刑事诉讼个人信息保护论纲

信息时代下刑事诉讼领域与其他领域一样存在保护个人信息的需要,然而目前我国相关法律规定零散,且重视对公权力机关的授权,忽视对公民的赋权.为确立和完善刑事诉讼个人信息保护机制,应处理好刑事诉讼信息收集使用中的权利义务与权力责任、信息收集使用的公开透明要求与刑事诉讼封闭秘密特征、个人信息保护利益与预防打击犯罪目标及公众知情权这几组关系.根据区分对待原则、目的限制与比例原则、准确性原则,应当对信息主体赋予前提性权利、程序性权利和反制性权利,对公权力机关(信息控制和处理者)科以告知义务、协助义务和信息安全保障责任,并通过确立信息收集使用行为的司法令状和内部监管并立体系,设置独立的信息监管机构,构建侵犯信息权利的惩戒和赔偿机制等,提供保护个人信息的保障措施和救济途径,建立起我国的刑事诉讼个人信息保护机制.     

网络公司客户名单商业秘密与个人信息隐私权的冲突与协调

网络环境下,客户名单具有信息收集内容更为丰富、信息收集方式更为主动、信息收集涉及个人隐私等新的特点。客户名单在流转过程中有可能侵害个人信息隐私权,而个人信息隐私权也可能限制客户名单财产利益的实现。为有效地协调二者之间的关系,应当明确个人信息收集告知原则、赋予客户个人信息决定权、规定网络公司客户名单流转的限制性条件。     

论个人信息的行政法保护

行政主体收集、处理和利用个人信息是一种行政事实行为。我国应尽快制定个人信息保护法,明确信息主体有权要求行政机关不能随意处理个人信息,公开对其个人信息的收集和利用,规定个人信息保护的范围、原则、监督和救济制度。利益衡量是目前协调个人信息保护与行政信息公开的适当方法。     

APP主体的立法规制

APP相关主体规范与否直接关乎数据信息安全,关涉公民合法权益和社会公益。基于个人信息保护的不断发展,APP信息泄露问题逐渐显露出来。本文认为,应结合现有的个人信息保护立法,通过完善APP实名制度,构建APP相关主体备案制度,实施数据信息市场主体准入制度和第三方参与数据收集制度,以加强对个人数据信息的保护。     

公共卫生突发事件中个人信息权的保护:以新型冠状病毒肺炎疫情为背景

在公共卫生突发事件应对中追踪检测、收集及分析大量的个人健康信息和流动信息是出于社会大多数公众的生命安全之考虑,是实现公共管理手段的体现,可以达到对传染疾病的有效防治目的.但个人信息收集主体不规范的行为可能会导致个人信息泄露之可能,造成相关当事人的利益受损,如何平衡个人信息采集与公共利益保护依旧悬而未决.以公共卫生突发事件中的个人信息利用为全新视角,对个人信息保护制度进行研究,对于破解个人信息保护面临的实践难题具有重要的现实意义.本文分析了突发公共卫生事件下个人信息保护的法律依据,结合我国突发公共卫生事件下个人信息保护豁免的域外实践,指出我国突发公共卫生事件下个人信息保护存在一些困境,如在突发公共卫生事件中,个人信息的保护缺乏专门的立法和事后具体的利用规则.未来我国在突发公共卫生事件中,应加快个人信息保护的专门立法,同时应确立合法性原则、目的限定原则、最小范围原则及保密性原则为内容的公共卫生突发事件个人信息处理原则来进一步规范信息控制主体的行为.     

