第一篇 导论:个人信息保护的缘起 3
专题一 什么是个人信息? 3
一、个人信息的内涵是什么? 3
二、如何区分与个人信息相关的各类概念? 19
三、学界和实务界有关“个人信息权”的误解 25
四、“个人信息受保护权”的引入 27
专题二 为什么要保护个人信息? 29
一、现实需求:信息技术发展及其应用的迫切需要 30
二、法治需求:实现人民利益的《个人信息保护法》 35
专题三 个人信息保护制度的渊源在何方? 41
一、早期探索:美欧的两种模式 41
二、制度成型:个人信息保护制度发展出了哪些内容? 54
第二篇 共治:由谁保护个人信息? 67
专题一 政府层面——成立个人信息保护机构 67
一、以欧盟为例的统一行政监管模式 67
二、以美国为例的分散监管模式 87
三、我国选择统筹协调加分行业监管模式 94
专题二 行业层面——形成行业自律规范 96
一、行业自律的动机与原因 97
二、行业自律的类型与模式 100
三、行业自律的优势及局限性 101
四、行业自律实践 102
专题三 个人层面——自发开展私力救济 107
一、《民法典》规定“自然人的个人信息受法律保护” 107
二、归责方式的偏向保护 110
三、程序上的偏向保护 117
四、损害的证明及赔偿数额计算方式 125
专题四 群体性纠纷的司法解决路径 131
一、集体诉讼的起源 133
二、集体诉讼的概念和特征 136
三、集体诉讼与传统诉讼理论的冲突与衡平 139
四、集体诉讼适用要件及救济制度 141
五、我国代表人诉讼制度及其与集体诉讼的区别 146
六、我国《个人信息保护法》中的公益诉讼制度 149
七、我国个人信息保护群体性纠纷解决制度尚待改进的几点 158
第三篇 利用:如何使用个人信息? 165
专题一 个人信息处理原则 165
一、“处理”的内涵 165
二、个人信息处理原则的国际探索 167
三、个人信息处理原则的具体规定 169
专题二 知情同意——主要合法性基础 174
一、知情同意规则的起源 174
二、知情同意规则现在还适用吗? 177
三、知情同意规则的具体细节 181
专题三 个人信息处理的其他合法性基础 185
一、其他合法性基础有哪些? 185
二、我国《个人信息保护法》对其他合法性基础的规定 190
专题四 个人信息跨境流动 198
一、个人信息跨境流动的内涵 198
二、个人信息跨境流动规则 203
三、个人信息跨境流动的发展趋势 210
四、我国个人信息跨境流动之路 212
第四篇 强化:个人信息有哪些特殊保护规则? 219
专题一 敏感个人信息的保护规则 219
一、敏感个人信息的内涵 219
二、敏感个人信息区分保护的必要性与可行性 233
三、敏感个人信息的特殊保护规则——以生物识别信息为例 238
专题二 国家机关处理个人信息规则 250
一、个人信息处理主体的划分 250
二、我国关于国家机关处理个人信息的规则建构 255
专题三 未成年人个人信息保护规则 260
一、未成年人个人信息保护的制度背景与相关概念 260
二、未成年人个人信息保护的域外观察与核心规则 264
三、我国对未成年人个人信息的保护现状 271
专题四 利用个人信息进行自动化决策 276
一、自动化决策的概念厘清 276
二、自动化决策引发的个人信息安全风险分析 278
三、关于自动化决策的立法规定 282
四、自动化决策规制的核心问题 287
第五篇 保障:如何保护个人信息? 295
专题一 从“登记注册制”转向“问责制” 295
一、登记注册制——一种事前监管的手段 295
二、问责制——对产业发展更友好的事中和事后监管手段 296
专题二 基础性保护要求:安全保障原则 301
一、安全保障原则的内涵 301
二、技术性安全保障措施 309
三、组织性安全保障措施 320
专题三 事前的数据保护影响评估制度 324
一、隐私影响评估(PIA)的兴起 324
二、数据保护影响评估制度的理论基础和主要内容 327
三、如何适用数据保护影响评估制度? 332
四、DPIA制度对我国的启示 334
专题四 事后的数据泄露通知制度 337
一、数据泄露通知制度的内涵及法理基础 337
二、欧盟数据泄露通知制度 338
三、美国数据泄露通知制度 341
四、我国个人信息泄露通知制度 343
专题五 设计和默认的数据保护 346
一、设计和默认的方式进行数据保护理念的内涵 346
二、八项基本原则 347
三、我国的个人信息安全工程 354
四、合规建议:八项隐私设计策略(Privacy Design Strategies) 360
附录:解读《个人信息保护法》30问问题1:《个人信息保护法》的立法目的和立法依据是什么? 367
问题2:《个人信息保护法》的保护对象和管辖原则是什么? 367
问题3:如何界定个人信息? 368
问题4:《个人信息保护法》为什么采用“个人信息处理者”的表述? 368
问题5:《个人信息保护法》规定了哪些个人信息保护基本原则? 369
问题6:处理个人信息有哪些合法性基础? 370
问题7:《个人信息保护法》对同意有什么要求?哪些情形下需要单独同意? 371
问题8:个人是否可以撤回同意? 371
问题9:《个人信息保护法》规定了哪些告知个人的要求? 372
问题10:如何理解《个人信息保护法》规定的共同处理情形? 373
问题11:如何理解《个人信息保护法》规定的个人信息委托处理情形? 373
问题12:《个人信息保护法》对通过自动化决策方式处理个人信息的行为作出了哪些限制性要求? 374
问题13:《个人信息保护法》对于个人信息公开以及处理已公开个人信息作出了哪些规定? 375
问题14:《个人信息保护法》对公共场所安装图像采集、个人身份识别设备有哪些限制性要求? 375
问题15:什么是敏感个人信息? 376
问题16:处理敏感个人信息有哪些特殊要求? 376
问题17:处理不满14周岁未成年人个人信息有哪些特殊要求? 377
问题18:《个人信息保护法》是否适用于国家机关的个人信息处理活动? 378
问题19:国家机关处理个人信息有哪些特殊要求? 378
问题20:个人在个人信息处理活动中享有哪些权利? 379
问题21:《个人信息保护法》对于死者的个人信息作了哪些规定? 380
问题22:个人信息处理者应当承担哪些个人信息安全保障义务? 381
问题23:哪些个人信息处理者应当设立个人信息保护负责人? 381
问题24:如何理解个人信息保护影响评估制度? 382
问题25:如何履行个人信息泄露通知义务? 382
问题26:《个人信息保护法》赋予大型互联网平台哪些特别义务? 383
问题27:履行个人信息保护职责的部门有哪些? 383
问题28:《个人信息保护法》规定了哪些法律责任? 384
问题29:提起个人信息保护公益诉讼有哪些要求? 385
问题30:个人信息去标识化和匿名化有什么区别? 385
