论个人信息保护中的人格保护与经济激励机制

个人信息保护制度中的"知情—同意"框架偏向于通过信息主体自治以保护个人信息,这一路径选择对信息的合理流通和利用构成了严苛的限制,实践中也存在形式化问题。从理论基础和经验逻辑看,"知情—同意"规则需要考虑更为具体的场景;而在具体场景中,对信息主体的经济激励机制可以引导和促成信息主体的"同意"。因此可以将经济激励作为同意的促成机制,这有助于在不偏离"知情—同意"规则的前提下,为个人信息保护与数据合理利用双重目标的实现提供一种平衡方案。通过经济激励机制,信息处理者可与信息主体共享数据利用产生的经济收益,由此适当突破"必要性原则",获得超出为信息主体提供服务之目的的数据处理权限。但经济激励机制亦需受到内容和形式上的限制,避免被泛化为普遍适用的数据处理后门。在当前我国个人信息保护法的制定中,可以考虑引入经济激励制度,构建人格保护与利益激励相结合的"二元机制",在坚持人格保护的原则下,通过经济激励机制有效平衡个人信息保护与信息的合理流通和利用。     

个人信息使用的合法性基础——数据上利益分析视角

根据我国现行个人信息相关立法,知情同意是个人信息收集和使用的普遍前提。通过对个人信息需要保护的利益分析,我们发现,个人信息上不仅附着了信息主体的人格尊严和自由利益,个人信息使用者的利益和公共利益也是个人信息法律制度需要保护的重要利益。基于此,本文认为,知情同意不是且不应成为个人信息处理的唯一合法性基础,在个人信息保护法制定中应首先明确个人信息上的利益,然后根据个人信息上的利益之间的平衡建构个人信息的使用规则,建立多元的合法性基础。     

个人信息权的宪法(学)证成——基于对区分保护论和支配权论的反思

《个人信息保护法》最终纳入“根据宪法”条款,表征着个人信息保护法律体系在底层逻辑上的更动。民法学上权利与利益的区分保护原理,难以适用于整个合宪性法秩序。应将个人信息权确立为宪法位阶的基本权利,并以基本权利作为针对国家的主观防御权和辐射一切法领域的客观价值秩序的原理,协调个人信息保护的私法机制和公法机制。通过对人权条款笼罩下的通信权和人格尊严条款的解释,可以在学理上证立“基本权利束”性质的个人信息权。但其具体保护则应分别归入不同基本权利条款,作出区分化、差异化的多层次构造。个人信息保护的支配权思维有其局限,告知同意模式的式微是重要表现。应将个人信息权的规范目标调整为人格的自由发展,指向免于他人的人格干预。从支配权到人格发展权的思维转换,有助于规制对已收集信息的不当利用、破除“信息茧房”、缓和个人信息保护与利用之间的紧张,以及在“个人—平台—国家”的三方关系中有效保护个人的自决,同时为数据产业保留发展空间。     

论《个人信息保护法》对医学科研的影响

《个人信息保护法》“强化两头,多方平衡”。医学科研中的个人信息处理应以保护受试者个人信息权益为前提,平衡好各方合法权益。个人信息的界定采关联说,编码信息属于个人信息。医学研究应遵守个人信息处理规则,处理个人信息应当有合法依据,要么取得受试者明确同意,要么有法律许可。医学研究中的个人信息往往既是敏感信息,也是私密信息,故对受试者个人权益往往有重大影响,需要在处理前进行评估,严格履行《个人信息保护法》规定的个人信息处理者义务,依法保障受试者在个人信息处理活动中的法定权利。《个人信息保护法》对科学研究中的泛化同意未予认可,不符合医学科研的特点,不利于科学创新,值得商榷。     

民法典编纂视野下的个人信息保护

个人信息的民法保护具有重要的作用与意义,对个人信息应采取公法与私法并重的综合性保护方法。我国民法典规定个人信息保护,不仅奠定了个人信息保护的正当性基础,也为个人信息保护立法提供了基本法律依据。自然人对个人信息并不享有绝对权和支配权,而只享有应受法律保护的利益。该利益是指自然人享有的防止因个人信息被非法收集、泄露、买卖或利用进而导致人身财产权益遭受侵害或人格尊严、个人自由受到损害的利益。只有行为人违反保护性法律侵害个人信息时,才产生侵害个人信息的侵权责任。民法典人格权编草案应区分隐私权与个人信息,并进一步完善侵害个人信息的民事责任规定,如归责原则、因果关系、损害的认定、减免责事由、责任承担方式等。     

