公开个人信息处理的默认规则——基于《个人信息保护法》第27条第1分句

同意和默认同意构成《个人信息保护法》处理个人信息的合法性基础。默认规则是基于促进个人信息的合理利用、维护公共利益和国家利益等理由的默认同意规则。《个人信息保护法》第27条第1分句一方面推定信息主体同意信息处理者处理公开的个人信息,建构起基于知情同意的默认规则;另一方面赋予信息主体对默认规则的“明确”拒绝权,二者共同构筑了处理公开个人信息默认规则的完整架构。作为一种倾向性的默认规则,该分句是对信息主体完全理性和有限理性的调和,也是在知情同意框架下通过助推的方式促成不同群体利益的调和;它在尊重个体自由与自主的前提下,通过规则设置突破基于知情同意的“个人控制”模式,拓展了信息处理者自主处理个人信息的空间。     

隐私政策“知情同意困境”的反思与出路

学界普遍认为，个人信息处理中知情同意规则的适用困境主要表现于隐私政策场景中。“信息区分说”“行为区分说”和“动态同意说”等既有学说旨在破解“知情同意困境”,但均存在难以克服的缺陷。作为知情同意规则的理论基础的“理性人假设”与“个人信息自我控制理论”均难以应用于隐私政策场景，其根源在于私法自治固有的限度。隐私政策的格式条款属性和“有限理性人”的理论假设表明，运用格式条款规则规制隐私政策是更好的解决方案。具体而言，一是运用订入规则，将网络服务者未履行提示义务的重大利害关系条款排除在合意之外；二是运用黑名单、灰名单制度和诚实信用原则控制隐私政策条款的效力；三是运用解释规则平衡网络服务者与信息主体之间的利益。     

论个人信息处理中的优位利益豁免规则

《个人信息保护法》第13条以开放列举的方式对个人信息处理的合法性基础作出了规定，并将“知情同意规则”确立为基本原则。但事实上该规则深陷传统财产规则的桎梏，过分强调个人对信息的控制，而忽视了信息的流通与利用。有鉴于此，我国可引入优位利益豁免规则，赋予信息控制者在经过利益识别，认定信息处理所保护之利益优于信息主体利益后，无需经过信息主体同意直接处理个人信息的权利，进而在知情同意规则之外对个人信息处理行为的合法性基础进行补充，平衡对信息主体的过度保护。与此同时，亦需要建立严格的优位利益识别机制、强化信息控制者义务，疏通信息主体的救济途径并加强政府监管，以防规则滥用。     

个人信息司法保护的利益衡量

在我国《个人信息保护法》已经颁布实施的情况下,个人信息司法保护的利益衡量更显重要,主要体现为个人信息利益与社会公共利益和企业数据利益之间的冲突与平衡。从法律依据看,我国法律文本中解决个人信息利益与其他利益冲突的规定主要体现为“数据条款”和“公共利益条款”。从司法实践看,公共利益界定的模糊导致了其与个人信息利益的紧张关系,公共利益代表机制的多元加剧了其与个人信息利益之间的冲突,且呈现出“重追责轻管理”“重刑轻民”、救济机制不畅等特点。实现个人信息司法保护的利益平衡,在解释论层面需要强化处理个人信息基本原则、保护责任机制和侵权法律责任,在立法论层面需要进一步明确界定相关核心概念、创新个人信息保护模式、建立专门个人信息保护机构以及健全个人信息权益救济规则。     

预防性个人信息保护民事公益诉讼的证立及其制度展开

在现代风险社会,司法如何通过制度架构有效预防个人信息公共安全风险是一个重要的法治命题。通过预防性司法制度应对个人信息公共安全风险,既是履行个人信息国家保护义务的主动选择,也是因应个人信息社会公共利益风险治理体系建设的客观需要。预防性个人信息保护民事公益诉讼制度的确立需要从现行保护模式入手,公共执法模式与传统诉讼补救模式在个人信息公共安全风险的防控上均存在明显的结构性缺陷,不能对个人信息社会公共利益予以周延保护。为完善个人信息社会公共利益风险治理体系,总体层面应当注重从自我控制到公共治理的转变趋势,并促进保护模式从补偿性到预防性的制度延伸;具体层面需要逐步确立“高风险”的法律基准和检察机关处于诉权主体的优先顺位,以及对诉前程序、证明责任和责任承担方式等方面的具体规则进行调整或更新。     

