亚洲综合图片20p,欧美一级黄片视频免费,天天干天天日天天干天天日天天日,亚洲av最新版本天堂在线,电影人妻和服诱惑之,日韩人妻一区二区三区不卡,97超碰大香蕉久久草,亚洲无码专区中文字幕专区,最近日韩av一区二区

趙宏，法學(xué)博士，中國政法大學(xué)法學(xué)院教授。

目錄

一、信息權(quán)的保護(hù)路徑與復(fù)雜屬性

二、信息權(quán)公法保護(hù)的基本架構(gòu)和國家的雙重義務(wù)

三、消極義務(wù)下的數(shù)據(jù)公法保護(hù)規(guī)則與問題

四、“用戶—平臺(tái)—國家”三邊關(guān)系下的國家積極義務(wù)

五、結(jié)語

引言

為因應(yīng)大數(shù)據(jù)時(shí)代下對(duì)個(gè)人信息的保護(hù)，2020年5月28日頒布的《中華人民共和國民法典》（下稱《民法典》）在第111條中明確申明，“自然人的個(gè)人信息受法律保護(hù)。任何組織或者個(gè)人需要獲取他人個(gè)人信息的，應(yīng)當(dāng)依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個(gè)人信息，不得非法買賣、提供或者公開他人個(gè)人信息”。這一規(guī)定對(duì)此前散見于《中華人民共和國刑法修正案（七）》《中華人民共和國侵權(quán)責(zé)任法》《中華人民共和國消費(fèi)者權(quán)益保護(hù)法》《中華人民共和國網(wǎng)絡(luò)安全法》（下稱《網(wǎng)絡(luò)安全法》）與《全國人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》等法律規(guī)范中的信息保護(hù)規(guī)定進(jìn)行了階段性匯總，也將個(gè)人信息保護(hù)提升到全新高度。

但《民法典》僅申明“自然人的個(gè)人信息受法律保護(hù)”，而并未像前款“隱私權(quán)”一樣，將個(gè)人信息保護(hù)作權(quán)利化處理。因此很多學(xué)者指出，《民法典》對(duì)于個(gè)人信息的保護(hù)仍舊有所保留。仔細(xì)品讀《民法典》的立法說明和背景資料大致可得，《民法典》采用上述處理方式的用意主要在于：其一，信息權(quán)作為一類新型權(quán)利，其范疇、意涵與定位至今都存有較大爭論，因此不宜在《民法典》中過早框定，而應(yīng)交由專門的個(gè)人信息保護(hù)法處理；其二，如果將個(gè)人信息予以權(quán)利化處理，在此項(xiàng)權(quán)利邊界未明的情況下，容易導(dǎo)致個(gè)人的信息獨(dú)占影響數(shù)據(jù)流通。

盡管未將個(gè)人信息予以權(quán)利化處理，但《民法典》卻已搭建起個(gè)人信息保護(hù)的基本制度框架，包括個(gè)人信息的界定，處理個(gè)人信息的原則要件、信息主體與信息處理者之間的權(quán)利義務(wù)關(guān)系等。尤其值得一提的是，因?yàn)椤睹穹ǖ洹吩诘?11條指出，個(gè)人信息保護(hù)指向“任何組織與個(gè)人”，“任何組織或者個(gè)人需要獲取他人個(gè)人信息的，應(yīng)當(dāng)依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個(gè)人信息，不得非法買賣、提供或者公開他人個(gè)人信息”，此處的“任何組織或者個(gè)人”當(dāng)然包含國家公權(quán)機(jī)關(guān)，故《民法典》雖然是私權(quán)的匯總，卻同樣納入了對(duì)個(gè)人信息的公法保護(hù)。從這個(gè)意義上說，上述規(guī)定填補(bǔ)了此前我國法制整體對(duì)于個(gè)人信息公法保護(hù)的缺漏。

新近提交第十三屆全國人民代表大會(huì)常務(wù)委員會(huì)第二十二次會(huì)議審議的《中華人民共和國個(gè)人信息保護(hù)法（草案）》（下稱《個(gè)人信息保護(hù)法（草案）》）中，同樣在“總則”第11條寫明，“國家建立健全個(gè)人信息保護(hù)制度”。其第二章“個(gè)人信息處理規(guī)則”專節(jié)處理“國家機(jī)關(guān)處理個(gè)人信息的特別規(guī)定”，第六章更細(xì)致規(guī)定“履行個(gè)人信息保護(hù)職責(zé)的部門”。這些規(guī)定與《個(gè)人信息保護(hù)法（草案）》中有關(guān)私人信息處理主體的規(guī)定相互并置，可說確立了我國在個(gè)人信息保護(hù)領(lǐng)域公私協(xié)力、合作共治的基本格局，也徹底化解了此前有關(guān)“數(shù)據(jù)立法的公私之爭”。

在私法保護(hù)之外，強(qiáng)調(diào)個(gè)人信息的公法保護(hù)固然重要，但如何確立個(gè)人信息權(quán)公法保護(hù)的圭臬，卻存在諸多難題。個(gè)人信息的公法保護(hù)首先涉及對(duì)國家無限度收集和不當(dāng)使用個(gè)人信息的防堵，但在處理這一命題時(shí)，又需要在數(shù)據(jù)流通、數(shù)據(jù)開發(fā)所追求的公益與個(gè)人信息權(quán)所維護(hù)的私益之間進(jìn)行權(quán)衡，這一難題在大數(shù)據(jù)時(shí)代下并無法輕易化解。在此次抗擊新冠肺炎疫情中，該點(diǎn)表現(xiàn)得尤為突出。從最初個(gè)別地方政府為阻卻疫情傳播曝光返鄉(xiāng)人員名單而引發(fā)眾怒，至后來政府在公布確診患者的住址信息和行蹤信息時(shí)的詳盡程度之爭，再至學(xué)者們對(duì)健康碼被泛化使用的擔(dān)憂，以及對(duì)個(gè)別地區(qū)啟動(dòng)人臉識(shí)別技術(shù)后引發(fā)的詰難，本質(zhì)上反映的都是這一問題�！睹穹ǖ洹吩谝�(guī)范信息主體與信息處理者之間的權(quán)利義務(wù)關(guān)系時(shí)指出，如果是“為維護(hù)公共利益”而處理個(gè)人信息，則行為人不承擔(dān)民事責(zé)任，其目的是通過這一免責(zé)條款來達(dá)到對(duì)“保護(hù)個(gè)人信息與維護(hù)公共利益之間關(guān)系”的合理平衡。但“公共利益”一詞可說是公法中最大的概念謎團(tuán)，其在一定程度上可以正當(dāng)化國家公權(quán)機(jī)關(guān)收集和使用個(gè)人信息的行為，卻很難對(duì)此種數(shù)據(jù)處理行為予以有效規(guī)制，更不容易調(diào)控信息保護(hù)與數(shù)據(jù)流通之間的矛盾。因此，對(duì)于國家公權(quán)機(jī)關(guān)可因何種公益追求而對(duì)個(gè)人信息予以收集和使用需要更細(xì)致的分析，對(duì)這種行為的限度也需更深入的挖掘。此外，個(gè)人信息權(quán)的公法保護(hù)所強(qiáng)調(diào)的并不只是對(duì)國家無限度收集和不當(dāng)使用個(gè)人信息的防御，還包含個(gè)人信息權(quán)在面臨同為私主體的第三人侵害時(shí)國家的積極介入義務(wù)。但國家對(duì)此積極義務(wù)的履行，本質(zhì)上又是對(duì)原本應(yīng)由私法調(diào)整的以“用戶—平臺(tái)”為代表的民事關(guān)系的干預(yù)和滲透。公權(quán)介入的正當(dāng)性基礎(chǔ)何在，國家此時(shí)又如何選擇監(jiān)管手段，如何調(diào)配私人自治與國家干預(yù)之間的比重與關(guān)系，這些問題亦須在個(gè)人信息權(quán)公法保護(hù)的整體框架下予以思考。

基于上述思考，筆者首先從個(gè)人信息權(quán)的傳統(tǒng)保護(hù)路徑和復(fù)雜屬性出發(fā)，嘗試在將個(gè)人信息權(quán)塑造成基本權(quán)利的基礎(chǔ)上，以基本權(quán)利教義學(xué)為參考，廓清個(gè)人信息權(quán)公法保護(hù)的基本框架，進(jìn)而以《民法典》和《個(gè)人信息保護(hù)法（草案）》為規(guī)范基礎(chǔ)，探討這一保護(hù)框架下所涉及的具體問題。筆者嘗試在《民法典》時(shí)代下，梳理出個(gè)人信息權(quán)公法保護(hù)所涉及的核心問題和思考難點(diǎn)。

一、信息權(quán)的保護(hù)路徑與復(fù)雜屬性

在數(shù)據(jù)時(shí)代，個(gè)人信息是個(gè)體在社會(huì)中標(biāo)識(shí)自己，并與他人建立關(guān)聯(lián)的必要工具。個(gè)人信息若被不當(dāng)收集和使用，將嚴(yán)重危及個(gè)體由信息所組成的數(shù)據(jù)人格，進(jìn)而貶損其人性尊嚴(yán)。正是基于上述共識(shí)，各國都已普遍展開對(duì)個(gè)人信息的嚴(yán)格保護(hù)。但值得關(guān)注的是，與同時(shí)興起的其他權(quán)利保護(hù)需求不同，盡管人們對(duì)信息權(quán)的保護(hù)必要并無異議，但對(duì)信息權(quán)的屬性判定卻自始都存在認(rèn)識(shí)分歧。

