公共利益是个人信息保护中必须考虑的因素，其背后是公共利益与个人利益的价值衡量。公共利益相对优位性这一价值位阶规律构成了公共利益适当限缩个人信息权益的正当性基础，国内外立法也普遍将公共利益作为处理个人信息知情同意机制的例外情形。利益冲突的多样性决定了个人信息保护的复杂图景，救济不力的困境更是我国个人信息保护的现实关照。我国个人信息保护法中的公共利益条款存在公共利益内涵外延模糊、代表机制缺失、行使规则滞后等问题，导致因公共利益泛化滥用侵犯个人信息权益现象，这在突发公共事件应对中尤为明显。在我国制定统一个人信息保护法的时代背景下，个人信息保护法治建设重点应发生转变。宏观层面，应采取公私法协同推进的多元化法治路径，充分发挥部门法功能，建立综合治理模式，并实现个人信息保护法制体系内部的统一和协调。中观层面，应确立法律授权、目的正当、最小比例、安全保障等公共利益限制个人信息权益的基本原则。微观层面，应当从界定公共利益的内涵外延、明确公共利益代表主体、健全个人信息保护救济途径等方面构建公共利益限制个人信息权益的具体规范。

随着网络安全法、民法典、数据安全法特别是个人信息保护法的陆续出台，我国个人信息保护法律体系逐步建立健全，个人信息保护法治建设从以立法为中心阶段迈向以法律适用为中心阶段。然而，大数据时代的个人信息保护已经突破了传统公私二元立法模式，面临着数据利用和信息安全的两难窘境。尤其是，在维护国家安全、保障公共健康、打击违法犯罪等方面，公共利益成为限制个人信息权益的法定理由，如此一来，公权力机关有可能异化为侵犯个人信息权益的“多发地”。换言之，个人信息保护不仅涉及个人利益、企业利益，而且涉及社会利益、国家利益，与公共安全、国家安全等密切相关。因此，如何在信息保护与数据共享之间实现平衡，如何在个人利益与公共利益之间保持适度张力，需要理论界、实务界和立法界深思。公共利益不仅为相关主体收集、利用和处理个人信息提供了合法依据，而且也为限制个人信息权益提供了明确边界。所以，探讨个人信息权益与公共利益之间的关系具有双重价值考量：公共利益为什么能够限缩个人信息权益以及在多大范围内限缩个人信息权益。基于此，笔者以突发公共卫生事件为视角对个人信息保护的公共利益边界进行研究，并从以下三个角度渐次展开：一是从实证主义出发，反思公共利益限制个人信息权益的悖论，探讨个人信息保护中的利益平衡；二是从法教义学出发，梳理我国个人信息立法中与公共利益相关条款，探讨其背后的学理依据；三是从制度创新角度，探讨公共利益在限制个人信息时应当坚持的基本原则及规则体系，从而对我国个人信息保护法治建设有所裨益。

一、个人信息保护的现实困境

在互联网时代向大数据时代迈进过程中，我国个人信息保护立法面临两难选择：一方面，加强个人信息保护已成为全面推进依法治国的必然要求，尤其是随着大数据应用场景的不断拓展以及数字贸易规则的不断探索，公众对个人信息保护的呼声愈发强烈，“个人信息安全焦虑”亟待纾解。另一方面，发展数字经济成为我国重要战略，大数据产业链条不断延展，新经济业态不断涌现，迫切需要通过数据运用促进产业转型、提升政务效能、助力公共服务。从现实情况看，我国个人信息保护面临着个人利益、企业利益、公共利益等多种利益形态复杂交织的现实图景。

“人们奋斗所争取的一切，都同他们的利益有关。”法律作为重要的利益调节器，以分配、确认、保护利益为旨归，并主要体现在法律条款的创设和法律规范的表达方面。“法律是社会中各种利益冲突的表现，是人们对各种冲突的利益进行评价后制定出来的，实际上是利益的安排和平衡。”个人信息保护首先涉及的是个人利益，维护个人利益是个人信息保护的逻辑起点。

自然人是个人信息保护法律关系中的首要主体，其关于个人信息的人格利益诉求是个人信息保护立法的基本出发点。虽然法人以及非法人组织依法可以享有商誉、名誉等一定的人格权益，但从严格意义上而言，个人信息所蕴含的人格权益应当由自然人独享。甚至有学者认为：“法律对个人信息加以保护，本质上是保护人格利益（人的尊严和自由），而自然人对其个人信息，无论单一的还是集合的，其直接经济价值都是可以忽略不计的。”譬如，在疫情防控等突发公共卫生事件应对中，家庭住址、身份证号、手机号码、活动轨迹、健康医疗信息等个人信息均具有“可识别性”，与自然人的人格尊严和安全密切相关，受到包括刑事保护在内的多元化法律措施严格保护。需要讨论的是，个人信息保护是否还涉及其他主体利益以及这些利益形态彼此之间是何种关系。

个人信息具有多种价值属性，蕴含多种利益诉求。从利益相关者理论出发，“任何影响组织目标实现或者受组织目标实现影响的个人或群体”都是利益相关者。具体到个人信息保护领域，自然人、企业、社会公众、政府部门等个人信息的拥有者、受益者、收集者、处理者，或主动或被动参与个人信息保护中的主体都可以视为个人信息保护利益相关者。

争论在于，企业、社会组织、政府等对个人信息大量的收集、加工后的数据是否享有权利以及享有什么权利？当前，数据已经与资本、技术、土地、劳动等一并成为重要的生产要素和稀缺资源，但由此引发了个人信息权属争议，即个人信息权益是归个人信息指向的自然人所有还是归信息收集利用者所有？前者事关自然人的人格利益，后者事关信息产业发展和社会公共利益。我国民法典第127条承继了民法总则第127条之规定，确立了个人信息和数据二元保护体系，即经过匿名化（去个人化和去可识别化）处理的个人信息所形成的（大）数据，可以成为财产权益的客体而被法人或非法人组织享有。现代社会建立在大量个人信息基础上的大数据，无论是对于企业发展、行业进步还是对于社会治理、国家管理而言，都具有重要意义。这些数据信息的所有权应当归收集者所有，属于个人信息所衍生出的企业利益、国家利益、公共利益。“个人信息衍生出来的社会公共利益，主要是社会治理方面的利益，更不直接归属于个人而为国家或社会所享有。”譬如，通过大数据处理，可以有效地防控疫情、打击犯罪、预警危机等等，这也正是个人信息的公共管理价值所在。

