首頁資訊高志宏｜個(gè)人信息保護(hù)的公共利益考量——以應(yīng)對突發(fā)公共衛(wèi)生事件為視角

高志宏｜個(gè)人信息保護(hù)的公共利益考量——以應(yīng)對突發(fā)公共衛(wèi)生事件為視角

來源：泰然健康網(wǎng) 時(shí)間：2024年12月14日 10:43

原創(chuàng) 高志宏上海市法學(xué)會東方法學(xué) 收錄于話題#原創(chuàng)首發(fā) 976 個(gè) #法學(xué) 900 個(gè) #核心期刊 842 個(gè) #東方法學(xué) 147 個(gè)

高志宏

南京航空航天大學(xué)人文與社會科學(xué)學(xué)院教授、法學(xué)博士

要目

一、個(gè)人信息保護(hù)的現(xiàn)實(shí)困境

二、公共利益限制個(gè)人信息權(quán)益的法理基礎(chǔ)

三、公共利益限制個(gè)人信息權(quán)益的制度反思

四、公共利益限制個(gè)人信息權(quán)益的原則釋義

五、個(gè)人信息保護(hù)中公共利益考量規(guī)則的優(yōu)化路徑

結(jié)語

公共利益是個(gè)人信息保護(hù)中必須考慮的因素，其背后是公共利益與個(gè)人利益的價(jià)值衡量。公共利益相對優(yōu)位性這一價(jià)值位階規(guī)律構(gòu)成了公共利益適當(dāng)限縮個(gè)人信息權(quán)益的正當(dāng)性基礎(chǔ)，國內(nèi)外立法也普遍將公共利益作為處理個(gè)人信息知情同意機(jī)制的例外情形。利益沖突的多樣性決定了個(gè)人信息保護(hù)的復(fù)雜圖景，救濟(jì)不力的困境更是我國個(gè)人信息保護(hù)的現(xiàn)實(shí)關(guān)照。我國個(gè)人信息保護(hù)法中的公共利益條款存在公共利益內(nèi)涵外延模糊、代表機(jī)制缺失、行使規(guī)則滯后等問題，導(dǎo)致因公共利益泛化濫用侵犯個(gè)人信息權(quán)益現(xiàn)象，這在突發(fā)公共事件應(yīng)對中尤為明顯。在我國制定統(tǒng)一個(gè)人信息保護(hù)法的時(shí)代背景下，個(gè)人信息保護(hù)法治建設(shè)重點(diǎn)應(yīng)發(fā)生轉(zhuǎn)變。宏觀層面，應(yīng)采取公私法協(xié)同推進(jìn)的多元化法治路徑，充分發(fā)揮部門法功能，建立綜合治理模式，并實(shí)現(xiàn)個(gè)人信息保護(hù)法制體系內(nèi)部的統(tǒng)一和協(xié)調(diào)。中觀層面，應(yīng)確立法律授權(quán)、目的正當(dāng)、最小比例、安全保障等公共利益限制個(gè)人信息權(quán)益的基本原則。微觀層面，應(yīng)當(dāng)從界定公共利益的內(nèi)涵外延、明確公共利益代表主體、健全個(gè)人信息保護(hù)救濟(jì)途徑等方面構(gòu)建公共利益限制個(gè)人信息權(quán)益的具體規(guī)范。

隨著網(wǎng)絡(luò)安全法、民法典、數(shù)據(jù)安全法特別是個(gè)人信息保護(hù)法的陸續(xù)出臺，我國個(gè)人信息保護(hù)法律體系逐步建立健全，個(gè)人信息保護(hù)法治建設(shè)從以立法為中心階段邁向以法律適用為中心階段。然而，大數(shù)據(jù)時(shí)代的個(gè)人信息保護(hù)已經(jīng)突破了傳統(tǒng)公私二元立法模式，面臨著數(shù)據(jù)利用和信息安全的兩難窘境。尤其是，在維護(hù)國家安全、保障公共健康、打擊違法犯罪等方面，公共利益成為限制個(gè)人信息權(quán)益的法定理由，如此一來，公權(quán)力機(jī)關(guān)有可能異化為侵犯個(gè)人信息權(quán)益的“多發(fā)地”。換言之，個(gè)人信息保護(hù)不僅涉及個(gè)人利益、企業(yè)利益，而且涉及社會利益、國家利益，與公共安全、國家安全等密切相關(guān)。因此，如何在信息保護(hù)與數(shù)據(jù)共享之間實(shí)現(xiàn)平衡，如何在個(gè)人利益與公共利益之間保持適度張力，需要理論界、實(shí)務(wù)界和立法界深思。公共利益不僅為相關(guān)主體收集、利用和處理個(gè)人信息提供了合法依據(jù)，而且也為限制個(gè)人信息權(quán)益提供了明確邊界。所以，探討個(gè)人信息權(quán)益與公共利益之間的關(guān)系具有雙重價(jià)值考量：公共利益為什么能夠限縮個(gè)人信息權(quán)益以及在多大范圍內(nèi)限縮個(gè)人信息權(quán)益?；诖耍P者以突發(fā)公共衛(wèi)生事件為視角對個(gè)人信息保護(hù)的公共利益邊界進(jìn)行研究，并從以下三個(gè)角度漸次展開：一是從實(shí)證主義出發(fā)，反思公共利益限制個(gè)人信息權(quán)益的悖論，探討個(gè)人信息保護(hù)中的利益平衡；二是從法教義學(xué)出發(fā)，梳理我國個(gè)人信息立法中與公共利益相關(guān)條款，探討其背后的學(xué)理依據(jù)；三是從制度創(chuàng)新角度，探討公共利益在限制個(gè)人信息時(shí)應(yīng)當(dāng)堅(jiān)持的基本原則及規(guī)則體系，從而對我國個(gè)人信息保護(hù)法治建設(shè)有所裨益。

一、個(gè)人信息保護(hù)的現(xiàn)實(shí)困境

在互聯(lián)網(wǎng)時(shí)代向大數(shù)據(jù)時(shí)代邁進(jìn)過程中，我國個(gè)人信息保護(hù)立法面臨兩難選擇：一方面，加強(qiáng)個(gè)人信息保護(hù)已成為全面推進(jìn)依法治國的必然要求，尤其是隨著大數(shù)據(jù)應(yīng)用場景的不斷拓展以及數(shù)字貿(mào)易規(guī)則的不斷探索，公眾對個(gè)人信息保護(hù)的呼聲愈發(fā)強(qiáng)烈，“個(gè)人信息安全焦慮”亟待紓解。另一方面，發(fā)展數(shù)字經(jīng)濟(jì)成為我國重要戰(zhàn)略，大數(shù)據(jù)產(chǎn)業(yè)鏈條不斷延展，新經(jīng)濟(jì)業(yè)態(tài)不斷涌現(xiàn)，迫切需要通過數(shù)據(jù)運(yùn)用促進(jìn)產(chǎn)業(yè)轉(zhuǎn)型、提升政務(wù)效能、助力公共服務(wù)。從現(xiàn)實(shí)情況看，我國個(gè)人信息保護(hù)面臨著個(gè)人利益、企業(yè)利益、公共利益等多種利益形態(tài)復(fù)雜交織的現(xiàn)實(shí)圖景。

個(gè)人利益：個(gè)人信息保護(hù)的邏輯起點(diǎn)

“人們奮斗所爭取的一切，都同他們的利益有關(guān)?！狈勺鳛橹匾睦嬲{(diào)節(jié)器，以分配、確認(rèn)、保護(hù)利益為旨?xì)w，并主要體現(xiàn)在法律條款的創(chuàng)設(shè)和法律規(guī)范的表達(dá)方面?！胺墒巧鐣懈鞣N利益沖突的表現(xiàn)，是人們對各種沖突的利益進(jìn)行評價(jià)后制定出來的，實(shí)際上是利益的安排和平衡。”個(gè)人信息保護(hù)首先涉及的是個(gè)人利益，維護(hù)個(gè)人利益是個(gè)人信息保護(hù)的邏輯起點(diǎn)。

自然人是個(gè)人信息保護(hù)法律關(guān)系中的首要主體，其關(guān)于個(gè)人信息的人格利益訴求是個(gè)人信息保護(hù)立法的基本出發(fā)點(diǎn)。雖然法人以及非法人組織依法可以享有商譽(yù)、名譽(yù)等一定的人格權(quán)益，但從嚴(yán)格意義上而言，個(gè)人信息所蘊(yùn)含的人格權(quán)益應(yīng)當(dāng)由自然人獨(dú)享。甚至有學(xué)者認(rèn)為：“法律對個(gè)人信息加以保護(hù)，本質(zhì)上是保護(hù)人格利益（人的尊嚴(yán)和自由），而自然人對其個(gè)人信息，無論單一的還是集合的，其直接經(jīng)濟(jì)價(jià)值都是可以忽略不計(jì)的。”譬如，在疫情防控等突發(fā)公共衛(wèi)生事件應(yīng)對中，家庭住址、身份證號、手機(jī)號碼、活動軌跡、健康醫(yī)療信息等個(gè)人信息均具有“可識別性”，與自然人的人格尊嚴(yán)和安全密切相關(guān)，受到包括刑事保護(hù)在內(nèi)的多元化法律措施嚴(yán)格保護(hù)。需要討論的是，個(gè)人信息保護(hù)是否還涉及其他主體利益以及這些利益形態(tài)彼此之間是何種關(guān)系。

公共利益：個(gè)人信息保護(hù)的考量因素

個(gè)人信息具有多種價(jià)值屬性，蘊(yùn)含多種利益訴求。從利益相關(guān)者理論出發(fā)，“任何影響組織目標(biāo)實(shí)現(xiàn)或者受組織目標(biāo)實(shí)現(xiàn)影響的個(gè)人或群體”都是利益相關(guān)者。具體到個(gè)人信息保護(hù)領(lǐng)域，自然人、企業(yè)、社會公眾、政府部門等個(gè)人信息的擁有者、受益者、收集者、處理者，或主動或被動參與個(gè)人信息保護(hù)中的主體都可以視為個(gè)人信息保護(hù)利益相關(guān)者。

爭論在于，企業(yè)、社會組織、政府等對個(gè)人信息大量的收集、加工后的數(shù)據(jù)是否享有權(quán)利以及享有什么權(quán)利？當(dāng)前，數(shù)據(jù)已經(jīng)與資本、技術(shù)、土地、勞動等一并成為重要的生產(chǎn)要素和稀缺資源，但由此引發(fā)了個(gè)人信息權(quán)屬爭議，即個(gè)人信息權(quán)益是歸個(gè)人信息指向的自然人所有還是歸信息收集利用者所有？前者事關(guān)自然人的人格利益，后者事關(guān)信息產(chǎn)業(yè)發(fā)展和社會公共利益。我國民法典第127條承繼了民法總則第127條之規(guī)定，確立了個(gè)人信息和數(shù)據(jù)二元保護(hù)體系，即經(jīng)過匿名化（去個(gè)人化和去可識別化）處理的個(gè)人信息所形成的（大）數(shù)據(jù)，可以成為財(cái)產(chǎn)權(quán)益的客體而被法人或非法人組織享有?，F(xiàn)代社會建立在大量個(gè)人信息基礎(chǔ)上的大數(shù)據(jù)，無論是對于企業(yè)發(fā)展、行業(yè)進(jìn)步還是對于社會治理、國家管理而言，都具有重要意義。這些數(shù)據(jù)信息的所有權(quán)應(yīng)當(dāng)歸收集者所有，屬于個(gè)人信息所衍生出的企業(yè)利益、國家利益、公共利益?！皞€(gè)人信息衍生出來的社會公共利益，主要是社會治理方面的利益，更不直接歸屬于個(gè)人而為國家或社會所享有?！逼┤?，通過大數(shù)據(jù)處理，可以有效地防控疫情、打擊犯罪、預(yù)警危機(jī)等等，這也正是個(gè)人信息的公共管理價(jià)值所在。

