公共空间应用人脸识别的法理逻辑与制度建构

风险社会下,为应对空前激发的安全保障诉求,公共空间开始普及人脸识别应用,产生了个人身份建构权侵犯等风险。公共安全保障不得以牺牲个人利益为代价,人脸识别在公共空间的大规模运用应以公共安全保障与个人身份保护并重作为价值目标,体现从个人信息有序共享向个人身份保护的理念转换。为平衡公共安全与个人身份保护,应构建法律、技术、伦理"三位一体"的系统规制体系。具体而言,我国应强化公共场所管控者的"守门人"义务,明确开发者基于信息身份保护的设计义务,同时培育公众的"数字理性"素养。     

社会风险控制抑或个人权益保护——理解个人信息保护法的两个维度

个人信息在《民法典》中被确认为一种人格法益,在理论和立法上确立了我国个人信息的私法保护面向。个人权益保护成为构建和理解个人信息保护的重要维度和线索。由于个人信息保护的公共目标和功能可能被个人私益保护的进路所覆盖或消解,因此有必要将社会风险控制作为个人信息保护的重要维度来对待。社会风险控制一直是电子化时代个人数据保护的基础性目的,它对于个人信息保护的相关理论和制度具有很强的解释力和动态构建作用。社会风险控制和个人权益保护两种进路在相关基础问题上出现分歧,如个人信息与隐私的基础关系、一般性保护与场景化保护以及本权与保护权的关系等。在《个人信息保护法》实施过程中,社会风险控制进路有助于合理解读和执行法律,把握风险大小与控制措施的合理匹配,以及在平衡相关立法价值的前提下,释放信息的流动性。     

论个人信息主体基础法益的设定与实现——基于“个人信息处理规则”反射利益的视角

我国民法典和个人信息保护法并没有确立“个人信息权”概念，但有关条文使用了“个人信息权益”的概念表述，由此带来了关于“个人信息权益”的理解困惑。从法律实证的角度来说，现行法其实并未对个人信息主体基础法益进行直接确权，而是将其隐含规定在对“个人信息处理规则”为重心的体系设计之中，呈现为一种反射利益意义的基础法益设定。在这种意义上，可以将“个人信息处理规则”视为“以保护他人为目的的法律”。针对个人信息处理规则隐含个人信息基础法益的特点，我国个人信息保护法还引入了以强化多重治理体系、压实行为主体责任为内容的独特实现路径，具体包括“个人在个人信息处理活动中的权利”“、个人信息处理者的义务”“、履行个人信息保护职责的部门”“、法律责任”四个方面的合力。以此为分析，可知我国个人信息保护法第四章“个人在个人信息处理活动中的权利”，其所确立的多项个人信息保护权，属于强化治理体系结构中的机制内涵，而不可混同理解为基础法益。这些权利因具有请求权的形式，也称个人信息保护请求权，可以纳入广义人格权请求权的范畴。     

数字时代隐私权保护的立法因应

数字技术在为人类生活带来便利、促进数字经济发展和数字服务能力及效率提升的同时,使自然人隐私权面临以保障安全和发展经济为名的潜在威胁、数字伦理缺失等多重消解风险。当下中国形成了以《数据安全法》保障数据安全、以《个人信息保护法》规制个人信息处理活动、以《民法典》保护自然人隐私权的立法模式。但在数字时代,上述立法模式存在对个人信息和隐私界定不明、缺少流动场景下对隐私权社会属性的重视、隐私权法律救济和责任规制缺失、国内外的隐私权保护立法衔接不足等问题。在数字时代,我国对隐私权保护立法的完善,应从法理和适用规则上界分隐私和个人信息,依群体分类保护隐私权,完善私密信息的法律救济规则,健全对重点场景和行业的法律责任追究机制,建立公平公正的数字贸易与隐私权保护国际规则,强化自然人对数字社会治理的参与等。     

