首頁 資訊 高志宏|個(gè)人信息保護(hù)的公共利益考量——以應(yīng)對突發(fā)公共衛(wèi)生事件為視角

高志宏|個(gè)人信息保護(hù)的公共利益考量——以應(yīng)對突發(fā)公共衛(wèi)生事件為視角

來源:泰然健康網(wǎng) 時(shí)間:2024年12月14日 10:43

原創(chuàng) 高志宏 上海市法學(xué)會 東方法學(xué) 收錄于話題#原創(chuàng)首發(fā) 976 個(gè) #法學(xué) 900 個(gè) #核心期刊 842 個(gè) #東方法學(xué) 147 個(gè)

高志宏

南京航空航天大學(xué)人文與社會科學(xué)學(xué)院教授、法學(xué)博士

要目

一、個(gè)人信息保護(hù)的現(xiàn)實(shí)困境

二、公共利益限制個(gè)人信息權(quán)益的法理基礎(chǔ)

三、公共利益限制個(gè)人信息權(quán)益的制度反思

四、公共利益限制個(gè)人信息權(quán)益的原則釋義

五、個(gè)人信息保護(hù)中公共利益考量規(guī)則的優(yōu)化路徑

結(jié)語

公共利益是個(gè)人信息保護(hù)中必須考慮的因素,其背后是公共利益與個(gè)人利益的價(jià)值衡量。公共利益相對優(yōu)位性這一價(jià)值位階規(guī)律構(gòu)成了公共利益適當(dāng)限縮個(gè)人信息權(quán)益的正當(dāng)性基礎(chǔ),國內(nèi)外立法也普遍將公共利益作為處理個(gè)人信息知情同意機(jī)制的例外情形。利益沖突的多樣性決定了個(gè)人信息保護(hù)的復(fù)雜圖景,救濟(jì)不力的困境更是我國個(gè)人信息保護(hù)的現(xiàn)實(shí)關(guān)照。我國個(gè)人信息保護(hù)法中的公共利益條款存在公共利益內(nèi)涵外延模糊、代表機(jī)制缺失、行使規(guī)則滯后等問題,導(dǎo)致因公共利益泛化濫用侵犯個(gè)人信息權(quán)益現(xiàn)象,這在突發(fā)公共事件應(yīng)對中尤為明顯。在我國制定統(tǒng)一個(gè)人信息保護(hù)法的時(shí)代背景下,個(gè)人信息保護(hù)法治建設(shè)重點(diǎn)應(yīng)發(fā)生轉(zhuǎn)變。宏觀層面,應(yīng)采取公私法協(xié)同推進(jìn)的多元化法治路徑,充分發(fā)揮部門法功能,建立綜合治理模式,并實(shí)現(xiàn)個(gè)人信息保護(hù)法制體系內(nèi)部的統(tǒng)一和協(xié)調(diào)。中觀層面,應(yīng)確立法律授權(quán)、目的正當(dāng)、最小比例、安全保障等公共利益限制個(gè)人信息權(quán)益的基本原則。微觀層面,應(yīng)當(dāng)從界定公共利益的內(nèi)涵外延、明確公共利益代表主體、健全個(gè)人信息保護(hù)救濟(jì)途徑等方面構(gòu)建公共利益限制個(gè)人信息權(quán)益的具體規(guī)范。

隨著網(wǎng)絡(luò)安全法、民法典、數(shù)據(jù)安全法特別是個(gè)人信息保護(hù)法的陸續(xù)出臺,我國個(gè)人信息保護(hù)法律體系逐步建立健全,個(gè)人信息保護(hù)法治建設(shè)從以立法為中心階段邁向以法律適用為中心階段。然而,大數(shù)據(jù)時(shí)代的個(gè)人信息保護(hù)已經(jīng)突破了傳統(tǒng)公私二元立法模式,面臨著數(shù)據(jù)利用和信息安全的兩難窘境。尤其是,在維護(hù)國家安全、保障公共健康、打擊違法犯罪等方面,公共利益成為限制個(gè)人信息權(quán)益的法定理由,如此一來,公權(quán)力機(jī)關(guān)有可能異化為侵犯個(gè)人信息權(quán)益的“多發(fā)地”。換言之,個(gè)人信息保護(hù)不僅涉及個(gè)人利益、企業(yè)利益,而且涉及社會利益、國家利益,與公共安全、國家安全等密切相關(guān)。因此,如何在信息保護(hù)與數(shù)據(jù)共享之間實(shí)現(xiàn)平衡,如何在個(gè)人利益與公共利益之間保持適度張力,需要理論界、實(shí)務(wù)界和立法界深思。公共利益不僅為相關(guān)主體收集、利用和處理個(gè)人信息提供了合法依據(jù),而且也為限制個(gè)人信息權(quán)益提供了明確邊界。所以,探討個(gè)人信息權(quán)益與公共利益之間的關(guān)系具有雙重價(jià)值考量:公共利益為什么能夠限縮個(gè)人信息權(quán)益以及在多大范圍內(nèi)限縮個(gè)人信息權(quán)益?;诖耍P者以突發(fā)公共衛(wèi)生事件為視角對個(gè)人信息保護(hù)的公共利益邊界進(jìn)行研究,并從以下三個(gè)角度漸次展開:一是從實(shí)證主義出發(fā),反思公共利益限制個(gè)人信息權(quán)益的悖論,探討個(gè)人信息保護(hù)中的利益平衡;二是從法教義學(xué)出發(fā),梳理我國個(gè)人信息立法中與公共利益相關(guān)條款,探討其背后的學(xué)理依據(jù);三是從制度創(chuàng)新角度,探討公共利益在限制個(gè)人信息時(shí)應(yīng)當(dāng)堅(jiān)持的基本原則及規(guī)則體系,從而對我國個(gè)人信息保護(hù)法治建設(shè)有所裨益。

一、個(gè)人信息保護(hù)的現(xiàn)實(shí)困境

在互聯(lián)網(wǎng)時(shí)代向大數(shù)據(jù)時(shí)代邁進(jìn)過程中,我國個(gè)人信息保護(hù)立法面臨兩難選擇:一方面,加強(qiáng)個(gè)人信息保護(hù)已成為全面推進(jìn)依法治國的必然要求,尤其是隨著大數(shù)據(jù)應(yīng)用場景的不斷拓展以及數(shù)字貿(mào)易規(guī)則的不斷探索,公眾對個(gè)人信息保護(hù)的呼聲愈發(fā)強(qiáng)烈,“個(gè)人信息安全焦慮”亟待紓解。另一方面,發(fā)展數(shù)字經(jīng)濟(jì)成為我國重要戰(zhàn)略,大數(shù)據(jù)產(chǎn)業(yè)鏈條不斷延展,新經(jīng)濟(jì)業(yè)態(tài)不斷涌現(xiàn),迫切需要通過數(shù)據(jù)運(yùn)用促進(jìn)產(chǎn)業(yè)轉(zhuǎn)型、提升政務(wù)效能、助力公共服務(wù)。從現(xiàn)實(shí)情況看,我國個(gè)人信息保護(hù)面臨著個(gè)人利益、企業(yè)利益、公共利益等多種利益形態(tài)復(fù)雜交織的現(xiàn)實(shí)圖景。

個(gè)人利益:個(gè)人信息保護(hù)的邏輯起點(diǎn)

“人們奮斗所爭取的一切,都同他們的利益有關(guān)?!狈勺鳛橹匾睦嬲{(diào)節(jié)器,以分配、確認(rèn)、保護(hù)利益為旨?xì)w,并主要體現(xiàn)在法律條款的創(chuàng)設(shè)和法律規(guī)范的表達(dá)方面?!胺墒巧鐣懈鞣N利益沖突的表現(xiàn),是人們對各種沖突的利益進(jìn)行評價(jià)后制定出來的,實(shí)際上是利益的安排和平衡。”個(gè)人信息保護(hù)首先涉及的是個(gè)人利益,維護(hù)個(gè)人利益是個(gè)人信息保護(hù)的邏輯起點(diǎn)。

自然人是個(gè)人信息保護(hù)法律關(guān)系中的首要主體,其關(guān)于個(gè)人信息的人格利益訴求是個(gè)人信息保護(hù)立法的基本出發(fā)點(diǎn)。雖然法人以及非法人組織依法可以享有商譽(yù)、名譽(yù)等一定的人格權(quán)益,但從嚴(yán)格意義上而言,個(gè)人信息所蘊(yùn)含的人格權(quán)益應(yīng)當(dāng)由自然人獨(dú)享。甚至有學(xué)者認(rèn)為:“法律對個(gè)人信息加以保護(hù),本質(zhì)上是保護(hù)人格利益(人的尊嚴(yán)和自由),而自然人對其個(gè)人信息,無論單一的還是集合的,其直接經(jīng)濟(jì)價(jià)值都是可以忽略不計(jì)的。”譬如,在疫情防控等突發(fā)公共衛(wèi)生事件應(yīng)對中,家庭住址、身份證號、手機(jī)號碼、活動軌跡、健康醫(yī)療信息等個(gè)人信息均具有“可識別性”,與自然人的人格尊嚴(yán)和安全密切相關(guān),受到包括刑事保護(hù)在內(nèi)的多元化法律措施嚴(yán)格保護(hù)。需要討論的是,個(gè)人信息保護(hù)是否還涉及其他主體利益以及這些利益形態(tài)彼此之間是何種關(guān)系。

公共利益:個(gè)人信息保護(hù)的考量因素

個(gè)人信息具有多種價(jià)值屬性,蘊(yùn)含多種利益訴求。從利益相關(guān)者理論出發(fā),“任何影響組織目標(biāo)實(shí)現(xiàn)或者受組織目標(biāo)實(shí)現(xiàn)影響的個(gè)人或群體”都是利益相關(guān)者。具體到個(gè)人信息保護(hù)領(lǐng)域,自然人、企業(yè)、社會公眾、政府部門等個(gè)人信息的擁有者、受益者、收集者、處理者,或主動或被動參與個(gè)人信息保護(hù)中的主體都可以視為個(gè)人信息保護(hù)利益相關(guān)者。

爭論在于,企業(yè)、社會組織、政府等對個(gè)人信息大量的收集、加工后的數(shù)據(jù)是否享有權(quán)利以及享有什么權(quán)利?當(dāng)前,數(shù)據(jù)已經(jīng)與資本、技術(shù)、土地、勞動等一并成為重要的生產(chǎn)要素和稀缺資源,但由此引發(fā)了個(gè)人信息權(quán)屬爭議,即個(gè)人信息權(quán)益是歸個(gè)人信息指向的自然人所有還是歸信息收集利用者所有?前者事關(guān)自然人的人格利益,后者事關(guān)信息產(chǎn)業(yè)發(fā)展和社會公共利益。我國民法典第127條承繼了民法總則第127條之規(guī)定,確立了個(gè)人信息和數(shù)據(jù)二元保護(hù)體系,即經(jīng)過匿名化(去個(gè)人化和去可識別化)處理的個(gè)人信息所形成的(大)數(shù)據(jù),可以成為財(cái)產(chǎn)權(quán)益的客體而被法人或非法人組織享有?,F(xiàn)代社會建立在大量個(gè)人信息基礎(chǔ)上的大數(shù)據(jù),無論是對于企業(yè)發(fā)展、行業(yè)進(jìn)步還是對于社會治理、國家管理而言,都具有重要意義。這些數(shù)據(jù)信息的所有權(quán)應(yīng)當(dāng)歸收集者所有,屬于個(gè)人信息所衍生出的企業(yè)利益、國家利益、公共利益?!皞€(gè)人信息衍生出來的社會公共利益,主要是社會治理方面的利益,更不直接歸屬于個(gè)人而為國家或社會所享有?!逼┤?,通過大數(shù)據(jù)處理,可以有效地防控疫情、打擊犯罪、預(yù)警危機(jī)等等,這也正是個(gè)人信息的公共管理價(jià)值所在。

