杨宝东等市领导带头上街打扫卫生

素来国务院及地方各级人民政府发布的某某令（如楼市限购令车辆限行令商品限价令等），均是以行政规范性文件的形式作出。

为此，它要求每一个做出了承诺的政府在各自的发展水平和资源的制约下，制定最低起点。[20] 联合国《经济社会文化权利公约》第九条。

中国人的平均期望寿命为71.4岁，而城镇居民的人均期望寿命为75.21岁，农村居民的人均寿命则只有69.55岁，[4] 前者比后者高出5岁多，相当于发达国家与中等收入国家之间的差距。公共卫生关系的不是个人的健康而是民众群体的健康和安全，当传染病流行，或者是重大公共卫生事件发生时，只有作为政府组成部分的疾病预防控制机构才能合法、及时、有效地行使国家权力，以发挥减少灾害，保障公众健康的作用。1998年抽取95个样本县 / 市，5.7万户，216101人。以人类为优，一心要征服、战胜自然，改造自然。中国目前存在的问题恰恰是没有公平的市场，政府监管不力。

就国家对公民的健康权承担积极责任，为公民支付部分或者是全部医疗保健费用而言，不能适用于等价交换的市场规则。宪法的精髓是限制政府权力，认可和保护人民的权利。[47]当企业收集了大量个人信息之后，企业利用此类个人信息所进行的研究和利用可能是为了支配消费者，而不是为消费者提供更好的服务。

就第三点数据来源来说，如果数据的来源以及发表此类数据的动机较好，则此类数据应当更予以保留。因此，罗森指出，隐私的核心价值之一是保护个人不会因为在一个世界中的短暂一瞥而被脱离语境地错误界定与评判。[31] 在索雷尔案之前，美国的地区法院也曾经在一些案例中将个人信息视为言论自由的对象。[62]这里的深层原因在于，信息或数据具有非排他性与非竞争性的特征。

[37]本文对于信息权利的讨论从防御性的信息权利与控制性的信息权利两个层面展开，但这种信息权利的划分仅仅是讨论与划分信息权利类型的一种方式。美国著名的纽约时报言论自由案(N. Y. Times Co. v. United States)就说明了这一点。

在执法层面，执法机关除了结合法律法规在具体场景中进行个案化执法，还应当在执法中形成执法案例汇编，以案例汇编勾勒个人信息保护的边界。(一)个人信息作为基本权利客体的反思 将个人信息视为基本权利的客体，其问题在于忽略了个人信息的公共性价值：个人信息对于共同体具有信息流通的价值。因此其关注的不是言说者的权利，而是大众接受信息的权利。例如在Facebook的剑桥分析公司丑闻中，Facebook将个人信息分享给剑桥分析公司，但剑桥分析公司并不是利用此类信息为消费者提供更好服务，而是将此类信息运用于竞选等政治活动中，以此来操控很多政治活动。

既然个人信息确权保护很难成立，而个人信息的无限制流通又可能侵犯个体与社会的相关权益，那么保护个人信息就应当对个人信息收集、储存、处理的各个环节进行行为主义的规制，确保个人信息流通的各个环节都能得到法律的合理介入。必须确保个人了解其被收集的档案的信息是什么，以及信息如何被使用。[54]就商业言论的价值来说，美国最高法院认为商业言论的价值在于增加信息以促进公共讨论，不在于直接参与公共话语。美国加州制定《2018年加州消费者隐私法案》，中国将《个人信息保护法》与《数据安全法》列入立法规划。

例如，只有当公法或者具有公法性质的政治共识明确了公民的私有财产受到法律保护，[1]私法才能在此基础上设定对于不动产与动产的私法保护。[40]在这个意义上，很难说隐私权是一种完全个体主义的基本权利，如果简单将个人信息保护中的隐私权上升为一种个体主义的基本权利，那就忽视了隐私权背后的社群利益与社群规范。

[73]参见丁晓东：被遗忘权的基本原理与场景化界定，《清华法学》2018年第6期，第94—107页。[7]参见《框架》：对于个人信息的操作与政策，个人信息的控制者应当提供清晰和容易访问的声明。

[68]导致个人信息保护场景化的另一原因是个人信息概念的不确定性，某个场景下需要规制的个人信息，可能转换场景就没有规制必要，或者需要不同程度的规制，对此的分析，参见Paul Ohm，Broken Promises of Privacy: Responding to the Surprising Falling of Anonymization, UCLA Law Review, Vol.57?(2010), pp.1701-1777; Paul M. Schwartz Daniel J. Solove，The PII Problem: Privacy and a New Concept of Personally Identifiable Information, New York University Law Review, Vol.86, No.6(2011), pp.1814-1894. [69]参见丁晓东：论个人信息法律保护的思想渊源与基本原理——基于‘公平信息实践的分析，《现代法学》2019年第5期，第96—110页。个人信息保护应当更多依赖于场景化的行为主义规制，基于场景的行为主义规制可以更好地维持个人信息双重属性的平衡。此外，基于对滥用个人信息所带来的伤害风险，应当对此类风险施加特定的责任，而且，救济措施应当和因为收集、使用和转移个人信息所带来的可能性和严重性相称。但这两种观点都无法从整体上理解个人信息，个人信息权的观点忽视了个人信息的自由流通属性与公共属性，而个人信息作为言论自由对象的观点则忽视了个人信息背后的多重权益。[71]此种进路的分析，参见Omri Ben-Shahar Lior Jacob Strahilevitz，Contracting Over Privacy：Introduction，Journal of Legal Studies，Vol.45，No.2(2016)，pp.51-61. [72]就第一点公共性来说，如果数据所涉及的数据主体是一个完全公共性的角色，那么此类数据更应当被保留，而当数据所涉及的数据主体是完全不具有公共性的角色，则此类数据更应当被删除。有很多的研究已经指出，面对千变万化的信息收集场景与海量可能识别个体的个人信息，个体其实很难对自身信息权益进行有效的保护，大量的个人信息保护工作实际上仍然要依赖于公共监管机构的监管与作为消费者集体的监督。

