數字經濟時代個人數據面臨的風險、成因及防范策略

□肖中華 鄒雄智 聶加龍

一、引言

數字技術的迅猛發展以及與實體經濟的深度融合促使新業態層出不窮，數字經濟發展方興未艾。作為以數據為要素的新經濟形態，數字經濟一方面日益凸顯了個人數據經濟價值，另一方面也使得數據主體身份變得更為透明。我國數據安全立法體系已逐步完善，但互聯網平臺之間、平臺與個人之間仍存在因數據權屬模糊等原因所引發的數據濫用、區塊鏈的不成熟、個人數據強制確權造成公眾信任危機等問題，這些問題究其根源與傳統互聯網體系結構在身份認證與數據權屬的設計上存在先天不足有關。為此，有必要在數字經濟時代背景下重新定義和健全數據基礎設施，提高數據資源的市場配置效率。無論是重新定義和健全數據基礎設施，還是提高數據資源的市場配置效率，個人數據安全都是必須確保的，因為個人數據安全事關數字經濟長遠發展，更是滿足人民對美好生活向往的需要。數字經濟時代加強個人數據保護，運用法治思維和法治方式是最根本最有效的方式，也是推進法治中國建設和數字經濟健康發展的需要。基于此，本文擬從法治的角度探究個人數據面臨的風險、成因與防范策略。

二、文獻綜述

關于個人數據的研究，多數的學者都認為對個人數據權利應該給予積極的保護，而且明確個人數據是一種權利。程嘯（2018）提出大數據時代在保護企業平臺數據流通的利益時需要平衡對自然人的權利保護。個人數據應被納入私權制度保護的范疇，企業平臺的數據流通權利作為一種新型財產權出現。李愛君（2018）對個人數據權利屬性進行了研究，提出應以數據為核心客體，以數據權利結構為邏輯起點，確立個人數據的民事權利范疇，主張數據的獨立性、確定性、客體屬性并存在于人體之外。呂志詳和張強（2019）則提出數據是信息技術發展后的存儲介質，有著自身的發展路徑，天然地與個人的財產權利、人格權利緊密聯系。根據私法領域中的“法無禁止即可為”的原則，數據權利被納入法律保護顯然有利于以民法領域為契合點，提升公眾對數據權利保護意識。肖建華和柴芳墨（2019）指出數據權利是一項復雜權利，其保護的權益包括財產權益和人格權益，其權利主體包括個人、數據平臺、其他組織和國家。鄧剛宏（2018）認為個人數據應直接定為數據權利，厘清數據權利類型的邊界，突破我國傳統學界將數據權屬定位于以財產權學說、知識產權學說為邏輯基礎的做法，對權利的屬性特征加以明確，對數據權利加以分類，保護路徑則依據權利類型進行設計。我國個人數據保護應該借鑒權利體系中其他權利保護的路徑與制度，加強數據權益保護的立法建設，注重數據主體使用數據的行為規范。馬克爾·杜甘和克里斯托夫·拉貝（2017）認為個人數據使用困境問題的研究主要聚焦在數據倫理、信息倫理、個人隱私等領域。大數據時代來臨，一方面給人們帶來生活便利，另一方面也使得人們成為“透明”人：在海量數據關聯的數字時代，個人消費習慣、私人生活信息每天都在被收集。李倫（2019）分析了個人數據隨著人工智能、大數據、互聯網的快速發展所面臨的法律倫理和社會倫理挑戰，集中在大數據技術發展的算法設計倫理、開發倫理等新問題方面。保羅·維格納和邁克爾·凱西（2018）從技術層面對數據保護的路徑和方式開展了研究，認為傳統的交易模式隨著技術的改變，出現了區塊鏈、分布式網絡、密碼學賬戶等，提出了建立在共識算法基礎上以第三方記錄全信息數據流的分布式賬本模式，主張保護數字社會中的數據權利應將法律規制和區塊鏈技術、算法治理等數字化的規制方式相結合。楊永強（2020）認為區塊鏈具有可追溯且不可篡改的特征，主張建立去中心化的數據庫，通過記錄時間先后解決數據面臨著的信息孤島、數據壁壘等問題，完成交易平臺的數據確權，保證數據使用的安全性。

