论个人信息保护请求权的行使

个人信息保护请求权是为保护个人的知情权、决定权等个人信息权益及其最终保护的若干基本人权、宪法上的权利与自由、民法上的人格权等而设立的程序性权利。《个人信息保护法》第50条规定了个人信息保护请求权的具体行使方式。个人就个人信息保护请求权提起诉讼的，应以个人信息处理者拒绝其行使权利的请求为前提。人民法院处理个人信息保护请求权纠纷，应依据法律、行政法规的规定对个人信息处理者拒绝个人行使权利的正当性进行审查。符合行使个人信息保护请求权的起诉条件的，个人可以就维护权利的合理费用一并提出损害赔偿请求。个人因个人信息被侵害受到人身、财产损害的，可依据《个人信息保护法》第69条的规定直接提起诉讼，不以向个人信息处理者先行提出损害赔偿请求为前提。     

个人信息可携带权的规范释义及制度建构

《个人信息保护法》第45条第3款所确立的个人信息转移权将信息传输关系限定在信息处理者之间,有必要对第45条第1、2款规定的复制权进行扩张解释,证立出可维护个人积极地位的个人信息接收权。个人信息转移权与个人信息接收权构成了完整的个人信息可携带权。在权利内涵方面,应结合个人信息保护整体法律制度安排和可携带权的创设意义,从权利主体、义务主体、权利客体、法律效果和行使条件等角度解释分析此权利。在制度体系建构方面,可携带权彰显了数据共享体系中的个人主体地位,其制度构建应当以场景为依托、以试验为理念不断完善和调整;其中,持续性携带模式和个人信息管理系统对于权利实现具有重要意义。     

论个人信息主体基础法益的设定与实现——基于“个人信息处理规则”反射利益的视角

我国民法典和个人信息保护法并没有确立“个人信息权”概念，但有关条文使用了“个人信息权益”的概念表述，由此带来了关于“个人信息权益”的理解困惑。从法律实证的角度来说，现行法其实并未对个人信息主体基础法益进行直接确权，而是将其隐含规定在对“个人信息处理规则”为重心的体系设计之中，呈现为一种反射利益意义的基础法益设定。在这种意义上，可以将“个人信息处理规则”视为“以保护他人为目的的法律”。针对个人信息处理规则隐含个人信息基础法益的特点，我国个人信息保护法还引入了以强化多重治理体系、压实行为主体责任为内容的独特实现路径，具体包括“个人在个人信息处理活动中的权利”“、个人信息处理者的义务”“、履行个人信息保护职责的部门”“、法律责任”四个方面的合力。以此为分析，可知我国个人信息保护法第四章“个人在个人信息处理活动中的权利”，其所确立的多项个人信息保护权，属于强化治理体系结构中的机制内涵，而不可混同理解为基础法益。这些权利因具有请求权的形式，也称个人信息保护请求权，可以纳入广义人格权请求权的范畴。     

论《个人信息保护法》对医学科研的影响

《个人信息保护法》“强化两头,多方平衡”。医学科研中的个人信息处理应以保护受试者个人信息权益为前提,平衡好各方合法权益。个人信息的界定采关联说,编码信息属于个人信息。医学研究应遵守个人信息处理规则,处理个人信息应当有合法依据,要么取得受试者明确同意,要么有法律许可。医学研究中的个人信息往往既是敏感信息,也是私密信息,故对受试者个人权益往往有重大影响,需要在处理前进行评估,严格履行《个人信息保护法》规定的个人信息处理者义务,依法保障受试者在个人信息处理活动中的法定权利。《个人信息保护法》对科学研究中的泛化同意未予认可,不符合医学科研的特点,不利于科学创新,值得商榷。     

