《个人信息保护法》具体适用中的若干问题探讨——基于《民法典》与《个人信息保护法》关联的视角

《个人信息保护法》中的私法规范与《民法典》属于特别法和一般法的关系.告知同意规则作为个人信息处理的核心规则,司法层面应当对"不同意就不提供服务"等违反自愿原则取得个人同意的效力予以否定评价.除个人同意外,法定许可也是个人信息处理的重要合法性基础.在信息处理者违法处理个人信息的归责原则上,《个人信息保护法》明确适用过错推...     

《民法典》视域下的个人信息保护

个人信息的重要性随着互联网、大数据、云计算和人工智能的快速发展越来越凸显。《民法典》对个人信息权益的法律属性界定以及相应保护规定,将自然人的个人信息保护提到了一个新高度,为进一步完善个人信息保护法律体系提供了重要的立法依据。但是,个人信息随技术变化还有许多方面不甚明确,适应这种变化的法律要求会不断提高。在《民法典》的视域下,不仅可以看到要保护哪些个人信息、保护的法律属性和实施保护的基本取向,还可以发现构建以《民法典》为基础的个人信息保护法律体系将是我国法治建设的一项重要任务,特别要加快《个人信息保护法》的制定进程。     

刑事诉讼中适用《个人信息保护法》相关问题研究

《个人信息保护法》的颁布实施将刑事诉讼统一纳入个人信息保护法律规范体系当中,需要认真研究刑事诉讼中如何适用《个人信息保护法》的相关规定。个人信息保护中的核心规则“告知-同意”规则在刑事诉讼中基本失效,同意规则无须适用,告知规则设置了宽泛的例外,刑事诉讼法律规范中应当明确例外的界限与适用情形。对于个人信息保存时限、委托处理个人信息的相关规则、自动化决策和敏感个人信息的处理,刑事诉讼中都应当进一步予以细化规定。个人信息权益在刑事诉讼中呈减损状态,但不应被彻底剥夺,应当着力强化刑事执法、司法机关的个人信息保护的合规义务,构建《个人信息保护法》适用于刑事司法领域的若干支撑配套制度,包括将规制场景由技术侦查扩展至更为广阔的信息收集实践,强化事先数据合规制度建设,增设检察机关作为刑事司法系统中投诉处理的负责机构等。     

敏感个人信息保护的特殊制度逻辑及其规制策略

敏感个人信息因其对个人的人身和财产安全具有极端重要性,需要特别的法律保护。我国现行立法对敏感个人信息的特别保护存在制度供给不足。《个人信息保护法》虽秉持对一般个人信息和敏感个人信息区别规制的立法思路,但有关敏感个人信息特别保护的规范较为简略。从我国敏感个人信息保护的实践需求及域外立法经验来看,敏感个人信息保护在"知情同意"的适用、法定处理事由的明确、技术治理的实现、损害认定的完善等方面应有区别于一般个人信息保护的特殊制度逻辑。相应地,敏感个人信息保护也应有区别于一般个人信息保护的特殊规制策略。     

论《个人信息保护法》对医学科研的影响

《个人信息保护法》“强化两头,多方平衡”。医学科研中的个人信息处理应以保护受试者个人信息权益为前提,平衡好各方合法权益。个人信息的界定采关联说,编码信息属于个人信息。医学研究应遵守个人信息处理规则,处理个人信息应当有合法依据,要么取得受试者明确同意,要么有法律许可。医学研究中的个人信息往往既是敏感信息,也是私密信息,故对受试者个人权益往往有重大影响,需要在处理前进行评估,严格履行《个人信息保护法》规定的个人信息处理者义务,依法保障受试者在个人信息处理活动中的法定权利。《个人信息保护法》对科学研究中的泛化同意未予认可,不符合医学科研的特点,不利于科学创新,值得商榷。     

论私密个人信息的合理使用困境与出路

《民法典》第1034条第3款确立的私密信息隐私权保护优先规则导致私密信息应有的合理使用空间被不当限缩,有必要引入《个人信息保护法》中的个人信息合理使用规则。在将私密信息划分为非敏感私密信息和敏感私密信息的基础上,前者可通过《民法典》第1034条第3款后半句“没有规定的,适用有关个人信息保护的规定”直接适用《个人信息保护法》第13条第1款第2项至第7项中的个人信息合理使用情形,后者则可基于敏感个人信息保护规则应优先于隐私权保护规则适用的解释思路,在符合《个人信息保护法》第28条第2款“敏感个人信息处理规则”的前提下,再适用《个人信息保护法》第13条第1款第2项至第7项中的个人信息合理使用情形。     

