2021年8月20日，十三届全国人大常委会第三十次会议正式通过《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）。该法以其宽泛的适用范围和具体的规则设计，弥补了我国先前关于信息与数据相关立法的不完善之处，构建了个人信息处理的一般性原则，并在此基础上对不同类型的个人信息处理者予以不同程度的区分规制。一方面，在现实需求上，除了企业等私主体之外，国家机关大规模处理个人信息的行为对于政府治理行为有其必要性。另一方面，作为新兴权益，个人信息不仅涉及私人权益，更涉及公共利益以及国家利益，对其进行保护和处理的规则依然存在补充与讨论空间。而国家作为公权力机关，对于个人权益的限制甚至克减相对一般个人信息处理者理应更加慎重。因此，本文试图以解释论视角，结合《个人信息保护法》相关规定对国家机关处理个人信息行为的正当性标准予以讨论。

一、问题的提出

对于国家机关与非国家机关处理个人信息活动的立法模式，我国《个人信息保护法》采统一立法模式，即界定数据的控制者与处理者时，并不专门区分国家机关与私主体，而是对其个人信息处理行为予以统一规范。在《个人信息保护法》第一章确立合法、正当、必要、目的限制、安全、质量等处理行为的基本原则的基础上，于第二章第一节为个人信息处理行为设置一般性规定，并专设第三节为国家机关处理个人信息设置特殊规范，对国家作为个人信息处理主体的情形予以特别规范。在统一立法模式的前提下，对于国家机关处理个人信息行为予以特殊规范，具有一定程度上的合理性。个人信息作为合法权益，在相对应的义务人之中，各类私主体与国家公权力机关所需承担的义务并不相同。国家机关由于“法定职权性、公共性、广泛性、持续性、垄断性、强制性”1等特征，导致其对于个人信息行为处理，在行为主体的能力水平、可替代性、行为性质及行为监管效果等方面，都与私主体的个人信息处理行为存在较大差异。而“人民对国家的道德要求要远远高于私人之间的道德要求”，2因此，国家机关作为个人信息处理者时的相关规范，应当与一般规范有所区别。《个人信息保护法》对国家处理个人信息行为的相关规范，严格于对于私主体的一般规则显然更为妥当。为应对数据时代的新情况和新问题，我国在行政执法领域推行一系列数据化管理手段。从疫情期间的公民个人信息采集、处理和公开，到社会征信体系建设，以及更为长远的“智慧城市”和“大数据政务”等治理手段，都离不开作为基础的公民个人信息。可以预计，在不久的将来，国家有可能无时无刻不在处理个人信息；而另一方面，以“告知—同意”为原则的一般个人信息处理规则，难以满足政府公共管理的需求。

根据《个人信息保护法》第5条、第6条与第34条等规范不难看出，国家机关作为个人信息的处理者，除了应当保证严格遵循法律规定之外，还应在目的上具备合理性，以及处理行为的手段明确、合理、必要，即在目的与手段行为上皆应具备正当性。因此，下文将从应然角度探讨国家机关处理个人信息行为的正当性依据。

二、国家机关处理个人信息行为目的正当性的判断

个人信息作为《民法典》规范的自然人人格权益。对其进行处理的活动，将对于私主体人格利益产生影响甚至侵害。因此个人信息处理行为，首先应具备充分合理的理由，否则该处理行为则属不法行为。有学者将我国《个人信息保护法》中的处理行为的合法依据划分为两大类，即基于同意的处理和基于法定许可的处理。3这一点也在《个人信息保护法》第13条中予以体现。国家机关处理个人信息的正当性依据，除了符合“告知—同意”原则的情形之外，还存在基于法定许可，即第13条所规范的除告知同意外的其他情形。但第13条的规范，只是阻却国家机关处理行为构成侵权的依据。换言之，即使符合“告知—同意”原则，根据《个人信息保护法》第34条的规范，国家机关处理个人信息的行为仍应满足目的与手段的正当性。其中，目的正当性则表现为国家机关处理个人信息行为，应当出于对于公共利益的满足。

