數字化轉型背景下個人信息利用與保護的平衡與優化

李淮男

(華東政法大學經濟法學院 上海 200042)

數字經濟的蓬勃發展正在深刻改變國際經濟格局[1]，數字化正以不可逆轉的態勢改變著人類社會的生產生活方式.為順應時代發展趨勢，世界各國都在積極進行數字化轉型的實踐，提出了許多形態各異、內涵趨同的觀點：新加坡提出“智慧國家2025”計劃；英國發布了一系列數字化戰略政策文件；日本提出“超智能社會”；我國在“十四五”規劃中提出，建設數字經濟、數字社會、數字政府，以數字化轉型整體驅動生產方式、生活方式和治理方式變革[2].我國各大省市紛紛進行數字化轉型戰略部署：浙江省提出“數字化技術”“數字化思維”和“數字化認知”[3]；上海市提出“整體性轉變”“全方位賦能”和“革命性重塑”[4]；深圳市提出“依法治數”“開放用數”和“數字市民”[5]計劃；杭州市提出“數字賦能產業變革”和“以數字化改革牽引各領域改革”[6].

雖然數字化轉型的概念隨著實踐不斷更新，但從核心特征來看，數字化轉型是一個以新興技術應用為主要內容、以市民為中心、以業務創新為導向、以數字融合為手段、以數據要素為驅動、以生態系統為依托的動態過程[7].數字化轉型建立在海量、動態、精確的個人信息基礎之上，數字化的轉型效率很大程度上取決于個人信息的開發和利用能級，轉型質量又與個人信息的保護程度和安全建設息息相關.在《中華人民共和國民法典》(以下簡稱《民法典》)和《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)相繼出臺的大背景下，在數字化轉型的歷史當口，應當抓住機遇，直面挑戰，完成個人信息利用與保護的平衡與優化.

1 數字化轉型給個人信息利用帶來的積極影響

1.1 經濟數字化轉型挖掘個人信息的創新價值

在數字經濟時代，數據成為又一核心生產要素.企業將零散的個人信息集合成大數據，通過比對分析進行產品創新和經營策略變革，帶動企業創新能力的提升，加快傳統產業數字化轉型，實現實體經濟與數字化融合發展.人員活動、車輛狀態、物品標識等個人信息，與地理空間、生態環境、能源轉臺、設備運行等數據結合，匯聚成市場與社會的主體大數據，融合統一IT架構、技術應用、前沿科技，助力城市服務創新和發展模式轉變，賦能傳統行業創新發展，創新能級逐步提升.

1.2 治理數字化轉型挖掘個人信息的治理價值

上海城市治理力求“一屏觀天下，一網管全城”.執法部門利用公民信息助力決策；司法部門利用訟者信息定紛止爭；商業機構憑借用戶信息洞悉市場.個人信息讓城市治理具有了傳統語境下無法企及的數字化能力.新的城市治理范式下，沉睡的數據被激活，個人信息成為城市的新資產和治理力.全閉環、系統性的個人信息采集、共享和應用，推動信息更大范圍、更深層次開放，幫助治理者洞察城市運行態勢，助力決策者明確城市發展方向.城市治理數字化轉型促進公民個人信息治理價值的開發利用，確保政府決策更科學、公共服務更高效、社會治理更精準.

1.3 生活數字化轉型挖掘個人信息的文化價值

文化認同是經濟發展與社會進步的最終歸宿，個人信息的文化價值是否被開發意味著數字化能否真正轉型成功.個人信息的文化價值表現在，公民對信息價值的普遍認識、對非敏感信息開放的熱情以及信息安全意識.移動支付、在線會議、終端服務等新興技術改變了人們的生活方式、學習方式和娛樂方式，用戶登錄、實名認證等操作讓個人信息的采集日常化，鍛煉了公民的智能設備使用能力，并有助于提高全社會的信息化意識.數字技術帶來了巨大的數字紅利，有助于激發個人對信息合理開放與利用的熱情，倒逼公民對個人信息安全的保障意識和維權意識.