个人信息保护法立法模式的选择——以德国经验为视角

个人信息保护法调整范围囊括公、私两个领域,那么应当以何种立法技术来处理两套规范在同一法典中的关系？总结德国个人信息保护法的优劣得失,基于对个人信息收集基本原则及其例外在公私领域不同的适用情况,可以看出,德国的区别对待模式更加符合不同领域内个人信息保护的具体要求。     

疫情防控常态化中个人信息保护与公共利益的冲突和平衡

常态化疫情防控中，信息技术的运用对于提升动态清零的效率和精准防控提供了极大的便利，但同时也使涉疫个人信息的收集主体、披露标准、删除程序、救济机制等问题摆在了疫情常态防控中的突出位置。在公共利益优位的前提下，基于比例原则、目的正当和安全保障原则，个人信息使用的全生命周期必须遵循法治化轨道，完善个人信息收集、使用、公开、删除等具体细则，强调相关信息控制主体的安全保障义务，健全个人信息保护的救济途径，最大限度兼顾公共利益与个人信息保护的平衡。     

数据共享与个人信息保护

随着互联网和大数据技术的发展,数据共享现象日益普遍。数据共享是一种重要的数据利用方式,也是数据流通和数据产业发展的重要基础。数据共享中的个人信息仍然属于信息权利人的权利,与个人信息的收集、利用行为一样,数据共享也应当获得信息权利人的授权。我国民法典人格权编在规定个人信息权利时,应当规定数据共享规则,数据共享规则的设计应当妥当平衡数据流通与信息主体权利保护之间的关系,在具体设计数据共享规则时,应当在区分不同个人信息类型的基础上,设计信息主体的授权规则。     

韩国网络实名制发展脉络及思考

韩国网络实名制作为网络环境下公民个人权利保护的一次尝试最终以失败告终,其发展产生发展到失败的过程虽然短暂,但是给予了其他国家特别是我国在个人信息保护方面非常重要的经验。在建设社会主义法治国家的倡导下,个人信息保护理所应当以法治为基石,以隐私权作为个人信息保护的法理基础,而网络实名制不应该成为时代的主流。     

风险与控制：论生成式人工智能应用的个人信息保护

生成式人工智能的技术跃进架空了个人信息处理的告知同意规制和最小必要原则，引发了虚假信息生成和个人信息泄漏的广泛风险迭代问题。传统个人信息的权利保护路径面临认知和结构困境，无法应对生成式人工智能给个人信息保护带来极大挑战。以风险控制为导向的个人信息保护机制不强调信息主体对个人信息的绝对控制，旨在通过识别、评估、分配和管理将风险控制在最小范围内，可以灵活和实用地平衡生成式人工智能应用中的信息利用和风险控制，提供有效的解决方案。在风险控制理念下，对告知同意规则和最小必要原则进行风险化解释与调试，并建立从预防到识别再到控制的虚假信息生成风险的全过程应对机制，以及基于风险的个人信息保护合规管理体系，是当前的最优选择。     

社会诚信建设与个人权利维护之衡平——论征信体系建设中的个人信息保护

个人征信体系建设是我国推进信用经济发展的标志。个人征信是指依法设立的专门从事信用信息服务的征信机构,收集、处理和提供个人信用信息的行为。个人信用信息包括个人基本信息、个人信贷交易信息以及反映个人信用状况的其他信息。建立个人信用数据库的目的在于打造诚信社会,而大量的个人信用信息收集又使得个人权利面临重大的危险。个人信息之上体现的权利是一种基本人权,它包括公民的基本权利、自由,尤其是人格权。个人信息保护法立法的目的之一是事先个人权利保护和促进个人信息的合法合理使用之衡平,反映在个人信用信息这一具体制度构建方面,就是从促进信用经济健康发展的角度,在征信机构的利用和个人权利之间寻求平衡。     

Opening up personal data protection: A conceptual controversy

The existence of a fundamental right to the protection of personal data in European Union (EU) law is nowadays undisputed. Established in the EU Charter of Fundamental Rights in 2000, it is increasingly permeating EU secondary law, and is expected to play a key role in the future EU personal data protection landscape. The right's reinforced visibility has rendered manifest the co-existence of two possible and contrasting interpretations as to what it come to mean. If some envision it as a primarily permissive right, enabling the processing of such data under certain conditions, others picture it as having a prohibitive nature, implying that any processing of data is a limitation of the right, be it legitimate or illegitimate. This paper investigates existing tensions between different understandings of the right to the protection of personal data, and explores the assumptions and conceptual legacies underlying both approaches. It traces their historical lineages, and, focusing on the right to personal data protection as established by the EU Charter, analyses the different arguments that can ground contrasted readings of its Article 8. It also reviews the conceptualisations of personal data protection as present in the literature, and finally contrasts all these perspectives with the construal of the right by the EU Court of Justice.     