綜上所述，現有的宏觀研究因在微觀供給和實踐支點上略有欠缺而陷入一種純理論的闡釋，影響了理論的解說力；微觀研究則在綜合運用法治保障個人數據主體理論進行宏觀論證上略顯薄弱，影響了研究的概念提煉和理論提升，因此在理論解構、研究視野和路徑上還可拓展，如數字經濟視閾下立法、數據算法、數據信托、數據保護與國際交流的行為和發展保障模式等，都還有一定的研究空間。特別是需進一步深化對數字經濟背景下個人數據安全與數據資源要素充分融合的長效機制的研究。本文將在界定個人數據權的內涵及特征的基礎上，系統分析數字經濟時代個人數據面臨的風險，提出防范個人數據風險的對策建議，旨在建構數字經濟時代個人數據在法律保護下健康發展的合理路徑。

三、個人數據權的界定及特征

（一）個人數據權的界定

數字經濟時代的數據來源十分豐富，不但包括對客觀世界統計的結果，還包括人類社會自身的記錄以及整理挖掘出的新數據。就個人數據而言，包括可直接可識別自然人特定身份的數據和雖不能直接識別自然人身份，但與其他數據結合后能夠識別特定自然人身份的數據。隨著物聯網、大數據、區塊鏈、人工智能與實體經濟深度的融合，個人數據蘊含的經濟價值急劇上升。在以數據為中心的數字經濟時代更加要求數據具有私密性、安全性、不可被利用和被篡改性。當國內外的個人信息處理規則和數據保護法律逐步完善時，如何實現大數據技術應用和個人數據保護之間的平衡至關重要。用新型數字技術將個人從面對平臺經濟的被動境地下解脫出來，將個人數據的活力充分釋放并形成數據價值鏈，是通往安全的、具有廣闊前景的數字經濟必由之路。我國立法對此進行了積極回應，例如《民法典》第111 條規定：“自然人的個人信息受法律保護”。與此同時《個人信息保護法》第28 條強調了只有在特定的目的和充分的必要性前提下才能對個人敏感信息進行處理，且應在采取嚴格保護措施的情形下方可行使；《網絡安全法》第41 條也作了相關規定，即網絡運營者在收集個人信息時首先須履行征得被收集者同意的義務；《消費者權益保護法》第29條規定消費者個人信息被經營者收集或使用，經營者既應履行消費者同意的義務且收集的范圍和使用方式也須讓消費者知情。由此可見，企業收集個人數據必須得到數據主體的同意而且知情，即要符合“知情同意”規則。“知情同意”規則，一方面賦予個人選擇權，另一方面體現立法對個人人格的尊重，同時個人在知情的基礎上對相關的風險進行判斷和防范。由此，個人數據權可以界定為：與個人相關聯的各種有價值數據被相關組織依法采集后，應由本人知情同意后方可授權提供給第三方進行處理和使用，且獲得第三方提供的數據服務。

（二）個人數據權特征

1.憲法人權性

憲法人權性最初來自《歐洲人權憲章》第八條約定：“每個人都有權保護其個人數據”。2018 年歐洲聯盟實施《通用數據保護條例》 第1 條指出“本條例保護自然人的基本人權，特別保護自然人的個人數據權”。個人數據權屬于基本人權范疇在國際組織相關規定中率先體現。此外，我國公民通信秘密受法律的保護在《憲法》第40 條得到明確：未經寫信人、收信人的許可不得把信件內容公布于眾，竊聽別人電話等均屬違法。隨著社會不斷發展和進步，萬物皆可數字化，依據《憲法》40 條立法精神通信雙方個人數據當然屬于保護范疇。基本人權關系范圍應納入個人數據權，個人數據權作為公民一項基本權理應受到憲法保護。

