摘要：数字经济下的个人信息保护问题是数字经济发展中的重点难题。应正确认识个人信息的范围及自然人对个人信息享有的权利，从而有针对性的保护个人的合法权益。目前我国对数字平台监管趋严，已开始对企业进行网络安全审查，“滴滴出行”APP的下架说明企业建立数据合规体系已刻不容缓。我国《数据安全法》已审议通过，《个人信息保护法》（草案）已进入二审审议阶段，其中规定的个人信息处理原则、个人信息处理规则、数据安全审查等内容对于解决实务问题及建立数据合规体系具有重大意义，结合相应的国家标准中的细化内容作为指导，可以基本厘清目前存在的个人信息保护争议，以最小必要范围原则、告知同意规则、数据境内存储及出境安全评估要求等为基础建立符合数字经济发展要求的数据合规体系。

     关键词：数字经济 数据合规 个人信息保护法 数据安全法 

    目录

     引言1

   引言

    2016年，G20杭州峰会通过《二十国集团数字经济发展与合作倡议》[1]，该倡议将数字经济定义为以使用数字化的知识和信息作为关键生产要素、以现代信息网络作为重要载体、以信息通信技术的有效使用作为效率提升和经济结构优化的重要推动力的一系列经济活动。随着5G等数字技术的发展，中国的数字经济活动也迎来了爆发式的增长。在数字经济下，已有的生产要素和基础设施被重新定义，“数据”成为新的生产要素，而数据中心等信息网络设施成为新的基础设施。浙江省2020年数字经济核心产业增加值为7019.8亿元，占全省GDP比重10.9%。[2] 预计到2022年完成数字经济增加值达4万亿元以上，占全省GDP比重超过55%[3]。数字经济蓬勃发展的同时也带来了诸多法律层面上的问题，其中最显著突出的即是个人信息处理与数据安全的相关问题。本文以数字经济为大背景，结合目前公布的《个人信息保护法》（二审草案）及《数据安全法》的相关内容，对我国目前的个人信息保护问题做出分析，并结合法律规定和国家标准，以数据合规方案对未来企业个人信息保护的做法提出指导建议。

      一、数字经济的数据外部性

      数字经济被称为世界经济增长的新引擎，其对于促进智能制造，数字贸易、数字金融等新业态的出现与发展具有重要作用。同时，数字经济的发展将会极大改变现有经济格局，谁对新的生产要素“数据”掌握的更多谁就将在未来的数字经济体系下占据更大的竞争优势。梅特卡夫法则显示，用户形成的网络总价值是用户数的平方，即在网络之中，用户数越多，那么网络价值也就越高，这也被称作网络的外部性，而在数字经济中，庞大的数据则代替了用户，数据越多，所能产生的价值也就越大，这就是“数据的外部性”。当数据达到足够规模，就会形成巨大的经济利益，如阿里巴巴就是通过电商平台积累了大量的商家和用户交易支付数据，从而可以利用数据建立个人信用画像并据此开展信用商业服务，蚂蚁金服也因此诞生。同传统经济相比，数字经济在信息交换领域具有的优势可以创造出成指数级提升的价值，在大规模数据的使用下，经济活动的活跃性将会达到一个新的高度。可以很清楚地发现，近几年来，各大互联网企业和厂商的重心已经从流量引流逐步变为数据收集，互联网乃至整个社会都已进入了“数据为王”的时代。