个人信息权的宪法(学)证成——基于对区分保护论和支配权论的反思

《个人信息保护法》最终纳入“根据宪法”条款,表征着个人信息保护法律体系在底层逻辑上的更动。民法学上权利与利益的区分保护原理,难以适用于整个合宪性法秩序。应将个人信息权确立为宪法位阶的基本权利,并以基本权利作为针对国家的主观防御权和辐射一切法领域的客观价值秩序的原理,协调个人信息保护的私法机制和公法机制。通过对人权条款笼罩下的通信权和人格尊严条款的解释,可以在学理上证立“基本权利束”性质的个人信息权。但其具体保护则应分别归入不同基本权利条款,作出区分化、差异化的多层次构造。个人信息保护的支配权思维有其局限,告知同意模式的式微是重要表现。应将个人信息权的规范目标调整为人格的自由发展,指向免于他人的人格干预。从支配权到人格发展权的思维转换,有助于规制对已收集信息的不当利用、破除“信息茧房”、缓和个人信息保护与利用之间的紧张,以及在“个人—平台—国家”的三方关系中有效保护个人的自决,同时为数据产业保留发展空间。     

Systematic construction of lawfulness of processing employees’ personal information under China's personal information protection law

With the rapid development and widespread use of digital technologies in the workplace in China, employers’ right to monitor and direct employees has often been abused, raising a number of disputes over the infringement of employees’ right to privacy in terms of their personal information. China must urgently develop an appropriate approach to balancing these two conflicting interests. However, there is currently no coherent and uniform regime governing the protection of employees’ personal information in China. The primary legal source on which employers can rely is the latest version of the Chinese Personal Information Protection Law (PIPL), which offers three lawful bases for employers’ processing of their employees’ personal information. These bases are employee consent; “necessity for the conclusion or performance of an employment contract”; and “necessity for conducting human resource management.” Concerns have been expressed regarding the reasonableness and effectiveness of the three lawful bases under the PIPL. First, it is both legally and practically problematic for the PIPL to rely so heavily on employee consent. Second, it is unclear whether the other two lawful bases relieve employers of the duty of notification and, if so, how to safeguard employees’ right to know. Third, the ambiguous standard of “necessity” requires clarification.This article argues that China should adopt many elements from EU law, while US law should be only followed in relation to the standard of “necessity”. In relation to employee consent, the EU approach is preferable to the US approach. As the EU approach does not generally regard employees’ consent as a lawful basis for the processing of their information and uses the other two lawful bases as alternatives to employee consent, this approach better reflects the customary practices of employee subordination and employer control in China. In contrast, US law deems employee consent to be an absolute general defense to the tort of privacy violation and adopts an employer favoritism approach to balancing these two conflicting interests, which is not appropriate in the Chinese context. In relation to the scope of necessity, three tests taken from the EU and US approaches should be considered by the Chinese courts. In addition, when processing personal information based on the other two lawful bases, employers should safeguard employees’ right to know through collective contracts concluded with labor unions or employee representatives under the Chinese Labor Contract Law, which would effectively address employers’ arbitrariness. Ultimately, these changes would produce a better balance between employees’ right to privacy in terms of their personal information and employers’ need to subordinate and control employees.     

个人信息的双重属性与行为主义规制

个人信息的法律保护依赖于公法对个人信息的定位。在公法与公法理论上,有两种看待个人信息的观点。一种观点认为个人信息权是一种基本权利,个人信息应当受到法律的确权保护;另一种观点则将个人信息视为他人言论自由的对象,个人信息的自由获取与使用受到法律保护。但这两种观点都无法从整体上理解个人信息,个人信息权的观点忽视了个人信息的自由流通属性与公共属性,而个人信息作为言论自由对象的观点则忽视了个人信息背后的多重权益。个人信息兼具个体属性与社会流通属性,应当确立一种"个人信息相关权益被保护权"。从个人信息的双重属性出发,个人信息保护应当在具体场景中确立个人信息收集与利用行为的合理边界。基于场景的行为主义规制更为符合个人信息保护的根本特征,也将为中国的个人信息保护提供一条超越欧美的中国道路。     

