个人信息保护风险规范的建构机理与实现路径

江西财经大学学报 ›› 2022, Vol. 0 ›› Issue (3): 126-136.

个人信息保护风险规范的建构机理与实现路径

张璐

清华大学法学院,北京 100084

收稿日期:2021-11-17 修回日期:2022-03-17 出版日期:2022-05-25 发布日期:2022-06-15
作者简介:张璐,清华大学、牛津大学联合培养博士研究生,主要从事民商法学、计算法学、数据法学研究,联系方式zhang-118@mails.tsinghua.edu.cn.
基金资助:
国家社会科学基金重大项目“互联网经济的法治保障研究”(18ZDA149); 中国法学会民法学研究会青年学者项目“我国个人私密信息的界分与保护研究”（2020MFXH007）

The Construction Mechanism and Realization Path of Risk Specifications for Personal Information Protection

ZHANG Lu

Tsinghua University, Beijing 100084, China

Received:2021-11-17 Revised:2022-03-17 Online:2022-05-25 Published:2022-06-15

摘要/Abstract

摘要： 数字时代的个人信息制度是一种前置性保护规范,旨在防范因个人信息被滥用而可能产生的抽象危险。个人信息保护的风险规范路径符合数字经济发展现实,是数字时代个人信息保护的最佳范式。个人信息处理行为引发的风险可以通过“结果”和“行为”两种角度予以评估,对个人权益侵害“高风险”的判断包括风险发生可能性和风险严重程度两个方面。可归责性原则是风险规范路径的基本原则,中国个人信息保护制度综合“自下而上”和“自上而下”两种风险规制的实现路径,在差异化风险、类型化平台、分层级义务等方面仍存在问题,应从宏观上整体把控风险路径,中观上强化信息处理者的规范引导,微观上细化不同场景下的风险规范,形成一整套风险可控、高效全面的保护机制。

关键词: 个人信息保护, 风险影响评估, 风险规范, 隐私权, 数据合规

Abstract: The personal information system in the digital age is a pre-emptive protection norm, which aims to prevent the abstract danger that may arise from the abuse of personal information. The risk specification path of personal information protection is in line with the reality of the development of the digital economy and is the best paradigm for personal information protection in the digital age. Risks triggered by personal information processing behaviors can be assessed from the two perspectives of “results” and “behaviors”. The judgment of “high risk” in personal rights violations includes two aspects: the possibility of risk occurrence and the severity of risks. The principle of accountability is the basic principle of the risk regulation path. China’s personal information protection system integrates the two risk regulation paths, i.e., “bottom-up” and “top-down”, but there still exist such problems as differentiated risks, categorized platforms, hierarchical obligations, etc. It is necessary to control the risk path as a whole from the macro level, strengthen the normative guidance of information processors from the meso level, and detail the risk norms under different scenarios on the micro level, so as to form a set of risk controllable, highly efficient and comprehensive protection mechanism.

Key words: personal information protection, risk impact assessment, risk specifications, privacy right, data compliance

中图分类号:

D923.8

张璐. 个人信息保护风险规范的建构机理与实现路径[J]. 江西财经大学学报, 2022, 0(3): 126-136.

ZHANG Lu. The Construction Mechanism and Realization Path of Risk Specifications for Personal Information Protection[J]. Journal of Jiangxi University of Finance and Economics, 2022, 0(3): 126-136.