论隐私、个人信息和数据的三重民法保护

隐私、个人信息和数据三者在民法意义上的本源与价值都是个人信息,只是隐私和个人信息的范围不同,数据与个人信息为为载体与本源之关系。《民法典》对隐私、个人信息和数据的不同规定,保护着不同类型与范围中的个人信息不受侵害,是对科技双刃剑下公民权益保护的有效回应。《民法典》对于私密型个人信息的隐私予以法律赋权;对于需均衡使用与保护的个人信息予以法律保护;对作为信息载体的数据予以前瞻性开放式法律规定,三重法律保护体现了《民法典》以人为本的政治内涵。     

个人信息权的体系化解释——兼论《个人信息保护法》的公法属性

《个人信息保护法》是数字时代个人信息保护的基本法。它采取了将个人信息权作为新兴公法权利的思路,确立了完整的个人信息权利保护体系,在个人信息保护问题上和《民法典》一起形成了公私法共同协力的进路。《个人信息保护法》以权利束的方式规定了个人信息主体的知情权、决定权、查阅权、复制权、更正权、删除权、可携带权和信息权利救济权等。《个人信息保护法》从立法依据、权利体系、条文设计和规制措施上都体现出鲜明的公法属性,这也可以从基本权利的双重面向和个人信息国家保护义务得到理论上的证成。这部法律是数字时代公法秩序的基石,它对公法边界的形塑仍需通过其实施来确立。     

《民法典人格权编(草案)》中“个人信息自决”的规范建构及其反思

《民法典人格权编草案(三次审议稿)》中规定的个人信息保护规范严格贯彻了"个人信息自决"这一基本原则,其具体规范建构充分体现了这一原则的各项要求。但"信息自决"这一理念产生于二十世纪六七十年代,鉴于时代的变迁,单纯的"信息自决"原则已经无法满足当代个人信息保护和信息产业发展的需要。本文试图通过对相关社会背景和法律规范变迁的梳理,说明"个人信息自决"原则的局限所在,并结合"场景理论"找出影响个人信息保护强度的关键要素,为《民法典人格权编(草案)》相关规范的修改以及司法实践提供有价值的参考。     

《民法典》实施下个人信息的条款理解与司法应对

《民法典》奠定了个人信息保护的正当性基础,为有效解决司法适用的难题提供了方向和依据.规范构成上,其采用利益保护模式来认定个人信息权属性质值得肯定,但应注意区分个人信息与其他具体人格权的关系,并进一步完善侵害个人信息的民事责任.司法实践上,建议准确适用法律规范固定诉请后确定司法案由,并从细微处甄别、提炼可识别性的标准.尝...     

个人信息保护法研究

中国在社会信息化转型过程中所面临的法制环境依然很严峻。目前,个人信息保护立法任务已经现实地摆在我们面前。然而制定符合中国实际,又能与国际接轨的个人信息保护法并非易事。自律机制是美国保护个人信息的基础机制,发挥了良好的社会功用,但它并不适合我国。欧盟"资料保护"制度的基本经验告诉我们,个人信息保护关涉基本人权,应由立法进行。我国宜借鉴安全港模式,积极进行个人信息保护立法,同时倡导行业主动采取自律手段保护个人信息。我国台湾资料法可谓兼顾中西的一个尝试,对我国大陆制定个人信息保护法有直接的借鉴作用。     

论个人信息的行政法保护

行政主体收集、处理和利用个人信息是一种行政事实行为。我国应尽快制定个人信息保护法,明确信息主体有权要求行政机关不能随意处理个人信息,公开对其个人信息的收集和利用,规定个人信息保护的范围、原则、监督和救济制度。利益衡量是目前协调个人信息保护与行政信息公开的适当方法。     

劳动法典中的个人信息保护

劳动者个人信息保护作为未来劳动法典编纂中的一项重要制度，其与劳动法典的契合程度、规范路径与保护机制宜进行体系性思考与设计。劳动法典与个人信息保护法在保护利益、调整关系以及保护机制等方面都具有社会法属性与结构特征。个人信息保护规范进入劳动法典存在劳动私法、劳动公法与集体协议三条规范路径。在实现劳动者个人信息保护上三条路径各有优劣。劳动法典在立法选择上宜采用以劳动公法为主、劳动私法与集体协议为辅，三条规范路径协同互补的保护机制。     