個(gè)人信息與國家利益密切相關(guān)，國家也是個(gè)人信息保護(hù)中重要的利益單元。一方面，收集、處理和利用個(gè)人信息是現(xiàn)代國家進(jìn)行行政管理、提供公共服務(wù)的普遍做法。譬如，在疫情防控等突發(fā)公共衛(wèi)生事件應(yīng)對中，個(gè)人的生物識別信息、行蹤軌跡信息、特定身份信息等為人群關(guān)聯(lián)分析和疫情風(fēng)險(xiǎn)預(yù)測提供了重要參考依據(jù)，利用大數(shù)據(jù)統(tǒng)計(jì)個(gè)人出行記錄、醫(yī)療信息等對分析疫情的性質(zhì)、原因、范圍、發(fā)生地以及采取相應(yīng)防控措施都具有直接作用，收集和處理的公民個(gè)人信息具有個(gè)人權(quán)利自由與社會公共安全的復(fù)合法益屬性。另一方面，某些個(gè)人信息事關(guān)國家安全等重大利益，尤其是對于個(gè)人敏感信息以及特別脆弱群體的個(gè)人信息保護(hù)，已經(jīng)超越個(gè)體層面而具有特殊的公共利益價(jià)值。個(gè)人信息保護(hù)中的兒童信息、跨境流動、生物信息等與國家安全、民族利益等密切相關(guān)。因此，現(xiàn)代國家往往從數(shù)據(jù)主權(quán)的高度對個(gè)人信息進(jìn)行保護(hù)，限制本國國民個(gè)人信息傳輸流動，防止因個(gè)人信息泄露帶來的國家安全隱患。譬如，對于未成年個(gè)人信息進(jìn)行特殊保護(hù)是國內(nèi)外立法的普遍做法。歐盟通用數(shù)據(jù)保護(hù)條例明確規(guī)定兒童的個(gè)人數(shù)據(jù)需要特殊保護(hù)，我國香港地區(qū)2013年個(gè)人資料（隱私）保護(hù)條例強(qiáng)化和細(xì)化了未成年人等弱勢群體信息保護(hù)措施。我國2016年網(wǎng)絡(luò)安全法第13條特別規(guī)定了未成年人信息保護(hù)問題，2019年兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定則專門規(guī)定了未滿14周歲未成年人個(gè)人信息安全問題。

個(gè)人信息保護(hù)也涉及社會不特定多數(shù)人的利益，社會公眾是個(gè)人信息保護(hù)中另一重要的利益主體。在疫情防控等突發(fā)公共衛(wèi)生事件應(yīng)對中，如果防控不力可能導(dǎo)致更多社會公眾的生命健康處于危險(xiǎn)狀態(tài)，社會公眾對他人與疫情有關(guān)的個(gè)人信息享有一定的知情權(quán)。國家收集相關(guān)疫情信息并向社會公布是滿足社會公眾知情權(quán)的需要，也是一個(gè)國家公共治理水平的體現(xiàn)。從這個(gè)角度看，知情權(quán)作為一種公民重要的程序性權(quán)利，本身就是一種公共利益。當(dāng)然，個(gè)人的醫(yī)療健康信息也具有重大的科研價(jià)值，有利于一國醫(yī)藥事業(yè)的發(fā)展，這也是個(gè)人信息保護(hù)中的公共屬性和社會價(jià)值。所以，“個(gè)人信息不僅關(guān)涉?zhèn)€人利益，而且關(guān)涉他人和整個(gè)社會利益，個(gè)人信息具有公共性和社會性”。個(gè)人信息尤其是病理信息、基因信息等個(gè)人醫(yī)療健康信息，具有重要醫(yī)療研究價(jià)值，對于國家維護(hù)公共健康意義重大，也具有重要國家治理價(jià)值，對于保護(hù)國家安全利益意義重大。

總之，大數(shù)據(jù)時(shí)代的個(gè)人信息具有典型的復(fù)合法益性質(zhì)，不僅涉及自然人的個(gè)體法益，而且涉及社會公眾、國家等集體法益，表現(xiàn)為公眾健康、國家安全、網(wǎng)絡(luò)空間秩序等。個(gè)人信息保護(hù)問題復(fù)雜，關(guān)涉不同利益主體、不同立場、不同訴求，不僅有技術(shù)問題，而且有法律問題，還蘊(yùn)含商業(yè)模式和經(jīng)濟(jì)發(fā)展問題。

利益沖突：個(gè)人信息保護(hù)的復(fù)雜圖景

在個(gè)人信息保護(hù)中，存在個(gè)人、企業(yè)、國家、社會公眾等利益相關(guān)者，這些不同的社會主體的利益訴求并不完全相同，時(shí)而重疊、時(shí)而沖突。概言之，個(gè)人從自身利益出發(fā)，希望對其信息權(quán)益進(jìn)行全方位甚至是絕對化的保護(hù)，限制他人收集和處理其個(gè)人信息。企業(yè)從商業(yè)利益角度出發(fā)，希望最大化的收集和處理個(gè)人信息。國家則面臨兩種價(jià)值取向：一是保護(hù)個(gè)人信息權(quán)益的天然職責(zé)和義務(wù)；二是為了國家利益和公共利益收集和處理個(gè)人信息的客觀需要。

個(gè)人利益與公共利益在根本上具有一致性，這不僅體現(xiàn)在兩者的產(chǎn)生具有同源性方面，而且體現(xiàn)在兩者的目的具有一致性、兩者的過程具有可轉(zhuǎn)化性等方面。從理論上來說，公共利益根源個(gè)人利益并蘊(yùn)含個(gè)人利益之中，兩者不應(yīng)當(dāng)發(fā)生沖突。然而，現(xiàn)實(shí)中，公共利益與個(gè)人利益也存在著沖突甚至是尖銳的矛盾。公共利益與個(gè)人利益畢竟是兩種不同的獨(dú)立的利益形態(tài)，兩者在語義上、特征上、主體上、層次上、運(yùn)作方式上等方面都極為不同，這是其一。從某種程度上講，兩者屬于此消彼長的關(guān)系。公共利益通常來源個(gè)人利益，公共利益的增進(jìn)通常要以限制、減損乃至剝奪個(gè)人利益為條件，兩者往往處于矛盾或?qū)α⒅?。這種關(guān)系若處理不當(dāng)，公共利益有可能淪為縮減個(gè)人利益的借口，成為侵犯個(gè)人利益的“危險(xiǎn)源”。個(gè)人為了自身利益的最大化也可能侵犯公共利益?，F(xiàn)代法律普遍把公共利益作為限制個(gè)人利益的理由之一，我國臺灣地區(qū)學(xué)者陳新民把這些條款稱為消極性條款。值得注意的是，正是由于公共利益是個(gè)人行使權(quán)利、追求利益時(shí)不能超越的外部界限，才導(dǎo)致現(xiàn)實(shí)生活中公共利益限制功能的濫用，而忽視公共利益的保障功能，加劇了公共利益與個(gè)人利益的對立。

具體到個(gè)人信息保護(hù)領(lǐng)域，一方面，公共利益會對個(gè)人信息權(quán)益造成一定限縮。在傳統(tǒng)社會，主要采取隱私權(quán)的方式對個(gè)人信息權(quán)益進(jìn)行保護(hù)，即通過民法制度注重個(gè)人隱私所蘊(yùn)含的人格尊嚴(yán)和人格自由價(jià)值，并采取絕對化的保護(hù)方式，從而保障個(gè)人信息權(quán)益免受他人侵犯。然而，到了信息社會，個(gè)人信息利益主體日益多樣，利益關(guān)系日益復(fù)雜，個(gè)人信息所蘊(yùn)含的經(jīng)濟(jì)利益和社會價(jià)值日益凸顯，對個(gè)人信息資源的利用成為不可逆的發(fā)展趨勢。在這一時(shí)代背景下，個(gè)人信息、數(shù)據(jù)與隱私相分離，并采取與隱私迥然相異的保護(hù)進(jìn)路。尤其是在大數(shù)據(jù)技術(shù)成為政府進(jìn)行國家管理和社會治理的重要手段后，基于公共利益考量，國家不再僅僅承擔(dān)個(gè)人信息保護(hù)者的角色，而同時(shí)成為個(gè)人信息的收集者和處理者，即采取個(gè)人信息保護(hù)和利用并重的政策取向。如此一來，必然會造成個(gè)人信息權(quán)益與公共利益的沖突。實(shí)際上，世界各國都普遍規(guī)定，出于疫情防控、人口普查、打擊犯罪等重大利益，可以對公民享有的個(gè)人信息權(quán)進(jìn)行限縮。另一方面，個(gè)人信息權(quán)益與社會公眾知情權(quán)的沖突。知情權(quán)作為憲法規(guī)定的一項(xiàng)基本權(quán)利，要求政府公開相關(guān)信息，即使涉及個(gè)人隱私但如果對公共利益造成重大影響也應(yīng)當(dāng)公開。這就必然導(dǎo)致個(gè)人信息權(quán)與社會公眾知情權(quán)之間的沖突。譬如，在疫情防控等突發(fā)公共衛(wèi)生事件應(yīng)對中，政府部門面臨著個(gè)人信息知情同意權(quán)與社會公眾知情權(quán)保護(hù)、個(gè)人信息安全與公共健康之間的沖突問題。

與疫情有關(guān)的個(gè)人信息是國家疫情防控?cái)?shù)據(jù)的來源，出于公共健康、社會穩(wěn)定、國家安全等需要，政府及其衛(wèi)生、疾控等部門以及醫(yī)療機(jī)構(gòu)可以不經(jīng)個(gè)人“知情同意”而收集這些個(gè)人信息。社會公眾有權(quán)要求政府有關(guān)部門收集并發(fā)布與疫情有關(guān)的個(gè)人信息，包括確診患者、疑似患者和密切接觸者的相關(guān)信息，而個(gè)人不能以個(gè)人信息保護(hù)為由不予提供或不予配合。因此，為了疫情防控需要，公民個(gè)人必要時(shí)需要讓渡自己的個(gè)人信息權(quán)益，作為疫情公共信息而由政府部門收集、使用甚至向社會公眾公開，這也是個(gè)人承擔(dān)公共安全保障義務(wù)的要求和體現(xiàn)。所以，大數(shù)據(jù)時(shí)代的個(gè)人信息保護(hù)，不是以單向的維護(hù)個(gè)人信息權(quán)益為唯一追求，而是要將相關(guān)主體的復(fù)雜利益納入綜合考量，從而在這些異質(zhì)利益之間的博弈中達(dá)到平衡。

