目次
一、个人信息保护立法的初步比较
二、个人信息保护立法的文化背景差异
三、《个人信息保护法》的文本再分析
四、《个人信息保护法》的解释原理
五、结语:《个人信息保护法》的中国道路
摘要
我国《个人信息保护法》在表面与形式上与欧盟《一般数据保护条例》高度相似,但并非后者的翻版,二者在法律性质、立法目的等方面存在重大差别。欧盟的个人数据保护法具有高度意识形态化的文化渊源,其风险防范以人格与身份为核心,而我国的《个人信息保护法》则更加具有实用主义的特点,其保护的法益包括了人格与人身财产安全等多项权益。而中美个人信息保护立法虽存在重大差异,但也存在若干共同点。《个人信息保护法》在借鉴欧美立法的同时,具有鲜明的中国特色。解释与适用这部法律,应坚持实用主义、风险规制、公私法合作治理、场景化适用等解释原理,从而创造出为全球个人信息保护贡献落地实施的中国方案。
关键词
个人信息;隐私;人格尊严;一般数据保护条例;风险
2021年8月20日,千呼万唤的《个人信息保护法》终于经全国人大常委会表决通过,并于2021年11月1日起正式实施。在我国的立法历史中,很少有哪部法律像《个人信息保护法》这样,引起如此广泛的关注与争议。从2012年全国人大常委会通过《关于加强网络信息保护的决定》到《个人信息保护法》的最终出台,学界围绕个人信息保护法与宪法等相关法律的关系、个人信息与隐私保护的区别、个人信息保护法的立法方向、个人信息权利(益)的法律属性以及公私法属性,展开了深入的讨论。如今,伴随《个人信息保护法》的通过,一些宏观问题已经有了答案。例如在立法体例上,这部法律采取了统一的立法模式,在立法体例与内容方面较多借鉴了欧盟的立法,尤其是2018年生效的《一般数据保护条例》。
但《个人信息保护法》是否是一部与《一般数据保护条例》高度类似的法律,或者是一部“小型《一般数据保护条例》”(mini-GDPR)?本文认为,《个人信息保护法》的文本虽然与《一般数据保护条例》高度相似,但这并不代表二者的基本原理与法律特征完全相同。同样的用语和表述,其含义在不同地区可能完全不同。例如,中西方可能都使用隐私一词,且同样在法律里规定了隐私权保护,但对于何谓隐私存在不同的认识——西方可能会将个人收入视为隐私,但中国的大多数人可能认为这不属于隐私。即使在西方国家中,欧美对于隐私的理解也具有重大差异,例如,欧盟更多以尊严的立场理解隐私,而美国则更可能以自由的立场理解隐私。个人信息保护亦是如此,理解《个人信息保护法》,需要进行更深的文化背景比较与文本细读,从而剖析中国与欧美立法的异同。
据此,本文引入法律文化研究与方法,比较中欧个人信息保护的异同。根据格尔茨的说法,文化“是一种历史上传播的符号意义模式,一种以符号形式表达的继承观念体系,人们通过这种方式交流、延续和发展对生活的认识和态度”。格尔茨曾经以“眨眼”(wink)为例,指出在某些社会眨眼意味着阴谋诡计,而在其他社会眨眼则意味着调情。因此理解某一社会的眨眼,不能仅仅描述这一概念本身,而必须结合其文化背景进行“深描”(thick description),以“理解并抓住其多重复杂概念结构”。《个人信息保护法》的文本研究亦是如此,应结合不同文化背景对其进行深描。
本文的结论是,《个人信息保护法》虽然在表面上采取了一条类似欧盟的进路,但两部法律在本质上仍然存在众多差异。另外,虽然我国立法在形式上采取了与美国相迥异的领域立法模式,但二者在若干方面仍然存在相似性。当然,我国的个人信息保护和美国也有巨大差异,我国的《个人信息保护法》采取了与欧美不同的独特的中国道路,具有回应中国实践需求的实用主义导向。
因此,无论在实证法层面还是正当性层面,未来的个人信息保护都应当避免以欧美的进路来解释我国的《个人信息保护法》及相关法律的简单思路。相反,对域外个人信息保护的经验与原理的借鉴应该建立在对其原理与背景的深层理解上,将域外经验视为我国个人信息保护的参照。从《个人信息保护法》的中国特色出发,本文提出了实用主义、风险规制、公私法合作治理、场景化适用等若干解释原理与方法,以期为《个人信息保护法》的解释与适用提供若干指引。
