论个人信息共享问题的法律治理模式
2021-01-27 21:56
论个人信息共享
问题的法律治理模式
袁真富,娄积圆
引用请注明来源:
袁真富,娄积圆.论个人信息共享问题的法律治理模式[J]. 情报理论与实践, 2021, 44(01):89-95.
摘 要:[目的/意义]针对个人信息共享存在擅自共享、告知不充分、责任不清等问题,在国内立法规定过于笼统、欠缺针对性的情形下,尝试提出解决个人信息共享问题的法律治理模式。 [方法/过程]统计分析今日头条、百度、网易等50家中国主流应用的隐私政策,总结个人信息共享的实践做法及突出问题;考察比较国内外规制个人信息共享的立法规定,为我国立法提供制度借鉴。[结果/结论]结合当前个人信息共享的现状和问题,提出了共享资格准入、形象化告知、三重授权、权利人控制、首负责任等五大治理模式,从而在法律层面规范个人信息共享行为。
关键词:个人信息共享;问题;制度比较;治理模式
1
个人信息共享的制度挑战
1.1 个人信息共享的界定
图1 个人信息共享示意图
1.2 个人信息共享对制度的挑战
对于信息权利人,共享使其需求与供给得以准确匹配,对于企业,共享降低了收集、利用个人信息的成本[3]。但基于共享而引发的个人信息扩散,同样为权利人带来了烦恼,信息控制者在个人信息保护能力上的差异致使个人信息泄露的机率急剧上升。信息的深度汇聚则催生了能够从多个视角观察用户喜好的“公司集群”,精准营销、算法歧视、用户跟踪等无不侵扰着个人生活的安宁[4]。这些个人信息的共享活动对当前的法律制度自然带来了新的挑战。
个人信息的自由共享将会“增加隐私的风险范围”,“提高隐私的获取深度”[4],进而侵害到权利人的基本利益。遗憾的是,我国法律规范集中于对个人信息收集与泄露环节的规制,对个人信息的流转利用环节缺乏关注[5];并且过多地强调了个人信息的利用,反而忽视了对于信息控制者的限制。2020年5月通过的《民法典》虽然有专章涉及个人信息保护,但对个人信息共享仍然欠缺针对性的规范。
权利人希望在交付个人信息的同时不用担心个人信息泄露或不当利用的问题,但传统的告知同意原则更为重视商业自由与交易公平,却忽视了权利人与信息控制者在谈判能力上的悬殊地位,也没有能够顾及弱势群体的利益。个人信息共享是个人信息流转利用的重要方式之一,尽快厘清共享行为存在的问题,从而进行针对性的立法,施以有序规范、合理引导,最终将促进个人信息利用的合法化、正当化、规模化。
2
我国个人信息共享的现状考察
2.1 个人信息共享现状调研
2019年11-12月,12321网络不良与垃圾信息举报受理中心在2个月内共收到4900余条投诉,私自向第三方共享个人信息的投诉占比达21%[6]。2019年12月,全国信息安全标准化技术委员会等成立的App专项治理工作组通报了57款问题App,其中45款存在未经信息权利人同意,未去标识化向其他第三方共享个人信息的情况,其中,链家将收集到的Android ID等个人信息传输到了美国亚马逊的云服务器[7]。由此可见,在互联网尤其是移动互联网领域,个人信息共享的不规范甚至违规问题比较突出。
为进一步了解个人信息共享的操作实践,本文选取今日头条、百度、网易等50家国内主流网站/应用软件(统称“应用”)进行了实际使用,并对其隐私政策(2020年3月公布的《个人信息安全规范》将“隐私政策”统一更名为“个人信息保护政策”,大多数采用“隐私政策”表述的应用有可能会调整用语)中有关个人信息共享的条款进行了统计分析,可以发现:
2.1.1 个人信息共享的概念已被普遍接受
前述50家应用的隐私政策中48家出现了共享的表述,48家中除了1家应用的隐私政策在“对外提供”一节下仅以一个条文规定个人信息的共享、转让与公开披露外,其他47家应用的隐私政策均为个人信息共享设置了专节,对共享的对象、目的、条件进行了规定。其中,今日头条还列明了授权同意、合法正当与最小必要、安全审慎等三个共享原则。
