个人信息保护的公共利益考量

个人信息保护的公共利益考量

随着网络安全法、民法典、数据安全法

特别是个人信息保护法的陆续出台，我国个

人信息保护法律体系逐步建立健全，个人信

息保护法治建设从以立法为中心阶段迈向以

法律适用为中心阶段。然而，大数据时代的

个人信息保护已经突破了传统公私二元立法

模式，面临着数据利用和信息安全的两难窘

境。尤其是，在维护国家安全、保障公共健

康、打击违法犯罪等方面，公共利益成为限

制个人信息权益的法定理由，如此一来，公

权力机关有可能异化为侵犯个人信息权益的

“多发地”。换言之，个人信息保护不仅涉

及个人利益、企业利益，而且涉及社会利益、

国家利益，与公共安全、国家安全等密切相

关。因此，如何在信息保护与数据共享之间

实现平衡，如何在个人利益与公共利益之间

保持适度张力，需要理论界、实务界和立法

界深思。公共利益不仅为相关主体收集、利

用和处理个人信息提供了合法依据，而且也

为限制个人信息权益提供了明确边界。所以，

探讨个人信息权益与公共利益之间的关系具

有双重价值考量：公共利益为什么能够限缩

个人信息权益以及在多大范围内限缩个人信

息权益。基于此，笔者以突发公共卫生事件

为视角对个人信息保护的公共利益边界进行

研究，并从以下三个角度渐次展开：一是从

实证主义出发，反思公共利益限制个人信息

权益的悖论，探讨个人信息保护中的利益平

衡；二是从法教义学出发，梳理我国个人信

息立法中与公共利益相关条款，探讨其背后

的学理依据；三是从制度创新角度，探讨公

共利益在限制个人信息时应当坚持的基本原

则及规则体系，从而对我国个人信息保护法

治建设有所裨益。

一、个人信息保护的现实困境

在互联网时代向大数据时代迈进过程中，

我国个人信息保护立法面临两难选择：一方面,

加强个人信息保护已成为全面推进依法治国

的必然要求，尤其是随着大数据应用场景的不

断拓展以及数字贸易规则的不断探索，公众对

个人信息保护的呼声愈发强烈，“个人信息安

全焦虑”亟待纾解。另一方面，发展数字经济

成为我国重要战略，大数据产业链条不断延展,

新经济业态不断涌现，迫切需要通过数据运用

促进产业转型、提升政务效能、助力公共服务。

从现实情况看，我国个人信息保护面临着个人

利益、企业利益、公共利益等多种利益形态复

杂交织的现实图景。

（一）个人利益：个人信息保护的逻辑起

点

“人们奋斗所争取的一切，都同他们的利

益有关。”法律作为重要的利益调节器，以分

配、确认、保护利益为旨归，并主要体现在法

律条款的创设和法律规范的表达方面。“法律

是社会中各种利益冲突的表现，是人们对各种

冲突的利益进行评价后制定出来的，实际上是

利益的安排和平衡。”个人信息保护首先涉及

的是个人利益，维护个人利益是个人信息保护

的逻辑起点。

自然人是个人信息保护法律关系中的首要

主体，其关于个人信息的人格利益诉求是个

人信息保护立法的基本出发点。虽然法人以

及非法人组织依法可以享有商誉、名誉等一

定的人格权益，但从严格意义上而言，个人

信息所蕴含的人格权益应当由自然人独享。

甚至有学者认为：“法律对个人信息加以保

护，本质上是保护人格利益（人的尊严和自

由），而自然人对其个人信息，无论单一的

还是集合的，其直接经济价值都是可以忽略

不计的。”譬如，在疫情防控等突发公共卫

生事件应对中，家庭住址、身份证号、手机

号码、活动轨迹、健康医疗信息等个人信息

均具有“可识别性”，与自然人的人格尊严

和安全密切相关，受到包括刑事保护在内的

多元化法律措施严格保护。需要讨论的是，

个人信息保护是否还涉及其他主体利益以及

这些利益形态彼此之间是何种关系。

（二）公共利益：个人信息保护的考量因

素

个人信息具有多种价值属性，蕴含多种

利益诉求。从利益相关者理论出发，“任何

影响组织目标实现或者受组织目标实现影响

的个人或群体”都是利益相关者。具体到个

人信息保护领域，自然人、企业、社会公众、

政府部门等个人信息的拥有者、受益者、收

集者、处理者，或主动或被动参与个人信息

保护中的主体都可以视为个人信息保护利益