[10] 最后，个人信息保护制度也大都对信息安全进行规定，要求企业承担对于信息的安全保障义务。另一种观点则将个人信息视为他人言论自由的对象，个人信息的自由获取与使用受到法律保护。

[76]关于平衡数据流通与信息主体权利保护之间的关系，参见王利明：数据共享与个人信息保护，《现代法学》2019年第1期，第45—57页。[7] 其次，很多个人信息保护制度都规定了目的限制数据最小化限期储存等个人信息收集与处理的原则，以保证个人信息不会被过度收集、过度处理与过度储存。

[43]See Dun Bradstreet, Inc. v. Greenmoss Builders, Inc., 472 U. S.749, 791(1985) [44]See Robert C. Post, Democracy, Expertise, and Academic Freedom: A First Amendment Jurisprudence for the Modern State, New Haven: Yale University Press, 2013, p.6. [45]See Jane Bambauer，Is Data Speech?, Stanford Law Review, Vol.66(2014), pp.95-96. [46]关于言论自由市场理论与公共利益理论的关系，参见Daniel A. Farber，Commentary, Free Speech Without Romance: Public Choice and the First Amendment, Harvard Law Review, Vol.105?(1991), p.560. [47]See Jack M. Balkin，Information Fiduciaries and the First Amendment, U. C. Davis Law Review, Vol.49(2016), pp.1222-1223. [48]Whitney v. California, 274 U. S.357, 375-76(1927). [49]See Snyder v. Phelps, 131 S. Ct.1207, 1215(2011).很多学者也主张从公共性与非公共性的角度区分言论，认为言论自由更多保护前者而非后者，参见Robert C. Post，The Constitutional Concept of Public Discourse: Outrageous Opinion, Democratic Deliberation, and Hustler Magazine v. Falwell, Harvard Law Review, Vol.103?(1990), pp.601-686. [50]参加注[45]，第98页。但这一视角却可以为个人信息保护提供重要参照，在西方特别是美国学界的个人信息保护研究中，很多研究都从言论自由的角度来探讨个人信息保护的理论基础。

Asia-Pacific Economic Cooperation, APEC Privacy Framework, 2004/AMM/014rev1 (Nov.2004)，载APEC网站https：//www.apec.org/Publications/2005/12/APEC-Privacy-Framework.，2019年1月15日访问。[22] 非官员甚至非公众人物的个人信息也可能因为议题的公共性而受到言论自由条款的保护。[70] 就立法技术而言，这样一种立法模式无可指摘，或者说具有相当的合理性。[3]See Samuel Warren Louis Brandeis，The Right to Privacy, Harvard Law Review, Vol.4, No.5 (1890), pp.193-220. [4]这一制度起源于美国政府医疗、教育与福利部在1973年发布的公平信息实践准则报告，该报告规定：必须禁止所有秘密的个人数据档案保存系统。

在2011年的索雷尔诉艾美仕市场研究公司案中，佛蒙特州的一项立法禁止制药公司获取与利用处方类个人信息对医生进行定制广告，但美国最高法院的多数意见认为，此类对个人信息的使用限制涉嫌违反美国宪法中的言论自由保护。但信息与观点或意见的区别并不那么明显，对信息的披露本身就可能构成观点或意见。

(二)基于场景的行为主义规制 个人信息的行为主义规制应当是高度场景化的。这些法律一方面赋予个体以针对数据收集者与处理者的一系列信息权利，例如针对个人信息收集与使用的选择权、访问权、更正权、被遗忘权、携带权等等。

[23]因此虽然该教练不属于沙利文案中的官员类型，但同样属于公共人物，同样适用于沙利文所确立的确实恶意的证明标准。关于个人信息或个人数据的法律保护方式，有的观点主张走欧盟强化个人数据控制权的立法进路，而以企业界为代表的观点则主张采取美国以自由市场和自我规制为主导的保护模式。

对此，隐私研究的权威学者朱丽叶·科恩(Julie E. Cohen)曾经有过详细的论述。[5]参见《中华人民共和国网络安全法》第41条第1款：网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。反对者指出，这样一种权利会极大削弱言论自由的价值，因为谷歌这样的搜索引擎事实上扮演了公共空间与公共论坛的角色，允许个体删除他人发表的不利于自身的信息，这侵犯了他人的言论自由权利。从信息的双重属性出发，未来中国的个人信息或个人信息保护应当寻求独特的中国道路，通过行为主义的规制方式逐步勾勒个人信息保护的合理边界。

在立法层面，我国的个人信息保护法与相关法律法规可以将尊重场景的原则作为个人信息保护与数据治理的基本原则之一，就像美国的《消费者隐私权利草案》一样。他们都延续了洛克与康德的个体主义法哲学理论，将个体视为具有理性选择能力的个体，赋予个体以对个人数据的相关权利。

个人信息兼具个体属性与社会流通属性，应当确立一种个人信息相关权益被保护权。例如在全连公司诉美国联邦贸易委员会(Trans Union Corp. v. FTC)案中，全连公司质疑美国《公平信用报告法》(FCRA)的合宪性，因为该法规定，除非出于特定目的，否则禁止公司共享消费者的信用报告。

但当互联网企业收集个人信息并用于推送医疗广告，此类行为就可能面临违法，即使此类收集得到个人同意，此类行为也可能存在问题。[19]此后，这种以自主控制个人信息界定隐私的观点在学界和业界获得了很多支持，对个人信息保护的理念与制度都产生了很大影响。