作为个人信息跨境传输监管工具的标准合同条款

个人信息保护法第38条第1款第3项规定的“标准合同”,是个人信息跨境传输的监管工具。标准合同条款既拘束进出口双方,亦具有第三人保护功能,形式上是合同条款,内容上由国家预先决定并强制纳入,兼具个别规范和国家法规范的双重属性。进出口方的个人信息保护义务是个人信息跨境传输合同的主给付义务,是法定义务的合同化,包括个人信息安全义务,个人信息安全事件的通知、补救、减损义务,告知义务,目的限制义务,合规审计义务等。基于受益第三人条款,个人信息主体享有更正、删除等权利和违约损害赔偿请求权。国家网信部门制定标准合同条款构成对个人信息保护法的具体化适用,应限于授权范围,遵循比例原则,合理确定条款的强制使用机制和内容强制程度。     

个人信息权的体系化解释——兼论《个人信息保护法》的公法属性

《个人信息保护法》是数字时代个人信息保护的基本法。它采取了将个人信息权作为新兴公法权利的思路,确立了完整的个人信息权利保护体系,在个人信息保护问题上和《民法典》一起形成了公私法共同协力的进路。《个人信息保护法》以权利束的方式规定了个人信息主体的知情权、决定权、查阅权、复制权、更正权、删除权、可携带权和信息权利救济权等。《个人信息保护法》从立法依据、权利体系、条文设计和规制措施上都体现出鲜明的公法属性,这也可以从基本权利的双重面向和个人信息国家保护义务得到理论上的证成。这部法律是数字时代公法秩序的基石,它对公法边界的形塑仍需通过其实施来确立。     

问责原则与安全原则下的个人信息泄露侵权认定

当发生个人信息泄露时，个人信息主体多因泄露源头不清而难以有效证明侵权责任的成立。对此司法机关或利用表见证据规则，或利用因果关系倒置，平衡两造在诉讼中的力量关系，但也存在合法性欠缺、混淆行为与损害等问题。破题之策在于借助《个人信息保护法》第9条规定的问责原则与安全原则，柔化《民法典》一般侵权规范的适用。根据问责原则，个人信息处理者应自证个人信息处理行为的合规性，证明已经履行必要的作为义务。与之配合，安全原则要求个人信息处理者承担特殊的安全管理义务，义务内容包括但不限于《个人信息保护法》第51条的相关规定。就因果关系证明而言，问责原则要求个人信息处理者对民事损害负责，当存在不法个人信息处理行为时，可以依据法规目的说判定因果关系的成立；鉴于个人信息处理者承担特殊的安全管理义务，即便个人信息是从第三人处泄露或存在第三人故意介入的因素，因果关系也并非当然中断。     

论国家机关的个人信息保护法律责任——以《个人信息保护法》第68条为切入点

我国个人信息保护法第68条规定了国家机关的个人信息保护法律责任。在责任主体方面，该条涵盖国家机关和准国家机关的个人信息处理者与个人信息处理活动规制者两种身份，但存在两项缺漏：一是未明确履行个人信息保护职责的部门不依法履职的法律责任，二是未规定对非国家机关违法负直接责任的公职人员应受处分以及对国家机关违法负直接责任的人员应受行政处罚。在适用行为方面，第68条第1款所称的“不履行本法规定的个人信息保护义务”指作为个人信息处理者的国家机关违反该法义务性规定；第2款所称的“玩忽职守、滥用职权、徇私舞弊”彼此独立，其对应于我国刑法第397条第1款和第402条。在责任形式方面，第68条的“责令改正”属于内部行政行为，存在落实不力之虞，需强化内部和外部监督；“处分”指任免机关、单位给予处分和监察机关给予政务处分。违法人员具有党员身份的，还应受到组织处理、党纪处分，涉嫌犯罪的应追究刑事责任。     

大型平台的个人信息“守门人”义务

《个人信息保护法》第58条规定了大型平台的个人信息保护特别义务,即“守门人”义务,该条款也可以称为“守门人”条款。“守门人”条款在《个人信息保护法》的体系中具有显著的特殊性,《个人信息保护法》以规制个人信息处理者的个人信息处理行为为中心;但第58条规制对象是大型平台,大型平台在第58条语境下并非个人信息处理者,而是一种管理者的角色。第58条仅规制大型平台对平台内经营者的管理行为,而不规制其自身的个人信息处理行为。这种特殊性对第58条的解释产生了很大的影响,尤其体现在大型平台违反第58条的法律责任上。《个人信息保护法》的法律责任部分是针对个人信息处理行为进行设计的,大型平台违反第58条时,其法律责任的确定不能简单套用相关条文。     