个人信息权作为民事权利之证成:以知识产权为参照

个人信息有别于数据,也不同于隐私。它以个人敏感隐私信息为内核,往外扩散,其边界处于相对确定的状态。以知识产权为参照,相对确定的边界并不影响个人信息的权利化保护。以尊重人格尊严和自由为理念,以个人信息的自我决定或自我控制为理论基础,个人信息权宜定性为人格权。无形的人格特征具有财产利益,在原理上亦接近于以知识产权为代表的无形财产权。个人信息与知识产权的客体类似,均是特定的信息,其权利不能架构在占有的基础上,不是对客体的圆满状态的控制。可借鉴知识产权的"行为规制权利化"的构建路径,以同意、访问、查阅、抄录、复制、更正、删除等具体行为为支点,形成包含个人信息利用的知情权、个人信息利用的决定权以及保护个人信息完整准确权这三方面内容的个人信息权。个人信息权可以满足绝对权的特征,融入民事权利体系中的绝对权大家庭。     

民法典编纂视野下的个人信息保护

个人信息的民法保护具有重要的作用与意义,对个人信息应采取公法与私法并重的综合性保护方法。我国民法典规定个人信息保护,不仅奠定了个人信息保护的正当性基础,也为个人信息保护立法提供了基本法律依据。自然人对个人信息并不享有绝对权和支配权,而只享有应受法律保护的利益。该利益是指自然人享有的防止因个人信息被非法收集、泄露、买卖或利用进而导致人身财产权益遭受侵害或人格尊严、个人自由受到损害的利益。只有行为人违反保护性法律侵害个人信息时,才产生侵害个人信息的侵权责任。民法典人格权编草案应区分隐私权与个人信息,并进一步完善侵害个人信息的民事责任规定,如归责原则、因果关系、损害的认定、减免责事由、责任承担方式等。     

论个人信息安全事件通知义务

个人信息安全事件通知是个人信息处理者履行信息安全保护义务的重要环节，能够促使信息主体和监管机构在发生个人信息安全事件后及时采取行动，防范次生损害。《网络安全法》《数据安全法》《个人信息保护法》均规定了个人信息安全事件通知义务，但内容不一、详略有别。从“个人信息”的范畴来看，只有发生安全事件的“个人信息”可能影响信息主体实际权益时，才有必要通知信息主体；从通知内容来看，应当对通知监管机构和信息主体的内容作出区别规定；从通知的理论基础来看，由侵权责任和合同附随义务产生的私法责任是信息处理者向信息主体履行通知义务的理论基础，向监管机构履行通知义务则是公法要求；从通知的条件来看，对个人信息采用加密等技术手段后可不向信息主体履行通知义务，只有发生安全事件的个人信息达到一定规模体量才有必要通知监管机构；从通知的法律责任来看，更宜适用作为特别法的《个人信息保护法》的法律责任规定，同时限缩私法层面的赔偿责任，强调公法层面的处罚责任。     

个人信息保护公益诉讼制度研究

数字经济时代背景下，个人信息侵权不仅损害个人信息主体的个人权益，也损害社会公共利益。为更好地应对由此带来的信息公共安全问题，个人信息保护法第70条确立了个人信息保护公益诉讼的法律地位。因该条款为原则性规定，故应从个人信息公益化识别标准、起诉主体的确定和顺位性问题、个人信息保护公益诉讼的适用情形以及法律责任的组合方式等方面进行深入研究和阐释，以利于对法律规定的正确理解与适用。     

身份证明与个人信息保护——我国居民身份证法律规制问题研究

信息社会人们之间的交往需要权威的身份证明,由公权力介入推行的身份证明制度满足了这种需要,并在社会生活中广泛应用.但是只有通过法律规制明确公民个人信息自决权,并设定政府不侵犯和保护个人信息的责任,才能真正发挥身份证证明身份的权威作用.我国日前身份证法律规制的弊端在于政府没有履行必要的个人信息保护职责,公民的个人信息主体地位缺失,导致了政府滥用职权和个人权益受到损害.所以必须以保护个人信息为核心完善我国的居民身份证法律规制制度.     

