《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”)自2021年11月1日开始实施,至今已生效两年。为全面梳理国内2023年对“个人信息”的研究现状,总结《个人信息保护法》理解、适用的争议焦点和实施难点,本文对法学CSSCI来源期刊(含27本法学CSSCI期刊,17本法学CSSCI扩展版期刊)2023年发表的有关个人信息的学术论文进行综述,以期提供个人信息保护研究的全景式概览和整体性分析。

2023年度法学CSSCI期刊个人信息保护研究概述

(一)期刊选取标准说明

近年来,法学学术期刊的评价标准、评价机制、评价机构呈现多元化和客观化的特点。一方面,南京大学中国社会科学研究评价中心发布的《中文社会科学引文索引来源期刊目录》、北京大学图书馆发布的《中文核心期刊要目总览》,中国社会科学评价研究院发布的《中国人文社会科学期刊AMI综合评价报告》等多元化的评价报告纷纷成熟。另一方面,这些目录收录期刊的标准从原先的专家的主观评价转向依靠下载量、转载量、引用量等影响因子的客观评价。[1]为便于统计梳理及全面分析,本报告选取了中文社会科学引文索引法学来源期刊(2023-2024版)即法学CSSCI来源期刊2023年发表的有关个人信息的学术论文进行综述。[2]

(二)论文选取标准说明

本报告的综述对象仅限于传统意义上的规范化的、程式化的学术论文,不包含书评、时评、短评、热评、会议综述、主持人语、栏目介绍语、卷首语等内容。

本报告的综述对象以“个人信息”为主线和主要选取标准,但又不仅仅局限于“个人信息”四个字眼,更多的是将“个人信息”作为论域。因此,《私密信息的范围界定与法律保护的完善》《政府数据开放背景下人脸识别法律规制研究》《“用户-平台”关系中告知同意规则修正的路径选择》《欧盟的规则,全球的标准?数据跨境流动监管的“逐顶竞争”》等论文虽然在题目中没有直接出现“个人信息”的字眼,但其论证的主题或涉及的制度依然与“个人信息”密切相关,依然为《个人信息保护法》所规定和涵摄,因此也在综述范围之内。此外,本报告坚守隐私、数据、信息的相对区分,因此对单纯讨论隐私权、数据权利、数据产权、数据保护等的文章没有纳入综述的对象之内。[3]

经人工查询、检索、筛选各期刊目录,法学CSSCI期刊涉及个人信息的论文共76篇,法学CSSCI扩展版期刊涉及个人信息的论文共41篇,合计共117篇。本综述参照《个人信息保护法》的篇章体例,并按照各篇文献研究主题之间的逻辑关系,分为基础原理篇、信息处理篇、跨境流通篇、权利保护篇、法律责任篇五篇进行分析、梳理和综述。

(三)论文数据简要分析

在27本法学CSSCI来源期刊中,《中国法学》《政治与法律》两家期刊基于选题偏好、刊物定位、来稿情况等原因没有发表关于个人信息的研究论文。此外,《财经法学》(设置了“财经法治热点:网络信息法治”专栏)和《法律适用》发表的关于个人信息的研究论文数量最多,各为7篇;《比较法研究》《法学》《行政法学研究》(设置了“个人信息保护”专栏)紧跟其后,2023年共发表关于个人信息的研究论文各6篇。

在17本法学CSSCI扩展版来源期刊中,《法治现代化研究》《甘肃政法大学学报》两家期刊基于选题偏好、刊物定位、来稿情况等原因没有发表关于个人信息的研究论文。此外,《中国政法大学学报》发表的关于个人信息的研究论文数量最多(设置了“数字、数据与信息保护专题”专栏),为9篇;《河北法学》《科技与法律》《中国应用法学》(设置了“个人信用信息法律规制研究”专栏)紧跟其后,2023年共发表关于个人信息的研究论文分别为6、6、4篇。

2023年度法学CSSCI期刊个人信息性质与保护的边界研究

《个人信息保护法》第一章“总则”重点回答“个人信息是什么”以及“个人信息保护是什么”两个问题。

(一)个人信息是什么

《民法典》未明确规定“个人信息权”,加之作为个人信息保护领域专门立法的《个人信息保护法》在具体法律规范中同时使用“权益”和“权利”的表述,使得关于个人信息权利(益)问题的争论在学术界和实务界争论不休,而且观点对立、针锋相对。

首先,关于个人信息权益的性质和内容。有学者认为“个人信息权益属于民事权益中的人格权益而非权益的集合,个人在个人信息处理活动中的权利属于个人信息权益的权能”。因此,其将个人信息的权能划分为基础性权能和工具性权能,前者包括“知情权与决定权”,后者包括“查阅权、复制权、可携带权、补充权、更正权、删除权、解释说明权等”。[4]但也有学者以“个人信息处理与否”为界限将个人信息权益区分为“绝对权”和“相对权”的二元构造。[5]还有学者则将个人信息权的内容性权利区分为“决定他人是否有处理权限的利用性权利、他人没有处理权限时的防御性权利和他人有合法权限时的权利”,以此将个人信息权利体系划分为“指向个人信息初次分配秩序的个人信息决定权和指向个人信息交换处理秩序的知情权、携带权”。[6]与前述观点均不相同,有学者认为,如果在明确共同的最高法即《宪法》的基础上,《个人信息保护法》公私交融并进的权利救济制度能够畅通无阻,“‘个人信息保护’在民法上到底是权利还是利益,就并不必须做出清晰决然的界定”。[7]

此外,也有学者从法律实证的角度将《个人信息保护法》第四章所确立的多项个人信息保护权归属为“强化治理体系结构中的机制内涵”,而非“基础法益”,因而将其归入(人格权)请求权的范畴。[8]于是,便有学者从“人格尊严和人的自主性、权利与权益区分的三重标准和信息的权利客体属性”以及司法实践的经验总结等要点出发将个人信息权证成为(新兴)人格权,从而最终建议明确“个人信息权的具体人格权地位”。[9]与将个人信息权归属为民事权利不同,还有学者将个人信息权定位为“新兴(型)人权”,以“使我们更深刻认识到科技新时代可能带给我们的难以预料的危险和风险”。[10]

当然,除了个人信息权益本身的独特内容,对个人信息权益是否包含经济利益即财产价值以及如何实现其经济利益或财产价值的讨论也属于争论的热点。有学者认为,“个人信息权益保护的核心利益是精神利益,但也可以许可他人对其个人信息进行商业化利用而获得相应的经济利益。”[11]也有学者认为,“个人信息在数字经济背景下不仅关涉个人人格,而且天然内含财产价值”,因此,需要“借助对基于意志自由的权利关系结构的解剖,将宪法上以知情权和决定权为核心的基本权利穿透拆分为私法上不同信息利用场景下四种具体的行权模式”来实现个人信息财产价值的外化。[12]还有学者认为,要在数据流通的语境下来理解个人信息的财产利益,并且尝试“从个人信息保护的后端”找到其实现的突破口。也就是说,“同意撤回权、删除权、可携带权等后端权能蕴含着二次协商功能和财产兑现功能,可为自然人参与数字红利分配、实现个人信息的财产利益提供新的路径。”[13]还有学者主张,也应当对“非物质性权益”和“预期利益”予以保护。[14]

此外,除了传统意义上从人格利益(精神利益)和财产利益(经济价值)出发的讨论,还有学者摒弃侵权保护的进路,建议将“安全作为个人信息保护的法益”。其认为,“违法处理的直接后果是使权利被侵害的风险升高,其侵犯的利益是安全”,《个人信息保护法》设置的一系列规范的目的“并非弥补损失,而是保护和恢复安全法益”。[15]与此相对应,安全就是防范、预防、降低风险,因此便产生了个人信息保护的另一种新理念和新方法,即“基于风险的个人信息保护”。这种分析进路和保障路径优劣并存,在宏观层面,“它有利于强调国家有义务为个体的自我发展创造结构性的环境,并适度关注一些集体层面的法益和损害”;在微观层面,“它有利于指导抽象的法律原则根据具体场景中的风险水平而合比例地适用”。也有学者以此为根据提出了“风险合规”的概念以帮助侵犯公民个人信息罪的认定与出罪的判断。[16]但与此同时,该方法也面临“风险预防缺乏焦点”“风险评价无法客观量化”“风险的功利考量与权利的道德边界需要协调”等挑战。[17]为了更好地推动风险预防原则在我国《个人信息保护法》中的适用与展开,有学者建议应当“确立风险预防的基本原则地位及配套规则”“完善预防性监管措施”“优化风险预防的司法因应”,从而“构建更加完善的个人信息保护法律制度体系”。[18]

其次,关于个人信息权(益)的外延和界分。有学者认为,个人信息权与传统人格权适用混乱的根源是“学界误认为二者的并存可通过权利竞合予以解决,忽视了数字社会是适用个人信息权的必要前提,也未能意识到个人信息权的核心问题与制度关怀。”因此,其主张“个人信息作为权利客体的本质特征是算法识别,由此决定了个人信息权的法律属性及其规则内容的特殊性”,这应该成为区分个人信息权与传统人格权的实质要素。[19]有学者则认为“个人信息权具备民事权利体系中绝对权的性质,与隐私权有清晰的界限”。[20]此外,还有学者在澄清中国法上的隐私权概念的基础上,从权利性质、权利范围、权利特征、权利目的、保护目的、保护场合、保护手段、保护强度、保护方式、保护规则适用等方面进行了梳理、分析、对比、反思、论证,进一步明确了隐私权和个人信息权益的关系。[21]

(二)个人信息保护的边界

首先,关于个人信息保护的理念有学者主张“确立个人信息保护权利基础的二元结构”,“明确个人信息基本权积极面向的主观权利属性”,从而“适度延伸个人信息基本权的效力范围”。[22]如此一来,随着公法上“主观公权利”的引入,有助于“完善权利体系”“保障公法救济”“提升执法动力”“平衡复杂利益”,既可以明确“公法介入与私法自治”的边界,也可避免法律条文竞合“可能导致的公法介入泛化问题”。[23]

其次,关于个人信息保护的体系。要真正实现对个人信息的有效保护,必须建立个人信息保护的体系,既包括个人信息保护的法律体系、制度体系,也包括个人信息保护的组织体系、机构体系。对于个人信息保护的法律体系,有学者“以对信息的界定与分类为前提”,尝试通过“对信息敏感层级的划分”,构建“民、行、刑三方为主导”的多元的法律保护体系。[24]对于个人信息保护的组织体系,有学者在分析“公民人格权益组织保障者”“企业自我规制规制者”“公权力机关信息处理监督者”三大现行组织在履行功能时分别面临的“权利保障形式监管缺位与实质目标异化”“企业协同治理角色缺失”“监管者自我监管客观性”三大缺陷,提出由“‘属地管理’为核心的综合行政执法机构”,“个人信息保护咨询机构”以及“专门监督国家机关处理个人信息的独立机构”组成的混合分散式的工作机制。[25]

