摘要:加强敏感个人信息保护是政府的责任与义务。政府信息公开中敏感个人信息保护意味着政府机关不仅应履行尊重私人生活、避免干预个人安宁的消极义务,还应通过积极保护,增强个人对抗政府公开敏感个人信息中尊严减损的风险。《个人信息保护法》主要以私人机构处理个人信息活动为场景,建构了处理个人信息活动的规制框架。尽管该法对行政机关与私人机构处理敏感个人信息活动规定了“一体调整”模式,但从公法角度分析,行政机关处理敏感个人信息的活动具有行政性、高权性、强制性等典型的行政行为特征,除了法律上应对敏感个人范围作出合理界定以外,宜加强运用公法的手段与方式予以保护:即限制性原则适用的具象化,告知规则的补强以及公法责任追究机制的引入。
关键词:敏感个人信息;政府信息公开;“一体调整”模式
敏感个人信息保护是随着互联网、大数据的发展而产生的新问题。20世纪60年代末,随着计算机和信息系统的陆续普遍使用,美国与欧洲最早关注到敏感个人信息滥用的问题,在关于数据保护的法律中开始引入并详细规定这一概念,比如美国联邦制定的《消费者数据隐私与安全法令》以及有关州法直接适用“敏感个人信息”,欧盟制定的《一般数据保护条例》中,则将其称为“特殊类型的个人数据”,等等。[1]事实上,因敏感个人信息直接关涉个人尊严和人身、财产安全等重大权益,为了有针对性建立规则予以更好保护,将个人信息划分为一般个人信息和敏感个人信息也确有必要。为此,2021年我国颁行的《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)首次明确了“敏感个人信息”的法律属性及其处理规则,为加强保护提供了较为完备的法律依据。
但政府是个人信息处理的最大平台,大量个人信息被政府采集、处理并公开,无论是秩序行政、服务行政还是公共行政,都越来越依赖对个人信息等数据的处理。[2]而《个人信息保护法》却主要是以规范私人机构处理个人信息活动为对象建立的规制框架,实践已反复证明私权模式不足以防范政府对敏感个人信息的侵犯。[3]特别是近些年在政府信息公开活动中,敏感个人信息屡遭泄露甚至侵犯,相关保护制度亟待建立完善。本文拟从敏感个人信息的概念界定出发,以公法研究的视角“个人信息受保护权—国家保护义务”,就政府信息公开中敏感个人信息保护涉及的相关问题作出初步探讨。
一、敏感个人信息:概念辨析与规范解读
究竟应当给予敏感个人信息以怎样的特殊保护,界定清楚敏感个人信息的内涵与外延至关重要。学理上,对于“敏感个人信息”的表述学界已有基本共识,强调该信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。[4]至于具体判断标准,遍观各国立法实践,主要形成了以欧盟为代表的“列举模式”和以美国为代表的“场景模式”,前者由立法机关主导,依据敏感度和风险性对敏感个人信息作出归类并在法律条文中予以尽量明确;而后者则授予行政机关广泛的裁量权,允许其综合考量处理目的和具体操作情景作出个案判断。以实践效果观之,两种判断模式各有利弊。[5]我国在借鉴比较法经验基础之上,在《个人信息保护法》中作出了折中制度安排,即采取“概括+列举”的方式。
(一)敏感个人信息的内涵
《个人信息保护法》首次正式从法律上采用了“敏感个人信息”这一概念,并建立特殊的处理规则予以保护。而应如何界定“敏感个人信息”的范围,《个人信息保护法》第28条第1款已经明确要求根据个人信息是否关涉人格尊严、人身与财产安全或不满14周岁未成年人进行判断。
首先是基于对人格尊严的保护。与人格尊严紧密相连是敏感个人信息与一般个人信息最明显的区别之一,一旦其被泄露或非法使用,信息主体的人格尊严很容易受到损害。比如,个人性取向的泄露会造成个人在就学、就业等社会活动中遭受不平等对待。
其次是基于对人身、财产安全的保护。一方面,涉及人身安全的信息主要是关涉信息主体生命、健康、身体安全的信息。如果这些信息受到侵害,个人的人身安全很可能也会受到损害,因此将其定性为敏感个人信息。比如,家庭信息一旦被公开,很可能因亲属关系而遭受打击报复,使其人身安全面临重大风险。另一方面,财产权是公民所享有的基本权利,公民的合法财产受到法律保护,敏感个人信息自然也应包括关涉信息主体财产安全的信息。比如,个人贷款情况、征信记录以及银行流水账单等信息被泄露,各种电信诈骗将纷至沓来,严重威胁个人的财产安全。
最后,《个人信息保护法》还将未满14周岁未成年人的所有信息均纳入敏感个人信息的范畴予以特殊保护。这主要是考虑到未成年人心智还未健全,个人信息一旦泄露,很可能被别有用心的人利用来对家长进行威胁或对未成年人直接实施侵害。
(二)敏感个人信息核心特征是敏感性
依据《个人信息保护法》第28条第1款的规定,个人一般信息与个人敏感信息的核心区别在于敏感性,即“一旦泄露或非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息”。尽管囿于语言本身的模糊性和不确定性,学界对于“敏感”一词的意涵存在较大争议,[6]但也达成了一些共识:
一方面,是否会产生损害结果是个人敏感信息判断的重要标识。事实上,对敏感个人信息予以特殊保护很重要的原因就是基于不当披露会对信息主体造成实质意义的不利。[7]通常情况下,个人一般信息的披露是不会对个人造成任何负面影响的,而敏感信息的披露则会对信息主体的利益造成损害,主要包括财产性损害和非财产性损害。《个人信息保护法》第28条已经明确损害人格尊严和财产安全的个人信息就是敏感信息,而前者就是典型的非财产性损害。质言之,如果没有损害的发生,那么与个人相关的信息就不是敏感信息。
