數字經濟背景下個人信息的法律保護與合理利用研究

大數據時代，個人信息的合理使用與保護是當前和今后的重要課題，當今各行各業、各大互聯網應用都存在不合理收集、非法披露用戶個人信息的情況。如何合理利用和保護個人信息是當前亟需完善的內容，擬從個人信息的立法現狀出發，結合國內外實踐研究，探索合理有效利用和保護個人信息的創新路徑。

數字經濟時代，數據已經成為一項可利用的資產，是當今經濟時代的“新石油”，在大數據與算法的推動下，數據已形成了規模效應，有巨大的利用價值。然而，在利用海量數據的同時，個人信息也面臨著被違規使用、不當披露等風險，如何合理使用以及保護用戶個人信息，成為當前亟需解決的問題。

個人信息保護面臨的嚴峻形勢

隨著大數據、人工智能、云計算等技術的深入普及，各行各業都會利用個人信息進行決策，根據用戶的需求改進產品的功能及發展方向。技術的升級雖然有利于滿足客戶多方面的需求，但也可能引起對個人信息的過度收集和不當使用。眾所周知，《中華人民共和國民法典》（以下簡稱《民法典》）第一千零三十四條規定“自然人的個人信息受法律保護。”而姓名、身份證、聯系電話等均涉及個人信息。我們時常接到騷擾電話、詐騙電話，有的甚至冒充公檢法機關進行詐騙，嚴重損害了公權力機關的威信。如何懲處和規范這類非法收集和販賣公民個人信息的行為不僅有利于維護清朗的網絡環境，同時有利于打擊和減少違法犯罪行為。

個人信息保護的立法現狀

近年來，我國不斷完善和出臺保護個人信息的法律法規，2005年的《中華人民共和國刑法修正案（五）》最早規定了個人信息保護的相關立法，“將竊取、收買以及非法提供信用卡的行為”規定為犯罪。2009年通過的《中華人民共和國刑法修正案（七）》規定了國家工作人員利用職權非法收集他人信息并倒賣構成犯罪。2012年全國人大常委會出臺規定，明確可識別的公民個人電子信息依法受到保護，規范了互聯網服務提供商以及其他企業和機構在獲取或使用公民個人電子信息時必須承擔的法律義務和相應的法律后果。2013年新修訂的《中華人民共和國消費者權益保護法》第十四條規定了消費者享有個人信息依法得到保護的權利。2021年施行的《民法典》在人格權編中明確規定了個人信息保護。其中詳細規定了個人信息保護的范圍，包括“自然人的姓名、出生日期、行蹤信息等。”在數字經濟時代，自然人的個人信息一般表現為數據形式，但是個人信息的權屬在法律上目前還界定不明。一方面個人信息沒有作為一項人格權，另一方面法律規定不夠具體明確，當事人的個人信息遭受侵犯時難以得到應有的賠償。2021年《中華人民共和國個人信息保護法》的施行，全面對個人信息進行法律保護，明確規定處理個人信息應遵循合法、正當、必要和誠信原則，不得隨意收集個人信息的處理原則。個人信息處理者應當采取必要保護措施保護個人信息，并對個人信息保護影響進行評估以及納入企業合規審計內容。歷經十余年，我國個人信息保護的法律日漸完善，可見對個人信息保護的重視程度日益提高。

個人信息保護的現實困境

（一）個人信息權利的法律定位不明

通過比較中外法律，可以發現各國對個人信息的權利屬性存在不同觀點。美國模式沒有制定統一的個人信息保護法，而是由各行各業分別制定有關個人信息的法律規則、準則，[1]而歐洲則以統一的個人信息保護法為特征，因此又稱為統一模式。而且兩種模式都沒有對個人信息和隱私權的界限做區分，歐盟1995年指令在確立個人信息保護的價值時，將隱私權作為一項個人信息進行保護。①學界的觀點也各有不同，有學者認為個人信息與隱私權不能混同，因為隱私權制度的重心在于防范個人秘密不被非法披露，而對于個人信息的侵犯則在于非法搜集、非法利用、非法存儲、非法加工或非法倒賣個人信息等行為形態，[2]綜合所述認為，個人信息不能簡單歸結到隱私權當中，其中可以公開的、能夠利用的也有其利用價值，也有財產屬性，應由個人自主決定。其中涉及敏感不愿為公告中知曉的信息應作為獨立權利進行保護。

（二）個人信息侵權案件存在舉證困難

由于我國訴訟采取“誰主張誰舉證”的原則，而原告個人與被告公司、集團等實力相差懸殊，存在舉證難，獲得賠償難的問題，雖然規定了個人信息應受到法律保護，但出現侵權問題難以有效彌補受害人的損失，存在賠償數額小、沒有規定精神損失賠償等問題，難以真正起到震懾作用。結合日常案例，個人信息在很多情況下都會被使用，如網上購物、下載應用、報名活動信息等，一旦信息被他人使用，個人已經失去了對其掌控權，更無法獲知被告的處理過程，大部分情況下會承擔舉證不能的后果。

