□肖中华 邹雄智 聂加龙

一、引言

数字技术的迅猛发展以及与实体经济的深度融合促使新业态层出不穷，数字经济发展方兴未艾。作为以数据为要素的新经济形态，数字经济一方面日益凸显了个人数据经济价值，另一方面也使得数据主体身份变得更为透明。我国数据安全立法体系已逐步完善，但互联网平台之间、平台与个人之间仍存在因数据权属模糊等原因所引发的数据滥用、区块链的不成熟、个人数据强制确权造成公众信任危机等问题，这些问题究其根源与传统互联网体系结构在身份认证与数据权属的设计上存在先天不足有关。为此，有必要在数字经济时代背景下重新定义和健全数据基础设施，提高数据资源的市场配置效率。无论是重新定义和健全数据基础设施，还是提高数据资源的市场配置效率，个人数据安全都是必须确保的，因为个人数据安全事关数字经济长远发展，更是满足人民对美好生活向往的需要。数字经济时代加强个人数据保护，运用法治思维和法治方式是最根本最有效的方式，也是推进法治中国建设和数字经济健康发展的需要。基于此，本文拟从法治的角度探究个人数据面临的风险、成因与防范策略。

二、文献综述

关于个人数据的研究，多数的学者都认为对个人数据权利应该给予积极的保护，而且明确个人数据是一种权利。程啸（2018）提出大数据时代在保护企业平台数据流通的利益时需要平衡对自然人的权利保护。个人数据应被纳入私权制度保护的范畴，企业平台的数据流通权利作为一种新型财产权出现。李爱君（2018）对个人数据权利属性进行了研究，提出应以数据为核心客体，以数据权利结构为逻辑起点，确立个人数据的民事权利范畴，主张数据的独立性、确定性、客体属性并存在于人体之外。吕志详和张强（2019）则提出数据是信息技术发展后的存储介质，有着自身的发展路径，天然地与个人的财产权利、人格权利紧密联系。根据私法领域中的“法无禁止即可为”的原则，数据权利被纳入法律保护显然有利于以民法领域为契合点，提升公众对数据权利保护意识。肖建华和柴芳墨（2019）指出数据权利是一项复杂权利，其保护的权益包括财产权益和人格权益，其权利主体包括个人、数据平台、其他组织和国家。邓刚宏（2018）认为个人数据应直接定为数据权利，厘清数据权利类型的边界，突破我国传统学界将数据权属定位于以财产权学说、知识产权学说为逻辑基础的做法，对权利的属性特征加以明确，对数据权利加以分类，保护路径则依据权利类型进行设计。我国个人数据保护应该借鉴权利体系中其他权利保护的路径与制度，加强数据权益保护的立法建设，注重数据主体使用数据的行为规范。马克尔·杜甘和克里斯托夫·拉贝（2017）认为个人数据使用困境问题的研究主要聚焦在数据伦理、信息伦理、个人隐私等领域。大数据时代来临，一方面给人们带来生活便利，另一方面也使得人们成为“透明”人：在海量数据关联的数字时代，个人消费习惯、私人生活信息每天都在被收集。李伦（2019）分析了个人数据随着人工智能、大数据、互联网的快速发展所面临的法律伦理和社会伦理挑战，集中在大数据技术发展的算法设计伦理、开发伦理等新问题方面。保罗·维格纳和迈克尔·凯西（2018）从技术层面对数据保护的路径和方式开展了研究，认为传统的交易模式随着技术的改变，出现了区块链、分布式网络、密码学账户等，提出了建立在共识算法基础上以第三方记录全信息数据流的分布式账本模式，主张保护数字社会中的数据权利应将法律规制和区块链技术、算法治理等数字化的规制方式相结合。杨永强（2020）认为区块链具有可追溯且不可篡改的特征，主张建立去中心化的数据库，通过记录时间先后解决数据面临着的信息孤岛、数据壁垒等问题，完成交易平台的数据确权，保证数据使用的安全性。

综上所述，现有的宏观研究因在微观供给和实践支点上略有欠缺而陷入一种纯理论的阐释，影响了理论的解说力；微观研究则在综合运用法治保障个人数据主体理论进行宏观论证上略显薄弱，影响了研究的概念提炼和理论提升，因此在理论解构、研究视野和路径上还可拓展，如数字经济视阈下立法、数据算法、数据信托、数据保护与国际交流的行为和发展保障模式等，都还有一定的研究空间。特别是需进一步深化对数字经济背景下个人数据安全与数据资源要素充分融合的长效机制的研究。本文将在界定个人数据权的内涵及特征的基础上，系统分析数字经济时代个人数据面临的风险，提出防范个人数据风险的对策建议，旨在建构数字经济时代个人数据在法律保护下健康发展的合理路径。

