论私密个人信息的合理使用困境与出路

《民法典》第1034条第3款确立的私密信息隐私权保护优先规则导致私密信息应有的合理使用空间被不当限缩,有必要引入《个人信息保护法》中的个人信息合理使用规则。在将私密信息划分为非敏感私密信息和敏感私密信息的基础上,前者可通过《民法典》第1034条第3款后半句“没有规定的,适用有关个人信息保护的规定”直接适用《个人信息保护法》第13条第1款第2项至第7项中的个人信息合理使用情形,后者则可基于敏感个人信息保护规则应优先于隐私权保护规则适用的解释思路,在符合《个人信息保护法》第28条第2款“敏感个人信息处理规则”的前提下,再适用《个人信息保护法》第13条第1款第2项至第7项中的个人信息合理使用情形。     

敏感个人信息的法律基准与范畴界定——以《个人信息保护法》第28条第1款为中心

《个人信息保护法》第28条第1款中敏感个人信息的"敏感"是指法律规制的高反应度,其以信息处理的权益侵害风险为法律基准,风险内容指向除个人信息权益之外的人格尊严和人身、财产权利,风险程度则以达到"一般权益侵害程度+更高风险兑现概率"为必要.敏感个人信息的界定应采取场景抽离和场景融入双重路径.场景抽离关注作为内因的信息内容,内容具有强工具性和唯一识别性的个人信息为敏感个人信息;场景融入关注作为外因的场景要素,信息处理者的认知能力、信息应用能力及信息存在状态是改变信息内容属性的主要场景要素,可以促成敏感个人信息的转化.因未成年人信息控制能力弱、信息暴露程度高,立法将其个人信息归入敏感个人信息具有合理性.第28条第1款列举的各项信息具有涵括性,不能直接作为敏感个人信息的认定依据,是否属于敏感个人信息仍须进行具体判定.     

个人信息侵权责任构成要件研究

个人信息侵权责任成立的认定涉及两组规范关系的处理：一是我国民法典第1165条第1款与个人信息保护法第69条第1款的规范适用关系；二是规定侵权责任成立构成要件的民法典第1165条第1款、个人信息保护法第69条第1款与引入利益权衡方法的民法典第998条的规范关系。其中，对于民法典第1034条第3款规定的私密信息优先适用隐私权保护规则导致第1165条第1款与第69条第1款在适用上的紧张关系，应在现行法秩序内外在体系融贯的视角下通过目的扩张解释第1034条第3款“没有规定的”内涵来解决。对于民法典第1165条第1款、个人信息保护法第69条第1款规定的责任成立构成要件与民法典第998条规定的利益权衡方法之间的规范关系，应在赋权保护模式与行为规制模式的体系协调下确定，将能够清晰界定事实构成的个人信息侵害行为通过预先概括规定标准性事实构成要件+正当理由的例外检验模式来判断相应的责任是否成立，将那些不能清晰界定事实构成的侵害行为，通过利益权衡方法评价其在侵权责任法上的效果。     

论《个人信息保护法》对医学科研的影响

《个人信息保护法》“强化两头,多方平衡”。医学科研中的个人信息处理应以保护受试者个人信息权益为前提,平衡好各方合法权益。个人信息的界定采关联说,编码信息属于个人信息。医学研究应遵守个人信息处理规则,处理个人信息应当有合法依据,要么取得受试者明确同意,要么有法律许可。医学研究中的个人信息往往既是敏感信息,也是私密信息,故对受试者个人权益往往有重大影响,需要在处理前进行评估,严格履行《个人信息保护法》规定的个人信息处理者义务,依法保障受试者在个人信息处理活动中的法定权利。《个人信息保护法》对科学研究中的泛化同意未予认可,不符合医学科研的特点,不利于科学创新,值得商榷。     

公开个人信息处理的默认规则——基于《个人信息保护法》第27条第1分句

同意和默认同意构成《个人信息保护法》处理个人信息的合法性基础。默认规则是基于促进个人信息的合理利用、维护公共利益和国家利益等理由的默认同意规则。《个人信息保护法》第27条第1分句一方面推定信息主体同意信息处理者处理公开的个人信息,建构起基于知情同意的默认规则;另一方面赋予信息主体对默认规则的“明确”拒绝权,二者共同构筑了处理公开个人信息默认规则的完整架构。作为一种倾向性的默认规则,该分句是对信息主体完全理性和有限理性的调和,也是在知情同意框架下通过助推的方式促成不同群体利益的调和;它在尊重个体自由与自主的前提下,通过规则设置突破基于知情同意的“个人控制”模式,拓展了信息处理者自主处理个人信息的空间。     

