构建信赖利益损害赔偿责任的思考

信赖利益是指法律行为中,一方当事人基于合理信赖所具有的一种既有利益。这种利益可以体现为财产上的利益,也可以表现为法律行为上的机会性利益。我国现行法律在信赖利益的保护方面存在有诸多不足,我们需要建立这样一种责任制度:既能全面保护法律行为中合理信赖人的利益,又能使双方当事人之间的利益平衡符合公平正义。这种制度便是以保护信赖利益为主要目的信赖利益损害赔偿责任制度。信赖利益损害赔偿责任是有别于缔约过失责任、违约责任与侵权责任的一种独立的责任形式。     

身份证明与个人信息保护——我国居民身份证法律规制问题研究

信息社会人们之间的交往需要权威的身份证明,由公权力介入推行的身份证明制度满足了这种需要,并在社会生活中广泛应用.但是只有通过法律规制明确公民个人信息自决权,并设定政府不侵犯和保护个人信息的责任,才能真正发挥身份证证明身份的权威作用.我国日前身份证法律规制的弊端在于政府没有履行必要的个人信息保护职责,公民的个人信息主体地位缺失,导致了政府滥用职权和个人权益受到损害.所以必须以保护个人信息为核心完善我国的居民身份证法律规制制度.     

个人信息保护的私法维度——兼论《民法典》与《个人信息保护法》的关系

个人信息的私法保护路径对于有效保障民事主体的个人信息权益十分重要;《个人信息保护法》本身包含大量的私法规范、制度和原则,因此需要从体系化的角度与《民法典》作关联解读与适用.由此,需要充分认识到《民法典》与《个人信息保护法》之间的内在密切关联,正确看待二者的关系.《民法典》与《个人信息保护法》中的私法规范构成普通法与特别法的关系,在后者有明确规定的时候应优先适用,而在其没有规定的时候应适用《民法典》的规则.在个人信息保护的法律适用中将二者割裂甚至对立起来的观点或者对《民法典》采取排斥封闭的态度,都会破坏法律体系的和谐和法律适用的统一,对个人信息保护来说也是不利的.     

隐私政策“知情同意困境”的反思与出路

学界普遍认为，个人信息处理中知情同意规则的适用困境主要表现于隐私政策场景中。“信息区分说”“行为区分说”和“动态同意说”等既有学说旨在破解“知情同意困境”,但均存在难以克服的缺陷。作为知情同意规则的理论基础的“理性人假设”与“个人信息自我控制理论”均难以应用于隐私政策场景，其根源在于私法自治固有的限度。隐私政策的格式条款属性和“有限理性人”的理论假设表明，运用格式条款规则规制隐私政策是更好的解决方案。具体而言，一是运用订入规则，将网络服务者未履行提示义务的重大利害关系条款排除在合意之外；二是运用黑名单、灰名单制度和诚实信用原则控制隐私政策条款的效力；三是运用解释规则平衡网络服务者与信息主体之间的利益。     

大数据时代个人信息保护的法律完善

我国个人信息保护立法经历了从无到有、从少到多、从点到面、从面到体的发展过程，呈现出从注重保护到兼顾保护与利用、从整体框架设计到配套制度供给、从普适性规范到特定行业规范的发展趋势。大数据时代的个人信息保护面临两方面挑战，一是个人信息保护法域外效力制度缺乏可操作性，二是区块链、ChatGPT等新技术新应用带来的法律挑战。对此，应当进一步完善个人信息保护法，提升个人信息保护法域外效力制度的体系性，加强个人信息保护法域外效力制度的国际性，明确区块链责任主体和个人信息权利实现方式，注重对ChatGPT个人信息处理活动透明度的监管，以更好地保护个人信息。     

公共卫生突发事件中个人信息权的保护:以新型冠状病毒肺炎疫情为背景

在公共卫生突发事件应对中追踪检测、收集及分析大量的个人健康信息和流动信息是出于社会大多数公众的生命安全之考虑,是实现公共管理手段的体现,可以达到对传染疾病的有效防治目的.但个人信息收集主体不规范的行为可能会导致个人信息泄露之可能,造成相关当事人的利益受损,如何平衡个人信息采集与公共利益保护依旧悬而未决.以公共卫生突发事件中的个人信息利用为全新视角,对个人信息保护制度进行研究,对于破解个人信息保护面临的实践难题具有重要的现实意义.本文分析了突发公共卫生事件下个人信息保护的法律依据,结合我国突发公共卫生事件下个人信息保护豁免的域外实践,指出我国突发公共卫生事件下个人信息保护存在一些困境,如在突发公共卫生事件中,个人信息的保护缺乏专门的立法和事后具体的利用规则.未来我国在突发公共卫生事件中,应加快个人信息保护的专门立法,同时应确立合法性原则、目的限定原则、最小范围原则及保密性原则为内容的公共卫生突发事件个人信息处理原则来进一步规范信息控制主体的行为.     

