个人信息权益侵权损害赔偿应然范围探讨:基于数字社会的场景

个人信息权益侵权损害赔偿范围的确定应与数字社会相契合。《中华人民共和国个人信息保护法》第69条规定的个人信息权益侵权损害赔偿范围应包括精神损害,且个人信息权益侵权精神损害赔偿应适度淡化“严重精神损害”的程度要件,降低证明标准。数字社会的个人信息具有显著的财产利益,如个人信息处理者擅自利用个人信息,个人将遭受个人信息财产利益损失,理应获得相应的赔偿。个人信息权益侵权损害往往具有潜伏性、未知性等特征,如个人未来遭受实际损害具有“客观合理可能性”,应将个人为防止未来损害发生所支出的预防费用纳入个人信息权益侵权损害赔偿范围,以契合数字社会中风险规制的需要。

法秩序统一视野下“个人信息”的认定——从侵犯公民个人信息罪切入

个人信息已成为21世纪最有价值的资源之一。非法利用公民个人信息的行为不断涌现,成为当前刑事治理的重点领域。在司法实践中,混用个人信息与相关概念的现象屡屡发生,影响对侵犯公民个人信息罪犯罪构成要件的理解,也关系着刑罚的处罚边界。“个人信息”作为侵犯公民个人信息罪的行为对象,是刑民规范聚合的必然产物。因此,应当尝试在法秩序统一性原理的价值指引下解读“个人信息”概念:在形式上,以《民法典》的相关规定为基础,采取狭义的个人信息认定方式,将个人信息与个人数据、隐私进行明确区分;在实质上,深刻把握侵犯公民个人信息罪的法益内核,个人信息作为本罪的行为对象应当充分体现个人信息自决权的法益本质,从而为实现信息主体的选择权和决定权提供坚实基础。

个人信息可携权所涉之权益冲突与规则适用

《个人信息保护法》第45条规定的个人信息可携权,能加强信息主体对其个人信息的控制,打破数据锁定,鼓励竞争。但个人信息可携权与其他权益的冲突阻碍了可携权的实施,《个人信息保护法》也没有规定个人信息可携权所涉之权益冲突的协调机制。文章论证,个人信息可携权所涉之权益冲突包括两类:一是个人信息可携权与原处理者权益的冲突,二是个人信息可携权与其他主体权益的冲突。对于前者,应允许原处理者分离出涉及自身权益的信息或设置技术保护措施,新处理者不得破坏、避开技术措施,除非其使用符合法律规定的权利例外;原处理者可以请求新处理者对分离信息产生的费用进行合理补偿。对于后者,应参照《民法典》网络侵权条款,规定用户在转移信息前需获取相关权益主体的同意,并对被请求信息所涉权益予以标注;处理者对涉及不同类型权益的信息负有不同层级的审查义务与采取必要措施的义务。

个人基因信息的刑法保护路径研究——兼论侵犯公民个人信息罪所涉的法益

“基因”与“基因信息”是不同概念,前者是指后者的原初物质载体;后者所指应当与个人健康信息、健康生理信息、生物识别信息相区分;个人基因信息在主体、性质及其应用方面的特点,决定了侵犯公民个人信息罪的法益是具有公法属性的个人法益;在适用该罪所规制的侵犯个人基因信息的行为时,应当将部门规章纳入“违反国家有关规定”的范围;对“情节严重”可以从立法与法理解释上进行完善。

侵犯已公开的个人信息行为的刑法认定

处理获取的他人已公开的个人信息行为的刑法认定问题仍存在理论争议。有罪论着重保护信息主体的私域自主权益,认为个人信息的公开并不影响其受刑法保护地位;无罪论主张已公开的个人信息被排除在刑法保护范围之外,因此侵犯已公开的个人信息的处理行为不构成犯罪。本文以信息主体公开个人信息的情景脉络完整性为依据,主张要求处理行为在信息主体预设同意的范围内,否则可能构成侵犯公民个人信息罪。擅自处理已公开的个人信息的行为具有刑事违法性与实质法益侵害性。

论侵犯公民个人信息罪的法益

侵犯公民个人信息罪保护法益的观点分为超个人法益说和个人法益说,超个人法益说混淆了个人信息和个人数据,并且面临着刑法保护正当性的质疑;个人法益说片面、不具体,在论证中陷入将前置法保护法益直接作为刑法保护法益的误区。法益的分歧根源于学者解读刑法时所坚持的价值立场不同。法秩序统一的内核是目的论的统一,刑法作为保障法,应当确保刑法与前置法在价值立场的统一。个人信息保护体系以保护信息自决权为核心,在法秩序目的论统一的立场下,刑法应当保护信息自决权。信息自决权说不仅能为刑法条文所容纳,而且符合个人信息独立保护的发展趋势,能够实现刑法保护的周延因而具备合理性。