个人信息与国家利益密切相关，国家也是个人信息保护中重要的利益单元。一方面，收集、处理和利用个人信息是现代国家进行行政管理、提供公共服务的普遍做法。譬如，在疫情防控等突发公共卫生事件应对中，个人的生物识别信息、行踪轨迹信息、特定身份信息等为人群关联分析和疫情风险预测提供了重要参考依据，利用大数据统计个人出行记录、医疗信息等对分析疫情的性质、原因、范围、发生地以及采取相应防控措施都具有直接作用，收集和处理的公民个人信息具有个人权利自由与社会公共安全的复合法益属性。另一方面，某些个人信息事关国家安全等重大利益，尤其是对于个人敏感信息以及特别脆弱群体的个人信息保护，已经超越个体层面而具有特殊的公共利益价值。个人信息保护中的儿童信息、跨境流动、生物信息等与国家安全、民族利益等密切相关。因此，现代国家往往从数据主权的高度对个人信息进行保护，限制本国国民个人信息传输流动，防止因个人信息泄露带来的国家安全隐患。譬如，对于未成年个人信息进行特殊保护是国内外立法的普遍做法。欧盟通用数据保护条例明确规定儿童的个人数据需要特殊保护，我国香港地区2013年个人资料（隐私）保护条例强化和细化了未成年人等弱势群体信息保护措施。我国2016年网络安全法第13条特别规定了未成年人信息保护问题，2019年儿童个人信息网络保护规定则专门规定了未满14周岁未成年人个人信息安全问题。

个人信息保护也涉及社会不特定多数人的利益，社会公众是个人信息保护中另一重要的利益主体。在疫情防控等突发公共卫生事件应对中，如果防控不力可能导致更多社会公众的生命健康处于危险状态，社会公众对他人与疫情有关的个人信息享有一定的知情权。国家收集相关疫情信息并向社会公布是满足社会公众知情权的需要，也是一个国家公共治理水平的体现。从这个角度看，知情权作为一种公民重要的程序性权利，本身就是一种公共利益。当然，个人的医疗健康信息也具有重大的科研价值，有利于一国医药事业的发展，这也是个人信息保护中的公共属性和社会价值。所以，“个人信息不仅关涉个人利益，而且关涉他人和整个社会利益，个人信息具有公共性和社会性”。个人信息尤其是病理信息、基因信息等个人医疗健康信息，具有重要医疗研究价值，对于国家维护公共健康意义重大，也具有重要国家治理价值，对于保护国家安全利益意义重大。

总之，大数据时代的个人信息具有典型的复合法益性质，不仅涉及自然人的个体法益，而且涉及社会公众、国家等集体法益，表现为公众健康、国家安全、网络空间秩序等。个人信息保护问题复杂，关涉不同利益主体、不同立场、不同诉求，不仅有技术问题，而且有法律问题，还蕴含商业模式和经济发展问题。

在个人信息保护中，存在个人、企业、国家、社会公众等利益相关者，这些不同的社会主体的利益诉求并不完全相同，时而重叠、时而冲突。概言之，个人从自身利益出发，希望对其信息权益进行全方位甚至是绝对化的保护，限制他人收集和处理其个人信息。企业从商业利益角度出发，希望最大化的收集和处理个人信息。国家则面临两种价值取向：一是保护个人信息权益的天然职责和义务；二是为了国家利益和公共利益收集和处理个人信息的客观需要。

个人利益与公共利益在根本上具有一致性，这不仅体现在两者的产生具有同源性方面，而且体现在两者的目的具有一致性、两者的过程具有可转化性等方面。从理论上来说，公共利益根源个人利益并蕴含个人利益之中，两者不应当发生冲突。然而，现实中，公共利益与个人利益也存在着冲突甚至是尖锐的矛盾。公共利益与个人利益毕竟是两种不同的独立的利益形态，两者在语义上、特征上、主体上、层次上、运作方式上等方面都极为不同，这是其一。从某种程度上讲，两者属于此消彼长的关系。公共利益通常来源个人利益，公共利益的增进通常要以限制、减损乃至剥夺个人利益为条件，两者往往处于矛盾或对立之中。这种关系若处理不当，公共利益有可能沦为缩减个人利益的借口，成为侵犯个人利益的“危险源”。个人为了自身利益的最大化也可能侵犯公共利益。现代法律普遍把公共利益作为限制个人利益的理由之一，我国台湾地区学者陈新民把这些条款称为消极性条款。值得注意的是，正是由于公共利益是个人行使权利、追求利益时不能超越的外部界限，才导致现实生活中公共利益限制功能的滥用，而忽视公共利益的保障功能，加剧了公共利益与个人利益的对立。

具体到个人信息保护领域，一方面，公共利益会对个人信息权益造成一定限缩。在传统社会，主要采取隐私权的方式对个人信息权益进行保护，即通过民法制度注重个人隐私所蕴含的人格尊严和人格自由价值，并采取绝对化的保护方式，从而保障个人信息权益免受他人侵犯。然而，到了信息社会，个人信息利益主体日益多样，利益关系日益复杂，个人信息所蕴含的经济利益和社会价值日益凸显，对个人信息资源的利用成为不可逆的发展趋势。在这一时代背景下，个人信息、数据与隐私相分离，并采取与隐私迥然相异的保护进路。尤其是在大数据技术成为政府进行国家管理和社会治理的重要手段后，基于公共利益考量，国家不再仅仅承担个人信息保护者的角色，而同时成为个人信息的收集者和处理者，即采取个人信息保护和利用并重的政策取向。如此一来，必然会造成个人信息权益与公共利益的冲突。实际上，世界各国都普遍规定，出于疫情防控、人口普查、打击犯罪等重大利益，可以对公民享有的个人信息权进行限缩。另一方面，个人信息权益与社会公众知情权的冲突。知情权作为宪法规定的一项基本权利，要求政府公开相关信息，即使涉及个人隐私但如果对公共利益造成重大影响也应当公开。这就必然导致个人信息权与社会公众知情权之间的冲突。譬如，在疫情防控等突发公共卫生事件应对中，政府部门面临着个人信息知情同意权与社会公众知情权保护、个人信息安全与公共健康之间的冲突问题。

与疫情有关的个人信息是国家疫情防控数据的来源，出于公共健康、社会稳定、国家安全等需要，政府及其卫生、疾控等部门以及医疗机构可以不经个人“知情同意”而收集这些个人信息。社会公众有权要求政府有关部门收集并发布与疫情有关的个人信息，包括确诊患者、疑似患者和密切接触者的相关信息，而个人不能以个人信息保护为由不予提供或不予配合。因此，为了疫情防控需要，公民个人必要时需要让渡自己的个人信息权益，作为疫情公共信息而由政府部门收集、使用甚至向社会公众公开，这也是个人承担公共安全保障义务的要求和体现。所以，大数据时代的个人信息保护，不是以单向的维护个人信息权益为唯一追求，而是要将相关主体的复杂利益纳入综合考量，从而在这些异质利益之间的博弈中达到平衡。

当前，我国当前个人信息保护救济机制呈现出“重追责轻管理”“刑先民（行）后”“重刑轻民（行）”等特点，存在个人信息权益保护面临实体法保护乏力的立法困境、政府部门监督制约机制阙如的执法困境以及民事诉讼作用难以有效发挥的司法困境。个人信息司法保护的突出问题，一方面表现为个人信息侵权行为具有的行为分散、成本低、维权难导致司法实践中侵犯主体认定难、取证举证难、侵权责任认定难等司法救助机制不完善问题；另一方面表现为政府机构滥用“公共利益”而侵犯个人信息权益但缺乏监督和救济问题。对于国家机关等承担行政职能的法定机构而言，其收集和处理个人信息不同于自然人、企业、社会组织等其他社会主体，是基于法定职责和公共利益需要，其行为具有强制性。一旦滥用这种公权力，给信息主体造成的威胁或危害更大，因此，需要更强更完善的监督制度和责任制度。

