个人信息保护检察民事公益诉讼的路径优化

个人信息保护检察民事公益诉讼具有显著“刑事化”特征。检察院直接提起个人信息保护民事公益诉讼具有明显的优势，它能够扩大受案范围、减轻证明负担、发挥预防功能与促进源头治理。个人信息保护检察民事公益诉讼应以互联网平台滥用“知情同意”规则非法处理个人信息行为以及间接侵害个人信息权益的行为作为主要对象。立案标准仅要求侵权行为有导致个人信息社会公共利益受损的危险即可。诉讼请求应当兼顾个人信息权益的财产属性和人身属性，还应当兼顾个人信息权益保护的预防与惩治功能。针对恶意侵害个人信息权益行为，允许检察院提起惩罚性赔偿请求。     

刑事诉讼中个人信息的检察保护

刑事诉讼中个人信息的检察保护是新时代法律监督应有之义,是客观公正义务的发展与延伸,是监督大数据侦查的有效途径。现有刑事诉讼法律规范难以适应个人信息保护现实需求。要发挥好个人信息检察保护职能,刑事诉讼法需要适度引入个人信息保护原则与规则,加强个人隐私信息保护,同时检察机关应为信息主体提供权利救济途径,监督其他国家机关处理个人信息活动,发现和纠正违反个人信息保护法律的行为。     

风险预防原则在个人信息保护中的适用与展开

随着数字风险社会的兴起,个人所处的数字环境日趋复杂。大数据、物联网、人工智能等数字技术的快速发展与广泛应用,使个人信息保护风险存在诸多不确定性和不可逆性,这推动着个人信息保护基本原则的更新。风险预防原则不仅回应了数字风险社会背景下个人信息保护的现实需求,而且是实现个人信息国家保护义务的内在要求。为了更好地推动风险预防原则在我国个人信息保护法制中的适用与展开,应当确立风险预防的基本原则地位及配套规则、完善预防性监管措施、优化风险预防的司法因应,构建更加完善的个人信息保护法律制度体系。     

数字时代隐私权保护的立法因应

数字技术在为人类生活带来便利、促进数字经济发展和数字服务能力及效率提升的同时,使自然人隐私权面临以保障安全和发展经济为名的潜在威胁、数字伦理缺失等多重消解风险。当下中国形成了以《数据安全法》保障数据安全、以《个人信息保护法》规制个人信息处理活动、以《民法典》保护自然人隐私权的立法模式。但在数字时代,上述立法模式存在对个人信息和隐私界定不明、缺少流动场景下对隐私权社会属性的重视、隐私权法律救济和责任规制缺失、国内外的隐私权保护立法衔接不足等问题。在数字时代,我国对隐私权保护立法的完善,应从法理和适用规则上界分隐私和个人信息,依群体分类保护隐私权,完善私密信息的法律救济规则,健全对重点场景和行业的法律责任追究机制,建立公平公正的数字贸易与隐私权保护国际规则,强化自然人对数字社会治理的参与等。     

酒后驾车,该不该保险

新闻背景 近日,天安保险公司在沈阳率先开办了一种针对驾驶人饮 酒驾车的车险附加险,这样沈阳的私家车主在酒后驾车时肇事将 可能获得最高25万元的保险理赔。 “酒后驾车保险”在天安公司的保险条款中被称为“非常事 故损失特约险”,具体内容如下:投保人只有投保汽车损失险和 第三者人身伤害责任险、第三者财产损失责任险、乘客和驾驶人 伤害责任险才可投保非常事故损失特约险。在交通事故责任认定 书载明的驾驶人饮酒驾车肇事,致使第三者人身伤亡或财产直接 损失以及本车乘客遭受伤亡,依法应由被保 …     

