隐私权之公私法整合保护探索——以“大数据时代”个人信息隐私为分析视点

“大数据时代”公民个人信息隐私作为隐私权范畴之一,“溢出”传统“私域”而向“公域”延伸.这种延伸使传统的私法保护模式陷入困境,同时也意味着公法介入保护公民个人信息隐私成为发展之必然.公民个人信息隐私横跨“公私”两大领域的这种“复合性”事实,使公私法“整合”保护模式成为“大数据时代”公民个人信息隐私法律保护发展的应然选择.     

社会风险控制抑或个人权益保护——理解个人信息保护法的两个维度

个人信息在《民法典》中被确认为一种人格法益,在理论和立法上确立了我国个人信息的私法保护面向。个人权益保护成为构建和理解个人信息保护的重要维度和线索。由于个人信息保护的公共目标和功能可能被个人私益保护的进路所覆盖或消解,因此有必要将社会风险控制作为个人信息保护的重要维度来对待。社会风险控制一直是电子化时代个人数据保护的基础性目的,它对于个人信息保护的相关理论和制度具有很强的解释力和动态构建作用。社会风险控制和个人权益保护两种进路在相关基础问题上出现分歧,如个人信息与隐私的基础关系、一般性保护与场景化保护以及本权与保护权的关系等。在《个人信息保护法》实施过程中,社会风险控制进路有助于合理解读和执行法律,把握风险大小与控制措施的合理匹配,以及在平衡相关立法价值的前提下,释放信息的流动性。     

论隐私、个人信息和数据的三重民法保护

隐私、个人信息和数据三者在民法意义上的本源与价值都是个人信息,只是隐私和个人信息的范围不同,数据与个人信息为为载体与本源之关系。《民法典》对隐私、个人信息和数据的不同规定,保护着不同类型与范围中的个人信息不受侵害,是对科技双刃剑下公民权益保护的有效回应。《民法典》对于私密型个人信息的隐私予以法律赋权;对于需均衡使用与保护的个人信息予以法律保护;对作为信息载体的数据予以前瞻性开放式法律规定,三重法律保护体现了《民法典》以人为本的政治内涵。     

隐私政策的过去、现在和未来：从合同、基准到信任背书

告知同意原则下的隐私政策长期伴随对于其合同性质的争议。赞成意见认为告知同意结构符合合同订立要素,且企业自律行为能够发挥市场机制作用。反对意见针对“同意困境”,并指出基于隐私政策的违约救济存在局限性。个人信息公法保护的加强促使隐私政策从以意思自治为核心的合同法模式向以法定义务为内容的隐私基准转变。隐私基准是以国家强制力保障实施的个人信息主体应享有的最低程度的个人信息保护。受基准法的影响,隐私政策转而演变为对隐私基准的解释说明。作为合规象征的隐私政策面临“符号化”质疑,体现为书面合规形式化和隐私基准调整范围的有限性。隐私政策的未来图景是个人信息处理行为的信任背书,为此应统筹法律基准与平台自治,即不断推动隐私政策与数据实践融合,鼓励以隐私承诺与信义义务充实个人信息保护,并增强针对隐私问题的社群沟通对话。     

论个人信息权的法律保护——以个人信息权与隐私权的界分为中心

就整体而言,个人信息这一概念远远超出了隐私权的范畴,正因为隐私与个人信息之间存在的诸多差别,所以,在我国未来的民法典中,应当将个人信息权单独规定,而非附属于隐私权之下。即应以私权保护为中心,将个人信息权作为一种具体的人格权加以保护,并制定个人信息保护法。     

