DEPA个人信息跨境流动的规则检视与中国法调适

数字经济背景下,世界主要国家均在积极探索协调个人数据信息保护规则与跨境自由流动规则。《数字经济伙伴关系协定》(DEPA)要求成员国寻找到个人数据信息跨境自由流动及其安全权益保护的合理平衡点,以期形成统一的个人信息跨境流动保护与监管的合作机制。我国正推进加入DEPA谈判,但国内法关于个人数据信息跨境流动的规则,与DEPA有关规则之间存在立法理念目标、规则设计目的和限制判定标准等方面的差异。中国式涉外法治现代化语境下,为更好调适融通我国国内法与DEPA的个人信息跨境流动规则以促进数字贸易发展,应合理援引例外条款维护国家主权安全利益,完善个人信息保护可信任标志及认证制度,厘清需要严格保护的个人信息的范围与内容,加强与DEPA成员国之间的个人信息跨境流动保护与监管合作机制。     

大数据时代“知情—同意”机制的实践困境与制度优化

知情同意机制是个人信息保护制度的基石，其理论基础在于个人信息自决权。在大数据时代，模糊的个人信息内涵导致知情同意机制流于形式，僵化严苛的知情同意原则难以适应维护公共利益和发展数字经济的需要。因此，个人信息保护应从“自我控制”模式转向“社会控制”模式，根据具体应用场景和风险评估构建个人信息综合治理体系，与此相对应，知情同意机制应从前端、静态转向动态、灵活。革新传统个人信息知情同意机制并非舍弃知情同意原则，而是在坚持知情同意机制价值操守的前提下优化知情同意规则体系。具体而言，应当进一步完善匿名化规则，健全“同意规则”,细化知情同意豁免规则，实现信息安全与信息自由、个人利益与公共利益的平衡。     

论个人信息处理中的优位利益豁免规则

《个人信息保护法》第13条以开放列举的方式对个人信息处理的合法性基础作出了规定，并将“知情同意规则”确立为基本原则。但事实上该规则深陷传统财产规则的桎梏，过分强调个人对信息的控制，而忽视了信息的流通与利用。有鉴于此，我国可引入优位利益豁免规则，赋予信息控制者在经过利益识别，认定信息处理所保护之利益优于信息主体利益后，无需经过信息主体同意直接处理个人信息的权利，进而在知情同意规则之外对个人信息处理行为的合法性基础进行补充，平衡对信息主体的过度保护。与此同时，亦需要建立严格的优位利益识别机制、强化信息控制者义务，疏通信息主体的救济途径并加强政府监管，以防规则滥用。     

数字时代隐私权保护的立法因应

数字技术在为人类生活带来便利、促进数字经济发展和数字服务能力及效率提升的同时,使自然人隐私权面临以保障安全和发展经济为名的潜在威胁、数字伦理缺失等多重消解风险。当下中国形成了以《数据安全法》保障数据安全、以《个人信息保护法》规制个人信息处理活动、以《民法典》保护自然人隐私权的立法模式。但在数字时代,上述立法模式存在对个人信息和隐私界定不明、缺少流动场景下对隐私权社会属性的重视、隐私权法律救济和责任规制缺失、国内外的隐私权保护立法衔接不足等问题。在数字时代,我国对隐私权保护立法的完善,应从法理和适用规则上界分隐私和个人信息,依群体分类保护隐私权,完善私密信息的法律救济规则,健全对重点场景和行业的法律责任追究机制,建立公平公正的数字贸易与隐私权保护国际规则,强化自然人对数字社会治理的参与等。     

风险治理视角下的个人信息保护路径

数字时代应有效回应信息科技引发的新型信息风险。日益广泛的个人信息处理行为不仅可能会给个人带来多种风险,影响个人人格的全面自由发展,而且可能会对社会与国家造成重大安全隐患。有效保护个人信息,既需要公私主体消极不侵犯个人信息,又需要国家通过不断完善体制机制积极治理信息风险。在风险治理组织上,宜吸收大部制机构改革的历史经验,设立统一的个人信息保护专门机构实施“一站式监管”。在风险预防措施上,应对个人信息进行科学的分类分级以进行不同安全等级的信息风险预防,并以安全与效率的平衡为理念设计个人信息保护影响评估、个人信息出境安全评估等制度。由于个人信息保护执法裁量空间巨大,有必要努力制定个人信息保护处罚裁量基准,并探索执法和解机制以促进企业合规。为了更全面有效地进行信息风险治理,应逐步放宽个人信息保护民事公益诉讼,强化个人信息保护行政公益诉讼。     

