顧雷

近年來(lái)，我國(guó)個(gè)人信息安全問(wèn)題頻發(fā)。本文探討在個(gè)人真實(shí)意思表示情況下，如何準(zhǔn)確把握處理個(gè)人信息的合規(guī)要求和范式要求，實(shí)現(xiàn)個(gè)人信息處理目的、處理范圍、處理方式達(dá)成平等互惠的充分合意，禁止過(guò)度使用個(gè)人信息，矯正國(guó)家、個(gè)人信息處理機(jī)構(gòu)與個(gè)人之間的不平等態(tài)勢(shì)，厘清個(gè)人信息處理關(guān)系順位。

近年來(lái)，我國(guó)個(gè)人信息安全問(wèn)題頻發(fā)。2018年上半年支付寶年度賬單默認(rèn)勾選《芝麻服務(wù)協(xié)議》被質(zhì)疑侵犯隱私權(quán)，百度涉嫌侵害消費(fèi)者個(gè)人信息安全被江蘇省消保委提起公益訴訟。下半年又爆發(fā)不少企業(yè)平臺(tái)大規(guī)模數(shù)據(jù)泄露公民個(gè)人身份信息，包括華住酒店集團(tuán)旗下連鎖酒店4.5億條用戶信息被泄露，12306網(wǎng)站480余萬(wàn)條用戶數(shù)據(jù)在網(wǎng)絡(luò)上被販賣，上市公司“數(shù)據(jù)堂”涉嫌侵犯公民個(gè)人信息罪被查，“巧達(dá)科技”非法交易個(gè)人信息多達(dá)2億條，引起社會(huì)廣泛關(guān)注和擔(dān)憂。

值得慶幸的是，我國(guó)立法機(jī)關(guān)十分重視個(gè)人信息保護(hù)法律體系的建設(shè)，《個(gè)人信息保護(hù)法》《數(shù)據(jù)安全法》和《征信業(yè)務(wù)管理辦法》紛紛出臺(tái)，《刑法》（修正案）也補(bǔ)充規(guī)定了侵犯公民個(gè)人信息罪，特別是2021年《民法典》實(shí)行以來(lái)，對(duì)個(gè)人信息保護(hù)進(jìn)一步加強(qiáng)，讓越來(lái)越多不法人員和機(jī)構(gòu)不敢再鋌而走險(xiǎn)。但是，在處理個(gè)人信息過(guò)程中，對(duì)個(gè)人信息合規(guī)處理依然存在理論上的分歧，司法實(shí)踐也有不同判例。因此，如何厘清個(gè)人信息處理關(guān)系順位，解決好處理個(gè)人信息合規(guī)性和范式要求，顯得尤為重要。

個(gè)人信息處理關(guān)系順位合規(guī)要求

從相互關(guān)系上說(shuō)，個(gè)人信息與隱私范圍存在一定交叉重合，即個(gè)人信息保護(hù)客體與隱私權(quán)保護(hù)客體是基本重疊，諸如個(gè)人健康信息、身份證號(hào)碼、銀行卡號(hào)碼等私密信息既是個(gè)人信息載體，又是隱私權(quán)保護(hù)對(duì)象。個(gè)人信息與隱私權(quán)保護(hù)對(duì)象都是人格利益，有著極高相似性。但是，兩者是有區(qū)別的。個(gè)人信息指的是以電子或其他方式記錄的能夠單獨(dú)或者與其他信息相結(jié)合識(shí)別特定自然人的各種信息，核心特征是“識(shí)別性”。而隱私權(quán)保護(hù)的是私人生活安寧、個(gè)人空間以及私人活動(dòng)，這些私人信息不能或不愿意被他人知曉，核心特征是“私密性”。一旦個(gè)人隱私信息被非法獲取或者濫用，極易對(duì)個(gè)人的生活安寧造成侵害。因此，當(dāng)個(gè)人信息與隱私權(quán)重疊時(shí)，對(duì)同屬個(gè)人信息的私密信息應(yīng)該更加重視，需要優(yōu)先適用隱私權(quán)保護(hù)規(guī)則。

