云计算背景下欧盟消费者个人敏感数据的法律保护

在云计算背景下,欧盟个人数据保护立法中对于个人敏感数据的差别化保护标准已不能适应新技术的发展要求,在数据处理、身份和访问管理以及云服务协议方面存在适用困境。欧盟在新一轮的立法改革中对消费者个人敏感数据保护问题予以了特别关注,对个人敏感数据的涵义进行了扩展与补充、强化了数据处理者及数据控制者的说明责任并引入了新型消费者数据权利,这些规则为消费者个人信息提供了更为全面的保护,但同时也存在待完善之处。在大数据时代,我国应当借鉴欧盟立法改革的经验,在个人信息保护立法中制定特别适用于消费者的敏感信息保护规则,从而更好地维护消费者利益。     

通过设计的个人信息保护

面对移动互联网、大数据与人工智能并存的新时代所产生的新问题,传统个人信息保护法律框架显得力不从心：用户控制模式难以继续奏效,数据控制者的设定受到挑战,事后救济模式遭遇质疑,法律中心主义亟待拓展。对此,近年来席卷全球的隐私设计理论很好地回应了新时代个人信息保护的需求,获得国际组织及各国的高度认同,被誉为下一代个人信息保护的关键举措。隐私设计理论强调事先积极预防胜于事后消极救济,主张从一开始就将个人信息保护的需求通过设计嵌入系统之中,成为系统和商业实践运行的默认规则,给予个人信息全生命周期的保护,以实现用户、企业等多方共赢,这一理论可以为我国今后个人信息保护立法和实践工作提供重要借鉴参考。     

论隐私、个人信息和数据的三重民法保护

隐私、个人信息和数据三者在民法意义上的本源与价值都是个人信息,只是隐私和个人信息的范围不同,数据与个人信息为为载体与本源之关系。《民法典》对隐私、个人信息和数据的不同规定,保护着不同类型与范围中的个人信息不受侵害,是对科技双刃剑下公民权益保护的有效回应。《民法典》对于私密型个人信息的隐私予以法律赋权;对于需均衡使用与保护的个人信息予以法律保护;对作为信息载体的数据予以前瞻性开放式法律规定,三重法律保护体现了《民法典》以人为本的政治内涵。     

实名制环境下个人信息保护的基本原则重构

传统个人信息保护原则是基于个人信息主体确定而义务主体不确定的对世权保护原则;而信息网络技术的普及应用,尤其是实名制的实施,导致基于信息收集契约关系的个人信息权利义务主体的确定性特征及其权利义务关系发生本质变化,并对个人信息权利保护原则提出新的挑战。经过对实名制环境下个人信息权的考察,我们应当重新构架新的个人信息保护原则。具体而言,实名制环境下的个人信息保护原则应当包括个人信息自决原则、信息收集处理合法原则、信息收集处理规则公开原则、信息收集处理双方地位平等原则、个人信息收集数量最小化原则、个人信息收集和利用有限原则、个人信息安全管理原则以及信息控制者的救济责任原则等八大基本原则。     

信赖理念下的个人信息使用与保护

现行的个人信息保护法律规范，以“主客体二元对立”思维下的“理性人”理念为指引，通过强调个人信息主体的自主支配、自主决断和自己责任，来平衡个人信息的使用和保护。为此，个人信息保护法律规范的整体功能，主要限于确保信息主体自主控制的实现，以及保护他们免受可举证证明的非法侵害。但是在大数据时代，个人信息保护的“理性人”理念面临着诸多困境，如“信息决策困境”、“控制权失衡”问题、“责任配置错位”问题、“损害制度失灵”问题、“安全感困境”以及“信赖缺失”问题。这导致个人信息保护法律规范内含个人信息主体和个人信息控制者之间的紧张对立关系，难以有效增强他们之间的互信。为了促进信息社会的可持续发展，个人信息保护立法应该更新理念，构建一个在“信赖”理念指引下的信义义务制度，以作为对现有制度的补充。     

被遗忘权的中国本土化及法律适用

欧盟法院通过对"谷歌诉冈萨雷斯被遗忘权案"的判决,正式确立了被遗忘权的概念。作为适用于网络信息领域保护个人信息的一项权利,被遗忘权为大数据时代个人信息的保护提供了法律途径。我国作为世界上网络用户最多的国家,应当借鉴欧美法的经验,将被遗忘权本土化,使之成为我国公民人格权的组成部分。被遗忘权是信息主体对已经发布在网络上,有关自身的不恰当的、过时的、继续保留会导致其社会评价降低的信息,请求信息控制者予以删除的权利。该权利的性质属于个人信息权,在当前对该权利的侵害可通过《侵权责任法》关于隐私权和侵权责任一般条款的规定予以救济。     

