论个人信息主体基础法益的设定与实现——基于“个人信息处理规则”反射利益的视角

我国民法典和个人信息保护法并没有确立“个人信息权”概念，但有关条文使用了“个人信息权益”的概念表述，由此带来了关于“个人信息权益”的理解困惑。从法律实证的角度来说，现行法其实并未对个人信息主体基础法益进行直接确权，而是将其隐含规定在对“个人信息处理规则”为重心的体系设计之中，呈现为一种反射利益意义的基础法益设定。在这种意义上，可以将“个人信息处理规则”视为“以保护他人为目的的法律”。针对个人信息处理规则隐含个人信息基础法益的特点，我国个人信息保护法还引入了以强化多重治理体系、压实行为主体责任为内容的独特实现路径，具体包括“个人在个人信息处理活动中的权利”“、个人信息处理者的义务”“、履行个人信息保护职责的部门”“、法律责任”四个方面的合力。以此为分析，可知我国个人信息保护法第四章“个人在个人信息处理活动中的权利”，其所确立的多项个人信息保护权，属于强化治理体系结构中的机制内涵，而不可混同理解为基础法益。这些权利因具有请求权的形式，也称个人信息保护请求权，可以纳入广义人格权请求权的范畴。     

大数据时代个人信息保护的法律完善

我国个人信息保护立法经历了从无到有、从少到多、从点到面、从面到体的发展过程，呈现出从注重保护到兼顾保护与利用、从整体框架设计到配套制度供给、从普适性规范到特定行业规范的发展趋势。大数据时代的个人信息保护面临两方面挑战，一是个人信息保护法域外效力制度缺乏可操作性，二是区块链、ChatGPT等新技术新应用带来的法律挑战。对此，应当进一步完善个人信息保护法，提升个人信息保护法域外效力制度的体系性，加强个人信息保护法域外效力制度的国际性，明确区块链责任主体和个人信息权利实现方式，注重对ChatGPT个人信息处理活动透明度的监管，以更好地保护个人信息。     

个人数据交易的双重法律构造

个人数据交易具有动态性与非排他性,数据交易当事人处于持续性数据收集或传输关系之中,任何一方均不能排他地控制个人数据。上述特性使得数据交易不能被界定为数据买卖,数据处理也不能被简单地理解为数据合同的履行行为。合同关系与数据处理关系的不同,使得数据交易具备双重法律结构。一次完整的个人数据交易同时包含表意人的承诺与个人的同意,前者属于意思表示,后者则属于准法律行为。与之相应,个人数据交易由基础性合同与个人信息处理活动组成,前者主要受合同规则调整,后者则是个人信息保护法的规范对象,二者效力应分别判断。在规范适用上,个人信息主体的同意并非原则上得准用法律行为规则。合同规则与个人信息处理规则各守其分,分别规范数据交易中的不同行为,二者之间不存在冲突。考虑到数据处理也是合同项下的行为,合同规则与个人信息保护规则可以在例外情况下穿透双重结构,协力实现数据流动与个人信息保护之间的动态平衡。     

个人数据的产权化与流通

个人数据具有聚合的必要性和复制的便捷性两个特点，其对塑造公司间交易、交易所交易和消费者合同三种数据交易模式具有重要影响。三种以合同为主体的交易模式存在信息成本高、执行成本高、提供与保护数据激励不足的市场失灵问题，为此，需要通过对数据实行产权化来弥补现行法律解决数据权益问题的困境，并解决相应的市场失灵难题。将个人数据产权配置于个人，通过对《个人信息保护法》的剖析，运用“权利束”理论进一步推导和分析出个人对数据产权的具体权利。借鉴英美法系权利相对性理念和场景化工具来推动个人数据的流动，以促进个人数据的保护和利用。     

论个人信息安全事件通知义务

个人信息安全事件通知是个人信息处理者履行信息安全保护义务的重要环节，能够促使信息主体和监管机构在发生个人信息安全事件后及时采取行动，防范次生损害。《网络安全法》《数据安全法》《个人信息保护法》均规定了个人信息安全事件通知义务，但内容不一、详略有别。从“个人信息”的范畴来看，只有发生安全事件的“个人信息”可能影响信息主体实际权益时，才有必要通知信息主体；从通知内容来看，应当对通知监管机构和信息主体的内容作出区别规定；从通知的理论基础来看，由侵权责任和合同附随义务产生的私法责任是信息处理者向信息主体履行通知义务的理论基础，向监管机构履行通知义务则是公法要求；从通知的条件来看，对个人信息采用加密等技术手段后可不向信息主体履行通知义务，只有发生安全事件的个人信息达到一定规模体量才有必要通知监管机构；从通知的法律责任来看，更宜适用作为特别法的《个人信息保护法》的法律责任规定，同时限缩私法层面的赔偿责任，强调公法层面的处罚责任。     

