张钰欣

【关键词】个人信息  公益性利用  理论困境  现实困境

【中图分类号】DF529                            【文献标识码】A

【DOI】10.16619/j.cnki.rmltxsqy.2021.07.014

大数据时代，对个人信息的合理利用成为人们日常生活、企业规范运作、政府行政管理的必要条件，然而，向数字世界迈进在带来巨大利益和未来增长潜力的同时，网络攻击、个人信息泄漏的风险也在急剧增加。为了平衡个人信息的利用与保护，各国都在采取积极措施以应对信息开发与流通所引发的法律风险。理论界主要针对作为信息持有者的企业与作为信息主体的个人之间的矛盾冲突，探讨信息利用与保护之间的平衡与发展，衡量两者间的利益博弈，较少关注基于公共利益收集使用个人信息时的个人信息保护问题。实践中该类个人信息的使用存在越界现象，其根本原因在于公益性利用个人信息保护存在固有的理论困境与现实困境，需要对其进行分析以探寻该类个人信息的合理保护途径。

公益性利用个人信息保护的理论困境

个人信息控制权被克减。从比较法考察的角度看，早有学者提出，数据保护问题实质上是消费者与收集和使用他们数据的公共（或私营）数据库之间权力失衡的问题（Neil Richards， 2006）。学界普遍认同，美国学者沃伦（Wallen）和布兰代斯（Brandeis）1890年发表的《论隐私权》一文是隐私權保护的开创之作。该文关注的是技术和媒体的侵入性，认为应保护个人隐私不被极具事业心的媒体、摄影师或者任何其他可以记录和复制场景（或声音）的现代设备持有者所入侵，从而保持独处的权利（the right to be let alone）。随着社会的发展，隐私权的范围日益扩大，美国的隐私权体系逐渐从防御性的权利（抵抗外界侵扰）转为进取性的权利（信息的自我控制和决定）。尼尔（Neil Richards）教授将这些发展予以归纳，提出了“信息隐私法项目”（Information Privacy Law Project）以区分传统的决策隐私与信息隐私。他认为，决策隐私通常被定义为个人就其个人和生育自主权作出某些基本选择的权利，信息隐私通常被定义为个人控制自己信息的权利。隐私作为一种自我控制、自我决策的权利慢慢成为信息隐私的主流理论。

从隐私权认知到信息隐私理论，个人性（个人控制与决定）都是其理论基石。有学者总结到，互联网和现实世界（或离线世界）的主流范式均认为，隐私是一种控制个人数据使用的个人权利（Paul M. Schwartz， 2000）。欧盟《一般数据保护条例》（简称GDPR）中也采纳了这一观点，在序言中明确：自然人应控制自己的个人数据。欧盟委员会也曾明确说明，改革数据保护规则的目的在于确保人们获得个人数据保护的权利在数字时代仍然有效。个人性这一基础在面对大数据时代私营企业的商业入侵时，虽然也存在种种问题，但尚能维持流通与保护的平衡。然而，在涉及个人信息的公益性利用时，个人对自我信息的控制与决定不可避免被克减，个人既需要无争议地向管理机构提供各种信息，又无意识地受到各种监控与信息披露。并且遗憾的是，社会整体并不一定会因为提高团体获得个人数据的机会而得到促进，这种数据流的增加会加剧对群体成员的压迫，延长低效群体规范的寿命，并给其他人带来外部影响（Paul M. Schwartz， 2000）。

与国家安全以及公共记录博弈的让步。从国际背景来看，“9·11”事件后，出于加强反恐的需要，美国迅速出台“爱国者法案”（USA Patriot Act），极大增强了政府收集和审查公民个人信息的权力。英国也于2016年发布“调查权法”（IPA），通过授予政府全面监视权，推动政府监督机构权力迅速扩张。同时，为积极推动网络安全建设，各国政府不断强化网络空间信息监管。在此国际背景下，面对个人信息保护与国家信息安全的利益博弈，个人信息保护自然需要退居其后。

对政府而言，个人信息的合理收集和使用是必不可少的，因为缺乏相应的信息往往会导致决策失误。同时，政府活动需要对公众保持一定的透明度，以便接受公众监督。因此，政府为实现良好治理，既需要收集使用个人信息，客观上也需要对个人信息进行披露，然而披露的过程中个人信息安全在一定程度上承担了风险。与此相类似的还有公开上网的裁判文书，虽然对于个人信息的处理有种种限制与规定，但是现有的技术手段与网络环境使得相关个人信息的还原度极高，这就导致了个人信息事实上的公开披露。