论个人信息主体基础法益的设定与实现——基于“个人信息处理规则”反射利益的视角

我国民法典和个人信息保护法并没有确立“个人信息权”概念，但有关条文使用了“个人信息权益”的概念表述，由此带来了关于“个人信息权益”的理解困惑。从法律实证的角度来说，现行法其实并未对个人信息主体基础法益进行直接确权，而是将其隐含规定在对“个人信息处理规则”为重心的体系设计之中，呈现为一种反射利益意义的基础法益设定。在这种意义上，可以将“个人信息处理规则”视为“以保护他人为目的的法律”。针对个人信息处理规则隐含个人信息基础法益的特点，我国个人信息保护法还引入了以强化多重治理体系、压实行为主体责任为内容的独特实现路径，具体包括“个人在个人信息处理活动中的权利”“、个人信息处理者的义务”“、履行个人信息保护职责的部门”“、法律责任”四个方面的合力。以此为分析，可知我国个人信息保护法第四章“个人在个人信息处理活动中的权利”，其所确立的多项个人信息保护权，属于强化治理体系结构中的机制内涵，而不可混同理解为基础法益。这些权利因具有请求权的形式，也称个人信息保护请求权，可以纳入广义人格权请求权的范畴。     

敏感个人信息告知同意规则的制度逻辑、规范解释与补强

《个人信息保护法》区分信息类型,为敏感个人信息配置了强告知同意规则。告知同意规则以信息自主、自决为首要价值基础,有其自身制度逻辑,但也有诸多自限性缺陷。在信息风险社会,告知同意规则对于敏感个人信息的保护具有重要意义,应进一步发掘并赋予其新的价值功能内涵,即风险的预防与分配。为准确适用敏感个人信息之告知同意规则,消弭法规范中诸多不确定性及该制度的自身缺陷,应对告知同意规则之适用范围、告知事项与标准、同意形式与要求等做出恰当解释,以期在实现信息自决的同时能更好地实现风险的控制;同时,基于敏感个人信息“敏感度”与“风险性”的动态特征,应对其告知同意规则做动态性机制补强,以使信息处理符合信息主体的风险预期。     

违法处理个人信息行政责任与民事责任的衔接

个人信息处理者违法处理个人信息的行为可能同时引发行政责任与民事责任,有必要构建两种责任的衔接机制。在我国《个人信息保护法》的框架下,应将违法处理个人信息的民事责任限定在对个人民事权益的恢复与补救上,以此为基础展开行政监管与民事诉讼的衔接。为了促进个人信息保护水平的一致性、有效统筹公共执行与私人执行的资源与工具、吸纳信息主体协力参与数据治理,应推进“行政监管结论—民事诉讼结论”的前后衔接。在落实方式上,应当采用“引导行政先行”而非“强制行政前置”的整体方案：一方面,应在源头衔接维度运用制度激励与信息提示手段,推动个人信息主体选择“后继诉讼”;另一方面,在监管部门未得出处理结论而个人信息主体直接提起“独立诉讼”时,应在过程衔接维度促进行政监管与民事诉讼间的信息交互与程序协调。     

风险预防原则在个人信息保护中的适用与展开

随着数字风险社会的兴起,个人所处的数字环境日趋复杂。大数据、物联网、人工智能等数字技术的快速发展与广泛应用,使个人信息保护风险存在诸多不确定性和不可逆性,这推动着个人信息保护基本原则的更新。风险预防原则不仅回应了数字风险社会背景下个人信息保护的现实需求,而且是实现个人信息国家保护义务的内在要求。为了更好地推动风险预防原则在我国个人信息保护法制中的适用与展开,应当确立风险预防的基本原则地位及配套规则、完善预防性监管措施、优化风险预防的司法因应,构建更加完善的个人信息保护法律制度体系。     

数字人民币运营机构安全保障义务的廓清与实现

数字人民币运营机构泄露用户个人信息,以及个人信息处理过程中所面临的信息窃取风险引发了学界对用户个人信息权益保护的争论。数字人民币运营机构负有保护用户个人信息权益的义务,具体包括信息风险的消除、控制、预防三种类型,其法定化则可借由“危险源监控”型安全保障义务而实现。信息风险应采用动态模式加以消解,以衡平用户个人信息安全保障与共享利用。安全保障义务的归入标准与择出机制可借助场景分析与风险评估实现。在责任承担上,应以过错程度区分侵权人的连带责任与补充责任,并限定向第三人追偿的前提与比例,达致数字人民币运营机构与用户之间利益的最大化。     