2.人格權性

人格權獨立成編，無疑是《民法典》一大亮點。《民法典》第990 條對人格權類型進行具體劃分，其中肖像權、名譽權、榮譽權、隱私權等權利被納入人格權范疇。數字經濟時代背景下，部分個人數據固然難以體現出個人身份特征，但如果借助大數據技術分析并與相關數據組合后，也可能發現具有可識別性人身屬性的特征。人格權立法之所以獨立成編實質是回應了數字經濟時代的到來個人數據權益會面臨各種新情況、新問題，是為人格權制度后面進一步完善預留發展空間。尤其是考慮到現代社會生活的復雜性，大數據技術不斷發展給人類社會帶來的各種便利以及數據帶來的紅利，而人對自身發展的需要也會不斷提升，人的自我權利意識性和權益保護訴求也將增強。所以，從法理分析人具有可識別性的個人數據理應屬于人格權。

3.可攜帶權性

隨著互聯網和大數據技術的不斷發展，數據資源成為企業新的生產要素。其中，企業以各種方式收集的個人信息和數據是非常重要的數據資產。因此，企業有義務更好地保護個人的數據權利。2021 年11 月1 日，“數字時代基本法”——《個人信息保護法》正式實施，首次對數據可攜帶權作了規定，真正體現出個人數據權利回歸個人的立法思路，不僅為個人數據流通提供新的方向，還將為行業帶來新的機遇。對數據可攜帶權作出規定增強了個人對個人數據轉移與再利用行為的控制，也對國內企業數據合規提出新的要求。總體來說，攜帶權明確了個人是其個人數據權的主體，數據隨著權利主體的流動而流動，而控制者和處理者有義務實現個人數據的流動。因此，可攜帶性成了個人數據權的一個特征。

4.財產權性

《民法典》對數據的保護既不適用物權、也不適用知識產權，而是單獨作了規定。其第127 條明確規定：“法律對數據、網絡虛擬財產的保護有規定的，依照其規定。”這其實就是為將來的“數據權”預留了空間，也是一種需要專門界定的權利。顯然，立法者對數據的保護是緊接著人格權、物權、債權和知識產權依序規定的，也就是說數據作為一種新型的財產權利得到認同。2020 年1 月1 日實施的《深圳經濟特區數據條例》創新性地首次提出數據權，其中就包含個人數據權。這表明了個人擁有個人數據，當然應享有與其對應的數據權，而這種權利包含對個人數據的處理和收益，也是應有之義。從這個意義上我們可以說，數據是一種個人資產，一種比較特殊的個人資產。

四、數字經濟環境下個人數據面臨的風險及成因

（一）數字經濟環境下個人數據面臨的風險

1.個人數據“安寧權”的風險

數字經濟時代下，互聯網、大數據、人工智能的發展給民事主體隱私的保護帶來了嚴峻挑戰。從看起來毫無關聯的一個數據，就能解密特定個人的私密生活。移動終端已然成為當下的一大趨勢和潮流，用戶在接收信息的同時，各類垃圾短信、郵件、廣告也猶如冬日的雪花一樣，這并不是用戶主動擴大對網站的授權，而是網站等機構利用用戶的日常瀏覽痕跡，迎合用戶增加用戶的購買欲望而刻意為之，這些在用戶未同意的情況下發送垃圾信息等行為無疑對用戶的“安寧權”構成了侵害。