二、公共利益限制个人信息权益的法理基础

“法益论有两个思考方向：一是往理念、价值性方向思考，二是往事实性、因果性方向把握。”个人信息保护中，为何受到公共利益的限制？其法律依据是什么？这种限制本身有无限制或边界？需要梳理个人信息保护立法中的公共利益条款，并进一步分析制度设计背后的利益考量。

随着我国经济的发展、改革的深入，利益主体多元化、利益形态多样化、利益关系复杂化趋势明显，“公共利益”越来越多地出现在法律条文中，甚至推动了法律本位的递进，即从以国家利益为本位到以个人利益为本位再到以公共利益为本位。通过梳理归纳公共利益立法条款，大致可以分为目的性总则条款、特定义务条款、法律责任条款、法律适用保留条款、特定授权条款等几类。其中，特定授权条款是最为常见条款，即明确将公共利益作为限制、克减甚至褫夺个人财产（利益）的理由。譬如，宪法第10条规定：“国家为了公共利益的需要，可以依照法律规定对土地实行征收或者征用并给予补偿。”民法典第243条也有类似规定。可以说，法律普遍将公共利益作为限制个人利益的合法条件。

就个人信息保护立法而言，亦存在诸多公共利益条款。这些条款或者将公共利益视为民事责任免责的事由之一，譬如民法典第1036条；或将公共利益视为法律特殊保护的对象，譬如网络安全法第31条、数据安全法第2条、个人信息保护法第10条；或将公共利益视为处理个人信息的法定情形，譬如个人信息保护法第13条；或将公共利益视为个人信息跨境流动的禁止事项，譬如个人信息保护法第42条。

上述个人信息保护立法中的公共利益条款大致可以分为两类：一类是公共利益特殊保护条款，根据这些条款，任何组织、个人不得从事危害公共利益的个人信息处理活动；另一类是公共利益责任豁免条款，根据这些条款，个人信息控制者根据法律规定可以无需征得信息主体的授权同意而处理其个人信息并不承担法律责任。民法典在第1036条规定了3种处理个人信息而可以不承担民事责任的情形，而其中第三种情形就包括为维护“公共利益”合理实施的其他行为。在大数据时代，由于知情同意机制的局限性，这种责任豁免具有更广泛的适用意义。个人信息保护法借鉴了欧盟GDPR的相关规定，在第13条规定了7种可以处理个人信息的合法性事由，其中有两种情形与“公共利益”直接相关，即第四项和第五项，有两种情形与“公共利益”间接相关，即第三项和第七项。

整体而言，民法典首先通过隐私权、个人信息权益等方式保护个人信息，然后通过个人信息收集和处理以及数据权益等方式体现个人信息保护的例外。个人信息保护法承继了这一立法理念，在确立个人信息私益保护基本原则的同时，也规定了国家机关在“为维护国家安全、公共安全或增进社会公共利益”时，可以收集、处理或利用个人信息。这彰显出个人信息的多元价值及其立法诉求——有序共享——主张维护个人信息权益的同时发挥个人信息的社会公共价值。

如果说个人信息立法为公共利益限制个人信息权益提供了合法性基础，那么，就需要进一步分析这一立法背后的价值考量，即公共利益限制个人信息权益的正当性基础。这涉及个人利益与公共利益乃至个人与社会之间的关系问题。个人信息保护中利益主体众多，利益冲突情境复杂，利益衡量因素多元。公共利益限缩个人信息权益的根基在于在利益价值位阶中，公共利益处于相对优先位置。

在现代文明社会，普遍认为当公共利益与个人利益发生冲突时具有优先价值。公共利益与个人利益是两种不同的独立利益单元，代表着不同的价值取向，当两者发生冲突的时候，如何取舍？传统上，坚持公共利益本位，即公共利益具有至高无上的地位。“公共利益在形成过程中，过滤掉了个人利益中的任意性、偶然性和特殊性的因素，同时又综合、放大了其中的合理性、必然性和普遍性的成分，使某种普遍合理的利益得以生成和延续。”在法律适用中需要对自由、权利、公平、秩序等利益价值进行衡量，并在利益诉求发生冲突时以高位阶利益为优先，这已是法律共识。实际上，无论是欧盟GDPR抑或是美国2018年加州消费者隐私法案，还是其他国家个人信息保护立法，都未将个人信息权益作为绝对的优先项，更毋宁说唯一选项了；而是将个人信息置于特定场景中考虑各方利益并进行综合平衡。相反，在疫情防控等突发公共卫生事件应对中，坚持公共利益优先，适当地突破个人信息保护屏障，是世界各国的普遍做法。譬如，我国传染病防治法、突发事件应对法、突发公共卫生事件应急条例等法律法规，都规定了行政机关有权收集和使用个人信息，亦规定了公民配合行政应急权的义务，包括信息报告义务，从而便于行政机关及时、准确、充分地掌握突发事件相关情况。

归根结底，公共利益与个人利益的关系问题属于价值衡量问题。正如德国著名法学家拉伦茨所言，法官于个案中进行的利益衡量不过是根据个案具体情况赋予不同法益不同的“重要性”。与个人利益相比，公共利益具有相对优位性，这是限制个人信息权益的理由。个人信息保护不仅涉及个人的合法权益即个人利益，而且涉及国家安全、公众健康、经济发展等不特定多数人的合法权益即公共利益。根据公共利益相对优位的基本法理，不难得出为了公共利益可以适当限制个人信息权益的结论。从实际来看，行政机关限缩个人信息权益通常是为了应对突发事件等紧急情况，符合行政应急原则。公共行政以维护和增进公共利益为旨归，在疫情防控等突发公共卫生事件应对中，行政机关为了公共利益可以采取包括限制个人信息权益在内的行政应急措施，以及时控制和消除突发事件带来的危害。换言之，由于突发公共卫生事件的紧急性、公共性、危害性等特点，决定了国家公权力可以合理扩张，及时启动应急处置程序，采取应急处置措施。与此相对应，公民私权利应当限缩或者克减，并对行政机关采取的防控措施负有容忍和服从义务。

更何况，大数据时代，个人信息已经超越了传统社会隐私的范畴而具有双重属性，其公共产品特征日趋明显。我们虽然不赞同隐私具有公共属性和经济价值的观点，但认为个人信息与公共利益密切相关，具有一定的财产价值。当今社会，个人信息权益的排他性被极大弱化，自然人等个体对其信息权益的支配性也大大降低。与此相对应，个人信息的公共性逐步增强，个人信息所蕴含的公共利益价值日益凸显。譬如，在疫情防控等突发公共卫生事件应对中，生命健康权具有基本权利属性，具有价值衡量中的优先地位，尤其是公众的生命健康权属于更大的公平与正义。每个人都有公共卫生安全保障的法定义务和责任，为了不特定多数人的生命健康，个人隐私信息权利受到一定限制，国家相关部门根据疫情防控需要可以收集和处理公民个人信息，此时个人利益不可避免地要让渡给公共利益。