个人信息“合理利用”的规范分析

随着《个人信息保护法》的出台，个人信息“合理利用”的问题开始凸显。个人信息“合理利用”的提出，本质原因在于，个人信息并非是个人所控制的信息，而是与个人相关的信息。这导致，个人信息保护不能仅限于不受侵犯，还要求个人信息处理者(国家或者其他私主体)必须对个人信息进行“合理的”处理。个人信息保护的落脚点应该是隐与私，既包括对个体不欲为人知的私密信息的保护，也包括对个体个人信息自我决定权的保护。其规范基础分别是可以使个体隐于社会的内在尊严和使个体积极融入社会的人格自由发展权。个人信息包括私密信息与风险信息。数字时代个人信息保护的难点在于，不知道何种个人信息经过技术处理后会导致个体的人格受到侵害，这体现了个人信息处理的风险本质。这意味着，个人信息“合理利用”应该兼具不受侵犯和风险预防两个方面，在面对国家公权力和私主体两种不同的处理者时，应该具有不同的保护逻辑。     

个人信息商业利用同意要件研究——以个人信息类型化为视角

《民法总则》第111条顺应信息时代的需求,规定个人信息在信息利用中受到法律保护,但规定得较为概括。信息主体同意是信息商业利用行为的合法要件之一,但绝对的同意要件会阻碍信息的充分利用。为实现人格尊严保护与信息利用平衡的法律理念,并结合个人信息的性质,应当将个人信息分为人格紧密型个人信息和人格疏远型个人信息。人格紧密型个人信息与人格尊严密切相关,同意要件应为积极同意;而人格疏远型个人信息与人格尊严相对较疏远,同意要件应为消极同意。基于个人信息类型化研究,建议司法裁判者区分适用个人信息商业利用的同意要件,以实现个人信息保护与信息利用的平衡。     

个人信息司法保护的利益衡量

在我国《个人信息保护法》已经颁布实施的情况下,个人信息司法保护的利益衡量更显重要,主要体现为个人信息利益与社会公共利益和企业数据利益之间的冲突与平衡。从法律依据看,我国法律文本中解决个人信息利益与其他利益冲突的规定主要体现为“数据条款”和“公共利益条款”。从司法实践看,公共利益界定的模糊导致了其与个人信息利益的紧张关系,公共利益代表机制的多元加剧了其与个人信息利益之间的冲突,且呈现出“重追责轻管理”“重刑轻民”、救济机制不畅等特点。实现个人信息司法保护的利益平衡,在解释论层面需要强化处理个人信息基本原则、保护责任机制和侵权法律责任,在立法论层面需要进一步明确界定相关核心概念、创新个人信息保护模式、建立专门个人信息保护机构以及健全个人信息权益救济规则。     

个人信息保护法制管窥

现代意义的隐私权乃是一种“个人信息控制权”,因此有必要对收集、利用、保存、传播他人信息的行为全面进行规范,许多国家先后制定了个人信息保护法。在立法模式上,根据是否以一部法律对公共部门和非公共部门的个人信息处理行为进行规范,分为总括和分离两种模式。在立法内容上,“OECD劝告”曾确立个人信息保护的八项原则,同时个人信息主体的权利可具体化为五项权利。另外,对特定行业制定特别规定是普遍采取的做法。     

