法治焦点

个人信息保护国标下月实施在日前举办的"个人信息保护国家标准宣讲会"上,工信部信息安全协调司副司长欧阳武表示,《信息安全技术公共及商用服务信息系统个人信息保护指南》将于2013年2月1日起实施。该标准是我国首个关于个人信息保护的国家标准。     

大数据时代日本个人信息保护法探究

个人信息本来是极其隐私的事物,在大数据时代却时刻处于"裸奔"状态,时刻面临被侵犯的风险。特别在新冠肺炎疫情防控中,大数据技术发挥了重要作用,个人信息保护再次引起关注。整体而言,日本个人信息保护法以"个人优先"与"公共优先"的宗旨博弈为出发点,以"个人信息"的概念界定为基础,以个人信息权的保护为核心,以个人信息保护机构的独立设置为落脚点,为个人信息的保护奠定了基础。我国应当积极行动起来,尽快颁布《个人信息保护法》,助力大数据时代个人信息保护和数字经济的发展。     

个人信息保护立法理念探究——在信息保护与信息流通之间

个人信息保护法应当是对个人信息进行合理利用与恰当保护相结合的法律.欧洲政府和美国政府采取了不同的路径来保护个人信息.欧洲更为重视从权利角度出发保护个人信息,美国则更注重从信息流通的角度出发促进个人信息的自由流通.个人信息保护的"权利保护论"与"自由流通论",以及因为对上述理论的解释与侧重不同而产生的欧洲的国家立法主导与美国的企业自律的个人信息保护模式,均有其合理与可取的方面.我国的个人信息保护法在立法理念上应当兼顾个人信息的"权利保护"与个人信息的"自由流通",以达到二者之间的和谐与平衡.     

敏感个人信息保护的特殊制度逻辑及其规制策略

敏感个人信息因其对个人的人身和财产安全具有极端重要性,需要特别的法律保护。我国现行立法对敏感个人信息的特别保护存在制度供给不足。《个人信息保护法》虽秉持对一般个人信息和敏感个人信息区别规制的立法思路,但有关敏感个人信息特别保护的规范较为简略。从我国敏感个人信息保护的实践需求及域外立法经验来看,敏感个人信息保护在"知情同意"的适用、法定处理事由的明确、技术治理的实现、损害认定的完善等方面应有区别于一般个人信息保护的特殊制度逻辑。相应地,敏感个人信息保护也应有区别于一般个人信息保护的特殊规制策略。     

个人信息国家保护义务及展开

个人信息保护法体系建构的基础是国家在宪法上所负有的保护义务,该义务对应着"个人信息受保护权",而不是"个人信息权"。将个人信息作为私权客体的权利保护模式,在规范逻辑、制度功能等方面存在局限;应以"个人信息受保护权—国家保护义务"框架建构个人信息的权力保护模式。在数字时代,个人信息国家保护义务意味着国家不仅应履行尊重私人生活、避免干预个人安宁的消极义务,还应通过积极保护,支援个人对抗个人信息处理中尊严减损的风险。基于控制"数据权力"这一侵害风险源的需要,国家一方面应避免过度侵入个人信息领域;另一方面应通过制度性保障、组织与程序保障以及侵害防止义务的体系化,营造个人信息保护的制度生态。     

论技术鸿沟与个人信息保护——对互联网时代民法典个人信息保护模式的反思

互联网技术迅猛发展,引导技术理性创新的法律却发展缓慢,民法的保守性与滞后性,决定其对个人信息的保护落后于社会发展和实际需要。司法裁判显示,个人信息保护民事案件与刑事案件大多在两个不同的"场域"展开,技术鸿沟造成了民事意义上的个人信息维权困境。个人信息应当以保护为主,寻求保护与利用的最大平衡;以民法典为基础,密织个人信息保护综合网;以《个人信息保护法》为重点,完善个人信息保护规则;探索和发展个人信息保护支持起诉与公益诉讼。     

