权利抑或利益：个人信息保护立法模式之辩

当个人信息保护与数据流通发生冲突时,基于利益衡量,原则上应力求二者关系的协调,但无法衡平时个人信息保护应处于优先地位。检视个人信息利益的保护模式,其中一般人格利益模式和纯粹的民事利益模式均存在缺陷。运用德国权益区分理论,在法教义学上审查可知应当确立个人信息权利模式。基于应更侧重于人格权益的保护、作为具体人格权可兼顾数据流通、可实现多途径救济等因素的考量,将个人信息权利合目的性限缩为具体人格权。在个人信息保护法的制定中,还应注重场景适用具体规则的构建,包括应排除纯粹私生活领域的信息行为,确认为维护公共利益处理个人信息的行为,强化商业领域信息处理的规制力度。     

个人信息保护合规的体系构建

作为企业管理工具,个人信息保护合规也存在被滥用的体系性风险。在分配个人信息处理风险时,应遵循比例原则的要求,合理限制公民个人、企业与国家公权力机关的个人信息处理自由,并以此作为个人信息保护合规的法理依据。企业在设计个人信息保护合规计划时,应遵循目的正当原则、区分原则、均衡原则与信赖原则。对企业进行个人信息保护合规审计时,应贯彻三阶审查法,即递进式审查合规计划的一般特征、具体要素及其功能、企业成员的具体行为。企业个人信息保护合规体系的底线,由侵犯公民个人信息罪划定。以企业的个人信息处理是否合规,以及企业领导人、合规负责人是否履行监管义务作为侵犯公民个人信息罪行为不法的评价标准,可有效保障本罪作为个人信息保护合规体系之底线的功能实现。     

劳动者个人信息处理中同意的适用与限制

劳动者个人信息处理中同意的内在困境比其他社会关系都更为鲜明。应打破劳动法、民法与个人信息保护法的理论藩篱,重视对劳动者同意的适用及体系性限制。劳动者信息处理的合法性来源存在两种替代个人同意的适用,分别为"订立或履行合同所必需"的默示同意及以集体合同或劳动规章制度为载体的集体合意。为促进信息利用,应允许雇主在超越"订立或履行劳动合同所必需"时,以劳动者明示同意作为信息处理的合法性来源。无论同意的性质为默示同意、集体合意或明示同意,均应强调对同意自治性的审查,利用"目的限制"与比例原则,丰富"合法、正当、必要"体系性限制的内涵,平衡劳动者个人信息权益保护与信息利用,从而纾解劳动关系下同意的困境。     

论个人信息处理的“合同所必需”规则

《个人信息保护法》新增“合同所必需”作为合法处理个人信息的条件之一，但该规则在适用中存在个人信息处理者以增加服务内容、扩大个人信息需求以及降低信息处理透明度的方式侵害用户权益的风险。通过分析欧盟“合同所必需”规则的适用前提、适用标准、适用条件，思考对规则异化的风险进行控制与化解的路径，可为我国建立健全相关适用规则提供借鉴。“合同所必需”规则的适用基础仍是知情同意，其本身不应是一项单独的法定事由，在适用时必须明确“合同依法成立并生效”这一独特前提，在此基础上依托合同自由与公平原则建立相应适用规范，在合法与正当原则下确立“关联性”标准，在目的明确与最小化原则下确立“必需性”标准，在强化告知义务中确立“透明度”标准。同时，基于法律的禁止性规定，在敏感个人信息处理和利用信息进行自动化决策中不能适用该规则。     

论个人信息主体基础法益的设定与实现——基于“个人信息处理规则”反射利益的视角

我国民法典和个人信息保护法并没有确立“个人信息权”概念，但有关条文使用了“个人信息权益”的概念表述，由此带来了关于“个人信息权益”的理解困惑。从法律实证的角度来说，现行法其实并未对个人信息主体基础法益进行直接确权，而是将其隐含规定在对“个人信息处理规则”为重心的体系设计之中，呈现为一种反射利益意义的基础法益设定。在这种意义上，可以将“个人信息处理规则”视为“以保护他人为目的的法律”。针对个人信息处理规则隐含个人信息基础法益的特点，我国个人信息保护法还引入了以强化多重治理体系、压实行为主体责任为内容的独特实现路径，具体包括“个人在个人信息处理活动中的权利”“、个人信息处理者的义务”“、履行个人信息保护职责的部门”“、法律责任”四个方面的合力。以此为分析，可知我国个人信息保护法第四章“个人在个人信息处理活动中的权利”，其所确立的多项个人信息保护权，属于强化治理体系结构中的机制内涵，而不可混同理解为基础法益。这些权利因具有请求权的形式，也称个人信息保护请求权，可以纳入广义人格权请求权的范畴。     

