内容提要:在数字政府的建设中,个人信息保护具有极其重要的地位。告知义务是政府机关处理个人信息应履行的前提性核心义务,它既是个人信息自决权的具体表达,也是个人信息受保护权发挥基本权利防御功能的前提,同时还是制约政府信息权力和预防侵权风险的程序工具。由于个人信息处理规则本身以及告知义务均具有公法属性,政府机关处理个人信息活动亦具有公法性质,尤其是告知义务具有的宪法价值和控权功能,对于告知义务的制度建构不能完全照搬适用于私法主体的规则,而应当针对政府机关处理个人信息活动的公法特性,克服目前粗疏零散的立法弊端,从法律主体、程序、内容、违法后果及法律救济等方面进行体系化的公法建构。
关键词:个人信息保护 政府机关处理个人信息行为 告知义务 理论基础 制度建构
我国已经进入数字时代,各行各业开启全面数字化,数字政府正在如火如荼地建设。例如,“一网通办”、政务“秒批”“秒办”、身份证“网证”等试点措施,有力促进了政府和社会治理的高效化、精准化和智能化,以及便民服务的智慧化。但不容忽视的是,数字政府系统收集、存储和处理海量的公民个人信息,这些全面、真实、巨量的个人信息一旦遭到泄露或被滥用,不仅威胁个人的人身、财产和信息安全,也可能危害公共安全,甚至危及国家整体安全。可以说,数据安全是数字政府的生命线,个人信息保护是数字经济的底线。因此,在数字化时代,必须加强对政府机关处理个人信息的法律规制,并建构相应的特别规则,因为政府机关处理个人信息主要是为履行法定职责或法定义务,或提供公共服务,其处理个人信息的法律基础,与信息主体之间形成的法律关系以及政府信息处理行为的性质,都不同于私人主体的个人信息处理活动。由此,政府机关处理个人信息的告知同意规则具有其特殊性,不能完全套用私法主体处理个人信息的规则,需要结合其公法特性进行理论和规范层面的法律建构。2021年11月1日施行的《个人信息保护法》(以下简称“个保法”)将私人主体和国家机关处理个人信息的行为一并纳入规范对象,虽然在第二章“个人信息处理规则”专设一节来规定国家机关处理个人信息的行为,但明确规定了“告知同意”规则的一般性适用,只规定了个别的特殊例外,并没有对政府机关处理个人信息的公法特殊性予以充分强调。而理论界对于告知同意规则的反思批判多是由民法学者展开的,主要针对私法主体适用该规则处理个人信息出现的问题,例如该规则的内在缺陷、异化现象、与个人信息社会属性以及大数据经济发展的冲突等。本文则从公法角度出发,聚焦于政府主体处理个人信息的的告知义务,从实践问题入手,阐释理论基础,并结合新实施的个保法,探讨如何从告知义务角度来规制政府这一最大的个人信息处理者,从而有效保护信息主体的合法权益,为数字政府在法治轨道上运行保驾护航。
一、政府机关处理个人信息告知义务制度的现存问题
个人信息处理中的告知是指“将与个人信息处理活动相关信息提供给个人信息主体,使其了解个人信息处理活动的有关规则。”告知是“告知同意”制度的核心组成部分。告知同意制度是指个人信息处理者在收集个人信息之时,应当对信息主体就有关个人信息被收集、处理和利用的情况进行充分告知,并征得信息主体明确同意的制度。告知同意被视为个人信息保护的基石,是个人信息自决权的具体表达。即个人基于自决的理念有权自主决定在什么时候、在什么限度内,关于他个人生活的事实可以被披露。信息自决权就是要保证个人拥有自主决定个人信息是否被披露或被使用的权利。虽然告知同意作为核心规则已在个保法中确立,而且适用于政府机关。但如何具体实施还有很多问题需要探讨,囿于篇幅,本文只探讨其中的告知义务问题。总体来看,政府机关处理个人信息告知义务制度目前无论在法律规范还是在行政实践层面都存在诸多不足。
首先,现行法律规范对政府机关处理个人信息的告知义务还未进行体系化的全面规制并突出政府机关处理个人信息的公法特性。虽然个保法第17条对告知的方式、事项做出了规定,但这是一般性规定,既适用于非政府主体的个人信息处理者,也适用于政府机关;而个保法第35条虽强调了国家机关履行法定职责处理个人信息时应当履行告知义务,但仅对应当保密和告知会妨碍履行法定职责的情形做了除外规定,并未针对政府机关处理个人信息在告知主体、程序、方式、法律责任、救济途径等方面的特殊性做出体系化的、具体细致的特别规定。其他现行相关规定也都较为粗疏。例如,《网络安全法》在第41条只笼统规定,网络运营者应当“公开收集、使用规则,明示收集、使用信息的目的、方式和范围”,但并未明确规定涵盖告知义务各个要素的具体规则以及可能的例外情形。此外,其他现行相关法律对于政府机关处理个人信息的告知义务基本没有作出区别于私法主体的特别规定,即使作出特别规定,也较为零散、可操作性不强。例如,《电子商务法》只有关于政府机关处理个人信息的准用性规范,即规定其应当“遵守法律、行政法规有关个人信息保护的规定”;《民法典》虽然在第111条规定,保护个人信息的义务主体是“任何组织或者个人”,将政府等国家机关也包括在内,但其对于告知义务的具体规定寥寥,也未明确政府与非政府主体在告知义务等个人信息处理规则方面的差异。这些粗略或零散的法律规定在实践运用中会增加政府告知义务的履行难度,减损义务履行和监管的可操作性。
其次,政府在处理个人信息的行政实践中,由于缺乏明确具体的法律规定以及保护公民个人信息的意识,普遍存在着履行告知义务不规范,或者少告知、不告知等问题。据学者研究,较多政府巨型数据库的运作并不公开透明,并未受到法律、行政法规或者规章基于保护个人权利的限制和约束。公民的个人信息经常在毫不知情的情形下被收集、储存、披露或共享,公民的隐私权、人格尊严甚至人身自由等基本权利因此受到侵害,例如,警务工作中的个人信息错误导致错误的拘捕或行政强制措施等。而2020年进行的全国人口普查,因为收集诸多个人敏感信息,如身份证号码和住房情况等,引发广大民众对个人信息保护的疑虑。据笔者亲身经历,普查员入户采集个人信息时,并未使用可以进行数据加密保护的电子化采集设备,而是采取填写纸质表格的方式。此外,普查员既未按照《全国人口普查条例》第23条规定告知人口普查的目的、法律依据和普查对象的权利义务,也未能就笔者提出的关于个人敏感信息的储存期限问题给出回答。再如,当我们通过健康宝小程序进行个人信息扫码登记时,小程序一般仅具有如下提示信息:“您的个人信息将保存于xx市政务云,且仅用于政府防疫追溯及相关工作。扫码登记场所仅显示您脱敏处理后的个人信息。”但并未告知法律依据、信息主体权利义务、信息保存时长等重要内容。
当然,在大数据时代,基于大数据处理的技术特征,政府在某些情形下可能也难以履行告知义务,凸显了大数据利用中个人信息保护的困境。在我国,数据已与土地、劳动力、资本、技术等传统要素并列为五大生产要素,数据要素的高效配置,是推动数字经济发展的关键一环,大数据在社会治理和数字政府建设中发挥了举足轻重的作用。大数据在各个领域的广泛运用,使得原来个人信息保护的基本规则——告知同意制度受到巨大挑战,因为数据的价值主要在于对原始信息和数据的二次利用与聚合分析,而且会进行匿名化和脱敏处理,此时数据处理者很难再去告知信息主体并取得其同意,若必须在已经高度融合的数据中找出特定个人信息将需要付出极高的成本。而且根据《网络安全法》第42条和个保法第4条,匿名化处理后的信息不再属于个人信息,无需受到个人信息处理规则的约束。但必须指出的是,日新月异发展的数据技术表明,数据匿名化仅仅是一种小数据时代的策略,在大数据时代,不同的数据库互相“撞库”,采用大数据分析技术,找出个人信息并由此拼凑出个人人格画像并非难事。由此可见,匿名化处理并不能排除个人信息权益受到侵害的风险。如何平衡大数据时代的个人信息合理利用和个人信息权益保护,走出告知同意规则的困境,是立法实践和理论研究必须回应的世界性难题。
若想从根本上解决上述立法和行政实践中的突出问题,并系统建构符合政府机关处理个人信息公法特性的告知义务制度,则需要深入探究政府机关处理个人信息告知义务的理论基础,为制度建构提供理论指导和支撑。
二、政府机关处理个人信息告知义务的公法理论基础
从理论视角考察,与私人主体处理个人信息不同,政府机关处理个人信息具有鲜明的公法属性,这体现在以下四个方面:个人信息处理规则本身具有的“一般禁止、例外许可”的公法属性、政府处理个人信息在行为性质上的公法特征、告知义务具有的基本权利防御功能以及告知义务作为制约政府信息权力的程序工具价值。以下分别阐述:
(一)个人信息处理一般规则的公法属性
我国个保法第13条对个人信息处理的一般规则作了明确规定,即只有符合该法所列举的七种情形,“方可”处理个人信息。GDPR第6条也有相似规定。在法教义学上,该规定属于公法中“附许可条件的一般禁止”,也即,一般情形下是禁止处理个人信息的,只有满足合法情形才可以例外允许。这明显不同于私法意思自治原则,以及私法领域的基本行为准则——法无禁止即自由。之所以作出这种一般性禁止规定,其根本原因在于个人信息权被视为基本权利,受到宪法和法律以及法律保留原则的严格保护。实施这种“一般禁止,例外许可”性质的公法上的严格保护的原因又可追溯到历史上各国个人信息保护立法的主要动因,即随着上世纪60年代巨型计算机技术的运用,政府自动化处理个人信息的能力和范围剧增,其建立的巨型数据库能够大规模集中收集和存储和处理个人信息,对公民隐私权造成巨大威胁。为了限制政府滥用信息权力并保护公民的基本权利,欧美各国在上世纪70年代纷纷制定了隐私法或个人信息保护法,如德国黑森州1970年的《个人信息保护法》、瑞典1973年的《个人信息保护法》、美国1973年的《隐私法》等,而且这几部个人信息保护法的规制对象都是政府部门,其主要目的都是规范和限制公共部门对个人数据的收集和使用。简而言之,个人信息保护法产生的主要原因是为了防御政府收集处理信息对个人基本权利的侵犯。个人信息权也逐步从民事上的隐私权提升为宪法基本权利。根据法治国家的基本原则,政府干涉基本权利需要有法律的授权和正当性基础。由此,为保护基本权利的个人信息保护规则也就有具有了公法属性,其一般禁止处理个人信息,除非具有合法的例外许可依据。构成例外许可依据的一般是信息主体的同意或法律的授权。即对于私法主体而言,其处理个人信息必须有信息主体的同意或者是为订立和履行合同所必须。而对于政府机关而言,处理个人信息的合法基础则是法律授权,例如为履行法定职责或法定义务,为应对突发公共卫生事件或紧急情况下为保护生命健康和财产等重大法益。告知是同意的前提,也是信息主体知情权的保障,且是所有个人信息处理者必须履行的义务,不具有基于意思自治的协商空间,自然也具有公法属性。
