主题研讨：个人信息保护法研究

　　社会风险控制抑或个人权益保护——理解个人信息保护法的两个维度

　　作者：梅夏英，对外经济贸易大学法学院教授。

　　内容提要：个人信息在《民法典》中被确认为一种人格法益，在理论和立法上确立了我国个人信息的私法保护面向。个人权益保护成为构建和理解个人信息保护的重要维度和线索。由于个人信息保护的公共目标和功能可能被个人私益保护的进路所覆盖或消解，因此有必要将社会风险控制作为个人信息保护的重要维度来对待。社会风险控制一直是电子化时代个人数据保护的基础性目的，它对于个人信息保护的相关理论和制度具有很强的解释力和动态构建作用。社会风险控制和个人权益保护两种进路在相关基础问题上出现分歧，如个人信息与隐私的基础关系、一般性保护与场景化保护以及本权与保护权的关系等。在《个人信息保护法》实施过程中，社会风险控制进路有助于合理解读和执行法律，把握风险大小与控制措施的合理匹配，以及在平衡相关立法价值的前提下，释放信息的流动性。

　　关键词：社会风险控制 个人信息权益 知情同意 场景化 基本权利

　　捍卫权利模式——个人信息保护中的公共性与权利

　　作者：朱振，吉林大学理论法学研究中心教授。

　　内容提要：个人信息权和个人信息受保护权是两种相对立的模式，学界通常认为个人信息权赋予个人排他性的支配权，这与个人信息的公共性相矛盾。个人信息的公共性并不必然反对权利模式。一种广义的公共性包含着个人信息所负载的公共利益，个人信息的公开化也是网络时代个人和商业交往的必要前提，但这并不意味着要否定个人信息保护的权利模式。公共利益具有多样性，正是某些公共利益支持了权利。权利所蕴涵的主张权确保了人的尊严和自由，这也是个人信息保护法的立法宗旨；个人信息受保护权做不到这一点，它不具有义务指向性。但在立法模式上，个人信息保护法要以义务性规范或禁止性规范为主，这是由网络空间个人信息的性质决定的。

　　关键词：个人信息 权利 公共性 共同善

　　隐私的价值独特性：个人信息为何应受保护？

　　作者：陈景辉，中国人民大学法学院教授。

　　内容提要：要想准确理解已经开始施行的《个人信息保护法》，就必须恰当回答“个人信息为何值得保护”的问题，而这个问题的答案经常与“隐私”的价值关联在一起。但是，对隐私的理解，主要被一种“隐私并不具备独特价值”的化约论所统治；因此，只有击败化约论，才能最终证明隐私的价值独特性，也才能最终说明隐私为何值得保护。击败隐私化约论最主要的理由是，如果认为隐私不具备价值独特性，那么对任何特定个体而言，就只能提供“我是我”的对待，而这种对待将会带来贬损、甚至否认“我是人”的结果，这将会严重损害人的尊严。

　　关键词：隐私 个人信息 化约论 尊严

　　个人信息权的宪法（学）证成——基于对区分保护论和支配权论的反思

　　作者：张翔，北京大学法学院教授。

　　内容提要：《个人信息保护法》最终纳入“根据宪法”条款，表征着个人信息保护法律体系在底层逻辑上的更动。民法学上权利与利益的区分保护原理，难以适用于整个合宪性法秩序。应将个人信息权确立为宪法位阶的基本权利，并以基本权利作为针对国家的主观防御权和辐射一切法领域的客观价值秩序的原理，协调个人信息保护的私法机制和公法机制。通过对人权条款笼罩下的通信权和人格尊严条款的解释，可以在学理上证立“基本权利束”性质的个人信息权。但其具体保护则应分别归入不同基本权利条款，作出区分化、差异化的多层次构造。个人信息保护的支配权思维有其局限，告知同意模式的式微是重要表现。应将个人信息权的规范目标调整为人格的自由发展，指向免于他人的人格干预。从支配权到人格发展权的思维转换，有助于规制对已收集信息的不当利用、破除“信息茧房”、缓和个人信息保护与利用之间的紧张，以及在“个人—平台—国家”的三方关系中有效保护个人的自决，同时为数据产业保留发展空间。