个人信息使用的合法性基础——数据上利益分析视角

根据我国现行个人信息相关立法,知情同意是个人信息收集和使用的普遍前提。通过对个人信息需要保护的利益分析,我们发现,个人信息上不仅附着了信息主体的人格尊严和自由利益,个人信息使用者的利益和公共利益也是个人信息法律制度需要保护的重要利益。基于此,本文认为,知情同意不是且不应成为个人信息处理的唯一合法性基础,在个人信息保护法制定中应首先明确个人信息上的利益,然后根据个人信息上的利益之间的平衡建构个人信息的使用规则,建立多元的合法性基础。     

论个人信息保护中的人格保护与经济激励机制

个人信息保护制度中的"知情—同意"框架偏向于通过信息主体自治以保护个人信息,这一路径选择对信息的合理流通和利用构成了严苛的限制,实践中也存在形式化问题。从理论基础和经验逻辑看,"知情—同意"规则需要考虑更为具体的场景;而在具体场景中,对信息主体的经济激励机制可以引导和促成信息主体的"同意"。因此可以将经济激励作为同意的促成机制,这有助于在不偏离"知情—同意"规则的前提下,为个人信息保护与数据合理利用双重目标的实现提供一种平衡方案。通过经济激励机制,信息处理者可与信息主体共享数据利用产生的经济收益,由此适当突破"必要性原则",获得超出为信息主体提供服务之目的的数据处理权限。但经济激励机制亦需受到内容和形式上的限制,避免被泛化为普遍适用的数据处理后门。在当前我国个人信息保护法的制定中,可以考虑引入经济激励制度,构建人格保护与利益激励相结合的"二元机制",在坚持人格保护的原则下,通过经济激励机制有效平衡个人信息保护与信息的合理流通和利用。     

个人信息保护检察民事公益诉讼的路径优化

个人信息保护检察民事公益诉讼具有显著“刑事化”特征。检察院直接提起个人信息保护民事公益诉讼具有明显的优势，它能够扩大受案范围、减轻证明负担、发挥预防功能与促进源头治理。个人信息保护检察民事公益诉讼应以互联网平台滥用“知情同意”规则非法处理个人信息行为以及间接侵害个人信息权益的行为作为主要对象。立案标准仅要求侵权行为有导致个人信息社会公共利益受损的危险即可。诉讼请求应当兼顾个人信息权益的财产属性和人身属性，还应当兼顾个人信息权益保护的预防与惩治功能。针对恶意侵害个人信息权益行为，允许检察院提起惩罚性赔偿请求。     

风险与控制：论生成式人工智能应用的个人信息保护

生成式人工智能的技术跃进架空了个人信息处理的告知同意规制和最小必要原则，引发了虚假信息生成和个人信息泄漏的广泛风险迭代问题。传统个人信息的权利保护路径面临认知和结构困境，无法应对生成式人工智能给个人信息保护带来极大挑战。以风险控制为导向的个人信息保护机制不强调信息主体对个人信息的绝对控制，旨在通过识别、评估、分配和管理将风险控制在最小范围内，可以灵活和实用地平衡生成式人工智能应用中的信息利用和风险控制，提供有效的解决方案。在风险控制理念下，对告知同意规则和最小必要原则进行风险化解释与调试，并建立从预防到识别再到控制的虚假信息生成风险的全过程应对机制，以及基于风险的个人信息保护合规管理体系，是当前的最优选择。     

疫情防控常态化中个人信息保护与公共利益的冲突和平衡

常态化疫情防控中，信息技术的运用对于提升动态清零的效率和精准防控提供了极大的便利，但同时也使涉疫个人信息的收集主体、披露标准、删除程序、救济机制等问题摆在了疫情常态防控中的突出位置。在公共利益优位的前提下，基于比例原则、目的正当和安全保障原则，个人信息使用的全生命周期必须遵循法治化轨道，完善个人信息收集、使用、公开、删除等具体细则，强调相关信息控制主体的安全保障义务，健全个人信息保护的救济途径，最大限度兼顾公共利益与个人信息保护的平衡。     

论个人信息主体基础法益的设定与实现——基于“个人信息处理规则”反射利益的视角

我国民法典和个人信息保护法并没有确立“个人信息权”概念，但有关条文使用了“个人信息权益”的概念表述，由此带来了关于“个人信息权益”的理解困惑。从法律实证的角度来说，现行法其实并未对个人信息主体基础法益进行直接确权，而是将其隐含规定在对“个人信息处理规则”为重心的体系设计之中，呈现为一种反射利益意义的基础法益设定。在这种意义上，可以将“个人信息处理规则”视为“以保护他人为目的的法律”。针对个人信息处理规则隐含个人信息基础法益的特点，我国个人信息保护法还引入了以强化多重治理体系、压实行为主体责任为内容的独特实现路径，具体包括“个人在个人信息处理活动中的权利”“、个人信息处理者的义务”“、履行个人信息保护职责的部门”“、法律责任”四个方面的合力。以此为分析，可知我国个人信息保护法第四章“个人在个人信息处理活动中的权利”，其所确立的多项个人信息保护权，属于强化治理体系结构中的机制内涵，而不可混同理解为基础法益。这些权利因具有请求权的形式，也称个人信息保护请求权，可以纳入广义人格权请求权的范畴。     