论《个人信息保护法》对医学科研的影响

《个人信息保护法》“强化两头,多方平衡”。医学科研中的个人信息处理应以保护受试者个人信息权益为前提,平衡好各方合法权益。个人信息的界定采关联说,编码信息属于个人信息。医学研究应遵守个人信息处理规则,处理个人信息应当有合法依据,要么取得受试者明确同意,要么有法律许可。医学研究中的个人信息往往既是敏感信息,也是私密信息,故对受试者个人权益往往有重大影响,需要在处理前进行评估,严格履行《个人信息保护法》规定的个人信息处理者义务,依法保障受试者在个人信息处理活动中的法定权利。《个人信息保护法》对科学研究中的泛化同意未予认可,不符合医学科研的特点,不利于科学创新,值得商榷。     

广告发布者的著作权审查义务问题研究

广告发布者的著作权审查义务,是指广告发布者主动、积极地采取合理措施,审查广告主或广告经营者所提供广告内容的著作权合法性。审查义务与注意义务不同,注意义务仅要求广告发布者谨慎、小心地行为,避免其发布的广告内容侵犯他人著作权。从学理上而言,同时存在公法上的审查义务和私法上的审查义务。公法上的审查义务来源于公法规范,广告发布者的公法审查义务来源于《广告法》中的相关规定。考察新《广告法》的规定可以发现,广告发布者的公法审查义务不包含著作权审查义务。私法上的审查义务来源于私法规范,考察《著作权法》及相关司法解释,广告发布者也不负著作权审查义务,仅承担合理的注意义务。最后在司法上,存在一种危险的判决思路,即广告发布者的公法审查义务影响其私法上著作权问题的注意义务。这种思路实质上使得所有承担公法审查义务的广告发布者在私法上的注意义务都会被提到一个较高的水平,从而使广告发布者陷入"违反公法义务,承担公法责任"和"履行公法义务,承担民事责任"的两难困境。     

违反金融业行为监管规范的私法责任体系优化

为了保护好与金融机构存在交易或信赖关系之特定个人或特定范围个人的合法权益,行为监管规范所规定的内容正呈现出从现场检查向更注重完整交易流程监管转变的新趋势。本质上,这源于行为监管直接介入金融交易关系,并对金融机构不负责任行为进行限制的切入点选择。在一般私法“权利—义务—责任”逻辑的指引下,完全性和宣示性、转介性特别私法责任对行为监管规范所设特别义务的回应,改变了行为监管规范目的实现仅依靠公法的局面。不过现有特别私法责任规范设定的责任类型、责任构成,无法适应创新金融产品设计开发、营销宣传、销售缔约、后续跟踪等不同交易环节多主体协作的商业实践以及据此创设的特别义务,具有明显的零散、笼统和不连贯特征。对现有特别私法责任规范缺陷的系统修补,不仅需要在同一金融交易不同参与主体义务协同分担的基础上完成法定型不真正连带责任的优化设计,还需要巩固好转介性特别私法责任规范的枢纽地位、发挥好一般性私法责任规范填补漏洞的功能。     

个人信息保护中的主观公权利

个人信息保护应采用权利模式,引入行政法上的主观公权利。在个人信息保护中引入主观公权利有助于完善权利体系、保障公法救济、提升执法动力,复杂利益平衡将主要交由立法机关负责。信息主体作为相对人时,宪法基本权利条款和我国个人信息保护法部分条款可作为保护规范提供从程序法到实体法的保护。信息主体作为第三人时,辨识保护规范的重心从私人利益变为公共利益。既保护私人利益也保护公共利益的条文证成主观公权利,而仅保护私人利益的条文证成私权利。这样一来,既可明确公法介入与私法自治的边界,也可避免有关司法解释与《中华人民共和国个人信息保护法》第66、67条相结合可能导致的公法介入泛化问题。     

