个人生物识别信息的民法保护路径探究

科技创新发展在给人们带来便捷高效生活的同时,也带来了个人信息泄露的风险。目前,我国没有对公民个人生物识别信息进行专门性立法,现行的法律保护模式与欧盟等地区类似,即认为个人生物识别信息是个人信息的一个独特分类,将其作为个人信息的一部分予以保护。在司法实践中,一般在个人信息法的范畴处理相关问题。《民法典》第一千零三十四条规定“自然人的个人信息受法律保护”,并明确了个人信息的法律范畴,然而个人生物识别信息的定义未得到明确。随着生物识别技术的快速发展,未来的立法趋势可能会将个人生物识别信息与个人信息区分开来。基于此,文章尝试构建个人生物识别信息权利保障及义务规范机制,并完善民事救济途径,以期完善我国对个人生物识别信息的法律保护体系。     

《个人信息保护法》视角下侵犯公民个人信息罪要件的调整

有关侵犯公民个人信息罪"公民个人信息"定义的司法解释与《个人信息保护法》规定,本质上不存在冲突。侵犯公民个人信息罪中的"个人信息"不包含死者个人信息。司法解释很难将融合度较高的信息精准归入某一类别的信息之中,且对生物识别信息缺乏明确规定和归类。《个人信息保护法》在个人信息的分类上归纳性较强,且突出了对生物识别信息的保护。应参考《个人信息保护法》中对个人信息的"二分法",及时调整司法解释对个人信息的分类。合法获取个人信息后非法使用个人信息的行为相比非法获取个人信息的行为社会危害性更大,理应归入刑法规制范围。应根据信息的分类,调整侵犯公民个人信息罪"情节严重"的起刑点和量刑标准,加大对敏感个人信息的刑法保护力度。     

论生物识别信息界定中的识别标准及我国的建构

识别标准是生物识别信息概念的核心要素,也是厘清其与一般个人信息、敏感个人信息关系的重要依据。当下,生物隐私立法呈现出界定生物识别信息的两种路径：一种是基于特定信息处理活动产生的生物识别信息,另一种则是根据数据来源产生的生物特征信息。从欧盟立法经验看,前者以“已识别”为标准,存在过于依赖信息处理者主观目的与保护范围较为狭窄的不足;后者以“可识别与已识别”为标准,虽扩宽了保护范围,但易与医疗健康信息和生物技术概念相混淆,且存在沦为“笼筐式”概念的风险。鉴于此,我国应以“直接识别+已识别”构建生物识别信息的识别标准,并在规制法中构建“生物特征数据”概念,以弥补保护法中较高识别标准所带来的局限性。     

高校智慧图书馆读者个人信息保护研究

文章结合《中华人民共和国个人信息保护法》,探讨建立相关规则保护高校图书馆读者个人信息,论述读者个人信息处理者、读者个人信息处理、读者隐私等相关法律概念,提出高校图书馆、读者、智慧图书馆服务供应商结成共同体保护读者个人信息的观点。高校图书馆应明确共同体多方主体的责任和行为规则。从图书馆官方媒体的读者个人信息保护政策声明、高校智慧图书馆读者个人信息的界定、读者个人信息处理的告知同意规则、读者个人信息处理的目的限定和最小必要规则、读者个人信息处理其它规则等方面探讨保护高校图书馆读者个人信息,最后强调保护读者个人信息其实是在信息利用中加强保护,释放个人信息的公共价值。     

对大数据时代《个人信息保护法》的解读

《个人信息保护法》作为我国首部个人信息保护专门法律，综合吸纳了《民法典》《消费者权益保护法》《网络安全法》关于个人信息定义、处理规则、个人信息处理者的网络安全保护义务的规定，分别从处理规则、个人权利、个人信息处理者义务、主管部门、法律责任等方面做出原则性规定，特别在禁止利用自动化决策“大数据杀熟”、加重大型互联网平台信息保护义务、严格个人信息跨境要求、禁止应用程序（APP）过度收集个人信息和非法买卖个人信息等方面提出针对性要求，奠定了中国个人信息保护领域的主基调，初步确立了中国的个人信息保护基本规则。     

论生物识别信息保护中的知情同意原则

生物识别信息属于敏感个人信息，具有唯一性、可识别性、高度敏感性等特征，对其不当获取、使用都会对权利人财产权、人格权等造成损害，因此应当予以特殊保护。知情同意作为生物识别信息保护领域的重要原则，在现阶段面临着难以有效保护信息权利主体合法权利的困境，一方面，信息处理者不告知、不如实全面告知，使得权利主体的知情权难以得到有效保障，另一方面，在未能完全知情情况下做出的同意存着效力瑕疵。故有必要对个人生物识别信息处理者的告知义务予以规范，对知情同意原则加以完善，从而更好地保护信息权利人的生物识别信息。     

