1. 问题的提出
在数字经济与数据治理深度融合的时代背景下,个人信息的财产价值与人格价值日益凸显,其利用行为不仅关涉自然人的基本民事权益,更与国家安全、社会治理、公共服务等公共利益范畴深度交织。我国已构建起以《民法典》为基础,《个人信息保护法》《网络安全法》《数据安全法》为核心,刑事立法、政策文件与行业标准为补充的个人信息保护规范体系,上述法律法规均嵌入公共利益条款,为个人信息权益克减与公共利益优先的适用场景提供了规范依据,但条文表述的原则性与概括性,导致公共利益的界定标准、个人信息处理的合理边界等核心问题尚未形成统一的裁判规则与适用范式。
司法实践是检验立法成效的重要标尺,亦是化解个人信息利用与公共利益冲突的关键场域。通过对中国裁判文书网、北大法宝等平台相关案例的检索与梳理可知,行政机关基于公共管理需求的个人信息调取、企业基于公共服务目的的个人信息使用、媒体基于新闻报道的个人信息披露等行为,均易引发个人信息权益与公共利益的价值权衡争议。司法裁判中对公共利益的认定标准不一、利益衡量的方法路径各异,暴露出当前立法与司法衔接的脱节问题。由此,如何通过明确公共利益的界定规则、细化个人信息处理的合法要件、构建科学的利益衡量机制,实现个人信息权益保障与公共利益维护的动态平衡,已成为亟待破解的理论与实践难题。
(一) 在立法规定中的体现
我国已构建以专门法律为核心、相关法律法规为支撑、政策与行业标准为补充的个人信息保护法律体系,多部立法嵌入公共利益条款形成平衡框架。《民法典》确立个人信息权益基础性地位,明确公共利益优先的合理使用规则;《网络安全法》将个人信息保护纳入网络安全监管,兼顾公共利益与个体权益;《个人信息保护法》系统规定公共利益相关的个人信息合法处理情形,构成权益克减核心依据;《数据安全法》从宏观数据安全视角衔接跨境数据处理中的公共利益监管与个人信息保护;此外,刑事立法、政策文件及行业标准进一步细化规范,形成多层次公共利益导向的保护体系。
(二) 在司法审判中的体现
为厘清个人信息利用与公共利益平衡的冲突核心及协调路径,本文以问题为导向,在中国裁判文书网、北大法宝平台,以“个人信息”“公共利益”为核心关键词检索相关司法案例,限定行政机关、企业、社会公众等多元利益相关方参与的场景,排除非相关个人信息纠纷,整理形成典型案例样本,后续将基于该样本深度剖析二者平衡的冲突困境与适用障碍,进而探寻系统性疏解方案。
2. 公共利益规则适用的实践困境
尽管我国已构建起多层次的个人信息保护法律体系,且公共利益条款在立法中多有体现,但在数字技术深度渗透与社会治理需求升级的双重背景下,公共利益规则在个人信息处理场景中的适用仍面临多重现实困境。这些困境既源于公共利益本身作为不确定法律概念的固有属性,也受限于规则设计的滞后性、代表主体的利益偏差及监督机制的不完善。
(一) 概念模糊与标准缺失
公共利益的界定不清,必然导致其内涵虚化与外延泛化,进而沦为侵害个人信息权益的“潜在风险源”。在法治社会中,清晰且合理地界定公共利益的内涵与外延,绝非单纯的理论思辨问题,而是关乎国家法律制度设计与法治实践运行的重大现实命题。然而,公共利益作为典型的不确定法律概念,其内涵与外延始终存在争议,至今尚未形成具有共识性与可操作性的定义[1]。英国功利主义学者边沁将公共利益界定为“最大多数人的最大幸福”[2];王泽鉴则认为,公共利益是“涉及不特定多数社会成员的利益”[3]。诸种观点各有侧重,难成通说。美国行政伦理学家库珀更是直言,“要形成一个能为理论界与实务界普遍认可的公共利益定义,几乎不具有可行性”[4]。
该问题在立法与司法实践中同样凸显:立法层面缺乏明确的界定标准与操作指引,司法实践中则呈现认定尺度不一的乱象——部分法院以被侵害者数量为判断依据1,部分以行为涉及公共区域、公用部位为理由2,还有法院将应对突发公共卫生事件直接作为公共利益的认定事由3,导致同类案件裁判结果存在差异。
