论《个人信息保护法》对医学科研的影响

《个人信息保护法》“强化两头,多方平衡”。医学科研中的个人信息处理应以保护受试者个人信息权益为前提,平衡好各方合法权益。个人信息的界定采关联说,编码信息属于个人信息。医学研究应遵守个人信息处理规则,处理个人信息应当有合法依据,要么取得受试者明确同意,要么有法律许可。医学研究中的个人信息往往既是敏感信息,也是私密信息,故对受试者个人权益往往有重大影响,需要在处理前进行评估,严格履行《个人信息保护法》规定的个人信息处理者义务,依法保障受试者在个人信息处理活动中的法定权利。《个人信息保护法》对科学研究中的泛化同意未予认可,不符合医学科研的特点,不利于科学创新,值得商榷。     

论个人信息保护请求权的行使

个人信息保护请求权是为保护个人的知情权、决定权等个人信息权益及其最终保护的若干基本人权、宪法上的权利与自由、民法上的人格权等而设立的程序性权利。《个人信息保护法》第50条规定了个人信息保护请求权的具体行使方式。个人就个人信息保护请求权提起诉讼的，应以个人信息处理者拒绝其行使权利的请求为前提。人民法院处理个人信息保护请求权纠纷，应依据法律、行政法规的规定对个人信息处理者拒绝个人行使权利的正当性进行审查。符合行使个人信息保护请求权的起诉条件的，个人可以就维护权利的合理费用一并提出损害赔偿请求。个人因个人信息被侵害受到人身、财产损害的，可依据《个人信息保护法》第69条的规定直接提起诉讼，不以向个人信息处理者先行提出损害赔偿请求为前提。     

论个人信息处理中的优位利益豁免规则

《个人信息保护法》第13条以开放列举的方式对个人信息处理的合法性基础作出了规定，并将“知情同意规则”确立为基本原则。但事实上该规则深陷传统财产规则的桎梏，过分强调个人对信息的控制，而忽视了信息的流通与利用。有鉴于此，我国可引入优位利益豁免规则，赋予信息控制者在经过利益识别，认定信息处理所保护之利益优于信息主体利益后，无需经过信息主体同意直接处理个人信息的权利，进而在知情同意规则之外对个人信息处理行为的合法性基础进行补充，平衡对信息主体的过度保护。与此同时，亦需要建立严格的优位利益识别机制、强化信息控制者义务，疏通信息主体的救济途径并加强政府监管，以防规则滥用。     

个人信息国家保护义务理论的反思与重塑

当前的个人信息国家保护义务理论，主张将个人信息纳入基本权利保护范围，并以个人信息国家保护义务为基础建立个人信息保护法律体系。然而，在概念表达上，该理论以“客观法”表征个人信息基本权的属性，错置了客观法与主观权利之间的关系；用“间接效力”指称个人信息基本权对作为私主体的信息处理者的效力，混淆了“效力”和“效果”的语义。在宪法解释方法论层面，该理论在宏观上具有的法哲学化解释倾向、在微观上对概括性人权条款的悬置处理，使其在宪法教义学上欠缺说服力。面对立法实践，该理论无力解释作为私主体的信息处理者何以承担公法义务。确立个人信息保护权利基础的二元结构，明确个人信息基本权积极面向的主观权利属性，适度延伸个人信息基本权的效力范围，并对国家保护义务内容作相应调整，是重塑个人信息国家保护义务理论的有效途径。     

个人信息权益的二元构造论

个人信息权益存在绝对权与相对权两个不同的面向。在个人信息被处理之前，个人就其个人信息享有的法律地位具有对世性，尽管该法律地位没有被制定法规定为主观权利，但是其法律效力等同于绝对权。在个人信息被处理之后，个人在个人信息处理活动中的权利属于相对权。尽管个人信息相对权由法律事先规定，但是仍然赋予个人私法自治的空间，个人有权与处理者另行约定其他相对权。澄清个人信息权益的二元构造，有助于分别建构个人信息权益的救济机制。个人信息绝对权应当受到侵权损害赔偿和停止侵害、排除妨碍与消除危险等绝对权请求权的保护。个人信息相对权要求处理者提供积极给付，在处理者拒不履行或者不完全履行或者迟延履行时可以类推适用违约责任的有关规定。     

