数据泄露中企业对用户的损害赔偿问题研究

非法抓取、窃取、破坏数据库数据的行为使得数据企业与用户承受了巨大损失.在用户数据权益保护方面,《数据安全法》第27条规定了网络运营者对用户数据的安全保护义务,但如何对用户进行损害赔偿尚不明确.在用户数据权利尚未被立法确认的前提下,可以以《民法典》第1197条、1198条为请求权基础,结合数据经营实践确定"知道或应当知道"、"采取必要措施"以及"违反安全保障(数据安全保护)义务"的具体标准,构建用户数据权益救济框架,使违反义务的企业承担损害赔偿责任.     

政府履行数据安全保障义务研究——以企业报送数据为视角

在数字政府战略背景下，政府基于公共目的要求企业报送的数据有不断增多的趋势。目前，因法律规定不明确和行政权力缺乏监督等原因，政府对企业报送数据的安全保障存在诸多不足，尤其在数据收集及其后的处理环节存在安全隐患。为促进政府履行数据安全保障义务，根据权利义务相对平衡理论，政府应完善数据安全保障措施，以防企业报送数据过程成为数据泄露的风险点。     

数据交易的权利规制路径:窠臼、转向与展开

数据确权的理论分歧集中于"后期物权说"与"新型权利说"的对立讨论中,但两类学说在理论证成上仍存在罅隙,囿于实践中相关纠纷已层出不穷,作为规范交易市场核心的合同法应当发挥其应有的法律功能.数据交易法律关系可以解构为"数据服务合同",中介、委托合同以及"平台服务合同"."数据服务合同"的双方当事人负有及时支付/接受对价之权利义务,以及及时提供/接受符合质量要求的数据服务的权利义务.中介、委托合同,"平台服务合同"的双方当事人除负有法定或约定的权利义务外,数据交易平台方对于数据源层方还负有数据安全存储与网络安全保障义务;对于数据用户方还负有服务说明、告知,形式审查以及安全保障义务.     

论大型平台企业数据交易强制缔约义务

在数字经济发展过程中,大型平台企业积累了海量数据资源,与中小市场主体之间形成“数据鸿沟”,一些中小市场主体需要大型平台的数据支持方能持续经营。但大型平台为了维护竞争优势,会拒绝中小市场主体合理的数据交易请求,而数据爬取又因受到法律约束,无法满足中小市场主体的数据获取需求。由于适用反垄断法框架下的“必要设施原则”和“拒绝交易责任”无法有效破解“数据鸿沟”问题,为平衡大型平台的数据权益及中小市场主体的发展权益,应回归民商法路径推动大型平台开放数据,建立大型平台数据交易强制缔约义务制度。在构建大型平台数据交易强制缔约义务制度时,应当谨慎设置适用条件并明确制度内涵,防止该制度过度适用造成负面效果。     

平台数据权力的运行逻辑及法律规制

平台数据权力是指平台运行过程中平台企业所具有的基于数据处理、算法决策和日常治理的控制能力。它源于技术赋权、法律赋权、社会赋权、用户赋权和劳动赋权,具有数据采集权、算法决策权、规则制定权等表现形态,展现出穿透性机制、数字化控制、数字契约关系和权益交换平衡等运行逻辑。基于此,平台数据权力既具有建构数字社会关系、维护数字空间秩序的重要功能,同时也具有权力扩张和滥用的风险,因而亟需对其进行权力边界厘定、实施“分布式”制衡、加强制度性约束、确立责任追究机制,并最终将其纳入数字法治框架。     

论数据安全保护义务

数据安全保护义务贯穿于数据产权、数据要素流通和交易等基本制度，对于保护民事主体的合法权益，维护国家安全，促进数字经济的发展，至关重要。我国数据安全义务的规范体系由数据安全、网络安全与个人信息保护三个方面的法律组成，存在相应的适用顺序。当事人也可以约定数据安全保护义务。任何实施数据处理活动的组织或个人都是数据处理者，负有数据安全保护义务。数据处理者应当根据数据安全风险确定所采取的相应的技术措施和其他必要措施，重要数据的处理者还负有两项特殊的义务。数据处理者违反数据安全保护义务，导致数据被第三人取得进而被非法利用，造成他人损害的，直接侵权人应当承担全部的赔偿责任，而数据处理者应承担与其过错、原因力相应的赔偿责任。     

