大数据时代个人信息“控制—利用”二元立法路径重构

大数据时代的个人信息立法应平衡个人信息控制保护与促进利用的关系。当前国内外个人信息立法的既有路径未协调好这一关系,出现知情同意机制失灵、个人信息出售机制乱象、匿名化制度遭遇技术壁垒的困局。破除既有路径困境的关键是从应然目标、理论基础和规则重建三个方面,对个人信息“控制—利用”二元立法路径进行体系化重构。二元路径的目标是通过划清私人领域与公共领域的界限,以平衡个人信息控制保护与利用流通的关系;理论基础是承认个人信息的人格与财产双层、个人与公共的双重价值属性;通过构建个人信息直接识别、个人信息利用促进、利用规制和信息财产权属制度,重构个人信息控制保护与促进流通利用的规则体系。

日本数据安全治理制度述评及其启示

[目的/意义]在当今大数据时代,各国都在加紧通过立法规制数据安全问题。从20世纪末期,日本就已开启数据安全保障规则体系建构进程,且其数据安全治理架构经过数十年的发展已趋于完善,对我国的数据安全治理具有参考价值。[方法/过程]从顶层设计、监管机制、国际合作3个方面出发,梳理日本数据安全治理制度,分析日本数据安全治理制度的特色,并阐释日本数据安全治理制度现状。[结果/结论]借鉴日本经验,提出我国数据安全治理要采用非赋权的数据保护模式、完善匿名化处理机制、建立官民合作监管机制、加强国际话语权等建议。

网络平台信息信义义务的法理阐释及价值展开

用户与网络平台之间的信息关系具有“依赖性”和“脆弱性”,平台应该对处于弱势地位的用户承担信息信义义务。用户信息利益优先的信义标准能够与平台商业模式兼容,在信义法理层面不存在障碍。网络平台承担信息信义义务可以弥补传统个人信息控制论在数字经济时代的个人控制“不能”或控制“过度”之缺陷,更有利于实现保护个人权益并促进信息利用的二元目标。我国现行个人信息保护制度本质上仍属于个人信息控制论的法律表达,对信息关系的调整较为僵化,对此可基于网络平台信息信义义务的规范进路予以优化,构建以增强用户平台信任为目标的动态信息保护机制。

以场景理论为基础的告知-同意规则完善研究

告知-同意规则是保护个人信息的重要制度。尽管该制度运行多年,但用户在实践中仍未实质参与其中。通过考察司法案例、信息处理平台以及信息主体对告知-同意规则的认识这三个视角,厘清告知-同意规则在实践运行中存在的不足,从而分析该规则的完善路径。一方面,在基本框架下引入场景理论,通过细化用户删除、撤回对信息的授权同意以明确个人信息的动态保护;另一方面,引入第三方中立机构对隐私条款进行专业性评估,以从专业角度给予用户利益权衡。

论《个人信息保护法》下我国档案利用工作的优化调整

2021年《中华人民共和国个人信息保护法》的正式施行引起了关于档案利用中有关个人信息保护的新思考。当前面对档案利用工作中仍有个人信息保护范围不明确,保护意识淡薄,档案信息服务不够规范,个人信息保护技术不成熟等问题的存在。档案部门通过将个人信息保护纳入档案领域法规政策,多维度提高个人信息保护意识,完善数据安全保护技术,完善救济的渠道和方式等进行优化调整,以便更好地提供档案信息服务。

论数字时代个人信息的“被遗忘权”

大数据时代的到来使得"被遗忘权"的立法价值日益凸显,国外对"被遗忘权"已进行了积极探索。"被遗忘权"行使的目的是使数据主体的相关数据变得不可搜索或难以搜索,进而达到数据"被遗忘"的效果,以确保个人生活安宁。应当通过立法界定"被遗忘权"的行使主体、客体及权利内容,明确"被遗忘权"的权利边界与行使方式,在公民人格利益保护与促进数据资源开发及利用两者之间寻求最佳平衡。