相关者。

争论在于，企业、社会组织、政府等对个

人信息大量的收集、加工后的数据是否享有

权利以及享有什么权利？当前，数据已经与

资本、技术、土地、劳动等一并成为重要的

生产要素和稀缺资源，但由此引发了个人信

息权属争议，即个人信息权益是归个人信息

指向的自然人所有还是归信息收集利用者所

有？前者事关自然人的人格利益，后者事关

信息产业发展和社会公共利益。我国民法典

第127条承继了民法总则第127条之规定，

确立了个人信息和数据二元保护体系，即经

过匿名化（去个人化和去可识别化）处理的

个人信息所形成的（大）数据，可以成为财

产权益的客体而被法人或非法人组织享有。

现代社会建立在大量个人信息基础上的大数

据，无论是对于企业发展、行业进步还是对

于社会治理、国家管理而言，都具有重要意

义。这些数据信息的所有权应当归收集者所

有，属于个人信息所衍生出的企业利益、国

家利益、公共利益。“个人信息衍生出来的

社会公共利益，主要是社会治理方面的利益，

更不直接归属于个人而为国家或社会所享

有。”譬如，通过大数据处理，可以有效地

防控疫情、打击犯罪、预警危机等等，这也

正是个人信息的公共管理价值所在。

个人信息与国家利益密切相关，国家也是

个人信息保护中重要的利益单元。一方面，

收集、处理和利用个人信息是现代国家进行

行政管理、提供公共服务的普遍做法。譬如，

在疫情防控等突发公共卫生事件应对中，个

人的生物识别信息、行踪轨迹信息、特定身

份信息等为人群关联分析和疫情风险预测提

供了重要参考依据，利用大数据统计个人出

行记录、医疗信息等对分析疫情的性质、原

因、范围、发生地以及采取相应防控措施都

具有直接作用，收集和处理的公民个人信息

具有个人权利自由与社会公共安全的复合法

益属性。另一方面，某些个人信息事关国家

安全等重大利益，尤其是对于个人敏感信息

以及特别脆弱群体的个人信息保护，已经超

越个体层面而具有特殊的公共利益价值。个

人信息保护中的儿童信息、跨境流动、生物

信息等与国家安全、民族利益等密切相关。

因此，现代国家往往从数据主权的高度对个

人信息进行保护，限制本国国民个人信息传

输流动，防止因个人信息泄露带来的国家安

全隐患。譬如，对于未成年个人信息进行特

殊保护是国内外立法的普遍做法。欧盟通用

数据保护条例明确规定儿童的个人数据需要

特殊保护，我国香港地区2013年个人资料

（隐私）保护条例强化和细化了未成年人等

弱势群体信息保护措施。我国2016年网络安

全法第13条特别规定了未成年人信息保护

问题，2019年儿童个人信息网络保护规定则

专门规定了未满14周岁未成年人个人信息

安全问题。

个人信息保护也涉及社会不特定多数人的

利益，社会公众是个人信息保护中另一重要

的利益主体。在疫情防控等突发公共卫生事

件应对中，如果防控不力可能导致更多社会

公众的生命健康处于危险状态，社会公众对

他人与疫情有关的个人信息享有一定的知情

权。国家收集相关疫情信息并向社会公布是

满足社会公众知情权的需要，也是一个国家

公共治理水平的体现。从这个角度看，知情

权作为一种公民重要的程序性权利，本身就

是一种公共利益。当然，个人的医疗健康信

息也具有重大的科研价值，有利于一国医药

事业的发展，这也是个人信息保护中的公共

属性和社会价值。所以，“个人信息不仅关

涉个人利益，而且关涉他人和整个社会利益，

个人信息具有公共性和社会性”。个人信息

尤其是病理信息、基因信息等个人医疗健康

信息，具有重要医疗研究价值，对于国家维

护公共健康意义重大，也具有重要国家治理

价值，对于保护国家安全利益意义重大。

总之，大数据时代的个人信息具有典型的

复合法益性质，不仅涉及自然人的个体法益，

而且涉及社会公众、国家等集体法益，表现

为公众健康、国家安全、网络空间秩序等。

个人信息保护问题复杂，关涉不同利益主体、

不同立场、不同诉求，不仅有技术问题，而

且有法律问题，还蕴含商业模式和经济发展

问题。

（三）利益冲突：个人信息保护的复杂图

景

在个人信息保护中，存在个人、企业、国