（一）信息權(quán)的屬性與保護(hù)路徑之爭

典型的代表性意見之一是將信息權(quán)作為財(cái)產(chǎn)權(quán)來處理�！跋癖Ｗo(hù)私有財(cái)產(chǎn)一樣保護(hù)個(gè)人數(shù)據(jù)”反映的就是這種呼聲。這種意見的支持理由除了信息數(shù)據(jù)的確可以銷售并帶來經(jīng)濟(jì)收益外，還包含了學(xué)者希望經(jīng)由“個(gè)人數(shù)據(jù)的財(cái)產(chǎn)化”（propertization of personal data），以通過財(cái)產(chǎn)侵權(quán)模式來保護(hù)個(gè)人數(shù)據(jù)的考慮。支持個(gè)人信息權(quán)屬于新型財(cái)產(chǎn)權(quán)的學(xué)者，在我國最初不在少數(shù)，但這種觀點(diǎn)很快被數(shù)據(jù)人格權(quán)的觀點(diǎn)所替代。其思考脈絡(luò)在于，現(xiàn)代數(shù)據(jù)技術(shù)已經(jīng)將個(gè)人降格為硬盤中可被隨時(shí)調(diào)取且分析的數(shù)據(jù)，通過獲得、匯集和整合人們?cè)谌粘Ｉ�活中所留存的種種生活軌跡，數(shù)據(jù)技術(shù)已完全能夠在短期內(nèi)描摹出與個(gè)人實(shí)際人格相似的數(shù)字人格。既然數(shù)據(jù)已然成為個(gè)體完整人格的投射，人格權(quán)保護(hù)就應(yīng)拓展至個(gè)人的數(shù)據(jù)人格。對(duì)個(gè)人信息的保護(hù)，也成為數(shù)據(jù)時(shí)代下對(duì)個(gè)體人格權(quán)保護(hù)的延伸。這種將數(shù)據(jù)權(quán)人格權(quán)化的處理為德國首創(chuàng)，之后在歐盟獲得普遍認(rèn)可。數(shù)據(jù)人格權(quán)的處理為個(gè)人信息權(quán)提供了人性尊嚴(yán)、個(gè)人自治（自我確定和自我展開）的憲法教義學(xué)支持，也一舉將個(gè)人信息權(quán)從最初的私權(quán)提升至基本權(quán)利的位階序列。

在被提升為基本權(quán)利后，個(gè)人信息權(quán)被描述為個(gè)人基于自我確定（Selbstbestimmung）和自我展開（Selbstentfaltung）的自我決定權(quán)，其概念和意涵又主要凝結(jié)于德國法上的“個(gè)人信息自決權(quán)”，即“個(gè)人具備權(quán)利，以自行決定何時(shí)并在何種限度內(nèi)披露其個(gè)人生活的事實(shí)”。在被提升為基本權(quán)利后，信息權(quán)具有了對(duì)抗國家的面向，其不僅可以防堵私主體，同樣可以防御國家借由對(duì)個(gè)人信息的無限度收集和違法使用，而對(duì)個(gè)人生活軌跡予以巨細(xì)靡遺的描繪。

與德國的保護(hù)路徑不同，美國的信息保護(hù)雖然也從私人領(lǐng)域擴(kuò)張至公共領(lǐng)域，卻一直是在隱私權(quán)的框架下展開。伴隨時(shí)間演進(jìn)，德美之間的差異已經(jīng)漸次相對(duì)化。由美國聯(lián)邦最高法院諸多判決所確認(rèn)的“憲法隱私權(quán)”，本質(zhì)上就是德國法上“個(gè)人信息自決權(quán)”的對(duì)應(yīng)，這一概念同樣直指國家對(duì)個(gè)人信息的搜集、儲(chǔ)存、利用和公開等行為的合法與正當(dāng)，隱私權(quán)也自此擺脫了私權(quán)的偏狹格局，同樣被提升至憲法高度。此外，因?yàn)槊绹�修訂《隱私法》時(shí)，將“隱私”的保護(hù)對(duì)象拓展至“個(gè)人被政府機(jī)關(guān)所掌控的記錄系統(tǒng)”，“憲法隱私權(quán)”的保障范圍也與信息權(quán)幾無差異。

（二）“信息權(quán)”權(quán)利化處理的問題

但無論是將信息權(quán)形塑為私法上的財(cái)產(chǎn)權(quán)還是人格權(quán)，抑或按照信息自決權(quán)或憲法隱私權(quán)的基本權(quán)路徑對(duì)其予以保護(hù)，因?yàn)槭苤朴趥鹘y(tǒng)權(quán)利建構(gòu)模式的影響，信息權(quán)都被或多或少地賦予絕對(duì)化和個(gè)體化的色彩。而這又與數(shù)據(jù)時(shí)代下基于數(shù)據(jù)自由流通所欲追求的公益和其他法益之間形成張力。以信息自決權(quán)為例，其意涵是“個(gè)人對(duì)其一切具有識(shí)別性的個(gè)人信息的收集、處理和利用均享有決定權(quán)和控制權(quán)”，也因此要求信息主體要對(duì)數(shù)據(jù)的獲取、處理過程完全知情和充分參與。這就導(dǎo)致個(gè)人對(duì)數(shù)據(jù)的自決與控制自始就包含一種絕對(duì)化的趨向。知情同意最初作為調(diào)控信息保護(hù)的首要原則，也正是基于個(gè)人對(duì)信息的控制要求。德國聯(lián)邦憲法法院在最初提出信息自決權(quán)概念時(shí)，已經(jīng)意識(shí)到這一問題，并嘗試通過指出“信息自決權(quán)并非無限，對(duì)其自身信息，個(gè)人并不具有任何絕對(duì)或無限的控制”，“為了迫切的公共利益，個(gè)人在原則上必須接受對(duì)其信息自決權(quán)的某種限制”，來對(duì)其絕對(duì)化趨向予以緩解。與德國信息自決權(quán)思路一脈相承的歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）同樣申明，“保護(hù)個(gè)人數(shù)據(jù)的權(quán)利不是一項(xiàng)絕對(duì)權(quán)利，應(yīng)考慮其在社會(huì)的作用，并根據(jù)比例原則與其他基本權(quán)利保持平衡”。

因?yàn)樾畔⒆詻Q權(quán)的推導(dǎo)是從個(gè)體的人格自治出發(fā)，這就導(dǎo)致其從根本上還是帶有傳統(tǒng)權(quán)利個(gè)體化的、排他的和積極的支配屬性。但在數(shù)據(jù)時(shí)代，一方面能夠?qū)�個(gè)體身份和個(gè)性特征予以識(shí)別的信息海量產(chǎn)生，數(shù)據(jù)技術(shù)的疾速發(fā)展也使對(duì)個(gè)體的識(shí)別更加便利、精準(zhǔn)和全面；另一方面數(shù)據(jù)時(shí)代的紅利，也確須盡可能多地鼓勵(lì)數(shù)據(jù)處理者對(duì)信息進(jìn)行分析識(shí)別，推進(jìn)數(shù)據(jù)流通和數(shù)據(jù)交易，進(jìn)而實(shí)現(xiàn)社會(huì)發(fā)展。據(jù)此，如果沿用傳統(tǒng)權(quán)利的思考框架和保護(hù)模式，強(qiáng)調(diào)個(gè)人對(duì)于數(shù)據(jù)的絕對(duì)支配和過高的同意要求，顯然就會(huì)妨礙數(shù)據(jù)處理和數(shù)據(jù)流通，并最終喪失數(shù)據(jù)時(shí)代的紅利。這一問題反映于法學(xué)領(lǐng)域就表現(xiàn)為：越來越多的學(xué)者開始主張，“個(gè)人信息只是一種可以識(shí)別某個(gè)人的事實(shí)或記錄，并不當(dāng)然地應(yīng)該由個(gè)人擁有或控制”，即數(shù)據(jù)本身具有“公共性和可共享性”。這種公共性表現(xiàn)為：“目前個(gè)人數(shù)據(jù)在定義上幾乎被視為公共領(lǐng)域的組成部分，是可以廣泛獲得和使用的，無論是從實(shí)踐還是從法律目的上，個(gè)人數(shù)據(jù)均處于公共領(lǐng)域�！倍�且，在個(gè)人信息之上所附著的不僅有自然人的私益訴求，還有公共管理、國家安全等公益屬性。如果僅因數(shù)據(jù)和個(gè)人存在聯(lián)系或具有識(shí)別性，就賦予個(gè)人對(duì)個(gè)人數(shù)據(jù)的排他性控制權(quán)，為私人所專有獨(dú)斷，不僅與共享要求不符，也有失法律正當(dāng)。其最終結(jié)果只能是產(chǎn)生“數(shù)據(jù)壁壘”和“信息孤島”。如何調(diào)試大數(shù)據(jù)發(fā)展與個(gè)人信息保護(hù)，是數(shù)據(jù)時(shí)代下的最大挑戰(zhàn)。如序言所述，《民法典》僅對(duì)個(gè)人信息保護(hù)進(jìn)行框架化處理，并未如部分學(xué)者所主張的直接將個(gè)人信息進(jìn)行權(quán)利化處理，反映的也正是“合理平衡保護(hù)個(gè)人信息與維護(hù)公共利益”的難題。