论个人信息的界定、分类及流通体系——兼评《民法总则》第111条

《民法总则》第111条规定了个人信息,但是如何进行法律保护并没有具体展开。“可识别性”界定个人信息更主要是从宏观上厘清个人信息,很难从微观上具体甄别出个人信息。因此根据个人信息不同阶段评估其存在的风险来界定个人信息具有一定的合理性,只有存在主观伤害风险或者客观伤害风险的个人信息才是法律上界定的个人信息。信息主体具有多元性,保护也不限于排他性的方式。数据与信息既有联系又有区别,个人信息与隐私存在交叉也存在不同,数据、个人信息、隐私的客体分别体现为利益、法定利益、权利。敏感信息与非敏感信息的区分是典型对极思考的方法,能穷尽所有个人信息,但是判断“敏感性”的标准却不够具体。因为是否具有敏感性本身还要再进一步判断,该种判断主要是价值判断,缺乏明确的衡量依据。清晰的分类可以直观地发现个人信息流通的路径,以个人信息形成为标准的志愿者信息、政府强制采集的个人信息、测量信息、推测信息更易于实现该目的。对个人信息的保护不能只强调事后救济,要防止个人信息不当利用的重点还应规范个人信息的流通。

GDPR的制度缺陷及其对我国《个人信息保护法》实施的警示

《统一数据保护条例》(GDPR)是披着基本权利保护法外衣的经济立法,服务于欧洲统一数据市场需要。为实现这一目标,GDPR采取提高保护水平从而增强民众对个人信息流通利用信心的路径。然而,GDPR不仅背离其制度设计初衷,而且宽泛个人信息,模糊个人识别,泛在个人信息处理,正使其实施陷入无解的困境。缓解我国《个人信息保护法》与数字经济发展冲突的出路在于:第一,清晰认知技术变迁对于个人信息保护的挑战;第二,深刻把握个人信息的社会资源属性;第三,准确理解个人信息及处理等核心概念;第四,明确主张去标识化信息可以利用规则。

个人信息财产化及其法律规制研究

从事实角度而言,个人信息之财产化发展已经成为信息社会中的一种不可逆转的趋势;从理论角度而言,个人信息之财产化发展亦具备相当坚实的法理基础。个人信息财产化之发展与传统民法人格利益之维护并不矛盾。通过恰当的法律制度设计,并赋予信息主体信息自决权、信息再转让限制权、撤销权、变更权以及匿名权,可以较好地平衡个人信息人格保护与个人信息自由流通的冲突。

论个人信息保护与利用之平衡关系

本文从对个人信息相关概念及其相互关系的辨析入手,分析在我国进行个人信息保护立法的重要性以及对个人信息合理利用的必要性,认为我国的个人信息保护立法要平衡个人信息的保护和利用之间的关系。

大数据时代下个人信息面临的新风险与制度应对

大数据作为一种现代化的信息处理方式,以广泛内容的数据信息作为原料,以对这些数据信息的分析和预测作为手段,正愈发深入地改变着整个社会的面貌,并对传统的个人信息保护制度产生冲击:它对一切数据信息提出经济利用的需求,并以"预测"的方式勾画出对象的各方面信息,也规避了传统的"侵犯个人信息"行为和基于此而构建的法律约束框架。此时,技术的进步会使得传统个人信息乃至个人隐私相关信息的定义与范畴不再清晰,并给相关权利的行使带来更大的障碍。对此,应重新审视个人信息保护制度,研判新环境下个人信息所面临的新风险,在尽量满足大数据应用的效率需求的同时,从人身安全和生活安宁的角度考察个人信息保护在大数据应用中的重要意义,探寻新的时代背景下实现数据信息利用和个人信息保护时所应恪守的合理边界。

个人信息保护立法理念探究——在信息保护与信息流通之间

个人信息保护法应当是对个人信息进行合理利用与恰当保护相结合的法律。欧洲政府和美国政府采取了不同的路径来保护个人信息。欧洲更为重视从权利角度出发保护个人信息,美国则更注重从信息流通的角度出发促进个人信息的自由流通。个人信息保护的“权利保护论”与“自由流通论”,以及因为对上述理论的解释与侧重不同而产生的欧洲的国家立法主导与美国的企业自律的个人信息保护模式,均有其合理与可取的方面。我国的个人信息保护法在立法理念上应当兼顾个人信息的“权利保护”与个人信息的“自由流通”,以达到二者之间的和谐与平衡。

基于全信息的“点击流”信息资源开发利用研究

首先介绍了全信息的含义,在此基础上从本体论层次和认识论层次分析了“点击流”信息的内涵,最后讨论了基于全信息的“点击流”信息资源开发利用的原理与方法,并以数字图书馆个性化为例进行了分析。

