一、引言:曾经的立法争鸣
作为一部公私交融的立法,《个人信息保护法》对于私人与国家机关处理个人信息是否无差别地遵循告知同意规则,经历过重大分歧。
2020年10月21日,公开征求意见的一审稿第13条确立了允许处理个人信息的六种情形,包括“(一)取得个人的同意”和“(三)为履行法定职责或者法定义务所必需”。从文义上看,可以理解为“履行法定职责或法定义务”与“取得个人同意”是并列条件,后者并不必然是前者的前提。但若结合一审稿第35条有关“国家机关为履行法定职责处理个人信息,应当依照本法规定向个人告知并取得其同意;法律、行政法规规定应当保密,或者告知、取得同意将妨碍国家机关履行法定职责的除外”之规定,即便以法定职责为依据,一般情况下国家机关处理个人信息也仍须获得同意。可见,一审稿确立的是公私领域处理个人信息的全面告知同意规则。
但这项规则,在二审稿中出现了不一致的表述。2021年4月29日公布的《个人信息保护法(草案)(二次审议稿)》,在保留第13条第1款第1项和第3项内容的同时,新增了第2款“依照本法其他有关规定,处理个人信息应当取得个人同意,但有前款第二项至第七项规定情形的,不需取得个人同意”。也就是说,因履行法定职责处理个人信息,无须以个人同意为前提。悖反的是,一审稿第35条在二审稿中完整地保留下来。前后矛盾的表述,直接导致国家机关在履行法定职责处理个人信息时,若按照第13条第1款第3项、第2款的规定,无须取得个人同意;但依据第35条,则应以取得同意为前提。两者之间的直接冲突,无法通过体系解释获得内在一致的疏导。一时间,这两个条款成为学界与实务界关注的焦点。直到2021年8月20日,《个人信息保护法》正式通过,才以删除第35条中有关同意的规定、保留“国家机关为履行法定职责处理个人信息,应当依照本法规定履行告知义务”的表述,明确了告知同意规则的例外适用,为这场争鸣暂时划上了句号。
但国家机关无需同意的个人信息处理权力一旦被滥用,个人的信息权益将岌岌可危。为此,必须寻找到权力行使的可控轨道,“法定职责”成为很多国家在立法时的共同选择。然而,《个人信息保护法》中“法定职责”的内涵与外延,尚未在学界与实务界达成共识:“法定职责”之法,是否仅限于法律,还是可以放宽到所有合法的规范性文件?在规范之外,是否还存在其他的“职责”来源?拥有合法的职责来源,能否足以正当化国家机关处理个人信息的所有活动?只有妥善回答这一系列的追问,才能在国家治理能力现代化提升与个人信息合法权益保障之间,构建起适合中国国情的制度。
二、法定职责:“法”的再审视
传统行政法的基本原则依法行政,首先要求职责法定。这也许正是《个人信息保护法》第13条第1款第3项将“法定职责”确立为国家机关处理个人信息豁免适用告知同意规则的原因所在。从世界各国的制度设计与学理研究来看,法定职责早已成为个人信息处理的“例外”主张:“如果数据主体反对数据处理,控制者就不能再处理该数据,除非控制者能够证明具备在数据主体利益、权利和自由的之上的合法理由,或者是为了确立、行使或捍卫法律的规定。”于是,“法”的范围与“法”的明确性,自然就成为试图厘清“法定职责”要义的关键所在。
(一)“法”的范围
关于“法定职责”中的“法”,从规范与学理出发,至少有四种不同的认识:
1.法律保留说。将法定职责中的“法”,限定在全国人大及其常委会制定的法律,是我国行政法学理论界早期的一种权威观点。“行政机关的职权,在我国主要是指中央政府及其所属部门和地方各级政府的职权,必须由法律规定。”强调行政机关的职权职责来源于国家的立法机关,体现了对行政权力来源的民主要求,不少国家和地区也采用了类似的严格规定。如欧盟《通用数据保护条例》(General Data Protection Regulation,以下简称GDPR)第6条第3款规定:“本条第1款(c)项和(e)项中所述的处理的合法性基础应当来源于以下规定:(a)欧盟法律;(b)适用于控制者的成员国法律。”