個(gè)人信息與國家利益密切相關(guān),國家也是個(gè)人信息保護(hù)中重要的利益單元。一方面,收集、處理和利用個(gè)人信息是現(xiàn)代國家進(jìn)行行政管理、提供公共服務(wù)的普遍做法。譬如,在疫情防控等突發(fā)公共衛(wèi)生事件應(yīng)對中,個(gè)人的生物識別信息、行蹤軌跡信息、特定身份信息等為人群關(guān)聯(lián)分析和疫情風(fēng)險(xiǎn)預(yù)測提供了重要參考依據(jù),利用大數(shù)據(jù)統(tǒng)計(jì)個(gè)人出行記錄、醫(yī)療信息等對分析疫情的性質(zhì)、原因、范圍、發(fā)生地以及采取相應(yīng)防控措施都具有直接作用,收集和處理的公民個(gè)人信息具有個(gè)人權(quán)利自由與社會公共安全的復(fù)合法益屬性。另一方面,某些個(gè)人信息事關(guān)國家安全等重大利益,尤其是對于個(gè)人敏感信息以及特別脆弱群體的個(gè)人信息保護(hù),已經(jīng)超越個(gè)體層面而具有特殊的公共利益價(jià)值。個(gè)人信息保護(hù)中的兒童信息、跨境流動、生物信息等與國家安全、民族利益等密切相關(guān)。因此,現(xiàn)代國家往往從數(shù)據(jù)主權(quán)的高度對個(gè)人信息進(jìn)行保護(hù),限制本國國民個(gè)人信息傳輸流動,防止因個(gè)人信息泄露帶來的國家安全隱患。譬如,對于未成年個(gè)人信息進(jìn)行特殊保護(hù)是國內(nèi)外立法的普遍做法。歐盟通用數(shù)據(jù)保護(hù)條例明確規(guī)定兒童的個(gè)人數(shù)據(jù)需要特殊保護(hù),我國香港地區(qū)2013年個(gè)人資料(隱私)保護(hù)條例強(qiáng)化和細(xì)化了未成年人等弱勢群體信息保護(hù)措施。我國2016年網(wǎng)絡(luò)安全法第13條特別規(guī)定了未成年人信息保護(hù)問題,2019年兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定則專門規(guī)定了未滿14周歲未成年人個(gè)人信息安全問題。

個(gè)人信息保護(hù)也涉及社會不特定多數(shù)人的利益,社會公眾是個(gè)人信息保護(hù)中另一重要的利益主體。在疫情防控等突發(fā)公共衛(wèi)生事件應(yīng)對中,如果防控不力可能導(dǎo)致更多社會公眾的生命健康處于危險(xiǎn)狀態(tài),社會公眾對他人與疫情有關(guān)的個(gè)人信息享有一定的知情權(quán)。國家收集相關(guān)疫情信息并向社會公布是滿足社會公眾知情權(quán)的需要,也是一個(gè)國家公共治理水平的體現(xiàn)。從這個(gè)角度看,知情權(quán)作為一種公民重要的程序性權(quán)利,本身就是一種公共利益。當(dāng)然,個(gè)人的醫(yī)療健康信息也具有重大的科研價(jià)值,有利于一國醫(yī)藥事業(yè)的發(fā)展,這也是個(gè)人信息保護(hù)中的公共屬性和社會價(jià)值。所以,“個(gè)人信息不僅關(guān)涉?zhèn)€人利益,而且關(guān)涉他人和整個(gè)社會利益,個(gè)人信息具有公共性和社會性”。個(gè)人信息尤其是病理信息、基因信息等個(gè)人醫(yī)療健康信息,具有重要醫(yī)療研究價(jià)值,對于國家維護(hù)公共健康意義重大,也具有重要國家治理價(jià)值,對于保護(hù)國家安全利益意義重大。

總之,大數(shù)據(jù)時(shí)代的個(gè)人信息具有典型的復(fù)合法益性質(zhì),不僅涉及自然人的個(gè)體法益,而且涉及社會公眾、國家等集體法益,表現(xiàn)為公眾健康、國家安全、網(wǎng)絡(luò)空間秩序等。個(gè)人信息保護(hù)問題復(fù)雜,關(guān)涉不同利益主體、不同立場、不同訴求,不僅有技術(shù)問題,而且有法律問題,還蘊(yùn)含商業(yè)模式和經(jīng)濟(jì)發(fā)展問題。

利益沖突:個(gè)人信息保護(hù)的復(fù)雜圖景

在個(gè)人信息保護(hù)中,存在個(gè)人、企業(yè)、國家、社會公眾等利益相關(guān)者,這些不同的社會主體的利益訴求并不完全相同,時(shí)而重疊、時(shí)而沖突。概言之,個(gè)人從自身利益出發(fā),希望對其信息權(quán)益進(jìn)行全方位甚至是絕對化的保護(hù),限制他人收集和處理其個(gè)人信息。企業(yè)從商業(yè)利益角度出發(fā),希望最大化的收集和處理個(gè)人信息。國家則面臨兩種價(jià)值取向:一是保護(hù)個(gè)人信息權(quán)益的天然職責(zé)和義務(wù);二是為了國家利益和公共利益收集和處理個(gè)人信息的客觀需要。

個(gè)人利益與公共利益在根本上具有一致性,這不僅體現(xiàn)在兩者的產(chǎn)生具有同源性方面,而且體現(xiàn)在兩者的目的具有一致性、兩者的過程具有可轉(zhuǎn)化性等方面。從理論上來說,公共利益根源個(gè)人利益并蘊(yùn)含個(gè)人利益之中,兩者不應(yīng)當(dāng)發(fā)生沖突。然而,現(xiàn)實(shí)中,公共利益與個(gè)人利益也存在著沖突甚至是尖銳的矛盾。公共利益與個(gè)人利益畢竟是兩種不同的獨(dú)立的利益形態(tài),兩者在語義上、特征上、主體上、層次上、運(yùn)作方式上等方面都極為不同,這是其一。從某種程度上講,兩者屬于此消彼長的關(guān)系。公共利益通常來源個(gè)人利益,公共利益的增進(jìn)通常要以限制、減損乃至剝奪個(gè)人利益為條件,兩者往往處于矛盾或?qū)α⒅?。這種關(guān)系若處理不當(dāng),公共利益有可能淪為縮減個(gè)人利益的借口,成為侵犯個(gè)人利益的“危險(xiǎn)源”。個(gè)人為了自身利益的最大化也可能侵犯公共利益?,F(xiàn)代法律普遍把公共利益作為限制個(gè)人利益的理由之一,我國臺灣地區(qū)學(xué)者陳新民把這些條款稱為消極性條款。值得注意的是,正是由于公共利益是個(gè)人行使權(quán)利、追求利益時(shí)不能超越的外部界限,才導(dǎo)致現(xiàn)實(shí)生活中公共利益限制功能的濫用,而忽視公共利益的保障功能,加劇了公共利益與個(gè)人利益的對立。

具體到個(gè)人信息保護(hù)領(lǐng)域,一方面,公共利益會對個(gè)人信息權(quán)益造成一定限縮。在傳統(tǒng)社會,主要采取隱私權(quán)的方式對個(gè)人信息權(quán)益進(jìn)行保護(hù),即通過民法制度注重個(gè)人隱私所蘊(yùn)含的人格尊嚴(yán)和人格自由價(jià)值,并采取絕對化的保護(hù)方式,從而保障個(gè)人信息權(quán)益免受他人侵犯。然而,到了信息社會,個(gè)人信息利益主體日益多樣,利益關(guān)系日益復(fù)雜,個(gè)人信息所蘊(yùn)含的經(jīng)濟(jì)利益和社會價(jià)值日益凸顯,對個(gè)人信息資源的利用成為不可逆的發(fā)展趨勢。在這一時(shí)代背景下,個(gè)人信息、數(shù)據(jù)與隱私相分離,并采取與隱私迥然相異的保護(hù)進(jìn)路。尤其是在大數(shù)據(jù)技術(shù)成為政府進(jìn)行國家管理和社會治理的重要手段后,基于公共利益考量,國家不再僅僅承擔(dān)個(gè)人信息保護(hù)者的角色,而同時(shí)成為個(gè)人信息的收集者和處理者,即采取個(gè)人信息保護(hù)和利用并重的政策取向。如此一來,必然會造成個(gè)人信息權(quán)益與公共利益的沖突。實(shí)際上,世界各國都普遍規(guī)定,出于疫情防控、人口普查、打擊犯罪等重大利益,可以對公民享有的個(gè)人信息權(quán)進(jìn)行限縮。另一方面,個(gè)人信息權(quán)益與社會公眾知情權(quán)的沖突。知情權(quán)作為憲法規(guī)定的一項(xiàng)基本權(quán)利,要求政府公開相關(guān)信息,即使涉及個(gè)人隱私但如果對公共利益造成重大影響也應(yīng)當(dāng)公開。這就必然導(dǎo)致個(gè)人信息權(quán)與社會公眾知情權(quán)之間的沖突。譬如,在疫情防控等突發(fā)公共衛(wèi)生事件應(yīng)對中,政府部門面臨著個(gè)人信息知情同意權(quán)與社會公眾知情權(quán)保護(hù)、個(gè)人信息安全與公共健康之間的沖突問題。

與疫情有關(guān)的個(gè)人信息是國家疫情防控?cái)?shù)據(jù)的來源,出于公共健康、社會穩(wěn)定、國家安全等需要,政府及其衛(wèi)生、疾控等部門以及醫(yī)療機(jī)構(gòu)可以不經(jīng)個(gè)人“知情同意”而收集這些個(gè)人信息。社會公眾有權(quán)要求政府有關(guān)部門收集并發(fā)布與疫情有關(guān)的個(gè)人信息,包括確診患者、疑似患者和密切接觸者的相關(guān)信息,而個(gè)人不能以個(gè)人信息保護(hù)為由不予提供或不予配合。因此,為了疫情防控需要,公民個(gè)人必要時(shí)需要讓渡自己的個(gè)人信息權(quán)益,作為疫情公共信息而由政府部門收集、使用甚至向社會公眾公開,這也是個(gè)人承擔(dān)公共安全保障義務(wù)的要求和體現(xiàn)。所以,大數(shù)據(jù)時(shí)代的個(gè)人信息保護(hù),不是以單向的維護(hù)個(gè)人信息權(quán)益為唯一追求,而是要將相關(guān)主體的復(fù)雜利益納入綜合考量,從而在這些異質(zhì)利益之間的博弈中達(dá)到平衡。