论个人信息删除权

我国个人信息保护法第47条在民法典第1037条规定的基础上,对个人信息的删除权作出了细化规定。个人信息删除权在性质上属于个人信息的一项权能,且是人格权请求权的具体体现,该项权利的行使必须满足法律规定和约定的条件。删除权虽然可以适用于搜索引擎,但应当区分不同情形作出必要限制。个人信息保护法所规定的删除权虽然适用范围较为宽泛,但仍然不能等同于域外法中的被遗忘权。在信息主体通过行使删除权保护其个人信息时,既可通过请求和诉讼的方式直接行使该项权利,也可以在个人信息处理者拒绝删除时,依法主张侵权损害赔偿责任。

侵犯公民个人信息罪中“公民个人信息”的法益属性与入罪边界

在我国刑法中"公民个人信息"长期的附属保护模式,加之"刑先民后"的立法现状,使得"公民个人信息"的内涵外延以及法益属性未能得到清晰的界定,不利于侵犯公民个人信息罪的适用和"公民个人信息"的刑法保护。有必要立足于现有的刑法框架和司法解释,对当前"公民个人信息"的规范概念进行系统解读,进而明确"公民个人信息"的法益属性和刑法保护边界。刑法对于"公民个人信息"的保护思路应当是,在确认其人身属性、财产属性和相关法益依附属性的基础上,赋予其新型的权利地位。

数据化时代“公民个人信息”的范围再界定

作为保护公民个人信息不受侵犯的有效途径,传统解释中的侵犯公民个人信息罪已然不能满足数据化时代的基本需求。为有效应对侵犯公民个人信息行为现阶段呈现出的新特点,需要对"公民个人信息"进行教义阐释,重新厘定公民个人信息实质内涵和法益保护重点,进而确定公民个人信息在数据化时代的具体涵义。为了加强个人信息保护并避免适用中的模糊性,应将个人隐私信息、生物识别信息、个人金融信息、个人信用信息等纳入公民个人信息的应然范畴,这不失为化解侵犯公民个人信息罪司法适用困境的有效途径。

法秩序统一性视域下“违反国家有关规定”的应然解释——《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第2条评析

合宪性解释是刑法解释的一种方法,对刑法解释结论的正当性具有最高检验标准的功能。对于刑法第253条之一的"违反国家有关规定",根据文义解释方法,可以得出包括"违反法律、行政法规和部门规章的规定"的解释结论,并且可以通过目的解释方法得到补强。但是,根据合宪性解释,如果采用这一结论,则将导致整体法秩序统一性被破坏,因而应当否定这一结论。

侵害个人信息权的法律责任:法理融贯与立法比较

侵害个人信息权的行为威胁信息人格利益与财产利益的安全,在中国进行统一的个人信息安全法律制度设计中,须跨越部门法律的藩篱,对侵害个人信息权的法律责任进行法理融通,以期形成整体性的"两层次"责任理论体系,同时,对境外立法进行比较分析,以期形成综合性的权利救济体系。

疫情防控中个人信息的刑法保护

我国当前的疫情防控在广泛运用信息技术的同时,也给个人信息的法律保护带来巨大的挑战,必须警惕对疫情风险进行过度控制与预防的问题。信息社会中,围绕个人信息而展开的利益博弈结构,涉及政府、企业与个人的三方关系,个人处于绝对弱势的地位,故有必要强化对个人信息的法律保障。我国法律主要通过包括刑法在内的公法对个人信息进行保护,但现行的法律保护框架存在一些明显的不足,存在需要调整的空间。刑法中有多个罪名来保护公民的个人信息,侵犯公民个人信息罪则作为首要的保障个人权益的罪名而存在。从强化对个体信息权益的保护考虑,对侵犯公民个人信息罪的保护法益宜采个人导向的法益观;对信息权内容的界定,应有助于数据主体对流通环节的个人信息的控制。同时,在理解相关构成要件时,在防止过度犯罪化的同时,需要注意避免刑法保护不足的问题;基于我国的现实情况,适度扩张该罪的处罚范围是合理的选择。

浅析个人信息权的私法救济

在网络化时代的今天,公民的个人信息极易遭到泄露、滥用与贩卖,如何利用法律手段有效预防与制裁侵害个人信息的侵权行为逐渐成为亟待解决的社会热点问题。在将个人信息权纳入到人格权之中的同时,应采用以民事权利保护为基础的私法救济模式。

“公民个人信息”的权利属性与刑法保护思路

"侵犯公民个人信息罪"中的"公民个人信息",在司法实践中被非常狭窄地限制为公民的"身份认证信息"和"可能影响人身、财产安全的信息",由此引发具体法律保护思路的偏差。而一切问题的根源,在于司法解释以过于限缩的态度去解释,立法和司法的出发点存在着严重差异,司法解释上"退十步进半步"的解释思路,导致刑法严重地自我剪切制裁半径。刑法对于"公民个人信息"的保护思路,应当从隐私权保护模式转向以个人信息权为基础的保护模式。