我国《个人信息保护法》中的“守门人”条款

大型平台是数字经济的关键构成要素,在终端用户与商业用户的交易中发挥着中介作用,承担着二者之间守门人的角色。我国《个人信息保护法》借鉴了欧盟《数字市场法提案》和《数字服务法提案》,设专条对提供重要互联网平台服务、用户数量巨大、业务类型复杂的"守门人"进行了规范,要求其建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督,制定平台规则明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务。"主要由外部成员组成的独立机构"存在争议,且与"个人信息保护负责人"存在职能重叠,其关系有待厘清。定期的风险评估应成为个人信息保护合规的重要内容。在实践中应对"提供重要互联网平台服务、用户数量巨大、业务类型复杂"进行限制解释,以更好地促进数字经济的发展。     

个人信息的民法定位及保护模式

个人信息的民法保护在个人信息法律保护体系中具有基础性地位。在民法上如何选择个人信息的保护模式,取决于人们如何认识、评价个人信息的本质属性及其在民法上的定位。个人信息同时具有个人属性和公共属性,单纯地强调某一属性均无法凸显个人信息的本质特征,故而在立法上应适当舒缓个人信息保护及利用之间的张力。不仅如此,个人信息的内涵模糊、外延宽泛,难以达到权利客体所应具有的具体特定且界限分明的品质要求,故而不宜在模糊、笼统的个人信息之上设定一项具有绝对性和排他性的“个人信息权”。否则,不仅无法为行为人划定清晰的行为禁区,而且在适用上难免与已有的人格权体系发生冲突、抵牾,可谓得不偿失。衡诸民法原理和社会现实,应当采用行为规制模式为个人信息主体提供必要的、适度的民法保护。     

数据共享与个人信息保护

随着互联网和大数据技术的发展,数据共享现象日益普遍。数据共享是一种重要的数据利用方式,也是数据流通和数据产业发展的重要基础。数据共享中的个人信息仍然属于信息权利人的权利,与个人信息的收集、利用行为一样,数据共享也应当获得信息权利人的授权。我国民法典人格权编在规定个人信息权利时,应当规定数据共享规则,数据共享规则的设计应当妥当平衡数据流通与信息主体权利保护之间的关系,在具体设计数据共享规则时,应当在区分不同个人信息类型的基础上,设计信息主体的授权规则。     

个人信息国家保护义务及展开

个人信息保护法体系建构的基础是国家在宪法上所负有的保护义务,该义务对应着"个人信息受保护权",而不是"个人信息权"。将个人信息作为私权客体的权利保护模式,在规范逻辑、制度功能等方面存在局限;应以"个人信息受保护权—国家保护义务"框架建构个人信息的权力保护模式。在数字时代,个人信息国家保护义务意味着国家不仅应履行尊重私人生活、避免干预个人安宁的消极义务,还应通过积极保护,支援个人对抗个人信息处理中尊严减损的风险。基于控制"数据权力"这一侵害风险源的需要,国家一方面应避免过度侵入个人信息领域;另一方面应通过制度性保障、组织与程序保障以及侵害防止义务的体系化,营造个人信息保护的制度生态。     

作为劳动基准的个人信息保护

劳动者的个人信息保护问题存在特殊之处,具体表现为资强劳弱和人格从属性背景下知情同意规则的失灵、工作数字化后劳动者被透视和被操控的风险、有组织生产的合作关系中个人信息处理的需要,因此不能完全适用《个人信息保护法》的一般规则。劳动基准法已经纳入立法规划,在其中就劳动者个人信息保护做专门规定,这是对数字时代人权保护新挑战的回应,对于其他劳动基准的实现也有重要意义。在劳动关系中仅遵循私法路径不足以保护个人信息,还需要配备公权力保障,劳动基准法的双重保护机制也契合了这一需求。作为劳动关系中保护个人信息的特别法,劳动基准法的相应条款应该考虑如何对一般规则进行调整,包括限制知情同意规则的适用,满足人力资源管理的正当需求,修改删除权、可携带权和自动化决策条款,协调主管机构、救济方式和法律责任。由于"必需"是一个语境依赖型概念,将来还应该通过配套文件来规制工作场所的视频监控等典型的应用场景。