救濟(jì)不力:個(gè)人信息保護(hù)的司法困境

當(dāng)前,我國當(dāng)前個(gè)人信息保護(hù)救濟(jì)機(jī)制呈現(xiàn)出“重追責(zé)輕管理”“刑先民(行)后”“重刑輕民(行)”等特點(diǎn),存在個(gè)人信息權(quán)益保護(hù)面臨實(shí)體法保護(hù)乏力的立法困境、政府部門監(jiān)督制約機(jī)制闕如的執(zhí)法困境以及民事訴訟作用難以有效發(fā)揮的司法困境。個(gè)人信息司法保護(hù)的突出問題,一方面表現(xiàn)為個(gè)人信息侵權(quán)行為具有的行為分散、成本低、維權(quán)難導(dǎo)致司法實(shí)踐中侵犯主體認(rèn)定難、取證舉證難、侵權(quán)責(zé)任認(rèn)定難等司法救助機(jī)制不完善問題;另一方面表現(xiàn)為政府機(jī)構(gòu)濫用“公共利益”而侵犯個(gè)人信息權(quán)益但缺乏監(jiān)督和救濟(jì)問題。對于國家機(jī)關(guān)等承擔(dān)行政職能的法定機(jī)構(gòu)而言,其收集和處理個(gè)人信息不同于自然人、企業(yè)、社會組織等其他社會主體,是基于法定職責(zé)和公共利益需要,其行為具有強(qiáng)制性。一旦濫用這種公權(quán)力,給信息主體造成的威脅或危害更大,因此,需要更強(qiáng)更完善的監(jiān)督制度和責(zé)任制度。

二、公共利益限制個(gè)人信息權(quán)益的法理基礎(chǔ)

“法益論有兩個(gè)思考方向:一是往理念、價(jià)值性方向思考,二是往事實(shí)性、因果性方向把握?!眰€(gè)人信息保護(hù)中,為何受到公共利益的限制?其法律依據(jù)是什么?這種限制本身有無限制或邊界?需要梳理個(gè)人信息保護(hù)立法中的公共利益條款,并進(jìn)一步分析制度設(shè)計(jì)背后的利益考量。

法律依據(jù):公共利益限制個(gè)人信息權(quán)益的立法表達(dá)

隨著我國經(jīng)濟(jì)的發(fā)展、改革的深入,利益主體多元化、利益形態(tài)多樣化、利益關(guān)系復(fù)雜化趨勢明顯,“公共利益”越來越多地出現(xiàn)在法律條文中,甚至推動了法律本位的遞進(jìn),即從以國家利益為本位到以個(gè)人利益為本位再到以公共利益為本位。通過梳理歸納公共利益立法條款,大致可以分為目的性總則條款、特定義務(wù)條款、法律責(zé)任條款、法律適用保留條款、特定授權(quán)條款等幾類。其中,特定授權(quán)條款是最為常見條款,即明確將公共利益作為限制、克減甚至褫奪個(gè)人財(cái)產(chǎn)(利益)的理由。譬如,憲法第10條規(guī)定:“國家為了公共利益的需要,可以依照法律規(guī)定對土地實(shí)行征收或者征用并給予補(bǔ)償?!泵穹ǖ涞?43條也有類似規(guī)定??梢哉f,法律普遍將公共利益作為限制個(gè)人利益的合法條件。

就個(gè)人信息保護(hù)立法而言,亦存在諸多公共利益條款。這些條款或者將公共利益視為民事責(zé)任免責(zé)的事由之一,譬如民法典第1036條;或?qū)⒐怖嬉暈榉商厥獗Wo(hù)的對象,譬如網(wǎng)絡(luò)安全法第31條、數(shù)據(jù)安全法第2條、個(gè)人信息保護(hù)法第10條;或?qū)⒐怖嬉暈樘幚韨€(gè)人信息的法定情形,譬如個(gè)人信息保護(hù)法第13條;或?qū)⒐怖嬉暈閭€(gè)人信息跨境流動的禁止事項(xiàng),譬如個(gè)人信息保護(hù)法第42條。

上述個(gè)人信息保護(hù)立法中的公共利益條款大致可以分為兩類:一類是公共利益特殊保護(hù)條款,根據(jù)這些條款,任何組織、個(gè)人不得從事危害公共利益的個(gè)人信息處理活動;另一類是公共利益責(zé)任豁免條款,根據(jù)這些條款,個(gè)人信息控制者根據(jù)法律規(guī)定可以無需征得信息主體的授權(quán)同意而處理其個(gè)人信息并不承擔(dān)法律責(zé)任。民法典在第1036條規(guī)定了3種處理個(gè)人信息而可以不承擔(dān)民事責(zé)任的情形,而其中第三種情形就包括為維護(hù)“公共利益”合理實(shí)施的其他行為。在大數(shù)據(jù)時(shí)代,由于知情同意機(jī)制的局限性,這種責(zé)任豁免具有更廣泛的適用意義。個(gè)人信息保護(hù)法借鑒了歐盟GDPR的相關(guān)規(guī)定,在第13條規(guī)定了7種可以處理個(gè)人信息的合法性事由,其中有兩種情形與“公共利益”直接相關(guān),即第四項(xiàng)和第五項(xiàng),有兩種情形與“公共利益”間接相關(guān),即第三項(xiàng)和第七項(xiàng)。

整體而言,民法典首先通過隱私權(quán)、個(gè)人信息權(quán)益等方式保護(hù)個(gè)人信息,然后通過個(gè)人信息收集和處理以及數(shù)據(jù)權(quán)益等方式體現(xiàn)個(gè)人信息保護(hù)的例外。個(gè)人信息保護(hù)法承繼了這一立法理念,在確立個(gè)人信息私益保護(hù)基本原則的同時(shí),也規(guī)定了國家機(jī)關(guān)在“為維護(hù)國家安全、公共安全或增進(jìn)社會公共利益”時(shí),可以收集、處理或利用個(gè)人信息。這彰顯出個(gè)人信息的多元價(jià)值及其立法訴求——有序共享——主張維護(hù)個(gè)人信息權(quán)益的同時(shí)發(fā)揮個(gè)人信息的社會公共價(jià)值。

價(jià)值位階:公共利益限制個(gè)人信息權(quán)益的正當(dāng)性基礎(chǔ)

如果說個(gè)人信息立法為公共利益限制個(gè)人信息權(quán)益提供了合法性基礎(chǔ),那么,就需要進(jìn)一步分析這一立法背后的價(jià)值考量,即公共利益限制個(gè)人信息權(quán)益的正當(dāng)性基礎(chǔ)。這涉及個(gè)人利益與公共利益乃至個(gè)人與社會之間的關(guān)系問題。個(gè)人信息保護(hù)中利益主體眾多,利益沖突情境復(fù)雜,利益衡量因素多元。公共利益限縮個(gè)人信息權(quán)益的根基在于在利益價(jià)值位階中,公共利益處于相對優(yōu)先位置。

在現(xiàn)代文明社會,普遍認(rèn)為當(dāng)公共利益與個(gè)人利益發(fā)生沖突時(shí)具有優(yōu)先價(jià)值。公共利益與個(gè)人利益是兩種不同的獨(dú)立利益單元,代表著不同的價(jià)值取向,當(dāng)兩者發(fā)生沖突的時(shí)候,如何取舍?傳統(tǒng)上,堅(jiān)持公共利益本位,即公共利益具有至高無上的地位?!肮怖嬖谛纬蛇^程中,過濾掉了個(gè)人利益中的任意性、偶然性和特殊性的因素,同時(shí)又綜合、放大了其中的合理性、必然性和普遍性的成分,使某種普遍合理的利益得以生成和延續(xù)。”在法律適用中需要對自由、權(quán)利、公平、秩序等利益價(jià)值進(jìn)行衡量,并在利益訴求發(fā)生沖突時(shí)以高位階利益為優(yōu)先,這已是法律共識。實(shí)際上,無論是歐盟GDPR抑或是美國2018年加州消費(fèi)者隱私法案,還是其他國家個(gè)人信息保護(hù)立法,都未將個(gè)人信息權(quán)益作為絕對的優(yōu)先項(xiàng),更毋寧說唯一選項(xiàng)了;而是將個(gè)人信息置于特定場景中考慮各方利益并進(jìn)行綜合平衡。相反,在疫情防控等突發(fā)公共衛(wèi)生事件應(yīng)對中,堅(jiān)持公共利益優(yōu)先,適當(dāng)?shù)赝黄苽€(gè)人信息保護(hù)屏障,是世界各國的普遍做法。譬如,我國傳染病防治法、突發(fā)事件應(yīng)對法、突發(fā)公共衛(wèi)生事件應(yīng)急條例等法律法規(guī),都規(guī)定了行政機(jī)關(guān)有權(quán)收集和使用個(gè)人信息,亦規(guī)定了公民配合行政應(yīng)急權(quán)的義務(wù),包括信息報(bào)告義務(wù),從而便于行政機(jī)關(guān)及時(shí)、準(zhǔn)確、充分地掌握突發(fā)事件相關(guān)情況。

歸根結(jié)底,公共利益與個(gè)人利益的關(guān)系問題屬于價(jià)值衡量問題。正如德國著名法學(xué)家拉倫茨所言,法官于個(gè)案中進(jìn)行的利益衡量不過是根據(jù)個(gè)案具體情況賦予不同法益不同的“重要性”。與個(gè)人利益相比,公共利益具有相對優(yōu)位性,這是限制個(gè)人信息權(quán)益的理由。個(gè)人信息保護(hù)不僅涉及個(gè)人的合法權(quán)益即個(gè)人利益,而且涉及國家安全、公眾健康、經(jīng)濟(jì)發(fā)展等不特定多數(shù)人的合法權(quán)益即公共利益。根據(jù)公共利益相對優(yōu)位的基本法理,不難得出為了公共利益可以適當(dāng)限制個(gè)人信息權(quán)益的結(jié)論。從實(shí)際來看,行政機(jī)關(guān)限縮個(gè)人信息權(quán)益通常是為了應(yīng)對突發(fā)事件等緊急情況,符合行政應(yīng)急原則。公共行政以維護(hù)和增進(jìn)公共利益為旨?xì)w,在疫情防控等突發(fā)公共衛(wèi)生事件應(yīng)對中,行政機(jī)關(guān)為了公共利益可以采取包括限制個(gè)人信息權(quán)益在內(nèi)的行政應(yīng)急措施,以及時(shí)控制和消除突發(fā)事件帶來的危害。換言之,由于突發(fā)公共衛(wèi)生事件的緊急性、公共性、危害性等特點(diǎn),決定了國家公權(quán)力可以合理擴(kuò)張,及時(shí)啟動應(yīng)急處置程序,采取應(yīng)急處置措施。與此相對應(yīng),公民私權(quán)利應(yīng)當(dāng)限縮或者克減,并對行政機(jī)關(guān)采取的防控措施負(fù)有容忍和服從義務(wù)。

更何況,大數(shù)據(jù)時(shí)代,個(gè)人信息已經(jīng)超越了傳統(tǒng)社會隱私的范疇而具有雙重屬性,其公共產(chǎn)品特征日趨明顯。我們雖然不贊同隱私具有公共屬性和經(jīng)濟(jì)價(jià)值的觀點(diǎn),但認(rèn)為個(gè)人信息與公共利益密切相關(guān),具有一定的財(cái)產(chǎn)價(jià)值。當(dāng)今社會,個(gè)人信息權(quán)益的排他性被極大弱化,自然人等個(gè)體對其信息權(quán)益的支配性也大大降低。與此相對應(yīng),個(gè)人信息的公共性逐步增強(qiáng),個(gè)人信息所蘊(yùn)含的公共利益價(jià)值日益凸顯。譬如,在疫情防控等突發(fā)公共衛(wèi)生事件應(yīng)對中,生命健康權(quán)具有基本權(quán)利屬性,具有價(jià)值衡量中的優(yōu)先地位,尤其是公眾的生命健康權(quán)屬于更大的公平與正義。每個(gè)人都有公共衛(wèi)生安全保障的法定義務(wù)和責(zé)任,為了不特定多數(shù)人的生命健康,個(gè)人隱私信息權(quán)利受到一定限制,國家相關(guān)部門根據(jù)疫情防控需要可以收集和處理公民個(gè)人信息,此時(shí)個(gè)人利益不可避免地要讓渡給公共利益。