个人信息国家保护义务理论的反思与重塑

当前的个人信息国家保护义务理论，主张将个人信息纳入基本权利保护范围，并以个人信息国家保护义务为基础建立个人信息保护法律体系。然而，在概念表达上，该理论以“客观法”表征个人信息基本权的属性，错置了客观法与主观权利之间的关系；用“间接效力”指称个人信息基本权对作为私主体的信息处理者的效力，混淆了“效力”和“效果”的语义。在宪法解释方法论层面，该理论在宏观上具有的法哲学化解释倾向、在微观上对概括性人权条款的悬置处理，使其在宪法教义学上欠缺说服力。面对立法实践，该理论无力解释作为私主体的信息处理者何以承担公法义务。确立个人信息保护权利基础的二元结构，明确个人信息基本权积极面向的主观权利属性，适度延伸个人信息基本权的效力范围，并对国家保护义务内容作相应调整，是重塑个人信息国家保护义务理论的有效途径。     

论数据来源者权利

数据来源者权利在我国为“数据二十条”政策所规定，在欧盟则为《数据法（提案）》所规定。这一权利确立数据来源者对于其数据的知情同意、获取、复制、转移等权利，意图实现数据公平、数据市场流通和数据的互操作性。但数据来源者权利在正当性与可行性方面均存在困境。“数据二十条”在法律化过程中，应以现有成熟法律体系为基础。当数据来源者为个人时，应首先适用个人信息保护相关制度。当数据来源者为非个人主体时，应注重数据市场秩序公平，构建数据信任共享与汇聚数据市场，打造多样性的数据互联。如果未来法律引入数据来源者权利，这一权利应被视为一种程序性、非绝对性、举报建议性权利，法律可以利用这一权利促进数据来源者与数据持有者之间、不同数据贡献者之间的沟通治理，而非将其泛化为实体性、绝对性、可诉性权利。     

个人信息保护公益诉讼路径之证成

<正>《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）第七十条规定,个人信息处理者违反本法规定处理个人信息,侵害众多个人权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。《个人信息保护法》首次从立法上确立了个人信息保护公益诉讼制度,是时代的需求和历史的选择。但由于其规定时间较短,起诉人的顺位、管辖、起诉条件、诉讼请求、判决效力等问题是沿用传统公益诉讼的规定,     

论个人信息保护机构的组织优化——结合《个人信息保护法》相关规则的解释

个人信息保护机构在法律中呈现出公民人格权益组织保障者、企业自我规制规制者、公权力机关信息处理监督者三重功能定位。现行组织体系在履行功能时分别面临权利保障形式监管缺位与实质目标异化、企业协同治理角色缺失、监管者自我监管客观性欠缺三重缺陷。针对功能履行弊病，应当按照整体性治理原理、合作协同性原理、独立专门性原理对组织模型进行优化。在组织模型的选择中，模仿建构域外独立统一式的监管模型存在实际困境与理论缺陷，应当选择混合分散式的监管模型予以完善。这一模型主要分为三方面：其一是“属地管理”为核心的综合行政执法机构的建置；其二是个人信息保护咨询机构的建构；其三是专门监督国家机关处理个人信息的独立机构建设。     

被遗忘权立法的美国模式及其立法启示——以加州被遗忘权立法为研究背景

“被遗忘权”是大数据时代个人信息删除制度的立法新发展。美国并不赞同欧盟模式的被遗忘权。加利福尼亚州立足美国法制传统构建了一个体现美国利益需求的被遗忘权。加州立法从维护个人发展权意义上建构未成年人的被遗忘权,以数据最小化原则为基础,建构适用于消费者与企业之间数据处理的被遗忘权,赋予个人删除本人发布的个人信息的权利,同时规定了一系列删除信息的例外,较好地协调了被遗忘权与言论自由和信息经济发展的矛盾。加州立法已成为美国个人信息保护立法的典范。未来,美国可能以加州模式为模板构建媲美欧盟被遗忘权的个人信息删除制度。加州对被遗忘权制度的取舍对我国《个人信息保护法》第47条的理解与适用具有启示意义。     

个人信息处理必要性原则的规范体系研究

我国《民法典》和《个人信息保护法》均规定个人信息处理应当遵循必要性原则,但是没有对必要性原则进行清晰地界定。必要性原则源于比例原则,个人信息处理行为反映了"禁止过度"的要求,应当适用必要性原则限制个人信息处理行为,以实现个人信息多元利益的平衡。必要性原则体现和渗透于目的限定规则、最小化处理规则、存储期限规则和删除规则。个人信息处理应当限于实现合乎法律规定的正当目的所必要之范围,个人信息处理的范围、数量应当与该处理目的相匹配或成比例,个人信息的存储期限应当为实现处理目的所必要的最短时间。个人信息的处理目的已经实现、期限届满或者处理目的无法实现时,信息主体有权请求删除个人信息。     

