論數字時代個人信息保護與利用平衡的展開路徑

李雷

關鍵詞：數字時代；個人信息；保護利用；協調平衡

一、問題的提出：個人信息保護與利用的沖突

伴隨科學技術的日新月異以及信息數據的迅猛增加，人類社會已經進入數字時代?！叭绾纹胶鈧€人信息保護與利用，是數字時代的核心議題之一?！贝髷祿?、算法的綜合運用，使得信息收集利用駛入快車道，信息濫用的風險也急劇飆升，故個人信息保護被提到了極其重要的地位，受到社會公眾的高度關注?！吨腥A人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）于2021年11月1日起正式生效，經過一年多的實施，已經取得了顯著效果。當前專門討論保護與利用統一平衡的著作鳳毛麟角，已有研究還未深入探究個人信息利用之于信息保護的重要價值，一定程度上忽視了保護與利用的平衡發展?！秱€人信息保護法》第1條闡明立法目的“為了保護個人信息權益，規范個人信息處理活動，促進個人信息合理利用”。由此可見，個人信息保護與利用一體兩面，同屬于立法目的，不可使二者對立起來，需要達成動態平衡?！白裱瓊€人信息處理的合法、正當、必要和誠信原則，法律是鼓勵對個人信息的合法利用的?！币虼擞斜匾獜娜纸嵌乳L遠謀劃，二者平衡既蘊含深厚的理論意義，又具有很強的實踐價值。

當下學界關于個人信息的法律屬性還未達成一致的共識，《中華人民共和國民法典》（以下簡稱《民法典》）和《個人信息保護法》均未直接在法條中使用“個人信息保護權”的表述方式。當然立法并未因此弱化對個人信息的保護力度，相反《個人信息保護法》通過公私法相結合的方式實質上強化了保護力度。數字時代的個人信息被匯集聚攏，具備較高的流通價值，不僅會面對傳統的個人侵權主體，還將面臨實力異常強大的其他主體，如網絡平臺等?！皬膫€人和社會的視角看，‘數治對個人權益具有復雜的外部性影響?！苯柚诟呖萍嫉膹V泛運用，數字經濟得到了快速發展，規避信息泄露最簡單的方式是減少信息輸出，倘若采用最原始的保護方式，將個人信息完全封閉隔離起來，那么信息必然無法有效利用，難以撬動數字經濟增長的杠桿。另外，網絡平臺如果無法收集到足夠的數據信息，不僅會降低公民生活的便利性，還可能損害國家在若干關鍵領域的競爭力?！皞€人信息處理是國家、社會信息化發展的必然要求，個人信息保護與處理的沖突卻又不可避免?！睌底謺r代的個人信息保護需要通盤考慮各項要素，從而確保個人利益和社會利益、國家利益的有機統一。

二、數字時代個人信息保護與利用平衡的基礎

“信息社會的發展極大地拓展了個人信息發掘和利用的空間，個人信息的時代價值和權利屬性日漸凸顯?！弊C成個人信息保護與利用平衡的基礎，首先應該明晰個人信息的法律屬性，這是未來構建個人信息保護模式的前提。個人信息作為新興事物，其法律性質并非一成不變，科技進步對個人信息的法律性質產生了重大影響，除了原有的個體屬性之外，個人信息的公共屬性開始逐步凸顯。個人信息同時具有個體屬性和公共屬性，單純地強調某一屬性均無法凸顯個人信息的本質特征，為個人信息保護與利用的平衡埋下了伏筆。

（一）個人信息法律性質的演變

個人信息到底具有何種法律屬性，理論界觀點紛呈，同一學科內部不同學者之間也呈現出多元觀點。在個人信息保護剛剛興起的階段，大多數學者將個人信息視為民事領域的重要權利，直接稱之為個人信息權，強調通過侵權救濟等民事方式來保障該權利。普遍認為個人信息具有鮮明的個體屬性，兼具人格權和財產權的雙重特征，強調信息主體對個人信息擁有控制和支配的權利。個人信息保護直接關系人格尊嚴，防止個人在信息處理過程中只被視為信息客體，任何信息處理決定不能僅僅基于系統的自動運行而產生，信息主體必須參與其中或者考慮其意見。背后隱含的邏輯在于：個人信息是個體的延伸，個體應當是獨立自主的，個人信息必須由人來掌握，充分彰顯人的價值，即康德所主張的“以人作為目的”。信息處理不能忽視信息主體的意志，否則就是對個人的不尊重。隨著信息侵權的方式層出不窮，導致信息主體與信息處理者之間表面平等的關系被打破，傳統的侵權救濟模式逐漸脫離了信息保護的現實需求，難以匹配形勢的變遷，引發了理論界關于個人信息法律屬性的再次思考。