数据本地化措施之国际投资协定合规性与中国因应

数字经济国际规则制定正成为各国争议的焦点。出于保障国家安全和保护个人隐私,各国纷纷进行数据本地化立法,规制数据的存储、使用和流动。数据本地化措施给国际投资协定传统条款的适用带来冲击。鉴于数据具备财产属性,东道国的数据本地化立法应符合其加入的国际投资协定。在认定东道国的数据本地化措施是否违背其根据投资协定应给予外国投资者国民待遇、公平与公正待遇以及禁止征收的义务时,不可一概而论,应结合国际投资仲裁庭的相关裁判,区分数字企业所在经济部门,数据本地化措施的实施路径和对经济的负面影响程度,立法意在保护的价值及该价值在国内法中的体现等因素具体分析。中国在数据安全立法过程中,应关注国内立法与国际条约义务的一致性。     

论数据处理者的数据安全保护义务

数据处理者的数字基础设施法律地位、履行财产权社会义务的要求以及数据的公共安全属性决定了数据处理者应承担数据安全保护义务。数据安全保护义务制度构建围绕数据分级保护、数据全生命周期保护、数据处理环境保护三方面展开。数据分级是数据全生命周期保护和数据处理环境风险防控的基础;数据全生命周期保护包括内部环节和外部环节的保护措施;数据处理环境保护包括数据风险监测和评估义务、数据处理人员教育培训义务、设置数据安全负责人和管理机构义务、数据泄露通知义务。数据安全保护义务法律责任的重心是行政处罚而非民事赔偿,应注重发挥行政处罚的惩戒和教育功能,限缩私法赔偿中的结果责任。合理配置数据处理者的行政处罚责任,有助于促进数据处理者发挥数据要素资源流转配置作用,防止市场垄断加剧。     

我国数据出境安全治理的多重困境与路径革新

数字经济时代,数据的出境治理关乎国家安全、经济发展和贸易繁荣。当前,我国的数据出境安全治理面临着多重困境,主要表现在数据安全的概念过于模糊难以成为法治价值目标,数据出境规则设计不周延难以有效监管数据出境,数据出境监管过严导致黑灰数据产业难以遏制等。数据出境安全治理的困境根源在于技术安全难以保障,数据出境安全治理的本质价值在于确保政治安全,信用法治是合理平衡个人隐私安全与商业利益安全的创新路径。通过对我国数据出境安全治理规则的界定、解读与适用的思辨研究,建议我国在立法上确保个人权益与商业利益保护之间的合理平衡以促进数字技术的提高,进一步丰富数据出境安全治理规则以确保政治安全,多措并举引导数据出境安全治理规则的灵活适用以建设信用法治,多元共治推动数据出境安全治理的深入落实以实现我国数据出境的路径革新。     

刑事司法中的数据安全保护问题研究

刑事司法中海量收集使用数据必然带来数据安全保护的问题,现有法律对于此问题的规定存在不足,新出台的数据安全法对于刑事司法中的数据安全保护之规定亦过于粗疏,加之司法信息化加剧了刑事司法中的数据安全风险,有必要予以充分关注.刑事司法中应当以保障公民权利为数据安全保护的重要价值取向,确定国家承担数据安全保护的主要义务,进而对刑事诉讼全程进行数据安全监管.具体而言,应当通过建立数据分类和分级制度、尊重和发挥数据主体在数据安全保护中的作用、明确数据控制者和处理者的数据安全保护职责、将检察机关设置为专门的数据监管机构并赋予其相应职能,从而构建起相对完整的刑事司法领域数据安全保护制度.     

社会保障主体义务分担机制研究——以政府履行社会保障义务为视角

2011年7月1日生效的《中华人民共和国社会保险法》,以法律形式确立了我国“政府主导型”的社会保障模式.历史和现实昭示:各级政府履行社会保障义务的优劣,直接影响公民各项社会保险权利的实现,关系社会的和谐稳定.贯彻实施《社会保险法》,应针对政府履行社保义务存在的问题,根据不同社保项目的特点,确定中央和地方政府分担社会保障义务的机制.     