2.個人數據收集的知情權風險

數據是資產、數據有價值已經是社會共識。與此同時，在手機等移動設備發展迅速的今天，手機中的APP 也得到了前所未有的發展。為了滿足不同的需求，每一臺正在使用的手機會安裝數量眾多的APP。消費者要想享受這些APP 帶來的便利，必須同意其運營商設定的相關授權，否則無法安裝或運行。這些授權有些是安裝和使用APP 所必須，但有些則不是，例如安裝閱讀軟件時被請求訪問通訊錄，下載出行APP 時被要求訪問手機相冊……這看似“有必要”的詢問，實際上是一種超范圍收集用戶信息的表現，大量用戶對此都深有體會。更為重要的是從表面上看，商家看似已經履行了告知義務，給予了用戶選擇權，但在實際上用戶更多只能被動接受，否則就面臨APP 無法下載和正常使用的問題。而這只是一方面，另一方面，更多用戶的個人隱私是在不知情的情況下被竊取的，平臺以此來收集用戶的需求及喜好，及時傳遞給企業或商家，以便進行廣告推銷。

3.個人數據“處分權”風險

在個人數據被竊取的同時，更為可怕的是數據進一步地被共享甚至交易。自公安部部署“凈網2021”專項行動以來，全鏈條打擊非法采集、提供、倒賣個人信息違法犯罪，偵辦案件3900 余起，抓獲犯罪嫌疑人4600 余名，有力維護了公民個人信息安全與合法權益，進一步凈化了網絡環境。從中我們不難知道，國家之所以加大了打擊力度，正是因為當前個人面臨著個人數據“處分權”風險。此外非法數據庫還具備搜索功能，通過關鍵信息查找，如手機號碼、信息對象名稱等途徑，可以快速查詢信息對象的位置、購買記錄等信息。信息被輕易獲取和收集往往容易引發非法的共享甚至交易。在網上倒賣個人信息的行為時有出現，甚至有專門的違法交易個人信息的組織，形成了個人信息非法交易的產業鏈，這都說明當前個人數據存在著“處分權”風險。

4.個人數據面臨黑客攻擊與“二次傷害”

互聯網上的個人信息數據所面臨的風險，還有黑客攻擊所帶來的風險。一旦遭受黑客攻擊，個人信息數據將會被泄露無虞。一般而言，發現黑客攻擊，數據庫運營者應及時將其有關情況向用戶通報，并采取相應應急措施最大限度避免個人信息數據泄露。然而，由于我國缺乏對數據泄露的披露義務的法律規定，導致在現實中很多情形下不能得到妥善處理。這樣，個人信息數據在泄露的同時，還不可避免地遭受了由此帶來的“二次傷害”。

5.數據被過度采集與被販賣的風險

在數字經濟時代，數據具有經濟價值，網絡平臺等為了實現利潤就必須控制海量的數據，于是網絡平臺等為了獲得更多的數據，往往利用個人使用APP 等的機會，過度收集個人信息數據，主要表現為收集與APP等使用功能實現不必須甚至完全不相關的個人信息數據，而且這些個人信息數據很多涉及個人隱私。此外，也正因為數據具有經濟價值，所以一些不法分子販賣個人信息數據，甚至形成了黑色產業鏈。不難知道，個人信息數據一旦被販賣，極有可能會用于各類違法犯罪活動。由此，個人信息數據被過度采集、販賣也是數字經濟環境下個人數據面臨的風險之一。

此外，5G、人工智能、物聯網、工業互聯網、云計算、大數據等新一代信息技術的逐步應用，在催生網絡攻防手段由人工主導向智能化、自動化轉變的同時，技術本身的應用也會給個人數據帶來一定的風險。

（二）數字經濟環境下個人數據面臨風險成因分析

1.個人數據權屬不明

《數據安全法》《個人信息保護法》的實施，標志著我國個人數據保護進入一個發展新階段，數據保護體系正日益完善。但是，目前學界對個人數據權的法律屬性眾說紛紜，主要有個人數據權應屬基本人權范疇說、個人數據權應屬于人格權范疇說、個人數據應屬于個人隱私范疇說。此外，還有觀點表示，個人數據因其具有很大的經濟價值而具有財產屬性，可作為財產使用，應屬于財產權范圍。綜上不難發現，學界對個人數據權屬研究頗多，但各持己見，研究側重點也不盡相同，尚未形成統一認識，而這易導致已有數據保護法律在個人數據的權屬方面存在著模糊性。

