个人信息的私法保护困境及其公法转向

闫竑羽，华子岩

(1.西南政法大学 行政法学院， 重庆 401120； 2.东南大学 法学院， 江苏 南京 211189)

2021年11月1日起施行的《个人信息保护法》开创了我国个人信息保护专门性立法的先河。个人信息是个人权利的核心因素。一旦个人信息不能得到保障，公民赖以生存的个体基础将受到严重的侵犯[1]。在互联网时代，自动化分析处理程序的广泛应用使个人信息的收集和处理变得易如反掌，这个时代已然变成了“最讲究隐私的时代，也是最没有隐私的时代”。近年来，个人信息泄露问题频频进入大众视野，可是相应的法律保护却呈现出“私法力有不逮，公法有心无力”的实践困境。伴随着《个人信息保护法》的出台，对个人信息的保护应将视角转向，打破传统单一私法保护的桎梏，给予个人信息的公法保护更多关注。

一、引言：个人信息保护的私法困境

当前，对个人信息保护的研究实践多集中在私法层面。以《个人信息保护法》为例，其性质虽然为“民法与行政法的交叉型法律”，但其中私法规范占三分之二，公法规范仅占三分之一左右[2]。面对互联网时代对个人信息保护的严峻挑战，个人信息的私法保护已出现乏力现象。

第一，对违法者威慑不足。《个人信息保护法》第七章对侵犯个人信息的法律责任进行了规定，设定了包括警告、没收违法所得、罚款等多种违法处罚形式。另外，《个人信息保护法》还设定了“违反本法规定，构成违反治安管理行为的，依法给予治安管理处罚；构成犯罪的，依法追究刑事责任”等准用性规则(1)参见《中华人民共和国个人信息保护法》第66～77条。。自古以来，在中国百姓的心目中，只有坐牢蹲监狱才算得上触犯法律，所以他们对限制人身自由的处罚很是惧惮，对仅仅处以警告、罚金，甚至是停业等处罚不以为然，这可以从酒驾入刑前后查处酒后驾车的数量对比中寻得例证[3]。在侵犯个人信息的案件中，巨大经济利益与微小罚金之间形成鲜明对比，侵权者往往难以抵挡诱惑，铤而走险。换言之，低违法成本无法对侵权者形成有效威慑。

第二，被侵权人维权能力不足。囿于信息主体与信息控制者之间巨大的技术鸿沟，信息控制者对公民个人信息的侵犯发生后，公民个人往往无法寻得有效保护。在“谁主张，谁举证”的诉讼原则之下，公民完成证据收集、汇总、保留等工作并非易事，而要证明自身损害更是无能为力。即使可以获取证据，通过财产权请求侵权赔偿，也仅是以停止侵害、排除妨碍、消除危险、赔偿损失、消除影响、恢复名誉、赔礼道歉等民事责任形式草草收场。可以看出，私法层面的事后救济机制无论是在预防侵害个人信息行为的发生，还是在侵害发生后的惩罚效果方面都不尽如人意。

第三，违法认定和损害认定标准不清。很多APP、网购平台和移动支付终端要求先注册个人信息才可登录使用，在获取公民个人信息的同时也加大了信息泄露的风险[4]。信息控制者对公民个人信息的处理行为往往表现为隐性侵害，即使有商家过度收集个人信息，而且在事实上也已经侵害了公民的个人信息权，但却很难界定这种行为给信息主体个人造成了何种侵害和受到侵害的轻重程度。甚至商家还可辩称，对个人信息收集的目的是优化APP，进而为用户提供更优质的服务。面对这样的诡辩，信息主体个人也只能是“哑巴吃黄连”。

“人民群众对立法的期盼，已经不是有没有，而是好不好、管不管用、能不能解决实际问题。”[5]对个人信息私法保护的过分倚重，导致个人信息法律保护体系发展不平衡，致使基于私法保护为核心展开的个人信息保护体系无法有效因应时代需求。

