李淮男

(华东政法大学经济法学院 上海 200042)

数字经济的蓬勃发展正在深刻改变国际经济格局[1]，数字化正以不可逆转的态势改变着人类社会的生产生活方式.为顺应时代发展趋势，世界各国都在积极进行数字化转型的实践，提出了许多形态各异、内涵趋同的观点：新加坡提出“智慧国家2025”计划；英国发布了一系列数字化战略政策文件；日本提出“超智能社会”；我国在“十四五”规划中提出，建设数字经济、数字社会、数字政府，以数字化转型整体驱动生产方式、生活方式和治理方式变革[2].我国各大省市纷纷进行数字化转型战略部署：浙江省提出“数字化技术”“数字化思维”和“数字化认知”[3]；上海市提出“整体性转变”“全方位赋能”和“革命性重塑”[4]；深圳市提出“依法治数”“开放用数”和“数字市民”[5]计划；杭州市提出“数字赋能产业变革”和“以数字化改革牵引各领域改革”[6].

虽然数字化转型的概念随着实践不断更新，但从核心特征来看，数字化转型是一个以新兴技术应用为主要内容、以市民为中心、以业务创新为导向、以数字融合为手段、以数据要素为驱动、以生态系统为依托的动态过程[7].数字化转型建立在海量、动态、精确的个人信息基础之上，数字化的转型效率很大程度上取决于个人信息的开发和利用能级，转型质量又与个人信息的保护程度和安全建设息息相关.在《中华人民共和国民法典》(以下简称《民法典》)和《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)相继出台的大背景下，在数字化转型的历史当口，应当抓住机遇，直面挑战，完成个人信息利用与保护的平衡与优化.

1 数字化转型给个人信息利用带来的积极影响

1.1 经济数字化转型挖掘个人信息的创新价值

在数字经济时代，数据成为又一核心生产要素.企业将零散的个人信息集合成大数据，通过比对分析进行产品创新和经营策略变革，带动企业创新能力的提升，加快传统产业数字化转型，实现实体经济与数字化融合发展.人员活动、车辆状态、物品标识等个人信息，与地理空间、生态环境、能源转台、设备运行等数据结合，汇聚成市场与社会的主体大数据，融合统一IT架构、技术应用、前沿科技，助力城市服务创新和发展模式转变，赋能传统行业创新发展，创新能级逐步提升.

1.2 治理数字化转型挖掘个人信息的治理价值

上海城市治理力求“一屏观天下，一网管全城”.执法部门利用公民信息助力决策；司法部门利用讼者信息定纷止争；商业机构凭借用户信息洞悉市场.个人信息让城市治理具有了传统语境下无法企及的数字化能力.新的城市治理范式下，沉睡的数据被激活，个人信息成为城市的新资产和治理力.全闭环、系统性的个人信息采集、共享和应用，推动信息更大范围、更深层次开放，帮助治理者洞察城市运行态势，助力决策者明确城市发展方向.城市治理数字化转型促进公民个人信息治理价值的开发利用，确保政府决策更科学、公共服务更高效、社会治理更精准.

1.3 生活数字化转型挖掘个人信息的文化价值

文化认同是经济发展与社会进步的最终归宿，个人信息的文化价值是否被开发意味着数字化能否真正转型成功.个人信息的文化价值表现在，公民对信息价值的普遍认识、对非敏感信息开放的热情以及信息安全意识.移动支付、在线会议、终端服务等新兴技术改变了人们的生活方式、学习方式和娱乐方式，用户登录、实名认证等操作让个人信息的采集日常化，锻炼了公民的智能设备使用能力，并有助于提高全社会的信息化意识.数字技术带来了巨大的数字红利，有助于激发个人对信息合理开放与利用的热情，倒逼公民对个人信息安全的保障意识和维权意识.