（一）个人信息所涉私人利益与公共利益

1. 私人利益与公共利益的统一性

传统理论多强调公共利益与私人利益乃对立关系，但随着研究不断深入，越来越多的学者认识到公共利益与私人利益一致性的一面。这种一致性体现在三个方面：一是某些私人利益本身就是公共利益，或者能够构成公共利益，如自然人的生命健康与重大财产利益等。二是公共利益需要由私人利益的推进来予以实现。其中一方面是因为，很多场景下，个人会通过完成其私人利益的需求，间接性地推动公共利益和社会福祉的增长，例如市场经济下私人贸易与整个社会经济水平的进步；另一方面，并非所有人都符合经济学中关于“经济人”的假设，社会实践经验告诉我们，许多个体会放弃自身利益最大化原则而利他地作出决策。三是政府在谋求某些类型公共利益的同时，也在增加私人利益，例如政府出资修路、开办学校和医院等行为。4不难看出，具体到个人信息这一问题，其所涉及个人利益与公共利益的统一性结构会更加类似于前述第一类情形。尽管不能肯定个人信息利益本身是否一定构成一种公共利益，但大数据时代，公共信息的形成、国家安全的维护，以及政府公共管理的实现等一系列目标，都离不开数据化的个人信息。

2. 个人信息所涉公共利益是着眼于社会福祉的不可分利益

如前所述，个人信息所涉及的公共利益和私人利益在某种意义上具有统一性。换言之，在个人信息所涉公共利益问题上或可结合个人信息本身对该范畴进行界定。

(1）个人信息所涉公共利益是不指向个体的不可分利益

对于个人信息所涉及的公共利益，可根据实践中的具体表现，轻易列举出许多实例，然而始终很难对其进行进一步的范围界定，更不可能以列举方式明确表述出“公共利益”的概念外延。因此，可尝试通过具体的实例，来抽象出个人信息所涉公共利益的基本特征。例如，某市政府对本市人口的姓名、性别、出生日期、住址、受教育程度等信息进行收集，在经过大量数据处理和分析之后形成该市人口信息。此时的人口信息包括全市人口数量、住址分布、年龄结构、性别比例、所在行业等具体内容。此时形成的全市人口数据，在事实层面确是在该市每一个自然人的个人信息的基础上形成的。但一方面，该人口数据绝非简单的个人信息叠加，而是信息处理者投入大量成本，通过一系列复杂处理行为得出的结果；另一方面，国家或政府掌握该人口数据的利益诉求在于完成政府管理和公共事务。那么，该人口信息可能承载公共利益。换言之，如果个人信息作为私人权益时的判断标准在于“与自然人相关联”，那么，当其构成公共利益时，应当达到“行为不指向个体”且“结果利益不可分”的标准。

(2）个人信息利益所涉公共利益应着眼于社会福祉

仅达到着眼于非特定人和不可分的利益，也并不一定是合法的公共利益。不可分事物成为法律上的公共利益，还意味着其拥有某种规范性地位。换言之，所谓公共利益，不仅在形式上不可分，也应当于价值判断层面体现出规范性的特征。5作为国家处理行为对象的信息，固然难免与某一自然人相关联，但此类利益的形成与具体利益诉求，是更多着眼于公共管理和社会福祉。若试图将某项利益证成为公共利益，需保证其利益核心应当是“共同的善”（the common good）。若前述人口信息虽然的确无法被区分并分配于任何个体成员，但未用及行政管理、人口普查或其他合法目的，而用于侵犯公民隐私、算法歧视、诈骗等下游犯罪，甚至产生危害国家和社会公共安全等危害性结果，则该信息明显不属于公共利益。又如，出于公共安全的考虑，国家公安机关依法通缉在逃的犯罪嫌疑人时，于通缉令中提供包括嫌疑人的姓名、性别、籍贯、体貌特征、行动轨迹等信息，并予以大范围公开。此时国家机关所收集和公开的信息当然与可识别的个人密切相关，甚至可能涉及除该嫌疑人之外其他人的个人信息，但该行为的核心目标和利益诉求是某一区域某一段时间内的社会秩序。此外，由此获得的利益，如逮捕该嫌疑人所带来的社会稳定和公民人身财产安全，以及节约的行政及司法成本等，均旨在增加社会总福祉。那么此时该个人信息之上其实承载着更深层次的公共利益。换言之，如果个人信息所涉私人权益旨在保护某一个自然人的生活安宁等人格权益，那么衡量其是否涉及公共利益时还应予以更高程度的规范性考量。