　　关键词：个人信息保护 基本权利的双重性质 支配权 人格发展 国家保护义务

　　个人信息权的体系化解释——兼论《个人信息保护法》的公法属性

　　作者：汪庆华，北京师范大学法学院教授。

　　内容提要：《个人信息保护法》是数字时代个人信息保护的基本法。它采取了将个人信息权作为新兴公法权利的思路，确立了完整的个人信息权利保护体系，在个人信息保护问题上和《民法典》一起形成了公私法共同协力的进路。《个人信息保护法》以权利束的方式规定了个人信息主体的知情权、决定权、查阅权、复制权、更正权、删除权、可携带权和信息权利救济权等。《个人信息保护法》从立法依据、权利体系、条文设计和规制措施上都体现出鲜明的公法属性，这也可以从基本权利的双重面向和个人信息国家保护义务得到理论上的证成。这部法律是数字时代公法秩序的基石，它对公法边界的形塑仍需通过其实施来确立。

　　关键词：个人控制　个人信息权　国家保护义务　公法属性

　　个人信息流通利用的制度基础——以信息识别性为视角

　　作者：高富平，华东政法大学法律学院教授。

　　内容提要：《个人信息保护法》以信息主体同意为基础，构筑了个人控制的个人信息直接利用制度，但其是否为流通利用提供了通道仍存疑问。信息因其识别性能的差异，可区分为直接标识符、间接标识符和准标识符，三者给个人权益带来的危害风险不同。《个人信息保护法》规定的匿名化和去标识化本质上是针对特定数据集中信息识别风险的制度安排，能消除因信息本身识别性产生的风险，而很难消除基于识别分析的识别性产生的风险。因此，缺失针对“基于识别分析的识别性产生的风险”的措施，现行关于匿名化和去标识化的规范均不能支撑个人信息流通利用。去标识化需要改造成为“去直接标识符＋识别控制”的受控去标识化制度，在防控个人信息识别风险的前提下，为个人信息流通利用提供制度保障，以最大化实现个人信息的社会价值。

　　关键词：个人可识别　去标识化　匿名化　个人信息流通利用

　　理论前沿

　　重大公共卫生事件下的刑事政策模式

　　作者：彭文华，上海政法学院刑事司法学院教授。

　　内容提要：坚持道德理性而否认规范理性，或者主张规范理性而排斥道德理性，都是有失偏颇的。规范目的与整体法秩序目的是两种不同层次的目的，两者互补互济、相辅相成，能有效衡平社会伦理道德与刑法规范的关系，并使刑法适用保持活性与弹力，充分迎合司法实践需要。信守规范目的而忽视整体法秩序的刑事政策，有时不利于维护社会共同体利益。信奉整体法秩序目的而忽视规范的刑事政策，可能不利于保护共同体成员的个人权益。重大公共卫生事件下，传统刑事政策面临诸多困境，应贯彻刑事政策发展模式。刑事政策发展模式要求正当事由得到现实化延伸，合理调适定罪量刑标准，扩展刑法解释体系范畴。刑事政策发展模式下，需要严控适用范畴，合法约束模糊管理，有效限制道德理性和规制辩证逻辑。

　　关键词：公共卫生事件　刑事政策模式　规范与道德　刑法正当性　双重目的论

　　合规计划有效性评估的制度构成

　　作者：周振杰，安徽师范大学法学院教授。

　　内容提要：刑事合规的核心是能够有效实施的合规计划。合规计划有效性评估的制度构成应涉及评估主体、评估对象与评估讨论等几方面。评估主体应具备专业背景和承担法律责任的能力，因此目前第三方组织作为评估主体的思路有其合理之处，但是在构成方式、人员性质等方面仍值得商榷。合规计划有效性的评估对象应包括合规计划本身及其实施情况。在评估涉案企业的具体合规计划时，应根据合规计划是制定、实施于犯罪之前还是之后，对评估标准略作区分，并遵循坚持动态评估、强调内部评估、尊重常识判断与关注个案报告的原则。评估结论目前是检察机关在起诉阶段作出是否起诉等决定的重要参考。如果未来全面建立起企业合规制度，评估结论还应是审判机关定罪量刑的重要情节，建议司法机关将其明确为鉴定意见。