风险与控制：论生成式人工智能应用的个人信息保护

生成式人工智能的技术跃进架空了个人信息处理的告知同意规制和最小必要原则，引发了虚假信息生成和个人信息泄漏的广泛风险迭代问题。传统个人信息的权利保护路径面临认知和结构困境，无法应对生成式人工智能给个人信息保护带来极大挑战。以风险控制为导向的个人信息保护机制不强调信息主体对个人信息的绝对控制，旨在通过识别、评估、分配和管理将风险控制在最小范围内，可以灵活和实用地平衡生成式人工智能应用中的信息利用和风险控制，提供有效的解决方案。在风险控制理念下，对告知同意规则和最小必要原则进行风险化解释与调试，并建立从预防到识别再到控制的虚假信息生成风险的全过程应对机制，以及基于风险的个人信息保护合规管理体系，是当前的最优选择。     

数字政府建设中个人信息保护的风险规制路径

公共部门个人信息保护制度的完善是建构数字法治政府的必由之路。我国《个人信息保护法》采取了公私部门一体调整的宣示性立法模式,目前既无法为公共部门个人信息保护提供足够的规则指引,也未充分满足数字政府建设的需要。数字政府个人信息保护规则的建构,不仅需要考虑公共部门相对私人部门在个人信息处理活动中的特殊性,还要兼顾数字政府在技术和治理这两个层面的革新,进而制定专门规则。风险规制模式不仅是世界范围内个人信息保护制度的发展趋势,而且能够为一体调整模式提供理论基础。通过风险预防原则的适当运用,对个人信息权利的风险化解释与调适,风险管理、风险交流和风险评价等风险规制机制的灵活运用,以及合作治理、独立规制机构、技术治理、回应治理、试验规制和软法之治等风险规制策略的共同配合,建构以风险规制为导向的数字政府个人信息保护机制是我国未来的最优选择。     

数字足迹的规范属性与刑事治理

数字足迹是动态的数据信息，具有非竞争性和非私密性。根据指涉场景的不同，可以分为虚拟数字足迹和物理数字足迹。随着算法技术的应用发展，数字足迹日益呈现出“私人法益”和“公共法益”的二元向度，并在此基础上延展出多项细分的具体法益。数字足迹的法益类型预设了相应契合的治理模式：以“信息”为导向的刑事治理模式，需要科学界定公民个人信息的法益内容和具体范围，确立数据财产权的保护规范；以“数据”为导向的刑事治理模式，则需要增加确保“数据安全”“数据流转”的规范供给，建立逻辑统一、条文严谨的规范体系。侵犯公民个人信息罪的司法适用应当限于实质侵害信息自决权的行为，数据流转下的数据财产权保护唯有在实质侵害公民信息自决权的场合方可纳入规制范围。     

个人信息权的宪法(学)证成——基于对区分保护论和支配权论的反思

《个人信息保护法》最终纳入“根据宪法”条款,表征着个人信息保护法律体系在底层逻辑上的更动。民法学上权利与利益的区分保护原理,难以适用于整个合宪性法秩序。应将个人信息权确立为宪法位阶的基本权利,并以基本权利作为针对国家的主观防御权和辐射一切法领域的客观价值秩序的原理,协调个人信息保护的私法机制和公法机制。通过对人权条款笼罩下的通信权和人格尊严条款的解释,可以在学理上证立“基本权利束”性质的个人信息权。但其具体保护则应分别归入不同基本权利条款,作出区分化、差异化的多层次构造。个人信息保护的支配权思维有其局限,告知同意模式的式微是重要表现。应将个人信息权的规范目标调整为人格的自由发展,指向免于他人的人格干预。从支配权到人格发展权的思维转换,有助于规制对已收集信息的不当利用、破除“信息茧房”、缓和个人信息保护与利用之间的紧张,以及在“个人—平台—国家”的三方关系中有效保护个人的自决,同时为数据产业保留发展空间。     

侵犯公民个人信息罪司法适用规则的完善

网络安全法、个人信息保护法等前置法颁行后，侵犯公民个人信息罪的司法适用规则与前置法之间的不协调、不统一及滞后于司法实践等问题开始凸显。首先，分类分级保护机制存在结构性问题，不能适应社会发展和司法实践的客观需求，表现为高度敏感个人信息的范围过于封闭，未对生物识别信息等个人信息体现出特殊保护的立场；相对敏感个人信息的认定标准限定过窄，对与公民人格尊严高度相关的私密信息的保护力度不够；普通个人信息的规定存在衔接漏洞，造成法网不够严密。其次，情节严重的认定规则存在缺陷，表现为预防要素在定罪中的权重过高；单一违法所得标准对情节严重的评价不充分；不同类型个人信息的比例折算方法不合理。为使刑法与前置法保持协调，消除矛盾，应对现有分类分级保护机制予以系统性优化，对情节严重的认定要素进行整合。     