但法律制定的周期漫长、行政改革的时机转瞬,仅以法律作为行政的唯一依据,难以满足中国转型发展的巨大需求,故而法律保留说在今天的行政法学理论中主要表现为一种法治理念,仅在特殊场合被要求严格执行。何谓特殊?有学者从法定职责所限制的相对人权益出发,提出若权益来源于法律的赋予,则影响这种权益的也只能是法律:“从《个人信息保护法》的规定看,行政机关为履行法定职责而处理个人信息,所限制的是个人对其信息处理活动的‘决定权’;而该权利是在《民法典》《个人信息保护法》等法律层面设定的。因此,限制这项权益的‘法定职责’的规范依据,应当与设定该权益的法律规范处于‘同一’法律位阶。”坚持国家机关处理个人信息时适用最为严格的法律保留原则,旨在避免行政机关通过行政立法不断自我赋权,从而防范个人信息处理权限的滥用。
2.法律、行政法规说。如果说法律保留的立场主要是一种学术观点,那么法律、行政法规说的主要依据则是《个人信息保护法》第34条的规定:“国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度。”既然法律条文中明确赋予国家机关依照法律、行政法规规定的权限和程序处理个人信息,也就意味着法定职责之“法”包含了法律和行政法规。对行政法规的这种特殊青睐,在《民法典》起草时就有所体现。对比《民法典》与之前的《民法通则》《合同法》,可以发现《民法典》对行政法规的援引发生了显著的变化,其中《民法典》总则篇大量援引了《民法通则》中未出现的行政法规,合同篇中行政法规的出场次数也有明显增加。这些均表明:“民法的渊源既包括全国人大及其常委会制定的法律,也包括国务院制定的行政法规。”王锡锌也指出,《个人信息保护法》第34条的规定,“可以理解为《个人信息保护法》通过授权,将‘法定职责’扩展到包括法律、行政法规规定的职责之范围,即立法者通过法律将部分权限授权给行政法规。”但需要注意的是,“此种授权依然是在法律保留原则的指引下展开的”。这就是法律保留说与法律、行政法规保留说的区别所在。在前者,法律中若没有特别授权行政法规,则行政法规仍不属于法定职责的“法”的范畴;在后者,无须法律中的单独授权,行政法规自身即拥有独立作为法定职责依据的地位。行政法规不同于一般法律渊源的地位,由此可见一斑。
3.法律法规说。若非《个人信息保护法》第37条的规定,“法律、行政法规说”也许就会一锤定音。然而,立法者似乎有意释放迷雾,对于法律、法规授权的具有管理公共事务职能的组织,允许适用《个人信息保护法》关于国家机关处理个人信息的规定。这就带来了一个疑问:如果具有管理公共事务职能的组织,都能依据法律、法规的规定处理个人信息,排除告知同意规则的适用,为何国家机关仅能根据法律、行政法规授予的法定职责,方能进入例外的射程?地方性法规赋予管理公共事务职能的组织的特殊权力,国家机关理应对等享受。结合《立法法》第82条允许地方性法规可以就“执行法律、行政法规的规定”“属于地方性事务”以及“尚未制定法律或行政法规”且不属于法律保留的事项作出规定,以及《行政诉讼法》第63条明确将“法律和行政法规、地方性法规”作为法院审理行政案件的法定依据,地方性法规的法源地位,不言自明。由此,将法律、行政法规和地方性法规,共同作为地方国家机关法定职责来源的见解,便有了立足之本。
4.合法规范说。从《立法法》《个人信息保护法》《行政诉讼法》的相关规定出发,似乎最多只能给予法律、行政法规、地方性法规以法源地位。但行政执法实践中,部门规章与地方政府规章一直扮演着重要角色。虽然《立法法》第2条第2款以“国务院部门规章和地方政府规章的制定、修改和废止,依照本法的有关规定执行”的形式,有意区分了规章与法律、法规的地位,但《行政诉讼法》第2条第2款、《行政复议法》第2条第2款对规章授权组织作出的行为属于行政行为的承认,又为行政规章进入法定职责来源埋下了伏笔。而在执法过程中广泛存在的行政规范性文件,因为《最高人民法院关于适用〈中华人民共和国行政诉讼法〉的解释》第100条第2款有关“人民法院审理行政案件,可以在裁判文书中引用合法有效的规章及其他规范性文件”的规定,也被视为只要合法即可成为法定职责的依据。据此,有学者认为:“《个人信息保护法》第13条第1款第3项和第34条中的法定职责应理解为公开、有效、不违反上位法的任何法规范授予国家机关的职责。”
