个人数据安全的法律保护模式——从数据确权的视角切入

个人数据权益的多元性,决定了个人数据在不同场景中的权属不同,这意味着对不同权属性质的个人数据,提供的法律保护模式也不同。我国对个人数据的法律保护模式有三种:财产权保护模式、人格权保护模式和平台保护模式。鉴于当前我国数据确权的制度安排尚未完成、数据的人格权保护没有得到公益救济、数据利益的损害赔偿无法实现,有必要对不同权属性质的个人数据作出有针对性的调整方案:在方法论上应突破私法或公法的思维局限,在立法论与数据应用实践层面,对现有的个人数据保护模式作出相应的调整,通过商业秘密保护模式拓宽数据财产权的保护路径,利用个人数据场景化保护模式弥补人格权保护模式的虚置,利用平台保护模式优化数据安全法律保护的制度设计。     

大数据背景下个人生物识别信息安全的法律规制

个人生物识别信息具有个人数据的唯一性、程序识别性、可复制性、损害的不可逆性及信息的关联性等特征。在大数据背景下,个人生物识别信息的广泛应用会带来严重的生物信息安全风险,其滥用可造成隐私权、平等权和财产权等权益受到侵犯,需要立法进行全方位规制。我国目前个人生物信息的相关立法存在总体位阶较低且内容分散、保护范围狭窄、权利义务边界不清、法律责任不明晰等缺陷,应当采取渐进式专门立法的思路,完善现有相关部门法关于个人生物信息的规制内容,构建层次分明、内外协调的个人生物识别信息安全保护的法律体系。     

民法典框架下个人数据财产法益的体系构建

从欧盟个人数据保护相关立法的变迁可以发现,个人数据从隐私权保护的传统模式开始出现向财产权保护模式过渡的迹象。这并不意味着数据产业界的新机会,而是调节数据主体与数据控制者之间日益失衡关系的新尝试。财产权保护模式有着隐私权保护模式无可比拟的优势,却也存在权利定性和范围界定上的困难。与非个人数据更为鲜明的财产属性不同,个人数据上的民事权益应该构建为一个以数据主体的财产利益为基础、以数据控制者对个人数据的占有利益为核心的财产法益体系。数据控制者及其义务作为个人数据财产法益体系的中心,才能在保护数据主体和发挥数据效用之间保持平衡。     

论数据使用保护的国际知识产权制度

商业组织在全球范围内使用数据获得法律保护是数据经济进一步发展的基石。对数据使用的知识产权保护意味着保护“数据”的各种外在呈现形式,尤其是数据集合。数据经营者对数据经济的贡献、数据主权和数字人权带来的现实障碍提出了迫切要求。以德国、美国和日本为代表的主要国家对数据使用保护进行的知识产权立法为数据跨境流动相关制度研究提供了基础。世界贸易组织、世界知识产权组织以及欧盟对数据使用提供了现实保护,但是现有国际法律制度无法对大量存在的非独创性数据集合提供充分保护。其原因包括各国发展水平不一致、数据主权和个人数据保护受到更多关注、国际法碎片化发展趋势等。对此,应在数据相关制度和实践中坚持促进数据使用为指导原则;在TRIPs体系内构建非独创性数据集合制度,该制度在保护数据集合专有权的同时应注重平衡个人数据保护、数据主权和公众信息获取权。立足中国参与全球数据治理现状,中国应在著作权法体系下构建非独创性数据集合有限排他权,并完善相关立法和实施以促进跨境数据流动。     

商标财产化的负面效应及其化解

商标本为一种用于区别来源的工具。然而,现代商标法将之财产化,并采用民法财产权体系中的绝对权保护模式。绝对权的认知结构预设着强有力的私权保护,这为商标权的强化和扩张埋下了种子。商标财产化的理论基础脆弱,经典的自然权利理论、现代的法经济学理论以及商誉论和广告功能保护论都无法为商标财产权提供坚实的理论支撑。商标财产化在实践中产生了一些负面效应,在我国还呈加剧之势,有必要予以纠正。在认知上,需要打破绝对权理念之拘束。在实践中,停止侵害的禁令救济的绝对化适用需加以纠正;混淆之扩张需谨慎对待,以反击"财产论"对"混淆论"的挤压。此外,还需提升商标性使用的地位,使其扮演商标法"守门人"角色,以期对商标财产权的不断扩张进行约束和限制。     