综上，对于个人信息所涉公共利益的界定应考量信息所承载的利益是否可分，并以该信息是否能带来更多社会福祉为规范性标准进行判断，而这是一种相对更全面并可以尽可能排除主观性的标准。

（二）平衡个人信息所涉私人利益与公共利益的冲突

如何平衡私人利益与公共利益的冲突的视角，传统法学研究有过不同的观点。第一类观点认为，公共利益在个人利益面前应当更加优先。在自由的市场规则下，个人利益的被满足，并不意味着社会利益也被满足；而社会的总体利益很难通过市场主体自身的行为来满足。因此应当有超越一般市场主体的“裁决者”来识别和确定社会利益。6此外，我国也有学者认为新兴权利随着社会发展而不断涌现，这难免引发权利的泛化，并带来一些负面效应，7如权利主体范围的非理性扩大、权利内容的过分扩张、权利应有的可行性与相对应的义务被忽略等。8因此在私人权益边界的问题上，应诉诸公共利益，对于权利泛化的现象予以警惕和控制，对私人利益进行一定程度的限制。9第二类观点主张个人利益永远优先于公共利益。如边沁指出：“善即是一般幸福，每一个人总是追求他所认为的自己的幸福。立法者的职责是在公共利益和私人利益之间造成调和”，10即认为尽管个人利益应与公共利益统一，但真实存在的还是个人利益。社会公共利益是许多私人利益的叠加，只有增进私人利益才能够增进整个社会的利益；又如德沃金将私人利益奉为“王牌”(trumps)，认为私人利益是一种“能够压倒一切政治决定的某种正当性根据”。11第三类观点认为，法律的存在，是在这两者存在冲突的时候为其寻求适当的利益衡量方式。当私人利益与公共利益发生冲突，前者至少相对地优先于后者，私人利益有着“初步的优先性”，并提倡在具体情况中，对于公共利益对个人利益的干预设置“论证门槛”（argumentative threshold)。12

在作者看来，前两类思路难免失之偏颇。首先，如前所述，既然承认合法的个人利益来自个人作为道德主体的地位，就等同于承认个人利益在公共议题之中所拥有的独特规范力。那么，在讨论公共利益和个人利益的关系时，真正需要警惕的现象并非权利是否泛化，而是诸如国家公权力的强制干涉或“多数人暴政”的情形是否会对于个人道德主体地位太过轻易地否定。此外，作为致力于追求“共同善”的社会合作事业，13本就不能只将公共利益和多数意见计算在内，每一个自然人所拥有的权益也同样契合共善的要义。其次，认为个人利益绝对地优先于公共利益，甚至将前者奉为王牌的观点也难免偏颇。试想，倘若私人利益在一切场合都绝对地优先于公共利益，那么社会分工与合作将会极其困难，这对于社会构建和私人利益本身都会造成严重的影响。而为干涉个人利益设置“论证门槛”的观点，在处理个人信息所涉利益冲突时或许更加妥当，即在保证私人利益初步优先性的前提下，要求国家机关或支持公共利益者提出更强有力的对私人利益进行限制的理由。这一方面有助于对公权力肆意践踏私人利益的可能性保持警惕，另一方面也有助于防止因过分夸大私人利益而陷入无政府主义的风险。