论个人信息保护民事公益诉讼之起诉主体——兼论《个人信息保护法》第70条之不足及完善

我国《个人信息保护法》第70条确立了个人信息保护民事公益诉讼制度，但对起诉主体范围之界定不够科学，且未对起诉主体顺位作出安排。在起诉主体范围方面，检察院在个人信息权益保护方面取得了良好效果，应予以保留；“法律规定的消费者组织”过于狭窄，其他旨在保护个人信息公共利益的社会组织也应享有起诉资格，从立法协调性角度考虑并与首次确定了民事公益诉讼制度的《民诉法》第58条第1款保持一致，应将“法律规定的消费者组织”改为“法律规定的机关和有关组织”;作为行政机关的国家网信部门不适宜提起诉讼，也不拥有确定起诉主体之权力，故应删除“由国家网信部门确定的组织”之表述。在起诉主体顺位方面，《个人信息保护法》第70条将检察院列于首位，这一做法与《民诉法》第58条以及《检察公益诉讼解释》第13条之规定不符，也与检察实践之具体做法相悖；应遵循检察谦抑性之要求，坚持“法律规定的机关和有关组织”第一顺位、检察院第二顺位之起诉主体安排；且检察院在提起个人信息保护民事公益诉讼之前均应履行诉前公告程序；在独立的个人信息保护民事公益诉讼与刑事附带民事公益诉讼之间，检察院应作何选择或会作何选择，值得关注。     

论国家机关处理的个人信息跨境流动制度——以《个人信息保护法》第36条为切入点

《个人信息保护法》第36条的基本目标是平衡个人信息流动和安全,整体定位等同于第40条,因为国家机关属于关键信息基础设施的运营者。“国家机关”指军事机关以外的党政机关及法律、法规、规章授权的公共管理或服务组织。“个人信息”指在中国内地收集和产生的、未经当事人自行公开或合法公开的个人信息。“境内存储”指个人信息存储介质位于中国内地且其上的个人信息不被境外主体以非公开方式读取。“向境外提供”指个人信息存储介质出境或境内介质存储的个人信息被境外主体以非公开方式读取。国家机关处理的个人信息出境,包括物理载体出境、国际合作出境和安全评估出境,安全评估由国家机关在网信部门支持下自行开展。此外,国家机关还应确保境外接收方安保水平达标,并在特定情形下告知当事人、取得单独同意。     

大型平台的个人信息“守门人”义务

《个人信息保护法》第58条规定了大型平台的个人信息保护特别义务,即“守门人”义务,该条款也可以称为“守门人”条款。“守门人”条款在《个人信息保护法》的体系中具有显著的特殊性,《个人信息保护法》以规制个人信息处理者的个人信息处理行为为中心;但第58条规制对象是大型平台,大型平台在第58条语境下并非个人信息处理者,而是一种管理者的角色。第58条仅规制大型平台对平台内经营者的管理行为,而不规制其自身的个人信息处理行为。这种特殊性对第58条的解释产生了很大的影响,尤其体现在大型平台违反第58条的法律责任上。《个人信息保护法》的法律责任部分是针对个人信息处理行为进行设计的,大型平台违反第58条时,其法律责任的确定不能简单套用相关条文。     

已公开个人信息处理规则的类型化阐释

《个人信息保护法》第13条第6项与第27条可被视为规制已公开个人信息处理行为的“责任规则”与“财产规则”,二者在适用上的竞合导致已公开个人信息处理行为的合法性判准陷入模糊。已公开个人信息可被划分为意定公开信息与法定公开信息,二者在公开的依据、承载的利益形态、信息主体可施加的控制程度等方面均存在实质差异。这些差异构成了立法对二者区别评价与区别对待的客观基础。依托法经济学上的“卡-梅框架”进行分析,对于意定公开信息,可保持当前以财产规则为主体的制度设计,以信息主体的意思作为认定信息处理行为是否合法的判准;对于法定公开信息,则应当优先适用责任规则,以促成针对此类信息的有效率的“强制交易”。     

问责原则与安全原则下的个人信息泄露侵权认定

当发生个人信息泄露时，个人信息主体多因泄露源头不清而难以有效证明侵权责任的成立。对此司法机关或利用表见证据规则，或利用因果关系倒置，平衡两造在诉讼中的力量关系，但也存在合法性欠缺、混淆行为与损害等问题。破题之策在于借助《个人信息保护法》第9条规定的问责原则与安全原则，柔化《民法典》一般侵权规范的适用。根据问责原则，个人信息处理者应自证个人信息处理行为的合规性，证明已经履行必要的作为义务。与之配合，安全原则要求个人信息处理者承担特殊的安全管理义务，义务内容包括但不限于《个人信息保护法》第51条的相关规定。就因果关系证明而言，问责原则要求个人信息处理者对民事损害负责，当存在不法个人信息处理行为时，可以依据法规目的说判定因果关系的成立；鉴于个人信息处理者承担特殊的安全管理义务，即便个人信息是从第三人处泄露或存在第三人故意介入的因素，因果关系也并非当然中断。     