公共卫生突发事件中个人信息权的保护:以新型冠状病毒肺炎疫情为背景

在公共卫生突发事件应对中追踪检测、收集及分析大量的个人健康信息和流动信息是出于社会大多数公众的生命安全之考虑,是实现公共管理手段的体现,可以达到对传染疾病的有效防治目的.但个人信息收集主体不规范的行为可能会导致个人信息泄露之可能,造成相关当事人的利益受损,如何平衡个人信息采集与公共利益保护依旧悬而未决.以公共卫生突发事件中的个人信息利用为全新视角,对个人信息保护制度进行研究,对于破解个人信息保护面临的实践难题具有重要的现实意义.本文分析了突发公共卫生事件下个人信息保护的法律依据,结合我国突发公共卫生事件下个人信息保护豁免的域外实践,指出我国突发公共卫生事件下个人信息保护存在一些困境,如在突发公共卫生事件中,个人信息的保护缺乏专门的立法和事后具体的利用规则.未来我国在突发公共卫生事件中,应加快个人信息保护的专门立法,同时应确立合法性原则、目的限定原则、最小范围原则及保密性原则为内容的公共卫生突发事件个人信息处理原则来进一步规范信息控制主体的行为.     

敏感个人信息告知同意规则的制度逻辑、规范解释与补强

《个人信息保护法》区分信息类型,为敏感个人信息配置了强告知同意规则。告知同意规则以信息自主、自决为首要价值基础,有其自身制度逻辑,但也有诸多自限性缺陷。在信息风险社会,告知同意规则对于敏感个人信息的保护具有重要意义,应进一步发掘并赋予其新的价值功能内涵,即风险的预防与分配。为准确适用敏感个人信息之告知同意规则,消弭法规范中诸多不确定性及该制度的自身缺陷,应对告知同意规则之适用范围、告知事项与标准、同意形式与要求等做出恰当解释,以期在实现信息自决的同时能更好地实现风险的控制;同时,基于敏感个人信息“敏感度”与“风险性”的动态特征,应对其告知同意规则做动态性机制补强,以使信息处理符合信息主体的风险预期。     

劳动者个人信息保护的法律价值、基本原则及立法路径

由于传统隐私权制度的局限性,我国应建立职场劳动者个人信息保护制度,以充分保护劳动者的隐私和个人信息权利.劳动者个人信息保护,除了具有个人信息保护的一般价值外,还有助于实现劳动者或求职者的平等权、言论自由权以及工作中的权利等.劳动者个人信息保护除了应遵循个人信息保护的一般原则,诸如合法、公正、必要和透明等原则外,应将比例原则确立为核心原则,在信息处理中平衡雇主合法利益和雇员隐私权利.由于劳动关系的性质以及雇主和雇员地位和实力的不平衡,知情同意原则的适用应严格限制,原则上,雇员同意不能单独作为雇主处理个人信息的合法性基础.借鉴国外尤其是欧洲国家的立法经验,我国应在个人信息保护法中规定劳动者个人信息保护的一般条款,并通过制定行政法规规定具体规则.同时,行政机关、工会或企业组织可发布职场个人信息处理的行为指引,企业和工会也可通过集体协议或规章制度约定或规定涉及个人信息保护的有关事项.     

刑事诉讼中适用《个人信息保护法》相关问题研究

《个人信息保护法》的颁布实施将刑事诉讼统一纳入个人信息保护法律规范体系当中,需要认真研究刑事诉讼中如何适用《个人信息保护法》的相关规定。个人信息保护中的核心规则“告知-同意”规则在刑事诉讼中基本失效,同意规则无须适用,告知规则设置了宽泛的例外,刑事诉讼法律规范中应当明确例外的界限与适用情形。对于个人信息保存时限、委托处理个人信息的相关规则、自动化决策和敏感个人信息的处理,刑事诉讼中都应当进一步予以细化规定。个人信息权益在刑事诉讼中呈减损状态,但不应被彻底剥夺,应当着力强化刑事执法、司法机关的个人信息保护的合规义务,构建《个人信息保护法》适用于刑事司法领域的若干支撑配套制度,包括将规制场景由技术侦查扩展至更为广阔的信息收集实践,强化事先数据合规制度建设,增设检察机关作为刑事司法系统中投诉处理的负责机构等。     