利益平衡:大數(shù)據(jù)時(shí)代個(gè)人信息權(quán)益保護(hù)的應(yīng)然追求

合理適度是科學(xué)立法的題中應(yīng)有之義,個(gè)人信息保護(hù)時(shí)利益衡量必不可少?!昂唵位睦嫖浑A排序,不能為沖突關(guān)系的解決提供最終答案”“應(yīng)當(dāng)是在考量不同情境的基礎(chǔ)上,對各異質(zhì)利益的利益本質(zhì)及其沖突關(guān)系解釋與調(diào)和,以實(shí)現(xiàn)緊張關(guān)系的緩和乃至消解?!苯∪膫€(gè)人信息保護(hù)法律制度,尤其要考慮到合理適度,既要避免法律缺失、信息被濫用也要避免防護(hù)過度,從而在個(gè)人利益與公共利益之間達(dá)到某種平衡。問題在于,如何判斷在個(gè)人信息保護(hù)的框架下是否達(dá)到了利益平衡?筆者認(rèn)為,應(yīng)當(dāng)堅(jiān)持以下基本立場:公共利益具有相對優(yōu)位性,即公共利益的優(yōu)位是相對的,而不是絕對的、無條件的。對此,可以從以下四個(gè)方面理解:

其一,從社會優(yōu)先于個(gè)人這一現(xiàn)代文明社會基本原則出發(fā),公共利益優(yōu)先于個(gè)人利益。公共利益與個(gè)人利益相比,公共利益是更高層次的根本性的重大利益,理應(yīng)具有更重要的地位。從現(xiàn)實(shí)看,規(guī)定“公共利益優(yōu)于個(gè)人利益”也是現(xiàn)代立法的普遍做法。具體到憲法文本方面,大致有兩種確立公共利益價(jià)值優(yōu)位的規(guī)范:一種是個(gè)人利益的實(shí)現(xiàn)不得侵害公共利益,這是社會個(gè)體的消極義務(wù);另一種是為了公共利益的需要可以限制個(gè)人利益,這是社會個(gè)體的積極義務(wù)。對此,在分析公共利益限制個(gè)人信息權(quán)益的正當(dāng)性時(shí)已有涉及,此不贅述。

其二,公共利益的優(yōu)位性是相對的。絕對化的公共利益是不存在的,不存在不以個(gè)人利益為出發(fā)點(diǎn)和依歸的公共利益。在利益沖突中,公共利益并不當(dāng)然地具備優(yōu)先性,也并非占有優(yōu)勢地位。我們對于公共利益優(yōu)位的理解不能是絕對化、片面化,過分強(qiáng)調(diào)兩者的對立,忽略兩者的統(tǒng)一。在個(gè)人信息保護(hù)中,行政機(jī)關(guān)基于公共利益需要限制個(gè)人信息權(quán)益也并非絕對。譬如,在疫情防控等突發(fā)公共衛(wèi)生事件應(yīng)對中,相關(guān)部門不得公開那些可識別的個(gè)人信息,不得侵犯公民的基本權(quán)利。

其三,公共利益的優(yōu)位性要結(jié)合具體情況作具體分析,而不是所有的公共利益在任何情況下都可以限制個(gè)人利益?!肮怖娌粦?yīng)是始終絕對優(yōu)先和主導(dǎo)的利益。機(jī)械地把公共利益絕對凌駕于個(gè)體利益或者其他利益之上,不僅是對其他合法利益的侵犯,而且是違背公共利益正當(dāng)性精神的?!睋Q言之,“公共利益確實(shí)應(yīng)該是可以判斷的,這種判斷在結(jié)合某一情景時(shí)應(yīng)當(dāng)有其內(nèi)在的正當(dāng)性、合理性,否則就會導(dǎo)致權(quán)力的濫用。”這體現(xiàn)在個(gè)人信息保護(hù)方面,即是近年來學(xué)界提出的場景化問題,即在特定情境下對相關(guān)利益進(jìn)行比較和權(quán)衡。

其四,公共利益的優(yōu)先性應(yīng)受到正當(dāng)法定程序的限制。當(dāng)公共利益的實(shí)現(xiàn)必須要以犧牲個(gè)人利益為代價(jià)時(shí),要用嚴(yán)格的法定程序予以規(guī)范。質(zhì)言之,任何對個(gè)人利益的剝奪,都應(yīng)當(dāng)有充分的理由,依據(jù)法定程序,并給予公平、及時(shí)地補(bǔ)償。就個(gè)人信息保護(hù)而言,雖然不完全適用“知情——同意”規(guī)則,但亦應(yīng)當(dāng)遵守相關(guān)程序性規(guī)定。

三、公共利益限制個(gè)人信息權(quán)益的制度反思

前已述及,大數(shù)據(jù)時(shí)代的個(gè)人信息具有價(jià)值多元性,個(gè)人信息保護(hù)要兼顧自然人、企業(yè)、政府等多方利益,從而在個(gè)人信息的人格價(jià)值與公共管理價(jià)值之間、個(gè)人信息利用與保護(hù)之間實(shí)現(xiàn)平衡。問題的難點(diǎn)在于,個(gè)人在整個(gè)信息處理過程中始終處于被動境地,傳統(tǒng)私權(quán)救濟(jì)手段難以抗衡企業(yè)和政府管理部門處理個(gè)人信息的強(qiáng)大動力,而限制個(gè)人信息的合法理由——“公共利益”又時(shí)常因?yàn)閮?nèi)涵外延模糊、代表機(jī)制缺失、行使規(guī)則滯后而陷入困境之中。

公共利益內(nèi)涵外延的模糊

如果對公共利益的概念界定不清,必然會導(dǎo)致公共利益的虛化、泛化,從而成為侵害個(gè)人利益的“危險(xiǎn)源”。實(shí)際上,在法治社會,清晰而合理地界定公共利益的內(nèi)涵及外延,已不再僅僅是抽象的理論問題,而是一個(gè)關(guān)乎國家法律制度設(shè)計(jì)法治實(shí)踐的重大現(xiàn)實(shí)問題。然而,公共利益作為一個(gè)“羅生門”式的概念,一直存在爭議,至今尚未形成一個(gè)公認(rèn)的可操作性定義。英國功利主義的代表人物邊沁把公共利益界定為“最大多數(shù)人的最大的利益和幸福?!蔽覈_灣地區(qū)學(xué)者王澤鑒把公共利益定義為“涉及的是不特定多數(shù)社會成員的利益”??梢姡P(guān)于公共利益的概念,見仁見智。美國行政倫理學(xué)家?guī)扃晟踔琳J(rèn)為,“要想給出一個(gè)能得到理論界或?qū)嶋H工作者公認(rèn)的‘公共利益’定義,是不可能的”。因此,公共利益作為一種價(jià)值理念,是一個(gè)關(guān)涉政府合法性和政治正義性的基石性概念,但在事實(shí)層面卻是一個(gè)充滿爭議性話題,立法層面也幾乎沒有對公共利益作出明確界定。公共利益內(nèi)涵外延的模糊,必然會導(dǎo)致個(gè)人信息保護(hù)面臨窘境。

公共利益代表機(jī)制的缺失

問題的難點(diǎn)還在于,誰能代表公共利益?這涉及公共利益的代表機(jī)制問題?!捌鋵?shí),公共利益的關(guān)鍵并不在于共同體的不確定性,而在于誰來主張公共利益?!睆哪撤N程度上而言,國家就是基于保護(hù)公共利益而產(chǎn)生的,現(xiàn)代國家更是以增進(jìn)、實(shí)現(xiàn)和維護(hù)公共利益為己任,國家機(jī)關(guān)也常常被視為公共利益的代表,增進(jìn)和維護(hù)公共利益是其存在的主要目的乃至唯一目的。然而,國家機(jī)關(guān)在增進(jìn)公共利益時(shí)存在“異化”傾向,即存在追求自身利益的動機(jī)。在公權(quán)力與私權(quán)利的關(guān)系中,公權(quán)力居于絕對主導(dǎo)地位,加上公權(quán)力的自我擴(kuò)張性,公權(quán)力對私權(quán)利的限制、侵犯乃至剝奪普遍可見。具體到個(gè)人信息保護(hù)方面,由于公共利益邊界不明,同時(shí)缺乏對公權(quán)力控制、監(jiān)督和制約的有效機(jī)制,因而公共利益的虛化、弱化和泛化現(xiàn)象嚴(yán)重,導(dǎo)致政府機(jī)關(guān)、社會組織乃至企業(yè)以公共利益為由肆意侵犯個(gè)人信息,存在信息收集主體多元化的突出問題。

當(dāng)前,我國個(gè)人信息保護(hù)工作分散在中央網(wǎng)信辦、工信部、公安部、交通運(yùn)輸部、市場監(jiān)管總局等中央政府部門以及銀監(jiān)會、國家衛(wèi)健委、中央人民銀行等專業(yè)監(jiān)管機(jī)關(guān),網(wǎng)絡(luò)、工信、金融、教育、醫(yī)療衛(wèi)生、不動產(chǎn)登記等領(lǐng)域也都涉及個(gè)人信息權(quán)益保護(hù)管理職責(zé),“九龍治水”、職權(quán)交叉、執(zhí)法不一、條塊分割、規(guī)范沖突等問題異常突出。以疫情防控等突發(fā)公共衛(wèi)生事件應(yīng)對為例,我國傳染病防治法第12條以及突發(fā)事件應(yīng)對法第38條規(guī)定了有權(quán)收集個(gè)人信息的主體范圍,包括疾控機(jī)構(gòu)、醫(yī)療機(jī)構(gòu),以及縣級以上各級政府及其專業(yè)部門。然而,疫情防控實(shí)踐中,流動人員要同時(shí)面對流出地和流入地社區(qū)、街道、居委會、村委會、公安、交通、所在單位等多部門、多層級關(guān)于身體狀況、家庭住址、通勤信息等個(gè)人信息的重復(fù)采集,明顯超出了法律授權(quán)范圍,且造成了行政資源和社會資源的極大浪費(fèi),也加大了個(gè)人信息泄露的風(fēng)險(xiǎn)。因此,在我國個(gè)人信息保護(hù)領(lǐng)域是否有設(shè)立一個(gè)獨(dú)立的專門機(jī)構(gòu)的必要值得思考。

因此,公共利益經(jīng)常固然表現(xiàn)為對全民或整體利益的維護(hù)和偏袒,但這絕不意味著把個(gè)人利益作為實(shí)現(xiàn)公共利益的“墊腳石”。大數(shù)據(jù)時(shí)代,個(gè)人被完全信息化,數(shù)據(jù)人格被深度塑造且無法被遺忘。建立在數(shù)據(jù)挖掘和整合基礎(chǔ)上的碎片化的個(gè)人信息,可以形成對個(gè)人財(cái)富、身份、偏好、性格的精準(zhǔn)分析和預(yù)測,企業(yè)以此進(jìn)行精準(zhǔn)營銷,政府和社會組織以此進(jìn)行有效治理。在強(qiáng)大公權(quán)力支配以及“公共利益”合法理由支撐下,個(gè)人信息保護(hù)面臨重大挑戰(zhàn),需要反思和重構(gòu)傳統(tǒng)個(gè)人信息保護(hù)法律制度。