(二) 多元代表的利益偏差
公共利益的核心争议不仅在于其内涵的不确定性,更在于代表主体的适格性问题,即“谁有权主张并界定公共利益”[5]。从法理层面而言,国家因维护公共利益而产生,现代国家更是以增进、实现与维护公共利益为根本使命,国家机关亦被当然视为公共利益的代表主体。但需警惕的是,国家机关在行使公共职权过程中存在“利益异化”的风险,即基于自身部门利益的考量偏离公共利益的预设轨道。在公权力与私权利的博弈关系中,公权力具有天然的主导性与扩张性,若缺乏有效的监督制约机制,其对私权利的限制与侵害便难以避免。
当前,我国个人信息保护监管职权分散于中央网信办、工信部、公安部、交通运输部、市场监管总局等多个政府部门,以及银保监会、国家卫健委、中国人民银行等专业监管机构,网络、工信、金融、教育、医疗卫生、不动产登记等领域的个人信息保护职责亦分属不同主管部门,由此形成“九龙治水”的监管格局。质言之,公共利益的本质在于维护不特定多数人的整体利益[6],但这绝不意味着个人利益可被视为实现公共利益的“垫脚石”。在大数据时代,个人信息被深度挖掘与整合,碎片化的信息片段能够拼凑出个人的财富状况、身份特征、行为偏好与性格特质[7],企业借此开展精准营销,政府与社会组织则依托信息分析实施社会治理[8]。在公权力的强势支配与“公共利益”的合法性背书之下,个人信息保护面临严峻挑战,传统个人信息保护法律制度亟待反思与重构。
(三) 司法适用与监督制度缺位
相较于公共利益的概念解释困境与代表主体失范问题,个人信息保护领域中公共利益规则的司法适用与监督制度缺位问题更为突出,集中表现为规则适用范围泛化与监督程序缺失两大症结。
1) 适用范围泛化
实践中,公共利益规则的适用范围存在明显的泛化倾向,尤以政府机关收集使用个人信息的行为为甚,具体表现为两种典型情形:一是将维护国家利益、公共安全、民法基本原则、法律法规或政策等所有事由,均作为适用公共利益规则的正当性依据,进而免除信息处理者的法律责任。
公共利益规则适用范围泛化的根源,在于个人信息收集规则的制度漏洞与限制规则的原则性缺陷。一方面,个人信息收集规则存在公法与私法的衔接漏洞。我国《个人信息保护法》所确立的信息收集规则,主要规制平等主体之间的个人信息处理行为,相关部门的信息收集利用行为游离于《个人信息保护法》的规制范围之外。另一方面,个人信息收集的限制规则过于原则化。《个人信息保护法》第6条所规定的“合目的性原则”与“最小必要原则”,是约束信息收集行为的核心规则,但该原则性规定存在明显缺陷:其一,原则性规定的抽象性赋予信息处理者较大的自主解释空间,且此种解释权的行使难以通过立法或司法手段进行有效规制;其二,原则性规范缺乏直接适用性,法官在司法裁判中往往持审慎态度,极少直接援引原则性规定作出裁判;其三,原则性规定缺乏配套制度支撑,进一步加剧了其在实践中的闲置状态。正是基于收集规则的漏洞与限制规则的宽松,公共利益规则逐渐异化为信息处理者规避法律责任的“万金油”。
2) 监督制度缺位
公共利益规则适用范围的泛化,加剧了个人信息权益与公共利益的失衡状态,而监督制度的缺位,则直接制约我国个人信息保护制度的完善与发展。在信息技术快速发展的背景下,“现行监管体系未对国家机关与私人企业的监管模式进行区分,未能满足监管机构针对国家机关违法处理个人信息行为的客观性监督要求”[9]。
