个人信息保护中告知同意的开放结构及其公法实现

个人信息保护领域对告知同意的批评源于民法格式条款的路径依赖，将告知同意等同于实践中作为其表现形式之一的隐私政策，继而将隐私政策作为格式合同存在的弊病扩展为告知同意固有且不可避免的问题。事实上，个人信息保护中的告知同意呈现开放结构，包含复次的告知同意阶段，呈现多元的主体交互关系，强调行为授权的程序价值，为公法介入告知同意提供了基础。个人信息保护中告知同意的多元合作规制体系，按照政府规制、元规制和自我规制各自规制优势确立公法介入的形式和程度，在矫正信息主体与信息处理者之间的权力差距以确保意志自由的同时，促进信息流通与信息安全等信息处理社会价值的实现。     

个人信息保护公益诉讼条款的理解与适用

个人信息保护公益诉讼条款明确规定了个人信息保护公益诉讼的起诉条件和起诉主体。结合现有学术研究成果和具体司法实践情况来看,个人信息保护公益诉讼的提起条件应当满足个人信息处理者主体适格、存在违法处理个人信息的行为并且损害了众多个人权益三项条件;个人信息保护公益诉讼的三种法定起诉主体应当分别定位为主要起诉主体、必要起诉主体和补充起诉主体;个人信息保护公益诉讼的具体路径选择需要结合两种公益诉讼模式的立案条件、个人信息处理活动的主体类别以及处理主体与信息主体之间的关系具体判断。     

个人信息国家保护义务理论的反思与重塑

当前的个人信息国家保护义务理论，主张将个人信息纳入基本权利保护范围，并以个人信息国家保护义务为基础建立个人信息保护法律体系。然而，在概念表达上，该理论以“客观法”表征个人信息基本权的属性，错置了客观法与主观权利之间的关系；用“间接效力”指称个人信息基本权对作为私主体的信息处理者的效力，混淆了“效力”和“效果”的语义。在宪法解释方法论层面，该理论在宏观上具有的法哲学化解释倾向、在微观上对概括性人权条款的悬置处理，使其在宪法教义学上欠缺说服力。面对立法实践，该理论无力解释作为私主体的信息处理者何以承担公法义务。确立个人信息保护权利基础的二元结构，明确个人信息基本权积极面向的主观权利属性，适度延伸个人信息基本权的效力范围，并对国家保护义务内容作相应调整，是重塑个人信息国家保护义务理论的有效途径。     

隐私政策的过去、现在和未来：从合同、基准到信任背书

告知同意原则下的隐私政策长期伴随对于其合同性质的争议。赞成意见认为告知同意结构符合合同订立要素,且企业自律行为能够发挥市场机制作用。反对意见针对“同意困境”,并指出基于隐私政策的违约救济存在局限性。个人信息公法保护的加强促使隐私政策从以意思自治为核心的合同法模式向以法定义务为内容的隐私基准转变。隐私基准是以国家强制力保障实施的个人信息主体应享有的最低程度的个人信息保护。受基准法的影响,隐私政策转而演变为对隐私基准的解释说明。作为合规象征的隐私政策面临“符号化”质疑,体现为书面合规形式化和隐私基准调整范围的有限性。隐私政策的未来图景是个人信息处理行为的信任背书,为此应统筹法律基准与平台自治,即不断推动隐私政策与数据实践融合,鼓励以隐私承诺与信义义务充实个人信息保护,并增强针对隐私问题的社群沟通对话。     

论网络隐私政策的效力——以个人信息保护为中心

制定隐私政策是网络服务提供者自律的重要工具,也是网络服务提供者应对个人信息保护立法,确保其用户个人信息收集、利用行为符合法律规定的重要方式。经用户同意的隐私政策将在用户与网络服务提供者之间成立合同关系,在个人信息收集、利用方面具有取得用户授权的效力,此类隐私政策的变更在性质上属于合同变更,应当取得用户同意,否则对用户不产生拘束力。未经用户同意的隐私政策属于纯粹的企业自律规则,无法在网络服务提供者与用户之间成立合同关系,在用户个人信息收集、利用方面并不具有取得用户授权的效力,此类隐私政策的变更无须取得用户的同意,变更后的隐私政策对用户不产生拘束力。     