个人信息司法保护的利益衡量

在我国《个人信息保护法》已经颁布实施的情况下,个人信息司法保护的利益衡量更显重要,主要体现为个人信息利益与社会公共利益和企业数据利益之间的冲突与平衡。从法律依据看,我国法律文本中解决个人信息利益与其他利益冲突的规定主要体现为“数据条款”和“公共利益条款”。从司法实践看,公共利益界定的模糊导致了其与个人信息利益的紧张关系,公共利益代表机制的多元加剧了其与个人信息利益之间的冲突,且呈现出“重追责轻管理”“重刑轻民”、救济机制不畅等特点。实现个人信息司法保护的利益平衡,在解释论层面需要强化处理个人信息基本原则、保护责任机制和侵权法律责任,在立法论层面需要进一步明确界定相关核心概念、创新个人信息保护模式、建立专门个人信息保护机构以及健全个人信息权益救济规则。     

论社会信用信息权利：范畴、内容及其体系

在社会信用体系建设持续推进与“数据二十条”出台的大背景下,社会信用信息权利在范畴、内容及其体系方面仍然存在一些问题。基于个人信息重要性、概念核心区域明确、处理的合法性与合理性事由及“动态系统”理论,可以将个人信息定位为权利。“数据三权”也并非传统意义上的支配权、绝对权,其排除的仅仅是非法获取或处理数据的行为。社会信用信息为个人信息与数据在社会信用领域的延伸,同样应当将社会信用信息权利定位为新型的权利。未来应当依托现有的《民法典》《个人信息保护法》展开解释,确立社会信用信息处理合法性与合理性事由,有效实现社会信用信息权利体系的协调。     

重思个人信息权利束的保障机制：行政监管还是民事诉讼

个人在个人信息处理活动中的权利,包括知情、决定、查阅、复制、删除、可携带等权利的集合,是立法为个人配置的个人信息权利束。这些权利并非个人民事权利的逻辑延伸,而是国家为了履行个人信息保护义务,通过制度性保障赋予个人的工具性权利。这些工具性权利与个人信息处理规则在内容上同构,二者共同构成个人信息保护的规制秩序。以行政监管为中心对个人信息权利束进行保障,是个人信息保护法内在逻辑的必然要求,其能够更高效地规制个人信息处理活动,更有效地实现保障个人信息权益和规范信息处理活动的双重目标。以行政监管为中心,并不排斥民事诉讼等私法救济途径。如果违法处理个人信息的行为在侵害个人信息权利束的同时,也侵害了民事实体权益,个人可依法提起侵权之诉。     

个人信息可携带权在国家机关间的实现

学界关于个人信息可携带权的研究很少涉及其在国家机关间实现的情形，但个人信息可携带权具有在国家机关间实现的规范基础和现实需要。从法教义学角度分析，宜将个人信息保护法第33条理解为一种特殊立法技术，即该条使得个人信息保护法中的规范具有公私法双重属性，第45条第3款规定的个人信息可携带权亦具有“公私法兼容性”。但公法上的个人信息可携带权并非宪法上个人信息权的保护核心，而是处于立法者的形成空间中，主要体现为要求国家机关作出具体行为的行政法上的请求权，其解释需要受其宪法规范的辐射效果。应从权能要素、客体范围和技术标准等维度明确公法上的可携带权的权利内容，基于公共利益和第三人保护厘定其外在限制，勾勒公法上的可携带权的最终保障范围，从而更好地发挥其促进数据流通、构建互联互通数字政府的积极作用。     

作为个人信息跨境传输监管工具的标准合同条款

个人信息保护法第38条第1款第3项规定的“标准合同”,是个人信息跨境传输的监管工具。标准合同条款既拘束进出口双方,亦具有第三人保护功能,形式上是合同条款,内容上由国家预先决定并强制纳入,兼具个别规范和国家法规范的双重属性。进出口方的个人信息保护义务是个人信息跨境传输合同的主给付义务,是法定义务的合同化,包括个人信息安全义务,个人信息安全事件的通知、补救、减损义务,告知义务,目的限制义务,合规审计义务等。基于受益第三人条款,个人信息主体享有更正、删除等权利和违约损害赔偿请求权。国家网信部门制定标准合同条款构成对个人信息保护法的具体化适用,应限于授权范围,遵循比例原则,合理确定条款的强制使用机制和内容强制程度。     

