個人信息保護中公共利益規則的適用困境與消解路徑

摘 要：個人信息保護不僅涉及私權主體之間的利益衡量，還涉及公共利益與個人信息權益之間的價值平衡。公共利益優位原則作為一項國內外公認的價值位階原則，構成了公共利益限縮個人信息權益的正當基礎。但過度強調公共利益的優先地位，容易造成公共利益的泛化濫用，進而侵害個人信息權益。我國個人信息保護法中的公共利益規則存在公共利益概念界定模糊、利益代表主體復雜多元、司法適用與監督制度缺位等問題，加劇了公共利益與個人信息權益的沖突失衡。鑒于此，應當借助公共利益層次性差異區分理論，明晰公共利益之內涵、外延，從行政主體、企業主體和其他社會主體三個角度厘清各類主體權益之定位，合理界定司法適用的范圍并建立健全司法監督制度。

關鍵詞：個人信息保護；公共利益規則；權益平衡

中圖分類號：D912.1 " " " "文獻標志碼：A " " " "文章編號：1674-3210（2025）01-0052-10

引 言

人類社會進入數字時代，數據作為數字化、網絡化、智能化的基礎，深刻改變著社會的生產方式、生活方式和社會治理方式。與此同時，數字經濟的發展離不開對個人信息的使用和處理，由此引發了個人信息保護與利用之間的沖突與平衡問題。從沖突權益類型來看，這一問題不僅涉及個人信息權益與信息處理企業經濟效益之間的沖突，還涉及個人信息權益與公共利益的沖突。在公共利益優先理念指導下，公共性利用個人信息時使用者越界的現象普遍存在，加劇了個人信息保護領域個人利益與公共利益的失衡。

“如何平衡個人信息保護與利用，是數字時代的核心議題之一。”關于個人信息保護中的利益衡量，學界已有較多關注，主要聚焦于如何適當平衡信息處理企業與個人信息主體之間的利益，而在個人信息權益與公共利益發生沖突時，現有研究主要側重于闡發社會公共利益保護的合理性理由與合法性基礎，對個人信息保護的司法適用研究還比較薄弱。有鑒于此，本文擬在肯定公共利益優先正當性的基礎上，從公共利益概念明晰、代表主體權益、司法適用范圍、監督制度等方面，對個人信息保護中公益與私益的平衡問題進行分析和闡發，以保護個人信息權益為側重點，指出公共利益規則在上述方面的適用困境，并針對性地提出具體的消解路徑。

一、公共利益規則的適用現狀

（一）在立法規定中的體現

為平衡個人信息權益與社會公共利益之間的關系，首先需要充分了解公共利益規則的適用現狀，具體可從立法規定現狀和司法適用現狀兩方面進行把握。在個人信息保護立法中，存在諸多公共利益條款，例如《個人信息保護法》第10條、《網絡安全法》第31條第1款、《數據安全法》第2條第2款以及《個人信息保護法》第13條與第42條的規定中，均包含公共利益條款。《個人信息保護法》第13條具體規定了7種處理個人信息的合法事由，這7種事由中有4種與公共利益相關。其中，第4項“為應對突發公共衛生事件，或者緊急情況下為保護自然人的生命健康和財產安全所必需”與第5項“為公共利益實施新聞報道、輿論監督等行為，在合理的范圍內處理個人信息”都與公共利益直接相關。

公共利益條款在學理界主要存在兩種分類方式。一種是從內容上將其分為“公共利益特殊保護條款”和“公共利益豁免條款”。前者是指將公共利益作為特殊保護對象，任何主體不得實施危害公共利益的個人信息處理活動，該類型所指向法律規范有《個人信息保護法》第10條、《網絡安全法》第31條第1款和《數據安全法》第2條第2款等。后者是指信息處理者在法律規定的情形下，即使沒有信息主體的授權，也可以直接處理個人信息，并不承擔由此產生的法律責任。其所代表的法律規范主要指《民法典》第1036條和《個人信息保護法》第13條。另一種則是按照所實現的目的和效果，將上述公共利益規則條款區分為積極性條款和消極性條款。究其實質，上述兩種分類僅存在表述上的差異，其內涵在本質上是等同的，“積極性條款”即等同于“公共利益特殊保護條款”，旨在制止非法侵害公共利益的行為；“消極性條款”即等同于“公共利益豁免條款”，意在將公共利益條款作為限制個人信息權益的依據。