被遗忘权立法的美国模式及其立法启示——以加州被遗忘权立法为研究背景

“被遗忘权”是大数据时代个人信息删除制度的立法新发展。美国并不赞同欧盟模式的被遗忘权。加利福尼亚州立足美国法制传统构建了一个体现美国利益需求的被遗忘权。加州立法从维护个人发展权意义上建构未成年人的被遗忘权,以数据最小化原则为基础,建构适用于消费者与企业之间数据处理的被遗忘权,赋予个人删除本人发布的个人信息的权利,同时规定了一系列删除信息的例外,较好地协调了被遗忘权与言论自由和信息经济发展的矛盾。加州立法已成为美国个人信息保护立法的典范。未来,美国可能以加州模式为模板构建媲美欧盟被遗忘权的个人信息删除制度。加州对被遗忘权制度的取舍对我国《个人信息保护法》第47条的理解与适用具有启示意义。     

个人信息保护法制管窥

现代意义的隐私权乃是一种“个人信息控制权”,因此有必要对收集、利用、保存、传播他人信息的行为全面进行规范,许多国家先后制定了个人信息保护法。在立法模式上,根据是否以一部法律对公共部门和非公共部门的个人信息处理行为进行规范,分为总括和分离两种模式。在立法内容上,“OECD劝告”曾确立个人信息保护的八项原则,同时个人信息主体的权利可具体化为五项权利。另外,对特定行业制定特别规定是普遍采取的做法。     

生育权基本问题的探讨及其法律保护

关于生育权基本问题的争议很大,学界对生育权的性质、权属主体和权能更是众说纷纭。生育权应是自然人主体享有的生育的人身自由权,是自然人人格要素之一,属人格权范畴。自然人享有平等的生育权,但男女生育权并非同等,它们在权能和内容上存在差异。男女生育权共同的权能有生育选择权、生育信息知情权等,无“生育隐私权”权能,且生育选择权受到限制,是相对的选择权。女性生育权较男性生育权具有更多的可选择内容和更大的知情权范围。此外,女性生育权还独有生育健康权权能。生育权的法律保护有待完善,最高院《关于适用〈婚姻法〉若干问题的解释（三）》（征求意见稿）第十条需加修改。     

Privacy and Search Engines: Forgetting or Contextualizing?

This article considers the much‐criticized ‘right to be forgotten’ in the context of the European Court of Justice's judgment in the Google Spain case. It defends the ‘right to be forgotten’ as a metaphor that can provide us with a better understanding of the particular privacy concerns of the search‐engine age and their interaction with the freedom to access information, and draws on Goffman's idea of ‘information games’ and Nissenbaum's theory of ‘contextual integrity’. While supporting the principles that underpin the judgment, the article rejects the Court's binary approach of ‘forgetting’ versus ‘remembering’ personal information. Instead, it argues that the EU legislator should introduce more nuanced means of addressing modern privacy concerns. By establishing two remedies – ‘delisting’ or ‘reordering’, depending on the nature of the information – online information flows can be adjusted to preserve both the right to privacy and the freedom to access information in more contextually appropriate ways.     

Information Privacy Protection in the New Chinese Civil Code: Priority or Replacement?

The right to privacy has been developed through judicial practice and has evolved from “the protection of the right to reputation” to “privacy interest” then to “privacy right.” The Civil Code of the People’s Republic of China (2020) clarifies the right to information privacy and the right to personal information as two independent personality rights and establishes a privacy priority protection mechanism for private information in civil law. The comparative efficiency of the right to personal information may mean that the protection of the right to information privacy is weakened or even replaced by the right to personal information. The uncertainty and fragmentation of private information also creates a wide gray space for judicial decisions. The development from traditional privacy right to information privacy right and personal information right is generally positive and shows the active legal response to the protection of private information in multiple ways. However, clarifications and systematization are required to increase the effectiveness of such protections.