论数字时代个人信息保护与利用平衡的展开路径

李雷

关键词：数字时代；个人信息；保护利用；协调平衡

一、问题的提出：个人信息保护与利用的冲突

伴随科学技术的日新月异以及信息数据的迅猛增加，人类社会已经进入数字时代。“如何平衡个人信息保护与利用，是数字时代的核心议题之一。”大数据、算法的综合运用，使得信息收集利用驶入快车道，信息滥用的风险也急剧飙升，故个人信息保护被提到了极其重要的地位，受到社会公众的高度关注。《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）于2021年11月1日起正式生效，经过一年多的实施，已经取得了显著效果。当前专门讨论保护与利用统一平衡的著作凤毛麟角，已有研究还未深入探究个人信息利用之于信息保护的重要价值，一定程度上忽视了保护与利用的平衡发展。《个人信息保护法》第1条阐明立法目的“为了保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用”。由此可见，个人信息保护与利用一体两面，同属于立法目的，不可使二者对立起来，需要达成动态平衡。“遵循个人信息处理的合法、正当、必要和诚信原则，法律是鼓励对个人信息的合法利用的。”因此有必要从全局角度长远谋划，二者平衡既蕴含深厚的理论意义，又具有很强的实践价值。

当下学界关于个人信息的法律属性还未达成一致的共識，《中华人民共和国民法典》（以下简称《民法典》）和《个人信息保护法》均未直接在法条中使用“个人信息保护权”的表述方式。当然立法并未因此弱化对个人信息的保护力度，相反《个人信息保护法》通过公私法相结合的方式实质上强化了保护力度。数字时代的个人信息被汇集聚拢，具备较高的流通价值，不仅会面对传统的个人侵权主体，还将面临实力异常强大的其他主体，如网络平台等。“从个人和社会的视角看，‘数治对个人权益具有复杂的外部性影响。”借助于高科技的广泛运用，数字经济得到了快速发展，规避信息泄露最简单的方式是减少信息输出，倘若采用最原始的保护方式，将个人信息完全封闭隔离起来，那么信息必然无法有效利用，难以撬动数字经济增长的杠杆。另外，网络平台如果无法收集到足够的数据信息，不仅会降低公民生活的便利性，还可能损害国家在若干关键领域的竞争力。“个人信息处理是国家、社会信息化发展的必然要求，个人信息保护与处理的冲突却又不可避免。”数字时代的个人信息保护需要通盘考虑各项要素，从而确保个人利益和社会利益、国家利益的有机统一。

二、数字时代个人信息保护与利用平衡的基础

“信息社会的发展极大地拓展了个人信息发掘和利用的空间，个人信息的时代价值和权利属性日渐凸显。”证成个人信息保护与利用平衡的基础，首先应该明晰个人信息的法律属性，这是未来构建个人信息保护模式的前提。个人信息作为新兴事物，其法律性质并非一成不变，科技进步对个人信息的法律性质产生了重大影响，除了原有的个体属性之外，个人信息的公共属性开始逐步凸显。个人信息同时具有个体属性和公共属性，单纯地强调某一属性均无法凸显个人信息的本质特征，为个人信息保护与利用的平衡埋下了伏笔。

（一）个人信息法律性质的演变

个人信息到底具有何种法律属性，理论界观点纷呈，同一学科内部不同学者之间也呈现出多元观点。在个人信息保护刚刚兴起的阶段，大多数学者将个人信息视为民事领域的重要权利，直接称之为个人信息权，强调通过侵权救济等民事方式来保障该权利。普遍认为个人信息具有鲜明的个体属性，兼具人格权和财产权的双重特征，强调信息主体对个人信息拥有控制和支配的权利。个人信息保护直接关系人格尊严，防止个人在信息处理过程中只被视为信息客体，任何信息处理决定不能仅仅基于系统的自动运行而产生，信息主体必须参与其中或者考虑其意见。背后隐含的逻辑在于：个人信息是个体的延伸，个体应当是独立自主的，个人信息必须由人来掌握，充分彰显人的价值，即康德所主张的“以人作为目的”。信息处理不能忽视信息主体的意志，否则就是对个人的不尊重。随着信息侵权的方式层出不穷，导致信息主体与信息处理者之间表面平等的关系被打破，传统的侵权救济模式逐渐脱离了信息保护的现实需求，难以匹配形势的变迁，引发了理论界关于个人信息法律属性的再次思考。