参考文献

[1] 杨立新. 个人信息:法益抑或民事权利——对《民法总则》第111条规定的“个人信息”之解读[J]. 法学论坛,2018,(1):34-45.
[2] 程啸. 论我国民法典中个人信息权益的性质[J]. 政治与法律,2020,(8):2-14.
[3] 高富平. 个人信息处理:我国个人信息保护法的规范对象[J]. 法商研究,2021,(2):73-86.
[4] 王利明. 论个人信息权的法律保护——以个人信息权与隐私权的界分为中心[J]. 现代法学,2013,(4):62-72.
[5] 商希雪. 个人信息隐私利益与自决利益的权利实现路径[J]. 法律科学,2020a,(3): 71-85.
[6] 杨芳. 个人信息保护法保护客体之辨——兼论个人信息保护法和民法适用上之关系[J]. 比较法研究,2017,(5):74-86.
[7] 于柏华. 处理个人信息行为的合法性判准——从《民法典》第111条的规范目的出发[J]. 华东政法大学学报,2020,(3):81-93.
[8] 周汉华. 个人信息保护的法律定位[J]. 法商研究,2020,(3):44-56.
[9] 王锡锌. 个人信息国家保护义务及展开[J]. 中国法学,2021,(1):145-166.
[10] 商希雪. 超越私权属性的个人信息共享——基于《欧盟一般数据保护条例》正当利益条款的分析[J]. 法商研究,2020b,(2):57-70.
[11] 郑晓剑. 个人信息的民法定位及保护模式[J]. 法学,2021,(3):116-130.
[12] 吕炳斌. 个人信息权作为民事权利之证成——以知识产权为参照[J]. 中国法学,2019,(4):44-65.
[13] 杨立新. 中国民法总则研究(下卷)[M]. 北京:中国人民大学出版社,2017.
[14] 梅夏英. 在分享与控制之间——数据保护的私法局限和公共秩序构建[J]. 中外法学,2019,(4):845-870.
[15] Gellert R.The Risk-Based Approach to Data Protection[M]. Oxford: Oxford University Press, 2020.
[16] 丁晓东. 论个人信息法律保护的思想渊源与基本原理——基于“公平信息实践”的分析[J].现代法学,2019,(3):96-110.
[17] Nissenbaum H.Privacy in Context[M]. Stanford: Stanford Law Books, 2010: 11-13.
[18] Blackman J., Omniveillance. Google, Privacy in Public, and the Right to Your Digital Identity[A]. Tort for Recording and Disseminating an Individual’s Image over the Internet[J]. Santa Clara Law Review,2009,(49):313-392.
[19] Nissenbaum H.Protecting Privacy in Public: The Problem of Privacy in the Information Age[J]. Law and Philosophy,1998,(17):559-596.
[20] 谢远扬. 个人信息的私法保护[M]. 北京:中国法制出版社,2016.
[21] 常宇豪. 论信息主体同意权的绝对化困境与相对性重构——兼论《个人信息保护法(草案)》(二审稿)同意制度的完善[J]. 江西财经大学学报,2021,(5):116-127.
[22] 刘泽刚. 大数据隐私权的不确定性及其应对机制[J]. 浙江学刊,2020,(6):48-58.
[23] 梁慧星. 民法总论[M]. 北京:法律出版社,2017.
[24] 谢鸿飞. 个人信息泄露侵权责任构成中的“损害”——兼论风险社会中损害的观念化[J]. 国家检察官学院学报,2021,(5):21-37.
[25] 彭诚信. 论个人信息的双重法律属性[J]. 清华法学,2021,(6):78-97.
[26] Omri B.S. Data Pollution[J]. Journal of Legal Analysis,2019,(11):104-159.
[27] 张新宝. 论个人信息权益的构造[J]. 中外法学,2021,(5):1144-1166.
[28] 杨芳. 个人信息自决权理论及其检讨——兼论个人信息保护法之保护客体[J]. 比较法研究,2015,(6):22-33.
[29] Black J.The Emergence of Risk-based Regulation and the New Public Risk Management in the United Kingdom[J]. Public Law,2005,512-549.
[30] Power M.Organized Uncertainty: Designing a World of Risk Management[M]. Oxford: Oxford University Press:2007.
[31] Society R.Risk: Analysis, Perception and Management. A Report of a Royal Society Study Group[M]. London: The Royal Society,1992.
[32] Demortain D.Scientists and the Regulation of Risk— Standardising Control[M]. London: Edward Elgar Publishing,2011.
[33] 宁园. 敏感个人信息的法律基准与范畴界定——以《个人信息保护法》第28条第1款为中心[J]. 比较法研究,2021,(5):33-49.
[34] 王利明. 敏感个人信息保护的基本问题——以《民法典》和《个人信息保护法》的解释为背景[J]. 当代法学,2022,(1):3-14.