家、社会公众等利益相关者，这些不同的社

会主体的利益诉求并不完全相同，时而重叠、

时而冲突。概言之，个人从自身利益出发，

希望对其信息权益进行全方位甚至是绝对化

的保护，限制他人收集和处理其个人信息。

企业从商业利益角度出发，希望最大化的收

集和处理个人信息。国家则面临两种价值取

向：一是保护个人信息权益的天然职责和义

务；二是为了国家利益和公共利益收集和处

理个人信息的客观需要。

个人利益与公共利益在根本上具有一致性,

这不仅体现在两者的产生具有同源性方面，

而且体现在两者的目的具有一致性、两者的

过程具有可转化性等方面。从理论上来说，

公共利益根源个人利益并蕴含个人利益之中，

两者不应当发生冲突。然而，现实中，公共

利益与个人利益也存在着冲突甚至是尖锐的

矛盾。公共利益与个人利益毕竟是两种不同

的独立的利益形态，两者在语义上、特征上、

主体上、层次上、运作方式上等方面都极为

不同，这是其一。从某种程度上讲，两者属

于此消彼长的关系。公共利益通常来源个人

利益，公共利益的增进通常要以限制、减损

乃至剥夺个人利益为条件，两者往往处于矛

盾或对立之中。这种关系若处理不当，公共

利益有可能沦为缩减个人利益的借口，成为

侵犯个人利益的“危险源”。个人为了自身

利益的最大化也可能侵犯公共利益。现代法

律普遍把公共利益作为限制个人利益的理由

之一，我国台湾地区学者陈新民把这些条款

称为消极性条款。值得注意的是，正是由于

公共利益是个人行使权利、追求利益时不能

超越的外部界限，才导致现实生活中公共利

益限制功能的滥用，而忽视公共利益的保障

功能，加剧了公共利益与个人利益的对立。

具体到个人信息保护领域，一方面，公共

利益会对个人信息权益造成一定限缩。在传

统社会，主要采取隐私权的方式对个人信息

权益进行保护，即通过民法制度注重个人隐

私所蕴含的人格尊严和人格自由价值，并采

取绝对化的保护方式，从而保障个人信息权

益免受他人侵犯。然而，到了信息社会，个

人信息利益主体日益多样，利益关系日益复

杂，个人信息所蕴含的经济利益和社会价值

日益凸显，对个人信息资源的利用成为不可

逆的发展趋势。在这一时代背景下，个人信

息、数据与隐私相分离，并采取与隐私迥然

相异的保护进路。尤其是在大数据技术成为

政府进行国家管理和社会治理的重要手段后,

基于公共利益考量，国家不再仅仅承担个人

信息保护者的角色，而同时成为个人信息的

收集者和处理者，即采取个人信息保护和利

用并重的政策取向。如此一来，必然会造成

个人信息权益与公共利益的冲突。实际上，

世界各国都普遍规定，出于疫情防控、人口

普查、打击犯罪等重大利益，可以对公民享

有的个人信息权进行限缩。另一方面，个人

信息权益与社会公众知情权的冲突。知情权

作为宪法规定的一项基本权利，要求政府公

开相关信息，即使涉及个人隐私但如果对公

共利益造成重大影响也应当公开。这就必然

导致个人信息权与社会公众知情权之间的冲

突。譬如，在疫情防控等突发公共卫生事件

应对中，政府部门面临着个人信息知情同意

权与社会公众知情权保护、个人信息安全与

公共健康之间的冲突问题。

与疫情有关的个人信息是国家疫情防控数

据的来源，出于公共健康、社会稳定、国家

安全等需要，政府及其卫生、疾控等部门以

及医疗机构可以不经个人“知情同意”而收

集这些个人信息。社会公众有权要求政府有

关部门收集并发布与疫情有关的个人信息，

包括确诊患者、疑似患者和密切接触者的相

关信息，而个人不能以个人信息保护为由不

予提供或不予配合。因此，为了疫情防控需

要，公民个人必要时需要让渡自己的个人信

息权益，作为疫情公共信息而由政府部门收

集、使用甚至向社会公众公开，这也是个人

承担公共安全保障义务的要求和体现。所以，

大数据时代的个人信息保护，不是以单向的

维护个人信息权益为唯一追求，而是要将相

关主体的复杂利益纳入综合考量，从而在这

些异质利益之间的博弈中达到平衡。

（四）救济不力：个人信息保护的司法困

境

当前，我国当前个人信息保护救济机制呈

现出“重追责轻管理”“刑先民（行）后”