綜上，信息權(quán)的復(fù)雜性要求我們不能用傳統(tǒng)權(quán)利的觀點(diǎn)去認(rèn)識(shí)和框定這一新興權(quán)利；但反過來，如果我們僅因這一原因就刻意回避權(quán)利話語，在未來仍舊還是以此前數(shù)據(jù)安全、風(fēng)險(xiǎn)防范的思維方式去思考數(shù)據(jù)保護(hù)的問題，也無法因應(yīng)數(shù)據(jù)時(shí)代下數(shù)據(jù)保護(hù)的需要。正是基于這一背景，盡管《民法典》對(duì)信息保護(hù)未作權(quán)利化處理，但新近提交審議的《個(gè)人信息保護(hù)法（草案）》卻是在借鑒歐盟的經(jīng)驗(yàn)基礎(chǔ)上，“以全面構(gòu)建個(gè)人數(shù)據(jù)治理體系為原則，以防范個(gè)人信息安全風(fēng)險(xiǎn)為目標(biāo)，明確引入公法意義上的個(gè)人信息控制權(quán)概念，并在收集、使用、轉(zhuǎn)移、存儲(chǔ)、跨境傳輸、銷毀、查詢、更正等個(gè)人信息處理的全過程，明確信息主體的知情權(quán)、同意權(quán)、選擇權(quán)、變更權(quán)、刪除權(quán)、撤回權(quán)等各權(quán)項(xiàng)，使信息主體能夠真正參與到個(gè)人信息保護(hù)之中”。在有關(guān)《個(gè)人信息保護(hù)法（草案）》的立法說明中，“制定個(gè)人信息保護(hù)法是進(jìn)一步加強(qiáng)個(gè)人信息保護(hù)法制保障的客觀要求”，被排在所有立法目的之前予以強(qiáng)調(diào)。該法第2條已明確出現(xiàn)“個(gè)人信息權(quán)益”的提法，第四章則體系化地列舉“個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利”，包括個(gè)人對(duì)其信息處理的知情權(quán)、決定權(quán)、查閱權(quán)、復(fù)制權(quán)、更正權(quán)、補(bǔ)充權(quán)、刪除權(quán)等，上述規(guī)定對(duì)應(yīng)第五章“個(gè)人信息處理者的義務(wù)”，塑造出個(gè)人信息權(quán)作為“權(quán)利束”的完整圖像。但同時(shí)值得玩味的是，《個(gè)人信息保護(hù)法（草案）》第四章的標(biāo)題為“個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利”，而非“個(gè)人信息權(quán)利”，此處的表達(dá)差異和對(duì)權(quán)利的前綴限定，同樣反映出立法者基于“維護(hù)網(wǎng)絡(luò)空間良好生態(tài)”“促進(jìn)數(shù)字經(jīng)濟(jì)健康發(fā)展”等其他法益考慮，而對(duì)信息權(quán)所作的區(qū)別于傳統(tǒng)權(quán)利的差異化處理。

二、信息權(quán)公法保護(hù)的基本架構(gòu)和國家的雙重義務(wù)

以德國基本權(quán)利教義學(xué)為參考，公法對(duì)于基本權(quán)利的保護(hù)主要通過如下方式展開：首先是國家的消極義務(wù)。消極義務(wù)的基礎(chǔ)在于基本權(quán)利的防御權(quán)（Abwehrsrecht）功能，即所有的基本權(quán)利構(gòu)筑出一個(gè)私人生活領(lǐng)域，在此領(lǐng)域中排除國家的不當(dāng)干預(yù)，而國家為此所承擔(dān)的義務(wù)也僅是對(duì)此私人自由和自治空間予以尊重、保持克制、不予犯進(jìn)。其次是國家的積極義務(wù)。積極義務(wù)要求國家必須積極作為以幫助和促進(jìn)個(gè)人基本權(quán)利的實(shí)現(xiàn)，積極義務(wù)先是通過個(gè)人的給付請(qǐng)求權(quán)獲得表現(xiàn)，此外在個(gè)人基本權(quán)利受到第三方影響時(shí)，國家還負(fù)有義務(wù)為其提供保護(hù)。后者在德國法中被歸納為國家的保護(hù)義務(wù)（Staatliche Schutzpflichtung）。概言之，國家對(duì)基本權(quán)利的積極義務(wù)主要由給付與保護(hù)來構(gòu)成。上述法教義框架對(duì)于我國憲法學(xué)同樣影響深遠(yuǎn)，我國在2004年修憲時(shí)，將“國家尊重和保障人權(quán)”規(guī)定于《中華人民共和國憲法》第33條第3款中。這一條款不僅被憲法學(xué)者延伸解釋為我國基本權(quán)利的概念性條款，憲法學(xué)者還比對(duì)德國基本權(quán)利教義的上述結(jié)構(gòu)，從“尊重”和“保障”用語的差異與并置中推演出國家對(duì)于基本權(quán)利的雙重任務(wù)，即“尊重”代表了國家對(duì)基本權(quán)利的消極義務(wù)，而“保護(hù)”則對(duì)應(yīng)國家的積極義務(wù)。

（一）國家對(duì)于信息權(quán)的雙重義務(wù)

既然信息權(quán)已被提升至基本權(quán)序列，那么將上述思考模式適用于信息權(quán)的公法保護(hù)，國家為此承擔(dān)的義務(wù)就同樣可拆分為兩個(gè)方面：首先是消極義務(wù)。這種義務(wù)在信息權(quán)保護(hù)中表現(xiàn)為個(gè)人基于信息自決免受國家對(duì)其信息的無限度收集和不當(dāng)使用。消極義務(wù)的目標(biāo)在于防堵國家在數(shù)據(jù)時(shí)代下，借由數(shù)據(jù)調(diào)取和數(shù)據(jù)整合技術(shù)，產(chǎn)出部分或是幾乎完整的“個(gè)人輪廓”，并由此對(duì)公民的私人空間和自決能力予以削減。其次是積極義務(wù)。在積極義務(wù)方面，因?yàn)閷?duì)信息權(quán)的保護(hù)幾乎并不需要國家的積極給付，這一部分就著重體現(xiàn)為個(gè)人作為信息主體，面對(duì)與其地位不對(duì)等的其他信息控制者時(shí)，國家須承擔(dān)的介入和保護(hù)義務(wù)。

在實(shí)踐中，除國家為公共利益和平衡其他法益而收集、使用個(gè)人信息外，個(gè)人數(shù)據(jù)的另一重要收集和控制者還包括以互聯(lián)網(wǎng)平臺(tái)為代表的私主體。對(duì)于這些私人信息控制者，數(shù)據(jù)就是生產(chǎn)要素和行動(dòng)指引，其可通過數(shù)據(jù)揭示的相關(guān)性，提前預(yù)測信息主體和社會(huì)的各種需要，從而獲得巨大的經(jīng)濟(jì)收益，這也是私主體收集和使用個(gè)人信息的最大動(dòng)因。但因?yàn)檫@些私人信息控制者在數(shù)據(jù)技術(shù)上的絕對(duì)優(yōu)勢，作為個(gè)人的信息主體幾乎很難通過傳統(tǒng)的私法侵權(quán)模式予以對(duì)抗，由此便要求國家通過行業(yè)監(jiān)管、執(zhí)法威懾、責(zé)任追究等方式，積極介入以“用戶—平臺(tái)”為代表的私法關(guān)系中，以確保個(gè)人信息同樣免受其他私人的非法收集和不當(dāng)使用。

上述公法保護(hù)的基本架構(gòu)如圖1所示。

圖1　公法保護(hù)的基本架構(gòu)

回溯至《個(gè)人信息保護(hù)法》的起草過程，公法保護(hù)和私法保護(hù)對(duì)于數(shù)據(jù)權(quán)的全面保護(hù)雖都不可或缺，但在立法過程中，還是出現(xiàn)過個(gè)人信息保護(hù)的重心究竟落腳于行政法保護(hù)還是民法保護(hù)的爭論。這一爭議又延伸出個(gè)人信息的保護(hù)模式以及政府與個(gè)人責(zé)任分配之爭。但大數(shù)據(jù)時(shí)代下的數(shù)據(jù)保護(hù)難題卻證明，個(gè)人信息保護(hù)已經(jīng)遠(yuǎn)遠(yuǎn)超出了公私法二分的傳統(tǒng)格局，單獨(dú)倚重任何一個(gè)方面都會(huì)有所欠缺，而真正有效的治理模式必然是一種多元并行的綜合框架。

（二）《民法典》與《個(gè)人信息保護(hù)法（草案）》中的雙重保護(hù)架構(gòu)

上述觀念也已在《民法典》中呈現(xiàn)端倪。但從《民法典》的具體規(guī)定來看，其雖納入了信息權(quán)的公法保護(hù)，其中規(guī)定的信息處理的核心法則，例如“合法、正當(dāng)、必要原則，不得過度處理”，以及相關(guān)的條件性指引包括知情同意原則、公開原則、目的明確與受目的限制等，卻都同樣適用于作為數(shù)據(jù)控制者的國家和私主體。從這個(gè)意義上說，除了提供了個(gè)人信息保護(hù)的基本制度框架外，《民法典》對(duì)于公法保護(hù)和私法保護(hù)如何并置發(fā)展，尤其是國家和私主體在信息收集和處理方面雖然遵守同樣的原則指引，但具體適用時(shí)是否存在差異，并未作更詳盡的說明和提示。

最近提交審議的《個(gè)人信息保護(hù)法（草案）》除延續(xù)了《民法典》公私并置的保護(hù)格局外，在具體展開上顯然是汲取了德國與歐盟的有益經(jīng)驗(yàn)，因此，國家在數(shù)據(jù)保護(hù)中的雙重義務(wù)構(gòu)造同樣呈現(xiàn)于這部草案中�！秱�(gè)人信息保護(hù)法（草案）》在第一章“總則”第4條列舉了個(gè)人信息的一般范疇，第5～9條列舉了信息收集處理的基本原則后，在第二章“個(gè)人信息處理規(guī)則”中系統(tǒng)描畫了個(gè)人信息處理的一般規(guī)則，本章第三節(jié)則專門規(guī)定“國家機(jī)關(guān)處理個(gè)人信息的特別規(guī)定”，由此突出對(duì)國家機(jī)關(guān)的特殊規(guī)制。此外，《個(gè)人信息保護(hù)法（草案）》明確吸收了歐盟《通用數(shù)據(jù)保護(hù)條例》的模式，在第六章確立了專門的信息保護(hù)機(jī)構(gòu)。根據(jù)該法第56條的規(guī)定，我國專門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)個(gè)人信息保護(hù)工作并履行相應(yīng)監(jiān)督職能的部門為國家網(wǎng)信辦。本章還對(duì)網(wǎng)信部門在此領(lǐng)域的基本職責(zé)、權(quán)限劃分、作用手段和處理機(jī)制等問題進(jìn)行了細(xì)致規(guī)定。由此可見，我國的《個(gè)人信息保護(hù)法（草案）》最終還是在強(qiáng)調(diào)行業(yè)自律的基礎(chǔ)上，明確納入了公法保護(hù)的框架和內(nèi)容。因此，上述由德國基本權(quán)利教義學(xué)所延伸出的信息權(quán)公法保護(hù)架構(gòu)，對(duì)我們思考個(gè)人信息的公法保護(hù)問題無疑具有重要參考價(jià)值。下文就以此架構(gòu)為思考基礎(chǔ)，以《民法典》和《個(gè)人信息保護(hù)法（草案）》為規(guī)范線索，并以數(shù)據(jù)法的一般原理和域外經(jīng)驗(yàn)為借鑒，對(duì)國家在履行數(shù)據(jù)保護(hù)方面的雙重義務(wù)時(shí)所涉及的核心問題進(jìn)行討論和總結(jié)。