社会风险控制抑或个人权益保护——理解个人信息保护法的两个维度

个人信息在《民法典》中被确认为一种人格法益,在理论和立法上确立了我国个人信息的私法保护面向。个人权益保护成为构建和理解个人信息保护的重要维度和线索。由于个人信息保护的公共目标和功能可能被个人私益保护的进路所覆盖或消解,因此有必要将社会风险控制作为个人信息保护的重要维度来对待。社会风险控制一直是电子化时代个人数据保护的基础性目的,它对于个人信息保护的相关理论和制度具有很强的解释力和动态构建作用。社会风险控制和个人权益保护两种进路在相关基础问题上出现分歧,如个人信息与隐私的基础关系、一般性保护与场景化保护以及本权与保护权的关系等。在《个人信息保护法》实施过程中,社会风险控制进路有助于合理解读和执行法律,把握风险大小与控制措施的合理匹配,以及在平衡相关立法价值的前提下,释放信息的流动性。     

大数据时代个人信息保护的法律完善

我国个人信息保护立法经历了从无到有、从少到多、从点到面、从面到体的发展过程，呈现出从注重保护到兼顾保护与利用、从整体框架设计到配套制度供给、从普适性规范到特定行业规范的发展趋势。大数据时代的个人信息保护面临两方面挑战，一是个人信息保护法域外效力制度缺乏可操作性，二是区块链、ChatGPT等新技术新应用带来的法律挑战。对此，应当进一步完善个人信息保护法，提升个人信息保护法域外效力制度的体系性，加强个人信息保护法域外效力制度的国际性，明确区块链责任主体和个人信息权利实现方式，注重对ChatGPT个人信息处理活动透明度的监管，以更好地保护个人信息。     

刑事诉讼中适用《个人信息保护法》相关问题研究

《个人信息保护法》的颁布实施将刑事诉讼统一纳入个人信息保护法律规范体系当中,需要认真研究刑事诉讼中如何适用《个人信息保护法》的相关规定。个人信息保护中的核心规则“告知-同意”规则在刑事诉讼中基本失效,同意规则无须适用,告知规则设置了宽泛的例外,刑事诉讼法律规范中应当明确例外的界限与适用情形。对于个人信息保存时限、委托处理个人信息的相关规则、自动化决策和敏感个人信息的处理,刑事诉讼中都应当进一步予以细化规定。个人信息权益在刑事诉讼中呈减损状态,但不应被彻底剥夺,应当着力强化刑事执法、司法机关的个人信息保护的合规义务,构建《个人信息保护法》适用于刑事司法领域的若干支撑配套制度,包括将规制场景由技术侦查扩展至更为广阔的信息收集实践,强化事先数据合规制度建设,增设检察机关作为刑事司法系统中投诉处理的负责机构等。     

权利抑或利益：个人信息保护立法模式之辩

当个人信息保护与数据流通发生冲突时,基于利益衡量,原则上应力求二者关系的协调,但无法衡平时个人信息保护应处于优先地位。检视个人信息利益的保护模式,其中一般人格利益模式和纯粹的民事利益模式均存在缺陷。运用德国权益区分理论,在法教义学上审查可知应当确立个人信息权利模式。基于应更侧重于人格权益的保护、作为具体人格权可兼顾数据流通、可实现多途径救济等因素的考量,将个人信息权利合目的性限缩为具体人格权。在个人信息保护法的制定中,还应注重场景适用具体规则的构建,包括应排除纯粹私生活领域的信息行为,确认为维护公共利益处理个人信息的行为,强化商业领域信息处理的规制力度。     

个人信息治理的科技之维

在个人信息保护法出台的背景下,重新构想科技与法律之间的关系,可谓总体回应数字时代个人信息危机的重要一环.作为国家、企业、个人三方权益汇聚之地,个人信息研究必须超越传统的"规制—权利"思维,迈向国家法律、信息科技、市场竞争和社群规范的个人信息治理体系.在诸多系统中,信息科技居于优位.一方面,它以"合规科技"的面貌,凭借"经设计的治理理念",将国家法律的原则和规则转化为个人信息生命全周期的科技保护;另一方面,它以"赋能科技"的面貌,通过降低法律执行成本、当事人交易成本,甚至改变法律的"假定条件",赋能各利益相关方.为此,法律应合理解释个人信息"匿名化"构成要素,认可"去标识化信息"的法律意义,从而使信息科技与法律彼此协调,共建激励相容的个人信息治理体系.     