（二）在司法審判中的體現

在具體的司法實踐中，法官通常將公共利益規則作為個人信息保護案件的裁判理由，用以平衡個人信息主體與信息處理者之間的關系。例如，“江華、濱州神奇大藥房有限公司濱城泰山名郡店個人信息保護糾紛案”中，法院以疫情防控期間應對突發公共衛生事件為由，認為被告按照政府市場監督管理部門的部署要求，落實實名登記規定的行為并無不當，該行為在本質上屬于為維護公共利益所實施的個人信息收集行為，不構成對公民個人信息的侵犯。另外，在個人信息公益訴訟案件中，法官常以個人信息作為重要社會資源直接關系公共安全和國家大數據安全為由，直接將違法收集、處理不特定多數人個人信息的行為視為對社會公共利益的侵犯，并以此為由認定行為人構成個人信息侵權。如“公益訴訟起訴人XX省XX市人民檢察院訴被告陳某1個人信息保護民事公益訴訟案”中，法院認為個人信息本身即具有公共利益屬性，本案被告人非法收集并出售大量個人信息的行為已嚴重侵犯眾多自然人的個人信息安全，影響了他們的私人生活，并對不特定自然人的人身、財產安全造成了威脅，損害了社會公共利益，應當對其侵犯他人個人信息權益并損害社會公共利益的行為承擔相應的民事責任。在“公益訴訟起訴人湖南省慈利縣人民檢察院訴被告王某秀、譚某芝、黎某民事公益訴訟案”中，法院認為案件被告人未經通信用戶同意私自傳輸他人手機號碼、驗證碼等個人信息的行為，是對不特定多數人個人信息權益的侵犯，構成對社會公共利益的損害，應當給付一定的公益損害賠償金并承擔個人信息侵權責任。此外，在“吉林省松原市人民檢察院、黃某等個人信息保護糾紛案”中，行為人以牟利為目的，利用給顧客開卡和辦理其他業務的便利，將顧客手機號非法提供給多個微信群的行為，存在致使人身權、財產權受損害的現實和潛在風險，導致歸屬公共利益的個人信息受損，故應認定其行為構成個人信息侵權并負相應的侵權之責。可見，公共利益規則在司法實踐中的適用大致分為兩種情形：一種是將公共利益作為免除信息處理者責任的依據，即為維護公共利益所實施的個人信息收集行為不構成對個人信息權益的侵犯。另一種則是在個人信息侵權民事公益訴訟案件中，非法收集、處理大量自然人個人信息的行為具有引發社會公共安全風險的可能性，往往涉及對社會公共利益的損害，法院因此將損害公共利益作為認定構成個人信息侵權的理由之一。

二、現狀反思：公共利益規則的適用困境

（一）公共利益概念界定模糊

公共利益具有抽象性與內容可變性。在理論層面，尚未就公共利益的定義與解釋達成一致。公共利益首先是一種利益，是在一定社會形式中滿足社會成員生存、發展需要的客體對象，從本質上看，公共利益既符合一般利益的共有特征，又具備其特有屬性。博登海默從“主體需求”的視角解釋公共利益：“個人之所以接受公共利益觀念，是源于人性的共有成分根植于對個人的一種認識，即完全憑借個人的努力無法實現其所珍視的那些價值，還需要其他人充分意識到其對自由、安全和平等的欲求。”哈耶克認為，“公共利益”關涉社會每個成員的利益，它在一定程度上往往是作為一個目的性價值出現的，而所謂公共利益的最終目的和價值卻難以要求全體社會成員就此達成共識。他在《法律、立法與自由》中，將公共利益定義為一種抽象秩序。弗德羅斯將公共利益視為“事物價值的總和”，并且拒絕將其解釋為個人利益總和或人類整體利益。