1、个人信息保护立法的初步比较
在我国《个人信息保护法》的立法过程中,欧盟的《一般数据保护条例》是一部不得不提的法律,这部法律对《个人信息保护法》有着毋庸置疑的巨大影响。在多个不同层面,我们都可以发现这两部法律的相似性。
其一,《个人信息保护法》与《一般数据保护条例》在立法结构上具有高度的相似性。二者都采取了统一立法模式,对不同行业、不同主体、不同目的的个人信息收集与处理的行为做统一性规定。只要存在个人信息的专业化或商业化处理行为,此类行为就可以为两部法律管辖与适用。在《一般数据保护条例》中,所有决定“个人数据处理目的与方式的自然人或法人、公共机构、规制机构或其他实体”都被称为“控制者”,在《个人信息保护法》中,所有“自主决定处理目的、处理方式的组织、个人”则被称为“处理者”。
我国和欧盟的这种立法结构与美国领域性、分散式的立法模式有较大差异。美国并无一般性与统一性的联邦立法,美国联邦层面的个人信息保护立法集中于那些风险较大、社会关注较多的领域。例如美国首部涉及个人信息保护的《公平信用报告法》,其立法目的是为了防止征信领域个人信息的不正当收集与滥用。而在州立法层面,美国的个人信息保护法也主要针对特定领域,例如,2020年实施的《加利福尼亚州消费者隐私保护法案》和2021年批准的《弗吉尼亚州消费者数据保护法》主要就消费者领域的个人信息收集与处理进行了规制。
其二,《个人信息保护法》与《一般数据保护条例》在宪法依据上具有相似性。由于涉及个人信息或个人数据的保护,我国《个人信息保护法》在三审稿与最终稿第1条中增添了“根据宪法,制定本法”的表述,从而将保护个人信息的依据上升到宪法的高度。与我国类似,欧盟也将个人数据被保护的权利视为一种宪法上的基本权利。《欧盟基本权利宪章》第8条第1款规定:“每个人都有权保护与其有关的个人数据。”《一般数据保护条例》第1条第2款在规定“本条例保护自然人的基本权利和自由,特别是其个人数据被保护的权利”的同时,又在其“重述”(recital)中重申:“在处理个人信息时保护自然人是一项基本权利。”
相较而言,美国的个人信息保护立法并未明确上升到宪法层面。无论是美国联邦层面的领域性立法,还是州层面的立法,其个人信息保护法更多是出于实用主义的考虑,尤其是基于保护消费者和个人的知情权的目的。就宪法基本权利而言,美国由于其国家行动(state action)教义的限制,其基本权利只能针对公权力主体,既不能像欧盟那样通过第三人效力而辐射到私主体,也不能像中国这样要求国家承担对个体信息的保护义务。总体而言,美国宪法至今仍然认可美国联邦与州层面的个人信息保护立法,但并未将其视为一种宪法上的义务。
其三,《个人信息保护法》与《一般数据保护条例》在个人信息处理的合法性基础方面具有高度的相似性。两部法律首先都规定处理个人信息需要合法性基础,缺乏合法性基础的,信息处理者不得收集与处理个人信息。具体而言,我国《个人信息保护法》列举了七种情形,而欧盟《一般数据保护条例》也规定了类似的合法性基础,增加了“处理对于保护数据主体或另一个自然人的核心利益所必要”和“处理对于控制者或第三方所追求的正当利益必要”两项条件,而这两项条件在中国个人信息保护立法中也被广泛讨论,并被认为可以通过其他条款加以解释。
这与美国的个人信息保护立法有较大差别。在美国,首先,个人信息保护的相关立法主要是为了保障公民在个人信息处理中受到公平对待,其个人信息保护中的同意等机制主要为了保障公民知情权,是矫正市场信息不对称的一种手段,而非处理合法性条件的一种方式或途径。其次,在没有立法的领域,美国对收集与处理个人信息采取了更加市场化的原则,即国家并不设置任何处理个人信息的合法性基础。在这些领域,美国主要采取消费者保护的进路,即监管企业在收集与处理个人信息时是否存在“不公平与欺诈”(unfair or deceptive)的行为。