人格权确认与构造的法律依据

抽象的人格整体以及承载人格的若干具体要素,如生命、身体、健康、姓名、隐私、肖像等,因其伦理价值而应受法律保护,成为法秩序的组成部分,被称之为法益。对人格法益应以侵权责任法加以保护。作为主观权利的人格权,须满足权利客体确定、权能明确的要求。人格权作为支配权、绝对权,只能对身体、姓名、肖像、声音、个人信息资料等人格要素加以支配利用,或者可许可他人使用。由此,人格权便可能具有财产权的属性,也因而获得可继承性。在这一理念下,具体人格权仅有身体权、姓名权、肖像权、声音权和个人信息资料权。其他受保护的人格法益没有成为主观权利的素质。所谓一般人格权也仅是对无限多样的人格法益的概括性保护,并不是一项主观权利。很多新类型人格权均难以成立。既然具体人格权类型很少,且各类人格法益已经获得侵权责任法的保护,故在未来民法典中人格权法不宜独立成编。     

法益自决权与侵犯公民个人信息罪的司法边界

信息社会制造了高度的犯罪风险,侵犯公民个人信息罪成为规制网络信息活动的常用罪名,但应注意前置法体系不发达、网络准则不健全背景下的刑法过度介入。侵犯公民个人信息罪属于个人法益犯罪,法益本体是个人信息权,它是《民法总则》第111条规定的具体人格权,通过赋予其超个人属性的方式实现入罪扩张解释,与法益论发展趋势相背。公民个人有权积极利用其个人信息,"同意"构筑了信息自由与刑法介入之间的分界,在被害人教义学上类比身体、生命法益而否认个人信息法益自决权的理由并不充分。侵犯公民个人信息罪特有的"违反国家有关规定"在司法实践中存在被虚置的现象,为此,应在整体法秩序内厘清该要素的内容与地位,当前置法上缺少限制信息自决权的"国家有关规定"时,应排斥对"经同意后出售他人个人信息"行为的入罪化。     

预防性个人信息保护民事公益诉讼的证立及其制度展开

在现代风险社会,司法如何通过制度架构有效预防个人信息公共安全风险是一个重要的法治命题。通过预防性司法制度应对个人信息公共安全风险,既是履行个人信息国家保护义务的主动选择,也是因应个人信息社会公共利益风险治理体系建设的客观需要。预防性个人信息保护民事公益诉讼制度的确立需要从现行保护模式入手,公共执法模式与传统诉讼补救模式在个人信息公共安全风险的防控上均存在明显的结构性缺陷,不能对个人信息社会公共利益予以周延保护。为完善个人信息社会公共利益风险治理体系,总体层面应当注重从自我控制到公共治理的转变趋势,并促进保护模式从补偿性到预防性的制度延伸;具体层面需要逐步确立“高风险”的法律基准和检察机关处于诉权主体的优先顺位,以及对诉前程序、证明责任和责任承担方式等方面的具体规则进行调整或更新。     

风险治理视角下的个人信息保护路径

数字时代应有效回应信息科技引发的新型信息风险。日益广泛的个人信息处理行为不仅可能会给个人带来多种风险,影响个人人格的全面自由发展,而且可能会对社会与国家造成重大安全隐患。有效保护个人信息,既需要公私主体消极不侵犯个人信息,又需要国家通过不断完善体制机制积极治理信息风险。在风险治理组织上,宜吸收大部制机构改革的历史经验,设立统一的个人信息保护专门机构实施“一站式监管”。在风险预防措施上,应对个人信息进行科学的分类分级以进行不同安全等级的信息风险预防,并以安全与效率的平衡为理念设计个人信息保护影响评估、个人信息出境安全评估等制度。由于个人信息保护执法裁量空间巨大,有必要努力制定个人信息保护处罚裁量基准,并探索执法和解机制以促进企业合规。为了更全面有效地进行信息风险治理,应逐步放宽个人信息保护民事公益诉讼,强化个人信息保护行政公益诉讼。     

