个人信息 | 35家法学核心期刊2020年度学术热点文章汇编

1.论个人信息保护中的人格保护与经济激励机制（《比较法研究》2020年第1期）

作者：蔡培如、王锡锌（北京大学法学院，北京大学法学院、北京大学宪法与行政法研究中心）

内容提要：个人信息保护制度中的“知情—同意”框架偏向于通过信息主体自治以保护个人信息，这一路径选择对信息的合理流通和利用构成了严苛的限制，实践中也存在形式化问题。从理论基础和经验逻辑看，“知情—同意”规则需要考虑更为具体的场景；而在具体场景中，对信息主体的经济激励机制可以引导和促成信息主体的“同意”。因此可以将经济激励作为同意的促成机制，这有助于在不偏离“知情—同意”规则的前提下，为个人信息保护与数据合理利用双重目标的实现提供一种平衡方案。通过经济激励机制，信息处理者可与信息主体共享数据利用产生的经济收益，由此适当突破“必要性原则”，获得超出为信息主体提供服务之目的的数据处理权限。但经济激励机制亦需受到内容和形式上的限制，避免被泛化为普遍适用的数据处理后门。在当前我国个人信息保护法的制定中，可以考虑引入经济激励制度，构建人格保护与利益激励相结合的“二元机制”，在坚持人格保护的原则下，通过经济激励机制有效平衡个人信息保护与信息的合理流通和利用。

关键词：个人信息；人格保护；经济激励；知情—同意；数据利用

2.论中国网络空间犯罪立法的本土化与国际化（《比较法研究》2020年第1期）

作者：皮勇（武汉大学法学院、武汉大学网络治理研究院）

内容提要：网络空间犯罪是计算机犯罪、网络犯罪在网络平台时代的新相态，为了有效打击网络空间犯罪，中国刑法既要坚持本土化发展，也要借鉴国外立法的成功经验，积极推动国际社会相关立法协调一致。计算机数据和信息系统安全是独立的公共法益，应当给予全面的刑法保护。惩治网络化的传统犯罪应当坚持科学防控和法治原则，避免以刑代管，更不应突破法律规定解释立法。妨害信息网络安全管理秩序犯罪是独立的、具有“积量构罪”特征的正当立法，司法适用中应坚持独立适用和实质正当原则，合理缩限解释构成要件要素，对情节要件进行必要的类型化。充分保护个人信息符合中国国家利益、公共利益和公众利益，应在平衡个人信息法律保护和合法利用的基础上，为公民个人信息提供更全面的法律保护。

关键词：网络空间犯罪；计算机数据及信息系统安全；传统犯罪网络化；妨害信息网络安全管理秩序犯罪；个人信息

3.论网络隐私政策的效力——以个人信息保护为中心（《比较法研究》2020年第1期）

作者：王叶刚（中央财经大学法学院）

内容提要：制定隐私政策是网络服务提供者自律的重要工具，也是网络服务提供者应对个人信息保护立法，确保其用户个人信息收集、利用行为符合法律规定的重要方式。经用户同意的隐私政策将在用户与网络服务提供者之间成立合同关系，在个人信息收集、利用方面具有取得用户授权的效力，此类隐私政策的变更在性质上属于合同变更，应当取得用户同意，否则对用户不产生拘束力。未经用户同意的隐私政策属于纯粹的企业自律规则，无法在网络服务提供者与用户之间成立合同关系，在用户个人信息收集、利用方面并不具有取得用户授权的效力，此类隐私政策的变更无须取得用户的同意，变更后的隐私政策对用户不产生拘束力。

关键词：隐私政策；隐私权；个人信息；合同变更；格式条款

4.人脸识别的法律规制（《比较法研究》2020年第5期）

作者：邢会强（中央财经大学法学院）

内容提要：人脸信息属于个人生物信息，具有独特性、直接识别性、不可更改性、易采集性、不可匿名性等特征。目前，人脸识别技术在实践中参差不齐，误差很大，尽管其可能会在一定程度上节省人力成本，但其风险也不可小觑。人脸识别技术的风险大于收益的可能性是存在的。鉴于人脸识别的应用场景很多，应采取场景理论、风险预防理论以及在此基础上提炼的同一性与差异性相结合的规制原理予以规制。具体来说，我国应对人脸识别建立健全一体适用的安全与责任底线，区分公私部门并配置不同的规制重心，同时对人脸信息的采集施加比对一般个人信息的采集更强的规制力度。

关键词：人脸识别；生物识别；个人信息；场景正义；风险预防原则

1.个人数据的经济利益论与财产权利构建（《电子知识产权》2020年第5期）

作者：郭如愿（北京师范大学法学院）

内容提要：在我国，发展数据企业与保护个人权益之间的利益失衡引发“个人信息”与“个人数据”区分的学术思考。“个人信息”与“个人数据”的概念混同一方面是对国外立法术语的不精准把握；另一方面是对大数据内涵的保守解读。合理区分“个人数据”与“个人信息”是平衡数据企业发展与个人权益保护的前提。无论是从司法实践还是从法理层面，个人数据并不属于财产权客体。因个人数据不属于人格要素的范畴，也没有体现“人之为人”的价值理念而不具有人格利益。但是，运用庞巴维克的经济学原理并综合数据产业之发展可知，个人数据具有经济利益。在大数据时代，财产权的目的应该由避免资源损耗向数字资源的高效利用转变。数据企业对于个人数据的评价远高于数据主体。适时构建数据企业的数据财产权不仅符合洛克的劳动财产权理论、马克思主义商品哲学的观点，也符合大数据时代的发展需求。

关键词：个人数据；个人信息；大数据；经济利益；财产权

2.我国个人敏感信息的内涵与外延（《电子知识产权》2020年第9期）

作者：谢琳、王漩（中山大学法学院）

内容提要：个人敏感信息的界定是实现个人信息风险层级化保护的基础。我国个人信息保护法尚在制定当中，未来需对个人敏感信息作出统一周延的界定。我国应选择定义辅以种类非穷尽列举模式作为立法路径。以“损害风险”为核心，个人敏感信息可定义为：“一旦泄露或不当使用，生命健康、人格尊严或经济利益等可能遭受严重损害或极易遭受损害的个人信息。”判断个人敏感信息的外延可借助“敏感性分析模型”，通过全面列举损害清单，对损害的严重性、发生可能性、公众认可度、技术可预见性等因素进行风险量化分析，从而判定个人信息的敏感等级。