其四,《个人信息保护法》与《一般数据保护条例》在权利义务设置上具有高度相似性。就个人信息权利而言,两部法律虽然在表述上有一定差异,但都规定了个人的知情选择权、查询复制权、更正权、删除权、携带权、自动化处理与算法决策等相关权利。就信息处理义务而言,二者都要求信息处理者或数据控制者收集个人信息以必要为限度,处理或分析个人信息以最小化为原则,同时履行保护个人信息安全、保障个人信息质量、在数据泄露等情形下采取必要措施并通知用户的义务。
相较而言,美国的个人信息立法没有规定这么宽泛的个人信息权利与信息处理者义务。例如,《家庭教育权利与隐私法》《健康保险可携带性和责任法》《联邦有线通讯政策法案》《视频隐私保护法》《司机隐私保护法案》《儿童在线隐私保护法》《加利福尼亚州消费者隐私法案》等大多规定了个人对于其信息的知情同意权、查询权、更正权、删除权等权利,但除了极个别情况,并未明确规定被遗忘权、携带权及与自动化处理相关的权利。同时在义务方面,美国的大多数法律未强制要求信息处理者遵循最小必要原则,也并未要求企业设置专门的个人信息保护人员。
2、个人信息保护立法的文化背景差异
《个人信息保护法》的文本虽然在若干方面与《一般数据保护条例》高度相似,与美国立法具有重大差异,但这并不意味着三者在根本原理方面也存在类似的情况。
(一)欧盟
首先就法律性质而言,欧盟以《一般数据保护条例》为代表的数据立法是欧盟基本权利意识形态的一部分。欧盟的宪法基本权利首先具有欧盟与欧洲共同体建构的功能,个人数据被保护权作为最为重要的一种基本权利,其功能尤其突出。
二战以后,欧盟出现了严重的身份认同危机——欧洲存在的意义是什么?正如哈贝马斯所言,这一问题构成了欧洲知识分子与精英阶层的灵魂之问。对于这一问题,欧洲给出的答案是保护人权与基本权利。为了保护人权与基本权利,欧盟在其成员国、欧盟与欧盟之外分别建立了复杂的人权保护体系。在成员国内,各国具有其独立的宪法基本权利及其保护体系。在欧盟内部,《欧盟基本权利宪章》确立了尊严、自由、平等、团结、公民权利和正义等基本权利,并由欧盟正义法院作为最后裁决者;在欧盟外部,《欧洲人权公约》以国际公约的形式确认了签署国的人权义务,并由《欧洲人权公约》作为最终裁决者。对于欧洲而言,离开了人权与基本权利的话语体系,欧洲各国公民对于其欧洲的共同身份认同就难以维持,欧盟超国家的制度体系就不具备正当性。
因此,研究欧盟的个人数据被保护权,必须将其还原到欧盟建构与普世主义价值的意识形态中去理解,而不能仅仅从实用主义的层面去理解。“General Data Protection Regulation”中的“General”一词,正是这一意识形态的最佳佐证。“General”既可以翻译为“一般”和“通用”,又可以翻译为“统一”,表明欧盟希冀将数据权利建构为一种一般性和普适性的权利。
此外,欧盟认为,个人数据处理本身会带来侵害人格的风险。欧盟的个人数据保护立法以风险预防为原则,而且是一种基于人格尊严为核心的风险预防。个人数据保护虽然可能关乎多种权益,但欧盟对此问题的探讨仍以人格尊严为基础。早在1977年德国制定《联邦数据保护法》时,联邦议会就指出,其立法目的在于预防数据处理对“个人完整性”(personal integrity)的威胁。1978年,法国也在相关法律中指出,基于个人信息的“信息计算”可能对“人类身份、人权、隐私,和个人或公共自由”构成威胁。及至1995年通过的第95/46/EC号《数据保护指令》和2016年通过的《一般数据保护条例》,这一立场一直延续。
欧盟之所以采取这种视角,与欧盟在二战期间的纳粹历史密切相关。二战期间德国等国对犹太人等群体的迫害,就是利用个人信息来对特定群体进行大规模区分和识别。因此在二战后,欧盟对于基于个人信息的自动化、半自动化与大规模个人信息存档的行为尤其警惕。在德国著名的人口普查案中,德国法院之所以提出个体相对于信息处理者的“信息自决权”和“信息系统中的信任和完整权”,在一定程度上就是因为此类信息普查引起了德国惨痛的纳粹记忆。
