数字经济时代的个人信息安全策略研究

摘要：随着数字经济时代的浪潮席卷全球，个人信息的价值得到了前所未有的提升，成为重要资产。然而，个人信息安全事件频发，引发了社会关注和担忧。因此，在个人信息采集、传输、利用和共享等各个环节中，如何确保信息安全成为亟待解决的问题。本文将围绕个人信息安全法律保护途径展开讨论。首先，对个人信息进行界定；其次，分析我国个人信息保护现状；再次，比较分析国外对个人信息的保障机制以及相关对策；最后，结合具体国情，有针对性地提出个人信息安全策略的实践路径以及未来展望。

关键词：数字经济;个人信息;安全策略

中图分类号：F2"文献标识码：Adoi：10.19311/j.cnki.16723198.2025.01.009

1"个人信息的界定

在讨论个人信息的价值时，首先要清晰界定其含义。参考《中华人民共和国民法典》和《中华人民共和国个人信息保护法》的相关条款，个人信息被定义为“以电子或其他方式记录的各种信息可以单独或与其他信息相结合，以识别自然人的个人身份”的各种信息。其范畴十分广泛，它包括了诸如姓名、住址、电话号码等基本信息，还涉及社保账号、驾驶证号、金融账户号码等敏感数据，甚至包括生物数据等个人隐私信息。

在法律层面上，个人信息不仅涵盖与个人健康、肖像、名誉等人格权益相关的事项，还包括与资产利益相关的事项，如工作和财产等。因此，个人信息不仅是个人尊严和自由的体现，同时也涉及使用者利益和公共利益。我国法律构建了个人信息与数据的双重保护机制，即经过匿名化处理的个人信息所形成的大数据，能够成为财产权益的对象，由法人或非法人组织所拥有。个人信息所带来的社会公共利益，主要体现在社会治理方面。例如，通过大数据的处理，可以有效地防控疫情、打击犯罪、预警危机等，这正是个人信息的公共管理价值所在。

2"我国个人信息安全现状分析

2.1"中国个人信息安全法律法规框架

我国的个人信息安全法律法规体系以《中华人民共和国网络安全法》为基础，以《中华人民共和国个人信息保护法》为核心，辅以一系列部门规章、地方性法规和行业规范。其中，《中华人民共和国个人信息保护法》于2021年8月20日通过，自2021年11月1日起生效，标志着我国个人信息保护法律体系的基本形成。

《中华人民共和国个人信息保护法》明确了个人信息的定义、处理原则、义务和责任，以及个人信息处理的权利。法律还规定了跨境个人信息处理的特殊规定，以加强对敏感信息的保护。

此外，还有《中华人民共和国数据安全法》《中华人民共和国电子商务法》等相关法律法规，共同构成了我国个人信息安全法律法规体系。

2.2"公民个人信息安全的现状

2.2.1"个人信息陷入“过度保护”和“保护不足”两难境地

一方面，专业人士普遍认同将个人信息作为私权客体予以全面保护，但在探寻合理平衡的过程中，我们也意识到个人信息所具备的流通性和开放性。个人信息包含了一切具有“可识别性”的数据元素，这种描述准确地刻画了个人信息的广阔范畴和模糊边界。从技术角度来看，任何主体都无法完全掌控这些信息。这就意味着，如果我们要构建一种导向支配的个人信息权，要求行为人对个人信息保持高度关注并承担相应的注意义务，那么这种要求将对信息收集和处理的行为自由造成过度限制，甚至可能阻碍信息的自由流通和合理利用。

另一方面，科技发展日新月异，法律却因其固有的滞后性难以跟上时代的步伐，导致对网络安全的规范显得不够具体完备。目前，《中华人民共和国个人信息保护法》中确立的“知情同意”机制被视为个人信息保护的基石和信息自决权的真实体现。其运行逻辑是，只有在获得信息主体的明确同意后，个人信息的收集和使用才能具备合法性，这主要是为了保护信息主体对其个人信息的控制权。

在现实生活中，用户在公共服务领域提供个人信息时，往往面临的是格式化的合同，这使他们在很大程度上失去了选择的权利。实际上，由于合同条款的冗长和晦涩难懂，用户往往怠于仔细阅读，即使对某些条款持有异议，他们也往往被迫接受，否则他们将无法使用软件或享受服务。中国信通院安全研究所发布的《移动应用（App）数据安全与个人信息保护白皮书（2019年）》显示，63.1%的App通过“登录／注册即表示同意隐私政策”的方式强制用户同意，且未提供拒绝选项；15.4%的App提供是否同意隐私政策的勾选框，但存在默认勾选问题。