表1-1经济价值V与数据数D的关系 V=D²

二、我国个人信息保护现状目前我国实践中个人信息保护已存在不少的规定，包括相应的国家标准，如《民法典》、《网络安全法》、《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》、GB/T 35273——《信息安全技术 个人信息安全规范》（以下简称个人信息安全规范）以及于6月10日刚刚通过的《中华人民共和国数据安全法》等。同时，更具体的法律保护也正在立法推动中，如2020年10月21日发布的《个人信息保护法（草案）》（征求意见稿）及2020年1月20日发布的 《信息安全技术 个人信息告知同意指南》（征求意见稿）。总的来说，目前我国已有大量散落的个人信息法规，但缺少整合和细化的专门法律，使得不少问题存在较大的模糊空间，从而导致大量侵犯或泄露公民个人信息的案件层出不穷。（一）大数据时代下个人信息如何泄露对于当今社会每个使用智能设备及互联网获取信息的人来说，或多或少都面临个人信息被泄露的烦恼，烦不胜烦的骚扰电话或者诈骗电话，这些都是由个人信息泄露所带来的问题。个人信息的泄露基本表现为主动收集及被动泄露两种方式。主动收集包括纸质收集和电子化收集。纸质收集即为日常生活中所填写的各类纸质表单，如各类线下促销抽奖活动中要求填写的个人信息；电子收集则为在智能化设备使用过程中发生的账号注册、链接分享、验证码发送、账号绑定等活动以及各类社群所发生的资料收集。被动泄露则主要发生在以下两个方面，第一是智能设备应用的私自收集，应用通过强制要求权限否则禁止使用应用功能，迫使用户进行概括性的象征同意授权，此时用户并不清楚自己将会被收集何种数据。而应用则通过位置信息，系统信息，读写手机存储等获得用户的姓名、位置、手机号、联系人、个人习惯等，部分企业则利用该类信息和第三方机构合作获利。第二则是利用技术对数据库进行爬虫或攻击，获取相应数据，如利用爬虫技术对无防御措施网站应用或绕过防御措施去采集网站应用所收集到的大量个人信息，并将其打包出售给第三方机构或技术处理后开展业务对外出售。可以发现，通过各种方式的数据收集，个人的手机号、姓名等基本资料被广泛存储于各种形式的数据库之中。数据库及其管理者得到了大量的个人信息，当管理者出现问题或数据库被攻击时就产生了数据外泄，最终导致相关个人信息流出或被第三方机构所获取。

      （二）个人信息种类

      根据《个人信息安全规范》的定义，“个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。个人信息具体种类划分如下表

表1-1个人信息种类

     上表信息来自于《个人信息安全规范》附录A中内容，其对个人信息进行了极为详尽的列举，尽可能地归纳了个人信息所涉及到的全部种类。分析上表我们可以发现，判定某项信息是否属于个人信息，应考虑以下两条路径：一是识别，即是否可以由信息的特征直接或间接识别特定个人，二是关联，在已知特定自然人的情况下，其在日常生活中所产生的与其个人对应相关的信息都属于个人信息的范畴。[4]可以发现，个人信息涵盖面极广，凡具有可识别性和个人关联性的信息内容都会被归入个人信息之中。

      （三）个体对个人信息享有的权利

      长期以来，由于缺乏法律细化指导和宣传，多数公民对自身对个人信息享有的权利处于无认识状态，甚至有部分企业认为用户的访问记录、浏览记录等信息属于企业的“财产”，公民无权要求企业删除。随着数字化的不断发展，创设个人信息权对个人信息予以保护，成为了数字经济时代的必然要求。《民法典》人格权编规定了个人信息保护。从法律层面上对公民对其个人信息享有权利进行了明确，辅之相应的其它司法解释及国家标准，初步弥补了个人信息被侵犯时缺乏救济的缺陷。在《个人信息保护法》（草案）中，则具体规定了个人对其个人信息的处理享有知情权、决定权、选择权、访问权、纠正权、删除权、算法解释权等。从现有和即将出台的法律分析来看，个人信息权益的民事法律权益性质归属为具体的人格权，其具备作为独立人格权的权利属性，同时涵盖了精神利益与财产利益，[5]即公民不仅享有其个人信息不被他人侵害，对自身造成影响的权利，同时具有在法律规定内对相应信息一切的财产权利。个人信息为个人所有，个人可以授权或拒绝他人使用处理，由此产生的加工内容的相关权利同样归属于个人。

      （四）数字经济下的侵犯公民个人信息罪分析

      随着大数据时代到来对社会生活方式的改变，我们每个人的信息都被各种无所不在“触手”所收集并使用，侵犯公民个人信息的刑事案件也屡屡发生。利用北大法宝进行检索发现浙江省2016——2020年侵犯公民个人信息罪案件数量达1260件，其中2016年案件数量为32件，2017年案件数量为175件，2018年案件数量为261件，2019年案件数量为428件，2020年案件数量为364件。而同期浙江省数字经济产业增加值也持续保持增长。（如下表所示）[6]可以发现，侵犯公民个人信息罪的案件数与大数据的推进和数字经济的发展基本成正比列相关。（2020年或为疫情所影响，与以往相比存在更多的犯罪黑数）

