我國個人信息利用中利益平衡保護的優化路徑

關鍵詞：個人信息保護；個人信息利用；利益平衡機制；數字產權制度；訴訟救濟機制中圖分類號：G647；D922.16 文獻標識碼：A DOI：10.13411/j. cnki. sxsx.2025.03.009

Abstract：Intheapidlydevelopingdigialera，theulti-interestconflictsetweenpersonalinformationprotectionndifoation utlizationarebecominginceasinglyprominentChinahasendeavoredtostrikeabalancebetweentetwotroughaseriesoflegislations andpolicysystems，utitstilfacesmanyshrtcomings.Forinstance，thereareambiguousareasandvacumzonesinteprotectionof personalinforaiteapplicationofheifoedcosetmchanismisindiulty，tedataproertyrightsssteasoten established，andthebalaneoftereliefsystemstilleedstobefurterstrengend.Itisimperativetoadvanethonstructionfa systematicandfull-cyclepersonalinformationprotectionmechanism；optimizetheinforedconsentrulesandbuildadynamicbalance mechanism；promotetheconstructioofdatapropertyightssystemandincomedistributionmechanism；andehancethebalanceofinterests in the relief of personal information damage.

Key words：personal informationprotection；personalinformationutilization；mechanismof interestbalancing；digitalpropety rights system； litigation relief mechanism

數字時代個人信息形態呈現全盤數據化的特征，個人信息在流動中的利用價值顯著呈現。但在劇增的數據規模需求下，個人信息泄露、濫用等風險也日益加劇，個人信息領域法律規制亟待與時俱進地調整與變革，以多元利益平衡為核心的制度體系亟須優化完善。

一、我國個人信息利用中的利益平衡保護法治進展

伴隨我國信息化、數字化發展進程，尤其是黨的十八大以來，我國積極進行戰略部署、政策推進和法治建設，在加強個人信息保護和促進信息流通和合理利用方面開展了豐富而生動的實踐。

（一）推進法治體系建設，確立多元利益平衡的基本立場和制度框架

在民法典之外，我國個人信息保護現行法律框架主要依賴網絡安全法、數據安全法、個人信息保護法（以下簡稱《個保法》）“三駕馬車”，個人信息保護法治體系已經初步構建。尤其是個人信息保護法首次較為系統地對個人信息流動過程的信息平衡保護問題，體現出人格權益保護、社會經濟效益、社會競爭秩序等多元價值利益平衡保護的基本立場和精神。從宏觀看，明確提出了個人信息保護和信息利用二元平衡的立法宗旨，明確了信息處理活動應遵循合法、正當、必要、誠信、合目的、最小限制等原則。從微觀看，設立了“知情同意規則”作為個人信息合法利用的前提和利益平衡機制；同時又將信息主體在處理活動中支配權的內容以列舉為限且受到例外限制；明確了分類分級風險管理制度，如對重要平臺企業科以更嚴厲的特別義務，又如將個人信息區分為一般信息與敏感信息等。

（二）加強頂層設計，推進個人信息高水平保護和數據高質量發展并進共贏

伴隨數字經濟的進一步發展，數據成為核心的生產要素。黨的十九屆四中全會以來，中央作出了構建數據產權的前瞻性安排，《關于構建更加完善的要素市場化配置體制機制的意見》《關于新時代加快完善社會主義市場經濟體制的意見》《關于構建數據基礎制度更好發揮數據要素作用的意見》（以下簡稱《數據二十條》），都要求實現個人信息保護與數據流通利用的協調。2025年初，國家發展改革委等部門印發《關于完善數據流通安全治理更好促進數據要素市場化價值化的實施方案》（以下簡稱《實施方案》），特別強調在推動數據要素市場化價值化過程中，堅持個人信息保護、安全流通和合理利用的有機統一。

（三）統籌安全與發展，推進個人信息跨境流通中利益平衡

在全球數字競爭加劇的背景下，個人信息跨境流通已成為數字經濟發展的關鍵引擎，但同時也帶來國家安全、個人隱私與商業效率的多重沖突。我國堅持總體國家安全觀，正探索一條兼顧安全與發展的平衡之道。尤其是近幾年，持續增加、健全個人信息跨境流動的制度供給，不斷強化個人信息數據跨境流動中的監管與合法利用。如提出《全球數據跨境流動合作倡議》，探索“一帶一路”沿線數據跨境流動合作機制，加強國際數據領域交流與合作。出臺《數據出境安全評估辦法》《個人信息出境標準合同辦法》《促進和規范數據跨境流動規定》等法規，明確了個人信息跨境流動的規范和要求，在有效防止個人信息非法泄露和濫用的同時，也促進了數據的合法、安全、有序跨境流動。