2023年度法学CSSCI期刊个人信息保护研究“信息处理篇”综述

学界对《个人信息保护法》第二章“个人信息处理规则”的研究主要集中在以下方面。

(一)一般个人信息的处理

首先,个人信息处理的合法性基础(第13条)。《个人信息保护法》第13条构建了7项平行的合法性基础,但由于历史原因,“同意”这一项合法性基础更为监管机关、公众等所熟知,其他的合法性基础由于暂时没有细化指引而缺乏指导。有学者对《个人信息保护法》第13条第1款进行了评注,将个人信息处理的合法性基础区分为“自主决定型合法性基础”“引致条款型合法性基础”和“法益权衡型合法性基础”,并以此为基础划定“信息主体同意”“履行合同必需规则”“订立合同必需规则”“法定职责必需规则”“法定义务必需规则”“正当利益规则”等不同合法性基础的适用范围和主要场景,从而将“信息自决的价值理念落到实处”。[26]

在所有的个人信息处理合法性基础中,“合同所必需”规则的讨论是最为热切的。有学者专门为该项撰写了评注,其认为:“就‘合同’的适用应限定于民事合同关系”;“‘订立与履行中’可解释为从先合同义务中的‘合同准备’到合同履行完毕这一全过程”;“主体要件以及对‘必需’的判定应当作目的论限缩”;等等。此外,该学者还主张“必要时可引入‘场景理论’模型开展续造工作”。[27]也有学者通过分析“欧盟‘合同所必需’规则的适用前提、适用标准、适用条件”,提出在适用该项合法性基础事由时必须明确“合同依法成立并生效”这一独特前提。此外,还应当确立相应的“关联性”“必需性”“透明度”等标准。[28]为了“妥当协调合同自由与人之尊严的紧张关系”,有学者主张对个人信息处理中履行合同必需规则进行限制适用,即“只有为履行合同义务的处理行为纯粹服务于信息主体的合同利益,并符合目的关联性和对个人权益影响最小等标准,才能适用履行合同必需规则”。[29]

此外,传媒为公共利益,合理处理个人信息构成个人信息处理活动的合法性基础及民事侵权的免责事由。因此有学者针对第五项合法性基础即“公共利益”在传媒领域中的判定进行了深入分析,“在涵盖新闻报道和舆论监督的传媒活动中,单纯的信息流动和公众兴趣不属于公共利益的范畴”。根据传媒活动中个人信息服务于公共利益的具体方式,应当“将公共利益区分为针对特定身份的公共利益”和“针对公共事件的公共利益”。当公共利益和个人利益发生冲突时,“传媒处理个人信息需要满足合理性要件的要求,确保其促进的公共利益与减损的个人利益成比例。”[30]

同时,对于第六项个人信息处理的合法性基础,由于“个人自行公开与被他人合法公开”的区别的客观存在,有学者主张应当对其分开讨论,对于个人自行公开的,意味着向不特定人作出了同意处理的意思表示。因此“应从客观的信息处理者角度,对同意有效性及其具体内容作出解释。”也即,“事先拒绝应当理解为明确框定同意的范围,是否有效依意思表示解释规则为断;事后拒绝权不能被理解为任意撤回权;后续处理处于同意范围内的,信息主体无事后拒绝权。”而他人合法公开个人信息,“意味着该信息处理行为属于合理使用情形;若后续处理行为因目的兼容而与他人合法公开属于同一类型的合理使用,则信息主体无权拒绝。”[31]

但是,个人信息处理的合法性基础条款在事实上“深陷传统财产规则的桎梏”,过分强调个人对信息的控制,而忽视了个人信息的流通与利用。因此,有学者主张“引入优位利益豁免规则,赋予信息控制者在经过利益识别,认定信息处理所保护之利益优于信息主体利益后,无需经过信息主体同意直接处理个人信息的权利,进而在知情同意规则之外对个人信息处理行为的合法性基础进行补充,平衡对信息主体的过度保护。”与此同时,该学者也主张需要“建立严格的优位利益识别机制”“强化信息控制者义务”“疏通信息主体的救济途径”并“加强政府监管”,以防规则滥用。[32]

其次,个人信息保护中的同意规则的适用(第14条和15条)。有学者认为,个人信息主体的同意具有双重法律性质,其既“属于准法律行为,在例外情况下也具有意思表示属性”,基于此,二者便具有不同的功能。其中,“具有意思表示属性的同意则同时受到法律行为规则与个人信息保护规则的双重规范。”[33]但是,还有学者认为“知情同意”是私法自治的具象,其法律性质为“合同”。相应地,其主张应当从“明确知情同意的成立和生效要件”“厘清知情同意的效力瑕疵及处理方式”“具化同意的方式”以及“缓和数据保护与流通之间的法律价值冲突”等方面来完善作为法律行为的知情同意。[34]

而在“用户-平台”的不平等信息关系中,告知同意难以发挥应有的规则实效。因此,有学者从弱势者赋权、强势者限权和强势者问责三条进路尝试“合同改良方案”“数据信托方案”和“规制问责方案”来对告知同意规则进行修正。[35]还有学者认为,不平等关系固然存在,但应当在结构层次上审视告知同意规则。实际上,个人信息保护中的告知同意呈现开放结构,“包含复次的告知同意阶段,呈现多元的主体交互关系,强调行为授权的程序价值”,从而为公法介入告知同意提供了基础。其主张要“按照政府规制、元规制和自我规制各自规制优势确立公法介入的形式和程度”,从而建构“个人信息保护中告知同意的多元合作规制体系”。[36]当然,《个人信息保护法》第15条还规定了同意的撤回。有学者就以合同关系为背景分析了撤回同意权会对“合同的拘束力和履行构成冲击”,因此其主张要将撤回权的适用范围“主要限定在消费者合同和劳动合同情形”。[37]

此外,还有学者考量了未成年人的同意能力,认为“应突破年龄标准的局限性,结合个人信息类型、处理目的及处理方式等因素综合判定”。其得出的结论是“8周岁至14周岁之间的未成年人接受符合其认知的在线学习、网络社交、在线影音等基本功能服务,个人信息处理者以非共享方式处理满足最小化原则的非敏感个人信息时,不满14周岁的未成年人可独立同意;在个性化服务场景以及未成年人敏感个人信息处理场景下,即使已满14周岁的未成年人仍不具备相应的同意能力。”[38]

再次,个人信息的自动化决策处理(第24条)。《个人信息保护法》第24条共3款,分别规定了个人信息处理者自动化决策的义务、自动化决策方式直接营销的要求、信息主体的要求说明权和拒绝权等内容。有学者以第2款规定的自动化决策方式直接营销的调整规则为主题,分析了该款的独特性亦即“‘个人的同意’不再构成自动化决策方式直接营销的法律基础”,并将其与“不针对其个人特征的选项”的选择权进行了对照。[39]

又次,公共场所下对个人信息的采集(第26条)。有学者认为,在“不涉及高度个人隐私的公共场所配置视频监控设备”伴生着“收集个人信息泛化”的风险,因此需要“综合考量公共场所视频监控设备所涉及的主体、客体、行为目的三方面要素”,从“加强行政监管”、“明确视频监控设备配置”和“收集范围”等方面对个人信息的公共采集进行补强规制。[40]

最后,已公开个人信息的处理(第27条)。有学者分析了《个人信息保护法》第27条的法理基础和适用规则,该条一方面可以“推定信息主体同意信息处理者处理公开的个人信息,建构起了基于知情同意的默认规则”,另一方面“赋予信息主体对默认规则的‘明确’拒绝权”,二者共同构筑起了“处理公开个人信息默认规则的完整架构”。[41]但是,有学者认为现有关于公开个人信息处理的规则过于宽泛,应当对已公开个人信息的合理使用范围进行限缩解释。其主张“合理使用的判断标准应由‘已公开标准’到‘分离性标准’”,也就是要以“二阶判断”方式确定“处理行为对原权益人的利益关联效果”,从而为“合理使用边界的诠释提供逻辑基础和规范模式”。[42]

(二)私密信息及敏感个人信息的处理

《民法典》第1032条第2款规定,“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。”普遍认为,隐私与个人信息的交叉点就在于私密信息。第1034条第2款,“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”《个人信息保护法》第28条规定,“敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。”因此,学界关于本部分的研究则围绕上述法条及其衔接适用展开。

首先,私密信息的概念。有学者认为,私密信息是“隐私和个人信息二分的产物”,生成于“高度信赖的具体亲密环境”,“是反映‘自我描述’不受妨碍的自主意愿的个人信息”,与“生成于社会交流、描述‘他我’的无涉隐私的个人信息”相区别。[43]有学者认为私密信息既是“个人信息的一种”,同时“又是隐私之一种”。[44]

其次,私密信息的范围。有学者依据私密信息的识别性和隐私性属性,结合场景理论,将私密信息的范围界定为“财产信息”“医疗健康信息”“生物识别信息”和“私人生活信息”四种。[45]

再次,私密信息的保护。有学者认为“违法处理私密信息同时触犯隐私规则与个人信息保护规则,引发侵权和行政双重责任。”因此,需要以“个人信息保护与侵权规则共同建构起贯穿私密信息处理全周期的保护体系”。[46]有学者认为应当通过“厘清《民法典》与《个人信息保护法》在私密信息保护的关系定位与法律适用”、“构建私密信息分类保护制度”和“完善私密信息法律保护制度的基本路径”来完善私密信息法律保护体系。[47]还有学者认为,“《民法典》第1034条第3款确立的私密信息隐私权保护优先规则导致私密信息应有的合理使用空间被不当限缩”,因此“有必要引入《个人信息保护法》中的个人信息合理使用规则”。该学者将在私密信息划分为非敏感私密信息和敏感私密信息,并对其合理使用的规则适用分别进行了探讨。[48]有学者与其持相同观点,认为私密信息隐私权保护路径致使“信息性质不确定性强”“事后控制为主”“风险扑朔”等特点而碍于商业创新,因此主张按照个人信息保护的路径来保护私密信息。[49]还有学者认为应当“借鉴德国隐私保护中的领域理论以及比例原则的四阶分析方法,将私密信息分置于人格领域的私密领域、隐私领域及个人领域,并结合比例原则的目的正当性、手段合目的性、最小限制原则以及成效与付出之间的关系等,来判断具体场景下不同私密信息之使用是否合理,从而在保护公共利益与尊重和保护私密信息背后的人格尊严之间实现必要的平衡。”[50]

此外,学者们还对敏感个人信息进行了研究,但由于整体体例的安排,将场景化的特殊种类的敏感个人信息保护置于后文讨论,此处仅对涉及“敏感个人信息”的宏观性、整体性文献进行综述。有学者认为,“《个人信息保护法》对敏感个人信息的界定尚不能涵盖所有损害风险来源”,因此应当“在第28条第1款的基础上辅以场景化路径界定敏感个人信息”,具体以“个人信息是否揭示或关联敏感内容”和“受损害主体是否包括其他关联利益人”为客观考虑因素。[51]

(三)国家机关的个人信息处理

《个人信息保护法》第二章“个人信息处理规则”的第三节“国家机关处理个人信息的特别规定”涉及“适用范围”“依法依职责处理”“告知”“境内存储”“其他组织适用”等等。本年度学界对国家机关个人信息处理的研究共4篇文献。

首先,数字政府建设中的个人信息的处理与保护。有学者认为,我国现行《个人信息保护法》采取的公私部门一体调整的宣示性立法模式“既无法为公共部门个人信息保护提供足够的规则指引”,也“未充分满足数字政府建设的需要”。因此,其在既考虑“公共部门相对私人部门在个人信息处理活动中的特殊性”,又兼顾“数字政府在技术和治理这两个层面的革新”的基础上,运用“风险规制模式”尝试对个人信息权利的风险化解释与调适,亦即对“风险管理、风险交流和风险评价等风险规制机制的灵活运用”以及“合作治理、独立规制机构、技术治理、回应治理、试验规制和软法之治”等风险规制策略进行探寻和思索。[52]

