● 公共利益豁免的實(shí)質(zhì)是法益衡平問題,需借助比例原則辨明豁免的實(shí)體邊界
● 公共利益豁免絕非放任信息處理,而需以技術(shù)性保障彌補(bǔ)同意機(jī)制的缺位
□ 郭爍
個(gè)人信息保護(hù)法第十三條確立的“知情—同意”規(guī)則是個(gè)人信息處理的核心原則����,但該規(guī)則在公共利益場(chǎng)景下的豁免邊界存在模糊性。司法實(shí)踐中���,“公共利益”概念的泛化解釋可能導(dǎo)致信息自決權(quán)被架空�,而過于嚴(yán)格的豁免標(biāo)準(zhǔn)又阻礙數(shù)據(jù)要素在公共治理中的價(jià)值釋放���。筆者通過梳理全球立法從“防御性保護(hù)”向“積極性利用”的演進(jìn)邏輯�,提出以比例原則為標(biāo)尺區(qū)分公益層級(jí)����,并輔以“去標(biāo)識(shí)化”等技術(shù)保障,構(gòu)建“公益豁免”的克制性例外框架��,最終實(shí)現(xiàn)個(gè)人信息權(quán)益與公共利益的動(dòng)態(tài)平衡�����。
如何理解“知情—同意”規(guī)則的公共利益豁免
信息技術(shù)的勃興使個(gè)人信息兼具人格尊嚴(yán)與財(cái)產(chǎn)價(jià)值雙重屬性��,民法典�����、個(gè)人信息保護(hù)法均明確自然人對(duì)其信息的民事權(quán)益��。為保障信息自決權(quán)��,“知情—同意”規(guī)則被置于信息處理合法性基礎(chǔ)的核心地位�����。然而��,大數(shù)據(jù)時(shí)代的信息流通需求與個(gè)體控制權(quán)之間產(chǎn)生深刻張力:海量數(shù)據(jù)的處理若需逐一獲取同意����,將耗費(fèi)巨額經(jīng)濟(jì)與時(shí)間成本,阻礙數(shù)據(jù)在公共決策���、疫情防控等領(lǐng)域的價(jià)值釋放�。對(duì)此���,個(gè)人信息保護(hù)法第十三條第1款第(五)項(xiàng)創(chuàng)設(shè)例外條款——為公共利益實(shí)施新聞報(bào)道����、輿論監(jiān)督等行為,在合理的范圍內(nèi)處理個(gè)人信息�����。
該豁免條款雖旨在調(diào)和個(gè)人信息保護(hù)與公共利益促進(jìn)的矛盾��,但“公共利益”的內(nèi)涵模糊引發(fā)雙重困境:一方面�����,寬松解釋易使豁免范圍無(wú)限擴(kuò)張���,弱化“知情—同意”規(guī)則的基礎(chǔ)性地位���;另一方面,概念不明確導(dǎo)致信息處理者難以作出有效決斷����,甚至因過度謹(jǐn)慎而放棄公益數(shù)據(jù)利用,降低社會(huì)整體福祉����。因此,亟須厘清三個(gè)關(guān)鍵問題:何種層級(jí)的公共利益可突破同意規(guī)則�����;突破的實(shí)體邊界如何界定;豁免后需配套哪些替代性保障機(jī)制����。
公共利益豁免的價(jià)值博弈:個(gè)人信息的“防御性保護(hù)”與“積極性利用”
全球個(gè)人信息保護(hù)立法均經(jīng)歷從“防御性保護(hù)”向“積極性利用”的價(jià)值轉(zhuǎn)型�。早期立法以個(gè)體權(quán)利保障為核心:美國(guó)通過憲法判例將隱私權(quán)納入基本權(quán)利體系,1974年《隱私法案》及后續(xù)行業(yè)立法聚焦限制公權(quán)機(jī)構(gòu)對(duì)個(gè)人信息的干預(yù)����;歐洲則依托《歐洲人權(quán)公約》第8條,將數(shù)據(jù)保護(hù)上升為人的尊嚴(yán)之體現(xiàn)��,1995年《個(gè)人數(shù)據(jù)保護(hù)指令》以“信息控制權(quán)”為基石�,強(qiáng)調(diào)數(shù)據(jù)主體意志不可逾越。此類“防御性保護(hù)”模式旨在構(gòu)筑隱私不受侵犯的防御工事���。
數(shù)字時(shí)代下�����,信息作為土地�、資本外的新型生產(chǎn)要素�����,其在公共衛(wèi)生、城市治理����、科學(xué)研究等公共領(lǐng)域的價(jià)值日益凸顯,政策導(dǎo)向逐步轉(zhuǎn)向“積極性利用”�。2016年通過的歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR)是典型代表:其在延續(xù)數(shù)據(jù)主體權(quán)利的同時(shí),于第6條第1款(e)項(xiàng)明確履行公共利益職責(zé)可豁免同意��,2022年通過的《數(shù)據(jù)治理法案》更進(jìn)一步提出“數(shù)據(jù)利他主義”的概念����,鼓勵(lì)為公益目的共享數(shù)據(jù)。這一轉(zhuǎn)型標(biāo)志著立法重心從“數(shù)據(jù)保護(hù)”邁向“數(shù)據(jù)治理”����,但公益豁免始終被定位為克制性例外。當(dāng)《數(shù)據(jù)治理法案》與GDPR關(guān)于個(gè)人數(shù)據(jù)保護(hù)條款發(fā)生沖突時(shí)�,以GDPR優(yōu)先,公益數(shù)據(jù)處理仍需符合“歐洲數(shù)據(jù)利他主義同意書”等嚴(yán)格保障機(jī)制���?���?梢姡爸椤狻币?guī)則仍是信息處理合法性的基石�,公共利益豁免僅是必要補(bǔ)充,二者不可等量齊觀��。