救濟(jì)不力：個(gè)人信息保護(hù)的司法困境

當(dāng)前，我國當(dāng)前個(gè)人信息保護(hù)救濟(jì)機(jī)制呈現(xiàn)出“重追責(zé)輕管理”“刑先民（行）后”“重刑輕民（行）”等特點(diǎn)，存在個(gè)人信息權(quán)益保護(hù)面臨實(shí)體法保護(hù)乏力的立法困境、政府部門監(jiān)督制約機(jī)制闕如的執(zhí)法困境以及民事訴訟作用難以有效發(fā)揮的司法困境。個(gè)人信息司法保護(hù)的突出問題，一方面表現(xiàn)為個(gè)人信息侵權(quán)行為具有的行為分散、成本低、維權(quán)難導(dǎo)致司法實(shí)踐中侵犯主體認(rèn)定難、取證舉證難、侵權(quán)責(zé)任認(rèn)定難等司法救助機(jī)制不完善問題；另一方面表現(xiàn)為政府機(jī)構(gòu)濫用“公共利益”而侵犯個(gè)人信息權(quán)益但缺乏監(jiān)督和救濟(jì)問題。對于國家機(jī)關(guān)等承擔(dān)行政職能的法定機(jī)構(gòu)而言，其收集和處理個(gè)人信息不同于自然人、企業(yè)、社會組織等其他社會主體，是基于法定職責(zé)和公共利益需要，其行為具有強(qiáng)制性。一旦濫用這種公權(quán)力，給信息主體造成的威脅或危害更大，因此，需要更強(qiáng)更完善的監(jiān)督制度和責(zé)任制度。

二、公共利益限制個(gè)人信息權(quán)益的法理基礎(chǔ)

“法益論有兩個(gè)思考方向：一是往理念、價(jià)值性方向思考，二是往事實(shí)性、因果性方向把握?！眰€(gè)人信息保護(hù)中，為何受到公共利益的限制？其法律依據(jù)是什么？這種限制本身有無限制或邊界？需要梳理個(gè)人信息保護(hù)立法中的公共利益條款，并進(jìn)一步分析制度設(shè)計(jì)背后的利益考量。

法律依據(jù)：公共利益限制個(gè)人信息權(quán)益的立法表達(dá)

隨著我國經(jīng)濟(jì)的發(fā)展、改革的深入，利益主體多元化、利益形態(tài)多樣化、利益關(guān)系復(fù)雜化趨勢明顯，“公共利益”越來越多地出現(xiàn)在法律條文中，甚至推動了法律本位的遞進(jìn)，即從以國家利益為本位到以個(gè)人利益為本位再到以公共利益為本位。通過梳理歸納公共利益立法條款，大致可以分為目的性總則條款、特定義務(wù)條款、法律責(zé)任條款、法律適用保留條款、特定授權(quán)條款等幾類。其中，特定授權(quán)條款是最為常見條款，即明確將公共利益作為限制、克減甚至褫奪個(gè)人財(cái)產(chǎn)（利益）的理由。譬如，憲法第10條規(guī)定：“國家為了公共利益的需要，可以依照法律規(guī)定對土地實(shí)行征收或者征用并給予補(bǔ)償?！泵穹ǖ涞?43條也有類似規(guī)定?？梢哉f，法律普遍將公共利益作為限制個(gè)人利益的合法條件。

就個(gè)人信息保護(hù)立法而言，亦存在諸多公共利益條款。這些條款或者將公共利益視為民事責(zé)任免責(zé)的事由之一，譬如民法典第1036條；或?qū)⒐怖嬉暈榉商厥獗Ｗo(hù)的對象，譬如網(wǎng)絡(luò)安全法第31條、數(shù)據(jù)安全法第2條、個(gè)人信息保護(hù)法第10條；或?qū)⒐怖嬉暈樘幚韨€(gè)人信息的法定情形，譬如個(gè)人信息保護(hù)法第13條；或?qū)⒐怖嬉暈閭€(gè)人信息跨境流動的禁止事項(xiàng)，譬如個(gè)人信息保護(hù)法第42條。

上述個(gè)人信息保護(hù)立法中的公共利益條款大致可以分為兩類：一類是公共利益特殊保護(hù)條款，根據(jù)這些條款，任何組織、個(gè)人不得從事危害公共利益的個(gè)人信息處理活動；另一類是公共利益責(zé)任豁免條款，根據(jù)這些條款，個(gè)人信息控制者根據(jù)法律規(guī)定可以無需征得信息主體的授權(quán)同意而處理其個(gè)人信息并不承擔(dān)法律責(zé)任。民法典在第1036條規(guī)定了3種處理個(gè)人信息而可以不承擔(dān)民事責(zé)任的情形，而其中第三種情形就包括為維護(hù)“公共利益”合理實(shí)施的其他行為。在大數(shù)據(jù)時(shí)代，由于知情同意機(jī)制的局限性，這種責(zé)任豁免具有更廣泛的適用意義。個(gè)人信息保護(hù)法借鑒了歐盟GDPR的相關(guān)規(guī)定，在第13條規(guī)定了7種可以處理個(gè)人信息的合法性事由，其中有兩種情形與“公共利益”直接相關(guān)，即第四項(xiàng)和第五項(xiàng)，有兩種情形與“公共利益”間接相關(guān)，即第三項(xiàng)和第七項(xiàng)。

整體而言，民法典首先通過隱私權(quán)、個(gè)人信息權(quán)益等方式保護(hù)個(gè)人信息，然后通過個(gè)人信息收集和處理以及數(shù)據(jù)權(quán)益等方式體現(xiàn)個(gè)人信息保護(hù)的例外。個(gè)人信息保護(hù)法承繼了這一立法理念，在確立個(gè)人信息私益保護(hù)基本原則的同時(shí)，也規(guī)定了國家機(jī)關(guān)在“為維護(hù)國家安全、公共安全或增進(jìn)社會公共利益”時(shí)，可以收集、處理或利用個(gè)人信息。這彰顯出個(gè)人信息的多元價(jià)值及其立法訴求——有序共享——主張維護(hù)個(gè)人信息權(quán)益的同時(shí)發(fā)揮個(gè)人信息的社會公共價(jià)值。

價(jià)值位階：公共利益限制個(gè)人信息權(quán)益的正當(dāng)性基礎(chǔ)

如果說個(gè)人信息立法為公共利益限制個(gè)人信息權(quán)益提供了合法性基礎(chǔ)，那么，就需要進(jìn)一步分析這一立法背后的價(jià)值考量，即公共利益限制個(gè)人信息權(quán)益的正當(dāng)性基礎(chǔ)。這涉及個(gè)人利益與公共利益乃至個(gè)人與社會之間的關(guān)系問題。個(gè)人信息保護(hù)中利益主體眾多，利益沖突情境復(fù)雜，利益衡量因素多元。公共利益限縮個(gè)人信息權(quán)益的根基在于在利益價(jià)值位階中，公共利益處于相對優(yōu)先位置。

在現(xiàn)代文明社會，普遍認(rèn)為當(dāng)公共利益與個(gè)人利益發(fā)生沖突時(shí)具有優(yōu)先價(jià)值。公共利益與個(gè)人利益是兩種不同的獨(dú)立利益單元，代表著不同的價(jià)值取向，當(dāng)兩者發(fā)生沖突的時(shí)候，如何取舍？傳統(tǒng)上，堅(jiān)持公共利益本位，即公共利益具有至高無上的地位?！肮怖嬖谛纬蛇^程中，過濾掉了個(gè)人利益中的任意性、偶然性和特殊性的因素，同時(shí)又綜合、放大了其中的合理性、必然性和普遍性的成分，使某種普遍合理的利益得以生成和延續(xù)。”在法律適用中需要對自由、權(quán)利、公平、秩序等利益價(jià)值進(jìn)行衡量，并在利益訴求發(fā)生沖突時(shí)以高位階利益為優(yōu)先，這已是法律共識。實(shí)際上，無論是歐盟GDPR抑或是美國2018年加州消費(fèi)者隱私法案，還是其他國家個(gè)人信息保護(hù)立法，都未將個(gè)人信息權(quán)益作為絕對的優(yōu)先項(xiàng)，更毋寧說唯一選項(xiàng)了；而是將個(gè)人信息置于特定場景中考慮各方利益并進(jìn)行綜合平衡。相反，在疫情防控等突發(fā)公共衛(wèi)生事件應(yīng)對中，堅(jiān)持公共利益優(yōu)先，適當(dāng)?shù)赝黄苽€(gè)人信息保護(hù)屏障，是世界各國的普遍做法。譬如，我國傳染病防治法、突發(fā)事件應(yīng)對法、突發(fā)公共衛(wèi)生事件應(yīng)急條例等法律法規(guī)，都規(guī)定了行政機(jī)關(guān)有權(quán)收集和使用個(gè)人信息，亦規(guī)定了公民配合行政應(yīng)急權(quán)的義務(wù)，包括信息報(bào)告義務(wù)，從而便于行政機(jī)關(guān)及時(shí)、準(zhǔn)確、充分地掌握突發(fā)事件相關(guān)情況。

歸根結(jié)底，公共利益與個(gè)人利益的關(guān)系問題屬于價(jià)值衡量問題。正如德國著名法學(xué)家拉倫茨所言，法官于個(gè)案中進(jìn)行的利益衡量不過是根據(jù)個(gè)案具體情況賦予不同法益不同的“重要性”。與個(gè)人利益相比，公共利益具有相對優(yōu)位性，這是限制個(gè)人信息權(quán)益的理由。個(gè)人信息保護(hù)不僅涉及個(gè)人的合法權(quán)益即個(gè)人利益，而且涉及國家安全、公眾健康、經(jīng)濟(jì)發(fā)展等不特定多數(shù)人的合法權(quán)益即公共利益。根據(jù)公共利益相對優(yōu)位的基本法理，不難得出為了公共利益可以適當(dāng)限制個(gè)人信息權(quán)益的結(jié)論。從實(shí)際來看，行政機(jī)關(guān)限縮個(gè)人信息權(quán)益通常是為了應(yīng)對突發(fā)事件等緊急情況，符合行政應(yīng)急原則。公共行政以維護(hù)和增進(jìn)公共利益為旨?xì)w，在疫情防控等突發(fā)公共衛(wèi)生事件應(yīng)對中，行政機(jī)關(guān)為了公共利益可以采取包括限制個(gè)人信息權(quán)益在內(nèi)的行政應(yīng)急措施，以及時(shí)控制和消除突發(fā)事件帶來的危害。換言之，由于突發(fā)公共衛(wèi)生事件的緊急性、公共性、危害性等特點(diǎn)，決定了國家公權(quán)力可以合理擴(kuò)張，及時(shí)啟動應(yīng)急處置程序，采取應(yīng)急處置措施。與此相對應(yīng)，公民私權(quán)利應(yīng)當(dāng)限縮或者克減，并對行政機(jī)關(guān)采取的防控措施負(fù)有容忍和服從義務(wù)。

