数字经济背景下个人信息的法治化保障机制研究

尹姝然

江苏联合职业技术学院徐州经贸分院，江苏 徐州 221000

2022 年10 月，习近平总书记在党的二十大报告中指出：“加快发展数字经济，促进数字经济和实体经济深度融合，打造具有国际竞争力的数字产业集群。”目前，我国的数字经济活力迸发，数字资源共建共享，各种类型信息特别是个人信息已全面数字化、网络化、智能化。数字经济的蓬勃发展，使得我国公民的个人信息以大数据化的形式在开放的互联网空间流转，在方便信息交流的同时也时刻伴随着信息泄露和侵权的法律风险。2023 年2 月，中共中央、国务院印发《数字中国建设整体布局规划》提出：“筑牢可信可控的数字安全屏障，切实维护网络安全，完善网络安全法律法规和政策体系。”数字技术将个人信息数据化，在数字时代，个人信息与数据的关系几乎融为一体。［1］故此，增强数据安全保障能力，健全个人信息保护的法治化保障机制尤为必要。

一、数字经济背景下个人信息保护的特殊性及挑战

（一）数字经济背景下个人信息保护的特殊性

1.个人信息的法律界定

我国于2021 年11 月施行的《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）对个人信息的法律概念作出了明确的规定：“个人信息是以电子或者其他方式记录的与已识别或可识别的自然人有关的各种信息，不包括匿名化处理后的信息”。这一法律概念，以“电子”为性质给予了个人信息数据化的归属和可以识别的特性。在数字经济时代，个人信息大多通过数字技术进行数据转化，并以电子数据的形式在互联网空间存储或加以应用，因此个人信息也应同时受到《中华人民共和国数据安全法》（以下简称《数据安全法》）的保护。

2.个人信息保护承载多元利益主体

数字经济下，个人信息中既蕴含了人格利益，同时也呈现出一定的财产利益，因此，在对个人信息进行法治规范和应用的过程中，应考虑到利益主体的多元性。

第一，个人信息中的人格利益。个人信息呈现的表征与个人身份具有高度的关联性，因而个人信息往往关系到个人评价及社会认同［2］，承载着重要的人身利益，甚至事关个人的人格尊严乃至自由，《中华人民共和国民法典》（以下简称《民法典》）中对于“个人信息受法律保护”有专门的规定，这意味着，对于自然人的个人信息，法律给予了正当权益的保护，为个人信息在民事法律方面提供了有力的保障。

第二，个人信息中的财产利益。数字经济环境下，特别是数字中国的发展，数据竞争愈演愈烈，个人信息的财产利益和商业价值也随即凸显。附属在可识别的人格属性之上，将海量的个人信息进行多方的流转与重复利用，通过技术手段和大数据算法分析使用，能产生大量的财产价值。

3.个人信息处理具有动态风险性

我国《个人信息保护法》中多个法律条文均对个人信息“处理”有明确的规定。处理并非单一过程，而是涵盖了完整的个人信息数据流通链条，包括收集、存储、使用、加工、传输、提供、公开、删除等多个流通环节，覆盖个人信息的全部生命周期。个人信息以电子数据的方式呈现时，其承载的商业价值因数据类型的不同、数据组合和处理方式的区别从而产生较大的价值差异。个人信息以“数字身份”的形式活动在实际生活中，信息主体的购物习惯、出行轨迹、消费倾向、浏览痕迹等，形成个人信息的动态流通链条，强势数据平台利用大数据技术过度分析个人信息，超范围超权限的违法收集并将个人信息利益商业化，不仅有可能威胁个人财产的安全，还有可能侵犯个人隐私。因此，在不同的处理环节，其利益价值不同，带来的风险也不同，会因场景的动态变化而产生不同程度的法律风险。

（二）数字经济背景下个人信息保护面临的挑战

1.个人信息保护的基础性权利尚未明确

数字经济下的个人信息，已成为数字中国建设和发展中尤为重要的数字资源，但因个人信息的“数字身份”的人格利益与财产利益的双重属性，事关个人的人格尊严与自由。我国法律对于个人信息保护的基础性权利表述尚不明朗，在《民法典》人格权编第六章标题中，仅出现了“隐私权和个人信息保护”的表述，给予个人信息保护以人格权的法律地位而非确定的基础性权利。在《个人信息保护法》中给出的“保护个人信息权益”的立法定位，同样没有对个人信息保护的基础性权利进行法定回应。两部基础法律都没有给出明确的个人信息保护基础性权利的认定，这样会导致在某些情形下法律逻辑体系混乱，法律主要权利关系界定模糊，也同时会给法律从业者开展法律实务工作时造成一定屏障，难以达到预期效果。

