摘要:电子数据的出现改变了传统搜查、扣押的适用逻辑,先搜查后扣押的行为顺序已经无法有效应对电子数据的取证活动。为了保障电子数据的真实性和完整性,当前我国相关电子数据取证规范均规定“能够扣押电子数据原始储存介质的,原则上应对其进行扣押”。在司法实践中,侦查人员往往将其理解为“能够扣押储存介质的,原则上应扣押电子数据的储存介质”。这就导致原本是针对电子数据完整性和真实性的规范要求反成为了授权侦查人员实施“概括性扣押”的依据。先概括性扣押再全面搜查成为电子数据取证的实践常态。虽然概括性取证能够有效应对电子数据对侦查实践提出的诸多挑战,但不受任意搜查、扣押是公民在刑事诉讼中享有的基本权利。概括性取证的出现难免会引发电子数据取证方式与搜查、扣押对象特定性要求之间的矛盾冲突。在比较法上,日本和美国刑事诉讼根据其对搜查、扣押概念的不同理解,形成了限制概括性扣押和限制概括性搜查这两种改革方案。前者坚持物理标准对电子数据取证的限制作用,主张应限制侦查人员在物理空间内的扣押行为。这样既可以保障数据持有人的财产权,也维持了搜查、扣押应是公开侦查措施的基本定位。后者重视事前令状审查对侦查措施的授权和规制功能。只要侦查行为符合搜查、扣押的标准,就可以通过中立法官签发搜查、扣押令状来赋予其正当性,与其行为针对的是有体物还是无体物并无直接关系。限制概括性搜查既能够保障数据持有人的隐私权不受过度侵犯,也可以通过排除非法证据的制裁后果来威慑违法侦查行为。如何限定电子数据搜查、扣押的范围是我国侦查程序法治化进程中必须面对的难题。在规范层面上,目前电子数据取证的程序规则尚未得到应有的重视。对此,我国当前需明确电子数据搜查、扣押与传统搜查、扣押的关系,构建以限制概括性扣押为重点的电子数据取证程序。具体应区分载体相关性和电子数据相关性,明确电子数据调取中侦查对象的协助义务,重点保障数据持有人的在场权或事后知情权。

摘要:生物识别信息是对自然人的生物特征进行特定技术处理所形成的信息。个人生物特征具有不变性和唯一性的特点，这使生物识别能够一劳永逸地实现对个人身份的鉴别。经过特定技术处理所形成的生物识别信息也具有这些特点，因此任何对于生物识别信息的攻击都可能对个人产生不可逆转的影响。现实生活中，商业化收集的泛滥、限制行动自由、售卖和窃取、深度伪造以及诈骗已经成为侵害生物识别信息的重要表现。保护个人生物识别信息安全迫在眉睫，而准确界定生物识别信息是首要前提。综观国外立法经验，生物识别信息的构成应当聚焦三个要素：个人生物特征之反映、特定技术处理之环节、唯一性识别之功能。此三项要素也是认定生物识别信息的关键。生物识别信息可以通过含有个人生物特征的图像来采集，但是该图像仅仅是个人生物特征的反映。在没有进行特定技术处理之前，图像本身并不构成生物识别信息，无论该图像是电子图像抑或纸质照片。生物识别信息的本质是对个人生物特征进行的测量，即所谓的特定技术处理，至于测量的方式则在所不问。无论进行面对面的真人测量抑或从含有个人生物特征的图像中测量，所得的信息都是生物识别信息。单纯对于个人生物特征的描述不构成生物识别信息，个人生物特征的样本也须与生物识别信息区分开来。目前我国法律文件对于生物识别信息定义的认识还存在许多偏差，概念混淆、内涵不明、外延短缺是主要问题。未来我国的生物识别信息定义应当遵循三个原则：揭示生物识别信息的本质、反映生物识别信息的要素、兼顾技术更新的速度。为此有必要从内涵和外延两方面着手：内涵规定本质与构成，从而为技术更迭可能出现的新情况提供解释的空间；外延进行开放式列举，以引导当下的理论与实践。就内涵而言，可概括为对自然人的生物特征进行特定技术处理（测量）所形成的能够唯一性识别自然人身份的信息。就外延而言，可以进行常态化列举，同时使用包括但不限于的表述使生物识别信息的范围不受列举的限制。