个人信息可携带权的规范释义及制度建构

《个人信息保护法》第45条第3款所确立的个人信息转移权将信息传输关系限定在信息处理者之间,有必要对第45条第1、2款规定的复制权进行扩张解释,证立出可维护个人积极地位的个人信息接收权。个人信息转移权与个人信息接收权构成了完整的个人信息可携带权。在权利内涵方面,应结合个人信息保护整体法律制度安排和可携带权的创设意义,从权利主体、义务主体、权利客体、法律效果和行使条件等角度解释分析此权利。在制度体系建构方面,可携带权彰显了数据共享体系中的个人主体地位,其制度构建应当以场景为依托、以试验为理念不断完善和调整;其中,持续性携带模式和个人信息管理系统对于权利实现具有重要意义。     

劳动者个人信息保护的法律价值、基本原则及立法路径

由于传统隐私权制度的局限性,我国应建立职场劳动者个人信息保护制度,以充分保护劳动者的隐私和个人信息权利.劳动者个人信息保护,除了具有个人信息保护的一般价值外,还有助于实现劳动者或求职者的平等权、言论自由权以及工作中的权利等.劳动者个人信息保护除了应遵循个人信息保护的一般原则,诸如合法、公正、必要和透明等原则外,应将比例原则确立为核心原则,在信息处理中平衡雇主合法利益和雇员隐私权利.由于劳动关系的性质以及雇主和雇员地位和实力的不平衡,知情同意原则的适用应严格限制,原则上,雇员同意不能单独作为雇主处理个人信息的合法性基础.借鉴国外尤其是欧洲国家的立法经验,我国应在个人信息保护法中规定劳动者个人信息保护的一般条款,并通过制定行政法规规定具体规则.同时,行政机关、工会或企业组织可发布职场个人信息处理的行为指引,企业和工会也可通过集体协议或规章制度约定或规定涉及个人信息保护的有关事项.     

从隐私到个人信息:利益再衡量的理论与制度安排

传统隐私权保护法主要考虑的是隐私权人与其他人(义务主体)在隐私保护与言论表达自由、知情权实现等方面的利益衡量问题,尽管公共利益是重要的制约因素,但国家尚未以利益主体的身份登场,立法政策倾向于对个人隐私提供"绝对"的保护。在个人信息保护法治中,尽管这组利益关系仍存在,但国家不再单纯以超然利益关系的治理者出现,它同时也是最大的个人信息收集、处理、储存和利用者。更重要的是,信息业者作为独立的主体出现。个人信息保护法需要衡量更多的利益关系。在新的利益衡量格局下,我国的个人信息保护法应以"两头强化,三方平衡"理论为基础,并为实现该理论设计一组相互关联的制度方案。     

跨境电子数据取证中的冲突与对策

刑事案件跨境电子数据的取证中面临着两个难点:电子数据侦查与公民个人信息保护之间的冲突、跨境电子取证与司法管辖权之间的冲突。应平衡案件侦查与公民个人信息保护之间的关系,建立网络服务商义务协助机制、完善公民个人信息保护的相关法律。平衡跨境电子取证与司法管辖权之间的关系,在坚持我国司法主权独立的基础上加强跨境电子数据取证的合作,基于公民隐私程度、案件危害程度、不同对象、取证阶段等因素建立分层次的电子数据跨境取证模式。跨境电子数据取证中保证各类电子数据的完整性,提高侦查技术水平。     

“人脸识别第一案”判决的法理分析

“人脸识别第一案”之所以备受瞩目,不只在于其涉及如何平衡个人信息保护与个人信息商业化运用之间的关系,更在于其涉及法律应当如何正当而合理地分配科技所带来的效益与风险问题。两审法院的判决认可信息主体的删除权,有值得肯定之处,但同时也有令人遗憾之处。两审法院的判决在价值取向上支持产业界,故而对现行法律做了有利于信息处理者的选择性解读。从社会效果而言,判决所传递的信息并不利于加强对个人信息的保护,既难以有效激励信息主体在自身信息权益受到侵害时积极进行维权,也无法对信息处理者的侵权与违约行为形成有力威慑。技术中立是个伪命题且具有误导性,因为技术不只处于科技系统之内,它也作用于现实社会并对之加以塑造。     