大数据时代“个人信息”的权利变迁与刑法保护的教义学限缩——以“数据财产权”与“信息自决权”的二分为视角

为了适应大数据时代的数据经济和个人权利保护,民法上的发展方向是对个人信息权利属性进行"信息自决权"和"数据财产权"的划分,以"情境"或"场景"为核心的个别化保护方法成为近年来数据保护领域的发展趋势。在刑法教义学维度上,重要的问题不仅在于个人信息的保护法益如何确定,更在于如何根据个人信息的不同权利属性,合理限缩有关罪名的构成要件。对个人信息"信息自决权"的保护,宜立足于"情境脉络完整性理论",对"已公开"个人信息的值得保护性加以判断,重新阐释侵犯公民个人信息罪中"非法获取"行为的教义学含义;对于"知情同意"原则应予弱化,并类比医疗刑法中患者的"知情同意",赋予刑法上构成要件阻却之效力。对个人信息"数据财产权"的保护,在流转环节不适用"知情同意"原则,不能将"未经同意"等同于"违反国家规定"。单纯转让数据财产权不属于侵犯公民个人信息罪中的"出售"或"提供"行为,例外侵犯信息自决权时应认定为"出售"或"提供"行为。

滥用公民个人信息行为的刑法保护路径研究——以个人健康信息为例

刑法应当对滥用公民个人信息的行为进行规制。部门法对个人信息保护不到位与对隐私权的概念理解存在偏差有关,对此需要明确隐私权“保密”的界限,划定刑法保护的限度,使刑法走出对个人信息隐私权“限制转移”的规制逻辑,克服传统时代“源头治理”方式的滞后性。从隐私权的重塑角度入手,确认侵犯公民个人信息罪法益为隐私权,法益属性为个人法益,刑法应将保护重点着眼于对个人信息控制权能的保护,并在此基础上进一步明确刑法对滥用公民个人信息行为的具体规制方式:侵犯公民个人信息罪的适用范围需要扩展至使用阶段,对合法获取、非法滥用行为的责任情节裁量应当比照该罪第1款的规定处罚以及坚持刑法谦抑性原则,对滥用行为入罪进行严格限制。

个人信息权法益确证及其场景化实践规则

个人信息权的语境实质是权利保护与个人信息利用二律背反的逻辑协调问题,是个人权利处分自由以及要求他人(包括国家)给予法益尊重的法律问题。在科学阐释个人信息权作为一项新型独立性权利的法理依据、理论内涵以及客体归属基础上,界定侵犯公民个人信息罪保护法益为个人信息权,明确个人信息权法益自决性立场,理性论证个人信息权一体两面的权利特征及其实践规则。方法论上将个人信息处理进行场景化审视,正确认识知情同意作为个人信息处理的合法性依据;明确相对同意作为权利主体同意的基本形态;强调真实同意作为权利主体的意思表达。原则承载价值,法律规制行为。作为二次规范法的刑法,理应在保护理念、条文结构以及罪名优化等方面给予回应,形成既具有理论逻辑自洽性亦彰显实践功能自足性的刑法结构样态。

流通知情权与侵犯公民个人信息罪的法益及其刑事保护边界

侵犯公民个人信息的犯罪行为持续发生,而刑法所保护的法益在理论上尚未明确,导致刑事保护的界限模糊、教义规则明确性不足。现有侵犯公民个人信息罪的法益研究表明,以“侵犯”为经验基础与条文不符,在方法论上存在偏差,无法实现构成要件的解释目的。按照刑事不法的构成要件符合性和违法性阶层思维,应先明确形式法益,再利用实质法益方法进行遴选。从法条出发,明确“流通”的经验基础,结合文义解释和自然法方法,可得出信息流通权这一形式法益;再以个人信息保护法为背景作必要性遴选,可知所保护的法益为流通知情权。运用自然法方法检验证明侵犯公民个人信息罪系自然犯,而“违反国家有关规定”只是提示性的规定。必要性方法否定滥用行为是刑事规制的必要,而限制解释“获取”“提供”等行为要件为依法打击侵犯个人信息的新型犯罪行为提供个案适用空间。

个人信息权刑事保护革新与优化

个人信息的重要性在大数据时代愈益凸显,个人信息具有的人身属性和财产价值正频繁遭受不法侵害。现行个人信息保护刑事立法以隐私权为中心,存在着策略不妥、保护滞后和防御消极等弊端。面对频发的侵害个人信息权问题,以风险社会理论为基本立场,确立个人信息权在个人信息刑事保护立法中的地位,转变立法策略和追诉程序,优化罪名设置与罪状规定,以期实现个人信息保护法律效果与社会效果的有机统一。

人工智能时代隐私权保护问题研究

自进入21世纪以来,大数据技术的发展与广泛应用,使得人工智能逐渐深入到我们生活的各个方面。人工智能在给人类社会带来历史性变革的同时,也对人类一项极为重要的基本权利——隐私权,带来了前所未有的挑战。以数据和算法为核心的人工智能需要大量数据的支持,在缺乏相关法律的跟进和规范标准之下,人工智能的发展埋藏着巨大的隐私权危机,需要各方作出努力共同应对人工智能时代给人类社会带来的挑战。