个人信息保护中的利益衡量

○徐 伟 尹赫铭

利益衡量有利于应对个人信息保护均衡目标的挑战，有利于应对个人信息外延不确定性的挑战，有利于应对个人信息保护中利益冲突的挑战。个人信息保护中利益衡量的基本要求包括区分案件类型、分析利益类型、利益冲突、衡量立场和衡量标准，其核心步骤包括识别案件涉及的各种利益、分析利益冲突、运用标准进行利益衡量并得出初步结论、论证与修正初步结论。

一、个人信息保护中利益衡量的重要性

尽管隐私权和个人信息保护已经纳入《民法典》人格权编，《个人信息保护法》也已实施，但手机APP超范围收集信息、强制收集信息、过度索权的现象屡禁不止，因网上售卖个人信息导致电信诈骗的案件频发，新冠确诊患者因流调信息遭网暴的事件时有发生等，个人信息保护仍任重道远。利益衡量作为一种重要法律方法，在解决法律冲突、填补法律漏洞、发挥裁判主观能动性、追求实质正义等方面，具有重要现实意义。

首先，有利于应对个人信息保护均衡目标的挑战。《个人信息保护法》第1条规定了个人信息保护法的立法目的，一是规范个人信息处理活动以保护个人信息权益；二是促进个人信息合理利用。利益衡量可以平衡“保护个人信息权益”和“促进个人信息合理利用”的均衡目标，实现良法善治的目的。

其次，有利于应对个人信息外延不确定性的挑战。根据《个人信息保护法》第4条规定，“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息”。我国对个人信息认定采取“关联说”，但在实践中如何界定“与已识别或者可识别的自然人有关的各种信息”，还存在一些问题。如，自然人在填写个人相关信息时，有时会涉及到近亲属的个人信息，尤其是敏感个人信息，如配偶的金融账户、不满十四周岁未成年人的个人信息。利益衡量可以填补该法律漏洞，解决法律不确定性问题。

再次，有利于应对个人信息保护中利益冲突的挑战。在个人信息保护法律关系中，法律关系主体有自然人、个人信息处理者与履行个人信息保护职责的部门，其权利（力）分别为自然人的个人信息权益、个人信息处理者的利用权、履行个人信息保护职责部门的保护和监督管理权（以下简称保护权）。原始利益冲突表现为个人信息权益与利用权之间的冲突，派生利益冲突表现为个人信息权益与保护权之间的冲突、利用权与保护权之间的冲突、以及各主体内部之间的冲突等。利益衡量可以平衡各种利益冲突，兼顾各方利益，努力让人民群众在每一项法律制度、每一个执法决定、每一宗司法案件中都感受到公平正义。

二、个人信息保护中利益衡量的基本要求

（一）区分案件类型

在个人信息保护中，案件类型直接决定着利益类型、利益冲突类型、衡量标准的具体运用。从个人信息类型出发，要区分一般个人信息案件与敏感个人信息案件。《个人信息保护法》第28条界定敏感个人信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。这些信息一旦泄露或者非法使用，相较于一般个人信息，更容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害，因此，对敏感个人信息案件的利益平衡要采取更严格的判断标准。

从个人信息处理者类型出发，要区分私营部门处理个人信息案件和国家机关处理个人信息案件。通常而言，私营部门处理个人信息是为了追求商业利益，国家机关处理个人信息是为了公共利益，《个人信息保护法》对国家机关处理个人信息也作了特别规定。因此，私营部门处理个人信息案件重在平衡个人利益与商业利益，国家机关处理个人信息案件重在平衡个人利益与公共利益，衡量标准的具体运用也不尽相同。