公共利益行使規(guī)則的滯后

個(gè)人信息賦權(quán)保護(hù)已成學(xué)界共識,然而,現(xiàn)代信息技術(shù)的發(fā)展客觀上增加了個(gè)人信息保護(hù)的難度甚至陷入了困境。一方面,個(gè)人信息的范圍不斷擴(kuò)大?!翱勺R別性”是判斷個(gè)人信息的標(biāo)準(zhǔn),即能夠直接或間接“識別”出特定自然人的信息屬于個(gè)人信息,但隨著信息技術(shù)的進(jìn)步,能識別的個(gè)人信息范圍不斷拓展。另一方面,個(gè)人信息保護(hù)的手段日漸不足?!爸椤狻币?guī)則和匿名化規(guī)則是被視為保護(hù)個(gè)人信息的有效手段,但公共利益行使規(guī)則的滯后使得這兩個(gè)規(guī)則陷入僵化。

一是對于公共利益限制個(gè)人信息權(quán)益的程序性規(guī)定不足。仍以疫情防控等公共衛(wèi)生事件為例,我國傳染病防治法第38條第2款規(guī)定,公布傳染病疫情信息應(yīng)當(dāng)及時(shí)、準(zhǔn)確。但對于公布哪些信息、以什么方式公布、按什么途徑公布以及公布的期限等程序性內(nèi)容卻均未作系統(tǒng)、明確規(guī)定,從而無法為疫情防控中的個(gè)人信息保護(hù)工作提供精確指引。

二是在隱私政策披露方面存在重大缺陷。隱私政策披露是個(gè)人信息保護(hù)領(lǐng)域?qū)ζ髽I(yè)、政府、社會組織等個(gè)人信息收集主體尤其是網(wǎng)站、App運(yùn)營者的基本要求。然而,從實(shí)踐看,我國企業(yè)隱私政策披露自我規(guī)制機(jī)制仍處于初步建立階段,政府隱私政策披露機(jī)制更是闕如,存在政府個(gè)人信息收集正當(dāng)性基礎(chǔ)薄弱、使用約束機(jī)制欠缺等一系列問題。譬如,在疫情防控期間,各地普遍通過“健康碼”作為決定個(gè)人是否有權(quán)出行、是否獲得復(fù)工復(fù)產(chǎn)的重要證明,而“健康碼”是建立在獲取個(gè)人行程軌跡基礎(chǔ)上對個(gè)人健康風(fēng)險(xiǎn)等級的綜合評判,“健康碼”的形成構(gòu)成“自動化行政”,理應(yīng)屬于行政行為,但能否審查健康碼結(jié)果的合法性?如何評判這一自動化決策的合法性?公民如何獲得救濟(jì)?對這些問題尚未有明確的制度設(shè)計(jì)。

三是以公共利益之名收集和利用個(gè)人信息缺乏有效約束。由于個(gè)人信息涉及多方利益,政府在收集和利用個(gè)人信息時(shí)既要滿足公共治理的需要又要避免對過度侵占個(gè)人信息。但在實(shí)踐中,統(tǒng)一的個(gè)人信息收集標(biāo)準(zhǔn)闕如,多頭重復(fù)收集情況嚴(yán)重,濫采濫用問題突出,審查機(jī)制漏洞明顯,因公共數(shù)據(jù)濫用或監(jiān)管不力導(dǎo)致的個(gè)人信息泄露風(fēng)險(xiǎn)居高不下,各部門間個(gè)人信息數(shù)據(jù)庫的壁壘極大地限制了公共數(shù)據(jù)的流通和整合。

四、公共利益限制個(gè)人信息權(quán)益的原則釋義

基本原則在個(gè)人信息保護(hù)中具有極為重要的作用。個(gè)人信息保護(hù)法規(guī)定了個(gè)人信息處理七大基本原則,分別是合法性原則(第5條)、目的明確原則(第6條)、最小必要原則(第6條)、公開透明原則(第7條)、準(zhǔn)確性原則(第8條)、可問責(zé)性原則(第9條)、數(shù)據(jù)安全原則(第9條)。這些基本原則體現(xiàn)著個(gè)人信息保護(hù)的價(jià)值導(dǎo)向和法律理念。國家機(jī)關(guān)基于公共利益理由限制個(gè)人信息權(quán)益時(shí)亦應(yīng)當(dāng)遵循一定的基本原則,這些基本原則既是上述個(gè)人信息保護(hù)基本原則的延伸和體現(xiàn),又有著自身的獨(dú)特性,應(yīng)主要包括法律授權(quán)原則、目的正當(dāng)原則、最小比例原則、安全保障原則等。法律授權(quán)原則決定了干預(yù)個(gè)人信息的依據(jù),體現(xiàn)出國家公權(quán)力行使的合法性。目的正當(dāng)原則決定了干預(yù)個(gè)人信息的范圍,體現(xiàn)出國家公權(quán)力行使的合理性。最小比例原則決定了干預(yù)個(gè)人信息的強(qiáng)度,體現(xiàn)出國家公權(quán)力行使的必要性。安全保障原則決定了干預(yù)個(gè)人信息的方式,體現(xiàn)出國家公權(quán)力行使的均衡性。這些法律原則應(yīng)當(dāng)貫穿于公共利益限制個(gè)人信息權(quán)益的全過程、各環(huán)節(jié)。

法律授權(quán)原則

所謂法律授權(quán)原則,是指以公共利益限制個(gè)人信息權(quán)益應(yīng)當(dāng)有法律的明確授權(quán),即基于公共利益目的限制個(gè)人信息權(quán)益必須有法律的明確授權(quán),不得違反禁止性條款。通常而言,個(gè)人信息的商業(yè)利用需要信息主體的明確授權(quán),而個(gè)人信息的公法限制則需要法律的明確規(guī)定。即便是為了公共利益,國家機(jī)關(guān)在處理個(gè)人信息時(shí)也應(yīng)依法履行職責(zé),要依照法律規(guī)定的權(quán)限和程序并注意方式、方法以及范圍,盡量減少對個(gè)人產(chǎn)生的不利影響。需要強(qiáng)調(diào)的是,此處的“法律”應(yīng)為狹義的法律,須由全國人大或其常委會制定。申言之,鑒于個(gè)人信息在當(dāng)今社會具有憲法位階基本權(quán)利的極端重要性,以及限制個(gè)人信息權(quán)益涉及國家公權(quán)力行使,因此必須遵守法律保留原則,應(yīng)當(dāng)通過立法明確有權(quán)收集和處理個(gè)人信息權(quán)益的主體、范圍及限度。

目的正當(dāng)原則

所謂目的正當(dāng)原則,是指個(gè)人信息信息的收集和處理必須與公共利益具有相關(guān)性,符合公共利益目的特定性。這一目的約束原則要求信息收集者只能出于公共利益這一特定、明確、合法目的才能收集個(gè)人信息,不得收集利用與公共利益無關(guān)的個(gè)人信息,且其公共利益目的必須在信息收集時(shí)已經(jīng)確定,后續(xù)處理時(shí)不能與事先確定的公共目的相悖。目的正當(dāng)原則,涉及對個(gè)人信息限制的范圍、方式和強(qiáng)度等問題。譬如,在疫情防控等突發(fā)公共衛(wèi)生事件應(yīng)對中,大數(shù)據(jù)為政府聯(lián)防聯(lián)控以及企業(yè)復(fù)工復(fù)產(chǎn)提供了有力支持,但國家相關(guān)部門收集個(gè)人信息,必須是為了“預(yù)防、監(jiān)測、預(yù)警、處置、救援”等特殊公共利益的需要,且與疫情防控活動直接相關(guān),不得基于供未來不特定目的使用而收集和處理個(gè)人信息。

最小比例原則

所謂最小比例原則,也稱范圍最小原則或必要性原則,是指以公共利益為由限制個(gè)人信息權(quán)益應(yīng)當(dāng)保持適度性、必要性,具有手段的適宜性且侵害的最小性,只要能夠?qū)崿F(xiàn)公共利益目的即可,不能過度地收集和處理個(gè)人信息,從而使個(gè)人權(quán)益受到的限制和干預(yù)盡量處于最低水平。最小比例原則與歐盟GDPR規(guī)定的“最少夠用原則”類似,決定了行政機(jī)關(guān)可以在多大范圍內(nèi)以及多大強(qiáng)度下收集和處理個(gè)人信息,即按照最小收集地域、最小收集對象、最小收集內(nèi)容等范圍收集和處理個(gè)人信息?!叭绻麅H僅法律措施是必要的(即最小程度的限制標(biāo)準(zhǔn)),那么即使是一種不重要的公共利益就可能合法地造成對一項(xiàng)重要權(quán)利的侵害。換言之,最小比例原則要求,基于公共利益目的必須限制個(gè)人信息權(quán)益時(shí),應(yīng)以損害最小、程度最輕、次數(shù)最少的方式進(jìn)行,盡量縮小采集個(gè)人信息的主體范圍和內(nèi)容范圍,盡量降低信息泄露風(fēng)險(xiǎn)。譬如,在疫情防控等突發(fā)公共衛(wèi)生事件應(yīng)對中,一方面,行政機(jī)關(guān)可以基于疫情防控目的,分析、加工個(gè)人健康數(shù)據(jù),而無需公民同意;另一方面,應(yīng)盡量采取“去標(biāo)識化”或“匿名化”等損害最小的處理方式,保證手段與目的之間的適度相稱。換言之,收集的個(gè)人信息的對象、類型和內(nèi)容必須與突發(fā)事件應(yīng)對有直接關(guān)聯(lián),應(yīng)當(dāng)將收集信息的對象限定為確診者、疑似者、密切接觸者等重點(diǎn)人群,收集信息的范圍限定于與疫情防控存在關(guān)聯(lián)性的個(gè)人基本信息,如姓名、住址、身份證號碼、聯(lián)系方式等基本信息,體溫、癥狀等健康信息,位置行蹤、旅居史、接觸史、乘坐交通工具記錄、活動區(qū)域場所等出行信息,而不得收集職業(yè)、婚姻家庭、民族種族、宗教信仰、生物識別、財(cái)產(chǎn)財(cái)務(wù)等與疫情防控沒有直接關(guān)聯(lián)信息。