论私密个人信息的合理使用困境与出路

《民法典》第1034条第3款确立的私密信息隐私权保护优先规则导致私密信息应有的合理使用空间被不当限缩,有必要引入《个人信息保护法》中的个人信息合理使用规则。在将私密信息划分为非敏感私密信息和敏感私密信息的基础上,前者可通过《民法典》第1034条第3款后半句“没有规定的,适用有关个人信息保护的规定”直接适用《个人信息保护法》第13条第1款第2项至第7项中的个人信息合理使用情形,后者则可基于敏感个人信息保护规则应优先于隐私权保护规则适用的解释思路,在符合《个人信息保护法》第28条第2款“敏感个人信息处理规则”的前提下,再适用《个人信息保护法》第13条第1款第2项至第7项中的个人信息合理使用情形。     

个人信息“合理利用”的规范分析

随着《个人信息保护法》的出台，个人信息“合理利用”的问题开始凸显。个人信息“合理利用”的提出，本质原因在于，个人信息并非是个人所控制的信息，而是与个人相关的信息。这导致，个人信息保护不能仅限于不受侵犯，还要求个人信息处理者(国家或者其他私主体)必须对个人信息进行“合理的”处理。个人信息保护的落脚点应该是隐与私，既包括对个体不欲为人知的私密信息的保护，也包括对个体个人信息自我决定权的保护。其规范基础分别是可以使个体隐于社会的内在尊严和使个体积极融入社会的人格自由发展权。个人信息包括私密信息与风险信息。数字时代个人信息保护的难点在于，不知道何种个人信息经过技术处理后会导致个体的人格受到侵害，这体现了个人信息处理的风险本质。这意味着，个人信息“合理利用”应该兼具不受侵犯和风险预防两个方面，在面对国家公权力和私主体两种不同的处理者时，应该具有不同的保护逻辑。     

个人信息国家保护义务理论的反思与重塑

当前的个人信息国家保护义务理论，主张将个人信息纳入基本权利保护范围，并以个人信息国家保护义务为基础建立个人信息保护法律体系。然而，在概念表达上，该理论以“客观法”表征个人信息基本权的属性，错置了客观法与主观权利之间的关系；用“间接效力”指称个人信息基本权对作为私主体的信息处理者的效力，混淆了“效力”和“效果”的语义。在宪法解释方法论层面，该理论在宏观上具有的法哲学化解释倾向、在微观上对概括性人权条款的悬置处理，使其在宪法教义学上欠缺说服力。面对立法实践，该理论无力解释作为私主体的信息处理者何以承担公法义务。确立个人信息保护权利基础的二元结构，明确个人信息基本权积极面向的主观权利属性，适度延伸个人信息基本权的效力范围，并对国家保护义务内容作相应调整，是重塑个人信息国家保护义务理论的有效途径。     

论个人信息安全事件通知义务

个人信息安全事件通知是个人信息处理者履行信息安全保护义务的重要环节，能够促使信息主体和监管机构在发生个人信息安全事件后及时采取行动，防范次生损害。《网络安全法》《数据安全法》《个人信息保护法》均规定了个人信息安全事件通知义务，但内容不一、详略有别。从“个人信息”的范畴来看，只有发生安全事件的“个人信息”可能影响信息主体实际权益时，才有必要通知信息主体；从通知内容来看，应当对通知监管机构和信息主体的内容作出区别规定；从通知的理论基础来看，由侵权责任和合同附随义务产生的私法责任是信息处理者向信息主体履行通知义务的理论基础，向监管机构履行通知义务则是公法要求；从通知的条件来看，对个人信息采用加密等技术手段后可不向信息主体履行通知义务，只有发生安全事件的个人信息达到一定规模体量才有必要通知监管机构；从通知的法律责任来看，更宜适用作为特别法的《个人信息保护法》的法律责任规定，同时限缩私法层面的赔偿责任，强调公法层面的处罚责任。     

论数据使用：个人信息保护与数据利用的衔接点

个人信息与数据利用在法律保护的价值取向和规则设计上存在着天然的矛盾。个人信息保护法将个人信息处理作为规范对象，实际上是对数据使用行为加以规制。对数据使用的理解成为二者有效衔接的关键。解析不同时代技术背景下的数据使用后发现，其法律内涵与具体规则是相互影响变化的。相较于信息的数字化，大数据时代的数据使用以实现信息的增量和再创造为目的，呈现出新的核心特征。我国个人信息保护体系的完善，需对增量信息的数据使用行为加以判断，建议在现有规则下增加用户感知标准。