(二)美国
就法律性质而言,美国个人信息保护主要采取消费者保护的立场,具有市场调节法的特征。一方面,在没有进行个人信息保护立法的领域,美国的个人信息保护采取一般消费者保护的模式,通过美国联邦贸易委员会(FTC)进行市场监管。而在已经进行个人信息保护立法的领域和州,美国采取了“特殊型”(sui generis)消费者保护法。美国州层面的若干统一立法也具有类似性质,例如上文提到的《加利福尼亚州消费者隐私权利法案》《弗吉尼亚州消费者数据保护法》,以及奥巴马政府时期起草但未获通过的《消费者隐私权利法案》,也都被冠以消费者保护法之名。
相比欧洲来说,美国的消费者法更少规定规制方面的内容,而是更接近民事法律,特别是合同法制度。在一般消费者保护方面,美国联邦贸易委员会进行的市场监管较少,只要不存在明显的不公平对待,尤其是不存在欺骗性对待,用户的同意就可以被视为或被拟制为一种合同或是用户授权。同时,即使在已经进行个人信息保护立法的领域,美国所进行的监管也远不如欧盟严厉。如果说欧盟在整体上不信任个人信息保护的市场化机制,在一定程度上采取了施瓦茨教授所谓的“信息隐私不可让渡”(information privacy inalienability)规则,则美国整体上仍然肯定市场在个人信息保护中的重要作用,其立法目标更多是为了矫正市场的信息不对称与不公平问题。在这个意义上,可以说美国的大多数个人信息保护立法本质上仍然是一种市场监管法或市场调节法。
另一方面,就立法目的与风险预防而言,美国并没有采取本质主义的立场,认为个人信息处理本身就会带来风险。美国通过立法的方式预防个人信息风险,主要集中在少数处理个人信息行业风险较高或社会关注度较高的领域。例如,在征信、金融、视频、电信、医疗、儿童保护等领域中不当处理个人信息被认为会带来较高风险,因此需要单独进行立法。总体而言,美国并不像欧洲那样,认为个人信息处理本身就存在侵害个人人格尊严的风险。对美国而言,个人信息处理更像是放大相关风险的过程,而且会因为不同领域和不同场景的差异而不同。在一些风险较小的领域,个人信息处理所带来的风险扩张可能微不足道,因此不需要立法上的风险事前预防。在风险较高的领域,才需要立法与事前规制。就此而言,美国个人信息立法的风险观更为务实,更接近个人信息使用不当或泄露所带来的实际风险。
(三)中国
借助欧美法律文化背景的比较,可以发现我国《个人信息保护法》的独特性。就法律性质而言,我国的《个人信息保护法》与欧美的相关立法都有所差异。本文第一部分曾经提到我国《个人信息保护法》在宪法渊源上与欧盟《一般数据保护条例》相似,都将个人信息被保护权视为一种基本权利。但我国对于这种宪法基本权利的理解与欧盟相关立法并不完全相同,如果说欧盟宪法基本权利和个人信息被保护权具有身份建构与普世主义价值的特征,那么我国则更多将个人信息被保护权视为一种朴素的国家保护义务。与欧盟不同,我国并不以基本权利来维持超国家的身份认同,也不主张建构普世主义的意识形态。
此外,我国的《个人信息保护法》在事实上也聚焦于消费者个人信息保护,在这一点上反而和美国有一定的相似性。在我国《个人信息保护法》的立法过程中,最为聚焦的议题始终是以互联网企业为代表的企业对个人信息的收集与利用,这些议题在很大程度上支配了立法者与参与者对《个人信息保护法》的想象。《个人信息保护法》采取了统一立法的模式,但其立法模式恰巧将国家机关作为单独一节进行规定,区别于欧盟不加区分的模式。这一立法体例说明我国的《个人信息保护法》更像是消费者隐私法与国家机关处理个人信息法的叠加,而非像欧盟法那样,是一部高度融合与统一化的个人信息立法。