关键词：个人信息；个人敏感信息；立法路径；损害风险；敏感性分析模型

3.论算法解释权不是一项法律权利——兼评《个人信息保护法（草案）》第二十五条（《电子知识产权》2020年第12期）

作者：贾章范（清华大学法学院）

内容提要：算法解释权的权利内容与解释标准存在一定的冲突，其保护的利益能够被个人信息保护制度、消费者权益保护制度等法律规范所涵盖。对算法运行程序、内在机理、数据权重等内容的解释将会产生专业性与可理解性的冲突，由算法使用人提供解释的可靠性亦欠缺相应的评价标准，难以被存在利害冲突的相对人所认可。算法解释权对相对人的救济效果有限，但却可能会对商业秘密、国家利益和市场竞争秩序造成不良影响，徒增司法机关的裁判成本和社会公众的理解负累，难以成为独立的权利类型。《个人信息保护法（草案）》第25条不宜被认定为确立了算法解释权，而是在相对人遭受重大损害时，算法使用人应承担的重要信息说明义务，属于相对人知情权的范畴。对于算法造成的损害，可以借助莱斯格的“可怜圆点”理论，综合利用法律、市场、社群规范和架构等多种工具进行调节，而非引入似是而非的算法解释权，以期实现鼓励技术进步、规范算法使用和救济受害人之间的平衡。

关键词：算法解释权；《个人信息保护法（草案）》；算法损害；“可怜圆点”理论

1.数据确权的困境及破解之道 （《东方法学》2020年第1期）

作者：韩旭至（华东政法大学法律学院）

内容提要：数据确权存在多种理论，可置于既有制度规范中考察。这可能涉及物权法、合同法、知识产权法、竞争法、个人信息保护法等诸多规范。然而，无论是单独适用还是综合适用，既有规范均无法充分解答数据权属、保护与利用的问题。从数据新型权利理论来看，亦未能实现数据确权。该类理论多建立在劳动赋权的简单论证之上，并未深入研究数据权利的生产机制，以致数据权利主体、客体均难以判定，且无法回应实践中的数据治理问题。数据确权的困境植根于以意志论、利益论为代表的传统权利理论无法解释新的数据问题。通过对数据权利生产机制考察发现，算法在数据价值与数据权利的形成中处于核心地位。因此，可通过算法规制反向实现数据确权。

关键词：数据；非个人数据；数据权利；新型权利；个人信息

2.法益衡量视角下互联网可信身份认证的法律限度 （《东方法学》2020年第5期）

作者：阮晨欣（东南大学法学院、东南大学人民法院司法大数据研究基地）

内容提要：伴随着互联网可信身份认证技术的不断发展，需要衡量公民个人信息保护与公共安全保护之间的法律限度问题，进而达到犯罪预防和犯罪规制之效果与公共信息网络安全之间的平衡。互联网可信身份所属的公民个人信息权，作为一种新兴权利，具备人格保护、财产保护以及公共利益混合体的特质，其法益实质在于公民对个人信息的一种控制和支配权利。基于法益衡量视角，法律限度的判断前提在于社会关系中的信任关系。在目的限度原则的规范下，公民个人信息保护法益应当兼顾与公共保护法益之关系，不能单一地上位选择保护公民个人信息法益或公共安全法益，而要通过合理保护理念在个人自由与网络空间的数据共享中达到平衡，保护既不能过度也不能太窄。通过互联网可信身份认证的法律限度之实践构想，以责任体系的构建和法律规范的平衡两方面说明法律限度与技术发展之间，不应是对立关系，而是相互促进之关系。

关键词：可信身份认证；法益；个人信息权；公共安全；法律限度；个人信息

3.搜索引擎数据痕迹处理中权利义务关系之反思——以两起百度涉诉案例为切入点（《东方法学》2020年第6期）

作者：温昱（兰州大学法学院）

内容提要：数据痕迹分为“自生型数据痕迹”和“他生型数据痕迹”。搜索引擎处理数据痕迹法律分析的关键在于搜索引擎处理两类数据痕迹过程中不同主体间权利义务关系的分析。霍菲尔德权利理论的成对解释方法能够对搜索引擎数据痕迹处理过程中权利义务结构作出精细分析。“朱烨诉百度案”是处理“自生型数据痕迹”的代表案件。由于对数据痕迹性质判断不同，该案两审认定的权利义务关系情形迥异。其二审判决书的裁判思路与表述说理在逻辑上难以自洽，导致权利义务关系形态拒斥数据主体的同意权、否认数据痕迹的人格特性。“任甲玉诉百度案”作为处理“他生型数据痕迹”的代表案件，存在三方主体、两阶段不同类属的权利义务关系。任甲玉主张的被遗忘权具有三重可能的权利面向，行权目的旨在改变两阶段权利义务关系的具体形态。

关键词：搜索引擎；数据痕迹权利；霍菲尔德权利；理论权利；义务关系；个人信息

4.论配子捐赠辅助生殖后代的基因来源知情权 （《东方法学》2020年第6期）

作者：李晓珊（上海对外经贸大学法学院）

内容提要：我国配子捐赠辅助生殖后代无权知晓捐赠者的任何信息，仅仅是出于婚姻咨询需要时方能确认是否可以与拟结婚对象结婚。配子捐赠辅助生殖后代的基因来源知情权应属亲子关系背景下的具体人格权。通过人权法一般条款、民法典一般条款无法实现该项权利；通过宪法判例路径难以解决该权利与衍生利益之间的冲突问题，且在我国具有不适当性。在我国，适当的路径选择是在民法典的亲子关系部分中确权，赋予捐赠者在捐赠时选择匿名与否的权利，将捐赠者的个人信息进行可识别身份的信息和不可识别身份的信息的类型化，同时在人工辅助生殖法中完善细则。新兴的人格权无法在民法典中详尽列举，而在民事特别法中进行确权应予以考虑。

