吳翔宇，陳 莉

（1.西南科技大學 法學院， 四川 綿陽 621000； 2.廣漢市人民檢察院， 四川 廣漢 618300）

近些年來，信息技術緊跟社會發(fā)展的腳步更新?lián)Q代的速度日益加快，與此同時，也將人類社會推進到了以信息數(shù)字化為內(nèi)核、以信息傳遞網(wǎng)絡化為方式的數(shù)字經(jīng)濟時代。在這一時代背景下，“信息”成為生產(chǎn)要素家族的重要一員，更是推動當前數(shù)字經(jīng)濟時代企業(yè)盈利可持續(xù)、成長可持續(xù)、社會財富增長可持續(xù)的強大動力。但是猶如硬幣具有正反兩面一樣，“信息”在為公眾帶來生活福利的同時，也產(chǎn)生了個人信息被侵犯、網(wǎng)絡信息犯罪頻發(fā)等信息倫理問題。每個人在享受社會信息福利的同時也身處個人信息被隨意侵害的倫理囹圄中，公眾在數(shù)字經(jīng)濟時代就仿佛置身于“X光”照射之下無處遁形。

因此，為了探索個人信息的保護路徑，應當首先展開對我國當下個人信息保護工作的困境分析。從立法、執(zhí)法、司法三個層面探索保護公民個人信息的途徑，促成信息所有者和信息控制者的雙贏。

一、數(shù)字經(jīng)濟時代個人信息權法律屬性的界定

對個人信息進行一個明確的定義是推動其適應當前數(shù)字社會發(fā)展的應有之義，也是探索如何保護個人信息權的前提。如何明確對個人信息進行定義是一直存在爭議的問題，當今學術界和法律實務界采用的是概括加列舉的闡述方式。2018年實施的國家標準《信息安全技術個人信息安全規(guī)范》對個人信息的定義，相較以往明確增加了互聯(lián)網(wǎng)用戶在網(wǎng)絡上的通信記錄等內(nèi)容，符合當前數(shù)字經(jīng)濟時代個人信息轉(zhuǎn)向網(wǎng)絡數(shù)據(jù)化、虛擬化的發(fā)展潮流。

個人信息是個人社會生活不可或缺的一部分，明確個人信息權的權利性質(zhì)是法律規(guī)范社會生活的邏輯鏈條上的合理一環(huán)。

就目前來看，關于個人信息權的法律屬性界定，學術界和法律界普遍認可“憲法人權說”“人格權說”“隱私權說”“財產(chǎn)說”“復合權利說”這五種理論。結合我國當今國情，第五種理論應當是最具合理性的。因為同其他四種觀點相比，“復合權利說”一方面囊括了個人信息權的人身與財產(chǎn)屬性，更具周延性；另一方面，主張將個人信息權作為一項新型民事權利單獨立法保護，能夠極大地提高司法適用性，更好地保護公民個人信息權利。

也正是在理論界與實務界的不斷呼吁與推動下，公眾個人信息終于進入頂層法律的規(guī)制視野。2020年通過的《中華人民共和國民法典》在總則編第111條中明確了個人信息權這一民事權利的重要地位，它為本次《民法典》的編纂增添了一抹亮色。但是美中不足的是，《民法典》缺乏對個人信息的概念、侵權標準、保護標準等基本性內(nèi)容的規(guī)定，尤其是沒有對個人信息權這一概念做出一個明確的界定，直接誘發(fā)了個人信息保護的困境。

二、數(shù)字經(jīng)濟時代個人信息保護困境的表現(xiàn)

