《中华人民共和国民营经济促进法》的颁布实施,为我国民营经济发展提供了法治保障。切实保护民营企业和民营企业家合法权益,必须依法依规进行。我国是社会主义法治国家,各类所有制企业等经营主体的违法行为都不能规避查处。因此,法律法规的明确性与可预期性成为各类企业开展经营活动的重要前提。在数智经济领域,个人信息一方面作为公民的人格权益受到法律保护,另一方面作为重要数据内容发挥经济价值,对于作为技术创新和市场活力重要载体的民营企业而言,其法律规则的重要性显而易见。
自2021年11月1日《中华人民共和国个人信息保护法》(以下简称《个保法》)施行以来,我国个人信息保护的法律框架日臻完善。这部法律以其严格的规定、明确的权利赋予和罚则,为保护公民个人信息权益筑起了一道坚实的法律屏障。但与此同时,一个不容忽视的现象也随之浮现:法律在详尽规定“如何保护”的同时,对于“如何合理利用”这一数智经济发展的核心命题,却相对着墨不多,规则存在一定的模糊。这使得民营企业在利用个人信息进行数据驱动的创新活动时,有时感到顾虑与担忧。无论是优化产品算法、提供个性化推荐服务,还是进行市场趋势分析,民营企业都担心一不小心便会触碰法律红线,面临高额行政罚款乃至刑事追责的风险。这种不确定性在一定程度上抑制了民营企业的创新意愿和发展活力。
《个保法》标志着我国个人信息保护进入了一个法治化的新阶段。它以“告知—同意”为核心,确立了处理个人信息应遵循“合法、正当、必要和诚信”以及“最小必要”等一系列基本原则。
但是,这些原则在实践中如何精准落地,其边界何在,却成为数智经济活动中的企业合规压力。比如,《个保法》第六十六条规定,对于情节严重的违法行为,可处“五千万元以下或者上一年度营业额百分之五以下罚款”,并可责令停业整顿、吊销执照。
何为“情节严重”?“必要”的边界在哪里?“对个人权益影响最小的方式”如何量化?这些概念在法律条文中虽有原则性描述,但在纷繁复杂的商业场景中,民营企业往往难以准确把握。例如,为了优化推荐算法,需要收集哪些维度的用户行为数据才算“最小必要”?对于已经取得授权的个人信息,如果改变算法处理目的,是否需要重新取得授权?这些模糊地带使得民营企业的每一次数据处理决策都可能伴随着较大的合规不确定性。更值得注意的是,“侵犯公民个人信息罪”由于在入法时人工智能的发展尚处于萌芽阶段,导致该罪名无法充分考虑数智经济体对于个人信息的正常利用,现在看来,这一刑事罪名的适用边界存在一定程度的不清晰,给相关民营企业处理个人信息带来了难以避免的担忧。根据相关司法解释,该罪的入罪标准在很大程度上与信息的“数量”挂钩。例如,非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息等50条以上的,即可构成犯罪。
这种“唯数量论”的定罪模式,虽然在打击个人信息黑灰产业链方面具有明确的指引性,但若机械地适用于企业经营活动,则可能产生严重偏差。比如,一个大数据公司为了训练模型处理数万条用户数据,可能其获取信息的途径不完全合规,与窃取50条金融账户信息在暗网贩卖的行为明显不同,且社会危害性不可同日而语。但在纯粹的数量标准下,前者面临的刑事风险反而可能更高。这种机械的适用逻辑可能产生偏差,使得民营企业对大规模个人信息处理活动心存畏惧,担心正常的商业数据分析可能被解读为触碰刑事红线的行为。
2025年5月13日,江苏省江都高新技术产业开发区某汽车生产企业的生产线(视觉中国 供图)
为了护航数智经济的健康与可持续发展,激发民营企业的创新潜力,我们必须在个人信息保护与利用上建立更加明确的规则。这并非要削弱对个人信息的保护,而是要通过厘清规则、划定清晰的“安全区”,为民营企业提供稳定、可预期的合规指引,让它们能够安心、放心地进行合法合规的个人信息利用。从根本上来讲,个人信息具有社会属性,不应当完全受控于来源者。任何人只要从事社会生产劳动和生活交往,就必然以其个人信息的相互交换为前提和内容。这与马克思的名言“人是社会关系的总和”在逻辑上是相一致的。甚至一些重要的个人信息是在社会关系中塑造和形成的。在数智社会,这些反映社会属性的个人信息在数字技术的作用下可以产生一定的经济价值,甚至可以影响社会公共安全,已经成为数智经济发展的重要生产要素。很多网络平台就是在个人信息处理的基础上逐渐发展壮大的,有的已经成为影响国家经济发展、人民群众生活的重要新兴经济体。因此,需要进一步完善我国的个人信息保护与数据安全制度,构建一个既安全又充满活力的数智经济营商法治环境,真正让民营企业在数据处理活动中吃上“定心丸”。根据当下个人数据保护的司法实践状况,应当明确以下四项基本规则:
第一,划清在个人信息利用上正当经营与刑事犯罪的界限。
