个人数据权益司法保护困境与优化路径

doi:10.12677/ds.2025.1110302

期刊菜单

个人数据权益司法保护困境与优化路径
Judicial Protection Dilemma of Personal Data Rights and Its Optimization Path

DOI: 10.12677/ds.2025.1110302, PDF, HTML, XML,
作者: 王司迁：湖北大学法学院，湖北武汉
关键词: 个人数据；司法保护；个人数据权益；困境与优化路径；Personal Data； Judicial Protection； Personal Data Rights； Dilemma and Optimization Path

摘要: 在数字化社会中，个人扮演着数据来源的角色，但随之而来的是个人数据被大量收集和利用，导致了越权和滥用的现象。因此，对个人数据权益进行严格保护至关重要。本文将从概念界定开始，探讨个人数据权益的内涵和特点，并与个人信息概念进行比较；分析我国目前对个人数据权益保护的现状及司法实践中的问题；借鉴国际经验，特别是欧盟和美国在该领域的做法，将先进理论和制度引入我国实践；提出界定个人数据权益属性、明确侵权责任、推动个人数据安全技术应用以及设立事前防御的救济路径，以期对未来的个人数据权益保护工作提供指导。

Abstract: In digital societies, individuals serve as primary sources of data; however, this role has led to the extensive collection and utilization of personal data, frequently resulting in overreach and misuse. The stringent protection of personal data rights is critically important. This paper begins by clarifying key concepts, exploring the connotations and attributes of personal data rights, and distinguishing them from the notion of personal information. It then examines the current state of judicial protection of personal data rights in China and identifies practical challenges within legal enforcement. Drawing on international experiences—particularly regulatory practices from the European Union and the United States—the study introduces advanced theoretical frameworks and institutional models that may inform Chinese practice. Finally, proposals for improvement are put forward, including clarifying the legal attributes of personal data rights, defining tort liabilities, promoting the application of data security technologies, and establishing preemptive relief mechanisms. These recommendations aim to provide guidance for enhancing the judicial protection of personal data rights in the future.

文章引用：王司迁. 个人数据权益司法保护困境与优化路径[J]. 争议解决, 2025, 11(10): 40-48. https://doi.org/10.12677/ds.2025.1110302

1. 问题的提出

随着大数据和科学信息技术的不断进步，个人数据已成为重要的生产要素。《中华人民共和国数据安全法》于2021年9月1日开始实施，是我国目前有效的数据安全保护法律。此外，各地区也制定了相应的地方性法规，但整体法律框架尚不完善。该法第27条规定了数据处理者对个人数据的安全保护责任¹，2015年7月1日生效的《国家安全法》明确强调了“重要领域信息系统及数据的安全可控”，将数据安全置于国家安全的重要范畴之中。同时，《民法典》中的“民事权利”章节第111条规定了个人信息的安全和保护事项；²《网络安全法》自2017年开始实施，借鉴了国内外的立法经验，创新性地提出了多项关于个人信息保护的制度，并允许在法律规定范围内开展数据开发利用。深圳市第七届人民代表大会常务委员会于2021年6月29日通过了《深圳经济特区数据条例》，并于2022年1月1日开始实施。该条例第3条明确规定了个人对数据拥有人格权益³，通过与《个人信息保护法》有关公民个人信息保护的规定相结合，该条例将个人数据权益提升至前所未有的新水平，首次引入了“个人数据权益”的概念，为实践中的个人数据权益保护提供了理论支持。在数据产业链条中关于数据权利的利用甚至是滥用行为应如何合理规制，仍是值得探讨的问题。