數字時代個人信息所蘊含的公共屬性逐漸凸顯出來，并隨著數字科技的進步而日益彰顯。個人信息首先具有識別功能，確保從紛繁復雜的各類信息中快速準確識別出特定的個體，是個人融入社會的必然選擇。個人進入社會參加公共活動時，應該及時向他人披露身份介紹自己，并將社會活動的結果歸屬于個人所有。因此，個人有必要主動向社會提供個人基本信息，如姓名信息、聯系方式等，其他社會主體則利用上述信息準確識別并判斷個人，以此減少社會交往成本，此種工具價值反映了個人信息的社會屬性和公共屬性。另外，個人是集體的組成部分，普通公民難以游離于社會之外獨立生存，積極融入社會是絕大多數公民的最終歸宿，參與社會公共生活必然需要讓渡部分個人信息，此類信息是公民接受現代公共服務的載體。如日常生活中的家庭住址、手機號碼等個人信息，也是享有便捷服務必不可少的要素，無論是搭載網約車，還是送快遞點外賣等，網絡平臺都必須獲取上述個人信息。此類個人信息依然以個體屬性為主，僅蘊含公共屬性的萌芽。

個人信息并非在任何情形下都包含公共屬性，主要集中在那些與社會公共利益密切相關的領域，一般而言，在社會公共空間個人信息的公共屬性體現得越來越明顯，如疫情防控中為了精準判斷傳染風險，通過行程碼記載的個人行蹤軌跡，就直接關系公共健康安全。又比如飛機場、高鐵站通過人臉識別收集乘客的個人生物信息，也是為了保障所有乘客的旅行安全，此時，個人信息背后往往承載著大量的公共利益。由此可見，個人信息是個人參與社會活動，準確識別個體的有效工具，也是信息時代經濟發展社會安定的重要保障，其承載了不同利益主體的多元化需求。當然，個人信息公共屬性的凸顯并未改變原有的個體屬性，個人信息與信息主體之間依然具有很強的人身依附性，因此，信息時代個人信息逐漸演變為兼具個體屬性和公共屬性的雙重屬性。

（二）個人信息保護與利用平衡的基礎

傳統的個人信息保護理論建立在個人信息的個體屬性基礎上，強調個人信息的個人控制論，主張信息主體享有對個人信息全面的控制權?！皣鴥犬斍暗睦碚撗芯總戎仃P注個人的信息權益保護，忽視其他主體利用和共享信息的權益訴求?！比缜八?，信息時代個人信息的公共屬性逐漸凸顯，背后還隱含著多元的公共利益，隨著大數據、云計算、區塊鏈等新興科技手段的運用，個人信息數據被大規模加工處理，個人信息的廣泛利用必將成為時代的趨勢。由此可見，個人信息早已超越了個體權益的范疇，個人信息保護不再單純由個人決定，還應考慮社會公共利益的需求。以往個人信息的個體屬性偏重于保護個人信息，一定程度上會限制個人信息的流通，而公共屬性則突出對信息的合理利用，以實現信息背后附著的公共利益。從表面來看，個人信息的雙重屬性存在一定張力，二者關注的面向不同，或許會誘發個人信息保護與利用之間的沖突。實則不然，信息時代個人信息的雙重屬性相互依存不可割裂，二者不應對立起來，也不能片面強調對某一種利益的保護，最終希望在個人信息保護與利用之間尋求平衡。由此可見，個人信息的雙重屬性成為了個人信息保護與利用平衡的基礎，即在強調個人信息保護的同時，還應充分利用個人信息來追求社會公共利益。在個人信息的個體屬性向雙重屬性變遷過程中，利用大數據算法等科技手段，能夠在集體信息之上提煉出較高的流通價值，使其具備可觀的財產利益和公共利益。如果可以善加利用，必然有利于提升個人生活的舒適度和便捷度，推動企業的創新進步，促進數字經濟的發展，維護社會公共安全以及提升國家科技實力等。如果只承認個人信息的個體屬性，將個人信息視為信息主體完全排他的獨占性權利，則勢必會形成信息孤島，影響經濟發展，甚至危害公共安全?？偠灾?，未來規范個人信息處理活動時，有必要在實現信息保護的前提下，合理挖掘背后的經濟價值和社會價值。從個人信息的雙重屬性出發，對個人信息保護進行重新思考，更好地維持個人信息雙重屬性的平衡。