论利益平衡视野下的个人信息权制度——在人格利益与信息自由之间

个人信息保护的目的在于维护人格尊严,而信息自由则是促进社会公正透明的重要保障。人格保护与信息自由背后的价值冲突导致了二者在实证中的对峙,也使制度设计者在利益取向上陷入困境。为平衡两种利益,立法者应采取大陆法系界定权利要素的方式,科学厘定个人信息权的内涵和边界;而裁判者面对立法的僵化,需要在个案中依据一般条款对个人信息权和信息自由之冲突进行利益判断与衡量,从而实现二者的平衡。     

刑事诉讼中个人信息的检察保护

刑事诉讼中个人信息的检察保护是新时代法律监督应有之义,是客观公正义务的发展与延伸,是监督大数据侦查的有效途径。现有刑事诉讼法律规范难以适应个人信息保护现实需求。要发挥好个人信息检察保护职能,刑事诉讼法需要适度引入个人信息保护原则与规则,加强个人隐私信息保护,同时检察机关应为信息主体提供权利救济途径,监督其他国家机关处理个人信息活动,发现和纠正违反个人信息保护法律的行为。     

刑事诉讼中适用《个人信息保护法》相关问题研究

《个人信息保护法》的颁布实施将刑事诉讼统一纳入个人信息保护法律规范体系当中,需要认真研究刑事诉讼中如何适用《个人信息保护法》的相关规定。个人信息保护中的核心规则“告知-同意”规则在刑事诉讼中基本失效,同意规则无须适用,告知规则设置了宽泛的例外,刑事诉讼法律规范中应当明确例外的界限与适用情形。对于个人信息保存时限、委托处理个人信息的相关规则、自动化决策和敏感个人信息的处理,刑事诉讼中都应当进一步予以细化规定。个人信息权益在刑事诉讼中呈减损状态,但不应被彻底剥夺,应当着力强化刑事执法、司法机关的个人信息保护的合规义务,构建《个人信息保护法》适用于刑事司法领域的若干支撑配套制度,包括将规制场景由技术侦查扩展至更为广阔的信息收集实践,强化事先数据合规制度建设,增设检察机关作为刑事司法系统中投诉处理的负责机构等。     

个人信息权作为民事权利之证成:以知识产权为参照

个人信息有别于数据,也不同于隐私。它以个人敏感隐私信息为内核,往外扩散,其边界处于相对确定的状态。以知识产权为参照,相对确定的边界并不影响个人信息的权利化保护。以尊重人格尊严和自由为理念,以个人信息的自我决定或自我控制为理论基础,个人信息权宜定性为人格权。无形的人格特征具有财产利益,在原理上亦接近于以知识产权为代表的无形财产权。个人信息与知识产权的客体类似,均是特定的信息,其权利不能架构在占有的基础上,不是对客体的圆满状态的控制。可借鉴知识产权的"行为规制权利化"的构建路径,以同意、访问、查阅、抄录、复制、更正、删除等具体行为为支点,形成包含个人信息利用的知情权、个人信息利用的决定权以及保护个人信息完整准确权这三方面内容的个人信息权。个人信息权可以满足绝对权的特征,融入民事权利体系中的绝对权大家庭。     

个人信息“合理利用”的规范分析

随着《个人信息保护法》的出台，个人信息“合理利用”的问题开始凸显。个人信息“合理利用”的提出，本质原因在于，个人信息并非是个人所控制的信息，而是与个人相关的信息。这导致，个人信息保护不能仅限于不受侵犯，还要求个人信息处理者(国家或者其他私主体)必须对个人信息进行“合理的”处理。个人信息保护的落脚点应该是隐与私，既包括对个体不欲为人知的私密信息的保护，也包括对个体个人信息自我决定权的保护。其规范基础分别是可以使个体隐于社会的内在尊严和使个体积极融入社会的人格自由发展权。个人信息包括私密信息与风险信息。数字时代个人信息保护的难点在于，不知道何种个人信息经过技术处理后会导致个体的人格受到侵害，这体现了个人信息处理的风险本质。这意味着，个人信息“合理利用”应该兼具不受侵犯和风险预防两个方面，在面对国家公权力和私主体两种不同的处理者时，应该具有不同的保护逻辑。     

