吴翔宇，陈 莉

（1.西南科技大学 法学院， 四川 绵阳 621000； 2.广汉市人民检察院， 四川 广汉 618300）

近些年来，信息技术紧跟社会发展的脚步更新换代的速度日益加快，与此同时，也将人类社会推进到了以信息数字化为内核、以信息传递网络化为方式的数字经济时代。在这一时代背景下，“信息”成为生产要素家族的重要一员，更是推动当前数字经济时代企业盈利可持续、成长可持续、社会财富增长可持续的强大动力。但是犹如硬币具有正反两面一样，“信息”在为公众带来生活福利的同时，也产生了个人信息被侵犯、网络信息犯罪频发等信息伦理问题。每个人在享受社会信息福利的同时也身处个人信息被随意侵害的伦理囹圄中，公众在数字经济时代就仿佛置身于“X光”照射之下无处遁形。

因此，为了探索个人信息的保护路径，应当首先展开对我国当下个人信息保护工作的困境分析。从立法、执法、司法三个层面探索保护公民个人信息的途径，促成信息所有者和信息控制者的双赢。

一、数字经济时代个人信息权法律属性的界定

对个人信息进行一个明确的定义是推动其适应当前数字社会发展的应有之义，也是探索如何保护个人信息权的前提。如何明确对个人信息进行定义是一直存在争议的问题，当今学术界和法律实务界采用的是概括加列举的阐述方式。2018年实施的国家标准《信息安全技术个人信息安全规范》对个人信息的定义，相较以往明确增加了互联网用户在网络上的通信记录等内容，符合当前数字经济时代个人信息转向网络数据化、虚拟化的发展潮流。

个人信息是个人社会生活不可或缺的一部分，明确个人信息权的权利性质是法律规范社会生活的逻辑链条上的合理一环。

就目前来看，关于个人信息权的法律属性界定，学术界和法律界普遍认可“宪法人权说”“人格权说”“隐私权说”“财产说”“复合权利说”这五种理论。结合我国当今国情，第五种理论应当是最具合理性的。因为同其他四种观点相比，“复合权利说”一方面囊括了个人信息权的人身与财产属性，更具周延性；另一方面，主张将个人信息权作为一项新型民事权利单独立法保护，能够极大地提高司法适用性，更好地保护公民个人信息权利。

也正是在理论界与实务界的不断呼吁与推动下，公众个人信息终于进入顶层法律的规制视野。2020年通过的《中华人民共和国民法典》在总则编第111条中明确了个人信息权这一民事权利的重要地位，它为本次《民法典》的编纂增添了一抹亮色。但是美中不足的是，《民法典》缺乏对个人信息的概念、侵权标准、保护标准等基本性内容的规定，尤其是没有对个人信息权这一概念做出一个明确的界定，直接诱发了个人信息保护的困境。

二、数字经济时代个人信息保护困境的表现

数字经济时代背景下具有资金优势的企业等个人信息控制者利用集中式与分布式两大数据计算与处理技术，对获取的海量个人信息数据进行“程序性运作”，继而将运作结果投入市场运营。企业之所以如此，就是因为这些信息经过运作后产生了价值增值。［1］但是这些数据却成为个人信息侵权以及犯罪的客体。笔者通过翻阅我国近些年来出现的个人信息侵权案件及相关文献资料，发现我国数字经济时代背景下的个人信息保护面临四大困境：

（一）“知情同意”机制失灵：个人信息被非法收集

“知情同意”的表现形式是指由处于信息收集时段的个人信息收集者向用户出具“用户许可协议”［2］，用户继而勾选“许可”选项。传统个人信息保护领域的“知情同意”机制主张：个人信息利用主体获取特定或不特定主体个人信息应取得信息法定权利人的明确授权同意，并且负有特定情形下的限期删除义务。在实际应用过程中，许多用户由于高度依赖该产品，往往直接跳过“用户许可协议”的阅读环节，导致信息权利主体并不了解其同意被收集的信息最终被利用于何时何处，“知情同意”机制即宣告失灵。近日，“滴滴出行”APP因严重违法违规收集使用个人信息被国家互联网信息办公室依法下架并要求整改的事件，就是公众个人信息被非法收集的典型案例。

（二）“秘不外宣”原则失效：个人信息被非法披露

在实践中，许多网络运营商在没有取得法律授权以及信息所有者本人明确同意的前提下，通过数字经济技术调取其用户甚至是社会公众的个人信息，继而将其擅自提供给第三方以谋取利益。它在外观表现为各种平台故意将以购房、购车情况为代表的诸多关乎个人生活质量的敏感信息传递给信息需求方，导致客户在日常生活中经常出现莫名接到购房、购车电话或者收到相关短信等情况。个人信息并非法外之物，未经授权就披露的行为违反了在人类现代商事活动中通行的“秘不外宣”原则，即合同双方都应当做到严守自己知悉的涉及对方经营等方面的商业秘密（信息）。