关键词：基因来源知情权；配子捐赠；具体人格权；立法技术；个人信息；亲子关系

1.政府信息公开案件隐私权问题的实证分析与完善思路  （《法律适用·理论应用》2020年第5期）

作者：白雅丽（最高人民法院民三庭、中国社会科学院法学所）

内容提要：在政府信息公开领域，对隐私权的保护与对个人信息权的保护存在差异。《政府信息公开条例》（以下简称《条例》）第15条规定了对个人隐私的豁免公开。通过案例分析可见，司法裁判通过对该条款的适用积极回应现实需要，但同时在裁量基准和操作性方面也面临一定困难。对涉及隐私的政府信息公开，应首先对隐私性信息进行判断，继而识别信息公开的公共利益，综合认定向第三方征询意见程序的作用，最后通过隐私利益与公共利益的衡量作出决定。

关键词：信息公开；隐私权；个人信息权；利益衡量

2.民法典时代我国公开裁判文书个人信息保护提升路径（《法律适用·司法案例》2020年第20期）

作者：邹劭坤、侯晓焱（中国社会科学院大学政法学院、北京华宇元典信息服务有限公司，北京华宇元典信息服务有限公司）

内容提要：近年来我国裁判文书全面上网发布，强化公众知情权与监督权，促进司法公正；同时，颁布司法解释要求对特定案由的案件、特定类型的信息进行匿名处理，旨在保障公民个人信息权益与公共利益的平衡。检视这一领域的保护实况，在《民法典》颁行背景下呈现独特价值。立足海量样本全面检视、结合典型个案的精细研究表明，当前公开裁判文书在个人信息保护方面还存在提升空间，主要面临目标信息概念的外延模糊、分布位置多元、信息屏蔽难度高等挑战。为此，细化完善保护规则、深入解析有关个人信息的法律概念，并深度融合知识图谱、概念建模、关系识别等计算机技术，为裁判文书中纷繁复杂的个人信息样态提供扎实保护。

关键词：民法典；公共利益；个人信息保护；法律科技；知识图谱

3.网络虚假认证灰色产业链相关行为的刑法规制（《法律适用·司法案例》2020年第22期）

作者：贾元（中国社会科学院法学研究所）

内容提要：网络虚假认证相关的上下游犯罪行为形成的灰色产业链产生了极大的社会危害和负面影响，既助长了网络违法犯罪，又大大增加了监管和执法、司法取证成本，严重破坏了《网络安全法》实名制的规定，影响社会安全生态治理。目前我国刑法并没有针对网络虚假认证相关行为的独立罪名，需要通过法律解释等方法对尚未明确法律属性的灰色产业链相关行为纳入刑法规制范围，并争取在未来的法律修改中将相关行为写入刑法条文之中。

关键词：公民个人信息；网络虚假认证；黑灰产业链；网络犯罪

1.论数据携带权的属性、影响与中国应用 （《法商研究》2020年第1期）

作者：丁晓东（中国人民大学法学院、中国人民大学未来法治研究院）

内容提要：欧盟颁布的《一般数据保护条例》首次在立法中确立了数据携带权，赋予个体无障碍地获取与转移个人数据的权利。但数据携带权并不具有成为一种基本权利的条件，而且可能带来诸多负面影响，不利于数字市场的良性竞争。应当将数据的可携带性视为一种努力目标，并且应当根据不同的情形对数据控制者施加不同的责任。对于中国而言，首先要避免在立法层面照搬照抄欧盟的数据携带权。其次，在涉及数据获取与转移的场合，需要在不同的场景中赋予个体不同程度的数据携带权。在不影响隐私期待及相关主体合法权益的前提下，企业应当为个体提供获取数据的便利，并且不应对普通用户设置数据转移的技术障碍。此外，还可以利用数据携带权倒逼政府实行数据共享。

关键词：数据携带权；个人信息保护；竞争法；政府数据共享

2.超越私权属性的个人信息共享——基于《欧盟一般数据保护条例》正当利益条款的分析（《法商研究》2020年第2期）

作者：商希雪（中国政法大学刑事司法学院、网络法学研究院）

内容提要：在获取、处理、使用和转移个人信息的过程中，各方主体之间存在信息权益冲突，迫切需要规范层面提供协调机制。关于信息权益的主体划分和保护层级、信息正当利益的法律内涵、各方主体利用信息的范围和界限等问题，学界尚未提出明确的解决思路。为推动社会治理和产业经济的数字化进程，个人对信息的绝对控制需要让位于信息正当利益的维护和实现。《欧盟一般数据保护条例》规定在某些情形下应该优先保护信息的正当利益，体现出欧盟调节各方信息权益时的权衡和取舍。借鉴《欧盟一般数据保护条例》的规制路径并结合我国的现实问题，我国立法应构建信息主体、其他自然人、国家机关、企业四方主体共享的个人信息权益体系，以妥善解决各方主体之间的权益冲突。

关键词：个人信息；正当利益；权利共享；《欧盟一般数据保护条例》

3.个人信息保护的法律定位（《法商研究》2020年第3期）

作者：周汉华（中国社会科学院法学研究所）

内容提要：个人信息保护的本质究竟是权利还是权益，民事立法中产生了很多争论。争议的根源在于将人格权（隐私权）与个人信息保护这两项根本不同的制度强行并列，并试图以传统民事权利话语体系来界定个人信息保护，最终难免出现各种矛盾。个人信息保护是信息时代的一项全新挑战，个人信息控制权是需要通过个人信息保护法确立的一项新型公法权利。

