数据可携带权保护范式的分殊与中国方案

有关数据可携带权的保护范式，各国立法与现实给出的答案并不统一。在立法上，以创设法律条文的方式，将数据主体所享有的其在个人数据上的利益确认为一种权利，体现出立法者的“赋权保护”理念；在现实中，数据可携带权并非一般意义上的绝对权，数据作为客体并不明确和特定，为衡平数据流通之上存在的多元利益，不得不诉诸对数据携带行为进行更多规制，倒逼“行为规制”模式的产生。对中国而言，目前比较可行的保护方案是“权利化模式”与“行为规制模式”并行不悖，数据可携带权既可以在个人信息保护法框架下进行权利规则的完善，也可以在竞争法领域诉诸对数据控制者更多的行为规制，使“纸面上”的数据可携带权，打破“权利泛滥”的误读，转化为促进数据自由流通的“尚方宝剑”。     

捍卫权利模式——个人信息保护中的公共性与权利

个人信息权和个人信息受保护权是两种相对立的模式,学界通常认为个人信息权赋予个人排他性的支配权,这与个人信息的公共性相矛盾。个人信息的公共性并不必然反对权利模式。一种广义的公共性包含着个人信息所负载的公共利益,个人信息的公开化也是网络时代个人和商业交往的必要前提,但这并不意味着要否定个人信息保护的权利模式。公共利益具有多样性,正是某些公共利益支持了权利。权利所蕴涵的主张权确保了人的尊严和自由,这也是个人信息保护法的立法宗旨;个人信息受保护权做不到这一点,它不具有义务指向性。但在立法模式上,个人信息保护法要以义务性规范或禁止性规范为主,这是由网络空间个人信息的性质决定的。     

数字政府建设中个人信息保护的风险规制路径

公共部门个人信息保护制度的完善是建构数字法治政府的必由之路。我国《个人信息保护法》采取了公私部门一体调整的宣示性立法模式,目前既无法为公共部门个人信息保护提供足够的规则指引,也未充分满足数字政府建设的需要。数字政府个人信息保护规则的建构,不仅需要考虑公共部门相对私人部门在个人信息处理活动中的特殊性,还要兼顾数字政府在技术和治理这两个层面的革新,进而制定专门规则。风险规制模式不仅是世界范围内个人信息保护制度的发展趋势,而且能够为一体调整模式提供理论基础。通过风险预防原则的适当运用,对个人信息权利的风险化解释与调适,风险管理、风险交流和风险评价等风险规制机制的灵活运用,以及合作治理、独立规制机构、技术治理、回应治理、试验规制和软法之治等风险规制策略的共同配合,建构以风险规制为导向的数字政府个人信息保护机制是我国未来的最优选择。     

论互联网立法的重点问题

互联网立法的重点问题就其立法模式而言,我国应当采取专门立法的模式,不宜制定一部大而全的“互联网管理法”,当前网络安全、网络侵权、隐私权和个人信息保护、电子商务等领域问题相对突出,且法律规范存在缺失,有必要在这些方面制定专门的法律。互联网立法中应处理好公共利益与私人利益、个人信息保护与信息资源高效利用,市场、技术与制度“三对关系”。互联网立法的重心在于规范网络服务提供者,并且应注重发挥行业自治能力。     

个人信息的民法定位及保护模式

个人信息的民法保护在个人信息法律保护体系中具有基础性地位。在民法上如何选择个人信息的保护模式,取决于人们如何认识、评价个人信息的本质属性及其在民法上的定位。个人信息同时具有个人属性和公共属性,单纯地强调某一属性均无法凸显个人信息的本质特征,故而在立法上应适当舒缓个人信息保护及利用之间的张力。不仅如此,个人信息的内涵模糊、外延宽泛,难以达到权利客体所应具有的具体特定且界限分明的品质要求,故而不宜在模糊、笼统的个人信息之上设定一项具有绝对性和排他性的“个人信息权”。否则,不仅无法为行为人划定清晰的行为禁区,而且在适用上难免与已有的人格权体系发生冲突、抵牾,可谓得不偿失。衡诸民法原理和社会现实,应当采用行为规制模式为个人信息主体提供必要的、适度的民法保护。     

大数据时代下个人信息权的私法属性

个人信息权的法律属性是个人信息保护亟需回答的首要问题.当前我国不乏个人信息保护的相关规范,但仍缺少对个人信息权的明确规定.司法实践上,亦对个人信息的法律属性认识不一.纵观世界各国,有以欧陆“逐步发展个人信息权”与美国“隐私权保护”为代表的两种模式.在法理学说上,个人信息权主要有六大学说:宪法人权说、一般人格权说、隐私权说、财产权说、新型权利说、独立人格权说.其中,唯有独立人格权说恰当阐释了个人信息权的私法属性.个人信息权具有与大数据时代特征相适应的独特内涵,其范围、内容均无法为其他权利所替代,社会情况的深刻变化呼唤个人信息权的诞生.在法律属性上个人信息权是一项独立的人格权.     