个人信息权的宪法(学)证成——基于对区分保护论和支配权论的反思

《个人信息保护法》最终纳入“根据宪法”条款,表征着个人信息保护法律体系在底层逻辑上的更动。民法学上权利与利益的区分保护原理,难以适用于整个合宪性法秩序。应将个人信息权确立为宪法位阶的基本权利,并以基本权利作为针对国家的主观防御权和辐射一切法领域的客观价值秩序的原理,协调个人信息保护的私法机制和公法机制。通过对人权条款笼罩下的通信权和人格尊严条款的解释,可以在学理上证立“基本权利束”性质的个人信息权。但其具体保护则应分别归入不同基本权利条款,作出区分化、差异化的多层次构造。个人信息保护的支配权思维有其局限,告知同意模式的式微是重要表现。应将个人信息权的规范目标调整为人格的自由发展,指向免于他人的人格干预。从支配权到人格发展权的思维转换,有助于规制对已收集信息的不当利用、破除“信息茧房”、缓和个人信息保护与利用之间的紧张,以及在“个人—平台—国家”的三方关系中有效保护个人的自决,同时为数据产业保留发展空间。     

人工智能时代的隐私保护

伴随大数据、物联网、深度学习等技术的发展，一个“万物互联、人人在线、事事算法”的人工智能时代正在到来。数据是人工智能的基础，算法是人工智能的本质，人工智能越智能就越依赖数据的喂养和算法的支持，由此引发严重的隐私危机。一方面，人工智能极大地增强了隐私入侵的能力，带来了更多的隐私获取性；另一方面，人工智能侵害隐私的行为极具迷惑性，造成的损害后果更加严重。对此，传统隐私保护法律框架显得捉襟见肘，既无法有效保护人们的隐私，也难以充分发挥个人信息的利用价值，而欧盟最新的《一般数据保护法》则做了诸多有益的探索。面对人工智能时代提出的新挑战，我国应当完善隐私保护的法律体系，重视隐私保护的技术路径，探索隐私保护的市场机制，确立隐私保护的伦理原则。     

车辆行踪轨迹法律保护与建议

<正>在互联网技术日益发达及广泛普及的今天，如何有效保护涉及个人信息和隐私的“车辆行踪轨迹”值得重视和研究。最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第1条指出，我国《刑法》所规定的“公民个人信息”是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，     

论个人信息保护的专责机关

个人信息保护有赖于政府积极作为,如何设立专门的监督机关落实个人信息保护事务,虽因立法及行政体制有所差异,但绝大多数国家和地区均认为个人信息保护专责机关对个人信息的守护、平衡隐私和促进个人信息自由流通具有举足轻重的作用.中国个人信息保护立法对此规定并不明确且将规制权力分散于诸多部门之中,分散型规制体制因执法责任边界不清而呈现规制真空或者重叠的现象.设立个人信息保护专责机关,是国家通过组织运作保障个人权利的重要体现,对行政组织法理提出了更高要求.分殊化的行政组织设计,可以充分发挥行政组织作为规制手段的作用,不仅有利于促进统一规制和部门协调的实现,更有益于丰富行政组织法的研究.     

论个人信息主体基础法益的设定与实现——基于“个人信息处理规则”反射利益的视角

我国民法典和个人信息保护法并没有确立“个人信息权”概念，但有关条文使用了“个人信息权益”的概念表述，由此带来了关于“个人信息权益”的理解困惑。从法律实证的角度来说，现行法其实并未对个人信息主体基础法益进行直接确权，而是将其隐含规定在对“个人信息处理规则”为重心的体系设计之中，呈现为一种反射利益意义的基础法益设定。在这种意义上，可以将“个人信息处理规则”视为“以保护他人为目的的法律”。针对个人信息处理规则隐含个人信息基础法益的特点，我国个人信息保护法还引入了以强化多重治理体系、压实行为主体责任为内容的独特实现路径，具体包括“个人在个人信息处理活动中的权利”“、个人信息处理者的义务”“、履行个人信息保护职责的部门”“、法律责任”四个方面的合力。以此为分析，可知我国个人信息保护法第四章“个人在个人信息处理活动中的权利”，其所确立的多项个人信息保护权，属于强化治理体系结构中的机制内涵，而不可混同理解为基础法益。这些权利因具有请求权的形式，也称个人信息保护请求权，可以纳入广义人格权请求权的范畴。     