其次,国家机关传输个人信息的治理。有学者认为,相较于一般的个人信息传输行为,国家机关针对个人信息的传输呈现出“一体化和点状式两种实践形态”。为了应对“一体化形态”的叠加风险与“点状式形态”的特殊风险,该学者主张应当“基于类型化视角对国家机关间个人信息传输行为进行适法性调适,以法律保留原则对传输行为区分不同的规范强度,根据程序正当原则对传输行为形成梯度性约束,并按照均衡性原则对传输行为进行差异化调控”。[53]

此外,也有学者通过阐述政务数据共享与政务数据开放的区别、政务数据共享的发展状况与特色做法后,分析政务数据共享中的个人信息所面临的风险,从而建议通过“制定政务数据共享法”和“避免建立大型中央数据库”等措施来实现对政务数据共享中的个人信息的保护。[54]

最后,行政机关针对人脸信息的处理与保护。有学者认为,行政机关在采集人脸信息的过程中呈现出“采集的主体纵横多元”“目的不断扩张”“程序压缩简化”等特点,从而形成“多重行政法治悖论”,造成“工具理性和价值理性的失衡”。因此,其主张应当“以最小必要原则为整体牵引,确立授权依据以限制采集目的、动态适用知情同意规则以保障相对人数字权益、改进行政程序规则以落实相对人数字参与权,同时构建相匹配的责任和救济机制,以实现采集活动的规范化。”[55]

2023年度法学CSSCI期刊个人信息保护研究“跨境流通篇”综述

《个人信息保护法》第三章规定了“个人信息跨境提供的规则”,学界对个人跨境流通的研究主要集中在以下几个方面。

(一)个人信息跨境提供的规制原理研究

在常态化的跨境数据流动规制当中,主要存在基于国际贸易衍生的“绝对自由主义”和基于限制程度的“严格本地化限制”两种基本模式。但是,这两种基本模式被逆全球化、强区域化的趋势和浪潮所席卷,并孕育了“立体化的‘共同体’间自由流动与‘共同体’外限制流动相结合”的新模式。对此,有学者主张一方面通过完善国内立法来“鼓励发展分级分类分区域的跨境数据流动监管体系”,另一方面基于对等原则“协同发展‘点对点’与‘点对面’的数据双/多边互信机制”,以有效应对与防范“来自域外的恶意数据管辖”,达成“战略的缓冲与国际话语权的双掌握”,同时实现我国“由国际数据治理参与者向规则制定者的转变”。[56]

有学者运用形式模型解析了跨境数据流动规则的“跨境数据流动治理具有国际关系学科属性”和“跨境数据流动产生的国际关系过程和模式呈现博弈特征”两个理论逻辑。紧接着,其运用围猎博弈模型缕析出我国跨境数据流动规则的“例外条款规则体系呈碎片化,平衡分歧的制度功能受限”和“本地化政策使数据流动受阻,难以平衡数据安全与开放”两个不足,进而论证了我国构建数据模型指导规则完善的现实必要性,并运用围猎博弈模型尤其是“三段式”数据模型对我国跨境数据流动规则进行宏观走向和微观路径的体系重塑。其拟定的具体重塑路径方面分三个阶段进行,在T1至T2阶段,“选择例外条款范式,输出制度话语权”;在T2至T3阶段,“重塑本地化模式,融入全球化进程”;在T3阶段往后,“积极参与国际规制协作并逐步形成中国方案”。其中,前两个阶段亦即T1至T3阶段主要是通过“提高规则间适配性以形成协调的内部体系”。[57]

(二)个人信息跨境提供的典型范例研究

从现有的研究文献来看,不管是基于欧盟较早颁布的立法,亦或欧盟与其他国家(主要是与中国和美国)的数据流动治理机制,对于个人信息跨境提供的典型范例研究全部以欧盟为中心。

有学者回顾了欧盟数据跨境流动规制的改革历程,总结了欧盟“立法挫伤数字服务企业在欧公平竞争”和“司法机关的严苛审查”的争议,分析了欧盟数据监管立法的市场规制转向,即“平衡内、外市场竞争规则”“打击数字市场上的不公平竞争行为”“强化平台企业责任”三大方面的转向,从而在与我国数据跨境流动基本立法进行对比,提出了我国未来立法可考虑三个方向,即“数据立法的统一和融合、数字服务贸易立法或在已有的外商投资法和《对外贸易法》中加入数据处理相关的内容,或数字服务贸易单独立法”。[58]还有的学者从欧盟向全球输出数据监管模式的政策动机入手,分析其“从附带性输出到战略性输出”的外部动机和“公平贸易和基本权利”的内部动机。欧盟数据跨境流动监管表现为两类法律输出途径,一是“以充分性认定和标准合同条款为典型的数据规则的显性输出”,二是“以欧洲法院司法审查为代表数据标准的隐性输出”。欧盟数据监管模式的全球输出是数据监管全球趋同的范例,该学者通过“传统法律移植”“私人法律移植”“规范性力量”和“布鲁塞尔效应”四个角度进行了多元理论解释。面对欧盟强监管模式所面临的局限性,该学者主张“我国应对数据市场松化监管,坚持自由市场和合同自由原则,为数字产品和服务的典型合同设置任意性规范,为数字产品和服务提供替代市场”。[59]

中国与欧盟作为全球两大主要数字经济体在跨境数据流动的理念、制度和措施上存在差异,因而处于“非合作博弈状态”,可能陷入跨境数据流动的“囚徒困境”。所以有学者建议在“权衡双方潜在损益,达成合作协议”的基础上从“非合作博弈”转向“合作博弈”,同时这种转向还存在“双边数据互信机制未构建”“双方数据对话机制不健全”“多边数据协调机制待观察”的现状。因此,在数据安全合作方面,需要“协同数据安全评估标准”“协调补充措施实施标准”“协商确立对等管辖权”“协商订立司法互助协议”。此外,在数字经济合作方面,双方还应该通过“互补经济优势”“规范竞争秩序”“提升对话机制”三个方面努力。[60]也有学者在分析美欧数据跨境流动的博弈过程从而主张我国“应当关注欧盟数据跨境流动规制中的技术主权战略意图,避免陷入被动合规陷阱”,并“构建独立自主的数据跨境流动战略”。[61]

(三)个人信息跨境提供的协定因应研究

在经济全球化的浪潮中,形成了两套比较典型的国际贸易规则,即WTO规则和WTO规则后的一系列贸易协定,这些国际贸易规则对个人信息的跨境提供发挥着不同程度的影响,需要我国有针对性的进行因应和反馈。

有学者认为“通过WTO协定尚难以判定各国数据跨境流动措施是否合规”,因此主张通过《全面与进步跨太平洋伙伴关系协定》《区域全面经济伙伴关系协定》《美墨加协定》和《数字经济伙伴关系协定》等晚近经贸协定来思考个人信息跨境提供的合规问题。这一系列的协定对“数据监管的基本态度”、“数据跨境流动的具体规则要求”、“正当公共政策目标例外”三方面进行了规制。因此在“多元化”和“高标准”的发展趋势当中,我国应“强化数据监管主权,坚持与我国数字经济发展水平相符合的数据跨境流动规则标准,实现与经贸协定中例外条款的衔接”。[62]还有学者仅从其中一个协定即RCEP协定为基准,分析我国数据跨境流动“规则理念过于保守”,同时在“数据储存本土化”和“出境安全评估”两大制度的解释和适用方面仍然存在与协定不一致的问题。因此建议我国应当以加入RCEP协定为契机,“塑造重视安全与促进流动的规则理念,对内统一相关法律概念与建立重要数据目录,对外拓宽数据合法出境与区域合作的渠道,推动数据跨境流动规则完善”,进而为数据跨境流动规制贡献中国方案。[63]

当然,也有学者持相反观点,其认为“以CPTPP、RCEP为代表的区域贸易协定在规制内容、特点及效果方面存在较大差异”,因此“WTO仍然是打造数字贸易多边规则的最佳平台”。该学者主张应当把握WTO改革的契机,妥善思考思考三方面问题:第一,“如何处理未来规则与现有规则之间的协同与发展关系,特别是与GATS的衔接和整合关系,以及与典型区域贸易协定的借鉴和继承关系”;第二,“如何处理制度创新与国家安全之间的平衡关系,国家安全与例外条款的合理解释与适用边界设在何处”;第三,“考虑到WTO改革的周期性和不确定性,如何利用好国家间对话、国际标准制定等软法路径”。[64]

2023年度法学CSSCI期刊个人信息保护研究“权利保护篇”综述

《个人信息保护法》第四章规定了“个人在个人信息处理活动中的权利”,相应的,第五章规定了“个人信息处理者的义务”。权利和义务是法学的核心范畴,信息主体的信息权利与个人信息处理者的义务自然也是《个人信息保护法》的核心。因此,学界对于权利的保护、义务的履行(其目的也是保护权利)的研究数量最多。

(一)个人在个人信息处理活动中的权利

《个人信息保护法》第四章“个人在个人信息处理活动中的权利”先后规定了“知情权”“决定权”“查阅权”“复制权”“转移权”“更正权”“补充权”“删除权”“解释说明权”“逝者权益”等等。本年度对于个人信息的研究文献主要涉及个人信息转移权和个人信息保护请求权。

首先,对于个人信息转移权的研究。欧盟《通用数据保护条例》第20条规定的个人信息可携带权(或曰“数据可携权”)主要包含两个层次:一是指信息主体有权接收其先前提供给信息控制者的个人信息;二是指信息主体有权将其个人信息迁移至其他信息控制者。易言之,个人信息可携带权包含个人信息接收权和个人信息转移权,后者则为我国《个人信息保护法》第45条第3款所规定。因此,有学者建议“对第45条第1、2款规定的复制权进行扩张解释,证立出可维护个人积极地位的个人信息接收权”,从而在我国《个人信息保护法》上构造完整的个人信息可携带权。此后,其对个人信息可携带权的权利主体、义务主体、权利客体、法律效果和行使条件等分别进行了阐释,并提出了“持续性携带模式”和“个人信息管理系统”等的制度体系建构建议。 [65]

但是,“个人信息可携权与其他权益的冲突阻碍了可携权的实施,《个人信息保护法》也没有规定个人信息可携权所涉之权益冲突的协调机制。”因此,有学者针对“个人信息可携权与原处理者权益的冲突”和“个人信息可携权与其他主体权益的冲突”这两种个人信息可携权利益冲突的两种形式分别提出了解决方案。[66]

与上述研究场景不同的是,还有学者对个人信息可携带权在国家机关间的行使进行了研究。该学者认为,“国家机关间行使的个人信息可携带权是一种公法权利,主要体现为要求国家机关作出具体行为的行政法上的请求权,其解释需要受其宪法规范的辐射效果。”相应地,需要从“权能要素”、“客体范围”和“技术标准”等维度来明确公法意义上的可携带权的权利内容,并通过“基于公共利益的限制”和“基于第三人保护的限制”来厘定其公法意义上的最终保障范围,从而“更好地发挥其促进数据流通、构建互联互通数字政府的积极作用”。[67]