“重刑轻民（行）”等特点，存在个人信息

权益保护面临实体法保护乏力的立法困境、

政府部门监督制约机制阙如的执法困境以及

民事诉讼作用难以有效发挥的司法困境。个

人信息司法保护的突出问题，一方面表现为

个人信息侵权行为具有的行为分散、成本低、

维权难导致司法实践中侵犯主体认定难、取

证举证难、侵权责任认定难等司法救助机制

不完善问题；另一方面表现为政府机构滥用

“公共利益”而侵犯个人信息权益但缺乏监

督和救济问题。对于国家机关等承担行政职

能的法定机构而言，其收集和处理个人信息

不同于自然人、企业、社会组织等其他社会

主体，是基于法定职责和公共利益需要，其

行为具有强制性。一旦滥用这种公权力，给

信息主体造成的威胁或危害更大，因此，需

要更强更完善的监督制度和责任制度。

二、公共利益限制个人信息权益的法理基础

“法益论有两个思考方向：一是往理念、

价值性方向思考，二是往事实性、因果性方向

把握。”个人信息保护中，为何受到公共利益

的限制？其法律依据是什么？这种限制本身

有无限制或边界？需要梳理个人信息保护立

法中的公共利益条款，并进一步分析制度设计

背后的利益考量。

（一）法律依据：公共利益限制个人信息

权益的立法表达

随着我国经济的发展、改革的深入，利益

主体多元化、利益形态多样化、利益关系复杂

化趋势明显，“公共利益”越来越多地出现在

法律条文中，甚至推动了法律本位的递进，即

从以国家利益为本位到以个人利益为本位再

到以公共利益为本位。通过梳理归纳公共利益

立法条款，大致可以分为目的性总则条款、特

定义务条款、法律责任条款、法律适用保留条

款、特定授权条款等几类。其中，特定授权条

款是最为常见条款，即明确将公共利益作为限

制、克减甚至褫夺个人财产（利益）的理由。

譬如，宪法第10条规定：“国家为了公共利

益的需要，可以依照法律规定对土地实行征收

或者征用并给予补偿。”民法典第243条也有

类似规定。可以说，法律普遍将公共利益作为

限制个人利益的合法条件。

就个人信息保护立法而言，亦存在诸多公

共利益条款。这些条款或者将公共利益视为

民事责任免责的事由之一，譬如民法典第

1036条；或将公共利益视为法律特殊保护的

对象，譬如网络安全法第31条、数据安全法

第2条、个人信息保护法第10条；或将公共

利益视为处理个人信息的法定情形，譬如个

人信息保护法第13条；或将公共利益视为个

人信息跨境流动的禁止事项，譬如个人信息

保护法第42条。

上述个人信息保护立法中的公共利益条款

大致可以分为两类：一类是公共利益特殊保

护条款，根据这些条款，任何组织、个人不

得从事危害公共利益的个人信息处理活动；

另一类是公共利益责任豁免条款，根据这些

条款，个人信息控制者根据法律规定可以无

需征得信息主体的授权同意而处理其个人信

息并不承担法律责任。民法典在第1036条规

定了3种处理个人信息而可以不承担民事责

任的情形，而其中第三种情形就包括为维护

“公共利益”合理实施的其他行为。在大数

据时代，由于知情同意机制的局限性，这种

责任豁免具有更广泛的适用意义。个人信息

保护法借鉴了欧盟GDPR的相关规定，在第

13条规定了7种可以处理个人信息的合法性

事由，其中有两种情形与“公共利益”直接

相关，即第四项和第五项，有两种情形与“公

共利益”间接相关，即第三项和第七项。

整体而言，民法典首先通过隐私权、个人

信息权益等方式保护个人信息，然后通过个

人信息收集和处理以及数据权益等方式体现

个人信息保护的例外。个人信息保护法承继

了这一立法理念，在确立个人信息私益保护

基本原则的同时，也规定了国家机关在“为

维护国家安全、公共安全或增进社会公共利

益”时，可以收集、处理或利用个人信息。

这彰显出个人信息的多元价值及其立法诉求

----有序共享-----主张维护个人信息权益的

