个人信息可携带权在国家机关间的实现

学界关于个人信息可携带权的研究很少涉及其在国家机关间实现的情形,但个人信息可携带权具有在国家机关间实现的规范基础和现实需要。从法教义学角度分析,宜将个人信息保护法第33条理解为一种特殊立法技术,即该条使得个人信息保护法中的规范具有公私法双重属性,第45条第3款规定的个人信息可携带权亦具有“公私法兼容性”。但公法上的个人信息可携带权并非宪法上个人信息权的保护核心,而是处于立法者的形成空间中,主要体现为要求国家机关作出具体行为的行政法上的请求权,其解释需要受其宪法规范的辐射效果。应从权能要素、客体范围和技术标准等维度明确公法上的可携带权的权利内容,基于公共利益和第三人保护厘定其外在限制,勾勒公法上的可携带权的最终保障范围,从而更好地发挥其促进数据流通、构建互联互通数字政府的积极作用。     

论国家机关处理个人信息的合法性基础

我国个人信息保护法对国家机关处理个人信息作出了特别规定,但未明文解释其适用对象或澄清处理的合法性基础。个人信息保护领域的国家机关应采广义,除了通常的国家机关,还包括法律、法规授权提供公共服务的组织和规章授权组织。根据我国个人信息保护法第13条和民法典第1036条,国家机关处理个人信息具有多元的合法性基础:法定基础包括履行法定职责所必需,订立、履行合同或人事管理所必需,为应急所必需,合理处理已自愿或合法公开的个人信息,法律、行政法规规定的其他情形;意定基础指取得个人同意;酌定基础指为维护公共利益或者信息主体合法权益而合理处理个人信息。不同的合法性基础对应不同的告知同意规则,需准确理解适用。     

基于个人信息保护的国际贸易壁垒及其法律应对

信息化时代的个人信息传播渠道多样,成本低廉,导致个人信息受侵害的可能性大大增加.并且,全球化的传播渠道放大了个人信息保护不力的后果,使个人信息保护问题成为全球性政策议题.由于存在历史传统、文化背景和管制模式的差异,不同国家在个人信息保护标准、强度等方面存在分歧,有可能使个人信息保护成为国际贸易非关税壁垒的新形式,滋生贸易保护主义.因此,应当加强个人信息保护的国际协调,通过国际磋商和政策协调实现个人信息保护的标准趋同.我国也应当加紧制定《个人信息保护法》,积极参与国际标准的规则制定和政策形成,同时加强企业监管,为个人信息保护提供良好的制度保证,减少国际贸易争端.     

我国个人信息保护法域外效力

即将于2021年11月1日施行的《个人信息保护法》第3条第2款赋予个人信息保护法域外效力.个人信息保护法域外效力有利于维护国家的数据利益.域外效力的标准应该从"目的意图标准"或者"处理行为标准"方面认定,遵从效果原则.我国对个人信息保护法的域外适用应注意国际礼让原则,从而为网络空间人类命运共同体的建设作出应有的贡献.     

对我国个人信息法律保护的立法设想

二十一世纪是名副其实的信息社会,信息无处不在、无所不能,但信惠时代给大家带来方便的同时,也让人们开始担心起来,比如说骚扰电话、人肉搜索及各种诈骗信息的出现.人们电脑中的私人图片与信息也突然会被不怀好意者公开,这使人们的隐私权严重受到侵犯.尤其是对于企业高管人士来说,一些内部资料的丢失以及商业信息的泄露将为公司带来巨大损失.信息时代有利有弊,但是人们无法避免在信息时代中生活,社会各界许多人士希望通过法律来保护自己的个人隐私.基于此,本文将从隐私权到个人信息权的发展着手,对个人信息法律保护进行了一系列立法设想的探讨.     

敏感个人信息保护的基本问题——以《民法典》和《个人信息保护法》的解释为背景

《个人信息保护法》采取了"概括+列举"的方式,首次对敏感个人信息的概念作出了规定,并明确规定了"敏感性"的核心特征,将未成年人的个人信息纳入敏感个人信息的范畴,从而区分了敏感个人信息与一般个人信息.敏感个人信息与私密信息隐私存在交叉重合关系,但两者存在一定的区别,在保护方式上应当区别对待.对敏感个人信息的判断主要应依据...     

