數字經濟背景下個人信息的法治化保障機制研究

尹姝然

江蘇聯合職業技術學院徐州經貿分院，江蘇 徐州 221000

2022 年10 月，習近平總書記在黨的二十大報告中指出：“加快發展數字經濟，促進數字經濟和實體經濟深度融合，打造具有國際競爭力的數字產業集群。”目前，我國的數字經濟活力迸發，數字資源共建共享，各種類型信息特別是個人信息已全面數字化、網絡化、智能化。數字經濟的蓬勃發展，使得我國公民的個人信息以大數據化的形式在開放的互聯網空間流轉，在方便信息交流的同時也時刻伴隨著信息泄露和侵權的法律風險。2023 年2 月，中共中央、國務院印發《數字中國建設整體布局規劃》提出：“筑牢可信可控的數字安全屏障，切實維護網絡安全，完善網絡安全法律法規和政策體系。”數字技術將個人信息數據化，在數字時代，個人信息與數據的關系幾乎融為一體。［1］故此，增強數據安全保障能力，健全個人信息保護的法治化保障機制尤為必要。

一、數字經濟背景下個人信息保護的特殊性及挑戰

（一）數字經濟背景下個人信息保護的特殊性

1.個人信息的法律界定

我國于2021 年11 月施行的《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）對個人信息的法律概念作出了明確的規定：“個人信息是以電子或者其他方式記錄的與已識別或可識別的自然人有關的各種信息，不包括匿名化處理后的信息”。這一法律概念，以“電子”為性質給予了個人信息數據化的歸屬和可以識別的特性。在數字經濟時代，個人信息大多通過數字技術進行數據轉化，并以電子數據的形式在互聯網空間存儲或加以應用，因此個人信息也應同時受到《中華人民共和國數據安全法》（以下簡稱《數據安全法》）的保護。

2.個人信息保護承載多元利益主體

數字經濟下，個人信息中既蘊含了人格利益，同時也呈現出一定的財產利益，因此，在對個人信息進行法治規范和應用的過程中，應考慮到利益主體的多元性。

第一，個人信息中的人格利益。個人信息呈現的表征與個人身份具有高度的關聯性，因而個人信息往往關系到個人評價及社會認同［2］，承載著重要的人身利益，甚至事關個人的人格尊嚴乃至自由，《中華人民共和國民法典》（以下簡稱《民法典》）中對于“個人信息受法律保護”有專門的規定，這意味著，對于自然人的個人信息，法律給予了正當權益的保護，為個人信息在民事法律方面提供了有力的保障。

第二，個人信息中的財產利益。數字經濟環境下，特別是數字中國的發展，數據競爭愈演愈烈，個人信息的財產利益和商業價值也隨即凸顯。附屬在可識別的人格屬性之上，將海量的個人信息進行多方的流轉與重復利用，通過技術手段和大數據算法分析使用，能產生大量的財產價值。

3.個人信息處理具有動態風險性

我國《個人信息保護法》中多個法律條文均對個人信息“處理”有明確的規定。處理并非單一過程，而是涵蓋了完整的個人信息數據流通鏈條，包括收集、存儲、使用、加工、傳輸、提供、公開、刪除等多個流通環節，覆蓋個人信息的全部生命周期。個人信息以電子數據的方式呈現時，其承載的商業價值因數據類型的不同、數據組合和處理方式的區別從而產生較大的價值差異。個人信息以“數字身份”的形式活動在實際生活中，信息主體的購物習慣、出行軌跡、消費傾向、瀏覽痕跡等，形成個人信息的動態流通鏈條，強勢數據平臺利用大數據技術過度分析個人信息，超范圍超權限的違法收集并將個人信息利益商業化，不僅有可能威脅個人財產的安全，還有可能侵犯個人隱私。因此，在不同的處理環節，其利益價值不同，帶來的風險也不同，會因場景的動態變化而產生不同程度的法律風險。

（二）數字經濟背景下個人信息保護面臨的挑戰

1.個人信息保護的基礎性權利尚未明確

數字經濟下的個人信息，已成為數字中國建設和發展中尤為重要的數字資源，但因個人信息的“數字身份”的人格利益與財產利益的雙重屬性，事關個人的人格尊嚴與自由。我國法律對于個人信息保護的基礎性權利表述尚不明朗，在《民法典》人格權編第六章標題中，僅出現了“隱私權和個人信息保護”的表述，給予個人信息保護以人格權的法律地位而非確定的基礎性權利。在《個人信息保護法》中給出的“保護個人信息權益”的立法定位，同樣沒有對個人信息保護的基礎性權利進行法定回應。兩部基礎法律都沒有給出明確的個人信息保護基礎性權利的認定，這樣會導致在某些情形下法律邏輯體系混亂，法律主要權利關系界定模糊，也同時會給法律從業者開展法律實務工作時造成一定屏障，難以達到預期效果。