另一方面,是否敏感的判定标准较为主观,不同主体的认知是不一样的。尽管理论界与实务界作出种种努力,想就“敏感”一词的内涵作出较为清晰的界定,但囿于“敏感”本身所具有很强的主观性,常常与个人的经历、经验和行为有密切关系,[8]特别是对于非财产性的损害,不同个体的认知并不一样,甚至还可能出现对立的情形。比如个人的婚恋情况,大部分普通人都视其为个人敏感信息,不愿主动披露;而对于部分名人而言,主动披露这类信息却有助于提升其公众关注度。另外从比较法角度而言,大部分国家在立法条文中都回避了对“敏感性”的意涵与特征作出较为明确表述,而只是通过具体列举的方式确定哪些个人信息属于敏感个人信息。[9]因此,《个人信息保护法》第28条也充分借鉴了国外立法经验,具体列举了敏感个人信息的种类,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满14周岁未成年人的个人信息。
(三)政府信息公开与敏感个人信息保护的关系
随着《中华人民共和国民法典》(以下简称《民法典》)《个人信息保护法》《中华人民共和国网络安全法》(以下简称《网络安全法》)等相关法律的颁布,针对敏感个人信息保护的法律制度已经初步建立。但目前的法律制度主要是围绕民事主体间的处理个人信息行为展开设计的,事实上,凭借突飞猛进的数字技术发展,政府建立了庞大的个人信息数据资源库,已经掌握大量个人信息。若不加以规制,存在泄露敏感个人信息的风险。
2008年颁行的《中华人民共和国政府信息公开条例》(以下简称《政府信息公开条例》)第5条规定,“行政机关公开政府信息,应当坚持以公开为常态,不公开为例外”。2024年8月,中共中央办公厅、国务院办公厅印发《关于全面推进政务公开工作的意见》明确要求推进“决策公开、执行公开、管理公开、服务公开、结果公开以及重点领域信息公开”。毋庸讳言,在国家法律与政策的持续推动下,政府信息公开的广度与深度都明显增强。但是在公开过程中因个人信息泄露引发纠纷的案例也明显增多。比如2020年,江西省乐安县农业农村局在县人民政府官方网站“政府信息公开”栏目中公开了四份涉及农机购置补贴情况的政府信息,因未对相关个人信息进行去标识化或匿名化处理,致使多达1044人(次)农户(含部分单位)的个人信息被泄露。[10]值得警惕的是,这起案例也并非孤例,在其他地区也发生过类似的案件,加强政府信息公开过程中敏感个人信息的保护迫在眉睫。
二、涉敏感个人信息政府信息公开中存在的主要问题
《个人信息保护法》将敏感个人信息与个人信息予以区分,用意是加强对敏感个人信息的保护。但因该法的制定主要是由民法学者主导,深受民法思维的影响,[11]因此,在构建的敏感个人信息保护制度框架中,行政机关与其他信息处理者被同等对待,《个人信息保护法》第33条规定,“国家机关处理个人信息的活动,适用本法”。换言之,立法者采取了“一体调整”的立法模式,要求政府机关在履行法定职责过程中处理个人信息时,也应适用个人信息保护法。然而,在政府信息公开过程中,这一制度框架能否发挥预设的保护作用却遭到质疑与挑战,其主要问题集中在以下四个方面。
(一)保护对象不统一:现行法相互之间有抵牾
界定清楚涉及敏感个人信息的政府信息是否应公开、公开多少,是构建完善敏感个人信息保护制度的前提性基础。而这体现的是立法者在公众知情权与个人信息保护的利益衡量中的抉择,但也一直是各国在政府信息公开立法过程中普遍遭遇的难点,“有的国家在政府信息公开法中会对个人信息进行细致的列举规定,有的国家会制定专门的个人信息保护法对需要保护的个人信息范围予以明确”[12]。尽管《个人信息保护法》已经明确对敏感个人信息予以特别保护,但若将其直接适用于政府信息公开活动中却存在制度障碍,根本原因在于现行法律体系之间的抵牾。《政府信息公开条例》是各级政府部门处理政府信息公开活动的直接法律依据,但在其特别保护的对象之中并未包含“敏感个人信息”,而是规定“涉及商业秘密、个人隐私等公开会对第三方合法权益造成损害的政府信息,行政机关不得公开”[13]。同时,《个人信息保护法》第33条、34条又分别规定,“国家机关处理个人信息的活动,适用本法;本节有特别规定的,适用本节规定”“国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限、程序进行”。而按照法体系的解释方法,政府机关在公开涉及个人的敏感信息时,应当优先适用作为行政法规的《政府信息公开条例》。很显然,“敏感个人信息”与“个人隐私”所指代的对象与保护的范围是不同的。关于两者具体的区别,学界的研究也是较为充分的,主要形成了“交叉重合说”“独立区分说”“个人隐私覆盖说”三种观点。[14]
个人隐私与敏感个人信息在内涵与外延上均存在较大差异,并不等同。个人隐私更侧重的是信息私密性属性,“隐”与“私”,在法律上的范围也较为固定;而敏感个人信息强调的是信息处理的特殊要求,即高度的识别性与标识性。因此,虽然两者存在交叉关系,但并非上下位概念或包含与被包含关系。“即有的个人隐私属于敏感个人信息,而有的个人隐私则不属于敏感个人信息;有的敏感个人信息特别是涉及个人私生活的私密信息属于个人隐私(如婚姻状况、身体健康情况等),但也有一些敏感个人信息因高度公开而不属于隐私(如姓名、籍贯等)。”[15]质言之,法律体系对于保护对象规定的不统一造成各地行政机关对敏感个人信息保护的力度的差异。
(二)处理规则模糊:限制性原则理解有歧义
敏感个人信息应当得到严格的保护,《个人信息保护法》第28条第2款规定:“只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。”然而,立法并没有对这些限定性条件作出较为明确的解释,这无疑对于负责个人信息保护工作的机构或个人,在众多复杂多变的场景中精准作出这一判断,颇具挑战与困难。[16]