　　关键词：刑事合规　合规计划　有效性评估　第三方组织

　　行政法上的客观法与主观法

　　作者：黄宇骁，上海交通大学凯原法学院助理教授。

　　内容提要：针对如何理解行政法上客观法与主观法的关系，存在三种基本立场。主客观法分离立场认为维护公益的行政法与公民个人权利形成对峙。该立场存在无法关联违法性与侵权性、抱持无视宪法的行政法观等疑问。主客观法结合立场主张从客观法中分出一部分请求权对应行政主体法定义务。该立场存在宪法与行政法平台错位、公益与私益纵向割裂等局限。主客观法统一立场将客观法当作主观法的全部集合，权利由客观法分解得来。该立场是理解行政法主客观法关系的妥当见解。在分配行政与利害调整观念下，特定或不特定复数私人主体间基于行政法律规范的各种利益与不利益冲突、对立并交织而成的利害关系网才是行政实体法律关系的本质，行政法上的实体权利应当由此导出。遵循“利害关系→合法权益”而非“合法权益→利害关系”的逻辑顺序才是判断行政诉讼原告资格的正确方法。

　　关键词：保护规范理论　主观公权利　行政诉讼原告资格　行政法律关系　实体请求权

　　判解研究

　　“人脸识别第一案”判决的法理分析

　　作者：劳东燕，清华大学法学院教授。

　　内容提要：“人脸识别第一案”之所以备受瞩目，不只在于其涉及如何平衡个人信息保护与个人信息商业化运用之间的关系，更在于其涉及法律应当如何正当而合理地分配科技所带来的效益与风险问题。两审法院的判决认可信息主体的删除权，有值得肯定之处，但同时也有令人遗憾之处。两审法院的判决在价值取向上支持产业界，故而对现行法律做了有利于信息处理者的选择性解读。从社会效果而言，判决所传递的信息并不利于加强对个人信息的保护，既难以有效激励信息主体在自身信息权益受到侵害时积极进行维权，也无法对信息处理者的侵权与违约行为形成有力威慑。技术中立是个伪命题且具有误导性，因为技术不只处于科技系统之内，它也作用于现实社会并对之加以塑造。

　　关键词：生物识别信息　个人信息保护　技术中立　知情同意　删除权

　　有效益的交易：合同诈骗罪规范目的证成——以骗逃部分铁路运费案为分析重点

　　作者：蔡道通，南京师范大学法学院教授。

　　内容提要：合同诈骗罪“兜底条款”如何理解与解释，存在的争议焦点之一是怎样看待合同诈骗罪“列明”行为的价值以及其是否具有构成要件的意义。骗逃部分铁路运费的行为，能否以合同诈骗罪的“兜底条款”定罪处刑，目的解释是可否入罪判断需要坚持的最为重要的解释原则，目的论限缩是填补刑法隐蔽性漏洞的有效方法。符合规范保护目的的行为，应当通过目的论限缩将其出罪化。合同诈骗罪所涉的市场秩序与公私财产损失，是指没有交易目的或者基础、欠缺交易效益与效率前提下的市场秩序与财产损失。有效益或者有效率的、合乎交易目的的合同欺诈行为，不属于合同诈骗罪的规制范围。源于罪刑法定原则的要求，目的解释只应当用于出罪化。经济犯罪的刑法教义学研究与规范目的的理解，离不开社科法学智识的浸润、滋养与支撑。否则，经济犯罪的刑法解释与司法适用，就有可能违反基本的经济规律与经济法则而走向谬误。骗逃部分铁路运费的行为，不应当按照合同诈骗罪的“兜底条款”定罪处刑。

　　关键词：合同诈骗罪　兜底条款　目的解释　目的论限缩　目的论扩张

　　国际法研究

　　后“Schrems Ⅱ案”时期欧盟数据跨境流动法律监管的演进及我国的因应

　　作者：杨帆，浙江理工大学法政学院讲师。

　　内容提要：“Schrems Ⅱ案”对以隐私权和数据保护为核心构建的欧盟数据跨境流动规则体系产生重大影响，它要求无论使用何种数据跨境流动工具，都必须确保第三国能够提供与欧盟同等的保护水平。在该案的影响下，《欧盟基本权利宪章》在数据保护领域的地位进一步提高，保障措施的适用愈发严苛，欧洲数据保护委员会在数据保护领域将扮演更重要的角色，数据跨境流动欧盟法规则与国际贸易法的不兼容问题日益凸显。欧盟虽然结合Schrems Ⅱ案的判决完善了对数据跨境的法律监管，但依然没有减少外界对其监管合理性的质疑。我国对数据跨境流动的监管存在着配套立法不健全、规则可操作性差、多元价值失衡、缺乏内外联动的“中国方案”等问题。对此，应完善我国相关立法，加强中欧国际合作，共同引领构建数据跨境流动的国际规则。

　　关键词：Schrems Ⅱ案　数据跨境流动　“充分性”认定　数据安全　个人信息保护法