2.“知情一同意”規則的乏力

《民法典》在第1033、1035、1037 和1038 條對個人數據權進行了保護性規則的設定。這些設定由于主要聚焦于個人數據權的被動保護，從而對個人數據權的積極主動保護基本上是空白。個人數據權的被動保護主要體現在《民法典》所建構的“知情一同意”這一個人數據保護的核心規則。該規則要求數據控制者收集、處理個人數據必須將收集、處理的目的及情況告知數據主體并征得其明確同意。這一要求具體到實踐中，往往表現為數據控制者在與數據主體簽訂協議時應將涉及個人數據的相關條款充分告知數據主體且取得同意。然而，這一要求在數字經濟環境下正被逐漸削弱，主要表現在：（1）數據控制者未充分披露數據利用種類、用途等而導致數據主體并不完全知情。（2）數據控制者為了達到獲取更多數據的目的，無限地擴大獲取數據的期限與范圍，從而導致同意規則虛化。（3）實踐中，數據控制者往往通過向數據主體提供篇幅較長的隱私政策聲明并將信息利用的法律風險和后果也納入其中，以此來履行告知義務，而大多數據主體只是機械地點擊同意，對其中所列的信息利用的法律風險和后果，即便進行了閱讀，也不能完全理解。

3.個人數據司法救濟手段難以取證

在實踐中，個人數據權遭受侵害時，權利人往往難以適用《民法典》侵權責任篇中誰主張誰舉證的規則來進行救濟。數據權利人需對自己提出的主張舉證證明，但在數字經濟時代下，個人數據信息的流通通常以現代信息網絡為重要載體，在網絡空間中使用、存儲以及傳播，使得數據侵權行為更具有隱蔽性，數據權人在被盜用個人數據信息時往往難以發覺，證據收集也存在較大難度。此外，當數據權人因個人數據遭受侵害而請求救濟時，通常會涉及損害賠償的問題，但目前法律并無明確規定賠償標準，因此實踐中賠償數額往往難以確定。若單純依照當事人的實際損失來判賠，會出現賠償數額極小的情況，不僅影響維權人的積極性，而且難以對此類侵權行為起到威懾作用，司法救濟效果也就不明顯。

五、對策與展望

（一）對策

1.加快制定《個人數據保護法》

在數字經濟時代，加快數據領域立法，通過統一、規范、系統立法，協調對個人數據的保護與開發利用，避免各部門規章之間存在法律沖突與漏洞，建立對個人數據法律保護體系已成為了時代所需。規范數據的采集、加工、流通和應用，解決公民信息保護“舉證難度高、舉證價格高”的難題，需要不斷加大對故意泄漏公民個人信息行為的處罰力度。健全個人數據安全法律體系不能僅僅停留在個人數據安全不被侵犯層面，個體的數據權利的實現要得到延伸，還應包括收益權。

2.完善知情同意保護規則

在便捷和風險共生的數字經濟蓬勃發展的今天，《民法典》 所建構的知情同意保護規則雖然有如前所述的不足之處，但并不意味著該規則沒有價值。想要充分發揮該規則應有的價值，筆者認為必須對該規則進一步明確與細化。這方面，歐盟的《一般數據保護條例》值得借鑒。《一般數據保護條例》第7 條確定了如下的規則：（1）控制者需證明數據主體已經同意他人對個人數據進行處理；（2）請求獲得同意應當使用容易理解的形式、清晰平白的語言且應當完全區別于其他事；（3）數據主體有權隨時撤回同意；（4）同意必須自由作出。在未來的《民法典》司法解釋中，可以參考前述四個規則，以“明確”“清晰”及“可理解的方式”作出說明。