三、个人数据权的界定及特征

（一）个人数据权的界定

数字经济时代的数据来源十分丰富，不但包括对客观世界统计的结果，还包括人类社会自身的记录以及整理挖掘出的新数据。就个人数据而言，包括可直接可识别自然人特定身份的数据和虽不能直接识别自然人身份，但与其他数据结合后能够识别特定自然人身份的数据。随着物联网、大数据、区块链、人工智能与实体经济深度的融合，个人数据蕴含的经济价值急剧上升。在以数据为中心的数字经济时代更加要求数据具有私密性、安全性、不可被利用和被篡改性。当国内外的个人信息处理规则和数据保护法律逐步完善时，如何实现大数据技术应用和个人数据保护之间的平衡至关重要。用新型数字技术将个人从面对平台经济的被动境地下解脱出来，将个人数据的活力充分释放并形成数据价值链，是通往安全的、具有广阔前景的数字经济必由之路。我国立法对此进行了积极回应，例如《民法典》第111 条规定：“自然人的个人信息受法律保护”。与此同时《个人信息保护法》第28 条强调了只有在特定的目的和充分的必要性前提下才能对个人敏感信息进行处理，且应在采取严格保护措施的情形下方可行使；《网络安全法》第41 条也作了相关规定，即网络运营者在收集个人信息时首先须履行征得被收集者同意的义务；《消费者权益保护法》第29条规定消费者个人信息被经营者收集或使用，经营者既应履行消费者同意的义务且收集的范围和使用方式也须让消费者知情。由此可见，企业收集个人数据必须得到数据主体的同意而且知情，即要符合“知情同意”规则。“知情同意”规则，一方面赋予个人选择权，另一方面体现立法对个人人格的尊重，同时个人在知情的基础上对相关的风险进行判断和防范。由此，个人数据权可以界定为：与个人相关联的各种有价值数据被相关组织依法采集后，应由本人知情同意后方可授权提供给第三方进行处理和使用，且获得第三方提供的数据服务。

（二）个人数据权特征

1.宪法人权性

宪法人权性最初来自《欧洲人权宪章》第八条约定：“每个人都有权保护其个人数据”。2018 年欧洲联盟实施《通用数据保护条例》 第1 条指出“本条例保护自然人的基本人权，特别保护自然人的个人数据权”。个人数据权属于基本人权范畴在国际组织相关规定中率先体现。此外，我国公民通信秘密受法律的保护在《宪法》第40 条得到明确：未经写信人、收信人的许可不得把信件内容公布于众，窃听别人电话等均属违法。随着社会不断发展和进步，万物皆可数字化，依据《宪法》40 条立法精神通信双方个人数据当然属于保护范畴。基本人权关系范围应纳入个人数据权，个人数据权作为公民一项基本权理应受到宪法保护。

2.人格权性

人格权独立成编，无疑是《民法典》一大亮点。《民法典》第990 条对人格权类型进行具体划分，其中肖像权、名誉权、荣誉权、隐私权等权利被纳入人格权范畴。数字经济时代背景下，部分个人数据固然难以体现出个人身份特征，但如果借助大数据技术分析并与相关数据组合后，也可能发现具有可识别性人身属性的特征。人格权立法之所以独立成编实质是回应了数字经济时代的到来个人数据权益会面临各种新情况、新问题，是为人格权制度后面进一步完善预留发展空间。尤其是考虑到现代社会生活的复杂性，大数据技术不断发展给人类社会带来的各种便利以及数据带来的红利，而人对自身发展的需要也会不断提升，人的自我权利意识性和权益保护诉求也将增强。所以，从法理分析人具有可识别性的个人数据理应属于人格权。

3.可携带权性

随着互联网和大数据技术的不断发展，数据资源成为企业新的生产要素。其中，企业以各种方式收集的个人信息和数据是非常重要的数据资产。因此，企业有义务更好地保护个人的数据权利。2021 年11 月1 日，“数字时代基本法”——《个人信息保护法》正式实施，首次对数据可携带权作了规定，真正体现出个人数据权利回归个人的立法思路，不仅为个人数据流通提供新的方向，还将为行业带来新的机遇。对数据可携带权作出规定增强了个人对个人数据转移与再利用行为的控制，也对国内企业数据合规提出新的要求。总体来说，携带权明确了个人是其个人数据权的主体，数据随着权利主体的流动而流动，而控制者和处理者有义务实现个人数据的流动。因此，可携带性成了个人数据权的一个特征。