建立专门的个人信息保护监督机构,已成为破解当前监管困境的必然选择。我国《个人信息保护法》第60条确立了“网信部门统筹协调 + 相关部门分工监管”的监管模式[10],明确工信部、公安部、交通运输部等政府部门,以及银保监会、国家卫健委等专业监管机构,依据各自职责履行个人信息保护监管职责。但在公共利益规则的适用领域,此种监管模式引发了监管主体不统一的问题。例如,在应对突发公共卫生事件时,个人信息保护监管职责的履行主体需根据具体情形确定,可能是国家卫健委,亦可能是地方政府的相关职能部门;智慧金融监管中,金融管理部门与网信部门对金融机构基于“防范金融风险”这一公共利益收集个人征信信息的行为,存在监管职责交叉。“九龙治水”的监管格局,极易导致执法标准不一、职权交叉重叠、重复执法等问题,甚至出现超越法律授权范围收集使用个人信息的违法情形——部分地方金融监管部门要求网贷平台报送借款人全部通讯记录与社交关系数据,超出金融风险防控的必要范围,却因监管职责划分不清晰而缺乏有效制约。这不仅不利于个人信息的有效保护,增大信息泄露风险,更造成行政与司法资源的浪费,违背社会资源优化配置的基本目标。
3. 个人信息利用与公共利益的平衡
从学理逻辑与规范文本双重维度来看,公共利益对个人信息权益的限缩具有正当性基础,但目的正当性不能豁免手段合法性的要求。数字时代下,人工智能、大数据、区块链等新兴技术在医疗、金融、城市治理等领域的深度应用,既为公共利益实现提供了高效路径——如医疗AI通过分析海量病历数据优化疾病筛查方案、政务大数据平台支撑精准化公共服务,也引发了敏感个人信息过度收集、跨境数据流动风险等新问题;同时,国际交流合作的强化使个人信息保护的公共利益问题呈现跨境属性,不同法域制度差异易导致法律冲突,这些都对平衡路径的构建提出了更高要求。为此,需通过主体法定、原则明确、范围清晰、救济完善等法治手段规制权益限缩行为,构建公私法协同的多元化治理体系,实现个人信息保护与公共利益的动态平衡。
(一) 明确公共利益的界定标准
全面依法治国背景下,公权力与私权利的边界划定是法治建设的核心议题,在个人信息保护领域,其关键在于明确公共利益的界定标准与适用范围。随着互联网、大数据、人工智能等技术在国家治理中的深度应用,政府在行政管理与公共服务过程中收集、存储了海量个人信息,形成具有公共属性的公共数据资源。此类公共数据作为公共产品,其利用应严格限定于公共利益目的,这就迫切需要通过立法明确公共利益的内涵与外延,破解实践中“泛化援引”“任意解释”的乱象。
公共利益作为典型的不确定法律概念,具有高度模糊性与歧义性。麦克哈格教授将公共利益的理论范式归纳为共同利益理论、优势理论与统一理论[11]。笔者认为,公共利益的内涵与特定社会的文化传统、伦理道德、意识形态、政治架构、公共行政及法律制度深度绑定,对其内涵的不同解读本质上反映了不同的价值取向与实践逻辑。把握公共利益的内涵可从以下三个维度展开:其一,公共利益的表现形式兼具抽象性与具体性[12],且具有相对性。公共利益既可以表现为国家安全、社会安全、公共秩序等抽象价值形态,也可以体现为环境卫生、公共资源、基础设施等具体物质形态,但其内容与形式依附于特定时空条件,是特定时期、特定区域内不特定多数人利益权衡的结果,在不同社会阶段呈现不同的时代内涵——如数字时代下,网络空间安全、数据跨境流动秩序已成为公共利益的重要组成部分。其二,公共利益具有不可分性,是关乎人类长远发展的根本利益与整体利益。公共利益并非个人利益的简单叠加,而是超越个体利益、局部利益与短期利益的整体性利益形态,体现了特定范围内社会成员的共同价值认同,例如疫情防控中个人行程信息的合理利用,最终服务于全体社会成员的生命健康安全。其三,公共利益的享有主体具有普遍性、不确定性与非排他性。共享性是公共利益的核心属性,其受益对象并非特定个体或群体,而是不特定多数社会成员,某一主体的受益并不妨碍其他主体同等受益[13]。如城市智慧交通系统对个人出行信息的分析利用,最终惠及全体市民的出行效率提升。
对此,建议采用“内涵界定 + 外延列举 + 兜底条款”的立法模式,通过立法明确公共利益的具体范围:在《个人信息保护法》实施细则中,明确列举国家安全、公共安全、公共卫生、公共秩序、公共服务优化、社会治理、刑事侦查、反恐怖主义等法定情形;同时,针对人工智能医疗、跨境数据共享等新型场景,增设“为应对科技发展引发的公共利益需求”的兜底条款,并授权最高人民法院通过司法解释细化具体适用情形,为司法实践提供明确指引。