论个人信息处理中的优位利益豁免规则

《个人信息保护法》第13条以开放列举的方式对个人信息处理的合法性基础作出了规定，并将“知情同意规则”确立为基本原则。但事实上该规则深陷传统财产规则的桎梏，过分强调个人对信息的控制，而忽视了信息的流通与利用。有鉴于此，我国可引入优位利益豁免规则，赋予信息控制者在经过利益识别，认定信息处理所保护之利益优于信息主体利益后，无需经过信息主体同意直接处理个人信息的权利，进而在知情同意规则之外对个人信息处理行为的合法性基础进行补充，平衡对信息主体的过度保护。与此同时，亦需要建立严格的优位利益识别机制、强化信息控制者义务，疏通信息主体的救济途径并加强政府监管，以防规则滥用。     

刑事诉讼个人信息保护论纲

信息时代下刑事诉讼领域与其他领域一样存在保护个人信息的需要,然而目前我国相关法律规定零散,且重视对公权力机关的授权,忽视对公民的赋权.为确立和完善刑事诉讼个人信息保护机制,应处理好刑事诉讼信息收集使用中的权利义务与权力责任、信息收集使用的公开透明要求与刑事诉讼封闭秘密特征、个人信息保护利益与预防打击犯罪目标及公众知情权这几组关系.根据区分对待原则、目的限制与比例原则、准确性原则,应当对信息主体赋予前提性权利、程序性权利和反制性权利,对公权力机关(信息控制和处理者)科以告知义务、协助义务和信息安全保障责任,并通过确立信息收集使用行为的司法令状和内部监管并立体系,设置独立的信息监管机构,构建侵犯信息权利的惩戒和赔偿机制等,提供保护个人信息的保障措施和救济途径,建立起我国的刑事诉讼个人信息保护机制.     

数据抓取的合法性边界探究

数据抓取不仅有可能侵犯公民的个人信息权益,更频繁引发企业间的利益冲突,因此成为学界与业界共同关注的热点。产权配置思路下的“数据库保护权”“数据生产者权”等方案不仅违背了数据自由流通的基本原则,亦存在难以克服的技术性难题,法益衡平成为解决问题的基本思路。对无涉个人信息的数据抓取,法益衡平实际是在保障数据自由流通的前提下,识别数据形成的何种竞争优势值得通过禁止抓取的方式予以保护,具体过程应根据数据控制者是否采取技术性措施以及前述措施的不同类型进行讨论。当涉及个人信息时,法益衡平还应确保抓取方立足信息的可识别性落实个人信息保护义务。在此过程中,敏感个人信息应被强化保护,数据体现公开个人信息时,抓取活动一般应被允许。     

个人信息“合理利用”的规范分析

随着《个人信息保护法》的出台，个人信息“合理利用”的问题开始凸显。个人信息“合理利用”的提出，本质原因在于，个人信息并非是个人所控制的信息，而是与个人相关的信息。这导致，个人信息保护不能仅限于不受侵犯，还要求个人信息处理者(国家或者其他私主体)必须对个人信息进行“合理的”处理。个人信息保护的落脚点应该是隐与私，既包括对个体不欲为人知的私密信息的保护，也包括对个体个人信息自我决定权的保护。其规范基础分别是可以使个体隐于社会的内在尊严和使个体积极融入社会的人格自由发展权。个人信息包括私密信息与风险信息。数字时代个人信息保护的难点在于，不知道何种个人信息经过技术处理后会导致个体的人格受到侵害，这体现了个人信息处理的风险本质。这意味着，个人信息“合理利用”应该兼具不受侵犯和风险预防两个方面，在面对国家公权力和私主体两种不同的处理者时，应该具有不同的保护逻辑。     

刑事诉讼中个人信息的检察保护

刑事诉讼中个人信息的检察保护是新时代法律监督应有之义,是客观公正义务的发展与延伸,是监督大数据侦查的有效途径。现有刑事诉讼法律规范难以适应个人信息保护现实需求。要发挥好个人信息检察保护职能,刑事诉讼法需要适度引入个人信息保护原则与规则,加强个人隐私信息保护,同时检察机关应为信息主体提供权利救济途径,监督其他国家机关处理个人信息活动,发现和纠正违反个人信息保护法律的行为。     

个人信息保护进路的伦理审视

当前的个人信息保护进路可以归为两类:分享优先与控制优先.整体而言,这两种保护进路的共识多于分歧,都力求兼顾各方利益,反对极端主张.在实践中普遍应用的场景主义规制决定了是分享优先还是控制优先的进路之争会在各个场景出现,最终导致具体规则的随机、多元甚至矛盾.为了形成稳固、统一的价值逻辑以及为构建合理的新秩序提供正当性支持,需要从伦理层面审视个人信息保护的基本进路:首先对两种进路予以底线伦理审查,判定两者是否有害他人的合法权益;其次考察两种进路对信息主体、信息共有人、非信息共有人这3类群体以及对人的发展、经济发展、环境和谐、文化繁荣这4项社会发展目标的影响,从而选择在伦理上更具正当性的保护进路.     

