在个人信息保护中,"个人—个人信息处理者"形成了法定的两造主体关系。"欧洲标准"的数据隐私立法正在逐渐成为世界其他国家数据隐私法的标准,欧盟立法呈现出"信息自决"的法观念历史脉络,其应有之意是个体能够决定对自身信息的使用,即产生一种"控制"。与GDPR规定的主体不同,中国法仅创设和保留了"个人信息处理者"这一主体,其在实质意义上吸收了信息控制者这一主体概念。对于个人信息处理者侵害个人信息权益应承担的民事责任,《个人信息保护法草案(二审稿)》规定了过错推定责任原则,但仍有完善空间,诸如是否根据不同主体、不同行为与不同信息类型而区分无过错责任与过错推定责任。个人在个人信息处理活动中享有以知情权为核心的一系列权利,个人信息处理者对包括知情权在内的个人权利的侵害,亦应承担相应的民事责任,法律应予明确。

• 单位
  中国社会科学院大学; 中国社会科学院法学研究所