1. 引言

在数字经济时代，个人数据已成为推动社会经济发展的重要资源。无论是商业营销、用户画像，还是人工智能算法的训练与优化，个人数据都扮演着不可或缺的角色。然而，随着数据价值的不断攀升，个人数据滥用、隐私泄露等问题也日益凸显，成为全球范围内亟待解决的法律与社会难题。尤其是在大数据和人工智能技术的加持下，数据收集、处理和交易的规模与复杂性空前增加，传统的个人数据保护机制已难以应对新的挑战[1]。

我国《个人信息保护法》的颁布实施，标志着个人数据保护进入了更为严格的法治化阶段。该法以“知情–同意”规则为核心，旨在通过赋予数据主体知情权和控制权，保障其个人信息的安全与合法使用。然而，在实际操作中，这一规则面临着诸多困境。数据处理者往往通过复杂冗长的隐私协议，规避数据主体的真正知情与同意，导致“知情–同意”机制流于形式。此外，数据二次交易、跨境数据流通等新兴问题，进一步削弱了数据主体对其个人信息的掌控力，使得个人数据保护的法律框架在实践中显得捉襟见肘。

本文以杭州市上城区人民检察院诉孙某非法买卖个人信息民事公益诉讼案为研究对象，探讨个人数据保护的法律困境与完善路径。该案是我国《民法典》实施后首例由检察机关提起的个人信息保护民事公益诉讼，具有重要的司法实践意义。案件中，孙某通过网络非法获取并出售4万余条个人信息，用于推广虚假外汇业务，严重侵害了不特定数据主体的合法权益。这一案件不仅揭示了个人数据滥用的普遍性与隐蔽性，也暴露出现行法律在数据经济利益归属、跨境数据流通监管等方面的不足。

本文将从案件事实出发，分析当前个人数据保护法律制度存在的突出问题，包括“知情–同意”规则的形式化、数据经济利益分配不均、法律执行滞后以及跨境数据流通的监管空白等。在此基础上，本文提出针对性的法律完善建议，如强化数据处理者的告知义务、明确数据主体的经济权利、完善公益诉讼机制以及构建跨境数据流通的法律框架等。通过这一研究，本文旨在为个人数据保护与数字经济的协调发展提供理论支持和实践参考。

在数字化浪潮席卷全球的今天，个人数据保护已不仅仅是个人隐私权的问题，更是关乎社会公共利益的重要议题。只有在法律与技术的双重推动下，构建起更加完善的数据保护体系，才能确保个人数据在合法流通中的安全性与合规性，为数字经济的健康发展保驾护航。

2. 案情梗要与问题整理

(一) 案情梗要

随着大数据、人工智能技术的迅速发展，个人数据的收集、处理和交易成为当今社会的常态，推动了数字经济的快速增长。然而，在商业利益的驱动下，数据滥用问题频频出现，特别是未经数据主体同意的大规模数据交易，已经成为严重的法律和社会问题。本案即围绕个人数据非法获取与交易展开，揭示了个人数据保护在实践中的困境。

本案中的被告孙某通过网络购买、交换方式，非法获取了4万余条个人信息，这些信息包括姓名、电话号码和电子邮箱等。这些信息在未征得数据主体明确同意的情况下，被孙某通过微信和QQ等平台转售给案外人刘某，用于推广虚假外汇业务。此行为严重侵害了数以万计的不特定自然人的个人信息权益，并引发了社会公共利益的侵害问题。数据主体因个人数据被滥用，面临隐私侵害、财务欺诈、信息骚扰等一系列风险，进一步加剧了社会对数据安全的担忧²。

案件的特殊性在于，它是我国《民法典》颁布后，首例由检察机关提起的个人信息保护民事公益诉讼，展现了我国法律体系对个人数据保护的强化。通过公益诉讼，司法机关旨在维护社会公共利益，同时推动数据处理者对个人信息的合法合规使用。这标志着我国在个人信息保护领域迈出了具有里程碑意义的一步，也为其他类似案件提供了司法实践上的重要参考。

