王锡锌:行政机关处理个人信息活动的合法性分析框架

选择字号:   本文共阅读 957 次 更新时间:2022-06-03 17:43:14

进入专题: 个人信息  

​王锡锌  
例如程序正当原则。具体到行政机关处理个人信息的行为,虽然在法律属性上,该种行为属于行政行为,但行政机关处理个人信息的行为与其他行为往往在同一个程序之中,并与其他行为竞合。例如,在治安管理处罚程序中,对违法行为人的调查、取证行为,与公安机关处理个人信息行为处于同一个程序中,存在着竞合;同样,在给付行政中,行政机关作出决定之前对申请人个人信息的处理行为,既是行政决定的过程环节,又属于处理个人信息的行为。在这种竞合情形下,行政机关处理个人信息的行为,应适用何种法律规范?

   行政行为的程序规则主要从行政行为过程的时间、空间、步骤等要素展开。例如,在治安管理处罚的一般程序中,程序规则从时间维度展开,对步骤、环节、方式等要素进行规定。公安机关对涉嫌违法的行为人进行调查时,需要表明身份、告知其可能涉嫌的事由、告知当事人权利等;在行政执法“三项制度”实践中,还要求对调查过程全程录音、录像、公开执法结果等。上述程序规则是对治安管理处罚行为的程序要求。但这一过程同时涉及公安机关为履行法定职责而处理个人信息的行为。调查行为既是行政处罚行为的一个程序环节,又涉及独立的处理个人信息的行为。那么,调查行为是否可以吸收处理个人信息的行为?笔者认为,行政调查行为不应吸收处理个人信息的行为。因为,调查行为与处理个人信息的行为在法律上构成不同的行政行为,受不同的法律规范调整,二者也涉及不同的权利义务。行政调查取证程序的主要目标是保障处罚决定所需的事实、证据,程序规则所追求的价值目标是调查权的有效行使与程序公平之间的平衡;而行政机关处理个人信息行为的程序保护,在于保障个人信息权益,规范行政机关的个人信息处理活动。而且,行政机关处理个人信息的行为,不仅包括个人信息的采集,还包括采集后对信息的分析、共享、存储等行为。因此,在涉及到个人信息处理的行政调查行为中,行政调查行为作为行政处罚的一个环节,应当受专门的行政法规范调整;但同时,调查行为中涉及到行政机关处理个人信息的活动,也应当受《个人信息保护法》调整。

   (二)程序规则的提炼

   行政机关处理个人信息行为的程序规则,在法律上表现为行政机关处理个人信息行为中行政机关与个人之间的程序权利义务配置。虽然《个人信息保护法》并没有对行政机关处理个人信息的程序作出规定,但我们可以通过对法律所规定的程序性权利义务的配置的分析,提炼出程序规则的基本要求。

   《个人信息保护法》第四章规定的“个人在个人信息处理活动中的权利”,也就是通常所说的“个人信息保护权利束”,本质上是一种工具性、程序性的权利。这些程序性权利具有参与、表达、竞争、监督等功能。在行政机关处理个人信息的活动中,法律对个人信息处理规则的设定以及个人信息权利束的展开,共同构成行政机关处理个人信息活动中的程序要求。值得注意的是,由于行政机关在不同场景下处理个人信息活动的强制性、技术性、应时性、复杂性存在差异,不同行政领域所对应的程序性权利并非完全一致,这些权利也并不是在任何场景下都属于个人的固有权利,其并不必然可以行使。以下就代表性的程序性权利展开论述。

   1.告知程序

   《个人信息保护法》第35 条规定,“国家机关为履行法定职责处理个人信息,应当依照本法规定履行告知义务”。该条的告知义务的内容,指向《个人信息保护法》第17 条的规定,包括:(一)个人信息处理者的名称或者姓名和联系方式;(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;(三)个人行使本法规定权利的方式和程序。从上述规定看,告知程序是行政机关处理个人信息行为的启动环节。另外,第23 条第一句规定:“个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。”

   尽管法律对告知的方式并未作出明确规定,但是考虑到告知程序对行政行为合法性的重要性以及发生争议时获取证据的需要,这种告知义务原则上应当以书面方式作出,或者制定统一的个人信息处理规则,告知处理信息的具体目的、范围、方式以及个人行使其权利的方式和程序等事项。