政府数据开放中个人信息保护的范式转变

政府数据开放并非静态的单一行为,而是动态的系统过程。借助数据生命周期理论,可以将政府数据开放解构为数据收集、转换、存储、公开和使用五个阶段。根据《个人信息保护法》和《数据安全法》确立的最新规则,个人信息保护风险可能同时存在于政府数据开放生命周期的各个阶段。然而,政府数据开放中现有的个人信息保护范式主要采取“基于结果的方法”,重点关注政府数据在公开时的状态,依靠技术性匿名化手段,难以有效应对政府数据开放中的个人信息保护风险。与此相对应,“基于过程的方法”与政府数据生命周期、个人信息保护的程序化和数据安全全流程管理相契合,可以弥补“基于结果的方法”的不足。通过将风险预防原则和程序、技术、经济、教育和法律等手段分散放置在政府数据开放生命周期的每个阶段,能够最大限度减少个人信息保护风险,在个人信息保护与政府数据开放之间实现动态平衡。     

个人信息权的体系化解释——兼论《个人信息保护法》的公法属性

《个人信息保护法》是数字时代个人信息保护的基本法。它采取了将个人信息权作为新兴公法权利的思路,确立了完整的个人信息权利保护体系,在个人信息保护问题上和《民法典》一起形成了公私法共同协力的进路。《个人信息保护法》以权利束的方式规定了个人信息主体的知情权、决定权、查阅权、复制权、更正权、删除权、可携带权和信息权利救济权等。《个人信息保护法》从立法依据、权利体系、条文设计和规制措施上都体现出鲜明的公法属性,这也可以从基本权利的双重面向和个人信息国家保护义务得到理论上的证成。这部法律是数字时代公法秩序的基石,它对公法边界的形塑仍需通过其实施来确立。     

论个人信息保护请求权的行使

个人信息保护请求权是为保护个人的知情权、决定权等个人信息权益及其最终保护的若干基本人权、宪法上的权利与自由、民法上的人格权等而设立的程序性权利。《个人信息保护法》第50条规定了个人信息保护请求权的具体行使方式。个人就个人信息保护请求权提起诉讼的，应以个人信息处理者拒绝其行使权利的请求为前提。人民法院处理个人信息保护请求权纠纷，应依据法律、行政法规的规定对个人信息处理者拒绝个人行使权利的正当性进行审查。符合行使个人信息保护请求权的起诉条件的，个人可以就维护权利的合理费用一并提出损害赔偿请求。个人因个人信息被侵害受到人身、财产损害的，可依据《个人信息保护法》第69条的规定直接提起诉讼，不以向个人信息处理者先行提出损害赔偿请求为前提。     

“个人信息侵权”方案的反思及其重塑

以个人信息自决权为理论基础、抽象风险损害化为构建策略的“个人信息侵权”方案,在司法实践中暴露出冲击侵权责任制度、不当限制行为自由、诱发诉讼泛滥等缺陷,正当性存疑。个人信息权益并非个人信息自决权,而是以控制处理风险为目的的工具性权利,其与私法人格权构成屏障结构而非并列关系。侵害个人信息权益仅造成抽象风险的,个人信息权益本身即可为个人提供控制手段,将抽象风险视为损害的侵权责任方案扩张失度且无必要。侵害个人信息权益的损害赔偿责任,仍应以损害发生为前提。当非法处理活动被主行为吸收时,不成立“个人信息侵权”的竞合形态与替代形态,侵权责任依主行为认定。单独的非法处理活动符合侵权责任的违法性要件,归责原则为过错推定原则。     

个人信息侵权责任构成要件研究

个人信息侵权责任成立的认定涉及两组规范关系的处理：一是我国民法典第1165条第1款与个人信息保护法第69条第1款的规范适用关系；二是规定侵权责任成立构成要件的民法典第1165条第1款、个人信息保护法第69条第1款与引入利益权衡方法的民法典第998条的规范关系。其中，对于民法典第1034条第3款规定的私密信息优先适用隐私权保护规则导致第1165条第1款与第69条第1款在适用上的紧张关系，应在现行法秩序内外在体系融贯的视角下通过目的扩张解释第1034条第3款“没有规定的”内涵来解决。对于民法典第1165条第1款、个人信息保护法第69条第1款规定的责任成立构成要件与民法典第998条规定的利益权衡方法之间的规范关系，应在赋权保护模式与行为规制模式的体系协调下确定，将能够清晰界定事实构成的个人信息侵害行为通过预先概括规定标准性事实构成要件+正当理由的例外检验模式来判断相应的责任是否成立，将那些不能清晰界定事实构成的侵害行为，通过利益权衡方法评价其在侵权责任法上的效果。     