(二) 问题整理

1) 个人信息保护法律制度的不足与挑战

尽管我国的《个人信息保护法》为个人信息的收集、使用和处理设立了严格的法律框架，但本案暴露出在执行层面存在的诸多问题。个人数据的滥用现象依然频发，尤其是在涉及大规模数据交易时，数据主体的知情同意权无法得到充分保障[2]。本案中，孙某在未取得数据主体同意的情况下，大规模获取并出售个人信息，反映了当前监管体系对数据交易行为缺乏有效监督。这种现象揭示了在个人数据保护法律制度中，如何应对复杂的网络环境和数据处理链条的挑战。

2) “知情–同意”规则的实际操作困境

“知情–同意”是当前个人信息保护制度中的核心原则，但在实际操作中，数据处理者通过隐晦或复杂的条款，使得数据主体难以真正知悉其数据的具体使用范围。本案中的数据处理者孙某，通过非法手段获取数万条个人信息并用于商业目的，直接违反了“知情–同意”规则。该案例充分表明，现有的“知情–同意”机制在面对日益复杂的数据交易环境时，存在着难以保障数据主体权益的困境[3]。随着数据交易规模的扩大和技术手段的升级，如何进一步完善“知情–同意”规则，以确保数据主体的权利不被侵害，成为立法和执法部门亟需解决的重大课题。

3) 个人数据的经济利益归属与数据主体权利保障

个人数据不仅具有人格权属性，还蕴含了巨大的经济价值。在数据交易市场中，数据处理者通过对个人数据的收集、分析和交易，获取了可观的经济回报。然而，现行法律制度对个人数据的经济利益归属问题缺乏明确的规定，导致数据主体在数据交易中处于弱势地位。本案中，孙某非法获取并出售的数据为虚假外汇业务提供了基础，但数据主体并未从数据的经济收益中获益，反映出数据主体在面对数据交易时的权利保护缺失[4]。如何通过法律手段平衡数据处理者和数据主体之间的利益分配，赋予数据主体相应的经济回报，已经成为数据保护法律改革的重要方向。

4) 跨境数据流通与法律监管的挑战

随着全球化和数字化进程的加快，个人数据的跨境流通成为不可避免的趋势。然而，跨境数据流通涉及不同国家和地区的法律差异，这为个人数据保护带来了新的挑战。如何确保在全球范围内的个人数据安全，同时促进跨境数据交易的高效运行，成为各国法律面临的共同难题。我国在个人信息跨境流动的法律监管上尚存在空白，本案反映出在大数据时代，建立健全个人数据跨境流通的法律框架势在必行。通过加强国际合作，确保数据处理活动的合法性和透明性，将为全球数据保护提供新的思路。

3. 个人数据保护的法律困境：基于案情的实证分析

(一) “知情–同意”规则的形式化与操作困境

近年来，随着数字化社会的迅猛发展，个人信息保护成为法律的关注重点。我国通过《个人信息保护法》和《民法典》进一步明确了个人信息的法律保护范围，尤其是“知情–同意”规则，为数据主体的知情权和控制权提供了坚实的法律保障[5]。“知情–同意”规则是个人信息保护的核心原则，旨在通过数据主体的明确授权，保障其个人信息的安全与合法使用。然而，本案中孙某通过非法手段获取并出售4万余条个人信息，直接违反了这一规则，反映出“知情–同意”机制在实际操作中的局限性。

本案充分反映了在大数据环境下，数据处理者通过非法手段获取和交易个人数据的现象依然普遍存在。尽管法律明确规定了严禁未经同意的个人信息收集与交易，但在实际操作中，许多企业和个人通过隐晦的方式规避法律的约束，导致个人数据滥用和隐私侵犯问题频发。尤其是在大规模数据交易中，数据主体往往难以充分意识到其个人数据已经被收集、使用，甚至被多次转售。本案中，孙某通过网络非法获取了4万余条个人信息，并将其出售给案外人用于推广虚假外汇业务，直接违反了《个人信息保护法》和《民法典》的相关规定。

1) 数据主体知情权的弱化

在数据收集过程中，数据处理者往往通过复杂冗长的隐私协议，使得数据主体难以真正理解其个人数据的具体使用范围和目的。本案中，孙某非法获取的个人信息包括姓名、电话号码和电子邮箱等，这些信息在未经数据主体同意的情况下被用于商业推广，表明数据主体对其个人信息的掌控力被严重削弱。