2 我国的个人信息法律保护现状

2.1 个人信息保护方面的法律法规梳理

我国有关个人信息保护的规定散见于法律、行政法规、司法解释、部门规章和行业规定.在法律层面，《民法典》《个人信息保护法》和《中华人民共和国刑法》一同构成了个人信息公私法保护的基本框架，《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国电子商务法》《中华人民共和国消费者权益保护法》《中华人民共和国预防未成年人犯罪法》《中华人民共和国出口管制法》《中华人民共和国未成年人保护法》《中华人民共和国兵役法》《中华人民共和国契税法》《中华人民共和国档案法》《中华人民共和国社会保险法》《中华人民共和国国家情报法》等分别对于不同类型的个人信息保护作出了法律规定.我国与个人信息保护相关的行政法规多达70余件，涉及基础设施、医疗保障、政务服务、社会救助、产品质量监督、税收缴纳、经营许可、诚信建设、风险整治、助学贷款等多个方面.有关司法解释多达百余件，较为典型的是最高人民法院发布的有关使用人脸识别技术处理个人信息的司法解释和最高人民法院和最高人民检察院一同发布的侵犯公民个人信息刑事案件的司法解释.部门规章多达千余件，所规制的信息主体涉及未成年人、学生、互联网用户、寄递服务用户等.个人信息处理者行业涉及互联网、邮政服务、征信、医疗保障、证券期货、保险代理等众多种类.此外，中华全国律师协会、中国互联网协会、支付清算协会、银行业协会、证券业协会等行业协会作出的有关本行业个人信息保护的规定多达300余件.

2.2 个人信息法律保护的现状分析

随着《个人信息保护法》的出台，我国对个人信息的法律保护逐渐细致，趋于完善.从现有的法律规定来看，个人对其自身信息的处理具有知情权、决定权、查询权、限制权、拒绝权、查阅权、复制权、更正权、补充权、删除权、解释说明权.同时，信息主体拥有个人信息可携带权，有权将个人信息转移给其他信息处理者.信息处理者在处理个人信息时，应当遵循合法、正当、必要和诚信原则，符合透明原则、正当目的原则和比例原则.个人信息处理者合法处理个人信息需要满足分类管理、采取安全技术措施、进行安全教育培训、制定应急预案、制定管理制度和操作规程等要求，具有一定流量和规模的个人信息处理者应承担特殊的保护义务.同时，法律对敏感个人信息和未成年人信息加强保护，敏感个人信息和未成年人信息处理的同意条件和处理规则较一般个人信息处理更为严格.在数字化时代，法律对国家机关的个人信息处理行为也加强了规范，要求国家机关处理个人信息的行为不得超过履职范围，并遵守区别于一般处理者的“告知同意”要求和信息存储要求，以协调行政权力和个人私权之间的关系.此外，个人信息侵权的法律救济也倾向于“信息主体友好型”，采取行政、刑事、民事责任相结合的方式为信息主体提供保护，并明确了侵权人的过错推定责任和赔偿范围.通过上述分析可以看出，我国的个人信息法律保护日臻成熟，保护内容逐渐扩张，保护措施有所细化，保护手段更加丰富.但不可否认，与数字化转型的时代挑战相比，我国的个人信息保护仍存在着不少缺陷.

3 数字化转型给个人信息利用与保护带来的挑战

3.1 对界定个人信息保护范围的挑战

传统意义上的隐私保护范围已经无法满足数字化转型时代的保护要求，“个人信息”的概念开始得到关注.根据《民法典》第1032条的规定，隐私是“自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息”.伴随着第4次工业革命走向纵深，人工智能、大数据影响着城市治理的方方面面，新兴技术让私人空间与公共空间的界限逐渐淡化，数字化的经济、生活和治理模式带来了弱识别性信息和强识别性信息，个人信息的自主控制受到公共利益的冲击，隐私的保护范围已经无法满足城市治理的需求.《民法典》第1034条将“个人信息”定义为可识别特定自然人的信息，《个人信息保护法》第4条在此基础上增加了“与自然人有关”这一条件，排除了“匿名化”的情况.《民法典》第1034条和《网络安全法》第76条详细列举了个人信息的种类，包括自然人姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等.由此可见，个人信息的保护范围比隐私更加宽泛.

与此同时，个人信息的保护范围需要从个别零散信息扩大到信息生态系统.数字化转型依托大数据技术，大数据的特点可被概括为“大数量”“多类型”“高处理速度”和“价值密度低”[8]4点.因此，收集来的个人信息不再是零散的、分散的，而是海量的、动态的、精确的.数字技术在全面数字化转型中的应用不是单一技术要素的应用，而是整体技术体系的构建，因此作为基础性生产资料的个人信息也应当向动态平衡的方向转变.信息生态系统与自然界生态链类似，随着营养层级递增，信息流逐级减少，底层信息经过采集、传输、加工、再生提炼为知识等稀缺资源；相反，随着信息层级降低，信息流变得充裕.个人信息生态系统是各个领域个人信息的整合，企业、政府与个人之间信息互通，共同组成了庞大复杂的信息生态系统.