个人信息权的体系化解释——兼论《个人信息保护法》的公法属性

《个人信息保护法》是数字时代个人信息保护的基本法。它采取了将个人信息权作为新兴公法权利的思路,确立了完整的个人信息权利保护体系,在个人信息保护问题上和《民法典》一起形成了公私法共同协力的进路。《个人信息保护法》以权利束的方式规定了个人信息主体的知情权、决定权、查阅权、复制权、更正权、删除权、可携带权和信息权利救济权等。《个人信息保护法》从立法依据、权利体系、条文设计和规制措施上都体现出鲜明的公法属性,这也可以从基本权利的双重面向和个人信息国家保护义务得到理论上的证成。这部法律是数字时代公法秩序的基石,它对公法边界的形塑仍需通过其实施来确立。     

论《民法典》个人信息保护规则蕴含的权利——以分析法学的权利理论为视角

在分析法学的权利理论中,权利和义务的关联性原理得到了普遍认可.当然,这种关联性也存在例外.不存在对应权利的义务类型可被归纳为"对世义务".《民法典》第1035条第1款第1项是一个义务性规则,确立了个人信息处理者在通常情况下征得自然人或其监护人同意的义务.该义务具有明确的相对人,不属于"对世义务",应存在对应的权利,即信息主体对同意与否的决定权.《民法典》第1037条更是采用授权性规则的立法表达,赋予了自然人查阅、复制、更正、删除个人信息的权利.可见,我国《民法典》虽然没有明确使用"个人信息权"一词,但在个人信息保护规则中已经存在具体的权利内容.《民法典》分别使用义务性规则和授权性规则的立法表达,有其合理性和重要意义.我国正在制定中的个人信息保护法拟设专章规定"个人在个人信息处理活动中的权利",其中明示的权利有着《民法典》上的渊源,在性质上具有私权属性.     

个人信息可携带权在国家机关间的实现

学界关于个人信息可携带权的研究很少涉及其在国家机关间实现的情形，但个人信息可携带权具有在国家机关间实现的规范基础和现实需要。从法教义学角度分析，宜将个人信息保护法第33条理解为一种特殊立法技术，即该条使得个人信息保护法中的规范具有公私法双重属性，第45条第3款规定的个人信息可携带权亦具有“公私法兼容性”。但公法上的个人信息可携带权并非宪法上个人信息权的保护核心，而是处于立法者的形成空间中，主要体现为要求国家机关作出具体行为的行政法上的请求权，其解释需要受其宪法规范的辐射效果。应从权能要素、客体范围和技术标准等维度明确公法上的可携带权的权利内容，基于公共利益和第三人保护厘定其外在限制，勾勒公法上的可携带权的最终保障范围，从而更好地发挥其促进数据流通、构建互联互通数字政府的积极作用。     

个人信息司法保护的利益衡量

在我国《个人信息保护法》已经颁布实施的情况下,个人信息司法保护的利益衡量更显重要,主要体现为个人信息利益与社会公共利益和企业数据利益之间的冲突与平衡。从法律依据看,我国法律文本中解决个人信息利益与其他利益冲突的规定主要体现为“数据条款”和“公共利益条款”。从司法实践看,公共利益界定的模糊导致了其与个人信息利益的紧张关系,公共利益代表机制的多元加剧了其与个人信息利益之间的冲突,且呈现出“重追责轻管理”“重刑轻民”、救济机制不畅等特点。实现个人信息司法保护的利益平衡,在解释论层面需要强化处理个人信息基本原则、保护责任机制和侵权法律责任,在立法论层面需要进一步明确界定相关核心概念、创新个人信息保护模式、建立专门个人信息保护机构以及健全个人信息权益救济规则。     

个人信息保护法制管窥

现代意义的隐私权乃是一种“个人信息控制权”,因此有必要对收集、利用、保存、传播他人信息的行为全面进行规范,许多国家先后制定了个人信息保护法。在立法模式上,根据是否以一部法律对公共部门和非公共部门的个人信息处理行为进行规范,分为总括和分离两种模式。在立法内容上,“OECD劝告”曾确立个人信息保护的八项原则,同时个人信息主体的权利可具体化为五项权利。另外,对特定行业制定特别规定是普遍采取的做法。     