2 我國的個人信息法律保護現狀

2.1 個人信息保護方面的法律法規梳理

我國有關個人信息保護的規定散見于法律、行政法規、司法解釋、部門規章和行業規定.在法律層面，《民法典》《個人信息保護法》和《中華人民共和國刑法》一同構成了個人信息公私法保護的基本框架，《中華人民共和國數據安全法》《中華人民共和國網絡安全法》《中華人民共和國電子商務法》《中華人民共和國消費者權益保護法》《中華人民共和國預防未成年人犯罪法》《中華人民共和國出口管制法》《中華人民共和國未成年人保護法》《中華人民共和國兵役法》《中華人民共和國契稅法》《中華人民共和國檔案法》《中華人民共和國社會保險法》《中華人民共和國國家情報法》等分別對于不同類型的個人信息保護作出了法律規定.我國與個人信息保護相關的行政法規多達70余件，涉及基礎設施、醫療保障、政務服務、社會救助、產品質量監督、稅收繳納、經營許可、誠信建設、風險整治、助學貸款等多個方面.有關司法解釋多達百余件，較為典型的是最高人民法院發布的有關使用人臉識別技術處理個人信息的司法解釋和最高人民法院和最高人民檢察院一同發布的侵犯公民個人信息刑事案件的司法解釋.部門規章多達千余件，所規制的信息主體涉及未成年人、學生、互聯網用戶、寄遞服務用戶等.個人信息處理者行業涉及互聯網、郵政服務、征信、醫療保障、證券期貨、保險代理等眾多種類.此外，中華全國律師協會、中國互聯網協會、支付清算協會、銀行業協會、證券業協會等行業協會作出的有關本行業個人信息保護的規定多達300余件.

2.2 個人信息法律保護的現狀分析

隨著《個人信息保護法》的出臺，我國對個人信息的法律保護逐漸細致，趨于完善.從現有的法律規定來看，個人對其自身信息的處理具有知情權、決定權、查詢權、限制權、拒絕權、查閱權、復制權、更正權、補充權、刪除權、解釋說明權.同時，信息主體擁有個人信息可攜帶權，有權將個人信息轉移給其他信息處理者.信息處理者在處理個人信息時，應當遵循合法、正當、必要和誠信原則，符合透明原則、正當目的原則和比例原則.個人信息處理者合法處理個人信息需要滿足分類管理、采取安全技術措施、進行安全教育培訓、制定應急預案、制定管理制度和操作規程等要求，具有一定流量和規模的個人信息處理者應承擔特殊的保護義務.同時，法律對敏感個人信息和未成年人信息加強保護，敏感個人信息和未成年人信息處理的同意條件和處理規則較一般個人信息處理更為嚴格.在數字化時代，法律對國家機關的個人信息處理行為也加強了規范，要求國家機關處理個人信息的行為不得超過履職范圍，并遵守區別于一般處理者的“告知同意”要求和信息存儲要求，以協調行政權力和個人私權之間的關系.此外，個人信息侵權的法律救濟也傾向于“信息主體友好型”，采取行政、刑事、民事責任相結合的方式為信息主體提供保護，并明確了侵權人的過錯推定責任和賠償范圍.通過上述分析可以看出，我國的個人信息法律保護日臻成熟，保護內容逐漸擴張，保護措施有所細化，保護手段更加豐富.但不可否認，與數字化轉型的時代挑戰相比，我國的個人信息保護仍存在著不少缺陷.