数字时代个人信息所蕴含的公共属性逐渐凸显出来，并随着数字科技的进步而日益彰显。个人信息首先具有识别功能，确保从纷繁复杂的各类信息中快速准确识别出特定的个体，是个人融入社会的必然选择。个人进入社会参加公共活动时，应该及时向他人披露身份介绍自己，并将社会活动的结果归属于个人所有。因此，个人有必要主动向社会提供个人基本信息，如姓名信息、联系方式等，其他社会主体则利用上述信息准确识别并判断个人，以此减少社会交往成本，此种工具价值反映了个人信息的社会属性和公共属性。另外，个人是集体的组成部分，普通公民难以游离于社会之外独立生存，积极融入社会是绝大多数公民的最终归宿，参与社会公共生活必然需要让渡部分个人信息，此类信息是公民接受现代公共服务的载体。如日常生活中的家庭住址、手机号码等个人信息，也是享有便捷服务必不可少的要素，无论是搭载网约车，还是送快递点外卖等，网络平台都必须获取上述个人信息。此类个人信息依然以个体属性为主，仅蕴含公共属性的萌芽。

个人信息并非在任何情形下都包含公共属性，主要集中在那些与社会公共利益密切相关的领域，一般而言，在社会公共空间个人信息的公共属性体现得越来越明显，如疫情防控中为了精准判断传染风险，通过行程码记载的个人行踪轨迹，就直接关系公共健康安全。又比如飞机场、高铁站通过人脸识别收集乘客的个人生物信息，也是为了保障所有乘客的旅行安全，此时，个人信息背后往往承载着大量的公共利益。由此可见，个人信息是个人参与社会活动，准确识别个体的有效工具，也是信息时代经济发展社会安定的重要保障，其承载了不同利益主体的多元化需求。当然，个人信息公共属性的凸显并未改变原有的个体属性，个人信息与信息主体之间依然具有很强的人身依附性，因此，信息时代个人信息逐渐演变为兼具个体属性和公共属性的双重属性。

（二）个人信息保护与利用平衡的基础

传统的个人信息保护理论建立在个人信息的个体属性基础上，强调个人信息的个人控制论，主张信息主体享有对个人信息全面的控制权。“国内当前的理论研究侧重关注个人的信息权益保护，忽视其他主体利用和共享信息的权益诉求。”如前所述，信息时代个人信息的公共属性逐渐凸显，背后还隐含着多元的公共利益，随着大数据、云计算、区块链等新兴科技手段的运用，个人信息数据被大规模加工处理，个人信息的广泛利用必将成为时代的趋势。由此可见，个人信息早已超越了个体权益的范畴，个人信息保护不再单纯由个人决定，还应考虑社会公共利益的需求。以往个人信息的个体属性偏重于保护个人信息，一定程度上会限制个人信息的流通，而公共属性则突出对信息的合理利用，以实现信息背后附着的公共利益。从表面来看，个人信息的双重属性存在一定张力，二者关注的面向不同，或许会诱发个人信息保护与利用之间的冲突。实则不然，信息时代个人信息的双重属性相互依存不可割裂，二者不应对立起来，也不能片面强调对某一种利益的保护，最终希望在个人信息保护与利用之间寻求平衡。由此可见，个人信息的双重属性成为了个人信息保护与利用平衡的基础，即在强调个人信息保护的同时，还应充分利用个人信息来追求社会公共利益。在个人信息的个体属性向双重属性变迁过程中，利用大数据算法等科技手段，能够在集体信息之上提炼出较高的流通价值，使其具备可观的财产利益和公共利益。如果可以善加利用，必然有利于提升个人生活的舒适度和便捷度，推动企业的创新进步，促进数字经济的发展，维护社会公共安全以及提升国家科技实力等。如果只承认个人信息的个体属性，将个人信息视为信息主体完全排他的独占性权利，则势必会形成信息孤岛，影响经济发展，甚至危害公共安全。总而言之，未来规范个人信息处理活动时，有必要在实现信息保护的前提下，合理挖掘背后的经济价值和社会价值。从个人信息的双重属性出发，对个人信息保护进行重新思考，更好地维持个人信息双重属性的平衡。