更何況，大數(shù)據(jù)時(shí)代，個(gè)人信息已經(jīng)超越了傳統(tǒng)社會隱私的范疇而具有雙重屬性，其公共產(chǎn)品特征日趨明顯。我們雖然不贊同隱私具有公共屬性和經(jīng)濟(jì)價(jià)值的觀點(diǎn)，但認(rèn)為個(gè)人信息與公共利益密切相關(guān)，具有一定的財(cái)產(chǎn)價(jià)值。當(dāng)今社會，個(gè)人信息權(quán)益的排他性被極大弱化，自然人等個(gè)體對其信息權(quán)益的支配性也大大降低。與此相對應(yīng)，個(gè)人信息的公共性逐步增強(qiáng)，個(gè)人信息所蘊(yùn)含的公共利益價(jià)值日益凸顯。譬如，在疫情防控等突發(fā)公共衛(wèi)生事件應(yīng)對中，生命健康權(quán)具有基本權(quán)利屬性，具有價(jià)值衡量中的優(yōu)先地位，尤其是公眾的生命健康權(quán)屬于更大的公平與正義。每個(gè)人都有公共衛(wèi)生安全保障的法定義務(wù)和責(zé)任，為了不特定多數(shù)人的生命健康，個(gè)人隱私信息權(quán)利受到一定限制，國家相關(guān)部門根據(jù)疫情防控需要可以收集和處理公民個(gè)人信息，此時(shí)個(gè)人利益不可避免地要讓渡給公共利益。

利益平衡：大數(shù)據(jù)時(shí)代個(gè)人信息權(quán)益保護(hù)的應(yīng)然追求

合理適度是科學(xué)立法的題中應(yīng)有之義，個(gè)人信息保護(hù)時(shí)利益衡量必不可少?！昂唵位睦嫖浑A排序，不能為沖突關(guān)系的解決提供最終答案”“應(yīng)當(dāng)是在考量不同情境的基礎(chǔ)上，對各異質(zhì)利益的利益本質(zhì)及其沖突關(guān)系解釋與調(diào)和，以實(shí)現(xiàn)緊張關(guān)系的緩和乃至消解?！苯∪膫€(gè)人信息保護(hù)法律制度，尤其要考慮到合理適度，既要避免法律缺失、信息被濫用也要避免防護(hù)過度，從而在個(gè)人利益與公共利益之間達(dá)到某種平衡。問題在于，如何判斷在個(gè)人信息保護(hù)的框架下是否達(dá)到了利益平衡？筆者認(rèn)為，應(yīng)當(dāng)堅(jiān)持以下基本立場：公共利益具有相對優(yōu)位性，即公共利益的優(yōu)位是相對的，而不是絕對的、無條件的。對此，可以從以下四個(gè)方面理解：

其一，從社會優(yōu)先于個(gè)人這一現(xiàn)代文明社會基本原則出發(fā)，公共利益優(yōu)先于個(gè)人利益。公共利益與個(gè)人利益相比，公共利益是更高層次的根本性的重大利益，理應(yīng)具有更重要的地位。從現(xiàn)實(shí)看，規(guī)定“公共利益優(yōu)于個(gè)人利益”也是現(xiàn)代立法的普遍做法。具體到憲法文本方面，大致有兩種確立公共利益價(jià)值優(yōu)位的規(guī)范：一種是個(gè)人利益的實(shí)現(xiàn)不得侵害公共利益，這是社會個(gè)體的消極義務(wù)；另一種是為了公共利益的需要可以限制個(gè)人利益，這是社會個(gè)體的積極義務(wù)。對此，在分析公共利益限制個(gè)人信息權(quán)益的正當(dāng)性時(shí)已有涉及，此不贅述。

其二，公共利益的優(yōu)位性是相對的。絕對化的公共利益是不存在的，不存在不以個(gè)人利益為出發(fā)點(diǎn)和依歸的公共利益。在利益沖突中，公共利益并不當(dāng)然地具備優(yōu)先性，也并非占有優(yōu)勢地位。我們對于公共利益優(yōu)位的理解不能是絕對化、片面化，過分強(qiáng)調(diào)兩者的對立，忽略兩者的統(tǒng)一。在個(gè)人信息保護(hù)中，行政機(jī)關(guān)基于公共利益需要限制個(gè)人信息權(quán)益也并非絕對。譬如，在疫情防控等突發(fā)公共衛(wèi)生事件應(yīng)對中，相關(guān)部門不得公開那些可識別的個(gè)人信息，不得侵犯公民的基本權(quán)利。

其三，公共利益的優(yōu)位性要結(jié)合具體情況作具體分析，而不是所有的公共利益在任何情況下都可以限制個(gè)人利益?！肮怖娌粦?yīng)是始終絕對優(yōu)先和主導(dǎo)的利益。機(jī)械地把公共利益絕對凌駕于個(gè)體利益或者其他利益之上，不僅是對其他合法利益的侵犯，而且是違背公共利益正當(dāng)性精神的?！睋Q言之，“公共利益確實(shí)應(yīng)該是可以判斷的，這種判斷在結(jié)合某一情景時(shí)應(yīng)當(dāng)有其內(nèi)在的正當(dāng)性、合理性，否則就會導(dǎo)致權(quán)力的濫用。”這體現(xiàn)在個(gè)人信息保護(hù)方面，即是近年來學(xué)界提出的場景化問題，即在特定情境下對相關(guān)利益進(jìn)行比較和權(quán)衡。

其四，公共利益的優(yōu)先性應(yīng)受到正當(dāng)法定程序的限制。當(dāng)公共利益的實(shí)現(xiàn)必須要以犧牲個(gè)人利益為代價(jià)時(shí)，要用嚴(yán)格的法定程序予以規(guī)范。質(zhì)言之，任何對個(gè)人利益的剝奪，都應(yīng)當(dāng)有充分的理由，依據(jù)法定程序，并給予公平、及時(shí)地補(bǔ)償。就個(gè)人信息保護(hù)而言，雖然不完全適用“知情——同意”規(guī)則，但亦應(yīng)當(dāng)遵守相關(guān)程序性規(guī)定。

三、公共利益限制個(gè)人信息權(quán)益的制度反思

前已述及，大數(shù)據(jù)時(shí)代的個(gè)人信息具有價(jià)值多元性，個(gè)人信息保護(hù)要兼顧自然人、企業(yè)、政府等多方利益，從而在個(gè)人信息的人格價(jià)值與公共管理價(jià)值之間、個(gè)人信息利用與保護(hù)之間實(shí)現(xiàn)平衡。問題的難點(diǎn)在于，個(gè)人在整個(gè)信息處理過程中始終處于被動境地，傳統(tǒng)私權(quán)救濟(jì)手段難以抗衡企業(yè)和政府管理部門處理個(gè)人信息的強(qiáng)大動力，而限制個(gè)人信息的合法理由——“公共利益”又時(shí)常因?yàn)閮?nèi)涵外延模糊、代表機(jī)制缺失、行使規(guī)則滯后而陷入困境之中。

公共利益內(nèi)涵外延的模糊

如果對公共利益的概念界定不清，必然會導(dǎo)致公共利益的虛化、泛化，從而成為侵害個(gè)人利益的“危險(xiǎn)源”。實(shí)際上，在法治社會，清晰而合理地界定公共利益的內(nèi)涵及外延，已不再僅僅是抽象的理論問題，而是一個(gè)關(guān)乎國家法律制度設(shè)計(jì)法治實(shí)踐的重大現(xiàn)實(shí)問題。然而，公共利益作為一個(gè)“羅生門”式的概念，一直存在爭議，至今尚未形成一個(gè)公認(rèn)的可操作性定義。英國功利主義的代表人物邊沁把公共利益界定為“最大多數(shù)人的最大的利益和幸福?！蔽覈_灣地區(qū)學(xué)者王澤鑒把公共利益定義為“涉及的是不特定多數(shù)社會成員的利益”?？梢姡P(guān)于公共利益的概念，見仁見智。美國行政倫理學(xué)家?guī)扃晟踔琳J(rèn)為，“要想給出一個(gè)能得到理論界或?qū)嶋H工作者公認(rèn)的‘公共利益’定義，是不可能的”。因此，公共利益作為一種價(jià)值理念，是一個(gè)關(guān)涉政府合法性和政治正義性的基石性概念，但在事實(shí)層面卻是一個(gè)充滿爭議性話題，立法層面也幾乎沒有對公共利益作出明確界定。公共利益內(nèi)涵外延的模糊，必然會導(dǎo)致個(gè)人信息保護(hù)面臨窘境。

公共利益代表機(jī)制的缺失

問題的難點(diǎn)還在于，誰能代表公共利益？這涉及公共利益的代表機(jī)制問題?！捌鋵?shí)，公共利益的關(guān)鍵并不在于共同體的不確定性，而在于誰來主張公共利益?！睆哪撤N程度上而言，國家就是基于保護(hù)公共利益而產(chǎn)生的，現(xiàn)代國家更是以增進(jìn)、實(shí)現(xiàn)和維護(hù)公共利益為己任，國家機(jī)關(guān)也常常被視為公共利益的代表，增進(jìn)和維護(hù)公共利益是其存在的主要目的乃至唯一目的。然而，國家機(jī)關(guān)在增進(jìn)公共利益時(shí)存在“異化”傾向，即存在追求自身利益的動機(jī)。在公權(quán)力與私權(quán)利的關(guān)系中，公權(quán)力居于絕對主導(dǎo)地位，加上公權(quán)力的自我擴(kuò)張性，公權(quán)力對私權(quán)利的限制、侵犯乃至剝奪普遍可見。具體到個(gè)人信息保護(hù)方面，由于公共利益邊界不明，同時(shí)缺乏對公權(quán)力控制、監(jiān)督和制約的有效機(jī)制，因而公共利益的虛化、弱化和泛化現(xiàn)象嚴(yán)重，導(dǎo)致政府機(jī)關(guān)、社會組織乃至企業(yè)以公共利益為由肆意侵犯個(gè)人信息，存在信息收集主體多元化的突出問題。

當(dāng)前，我國個(gè)人信息保護(hù)工作分散在中央網(wǎng)信辦、工信部、公安部、交通運(yùn)輸部、市場監(jiān)管總局等中央政府部門以及銀監(jiān)會、國家衛(wèi)健委、中央人民銀行等專業(yè)監(jiān)管機(jī)關(guān)，網(wǎng)絡(luò)、工信、金融、教育、醫(yī)療衛(wèi)生、不動產(chǎn)登記等領(lǐng)域也都涉及個(gè)人信息權(quán)益保護(hù)管理職責(zé)，“九龍治水”、職權(quán)交叉、執(zhí)法不一、條塊分割、規(guī)范沖突等問題異常突出。以疫情防控等突發(fā)公共衛(wèi)生事件應(yīng)對為例，我國傳染病防治法第12條以及突發(fā)事件應(yīng)對法第38條規(guī)定了有權(quán)收集個(gè)人信息的主體范圍，包括疾控機(jī)構(gòu)、醫(yī)療機(jī)構(gòu)，以及縣級以上各級政府及其專業(yè)部門。然而，疫情防控實(shí)踐中，流動人員要同時(shí)面對流出地和流入地社區(qū)、街道、居委會、村委會、公安、交通、所在單位等多部門、多層級關(guān)于身體狀況、家庭住址、通勤信息等個(gè)人信息的重復(fù)采集，明顯超出了法律授權(quán)范圍，且造成了行政資源和社會資源的極大浪費(fèi)，也加大了個(gè)人信息泄露的風(fēng)險(xiǎn)。因此，在我國個(gè)人信息保護(hù)領(lǐng)域是否有設(shè)立一個(gè)獨(dú)立的專門機(jī)構(gòu)的必要值得思考。