首先,“特定目的”指向不明确。处理敏感个人信息的目的过于宽泛和模糊都将被认为违法。[17]事实上,其他相关法律中也都有关于目的明确性要求,比如《民法典》1035条、《网络安全法》第41条,等等,但这些法律规定都没有对“目的”的具体要求予以明确,致使信息处理者在具体处理敏感个人信息时,容易产生认知歧义。在政府信息公开活动中,依据《政府信息公开条例》第15条的规定,政府公开公民个人的隐私信息,只能是基于“公共利益”保护的目的。虽然大部分法律、行政法规以及司法解释都在使用“公共利益”一词,但都是作为一个无需甄别的概念直接适用,其内涵与外延并不明确、统一。[18]
其次,“充分必要性”解释不充分。立法上要求“充分必要性”的主要目的在于强调手段与目的的相匹配性,处置敏感个人信息“应当保持最大的克制”[19],防止无限制的个人信息处置,《个人信息保护法》第6条也规定“应当与处理目的直接相关,采取对个人权益影响最小的方式”“收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息”。再就政府机关而言,《个人信息保护法》第34条进一步规定:“国家机关为履行法定职责处理个人信息,……,不得超出履行法定职责所必需的范围和限度。”但现实问题是,很多时候法律对于政府机关的职责职能规定的就较为“模糊、宽泛”,比如仅仅以“公共利益”或“公共安全”等作为履职目标,如此根本就无法依据比例原则对政府部门处理敏感个人信息行为的合法性作出判断。[20]
再者,在政府信息公开过程中,行政机关对于不确定概念享有的裁量权过大。依据《政府信息公开条例》第15条和第32条的授权,行政部门对政府公开信息是否损害个人隐私、是否会损害公共利益以及权利人不同意公开所给出的理由是否合理等享有判断权。但在这些授权条款中,对重要的概念与标准都没有明确规定,比如个人隐私的识别标准、公共利益遭受损害的判断标准以及在第三人不同意公开的情形下,行政部门仍可以基于公共利益需求强制性公开的基本构成要件等。简言之,行政机关对于不确定概念享有过大的裁量权。
(三)保护程序不健全:告知规则的不足
告知同意规则是法律保护个人信息设立的特别制度。而对于敏感个人信息的处理,则在《个人信息保护法》第29条特别规定:“处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。”但同时为保障国家机关高效履职,《个人信息保护法》第35条又规定,国家机关履行法定职责处理个人信息,只承担告知义务。换言之,政府部门依法公开信息时,对于敏感个人信息是不需要单独获取信息主体的同意,告知即可。
然而,基于行政部门处理敏感个人信息具有强制性、单方性、技术性、复杂性等特征,《个人信息保护法》上的有些程序性权利在特定的场景下并不必然能由个人行使。尤其是进入大数据时代以后,面对多主体互联互享、庞大数据汇聚、多样式高频率适用等复杂情形,致使有效告知与同意难度与成本的增加,制度实效虚化,甚至异化。[21]例如,告知的内容与标准很可能不明确。依据《个人信息保护法》第30条规定,信息处理者在处理敏感个人信息之前,不仅要遵循一般告知事项的规定,而且特别要求要告知信息处理的“必要性”和“对个人权益的影响”,同时该法第17条要求“显著方式、清晰易懂的语言真实、准确、完整”。但实际上,这些关于告知内容要求的表述都过于抽象、模糊,致使部分信息处理者为规避风险故意使用专业、抽象、深奥的术语来撰写告知文书,或者告知内容冗长、复杂,其目的均是为了让信息主体因缺乏理解能力和时间而无法做出正确的判断。[22] 同时,《个人信息保护法》也没有明确告知方式,很可能会加大行政机关与个人之间信息不对称的张力,阻碍了信息主体有效阅读、理解相关内容。[23]
(四)保护责任失衡:重事后追责轻事前监督
《个人信息保护法》第66条专门针对违法处理个人信息的行为设立了行政处罚责任、侵权赔偿责任以及信用监管责任三种追责方式。毋庸讳言,这些法律责任机制主要聚焦民事主体违法处理个人信息行为,虽然法律也规定“国家处理个人信息的活动适用本法”,但很显然,这些法律责任规定直接适用政府处理个人信息的行为具有困难。立法者应该也注意到了这个问题,因此在该法第68条又对国家机关的责任进行了补充性规定。
在“一体调整”立法模式下,监督主要采取私法保护模式,即事后损害赔偿救济。整体上讲,私法保护模式的缺陷主要表现在两方面:一方面,若采用民事纠纷机制解决行政机关的信息侵权责任,依据“谁主张、谁举证”的举证原则,就需要由信息利益受到侵害的个人承担举证责任,但由于个人收集证据能力的有限性,充分举证是比较困难的,尤其在大数据时代,数据运用的复杂性与隐秘性特征使得证明行政机关的信息公开行为造成信息主体实质性损害的难度大大增加,依靠个人的力量几乎是不可能做到的;[24]另一方面,重视事后救济赔偿机制的作用而忽视了事前监督机制的建立完善。敏感个人信息事前保护机制的建立完善可以有效保障其使用过程的安全性。通过事前完善的监督体系,可以避免敏感个人信息受到损害,尤其在互联网上,因数据的规模性、集合性特征,一旦发生个人信息侵害事件,通常涉及的人员数量都比较大,若不加以及时制止和纠纷解决,就很容易演变成群体性事件,增大安全防护的成本。
三、公法视角下“一体调整”模式的反思与修正
关于个人信息保护的法律制度,我国在立法上采取了“一体调整”模式。目前,学界对该模式利弊的讨论还是较为充分的,形成了“支持说”“反对说”“折中说”三种观点。“支持说”支持从民法的路径建构保护制度;[25]“反对说”则主张从公法的角度建立保护制度;[26]而“折中说”是在权衡前面两种主张优劣的基础上,提出综合保护路径的观点。[27]事实上,随着数据时代的降临,政府机关拥有了强大的“数据权力(Data Power)”,从功能主义角度思考,仅仅依靠私法是不能够为个人信息尤其是敏感个人信息提供全面、有效保护的,公法理应介入。