就立法目的与风险防范而言,我国更多采取实用主义的立场。在过去若干年的个人信息立法过程中,学界、产业界与公共舆论围绕个人信息保护展开了激烈的争论,议题包括立法应当按欧盟模式还是美国模式,应当更严格还是更宽松,应当更顾及产业发展还是个人信息保护?这些问题如今都已经尘埃落定。但这些争论说明我国的个人信息保护立法在根本原理上与欧盟并不完全相同。如果二者完全相同,此类争议就不可能存在。因为按欧盟的理论,个人信息处理本身就存在对人格尊严的威胁,需要无可争议的法律严格规制。我国在立法过程中存在此类争论,恰巧反映出我国个人信息保护立法是从实用主义的角度出发,对个人信息合理利用与相应风险进行权衡判断的结果。
对于我国《个人信息保护法》的保护性特征与实用主义特征,还可以从文本的某些核心细节中再次获得佐证。与欧盟高度意识形态化的个人数据被保护权、以人格尊严为核心的风险预防不同,我国的《个人信息保护法》更具实用主义倾向,其防范的风险也更加多元化和贴近实际。
(一)个人信息的界定
中欧个人信息界定的不同首先反映了二者的根本性差异。从表面上看,《个人信息保护法》对个人信息的定义采取了类似欧盟的表述,将其定义为“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”。这与欧盟《一般数据保护条例》规定的“任何已识别或可识别的自然人(数据主体)相关的信息”高度相似。二者不但以“识别”作为界定个人信息的重要标准,而且引入相关或关联的标准,对个人信息采取较为宽泛的定义。
但二者在“识别”这一关键问题上存在着重大差异。欧盟的识别围绕身份展开。根据欧盟《一般数据保护条例》第4条,可识别的自然人包括“能够被直接或间接识别的个体,特别是通过诸如姓名、身份编号、地址数据、网上标识或者自然人所特有的一项或多项的身体性、生理性、遗传性、精神性、经济性、文化性或社会性身份而识别个体”。在欧盟法中,识别概念的重点在于身份的识别,不仅包括姓名、身份编号这类能直接联系到个体的识别信息,而且包括各类身份特征的识别。
反观我国《个人信息保护法》,其识别概念的重心在于是否可以联系到特定个体或“识别特定自然人”。《个人信息保护法》第73条规定,去标识化“是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程”;匿名化“是指个人信息经过处理无法识别特定自然人且不能复原的过程”。这些规定都表明,我国将识别“特定自然人”作为最终标准。
个人信息的定义并不仅仅是一个技术问题,它反映了中欧在个人信息保护问题上的重大差异,即前者以个体被联系的风险界定个人信息,后者则以身份性区分的角度界定个人信息。正如上文所述,欧盟的身份认同恰巧是要防止识别各类具体身份,因此身份成为其个人信息界定的核心问题。而我国则采取相对而言更具实用主义倾向的方式,以实际联系风险作为区分个人信息的标准。
(二)敏感个人信息
中欧关于敏感个人信息定义的不同也反映了二者的根本性差异。我国《个人信息保护法》第28条将敏感个人信息界定为“一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息”。对于敏感个人信息,《个人信息保护法》规定只有在具有特定的目的和充分的必要性并采取严格保护措施的情形下才可以进行处理。而欧盟《一般数据保护条例》单独列举了“特殊类型个人数据”,对于特殊种类的个人信息,欧盟规定除非有法定例外情形,否则原则上不得处理。
比较中欧关于这两类特殊保护的个人信息类型,同样可以发现二者具有本质差异。仔细分析欧盟“特殊类型个人数据”,会发现其主要指那些带来身份性歧视的个人数据,例如种族、民族、性取向等个人数据。在历史上,这些类型的身份信息曾经在欧洲造成了大规模歧视,在当代也仍然可能给个体带来歧视风险。而对于其他可能给公民带来风险但与身份不相关的个人数据,欧盟并未将其视为“特殊类型个人数据”,例如,金融账户、行踪轨迹类的数据并不在其范围之内。反观中国,对敏感个人信息具有较为明显的实用主义与风险防范导向,其防范的不仅包括“人格尊严”,而且包括“人身、财产安全”,并将金融账户、行踪轨迹明确纳入列举的类型中。作为个人信息保护的升级版本,我国与欧盟关于敏感或特殊种类个人信息的界定充分说明了二者的差异。