三、比例原則在個人信息保護與利用平衡之間的適用

結合前文，個人信息保護與利用平衡是《個人信息保護法》的立法目的之一，應該綜合考量個人利益與公共利益的動態平衡。當下比例原則的適用范圍在不斷延伸，逐步從行政法領域擴展到民法領域、刑法領域等，比例原則包涵適當性、必要性、衡量性等要素，特別是衡量性蘊含平衡的價值理念，是判斷保護與利用平衡的重要標尺。比例原則不僅是《個人信息保護法》重要的立法參考標準，還體現在個人信息保護的各項制度設計中。以下具體分析：

（一）比例原則適用的法理基礎

數字時代個人信息保護領域平等民事主體的身份關系逐漸被解構，個人與平臺之間看似是平等的民事關系，前者事實上明顯處于弱勢。例如在面臨網絡平臺的壟斷強勢地位時，絕大多數個人用戶只能被迫選擇同意，并無協商調整的空間。大多數應用軟件都會告知用戶使用該軟件將獲取通訊信息、存儲信息乃至身份信息等，用戶只能同意并使用該軟件，倘若拒絕則無法使用該軟件。因此，網絡平臺雖然是私法主體，卻具備了與國家公權力機關相似的地位，故適用比例原則規范網絡平臺恰如其分正當其時。當公民權利可以被限制而事實上又受到限制時，比例原則的介入具有必要性。個人信息保護不僅要規制私人主體的網絡平臺，還需要約束國家公權力機關，防止個人信息被過度收集，避免信息被不當利用和泄露?！秱€人信息保護法》第6條規定，采取對個人權益影響最小的方式，應當限于實現處理目的的最小范圍。第六章則用專章規定“履行個人信息保護職責的部門”，明確了行政機關的各項權力，并強調在履行職責過程中應該遵循適當性、必要性等原則。個人信息保護與利用以及個人利益與公共利益的協調平衡始終是個人信息保護立法面臨的重要難題，比例原則有助于妥善處理該問題，遵循法益均衡的導向，不偏向任何一方，不將某一方利益置于絕對優先的位置，將平衡兼顧二者的利益。

（二）比例原則適用的內涵界分

參照行政法領域適用比例原則的有益經驗，一般可以概括為三個子項：適當性、必要性和衡量性。第一，適當性?！秱€人信息保護法》第6條要求“處理個人信息應當具有明確、合理的目的，并應當與處理目的直接相關”。例如，在人流密集的火車站、地鐵站、飛機場等公共場所安裝監控設備，是為了維護公共安全強化公共管理的需要，但不得將采集到的個人信息用作其他目的。適當性調整目的與手段必須在特定場域，即比例原則的適用應該遵循一定的先決條件，但凡目的不單純，則無論適用何種手段，都不符合適當性的要求，區分目的是否正當，關鍵應判斷是為實現何種利益。第二，必要性。比例原則是對限制公民權利的公權力的限制，目的實現需要滿足必要性的限制?！秱€人信息保護法》多次提到“合理的范圍”“最小范圍”“最小方式”等，無不體現了必要性的要求。如國家機關和網絡平臺必須在最小范圍內收集個人信息，堅決制止過度收集個人信息的行為。第三，衡量性。要求在選擇手段時，綜合考慮目的，確保行為所造成的損害必須小于達到目的所獲得的利益。衡量性的核心要旨是將損害與收益分層劃分，從而挑選出適宜的手段，并確保收益始終大于損害。例如，為了實現個人信息的絕對保護，禁止采集一切個人信息，雖然可以防止信息泄露，無疑將阻礙數字經濟的發展，甚至影響公民生存權利的實現，此種保護方式所獲得的收益遠遠小于危害，自然違背了狹義比例原則的要求。

（三）比例原則適用的方式方法

在明確比例原則適用的必要性之后，還應針對個人信息保護的特殊性，進一步明晰如何適用比例原則，以便為后續個人信息保護實踐提供指引。筆者認為應該遵循以下方法：第一，厘清公共利益的內涵。在個人信息保護領域，有必要適當限縮公共利益的范圍，概括抽象的談論公共利益，極有可能泛化公共利益的內涵，導致越來越多的利益被納入公共利益的范疇。如果將任何公共利益都置于個人利益之上，那么必將侵蝕個人信息保護的基礎，造成徒有其表的假象，故抽象的公共利益并不能確保所有信息處理行為的正當性和合法性。因此，當公共利益與個人利益在信息處理過程中發生沖突時，必須首先闡明為了實現何種公共利益，從而判斷此種公共利益相對于個人利益是否具有優先性。秉持最小侵害的嚴格標準，當個人利益與公共利益發生沖突時，大多數情況下個人利益都不得不做出讓步，比例原則要求在目的明確和目的限制的基礎上，盡量減少個人利益犧牲，防止個人權利受到不當克減。第二，遵循法益均衡的價值追求。如前所述，數字時代的個人信息不再為個人獨占，承載著公共價值，既要保護個人信息，又要追求個人利益、企業利益、社會利益和國家利益的平衡。以上各種利益均非常重要，背后隱藏著不同的價值追求，相互之間沒有絕對的高低優劣之分，只是在特定場域需要優先考慮某種法益。當然優先考慮不是將其視為唯一的考量要素，并非必須放棄某種法益才能保全另一種法益，唯有在不得不做出取舍的情況下，才能有限度的犧牲某種法益。