摘要:为保障个人信息保护民事公益诉讼制度的正确实施,应当通过规范解读、实证考察、理论分析等多种手段,综合运用价值分析法、实证研究法等具体研究方法,对该类诉讼的案件范围进行研究。研究认为,《个人信息保护法》第70条虽然从被诉行为、适格被告、救济客体以及损害后果等方面对该类诉讼的案件范围进行了初步界定,但在规范、实践及理论三重视角下,个人信息保护民事公益诉讼案件范围仍呈现出对被诉行为的违法性要求过于严苛、对适格被告范围的理解与立法规定的诉讼类型不符、将众多个人利益简单等同于社会公共利益,以及尚未将侵害众多个人权益的风险纳入救济范围等诸多问题。在此背景下,要科学界定该类诉讼的案件范围,应当遵循法定性、必要性及合政策性标准,一是只有个人信息处理者的违法行为在实质上侵害社会公共利益时,才属于该类诉讼的案件范围;二是只有当受侵害利益无法通过共同诉讼、代表人诉讼等私益诉讼机制获得司法救济时,才有必要将其纳入该类诉讼的案件范围;三是应当充分发挥政策的引导作用,留意政策倾向的价值维度,以积极、稳妥的态度对待政策对社会公共利益的指引,避免对案件范围的盲目扩大或不当缩减。具体而言,一是应将被诉行为的范围拓展为违反国家规定的行为,即仅就被诉行为而言,只要是违反国家规定的行为,就属于该类诉讼的案件范围;二是《个人信息保护法》第70条规定的诉讼类型属于民事公益诉讼,行政机关不能成为该类诉讼的适格被告,以行政机关为被告的诉讼不属于该类诉讼的案件范围;三是不能仅因受侵害对象人数众多就将其纳入该类诉讼的案件范围,应将是否侵害社会公共利益作为判断救济范围的实质性标准;四是为提前规避实害的发生,应当构建预防性个人信息保护民事公益诉讼制度,将那些给社会公共利益带来现实威胁的、紧迫的、严重的、不及时制止可能产生难以弥补损害的风险纳入该类诉讼的救济范围。

摘要:个人信息保护法域外效力制度是指一国对某一法域外处理个人信息的人、物或行为实施管辖，从而将其管辖范围扩展至该国领土之外的一种法律制度，其不仅是建立在各方参与主体切实利益需求之上的制度创新，在更宏观的意义上，也是一国实现政治、经济等多元目的的法律武器。从《欧盟数据保护指令》到《欧盟通用数据保护条例》，欧盟进一步扩大法律域外效力范围，确立了以属地原则为主、效果原则为补充的管辖原则，并为多数国家所效仿，这种做法的实质是以整个欧洲市场作为筹码参与国际博弈。《美国云法案》以技术和市场占优的美国企业对全球数据的控制为筹码，通过美国企业在全球的分布将法律武器延伸至世界各地，输出美国式隐私保护标准，以最大化维护其国家利益。在尚未形成国际惯例和条约的现状下，通过国内立法进行域外效力扩张是多数国家维护数据主权并参与网络空间国际治理的共通做法。面对这一国际立法主流，我国应构建域外立法管辖和域外执法管辖并存的法律制度，进一步提升个人信息保护法域外效力制度的适用性和体系性，积极参与并主导个人信息保护法国际条约的制定，推动互联网全球治理体系变革中国方案的实现。

摘要:我国《个人信息保护法》第57条首次确立了个人信息泄露通知制度,规定了个人信息处理者在发生信息泄露后向有关部门与个人履行通知的义务。个人信息的泄露往往给个人信息主体带来持续性、衍生性的危害,涉及人身、财产安全以及精神损害等方面,故而及时有效的泄露通知能够更好地保护个人信息权益。在涉及履行个人信息泄露通知的义务上,处理者被赋予了一定的自由裁量空间,即采取措施能够有效避免相关危害的,可以不通知个人。基于此,该自由裁量主要存在两个挑战:一是损害了泄露通知引发的声誉制裁有效性,企业在预见到泄露通知带来的巨大商业风险与社会责任时,往往选择内部消化处理已经发生的泄露事件,破坏声誉制裁的运行机制;二是个人信息处理者与行政机关之间的信息不对称以及基于显性监管指标的规制捕获,导致企业以最容易实现合法外观的方式来满足监管要求,降低合规成本。关于如何规制该制度的自由裁量空间以及如何构建监管部门与商业组织之间协调机制的讨论并未停止。妥当地规制自由裁量空间,是个人信息泄露通知制度有效运行的关键。通过借鉴欧美等国个人信息泄露通知制度中关于触发标准、阈值分布等方面令人瞩目的立法政策,基于行政法中第三方义务理论框架分析了企业声誉制裁体系及其正当性基础和自由裁量的适用条件;同时,从戴维斯提出的结构化自由裁量角度切入,提出我国个人信息泄露通知制度在细化完善方面应当注重自由裁量的常态化监督,持续性介入个人信息处理者在自由裁量方面的审核;在泄露通知方式上采取双层化处理,即原则上发现信息泄露应当立即通知监管机构,而对于个人信息主体的通知设定较高触发阈值;在显性监管指标方面进行协同性弱化,主要职责部门在收到自由裁量决定后与其他相关部门协同审查,弱化显性监管指标概念;在泄露通知有效性方面,强化通知的具体内容设计以及发送通知的方式,严格规范泄露通知所能包含内容的范围,禁止任何商业推广危害通知的可阅读性。