个人信息保护立法，如何实现价值共赢？

　　信息社会、数字经济的时代洪流，不仅重塑了国人的生活方式，也将个人信息裹挟进了“裸奔”险境，引爆了全社会的集体焦虑乃至恐惧。这就不难理解，去年10月个人信息保护法草案启动初审程序后，其立法走向始终处于社会关注的焦点。

　　在以数据流动、信息共享为标志的经济新生态中，个人信息资源的开发与利用，不仅贡献了巨大的商业价值，也创造了便捷的生活形态，更构成了国家战略的重要一脉。另一方面，置身数字化生存的当下，已深深嵌入人格、财产等个体权益的个人信息，在无孔不入的掠夺下，渐成生命中不堪承受之痛。这种权利与发展之间的深刻冲突，正是信息时代的真实写照，也是个人信息保护立法所面临的最大难题。

　　应该认识到，合理采集、利用个人信息并无原罪，真正需要切割的是践踏个体权益的无序挖掘和野蛮滥用。正因此，个人信息保护立法决不能因噎废食，裹足于单向保护的观念囚笼，而是应当兼顾保护与利用、安全与发展的双重价值，达成相容共生的最优制度方案。

　　综观个人信息保护法草案，无论是处理个人信息的“合法”“正当”“最小化”等底线原则，还是以“告知－同意”为核心的权利、义务谱系，都为权利保护、信息自决奠定了基石。而扩展个人信息利用的合法范围，以分类方式对一般信息和敏感信息施以宽严不同的保护尺度，又为合理利用、信息自由打开了广阔的空间。凡此种种，体现的正是利益兼容的理性立场，值得点赞。

　　不过，草案所设计的种种治理机制能否在现实中真正兑现，仍有待观察。比如，在现有政策的约束下，目前网购、App等服务采集个人信息时，已普遍引入了“告知－同意”机制，但相关隐私保护条款往往以冗长模糊、暗设陷阱等面目示人，异化为空头支票乃至避责手续，而消费者只能被动同意，并且对于个人信息的后续用途和风险，也难以进行监控。其后果就是，“告知－同意”机制徒具形式，而权利却已坠入虚化的深渊。有鉴于此，如何进一步细化“告知－同意”机制，保障知情、监督等权利真正落地；如何进一步强化权利救济机制，遏制侵袭权利领地的僭越行为，等等，应当成为草案改进的重点方向。

　　个人信息保护立法的又一个关键议题，是如何妥善处理权利保护与公共管理之间的潜在矛盾。一方面，随着大数据等信息技术深度运用于政务实践，个人信息已成为精准决策、高效行政的基础性资源，是实现公共管理的必然需求。另一方面，政府等公权部门采集、利用个人信息，数量众多，体量巨大，且大多触及最为敏感的财产、身份等信息，难免放大安全风险。以防控新冠肺炎疫情为例，大数据、“健康码”等技术手段的广泛运用，固然为疫情防控提供了有力支撑，但对个人信息的多层次、大规模采集，也引发了“隐私死亡”的担忧。而多地由公权部门推动的“刷脸”小区门禁，因以透支敏感信息的代价换取管理便利，更是激起了巨大争议。

　　很大程度上，公权对个人信息安全可能造成的威胁，远甚于商业滥用。正因此，个人信息保护法草案将公权机关纳入规制之列，厘清其处理个人信息的基本原则、义务、责任等等，堪称重大的立法突破。不过，基于公权部门相对于公民个体的强势地位，个体权利能否避免被现实中的“权力惯性”所阉割，仍需更为精致的制度安排。

　　比如，对于应对突发公共卫生事件等紧急情形下的采集、利用个人信息，草案已作出无须事先获得同意的豁免性规定，为此类公共管理提供了合法性基础。但就权利保护而言，除了适用草案已有的一般规则，还有必要进一步明确采集主体，增设紧急情况消除后的信息销毁机制等等，以提供更具针对性的保护。再比如，对于在公共场所安装图像采集、个人身份识别设备，草案已明确限定“应当为维护公共安全所必需”，但仍有必要细化“公共场所”“公共安全”等具体含义，如此，才能有效防止以“公共利益”为名,行侵蚀权利之实。

　　说到底，个人信息的保护和利用，交织着个体权利、商业价值、公共利益等诸多复杂纠葛，这就决定了个人信息保护法既是权利保护之法，也是促进利用之法、权力规制之法。只有合理平衡各方诉求和价值目标，才能寻找到保护和利用良性循环的最大公约数，也才能真正终结个人信息“裸奔”的无序困局，建构起多方共赢的信息时代新秩序。