其次,对于个人信息保护请求权的研究。《个人信息保护法》第50条规定了个人信息保护请求权的具体行使方式。作为一种程序性权利,个人信息保护请求权发挥着作为权利实现方式的作用。有学者对个人信息保护请求权的行使程序、受阻的起诉与受理以及与两类损害赔偿请求权的关系进行了研究。该学者认为,“个人就个人信息保护请求权提起诉讼的,应以个人信息处理者拒绝其行使权的请求为前提。”而人民法院应当对“个人信息处理者拒绝个人行使权利的正当性”的审查作为是否立案的主要考量因素,符合起诉条件的,“个人可以就维护权利的合理费用一并提出损害赔偿请求”。如果个人因个人信息被侵害受到人身、财产损害的,“可依据《个人信息保护法》第69条的规定直接提起诉讼,不以向个人信息处理者先行提出损害赔偿请求为前提”。[68]

(二)个人信息处理者的义务

《个人信息保护法》第五章主要规定“个人信息处理者的义务”。有学者专门对个人信息跨境提供中的企业合规进行了研究。其认为企业个人信息跨境提供的专项合规计划应当包括“前提条件”“目的条件”“内部条件”“外部条件”四大部分。从前提条件来看,“企业需要以可识别性、相关性等要素为基础有效甄别个人信息”;从目的条件来看,“企业须围绕‘因业务等需要’的目的限定原则确立个人信息跨境流动的必要范围”;从内部条件来看,“企业需从自然人处取得对其个人信息向境外提供的有效授权,遵循‘知情-同意’规则设置的各项标准”;从外部条件来看,“企业需结合自身类型等因素选择适用‘安全评估’‘个人信息保护认证’‘订立标准合同’等法定条件”。此外,其还建议“任命专门的个人信息保护负责人”来负责“个人信息跨境提供专项合规计划”的开展。[69]

有学者对个人信息安全事件的通知义务(第57条)进行了研究。其认为,个人信息安全通知义务的通知情形是“发生安全事件的‘个人信息’可能影响信息主体实际权益”,通知内容“应当对通知监管机构和信息主体的内容作出区别规定”。基于此,信息处理者向信息主体履行通知义务的理论基础是“侵权责任和合同附随义务产生的私法责任”,向监管机构履行通知义务的理论基础是“公法要求”。同时,如果个人信息处理者“对个人信息采用加密等技术手段”,就可以“不向信息主体履行通知义务”。但是,“当发生安全事件的个人信息达到一定规模体量”时就必须要通知监管机构。最后,不履行通知义务的法律责任“更宜适用作为特别法的《个人信息保护法》的法律责任规定”,因此需要“限缩私法层面的赔偿责任,强调公法层面的处罚责任”。[70]

还有学者针对重要个人信息处理者的特殊义务(第58条)进行了研究。其首先对重要个人信息处理者的认定原则、认定条件、认定程序进行了阐释,紧接着指出重要个人信息处理者的社会风险、“透明度”风险、“权力”滥用风险。由此提出“建立双层个人信息安全治理结构”“明确重要个人信息处理机构的‘权力’边界”“重要个人信息处理机构公司治理机构的特别设计”以及“信息披露制度的设计”来加强对重要个人信息处理者的特殊监管。[71]

(三)敏感个人信息保护

我国《个人信息保护法》第28条第1款规定了敏感个人信息的定义,并采用列举的方式将属于敏感个人信息范围的生物识别信息、宗教信仰信息、特定身份信息、医疗健康信息、金融账户信息、行踪轨迹信息、(不满十四周岁)未成年人信息等列举出来。本年度学界关于敏感个人信息保护的研究则以上述列举的6类展开。

首先,生物识别信息保护研究。常见的生物识别信息包括指纹、脸象、虹膜、笔迹、声音、步态、基因等。对于生物识别信息的认定,有学者在元宇宙这一宏大场景下对生物识别信息进行了概念重构,其认为“应当破除目前学界认为个人生物识别信息具有‘唯一性’的固有观念,明确个人生物识别信息包括可识别与已识别两种模式,从而将元宇宙收集的生物信息纳入个人生物识别信息的范畴之中”。[72]对于生物识别信息的保护,有学者建议“应当嵌入场景理论以细化规则,从场景划分、‘技术嵌入’、程序规则三个层次梳理嵌入逻辑,并通过场景化‘信息自决权’、信息处理者义务、侵权救济等规则,补正个人信息保护路径中具体规则之阙谬,实现个体控制价值与商业流动价值间的平衡。”[73]还有学者针对单种的生物识别信息的保护开展了研究。有学者认为,针对消费性基因检测中存在的“处理质量堪忧”“身份识别能力较强”“同意作用虚化”等问题分别针对性地提出“完善基因信息处理的相关科学标准”“适度提高基因信息匿名化的认定标准”“实行严格的单独同意”等措施来解决。[74]

更多的学者则对人脸识别信息的保护进行了研究。有学者分析人脸信息的法律属性,并对“人脸信息处理的行政、刑事、民事法律规范中的问题进行了分析探讨”。为了应对当前人脸信息“行政法规范不统一”、“民事同意原则失灵”以及“刑事入罪标准过高”的现实情况,该学者提出了“行政、民事、刑事法律保护完善的建议”,并主张“严格落实人脸信息处理备案制度”、“加强人脸信息的数据保护影响评估”以及“推动人脸信息公益诉讼”等配套制度。[74]还有学者建议“我国应在系统总结现有立法、执法和司法经验的基础上,树立尊重数字人权、适当限制公权、注重利益平衡的理念,构建人脸识别信息保护的实体性规范、优化人脸识别信息保护的程序性设计,以《个人信息保护法》等法律法规为依据,由国家网信部门统筹协调有关部门,围绕人脸识别的收集、存储、使用、加工、传输、提供、公开、删除等行为制定《人脸识别信息保护规范》。”[75]还有学者则在政府数据开放的背景下思考人脸识别信息的保护,其主张“明示人脸识别应用的监管主体”“构建人脸识别应用行政许可制度”“完善个人信息保护公益诉讼制度”“推动人脸识别行业相关立法”等对策来应对人脸识别行业的隐私安全、信息安全和数据安全风险。[76]

其次,医疗健康信息保护研究。有学者认为,阻碍可穿戴设备中个人健康信息保护的用户同意的因素包括“未区分不同类型的信息设置不同级别的保护”、“同意异化为规避法律风险的工具”和“同意的边界不清”,因此需要相应地建立针对敏感信息(强保护模式)、一般信息(弱保护模式)、公开信息(次弱保护模式)为对象的“分级同意模式”为核心的以“风险预防”为导向的“静态保护”和面向面向“健康管理”“运动指导”“线上问诊”“医学研究”和“公共卫生监测”五大场景的以“过程化同意”为核心的“信息生命周期视角”下的“动态保护”的双层保护路径。此外,其还认为在“紧急情况下为保护自然人的生命健康所必需”和“为应对突发公共卫生事件情形下的信息二次利用”两种情形下可以对穿戴设备中个人健康信息进行强制处理。[77]为促进个人健康信息的合理使用,有学者引入了“设计保护”的理念和进路来弥合个人健康信息合理使用中的冲突。其从伦理、法律、技术三个维度对个人健康信息的合理使用进行了“设计”,并明确了“为公共利益的合理使用”“为集体利益的合理使用”“为个人利益的合理使用”“公开个人健康信息的合理使用”四种情形下的“设计”侧重。[78]

再次,金融账户信息研究。金融账户信息与个人金融信息并不完全等同,《个人信息保护法》仅将金融账户作为敏感信息,而个人金融信息则需要另当别论。不过,许多学者以个人金融信息为出发点,研究个人金融信息的保护进路,有学者建议在宏观层面“制定《个人金融信息保护法》,明确个人金融信息的有关基础概念、范围、原则、监管机构以及分类标准”,在微观层面“制定不同金融场景内的具体部门规章,完善个人金融信息全生命周期不同环节的具体规则设计”。[79]其余的学者则主要针对个人金融信息当中的信用信息保护进行了研究。为了应对《社会信用体系建设法(征求意见稿)》所设置的“公共信用信息系统”和“征信系统”的分类处理逻辑,有学者审视了“个人信用信息法律制度的结构”,并将“征信信息”理解为“网络化”的个人信用信息,将“公共信用信息”理解为“网格化”的个人信用信息,从而赋予其不同的合规要求。[80]

还有学者运用了语义分析法对征信中“信”的概念进行了阐释,从而对个人征信信息的具体范围和基本属性进行明确。为了应对个人征信信息规制中存在的“立法位阶低”“行业标准缺失”“信息质量较低”“个人信息保护不足”“信息融合共享不足”等问题,该学者从“完善立法”“制定行业标准”“推进机构信息治理机制构建”“促进信息共享”等方面提出了个人征信信息的法律规制路径。[82]此外,还有学者建议“对个人信用信息进行分类分级治理”“制定法律法规推动公共征信机构与市场化征信机构数据传递”“推出征信授权文件标准化范本”和“完善信息主体的权利救济机制”等策略来应对我国个人征信业面临“采集边界不清”“采集处理困难”“救济机制欠缺”的法律困境。[83]

最后,行踪轨迹信息保护研究。有学者从正面的“时间关联”“物理空间”“直接识别性”核心要素入手,结合反面的“排除技术要素”来“明确行踪轨迹信息的保护边界”。为了避免行踪轨迹信息在“优先适用隐私权的立法逻辑产生的法律适用冲突”,就有必要依据“信息处理者与信息主体之间是否存有结构对称关系”对《民法典》第1034条第3款的适用范围进行“限缩解释”,从而实现“隐私权与个人信息权益的融合贯通”。[84]

(四)特殊场景的个人信息保护

在数字经济时代,由数字技术引发的一系列生活方式的变革致使将个人的生活方式切割为不同的生活场景,不同的生活场景发生着不同的个人信息处理行为,因而不用场景下的个人信息保护有着不同的侧重。

首先,搜索引擎处理中的个人信息保护研究。有学者分析了目前“市场约束范式”“技术修复范式”“机构监管范式”三种不同模式因为与搜索引擎的“市场结构”“技术逻辑”和“监管制度”难以契合而效果不彰。因此,其主张“建构由搜索引擎运营商和行业协会推动的自律机制”、“由政府机构主导的他律机制”,最终形成“多元化、主体化与技术化、规范化有机结合”的治理体系。[85]

其次,区块链智能合约中个人信息保护研究。有学者认为,区块链智能合约的“自动性”“去中心化”“匿名性”和“不可撤销性”的特点致使“信息安全监管难度增大”“个人信息难以被控制和被更正”“用户隐私安全受到严重威胁”三大困境。因此,其主张通过“明确区块链智能合约中个人信息安全保护的技术标准”“构建多元化个人信息安全监管模式”“完善私钥保护法律制度”“建立个人信息有效更改机制”“增加预先承诺监管制度”等措施来完善区块链智能合约中个人信息安全的法律保护。[86]

再次,疫情防控常态化中个人信息保护研究。疫情防控是个人信息保护与公共利益冲突与平衡的典型领域,有学者在厘定公共利益与公民个人信息权益的涵义的基础上,确定了“公共利益优位”的前提,同时基于“比例原则”、“目的正当原则”和“安全保障原则”,提出了应对“收集主体多元”“披露主体不一”“披露标准阙如”“删除规则缺位”等问题的“完善立法裁决程序,明确法律适用依据”“建立公共利益的代表机构并实行数据共享”“统一规范确诊人员轨迹信息公布模板”“规定统一指导下的分级分类保护制度的具体细则”“明确信息被删除的具体程序,建立分类别的周期删除制度”“完善个人信息受侵犯的救济途径,引入行政公益诉讼制度”的对策建议和优化策略。[87]