2.1.2 个人信息共享对象的披露比较笼统
个人信息共享的对象主要由三类主体组成(见图2):(1)信息控制者的关联方;(2)第三方服务提供方(如提供支付服务的第三方支付机构、提供地理位置服务的地图服务提供方、广告合作伙伴等);(3)其他第三方(平台上的商家、司法部门确定的对象、信息权利人指定的对象等)。其中,多数应用的隐私政策会以上述“关联方”、“第三方”的概念来笼统地表示共享对象,仅有14家披露了部分共享对象的具体信息。美图秀秀几乎完整地披露了旗下3家关联公司,2家广告服务类合作伙伴及9家技术支持类合作伙伴的具体信息,其次是墨迹天气、斗鱼、Faceu,通过表格形式列明了第三方服务提供方的具体信息,其他10家则披露的更少一些,如今日头条只披露了信息共享的关联方西瓜视频和第三方高德地图。
图2 个人信息共享对象统计分析
2.1.3 个人信息共享的目的多样化
图3 个人信息共享目的统计分析
2.1.4 授权同意原则有明确的规定
48家应用将信息权利人同意作为个人信息共享的前提条件,部分应用的隐私政策则进一步承诺:会对其他控制者进行个人信息安全评估(11家);或与之签订严格的个人信息保护协定(37家);或对其进行安全监测(4家)。
2.1.5 共享无需同意的例外情形亦受重视
大部分应用的隐私政策规定了无需取得信息权利人同意亦可共享个人信息的例外情形。一部分应用的隐私政策将与关联方;第三方服务提供方;其他第三方共享个人信息等也归入了无需获得信息权利人同意的情形(见图4)。
图4 个人信息共享无需同意的例外情形统计分析
2.1.6 部分应用提供了个人信息共享的查询与退出功能
50家应用中32家提供了查询与退出功能,这些功能分别针对账号绑定(24家)、第三方应用授权管理(5家)、精准广告(17家)。其中,前两项功能提供了共享对象的信息,后一项功能仅提供开关选项。
2.2 个人信息共享的问题
2.2.1 个人信息擅自共享频发
从前述投诉及通报的信息可知,个人信息共享已成常态,擅自共享更是普遍发生,这不仅侵害信息权利人的利益,还将危害到其他第三人的利益,甚至是国家利益。腾讯公司诉今日头条案中,今日头条将腾讯授权抖音使用的微信/QQ头像又提供给关联公司快闪使用,侵害了腾讯用户的利益[8]。链家将用户个人信息传至境外则有可能威胁到国家的信息安全。
2.2.2 信息控制者告知不充分
信息控制者往往将如何收集、使用、共享个人信息等条款整合在一份内容庞杂的隐私政策中,却未采取有效技术措施使其直观地展现给信息权利人,导致信息权利人阅读成本巨大[9],即使只阅读信息共享部分的条款,也难以短时间内完成——存在共享条款的48家应用中46家的隐私政策可以复制并统计字数,其对个人信息共享规则的描述平均为1297字,最多的一家长达3832字。在条款内容上,隐私政策也经常出现“缺斤短两”现象,如未告知共享对象的具体信息(50家中36家未披露),未告知共享的信息类型等(50家中34家未披露)。
2.2.3 信息权利人难以做出有效同意
信息权利人只能对信息控制者的隐私政策做出一揽子同意,当其表示同意信息控制者收集其个人信息时,亦被迫表示同意共享;当其表示同意信息控制者将个人信息共享给关联方时,即被迫表示同意可一并共享给其他第三方。信息权利人没有独立的选择权,亦即无法选择共享与否,无法选择共享对象,从而无法做出有效的同意。
2.2.4 信息权利人对个人信息的控制力弱
一方面,除部分信息控制者提供了授权应用、账号绑定情况的查询与退出机制外,个人信息被共享后,信息权利人无从直观地知悉自身个人信息被信息控制者分享给了哪些广告提供商、第三方支付机构、商家等,亦无法退出共享,信息权利人对于个人信息被共享的行为难以有效施以控制。另一方面,共享却无需取得信息权利人同意的情形多达18种,且由信息控制者自行确定,信息权利人只能被动接受(见图4)。