比例原则审查基准的构建与适用

构建类型化的比例原则审查基准体系,是实现司法能动主义下司法监督功能的现实需要,是克服比例原则的抽象性缺陷以增加司法理性的必然要求。对于行为目的与手段的正当性进行区分强度的司法审查,已成为发展趋势之一。比例原则在我国得到了日益广泛地适用,但大量案件似乎都只是宽松审查。应根据比例原则的规范内涵与逻辑结构,综合考量受侵害权利的属性与种类、侵害的方式与程度、公共利益的属性与种类、事务的专业性程度等因素,构建比例原则的宽松审查、中度审查和严格审查三种审查基准类型。比例原则审查基准的类型化不应成为终极追求目标,法官在个案中的合比例性裁量需要限缩,但不应受到过度挤压。     

刑事侦查中个人信息保护的目的限制原则：欧盟经验与中国路径

面对数字时代下侦查权社会化演变及侦查活动趋近大规模监控的“功能蠕变”,我国传统刑事诉讼规则缺乏对侦查中个人信息收集、处理呈现目的控制,而《个人信息保护法》确立的目的限制原则亦欠缺对刑事侦查情景的细化调试。基于对欧盟目的限制原则在通行及刑事司法领域相区分的路径设置考察,我国应对刑事司法适用的目的限制原则进行情景化改造：在收集端口建立明确、合理、个人信息最小化的要求;在处理端口建立对个人权益影响最小、以兼容性判断为标准的限制使用要求,同时配以个人信息流转的第三方传输豁免规则与目的变更规则。以此在避免刑事司法机构随意处理个人信息,限制侦查权等公权力边界的同时,减少个人信息在刑事司法领域流动的阻碍,以提高司法效率。     

个人信息处理必要性原则的规范体系研究

我国《民法典》和《个人信息保护法》均规定个人信息处理应当遵循必要性原则,但是没有对必要性原则进行清晰地界定。必要性原则源于比例原则,个人信息处理行为反映了"禁止过度"的要求,应当适用必要性原则限制个人信息处理行为,以实现个人信息多元利益的平衡。必要性原则体现和渗透于目的限定规则、最小化处理规则、存储期限规则和删除规则。个人信息处理应当限于实现合乎法律规定的正当目的所必要之范围,个人信息处理的范围、数量应当与该处理目的相匹配或成比例,个人信息的存储期限应当为实现处理目的所必要的最短时间。个人信息的处理目的已经实现、期限届满或者处理目的无法实现时,信息主体有权请求删除个人信息。     

生成式人工智能中个人信息保护的全流程合规体系构建

在当前生成式人工智能的运行过程中,个人信息面临着收集范围与限度不明、算法违规处理及生成错误结论等问题,因此亟须构建个人信息保护的全流程合规体系。在准备阶段,生成式人工智能应该基于最小必要原则来明确合规收集范围,并将个人信息进行碎片化处理来合规限制收集深度。在运算阶段,生成式人工智能应该在自我学习时通过知识蒸馏构建学生模型来保证算法合规,并进行安全评估与算法备案。对一般类型个人信息、敏感个人信息及生物特征信息采用不同的合规处理模式,并在反馈阶段标注存在风险的个人信息,反向推动算法进行自我改进。在生成阶段,当生成错误结论时,合规监管部门应该分类审查生成式人工智能在个人信息处理上的缺陷,并从合规有效性标准、算法运算逻辑及实质法益损害这三个方面判断平台能否实质出罪。     

个人信息处理者过错推定责任研究

个人信息处理者承担过错推定责任的实质基础在于处理行为引起的作为义务,而不仅仅是为了强化保护个人信息权益。《个人信息保护法》中的过错推定责任与《民法典》侵权责任编没有体系衔接冲突问题,但与人格权编所确立的“隐私权”和“个人信息”并行体例存在张力关系。处理私密信息造成损害的,应承担过错推定责任,而不适用有关隐私权规定。处理者的过错推定责任不是一种普遍性责任,其适用范围具有限定性,适用要件也有特殊性。此过错推定责任救济的是侵害人格权益的财产损失,不包括精神损害,其过错判断主要限于违反法定义务的违法行为及比例原则下的实质违法行为,其因果关系要件的特殊性则在于采取“高度盖然性”证明标准,而非实行举证责任倒置。     