二、个人信息公法保护的澄清及反思

面对错综复杂的侵犯个人信息的事实和案例，有学者主张应“以‘个人信息受保护权—国家保护义务’框架建构个人信息的权力保护模式”[6]。换言之，国家不仅应履行尊重私人生活、避免干预个人安宁的消极义务，还应通过积极保护，降低因个人信息处理不当而导致的尊严减损的风险。理论指导实践，实践提升理论。综合来看，现有个人信息公法保护理论研究尚存在部分症结：一是对个人信息进行公法保护的正当性论证存在局限。部分学者认定对个人信息进行公法保护的唯一缘由是私法保护的乏力，并未意识到私主体(企业)的趋利性是私主体保护的天然缺陷。二是对个人信息公法保护的研究深度不足。现有研究多停留在宣誓个人信息应进行公法保护层面上。比如有学者指出随着互联网、大数据与信息技术的发展，基于传统侵权法的个人信息保护路径无法适应现代信息社会中的复杂风险以及过度依赖私法会同时给个人和企业制造难题，进而转向呼吁公法保护应当成为我国个人信息保护的重要手段，但是对公法保护可行性及具体路径的研究不足[7]。三是研究领域呈零散化，未提出体系化的个人信息公法保护模式的构建方案。譬如，有学者尝试理顺个人信息行政公益诉讼的基本逻辑，意图建立个人信息行政公益诉讼制度[8]，有学者则注意到现阶段关于公民信息权的问题发生了从信息公开到信息保护的风向流转，主张以德国法中的“信息自决权”为理论基础，系统构建我国公法上的个人信息保护体系[9]等等。即使偶有学者从个别视角对公法规制进行梳理[10]，但仍无法掩盖现有研究对公法保护法律规范梳理不足的缺憾。可以说，学界虽已显现出加强个人信息公法保护研究的趋势，但仍有深入空间。

(一)公共属性是公法保护的逻辑起点

在大数据时代，个人信息的价值逐渐凸显,人们对于信息的依赖与对信息的挖掘利用使得信息成为了一种重要的资源[11]。个人信息已不再是公民个人的“专属物品”，其公共属性愈发明显。一方面，个人信息具有公共应用价值。如今，基于个人信息收集的大数据分析已在预测预警、应急决策、个体行为分析、网络舆情管理和应急资源配置等领域得到广泛应用。虽然零散的个人信息的公共属性还不至于特别明显，但是海量的个人信息“在被聚合起来进行再分析时所产生的价值远远大于其在单个状态下的价值，同时，个人信息被聚合使用之后的价值又往往使信息主体自身直接受益”[12]。比如，国家可以通过分析现阶段的结婚率、离婚率以及青老年人年龄结构比例等数据为制定政策提供参考。一言以蔽之，个人信息的收集与利用关系到个人生活、社会运行和国家治理等多个方面，这也进一步凸显出个人信息的公共属性，也侧面佐证了公法保护介入个人信息保护的必要性。另一方面，个人信息指向公共利益。现阶段，在大数据技术支撑下的社会形态正从私权利社会向共享形式的有机社会缓慢转变。在特定情形下，国家机关依照职权获取和处理个人信息在某种程度上可以为国家和社会的正常运转提供帮助。《个人信息保护法》第二章第三节就对“国家机关处理个人信息”进行了专门规定。具体而言，《个人信息保护法》开宗明义便指出“为了保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用”的立法原意，其保护的法益是个人信息权益，但是“国家机关为履行法定职责处理个人信息”仅需履行告知义务，表现出个人信息作为公共物品的一种必然属性。

(二)个人信息公法保护的现状

在《个人信息保护法》出台以前，我国法律以及行政法规、部门规章等已经出现了诸多关于个人信息保护的零散性规定。经过梳理，包括但不限于《民法典》《民事诉讼法》《刑事诉讼法》《未成年人保护法》《消费者权益保护法》《护照法》《商业银行法》《电子商务法》《网络安全法》《征信业管理条例》《电信条例》《互联网信息服务管理办法》等诸多法律规范中都存在有与个人信息保护相关的规定。据统计，仅在中央层级的法律文件中，有关“个人信息”的规范性文件就多达1 159部，其中涉及公安、民政等领域以及工业、商业等具体产业[13]。

综观现行关于个人信息保护的法律规范，不难发现个人信息公法保护有以下两个特征：

一是规定了国家公权力机关对个人信息保护的义务。比如，在法律层面，《民法典》第1039条规定“国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息，应当予以保密，不得泄露或者向他人非法提供”；在行政法规层面，《征信业管理条例》第35条规定“国务院征信业监督管理部门及其派出机构的工作人员对在工作中知悉的国家秘密和信息主体的信息，应当依法保密”；在其他规范性文件层面，《APP违法违规收集使用个人信息行为认定方法》等红头文件为认定APP违法违规收集使用个人信息行为提供了规范依据，这也从侧面佐证了公权力机关已成为个人信息保护的主要主体之一。