个人信息保护检察公益诉讼的探索与发展

个人信息具有保护和利用的双重需求，实践中侵害个人信息安全的违法行为多发频发，个人信息保护法设立公益诉讼条款，有利于更好保障公民个人信息安全，促进数字经济健康发展。个人信息违法行为具有隐蔽性、专业性、流动性，司法实践中存在民事责任认定和损害赔偿标准不明确、调查取证难、制度供给和理论支撑不足、多元共治合力不够等难题，检察机关应当切实发挥检察公益诉讼制度优势，积极探索个人信息保护民事公益诉讼责任认定规则，加强对公益赔偿金的管理使用，促推个人信息保护法各方责任主体衔接协作，为个人信息保护法统一正确实施提供有力法治保障。     

权利抑或利益：个人信息保护立法模式之辩

当个人信息保护与数据流通发生冲突时,基于利益衡量,原则上应力求二者关系的协调,但无法衡平时个人信息保护应处于优先地位。检视个人信息利益的保护模式,其中一般人格利益模式和纯粹的民事利益模式均存在缺陷。运用德国权益区分理论,在法教义学上审查可知应当确立个人信息权利模式。基于应更侧重于人格权益的保护、作为具体人格权可兼顾数据流通、可实现多途径救济等因素的考量,将个人信息权利合目的性限缩为具体人格权。在个人信息保护法的制定中,还应注重场景适用具体规则的构建,包括应排除纯粹私生活领域的信息行为,确认为维护公共利益处理个人信息的行为,强化商业领域信息处理的规制力度。     

合同关系中个人信息处理同意撤回权的限制与展开

《个人信息保护法》第15条赋予信息主体随时无条件、无负担地撤回信息处理同意的权利。然而,当同意信息处理正是信息主体的合同义务时,撤回权对合同的拘束力和履行构成冲击,因此应当对现有规范进行妥适解释和调整,以限制撤回权制度对合同关系的影响。撤回权的适用范围应当限定于个人信息处理行为对人格和财产存在加害高风险且既有人格权保护规则对此存在保护不足的合同场景,即主要限定在消费者合同和劳动合同情形。人格标志商业利用并非需要个人信息保护法事先防范机制介入的风险领域,人格标志许可使用合同中的人格权人也非处于弱势地位,撤回权因此不适用于人格标志许可使用合同。信息主体有权事先放弃撤回权。在撤回权行使后,以同意信息处理为对待给付的双务合同的效力不受影响;撤回属于履行迟延型违约;信息主体因不具可归责事由而不承担违约损害赔偿责任,也无需赔偿信赖利益损失;合同相对人在一定条件下享有解除权。     

论个人信息处理的“合同所必需”规则

《个人信息保护法》新增“合同所必需”作为合法处理个人信息的条件之一，但该规则在适用中存在个人信息处理者以增加服务内容、扩大个人信息需求以及降低信息处理透明度的方式侵害用户权益的风险。通过分析欧盟“合同所必需”规则的适用前提、适用标准、适用条件，思考对规则异化的风险进行控制与化解的路径，可为我国建立健全相关适用规则提供借鉴。“合同所必需”规则的适用基础仍是知情同意，其本身不应是一项单独的法定事由，在适用时必须明确“合同依法成立并生效”这一独特前提，在此基础上依托合同自由与公平原则建立相应适用规范，在合法与正当原则下确立“关联性”标准，在目的明确与最小化原则下确立“必需性”标准，在强化告知义务中确立“透明度”标准。同时，基于法律的禁止性规定，在敏感个人信息处理和利用信息进行自动化决策中不能适用该规则。     

论《个人信息保护法》对医学科研的影响

《个人信息保护法》“强化两头,多方平衡”。医学科研中的个人信息处理应以保护受试者个人信息权益为前提,平衡好各方合法权益。个人信息的界定采关联说,编码信息属于个人信息。医学研究应遵守个人信息处理规则,处理个人信息应当有合法依据,要么取得受试者明确同意,要么有法律许可。医学研究中的个人信息往往既是敏感信息,也是私密信息,故对受试者个人权益往往有重大影响,需要在处理前进行评估,严格履行《个人信息保护法》规定的个人信息处理者义务,依法保障受试者在个人信息处理活动中的法定权利。《个人信息保护法》对科学研究中的泛化同意未予认可,不符合医学科研的特点,不利于科学创新,值得商榷。