大数据时代隐私权的刑法保护模式重构

大数据促进了生活的便捷,带动了新兴行业的高速发展,但超出合理边界的数据滥用行为,也对公民的隐私安全带来了现实威胁。伴随大数据时代的纵深发展,个人隐私的保护从传统个人本位向社会本位发生转变,隐私权的法益内涵在大数据时代应当进行重新审视。随着信息保护的日渐重视,隐私权的价值应与个人信息权一样受到同等重视,刑法应当为大数据时代隐私权的保护开辟新路径,采取直接保护与间接保护并行的双轨制保护模式,重构个人信息的刑法定义,引入“弱可识别性+隐私性”标准,同时继续加强针对隐私权犯罪的积极预防,通过刑法调整来应对当前公民隐私权被侵害的现实。

深度合成技术处理个人信息“合理范围”界定路径研究

个人信息安全是我国信息法治体系的核心。新一代深度合成技术采用无监督训练、多途径收集和自主式生成的研发逻辑处理个人信息。技术革新为社会生活带来便利的同时,也存在内部身份失窃、交互数据泄露以及制造、传播虚假个人信息等法律风险。深度合成技术处理个人信息亟待明确个人信息的合理范围。本文探讨“合理范围”的界定路径,即通过进行主体资格审查,以开放状态分类处理个人信息,再结合公开目的与处理方式展开实质审查,借助比例原则实现信息利用和信息保护的平衡。

个人信息侵权中过错的认定及对侵权责任的影响

过错对判定个人信息侵权责任成立与明确损害赔偿金额具有重要意义。就归责原则而言,《个人信息保护法》与《民法典》体系衔接不畅,引发了个人信息处理者与非个人信息处理者适用过错推定责任抑或过错责任的法律适用难题。就过错程度而言,非法收集、使用、获取、买卖、公开、泄露个人信息等单纯侵害个人信息权益的行为,行为人主观上多为故意,过失侵权多发生于网络信息侵权及信息公开侵权;将个人信息用于刑事犯罪、商业营销及人格侵权等以个人信息为媒介侵害其他民事权益的行为,上游个人信息侵权人对下游损害承担责任以故意为要件,但上下游信息处理者之间存在合同勾连关系时,即便上游个人信息侵权人仅为过失,也需对下游损害承担相应责任。

人类遗传资源安全的刑法全面性保护

为贯彻落实总体国家安全观,并回应人类遗传资源安全管理的规范发展要求,《刑法修正案(十一)》专门增设第三百三十四条之一,但却仍不足以全面保障人类遗传资源安全。究其原因,一是未规定单位犯罪,二是未全面规制非法提供和买卖人类遗传资源的行为,三是未同等保护人类遗传资源材料和人类遗传资源信息。在总体国家安全观的背景下,涉及人类遗传资源的前置法规制体系日趋完善。刑法全面保护人类遗传资源安全的关键,在于填补非法采集人类遗传资源、走私人类遗传资源材料罪的规范漏洞,合理解释关联罪名则是当下最优解。具体而言,把人类遗传资源信息解释为公民个人信息中的生物识别信息,并将侵犯人类遗传资源安全的行为解释为出售、提供或以其他方法非法获取公民个人信息,从而借助侵犯公民个人信息罪,全面评价自然人或者单位实施的非法采集、非法提供、买卖人类遗传资源材料、人类遗传资源信息的行为。

智慧养老的侵权风险与规制革新

新一轮科技革命正以空前力量改变着传统生产生活方式。相较于传统养老,智慧养老依托大数据、人工智能等技术,能够根据老年人的需求实时、快捷地进行服务供给。处于数字弱势地位的老年群体具有风险意识薄弱、心理脆弱、生理脆弱的特点,导致其个人信息容易被泄露,个人隐私权保护受到冲击,智能养老产品侵害权益的现象也时有发生。智慧养老所产生的侵权风险呈现多变性、隐匿性与不可预测性,现有法律规制面临严重适用困境。为促进智慧养老法治化,需重塑智慧养老法律规制的价值抉择,明确智慧养老信息收集、使用的界限,设置大数据时代隐私权保护举证规则,完善智能养老产品责任司法适用标准。