论个人信息主体基础法益的设定与实现——基于“个人信息处理规则”反射利益的视角

我国民法典和个人信息保护法并没有确立“个人信息权”概念，但有关条文使用了“个人信息权益”的概念表述，由此带来了关于“个人信息权益”的理解困惑。从法律实证的角度来说，现行法其实并未对个人信息主体基础法益进行直接确权，而是将其隐含规定在对“个人信息处理规则”为重心的体系设计之中，呈现为一种反射利益意义的基础法益设定。在这种意义上，可以将“个人信息处理规则”视为“以保护他人为目的的法律”。针对个人信息处理规则隐含个人信息基础法益的特点，我国个人信息保护法还引入了以强化多重治理体系、压实行为主体责任为内容的独特实现路径，具体包括“个人在个人信息处理活动中的权利”“、个人信息处理者的义务”“、履行个人信息保护职责的部门”“、法律责任”四个方面的合力。以此为分析，可知我国个人信息保护法第四章“个人在个人信息处理活动中的权利”，其所确立的多项个人信息保护权，属于强化治理体系结构中的机制内涵，而不可混同理解为基础法益。这些权利因具有请求权的形式，也称个人信息保护请求权，可以纳入广义人格权请求权的范畴。     

论个人信息处理中的优位利益豁免规则

《个人信息保护法》第13条以开放列举的方式对个人信息处理的合法性基础作出了规定，并将“知情同意规则”确立为基本原则。但事实上该规则深陷传统财产规则的桎梏，过分强调个人对信息的控制，而忽视了信息的流通与利用。有鉴于此，我国可引入优位利益豁免规则，赋予信息控制者在经过利益识别，认定信息处理所保护之利益优于信息主体利益后，无需经过信息主体同意直接处理个人信息的权利，进而在知情同意规则之外对个人信息处理行为的合法性基础进行补充，平衡对信息主体的过度保护。与此同时，亦需要建立严格的优位利益识别机制、强化信息控制者义务，疏通信息主体的救济途径并加强政府监管，以防规则滥用。     

个人信息保护的私法维度——兼论《民法典》与《个人信息保护法》的关系

个人信息的私法保护路径对于有效保障民事主体的个人信息权益十分重要;《个人信息保护法》本身包含大量的私法规范、制度和原则,因此需要从体系化的角度与《民法典》作关联解读与适用.由此,需要充分认识到《民法典》与《个人信息保护法》之间的内在密切关联,正确看待二者的关系.《民法典》与《个人信息保护法》中的私法规范构成普通法与特别法的关系,在后者有明确规定的时候应优先适用,而在其没有规定的时候应适用《民法典》的规则.在个人信息保护的法律适用中将二者割裂甚至对立起来的观点或者对《民法典》采取排斥封闭的态度,都会破坏法律体系的和谐和法律适用的统一,对个人信息保护来说也是不利的.     

个人信息保护检察公益诉讼的探索与发展

个人信息具有保护和利用的双重需求，实践中侵害个人信息安全的违法行为多发频发，个人信息保护法设立公益诉讼条款，有利于更好保障公民个人信息安全，促进数字经济健康发展。个人信息违法行为具有隐蔽性、专业性、流动性，司法实践中存在民事责任认定和损害赔偿标准不明确、调查取证难、制度供给和理论支撑不足、多元共治合力不够等难题，检察机关应当切实发挥检察公益诉讼制度优势，积极探索个人信息保护民事公益诉讼责任认定规则，加强对公益赔偿金的管理使用，促推个人信息保护法各方责任主体衔接协作，为个人信息保护法统一正确实施提供有力法治保障。     

个人信息保护公益诉讼制度研究

数字经济时代背景下，个人信息侵权不仅损害个人信息主体的个人权益，也损害社会公共利益。为更好地应对由此带来的信息公共安全问题，个人信息保护法第70条确立了个人信息保护公益诉讼的法律地位。因该条款为原则性规定，故应从个人信息公益化识别标准、起诉主体的确定和顺位性问题、个人信息保护公益诉讼的适用情形以及法律责任的组合方式等方面进行深入研究和阐释，以利于对法律规定的正确理解与适用。     

论信息泄露侵权的归责原则

塑造科学合理的归责原则是个人信息保护立法的重要内容。在《个人信息保护法》通过之前,我国未特别规定信息泄露侵权的归责原则,司法和学术界存在不同观点。信息泄露事件具有较高的危险系数,对信息处理行为的归责须兼顾行为风险与产业政策。一般过错和严格责任具有局限性,不能适应信息泄露的行为特质。我国具有在特定类型案件中实行过错推定原则的传统,实行该原则也契合企业组织责任的特点,能够优化信息安全保护义务的内容,与全球主要国家或地区的立法趋势相吻合。在现行法框架下,可通过若干措施,细化信息安全保护义务的内容,适应“不法性推定过失”的需要。     