三、消極義務(wù)下的數(shù)據(jù)公法保護(hù)規(guī)則與問題

上文論及數(shù)據(jù)時(shí)代下私主體在信息收集和使用方面的經(jīng)濟(jì)動(dòng)因，對(duì)于國家而言，數(shù)據(jù)收集和處理作為治理手段同樣重要且極富吸引力。從我國的既有實(shí)踐看，如果說最初國家利用采集指紋、身份登記、視頻監(jiān)控、實(shí)名注冊(cè)等數(shù)據(jù)處理技術(shù)，所欲追求的只是在城市化疾速發(fā)展的背景下，保障社會(huì)穩(wěn)定、打擊犯罪、強(qiáng)化治安等目的，那么現(xiàn)在的數(shù)據(jù)處理技術(shù)早已使數(shù)據(jù)躍升為國家基礎(chǔ)性的戰(zhàn)略資源，大數(shù)據(jù)發(fā)展也成為國家發(fā)展戰(zhàn)略的重要構(gòu)成。2015年國務(wù)院發(fā)布的《促進(jìn)大數(shù)據(jù)發(fā)展行動(dòng)綱要》就指出，大數(shù)據(jù)成為推動(dòng)經(jīng)濟(jì)轉(zhuǎn)型發(fā)展的新動(dòng)力，重塑國家競爭優(yōu)勢的新機(jī)遇，提升政府治理能力的新途徑。以此次抗疫為例，數(shù)據(jù)收集、整理和排查自始就是政府抗疫工作的關(guān)鍵，其適用也大大提升了抗疫工作的針對(duì)性和實(shí)效性。因此，我們?cè)跀?shù)據(jù)技術(shù)疾速發(fā)展的背景下，論及數(shù)據(jù)流通所要維護(hù)的“公共利益”，其內(nèi)涵除了傳統(tǒng)的公共安全外，還直指“數(shù)字中國”“數(shù)字政府”這些提法背后所倡導(dǎo)的全新公共治理技術(shù)，以及借由數(shù)據(jù)治理所欲達(dá)到的“推動(dòng)政府治理精準(zhǔn)化、推進(jìn)商事服務(wù)便捷化、加快民生服務(wù)普惠化”的公共目標(biāo)。

因?yàn)檎�府治理與數(shù)據(jù)技術(shù)結(jié)合的不斷拓展，由“物盡其用”延伸出的“數(shù)盡其用”，便成為支配政府“數(shù)據(jù)治理”的基本準(zhǔn)則。反映在近年的公共政策推進(jìn)上，我國最早推行電子政務(wù)時(shí)就著力于數(shù)據(jù)庫建設(shè)。之后伴隨政府信息公開的深入，又提出政務(wù)部門不僅要“主動(dòng)為企業(yè)和公眾提供公益性信息服務(wù)”，還要“積極發(fā)展信息資源市場，發(fā)揮市場對(duì)信息資源配置的基礎(chǔ)性作用”。這些早期的政策探索都為此后政府進(jìn)一步開放政府?dāng)?shù)據(jù)，制定大數(shù)據(jù)戰(zhàn)略，推進(jìn)數(shù)據(jù)產(chǎn)業(yè)發(fā)展奠定了基礎(chǔ)。迄今，“政府?dāng)?shù)據(jù)開放共享、數(shù)據(jù)產(chǎn)業(yè)創(chuàng)新發(fā)展和安全保證”更被總結(jié)為政府大數(shù)據(jù)發(fā)展的三大任務(wù)。

“數(shù)盡其用”強(qiáng)調(diào)的是在公共政策上國家對(duì)數(shù)據(jù)技術(shù)的積極利用和對(duì)數(shù)據(jù)治理的持續(xù)推進(jìn)，但將這些舉措放在法教義的框架下檢視，所涉及的首要問題卻是：國家的數(shù)據(jù)治理最終都會(huì)落腳于每項(xiàng)具體的數(shù)據(jù)收集和處理行為，而當(dāng)國家公權(quán)機(jī)關(guān)以“公共利益”為名去收集和處理個(gè)人信息時(shí)，其法定界限何在？尤其是當(dāng)我們用數(shù)據(jù)法中的一般原則去約束國家的信息收集和處理行為時(shí)，又會(huì)面臨何種問題，需要作出何種調(diào)試？《民法典》和《個(gè)人信息保護(hù)法（草案）》在規(guī)定個(gè)人信息的處理原則時(shí)，都納入了合法正當(dāng)、必要（比例）、有限使用、知情同意、目的明確與目的限制等數(shù)據(jù)法的核心原則。下文就對(duì)這些原則對(duì)于公權(quán)機(jī)關(guān)的具體適用問題進(jìn)行逐項(xiàng)討論，并從中歸納出國家在履行信息保護(hù)的消極義務(wù)時(shí)所涉及的問題。

（一）合法正當(dāng)

“合法正當(dāng)”既針對(duì)數(shù)據(jù)收集和處理的目的，也針對(duì)其手段。這一要求除規(guī)定于《民法典》第1035條第1款中，“處理個(gè)人信息的，應(yīng)當(dāng)遵循合法、正當(dāng)……原則”，還在本款第4項(xiàng)中被強(qiáng)調(diào)，處理個(gè)人信息應(yīng)“不違反法律、行政法規(guī)的規(guī)定和雙方的約定”。在《個(gè)人信息保護(hù)法（草案）》第13條中同樣包含了更細(xì)致的國家機(jī)關(guān)處理和利用個(gè)人信息的“合法正當(dāng)”說明。合法正當(dāng)原則的納入以及正當(dāng)理由的列舉也排除了自《網(wǎng)絡(luò)安全法》生效以來，“知情同意”作為信息收集唯一合法性基礎(chǔ)的操作準(zhǔn)則。

一般而言，國家公權(quán)機(jī)關(guān)收集和處理個(gè)人信息的合法正當(dāng)目的主要在于公益維護(hù)。上文所具體列舉的“履行法定職責(zé)或者法定義務(wù)”“為應(yīng)對(duì)突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全”等規(guī)范表述，都可被列入此類范疇。但從數(shù)據(jù)實(shí)踐來看，如果僅是概觀的、抽象的“公共利益”，并無法正當(dāng)化公權(quán)機(jī)關(guān)所有的數(shù)據(jù)收集行為，因?yàn)楦爬ㄐ缘墓�益目的幾乎無法為限制公權(quán)機(jī)關(guān)不當(dāng)收集和使用個(gè)人信息劃定任何界限。而且，抽象的“公益需求”也不能在與個(gè)人的數(shù)據(jù)權(quán)衡量時(shí)被賦予絕對(duì)的、永恒的優(yōu)先性。據(jù)此，如果公權(quán)機(jī)關(guān)在公共利益和個(gè)人的數(shù)據(jù)私益發(fā)生沖突時(shí)，以公益為由要求對(duì)個(gè)人私權(quán)予以合理限制，國家機(jī)關(guān)則應(yīng)承擔(dān)對(duì)“公共利益”予以具體化框定和說明的義務(wù)。唯有對(duì)所欲追求的“公益”在具體個(gè)人私權(quán)中予以詳細(xì)說明，才便于對(duì)公權(quán)機(jī)關(guān)是否濫用數(shù)據(jù)、是否違反合法正當(dāng)?shù)囊�求進(jìn)行評(píng)鑒，也唯有“公益”目的本身是足夠清晰和特定的，公權(quán)機(jī)關(guān)才能從這些特定目的出發(fā)進(jìn)行數(shù)據(jù)收集和使用。

事實(shí)上，從歐盟的數(shù)據(jù)實(shí)踐來看，合法正當(dāng)作為單獨(dú)的原則對(duì)于防堵公權(quán)機(jī)關(guān)無限度收集和不當(dāng)使用個(gè)人信息其實(shí)作用有限，而必須輔以其他原則。因此，即使《個(gè)人信息保護(hù)法（草案）》將“履行法定職責(zé)或者法定義務(wù)”“為應(yīng)對(duì)突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全”等列舉為收集個(gè)人信息的正當(dāng)目的，但在規(guī)范表達(dá)上同樣會(huì)附加“所必需”表達(dá)對(duì)其限度的限制。而在《個(gè)人信息保護(hù)法（草案）》第27條關(guān)于在“公共場所安裝圖像采集、個(gè)人身份識(shí)別設(shè)備”的規(guī)定中，除要求此類行為必須是“為維護(hù)公共安全所必需”，還規(guī)定必須“遵守國家有關(guān)規(guī)定，并設(shè)置顯著的提示標(biāo)識(shí)”。

（二）目的明確與目的限制

“目的明確與目的限制”一直也是數(shù)據(jù)保護(hù)的核心原則。這一原則首先要求數(shù)據(jù)控制者明確收集、使用個(gè)人信息的目的，禁止其為未來不特定的目的考慮收集、使用個(gè)人信息；其次則是約束信息控制者對(duì)信息的使用受所明示的目的限制，而不得將所搜集的信息作法定目的外使用。