个人信息司法保护的利益衡量

在我国《个人信息保护法》已经颁布实施的情况下,个人信息司法保护的利益衡量更显重要,主要体现为个人信息利益与社会公共利益和企业数据利益之间的冲突与平衡。从法律依据看,我国法律文本中解决个人信息利益与其他利益冲突的规定主要体现为“数据条款”和“公共利益条款”。从司法实践看,公共利益界定的模糊导致了其与个人信息利益的紧张关系,公共利益代表机制的多元加剧了其与个人信息利益之间的冲突,且呈现出“重追责轻管理”“重刑轻民”、救济机制不畅等特点。实现个人信息司法保护的利益平衡,在解释论层面需要强化处理个人信息基本原则、保护责任机制和侵权法律责任,在立法论层面需要进一步明确界定相关核心概念、创新个人信息保护模式、建立专门个人信息保护机构以及健全个人信息权益救济规则。     

个人信息在国家机关之间传输的类型化治理

个人信息传输是我国《个人信息保护法》第4条第2款规定的一种个人信息处理行为，国家机关之间通过数据共享技术传输个人信息，在我国数字政府建设中渐成常态。基于传输主体的组织形态、传输发起的缘由等不同因素，个人信息在国家机关之间的传输行为呈现一体化和点状式两种实践形态。前者是基于公共数据共享平台而展开的规模化传输，后者则是国家机关在履行法定职责或法定义务过程中，因职权互动或依职权主动而展开的个案式传输。从本质上而言，以上两类行为在法律属性上属于双元性事实行为。为了应对“一体化形态”的叠加风险与“点状式形态”的特殊风险，宜基于类型化视角对国家机关间个人信息传输行为进行适法性调适，以法律保留原则对传输行为区分不同的规范强度，根据程序正当原则对传输行为形成梯度性约束，并按照均衡性原则对传输行为进行差异化调控。     

论国家机关的个人信息保护法律责任——以《个人信息保护法》第68条为切入点

我国个人信息保护法第68条规定了国家机关的个人信息保护法律责任。在责任主体方面，该条涵盖国家机关和准国家机关的个人信息处理者与个人信息处理活动规制者两种身份，但存在两项缺漏：一是未明确履行个人信息保护职责的部门不依法履职的法律责任，二是未规定对非国家机关违法负直接责任的公职人员应受处分以及对国家机关违法负直接责任的人员应受行政处罚。在适用行为方面，第68条第1款所称的“不履行本法规定的个人信息保护义务”指作为个人信息处理者的国家机关违反该法义务性规定；第2款所称的“玩忽职守、滥用职权、徇私舞弊”彼此独立，其对应于我国刑法第397条第1款和第402条。在责任形式方面，第68条的“责令改正”属于内部行政行为，存在落实不力之虞，需强化内部和外部监督；“处分”指任免机关、单位给予处分和监察机关给予政务处分。违法人员具有党员身份的，还应受到组织处理、党纪处分，涉嫌犯罪的应追究刑事责任。     

网络盗窃个人信息浅谈

当网络信息产业的迅猛发展方便我们查阅各种信息的同时,个人信息正在被非法之徒窃取牟利。高发的网络盗窃个人信息案件让我们深刻的认识到信息保护的重要性。本文从主体、主观方面、客体、客观方面界定网络盗窃个人信息,同时借鉴国外立法浅谈制定《个人信息保护法》的重要意义。     

论个人信息安全事件通知义务

个人信息安全事件通知是个人信息处理者履行信息安全保护义务的重要环节，能够促使信息主体和监管机构在发生个人信息安全事件后及时采取行动，防范次生损害。《网络安全法》《数据安全法》《个人信息保护法》均规定了个人信息安全事件通知义务，但内容不一、详略有别。从“个人信息”的范畴来看，只有发生安全事件的“个人信息”可能影响信息主体实际权益时，才有必要通知信息主体；从通知内容来看，应当对通知监管机构和信息主体的内容作出区别规定；从通知的理论基础来看，由侵权责任和合同附随义务产生的私法责任是信息处理者向信息主体履行通知义务的理论基础，向监管机构履行通知义务则是公法要求；从通知的条件来看，对个人信息采用加密等技术手段后可不向信息主体履行通知义务，只有发生安全事件的个人信息达到一定规模体量才有必要通知监管机构；从通知的法律责任来看，更宜适用作为特别法的《个人信息保护法》的法律责任规定，同时限缩私法层面的赔偿责任，强调公法层面的处罚责任。     