二、我國個人信息利用中利益平衡保護存在的不足

現有立法雖然在理念和目的方面確定了個人信息利用中多元利益的制度框架，但鑒于個人信息自身流動中關涉利益類別和利益主體的復雜多元性，現有個人信息利用中的利益平衡保護仍有諸多缺憾之處。

（一）個人信息全周期保護存在模糊與真空地帶

基本概念不統一，關鍵術語定義不明，個人信息保護存有不周延之處。民法典、網絡安全法、個人信息保護法中有關個人信息的界定并不完全一致[1]，且未涵蓋基因、腦電波等新型生物數據。另外，“敏感信息”“必要范圍”等核心概念缺乏具有可操作性的明確界定，造成司法適用的困惑與不統一。

個人信息處理者事中、事后的保護義務相對不足。數字時代的個人信息風險貫穿事前的收集，事中的管理、使用、共享，以及事后的處置等信息處理的各環節和全生命周期。但《個保法》等立法目前現有義務是以“事前收集階段為重心”，沒有規定信息處理者在信息管理使用中的持續信息披露義務[2，造成信息處理者事中、事后的保護義務旁落。

缺乏針對人工智能等新技術新應用的適配性制度安排。生成式AI技術在大規模數據爬取中導致隱私泄漏風險顯著增加，模型記憶高度復原用戶敏感信息，算法黑箱特性和用戶反饋循環機制進一步加劇個人信息風險的復雜性和難以預測性，對傳統個人信息保護提出了前所未有的挑戰，如知情同意規則功能弱化、目的限制規則失靈、敏感個人信息保護受限等，現有制度存在適用困境。

（二）“知情同意”利益平衡機制存在適用困境

信息主體的知情同意權限陷入旁落危機。數字時代，法律通過“權利一義務”模式，通過更多賦予信息處理者的義務來保障、平衡信息主體的個人信息權益。知情同意原則作為法定的信息合法處理的前置條件，對于緩解信息主體和信息處理者之間信息、技術不對等的關系具有重大作用，被譽為我國《個保法》的核心規則 ^[3] 。但是司法實務中，知情同意原則存在著流于形式甚至被虛置風險。如網絡規模效應下，統一化模板中繁冗晦澀的隱私協議或政策讓用戶陷入同意麻木與疲勞，頻繁地同意授權流程中個人的知情、同意只具有了形式意義或隨意性，導致原則適用背離制度設立初衷。

知情同意規則的僵化使用不利于數據要素價值釋放。數字時代，個人信息在流通、利用、共享中的社會屬性和財產價值被進一步凸顯，在人格尊嚴之外，更多地承載著國家治理、政府管理、社會服務、產業發展等多方面作用4。這種形勢下，部分場合與情景差異，恪守知情同意作為數據合理利用的“前置”程序，可能導致知情同意機制適用的僵化，妨礙個人信息的流動、利用和共享，不利于公共利益維護和數字經濟發展。

（三）數據確權制度和權屬分配體系尚不健全

信息利用者的數據權利模糊。目前立法只確認了作為人格權的個人信息權益，并沒有對信息處理過程中的衍生數據產權問題進行規定，導致企業數據、政府數據產權歸屬不明確，特別是多方參與生產的數據權屬界定困難。雖然中央政策和戰略上提出“數據資源持有權、數據加工使用權、數據產品經營權”三權分置機制，但從學術研究來看，對于數據是否應當確權、應當確立何種產權以及產權應當如何配置等問題，至今爭議不斷尚無定論[5]。個人數據、企業數據、公共數據缺乏明確的差異化確權規則，全國統一數據產權登記存證平臺尚未建成，地方試點與國家標準脫節，跨域互認困難，醫療、金融等高價值數據仍面臨權屬模糊、流通受限等問題。數據產權制度不健全不僅帶來個人信息流動中權利義務關系配置失衡，也成為我國數據要素市場培育的首只“攔路虎”[6]