因此，公共利益經(jīng)常固然表現(xiàn)為對全民或整體利益的維護(hù)和偏袒，但這絕不意味著把個(gè)人利益作為實(shí)現(xiàn)公共利益的“墊腳石”。大數(shù)據(jù)時(shí)代，個(gè)人被完全信息化，數(shù)據(jù)人格被深度塑造且無法被遺忘。建立在數(shù)據(jù)挖掘和整合基礎(chǔ)上的碎片化的個(gè)人信息，可以形成對個(gè)人財(cái)富、身份、偏好、性格的精準(zhǔn)分析和預(yù)測，企業(yè)以此進(jìn)行精準(zhǔn)營銷，政府和社會組織以此進(jìn)行有效治理。在強(qiáng)大公權(quán)力支配以及“公共利益”合法理由支撐下，個(gè)人信息保護(hù)面臨重大挑戰(zhàn)，需要反思和重構(gòu)傳統(tǒng)個(gè)人信息保護(hù)法律制度。

公共利益行使規(guī)則的滯后

個(gè)人信息賦權(quán)保護(hù)已成學(xué)界共識，然而，現(xiàn)代信息技術(shù)的發(fā)展客觀上增加了個(gè)人信息保護(hù)的難度甚至陷入了困境。一方面，個(gè)人信息的范圍不斷擴(kuò)大?！翱勺R別性”是判斷個(gè)人信息的標(biāo)準(zhǔn)，即能夠直接或間接“識別”出特定自然人的信息屬于個(gè)人信息，但隨著信息技術(shù)的進(jìn)步，能識別的個(gè)人信息范圍不斷拓展。另一方面，個(gè)人信息保護(hù)的手段日漸不足?！爸椤狻币?guī)則和匿名化規(guī)則是被視為保護(hù)個(gè)人信息的有效手段，但公共利益行使規(guī)則的滯后使得這兩個(gè)規(guī)則陷入僵化。

一是對于公共利益限制個(gè)人信息權(quán)益的程序性規(guī)定不足。仍以疫情防控等公共衛(wèi)生事件為例，我國傳染病防治法第38條第2款規(guī)定，公布傳染病疫情信息應(yīng)當(dāng)及時(shí)、準(zhǔn)確。但對于公布哪些信息、以什么方式公布、按什么途徑公布以及公布的期限等程序性內(nèi)容卻均未作系統(tǒng)、明確規(guī)定，從而無法為疫情防控中的個(gè)人信息保護(hù)工作提供精確指引。

二是在隱私政策披露方面存在重大缺陷。隱私政策披露是個(gè)人信息保護(hù)領(lǐng)域?qū)ζ髽I(yè)、政府、社會組織等個(gè)人信息收集主體尤其是網(wǎng)站、App運(yùn)營者的基本要求。然而，從實(shí)踐看，我國企業(yè)隱私政策披露自我規(guī)制機(jī)制仍處于初步建立階段，政府隱私政策披露機(jī)制更是闕如，存在政府個(gè)人信息收集正當(dāng)性基礎(chǔ)薄弱、使用約束機(jī)制欠缺等一系列問題。譬如，在疫情防控期間，各地普遍通過“健康碼”作為決定個(gè)人是否有權(quán)出行、是否獲得復(fù)工復(fù)產(chǎn)的重要證明，而“健康碼”是建立在獲取個(gè)人行程軌跡基礎(chǔ)上對個(gè)人健康風(fēng)險(xiǎn)等級的綜合評判，“健康碼”的形成構(gòu)成“自動化行政”，理應(yīng)屬于行政行為，但能否審查健康碼結(jié)果的合法性?如何評判這一自動化決策的合法性？公民如何獲得救濟(jì)？對這些問題尚未有明確的制度設(shè)計(jì)。

三是以公共利益之名收集和利用個(gè)人信息缺乏有效約束。由于個(gè)人信息涉及多方利益，政府在收集和利用個(gè)人信息時(shí)既要滿足公共治理的需要又要避免對過度侵占個(gè)人信息。但在實(shí)踐中，統(tǒng)一的個(gè)人信息收集標(biāo)準(zhǔn)闕如，多頭重復(fù)收集情況嚴(yán)重，濫采濫用問題突出，審查機(jī)制漏洞明顯，因公共數(shù)據(jù)濫用或監(jiān)管不力導(dǎo)致的個(gè)人信息泄露風(fēng)險(xiǎn)居高不下，各部門間個(gè)人信息數(shù)據(jù)庫的壁壘極大地限制了公共數(shù)據(jù)的流通和整合。

四、公共利益限制個(gè)人信息權(quán)益的原則釋義

基本原則在個(gè)人信息保護(hù)中具有極為重要的作用。個(gè)人信息保護(hù)法規(guī)定了個(gè)人信息處理七大基本原則，分別是合法性原則（第5條）、目的明確原則（第6條）、最小必要原則（第6條）、公開透明原則（第7條）、準(zhǔn)確性原則（第8條）、可問責(zé)性原則（第9條）、數(shù)據(jù)安全原則（第9條）。這些基本原則體現(xiàn)著個(gè)人信息保護(hù)的價(jià)值導(dǎo)向和法律理念。國家機(jī)關(guān)基于公共利益理由限制個(gè)人信息權(quán)益時(shí)亦應(yīng)當(dāng)遵循一定的基本原則，這些基本原則既是上述個(gè)人信息保護(hù)基本原則的延伸和體現(xiàn)，又有著自身的獨(dú)特性，應(yīng)主要包括法律授權(quán)原則、目的正當(dāng)原則、最小比例原則、安全保障原則等。法律授權(quán)原則決定了干預(yù)個(gè)人信息的依據(jù)，體現(xiàn)出國家公權(quán)力行使的合法性。目的正當(dāng)原則決定了干預(yù)個(gè)人信息的范圍，體現(xiàn)出國家公權(quán)力行使的合理性。最小比例原則決定了干預(yù)個(gè)人信息的強(qiáng)度，體現(xiàn)出國家公權(quán)力行使的必要性。安全保障原則決定了干預(yù)個(gè)人信息的方式，體現(xiàn)出國家公權(quán)力行使的均衡性。這些法律原則應(yīng)當(dāng)貫穿于公共利益限制個(gè)人信息權(quán)益的全過程、各環(huán)節(jié)。

法律授權(quán)原則

所謂法律授權(quán)原則，是指以公共利益限制個(gè)人信息權(quán)益應(yīng)當(dāng)有法律的明確授權(quán)，即基于公共利益目的限制個(gè)人信息權(quán)益必須有法律的明確授權(quán)，不得違反禁止性條款。通常而言，個(gè)人信息的商業(yè)利用需要信息主體的明確授權(quán)，而個(gè)人信息的公法限制則需要法律的明確規(guī)定。即便是為了公共利益，國家機(jī)關(guān)在處理個(gè)人信息時(shí)也應(yīng)依法履行職責(zé)，要依照法律規(guī)定的權(quán)限和程序并注意方式、方法以及范圍，盡量減少對個(gè)人產(chǎn)生的不利影響。需要強(qiáng)調(diào)的是，此處的“法律”應(yīng)為狹義的法律，須由全國人大或其常委會制定。申言之，鑒于個(gè)人信息在當(dāng)今社會具有憲法位階基本權(quán)利的極端重要性，以及限制個(gè)人信息權(quán)益涉及國家公權(quán)力行使，因此必須遵守法律保留原則，應(yīng)當(dāng)通過立法明確有權(quán)收集和處理個(gè)人信息權(quán)益的主體、范圍及限度。

目的正當(dāng)原則

所謂目的正當(dāng)原則，是指個(gè)人信息信息的收集和處理必須與公共利益具有相關(guān)性，符合公共利益目的特定性。這一目的約束原則要求信息收集者只能出于公共利益這一特定、明確、合法目的才能收集個(gè)人信息，不得收集利用與公共利益無關(guān)的個(gè)人信息，且其公共利益目的必須在信息收集時(shí)已經(jīng)確定，后續(xù)處理時(shí)不能與事先確定的公共目的相悖。目的正當(dāng)原則，涉及對個(gè)人信息限制的范圍、方式和強(qiáng)度等問題。譬如，在疫情防控等突發(fā)公共衛(wèi)生事件應(yīng)對中，大數(shù)據(jù)為政府聯(lián)防聯(lián)控以及企業(yè)復(fù)工復(fù)產(chǎn)提供了有力支持，但國家相關(guān)部門收集個(gè)人信息，必須是為了“預(yù)防、監(jiān)測、預(yù)警、處置、救援”等特殊公共利益的需要，且與疫情防控活動直接相關(guān)，不得基于供未來不特定目的使用而收集和處理個(gè)人信息。

最小比例原則

所謂最小比例原則，也稱范圍最小原則或必要性原則，是指以公共利益為由限制個(gè)人信息權(quán)益應(yīng)當(dāng)保持適度性、必要性，具有手段的適宜性且侵害的最小性，只要能夠?qū)崿F(xiàn)公共利益目的即可，不能過度地收集和處理個(gè)人信息，從而使個(gè)人權(quán)益受到的限制和干預(yù)盡量處于最低水平。最小比例原則與歐盟GDPR規(guī)定的“最少夠用原則”類似，決定了行政機(jī)關(guān)可以在多大范圍內(nèi)以及多大強(qiáng)度下收集和處理個(gè)人信息，即按照最小收集地域、最小收集對象、最小收集內(nèi)容等范圍收集和處理個(gè)人信息?！叭绻麅H僅法律措施是必要的(即最小程度的限制標(biāo)準(zhǔn))，那么即使是一種不重要的公共利益就可能合法地造成對一項(xiàng)重要權(quán)利的侵害。換言之，最小比例原則要求，基于公共利益目的必須限制個(gè)人信息權(quán)益時(shí)，應(yīng)以損害最小、程度最輕、次數(shù)最少的方式進(jìn)行，盡量縮小采集個(gè)人信息的主體范圍和內(nèi)容范圍，盡量降低信息泄露風(fēng)險(xiǎn)。譬如，在疫情防控等突發(fā)公共衛(wèi)生事件應(yīng)對中，一方面，行政機(jī)關(guān)可以基于疫情防控目的，分析、加工個(gè)人健康數(shù)據(jù)，而無需公民同意；另一方面，應(yīng)盡量采取“去標(biāo)識化”或“匿名化”等損害最小的處理方式，保證手段與目的之間的適度相稱。換言之，收集的個(gè)人信息的對象、類型和內(nèi)容必須與突發(fā)事件應(yīng)對有直接關(guān)聯(lián)，應(yīng)當(dāng)將收集信息的對象限定為確診者、疑似者、密切接觸者等重點(diǎn)人群，收集信息的范圍限定于與疫情防控存在關(guān)聯(lián)性的個(gè)人基本信息，如姓名、住址、身份證號碼、聯(lián)系方式等基本信息，體溫、癥狀等健康信息，位置行蹤、旅居史、接觸史、乘坐交通工具記錄、活動區(qū)域場所等出行信息，而不得收集職業(yè)、婚姻家庭、民族種族、宗教信仰、生物識別、財(cái)產(chǎn)財(cái)務(wù)等與疫情防控沒有直接關(guān)聯(lián)信息。