关键词：个人信息保护；人格权；隐私权；新型权利；个人信息控制权

1.个人信息安全标准化进路的反思 （《法学》2020年第7期）

作者：崔俊杰（首都师范大学政法学院）

内容提要：围绕“安全保障、技术为基、标准先行”这一网络安全治理方案，我国个人信息安全标准体系正在形成。透过对个人信息安全标准治理有关现象的观察，不论在市场标准向政府标准的转化中，抑或在标准自身的实施过程中，都呈现出许多异化现象。尽管个人信息安全标准化可以在技术治理主义的论证中获得正当性，但是有关标准化的进程不应忽视对标准自身局限性的认知、对被规制者的影响、与之相配套的认证制度建设，以及标准背后的权力真相。监管部门应当处理好个人信息安全“标准先行”与全领域、全要素治理法治化的关系。在为行政权力介入标准治理划定必要界限的同时，监管部门应当摒弃工具主义的管制思维，在个人信息安全标准化进路中更多地关注公共服务。

关键词：个人信息安全；标准；治理机制；法治

2.APP个人信息的刑法保护：以知情同意为视角 （《法学》2020年第8期）

作者：张勇（华东政法大学）

内容提要：我国APP经营者违法违规收集、使用公民个人信息问题突出，APP用户个人信息权益的法律保障不足，依赖个人信息安全和APP行业标准作为认定犯罪的前置性规范。个人信息蕴含着公民个体的具体人格权，同时具有社会公共法益属性，个人信息自决权是公民个人信息的基础权利，知情同意则是个人信息自决权的核心。刑法应处理好个人权利自由保护与价值利用的关系，在信息自由与信息安全之间予以利益平衡。基于个人信息知情同意保护原则，刑法应当参照《网络安全法》及有关收集使用个人信息的行业规范，明确APP运营者对用户知情同意保护义务，通过对侵犯公民个人信息罪中“违反国家有关规定”构成要件进行限制解释，认定APP运营者非法获取、使用用户个人信息或提供给他人的刑事责任；同时，将APP用户知情同意看作刑法上被害人同意的出罪事由，但其出罪功能应受到适度限制。

关键词：个人信息；APP运营者；知情同意；违反国家有关规定；被害人同意

1.个人信息的双重属性与行为主义规制（《法学家》2020年第1期）

作者：丁晓东（中国人民大学法学院、未来法治研究院）

内容提要：个人信息的法律保护依赖于公法对个人信息的定位。在公法与公法理论上，有两种看待个人信息的观点。一种观点认为个人信息权是一种基本权利，个人信息应当受到法律的确权保护；另一种观点则将个人信息视为他人言论自由的对象，个人信息的自由获取与使用受到法律保护。但这两种观点都无法从整体上理解个人信息，个人信息权的观点忽视了个人信息的自由流通属性与公共属性，而个人信息作为言论自由对象的观点则忽视了个人信息背后的多重权益。个人信息兼具个体属性与社会流通属性，应当确立一种“个人信息相关权益被保护权”。从个人信息的双重属性出发，个人信息保护应当在具体场景中确立个人信息收集与利用行为的合理边界。基于场景的行为主义规制更为符合个人信息保护的根本特征，也将为中国的个人信息保护提供一条超越欧美的中国道路。

关键词：个人信息；隐私；基本权利；公法；行为主义规制；场景

2.民法典视角下个人信息的侵权法保护——以事实不确定性及其解决为中心（《法学家》2020年第4期）

作者：阮神裕（清华大学法学院）

内容提要：大数据时代个人信息的收集与处理造成了自然人与信息控制者之间明显的信息不对称，从而使得在侵害个人信息的民事纠纷中，自然人无法证明泄露其个人信息的信息控制者是谁，以至于受害人难以获得救济。为此，司法实践多采取转换证明责任、降低证明标准等方法。然而，这些方法均无法为上述问题提供妥善合理的解决方案。一个合理的解决路径是，重新阐释《民法典》第1170条所规定的共同危险行为的理论基础，不再强调多个被告实施行为的危险性，而是侧重于这些行为客观上造成的证据损害现象。唯此，方能在受害人无法准确证明哪个信息控制者泄露了个人信息的案件中，通过类推适用共同危险行为制度，为受害人提供充分救济。未来我国的个人信息保护法应当对此作出相应规定。

关键词：个人信息泄露；因果关系；共同危险行为；事实不确定性；庞理鹏案

1.关于人格权法理的三点探析（《法治研究》2020年第4期）

作者：刘士国（复旦大学法学院）

内容提要：民法典只是规定了哪些权利是人格权，并没有规定什么是人格权。人格权是民事主体为维护其人格尊严而享有的具有支配性、排他性的绝对权和属于一身的专属权。人格权的核心是维护人格尊严。民法总则制定后之所以设定人格权编，是因为总则的三条规定仅仅是列举远不够详尽，加之我国没有判例法制度，不能像国外那样通过司法完善人格权的判例法体系，而作为社会主义国家更应在立法上作出人格权的充分规定。关于信息人格权，民法典只是规定个人信息受法律保护，内含了个人信息控制权法理，建议制定中的个人信息保护法明确规定个人信息控制权以明晰其人格权的属性。

关键词：人格权；性质；成编理由；个人信息控制权；法理探析

1.我国个人信息匿名化的法律标准与规则重塑（《河北法学》2020年第1期）

作者：张建文、高悦（西南政法大学民商法学院）

内容提要：大数据时代，匿名化规范既是个人信息保护中风险预防的手段，也是我国数据经济发展中数字流通的法律基础，但匿名化的法律标准在我国法律中还有待明确。欧盟已通过《一般数据保护条例》提出明确的匿名化标准，但该条例基于流程设置的标准适用于欧盟境内尚可，适用于我国或显得过于严苛，有碍数字经济的发展。我国个人信息匿名化法律标准与规则的重塑应当考虑环境、再识别风险，建议进行功能性匿名化。将比例原则应用到我国匿名化法律标准和规则的重塑之中，并将其引入到评估匿名信息接收者的风险等级，有助于降低个人信息被再识别的风险亦有利于匿名化的法律标准制定和规则构建。