二是现有法律规范只规定了公权力机关审查义务，但未明确公权力机关相应的责任。从立法体例来看，现有法律规范性文件对法律责任的规定方式一般以专章的形式出现，有的甚至缺失责任条款，这样的立法体例难以做到将义务条款与责任条款一一对应。譬如，《互联网信息服务管理办法》就只规定了保护义务机关的笼统责任，未明确公权力机关管理不力的具体责任。在《征信业管理条例》《消费者权益保护法》《网络安全法》等法律规范中也只是在“法律责任”一章中对部分行为的责任予以规定，并未做到行为与责任一一对应。此外，即使有的法律规范做到了“权利义务相统一”，但大数据和智能技术所引起的裂变效应，快速更新迭代的互联网技术与滞后的立法之间的矛盾，导致现有法律规范责任条款中所列举的责任类型、处罚力度与层出不穷的搜集、使用个人信息的违法行为不相适应，公权力机关的保护义务也难以落实到位。

(三)个人信息公法保护的缺陷

散见于不同法律规范中的规定共同组成了独具行业特征的个人信息公法保护规范集合，对不同领域、不同行业、不同场景关于个人信息保护提出了不同要求。然而，考察现行个人信息公法运行现状，不难看出其还存在着一定的进步空间。

一是不成体系。伴随着大量法律规范直接或间接地涉及个人信息保护，我国在实体法层面的个人信息保护框架已经初具规模[14]，但是零散化的法律规范体系可能导致个人信息保护主体与客体间逻辑的缺失，甚至会出现不同规范彼此扞格的情况。另外，大数据引发的变革，使“这些规则都成了无用的马其诺防线”[15]。既有法律规范已无法满足对个人信息保护的要求，致使大规模的个人信息泄露事件时有发生，且无法提供及时、有效的救济。

二是规范内容不完善。一方面，在公对私角色不平等地位的作用之下，公权力机关对信息控制者的行政措施具有天然的震慑效果。但是，由于多方面原因的影响，这种震慑作用正逐渐被侵蚀，不能给予过多期待；另一方面，由于大数据时代个人信息的处理方式种类多样，行政机关在执法时难以准确判断该行为是否已对公民个人信息造成侵害，因而常有形式合法而实质侵权的情况发生。比如，公民个人在注册APP账户时，一般都必须圈选“授权协议”，否则将无法使用该APP。如此，个人的选定同意行为则无异于给信息搜集者披上了合法的外衣。此外，实践中还存在着公私法保护衔接不畅的问题，个人信息的公法保护与私法保护的界限有待明晰，比如公法层面与私法层面对信息控制者的惩罚以及对公民个人的损害赔偿有何不同？是否可以叠加使用？这些问题无疑都显示了个人信息公法保护在规范内容上的缺憾。

综合看来，以隐私权和财产权为主要保护路径的私权保护已不能满足大数据时代个人信息保护的要求。私权制度产生的前提和正当性基础是个人独占，但大数据时代个人信息的公共属性使得私权的权属和边界的划分以及权利内容的确定都非常困难[16]，这既昭示了现有保护模式架构之下单纯地以私法保护为主要面向对抗个人信息侵权行为的艰难，也预示着公法保护的某种可能。

三、个人信息公法保护的基本定位

(一)实现个人信息保护与利用共进

当前，我国关于个人信息保护的研究不约而同地将个人信息视为私权的客体，认为其具有私权属性，进而以隐私权为切入点，展开对个人信息的私法保护[6]。这样的论证思维其实是以个人信息天然的私权属性来推导出其应该进行私法保护，难免陷入“证明已经存在的客观事实”的窠臼之中。当然，采取此种论证思维的另一解释便是意图将个人信息私有化，承认信息主体对个人信息的独占性。从法益保护的角度来看，这样的观点已经不合时宜。当然，需要说明的是，强调个人信息的公共属性并非意味着对个人信息私权属性的泯灭。