这四种不同观点,各有制度或学理的支撑,在合法或合理的层面均有一定的正当性根基。究竟是采国外立法例上的最严格法律说,还是积极拓宽国家机关处理个人信息的依据范围,折射出数字政府时代个人信息权益保护与国家机关履职效能之间的内在张力。问题的答案,不是最严格或最宽松的对立,而应结合处理行为可能造成的个人信息权益侵害结果进行判断。整体而言,个人信息权益保护的核心利益包含基于自主意思而予以决定的自主利益和免于受到非法个人信息处理活动侵害的防护利益。“其中,处于核心地位的是个人对其个人信息处理享有的知情权和决定权,它们并非请求权,而是对个人信息权益内核的描述,属于个人信息权益的核心性或基础性内容。至于查阅权、复制权、可携带权、补充权、更正权、删除权、解释说明权等权利,属于工具性权能,即为了实现知情权与决定权而配置由法律规定的个人信息权益的权能。”借鉴个人信息权益的基础性权能与工具性权能之两分,可以将《个人信息保护法》第4条第2款规定的个人信息处理行为,依据可能损害的个人信息权益类型进行分类:当国家机关从事的是收集、提供、公开、删除等信息处理活动时,限制的是个人依据宪法所拥有的信息自决权/信息控制权,属于核心信息处理行为;相对而言,存储、使用、加工、传输等行为是前述个人信息处理活动的辅助性手段,其目的在于提升收集、提供、公开、删除等行为的效能,宜归类为辅助信息处理行为。
行政法上的“法定职责”,不仅仅是指某一行政主体是否拥有具体事务的管辖权限,更要求特定种类的行政行为实施时要有对应位阶的职责依据。以《行政处罚法》为例,判断某一行政主体对作出的拘留决定有无法定职责,既要求该行政主体对处罚的事务,如交通违法、治安违法等事务具备管辖权限,还要满足《立法法》规定的授予行政拘留权限只能是法律的隐性条件。《行政处罚法》如此,《行政许可法》《行政强制法》皆如是;每一种不同的行政处罚、行政许可和行政强制类型,对规范的层级要求各不相同。但共识性的规律是,越是对行政相对人权利义务影响较大的行政行为,越是依赖高位阶的法律渊源作出授权,以防止行政主体滥用行政规则的制定权限自我赋权,对重要权益造成无可挽回的损害。由是观之,国家机关在履行法定职责过程中的个人信息处理行为,其“法”的范围就不能仅看事务管辖权的来源,更要结合前述信息处理行为的类别具体分析:核心信息处理行为影响的既然是个人信息权益的基础性权能,很难想象只有警告、通报批评和一定数额罚款创设权限的规章,甚至规章以下的规范性文件有权创设,地方性法规应该作为“法”的范围的最后底线;而辅助性手段,既然是对已经收集的个人信息的再加工再利用,涉及的只是个人信息权益中的工具性权能,“法”的外延可以拓展到所有的合法规范,前提是作为辅助信息处理行为前提的核心信息处理行为,已经得到地方性法规及其以上法源的授权。
(二)“法”的明确性
“法”的范围初步厘清之后,新的追问接踵而至:作为依据的法源,在规定国家机关的法定职责时,是否需要明确个人信息处理作为履责手段?不少国家的立法对此作出了明确规定,如《英国数据保护法》第三部分第三章第36条第1款规定:“第二数据保护原则是指:在任何情况下,个人数据收集所依据的执法目的必须具体、明确且合法。”这些规定也得到了国内学者的肯定性回应:“国家机关处理个人信息,必须有法律、行政法规的明确授权,即不得在法定授权之外行事。”这里所说的“明确授权”,不是为了某种宽泛目的而做的概括性授权,而是针对某一特定职责的履行直接赋予处理个人信息的具体权力。在行政法的学理上,前者被称为“目的规范”或者“组织规范”,只对权限进行分配,而未规定直接规制国民的权力;后者则被视为“根据规范”,是作出特定行政行为时的直接依据。以根据规范作为法定职责的唯一来源,无疑是对个人信息权益保护的最强举措。但这样的理解,真的符合立法者的原意吗?