论数字时代个人信息保护与利用平衡的展开路径

数字时代个人信息流通会带来巨大的经济效益，个人信息的公共属性越来越鲜明，不仅附着了个人利益，还承载着其他公共利益，信息的广泛利用是不可逆转的时代潮流。科技进步增强了信息泄露的风险，加强个人信息保护成为信息利用的题中之义。在个人信息保护实践中，应该充分运用比例原则，从适当性、必要性、衡量性着手，确保手段、目的与效果的辩证统一，推动信息保护与利用的平衡。《个人信息保护法》充分体现了该理念，授予个人广泛的信息权益，但约束权益行使的自由度；规范信息处理者的义务，但承认信息利用的前提；明确国家机关的保护职责，但视其为信息利用主体，核心在于综合考量，适度维持同一主体内部保护与利用的动态平衡。另外，未来还应该从体系平衡、利益平衡、标准平衡、过程平衡、模式平衡等外部系统着手，通过内外结合共同发挥作用，助推平衡目标早日实现。     

数据共享与个人信息保护

随着互联网和大数据技术的发展,数据共享现象日益普遍。数据共享是一种重要的数据利用方式,也是数据流通和数据产业发展的重要基础。数据共享中的个人信息仍然属于信息权利人的权利,与个人信息的收集、利用行为一样,数据共享也应当获得信息权利人的授权。我国民法典人格权编在规定个人信息权利时,应当规定数据共享规则,数据共享规则的设计应当妥当平衡数据流通与信息主体权利保护之间的关系,在具体设计数据共享规则时,应当在区分不同个人信息类型的基础上,设计信息主体的授权规则。     

论我国个人信息法律保护体系的构建

在信息化高度发展的今天,随着电子商务和电子政务的发展,个人信息已经不仅是公民人格利益的体现,其身上还承载着工具价值甚至是商业价值,个人信息的不当使用势必会给公民个人带来不同程度的侵害,这不仅侵犯了公民的人格利益、基本人权,也违背了我国向信息社会迈进的伟大进程,因此对个人信息的保护刻不容缓。然而,在我国这样一个法治社会,个人信息保护的立法现状不容乐观,仍旧以间接保护的方式对个人信息予以勉强的保护,没有专门的《个人信息保护法》,仅有的＂侵犯个人信息犯罪＂的刑法规定也是作用有限。在这样一种立法现状下,本文倡议通过建立以基本法、专门性法律、刑事法律为构架,通过不同层次和功能的法律对个人信息予以不同方位的保护,以期形成系统性的个人信息法律保护体系,完善地保护公民个人信息。     

个人信息司法保护的利益衡量

在我国《个人信息保护法》已经颁布实施的情况下,个人信息司法保护的利益衡量更显重要,主要体现为个人信息利益与社会公共利益和企业数据利益之间的冲突与平衡。从法律依据看,我国法律文本中解决个人信息利益与其他利益冲突的规定主要体现为“数据条款”和“公共利益条款”。从司法实践看,公共利益界定的模糊导致了其与个人信息利益的紧张关系,公共利益代表机制的多元加剧了其与个人信息利益之间的冲突,且呈现出“重追责轻管理”“重刑轻民”、救济机制不畅等特点。实现个人信息司法保护的利益平衡,在解释论层面需要强化处理个人信息基本原则、保护责任机制和侵权法律责任,在立法论层面需要进一步明确界定相关核心概念、创新个人信息保护模式、建立专门个人信息保护机构以及健全个人信息权益救济规则。     