捍卫权利模式——个人信息保护中的公共性与权利

个人信息权和个人信息受保护权是两种相对立的模式,学界通常认为个人信息权赋予个人排他性的支配权,这与个人信息的公共性相矛盾。个人信息的公共性并不必然反对权利模式。一种广义的公共性包含着个人信息所负载的公共利益,个人信息的公开化也是网络时代个人和商业交往的必要前提,但这并不意味着要否定个人信息保护的权利模式。公共利益具有多样性,正是某些公共利益支持了权利。权利所蕴涵的主张权确保了人的尊严和自由,这也是个人信息保护法的立法宗旨;个人信息受保护权做不到这一点,它不具有义务指向性。但在立法模式上,个人信息保护法要以义务性规范或禁止性规范为主,这是由网络空间个人信息的性质决定的。     

商业数据权:数字时代的新型工业产权--工业产权的归入与权属界定三原则

商业数据界权包括确定其权利的性质和权利的归属。个人信息保护和数据安全法律体系的建成,为数据界权提供了新的逻辑起点和法律前提。数据界权首先应基于个人信息与数据、商业数据与公共数据等基本范畴的厘清。基于商业数据的固有性质以及工业产权的历史逻辑和制度内涵,商业数据与信息保护类工业产权具有深度的契合性,有必要将商业数据纳入工业产权序列,作为数字时代具有标志意义的一种新型工业产权,并可以成为与商业秘密相对称的商业数据权。商业数据界权需要确定商业数据的适格性--可保护条件。商业数据的适格性包括受保护数据的合法性、集合性、管理性、可公开性和商业价值性,即以合法形成的规模性数据集合为客体,并采取管理措施的可公开性技术数据和经营数据等信息。商业数据具有单一性、复合性和动态性,商业数据权暗含着所涉权利的分层性,其权属界定应当透过现象看本质,将复杂或者貌似复杂的问题简单化,遵循投入原则、分层原则和责任原则等三原则。     

知识产权财产化批判与超越

知识产权财产化的误区在于视知识产权为一种绝对的财产权。事实上,知识产权语境下不存在公地悲剧,财产权的经济学理论亦不能证明知识产权正外部性内在化的正当性,我们根据搭便车来思考知识产权是错误的。然而,经济学理论也无法告诉我们,如何在私人产权和公共领域之间划定一条正确的界限。知识产权的最佳保护范围,应根据具体产业中创新的种类、本质和市场环境的不同而变化。Copyleft规则即为超越知识产权财产化提供了一个极好的范例。     

人与环境同构法初探

传统法律是建立在以人为主体的、以人类利益为中心的理念之上,人的权益是法律保护的核心。在迄今为止的所有法律中,环境始终处于客体的地位。为了人类不被毁灭,就必须放弃人的生存优先于环境系统存在的观念,赋予环境法律上的地位,把创建人与环境同构法作为在法律上解决人与环境问题的终极目标,实现人与环境的最终同构。同构法建立的主要途径,一是要扩展法律主体,赋予环境“法律人”的地位,使其具有主体资格并以平等的地位与人类签订契约;二是完善诉讼参加人制度,通过创建环境诉讼法的方式,让环境作为诉讼当事人或者有独立请求权的“第三人”参加诉讼。     

数据法定继承规则的情境化构建

设置合理的数据法定继承规则至关重要。数据的可继承性不应受到财产性悖论、人格权益论、个人信息保护规则与通信秘密规则的阻碍,但被继承人以遗嘱或在用户协议的菜单式选项中予以排除可能导致数据不可继承。面对弱化的家庭和个性化法律的展望,现行法定继承人范围和顺位规则受到挑战,建议以情感属性较强的数据为“试点”,将“与该数据具备最密切情感联系之人”纳入法定继承人的范围。在数据遗产继承的具体方式上,采取继承人数据使用权限的视角更具实益。可以根据数据的身份重要程度、公开程度、是否涉及第三方隐私等属性,通过调整用户组策略下的数据使用权限设置情境化的数据法定继承规则。     

共同财产制下夫妻个人债务执行程序的规则建构

共同财产制是我国关于婚姻财产的法定财产制度,建构夫妻个人债务执行规则不能忽视共同财产制。当前民法典适用时期,以物权外观原则区分债务人财产为基础的夫妻个人债务执行规则陷入困境,应以共同财产制为基础建构新的执行规则。依据共同财产制,被执行人及其配偶夫妻关系存续期间获得的财产原则为共同财产,夫妻双方在共同财产内部具有同等的份额。相对于另行诉讼、追加被执行人配偶以及先析产再执行,直接执行一半夫妻共同财产是夫妻个人债务执行的可行方案。为顺利执行一半夫妻共同财产,可创设夫妻个人债务推定规则,共同财产查控规则,共同财产评估、控制、处置规则以及债务人配偶权利保护规则,实现法院执行与当事人权利保护之间的平衡。     