此外，许多数据处理者利用技术手段，通过默认勾选、隐蔽条款等方式规避数据主体的知情权，导致“知情–同意”机制流于形式。这种现象在大规模数据交易中尤为突出，数据主体往往无法知晓其信息是否被多次转售或用于其他用途。

2) 数据主体同意权的虚置

即使数据主体在形式上同意了隐私协议，其同意往往缺乏真正的自主性。本案中，孙某通过非法手段获取个人信息，完全绕过了数据主体的同意环节，反映出当前“知情–同意”规则在应对复杂数据交易时的无力感。

此外，数据二次交易和跨境数据流通的频繁发生，进一步削弱了数据主体对其个人信息的控制权。数据主体难以追踪其信息的流通路径，也无法对信息的进一步使用提出有效反对。

3) 技术发展与法律滞后的矛盾

数字技术的迅猛发展，特别是大数据和人工智能技术的应用，使得个人信息的收集和分析变得更加高效和普遍。企业可以通过复杂的数据分析技术，从公开的信息中推断出个人隐私，而无需直接获取同意。这使得现有法律体系在应对快速发展的数据处理技术时显得捉襟见肘。法律与技术发展的不匹配，进一步加剧了个人信息保护的挑战[6]。未来的法律改革需要加强技术手段的监管，并与不断发展的技术环境相适应，以确保数据主体的权益得到更有效的保障。

(二) 数据经济利益归属的模糊与分配不均

个人数据不仅具有人格权属性，还蕴含巨大的经济价值。然而，现行法律对数据经济利益归属问题缺乏明确规定，导致数据主体在数据交易中处于弱势地位。本案中，孙某通过非法出售个人信息获取经济利益，而数据主体却未从中获得任何回报，凸显了数据经济利益分配的不公。

1) 数据处理者与数据主体的利益失衡

在数字经济中，数据处理者通过对个人数据的收集、分析和交易，获取了可观的经济回报，而数据主体通常仅享有数据隐私权的保护，缺乏从数据经济价值中获益的机制[7]。本案中，孙某非法获取并出售个人信息用于商业推广，直接反映了数据处理者与数据主体之间的利益失衡。

这种利益分配不均的现象，不仅损害了数据主体的合法权益，也阻碍了数字经济的健康发展。数据主体作为数据的源头，理应从数据交易中获得相应的经济回报，以平衡其与数据处理者之间的利益关系。

2) 数据经济利益归属的法律空白

现行法律对数据经济利益归属问题缺乏明确规定，导致数据主体在数据交易中的权利保护缺失。本案中，孙某通过非法手段获取并出售个人信息，虽然违反了《个人信息保护法》的相关规定，但法律并未明确数据主体是否应享有数据交易的经济收益。

随着数据交易的普及，越来越多的学者主张应赋予数据主体相应的经济权利，要求数据处理者在使用或交易个人数据时，给予数据主体合理的经济补偿。这一机制的建立，将有助于减少数据处理者与数据主体之间的利益失衡，促进数字经济的健康发展。

(三) 法律执行滞后与技术发展的矛盾

数字技术的迅猛发展，特别是大数据和人工智能技术的应用，使得个人信息的收集和分析变得更加高效和普遍。然而，现行法律框架在应对快速发展的数据处理技术时显得捉襟见肘，导致法律执行滞后与技术发展之间的矛盾日益突出。

1) 法律监管的滞后性

本案中，孙某通过网络非法获取并出售个人信息的行为持续了一段时间，反映出执法机构在发现和惩处大规模个人信息滥用行为时存在一定的滞后性。非法数据交易链条的复杂性和隐蔽性，进一步加大了执法难度，使得个人信息保护的实际效果未能充分体现。

此外，许多数据处理者通过技术手段规避法律监管，例如利用匿名化技术掩盖个人信息的来源，或通过跨境数据流通规避本国法律的约束[8]。这种现象表明，现行法律框架在应对技术发展带来的新挑战时，亟需进一步完善。

2) 技术手段对法律规则的冲击

随着数据处理技术的不断升级，企业可以通过复杂的数据分析技术，从公开信息中推断出个人隐私，而无需直接获取数据主体的同意。这种现象使得“知情–同意”规则在实际操作中面临更大的挑战。