关键词：大数据；个人信息；匿名化；比例原则；数据流通；风险评估

2.公共卫生风险下的医疗数据流通及其治理变革（《河北法学》2020年第6期）

作者：张玉洁（广州大学法学院）

内容提要：作为公共卫生治理现代化进程中的重要领域之一，医疗数据流通已经在市场化操作、公益性追求以及立法实践等方面得到体现，并且获得了一定的治理成效。但受到医疗数据中个人信息的影响，国家同时也在承担着医疗数据流通的市场化治理风险、立法成效风险和信用风险，由此引发我国在“数据治理”上的整体性变革。为了进一步推动公共卫生治理体系与治理能力的现代化，提升公共健康水平，我国应该采取利用主权区块链完善医疗数据信用机制，重塑数据监管模式，并完善医疗数据的知识产权保护机制，最终形成个人与社会共享受益的新型数据治理模式。

关键词：公共卫生；医疗数据流通；个人信息；国家治理现代化；区块链

3.论网络个人信息的商业化利用及其治理机制 （《河北法学》2020年第7期）

作者：孙南翔（中国社会科学院国际法研究所）

内容提要：大数据等新技术的兴起使网络个人信息成为重要的生产资料。信息治理不仅侧重对网络个人信息的保护，更应实现个人信息的合理利用。网络信息本身具有价值属性，通过明确低敏感的个人信息可利用，网络个人信息利用的市场化机制得以建立。作为转让信息的对价，用户获得互联网服务提供者的等偿服务。作为私主体，信息利用双方承担充分披露、等价交易、诚信交易的义务；作为公权力，政府应保护产权和公平交换，并建立起行政救济机制。当前，我国对网络信息的治理应从绝对保护模式转向“信息保护+合理利用”的双轨制，并从倚重用户事前同意转向关注事中事后诚信利用。唯有如此，我国方能在保障用户信息安全和自决的同时，加快数字经济行业对我国经济发展的推动作用，实现网络强国的目标。

关键词：网络空间治理；网络个人信息；可利用性；市场机制；政府规制

4.个人信息保护中的“识别”要素研究（《河北法学》2020年第9期）

作者：程德理、赵丽丽（同济大学上海国际知识产权学院）

内容提要：个人信息的界定中多将“识别”要素纳入个人信息的构成要件。作为个人信息的核心要素，“识别”的内涵界定决定了个人信息立法的保护范围与强度，进而涉及多方利益的平衡，需要根据经济社会发展状况科学界定与解释。正确理解“识别”这一要素将对我国正在进行的个人信息保护立法及司法产生较大影响。目前我国在个人信息“识别”要素的解释方面仍具有不同的观点。在研究欧盟《通用数据保护条例》个人数据内涵的基础上，结合我国经济发展的实际情况，提出了用狭义解释界定“识别”要素及采用“与特定人事实上相连接”限定识别范围的建议。

关键词：个人信息；识别；关联；保护范围；利益平衡

1.信息权利范畴的模糊性使用及其后果——基于对信息、数据混用的分析（《华东政法大学学报》2020年第1期）

作者：韩旭至（华东政法大学法律学院）

内容提要：信息权利范畴在制度规范、司法裁判与学术研究中常被模糊性使用，并形成了信息与数据并用、信息包含数据、数据包含信息三种类型。这种广泛的模糊性使用的内在原因包括多学科混杂的信息与数据理论、制度历史形成的法律术语差异、随时代变动的信息与数据概念三个方面。而这种模糊性使用的危险在于，其不仅将引发权利设定偏差，且会对法院保护信息权利、进行法律论证造成困扰。为更好地保护信息权利，必须明确信息侧重内容而数据侧重形式，其具有不同的法律特征，归属不同的权利客体，在一定条件下又存在动态转化的可能。

关键词：信息权利；信息；数据；个人信息；大数据

2.个人数据权与个人信息权关系的厘清（《华东政法大学学报》2020年第2期）

作者：周斯佳（河海大学法学院）

内容提要：个人数据权不同于个人信息权。在网络世界里，个人数据权保护的是数据主体的个人数据，而个人信息权保护的则是信息主体合法获得的，并转化为信息的个人数据。个人信息之于信息主体，是因为其能够作为个人信息而具有财产意义，因而个人信息权为财产权，为典型民事权利；而个人数据之于数据主体，不是因为其具有财产意义，而是因为其与数据主体不可分离，因此个人数据权不是财产权，而是人格权。在大数据时代，信息主体与数据主体的关系为民事法律关系，非经数据主体的同意，信息主体不得私自搜集、处理、利用和传输其个人数据。简言之，数据主体对其个人数据具有自决权，而信息主体对数据主体的个人数据则不具有自决权。

关键词：个人数据权；个人信息权；大数据；信息

3.处理个人信息行为的合法性判准——从《民法典》第111条的规范目的出发（《华东政法大学学报》2020年第3期）

作者：于柏华（浙江工商大学法学院）

内容提要：《民法典》第111条规定了一项以保护“控制个人信息传播”为目的的个人信息权。控制个人信息传播的意义在于塑造“他人眼中的自己”，是个体自由发展人格的组成部分，该利益因此不同于其他利益，具有独立性和内在重要性。由“控制个人信息传播”的性质所决定，在信息主体“知情同意”的前提下，他人的个人信息处理行为具有合法性。个人信息权有其内在限度，《民法典》第111条对控制个人信息传播利益的保护并非绝对。在未经信息主体许可的条件下，如果处理他人信息的行为的理由在分量上超过信息主体控制个人信息利益，同样具有合法性。

关键词：个人信息权；控制个人信息传播利益；个人信息处理；合法性判准

4.个人信息私法规制路径的反思与转进（《华东政法大学学报》2020年第5期）

作者：金耀（宁波大学法学院）

内容提要：我国个人信息法律规范存在“先刑后民”的特征，模糊的民法定位导致当前个人信息司法救济存在诸多不确定性，也不利于正在展开的个人信息专门立法。学界对于个人信息的私法属性仍存在较大的分歧，隐私权、知情权、人格权的争议尤为突出。个人信息的多重利益决定了其并不适合套用传统隐私权模式，新的知情权模式并不符合我国现行人格权编的定位。基于个人信息利益的多重性与场景性特征决定了个人信息并不适宜定位为具有支配和排他效力的具体人格权，而应作为一般人格权框架下的法益侵权救济。个人信息专门立法宜采用行为规制路径，围绕着实现个人信息多重利益进行平衡机制的创新。