可見，公共利益很難形成統一的概念，將無法統一界定的公共利益作為判斷標準并不合理。在司法實踐中，同樣存在公共利益認定標準不一的問題：有的法院將被侵害者的數量作為判斷標準；有的法院以行為涉及公共區域、公用部位作為判斷理由，認定被告的信息收集行為侵犯公共利益；有的法院將應對突發公共衛生事件作為判斷理由。可見，在理論上、立法上和司法上，公共利益概念難以界定的問題尚未得到解決并且可能長期存在。截至2024年6月6日，在CNKI中以“公共利益”為“主題”進行檢索，共有2.18萬篇研究文獻，其中學術期刊收錄文獻3 470篇；以“公共利益”為“關鍵詞”進行檢索，共有2 250篇研究文獻，其中學術期刊收錄文獻622篇；以“公共利益”為“篇名”進行檢索，共有427篇研究文獻，其中學術期刊收錄文獻188篇。上述數據說明，迄今為止，“公共利益”仍然是學界的一個研究熱點。

（二）利益代表主體復雜多元

雖然公共利益本身難以界定，但在具體情形下公共利益的代表主體可以判斷，盡管這并不意味著公共利益的概念界定問題可以從代表主體入手解決。因為從實際情況來看，公共利益的代表主體復雜多元，在不同情形下，公共利益的代表主體也會隨之發生變化。

對個人信息主體而言，其在特定情形下能成為公共利益的代表。例如，在公益訴訟中，若信息處理行為侵犯的主體人數眾多，法院會以其行為侵犯公共利益為由認定構成侵權，此時眾多個人信息主體的利益即為公共利益。

對政府而言，作為社會公共利益的一般代表，是三類主體中代表社會公共利益最多的主體。政府作為社會管理主體，會為了社會整體利益而收集、處理個人信息。例如，出于應對突發公共衛生事件的需要，各級政府采取的“健康碼”出示、外來人員核查、公開確診患者個人信息等措施，均屬于公共利益規則的適用范圍。

對于企業而言，其所追求的經濟利益往往與社會公共利益處于對立位置。也就是說，企業的逐利性使其極難成為公共利益的代表，但是這并不表示企業不會成為公共利益規則的受益主體。首先，企業可以直接利用公共利益規則免除其個人信息處理責任。例如，某些新聞傳媒企業在為公共利益實施新聞報道時，可以依法收集、傳播公眾個人信息。其次，企業可以通過政府間接利用公共利益規則，以實現其個人信息獲取目標。企業與公共利益規則的連接，往往通過政府這一橋梁來實現。在個人信息保護過程中，企業與政府作為兩方典型的個人信息處理者，正在結成聯盟，以實現二者優勢的互補。目前，企業與政府在信息處理領域表現出廣泛的合作趨勢，政府在借助數據信息進行社會治理的過程中會受到自身技術條件的制約，可能會選擇與企業合作，例如“政務一網通”等平臺的建設，往往是由政府提供信息資源，由企業提供技術支持。這種政務平臺的建設使得與之合作的企業擁有“準數據權利”，在合作過程中可以無償獲取大量個人信息。借助與政府合作的橋梁，企業也能在政府符合公共利益規則的情況下，間接實現其所追求的個人信息獲取、利用和處理目標。

（三）司法適用與監督制度缺位

相較于公共利益本身所面臨的解釋困境與代表主體混亂問題，個人信息保護中，公共利益規則在適用和監督制度上的問題同樣突出，其中最為突出的便是適用范圍泛化以及相應監督程序缺乏。