(一)个人信息国家义务保护的公法基础
基于《民法典》第1034条规定,很多学者将信息处理者义务理解为不得侵犯私法主体享有的个人信息民事权益,继而形成“个人信息民事权—个人信息处理义务”的民事权利义务分析框架。[28]但将个人信息权益私权化,存在明显不足。一方面个人信息在所有权上并不具备完全的排他性,而是内在具有公共性、交易性与社会性的特征,如果认为个人信息的处置完全应由个人决定,“基于自己意思自主地决定个人信息能否被他人收集、储存并利用”[29],将阻碍社会的正常交往,也会影响信息价值的充分实现;另一方面忽视了在处理个人信息过程中,国家机关与个人之间明显的不对等关系,建构在意思自治、平等协商基础之上的私权保护模式是无法有效约束国家机关的。“面对国家对个人信息权利的威胁,民法并不能提供充分的保护,仅仅规定权利是不够的,因为它们太容易虚化,最终沦为‘字面上的权利’。”[30]因此,应当建构完善个人信息保护的公法制度,重视国家机关的规制作用,实践中站在维权最前沿的始终是监管者而非个人。
从国家规制视角探寻个人信息权益保护的法理基础,追根溯源,个人信息国家义务保护的根源在于宪法“尊重和保障人权”的相关规定。[31] “尊重”强调国家对个人信息权益不得侵犯,严格遵守法律保留原则,依法履权,除非履职需要,否则不得处理个人信息;“保障”则要求国家积极作为,通过立法、加强监管或强化事后惩戒制度等多种方式,保护公民享有的个人信息权益免受非法侵害。尤其是在大数据时代,构建与维护的法秩序不仅能保护个人信息的安全,还要保障数据的充分利用,而能胜任这项任务的只能是国家,并非个人。[32]
(二)政府信息公开中处理个人信息行为的“行政性”
与私人处理个人信息不同,行政机关信息公开中处理个人信息行为性质上应属于行政行为,具有明显的“行政性”特征。因此,对其行为过程的规范,应纳入行政法治的框架,从行为主体、权限、内容、程序以及归责等维度展开。[33]
首先,使用目的具有公共性。政府机关公开有关个人信息是为了履行其法定的公共职责,充分发挥政府信息对人民群众服务作用。[34]质言之,公共利益需要是证成政府行为合法性与正当性的唯一理由。比如基于更好维护公共交通安全的需要,公安机关有权公开终身禁驾人员的个人信息;又如为了避免更多人感染病毒,卫生行政部门在疫情防控期间可以公开疑似感染者的活动轨迹,等等。
其次,行为过程具有高权性、强制性。行政行为最主要的特点就是高权性、强制性,行政主体与行政相对人之间并不是处于对等的地位,对于前者单方面作出的行为,后者是需要服从遵守的,并没有“讨价还价”的余地。[35]虽然个人信息保护法中确立了特别告知同意规则,但是行政机关认为不公开将会对公共利益造成重大影响的,可以不需要获得信息主体的同意而直接公开,例如,公安部门和卫生行政部门基于公共利益所需,都无需以信息主体“同意”作为权力行使的前提性条件。
再者,公开的内容具有法定性。行政法治的基本要求就是要坚持依法行政,即一切行政行为应依法而为,受法之拘束。[36]政府信息公开中处理的个人信息按照法律要求都应是与行政部门履职有关的,具有明确的法定性特征。一般而言,民法对于个人信息的处理遵循意思自治,只要平等的民事主体之间基于真实意愿的表达,在不违反法律强制性规定的前提下,就可以协商议定后自由处置个人信息。而政府部门处理个人信息时,却有特殊的限制性规定,依据《个人信息保护法》相关规定,行政机关处理个人信息不得超出履行法定职责所需的范围与限度。[37]
(三)敏感个人信息保护的公法定位与框架
在法律性质上,政府机关公开敏感个人信息是典型的“行政行为”,具有公共性、高权性、强制性等特点,面对政府机关对个人信息权益的威胁,仅靠民法并不能提供充分保护,[38]应纳入行政法治框架约束,运用正当程序、比例原则、法律保留等公法思维、公法方式,对行政机关处理个人信息行为予以规范和约束。虽然在“一体调整”模式下,《个人信息保护法》也强调国家机关处理个人信息有特别规定的,从其特别规定,但立法上这方面的特殊规定还是较为欠缺,停留于“象征性立法”。[39]
事实上,在个人信息保护的制度建构中,公法与私法不是非此即彼的关系,目的都是一致的,都是为了更好地保护公民的个人信息权益。截至目前,全球有超过120多个国家制定了专门的个人信息保护法,公私法相融的治理体系被普遍接受。作为个人信息保护方面的基本法律,所有的处理行为,不论是国家机关还是个人所为都应遵守《民法典》《个人信息保护法》《中华人民共和国数据安全法》《网络安全法》等法律规定的原则与规则。但对行政机关而言,仅靠这些规定是不足以保护公民的个人信息权益的,设立特别的制度予以规范很有必要。质言之,一旦纳入公法的治理框架,相较于侧重事后救济的私法保护模式,公法保护模式更注重事前事中的监督,救济的渠道更丰富,方式更多样,效果也更显著。
四、政府信息公开中敏感个人信息保护制度的完善
行政机关作为国家公权力的行使者,除维护公共秩序与安全外,承担着保护公民基本权利与自由的责任,“人权是我们时代的观念,是已经得到普遍接受的唯一的政治与道德观念”[40]。虽然,政府信息公开也是为了实现公民知情权,但是公开的范围与方式都应当是有限制的,政府不应以“公共利益”需要为由无节制地肆意公开个人信息,尤其是敏感个人信息,“敏感信息可能给信息主体带来更大的侵害风险,故适用不同于一般信息的处理规则、受到更强力度的保护措施”[41]。针对实践中已经暴露的种种问题,需要放置在政府信息公开活动中行政机关处理敏感个人信息的整个过程予以系统思考。换言之,敏感个人信息行政机关保护义务的落实与展开,是一个综合不同法律理念和规制工具的体系化过程,吸纳多方力量参与,最终实现充分保护的目的。