一如前述,《个人信息保护法》对于国家机关履行法定职责处理个人信息是否需要经过同意,在起草过程中曾出现过不同的表述。草案的前后不一致,揭示出立法者对个人信息权益保护路径的犹豫。告知同意规则的确立,根植于个人信息自决权/个人信息控制权的证成。在德国学者施泰姆勒(Rudolf Stammler)看来,个人信息自决权是指“人们有权自由决定周遭的世界在何种程度上获知自己的所思所想以及行动”。为使德国内政部委托其起草的《个人信息保护法(草案)》在议会上得以顺利通过,施泰姆勒将德国《基本法》第2条第1款“人的自由发展”作为个人信息自决权的宪法土壤。一个人只有在知道自己的信息何时、何地、何种程度上被获得与利用,才能保持作为独立主体参与社会活动的的可能性,才能避免沦为被他人操控的信息客体,才能在信息时代保留自由发展其人格的空间。虽然1971年个人信息自决权首次提出时,并未收获德国学界的普遍响应,但它却晕染了德国个人信息保护制度的人格权底色,赋予数据主体对个人信息的法律支配地位,明确对个人信息的收集、传播和利用必须获得数据主体的事前同意,不论该信息来自私人领域还是公共领域。与此相对,美国的个人信息控制权受益于宪法上的隐私权保护体系。当沃伦(Samuel D. Warren)和布兰德斯(Louis D. Brandeis)在著名的《隐私权》一文中创设出“个人独处的权利”时,也许不曾预见百年后的“独处”延伸出了个人对自己信息的控制内涵。1977年,美国联邦最高法院在 Whalen v. Roe一案中提出,隐私权除了囊括独立作出决定的自决性外,也包含阻止透露个人事务的权益。凭借该判决解释出的信息隐私权,个体有权对侵害个人信息权益的行为提起侵权之诉。
但不论是刻画人格权烙印的个人信息自决权,亦或是与隐私权密不可分的个人信息控制权,突显的都是作为个体的人的自主地位。作为底色的人性尊严或者自我决定,在德国基本法和美国宪法上,都不是一种绝对的权利。“任何一项基本权,其界限首先会出现在其客观效力范围的终止之处。”个人信息自决权或者个人信息控制权,只是信息时代“人之为人”在根本法上表现的诸多面向之一,其内涵与外延必须置于基本权利的完整体系中理解,不得妨碍其他基本权利的行使,也不应影响到重大公共利益的实现。一如在人口普查案中,德国联邦宪法法院强调的那样:“个人对其切身资料并无所谓绝对不受限制的支配,个人与团体间具有社会关联性及社会支配性,因此个人的信息自主权必须忍受重大公益的限制。”具体表现为,在其他法律主体行使言论自由、知情权等基本权利时的必要容忍,以及在维护国家安全、经济发展、社会稳定等公共秩序过程中的适度配合。它们共同构筑了个人信息自决权/个人信息控制权的内在界限,也成为国家机关无需同意、直接处理个人信息的正当性根基。“这其中的道理不难理解。如果执法机构获取个人信息都需要获得个人同意,那么个人就会有足够的时间与机会藏匿或删除执法所需信息,同样,如果个人对于自身信息具有访问权、纠正权、删除权等权利,那么个人就能利用这些权利破坏执法所需要信息与证据。”对执法现实的考虑与妥协,拓展了告知同意规则的例外边界。
遵循同一思考路径,尽管法定职责的根据规范说可以为信息来源主体建构起抵御国家公权力的有力防线,但我国个人信息保护和数据安全的短暂制定法历史决定了在现行有效的法律体系中,明确规定国家机关履行法定职责时有权处理个人信息的根据规范并不多见。坚持将法定职责之“法”,全面限定于直接授权的根据规范,将会导致大量国家机关无权处理个人信息的尴尬现实。这显然违背了起草者在审议过程中二易条款、突破告知同意规则的立法原意。寻求两者之间的平衡,仍然需要回溯到个人信息权益类型与国家机关处理个人信息行为的内在对应关系之上。一如前述,既然收集、提供、公开、删除等核心信息处理行为限制的是源于宪法基本权利的信息自决权/信息控制权,对如此重要权利的限制,自然非明确授权的根据规范不足以为之;存储、使用、加工、传输等辅助信息处理行为,是对已经在国家机关控制下的个人信息的进一步利用,并不涉及个人信息从个体向国家的移转,也就无关乎基于人格的自决或隐私的控制,只要存在核心信息处理行为的根据规范,就可以视为包含了对辅助性手段的默示授权,而不需要单独、明确的授权。需要指出的是,信息处理行为是一项情境性非常强的活动,对特定场景的信息处理行为的“法”源位阶要求,应预留充分的例外空间。