关键词：个人信息；隐私权；具体人格权；行为规制；场景性

1.我国个人信息保护行政监管的立法选择（《交大法学》2020年第2期）

作者：邓辉（北京大学法学院）

内容提要：在大数据时代，个人信息的重要性愈发凸显。作为个人信息保护的第三大支柱，垂直面的监管制度构建与水平面的权利义务设立同样重要。由于顶层设计的缺失和部门分散立法的局限，我国目前的个人信息保护行政监管存在着目标弱化、主体分散、措施乏力和程序模糊等问题，严重阻碍了个人信息保护水平的提高。面对新兴科技的法律挑战与错综复杂的利益平衡需求，未来的个人信息保护立法应当明确行政监管的主要目标，建立统一和独立的监管机构，提升其专业性和行政级别，细化具体的监管措施，并协调不同保护程序之间的关系。

关键词：个人信息保护；行政监管；监管机构；监管目标；监管措施

1.论我国数据可携权的和缓化路径  （《科技与法律》2020年第1期）

作者：尚海涛（天津师范大学法学院）

内容提要：作为欧盟数据保护改革的明珠，数据可携权的立法可谓精雕细琢，其间充满着立法者的权衡和审慎。《一般数据保护条例》第20条包括数据可携权及其规则边界，数据可携权又分为数据接收权和数据转移权。数据可携权的立法初衷是加强个人权利保障和促进数据产业竞争。我国与欧盟的大数据经济发展不同，因此我国《个人信息保护法》中数据可携权的建构应采取和缓化路径，即先行设立数据接收权，以切实增强数据主体对于个人数据的控制，等条件成熟时，再将数据转移权纳入其中。

关键词：数据可携权；一般数据保护条例；数据接收权；本土化路径；个人信息副本；产业竞争

2.大数据时代被遗忘权本土化的考量——兼以与个人信息删除权的比较为视角（《科技与法律》2020年第2期）

作者：刘学涛、李月（中央财经大学法学院，中国政法大学法学院）

内容提要：大数据时代的来临给个人信息保护带来了全新难题，网络社会中被遗忘权的价值将日益凸显。目前，我国司法实践审判中已经出现了首个引用被遗忘权进行权利救济的案件，尽管法院讨论的焦点为对一般人格权组成要素的判断，但此案引发了学界对被遗忘权本土化的热议。通过对涉及被遗忘权的国内“任甲玉案”和欧盟“谷歌案”进行梳理，不难发现该案件对于学理研究与司法裁判的推动具有举足轻重的重大意义。同时，从法律法规和网络平台规定两个层面对现阶段我国个人信息删除权的相关规定进行梳理与分析，在对被遗忘权和个人信息删除权两者进行对比基础上，可以进一步探求我国被遗忘权本土化的考量因素及其潜在风险。通过对被遗忘权本土化必要性的考量从而得出“推动现有法律规范实施、谨慎对待被遗忘权立法”的观点，被遗忘权本土化值得我们进一步理性思考。

关键词：被遗忘权；一般数据保护条例；个人信息删除权；网络平台

3.大数据时代个人信息保护的困境与出路——基于当前研究现状的评论与反思（《科技与法律》2020年第5期）

作者：时明涛（浙江大学光华法学院）

内容提要：大数据时代个人信息保护立法面临理论与现实双重困境。理论方面主要源自于概念界定模糊，术语使用混乱，对信息技术的误解以及信息权利化本身的难题，现实方面主要来自于信息的特点、信息的多元价值以及信息处理技术的进步。当前我国个人信息保护的分歧主要集中在个人信息的法律属性与保护模式的选择之上。对此，应当明确大数据时代个人信息保护的价值基础在于保护个人信息之上所承载的人格利益，现阶段任何单一路径都无法为个人信息提供完整的法律保护，故应当建立多个部门法相互衔接与配合的综合治理体系。未来我国个人信息保护的研究重点在于明确信息主体的权利空间和提升知情同意原则的有效性。

关键词：个人信息；个人信息权；隐私权；知情同意；数据权

4.大数据时代个人信息商业利用路径研究——基于个人信息财产权的理论检视（《科技与法律》2020年第5期）

作者：郭如愿（北京师范大学法学院）

内容提要：大数据时代，个人无力阻却个人信息的流转，数据企业对个人信息的商业化利用顺应了分享型经济发展共识。个人信息财产权理论旨在强化个人信息的个人控制，实现个人信息的个人财产权益。然而，个人信息财产权理论在逻辑上难以自恰，主张的财产权益分配模式不利于信息产业发展，且不易于维护个人人格权益。个人信息实质体现着人格利益，形式是人格利益载体，个人信息商业化利用的对象是人格利益载体而非人格利益。在“商业利用”与“人格保护”利益冲突、协商中合理分类个人信息，妥切安排不同类型个人信息的商业化利用，是为大数据时代个人信息商业利用之道。

关键词：大数据；个人信息；个人信息财产权理论；人格权；商业利用

5.公共卫生事件中个人信息权的限制与保障（《科技与法律》2020年第5期）

作者：周玺萱、徐亚文（武汉大学法学院）

内容提要：公共卫生事件中，个人信息的利用可以在预测分析疫情的发展、防止疫情的扩散等方面发挥重要作用。为了维护公共利益、保障特殊时期的秩序，以个人信息权为代表的个体权利受到了一定限制，这种限制是必要的，但必须坚持目的明确原则、比例原则、安全原则及公开原则。在限制的同时，应加强个人信息权的保障以避免其受到无边界的限缩，促进个人信息在疫情防控中得到合法、有效地利用。借鉴域外经验，我国可以通过明确信息最小化原则和合目的性原则、保障信息主体的知情权和删除权、有限度和附条件的公开及公私并重的保护模式等实现公共卫生事件中个人信息保护与利用的共赢。