作为债之独立类型的法定补偿义务

在公法和社会法领域内,法定补偿义务作为债的独立类型由来已久。但就法定补偿义务可否作为私法上独立类型之债,与合同之债、侵权之债、不当得利之债、无因管理之债等并身而立,民法学界远未达成共识。若从解释论角度出发进行分析,侵权责任法若干条款规定的补偿义务、"分担损失"规则以及"有财产的无民事行为能力人、限制民事行为能力人造成他人损害的,从本人财产中支付赔偿费用"等,都属有关法定补偿义务的规定。它们与民法通则及最高人民法院相关司法解释确认的法定补偿义务一起,构成我国民法中独立类型之债。在我国的责任保险制度尚不发达,社会保障制度还远未健全的背景下,如果法定补偿义务制度运用得当,无疑可在一定程度上济侵权损害赔偿责任制度之穷。     

主合同无效后担保权存续论

从属性更恰当的表达是担保权从属于主债权,而非担保合同从属于主合同。尊重这一前提,通过类推适用主合同解除后担保权存续之逻辑、基于实证法上的个别示例以及受比较法的启发,主合同无效后担保权在返还清算关系中原则上应存续,但该存续应尊重保证人及物上担保人享有的期限利益以及诚信原则。担保权主要是在债权人先履行时,为防止债务人届期清偿不能而予以设立的,主合同无效并不消灭这一风险,无效宣告后债务人的返还义务替代其合同债务,为防范该风险而设立的担保权也应存续,这也符合当事人缔约时之意思。主合同无效后担保权存续主要适用于债务人一方返还的情形。     

行为金融信息中介的网贷平台信息披露规则

从金融属性上看,网贷平台提供的是借贷信息中介服务。信息披露是其主营业务内容,平台不能参与借贷交易,否则将使流动性等风险大量集中到平台并引发严重后果。从法律性质来看,网贷平台则是借贷居间商,应当向交易双方履行相应的信息披露义务。网贷业务兼具金融和网络化特点,我国《合同法》第425条的一般性规定无法有效规制网贷平台的信息披露行为。P2P网络借贷信息披露监管规范虽初具体系,但还需围绕投资者等金融消费者保护这一根本宗旨进行改进,使信息披露内容以普通消费者等客户认知水平和需求为导向,信息披露义务的履行贯穿借贷合同存续的全过程,平台违反信息披露义务应当承担相应的民事责任等。     

算法行政:社会信用体系治理范式及其法治化

大数据下的信用评级机制生成独立于数据本体的数字人格。数字资本主义利用算法控制来推动金融信用的产生与发展,进而监控资本主义利用私有化"数字人格"实施黑箱管控。我国基于数据驱动的社会信用体系属于数字技术公共基础设施,在矫正监控资本主义逐利偏差的同时,生成与法律强制下行政管理方式相并行的算法行政。算法行政作为全新的权力工具导致数字社会治理机制的范式转化,这对法治国的传统法律原则提出挑战。福柯的"规训"理论可以解释基于数字人格的权力运作以及社会信用体系的正当性,也能解构算法行政生成的"自我规制型"问责制,由此生成全新的数字行政法学。这为我国社会信用系统的法律规制提供新形态的学科支撑,也为该制度输出提供西方话语体系中的说服工具。     

当代中国社会保障权之可诉性透视——基于《人民法院案例选》（1992-2010）的文本分析

国家义务是实现社会保障权的法定义务。探讨社会保障权的可诉性,对全面把握和评判社会保障权之国家义务履行状况,具有决定性意义。以《人民法院案例选》（1992-2010）为参照系,当前中国对社会保障权的维护主要体现在社会保险权之工伤保险领域,在内容上主要表现为国家的尊重和保护义务。在明显具有给付性质或特征的社会保险权之养老保险、社会救助权、社会福利权等领域,国家对其法定义务的履行还任重而道远。在工伤认定案件中,法院对劳动者权利诉求的支持;以及在社会优抚权案件中,法院对《行政诉讼法》的扩张性解释,这些人性化举措都将如星星之火,可以燎原。     

