法律适用

参考文献

[1]参见金耀:《个人信息保护的司法困境与规则应对——基于331例个人信息案件的实证考察》,载《交大法学》2025年第4期,第82页。

[2]参见高富平、李群涛:《“个人信息权益”的民法新定位》,载《东岳论丛》2023年第6期,第171页。

[3]参见高富平:《论个人信息处理中的个人权益保护——“个保法”立法定位》,载《学术月刊》 2021年第2期,第118页。

[4]个人数据保护一直被认为是隐私权的组成部分,《欧盟基本权利宪章》增加了第8条“个人数据保护”,并将其表述为“每个人有权保护涉及他或她的个人数据”。/

[5]SeeStudyontheessenceofthefundamentalrightstoprivacyandtoprotectionofpersonaldata(EDPS20210932),December2022.

[6]参见蔡培如:《欧盟法上的个人数据受保护权研究——兼议对我国个人信息权利构建的启示》,载《法学家》2021年第5期,第19页。

[7]例如“卢某某、卢某某等保险纠纷案”中,判决明确称受法律保护的是卢某生前的个人信息权益。参见广东省江门市蓬江区人民法院(2025)粤0703民初3492号民事判决书。

[8]同前注[3],第107页。

[9]参见高富平:《个人信息保护:从个人控制到社会控制》,载《法学研究》2018年第3期,第93页。

[10]参见王锡锌:《个人信息权益的三层构造及保护机制》,载《现代法学》2021年第5期,第105页。

[11]参见张新宝:《论个人信息权益的构造》,载《中外法学》2021年第5期,第1114页;彭诚信:《论个人信息的双重法律属性》,载《清华法学》2021年第6期,第83页;程啸:《论个人信息权益》,载《华东政法大学学报》2023年第1期,第6页。

[12]参见王利明、程啸:《中国民法典释评:人格权编》,中国人民大学出版社2020年版,第474页。

[13]参见成亮:《个人信息权的法理证成与逻辑展开》,载《法律科学(西北政法大学学报)》2025年第6期,第153-164页。

[14]根据《民法典》第990条的规定,一般理解第1款为具体人格权益,而第2款为一般人格权。

[15]单独规定确立于2017年原民法总则,而不是2021年实施的个保法,但是以民事侵权救济方式保护个人信息权益是自2012年《全国人民代表大会常务委员会关于加强网络信息安全的决定》进行规定,并细化于网络安全法。通过民事诉讼保护个人信息人格利益具有一定的实践基础。

[16]参见程啸:《论〈民法典〉与〈个人信息保护法〉的关系》,载《法律科学(西北政法大学学报)》2022年第3期,第21-22页。

[17]参见广州互联网法院(2022)粤0192民初20966号民事判决书。

[18]参见杨芳:《个人信息自决权理论及其检讨——兼论个人信息保护法之保护客体》,载《比较法研究》2015年第6期,第22-33页。

[19]参见高富平:《个人信息处理:我国个人信息保护法的规范对象》,载《法商研究》2021年第2期,第73-86页。

[20]参见高富平:《精神性人格权益的规制范式——以个人信息为视角》,载《东岳论丛》 2021年第1期,第164-171页。

[21]参见彭诚信:《论个人信息权与传统人格权的实质性区分》,载《法学家》2023年第4期,第152页。

[22]例如在“王某与北京某科技有限责任公司肖像权纠纷案”中,若存在个人信息处理行为,由于个保法与民法典之间为特别法和一般法的关系,故在个保法有具体规定时,应优先适用个保法的相关规定。如此一来,包括姓名、肖像等个人信息在内的处理活动均被纳入个保法范畴。参见北京互联网法院(2021)京0491民初45024号民事判决书。

[23]例如“AI换脸”案件中,使用他人视频通过深度合成技术“换脸”后制作模板再提供“换脸”服务的网络服务提供者,是构成肖像权侵害还是个人信息权益侵害,司法裁判倾向于认定为侵害个人信息权益而非肖像权。参见北京互联网法院(2023)京0491民初3820号民事判决书;北京互联网法院(2023)京0491民初3821号民事判决书。