论个人信息主体基础法益的设定与实现——基于“个人信息处理规则”反射利益的视角

我国民法典和个人信息保护法并没有确立“个人信息权”概念，但有关条文使用了“个人信息权益”的概念表述，由此带来了关于“个人信息权益”的理解困惑。从法律实证的角度来说，现行法其实并未对个人信息主体基础法益进行直接确权，而是将其隐含规定在对“个人信息处理规则”为重心的体系设计之中，呈现为一种反射利益意义的基础法益设定。在这种意义上，可以将“个人信息处理规则”视为“以保护他人为目的的法律”。针对个人信息处理规则隐含个人信息基础法益的特点，我国个人信息保护法还引入了以强化多重治理体系、压实行为主体责任为内容的独特实现路径，具体包括“个人在个人信息处理活动中的权利”“、个人信息处理者的义务”“、履行个人信息保护职责的部门”“、法律责任”四个方面的合力。以此为分析，可知我国个人信息保护法第四章“个人在个人信息处理活动中的权利”，其所确立的多项个人信息保护权，属于强化治理体系结构中的机制内涵，而不可混同理解为基础法益。这些权利因具有请求权的形式，也称个人信息保护请求权，可以纳入广义人格权请求权的范畴。     

论数据使用：个人信息保护与数据利用的衔接点

个人信息与数据利用在法律保护的价值取向和规则设计上存在着天然的矛盾。个人信息保护法将个人信息处理作为规范对象，实际上是对数据使用行为加以规制。对数据使用的理解成为二者有效衔接的关键。解析不同时代技术背景下的数据使用后发现，其法律内涵与具体规则是相互影响变化的。相较于信息的数字化，大数据时代的数据使用以实现信息的增量和再创造为目的，呈现出新的核心特征。我国个人信息保护体系的完善，需对增量信息的数据使用行为加以判断，建议在现有规则下增加用户感知标准。     

数字政府建设中个人信息保护的风险规制路径

公共部门个人信息保护制度的完善是建构数字法治政府的必由之路。我国《个人信息保护法》采取了公私部门一体调整的宣示性立法模式,目前既无法为公共部门个人信息保护提供足够的规则指引,也未充分满足数字政府建设的需要。数字政府个人信息保护规则的建构,不仅需要考虑公共部门相对私人部门在个人信息处理活动中的特殊性,还要兼顾数字政府在技术和治理这两个层面的革新,进而制定专门规则。风险规制模式不仅是世界范围内个人信息保护制度的发展趋势,而且能够为一体调整模式提供理论基础。通过风险预防原则的适当运用,对个人信息权利的风险化解释与调适,风险管理、风险交流和风险评价等风险规制机制的灵活运用,以及合作治理、独立规制机构、技术治理、回应治理、试验规制和软法之治等风险规制策略的共同配合,建构以风险规制为导向的数字政府个人信息保护机制是我国未来的最优选择。     

论个人信息主体同意的私法性质与规范适用——兼论《民法典》上同意的非统一性

个人信息主体同意通常属于准法律行为，在例外情况下也具有意思表示属性。当存在对价关系时，同意构成“承诺式同意”，合同关系与个人信息处理关系并存，数据交易的双重结构由此展开。作为准法律行为的同意能否参照适用法律行为规则，应结合特定利益状态进行判断。平台经营者与用户之间的不平等状态与格式条款提供方与相对方之间的关系类似，因此隐私政策、服务协议可以参照适用我国民法典合同编中的格式条款规则。具有意思表示属性的同意则同时受到法律行为规则与个人信息保护规则的双重规范。在民法典时代，法律人应克制体系化冲动，承认同意理论的非统一性，避免为了追求形式美感而忽视复杂规范框架的必要性与合理性。     

预防性个人信息保护民事公益诉讼的证立及其制度展开

在现代风险社会,司法如何通过制度架构有效预防个人信息公共安全风险是一个重要的法治命题。通过预防性司法制度应对个人信息公共安全风险,既是履行个人信息国家保护义务的主动选择,也是因应个人信息社会公共利益风险治理体系建设的客观需要。预防性个人信息保护民事公益诉讼制度的确立需要从现行保护模式入手,公共执法模式与传统诉讼补救模式在个人信息公共安全风险的防控上均存在明显的结构性缺陷,不能对个人信息社会公共利益予以周延保护。为完善个人信息社会公共利益风险治理体系,总体层面应当注重从自我控制到公共治理的转变趋势,并促进保护模式从补偿性到预防性的制度延伸;具体层面需要逐步确立“高风险”的法律基准和检察机关处于诉权主体的优先顺位,以及对诉前程序、证明责任和责任承担方式等方面的具体规则进行调整或更新。     