1.適用范圍泛化

實踐中存在諸多將公共利益適用范圍擴大的情況，這一點在政府收集與使用個人信息時表現得尤為明顯。具體表現為以下兩種情形：第一，為維護國家利益、公共安全、民法基本原則、法律法規或政策等所實施的個人信息收集、處理行為，都能成為適用公共利益規則的理由，因而免除個人信息處理者的責任。第二，將公益性組織、社會團體的個人信息權益直接等同于社會公共利益。在涉案當事人一方為醫院、學校等具有社會公益性質的組織時，法院認為對上述組織信息權益的損害就是對公共利益的損害，這明顯忽略了公益性組織可能實施非公益行為的事實。

究其原因，公共利益規則適用范圍的泛化，與個人信息收集規則存在漏洞和個人信息收集限制僅存在原則性規定有關。一方面，有關個人信息的收集規則在銜接上存在漏洞。《個人信息保護法》中所規定的規則只能限制私主體之間的個人信息糾紛，公權力機關仍可憑借其合法地位，對符合公共利益的情形進行自主解釋并適用。換言之，政府收集、利用個人信息的行為，在多數情況下不受《個人信息保護法》的限制。這一問題集中表現為公法與私法銜接所帶來的法律規定漏洞。另一方面，對個人信息收集的限制僅存在原則性規定。我國法律規定中對個人信息收集的限制，主要體現為《個人信息保護法》第6條規定的“合目的性原則”和“最小化原則”。而該原則性規定存在明顯缺陷。第一，原則性規定本身的抽象性導致個人信息處理者在收集個人信息時享有較大的自主解釋空間，并且這種自主解釋的范圍很難在立法或司法層面予以規制。第二，原則性規范本身無法直接適用，法官在適用類似規范時表現得較為謹慎，一般情況下不隨便適用；第三，目前我國法律中并無相關配套措施與之銜接，這無疑加重了該規定閑置的現狀。收集規則漏洞與限制規則寬松兩方面共同作用，使得公共利益規則極易成為個人信息處理者免除自身責任的“萬金油”。

2.監督制度缺失

適用范圍泛化加重了個人信息權益與公共利益的失衡，而監督制度缺失則直接關系到我國個人信息保護制度的進一步完善和發展。在信息技術迅猛發展的背景下，“現行組織運行體系對國家機關與私人企業的監管體系進行混置，沒有關照到監管機構在應對國家機關違法處理個人信息時的客觀性要求”。為此，建立專門的個人信息保護和監督機構是十分必要的。第一，我國《個人信息保護法》第60條確立了“網信部門統籌協調+有關部門各自監管”的模式，由相關部門或組織依照各自的職責履行個人信息保護和監督義務。所謂的相關部門不僅包括工信部、公安部、交通運輸部等中央政府部門，還包括銀監會、國家衛健委等專業監管機關。基于上述監管模式，在公共利益規則的適用領域，出現了監管機關并不統一的現象。例如，為應對突發性公共衛生事件，履行個人信息保護和監管職能的機關要依具體情形確定，可能是國家衛健委，也可能是某地區的其他政府機關。在“九龍治水”的情況下，容易出現執行機關標準不一、職權交叉、重復執法等問題，甚至出現超出法律授權范圍采集、使用個人信息的情況。這既不利于個人信息的有效保護，容易增大個人信息泄露的風險，也容易造成社會行政資源和司法資源的浪費，不利于社會整體資源的節約和利用。第二，以公共利益為由收集、處理個人信息的行為缺乏必要約束，這在政府借助公權力收集、處理個人信息方面表現得尤為明顯。公權力本身相較于私權處于優勢地位，對其行為的約束主要通過監督方式實現。因此，從社會需求來看，建立健全個人信息保護和監督制度就成為迫切的現實需要。

