数字经济时代背景下的个人信息安全保障探析

2023-12-18李君妍

市场周刊 2023年11期

李君妍

(青岛科技大学法学院，山东青岛 266011)

0 引言

数字经济在国家层面被摆到了前所未有的高度，数据信息自身特性与企业、社会的逐利性，都在导致数据产权化、货币化，引发信息安全等现实问题。个人信息安全保护缺位、监管执行无力迟缓、平台侵权频发、个人敏感信息“脱敏难”等现实情况都在提醒着我们，数字经济的发展与个人信息保护本就不应是非此即彼的选择。

尝试对上述公众面临的个人信息安全问题进行讨论分析，出发点是使公众在享受数字经济时代发展红利的同时，能最大限度地规避风险、保护个人信息权益，警惕因个人信息不正当使用而可能引发的纠纷；从立法、行政、司法、守法等层面探索个人信息收集、利用的合理化途径；更好解决现行部门法的先天不足、后天失调问题。

1 数字经济时代个人信息法律属性的认定

个人信息风险层级化保护的基础落脚在个人信息的法律属性界定上[1]，信息技术变革、信息资源共享，以及数据再识别再利用已使得个人身份可识别信息的范围不断扩大，法律规制、保护边界日益模糊，准确界定个人信息的保护范围面临诸多桎梏。划清个人信息安全“警戒线”的范围是破解侵权难题的题中应有之义。

欧盟《一般数据保护条例》第4 条对个人数据进行了定义:“‘个人数据’指任何已识别或可识别的自然人相关的信息；可识别的自然人是能够被直接或间接识别的个体，特别是通过诸如姓名、ID 号、位置数据或与该自然人的身体、生理、经济、文化或社会身份有关的一或多个因素。” 2018 年，我国实施的《信息安全技术个人信息安全规范》对个人信息进行了更加详细的规定:“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等[2]。”

通过上述分析可以看出，欧盟与我国关于个人信息概念的界定基本一致，在学理上同样采取了“识别说”定义。2017 年，最高法、最高检《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中增加了“反映特定自然人活动情况”的描述，也基本是在“识别说”的框架下。

传统民法理论认为，个人信息应是人格权的一部分，而在数字经济时代中，个人信息被大规模商业使用，附加了更多财产属性。个人信息究竟属于人格权还是财产权，存在广泛争议，对其属性的界定可以起到一定指导个人信息保护立法的作用。

2 数字经济时代个人信息安全面临的典型风险

数据信息中潜藏的巨大经济价值已使得政府、企业走在了对个人信息迫切追逐的道路上。作为一种符号系统的个人信息在数据收集和处理技术的发展之下，个人信息大都已经被一定载体固化，对其的收集和处理也愈发高效。这同时也面临着更大的泄露与滥用风险。下文选取了其中较为直观、主流的三种风险来进行说明。

2.1 个人信息过度收集屡禁不止

日常发生有关机构超出所办理业务的范围与需要，收集非必要甚至毫无关联的个人信息，如在办理会员卡时，要求客户提供家庭住址、身份证号码、工作单位等信息。

最普遍的例子便是当我们使用社交账号登录由第三方提供服务的网站时，第三方网站除了要求提供社交工具账号，还会要求信息主体提供头像、分享动态等与其提供的服务并不相关的个人信息；很多应用软件都在实时收集个人定位、通讯录名单等信息，而很多软件收集的个人信息与其提供的服务并无关联性。

2.2 擅自披露个人信息现状严峻

伴随着个人信息的流动与社会化利用，出现了严重的滥用个人信息与随意泄露的情况。个人信息作为个人隐私的关键组成部分，自然体现着隐私权的内涵。

然而在生活中，我们经常接到的各种骚扰电话，如购房后接到房屋装修公司的电话，买车后接到车辆保险公司的电话等，且对方能准确说出自己的姓名等信息。此外，部分公民曾经在一些网站、媒体或其他载体上发现其个人信息被擅自公开，甚至出现个人信息被冒用的情况。信息使用应该有边界意识，不能无下限。由此可见，个人信息使用同样应当严格遵守“比例性”原则。

2.3 个人信息非法买卖日益猖獗

随着互联网的飞速发展，倒卖个人信息案件趋多，整套成熟的产业链也逐渐展现。尽管近几年国家相关部门意识到倒卖信息黑、灰产越来越严重，对非法倒卖个人信息的打击力度也越来越大，但依然难挡相关犯罪。