三、比例原则在个人信息保护与利用平衡之间的适用

结合前文，个人信息保护与利用平衡是《个人信息保护法》的立法目的之一，应该综合考量个人利益与公共利益的动态平衡。当下比例原则的适用范围在不断延伸，逐步从行政法领域扩展到民法领域、刑法领域等，比例原则包涵适当性、必要性、衡量性等要素，特别是衡量性蕴含平衡的价值理念，是判断保护与利用平衡的重要标尺。比例原则不仅是《个人信息保护法》重要的立法参考标准，还体现在个人信息保护的各项制度设计中。以下具体分析：

（一）比例原则适用的法理基础

数字时代个人信息保护领域平等民事主体的身份关系逐渐被解构，个人与平台之间看似是平等的民事关系，前者事实上明显处于弱势。例如在面临网络平台的垄断强势地位时，绝大多数个人用户只能被迫选择同意，并无协商调整的空间。大多数应用软件都会告知用户使用该软件将获取通讯信息、存储信息乃至身份信息等，用户只能同意并使用该软件，倘若拒绝则无法使用该软件。因此，网络平台虽然是私法主体，却具备了与国家公权力机关相似的地位，故适用比例原则规范网络平台恰如其分正当其时。当公民权利可以被限制而事实上又受到限制时，比例原则的介入具有必要性。个人信息保护不仅要规制私人主体的网络平台，还需要约束国家公权力机关，防止个人信息被过度收集，避免信息被不当利用和泄露。《个人信息保护法》第6条规定，采取对个人权益影响最小的方式，应当限于实现处理目的的最小范围。第六章则用专章规定“履行个人信息保护职责的部门”，明确了行政机关的各项权力，并强调在履行职责过程中应该遵循适当性、必要性等原则。个人信息保护与利用以及个人利益与公共利益的协调平衡始终是个人信息保护立法面临的重要难题，比例原则有助于妥善处理该问题，遵循法益均衡的导向，不偏向任何一方，不将某一方利益置于绝对优先的位置，将平衡兼顾二者的利益。

（二）比例原则适用的内涵界分

參照行政法领域适用比例原则的有益经验，一般可以概括为三个子项：适当性、必要性和衡量性。第一，适当性。《个人信息保护法》第6条要求“处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关”。例如，在人流密集的火车站、地铁站、飞机场等公共场所安装监控设备，是为了维护公共安全强化公共管理的需要，但不得将采集到的个人信息用作其他目的。适当性调整目的与手段必须在特定场域，即比例原则的适用应该遵循一定的先决条件，但凡目的不单纯，则无论适用何种手段，都不符合适当性的要求，区分目的是否正当，关键应判断是为实现何种利益。第二，必要性。比例原则是对限制公民权利的公权力的限制，目的实现需要满足必要性的限制。《个人信息保护法》多次提到“合理的范围”“最小范围”“最小方式”等，无不体现了必要性的要求。如国家机关和网络平台必须在最小范围内收集个人信息，坚决制止过度收集个人信息的行为。第三，衡量性。要求在选择手段时，综合考虑目的，确保行为所造成的损害必须小于达到目的所获得的利益。衡量性的核心要旨是将损害与收益分层划分，从而挑选出适宜的手段，并确保收益始终大于损害。例如，为了实现个人信息的绝对保护，禁止采集一切个人信息，虽然可以防止信息泄露，无疑将阻碍数字经济的发展，甚至影响公民生存权利的实现，此种保护方式所获得的收益远远小于危害，自然违背了狭义比例原则的要求。

（三）比例原则适用的方式方法

在明确比例原则适用的必要性之后，还应针对个人信息保护的特殊性，进一步明晰如何适用比例原则，以便为后续个人信息保护实践提供指引。笔者认为应该遵循以下方法：第一，厘清公共利益的内涵。在个人信息保护领域，有必要适当限缩公共利益的范围，概括抽象的谈论公共利益，极有可能泛化公共利益的内涵，导致越来越多的利益被纳入公共利益的范畴。如果将任何公共利益都置于个人利益之上，那么必将侵蚀个人信息保护的基础，造成徒有其表的假象，故抽象的公共利益并不能确保所有信息处理行为的正当性和合法性。因此，当公共利益与个人利益在信息处理过程中发生冲突时，必须首先阐明为了实现何种公共利益，从而判断此种公共利益相对于个人利益是否具有优先性。秉持最小侵害的严格标准，当个人利益与公共利益发生冲突时，大多数情况下个人利益都不得不做出让步，比例原则要求在目的明确和目的限制的基础上，尽量减少个人利益牺牲，防止个人权利受到不当克减。第二，遵循法益均衡的价值追求。如前所述，数字时代的个人信息不再为个人独占，承载着公共价值，既要保护个人信息，又要追求个人利益、企业利益、社会利益和国家利益的平衡。以上各种利益均非常重要，背后隐藏着不同的价值追求，相互之间没有绝对的高低优劣之分，只是在特定场域需要优先考虑某种法益。当然优先考虑不是将其视为唯一的考量要素，并非必须放弃某种法益才能保全另一种法益，唯有在不得不做出取舍的情况下，才能有限度的牺牲某种法益。