(二)政府机关处理个人信息行为的公法属性
不同于电商、网络社交媒体或手机App运营商等私主体对个人信息的处理,政府机关处理个人信息的活动具有明显的公法属性。二者的主要区别如下:首先,处理个人信息的合法基础不同。政府机关处理个人信息主要是基于法律的授权,为了履行法定职责或法定义务,而私法主体则是基于信息主体出于意思自治的同意来处理个人信息。其次,与信息主体形成的法律关系性质不同。政府依法定职权处理个人信息是行使信息行政权的行为,具有单方性、职权性特点,与信息主体之间形成的是不平等的行政法律关系,具有实现行政管理目的或维护公共利益的目的正当性,一般无需信息主体的同意,相反,信息主体有时还需要予以配合。例如我国《人口普查条例》第4条、第16条规定了人口普查对象应当真实、准确、完整、及时地提供人口普查所需的资料,不得拒绝。该法第24条还规定了人口普查对象拒绝提供或提供不真实、不完整资料的法律责任。而私法主体经信息主体同意处理个人信息是一种民事主体的自主活动,双方之间是平等的民事法律关系。第三,从信息处理行为的性质角度而言,政府机关处理个人信息是一种行政活动方式,可以被视为特殊的行政事实行为,其一般不直接对信息主体的实体权利义务产生影响,且通常从外部基本看不到该事实行为,尤其在运用大数据分析或算法的自动化决策中。在行政法教义学中可以通过扩容单纯行政活动或行政事实行为的概念,将其容纳并进行体系化规制。私法主体处理个人信息则是双方基于“同意”这一合意基础上的民事法律行为。鉴于政府与私法主体处理个人信息行为在上述三方面的本质区别,对二者应当采用不同的规制方式和规制强度。由此,在政府处理告知义务制度的建构中也不能照搬适用于私法主体的告知规则,而需在公法框架下进行体系化架构。
(三)告知义务作为个人信息权防御功能发挥的前提
个保法最终在三审稿的第一条中新增“根据宪法”的规定,意义非常重大,表明受到保护的个人信息权益,不仅仅是民事权益,还是一项受到宪法保护的基本权利,从而回应了公法学界逐渐达成的共识:个人信息权或个人信息受保护权是一项基本权利。虽然从宪法文本上看,我国并未明确规定个人信息权,但是通过对既有条款、概括性权利条款的解释和逻辑推演,也能证成个人信息权系我国宪法基本权利。首先,《宪法》第38条的人格尊严条款可以作为个人信息权的宪法基础,虽然学界对于该条款属于具体基本权利抑或是原则性的权利保护条款还存在争议,但这并不影响我们借鉴美国宪法学中的“晕影理论”(Penumbra Theory)从该条款中解释出个人信息受保护权这一新型基本权利,因为一方面人格尊严本身就蕴含着人民享有基本权利的意旨,另一方面人格尊严是宪法基本权利的逻辑起点和价值内涵。此外,从《宪法》第33条关于人权保障的概括性条款来看,其为个人信息权作为一项基本人权涵盖进未列举的基本权利清单提供了容纳空间。
基本权利的首要功能是防御国家对公民权利和自由的干预、限制和侵害。其理论基础渊源于耶利内克界定的国家和公民四种关系中的“消极地位”,即个人具有的消极不受国家干涉的地位。具体而言,基本权利的防御权功能是指“公民得要求国家不侵犯基本权利所保障的利益,当国家侵犯该利益时,公民得直接依据基本权利的规定请求停止侵害。”个人信息权作为一项基本权利,自然也具有防御权功能,信息权主体得要求政府以不作为的方式消极不侵犯公民的个人信息权益,或发生侵害时要求其停止行为或消除影响。但公民行使该防御权的前提是知悉政府何时以及如何处理了其个人信息。也即,告知是基本权防御功能发挥的前提条件。只有告知才能保证信息主体知晓信息处理行为及侵权情况,从而有针对性地提出请求。质言之,在个人信息保护的语境下,知情权往往以被动的方式行使,如无信息处理者的主动告知,信息主体将无从行使知情权,也无法行使防御权。因此,所有信息处理者都必须履行告知义务,这是处理个人信息合法性的必备前提条件。而告知义务对于政府机关处理个人信息意义更为重大,因为其也是制约行政权力的有效程序工具。
(四)告知义务作为制约政府信息权力和预防侵权风险的程序工具
如前所述,政府机关处理个人信息是其行使信息行政权的体现,是一种信息行政行为,属于特殊的行政事实行为。而且在大数据和人工智能时代,随着电子政务和数字政府的推广,政府作为最大的个人信息处理者,滥用行政权侵犯公民个人信息权益的风险很大。因此,非常有必要对信息行政行为进行全方面的法律规制。其中,最有效的规制工具就是正当程序原则,即政府在作出信息行为前必须告知信息主体或将自动化行政的相关算法逻辑进行公开,从源头上预防侵权风险并制约行政权力。而行政法中的正当程序原则也与时俱进,发展出了技术性正当程序理论,回应了自动化行政以及算法对传统正当程序理论的挑战。该理论在肯定自动化行政等信息处理行为的优势的同时,构建了一套“技术性正当程序”,即要求算法公开、透明并具有程序一致性;算法需要具有可解释性,能提供决策的相关逻辑和实质性信息;决策结果可以被质疑,在专业人员协助下算法可以被审查,有错误时能够及时修正。简而言之,通过公平、透明、可问责的技术性正当程序来规制自动化行政,保护个人的知情权、异议权、参与权等程序权利。政府机关在利用自动化行政程序处理个人信息时,应当遵循上述技术性正当程序,告知相对人信息处理行为并遵守相关算法公开规则。
告知程序制约行政权力的逻辑在于缓解政府与信息主体之间的信息不对称。信息不对称也是目前同意制度饱受诟病的主要原因之一。例如,对于前述很多政府巨型数据库,信息主体并不知道个人信息何时被收集、如何被收集以及收集后将被如何运用,也就无法判断政府处理信息的合法性和合理性。若不强化告知义务作为控权工具,仅依赖政府自我约束,公民个人信息权益将很难得到切实保障。与此同时,告知程序也体现了个人参与原则(Individual Participation Principle),通过保障信息主体的参与权突出了在大数据时代人的主体性地位和个人自决权。一方面,信息主体参与信息处理活动并行使信息自决权以充分知情为前提,而知情又以告知为前提,因此告知义务堪称保障信息主体有效参与行政且行使个人信息自决权的逻辑起点;另一方面,也只有在告知的基础上,信息主体才能有针对性地行使防御权等权利,例如,行使法律赋予的拒绝权、查询权或删除权等,及时有效防范侵权风险。
三、政府机关处理个人信息告知义务的制度建构
正是由于个人信息处理规则本身具有的公法属性,告知义务的公法特征,以及政府机关处理个人信息活动的公法性质,尤其是告知义务具有的宪法价值功能,即告知义务是作为宪法基本权利的个人信息权发挥防御功能的前提条件,同时是制约政府信息权力和预防侵权风险的有效程序工具,我们应当针对政府机关处理个人信息活动的公法特性,在吸纳适用于私主体处理个人信息基本规则的合理成分的基础上,弥补目前粗疏零散的立法缺陷,体系化建构政府机关处理个人信息的告知义务制度。下文将结合个保法,从告知义务的法律主体、程序、内容、告知的例外情形、违法后果及救济等几个方面进行全面探讨。
(一)告知程序中的法律主体
1.履行告知义务的主体
履行告知义务的主体一般指个人信息的实际处理者。之所以强调“实际处理者”,主要基于以下两方面的考量:第一,“处理”个人信息是负有告知义务的前提。个体出入公共场所也会暴露体态样貌等个人信息,但对此类不涉及信息处理的情形都以规制,既不必要,还将徒增立法、合规的成本和争议。第二,实际处理者应当既包括狭义的行政机关,也包括法律法规授权的组织和行政机关委托的组织,而非局限于个保法规定的“个人信息处理者”。因为行政机关在处理个人信息时并不总是亲力亲为,很多政府数据库都是通过法律规范授权或经行政机关委托在处理公民个人信息,因而告知的主体也应当包括被授权或委托的组织等。这一点在个保法第37条和第59条得到了确认。
还需注意的是政府从第三方获得个人信息或通过数据共享提供给其他机关个人信息的告知义务问题。在上述两种情形下,政府机关都是个人信息的实际处理者,均需履行告知义务。2020年1月12日公布的《信息安全技术个人信息告知同意指南(征求意见稿)》(下称“《告知同意指南》”)对此作出了详细规定,可资借鉴。
2.告知的对象
告知的对象,也即告知内容的接收方,通常指个人信息主体。如前所述,政府机关处理个人信息可以认定为是一种行政事实行为,也应遵守行政程序规则,对受到影响的信息主体履行告知义务。
除此之外,为充分保护未成年人,学界已基本达成共识,认为处理未成年人个人信息应当告知其监护人。值得注意的是,尽管个保法显示了政府应主动探知信息主体年龄的立法意向,但此种要求很可能因为难度过大而被虚置。《告知同意指南》附录A根据未成年人是否为所提供的产品或服务的主要受众设计了不同的核验方式,具有一定的可操作性,可以参考。
(二)政府履行告知义务的时间和方式
1.告知的时间
告知义务不应仅仅存在于信息收集之前,而是贯穿于信息处理的全生命周期,只要信息处理的目的发生改变就应告知,以实现目的限制原则。具体而言,告知的时点包括:
第一,处理个人信息前。收集是实施其他信息处理活动的前提,在大多数情况下,收集和实施后续信息处理活动的主体是同一的,原则上只在收集个人信息环节履行告知义务即可。告知的时点最迟不晚于信息收集时,这样能够最大程度地保障信息主体的参与,彰显个人的主体性,同时也真正实现对政府行政权力的全流程监督。若在信息处理过程中加入新的政府机关,其也应当至迟在处理信息时履行告知义务。
第二,告知的内容变更时。个人信息的价值在聚合和二次利用中被高度放大,但在此期间,原本告知信息主体的内容很可能发生变化。为保障信息主体的知情权和参与权,理当重新告知、保持更新状态。值得注意的是,此种告知并不必然要在变动前完成,除非是向他人提供个人信息、超出最小利用原则处理信息等需要再征得信息主体同意的变动,否则事后在“及时”这一合理区间内告知即可。