三、困境消解：公共利益規則的適用改進

（一）明晰公共利益的內涵和外延

明確公共利益的內涵和外延并非易事，對此不少學者表達了自己的看法。高志宏認為，公共利益在不同的情境下具有不同的內涵，因此對公共利益的判斷應當在特定的時空條件下進行，并建議在立法上采取“內涵界定+外延列舉+兜底條款”的方式明確公共利益的法定范圍。筆者贊同其對公共利益判斷的表述，但對其所主張的建議持不同看法。上述建議雖然能具體界定公共利益的內涵和外延，但缺乏實際操作性，對公共利益的內涵進行明確界定已非易事，在此基礎上明確“外延列舉”，在當前的立法技術框架下幾乎無法實現。對此，筆者認為，歐盟《通用數據保護條例》（General Data Protection Regulation，簡稱GDPR）中對不同層次的公共利益進行差異化處理的方法更具有可操作性，可以適當借鑒此種做法。

GDPR在序言部分對不同場景的公共利益作出闡釋，描述了該條例下公共利益的大致譜系，有學者便根據GDPR的闡釋將公共利益區分為“一般公共利益”與“重要或重大的公共利益”。相較于“一般公共利益”而言，“重要或重大的公共利益”的重要性程度更高，所需要的保護也更為全面。因此，若在個人信息收集、處理過程中觸犯“重要或重大的公共利益”，該信息處理者將要承擔更為嚴厲的懲罰后果。另一方面，若以“重要或重大的公共利益”為合法性基礎收集、處理個人信息，即使包含敏感數據的處理，也將被視為合法行為。換言之，對個人信息處理者的信息處理行為，“重要或重大的公共利益”具有最強的豁免效果。

以此為基礎，我國學者將其適用于《個人信息保護法》的相關規定，對公共利益的層次性差異進行了重新解讀。《個人信息保護法》第13條第1款第4項的規定可以被解釋為“重要或重大的公共利益”，基于此類公共利益所實施的個人信息處理活動自動具備相應的合法性基礎，因此，無論是政府部門還是商事主體，以此項為由所實施的個人信息收集或使用活動，均不應受到相應的法律追究。第5項的規定則屬于“一般公共利益”的范疇，為此類公共利益所實施的信息處理活動，只有在合理的范圍內才可以適用公共利益豁免規則。對于“合理的范圍”的解釋，檢察機關的公益訴訟主要審查信息處理活動的“處理目的、處理方式、個人信息的種類以及對個人權益的影響、可能存在的安全風險等”問題，最后的訴訟結果可以要求“停止侵害”或者“民事賠償”（構成個人信息侵權的情況下）。對公共利益進行層次性差異處理的做法，不僅能夠巧妙化解公共利益的界定難題，還能有效擺脫法律規定的適用范圍限制，合理解決法律規定滯后性等固有難題。隨著信息網絡的逐步發展，對于新興公共利益類型，同樣可以適用上述分類，對不同的信息處理行為進行差異化處理，從而達到合理適用公共利益規則的法律效果。

（二）厘清代表主體的權益定位

《個人信息保護法》中雖然有專門章節對國家機關處理信息的活動作出規定，但其規定條款仍屬于原則性闡述，沒有明確政府與企業在信息處理中各自的定位。為厘清各類利益主體在個人信息保護中所代表的利益側重點，以更好解決公共利益規則的適用困境，需要根據信息處理者對個人信息的干預強度和強制程度，將個人信息責任主體分為行政主體、企業主體和其他社會主體三大類，并對每一類社會主體所涉及的公共利益問題進行具體分析。