3.2 对平衡个人信息利用与保护的挑战

数字化转型依托数据的开发与利用，带来了个人信息的利用与保护之争.政府和信息从业者对个人信息有利用需求，信息主体对个人信息有保护的权利，何者优先，争论的背后在于人格尊严与信息自由的优先性排序.自然法学派的观点认为，人格尊严较之信息自由应当被优先考虑.数字化转型贯彻以人为本的思想，人格尊严是人之为人的根本，“人不是任何人的工具，而是自身的目的”[9].信息自由通常被用来辅助发展与治理，属于工具.按照哈耶克的理论，目的优先于工具[10].人格尊严同信息自由的博弈事关公平与效率的位阶排序.无论是新自然法学派抑或是新制度经济学派都认为，公平乃效率之前提，只有在确保公平正义之后方能实现效率.从社会法学派的发展眼光来看，尊严与自由、保护与利用是循序渐进的发展过程，先有保护“个体利益”的众意社会，再有维护“公共利益”的公益社会[11].个体利益保护是众意社会的特征，公共利益满足是公益社会实现的基础，二者虽有先后，却不可偏废.从社会资源配置的效能安排来看，分配正义指导个人信息安全保障，交换正义需要信息的自由流通，2种正义均为高效配置社会资源所必需.个人信息的保护与利用并非完全此消彼长的关系，也不是一个无法破解的“死结”，数字化转型为达成个人信息利用与保护的最大公约数提出挑战.

3.3 对优化个人信息治理机制的挑战

在数字化转型时代，个人信息全闭环、系统性采集，大范围、深层次开放共享，一部统筹、各部分别监管，各方面情形交织、错综复杂，必须探索个人信息治理的新路径和新机制.数据红利对个人信息处理者有很强的利用激励，企业在实施数字化转型的过程中，为分析用户行为、预判市场风向，大量收集、存储、加工个人信息，个人信息安全隐患随之而来.曾被曝光的科勒卫浴收集顾客人脸信息、手机SDK插件窃取用户隐私，“滴滴出行”因违法违规收集使用个人信息被下架等事件，根源都在于个人信息处理者的内部防范机制存在疏漏，未尽到安全保障义务.个人信息保护相关规范的制定和出台给了个人信息处理者一定的保护激励，激励有关主体完善内部治理结构，健全风险防范机制，接受第三方组织的定期或不定期的检查评估.若个人信息处理者对个人信息保护不当，就既可能面临纷繁复杂的经济索赔，又可能面临警告、罚款、没收违法所得、暂停相关业务、停业整顿、吊销业务许可证或营业执照等行政处罚，负责人和直接责任人员面临罚款或一定期限内禁止担任类似职务的处罚.尽管如此，仍存在着2大问题：一是多部门监管存在不协调，监管规则繁复冗杂，压缩了个人信息处理者的自主调控空间，导致其疲于应对合规检查，个人信息保护流于形式；二是监管者与个人信息处理者信息不对称，个人信息治理不科学或存在问题，一些看似严厉的监管政策面临执行困境，甚至成为抑制创新的因素.故而，个人信息治理机制需要“弃堵从疏”，摒弃传统的命令控制式模式，走向激励相容的优化之道.

4 我国个人信息利用与保护的完善措施思考

4.1 事前的规则设计：赋权个人信息，构建以权能为核心的个人信息权利体系

相较于《民法典》，《个人信息保护法》扩大了个人信息的保护范围，在敏感个人信息的类型上增加列举了宗教信仰、特定身份、金融账户、不满14周岁的未成年人信息等几项，并规定了死者个人信息的保护.与此同时，《个人信息保护法》还在第4章规定了个人在信息处理活动中的知情权、决定权、限制或拒绝权、查询复制权、更正补充权、删除权、解释说明权、个人信息可携带权等权利.但《民法典》和《个人信息保护法》均将个人信息保护停留在权益保护层面：《民法典》第5章标题未采用“个人信息权”的表述，《个人信息保护法》头2条均表述为“个人信息权益”.在《民法典》的人格权编审议过程中曾一度以“隐私权和个人信息权”作为章标题，但《民法典》的最终表述为“隐私权和个人信息保护”.《个人信息保护法》从审议稿到正式文本都将个人信息的法律地位表述为“个人信息权益”，而第4章标题为“个人在个人信息处理活动中的权利”，这不免造成个人信息法律地位理解上的混乱.为解决上述前提性和根本性问题，应当赋予个人信息超越法益的法律地位，为个人信息赋权.

个人信息之上应当成立以知情权、决定权、查询复制权、更正补充权、删除权、解释说明权等权能为核心内容的人格权，还是由多项权利组成的权利束，涉及权利与权能的区分标准.权能是依附于权利而生的一种效力，不具有单独转让的独立性.而信息主体对个人信息的知情权、决定权、查询复制权、更正补充权、删除权均依附于个人信息而产生，不能够单独转让或消灭，这些“权”实为“权能”.由此出发，个人信息保护应当构建以权能为核心的个人信息权利体系.