（三）當前法律規定較為模糊

我國《民法典》未將個人信息進行詳細區分，如一般個人信息和敏感個人信息。對于姓名、身份證號碼在一定范圍是必要的公開信息，而個人的生物識別信息，如視網膜或虹膜、指紋、聲紋以及個人的健康信息和行蹤信息等則屬于涉及個人隱私或者不愿為公眾所知曉的個人信息，應該規定嚴格的保密措施。《個人信息保護法》雖建立了個人信息保護的法律框架，但是大部分規定未回應現實熱點，如公民在使用互聯網軟件服務時，《個人信息保護法》第十六條規定個人信息處理者在收到不同意處理個人信息或者撤回同意時，不得拒絕提供服務。可見法律明確規定允許用戶在不提供個人信息時仍可以使用相關產品和服務，但在實踐中往往不是如此，且其中個人信息是否是處理者所必需則表述過于寬泛，[3]用戶無從得知相關信息是否為使用該應用所必需。如我們在安裝手機應用時，經常出現需要授權個人定位、手機通訊錄、通話記錄等與該應用不相關的權限，如果拒絕提供即無法下載使用。作為普通使用者更無法知曉或者無精力去探知個人信息被使用的途徑。第二十四條在信息處理者利用用戶信息進行“自動化決策”，應當保證決策的透明度和結果公平。其中的“保證”一詞過于主觀，缺乏明確且客觀的標準，公民個人無法獲知個人信息的處理方式。

（四）監督管理部門履行職責不力

一是監管部門存在職責不清的問題。在我國，國家網信部門負責個人信息保護、監督管理的工作，同時工信部門也負責互聯網行業管理、網絡資源共建共享、網絡與信息安全技術平臺的建設和使用管理等職責，與國家網信部門職責有一定重合，在個人信息保護方面可能存在職責不清或者職責重疊的問題。二是我國對個人信息保護的行政監督不夠充分。監管機構在監管過程中經常面臨程序不規范、監管方式不符合要求以及監管技術不到位等難題。[4]監管機構對信息處理者收集用戶信息缺乏全過程的監管，導致用戶信息被泄露以至于販賣的嚴重等問題。如廣州互聯網法院報道的一起販賣公民個人信息案件，涉案人員利用先進智能技術將靜態人臉照片生成人臉動態視頻，用于解封賬號、驗證APP等實名認證，從中謀取非法利益。

完善我國個人信息保護與利用的法律途徑

（一）確定個人信息的權屬性質

個人信息是與自然人人身相聯系，反映個人特征，且區別于他人身份的符號。包括個人的身份信息、生物特征以及生活、健康等方面的信息。通過其概念我們認為它涉及人格，應當作為一種人格權加以保護，雖然其與隱私權有一定交叉，但隱私權主要涉及對個人私密生活的保護，即不愿讓他人知曉的私密空間。但與我們個人生活息息相關的如姓名、出生日期、身份證號碼在很多情況下屬于必須在公開場合下使用的個人信息，不應完全歸于個人隱私權而加以保護。要加強對個人信息的法律保護，首先要明確個人信息作為何種權利屬性。目前學術界對個人信息的法律屬性還沒有統一定性。王利明教授主張個人信息應當作為一種具體人格權加以保護。[5]學者陳星認為個人信息應當在《民法典》人格權編中專門規定。[6]學者張育銘認為在信息飛速發展的今天，個人信息已經同時兼具人格權屬性和財產權屬性的復合型權利。[7]綜合所述認為，個人信息與自然人生活密切相關，包括自然人的姓名、住址、聯系方式、行蹤信息等方方面面，尤其隨著網絡技術、人工智能的發展，個人信息涉及的內容將更為廣泛，當今濫用個人信息非法牟利的現象屢見不鮮，受害人應當依據何種法律保護自身權利、受侵害后是否可以主張人身損害賠償等在現行法律當中均沒有明確規定，確定個人信息是自然人的一項基本人格權，如同隱私權、肖像權等基本個人人格權受到《民法典》的獨立保護，一旦個人信息受到侵犯，自然人就可以通過民事訴訟提起侵權之訴，侵權程度如果嚴重影響到自然人的身心健康，還可以提出精神損害賠償。