合理适度是科学立法的题中应有之义，个人信息保护时利益衡量必不可少。“简单化的利益位阶排序，不能为冲突关系的解决提供最终答案”“应当是在考量不同情境的基础上，对各异质利益的利益本质及其冲突关系解释与调和，以实现紧张关系的缓和乃至消解。”健全的个人信息保护法律制度，尤其要考虑到合理适度，既要避免法律缺失、信息被滥用也要避免防护过度，从而在个人利益与公共利益之间达到某种平衡。问题在于，如何判断在个人信息保护的框架下是否达到了利益平衡？笔者认为，应当坚持以下基本立场：公共利益具有相对优位性，即公共利益的优位是相对的，而不是绝对的、无条件的。对此，可以从以下四个方面理解：

其一，从社会优先于个人这一现代文明社会基本原则出发，公共利益优先于个人利益。公共利益与个人利益相比，公共利益是更高层次的根本性的重大利益，理应具有更重要的地位。从现实看，规定“公共利益优于个人利益”也是现代立法的普遍做法。具体到宪法文本方面，大致有两种确立公共利益价值优位的规范：一种是个人利益的实现不得侵害公共利益，这是社会个体的消极义务；另一种是为了公共利益的需要可以限制个人利益，这是社会个体的积极义务。对此，在分析公共利益限制个人信息权益的正当性时已有涉及，此不赘述。

其二，公共利益的优位性是相对的。绝对化的公共利益是不存在的，不存在不以个人利益为出发点和依归的公共利益。在利益冲突中，公共利益并不当然地具备优先性，也并非占有优势地位。我们对于公共利益优位的理解不能是绝对化、片面化，过分强调两者的对立，忽略两者的统一。在个人信息保护中，行政机关基于公共利益需要限制个人信息权益也并非绝对。譬如，在疫情防控等突发公共卫生事件应对中，相关部门不得公开那些可识别的个人信息，不得侵犯公民的基本权利。

其三，公共利益的优位性要结合具体情况作具体分析，而不是所有的公共利益在任何情况下都可以限制个人利益。“公共利益不应是始终绝对优先和主导的利益。机械地把公共利益绝对凌驾于个体利益或者其他利益之上，不仅是对其他合法利益的侵犯，而且是违背公共利益正当性精神的。”换言之，“公共利益确实应该是可以判断的，这种判断在结合某一情景时应当有其内在的正当性、合理性，否则就会导致权力的滥用。”这体现在个人信息保护方面，即是近年来学界提出的场景化问题，即在特定情境下对相关利益进行比较和权衡。

其四，公共利益的优先性应受到正当法定程序的限制。当公共利益的实现必须要以牺牲个人利益为代价时，要用严格的法定程序予以规范。质言之，任何对个人利益的剥夺，都应当有充分的理由，依据法定程序，并给予公平、及时地补偿。就个人信息保护而言，虽然不完全适用“知情——同意”规则，但亦应当遵守相关程序性规定。

三、公共利益限制个人信息权益的制度反思

前已述及，大数据时代的个人信息具有价值多元性，个人信息保护要兼顾自然人、企业、政府等多方利益，从而在个人信息的人格价值与公共管理价值之间、个人信息利用与保护之间实现平衡。问题的难点在于，个人在整个信息处理过程中始终处于被动境地，传统私权救济手段难以抗衡企业和政府管理部门处理个人信息的强大动力，而限制个人信息的合法理由——“公共利益”又时常因为内涵外延模糊、代表机制缺失、行使规则滞后而陷入困境之中。

如果对公共利益的概念界定不清，必然会导致公共利益的虚化、泛化，从而成为侵害个人利益的“危险源”。实际上，在法治社会，清晰而合理地界定公共利益的内涵及外延，已不再仅仅是抽象的理论问题，而是一个关乎国家法律制度设计法治实践的重大现实问题。然而，公共利益作为一个“罗生门”式的概念，一直存在争议，至今尚未形成一个公认的可操作性定义。英国功利主义的代表人物边沁把公共利益界定为“最大多数人的最大的利益和幸福。”我国台湾地区学者王泽鉴把公共利益定义为“涉及的是不特定多数社会成员的利益”。可见，关于公共利益的概念，见仁见智。美国行政伦理学家库珀甚至认为，“要想给出一个能得到理论界或实际工作者公认的‘公共利益’定义，是不可能的”。因此，公共利益作为一种价值理念，是一个关涉政府合法性和政治正义性的基石性概念，但在事实层面却是一个充满争议性话题，立法层面也几乎没有对公共利益作出明确界定。公共利益内涵外延的模糊，必然会导致个人信息保护面临窘境。

问题的难点还在于，谁能代表公共利益？这涉及公共利益的代表机制问题。“其实，公共利益的关键并不在于共同体的不确定性，而在于谁来主张公共利益。”从某种程度上而言，国家就是基于保护公共利益而产生的，现代国家更是以增进、实现和维护公共利益为己任，国家机关也常常被视为公共利益的代表，增进和维护公共利益是其存在的主要目的乃至唯一目的。然而，国家机关在增进公共利益时存在“异化”倾向，即存在追求自身利益的动机。在公权力与私权利的关系中，公权力居于绝对主导地位，加上公权力的自我扩张性，公权力对私权利的限制、侵犯乃至剥夺普遍可见。具体到个人信息保护方面，由于公共利益边界不明，同时缺乏对公权力控制、监督和制约的有效机制，因而公共利益的虚化、弱化和泛化现象严重，导致政府机关、社会组织乃至企业以公共利益为由肆意侵犯个人信息，存在信息收集主体多元化的突出问题。

当前，我国个人信息保护工作分散在中央网信办、工信部、公安部、交通运输部、市场监管总局等中央政府部门以及银监会、国家卫健委、中央人民银行等专业监管机关，网络、工信、金融、教育、医疗卫生、不动产登记等领域也都涉及个人信息权益保护管理职责，“九龙治水”、职权交叉、执法不一、条块分割、规范冲突等问题异常突出。以疫情防控等突发公共卫生事件应对为例，我国传染病防治法第12条以及突发事件应对法第38条规定了有权收集个人信息的主体范围，包括疾控机构、医疗机构，以及县级以上各级政府及其专业部门。然而，疫情防控实践中，流动人员要同时面对流出地和流入地社区、街道、居委会、村委会、公安、交通、所在单位等多部门、多层级关于身体状况、家庭住址、通勤信息等个人信息的重复采集，明显超出了法律授权范围，且造成了行政资源和社会资源的极大浪费，也加大了个人信息泄露的风险。因此，在我国个人信息保护领域是否有设立一个独立的专门机构的必要值得思考。

因此，公共利益经常固然表现为对全民或整体利益的维护和偏袒，但这绝不意味着把个人利益作为实现公共利益的“垫脚石”。大数据时代，个人被完全信息化，数据人格被深度塑造且无法被遗忘。建立在数据挖掘和整合基础上的碎片化的个人信息，可以形成对个人财富、身份、偏好、性格的精准分析和预测，企业以此进行精准营销，政府和社会组织以此进行有效治理。在强大公权力支配以及“公共利益”合法理由支撑下，个人信息保护面临重大挑战，需要反思和重构传统个人信息保护法律制度。

