● 公共利益豁免的實質(zhì)是法益衡平問題����,需借助比例原則辨明豁免的實體邊界
● 公共利益豁免絕非放任信息處理��,而需以技術(shù)性保障彌補同意機制的缺位
□ 郭爍
個人信息保護(hù)法第十三條確立的“知情—同意”規(guī)則是個人信息處理的核心原則����,但該規(guī)則在公共利益場景下的豁免邊界存在模糊性。司法實踐中��,“公共利益”概念的泛化解釋可能導(dǎo)致信息自決權(quán)被架空���,而過于嚴(yán)格的豁免標(biāo)準(zhǔn)又阻礙數(shù)據(jù)要素在公共治理中的價值釋放����。筆者通過梳理全球立法從“防御性保護(hù)”向“積極性利用”的演進(jìn)邏輯����,提出以比例原則為標(biāo)尺區(qū)分公益層級,并輔以“去標(biāo)識化”等技術(shù)保障���,構(gòu)建“公益豁免”的克制性例外框架�����,最終實現(xiàn)個人信息權(quán)益與公共利益的動態(tài)平衡��。
如何理解“知情—同意”規(guī)則的公共利益豁免
信息技術(shù)的勃興使個人信息兼具人格尊嚴(yán)與財產(chǎn)價值雙重屬性���,民法典、個人信息保護(hù)法均明確自然人對其信息的民事權(quán)益��。為保障信息自決權(quán)�����,“知情—同意”規(guī)則被置于信息處理合法性基礎(chǔ)的核心地位�。然而��,大數(shù)據(jù)時代的信息流通需求與個體控制權(quán)之間產(chǎn)生深刻張力:海量數(shù)據(jù)的處理若需逐一獲取同意�,將耗費巨額經(jīng)濟與時間成本��,阻礙數(shù)據(jù)在公共決策����、疫情防控等領(lǐng)域的價值釋放。對此���,個人信息保護(hù)法第十三條第1款第(五)項創(chuàng)設(shè)例外條款——為公共利益實施新聞報道���、輿論監(jiān)督等行為,在合理的范圍內(nèi)處理個人信息����。
該豁免條款雖旨在調(diào)和個人信息保護(hù)與公共利益促進(jìn)的矛盾,但“公共利益”的內(nèi)涵模糊引發(fā)雙重困境:一方面���,寬松解釋易使豁免范圍無限擴張�����,弱化“知情—同意”規(guī)則的基礎(chǔ)性地位��;另一方面��,概念不明確導(dǎo)致信息處理者難以作出有效決斷���,甚至因過度謹(jǐn)慎而放棄公益數(shù)據(jù)利用,降低社會整體福祉��。因此��,亟須厘清三個關(guān)鍵問題:何種層級的公共利益可突破同意規(guī)則�;突破的實體邊界如何界定;豁免后需配套哪些替代性保障機制�。
公共利益豁免的價值博弈:個人信息的“防御性保護(hù)”與“積極性利用”
全球個人信息保護(hù)立法均經(jīng)歷從“防御性保護(hù)”向“積極性利用”的價值轉(zhuǎn)型。早期立法以個體權(quán)利保障為核心:美國通過憲法判例將隱私權(quán)納入基本權(quán)利體系���,1974年《隱私法案》及后續(xù)行業(yè)立法聚焦限制公權(quán)機構(gòu)對個人信息的干預(yù)��;歐洲則依托《歐洲人權(quán)公約》第8條��,將數(shù)據(jù)保護(hù)上升為人的尊嚴(yán)之體現(xiàn)�,1995年《個人數(shù)據(jù)保護(hù)指令》以“信息控制權(quán)”為基石�,強調(diào)數(shù)據(jù)主體意志不可逾越。此類“防御性保護(hù)”模式旨在構(gòu)筑隱私不受侵犯的防御工事�。
數(shù)字時代下��,信息作為土地�、資本外的新型生產(chǎn)要素���,其在公共衛(wèi)生��、城市治理�、科學(xué)研究等公共領(lǐng)域的價值日益凸顯���,政策導(dǎo)向逐步轉(zhuǎn)向“積極性利用”�����。2016年通過的歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR)是典型代表:其在延續(xù)數(shù)據(jù)主體權(quán)利的同時�����,于第6條第1款(e)項明確履行公共利益職責(zé)可豁免同意���,2022年通過的《數(shù)據(jù)治理法案》更進(jìn)一步提出“數(shù)據(jù)利他主義”的概念,鼓勵為公益目的共享數(shù)據(jù)��。這一轉(zhuǎn)型標(biāo)志著立法重心從“數(shù)據(jù)保護(hù)”邁向“數(shù)據(jù)治理”,但公益豁免始終被定位為克制性例外����。當(dāng)《數(shù)據(jù)治理法案》與GDPR關(guān)于個人數(shù)據(jù)保護(hù)條款發(fā)生沖突時,以GDPR優(yōu)先��,公益數(shù)據(jù)處理仍需符合“歐洲數(shù)據(jù)利他主義同意書”等嚴(yán)格保障機制�。可見�,“知情—同意”規(guī)則仍是信息處理合法性的基石��,公共利益豁免僅是必要補充�����,二者不可等量齊觀�。