四、《个人信息保护法》关于保护与利用平衡的内部设定

个人信息保护与利用平衡是《个人信息保护法》的主旨，该法开篇即明确了保护与利用平衡的立法追求，并通过总则部分的其他条款深刻阐述了平衡的精髓，分则部分的具体制度设计则认真遵循该理念并贯穿始终。笔者试从个人、信息处理者和国家机关等不同主体为切入点展开分析，充分体现平衡理念的运用。

（一）个人在信息处理活动中的权利

《个人信息保护法》以专门章节详细列举了个人享有的权利，个人享有最重要的权利是信息处理自决权，即个人有权限制或者拒绝他人处理其个人信息。“在分配个人信息处理风险时，应遵循比例原则的要求，合理限制公民个人、企业与国家公权力机关的个人信息处理自由。”某种程度上自决权是基于所有权而产生的，自决权与所有权的侧重点不同，前者偏重自己决定他人能否处理个人信息，后者强调个人信息归自己享有。该项权利是个人信息保护的基础性权利，其他一切权利都由该权利延伸而来，如查阅、复制、更正、补充、转移、删除等。如果仅仅列举个人享有的权利，而不规定例外情形或者限制措施，则无法体现信息保护与利用的平衡，仅仅凸显了信息保护的重要性。须知，上述诸多权利都是个人信息被利用之后才产生的，试以删除权为例。第47条规定了行使删除权的五种情形，从第1款和第2款的表述可知，此时个人信息已经被处理完毕，该条还规定“保存期限未届满或者删除从技术上难以实现的，仍然可以存储个人信息。”故即使规定了删除权，亦不妨碍信息处理者合理使用个人信息。其他相关权利亦同样如此，查阅复制的前提是个人信息已经被采集处理，实现了利用目的。

另外，在个人信息处理机制方面，明确了知情同意规则，将个人知情同意视为处理个人信息的前提，这是自决权的核心内涵。第13条第2至7款用六项例外规定，事实上限制了知情同意的适用范围，如第13条第5款“为公共利益实施新闻报道、舆论监督等行为”，此时信息保护与利用的紧张关系骤然呈现，有必要在个人利益与公共利益之间取舍平衡，遵循必要性的要求“在合理的范围内处理个人信息”，此处并未泛化使用公共利益，亦非空洞的阐述公共利益，而是将其限制在“新闻报道、舆论监督”的特殊语境下。显然该利益直接关系新闻媒体的监督权和社会公众的知情权，这些权利与公民信息自决权之间存在张力，在强调公共利益优先，将取得个人同意摆在第二位的前提下，又通过限定“合理的范围”，从而体现适当性和衡量性的理念。“公法确定个人信息处理的限度或底线，再选择性地保留个人自主决定空间。”概言之，个人在信息处理活动中享有丰富的权利，构成了个人信息保护的基础，立法者再通过限制权利行使的自由度，明确例外情形，来实现个人信息的合理利用。

（二）信息处理者在信息处理活动中的义务

个人信息处理者则通过反向维度，优先呈现个人信息处理中应该承担的义务。个人与信息处理者处于对立統一的关系，个人享有的权利意在表明个人信息保护的理念。个人信息利用主要是信息收集之后的行为，信息处理者收集个人信息只是第一步，为后续信息利用奠定基础，如何确保后续环节规范合理的利用个人信息，则需要信息处理者承担更严格的义务。