同时发挥个人信息的社会公共价值。

（二）价值位阶：公共利益限制个人信息

权益的正当性基础

如果说个人信息立法为公共利益限制个人

信息权益提供了合法性基础，那么，就需要进

一步分析这一立法背后的价值考量，即公共利

益限制个人信息权益的正当性基础。这涉及个

人利益与公共利益乃至个人与社会之间的关

系问题。个人信息保护中利益主体众多，利益

冲突情境复杂，利益衡量因素多元。公共利益

限缩个人信息权益的根基在于在利益价值位

阶中，公共利益处于相对优先位置。

在现代文明社会，普遍认为当公共利益与

个人利益发生冲突时具有优先价值。公共利

益与个人利益是两种不同的独立利益单元，

代表着不同的价值取向，当两者发生冲突的

时候，如何取舍？传统上，坚持公共利益本

位，即公共利益具有至高无上的地位。“公

共利益在形成过程中，过滤掉了个人利益中

的任意性、偶然性和特殊性的因素，同时又

综合、放大了其中的合理性、必然性和普遍

性的成分，使某种普遍合理的利益得以生成

和延续。”在法律适用中需要对自由、权利、

公平、秩序等利益价值进行衡量，并在利益

诉求发生冲突时以高位阶利益为优先，这已

是法律共识。实际上，无论是欧盟GDPR抑或

是美国2018年加州消费者隐私法案，还是其

他国家个人信息保护立法，都未将个人信息

权益作为绝对的优先项，更毋宁说唯一选项

T;而是将个人信息置于特定场景中考虑各

方利益并进行综合平衡。相反，在疫情防控

等突发公共卫生事件应对中，坚持公共利益

优先，适当地突破个人信息保护屏障，是世

界各国的普遍做法。譬如，我国传染病防治

法、突发事件应对法、突发公共卫生事件应

急条例等法律法规，都规定了行政机关有权

收集和使用个人信息，亦规定了公民配合行

政应急权的义务，包括信息报告义务，从而

便于行政机关及时、准确、充分地掌握突发

事件相关情况。

归根结底，公共利益与个人利益的关系问

题属于价值衡量问题。正如德国著名法学家

拉伦茨所言，法官于个案中进行的利益衡量

不过是根据个案具体情况赋予不同法益不同

的“重要性”。与个人利益相比，公共利益

具有相对优位性，这是限制个人信息权益的

理由。个人信息保护不仅涉及个人的合法权

益即个人利益，而且涉及国家安全、公众健

康、经济发展等不特定多数人的合法权益即

公共利益。根据公共利益相对优位的基本法

理，不难得出为了公共利益可以适当限制个

人信息权益的结论。从实际来看，行政机关

限缩个人信息权益通常是为了应对突发事件

等紧急情况，符合行政应急原则。公共行政

以维护和增进公共利益为旨归，在疫情防控

等突发公共卫生事件应对中，行政机关为了

公共利益可以采取包括限制个人信息权益在

内的行政应急措施，以及时控制和消除突发

事件带来的危害。换言之，由于突发公共卫

生事件的紧急性、公共性、危害性等特点，

决定了国家公权力可以合理扩张，及时启动

应急处置程序，采取应急处置措施。与此相

对应，公民私权利应当限缩或者克减，并对

行政机关采取的防控措施负有容忍和服从义

务。

更何况，大数据时代，个人信息已经超越

了传统社会隐私的范畴而具有双重属性，其

公共产品特征日趋明显。我们虽然不赞同隐

私具有公共属性和经济价值的观点，但认为

个人信息与公共利益密切相关，具有一定的

财产价值。当今社会，个人信息权益的排他

性被极大弱化，自然人等个体对其信息权益

的支配性也大大降低。与此相对应，个人信

息的公共性逐步增强，个人信息所蕴含的公

共利益价值日益凸显。譬如，在疫情防控等

突发公共卫生事件应对中，生命健康权具有

基本权利属性，具有价值衡量中的优先地位，

尤其是公众的生命健康权属于更大的公平与

正义。每个人都有公共卫生安全保障的法定

义务和责任，为了不特定多数人的生命健康，

个人隐私信息权利受到一定限制，国家相关

部门根据疫情防控需要可以收集和处理公民

个人信息，此时个人利益不可避免地要让渡