（三）“利益平衡”理念幻灭：个人信息被非法利用

当掌握云计算技术的信息控制主体通过计算获取了个人信息后，一般会进行二次分析处理，继而将其卖给有需求的第三方，比如商品销售者。这些商品销售者通过这些被精密分析过的个人信息，就会向用户推销他们想要的产品，也就是所谓的“投其所好”。这大大节省了商品销售者去搜集买家购物意愿的成本。商品销售者在极大降低自身宣传成本的同时提高了销售收益，但是付出了个人信息的信息所有者却一无所获，甚至被侵犯了个人权利。这便构成了严重的利益失衡，导致个人信息遭遇被非法利用的窘况。

（四）“空间犯罪”界限破碎：个人信息沦为网络犯罪的重要客体

随着大数据技术、人工智能技术与网络的不断深入结合，网络空间与现实空间的界限被逐渐打破，网络空间同样成为犯罪频发的独立社会空间。众多企业通过数据分析技术筛选出海量个人信息，这些信息被汇集起来后产生的“价值属性”同独立、难监测的网络空间相遇时，就产生了大量利用互联网侵犯公民个人信息犯罪的案件。通过在中国裁判文书网检索，仅2015年11月至2021年5月这五年半的时间内，就有9363份关于侵犯公民个人信息犯罪案件的判决书，其中包括利用非法手段获取的公众个人信息实施敲诈勒索犯罪等多种犯罪形式。越来越多的数据表明，个人信息已经成为网络犯罪的重要客体。

三、数字经济时代个人信息保护困境的原因

数字经济时代个人信息侵权问题突出的实质在于公众对于个人信息的认知与承载水平远远滞后于信息数据分析处理技术的发展水平，表征为传统个人信息保护体系远远滞后于数字经济时代信息安全新形势，使得个人信息保护在道德、法律、监管、追责四大领域出现漏洞。

（一）个人信息利用产生的超额利益驱使相关主体突破道德底线

一般来说，商业领域中的单一个人信息是不具备经济价值的，只有将海量的个人信息汇聚在一起形成所谓的数字经济，并对其进行综合分析形成“二次数据”，才会产生经济价值。这时，这些数据的控制者可以高价将其出售给有需求的第三方，而与其高额经济收益形成鲜明对比的是这些数据收集成本的低廉性。原本的信息控制主体在巨大利益的驱使下，置法律风险于不顾，肆意出售自有的公众个人信息，从而获取了超额利润。

（二）个人信息保护法律体系中具有偏重私法保护的时代局限性

目前学界盛行的四种个人信息私法保护理论有一个共性：个人信息权与私主体的“寄生物与宿主”关系本质没有变，信息主体控制个人信息的赋权愿景依然存在。［3］个人信息私法保护理论确实对我国的个人信息保护工作做出了贡献，但它终究囿于传统个人信息保护的桎梏，同当今时代的新客观情势、新规范要求、新发展方向相脱节。

1.落后的控制理念

当今的数字经济时代背景下，个人信息与个人信息所有者之间的联系极为紧密，二者之间的紧密联系，进一步加固了个人信息私法保护理论的根基，使得封锁个人信息同保护个人权益划上了等号。为了将个人信息置于一个“看得见”的“安全区”，私法保护理论倡导信息所有者以及经过授权的信息控制者非遇到法定或必要事由不得将个人信息流入公共空间，即个人信息的共享受到了实质意义上的严格限制。在如今的数字经济时代，信息只有实现了在区域间、主体间的自由流通，才能具有商业价值，单纯地实现信息所有者对个人信息的绝对控制，反而是一种浪费社会资源的行为。这就导致了个人信息所有者和个人信息控制者之间的矛盾。

2.有限的实践指引

个人信息私法保护理论的另一缺陷在于：在当前个人信息共享成为一种不可阻挡的时代发展趋势的前提下，未能对个人信息进行有效保护。以私法保护的方式来降低个人信息侵权带来的损害，产生两个问题：一是付出巨大的制度设计成本，占用难以计数的社会资源。二是详实周密的私法保护反而会限制个人信息的流通。在如今的数字经济时代，新一代算法技术的运用提高了个人信息的传播速度，也催生出了大量的侵权事件。当个人信息价值的日益显现遭遇个人信息传播渠道的日益增多，其结果只能是个人信息泄露危机的与日俱增，纯粹的私法救济往往难以为继。［4］因此，当前的个人信息私法保护理论只能对个人信息保护提供一些方向性的、原则性的方法指引，并不能应对要素多元、情势复杂的市场环境。