一方面，保护公民的个人信息是公法保护的基本要义。随着互联网信息技术的发展，个人信息数据在我们的日常生活中扮演愈发重要的角色，但是当下私法保护机制漏洞频出，面对新挑战时表现得捉襟见肘。于是，公法保护作为与私法保护并行的保护机制逐渐被学者认可。进言之，个人信息公法保护的第一目标在于解决数据时代背景下私法对个人信息保护不力的症结。正如学者郑戈所言：“大数据技术的广泛应用实际上正重塑着整个法律体系运作于其中的社会空间，改变着大数据掌控者(包括国家和商业机构)与公民个人之间的权利关系，并创造出许多无须借助法律的社会控制方式，大数据技术使个人变得越来越透明，而权力行使者却变得越来越隐秘。”[17]是故，对掌握了大量个人信息数据的信息控制者来说，对其进行监督管理，预防个人信息被滥用是公法保护的基本要义。

另一方面，个人信息的公法保护意在促进个人信息数据的共享、使用与个人信息私权保护的齐头并重。个人信息的风险治理展现出“从个人本位走向社会本位”的转变趋势，而个人信息保护也应实现“从自主支配到有序共享”的逻辑转换[18]。人格信息作为一种“能够保证和维持大多数人所关注的生活的安定秩序的利益”[19]，所具有的公共利益性质自不待言。但是，需要注意的是，个人信息公法保护应避免为了寻求实现公共利益而促进个人信息的分享利用，造成对个人信息保护的事实偏废。也就是说，在大数据时代到来之前，个人信息并未显现出如此明显的社会属性，而如今，作为“真正私法属性”(2)意在强调在大数据时代到来之前的个人信息公共属性十分薄弱。的个人信息同样可以得到公法保护，这是时移世易的必然结果。公法保护在保护个人信息的同时，有意涉猎如何实现个人信息的合理利用，在合法合理的框架制度下，实现个人信息保护与利用的正向动态平衡。

(二)发挥公权力机关的主体性作用

从公法保护机制的主体来看，公权力机关应作为个人信息公法保护的主体。互联网服务提供者等企业、单位为了自身的发展，基于本身的技术优势，成为个人信息的收集控制者，但是鉴于企业、单位自制能力的不足甚至缺失，由公权力机关介入个人信息保护的进程就显得尤为重要。尤其是在个人信息社会属性凸显的情况下，公权力机关有责任为公民提供信息安全这一公共产品。

首先，公权力机关具有维护公共利益的天然使命。“行政机关从事行政管理，其职权来自人民的委托，以维护公共利益为职责，作为人民利益的受托人，公共权力的行使者，行政机关负有维护公共利益的法定职权……行政机关的行政职责意味着对于公共利益负有勤勉注意义务，而不是一般注意义务。”[20]作为公法保护重要主体的公权力机关应担负起实现公共利益的职责。换言之，由公权力介入影响个人信息资源保护和利用的分配是个人信息保护的必然选择。

其次，在个人信息利用维度，应赋予公权力机关个人信息合理使用标准的裁量权。公权力机关有监督管理信息控制者合理使用个人信息的义务，但是现有法律规范对个人信息合理使用的界限并未明确规定，学界对此也是莫衷一是。基于此，行政机关应具有对应场景下对不同个人信息使用情形的裁量权。“维护公益及增进人民福祉，乃最基本之国家目的，但法律甚少可能对于公益与福祉之实现，在各种行政措施之领域，提供恒久之价值判断标准或作巨细无遗之规定，故行政机关不仅须对国家目的之实现，选择具体及直接之措施，在立法机关未提供价值判断之标准时，行政机关亦有责无旁贷之判断义务。”[21]换句话说，法律规范无法也不可能穷尽对行政主体行政行为的规定并附之以明确的裁判标准，因此公权力主体应具备自身价值判断和事实认知，对信息控制者个人信息的合理使用标准应具有相应的自由裁量权，并可将个人信息场景化保护的理念嵌入其中，灵活判断信息控制者的行为。