4.2 事中的治理机制：优化内部治理规则，强化外部执法效果

《个人信息保护法》已经在个人信息的处理原则、收集条件、法律后果等方面作出规则设计，但立法“宜粗不宜细”，个人信息利用与保护的平衡完善还需要激励相容的个人信息治理制度体系，有赖于切实有效的内部治理规则和立竿见影的外部执法效果.在内部治理层面，个人信息处理者可以从4方面提高信息安全防范：第一，任命个人信息保护负责人；第二，设立专门机构配合个人信息保护负责人开展工作，建立个人信息保护组织体系；第三，成立主要由外部人员组成的独立的监督机构；第四，推进业务与合规的融合，将个人信息保护的理念嵌入产品研发与创新的过程中.在外部执法层面，一是加强各部门监管联动.对于各自职责范围内的工作不得推诿，对于不属于自身监管范围内的事项应及时转给其他部门，避免个人信息监管真空和监管重复.此外，各部门应公布方便且有效的公民投诉渠道，受理个人信息类投诉案件，并且明确受理期限，在期限内给予有效的解决方案及救济措施.对于因受理不及时导致公民进一步遭受损失的，明确政府部门应承担的法律责任.二是适当将外部执法压力转移至内部，例如，信息处理者向第三方共享其合法控制的个人信息，应保证第三方能够履行同等个人信息法律保护义务，否则将追究其责任.总之，个人信息治理的优化需要循序渐进，由表及里，发挥内外互动合力，以求做到激励相容，实现立法目标.

4.3 事后的司法救济：分情况调整过错认定标准，要素式确定损害赔偿范围

《个人信息保护法》对于个人信息侵权案件一律适用过错推定原则，损害赔偿范围按照损失和获利分别确定.但过错认定标准向来存在争议，且个人信息由于私密程度、影响范围不同，在风险发生后对用户个人的影响程度存在明显差异，假如对个人信息侵权一律应用相同的过错认定标准，会在一定程度上造成个人信息保护机制的失效.因此，应当允许在衡量双方的利益状况后适当调整过错认定标准，个别情况甚至可以适用更严格的归责原则.第一，为公共利益或紧急情况处理个人信息时，虽然无需取得个人同意，但仍应满足必要性原则和比例原则.在必要性和合理范围有争议的情况下，法官应当倾向于认定个人信息处理者存在过错.第二，敏感个人信息侵权适用无过错责任.加重敏感个人信息收集者的责任，既可以倒逼个人信息处理者在处理敏感信息时提高自身注意义务，又可以有效避免敏感信息主体因举证不能而难以得到救济.即使一律适用过错推定原则，敏感个人信息侵权案件的过错认定标准也应当更加严格，譬如证明信息主体单独同意、书面同意、全面告知的证据不充足时，应认定为信息处理者存在过错.

个人信息侵权案件发生后，受害人的损失通常不明显、不即时且不方便量化.因此，在确定损害赔偿范围时，可以结合个案特征综合判断.具体而言，有以下几种影响因素：第一，个人信息处理者的专业性.例如，大型互联网平台作为专业的“守门人”，有专业的技术支持，且其掌握的用户个人信息过多，负有更高的注意义务，发生侵权应承担更多的赔偿责任.第二，信息主体的社会公众性.若非公众人物的社会地位、个人声誉、职业身份之需要，且非属公众合理兴趣范围，公众人物的个人信息应当得到与普通公民个人信息同等程度的保护.第三，信息侵权的严重程度和影响范围.侵权行为越严重影响范围越大，损失就越大.严重程度和影响范围可以根据信息点击率、案涉人数、持续时间等来判断.第四，信息的私密程度.相比一般个人信息，侵害个人敏感信息，受害人的损失更大，赔偿数额应当更高.上述4点因素构成个人信息侵权损害赔偿范围的多元计算标准，法官可以综合考量这4点因素确定损害赔偿范围.

5 结束语

在数字化转型时代，随着个人信息价值的不断提高，个人信息的安全风险也与日俱增.相较于从前的隐私安全，数字化转型时代的个人信息安全呈现出复杂性、动态性、生态性和不易捕捉性的特点.数字化转型为个人信息保护范围的界定、利用与保护的平衡、治理机制的探索优化都提出了挑战.目前我国已经制定出有关个人信息的基本法律规范，需要在此基础上构建以权能为核心的个人信息权利体系，同时将规则设计落实成弃堵从疏、激励相容的个人信息治理机制，并在司法实践中完善过错认定和损害赔偿标准.