个人敏感信息的法律保护规范

2019年12月19日,工信部通信管理局通报了第一批侵害用户权益行为的APP名单,QQ、新浪体育、搜狐新闻、小米金融等41款APP存在违规收集和使用个人信息、不合理索取权限等诸多侵犯用户个人信息的问题。我国对个人信息保护主要依据《民法总则》《网络安全法》《居民身份证法》《消费者权益保护法》等相关法律法规的分散规定。虽对于个人信息的收集、处理以及使用等行为均有规定,个人信息遭到侵犯的情况仍时有发生。这不仅是因为我国尚无统一的个人信息保护立法,更是因为未将个人信息在法律层面区分为个人敏感信息和个人一般信息。     

论电商平台用户画像行为立法之应有规制

电子商务经营者的用户画像行为存在着信息收集范围过宽、大数据“杀熟”侵害消费者权益以及个人隐私保护不力等问题,导致消费者与电子商务经营者之间产生信任危机。由于“算法黑箱”与信息不对称并行存在,现有立法规范存在供给不足,“告知—同意”模式难以适应实践对信息的大量需求,政府监管效率尚未达到预期。因此,以“选择—退出”作为经营者个人信息采集方式,通过信用承诺、信用评价等信用工具规制用户画像的生成与应用过程,能够减少政府监管成本、提高监管效率,有效消除信息不对称等问题。     

惯习与资本:算法消费者个人信息保护的困境与突破

近年来,互联网经营者实施算法价格歧视行为产生的算法消费者个人信息保护问题引起广泛关注。布迪厄场域理论的引入,可以对算法价格歧视涉及的多方主体加以研究。探究算法价格歧视场域内算法消费者个人信息保护存在困境的深层原因,即会了解惯习与资本配置产生异化,以及算法消费者难以与算法经营者进行博弈现象。实现算法消费者个人信息保护困境的突破,需要对算法价格歧视场域内的惯习与资本配置进行优化:在惯习层面,重塑消费者个人信息保护理念,同时加强消费者教育;在资本层面,引入场景与风险管理新理念对告知-同意规则进行补正,构建经营者信息信义义务并对相应的诉讼救济制度予以完善。     

从“权益”到“权利”:《民法典》个人信息保护模式的反思与完善

我国《民法典》对于个人信息保护采取权益保护模式,这与该法对于其他具体人格权的规定有所不同,由此衍生保护力度不足、体系衔接不畅、分类保护导致路径冲突等系列问题,并导致个人信息保护停留于纸面。对此,我国对于个人信息保护应当采取权利保护模式,这既是因为个人信息本身即可成为独立的权利客体,也是因为权利保护模式符合我国实际需要。因此,我国在修订《民法典》时,应当明确赋予自然人以个人信息权,并在已有的权利束之外增加诸如信息保有权、信息知情权、信息被遗忘权等其他具体权利;强化信息自决,让个人信息主体自己占有和控制个人信息;在救济方式上完善人格权请求权,并以侵权责任作为救济个人信息权的一种重要方式。     

智能推荐的法律问题及其纾解之径

智能推荐旨在提供更针对性产品或服务,解决信息过载问题。但这一服务也产生用户画像获取了用户隐私,限制个人选择和发展,算法偏见导致不公平等诸多问题。本文在分析目前我国智能推荐的问题基础上,提出加强对平台关于用户隐私、用户信息的保护,严格遵循用户知情、同意使用的原则;引入平衡推荐机制以及提高算法的透明度与维度,加入人工审查等多项建议。以求平衡人工智能发展与个人权利保护的矛盾,更好的应用科技促进发展。     

论非羁码使用中的个人信息保护

非羁码系为了弥补传统审前非羁押措施的不足、依托大数据算法而产生的新型替代性羁押措施。分析《对刑事诉讼非羁押人员开展数字监控的规定》,发现非羁码仅作为监视居住和取保候审的技术性辅助手段,缺乏对犯罪嫌疑人、被告人个人信息保护的考量。基于刑事诉讼法有关强制措施适用的基本原则和个人信息保护法关于个人信息保护的制度和理念,以个人信息保护为重心,夯实非羁码的基础法理,明确其使用过程中所涉个人信息保护的范围和对象,健全非羁码有效实施的制度体系,以此实现非羁码制度的合法性、合理性和实践正当性。     

防止算法变“算计”,技术如何向善

近日,国家网信办等四部门联合发布《互联网信息服务算法推荐管理规定》(以下简称“规定”),以此规范互联网信息服务算法推荐活动,并重申“平台不能想推什么就推什么”。网信办有关负责人指出,要推动算法推荐服务公正公平、规范透明,促进算法推荐服务向上向善。     