给公共利益。

（三）利益平衡：大数据时代个人信息权

益保护的应然追求

合理适度是科学立法的题中应有之义，个

人信息保护时利益衡量必不可少。“简单化

的利益位阶排序，不能为冲突关系的解决提

供最终答案”“应当是在考量不同情境的基

础上，对各异质利益的利益本质及其冲突关

系解释与调和，以实现紧张关系的缓和乃至

消解。”健全的个人信息保护法律制度，尤

其要考虑到合理适度，既要避免法律缺失、

信息被滥用也要避免防护过度，从而在个人

利益与公共利益之间达到某种平衡。问题在

于，如何判断在个人信息保护的框架下是否

达到了利益平衡？笔者认为，应当坚持以下

基本立场：公共利益具有相对优位性，即公

共利益的优位是相对的，而不是绝对的、无

条件的。对此，可以从以下四个方面理解：

其一，从社会优先于个人这一现代文明社

会基本原则出发，公共利益优先于个人利益。

公共利益与个人利益相比，公共利益是更高

层次的根本性的重大利益，理应具有更重要

的地位。从现实看，规定“公共利益优于个

人利益”也是现代立法的普遍做法。具体到

宪法文本方面，大致有两种确立公共利益价

值优位的规范：一种是个人利益的实现不得

侵害公共利益，这是社会个体的消极义务；

另一种是为了公共利益的需要可以限制个人

利益，这是社会个体的积极义务。对此，在

分析公共利益限制个人信息权益的正当性时

已有涉及，此不赘述。

其二，公共利益的优位性是相对的。绝对

化的公共利益是不存在的，不存在不以个人

利益为出发点和依归的公共利益。在利益冲

突中，公共利益并不当然地具备优先性，也

并非占有优势地位。我们对于公共利益优位

的理解不能是绝对化、片面化，过分强调两

者的对立，忽略两者的统一。在个人信息保

护中，行政机关基于公共利益需要限制个人

信息权益也并非绝对。譬如，在疫情防控等

突发公共卫生事件应对中，相关部门不得公

开那些可识别的个人信息，不得侵犯公民的

基本权利。

其三，公共利益的优位性要结合具体情况

作具体分析，而不是所有的公共利益在任何

情况下都可以限制个人利益。“公共利益不

应是始终绝对优先和主导的利益。机械地把

公共利益绝对凌驾于个体利益或者其他利益

之上，不仅是对其他合法利益的侵犯，而且

是违背公共利益正当性精神的。”换言之，

“公共利益确实应该是可以判断的，这种判

断在结合某一情景时应当有其内在的正当性、

合理性，否则就会导致权力的滥用。”这体

现在个人信息保护方面，即是近年来学界提

出的场景化问题，即在特定情境下对相关利

益进行比较和权衡。

其四，公共利益的优先性应受到正当法定

程序的限制。当公共利益的实现必须要以牺

牲个人利益为代价时，要用严格的法定程序

予以规范。质言之，任何对个人利益的剥夺，

都应当有充分的理由，依据法定程序，并给

予公平、及时地补偿。就个人信息保护而言，

虽然不完全适用“知情——同意”规则，但

亦应当遵守相关程序性规定。

三、公共利益限制个人信息权益的制度反思

前已述及，大数据时代的个人信息具有价

值多元性，个人信息保护要兼顾自然人、企业、

政府等多方利益，从而在个人信息的人格价值

与公共管理价值之间、个人信息利用与保护之

间实现平衡。问题的难点在于，个人在整个信

息处理过程中始终处于被动境地，传统私权救

济手段难以抗衡企业和政府管理部门处理个

人信息的强大动力，而限制个人信息的合法理

由——“公共利益”又时常因为内涵外延模糊、

代表机制缺失、行使规则滞后而陷入困境之中。

（一）公共利益内涵外延的模糊

如果对公共利益的概念界定不清，必然会

导致公共利益的虚化、泛化，从而成为侵害

个人利益的“危险源”。实际上，在法治社

会，清晰而合理地界定公共利益的内涵及外

延，已不再仅仅是抽象的理论问题，而是一

个关乎国家法律制度设计法治实践的重大现

实问题。然而，公共利益作为一个“罗生门”