数据法益的阶层式还原路径与刑法适用

在既有刑事立法框架下,建构完整的数据法益保护体系首先需要将抽象的数据法益进行还原。耦合式法益还原路径以主体为导向进行数据法益的分配,容易使刑法陷入数据确权的难题之中,且无法回答数据法益与信息法益保护之间的关系。应以阶层式路径还原刑法中的数据法益,即数据载体法益、数据本体法益、信息法益。刑法对数据本体法益的保护实乃对信息法益的预防性保护,当行为人采取侵入性手段获取本就应当被公开的数据时,不必然构成非法获取计算机信息系统数据罪。刑法应当严密信息法益犯罪的法网,适当扩大针对信息法益犯罪罪名的适用。

侵犯公民个人信息罪中敏感个人信息的特殊保护研究

大数据时代,敏感个人信息与公民人身、财产安全直接相关且易受侵犯,故需作特殊保护。近年来,侵犯公民个人信息罪中敏感个人信息特殊保护的规范,经历了从无到有、从有到优、从粗到细的过程,并由此形成了比较完善的敏感个人信息分类保护规则、从严保护规则、弹性保护规则。侵犯公民个人信息罪中敏感个人信息的范围和分类,可基于刑法保护法益的独立性原则,作适当有别于《个人信息保护法》的评判。侵犯公民个人信息罪中高度敏感个人信息与低度敏感个人信息的区别保护模式应继续坚持,高度敏感个人信息和低度敏感个人信息的既有数量标准不宜调整,高度敏感个人信息的既有种类不宜增加,高度敏感个人信息的司法认定应坚持实质标准从严慎重判断。《个人信息保护法》施行后,应在坚持刑法保护敏感个人信息的模式不变、力度不减的基础上,着力通过《个人信息保护法》等前置法的严格实施,增强敏感个人信息法律保护的整体效能。

已公开个人信息的刑法保护界限

未经同意处理已公开个人信息是否构成犯罪在司法实务中存在争议。既有理论中,二次授权说违反法秩序统一原则,也过度限制了个人信息的合理运用;信息开放程度说则使知情同意的判断沦为形式。基于弱同意说,若未经同意的信息处理行为符合自愿公开个人信息的用途或情境,便是在合理范围内处理个人信息,因而不够成犯罪;即便不符合,只要信息主体未表示明确拒绝且未损害其重大利益,便不具有可罚的违法性因而不构成犯罪。由于依法必须公开的个人信息涉及公共利益,只要信息处理行为不以违法犯罪为目的便不应构成犯罪。对已公开个人信息的刑法保护需要侧重于打击非法使用个人信息的行为,为此应将其犯罪化。

侵犯公民个人信息罪的法益界定及其路径

在法益二元论视域下,侵犯公民个人信息罪的保护法益并不符合集体法益的内涵特征,集体法益说存在一定的逻辑缺陷。侵犯公民个人信息罪的保护法益应当是基于公法法益观的个人法益——个人信息安全,兼顾个人信息的多元价值,回应网络社会保障公民个人信息合理利用之诉求。

被害人同意视角下侵犯公民个人信息罪的适用限度

被害人同意理论强调了被害人在信息流通中的重要作用,并且能够消解个人信息保护与利用之间的对立,维持刑法的最后法地位,因此需要在侵犯公民个人信息罪中加以适用。但实务中并未完全将被害人同意理论进行贯彻,在被害人同意的具体内容、明确程度和法律效果等方面存在较大分歧。被害人同意的主体应当具有风险识别能力是被害人意思自决的当然前提。被害人同意的内容应当是行为人的危害行为而非具体结果,并且弱同意模式应当在信息流通过程中得到承认,以维护个人信息的高效利用。因此在侵犯公民个人信息罪中具体适用被害人同意理论时,应当否定信息弱势群体的单独同意以加强法律保护。在同意内容方面,被害人能够预见信息用途的同意即可作为出罪事由。在同意形式方面,行为人在被害人公开范围内获取利用其个人信息的行为,不构成侵犯公民个人信息罪。

人脸识别信息侵害行为的刑法规制

人脸识别信息具有独特性、综合性、易采集性的特征,属于刑事立法规定中的公民个人信息。司法实践中,将人脸识别信息认定为公民个人信息虽已成为司法共识,但也存在人脸识别信息定位不明确、入罪标准不统一、规制行为范围狭窄的问题,应当从明确人脸识别信息属于公民个人信息、利用兜底条款确定入罪标准和扩充规制的行为类型等方面予以完善。