安全保障原則

所謂安全保障原則,是指收集和處理個(gè)人信息必須保障信息安全,即須根據(jù)情況采取必要的、具有期待可能性的風(fēng)險(xiǎn)防范措施以保護(hù)個(gè)人信息免受損害。近年來,隨著個(gè)人信息的收集、獲取、存儲和處理成本降低,以及數(shù)據(jù)的經(jīng)濟(jì)價(jià)值和社會價(jià)值日益凸顯,個(gè)人信息的應(yīng)用領(lǐng)域迅速擴(kuò)展,與之相伴的安全隱患和隱私挑戰(zhàn)不容忽視。實(shí)際上,在以公共利益限制個(gè)人信息權(quán)益時(shí)所應(yīng)遵循的“安全”保障義務(wù)非常廣泛,不限于信息安全,而應(yīng)當(dāng)包括人身安全、生活保障、醫(yī)療救治等基本權(quán)利。當(dāng)然,安全是個(gè)相對概念,需要結(jié)合個(gè)案進(jìn)行情景化判斷。安全保障原則要求政府部門在收集和使用個(gè)人信息時(shí)應(yīng)當(dāng)遵守相應(yīng)的法律義務(wù),包括信息保密義務(wù)、采取技術(shù)保護(hù)措施義務(wù)、防止信息泄漏義務(wù)、采取補(bǔ)救措施義務(wù)等。政府機(jī)構(gòu)基于管理需要收集的個(gè)人信息,有相當(dāng)部分屬于敏感信息,一旦泄露會對個(gè)人安全和國家安全造成嚴(yán)重后果。因此,相關(guān)部門應(yīng)對個(gè)人信息安全開展影響評估,提升數(shù)據(jù)安全能力,采取嚴(yán)格的技術(shù)、物力、組織、管理、制度等一切必要合理的防護(hù)措施確保個(gè)人信息安全。譬如,在疫情防控等突發(fā)公共衛(wèi)生事件應(yīng)對中,行政機(jī)關(guān)對于決定公開的個(gè)人信息應(yīng)當(dāng)在公開之前進(jìn)行應(yīng)當(dāng)經(jīng)過“脫敏”和“去識別化”等匿名化處理,不能公布姓名、身份證號、電話、門牌號等能鎖定識別具體身份的數(shù)據(jù)。在公開之后應(yīng)該對信息進(jìn)行嚴(yán)密審核,建立連續(xù)完整的檢查監(jiān)督機(jī)制,最大程度上降低個(gè)人信息被非法使用、篡改和傳播的風(fēng)險(xiǎn)。同時(shí),這類信息數(shù)據(jù)有一定的生命周期,待疫情防控結(jié)束后,應(yīng)由疾控機(jī)構(gòu)予以封存或匿名化處理或予以銷毀。

五、個(gè)人信息保護(hù)中公共利益考量規(guī)則的優(yōu)化路徑

無論是從學(xué)理分析抑或是從法律規(guī)范來看,公共利益限縮個(gè)人信息權(quán)益都具有正當(dāng)性。然而,目的的正當(dāng)性并不意味著手段的任意性。相反,應(yīng)當(dāng)通過限定主體、確定原則、厘清范圍、完善救濟(jì)等法治舉措確保公共利益限縮個(gè)人信息權(quán)益的正當(dāng)性。因此,個(gè)人信息保護(hù)法的通過和實(shí)施,并非意味著個(gè)人信息保護(hù)立法的終結(jié),相反需要通過實(shí)施細(xì)則、立法解釋、司法案例等方式進(jìn)一步優(yōu)化規(guī)則。更何況,建立在主體平等、客體排他、意思自治基礎(chǔ)之上的傳統(tǒng)私法保護(hù)模式日益面臨著個(gè)人信息保護(hù)不足和保護(hù)過度的兩難窘境,應(yīng)當(dāng)采取公私法協(xié)同推進(jìn)的多元化法治路徑,充分發(fā)揮部門法功能,建立綜合治理模式,并實(shí)現(xiàn)個(gè)人信息保護(hù)法制體系內(nèi)部的統(tǒng)一和協(xié)調(diào)。

公共利益內(nèi)涵外延的界定

全面推進(jìn)依法治國的時(shí)代背景下,無論是國家公權(quán)力還是公民私權(quán)利,都應(yīng)當(dāng)有明確的邊界。體現(xiàn)在個(gè)人信息保護(hù)方面,重要的一點(diǎn)即是確立公共利益的范圍。隨著互聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能等技術(shù)手段在國家治理中的加速運(yùn)用,政府在行政管理和提供公共服務(wù)中收集存儲了大量的個(gè)人信息進(jìn)而形成了公共數(shù)據(jù)資源。這些公共數(shù)據(jù)具有公共屬性,屬于公共產(chǎn)品,只能用于公共利益目的。此時(shí),迫切需要通過立法明確界定公共利益的內(nèi)涵范圍。

公共利益概念具有高度模糊性與歧義性,麥克哈格教授總結(jié)了公共利益概念的三個(gè)主要理論——共同利益理論、優(yōu)勢理論、統(tǒng)一理論。筆者認(rèn)為,公共利益概念與特定社會的文化傳統(tǒng)、倫理道德、意識形態(tài)、政治架構(gòu)、公共行政、法律制度密不可分,對于這一概念的不同理解,通常意味著不同的價(jià)值取向、行動準(zhǔn)則和社會實(shí)踐??梢詮囊韵聨讉€(gè)角度把握公共利益內(nèi)涵:其一,公共利益的表現(xiàn)形式非常廣泛,但具有相對性。公共利益既可以體現(xiàn)為抽象的利益形態(tài),如國家安全、社會安全、公共秩序等,承載更多的是價(jià)值功能,也可以表現(xiàn)為具體的物化的利益形態(tài),如環(huán)境衛(wèi)生、公共資源、基礎(chǔ)設(shè)施等,承載更多的是物質(zhì)功能。但公共利益不是絕對的,是特定具體時(shí)空的產(chǎn)物,具有相對性。質(zhì)言之,公共利益是相對于個(gè)人利益而言的某一時(shí)期、某一特定區(qū)域內(nèi)不特定多數(shù)人的利益,是相權(quán)衡比較的利益,其內(nèi)容與形式依附于特定的社會環(huán)境,在不同時(shí)期人們對社會公共利益的理解也會有所不同。因此,應(yīng)當(dāng)在特定的時(shí)空條件下對各種利益進(jìn)行比較權(quán)衡作出判斷。其二,公共利益是關(guān)乎人類長遠(yuǎn)的根本的整體利益,具有不可分性。公共利益絕不是個(gè)人利益在數(shù)字上的簡單相加,而是“特定”范圍內(nèi)人們所共同認(rèn)可、對各方有價(jià)值的利益。換言之,公共利益超越了單個(gè)個(gè)體的利益,也不是局部的、眼前的、狹隘的利益,而更多是一種整體的、長遠(yuǎn)的、根本的利益。其三,公共利益的享有主體具有普遍性、不確定性和非排他性。公共利益的享有主體具有普遍性和不特定性的特點(diǎn),而不是由某個(gè)人專門享有的,其他人也可以享有。在一定程度上,共享性是公共利益的基本屬性。以疫情防控為例,公共健康不僅使某一個(gè)人具有安全感,而該國的所有民眾都會具有安全感,某一國民從疫情防控中受益并不妨礙其他國民從中受益。

因此,從廣泛意義上講,公共安全、公眾健康、國家安全、國家利益等都屬于公共利益范疇,打擊犯罪、刑事偵查、行政執(zhí)法、反對恐怖主義等也是保護(hù)公共利益的體現(xiàn)。政府部門基于上述理由收集和處理個(gè)人信息具有的正當(dāng)性自不待言。除此之外,個(gè)人信息保護(hù)中的網(wǎng)絡(luò)安全、兒童信息、跨境流動等亦與公共利益密切相關(guān)。但無論如何,都應(yīng)當(dāng)通過立法方式予以明確。從操作角度,建議可以采取“內(nèi)涵界定+外延列舉+兜底條款”立法例,明確公共利益范圍。

公共利益代表主體的明確

個(gè)人信息保護(hù)涉及多方主體的多重利益訴求,需要政府、企業(yè)、社會組織、個(gè)人等協(xié)同合力。對政府而言,不僅要建立健全個(gè)人信息保護(hù)執(zhí)法機(jī)制,加強(qiáng)對個(gè)人信息權(quán)益的監(jiān)督檢查,更要構(gòu)建個(gè)人信息權(quán)益保護(hù)的主體規(guī)則,確定公共利益的代表主體。長期以來,行政執(zhí)法及其監(jiān)管不力是我國個(gè)人信息保護(hù)最為突出的問題之一,分散執(zhí)法、多頭執(zhí)法導(dǎo)致的主體虛化以及監(jiān)管真空、監(jiān)管不力導(dǎo)致的邊界模糊廣遭詬病。公共部門出于長期以來形成的“官本位”思維定勢,對個(gè)人信息的關(guān)注也大多出于其管理的需要,強(qiáng)調(diào)個(gè)人提供信息的義務(wù),而非注重個(gè)人所享有的信息權(quán)益,時(shí)而存在隨意收集、過度收集、違法獲取、擅自披露、過度使用個(gè)人信息之虞?,F(xiàn)實(shí)的困境在于,公民在個(gè)人信息遭到侵犯時(shí)無法獲取相關(guān)證據(jù)、無法確定責(zé)任主體、不知道向哪個(gè)機(jī)構(gòu)或部門投訴或提起訴訟等,從而導(dǎo)致實(shí)踐中因個(gè)人信息權(quán)益遭受侵犯但不愿意投訴或提起訴訟的根源所在。

從域外立法實(shí)踐看,各國紛紛設(shè)立統(tǒng)一的個(gè)人信息保護(hù)機(jī)構(gòu)。歐盟GDPR將“有效的專業(yè)規(guī)制機(jī)構(gòu)”作為滿足“充分性認(rèn)定”的基本條件,要求各成員國設(shè)立專門的個(gè)人數(shù)據(jù)監(jiān)管機(jī)構(gòu)以加強(qiáng)對個(gè)人信息的收集、利用、流通等環(huán)節(jié)的監(jiān)控管理。根據(jù)這一要求,德國設(shè)立了個(gè)人數(shù)據(jù)保護(hù)聯(lián)邦委員會,這是一個(gè)專司個(gè)人數(shù)據(jù)保護(hù)監(jiān)督、解決個(gè)人數(shù)據(jù)保護(hù)糾紛、提出個(gè)人數(shù)據(jù)保護(hù)建議的獨(dú)立機(jī)構(gòu)。美國形成了行業(yè)監(jiān)管模式,輔之以極強(qiáng)的執(zhí)法機(jī)制、嚴(yán)厲的威懾機(jī)制、廣泛的社會監(jiān)督機(jī)制,較好地保障了個(gè)人信息權(quán)益免遭侵犯。日本為了加強(qiáng)個(gè)人信息保護(hù)的行政監(jiān)管,于2017年成立了個(gè)人信息委員會,從而確立了個(gè)人信息保護(hù)集中監(jiān)管體制。我國個(gè)人信息保護(hù)法提出了“網(wǎng)信部門統(tǒng)籌協(xié)調(diào)+有關(guān)部門各自監(jiān)管”的模式,以區(qū)別于以歐盟為代表的跨行業(yè)統(tǒng)一監(jiān)管模式和以美國為代表的行業(yè)監(jiān)管模式。應(yīng)當(dāng)說,該模式是平衡域外兩種主要模式利弊以及考慮我國行政管理傳統(tǒng)模式的結(jié)果,對于構(gòu)建我國個(gè)人信息多方共享共治模式意義重大。然而,不可忽視的是,個(gè)人信息保護(hù)法并未突破網(wǎng)絡(luò)安全法在監(jiān)管體制方面的設(shè)計(jì),并未從根本上改變個(gè)人信息保護(hù)領(lǐng)域分散執(zhí)法的局面,選擇性執(zhí)法、多頭執(zhí)法問題仍將普遍存在。