   2.同意程序

   前文已经指出,行政机关履行法定职责情形下处理个人信息,不需要个人同意;且个人同意不应成为行政机关处理个人信息的正当性基础。但是,应当注意的是:作为行政机关处理个人信息之“正当基础”的“同意”,与一些场景中行政机关在依职权处理个人信息程序中的“同意”并非同一问题。前者涉及的是权责基础,即行政机关是否有权处理个人信息的问题;后者涉及的是程序规则,即行政机关在有权处理的前提下,如何处理个人信息的程序安排。在行政机关基于职权职责处理个人信息的过程中,个人对处理个人信息的方式、内容等依法享有的“同意”权利,是其对行政机关“如何处理”个人信息的参与性、制约性的程序权利。一方面,“同意”这一程序要素在行政机关处理个人信息活动中并不具备普遍性,仅仅在特定场景中针对特定的信息处理形式适用,并往往由法律进行专门规定与个别化列举。另一方面,在这类场景中,同意程序所指向的个人信息处理的范围和程度,依然是由“履行法定职责所必需”所决定的;如果信息处理活动超出了法定职责的授权范围,或者虽符合形式上的权限要求却超出了权力行使的必要限度,哪怕有个人的同意也无法豁免行政机关违法处理的责任。不难想象,如果认为“同意”不仅是程序要素而是一项完全独立的合法性基础,将使得行政主体可以无视法律规定而自行同私主体合意展开个人信息处理活动,这无疑将造成行政权力的私人化乃至寻租,损害行政权力行使的公共性。由此,“履行法定职责所必需”对于正当化处理行为而言最为根本,也最为重要,是对行政机关个人信息处理行为进行合法性判断的核心内容与根本要素。也就是说,“同意”在行政机关处理个人信息活动中不具备普遍性、独立性、决定性、根本性的特征,只是特定场景下的程序要素。以下就同意程序在一些特定处理场景中的适用作简要展开。

   比如,在行政机关运用算法处理个人信息进行“自动化决策”的情形中,个人是否享有决定权?《个人信息保护法》第24 条规定:“通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。”从体系解释角度看,该条规定应该也适用于行政机关履行法定职责处理个人信息的情形。在电子化执法、福利行政申请的处理、疫情防控中利用自动化处理技术而作出决策的“码治理”等情形中,都会涉及到行政机关通过自动化决策方式作出对个人权益有重大影响的决定,个人应有权拒绝行政机关仅通过自动化决策方式而作出决定。也就是说,在这种场景中,个人对行政机关仅通过自动化决策的方式作出决定,应享有“不同意”还需注意的是,《个人信息保护法》第25 条规定:“个人信息处理者不得公开其处理的个人信息,取得个人单独同意的除外。”这一规定是否适用于行政机关为履行法定职责处理个人信息?从规范的体系解释看,特别是结合《政府信息公开条例》的规定,可以发现:虽然行政机关为履行法定职责处理个人信息,无需以个人同意作为处理信息的正当基础,但这并不必然意味着其公开个人信息在程序上必然无需获得个人同意。根据《政府信息公开条例》的规定,政府信息如果涉及到个人隐私的,行政机关一般不得公开,除非当事人同意或涉及重大公共利益。58根据体系解释,《政府信息公开条例》中的“同意”也应当理解为“单独同意”。

   3.说明理由

   行政机关履行法定职责处理个人信息,对其处理个人信息的法定职责、目的、用途、范围、处理信息的方式负有说明义务。说明理由的义务与告知义务有重叠,比如告知职责依据、目的、方式、必要性等,既是告知,也往往是在程序交互中说明个案中处理行为之正当理由。但二者在一些场景中也有程序设计上的不同。例如,通过自动化决策方式作出对个人权益有重大影响的决定,行政机关应当说明理由,个人也有权主动要求个人信息处理者予以说明;处理个人敏感信息的,处理者应当主动向个人告知处理敏感个人信息的必要性以及对个人权益的影响。