又次,雇佣关系中的个人信息保护研究。为了矫正雇员个人信息保护失衡状态,有学者建议引入“比例原则”对“雇员个人信息权益所受损害”“雇主手段成本”“雇主经济利益”与“社会公共利益”四项分析要素进行分析,同时构建以正当性、适当性、必要性与均衡性为核心的审查程序和审查标准。在具体的适用上,该学者建议“借助比例原则检讨《个人信息保护法》第13条第1款第2项‘人力资源管理所必需’之合法性基础,并在职场监控等案件中强化劳雇双方利益衡量”。[88]

从次,生成式人工智能应用的个人信息保护研究。有学者认为生成式人工智能的技术跃进“架空了个人信息处理的告知同意规则”“虚置了个人信息处理的最小必要原则”“引发了虚假信息的生成和累积”“增加了个人信息泄漏频发的风险”等问题。因此其尝试通过以风险控制为导向的个人信息保护机制来为“灵活和实用地平衡生成式人工智能应用中的信息利用和风险控制”提高有效的解决方案。其主张,在风险控制理念下,“对告知同意规则和最小必要原则进行风险化解释与调试,并建立从预防到识别再到控制的虚假信息生成风险的全过程应对机制,以及基于风险的个人信息保护合规管理体系”生成式人工智能给个人信息保护带来的极大挑战。[89]

最后,还有学者以平台为视角对个人信息保护责任边界进行了研究。其首先分析了平台个人信息保护的主体定位,紧接着梳理了我国互联网平台个人信息保护的“私法视角的互联网平台责任界定”、“平台保护个人信息的刑法规范体系”以及“司法能动下的个人信息公益诉讼制度”的三大现有机制,从而提出了“主体权益救济”“企业内部合规”“第三方介入保护”的三大实现路径。此外,该学者该主张通过“细化相关规范”、“厘清责任边界”等来完善互联网平台的个人信息保护责任。[90]

(五)个人信息的部门法保护与衔接

首先,个人信息的民法保护与衔接。与前述研究隐私权与个人信息权的异同不同,有学者从法理的角度分析了“隐私权保护与个人信息保护的根本区别在于前者所保护的关系具有人际关系的特征,而后者所保护的是具有人机关系特征的信息处理关系”。此外,二者立法在“制度框架”“适用前提”“保护群体”“权利性质”等方面均不同,因此,在对二者关系厘清的基础上,应当“采用制度视角,将《民法典》中的个人信息条款与《个人信息保护法》视为同一制度模块”。此外,“在个人信息保护中适用人格权、合同、侵权等制度时也应采取公私法融合的多维视角,结合具体治理目标选择制度工具”。[91]还有学者则创造性地将民法领域的人格权禁令引入个人信息保护领域,其认为“个人信息权禁令是绝对权请求权的一种特殊实现程序,包括拒绝权禁令、异议更正权禁令、删除权禁令、被遗忘权禁令等内容”。因为作为争讼性非讼案件程序的个人信息权禁令程序在“程序主体”“证据规则”“审理程序”“裁定效力”“程序保障”与“救济方式”上与普通民事诉讼程序存在较大的差异,因此需结合其独特性质和价值追求“增设独立的禁令程序并设计相关规则”,从而“保障个人信息权禁令的司法适用”。[92]

其次,个人信息的国际法保护。有学者认为“运动员个人信息在法律主体、场景适用、信息流通方面具有独特性”,因此其基于运动员个人信息区分的“分类+场景”的新模式,建议从“个体赋权”“国内立法”“行业自治”“国际监管”“跨境评估”等方面完善完善运动员个人信息的保护体系。[93]

最后,也是最主要的是个人信息的刑事法保护与衔接。相较于其他部门法而言,包含刑法和刑事诉讼法在内的刑事法对个人信息的保护以及与《个人信息保护法》的衔接研究数量最多,共有9篇文献。这些研究涉及以下内容。

第一,整体意义上的个人信息刑法保护研究。有学者在根据“基于风险的方法”提出了“合规风险”的概念,由此其主张“个人信息的界定与分类应根据场景作动态判断。如果信息处理者没有制造、实现“合规风险”的“后果”要素,则不构成本罪。[94]也有学者为了应对新信息技术新信息技术对个人信息保护带来的“个人信息属性复杂多变”“‘知情同意’原则虚化”“滥用个人信息日益严重”等现实挑战,提出了“变绝对保护立场为相对保护立场”的路径转变,然后以此为基础,“确立适应新信息技术的个人信息类型、法益类型和归责原则,进而引入个人信息生命周期理论,构建收集、处理、交易和使用全场景的刑法个人信息保护模型”。[95]

第二,特定个人信息处理行为的刑法规制研究。本年度研究文献涉及的特定的个人信息处理行为包括两类,一类是“非法使用公民个人信息”,另一类是“滥用已公开个人信息”。

针对前者,有学者认为“非法使用公民个人信息”的行为与“侵犯公民个人信息罪等涉个人信息犯罪的构成要件行为(流转行为)不同质,且侵犯的法益具有独立性”,因此不能“通过刑法解释而应通过刑法立法将其入罪”。其认为,“非法使用个人信息行为侵害的法益是个人信息使用决定权,不同于侵犯公民个人信息罪的保护法益(个人信息流转决定权),其社会危害性程度也与侵犯公民个人信息罪有别,不宜将其作为侵犯公民个人信息罪的行为类型予以规制,应对其单独设罪配刑”。同时,该学者还主张“基于我国刑法针对特定对象的非法使用行为入罪配刑的立法逻辑等考量,对非法使用个人信息行为入罪配刑宜采轻罪模式”。[96]与此相反,有学者认为“《刑法》第253条之一侵犯公民个人信息罪能够囊括非法使用个人信息行为这一新类型,不宜再单独为其设置一个新罪名。”因此,其主张“在侵犯公民个人信息罪内部,将非法使用个人信息行为单独作为一款加以设置”。在罪状方面,“应当明确前置规范的范围、非法使用行为的边界以及罪量上的要求”。在刑罚方面,“非法使用个人信息行为的法定刑应适当高于非法提供、非法获取两种行为类型”。[97]

针对后者,有学者主张被公开的个人信息仍然具有“个人信息自决权”、“数据安全法益”与“数据财产权益”三个方面的要保护性。针对通过技术手段批量爬取已公开个人信息的行为,该学者认为应当成立“非法获取计算机信息系统数据罪”。对于出售、提供等处理非法公开的个人信息的行为,只有当“后行为人是大型网络平台时,才成立侵犯公民个人信息罪的不纯正不作为犯”。对于背离已公开个人信息的原初目的、用途的下游滥用行为,该学者还分别针对公共数据、私权数据、敏感个人信息三种情形分别进行了探讨。[96]与此相反,当滥用已公开个人信息行为构成刑事法意义上的违法犯罪时,合理使用已公开个人信息便成为了相关犯罪的出罪事由。具体而言,已公开个人信息的合理处理要求“后续处理的目的和用途不能超出信息主体的合理预期,处理方式符合比例原则,且不会影响信息主体的重大利益”。在具体场景中,“如果后续处理被信息主体明确拒绝或者构成转换性使用,则该处理不属于合理处理”。已公开的敏感个人信息“只有基于特定的目的和充分的必要性才可以处理,但信息处理者是否具有营利目的并不重要”。[99]

第三,特定个人信息权利的刑法保护研究。有学者总结了个人信息被遗忘权的刑法保护存在的“立法上的刑民断层问题”、“理论上的供给不足问题”和“制度上的法域冲突问题”,继而主张应当采取“消极保护模式”,并以该项权利的“自然犯和法定犯双重属性”为基础,“参考其他法律规定进行一定限度的保护”。此外,该学者还主张“针对重点领域个人信息的保护,应以差序化保护规则分类分层保护个人信息被遗忘权”,并“以时间向度和空间向度对个人信息被遗忘权的刑法保护提出限度要求”,最后再考虑“侵犯个人信息被遗忘权的犯罪排除事由”。[100]

第四,侵犯公民个人信息罪的理解与适用。关于侵犯公民个人信息罪的保护法益,有学者依据场景化的划分将个人信息分类,并以此分类为基础探讨是否成立本罪。其最后得出的结论是侵犯公民个人信息罪的保护法益应为“(一般识别信息场景下的)作为个人法益的个人信息自决权”和“(敏感个人信息和复杂隐私信息场景下的)作为超个人法益的公民信息安全”。[101]还有学者认为,要想构成侵犯公民个人信息罪,就必须以“前置法的违法性判断”亦即要达到民法意义上对个人信息权益的侵犯为基础。并主张在“整体法秩序的视野”中,将侵犯公民个人信息罪的规制对象限缩为“信息的滥用”而“不只是非法获取”。[102]

此外,也有学者以《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第1条规定的刑法中的“公民个人信息”的“可识别性”为研究对象,分别从识别方式、识别对象、识别标准进行解释学论证。[103]还有学者对该司法解释第6条的“为合法经营”进行了释义学分析,其在分析该条款在司法实践中由于“怠于解释兜底条款、扩张特定信息外延、不当适用曾受处罚又再犯的规定”的原因而被边缘化的困境,其主张要认真对待作为降低责任刑之情节的“为合法经营”,避免其适用空间被不断压缩。[104

第五,刑事诉讼法与个人信息保护法的衔接研究。对此,有学者认为需要从制度和实践两个层面进行衔接。在刑事诉讼制度层面,“对公安司法机关信息处理行为进行概括授权,同时引入《个人信息保护法》中信息处理的合法依据,以履行法定职责、义务以及信息主体知情同意作为公安司法机关处理信息的合法基础,回应信息保护层面的合法性质疑。”在刑事诉讼实践活动中,“引入个人信息保护规则,以规范公安司法机关处理个人信息的行为,具体包括引入合法、正当、必要原则,信息质量原则与责任、安全原则,引入规制信息自动化决策规则以及个人信息保存期限规则”,而“目的限制原则、公开透明原则以及知情同意规则”需要根据刑事诉讼活动特殊性进行限速适用。[105]但是,有学者认为“个人信息保护中的核心规则‘告知-同意’规则在刑事诉讼中基本失效,同意规则直接无须适用”。此外,该学者还认为在刑事诉讼法律规范中应当明确“告知规则例外的界限与适用情形”。而“对于个人信息保存时限、委托处理个人信息的相关规则、自动化决策和敏感个人信息的处理”,刑事诉讼中都应当进一步予以细化规定。该学者还建议“着力强化刑事执法、司法机关的个人信息保护的合规义务”以及“构建《个人信息保护法》适用于刑事司法领域的若干支撑配套制度(包括将规制场景由技术侦查扩展至更为广阔的信息收集实践,强化事先数据合规制度建设,增设检察机关作为刑事司法系统中投诉处理的负责机构等)”来强化刑事诉讼中的个人信息权益保护。[106]