论个人信息保护限制的立法范式与体系逻辑——以应对突发疫情事件为例

对个人信息保护进行适当限制是平衡个人权益与公共利益的必然选择。基于特定的紧急背景在公法中设定个人信息保护限制,虽有助于集中力量驱逐疫情,但往往忽视对作为私权客体性的个人信息对象考察,容易侵犯个人信息法益。当前我国民法典对个人信息保护的限制规定虽符合疫情防控下个人信息保护限制的紧急需求,但缺失对权利限制的一般条款以及合理实施的进一步解释,亟待更精细的规范进行界定。这表明应对重大疫情防控时,我国立法在个人信息保护的合理限制问题时出现了制度缺位。原因在于,无论是公法还是私法都无法独自处理好疫情防控下的个人信息保护限制问题。公、私法二元性质个人信息保护立法框架契合数据治理理论的内在属性,也是风险社会中公私法协力的必然要求。重大疫情背景并不决定个人信息保护限制的二元范式,这是由个人信息的属性本身所决定的。公法和私法分别规定个人信息保护限制规则均具有部分正当性来源,但从法律的实现效果以及比较立法趋势来看,将个人信息保护限制置于一部公私复合的个人信息保护法之中更符合时代发展。文章最后在该立法范式引导下,反思了当前个人信息保护限制立法体系逻辑,并提出了个人信息保护限制立法完善的建议。     

重思个人信息权利束的保障机制：行政监管还是民事诉讼

个人在个人信息处理活动中的权利,包括知情、决定、查阅、复制、删除、可携带等权利的集合,是立法为个人配置的个人信息权利束。这些权利并非个人民事权利的逻辑延伸,而是国家为了履行个人信息保护义务,通过制度性保障赋予个人的工具性权利。这些工具性权利与个人信息处理规则在内容上同构,二者共同构成个人信息保护的规制秩序。以行政监管为中心对个人信息权利束进行保障,是个人信息保护法内在逻辑的必然要求,其能够更高效地规制个人信息处理活动,更有效地实现保障个人信息权益和规范信息处理活动的双重目标。以行政监管为中心,并不排斥民事诉讼等私法救济途径。如果违法处理个人信息的行为在侵害个人信息权利束的同时,也侵害了民事实体权益,个人可依法提起侵权之诉。     

侵犯公民个人信息罪的法益重构:从私法权利回归公法权利

侵犯公民个人信息罪的法益不是私法上的个人信息自决权.个人信息不等于个人私有信息,个人对其信息并不具有完全的排他性支配权.侵犯公民个人信息罪的法益观应该从私法角度转向公法角度,刑法保护个人信息的目的不是确权,而是规避风险.公法上的个人信息受保护权既不是私法上的个人信息自决权,也不是超个人的信息公共安全.个人信息按照其私密性高低,分别属于三个不同领域,即最核心层的隐私领域、中间层的私人领域、最外层的社会领域.个人信息所属的不同领域直接影响到本罪构成要件符合性的判断.个人同意并不是本罪违法性判断的决定性因素,获得个人同意的行为当然不应该构成犯罪,但未获得个人同意的行为也可能不构成犯罪.     

数据竞争下消费者隐私权保护的竞争法介入

司法实践表明,平台企业间的数据不正当竞争行为威胁着消费者的隐私安全,现有相关法律制度由于主体性缺位而没有提供有效的救济机制。相较于传统单一的私法或公法保护机制,竞争法的优势在于在执法和司法过程中能够掌握到消费者隐私权侵害事实,有助于降低消费者个人的维权成本以及监管机构的执法成本。但竞争法介入消费者隐私权保护的理论争议和制度短板限制了其优势的发挥。《个人信息保护法》的颁布将与竞争法保护形成有效衔接,发挥各自的比较优势。从竞争法角度而言,有必要进一步完善立法补足介入隐私权保护的制度短板,健全竞争执法中的隐私权保护机制,建立监管信息共享平台,提升隐私权保护水平。     

论民间融资备案登记的难点及其解决

民间融资的信息不灵和监管手段的缺失非常明显,民间融资的备案登记因此被提出和探索。但民间融资备案登记在理论上存在争议性难点,如备案机构的性质及其备案管理的权力来源、备案的义务主体和备案环节、备案登记的范围与效力以及不履行备案登记的法律责任等。解决的重点在于明确备案机构的性质和备案模式、备案登记的义务主体和登记时间,规定备案与否的法律后果和责任。