公益優(yōu)位的解釋學(xué)定向:以比例原則的適用為核心
公共利益豁免的實(shí)質(zhì)是法益衡平問題��,需借助比例原則辨明豁免的實(shí)體邊界�����。核心在于依據(jù)緊迫性與重要性對(duì)“公共利益”進(jìn)行層級(jí)化區(qū)分:第一層級(jí)為“重要的公共利益”��,對(duì)應(yīng)個(gè)人信息保護(hù)法第十三條第1款第(四)項(xiàng)��,涵蓋突發(fā)公共衛(wèi)生事件��、自然災(zāi)害救援等涉及多數(shù)人生命健康危險(xiǎn)的重要且緊迫的場(chǎng)合����。此類豁免因公益優(yōu)位而具有推定合法性����,信息處理者僅需確保手段符合“合法、正當(dāng)��、必要和誠(chéng)信原則”并采取基本保障措施,若涉訴則由信息主體承擔(dān)違反比例原則的舉證責(zé)任�����。
第二層級(jí)為“一般的公共利益”�,對(duì)應(yīng)個(gè)人信息保護(hù)法第十三條第1款第(五)項(xiàng),包括新聞報(bào)道�、科研統(tǒng)計(jì)、公共健康管理等具有公共性但緊迫性較低的場(chǎng)景�����。信息處理者需主動(dòng)證明三重內(nèi)容:一是信息處理為實(shí)現(xiàn)公益目的所不可或缺���;二是所采手段對(duì)信息權(quán)益的侵害最小化�;三是已落實(shí)充分的技術(shù)與組織保障(如“去標(biāo)識(shí)化”)��。證明責(zé)任完全由信息處理者承擔(dān)�,且司法審查需嚴(yán)格遵循目的兼容性檢測(cè)。
第三層級(jí)為普通商業(yè)分析等低于一般的公共利益要求的情形��,此類場(chǎng)景絕不適用豁免�����,必須回歸“知情—同意”規(guī)則。
GDPR的實(shí)踐可資鏡鑒:其將“公共利益”細(xì)化為一般(如就業(yè)保障�、醫(yī)療管理)與重要(如流行病監(jiān)測(cè)、災(zāi)害應(yīng)對(duì))����。前者需通過原始目的與公益目的的關(guān)聯(lián)性、數(shù)據(jù)處理后果預(yù)期等四重檢測(cè)����;后者則因緊迫性自動(dòng)證成合法性。我國(guó)司法應(yīng)通過典型案例細(xì)化“合理范圍”標(biāo)準(zhǔn)�����。例如���,明確輿論監(jiān)督中公開家庭住址、人肉搜索等行為超出必要限度�����,防止公益概念淪為“萬(wàn)能免責(zé)條款”���。
豁免“知情—同意”的替代性保障:以“去識(shí)別化”為例
公共利益豁免絕非放任信息處理�����,而需以技術(shù)性保障彌補(bǔ)同意機(jī)制的缺位�����?����!叭?biāo)識(shí)化”通過切斷信息與主體的可識(shí)別關(guān)聯(lián)����,成為核心替代措施。其法律定位介于可識(shí)別信息與匿名化信息之間:可識(shí)別信息因直接關(guān)聯(lián)特定自然人�����,受“知情—同意”規(guī)則嚴(yán)格約束�����;匿名化信息因不可復(fù)原而脫離個(gè)人信息范疇�����,可自由流通;“去標(biāo)識(shí)化”信息則需借助額外信息方可識(shí)別主體�����,仍屬個(gè)人信息����,但為公益目的可豁免同意,前提是嚴(yán)格遵循比例原則并落實(shí)保障�����。
“去標(biāo)識(shí)化”標(biāo)準(zhǔn)需立足情境動(dòng)態(tài)判定�。美國(guó)《健康保險(xiǎn)流通與責(zé)任法案》采用“安全港”規(guī)則(強(qiáng)制刪除姓名、社保號(hào)等18類標(biāo)識(shí)符)或“專家認(rèn)證”路徑��;歐盟則通過判例確立“合理成本”標(biāo)準(zhǔn)——在Breyer案中����,歐盟法院指出若識(shí)別需要“不成比例的時(shí)間�、成本和人力投資”,則視為風(fēng)險(xiǎn)可控���。北京互聯(lián)網(wǎng)法院發(fā)布的個(gè)人信息保護(hù)典型案例在進(jìn)行“去識(shí)別化”問題的判斷上也體現(xiàn)了情境理論的適用���。未來(lái)立法需要融合“列舉核心標(biāo)識(shí)符”與“典型案例指引”雙軌模式:前者明確身份證號(hào)碼��、生物特征等絕對(duì)敏感信息的去除義務(wù)���;后者通過裁判說(shuō)理闡明動(dòng)態(tài)IP地址、行為軌跡等信息的風(fēng)險(xiǎn)判定方法���。
(原文刊載于《華東政法大學(xué)學(xué)報(bào)》2025年第4期)
法治號(hào)