2. 个人数据权益的理论基础

(一) 个人数据的界定

就个人数据而言，根据《数据安全法》的界定，它是以电子或非电子形式存在的信息记录，特别是指个人的详细资料。个人信息有时被视为个体身份的象征，而数据更多关联于商业运用。隐私作为另一个独特的概念，源自《民法典》，它涵盖了那些人们通常希望保密的私密空间、活动和信息，其本质是维护个人生活的私密性，这部分内容往往与个人信息有所重叠。在现行法律体系中，个人数据权益主要围绕人格权展开，这是依据《数据安全法》确立的法律基础。目前，个人对其数据的主要权益集中在人格层面，尤其是个人信息权益和隐私权利的结合，它们构成了个人在数据处理过程中的控制权，包括知情、访问、删除、更正和可携等具体权利。尽管学术界如周斯佳、相丽玲，高倩云等人提倡赋予数据特定的权利，如“数据权”[1] [2]，但我国立法至今并未赋予数据排他性的财产权利，如“数据二十条”等文件倾向于弱化数据的产权属性。因此，个人数据相关的权益更多被视为一种防御性或消极性的法益，而非积极行使的绝对权，其法律保护程度不及人格权或所有权那样明确和强烈。在隐私权之外，这些权益暂处于权益位阶，而非物权范畴[3]。

(二) 个人数据与个人信息的区分

当前我国法律对信息和数据的界限界定尚未明确，“个人信息”与“个人数据”这两个术语各自独立地在理论构建中占据位置。学术界对两者关系的观点各异：有人主张信息与数据等价，视信息为数据内容，数据为信息形式，反对将两者割裂开来讨论数据权利[4]；另一派认为信息与数据是相对的概念，信息承载意义，数据是信息的载体，强调区别对待两者权利的设计[5]；还有学者持信息范围大于数据的观点，限定数据仅为自动处理的数据[5]；最后，有人认为信息是数据经过处理衍生出的产物，数据则是对客观世界直接记录，涵盖了数值和非数值等各种类型。这些观点反映出对信息和数据关系的不同理解和权利构建策略[4]。个人数据的价值并非源于其原始状态，而是源于数据的收集、处理和应用过程。作为大数据时代的产物，个人数据本质上是符号化的，内容具有客观性，通过加工处理后，它成为个体化的标识，不受主观认识影响；相比之下，个人信息具有较强的主观性，它基于价值判断，不同个体对个人信息的理解和评价因人而异。在特定性方面，个人数据因其计算机系统的特性，呈现出明确的符号组合，无论形式还是内容都具有独特性，不同数据主体的个人数据形式固定不变。然而，个人信息的特定性并非普遍适用，如指纹和基因等是独一无二的，但年龄、身高等信息在未与特定主体关联时缺乏明确指向性。个人信息的权益主体范围取决于其可识别性，即权益主体为个人信息所对应的个体，享有与其人身权和财产权相关联的权利。个人数据在生成、保存、收集和处理的各个阶段，其权益主体随数据流动而变化，可能涉及多个主体[6]。尽管个人数据的概念看似聚焦于个体，但数据处理过程中的传播涉及多方，因此，我认为个人数据的权益主体应当包括但不限于具有法律义务和责任的公司、企业等法人或非法人组织。

基于个人数据和个人信息权益主体的差异，针对两者采取的保护措施和责任归属有所不同。对于个人数据，保护侧重于预防，数据持有者在持有阶段就需要严格遵循法规，预先确保数据安全，防止未经授权的泄露，这种事前控制机制有助于减少侵权风险。而在个人信息保护上，《个人信息保护法》明确了处理者的职责和监督要求，但实际问题多发生在侵权行为发生后，权益主体需通过事后补救来维护自身权益。在责任承担上，个人数据的保护涉及多方，包括数据存储者、数据收集者和数据处理者，他们共同肩负起保护责任。相比之下，个人信息保护的责任主要集中在个人信息处理者身上，他们单独承担起保护个人信息的义务[7]。