论个人信息保护限制的立法范式与体系逻辑——以应对突发疫情事件为例

对个人信息保护进行适当限制是平衡个人权益与公共利益的必然选择。基于特定的紧急背景在公法中设定个人信息保护限制,虽有助于集中力量驱逐疫情,但往往忽视对作为私权客体性的个人信息对象考察,容易侵犯个人信息法益。当前我国民法典对个人信息保护的限制规定虽符合疫情防控下个人信息保护限制的紧急需求,但缺失对权利限制的一般条款以及合理实施的进一步解释,亟待更精细的规范进行界定。这表明应对重大疫情防控时,我国立法在个人信息保护的合理限制问题时出现了制度缺位。原因在于,无论是公法还是私法都无法独自处理好疫情防控下的个人信息保护限制问题。公、私法二元性质个人信息保护立法框架契合数据治理理论的内在属性,也是风险社会中公私法协力的必然要求。重大疫情背景并不决定个人信息保护限制的二元范式,这是由个人信息的属性本身所决定的。公法和私法分别规定个人信息保护限制规则均具有部分正当性来源,但从法律的实现效果以及比较立法趋势来看,将个人信息保护限制置于一部公私复合的个人信息保护法之中更符合时代发展。文章最后在该立法范式引导下,反思了当前个人信息保护限制立法体系逻辑,并提出了个人信息保护限制立法完善的建议。     

数字时代隐私权保护的立法因应

数字技术在为人类生活带来便利、促进数字经济发展和数字服务能力及效率提升的同时,使自然人隐私权面临以保障安全和发展经济为名的潜在威胁、数字伦理缺失等多重消解风险。当下中国形成了以《数据安全法》保障数据安全、以《个人信息保护法》规制个人信息处理活动、以《民法典》保护自然人隐私权的立法模式。但在数字时代,上述立法模式存在对个人信息和隐私界定不明、缺少流动场景下对隐私权社会属性的重视、隐私权法律救济和责任规制缺失、国内外的隐私权保护立法衔接不足等问题。在数字时代,我国对隐私权保护立法的完善,应从法理和适用规则上界分隐私和个人信息,依群体分类保护隐私权,完善私密信息的法律救济规则,健全对重点场景和行业的法律责任追究机制,建立公平公正的数字贸易与隐私权保护国际规则,强化自然人对数字社会治理的参与等。     

《民法典》视域下的个人信息保护

个人信息的重要性随着互联网、大数据、云计算和人工智能的快速发展越来越凸显。《民法典》对个人信息权益的法律属性界定以及相应保护规定,将自然人的个人信息保护提到了一个新高度,为进一步完善个人信息保护法律体系提供了重要的立法依据。但是,个人信息随技术变化还有许多方面不甚明确,适应这种变化的法律要求会不断提高。在《民法典》的视域下,不仅可以看到要保护哪些个人信息、保护的法律属性和实施保护的基本取向,还可以发现构建以《民法典》为基础的个人信息保护法律体系将是我国法治建设的一项重要任务,特别要加快《个人信息保护法》的制定进程。     

论个人信息处理的“合同所必需”规则

《个人信息保护法》新增“合同所必需”作为合法处理个人信息的条件之一，但该规则在适用中存在个人信息处理者以增加服务内容、扩大个人信息需求以及降低信息处理透明度的方式侵害用户权益的风险。通过分析欧盟“合同所必需”规则的适用前提、适用标准、适用条件，思考对规则异化的风险进行控制与化解的路径，可为我国建立健全相关适用规则提供借鉴。“合同所必需”规则的适用基础仍是知情同意，其本身不应是一项单独的法定事由，在适用时必须明确“合同依法成立并生效”这一独特前提，在此基础上依托合同自由与公平原则建立相应适用规范，在合法与正当原则下确立“关联性”标准，在目的明确与最小化原则下确立“必需性”标准，在强化告知义务中确立“透明度”标准。同时，基于法律的禁止性规定，在敏感个人信息处理和利用信息进行自动化决策中不能适用该规则。     

个人信息保护公益诉讼制度研究

数字经济时代背景下，个人信息侵权不仅损害个人信息主体的个人权益，也损害社会公共利益。为更好地应对由此带来的信息公共安全问题，个人信息保护法第70条确立了个人信息保护公益诉讼的法律地位。因该条款为原则性规定，故应从个人信息公益化识别标准、起诉主体的确定和顺位性问题、个人信息保护公益诉讼的适用情形以及法律责任的组合方式等方面进行深入研究和阐释，以利于对法律规定的正确理解与适用。