第三,特殊情况发生后。此时的告知是对前两种的有力补充。在遇到无法事前告知的特殊情况时,如个人信息泄露、行政执法中紧急查处或者防止证据藏匿灭失等,在保护生命财产安全和不妨碍政府履职的基础上,为尽可能保障信息主体的权利,可改为在特殊情况消除后及时予以告知。
2.告知的方式
根据告知方式的不同,一般行政程序中的告知可以分为书面告知与口头告知、特定告知与非特定告知。这一分类方式同样也适用于个人信息保护中的政府告知义务。
书面与口头告知的区别主要在于是否有书面凭证。虽然部分法律法规就书面告知作出了规定,如《征信业管理条例》第18条就明确要求书面同意,但尚未有法律规范专门就政府告知义务提出书面要求。此次个保法也于第14条和第29条规定,法律、行政法规规定需书面告知的从其规定,说明一般情况下书面和口头都是合法可取的告知方式。不过,鉴于书面告知能为行政执法留痕,优势相对更为显著,一方面有利于倒逼政府切实保障个人权利,另一方面也能为政府免责提供证据,因此一般应当采取书面告知的方式。此外,因为电子凭证的普及,电子化书面告知也具有高效便捷、低成本、易保管等优点。
根据告知对象是否特定,个人信息保护中的政府告知义务还可以分为特定告知和非特定告知。针对具有特定告知对象的信息处理行为,从商业实践来看,包括网页弹窗为主的线上方式和直接送达为主的线下方式,这些都可为政府所用。此外,政府还可以运用《告知同意指南》中提及的电话、短信、邮件等传统方式,对信息主体实现一对一的特定告知。
非特定告知适用于信息主体不特定、告知内容同一,且一般无需征求信息主体明示同意的情形,例如自动测温器采集行人体温时的告知。告知方式一般包括树立提示标志、发布公告或者规则等,如个保法第17条第3款就规定了“制定个人信息处理规则”这一方式,《告知同意指南》附录D也建议在用户端、问询处、柜台、办公室等处提供规则文本以供查阅。
特别值得指出的是,对于为维护公共安全所必需,而在公共场所安装图像采集、个身份识别设备的,根据个保法第26条的规定,必须设置显著的提示标识。但政府机关根据法律规定,利用人脸识别等设备收集敏感个人信息或进行监控或身份识别时,仅设立显著标识还不能认为履行了完全的告知义务,还应当通过公布规则的方式,对公共场所监控以及身份识别设备设置的地点及其法律依据、维护公共安全的目的、数据类型和数量、信息收集后的处理方式、存储时间等进行统一说明。
在有特定告知对象的情形下,考虑到对信息主体权益的充分保障,应优先适用逐一告知方式,当该告知方式存在显著困难或者成本过高时,方可使用发布公告等不特定告知方式。
(三)政府告知的内容
个保法第17条明确规定了信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知的具体内容事项。具体到政府机关处理个人信息的场景,其在处理前应向信息主体告知以下内容:
1.信息实际处理者及其他相关主体
如前所述,政府在处理个人信息前应当告知信息主体实际的信息处理者及其他相关主体,即狭义的行政机关、法律法规授权的组织和行政机关委托的组织,以及已知将处理信息的第三方或共享信息的其他行政主体。此种披露有利于政府顺利处理信息,因为披露有关主体能为信息处理行为的安全性背书,从而促使信息主体在无法定义务时基于对政府的信任同意提供其信息;此外,只有明确处理个人信息的相关主体,信息主体才能有针对性且有效地进行监督和维权。
2.信息处理的目的和依据
处理信息的目的和依据包括政府收集、利用信息的目的,以及可以证明政府部门有权处理信息的法律或者事实依据。
个保法第6条规定个人信息处理的目的明确、合理原则以及必要和目的限制原则。我们认为,对政府机关处理个人信息而言,“明确、合理”指目的具体、清晰,且与政府机关的职责相匹配。其中,“具体”要求政府机关处理个人信息应当避免“维护公共利益”“进行公共管理”“提供公共服务”这种笼统的目的表述。对此,有学者认为政府部门无论负有何种具体职责,均以公共管理为信息处理的目的,因而不必要因政府部门间的信息流通或者共享而重复告知。但是,“公共管理”等概念极为宽泛,使得政府各机关部门之间的信息处理隔离机制近乎失效。虽然数据联通、整合和分析能够高效赋能数字政府建设,但无疑也扩大了“技术利维坦”的侵权风险,加大了控权难度。此外,“公共利益”相对个体的信息权益也不必然具有优先性,因而政府机关处理个人信息必须告知具体的目的。
必要和目的限制原则强调处理个人信息的边界,即仅能实施达成目的所必需的信息处理行为,不得进行与处理目的无关的个人信息处理,后续利用信息时也不得违背该目的,除非是基于公共利益、科学或者历史研究、统计此三类目的。虽然正式实施的个保法第6条较草案新增了“应当与处理目的直接相关”“不得过度收集个人信息”的表述,对必要和目的限制原则作出解释,且第13条第1款第3项和第34条还分别强调政府机关处理个人信息,“为履行法定职责或者法定义务所必需”,“不得超出法定职责所必需的范围和限度”,但如何理解和定义“直接”“必需”等要素,以及当出现多元目的和利益冲突时如何衡量取舍,也缺乏可操作性。在这方面,可以适当借鉴2019年12月欧盟数据保护主管(European Data Protection Supervisor)发布的针对个人数据保护的比例原则的指南。该指南为立法和政策制定者提供了实用工具和审查清单,以帮助其评估相关措施对个人数据基本权利的干预是否符合比例原则。
另外,还应当告知信息主体政府机关处理个人信息的权限。与非政府主体不同,基于政府主体职责法定原则,并非所有的政府组织都有权直接处理个人信息。如在疫情期间,根据《关于做好个人信息保护利用大数据支撑联防联控工作的通知》第1条之规定,只有国务院卫生健康部门依法授权的组织才有权未经个人同意收集、使用个人信息。因此,政府在履行告知义务时也应当说明其权限依据,以便于信息主体判断其行为的主体合法性。
3.所涉信息的范围
所涉信息的范围,指政府收集、利用的信息种类,以及处理此类信息的时间周期。“信息种类”指如姓名、身份证号、民族等个人信息项,而“处理周期”则是信息处理行为所持续的时间,比如有的软件在关闭界面后仍然会在后台运行,继续处理个人信息。因此,如果存在持续性的信息处理行为,政府应当进行说明,以使信息主体充分了解被处理信息的范围。
4.处理信息的方式和保存期限
处理信息的方式,指政府对个人信息采取的信息处理行为,即个保法第4条规定的收集、存储、使用、加工、传输、提供、公开、删除等系列活动。其中,个人信息的保存期限是个人信息保护立法普遍规定的告知内容,但却较少在政府告知中被提及。个保法第17条第1款第2项也规定个人信息处理者应当告知信息的保存期限,且根据第19条的规定,该期限指“实现处理目的所必要的最短时间”。但是,由于现实中政府工作进展的不确定性,在进行告知时可能还无法明确信息的保存期限,例如在疫情防控常态化的背景下,部分防疫信息也可能被长期存储并不定期使用。或许也正因如此,目前政府机关处理个人信息往往缺省了这一内容。例如,笔者在支付宝“健康码”栏目中查询多省市的健康码,一般只显示用于防疫工作,而未告知相关个人信息的保存期限。相比之下,GDPR的可操作性更强,可资借鉴。其第14(2)条(a)项规定,如果无法告知明确储存期限的,应当告知确定保存期限的标准。
5.信息主体享有的权利及对权利的救济
政府在作出一般行政行为时,会告知行政相对人其享有申请听证、陈述申辩等权利,且行政相对人还能够通过提起行政复议或者行政诉讼获得救济。在个人信息保护领域,告知信息主体其所享有的权利及救济权利的途径也是政府告知义务的应有之义。其中,权利主要是指信息主体可以申请对其个人信息采取查阅、复制、更正、补充、删除等措施;根据个保法第50条的规定,个人向政府请求行使权利遭到拒绝的,可以向人民法院提起诉讼,该救济途径应当作为应予告知的内容加以规定。
6.政府告知内容的特别注意事项
政府在履行告知义务时还需注意以下方面:
第一,告知内容因告知时间而异。如前文所述,告知的时间节点包括处理个人信息前、告知的内容变更时和特殊情况发生后。处理个人信息前和特殊情况发生后的告知内容应当尽可能全面详尽,而当政府因告知的内容变更另行告知时则不必面面俱到,而应列明变更的原因、变更的内容、该种变更将对信息主体产生的影响以及信息主体可以寻求救济的方式,否则这些重要信息将淹没在众多告知同意条款之中,反而有悖补充告知的本意。
第二,告知内容因告知方式而异。部分告知方式无法全面展示告知的内容,在特定场景下,只能按轻重缓急有所取舍,而且每一告知的内容也无需详尽周到。最为典型的就是图像监控和身份识别场景中的告知。当信息主体进入以监控设备为圆心的特定半径内或者靠近身份识别装置时,设备就能实时采集图像或识别身份,因此只有醒目的提示才能即时起到告知的作用,此时冗长的告知内容反而低效无用。当然,这并不意味着政府告知义务的弱化,因为告知方式之间不是互斥关系,政府还可以通过提前发布公告等方式进行统一说明,比如《道路交通安全违法行为处理程序规定》第16条第2款就规定,“固定式交通技术监控设备设置地点应当向社会公布”。为让告知对象了解统一说明的内容,还应当为告知对象指明了解详细告知的途径,如《告知同意指南》建议在显著醒目告知的同时告知获取更多相关信息的途径,可以通过“详情请参见”的方式引导告知对象查看更为详尽的告知内容。
第三,告知内容因信息类型而异。正如个保法第28条规定,敏感个人信息一旦遭到泄露或者非法使用,将造成人格尊严受损或者人身和财产安全危机,一般认为,应当对一般信息和敏感信息进行区分保护,从而平衡个人权利的保护与个人信息的利用。考虑到敏感信息被泄露或滥用将带来更大危害,在遵循比例原则和利益衡量原则的基础上,政府应当为敏感个人信息提供更为坚实的保护,并通过区分保护的方式降低行政成本,为收集敏感信息设置更为严格的必要性和目的限制要求,相关告知的内容也应增加处理该类信息的必要性以及对个人权益的影响等内容,并且一般应当获得信息主体的同意。