最后，在个人信息保护维度，应落脚于对信息业者的监管。必须承认的是，当前，我国互联网企业的行业自律性有待提高，行业自制规章的执行力度也亟待加强，从业人员的伦理道德规范也亟待健全。因此，公权力机关必须扮演大数据使用的法律规范者和道德塑造者的角色。具体而言，公权力机关对信息业者处理个人信息应贯穿收集、分析、使用以及分享全过程。此外，对个人信息处理违法行为的执法不应再局限于对个人信息主体权益的保护，要将对公共利益的保护一体纳入执法范畴内，从而提升公权力机关信息执法的价值认知。当然，从技术层面讲，也有学者主张设立专门的数据保护机构来负责信息业者对个人信息处理的监管，这也不失为一种可行的路径[22]。

(三)打造公法与私法并行的个人信息保护进路

21世纪以来，公法与私法的融合发展成为时代强有力的声音。与此同时，“公权与私权界限的模糊、政府职能的泛化和转变、行政强权的弱化、行政行为方式的柔性化”[23]等现象也在影响着公私法融合发展的轨迹。可以说，公私法相互渗透、融合发展已成为新时代发展的必然趋势，延伸至个人信息保护领域，公私法双轨并行的个人信息保护进路已成为个人信息公法保护的不二选择。由此，公私法双轨并行的个人信息保护进路便浮现出两个特征：

从关系上讲，个人信息的公法保护与私法保护是合作而非排斥关系。无论是公法层面还是私法层面，对个人信息而言二者存在交互的一致性。进言之，公法保护和私法保护的目标皆在于通过法律手段实现个人信息收集、处理、使用和分享等阶段的合法性和合理性。另外，需要阐明的是，即使是纯粹私属性的个人信息也有寻得公法保护的“权利”，这是由“公”对“私”的本质特性所决定的，毕竟“公权力”对“私权利”进行保护是再正常不过的事情。当然，公法保护也“无需直接影响和改变已经存在的私权”，“将个人数据信息作为公共物品来加以治理并不直接改变或者减损公民或者法人已经拥有的私权”[8]，这也是个人信息公法保护的基本要义所要求的。

从功能上讲，公法保护除了具备防御性功能之外，亦存在对个人信息的拓展性功能。防御性功能在性质上可归类为消极功能，表现为设定信息业者在搜集、整理、使用个人信息过程中的禁止性事项。譬如《网络安全法》第42条第1款为网络服务提供者设定了不得泄露、篡改、毁损其收集的个人信息的义务。拓展性功能在性质上可归类为积极监督功能，表现为信息业者收集、开发、利用以及分享个人信息过程中需要履行的积极注意义务。譬如《征信业管理条例》第22条第2款确定了经营个人征信业务的征信机构应当对其工作人员查询个人信息的权限和程序作出明确规定，并对工作人员查询个人信息的情况进行登记等积极注意义务。概言之，公法保护所具备的消极防御功能和积极拓展功能，都是为实现个人信息保护与利用的合理化、合法化，从而实现社会的平衡发展而设定的。正如奥地利法理学大家埃利希所言：“法律发展的重心既不在于立法，也不在于法律科学和司法判决，而在社会本身。”[24]无论是公法保护还是私法保护都是因应社会需求，保障社会向前发展的结果。

四、个人信息公法保护的实现路径

“法律的基本作用之一乃是使人类为数众多、种类纷繁、各不相同的行为与关系达致某种合理程度的秩序，并颁布一些适用于某些应予限制的行动或行为的行为规则或行为标准。”[25]伴随着《个人信息保护法》的面世，静态的个人信息保护法律规范体系随之形成，将构建起个人信息一般性的保护原则及行为标准。因此，本文将从规范体系、逻辑线路以及技术手段3个层面描绘个人信息公法保护机制的基本图像。

(一)以《个人信息保护法》为核心的法律规范体系

作为国内首部关于个人信息保护的专门法律，《个人信息保护法》的出台势必对组织和个人处理个人信息的各项活动产生重大影响，该法一方面注重对个人信息私益的维护，另一方面也强调对个人信息社会价值或使用价值的发挥[26]。该法着眼于“个人信息处理活动”，试图厘清适用范围、个人信息及敏感个人信息定义、个人信息处理合法性基础、告知与同意基本要求等基本问题。另外，《个人信息保护法》还明确了个人信息处理者的各项义务，提出了国家机关处理个人信息的特别规定，这已成为个人信息法律规范体系的核心。