除了商业行为，也不乏一些不法分子拿到个人信息资料后，进行网络、电信诈骗。详细的个人信息往往会帮助犯罪分子实施更为精准的诈骗犯罪。例如，2016 年的徐玉玉案，就是诈骗团伙购买了许多高中毕业生资料，并锁定了徐玉玉。诈骗人员在电话中能准确地说出徐玉玉和其父母的名字、所在的学校，才骗得徐玉玉的信任，终而酿成惨剧。

此外，在互联网的深水之下，还存在一个充斥着大量违法信息、负面信息的神秘暗网。“暗网”上交易的公民个人信息非常广泛，且极其隐蔽、缺少监管。2020 年以来，上海、江苏、广东等地检察机关连续办理了多起利用“暗网”非法买卖公民个人信息的案件[3]。最高院、最高检、公安部高度关注，个人信息非法买卖日益猖獗，预防打击刻不容缓。

3 数字经济时代个人信息安全风险频发的原因

在数据俨然进化为一种生产要素的时代，其自身的特性与企业、社会的逐利性，都在导致数据产权化、货币化，法制不健全、救济和监督机制不完善已经成为个人信息安全风险频发不能得到有效遏制的主因。

3.1 个人信息商品化衍生资本逐利性等负面影响

信息时代，由于人们管理和分析数据的容量和精度需求不断扩大，大数据技术也应运而生。在大数据环境下，个人信息也有了信息量大、信息多样化、信息整体价值量高等特点。个人信息的变现形式逐渐多样，根据个人信息这一要素产生了“黑、灰、白”产业链。黑色产业窃取用户账户密码、网银等信息，或利用手机App 病毒植入手段来获利，危害最大、更复杂。灰色产业危害较之略小，通过用户不知情或信息不对称来获得非短期直接盈利。个人信息商品化意味着存在简单粗暴的盈利方式。

3.2 个人信息相关法律体系亟待健全

当前个人信息保护尚未存在专项立法，尽管数量上看似形成可观的规模，但浮现出的是法律体系不完善、制度不健全；法律法规分布碎片化、分散化；法律条文内容抽象，实操性差等特点。在一定程度上既浪费司法资源，又增加执法难度。

目前来看，在个人信息的法律保护方面:缺乏完整统一、更为适配的法律应用体系；具体法条内容缺乏力度，涉及责任、惩戒措施不痛不痒；操作起来易产生分歧、争议；法律条文多体现为间接保护，缺少直接保护。

综上所述，个人信息安全立法现状不利于新型社会治理与维稳。随着手机、互联网的普及，需要更健全更具有可操作性且与时俱进的个人信息保护法。

3.3 政府行政部门监管缺位与行业自律失衡

我国目前尚未设立一个专门且独立的机构负责个人信息监督与管理，职能划分笼统模糊，产生问题时容易出现权责不清、效率低下的现象。

3.3.1 政府行政信息公开制度不足

个人信息在与政府的关联性方面最直接体现在行政信息公开制度上。现行行政立法缺乏对个人信息的保护，个人信息存在被过度收集且随便使用、披露的现象。当政府行政权力滥用侵害公民合法权益时，公权力往往处于较为强势的地位，此时暴露出公民在救济方面的弱势。

3.3.2 个人信息保护行业自律机制亟待完善

一个行业要实现良性发展，就必须建立自己的行业规则，在一个语境下自律共治是企业、行业发展壮大的有效途径。然而行业自律有其天然的脆弱性，商业的趋利性会加速暴露自律机制的弱点。立法与司法无法实现全方位监管行业行为，利用行业自律机制的灵活性，从而发挥多元治理功效。

以美国隐私保护行业自律机制为例，行业自律机制的发展在客观上能够弥补政府监管能力的不足，对我国建设个人信息行业自律机制提供了诸多经验。

3.4 个人信息安全存在实践性救济障碍

个人信息犯罪成本低、维权成本高，行政法、刑法打击力度不足，民事救济欠缺有效手段，难以起到震慑作用，促使犯罪分子铤而走险。我国目前在出现个人信息安全事件时，被侵权人无法得到应得的实质损害赔偿，甚至连停止侵害、排除妨害这样基础的权利也无法有效保障。

