敏感个人信息的法律基准与范畴界定——以《个人信息保护法》第28条第1款为中心

《个人信息保护法》第28条第1款中敏感个人信息的"敏感"是指法律规制的高反应度,其以信息处理的权益侵害风险为法律基准,风险内容指向除个人信息权益之外的人格尊严和人身、财产权利,风险程度则以达到"一般权益侵害程度+更高风险兑现概率"为必要.敏感个人信息的界定应采取场景抽离和场景融入双重路径.场景抽离关注作为内因的信息内容,内容具有强工具性和唯一识别性的个人信息为敏感个人信息;场景融入关注作为外因的场景要素,信息处理者的认知能力、信息应用能力及信息存在状态是改变信息内容属性的主要场景要素,可以促成敏感个人信息的转化.因未成年人信息控制能力弱、信息暴露程度高,立法将其个人信息归入敏感个人信息具有合理性.第28条第1款列举的各项信息具有涵括性,不能直接作为敏感个人信息的认定依据,是否属于敏感个人信息仍须进行具体判定.     

敏感个人信息保护的特殊制度逻辑及其规制策略

敏感个人信息因其对个人的人身和财产安全具有极端重要性,需要特别的法律保护。我国现行立法对敏感个人信息的特别保护存在制度供给不足。《个人信息保护法》虽秉持对一般个人信息和敏感个人信息区别规制的立法思路,但有关敏感个人信息特别保护的规范较为简略。从我国敏感个人信息保护的实践需求及域外立法经验来看,敏感个人信息保护在"知情同意"的适用、法定处理事由的明确、技术治理的实现、损害认定的完善等方面应有区别于一般个人信息保护的特殊制度逻辑。相应地,敏感个人信息保护也应有区别于一般个人信息保护的特殊规制策略。     

论《个人信息保护法》对医学科研的影响

《个人信息保护法》“强化两头,多方平衡”。医学科研中的个人信息处理应以保护受试者个人信息权益为前提,平衡好各方合法权益。个人信息的界定采关联说,编码信息属于个人信息。医学研究应遵守个人信息处理规则,处理个人信息应当有合法依据,要么取得受试者明确同意,要么有法律许可。医学研究中的个人信息往往既是敏感信息,也是私密信息,故对受试者个人权益往往有重大影响,需要在处理前进行评估,严格履行《个人信息保护法》规定的个人信息处理者义务,依法保障受试者在个人信息处理活动中的法定权利。《个人信息保护法》对科学研究中的泛化同意未予认可,不符合医学科研的特点,不利于科学创新,值得商榷。     

《个人信息保护法》具体适用中的若干问题探讨——基于《民法典》与《个人信息保护法》关联的视角

《个人信息保护法》中的私法规范与《民法典》属于特别法和一般法的关系.告知同意规则作为个人信息处理的核心规则,司法层面应当对"不同意就不提供服务"等违反自愿原则取得个人同意的效力予以否定评价.除个人同意外,法定许可也是个人信息处理的重要合法性基础.在信息处理者违法处理个人信息的归责原则上,《个人信息保护法》明确适用过错推...     

个人信息保护的私法维度——兼论《民法典》与《个人信息保护法》的关系

个人信息的私法保护路径对于有效保障民事主体的个人信息权益十分重要;《个人信息保护法》本身包含大量的私法规范、制度和原则,因此需要从体系化的角度与《民法典》作关联解读与适用.由此,需要充分认识到《民法典》与《个人信息保护法》之间的内在密切关联,正确看待二者的关系.《民法典》与《个人信息保护法》中的私法规范构成普通法与特别法的关系,在后者有明确规定的时候应优先适用,而在其没有规定的时候应适用《民法典》的规则.在个人信息保护的法律适用中将二者割裂甚至对立起来的观点或者对《民法典》采取排斥封闭的态度,都会破坏法律体系的和谐和法律适用的统一,对个人信息保护来说也是不利的.     

我国《个人信息保护法》中的“守门人”条款

大型平台是数字经济的关键构成要素,在终端用户与商业用户的交易中发挥着中介作用,承担着二者之间守门人的角色。我国《个人信息保护法》借鉴了欧盟《数字市场法提案》和《数字服务法提案》,设专条对提供重要互联网平台服务、用户数量巨大、业务类型复杂的"守门人"进行了规范,要求其建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督,制定平台规则明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务。"主要由外部成员组成的独立机构"存在争议,且与"个人信息保护负责人"存在职能重叠,其关系有待厘清。定期的风险评估应成为个人信息保护合规的重要内容。在实践中应对"提供重要互联网平台服务、用户数量巨大、业务类型复杂"进行限制解释,以更好地促进数字经济的发展。     

论《民法典》个人信息保护规则蕴含的权利——以分析法学的权利理论为视角

在分析法学的权利理论中,权利和义务的关联性原理得到了普遍认可.当然,这种关联性也存在例外.不存在对应权利的义务类型可被归纳为"对世义务".《民法典》第1035条第1款第1项是一个义务性规则,确立了个人信息处理者在通常情况下征得自然人或其监护人同意的义务.该义务具有明确的相对人,不属于"对世义务",应存在对应的权利,即信息主体对同意与否的决定权.《民法典》第1037条更是采用授权性规则的立法表达,赋予了自然人查阅、复制、更正、删除个人信息的权利.可见,我国《民法典》虽然没有明确使用"个人信息权"一词,但在个人信息保护规则中已经存在具体的权利内容.《民法典》分别使用义务性规则和授权性规则的立法表达,有其合理性和重要意义.我国正在制定中的个人信息保护法拟设专章规定"个人在个人信息处理活动中的权利",其中明示的权利有着《民法典》上的渊源,在性质上具有私权属性.     