安全保障原則

所謂安全保障原則，是指收集和處理個(gè)人信息必須保障信息安全，即須根據(jù)情況采取必要的、具有期待可能性的風(fēng)險(xiǎn)防范措施以保護(hù)個(gè)人信息免受損害。近年來，隨著個(gè)人信息的收集、獲取、存儲和處理成本降低，以及數(shù)據(jù)的經(jīng)濟(jì)價(jià)值和社會價(jià)值日益凸顯，個(gè)人信息的應(yīng)用領(lǐng)域迅速擴(kuò)展，與之相伴的安全隱患和隱私挑戰(zhàn)不容忽視。實(shí)際上，在以公共利益限制個(gè)人信息權(quán)益時(shí)所應(yīng)遵循的“安全”保障義務(wù)非常廣泛，不限于信息安全，而應(yīng)當(dāng)包括人身安全、生活保障、醫(yī)療救治等基本權(quán)利。當(dāng)然，安全是個(gè)相對概念，需要結(jié)合個(gè)案進(jìn)行情景化判斷。安全保障原則要求政府部門在收集和使用個(gè)人信息時(shí)應(yīng)當(dāng)遵守相應(yīng)的法律義務(wù)，包括信息保密義務(wù)、采取技術(shù)保護(hù)措施義務(wù)、防止信息泄漏義務(wù)、采取補(bǔ)救措施義務(wù)等。政府機(jī)構(gòu)基于管理需要收集的個(gè)人信息，有相當(dāng)部分屬于敏感信息，一旦泄露會對個(gè)人安全和國家安全造成嚴(yán)重后果。因此，相關(guān)部門應(yīng)對個(gè)人信息安全開展影響評估，提升數(shù)據(jù)安全能力，采取嚴(yán)格的技術(shù)、物力、組織、管理、制度等一切必要合理的防護(hù)措施確保個(gè)人信息安全。譬如，在疫情防控等突發(fā)公共衛(wèi)生事件應(yīng)對中，行政機(jī)關(guān)對于決定公開的個(gè)人信息應(yīng)當(dāng)在公開之前進(jìn)行應(yīng)當(dāng)經(jīng)過“脫敏”和“去識別化”等匿名化處理，不能公布姓名、身份證號、電話、門牌號等能鎖定識別具體身份的數(shù)據(jù)。在公開之后應(yīng)該對信息進(jìn)行嚴(yán)密審核，建立連續(xù)完整的檢查監(jiān)督機(jī)制，最大程度上降低個(gè)人信息被非法使用、篡改和傳播的風(fēng)險(xiǎn)。同時(shí)，這類信息數(shù)據(jù)有一定的生命周期，待疫情防控結(jié)束后，應(yīng)由疾控機(jī)構(gòu)予以封存或匿名化處理或予以銷毀。

五、個(gè)人信息保護(hù)中公共利益考量規(guī)則的優(yōu)化路徑

無論是從學(xué)理分析抑或是從法律規(guī)范來看，公共利益限縮個(gè)人信息權(quán)益都具有正當(dāng)性。然而，目的的正當(dāng)性并不意味著手段的任意性。相反，應(yīng)當(dāng)通過限定主體、確定原則、厘清范圍、完善救濟(jì)等法治舉措確保公共利益限縮個(gè)人信息權(quán)益的正當(dāng)性。因此，個(gè)人信息保護(hù)法的通過和實(shí)施，并非意味著個(gè)人信息保護(hù)立法的終結(jié)，相反需要通過實(shí)施細(xì)則、立法解釋、司法案例等方式進(jìn)一步優(yōu)化規(guī)則。更何況，建立在主體平等、客體排他、意思自治基礎(chǔ)之上的傳統(tǒng)私法保護(hù)模式日益面臨著個(gè)人信息保護(hù)不足和保護(hù)過度的兩難窘境，應(yīng)當(dāng)采取公私法協(xié)同推進(jìn)的多元化法治路徑，充分發(fā)揮部門法功能，建立綜合治理模式，并實(shí)現(xiàn)個(gè)人信息保護(hù)法制體系內(nèi)部的統(tǒng)一和協(xié)調(diào)。

公共利益內(nèi)涵外延的界定

全面推進(jìn)依法治國的時(shí)代背景下，無論是國家公權(quán)力還是公民私權(quán)利，都應(yīng)當(dāng)有明確的邊界。體現(xiàn)在個(gè)人信息保護(hù)方面，重要的一點(diǎn)即是確立公共利益的范圍。隨著互聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能等技術(shù)手段在國家治理中的加速運(yùn)用，政府在行政管理和提供公共服務(wù)中收集存儲了大量的個(gè)人信息進(jìn)而形成了公共數(shù)據(jù)資源。這些公共數(shù)據(jù)具有公共屬性，屬于公共產(chǎn)品，只能用于公共利益目的。此時(shí)，迫切需要通過立法明確界定公共利益的內(nèi)涵范圍。

公共利益概念具有高度模糊性與歧義性，麥克哈格教授總結(jié)了公共利益概念的三個(gè)主要理論——共同利益理論、優(yōu)勢理論、統(tǒng)一理論。筆者認(rèn)為，公共利益概念與特定社會的文化傳統(tǒng)、倫理道德、意識形態(tài)、政治架構(gòu)、公共行政、法律制度密不可分，對于這一概念的不同理解，通常意味著不同的價(jià)值取向、行動準(zhǔn)則和社會實(shí)踐?？梢詮囊韵聨讉€(gè)角度把握公共利益內(nèi)涵：其一，公共利益的表現(xiàn)形式非常廣泛，但具有相對性。公共利益既可以體現(xiàn)為抽象的利益形態(tài)，如國家安全、社會安全、公共秩序等，承載更多的是價(jià)值功能，也可以表現(xiàn)為具體的物化的利益形態(tài)，如環(huán)境衛(wèi)生、公共資源、基礎(chǔ)設(shè)施等，承載更多的是物質(zhì)功能。但公共利益不是絕對的，是特定具體時(shí)空的產(chǎn)物，具有相對性。質(zhì)言之，公共利益是相對于個(gè)人利益而言的某一時(shí)期、某一特定區(qū)域內(nèi)不特定多數(shù)人的利益，是相權(quán)衡比較的利益，其內(nèi)容與形式依附于特定的社會環(huán)境，在不同時(shí)期人們對社會公共利益的理解也會有所不同。因此，應(yīng)當(dāng)在特定的時(shí)空條件下對各種利益進(jìn)行比較權(quán)衡作出判斷。其二，公共利益是關(guān)乎人類長遠(yuǎn)的根本的整體利益，具有不可分性。公共利益絕不是個(gè)人利益在數(shù)字上的簡單相加，而是“特定”范圍內(nèi)人們所共同認(rèn)可、對各方有價(jià)值的利益。換言之，公共利益超越了單個(gè)個(gè)體的利益，也不是局部的、眼前的、狹隘的利益，而更多是一種整體的、長遠(yuǎn)的、根本的利益。其三，公共利益的享有主體具有普遍性、不確定性和非排他性。公共利益的享有主體具有普遍性和不特定性的特點(diǎn)，而不是由某個(gè)人專門享有的，其他人也可以享有。在一定程度上，共享性是公共利益的基本屬性。以疫情防控為例，公共健康不僅使某一個(gè)人具有安全感，而該國的所有民眾都會具有安全感，某一國民從疫情防控中受益并不妨礙其他國民從中受益。

因此，從廣泛意義上講，公共安全、公眾健康、國家安全、國家利益等都屬于公共利益范疇，打擊犯罪、刑事偵查、行政執(zhí)法、反對恐怖主義等也是保護(hù)公共利益的體現(xiàn)。政府部門基于上述理由收集和處理個(gè)人信息具有的正當(dāng)性自不待言。除此之外，個(gè)人信息保護(hù)中的網(wǎng)絡(luò)安全、兒童信息、跨境流動等亦與公共利益密切相關(guān)。但無論如何，都應(yīng)當(dāng)通過立法方式予以明確。從操作角度，建議可以采取“內(nèi)涵界定+外延列舉+兜底條款”立法例，明確公共利益范圍。

公共利益代表主體的明確

個(gè)人信息保護(hù)涉及多方主體的多重利益訴求，需要政府、企業(yè)、社會組織、個(gè)人等協(xié)同合力。對政府而言，不僅要建立健全個(gè)人信息保護(hù)執(zhí)法機(jī)制，加強(qiáng)對個(gè)人信息權(quán)益的監(jiān)督檢查，更要構(gòu)建個(gè)人信息權(quán)益保護(hù)的主體規(guī)則，確定公共利益的代表主體。長期以來，行政執(zhí)法及其監(jiān)管不力是我國個(gè)人信息保護(hù)最為突出的問題之一，分散執(zhí)法、多頭執(zhí)法導(dǎo)致的主體虛化以及監(jiān)管真空、監(jiān)管不力導(dǎo)致的邊界模糊廣遭詬病。公共部門出于長期以來形成的“官本位”思維定勢，對個(gè)人信息的關(guān)注也大多出于其管理的需要，強(qiáng)調(diào)個(gè)人提供信息的義務(wù)，而非注重個(gè)人所享有的信息權(quán)益，時(shí)而存在隨意收集、過度收集、違法獲取、擅自披露、過度使用個(gè)人信息之虞?，F(xiàn)實(shí)的困境在于，公民在個(gè)人信息遭到侵犯時(shí)無法獲取相關(guān)證據(jù)、無法確定責(zé)任主體、不知道向哪個(gè)機(jī)構(gòu)或部門投訴或提起訴訟等，從而導(dǎo)致實(shí)踐中因個(gè)人信息權(quán)益遭受侵犯但不愿意投訴或提起訴訟的根源所在。

從域外立法實(shí)踐看，各國紛紛設(shè)立統(tǒng)一的個(gè)人信息保護(hù)機(jī)構(gòu)。歐盟GDPR將“有效的專業(yè)規(guī)制機(jī)構(gòu)”作為滿足“充分性認(rèn)定”的基本條件，要求各成員國設(shè)立專門的個(gè)人數(shù)據(jù)監(jiān)管機(jī)構(gòu)以加強(qiáng)對個(gè)人信息的收集、利用、流通等環(huán)節(jié)的監(jiān)控管理。根據(jù)這一要求，德國設(shè)立了個(gè)人數(shù)據(jù)保護(hù)聯(lián)邦委員會，這是一個(gè)專司個(gè)人數(shù)據(jù)保護(hù)監(jiān)督、解決個(gè)人數(shù)據(jù)保護(hù)糾紛、提出個(gè)人數(shù)據(jù)保護(hù)建議的獨(dú)立機(jī)構(gòu)。美國形成了行業(yè)監(jiān)管模式，輔之以極強(qiáng)的執(zhí)法機(jī)制、嚴(yán)厲的威懾機(jī)制、廣泛的社會監(jiān)督機(jī)制，較好地保障了個(gè)人信息權(quán)益免遭侵犯。日本為了加強(qiáng)個(gè)人信息保護(hù)的行政監(jiān)管，于2017年成立了個(gè)人信息委員會，從而確立了個(gè)人信息保護(hù)集中監(jiān)管體制。我國個(gè)人信息保護(hù)法提出了“網(wǎng)信部門統(tǒng)籌協(xié)調(diào)+有關(guān)部門各自監(jiān)管”的模式，以區(qū)別于以歐盟為代表的跨行業(yè)統(tǒng)一監(jiān)管模式和以美國為代表的行業(yè)監(jiān)管模式。應(yīng)當(dāng)說，該模式是平衡域外兩種主要模式利弊以及考慮我國行政管理傳統(tǒng)模式的結(jié)果，對于構(gòu)建我國個(gè)人信息多方共享共治模式意義重大。然而，不可忽視的是，個(gè)人信息保護(hù)法并未突破網(wǎng)絡(luò)安全法在監(jiān)管體制方面的設(shè)計(jì)，并未從根本上改變個(gè)人信息保護(hù)領(lǐng)域分散執(zhí)法的局面，選擇性執(zhí)法、多頭執(zhí)法問題仍將普遍存在。