论国家机关处理个人信息的合法性基础

我国个人信息保护法对国家机关处理个人信息作出了特别规定,但未明文解释其适用对象或澄清处理的合法性基础。个人信息保护领域的国家机关应采广义,除了通常的国家机关,还包括法律、法规授权提供公共服务的组织和规章授权组织。根据我国个人信息保护法第13条和民法典第1036条,国家机关处理个人信息具有多元的合法性基础:法定基础包括履行法定职责所必需,订立、履行合同或人事管理所必需,为应急所必需,合理处理已自愿或合法公开的个人信息,法律、行政法规规定的其他情形;意定基础指取得个人同意;酌定基础指为维护公共利益或者信息主体合法权益而合理处理个人信息。不同的合法性基础对应不同的告知同意规则,需准确理解适用。     

问责原则与安全原则下的个人信息泄露侵权认定

当发生个人信息泄露时，个人信息主体多因泄露源头不清而难以有效证明侵权责任的成立。对此司法机关或利用表见证据规则，或利用因果关系倒置，平衡两造在诉讼中的力量关系，但也存在合法性欠缺、混淆行为与损害等问题。破题之策在于借助《个人信息保护法》第9条规定的问责原则与安全原则，柔化《民法典》一般侵权规范的适用。根据问责原则，个人信息处理者应自证个人信息处理行为的合规性，证明已经履行必要的作为义务。与之配合，安全原则要求个人信息处理者承担特殊的安全管理义务，义务内容包括但不限于《个人信息保护法》第51条的相关规定。就因果关系证明而言，问责原则要求个人信息处理者对民事损害负责，当存在不法个人信息处理行为时，可以依据法规目的说判定因果关系的成立；鉴于个人信息处理者承担特殊的安全管理义务，即便个人信息是从第三人处泄露或存在第三人故意介入的因素，因果关系也并非当然中断。     

被遗忘权的中国本土化及法律适用

欧盟法院通过对"谷歌诉冈萨雷斯被遗忘权案"的判决,正式确立了被遗忘权的概念。作为适用于网络信息领域保护个人信息的一项权利,被遗忘权为大数据时代个人信息的保护提供了法律途径。我国作为世界上网络用户最多的国家,应当借鉴欧美法的经验,将被遗忘权本土化,使之成为我国公民人格权的组成部分。被遗忘权是信息主体对已经发布在网络上,有关自身的不恰当的、过时的、继续保留会导致其社会评价降低的信息,请求信息控制者予以删除的权利。该权利的性质属于个人信息权,在当前对该权利的侵害可通过《侵权责任法》关于隐私权和侵权责任一般条款的规定予以救济。     

论保证人追偿权与代位权之区分及其意义

尽管保证人的代位权与追偿权存在密切的联系,但是二者有显著的区别,在权利产生的基础法律关系、权利的法律性质、权利的功能、权利的行使程序、诉讼时效的起算、是否包括利息等方面均存在差异.因此,我国法律应当明确区分并分别规定保证人的代位权与追偿权.     

论社会信用信息权利：范畴、内容及其体系

在社会信用体系建设持续推进与“数据二十条”出台的大背景下,社会信用信息权利在范畴、内容及其体系方面仍然存在一些问题。基于个人信息重要性、概念核心区域明确、处理的合法性与合理性事由及“动态系统”理论,可以将个人信息定位为权利。“数据三权”也并非传统意义上的支配权、绝对权,其排除的仅仅是非法获取或处理数据的行为。社会信用信息为个人信息与数据在社会信用领域的延伸,同样应当将社会信用信息权利定位为新型的权利。未来应当依托现有的《民法典》《个人信息保护法》展开解释,确立社会信用信息处理合法性与合理性事由,有效实现社会信用信息权利体系的协调。