(一)敏感个人信息的主要判断标准
敏感个人信息保护首要解决的问题就是敏感个人信息的识别。《个人信息保护法》第28条第1款在对敏感个人信息的种类作出具体列举以后又使用了“等”字,这也就意味着立法者也承认敏感个人信息的范围应具有开放性,并不局限于法律所列举的这七类,大量的新型的个人信息很可能也会被认定为敏感个人信息。换言之,法律授予行政部门相当的裁量权,即可以根据具体场景判断新类型的个人信息是否属于敏感个人信息。[42]而在政府信息公开活动中,行政机关判断“敏感性”的依据主要是信息主体、信息性质以及公开目的,为此,敏感个人信息的认定应严格遵循以下三方面的标准。
首先是身份的识别性。个人信息的基本功能是识别个人,敏感个人信息也具有较强的识别性,且与特定个人紧密相连,它存在于个体对外界的感知与辨认中,是主体与客观外在世界交流的产物。[43]一方面,敏感个人信息内容都具有识别性,指向特定个人。但根据是否能单独直接区分出特定的个人,敏感个人信息又可以划分为直接敏感个人信息和间接敏感个人信息,对于间接敏感个人信息则需要与其他信息结合起来才能识别特定的个人,具有依赖性和关联性,通常需要通过逻辑分析来认定特定个人,比如身高、血型、性别等。实践中,间接敏感个人信息因无法单独识别特定个人,侵权风险较低,因此不用特别保护,但若间接敏感信息能串联起来,识别特定个人时,同样应适用法律上的特殊保护规则;另一方面,仅具有识别性的信息也不一定是敏感个人信息,即使是直接可识别的个人信息也需要结合具体场景进行综合全面的判断。事实上,若不在内容上加以区分,一律特殊对待,则很容易阻碍正常的信息交流。比如,将同事的电话号码、家庭住址在单位小范围公开,很难说是构成侵害敏感个人信息,但若是未经信息主体同意私自将这些信息放到网络上,则侵权结论很可能是成立的。
其次是实效性。所谓实效性主要是就信息内容的价值与用途而言的,它与“敏感性”紧密相连。尽管所有的个人信息都具有实效性,但其强度却存在差异。一般而言,实效性越强的个人信息,敏感性也就越强,受到侵害的可能性也就越大。从文义解释来看,实效性对应的是,“容易导致个人的人格尊严受到侵害或者人身、财产安全受到危害”。基于语词本身的模糊性,行政机关在具体认定实效性时,还需结合具体的场景考虑信息是否与人格尊严、人身、财产安全存在密切关联。有些信息在日常情形下实效性并不强,但此类个人信息一旦与数字技术相结合,在特定情形下很可能对人格尊严造成侵害,这时它的实效性就很强,也可能属于敏感个人信息。[44]比如,单纯了解个人的下班时间、回家路线或者到家时间,可能并不具有实效性,但如果利用数字技术将所有信息串联起来,就可以获取信息主体完整的行为轨迹,构成敏感个人信息,需要适用法律有关规定予以保护。此外,行政机关在判断实效性时,应立足于社会公众的主流观念,而非当事人的主观认知。
再者是结果损害性。侵权行为的成立须以发生损害为必要,[45]个人信息泄露会不会造成信息主体的损害也是识别敏感个人信息的重要标准。但行政部门在评估行为后果是否具有损害性时,有三点需要特别注意:其一,损害的类型不局限于人身损害与财产损失。敏感个人信息的损害结果类型已经从传统的物质损害向精神损害与物质损害并重扩散,[46]比如因个人信息泄露而带来的侮辱、羞耻等强烈主观性不适的精神损害,其敏感个人信息的属性已经被大多数国家通过立法予以确认;其二,损害后果评估侧重的是发生的概率或可能性,而并非遭受明确的、固定的损害。《个人信息保护法》第28条第1款的表述为“容易导致”,指向的就是一种发生的概率。换言之,对敏感个人信息严格保护的目的是要降低信息主体合法权益被侵害的风险,而非是损害结果的实际发生。值得警惕的是,由于各级行政部门掌握的信息识别技术的应用能力参差不齐,因而不同场景下损害后果发生的可能性也会有差异;其三,财产损害应包括实际财产损失和期待利益损失。实际上,将期待利益损失纳入结果损害的评定范围是将财产损失做了扩大化解释,更有利于个人信息权益的保护。例如,如果行政部门违法或不当处理个人医疗健康信息,就容易造成信息主体的可期待利益受到损害。[47]
(二)限制性原则适用的具象化
敏感个人信息保护的重要性自不待言,但目前关于行政部门在政府信息公开活动中如何对敏感个人信息保护,法律只是规定了需要遵循的基本原则,并无具体的要求。《个人信息保护法》第6条、第28条分别规定:“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。”“只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。”在法体系解释框架下,这些原则性的限制规定,可以具象化为以下三方面的实质性要求。
第一,行政机关公开的敏感个人信息应在法定职责范围内。《个人信息保护法》第34条明确规定,国家机关为履行法定职责处理个人信息,不得超出履行法定职责所必需的范围和限度。随着国家治理越来越精细化、专业化,行政部门之间的分工也越来越具体。庞大的行政组织就像一台机器,要求每个组成部分按照既定的安排运转,不能越位。实际上,依法行政原则是法治国家、法治政府的基本要求,法治要求政府在法律范围内活动,依法办事。依此逻辑,行政部门的职责都是法定的且都是有限度的,只能在其职责范围内依照法律规定公开敏感个人信息,比如《公安机关互联网安全监督检查规定》规定由县级以上地方人民政府公安机关网络安全部门组织实施互联网安全监督检查工作,那么在此范围内它就有权依法处理个人信息,其他行政部门介入则是非法的。但是遵循依法履职的前提是职权职责的分配必须清晰、明确,而目前在实践中职能相近的行政部门职责不清、相互交叉现象还是较为普遍,尤其是上下级政府之间,“不同层级政府之间的‘职能同构’是目前我国行政体制中的一大痼疾”[48]。因此,制定权责清单从根本上理顺、明确各级政府与各个部门的职权职责可一劳永逸解决职责不清、职能交叉的问题。权责清单制度是指公权力主体将法律赋予它的各项权力进行统计、核实,以清单的形式,将职权事项、实施主体、行使流程等内容进行详细列举与说明,并进行公示的过程。[49]质言之,通过权责清单形式明确行政部门的法定职权职责范围,使其清楚基于履职需要哪些敏感个人信息是可以公开的。