劳动者个人信息保护的法律价值、基本原则及立法路径

由于传统隐私权制度的局限性,我国应建立职场劳动者个人信息保护制度,以充分保护劳动者的隐私和个人信息权利.劳动者个人信息保护,除了具有个人信息保护的一般价值外,还有助于实现劳动者或求职者的平等权、言论自由权以及工作中的权利等.劳动者个人信息保护除了应遵循个人信息保护的一般原则,诸如合法、公正、必要和透明等原则外,应将比例原则确立为核心原则,在信息处理中平衡雇主合法利益和雇员隐私权利.由于劳动关系的性质以及雇主和雇员地位和实力的不平衡,知情同意原则的适用应严格限制,原则上,雇员同意不能单独作为雇主处理个人信息的合法性基础.借鉴国外尤其是欧洲国家的立法经验,我国应在个人信息保护法中规定劳动者个人信息保护的一般条款,并通过制定行政法规规定具体规则.同时,行政机关、工会或企业组织可发布职场个人信息处理的行为指引,企业和工会也可通过集体协议或规章制度约定或规定涉及个人信息保护的有关事项.     

“个人信息侵权”方案的反思及其重塑

以个人信息自决权为理论基础、抽象风险损害化为构建策略的“个人信息侵权”方案,在司法实践中暴露出冲击侵权责任制度、不当限制行为自由、诱发诉讼泛滥等缺陷,正当性存疑。个人信息权益并非个人信息自决权,而是以控制处理风险为目的的工具性权利,其与私法人格权构成屏障结构而非并列关系。侵害个人信息权益仅造成抽象风险的,个人信息权益本身即可为个人提供控制手段,将抽象风险视为损害的侵权责任方案扩张失度且无必要。侵害个人信息权益的损害赔偿责任,仍应以损害发生为前提。当非法处理活动被主行为吸收时,不成立“个人信息侵权”的竞合形态与替代形态,侵权责任依主行为认定。单独的非法处理活动符合侵权责任的违法性要件,归责原则为过错推定原则。     

论比例原则在经济法中的适用

被誉为“公法皇冠”的比例原则在经济法中的适用具有可行性和必要性。比例原则的“相对普适性”为其在经济法中的适用提供了法理基础,引入比例原则不仅可以回应经济法现代性的内在诉求,还是贯彻经济法理念和基本原则的必然要求。比例原则在经济法中的适用范围涵盖“权力—权利”和“权利—权利”二元法律关系结构,但是,特殊紧急状态和合意行为应排除比例原则的适用。囿于比例原则的抽象性,有必要构建其在经济法中的类型化适用路径:以法律关系结构为划分依据,通过“目的正当性—适当性—必要性—均衡性”的差异化认定标准,塑造“宽松”和“相对严格”的审查基准模型。     

个人信息权益的二元构造论

个人信息权益存在绝对权与相对权两个不同的面向。在个人信息被处理之前，个人就其个人信息享有的法律地位具有对世性，尽管该法律地位没有被制定法规定为主观权利，但是其法律效力等同于绝对权。在个人信息被处理之后，个人在个人信息处理活动中的权利属于相对权。尽管个人信息相对权由法律事先规定，但是仍然赋予个人私法自治的空间，个人有权与处理者另行约定其他相对权。澄清个人信息权益的二元构造，有助于分别建构个人信息权益的救济机制。个人信息绝对权应当受到侵权损害赔偿和停止侵害、排除妨碍与消除危险等绝对权请求权的保护。个人信息相对权要求处理者提供积极给付，在处理者拒不履行或者不完全履行或者迟延履行时可以类推适用违约责任的有关规定。     

论数字时代个人信息保护与利用平衡的展开路径

数字时代个人信息流通会带来巨大的经济效益，个人信息的公共属性越来越鲜明，不仅附着了个人利益，还承载着其他公共利益，信息的广泛利用是不可逆转的时代潮流。科技进步增强了信息泄露的风险，加强个人信息保护成为信息利用的题中之义。在个人信息保护实践中，应该充分运用比例原则，从适当性、必要性、衡量性着手，确保手段、目的与效果的辩证统一，推动信息保护与利用的平衡。《个人信息保护法》充分体现了该理念，授予个人广泛的信息权益，但约束权益行使的自由度；规范信息处理者的义务，但承认信息利用的前提；明确国家机关的保护职责，但视其为信息利用主体，核心在于综合考量，适度维持同一主体内部保护与利用的动态平衡。另外，未来还应该从体系平衡、利益平衡、标准平衡、过程平衡、模式平衡等外部系统着手，通过内外结合共同发挥作用，助推平衡目标早日实现。     