(二) 规范多元代表的权责边界
个人信息保护涉及多元主体的利益诉求,需要政府、企业、社会组织与个人形成协同治理合力。对政府而言,其核心职责不仅在于建立健全个人信息保护执法机制、强化监督检查,更在于构建清晰的主体规则,明确公共利益的适格代表主体。长期以来,我国个人信息保护领域存在执法分散、多头监管导致的主体虚化,以及监管真空、监管不力引发的权力边界模糊等问题,饱受学界与实务界诟病。部分公共部门受“官本位”思维影响,过度强调个人的信息提供义务,忽视个人信息权益保护,随意收集、过度采集、违法获取、擅自披露、滥用个人信息等乱象时有发生——如部分地方政务平台强制要求用户授权获取无关的相册、通讯录权限,以“公共服务”之名行数据滥用之实。而在权利救济层面,公民面临举证困难、责任主体不明、投诉举报渠道不畅等现实困境,导致个人信息权益受损后往往选择放弃救济。
从域外立法实践来看,设立统一的个人信息保护机构已成为普遍趋势。欧盟《通用数据保护条例》(General Data Protection Regulation, GDPR)将“有效的专业规制机构”作为“充分性认定”的核心条件,要求各成员国设立专门的数据保护监管机构,德国据此设立个人数据保护联邦委员会,作为独立行使监督、纠纷解决与规则建议职能的专门机构;美国采用行业监管模式,辅以严格的执法机制、威慑机制与社会监督机制,形成多元共治格局;日本于2017年成立个人信息委员会,确立集中监管体制,强化行政监管效能。我国《个人信息保护法》确立了“网信部门统筹协调 + 有关部门各自监管”的监管模式,既平衡了欧盟统一监管模式与美国行业监管模式的利弊,又契合我国行政管理传统,但该模式未突破《网络安全法》的监管框架,未能从根本上解决分散执法、选择性执法、多头执法等问题——如互联网医疗领域,国家卫健委、工信部、网信部门均有监管权限,但出现违规收集患者基因数据的情形时,却因职责划分模糊导致监管缺位。
具体而言,需从三个层面规范政府权责并提出可落地措施:其一,提升行政机关的专业履职能力。建立跨学科的专业人才库,吸纳法律、信息技术、数据安全等领域专家参与监管;要求行政机关在开展公共利益相关的信息处理前,委托第三方机构进行合规评估,重点审查信息收集范围的必要性、处理程序的合法性;在行政公开、行政处罚等行为中,强制对个人信息进行匿名化处理,避免信息泄露。其二,强化对公权力机关的监督制约。建立“阳光执法”机制,要求政府部门公开基于公共利益的个人信息处理情况,包括收集目的、范围、方式、期限等;优化权利救济渠道,在行政诉讼中实行“举证责任倒置”,由行政机关证明其信息处理行为符合公共利益且程序合法;引入第三方专业机构开展年度评估,评估结果向社会公开,作为政府部门绩效考核的重要依据。
(三) 界定司法适用范围与完善监督制度
为破解公共利益规则滥用引发的个人信息保护困境,需从两方面着手:一是合理界定公共利益规则的司法适用范围,推动抽象概念向具体规则转化;二是完善监督制度,建立专门监督机构与全流程监管机制,构建事前预防与事后救济并重的保护体系,回应跨境数据流动、技术创新带来的监管挑战。
1) 合理界定司法适用范围
公共利益概念的模糊性与抽象性,导致其司法适用范围难以直接界定,实践中存在“同案不同判”的现象。对此,可通过两步走策略实现规范落地:第一步,推动公共利益的立法具体化,实现“从宪法到法律”“从法律到法规”的双层转化。在立法层面,完成公共利益从概念到原则、再到具体规则的递进式转化,兼顾实质界定与形式界定,明确适用标准;在行政法规与规章层面,发挥其补缺功能,针对跨境数据流动、人工智能应用等特定场景,制定配套规章予以补充。第二步,基于具体化的立法规则,合理界定司法适用范围。最高人民法院发布指导性案例,明确不同场景下公共利益的认定标准——如城市管理中人脸识别设备的安装使用、公共卫生事件中的信息收集等典型案例;建立案例指导制度,要求各级法院在裁判中参照指导性案例的裁判逻辑,确保司法适用的统一性;在司法解释中明确公共利益规则的适用边界,禁止将部门利益、商业利益变相纳入公共利益范畴,限制自由裁量权的滥用。