个人信息保护的私法维度——兼论《民法典》与《个人信息保护法》的关系

个人信息的私法保护路径对于有效保障民事主体的个人信息权益十分重要;《个人信息保护法》本身包含大量的私法规范、制度和原则,因此需要从体系化的角度与《民法典》作关联解读与适用.由此,需要充分认识到《民法典》与《个人信息保护法》之间的内在密切关联,正确看待二者的关系.《民法典》与《个人信息保护法》中的私法规范构成普通法与特别法的关系,在后者有明确规定的时候应优先适用,而在其没有规定的时候应适用《民法典》的规则.在个人信息保护的法律适用中将二者割裂甚至对立起来的观点或者对《民法典》采取排斥封闭的态度,都会破坏法律体系的和谐和法律适用的统一,对个人信息保护来说也是不利的.     

个人信息可携带权的规范释义及制度建构

《个人信息保护法》第45条第3款所确立的个人信息转移权将信息传输关系限定在信息处理者之间,有必要对第45条第1、2款规定的复制权进行扩张解释,证立出可维护个人积极地位的个人信息接收权。个人信息转移权与个人信息接收权构成了完整的个人信息可携带权。在权利内涵方面,应结合个人信息保护整体法律制度安排和可携带权的创设意义,从权利主体、义务主体、权利客体、法律效果和行使条件等角度解释分析此权利。在制度体系建构方面,可携带权彰显了数据共享体系中的个人主体地位,其制度构建应当以场景为依托、以试验为理念不断完善和调整;其中,持续性携带模式和个人信息管理系统对于权利实现具有重要意义。     

论《民法典》个人信息保护规则蕴含的权利——以分析法学的权利理论为视角

在分析法学的权利理论中,权利和义务的关联性原理得到了普遍认可.当然,这种关联性也存在例外.不存在对应权利的义务类型可被归纳为"对世义务".《民法典》第1035条第1款第1项是一个义务性规则,确立了个人信息处理者在通常情况下征得自然人或其监护人同意的义务.该义务具有明确的相对人,不属于"对世义务",应存在对应的权利,即信息主体对同意与否的决定权.《民法典》第1037条更是采用授权性规则的立法表达,赋予了自然人查阅、复制、更正、删除个人信息的权利.可见,我国《民法典》虽然没有明确使用"个人信息权"一词,但在个人信息保护规则中已经存在具体的权利内容.《民法典》分别使用义务性规则和授权性规则的立法表达,有其合理性和重要意义.我国正在制定中的个人信息保护法拟设专章规定"个人在个人信息处理活动中的权利",其中明示的权利有着《民法典》上的渊源,在性质上具有私权属性.     

侵犯公民个人信息罪中个人信息的界定与法益侵害分析

侵犯公民个人信息罪中个人信息的内涵应当与个人信息保护法中个人信息的内涵保持一致。刑法及其司法解释对个人信息的界定存在一定偏差，应予以调整。刑法对个人信息的分类应参考个人信息保护法中的二分法，在具体规定中采取“概括+列举”的方式对个人信息予以规定。侵犯公民个人信息罪所侵害的法益不是公共信息安全，而是与公民人格权、财产权紧密关联的个人信息自决权。将个人信息自决权认定为侵犯公民个人信息罪的侵害法益符合该罪的立法目的。     

个人信息流通利用的制度基础——以信息识别性为视角

《个人信息保护法》以信息主体同意为基础,构筑了个人控制的个人信息直接利用制度,但其是否为流通利用提供了通道仍存疑问。信息因其识别性能的差异,可区分为直接标识符、间接标识符和准标识符,三者给个人权益带来的危害风险不同。《个人信息保护法》规定的匿名化和去标识化本质上是针对特定数据集中信息识别风险的制度安排,能消除因信息本身识别性产生的风险,而很难消除基于识别分析的识别性产生的风险。因此,缺失针对“基于识别分析的识别性产生的风险”的措施,现行关于匿名化和去标识化的规范均不能支撑个人信息流通利用。去标识化需要改造成为“去直接标识符+识别控制”的受控去标识化制度,在防控个人信息识别风险的前提下,为个人信息流通利用提供制度保障,以最大化实现个人信息的社会价值。