感情法益:谱系考察、方法论审视及本土化检验

感情法益自19世纪末的谱系演变表明,援用哲学、心理学的既有成果尝试定义感情,或立足于法益论的基本立场预设可被保护的感情类别,并非妥当的方法论路径。基于感情背后是否存有可回溯至宪法的基本权利这一立场转换,"不真正/真正感情保护犯"的二元筛查架构当为可行的思路。据此,"何种感情值得刑法保护"不应是一个预先判断的命题,感情应为个人或社会法益亦非是一个前置性论断。死者虔敬感这一既往被认为具有社会属性的感情法益可被证伪,其实质在于公民生前人格权的辐射保护;英雄烈士所承载的社会集体感情虽为共同价值观之表征,但在我国刑法第299条之一中仅作为依附于逝者人格权的罪责增量。安全感法益本身亦与社会秩序无涉,而是经公民的意思形成自由之受益权功能最终到达国家保护义务。     

安全保障义务:属性识别与责任分配——兼评《民法典侵权责任编(草案第三次审议稿)》第973条

《侵权责任法》第37条第1款是违反安全保障义务的过错责任之规范基础,其设置于该法第6条第1款过错责任一般条款之后是过错责任从一般到具体的规范逻辑范式。侵权法的功能主要为救济与预防,故宜将第37条"造成他人损害"修改为"侵害他人民事权益",从而为停止侵害、排除妨碍、消除危险等责任方式的司法适用提供通道。为充分救济损害,宜认可安全保障义务具有法定义务与合同义务的双重属性。根据补充责任制度的内在逻辑,第37条第2款的适用范围应限缩为"第三人的主观故意+安全保障义务人的主观过失",进而在立法上明确补充责任人承担责任后可向第三人追偿的法权结构。对《侵权责任法》第37条的检讨,可以作为完善《民法典侵权责任编(草案第三次审议稿)》第973条的基础。     

“Bike litter” and obligations of the platform operators: Lessons from China's dockless sharing bikes

The boom of dockless share bikes in China has brought about enormous private benefits and social benefits. However, it has also imposed upon the public a new cost which can be termed as “bike litter”¹: share bikes parked or abandoned in pathways, rivers and other public spaces. It has not only damaged the aesthetic value of cities but has created serious safety hazards and public nuisances. None of the conventional methods of regulating road and traffic safety hazards, such as private actions, public enforcement and self-regulation, seem to have stopped bike-litter without also stopping dockless bike services. Without having to stop such services, or overly burdening their operators, it is proposed here that certain obligations should be imposed upon the operators of dockless bike services. Unlike tort-related obligations that focus on results (e.g., the reduction or sanction of bike litter), these new obligations compel operators to establish systems for monitoring the behaviors of bike users. In short, these obligations are as follows: (1) an obligation for operators to mandatorily include provisions in their terms of service to allow the operators to monitor, sanction and rewards certain parking behavior of users of the service; (2) an obligation for operators to create and maintain monitoring systems to detect bike littering and to enforce the user agreements; and (3) an obligation for operators to report on, and disclose, details regarding the operation and effectiveness of these systems. The mandatory disclosure obligation of operators, however, should be strictly subject to the protection of privacy rights of bike riders and the protection of fair competition between different platforms. It is also proposed that these obligations should be created through voluntary agreements between the government regulator and operators under a permit system, rather than by creating new statutory obligations, as the former is much more flexible and allows for the adoption of various incentive schemes. Such an approach may also help regulate torts incidence in other types of platform economies.     

论我国情势变更原则下再交涉义务的构建

再交涉义务是情势变更情形中,解决合同最终效力的前提性问题。纵向建立再交涉义务的内容体系,对于违反再交涉义务的情形,运用谱系化的分析方法,区分提出交涉方与响应方,适用不同的法律效果。本文针对我国理论界对再交涉义务研究的缺乏,通过分析国外关于再交涉义务的理论,提出了我国设立再交涉义务的理论构成：在情势变更原则下,把再交涉义务作为诉讼上行使变更和解除合同请求权的前置义务,第一重效果为再交涉义务的履行,第二重效果为合同的变更、解除以及损害赔偿,在违反再交涉义务时,产生第二重法律效果。