(三) 个人数据权益的范畴

多数学者倾向于将个人数据权益视为民事权益的核心议题，以此为核心探讨权属问题及其保护措施。周斯佳在其文章《个人数据权的宪法性分析》中强调，相较于民事权益，个人数据权更偏向于宪法性权利，理由在于其在公法层面发挥关键作用，权利和义务主体之间的关系本质上是公法性质的[8]，而且个人数据权的特性与我国宪法第38条关于人格权的规定相契合⁴。个人数据权益被定义为兼具人格和财产属性的民事权益，它既紧密关联数据主体的人身权益，又蕴含着数据作为资产的经济价值。其人格属性体现在个人数据象征着网络身份和资格，侵犯任何类型的数据，无论是普通还是敏感，都触及数据主体的人格尊严。民法上的财产权包括占有、使用、收益和处分四个要素，随着大数据时代的推进，个人数据产生了可观的经济价值，数据主体能在平台上获取财产收益，拥有控制自己数据的权利，这体现了财产权的特性。

个人数据权益的财产属性源于其内容的经济潜能，随着网络技术和虚拟财产的认可，个人数据具有可交易性。关于数据所有权的归属，学术界存在争议。一部分学者支持赋予个人对数据的财产权，主张限制企业对数据的过度利用和交易[8]，而另一部分则认为数据控制者应拥有绝对的所有权。对于所有权的探讨，关键在于理解数据的应用场景：在生成和保存阶段，个人应享有数据所有权，有权决定如何使用；而在数据收集和处理阶段，由于数据已具衍生价值且未明确指向特定个人，数据控制者可能成为所有权主体，以便支持大数据时代的数据流通[9]。

总之，个人数据权益的财产属性反映了其在数字经济中的价值，但所有权归属需根据数据处理的不同阶段和应用场景进行分析，以平衡各方权益并促进数据的有效利用。

个人数据权益在内容上主要包括以下三个方面：

1) 个人数据知情权，它赋予公民全面了解并决定其个人数据使用情况的权利。个人数据知情权涵盖告知、查询和修改三个关键方面：在数据收集或使用时，公民有权事先知情并选择接受或拒绝；查询权允许公民查问数据来源、类型、内容和处理详情，而修改权则是查询权的延伸，允许公民纠正数据的准确性、完整性和时效性，GDPR第16条对此有所规定。

2) 个人数据删除权(或称为被遗忘权)，即在某些情况下有权请求消除个人数据，特别是在没有合理理由继续保留时。根据欧盟的《一般数据保护法案》，此权利包括撤销个人信息的请求、在特定情境下要求删除数据以及数据控制者有义务彻底清除并通知其他数据处理者删除相关链接和副本。我国《网络安全法》也对此有所呼应。

3) 个人数据财产权。不仅具有象征意义，还蕴含着实质性的经济价值，公民有权从中获得收益和管理。我国虽然尚未明确定义个人数据的财产归属，但法律体系确认了个人数据的经济价值，并给予积极的态度。《民法典》中关于隐私权和个人信息的规定，充分体现了我国对个人数据财产权的法律保护。

3. 个人数据权益司法保护的现实困境

(一) 个人数据权益边界模糊

大部分学者倾向于将个人数据视为一种潜在的物权，主张首先厘清所有权归属以探讨其权益保护[10]。基于所有权的独特性，个人数据理论上只能由单一所有人持有，但在数据流转过程中，不同的处理阶段可能涉及多个权益主体，如数据的初始所有者和个人数据控制者共享所有权。这种共享有可能导致数据权益复杂化，引发所有权争夺的潜在风险，对个人数据权益的保护带来不确定性[6]。然而，不同于物权视角，有观点认为个人数据权益本质上是宪法赋予的，与公民固有的人格权相等同，自数据产生起即归属于个人。这种观点强调个人数据权益在公法层面上的重要性，强调公民与国家之间的信息关系，即公民权利与国家权力的平衡[8]。当个人数据权益受到侵犯时，国家有责任规范数据处理行为，防止滥用公权力。个人数据权益的宪法属性体现在防御和保护两个方面：一是阻止公权力侵犯个人隐私，二是确保公民间的公平和秩序。尽管个人数据具有人格权的烙印，但随着大数据时代的推进，其经济价值日益凸显，已超越传统人格权范畴，成为一种重要的生产资料。然而，我国现行法律体系，特别是《民法典》对个人数据权益的定位并未完全适应这一转变，更多聚焦于人格权层面，没有形成适应大数据时代的全新理论框架。例如，《民法典》第127条虽涉及数据保护，但未明确将其定性为财产权，而是通过准用性规则与其他法律规范相连。尽管已有《数据安全法》和《个人信息保护法》出台，但仍未明确界定个人数据的法律属性，这导致在个人数据权益保护上存在模糊不清的问题。因此，我国在这一领域的立法和实践仍需进一步完善，以应对大数据时代带来的新挑战。