      可以预见的情况是，伴随着数字经济的进一步发展，数据收集情况将会变得更加常见和频繁，若任其发展，相关案件数量也一定会进一步增长，此种情况下，国家层面上的政策管制和法律规制就极其重要，尤其是对于侵犯公民个人信息罪来说，民事领域的规制对于减少刑事犯罪具有非常大的影响。

      三、数据合规的法律指引

      2020年，《数据安全法（草案）》（征求意见稿）和《个人信息保护法（草案）》（征求意见稿）相继发布，2021年4月29日，中国人大网公布《中华人民共和国数据安全法（草案二次审议稿）和《中华人民共和国个人信息保护法（草案二次审议稿）》（以下简称个保法草案），在初稿的基础上进一步修改完善。2021年6月10日，《数据安全法》(以下简称数安法)正式审议通过。对两部法律进行分析，结合历次草案及终稿中确立的相关规则，可以发现一方面国家对于个人信息保护领域高度重视，采取严格手段治理目前存在的个人信息收集乱象，另一方面，过度的限制也可能影响到企业在数字经济中的积极性，因此相关法律也设置了例外规则，以期在保护用户合法权益的基础上不影响行业的发展，避免扼杀企业创新性。

      （一）个人信息处理原则

      《个保法》（草案）第五条至第八条确立了处理个人信息的原则，即不得通过“胁迫”方式处理个人信息；处理个人信息应当限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式；处理个人信息应当公开个人信息处理规则，明示处理目的、方式和范围，并应当保证个人信息的质量，避免因个人信息不准确、不完整对个人权益造成不利影响。其中，草案第六条确立了最小必要原则，对个人信息处理者进行个人信息收集进行了严格限制。最小必要原则最早在《民法典》就已初步体现，《民法典》第一千零三十五条规定“处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理”；《网络安全法》第四十一条中也有类似规定。如若之后正式实行的《个保法》不进行该条改动，则意味着最小必要原则在我国个人信息处理领域正式确立。从理论上讲，最小必要原则是个人信息处理的合乎之义，多数国家立法中也均采取了该项做法，如欧盟的《通用数据保护条例》（GDPR）[7]中所规定的目的受限和数据最小化原则，韩国和日本的《个人信息保护法》[8]与新加坡的《个人信息保护法案》也有类似的规定。在国标《个人信息安全规范》（5.2条）当中，对最小化原则进行了更细致地解释，即收集的个人信息的类型应与实现产品或服务的业务功能有直接关联，如果不进行信息收集，则产品或服务的功能无法实现，同时信息收集要符合最低频率和最少数量的要求。2021年5月1日起开始实施的《常见类型移动互联网应用程序必要个人信息范围规定》对地图导航、酒店预订、即时通信、网络购物等39类常见类型移动应用程序必要个人信息范围做出了细化规定。《个保法》（草案）第六条同时规定了信息处理应采用对个人权益影响最小的方式，目前法律对于最小方式还没有更具体的细则，但于今年6月1日开始实施的《信息安全技术 个人信息安全影响评估指南》（5.5条）（以下简称评估指南）中对个人权益影响分析做出了四个维度的评断，分为“限制个人自主决定权”、“引发差别待遇”、“个人名誉受损或遭受精神压力”、“人身财产受损”。同时《评估指南》对个人权益影响分析过程也划分为“个人信息敏感程度分析”、“个人信息处理活动特点分析”、“个人信息处理活动问题分析”、影响程度分析四个阶段。结合立法本意和《评估指南》，笔者认为，对个人权益影响最小的方式可视为最小必要原则的补充，具体实行过程中主要在于加强对个人敏感信息的收集处理，做到能不收集敏感信息的情况绝不收集，如有必要收集敏感信息的，则对敏感信息的处理和存储采取更高标准的要求。