3 數字化轉型給個人信息利用與保護帶來的挑戰

3.1 對界定個人信息保護范圍的挑戰

傳統意義上的隱私保護范圍已經無法滿足數字化轉型時代的保護要求，“個人信息”的概念開始得到關注.根據《民法典》第1032條的規定，隱私是“自然人的私人生活安寧和不愿為他人知曉的私密空間、私密活動、私密信息”.伴隨著第4次工業革命走向縱深，人工智能、大數據影響著城市治理的方方面面，新興技術讓私人空間與公共空間的界限逐漸淡化，數字化的經濟、生活和治理模式帶來了弱識別性信息和強識別性信息，個人信息的自主控制受到公共利益的沖擊，隱私的保護范圍已經無法滿足城市治理的需求.《民法典》第1034條將“個人信息”定義為可識別特定自然人的信息，《個人信息保護法》第4條在此基礎上增加了“與自然人有關”這一條件，排除了“匿名化”的情況.《民法典》第1034條和《網絡安全法》第76條詳細列舉了個人信息的種類，包括自然人姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等.由此可見，個人信息的保護范圍比隱私更加寬泛.

與此同時，個人信息的保護范圍需要從個別零散信息擴大到信息生態系統.數字化轉型依托大數據技術，大數據的特點可被概括為“大數量”“多類型”“高處理速度”和“價值密度低”[8]4點.因此，收集來的個人信息不再是零散的、分散的，而是海量的、動態的、精確的.數字技術在全面數字化轉型中的應用不是單一技術要素的應用，而是整體技術體系的構建，因此作為基礎性生產資料的個人信息也應當向動態平衡的方向轉變.信息生態系統與自然界生態鏈類似，隨著營養層級遞增，信息流逐級減少，底層信息經過采集、傳輸、加工、再生提煉為知識等稀缺資源；相反，隨著信息層級降低，信息流變得充裕.個人信息生態系統是各個領域個人信息的整合，企業、政府與個人之間信息互通，共同組成了龐大復雜的信息生態系統.

3.2 對平衡個人信息利用與保護的挑戰

數字化轉型依托數據的開發與利用，帶來了個人信息的利用與保護之爭.政府和信息從業者對個人信息有利用需求，信息主體對個人信息有保護的權利，何者優先，爭論的背后在于人格尊嚴與信息自由的優先性排序.自然法學派的觀點認為，人格尊嚴較之信息自由應當被優先考慮.數字化轉型貫徹以人為本的思想，人格尊嚴是人之為人的根本，“人不是任何人的工具，而是自身的目的”[9].信息自由通常被用來輔助發展與治理，屬于工具.按照哈耶克的理論，目的優先于工具[10].人格尊嚴同信息自由的博弈事關公平與效率的位階排序.無論是新自然法學派抑或是新制度經濟學派都認為，公平乃效率之前提，只有在確保公平正義之后方能實現效率.從社會法學派的發展眼光來看，尊嚴與自由、保護與利用是循序漸進的發展過程，先有保護“個體利益”的眾意社會，再有維護“公共利益”的公益社會[11].個體利益保護是眾意社會的特征，公共利益滿足是公益社會實現的基礎，二者雖有先后，卻不可偏廢.從社會資源配置的效能安排來看，分配正義指導個人信息安全保障，交換正義需要信息的自由流通，2種正義均為高效配置社會資源所必需.個人信息的保護與利用并非完全此消彼長的關系，也不是一個無法破解的“死結”，數字化轉型為達成個人信息利用與保護的最大公約數提出挑戰.