异数与自我：八二宪法的定位

在亨廷顿的文明冲突论与民主波次论中,中国作为极具规模的文明体日益呈现出大国宪政的“异数”之象,与民主化／司法审查多次擦肩而过。新世纪初借助“齐玉苓案”而发起的“宪法司法化”运动最终成为一次失败的尝试。同样作为后发现代化国家,作为“尾随者的国度”,中国为何成为大国宪政的“异数”？为何一再错过“随波逐流”的历史契机？为何长久停留在“文明冲突”的状态？为何再次成为黑格尔所谓的世界历史的“例外”？为何作为普适价值的“民主”或“司法审查”难以顺利吸收中西比较意义上的“文明冲突”？这些问题构成了探索中国宪政转型之路的根本性设问。     

个人信息司法保护的利益衡量

在我国《个人信息保护法》已经颁布实施的情况下,个人信息司法保护的利益衡量更显重要,主要体现为个人信息利益与社会公共利益和企业数据利益之间的冲突与平衡。从法律依据看,我国法律文本中解决个人信息利益与其他利益冲突的规定主要体现为“数据条款”和“公共利益条款”。从司法实践看,公共利益界定的模糊导致了其与个人信息利益的紧张关系,公共利益代表机制的多元加剧了其与个人信息利益之间的冲突,且呈现出“重追责轻管理”“重刑轻民”、救济机制不畅等特点。实现个人信息司法保护的利益平衡,在解释论层面需要强化处理个人信息基本原则、保护责任机制和侵权法律责任,在立法论层面需要进一步明确界定相关核心概念、创新个人信息保护模式、建立专门个人信息保护机构以及健全个人信息权益救济规则。     

通过设计的个人信息保护

面对移动互联网、大数据与人工智能并存的新时代所产生的新问题,传统个人信息保护法律框架显得力不从心：用户控制模式难以继续奏效,数据控制者的设定受到挑战,事后救济模式遭遇质疑,法律中心主义亟待拓展。对此,近年来席卷全球的隐私设计理论很好地回应了新时代个人信息保护的需求,获得国际组织及各国的高度认同,被誉为下一代个人信息保护的关键举措。隐私设计理论强调事先积极预防胜于事后消极救济,主张从一开始就将个人信息保护的需求通过设计嵌入系统之中,成为系统和商业实践运行的默认规则,给予个人信息全生命周期的保护,以实现用户、企业等多方共赢,这一理论可以为我国今后个人信息保护立法和实践工作提供重要借鉴参考。     

隐私政策“知情同意困境”的反思与出路

学界普遍认为，个人信息处理中知情同意规则的适用困境主要表现于隐私政策场景中。“信息区分说”“行为区分说”和“动态同意说”等既有学说旨在破解“知情同意困境”,但均存在难以克服的缺陷。作为知情同意规则的理论基础的“理性人假设”与“个人信息自我控制理论”均难以应用于隐私政策场景，其根源在于私法自治固有的限度。隐私政策的格式条款属性和“有限理性人”的理论假设表明，运用格式条款规则规制隐私政策是更好的解决方案。具体而言，一是运用订入规则，将网络服务者未履行提示义务的重大利害关系条款排除在合意之外；二是运用黑名单、灰名单制度和诚实信用原则控制隐私政策条款的效力；三是运用解释规则平衡网络服务者与信息主体之间的利益。     

公众人物的隐私保护:一个框架性理论重述

有关法律学说和实践关于公众人物隐私保护问题缺乏有效的分析思路。围绕立法形式的争论和概括性的价值平衡学说无助于推进学界与实务界的思考。在二元社会分层视角和多元规制视角之下,公众人物隐私保护不但会影响社会知名人士借助个人信息控制获得的各类利益,也会影响普通人的信息决策和信息消费行为。民法人格权制度中的公众人物隐私规则由此会产生复杂和多面的社会影响,研究者和制度实践者需结合具体社会制度语境对此做细致分析。     