2.2.5 信息控制者对其他控制者缺乏约束
仅部分信息控制者承诺对个人信息共享采取安全防护措施(多通过协议约束),一并承诺的是在共享前对其他控制者进行信息安全审核,但信息控制者承诺在共享中实施信息安全监测的极少。事实上,只凭借协议实际难以约束其他控制者,从而保护信息权利人。在新浪微博(微梦公司)诉脉脉(淘友公司)案中,淘友公司违反与微梦公司订立的《开发者协议》,除微博头像、昵称外额外获取了微博用户的职业、教育信息,最终法院判定淘友公司需赔偿微梦公司的损失[10],但该案中诸多微博用户的个人信息相较原先同意披露的范围有所扩大,只是尚未造成严重后果,其受到的困扰却无法弥补。
3
个人信息共享的境内外法律制度考察
3.1 我国关于个人信息共享的制度考察
我国关于个人信息保护的规定众多,分布于《全国人民代表大会常务委员会关于加强网络信息保护的决定》《消费者权益保护法》《网络安全法》《民法典》等各类法律、行政法规及国家标准之中,但能够适用于个人信息共享的却不多。《网络安全法》第41条规定的“合法、正当、必要原则”、告知同意原则及依法依约处理,《民法典》第111条关于不得非法处理、第1035条关于个人信息处理的限制、第1038条关于个人信息安全的规定等,均属于较为笼统的规定,欠缺针对性。对个人信息共享做出较为详细规定的是推荐性国家标准《个人信息安全规范》,其在第3.13条对个人信息共享进行了定义,在第8条赋予了信息权利人相关权利,同时在第9.2条设置了多项限制条件。
整体上,我国立法存在上位法规定缺乏针对性,《个人信息安全规范》又强制力不足的问题。从实际运作情况来看,上位法规定的基本义务未能全面落实,《个人信息安全规范》提出的较高要求也未能得到普遍响应[11],个人信息共享涉及的前述五项问题在我国现行法上仍然无法得到妥善规制。即使将《个人信息安全规范》径行上升为强制性标准,也仍有加以完善的必要,例如:(1)对信息控制者能否按规范要求共享个人信息缺乏监管措施,无法解决擅自共享频发的问题;(2)对如何“告知”、如何“同意”缺乏指导,无法解决信息控制者告知不充分,权利人同意形式化的问题;(3)权利人想要知悉其个人信息的共享状态仍然困难,无法解决权利人控制力弱的问题。基于此,本文希望通过考察比较国内外立法规定,以期为我国将来制定《个人信息保护法》并规定共享条款时提供制度借鉴。
3.2 韩国关于个人信息共享的制度借鉴[12]
根据韩国《个人信息保护法》,获得信息权利人的同意或符合法定特殊情形之一(为维护信息权利人、第三者急迫的人身财产利益;因公务需要等)系共享个人信息的条件,因学术研究需要共享去标识化的信息则属于除外情形。信息控制者在获取权利人同意时需告知权利人共享对象、目的、内容、期间及拒绝的权利,且共享的事项应区别于其他事项分别予以告知,分别取得同意。
与我国相似,韩国《个人信息保护法》主要以告知同意原则规范个人信息共享。但与我国不同的是,在告知端,其提出了告知内容应易于权利人辨析的要求;而在同意端,其规定信息控制者应根据每个同意事项,分别获得权利人的同意。按照上述规定,告知内容需要明确、清晰,权利人的同意也不能是概括式的同意,涉及的每个共享目的或共享对象都可能被解释为一个独立的同意事项需要权利人做出决策,个人信息共享中告知不充分、有效同意难以做出的问题可在一定程度上得到解决。
3.3 日本关于个人信息共享的制度借鉴[13]
根据日本《个人信息保护法》,除一般的取得信息权利人同意后的共享外,还存在以履行申报手续为条件的共享,这是指如信息控制者按照《个人信息保护委员会规则》将规定的事项(如共享之目的、方法、信息类型等)告知了权利人或置权利人于容易知悉这些事项的状态,同时已向个人信息委员会提出过申报的,则信息控制者可直接将个人信息提供给其他控制者。但在权利人要求停止时,信息控制者需立刻停止提供。