4.财产权性

《民法典》对数据的保护既不适用物权、也不适用知识产权，而是单独作了规定。其第127 条明确规定：“法律对数据、网络虚拟财产的保护有规定的，依照其规定。”这其实就是为将来的“数据权”预留了空间，也是一种需要专门界定的权利。显然，立法者对数据的保护是紧接着人格权、物权、债权和知识产权依序规定的，也就是说数据作为一种新型的财产权利得到认同。2020 年1 月1 日实施的《深圳经济特区数据条例》创新性地首次提出数据权，其中就包含个人数据权。这表明了个人拥有个人数据，当然应享有与其对应的数据权，而这种权利包含对个人数据的处理和收益，也是应有之义。从这个意义上我们可以说，数据是一种个人资产，一种比较特殊的个人资产。

四、数字经济环境下个人数据面临的风险及成因

（一）数字经济环境下个人数据面临的风险

1.个人数据“安宁权”的风险

数字经济时代下，互联网、大数据、人工智能的发展给民事主体隐私的保护带来了严峻挑战。从看起来毫无关联的一个数据，就能解密特定个人的私密生活。移动终端已然成为当下的一大趋势和潮流，用户在接收信息的同时，各类垃圾短信、邮件、广告也犹如冬日的雪花一样，这并不是用户主动扩大对网站的授权，而是网站等机构利用用户的日常浏览痕迹，迎合用户增加用户的购买欲望而刻意为之，这些在用户未同意的情况下发送垃圾信息等行为无疑对用户的“安宁权”构成了侵害。

2.个人数据收集的知情权风险

数据是资产、数据有价值已经是社会共识。与此同时，在手机等移动设备发展迅速的今天，手机中的APP 也得到了前所未有的发展。为了满足不同的需求，每一台正在使用的手机会安装数量众多的APP。消费者要想享受这些APP 带来的便利，必须同意其运营商设定的相关授权，否则无法安装或运行。这些授权有些是安装和使用APP 所必须，但有些则不是，例如安装阅读软件时被请求访问通讯录，下载出行APP 时被要求访问手机相册……这看似“有必要”的询问，实际上是一种超范围收集用户信息的表现，大量用户对此都深有体会。更为重要的是从表面上看，商家看似已经履行了告知义务，给予了用户选择权，但在实际上用户更多只能被动接受，否则就面临APP 无法下载和正常使用的问题。而这只是一方面，另一方面，更多用户的个人隐私是在不知情的情况下被窃取的，平台以此来收集用户的需求及喜好，及时传递给企业或商家，以便进行广告推销。

3.个人数据“处分权”风险

在个人数据被窃取的同时，更为可怕的是数据进一步地被共享甚至交易。自公安部部署“净网2021”专项行动以来，全链条打击非法采集、提供、倒卖个人信息违法犯罪，侦办案件3900 余起，抓获犯罪嫌疑人4600 余名，有力维护了公民个人信息安全与合法权益，进一步净化了网络环境。从中我们不难知道，国家之所以加大了打击力度，正是因为当前个人面临着个人数据“处分权”风险。此外非法数据库还具备搜索功能，通过关键信息查找，如手机号码、信息对象名称等途径，可以快速查询信息对象的位置、购买记录等信息。信息被轻易获取和收集往往容易引发非法的共享甚至交易。在网上倒卖个人信息的行为时有出现，甚至有专门的违法交易个人信息的组织，形成了个人信息非法交易的产业链，这都说明当前个人数据存在着“处分权”风险。

4.个人数据面临黑客攻击与“二次伤害”

互联网上的个人信息数据所面临的风险，还有黑客攻击所带来的风险。一旦遭受黑客攻击，个人信息数据将会被泄露无虞。一般而言，发现黑客攻击，数据库运营者应及时将其有关情况向用户通报，并采取相应应急措施最大限度避免个人信息数据泄露。然而，由于我国缺乏对数据泄露的披露义务的法律规定，导致在现实中很多情形下不能得到妥善处理。这样，个人信息数据在泄露的同时，还不可避免地遭受了由此带来的“二次伤害”。