一方面，《个人信息保护法》应在个人信息保护法律规范体系中起统领作用。《个人信息保护法》作为个人信息保护领域的专门性法律，回答了诸多基础性问题，厘清了个人信息的范围，对民法典、网络安全法中“个人信息”的定义做了微调，参照GDPR确定了个人信息是“与已识别或者可识别的自然人有关的各种信息”的概念，明确了匿名化处理后的信息不属于“个人信息”的范畴。另外，《个人信息保护法》第二章专节规范了敏感信息的处理规则，明确指出敏感信息是指“一旦泄露或者非法使用，可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息”，并初步划定了敏感信息的种类。可以看出，《个人信息保护法》为不同行业创设各自领域的个人信息法律规范划定了基本框架。概言之，在《个人信息保护法》的法律位阶关系上，其他法律规范在个人信息保护法律规范体系中只能起到补充说明作用，而《个人信息保护法》应在个人信息保护法律规范体系中起统领作用。

另一方面，《个人信息保护法》的出台解决了原有法律规范零散的弊病。法律规范的零散导致缺乏可操作的统一性标准、执法主体缺位、执法力度不足等问题，而《个人信息保护法》出台对以上问题起到了纾解作用。譬如，在执法主体方面，《个人信息保护法》明确了中央层面由国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。同时，国务院各有关部门将依照个人信息保护法和有关法律、行政法规的规定，在各自职责范围内负责个人信息保护和监督管理工作。而地方层面则形成了按照国家有关规定确定县级以上地方人民政府有关部门的个人信息保护和监督管理职责。可以说，以《个人信息保护法》为核心打造个人信息公法保护的法律规范体系是个人信息公法保护实现的基础前提。

(二)贯穿事前、事中、事后的逻辑线路

个人信息保护的法律规范体系为个人信息保护的实践提供了规范基础。应以《个人信息保护法》为统领，以其他公法规范为依托，构建体系性的个人信息保护法律规范框架。同时，还应打造事前、事中、事后全流程和“静态+动态”相结合的双向互动个人信息公法保护模式。

对贯穿个人信息的不同阶段进行事前、事中、事后的划分，是分析全流程个人信息公法保护线路的前提。以个人信息被收集时和个人信息被违法侵害时为临界点，将在个人信息被收集之前的阶段划归为事前阶段；将在个人信息被违法侵害之后的阶段划归为事后阶段；将个人信息处理者对个人信息的处理(分析、利用、储存以及分享等行为)划归为事中阶段。

事前阶段：应形成个人信息处理活动的事前风险评估和风险预防机制，并适用与风险评估等级相对应的技术保护措施。尤其是对个人信息进行新措施、新技术、新应用处理时，事前的风险评估就显得十分必要。若是评估某种处理会对信息主体带来较高的风险时，信息处理者应严格控制信息处理者的处理行为，采取个人信息匿名化或加密等手段，以保证个人信息数据的安全(3)《一般数据保护条例》第32条：“在考虑了最新水平、实施成本、处理的性质、处理的范围、处理的场景与目的之后，以及处理给自然人权利与自由带来的伤害可能性与严重性之后， 控制者和处理者应当采取包括但不限于如下的适当技术与组织措施，以便保证和风险相称的安全水平。”[39]218。如若存在通过现有技术手段无法有效化解风险的可能时，则需要向主管部门主动报备，否则个人信息处理者将承担由此引发的不利后果[27]。

事中阶段：应实现个人信息保护与利用的衡平共进。在保障个人信息权益的基础上，统筹个人信息保护与利用，促进信息数据依法合理有效利用(4)参见全国人大常委会法制工作委员会副主任刘俊臣《关于〈中华人民共和国个人信息保护法(草案)〉的说明》。。个人信息处理的事中阶段是个人信息保护流程的中心环节，对信息处理者的监管管理体现在静态和动态两个维度。一方面，静态的法律规范为信息处理者在信息处理过程中设置了消极遵守及积极注意两个层面的义务，信息处理者不得通过欺诈、误导等方式处理个人信息，同时收集和利用个人信息应遵循合目的性、最少收集等原则。另一方面，公权力机关动态的监管、对处理个人信息的行政许可甚至上下级政府之间的合作共治都成为个人信息保护和利用衡平发展的助推器[28]。