在個(gè)人信息和隱私雙重語(yǔ)境下，產(chǎn)生的重合就是根據(jù)對(duì)信息主體產(chǎn)生影響作用大小進(jìn)行的“一對(duì)一”價(jià)值衡量過(guò)程。單一的個(gè)人信息的保護(hù)價(jià)值來(lái)自信息本身的概念性、社會(huì)性內(nèi)涵，而隱私信息表達(dá)出更多的不為人知或不應(yīng)人知的人格性、生物性內(nèi)涵。舉例來(lái)說(shuō)，某人姓名在不結(jié)合其他信息情況下，其被保護(hù)的必要性是弱于“某人是新冠肺炎確診者”這一私密信息的。也就是說(shuō)，單一的、非私密的個(gè)人信息在面對(duì)更為隱私消息時(shí)并沒(méi)有特殊保護(hù)價(jià)值。于是，在處理個(gè)人信息時(shí)首先需要保護(hù)的是個(gè)人隱私權(quán)，然后才是個(gè)人信息，隱私權(quán)優(yōu)于個(gè)人信息等級(jí)，順序不能顛倒，否則就是對(duì)公民隱私權(quán)的另一種無(wú)視和侵犯。

當(dāng)前，我國(guó)個(gè)人隱私權(quán)正在經(jīng)歷著前所未有的挑戰(zhàn)，尤其在抗擊新冠肺炎疫情過(guò)程中，在采集（疑似）患者信息時(shí)，不少醫(yī)療機(jī)構(gòu)，包括私人診所、民營(yíng)醫(yī)療機(jī)構(gòu)以及部分公立醫(yī)院，并不十分重視保護(hù)患者隱私權(quán)，易引發(fā)個(gè)人信息泄露和侵犯?jìng)€(gè)人隱私權(quán)的問(wèn)題。

個(gè)人信息處理正當(dāng)性合規(guī)要求

正當(dāng)性要求為首的合規(guī)要求

目前，世界各國(guó)對(duì)個(gè)人信息處理合規(guī)要求并不統(tǒng)一，主要有以下幾種類型：第一種是信息處理明確原則?！缎畔踩夹g(shù) 個(gè)人信息安全規(guī)范》規(guī)定處理個(gè)人信息時(shí)必須具有清晰、具體的個(gè)人信息處理目的，而不是籠統(tǒng)地處理個(gè)人信息。第二種是信息處理限制原則。經(jīng)濟(jì)合作與發(fā)展組織在《隱私保護(hù)和個(gè)人數(shù)據(jù)跨境流動(dòng)準(zhǔn)則》（1980年）中規(guī)定“個(gè)人數(shù)據(jù)收集的目的應(yīng)當(dāng)在收集時(shí)確定，隨后的使用限制在實(shí)現(xiàn)該目的的必要范圍內(nèi)，或者用于實(shí)現(xiàn)其他與該目的不沖突的目的和每次更改時(shí)確定的目的”。我國(guó)《數(shù)據(jù)安全法》第32條也要求“應(yīng)當(dāng)在法律、行政法規(guī)規(guī)定的目的和范圍內(nèi)收集、使用數(shù)據(jù)”。

實(shí)際上，處理個(gè)人信息明確原則、限制原則之間并不是平行關(guān)系。明確原則是個(gè)人信息處理的前提條件，但僅有明確原則可能導(dǎo)致合規(guī)性虛設(shè)，還需要對(duì)個(gè)人信息處理目的進(jìn)行一定限制，只有禁止為了不正當(dāng)目的處理個(gè)人信息行為，個(gè)人信息處理才具有最高層次合規(guī)要求，才能有效維護(hù)處理個(gè)人信息的正當(dāng)性。

個(gè)人信息處理的特定、明確要求

長(zhǎng)期以來(lái)，我國(guó)對(duì)于個(gè)人信息保護(hù)正當(dāng)原則規(guī)定得比較寬泛。在實(shí)踐中政府部門(mén)、金融機(jī)構(gòu)、非銀金融機(jī)構(gòu)更喜歡用比較模糊或不確定的詞匯來(lái)表述其個(gè)人信息保護(hù)目的，諸如“為了公共利益”“為了金融產(chǎn)品創(chuàng)新需求”以及“為了提升客戶體驗(yàn)度”，等等。在這里，我們不討論背后的動(dòng)機(jī)究竟是什么，但這些寬泛、模糊和宏大抽象的表述容易引發(fā)個(gè)人信息收集范圍過(guò)大、使用場(chǎng)景過(guò)多問(wèn)題，最后導(dǎo)致個(gè)人信息保護(hù)限制性、明確性原則形同虛設(shè)。