對于行政主體所代表的社會公共利益，需要在明確政府信息利用邊界的基礎上，對政府個人信息收集處理行為進行適當限制，以充分保護公民的個人信息權益。政府作為國家公權力的代表，在個人信息保護與利用過程中扮演著雙重角色。一方面，政府一直是最大的個人信息收集和利用者，社會公共事務的管理和公共福利的推進都要求政府掌握大量個人信息。例如人口普查等管理活動，離不開對個人信息的收集和利用。另一方面，政府作為國家權力的承擔者，負有保護公民合法權益的職責。個人信息權益是一項法律所認可的基本權益，保護個人信息權益同樣屬于政府的職責范圍。集保護與利用于一身并不意味著政府可以在處理個人信息時“為所欲為”，恰恰相反，這對政府行為提出了更高的要求：一是要遵循比例原則，對個人信息的適用保持適度性、必要性，達到個人信息權益受到的損害最小、程度最輕、個人信息使用次數最少的效果；二是要遵循目的正當原則，不僅要求政府的適用目的符合當前社會一般認同的價值（實質正當性），同時還要求這一目的必須為法律所明確認可（形式正當性）；三是要遵循安全保障原則，為保障政府個人信息收集行為的安全性，應及時采取信息保密、技術保護和完善補救措施，如對保密人員的信息進行“匿名化”“去標識化”處理，或者對其已經收集的個人信息，按照數據生命周期分階段予以封存或銷毀。

對于企業主體利益與社會公共利益的平衡，則涉及利益衡量問題。對于以數據信息為基礎展開生產經營的企業主體而言，信息收集與處理活動構成了其生產經營的基礎。并且，企業在依托數據信息實現其商業價值的同時，還有利于順應新發展階段形勢變化、搶抓信息革命機遇、構筑國家競爭新優勢、加快建成社會主義現代化強國。可見，企業主體對個人信息的利用對于社會整體發展起到了一定的積極作用，但在企業經濟利益與社會公共利益發生沖突時，一般要優先保護社會公共利益，這是穩定社會秩序的應有之義。因此，在利益衡量過程中，不僅要兼顧企業經濟效益與社會公共利益，還要督促企業依法承擔社會責任，做好內部行業自律。由于采取分散式立法模式，美國的個人信息保護在很大程度上依賴行業自律。例如，美國瀏覽器服務提供商組成的內部行業聯盟曾合作開發出一種新網頁，該網頁能夠讓消費者一方自主決定是否拒絕跟蹤用戶行為。日本參考美國企業實行行業自律的做法，由政府牽頭制定“安全管理系統評估制度”。歐盟GDPR第40條、第41條規定，協會和其他信息控制者的代表可以制定、修訂或準備擴充行為準則。他山之石，可以攻玉，我們應適當借鑒行之有效的做法，在個人信息保護領域鼓勵行業自律，在技術保護模式、行為準則等方面，制定相對成熟的行業自律方案，并使之推廣適用。

對于其他社會主體（即社會公眾）所代表的公共利益，重點在于走出公共利益的理解誤區，也就是對《個人信息保護法》第70條所規定的“侵害眾多個人的權益”作出合理解釋。一般而言，對“侵害眾多個人的權益”有兩種解釋方式。一種認為，只要被害人一方人數眾多，就構成對公共利益的侵犯，并可以此為由提起民事公益訴訟。在“眾多”的認定上采用量化標準是理論與實踐中的普遍做法，例如最高院司法解釋曾將“民事訴訟法第53條、54條和206條規定的人數眾多，細化為十人以上”。另外，有學者在第70條的釋義中認為，“在信息化時代，個人信息在很多領域被大量處理，通常違法處理信息的行為會涉及大量個人，侵害眾多的權益”，也是定位于對現象的描述。另一種觀點則強調，提起公益訴訟不僅應當在形式上符合“人數眾多”的要求，還應當發生損害社會公共利益的實質效果。由于信息處理者的一次侵權行為往往不只損害一位個人信息主體，其侵權行為本身就具備受害者人數眾多的特征，若僅以形式上是否達到法定人數為構成條件，那么可以說，所有的個人信息侵權案件都能適用公益訴訟制度，這明顯與實際情況存在偏差。人數眾多并不能直接代表社會公共利益，損害眾多社會主體的個人信息權益往往只是損害社會公共利益的表象，這一表象需要被司法機關作為案件裁判的考量因素之一，但不是其所考量的主要因素。要認定被告行為是否損害社會公共利益，最為重要的是對公共利益所代表的抽象概念進行合理解釋。有學者將這一抽象概念概括為“潛在的、可能廣泛分布的、不特定的多數” 。因此，有學者主張在對第70條進行理解時，應當從三個方面進行把握：一是個人信息處理者違法處理個人信息；二是侵害眾多個人權益；三是實質侵害社會公共利益。基于上述觀點，筆者認為，從形式與實質兩個方面把握“人數眾多”的看法更為合理，只是在解釋過程中，需要對何為“實質侵害社會公共利益”作出更加細致的分析。