數(shù)字經(jīng)濟時代背景下具有資金優(yōu)勢的企業(yè)等個人信息控制者利用集中式與分布式兩大數(shù)據(jù)計算與處理技術，對獲取的海量個人信息數(shù)據(jù)進行“程序性運作”，繼而將運作結果投入市場運營。企業(yè)之所以如此，就是因為這些信息經(jīng)過運作后產(chǎn)生了價值增值。［1］但是這些數(shù)據(jù)卻成為個人信息侵權以及犯罪的客體。筆者通過翻閱我國近些年來出現(xiàn)的個人信息侵權案件及相關文獻資料，發(fā)現(xiàn)我國數(shù)字經(jīng)濟時代背景下的個人信息保護面臨四大困境：

（一）“知情同意”機制失靈：個人信息被非法收集

“知情同意”的表現(xiàn)形式是指由處于信息收集時段的個人信息收集者向用戶出具“用戶許可協(xié)議”［2］，用戶繼而勾選“許可”選項。傳統(tǒng)個人信息保護領域的“知情同意”機制主張：個人信息利用主體獲取特定或不特定主體個人信息應取得信息法定權利人的明確授權同意，并且負有特定情形下的限期刪除義務。在實際應用過程中，許多用戶由于高度依賴該產(chǎn)品，往往直接跳過“用戶許可協(xié)議”的閱讀環(huán)節(jié)，導致信息權利主體并不了解其同意被收集的信息最終被利用于何時何處，“知情同意”機制即宣告失靈。近日，“滴滴出行”APP因嚴重違法違規(guī)收集使用個人信息被國家互聯(lián)網(wǎng)信息辦公室依法下架并要求整改的事件，就是公眾個人信息被非法收集的典型案例。

（二）“秘不外宣”原則失效：個人信息被非法披露

在實踐中，許多網(wǎng)絡運營商在沒有取得法律授權以及信息所有者本人明確同意的前提下，通過數(shù)字經(jīng)濟技術調(diào)取其用戶甚至是社會公眾的個人信息，繼而將其擅自提供給第三方以謀取利益。它在外觀表現(xiàn)為各種平臺故意將以購房、購車情況為代表的諸多關乎個人生活質(zhì)量的敏感信息傳遞給信息需求方，導致客戶在日常生活中經(jīng)常出現(xiàn)莫名接到購房、購車電話或者收到相關短信等情況。個人信息并非法外之物，未經(jīng)授權就披露的行為違反了在人類現(xiàn)代商事活動中通行的“秘不外宣”原則，即合同雙方都應當做到嚴守自己知悉的涉及對方經(jīng)營等方面的商業(yè)秘密（信息）。

（三）“利益平衡”理念幻滅：個人信息被非法利用

當掌握云計算技術的信息控制主體通過計算獲取了個人信息后，一般會進行二次分析處理，繼而將其賣給有需求的第三方，比如商品銷售者。這些商品銷售者通過這些被精密分析過的個人信息，就會向用戶推銷他們想要的產(chǎn)品，也就是所謂的“投其所好”。這大大節(jié)省了商品銷售者去搜集買家購物意愿的成本。商品銷售者在極大降低自身宣傳成本的同時提高了銷售收益，但是付出了個人信息的信息所有者卻一無所獲，甚至被侵犯了個人權利。這便構成了嚴重的利益失衡，導致個人信息遭遇被非法利用的窘?jīng)r。

（四）“空間犯罪”界限破碎：個人信息淪為網(wǎng)絡犯罪的重要客體

隨著大數(shù)據(jù)技術、人工智能技術與網(wǎng)絡的不斷深入結合，網(wǎng)絡空間與現(xiàn)實空間的界限被逐漸打破，網(wǎng)絡空間同樣成為犯罪頻發(fā)的獨立社會空間。眾多企業(yè)通過數(shù)據(jù)分析技術篩選出海量個人信息，這些信息被匯集起來后產(chǎn)生的“價值屬性”同獨立、難監(jiān)測的網(wǎng)絡空間相遇時，就產(chǎn)生了大量利用互聯(lián)網(wǎng)侵犯公民個人信息犯罪的案件。通過在中國裁判文書網(wǎng)檢索，僅2015年11月至2021年5月這五年半的時間內(nèi)，就有9363份關于侵犯公民個人信息犯罪案件的判決書，其中包括利用非法手段獲取的公眾個人信息實施敲詐勒索犯罪等多種犯罪形式。越來越多的數(shù)據(jù)表明，個人信息已經(jīng)成為網(wǎng)絡犯罪的重要客體。