例如,人脸信息具有唯一性和不可更改性,属于敏感个人信息中的生物识别信息,而且是生物识别信息中社交属性最强、最易采集的个人信息,一旦泄露将对个人人身财产安全造成极大危害,甚至可能威胁公共安全。因此,政府机关在处理人脸信息时,必须还要遵守个保法第二节关于敏感个人信息的处理规则。此外,2021年4月23日公布的国家标准《信息安全技术 人脸识别数据安全要求(征求意见稿)》中也对政府机关合法合规处理人脸信息提供了具体指引。根据个保法和上述国家标准(征求意见稿)的规定,除非法律法规另有规定,政府机关在收集人脸识别数据时,应向数据主体告知收集目的、收集人脸信息的必要性及对个人权益的影响、数据类型和数量、处理方式、存储时间等规则,并征得数据主体的明示同意。只有在非人脸识别方式安全性或便捷性显著低于人脸识别方式(如机场、火车站进行人证比对等)情况下,方可开展人脸验证或人脸辨识;人脸识别数据不应用于除身份识别之外的其他目的,如评估或预测数据主体工作表现、经济状况、健康状况、偏好、兴趣等情况。原则上不应使用人脸识别方式对不满十四周岁的未成年人进行身份识别。应同时提供非人脸识别的身份识别方式,并提供数据主体选择使用。此外,还应提供安全措施保障数据主体的知情同意权。
(四)政府机关可以不履行告知义务的例外情形
政府机关处理个人信息一般必须履行告知义务,但是,政府告知义务也存在着例外情形。对此,个保法做出了较为全面的规定,其在第18条和第35条规定,法律、行政法规规定应当保密或不需要告知的,或者告知将妨碍履行法定职责的,可以不予告知。我们认为,在政府处理个人信息中,“应当保密”主要指在涉及国家秘密的情况下,应当遵守保密规定,可以不予告知。“不需要告知”是从行政活动合目的性以及行政效益原则出发,尽量减少不必要的告知,至少包含以下两种情形:其一,政府内部基于同一处理目的的信息交流和共享。在同一目的下,接收个人信息的政府机关相当于原机关的延伸,个人信息并未落入其他主体手中。不过,这要求处理目的务必明确、具体,否则告知义务将名存实亡,毕竟所有行政机关都可以通过“公共管理”的目的串联起来,使个人信息在行政机关间被任意传输并用于履行各类职能。其二,政府委托其他组织处理个人信息时,与受托方间的信息交流。根据个保法第59条,受托人应协助政府履行告知义务。便利起见,可由受托人告知,但受托人应当披露背后的“个人信息处理者”。基于该委托关系的个人信息传输,并未超出个人基于原有告知内容产生的预期,因此无需重复告知。“妨碍履行法定职责”的风险常见于司法、执法活动中,譬如针对技术侦查等行为,一般不履行告知义务,否则将给个人隐匿、销毁证据提供巨大便利。但是,这一例外是可转化的,在职责履行完毕之后,妨碍履职的可能性便不复存在,如证据已经固定,再予告知并不会导致证据的灭失损毁,也不会阻碍后续的司法、执法进程,此时政府应当补充履行告知义务,以起到提示、及时启动救济程序的效果。
(五)违反告知义务的法律后果和救济
一般认为,政府机关处理个人信息违法侵权的法律责任不同于私法主体,这在GDPR中也有体现,例如,高额的罚款就不适用于行政机关。我国个保法第七章规定的法律责任也更多是针对私法主体的,比如,第66、71条规定了违反个保法规定处理个人信息的行政处罚,第68条针对国家机关不履行个人信息保护义务和相关工作人员违法用权规定了法律责任,第69条规定了适用归错推定的侵权损害赔偿责任。我们认为,这一安排的本意在于:部分政府机关兼具个人信息处理者和履行个人信息保护职责的部门两种身份,在“一般+特别”的模式下,政府作为前者违法处理个人信息适用第66、69、71条,而作为后者履职不当将受到第68条的处罚。然而,第66、69、71条很难适用于政府的违法信息处理行为,第68条作为对政府机关的唯一专门规定,又只规定了内部行政责任和刑事责任,正式实施的个保法虽然较草案增加了个人行使权利遭到拒绝时的起诉权,但对抗政府不履行告知义务最为重要的行政复议和行政诉讼以及国家赔偿制度都付之阙如。所以,现行个保法规定非常不利于监督行政机关履行告知义务以及信息主体进行权利救济。信息主体可能的救济途径是间接借助行政公益诉讼制度。虽然个保法第70条规定的公益诉讼是否涵盖行政公益诉讼尚不明确,但我国的检察机关已经在积极试点探索个人信息保护领域内的行政公益诉讼制度。截至目前,全国已有25个省级人大常委会作出关于加强检察公益诉讼工作的决定,其中有19个省份明确要求检察机关积极稳妥开展个人信息保护领域公益诉讼。2021年4月22日,最高人民检察院发布了个人信息保护公益诉讼典型案例,其中就有6起属于行政公益诉讼案件。其中,在江西省乐安县人民检察院督促规范政府信息公开行政公益诉讼案中,针对行政机关在履行政府信息公开职能时泄露不应公开的公民个人信息的情形,检察机关通过制发诉前检察建议,依法督促行政机关履职整改,保护公民个人信息安全。笔者认为,非常有必要通过法律解释的方法,结合行政诉讼法的规定,认定个保法中的公益诉讼包含了行政公益诉讼,即国家机关不履行法律、行政法规规定的个人信息保护义务致使众多个人权益被侵害的,检察机关可以依据《行政诉讼法》第25条规定提起行政公益诉讼。这主要是基于以下几方面理由:第一,大数据时代对个人信息的侵害主要以“大规模”为表现形式,当不特定多数人的个人信息权受到侵害,庞大的个体利益聚合足以使个人权益上升到社会公益的高度;第二,个人信息所具备的识别功能服务于社会交往,个人信息被泄露或者滥用都将影响社会秩序和安全;第三,政府信息处理行为关涉的信息主体数量庞大,政府组织与信息主体之间的实力又过于悬殊,由代表社会公共利益,且具有很强专业优势和举证能力的国家检察机关提起公益诉讼不仅更高效和经济,极大弥补个人维权的不足,也有利于监督依法行政。
概括而言,在数字政府时代,政府机关已经成为极为重要的个人信息处理主体,必须受到法治原则的约束,其处理个人信息的活动同样需要具有明确的正当化依据,应以履行法定职责为必要条件,遵循严格的目的限定要求。已经生效实施的个保法虽然在政府机关处理个人信息方面已经作出了一些规定,但对政府机关处理个人信息这一信息行政事实行为的公法特性认识和关注不足,尚未针对政府机关处理个人信息制定有足够针对性的体系化规则,例如,并未针对政府处理个人信息的告知同意的特殊性制定细化规则;在政府违反相关规定的法律责任和权利主体的救济制度等方面的规定也较为粗疏。告知义务是政府机关处理个人信息应履行的前提性核心义务,其既是个人信息自决权的具体表达,也是个人信息受保护权发挥基本权利防御功能的前提,同时还是制约政府信息权力和预防侵权风险的程序工具。本文针对政府机关处理个人信息的告知义务,从公法理论基础和具体制度建构两方面进行了较为体系化的探讨,强调了告知义务的宪法价值和控权功能以及告知义务制度的公法建构,希望能为将来制定政府机关处理个人信息的具体规则提供智识参考。
(喻文光,中国人民大学法学院副教授,未来法治研究院研究员;郑子璇,中国人民大学法学院2018级法律硕士。)
Abstract:In the construction of digital government,the protection of personal information plays an extremely important role.The duty to inform is a prerequisite core obligation that the government should fulfill in processing personal information,a concrete expression of the right to self-determination of personal information,and a prerequisite for the right to protection of personal information that works as a fundamental right to defense the intrusion from the government,as well as a procedural regulatory tool to restrain the government’s information power and prevent the risk of infringement.As the rules on the processing of personal information and the duty to inform have both the nature of public law,the government’s processing of personal information is also public law in nature,especially because of the constitutional value and power-control function of the duty to inform,the system construction of the duty to inform cannot be copied from the rules applicable to private subjects,but should be tailored to the public law characteristics of the government’s processing of personal information,overcoming the shortcomings of the current rough and fragmented legislation,and set up a systematic regulation based on the public law in term of the legal subject,procedure,content,consequences of obligation violations and legal protection.