5.数据被过度采集与被贩卖的风险

在数字经济时代，数据具有经济价值，网络平台等为了实现利润就必须控制海量的数据，于是网络平台等为了获得更多的数据，往往利用个人使用APP 等的机会，过度收集个人信息数据，主要表现为收集与APP等使用功能实现不必须甚至完全不相关的个人信息数据，而且这些个人信息数据很多涉及个人隐私。此外，也正因为数据具有经济价值，所以一些不法分子贩卖个人信息数据，甚至形成了黑色产业链。不难知道，个人信息数据一旦被贩卖，极有可能会用于各类违法犯罪活动。由此，个人信息数据被过度采集、贩卖也是数字经济环境下个人数据面临的风险之一。

此外，5G、人工智能、物联网、工业互联网、云计算、大数据等新一代信息技术的逐步应用，在催生网络攻防手段由人工主导向智能化、自动化转变的同时，技术本身的应用也会给个人数据带来一定的风险。

（二）数字经济环境下个人数据面临风险成因分析

1.个人数据权属不明

《数据安全法》《个人信息保护法》的实施，标志着我国个人数据保护进入一个发展新阶段，数据保护体系正日益完善。但是，目前学界对个人数据权的法律属性众说纷纭，主要有个人数据权应属基本人权范畴说、个人数据权应属于人格权范畴说、个人数据应属于个人隐私范畴说。此外，还有观点表示，个人数据因其具有很大的经济价值而具有财产属性，可作为财产使用，应属于财产权范围。综上不难发现，学界对个人数据权属研究颇多，但各持己见，研究侧重点也不尽相同，尚未形成统一认识，而这易导致已有数据保护法律在个人数据的权属方面存在着模糊性。

2.“知情一同意”规则的乏力

《民法典》在第1033、1035、1037 和1038 条对个人数据权进行了保护性规则的设定。这些设定由于主要聚焦于个人数据权的被动保护，从而对个人数据权的积极主动保护基本上是空白。个人数据权的被动保护主要体现在《民法典》所建构的“知情一同意”这一个人数据保护的核心规则。该规则要求数据控制者收集、处理个人数据必须将收集、处理的目的及情况告知数据主体并征得其明确同意。这一要求具体到实践中，往往表现为数据控制者在与数据主体签订协议时应将涉及个人数据的相关条款充分告知数据主体且取得同意。然而，这一要求在数字经济环境下正被逐渐削弱，主要表现在：（1）数据控制者未充分披露数据利用种类、用途等而导致数据主体并不完全知情。（2）数据控制者为了达到获取更多数据的目的，无限地扩大获取数据的期限与范围，从而导致同意规则虚化。（3）实践中，数据控制者往往通过向数据主体提供篇幅较长的隐私政策声明并将信息利用的法律风险和后果也纳入其中，以此来履行告知义务，而大多数据主体只是机械地点击同意，对其中所列的信息利用的法律风险和后果，即便进行了阅读，也不能完全理解。

3.个人数据司法救济手段难以取证

在实践中，个人数据权遭受侵害时，权利人往往难以适用《民法典》侵权责任篇中谁主张谁举证的规则来进行救济。数据权利人需对自己提出的主张举证证明，但在数字经济时代下，个人数据信息的流通通常以现代信息网络为重要载体，在网络空间中使用、存储以及传播，使得数据侵权行为更具有隐蔽性，数据权人在被盗用个人数据信息时往往难以发觉，证据收集也存在较大难度。此外，当数据权人因个人数据遭受侵害而请求救济时，通常会涉及损害赔偿的问题，但目前法律并无明确规定赔偿标准，因此实践中赔偿数额往往难以确定。若单纯依照当事人的实际损失来判赔，会出现赔偿数额极小的情况，不仅影响维权人的积极性，而且难以对此类侵权行为起到威慑作用，司法救济效果也就不明显。

五、对策与展望

（一）对策

1.加快制定《个人数据保护法》

在数字经济时代，加快数据领域立法，通过统一、规范、系统立法，协调对个人数据的保护与开发利用，避免各部门规章之间存在法律冲突与漏洞，建立对个人数据法律保护体系已成为了时代所需。规范数据的采集、加工、流通和应用，解决公民信息保护“举证难度高、举证价格高”的难题，需要不断加大对故意泄漏公民个人信息行为的处罚力度。健全个人数据安全法律体系不能仅仅停留在个人数据安全不被侵犯层面，个体的数据权利的实现要得到延伸，还应包括收益权。