上述措施作为适用告知同意原则的例外,通过权利人知悉及主管部门审核的方式,为个人信息共享(利用)提供了另一条路径,若是妥善运用能够弥补告知同意原则相对僵化的弊端。目前来说,由于我国未规定有相似制度,因此在借鉴时还需完善以下内容:(1)确定能够进行审批的专职机构;(2)丰富权利人了解其个人信息共享状态的途径;(3)考虑以期限届满或涉及事件结束后的自动退出代替权利人申请作为停止共享的条件。
3.4 我国澳门地区关于个人信息共享的制度借鉴
我国澳门地区《个人资料保护法》与个人信息共享最为相关的是个人资料互联的概念,其指的是“一个资料库的资料与其他一个或多个负责实体的一个或多个资料库的资料的联系、或同一负责实体但目的不同的资料库的资料联系的处理方式”。对于个人资料的互联,我国澳门地区的规定较为严格,需要先行向行政当局提出申请并获得其许可,而行政当局在审核时又需要考虑法律规定、信息控制者的权益、信息安全防护措施以及互联资料的种类等诸多因素。与之相比,我国内地《个人信息安全规范》的规定则宽松许多,仅仅是建议信息控制者在共享个人信息前完成安全影响评估并采取相应的防护措施。然而,由于评估无需其他方的参与,评估与否或结果如何完全由信息控制者单方决定,这一规定难以剔除威胁个人信息安全的共享行为。
4
个人信息共享的法律治理模式
在信息权利人维权成本高、收益小的背景下,对个人信息共享采取行为规制路径[14]更为可取,但这并不代表不赋予信息权利人任何权利。本文以行为规制为视角提出了五项法律治理模式。
4.1 共享资格准入模式
4.1.1 个人信息共享环节引入资格准入
信息控制者在开展一些相对特殊的信息业务前,本身就需要获得行政机关的审批。周汉华[15]、齐爱民[16]教授均提及,对于征信机构及以个人信息处理为主营业务的信息控制者应取得主管部门的行政许可。除此以外,对于个人信息的共享这一环节,也可借鉴韩国及我国澳门地区的规定引入资格准入模式,即要求信息控制者在实施个人信息共享前先行满足某些准入条件[12]。事实上,正是监管的滞后导致了信息控制者擅自共享个人信息的问题时有发生,许多信息控制者可能根本没有意识到与关联公司、合作伙伴等共享个人信息亦需“合法、正当、必要”。采取个人信息共享资格准入模式有助于强化信息控制者的相应责任和合规意识。
4.1.2 以网络安全认证为共享准入条件
合格的网络安全防控能力是信息控制者具备个人信息共享资格的第一步。市场监管总局会同中央网信办在2019年发布的《关于开展App安全认证工作的公告》第4条“鼓励App运营者自愿通过App安全认证”,认证通过的信息控制者可以在一定期限内获得认证标志并能够予以展示。《个人信息保护法》可以《网络安全法》第40条信息控制者需“建立健全信息保密制度”,第42条第2款信息控制者需“采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失”为基础,将网络安全认证设定为个人信息共享(利用)的条件。
在硬件层面,认证机构需要审核信息控制者的信息保密制度、信息保护技术措施、信息泄露补救措施及业务终止后的处理措施。在内容层面,信息控制者需要将共享个人信息的场景、目的、对象、类型及无需取得信息权利人授权的共享情形罗列后提供给认证机构,认证机构需审查信息控制者共享个人信息的必要性、无需取得授权情形的合法性及是否涉及禁止共享的相对方、个人信息类型等。
4.2 形象化告知模式
4.2.1 形象化告知模式的要求
形象化告知模式要求信息控制者对其告知手段、告知内容加以改进,从而将个人信息保护政策以某种简单的方式呈现给信息权利人。《民法典》1035条第1款第3项要求信息控制者在告知上做到“明示处理信息的目的、方式和范围”,此为信息控制者收集、处理个人信息时获得信息权利人有效同意的前提,可以作为形象化告知的原则性依据。《信息安全技术 个人信息告知同意指南(征求意见稿)》[17](下称《告知同意指南》)7.1条对信息控制者的告知义务设定的公开透明、逐一传达、同步实时、真实准确、具体明确、清晰易懂等6项原则值得借鉴。