（三）国家机关处理个人信息行为目的正当的具体判断

公共利益与私人利益皆非绝对，因此，具体场景中应保证私人利益相对优先性，在此基础上对二者进行具体的利益衡量。这一观点来自德国法学家罗伯特·阿列克西（Robert Alexy）。他认为，首先，私人利益仅拥有初步优先性，即私人利益与公共利益冲突时，并非完全不可被排除或妨害；其次，此时公共利益一方或国家机关，需对该妨害私人利益行为的正当性予以充分重视。倘若在特定的场景或者语境下，有更强有力的理由证实应当首先支持私人利益而非公共利益；或者存在其他更加有效的方式，足以同时保全公共利益与私人利益，那么此时，对私人利益的限制就是不正当的。14遵循这一思路，在具体的情景下，应考量自然人一方只需证明自己在某项个人信息上享有法律规定的利益，而该项信息被国家机关未经同意进行处理；但国家机关或主张公共利益的处理者，则需以更强有力的理由去证明在此情形下，不得不通过处理个人信息，优先实现某一种公共利益。换言之，国家机关处理个人信息行为正当性的“论证门槛”，第一步是证明其处理个人信息行为的目的正当，即所求为前述公共利益。

三、国家机关处理个人信息手段正当性的考量

依据《个人信息保护法》规定，国家机关处理个人信息须具有法律、行政法规的明确授权。为履行法定职责或法定义务所必需的处理行为，除部分特殊行为之外，可仅向个人进行告知而无须取得其同意。笔者认为，国家机关越过合意而处理个人信息的场景应被严格限制，至少在公共利益的前提下，还应符合职权法定、程序正当，以及不超出合理限度的要求。是否每一项法定职权的要求，都只能借由自然人的个人信息得以实现？换言之，判断国家机关处理个人信息行为的正当性，除审视行为目标是否为公益，还应考量该行为的手段正当性。而此时“以公共利益为目标”，是作为衡量处理行为手段正当的标尺而存在的。尽管《个人信息保护法》第二章对此进行了规定，但在应对具体情况时依然显得笼统。因此，在具体规则不明确的前提下，可考虑以法律原则进行补正。

事实上，对于私权益之间的权衡，日本民法学者曾提出“利益平衡”原则作为方法论，在私权益冲突时予以决断。他们认为：法律要达到的目标，一是优先满足最重要的和需要优先考虑的利益，二是使其他的利益最少程度地牺牲。这一原则作为方法论的优势在于，作出利益衡量与价值判断的方式并非绝对而抽象的准则，而是在现实环境中去考量哪一项利益被保护的价值更大，以及怎样能保证另一项利益只限于最小限度的牺牲或减损。而这种方法论在公法领域，则体现为比例原则。《个人信息保护法》对于国家机关处理个人信息的要求，是“具有明确、合理目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式”。有学者认为，该条明确了处理个人信息的基本原则，即目的性原则、必要性原则以及“最小范围原则”，并指出，“其实际是比例原则在个人信息保护方面的扩大化运用”。15事实上，《个人信息保护法》颁布前已存在关于国家处理个人信息应遵循比例原则的讨论16（当然多数仅以比例原则作为判断某项具体行政行为是否合理的标准），因此，可以比例原则为基础，对于事前决策本身作出判断。

（一）以比例原则作为手段正当性判断标准的依据

1. 比例原则的适用范围及适用局限

比例原则在法治实践中源自德国19世纪初的警察法制，在产生初期，它的适用范围被严格界定于判断何种情形下警察可以行使行政权力限制人民权利，17而后被推广至几乎所有行政法领域。一般而言，比例原则并非单一概念，而是由三个子原则组成，即适当性，考量行为本身是否符合其目的；必要性，对于达成某项目标除了当前的手段是否还存在更优解；以及狭义比例原则，即手段与其所欲达成的目的之间应合比例。比例原则的要义在于限制公权力的行使，即唯有公共利益范围内，以适当的手段，才能限制人民基本权利。这一原则在公法中的重要性自不待言，无论立法、行政抑或司法机关，皆需妥善、审慎地行使国家公权力。