网络环境下个人信息再利用的风险及立法应对——主要以信息安全维护为视角

在网络因素作用下,个人信息的效用可通过再利用活动得到分级与多层发挥,但该活动也给信息安全带来了风险。文章结合我国特有的网络治理模式并借鉴美欧实践经验,立足于分处前端与后端控制地位的再利用者对个人信息双向共享的实情,以信息安全的基本要素——完整性、可靠性、保密性、可控性等为起点衍生出若干规则。我国应通过立法以这些规则统一约束前后端再利用者,从而促使其采取合理技术措施降低风险;同时为满足信息安全的可用性要求,限制部分规则。在限制时,立法者宜考虑两端再利用者在相关控制系统中所处地位的不对等性,作区分式的安排。

大数据中个人信息开发利用法律问题研究

个人信息法律属性在我国尚无法律上的明确定性,信息主体和信息控制人权利保护缺少直接法律依据。从交易实践和有关政策法律文件看,个人信息具有人格权和财产权双重属性。信息主体对个人信息享有信息自决权、信息财产权和救济请求权。信息控制人对其掌控的个人信息享有控制权、使用权、收益权和处分权。为平衡信息主体和信息控制人的合法权益,二者在行使权利过程中都要受到一定限制。文章在介绍大数据背景下个人信息定义与分类基础上,对个人信息法律属性、个人信息原权利人和控制人权利与限制进行讨论。

擅自处理公开的个人信息行为的刑法认定

擅自处理公开的个人信息行为的定性问题在刑法理论与司法实务中存在重大分歧。本文认为,该行为在刑事违法性层面符合侵犯公民个人信息罪的构成要件,在法益侵害性层面严重危及信息主体的个人信息自决权,符合侵犯公民个人信息罪构成要件。个人信息的安全保障与流通价值均不可偏废,公开的个人信息的流通利用价值尤其值得关注。实践中应当尽量减少对擅自处理公开的个人信息行为的刑事处置,限缩对侵犯公民个人信息罪的适用范围。具体路径为从严认定侵犯公民个人信息罪中的“违反国家有关规定”,将未履行告知义务的处理行为排除在犯罪圈外,严格限定“个人权益”和“重大影响”的范围。

论网络空间中个人信息的刑法保护

面对民事法律、行政法律保护力度的不足,刑法对网络空间中个人信息的保护作用日益受到立法者重视。合理设置个人信息保护之刑法规范的前提是准确界定个人信息。从实质内涵上分析,个人信息应具有真实性、可识别性、载体性和价值性;从司法认定的角度看,个人信息还应具备关联性和目的性。刑法对侵犯个人信息行为的惩治体现了对公共安全的保护,因而侵犯公民个人信息罪的法益具有公共安全性。为强化网络空间中个人信息的刑法保护,应当完善侵犯公民个人信息罪的刑法规定,在客观方面增加非法利用行为、明确主管人员的替代者责任以及网络信息控制者的不作为责任等,并且对影响定罪量刑的因素进行调整,真正实现量刑规范化。

大数据时代我国个人信息保护的理念转变与制度构建

大数据技术的发展对以理性人假设为基础、以个人自决权为核心的现行个人信息法律保护框架提出了挑战,现行信息法律保护已陷入利益平衡困境、信息决策困境和系统性困境。归根结底,这些困境的出现源于现行个人信息法律保护框架采取的静态化个人本位保护理念,它与大数据背景下新兴的场景化社会本位保护理念存在错位。在大数据时代,个人信息保护应当从侧重个人本位转向侧重社会本位,从侧重个人利益异向转向公共利益导向,最终实现数字经济的健康发展、人格利益的充分维护。

我国个人信息的保护与合理利用问题研究

个人信息具有重要的社会价值,在信息社会其作用尤为突出。在我国信息化过程中,个人信息受到了严重的侵害和滥用,制定个人信息法保护个人信息的权利是迫在眉睫的事情。因此,对个人信息的界定,确定个人信息的原则、保护内容、客体权利、侵权责任,以及借鉴国内外立法经验就显得尤为必要。保护个人信息的同时,探讨个人信息的合理利用也是我们所面临的新课题,因此,对个人信息的合理利用问题也作了深入探讨。

公共部门信息增值利用中的个人信息保护立法研究

在研究我国现有法律体系中与个人信息保护相关部分,结合公共部门信息增值利用中出现的问题,分析了现有法律体系存在的不足和欠缺。通过比较欧美公共部门信息增值利用中的个人信息保护相关的法律体系,结合我国现有信息化过程中所面临的问题以及立法体系中的特点,提出了建立具有我国特色的个人信息保护法律体系的对策建议。