厘清政府的權(quán)責(zé)邊界，事關(guān)個(gè)人信息保護(hù)和數(shù)據(jù)產(chǎn)業(yè)發(fā)展，事關(guān)國家治理體系和治理能力現(xiàn)代化，以公共利益之名收集和處理個(gè)人信息只能由有法律授權(quán)的機(jī)構(gòu)按照法定程序而為之。建立統(tǒng)一、專業(yè)、獨(dú)立的個(gè)人信息保護(hù)機(jī)構(gòu)，既是實(shí)現(xiàn)個(gè)人信息保護(hù)一體化的需要，更是明確問責(zé)機(jī)制的需要?？梢哉f，“統(tǒng)一”是設(shè)置個(gè)人信息保護(hù)機(jī)構(gòu)的前提要素，這是其一。其二，“專業(yè)”是設(shè)置個(gè)人信息保護(hù)機(jī)構(gòu)的基礎(chǔ)要素。隨著數(shù)據(jù)挖掘、人臉識別、算法等現(xiàn)代技術(shù)的迅猛發(fā)展，個(gè)人信息應(yīng)用場景日趨復(fù)雜，個(gè)人信息保護(hù)工作面臨著技術(shù)、政策、法律等多重因素考量，這就迫切要求個(gè)人信息保護(hù)機(jī)構(gòu)具有極強(qiáng)的專業(yè)性，否則難以承擔(dān)起個(gè)人信息保護(hù)的重任。其三，“獨(dú)立”是設(shè)置個(gè)人信息保護(hù)機(jī)構(gòu)的關(guān)鍵要素。個(gè)人信息保護(hù)應(yīng)當(dāng)超越個(gè)人利益、企業(yè)利益和公共利益，站在全局高度平衡各方利益，獨(dú)立行使個(gè)人信息保護(hù)職權(quán)，排除其他組織的干預(yù)，防止被利益團(tuán)體“捕獲”。

具體而言，第一，需要明確行政機(jī)關(guān)在個(gè)人信息保護(hù)中的職權(quán)與權(quán)限。個(gè)人信息保護(hù)機(jī)構(gòu)享有的職權(quán)主要包括：首先是接受投訴權(quán)，即當(dāng)公民認(rèn)為其個(gè)人信息權(quán)益受到侵犯時(shí)可以向個(gè)人信息保護(hù)機(jī)構(gòu)投訴，有權(quán)要求其進(jìn)行查處并給予行政保護(hù)，必要時(shí)應(yīng)當(dāng)支持并指導(dǎo)個(gè)人因此而提起的民事訴訟，發(fā)現(xiàn)涉嫌犯罪的應(yīng)當(dāng)將相關(guān)情況通報(bào)至公安機(jī)關(guān)進(jìn)行刑事追責(zé)。其次是調(diào)查處理權(quán)，即針對侵犯個(gè)人信息權(quán)益的行為，個(gè)人信息保護(hù)機(jī)構(gòu)有權(quán)采取現(xiàn)場檢查、詢問當(dāng)事人、查封扣押相關(guān)設(shè)備、查閱復(fù)制相關(guān)資料等措施，并對相關(guān)違法企業(yè)、行政機(jī)關(guān)和個(gè)人予以行政處罰或啟動行政追責(zé)。再次是行政監(jiān)督權(quán)，即有權(quán)監(jiān)督行政機(jī)關(guān)、企業(yè)、社會組織等個(gè)人信息保護(hù)工作，評估個(gè)人信息保護(hù)措施的合法性與合理性，推廣個(gè)人信息增強(qiáng)技術(shù)，提供個(gè)人信息政策咨詢、指導(dǎo)和建議。最后是規(guī)則制定權(quán)，即在國家相關(guān)立法的授權(quán)下，就個(gè)人信息保護(hù)出臺相關(guān)標(biāo)準(zhǔn)、指南、意見、規(guī)定等，特別是就個(gè)人信息處理中的“公共利益”作出細(xì)化說明，遏制行政機(jī)關(guān)的擴(kuò)張解釋。第二，行政機(jī)關(guān)需要提高基于復(fù)雜場景下個(gè)人信息的判定能力、對方利益衡量能力以及個(gè)人信息保護(hù)能力，特別是在行政公開、行政處罰、行政確認(rèn)等行政行為中通過技術(shù)手段對個(gè)人信息作匿名化處理。第三，加強(qiáng)對國家機(jī)關(guān)的監(jiān)管，優(yōu)化外部執(zhí)法威懾機(jī)制，遏制公權(quán)力機(jī)關(guān)過度收集個(gè)人信息、濫用個(gè)人信息甚至泄露個(gè)人信息；加大責(zé)任處罰力度，賦予自然人以個(gè)人信息救濟(jì)權(quán)，即當(dāng)自然人認(rèn)為行政機(jī)關(guān)基于公共利益侵犯個(gè)人信息權(quán)益時(shí)有權(quán)提起行政復(fù)議和行政訴訟；加強(qiáng)社會監(jiān)督，必要時(shí)引入第三方專業(yè)機(jī)構(gòu)，推動社會多方參與個(gè)人信息治理生態(tài)的形成。

知情同意原則例外的細(xì)化

尊重自然人的個(gè)人信息自決權(quán)被認(rèn)為是個(gè)人信息保護(hù)制度的基礎(chǔ)，即體現(xiàn)在法律中的知情同意機(jī)制。知情同意機(jī)制普遍適用于國內(nèi)外個(gè)人信息保護(hù)立法，無論是歐盟的GDPR，抑或是美國加州消費(fèi)者隱私法案，還是經(jīng)濟(jì)合作與發(fā)展組織（OECD）的關(guān)于隱私保護(hù)和個(gè)人數(shù)據(jù)跨境流通的指南都將知情同意作為個(gè)人信息權(quán)束中的基礎(chǔ)性權(quán)利，我國網(wǎng)絡(luò)安全法第41條、民法典第1035條對其也都有明確規(guī)定。知情同意機(jī)制集中體現(xiàn)了前信息時(shí)代以個(gè)人控制權(quán)為核心的個(gè)人信息保護(hù)制度建構(gòu)，是收集個(gè)人信息行為合法性的首要基礎(chǔ)。在傳統(tǒng)個(gè)人信息保護(hù)制度下，個(gè)人控制權(quán)的實(shí)現(xiàn)是個(gè)人信息權(quán)益制度的核心，強(qiáng)調(diào)個(gè)人信息范圍的有限且可控，個(gè)人信息的取得和處理必須征得個(gè)人的同意。然而，該原則在當(dāng)今信息時(shí)代日益顯示出適用無力之尷尬境地。這不僅表現(xiàn)在個(gè)人信息范圍擴(kuò)大，知情同意機(jī)制難以適用或者事實(shí)無效，“告知——同意”流于形式，而且體現(xiàn)在個(gè)人對其信息的控制力減弱，“被遺忘權(quán)”應(yīng)運(yùn)而生。同時(shí)，這還體現(xiàn)在目的限定原則模糊，基于公共利益收集和利用個(gè)人信息情形逐漸增多。換言之，類似于刑事司法領(lǐng)域的偵查活動，政府基于維護(hù)公共利益的需要在利用個(gè)人信息時(shí)可以不遵守知情同意原則。究其根源就在于，知情同意機(jī)制缺乏效益，嚴(yán)重阻滯個(gè)人信息的收集與利用?！皞€(gè)人信息的動態(tài)性和場景性決定了在不同情形下對個(gè)人信息的使用并非一成不變”，對知情同意機(jī)制不能作簡單化、機(jī)械化、概括化理解。

將公共利益作為信息主體知情同意原則的例外也是國內(nèi)外立法的普遍做法，如歐盟GDPR第6條、第9條，美國聯(lián)邦法規(guī)第164部分“安全與隱私”項(xiàng)下第512條。從我國立法來看，民法典第1035條第1款第1項(xiàng)在沿用知情同意機(jī)制的同時(shí)，留下了“法律、行政法規(guī)另有規(guī)定的除外”的例外規(guī)定。突發(fā)事件應(yīng)對法、傳染病防治法、突發(fā)公共衛(wèi)生事件應(yīng)急條例等法律法規(guī)均賦予行政機(jī)關(guān)在未取得公民同意情形下可以收集個(gè)人相關(guān)信息的權(quán)力，這可以被視為民法典第1035條第1項(xiàng)所規(guī)定的“但書”范圍，我國傳染病防治法第33條、第38條以及個(gè)人信息保護(hù)法第13條等也有相關(guān)規(guī)定。通過這些規(guī)定，不難發(fā)現(xiàn)，世界各國普遍將公共利益視為對知情同意原則的限制。譬如，在應(yīng)對疫情防控等應(yīng)對突發(fā)公共事件時(shí)，實(shí)時(shí)掌握有效的疫情信息是疫情防控工作順利開展的重要保障，是作出正確防控決策和采取精準(zhǔn)預(yù)防措施的重要基礎(chǔ)。然而，由于疫情防控涉及地域廣、人員多、情形復(fù)雜，無論是逐一告知信息主體抑或征得個(gè)人的明示同意，都會增加疫情控制成本甚至貽誤疫情防控時(shí)機(jī)，從而危及公共衛(wèi)生安全。但是，“隨著政府權(quán)力持續(xù)地劇烈增長，只有借助于程序公正，權(quán)力才有可能獲得容忍”。知情同意原則的例外并不意味著獲取和處理個(gè)人信息具有程序“豁免權(quán)”。相反，恰恰基于對政府公權(quán)力濫用的高度警惕應(yīng)當(dāng)制定政府機(jī)構(gòu)干預(yù)個(gè)人信息法更為審慎和明確的法律制度，優(yōu)化對個(gè)人信息合理使用、存儲、共享、公開和刪除機(jī)制，從而保障個(gè)人信息安全。換言之，這種未經(jīng)同意收集個(gè)人信息的權(quán)力應(yīng)當(dāng)受到嚴(yán)格制約除了通過立法窮盡列舉“例外”情形外，亦應(yīng)當(dāng)遵循最低限度的正當(dāng)程序要求，嚴(yán)格個(gè)人信息保護(hù)標(biāo)準(zhǔn)，從而保障個(gè)人信息安全。