4.2.2 形象化告知模式的体现
(1)改进告知手段。当信息控制者提供的基本业务功能包含共享个人信息的需要时,宜侧重“清晰易懂”的告知原则,采取分层式告知(即通过标准化的表格或示意图展现)[18]的方式向信息权利人呈现个人信息保护政策,目的在于方便信息权利人定位有关共享的告知内容。我国《个人信息安全规范》在其附录C对此提供了功能界面模板可供参考。当信息控制者提供的扩展功能需要以个人信息共享为条件时,宜侧重“同步实时”的告知原则,采取即时提示(即在需要处理某类个人信息时即时告知权利人以取得同意)[18]的方式向信息权利人呈现。
(2)完善告知内容。信息控制者在告知什么的问题上应做到“真实准确”、“具体明确”。以简洁的篇幅、严格地将共享个人信息的场景、目的、对象、信息类型罗列给信息权利人,并按照法律规定设定例外情形,以此帮助信息权利人在充分知情的情况下做出决策。此外,告知内容还可以根据共享主体是否处于域外、客体是否属于个人敏感信息等,进行适当地调整。
4.3 三重授权模式
4.3.1 遵循“三重授权”的同意原则
个人信息收集行为具有正当性并不代表后续的使用行为也具有正当性[19]。《民法典》1035条规定,处理个人信息需征得信息权利人的同意,而处理又包括收集、使用、提供等。从中可以看出,收集行为与使用行为属并列关系,并非共用一次“同意”。北京知识产权法院提出应适用“三重授权”解决个人信息共享的正当性问题[10],即共享个人信息需取得三次授权,分别对应信息权利人对信息控制者收集个人信息的授权,信息控制者对其他控制者的授权以及信息权利人对信息控制者共享个人信息的授权[3]。因此,信息控制者在共享个人信息前需在收集、共享阶段各自获得信息权利人的授权。
4.3.2 深化“三重授权”的具体应用
(1)以“自主选择”为同意前提。在三重授权模式下,信息控制者同样应尊重信息权利人对个人信息共享的自主选择,仅在不同意将影响基础功能的使用时才能拒绝提供服务,而非强迫信息权利人做出违背本意的决定。当然,信息权利人的自主选择也应受到公共利益等因素的制约,遵守如《民法典》1036条“处理个人信息免责事由”的法律规定。此外,也可考虑参考日本的规定,将履行申报手续后的共享作为无需获得信息权利人同意的例外情形。
(2)采取“分类独立”的同意模式。“三重授权”虽然将信息权利人需要做出的同意区分为对于收集的同意和对于共享的同意,但共享目的却具有多样性的特点,信息控制者仍然可以要求信息权利人对各类共享场景做出捆绑式的同意。对此,可借鉴韩国《个人信息保护法》分类同意的制度设计,允许信息权利人根据共享目的的不同分别做出授权或拒绝的决定,甚至可以考虑允许其针对共享对象的类型(可能很难逐一针对具体的共享对象)单独行使授权或拒绝的权利。
4.4 权利人控制模式
4.4.1 赋予查阅权是实现权利人控制的基础
我国与欧盟、韩国、日本等地的制度基础相似,均以个人信息控制作为个人信息保护的核心[20]。权利人控制模式要求赋予信息权利人对个人信息共享的查阅权及共享后的退出权,从而解决个人信息共享中权利人控制力弱的问题。在实践中,信息权利人在其个人信息被初始收集后,无从了解其信息是否被转移控制或再利用,以及再利用时是否超出了自己的授权目的。[21]信息权利人只有通过查阅,了解谁可以访问其个人信息,又在用这些信息做什么,才有机会控制其个人信息,才能在利益受到损害后确定责任主体的范围。《民法典》第1037条第1款赋予了信息权利人“向信息控制者查阅或复制其个人信息的权利”。本文认为,此处的“查阅个人信息的权利”不应被片面地限制于查阅个人信息内容,比如个人信息的流转路径——不论是向外提供的或是自外获得的,信息权利人都应当有权知晓。因此,权利人的查阅权应该包含要求信息控制者向其展示个人信息的内容及共享状态。