美国信息隐私立法透析

美国法以隐私权作为个人信息保护的权利基础,在公领域,实行分散立法模式;在私领域,美国选择了行业自律模式,在全球个人信息保护立法中产生了巨大的影响。美国制定信息隐私保护政策和法律的基本思路是力求在信息流通和隐私保护之间寻求平衡。信息隐私权是美国信息隐私法上的一个核心概念,它是随着社会对个人信息的保护而产生的,指个人针对其信息所享有决定权、支配权和控制权。     

信用卡数据库营销中个人信息的法律保护探讨

信用卡数据库营销是信用卡发展阶段中的必然产物。这种营销模式下的个人信息如何保护?本文提出立法上确立独立的个人信息权,对个人信息进行法律保护。基于该独立的权利本身要求,信用卡数据库营销过程中则必须遵循“客户知晓原则”,以切实保护客户的个人信息安全。     

中华人民共和国个人信息保护法示范法草案学者建议稿

20世纪70年代美国公布的《公平信用报告法》和德国黑森邦1970年的资料保护法分别拉开了美、欧个人信息保护立法的序幕,随后有二十多个国家相继完成了有关个人信息保护的立法。在1980年OECD通过《关于隐私保护和个人资料跨国流通指针》后,欧洲议会、欧盟以及联合国等国际组织和地区组织先后出台了个人信息保护的公约、指令和指南,这些国际文件将个人信息保护立法迅速推向了全球。个人信息保护立法之要旨,固然在于自然人人格利益的保护,但同时,个人信息作为信息社会的一种重要的经济资源,尤其对发展中国家的国际贸易来说具有重要的战略意义。故此,个人信息保护立法的另一要旨是规范个人信息的商业利用,尤其是国际贸易中个人信息的跨国流通。本刊推荐的这份《个人信息保护法草案建议稿》挣脱了美国分散立法模式的束缚,取法德国模式进行统一立法,较好地为个人信息的保护和利用提供统一的行为规范。同时,扬弃了美国的隐私权理论而将权利基础定位在人格权理论之上,为个人信息保护立法找到了适合我国法律体制与人格权观念的立足点。在国际贸易方面,做到了既兼顾个人信息的合理流通,又加强了我国对个人信息资源的合法保护。     

个人信息权保护的法经济学分析及其限制

目前我国的司法实践对个人信息侵权的保护采用了具体人格权中隐私权的路径,它无法对个人信息商业化利用伴随的财产利益进行全面的保护.在我国的个人信息保护立法中,是采用“以人格权为中心、包含财产利益和人格利益两部分内容的一元模式”,还是“以包含个人信息的精神利益和财产利益为导向的人格权和财产权二元模式”,需要借助经济学的分析工具.此外,基于价值的多元,任何权利的运行都要有个界限,个人信息权亦如此.在遭遇言论与表达自由、信息的自由流通、国家安全和权利人的同意四种情况时,个人信息权的保护力度要“克减”.当然,这四种“克减”场域仅仅是基于“类型化”的分析,具体的案件还要进行具体的“利益衡量”.     

个人信息的双重属性与行为主义规制

个人信息的法律保护依赖于公法对个人信息的定位。在公法与公法理论上,有两种看待个人信息的观点。一种观点认为个人信息权是一种基本权利,个人信息应当受到法律的确权保护;另一种观点则将个人信息视为他人言论自由的对象,个人信息的自由获取与使用受到法律保护。但这两种观点都无法从整体上理解个人信息,个人信息权的观点忽视了个人信息的自由流通属性与公共属性,而个人信息作为言论自由对象的观点则忽视了个人信息背后的多重权益。个人信息兼具个体属性与社会流通属性,应当确立一种"个人信息相关权益被保护权"。从个人信息的双重属性出发,个人信息保护应当在具体场景中确立个人信息收集与利用行为的合理边界。基于场景的行为主义规制更为符合个人信息保护的根本特征,也将为中国的个人信息保护提供一条超越欧美的中国道路。     

The retention of personal information online: A call for international regulation of privacy law

New technologies permit online businesses to reduce expenses and increase efficiency by, for example, storing information in “the cloud”, engaging in online tracking and targeted advertising, location and tracking technologies, and biometrics. However, the potential for technology to facilitate long term retention of customers' personal information raises concerns about the competing right of individuals to the privacy of their personal information. Although the European Commission has recently released a proposal for regulation to “provide a data subject with the right to be forgotten and to erasure”, neither the OECD Privacy Guidelines nor the APEC Privacy Framework includes any requirement to delete personal information. While New Zealand includes a “limited retention principle” in the Privacy Act 1993, apart from one limited exception the privacy principles cannot be enforced in court. Taking New Zealand privacy law as an example, this paper examines the issue of retention of customer data, explains why this is a serious problem and argues that although it could be addressed by appropriate amendments to domestic laws, domestic privacy legislation may not be sufficient in an online environment. In the same way as other areas of law, such as the intellectual property regime, have turned to global regulatory standards which reflect the international nature of their subject matter, international privacy regulation should be the next stage for the information privacy regime.     