作为劳动基准的个人信息保护

劳动者的个人信息保护问题存在特殊之处,具体表现为资强劳弱和人格从属性背景下知情同意规则的失灵、工作数字化后劳动者被透视和被操控的风险、有组织生产的合作关系中个人信息处理的需要,因此不能完全适用《个人信息保护法》的一般规则。劳动基准法已经纳入立法规划,在其中就劳动者个人信息保护做专门规定,这是对数字时代人权保护新挑战的回应,对于其他劳动基准的实现也有重要意义。在劳动关系中仅遵循私法路径不足以保护个人信息,还需要配备公权力保障,劳动基准法的双重保护机制也契合了这一需求。作为劳动关系中保护个人信息的特别法,劳动基准法的相应条款应该考虑如何对一般规则进行调整,包括限制知情同意规则的适用,满足人力资源管理的正当需求,修改删除权、可携带权和自动化决策条款,协调主管机构、救济方式和法律责任。由于"必需"是一个语境依赖型概念,将来还应该通过配套文件来规制工作场所的视频监控等典型的应用场景。     

隐私政策中的告知同意原则及其异化

告知同意原则已成为个人信息保护领域的基本原则之一。随着技术的进步以及人们对于互联网依赖程度的加深，适用传统的告知同意原则易打乱个人信息保护与利用的平衡状态；同时，依据该原则产生的“全有全无”管理构架，也在客观上造成了实际适用中的高成本及低效率，甚至与信息自身的基本属性相悖。如今，各国已经逐渐意识到以上问题，并开始在立法中对告知同意原则进行革新以克服因其自身结构性僵化所带来的问题。这些措施包括:使用设立隐私设置选项，从择入机制到择出机制的逐渐演变，以及引入隐私风险评估机制等。在此背景之下，对个人信息进行分类并设立隐私评估系统，适当拓宽择入式同意的适用范围，以行业引导方式提供隐私政策模板均是应当考虑的策略。     

个人信息权保护的法经济学分析及其限制

目前我国的司法实践对个人信息侵权的保护采用了具体人格权中隐私权的路径,它无法对个人信息商业化利用伴随的财产利益进行全面的保护.在我国的个人信息保护立法中,是采用“以人格权为中心、包含财产利益和人格利益两部分内容的一元模式”,还是“以包含个人信息的精神利益和财产利益为导向的人格权和财产权二元模式”,需要借助经济学的分析工具.此外,基于价值的多元,任何权利的运行都要有个界限,个人信息权亦如此.在遭遇言论与表达自由、信息的自由流通、国家安全和权利人的同意四种情况时,个人信息权的保护力度要“克减”.当然,这四种“克减”场域仅仅是基于“类型化”的分析,具体的案件还要进行具体的“利益衡量”.     

权利抑或利益：个人信息保护立法模式之辩

当个人信息保护与数据流通发生冲突时,基于利益衡量,原则上应力求二者关系的协调,但无法衡平时个人信息保护应处于优先地位。检视个人信息利益的保护模式,其中一般人格利益模式和纯粹的民事利益模式均存在缺陷。运用德国权益区分理论,在法教义学上审查可知应当确立个人信息权利模式。基于应更侧重于人格权益的保护、作为具体人格权可兼顾数据流通、可实现多途径救济等因素的考量,将个人信息权利合目的性限缩为具体人格权。在个人信息保护法的制定中,还应注重场景适用具体规则的构建,包括应排除纯粹私生活领域的信息行为,确认为维护公共利益处理个人信息的行为,强化商业领域信息处理的规制力度。     

论个人信息处理的“合同所必需”规则

《个人信息保护法》新增“合同所必需”作为合法处理个人信息的条件之一，但该规则在适用中存在个人信息处理者以增加服务内容、扩大个人信息需求以及降低信息处理透明度的方式侵害用户权益的风险。通过分析欧盟“合同所必需”规则的适用前提、适用标准、适用条件，思考对规则异化的风险进行控制与化解的路径，可为我国建立健全相关适用规则提供借鉴。“合同所必需”规则的适用基础仍是知情同意，其本身不应是一项单独的法定事由，在适用时必须明确“合同依法成立并生效”这一独特前提，在此基础上依托合同自由与公平原则建立相应适用规范，在合法与正当原则下确立“关联性”标准，在目的明确与最小化原则下确立“必需性”标准，在强化告知义务中确立“透明度”标准。同时，基于法律的禁止性规定，在敏感个人信息处理和利用信息进行自动化决策中不能适用该规则。