第二,行政机关公开敏感个人信息具有“特定目的性”。根据《个人信息保护法》的规定,只有具有特定目的,行政机关才能处理敏感个人信息。然而,“特定目的”是不确定概念,其含义并不明确,解释的空间比较大。美国学者爱伦·维斯汀(Alan Westin)最早提出特定目的原则,强调“除非个人信息中的身份特征已经被完全去除,或者获得信息主体同意,否则行政机关在处理个人信息时,都必须基于明确的特定目的,且严格限制其使用范围”[50]。该原则一经提出,就被很多国家相关法律予以吸纳、借鉴。除了《个人信息保护法》第34条对国家机关公开个人信息的目的有较为明确的规定外,《政府信息条例》第15条也规定,涉及个人隐私的信息如果不公开会对公共利益造成重大影响的,予以公开。综上,应当从以下两方面理解政府机关公开敏感个人信息的“特定的目的”。其一,特定的目的应当是基于履职需要,且明确、具体。比如镇政府公布辖区获得国家因病贫困补贴的家庭的名单,不能笼统地以符合国家因病贫困认定标准而公布他人的医疗健康信息,而应当明确公布他人医疗健康信息的具体目的。质言之,公开目的越具体,越能判断公开敏感个人信息是否充分必要;其二,与私主体处理敏感个人信息不同,行政机关是典型的公权力主体,它没有自身特殊的利益,一切都是为了公共利益。[51]为了防止以权谋私,行政机关公开敏感个人信息的特定目的应严格限定为依“法”,包括宪法、法律、法规、规章,通过法律保留原则的适用,可以更好地加强对行政机关的事前监督,有利于敏感个人信息的保护。
第三,行政机关公开敏感个人信息具有“充分必要性”。公开敏感个人信息除了特定目的以外,还应当具有充分必要性。立法上作此要求是为了避免过度公开敏感个人信息。实际上,充分必要与特定目的是紧密相连的,特定目的是充分必要的前提与基础,而判断是否充分必要则要依靠特定目的来衡量,两者缺一不可。通常立法上对于目的与手段之间是否恰当用“必要性”表述即可,而敏感个人信息的处理,法律表述为“充分必要”,足见重视的程度。至于实践中如何才能实现“充分必要”,不妨借鉴域外有益的经验,例如2020年1月,欧盟数据保护主管(EDPS)发布《个人数据保护比例原则指南》,其中规定:“在确定必要性时,应首先阐释怎样处理个人数据才能实现处理目的。如果有侵害较小的方案可以选择,数据平台必须详细解释为何没有选择侵害较小的方案。”
(三)告知规则的补强与完善
为加强敏感个人信息的保护,个人信息保护法在程序上主要设立了告知同意规则,即任何人或组织在处理敏感个人信息之前都需要充分告知并经过信息主体的同意,法律另有规定的除外。在个人信息利用日益频繁的数字时代,告知同意规则已经为大部分国家接受并被确立为处理个人信息的基础规范。为保障公权力行使的高效性,《个人信息保护法》第35条特别规定,除法定情形外,国家机关履行法定职责只需履行告知义务即可。针对行政机关的特殊性,在信息公开活动中,为充分保障信息主体的合法权益,建立的告知规则应确保告知义务履行的全面性、易理解性以及持续性。
其一,行政机关在告知时应当提供充分必要的信息,不仅仅是拟准备公开的敏感个人信息内容,还需告知公开内容与实现行政目的之间的关联,且无其他更为合适的替代方式。[52]换言之,行政机关应明白无误的告知信息主体,公开的敏感个人信息是为了实现行政目的,而不得已采取的“最小范围、最短期限、影响最小方式”[53]。毋庸讳言,个人肯定是自己利益最忠实的护卫者,而敏感个人信息又事关信息主体的个人尊严或人身、财产安全,让信息主体充分了解、掌握公开自己敏感个人信息的必要性与关联性,必将有助于其维护自身的合法权益。
其二,告知内容的语言表达应当简洁、明了并且易理解,不能刻意适用复杂、专业和深奥的用语,避免信息主体在读完但不理解内容意思的情况下就同意。为此,应以普通人的理解能力为标准建立告知规则,若确实存在语言解释困难的专业术语,应要求行政机关对信息主体作出当面解释,使其能理解告知的内容。同时告知文件中应对即将公开的敏感个人信息通过字体加粗、标下划线或改为其他颜色等添加显著标识的方式,引起被告知者的高度关注。另外在告知的方式方面还可以创新,可以利用小视频、语言播报等较为生动、形象的表达方式予以告知,弥补采用书面告知形式单一化的不足。
其三,告知义务有时不是一次性可完成,是持续性的,信息技术动态化的处理模式决定了信息供给并非静止的,敏感个人信息公开对于信息主体的权益影响也很可能是持续性与动态变化的过程。[54]同时,真正掌握并利用信息技术的是行政机关,相较于个人,行政机关更有能力实时掌握与敏感个人信息公开所关联的风险变化情况。在实践中,经过专业的大数据深度挖掘、比对,一些“别有用心”平台完全可以突破浅显的“匿名”包装、精准识别主体身份,从而获取敏感个人信息并违规使用。因此,政府机关因履职公开敏感个人信息后,对发现的可能会对信息主体合法权益产生的负面风险,应及时告知。
(四)公法责任追究机制的引入