中华人民共和国个人信息保护法示范法草案学者建议稿

20世纪70年代美国公布的《公平信用报告法》和德国黑森邦1970年的资料保护法分别拉开了美、欧个人信息保护立法的序幕,随后有二十多个国家相继完成了有关个人信息保护的立法。在1980年OECD通过《关于隐私保护和个人资料跨国流通指针》后,欧洲议会、欧盟以及联合国等国际组织和地区组织先后出台了个人信息保护的公约、指令和指南,这些国际文件将个人信息保护立法迅速推向了全球。个人信息保护立法之要旨,固然在于自然人人格利益的保护,但同时,个人信息作为信息社会的一种重要的经济资源,尤其对发展中国家的国际贸易来说具有重要的战略意义。故此,个人信息保护立法的另一要旨是规范个人信息的商业利用,尤其是国际贸易中个人信息的跨国流通。本刊推荐的这份《个人信息保护法草案建议稿》挣脱了美国分散立法模式的束缚,取法德国模式进行统一立法,较好地为个人信息的保护和利用提供统一的行为规范。同时,扬弃了美国的隐私权理论而将权利基础定位在人格权理论之上,为个人信息保护立法找到了适合我国法律体制与人格权观念的立足点。在国际贸易方面,做到了既兼顾个人信息的合理流通,又加强了我国对个人信息资源的合法保护。     

个人信息的双重属性与行为主义规制

个人信息的法律保护依赖于公法对个人信息的定位。在公法与公法理论上,有两种看待个人信息的观点。一种观点认为个人信息权是一种基本权利,个人信息应当受到法律的确权保护;另一种观点则将个人信息视为他人言论自由的对象,个人信息的自由获取与使用受到法律保护。但这两种观点都无法从整体上理解个人信息,个人信息权的观点忽视了个人信息的自由流通属性与公共属性,而个人信息作为言论自由对象的观点则忽视了个人信息背后的多重权益。个人信息兼具个体属性与社会流通属性,应当确立一种"个人信息相关权益被保护权"。从个人信息的双重属性出发,个人信息保护应当在具体场景中确立个人信息收集与利用行为的合理边界。基于场景的行为主义规制更为符合个人信息保护的根本特征,也将为中国的个人信息保护提供一条超越欧美的中国道路。     

个人信息保护法研究

中国在社会信息化转型过程中所面临的法制环境依然很严峻。目前,个人信息保护立法任务已经现实地摆在我们面前。然而制定符合中国实际,又能与国际接轨的个人信息保护法并非易事。自律机制是美国保护个人信息的基础机制,发挥了良好的社会功用,但它并不适合我国。欧盟"资料保护"制度的基本经验告诉我们,个人信息保护关涉基本人权,应由立法进行。我国宜借鉴安全港模式,积极进行个人信息保护立法,同时倡导行业主动采取自律手段保护个人信息。我国台湾资料法可谓兼顾中西的一个尝试,对我国大陆制定个人信息保护法有直接的借鉴作用。     

浅论我国公民个人信息的刑法保护

《刑法修正案(七)》增加了侵犯公民个人信息罪,法律属性决定了公民个人信息的不容侵犯性,是刑法保护公民个人信息的前提。我国公民个人信息刑法保护存在三个方面的问题,罪名的设置有待商榷、"情节严重"标准模糊和相关附属刑法有待完善。我国公民个人信息刑法保护的完善也需要从前述的三个方面着手。     

个人信息保护的法律之问

保护范围如何界定 个人信息保护法立法难点之一,在于个人信息的定义和范围,随着技术发展,个人信息的定义也随之不断变化. 很长一段时期,我国把公民的个人信息作为隐私权的一部分来保护.直到2009年《刑法修正案(七)》增加了"出售、非法提供公民个人信息罪"和"非法获取公民个人信息罪","个人信息"首次作为一个法律概念正式出现.     

我国《个人信息保护法》中的“守门人”条款

大型平台是数字经济的关键构成要素,在终端用户与商业用户的交易中发挥着中介作用,承担着二者之间守门人的角色。我国《个人信息保护法》借鉴了欧盟《数字市场法提案》和《数字服务法提案》,设专条对提供重要互联网平台服务、用户数量巨大、业务类型复杂的"守门人"进行了规范,要求其建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督,制定平台规则明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务。"主要由外部成员组成的独立机构"存在争议,且与"个人信息保护负责人"存在职能重叠,其关系有待厘清。定期的风险评估应成为个人信息保护合规的重要内容。在实践中应对"提供重要互联网平台服务、用户数量巨大、业务类型复杂"进行限制解释,以更好地促进数字经济的发展。     

论金融机构对消费者个人信息的权益保护与责任

金融机构保护消费者个人信息的任务迫在眉睫。个人信息本质是权利束,进阶形态为权益束,消费者拥有数据权、信息人格权、信用权、个人信息受保护权以及信息潜在利益。文章认为应由义务模式转向权益保护模式,按照责任属性、分配、区分要点重置金融机构保护消费者个人信息的责任,以"权益链接"救济方式对消费者实施精准保护。     