除《民法典》第1035條明確列舉目的明確與目的限制原則外，這一原則雖然未單獨(dú)落實(shí)于《個(gè)人信息保護(hù)法（草案）》的具體條款中，但其要求卻貫穿于第二章“個(gè)人信息處理規(guī)則”中，例如第18條規(guī)定，“個(gè)人信息處理者在處理個(gè)人信息前，應(yīng)當(dāng)以顯著方式、清晰易懂的語言向個(gè)人告知下列事項(xiàng)：……（二）個(gè)人信息的處理目的、處理方式，處理的個(gè)人信息種類、保存期限；……”；第22條規(guī)定，“個(gè)人信息處理者委托處理個(gè)人信息的，應(yīng)當(dāng)與受托方約定委托處理的目的、處理方式、個(gè)人信息的種類、保護(hù)措施以及雙方的權(quán)利和義務(wù)等，并對(duì)受托方的個(gè)人信息處理活動(dòng)進(jìn)行監(jiān)督。受托方應(yīng)當(dāng)按照約定處理個(gè)人信息，不得超出約定的處理目的、處理方式等處理個(gè)人信息……”；第24條第1款規(guī)定，“個(gè)人信息處理者向第三方提供其處理的個(gè)人信息的，應(yīng)當(dāng)向個(gè)人告知第三方的身份、聯(lián)系方式、處理目的、處理方式和個(gè)人信息的種類，并取得個(gè)人的單獨(dú)同意。接收個(gè)人信息的第三方應(yīng)當(dāng)在上述處理目的、處理方式和個(gè)人信息的種類等范圍內(nèi)處理個(gè)人信息。第三方變更原先的處理目的、處理方式的，應(yīng)當(dāng)依照本法規(guī)定重新向個(gè)人告知并取得其同意”。

目的明確與目的限制在適用于國家和私人主體上并無明顯差異，但這一原則在數(shù)據(jù)實(shí)踐中卻常常被國家公權(quán)機(jī)關(guān)突破。以此次抗疫為例，盡管2020年中央網(wǎng)絡(luò)安全和信息化委員會(huì)辦公室印發(fā)的《關(guān)于做好個(gè)人信息保護(hù)利用大數(shù)據(jù)支撐聯(lián)防聯(lián)控工作的通知》中強(qiáng)調(diào)，“為疫情防控、疾病防治收集的個(gè)人信息，不得用于其他用途”，但從各地的健康碼的使用情況來看，卻都存在不同程度上超越最初的目的設(shè)定而被逐漸泛化使用的趨向。很多政府甚至將簡單的健康評(píng)價(jià)與公眾本應(yīng)享有的公共服務(wù)建立關(guān)聯(lián)，并將其作為是否對(duì)相對(duì)人予以賦權(quán)或設(shè)限的依據(jù)，這顯然背離了目的限制的基本要求。避免上述做法的首要手段在于，應(yīng)盡可能禁止公權(quán)機(jī)關(guān)使用模糊、寬泛的語詞表述其約定目的，進(jìn)而為其未來擴(kuò)大收集和使用個(gè)人信息提供可能。以歐盟GDPR為鑒，其在規(guī)定目的明確時(shí)專門設(shè)定了三項(xiàng)判定基準(zhǔn)：其一，特定（specified），所謂特定即目的應(yīng)當(dāng)在不遲于收集個(gè)人信息時(shí)確定下來，而且對(duì)目的的描述必須提供足夠的細(xì)節(jié)，使之具有辨識(shí)度；其二，明確（explicit），即目的特定化后，還應(yīng)當(dāng)明白無誤地展現(xiàn)出來，應(yīng)盡力確保信息主體、信息控制主體以及利用個(gè)人信息的第三方都能夠?qū)υ撃康木哂幸恢吕斫�；其三，合法（legitimate），即公權(quán)機(jī)關(guān)對(duì)個(gè)人信息的處理必須公平且依法進(jìn)行，不得以非法目的收集個(gè)人信息。這種對(duì)于“目的明確”的細(xì)致要求在很大程度上避免了放任目的的空泛化。

在目的明確與目的限制原則的公法適用上，還涉及如何平衡個(gè)人信息保護(hù)與基于公益目的的大數(shù)據(jù)開發(fā)利用之間的矛盾問題。單個(gè)信息的交換價(jià)值微乎其微，唯有信息聚合和數(shù)據(jù)利用才能產(chǎn)生出強(qiáng)大的分析價(jià)值。此外，因?yàn)榫W(wǎng)絡(luò)技術(shù)的迅疾發(fā)展，信息主體和信息控制主體在信息收集時(shí)可能都無法充分預(yù)見信息在未來的可能價(jià)值。此時(shí)如果一律禁止個(gè)人信息用于其他目的，勢必會(huì)造成資源浪費(fèi)。由此，就要求在嚴(yán)格的“目的限制”之下應(yīng)留存一定的例外。歐盟GDPR將“為公共利益、科學(xué)或歷史研究或者統(tǒng)計(jì)目的而（對(duì)數(shù)據(jù)進(jìn)行的）進(jìn)一步處理”，作為“目的限制”的例外。歐盟指令也同時(shí)允許基于其他“額外目的”而對(duì)個(gè)人信息的“適當(dāng)性使用”。對(duì)“適當(dāng)性使用”的判斷依賴于如下標(biāo)準(zhǔn)：其一，信息收集目的與預(yù)期進(jìn)一步處理目的之間的關(guān)聯(lián)；其二，個(gè)人信息被收集時(shí)的情形，尤其是信息主體與控制者之間的關(guān)系；其三，個(gè)人信息的性質(zhì)；其四，預(yù)期進(jìn)一步處理給信息主體可能造成的后果；其五，加密或匿名化保障措施的存在。但歐盟的上述做法同樣引發(fā)爭議。反對(duì)者認(rèn)為，額外目的使用的允許，會(huì)通過功能漸變逐漸掏空目的限制原則。這種隱憂也的確提示了放寬目的限制的可能問題。

在《個(gè)人信息保護(hù)法（草案）》出臺(tái)前，亦有學(xué)者呼吁將“為防止危害國家安全和公共安全所必要的；為反恐怖活動(dòng)、反恐怖融資和反洗錢等所必要的；偵查機(jī)關(guān)進(jìn)行刑事偵查所必要的；稅務(wù)機(jī)關(guān)為防止逃稅、騙稅等行為損害國家稅收利益所必要的；為支持學(xué)術(shù)研究工作或統(tǒng)計(jì)項(xiàng)目而進(jìn)行的個(gè)人信息比對(duì)；為得到統(tǒng)計(jì)資料……”等，作為國家公權(quán)機(jī)關(guān)可進(jìn)行信息比對(duì)的理由，由此從另一側(cè)面規(guī)定了“目的限制”的例外。但最終提交審議的草案中并未包含突破目的限制使用個(gè)人信息的例外。因此，從目前的《個(gè)人信息保護(hù)法（草案）》來看，其并未允諾在收集目的之外的其他延伸目的的使用。無論是公權(quán)機(jī)關(guān)還是私人主體如果嗣后欲突破目的限制，都必須重新獲得信息主體的同意。但由此產(chǎn)生的為因應(yīng)數(shù)據(jù)開發(fā)利用的需要，而對(duì)“為統(tǒng)計(jì)分析、檔案管理與新聞報(bào)道、學(xué)術(shù)研究、藝術(shù)表達(dá)、文學(xué)創(chuàng)作等目的處理個(gè)人信息的活動(dòng)”，豁免或克減適用目的限制原則的問題，就有待于國務(wù)院相關(guān)部門再出臺(tái)細(xì)則予以規(guī)范。

（三）知情同意

在歐盟和德國有關(guān)信息權(quán)的保護(hù)框架下，信息權(quán)被視為人格權(quán)的延伸，是基于個(gè)人自治對(duì)個(gè)人信息的自我控制，因此，“知情同意”一直被作為信息收集和處理的首要法則，這一原則確保了信息主體對(duì)于個(gè)人信息收集和使用過程的完全知情和充分參與，也體現(xiàn)了個(gè)人對(duì)于信息的自決與控制。

歐盟早在1995年的《關(guān)于個(gè)人數(shù)據(jù)處理保護(hù)與自由流動(dòng)指令》（95/46/EC，下稱95指令）中就將“數(shù)據(jù)主體同意”視為個(gè)人數(shù)據(jù)處理取得合法性的首要基礎(chǔ)，而且“同意要求”的廣泛存在，不僅及于作為數(shù)據(jù)控制者的私人機(jī)構(gòu)，也及于公共機(jī)構(gòu)；不僅及于對(duì)數(shù)據(jù)的采集，也及于對(duì)數(shù)據(jù)的傳播、加工或其他處理行為。但將“知情同意”作為數(shù)據(jù)處理的首要法則，并貫穿于數(shù)據(jù)采集處理的全部過程，勢必會(huì)抬高數(shù)據(jù)處理門檻，阻礙數(shù)據(jù)自由流通。鑒于此，歐盟GDPR盡管同樣以“知情同意”為基礎(chǔ)，建構(gòu)了用戶的訪問、查詢、更正、刪除、撤回、限制、拒絕等個(gè)人信息自決權(quán)體系，但同時(shí)也規(guī)定了廣泛的例外情形，由此在很大程度上緩和了嚴(yán)苛適用這一原則所帶來的負(fù)面效果。從研究現(xiàn)狀看，對(duì)知情同意原則的反思與改進(jìn)一直都是數(shù)據(jù)法的重點(diǎn)，其目標(biāo)也基本積聚于如何破除數(shù)據(jù)實(shí)踐中知情同意的簡單化、概括化與機(jī)械化偏差，并在提升這一原則的有效性之余，同樣為信息流通和再利用預(yù)留空間。