风险与控制：论生成式人工智能应用的个人信息保护

生成式人工智能的技术跃进架空了个人信息处理的告知同意规制和最小必要原则，引发了虚假信息生成和个人信息泄漏的广泛风险迭代问题。传统个人信息的权利保护路径面临认知和结构困境，无法应对生成式人工智能给个人信息保护带来极大挑战。以风险控制为导向的个人信息保护机制不强调信息主体对个人信息的绝对控制，旨在通过识别、评估、分配和管理将风险控制在最小范围内，可以灵活和实用地平衡生成式人工智能应用中的信息利用和风险控制，提供有效的解决方案。在风险控制理念下，对告知同意规则和最小必要原则进行风险化解释与调试，并建立从预防到识别再到控制的虚假信息生成风险的全过程应对机制，以及基于风险的个人信息保护合规管理体系，是当前的最优选择。     

个人信息保护的价值困境与应对——以调和人格尊严与信息自由冲突为视角

人格尊严与信息自由构成了个人信息法律保护的价值维度。二者的价值冲突导致了它们在实证中的对峙,也使制度设计者在价值与利益取向上陷入困境。我国只能在确保人格尊严前提下兼顾信息自由,这是应用价值位阶与排序规则进行思辨后得出的结论,更是出于回应本国语境中的历史与现实问题之考虑。为此,立法者应遵循大陆法系以法权形式保护民事利益的传统进路创设个人信息权,将维护权利主体人格尊严的诉求明确具体地体现在成文法当中;同时裁判者宜按照实质正义的标尺,适当限权并有条件地承认行业自律规范的效力,从而给权利人和信息利用人留下意思自治的空间,鼓励他们通过合作博弈共同促进信息自由。     

网络时代个人信息保护的公益诉讼模式构建

网络时代,个人信息的"裸奔"不仅侵犯个人私权,也对社会安全治理构成了威胁。实践中,个人信息保护实体法律规范的碎片化以及保护模式的体系性欠缺致使其保护机制存在掣肘。针对个人信息网络侵权频发的现状,应基于诉讼主体与权利主体互相分离的逻辑起点,围绕起诉主体范围、证明责任分配以及责任承担方式等多维面向构建个人信息保护的公益诉讼模式,以提高社会治理法治化水平。     

论个人信息安全事件通知义务

个人信息安全事件通知是个人信息处理者履行信息安全保护义务的重要环节，能够促使信息主体和监管机构在发生个人信息安全事件后及时采取行动，防范次生损害。《网络安全法》《数据安全法》《个人信息保护法》均规定了个人信息安全事件通知义务，但内容不一、详略有别。从“个人信息”的范畴来看，只有发生安全事件的“个人信息”可能影响信息主体实际权益时，才有必要通知信息主体；从通知内容来看，应当对通知监管机构和信息主体的内容作出区别规定；从通知的理论基础来看，由侵权责任和合同附随义务产生的私法责任是信息处理者向信息主体履行通知义务的理论基础，向监管机构履行通知义务则是公法要求；从通知的条件来看，对个人信息采用加密等技术手段后可不向信息主体履行通知义务，只有发生安全事件的个人信息达到一定规模体量才有必要通知监管机构；从通知的法律责任来看，更宜适用作为特别法的《个人信息保护法》的法律责任规定，同时限缩私法层面的赔偿责任，强调公法层面的处罚责任。     

刑事诉讼中适用《个人信息保护法》相关问题研究

《个人信息保护法》的颁布实施将刑事诉讼统一纳入个人信息保护法律规范体系当中,需要认真研究刑事诉讼中如何适用《个人信息保护法》的相关规定。个人信息保护中的核心规则“告知-同意”规则在刑事诉讼中基本失效,同意规则无须适用,告知规则设置了宽泛的例外,刑事诉讼法律规范中应当明确例外的界限与适用情形。对于个人信息保存时限、委托处理个人信息的相关规则、自动化决策和敏感个人信息的处理,刑事诉讼中都应当进一步予以细化规定。个人信息权益在刑事诉讼中呈减损状态,但不应被彻底剥夺,应当着力强化刑事执法、司法机关的个人信息保护的合规义务,构建《个人信息保护法》适用于刑事司法领域的若干支撑配套制度,包括将规制场景由技术侦查扩展至更为广阔的信息收集实践,强化事先数据合规制度建设,增设检察机关作为刑事司法系统中投诉处理的负责机构等。     