2.網絡前端靜態的授權同意規則日漸式微

用戶在互聯網使用過程中，通常會收到一份來自網頁前端彈出的隱私聲明、隱私協議或告知同意條款，內容以格式文本的形式讓用戶明確該網站對個人信息處理情況，并通過用戶勾選或點擊“同意”選項，以“合法性授權”的方式來獲得用戶的個人信息。“同意”一詞在《個人信息保護法》中多次被提及，由此可見，取得用戶的授權同意是獲取用戶個人信息的前置條件。［3］但是隨著時代的變遷，大數據技術的卓越應用，數據共享突破了原有的網絡服務供應端和用戶之間簡單、單一的對接關系，而轉變為個人信息在多方網站進行動態流轉和重復使用的數據流通鏈。個人信息的安全性逐漸降低，用戶初始的前端同意授權作用也顯得微乎其微，無法達到單一式同意授權規則的法律效果，反而通過多次的動態流轉，大大增加了個人信息被非法泄露、獲取、利用的法律風險。

3.個人信息過度開放致使侵權風險激增

隨著數字經濟飛速發展，人們的社交活動除了面對面的交流和溝通外，更多是通過網絡化的方式分享和傳遞信息，生活及交友方式也發生巨大的變革。人們喜歡在網絡空間曬出自己的近況、發布自己的個人動態、照片、視頻等，個人信息以數據疊加的形式不斷積累、更新，使得個人信息在網絡空間的開發程度空前提升。然而，大數據技術手段也不斷革新，獲取用戶的公開信息易如反掌。新舊信息沉淀在海量數據庫，具有精準識別性的個人信息也封存其中，這大幅度地激增了個人信息被侵權的風險。此外，強勢的數據平臺有著得天獨厚的數字資源，能夠壟斷性獨占個人信息帶來的利益及處理權限，追求利益最大化的效果，甚至用超越范圍和權限的手段處理個人信息，對個人信息的數據安全產生威脅。

二、數字經濟背景下個人信息保護的法治規范現狀

全面依法治國，建設社會主義法治國家，關系著人民幸福安康，也關系著黨和國家的長治久安。黨的二十大報告提出：“必須更好發揮法治固根本、穩預期、利長遠的保障作用，在法治軌道上全面建設社會主義現代化國家。”在數字經濟時代，對于個人信息保護要從法治規范上奠基固本著力。

（一）以專門的《個人信息保護法》為基本規范

《個人信息保護法》體系建構的基礎是國家基于憲法所負有的保護義務。［4］《個人信息保護法》是我國首部針對個人信息保護的專門性立法，其內容上構建了完整的個人信息保護框架，創設性采取個人信息與敏感個人信息分級保護，擴大個人信息處理的合法性基礎。同時，在法律責任的認定上，銜接民法、行政法、刑法，明確相關法律責任。但是由于數字經濟時代的飛速發展，僅憑《個人信息保護法》難以對個人信息施以全面的保護，還需要配合各種法律救濟途徑及完善的保障機制共同作用，發揮合力。

（二）以《民法典》為代表的私法規范

《民法典》與《個人信息保護法》中關于個人信息保護的法律規定屬于普通法與特別法之間的關系。《民法典》作為民事領域的基本法、綜合性的法律規范，將與個人信息保護相關的內容規定在其第四編“人格權”中，認為個人信息側重于強調人格屬性，保護個人信息在于保護個人人格尊嚴不受侵犯。例如，《民法典》將個人信息中的私密信息定性歸屬為隱私權，針對隱私權采取強化保護形式，而對于不涉及隱私的部分，歸屬個人信息保護。此外，《民法典》第一百一十一條從個人信息保護權利、個人信息保護安全原則、個人信息保護合法性原則三個層次確立了個人信息保護的原則，是其從私權領域的視角出發，對個人信息保護的補充和平衡。