Pricing privacy – the right to know the value of your personal data

The commodification of digital identities is an emerging reality in the data-driven economy. Personal data of individuals represent monetary value in the data-driven economy and are often considered a counter performance for “free” digital services or for discounts for online products and services. Furthermore, customer data and profiling algorithms are already considered a business asset and protected through trade secrets. At the same time, individuals do not seem to be fully aware of the monetary value of their personal data and tend to underestimate their economic power within the data-driven economy and to passively succumb to the propertization of their digital identity. An effort that can increase awareness of consumers/users on their own personal information could be making them aware of the monetary value of their personal data. In other words, if individuals are shown the “price” of their personal data, they can acquire higher awareness about their power in the digital market and thus be effectively empowered for the protection of their information privacy. This paper analyzes whether consumers/users should have a right to know the value of their personal data. After analyzing how EU legislation is already developing in the direction of propertization and monetization of personal data, different models for quantifying the value of personal data are investigated. These models are discussed, not to determine the actual prices of personal data, but to show that the monetary value of personal data can be quantified, a conditio-sine-qua-non for the right to know the value of your personal data. Next, active choice models, in which users are offered the option to pay for online services, either with their personal data or with money, are discussed. It is concluded, however, that these models are incompatible with EU data protection law. Finally, practical, moral and cognitive problems of pricing privacy are discussed as an introduction to further research. We conclude that such research is needed to see to which extent these problems can be solved or mitigated. Only then, it can be determined whether the benefits of introducing a right to know the value of your personal data outweigh the problems and hurdles related to it.     

敏感个人信息保护的特殊制度逻辑及其规制策略

敏感个人信息因其对个人的人身和财产安全具有极端重要性,需要特别的法律保护。我国现行立法对敏感个人信息的特别保护存在制度供给不足。《个人信息保护法》虽秉持对一般个人信息和敏感个人信息区别规制的立法思路,但有关敏感个人信息特别保护的规范较为简略。从我国敏感个人信息保护的实践需求及域外立法经验来看,敏感个人信息保护在"知情同意"的适用、法定处理事由的明确、技术治理的实现、损害认定的完善等方面应有区别于一般个人信息保护的特殊制度逻辑。相应地,敏感个人信息保护也应有区别于一般个人信息保护的特殊规制策略。     

占有在现代财产制度中的地位申明———一种基于动态冲突的考察

占有因其独占性、排他性以及在动产上所独具的权利外观效力,导致其负载权利与第三人利益的冲突,成为物权法调整客观公正与交易安全的关键制度.在对占有性质重新定位的前提下,通过对财产制度中占有关系的检索,可在交易各方主体的利益冲突关系中对占有概念进行理性的阐释.通过对此类占有关系的剖析,并通过对占有的性质——法益的进一步抽象,可以厘清占有中法益在财产制度中的具体法律价值.其体现为本权的冲突上属排他性冲突,保护方法上为非此即被:或保护权利或保护第三人利益.     

Dualism in data protection: Balancing the right to personal data and the data property right

This paper explores the issues surrounding the right to personal data and the data property right in the context of commercial transactions involving big data, and will thus inform the ongoing drafting process of the Chinese Civil Code and development of a commercial data market in China. The analysis herein attempts to break through the traditional concept of ‘property’ with the aim of helping China to develop a modern information society, devise a property law theory suitable for the big data era, and improve the level of protection afforded to rights and legitimate interests in data. To date, no comprehensive study has focused on developing a proper understanding of the concept of ‘data property rights’, and hence we lack the solid theoretical support needed to construct a proper protective system for such rights. This paper offers the first systematic study of the rules pertaining to data property rights, thereby enriching the theory of such rights and serving as a theoretical basis for the enactment of a civil code that protects citizens’ legal rights and interests in the information society. It also offers a thorough discussion of how to construct a data property protection system, thereby providing an ideal reference model for enactment of the Chinese Civil Code.     