《中华人民共和国个人信息保护法》在高校学生工作实践中的应用

《中华人民共和国个人信息保护法》作为我国第一部系统、全面保护个人信息的专门性法律,能为高校学生工作在个人信息保护方面提供权威的遵循与指引。然而,其在适用过程中面临诸多难题,主要表现为在学生信息的收集范围等方面与惯常实践相冲突,“取得个人的同意”合法性处理规则将影响行政效率,以及学生选择“不同意”将迫使工作陷入僵局。法律的运行有一个适应和协调的过程,应结合高校学工实际实现《中华人民共和国个人信息保护法》与学生工作的有机衔接：第一是思想贯通,充分认识保护权益与促进利用的辩证关系;第二是规则落实,应限缩信息收集范围、完善敏感个人信息制度、修补安全制度漏洞,同时设立一次性同意制度、自动化决策制度、信息权利保障制度;第三是行为融入,包括多做告知工作、多做留痕管理、践行“两个最小”以及善用“去标识化”。     

论敏感个人信息的侵权保护

敏感个人信息与私密信息之间存在区分,“敏感性”需要客观的法律标准予以认定,“私密性”是主观认识。场景理论的引入将缓和敏感个人信息界定的僵化。敏感个人信息侵权的主要表现形式为对隐私权的侵害、诱发下游犯罪以及引起不必要的歧视。这些损失发生需要通过精神损害赔偿和财产性损害赔进行弥补。其中,损失可以通过缓和“严重的精神损害”、延伸“差额说”、信息主体获得利益等规则立体确定。《个人信息保护法》第二章规定的“敏感个人信息的处理规则”是事前防御性规则,处理敏感信息时违反该规定将被认为有过错。《个人信息保护法》中规定的过错推定原则与《民法典》中的过错原则并不存在实质冲突,而是协调统一的。     

已公开个人信息弱化保护的视角拨正

在功利主义理念的影响下,我国在已公开个人信息的利用和保护实践上,对基于信息主体的个人权益保护逐渐减弱,甚至不断挤压其生存空间,而代之以信息处理者所倾向的“公益”。已公开的个人信息具有个人和社会两个层面的价值,且二者并非完全对立。因此,适度调整当前在已公开个人信息保护中过分关注公共利益而轻视个人利益,甚至忽视个人利益的观念十分有必要。这样才能在充分尊重信息主体的已公开个人信息自决权的前提下,用符合人格尊严的方式处理已公开个人信息,并平衡其蕴含的公共利益价值与个人权益,维护信息主体的尊严。通过分析我国目前在立法和司法实践中关于已公开个人信息的保护现状,厘清该类信息的保护地位,从已公开个人信息的内在价值属性与保护策略存在的弊端出发,揭示调整保护视角的必要性,将已公开个人信息保护理念从过度偏于保护公共利益往保护个人利益方向适当拨正,为我国已公开个人信息利用和保护功能发挥及目标实现提供帮助。     

大数据时代大学生个人信息的行政法保护初探

大数据时代,大学生作为互联网“中坚力量”中的特殊群体,在利用互联网进行社交和学习的过程中,其个人信息很容易遭泄露。高校基于教学管理或配合公共事务管理的需要,会对大学生的部分信息进行公开和处理,这与大学生个人信息保护之间存在一定的矛盾。本研究着重探索大数据时代完善大学生个人信息行政法保护的途径,以期实现高校信息公开和大学生个人信息保护之间的平衡。     

试论个人信息自决权

个人信息的收集、处理或利用直接关系到信息主体的人格尊严,当下个人信息受到非法侵害的现象十分严重。本文在个人信息概念被界定的基础之上,对个人信息主体的权利性质及个人信息自决权进行法理上的分析,以寻求其保护的法理基础。这种保护应以个人信息自决权为核心,并与社会公共利益之间保持一种平衡。     

我国个人信息保护规范供需现状述评

我国现有明确包含“个人信息”条款的规范近300部,这些规范主要围绕对信息处理者施加义务、为自然人信息主体赋权两项内容展开,蕴含着自然人信息主体是理性经济人、能够对个人信息进行自我控制的信息自决理念,构建了事前信息主体自我保护、事后司法救济与行政处罚并举的个人信息保护机制。在实践中我国自然人信息主体在个人信息安全问题上呈现出言行不一、后知后觉、不以为然等非理性经济人形象。此种供需错位导致我国现有个人信息保护机制有沦为个人信息保护乌托邦的危险,使得信息主体的信息安全感并未随着频繁制定与修改的个人信息保护规范而增强。以前瞻性思维模式为指导,增加政府前置式监管的保护手段可解决现有个人信息保护机制存在的问题。     

同意原则在网络个人信息处理中的适用研究——《民法典》第1035条释评

同意原则是互联网平台处理个人信息的合法性基础,它直接制约着用户数据隐私的保障限度。《民法典》第1035条规定个人信息的处理需征得自然人或者其监护人同意,通过对冲突利益的平衡,以基础法的形式阐明和确立了以用户为中心的、网络个人信息保护的法律适用标准。同意原则反映了信息主体对私人信息、私人活动和私人空间的自我治理,体现了主体对自身道德权利的享有和个人自治的实施。它不仅包括对一般个人信息处理默示授权的弱同意,而且包含对敏感个人信息处理明示授权的强同意。此外,同意原则在网络个人信息处理过程中的适用还受到公共利益、“合法、正当、必要与诚信原则”和信息公开等因素的限制。     