(六)个人信息保护的域外经验

实际上,本年度对个人信息研究的部分论文在行文时也运用了比较的研究方法,但由于其论述的主题、篇幅、核心并没有以域外的制度或现状为侧重,亦或已经按照其他更为重要的分类予以梳理(例如个人信息的跨境提供),因此严格划分到本部分的论文仅有1篇。在这篇论文中,该学者分析了美国和欧洲个人信息保护的国际造法的现状,并以此为基础分析它们之间存在的价值取向与具体标准的冲突以及由此引发的内部效应和外部效应的深刻影响。因此,其主张我国应当“在定位清晰的前提下选择合适的造法维度,并借助不同造法机制的联动实现数字红利的最大化”。[107]

2023年度法学CSSCI期刊个人信息保护研究“法律责任篇”综述

“无救济,则无权利”。因此,《个人信息保护法》第七章专章规定了违反《个人信息保护法》规定的个人信息保护义务的法律责任,从民事、刑事、行政各个角度精心设置了法律责任体系。其中,第66条规定了“行政处罚”,第67条规定了“信用档案”,第68条规定了“对国家机关的处罚”,第69条规定了“归责原则”,第70条规定了“公益诉讼”,第71条规定了“治安管理”和“刑事处罚”。学界对法律责任的关注与其法律地位基本一致,在2023年,共有19篇法学核心期刊论文主要论证法律责任,占到了全年总数的近五分之一。

(一)行政处罚条款(第66条)的理解与适用

《个人信息保护法》第66条规定了对个人信息处理者违法处理行为以及对其直接责任人员或主管人员的行政处罚。有学者认为,个人信息保护中行政处罚的实施正面临“过度介入私权纠纷化解”、“压缩社会自治空间”及“混淆内部法益构造”等质疑,因此其对个人信息保护中行政处罚的实施基础重新审视,并从“调整信息处理者与信息主体之间的不平等关系”,“规避个人信息处理领域的不特定公共风险”以及“协调个人信息权益保护中的多元利益诉求”三个角度确立了个人信息保护“行政处罚实施的目标和边界”。紧接着,其在遵循“价值平衡”、“风险预防”和“辅助监管”等原则的基础上,从“宏观、中观和微观层面促进公法与私法、硬法与软法的衔接适用,协调不同法律规范的效力位阶关系,以及推动制度设计的场景化、精细化。”该学者还主张依托“组织法、行为法、程序法构造”确定行政处罚实施的“主体结构”“操作指南”“流程指引”等,最终增强处罚实施的正当性和明确性。[108]

(二)对国家机关的处罚条款(第68条)的理解与适用

《个人信息保护法》第68条规定了国家机关及其责任人员违法处理个人信息的法律责任以及履行个人信息保护职责的部门的工作人员的法律责任。有学者认为,该条存在两项缺漏:“一是未明确履行个人信息保护职责的部门不依法履职的法律责任,二是未规定对非国家机关违法负直接责任的公职人员应受处分以及对国家机关违法负直接责任的人员应受行政处罚。”[109]因此,其针对这两项缺漏对该条的适用行为和责任形式进行了阐发。

(三)归责原则条款(第69条)的理解与适用

《个人信息保护法》第69条规定了个人信息民事侵权的证明责任以及赔偿范围。学界对个人信息民事侵权的研究主要集中在如下几个方面。

首先,个人信息民事侵权证明责任的前置问题即个人信息民事侵权行为的构成要件。从整体上来看,有学者认为,个人信息侵权的规范构造需要处理好两对矛盾:“信息主体和信息处理者能力不对称导致的举证困境;个人信息权益保护与合理利用个人信息的对立。”[110]而有学者则从民法典与《个人信息保护法》衔接适用即“法秩序内外在体系融贯”的角度提出了在认定个人信息侵权责任时需要处理的两组规范关系:“我国民法典第1165条第1款与个人信息保护法第69条第1款的规范适用关系;二是规定侵权责任成立构成要件的民法典第1165条第1款、个人信息保护法第69条第1款与引入利益权衡方法的民法典第998条的规范关系。”[111]还有学者则借助“《个人信息保护法》第9条规定的问责原则与安全原则”,来“柔化《民法典》一般侵权规范的适用”。[102]

基于这样的不同理念,在归责原则上,有学者认为“法院应当基于是否采用信息自动化处理技术构造二元归责体系,采用自动化处理技术的侵权行为适用过错推定规则,未采用该技术的侵权行为适用过错责任规则”。[113]有学者在反思“赋权保护模式”和“行为规制模式”对个人信息侵权认定带来的困境,从而提出通过“行为构成来确定事实构成”,再通过事实构成实现“对违法性的征引及违法阻却”,最终达到“过错的判断及推定”。同时,在上述构成要件不清时,建议使用“利益权衡论”来填补缺漏。[114]此外,该学者还将过错的法律效果进行了区分:“即当侵害行为违反关于个人信息保护性法律规定时,若能通过构成要件认定侵权责任成立,则过错为责任成立的构成要件,此时经由保护性法律规定清晰界定的事实构成可以推定过错;对于不在保护性法律规定调整范围的侵害行为,因为并不存在可以预先清晰界定的事实构成,于此只能通过利益权衡方法综合诸多考量因素认定侵权责任,其中过错是作为必备的考量因素发挥规范作用。”[115]还有学者基于“个人信息权益侵害与损害结果的可分性”,提出“侵害权益但未导致损害结果,适用‘不合规归责,合规即免责’”;“未侵害个人信息权益但导致损害结果,排除适用过错推定责任原则”。[116]有学者认为“当以处理者所获利益作为赔偿依据时,应当区分处理者作为或不作为、故意或过失侵权的情形”,从而根据不同情形对过错进行认定。[117]

在损害的确定上有学者认为“风险本身不构成损害,但信息处理者应当承担风险的预防责任和相关费用”。[118]有学者则以“个人信息泄露”为场景,反驳了质疑风险性损害的观点,从“权利保护”“风险分担”“实践基础”三个角度对风险性损害进行了证成,并初构了个人信息泄露中风险性损害赔偿制度。[119]还有学者认为,“作为损害概念的差额说经过修正后足以容纳对下游侵害行为风险的赔偿,此种赔偿的实现不必再借助风险性损害的概念,直接将风险所引发的不利益分别归入财产损害和精神损害即可。”[120]

在损害赔偿的范围上,有学者认为“法院宜降低精神损害赔偿的门槛。在常见的存在复数侵权人的情形中,可以基于证据损害理论类推适用共同危险行为的相关规则。”[121]有学者主张在反思“一般法和特别法说”“综合性法律说”“并存的基本法说”等观点对个人信息侵权认定的优劣后,支持“一般法和特别法说”从而最终主张“该条主要是解决个人信息侵害导致的财产损害赔偿责任”。[120]有学者建议“协商性损害赔偿概念的引入有助于个人信息侵权案件中损害的判断与计算“。[123]还有学者认为,“出于平衡信息处理者行为自由与信息主体权益保护之间关系的考量,应认可下游侵害行为风险的可赔偿性,而否认下游侵害结果风险的可赔偿性。”基于此,其分别提出了财产损害和精舍损害的赔偿方式和数额。[124]有学者认为,“现有计算赔偿数额的实际损害赔偿规则与侵权人获利赔偿规则缺乏可适用性,而法院酌定数额规则存在缺乏上下限约束与部分考量因素不合理的问题,故应补充法定个案赔偿限额与总额上限标准,并以侵权人的身份与主观状态、侵权行为的情节、损害后果的辐射范围与持续时间等作为确定赔偿数额的考量因素。”[125]此外,有学者认为,“侵害个人信息权益并不必然导致损害赔偿。侵害个人信息权益的精神损害赔偿应当坚持以‘造成严重精神损害’为要件,侵害个人信息权益的财产损害赔偿应以个人信息的商业化利用为前提。”其还引入了日本JO模型来帮助个人信息损害赔偿数额的计算,同时还需要“调整损害赔偿的基础数额、根据案情适当区分不同主体的损害赔偿数额以及设定损害赔偿数额上限”。[126]

其次,个人信息民事侵权证明责任和证明标准。有学者基于司法案例的实践分析,认为“考虑到个人信息主体证明因果关系的困难,可采用‘较大可能性’的证明标准。”[127]有学者则以“个人信息泄露”为场景,以“不明第三人侵权”为中心,运用传统的经典证明责任原理对有关问题进行了细致的分析和应用。[128]有学者认为“可以通过因果关系表见规则与《民法典》第1170条的直接适用,消解个人信息侵权案件中因果关系证明的困难”。[129]还有学者认为,“问责原则要求个人信息处理者对民事损害负责,当存在不法个人信息处理行为时,可以依据法规目的说判定因果关系的成立。”同时,“鉴于个人信息处理者承担特殊的安全管理义务,即便个人信息是从第三人处泄露或存在第三人故意介入的因素,因果关系也并非当然中断。”[130]

(四)公益诉讼条款(第70条)的证成、理解、适用、完善

《个人信息保护法》第70条规定了个人信息保护公益诉讼制度。学界对个人信息保护公益诉讼制度的研究集中在如下几个方面。

首先,个人信息保护公益诉讼制度的证成。有学者认为,“认知问题与结构问题”削减了“个人控制范式”的保护力,从而成为引入“作为社会保护范式重要依托的公益诉讼制度”的必要性;“个人信息的公共性”则成为“检察公益诉讼介入个人信息保护领域的正当性基础”。[131]

其次,个人信息保护公益诉讼制度的理解与适用。整体来看,有学者认为“个人信息保护公益诉讼中有关受案范围、起诉顺位和诉讼请求的争议,均需置于个人信息治理的框架内进行体系化解释”。[132]也有学者则认为需要“将风险预防作为该项制度的主要功能”,从而以此为基础对该制度进行理解、适用和完善。[133]具体而言,则主要集中在以下几个方面。

第一,关于受案范围的确定。有学者认为,“侵害众多个人的权益”的规定不等同于“将公益的内涵直接向私益领域扩张”,同时,还要基于“个人信息保护法的保护客体”进行限定。[134]有学者认为,需要对“侵害”“众多”“权益”的判断标准进行分别细化。其中,将“负有个人信息保护监管职责的行政机关不依法履行职责的行为”纳入“违反本法规定处理个人信息”的范围;避免将“侵害”简化为侵权法意义上的“损害”;对“众多”的判断既要考虑“人”,也要考虑“信息”本身;对“权益”的判断既要考虑“物质性权益”,也要考虑“非物质性权益”。[135]还有学者将《个人信息保护法》中的“社会公共利益”理解为三个层面:侵害的个人利益具有损害社会一般性价值的普遍性和典型性;数据信息交易安全、数据市场有序竞争与健康发展;对个人与超级平台信息处理者之间能力过分悬殊的适度修正。[136]

第二,关于起诉主体的顺位。有学者认为,可以对检察机关在起诉顺位上予以“突破解释”。[137]还有学者认为,“应当强化检察公益诉讼在个人信息保护公益诉讼中的示范引领作用,不应当设置过多阻却性的前置程序。”[136]但是,也有学者则认为,“《个人信息保护法》第70条将检察院列于首位,这一做法与《民诉法》第58条以及《检察公益诉讼解释》第13条之规定不符,也与检察实践之具体做法相悖;应遵循检察谦抑性之要求,坚持‘法律规定的机关和有关组织’第一顺位、检察院第二顺位之起诉主体安排;且检察院在提起个人信息保护民事公益诉讼之前均应履行诉前公告程序。”[139]