具体来看：第一，明确提供产品或服务的义务。实践中某些信息处理者枉顾公平交易的原则，将收集处理个人信息作为提供产品或服务的前提，个人处于弱势地位，只得让渡个人信息处理权。第16条原则上明确了个人信息处理者不得将信息主体的同意视为前提条件，即使个人不同意处理其信息，也不得以此为由拒绝提供产品或服务。这意味着信息处理者不得滥用优势地位或者垄断地位，违背个人初衷，胁迫个人违心同意处理信息，有助于改善推动个人与信息处理者处于平等地位。第二，限定个人信息的保存期限。一般而言，信息处理者保存个人信息的期限越长，信息泄露和滥用的风险越大。“此种存储模式异化了个人信息泄露风险，亦可能为信息主体带来歧视、类型化等风险。”第19条则明确保存期限应当为实现处理目的所必要的最短时间，客观上要求个人信息处理者在完成信息处理目的之后，应该尽快删除个人信息。该条文指明采取对个人信息利益风险最小的方式，既减少了信息泄露的概率，又确保了平台利用信息的效果。第三，自动化决策过程中不得实行差别待遇。第24条明确规定个人信息处理者在自动化决策过程中，应该保证决策的透明度和结果的公平公正，该条文实质是为了防止个人信息处理者凭借优势地位，利用掌握信息的优势，侵害消费者的合法权益，乃至剥夺其自主选择权，根源在于侵犯了消费者的人格尊严。第四，安全风险防护义务。《个人信息保护法》第五章专门规定个人信息处理者的信息安全风险防护义务，强调信息处理者的保护责任。信息处理者会不自觉地扩张职能权限，故要求信息处理者强化内部管理制度，制定信息安全事件应急预案，发生信息泄漏时积极采取补救措施等。还根据信息处理者规模的不同，设置了不同的保护标准，特别强调互联网头部企业应该接受独立机构的监督，定期发布信息保护社会责任报告等。“强化网络平台等大型在线企业的治理，配置与其控制力和影响力相适应的个人信息保护特别义务，正在形成全球普遍共识。”该章节明确了信息处理者是信息保护的第一道防线，通过一系列制度规范，筑牢信息保护的篱笆，夯实信息保护的责任义务。

（三）行政机关在信息处理活动中的职责

行政机关一身二任，在信息保护与平衡中发挥独特作用，既是最大的信息收集处理主体，又是专门的信息保护机关，正因为行政机关扮演的不同角色，决定了其发挥作用的场域空间存在差异，时而偏重保护职能，时而突出利用价值。相比于各类企业和网络平台，国内最大的信息收集主体仍然是各级政府及其职能部门，政府掌握了大量经济、社会、文化等方面的信息，同时还通过各种渠道采集了丰富的个人信息。从我国国家政权的性质来看，各类公权力机关本质上都是为了维护人民群众的利益，行政机关强调建设服务型政府，处理个人信息的活动大多是为了公共利益的需要。“国家机关处理个人信息的目的在于履行法定职责，而非获得或者增加财产。”从目的角度来看，行政机关滥用个人信息的风险原则上应该小于私人主体。实际情况却较为复杂，行政机关往往掌握大量敏感个人信息，面临各种利益博弈，再加上内部信息保护规则不够完善，违法利用个人信息的情况亦时常出现，如前文提及的河南郑州储户赋红码事件。另一方面，大量信息数据集中在行政机关手中，如果保护机制不够健全，必然会给数据安全带来隐患。倘若行政机关工作人员违背相关制度规范故意泄露个人信息，其带来的危害后果则远远超过私人主体，甚至使普通民众的生活彻底暴露在监控之下陷入非议之中。如2020年12月成都赵某感染新冠后，其行踪轨迹被非法泄露，因为短时间内到过多家酒吧，被网民戏称为“转场女王”“夜店皇后”。行政机关收集的个人信息，有些涉及公民隐私，属于敏感个人信息的范畴，普通私人主体则很难获取这类信息，行政机关却可以通过合法途径收集此类信息，信息收集得越全面，背后隐藏的数据价值越高。因此有必要在行政机关收集利用个人信息时，予以适当的限制，如第34条明确“不得超出履行法定职责所必需的范围和限度”。

如何收集、保存、维护、管理正在呈指数级增长的各类信息数据，是当下各级政府不得不应对的重要挑战。有必要提升保护力度，在私法保护之外，引入新的保护力量，即行政机关个人信息保护职责。《个人信息保护法》专章阐明了国家网信部门和其他行政机关的保护职责，强调发挥网信部门的统筹协调职能，以便相互协同形成合力。行政机关多措并举，积极查处违法个人信息处理活动，制定个人信息保护规则标准，以及推进个人信息保护服务体系建设等。“如何有效威慑个人信息违法违规行为，是破解个人信息安全监管困境的关键所在。”为了提升行政机关的权威性，强化行政执法效力，还赋予了行政机关必要的权限，可以采取如下措施：询问、查阅、复制、检查、查封、扣押等。多项措施同步展开，从信息保护的各个环节人手，有助于堵塞漏洞，提升行政机关的保护效果。行政机关保护与利用个人信息并非绝对分离，二者具有一致性，虽然有专职机关履行保护职责，但各级行政机关及其职能部门在利用个人信息的过程中，应该时刻秉持保护的理念。