   4.查询、更正

   在行政机关履行法定职责处理的个人信息活动中,个人是否享有查询、更正的请求权?对这个问题的讨论,需要结合《个人信息保护法》的规定、相关法律和行政法规的专门规定。《个人信息保护法》第四章规定的“个人在个人信息处理活动中的权利”,包含了查询、复制、更正、删除等权利。这些权利是否可以适用于行政机关为履行法定职责处理个人信息的活动?从规范的体系解释和逻辑解释角度看,回答是肯定的。《个人信息保护法》第33 条规定:“国家机关处理个人信息的活动,适用本法;本节有特别规定的,适用本节规定。”从规范逻辑看,“特别规定”并没有完全限制个人在个人信息处理活动中的权利。进一步,行政机关履行法定职责处理个人信息的活动,也受到其他专门法律的调整,查询、更正的权利可以通过专门法律得到对应的具体化。《个人信息保护法》第72 条规定:“法律对各级人民政府及其有关部门组织实施的统计、档案管理活动中的个人信息处理有规定的,适用其规定。”据此,在统计、档案管理、政府信息公开等法律规范中,个人对行政机关处理的涉及其本人的信息,具有查询权;如果个人认为其信息有错误,有权要求行政机关予以更正。例如,《政府信息公开条例》规定,个人对政府信息中有关个人信息的内容,有权要求更正。同样,在我国《政府信息公开条例》第15条规定:“涉及商业秘密、个人隐私等公开会对第三方合法权益造成损害的政府信息,行政机关不得公开。但是,第三方同意公开或者行政机关认为不公开会对公共利益造成重大影响的,予以公开。”社会信用体系制度中,个人对有关其个人信用信息有权要求查询、修复。

   六、行政机关处理个人信息行为的法律责任

   行政机关为履行法定职责处理个人信息的行为,涉及到行政权—相对人权利关系。此处的相对人权利,主要是个人信息上所承载的权利和利益,包括宪法上的人格尊严、平等、通信秘密;民法上的个人隐私、人格权等;以及行政法上的权益,如知情、同意、查询等程序性权利。行政机关处理个人信息行为的法律责任,也就是行政机关履行法定职责处理个人信息行为侵害个人信息权益所应承担的法律责任。

   《个人信息保护法》第66条对违法处理个人信息的行为、处理个人信息未依法履行个人信息保护义务的违法行为,设定了行政处罚责任、信用监管责任、侵权赔偿责任三种法律责任形式。行政处罚责任包括警告、没收违法所得;对违法处理个人信息的应用程序,责令暂停或者终止提供服务;罚款、从业禁止等形式。第67条规定了信用惩戒责任。第69条规定了民事侵权赔偿责任。对行政机关违法处理个人信息或者未履行个人信息保护义务的,是否可适用上述法律责任机制?

   如前所述,《个人信息保护法》主要聚焦于非公共机构处理个人信息的活动;尽管法律也规定“国家机关处理个人信息的活动,适用本法”这一适用原则,但《个人信息保护法》规定的法律责任机制,显然难以直接适用于行政机关处理个人信息的行为。

我们可以从规范和逻辑两个维度对此略作分析。从规范维度看,《个人信息保护法》第68 条规定:“国家机关不履行本法规定的个人信息保护义务的,由其上级机关或者履行个人信息保护职责的部门责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分。”该条对国家机关处理个人信息的违法行为设定了专门的法律责任机制,也就是行政内部责任。从逻辑维度分析,对国家机关违法处理个人信息的行为,责令停业、罚款处罚实际上是无法适用的。在我国行政法上,责令停业主要针对企业违法行为的纠正。对行政机关,(点击此处阅读下一页)

    进入专题: 个人信息  

本文责编:admin
发信站:爱思想(http://www.aisixiang.com),栏目:天益学术 > 法学 > 民商法学
本文链接:http://www.aisixiang.com/data/134387.html
文章来源:《比较法研究》2022年第3期

0 推荐

在方框中输入电子邮件地址,多个邮件之间用半角逗号(,)分隔。

爱思想(aisixiang.com)网站为公益纯学术网站,旨在推动学术繁荣、塑造社会精神。
凡本网首发及经作者授权但非首发的所有作品,版权归作者本人所有。网络转载请注明作者、出处并保持完整,纸媒转载请经本网或作者本人书面授权。
凡本网注明“来源:XXX(非爱思想网)”的作品,均转载自其它媒体,转载目的在于分享信息、助推思想传播,并不代表本网赞同其观点和对其真实性负责。若作者或版权人不愿被使用,请来函指出,本网即予改正。
Powered by aisixiang.com Copyright © 2022 by aisixiang.com All Rights Reserved 爱思想 京ICP备12007865号-1 京公网安备11010602120014号.
工业和信息化部备案管理系统