王锡锌:行政机关处理个人信息活动的合法性分析框架

选择字号:   本文共阅读 957 次 更新时间:2022-06-03 17:43:14

进入专题: 个人信息  

​王锡锌  
其所对应的是行政监管机构的监管责任和行政处罚,包括责令改正、罚款等。如果私人机构违法处理个人信息侵害个人信息权益,则需要区分被侵害的权益的性质,分别引入相应的救济机制。例如,侵害个人信息民事权益并造成损害,适用民事侵权赔偿责任;侵害个人信息权利束中的知情、决定、查询、复制、删除等“工具性权利”,适用行政监管和执法责任。

   (二)行政机关处理个人信息行为的行政法约束框架

   承前所述,行政机关处理个人信息行为的“行政性”,使其区别于私人机构处理个人信息的行为。在法律性质上,行政机关处理个人信息的行为属于行政行为,具有公共性、高权性、强制性、单方性。在数字化行政日益普遍化的国家治理背景中,无论是秩序行政、分配行政还是服务行政等,都依赖对个人信息等数据的处理。因此,行政机关为实现行政目的,通过行使职权、履行职责而进行的个人信息处理活动,具备行政行为的典型要素和特征,应纳入行政行为法的约束框架。在数字化行政时代,“数字国”与“行政国”呈现出日益结合的态势;面对此种态势,唯有强化对依法行政原则的坚守,才能对“数字赋能”的行政权进行有效约束。

   行政法上对行政行为的法治约束,主要从行政行为的合法性维度展开。无论是学理上,还是在对行政行为进行司法审查的实践中,行政行为合法性的法治化约束机制主要从行为主体、权限、内容、程序等维度展开。对行政机关处理个人信息行为的合法性评价,同样应当从上述维度展开。

   应当看到,这里存在两个递进的逻辑:第一,行政机关处理个人信息的行为在法律上属于行政行为,故应当受到行政行为法意义上的合法性控制;第二,行政机关处理个人信息的行为,又属于《个人信息保护法》意义上的处理个人信息的活动,因此也要受“保护个人信息权益”这一法益保护目标的约束。在这个意义上,《民法典》《个人信息保护法》等法律中专门规范设定的、有关保护个人信息权益的原则和规则,对行政机关处理个人信息活动的合法性评价,提供了法秩序统一意义上的“合目的性”标准。可以认为:行政机关处理个人信息的活动,受到行政行为法(一般法)、个人信息保护法(特别法)的双重约束;前者围绕“行政权力活动的合法性”展开,后者围绕“保护个人信息权益”而展开。

   三、权限合法性分析:行政机关处理个人信息的权责基础

   (一)个人“同意”是否构成行政机关处理个人信息的正当基础?

   《个人信息保护法》第13条规定了个人信息处理活动的“正当基础”(legitimate basis)。该条将“知情—同意”作为个人信息处理活动正当基础的“默认规则”,同时也规定了“同意”的例外情形,其中包括“为履行法定职责或法定义务所必需”。那么,该条所规定的“个人同意”是否可作为行政机关处理个人信息的正当基础?换言之,在行政机关具有法定权责、但不行使该种法定权责的情形下,可否以“个人同意”作为处理个人信息的正当基础?