个人信息治理的科技之维

在个人信息保护法出台的背景下,重新构想科技与法律之间的关系,可谓总体回应数字时代个人信息危机的重要一环.作为国家、企业、个人三方权益汇聚之地,个人信息研究必须超越传统的"规制—权利"思维,迈向国家法律、信息科技、市场竞争和社群规范的个人信息治理体系.在诸多系统中,信息科技居于优位.一方面,它以"合规科技"的面貌,凭借"经设计的治理理念",将国家法律的原则和规则转化为个人信息生命全周期的科技保护;另一方面,它以"赋能科技"的面貌,通过降低法律执行成本、当事人交易成本,甚至改变法律的"假定条件",赋能各利益相关方.为此,法律应合理解释个人信息"匿名化"构成要素,认可"去标识化信息"的法律意义,从而使信息科技与法律彼此协调,共建激励相容的个人信息治理体系.     

作为个人信息跨境传输监管工具的标准合同条款

个人信息保护法第38条第1款第3项规定的“标准合同”,是个人信息跨境传输的监管工具。标准合同条款既拘束进出口双方,亦具有第三人保护功能,形式上是合同条款,内容上由国家预先决定并强制纳入,兼具个别规范和国家法规范的双重属性。进出口方的个人信息保护义务是个人信息跨境传输合同的主给付义务,是法定义务的合同化,包括个人信息安全义务,个人信息安全事件的通知、补救、减损义务,告知义务,目的限制义务,合规审计义务等。基于受益第三人条款,个人信息主体享有更正、删除等权利和违约损害赔偿请求权。国家网信部门制定标准合同条款构成对个人信息保护法的具体化适用,应限于授权范围,遵循比例原则,合理确定条款的强制使用机制和内容强制程度。     

《民法典》视域下的个人信息保护

个人信息的重要性随着互联网、大数据、云计算和人工智能的快速发展越来越凸显。《民法典》对个人信息权益的法律属性界定以及相应保护规定,将自然人的个人信息保护提到了一个新高度,为进一步完善个人信息保护法律体系提供了重要的立法依据。但是,个人信息随技术变化还有许多方面不甚明确,适应这种变化的法律要求会不断提高。在《民法典》的视域下,不仅可以看到要保护哪些个人信息、保护的法律属性和实施保护的基本取向,还可以发现构建以《民法典》为基础的个人信息保护法律体系将是我国法治建设的一项重要任务,特别要加快《个人信息保护法》的制定进程。     

行政垄断的本质及其救济——由“中国反垄断法第一案”所引发的思考

我国《反垄断法》实施的第一起案件是以国家质检总局为被告的行政垄断案。尽管该案被一审法院拒绝受理，但该案对推进政府依法行政的作用不可忽视。本案中，国家质检总局以监管产品质量为名所进行的一系列干预市场的行为，仅有组织法上的依据而无行为法上的授权，违反了依法行政原则，构成行政垄断行为。而行政垄断的本质是行政违法行为，属于行政法规制的范围，因此，行政相对人或利益相关者可依据行政法的规定进行救济。     

论国家机关处理的个人信息跨境流动制度——以《个人信息保护法》第36条为切入点

《个人信息保护法》第36条的基本目标是平衡个人信息流动和安全,整体定位等同于第40条,因为国家机关属于关键信息基础设施的运营者。“国家机关”指军事机关以外的党政机关及法律、法规、规章授权的公共管理或服务组织。“个人信息”指在中国内地收集和产生的、未经当事人自行公开或合法公开的个人信息。“境内存储”指个人信息存储介质位于中国内地且其上的个人信息不被境外主体以非公开方式读取。“向境外提供”指个人信息存储介质出境或境内介质存储的个人信息被境外主体以非公开方式读取。国家机关处理的个人信息出境,包括物理载体出境、国际合作出境和安全评估出境,安全评估由国家机关在网信部门支持下自行开展。此外,国家机关还应确保境外接收方安保水平达标,并在特定情形下告知当事人、取得单独同意。     

侵犯公民个人信息罪中个人信息的界定与法益侵害分析

侵犯公民个人信息罪中个人信息的内涵应当与个人信息保护法中个人信息的内涵保持一致。刑法及其司法解释对个人信息的界定存在一定偏差,应予以调整。刑法对个人信息的分类应参考个人信息保护法中的二分法,在具体规定中采取“概括+列举”的方式对个人信息予以规定。侵犯公民个人信息罪所侵害的法益不是公共信息安全,而是与公民人格权、财产权紧密关联的个人信息自决权。将个人信息自决权认定为侵犯公民个人信息罪的侵害法益符合该罪的立法目的。     