收益分配與權益保障失衡。中央政策確立數據要素按照“參與貢獻度”進行利益分配的制度設計，2023年12月發布的《關于加強數據資產管理的指導意見》，要求完善數據資產收益分配與再分配機制，支持數據資產使用權利各個環節的投入有相應回報。但目前缺乏配套的跟進制度，數據加工者、來源者、使用者間的收益分配缺乏貢獻度量化標準，“誰投入、誰貢獻、誰受益\"原則落地困難。

（四）救濟體系的平衡性尚待進一步加強

集體訴訟制度闕如。數字時代，公民個人信息呈現井噴式的非法泄露，非法交易或非法使用也較常見，對廣大公民的工作生活造成重大威脅或侵犯。與此同時，各類個人信息侵權行為的認定無論在侵權內容、侵權方式或途徑上都存在舉證難題，維權較為困難等諸多障礙因素。當公民自身不能有效抗衡企業或政府對個人信息的頻繁大規模收集利用時，群體訴訟機制的引入就具有了必要性和正當性。目前我國關于個人信息侵權救濟雖然確立了公益訴訟制度，但尚缺乏群體或集體訴訟制度，個人信息的事后救濟保護力度仍有待進一步強化。

過錯推定原則的適用范圍缺乏必要限制。《中華人民共和國個人信息保護法》第六十九條確立了個人信息侵權過錯推定原則。但過錯推定的認定標準向來存在爭議，且許多情形下，過錯推定原則實際上給予了加害人逃避責任的機會和可能。尤其是在信息不對稱的數字時代，信息處理者憑借其超強的科技實力和證明能力，證明自己不具有過錯的可能性更是大大提高[7]。過錯推定責任原則雖然在促進數字產業發展方面具有一定必要性，但并不能廣泛適用，尤其對于敏感個人信息適用過錯推定責任原則，就不具有應有的保護力度，不能達到專門設立敏感個人信息類別的立法保護目的。

三、我國個人信息利用中利益平衡保護的優化徑

（一）構建系統性、全周期個人信息保護機制

強化個人信息利用中個人信息保護的系統性和完整性。梳理個人信息相關法律規范，統一頒布個人信息保護相關司法解釋，或制定個人信息保護法實施細則，及時跟進實踐動態，秉持立法與時俱進的品格特征，統一基本概念，對關鍵術語和核心概念的內涵與外延進行科學、合理界定，明確關鍵術語適用情景，適配當下社會發展之需，并做好法律規范之間的明確區分和合理銜接，為司法適用提供清晰的法律指引。同時，制定針對金融、醫療、教育等敏感領域的專項法規，作為綜合性立法的特別補充，為企業合規提供明確的操作指南。

推進全周期的個人信息保護義務約束。信息流動的全過程如收集、存儲、使用、加工、傳輸、公開、刪除等環節，涉及個人信息處理的整個生命周期。應結合法律要求與技術治理，在不同處理階段，對信息處理者課以不同側重點的信息保護義務，構建事前預防、事中監控、事后追責與救濟的閉環機制。如在收集階段，應受到目的限定與最小必要原則的剛性約束；在存儲與加工階段，強化分類儲存、定期管理和定期審計;在使用與共享階段，要求強化場景化控制與風險評估，突出算法可解釋；在刪除與退出階段，完善觸發機制，包括主動申請、系統自動啟動刪除程序和強制刪除，完善權利響應機制與溯源管理；在跨境流動階段，注重主權安全與流動效率的平衡。

針對新技術帶來的個人信息風險，積極進行法律規則的適應性調試。轉變立法理念，確立包容審慎和風險治理理念，從側重行政監管轉向社會協同共治。出臺人工智能法，明確高風險AI定義及個人信息風險問責機制，制定“生物識別信息保護條例”，覆蓋基因、腦電波等新型數據類型；建議擴大“監管沙盒”機制的試點范圍，更好地推動個人信息保護與新技術應用，推進創新與監管的有機結合。

（二）優化知情同意規則，搭建動態平衡機制

優化告知機制。《中華人民共和國個人信息保護法》第十七條要求以顯著方式、清晰語言實現真實、準確、完整的告知。故此，信息處理者履行告知義務應兼顧形式與實質要件，進行形式優化和內容精簡。如采用滑動條、圖標化告知等交互設計提升知情有效性；通過加大關鍵內容字體和顏色，以及信息類型、使用范圍等核心條款二次彈窗提示等方式，提升可讀性等。實質簡化方面，可參考支付寶隱私政策精簡版，通過文字、動畫、視頻等不同范式實現多元化的分層告知，圖文穿插、動態演示，以通俗表達降低理解門檻，確保社會一般人的有效知情。