式的概念，一直存在争议，至今尚未形成一

个公认的可操作性定义。英国功利主义的代

表人物边沁把公共利益界定为“最大多数人

的最大的利益和幸福。”我国台湾地区学者

王泽鉴把公共利益定义为“涉及的是不特定

多数社会成员的利益”。可见，关于公共利

益的概念，见仁见智。美国行政伦理学家库

珀甚至认为，“要想给出一个能得到理论界

或实际工作者公认的‘公共利益’定义，是

不可能的”。因此，公共利益作为一种价值

理念，是一个关涉政府合法性和政治正义性

的基石性概念，但在事实层面却是一个充满

争议性话题，立法层面也几乎没有对公共利

益作出明确界定。公共利益内涵外延的模糊，

必然会导致个人信息保护面临窘境。

（二）公共利益代表机制的缺失

问题的难点还在于，谁能代表公共利益？

这涉及公共利益的代表机制问题。“其实，

公共利益的关键并不在于共同体的不确定性,

而在于谁来主张公共利益。”从某种程度上

而言，国家就是基于保护公共利益而产生的，

现代国家更是以增进、实现和维护公共利益

为己任，国家机关也常常被视为公共利益的

代表，增进和维护公共利益是其存在的主要

目的乃至唯一目的。然而，国家机关在增进

公共利益时存在“异化”倾向，即存在追求

自身利益的动机。在公权力与私权利的关系

中，公权力居于绝对主导地位，加上公权力

的自我扩张性，公权力对私权利的限制、侵

犯乃至剥夺普遍可见。具体到个人信息保护

方面，由于公共利益边界不明，同时缺乏对

公权力控制、监督和制约的有效机制，因而

公共利益的虚化、弱化和泛化现象严重，导

致政府机关、社会组织乃至企业以公共利益

为由肆意侵犯个人信息，存在信息收集主体

多元化的突出问题。

当前，我国个人信息保护工作分散在中央

网信办、工信部、公安部、交通运输部、市

场监管总局等中央政府部门以及银监会、国

家卫健委、中央人民银行等专业监管机关，

网络、工信、金融、教育、医疗卫生、不动

产登记等领域也都涉及个人信息权益保护管

理职责，“九龙治水”、职权交叉、执法不

一、条块分割、规范冲突等问题异常突出。

以疫情防控等突发公共卫生事件应对为例，

我国传染病防治法第12条以及突发事件应

对法第38条规定了有权收集个人信息的主

体范围，包括疾控机构、医疗机构，以及县

级以上各级政府及其专业部门。然而，疫情

防控实践中，流动人员要同时面对流出地和

流入地社区、街道、居委会、村委会、公安、

交通、所在单位等多部门、多层级关于身体

状况、家庭住址、通勤信息等个人信息的重

复采集，明显超出了法律授权范围，且造成

了行政资源和社会资源的极大浪费，也加大

了个人信息泄露的风险。因此，在我国个人

信息保护领域是否有设立一个独立的专门机

构的必要值得思考。

因此，公共利益经常固然表现为对全民或

整体利益的维护和偏袒，但这绝不意味着把

个人利益作为实现公共利益的“垫脚石”。

大数据时代，个人被完全信息化，数据人格

被深度塑造且无法被遗忘。建立在数据挖掘

和整合基础上的碎片化的个人信息，可以形

成对个人财富、身份、偏好、性格的精准分

析和预测，企业以此进行精准营销，政府和