（三）个人信息保护运行系统出现国家行政监管部门缺位的漏洞

我国一直缺乏一个由国务院统一领导、地方省市机关辅助执行的，负责个人信息保护与监管的独立行政部门。与此同时，我国现有的承担个人信息保护职责的行政机关存在职能分工与权责归属不明确的弊病。在机构运行方面，各有关行政部门大都各自为政，出现了“令不出本门，令不至他门”的尴尬局面。被寄予厚望的联合监管亦是问题重重：在不同的目的指引下，不同的监管部门对待监管事项的态度与手段都不相同，以至于个人信息所有者遭遇信息侵权时一是不知去哪个部门投诉检举，二是即使找到了相关部门，各部门也是相互推诿，最后既浪费了权益受损者的宝贵时间，又没能使侵权案件得到有效处理。

（四）个人信息保护法律体系中的侵权追责环节呈现实践性风险

一方面，数字经济时代催生了“万物可互联”局面的出现。在这一背景下，任意电子设备端口皆可成为个人信息的泄露渠道，许多被侵权人往往在享受互联网服务时一时不慎或者在商户诱导下勾选了提供个人信息的同意选项，被侵权人在维权追责时往往遭遇侵权人看似合理的抗辩理由，导致自身承担败诉风险。同时在实践中，被侵权人往往很难确定谁是侵权主体，即使确认了侵权主体，自身也要付出很大的时间成本与经济成本。

另一方面，在刑法领域，法院在处理个人信息犯罪的司法审理过程中，通常是先引用行政法规等前置性规定。但事实上，我国有关个人信息保护的前置性规定的标准不明确，使得治理个人信息犯罪的司法实践效果并不良好：若是不考虑前置性规定，定罪量刑直接依据的是“违反国家规定”；但是在前置性规定优先的情况下，定罪量刑依据变成了“违反国家有关规定”。这造成的结果就是，有关个人信息犯罪的解释权主体扩张，继而引起该罪刑事处罚边界的扩张。“违反国家有关规定”这句“万金油”似的处理依据成为个人信息犯罪的法定空白罪状，给予了其他行政法律法规部分违法性的判断职能，模糊了犯罪的认定标准。

因此，在个人信息法律保护实践中出现了追责难的“执行”困局。

四、数字经济时代个人信息保护困境的破解

基于上述对个人信息保护困境形成原因的分析，笔者认为应从完善立法导向出发，加强行政监管这一中间环节、落实侵权追责与刑法维权这一兜底保障，以此塑造数字经济时代下的个人信息综合保护路径。

（一）立法兼具公私属性，以推进个人信息保护的法治进程

我国目前在个人信息保护专项法律制定方面存在两个问题：一是缺乏保护公众个人信息的顶层法律，二是现行的一些保护规则与保护理论带有明显的私法倾向。因此，应采取针对性的立法措施，实现个人信息保护法治道路的尽快竣工。

1.加快立法进程

在着手进行个人信息保护立法工作时，应当充分整合与完善现有的相关规范，将个人信息权划分为一项新型民事复合权，使其性质昭示于众。为了充分适应当前数字经济时代对个人信息利用的需要，应当加快立法步伐，以顶层立法的形式规定个人信息的概念、特点等性质，列明个人信息保护的宗旨、方法、法律责任以及侵权后果等条款。

2.彰显公私属性

在制定了个人信息保护的一般规则后，应针对个人信息的不同流通方向与利用方式制定不同的权益规范。一方面，对于以“利用型”为主要导向的个人信息，应以带有强制属性的行为规范式的公法义务、责任规范加以保护。这既要求个人信息控制主体以正向思维导向去忠实履行信息保护义务，比如自觉建立公开的个人信息收集系统；同时还要求禁止个人信息控制主体滥用其拥有的控制权，对于个人信息控制主体构建“信息孤岛”等行为坚决禁止。另一方面，对于以“控制型”为主要导向的个人信息，则仍以私法保护的方式对其进行赋权保护。通过完善宪法、民事法等既有法规，增添个人信息保护的赋权规范，构建个人信息权利体系。

（二）建立行政监管主导、自律监管配合的多元监管新模式

实现个人信息的公私法兼容保护是一项系统性工程，它需要借助社会各方力量，搭建以行政监管为主导，结合自律监管的一体化多元监管机制。

其一，统筹政府现有相关机构的职能，在此基础上设立一个权责明确、程序规范的专司个人信息保护工作的监管部门。通过设立具体监管部门来加大对个人信息控制主体收集、加工、利用个人信息的监管力度。这项工作的重点是尽快界定数据保护管理机构的法定职责。在数字经济时代，个人信息往往会跨境流动，因此一国很难独立承担信息保护工作，通常需要各国 DPA 之间的合作与协调。［5］因此，在我国的个人信息保护体系中也应明确这一机构的权责、地位，并且在现行制度运行模式下，可由最具履职高效性与专业性的网信部门承担这一重任。