(二) 个人数据权益立法分散

个人数据权益的保护方法尚未形成统一标准，实践中可能存在因情境差异而产生的法律适用不一，这在理论上和实践中均不利于权益的有效保护。因此，迫切需要明确个人数据权益的法律依据和保护模式，以减少理论争议和个案中的歧义，从而强化对个人数据权益的规范性保护。个人数据立法的分散性体现在多元化的法律框架和监管体系中。首先，国家级层面，各国政府通过诸如欧盟的《通用数据保护条例》和美国的《加州消费者隐私法》等法律法规，对个人数据进行系统性的管理和保护。其次，地方和区域层面，根据特定地区的特性和需求，可能设有针对特定行业或场景的数据保护规定。此外，行业自律与标准也在发挥作用，如金融、电信和互联网行业的内部准则，虽非强制性，但对行业内企业有指导作用。企业内部同样制定数据保护政策，确保合规。非正式的约束如行业最佳实践和隐私设计原则也在无形中推动数据保护。最后，面对全球化的数据交流，国际合作机制如OECD的指南在协调各国数据权益保护上扮演着关键角色。这种分散的立法结构反映了现代社会数据环境的复杂性和法律需求的多样性。总结来说，个人数据权益立法的分散是为适应多元化的数据环境和保护需求，不同层面的立法和规定相互补充，形成一个立体的保护网络。这既体现了法治的灵活性，也确保了数据保护的全面性和有效性。然而，这也带来了执法和监管的复杂性，需要各方共同努力，建立有效的协调机制。

(三) 个人数据权益侵权取证困难

司法实践中，个人数据权益侵犯的取证面临诸多挑战，包括技术层面的难题：加密和匿名技术使追踪侵权者变得困难，数据跨境流动则要求跨司法管辖合作，涉及技术操作和国际法协调。证据的保全也面临复杂性，如电子数据的易变性和时效性要求快速反应。此外，法律与政策层面的挑战包括隐私权保护的平衡、不同地区法律定义和侵权判定的异质性，以及司法程序的繁琐和跨境取证的复杂性。经济成本和专业技能也是关键因素，取证工作往往需要高额投入和具备信息技术与法律知识的专业人才。公众对个人数据权益的认识不足和法律教育的匮乏，导致侵权行为可能被忽视，缺乏有效的自我保护和取证意识。要解决这些问题，必须从技术升级、法律完善、公众教育和人才培养等多角度着手，以提升司法实践中个人数据权益保护的效率和效果，遏制侵权行为的发生。

(四) 个人数据权益救济机制有限

当前，我国虽然已制定了相关的个人数据保护法规，但在实际应用中，部分规定存在含糊不清之处，这在司法实践中引发了不确定性。法律对个人数据权益的保护力度仍有提升空间，特别是在侵权赔偿方面，赔偿计算方法和标准的明确性不足，导致受害者在遭受损失后难以得到充分的补偿。取证过程在个人数据权益纠纷中尤为棘手，因为数据的无形性、易复制和易丢失特性，使得证据收集变得困难，而且需证明侵权行为的关联性和因果关系，增加了证据获取的难度[11]。目前，个人数据权益的救济主要依靠民事诉讼途径，然而，其诉讼程序复杂，成本高昂，对于个人来说，寻求司法救济的负担较重。特别是当涉及大量权利人的群体性案件时，法院面临的审判压力进一步增大。即便在法律判决获胜后，执行阶段仍存在难题，如如何有效证明侵权行为和阻止其继续，这些问题在处理个人数据权益纠纷时尤为突出。