   回答应当是否定的。无论是从规范性层面还是从法体系解释层面看,“个人同意”都不应成为行政机关处理个人信息职权行为的正当基础。

   从规范层面来看,首先,行政机关是依法履行公共管理和服务的组织;“执行性”和“公共性”构成行政机关的重要特征。执行性意味着行政机关主要执行立法者的意志,实际上是一个“代理人”(agent),其行为的界限、方式、目的都应当由作为委托人的权力机关来设定。“法无授权不可为”便是对这一委托代理关系的直观表达。公共性则意味着行政机关活动围绕公共利益和公共目标而进行,这种公共职能的实现不应以个人是否同意作为基础,否则就会出现“公共目标”与“个人意志”的错位。其次,在行政机关进行公共管理和服务的场景中,个人信息具有更强的社会性和公共性。比如,传染病流调信息不仅涉及到个人,也涉及到与该个人有时空交集的其他个人。如果行政机关以“个人同意”作为处理个人信息的合法基础,那实际上意味着个人的同意与否可以支配他人的信息。第三,行政机关与相对人在法律上处于不对等地位,对个人构成公法上的不对称权力优势,在这种权利义务结构中,“个人同意”的真实性、自主性存在很大的“折扣”,甚至出现“同意的乌托邦”。因此,“法定性”应成为行政机关处理个人信息的法律属性,这是“权责法定”原则的逻辑延伸。除非法律、行政法规作出明确的例外或者相反规定,否则行政机关只能基于明确的“法定职责”而处理个人信息。但这种例外和相反规定,依然是在行政法治框架下的具体设定。例如行政机关为应对突发事件而处理个人信息,依然是基于法定职责,只不过对职责明确性、手段合比例性、程序正当性有一些相对特殊的要求。在这个意义上,“履行法定职责”可以吸收《个人信息保护法》13条第4项[“为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需”(如应急管理)]、第6 项[“依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息”(如行政统计)]等代表性的行政活动场景。在体系解释维度,各条文之间可以相呼应、融贯,维护“履行法定职责”之核心功能,形成对“履行法定职责”的整全性理解。

   (二)如何理解“法定职责”?

   《个人信息保护法》第34 条规定:“国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度。”在该条中,“为履行法定职责所必需”既构成行政机关处理个人信息的权责基础,又构成对其处理个人信息行为的范围和限度的控制。因此,明确“法定职责”的规范内涵至关重要。

   1.行政机关的职责、职权、职能辨析

   行政法上所讲的行政机关“职责”,指特定的行政机关针对具体的对象和事务所负有的特定“义务”。37在规范层面,职责概念常见于“三定方案”。在我国,“三定方案”是行政机关及其机构组织法意义上有关职责、机构、人员的底层架构。例如,中央编办关于国家疾控局的“三定方案”的第3 条规定:“本规定确定的主要职责、机构设置、人员编制等,是国家疾病预防控制局机构职责权限、人员配备和工作运行的基本依据。”第4 条则规定了该机构的“职责”。这些职责是国家疾控局主要的管理事务范围。从法律上看,职责也表现为对事的管理职权。例如,《中华人民共和国传染病防治法》(以下简称“《传染病防治法》”)第18 条规定,“各级疾病预防控制机构在传染病预防控制中履行下列职责”,包括实施传染病防治规划、计划,传染病监测、预警,传染病流行病学调查,实验室检测、鉴定,免疫规划、健康教育等“职责”;而这些职责其实构成疾控机构的“事权”。

   与行政机关的职责相关,还有职权、职能等法定概念。那么,行政机关的职责与职权、职能有何不同?从逻辑上讲,行政机关的权和责相互对应、相互联系,甚至相互交织,也就是权责统一、权责相应。职责是任务和目的,职权是手段;二者结合,共同服务于行政职能的实现。从我国法律规范层面看,职权、职责、职能并没有明确区分。例如,《中华人民共和国国家赔偿法》(以下简称“《国家赔偿法》”)对国家机关侵权行为的界定,是从“职权”角度进行界定的。该法第2 条规定:“国家机关和国家机关工作人员行使职权,有本法规定的侵犯公民、法人和其他组织合法权益的情形,造成损害的,受害人有依照本法取得国家赔偿的权利。”《中华人民共和国政府信息公开条例》(以下简称“《政府信息公开条例》”)在界定政府信息时,用的是“管理职能”概念。该条例第2 条规定:“本条例所称政府信息,是指行政机关在履行行政管理职能过程中制作或者获取的,以一定形式记录、保存的信息。”

   国务院推行的政府“权责清单”制度中,也将职权、职责概念在相同意义上使用。因此,《个人信息保护法》第13 条、第34 条中的“法定职责”概念,应当理解为包括职责、职权和职能。从依法行政层面看,行政机关履行法定职责、实现管理职能,必然需要行使行政职权;在此意义上,从“职权”角度切入来理解和界定“法定职责”,其实更容易判定行政机关实施行为的权力基础和主体资格,也更有利于对该种行使行政权的行为进行合法性、合理性评价和控制。

   2.何为“法定”?