其二，推进个人信息保护的自律监管。一方面，可以设立个人信息保护的行业自律组织，使其成为个人信息保护的第一道防火墙。通过给予这类机构一定自治权限增强对个人信息网络流通渠道各环节的监控管理。另一方面，可以助力个人信息保护的个人信息控制主体自我监管。明确规定企业成立后要在内部设立“个人信息保护行政官”。其主要负责制定企业内部个人信息保护规范，并按照该规范管理企业的个人信息保护状况；根据各企业的具体情况，如果有关个人信息涉及企业运营重大事项，“保护官”则应指出相关问题、提供相关意见，并申请将其纳入企业运营蓝图规划。［6］

（三）划定监管各方权责，搭建一体分层的复合型责任体系

个人信息保护是一项持续周期长、涉及主体多的系统性工程，因此，在建设个人信息保护责任体系的过程中必须综合考量各方变量，构建一个一体分层的复合型责任体系。

其一，就是要对各方主体进行责任分级。信息控制主体是一个大概念，在实践中被细分为信息收集主体、分析主体、加工主体等，这也就导致他们的信息控制职能不同。既然各主体的信息控制职能不同，那么出现个人信息侵权问题时所承担的责任就不同。

其二，在具体问题具体分析理念指导下，对个人信息保护责任进行有序排列、分层配置，搭建一个由民事、行政、刑事三方组成的全面责任体系。信息控制主体所承担的责任类型与惩罚限度应当在坚持谦抑原则的基础上同责任等级一致，以实现罪责相适应与保障人权的兼顾。

（四）构筑刑法维权通道，落实公民个人信息的兜底保护

公众目前面临的许多个人信息权益受损危机已经上升到了侵害刑法法益的程度。在我国刑法视域内，利用互联网侵犯公民个人信息犯罪由于其犯罪边际成本小、边际收益大的特性，已经构成了对数字经济时代个人信息利用制度的巨大威胁。［7］这种网络犯罪方式的特殊性往往给侦查机关主动觉察犯罪行为、积极调取证据，以及最终的定罪量刑带来相当大的难度。

在这种情况下，公民作为直接受害人最有可能，也最有动力在第一时间发现犯罪。因此，构建一条能充分发挥公民力量的公诉与自诉相结合的个人信息刑法维权通道是实现对公民个人信息周延保护的必由之路。

其一，修筑道路，方向为先。这条公诉与自诉结合的保护之路的方向就是刑法内部自身的逻辑性。一方面，针对当下有关侵犯个人信息罪前置性规定不明的情况，国家有关机关可出台专门规定此类罪法律适用问题的相关文件，以此加强部门法之间的协调。另一方面，要明确个人信息采集主体收集和利用个人信息的目的，即在审理个人信息犯罪案件中要根据具体案情判断行为的目的及其关联性。只有嫌疑人收集、利用个人信息的方式、内容等超过刑法规定的限度，才能承担相应的刑事责任。

其二，当下涉及个人信息犯罪自诉案件的相关证明标准的认定仍是秉承着公权力机关为旗帜指引的精神，但是绝大多数公民并不具备提起自诉案件的实力。所以，应当为公民设定一个较低的自诉证明标准。举个例子，可以设置为举证责任倒置规则服务的法定限制条件，搭建出该限制条件下的以个人信息侵权案件的报案为起点、对该案的记录为重点、对案件的合法处理为终点的系统化维权机制。［8］这就能够促使受到侵害的公民在遭遇违法犯罪行为时，可以根据自己收集的证据直接到人民法院启动个人信息犯罪案件的刑事自诉程序。

五、结语

保护公众的个人信息是推动数字经济时代进一步发展的题中应有之义。为了达到充分保障公众个人信息权益，使公众更好地享受时代福利的目标，就应当积极立法以确定个人信息权的地位归属，明晰个人信息保护工作中的责任承担主体。在执法这一中间环节，要成立一个独立的个人信息保护监管部门进行国家干预，制定符合数字经济时代发展要求的个人信息流通环节的国家标准。在司法兜底环节，要积极构筑公民维权的刑法通道。当前的个人信息保护困境只是社会进步过程中的一个“副本”，只要国家能够做到以统领全局、层层递进的方式加强上游立法建设、严控中游监管建设、落实下游司法追责与维权建设，就可以以从容姿态面对数字经济时代带给人类的信息安全挑战，以“良币”驱逐“劣币”，使其成为人类社会的前进动力。