除了加强事前事中对政府公开行为的规范与监督以外,完善事后追责问责制度对于政府信息公开中敏感个人信息的保护也是同等重要的,“通过明确的制度的安排,可以使官员准确无误地承担责任,找到不会导致责任模糊的最佳责任承担方式”[55]。实际上,《个人信息保护法》第66条、67条、68条以及69条集中规定了法律责任。但都是在“一体调整”框架内考虑事后责任追究机制的设置,而对于政府机关公开敏感个人信息行为“行政性”特征的应对明显不足,立足公法的观察视角,可以从以下三方面完善。
首先是内部法律责任机制的完善。关于行政机关内部责任机制的规定,主要依据《个人信息保护法》第68条与《政府信息公开条例》第35条。但囿于法条内容本身的简单、不具体,导致实践中也是问题较多,目前应重点考虑两方面工作:一方面应理顺在责任追究过程中,上级机关、个人信息保护职责的部门、上一级行政机关以及监察机关四者之间的关系,避免出现监督职责交叉、相互推诿的情形;另一方面应明确内部责任追究机制的启动程序。责任追究机制的启动程序包括确定责任追究的主体、问题线索提交以及受理与反馈,等等,目前法律上对其并无具体规定,容易造成内部监督不到位、不及时。
其次是纳入行政复议和行政诉讼受案范围。行政机关公开敏感个人信息行为是典型的行政行为,理应将其纳入行政复议和行政诉讼的受案范围,并依据公法上解决纠纷的规则予以处置。一方面有利于强化公民个人敏感信息的保护。考虑到行政主体履职过程中与行政相对人事实上存在的明显不对等关系,在行政复议和行政诉讼过程中赋予相对人程序上更多的优益权与对抗权。另一方面,更易于平衡公共利益与个人信息权益之间的张力与矛盾。在大数据时代,国家的各个领域,包括教育、医疗、金融等都已经形成严重的“数据依赖”,个人信息的利用与保护不仅关乎个人,而且还会影响到公共利益。[56]在行政复议和行政诉讼中,因为裁判者都是对行政实务较为熟悉的专家,所以能更好地把握纠纷的实质和双方的诉求,更有利于实质性化解矛盾。
最后是国家赔偿责任的启动。《个人信息保护法》第69条对赔偿责任已经作出了原则性规定,但是该规定并没有区分国家机关与个人承担损害赔偿责任的不同。事实上,政府机关公开敏感个人信息侵犯个人合法权益,完全符合《中华人民共和国国家赔偿法》所规定的侵权赔偿责任构成要件,应适用行政赔偿制度。一方面从损害赔偿能力角度看,国家的赔偿能力肯定是强于个人或其他民事主体的,纳入国家赔偿范围,能更好地赔偿个人信息权益所遭受的侵害损失;另一方面从归责原则的角度看,国家赔偿法可适用无过错原则更有利于敏感个人信息的保护。换言之,无过错原则要求国家机关和国家工作人员即使没有违法或过错,也应该由国家为其行为所致损害承担赔偿责任。在数字时代,基于社会对于数据的强大需求,会不断促使行政部门积极探索个人信息利用的价值,侵权的风险也会随之增大。为有效保护个人的信息权益,适用无过错赔偿归责原则肯定是最优的选择。
|参考文献
[1]参见王利明:《敏感个人信息保护的基本问题——以〈民法典〉和〈个人信息保护法〉的解释为背景》,载《当代法学》2022年第1期,第3页。
[2]See Coglianese Cary & David Lehr, Transparency and Algorithmic Governance, Administrative Law Review,Vol.71:1,pp.6-13(2019).
[3]参见张新宝:《我国个人信息保护立法主要矛盾研讨》,载《吉林大学社会科学学报》2018年第5期,第50页。
[4]参见程啸:《个人信息保护法理解与适用》,中国法制出版社2021年版,第68-88页。
[5]参见张志峰:《个人敏感信息的法律保护规范》,载《重庆行政》2020年第1期,第54页。
[6]参见吴标兵、许和隆:《个人信息的边界、敏感度与中心度研究——基于专家和公众认知的数据分析》,载《南京邮电学报》(社会科学版)2018年第5期,第45页。
[7]“不利”在此处应解释为发生损害的可能性与概率性。参见王利明:《侵权责任法研究》(上卷),中国人民大学出版社2010年版,第353页。
[8]See Sofie Boterberg&Petra Warreyn, Making sense of it All: The Impact of Sensory Processing Sensitivity on Daily Functioning of Children,Personality and Individual Differences,Vol.92:80,p.81(2016).
[9]参见欧盟《一般数据保护条例》第6条;日本《个人信息保护法》第2条;巴西《通用数据保护法》第5条,等等。
[10]参见《江西省乐安县人民检察院督促规范政府信息公开行政公益诉讼案》,最高人民检察院网,https://www.spp.gov.cn/spp/jcgyssljgrxxbh/202104/t20210422_527819.shtml.(最后访问时间:2024年11月7日)。
[11]参见王利明:《论〈个人信息保护法〉与〈民法典〉的适用关系》,载《湖湘法学评论》2021年第1期,第26页。
[12]王敬波:《什么不能公开?——信息公开例外事项的国际比较》,载《行政法学研究》2016年第3期,第17页。
[13]《政府信息公开条例》第15条。
[14]“交叉重合说认为,有些信息是敏感个人信息而非私密信息,有一些信息可以同时构成敏感个人信息与隐私中的私密信息;独立区分说认为,二者之间是相互分离的不存在交叉重合的可能;私密信息覆盖说认为敏感个人信息能被私密信息完全覆盖。”See Ari.Ezra.Waldman, Privacy as trust: Information Privacy for an Information Age, Cambridge University Press, 2018, pp.19-20.