具體至公法保護(hù)領(lǐng)域，此處須討論的是，國家作為信息權(quán)的公共義務(wù)主體和私人的信息控制者在適用“知情同意”原則時(shí)具有何種差異。一種典型意見認(rèn)為，知情同意作為個(gè)人信息保護(hù)準(zhǔn)則并不能直接適用于公權(quán)機(jī)關(guān)。公權(quán)機(jī)關(guān)在執(zhí)法過程中所獲取的個(gè)人信息屬于“執(zhí)法隱私”，其并非基于用戶與平臺(tái)這類典型的持續(xù)性的非對(duì)等的信息關(guān)系所產(chǎn)生，也不受知情同意原則的約束。理由是，“如果執(zhí)法機(jī)構(gòu)獲取個(gè)人信息都需要個(gè)人同意，那么個(gè)人就會(huì)有足夠時(shí)間與機(jī)會(huì)藏匿或刪除執(zhí)法所需信息；同樣，如果個(gè)人對(duì)于自身信息具有訪問權(quán)、糾正權(quán)、刪除權(quán)等權(quán)利，那么個(gè)人就能利用這些權(quán)利破壞執(zhí)法所需要的信息與證據(jù)”，并最終“破壞國家的執(zhí)法能力”。還有意見認(rèn)為，知情同意只能在平等關(guān)系下適用，如果“個(gè)人在權(quán)力失衡與權(quán)力依賴情況下很難保障同意的真實(shí)、自愿與自由，只有擁有控制力，能夠在不損害個(gè)人利益的前提下自由做出并真實(shí)表達(dá)同意與否的決定，且此決定可以隨時(shí)撤回時(shí)，同意才可成為合法性基礎(chǔ)”，因此，同意原則并不適用于公權(quán)機(jī)關(guān)。

將視線再轉(zhuǎn)向歐盟GDPR，該條例在規(guī)定“知情同意”時(shí)，僅將其作為數(shù)據(jù)處理合法化的一種情形。與此相對(duì)，如果數(shù)據(jù)處理是“為了保護(hù)數(shù)據(jù)主體或其他自然人的重要利益”“是為了執(zhí)行公共利益領(lǐng)域的任務(wù)或行使控制者既定的公務(wù)職權(quán)之必要”，“知情同意”就不再適用，其也不再是數(shù)據(jù)處理的合法前提。從這個(gè)意義上說，歐盟法的一般觀點(diǎn)也是，作為數(shù)據(jù)控制者的公權(quán)機(jī)關(guān)如在履行既定的公務(wù)職權(quán)，原則上就不再受制于“知情同意”原則。這也意味著，“同意”并非是公權(quán)機(jī)關(guān)進(jìn)行數(shù)據(jù)處理的唯一合法性事由，“為履行法定義務(wù)或法定職責(zé)”同樣會(huì)為其合法正當(dāng)性提供證成。

在提交審議的《個(gè)人信息保護(hù)法（草案）》中，同樣能夠明顯看到“知情同意”原則在個(gè)人信息處理中的優(yōu)位性。其第二章“個(gè)人信息處理規(guī)則”中，第13條第1項(xiàng)明確將“取得個(gè)人的同意”作為個(gè)人信息處理者處理個(gè)人信息的一項(xiàng)合法要件，第14條至第17條則細(xì)致規(guī)定了有關(guān)“同意”的具體意涵。除個(gè)人信息處理中的“知情同意”外，第26條和第28條同樣將“同意”作為個(gè)人信息處理者公開個(gè)人信息以及超出公開目的使用合法信息的合法性前提。而在涉及敏感個(gè)人信息時(shí)，“同意”的要求更會(huì)提高，如第30條要求取得個(gè)人的單獨(dú)同意。概言之，《個(gè)人信息保護(hù)法（草案）》也的確如其說明所說，是“確立以‘告知—同意’為核心的個(gè)人信息處理一系列規(guī)則”。

但對(duì)權(quán)重增加的“知情同意”原則是否會(huì)同等程度地適用于公權(quán)機(jī)關(guān)，《個(gè)人信息保護(hù)法（草案）》作了特別規(guī)定，其第35條申明，“國家機(jī)關(guān)為履行法定職責(zé)處理個(gè)人信息，應(yīng)當(dāng)依照本法規(guī)定向個(gè)人告知并取得其同意；法律、行政法規(guī)規(guī)定應(yīng)當(dāng)保密，或者告知、取得同意將妨礙國家機(jī)關(guān)履行法定職責(zé)的除外”。據(jù)此，“告知+同意”仍舊是公權(quán)機(jī)關(guān)處理個(gè)人信息的首要法則，其對(duì)公權(quán)機(jī)關(guān)的適用與私主體在原則上并無不同。又根據(jù)《個(gè)人信息保護(hù)法（草案）》的說明，強(qiáng)調(diào)“知情同意”對(duì)于國家機(jī)關(guān)的適用，其目的也在于提高國家機(jī)關(guān)在處理個(gè)人信息上的透明度，凸顯個(gè)人在數(shù)據(jù)處理中的自主地位。但國家機(jī)關(guān)在履職中對(duì)此原則的適用存有明確的例外，包括“法律、行政法規(guī)規(guī)定應(yīng)當(dāng)保密”以及“告知、取得同意將妨礙國家機(jī)關(guān)履行法定職責(zé)的除外”等情形。從這個(gè)意義上說，《個(gè)人信息保護(hù)法（草案）》雖然在規(guī)范構(gòu)造上將同意同樣作為公權(quán)機(jī)關(guān)處理個(gè)人信息的法則，但在適用效果上，卻如歐盟GDPR一樣，削弱了知情同意原則對(duì)于公權(quán)機(jī)關(guān)履職行為的約束。

但《個(gè)人信息保護(hù)法（草案）》第35條的規(guī)定也引出如下問題，是否所有的執(zhí)法信息都要在“知情同意”原則下豁免，是否公權(quán)機(jī)關(guān)進(jìn)行的所有公職行為都無須再接受“知情同意”的檢驗(yàn)，而僅依賴部門職權(quán)或是法律授權(quán)即可獲得合法性基礎(chǔ)。此外，在考慮知情同意原則的公法適用時(shí)，除了要對(duì)從知情同意中豁免的“執(zhí)法信息”的邊界范圍進(jìn)一步廓清外，私法領(lǐng)域中有關(guān)改變傳統(tǒng)“強(qiáng)同意”構(gòu)造，“在明示同意之外增加擬制同意，以綜合的情境合理判斷替代單一的告知前提，從而縮減信息自決空間、降低同意生效標(biāo)準(zhǔn)、增強(qiáng)適用靈活性”等，用以解決這一原則適用所引發(fā)的數(shù)據(jù)保護(hù)和數(shù)據(jù)利用矛盾的思路，同樣也應(yīng)被吸納于公法保護(hù)的制度構(gòu)建中。

（四）比例原則與數(shù)據(jù)最小化

個(gè)人信息并非為個(gè)人所獨(dú)占，在個(gè)人數(shù)據(jù)之上同時(shí)承載了個(gè)人利益、社會(huì)利益和公共利益；對(duì)個(gè)人信息的保護(hù)，也不能放棄數(shù)據(jù)流通的目的，而兩者的平衡又須在對(duì)個(gè)人利益、他人利益、企業(yè)利益、市場利益和公共利益全面權(quán)衡的基礎(chǔ)上實(shí)現(xiàn)。很多時(shí)候，為了滿足公共利益的保護(hù)需求，個(gè)人都須讓渡其部分乃至全部的信息權(quán)利。但依據(jù)基本權(quán)利教義，基于公共利益而對(duì)個(gè)人權(quán)利的克減又必須遵守限度、合乎比例，否則就會(huì)造成對(duì)此種權(quán)利的徹底否定和排除。

相比美國是采取個(gè)案權(quán)衡和“場景理論”就公共利益對(duì)個(gè)人信息權(quán)的限制邊界進(jìn)行具體化判定，歐盟主要采用比例原則來處理個(gè)人數(shù)據(jù)權(quán)與公共利益之間的沖突。歐盟GDPR第5條規(guī)定的“個(gè)人數(shù)據(jù)應(yīng)：（c）充分、相關(guān)及以個(gè)人數(shù)據(jù)處理目的之必要為限度進(jìn)行處理”正是比例原則。這一原則在數(shù)據(jù)法領(lǐng)域又常被總結(jié)為“數(shù)據(jù)最小化”原則，也同樣被納入我國《民法典》中。除《民法典》外，《個(gè)人信息保護(hù)法（草案）》中同樣對(duì)比例原則和數(shù)據(jù)最小化予以具體規(guī)定，其第20條規(guī)定，“個(gè)人信息的保存期限應(yīng)當(dāng)為實(shí)現(xiàn)處理目的所必要的最短時(shí)間”，體現(xiàn)的也是比例原則的要求。而在《個(gè)人信息保護(hù)法（草案）》“國家機(jī)關(guān)處理個(gè)人信息的特別規(guī)定”一節(jié)中，比例原則對(duì)國家機(jī)關(guān)同樣適用且被特別強(qiáng)調(diào)。

比例原則和數(shù)據(jù)最小化首先強(qiáng)調(diào)的是在數(shù)據(jù)收集方面的“有限原則”，即“無必要不收集”；其次還旨在防堵數(shù)據(jù)控制者對(duì)于所收集數(shù)據(jù)的深度分析和過度適用。本質(zhì)上，比例原則和前文所說的數(shù)據(jù)戰(zhàn)略中所倡導(dǎo)的“數(shù)盡其用”之間存在根本性矛盾。就數(shù)據(jù)庫本身而言，其天然具有自我膨脹的本能，而且數(shù)據(jù)信息和數(shù)據(jù)資料越詳盡越全面，其價(jià)值也會(huì)越高。因?yàn)閿?shù)據(jù)與個(gè)人之間的匹配度越高，其所包裹的利益就越大。因此，無論是作為數(shù)據(jù)控制者的公權(quán)機(jī)關(guān)還是私主體，都會(huì)存在過度收集和深度分析數(shù)據(jù)的趨向。在私法領(lǐng)域，對(duì)數(shù)據(jù)的過度收集和深度分析，會(huì)導(dǎo)致個(gè)人因數(shù)據(jù)人格被貶損而徹底客體化；在公法領(lǐng)域，如果對(duì)于政府收集和分析數(shù)據(jù)的行為不加限度限制，也很容易就引發(fā)政府通過對(duì)數(shù)據(jù)的廣泛采集和深度分析，而對(duì)人群進(jìn)行“數(shù)據(jù)監(jiān)控”。這種數(shù)據(jù)監(jiān)控不僅會(huì)造成公民生活的透明化，會(huì)屏蔽異見和反對(duì)聲音，也會(huì)誘使政府根據(jù)數(shù)據(jù)對(duì)人群進(jìn)行“數(shù)據(jù)歧視”和“數(shù)據(jù)操控”。此外，數(shù)據(jù)的大量聚集，亦會(huì)為數(shù)據(jù)安全帶來隱患，這些因素都成為比例原則發(fā)生作用的原因。