（三）合理界定司法適用的范圍并完善監督制度

為應對公共利益規則的濫用帶來的個人信息保護困境，應當重新合理界定公共利益規則的適用范圍，促進公共利益向具體規則的轉化。此外，為完善個人信息保護領域的監督制度，還應當建立專門的個人信息保護監督機構，并在此基礎上逐步建立健全個人信息保護事前預防體系，統籌推進事前預防和事后救濟的平衡。

1.合理界定適用范圍

公共利益概念本身的模糊性和抽象性，使得直接在司法實踐中確定公共利益的適用范圍并非易事。但是可以嘗試將公共利益規則司法適用范圍的確定分兩步實現：第一步先解決如何在立法層面實現公共利益的具體化問題；第二步再實現司法適用范圍的合理界定。換言之，在直接界定司法適用范圍之前，可以先在立法上促進公共利益向具體規則轉化。其具體實現過程包括“從憲法到法律”“從法律再到法規”兩個層次。首先，通過立法實現公共利益從概念到原則再到具體法律規則的轉化，在轉化過程中應注意對公共利益進行實質與形式兩種界定，以充分明確公共利益的具體規則。其次，發揮規章的補缺作用，在法律和行政法規缺乏相應的規定時，通過制定規章的方式對上述漏洞進行補充，但在規章制定過程中，應當保證其與上位法的立法宗旨及原則規定不相沖突。

2.建立健全司法監督程序

針對我國個人信息保護領域監管機構混亂、監管程序缺失的現狀，建立專門監督機構已成為當務之急。從可行性角度分析，我國目前已經具備了建立專門監管機構可供參考的國外經驗和國內實踐。首先，國外已經存在建設專門監督機構的先進經驗可資借鑒。我國可以參考歐盟的做法，建立一個獨立的個人信息保護監督機構，負責檢察內外機構的個人信息處理行為。也可以參考英國的做法，由國家牽頭成立公共利益代表機構，推動實現數據共享。英國政府受英國國家醫療服務系統、醫療服務提升與發展中心和國家醫療服務改革小組的委托，開發了一個專門用于協調、響應國家組織間能安全、可靠、及時傳遞信息的數據平臺，發揮了很積極的作用，值得學習借鑒。其次，我國已經存在建立專門監督機構的先例，《深圳經濟特區數據條例（征求意見稿）》中就率先提出設立數據工作（監督）委員會，負責監督并協調數據處理工作。在國家層面，我國已經存在有關數據信息共享互通方面的長遠戰略，例如，國家衛健委、國家中醫藥局、國家疾控局印發的《“十四五”全民健康信息化規劃》中提出，到2025年，我國將初步建設形成統一權威、互聯互通的全民健康信息平臺支撐保障體系，實現全民健康信息平臺互聯全覆蓋。上述戰略雖然只是針對衛生健康領域的信息互聯互通，但這足以顯示我國對數據信息發展的重視程度正在逐步提升，這為信息保護專門監督機構的建立奠定了堅實基礎。