关于比例原则的局限性的讨论，主要观点集中于以下三点。一是对比例原则在不同领域不当扩张的警惕。在我国比例原则作为一种应对利益冲突的理论分析工具，被部分学者倡导广泛应用到不同的部门法当中。18但这种扩张趋势存在的隐患则是：发端于某一特殊部门法的比例原则，是否能够在其他领域也发挥积极作用，抑或只是沦为简单地宣扬“合比例”的精神，甚至只是“公平正义”的又一个代名词，从而逐渐失去作为理论分析工具的价值。二是比例原则由于其模糊性，在具体实践中赋予决策主体或审查者过多的裁量空间。具体来说，对于某一行为的目的与手段之间是否适当难以判断；在所有可以采取的手段中，某一项是否更具有必要性，似乎也是一个难以被证伪的问题；而狭义比例原则只是一种“粗糙的成本收益分析”，19经不起仔细推敲和斟酌。三是比例原则忽视了社会治理成本。由于比例原则着眼于利益冲突与衡量，因此，只要私人利益没有因为国家机关滥用公权力而遭受不必要的减损，该国家机关的行为就是符合比例原则的。但是，在社会治理的实践之中，哪一种手段最有助于实现最优的资源配置，是比例原则无暇顾及的问题。在待审查的手段行为和其他可能的替代性方案面前，比例原则只能判断哪一种选择最能达到手段与目的比例最优，却并不能判断何者更加有助于促成社会总福利最优。20综上，有学者建议在利益衡量的问题上可以其他方式，如美国行政法学中常见的成本收益分析方法替代比例原则。21

2. 比例原则足以成为手段正当性判断标准

本文认为，至少在处理本文所探讨的问题时，前述三项理由皆不足以放弃比例原则的适用。首先，事实上目前比例原则最为“正统的属地”是在于宪法领域与行政法领域。22宪法领域的比例原则，是指只有在实现公共利益所需要的必要范围内，才能够限制人民的基本权利，而限制权利的行为、手段须与目标严格呼应。毕竟比例原则宗旨是限制公权力、保护私权益，在国家公权力和私人之间达成平衡，而现代国家宪法的功能也在于此。行政法领域的比例原则聚焦于行政行为本身，即行政机关为达成行政目的，在对公共利益和私人利益进行衡量的基础上，选择最恰当、对个人利益最小伤害的手段来实施具体行为。因该行为导致的损害，不可以超越其所能够达成目的而带来的收益。所以，即使比例原则的适用范围确有不当扩张的趋势。但即使在被限制到最严格情况下，其本意也是控制公权力对于私人利益的蚕食，而本文所需解决的问题，实际上依然属于比例原则所能涵摄的范围。

其次，相对比例原则适用范围上的瑕疵，更值得注意的是由于比例原则不甚精确而导致的适用问题。不得不承认前述问题确实存在于具体的法律适用之中。但是，比例原则作为法律原则，其存在的意义之一就在于虽未设任何特定的事实状态，但可以在规则缺位时予以更为宏观的指引。23这一特征决定了比例原则不可能详尽到每一种利益冲突的具体衡量标准上。然而在处理具体问题而规则并不明确时，仍可以以此项原则为导向和依据，对法律规则予以进一步细化，这也是本文试图做到的事。

最后，以经济学中的成本收益分析法完全替代比例原则是非必要且不可行的。诚然，传统比例原则在衡量目的与手段是否合乎比例时，难免忽略社会治理成本。但多数语境下，当论及比例原则时，实际上想要讨论的是何以控制公权力，保障私人权益。换言之，此时对国家机关行为正当性的分析，其逻辑上的出发点和目标皆是保障人权，而非提高效率。成本收益分析更多体现出一种工具理性，考量了国家治理手段行为的成本，且以社会总福祉的提高作为目标。这在国家机关公权力行使方式的选择过程中当然值得被考虑，在社会治理与经济学分析层面也无可厚非，但是与本文所涉及的个人信息权益保护中所追求的价值并不相符，24难以成为决定性的判断依据。