五、未来个人信息保护与利用平衡的外部演化路径

《个人信息保护法》从立法内部层面规范了保护与利用的平衡，如何将纸面条文落实到社会实践中，还需要优化外部制度设计。未来应该重点把握以下五对关系的平衡：公法保护与私法保护，个人利益与公共利益，严格保护与宽松保护，事前监管与事后监管，专责保护与综合保护等。

（一）体系的平衡：公法保护与私法保护的平衡

当前的立法体系决定了部门法适用的局限性，单一部门法所提供的保护机制难以实现既定的保护初衷，尤其面对新兴领域时，此种保护缺陷被逐步放大。个人信息传统的保护模式，过于强调各部门法的独立性，反而忽略了其统一性。今后需要从整体层面来思索权利保护体系的优化，强化部门法的融会贯通。以个人信息保护为例，宪法的人格尊严条款，经济法的反垄断条款，社会法的信息保护条款，刑法的倒卖个人信息条款等，更遑论民法、行政法包含大量与之直接相关的法律条款，其保护范围横跨公法和私法领域。通过多个部门法的协调，以积极促成数字经济发展与个人信息保护的平衡，而非片面追求严苛的执法效应。③当前社会关系日趋复杂，权利分类越来越细致，逐渐模糊了部门法色彩，越来越多的权利超脱公私法的界限，呈现出领域法的特色，如环境权等。脱离传统部门法体系的束缚，构建多元法律保护体系，推动公私法保护的协调平衡，是构建个人信息保护法律体系的必由之路。

“只有从战略层面把握，充分发挥公法、私法等不同治理机制的作用，标本兼治，才能形成合力。”个人信息保护法律体系的统筹协调，首先应该强调《民法典》与《个人信息保护法》相结合。《民法典》用专门的章节规定了个人信息保护，以及个人信息法律属性的界定，某种意义上为后续《个人信息保护法》实施专责保护奠定了立法基础。《个人信息保护法》是专门规范个人信息保护的法律，具备单行法特别法的诸多优势，是个人信息保护最重要和最直接的法律依据。“实现公法和私法路径个人信息保护功能的充分发挥，协调二者角色定位，避免冲突和内耗。”强调引入公法力量保护个人信息，并非因为传统的民法保护失去了效力，而是因为技术发展衍生出了诸多新型侵权模式，这些新型侵权行为超越了传统民法保护的限度，故针對某些传统模式下侵害个人信息的行为，适用私法保护模式仍然具有一定的效果，却又显得力有不逮。将两部最重要的法律结合起来，有利于从立法领域推动公私法保护的均衡发展。“《民法典》与《个人信息保护法》中的私法规范构成普通法与特别法的关系，在后者有明确规定的时候应优先适用。”另外，除了这两部基础性法律之外，某些单行法也有若干与个人信息保护密切相关的条文，如《网络安全法》《数据安全法》《反电信网络诈骗法》等，实践中遇到个案时，还应该兼顾此类法律的规定。

（二）利益的平衡：个人利益与公共利益的平衡

个人利益与公共利益的平衡根源于个人信息的个人属性与公共属性之间的张力，从宏观层面而言，信息保护承载着较多的个人利益，而信息利用则彰显了公共利益的需求。不同主体追求的利益亦有差异，如私人主体和行政机关利用信息的价值追求有较大区别。当然个人利益与公共利益平衡只是理想状态，在不同的时空条件下，平衡点并不一致。绝大多数情况下个人利益与公共利益具有一致性，所以个人利益与公共利益平衡是动态平衡，而非静止意义上的绝对平衡，需要结合具体情况，在合理范围内调整平衡点。再者，个人和信息处理者都无法全面预见信息在未来时空的价值，当下看来毫无价值的个人信息，在不久的将来或许会发生重要作用，此时个人信息承载的公共利益将逐步凸显，如果禁止采集个人信息，必将造成信息资源的浪费，导致未来竞争中处于不利地位。以均衡博弈结构为目的，在个人信息收集中，有必要平衡个体利益与公共利益。从未来的发展趋势看，个人信息附着的公共利益所占比重将逐步提升，在个人信息终将被大规模应用的背景下，顺应时势强化保护机制建设才是明智之举。