四、《個人信息保護法》關于保護與利用平衡的內部設定

個人信息保護與利用平衡是《個人信息保護法》的主旨，該法開篇即明確了保護與利用平衡的立法追求，并通過總則部分的其他條款深刻闡述了平衡的精髓，分則部分的具體制度設計則認真遵循該理念并貫穿始終。筆者試從個人、信息處理者和國家機關等不同主體為切入點展開分析，充分體現平衡理念的運用。

（一）個人在信息處理活動中的權利

《個人信息保護法》以專門章節詳細列舉了個人享有的權利，個人享有最重要的權利是信息處理自決權，即個人有權限制或者拒絕他人處理其個人信息?！霸诜峙鋫€人信息處理風險時，應遵循比例原則的要求，合理限制公民個人、企業與國家公權力機關的個人信息處理自由?！蹦撤N程度上自決權是基于所有權而產生的，自決權與所有權的側重點不同，前者偏重自己決定他人能否處理個人信息，后者強調個人信息歸自己享有。該項權利是個人信息保護的基礎性權利，其他一切權利都由該權利延伸而來，如查閱、復制、更正、補充、轉移、刪除等。如果僅僅列舉個人享有的權利，而不規定例外情形或者限制措施，則無法體現信息保護與利用的平衡，僅僅凸顯了信息保護的重要性。須知，上述諸多權利都是個人信息被利用之后才產生的，試以刪除權為例。第47條規定了行使刪除權的五種情形，從第1款和第2款的表述可知，此時個人信息已經被處理完畢，該條還規定“保存期限未屆滿或者刪除從技術上難以實現的，仍然可以存儲個人信息?！惫始词挂幎藙h除權，亦不妨礙信息處理者合理使用個人信息。其他相關權利亦同樣如此，查閱復制的前提是個人信息已經被采集處理，實現了利用目的。

另外，在個人信息處理機制方面，明確了知情同意規則，將個人知情同意視為處理個人信息的前提，這是自決權的核心內涵。第13條第2至7款用六項例外規定，事實上限制了知情同意的適用范圍，如第13條第5款“為公共利益實施新聞報道、輿論監督等行為”，此時信息保護與利用的緊張關系驟然呈現，有必要在個人利益與公共利益之間取舍平衡，遵循必要性的要求“在合理的范圍內處理個人信息”，此處并未泛化使用公共利益，亦非空洞的闡述公共利益，而是將其限制在“新聞報道、輿論監督”的特殊語境下。顯然該利益直接關系新聞媒體的監督權和社會公眾的知情權，這些權利與公民信息自決權之間存在張力，在強調公共利益優先，將取得個人同意擺在第二位的前提下，又通過限定“合理的范圍”，從而體現適當性和衡量性的理念?！肮ù_定個人信息處理的限度或底線，再選擇性地保留個人自主決定空間?！备叛灾?，個人在信息處理活動中享有豐富的權利，構成了個人信息保護的基礎，立法者再通過限制權利行使的自由度，明確例外情形，來實現個人信息的合理利用。

（二）信息處理者在信息處理活動中的義務

個人信息處理者則通過反向維度，優先呈現個人信息處理中應該承擔的義務。個人與信息處理者處于對立統一的關系，個人享有的權利意在表明個人信息保護的理念。個人信息利用主要是信息收集之后的行為，信息處理者收集個人信息只是第一步，為后續信息利用奠定基礎，如何確保后續環節規范合理的利用個人信息，則需要信息處理者承擔更嚴格的義務。