数据抓取的合法性边界探究

数据抓取不仅有可能侵犯公民的个人信息权益,更频繁引发企业间的利益冲突,因此成为学界与业界共同关注的热点。产权配置思路下的“数据库保护权”“数据生产者权”等方案不仅违背了数据自由流通的基本原则,亦存在难以克服的技术性难题,法益衡平成为解决问题的基本思路。对无涉个人信息的数据抓取,法益衡平实际是在保障数据自由流通的前提下,识别数据形成的何种竞争优势值得通过禁止抓取的方式予以保护,具体过程应根据数据控制者是否采取技术性措施以及前述措施的不同类型进行讨论。当涉及个人信息时,法益衡平还应确保抓取方立足信息的可识别性落实个人信息保护义务。在此过程中,敏感个人信息应被强化保护,数据体现公开个人信息时,抓取活动一般应被允许。     

数字人民币运营机构安全保障义务的廓清与实现

数字人民币运营机构泄露用户个人信息,以及个人信息处理过程中所面临的信息窃取风险引发了学界对用户个人信息权益保护的争论。数字人民币运营机构负有保护用户个人信息权益的义务,具体包括信息风险的消除、控制、预防三种类型,其法定化则可借由“危险源监控”型安全保障义务而实现。信息风险应采用动态模式加以消解,以衡平用户个人信息安全保障与共享利用。安全保障义务的归入标准与择出机制可借助场景分析与风险评估实现。在责任承担上,应以过错程度区分侵权人的连带责任与补充责任,并限定向第三人追偿的前提与比例,达致数字人民币运营机构与用户之间利益的最大化。     

Video surveillance in public space in China

Video surveillance device has been widely installed in public places at present. How should the right of privacy under video surveillance in public space be considered and protected effectively? There is no enough attention in the existing legislation of China, which results in a relatively conservative attitude in the judicial system of China. In fact, it is supposed to have privacy interests in public space. Privacy is not simply an absence of information about people in the minds of others. Moreover, it is the control over information about ourselves. Unlike casual glimpse by passers-by, the continuous, intentional and intensive focus of video cameras make individuals lose control of their information, which consequently leads to lose their privacy interests in public space. Thus, in order to protect personal privacy interests and defend personal justice in public space, it is necessary to regulate video surveillance in public space in legislation and judicature.     

论公共摄像监视——以隐私权为中心

目前，在公共空间实施摄像监视已日益普遍。如何看待公共空间中摄像头“注视”之下的个人隐私权并予以相应保护，我国现有的立法尚未予以足够关注，司法上亦采取较为保守的态度。事实上，个人身处公共空间，亦有其隐私利益存在。因为隐私并不仅仅是他人头脑中关于人们自身信息的某种缺失，而更多的是，人们对于自身信息的控制。摄像头长时间地有计划地有目的地注视，不同于路人偶然无意识的一瞥，它将使人们因此而丧失对自身信息的选择暴露权和控制权，从而导致个人在公共空间的某些隐私利益的丧失。鉴于此，我们认为有必要从立法上和司法上规范公共摄像监视行为，捍卫人们在公共空间中的必要的隐私利益，维护人们在公共空间中的个性正义。     

位置何以成为隐私?——大数据时代位置信息的法律保护

在数据这一新型生产要素中,位置数据的应用 日益广泛,不仅"基于位置的服务"雨后春笋般涌现,政府也基于位置数据创新社会治理方式、辅助案件侦破.然而,位置数据获取技术的进步及智能手机(作为现代最主要的定位工具)的普及,使得公民私密生活受到无处不在的位置监控威胁.位置信息的敏感性、位置获取技术的侵入性、公民对位置信息的隐私期...     