比例原則和數(shù)據(jù)最小化原則雖然在約束公權(quán)機(jī)關(guān)無限度收集個(gè)人信息方面至關(guān)重要，但在實(shí)踐中很容易被突破。例如2011年修訂的《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》第8條規(guī)定，“從事國際聯(lián)網(wǎng)業(yè)務(wù)的單位和個(gè)人應(yīng)當(dāng)接受公安機(jī)關(guān)的安全監(jiān)督、檢查和指導(dǎo)，如實(shí)向公安機(jī)關(guān)提供有關(guān)安全保護(hù)的信息、資料及數(shù)據(jù)文件，協(xié)助公安機(jī)關(guān)查處通過國際聯(lián)網(wǎng)的計(jì)算機(jī)信息網(wǎng)絡(luò)的違法犯罪行為”。實(shí)踐中，部分公安機(jī)關(guān)要求企業(yè)提供用戶的詳細(xì)注冊(cè)信息和登錄日志信息的事件頻頻爆出。因此，究竟何種信息屬于“履行法定職責(zé)所必需的范圍和限度”，比例原則在數(shù)據(jù)權(quán)的公法保護(hù)中又如何具體展開仍需要進(jìn)一步細(xì)化。

四、“用戶—平臺(tái)—國家”三邊關(guān)系下的國家積極義務(wù)

國家在數(shù)據(jù)保護(hù)中所承擔(dān)的消極義務(wù)在于防堵國家對(duì)于個(gè)人信息的無限度收集和不當(dāng)使用。但除國家公權(quán)機(jī)關(guān)外，個(gè)人作為信息主體的信息保護(hù)和數(shù)據(jù)安全還同時(shí)面臨其他私人主體的威脅。在數(shù)據(jù)時(shí)代，信息主體與信息控制者之間的矛盾又主要呈現(xiàn)于“用戶—平臺(tái)”的私法關(guān)系中。

互聯(lián)網(wǎng)平臺(tái)迄今已逐漸蛻變?yōu)槭袌鼋?jīng)濟(jì)和社會(huì)生活的全新資源配置與組織方式。平臺(tái)化使現(xiàn)實(shí)世界中的親緣、地緣關(guān)系幾乎都轉(zhuǎn)化為平臺(tái)關(guān)系，用戶和平臺(tái)也不復(fù)傳統(tǒng)經(jīng)濟(jì)模式下的消費(fèi)者與生產(chǎn)者。二者雖然都參與平臺(tái)，但用戶是平臺(tái)數(shù)據(jù)的生產(chǎn)者，客戶則為數(shù)據(jù)買單；而平臺(tái)又通過將“用戶”與“客戶”予以連接，從而產(chǎn)生出一種可持續(xù)的盈利模式。在此，“算法成為統(tǒng)合平臺(tái)的邏輯，數(shù)據(jù)成為平臺(tái)發(fā)展的基礎(chǔ)，而用戶則被徹底降格為數(shù)據(jù)”。平臺(tái)的盈利基礎(chǔ)在于用戶所提供的信息，用戶在產(chǎn)出這些信息時(shí)又幾乎并未耗費(fèi)任何成本。但當(dāng)海量信息匯集于平臺(tái)時(shí)，數(shù)據(jù)安全和信息保護(hù)問題就會(huì)凸顯。

（一）國家介入的必要

在此前相當(dāng)長的一段時(shí)間，我國都是從信息安全的角度處理上述問題，此種信息安全又主要集中于計(jì)算機(jī)系統(tǒng)安全或運(yùn)行安全。信息安全觀念所導(dǎo)出的信息保護(hù)，也由此主要依賴于“權(quán)限管理、病毒查殺、設(shè)立防火墻、VPN、入侵檢測”等技術(shù)路徑，其主要突出計(jì)算機(jī)的“運(yùn)行安全和系統(tǒng)安全”，而并未包含對(duì)個(gè)人信息權(quán)的保護(hù)。因?yàn)橹饕�依賴技術(shù)處理，法律的作用也在很大程度上被排除。在《民法典》納入對(duì)個(gè)人信息的保護(hù)，且《個(gè)人信息保護(hù)法（草案）》也明確將個(gè)人信息予以權(quán)利化處理后，上述信息安全的傳統(tǒng)觀念也被漸次放棄。對(duì)用戶信息的保護(hù)不僅是公共政策的要求，也是權(quán)利保護(hù)以及法律適用的結(jié)果。但如上文所述，因?yàn)閿?shù)據(jù)技術(shù)上的云泥之別，用戶和平臺(tái)之間的關(guān)系不能僅依賴私法調(diào)整，此時(shí)必須強(qiáng)調(diào)國家介入，而這也成為國家在個(gè)人信息保護(hù)中所應(yīng)負(fù)擔(dān)的積極義務(wù)。

國家對(duì)信息主體和數(shù)據(jù)控制者私法關(guān)系的介入，同樣可在歐盟GDPR中找到依據(jù)。歐盟曾在95指令中倡導(dǎo)各成員國確立一個(gè)或多個(gè)公共機(jī)構(gòu)，負(fù)責(zé)個(gè)人數(shù)據(jù)保護(hù)的執(zhí)行，這些機(jī)構(gòu)不僅獨(dú)立行使職權(quán)，而且被配備以調(diào)查權(quán)、有效干預(yù)權(quán)和參與訴訟的權(quán)利。95指令的倡導(dǎo)后來被吸收入GDPR中。除吸納這種模式外，GDPR還對(duì)數(shù)據(jù)保護(hù)官的地位、職能進(jìn)行了相當(dāng)充分的規(guī)定。數(shù)據(jù)保護(hù)官制度被認(rèn)為是歐盟“信息公法保護(hù)”模式的典型表現(xiàn)。與這種制度相連，GDPR對(duì)于私人的數(shù)據(jù)處理還規(guī)定了相應(yīng)的申報(bào)制度，即數(shù)據(jù)控制者及其代表在“實(shí)施任何意圖滿足某一目的或是若干相關(guān)目的的全部，或部分自動(dòng)化數(shù)據(jù)處理操作或成套此類操作前，都須向本國的數(shù)據(jù)保護(hù)機(jī)構(gòu)申報(bào)”。以“數(shù)據(jù)官”和“數(shù)據(jù)申報(bào)制度”為代表的公法保護(hù)模式曾遭諸多民法學(xué)者反對(duì)，被認(rèn)為“加重了個(gè)人數(shù)據(jù)處理者的負(fù)擔(dān)”，也“反映除依賴管理的國家主義視角……”，但迄今卻被認(rèn)為為“完善信息控制者內(nèi)部治理機(jī)制”，“構(gòu)建數(shù)據(jù)合作治理”奠定了基礎(chǔ)，且為諸多國家效仿。

事實(shí)上，要求國家介入的原因除了在于信息主體與數(shù)據(jù)處理者之間的不對(duì)等地位外，還在于數(shù)據(jù)控制者本質(zhì)上并無動(dòng)力去保護(hù)個(gè)人數(shù)據(jù)，因?yàn)閿?shù)據(jù)濫用直接的受害者只是信息主體，而并非數(shù)據(jù)控制者。而且在網(wǎng)絡(luò)環(huán)境下，因?yàn)閿?shù)據(jù)的“隨時(shí)產(chǎn)生、多點(diǎn)存儲(chǔ)、多次開發(fā)、跨場景應(yīng)用、多人經(jīng)手、跨國境傳輸、收集與處理分離、生命周期短”等原因，數(shù)據(jù)控制者若對(duì)個(gè)人數(shù)據(jù)加以高密度保護(hù)，不僅在技術(shù)上有很大難度，也會(huì)產(chǎn)生較高成本，這些因素都決定了其不可能自發(fā)地保護(hù)個(gè)人信息，外部監(jiān)管和國家介入也因此變得必要。

因?yàn)闅W盟GDPR的影響，此次的《個(gè)人信息保護(hù)法（草案）》明確確立了公共數(shù)據(jù)機(jī)構(gòu)對(duì)于私人主體數(shù)據(jù)收集和處理行為的監(jiān)管模式。依據(jù)該法第56條，在我國負(fù)責(zé)履行個(gè)人信息保護(hù)職責(zé)的主要部門為國家網(wǎng)信部門，此外“國務(wù)院有關(guān)部門”，主要包括工業(yè)和信息化部、公安部、中國人民銀行等，在各自職權(quán)范圍內(nèi)負(fù)責(zé)個(gè)人信息的保護(hù)和管理工作。這一規(guī)定在相對(duì)集中的個(gè)人信息監(jiān)管體系基礎(chǔ)上，兼顧了各部門和各行業(yè)的差異。但本條并未涉及國家網(wǎng)信部門和國務(wù)院相關(guān)部門的監(jiān)管職責(zé)劃分。此外，上述規(guī)定僅涉及中央層面，《個(gè)人信息保護(hù)法（草案）》在地方層面僅明確了縣級(jí)以上地方人民政府有關(guān)部門履行個(gè)人信息保護(hù)和監(jiān)督管理職責(zé)。由此，在未來的數(shù)據(jù)實(shí)踐中，如何廓清各部門之間的職責(zé)界限，如何塑建涵括中央和地方的信息監(jiān)管體制，仍有待探索。

