被遗忘权立法的美国模式及其立法启示——以加州被遗忘权立法为研究背景

“被遗忘权”是大数据时代个人信息删除制度的立法新发展。美国并不赞同欧盟模式的被遗忘权。加利福尼亚州立足美国法制传统构建了一个体现美国利益需求的被遗忘权。加州立法从维护个人发展权意义上建构未成年人的被遗忘权,以数据最小化原则为基础,建构适用于消费者与企业之间数据处理的被遗忘权,赋予个人删除本人发布的个人信息的权利,同时规定了一系列删除信息的例外,较好地协调了被遗忘权与言论自由和信息经济发展的矛盾。加州立法已成为美国个人信息保护立法的典范。未来,美国可能以加州模式为模板构建媲美欧盟被遗忘权的个人信息删除制度。加州对被遗忘权制度的取舍对我国《个人信息保护法》第47条的理解与适用具有启示意义。     

敏感个人信息保护的特殊制度逻辑及其规制策略

敏感个人信息因其对个人的人身和财产安全具有极端重要性,需要特别的法律保护。我国现行立法对敏感个人信息的特别保护存在制度供给不足。《个人信息保护法》虽秉持对一般个人信息和敏感个人信息区别规制的立法思路,但有关敏感个人信息特别保护的规范较为简略。从我国敏感个人信息保护的实践需求及域外立法经验来看,敏感个人信息保护在"知情同意"的适用、法定处理事由的明确、技术治理的实现、损害认定的完善等方面应有区别于一般个人信息保护的特殊制度逻辑。相应地,敏感个人信息保护也应有区别于一般个人信息保护的特殊规制策略。     

数字时代隐私权保护的立法因应

数字技术在为人类生活带来便利、促进数字经济发展和数字服务能力及效率提升的同时,使自然人隐私权面临以保障安全和发展经济为名的潜在威胁、数字伦理缺失等多重消解风险。当下中国形成了以《数据安全法》保障数据安全、以《个人信息保护法》规制个人信息处理活动、以《民法典》保护自然人隐私权的立法模式。但在数字时代,上述立法模式存在对个人信息和隐私界定不明、缺少流动场景下对隐私权社会属性的重视、隐私权法律救济和责任规制缺失、国内外的隐私权保护立法衔接不足等问题。在数字时代,我国对隐私权保护立法的完善,应从法理和适用规则上界分隐私和个人信息,依群体分类保护隐私权,完善私密信息的法律救济规则,健全对重点场景和行业的法律责任追究机制,建立公平公正的数字贸易与隐私权保护国际规则,强化自然人对数字社会治理的参与等。     

大数据时代下个人信息保护现状调研报告

随着信息网络的飞速发展,大数据浪潮汹涌而来。大数据时代为人们获取信息提供了前所未有的便利,也对个人信息的保护带来冲击。[1]在立法层面上,主要表现为个人信息法律保护不健全;在司法层面上,主要表现为举证困难,维权成本过高;在个人层面上,表现为个人信息权益保护意识淡薄等问题。文章主要从立法层面、司法层面、个人层面深入分析个人信息保护现状及存在的问题,并以此为切入点提出个人信息保护完善的建议。     

个人信息权及其欧盟保护

个人信息权是指自然人依法对以数据电文形式存在的可识别的个人信息所享有的支配、控制并排除他人侵害的权利,大体上从属于人格权范畴,与传统人格权相比较又表现出相对的个性特征。目前个人信息侵权形式主要表现包括ISP对个人信息的非法使用和传播、未经授权搜集利用他人信息、专门的网络窥探和调查业务以及公权力机关工作人员及公共服务单位非法出卖泄露个人信息等。由于目前国内个人信息权侵权与保护相关立法相对缺位,因而从欧盟个人信息保护的立法演进开始,介绍欧盟以《资料保护指令》为代表的系统保护经验,从而推动和促进我国相关立法的发展。     