网络新闻信息平台的合理核实义务研究——从证明真实到证明尽到义务

合理核实义务是新闻信息平台承担的一项基本注意义务。在现有过错规定的基础上,《中华人民共和国民法典》在实定法层面创制了合理核实义务的制度,将以往的业务规范、行政要求和司法意见上升为法定义务,在基础法框架内为新闻信息平台的义务履行建立了清晰的规则。对合理核实义务认定标准,民法典的“六要素说”已成为明确的法定标准和适用依据,而是否获得经济利益是适用法律的非必要参考。虽然各类新闻平台承担的核实义务存有差异,但共同的趋向是许多法院已经从要求证明内容真实转向证明尽到合理核实义务。

科技定位技术滥用行为的刑法规制

科技定位技术滥用行为的刑法规制牵涉到的理论与实践问题,具有层次性、交叉性等特点。科技发展及数据红利导致对个人位置信息合法获取却滥用的行为难以通过技术规制,因此法律需要发挥效用。而对数据时代隐私权概念理解的滞后性导致学界在创设个人信息权之新权利的同时只能进行原则性保护。这就要求刑法走出对个人信息隐私权“限制转移”的规制逻辑,按照权利类型公平保护公民个人信息在各阶段的隐私权。侵犯公民个人信息罪的法益是个人隐私权,个人位置信息可描摹个人生活样貌,一旦滥用对隐私权侵害极大,从刑法法益评价及平衡刑法稳定性与实用性考虑,都应当对滥用个人位置信息行为予以刑法规制,而具体规制方式应以刑法谦抑性原则为指导。

由事后惩治向事前合规:侵犯公民个人信息罪的治理模式转型

随着互联网大数据时代的快速发展,个人信息保护问题已然成为人民群众利益保护的核心议题。面对愈演愈烈的个人信息相关违法犯罪案件的激增态势,我国刑事立法不断地使制裁范围更加严密,司法实践也在贯彻从严惩治政策,试图通过纯粹的刑事制裁机制来实现对侵犯公民个人信息犯罪的有效治理。但是,当前我国治理侵犯公民个人信息犯罪存在过分依赖国家公权保护、强化刑法事后惩治性的威慑预防、偏颇定位个人信息保护法益等问题,这导致了事前合规式风险防控机制缺失,不利于个人信息协同保护机制的建立与完善。刑事合规通过前置侵犯公民个人信息罪的风险控制基点、构建多元化防控机制、提升企业治理的激励性方式,将合规的事前规划式激励预防与刑法的事后惩治性威慑预防融为一体,有利于实现侵犯公民个人信息罪治理模式的转型。在理论层面,合规计划融入侵犯公民个人信息罪治理符合可能、必要且可期待等标准。在实体法层面,应增设侵犯公民个人信息罪的前置性免责程序条款,发挥行政处罚程序的出罪功能,同时将单位认罪认罚作为量刑从宽情节,赋予刑事合规影响侵犯公民个人信息罪构罪和量刑的双重功能。在程序法层面,应严格限制涉罪企业合规的适用条件,完善单位犯罪附条件不起诉制度,肯定企业刑事合规的缓诉和免诉功能。

《中华人民共和国民法典》体系下人体试验侵权损害赔偿路径研究

人体试验侵权不能完全等同于医疗损害侵权。在《中华人民共和国民法典》侵权责任编的解释论视角下,探寻人体试验侵权损害赔偿的路径有两种:一是治疗性人体试验侵权可以按照医疗损害侵权处理;二是非治疗性人体试验侵权只能依据一般侵权条款处理。然而,二者涉及的法律主体类似,按照不同的请求权基础进行规制,是否具有正当性还需进一步论证。此外,人体试验具有常规诊疗所不具备的高风险性、更高的知情同意标准以及更难的因果关系认定等特征,使人体试验侵权案件具有一定的特殊性和独立性,《中华人民共和国民法典》现有规定难以对这一问题进行合理解释。为方便人体试验受试者寻求侵权法路径保护自身的合法权益,可以考虑针对人体试验侵权案件设置独立的请求权规范基础,或者在司法解释中明确其与医疗损害责任的异同。