4.4.2 赋予退出权是实现权利人控制的保障
赋予退出权是信息权利人控制被共享个人信息的重要保障。《个人信息安全规范》第8.4条第1款b项要求信息控制者给予权利人撤回授权同意的方法。《消费者权益保护法》第29条赋予了消费者对商业性信息说不的权利。相反的是,《民法典》以及《网络安全法》对退出权的行使条件却十分苛刻,权利人只有在发现信息控制者违反法律规定或双方约定的前提下才能行使。考虑到权利人发现信息控制者违法、违约的能力有限,这一限制使得权利人对其个人信息的控制“大打折扣”,一旦决定共享便很难收回。在后续制定《个人信息保护法》时应考虑对退出权“松绑”,赋予权利人更多的行使机会。
是否赋予退出权,可通过判断共享行为是否具有持续性来决定。对于一次性共享行为,比如通过淘宝购买商品时个人信息被共享给商家,不需要给予退出权,但其他控制者负有不得保存取得的个人信息的义务。对于持续性的共享行为,如账户信息的共享(以便于定期从中扣款)等则需要赋予退出权。而对于个人敏感信息的持续性共享,甚至可以考虑要求信息控制者适时提醒信息权利人是否行使退出权,或是允许经过一定期间后的自动退出。此外,其他控制者在个人信息共享中同样承担着义务主体的角色,正如GDPR第26条的规定,不论协议如何约定,权利人均应能够基于GDPR向每个控制者行使自身之权利[22],因此需要保证退出权可向信息控制者或其他控制者中的任意一方行使。
4.5 首负责任模式
4.5.1 信息控制者对权利人首负责任
信息控制者的义务在于选择可靠的合作伙伴,并要求其遵守个人信息保护的政策[2],按照“谁共享谁负责”的思路,当信息权利人因个人信息共享受到损害,可由信息控制者首先承担责任。我国《个人信息安全规范》9.2条第1款g项明确建议由信息控制者向信息权利人承担因共享个人信息而造成的损害。美国联邦贸易委员在发现个人信息共享中的其他控制者未能履行足够的信息安全措施时,还将对共享个人信息的信息控制者施以处罚[2]。由于信息控制首先决定了个人信息是否共享,其自然应该成为损害发生时的第一责任人。由于信息控制者可能因其他控制者的原因受到处罚,其势必会在共享中对其他控制者的行为严加监管,避免损害的发生。
4.5.2 其他控制者对信息控制者负责
其他控制者虽然不必向信息权利人直接承担责任,但需要对信息控制者负责,而承担的责任源于其与信息控制者之间的协议。通常而言,按照《合同法》解决共享中的损害赔偿问题容易出现信息控制者与其他控制者互相推诿的现象,而在适用《侵权责任法》时,信息控制者仅对自己的过失部分承担责任,又难有动力约束其他控制者的行为[23]。当对信息控制者课以首负责任时,它必然会与其他控制者进行严格的合同管控及责任厘清,其他控制者则因为受到信息控制者的监督而不得不积极履行个人信息的保护义务。
05
结语
在当前个人信息共享存在擅自共享、告知不充分、责任不清等诸多问题的背景下,在国内规制个人信息共享的立法规定过于笼统、欠缺针对性的情形下,本文通过调查研究和制度比较,尝试构建共享资格准入、形象化告知、三重授权、权利人控制、首负责任等五大治理模式,从而确保信息控制者开展个人信息共享时,能够遵循《个人信息安全规范》所要求的权责一致、目的明确、选择同意、最小必要、公开透明、确保安全、主体参与等基本原则。通过平衡信息权利人和信息控制者的权利义务,消除个人信息安全面临的严重威胁,在最大程度上限制信息控制者的专擅独行和权力滥用,保障信息权利人的合法权益及社会公共利益。
参考文献:
[1] EU Congress. General Data Protection Regulation (GDPR)[EB/OL].[2019-12-13].https://gdpr-info.eu/recitals/no-6/.