个人信息赋权保护已成学界共识，然而，现代信息技术的发展客观上增加了个人信息保护的难度甚至陷入了困境。一方面，个人信息的范围不断扩大。“可识别性”是判断个人信息的标准，即能够直接或间接“识别”出特定自然人的信息属于个人信息，但随着信息技术的进步，能识别的个人信息范围不断拓展。另一方面，个人信息保护的手段日渐不足。“知情——同意”规则和匿名化规则是被视为保护个人信息的有效手段，但公共利益行使规则的滞后使得这两个规则陷入僵化。

一是对于公共利益限制个人信息权益的程序性规定不足。仍以疫情防控等公共卫生事件为例，我国传染病防治法第38条第2款规定，公布传染病疫情信息应当及时、准确。但对于公布哪些信息、以什么方式公布、按什么途径公布以及公布的期限等程序性内容却均未作系统、明确规定，从而无法为疫情防控中的个人信息保护工作提供精确指引。

二是在隐私政策披露方面存在重大缺陷。隐私政策披露是个人信息保护领域对企业、政府、社会组织等个人信息收集主体尤其是网站、App运营者的基本要求。然而，从实践看，我国企业隐私政策披露自我规制机制仍处于初步建立阶段，政府隐私政策披露机制更是阙如，存在政府个人信息收集正当性基础薄弱、使用约束机制欠缺等一系列问题。譬如，在疫情防控期间，各地普遍通过“健康码”作为决定个人是否有权出行、是否获得复工复产的重要证明，而“健康码”是建立在获取个人行程轨迹基础上对个人健康风险等级的综合评判，“健康码”的形成构成“自动化行政”，理应属于行政行为，但能否审查健康码结果的合法性?如何评判这一自动化决策的合法性？公民如何获得救济？对这些问题尚未有明确的制度设计。

三是以公共利益之名收集和利用个人信息缺乏有效约束。由于个人信息涉及多方利益，政府在收集和利用个人信息时既要满足公共治理的需要又要避免对过度侵占个人信息。但在实践中，统一的个人信息收集标准阙如，多头重复收集情况严重，滥采滥用问题突出，审查机制漏洞明显，因公共数据滥用或监管不力导致的个人信息泄露风险居高不下，各部门间个人信息数据库的壁垒极大地限制了公共数据的流通和整合。

四、公共利益限制个人信息权益的原则释义

基本原则在个人信息保护中具有极为重要的作用。个人信息保护法规定了个人信息处理七大基本原则，分别是合法性原则（第5条）、目的明确原则（第6条）、最小必要原则（第6条）、公开透明原则（第7条）、准确性原则（第8条）、可问责性原则（第9条）、数据安全原则（第9条）。这些基本原则体现着个人信息保护的价值导向和法律理念。国家机关基于公共利益理由限制个人信息权益时亦应当遵循一定的基本原则，这些基本原则既是上述个人信息保护基本原则的延伸和体现，又有着自身的独特性，应主要包括法律授权原则、目的正当原则、最小比例原则、安全保障原则等。法律授权原则决定了干预个人信息的依据，体现出国家公权力行使的合法性。目的正当原则决定了干预个人信息的范围，体现出国家公权力行使的合理性。最小比例原则决定了干预个人信息的强度，体现出国家公权力行使的必要性。安全保障原则决定了干预个人信息的方式，体现出国家公权力行使的均衡性。这些法律原则应当贯穿于公共利益限制个人信息权益的全过程、各环节。

所谓法律授权原则，是指以公共利益限制个人信息权益应当有法律的明确授权，即基于公共利益目的限制个人信息权益必须有法律的明确授权，不得违反禁止性条款。通常而言，个人信息的商业利用需要信息主体的明确授权，而个人信息的公法限制则需要法律的明确规定。即便是为了公共利益，国家机关在处理个人信息时也应依法履行职责，要依照法律规定的权限和程序并注意方式、方法以及范围，尽量减少对个人产生的不利影响。需要强调的是，此处的“法律”应为狭义的法律，须由全国人大或其常委会制定。申言之，鉴于个人信息在当今社会具有宪法位阶基本权利的极端重要性，以及限制个人信息权益涉及国家公权力行使，因此必须遵守法律保留原则，应当通过立法明确有权收集和处理个人信息权益的主体、范围及限度。

所谓目的正当原则，是指个人信息信息的收集和处理必须与公共利益具有相关性，符合公共利益目的特定性。这一目的约束原则要求信息收集者只能出于公共利益这一特定、明确、合法目的才能收集个人信息，不得收集利用与公共利益无关的个人信息，且其公共利益目的必须在信息收集时已经确定，后续处理时不能与事先确定的公共目的相悖。目的正当原则，涉及对个人信息限制的范围、方式和强度等问题。譬如，在疫情防控等突发公共卫生事件应对中，大数据为政府联防联控以及企业复工复产提供了有力支持，但国家相关部门收集个人信息，必须是为了“预防、监测、预警、处置、救援”等特殊公共利益的需要，且与疫情防控活动直接相关，不得基于供未来不特定目的使用而收集和处理个人信息。

所谓最小比例原则，也称范围最小原则或必要性原则，是指以公共利益为由限制个人信息权益应当保持适度性、必要性，具有手段的适宜性且侵害的最小性，只要能够实现公共利益目的即可，不能过度地收集和处理个人信息，从而使个人权益受到的限制和干预尽量处于最低水平。最小比例原则与欧盟GDPR规定的“最少够用原则”类似，决定了行政机关可以在多大范围内以及多大强度下收集和处理个人信息，即按照最小收集地域、最小收集对象、最小收集内容等范围收集和处理个人信息。“如果仅仅法律措施是必要的(即最小程度的限制标准)，那么即使是一种不重要的公共利益就可能合法地造成对一项重要权利的侵害。换言之，最小比例原则要求，基于公共利益目的必须限制个人信息权益时，应以损害最小、程度最轻、次数最少的方式进行，尽量缩小采集个人信息的主体范围和内容范围，尽量降低信息泄露风险。譬如，在疫情防控等突发公共卫生事件应对中，一方面，行政机关可以基于疫情防控目的，分析、加工个人健康数据，而无需公民同意；另一方面，应尽量采取“去标识化”或“匿名化”等损害最小的处理方式，保证手段与目的之间的适度相称。换言之，收集的个人信息的对象、类型和内容必须与突发事件应对有直接关联，应当将收集信息的对象限定为确诊者、疑似者、密切接触者等重点人群，收集信息的范围限定于与疫情防控存在关联性的个人基本信息，如姓名、住址、身份证号码、联系方式等基本信息，体温、症状等健康信息，位置行踪、旅居史、接触史、乘坐交通工具记录、活动区域场所等出行信息，而不得收集职业、婚姻家庭、民族种族、宗教信仰、生物识别、财产财务等与疫情防控没有直接关联信息。