設置分層、彈性同意授權機制。一方面，優化分層的差異化同意機制。根據個人信息內容敏感程度、重要級別、影響輕重等的差異，進一步優化差異化的知情同意機制，明確明示同意、默示同意及對于敏感信息、未成年人個人信息以及屬于隱私范疇的個人私密信息的單獨、書面、獨立同意。且敏感信息需加密存儲并設置獨立訪問權限，共享敏感信息需重新獲取單獨同意，公共場所人臉識別設備的使用僅限于公共安全目的等。進一步細化知情同意豁免機制，明確“公共利益”“重大合法權益”等概念的內涵[8]。另一方面，優化動態授權設計。允許用戶隨時撤回同意，在系統中設置“一鍵撤回”入口；若信息使用目的變更，則需重新獲取單獨同意；用戶畫像用于營銷時需提供拒絕選項；自動化決策需事前評估對個人權益的影響，并提供人工復核渠道等。

引入場景完整性理論，活化知情同意規則。“場景完整性理論\"認為特定場景下個人信息保護邊界并非僵化不變的，應結合具體場景差異，依循一定的動態規則來判定信息流轉的具體方式，推動信息正義的達成，而信息參與者、信息類型和信息流轉原則三要素組成個人信息保護的動態系統，通過對該系統要素的協調，以實現權利義務關系的科學設置[9]。場景完整性理論的主旨是結合應用場景，判斷信息處理行為是否與具體場景相適配，是否在信息主體知情和同意的范圍內，從而為判定該行為是否超出信息主體預期、侵犯其個人信息權益提供基本認定依據。在不同場景中，可以“是否符合信息主體的合理預期\"作為信息流轉中具體場景下合理性利用的考量標準，進而在一定程度上增強實務中知情同意規則適用的靈活度和合理性，有效解決知情同意機制“一刀切”問題，更好地推動數據利用與信息保護之間的和諧共存。

（三）推進數據產權制度體系和收益分配機制建設

積極推進相關立法，明確數據分類確權體系和權屬配置，強調數據的安全流通、高效使用與價值最大化。建議制定“數據產權法”，根據數據的來源和屬性，明確個人、企業和公共數據分類確權規則，解決“數據是誰的、誰能用、如何用”的核心難題；明晰數據產權權能分割與動態配置，厘清數據資源持有權、加工使用權、產品經營權的權力邊界，推進數據產權制度“歸屬清晰、權責明確、保護嚴格、流轉順暢”。同時，應加強配套規則的跟進，如制訂“數據登記管理條例”，建立數據產權登記新方式，培育數據交易、數據質押等新型商業模式，建立全國統一區塊鏈存證平臺，實現權屬變更可追溯。制訂“數據流通促進條例”，規范數據交易中介服務，確立數據交易行為準則和監管規則，防止數據壟斷和不正當競爭行為，推進數據要素市場健康有序發展；強化數據安全治理，建立“安全可控、彈性包容”的數據要素治理制度，實現權利保護與產業創新發展的共贏。

完善收益平衡機制。讓各方主體深切體會數字時代因信息利用紅利受益與分配的參與度和獲得感，是當下尤其是未來數據保護和利用制度的關鍵和難題之一。美國加州規定企業向消費者支付補償金等財務激勵，用于個人信息的收集、出售或刪除；如果相關商品或服務的價格或差異與消費者數據的提供直接相關，企業也可向消費者提供差別性的價格、費率、水平或質量[1]。另外，設立特定稅收、數據基金、數據信托等也不失為一種可以嘗試的方向[12]，如日本設立“信息銀行”制度，確立信息信托認證制度 ^[13] 。我國也可嘗試美國加州關于消費者的信息利用紅利分配辦法，同時建議通過智能合約，預設程序代碼，自動執行并確保收益分配的透明與高效，在個人數據賬戶中，根據事先約定的比例進行精確的收益分成，保障各方的合法權益得到公平且及時的落實。