论数据使用：个人信息保护与数据利用的衔接点

个人信息与数据利用在法律保护的价值取向和规则设计上存在着天然的矛盾。个人信息保护法将个人信息处理作为规范对象，实际上是对数据使用行为加以规制。对数据使用的理解成为二者有效衔接的关键。解析不同时代技术背景下的数据使用后发现，其法律内涵与具体规则是相互影响变化的。相较于信息的数字化，大数据时代的数据使用以实现信息的增量和再创造为目的，呈现出新的核心特征。我国个人信息保护体系的完善，需对增量信息的数据使用行为加以判断，建议在现有规则下增加用户感知标准。     

论数据信托:一种数据治理的新方案

数据信托的提出是为了解决数据主体与数据控制者之间不平衡的权力关系,从而在数据流通和交易中确保数据隐私和安全.数据信托存在两种不同的方案:一种是美国的"信息受托人"方案,对数据控制者苛以信托受托人义务,目前还停留在理论阐述阶段;另一种是英国的"数据信托"方案,建立第三方机构提供独立的数据信托服务.英国已经推动了各种数据信托试点,提炼出数据信托生命周期的六个阶段和五种法律结构,为各国开展数据信托实践提供了重要参考.我国正在制定的个人信息保护法和数据安全法,可以借鉴英美的数据信托理论和实践,在数据交易和公共数据管理方面探索中国的数据信托实践.     

风险与控制：论生成式人工智能应用的个人信息保护

生成式人工智能的技术跃进架空了个人信息处理的告知同意规制和最小必要原则，引发了虚假信息生成和个人信息泄漏的广泛风险迭代问题。传统个人信息的权利保护路径面临认知和结构困境，无法应对生成式人工智能给个人信息保护带来极大挑战。以风险控制为导向的个人信息保护机制不强调信息主体对个人信息的绝对控制，旨在通过识别、评估、分配和管理将风险控制在最小范围内，可以灵活和实用地平衡生成式人工智能应用中的信息利用和风险控制，提供有效的解决方案。在风险控制理念下，对告知同意规则和最小必要原则进行风险化解释与调试，并建立从预防到识别再到控制的虚假信息生成风险的全过程应对机制，以及基于风险的个人信息保护合规管理体系，是当前的最优选择。     

两岸四地的个人信息保护与行政信息公开

在促进政府信息公开的同时,对于个人信息的保护同样不能忽视。从大陆与台港澳地区对个人信息保护相关法规的规范比较看,四地对于个人信息的法律界定与保护程度不尽相同。其原因在于各自的法律文化背景不同。在处理行政信息公开与个人信息保护的冲突时,应秉持权利平等保护、公共利益优先、平衡协调与权利救济原则。对于信息自由流动与个人信息权利保护之间的平衡,台港澳地区的做法对大陆不无启示和借鉴。     

大数据时代个人信息保护行业自律的困境与出路

随着信息产业的迅猛发展,行业自律作为个人信息保护的方式之一愈来愈受到关注。早在20世纪90年代,美国政府就鼓励以自律规范保护个人隐私。然而,实践表明自律管理机制本身存在参与度低、执行力差、缺乏有效的监督与处罚机制等问题。面对大数据、云计算等新兴技术带来的冲击;自律机制.仅仅是个人信息保护的必要条件而非充分条件,政府适度...     

论金融机构对消费者个人信息的权益保护与责任

金融机构保护消费者个人信息的任务迫在眉睫。个人信息本质是权利束,进阶形态为权益束,消费者拥有数据权、信息人格权、信用权、个人信息受保护权以及信息潜在利益。文章认为应由义务模式转向权益保护模式,按照责任属性、分配、区分要点重置金融机构保护消费者个人信息的责任,以"权益链接"救济方式对消费者实施精准保护。     

数字时代隐私权保护的立法因应

数字技术在为人类生活带来便利、促进数字经济发展和数字服务能力及效率提升的同时,使自然人隐私权面临以保障安全和发展经济为名的潜在威胁、数字伦理缺失等多重消解风险。当下中国形成了以《数据安全法》保障数据安全、以《个人信息保护法》规制个人信息处理活动、以《民法典》保护自然人隐私权的立法模式。但在数字时代,上述立法模式存在对个人信息和隐私界定不明、缺少流动场景下对隐私权社会属性的重视、隐私权法律救济和责任规制缺失、国内外的隐私权保护立法衔接不足等问题。在数字时代,我国对隐私权保护立法的完善,应从法理和适用规则上界分隐私和个人信息,依群体分类保护隐私权,完善私密信息的法律救济规则,健全对重点场景和行业的法律责任追究机制,建立公平公正的数字贸易与隐私权保护国际规则,强化自然人对数字社会治理的参与等。     

指纹考勤的合法性分析

指纹信息具有特定性、稳定性和触物留痕性,在法律性质上属于个人信息。个人信息有敏感与一般之分,前者受隐私权保护,后者可成为财产权客体。指纹信息属于敏感个人信息,但隐私公开在信息社会下具有相对性,即在特定领域内公开并不意味着在任何领域均公开,所以指纹搜集并不必然侵害隐私权。隐私权作为一项基本权利,对其限制须受公法规制,即须符合法律保留原则和比例原则。指纹搜集缺乏相关授权法律,不符合法律保留原则;未建立完善的配套制度,未必符合比例原则。建议立法机关出台《个人信息保护法》,以补足指纹考勤等信息利用的合法性。