所谓安全保障原则，是指收集和处理个人信息必须保障信息安全，即须根据情况采取必要的、具有期待可能性的风险防范措施以保护个人信息免受损害。近年来，随着个人信息的收集、获取、存储和处理成本降低，以及数据的经济价值和社会价值日益凸显，个人信息的应用领域迅速扩展，与之相伴的安全隐患和隐私挑战不容忽视。实际上，在以公共利益限制个人信息权益时所应遵循的“安全”保障义务非常广泛，不限于信息安全，而应当包括人身安全、生活保障、医疗救治等基本权利。当然，安全是个相对概念，需要结合个案进行情景化判断。安全保障原则要求政府部门在收集和使用个人信息时应当遵守相应的法律义务，包括信息保密义务、采取技术保护措施义务、防止信息泄漏义务、采取补救措施义务等。政府机构基于管理需要收集的个人信息，有相当部分属于敏感信息，一旦泄露会对个人安全和国家安全造成严重后果。因此，相关部门应对个人信息安全开展影响评估，提升数据安全能力，采取严格的技术、物力、组织、管理、制度等一切必要合理的防护措施确保个人信息安全。譬如，在疫情防控等突发公共卫生事件应对中，行政机关对于决定公开的个人信息应当在公开之前进行应当经过“脱敏”和“去识别化”等匿名化处理，不能公布姓名、身份证号、电话、门牌号等能锁定识别具体身份的数据。在公开之后应该对信息进行严密审核，建立连续完整的检查监督机制，最大程度上降低个人信息被非法使用、篡改和传播的风险。同时，这类信息数据有一定的生命周期，待疫情防控结束后，应由疾控机构予以封存或匿名化处理或予以销毁。

五、个人信息保护中公共利益考量规则的优化路径

无论是从学理分析抑或是从法律规范来看，公共利益限缩个人信息权益都具有正当性。然而，目的的正当性并不意味着手段的任意性。相反，应当通过限定主体、确定原则、厘清范围、完善救济等法治举措确保公共利益限缩个人信息权益的正当性。因此，个人信息保护法的通过和实施，并非意味着个人信息保护立法的终结，相反需要通过实施细则、立法解释、司法案例等方式进一步优化规则。更何况，建立在主体平等、客体排他、意思自治基础之上的传统私法保护模式日益面临着个人信息保护不足和保护过度的两难窘境，应当采取公私法协同推进的多元化法治路径，充分发挥部门法功能，建立综合治理模式，并实现个人信息保护法制体系内部的统一和协调。

全面推进依法治国的时代背景下，无论是国家公权力还是公民私权利，都应当有明确的边界。体现在个人信息保护方面，重要的一点即是确立公共利益的范围。随着互联网、大数据、人工智能等技术手段在国家治理中的加速运用，政府在行政管理和提供公共服务中收集存储了大量的个人信息进而形成了公共数据资源。这些公共数据具有公共属性，属于公共产品，只能用于公共利益目的。此时，迫切需要通过立法明确界定公共利益的内涵范围。

公共利益概念具有高度模糊性与歧义性，麦克哈格教授总结了公共利益概念的三个主要理论——共同利益理论、优势理论、统一理论。笔者认为，公共利益概念与特定社会的文化传统、伦理道德、意识形态、政治架构、公共行政、法律制度密不可分，对于这一概念的不同理解，通常意味着不同的价值取向、行动准则和社会实践。可以从以下几个角度把握公共利益内涵：其一，公共利益的表现形式非常广泛，但具有相对性。公共利益既可以体现为抽象的利益形态，如国家安全、社会安全、公共秩序等，承载更多的是价值功能，也可以表现为具体的物化的利益形态，如环境卫生、公共资源、基础设施等，承载更多的是物质功能。但公共利益不是绝对的，是特定具体时空的产物，具有相对性。质言之，公共利益是相对于个人利益而言的某一时期、某一特定区域内不特定多数人的利益，是相权衡比较的利益，其内容与形式依附于特定的社会环境，在不同时期人们对社会公共利益的理解也会有所不同。因此，应当在特定的时空条件下对各种利益进行比较权衡作出判断。其二，公共利益是关乎人类长远的根本的整体利益，具有不可分性。公共利益绝不是个人利益在数字上的简单相加，而是“特定”范围内人们所共同认可、对各方有价值的利益。换言之，公共利益超越了单个个体的利益，也不是局部的、眼前的、狭隘的利益，而更多是一种整体的、长远的、根本的利益。其三，公共利益的享有主体具有普遍性、不确定性和非排他性。公共利益的享有主体具有普遍性和不特定性的特点，而不是由某个人专门享有的，其他人也可以享有。在一定程度上，共享性是公共利益的基本属性。以疫情防控为例，公共健康不仅使某一个人具有安全感，而该国的所有民众都会具有安全感，某一国民从疫情防控中受益并不妨碍其他国民从中受益。

因此，从广泛意义上讲，公共安全、公众健康、国家安全、国家利益等都属于公共利益范畴，打击犯罪、刑事侦查、行政执法、反对恐怖主义等也是保护公共利益的体现。政府部门基于上述理由收集和处理个人信息具有的正当性自不待言。除此之外，个人信息保护中的网络安全、儿童信息、跨境流动等亦与公共利益密切相关。但无论如何，都应当通过立法方式予以明确。从操作角度，建议可以采取“内涵界定+外延列举+兜底条款”立法例，明确公共利益范围。

个人信息保护涉及多方主体的多重利益诉求，需要政府、企业、社会组织、个人等协同合力。对政府而言，不仅要建立健全个人信息保护执法机制，加强对个人信息权益的监督检查，更要构建个人信息权益保护的主体规则，确定公共利益的代表主体。长期以来，行政执法及其监管不力是我国个人信息保护最为突出的问题之一，分散执法、多头执法导致的主体虚化以及监管真空、监管不力导致的边界模糊广遭诟病。公共部门出于长期以来形成的“官本位”思维定势，对个人信息的关注也大多出于其管理的需要，强调个人提供信息的义务，而非注重个人所享有的信息权益，时而存在随意收集、过度收集、违法获取、擅自披露、过度使用个人信息之虞。现实的困境在于，公民在个人信息遭到侵犯时无法获取相关证据、无法确定责任主体、不知道向哪个机构或部门投诉或提起诉讼等，从而导致实践中因个人信息权益遭受侵犯但不愿意投诉或提起诉讼的根源所在。

从域外立法实践看，各国纷纷设立统一的个人信息保护机构。欧盟GDPR将“有效的专业规制机构”作为满足“充分性认定”的基本条件，要求各成员国设立专门的个人数据监管机构以加强对个人信息的收集、利用、流通等环节的监控管理。根据这一要求，德国设立了个人数据保护联邦委员会，这是一个专司个人数据保护监督、解决个人数据保护纠纷、提出个人数据保护建议的独立机构。美国形成了行业监管模式，辅之以极强的执法机制、严厉的威慑机制、广泛的社会监督机制，较好地保障了个人信息权益免遭侵犯。日本为了加强个人信息保护的行政监管，于2017年成立了个人信息委员会，从而确立了个人信息保护集中监管体制。我国个人信息保护法提出了“网信部门统筹协调+有关部门各自监管”的模式，以区别于以欧盟为代表的跨行业统一监管模式和以美国为代表的行业监管模式。应当说，该模式是平衡域外两种主要模式利弊以及考虑我国行政管理传统模式的结果，对于构建我国个人信息多方共享共治模式意义重大。然而，不可忽视的是，个人信息保护法并未突破网络安全法在监管体制方面的设计，并未从根本上改变个人信息保护领域分散执法的局面，选择性执法、多头执法问题仍将普遍存在。