      （二）个人信息处理规则

      个人信息处理规则是个人信息保护法的主要内容之一，其中告知同意规则是确定个人信息处理行为合法性的基础。但只采用告知同意规则则对个人信息处理者进行了过于严格的限制，可能会造成数字经济发展陷入缓慢甚至停滞的后果，因此在告知同意规则外《个保法》第十三条第二项至第七项又规定了六种例外情形，从而降低信息处理者获取数据的成本，在个人信息保护的原则上给予企业商业发展和创新的空间。

      1.处理个人信息的合法基础—告知同意规则

      告知同意规则，也称“知情同意规则”，是指任何组织或个人在处理个人信息时都应当对信息主体即其个人信息被处理的自然人进行告知，并在取得同意后方可从事相应的个人信息处理活动，否则该等处理行为即属违法，除非法律另有规定。[9]在个人信息保护法中，告知同意之所以被规定为基本规则，根本原因在于个人信息是可直接或间接识别特定自然人的信息，与自然人的人格尊严和人格自由紧密关联，自然人对个人信息享有受法律保护的权益。[10]《个保法》（草案）第十三条最后一款“依据本法有关规定，处理个人信息应当取得个人同意，但有前款第二项至第七项规定情形的，不需取得个人同意”也确立了告知同意基本规则的地位，即同意是原则，无需同意是例外。实践中适用告知同意原则时，企业需牢牢把握两点，一是需清楚无误的告知用户将会收集的信息范围，处理目的、用途及处理者的相关信息等，二是必须取得用户基于告知情况给予的明确同意和授权。根据《个保法》（草案）的相关规定，如若处理个人信息的目的、方式、种类发生变化时，还应重新取得用户同意，个人同时有权随时撤回同意，但不影响撤回前已进行的信息处理活动效力。最后需要注意的是，告知同意规则仅为个人信息处理行为的合法性基础，就算取得用户同意，当发生个人信息侵权行为时，处理者仍需根据自身过错承担相应责任。

      2.突破告知同意规则的例外—已公开个人信息的处理办法

      如果完全使用告知同意规则作为唯一的合法性基础，对企业来说存在过大的负担，也不利于数字经济的发展。国际社会的通行做法为以告知同意规则为一般规定，在此之上再进行特殊的例外规定。我国也采取了类似的做法。《个保法》（草案）第十三条第一款第二项至第七项即是例外规则的具体体现，如为“订立或履行合同所必需”、“为履行法定职责义务”、“为公共利益实施新闻报道”、“在合理范围内处理已公开的个人信息”等。其中在“合理范围内处理已公开的个人信息”在实践中存在一定争议。该项规定的立法目的是为了促进信息的流动与利用，促进数字经济的发展，已公开的个人信息代表个人愿意将这部分信息进行展示，相当于对不特定对象进行了概括授权，此时如果还要求再征得个人的同意则造成了不必要的成本浪费。但需要注意的是，公开的个人信息有时具备特定的用途，比如求职软件中的个人简历，如果超出用途进行使用则不符合个人公开本意，同时，如果滥用公开的个人信息也可能会对个人造成不利影响，因此对于公开个人信息的使用必须合理谨慎，有特定用途的不得超出其用途。

      （三）数据安全审查

      数字经济下，新的生产要素“数据”至关重要，数据安全将会成为国家安全中的重要一环。《数据安全法》第二十一条明确规定国家将建立数据分类分级保护制度，并确定重要数据目录。《数安法》同时规定了国家将建立数据安全审查制度以及未经批准不得向境外司法机构提供存储数据。《个保法》（草案）第四十条要求关键信息基础设施运营者（CIIO）和达到国家规定数量的个人信息处理者应当将数据存储在境内。法律规定揭示了接下来国家将会对企业的数据安全进行高度的合规要求，企业需进行内部风险防控和外部合规的双重建设，内部加强管理，对数据进行加密及去标识化操作，敏感信息不得被爬虫技术所获取，提供基础性互联网平台服务、用户数量巨大的企业还应当成立由外部成员组成的监督机构。外部则在境内数据安全存储和数据出境安全进行完善的合规体系建设。