关键词：公共卫生事件；个人信息权；信息利用；限制；保障

1.数字人权时代人脸识别技术应用的治理 （《现代法学》2020年第4期）

作者：郭春镇（厦门大学法学院）

内容提要：在数字人权时代，人脸识别技术的发展给我们的日常生活带来相当多的便利，但也给个人信息、隐私和财产带来风险，并且给人的尊严带来被贬损的可能。在兼顾产业发展的同时，我们应对人脸识别技术的应用持审慎态度。对该技术的应用带来的风险、其所涉的数据提供者、控制者、使用者和监管者等各方的利益，以及公共利益进行衡量。并在此基础上采取以下措施：首先，通过公权力机关的推动和公民自我认知的提升形塑“数字理性”主体。其次，立足现有规范体系和现实，将个人信息保护的“知情同意”架构进行柔韧化处理，建构合理的规范体系。最后，通过强化数据掌控者和监管者的责任、推动公众和专业人士的有效参与、建构兼容“知情同意”框架的制度体系等方式，形成基于责任和参与的多重治理机制。这些措施是保护个人信息安全的路径，也是实现数字人权的应有之义。

关键词：人脸识别；个人信息；隐私；数字人权

1.作为刑事诉讼权利的个人信息权（《政法论坛》2020年第5期）

作者：郑曦（北京外国语大学法学院）

内容提要：信息时代下，刑事诉讼中有确立个人信息权的需求与空间，但最大的难题在于个人信息权是否具有诉讼权利的身份。刑事诉讼中，个人信息权与诉讼权利不仅在权利结构、特征方面极为相似，而且有相关规范依据佐证其作为诉讼权利的合理性。既然个人信息权可以被纳入诉讼权利体系，则根据利益位阶分析法，可以将其定位为第三层级的诉讼权利，并根据此种诉讼权利层级划分的方式，妥善处理其与高层级、同层级和低层级诉讼权利的关系，从而在引入个人信息权之后保持刑事诉讼原有诉讼权利体系的稳定，促进个人信息权保障的顺利实现。

关键词：个人信息权；刑事诉讼；诉讼权利；层级划分

1.大数据时代“个人信息”的权利变迁与刑法保护的教义学限缩——以“数据财产权”与“信息自决权”的二分为视角（《政治与法律》2020年第6期）

作者：张忆然（清华大学法学院）

内容提要：为了适应大数据时代的数据经济和个人权利保护，民法上的发展方向是对个人信息权利属性进行“信息自决权”和“数据财产权”的划分，以“情境”或“场景”为核心的个别化保护方法成为近年来数据保护领域的发展趋势。在刑法教义学维度上，重要的问题不仅在于个人信息的保护法益如何确定，更在于如何根据个人信息的不同权利属性，合理限缩有关罪名的构成要件。对个人信息“信息自决权”的保护，宜立足于“情境脉络完整性理论”，对“已公开”个人信息的值得保护性加以判断，重新阐释侵犯公民个人信息罪中“非法获取”行为的教义学含义；对于“知情同意”原则应予弱化，并类比医疗刑法中患者的“知情同意”，赋予刑法上构成要件阻却之效力。对个人信息“数据财产权”的保护，在流转环节不适用“知情同意”原则，不能将“未经同意”等同于“违反国家规定”。单纯转让数据财产权不属于侵犯公民个人信息罪中的“出售”或“提供”行为，例外侵犯信息自决权时应认定为“出售”或“提供”行为。

关键词：个人信息；信息自决权；数据财产权；侵犯公民个人信息罪

2.论我国民法典中个人信息权益的性质（《政治与法律》2020年第8期）

作者：程啸（清华大学法学院）

内容提要：由于对个人信息权益的性质存在争议，我国《民法典》没有使用“个人信息权”的表述。从我国《民法典》对个人信息保护的规定来看，可以明确的是，自然人对其个人信息享有的是作为民事权益的人格权益，而非公法上的权利。自然人就其个人信息享有的人格利益和经济利益都可以通过作为人格权益的个人信息权益予以涵盖并保护，无需再确认作为财产权的个人信息权益。在我国法上，自然人就其个人信息所享有的民事权益是一项新型人格权益，其与隐私权在权利性质、许可使用、侵害行为以及处理规则等方面存在差异。对于作为隐私的私密信息首先适用隐私权的保护规则，法律对隐私权没有规定的，应适用个人信息保护的规定。

关键词：民法典；自然人；个人信息；人格权益；隐私权

3.我国《民法典》个人信息合理使用的情形清单与评估清单——以“抖音案”为例（《政治与法律》2020年第11期）

作者：卢震豪（清华大学法学院）

内容提要：在我国法上，结合《民法典》规范解释与“抖音案”判决思路，比较著作权合理使用制度，个人信息合理使用的法律适用应采“双清单模型”即先满足“开放情形清单”再满足“开放评估清单”，两者皆满足方构成个人信息合理使用。“开放情形清单”优先适用《民法典》第1036条，其次适用第999条，再按第1023条转致适用第1020条，其中遵循“维护公共利益与私权益”目的标准的非穷尽列举。“开放评估清单”应先考虑“抖音案”中司法创制的“三方面说”，再适用《民法典》第1035条的“三原则说”。个人信息合理使用是抗辩而非权利，因此“抖音案”存在程序瑕疵。个人信息合理使用并不排除商业使用，应在“三方面说”的方面二中增设“转换性因素”。互联网平台商业使用的创新转换性越高，构成个人信息合理使用的可能性越大。