《民法典人格权编(草案)》中“个人信息自决”的规范建构及其反思

《民法典人格权编草案(三次审议稿)》中规定的个人信息保护规范严格贯彻了"个人信息自决"这一基本原则,其具体规范建构充分体现了这一原则的各项要求。但"信息自决"这一理念产生于二十世纪六七十年代,鉴于时代的变迁,单纯的"信息自决"原则已经无法满足当代个人信息保护和信息产业发展的需要。本文试图通过对相关社会背景和法律规范变迁的梳理,说明"个人信息自决"原则的局限所在,并结合"场景理论"找出影响个人信息保护强度的关键要素,为《民法典人格权编(草案)》相关规范的修改以及司法实践提供有价值的参考。     

网络时代个人信息保护的公益诉讼模式构建

网络时代,个人信息的"裸奔"不仅侵犯个人私权,也对社会安全治理构成了威胁。实践中,个人信息保护实体法律规范的碎片化以及保护模式的体系性欠缺致使其保护机制存在掣肘。针对个人信息网络侵权频发的现状,应基于诉讼主体与权利主体互相分离的逻辑起点,围绕起诉主体范围、证明责任分配以及责任承担方式等多维面向构建个人信息保护的公益诉讼模式,以提高社会治理法治化水平。     

个人信息匿名化处理法律标准探究

个人信息匿名化处理法律制度作为联通个人信息保护与个人信息流通利用的制度桥梁,能够以一种隐私友好的方式满足社会的信息需求.我国现行"无法识别特定个人且不能复原"的匿名化处理法律标准缺乏可操作性,难以有效规范匿名化处理实践.我国可以确立操作方法标准与识别风险检验标准协同的匿名化处理法律标准:关于操作方法标准,可以在技术领域确定适用于直接标识符和间接标识符的匿名化处理措施指南;关于识别风险检验标准,可以引入"蓄意侵入者检验"标准,明确规定侵入者的识别动机和识别能力.通过操作方法维度与识别风险检验维度的协同作用,最终实现"无法识别特定个人且不能复原"的匿名化处理法律效果.     

“无意入镜者”个人信息权益的保护——以公共场所的个人信息权益为视角

随着科技的发展,公民更加频繁地用镜头记录其日常生活。在公共场所,拍摄者有可能也将他人摄入镜头之中,构成了"无意入镜者"的情形。我国《民法典》与《个人信息保护法》并未将"无意入镜者"在公共场所中的个人信息权益与非公共场所的个人信息权益进行区分对待,无论个人信息是否属于私密,都可以得到保护。在"无意入镜者"个人信息权益与拍摄者权益平衡的问题上,应对我国《民法典》与《个人信息保护法》确立的关于个人信息保护的告知同意规则进一步做出解释。公共场所本身的属性,意味着"无意入镜者"存在自行公开个人信息的可能。对于被认定为自行公开的个人信息,拍摄者无需再取得"无意入镜者"的同意。除此之外,在公共场所中,履行告知同意义务既应当像服务提供商或者公权力机构采集民事主体个人信息一样严苛,同时可以适用默示同意的推定行为的空间而无需取得"无意入镜者"的明示同意。     

我国将出台保护个人信息行业标准

近日，工信部直属的中国软件测评中心透露，他们联合30多家单位起草的《信息安全技术、公共及商用服务信息系统个人信息保护指南》已正式通过评审，正报批围家标准。     

网络背景下个人信息法律保护的困境与出路

个人信息法律保护的客体是个人信息,个人信息为人格利益之一种.在网络背景下,个人信息的保护面临着新的挑战.我国现有的法律不能对个人信息提供完整保护,我国也缺乏对个人信息进行法律保护的技术规范和措施.因此,应制定《个人信息保护法》,完善个人信息管理者的行业自律,加强个人信息主体自我保护.     

互联网生态"守门人"个人信息保护特别义务设置研究

强化网络平台等大型在线企业的治理,配置与其控制力和影响力相适应的个人信息保护特别义务,正在形成全球普遍共识.我国目前制定个人信息保护法,适应这一趋势正当其时,对此等企业的个人信息保护义务作出特别规定.本文建议在我国正在制定的个人信息保护法中增加一个条文,设置"守门人"在个人信息保护方面的特别义务.增设这一特别义务,在立法例上有可供参考的经验,并具有技术上的可行性和经济上的合理性.本文对此作出论证,并对建议增加的条文进行了设计,提出了具体的文本方案.