论个人信息保护限制的立法范式与体系逻辑——以应对突发疫情事件为例

对个人信息保护进行适当限制是平衡个人权益与公共利益的必然选择。基于特定的紧急背景在公法中设定个人信息保护限制,虽有助于集中力量驱逐疫情,但往往忽视对作为私权客体性的个人信息对象考察,容易侵犯个人信息法益。当前我国民法典对个人信息保护的限制规定虽符合疫情防控下个人信息保护限制的紧急需求,但缺失对权利限制的一般条款以及合理实施的进一步解释,亟待更精细的规范进行界定。这表明应对重大疫情防控时,我国立法在个人信息保护的合理限制问题时出现了制度缺位。原因在于,无论是公法还是私法都无法独自处理好疫情防控下的个人信息保护限制问题。公、私法二元性质个人信息保护立法框架契合数据治理理论的内在属性,也是风险社会中公私法协力的必然要求。重大疫情背景并不决定个人信息保护限制的二元范式,这是由个人信息的属性本身所决定的。公法和私法分别规定个人信息保护限制规则均具有部分正当性来源,但从法律的实现效果以及比较立法趋势来看,将个人信息保护限制置于一部公私复合的个人信息保护法之中更符合时代发展。文章最后在该立法范式引导下,反思了当前个人信息保护限制立法体系逻辑,并提出了个人信息保护限制立法完善的建议。     

别具一格的英国个人信息立法保护

英国个人信息保护的研究以及法制建设有着良好的传统，其个人信息保护的立法进程别具一格，以隐私立法保护起步，集大成者是一部统一的《数据保护法》。虽然与德围同为欧盟成员闻家，共同接受欧盟数据保护指令的约束，但其个人信息保护法又显然有别于德同的统一立法框架与内容。     

公共卫生突发事件中个人信息权的保护:以新型冠状病毒肺炎疫情为背景

在公共卫生突发事件应对中追踪检测、收集及分析大量的个人健康信息和流动信息是出于社会大多数公众的生命安全之考虑,是实现公共管理手段的体现,可以达到对传染疾病的有效防治目的.但个人信息收集主体不规范的行为可能会导致个人信息泄露之可能,造成相关当事人的利益受损,如何平衡个人信息采集与公共利益保护依旧悬而未决.以公共卫生突发事件中的个人信息利用为全新视角,对个人信息保护制度进行研究,对于破解个人信息保护面临的实践难题具有重要的现实意义.本文分析了突发公共卫生事件下个人信息保护的法律依据,结合我国突发公共卫生事件下个人信息保护豁免的域外实践,指出我国突发公共卫生事件下个人信息保护存在一些困境,如在突发公共卫生事件中,个人信息的保护缺乏专门的立法和事后具体的利用规则.未来我国在突发公共卫生事件中,应加快个人信息保护的专门立法,同时应确立合法性原则、目的限定原则、最小范围原则及保密性原则为内容的公共卫生突发事件个人信息处理原则来进一步规范信息控制主体的行为.     

我国个人信息匿名化的法律标准与规则重塑

大数据时代,匿名化规范既是个人信息保护中风险预防的手段,也是我国数据经济发展中数字流通的法律基础,但匿名化的法律标准在我国法律中还有待明确。欧盟已通过《一般数据保护条例》提出明确的匿名化标准,但该条例基于流程设置的标准适用于欧盟境内尚可,适用于我国或显得过于严苛,有碍数字经济的发展。我国个人信息匿名化法律标准与规则的重塑应当考虑环境、再识别风险,建议进行功能性匿名化。将比例原则应用到我国匿名化法律标准和规则的重塑之中,并将其引入到评估匿名信息接收者的风险等级,有助于降低个人信息被再识别的风险亦有利于匿名化的法律标准制定和规则构建。     

大数据时代个人金融信息的保护与利用

个人金融信息具有多样性、敏感性、精准性、高价值等特征.大数据时代的个人金融信息保护需求对现行法律理论、相关制度与机制以及金融机构的个人信息保护管理能力都带来了挑战.在大数据时代,金融法需要被重新定义,即金融法实际上是包括企业信息和个人信息在内的数据管理、共享与利用之法.在大数据时代,个人金融信息保护法需要转型升级.法律需要明确信息和数据的权属,对个人金融信息实行特别保护,完善事中和事后保护机制,完善保密规则的例外情况.我国应发展数字信誉评分业务,推动数据开放共享.     

论《民法典》个人信息保护规则蕴含的权利——以分析法学的权利理论为视角

在分析法学的权利理论中,权利和义务的关联性原理得到了普遍认可.当然,这种关联性也存在例外.不存在对应权利的义务类型可被归纳为"对世义务".《民法典》第1035条第1款第1项是一个义务性规则,确立了个人信息处理者在通常情况下征得自然人或其监护人同意的义务.该义务具有明确的相对人,不属于"对世义务",应存在对应的权利,即信息主体对同意与否的决定权.《民法典》第1037条更是采用授权性规则的立法表达,赋予了自然人查阅、复制、更正、删除个人信息的权利.可见,我国《民法典》虽然没有明确使用"个人信息权"一词,但在个人信息保护规则中已经存在具体的权利内容.《民法典》分别使用义务性规则和授权性规则的立法表达,有其合理性和重要意义.我国正在制定中的个人信息保护法拟设专章规定"个人在个人信息处理活动中的权利",其中明示的权利有着《民法典》上的渊源,在性质上具有私权属性.     

