喻文光 郑子璇:数字时代政府机关处理个人信息告知义务制度的公法建构

选择字号:   本文共阅读 134 次 更新时间:2022-08-14 09:20:23

进入专题: 个人信息保护   政府机关处理个人信息行为   告知义务理论  

喻文光   郑子璇  

   摘要:  在数字政府的建设中,个人信息保护具有极其重要的地位。告知义务是政府机关处理个人信息应履行的前提性核心义务,它既是个人信息自决权的具体表达,也是个人信息受保护权发挥基本权利防御功能的前提,同时还是制约政府信息权力和预防侵权风险的程序工具。由于个人信息处理规则本身以及告知义务均具有公法属性,政府机关处理个人信息活动亦具有公法性质,尤其是告知义务具有的宪法价值和控权功能,对于告知义务的制度建构不能完全照搬适用于私法主体的规则,而应当针对政府机关处理个人信息活动的公法特性,克服目前粗疏零散的立法弊端,从法律主体、程序、内容、违法后果及法律救济等方面进行体系化的公法建构。

   关键词:  个人信息保护 政府机关处理个人信息行为 告知义务理论 基础制度建构

  

   我国已经进入数字时代,各行各业开启全面数字化,数字政府正在如火如荼地建设。例如,“一网通办”、政务“秒批”“秒办”、身份证“网证”等试点措施,有力促进了政府和社会治理的高效化、精准化和智能化,以及便民服务的智慧化。但不容忽视的是,数字政府系统收集、存储和处理海量的公民个人信息,这些全面、真实、巨量的个人信息一旦遭到泄露或被滥用,不仅威胁个人的人身、财产和信息安全,也可能危害公共安全,甚至危及国家整体安全。可以说,数据安全是数字政府的生命线,个人信息保护是数字经济的底线。[1]因此,在数字化时代,必须加强对政府机关处理个人信息的法律规制,并建构相应的特别规则,因为政府机关处理个人信息主要是为履行法定职责或法定义务,或提供公共服务,其处理个人信息的法律基础,与信息主体之间形成的法律关系以及政府信息处理行为的性质,都不同于私人主体的个人信息处理活动.[2]由此,政府机关处理个人信息的告知同意规则具有其特殊性,不能完全套用私法主体处理个人信息的规则,需要结合其公法特性进行理论和规范层面的法律建构。2021年11月1日施行的《个人信息保护法》(以下简称“个保法”)将私人主体和国家机关处理个人信息的行为一并纳入规范对象,虽然在第二章“个人信息处理规则”专设一节来规定国家机关处理个人信息的行为,但明确规定了“告知同意”规则的一般性适用,只规定了个别的特殊例外,并没有对政府机关处理个人信息的公法特殊性予以充分强调。而理论界对于告知同意规则的反思批判多是由民法学者展开的,主要针对私法主体适用该规则处理个人信息出现的问题,例如该规则的内在缺陷、异化现象、与个人信息社会属性以及大数据经济发展的冲突等。[3]本文则从公法角度出发,聚焦于政府主体处理个人信息的的告知义务,从实践问题入手,阐释理论基础,并结合新实施的个保法,探讨如何从告知义务角度来规制政府这一最大的个人信息处理者,从而有效保护信息主体的合法权益,为数字政府在法治轨道上运行保驾护航。

  

   一、政府机关处理个人信息告知义务制度的现存问题

  

   个人信息处理中的告知是指“将与个人信息处理活动相关信息提供给个人信息主体,使其了解个人信息处理活动的有关规则。”[4]告知是“告知同意”制度的核心组成部分。告知同意制度是指个人信息处理者在收集个人信息之时,应当对信息主体就有关个人信息被收集、处理和利用的情况进行充分告知,并征得信息主体明确同意的制度。[5]告知同意被视为个人信息保护的基石,是个人信息自决权的具体表达。[6]即个人基于自决的理念有权自主决定在什么时候、在什么限度内,关于他个人生活的事实可以被披露。信息自决权就是要保证个人拥有自主决定个人信息是否被披露或被使用的权利。[7]虽然告知同意作为核心规则已在个保法中确立,而且适用于政府机关。但如何具体实施还有很多问题需要探讨,囿于篇幅,本文只探讨其中的告知义务问题。总体来看,政府机关处理个人信息告知义务制度目前无论在法律规范还是在行政实践层面都存在诸多不足。

  