刑事诉讼中个人信息的检察保护

刑事诉讼中个人信息的检察保护是新时代法律监督应有之义,是客观公正义务的发展与延伸,是监督大数据侦查的有效途径。现有刑事诉讼法律规范难以适应个人信息保护现实需求。要发挥好个人信息检察保护职能,刑事诉讼法需要适度引入个人信息保护原则与规则,加强个人隐私信息保护,同时检察机关应为信息主体提供权利救济途径,监督其他国家机关处理个人信息活动,发现和纠正违反个人信息保护法律的行为。     

个人信息国家保护义务理论的反思与重塑

当前的个人信息国家保护义务理论，主张将个人信息纳入基本权利保护范围，并以个人信息国家保护义务为基础建立个人信息保护法律体系。然而，在概念表达上，该理论以“客观法”表征个人信息基本权的属性，错置了客观法与主观权利之间的关系；用“间接效力”指称个人信息基本权对作为私主体的信息处理者的效力，混淆了“效力”和“效果”的语义。在宪法解释方法论层面，该理论在宏观上具有的法哲学化解释倾向、在微观上对概括性人权条款的悬置处理，使其在宪法教义学上欠缺说服力。面对立法实践，该理论无力解释作为私主体的信息处理者何以承担公法义务。确立个人信息保护权利基础的二元结构，明确个人信息基本权积极面向的主观权利属性，适度延伸个人信息基本权的效力范围，并对国家保护义务内容作相应调整，是重塑个人信息国家保护义务理论的有效途径。     

风险治理视角下的个人信息保护路径

数字时代应有效回应信息科技引发的新型信息风险。日益广泛的个人信息处理行为不仅可能会给个人带来多种风险,影响个人人格的全面自由发展,而且可能会对社会与国家造成重大安全隐患。有效保护个人信息,既需要公私主体消极不侵犯个人信息,又需要国家通过不断完善体制机制积极治理信息风险。在风险治理组织上,宜吸收大部制机构改革的历史经验,设立统一的个人信息保护专门机构实施“一站式监管”。在风险预防措施上,应对个人信息进行科学的分类分级以进行不同安全等级的信息风险预防,并以安全与效率的平衡为理念设计个人信息保护影响评估、个人信息出境安全评估等制度。由于个人信息保护执法裁量空间巨大,有必要努力制定个人信息保护处罚裁量基准,并探索执法和解机制以促进企业合规。为了更全面有效地进行信息风险治理,应逐步放宽个人信息保护民事公益诉讼,强化个人信息保护行政公益诉讼。     

论个人信息保护民事公益诉讼之起诉主体——兼论《个人信息保护法》第70条之不足及完善

我国《个人信息保护法》第70条确立了个人信息保护民事公益诉讼制度，但对起诉主体范围之界定不够科学，且未对起诉主体顺位作出安排。在起诉主体范围方面，检察院在个人信息权益保护方面取得了良好效果，应予以保留；“法律规定的消费者组织”过于狭窄，其他旨在保护个人信息公共利益的社会组织也应享有起诉资格，从立法协调性角度考虑并与首次确定了民事公益诉讼制度的《民诉法》第58条第1款保持一致，应将“法律规定的消费者组织”改为“法律规定的机关和有关组织”;作为行政机关的国家网信部门不适宜提起诉讼，也不拥有确定起诉主体之权力，故应删除“由国家网信部门确定的组织”之表述。在起诉主体顺位方面，《个人信息保护法》第70条将检察院列于首位，这一做法与《民诉法》第58条以及《检察公益诉讼解释》第13条之规定不符，也与检察实践之具体做法相悖；应遵循检察谦抑性之要求，坚持“法律规定的机关和有关组织”第一顺位、检察院第二顺位之起诉主体安排；且检察院在提起个人信息保护民事公益诉讼之前均应履行诉前公告程序；在独立的个人信息保护民事公益诉讼与刑事附带民事公益诉讼之间，检察院应作何选择或会作何选择，值得关注。     

信赖保护与法律行为的强制有效——兼论信赖利益赔偿与权利表见责任之比较

法律行为制度是民法信赖保护的重要工具。合同责任、信赖利益赔偿责任以及权利表见责任构成了信赖保护的制度体系。信赖利益赔偿与权利表见责任虽有诸多相似之处 ,但二者效力评价及适用方面迥然不同。强制有效作为权利表见责任的法律行为之独特的效力评价 ,其不同于法律行为效力评价体系之得撤销、无效、效力待定 ,以及相对无效 ,且以发生直接的法律效果为其特点