刑事诉讼中适用《个人信息保护法》相关问题研究

《个人信息保护法》的颁布实施将刑事诉讼统一纳入个人信息保护法律规范体系当中,需要认真研究刑事诉讼中如何适用《个人信息保护法》的相关规定。个人信息保护中的核心规则“告知-同意”规则在刑事诉讼中基本失效,同意规则无须适用,告知规则设置了宽泛的例外,刑事诉讼法律规范中应当明确例外的界限与适用情形。对于个人信息保存时限、委托处理个人信息的相关规则、自动化决策和敏感个人信息的处理,刑事诉讼中都应当进一步予以细化规定。个人信息权益在刑事诉讼中呈减损状态,但不应被彻底剥夺,应当着力强化刑事执法、司法机关的个人信息保护的合规义务,构建《个人信息保护法》适用于刑事司法领域的若干支撑配套制度,包括将规制场景由技术侦查扩展至更为广阔的信息收集实践,强化事先数据合规制度建设,增设检察机关作为刑事司法系统中投诉处理的负责机构等。     

《民法典》视域下的个人信息保护

个人信息的重要性随着互联网、大数据、云计算和人工智能的快速发展越来越凸显。《民法典》对个人信息权益的法律属性界定以及相应保护规定,将自然人的个人信息保护提到了一个新高度,为进一步完善个人信息保护法律体系提供了重要的立法依据。但是,个人信息随技术变化还有许多方面不甚明确,适应这种变化的法律要求会不断提高。在《民法典》的视域下,不仅可以看到要保护哪些个人信息、保护的法律属性和实施保护的基本取向,还可以发现构建以《民法典》为基础的个人信息保护法律体系将是我国法治建设的一项重要任务,特别要加快《个人信息保护法》的制定进程。     

中国个人信息保护法草案若干问题

在个人信息保护法草案中,个人信息的定义应修改为"个人信息是能够单独或者与其他信息结合识别有生命的自然人的各种信息,不包括匿名化处理后的信息."并加一款体现"识别"+"关联"的立法思路的文字.个人信息处理的列名操作应该由七个变更为十一个,即收集、存储、加工、使用、交易、提供、公开、查阅、复制、更正、删除等.第六十九条匿名化定义的"无法识别"且"不能复原"与第二十四条第二款规定的"重新识别"之间存在矛盾,需要修改.     

侵犯公民个人信息罪中个人信息的界定与法益侵害分析

侵犯公民个人信息罪中个人信息的内涵应当与个人信息保护法中个人信息的内涵保持一致。刑法及其司法解释对个人信息的界定存在一定偏差，应予以调整。刑法对个人信息的分类应参考个人信息保护法中的二分法，在具体规定中采取“概括+列举”的方式对个人信息予以规定。侵犯公民个人信息罪所侵害的法益不是公共信息安全，而是与公民人格权、财产权紧密关联的个人信息自决权。将个人信息自决权认定为侵犯公民个人信息罪的侵害法益符合该罪的立法目的。     

浅论我国公民个人信息的刑法保护

《刑法修正案(七)》增加了侵犯公民个人信息罪,法律属性决定了公民个人信息的不容侵犯性,是刑法保护公民个人信息的前提。我国公民个人信息刑法保护存在三个方面的问题,罪名的设置有待商榷、"情节严重"标准模糊和相关附属刑法有待完善。我国公民个人信息刑法保护的完善也需要从前述的三个方面着手。     

个人信息国家保护义务及展开

个人信息保护法体系建构的基础是国家在宪法上所负有的保护义务,该义务对应着"个人信息受保护权",而不是"个人信息权"。将个人信息作为私权客体的权利保护模式,在规范逻辑、制度功能等方面存在局限;应以"个人信息受保护权—国家保护义务"框架建构个人信息的权力保护模式。在数字时代,个人信息国家保护义务意味着国家不仅应履行尊重私人生活、避免干预个人安宁的消极义务,还应通过积极保护,支援个人对抗个人信息处理中尊严减损的风险。基于控制"数据权力"这一侵害风险源的需要,国家一方面应避免过度侵入个人信息领域;另一方面应通过制度性保障、组织与程序保障以及侵害防止义务的体系化,营造个人信息保护的制度生态。     

基于个人信息保护的国际贸易壁垒及其法律应对

信息化时代的个人信息传播渠道多样,成本低廉,导致个人信息受侵害的可能性大大增加.并且,全球化的传播渠道放大了个人信息保护不力的后果,使个人信息保护问题成为全球性政策议题.由于存在历史传统、文化背景和管制模式的差异,不同国家在个人信息保护标准、强度等方面存在分歧,有可能使个人信息保护成为国际贸易非关税壁垒的新形式,滋生贸易保护主义.因此,应当加强个人信息保护的国际协调,通过国际磋商和政策协调实现个人信息保护的标准趋同.我国也应当加紧制定《个人信息保护法》,积极参与国际标准的规则制定和政策形成,同时加强企业监管,为个人信息保护提供良好的制度保证,减少国际贸易争端.     