财富、财产权与宪法

从现代宪法的发生学视角出发,通过梳理财产权从古代到现代的两条转化路径,即自然权利路径和普通法路径,阐述了作为现代宪制动力机制的财富和财产权问题,揭示了财富与财产权的认识论和法律观的古今之变,进而论证了财产权是现代宪法的基石,对财产权的保护是现代宪法的核心原则之一。     

反思与重构:非物质文化遗产资源司法保护的知识产权路径探究

本文试以非物质文化遗产资源的知识产权保护路径为视角,首先从域内外的判例入手展开实证解读,梳理司法实践中权利保护的现实困境;其次以非遗资源与知识产权内在属性的冲突、价值理念的弥合及保护机制的协调为着眼点,追溯非遗资源知识产权司法保护的理论根源;在此基础上从不同层面研究现存问题并提出完善对策,主要着眼于理念层面的价值构建与实践层面的争议思考,主张从价值层面平衡多元利益,呵护原创制度本旨;从理念层面倡导合作共赢,完善原始权利保障;从制度层面强调分类施策,区分智力成果类型;从实践层面注重完善机制,优化司法规则设计。以期对于深化非遗资源保护,优化创新驱动发展战略,并完善法治化营商环境有所裨益。     

Personal Data Protection in Nigeria: Reflections on Opportunities,Options and Challenges to Legal Reforms

The right to personal data protection is, without doubt, an important right in the jurisprudence of rights in the contemporary information society. It is becoming as crucial as other orthodox human rights and also attracting significant attention from academics, lawyers, human rights activists and policy makers. In spite of the growing attention data protection receives at international and regional levels, Nigeria is still lagging behind many competitor states like South Africa in establishing an effective legal framework to protect personal data. Individuals’ personal data is being collected and used without any serious form of control to check against abuse. This paper reflects on opportunities, option and challenges to legal reforms on data protection in Nigeria. It contends that certain legislative and practical challenges stand in the way of an effective legal regime on personal data protection. The paper suggests appropriate legal reforms that are needed to enable prevent the increasing risks of violating the right to data protection in a country that is making rapid advances in Information and Communication Technology but hamstrung by an outdated regulatory framework.     

CLOUD act agreements from an EU perspective

For many years, transatlantic cooperation between the EU and the US in the area of personal data exchange has been a subject of special interest on the part of lawmakers, courts – including supranational ones – NGOs and the public. When implementing recent reform of data protection law, the European Union decided to further strengthen guarantees of the protection of privacy in cyberspace. At the same time, however, it faced the practical problem of how to ensure compliance with these principles in relation to third countries. The approach proposed in the GDPR, which is based on a newly-defined territorial scope of application, clearly indicates an attempt to apply EU rules extraterritorially in relation to data processors in third countries.Irrespective of EU activity, the United States has also introduced its own regulations addressing the same problem. An example is the federal law adopted in 2018, specifying how to execute national court orders for the transfer of electronic data. The CLOUD Act was established in response to legal doubts raised in the Microsoft v United States case regarding the transfer of electronic data stored in the cloud by US obliged entities to law enforcement authorities, as well as in cases where this data is physically located in another country and its transfer could result in violating the legal norms of a foreign jurisdiction. The CLOUD Act also facilitates bilateral international agreements that enable the cross-border transfer of e-evidence for the purposes of ongoing criminal proceedings. Both the content of the new regulations and the model proposed by the US legislature for future agreements concluded on the basis of the CLOUD Act can be seen as an alternative to regulations arising from EU law.The purpose of this paper is to analyse the CLOUD Act and CLOUD Act Agreements from the perspective of EU law and, in particular, attempt to answer the question as to whether this new legal mechanism brings the EU and the USA closer to finding common ground with regard to a coherent model of exchange and protection of personal data.     

论个人信息保护限制的立法范式与体系逻辑——以应对突发疫情事件为例

对个人信息保护进行适当限制是平衡个人权益与公共利益的必然选择。基于特定的紧急背景在公法中设定个人信息保护限制,虽有助于集中力量驱逐疫情,但往往忽视对作为私权客体性的个人信息对象考察,容易侵犯个人信息法益。当前我国民法典对个人信息保护的限制规定虽符合疫情防控下个人信息保护限制的紧急需求,但缺失对权利限制的一般条款以及合理实施的进一步解释,亟待更精细的规范进行界定。这表明应对重大疫情防控时,我国立法在个人信息保护的合理限制问题时出现了制度缺位。原因在于,无论是公法还是私法都无法独自处理好疫情防控下的个人信息保护限制问题。公、私法二元性质个人信息保护立法框架契合数据治理理论的内在属性,也是风险社会中公私法协力的必然要求。重大疫情背景并不决定个人信息保护限制的二元范式,这是由个人信息的属性本身所决定的。公法和私法分别规定个人信息保护限制规则均具有部分正当性来源,但从法律的实现效果以及比较立法趋势来看,将个人信息保护限制置于一部公私复合的个人信息保护法之中更符合时代发展。文章最后在该立法范式引导下,反思了当前个人信息保护限制立法体系逻辑,并提出了个人信息保护限制立法完善的建议。