个人信息网络侵权归责原则的比较研究——兼评我国侵权法相关规定

在个人信息保护法尚未出台之前,我国侵权法确立的网络侵权规则适用于个人信息的网络侵权,能较好地保护个人信息在网络中的安全。但是,比较考察国内外相关立法,考虑个人信息本身及网络侵权的特殊性,对其民事救济,立法应着眼于责任形式和侵权主体的不同而确立过错责任、过错推定责任与无过错责任相结合的多元归责原则,在立体式的综合运用中全面、有力地保护其网络安全。     

风险预防原则在个人信息保护中的适用与展开

随着数字风险社会的兴起,个人所处的数字环境日趋复杂。大数据、物联网、人工智能等数字技术的快速发展与广泛应用,使个人信息保护风险存在诸多不确定性和不可逆性,这推动着个人信息保护基本原则的更新。风险预防原则不仅回应了数字风险社会背景下个人信息保护的现实需求,而且是实现个人信息国家保护义务的内在要求。为了更好地推动风险预防原则在我国个人信息保护法制中的适用与展开,应当确立风险预防的基本原则地位及配套规则、完善预防性监管措施、优化风险预防的司法因应,构建更加完善的个人信息保护法律制度体系。     

刑事诉讼中适用《个人信息保护法》相关问题研究

《个人信息保护法》的颁布实施将刑事诉讼统一纳入个人信息保护法律规范体系当中,需要认真研究刑事诉讼中如何适用《个人信息保护法》的相关规定。个人信息保护中的核心规则“告知-同意”规则在刑事诉讼中基本失效,同意规则无须适用,告知规则设置了宽泛的例外,刑事诉讼法律规范中应当明确例外的界限与适用情形。对于个人信息保存时限、委托处理个人信息的相关规则、自动化决策和敏感个人信息的处理,刑事诉讼中都应当进一步予以细化规定。个人信息权益在刑事诉讼中呈减损状态,但不应被彻底剥夺,应当着力强化刑事执法、司法机关的个人信息保护的合规义务,构建《个人信息保护法》适用于刑事司法领域的若干支撑配套制度,包括将规制场景由技术侦查扩展至更为广阔的信息收集实践,强化事先数据合规制度建设,增设检察机关作为刑事司法系统中投诉处理的负责机构等。     

个人信息保护中行政罚款制度研究

《个人信息保护法》确立了个人信息保护中的行政罚款制度。行政罚款作为一种典型的行政处罚方式，在个人信息保护领域对违法处理个人信息的行为发挥着重要的教育与惩戒作用。然而，个人信息保护行政罚款制度仍存在诸多问题，其中最主要的问题是行政罚款主体不明确、行政罚款金额标准不明确、缺乏行政罚款监督。为纾解上述个人信息保护中行政罚款制度所存在的问题，通过明确个人信息保护中行政罚款制度的主体及其权责，落实网信办统筹监督职能，明确相关职权部门的管辖权限；确立个人信息保护中行政罚款制度的罚款金额标准与裁量基准，形成全新的、可供参考的个人信息保护行政罚款实施细则；构建个人信息保护中行政罚款的“合规减免”规则与柔性执法规则；通过设置个人信息保护行政罚款听证程序和完善个人信息保护中的行政罚款监督管理制度，以期在实现个人信息安全的立法目的上，保障违法企业的合法权益，促进社会经济的繁荣发展。     

论个人信息保护中的人格保护与经济激励机制

个人信息保护制度中的"知情—同意"框架偏向于通过信息主体自治以保护个人信息,这一路径选择对信息的合理流通和利用构成了严苛的限制,实践中也存在形式化问题。从理论基础和经验逻辑看,"知情—同意"规则需要考虑更为具体的场景;而在具体场景中,对信息主体的经济激励机制可以引导和促成信息主体的"同意"。因此可以将经济激励作为同意的促成机制,这有助于在不偏离"知情—同意"规则的前提下,为个人信息保护与数据合理利用双重目标的实现提供一种平衡方案。通过经济激励机制,信息处理者可与信息主体共享数据利用产生的经济收益,由此适当突破"必要性原则",获得超出为信息主体提供服务之目的的数据处理权限。但经济激励机制亦需受到内容和形式上的限制,避免被泛化为普遍适用的数据处理后门。在当前我国个人信息保护法的制定中,可以考虑引入经济激励制度,构建人格保护与利益激励相结合的"二元机制",在坚持人格保护的原则下,通过经济激励机制有效平衡个人信息保护与信息的合理流通和利用。     