三、數(shù)字經(jīng)濟時代個人信息保護困境的原因

數(shù)字經(jīng)濟時代個人信息侵權問題突出的實質(zhì)在于公眾對于個人信息的認知與承載水平遠遠滯后于信息數(shù)據(jù)分析處理技術的發(fā)展水平，表征為傳統(tǒng)個人信息保護體系遠遠滯后于數(shù)字經(jīng)濟時代信息安全新形勢，使得個人信息保護在道德、法律、監(jiān)管、追責四大領域出現(xiàn)漏洞。

（一）個人信息利用產(chǎn)生的超額利益驅(qū)使相關主體突破道德底線

一般來說，商業(yè)領域中的單一個人信息是不具備經(jīng)濟價值的，只有將海量的個人信息匯聚在一起形成所謂的數(shù)字經(jīng)濟，并對其進行綜合分析形成“二次數(shù)據(jù)”，才會產(chǎn)生經(jīng)濟價值。這時，這些數(shù)據(jù)的控制者可以高價將其出售給有需求的第三方，而與其高額經(jīng)濟收益形成鮮明對比的是這些數(shù)據(jù)收集成本的低廉性。原本的信息控制主體在巨大利益的驅(qū)使下，置法律風險于不顧，肆意出售自有的公眾個人信息，從而獲取了超額利潤。

（二）個人信息保護法律體系中具有偏重私法保護的時代局限性

目前學界盛行的四種個人信息私法保護理論有一個共性：個人信息權與私主體的“寄生物與宿主”關系本質(zhì)沒有變，信息主體控制個人信息的賦權愿景依然存在。［3］個人信息私法保護理論確實對我國的個人信息保護工作做出了貢獻，但它終究囿于傳統(tǒng)個人信息保護的桎梏，同當今時代的新客觀情勢、新規(guī)范要求、新發(fā)展方向相脫節(jié)。

1.落后的控制理念

當今的數(shù)字經(jīng)濟時代背景下，個人信息與個人信息所有者之間的聯(lián)系極為緊密，二者之間的緊密聯(lián)系，進一步加固了個人信息私法保護理論的根基，使得封鎖個人信息同保護個人權益劃上了等號。為了將個人信息置于一個“看得見”的“安全區(qū)”，私法保護理論倡導信息所有者以及經(jīng)過授權的信息控制者非遇到法定或必要事由不得將個人信息流入公共空間，即個人信息的共享受到了實質(zhì)意義上的嚴格限制。在如今的數(shù)字經(jīng)濟時代，信息只有實現(xiàn)了在區(qū)域間、主體間的自由流通，才能具有商業(yè)價值，單純地實現(xiàn)信息所有者對個人信息的絕對控制，反而是一種浪費社會資源的行為。這就導致了個人信息所有者和個人信息控制者之間的矛盾。

2.有限的實踐指引

個人信息私法保護理論的另一缺陷在于：在當前個人信息共享成為一種不可阻擋的時代發(fā)展趨勢的前提下，未能對個人信息進行有效保護。以私法保護的方式來降低個人信息侵權帶來的損害，產(chǎn)生兩個問題：一是付出巨大的制度設計成本，占用難以計數(shù)的社會資源。二是詳實周密的私法保護反而會限制個人信息的流通。在如今的數(shù)字經(jīng)濟時代，新一代算法技術的運用提高了個人信息的傳播速度，也催生出了大量的侵權事件。當個人信息價值的日益顯現(xiàn)遭遇個人信息傳播渠道的日益增多，其結果只能是個人信息泄露危機的與日俱增，純粹的私法救濟往往難以為繼。［4］因此，當前的個人信息私法保護理論只能對個人信息保護提供一些方向性的、原則性的方法指引，并不能應對要素多元、情勢復雜的市場環(huán)境。