第三,关于损害赔偿的范围。有学者认为,由于“威慑功能不显著”“影响诉前治理”“重视恢复功能”三个角度论证了“个人信息保护公益诉讼的损害赔偿请求不包括惩罚性赔偿,但在公益遭受实际损失时可以请求公益损害赔偿金”的观点。[140]但是,有学者则认为应当“引入惩罚性赔偿,加强对个人信息保护违法行为的威慑”。[141]

最后,个人信息保护公益诉讼制度的完善。有学者认为,“作为行政机关的国家网信部门不适宜提起诉讼,也不拥有确定起诉主体之权力,故应删除‘由国家网信部门确定的组织’之表述。”[142]此外,还有学者认为应当从以下几个方面优化个人信息保护公益诉讼制度:“明确功能定位,确立以风险预防为主的制度目标”“拓宽案件来源,建立举报奖励制度扩大案件线索”“健全赔偿资金管理,扩大个人信息保护的社会效应”。[143]

[1] 参见黄文艺:《中国法学期刊高质量发展趋势分析》,载《清华法学》2023年第6期,第168-169页。

[2] 其中,法学CSSCI来源期刊共27本,包括:《比较法研究》《财经法学》《当代法学》《东方法学》《法律科学》《政法论坛》《法律适用》《法商研究》《法学》《法学家》《法学论坛》《法学评论》《法学研究》《法制与社会发展》《国家检察官学院学报》《行政法学研究》《华东政法大学学报》《环球法律评论》《清华法学》《现代法学》《政法论丛》《中国法律评论》《中国法学》《中国刑事法杂志》《知识产权》《中外法学》《政治与法律》。

法学CSSCI扩展版来源期刊共17本,包括:《北方法学》《地方立法研究》《法学杂志》《法治现代化研究》《法治研究》《甘肃政法大学学报》《国际法研究》《河北法学》《河南财经政法大学学报》《交大法学》《科技与法律》《南大法学》《苏州大学学报(法学版)》《武大国际法评论》《中国海商法研究》《中国应用法学》《中国政法大学学报》。

[3] 参见申卫星:《数字权利体系再造:迈向隐私、信息与数据的差序格局》,载《政法论坛》2022年第3期,第89-102页。

[4] 程啸:《论个人信息权益》,载《华东政法大学学报》2023年第1期,第6-21页。

[5] 阮神裕:《个人信息权益的二元构造论》,载《法制与社会发展》2023年第4期,第63-80页。

[6] 萧鑫:《个人信息权的分析与建构》,载《法学研究》2023年第6期,第73-93页。

[7] 张翔:《宪法人格尊严的类型化——以民法人格权、个人信息保护为素材》,载《中国法律评论》2023年第1期,第57-67页。

[8] 龙卫球:《论个人信息主体基础法益的设定与实现——基于“个人信息处理规则”反射利益的视角》,载《比较法研究》2023年第2期,第152-171页。

[9] 杜明强:《论作为新兴人格权的个人信息权》,载《北方法学》2023年第5期,第64-78页。

[10] 钱继磊:《何以个人信息权为新兴(型)人权——人工智能与大数据新时代背景下的思考》,载《北方法学》2023年第2期,第5-14页。

[11] 程啸:《论个人信息权益》,载《华东政法大学学报》2023年第1期,第6-21页。

[12] 彭诚信、史晓宇:《论个人信息财产价值外化路径的重构》,载《当代法学》2023年第2期,第62-74页。

[13] 吕炳斌:《数据流通利用语境下个人信息财产利益的实现路径》,载《比较法研究》2023年第6期,第63-76页。

[14] 许身健、张涛:《个人信息保护检察公益诉讼的法理基础与制度完善》,载《法学论坛》2023年第1期,第95-110页。

[15] 贺彤:《安全作为个人信息保护的法益》,载《财经法学》2023年第3期,第110-125页。

[16] 江海洋:《论数字时代个人信息的刑法保护路径选择》,载《当代法学》2023年第5期,第88-99页。

[17] 赵鹏:《“基于风险”的个人信息保护?》,载《法学评论》2023年第4期,第123-136页。

[18] 张涛:《风险预防原则在个人信息保护中的适用与展开》,载《现代法学》2023年第5期,第52-72页。

[19] 彭诚信:《论个人信息权与传统人格权的实质性区分》,载《法学家》2023年第4期,第146-159+195-196页。

[20] 杨钢:《个人信息权禁令的理论证成与构造》,载《法律适用》2023年第3期,第94-108页。

[21] 彭錞:《再论中国法上的隐私权及其与个人信息权益之关系》,载《中国法律评论》023年第1期,第161-178页。

[22] 李海平:《个人信息国家保护义务理论的反思与重塑》,载《法学研究》2023年第1期,第74-90页。

[23] 韩思阳:《个人信息保护中的主观公权利》,载《法商研究》2023年第4期,第87-100页。

[24] 李立丰、王俊松:《个人信息法律保护体系的建构:以信息界定与分类为前提》,载《河南财经政法大学学报》2023年第2期,第1-12页。

[25] 倪朝:《论个人信息保护机构的组织优化——结合<个人信息保护法>相关规则的解释》,载《河北法学》2023年第10期,第178-200页。

[26] 杨旭:《<个人信息保护法>第13条第1款(个人信息处理的合法性基础)评注》,载《中国应用法学》2023年第6期,第202-216页。

[27] 彭飞荣:《<个人信息保护法>第13条第1款第2项(合同中个人信息处理)评注》,载《法治研究》2023年第3期,第132-147页。

[28] 陈骞:《论个人信息处理的“合同所必需”规则》,载《行政法学研究》2023年第6期,第134-145页。

[29] 杨旭:《个人信息处理中履行合同必需规则的限制适用》,载《法学》2023年第6期,第85-98页。

[30] 曹权之:《论传媒处理个人信息中的公共利益》,载《东方法学》2023年第5期,第140-152页。

[31] 杨芳:《重构公开个人信息处理的特殊合法事由——以区分自行公开与他人合法公开为核心》,载《比较法研究》2023年第6期,第154-169页。

[32] 张硕:《论个人信息处理中的优位利益豁免规则》,载《行政法学研究》2023年第2期,第95-103页。

[33] 林洹民:《论个人信息主体同意的私法性质与规范适用——兼论<民法典>上同意的非统一性》,载《比较法研究》2023年第3期,第142-154页。

[34] 陈佳举:《法律行为理论下个人信息保护的知情同意研究》,载《中国政法大学学报》2023年第2期,第197-207页。

[35] 褚婧一:《“用户-平台”关系中告知同意规则修正的路径选择》,载《苏州大学学报(法学版)》2023年第2期,第61-74页。

[36] 何晓斌:《个人信息保护中告知同意的开放结构及其公法实现》,载《行政法学研究》2023年第1期,第143-153页。

[37] 杨芳:《合同关系中个人信息处理同意撤回权的限制与展开》,载《法学》2023年第12期,第104-121页。

[38] 张素华、尹晓坤:《未成年人个人信息同意能力的理论证成及判定》,载《财经法学》2023年第6期,第3-17页。

[39] 张建文:《论自动化决策方式直接营销的个人信息法律基础》,载《法律科学(西北政法大学学报)》2023年第6期,第24-32页。

[40] 董皞、王裔莹:《论公共场所监控设备收集个人信息泛化的规制进路——兼评<个人信息保护法>第26条》,载《法律适用》2023年10期,第9-16页。

[41] 张薇薇:《公开个人信息处理的默认规则——基于<个人信息保护法>第27条第1分句》,载《法律科学(西北政法大学学报)》2023年第3期,第62-75页。

[42] 王冉冉:《已公开的个人信息的合理使用及其缩限》,载《现代法学》2023年第4期,第46-58页。

[43] 贺彤:《私密信息的概念构成与规则体系》,载《华东政法大学学报》2023年第3期,第22-36页。

[44] 吴晓丹:《私密信息合理使用的规范体系及其限制》,载《华东政法大学学报》2023年第5期,第56-69页。

[45] 张革新:《私密信息的范围界定与法律保护的完善》,载《中国政法大学学报》2023年第4期,第84-96页。

[46] 贺彤:《私密信息的概念构成与规则体系》,载《华东政法大学学报》2023年第3期,第22-36页。

[47] 张革新:《私密信息的范围界定与法律保护的完善》,载《中国政法大学学报》2023年第4期,第84-96页。

[48] 刘磊:《论私密个人信息的合理使用困境与出路》,载《财经法学》2023年第2期,第36-50页。

[49] 于若兰:《个人生物识别信息商业化应用规制:路径对比与规则补正》,载《科技与法律(中英文)》2023年第5期,第128-137页。

[50] 吴晓丹:《私密信息合理使用的规范体系及其限制》,《华东政法大学学报》2023年第5期,第56-69页。

[51] 莫琳:《敏感个人信息的界定及其完善》,载《财经法学》2023年第2期,第21-35页。

[52] 刘绍宇:《数字政府建设中个人信息保护的风险规制路径》,载《财经法学》2023年第2期,第51-67页。

[53] 罗英:《个人信息在国家机关之间传输的类型化治理》,载《法学》2023年第9期,第33-47页。

[54] 邢会强:《政务数据共享与个人信息保护》,载《行政法学研究》2023年第2期,第68-81页。

[55] 陈姿君:《行政机关采集人脸信息活动的法治因应》,载《行政法学研究》2023年第3期,第153-164页。

[56] 邵怿:《跨境数据流动规制的自由化与本地化之辩》,载《政法论丛》2023年第5期,第139-148页。

[57] 陈丽娜:《我国跨境数据流动规则的理论逻辑与体系重塑——基于围猎博弈模型的分析》,载《科技与法律(中英文)》2023年第5期,第61-72页。

[58] 夏菡:《欧盟数据跨境流动监管立法的市场规制转向及对中国的启示》,载《河北法学》2023年第8期,第169-182页。

[59] 金晶:《欧盟的规则,全球的标准?数据跨境流动监管的“逐顶竞争”》,载《中外法学》2023年第1期,第46-65页。

[60] 徐伟功、张伟华:《中欧跨境数据流动治理合作机制:从非合作博弈到合作博弈》,载《河南财经政法大学学报》2023年第4期,第68-78页。

[61] 刘业:《美欧数据跨境流动博弈中的欧盟技术主权战略及其实现》,载《国际法研究》2023年第6期,第64-85页。

[62] 郭德香:《晚近经贸协定对数据跨境流动的规制及中国因应》,载《武大国际法评论》2023年第1期,第75-90页。

[63] 李烨:《RCEP协定下我国数据跨境流动规则的检视与完善》,载《科技与法律(中英文)》2023年第1期,第119-128页。

[64] 刘影:《世界贸易组织改革进程中数据跨境流动的规制与完善》,载《知识产权》2023年第4期,第108-126页。

[65] 蔡培如:《个人信息可携带权的规范释义及制度建构》,载《交大法学》2023年第2期,第59-73页。

[66] 黄炜杰:《个人信息可携权所涉之权益冲突与规则适用》,载《地方立法研究》2023年第3期,第81-97页。

[67] 罗英:《个人信息可携带权在国家机关间的实现》,载《政法论坛》2023年第6期,第124-134页。

[68] 张新宝:《论个人信息保护请求权的行使》,载《政法论坛》2023年第2期,第26-37页。

[69] 谢登科:《个人信息跨境提供中的企业合规》,载《法学论坛》2023年第1期,第85-94页。

[70] 王玎:《论个人信息安全事件通知义务》,载《行政法学研究》2023年第2期,第82-94页。

[71] 李爱君:《重要个人信息处理者的特别监管——兼论<中华人民共和国个人信息保护法>第58条》,载《中国政法大学学报》2023年第4期,第56-67页。

[72] 张晨原:《元宇宙发展对个人信息保护的挑战及应对——兼论个人生物识别信息的概念重构》,载《法学论坛》2023年第2期,第132-141页。

[73] 于若兰:《个人生物识别信息商业化应用规制:路径对比与规则补正》,载《科技与法律(中英文)》2023年第5期,第128-137页。

[74] 田野:《消费性基因检测场景下的个人基因信息保护》,载《财经法学》2023年第6期,第18-32页。

[75] 王毓莹:《人脸识别中个人信息保护的思考》,载《法律适用》2023年第2期。第15-24页。

[76] 杨华:《人脸识别信息保护的规范建构》,载《华东政法大学学报》2023年第2期,第68-79页。

[77] 马腾飞、冯晓青:《政府数据开放背景下人脸识别法律规制研究》,载《中国政法大学学报》2023年第3期,第180-191页。

[78] 满洪杰、郭露露:《可穿戴设备中的个人健康信息保护——以同意为核心的研究》,载《法学论坛》2023年第2期,第121-131页。

[79] 何红锋、张宇轩:《数字时代个人健康信息合理使用中的利益冲突与弥合——以“设计保护”为进路》,载《科技与法律(中英文)》2023年第4期,第43-52页。