3.3 對優化個人信息治理機制的挑戰

在數字化轉型時代，個人信息全閉環、系統性采集，大范圍、深層次開放共享，一部統籌、各部分別監管，各方面情形交織、錯綜復雜，必須探索個人信息治理的新路徑和新機制.數據紅利對個人信息處理者有很強的利用激勵，企業在實施數字化轉型的過程中，為分析用戶行為、預判市場風向，大量收集、存儲、加工個人信息，個人信息安全隱患隨之而來.曾被曝光的科勒衛浴收集顧客人臉信息、手機SDK插件竊取用戶隱私，“滴滴出行”因違法違規收集使用個人信息被下架等事件，根源都在于個人信息處理者的內部防范機制存在疏漏，未盡到安全保障義務.個人信息保護相關規范的制定和出臺給了個人信息處理者一定的保護激勵，激勵有關主體完善內部治理結構，健全風險防范機制，接受第三方組織的定期或不定期的檢查評估.若個人信息處理者對個人信息保護不當，就既可能面臨紛繁復雜的經濟索賠，又可能面臨警告、罰款、沒收違法所得、暫停相關業務、停業整頓、吊銷業務許可證或營業執照等行政處罰，負責人和直接責任人員面臨罰款或一定期限內禁止擔任類似職務的處罰.盡管如此，仍存在著2大問題：一是多部門監管存在不協調，監管規則繁復冗雜，壓縮了個人信息處理者的自主調控空間，導致其疲于應對合規檢查，個人信息保護流于形式；二是監管者與個人信息處理者信息不對稱，個人信息治理不科學或存在問題，一些看似嚴厲的監管政策面臨執行困境，甚至成為抑制創新的因素.故而，個人信息治理機制需要“棄堵從疏”，摒棄傳統的命令控制式模式，走向激勵相容的優化之道.

4 我國個人信息利用與保護的完善措施思考

4.1 事前的規則設計：賦權個人信息，構建以權能為核心的個人信息權利體系

相較于《民法典》，《個人信息保護法》擴大了個人信息的保護范圍，在敏感個人信息的類型上增加列舉了宗教信仰、特定身份、金融賬戶、不滿14周歲的未成年人信息等幾項，并規定了死者個人信息的保護.與此同時，《個人信息保護法》還在第4章規定了個人在信息處理活動中的知情權、決定權、限制或拒絕權、查詢復制權、更正補充權、刪除權、解釋說明權、個人信息可攜帶權等權利.但《民法典》和《個人信息保護法》均將個人信息保護停留在權益保護層面：《民法典》第5章標題未采用“個人信息權”的表述，《個人信息保護法》頭2條均表述為“個人信息權益”.在《民法典》的人格權編審議過程中曾一度以“隱私權和個人信息權”作為章標題，但《民法典》的最終表述為“隱私權和個人信息保護”.《個人信息保護法》從審議稿到正式文本都將個人信息的法律地位表述為“個人信息權益”，而第4章標題為“個人在個人信息處理活動中的權利”，這不免造成個人信息法律地位理解上的混亂.為解決上述前提性和根本性問題，應當賦予個人信息超越法益的法律地位，為個人信息賦權.

個人信息之上應當成立以知情權、決定權、查詢復制權、更正補充權、刪除權、解釋說明權等權能為核心內容的人格權，還是由多項權利組成的權利束，涉及權利與權能的區分標準.權能是依附于權利而生的一種效力，不具有單獨轉讓的獨立性.而信息主體對個人信息的知情權、決定權、查詢復制權、更正補充權、刪除權均依附于個人信息而產生，不能夠單獨轉讓或消滅，這些“權”實為“權能”.由此出發，個人信息保護應當構建以權能為核心的個人信息權利體系.

4.2 事中的治理機制：優化內部治理規則，強化外部執法效果

《個人信息保護法》已經在個人信息的處理原則、收集條件、法律后果等方面作出規則設計，但立法“宜粗不宜細”，個人信息利用與保護的平衡完善還需要激勵相容的個人信息治理制度體系，有賴于切實有效的內部治理規則和立竿見影的外部執法效果.在內部治理層面，個人信息處理者可以從4方面提高信息安全防范：第一，任命個人信息保護負責人；第二，設立專門機構配合個人信息保護負責人開展工作，建立個人信息保護組織體系；第三，成立主要由外部人員組成的獨立的監督機構；第四，推進業務與合規的融合，將個人信息保護的理念嵌入產品研發與創新的過程中.在外部執法層面，一是加強各部門監管聯動.對于各自職責范圍內的工作不得推諉，對于不屬于自身監管范圍內的事項應及時轉給其他部門，避免個人信息監管真空和監管重復.此外，各部門應公布方便且有效的公民投訴渠道，受理個人信息類投訴案件，并且明確受理期限，在期限內給予有效的解決方案及救濟措施.對于因受理不及時導致公民進一步遭受損失的，明確政府部門應承擔的法律責任.二是適當將外部執法壓力轉移至內部，例如，信息處理者向第三方共享其合法控制的個人信息，應保證第三方能夠履行同等個人信息法律保護義務，否則將追究其責任.總之，個人信息治理的優化需要循序漸進，由表及里，發揮內外互動合力，以求做到激勵相容，實現立法目標.