此外，信息管理和公众信任有时是不对称的。在美国，联邦、州和地方政府一直是私营部门个人信息的主要提供者之一，越来越多的大公司通过将公共记录中的信息与私营部门收集的信息结合起来，对几乎每个公民进行档案管理。2013年，由于斯诺登的披露，美国公众和政府间的信任被打破，导致与监视（surveillance）相关的政策发生巨大变化，促使学者和公众对隐私问题产生新的关注。正如索托马约尔（Sotomayor）法官在琼斯案中所指出的那样，政府本身以及通过其合同代理人能够聚合和分析大量数据，这些数据在大部分情况下是以位和字节的形式出现的，当被离散地考虑时并没有什么意义，然而，当这些孤立的事件聚合在一起时就会产生一幅揭示人们生活的生动画面。但是，在进行利益权衡时，人们普遍认为在大数据时代相对于个人提供给企业的各类信息，政府所收集和公开的只占少数，并且一旦进行限制，必然会削弱公众了解、监督和纠正政府不当行为的能力，因而在与公共记录相冲突时，个人信息保护往往处于被忽视的地位。

与执法程序以及突发公共卫生事件的冲突。现实中无论是民事执法还是刑事执法，都依赖于信息，个人信息的收集对于执法程序的有序进展是非常重要的。例如，在刑事侦查阶段，侦查机关就需要采取一定的技术手段以获取侦查和起诉的必要信息。域外法律实践中，个人信息的收集往往适用于执法程序。美国谷歌公司收集的个人信息（位置数据）就曾被用来作为侦破谋杀案的证据。不仅如此，随着数字技术的发展，未来个人信息的收集和使用还可能体现在更多方面，例如，利用人脸识别系统来辅助定位犯罪嫌疑人。此时，个人有必要让渡自己的部分信息用以保障执法程序的有序开展。

多份立法文件中，突发公共卫生事件也被列为个人信息处理的豁免条款。即使被称为“史上最严数据保护条例”的欧盟GDPR也在第6条中规定了个人信息处理的合法性要件，给予突发公共卫生事件中信息处理者豁免权。该条规定中明确，如果“为了保护数据主体或其他自然人切身利益”需要进行处理的，此时该处理合法。这里的切身利益，包括了对于数据主体或者其他自然人生命这一至关重要的利益，处理的类型则包含监测流行病及其传播。在全球应对新冠肺炎疫情防控中，苹果与谷歌就曾联合声明使用新的软件框架，以实现对确诊病例及密切接触者的追踪。虽然理论界一直在呼吁加强突发公共卫生事件中个人权利的保护力度，然而目前在面对突发的公共卫生事件时，个人信息的保护仍处于相对弱势的地位。

公益性利用个人信息保护的现实困境

法律环境与传统的忽视。个人信息或者隐私作为一种重要法益，与其他权益一样，是一种文化的缩影，因而在不同的国家中，体现出不同的权重。在美国和欧洲，存在着两种不同的隐私文化，并产生了两种截然不同的隐私法律（James Q. Whitman， 2004）。美国法律对于隐私与信息的保护偏重于对外界尤其是政府的防御。而欧洲大陆的信息及隐私保护更多体现了维护个人尊严和控制他人对于自己公众形象的社会评价。涉及个人信息，欧洲公民更相信政府而非私营企业。而在亚洲，公众对政府的信任更加明显。在亚洲的传统文化中，个人权利本身具有独特的谦抑性。法律环境与传统导致个人信息公益性利用的保护长期处于被忽视的地位，且随着国际关系日趋紧张及各国数据主权加强，这种忽视一定程度上只会加剧而非消减，这也与上文所提到的理论困境不无关系。

技术的进步导致保护手段的失效。近年来，技术的飞速进步对信息保护手段造成了极大冲击，比较典型的是匿名化信赖被打破。不少学者认为，匿名化是对个人信息保护的有力武器，可以降低个人信息共享中的隐私风险，是促进数据流通和共享的重要途径（王利明，2019）。信息的利用与保护是一对不能回避的矛盾，在法律实践中，匿名化往往被明确为一项政策目标，通常被作为免责条款以平衡数据的收集、利用与保护。1995年欧盟制定的《数据保护指令》（简称1995指令）中规定：“……保护原则不适用于以使数据主体不再可识别的方式匿名化提供的数据……”最新的GDPR中也重申了不适用于匿名数据。匿名化的规定体现了政策制定者对于平衡信息利用与保护所作的努力。理想状态下匿名化既能切断数据与信息主体间的联系、实现个人信息的有效保护，又不妨碍数据后续的流通与处理。然而现实是，数据分析越来越复杂，匿名的数据有可能被重建以揭示信息主体的身份，因而匿名化并不能为保护个人信息带来理想效果，其不应再被视为有意义的隐私保障。

救济手段的不足。目前，几乎所有类型的个人信息在被侵害时，都存在着举证困难、诉讼成本高等问题，涉及公益性利用的个人信息尤其如此。为此，各国都在尝试通过赋予个人更优势的诉讼地位以加强其权益保护。例如，德国《联邦数据保护法》中就对公共机构自动处理数据规定了无过错责任的归责原则，欧盟1995指令以及GDPR中对于个人数据的处理也都采用无过错责任原则。然而，政策制定者的此种努力不足以弥补个人与信息控制者间悬殊的力量差异。公民个人通常既无能力也无动力主张自己的权益，其结果是个人被迫提供个人信息以进行公益性利用，同时缺乏个人信息保护能力。只有完成从以文件为基础、形式主义的要求向实践中遵守、协调法律和赋予个人权利的转变，公益性利用个人信息的保护才能得以完善。