从《民法典》人格权编到《个人信息保护法》

《个人信息保护法》是我国个人信息保护领域的专门立法,是在《民法典》人格权编之个人信息保护规范的基础上继承和创新而来,二者协力共同构筑我国个人信息保护的规范体系。《民法典》人格权编确立了个人信息民事权益的基本框架,《个人信息保护法》在个人信息的性质、定义、类型、处理原则、处理过程中的权利义务与责任等方面发展了《民法典》的规定,更具有可操作性。《个人信息保护法》在《民法典》人格权编的基础上有所创新,规定了个人信息的国家保护义务,明确了个人信息保护的刑事责任和行政责任,建构了全面的个人信息保护法律制度。在法律适用上,《个人信息保护法》与《民法典》存在前者优先适用以及二者协同适用两种情况。     

我国数据与算法安全治理:特征及对策

随着数据与算法成为新科技革命和产业变革的重要驱动,其衍生出的安全风险逐渐被社会所关注。自“棱镜门”事件爆发后,我国政府对数据安全治理的需求应运而生,通过发布相关法规政策来凸显数字化社会发展过程中数据安全的重要性,《网络安全法》《数据安全法》《个人信息保护法》的出台为我国数据安全治理指明了方向。而数据爆炸式增长引发自动化决策不确定性的问题,使得算法风险成为数据安全治理的关键,《互联网信息服务算法推荐管理规定》的实施开启了我国算法安全治理的新时代,也使我国算法安全治理有规可循。以数据与算法安全为治理对象,以实现总体国家安全为治理目标,从治理主体和治理内容两个层面对我国数据与算法安全治理现状进行全局性分析,总结形成治理的典型特征,进而有针对性地剖析问题并形成适用于我国的对策建议。     

快递实名收寄制下用户个人信息的法律保护

根据国家邮政局的通知,2015年11月1日快递实名收寄制开始试行。快递实名收寄制的推行一直在业内饱受争议,尤以快递实名收寄制带来的用户个人信息保护难度上升,容易造成信息泄露为争议的焦点。快递用户个人信息具有可识别性、价值性、可分离性的特点。快递实名收寄制旨在通过对快递用户个人信息的收集、使用和处理维护社会公共安全,但该制度的实施也有可能使个人信息主体的权益受到侵害和威胁,产生利益冲突。因此,为了维护用户个人信息的安全,法律也亟须加强对用户个人信息的保护,即告知后征得快递用户同意,采用最少征集信息的标准,严格限制信息的使用目的,并构建信息安全保障机制。     

论职场智能监控与劳动者个人信息保护之边界

职场智能监控以攫取劳动者个人信息为前提,以处理劳动者个人信息为结果,同时又以持续攫取劳动者个人信息作为继续精准高效运转的保障。然而用人单位运用智能监控的管理权益与劳动者个人信息保护利益之间的冲突未决,导致诸多劳动者个人信息保护困境。在宏观层面上,用人单位往往以智能化管理为名,行侵犯个人信息之实;而劳动者则因智能监控技术滥用与个人信息的过度收集,导致其被操纵风险不断加大。在微观层面上,个人信息处理中的告知同意规则在从属性劳动关系背景下已逐步异化;同时立法层面缺乏针对劳动者个人信息保护的特别关注与救济。因此,亟待确定用人单位使用职场智能监控的基本原则与规则,以确立职场智能监控尺度并厘清其与劳动者个人信息保护之间的边界,并构建一系列配套措施以确保用人单位管理权益与劳动者个人信息保护利益之平衡。     

论消费者个人信息之保护——以告知后同意为中心

在当代信息社会,因网络科技发展与信息不对称现象,造成消费者个人信息保护面临新的挑战;而告知后同意原则之适用,则为其提供了解决之道。告知后同意原则主要包含告知与同意两个方面,告知应合理有效使得当事人得以了解其个人信息将如何被搜集、利用或分享;而同意应自愿、目的特定、清楚明确、基于告知后书面为之。并针对我国新《消费者权益保护法》第29条之规定进行评述,以期能更好的借鉴告知后同意原则,增进消费者个人信息保护之有效性。     

利用个人敏感信息须获明确授权来源

《信息安全技术公共及商用服务信息系统个人信息保护指南》已实施。标准最显著的特点是将个人信息分为个人一股信息和个人敏感信息，并提出默许同意和明示同意的概念。对于个人一股信息的处理可以建立在默许同意的基础上，只要个人信息主体没有明确表示反对，便可收集和利用。对于个人敏感信息，则需要建立在明示同意的基础上，在收集和利用之前，必须首先获得个人信息主体明确的授权。     