2.完善知情同意保护规则

在便捷和风险共生的数字经济蓬勃发展的今天，《民法典》 所建构的知情同意保护规则虽然有如前所述的不足之处，但并不意味着该规则没有价值。想要充分发挥该规则应有的价值，笔者认为必须对该规则进一步明确与细化。这方面，欧盟的《一般数据保护条例》值得借鉴。《一般数据保护条例》第7 条确定了如下的规则：（1）控制者需证明数据主体已经同意他人对个人数据进行处理；（2）请求获得同意应当使用容易理解的形式、清晰平白的语言且应当完全区别于其他事；（3）数据主体有权随时撤回同意；（4）同意必须自由作出。在未来的《民法典》司法解释中，可以参考前述四个规则，以“明确”“清晰”及“可理解的方式”作出说明。

3.隐私计算

为解决数据主体之间的互不信任数据共享和数据价值挖掘问题，国际上通常采取了数据价值可挖掘但又不共享原始数据流转的技术手段，即隐私计算。隐私计算通常通过3 个步骤来确保数据隐私安全性：一是原始数据的“去标识化”。既保障数据使用者无法通过数据反向逆推出数据主体“自然人身份”，又保留数据利用价值，做到数据共享“可用不可识”。二是执行环境的可信任。通过直接在CPU 硬件上提供的安全区域/非安全区域隔离机制，为敏感应用数据提供可信执行环境，确保全程安全可控。三是能够保护数据和模型隐私的智能计算技术，如多方计算、数据脱敏、差分隐私、可信计算、同态加密等，实现信息的“可用不可见”。总之，隐私计算能在一定程度上打消各机构共享私密数据的顾虑，愿意共享出自己的数据，联合挖掘数据价值，拓宽数据的使用维度。实际上，国内外利用隐私计算平衡隐私保护和数据价值流转已经取得了积极成效。因此，有必要运用隐私计算技术，将信息“去标识化”和安全处理，无法反向逆推出数据主体的身份，从而达到保护个人隐私的效果。

4.确立数据信托制度

数据交易与一般商品交易的不同之处，在于数据控制人所获取的数据包含大量的他人信息。这些信息大多属于数据主体的“生命密码”，其与数据主体的身份、隐私、情感乃至社会评价等紧密联系在一起。因而在数据交易中，数据主体往往不信任数据控制者，数据信托的引入，就是为了解决数据领域中的“信任赤字”问题，将信托法的理念和制度引入数据治理中，在数据主体与数据控制人之间加入信托法律关系，在这一法律关系中，数据主体既是委托人也是受益人，数据控制人则是受托人。基于此法律关系，数据控制人和数据主体之间的信任得到加强，数据控制人将因此获得更多的管理运用权限，包括但不限于访问控制、访问审核以及数据的匿名化处置等重要内容，以此平衡数据主体的隐私保护与数据可交易价值之间的紧张与冲突。当然也要承担更严格的信托法律义务，这主要表现为信托法上的谨慎义务、忠实义务、保密义务等，相较于数据委托合同而言，数据信托更具有灵活性和优越性，因而成为数据权信义关系结构化安排的理想工具。

5.创设多元化的权利救济机制

对个人数据保护，权利救济机制是必不可少的。解决个人数据权侵害问题，不仅需要加强立法，而且要依靠数据权利人和相关组织的努力。总而言之，个人数据权的救济除了从立法层面加强之外，还需要依托数据权利人、数据行业相关组织的自律。就数据权利人而言，应提升个人信息数据法律保护意识。就数据行业组织而言，可以制定包括收集用户数据的合法途径、保护用户数据隐私的必要措施等内容的行业自律章程。此外，行业组织应更多研发推广安全可信的产品和服务，从根源上减少对用户数据权的侵害。在这一层面，相较于行政机关，行业组织对个人数据权的救济更具有可行性和操作性。

（二）展望

在数字经济的背景下，新的权利形态如算法解释权、人工干预权、理解权等构成了庞大的权利簇，也称之为权利束。这就要求在价值层面坚持以人为本，“把人的权利及其尊严作为其最高目的，以人权作为其根本的划界尺度和评价标准”。面对算法权力对人的权利的贬损危机，须呼唤一种新的“数字人权”保护机制。这是因为，其一，加强数据信息赋权及自主化进程是在网络活动中的“数字人权”保护的重要机制之一；其二，加强数据信息赋权及自主化进程，个人的数据信息是在网络活动中被记载使用，是数字经济下算法权力的生产物料，也关乎个人信息保护和隐私权等问题。总之，既要确保共享流通和数字经济的运行，又要寻求隐私保护的平衡之道，需要借助公权力以制度化的决策，坚持比例原则推动动态场景中的权益平衡。