[2] KIM N. Three's a crowd: towards contextual integrity in third-party data sharing[J]. Harvard journal of law & technology,2014,28(1):325-347.
[3] 王利明.数据共享与个人信息保护[J].现代法学,2019,41(01):45-57.
[4] 顾理平,俞立根.关联方信息共享与公民的隐私保护——基于手机App的研究[J].现代传播(中国传媒大学学报),2019,41(09):30-35.
[5] 林鸿潮.个人信息在社会风险治理中的利用及其限制[J].政治与法律,2018(04):2-14.
[7] App专项治理工作组.关于61款App存在收集使用个人信息问题的通告[EB/OL].[2020-01-09].https://mp.weixin.qq.com/s/lwPtpaYfwB5dlEc7YffQnQ.
[9] MCDONALD A M, CRANOR L F. The cost of reading privacy policies[EB/OL].[2019-12-12].
[11] 冯洋.从隐私政策披露看网站个人信息保护——以访问量前500的中文网站为样本[J].当代法学,2019,33(06):64-74.
[12] 伊泰民.韩国个人信息保护法(译文)[EB/OL].[2019-11-14].https://mp.weixin.qq.com/s/jByxvQZb93OGToaATfZ7_Q.
[13] 刘颖.日本个人信息保护法(译文)[EB/OL].[2019-11-15].https://mp.weixin.qq.com/s/NqOsSG4jqcYF6S40qx2fEg.
[14] 宁立志,傅显扬.论数据的法律规制模式选择[J].知识产权,2019(12):27-35.
[15] 周汉华.探索激励相容的个人数据治理之道——中国个人信息保护法的立法方向[J].法学研究,2018,40(02):3-23.
[16] 齐爱民.中华人民共和国个人信息保护法学者建议稿[J].河北法学,2019,37(01):33-45.
[18] 高秦伟.个人信息保护中的企业隐私政策及政府规制[J].法商研究,2019,36(02):16-27.
[19] 李安.人工智能时代数据竞争行为的法律边界[J].科技与法律,2019(01):61-70.
[20] 高富平,王苑.论个人数据保护制度的源流——域外立法的历史分析和启示[J].河南社会科学,2019,27(11):38-49.
[21]邹晓玫,杜静.大数据环境下个人信息利用之授权模式研究——重要性基础上的风险评估路径探索[J].情报理论与实践,2020,43(03):37-43.
[22] EU Congress. General Data Protection Regulation (GDPR)[EB/OL].[2019-12-13]. https://gdpr-info.eu/art-26-gdpr/.
[23] 朱宣烨.新时代个人信息民事保护路径研究——以存在第三方信息处理者情况下的民事责任分配为视角[J].法学杂志,2018,39(11):133-140.
作者简介:
●袁真富,上海大学法学院/知识产权学院副院长,副教授,博士。研究方向:知识产权,个人信息保护;
●娄积圆,上海大学法学院2018级法律硕士。
编辑:朱淑旖
封面供图:朱淑旖
WINTER返回搜狐,查看更多