Keywords:Protection of Personal Information;Government’s Procession of Personal Information;Duty to Inform;Theoretical Basis;System Construction
(责任编辑 陆海娜)
关键词:个人信息保护 政府机关处理个人信息行为 告知义务 理论基础 制度建构
我国已经进入数字时代,各行各业开启全面数字化,数字政府正在如火如荼地建设。例如,“一网通办”、政务“秒批”“秒办”、身份证“网证”等试点措施,有力促进了政府和社会治理的高效化、精准化和智能化,以及便民服务的智慧化。但不容忽视的是,数字政府系统收集、存储和处理海量的公民个人信息,这些全面、真实、巨量的个人信息一旦遭到泄露或被滥用,不仅威胁个人的人身、财产和信息安全,也可能危害公共安全,甚至危及国家整体安全。可以说,数据安全是数字政府的生命线,个人信息保护是数字经济的底线。因此,在数字化时代,必须加强对政府机关处理个人信息的法律规制,并建构相应的特别规则,因为政府机关处理个人信息主要是为履行法定职责或法定义务,或提供公共服务,其处理个人信息的法律基础,与信息主体之间形成的法律关系以及政府信息处理行为的性质,都不同于私人主体的个人信息处理活动。由此,政府机关处理个人信息的告知同意规则具有其特殊性,不能完全套用私法主体处理个人信息的规则,需要结合其公法特性进行理论和规范层面的法律建构。2021年11月1日施行的《个人信息保护法》(以下简称“个保法”)将私人主体和国家机关处理个人信息的行为一并纳入规范对象,虽然在第二章“个人信息处理规则”专设一节来规定国家机关处理个人信息的行为,但明确规定了“告知同意”规则的一般性适用,只规定了个别的特殊例外,并没有对政府机关处理个人信息的公法特殊性予以充分强调。而理论界对于告知同意规则的反思批判多是由民法学者展开的,主要针对私法主体适用该规则处理个人信息出现的问题,例如该规则的内在缺陷、异化现象、与个人信息社会属性以及大数据经济发展的冲突等。本文则从公法角度出发,聚焦于政府主体处理个人信息的的告知义务,从实践问题入手,阐释理论基础,并结合新实施的个保法,探讨如何从告知义务角度来规制政府这一最大的个人信息处理者,从而有效保护信息主体的合法权益,为数字政府在法治轨道上运行保驾护航。
一、政府机关处理个人信息告知义务制度的现存问题
个人信息处理中的告知是指“将与个人信息处理活动相关信息提供给个人信息主体,使其了解个人信息处理活动的有关规则。”告知是“告知同意”制度的核心组成部分。告知同意制度是指个人信息处理者在收集个人信息之时,应当对信息主体就有关个人信息被收集、处理和利用的情况进行充分告知,并征得信息主体明确同意的制度。告知同意被视为个人信息保护的基石,是个人信息自决权的具体表达。即个人基于自决的理念有权自主决定在什么时候、在什么限度内,关于他个人生活的事实可以被披露。信息自决权就是要保证个人拥有自主决定个人信息是否被披露或被使用的权利。虽然告知同意作为核心规则已在个保法中确立,而且适用于政府机关。但如何具体实施还有很多问题需要探讨,囿于篇幅,本文只探讨其中的告知义务问题。总体来看,政府机关处理个人信息告知义务制度目前无论在法律规范还是在行政实践层面都存在诸多不足。
首先,现行法律规范对政府机关处理个人信息的告知义务还未进行体系化的全面规制并突出政府机关处理个人信息的公法特性。虽然个保法第17条对告知的方式、事项做出了规定,但这是一般性规定,既适用于非政府主体的个人信息处理者,也适用于政府机关;而个保法第35条虽强调了国家机关履行法定职责处理个人信息时应当履行告知义务,但仅对应当保密和告知会妨碍履行法定职责的情形做了除外规定,并未针对政府机关处理个人信息在告知主体、程序、方式、法律责任、救济途径等方面的特殊性做出体系化的、具体细致的特别规定。其他现行相关规定也都较为粗疏。例如,《网络安全法》在第41条只笼统规定,网络运营者应当“公开收集、使用规则,明示收集、使用信息的目的、方式和范围”,但并未明确规定涵盖告知义务各个要素的具体规则以及可能的例外情形。此外,其他现行相关法律对于政府机关处理个人信息的告知义务基本没有作出区别于私法主体的特别规定,即使作出特别规定,也较为零散、可操作性不强。例如,《电子商务法》只有关于政府机关处理个人信息的准用性规范,即规定其应当“遵守法律、行政法规有关个人信息保护的规定”;《民法典》虽然在第111条规定,保护个人信息的义务主体是“任何组织或者个人”,将政府等国家机关也包括在内,但其对于告知义务的具体规定寥寥,也未明确政府与非政府主体在告知义务等个人信息处理规则方面的差异。这些粗略或零散的法律规定在实践运用中会增加政府告知义务的履行难度,减损义务履行和监管的可操作性。
其次,政府在处理个人信息的行政实践中,由于缺乏明确具体的法律规定以及保护公民个人信息的意识,普遍存在着履行告知义务不规范,或者少告知、不告知等问题。据学者研究,较多政府巨型数据库的运作并不公开透明,并未受到法律、行政法规或者规章基于保护个人权利的限制和约束。公民的个人信息经常在毫不知情的情形下被收集、储存、披露或共享,公民的隐私权、人格尊严甚至人身自由等基本权利因此受到侵害,例如,警务工作中的个人信息错误导致错误的拘捕或行政强制措施等。而2020年进行的全国人口普查,因为收集诸多个人敏感信息,如身份证号码和住房情况等,引发广大民众对个人信息保护的疑虑。据笔者亲身经历,普查员入户采集个人信息时,并未使用可以进行数据加密保护的电子化采集设备,而是采取填写纸质表格的方式。此外,普查员既未按照《全国人口普查条例》第23条规定告知人口普查的目的、法律依据和普查对象的权利义务,也未能就笔者提出的关于个人敏感信息的储存期限问题给出回答。再如,当我们通过健康宝小程序进行个人信息扫码登记时,小程序一般仅具有如下提示信息:“您的个人信息将保存于xx市政务云,且仅用于政府防疫追溯及相关工作。扫码登记场所仅显示您脱敏处理后的个人信息。”但并未告知法律依据、信息主体权利义务、信息保存时长等重要内容。
当然,在大数据时代,基于大数据处理的技术特征,政府在某些情形下可能也难以履行告知义务,凸显了大数据利用中个人信息保护的困境。在我国,数据已与土地、劳动力、资本、技术等传统要素并列为五大生产要素,数据要素的高效配置,是推动数字经济发展的关键一环,大数据在社会治理和数字政府建设中发挥了举足轻重的作用。大数据在各个领域的广泛运用,使得原来个人信息保护的基本规则——告知同意制度受到巨大挑战,因为数据的价值主要在于对原始信息和数据的二次利用与聚合分析,而且会进行匿名化和脱敏处理,此时数据处理者很难再去告知信息主体并取得其同意,若必须在已经高度融合的数据中找出特定个人信息将需要付出极高的成本。而且根据《网络安全法》第42条和个保法第4条,匿名化处理后的信息不再属于个人信息,无需受到个人信息处理规则的约束。但必须指出的是,日新月异发展的数据技术表明,数据匿名化仅仅是一种小数据时代的策略,在大数据时代,不同的数据库互相“撞库”,采用大数据分析技术,找出个人信息并由此拼凑出个人人格画像并非难事。由此可见,匿名化处理并不能排除个人信息权益受到侵害的风险。如何平衡大数据时代的个人信息合理利用和个人信息权益保护,走出告知同意规则的困境,是立法实践和理论研究必须回应的世界性难题。
若想从根本上解决上述立法和行政实践中的突出问题,并系统建构符合政府机关处理个人信息公法特性的告知义务制度,则需要深入探究政府机关处理个人信息告知义务的理论基础,为制度建构提供理论指导和支撑。
二、政府机关处理个人信息告知义务的公法理论基础
从理论视角考察,与私人主体处理个人信息不同,政府机关处理个人信息具有鲜明的公法属性,这体现在以下四个方面:个人信息处理规则本身具有的“一般禁止、例外许可”的公法属性、政府处理个人信息在行为性质上的公法特征、告知义务具有的基本权利防御功能以及告知义务作为制约政府信息权力的程序工具价值。以下分别阐述:
(一)个人信息处理一般规则的公法属性
我国个保法第13条对个人信息处理的一般规则作了明确规定,即只有符合该法所列举的七种情形,“方可”处理个人信息。GDPR第6条也有相似规定。在法教义学上,该规定属于公法中“附许可条件的一般禁止”,也即,一般情形下是禁止处理个人信息的,只有满足合法情形才可以例外允许。这明显不同于私法意思自治原则,以及私法领域的基本行为准则——法无禁止即自由。之所以作出这种一般性禁止规定,其根本原因在于个人信息权被视为基本权利,受到宪法和法律以及法律保留原则的严格保护。实施这种“一般禁止,例外许可”性质的公法上的严格保护的原因又可追溯到历史上各国个人信息保护立法的主要动因,即随着上世纪60年代巨型计算机技术的运用,政府自动化处理个人信息的能力和范围剧增,其建立的巨型数据库能够大规模集中收集和存储和处理个人信息,对公民隐私权造成巨大威胁。为了限制政府滥用信息权力并保护公民的基本权利,欧美各国在上世纪70年代纷纷制定了隐私法或个人信息保护法,如德国黑森州1970年的《个人信息保护法》、瑞典1973年的《个人信息保护法》、美国1973年的《隐私法》等,而且这几部个人信息保护法的规制对象都是政府部门,其主要目的都是规范和限制公共部门对个人数据的收集和使用。简而言之,个人信息保护法产生的主要原因是为了防御政府收集处理信息对个人基本权利的侵犯。个人信息权也逐步从民事上的隐私权提升为宪法基本权利。根据法治国家的基本原则,政府干涉基本权利需要有法律的授权和正当性基础。由此,为保护基本权利的个人信息保护规则也就有具有了公法属性,其一般禁止处理个人信息,除非具有合法的例外许可依据。构成例外许可依据的一般是信息主体的同意或法律的授权。即对于私法主体而言,其处理个人信息必须有信息主体的同意或者是为订立和履行合同所必须。而对于政府机关而言,处理个人信息的合法基础则是法律授权,例如为履行法定职责或法定义务,为应对突发公共卫生事件或紧急情况下为保护生命健康和财产等重大法益。告知是同意的前提,也是信息主体知情权的保障,且是所有个人信息处理者必须履行的义务,不具有基于意思自治的协商空间,自然也具有公法属性。