4. 个人数据权益保护的域外经验

随着经济和网络技术的迅猛发展，个人数据的需求与日俱增。作为先驱，欧盟和美国在个人数据保护上持严谨态度，制定了详细的措施以确保权益。在数据获取和持有者的责任方面，欧盟倾向于维护个人尊严，对数据收集设定了严格的标准，而美国则侧重于个人自由和自主选择，规定相对宽松。尽管表面上看美国的保护措施可能显得较为灵活，但两者的立法都具有其合理性和适用性。在数据监管层面，欧盟采取政府主导的监管策略，将个人数据和非个人数据区别对待，对前者实施更为严格的保护，同时鼓励数据流通。相比之下，美国的监管更多依赖市场机制，通过行业自律和认证体系进行自我约束和监督。从宏观视角审视，欧盟和美国的立法各有侧重，各有特色，值得我们深入研究和借鉴。

(一) 欧盟对个人数据权益的保护

我国在探讨个人数据保护时，欧盟的个人数据立法，尤其是《通用数据保护条例》(GDPR)⁵，备受学术界和实践者关注。GDPR对个人数据有明确的定义，并视其保护权为基本人权，甚至赋予与宪法同等的地位。欧盟的《基本权利宪章》和数据保护指令强调了公民的个人数据权，特别是尊重个人隐私。欧盟的立法理念建立在尊重个人数据受保护权的基础之上，充分体现了对个体尊严的珍视。GDPR在数据处理中强调人的尊严，对数据获取设置了严格标准，对数据控制者施加了更严格的义务，实施“问责制”。数据控制者需采取技术和组织措施，如数据匿名化，确保在合法范围内保护数据主体的权益。GDPR的第7条明确了个人数据同意的规则，要求在处理数据时需有数据主体的明确同意，并允许他们随时撤回同意，且撤回不影响之前的处理。在判断同意的自愿性时，会考虑合同的实际履行情况，确保同意的自愿性。GDPR通过设立纠正机制，旨在缓解因个人数据不准确或不完整可能带来的负面影响，赋予数据主体权利去要求修正错误的信息，并允许他们通过补充信息来完善数据的完整性。数据可携权和删除权的引入，实质上赋予了个人对其个人数据自由管理和处置的权力。欧盟构建了以数据主体为核心的保护框架，将个人数据保护视为宪法级别的人格尊严和自主选择权利的基础。因此，欧盟并未制定专门针对个人信息的新法规，而是将个人信息保护纳入整体的个人数据保护体系，因为它们本质上是相通的，即保护个人数据实质上就是保护可识别或已识别的个人信息。这种做法将保护个人信息提升到了根本人权的高度，确保了数据主体的核心地位。总的来说，欧盟的个人数据保护框架是基于对个人尊严的尊重和数据受保护权的法定地位，通过细致的规定和严格的执行，保护了数据主体的权益。