个人信息保护中告知同意的开放结构及其公法实现

个人信息保护领域对告知同意的批评源于民法格式条款的路径依赖，将告知同意等同于实践中作为其表现形式之一的隐私政策，继而将隐私政策作为格式合同存在的弊病扩展为告知同意固有且不可避免的问题。事实上，个人信息保护中的告知同意呈现开放结构，包含复次的告知同意阶段，呈现多元的主体交互关系，强调行为授权的程序价值，为公法介入告知同意提供了基础。个人信息保护中告知同意的多元合作规制体系，按照政府规制、元规制和自我规制各自规制优势确立公法介入的形式和程度，在矫正信息主体与信息处理者之间的权力差距以确保意志自由的同时，促进信息流通与信息安全等信息处理社会价值的实现。     

什么是数据权利？ ——从欧洲《一般数据保护条例》看数据隐私的保护

欧洲《一般数据保护条例》是全球个人数据保护的最重要立法之一。通过对该条文的分析，可以发现该法案采取了强化数据主体对个人数据控制的导向。通过对赋予数据主体的数据隐私权的分析，可以发现这种权利同时具有人格权与财产权的特征，其边界并不清晰，也并不一定能实现立法者所期望实现的目的。保护隐私权益，应当更多采取公法风险规制与消费者法保护的框架，而不是寻求一种具有确定性边界的隐私权或个人信息权。这是因为，数据隐私必须放在特定的语境与社群中才能理解，只有结合具体语境与社群中的信息流通，才能准确思考隐私的边界与个人数据流通的合理性，才能对相关权利进行合理的界定。     

美国信息隐私立法透析

美国法以隐私权作为个人信息保护的权利基础,在公领域,实行分散立法模式;在私领域,美国选择了行业自律模式,在全球个人信息保护立法中产生了巨大的影响。美国制定信息隐私保护政策和法律的基本思路是力求在信息流通和隐私保护之间寻求平衡。信息隐私权是美国信息隐私法上的一个核心概念,它是随着社会对个人信息的保护而产生的,指个人针对其信息所享有决定权、支配权和控制权。     

劳动者个人信息保护的法律价值、基本原则及立法路径

由于传统隐私权制度的局限性,我国应建立职场劳动者个人信息保护制度,以充分保护劳动者的隐私和个人信息权利.劳动者个人信息保护,除了具有个人信息保护的一般价值外,还有助于实现劳动者或求职者的平等权、言论自由权以及工作中的权利等.劳动者个人信息保护除了应遵循个人信息保护的一般原则,诸如合法、公正、必要和透明等原则外,应将比例原则确立为核心原则,在信息处理中平衡雇主合法利益和雇员隐私权利.由于劳动关系的性质以及雇主和雇员地位和实力的不平衡,知情同意原则的适用应严格限制,原则上,雇员同意不能单独作为雇主处理个人信息的合法性基础.借鉴国外尤其是欧洲国家的立法经验,我国应在个人信息保护法中规定劳动者个人信息保护的一般条款,并通过制定行政法规规定具体规则.同时,行政机关、工会或企业组织可发布职场个人信息处理的行为指引,企业和工会也可通过集体协议或规章制度约定或规定涉及个人信息保护的有关事项.     

个人信息权作为民事权利之证成:以知识产权为参照

个人信息有别于数据,也不同于隐私。它以个人敏感隐私信息为内核,往外扩散,其边界处于相对确定的状态。以知识产权为参照,相对确定的边界并不影响个人信息的权利化保护。以尊重人格尊严和自由为理念,以个人信息的自我决定或自我控制为理论基础,个人信息权宜定性为人格权。无形的人格特征具有财产利益,在原理上亦接近于以知识产权为代表的无形财产权。个人信息与知识产权的客体类似,均是特定的信息,其权利不能架构在占有的基础上,不是对客体的圆满状态的控制。可借鉴知识产权的"行为规制权利化"的构建路径,以同意、访问、查阅、抄录、复制、更正、删除等具体行为为支点,形成包含个人信息利用的知情权、个人信息利用的决定权以及保护个人信息完整准确权这三方面内容的个人信息权。个人信息权可以满足绝对权的特征,融入民事权利体系中的绝对权大家庭。