首先，要履行公開義務(wù)，向社會公眾說明收集和處理個(gè)人信息的公共利益理由及范圍。“無需個(gè)人同意”并不意味著社會公眾和信息主體不享有知情權(quán)，政府機(jī)關(guān)有義務(wù)將收集和利用個(gè)人系信息的法律依據(jù)和正當(dāng)目的，以簡單、易懂、明確的語言向社會公開，并向收集對象說明收集主體、信息類別、使用目的、救濟(jì)權(quán)利等，接受社會和信息主體的監(jiān)督。其次，要保障信息主體相關(guān)權(quán)利，包括查詢權(quán)、異議權(quán)、請求更正或補(bǔ)正權(quán)、安全權(quán)等。行政機(jī)關(guān)收集和處理個(gè)人信息行為屬于行政行為，根據(jù)公眾參與基本原則，信息主體除了享有陳述權(quán)、申辯權(quán)等一般程序性權(quán)利外，還享有了解其個(gè)人信息被收集和利用情況的知悉權(quán)，當(dāng)發(fā)現(xiàn)其個(gè)人信息存在錯(cuò)誤或者過時(shí)時(shí)，有權(quán)請求修改、補(bǔ)充或完善，從而確保信息品質(zhì)。著眼于未來，鑒于個(gè)人信息具有生命周期，公共利益事項(xiàng)結(jié)束后仍可能會有大量的個(gè)人信息保留在網(wǎng)絡(luò)等公共空間，從而給信息主體人格權(quán)益造成侵害，建議通過立法明確賦予自然人被遺忘權(quán)。再次，在公開或者共享信息時(shí)應(yīng)當(dāng)“去識別化”處理。個(gè)人信息具有基本權(quán)利屬性，確需向社會公開或者共享個(gè)人信息的，應(yīng)當(dāng)采取“去標(biāo)識化”“匿名化”等“去識別化”技術(shù)手段，有效切斷信息與信息主體之間的連接，避免引起公眾恐慌或者因?yàn)檩浾摱o信息主體造成次生災(zāi)害。實(shí)踐中，我國對個(gè)人信息的模糊化、匿名化、脫敏處理已經(jīng)比較常見，但仍需進(jìn)一步細(xì)化“去識別化”的判斷標(biāo)準(zhǔn)，從而在個(gè)人信息保護(hù)與公眾知情權(quán)之間保持平衡。最后，對于個(gè)人敏感信息的收集和處理，仍應(yīng)當(dāng)嚴(yán)格遵守知情同意原則。敏感信息往往與個(gè)人隱私密切相關(guān)，只能基于特定的目的和充分必要的前提下方可收集和處理，同時(shí)應(yīng)當(dāng)征得個(gè)人單獨(dú)同意或者書面同意。建議進(jìn)一步對個(gè)人信息進(jìn)行分級分類，通過類型化、場景化對個(gè)人信息采取不同的保護(hù)措施。尤其是針對個(gè)人敏感信息，應(yīng)當(dāng)符合更高更嚴(yán)格的保護(hù)要求，非必要不能收集和處理個(gè)人信息，履行事先告知、單獨(dú)（書面）同意、風(fēng)險(xiǎn)評估、行政許可等特殊保護(hù)程序。

譬如，在疫情防控等突發(fā)公共衛(wèi)生事件應(yīng)對中，由于病毒的超強(qiáng)傳播性以及后果致命性，政府可以通過“健康碼”“行程碼”等形式掌握個(gè)人的行蹤軌跡并對其行為自由作出一定限制，但這種基于公共利益而對個(gè)人信息權(quán)益的克減是應(yīng)當(dāng)建立在一定的規(guī)則約束基礎(chǔ)之上的。除了目的正當(dāng)性之外，還應(yīng)當(dāng)確保過程的公平性，即行政機(jī)關(guān)在為了公共利益而克減個(gè)人信息權(quán)益時(shí)，應(yīng)當(dāng)對其進(jìn)行解釋并對算法進(jìn)行審計(jì)，從而保證行政管理和公共服務(wù)的公平性。同時(shí)，還必須確保匿名性和時(shí)間有效性，即在公布個(gè)人信息時(shí)應(yīng)當(dāng)對相關(guān)信息進(jìn)行“去可識別性”，以保護(hù)個(gè)人信息安全。如果確需對個(gè)人信息權(quán)益進(jìn)行克減，也必須是緊急狀態(tài)下的“不得已而為之”。待緊急狀態(tài)緩解或結(jié)束，行政機(jī)關(guān)與個(gè)人信息的收集就不具有強(qiáng)制性，而轉(zhuǎn)為個(gè)人的自愿選擇行為，應(yīng)根據(jù)存儲期限最小原則對個(gè)人信息應(yīng)當(dāng)刪除或匿名化。

法律保護(hù)救濟(jì)途徑的健全

“在利用與保護(hù)個(gè)人數(shù)據(jù)激勵失衡的大背景下”，國家“一項(xiàng)重要的立法任務(wù)就是構(gòu)建有效的外部執(zhí)法威懾，促使信息控制者積極履行法律責(zé)任，并對違法處理個(gè)人信息的行為予以制裁”。面對大數(shù)據(jù)時(shí)代個(gè)人信息安全面臨的嚴(yán)峻挑戰(zhàn)以及司法困境，筆者提出以下建議：

一是完善國家部門法律責(zé)任。個(gè)人信息保護(hù)職責(zé)部門在履行職責(zé)過程中惡意獲取個(gè)人信息或者保護(hù)個(gè)人信息不力的，應(yīng)當(dāng)承擔(dān)相應(yīng)法律責(zé)任，建議可以在個(gè)人信息保護(hù)法中增加相關(guān)條款，即履行個(gè)人信息保護(hù)職責(zé)的部門及其工作人員在履行職責(zé)過程中非法收集、保存、刪除、篡改或者對外提供個(gè)人信息的，對直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員依法給予處分，由此對公民和企業(yè)造成損失或者其他的嚴(yán)重后果的，依照國家法律規(guī)定依法賠償，構(gòu)成犯罪的依法追究刑事責(zé)任。

二是健全行政訴訟制度。行政機(jī)關(guān)基于公共利益收集和處理個(gè)人信息的行為屬于行政管理和公共服務(wù)范疇，應(yīng)當(dāng)受到行政許可法、行政處罰法等實(shí)體法的約束，亦應(yīng)當(dāng)受到行政復(fù)議法、行政訴訟法等程序法的約束。即行政相對人因?yàn)樾姓C(jī)關(guān)的違法行為而侵害其個(gè)人信息權(quán)益，可以提起行政復(fù)議或行政訴訟，行政機(jī)關(guān)內(nèi)部可以通過行政處分程序給予追究法律責(zé)任。從司法實(shí)踐看，因個(gè)人信息糾紛引發(fā)的行政訴訟不斷增多，并以“政府信息公開”案由最為集中，體現(xiàn)出行政主體的法益權(quán)衡能力及行為規(guī)范性有待增強(qiáng)。因此，應(yīng)當(dāng)進(jìn)一步健全我國行政訴訟制度，加大政府機(jī)關(guān)基于公共利益需要收集和處理個(gè)人信息的司法監(jiān)督。

三是引入行政公益訴訟制度。個(gè)人信息保護(hù)法第70條確立了個(gè)人信息保護(hù)公益訴訟制度，為規(guī)范非法處理個(gè)人信息侵害眾多個(gè)人權(quán)益的行為提供了公益訴訟法律依據(jù)，這是我國公益訴訟立法的又一進(jìn)步。但遺憾的是，與既有的消費(fèi)者保護(hù)公益訴訟、環(huán)境生態(tài)保護(hù)公益訴訟制度相比，該法律條文過于原則，需要進(jìn)一步對主體資格、適用條件、法律責(zé)任等問題作出細(xì)化規(guī)定。同時(shí)，亦沒有確立個(gè)人信息保護(hù)行政公益訴訟制度。2017年行政訴訟法創(chuàng)造性地確立了行政公益訴訟，并通過“列舉+兜底”立法例明確了行政公益訴訟范圍。個(gè)人信息保護(hù)問題社會關(guān)注度高、人民反映強(qiáng)烈、關(guān)涉公共利益，雖然不屬于行政訴訟法第25條所列舉的四種行政公益訴訟類型，但可以利用兜底條款將其納入公益訴訟。為此，需要進(jìn)一步深化司法體制改革，拓展行政公益訴訟受案范圍，將行政公益訴訟制度引入個(gè)人信息保護(hù)領(lǐng)域。因此，建議通過出臺個(gè)人信息保護(hù)法實(shí)施條例等方式引入行政公益訴訟制度，即針對侵犯公民個(gè)人信息的行政機(jī)關(guān)的違法失職行為（公害行為），賦予檢察機(jī)關(guān)提出檢察建議權(quán)敦促其履行相關(guān)法定職責(zé)，否則有權(quán)向人民法院提起行政公益訴訟。

四是加大行政賠償責(zé)任。建議加大對個(gè)人信息侵權(quán)行政賠償責(zé)任，通過修改國家賠償法將行政機(jī)關(guān)侵犯公民個(gè)人信息權(quán)益行為納入賠償范圍，并采用客觀過錯(cuò)歸責(zé)原則，即行政相對人只需證明行政機(jī)關(guān)在個(gè)人信息保護(hù)方面應(yīng)盡自己的合理的義務(wù)而沒有盡到的客觀事實(shí)，從而減輕行政相對人的負(fù)擔(dān)，保障其個(gè)人信息權(quán)益遭受侵害后行政救濟(jì)的落實(shí)。

結(jié)語

在大數(shù)據(jù)時(shí)代，個(gè)人信息權(quán)益主體呈現(xiàn)出多元化趨勢，從自然人拓展至個(gè)人信息的收集者、使用者及管理者。個(gè)人信息權(quán)益的內(nèi)容也日益復(fù)合化，從自然人個(gè)體的人格權(quán)、財(cái)產(chǎn)權(quán)等個(gè)人利益擴(kuò)展至國家安全、社會秩序等公共利益。因此，要在個(gè)人利益與公共利益之間找到平衡點(diǎn)，在保證最大限度不損害個(gè)人利益的前提下促進(jìn)公共利益的實(shí)現(xiàn)。在個(gè)人信息保護(hù)領(lǐng)域，個(gè)人利益、企業(yè)利益、國家利益、公共利益之間不是呈現(xiàn)出單向度關(guān)系，而是處于交叉、沖突和緊張狀態(tài)。政府公權(quán)力機(jī)關(guān)在進(jìn)行行政管理或者提供公共服務(wù)，特別是應(yīng)對突發(fā)公共衛(wèi)生事件時(shí)，收集和處理個(gè)人信息具有價(jià)值正當(dāng)性和制度合法性，這是法益價(jià)值位階比較中公共利益優(yōu)先的必然要求。然而，無論是基于保護(hù)個(gè)人信息權(quán)益的需要，還是基于現(xiàn)代社會行政控權(quán)的需要，法定主體在收集和處理個(gè)人信息時(shí)，應(yīng)當(dāng)秉持克制謙抑和審慎精神，遵循嚴(yán)格基本原則和具體規(guī)則。應(yīng)當(dāng)進(jìn)一步完善個(gè)人信息保護(hù)法，構(gòu)建我國公共利益限制個(gè)人信息權(quán)益的規(guī)制框架和法律規(guī)范，從而中和利益相關(guān)者沖突，尋求個(gè)人信息保護(hù)中公私利益的平衡，實(shí)現(xiàn)個(gè)人信息權(quán)益最大化，提升國家治理體系與治理能力現(xiàn)代化。