在接受后,本着法律适用优先原则、穷尽法律救济原则,先进行合法性审查。

关键词:  法无授权 权力列举 权力清单 权力负面清单 早在2014年,国务院总理曾强调:对政府,法无授权不可为。②按权力扩张的本性,它一定会更加畅行无阻地自行扩张,挤压公民能享有的法律权利的空间,降低法权结构(权力/权利)中权利的比重并提升权力的比重,危及原本已极为脆弱的法权结构平衡。

AMD发布32核64执行绪的EPYC处理器内部是4路RyzenCPU

做好宪法学,需要广泛了解和研究法治发达国家的做法。不得通过公民权利剥夺法案或追溯既往的法律。进入 童之伟 的专栏 进入专题: 法无授权 权力列举 权力清单 权力负面清单 。③朕之长女出嫁时所需者。第87、124、129条和第130条分别规定国务院总理、副总理、国务委员、监察委员会主任、最高人民法院院长、最高人民检察院检察长均连续任职不得超过两届。

其间,1215年的英国《大宪章》的出现是一个里程碑,尽管英国此前并未形成绝对君主专制制度。美国宪法是历史上第一部成文宪法,它是以联邦国会为首要对象列举联邦机构中三个机关的权力并形成清单的:①关于立法权的行使主体和范围:国会应有下列权力:规定和征收直接税、间接税、进口税与货物税,以偿付国债、提供合众国共同防御与公共福利,但所有间接税、进口税与货物税应全国统一。对此, Paul Ohm主张放弃匿名的概念,其宣称匿名已死并认为个人可识别信息(P.I.I.)的概念已走向终结{14}。

匿名化机制,即属于信息系统隐私保护机制的重要环节。当任何一个理性的人,利用一切公开资源,也无法复原这一信息,或需通过不合理的努力才能复原这一信息时,该加密信息是足够安全的匿名信息。即便是将匿名化处理理解为个人信息处理,由于其归根结底是一种防止个人信息泄露的手段,其本身也应被认为符合数据处理的初始目的{12}7。为保留数据的再利用价值,对准识别符的处理应在个案中根据风险评估结果决定{29}。

理论上,更是存在法益说、一般人格权说、隐私权说、新型财产权说、宪法人权说、独立人格权说等学说{2}。结合《网络安全法》42条第1款和第76条第5款,匿名信息系经过处理无法识别特定个人且不能复原的,其中识别又包括单独或者与其他信息结合的识别。

AMD发布32核64执行绪的EPYC处理器内部是4路RyzenCPU

因此, GDPR鉴于条款第26条指出,经过假名的个人信息,可以通过使用附加信息识别个人,应被认为是一个可识别的自然人的信息。第一,匿名追求的是风险最小化,而非100%的安全。虽经一定处理,但仍有识别特定个人的可能且能被复原的信息系假名信息。同时,与信息接收方签订禁止再识别的合同常常还是法律的强制性要求。

2014年我国台湾地区台北高等行政法院亦指出,已进行相当严格的匿名化处理的数据,无从识别特定个人之信息,并于数据提供之审查及作业过程设有相当严谨之管控及作业规范,因此可在特定目的之外使用。2018年生效并替代《数据保护指令》的《统一数据保护条例》(以下简称GDPR)鉴于条款第26条进一步指出,匿名信息即与识别或可识别自然人无关的信息或以数据主体不能或不再可识别的方式匿名提供的个人信息。第二,除非信息已绝无被复原的可能,或向社会公众公开无法签订相关协议,提供方应通过合同禁止信息接收方尝试进行再识别。如前所述,在技术角度以及法律目的看来,匿名并非绝对的,而是一个可识别程度问题。

英国2011年R诉信息专员案中,生命支持联盟组织的成员要求英国卫生署公布晚期堕胎的详细数据,卫生署拒绝了详细披露的请求,转而披露了匿名化处理的聚合统计数据。因此,处理未达到匿名标准的假名信息,仍需遵循个人信息保护规范。

AMD发布32核64执行绪的EPYC处理器内部是4路RyzenCPU

如就一些极其罕见的病例而言,仅通过医院名称、诊断结果也可识别出特定的患者{19}3。有学者称之为匿名的迷思{17}。

对处理个人敏感信息尤其有利。该案中,司法部想要从医院获取晚期堕胎的特定病人的记录。在个人信息的属性问题上,司法实践中许多法院将个人信息划入名誉权或隐私权的范畴。面对大数据时代的挑战,匿名应回归到对信息可识别程度的关切之上。其自身不能识别数据主体,与其他信息结合后可识别数据主体{7}19。在我国法中,为履行《网络安全法》42条第2款所规定了信息安全保障义务,控制者有必要采取匿名化处理的方式控制信息风险。

虽然HIPAA的安全港标准事无巨细地列出了18种识别符,但与其说这是一个标准(standard)不如说是一个规则(rule){18}。【注释】 基金项目:2017年中国法学会民法学研究会青年学者研究项目:个人信息的私法界定(2017MFXH004) 作者简介:韩旭至(1987-),男,广东广州人,武汉大学法学院博士研究生,华东政法大学师资博士后,主要从事网络法研究, E-mail: hanxzlaw@139.com。

借鉴加拿大的相关规定,合同内容应包括:明确禁止再识别的尝试。2014年WP29提出了更严格的标准,控制者若没有删除原始数据而将数据集的一部分提供给第三方,其所提供的信息也属于个人信息{12}9。

同时,该款第2项规定,删除18种识别符的健康信息不是可识别健康信息,被称为安全港标准。美国法上的匿名信息并未脱离识别的合理可能性的判断。

所谓合理关联性,实质上相当于识别的合理可能性,其指的是信息根据其自身,在上下文中,或在组合中被用以识别个体或设备,或者符合逻辑地与其他相关特定个体或设备的信息相结合。因此,匿名不可仅关注信息本身。2014年《中国互联网定向广告用户信息保护行业框架标准》(以下简称定向广告行业标准)3条第1款指出,去身份化使得信息无法用于识别、确认或关联至某个特定用户。其中,隐私权说源于美国法上信息隐私学说{3}。

HIPAA第164.514条第a款即明确指出,不能识别特定个体并且没有合理理由相信可以被用于识别特定个体的健康信息不是可识别健康信息。如学校通过学号可直接识别出特定学生。

而复原实际上属于与其他信息结合识别的间接识别。如网络用户的网名属于假名,但仍属于个人信息。

在美国法中,去身份(或译去标识)意味着所有可能与特定个人的身份相关联的信息已被从相关的报告、数据或其他信息中移除。加拿大安大略省信息和隐私专员认为,匿名信息再识别的风险被一些研究者错误地高估了{20}。

与之相比,英国的标准较为宽松。(1)删除或替换全部直接识别符 直接识别符也称唯一识别符(uniqueidentifiers){28},即直接识别信息{29}。存在违约时接收方必须通知提供方。域外相关案例中,法院一般并不认为网络服务提供商抓取的用户信息构成匿名信息。

该条指出,数据主体无法确定的匿名信息不适用数据保护原则。W. Kuan Hon则认为匿名化处理的过程不构成个人信息保护规范意义上的处理{13}。

大数据时代中,个人信息被称为新石油,蕴含着巨大的经济、社会价值。在多数医疗研究中研究者需获取病人的病史信息、用药时间和日期等信息{24}。

否定匿名,必将降低信息主体将个人信息匿名的积极性,从而不利于个人信息保护。即便是删除特定识别符,通过结合额外的辅助信息,堕胎妇女的身份仍有可能被识别。