2.网络前端静态的授权同意规则日渐式微

用户在互联网使用过程中，通常会收到一份来自网页前端弹出的隐私声明、隐私协议或告知同意条款，内容以格式文本的形式让用户明确该网站对个人信息处理情况，并通过用户勾选或点击“同意”选项，以“合法性授权”的方式来获得用户的个人信息。“同意”一词在《个人信息保护法》中多次被提及，由此可见，取得用户的授权同意是获取用户个人信息的前置条件。［3］但是随着时代的变迁，大数据技术的卓越应用，数据共享突破了原有的网络服务供应端和用户之间简单、单一的对接关系，而转变为个人信息在多方网站进行动态流转和重复使用的数据流通链。个人信息的安全性逐渐降低，用户初始的前端同意授权作用也显得微乎其微，无法达到单一式同意授权规则的法律效果，反而通过多次的动态流转，大大增加了个人信息被非法泄露、获取、利用的法律风险。

3.个人信息过度开放致使侵权风险激增

随着数字经济飞速发展，人们的社交活动除了面对面的交流和沟通外，更多是通过网络化的方式分享和传递信息，生活及交友方式也发生巨大的变革。人们喜欢在网络空间晒出自己的近况、发布自己的个人动态、照片、视频等，个人信息以数据叠加的形式不断积累、更新，使得个人信息在网络空间的开发程度空前提升。然而，大数据技术手段也不断革新，获取用户的公开信息易如反掌。新旧信息沉淀在海量数据库，具有精准识别性的个人信息也封存其中，这大幅度地激增了个人信息被侵权的风险。此外，强势的数据平台有着得天独厚的数字资源，能够垄断性独占个人信息带来的利益及处理权限，追求利益最大化的效果，甚至用超越范围和权限的手段处理个人信息，对个人信息的数据安全产生威胁。

二、数字经济背景下个人信息保护的法治规范现状

全面依法治国，建设社会主义法治国家，关系着人民幸福安康，也关系着党和国家的长治久安。党的二十大报告提出：“必须更好发挥法治固根本、稳预期、利长远的保障作用，在法治轨道上全面建设社会主义现代化国家。”在数字经济时代，对于个人信息保护要从法治规范上奠基固本着力。

（一）以专门的《个人信息保护法》为基本规范

《个人信息保护法》体系建构的基础是国家基于宪法所负有的保护义务。［4］《个人信息保护法》是我国首部针对个人信息保护的专门性立法，其内容上构建了完整的个人信息保护框架，创设性采取个人信息与敏感个人信息分级保护，扩大个人信息处理的合法性基础。同时，在法律责任的认定上，衔接民法、行政法、刑法，明确相关法律责任。但是由于数字经济时代的飞速发展，仅凭《个人信息保护法》难以对个人信息施以全面的保护，还需要配合各种法律救济途径及完善的保障机制共同作用，发挥合力。

（二）以《民法典》为代表的私法规范

《民法典》与《个人信息保护法》中关于个人信息保护的法律规定属于普通法与特别法之间的关系。《民法典》作为民事领域的基本法、综合性的法律规范，将与个人信息保护相关的内容规定在其第四编“人格权”中，认为个人信息侧重于强调人格属性，保护个人信息在于保护个人人格尊严不受侵犯。例如，《民法典》将个人信息中的私密信息定性归属为隐私权，针对隐私权采取强化保护形式，而对于不涉及隐私的部分，归属个人信息保护。此外，《民法典》第一百一十一条从个人信息保护权利、个人信息保护安全原则、个人信息保护合法性原则三个层次确立了个人信息保护的原则，是其从私权领域的视角出发，对个人信息保护的补充和平衡。