关键词：个人信息；合理使用；民法典；情形清单；评估清单

1.大规模侵害个人信息高额罚款研究（《中国法学》2020年第5期）

作者：孙莹（西南政法大学人工智能法学院）

内容提要：遏制大规模侵害个人信息是保障自然人个人信息权益、维护公共利益和社会秩序、调整失衡的企业和个人力量、规制互联网竞争生态的需要。对于遏制大规模侵害个人信息，民事追责与刑事定罪均有局限；强化行政执法有必要性，其关键是实施高额罚款。基于贝叶斯纳什均衡等经济分析可知，高额罚款对遏制大规模侵害个人信息是有效的。鉴于欧盟和美国的实践，我国宜对中外企业平等适用高额罚款，以顺应全球个人信息保护的强监管趋势。在现有体制下，赋予网信办实施高额罚款的行政处罚权，并由其负责建立联合执法机制，符合新时代党和国家机构改革面向和依法治国要求。罚款的具体数额应在参考受害人数量、损害大小及侵害公共利益的严重程度等因素基础上，根据大、中、小、微四种不同规模企业的年度平均营业收入进行计算。为保护行政相对人的基本权利，还应规定相应的听证与复议程序。

关键词：大规模侵害个人信息；行政执法；高额罚款

1.论法人信息的刑法保护 （《中国刑事法杂志》2020年第3期）

作者：王肃之（最高人民法院）

内容提要：在信息化的产业革命中，各类侵犯信息犯罪的对象日益转向法人信息，亟须从刑法层面研究如何实现对其有效保护。不同国家就法人信息存在立法分歧，德日等国家基于个人主义的立场，将个人信息限定于自然人信息，另有一些国家认为法人信息也属个人信息范畴。我国和德日在规范模式、立法渊源等方面存在差异，在法益体系上也采取了不同的立场，应自行探索法人信息的刑法保护模式。法人信息应当与法人信息权相区别，并基于信息性、识别性和法益关联性进行界定。在刑法规范建构过程中，应注重个人信息范围的延展、法人信息类型的法定化以及非法利用行为的入罪化。

关键词：法人信息；个人信息；识别性；法益关联性；规范建构

1.疫情防控中个人信息保护的边界——一种利益相关者理论的视角 （《中国政法大学学报》2020年第4期）

作者：唐彬彬（中国人民公安大学法学院）

内容提要：疫情防控中的个人信息具有多重价值和利益，涉及到个人、国家、社会公众等多方利益相关者，个人利益并非立法唯一保护的客体。基于疫情防控需求，对个人信息的收集与处理在个人信息保护上存在一定不足：扩大信息收集主体可能加大个人信息泄露风险；知情同意的例外减少了信息主体对信息使用的参与度。从相关者的利益衡量来看，在具体的社会背景下，基于法益位阶以及疫情防控措施全面、效率的考量，对部分个人信息保护利益的限制具有正当性。但是，应当在事后通过强化个人信息保护机制，对上述个人信息利益的限缩予以矫正。从个人信息利益多元化的本质出发，疫情防控中合理、正当的个人信息保护应当从两个维度入手：一是构建“宽进严出”的个人信息保护机制；二是强化个人健康医疗信息的特殊保护。

关键词：疫情防控；个人信息；利益相关者；利益衡量

2.个人信息保护法与刑事司法的分离与融合（《中国政法大学学报》2020年第5期）

作者：裴炜（北京航空航天大学法学院）

内容提要：《个人信息保护法》已列入全国人大常委会立法规划，作为该领域的统领性法律，其内容和结构需要关照到不同适用领域的实质差异。刑事司法因其打击犯罪之任务而具有高度强制性，其在个人信息保护方面与民商事领域或行政执法领域的规制逻辑起点和思路存在较大差异，集中表现为在知情同意原则、合目的性原则、特殊主体保护制度和信息出境审查制度等四个方面的例外适用。建立全面、综合、有效的个人信息保护制度，同时避免个人信息保护制度的不当设计阻碍刑事诉讼的顺利进行，其前提是充分认识到刑事司法制度的特殊性。在此基础上，一方面在一般个人信息保护制度上为其设置例外，另一方面在刑事诉讼制度内部建立起符合其特性和规律的个人信息保护规则，从而形成个人信息保护制度与刑事司法制度的合理衔接。

关键词：个人信息保护；知情同意；合目的性；特殊主体保护；信息出境审查

1.个人信息权利的反思与重塑——论个人信息保护的适用前提与法益基础（《中外法学》2020年第2期）

作者：丁晓东（中国人民大学法学院）

内容提要：社会需要从隐私权保护过渡到个人信息保护，这已是共识，但学界缺乏对个人信息保护适用前提的研究。个人信息权利保护的适用前提是存在持续性的信息不平等关系，因此知情权、选择权、访问权、纠正权、删除权等权利不能针对信息能力平等的主体，也不能针对国家执法过程中产生的非持续性信息收集与处理行为。个人信息保护即信息隐私保护，区别于侵权隐私保护与执法隐私保护，其制度也不是传统部门法的简单叠加。此外，个人信息权利保护的法益基础具有多元性，有的信息权利可能对自身、他人、企业、市场与公众都有负面影响。因此，个人信息保护是为了实现“合理与正当的信息实践”，应当在具体场景的信息关系中确定个人信息权利的边界。

关键词：个人信息；适用前提；法益；公平信息实践；不平等信息关系

2.论我国民法典中的个人信息合理使用制度 （《中外法学》2020年第4期）

作者：程啸（清华大学法学院）

内容提要：为协调个人信息保护与利用的关系，我国《民法典》对个人信息的合理使用制度作出了规定。我国法上的个人信息合理使用是对自然人享有的作为人格权益的个人信息权益的限制。我国《民法典》从三个层面对个人信息的合理使用进行了规范。在总则编层面上的抽象性规范就是对公序良俗、诚实信用以及不得滥用权利等原则和免责事由的规定；在人格权编一般性规定的层面，是第998条明确的认定人格权侵权责任应当考虑的主要因素，以及第999条对人格权合理使用的规定；而直接针对个人信息合理使用的具体规定，是《民法典》第1036条规定的侵害个人信息的免责事由。可以合理使用个人信息的情形主要分为三类，即维护公共利益（国家利益和社会公共利益），保护个人信息权益主体的合法权益以及合理处理已经合法公开的个人信息。

关键词：民法典；个人信息；合理使用；处理；免责事由