Privacy,National Security,and Internet Economy: An Explanation of China's Personal Information Protection Legislation

With the development of the internet and the increasing role played by information technology in the economy, personal information protection has become one of the most significant legal and public policy problems. Since 2013, China has accelerated its legislation efforts towards protecting personal information. The Cybersecurity Law of the People’s Republic of China took effect on June 1, 2017. Legal scholars focus on the nature of personal information, discuss the necessity of enacting specific laws on protecting personal information, and attempt to propose relevant draft laws regarding personal information protection. Personal information protection, however, is not only a legal issue but also a political one. We need to look at the decision-making process about legislation on personal information protection in China. Why has China sped up its legislation on personal information protection since 2013? Is privacy, civil rights, or legal interest the main reason behind the legislation? Only after placing personal information protection legislation in a broader context, can we have a better understanding of the underlying logic and dynamics of personal information protection in China, and can perceive the potential content and possible future of these legislation. This paper argues that Internet industry development, the social consequences of personal information infringement, and national security are the main drivers of China’s personal information protection legislation.     

美国信息隐私立法透析

美国法以隐私权作为个人信息保护的权利基础,在公领域,实行分散立法模式;在私领域,美国选择了行业自律模式,在全球个人信息保护立法中产生了巨大的影响。美国制定信息隐私保护政策和法律的基本思路是力求在信息流通和隐私保护之间寻求平衡。信息隐私权是美国信息隐私法上的一个核心概念,它是随着社会对个人信息的保护而产生的,指个人针对其信息所享有决定权、支配权和控制权。     

The principle of security safeguards: Unauthorized activities

The principle of information security safeguards is a key information privacy principle contained in every privacy legislation measure, framework, and guideline. This principle requires data controllers to use an adequate level of safeguards before processing personal information. However, privacy literature neither explains what this adequate level is nor how to achieve it. Hence, a knowledge gap has been created between privacy advocates and data controllers who are responsible for providing adequate protection. This paper takes a step toward bridging this knowledge gap by presenting an analysis of how Data Protection and Privacy Commissioners have evaluated the adequacy level of security protection measures given to personal information in selected privacy invasive cases. This study addresses both security measures used to protect personal information against unauthorized activities and the use of personal information in authentication mechanisms. This analysis also lays a foundation for building a set of guidelines that can be used by data controllers for designing, implementing, and operating both technological and organizational measures used to protect personal information.     

Information Privacy Protection in the New Chinese Civil Code: Priority or Replacement?

The right to privacy has been developed through judicial practice and has evolved from “the protection of the right to reputation” to “privacy interest” then to “privacy right.” The Civil Code of the People’s Republic of China (2020) clarifies the right to information privacy and the right to personal information as two independent personality rights and establishes a privacy priority protection mechanism for private information in civil law. The comparative efficiency of the right to personal information may mean that the protection of the right to information privacy is weakened or even replaced by the right to personal information. The uncertainty and fragmentation of private information also creates a wide gray space for judicial decisions. The development from traditional privacy right to information privacy right and personal information right is generally positive and shows the active legal response to the protection of private information in multiple ways. However, clarifications and systematization are required to increase the effectiveness of such protections.     

大数据时代社区应急治理中居民隐私顾虑之化解

大数据时代社区应急治理现代化既要运用大数据技术提高应对突发事件的效能,也要兼顾对居民隐私权的有效保护,消除居民隐私顾虑。隐私权的双重属性和社区应急治理中不规范的居民信息采集、使用和泄露行为会导致出现侵害居民隐私权的情况,使居民产生隐私顾虑。因此,大数据环境下社区应急治理需加强对居民隐私的保护,从法律、责任、多元主体协同等层面建立居民隐私顾虑化解机制,平衡社区应急治理中社区公共利益与居民个人利益的张力和冲突,提高社区应急治理效能和治理现代化水平。     

APP主体的立法规制

A PP相关主体规范与否直接关乎数据信息安全,关涉公民合法权益和社会公益.基于个人信息保护的不断发展,APP信息泄露问题逐渐显露出来.本文认为,应结合现有的个人信息保护立法,通过完善A PP实名制度,构建A PP相关主体备案制度,实施数据信息市场主体准入制度和第三方参与数据收集制度,以加强对个人数据信息的保护.