（三）個人信息保護運行系統(tǒng)出現(xiàn)國家行政監(jiān)管部門缺位的漏洞

我國一直缺乏一個由國務院統(tǒng)一領導、地方省市機關輔助執(zhí)行的，負責個人信息保護與監(jiān)管的獨立行政部門。與此同時，我國現(xiàn)有的承擔個人信息保護職責的行政機關存在職能分工與權責歸屬不明確的弊病。在機構運行方面，各有關行政部門大都各自為政，出現(xiàn)了“令不出本門，令不至他門”的尷尬局面。被寄予厚望的聯(lián)合監(jiān)管亦是問題重重：在不同的目的指引下，不同的監(jiān)管部門對待監(jiān)管事項的態(tài)度與手段都不相同，以至于個人信息所有者遭遇信息侵權時一是不知去哪個部門投訴檢舉，二是即使找到了相關部門，各部門也是相互推諉，最后既浪費了權益受損者的寶貴時間，又沒能使侵權案件得到有效處理。

（四）個人信息保護法律體系中的侵權追責環(huán)節(jié)呈現(xiàn)實踐性風險

一方面，數(shù)字經(jīng)濟時代催生了“萬物可互聯(lián)”局面的出現(xiàn)。在這一背景下，任意電子設備端口皆可成為個人信息的泄露渠道，許多被侵權人往往在享受互聯(lián)網(wǎng)服務時一時不慎或者在商戶誘導下勾選了提供個人信息的同意選項，被侵權人在維權追責時往往遭遇侵權人看似合理的抗辯理由，導致自身承擔敗訴風險。同時在實踐中，被侵權人往往很難確定誰是侵權主體，即使確認了侵權主體，自身也要付出很大的時間成本與經(jīng)濟成本。

另一方面，在刑法領域，法院在處理個人信息犯罪的司法審理過程中，通常是先引用行政法規(guī)等前置性規(guī)定。但事實上，我國有關個人信息保護的前置性規(guī)定的標準不明確，使得治理個人信息犯罪的司法實踐效果并不良好：若是不考慮前置性規(guī)定，定罪量刑直接依據(jù)的是“違反國家規(guī)定”；但是在前置性規(guī)定優(yōu)先的情況下，定罪量刑依據(jù)變成了“違反國家有關規(guī)定”。這造成的結果就是，有關個人信息犯罪的解釋權主體擴張，繼而引起該罪刑事處罰邊界的擴張?！斑`反國家有關規(guī)定”這句“萬金油”似的處理依據(jù)成為個人信息犯罪的法定空白罪狀，給予了其他行政法律法規(guī)部分違法性的判斷職能，模糊了犯罪的認定標準。

因此，在個人信息法律保護實踐中出現(xiàn)了追責難的“執(zhí)行”困局。

四、數(shù)字經(jīng)濟時代個人信息保護困境的破解

基于上述對個人信息保護困境形成原因的分析，筆者認為應從完善立法導向出發(fā)，加強行政監(jiān)管這一中間環(huán)節(jié)、落實侵權追責與刑法維權這一兜底保障，以此塑造數(shù)字經(jīng)濟時代下的個人信息綜合保護路徑。

（一）立法兼具公私屬性，以推進個人信息保護的法治進程

我國目前在個人信息保護專項法律制定方面存在兩個問題：一是缺乏保護公眾個人信息的頂層法律，二是現(xiàn)行的一些保護規(guī)則與保護理論帶有明顯的私法傾向。因此，應采取針對性的立法措施，實現(xiàn)個人信息保護法治道路的盡快竣工。