刑事诉讼中适用《个人信息保护法》相关问题研究

《个人信息保护法》的颁布实施将刑事诉讼统一纳入个人信息保护法律规范体系当中,需要认真研究刑事诉讼中如何适用《个人信息保护法》的相关规定。个人信息保护中的核心规则“告知-同意”规则在刑事诉讼中基本失效,同意规则无须适用,告知规则设置了宽泛的例外,刑事诉讼法律规范中应当明确例外的界限与适用情形。对于个人信息保存时限、委托处理个人信息的相关规则、自动化决策和敏感个人信息的处理,刑事诉讼中都应当进一步予以细化规定。个人信息权益在刑事诉讼中呈减损状态,但不应被彻底剥夺,应当着力强化刑事执法、司法机关的个人信息保护的合规义务,构建《个人信息保护法》适用于刑事司法领域的若干支撑配套制度,包括将规制场景由技术侦查扩展至更为广阔的信息收集实践,强化事先数据合规制度建设,增设检察机关作为刑事司法系统中投诉处理的负责机构等。     

政府数据开放中个人信息保护的范式转变

政府数据开放并非静态的单一行为,而是动态的系统过程。借助数据生命周期理论,可以将政府数据开放解构为数据收集、转换、存储、公开和使用五个阶段。根据《个人信息保护法》和《数据安全法》确立的最新规则,个人信息保护风险可能同时存在于政府数据开放生命周期的各个阶段。然而,政府数据开放中现有的个人信息保护范式主要采取“基于结果的方法”,重点关注政府数据在公开时的状态,依靠技术性匿名化手段,难以有效应对政府数据开放中的个人信息保护风险。与此相对应,“基于过程的方法”与政府数据生命周期、个人信息保护的程序化和数据安全全流程管理相契合,可以弥补“基于结果的方法”的不足。通过将风险预防原则和程序、技术、经济、教育和法律等手段分散放置在政府数据开放生命周期的每个阶段,能够最大限度减少个人信息保护风险,在个人信息保护与政府数据开放之间实现动态平衡。     

风险与控制：论生成式人工智能应用的个人信息保护

生成式人工智能的技术跃进架空了个人信息处理的告知同意规制和最小必要原则，引发了虚假信息生成和个人信息泄漏的广泛风险迭代问题。传统个人信息的权利保护路径面临认知和结构困境，无法应对生成式人工智能给个人信息保护带来极大挑战。以风险控制为导向的个人信息保护机制不强调信息主体对个人信息的绝对控制，旨在通过识别、评估、分配和管理将风险控制在最小范围内，可以灵活和实用地平衡生成式人工智能应用中的信息利用和风险控制，提供有效的解决方案。在风险控制理念下，对告知同意规则和最小必要原则进行风险化解释与调试，并建立从预防到识别再到控制的虚假信息生成风险的全过程应对机制，以及基于风险的个人信息保护合规管理体系，是当前的最优选择。     

论个人信息处理的“合同所必需”规则

《个人信息保护法》新增“合同所必需”作为合法处理个人信息的条件之一，但该规则在适用中存在个人信息处理者以增加服务内容、扩大个人信息需求以及降低信息处理透明度的方式侵害用户权益的风险。通过分析欧盟“合同所必需”规则的适用前提、适用标准、适用条件，思考对规则异化的风险进行控制与化解的路径，可为我国建立健全相关适用规则提供借鉴。“合同所必需”规则的适用基础仍是知情同意，其本身不应是一项单独的法定事由，在适用时必须明确“合同依法成立并生效”这一独特前提，在此基础上依托合同自由与公平原则建立相应适用规范，在合法与正当原则下确立“关联性”标准，在目的明确与最小化原则下确立“必需性”标准，在强化告知义务中确立“透明度”标准。同时，基于法律的禁止性规定，在敏感个人信息处理和利用信息进行自动化决策中不能适用该规则。     

风险治理视角下的个人信息保护路径

数字时代应有效回应信息科技引发的新型信息风险。日益广泛的个人信息处理行为不仅可能会给个人带来多种风险,影响个人人格的全面自由发展,而且可能会对社会与国家造成重大安全隐患。有效保护个人信息,既需要公私主体消极不侵犯个人信息,又需要国家通过不断完善体制机制积极治理信息风险。在风险治理组织上,宜吸收大部制机构改革的历史经验,设立统一的个人信息保护专门机构实施“一站式监管”。在风险预防措施上,应对个人信息进行科学的分类分级以进行不同安全等级的信息风险预防,并以安全与效率的平衡为理念设计个人信息保护影响评估、个人信息出境安全评估等制度。由于个人信息保护执法裁量空间巨大,有必要努力制定个人信息保护处罚裁量基准,并探索执法和解机制以促进企业合规。为了更全面有效地进行信息风险治理,应逐步放宽个人信息保护民事公益诉讼,强化个人信息保护行政公益诉讼。     