个人信息保护的法律解析

随着网络的迅猛发展,网络问题也逐一浮现,比较典型的就是网络个人信息的保障问题。本文指出针对我国现在网络的发展情况,个人信息的保护问题亟待需要解决。因此,法律应该扮演好主导角色,保护个人信息安全。     

日本的个人信息保护法制及启示

信息化时代导致的个人信息被恶意利用的事件频发。2005年4月日本《个人信息保护法》经过两年的预备缓冲期后进入了全面实施阶段。该法以OECD的8项原则为基础,借鉴了欧盟的立法模式,在实质上又采纳了美国立法的诸多规定,不论从体例上还是在内容上都是一部比较成熟和完备的法律,值得我国在《个人信息保护法》的制定中予以借鉴和吸收。     

个人信息保护法与侵犯公民个人信息罪的衔接机制

《个人信息保护法》是数字时代的前沿性法律,具有前置法、不完整领域法、不真正附属刑法的特征,与《刑法》中侵犯公民个人信息罪的规定存在时差。为了有效融通规范之间的衔接鸿沟,需要将《个人信息保护法》嵌入侵犯公民个人信息罪的出入罪适用流程。在入罪衔接机制上,将两法中的个人信息范围作统一理解,避免犯罪圈的扩张化;将前置法关于个人信息的类型划分和处理设置,作为解释侵犯公民个人信息罪构成要件的方向,以实现罪刑均衡和法律衔接。在出罪衔接机制上,《个人信息保护法》上的“同意”因法益阙如而阻却刑事违法,其余《个人信息保护法》上的正当化事由均因法益衡量原理阻却刑事违法,相应正当化事由可分别归入刑法教义学上的正当业务行为、紧急避险、法令行为,而合理处理已公开个人信息应成为数字时代独立的新型违法阻却事由,前述事由可在个人信息分类场景下为相关行为出罪。     

个人信息司法保护的利益衡量

在我国《个人信息保护法》已经颁布实施的情况下,个人信息司法保护的利益衡量更显重要,主要体现为个人信息利益与社会公共利益和企业数据利益之间的冲突与平衡。从法律依据看,我国法律文本中解决个人信息利益与其他利益冲突的规定主要体现为“数据条款”和“公共利益条款”。从司法实践看,公共利益界定的模糊导致了其与个人信息利益的紧张关系,公共利益代表机制的多元加剧了其与个人信息利益之间的冲突,且呈现出“重追责轻管理”“重刑轻民”、救济机制不畅等特点。实现个人信息司法保护的利益平衡,在解释论层面需要强化处理个人信息基本原则、保护责任机制和侵权法律责任,在立法论层面需要进一步明确界定相关核心概念、创新个人信息保护模式、建立专门个人信息保护机构以及健全个人信息权益救济规则。     

论个人信息的行政法保护

行政主体收集、处理和利用个人信息是一种行政事实行为。我国应尽快制定个人信息保护法,明确信息主体有权要求行政机关不能随意处理个人信息,公开对其个人信息的收集和利用,规定个人信息保护的范围、原则、监督和救济制度。利益衡量是目前协调个人信息保护与行政信息公开的适当方法。     

敏感个人信息的界定及其完善

敏感个人信息的界定是我国《个人信息保护法》的重要内容。因为比非敏感个人信息更能反映和影响个人信息主体的重大利益,《个人信息保护法》对敏感个人信息采用更为严格的保护制度。《个人信息保护法》第28条第1款对敏感个人信息的界定采取客观风险标准。在法学视角下,“敏感”与“高度损害风险”相关联,敏感个人信息处理的损害风险程度较高。损害风险可以单独或同时来源于个人信息内容的固有性、个人信息被非法使用时的工具性以及非敏感个人信息与敏感个人信息的关联性。《个人信息保护法》对敏感个人信息的界定尚不能涵盖所有损害风险来源,应在第28条第1款的基础上辅以场景化路径界定敏感个人信息,具体以个人信息是否揭示或关联敏感内容、受损害主体是否包括其他关联利益人为客观考虑因素。