1.加快立法進程

在著手進行個人信息保護立法工作時，應當充分整合與完善現(xiàn)有的相關規(guī)范，將個人信息權劃分為一項新型民事復合權，使其性質(zhì)昭示于眾。為了充分適應當前數(shù)字經(jīng)濟時代對個人信息利用的需要，應當加快立法步伐，以頂層立法的形式規(guī)定個人信息的概念、特點等性質(zhì)，列明個人信息保護的宗旨、方法、法律責任以及侵權后果等條款。

2.彰顯公私屬性

在制定了個人信息保護的一般規(guī)則后，應針對個人信息的不同流通方向與利用方式制定不同的權益規(guī)范。一方面，對于以“利用型”為主要導向的個人信息，應以帶有強制屬性的行為規(guī)范式的公法義務、責任規(guī)范加以保護。這既要求個人信息控制主體以正向思維導向去忠實履行信息保護義務，比如自覺建立公開的個人信息收集系統(tǒng)；同時還要求禁止個人信息控制主體濫用其擁有的控制權，對于個人信息控制主體構建“信息孤島”等行為堅決禁止。另一方面，對于以“控制型”為主要導向的個人信息，則仍以私法保護的方式對其進行賦權保護。通過完善憲法、民事法等既有法規(guī)，增添個人信息保護的賦權規(guī)范，構建個人信息權利體系。

（二）建立行政監(jiān)管主導、自律監(jiān)管配合的多元監(jiān)管新模式

實現(xiàn)個人信息的公私法兼容保護是一項系統(tǒng)性工程，它需要借助社會各方力量，搭建以行政監(jiān)管為主導，結合自律監(jiān)管的一體化多元監(jiān)管機制。

其一，統(tǒng)籌政府現(xiàn)有相關機構的職能，在此基礎上設立一個權責明確、程序規(guī)范的專司個人信息保護工作的監(jiān)管部門。通過設立具體監(jiān)管部門來加大對個人信息控制主體收集、加工、利用個人信息的監(jiān)管力度。這項工作的重點是盡快界定數(shù)據(jù)保護管理機構的法定職責。在數(shù)字經(jīng)濟時代，個人信息往往會跨境流動，因此一國很難獨立承擔信息保護工作，通常需要各國 DPA 之間的合作與協(xié)調(diào)。［5］因此，在我國的個人信息保護體系中也應明確這一機構的權責、地位，并且在現(xiàn)行制度運行模式下，可由最具履職高效性與專業(yè)性的網(wǎng)信部門承擔這一重任。

其二，推進個人信息保護的自律監(jiān)管。一方面，可以設立個人信息保護的行業(yè)自律組織，使其成為個人信息保護的第一道防火墻。通過給予這類機構一定自治權限增強對個人信息網(wǎng)絡流通渠道各環(huán)節(jié)的監(jiān)控管理。另一方面，可以助力個人信息保護的個人信息控制主體自我監(jiān)管。明確規(guī)定企業(yè)成立后要在內(nèi)部設立“個人信息保護行政官”。其主要負責制定企業(yè)內(nèi)部個人信息保護規(guī)范，并按照該規(guī)范管理企業(yè)的個人信息保護狀況；根據(jù)各企業(yè)的具體情況，如果有關個人信息涉及企業(yè)運營重大事項，“保護官”則應指出相關問題、提供相關意見，并申請將其納入企業(yè)運營藍圖規(guī)劃。［6］

（三）劃定監(jiān)管各方權責，搭建一體分層的復合型責任體系

個人信息保護是一項持續(xù)周期長、涉及主體多的系統(tǒng)性工程，因此，在建設個人信息保護責任體系的過程中必須綜合考量各方變量，構建一個一體分層的復合型責任體系。

其一，就是要對各方主體進行責任分級。信息控制主體是一個大概念，在實踐中被細分為信息收集主體、分析主體、加工主體等，這也就導致他們的信息控制職能不同。既然各主體的信息控制職能不同，那么出現(xiàn)個人信息侵權問題時所承擔的責任就不同。