主观方面是犯罪构成的要素之一。对于个人信息的利用,既有正当性的一面,也有不正当甚至违法犯罪的一面。数字企业基于提升服务、优化产品、改善经营等正当商业目的,在采取必要安全措施等合规义务前提下处理个人信息的行为,不应被一律认定为犯罪行为。必须在法理上明确区分“利用”与“滥用”。刑法打击的对象应是恶意的“滥用”,而非正当的“利用”。民营企业将收集的数据用于内部研究,以改进算法、优化用户体验、进行精准广告投放,其根本目的是在市场竞争中获得优势,这与以非法出售、泄露、交易为目的的黑灰产业链行为有着本质区别。后者直接以侵害个人信息权益为牟利手段,而前者则是现代商业模式的内在要求。目的的正当性是对行为合法性的重要判断因素,犹如对菜刀的使用一样,既可以用来满足正常的日常生活需要,也可以用来违法犯罪。因此在个人信息保护刑事司法实践中,对行为“目的”的正当性审查,应成为判断罪与非罪的重要标准。
第二,应明确区分数据处理与个人信息处理。
数据已经成为继土地、劳动力、资本、技术之后的第五大社会生产要素,是当今世界各国数字竞争的核心所在。数据是信息的电子记录方式,是人工智能发展的基础性要素。由个人信息组成的电子数据,是计算机处理的对象,能够产生巨大的经济效益,从经济学角度看,这种转变是从“信息”到“资产”的质变。原始的个人信息具有强烈的人格属性,而经过民营企业投入大量算力、算法和智力劳动进行清洗、加工、整合、分析后形成的数据产品(如行业发展趋势报告、特定区域人群消费偏好画像、城市交通流量模型等),其主要价值已不再是识别个人,而是揭示群体性、趋势性的规律。这些数据产品是民营企业重要的智力成果和数据资产,是其核心竞争力的组成部分。对其适用与原始个人信息保护完全相同的规则,既不符合法理,也抑制了数据要素价值的释放。
《个保法》主要规制个人信息的“收集、存储、使用、加工、传输、提供”等处理活动,核心是保护个人权益。《中华人民共和国数据安全法》(以下简称《数据安全法》)则更多地关注处理后形成的数据(包括个人信息、重要数据等)的“安全”与“开发利用”,侧重于数据作为生产要素的管理和国家数据安全。
明确这一分野,意味着当民营企业对个人信息数据进行后续分析和利用时,其行为应主要接受《数据安全法》关于数据分类分级、安全保障等义务的规制,而不应适用《个保法》中基于可识别性的“告知—同意”原则。这为民营企业利用大数据进行宏观分析和产品创新打开了合规的通道。因此当个人信息被作为数据进行处理时,已经脱离了个人信息的人格权领域,进入了数据安全领域,应当适用数据安全规则对其进行保护和处理。
第三,个人信息民事侵权责任应当先于刑事犯罪。
对侵犯公民个人信息罪的认定,应以构成对个人信息权益的实质性民事侵权为前提,并造成了值得刑法干预的严重社会危害,从而改变当前部分司法实践中“唯数量论”的机械倾向。如前所述,单纯以信息“数量”为入罪标准,在复杂的商业场景中存在明显缺陷,它无法有效区分行为的性质和危害程度。因此,应当回归该罪所保护的法益本质。学界通说认为,公民个人信息罪保护的核心法益,是公民对其个人信息的“自决权”以及与之相关的隐私权、安宁权等人格权益。这意味着,一个行为是否构成犯罪,关键要看它是否实质性地侵害了这些受民法典保护的民事权利,并达到了需要刑法介入的严重程度。如果个人信息处理行为在民事侵权上尚存在疑问或者缺乏足够的权利被侵犯的证据,那么直接对其追究刑事责任则显得突兀与不合常理。因此,应建立一个清晰的“民刑衔接”过滤机制。只有在行为构成民事侵权且造成严重危害后果,显示出严重社会危害性和行为人主观恶性时,才应考虑其是否满足侵犯公民个人信息罪的构成要件,启动刑事追诉程序。如果一个行为,如民营企业内部对用户数据进行分析以优化服务,虽然处理了大量数据,但并未对外泄露,也未给用户带来实际的骚扰或损失,那么即便在合规程序上存在瑕疵,也应首先通过民事或行政途径解决,而不应直接将其评价为刑事犯罪。
第四,行政处罚应当优先于刑罚适用。
对于企业处理个人信息的绝大多数违规行为,应优先适用行政处罚和监管措施,只有在情节严重、社会危害性巨大、行政手段已不足以规制时,才应启动刑事程序,严格贯彻刑法的谦抑性原则。《个保法》已经为行政处理提供了丰富的“工具箱”,第六章和第七章详细规定了履行个人信息保护职责的部门及其监管措施,包括约谈、责令改正、没收违法所得、罚款、责令暂停相关业务、吊销许可或执照等。这些行政手段足以应对大多数民营企业在数据处理过程中的一般不合规行为,既能有效纠正违法行为,保护个人权益,又避免了刑事追责对民营企业可能造成的毁灭性打击。
为民营企业在个人信息保护与利用的规则上“吃上定心丸”,其目的并非要削弱对个人信息的保护,恰恰相反,它是为了通过法治的精细化、科学化与确定性,消除法律规则中的模糊地带和不必要的疑虑,实现更高水平的保护与更可持续的发展。这需要立法、司法和行政层面协同努力。在当下,应当着重优化个人信息保护的刑罚适用规则。刑罚是社会治理的最后一道防线,其发动必须保持克制。对于民营企业在探索数据利用过程中的某些非恶意的违规行为,如果未造成严重社会危害,应优先通过警告、罚款、责令整改等民事或行政手段进行调整和规制。坚持刑事谦抑性原则,不应轻易动用刑罚,避免产生扼杀创新的边际效应,保护民营经济在数智社会发展中的积极性。(中国政法大学数据法治研究院 范明志)
【本文刊载于《人民法治》杂志2026年4月下(总第224期) 专题研究栏目】