厘清政府的權(quán)責(zé)邊界,事關(guān)個(gè)人信息保護(hù)和數(shù)據(jù)產(chǎn)業(yè)發(fā)展,事關(guān)國家治理體系和治理能力現(xiàn)代化,以公共利益之名收集和處理個(gè)人信息只能由有法律授權(quán)的機(jī)構(gòu)按照法定程序而為之。建立統(tǒng)一、專業(yè)、獨(dú)立的個(gè)人信息保護(hù)機(jī)構(gòu),既是實(shí)現(xiàn)個(gè)人信息保護(hù)一體化的需要,更是明確問責(zé)機(jī)制的需要??梢哉f,“統(tǒng)一”是設(shè)置個(gè)人信息保護(hù)機(jī)構(gòu)的前提要素,這是其一。其二,“專業(yè)”是設(shè)置個(gè)人信息保護(hù)機(jī)構(gòu)的基礎(chǔ)要素。隨著數(shù)據(jù)挖掘、人臉識別、算法等現(xiàn)代技術(shù)的迅猛發(fā)展,個(gè)人信息應(yīng)用場景日趨復(fù)雜,個(gè)人信息保護(hù)工作面臨著技術(shù)、政策、法律等多重因素考量,這就迫切要求個(gè)人信息保護(hù)機(jī)構(gòu)具有極強(qiáng)的專業(yè)性,否則難以承擔(dān)起個(gè)人信息保護(hù)的重任。其三,“獨(dú)立”是設(shè)置個(gè)人信息保護(hù)機(jī)構(gòu)的關(guān)鍵要素。個(gè)人信息保護(hù)應(yīng)當(dāng)超越個(gè)人利益、企業(yè)利益和公共利益,站在全局高度平衡各方利益,獨(dú)立行使個(gè)人信息保護(hù)職權(quán),排除其他組織的干預(yù),防止被利益團(tuán)體“捕獲”。

具體而言,第一,需要明確行政機(jī)關(guān)在個(gè)人信息保護(hù)中的職權(quán)與權(quán)限。個(gè)人信息保護(hù)機(jī)構(gòu)享有的職權(quán)主要包括:首先是接受投訴權(quán),即當(dāng)公民認(rèn)為其個(gè)人信息權(quán)益受到侵犯時(shí)可以向個(gè)人信息保護(hù)機(jī)構(gòu)投訴,有權(quán)要求其進(jìn)行查處并給予行政保護(hù),必要時(shí)應(yīng)當(dāng)支持并指導(dǎo)個(gè)人因此而提起的民事訴訟,發(fā)現(xiàn)涉嫌犯罪的應(yīng)當(dāng)將相關(guān)情況通報(bào)至公安機(jī)關(guān)進(jìn)行刑事追責(zé)。其次是調(diào)查處理權(quán),即針對侵犯個(gè)人信息權(quán)益的行為,個(gè)人信息保護(hù)機(jī)構(gòu)有權(quán)采取現(xiàn)場檢查、詢問當(dāng)事人、查封扣押相關(guān)設(shè)備、查閱復(fù)制相關(guān)資料等措施,并對相關(guān)違法企業(yè)、行政機(jī)關(guān)和個(gè)人予以行政處罰或啟動行政追責(zé)。再次是行政監(jiān)督權(quán),即有權(quán)監(jiān)督行政機(jī)關(guān)、企業(yè)、社會組織等個(gè)人信息保護(hù)工作,評估個(gè)人信息保護(hù)措施的合法性與合理性,推廣個(gè)人信息增強(qiáng)技術(shù),提供個(gè)人信息政策咨詢、指導(dǎo)和建議。最后是規(guī)則制定權(quán),即在國家相關(guān)立法的授權(quán)下,就個(gè)人信息保護(hù)出臺相關(guān)標(biāo)準(zhǔn)、指南、意見、規(guī)定等,特別是就個(gè)人信息處理中的“公共利益”作出細(xì)化說明,遏制行政機(jī)關(guān)的擴(kuò)張解釋。第二,行政機(jī)關(guān)需要提高基于復(fù)雜場景下個(gè)人信息的判定能力、對方利益衡量能力以及個(gè)人信息保護(hù)能力,特別是在行政公開、行政處罰、行政確認(rèn)等行政行為中通過技術(shù)手段對個(gè)人信息作匿名化處理。第三,加強(qiáng)對國家機(jī)關(guān)的監(jiān)管,優(yōu)化外部執(zhí)法威懾機(jī)制,遏制公權(quán)力機(jī)關(guān)過度收集個(gè)人信息、濫用個(gè)人信息甚至泄露個(gè)人信息;加大責(zé)任處罰力度,賦予自然人以個(gè)人信息救濟(jì)權(quán),即當(dāng)自然人認(rèn)為行政機(jī)關(guān)基于公共利益侵犯個(gè)人信息權(quán)益時(shí)有權(quán)提起行政復(fù)議和行政訴訟;加強(qiáng)社會監(jiān)督,必要時(shí)引入第三方專業(yè)機(jī)構(gòu),推動社會多方參與個(gè)人信息治理生態(tài)的形成。

知情同意原則例外的細(xì)化

尊重自然人的個(gè)人信息自決權(quán)被認(rèn)為是個(gè)人信息保護(hù)制度的基礎(chǔ),即體現(xiàn)在法律中的知情同意機(jī)制。知情同意機(jī)制普遍適用于國內(nèi)外個(gè)人信息保護(hù)立法,無論是歐盟的GDPR,抑或是美國加州消費(fèi)者隱私法案,還是經(jīng)濟(jì)合作與發(fā)展組織(OECD)的關(guān)于隱私保護(hù)和個(gè)人數(shù)據(jù)跨境流通的指南都將知情同意作為個(gè)人信息權(quán)束中的基礎(chǔ)性權(quán)利,我國網(wǎng)絡(luò)安全法第41條、民法典第1035條對其也都有明確規(guī)定。知情同意機(jī)制集中體現(xiàn)了前信息時(shí)代以個(gè)人控制權(quán)為核心的個(gè)人信息保護(hù)制度建構(gòu),是收集個(gè)人信息行為合法性的首要基礎(chǔ)。在傳統(tǒng)個(gè)人信息保護(hù)制度下,個(gè)人控制權(quán)的實(shí)現(xiàn)是個(gè)人信息權(quán)益制度的核心,強(qiáng)調(diào)個(gè)人信息范圍的有限且可控,個(gè)人信息的取得和處理必須征得個(gè)人的同意。然而,該原則在當(dāng)今信息時(shí)代日益顯示出適用無力之尷尬境地。這不僅表現(xiàn)在個(gè)人信息范圍擴(kuò)大,知情同意機(jī)制難以適用或者事實(shí)無效,“告知——同意”流于形式,而且體現(xiàn)在個(gè)人對其信息的控制力減弱,“被遺忘權(quán)”應(yīng)運(yùn)而生。同時(shí),這還體現(xiàn)在目的限定原則模糊,基于公共利益收集和利用個(gè)人信息情形逐漸增多。換言之,類似于刑事司法領(lǐng)域的偵查活動,政府基于維護(hù)公共利益的需要在利用個(gè)人信息時(shí)可以不遵守知情同意原則。究其根源就在于,知情同意機(jī)制缺乏效益,嚴(yán)重阻滯個(gè)人信息的收集與利用?!皞€(gè)人信息的動態(tài)性和場景性決定了在不同情形下對個(gè)人信息的使用并非一成不變”,對知情同意機(jī)制不能作簡單化、機(jī)械化、概括化理解。

將公共利益作為信息主體知情同意原則的例外也是國內(nèi)外立法的普遍做法,如歐盟GDPR第6條、第9條,美國聯(lián)邦法規(guī)第164部分“安全與隱私”項(xiàng)下第512條。從我國立法來看,民法典第1035條第1款第1項(xiàng)在沿用知情同意機(jī)制的同時(shí),留下了“法律、行政法規(guī)另有規(guī)定的除外”的例外規(guī)定。突發(fā)事件應(yīng)對法、傳染病防治法、突發(fā)公共衛(wèi)生事件應(yīng)急條例等法律法規(guī)均賦予行政機(jī)關(guān)在未取得公民同意情形下可以收集個(gè)人相關(guān)信息的權(quán)力,這可以被視為民法典第1035條第1項(xiàng)所規(guī)定的“但書”范圍,我國傳染病防治法第33條、第38條以及個(gè)人信息保護(hù)法第13條等也有相關(guān)規(guī)定。通過這些規(guī)定,不難發(fā)現(xiàn),世界各國普遍將公共利益視為對知情同意原則的限制。譬如,在應(yīng)對疫情防控等應(yīng)對突發(fā)公共事件時(shí),實(shí)時(shí)掌握有效的疫情信息是疫情防控工作順利開展的重要保障,是作出正確防控決策和采取精準(zhǔn)預(yù)防措施的重要基礎(chǔ)。然而,由于疫情防控涉及地域廣、人員多、情形復(fù)雜,無論是逐一告知信息主體抑或征得個(gè)人的明示同意,都會增加疫情控制成本甚至貽誤疫情防控時(shí)機(jī),從而危及公共衛(wèi)生安全。但是,“隨著政府權(quán)力持續(xù)地劇烈增長,只有借助于程序公正,權(quán)力才有可能獲得容忍”。知情同意原則的例外并不意味著獲取和處理個(gè)人信息具有程序“豁免權(quán)”。相反,恰恰基于對政府公權(quán)力濫用的高度警惕應(yīng)當(dāng)制定政府機(jī)構(gòu)干預(yù)個(gè)人信息法更為審慎和明確的法律制度,優(yōu)化對個(gè)人信息合理使用、存儲、共享、公開和刪除機(jī)制,從而保障個(gè)人信息安全。換言之,這種未經(jīng)同意收集個(gè)人信息的權(quán)力應(yīng)當(dāng)受到嚴(yán)格制約除了通過立法窮盡列舉“例外”情形外,亦應(yīng)當(dāng)遵循最低限度的正當(dāng)程序要求,嚴(yán)格個(gè)人信息保護(hù)標(biāo)準(zhǔn),從而保障個(gè)人信息安全。