人工智能时代个人信息的保护研究

"智能制造"是未来的主攻方向,"智能+"的提出意味着我国的人工智能时代即将到来。尚无《个人信息保护法》的我国,进入人工智能时代后个人信息保护困难重重:面临着个人信息利用和个人信息保护之间的尖锐冲突、对海量个人信息数据的过度需求、个人信息存储存在安全隐患三大困境。通过构建严格的个人信息保护制度,明晰共享信息泄露告知原则;平衡好个人信息利用和保护之间的关系,遵守信息利用最小损害原则;建立个人信息多元监管模式,对未尽到安全保障义务的高管和相关责任人员与企业承担连带责任,以最大化保障个人信息的安全使用。     

大数据时代民法典人格权编对个人信息的定位与保护

在大数据时代,个人信息也表现出了一些新特征,体现为"个人弱控制"与"产业强需求"。2019年8月公布的《民法典人格权编(草案三次审议稿)》明确规定自然人的个人信息受法律保护。个人信息在民法典人格权编中被定位为人格权益本质,并且个人享有弱支配程度的人格权益。民法典人格权编中的个人信息行为规制模式可为有效保护个人信息提供支撑。     

纳税人隐私权保护中的问题与对策

实际工作中,税务机关无论是在纳税人个人隐私信息的收集与保管、使用与公开,还是在个人隐私信息侵权救济方面都不同程度地存在着纳税人隐私权被侵犯问题。为此,本文认为解决的办法是:对纳税人个人信息的收集与保管应该在法定职权范围内进行,并适时更新保持信息准确;纳税人个人信息使用与公开要合理合规且合法;完善保护纳税人个人隐私权的法律制度,制定《个人数据保护条例》等。     

智能催收中的个人信息保护及其法律完善

智能催收通过网络爬虫、大数据分析等手段对债务人信息的处理与《个人信息保护法》的从严保护取向存在冲突,智能决策引擎、智能分案等手段存在泄露债务人隐私的风险,以数据外包方式进行个人信息处理存在违规操作的隐患,算法自动化决策致使个人信息委托处理情形下的违法或不当行为更加隐蔽。应通过催收行业的专门立法明确催收过程中债务人信息处理规则的具体适用，将特定情形下对债务人信息的先行获取纳入法定的合理使用范畴；以“免遭算法支配”为核心完善智能催收中算法自动化决策的监管规则，构建由事前算法评估、事中算法公开和事后算法问责组成的全流程监管机制；强化对催收机构个人信息处理的准入监管与合规监管，促进催收机构内部规则、行业自律规则与监管规则的衔接。     

为App个人信息收集划红线

正规定的出台为监管部门提供了更有力的监督和执法依据,为相关企业的合规整改与后续开发提供了明确指引,同时也为用户进行自我权利保护提供了辨识和监督的指导。国家互联网信息办公室等四部门近日联合印发《常见类型移动互联网应用程序必要个人信息范围规定》,明确了39种常见类型App的必要个人信息范围,同时明确运营者不得因用户不同意收集非必要个人信息,而拒绝其使用App基本功能服务。     

谁来守护公民个人信息安全

<正>有效的个人信息保护,离不开政府的有效规制和监管,然而,个人信息保护条例的有效执行,更离不开作为信息主体的公民个体与作为数据控制方的企业和组织。作为互联网用户的公民个体,在使用数据时,自身产生的数据也成为大数据的组成部分。例如,社交网站能够广泛收集用户的敏感数据。"非知情同意"(non-informed consent)这个概念建     

“互联网+”时代侵犯公民个人信息犯罪的防控路径

"互联网+"时代,侵犯公民个人信息行为呈现出:个人信息涵盖范围广、被侵害数量大、被用于谋利等违法犯罪活动、单位"内鬼"成为行为主体之一、被害人群体化、共同犯罪趋势较为明显与刑罚轻缓化等特征,形成了复杂的犯罪链条。而部分网络行为主体自身道德伦理缺失,监管制度不到位,个人信息利益化以及网络群体特殊心理是导致个人信息被泄露的重要诱因。为此,在宏观上,要构建"互联网+"的伦理道德,净化网络空间;中观上,要加强多部门的联动治理,落实网络服务提供者的责任;微观上,不断提升公民尊重个人信息的意识和自我保护的能力。须设立《个人信息保护法》,健全个人信息法律规范体系,构建侵犯公民个人信息犯罪的综合治理体系,最大限度地保护个人信息。