（三）基于技术性规则的公法规范

数字经济时代，个人信息以大量的数据形式加以呈现，相对于信息主体而言，个人信息处理者具有强势的掌控地位，数据技术的开发和使用与个人信息的安全性密切相关。因此，个人信息保护必须和个人信息的数据安全紧密结合起来，实现由国家机关强化和调整的，以制定技术性规则为前提的公法规范。我国《数据安全法》是专门性的公法规范，从国家安全的角度对数据安全及个人信息的技术性问题提出了客观要求。该法律不仅明确对各种类型数据进行分级保护的法律制度，更是促进我国数字经济健康和谐安全发展的重要保障。

三、数字经济背景下个人信息的法治化保障机制构建

目前，针对个人信息保护的方法和手段较多，从不同视角和层面出发，形成了基础性或具有针对性的法治保障规范。但数字经济时代的快速发展，单纯依靠法律途径加以救济很难达到个人信息保护的全面性，因此，国家还应通过法治化保障机制的构建，筑牢个人信息的数字安全屏障，确保个人信息的安全和合法使用。

（一）建立个人信息数据溯源的“安全锁”机制

《个人信息保护法》第五条规定了个人信息处理应当合法、正当、必要、诚信。针对个人信息数据的非法获取和利用，可以借鉴数据溯源技术来建立个人信息数据溯源的“安全锁”机制。数据溯源技术是一种广泛应用于各种数据模型构建和数据处理场景的重要手段，例如区块链技术。这一技术通过将个人信息的访问、修改和传输等操作记录在区块链上，并由多个节点进行验证和存储，可以确保个人信息的真实性和可信度，并实现个人信息的自动审计和违规检测，及时发现和应对个人信息泄露和滥用等风险。建立个人信息数据溯源的“安全锁”机制，可以有效防止个人信息的非法获取、滥用和篡改，保障个人信息安全和隐私权益，同时也能为数字化经济的可持续发展提供制度基础。

（二）完善个人信息保护的“防护网”机制

目前，我国对个人信息数据的监管模式为双线监管模式，即由政府主导的自上而下的监督管理和数据处理者在权限范围内的自我监管。然而，信息主体完成个人信息的授权同意后，处于相对被动的状态，对处理后数据的去向无法追踪和知晓。这样一来，信息主体几乎没有实质可行的自主权利，缺乏对个人信息使用和流转的知情权和选择权。现有的法治监管体系尚不完善，如若主要依赖数据监管部门自上而下的监管审查，则会导致数据控制者对于数据占有的绝对支配地位。因此，在现有的个人信息数据双线监管基础上，借鉴数据信托模式，引入第三方法律服务机构，作为可信的“中立方”的地位加入监管体系，打造数据安全领域多维度的“防护网”机制，以填补监管漏洞，形成节点各方的信任制衡，负责监督和审核个人信息处理者的行为，保障信息主体的合法权益。［5］

（三）夯实个人信息保护的“责任链”机制

个人信息保护涉及多方责任主体，包括个人信息主体、个人信息处理者、个人信息保护监管机构、个人信息保护负责人等。建立个人信息保护“责任链”机制，各方主体通过夯实主体责任，对个人信息进行多层次、多角度的保护，各方共同配合，形成一个完整的责任链。第一，个人信息主体增强自我保护意识，妥善保管个人信息，厘清授权同意规则，增强法律风险防范意识；第二，个人信息处理者应依法、正当、必要地处理个人信息，与信息主体建立信任关系，提升技术保障手段，确保个人信息在传输和存储过程中的安全性；第三，个人信息保护监管机构应加大对个人信息保护的监管和执法力度，建立健全个人信息保护的相关规范和制度，发挥监督和检查作用，确保其公正、透明、有效地履行监管职责，防止可能出现的滥用权力和不当行为；第四，政府、企事业单位、社会组织等相关方应加强合作，共同推进个人信息保护工作，建立信息共享和风险协调办法，形成个人信息保护的“责任链”合力。

综上所述，数字经济时代，个人信息涉及的领域方方面面，我国应从多层次、多维度、多渠道为个人信息保护提供综合性的法治规范及救济途径，建立合理化的制度体系，以法治规范为准绳，以制度建设为保障，形成多方合力的格局，筑牢个人信息保护的安全屏障，把个人信息保护落在实处。