(二)政府机关处理个人信息行为的公法属性
不同于电商、网络社交媒体或手机App运营商等私主体对个人信息的处理,政府机关处理个人信息的活动具有明显的公法属性。二者的主要区别如下:首先,处理个人信息的合法基础不同。政府机关处理个人信息主要是基于法律的授权,为了履行法定职责或法定义务,而私法主体则是基于信息主体出于意思自治的同意来处理个人信息。其次,与信息主体形成的法律关系性质不同。政府依法定职权处理个人信息是行使信息行政权的行为,具有单方性、职权性特点,与信息主体之间形成的是不平等的行政法律关系,具有实现行政管理目的或维护公共利益的目的正当性,一般无需信息主体的同意,相反,信息主体有时还需要予以配合。例如我国《人口普查条例》第4条、第16条规定了人口普查对象应当真实、准确、完整、及时地提供人口普查所需的资料,不得拒绝。该法第24条还规定了人口普查对象拒绝提供或提供不真实、不完整资料的法律责任。而私法主体经信息主体同意处理个人信息是一种民事主体的自主活动,双方之间是平等的民事法律关系。第三,从信息处理行为的性质角度而言,政府机关处理个人信息是一种行政活动方式,可以被视为特殊的行政事实行为,其一般不直接对信息主体的实体权利义务产生影响,且通常从外部基本看不到该事实行为,尤其在运用大数据分析或算法的自动化决策中。在行政法教义学中可以通过扩容单纯行政活动或行政事实行为的概念,将其容纳并进行体系化规制。私法主体处理个人信息则是双方基于“同意”这一合意基础上的民事法律行为。鉴于政府与私法主体处理个人信息行为在上述三方面的本质区别,对二者应当采用不同的规制方式和规制强度。由此,在政府处理告知义务制度的建构中也不能照搬适用于私法主体的告知规则,而需在公法框架下进行体系化架构。
(三)告知义务作为个人信息权防御功能发挥的前提
个保法最终在三审稿的第一条中新增“根据宪法”的规定,意义非常重大,表明受到保护的个人信息权益,不仅仅是民事权益,还是一项受到宪法保护的基本权利,从而回应了公法学界逐渐达成的共识:个人信息权或个人信息受保护权是一项基本权利。虽然从宪法文本上看,我国并未明确规定个人信息权,但是通过对既有条款、概括性权利条款的解释和逻辑推演,也能证成个人信息权系我国宪法基本权利。首先,《宪法》第38条的人格尊严条款可以作为个人信息权的宪法基础,虽然学界对于该条款属于具体基本权利抑或是原则性的权利保护条款还存在争议,但这并不影响我们借鉴美国宪法学中的“晕影理论”(Penumbra Theory)从该条款中解释出个人信息受保护权这一新型基本权利,因为一方面人格尊严本身就蕴含着人民享有基本权利的意旨,另一方面人格尊严是宪法基本权利的逻辑起点和价值内涵。此外,从《宪法》第33条关于人权保障的概括性条款来看,其为个人信息权作为一项基本人权涵盖进未列举的基本权利清单提供了容纳空间。
基本权利的首要功能是防御国家对公民权利和自由的干预、限制和侵害。其理论基础渊源于耶利内克界定的国家和公民四种关系中的“消极地位”,即个人具有的消极不受国家干涉的地位。具体而言,基本权利的防御权功能是指“公民得要求国家不侵犯基本权利所保障的利益,当国家侵犯该利益时,公民得直接依据基本权利的规定请求停止侵害。”个人信息权作为一项基本权利,自然也具有防御权功能,信息权主体得要求政府以不作为的方式消极不侵犯公民的个人信息权益,或发生侵害时要求其停止行为或消除影响。但公民行使该防御权的前提是知悉政府何时以及如何处理了其个人信息。也即,告知是基本权防御功能发挥的前提条件。只有告知才能保证信息主体知晓信息处理行为及侵权情况,从而有针对性地提出请求。质言之,在个人信息保护的语境下,知情权往往以被动的方式行使,如无信息处理者的主动告知,信息主体将无从行使知情权,也无法行使防御权。因此,所有信息处理者都必须履行告知义务,这是处理个人信息合法性的必备前提条件。而告知义务对于政府机关处理个人信息意义更为重大,因为其也是制约行政权力的有效程序工具。
(四)告知义务作为制约政府信息权力和预防侵权风险的程序工具
如前所述,政府机关处理个人信息是其行使信息行政权的体现,是一种信息行政行为,属于特殊的行政事实行为。而且在大数据和人工智能时代,随着电子政务和数字政府的推广,政府作为最大的个人信息处理者,滥用行政权侵犯公民个人信息权益的风险很大。因此,非常有必要对信息行政行为进行全方面的法律规制。其中,最有效的规制工具就是正当程序原则,即政府在作出信息行为前必须告知信息主体或将自动化行政的相关算法逻辑进行公开,从源头上预防侵权风险并制约行政权力。而行政法中的正当程序原则也与时俱进,发展出了技术性正当程序理论,回应了自动化行政以及算法对传统正当程序理论的挑战。该理论在肯定自动化行政等信息处理行为的优势的同时,构建了一套“技术性正当程序”,即要求算法公开、透明并具有程序一致性;算法需要具有可解释性,能提供决策的相关逻辑和实质性信息;决策结果可以被质疑,在专业人员协助下算法可以被审查,有错误时能够及时修正。简而言之,通过公平、透明、可问责的技术性正当程序来规制自动化行政,保护个人的知情权、异议权、参与权等程序权利。政府机关在利用自动化行政程序处理个人信息时,应当遵循上述技术性正当程序,告知相对人信息处理行为并遵守相关算法公开规则。
告知程序制约行政权力的逻辑在于缓解政府与信息主体之间的信息不对称。信息不对称也是目前同意制度饱受诟病的主要原因之一。例如,对于前述很多政府巨型数据库,信息主体并不知道个人信息何时被收集、如何被收集以及收集后将被如何运用,也就无法判断政府处理信息的合法性和合理性。若不强化告知义务作为控权工具,仅依赖政府自我约束,公民个人信息权益将很难得到切实保障。与此同时,告知程序也体现了个人参与原则(Individual Participation Principle),通过保障信息主体的参与权突出了在大数据时代人的主体性地位和个人自决权。一方面,信息主体参与信息处理活动并行使信息自决权以充分知情为前提,而知情又以告知为前提,因此告知义务堪称保障信息主体有效参与行政且行使个人信息自决权的逻辑起点;另一方面,也只有在告知的基础上,信息主体才能有针对性地行使防御权等权利,例如,行使法律赋予的拒绝权、查询权或删除权等,及时有效防范侵权风险。
三、政府机关处理个人信息告知义务的制度建构
正是由于个人信息处理规则本身具有的公法属性,告知义务的公法特征,以及政府机关处理个人信息活动的公法性质,尤其是告知义务具有的宪法价值功能,即告知义务是作为宪法基本权利的个人信息权发挥防御功能的前提条件,同时是制约政府信息权力和预防侵权风险的有效程序工具,我们应当针对政府机关处理个人信息活动的公法特性,在吸纳适用于私主体处理个人信息基本规则的合理成分的基础上,弥补目前粗疏零散的立法缺陷,体系化建构政府机关处理个人信息的告知义务制度。下文将结合个保法,从告知义务的法律主体、程序、内容、告知的例外情形、违法后果及救济等几个方面进行全面探讨。
(一)告知程序中的法律主体
1.履行告知义务的主体
履行告知义务的主体一般指个人信息的实际处理者。之所以强调“实际处理者”,主要基于以下两方面的考量:第一,“处理”个人信息是负有告知义务的前提。个体出入公共场所也会暴露体态样貌等个人信息,但对此类不涉及信息处理的情形都以规制,既不必要,还将徒增立法、合规的成本和争议。第二,实际处理者应当既包括狭义的行政机关,也包括法律法规授权的组织和行政机关委托的组织,而非局限于个保法规定的“个人信息处理者”。因为行政机关在处理个人信息时并不总是亲力亲为,很多政府数据库都是通过法律规范授权或经行政机关委托在处理公民个人信息,因而告知的主体也应当包括被授权或委托的组织等。这一点在个保法第37条和第59条得到了确认。
还需注意的是政府从第三方获得个人信息或通过数据共享提供给其他机关个人信息的告知义务问题。在上述两种情形下,政府机关都是个人信息的实际处理者,均需履行告知义务。2020年1月12日公布的《信息安全技术个人信息告知同意指南(征求意见稿)》(下称“《告知同意指南》”)对此作出了详细规定,可资借鉴。
2.告知的对象
告知的对象,也即告知内容的接收方,通常指个人信息主体。如前所述,政府机关处理个人信息可以认定为是一种行政事实行为,也应遵守行政程序规则,对受到影响的信息主体履行告知义务。
除此之外,为充分保护未成年人,学界已基本达成共识,认为处理未成年人个人信息应当告知其监护人。值得注意的是,尽管个保法显示了政府应主动探知信息主体年龄的立法意向,但此种要求很可能因为难度过大而被虚置。《告知同意指南》附录A根据未成年人是否为所提供的产品或服务的主要受众设计了不同的核验方式,具有一定的可操作性,可以参考。
(二)政府履行告知义务的时间和方式
1.告知的时间
告知义务不应仅仅存在于信息收集之前,而是贯穿于信息处理的全生命周期,只要信息处理的目的发生改变就应告知,以实现目的限制原则。具体而言,告知的时点包括:
第一,处理个人信息前。收集是实施其他信息处理活动的前提,在大多数情况下,收集和实施后续信息处理活动的主体是同一的,原则上只在收集个人信息环节履行告知义务即可。告知的时点最迟不晚于信息收集时,这样能够最大程度地保障信息主体的参与,彰显个人的主体性,同时也真正实现对政府行政权力的全流程监督。若在信息处理过程中加入新的政府机关,其也应当至迟在处理信息时履行告知义务。
第二,告知的内容变更时。个人信息的价值在聚合和二次利用中被高度放大,但在此期间,原本告知信息主体的内容很可能发生变化。为保障信息主体的知情权和参与权,理当重新告知、保持更新状态。值得注意的是,此种告知并不必然要在变动前完成,除非是向他人提供个人信息、超出最小利用原则处理信息等需要再征得信息主体同意的变动,否则事后在“及时”这一合理区间内告知即可。
第三,特殊情况发生后。此时的告知是对前两种的有力补充。在遇到无法事前告知的特殊情况时,如个人信息泄露、行政执法中紧急查处或者防止证据藏匿灭失等,在保护生命财产安全和不妨碍政府履职的基础上,为尽可能保障信息主体的权利,可改为在特殊情况消除后及时予以告知。