   无论是职权还是职责,依法行政原则首先要求“权责法定”。何为“法定”?这一问题涉及到配置和设定行政机关权责的法规范依据。广义的“法”涵盖了多种规范渊源,包括法律、行政法规、中央部门规章、地方性法规和地方政府规章等,甚至还有大量的规范性文件。《个人信息保护法》所规定的“法定职责”中的“法”到底应如何界定?这个问题涉及到行政机关处理个人信息的正当性基础。对此,有学者持广义的理解,认为应包括所有的与上位法不抵的规范性文件。

   笔者认为,对《个人信息保护法》规定的“法定职责”中“法定”的理解,需要遵循“法律保留”原则。也就是说,需要根据“为履行法定职责”而处理个人信息所限制的个人权益的性质和确立这些权益的法律规范的位阶,相应地界定设定行政机关“职责”的法规范的位阶。据此逻辑,首先应当考虑的是:法定职责所限制的个人信息权益是什么?从《个人信息保护法》的规定看,行政机关为履行法定职责而处理个人信息,所限制的是个人对其信息处理活动的“决定权”;而该项权利是在《民法典》《个人信息保护法》等法律层面设定的。因此,限制这项权益的“法定职责”的规范依据,应当与设定该权益的规范处在“同一”法律位阶。也就是说,对“法定职责”中的“法”,应当坚持法律保留原则。

   《个人信息保护法》第34 条规定:“国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度。”这里,“应当依照法律、行政法规规定的权限、程序进行”,可以理解为《个人信息保护法》通过授权,将“法定职责”扩展到包括法律、行政法规规定的职责之范围,即立法者通过法律将部分权限授权给行政法规。此种授权依然是在法律保留原则的指引下展开的。

   法律保留原则主要包括组织法和行为法两个层面。组织法是行政机关架构的基本法律,对各级行政机关的职权、职责提供了统一的结构性设定。地方特色、地方需要等因素,不应损害组织法对行政机关职权职责的基本结构安排。在这个意义上,不同的行政部门、不同的行政层级,虽然可以对法定的职权、职责做技术性优化,但不能在没有法律规定或者授权的情况下自我赋权。这就是说,在组织法意义上,行政机关的法定职责必然受到地方各级人民政府组织法的限制,并通过特定领域的法律而进行横向与纵向的权责细化。相较于组织法,法律保留应更加强调行政机关对外活动的行为法依据,尤其是手段意义上的“职权”的法律保留。组织性法律保留主要涉及的是内部权责配置;对于具体的行政行为的控制而言,更需要依赖行为的规范依据。

   坚持狭义的法律保留原则,也有助于抑制现实中行政机关自我赋权的冲动,防止其通过自我赋权扩张职权职责,过度处理个人信息。如果各种行政性规范都可以通过自我赋权的方式而设定“法定职责”,那么《个人信息保护法》第34 条所规定的“不得超出履行法定职责所必需的范围和限度”就会被架空。在很多情况下,由于不存在对应的“上位法”,“不抵触”标准实际中很难适用。例如,在疫情防控中,一些地方政府和部门为了规避责任,通过各种“土政策”层层加码,过度处理个人信息,过度采取管控措施,其依据都是通过各种“土政策”而自我设定的疫情防控职责。

   四、内容合法性分析:必要性分析如何展开?

《个人信息保护法》第13 条、第34 条都规定了“为履行法定职责所必需”。这一规定的逻辑是:行政机关为了履行法定职责,(点击此处阅读下一页)

    进入专题: 个人信息  

本文责编:admin
发信站:爱思想(http://www.aisixiang.com),栏目:天益学术 > 法学 > 民商法学
本文链接:http://www.aisixiang.com/data/134387.html
文章来源:《比较法研究》2022年第3期

0 推荐

在方框中输入电子邮件地址,多个邮件之间用半角逗号(,)分隔。

爱思想(aisixiang.com)网站为公益纯学术网站,旨在推动学术繁荣、塑造社会精神。
凡本网首发及经作者授权但非首发的所有作品,版权归作者本人所有。网络转载请注明作者、出处并保持完整,纸媒转载请经本网或作者本人书面授权。
凡本网注明“来源:XXX(非爱思想网)”的作品,均转载自其它媒体,转载目的在于分享信息、助推思想传播,并不代表本网赞同其观点和对其真实性负责。若作者或版权人不愿被使用,请来函指出,本网即予改正。
Powered by aisixiang.com Copyright © 2022 by aisixiang.com All Rights Reserved 爱思想 京ICP备12007865号-1 京公网安备11010602120014号.
工业和信息化部备案管理系统