论突发公共卫生事件个人信息处理中知情同意原则的适用——以《个人信息保护法》为中心的考察

《个人信息保护法》第13条对个人信息处理规则予以规定,其将知情同意原则作为个人信息处理的基本原则,同时规定了应对突发公共卫生事件等其他无需信息主体同意即可处理个人信息的合法情形。突发公共卫生事件因其本身具有的紧迫性以及涉及到的重大公共利益,在此期间限制知情同意原则的适用存在必要性与合理性。然而因公共利益的非至上性以及处理个人信息需具有明确目的之限制,《个人信息保护法》并非完全否定知情同意原则在突发公共卫生事件中的适用,而是强调在必需情形下方可限制。为充分保障知情权,处理个人信息时保留知情规则;通过比例原则的检验明确限制知情同意原则时需遵循合理目的标准与最小损害标准。     

用户个人信息控制权的回归——以行为法律经济学为视角

个人信息处理者提供的隐私政策协议虽然形式上满足了知情同意规则的要求,但仍存在诸多不合理之处,影响个人信息控制权的行使,损害了用户的合法利益。行为法律经济学基于对用户理性选择的研究,描述了授权行为的真实意思表示,将个人信息控制权的基础、核心内容阐释为“决定权”与“删除权”,明确个人信息处理者相对个人信息控制权的应然义务,构建了知情同意的运作框架。根据个人信息控制权的权利内容分析,立法应围绕明确控制权适用范围、规范选择框架、完善信息信义义务、明确个人信息用益权等方面,为个人信息保护提供优化的路径与制度解决方案。     

个人信息公私界限及保护模式

个人信息上承载着人格利益,同时也具有信息流通的功能,因此,《民法典》将个人信息作为一项人格法益进行保护,未对其进行赋权。过于绝对化个人信息权益会使其丧失信息流通属性,个人信息不同于隐私与数据,个人信息兼具公法和私法属性,将其置于公法还是私法之下保护一直存在争议,寻求二者之间的平衡最为关键。从属性上看,个人信息兼具人格利益与信息流通功能,是带有公法性质的一种新型的民事权益。对于个人信息的保护应当以私法保护为主、公法保护作为兜底方式,对个人信息的保护应当保持人格利益保护与信息流通功能之间的平衡,在保护重要民事权益优先的同时,采取去标识化处理和合理使用的方式防止权利滥用;置于《民法典》中“人格权禁令”则架起了公法与私法保护之间的桥梁。     

论政府信息公开中的个人隐私权保护

在信息公开的世界潮流中,随着行政主体与行政相对人交互关系的广泛性和多元化,行政主体掌握着数量可观的个人信息,而个人信息的合理正当使用影响着相对人的切身权益,个人隐私权由此也受到了前所未有的威胁。在当前强调信息公开的学术氛围中,行政主体在信息公开的过程中如何充分保护个人隐私权是一个容易被忽视的研究课题。应从隐私权的演进、政府信息公开中知情权对个人隐私权的保护以及政府信息公开中个人隐私权的制度性保护三个方面,进一步完善我国政府信息公开的法律体系。     

大数据时代下高校学生个人信息保护管理研究

随着大数据信息管理逐渐被使用到高校管理过程中,高校学生个人信息保护管理面临着前所未有的挑战,时常会有学生信息被泄露的新闻,学生个人信息的保护也迫在眉睫.高校学生的个人信息隐私权是被民法典和网络安全法所认可的,但目前仍存在着信息保护意识不强、高校信息公开和学生个人信息保护界限不明确、缺乏相关高校学生个人信息管理制度等问题...     

刑民衔接视角下侵犯公民个人信息罪的规范重构

个人信息的司法保护最初呈现出"刑先民后"的特点,而刑事制裁思路的局限及民事法律规定的缺位始终制约刑事制裁法律效果的发挥.《民法典》设立单章对"隐私权和个人信息保护"进行规定,奠定了个人信息保护的正当化基础.《民法典》从确立个人信息权益属性、制定个人信息合理使用规则及明确处理个人信息的免责事由三个维度对个人信息提供全方位的民法保护.这不仅补强了个人信息的民事法律保护,也引发了个人信息在民法和刑法保护路径的衔接问题.为实现个人信息保护与数据流通之间的平衡,刑法上侵犯公民个人信息罪需在《民法典》对个人信息规范的框架内,从刑法法益、非法使用行为入刑及出罪事由三方面进行重新构建.     

教师业务档案管理中个人信息的保护

高校教师业务档案是承载个人信息的组合体,具有识别特定个体信息的档案特点。针对我国目前个人信息保护立法工作相对滞后的现状,教师业务档案的管理部门是确保个人信息不受侵害的实现主体,从档案管理的各环节入手。采取一定的防护措施,建立个人信息控制人自律机制,对其承载的个人信息实行限制原则。通过网络技术实现教师业务档案管理的,应采取技术上的保护措施,管理系统的研制与开发需要个人信息保护制度的完善。