   首先,现行法律规范对政府机关处理个人信息的告知义务还未进行体系化的全面规制并突出政府机关处理个人信息的公法特性。虽然个保法第17条对告知的方式、事项做出了规定,但这是一般性规定,既适用于非政府主体的个人信息处理者,也适用于政府机关;而个保法第35条虽强调了国家机关履行法定职责处理个人信息时应当履行告知义务,但仅对应当保密和告知会妨碍履行法定职责的情形做了除外规定,并未针对政府机关处理个人信息在告知主体、程序、方式、法律责任、救济途径等方面的特殊性做出体系化的、具体细致的特别规定。其他现行相关规定也都较为粗疏。例如,《网络安全法》在第41条只笼统规定,网络运营者应当“公开收集、使用规则,明示收集、使用信息的目的、方式和范围”,但并未明确规定涵盖告知义务各个要素的具体规则以及可能的例外情形。此外,其他现行相关法律对于政府机关处理个人信息的告知义务基本没有作出区别于私法主体的特别规定,即使作出特别规定,也较为零散、可操作性不强。例如,《电子商务法》只有关于政府机关处理个人信息的准用性规范,即规定其应当“遵守法律、行政法规有关个人信息保护的规定”;《民法典》虽然在第111条规定,保护个人信息的义务主体是“任何组织或者个人”,将政府等国家机关也包括在内,但其对于告知义务的具体规定寥寥,也未明确政府与非政府主体在告知义务等个人信息处理规则方面的差异。这些粗略或零散的法律规定在实践运用中会增加政府告知义务的履行难度,减损义务履行和监管的可操作性。

  

   其次,政府在处理个人信息的行政实践中,由于缺乏明确具体的法律规定以及保护公民个人信息的意识,普遍存在着履行告知义务不规范,或者少告知、不告知等问题。据学者研究,较多政府巨型数据库的运作并不公开透明,并未受到法律、行政法规或者规章基于保护个人权利的限制和约束。公民的个人信息经常在毫不知情的情形下被收集、储存、披露或共享,公民的隐私权、人格尊严甚至人身自由等基本权利因此受到侵害,例如,警务工作中的个人信息错误导致错误的拘捕或行政强制措施等。[8]而2020年进行的全国人口普查,因为收集诸多个人敏感信息,如身份证号码和住房情况等,引发广大民众对个人信息保护的疑虑。[9]据笔者亲身经历,普查员入户采集个人信息时,并未使用可以进行数据加密保护的电子化采集设备,而是采取填写纸质表格的方式。此外,普查员既未按照《全国人口普查条例》第23条规定告知人口普查的目的、法律依据和普查对象的权利义务,也未能就笔者提出的关于个人敏感信息的储存期限问题给出回答。再如,当我们通过健康宝小程序进行个人信息扫码登记时,小程序一般仅具有如下提示信息:“您的个人信息将保存于xx市政务云,且仅用于政府防疫追溯及相关工作。扫码登记场所仅显示您脱敏处理后的个人信息。”但并未告知法律依据、信息主体权利义务、信息保存时长等重要内容。

  

   当然,在大数据时代,基于大数据处理的技术特征,政府在某些情形下可能也难以履行告知义务,凸显了大数据利用中个人信息保护的困境。在我国,数据已与土地、劳动力、资本、技术等传统要素并列为五大生产要素,[10]数据要素的高效配置,是推动数字经济发展的关键一环,大数据在社会治理和数字政府建设中发挥了举足轻重的作用。 [11]大数据在各个领域的广泛运用,使得原来个人信息保护的基本规则——告知同意制度受到巨大挑战,因为数据的价值主要在于对原始信息和数据的二次利用与聚合分析,而且会进行匿名化和脱敏处理,此时数据处理者很难再去告知信息主体并取得其同意,若必须在已经高度融合的数据中找出特定个人信息将需要付出极高的成本。而且根据《网络安全法》第42条和个保法第4条,匿名化处理后的信息不再属于个人信息,无需受到个人信息处理规则的约束。但必须指出的是,日新月异发展的数据技术表明,数据匿名化仅仅是一种小数据时代的策略,在大数据时代,不同的数据库互相“撞库”,采用大数据分析技术,找出个人信息并由此拼凑出个人人格画像并非难事。 [12]由此可见,匿名化处理并不能排除个人信息权益受到侵害的风险。如何平衡大数据时代的个人信息合理利用和个人信息权益保护,走出告知同意规则的困境,是立法实践和理论研究必须回应的世界性难题。

  