二者利益平衡不能只考虑眼前的局部利益，应该由国家来统筹规划保护体系。“信息利用需遵循个人保护逻辑，通过法治形塑国家治理，促进国家治理能力输出的规范化。”结合该法对个人、信息处理者、行政机关三者权利、义务、责任的划分，达至个人利益与公共利益平衡的目标。核心在于考量对方的利益价值，具体而言，个人为了公共利益的需要，有时必须让渡一部分个人信息权益，以促成信息的合理利用。信息处理者在利用信息的过程中，必须制定规范的保护流程，加大信息保护的资金和技术投入，不得随意泄露个人信息，以及滥用个人信息从事非法活动。行政机关在信息收集过程中，不得过度收集分析个人信息，另外，在发挥监管职责时，则应该严格执法，及时惩戒违规利用个人信息的行为。

（三）标准的平衡：宽严适度分级分类的平衡

个人信息保护与利用平衡目标的实现需要设定信息保护的标准，结合实际情况，可以考虑采取分级分类管理模式，确保信息保护宽严适度。第一，以信息利用主体为分类标准。私人主体和行政机关是最重要的两类信息利用主体，二者利用个人信息的目的不同，适用的限制程度亦有差异。一般而言，私人主体并非为了公共利益的需要，为了获取更高的经济价值，有时会深度分析所掌握的数据信息，因此有必要设定较严格的限制标准，并提升信息保护的要求。行政机关则应该根据追求的价值目标分情况判断，如果行政机关单纯是为了追求经济利益，那么应与私人主体相似，此时则应该偏重于对个人信息的保护，设定较严格的限制标准；如果行政机关是为了追求更高层次的公共利益，此时则应该偏重于对个人信息的利用，可以设定较为宽松的限制标准，从而推动公共利益的实现。另外，一般情况下级别较高的行政机关具有更高的权威，且建立了较为健全的内部监管机制，在利用个人信息时，应该赋予其较高的自由度和权限。第二，以信息利用内容为分级标准。主体分类属于第一层面，在此之后还应该考虑以信息利用内容为标准来划分保护级别。如果是普通个人信息，往往处于权利保护的边缘部分，如饮食偏好、购物习惯、星座属相、受教育程度等，这些并非敏感个人信息，通过常规渠道即可获取，即使信息被泄露，带给个人的不利影响也较为有限。故对此类个人信息应该鼓励合理利用，设定较为宽松的保护标准即可，毕竟，能够轻易得到的个人信息，信息主体的重视程度自然偏弱一些。敏感个人信息，诸如生物识别、行踪轨迹、金融账户等，此类信息一旦被泄露或者滥用，会导致信息主体的人格尊严、人身财产处于危险之中，此时则应该采取严格保护标准。“个人生物信息法益的多元属性涵盖了其对隐私权、人格权、财产权及安全法益的保护。”这类信息是信息保护的难点所在，也是判断个人信息保护能否成功的试金石。国家机关在收集利用此类个人信息时，应严格遵循比例原则的要求，充分考量使用目的的正当性、信息收集的必要性、收集范围的有限性。“原则上应当禁止处理敏感的个人信息，除非为了保护更高位阶法益而由法律、行政法规做出特别规定。”

（四）监管过程的平衡：事前预防与事中事后监管的平衡

数字时代信息侵权具有较强的隐蔽性，普通公民很难准确知晓个人信息是否被泄露以及何时被泄露，面对大规模的持续性信息处理风险，事后救济往往显得力不从心，难以起到良好的保护效果。个人信息引入公法保护之后，传统的二元保护模式逐步转化为三元保护模式，行政机关积极参与有助于保护端口前移。

