文/張鈺欣

公益性利用個人信息保護(hù)的理論困境

1.個人信息控制權(quán)被克減。學(xué)界普遍認(rèn)同，美國學(xué)者沃倫（Wallen）和布蘭代斯（Brandeis）1890年發(fā)表的《論隱私權(quán)》一文是隱私權(quán)保護(hù)的開創(chuàng)之作。該文關(guān)注的是技術(shù)和媒體的侵入性，認(rèn)為應(yīng)保護(hù)個人隱私不被極具事業(yè)心的媒體、攝影師或者任何其他可以記錄和復(fù)制場景（或聲音）的現(xiàn)代設(shè)備持有者所入侵，從而保持獨(dú)處的權(quán)利（the right to be let alone）。隨著社會的發(fā)展，隱私權(quán)的范圍日益擴(kuò)大，美國的隱私權(quán)體系逐漸從防御性的權(quán)利（抵抗外界侵?jǐn)_）轉(zhuǎn)為進(jìn)取性的權(quán)利（信息的自我控制和決定）。隱私作為一種自我控制、自我決策的權(quán)利慢慢成為信息隱私的主流理論。

從隱私權(quán)認(rèn)知到信息隱私理論，個人性（個人控制與決定）都是其理論基石。歐盟《一般數(shù)據(jù)保護(hù)條例》（簡稱GDPR）中也采納了這一觀點(diǎn)，在序言中明確：自然人應(yīng)控制自己的個人數(shù)據(jù)。歐盟委員會也曾明確說明，改革數(shù)據(jù)保護(hù)規(guī)則的目的在于確保人們獲得個人數(shù)據(jù)保護(hù)的權(quán)利在數(shù)字時代仍然有效。個人性這一基礎(chǔ)在面對大數(shù)據(jù)時代私營企業(yè)的商業(yè)入侵時，雖然也存在種種問題，但尚能維持流通與保護(hù)的平衡。然而，在涉及個人信息的公益性利用時，個人對自我信息的控制與決定不可避免被克減，個人既需要無爭議地向管理機(jī)構(gòu)提供各種信息，又無意識地受到各種監(jiān)控與信息披露。

2.與國家安全以及公共記錄博弈的讓步。從國際背景來看，“9·11”事件后，出于加強(qiáng)反恐的需要，美國迅速出臺“愛國者法案”（USA Patriot Act），極大增強(qiáng)了政府收集和審查公民個人信息的權(quán)力。英國也于2016年發(fā)布“調(diào)查權(quán)法”（IPA），通過授予政府全面監(jiān)視權(quán)，推動政府監(jiān)督機(jī)構(gòu)權(quán)力迅速擴(kuò)張。同時，為積極推動網(wǎng)絡(luò)安全建設(shè)，各國政府不斷強(qiáng)化網(wǎng)絡(luò)空間信息監(jiān)管。在此國際背景下，面對個人信息保護(hù)與國家信息安全的利益博弈，個人信息保護(hù)自然需要退居其后。

對政府而言，個人信息的合理收集和使用是必不可少的，因?yàn)槿狈ο鄳?yīng)的信息往往會導(dǎo)致決策失誤。同時，政府活動需要對公眾保持一定的透明度，以便接受公眾監(jiān)督。因此，政府為實(shí)現(xiàn)良好治理，既需要收集使用個人信息，客觀上也需要對個人信息進(jìn)行披露，然而披露的過程中個人信息安全在一定程度上承擔(dān)了風(fēng)險。與此相類似的還有公開上網(wǎng)的裁判文書，雖然對于個人信息的處理有種種限制與規(guī)定，但是現(xiàn)有的技術(shù)手段與網(wǎng)絡(luò)環(huán)境使得相關(guān)個人信息的還原度極高，這就導(dǎo)致了個人信息事實(shí)上的公開披露。

此外，信息管理和公眾信任有時是不對稱的。在美國，聯(lián)邦、州和地方政府一直是私營部門個人信息的主要提供者之一，越來越多的大公司通過將公共記錄中的信息與私營部門收集的信息結(jié)合起來，對幾乎每個公民進(jìn)行檔案管理。但是，在進(jìn)行利益權(quán)衡時，人們普遍認(rèn)為在大數(shù)據(jù)時代相對于個人提供給企業(yè)的各類信息，政府所收集和公開的只占少數(shù)，并且一旦進(jìn)行限制，必然會削弱公眾了解、監(jiān)督和糾正政府不當(dāng)行為的能力，因而在與公共記錄相沖突時，個人信息保護(hù)往往處于被忽視的地位。