[24]参见杨芳:《个人信息保护法保护客体之辩——兼论个人信息保护法和民法适用上之关系》,载《比较法研究》2017年第5期,第85页。

[25]《个保法》第69条规定,处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。

[26]参见王苑:《个人信息保护在民法中的表达——兼论民法与个人信息保护法之关系》,载《华东政法大学学报》2021年第2期,第78页。

[27]参见高富平:《同意≠授权——个人信息处理的核心问题辨析》,载《探索与争鸣》2021年第4期,第87页。

[28]参见向秦:《论个人信息处理中个人同意的“弱化”与信义义务的“补充”》,载《法律适用》 2022年第11期,第64页。

[29]参见向秦:《个人信息处理中的信义义务研究》,上海交通大学出版社2025年版,第173页。

[30]同前注[27],第93页。

[31]参见程啸:《论个人信息处理中的个人同意》,载《环球法律评论》2021年第6期,第40页。

[32]参见北京市第四中级人民法院(2024)京04民终1620号民事判决书。

[33]参见广东省肇庆市端州区人民法院(2025)粤1202民初995号民事判决书。

[34]参见杨旭:《个人信息处理中履行合同必需规则的限制适用》,载《法学》2023年第6期,第85页。

[35]参见赵祖斌:《已公开个人信息处理规则的构造及适用——以合法处理事由为中心》,载《交大法学》2024年第5期,第134页。

[36]导致大量个人信息可公共获取的主要原因是:1.在实践中存在大量非接触式获取个人信息的情形,因为大量的传感器和网络设备,可以无感知地获取个人信息,个人根本不可能精确地知道关于他(她)的什么信息被收集了。2.在商业往来和社会交互中有大量的关于个人的信息被获取,这几乎是社会运行和社会活动开展的必然,个人根本无法控制该信息的流动。3.除了在商业往来中的个人信息流动外,数据处理者(数据持有者)之间的交换、分享和流通交易也是存在的,是数据要素市场的必要组成部分。4.政府在从事公共管理和服务过程中也会获取个人信息,基于政府信息公开和数据开放的需要,一些个人数据也被置于公众可获取的地方,导致个人信息被合法地获取。

[37]例如“许某诉深圳市某公司个人信息保护纠纷案”中,判决认为在诉讼中合法、正当、必要履行举证责任而处理个人信息的,具有无需征得当事人同意的合法事由,符合合法性原则。参见北京互联网法院(2022)京0491民初19686号民事判决书。

[38]侵权法构成要件一般采用“加害行为”称谓,只有当个人信息处理行为侵害了个人信息权益,才构成加害行为,才可能由此产生相应的侵权责任。加害行为必须是处理行为,二者是充分不必要关系。

[39]参见林洹民:《问责原则与安全原则下的个人信息泄露侵权认定》,载《法学》2023年第4期,第110页。

[40]参见夏庆锋:《个人信息匿名化制度的反思与改进》,载《财经法学》2024年第5期,第41页。

[41]参见吉林省高级人民法院(2025)吉民申1271号民事判决书。

[42]参见高富平、李群涛:《个人信息主体权利的性质和行使规范——〈民法典〉第1037条的解释论展开》,载《上海政法学院学报(法治论丛)》2020年第6期,第42页。这篇文章是在民法典的体系之下解释的,这样的解释当然适用于《个保法》第四章所规定的权利的民法保护。

[43]同前注[9]。

[44]同前注[17]。

[45]同前注[1]。

[46]参见杜牧真:《个人信息权的法益与性质的审视与再界定》,载《新疆大学学报(哲学·人文社会科学版)》2022年第1期,第21页。

[47]参见梅夏英:《社会风险控制抑或个人权益保护——理解个人信息保护法的两个维度》,载《环球法律评论》 2022年第1期,第9-12页。

[48]参见李昊:《个人信息侵权责任的规范构造》,载《广东社会科学》2022年第1期,第255页。

[49]参见周汉华:《个人信息保护的法律定位》,载《法商研究》2022年第3期,第52页。

[50]同上注。

[51]参见王锡锌:《国家保护视野中的个人信息权利束》,载《中国社会科学》2021年第11期,第115-134页。

[52]同前注[11],张新宝文,第1147-1149页。

[53]参见彭诚信、许素敏:《侵害个人信息权益精神损害赔偿的制度建构》,载《南京社会科学》 2022年第3期,第84页。

[54]参见广州互联网法院(2021)粤0192民初17422号民事判决书。

[55]参见《个保法》第22条的规定。

[56]参见广东省广州市中级人民法院(2023)粤01民终32870号民事判决书。

[57]参见北京市第四中级人民法院(2022)京04民终601号民事判决书。

[58]利用不可逆技术对特定数据或数据集进行去标识信息处理称为匿名化处理。从技术的角度,实现匿名化的方法主要有以下三种:1.抑制,最基础的匿名化技术,即从数据中简单去除一些识别值以减少其可识别性;2.泛化,即采用特定的识别值并使其宽泛化,例如将某个特定年龄(如18岁)改为一个年龄区间(如18-24岁);3.增加噪音,即将既定数据集中的识别值替换为另一数据集中的其他个人的识别值,增加既定数据集的杂质。