具體來看：第一，明確提供產品或服務的義務。實踐中某些信息處理者枉顧公平交易的原則，將收集處理個人信息作為提供產品或服務的前提，個人處于弱勢地位，只得讓渡個人信息處理權。第16條原則上明確了個人信息處理者不得將信息主體的同意視為前提條件，即使個人不同意處理其信息，也不得以此為由拒絕提供產品或服務。這意味著信息處理者不得濫用優勢地位或者壟斷地位，違背個人初衷，脅迫個人違心同意處理信息，有助于改善推動個人與信息處理者處于平等地位。第二，限定個人信息的保存期限。一般而言，信息處理者保存個人信息的期限越長，信息泄露和濫用的風險越大?！按朔N存儲模式異化了個人信息泄露風險，亦可能為信息主體帶來歧視、類型化等風險?！钡?9條則明確保存期限應當為實現處理目的所必要的最短時間，客觀上要求個人信息處理者在完成信息處理目的之后，應該盡快刪除個人信息。該條文指明采取對個人信息利益風險最小的方式，既減少了信息泄露的概率，又確保了平臺利用信息的效果。第三，自動化決策過程中不得實行差別待遇。第24條明確規定個人信息處理者在自動化決策過程中，應該保證決策的透明度和結果的公平公正，該條文實質是為了防止個人信息處理者憑借優勢地位，利用掌握信息的優勢，侵害消費者的合法權益，乃至剝奪其自主選擇權，根源在于侵犯了消費者的人格尊嚴。第四，安全風險防護義務?！秱€人信息保護法》第五章專門規定個人信息處理者的信息安全風險防護義務，強調信息處理者的保護責任。信息處理者會不自覺地擴張職能權限，故要求信息處理者強化內部管理制度，制定信息安全事件應急預案，發生信息泄漏時積極采取補救措施等。還根據信息處理者規模的不同，設置了不同的保護標準，特別強調互聯網頭部企業應該接受獨立機構的監督，定期發布信息保護社會責任報告等?！皬娀W絡平臺等大型在線企業的治理，配置與其控制力和影響力相適應的個人信息保護特別義務，正在形成全球普遍共識?！痹撜鹿澝鞔_了信息處理者是信息保護的第一道防線，通過一系列制度規范，筑牢信息保護的籬笆，夯實信息保護的責任義務。

（三）行政機關在信息處理活動中的職責

行政機關一身二任，在信息保護與平衡中發揮獨特作用，既是最大的信息收集處理主體，又是專門的信息保護機關，正因為行政機關扮演的不同角色，決定了其發揮作用的場域空間存在差異，時而偏重保護職能，時而突出利用價值。相比于各類企業和網絡平臺，國內最大的信息收集主體仍然是各級政府及其職能部門，政府掌握了大量經濟、社會、文化等方面的信息，同時還通過各種渠道采集了豐富的個人信息。從我國國家政權的性質來看，各類公權力機關本質上都是為了維護人民群眾的利益，行政機關強調建設服務型政府，處理個人信息的活動大多是為了公共利益的需要?！皣覚C關處理個人信息的目的在于履行法定職責，而非獲得或者增加財產?！睆哪康慕嵌葋砜?，行政機關濫用個人信息的風險原則上應該小于私人主體。實際情況卻較為復雜，行政機關往往掌握大量敏感個人信息，面臨各種利益博弈，再加上內部信息保護規則不夠完善，違法利用個人信息的情況亦時常出現，如前文提及的河南鄭州儲戶賦紅碼事件。另一方面，大量信息數據集中在行政機關手中，如果保護機制不夠健全，必然會給數據安全帶來隱患。倘若行政機關工作人員違背相關制度規范故意泄露個人信息，其帶來的危害后果則遠遠超過私人主體，甚至使普通民眾的生活徹底暴露在監控之下陷入非議之中。如2020年12月成都趙某感染新冠后，其行蹤軌跡被非法泄露，因為短時間內到過多家酒吧，被網民戲稱為“轉場女王”“夜店皇后”。行政機關收集的個人信息，有些涉及公民隱私，屬于敏感個人信息的范疇，普通私人主體則很難獲取這類信息，行政機關卻可以通過合法途徑收集此類信息，信息收集得越全面，背后隱藏的數據價值越高。因此有必要在行政機關收集利用個人信息時，予以適當的限制，如第34條明確“不得超出履行法定職責所必需的范圍和限度”。

如何收集、保存、維護、管理正在呈指數級增長的各類信息數據，是當下各級政府不得不應對的重要挑戰。有必要提升保護力度，在私法保護之外，引入新的保護力量，即行政機關個人信息保護職責?！秱€人信息保護法》專章闡明了國家網信部門和其他行政機關的保護職責，強調發揮網信部門的統籌協調職能，以便相互協同形成合力。行政機關多措并舉，積極查處違法個人信息處理活動，制定個人信息保護規則標準，以及推進個人信息保護服務體系建設等?！叭绾斡行貍€人信息違法違規行為，是破解個人信息安全監管困境的關鍵所在?！睘榱颂嵘姓C關的權威性，強化行政執法效力，還賦予了行政機關必要的權限，可以采取如下措施：詢問、查閱、復制、檢查、查封、扣押等。多項措施同步展開，從信息保護的各個環節人手，有助于堵塞漏洞，提升行政機關的保護效果。行政機關保護與利用個人信息并非絕對分離，二者具有一致性，雖然有專職機關履行保護職責，但各級行政機關及其職能部門在利用個人信息的過程中，應該時刻秉持保護的理念。