最小必要原则在平台处理个人信息实践中的适用

最小必要原则包括相关性、最小化、合比例性三个子原则.在适用该原则时,我国实践中的主流做法是只承认网络平台的次要处理目的,即实现具体业务功能,而不承认其主要处理目的,即提供精准的交易媒介服务.最小化原则的要求与网络平台实现其主要处理目的之间存在巨大张力,个人信息自主控制制度、匿名化制度都难以缓解该张力.鉴于最小必要原则的适用范围局限于利益减损型处理行为,如果网络平台实际上为增进信息主体的利益而行动,便不满足最小必要原则的适用条件.按照补充性的合同解释方法,网络平台在提供媒介服务时应当承担给付型忠实义务,即有义务为消费者在所媒介交易中的可得利益最大化而行动.履行给付型忠实义务的网络平台,在其个人信息处理的综合影响为正面,且给信息主体造成的损害或者危险有限的情况下,可以在合理的必要范围内处理非敏感的和敏感度低的个人信息.     

问责原则与安全原则下的个人信息泄露侵权认定

当发生个人信息泄露时，个人信息主体多因泄露源头不清而难以有效证明侵权责任的成立。对此司法机关或利用表见证据规则，或利用因果关系倒置，平衡两造在诉讼中的力量关系，但也存在合法性欠缺、混淆行为与损害等问题。破题之策在于借助《个人信息保护法》第9条规定的问责原则与安全原则，柔化《民法典》一般侵权规范的适用。根据问责原则，个人信息处理者应自证个人信息处理行为的合规性，证明已经履行必要的作为义务。与之配合，安全原则要求个人信息处理者承担特殊的安全管理义务，义务内容包括但不限于《个人信息保护法》第51条的相关规定。就因果关系证明而言，问责原则要求个人信息处理者对民事损害负责，当存在不法个人信息处理行为时，可以依据法规目的说判定因果关系的成立；鉴于个人信息处理者承担特殊的安全管理义务，即便个人信息是从第三人处泄露或存在第三人故意介入的因素，因果关系也并非当然中断。     

比例原则的适用范围与限度

比例原则是对限制公民权利的国家权力的限制,其适用需要满足一定的前提条件。比例原则保护的是一种相对权利,审查的是国家权力行使的合理性问题,不可克减的公民权利以及目的正当性不在其适用范围内。比例原则具有独特的内涵和价值功能,没有必要也不应当在民法、刑法等部门法中普遍适用,理应回归行政法这一固有领地。为适应国家任务的多样性,比例原则在关注侵益行政行为的同时,也应当向授益行政行为和互益行政行为的领域拓展,但“最小侵害”的严格标准和“法益均衡”的目标追求,决定了其主要用于规制常态意义下的行政权力行使,在紧急状态中的适用要受到一定限制。     

个人信息处理中的“同意”与“同意撤回”

告知同意是个人信息处理中对个人信息权益的基本保护模式。告知属于兼具公法及私法性质的行为,而同意属于私主体对自己个人信息权益的处分。由于告知同意存在诸多问题,引入同意撤回制度是我国个人信息保护体系的应有之义。同意撤回权与消费者撤回权不同,同意撤回权属于人格权体系下的撤销权,其撤销行为不具有溯及力也不应适用除斥期间,除个人信息主体存在故意或重大过失外,不应令其承担损害赔偿责任。另外,在适用中应当注意厘清主体行使同意撤回权后与受托人及第三方的关系,充分借鉴和吸收其他国家在同意撤回权上的经验,构建我国的同意撤回权体系。     

刑事诉讼中适用《个人信息保护法》相关问题研究

《个人信息保护法》的颁布实施将刑事诉讼统一纳入个人信息保护法律规范体系当中,需要认真研究刑事诉讼中如何适用《个人信息保护法》的相关规定。个人信息保护中的核心规则“告知-同意”规则在刑事诉讼中基本失效,同意规则无须适用,告知规则设置了宽泛的例外,刑事诉讼法律规范中应当明确例外的界限与适用情形。对于个人信息保存时限、委托处理个人信息的相关规则、自动化决策和敏感个人信息的处理,刑事诉讼中都应当进一步予以细化规定。个人信息权益在刑事诉讼中呈减损状态,但不应被彻底剥夺,应当着力强化刑事执法、司法机关的个人信息保护的合规义务,构建《个人信息保护法》适用于刑事司法领域的若干支撑配套制度,包括将规制场景由技术侦查扩展至更为广阔的信息收集实践,强化事先数据合规制度建设,增设检察机关作为刑事司法系统中投诉处理的负责机构等。