[80] 李东方、李耕坤:《数字经济时代个人金融信息的经济法分析与对策——从“立法碎片化”到<个人金融信息保护法>》,载《中国政法大学学报》2023年第1期,第201-215页。

[82] 胡凌:《个人信用信息处理的法律制度结构》,载《中国应用法学》2023年第2期,第36-48页。

[80] 李爱君:《个人征信信息法律规制研究》,载《中国应用法学》2023年第2期,第49-62页。

[83] 赵以邗:《机遇与挑战:我国征信业务中个人信用信息处理的法律困境及改革路径》,载《中国应用法学》2023年第2期,第63-72页。

[84] 高宁宁:《行踪轨迹信息的法律属性考察与规则适用》,载《科技与法律(中英文)》2023年第4期,第53-62页。

[85] 杨志琼:《搜索引擎处理个人信息的法律风险及其应对》,载《法学论坛》2023年第6期,第53-62页。

[86] 李晗:《区块链智能合约中个人信息安全的法律保护》,载《华东政法大学学报》2023年第4期,第49-58页。

[87] 尹彦品:《疫情防控常态化中个人信息保护与公共利益的冲突和平衡》,载《河北法学》2023年第3期,第121-134页。

[88] 张耀文:《比例原则在雇员个人信息保护中的构造及适用》,载《交大法学》2023年第6期,第158-172页。

[89] 钭晓东:《风险与控制:论生成式人工智能应用的个人信息保护》,载《政法论丛》2023年第4期,第59-68页。

[90] 王磊:《平台视角下的个人信息保护责任边界研究》,载《法律适用》2023年第2期,第25-35页。

[91] 丁晓东:《隐私权保护与个人信息保护关系的法理——兼论<民法典>与<个人信息保护法>的适用》,载《法商研究》2023年第6期,第61-74页。

[92] 杨钢:《个人信息权禁令的理论证成与构造》,载《法律适用》2023年第3期,第94-108页。

[93] 卢成:《数字时代运动员个人信息保护的国际法规制研究》,载《中国政法大学学报》2023年第4期,第159-172页。

[94] 江海洋:《论数字时代个人信息的刑法保护路径选择》,载《当代法学》2023年第5期,第88-99页。

[95] 马改然:《新信息技术对刑法个人信息保护的挑战与破解路径》,载《中国政法大学学报》2023年第3期,第245-261页。

[964] 彭辅顺:《非法使用公民个人信息行为的刑法规制》,载《中国刑事法杂志》2023年第1期,第107-124页。

[97] 卢勤忠、张宜培:《非法使用个人信息行为入刑的立法构思》,载《河北法学》2023年第1期,第73-96页。

[98] 张忆然:《滥用已公开个人信息行为的刑法规制》,载《中国刑事法杂志》2023年第6期,第87-103页。

[99] 康子豪:《合理使用已公开个人信息作为出罪事由的规则适用》,载《苏州大学学报(法学版)》2023年第1期,第40-53页。

[100] 阮晨欣:《个人信息被遗忘权的刑法保护规则研究》,载《法学杂志》2023年第6期,第121-135页。

[101] 郑泽星:《论侵犯公民个人信息罪的保护法益——场景化法益观的理论构造与实践立场》,载《清华法学》2023年第3期,第90-105页。

[102] 刘浩:《侵犯公民个人信息罪的法益构造及其规范解释》,载《环球法律评论》2023年第3期,第163-179页。

[101] 黄陈辰:《侵犯公民个人信息罪中“公民个人信息”可识别性的意蕴重释》,载《中国政法大学学报》2023年第4期,第111-127页。

[102] 杨楠:《侵犯公民个人信息罪“为合法经营”的释义学展开》,载《法学家》2023年第3期,第105-117+193-194页。

[105] 卞建林、钱程:《刑事诉讼法与个人信息保护法的衔接》,载《国家检察官学院学报》2023年第6期,第142-156页。

[106] 程雷:《刑事诉讼中适用<个人信息保护法>相关问题研究》,载《现代法学》2023年第1期,第90-102页。

[107] 刘笋、佘佳亮:《美欧个人信息保护的国际造法竞争:现状、冲突与启示》,载《河北法学》2023年第1期,第97-119页。

[108] 陈可翔:《个人信息保护中行政处罚的实施基础及制度逻辑》,载《法学》2023年第11期,第57-72页。

[109] 彭錞:《论国家机关的个人信息保护法律责任——以<个人信息保护法>第68条为切入点》,载《比较法研究》2023年第2期,第31-43页。

[110] 钱进:《个人信息侵权的规范构造》,载《中国政法大学学报》2023年第5期,第186-201页。

[111] 朱晓峰:《个人信息侵权责任构成要件研究》,载《比较法研究》2023年第4期,第132-149页。

[112] 林洹民:《问责原则与安全原则下的个人信息泄露侵权认定》,载《法学》2023年第4期,第104-117页。

[113] 钱进:《个人信息侵权的规范构造》,载《中国政法大学学报》2023年第5期,第186-201页。

[114] 朱晓峰:《个人信息侵权责任构成要件研究》,载《比较法研究》2023年第4期,第132-149页。

[115] 朱晓峰:《个人信息侵权责任认定中的过错》,载《国家检察官学院学报》2023年第4期,第129-143页。

[116] 王思思:《个人信息权益侵害案件的归责思路辨析——从<个人信息保护法>第69条第1款展开》,载《法律适用》2023年第10期,第168-177页。

[117] 洪国盛:《论<个人信息保护法>第69条的适用——以所获利益的损害赔偿与事实因果关系证明为核心》,载《法律适用》2023年第9期,第55-65页。

[118] 钱进:《个人信息侵权的规范构造》,载《中国政法大学学报》2023年第5期,第186-201页。

[119] 王雪:“个人信息泄露的风险性损害之证成”,载《南大法学》2023年第3期,第172-192页。

[120] 张博文:《论个人信息泄露下游侵害风险的损害赔偿》,载《南大法学》2023年第6期,第137-152页。

[121] 钱进:《个人信息侵权的规范构造》,载《中国政法大学学报》2023年第5期,第186-201页。

[122] 朱晓峰:《个人信息侵权责任构成要件研究》,载《比较法研究》2023年第4期,第132-149页。

[123] 洪国盛:《论<个人信息保护法>第69条的适用——以所获利益的损害赔偿与事实因果关系证明为核心》,载《法律适用》2023年第9期,第55-65页。

[124] 张博文:《论个人信息泄露下游侵害风险的损害赔偿》,载《南大法学》2023年第6期,第137-152页。

[125] 李东宇:《论侵害个人信息权益的精神损害赔偿》,载《财经法学》2023年第4期,第134-148页。

[126] 龙松熊:《论侵害个人信息权益的损害赔偿》,载《中国海商法研究》2023年第4期,第74-84页。

[127] 王思思:《个人信息权益侵害案件的归责思路辨析——从<个人信息保护法>第69条第1款展开》,载《法律适用》2023年第10期,第168-177页。

[128] 吴泽勇:《个人信息泄露侵权的证明责任问题——以不明第三人侵权为中心》,载《地方立法研究》2023年第4期,第1-18页。

[129] 洪国盛:《论<个人信息保护法>第69条的适用——以所获利益的损害赔偿与事实因果关系证明为核心》,载《法律适用》2023年第9期,第55-65页。

[130] 林洹民:《问责原则与安全原则下的个人信息泄露侵权认定》,载《法学》2023年第4期,第104-117页。

[131] 许身健、张涛:《个人信息保护检察公益诉讼的法理基础与制度完善》,载《法学论坛》2023年第1期,第95-110页。

[132] 欧元捷:《公益治理体系下的个人信息保护公益诉讼》,载《法律适用》2023年第12期,第57-64页。

[133] 许身健、张涛:《个人信息保护检察公益诉讼的法理基础与制度完善》,载《法学论坛》2023年第1期,第95-110页。

[134] 欧元捷:《公益治理体系下的个人信息保护公益诉讼》,载《法律适用》2023年第12期,第57-64页。

[135] 许身健、张涛:《个人信息保护检察公益诉讼的法理基础与制度完善》,载《法学论坛》2023年第1期,第95-110页。

[136] 兰楠:《个人信息保护法中的社会公共利益》,载《国家检察官学院学报》2023年第1期,第156-176页。

[137] 欧元捷:《公益治理体系下的个人信息保护公益诉讼》,载《法律适用》2023年第12期,第57-64页。

[138] 许身健、张涛:《个人信息保护检察公益诉讼的法理基础与制度完善》,载《法学论坛》2023年第1期,第95-110页。

[139] 傅贤国:《论个人信息保护民事公益诉讼之起诉主体——兼论<个人信息保护法>第70条之不足及完善》,载《河北法学》2023年第2期,第47-63页。

[140] 欧元捷:《公益治理体系下的个人信息保护公益诉讼》,载《法律适用》2023年第12期,第57-64页。

[141] 许身健、张涛:《个人信息保护检察公益诉讼的法理基础与制度完善》,载《法学论坛》2023年第1期,第95-110页。

[142] 傅贤国:《论个人信息保护民事公益诉讼之起诉主体——兼论<个人信息保护法>第70条之不足及完善》,载《河北法学》2023年第2期,第47-63页。

[143] 许身健、张涛:《个人信息保护检察公益诉讼的法理基础与制度完善》,载《法学论坛》2023年第1期,第95-110页。

撰稿 | 郭小伟,清华大学智能法治研究院实习生

选题、指导、修改 | 刘云、石玉珍

编辑 | 沈廖佳

注:本公众号原创文章的著作权均归属于清华大学智能法治研究院,需转载者请在本公众号后台留言或者发送申请至computational_law@tsinghua.edu.cn,申请需注明拟转载公众号/网站名称、主理者基本信息、拟转载的文章标题等基本信息。

声明:本文来自清华大学智能法治研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。