我国已公开个人数据刑法保护模式二元标准之提倡

在Web3.0时代,数据作为生产要素逐渐成为数字经济的直接驱动力,而对已公开个人数据的保护自然成为刑法研究不可回避的重要议题。我国刑法立法上的区分性保护使得行为本身的刑法定性跨越两个犯罪圈,人为地制造出法律适用障碍。侵犯公民个人信息罪在适用上存在口袋化趋势、司法解释碎片化严重、主观目的无法清晰判定等问题。当前的刑法保护模式分为两类即客观技术保护模式和主观目的保护模式。在我国,对已公开个人数据的刑法保护应当构建以客观公开标准为主、合目的性标准为辅的二元标准。客观公开标准强调公开且具有可访问性作为不法性判定的依据,合目的性标准主张数据处理行为应当符合具体数据犯罪立法的目的和社会相当性理论;前者重点在于入罪判定,后者重点在于罪数与量刑的评估。

处理已公开个人信息的入罪边界——基于对信息可访问程度的类型化考察

已公开个人信息仍然蕴含自然人的人格权益,应受法律保护,但个人信息一经合法公开就自动具有了社会属性,需要考虑信息的流动与利用。既有的合目的性考察与“二次同意”方案均有明显缺憾,故应当从客观标准入手进行类型化考察。因此,可将已公开个人信息的可访问程度作为尺度,由强到弱依次划分为:具备一般可访问性、具备局部可访问性和仅具备特殊可访问性。在此基础上,可以划定出相对客观且稳定的入罪边界,即处理具备一般可访问性的已公开个人信息不得侵犯人格权或用于犯罪活动;处理具备局部可访问性的已公开个人信息不得明显升高信息风险;处理仅具备特殊可访问性的已公开个人信息则需要获得权利人的二次同意。

爬虫技术下非法获取计算机信息系统数据罪与侵犯著作权罪的关系

【目的】研究非法获取计算机信息系统数据罪与侵犯著作权犯罪的区别与联系,在实现数据法益刑法保护的同时,让其与传统罪名良好衔接。【方法】通过对爬虫技术下非法获取计算机信息系统数据罪、侵犯著作权犯罪以及涉及两罪的相关案例进行实证研究,分析两罪保护的法益与其实行行为的差异,进而研究两罪关系。【结果】在司法实践中非法获取计算机信息系统数据罪与侵犯著作权罪不是非A即B的关系。【结论】将数据犯罪与传统犯罪区分是必然的,但不应将数据犯罪与传统犯罪相排斥,非法获取计算机信息系统数据罪与侵犯著作权罪可以数罪并罚。

侵犯公民个人信息罪的法定犯意涵

个人信息刑法保护模式的选择离不开对侵犯公民个人信息罪本质属性的认识,目前多数学者将本罪理解为自然犯,但这种认识存在诸多误区。根据学界对自然犯/法定犯区分具有共识的三个标准:首先,从古代国家到现代国家、从现代社会到信息社会,个人信息在社会变迁中经历了“古今之变”,只有在信息社会中才得以获得法律的全面保护;其次,侵犯公民个人信息罪的保护法益兼具个人法益和超个人法益的双重面向,不应忽视个人信息作为社会交往之构成要素的集体法益维度;最后,侵犯公民个人信息罪中“违反国家有关规定”是法定犯的前置法律法规,其内涵是国家对个人信息处理者施加的合规义务。因此,侵犯公民个人信息罪是法定犯而非自然犯。以此为起点,开展以侵犯公民个人信息罪为代表的法定犯基础理论研究,是未来值得开拓的重要方向。

个人信息权益侵权损害赔偿应然范围探讨:基于数字社会的场景

个人信息权益侵权损害赔偿范围的确定应与数字社会相契合。《中华人民共和国个人信息保护法》第69条规定的个人信息权益侵权损害赔偿范围应包括精神损害,且个人信息权益侵权精神损害赔偿应适度淡化“严重精神损害”的程度要件,降低证明标准。数字社会的个人信息具有显著的财产利益,如个人信息处理者擅自利用个人信息,个人将遭受个人信息财产利益损失,理应获得相应的赔偿。个人信息权益侵权损害往往具有潜伏性、未知性等特征,如个人未来遭受实际损害具有“客观合理可能性”,应将个人为防止未来损害发生所支出的预防费用纳入个人信息权益侵权损害赔偿范围,以契合数字社会中风险规制的需要。