（二）分析利益类型

在个人信息保护中，存在个人利益、企业利益、公共利益、国家利益等。个人利益对应自然人的个人信息权益，根据《个人信息保护法》第四章的相关规定，个人在个人信息处理活动中的权利包括查询权、更正权、删除权、解释权、拒绝权、有条件的可携带权，以及对其个人信息处理的知情权、决定权、限制权、拒绝权等。企业利益和公共利益对应个人信息处理者的利用权，即私营部门处理个人信息而获得的信息资源和国家机关处理个人信息获得公共管理资源。基于“国内国际两个大局”和“总体国家安全观”考量，要统筹好发展与安全两件大事，高度重视个人信息保护中的国家利益特别是国家安全利益，如“滴滴”秘密赴美上市，应美国要求提交中国用户的行车数据信息，这不仅是对用户个人信息的侵犯，也是对我国国家安全利益的损害。对此，《个人信息保护法》第42条规定了“境外的组织、个人从事侵害中华人民共和国公民的个人信息权益，或者危害中华人民共和国国家安全、公共利益的个人信息处理活动的”情形。由此可得出两个结论，一是国家安全与公共利益是并列关系，二是个人信息保护与国家安全相关。因此，在信息全球化时代，国家安全利益已成为个人信息保护中必要衡量因素。平衡个人利益与商业利益，旨在对个人信息进行有效保护的同时，促进个人信息的合理利用与流转，从而实现更大的商业价值；平衡个人利益与公共利益，旨在实现行政管理、公共安全、公共服务的同时，对公权力进行有效规制，从而保护公民的个人信息权益；平衡商业利益与国家安全利益，旨在追求发展数字经济的同时，对个人信息跨境设定严格的出境规则，以维护国家安全。

（三）分析利益冲突

从类型化维度考量，个人信息保护中的利益冲突包括个人信息权益与利用权之间的冲突，个人信息权益与保护权之间的冲突。利用权与保护权之间的冲突可归为外部利益冲突，各主体之间的冲突可视为内部利益冲突。内部利益冲突尤其复杂，需进一步分析。

一是自然人内部之间的利益冲突。根据《个人信息保护法》第28条规定，个人信息应区别对待不满十四周岁未成年人的个人信息与已满十四周岁的个人信息。在个人信息保护方面，成年人与不满十四周岁未成人之间可能存在利益冲突。

二是个人信息处理者内部之间的利益冲突。根据《个人信息保护法》的相关规定，个人信息处理者包括个人、组织与国家机关，组织可细分为一般组织与特殊组织，其中特殊组织包括提供重要互联网平台服务、用户数量巨大、业务类型复杂的组织，针对专门小型个人信息处理的组织，处理敏感个人信息以及人脸识别、人工智能等新技术、新应用的组织，关键信息基础设施运营者，处理个人信息达到国家网信部门规定数量的个人信息处理者，向中华人民共和国境外提供个人信息的处理者等。

三是履行个人信息保护职责部门内部之间的利益冲突。根据《个人信息保护法》第60条规定，履行个人信息保护职责的部门包括国家网信部门、国务院有关部门、县级以上地方人民政府有关部门等，它们在履行保护和监督管理职责过程中，因政出多门、责任不明、相互推诿，可能会存在具体利益冲突。

（四）分析衡量立场

利益决定立场，立场决定观点。在个人信息保护中，利益衡量标准取决于衡量立场。立场不同，标准也就不同。从我国法的本质理论考量，应坚持人民立场，这是中国特色社会主义法治区别于资本主义法治的根本所在。从理论层面分析，全面依法治国的根本目的是依法保障人民权益，社会主义法治的价值追求是维护社会公平正义，利益衡量的结果必须为人民所认可。从逻辑层面分析，全面依法治国必须走群众路线，人民是依法治国的主体，必须坚持为了人民、依靠人民。概言之，个人信息保护的利益衡量应坚持人民立场，要全面权衡个人利益、商业利益、公共利益、国家安全利益，而不能只考虑特定自然人的个人利益，也不能只考虑特定利用人的商业利益。

（五）分析衡量标准

习近平法治思想是全面依法治国的根本遵循和行动指南，也是利益衡量标准的根本遵循。以“坚持中国特色社会主义法治道路”观之，我国利益衡量标准不能照搬他国模式和做法，必须从中国实际出发。以“坚持以人民为中心”观之，公平正义是利益衡量的最高判断标准；以“坚持在法治轨道上推进国家治理体系和治理能力现代化”观之，法治标准是其大前提和主要标准；以“坚持党对全面依法治国的领导”观之，“没有脱离政治的法治”，结合“实现政治效果、纪法效果和社会效果相统一”的目标要求，政治标准是其重要标准；以“坚持依宪治国、依宪执政”观之，法律规范体系和党内法规体系各有位阶高低之分，利益位阶标准是其基本标准；以“坚持依法治国和以德治国相结合”观之，德治标准是其基本标准；以“坚持依法治国和依规治党有机统一”观之，党内法规是其重要标准；以“坚持统筹发展和安全两件大事”观之，发展和安全是其重要标准。利益衡量的标准是一个开放体系，不是一个封闭体系。有基本标准与特殊标准之分，基本标准适用于一般情形，特殊标准适用于特殊情形。以系统观念论之，个人信息保护的衡量标准是一个体系，最终判断标准是让人民群众感受到公平正义，具体判断标准是实现“三个效果”有机统一，基本标准包括法治标准和德治标准，参考标准是利益位阶标准，特殊标准包括政治标准、党内法规、发展安全等。