從范式要求上看，個(gè)人信息處理目的應(yīng)盡可能特定、明確，目的表述應(yīng)盡可能提供細(xì)節(jié)。例如“公共利益”概念比較模糊，屬于不確定性社會(huì)概念，并不是一個(gè)法律概念，容易被誤用、濫用或惡意使用。如果個(gè)人信息處理目的過(guò)于寬泛、抽象，不僅無(wú)法控制個(gè)人信息處理范圍，也無(wú)法有效指引后續(xù)個(gè)人信息處理活動(dòng)。因此，政府在進(jìn)行個(gè)人信息保護(hù)時(shí)，必須實(shí)現(xiàn)特定、明確的具體公共利益目標(biāo)，不宜同時(shí)設(shè)定多個(gè)處理目的，也不宜以抽象的“為了公共利益”為名而隨意處理個(gè)人信息。

處理個(gè)人信息目標(biāo)要求與標(biāo)準(zhǔn)

第一個(gè)標(biāo)準(zhǔn)：國(guó)家或公共利益

歐盟《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，簡(jiǎn)稱GDPR）將公共衛(wèi)生事項(xiàng)、歷史研究、醫(yī)療健康、公共資料保存披露、人道主義救助以及國(guó)家選舉事項(xiàng)六大類作為社會(huì)公共領(lǐng)域的正當(dāng)性表征。我國(guó)《信息安全技術(shù) 個(gè)人信息安全規(guī)范》也列舉了無(wú)須經(jīng)過(guò)個(gè)人同意的公共利益多個(gè)類型，諸如國(guó)防安全、重大公共利益、公共衛(wèi)生、公共安全、刑事司法等?！秱€(gè)人信息保護(hù)法》第13條和第26條還規(guī)定，鑒于公共利益實(shí)施社會(huì)性新聞報(bào)道、社會(huì)輿論監(jiān)督、網(wǎng)絡(luò)共同宣傳等目的就可以在合理范圍內(nèi)處理個(gè)人信息，諸如在公共場(chǎng)所安裝圖像采集、個(gè)人身份識(shí)別設(shè)備。這使得國(guó)家或公共利益在個(gè)人信息處理范圍上的擴(kuò)張有了法律依據(jù)。

第二個(gè)標(biāo)準(zhǔn)：私人或機(jī)構(gòu)組織利益

在特定情形下，為了私人或機(jī)構(gòu)組織利益，未經(jīng)個(gè)人同意也可進(jìn)行個(gè)人信息處理。第一種情形：為保護(hù)個(gè)人或其他自然人的重大利益。歐盟《通用數(shù)據(jù)保護(hù)條例》第6條規(guī)定：“為保護(hù)數(shù)據(jù)主體或另一自然人的重大利益所必要的數(shù)據(jù)處理?！蔽覈?guó)《個(gè)人信息保護(hù)法》第13條規(guī)定，“為應(yīng)對(duì)突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全所必需”，可以不經(jīng)同意處理個(gè)人信息?！睹穹ǖ洹返?036條也認(rèn)可為了保護(hù)自然人合法權(quán)益而未經(jīng)自然人同意的，可以視為合理利用個(gè)人信息行為，并不需要承擔(dān)民事責(zé)任。

第二種情形：為了順利簽訂或履行特定合同或特定條款，個(gè)人信息處理者不經(jīng)個(gè)人同意，可以在必要限度內(nèi)處理個(gè)人信息。例如《信息安全技術(shù) 個(gè)人信息安全規(guī)范》就規(guī)定，“維護(hù)所提供產(chǎn)品或服務(wù)的安全穩(wěn)定運(yùn)行所必需的，如發(fā)現(xiàn)、處置產(chǎn)品或服務(wù)的故障”，可以未經(jīng)個(gè)人同意處理個(gè)人信息。

第三種情形：為了更好開(kāi)展經(jīng)濟(jì)組織內(nèi)部管理，個(gè)人信息處理者對(duì)其員工或客戶相關(guān)數(shù)據(jù)可以進(jìn)行必要處理。歐盟《通用數(shù)據(jù)保護(hù)條例》第9.2條規(guī)定，為實(shí)現(xiàn)數(shù)據(jù)控制者或數(shù)據(jù)主體在勞動(dòng)、社會(huì)保障以及社會(huì)保障法的范疇內(nèi)履行義務(wù)、實(shí)現(xiàn)特定權(quán)利所必需，可以依法處理數(shù)據(jù)。