五、未來個人信息保護與利用平衡的外部演化路徑

《個人信息保護法》從立法內部層面規范了保護與利用的平衡，如何將紙面條文落實到社會實踐中，還需要優化外部制度設計。未來應該重點把握以下五對關系的平衡：公法保護與私法保護，個人利益與公共利益，嚴格保護與寬松保護，事前監管與事后監管，專責保護與綜合保護等。

（一）體系的平衡：公法保護與私法保護的平衡

當前的立法體系決定了部門法適用的局限性，單一部門法所提供的保護機制難以實現既定的保護初衷，尤其面對新興領域時，此種保護缺陷被逐步放大。個人信息傳統的保護模式，過于強調各部門法的獨立性，反而忽略了其統一性。今后需要從整體層面來思索權利保護體系的優化，強化部門法的融會貫通。以個人信息保護為例，憲法的人格尊嚴條款，經濟法的反壟斷條款，社會法的信息保護條款，刑法的倒賣個人信息條款等，更遑論民法、行政法包含大量與之直接相關的法律條款，其保護范圍橫跨公法和私法領域。通過多個部門法的協調，以積極促成數字經濟發展與個人信息保護的平衡，而非片面追求嚴苛的執法效應。③當前社會關系日趨復雜，權利分類越來越細致，逐漸模糊了部門法色彩，越來越多的權利超脫公私法的界限，呈現出領域法的特色，如環境權等。脫離傳統部門法體系的束縛，構建多元法律保護體系，推動公私法保護的協調平衡，是構建個人信息保護法律體系的必由之路。

“只有從戰略層面把握，充分發揮公法、私法等不同治理機制的作用，標本兼治，才能形成合力?！眰€人信息保護法律體系的統籌協調，首先應該強調《民法典》與《個人信息保護法》相結合?！睹穹ǖ洹酚脤ｉT的章節規定了個人信息保護，以及個人信息法律屬性的界定，某種意義上為后續《個人信息保護法》實施專責保護奠定了立法基礎?！秱€人信息保護法》是專門規范個人信息保護的法律，具備單行法特別法的諸多優勢，是個人信息保護最重要和最直接的法律依據?！皩崿F公法和私法路徑個人信息保護功能的充分發揮，協調二者角色定位，避免沖突和內耗?！睆娬{引入公法力量保護個人信息，并非因為傳統的民法保護失去了效力，而是因為技術發展衍生出了諸多新型侵權模式，這些新型侵權行為超越了傳統民法保護的限度，故針對某些傳統模式下侵害個人信息的行為，適用私法保護模式仍然具有一定的效果，卻又顯得力有不逮。將兩部最重要的法律結合起來，有利于從立法領域推動公私法保護的均衡發展?！啊睹穹ǖ洹放c《個人信息保護法》中的私法規范構成普通法與特別法的關系，在后者有明確規定的時候應優先適用?！绷硗?，除了這兩部基礎性法律之外，某些單行法也有若干與個人信息保護密切相關的條文，如《網絡安全法》《數據安全法》《反電信網絡詐騙法》等，實踐中遇到個案時，還應該兼顧此類法律的規定。

（二）利益的平衡：個人利益與公共利益的平衡

個人利益與公共利益的平衡根源于個人信息的個人屬性與公共屬性之間的張力，從宏觀層面而言，信息保護承載著較多的個人利益，而信息利用則彰顯了公共利益的需求。不同主體追求的利益亦有差異，如私人主體和行政機關利用信息的價值追求有較大區別。當然個人利益與公共利益平衡只是理想狀態，在不同的時空條件下，平衡點并不一致。絕大多數情況下個人利益與公共利益具有一致性，所以個人利益與公共利益平衡是動態平衡，而非靜止意義上的絕對平衡，需要結合具體情況，在合理范圍內調整平衡點。再者，個人和信息處理者都無法全面預見信息在未來時空的價值，當下看來毫無價值的個人信息，在不久的將來或許會發生重要作用，此時個人信息承載的公共利益將逐步凸顯，如果禁止采集個人信息，必將造成信息資源的浪費，導致未來競爭中處于不利地位。以均衡博弈結構為目的，在個人信息收集中，有必要平衡個體利益與公共利益。從未來的發展趨勢看，個人信息附著的公共利益所占比重將逐步提升，在個人信息終將被大規模應用的背景下，順應時勢強化保護機制建設才是明智之舉。