这种情况实质上削弱了用户的选择权，使“知情同意”机制在实际操作中面临诸多困难。

2.2.2"缺乏权威的信息监管单位

个人信息保护历来面临着多头监管的困境，多个部门如网信、电信、公安、市场监管以及金融、教育、交通、医疗等领域的主管机构都承担着监管职责。在《中华人民共和国个人信息保护法》的制定过程中，有众多专家和学者建议应建立统一、专门的监管机构来统一负责个人信息保护的监管工作。然而，《中华人民共和国个人信息保护法》并未采纳这一建议。我国应该成立一个独立的行政部门，该部门应在国务院的统一领导下，与地方省市机关协同工作，专门负责个人信息的保护与监管。同时，我国现有的行政机关在个人信息保护方面的职能分工和权责归属上显得模糊不清，导致在实际操作中，各行政部门往往各自为战，形成了一种“命令只在本部门内有效，难以传达至其他部门”的困境。人们寄予厚望的联合监管机制也面临着重重挑战：由于不同监管部门在不同目标引导下，对监管事务的处理态度和方法存在差异，使个人信息主体在遭遇信息侵权时，一方面不知应向哪个部门寻求帮助，另一方面，即使找到了相关部门，也会因各部门的互相推诿而导致问题无法得到及时有效解决，这不仅浪费了权益受损者的时间，也未能使侵权事件得到妥善处理。

2.2.3"公民个人信息侵权民事救济缺位

中国侵权责任的传统方式是停止侵权、消除危险、损害赔偿和消除影响。然而，大数据处理技术改变了个人信息侵权的后果，扩大了侵权的深度和广度。传统的侵权责任形式不足以为信息主体的损害提供全面的救济。《个人信息保护法》第六十九条明确规定了个人信息侵权案件侵权人适用过错推定原则。虽然本条款考虑了个人信息主体和信息处理者在信息处理过程中的不平等地位，但没有进一步规定非信息处理者的侵权行为。在大数据处理技术的支持下，个人信息具有高度的流通性和复制性，导致了大数据时代个人信息侵权形式和侵权主体的多样化，也加深了损害结果的严重性。因此，单一的个人信息侵权责任原则并不能完全保护公民的个人权益。

此外，由于个人信息人格和财产双重属性的特点，在考虑侵犯个人信息的赔偿范围时，也应注意侵权给受害人带来的精神损害和财产损害。然而，根据目前的司法判决结果，在个人信息侵权案件中，承认受害人精神损害赔偿的案件数量相对较少，精神损害赔偿的判断标准较低；财产损害赔偿一般可以在实践中确定，但赔偿金额较低。因此，当物质损害赔偿和精神损害赔偿的认定标准较低时，不足以威慑侵权人，难以形成对个人信息的保护。其次，个人信息所代表的个人利益关系与个人隐私相关的信息将导致利益冲突，加上大数据技术使个人信息可以快速广泛地传播，将出现个人信息包含经济利益难以用固定金额衡量的实际问题。

3"数字经济时代域外个人信息保护的制度性经验与教训分析

3.1"欧盟

欧盟的数据治理模式是建立在人权保障基石上的“严格监管与全面防御”模式，它确保数据在其生命周期的每个阶段都受到严格的保护。其救济途径侧重于事前的监管和事后的补救措施。

这种治理模式具有“三高”的鲜明特点，即对个人数据的高标准保护，对跨境数据流通的高安全标准，对公平竞争的高安全标准。然而，其带来的后果是，虽然有力保护了信息主体的个人信息自决权，但也为数据控制者和数据处理者施加了沉重的合规义务，导致欧盟在B2C领域丧失国际竞争力。显然，过度的数据保护已经对数字经济的发展造成了不利影响。因此，欧盟在保障个人数据权益的前提下，正积极推动公共和私人领域的数据流通。从108号公约到GDPR，欧盟内部一直在努力统一数据处理标准，以实现数据共享，这充分体现了其促进数据流通的决心。在《欧盟数据战略》的引领下，欧盟于2022年相继出台了《数据治理法案》和《数据法案》，旨在提升数据共享互信，增强数据可用性，破解数据再利用的技术障碍，并建立公平的数据获取和使用规则。总的来说，欧盟数据立法的重点正在向提高数据可用性、促进数据公平获取和流通倾斜。