厘清政府的权责边界，事关个人信息保护和数据产业发展，事关国家治理体系和治理能力现代化，以公共利益之名收集和处理个人信息只能由有法律授权的机构按照法定程序而为之。建立统一、专业、独立的个人信息保护机构，既是实现个人信息保护一体化的需要，更是明确问责机制的需要。可以说，“统一”是设置个人信息保护机构的前提要素，这是其一。其二，“专业”是设置个人信息保护机构的基础要素。随着数据挖掘、人脸识别、算法等现代技术的迅猛发展，个人信息应用场景日趋复杂，个人信息保护工作面临着技术、政策、法律等多重因素考量，这就迫切要求个人信息保护机构具有极强的专业性，否则难以承担起个人信息保护的重任。其三，“独立”是设置个人信息保护机构的关键要素。个人信息保护应当超越个人利益、企业利益和公共利益，站在全局高度平衡各方利益，独立行使个人信息保护职权，排除其他组织的干预，防止被利益团体“捕获”。

具体而言，第一，需要明确行政机关在个人信息保护中的职权与权限。个人信息保护机构享有的职权主要包括：首先是接受投诉权，即当公民认为其个人信息权益受到侵犯时可以向个人信息保护机构投诉，有权要求其进行查处并给予行政保护，必要时应当支持并指导个人因此而提起的民事诉讼，发现涉嫌犯罪的应当将相关情况通报至公安机关进行刑事追责。其次是调查处理权，即针对侵犯个人信息权益的行为，个人信息保护机构有权采取现场检查、询问当事人、查封扣押相关设备、查阅复制相关资料等措施，并对相关违法企业、行政机关和个人予以行政处罚或启动行政追责。再次是行政监督权，即有权监督行政机关、企业、社会组织等个人信息保护工作，评估个人信息保护措施的合法性与合理性，推广个人信息增强技术，提供个人信息政策咨询、指导和建议。最后是规则制定权，即在国家相关立法的授权下，就个人信息保护出台相关标准、指南、意见、规定等，特别是就个人信息处理中的“公共利益”作出细化说明，遏制行政机关的扩张解释。第二，行政机关需要提高基于复杂场景下个人信息的判定能力、对方利益衡量能力以及个人信息保护能力，特别是在行政公开、行政处罚、行政确认等行政行为中通过技术手段对个人信息作匿名化处理。第三，加强对国家机关的监管，优化外部执法威慑机制，遏制公权力机关过度收集个人信息、滥用个人信息甚至泄露个人信息；加大责任处罚力度，赋予自然人以个人信息救济权，即当自然人认为行政机关基于公共利益侵犯个人信息权益时有权提起行政复议和行政诉讼；加强社会监督，必要时引入第三方专业机构，推动社会多方参与个人信息治理生态的形成。

尊重自然人的个人信息自决权被认为是个人信息保护制度的基础，即体现在法律中的知情同意机制。知情同意机制普遍适用于国内外个人信息保护立法，无论是欧盟的GDPR，抑或是美国加州消费者隐私法案，还是经济合作与发展组织（OECD）的关于隐私保护和个人数据跨境流通的指南都将知情同意作为个人信息权束中的基础性权利，我国网络安全法第41条、民法典第1035条对其也都有明确规定。知情同意机制集中体现了前信息时代以个人控制权为核心的个人信息保护制度建构，是收集个人信息行为合法性的首要基础。在传统个人信息保护制度下，个人控制权的实现是个人信息权益制度的核心，强调个人信息范围的有限且可控，个人信息的取得和处理必须征得个人的同意。然而，该原则在当今信息时代日益显示出适用无力之尴尬境地。这不仅表现在个人信息范围扩大，知情同意机制难以适用或者事实无效，“告知——同意”流于形式，而且体现在个人对其信息的控制力减弱，“被遗忘权”应运而生。同时，这还体现在目的限定原则模糊，基于公共利益收集和利用个人信息情形逐渐增多。换言之，类似于刑事司法领域的侦查活动，政府基于维护公共利益的需要在利用个人信息时可以不遵守知情同意原则。究其根源就在于，知情同意机制缺乏效益，严重阻滞个人信息的收集与利用。“个人信息的动态性和场景性决定了在不同情形下对个人信息的使用并非一成不变”，对知情同意机制不能作简单化、机械化、概括化理解。

将公共利益作为信息主体知情同意原则的例外也是国内外立法的普遍做法，如欧盟GDPR第6条、第9条，美国联邦法规第164部分“安全与隐私”项下第512条。从我国立法来看，民法典第1035条第1款第1项在沿用知情同意机制的同时，留下了“法律、行政法规另有规定的除外”的例外规定。突发事件应对法、传染病防治法、突发公共卫生事件应急条例等法律法规均赋予行政机关在未取得公民同意情形下可以收集个人相关信息的权力，这可以被视为民法典第1035条第1项所规定的“但书”范围，我国传染病防治法第33条、第38条以及个人信息保护法第13条等也有相关规定。通过这些规定，不难发现，世界各国普遍将公共利益视为对知情同意原则的限制。譬如，在应对疫情防控等应对突发公共事件时，实时掌握有效的疫情信息是疫情防控工作顺利开展的重要保障，是作出正确防控决策和采取精准预防措施的重要基础。然而，由于疫情防控涉及地域广、人员多、情形复杂，无论是逐一告知信息主体抑或征得个人的明示同意，都会增加疫情控制成本甚至贻误疫情防控时机，从而危及公共卫生安全。但是，“随着政府权力持续地剧烈增长，只有借助于程序公正，权力才有可能获得容忍”。知情同意原则的例外并不意味着获取和处理个人信息具有程序“豁免权”。相反，恰恰基于对政府公权力滥用的高度警惕应当制定政府机构干预个人信息法更为审慎和明确的法律制度，优化对个人信息合理使用、存储、共享、公开和删除机制，从而保障个人信息安全。换言之，这种未经同意收集个人信息的权力应当受到严格制约除了通过立法穷尽列举“例外”情形外，亦应当遵循最低限度的正当程序要求，严格个人信息保护标准，从而保障个人信息安全。