论数字时代个人信息保护与利用平衡的展开路径

数字时代个人信息流通会带来巨大的经济效益，个人信息的公共属性越来越鲜明，不仅附着了个人利益，还承载着其他公共利益，信息的广泛利用是不可逆转的时代潮流。科技进步增强了信息泄露的风险，加强个人信息保护成为信息利用的题中之义。在个人信息保护实践中，应该充分运用比例原则，从适当性、必要性、衡量性着手，确保手段、目的与效果的辩证统一，推动信息保护与利用的平衡。《个人信息保护法》充分体现了该理念，授予个人广泛的信息权益，但约束权益行使的自由度；规范信息处理者的义务，但承认信息利用的前提；明确国家机关的保护职责，但视其为信息利用主体，核心在于综合考量，适度维持同一主体内部保护与利用的动态平衡。另外，未来还应该从体系平衡、利益平衡、标准平衡、过程平衡、模式平衡等外部系统着手，通过内外结合共同发挥作用，助推平衡目标早日实现。     

论数字时代个人信息的刑法保护路径选择

在数字经济时代,针对个人信息的保护存在两种路径,鉴于“基于权利的方法”存在一系列的缺陷,“基于风险的方法”正逐渐兴起。“基于风险的方法”的重点在于风险分析,其具有将个人信息保护从“纸面的官僚要求”向“实践中的合规”转变等优势。“基于风险的方法”将个人信息保护的责任更多地赋予信息处理者,这在我国《个人信息保护法》等法律法规中已有体现。“基于风险的方法”仅是对元监管的部分实施,其主要目标是改善、加强法律框架的合规内化与实施,更强调对信息处理者的问责,其并未将个人信息保护标准制定权授予信息处理者,故有必要引入“合规风险”的概念。在“基于风险的方法”的视域下,个人信息的界定与分类应根据场景作动态判断,侵犯公民个人信息罪之“违反国家有关规定”应是缺乏“同意”的上位概念,信息主体之同意并非判定是否构成本罪的唯一标准。同时,若信息处理者未制造、实现“合规风险”的“后果”要素,则不构成本罪。     

论隐私、个人信息和数据的三重民法保护

隐私、个人信息和数据三者在民法意义上的本源与价值都是个人信息,只是隐私和个人信息的范围不同,数据与个人信息为为载体与本源之关系。《民法典》对隐私、个人信息和数据的不同规定,保护着不同类型与范围中的个人信息不受侵害,是对科技双刃剑下公民权益保护的有效回应。《民法典》对于私密型个人信息的隐私予以法律赋权;对于需均衡使用与保护的个人信息予以法律保护;对作为信息载体的数据予以前瞻性开放式法律规定,三重法律保护体现了《民法典》以人为本的政治内涵。     

隐私政策的多维解读:告知同意性质的反思与制度重构

基于隐私政策的告知同意是个人信息保护的核心制度,但对其性质应当进行反思,对其制度应进行重构。告知同意在不同国家和地区具有合同、声明、基本权利合规等多重特征,在我国也应被视为多维制度工具。仅从意思自治角度看,告知同意面临信息过载、决策过频等难题,即使进行制度改进,也无法实现个体的充分知情和明确同意。但隐私政策的阅读对象不仅是即时交互场景下的个人,也包括企业内部人员、市场评级者、执法司法者和非交互场景下的个体。隐私政策可能充当信息处理者的合规章程、市场声誉信息机制的媒介、司法诉讼与行政执法的依据、赢取个体信任与进行隐私教育的工具。应解绑告知与同意,适度放松同意要求,但应强化对隐私政策的告知要求。隐私政策对外可以采取不同提醒方式与分层架构,对内应成为内嵌到不同部门与产品的合规指引,在形式上采取基于风险的模块化披露。     

论个人信息主体同意的私法性质与规范适用——兼论《民法典》上同意的非统一性

个人信息主体同意通常属于准法律行为，在例外情况下也具有意思表示属性。当存在对价关系时，同意构成“承诺式同意”，合同关系与个人信息处理关系并存，数据交易的双重结构由此展开。作为准法律行为的同意能否参照适用法律行为规则，应结合特定利益状态进行判断。平台经营者与用户之间的不平等状态与格式条款提供方与相对方之间的关系类似，因此隐私政策、服务协议可以参照适用我国民法典合同编中的格式条款规则。具有意思表示属性的同意则同时受到法律行为规则与个人信息保护规则的双重规范。在民法典时代，法律人应克制体系化冲动，承认同意理论的非统一性，避免为了追求形式美感而忽视复杂规范框架的必要性与合理性。     

