐私不同,其上的利益兼具人身与财产属性,应当被界定为一种新型具体人格权。大数据时代背景下,亟待构建适应数字经济的个人信息侵权保护规则。在归责原则上,应以是否采取自动化处理技术为标准,采取过错推定/一般过错二元归责体系;在因果关系上,应沿用传统的因果关系理论;在损害后果上,将损害后果进行“财产性损害”与“非财产性损害”两分,适用不同的损害赔偿计算方法。

侵害个人信息权益损害赔偿的规则与适用——《个人信息保护法》第69条的关键词释评

《个人信息保护法》第69条规定的侵害个人信息权益损害赔偿的规则,是确定个人信息处理者侵害个人信息权益造成损失赔偿责任的准则。准确解释其中的关键词,对于正确适用该规则具有重要意义。"个人信息处理者",确定的是该规则只规范个人信息处理者侵害个人信息权益造成损失的侵权赔偿责任,不包括其他一般义务主体侵害个人信息的侵权责任;"个人信息处理者不能证明自己没有过错",确定的是该种侵权责任适用过错推定原则;"造成的损失"和"获得的利益",确定的是侵害个人信息权益以造成损失的赔偿为侧重点,保护好个人信息权益中的财产利益。确定个人信息处理者侵害个人信息造成精神利益严重损害、其他一般义务主体侵害个人信息的损害赔偿责任,应当适用《民法典》的相关规定。