(二) 美国对个人数据权益的保护

美国国会研究服务局的两份关键报告——《数据保护法·综述》和《数据保护与隐私法律概览》，详尽剖析了美国当前的数据保护立法状况及未来立法的潜在考量。以往，美国在数据隐私和数据安全领域的立法是分开进行的。然而，近期立法趋势显示出对这两个领域进行整合和统一立法的倾向。鉴于普通法和宪法在数据保护方面的局限性，美国采取了分散立法的策略，已经形成一套全面的框架，涵盖了电信、金融、医疗健康、教育以及儿童在线隐私等多个领域，涵盖了数据收集、使用规定，以及数据控制者和处理者的责任等内容。美国的立法理念注重个体自由和个人选择，对个人数据获取设定相对宽松的条件，鼓励创新性的数据处理实践，但法律体系尚未完全统一，面临着立法方法、州际协调、执法难题、宪法限制以及个人诉讼等复杂挑战。各州在数据泄露方面有各自的法规，如《加州消费者隐私法2018》强化消费者隐私和数据安全，《信息隐私：互联设备法》保护网络设备安全。美国现有的数据保护法律环境既复杂又技术密集，普通法和宪法对互联网用户的隐私保护相对有限。为弥补这一不足，一些地区采取了更为全面的数据保护立法，覆盖广泛的数据类型和对象。2022年，参众两院联合推出的《美国数据隐私和保护法》草案，旨在创建一个强大的国家框架，保障消费者数据隐私和安全，反对歧视性数据使用，这是首个获得两党支持的联邦层面全面隐私保护议案。这一立法被视为在数据隐私立法的关键议题上取得的重要突破。

(三) 欧美保护模式对我国个人数据权益保护的启示

欧盟在个人数据权益保护方面，首先，欧盟采用了“告知与同意”的核心机制，要求数据持有者或处理者在收集和处理个人数据前，必须明确告知数据主体数据的应用目的，并获得他们的明确许可，无论是书面形式的风险提示还是数据使用条款，这在数据获取初期就对控制者设定了义务，有助于预防数据泄露，便于追踪数据侵权行为。其次，欧盟确立了数据主体的删除权和数据可携权，允许数据主体在数据被滥用或用途改变时，有权撤销或删除其数据，同时享有将数据转移到其他服务提供商的自由。然而，考虑到我国的具体国情，这些规定需要灵活调整以适应本地需求。再次，欧盟强调隐私保护设计，提倡对原始数据进行匿名化处理，确保数据流通过程中的保密性，并对数据处理者的活动进行严格监管。对于跨境数据流动，我国应借鉴欧盟的国际规则，推动国际合作，制定统一的跨国数据流通准则，同时通过双边或多边协议解决跨国数据保护问题，以支持我国数据产业的健康发展。美国的数据治理策略倾向于促进数据的流通和价值创造，侧重于市场机制而非政府过度干预。尽管如此，它并未忽视数据主体的权利，而是寻求在促进效率、公平和秩序之间实现多维度价值的平衡。这与大数据时代的趋势相契合，开放共享数据对于挖掘其价值至关重要。尽管美国的数据法律体系存在缺陷，但它在处理价值取舍和保持平衡方面的立法策略，为我们提供了有益的启示，特别是在平衡数据利用与保护之间的关系时。

5. 个人数据权益司法保护的优化路径

(一) 界定个人数据权益的属性

目前，我国对个人数据权益的性质尚未给予清晰定义，这限制了对其有效保护的法律依据和统一标准。我建议采用确权的方式来明确个人数据权益的特性，因为这基于确权理论和实践的需求。尽管我国法律已重视数据权益保护，但尚未将其明确视为独立的权利[12]。因此，可以在此基础上引入“个人数据权”的概念，将其提升为新的民事权利范畴。

借鉴欧盟GDPR将数据保护视为基本人权的做法，虽然我国暂不需要直接将个人数据权益写入宪法，但可以通过法律创新赋予其明确的民事权利地位，以此指导数据收集和处理行为。数据确权不仅是定义权益属性的有效途径，还能推动数据保护体系的完善和促进科技进步。在个人数据权框架内，应强化对数据泄露和侵权的预防和管理，明确数据处理者和主体间的权利义务，确保数据安全。对于违规行为，个人数据权益受损者有权寻求法律救济，诉讼时效应根据《民法典》相关规定设定。侵权责任的判定则需考虑数据重要性、处理主体责任等因素，可能适用过错、过错推定、无过错或公平原则[13]。考虑到个人数据的复杂性和多元价值，保护方式应多样化，包括强化行业自律。尽管我国已有初步的行业自律，但仍需借鉴国际先进经验，发展出适合我国的自律机制[14]。行业自律组织应制定行为准则，接受各方监督，保持独立性，政府监管与行业自律相结合，共同维护数据行业的健康发展。