2.告知的方式
根据告知方式的不同,一般行政程序中的告知可以分为书面告知与口头告知、特定告知与非特定告知。这一分类方式同样也适用于个人信息保护中的政府告知义务。
书面与口头告知的区别主要在于是否有书面凭证。虽然部分法律法规就书面告知作出了规定,如《征信业管理条例》第18条就明确要求书面同意,但尚未有法律规范专门就政府告知义务提出书面要求。此次个保法也于第14条和第29条规定,法律、行政法规规定需书面告知的从其规定,说明一般情况下书面和口头都是合法可取的告知方式。不过,鉴于书面告知能为行政执法留痕,优势相对更为显著,一方面有利于倒逼政府切实保障个人权利,另一方面也能为政府免责提供证据,因此一般应当采取书面告知的方式。此外,因为电子凭证的普及,电子化书面告知也具有高效便捷、低成本、易保管等优点。
根据告知对象是否特定,个人信息保护中的政府告知义务还可以分为特定告知和非特定告知。针对具有特定告知对象的信息处理行为,从商业实践来看,包括网页弹窗为主的线上方式和直接送达为主的线下方式,这些都可为政府所用。此外,政府还可以运用《告知同意指南》中提及的电话、短信、邮件等传统方式,对信息主体实现一对一的特定告知。
非特定告知适用于信息主体不特定、告知内容同一,且一般无需征求信息主体明示同意的情形,例如自动测温器采集行人体温时的告知。告知方式一般包括树立提示标志、发布公告或者规则等,如个保法第17条第3款就规定了“制定个人信息处理规则”这一方式,《告知同意指南》附录D也建议在用户端、问询处、柜台、办公室等处提供规则文本以供查阅。
特别值得指出的是,对于为维护公共安全所必需,而在公共场所安装图像采集、个身份识别设备的,根据个保法第26条的规定,必须设置显著的提示标识。但政府机关根据法律规定,利用人脸识别等设备收集敏感个人信息或进行监控或身份识别时,仅设立显著标识还不能认为履行了完全的告知义务,还应当通过公布规则的方式,对公共场所监控以及身份识别设备设置的地点及其法律依据、维护公共安全的目的、数据类型和数量、信息收集后的处理方式、存储时间等进行统一说明。
在有特定告知对象的情形下,考虑到对信息主体权益的充分保障,应优先适用逐一告知方式,当该告知方式存在显著困难或者成本过高时,方可使用发布公告等不特定告知方式。
(三)政府告知的内容
个保法第17条明确规定了信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知的具体内容事项。具体到政府机关处理个人信息的场景,其在处理前应向信息主体告知以下内容:
1.信息实际处理者及其他相关主体
如前所述,政府在处理个人信息前应当告知信息主体实际的信息处理者及其他相关主体,即狭义的行政机关、法律法规授权的组织和行政机关委托的组织,以及已知将处理信息的第三方或共享信息的其他行政主体。此种披露有利于政府顺利处理信息,因为披露有关主体能为信息处理行为的安全性背书,从而促使信息主体在无法定义务时基于对政府的信任同意提供其信息;此外,只有明确处理个人信息的相关主体,信息主体才能有针对性且有效地进行监督和维权。
2.信息处理的目的和依据
处理信息的目的和依据包括政府收集、利用信息的目的,以及可以证明政府部门有权处理信息的法律或者事实依据。
个保法第6条规定个人信息处理的目的明确、合理原则以及必要和目的限制原则。我们认为,对政府机关处理个人信息而言,“明确、合理”指目的具体、清晰,且与政府机关的职责相匹配。其中,“具体”要求政府机关处理个人信息应当避免“维护公共利益”“进行公共管理”“提供公共服务”这种笼统的目的表述。对此,有学者认为政府部门无论负有何种具体职责,均以公共管理为信息处理的目的,因而不必要因政府部门间的信息流通或者共享而重复告知。但是,“公共管理”等概念极为宽泛,使得政府各机关部门之间的信息处理隔离机制近乎失效。虽然数据联通、整合和分析能够高效赋能数字政府建设,但无疑也扩大了“技术利维坦”的侵权风险,加大了控权难度。此外,“公共利益”相对个体的信息权益也不必然具有优先性,因而政府机关处理个人信息必须告知具体的目的。
必要和目的限制原则强调处理个人信息的边界,即仅能实施达成目的所必需的信息处理行为,不得进行与处理目的无关的个人信息处理,后续利用信息时也不得违背该目的,除非是基于公共利益、科学或者历史研究、统计此三类目的。虽然正式实施的个保法第6条较草案新增了“应当与处理目的直接相关”“不得过度收集个人信息”的表述,对必要和目的限制原则作出解释,且第13条第1款第3项和第34条还分别强调政府机关处理个人信息,“为履行法定职责或者法定义务所必需”,“不得超出法定职责所必需的范围和限度”,但如何理解和定义“直接”“必需”等要素,以及当出现多元目的和利益冲突时如何衡量取舍,也缺乏可操作性。在这方面,可以适当借鉴2019年12月欧盟数据保护主管(European Data Protection Supervisor)发布的针对个人数据保护的比例原则的指南。该指南为立法和政策制定者提供了实用工具和审查清单,以帮助其评估相关措施对个人数据基本权利的干预是否符合比例原则。
另外,还应当告知信息主体政府机关处理个人信息的权限。与非政府主体不同,基于政府主体职责法定原则,并非所有的政府组织都有权直接处理个人信息。如在疫情期间,根据《关于做好个人信息保护利用大数据支撑联防联控工作的通知》第1条之规定,只有国务院卫生健康部门依法授权的组织才有权未经个人同意收集、使用个人信息。因此,政府在履行告知义务时也应当说明其权限依据,以便于信息主体判断其行为的主体合法性。
3.所涉信息的范围
所涉信息的范围,指政府收集、利用的信息种类,以及处理此类信息的时间周期。“信息种类”指如姓名、身份证号、民族等个人信息项,而“处理周期”则是信息处理行为所持续的时间,比如有的软件在关闭界面后仍然会在后台运行,继续处理个人信息。因此,如果存在持续性的信息处理行为,政府应当进行说明,以使信息主体充分了解被处理信息的范围。
4.处理信息的方式和保存期限
处理信息的方式,指政府对个人信息采取的信息处理行为,即个保法第4条规定的收集、存储、使用、加工、传输、提供、公开、删除等系列活动。其中,个人信息的保存期限是个人信息保护立法普遍规定的告知内容,但却较少在政府告知中被提及。个保法第17条第1款第2项也规定个人信息处理者应当告知信息的保存期限,且根据第19条的规定,该期限指“实现处理目的所必要的最短时间”。但是,由于现实中政府工作进展的不确定性,在进行告知时可能还无法明确信息的保存期限,例如在疫情防控常态化的背景下,部分防疫信息也可能被长期存储并不定期使用。或许也正因如此,目前政府机关处理个人信息往往缺省了这一内容。例如,笔者在支付宝“健康码”栏目中查询多省市的健康码,一般只显示用于防疫工作,而未告知相关个人信息的保存期限。相比之下,GDPR的可操作性更强,可资借鉴。其第14(2)条(a)项规定,如果无法告知明确储存期限的,应当告知确定保存期限的标准。
5.信息主体享有的权利及对权利的救济
政府在作出一般行政行为时,会告知行政相对人其享有申请听证、陈述申辩等权利,且行政相对人还能够通过提起行政复议或者行政诉讼获得救济。在个人信息保护领域,告知信息主体其所享有的权利及救济权利的途径也是政府告知义务的应有之义。其中,权利主要是指信息主体可以申请对其个人信息采取查阅、复制、更正、补充、删除等措施;根据个保法第50条的规定,个人向政府请求行使权利遭到拒绝的,可以向人民法院提起诉讼,该救济途径应当作为应予告知的内容加以规定。
6.政府告知内容的特别注意事项
政府在履行告知义务时还需注意以下方面:
第一,告知内容因告知时间而异。如前文所述,告知的时间节点包括处理个人信息前、告知的内容变更时和特殊情况发生后。处理个人信息前和特殊情况发生后的告知内容应当尽可能全面详尽,而当政府因告知的内容变更另行告知时则不必面面俱到,而应列明变更的原因、变更的内容、该种变更将对信息主体产生的影响以及信息主体可以寻求救济的方式,否则这些重要信息将淹没在众多告知同意条款之中,反而有悖补充告知的本意。
第二,告知内容因告知方式而异。部分告知方式无法全面展示告知的内容,在特定场景下,只能按轻重缓急有所取舍,而且每一告知的内容也无需详尽周到。最为典型的就是图像监控和身份识别场景中的告知。当信息主体进入以监控设备为圆心的特定半径内或者靠近身份识别装置时,设备就能实时采集图像或识别身份,因此只有醒目的提示才能即时起到告知的作用,此时冗长的告知内容反而低效无用。当然,这并不意味着政府告知义务的弱化,因为告知方式之间不是互斥关系,政府还可以通过提前发布公告等方式进行统一说明,比如《道路交通安全违法行为处理程序规定》第16条第2款就规定,“固定式交通技术监控设备设置地点应当向社会公布”。为让告知对象了解统一说明的内容,还应当为告知对象指明了解详细告知的途径,如《告知同意指南》建议在显著醒目告知的同时告知获取更多相关信息的途径,可以通过“详情请参见”的方式引导告知对象查看更为详尽的告知内容。
第三,告知内容因信息类型而异。正如个保法第28条规定,敏感个人信息一旦遭到泄露或者非法使用,将造成人格尊严受损或者人身和财产安全危机,一般认为,应当对一般信息和敏感信息进行区分保护,从而平衡个人权利的保护与个人信息的利用。考虑到敏感信息被泄露或滥用将带来更大危害,在遵循比例原则和利益衡量原则的基础上,政府应当为敏感个人信息提供更为坚实的保护,并通过区分保护的方式降低行政成本,为收集敏感信息设置更为严格的必要性和目的限制要求,相关告知的内容也应增加处理该类信息的必要性以及对个人权益的影响等内容,并且一般应当获得信息主体的同意。