(三)用户画像与自动化决策
中欧个人信息保护的差异还可以从用户画像与自动化决策中看出。一方面,欧盟对用户画像与自动化决策进行了非常严格的限制,并且对二者进行了一体化规制。根据《一般数据保护条例》的定义,“用户画像”指的是“为了评估自然人的某些条件而对个人数据进行的任何自动化处理”,并进一步规定,数据控制者在收集个人信息时应当告知“存在自动化的决策”和“用户画像”,个体应当有权脱离或反对“完全依靠自动化处理——包括用户画像——对数据主体做出具有法律影响或类似严重影响的决策”。
欧盟的这一立法特点表明,欧盟将用户画像和自动化决策视为同等威胁。在欧盟看来,即使用户画像没有直接用于决策,只要存在用户画像或者说存在自动化处理的评估,此类行为就应当受到个人数据保护法的规制。正如上文所述,个人数据的处理行为本身就被认为是一种对个体基本权利的威胁。在欧洲,此类行为很容易引起人们对纳粹时期德国等国家利用身份信息鉴别犹太人和有关群体的历史记忆。
反观我国,《个人信息保护法》关注的是伴随着个人信息分析与处理中的决策风险,尤其是市场中的不合理决策风险,而非个人信息分析与处理本身的风险。《个人信息保护法》没有明确提到用户画像,第3条虽然原则性地规定“分析、评估境内自然人的行为”也适用本法,但其规定主要集中在自动化决策活动。正如第73条规定,“自动化决策,是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动”。此外,该法对自动化决策的规定也具有显著的中国特征。《个人信息保护法》的自动化决策条款更多针对中国背景下的“大数据杀熟”问题。该法第24条规定,自动化决策应当“保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇”。这一规定表明,《个人信息保护法》对于自动化决策的关注更聚焦于市场性行为,尤其是市场中的信任问题,而非自动化处理所导致的一般人格尊严问题。
(四)监管、救济与合规制度
个人信息的监管、救济与合规制度也反映了中欧差异。欧盟《一般数据保护条例》允许超越民族国家的行政监管与个人申诉或起诉,即一方面监管机构可以对违法行为进行行政罚款或采取其他行政处罚措施,另一方面个人可以向监管机构进行申诉,或向法院寻求司法救济。同时,它设立了企业内部的独立数据保护官制度,在企业内部独立履行个人信息合规与治理责任。根据规定,个人数据保护官“不能因为完成其任务而被控制者或处理者解雇。其可以直接向控制者或处理者的最高管理层进行报告”。
与欧盟相比,我国《个人信息保护法》不仅建立了监管与救济制度,而且规定了企业“个人信息保护负责人”。但有几点不同,一是我国并未确立类似欧盟的独立监管机构,而是将“国家网信部门”与“县级以上地方人民政府有关部门”“统称为履行个人信息保护职责的部门”;二是并未赋予“个人信息保护负责人”独立的法律地位,“个人信息保护负责人”只是企业内部的专业负责人员,而非独立于企业的独立人员;三是确立了公益诉讼机制,我国《个人信息保护法》第70条规定:“侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。”
欧盟的独立监管机构与企业独立数据保护官制度表明,欧盟将个人数据保护视为一种特殊的,甚至是具有优先性的基本权利。欧盟仅仅在个人数据领域要求企业设置独立人员,而在其他安全生产、环境保护、文化保护等领域,并未做此类强制性要求。此外,欧盟也没有设置公益诉讼制度。而我国不仅在《个人信息保护法》中创设了“个人信息保护负责人”,也在安全生产、食品安全等法律法规中创设了负责安全的专门人员。我国虽然目前极为重视个人信息保护,但就权利性质而言,并未将个人信息保护上升到一个比环境保护或食品安全更优先、对个人基本权利威胁更大的领域。此外,我国设立专门的公益诉讼制度,也表明我国不仅从个体权利角度,而且从公共性或集体权益的角度看待个人信息保护。
来源:华东政法大学学报/丁晓东