二者利益平衡不能只考慮眼前的局部利益，應該由國家來統籌規劃保護體系?！靶畔⒗眯枳裱瓊€人保護邏輯，通過法治形塑國家治理，促進國家治理能力輸出的規范化?！苯Y合該法對個人、信息處理者、行政機關三者權利、義務、責任的劃分，達至個人利益與公共利益平衡的目標。核心在于考量對方的利益價值，具體而言，個人為了公共利益的需要，有時必須讓渡一部分個人信息權益，以促成信息的合理利用。信息處理者在利用信息的過程中，必須制定規范的保護流程，加大信息保護的資金和技術投入，不得隨意泄露個人信息，以及濫用個人信息從事非法活動。行政機關在信息收集過程中，不得過度收集分析個人信息，另外，在發揮監管職責時，則應該嚴格執法，及時懲戒違規利用個人信息的行為。

（三）標準的平衡：寬嚴適度分級分類的平衡

個人信息保護與利用平衡目標的實現需要設定信息保護的標準，結合實際情況，可以考慮采取分級分類管理模式，確保信息保護寬嚴適度。第一，以信息利用主體為分類標準。私人主體和行政機關是最重要的兩類信息利用主體，二者利用個人信息的目的不同，適用的限制程度亦有差異。一般而言，私人主體并非為了公共利益的需要，為了獲取更高的經濟價值，有時會深度分析所掌握的數據信息，因此有必要設定較嚴格的限制標準，并提升信息保護的要求。行政機關則應該根據追求的價值目標分情況判斷，如果行政機關單純是為了追求經濟利益，那么應與私人主體相似，此時則應該偏重于對個人信息的保護，設定較嚴格的限制標準；如果行政機關是為了追求更高層次的公共利益，此時則應該偏重于對個人信息的利用，可以設定較為寬松的限制標準，從而推動公共利益的實現。另外，一般情況下級別較高的行政機關具有更高的權威，且建立了較為健全的內部監管機制，在利用個人信息時，應該賦予其較高的自由度和權限。第二，以信息利用內容為分級標準。主體分類屬于第一層面，在此之后還應該考慮以信息利用內容為標準來劃分保護級別。如果是普通個人信息，往往處于權利保護的邊緣部分，如飲食偏好、購物習慣、星座屬相、受教育程度等，這些并非敏感個人信息，通過常規渠道即可獲取，即使信息被泄露，帶給個人的不利影響也較為有限。故對此類個人信息應該鼓勵合理利用，設定較為寬松的保護標準即可，畢竟，能夠輕易得到的個人信息，信息主體的重視程度自然偏弱一些。敏感個人信息，諸如生物識別、行蹤軌跡、金融賬戶等，此類信息一旦被泄露或者濫用，會導致信息主體的人格尊嚴、人身財產處于危險之中，此時則應該采取嚴格保護標準?！皞€人生物信息法益的多元屬性涵蓋了其對隱私權、人格權、財產權及安全法益的保護?！边@類信息是信息保護的難點所在，也是判斷個人信息保護能否成功的試金石。國家機關在收集利用此類個人信息時，應嚴格遵循比例原則的要求，充分考量使用目的的正當性、信息收集的必要性、收集范圍的有限性?！霸瓌t上應當禁止處理敏感的個人信息，除非為了保護更高位階法益而由法律、行政法規做出特別規定?！?/p>

（四）監管過程的平衡：事前預防與事中事后監管的平衡

數字時代信息侵權具有較強的隱蔽性，普通公民很難準確知曉個人信息是否被泄露以及何時被泄露，面對大規模的持續性信息處理風險，事后救濟往往顯得力不從心，難以起到良好的保護效果。個人信息引入公法保護之后，傳統的二元保護模式逐步轉化為三元保護模式，行政機關積極參與有助于保護端口前移。