个人信息权的宪法(学)证成——基于对区分保护论和支配权论的反思

《个人信息保护法》最终纳入“根据宪法”条款,表征着个人信息保护法律体系在底层逻辑上的更动。民法学上权利与利益的区分保护原理,难以适用于整个合宪性法秩序。应将个人信息权确立为宪法位阶的基本权利,并以基本权利作为针对国家的主观防御权和辐射一切法领域的客观价值秩序的原理,协调个人信息保护的私法机制和公法机制。通过对人权条款笼罩下的通信权和人格尊严条款的解释,可以在学理上证立“基本权利束”性质的个人信息权。但其具体保护则应分别归入不同基本权利条款,作出区分化、差异化的多层次构造。个人信息保护的支配权思维有其局限,告知同意模式的式微是重要表现。应将个人信息权的规范目标调整为人格的自由发展,指向免于他人的人格干预。从支配权到人格发展权的思维转换,有助于规制对已收集信息的不当利用、破除“信息茧房”、缓和个人信息保护与利用之间的紧张,以及在“个人—平台—国家”的三方关系中有效保护个人的自决,同时为数据产业保留发展空间。     

个人健康医疗信息和隐私权保护

Personal health care and medical treatment information are both personal information which can be used as a sign to identify each individual. Such information shall be under the control of the owner. The comprehensiveness of personal health care and medical treatment information makes it more valuable than the simplex personal information. The controlling right of personal health care and medical treatment information is irretrievable once deprived. The rights of controlling, managing and using regarding personal health care and medical treatment information can be separated appropriately. The right of privacy is an independent personality right. For the protection of public interests, the right of personal privacy shall be appropriately limited. Meanwhile, the government shall be responsible for the protection of personal health care and medical treatment information. Tang Xiaotian is a professor and supervisor in charge of the development and planning division of Shanghai University of Political Science and Law, and deputy General Secretary-in-chief of the Society of Law of Shanghai, whose main studies is focused on victim science, criminal law and criminology. Till now, he has 8 monographs and over 90 articles published in academic journals.     

个人信息权的体系化解释——兼论《个人信息保护法》的公法属性

《个人信息保护法》是数字时代个人信息保护的基本法。它采取了将个人信息权作为新兴公法权利的思路,确立了完整的个人信息权利保护体系,在个人信息保护问题上和《民法典》一起形成了公私法共同协力的进路。《个人信息保护法》以权利束的方式规定了个人信息主体的知情权、决定权、查阅权、复制权、更正权、删除权、可携带权和信息权利救济权等。《个人信息保护法》从立法依据、权利体系、条文设计和规制措施上都体现出鲜明的公法属性,这也可以从基本权利的双重面向和个人信息国家保护义务得到理论上的证成。这部法律是数字时代公法秩序的基石,它对公法边界的形塑仍需通过其实施来确立。     

人身权立法之我见

民法调整平等主体之间的财产关系和人身关系。制定统一的人身权法符合民法调整社会关系的要求,符合自《民法通则》以来确立的立法传统,有利于统一保护主体的人身权益。人身权与主体不可分离,但有的无特定相对人,有的有特定相对人。前者又可分为物质性的、标表性的、评价性的、自治性的人身权以及知识产权中的人身权。后者包括配偶权、亲权、其他亲属权以及监护权。人身权法单独立法需处理好与其他法的关系。     

被遗忘权立法的美国模式及其立法启示——以加州被遗忘权立法为研究背景

“被遗忘权”是大数据时代个人信息删除制度的立法新发展。美国并不赞同欧盟模式的被遗忘权。加利福尼亚州立足美国法制传统构建了一个体现美国利益需求的被遗忘权。加州立法从维护个人发展权意义上建构未成年人的被遗忘权,以数据最小化原则为基础,建构适用于消费者与企业之间数据处理的被遗忘权,赋予个人删除本人发布的个人信息的权利,同时规定了一系列删除信息的例外,较好地协调了被遗忘权与言论自由和信息经济发展的矛盾。加州立法已成为美国个人信息保护立法的典范。未来,美国可能以加州模式为模板构建媲美欧盟被遗忘权的个人信息删除制度。加州对被遗忘权制度的取舍对我国《个人信息保护法》第47条的理解与适用具有启示意义。     

人格权的伦理分析

罗马法中的人与人格是一种关于身份的理论,在法国民法典中也没有人格权的规定。人格权是伦理学发展到一定阶段并随着民法在技术上的成熟而在德国民法典中最终确立的,康德的人格主义伦理学构成了德国民法典的精神基础。精神基础与制度基础的分离使得人格权进入法典面临诸多技术上的障碍。人格权的伦理内涵在于人的尊严,人格权的客体是“人的伦理价值”,人格权中的人只能是自然人,法人不具有伦理上的人格。人具有尊严,作为一个定言命令是相互的,人格权之侵权责任的实质也源于“尊重”。