例如，本案中孙某非法获取的个人信息被用于推广虚假外汇业务，这种滥用行为不仅侵犯了数据主体的隐私权，还对社会秩序和公共安全构成了威胁。然而，现行法律在应对此类技术滥用行为时，缺乏有效的监管手段和惩戒措施。

(四) 跨境数据流通的监管空白

随着全球化和数字化进程的加快，个人数据的跨境流通成为不可避免的趋势。然而，跨境数据流通涉及不同国家和地区的法律差异，这为个人数据保护带来了新的挑战。本案中，孙某非法获取的个人信息可能涉及跨境交易，进一步加剧了数据监管的难度。

1) 跨境数据流通的法律冲突

不同国家在个人数据保护方面的法律规定和执行标准差异较大，导致数据主体在跨境数据流通中的权利难以得到充分保障。例如，某些国家对个人数据的保护标准较低，使得数据在跨境流通中面临更高的滥用风险。

本案中，如果孙某非法获取的个人信息涉及跨境交易，数据主体将难以追踪其信息的流通路径，也无法通过本国法律获得有效救济。这种现象表明，现行法律在应对跨境数据流通问题时，亟需加强国际合作与法律协同。

2) 我国跨境数据流通法律框架的不足

我国在个人信息跨境流动的法律监管上尚存在空白，缺乏明确的法律框架和实施细则。本案反映出在大数据时代，建立健全个人数据跨境流通的法律框架势在必行。未来，我国应通过加强国际合作，签订跨境数据保护协议，确保数据处理活动的合法性和透明性。同时，应明确数据处理者在跨境数据流通中的责任，确保数据主体在全球范围内的权益不受侵害。

4. 个人数据保护的制度重构：基于困境的解决路径

针对第三章提出的个人数据保护法律困境，本章将从完善“知情–同意”规则、明确数据经济利益归属、加强法律执行与技术监管、构建跨境数据流通法律框架等方面，提出具体的法律完善建议，确保问题与对策一一对应，并与案件焦点相符合。

(一) 完善“知情–同意”规则，增强数据主体控制权

首先应强化数据处理者的告知义务。现行法律虽然规定了数据处理者的告知义务，但在实际操作中，告知内容往往过于复杂或晦涩，导致数据主体难以理解。未来法律应进一步明确告知义务的具体要求，要求数据处理者以清晰、简洁的语言向数据主体说明个人数据的收集目的、使用范围、存储期限及可能的风险。例如，可以借鉴欧盟《通用数据保护条例》(GDPR)的规定，要求数据处理者提供分层次的隐私政策，确保数据主体能够快速理解关键信息。

其次须简化数据主体撤回授权的程序。数据主体在同意数据处理后，应有权随时撤回授权。然而，现行法律对撤回程序的规定较为笼统，导致数据主体在实际操作中面临诸多障碍。未来法律应明确规定数据处理者在收到撤回请求后，必须立即停止对相关数据的处理并删除已收集的数据。同时，应设立便捷的撤回渠道，例如通过一键式操作实现授权撤回，以增强数据主体的控制权。

最后，为提高数据主体对其个人信息的掌控力，未来法律可以引入数据透明度机制，要求数据处理者定期向数据主体披露个人数据的使用和处理情况。例如，数据处理者应每年向数据主体提供数据使用报告，详细说明数据的流通路径、使用目的及第三方接收情况。通过这一机制，数据主体能够及时了解其数据的流通状态，从而更好地行使知情权和撤回权。

(二) 明确数据经济利益归属，平衡利益分配

第一，现行法律对数据经济利益归属问题缺乏明确规定，导致数据主体在数据交易中处于弱势地位。未来法律应明确赋予数据主体对其个人数据的经济权利，要求数据处理者在使用或交易个人数据时，向数据主体支付合理的经济补偿。例如，可以借鉴数据信托模式，由第三方机构代表数据主体管理其数据权益，并分配相应的经济收益。

第二，为平衡数据处理者与数据主体之间的利益分配，未来法律可以建立数据收益分配机制，要求数据处理者在从数据交易中获取经济利益时，向数据主体支付一定比例的分成。例如，可以规定数据处理者在每次数据交易中，将交易金额的10%~20%分配给数据主体。这一机制不仅能够保障数据主体的经济权益，还能激励数据处理者更加合法合规地使用个人数据。