      四、企业数据合规建设要求

      总览数字经济的大背景及对《数据安全法》、《个人信息保护法》（草案）和各类国标的分析，毋庸置疑的一个结论便是“数据合规”一定是数字经济发展中企业不可忽视的环节。网络安全审查首案，“滴滴案”也印证了这一点，由于《数据安全法》要到今年9月1日起才实施，所以对滴滴的审查暂时没有依据《数据安全法》的内容，但这不代表不对滴滴进行数据安全审查，网络安全与数据安全存在诸多重合内容，不能分割进行看待。同时，从审查通报来看，违法违规收集使用个人信息是滴滴下架的直接原因，该部分内容又与《个人信息保护法》（草案）息息相关，结合上文对相关法律及国标进行梳理所确立的规则，笔者试对企业数据合规体系的建设进行要点整理及建议，以期为企业进行数据合规提供帮助。

      （一）敏感信息收集方式要点

      《个人信息保护法》（草案）中第二章第二节对敏感个人信息的处理规则做出了专门规定。在国标《信息安全技术个人信息安全规范》中对敏感信息则进行了详尽例举。敏感信息一旦被泄露或者非法使用，可能导致个人受到精神或人身、财产等的严重危害，因此敏感信息从收集到使用都需与一般个人信息进行区分，在收集上，个人敏感信息的收集必须具备特定目的和充分的必要性，在告知同意规则上，敏感信息适用单独同意规则，即在进行个人授权时必须单列向个人告知敏感信息收集目的、必要性、使用范围，对个人影响并单独取得个人同意后才可进行，如果法律要求书面同意的还应当取得书面同意；同时对敏感信息进行处理必须进行事前的风险评估。基于上述原则，笔者认为，敏感信息的收集将会是企业数据合规中的高危环节，如无必要，企业应尽量不进行敏感信息的收集，确有必要的，必须完全按照法律规定的程序步骤进行收集，并保留相关收集程序证据，不然则难免步“滴滴”后尘，还需注意的是，个人信息侵权责任采取“过错推定”原则，在敏感信息收集中，企业若缺乏相关证据证明自己无过错，则需要承担相应的损害赔偿责任。

      （二）便捷的撤回同意方式和删除权设置

      《个保法》（草案）第十六条规定，个人有权撤回其同意，个人信息处理者应当提供便捷的撤回同意方式。第四十七条规定了个人信息删除权，其中第三项即为“个人撤回同意”。目前实践中广泛存在的一个现象是同意简单，删除难。当用户使用软件时未获得同意时软件会不断的进行弹窗要求用户进行授权，而当个人同意后想要撤回时，则很难在软件中找到相应的撤回渠道，往往需要复杂且耗时长的人工申请。因此在接下来的数据合规中，笔者预计是否有便捷的撤回同意方式和数据删除的主动履行情况将会是网信部门的重点监管环节，企业应早日自主进行同意方式撤回的设置，并做到授权同意和撤回同意达到一样的便捷标准。

      （三）数据的境内存储和跨境运输风险

      如前所述，数据安全将会成为国家安全中的重要一环，关键信息基础设施未来将会是同电力、水力设施同样甚至更重要的基础设施，《网络安全法》、《数据安全法》都对关键信息基础设施运营者（CIIO）及其它个人信息处理者设置了诸多义务，结合《个保法》（草案）的要求，企业应在国家数据分类分级保护制度的基础下对自身数据进行进一步的分类分级，原则上数据应一律储存在境内，对于不同等级的数据采用不同等级的安全保护措施，并判断自身是否满足CIIO条件和存储数据中是否含有重要数据，制定企业数据风险管理制度，尽量避免数据出境风险，重要数据可能影响国家安全，损害公共利益的不得出境，其它数据则严守事先审批要求，未经审批不得对外提供数据，尤其需要注意一点的是，我国有大量在境外上市或准备赴境外上市的企业，随着未来各国对数据战略资源的争夺，境外上市企业势必会面临境外国家披露要求和我国法律监管要求之间的冲突， 为了防止这种冲突对企业带来重大损失，应提前早做打算，做好对储存数据的脱敏和脱密处理。