[15]张新宝:《个人信息收集:告知同意原则适用的限制》,载《比较法研究》2019年第6期,第9页。
[16]参见程啸:《论我国个人信息保护法中的个人信息处理规则》,载《清华法学》2021年第3期,第64页。
[17]参见朱荣荣:《个人信息保护“目的限制原则”的反思与重构——以〈个人信息保护法〉第6条为中心》,载《财经法学》2022年第1期,第21页。
[18]参见赵万一:《社会公共利益的私法实现机制》,载《中国社会科学》2024年第9期,第59页。
[19]张新宝 主编:《〈中华人民共和国个人信息保护法〉释义》,人民出版社2021年版,第235页。
[20]参见王锡锌:《行政机关处理个人信息活动的合法性分析框架》,载《比较法研究》2022年第3期,第93页。
[21]参见田野:《大数据时代知情同意原则的困境与出路——以生物资料库的个人信息保护为例》,载《法制与社会发展》2018年第6期,第117页。
[22]See Jamie luguri & Lior Jacob Strahilevitz, Shining a Light on Dark Patterns,Journal of Legal Analysisi, Vol.13:43,pp.44-46 (2021).
[23]参见吕炳斌:《个人信息保护的“同意困境”及其出路》,载《法商研究》2021年第2期,第90页。
[24]参见周汉华:《个人信息保护的法律定位》,载《法商研究》2020年第3期,第53页。
[25]参见张勇:《敏感个人信息的公私法一体化保护》,载《东方法学》2022年第1期,第70-74页;王锡锌:《国家保护视野中的个人信息权利束》,载《中国社会科学》2021年第11期,第121-124页,等等。
[26]参见丁晓东:《个人信息私法保护的困境与出路》,载《法学研究》2018年第6期,第194-206页。
[27]参见张新宝:《从隐私到个人信息:利益再衡量的理论与制度安排》,载《中国法学》2015年第3期,第38-59页。
[28]参见程啸:《论我国民法典中个人信息权益的性质》,载《政治与法律》2020年第8期,第4页。
[29]程啸:《论大数据时代的个人数据权利》,载《中国社会科学》2018年第3期,第107页。
[30]张新宝:《我国个人信息保护法立法主要矛盾研讨》,载《吉林大学社会科学学报》2018年第5期,第48页。
[31]参见《中华人民共和国宪法》第13条、33条以及38条的规定。
[32]参见王锡锌:《国家保护视野中的个人信息权利束》,载《中国社会科学》2021年第11期,第117页。
[33]参见罗豪才、湛中乐 主编:《行政法学》,北京大学出版社2016年版,第136-140页。
[34]参见《政府信息公开条例》第1条。
[35]参见 [德] 奥托·迈耶:《德国行政法》,刘飞 译,商务印书馆2002年版,第97页。
[36]参见姜明安 主编:《行政法与行政诉讼法》,北京大学出版社、高等教育出版社2015年版,第66-67页。
[37]参见《个人信息保护法》第34条规定。
[38]参见张新宝:《我国个人信息保护法立法主要矛盾研讨》,载《吉林大学社会科学学报》2018年第5期,第50页。
[39]参见王锡锌:《行政机关处理个人信息活动的合法性分析框架》,载《比较法研究》2022年第3期,第100页。
[40] [美] 路易斯·亨金:《权利的时代》,信春鹰、吴玉章、李林 译,知识产权出版社1997年版,第1页。
[41]韩旭至:《敏感个人信息的界定及其处理前提——以〈个人信息保护法〉第28条为中心》,载《求是学刊》2022年第5期,第143页。
[42]See Helen Nissenbaum, Privacy As contextual Integrity, Washington Law Review,Vol.79:119,p.33 (2004).
[43]参见肖峰:《重勘信息的哲学含义》,载《中国社会科学》2010年第4期,第39页。
[44]参见王利明:《敏感个人信息保护的基本问题——以〈民法典〉和〈个人信息保护法〉的解释为背景》,载《当代法学》2022年第1期,第8页。
[45]参见王泽鉴:《侵权行为》,北京大学出版社2009年版,第175页。
[46]参见莫琳:《敏感个人信息的界定及其完善》,载《财经法学》2023年第2期,第28页。
[47]参见“程×等与开县长沙镇桔香村卫生室侵权责任纠纷案”,重庆市开州区人民法院(2020)渝民初5749号民事判决书。
[48]朱光磊、张志红:《“职责同构”批判》,载《北京大学学报》(哲学社会科学版)2005年第1期,第102页。
[49]参见程文浩:《国家治理过程的“可视化”如何实现——权力清单制度的内涵、意义和推进策略》,载《人民论坛·学术前沿》2014年第9期,第91页。
[50]Alan F Westin,Privacy and Freedom, Wash.&Lee L.Rev,Vol.166, p.387(1968).
[51]参见姜明安 主编:《行政法与行政诉讼法》,北京大学出版社、高等教育出版社2015年版,第66-68页。
[52]参见杨惟钦:《敏感个人信息告知同意规则的制度逻辑、规范解释和补强》,载《财经法学》2024年第1期,第115页。
[53]徐磊、刘春:《敏感个人信息保护的实践困境与破解之道》,载《情报理论与实践》2022年第3期,第48页。
[54]参见万方:《个人信息处理中的“同意”与“同意撤回”》,载《中国法学》2021年第1期,第173页。
[55] [美] 伍德罗·威尔逊:《行政学研究》,载《政治科学季刊》1887年第2期,转引自彭和平、竹立家等 编译:《国外公共行政理论精选》,中共中央党校出版社1997年版,第17页。
[56]参见王锡锌:《个人信息国家保护义务及其展开》,载《中国法学》2021年第1期,第164页。
评论(0)
请先 后发表评论~