公法保护不仅体现在事后救济层面，还应该在前端发挥显著作用，统筹推进事前预防事中监管与事后救济的平衡。第一，强化事前预防体系建设。信息保护属于过程性行为，自个人信息出现时起，即应该提升风险保护意识，从源头强化信息保护。“预防原则是公权力面对科技风险的严厉举措，近年来其扩张适用日益广泛。”信息泄露等风险潜藏在信息处理的角角落落，当下风险行政理论日渐完善，为个人信息保护预防体系建设奠定了理论基础。从源头构建预防机制，能够未雨绸缪，消弭潜在的风险，大幅降低信息侵权的危害后果。行政机关应该注重前置程序，积极发挥指导功能，如制定相关的政策规章，设定宽严适度的保护标准等。第二，筑牢事中事后监管体系。个人即使遵循知情同意规则，授权信息处理者处理个人信息，却难以时时监管处理过程，导致赋权之后缺乏监督，造成一次赋权终身有效，从而将个人信息置于危险境地。应该逐步改变原有的二元私法保护模式，强化行政监管的结构性保护作用，建立起三元公私法相结合的保护模式。三元保护模式的最大优势在于强化过程管理，行政机关可以在危害发生之前积极介入，必要时发挥强制作用，及时阻断风险源，有助于化解和削减潜藏的危害，按照基本权利保护理论，此时充分体现了国家积极履行保护义务。如《个人信息保护法》第64条规定，个人信息处理活动存在较大风险时，可以约谈主要负责人，或者由专业机构对信息处理进行合规审计。无论事前如何完善预防，都无法完全消除信息泄露信息滥用的风险。一旦信息风险成为现实，则必然需要监管机制发挥惩戒、补偿、修复的功能，完善信息保护链。行政机关亦应该主动作为积极参与救助，如接受处理与个人信息保护有关的投诉举报，调查处置违法个人信息处理活动等。

（五）监管模式的平衡：专责保护与分散保护的平衡

公法保护与私法保护的平衡，事后救济向过程监管转型，均牵涉某个核心问题，即行政权如何介入，由何种行政机关介入。针对该问题，《个人信息保护法》大体上按照分散保护的模式来设立保护机关，在明确国家网信部门负责统筹协调时，还授权有关部门在各自职责范围内负责信息保护监管工作。这种制度设计符合精简机构的方针政策，相关部门具有熟悉业务的优势，有助于实现信息保护的无缝对接。然而分散保护模式的缺陷亦不容忽视，数字时代个人信息处理涉及多个环节，有诸多主体共同经手，而个人信息泄露并非局限于单个的个人信息，经常出现集体信息泄露。当下个人信息风险并非呈点状分布，而是呈面状形态，需要多个监管部门通力合作，快速展开联合执法行动，在尽可能短的时间内化解信息处理风险。另外，过程性监管保护要求强化预防机制建设，各个行政机关的业务重点和制度规划并不完全一致，分散推进预防工作，客观上不利于预防标准的统一，甚至出现相互冲突的预防体系，反倒降低了监管效率，削弱了监管权威。

设立专责机关能够凸显个人信息保护的重要性，彰显国家保护个人信息的决心，越来越多的国家设立了专责机关。“绝大多数国家和地区均认为个人信息保护专责机关对个人信息的守护、平衡隐私和促进个人信息自由流通具有举足轻重的作用。”专责机关有利于从整体层面规划、统合、约束个人信息保护，即使面对呈面状分布的信息风险，也可以凭借上述优势从容应对，从而规避联合执法可能引发的协调困难。面对越来越庞杂的法律体系，设立专责机关有助于统一执法标准，避免不同机关采用不同的法律依据，防止处置结果的冲突。从以往经驗来看，专责机关的监督保护力度一般会大于分散保护模式，因此，数字时代的个人信息保护需要适时构建专责机关，推动专责保护与分散保护的平衡。

结语

数字时代信息社会的称呼早已耳熟能详，表明信息必须被充分利用，这种转变是时代发展的产物，具有不可逆转性，个体很难通过拒绝授权等方式来维护个人信息权益。个人信息的公共属性，及其承载的巨大社会经济价值，在数字时代被充分发掘唤醒，无差别的绝对保护个人信息，既不可行，也无必要。“个人信息的利用与保护如同一枚硬币的两面，对个人信息的滥用与过度保护均不可取，唯有在二者之间达成平衡。”在承认信息主体占有个人信息的前提下，为了公共利益的需要，确保个人信息的合理流通利用，并强化保障措施，应该成为未来的发展趋势。当前绝大多数学者均积极呼吁强化个人信息保护，并从《个人信息保护法》的若干条文着手，提出了具体的保护路径。学界现有的理论研究在某种程度上弱化了个人信息的利用，笔者希冀唤醒学界对此问题的重视，只有信息保护与利用平衡才是数字时代真正的底色。

（责任编辑：张莉）