    （四）独立机构设置的建议

    《个保法》（草案）第五十七条规定了基础性互联网平台企业应当设置主要由外部成员组成的独立机构，这一设置与目前最高检企业合规制度中推行的“第三方监管人”制度有着高度相似性，二者也面临着类似的困境难题。本质上讲，二者的设立都是因为监管存在巨大难度且需要大量资源，因此国家下放权力给社会，以期利用社会力量来解决监管难题。但监管机构成员的选取，监管机构独立性的保障都是实际运行过程中可能产生的问题，例如为了保障监管机构独立性，机构运行资金不应由企业提供，否则极易受到企业制约，也可能与企业产生利益关系影响公正，那么资金由谁来提供就是一个难题。另一方面，监管成员的选取应如何进行也是一个问题，如果主要选择法律方面的人士则有可能变成监管机构对技术问题无法理解只能单纯听企业汇报的局面，而如果选取相关领域的技术人士则这些人员要么与该企业存在合作利益关系，要么是该企业的竞争对手，也很难去完全保证公正性的问题，同时，如果想要对个人信息处理活动进行有效监督，那么最好是企业向监管机构公开算法，以及数据在企业内部及关联企业、供应商之间的流转，但这部分商业秘密企业也很难愿意向监管机构公开。笔者认为，若想要真正发挥监管作用，限制互联网巨头滥用数据，那么监管机构就绝不能只由社会力量介入，国家部门必须起到牵头作用，这一点可以考虑参照企业合规中第三方监督评估机制的实行方式，由网信部门授权相关人员组成独立机构，由财政拨款（可利用对违法企业的罚款）作为机构运作资金，机构由国家部门或高校的技术人员和律师等法律专业人员组成，与网信部门及企业签订相关监管协议及保密协议，每年出具监管评估报告，在监管过程中违反相应规定的监管人员则对其进行警告，禁止从业等处罚，若违反相关法律则追究其法律责任。通过出台相关规定，建立完善的数据合规独立监管机构制度，从而使得独立机构的监管达到立法本意，保护公民个人信息不被滥用。

      五、结语

      中国数字经济的发展将会是中华民族伟大复兴的重要节点，通过大力发展5G等新的信息技术，我国将实现弯道超车从而构建中国话语下的世界数字经济体系。法律应当在数字经济的发展中为其赋能，在充分保护公民个人信息的基础上让数字经济的创新更加迅速，打造数字经济下的“中国速度”。在此过程中，数据合规将成为一片新兴蓝海，作为律师，应紧跟数字经济发展要求，认真研究相关法案，及时配合国家帮助企业建立数据合规体系，从而在数字经济的蓬勃发展中点亮一抹律师色彩，为建设数字法治，数字浙江，数字中国出谋划策，献上一份绵薄之力。

 

 

参考文献

[1]《二十国集团数字经济发展与合作倡议》，载G20官网，http://www.g20chn.org/hywj/dncgwj/201609/t20160920_3474.html，2021年6月9日最后访问。

[2]《2020年浙江省数字经济发展运行情况》，载微信公众号“浙江经信（浙江省经济和信息化厅官方微信）”，2021年2月18日。

[3]《浙江省国家数字经济创新发展试验区建设工作方案》，载微信公众号“浙江发布”，2020年7月24日。

[4]全国信息安全标准化技术委员会、中国国家标准化管理委员会《信息安全技术个人信息安全规范》，GB/T 35273-2020。

[5]程啸：《论我国民法典中个人信息权益的性质》，载《政治与法律》，2020 年第8期。

[6]《“十三五”浙江数字经济运行情况分析及“十四五”发展思路分析》，中商产业研究院。

[7]欧盟《通用数据保护条列》(General Data Protection Regulation)第5条。

[8]林宗浩,张倩：《韩国个人信息保护法制的经验与启示》，载《山东大学法律评论》，2019年第1期。

[9]王利明、程啸、朱虎: 《中华人民共和国民法典人格权编释义》，中国法制出版社 2020 年版，第 419 页。

[10]程啸：《论我国个人信息保护法中的个人信息处理规则》，载《清华法学》2021年第3期。