值得一提的是，如上所述，雖然在特定情況下未經(jīng)個(gè)人同意也可以進(jìn)行個(gè)人信息處理，并不表明可以隨意處理個(gè)人信息。比如，“第三種情形”所述，盡管基于經(jīng)濟(jì)組織內(nèi)部管理目標(biāo)可以合理處理個(gè)人信息，但不能超越管理權(quán)限，處理個(gè)人信息的正當(dāng)性、合理性要求必須同時(shí)得到滿足。又如，如果被告未經(jīng)同意在微信群公開(kāi)原告的隱私敏感信息，諸如個(gè)人嚴(yán)重疾病、家族遺傳病史、個(gè)人嚴(yán)重刑事犯罪記錄以及個(gè)人婚姻歷史等等，即便因公司內(nèi)部管理需要，但可以視為“超出必要限度”，違反個(gè)人信息處理正當(dāng)性合規(guī)要求，歸為侵害原告隱私權(quán)的不法行為之列。

個(gè)人信息處理目的變更許可

今天，在不同數(shù)據(jù)和信息場(chǎng)景中，很難保持最原始的處理目的。越來(lái)越多的數(shù)據(jù)和個(gè)人信息在處理之初并無(wú)意用作其他用途，最終卻產(chǎn)生了很多意想不到的結(jié)果。因此，在立法上應(yīng)該留出適當(dāng)空間，允許處理個(gè)人信息目的變更，確立合理變更制度，允許個(gè)人信息處理者根據(jù)情勢(shì)適當(dāng)改變?cè)跄康幕蛟黾有碌暮侠砟康摹７駝t，過(guò)度要求個(gè)人信息處理目的特定和唯一，可能妨礙、限制或割裂個(gè)人信息流通，形成一個(gè)個(gè)信息（數(shù)據(jù)）孤島。

當(dāng)然，允許個(gè)人信息處理目的發(fā)生變更有一個(gè)前提條件，就是變更后的目的同原初目的之間應(yīng)具有因果關(guān)聯(lián)性，不能隨心所欲地變化，否則就違背正當(dāng)原則和范式要求。例如，日本在處理個(gè)人信息變更前后目的時(shí)就強(qiáng)調(diào)必須具有“相當(dāng)關(guān)聯(lián)性”。日本《個(gè)人信息保護(hù)法》第15條第2款規(guī)定，“個(gè)人信息處理者變更利用目的的，不得超出一定合理的范圍，變更后的目的應(yīng)與變更前的目的具有相當(dāng)關(guān)聯(lián)性”。歐洲國(guó)家也有類似目的變更的條款，歐盟《通用數(shù)據(jù)保護(hù)條例》（第5條明確規(guī)定：如果后續(xù)數(shù)據(jù)處理基于第89條第1款，是為了實(shí)現(xiàn)公共利益、歷史研究或科學(xué)統(tǒng)計(jì)目的等等，不應(yīng)被視為違背原初目的。也就是說(shuō)，如果變更后的目的與原初目的不存在必然聯(lián)系，超出預(yù)期的，個(gè)人信息處理者就應(yīng)該再次履行告知程序，在獲取個(gè)人二次同意后才可以處理信息。

個(gè)人信息處理必要性合規(guī)要求

個(gè)人信息及時(shí)銷毀問(wèn)題

近年來(lái)，我國(guó)工信部開(kāi)展應(yīng)用程序（application，簡(jiǎn)稱app）侵害用戶權(quán)益專項(xiàng)整治行動(dòng)，截至2021年6月，共完成73萬(wàn)款app的技術(shù)檢測(cè)工作，責(zé)令整改3046款違規(guī)app，下架179款拒不整改的app。雖然治理工作取得了積極成效，但個(gè)人信息處理過(guò)程的及時(shí)銷毀問(wèn)題不容忽視。《歐盟2006/24號(hào)指令》要求留存所有使用電信服務(wù)人的生活習(xí)慣、居住地、日?；蛱厥饣顒?dòng)、社會(huì)關(guān)系的數(shù)據(jù)，在規(guī)定時(shí)間內(nèi)不被留存，統(tǒng)一銷毀處理。