个人信息保护的价值困境与应对——以调和人格尊严与信息自由冲突为视角

人格尊严与信息自由构成了个人信息法律保护的价值维度。二者的价值冲突导致了它们在实证中的对峙,也使制度设计者在价值与利益取向上陷入困境。我国只能在确保人格尊严前提下兼顾信息自由,这是应用价值位阶与排序规则进行思辨后得出的结论,更是出于回应本国语境中的历史与现实问题之考虑。为此,立法者应遵循大陆法系以法权形式保护民事利益的传统进路创设个人信息权,将维护权利主体人格尊严的诉求明确具体地体现在成文法当中;同时裁判者宜按照实质正义的标尺,适当限权并有条件地承认行业自律规范的效力,从而给权利人和信息利用人留下意思自治的空间,鼓励他们通过合作博弈共同促进信息自由。     

两岸四地的个人信息保护与行政信息公开

在促进政府信息公开的同时,对于个人信息的保护同样不能忽视。从大陆与台港澳地区对个人信息保护相关法规的规范比较看,四地对于个人信息的法律界定与保护程度不尽相同。其原因在于各自的法律文化背景不同。在处理行政信息公开与个人信息保护的冲突时,应秉持权利平等保护、公共利益优先、平衡协调与权利救济原则。对于信息自由流动与个人信息权利保护之间的平衡,台港澳地区的做法对大陆不无启示和借鉴。     

论个人信息处理中的优位利益豁免规则

《个人信息保护法》第13条以开放列举的方式对个人信息处理的合法性基础作出了规定，并将“知情同意规则”确立为基本原则。但事实上该规则深陷传统财产规则的桎梏，过分强调个人对信息的控制，而忽视了信息的流通与利用。有鉴于此，我国可引入优位利益豁免规则，赋予信息控制者在经过利益识别，认定信息处理所保护之利益优于信息主体利益后，无需经过信息主体同意直接处理个人信息的权利，进而在知情同意规则之外对个人信息处理行为的合法性基础进行补充，平衡对信息主体的过度保护。与此同时，亦需要建立严格的优位利益识别机制、强化信息控制者义务，疏通信息主体的救济途径并加强政府监管，以防规则滥用。     

论个人信息的行政法保护

行政主体收集、处理和利用个人信息是一种行政事实行为。我国应尽快制定个人信息保护法,明确信息主体有权要求行政机关不能随意处理个人信息,公开对其个人信息的收集和利用,规定个人信息保护的范围、原则、监督和救济制度。利益衡量是目前协调个人信息保护与行政信息公开的适当方法。     

侵犯公民个人信息罪的法益重构:从私法权利回归公法权利

侵犯公民个人信息罪的法益不是私法上的个人信息自决权.个人信息不等于个人私有信息,个人对其信息并不具有完全的排他性支配权.侵犯公民个人信息罪的法益观应该从私法角度转向公法角度,刑法保护个人信息的目的不是确权,而是规避风险.公法上的个人信息受保护权既不是私法上的个人信息自决权,也不是超个人的信息公共安全.个人信息按照其私密性高低,分别属于三个不同领域,即最核心层的隐私领域、中间层的私人领域、最外层的社会领域.个人信息所属的不同领域直接影响到本罪构成要件符合性的判断.个人同意并不是本罪违法性判断的决定性因素,获得个人同意的行为当然不应该构成犯罪,但未获得个人同意的行为也可能不构成犯罪.     

信赖理念下的个人信息使用与保护

现行的个人信息保护法律规范，以“主客体二元对立”思维下的“理性人”理念为指引，通过强调个人信息主体的自主支配、自主决断和自己责任，来平衡个人信息的使用和保护。为此，个人信息保护法律规范的整体功能，主要限于确保信息主体自主控制的实现，以及保护他们免受可举证证明的非法侵害。但是在大数据时代，个人信息保护的“理性人”理念面临着诸多困境，如“信息决策困境”、“控制权失衡”问题、“责任配置错位”问题、“损害制度失灵”问题、“安全感困境”以及“信赖缺失”问题。这导致个人信息保护法律规范内含个人信息主体和个人信息控制者之间的紧张对立关系，难以有效增强他们之间的互信。为了促进信息社会的可持续发展，个人信息保护立法应该更新理念，构建一个在“信赖”理念指引下的信义义务制度，以作为对现有制度的补充。