但是，这也并不意味着成本收益分析法对于本文所讨论的问题并无任何助益。一方面，无论是传统法经济学中的成本收益分析，还是狭义比例原则，都需要对手段行为以及可能产生的不利后果（成本）与所达成目的（收益）进行比对和衡量，而这就需要对于不同利益和价值予以一定程度的量化。但主观情感性的价值与利益，很难被量化成经济学公式中的某一个定量，因此可考虑辅之以法经济学中的定量测序的方法进行综合考量。

（二）国家机关处理个人信息手段正当性的具体判断

1. 比例原则的判断前提应严格限定于具体目标

如果说目的合理的标准，是处理个人信息的行为是出于公共利益的考量，那么手段合理性所需要判断的就是：该具体处理行为，是不是能够达成前述目的、除此之外是否还存在更优解，以及该手段是否能保证对私人权益造成最小限度的减损等。判断手段合理的前提是行为目的的确定和精准。因此，当讨论到国家机关处理个人信息行为的手段是否合理时，不应再将处理个人信息的目的泛泛定义为“公共利益”，而应该是一个或者多个精确的目的，且这一目的本身应具有合宪性。

2. 将社会治理成本纳入考量范围并赋予不同权重

传统比例原则中，均衡性原则的目标是实现帕累托最优（Pareto Optimality）。假设社会成员的数量是固定的，而整个社会可被分配的资源也是固定的。此时，从一种分配状态到另一种状态的变化中，在没有使任何人境况变坏的前提下，应当使得至少一个人变得更好。这种状态自然非常理想化，但它的适用是不计入政府权力运行成本的。但是社会治理与资源分配不可能在一个没有成本的真空状态中完成。国家机关如果想要合理地收集、储存、使用自然人的个人信息，势必要投入大量的时间、人力以及资金作为成本。尽管社会治理成本并不会对某一个信息主体直接造成太多影响，但也应当在选择手段时被考量。因此传统比例原则在考量一项手段是否符合必要性和合比例性原则时，仅将不同手段减损的私人利益和行为达成的目的纳入考量难免失之偏颇。相较而言，更加合理的方式是除了使用个人信息所带来的净收益与净成本之外，还应考量为达成这一手段行为所需要付出的社会治理成本。但社会治理成本也只是考量因素，而非决定性因素，应在具体情境下赋予不同要素以不同程度权重。

3. 引入定序变量法则对不同价值全盘考量

必要性原则与合比例原则的考量，都需要同时分析公共利益增进的程度与私人利益减损的程度，即在个人信息的合理利用所获益和对信息主体造成的权益侵害或者侵害之风险之间进行权衡。此时可引入成本收益分析法中的定序变量法则，对于法律和公共政策所涉及相关价值予以衡量。即“在规范价值理论指导下，对法律与政策所涉及的相关价值予以区间化的按照成本收益分析的基本原理进行通盘权衡”。25此时，并非一定要把“人格尊严”这类主观性较强的价值量化成某一个具体的数值，而需要决策者在面对不同的价值时，能根据具体情境对其进行一个区间式的估价，待考量的价值能够以区间的形式得到估测，下一步就可以对区间性的价值进行排序和估量。由此，利益衡量就有了更加明确的可操作性，更容易进行下去。