3.與執(zhí)法程序以及突發(fā)公共衛(wèi)生事件的沖突。現(xiàn)實(shí)中無論是民事執(zhí)法還是刑事執(zhí)法，都依賴于信息，個人信息的收集對于執(zhí)法程序的有序進(jìn)展是非常重要的。例如，在刑事偵查階段，偵查機(jī)關(guān)就需要采取一定的技術(shù)手段以獲取偵查和起訴的必要信息。域外法律實(shí)踐中，個人信息的收集往往適用于執(zhí)法程序。不僅如此，隨著數(shù)字技術(shù)的發(fā)展，未來個人信息的收集和使用還可能體現(xiàn)在更多方面，例如，利用人臉識別系統(tǒng)來輔助定位犯罪嫌疑人。此時，個人有必要讓渡自己的部分信息用以保障執(zhí)法程序的有序開展。

多份立法文件中，突發(fā)公共衛(wèi)生事件也被列為個人信息處理的豁免條款。即使被稱為“史上最嚴(yán)數(shù)據(jù)保護(hù)條例”的歐盟GDPR也在第6條中規(guī)定了個人信息處理的合法性要件，給予突發(fā)公共衛(wèi)生事件中信息處理者豁免權(quán)。在全球應(yīng)對新冠肺炎疫情防控中，蘋果與谷歌就曾聯(lián)合聲明使用新的軟件框架，以實(shí)現(xiàn)對確診病例及密切接觸者的追蹤。雖然理論界一直在呼吁加強(qiáng)突發(fā)公共衛(wèi)生事件中個人權(quán)利的保護(hù)力度，然而目前在面對突發(fā)的公共衛(wèi)生事件時，個人信息的保護(hù)仍處于相對弱勢的地位。

公益性利用個人信息保護(hù)的現(xiàn)實(shí)困境

1.法律環(huán)境與傳統(tǒng)的忽視。個人信息或者隱私作為一種重要法益，與其他權(quán)益一樣，是一種文化的縮影，因而在不同的國家中，體現(xiàn)出不同的權(quán)重。在美國和歐洲，存在著兩種不同的隱私文化，并產(chǎn)生了兩種截然不同的隱私法律（James Q.Whitman,2004）。美國法律對于隱私與信息的保護(hù)偏重于對外界尤其是政府的防御。而歐洲大陸的信息及隱私保護(hù)更多體現(xiàn)了維護(hù)個人尊嚴(yán)和控制他人對于自己公眾形象的社會評價。涉及個人信息，歐洲公民更相信政府而非私營企業(yè)。而在亞洲，公眾對政府的信任更加明顯。在亞洲的傳統(tǒng)文化中，個人權(quán)利本身具有獨(dú)特的謙抑性。法律環(huán)境與傳統(tǒng)導(dǎo)致個人信息公益性利用的保護(hù)長期處于被忽視的地位，且隨著國際關(guān)系日趨緊張及各國數(shù)據(jù)主權(quán)加強(qiáng)，這種忽視一定程度上只會加劇而非消減，這也與上文所提到的理論困境不無關(guān)系。

2.技術(shù)的進(jìn)步導(dǎo)致保護(hù)手段的失效。近年來，技術(shù)的飛速進(jìn)步對信息保護(hù)手段造成了極大沖擊，比較典型的是匿名化信賴被打破。信息的利用與保護(hù)是一對不能回避的矛盾，在法律實(shí)踐中，匿名化往往被明確為一項(xiàng)政策目標(biāo)，通常被作為免責(zé)條款以平衡數(shù)據(jù)的收集、利用與保護(hù)。1995年歐盟制定的《數(shù)據(jù)保護(hù)指令》（簡稱1995指令）中規(guī)定：“……保護(hù)原則不適用于以使數(shù)據(jù)主體不再可識別的方式匿名化提供的數(shù)據(jù)……”最新的GDPR中也重申了不適用于匿名數(shù)據(jù)。匿名化的規(guī)定體現(xiàn)了政策制定者對于平衡信息利用與保護(hù)所作的努力。理想狀態(tài)下匿名化既能切斷數(shù)據(jù)與信息主體間的聯(lián)系、實(shí)現(xiàn)個人信息的有效保護(hù)，又不妨礙數(shù)據(jù)后續(xù)的流通與處理。然而現(xiàn)實(shí)是，數(shù)據(jù)分析越來越復(fù)雜，匿名的數(shù)據(jù)有可能被重建以揭示信息主體的身份，因而匿名化并不能為保護(hù)個人信息帶來理想效果，其不應(yīng)再被視為有意義的隱私保障。