社会组织以此进行有效治理。在强大公权力

支配以及“公共利益”合法理由支撑下，个

人信息保护面临重大挑战，需要反思和重构

传统个人信息保护法律制度。

（三）公共利益行使规则的滞后

个人信息赋权保护已成学界共识，然而，

现代信息技术的发展客观上增加了个人信息

保护的难度甚至陷入了困境。一方面，个人

信息的范围不断扩大。“可识别性”是判断

个人信息的标准，即能够直接或间接“识别”

出特定自然人的信息属于个人信息，但随着

信息技术的进步，能识别的个人信息范围不

断拓展。另一方面，个人信息保护的手段日

渐不足。“知情——同意”规则和匿名化规

则是被视为保护个人信息的有效手段，但公

共利益行使规则的滞后使得这两个规则陷入

僵化。

一是对于公共利益限制个人信息权益的程

序性规定不足。仍以疫情防控等公共卫生事

件为例，我国传染病防治法第38条第2款规

定，公布传染病疫情信息应当及时、准确。

但对于公布哪些信息、以什么方式公布、按

什么途径公布以及公布的期限等程序性内容

却均未作系统、明确规定，从而无法为疫情

防控中的个人信息保护工作提供精确指引。

二是在隐私政策披露方面存在重大缺陷。

隐私政策披露是个人信息保护领域对企业、

政府、社会组织等个人信息收集主体尤其是

网站、App运营者的基本要求。然而，从实

践看，我国企业隐私政策披露自我规制机制

仍处于初步建立阶段，政府隐私政策披露机

制更是阙如，存在政府个人信息收集正当性

基础薄弱、使用约束机制欠缺等一系列问题。

譬如，在疫情防控期间，各地普遍通过“健

康码”作为决定个人是否有权出行、是否获

得复工复产的重要证明，而“健康码”是建

立在获取个人行程轨迹基础上对个人健康风

险等级的综合评判，“健康码”的形成构成

“自动化行政”，理应属于行政行为，但能

否审查健康码结果的合法性？如何评判这一

自动化决策的合法性？公民如何获得救济？

对这些问题尚未有明确的制度设计。

三是以公共利益之名收集和利用个人信息

缺乏有效约束。由于个人信息涉及多方利益，

政府在收集和利用个人信息时既要满足公共

治理的需要又要避免对过度侵占个人信息。

但在实践中，统一的个人信息收集标准阙如，

多头重复收集情况严重，滥采滥用问题突出，

审查机制漏洞明显，因公共数据滥用或监管

不力导致的个人信息泄露风险居高不下，各

部门间个人信息数据库的壁垒极大地限制了

公共数据的流通和整合。

四、公共利益限制个人信息权益的原则释义

基本原则在个人信息保护中具有极为重

要的作用。个人信息保护法规定了个人信息处

理七大基本原则，分别是合法性原则（第5条）、

目的明确原则（第6条）、最小必要原则（第

6条）、公开透明原则（第7条）、准确性原

则（第8条）、可问责性原则（第9条）、数

据安全原则（第9条）。这些基本原则体现着

个人信息保护的价值导向和法律理念。国家机

关基于公共利益理由限制个人信息权益时亦

应当遵循一定的基本原则，这些基本原则既是

上述个人信息保护基本原则的延伸和体现，又

有着自身的独特性，应主要包括法律授权原贝h

目的正当原则、最小比例原则、安全保障原则

等。法律授权原则决定了干预个人