（三）基于技術性規則的公法規范

數字經濟時代，個人信息以大量的數據形式加以呈現，相對于信息主體而言，個人信息處理者具有強勢的掌控地位，數據技術的開發和使用與個人信息的安全性密切相關。因此，個人信息保護必須和個人信息的數據安全緊密結合起來，實現由國家機關強化和調整的，以制定技術性規則為前提的公法規范。我國《數據安全法》是專門性的公法規范，從國家安全的角度對數據安全及個人信息的技術性問題提出了客觀要求。該法律不僅明確對各種類型數據進行分級保護的法律制度，更是促進我國數字經濟健康和諧安全發展的重要保障。

三、數字經濟背景下個人信息的法治化保障機制構建

目前，針對個人信息保護的方法和手段較多，從不同視角和層面出發，形成了基礎性或具有針對性的法治保障規范。但數字經濟時代的快速發展，單純依靠法律途徑加以救濟很難達到個人信息保護的全面性，因此，國家還應通過法治化保障機制的構建，筑牢個人信息的數字安全屏障，確保個人信息的安全和合法使用。

（一）建立個人信息數據溯源的“安全鎖”機制

《個人信息保護法》第五條規定了個人信息處理應當合法、正當、必要、誠信。針對個人信息數據的非法獲取和利用，可以借鑒數據溯源技術來建立個人信息數據溯源的“安全鎖”機制。數據溯源技術是一種廣泛應用于各種數據模型構建和數據處理場景的重要手段，例如區塊鏈技術。這一技術通過將個人信息的訪問、修改和傳輸等操作記錄在區塊鏈上，并由多個節點進行驗證和存儲，可以確保個人信息的真實性和可信度，并實現個人信息的自動審計和違規檢測，及時發現和應對個人信息泄露和濫用等風險。建立個人信息數據溯源的“安全鎖”機制，可以有效防止個人信息的非法獲取、濫用和篡改，保障個人信息安全和隱私權益，同時也能為數字化經濟的可持續發展提供制度基礎。

（二）完善個人信息保護的“防護網”機制

目前，我國對個人信息數據的監管模式為雙線監管模式，即由政府主導的自上而下的監督管理和數據處理者在權限范圍內的自我監管。然而，信息主體完成個人信息的授權同意后，處于相對被動的狀態，對處理后數據的去向無法追蹤和知曉。這樣一來，信息主體幾乎沒有實質可行的自主權利，缺乏對個人信息使用和流轉的知情權和選擇權。現有的法治監管體系尚不完善，如若主要依賴數據監管部門自上而下的監管審查，則會導致數據控制者對于數據占有的絕對支配地位。因此，在現有的個人信息數據雙線監管基礎上，借鑒數據信托模式，引入第三方法律服務機構，作為可信的“中立方”的地位加入監管體系，打造數據安全領域多維度的“防護網”機制，以填補監管漏洞，形成節點各方的信任制衡，負責監督和審核個人信息處理者的行為，保障信息主體的合法權益。［5］

（三）夯實個人信息保護的“責任鏈”機制

個人信息保護涉及多方責任主體，包括個人信息主體、個人信息處理者、個人信息保護監管機構、個人信息保護負責人等。建立個人信息保護“責任鏈”機制，各方主體通過夯實主體責任，對個人信息進行多層次、多角度的保護，各方共同配合，形成一個完整的責任鏈。第一，個人信息主體增強自我保護意識，妥善保管個人信息，厘清授權同意規則，增強法律風險防范意識；第二，個人信息處理者應依法、正當、必要地處理個人信息，與信息主體建立信任關系，提升技術保障手段，確保個人信息在傳輸和存儲過程中的安全性；第三，個人信息保護監管機構應加大對個人信息保護的監管和執法力度，建立健全個人信息保護的相關規范和制度，發揮監督和檢查作用，確保其公正、透明、有效地履行監管職責，防止可能出現的濫用權力和不當行為；第四，政府、企事業單位、社會組織等相關方應加強合作，共同推進個人信息保護工作，建立信息共享和風險協調辦法，形成個人信息保護的“責任鏈”合力。

綜上所述，數字經濟時代，個人信息涉及的領域方方面面，我國應從多層次、多維度、多渠道為個人信息保護提供綜合性的法治規范及救濟途徑，建立合理化的制度體系，以法治規范為準繩，以制度建設為保障，形成多方合力的格局，筑牢個人信息保護的安全屏障，把個人信息保護落在實處。