三、个人信息保护中利益衡量的具体运用

利益衡量的操作方法是利益类型、利益衡量的内涵与外延、目标、立场、标准的综合体现，其核心步骤包括识别案件涉及的各种利益、分析利益冲突、运用标准进行利益衡量并得出初步结论、论证与修正初步结论。

首先，识别案件涉及的各种利益。从政治效果、纪法效果、社会效果相统一维度出发，在法治框架内识别案件涉及的各种利益。在个人信息保护的具体法律关系中，包括自然人的个人信息权益、个人信息处理者的利用权、履行个人信息保护职责部门的保护权，整体涉及个人利益、商业利益、公共利益、国家安全利益。如前文利益冲突部分所述，从利益主体维度看，有内外两个分析视角，外部分析自然人、个人信息处理者、履行个人信息保护职责部门的整体利益；内部分析各主体内部之间的各种具体利益。从与案件的利害关系程度角度考量，个人信息保护案件有个案利益与类案利益之分。个案利益是指与案件之间有直接利害关系的各种利益，包括当事人的具体利益和潜在人群利益。潜在人群利益主要从现实层面分析，如当事人近亲属的利益。类案利益是指与案件之间有间接利害关系的各种利益，如群体利益。例如，手机APP因过度收集用户信息遭下架后，其他手机APP运营商会据此规范自己的处理权，进而这些手机APP用户群体的个人信息权益会因此得到保护。总之，在识别案件涉及的各种利益中，既要识别个案中的各种利益，也要识别类案中的各种利益；既要识别外部利益，也要识别内部利益；既要识别通常情况下的个人利益、商业利益、公共利益，也要识别特殊情况下的国家安全利益；既要识别当事人的利益，也要识别潜在人群、特定群体的利益等。

其次，分析各种利益冲突。在个人信息保护案件中，全面分析各种利益冲突是其核心环节。既要分析法律制度内的明显利益冲突，也要分析法律制度外的潜在利益冲突。通常情况下，先分析自然人与处理者之间的原始利益冲突，再分析自然人与保护者、处理者与保护者之间的派生利益冲突；先分析自然人、处理者、保护者三者之间的外部利益冲突，再分析自然人、处理者、保护者各自的内部利益冲突；先分析与案件直接相关的利益冲突，再分析与案件间接相关的利益冲突；先分析个案中当事人之间的利益冲突，再分析类案中群体之间的利益冲突。

再次，运用标准平衡各种利益冲突并得出初步结论。在衡量个人信息保护案件的各种利益冲突中，第一步，运用法治标准和德治标准论证各种利益冲突的合法性与合理性。第二步，在涉及国家机关作为处理者或保护者的利益冲突中，运用政治标准论证政治效果和运用党规标准论证纪法效果，在向中华人民共和国境外提供个人信息的特殊案件中，运用发展安全标准论证国家安全利益。第三步，运用利益位阶标准确定各种利益的等级高低。第四步，在统筹兼顾各种利益的基础上，得出个人信息保护中利益衡量的初步结论。

最后，论证与修正初步结论。运用“三个效果”相统一标准分别从政治效果、法律效果、社会效果逐一检验初步结论的合法性与合理性，论证其是否能够让人民群众感受到公平正义。若完全符合“三个效果”相统一的具体判断标准和公平正义的最高判断标准，初步结论就可以得到认可；若不完全符合，则需要重新检查案件所涉利益是否有遗漏、各种利益冲突是否全面、标准运用是否准确，进而对初步结论进行修正。