其二，在具體問題具體分析理念指導下，對個人信息保護責任進行有序排列、分層配置，搭建一個由民事、行政、刑事三方組成的全面責任體系。信息控制主體所承擔的責任類型與懲罰限度應當在堅持謙抑原則的基礎上同責任等級一致，以實現(xiàn)罪責相適應與保障人權的兼顧。

（四）構筑刑法維權通道，落實公民個人信息的兜底保護

公眾目前面臨的許多個人信息權益受損危機已經(jīng)上升到了侵害刑法法益的程度。在我國刑法視域內(nèi)，利用互聯(lián)網(wǎng)侵犯公民個人信息犯罪由于其犯罪邊際成本小、邊際收益大的特性，已經(jīng)構成了對數(shù)字經(jīng)濟時代個人信息利用制度的巨大威脅。［7］這種網(wǎng)絡犯罪方式的特殊性往往給偵查機關主動覺察犯罪行為、積極調(diào)取證據(jù)，以及最終的定罪量刑帶來相當大的難度。

在這種情況下，公民作為直接受害人最有可能，也最有動力在第一時間發(fā)現(xiàn)犯罪。因此，構建一條能充分發(fā)揮公民力量的公訴與自訴相結合的個人信息刑法維權通道是實現(xiàn)對公民個人信息周延保護的必由之路。

其一，修筑道路，方向為先。這條公訴與自訴結合的保護之路的方向就是刑法內(nèi)部自身的邏輯性。一方面，針對當下有關侵犯個人信息罪前置性規(guī)定不明的情況，國家有關機關可出臺專門規(guī)定此類罪法律適用問題的相關文件，以此加強部門法之間的協(xié)調(diào)。另一方面，要明確個人信息采集主體收集和利用個人信息的目的，即在審理個人信息犯罪案件中要根據(jù)具體案情判斷行為的目的及其關聯(lián)性。只有嫌疑人收集、利用個人信息的方式、內(nèi)容等超過刑法規(guī)定的限度，才能承擔相應的刑事責任。

其二，當下涉及個人信息犯罪自訴案件的相關證明標準的認定仍是秉承著公權力機關為旗幟指引的精神，但是絕大多數(shù)公民并不具備提起自訴案件的實力。所以，應當為公民設定一個較低的自訴證明標準。舉個例子，可以設置為舉證責任倒置規(guī)則服務的法定限制條件，搭建出該限制條件下的以個人信息侵權案件的報案為起點、對該案的記錄為重點、對案件的合法處理為終點的系統(tǒng)化維權機制。［8］這就能夠促使受到侵害的公民在遭遇違法犯罪行為時，可以根據(jù)自己收集的證據(jù)直接到人民法院啟動個人信息犯罪案件的刑事自訴程序。

五、結語

保護公眾的個人信息是推動數(shù)字經(jīng)濟時代進一步發(fā)展的題中應有之義。為了達到充分保障公眾個人信息權益，使公眾更好地享受時代福利的目標，就應當積極立法以確定個人信息權的地位歸屬，明晰個人信息保護工作中的責任承擔主體。在執(zhí)法這一中間環(huán)節(jié)，要成立一個獨立的個人信息保護監(jiān)管部門進行國家干預，制定符合數(shù)字經(jīng)濟時代發(fā)展要求的個人信息流通環(huán)節(jié)的國家標準。在司法兜底環(huán)節(jié)，要積極構筑公民維權的刑法通道。當前的個人信息保護困境只是社會進步過程中的一個“副本”，只要國家能夠做到以統(tǒng)領全局、層層遞進的方式加強上游立法建設、嚴控中游監(jiān)管建設、落實下游司法追責與維權建設，就可以以從容姿態(tài)面對數(shù)字經(jīng)濟時代帶給人類的信息安全挑戰(zhàn)，以“良幣”驅(qū)逐“劣幣”，使其成為人類社會的前進動力。