个人信息案件常常出现证明困难、调查取证受阻、追责机制不完善、因果关系不明等“伸冤”难题，阻碍被侵权人寻求救济。隐私政策存在应用困境，相关法律法规实践性执行障碍需要解决，更需打造高效的个人信息安全救济手段。

4 数字经济时代个人信息安全基础制度建设的完善与突破

通过《电信和互联网用户个人信息保护规定》《中华人民共和国网络安全法》以及金融、医疗、交通等领域的行业性规定，逐步确立了个人信息保护的原则、一般规则等要素，《中华人民共和国个人信息保护法》系统性地融合了过去的制度经验，也借鉴了国外的先进做法，基本完成了我国个人信息保护的基础制度建设。即便如此，我国个人信息保护体系仍有诸多亟须完善与突破之处。

4.1 应当发挥刑法兜底保护的必要性

信息犯罪逐年递增，侵害程度从一般民事侵权上升至严重刑事犯罪，立法应将严重侵害个人信息、危害社会公共秩序的行为犯罪化，发挥《刑法》在保护个人信息安全中的规制、保护、保障机能。

信息侵权行为隐秘，导致取证调查与刑事侦查困难，难以判断侵害发生的具体时间，甚至被侵权人既不知道犯罪人，也不知晓犯罪源头。互联网的介入会增加司法取证、侦查难度。笔者思考通过以下途径来突破完善。

4.1.1 设立个人信息犯罪罪名体系，增加刑事罪名数目

《刑法修正案七》首次将特征主体的个人信息保护写入刑法，规定了“非法获取公民个人信息罪”，2015 年《刑法修正案九》将其变更为“侵犯公民个人信息罪”，并把犯罪主体由特殊主体扩展至普通主体，最高法定刑由3 年升至7 年，明显加大打击力度。但仅出台两条刑法修正案是远远不够的，建议单列一章来规定侵害公民个人信息的罪名，实现信息犯罪全方位有法可依。

4.1.2 扩大犯罪主体范围

公民个人信息保护的客体、主体规定存在局限性，应适度扩大其范围。时代发展，各种行业种类层出，除了法条规定的常见国家机关、金融、教育、医疗、交通领域，还有诸多难以穷尽列举的信息侵权主体，如酒店、互联网公司、物业、房地产公司等工作人员在履行职责或者提供服务过程中极易获得公民个人信息，因此有对之加以处罚的必要[4]。

4.2 立法应公私并重、综合立体，着力解决个人信息保护立法需求的迫切性

我国目前个人信息保护立法体系存在两项突出问题，一方面是缺乏独立、完备、条理清晰的个人信息保护专项立法，另一方面是现行立法理论与法律实践带有显著的私法倾向。

加速个人信息立法，党的十九届四中全会强调，要推进数字政府建设，增强数据有序共享，依法保护个人信息[5]。为适应数字经济快速发展，应尽快出台完备、符合国情的专项个人信息法。

现行立法规范显示，“过度保护”与“保护不足”是个人信息权益化面临的两难境地。个人信息内涵的复杂性将保护路径区分为“法益”与“权利”。“法益”范畴内的个人信息定义包含着涉及面更广的社会公共利益，个人信息保护性规定中引入公法领域相关规定，可以加强法律适用的适配度。而“权利”本质是具体人格权利益，即自然人自主支配的绝对“自治权”，突出体现对信息的控制权[3]。鉴于隐私权由“私域溢出”到“公域延伸”的发展态势，立法应努力实现公私法在个人信息保护领域的有效衔接[6]。

4.3 个人信息保护专门机构与行政信息公开制度的关系之厘定

仅寄托于私力救济来解决个人信息保护问题成本太高，违法行为并不会得到合理规制。因此我国应进一步细化相关行政法律制度、建立严格的个人信息行政保障机制和完善相关的行政监督与救济[7]。首先，在现有保护个人信息行政体系基础上，统筹规划成立一个权责明确、程序规范的专门行政机构来做监管。加强对行政主体收集、处理、利用个人信息这一行政事实行为的监管力度，建立健全个人信息行政保护相关配套制度[8]。

其次，着力弥补我国行政公开在个人信息保护方面存在的诸多不足。“仅就政府机关而言，个人信息保护与政府信息公开在许多情况下实际上是同一个问题的两个方面[9]。”完善框架性内容下的制度细节，遵循比例原则，全面衡量公益与私益，通过统一行政监管部门与个人信息保护制度革新，使得未来的个人信息保护法与行政信息公开制度有更好的衔接。