（二）國家如何介入？

傳統(tǒng)上，國家對(duì)私法關(guān)系的介入主要通過責(zé)任追究（包括刑事責(zé)任和行政責(zé)任）來進(jìn)行，這種方式同樣被應(yīng)用于數(shù)據(jù)保護(hù)領(lǐng)域。從域外經(jīng)驗(yàn)來看，信息保護(hù)法的一項(xiàng)重要目的在于通過構(gòu)建有效的外部執(zhí)法機(jī)制，借由制裁威脅和責(zé)任追究來敦促信息控制者履行個(gè)人信息保護(hù)的法律責(zé)任。事實(shí)上，即使如美國這樣在信息保護(hù)中強(qiáng)調(diào)“行業(yè)自律”的國家，也會(huì)借助強(qiáng)大的外部執(zhí)法機(jī)制來約束信息控制者的行為。而歐盟GDPR也針對(duì)95指令缺乏有效的執(zhí)法威懾和責(zé)任追究的問題，通過確立牽頭數(shù)據(jù)管理局，加強(qiáng)各國執(zhí)法合作，提高罰款幅度，增加個(gè)人信息泄露后分別通知數(shù)據(jù)管理局和信息主體的義務(wù)，大大強(qiáng)化了外部威懾機(jī)制。

我國此前對(duì)信息控制者的責(zé)任追究方式主要在于2015年《中華人民共和國刑法修正案（九）》中所規(guī)定的“侵犯個(gè)人信息罪”和“拒不履行信息網(wǎng)絡(luò)安全義務(wù)罪”，行政處罰則在后來規(guī)定于《網(wǎng)絡(luò)安全法》第59條至第75條的“法律責(zé)任”一章中。但從實(shí)踐效果來看，上述責(zé)任規(guī)定卻存在過于倚重刑事制裁、刑事制裁與行政處罰無法有效銜接、行政處罰部分責(zé)任規(guī)范與行為規(guī)范相互脫節(jié)等問題。即使是看似嚴(yán)苛和寬泛的刑事制裁，因?yàn)閹в邢笳餍粤⒎ǖ念B疾，實(shí)際作用效果也相當(dāng)有限�！睹穹ǖ洹芬矁H僅是搭建了信息保護(hù)的基本制度框架，并未包含責(zé)任承擔(dān)和追究的體系安排。因此，就需要專門的《個(gè)人信息保護(hù)法》在綜合治理的框架內(nèi)，通過納入責(zé)任要求、明確行為規(guī)范、完善行政責(zé)任和刑事責(zé)任的有效銜接、加大違法成本、提高違法行為被發(fā)現(xiàn)的可能性等方式，構(gòu)筑有效的責(zé)任追究和執(zhí)法威懾的外部機(jī)制。

從目前提交審議的《個(gè)人信息保護(hù)法（草案）》來看，國家對(duì)于平臺(tái)的監(jiān)管同樣遵循了“常規(guī)執(zhí)法+責(zé)任追究”的模式。從常規(guī)執(zhí)法來看，因?yàn)椴莅该鞔_了國家網(wǎng)信部門對(duì)于信息保護(hù)的統(tǒng)籌協(xié)調(diào)和監(jiān)管職能，因此，信息監(jiān)管手段也被作為其“履行個(gè)人信息保護(hù)職責(zé)”的基本舉措而予以規(guī)定，具體樣態(tài)包括“……（一）詢問有關(guān)當(dāng)事人，調(diào)查與個(gè)人信息處理活動(dòng)有關(guān)的情況；（二）查閱、復(fù)制當(dāng)事人與個(gè)人信息處理活動(dòng)有關(guān)的合同、記錄、賬簿以及其他有關(guān)資料；（三）實(shí)施現(xiàn)場檢查，對(duì)涉嫌違法個(gè)人信息處理活動(dòng)進(jìn)行調(diào)查；（四）檢查與個(gè)人信息處理活動(dòng)有關(guān)的設(shè)備、物品；對(duì)有證據(jù)證明是違法個(gè)人信息處理活動(dòng)的設(shè)備、物品，可以查封或者扣押”。此外，《個(gè)人信息保護(hù)法（草案）》第60條延續(xù)了《網(wǎng)絡(luò)安全法》的一般做法，在信息監(jiān)管中納入了約談制度�！凹s談”一直以來被作為一種軟性的行政方式，它具有一定的威懾性，但同時(shí)也側(cè)重于行政部門與相對(duì)人的溝通協(xié)調(diào)，將其運(yùn)用于個(gè)人信息處理的風(fēng)險(xiǎn)防御與安全控制，有助于促成信息管理的合作治理格局。與《網(wǎng)絡(luò)安全法》不同的是，《個(gè)人信息保護(hù)法（草案）》所規(guī)定的約談事項(xiàng)已經(jīng)不限于“網(wǎng)絡(luò)存在較大安全風(fēng)險(xiǎn)或者發(fā)生安全事件的”，而是擴(kuò)張至“個(gè)人信息處理活動(dòng)存在較大風(fēng)險(xiǎn)或者發(fā)生個(gè)人信息安全事件的”。從責(zé)任規(guī)定來看，《個(gè)人信息保護(hù)法（草案）》第62條顯然是汲取了歐盟GDPR的監(jiān)管思路，相較《網(wǎng)絡(luò)安全法》大幅提高了處罰幅度，還規(guī)定違反信息保護(hù)法的行為需同時(shí)適用信用聯(lián)合懲戒。這些責(zé)任規(guī)定在很大程度上提高了個(gè)人信息的違法成本，由此將信息保護(hù)的外部壓力通過嚴(yán)厲的制裁威懾而傳導(dǎo)至信息控制者內(nèi)部。

對(duì)歐盟GDPR的經(jīng)驗(yàn)吸收還包括對(duì)行業(yè)自律和行業(yè)治理的強(qiáng)調(diào)，這一點(diǎn)與嚴(yán)厲的違法制裁一起構(gòu)成了國家多元的介入方法。強(qiáng)調(diào)行業(yè)自律是為了彌補(bǔ)此前政府在平臺(tái)治理中暴露出的局促與不足。因?yàn)樵诩夹g(shù)處理中的巨大優(yōu)勢，平臺(tái)除了存在僭越個(gè)人信息、過度操縱市場的問題外，還一再構(gòu)成對(duì)政府市場治理能力的削減。因?yàn)閿?shù)據(jù)資源與處理能力的差異，政府已無力再通過傳統(tǒng)的治理機(jī)制，作用于平臺(tái)市場以大數(shù)據(jù)為基礎(chǔ)的算法型運(yùn)作過程，由此便產(chǎn)生這一領(lǐng)域的治理失靈或監(jiān)管真空，這就使激勵(lì)型的行業(yè)自治成為平臺(tái)治理的重要途徑。

在此思路下，《個(gè)人信息保護(hù)法（草案）》第五章專門加入“個(gè)人信息處理者的義務(wù)”，作為第四章“個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利”的對(duì)應(yīng)。在第五章中，草案不僅詳盡列舉了個(gè)人信息處理者所應(yīng)采取的必要措施，還存在對(duì)事前的風(fēng)險(xiǎn)評(píng)估和信息泄露后報(bào)告義務(wù)的規(guī)定。前者強(qiáng)調(diào)個(gè)人信息處理者在進(jìn)行個(gè)人信息處理活動(dòng)前應(yīng)對(duì)“個(gè)人信息的處理目的、處理方式等是否合法、正當(dāng)、必要；對(duì)個(gè)人的影響及風(fēng)險(xiǎn)程度；所采取的安全保護(hù)措施是否合法、有效并與風(fēng)險(xiǎn)程度相適應(yīng)”等問題進(jìn)行評(píng)估；后者則要求個(gè)人信息處理者在發(fā)現(xiàn)個(gè)人信息泄露時(shí)，除立即采取補(bǔ)救措施外，還須及時(shí)通知履行個(gè)人信息保護(hù)職責(zé)的部門和個(gè)人。在外部的責(zé)任追究基礎(chǔ)上，再輔以企業(yè)內(nèi)部的自律治理機(jī)制，其目的都是促成《個(gè)人信息保護(hù)法（草案）》第11條所申明的“推動(dòng)形成政府、企業(yè)、相關(guān)行業(yè)組織、社會(huì)公眾共同參與個(gè)人信息保護(hù)的良好環(huán)境”，由此構(gòu)建一種“權(quán)利控制與激勵(lì)機(jī)制并行的多元治理機(jī)制”。

五、結(jié)語

綜上，《民法典》除將個(gè)人信息保護(hù)提升至全新高度外，更在私權(quán)保障基礎(chǔ)上，納入了對(duì)個(gè)人信息權(quán)的公法保護(hù)。但因?yàn)椤睹穹ǖ洹凡⑽磳?duì)個(gè)人信息予以權(quán)利化處理，也未對(duì)個(gè)人信息的公私法保護(hù)如何展開進(jìn)行細(xì)致規(guī)定，因此，在《民法典》時(shí)代如何構(gòu)建和完善個(gè)人信息權(quán)的公法保護(hù)，就有賴于未來《個(gè)人信息保護(hù)法》的出臺(tái)。

從目前已公布的《個(gè)人信息保護(hù)法（草案）》來看，其已著眼于建構(gòu)一種包括公私在內(nèi)的合作治理機(jī)制，而且在公法保護(hù)領(lǐng)域，有關(guān)國家消極義務(wù)和積極義務(wù)的框架結(jié)構(gòu)也初現(xiàn)端倪。這一框架符合信息權(quán)作為個(gè)人基本權(quán)利的定位，也有助于我們對(duì)繁雜的數(shù)據(jù)保護(hù)問題予以體系化把握。借助這一框架，可對(duì)個(gè)人信息公法保護(hù)所涉及的核心問題予以定位，再通過對(duì)《個(gè)人信息保護(hù)法》的規(guī)范闡釋和數(shù)據(jù)法的原理分析，對(duì)其內(nèi)容進(jìn)行明晰和填充，并在此基礎(chǔ)上漸次完成我國個(gè)人信息公法保護(hù)的整體制度構(gòu)建。