第三，针对本案中孙某非法获取并出售个人信息的行为，未来法律应进一步加大对非法数据交易的惩戒力度。例如，可以适当提高行政处罚金额，并对情节严重的行为追究刑事责任。同时，应建立数据交易黑名单制度，将从事非法数据交易的企业和个人列入黑名单，限制其参与数据交易活动。

(三) 加强法律执行与技术监管，应对技术发展挑战

随着数据成为新的“商品”，个人信息交易市场迅速发展。然而，许多数据交易是在法律灰色地带进行的，缺乏透明度和合法性。本案揭示了非法信息交易市场的运作模式，反映出在个人信息保护法律尚未完全落实的情况下，数据交易市场急需规范化。

首先，为防范数据处理活动中的隐私风险，未来法律可以引入数据保护影响评估(DPIA)机制，要求数据处理者在收集和使用个人数据之前，对可能存在的隐私风险进行评估，并采取相应的防范措施。例如，数据处理者在进行大规模数据收集或跨境数据流通时，必须向监管机构提交DPIA报告，说明数据处理的目的、范围及风险控制措施。其次，针对数据处理者利用技术手段规避法律监管的现象，未来法律应加强对技术手段的监管。例如，可以要求数据处理者在使用匿名化技术时，确保数据的不可逆性，防止通过技术手段重新识别个人身份。同时，应加强对人工智能算法的监管，确保算法决策的透明性和公平性，防止算法滥用对个人数据权益的侵害[9]。

未来的法律改革应当考虑建立一个合法、透明的数据交易市场。通过设置数据交易的准入机制，明确规定数据的合法来源和合规使用，将个人信息纳入合法交易的范畴。此外，监管机构应加大对数据交易市场的监管力度，要求市场参与者遵循透明化的交易流程，并通过定期审核和报告制度确保交易行为的合法性。此举不仅能减少非法数据交易，还能使数据主体在数据市场中获得应有的经济回报，从而推动数据市场的健康发展。

(四) 构建跨境数据流通法律框架，加强国际合作

我国在个人信息跨境流动的法律监管上尚存在空白，未来应制定专门的跨境数据流通法律规则，明确数据处理者在跨境数据流通中的责任和义务。例如，可以规定数据处理者在进行跨境数据流通时，必须获得数据主体的明确同意，并向监管机构报备[10]。此外，未来法律应加强对大规模数据泄露事件的应对机制，要求数据处理者建立健全的数据安全防护措施，并在发生数据泄露时立即采取补救措施，及时告知数据主体和监管机构。此外，立法者应规定更为严厉的责任追究制度，明确数据处理者在数据泄露事件中的责任，包括对受害者进行赔偿和接受相关行政处罚。通过完善的数据泄露应对机制，能够减少数据泄露的频率和影响，并提升数据主体的安全感。

5. 结语

本案作为全国首例个人信息保护民事公益诉讼，揭示了在大数据和信息化社会中，个人信息保护面临的严峻挑战和法律上的空白。通过分析本案，能够更加深入理解当前法律制度在保护个人信息时存在的局限性，尤其是在数据滥用、个人信息经济利益归属、跨境数据流动和公益诉讼机制方面的不足。

随着技术的快速发展，个人信息的保护不再仅仅是个体隐私权的问题，而是关乎社会公共利益的重要议题。通过不断完善法律法规，提升技术监管手段，确保数据处理的透明度与合规性，能够有效遏制非法信息交易和滥用行为。此外，公益诉讼作为个人信息保护的重要手段，展示了其在应对大规模数据侵权和社会公共利益保护中的巨大潜力，未来应进一步扩大适用范围，完善操作流程。

综上所述，未来的个人信息保护法律改革应立足于数据主体权益的全面保障，强化法律执行的有效性和惩戒力度，推动个人信息在合法流通中的安全性与合规性，以应对数字化社会的多重挑战。只有在法律与技术的双重推动下，才能真正实现对个人信息的全面保护，确保社会在数字经济时代的健康发展。

NOTES

¹案号：(2020)浙0192民初10605号。杭州互联网法院判决孙某按照侵权行为所获利益支付公共利益损害赔偿款34,000元，并向社会公众赔礼道歉，判决已生效。

²《杭州互联网法院发布个人信息保护十大典型案例》，载微信公众号“浙江法治”2022年8月20日。

参考文献