（二）完善《個人信息保護法》及相關司法解釋

我國作為大陸法系國家，與歐洲模式類似，已經建立了獨立的個人信息保護法，同時也設立了專門負責監管個人信息的國家網信部門，有利于個人信息的統一保護。目前應當基于現行的《個人信息保護法》，進一步明確相關細則，促進個人信息保護落到實處。一是針對個人信息的敏感程度進行分類，可以借鑒美國的立法模式，“規定信息控制者必須以和其他敏感信息相同或更高的標準儲存、傳輸和保護生物識別信息，并通過強制性國家標準等規范，確定加密、分段等儲存和傳輸方式；并要求信息收集者、控制者在保存一定的期限后必須刪除。”[8]進一步強化個人信息收集、處理的原則，對于必要情況，明確基于當事人的同意，明確告知當事人如何處理收集的信息，以何種簡單易操作的途徑可以查看該信息，信息被處理的流程都應當清晰可查，在當事人提出信息有誤或者需要更改時，及時予以修改。二是規范個人信息收集者收集用戶信息的范圍及用途，明確信息收集的“必要性”內容，不得收集與該產品不相關的信息，公開用戶投訴渠道，確保個人信息始終在用戶自身的掌握之中。三是應當根據司法實踐出臺相關司法解釋，對信息收集者收集用戶信息的做明確規定，嚴格區分必要收集、非必要收集和個性化收集，以及用戶可以在授權范圍內使用相關服務，而非完全不能使用相應服務，這對規范手機APP的開發者是十分必要的。對于收集到的信息應當嚴格禁止信息出租、出售或者其他披露行為。四是在舉證責任中，個人信息侵權作為一種特殊侵權類型，應當規定舉證責任倒置。鑒于信息收集者與自然人之間地位懸殊，用戶只需從普通公眾的角度承擔基本的舉證義務，其余責任由個人信息收集者承擔，在個人信息收集者無法證明自己正確收集、處理個人信息時須承擔舉證不利責任。

（三）加強個人信息的監督管理

個人信息關系到自然人的人身安全、財產安全等，如果沒有妥善管理，公民很可能遭受嚴重損失，因此對侵犯個人信息的行為應當規定嚴格的處罰。首先，需要加強對個人信息收集者以及第三方信息處理機構的監管，信息處理的渠道應當公開透明，實時接受國家網信部門的監管，國家網信部門可采取突擊檢查、抽查等方式，加強對信息處理者的監督，一旦發現違反規定收集和處理甚至販賣公民個人信息的行為應當按照法律嚴厲處罰。其次，要增強對從業人員的專業培訓，隨著網絡技術的發展，規避監管的手段層出不窮，加強對從業人員的培訓，適應當前和今后技術的發展，及時查處違規處理者。針對數據溯源和匿名化問題，通過技術創新防止隱私安全問題的發生。[9]同時，我們也應當積極利用并善于開發數據的價值，研發新的適應時代發展的數字產品，鼓勵運用數據開發新技術，進行產品創新和流程創新，平衡好個人信息保護和利用之間矛盾，鼓勵數據創造新的價值。

結語

數字經濟背景下，個人信息面臨著機遇和挑戰。一方面個人信息產生的數據會產生經濟價值，另一方面，個人信息的不當披露會侵擾個人生活，嚴重者可能帶來經濟損失和精神損害。因此，明確個人信息作為自然人的一項基本人格權，細化《個人信息保護法》及相關司法解釋，規定個人信息披露的范圍、渠道，個人信息如何處理，如何使用，自然人可以采取何種手段保護自身權益十分必要。

注釋

①歐洲議會和歐盟理事會1995年10月24日關于涉及個人數據處理的個人保護以及此類數據自由流動的指令（95/4B/EC）。

參考文獻

[1]周漢華：《中華人民共和國個人信息保護法（專家建議稿）及立法研究報告》，法律出版社，2006：79-80頁。

[2]劉帆：《淺析大數據時代個人信息的法律保護——以龐某訴北京趣拿公司、東航公司侵犯隱私權案為例》，《北方經貿》，2019（7）：63-65頁。

[3][4]劉志、董翌：《數字經濟時代個人信息法律保護的困境與思考》，《大連大學學報》，2024（1）：74-81頁。

[5]王利明：《論個人信息權的法律保護——以個人信息權與隱私權的界分為中心》，《現代法學》，2013（4）：62-72頁。

[6]陳星：《大數據時代個人信息權在我國民法典中的確立及其地位》，《北京行政學院學報》，2016（6）：1-9頁。

[7]張育銘：《淺探個人信息的財產權屬性》，《法制與經濟》，2022（2）：68-78頁。

[8]陸海娜、趙賡：《個人生物識別信息商業利用的法律規制：美國州立法經驗的比較與反思》，《人權研究》，2021（2）：86-105頁。

[9]賈文山、趙立敏：《數字經濟時代的個人數據保護：歐美立法經驗與中國方案》，《首都師范大學學報（社會科學版）》，2022（5）：58-65頁。

作者簡介

柴悅陜西財經職業技術學院助教，研究方向為法律實務