事后阶段：应聚焦对信息主体救济权利的保护与供给。鉴于私法保护下信息主体对于个人信息的侵害只能通过侵权损害的路径实现，信息主体个人与信息处理者事实上的实力差距以及动力不足导致私力救济效果不尽人意。因此，公法保护机制试图将个人信息保护公益诉讼纳入个人信息违法侵害的救济渠道。互联网时代的个人信息数据不仅关涉个人利益，而且与社会整体利益密切相关，具有公共性和社会性[29]，这也与公益诉讼标的需要具有公共性的要求不谋而合。而在个人信息保护公益诉讼构建的路径选择上，应同时接纳民事公益诉讼和行政公益诉讼两种行为，在公益诉讼的原告资格方面，应适当加以扩大以满足个人信息保护的现实需求，甚至可以赋予网络运营者以公益诉讼原告主体资格[5]。

(三)以场景主义为技术手段的保护方式

大数据、人工智能等新兴技术的快速迭代及其普及推广，意味着第四次工业革命走向纵深，同时也暴露出传统建构在“知情同意”基础上的架构模式在应对大数据时代日益严峻冲击时的乏力。“如何在开发信息价值的同时保障个人信息的合理利用，有效平衡创新发展与隐私保护，业已成为当今时代最大的公共政策难题之一。”[30]伴随美国《消费者隐私权利法案(草案)》的颁布，场景主义理念得以确立，并成为应对个人信息保护时代难题的良药。

“场景”源自美国“情境脉络完整性理论”，主张不再追求个人信息保护范围即处理行为的精确界定，而是建构一种动态的、以场景为导向的多元体系[31]。因此，可以将场景主义的关键词锁定为“个案分析”，即不再遵循原有固定的对个人信息处理行为的机械标准判断(基于知情同意判断框架)，转而将目光集中于个人信息运用的具体场景进行动态分析，从僵化的合规遵循转变为灵活的场景判断。需要说明的是，场景主义应镶嵌贯穿于个人信息公法保护的全过程，也就是说，其应作为一种理念指导信息控制者对个人信息的处理以及行政机关对信息处理者处理行为的监督管理。

下文以个人信息的收集为例对场景主义如何嵌入到个人信息处理活动中进行诠释。现有法律规范确定了个人信息收集的告知同意原则，即是说信息业者收集个人信息，应当在当事者个人充分知情的前提下，自愿、明确地做出意思表示后才能进行。在场景主义理念的改造下，告知同意原则应做出相应转变，即将场景主义与个人信息风险评估相结合，不再一味受制于告知同意原则的限制，只要信息处理者能够将收集个人信息带来的风险与收集目的之间达到一定的均衡程度，就意味着在此场景下本次收集行为是可以被允许并接受的。譬如，在自动驾驶汽车场景下，不经个人同意便对个人信息进行收集并处理具备正当性[32]。相对应的，如果互联网企业收集个人信息用于推送医疗广告，因为信息主体与医疗机构之间存在巨大的认知差距，当为个人提供优质服务和利润不兼容时，医疗机构很可能会走向后者，那么此场景下未经过用户同意对个人信息的收集显然是不能被接受的，甚至会有违法的可能[33]。由此观之，场景主义理念既化解了“告知—同意”原则对个人信息收集的机械约束，其与风险评估等机制的配合又能较好缓冲给信息主体带来的潜在风险。

不可否认，以权利保护为进路的个人信息立法模式具有相当的合理性，但这无法掩盖场景化行政主义规制进路在实践中大量运用的现实。而以场景主义理念贯穿个人信息公法保护实践，为公权力主体提供一种场景判断下行为主义的合规指引和执法指引，这既是因应大数据时代个人信息保护和合理利用的要求，也是“反思和超越目前‘单一的’形式合法化框架及话语体系，建构一种适应时代要求的‘复合型’的行政正当化框架”的必然进路[34]，更是实质法治基本精神的展现。

五、结语

在大数据时代，公民对个人信息保护的需求不断扩张，可人们依然习惯用私法层面的“旧方法”解决因时代发展变迁而形成的“新问题”。由此，笔者对个人信息公法保护路径进行了思考：应以《个人信息保护法》为核心打造个人信息保护的公法规范体系，以场景主义为理念为指导，形成贯穿事前、事中、事后全流程的个人信息公法保护线路。不惟上述，公法保护与私法保护是一种合作而非排斥的关系，实现个人信息有效保护与合理利用的平衡才是个人信息法律保护体系的最终旨归。