公法保護不僅體現在事后救濟層面，還應該在前端發揮顯著作用，統籌推進事前預防事中監管與事后救濟的平衡。第一，強化事前預防體系建設。信息保護屬于過程性行為，自個人信息出現時起，即應該提升風險保護意識，從源頭強化信息保護?！邦A防原則是公權力面對科技風險的嚴厲舉措，近年來其擴張適用日益廣泛?！毙畔⑿孤兜蕊L險潛藏在信息處理的角角落落，當下風險行政理論日漸完善，為個人信息保護預防體系建設奠定了理論基礎。從源頭構建預防機制，能夠未雨綢繆，消弭潛在的風險，大幅降低信息侵權的危害后果。行政機關應該注重前置程序，積極發揮指導功能，如制定相關的政策規章，設定寬嚴適度的保護標準等。第二，筑牢事中事后監管體系。個人即使遵循知情同意規則，授權信息處理者處理個人信息，卻難以時時監管處理過程，導致賦權之后缺乏監督，造成一次賦權終身有效，從而將個人信息置于危險境地。應該逐步改變原有的二元私法保護模式，強化行政監管的結構性保護作用，建立起三元公私法相結合的保護模式。三元保護模式的最大優勢在于強化過程管理，行政機關可以在危害發生之前積極介入，必要時發揮強制作用，及時阻斷風險源，有助于化解和削減潛藏的危害，按照基本權利保護理論，此時充分體現了國家積極履行保護義務。如《個人信息保護法》第64條規定，個人信息處理活動存在較大風險時，可以約談主要負責人，或者由專業機構對信息處理進行合規審計。無論事前如何完善預防，都無法完全消除信息泄露信息濫用的風險。一旦信息風險成為現實，則必然需要監管機制發揮懲戒、補償、修復的功能，完善信息保護鏈。行政機關亦應該主動作為積極參與救助，如接受處理與個人信息保護有關的投訴舉報，調查處置違法個人信息處理活動等。

（五）監管模式的平衡：專責保護與分散保護的平衡

公法保護與私法保護的平衡，事后救濟向過程監管轉型，均牽涉某個核心問題，即行政權如何介入，由何種行政機關介入。針對該問題，《個人信息保護法》大體上按照分散保護的模式來設立保護機關，在明確國家網信部門負責統籌協調時，還授權有關部門在各自職責范圍內負責信息保護監管工作。這種制度設計符合精簡機構的方針政策，相關部門具有熟悉業務的優勢，有助于實現信息保護的無縫對接。然而分散保護模式的缺陷亦不容忽視，數字時代個人信息處理涉及多個環節，有諸多主體共同經手，而個人信息泄露并非局限于單個的個人信息，經常出現集體信息泄露。當下個人信息風險并非呈點狀分布，而是呈面狀形態，需要多個監管部門通力合作，快速展開聯合執法行動，在盡可能短的時間內化解信息處理風險。另外，過程性監管保護要求強化預防機制建設，各個行政機關的業務重點和制度規劃并不完全一致，分散推進預防工作，客觀上不利于預防標準的統一，甚至出現相互沖突的預防體系，反倒降低了監管效率，削弱了監管權威。

設立專責機關能夠凸顯個人信息保護的重要性，彰顯國家保護個人信息的決心，越來越多的國家設立了專責機關?！敖^大多數國家和地區均認為個人信息保護專責機關對個人信息的守護、平衡隱私和促進個人信息自由流通具有舉足輕重的作用?！睂Ｘ煓C關有利于從整體層面規劃、統合、約束個人信息保護，即使面對呈面狀分布的信息風險，也可以憑借上述優勢從容應對，從而規避聯合執法可能引發的協調困難。面對越來越龐雜的法律體系，設立專責機關有助于統一執法標準，避免不同機關采用不同的法律依據，防止處置結果的沖突。從以往經驗來看，專責機關的監督保護力度一般會大于分散保護模式，因此，數字時代的個人信息保護需要適時構建專責機關，推動專責保護與分散保護的平衡。

結語

數字時代信息社會的稱呼早已耳熟能詳，表明信息必須被充分利用，這種轉變是時代發展的產物，具有不可逆轉性，個體很難通過拒絕授權等方式來維護個人信息權益。個人信息的公共屬性，及其承載的巨大社會經濟價值，在數字時代被充分發掘喚醒，無差別的絕對保護個人信息，既不可行，也無必要?！皞€人信息的利用與保護如同一枚硬幣的兩面，對個人信息的濫用與過度保護均不可取，唯有在二者之間達成平衡?！痹诔姓J信息主體占有個人信息的前提下，為了公共利益的需要，確保個人信息的合理流通利用，并強化保障措施，應該成為未來的發展趨勢。當前絕大多數學者均積極呼吁強化個人信息保護，并從《個人信息保護法》的若干條文著手，提出了具體的保護路徑。學界現有的理論研究在某種程度上弱化了個人信息的利用，筆者希冀喚醒學界對此問題的重視，只有信息保護與利用平衡才是數字時代真正的底色。

（責任編輯：張莉）