信赖理念下的个人信息使用与保护

现行的个人信息保护法律规范,以“主客体二元对立”思维下的“理性人”理念为指引,通过强调个人信息主体的自主支配、自主决断和自己责任,来平衡个人信息的使用和保护。为此,个人信息保护法律规范的整体功能,主要限于确保信息主体自主控制的实现,以及保护他们免受可举证证明的非法侵害。但是在大数据时代,个人信息保护的“理性人”理念面临着诸多困境,如“信息决策困境”、“控制权失衡”问题、“责任配置错位”问题、“损害制度失灵”问题、“安全感困境”以及“信赖缺失”问题。这导致个人信息保护法律规范内含个人信息主体和个人信息控制者之间的紧张对立关系,难以有效增强他们之间的互信。为了促进信息社会的可持续发展,个人信息保护立法应该更新理念,构建一个在“信赖”理念指引下的信义义务制度,以作为对现有制度的补充。     

个人信息处理者对信息侵权下游损害的侵权责任

第三人从个人信息处理者处获得个人信息后,其侵权行为可能导致个人遭受隐私权、生命权、社会歧视等人格权益损害和财产权损害.受害人诉请损害赔偿的基础包括侵权责任、违约责任及个人与信息处理者的信托关系,在我国法上宜限定为侵权责任,以平衡行为自由和权益保护.信息处理者对个人承担消极的和积极的安全保障义务,前者要求处理者保障个人信...     

问责原则与安全原则下的个人信息泄露侵权认定

当发生个人信息泄露时，个人信息主体多因泄露源头不清而难以有效证明侵权责任的成立。对此司法机关或利用表见证据规则，或利用因果关系倒置，平衡两造在诉讼中的力量关系，但也存在合法性欠缺、混淆行为与损害等问题。破题之策在于借助《个人信息保护法》第9条规定的问责原则与安全原则，柔化《民法典》一般侵权规范的适用。根据问责原则，个人信息处理者应自证个人信息处理行为的合规性，证明已经履行必要的作为义务。与之配合，安全原则要求个人信息处理者承担特殊的安全管理义务，义务内容包括但不限于《个人信息保护法》第51条的相关规定。就因果关系证明而言，问责原则要求个人信息处理者对民事损害负责，当存在不法个人信息处理行为时，可以依据法规目的说判定因果关系的成立；鉴于个人信息处理者承担特殊的安全管理义务，即便个人信息是从第三人处泄露或存在第三人故意介入的因素，因果关系也并非当然中断。     

公开个人信息处理的默认规则——基于《个人信息保护法》第27条第1分句

同意和默认同意构成《个人信息保护法》处理个人信息的合法性基础。默认规则是基于促进个人信息的合理利用、维护公共利益和国家利益等理由的默认同意规则。《个人信息保护法》第27条第1分句一方面推定信息主体同意信息处理者处理公开的个人信息,建构起基于知情同意的默认规则;另一方面赋予信息主体对默认规则的“明确”拒绝权,二者共同构筑了处理公开个人信息默认规则的完整架构。作为一种倾向性的默认规则,该分句是对信息主体完全理性和有限理性的调和,也是在知情同意框架下通过助推的方式促成不同群体利益的调和;它在尊重个体自由与自主的前提下,通过规则设置突破基于知情同意的“个人控制”模式,拓展了信息处理者自主处理个人信息的空间。     

论个人信息处理中的优位利益豁免规则

《个人信息保护法》第13条以开放列举的方式对个人信息处理的合法性基础作出了规定，并将“知情同意规则”确立为基本原则。但事实上该规则深陷传统财产规则的桎梏，过分强调个人对信息的控制，而忽视了信息的流通与利用。有鉴于此，我国可引入优位利益豁免规则，赋予信息控制者在经过利益识别，认定信息处理所保护之利益优于信息主体利益后，无需经过信息主体同意直接处理个人信息的权利，进而在知情同意规则之外对个人信息处理行为的合法性基础进行补充，平衡对信息主体的过度保护。与此同时，亦需要建立严格的优位利益识别机制、强化信息控制者义务，疏通信息主体的救济途径并加强政府监管，以防规则滥用。