4.3 事后的司法救濟：分情況調整過錯認定標準，要素式確定損害賠償范圍

《個人信息保護法》對于個人信息侵權案件一律適用過錯推定原則，損害賠償范圍按照損失和獲利分別確定.但過錯認定標準向來存在爭議，且個人信息由于私密程度、影響范圍不同，在風險發生后對用戶個人的影響程度存在明顯差異，假如對個人信息侵權一律應用相同的過錯認定標準，會在一定程度上造成個人信息保護機制的失效.因此，應當允許在衡量雙方的利益狀況后適當調整過錯認定標準，個別情況甚至可以適用更嚴格的歸責原則.第一，為公共利益或緊急情況處理個人信息時，雖然無需取得個人同意，但仍應滿足必要性原則和比例原則.在必要性和合理范圍有爭議的情況下，法官應當傾向于認定個人信息處理者存在過錯.第二，敏感個人信息侵權適用無過錯責任.加重敏感個人信息收集者的責任，既可以倒逼個人信息處理者在處理敏感信息時提高自身注意義務，又可以有效避免敏感信息主體因舉證不能而難以得到救濟.即使一律適用過錯推定原則，敏感個人信息侵權案件的過錯認定標準也應當更加嚴格，譬如證明信息主體單獨同意、書面同意、全面告知的證據不充足時，應認定為信息處理者存在過錯.

個人信息侵權案件發生后，受害人的損失通常不明顯、不即時且不方便量化.因此，在確定損害賠償范圍時，可以結合個案特征綜合判斷.具體而言，有以下幾種影響因素：第一，個人信息處理者的專業性.例如，大型互聯網平臺作為專業的“守門人”，有專業的技術支持，且其掌握的用戶個人信息過多，負有更高的注意義務，發生侵權應承擔更多的賠償責任.第二，信息主體的社會公眾性.若非公眾人物的社會地位、個人聲譽、職業身份之需要，且非屬公眾合理興趣范圍，公眾人物的個人信息應當得到與普通公民個人信息同等程度的保護.第三，信息侵權的嚴重程度和影響范圍.侵權行為越嚴重影響范圍越大，損失就越大.嚴重程度和影響范圍可以根據信息點擊率、案涉人數、持續時間等來判斷.第四，信息的私密程度.相比一般個人信息，侵害個人敏感信息，受害人的損失更大，賠償數額應當更高.上述4點因素構成個人信息侵權損害賠償范圍的多元計算標準，法官可以綜合考量這4點因素確定損害賠償范圍.

5 結束語

在數字化轉型時代，隨著個人信息價值的不斷提高，個人信息的安全風險也與日俱增.相較于從前的隱私安全，數字化轉型時代的個人信息安全呈現出復雜性、動態性、生態性和不易捕捉性的特點.數字化轉型為個人信息保護范圍的界定、利用與保護的平衡、治理機制的探索優化都提出了挑戰.目前我國已經制定出有關個人信息的基本法律規范，需要在此基礎上構建以權能為核心的個人信息權利體系，同時將規則設計落實成棄堵從疏、激勵相容的個人信息治理機制，并在司法實踐中完善過錯認定和損害賠償標準.