首先，要履行公开义务，向社会公众说明收集和处理个人信息的公共利益理由及范围。“无需个人同意”并不意味着社会公众和信息主体不享有知情权，政府机关有义务将收集和利用个人系信息的法律依据和正当目的，以简单、易懂、明确的语言向社会公开，并向收集对象说明收集主体、信息类别、使用目的、救济权利等，接受社会和信息主体的监督。其次，要保障信息主体相关权利，包括查询权、异议权、请求更正或补正权、安全权等。行政机关收集和处理个人信息行为属于行政行为，根据公众参与基本原则，信息主体除了享有陈述权、申辩权等一般程序性权利外，还享有了解其个人信息被收集和利用情况的知悉权，当发现其个人信息存在错误或者过时时，有权请求修改、补充或完善，从而确保信息品质。着眼于未来，鉴于个人信息具有生命周期，公共利益事项结束后仍可能会有大量的个人信息保留在网络等公共空间，从而给信息主体人格权益造成侵害，建议通过立法明确赋予自然人被遗忘权。再次，在公开或者共享信息时应当“去识别化”处理。个人信息具有基本权利属性，确需向社会公开或者共享个人信息的，应当采取“去标识化”“匿名化”等“去识别化”技术手段，有效切断信息与信息主体之间的连接，避免引起公众恐慌或者因为舆论而给信息主体造成次生灾害。实践中，我国对个人信息的模糊化、匿名化、脱敏处理已经比较常见，但仍需进一步细化“去识别化”的判断标准，从而在个人信息保护与公众知情权之间保持平衡。最后，对于个人敏感信息的收集和处理，仍应当严格遵守知情同意原则。敏感信息往往与个人隐私密切相关，只能基于特定的目的和充分必要的前提下方可收集和处理，同时应当征得个人单独同意或者书面同意。建议进一步对个人信息进行分级分类，通过类型化、场景化对个人信息采取不同的保护措施。尤其是针对个人敏感信息，应当符合更高更严格的保护要求，非必要不能收集和处理个人信息，履行事先告知、单独（书面）同意、风险评估、行政许可等特殊保护程序。

譬如，在疫情防控等突发公共卫生事件应对中，由于病毒的超强传播性以及后果致命性，政府可以通过“健康码”“行程码”等形式掌握个人的行踪轨迹并对其行为自由作出一定限制，但这种基于公共利益而对个人信息权益的克减是应当建立在一定的规则约束基础之上的。除了目的正当性之外，还应当确保过程的公平性，即行政机关在为了公共利益而克减个人信息权益时，应当对其进行解释并对算法进行审计，从而保证行政管理和公共服务的公平性。同时，还必须确保匿名性和时间有效性，即在公布个人信息时应当对相关信息进行“去可识别性”，以保护个人信息安全。如果确需对个人信息权益进行克减，也必须是紧急状态下的“不得已而为之”。待紧急状态缓解或结束，行政机关与个人信息的收集就不具有强制性，而转为个人的自愿选择行为，应根据存储期限最小原则对个人信息应当删除或匿名化。

“在利用与保护个人数据激励失衡的大背景下”，国家“一项重要的立法任务就是构建有效的外部执法威慑，促使信息控制者积极履行法律责任，并对违法处理个人信息的行为予以制裁”。面对大数据时代个人信息安全面临的严峻挑战以及司法困境，笔者提出以下建议：

一是完善国家部门法律责任。个人信息保护职责部门在履行职责过程中恶意获取个人信息或者保护个人信息不力的，应当承担相应法律责任，建议可以在个人信息保护法中增加相关条款，即履行个人信息保护职责的部门及其工作人员在履行职责过程中非法收集、保存、删除、篡改或者对外提供个人信息的，对直接负责的主管人员和其他直接责任人员依法给予处分，由此对公民和企业造成损失或者其他的严重后果的，依照国家法律规定依法赔偿，构成犯罪的依法追究刑事责任。

二是健全行政诉讼制度。行政机关基于公共利益收集和处理个人信息的行为属于行政管理和公共服务范畴，应当受到行政许可法、行政处罚法等实体法的约束，亦应当受到行政复议法、行政诉讼法等程序法的约束。即行政相对人因为行政机关的违法行为而侵害其个人信息权益，可以提起行政复议或行政诉讼，行政机关内部可以通过行政处分程序给予追究法律责任。从司法实践看，因个人信息纠纷引发的行政诉讼不断增多，并以“政府信息公开”案由最为集中，体现出行政主体的法益权衡能力及行为规范性有待增强。因此，应当进一步健全我国行政诉讼制度，加大政府机关基于公共利益需要收集和处理个人信息的司法监督。

三是引入行政公益诉讼制度。个人信息保护法第70条确立了个人信息保护公益诉讼制度，为规范非法处理个人信息侵害众多个人权益的行为提供了公益诉讼法律依据，这是我国公益诉讼立法的又一进步。但遗憾的是，与既有的消费者保护公益诉讼、环境生态保护公益诉讼制度相比，该法律条文过于原则，需要进一步对主体资格、适用条件、法律责任等问题作出细化规定。同时，亦没有确立个人信息保护行政公益诉讼制度。2017年行政诉讼法创造性地确立了行政公益诉讼，并通过“列举+兜底”立法例明确了行政公益诉讼范围。个人信息保护问题社会关注度高、人民反映强烈、关涉公共利益，虽然不属于行政诉讼法第25条所列举的四种行政公益诉讼类型，但可以利用兜底条款将其纳入公益诉讼。为此，需要进一步深化司法体制改革，拓展行政公益诉讼受案范围，将行政公益诉讼制度引入个人信息保护领域。因此，建议通过出台个人信息保护法实施条例等方式引入行政公益诉讼制度，即针对侵犯公民个人信息的行政机关的违法失职行为（公害行为），赋予检察机关提出检察建议权敦促其履行相关法定职责，否则有权向人民法院提起行政公益诉讼。

四是加大行政赔偿责任。建议加大对个人信息侵权行政赔偿责任，通过修改国家赔偿法将行政机关侵犯公民个人信息权益行为纳入赔偿范围，并采用客观过错归责原则，即行政相对人只需证明行政机关在个人信息保护方面应尽自己的合理的义务而没有尽到的客观事实，从而减轻行政相对人的负担，保障其个人信息权益遭受侵害后行政救济的落实。

结语

在大数据时代，个人信息权益主体呈现出多元化趋势，从自然人拓展至个人信息的收集者、使用者及管理者。个人信息权益的内容也日益复合化，从自然人个体的人格权、财产权等个人利益扩展至国家安全、社会秩序等公共利益。因此，要在个人利益与公共利益之间找到平衡点，在保证最大限度不损害个人利益的前提下促进公共利益的实现。在个人信息保护领域，个人利益、企业利益、国家利益、公共利益之间不是呈现出单向度关系，而是处于交叉、冲突和紧张状态。政府公权力机关在进行行政管理或者提供公共服务，特别是应对突发公共卫生事件时，收集和处理个人信息具有价值正当性和制度合法性，这是法益价值位阶比较中公共利益优先的必然要求。然而，无论是基于保护个人信息权益的需要，还是基于现代社会行政控权的需要，法定主体在收集和处理个人信息时，应当秉持克制谦抑和审慎精神，遵循严格基本原则和具体规则。应当进一步完善个人信息保护法，构建我国公共利益限制个人信息权益的规制框架和法律规范，从而中和利益相关者冲突，寻求个人信息保护中公私利益的平衡，实现个人信息权益最大化，提升国家治理体系与治理能力现代化。

往期精彩回顾

《东方法学》2022年第1期目录

上海市法学会官网

http://www.sls.org.cn