3.隱私計算

為解決數據主體之間的互不信任數據共享和數據價值挖掘問題，國際上通常采取了數據價值可挖掘但又不共享原始數據流轉的技術手段，即隱私計算。隱私計算通常通過3 個步驟來確保數據隱私安全性：一是原始數據的“去標識化”。既保障數據使用者無法通過數據反向逆推出數據主體“自然人身份”，又保留數據利用價值，做到數據共享“可用不可識”。二是執行環境的可信任。通過直接在CPU 硬件上提供的安全區域/非安全區域隔離機制，為敏感應用數據提供可信執行環境，確保全程安全可控。三是能夠保護數據和模型隱私的智能計算技術，如多方計算、數據脫敏、差分隱私、可信計算、同態加密等，實現信息的“可用不可見”。總之，隱私計算能在一定程度上打消各機構共享私密數據的顧慮，愿意共享出自己的數據，聯合挖掘數據價值，拓寬數據的使用維度。實際上，國內外利用隱私計算平衡隱私保護和數據價值流轉已經取得了積極成效。因此，有必要運用隱私計算技術，將信息“去標識化”和安全處理，無法反向逆推出數據主體的身份，從而達到保護個人隱私的效果。

4.確立數據信托制度

數據交易與一般商品交易的不同之處，在于數據控制人所獲取的數據包含大量的他人信息。這些信息大多屬于數據主體的“生命密碼”，其與數據主體的身份、隱私、情感乃至社會評價等緊密聯系在一起。因而在數據交易中，數據主體往往不信任數據控制者，數據信托的引入，就是為了解決數據領域中的“信任赤字”問題，將信托法的理念和制度引入數據治理中，在數據主體與數據控制人之間加入信托法律關系，在這一法律關系中，數據主體既是委托人也是受益人，數據控制人則是受托人。基于此法律關系，數據控制人和數據主體之間的信任得到加強，數據控制人將因此獲得更多的管理運用權限，包括但不限于訪問控制、訪問審核以及數據的匿名化處置等重要內容，以此平衡數據主體的隱私保護與數據可交易價值之間的緊張與沖突。當然也要承擔更嚴格的信托法律義務，這主要表現為信托法上的謹慎義務、忠實義務、保密義務等，相較于數據委托合同而言，數據信托更具有靈活性和優越性，因而成為數據權信義關系結構化安排的理想工具。

5.創設多元化的權利救濟機制

對個人數據保護，權利救濟機制是必不可少的。解決個人數據權侵害問題，不僅需要加強立法，而且要依靠數據權利人和相關組織的努力。總而言之，個人數據權的救濟除了從立法層面加強之外，還需要依托數據權利人、數據行業相關組織的自律。就數據權利人而言，應提升個人信息數據法律保護意識。就數據行業組織而言，可以制定包括收集用戶數據的合法途徑、保護用戶數據隱私的必要措施等內容的行業自律章程。此外，行業組織應更多研發推廣安全可信的產品和服務，從根源上減少對用戶數據權的侵害。在這一層面，相較于行政機關，行業組織對個人數據權的救濟更具有可行性和操作性。

（二）展望

在數字經濟的背景下，新的權利形態如算法解釋權、人工干預權、理解權等構成了龐大的權利簇，也稱之為權利束。這就要求在價值層面堅持以人為本，“把人的權利及其尊嚴作為其最高目的，以人權作為其根本的劃界尺度和評價標準”。面對算法權力對人的權利的貶損危機，須呼喚一種新的“數字人權”保護機制。這是因為，其一，加強數據信息賦權及自主化進程是在網絡活動中的“數字人權”保護的重要機制之一；其二，加強數據信息賦權及自主化進程，個人的數據信息是在網絡活動中被記載使用，是數字經濟下算法權力的生產物料，也關乎個人信息保護和隱私權等問題。總之，既要確保共享流通和數字經濟的運行，又要尋求隱私保護的平衡之道，需要借助公權力以制度化的決策，堅持比例原則推動動態場景中的權益平衡。