   若想从根本上解决上述立法和行政实践中的突出问题,并系统建构符合政府机关处理个人信息公法特性的告知义务制度,则需要深入探究政府机关处理个人信息告知义务的理论基础,为制度建构提供理论指导和支撑。

  

   二、政府机关处理个人信息告知义务的公法理论基础

  

   从理论视角考察,与私人主体处理个人信息不同,政府机关处理个人信息具有鲜明的公法属性,这体现在以下四个方面:个人信息处理规则本身具有的“一般禁止、例外许可”的公法属性、政府处理个人信息在行为性质上的公法特征、告知义务具有的基本权利防御功能以及告知义务作为制约政府信息权力的程序工具价值。以下分别阐述:

  

   (一)个人信息处理一般规则的公法属性

  

   我国个保法第13条对个人信息处理的一般规则作了明确规定,即只有符合该法所列举的七种情形,“方可”处理个人信息。GDPR第6条也有相似规定。在法教义学上,该规定属于公法中“附许可条件的一般禁止”,也即,一般情形下是禁止处理个人信息的,只有满足合法情形才可以例外允许。 [13]这明显不同于私法意思自治原则,以及私法领域的基本行为准则——法无禁止即自由。之所以作出这种一般性禁止规定,其根本原因在于个人信息权被视为基本权利,受到宪法和法律以及法律保留原则的严格保护。 [14]实施这种“一般禁止,例外许可”性质的公法上的严格保护的原因又可追溯到历史上各国个人信息保护立法的主要动因,即随着上世纪60年代巨型计算机技术的运用,政府自动化处理个人信息的能力和范围剧增,其建立的巨型数据库能够大规模集中收集和存储和处理个人信息,对公民隐私权造成巨大威胁。为了限制政府滥用信息权力并保护公民的基本权利,欧美各国在上世纪70年代纷纷制定了隐私法或个人信息保护法,如德国黑森州1970年的《个人信息保护法》、瑞典1973年的《个人信息保护法》、美国1973年的《隐私法》等,而且这几部个人信息保护法的规制对象都是政府部门,其主要目的都是规范和限制公共部门对个人数据的收集和使用。 [15]简而言之,个人信息保护法产生的主要原因是为了防御政府收集处理信息对个人基本权利的侵犯。个人信息权也逐步从民事上的隐私权提升为宪法基本权利。 [16]根据法治国家的基本原则,政府干涉基本权利需要有法律的授权和正当性基础。由此,为保护基本权利的个人信息保护规则也就有具有了公法属性,其一般禁止处理个人信息,除非具有合法的例外许可依据。构成例外许可依据的一般是信息主体的同意或法律的授权。即对于私法主体而言,其处理个人信息必须有信息主体的同意或者是为订立和履行合同所必须。而对于政府机关而言,处理个人信息的合法基础则是法律授权,例如为履行法定职责或法定义务,为应对突发公共卫生事件或紧急情况下为保护生命健康和财产等重大法益。告知是同意的前提,也是信息主体知情权的保障,且是所有个人信息处理者必须履行的义务,不具有基于意思自治的协商空间,自然也具有公法属性。

  

   (二)政府机关处理个人信息行为的公法属性

  

不同于电商、网络社交媒体或手机App运营商等私主体对个人信息的处理,(点击此处阅读下一页)

    进入专题: 个人信息保护   政府机关处理个人信息行为   告知义务理论  

本文责编:陈冬冬
发信站:爱思想(http://www.aisixiang.com),栏目:天益学术 > 法学 > 宪法学与行政法学
本文链接:http://www.aisixiang.com/data/135956.html

0 推荐

在方框中输入电子邮件地址,多个邮件之间用半角逗号(,)分隔。

爱思想(aisixiang.com)网站为公益纯学术网站,旨在推动学术繁荣、塑造社会精神。
凡本网首发及经作者授权但非首发的所有作品,版权归作者本人所有。网络转载请注明作者、出处并保持完整,纸媒转载请经本网或作者本人书面授权。
凡本网注明“来源:XXX(非爱思想网)”的作品,均转载自其它媒体,转载目的在于分享信息、助推思想传播,并不代表本网赞同其观点和对其真实性负责。若作者或版权人不愿被使用,请来函指出,本网即予改正。
Powered by aisixiang.com Copyright © 2022 by aisixiang.com All Rights Reserved 爱思想 京ICP备12007865号-1 京公网安备11010602120014号.
工业和信息化部备案管理系统