公益優(yōu)位的解釋學(xué)定向:以比例原則的適用為核心
公共利益豁免的實質(zhì)是法益衡平問題,需借助比例原則辨明豁免的實體邊界�����。核心在于依據(jù)緊迫性與重要性對“公共利益”進(jìn)行層級化區(qū)分:第一層級為“重要的公共利益”����,對應(yīng)個人信息保護(hù)法第十三條第1款第(四)項,涵蓋突發(fā)公共衛(wèi)生事件、自然災(zāi)害救援等涉及多數(shù)人生命健康危險的重要且緊迫的場合�。此類豁免因公益優(yōu)位而具有推定合法性,信息處理者僅需確保手段符合“合法�����、正當(dāng)����、必要和誠信原則”并采取基本保障措施,若涉訴則由信息主體承擔(dān)違反比例原則的舉證責(zé)任�。
第二層級為“一般的公共利益”,對應(yīng)個人信息保護(hù)法第十三條第1款第(五)項�,包括新聞報道、科研統(tǒng)計�����、公共健康管理等具有公共性但緊迫性較低的場景���。信息處理者需主動證明三重內(nèi)容:一是信息處理為實現(xiàn)公益目的所不可或缺�;二是所采手段對信息權(quán)益的侵害最小化����;三是已落實充分的技術(shù)與組織保障(如“去標(biāo)識化”)����。證明責(zé)任完全由信息處理者承擔(dān)����,且司法審查需嚴(yán)格遵循目的兼容性檢測。
第三層級為普通商業(yè)分析等低于一般的公共利益要求的情形���,此類場景絕不適用豁免����,必須回歸“知情—同意”規(guī)則�。
GDPR的實踐可資鏡鑒:其將“公共利益”細(xì)化為一般(如就業(yè)保障����、醫(yī)療管理)與重要(如流行病監(jiān)測、災(zāi)害應(yīng)對)�。前者需通過原始目的與公益目的的關(guān)聯(lián)性、數(shù)據(jù)處理后果預(yù)期等四重檢測��;后者則因緊迫性自動證成合法性���。我國司法應(yīng)通過典型案例細(xì)化“合理范圍”標(biāo)準(zhǔn)�。例如,明確輿論監(jiān)督中公開家庭住址���、人肉搜索等行為超出必要限度����,防止公益概念淪為“萬能免責(zé)條款”��。
豁免“知情—同意”的替代性保障:以“去識別化”為例
公共利益豁免絕非放任信息處理�����,而需以技術(shù)性保障彌補同意機制的缺位��?!叭?biāo)識化”通過切斷信息與主體的可識別關(guān)聯(lián),成為核心替代措施���。其法律定位介于可識別信息與匿名化信息之間:可識別信息因直接關(guān)聯(lián)特定自然人���,受“知情—同意”規(guī)則嚴(yán)格約束;匿名化信息因不可復(fù)原而脫離個人信息范疇��,可自由流通���;“去標(biāo)識化”信息則需借助額外信息方可識別主體���,仍屬個人信息�,但為公益目的可豁免同意�,前提是嚴(yán)格遵循比例原則并落實保障。
“去標(biāo)識化”標(biāo)準(zhǔn)需立足情境動態(tài)判定��。美國《健康保險流通與責(zé)任法案》采用“安全港”規(guī)則(強制刪除姓名���、社保號等18類標(biāo)識符)或“專家認(rèn)證”路徑�����;歐盟則通過判例確立“合理成本”標(biāo)準(zhǔn)——在Breyer案中����,歐盟法院指出若識別需要“不成比例的時間��、成本和人力投資”��,則視為風(fēng)險可控�。北京互聯(lián)網(wǎng)法院發(fā)布的個人信息保護(hù)典型案例在進(jìn)行“去識別化”問題的判斷上也體現(xiàn)了情境理論的適用����。未來立法需要融合“列舉核心標(biāo)識符”與“典型案例指引”雙軌模式:前者明確身份證號碼�、生物特征等絕對敏感信息的去除義務(wù)��;后者通過裁判說理闡明動態(tài)IP地址���、行為軌跡等信息的風(fēng)險判定方法���。
(原文刊載于《華東政法大學(xué)學(xué)報》2025年第4期)
法治號