个人信息权民法保护研究

随着网络技术的迅猛发展,目前的社会出现了现实世界与网络虚拟世界相互交织共存的现象,我们对网络德依赖度不断上升,在此过程中也出现了网络侵犯个人信息权的问题.这使得个人信息权保护问题成为了人们的关注焦点之一.民法是保护个人信息权的一项基本法律,要求明文规定个人信息权的保护内容,即在民法中,专门规定保护个人信息权的内容,明确侵权应该承担的民事责任.本文从研究我国个人信息权的民法保护实际情况入手,研究在个人信息权的民法保护中存在的问题,并完善个人信息权的民法立法保护,为有效遇制侵权行为提供理论参考.     

个人信息治理的科技之维

在个人信息保护法出台的背景下,重新构想科技与法律之间的关系,可谓总体回应数字时代个人信息危机的重要一环.作为国家、企业、个人三方权益汇聚之地,个人信息研究必须超越传统的"规制—权利"思维,迈向国家法律、信息科技、市场竞争和社群规范的个人信息治理体系.在诸多系统中,信息科技居于优位.一方面,它以"合规科技"的面貌,凭借"经设计的治理理念",将国家法律的原则和规则转化为个人信息生命全周期的科技保护;另一方面,它以"赋能科技"的面貌,通过降低法律执行成本、当事人交易成本,甚至改变法律的"假定条件",赋能各利益相关方.为此,法律应合理解释个人信息"匿名化"构成要素,认可"去标识化信息"的法律意义,从而使信息科技与法律彼此协调,共建激励相容的个人信息治理体系.     

浅析个人信息权

个人信息保护的频频失手不断敲响了个人信息保护的警钟,也引起了人们对个人信息保护的普遍关注。民法作为权利法,无疑应该在个人信息保护中走在最前列,确认个人信息及个人信息权是当务之急。首先阐释了个人信息的概念,然后分析了个人信息能够被权利化从而成为个人信息权的理由,阐释了个人信息权的概念及内容,最后就个人信息权的一些具体问题做了理论上的探讨与分析,如个人信息权的主体、对象、民事救济及其限制。     

个人信息保护立法理念探究——在信息保护与信息流通之间

个人信息保护法应当是对个人信息进行合理利用与恰当保护相结合的法律.欧洲政府和美国政府采取了不同的路径来保护个人信息.欧洲更为重视从权利角度出发保护个人信息,美国则更注重从信息流通的角度出发促进个人信息的自由流通.个人信息保护的"权利保护论"与"自由流通论",以及因为对上述理论的解释与侧重不同而产生的欧洲的国家立法主导与美国的企业自律的个人信息保护模式,均有其合理与可取的方面.我国的个人信息保护法在立法理念上应当兼顾个人信息的"权利保护"与个人信息的"自由流通",以达到二者之间的和谐与平衡.     

论个人信息权的构建及其体系化

通过赋予信息主体以个人信息权,可以消除信息利用的"丛林法则"和"公地悲剧",从积极和消极两个方面增强信息主体对个人信息的管治,在为信息主体提供更加周延的法律保障的同时,促进信息的利用和融合,实现信息之为信息的本质.我国民法典确立了个人信息权的基本框架,我国个人信息保护法进一步细化了个人信息权的主体、客体、效力、行使条件、救济手段,从而形成了以个人信息的知情同意权、获取权、异议更正权、拒绝权、删除权等为权能的个人信息权利体系,成为我国个人信息保护制度的基础和核心.     

论国家机关的个人信息保护法律责任——以《个人信息保护法》第68条为切入点

我国个人信息保护法第68条规定了国家机关的个人信息保护法律责任。在责任主体方面，该条涵盖国家机关和准国家机关的个人信息处理者与个人信息处理活动规制者两种身份，但存在两项缺漏：一是未明确履行个人信息保护职责的部门不依法履职的法律责任，二是未规定对非国家机关违法负直接责任的公职人员应受处分以及对国家机关违法负直接责任的人员应受行政处罚。在适用行为方面，第68条第1款所称的“不履行本法规定的个人信息保护义务”指作为个人信息处理者的国家机关违反该法义务性规定；第2款所称的“玩忽职守、滥用职权、徇私舞弊”彼此独立，其对应于我国刑法第397条第1款和第402条。在责任形式方面，第68条的“责令改正”属于内部行政行为，存在落实不力之虞，需强化内部和外部监督；“处分”指任免机关、单位给予处分和监察机关给予政务处分。违法人员具有党员身份的，还应受到组织处理、党纪处分，涉嫌犯罪的应追究刑事责任。