但是，個(gè)人信息及時(shí)銷毀立法在我國(guó)并不健全。未來(lái)，我國(guó)應(yīng)該出臺(tái)實(shí)施細(xì)則加以明確規(guī)定，對(duì)移動(dòng)通信、餐飲外賣、網(wǎng)絡(luò)約車、網(wǎng)上購(gòu)物、郵件快件寄遞、網(wǎng)絡(luò)借貸、交通票務(wù)、醫(yī)療問(wèn)診掛號(hào)、銀行或非銀機(jī)構(gòu)投資理財(cái)?shù)萢pp處理個(gè)人信息時(shí)必須及時(shí)刪除、銷毀，杜絕內(nèi)容無(wú)邊界、收集無(wú)節(jié)制、銷毀無(wú)期限現(xiàn)象，經(jīng)過(guò)匿名化處理后無(wú)法關(guān)聯(lián)到特定個(gè)人且無(wú)法復(fù)原的除外。

個(gè)人信息處理只能造成最小損害

必要原則要求以最小損害的方式處理個(gè)人信息。首先，在處理個(gè)人信息前，根據(jù)個(gè)人信息的類型、處理目的、處理范圍、處理場(chǎng)景，對(duì)個(gè)人信息處理引發(fā)的風(fēng)險(xiǎn)進(jìn)行全面評(píng)估，分析不同處理手段帶來(lái)的損害大小，完成個(gè)人信息保護(hù)的制度性評(píng)價(jià)。歐盟很早就確立了數(shù)據(jù)保護(hù)影響評(píng)估制度（Data Protection Impact Assessment，簡(jiǎn)稱DPIA），防止因?yàn)閿?shù)據(jù)處理行為可能帶給個(gè)人信息安全的不利影響。

2019年5月，美國(guó)舊金山市頒布全球首個(gè)禁止人臉識(shí)別技術(shù)的規(guī)定《反監(jiān)控條例》，禁止當(dāng)?shù)鼐胶推渌畽C(jī)關(guān)使用人臉識(shí)別技術(shù)，以防止公權(quán)力機(jī)關(guān)濫用人臉信息監(jiān)控個(gè)人。2021年10月6日，歐洲議會(huì)通過(guò)決議，呼吁全面禁止基于人工智能（Artificial Intelligence，簡(jiǎn)稱AI）生物識(shí)別技術(shù)的大規(guī)模監(jiān)控，特別禁止警察在公共場(chǎng)所使用面部識(shí)別技術(shù)，逐漸限制在公共場(chǎng)所使用遠(yuǎn)程生物識(shí)別技術(shù)，采取對(duì)個(gè)人權(quán)益影響最小的方式處理個(gè)人信息，以免對(duì)個(gè)人造成不必要的侵權(quán)。

近些年來(lái)，人臉識(shí)別技術(shù)在中國(guó)得到了廣泛運(yùn)用，同時(shí)也引發(fā)濫用和過(guò)度損害的擔(dān)憂。在“中國(guó)人臉識(shí)別第一案”中，原告郭某因其未經(jīng)注冊(cè)人臉識(shí)別將無(wú)法進(jìn)入動(dòng)物園，郭某不愿接受被收集人臉信息要求辦理退卡退費(fèi)被拒而提起訴訟。一審法院經(jīng)審理認(rèn)為，被告收集人臉識(shí)別信息，“超出了必要原則要求”。二審法院認(rèn)為，人臉識(shí)別不當(dāng)使用將給公民的人身、財(cái)產(chǎn)帶來(lái)不可預(yù)測(cè)的風(fēng)險(xiǎn)，最后判決郭某勝訴。

盡管“刷臉”好用，方便商業(yè)活動(dòng)，但很多時(shí)候過(guò)度使用可能會(huì)對(duì)個(gè)人造成過(guò)度損害，涉嫌對(duì)少數(shù)民族、老年人、殘疾人歧視，尤其是過(guò)度使用生物識(shí)別、醫(yī)療健康、金融賬戶、行蹤軌跡等敏感個(gè)人信息帶來(lái)的損害公民基本權(quán)利的風(fēng)險(xiǎn)可能遠(yuǎn)遠(yuǎn)超過(guò)帶給人們生活的便利。顯然，過(guò)度“刷臉”有違最小損害原則。

目前，我國(guó)對(duì)處理個(gè)人信息評(píng)價(jià)體系的立法比較簡(jiǎn)單，未來(lái)立法機(jī)構(gòu)應(yīng)該頒布實(shí)施細(xì)則，對(duì)于利用個(gè)人信息進(jìn)行自動(dòng)化決策、委托第三方機(jī)構(gòu)處理、向第三方提供或公開(kāi)個(gè)人信息、向境外提供個(gè)人信息等均應(yīng)事前評(píng)估，實(shí)現(xiàn)事先有效性評(píng)價(jià)控制。此外，在有效性評(píng)估處理后，比較個(gè)人信息處理不同方案的損害大小，在多種個(gè)人信息處理方式中選擇沒(méi)有損害或最小損害的處理方式，避免對(duì)個(gè)人造成過(guò)度損害。