作为劳动基准的个人信息保护

劳动者的个人信息保护问题存在特殊之处,具体表现为资强劳弱和人格从属性背景下知情同意规则的失灵、工作数字化后劳动者被透视和被操控的风险、有组织生产的合作关系中个人信息处理的需要,因此不能完全适用《个人信息保护法》的一般规则。劳动基准法已经纳入立法规划,在其中就劳动者个人信息保护做专门规定,这是对数字时代人权保护新挑战的回应,对于其他劳动基准的实现也有重要意义。在劳动关系中仅遵循私法路径不足以保护个人信息,还需要配备公权力保障,劳动基准法的双重保护机制也契合了这一需求。作为劳动关系中保护个人信息的特别法,劳动基准法的相应条款应该考虑如何对一般规则进行调整,包括限制知情同意规则的适用,满足人力资源管理的正当需求,修改删除权、可携带权和自动化决策条款,协调主管机构、救济方式和法律责任。由于"必需"是一个语境依赖型概念,将来还应该通过配套文件来规制工作场所的视频监控等典型的应用场景。     

个人信息公益诉讼惩罚性赔偿适用问题探究

2021年颁行的《个人信息保护法》在第70条创设性增设公益诉讼制度,意在解决大数据时代个人信息保护“主体性弱化”救济的困境,但缺乏相应解释与具化程序观照的原则性规定无力支撑其立法初衷实现。在证成惩罚性赔偿制度介入个人信息公益诉讼基础上,应当分别从宏观微观两个维度探究其实现路径与具化制度建构。宏观上,在保障个人信息公益诉讼惩罚性赔偿价值独立与谦抑适用基础上,完成其内容体系的设计;微观上,则从规范要素、计算规则、管理制度三个面向积极实现惩罚性赔偿制度在个人信息公益诉讼中的规则供给,“以期达成大数据时代产业转型之际个人信息保护与数据产业发展间动态平衡。     

后“SchremsⅡ案”时期欧盟数据跨境流动法律监管的演进及我国的因应

“SchremsⅡ案”对以隐私权和数据保护为核心构建的欧盟数据跨境流动规则体系产生重大影响,它要求无论使用何种数据跨境流动工具,都必须确保第三国能够提供与欧盟同等的保护水平。在该案的影响下,《欧盟基本权利宪章》在数据保护领域的地位进一步提高,保障措施的适用愈发严苛,欧洲数据保护委员会在数据保护领域将扮演更重要的角色,数据跨境流动欧盟法规则与国际贸易法的不兼容问题日益凸显。欧盟虽然结合SchremsⅡ案的判决完善了对数据跨境的法律监管,但依然没有减少外界对其监管合理性的质疑。我国对数据跨境流动的监管存在着配套立法不健全、规则可操作性差、多元价值失衡、缺乏内外联动的“中国方案”等问题。对此,应完善我国相关立法,加强中欧国际合作,共同引领构建数据跨境流动的国际规则。     

中华人民共和国个人信息保护法示范法草案学者建议稿

20世纪70年代美国公布的《公平信用报告法》和德国黑森邦1970年的资料保护法分别拉开了美、欧个人信息保护立法的序幕,随后有二十多个国家相继完成了有关个人信息保护的立法。在1980年OECD通过《关于隐私保护和个人资料跨国流通指针》后,欧洲议会、欧盟以及联合国等国际组织和地区组织先后出台了个人信息保护的公约、指令和指南,这些国际文件将个人信息保护立法迅速推向了全球。个人信息保护立法之要旨,固然在于自然人人格利益的保护,但同时,个人信息作为信息社会的一种重要的经济资源,尤其对发展中国家的国际贸易来说具有重要的战略意义。故此,个人信息保护立法的另一要旨是规范个人信息的商业利用,尤其是国际贸易中个人信息的跨国流通。本刊推荐的这份《个人信息保护法草案建议稿》挣脱了美国分散立法模式的束缚,取法德国模式进行统一立法,较好地为个人信息的保护和利用提供统一的行为规范。同时,扬弃了美国的隐私权理论而将权利基础定位在人格权理论之上,为个人信息保护立法找到了适合我国法律体制与人格权观念的立足点。在国际贸易方面,做到了既兼顾个人信息的合理流通,又加强了我国对个人信息资源的合法保护。