四、保障国家机关处理个人信息行为正当性的具体举措

（一）区分事前决策和事后评价

对于国家机关行为正当性的判断不应仅体现为事后审查，而应体现于事前决策论证、事后审查这两个阶段。由于这两个阶段的判断主体和目的不同，应当有针对性地予以区分。在事前决策时作出正当性判断的是立法者或行政机关，需要对目的与手段正当予以判断和综合考量的过程应当在这一步完成。如果在事后审查阶段，法院依然需要考察行为或决策的目的，并结合比例原则对每一个行为都进行具体的手段与目的衡量，其要耗费的时间成本是难以估量的。最理想的状态是在决策阶段完成对该决策或行为正当性的论证与备案；事后审查阶段法官仅需根据三段论进行内部证成即可。而为了达成这一目标，不仅应完善“大前提”的布局，即完善相关领域立法，还应降低法官在“小前提”即事实判断上的认定难度。

（二）细化个人信息处理行为正当性标准

首先，应要求国家机关在处理个人信息之前，对其目的进行充分论证。事实上，《个人信息保护法》中关于个人信息处理者告知义务的规定非常明确，而国家机关和私主体作为个人信息处理者时相比的特殊之处在于，除法律特殊规定的情形之外，国家机关还应在法定职权范围内，以维护公共利益为目标作出决策。换言之，国家机关的告知义务，除了和其他个人信息处理主体相同的部分之外，还应就其行为目的为何种公共利益进行告知。而且，此时行为目的不能被泛泛而谈，如“为促进社会经济的发展”之类，而应当是具有保护必要的、具体的、符合法律规定的公共利益。因此，可要求国家机关作为个人信息处理者，对其处理行为的目标进行充分论证，并予以备案。一方面保障信息主体的知情权，加强国家机关作出决策的科学性；另一方面降低对该行为或决策进行审查的难度。

其次，可尝试设置清单以规范国家机关在不同场景下对个人信息的处理权限与手段。一方面，根据《个人信息保护法》第4条对个人信息处理行为作出的界定，不难看出对个人信息进行处理并非几个简单的行为，而是一个需要场景化讨论的问题。在不同情境下，针对不同目的时，具体处理行为也并不相同，甚至可能是几种行为的叠加。甚至，在信息时代的社会实践中，个人信息与相关数据的具体利用方式还可能呈现更为多元和复杂的趋势，因此，《个人信息保护法》对其界定本身也具有一定弹性。另一方面，在国家处理个人信息时，处理手段应当与其所需达成的目标直接相关。如果在每一次决策或审查时都需要对手段与目的的匹配性予以重新认定，无异于提高论证和审查的成本。况且，在许多特殊场景，例如紧急情况下，对国家机关作出决策有着较高的效率要求。此时大篇幅、有条理地对处理个人信息行为是否正当进行论证甚至是讨论，也是不太现实的。此外，至少在现阶段，个人信息处理行为虽然复杂，但至少是可以进行类型化并予以归纳的。因此，可考虑结合细化目标与手段行为的类目，在目前可以达成的范围内，明确具体目的的实现需要何种行为，提高决策的精确度与公开性。

五、结语

与此前我国相关立法规范不同，《个人信息保护法》对于“个人信息”的界定标准进行了改进，从是否“可识别”变更至是否与“可识别的自然人”相关。26这一标准，实际上在相当程度上扩张了个人信息概念外延。因为，从理论上来说现代社会的每一个自然人都是可以被识别的。27因此，所有与自然人相关的信息，均属法律规定的个人信息范畴。此外不难看出，《个人信息保护法》语境下的个人信息概念被赋予更深层次的价值，保护个人信息的目标不仅是信息本身，而更加着眼于主体的人的权益，体现出人本主义的立法精神。但不难看出，随着社会经济与科学技术的发展，几乎所有新型权益，尤其是人格权益，都难免引发较为明显的利益冲突。国家机关处理个人信息行为，和非国家机关行为相比，体现出较强的特殊性。毕竟，公共利益与私人利益的关系不止在法学领域，在社会学与哲学领域同样也是一个难题。我国近几年来强化对于个人信息的制度构建、行政监管以及司法保护有目共睹，但的确尚存在由于规则缺位而引发的问题。因此，可考虑细化《个人信息保护法》的规范，并在此基础上合理规范国家作为个人信息的处理者的义务。

来源：中国法律评论. 2021,42(06)