例如,人脸信息具有唯一性和不可更改性,属于敏感个人信息中的生物识别信息,而且是生物识别信息中社交属性最强、最易采集的个人信息,一旦泄露将对个人人身财产安全造成极大危害,甚至可能威胁公共安全。因此,政府机关在处理人脸信息时,必须还要遵守个保法第二节关于敏感个人信息的处理规则。此外,2021年4月23日公布的国家标准《信息安全技术 人脸识别数据安全要求(征求意见稿)》中也对政府机关合法合规处理人脸信息提供了具体指引。根据个保法和上述国家标准(征求意见稿)的规定,除非法律法规另有规定,政府机关在收集人脸识别数据时,应向数据主体告知收集目的、收集人脸信息的必要性及对个人权益的影响、数据类型和数量、处理方式、存储时间等规则,并征得数据主体的明示同意。只有在非人脸识别方式安全性或便捷性显著低于人脸识别方式(如机场、火车站进行人证比对等)情况下,方可开展人脸验证或人脸辨识;人脸识别数据不应用于除身份识别之外的其他目的,如评估或预测数据主体工作表现、经济状况、健康状况、偏好、兴趣等情况。原则上不应使用人脸识别方式对不满十四周岁的未成年人进行身份识别。应同时提供非人脸识别的身份识别方式,并提供数据主体选择使用。此外,还应提供安全措施保障数据主体的知情同意权。
(四)政府机关可以不履行告知义务的例外情形
政府机关处理个人信息一般必须履行告知义务,但是,政府告知义务也存在着例外情形。对此,个保法做出了较为全面的规定,其在第18条和第35条规定,法律、行政法规规定应当保密或不需要告知的,或者告知将妨碍履行法定职责的,可以不予告知。我们认为,在政府处理个人信息中,“应当保密”主要指在涉及国家秘密的情况下,应当遵守保密规定,可以不予告知。“不需要告知”是从行政活动合目的性以及行政效益原则出发,尽量减少不必要的告知,至少包含以下两种情形:其一,政府内部基于同一处理目的的信息交流和共享。在同一目的下,接收个人信息的政府机关相当于原机关的延伸,个人信息并未落入其他主体手中。不过,这要求处理目的务必明确、具体,否则告知义务将名存实亡,毕竟所有行政机关都可以通过“公共管理”的目的串联起来,使个人信息在行政机关间被任意传输并用于履行各类职能。其二,政府委托其他组织处理个人信息时,与受托方间的信息交流。根据个保法第59条,受托人应协助政府履行告知义务。便利起见,可由受托人告知,但受托人应当披露背后的“个人信息处理者”。基于该委托关系的个人信息传输,并未超出个人基于原有告知内容产生的预期,因此无需重复告知。“妨碍履行法定职责”的风险常见于司法、执法活动中,譬如针对技术侦查等行为,一般不履行告知义务,否则将给个人隐匿、销毁证据提供巨大便利。但是,这一例外是可转化的,在职责履行完毕之后,妨碍履职的可能性便不复存在,如证据已经固定,再予告知并不会导致证据的灭失损毁,也不会阻碍后续的司法、执法进程,此时政府应当补充履行告知义务,以起到提示、及时启动救济程序的效果。
(五)违反告知义务的法律后果和救济
一般认为,政府机关处理个人信息违法侵权的法律责任不同于私法主体,这在GDPR中也有体现,例如,高额的罚款就不适用于行政机关。我国个保法第七章规定的法律责任也更多是针对私法主体的,比如,第66、71条规定了违反个保法规定处理个人信息的行政处罚,第68条针对国家机关不履行个人信息保护义务和相关工作人员违法用权规定了法律责任,第69条规定了适用归错推定的侵权损害赔偿责任。我们认为,这一安排的本意在于:部分政府机关兼具个人信息处理者和履行个人信息保护职责的部门两种身份,在“一般+特别”的模式下,政府作为前者违法处理个人信息适用第66、69、71条,而作为后者履职不当将受到第68条的处罚。然而,第66、69、71条很难适用于政府的违法信息处理行为,第68条作为对政府机关的唯一专门规定,又只规定了内部行政责任和刑事责任,正式实施的个保法虽然较草案增加了个人行使权利遭到拒绝时的起诉权,但对抗政府不履行告知义务最为重要的行政复议和行政诉讼以及国家赔偿制度都付之阙如。所以,现行个保法规定非常不利于监督行政机关履行告知义务以及信息主体进行权利救济。信息主体可能的救济途径是间接借助行政公益诉讼制度。虽然个保法第70条规定的公益诉讼是否涵盖行政公益诉讼尚不明确,但我国的检察机关已经在积极试点探索个人信息保护领域内的行政公益诉讼制度。截至目前,全国已有25个省级人大常委会作出关于加强检察公益诉讼工作的决定,其中有19个省份明确要求检察机关积极稳妥开展个人信息保护领域公益诉讼。2021年4月22日,最高人民检察院发布了个人信息保护公益诉讼典型案例,其中就有6起属于行政公益诉讼案件。其中,在江西省乐安县人民检察院督促规范政府信息公开行政公益诉讼案中,针对行政机关在履行政府信息公开职能时泄露不应公开的公民个人信息的情形,检察机关通过制发诉前检察建议,依法督促行政机关履职整改,保护公民个人信息安全。笔者认为,非常有必要通过法律解释的方法,结合行政诉讼法的规定,认定个保法中的公益诉讼包含了行政公益诉讼,即国家机关不履行法律、行政法规规定的个人信息保护义务致使众多个人权益被侵害的,检察机关可以依据《行政诉讼法》第25条规定提起行政公益诉讼。这主要是基于以下几方面理由:第一,大数据时代对个人信息的侵害主要以“大规模”为表现形式,当不特定多数人的个人信息权受到侵害,庞大的个体利益聚合足以使个人权益上升到社会公益的高度;第二,个人信息所具备的识别功能服务于社会交往,个人信息被泄露或者滥用都将影响社会秩序和安全;第三,政府信息处理行为关涉的信息主体数量庞大,政府组织与信息主体之间的实力又过于悬殊,由代表社会公共利益,且具有很强专业优势和举证能力的国家检察机关提起公益诉讼不仅更高效和经济,极大弥补个人维权的不足,也有利于监督依法行政。
概括而言,在数字政府时代,政府机关已经成为极为重要的个人信息处理主体,必须受到法治原则的约束,其处理个人信息的活动同样需要具有明确的正当化依据,应以履行法定职责为必要条件,遵循严格的目的限定要求。已经生效实施的个保法虽然在政府机关处理个人信息方面已经作出了一些规定,但对政府机关处理个人信息这一信息行政事实行为的公法特性认识和关注不足,尚未针对政府机关处理个人信息制定有足够针对性的体系化规则,例如,并未针对政府处理个人信息的告知同意的特殊性制定细化规则;在政府违反相关规定的法律责任和权利主体的救济制度等方面的规定也较为粗疏。告知义务是政府机关处理个人信息应履行的前提性核心义务,其既是个人信息自决权的具体表达,也是个人信息受保护权发挥基本权利防御功能的前提,同时还是制约政府信息权力和预防侵权风险的程序工具。本文针对政府机关处理个人信息的告知义务,从公法理论基础和具体制度建构两方面进行了较为体系化的探讨,强调了告知义务的宪法价值和控权功能以及告知义务制度的公法建构,希望能为将来制定政府机关处理个人信息的具体规则提供智识参考。
(喻文光,中国人民大学法学院副教授,未来法治研究院研究员;郑子璇,中国人民大学法学院2018级法律硕士。)
Abstract:In the construction of digital government,the protection of personal information plays an extremely important role.The duty to inform is a prerequisite core obligation that the government should fulfill in processing personal information,a concrete expression of the right to self-determination of personal information,and a prerequisite for the right to protection of personal information that works as a fundamental right to defense the intrusion from the government,as well as a procedural regulatory tool to restrain the government’s information power and prevent the risk of infringement.As the rules on the processing of personal information and the duty to inform have both the nature of public law,the government’s processing of personal information is also public law in nature,especially because of the constitutional value and power-control function of the duty to inform,the system construction of the duty to inform cannot be copied from the rules applicable to private subjects,but should be tailored to the public law characteristics of the government’s processing of personal information,overcoming the shortcomings of the current rough and fragmented legislation,and set up a systematic regulation based on the public law in term of the legal subject,procedure,content,consequences of obligation violations and legal protection.
Keywords:Protection of Personal Information;Government’s Procession of Personal Information;Duty to Inform;Theoretical Basis;System Construction
(责任编辑 陆海娜)