首先,要履行公開義務(wù),向社會公眾說明收集和處理個(gè)人信息的公共利益理由及范圍。“無需個(gè)人同意”并不意味著社會公眾和信息主體不享有知情權(quán),政府機(jī)關(guān)有義務(wù)將收集和利用個(gè)人系信息的法律依據(jù)和正當(dāng)目的,以簡單、易懂、明確的語言向社會公開,并向收集對象說明收集主體、信息類別、使用目的、救濟(jì)權(quán)利等,接受社會和信息主體的監(jiān)督。其次,要保障信息主體相關(guān)權(quán)利,包括查詢權(quán)、異議權(quán)、請求更正或補(bǔ)正權(quán)、安全權(quán)等。行政機(jī)關(guān)收集和處理個(gè)人信息行為屬于行政行為,根據(jù)公眾參與基本原則,信息主體除了享有陳述權(quán)、申辯權(quán)等一般程序性權(quán)利外,還享有了解其個(gè)人信息被收集和利用情況的知悉權(quán),當(dāng)發(fā)現(xiàn)其個(gè)人信息存在錯(cuò)誤或者過時(shí)時(shí),有權(quán)請求修改、補(bǔ)充或完善,從而確保信息品質(zhì)。著眼于未來,鑒于個(gè)人信息具有生命周期,公共利益事項(xiàng)結(jié)束后仍可能會有大量的個(gè)人信息保留在網(wǎng)絡(luò)等公共空間,從而給信息主體人格權(quán)益造成侵害,建議通過立法明確賦予自然人被遺忘權(quán)。再次,在公開或者共享信息時(shí)應(yīng)當(dāng)“去識別化”處理。個(gè)人信息具有基本權(quán)利屬性,確需向社會公開或者共享個(gè)人信息的,應(yīng)當(dāng)采取“去標(biāo)識化”“匿名化”等“去識別化”技術(shù)手段,有效切斷信息與信息主體之間的連接,避免引起公眾恐慌或者因?yàn)檩浾摱o信息主體造成次生災(zāi)害。實(shí)踐中,我國對個(gè)人信息的模糊化、匿名化、脫敏處理已經(jīng)比較常見,但仍需進(jìn)一步細(xì)化“去識別化”的判斷標(biāo)準(zhǔn),從而在個(gè)人信息保護(hù)與公眾知情權(quán)之間保持平衡。最后,對于個(gè)人敏感信息的收集和處理,仍應(yīng)當(dāng)嚴(yán)格遵守知情同意原則。敏感信息往往與個(gè)人隱私密切相關(guān),只能基于特定的目的和充分必要的前提下方可收集和處理,同時(shí)應(yīng)當(dāng)征得個(gè)人單獨(dú)同意或者書面同意。建議進(jìn)一步對個(gè)人信息進(jìn)行分級分類,通過類型化、場景化對個(gè)人信息采取不同的保護(hù)措施。尤其是針對個(gè)人敏感信息,應(yīng)當(dāng)符合更高更嚴(yán)格的保護(hù)要求,非必要不能收集和處理個(gè)人信息,履行事先告知、單獨(dú)(書面)同意、風(fēng)險(xiǎn)評估、行政許可等特殊保護(hù)程序。

譬如,在疫情防控等突發(fā)公共衛(wèi)生事件應(yīng)對中,由于病毒的超強(qiáng)傳播性以及后果致命性,政府可以通過“健康碼”“行程碼”等形式掌握個(gè)人的行蹤軌跡并對其行為自由作出一定限制,但這種基于公共利益而對個(gè)人信息權(quán)益的克減是應(yīng)當(dāng)建立在一定的規(guī)則約束基礎(chǔ)之上的。除了目的正當(dāng)性之外,還應(yīng)當(dāng)確保過程的公平性,即行政機(jī)關(guān)在為了公共利益而克減個(gè)人信息權(quán)益時(shí),應(yīng)當(dāng)對其進(jìn)行解釋并對算法進(jìn)行審計(jì),從而保證行政管理和公共服務(wù)的公平性。同時(shí),還必須確保匿名性和時(shí)間有效性,即在公布個(gè)人信息時(shí)應(yīng)當(dāng)對相關(guān)信息進(jìn)行“去可識別性”,以保護(hù)個(gè)人信息安全。如果確需對個(gè)人信息權(quán)益進(jìn)行克減,也必須是緊急狀態(tài)下的“不得已而為之”。待緊急狀態(tài)緩解或結(jié)束,行政機(jī)關(guān)與個(gè)人信息的收集就不具有強(qiáng)制性,而轉(zhuǎn)為個(gè)人的自愿選擇行為,應(yīng)根據(jù)存儲期限最小原則對個(gè)人信息應(yīng)當(dāng)刪除或匿名化。

法律保護(hù)救濟(jì)途徑的健全

“在利用與保護(hù)個(gè)人數(shù)據(jù)激勵失衡的大背景下”,國家“一項(xiàng)重要的立法任務(wù)就是構(gòu)建有效的外部執(zhí)法威懾,促使信息控制者積極履行法律責(zé)任,并對違法處理個(gè)人信息的行為予以制裁”。面對大數(shù)據(jù)時(shí)代個(gè)人信息安全面臨的嚴(yán)峻挑戰(zhàn)以及司法困境,筆者提出以下建議:

一是完善國家部門法律責(zé)任。個(gè)人信息保護(hù)職責(zé)部門在履行職責(zé)過程中惡意獲取個(gè)人信息或者保護(hù)個(gè)人信息不力的,應(yīng)當(dāng)承擔(dān)相應(yīng)法律責(zé)任,建議可以在個(gè)人信息保護(hù)法中增加相關(guān)條款,即履行個(gè)人信息保護(hù)職責(zé)的部門及其工作人員在履行職責(zé)過程中非法收集、保存、刪除、篡改或者對外提供個(gè)人信息的,對直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員依法給予處分,由此對公民和企業(yè)造成損失或者其他的嚴(yán)重后果的,依照國家法律規(guī)定依法賠償,構(gòu)成犯罪的依法追究刑事責(zé)任。

二是健全行政訴訟制度。行政機(jī)關(guān)基于公共利益收集和處理個(gè)人信息的行為屬于行政管理和公共服務(wù)范疇,應(yīng)當(dāng)受到行政許可法、行政處罰法等實(shí)體法的約束,亦應(yīng)當(dāng)受到行政復(fù)議法、行政訴訟法等程序法的約束。即行政相對人因?yàn)樾姓C(jī)關(guān)的違法行為而侵害其個(gè)人信息權(quán)益,可以提起行政復(fù)議或行政訴訟,行政機(jī)關(guān)內(nèi)部可以通過行政處分程序給予追究法律責(zé)任。從司法實(shí)踐看,因個(gè)人信息糾紛引發(fā)的行政訴訟不斷增多,并以“政府信息公開”案由最為集中,體現(xiàn)出行政主體的法益權(quán)衡能力及行為規(guī)范性有待增強(qiáng)。因此,應(yīng)當(dāng)進(jìn)一步健全我國行政訴訟制度,加大政府機(jī)關(guān)基于公共利益需要收集和處理個(gè)人信息的司法監(jiān)督。

三是引入行政公益訴訟制度。個(gè)人信息保護(hù)法第70條確立了個(gè)人信息保護(hù)公益訴訟制度,為規(guī)范非法處理個(gè)人信息侵害眾多個(gè)人權(quán)益的行為提供了公益訴訟法律依據(jù),這是我國公益訴訟立法的又一進(jìn)步。但遺憾的是,與既有的消費(fèi)者保護(hù)公益訴訟、環(huán)境生態(tài)保護(hù)公益訴訟制度相比,該法律條文過于原則,需要進(jìn)一步對主體資格、適用條件、法律責(zé)任等問題作出細(xì)化規(guī)定。同時(shí),亦沒有確立個(gè)人信息保護(hù)行政公益訴訟制度。2017年行政訴訟法創(chuàng)造性地確立了行政公益訴訟,并通過“列舉+兜底”立法例明確了行政公益訴訟范圍。個(gè)人信息保護(hù)問題社會關(guān)注度高、人民反映強(qiáng)烈、關(guān)涉公共利益,雖然不屬于行政訴訟法第25條所列舉的四種行政公益訴訟類型,但可以利用兜底條款將其納入公益訴訟。為此,需要進(jìn)一步深化司法體制改革,拓展行政公益訴訟受案范圍,將行政公益訴訟制度引入個(gè)人信息保護(hù)領(lǐng)域。因此,建議通過出臺個(gè)人信息保護(hù)法實(shí)施條例等方式引入行政公益訴訟制度,即針對侵犯公民個(gè)人信息的行政機(jī)關(guān)的違法失職行為(公害行為),賦予檢察機(jī)關(guān)提出檢察建議權(quán)敦促其履行相關(guān)法定職責(zé),否則有權(quán)向人民法院提起行政公益訴訟。

四是加大行政賠償責(zé)任。建議加大對個(gè)人信息侵權(quán)行政賠償責(zé)任,通過修改國家賠償法將行政機(jī)關(guān)侵犯公民個(gè)人信息權(quán)益行為納入賠償范圍,并采用客觀過錯(cuò)歸責(zé)原則,即行政相對人只需證明行政機(jī)關(guān)在個(gè)人信息保護(hù)方面應(yīng)盡自己的合理的義務(wù)而沒有盡到的客觀事實(shí),從而減輕行政相對人的負(fù)擔(dān),保障其個(gè)人信息權(quán)益遭受侵害后行政救濟(jì)的落實(shí)。

結(jié)語

在大數(shù)據(jù)時(shí)代,個(gè)人信息權(quán)益主體呈現(xiàn)出多元化趨勢,從自然人拓展至個(gè)人信息的收集者、使用者及管理者。個(gè)人信息權(quán)益的內(nèi)容也日益復(fù)合化,從自然人個(gè)體的人格權(quán)、財(cái)產(chǎn)權(quán)等個(gè)人利益擴(kuò)展至國家安全、社會秩序等公共利益。因此,要在個(gè)人利益與公共利益之間找到平衡點(diǎn),在保證最大限度不損害個(gè)人利益的前提下促進(jìn)公共利益的實(shí)現(xiàn)。在個(gè)人信息保護(hù)領(lǐng)域,個(gè)人利益、企業(yè)利益、國家利益、公共利益之間不是呈現(xiàn)出單向度關(guān)系,而是處于交叉、沖突和緊張狀態(tài)。政府公權(quán)力機(jī)關(guān)在進(jìn)行行政管理或者提供公共服務(wù),特別是應(yīng)對突發(fā)公共衛(wèi)生事件時(shí),收集和處理個(gè)人信息具有價(jià)值正當(dāng)性和制度合法性,這是法益價(jià)值位階比較中公共利益優(yōu)先的必然要求。然而,無論是基于保護(hù)個(gè)人信息權(quán)益的需要,還是基于現(xiàn)代社會行政控權(quán)的需要,法定主體在收集和處理個(gè)人信息時(shí),應(yīng)當(dāng)秉持克制謙抑和審慎精神,遵循嚴(yán)格基本原則和具體規(guī)則。應(yīng)當(dāng)進(jìn)一步完善個(gè)人信息保護(hù)法,構(gòu)建我國公共利益限制個(gè)人信息權(quán)益的規(guī)制框架和法律規(guī)范,從而中和利益相關(guān)者沖突,尋求個(gè)人信息保護(hù)中公私利益的平衡,實(shí)現(xiàn)個(gè)人信息權(quán)益最大化,提升國家治理體系與治理能力現(xiàn)代化。

原標(biāo)題:《高志宏|個(gè)人信息保護(hù)的公共利益考量——以應(yīng)對突發(fā)公共衛(wèi)生事件為視角》

閱讀原文

相關(guān)知識

解讀:以“人民”為核心 科學(xué)高效應(yīng)對突發(fā)公共衛(wèi)生事件
健康傳播視角下公共衛(wèi)生事件中公眾風(fēng)險(xiǎn)感知與行為的研究路徑
王寶山委員:提升突發(fā)公共衛(wèi)生事件監(jiān)測預(yù)警能力 守護(hù)人民健康
傳染病監(jiān)測預(yù)警系統(tǒng)有效應(yīng)對突發(fā)公共衛(wèi)生事件
公共衛(wèi)生與預(yù)防醫(yī)學(xué)
公共衛(wèi)生知識
群眾健康保護(hù)措施與公共衛(wèi)生.docx
以健康中國為目標(biāo)重構(gòu)公共衛(wèi)生體系(公衛(wèi)的春天來了)
公共衛(wèi)生有多重要?
公共衛(wèi)生與健康發(fā)展.pptx

網(wǎng)址: 高志宏|個(gè)人信息保護(hù)的公共利益考量——以應(yīng)對突發(fā)公共衛(wèi)生事件為視角 http://m.u1s5d6.cn/newsview515530.html

推薦資訊