个人信息“合理利用”的规范分析

随着《个人信息保护法》的出台，个人信息“合理利用”的问题开始凸显。个人信息“合理利用”的提出，本质原因在于，个人信息并非是个人所控制的信息，而是与个人相关的信息。这导致，个人信息保护不能仅限于不受侵犯，还要求个人信息处理者(国家或者其他私主体)必须对个人信息进行“合理的”处理。个人信息保护的落脚点应该是隐与私，既包括对个体不欲为人知的私密信息的保护，也包括对个体个人信息自我决定权的保护。其规范基础分别是可以使个体隐于社会的内在尊严和使个体积极融入社会的人格自由发展权。个人信息包括私密信息与风险信息。数字时代个人信息保护的难点在于，不知道何种个人信息经过技术处理后会导致个体的人格受到侵害，这体现了个人信息处理的风险本质。这意味着，个人信息“合理利用”应该兼具不受侵犯和风险预防两个方面，在面对国家公权力和私主体两种不同的处理者时，应该具有不同的保护逻辑。     

我国个人信息匿名化的法律标准与规则重塑

大数据时代,匿名化规范既是个人信息保护中风险预防的手段,也是我国数据经济发展中数字流通的法律基础,但匿名化的法律标准在我国法律中还有待明确。欧盟已通过《一般数据保护条例》提出明确的匿名化标准,但该条例基于流程设置的标准适用于欧盟境内尚可,适用于我国或显得过于严苛,有碍数字经济的发展。我国个人信息匿名化法律标准与规则的重塑应当考虑环境、再识别风险,建议进行功能性匿名化。将比例原则应用到我国匿名化法律标准和规则的重塑之中,并将其引入到评估匿名信息接收者的风险等级,有助于降低个人信息被再识别的风险亦有利于匿名化的法律标准制定和规则构建。     

数字人民币运营机构安全保障义务的廓清与实现

数字人民币运营机构泄露用户个人信息,以及个人信息处理过程中所面临的信息窃取风险引发了学界对用户个人信息权益保护的争论。数字人民币运营机构负有保护用户个人信息权益的义务,具体包括信息风险的消除、控制、预防三种类型,其法定化则可借由“危险源监控”型安全保障义务而实现。信息风险应采用动态模式加以消解,以衡平用户个人信息安全保障与共享利用。安全保障义务的归入标准与择出机制可借助场景分析与风险评估实现。在责任承担上,应以过错程度区分侵权人的连带责任与补充责任,并限定向第三人追偿的前提与比例,达致数字人民币运营机构与用户之间利益的最大化。     

车险第三人的代位仲裁与实体法地位

车险第三人依法对保险人有直接请求权并可依仲裁条款主张权利;“挂靠保险”中的实际车主具有第三人的地位，可能获得第三者险的保障;车上人员与第三人应得到法律的同等保护、     

个人数据交易的双重法律构造

个人数据交易具有动态性与非排他性,数据交易当事人处于持续性数据收集或传输关系之中,任何一方均不能排他地控制个人数据。上述特性使得数据交易不能被界定为数据买卖,数据处理也不能被简单地理解为数据合同的履行行为。合同关系与数据处理关系的不同,使得数据交易具备双重法律结构。一次完整的个人数据交易同时包含表意人的承诺与个人的同意,前者属于意思表示,后者则属于准法律行为。与之相应,个人数据交易由基础性合同与个人信息处理活动组成,前者主要受合同规则调整,后者则是个人信息保护法的规范对象,二者效力应分别判断。在规范适用上,个人信息主体的同意并非原则上得准用法律行为规则。合同规则与个人信息处理规则各守其分,分别规范数据交易中的不同行为,二者之间不存在冲突。考虑到数据处理也是合同项下的行为,合同规则与个人信息保护规则可以在例外情况下穿透双重结构,协力实现数据流动与个人信息保护之间的动态平衡。