（四）增強個人信息損害救濟中的利益平衡

增設集體訴訟救濟制度。個人信息權益保護機制的不同，會導致類似的案件出現迥異的訴訟結果以及不同的賠償數額。2020年中國“人臉識別第一案”，與相同性質的美國“臉書”公司集體訴訟案例相比[14]，巨大的獲賠差額不僅意味著威懾、制裁力度的天壤之別，也表明集體訴訟之于公民個人信息保護的重要意義。2022年，廣東省消委會率先探索“公益訴訟+集體訴訟”維權新模式，支持權益受損的消費者自行提起訴訟或消委會支持相關消費者提起集體訴訟獲得相應的經濟賠償[15]，拓展了救濟渠道。建議進一步推廣“檢察公益訴訟 + 集體索賠”協同模式，實現公共利益修復與個體賠償的并行，以加大打擊力度，保護特定受害群體的個體權益。但應注重與公共利益的平衡，防止以公益之名代行集體訴訟，并強化代表人監督，防范代表人與律師之間的利益捆綁。

適當限縮過錯推定原則的適用。客觀上講，過錯推定原則反倒為企業提供了一條排除已方責任的機會或出口，企業因為技術優勢在因果關系的論證上容易得出有利于己方的結論。因此，考慮到敏感個人信息本身的特殊性、企業合法合規建設中注意義務的高度擔當性，建議對敏感個人信息的侵權適用無過錯追責原則，既可以強化處理者責任意識，提高自身注意義務，又可以有效解決信息主體因舉證成本高、取證難、技術性強等現實困境，切實實現對敏感個人信息的特殊保護目的。退一步講，對于敏感個人信息的侵權認定，即便不適用無過錯責任原則，也不能一刀切適用過錯推定原則。或者說，可以明確特定情形下提高認定標準，推定其有過錯。如企業不能充分證明自己已經全面充分地履行了處理敏感個人信息時的告知義務、取得單獨同意或書面同意義務，或不能充分證明處理行為符合“特定目的且具有充分的必要性”等。

參考文獻：

[1]潘瑞琦.數字經濟高質量發展更需要保護個人信息[EB/OL]．法治網，（2020-04-09）[2025-05-30].http：//www.legaldaily.com.cn/IT/content/2024-04/09/content_8982549.html.

[2]方樂.個人金融信息保護的邏輯演進與立法完善[J].現代經濟探討，2022（3）：129.

[3]王琳琳.個人信息處理\"同意\"行為解析及規則完善[J]．南京社會科學，2022（2）：80.

[4]聞志強，施夢琪.個人信息保護視角下知情同意原則的問題審視與完善路徑[C]//上海東方法學會.法律研究集刊——制度型開放的實現路徑研究文集，2024（2）.87-88.

[5]申衛星.論數據產權制度的層級性：“三三制”數據確權法[J]．中國法學，2023（4）：27.

[6]童楠楠，竇悅.中國特色數據要素產權制度體系構建研究[J]．電子政務，2022（2）：12.

[7]李莉.《個人信息保護法》的亮點條款與內容局限法律規制研究[J].互聯網天地，2022（2）：43-44.

[8]高志宏.大數據時代“知情一同意”機制的實踐困境與制度優化[J].法學評論，2023（2）：126.

[9]HelenNissenbaum.PrivacyasContextual Integrity[J].WashingtonLawReview，2004（1）：119-157.

［10]孫玉榮，盧潤佳，等.“場景完整性理論”的應用檢視和功能再造一以個人信息保護司法裁判為視角[J]．北京聯合大學學報（人文社會科學版），2022（3）：70，75-76.

[11]美國《2018年加州消費者隱私法案》[EB/OL].（2018-07－10）[2025-06-01].吳沈括，孟潔，譯.安全網，https：//www.secrss.com/articles/3836.

[12]彭誠信.數據利用的根本矛盾何以消除——基于隱私、信息與數據的法理厘清[J].探索與爭鳴，2020（2）：83.

[13]雷紫.日本個人信息保護與合理使用探索及啟示[J]．青年記者，2021（13） ：94.

[14]南博一.臉書侵犯隱私案簽和解協議：賠償160萬用戶6.5億美元[EB/OL].澎湃新聞，（2021-02-27）[2025-06-01].https：//www.thepaper.cn/newsDetail_forward_11488961.

[15]馬燦，粵消宣.廣東省消委會率先探索“公益訴訟 + 集體訴訟”維權新模式[N].金羊網，（2022-01-11）[2025-05-30].htps：//news.qq. com/rain/a/20220111A0CT8J00#：～.

[責任編輯：葉慧娟]