個(gè)人信息處理具備關(guān)聯(lián)性

個(gè)人信息處理手段與目的之間具有一定合理關(guān)聯(lián)性。如果與原始目的沒(méi)有關(guān)聯(lián)而處理個(gè)人信息，即使是為了追求社會(huì)利益或第三方合法權(quán)益，也不具有法律上的正當(dāng)性。亦如《歐盟2006/24號(hào)指令》規(guī)定的那樣，個(gè)人信息處理同合同履行之間必須具有“密不可分和實(shí)質(zhì)性的聯(lián)系”，以減少合同履行成本或增加商業(yè)利益。

關(guān)聯(lián)性有助于減少不必要、非法的個(gè)人信息的處理方式，保持處理信息行為正當(dāng)性。但是，我國(guó)《個(gè)人信息保護(hù)法》第6條有關(guān)個(gè)人信息處理“應(yīng)當(dāng)與處理目的直接相關(guān)”的規(guī)定，從立法角度有些過(guò)于狹窄。筆者認(rèn)為，關(guān)聯(lián)性不等于直接相關(guān)，間接相關(guān)也應(yīng)該成為處理個(gè)人信息的一種必要性合規(guī)要求。只要沒(méi)有過(guò)度收集個(gè)人信息，在最小范圍內(nèi)處理個(gè)人信息的所有行為都應(yīng)該被視為滿足了關(guān)聯(lián)性要求的合法行為。

處理個(gè)人信息的平衡原則

一是宏觀發(fā)展原則。目前，我國(guó)數(shù)據(jù)黑市、數(shù)據(jù)泄露及數(shù)據(jù)濫用等危害數(shù)據(jù)安全的情況嚴(yán)重，但同時(shí)數(shù)字經(jīng)濟(jì)已成為我國(guó)經(jīng)濟(jì)增長(zhǎng)新引擎，通過(guò)加速數(shù)據(jù)的流動(dòng)而實(shí)現(xiàn)產(chǎn)業(yè)發(fā)展也成為大趨勢(shì)。因此，我們必須在推進(jìn)“數(shù)字化+”“互聯(lián)網(wǎng)+”“智能化+”“標(biāo)準(zhǔn)化+”過(guò)程與商業(yè)價(jià)值、社會(huì)道德和個(gè)人隱私之間尋找到一個(gè)平衡點(diǎn)。

其實(shí)，歐盟早就遇到類似問(wèn)題。歐盟《通用數(shù)據(jù)保護(hù)條例》第1條第3款明確強(qiáng)調(diào)了平衡的重要性，即“個(gè)人數(shù)據(jù)在歐盟境內(nèi)的自由流通不得因?yàn)樵趥€(gè)人數(shù)據(jù)處理過(guò)程中保護(hù)自然人而被限制或禁止”。顯然，歐盟十分注重處理好個(gè)人信息保護(hù)與數(shù)據(jù)流動(dòng)的平衡關(guān)系。為此，我國(guó)對(duì)接GDPR有關(guān)個(gè)人信息保護(hù)與數(shù)字經(jīng)濟(jì)共同發(fā)展模式，樹(shù)立數(shù)據(jù)發(fā)展和信息保護(hù)同等重要觀念，不能為了避免矛盾而搞一個(gè)與世隔絕的“數(shù)據(jù)信息烏托邦”，做到安全風(fēng)險(xiǎn)防范為主、兼顧數(shù)字經(jīng)濟(jì)發(fā)展，強(qiáng)調(diào)“數(shù)據(jù)監(jiān)管+自由市場(chǎng)”雙向數(shù)據(jù)治理模式，絕對(duì)不能出現(xiàn)天平失衡問(wèn)題。

二是微觀均衡原則。處理個(gè)人信息時(shí)必須兼顧收集目標(biāo)實(shí)現(xiàn)和保護(hù)信息主體權(quán)益，實(shí)現(xiàn)個(gè)人、信息機(jī)構(gòu)和國(guó)家三方主體的利益均衡，以免過(guò)度或不必要地使用或處理個(gè)人信息。