(二) 明确个人数据侵权责任

当个人数据受到侵害时，应提供适当的救济途径。《数据安全法》规定了违法行为的法律责任，但通常以行政责任为主。个人应有权采取民事责任追究行为人，维护自己的权益。赋予个人数据主体民事权利是有效且可行的选择，依据《民法典》规定的方式，可要求侵权人停止侵害、消除危险、恢复原状。未经允许窃取数据时，可要求删除数据；若数据泄露风险或名誉受损，可要求消除危险、恢复原状并赔礼道歉。被侵权人若证明因数据侵权导致财产损失，侵权人应赔偿损失；若难以确定损失，可根据获利进行赔偿；若获利难以确定，则由法院确定赔偿数额。

(三) 个人数据安全技术的应用

信息技术的进步代表着社会对特定问题的关注程度，也反映了经济、政治、文化等方面的发展。在大数据时代，个人数据对科技和网络的依赖性很高，虽然带来了便利，但也存在潜在风险。由于相关制度尚未完善，信息技术可先行保护个人数据及其权益。应建立以个人数据为核心的安全体系，明确数据来源、质量和应用场景，采用信息技术保障数据安全。在数据保存阶段，可采用加密等技术保护数据物理存储安全；在数据收集阶段，对数据分类并进行安全测试；在数据处理阶段，使用加密或匿名化技术处理个人数据，以防止泄露。此外，要完善事后救济方式，解决个人数据泄露的取证难题，明确侵权责任主体，提高取证效率。

(四) 建立个人数据事前防御路径

尽管《个人信息保护法》规定了个人信息处理者的义务，但实际上大部分个人信息侵权问题都是在事件发生后采取事后救济措施。在侵权发生后，相关权益主体才发现自己的权益受到侵害，并有机会采取行动维护自己的合法权益。因此，为了更全面地保护个人数据权益，需要在现有基础上进行完善。当前的事后救济措施尚不能充分保护个人数据，建立健全个人数据保护的事前防御机制显得尤为迫切和必要。个人数据在不同阶段由不同的数据持有者掌控，在每个阶段都应该尽量降低风险，采取事前防御措施。在个人数据生成和保存阶段，应在个人数据被个性化识别为个人信息之前进行匿名化处理，并且避免违规向第三方透露或提供保存的个人数据。在数据收集阶段，有权收集个人数据的组织应该严格遵守规定，不得越权收集无关的数据，且收集个人数据的范围和限度应该是必要的，不得随意泄露已收集的个人数据。在数据处理阶段，数据处理者应根据利用数据价值的需要客观处理收集到的个人数据，避免任意添加主观判断，以免对原始数据主体造成负面影响[15]。个人数据侵权问题主要发生在数据收集和处理阶段，因此原始数据主体应当具有知情权，并有权决定同意或拒绝数据的收集和处理。《个人信息保护法》第27条已经规定了同意规则，但由于个人数据与个人信息并不完全相同，因此需要进一步完善同意规则以加强在个人数据保护领域的适用性。欧盟GDPR规定了数据收集者需提供证据证明自己有权收集个人数据，我国可借鉴该规定并加以发展，以弥补该领域的不足，这也是事前防御机制的重要内容之一。

