论点

个人信息保护应从个人控制走向社会控制

欧洲基于对人的尊严的保护，美国基于对个人自由的保护，形成了个人信息的个人控制论，以实现个人自治，保护人的基本权利。但个人信息保护权并不是一项全面的、绝对的支配权。个人信息不仅关涉个人利益，而且关涉他人和整个社会利益，个人信息具有公共性和社会性。传统的个人信息个人控制理论是建立在个人主义观念下，忽视了个人信息的社会性、公共性，不仅不能全面反映个人信息的法律属性，而且不能适应大数据时代个人信息利用的新环境和新方式。这预示着个人信息保护应从个人控制走向社会控制。我国应当从个人信息的法律属性出发，以社会控制论指导个人信息保护立法，建立平衡个人利益和社会整体利益的、适应大数据时代的个人信息保护制度。

——华东政法大学教授高富平

个人信息大数据与刑事正当程序的冲突及调和

信息革命引发现代国家治理发生相应变革，这集中体现在国家权力与公民权利的互动上。在此背景下，个人信息保护不仅针对信息本身，还应防止因个人信息被滥用而侵害公民的合法权益。具体到刑事司法领域，以个人信息为基础的大数据在介入犯罪治理活动后，其具有的过程性和算法依赖性、以行为模式为前提假设的预测性、基于数据挖掘的新认知范式和数据碎片性等特性，引发犯罪治理思路和模式的相应转变，这尤其表现在两个方面：一是服务于刑事诉讼的数据收集、存留及共享义务的扩张，二是风险防控思维下犯罪治理活动启动时点的前移。个人信息大数据在助力犯罪风险评估从而优化刑事司法资源配置的同时，亦与刑事正当程序发生冲突，其中又以无罪推定原则、控辩平等原则和权力专属原则为甚。鉴于社会信息化的总体趋势，要调和这些冲突，需要以信息革命引发的“权力—权利”二元互动关系变革为出发点，寻求犯罪控制与保障人权两项刑事司法基本价值之间的新平衡点，并对具体的程序规则进行修正。

——北京航空航天大学法学院副教授裴炜

个人信息保护法不应回避基本权利话语

在大数据时代，信息控制者对于个人信息有很强的利用激励而缺乏同等程度的保护激励。如果法律规则只是简单施加各种禁止性或者强制性规定，势必因为激励不相容影响有效实施。尽管立法模式不同，不论欧盟还是美国，近年来都在探索建立激励相容的个人数据治理体系。我国目前的个人信息保护相关立法存在法律要求与信息控制者内部治理机制脱节、刑法制裁与其他法律手段脱节、责任规范与行为规范脱节等问题。个人信息保护法应以培育信息控制者内部治理机制为目标，以构筑有效的外部执法威慑为保障，促使信息控制者积极履行法律责任，并对违法行为予以制裁。个人信息保护法应确认信息主体在公法上的个人信息控制权，不能也不应该回避基本权利话语。个人信息保护法的实施，需要先从信息安全风险管理角度切入，由易到难，循序渐进，推动激励相容机制实现。

——中国社会科学院法学研究所研究员周汉华

个人信息自治下的被遗忘权

以同意权开始，以被遗忘权收尾的一整套个人数据权利建立在“个人信息自治”的理念之上，体现了更高水平的个体权利保护，是对新媒介技术及其催生的互联网社会的法律应对。一方面，这些权利具有绝对权的某些特征，另一方面，它们并非放之四海而皆准，其最佳适用场合为当事人为平等主体的民事交易交往语境，包括21世纪新兴的社交网络。于此，是否以及在多大程度上利用公民个人信息，决定于当事人的意思。而当被遗忘权指向对互联网上旧闻及其搜索链接的删除时，则进入了新的语境，即新闻报道和信息自由对人格利益的侵入。此时，是否以及在多大程度上披露个人信息，决定于公共利益的需要，须考虑所报道事件的公共属性、信息的时效性和报道对当事人将会造成的影响。将旧报道置于互联网存档具有重大公共价值，且不属于对当事人进行新闻聚焦，故个体人格保护原则上应让位于信息自由。

——中国传媒大学法律系副教授刘文杰