3.2"美国

在个人信息的保护上，美国采取了双轨制的立法模式。在公领域，美国通过分散立法的方式，将个人信息的收集和使用规定在联邦部门法中。而在私领域，鉴于美国民众对政府过度干预市场经济的抵触，他们更倾向于让市场自我调节，因此实行了行业自律模式。这一创新性的保护方式，通过行业自律规范来保护个人信息，对全球个人信息保护产生了深远影响。该模式旨在在信息流通和隐私权保护之间寻找平衡，避免过分强调隐私而阻碍信息流通，进而妨碍社会进步。同时，行业自律模式能够更精准地满足各行业在收集和处理个人信息方面的实际需求，减少了因统一立法滞后和僵化而可能阻碍信息流通的风险。

3.3"日本

日本的个人保护模式是综合了统一立法与分散立法两种模式的精髓，从而构建出一种独特而高效的保护机制。为了全面贯彻和实施《日本个人信息保护法》这一基本法，日本不仅对国家机关、独立行政法人、地方公共团体等特殊主体制定了专门的法规，还巧妙地结合了法律保障与行业自律，形成了“共同规制”的模式。在这一模式下，个人信息保护的重点在于对公权力的限制，而对私人活动的干预则相对较少，更多地依赖于市场的自律机制来调节。

值得一提的是，为了平衡个人信息保护与经济发展之间的关系，《日本个人信息保护法》不仅确立了企业处理个人信息的基本规则，还要求企业建立个人信息安全管理制度和自律规范。这既增加了企业对个人信息保护的义务，也确保了员工和消费者的信息不被随意篡改和泄露。这一做法既保护了个人隐私，又为企业的发展提供了必要的法律保障。

4"个人信息安全策略的实践与创新

4.1"细化完善相关个人信息保护的法律法规

（1）立法保护的强化至关重要。目前，我国尚未确立侵犯公民个人信息的补偿机制，尽管刑法对违法行为人设定了处罚，但受侵害的权利人如何获得救济却缺乏具体指引。因此，建立一套完善的公民个人信息保护体制势在必行。当公民因个人信息被侵犯而遭受人身或精神损害时，应有权提起刑事附带民事诉讼或单独的民事诉讼，从而确保其合法权益得到维护。

（2）明确侵犯公民个人信息罪的构成要件是保障法律公正的关键。此类犯罪的主体应为一般主体，客体为个人信息。要构成此罪，必须达到情节严重的标准。虽然立法尚未对“情节严重”的具体情形作出规定，但司法解释应尽快对此进行细化和明确。

（3）对侵犯公民个人信息罪的罚金规定，也需要进一步地细化。目前问题集中在法律尚未建立统一损害赔偿标准，实践中普遍存在胜诉但是获赔金额甚微的通病。一般来说，罚金的具体数额应根据行为人侵犯公民个人信息的获利情况等因素来确定。此外，关于“单处罚金”的规定也应进一步完善，以确保法律的公正和有效执行。

4.2"重构监管体系形成多元保护

重构我国个人信息保护监管体系，需从主体架构、目标设定和措施细化三个维度着手，以全面应对大数据技术与商业革新的双重挑战。首要之务是设立一个统一且独立的监管机构。在我国当前的分散立法框架下，监管实践在某种程度上与美国模式相似。但从长远视角来看，构建统一独立的监管机构是必然趋势，这将有助于规避长期监管的碎片化及不当干预的风险，促进监管工作的统一领导及国际合作，进而提升我国个人信息保护的整体水平。

其次，需要明确个人信息保护与监管的核心目标。依据《中华人民共和国民法通则》第一百一十一条，个人信息权利保护模式已得到确立。因此，个人信息保护监管应以“强化私权保护”为核心目标。在个人信息逐渐演变为社会关键资源的背景下，无论是现在还是未来，唯有在尊重私有权属性的基础上，才能有效地规范并保护个人信息。