6. 结论

在论述个人数据权益的定义、属性和保护必要性的基础上，分析了我国目前个人数据权益保护存在的问题，并对欧盟和美国的相关立法进行了调查，以借鉴其先进做法。同时指出了域外法对我国个人数据权益保护的参考价值，展示了对我国个人数据权益保护措施的多层次、多角度深入分析，强调了其理论和实践价值。在我国数据权益领域各项制度尚未成熟的情况下，借鉴其他国家经验并不是通用的解决方案，需结合我国国情进行具体分析。尽管我国已出台相关立法，但在实践中仍存在不足，需要通过事前防御、事中贯彻落实、事后救济和监督等多方面措施保护个人数据权益。本文提出将个人数据权益提升至前所未有的高度，借鉴国外先进制度经验，并不断完善保护措施，构建个人数据权益保护的多屏障机制，实现个人数据流通和保护并重，同时加强对权利主体的监督。

NOTES

¹《中华人民共和国数据安全法》第27条：“开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行数据安全保护义务。”http://www.npc.gov.cn/c2/c30834/202106/t20210610_311888.html。

²《中华人民共和国民法典》第111条：“自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。” https://www.court.gov.cn/zixun/xiangqing/233181.html。

³《深圳经济特区数据条例》第3条：“自然人对个人数据享有法律、行政法规及本条例规定的人格权益。” https://www.sz.gov.cn/attachment/0/980/980196/9835431.pdf。

⁴《中华人民共和国宪法》第38条：“中华人民共和国公民的人格尊严不受侵犯。禁止用任何方法对公民进行侮辱、诽谤和诬告陷害。”http://www.npc.gov.cn/c2/c30834/201905/t20190521_281393.html。

⁵《GDPR通用数据保护条例-中文版全文》第4条：“个人数据是指任何指向一个已识别或可识别的自然人(数据主体)的信息。该可识别的自然人能够被直接或间接地识别，尤其是通过参照诸如姓名、身份证号码、定位数据、在线身份识别这类标识，或者是通过参照针对该自然人一个或多个如物理、生理、遗传、心理、经济、文化或社会身份的要素。” https://www.chinastor.cn/netsafe/12143M462017.html。

参考文献

[1]	周斯佳. 个人数据权与个人信息权关系的厘清[J]. 华东政法大学学报, 2020, 23(2): 88-97.
[2]	相丽玲, 高倩云. 大数据时代个人数据权的特征、基本属性与内容探析[J]. 情报理论与实践, 2018, 41(9): 45-50+36.
[3]	程啸. 论大数据时代的个人数据权利[J]. 中国社会科学, 2018(3): 102-122.
[4]	彭诚信, 向秦. “信息”与“数据”的私法界定[J]. 河南社会科学, 2019, 27(11): 25-37.
[5]	张莉. 个人信息权的法哲学论纲[J]. 河北法学, 2010, 28(2): 136-139.
[6]	王利明. 论数据权益: 以“权利束”为视角[J]. 政治与法律, 2022(7): 99-113.
[7]	陈敬根, 朱昕苑. 论个人数据的法律保护[J]. 学习与实践, 2020(6): 57-64.
[8]	周斯佳. 个人数据权的宪法性分析[J]. 重庆大学学报(社会科学版), 2021, 27(1): 133-140.
[9]	王融. 关于大数据交易核心法律问题——数据所有权的探讨[J]. 大数据, 2015, 1(2): 49-55.
[10]	韩旭至. 数据确权的困境及破解之道[J]. 东方法学, 2020(1): 97-107.
[11]	窦悦. 数据开放共享与个人隐私保护对策研究——层次数据与算法问责[J]. 现代情报, 2021, 41(7): 146-153.
[12]	付新华. 个人信息权的权利证成[J]. 法制与社会发展, 2021(5): 123-140.
[13]	雷震文. 民法典视野下的数据财产权续造[J]. 中国应用法学, 2021(1): 35-55.
[14]	阮正贤. 大数据财产权的法律属性及法律保护[J]. 北京邮电大学学报(社会科学版), 2021, 23(1): 10-19.
[15]	郑飞, 李思言. 大数据时代的权利演进与竞合: 从隐私权、个人信息权到个人数据权[J]. 上海政法学院学报(法治论丛), 2021, 36(5): 137-149.

为你推荐

友情链接