3.救濟(jì)手段的不足。目前，幾乎所有類型的個人信息在被侵害時，都存在著舉證困難、訴訟成本高等問題，涉及公益性利用的個人信息尤其如此。為此，各國都在嘗試通過賦予個人更優(yōu)勢的訴訟地位以加強(qiáng)其權(quán)益保護(hù)。例如，德國《聯(lián)邦數(shù)據(jù)保護(hù)法》中就對公共機(jī)構(gòu)自動處理數(shù)據(jù)規(guī)定了無過錯責(zé)任的歸責(zé)原則，歐盟1995指令以及GDPR中對于個人數(shù)據(jù)的處理也都采用無過錯責(zé)任原則。然而，政策制定者的此種努力不足以彌補(bǔ)個人與信息控制者間懸殊的力量差異。公民個人通常既無能力也無動力主張自己的權(quán)益，其結(jié)果是個人被迫提供個人信息以進(jìn)行公益性利用，同時缺乏個人信息保護(hù)能力。只有完成從以文件為基礎(chǔ)、形式主義的要求向?qū)嵺`中遵守、協(xié)調(diào)法律和賦予個人權(quán)利的轉(zhuǎn)變，公益性利用個人信息的保護(hù)才能得以完善。

公益性利用個人信息的保護(hù)途徑

1.頂層設(shè)計應(yīng)更好地平衡公私利益。公益性利用個人信息，其性質(zhì)就決定了自發(fā)性規(guī)制作用是有限的，需要加強(qiáng)頂層設(shè)計。在進(jìn)行制度設(shè)計時，應(yīng)深入分析個人信息保護(hù)的價值基礎(chǔ)以及合理利用的界限問題，既要充分發(fā)揮公益性個人信息在公共管理、科學(xué)研究等方面的能動性，又要確保信息在合理范圍之內(nèi)使用、信息主體的權(quán)益不發(fā)生貶損。有著“法治中國建設(shè)里程碑”意義的民法典，第1036條第（三）項(xiàng)中就將維護(hù)公共利益處理個人信息規(guī)定為合規(guī)的豁免方式?！吨腥A人民共和國個人信息保護(hù)法（草案）》（以下簡稱《草案》，該草案于2021年8月20日正式通過，該文涉及的條款無變動），第13條也對突發(fā)公共衛(wèi)生事件、為公共利益實(shí)施行為時個人信息處理者處理個人信息予以認(rèn)可。不過，依然需要政策制定者系統(tǒng)地梳理個人信息保護(hù)與其他公共利益之間的關(guān)系，深入了解個人信息保護(hù)的內(nèi)在張力，對裁量的界限、手段的適合性提供進(jìn)一步的法律解釋。

2.明確信息利用機(jī)關(guān)應(yīng)有更高的注意義務(wù)、更嚴(yán)格的責(zé)任。過分強(qiáng)調(diào)公益性利用的保護(hù)會大幅度提高合規(guī)成本，從而降低個人信息在公共安全、科學(xué)研究、醫(yī)療發(fā)展方面的巨大價值。然而與私營企業(yè)商業(yè)利用不同，公益性利用個人信息的收集并非基于信息主體為換取便捷服務(wù)而讓渡自身利益，而更多地體現(xiàn)在信息主體對于信息利用機(jī)關(guān)的信任，如果不能加強(qiáng)公益性利用個人信息的保護(hù)，則會傷害到公眾對于政府等有關(guān)部門的信任。以中國為例，《草案》對國家機(jī)關(guān)履職過程中處理個人信息保護(hù)作出了專門規(guī)定，第二章第三節(jié)“國家機(jī)關(guān)處理個人信息的特別規(guī)定”中體現(xiàn)了合理原則、比例原則、一般情況下的告知同意原則及保密原則，同時規(guī)定對跨境信息應(yīng)當(dāng)進(jìn)行風(fēng)險評估。

3.深入思考設(shè)立獨(dú)立監(jiān)督機(jī)構(gòu)的必要性。設(shè)立獨(dú)立監(jiān)督機(jī)構(gòu)最大的優(yōu)勢在于其專業(yè)性，信息持有者、使用者往往不能合理評估信息使用、流通中存在的風(fēng)險，而單獨(dú)的監(jiān)督機(jī)構(gòu)可以提供專業(yè)的專家意見，作出合理指導(dǎo)，同時監(jiān)察可能影響個人信息保護(hù)的新技術(shù)?！恫莅浮分袑⒙男袀€人信息保護(hù)職責(zé)的部門規(guī)定為國家網(wǎng)信部門、國務(wù)院有關(guān)部門以及縣級以上地方人民政府有關(guān)部門，而《深圳經(jīng)濟(jì)特區(qū)數(shù)據(jù)條例（征求意見稿）》中率先提出設(shè)立數(shù)據(jù)工作（監(jiān)督）委員會，以監(jiān)督并協(xié)調(diào)決策重大事項(xiàng)。筆者認(rèn)為，作為獨(dú)立的監(jiān)督機(jī)構(gòu)，數(shù)據(jù)監(jiān)督委員會更符合個人信息保護(hù)的專業(yè)性要求。