2) 建立专门监督机构与司法监督程序
针对我国个人信息保护领域监管主体混乱、监管程序缺失的现状,建立专门监督机构并完善监督程序已刻不容缓。从可行性来看,国内外实践已提供成熟经验:在国际层面,欧盟的独立数据保护监督机构模式、英国的公共利益数据共享协调平台模式,为我国提供了多元参考[14];在国内层面,《深圳经济特区数据条例》已设立数据工作委员会,国家卫健委等部门印发的《“十四五”全民健康信息化规划》提出建设统一权威的全民健康信息平台,为专门监督机构的建立奠定了实践基础[15]。
在设立专门监督机构的基础上,构建事前预防、事中监管、事后救济全流程的保护体系[16]:其一,强化事前预防机制。将预防原则作为公权力应对科技风险的重要手段[17],对涉及公共利益的大规模个人信息处理行为,实行事前备案或审批制度——政府部门需向专门监督机构提交处理方案、风险评估报告、安全保障措施等材料;要求处理主体建立个人信息保护影响评估制度,定期评估处理行为对个人权益的影响,评估结果向监管机构备案;针对跨境数据流动,建立公共利益相关数据出境的特殊审查机制,确保数据出境不损害我国公共利益与公民权益。其二,完善事中监管机制。搭建全国统一的个人信息处理监管平台,对政府部门基于公共利益的信息处理行为实行全程留痕、动态监控;建立跨部门协同监管机制,国家个人信息保护委员会统筹协调网信、工信、公安等部门的监管工作,避免监管真空与重复监管;引入技术监管手段,利用大数据、人工智能等技术对信息处理行为进行合规监测,及时发现过度收集、违规共享等问题。其三,健全事后救济机制。畅通行政复议与行政诉讼渠道,信息主体认为政府部门基于公共利益的信息处理行为侵害其合法权益的,可直接向监管机构申请行政复议,或向人民法院提起行政诉讼;建立公益诉讼制度,赋予检察机关、消费者协会等主体针对公共利益规则滥用、侵害不特定多数人信息权益的行为提起公益诉讼的权利;完善损害赔偿制度,明确政府部门违法处理个人信息的赔偿标准,实行惩罚性赔偿,提高违法成本。
4. 结语
数字时代个人信息利用与公共利益的平衡是法治建设的重要命题,其核心在于通过规范公权力运行、明确权利边界、完善救济机制,破解公共利益界定模糊、主体权责失范、规则适用滞后、监督救济缺位等实践困境。本文立足我国个人信息保护法律体系,提出以“内涵界定 + 外延列举 + 兜底条款”明确公共利益标准、以多元共治规范主体权责、以场景化规则细化知情同意例外、以专门监督与司法协同筑牢制度防线的路径构想,既回应了数字技术发展对传统法律制度的挑战,也契合了权利保障与公益维护的双重价值追求。在数据要素价值日益凸显的背景下,唯有坚持公私法协同、技术与制度并重,构建动态平衡的治理体系,才能实现个人信息权益保护与公共利益的有机统一,为数字经济高质量发展与法治社会建设提供坚实保障。
NOTES
1公益诉讼起诉人重庆市人民检察院第一分院诉被告陈某、刘某椿、谢某良、周某斌公民个人信息保护民事公益诉讼案,重庆市第一中级人民法院民事判决书(2022)渝01民初3551号;公益诉讼起诉人吉林省松原市人民检察院与被告黄某1、黄某2、邓某个人信息保护民事公益诉讼案,吉林省长春铁路运输中级法院民事判决书(2023)吉71民初1号。
2上诉人刘勇、周小伟与被上诉人王利梅相邻关系纠纷案,广东省惠州市中级人民法院民事判决书(2022)粤13民终6171号。
3上诉人江某因与被上诉人滨州神奇大药房有限公司滨城泰山名郡店个人信息保护纠纷案,山东省滨州市中级人民法院民事判决书(2022)鲁16民终1457号。