而在建立起專門監督機構的基礎上，建立健全完備的個人信息保護體系勢在必行。目前，我國的個人信息保護主要集中在事后救濟，但面對大規模的持續性信息處理風險，事后救濟往往顯得力不從心。尤其是在公法廣泛介入信息保護的背景之下，還應當建設起事前預防體系，以便能充分發揮公法在前端的顯著作用，統籌推進事前預防和事后救濟的平衡。個人信息的保護與利用均屬于過程性行為，因此，對惡意收集、處理個人信息的行為而言，最有效的預防手段就是從源頭上提升風險保護意識，強化個人信息保護。“預防原則是公權力面對科技風險的嚴厲舉措，近年來其擴張適用日益廣泛。”而從源頭建立預防機制，預防隨時可能發生的個人信息泄露風險，需要公權力機關充分發揮其作用，設置合理的前置程序、制定相關規章政策、設定嚴格保護標準，及時消除個人信息侵權的潛在風險，在最大程度上降低個人信息侵權事件發生的可能性。

結 語

在信息技術廣泛應用的信息時代，公共性利用個人信息時使用者越界的現象已成為普遍現象，立法所確立的公共利益規則并未起到限縮公共利益條款適用范圍的作用，反而加劇了公共利益適用擴張的局面。本文在將立法規范與司法實踐相結合的基礎上，重新梳理了公共利益規則的適用困境，從公共利益本身到公共利益代表主體，再到公共利益的司法適用與監督制度，探究公共利益規則適用范圍出現泛化趨勢的本質原因，并指出建立健全個人信息保護監督制度的必要性。在此基礎上，針對每一具體問題提出相應改進建議。首先，在公共利益內涵與外延的界定上，相較于“內涵界定+外延列舉+兜底條款”的界定方式，建立在公共利益層次性差異化處理基礎上的分類處理方式，更加具有實際操作的可能性，能夠巧妙化解公共利益界定難題。其次，在公共利益的代表主體上，不同個人信息責任主體涉及的公共利益問題并不相同，對行政主體而言，在個人信息處理中應嚴格遵守比例原則、目的正當原則和安全保障原則。對企業主體而言，應當同時兼顧企業經濟效益與社會公共利益，加強內部行業自律。對其他社會主體而言，則要合理把握侵犯公共利益的認定標準，防止假借公共利益之由濫用公益訴訟制度。最后，在司法適用與監督上，不僅要合理確定公共利益規則的司法適用范圍，還要建立健全個人信息保護司法監督制度，具體包括建立專門監督機構和健全個人信息保障體系，重點加強事前預防體系建設。

值得肯定的是，我國在個人信息保護領域已經逐步從宏觀層面轉向微觀層面，從原則性規范轉向具體制度，但面對個人信息權益與社會公共利益之間的緊張關系，仍存在諸多需要借鑒和改進之處。尤其是在我國電商經濟、數據經濟迅猛發展的背景下，探索構建適合我國國情的個人信息保護道路，以在最大程度不損害個人利益的前提下促進社會公共利益的實現為目標，找到個人信息權益與公共利益之間的平衡點，才能達到合理適用公共利益規則的實際效果，真正實現多種社會主體之間的利益平衡。

Application Dilemmas and Resolution Paths of the Public Interest Rule in Personal

Information Protection

Li Yueli，GAO Min

（School of Humanities and Law，Hebei University of Technology，Tianjin 300401，China）

Abstract： Personal information protection involves not only balancing interests between private rights holders but also resolving value conflicts between public interest and personal information rights. The principle of public interest superiority，widely recognized both domestically and internationally，provides a legitimate basis for restricting personal information rights in favor of public interest. However，excessive emphasis on the precedence of public interest may lead to its overgeneralization and misuse，resulting in infringements on personal information rights. China’s personal information protection laws face issues such as ambiguous definitions of public interest，diverse and complex interest-representing entities，and a lack of judicial application and supervisory mechanisms，exacerbating conflicts and imbalances between public interest and personal information rights. To address these challenges，it is necessary to adopt the theory of hierarchical differentiation of public interest to clarify its connotations and scope； define the roles and rights of administrative，corporate，and other social entities； reasonably delimit the scope of judicial application； and establish and improve judicial supervisory mechanisms.

Key words： personal information protection； public interest rule； balance of rights and interests