公益性利用个人信息的保护途径

顶层设计应更好地平衡公私利益。公益性利用個人信息，其性质就决定了自发性规制作用是有限的，需要加强顶层设计。在进行制度设计时，应深入分析个人信息保护的价值基础以及合理利用的界限问题，既要充分发挥公益性个人信息在公共管理、科学研究等方面的能动性，又要确保信息在合理范围之内使用、信息主体的权益不发生贬损。近几年，我国理论界与实务界对个人信息保护给予了极大关注。2020年10月21日，《中华人民共和国个人信息保护法（草案）》（以下简称《草案》）公开征求社会公众意见;业已实施的《中华人民共和国民法典》也将个人信息纳入人格权编加以保护。对于公益性利用个人信息的保护，立法者也给予了恰当的关注。有着“法治中国建设里程碑”意义的民法典，第1036条第（三）项中就将维护公共利益处理个人信息规定为合规的豁免方式。《草案》第13条也对突发公共卫生事件、为公共利益实施行为时个人信息处理者处理个人信息予以认可。不过，新生的法典与尚未通过的草案，依然需要政策制定者系统地梳理个人信息保护与其他公共利益之间的关系，深入了解个人信息保护的内在张力，对裁量的界限、手段的适合性提供进一步的法律解释。

明确信息利用机关应有更高的注意义务、更严格的责任。过分强调公益性利用的保护会大幅度提高合规成本，从而降低个人信息在公共安全、科学研究、医疗发展方面的巨大价值。然而与私营企业商业利用不同，公益性利用个人信息的收集并非基于信息主体为换取便捷服务而让渡自身利益，而更多地体现在信息主体对于信息利用机关的信任，如果不能加强公益性利用个人信息的保护，则会伤害到公众对于政府等有关部门的信任。以中国为例，《草案》对国家机关履职过程中处理个人信息保护作出了专门规定，第二章第三节“国家机关处理个人信息的特别规定”中体现了合理原则、比例原则、一般情况下的告知同意原则及保密原则，同时规定对跨境信息应当进行风险评估。作为特殊的信息处理主体，国家机关获取公民个人信息时具有便捷性、广泛性和重要性的特点，因此应加强对收集的个人信息保护力度，避免发生信息泄露风险。

深入思考设立独立监督机构的必要性。欧洲议会和欧盟理事会（EC）第No45/2001号条例创建了一个独立的监管机构——欧洲数据保护主管，负责监察欧盟机构及团体处理个人信息的情况。该条例虽于2018年12月11日废止，但新的（EU）2018/1725号条例依然强调了数据保护主管的作用。设立独立监督机构最大的优势在于其专业性，信息持有者、使用者往往不能合理评估信息使用、流通中存在的风险，而单独的监督机构可以提供专业的专家意见，作出合理指导，同时监察可能影响个人信息保护的新技术。从我国情况看，《草案》中将履行个人信息保护职责的部门规定为国家网信部门、国务院有关部门以及县级以上地方人民政府有关部门，而《深圳经济特区数据条例（征求意见稿）》中率先提出设立数据工作（监督）委员会，以监督并协调决策重大事项。笔者认为，作为独立的监督机构，数据监督委员会更符合个人信息保护的专业性要求，能够为推动公益性利用个人信息保护提供有效途径。

综上所述，随着互联网普及率的不断提高，出于管理和服务的需要，政府等相关机构会对个人信息进行收集和使用。同时，信息的不当披露也提高了个人信息保护需求，这使得个人信息始终处于流通和保护的对立之中。而涉及公益性利用的个人信息时，情况则更加恶化，其保护存在固有的理论和现实困境。因此，决策制定者需要以发展和创新的眼光审视其背后的权益博弈问题，明确信息利用机关应有更高的注意义务和更严格的责任，探索独立监督机构的设置，有效平衡公益性利用个人信息流通和保护，更好发挥个人信息在公共管理与公共服务等方面的巨大价值。

（本文系国家社科基金重大项目“社会主义核心价值观融入司法裁判的理论基础与实施对策研究”的阶段性成果，项目编号：19VHJ019）

参考文献

Neil M. Richards， 2006， "The Information Privacy Law Project"， Georgetown Law Journal， 94， p. 1094.

Paul M. Schwartz， 2000，"Internet Privacy and the State"， Connecticut Law Review， 32， p. 820.

王利明，2019，《数据共享与个人信息保护》，《现代法学》，第1期。

James Q. Whitman， 2004， "The Two Western Cultures of Privacy： Dignity versus Liberty"， Yale Law Journal ， 113， p. 1160.

责 编/张 晓