最后，必须细化个人信息保护监管的具体措施。鉴于企业内部或信息产业规范自律不足的问题，信息控制者或处理者常常忽视法律法规，侵犯个人信息权益。因此，行政监督需要全面覆盖个人信息保护的全过程，包括严格预防、加强监督、后续跟踪观察等。此外，还应建立并完善信息处理风险评估体系，强化监督检查措施，完善调查处理机制，明确行政处罚类型，并重视政策制定、法规宣传等制度和措施的建设。

4.3"公民个人安全意识的提升

安全意识是个人信息安全的第一道防线，深化安全意识是确保个人信息安全的前提。个人应始终保持对信息安全的警惕，了解和掌握基本的安全知识，认识到个人信息的重要性和泄露信息的可能后果。具体来说，在注册网络应用时，网民应形成仔细阅读用户协议、隐私保护政策等内容的习惯，谨慎填写个人信息，并适时关闭不必要的应用权限。同时，网民也应该学会识别网络欺诈，不相信陌生人的信息请求。一旦察觉个人信息被非法使用或其他违规行为，应勇敢发声，利用投诉、举报、诉讼等手段捍卫自己的信息权益，确保个人的“网络痕迹”得到妥善保护。

4.4"数据信托的引入

近年来，国内外加快了对“数据信托”的研究和探索，通过信托架构设计可以很好地解决个人数据流通中遇到的常见问题。基于对受托人的信任，数据信托可以初步定义为委托人将其拥有的数据或数据权委托给专业受托人，受托人可以根据委托人的意愿进行管理或处置。作为数据主体与数据应用程序之间的独立第三方，数据信托可以根据受益人的利益独立判断和监督数据的使用，有效保护数据主体的数据安全和隐私权益，增强主体之间的信任，促进数据共享和流通。例如，英国“MiData”计划，个人用户根据同意将数据返还给消费者的基本原则，可以更直观、全面地了解自己的消费行为，通过有限的主体范围控制企事业单位对数据的访问；日本的“个人信息银行”虽然被称为银行，但商业模式的本质是信托，即公民将个人数据托管给认证的运营商，由运营商集中运营，以实现个人数据资产的交易和实现；此外，新加坡的“SingPass”汇总政府掌握的个人信息，并在App上进行授权查询。在国内，北京国际大数据交易所最近推出了“数据授权平台”的试点项目，该项目通过微信小程序为个人数据主体提供了一种全新的个人信息管理方式。用户现在能够轻松选择特定数据进行主动授权，或者通过接受他人的授权申请来允许数据被查询和使用，从而有效保护个人隐私和数据安全。

在数据信托的框架下，个人无须反复权衡是否分享数据，而是由专业的受托方基于双方共同认可的数据安全使用和管理策略来做出决策。这种模式不仅降低了个人在决策过程中的风险，还极大地改善了用户体验。但要实现这种个人数据信托的理想状态，必须与现有的法律法规体系进行紧密结合，并在此基础上进行创新性发展。这既需要行业专家和法律学者的共同努力，也离不开监管机构的全面指导和支持。

5"对个人信息安全策略的展望

在数字经济浪潮席卷的当下，个人信息保护面临着前所未有的挑战与变革。如今，生产力的飞速发展促使生产关系发生深刻变革，进而影响到法律任务的调整与转变，对个人信息的保护提出了更为复杂、多元的需求，从最初的隐私保护诉求，到对人格权的捍卫，再到如今对财产权保护的重视，个人信息保护的理念在不断演进，对公民个人信息的保护，已不再是单一的隐私保护问题，而是涉及隐私信息、核心信息的全面保障，以及个人信息经济价值和公益价值的双重实现。

因此，为应对这一挑战我们需要协调多方法律保护机制，确保个人信息的保护、利用和披露能够在法治的轨道上有效运行。只有这样，我们才能在享受大数据带来的便利与效益的同时，切实保障个人信息安全与权益。

参考文献

[1]王婕.法益与权利：大数据时代个人信息保护立法选择与价值表达[J].湖北科技学院学报，2024，（1）：4956.

[2]林传琳，宋宗宇.个人信息保护的民法定位与路径选择[J].甘肃社会科学，2021，（4）：206213.

[3]王苑.个人信息保护在民法中的表达——兼论民法与个人信息保护法之关系[J].华东政法大学学报，2021，24（2）：6879.

[4]郑晓剑.个人信息的民法定位及保护模式[J].法学，2021，（3）：116130.

[5]马仕途.大数据时代的个人信息民法保护[J].现代交际，2019，（21）：7879.