三、法定职责:以“职责”作为标准
当我们以“法定职责”作为国家机关处理个人信息的依据与界限时,很自然会将“法”限定于制定法渊源,并将国家机关理解为立法、监察、行政、司法等拥有公权力的机构。但公共行政的发展使国家机关的范围早已扩张到“法律、法规授权的具有管理公共事务职能的组织”,法定职责的来源,就不能局限在传统的制定法。既然“真正决定适用《个人信息保护法》第13条第1款第(三)项的并非主体标准,而是职权标准”,那么,制定法以外,可能成为职权(职责)依据的其他形式,就值得认真对待。
(一)行政协议作为法定职责来源的补充
对行政协议是否需要遵循法律保留原则,学界与实务界一直存在争议。2014年《行政诉讼法》修正初期,最高人民法院的基本立场是“在法定职责范围内”的协商,才可能成立行政协议。但2019年出台《关于审理行政协议案件若干问题的规定》时,行政协议概念中的“法定职责”已经悄无踪影。司法解释前后的变化,揭示出最高人民法院对行政协议与法定职责关系的认识调整:“行政协议是否必须经由法律规定,是否必然须以法律规定为要素等尚待进一步商榷。结合域外经验和做法,根据各方讨论意见,最终删除了‘在法定职责范围内’的表述。”这就意味着,行政协议约定的权利义务,有可能超出法律明定的范围。那么,行政机关有无可能通过行政协议,获得法律法规未授权的个人信息处理权限呢?
对此问题的回答,需要结合信息处理行为的类型和行政协议对法律法规的突破形态而定。当法律法规未对行政机关的个人信息处理行为作出任何规定时,基于“合同也是法”的学说共识,行政协议自然可以作为存储、使用、加工、传输等辅助性信息处理行为的职责依据。而对于收集、提供、公开、删除等核心信息处理权益,由于此类权益本身就允许行政相对人一方基于同意作出让渡,在行政协议的场域中,关键是看权利的让渡是否基于协商创设了对等的新权利。“只有基于行政相对人一方的个人利益,创设了可由其自行处置的法律权利,且放弃权利并不违反‘禁止联结原则’(Koppelungsverbot)的情况下,放弃权利才是被允许的。”可见,在无法律法规明确授权的情况下,只要缔约行政相对人的权利让渡意思表示确系真实意愿,既不违反明确的法律法规规定,亦不损害第三人合法权益和公共利益,行政协议作为个人信息处理行为的职责依据,应无疑义。
(二)行政惯例作为有限的法定职责来源
随着“依法律行政”向“依法行政”扩张,行政惯例作为一种不成文法渊源,逐渐得到了学界与实务界的认可。一般认为,行政惯例的拘束效力,来源于信赖利益保护与平等对待原则。“行政主体在实施行政行为时,无法回避已有行政惯例的影响,也不得无视先例所造成的内部示范性效应。相应的行政裁量过程,应是‘以先例为基础’,并结合后案的具体案情作出的。”因此,行政惯例通常以存在行政裁量为前提,是行政机关自我拘束裁量权行使的法治追求。无裁量授权的情况,仅在给付行政领域承认行政惯例的拘束作用,以防止行政机关借助行政惯例扩大干预行政或风险行政的作用范围。
个人信息处理行为自然属于干预行政范畴,尽管给付行政的实施,有时也需要个人信息的支撑,但收集、存储等各种类型的信息处理行为即便发生在给付行政领域亦不能否定其负担性。由此,在欠缺法律法规明确规定的情况下,不能承认行政惯例作为行政机关个人信息处理行为的职责依据。唯有一种例外情形:法律法规已经授予行政机关相应的管理职责,只是未给出直接的根据规范,若行政机关在长期的工作过程中,公开形成了以个人信息处理为载体的履责方式并被民众所熟知和接受,可以认可此种惯例的法源地位。“即使像德国行政法之草创者奥托·迈耶(Otto Mayer)在其1895年出版、开创德国行政法体系的《德国行政法总论》中,亦认为在行政法领域中,极为少数情况下,才有‘行政惯例’之存在。举例来说,地方警察可依据当地长年来之习惯,要求每个住家自扫门前雪,作为行政法中少有的行政惯例。”在这里,“要求每个住家自扫门前雪”虽是一种负担,却因为警察法赋予概括维护公共利益之职责,地方警察长期要求、当地居民广泛知晓也愿意配合,从而成为一种非成文法法源。类似的情形,如我国《道路交通安全法》(第114条)在2004年5月1日实施前,虽未有其他法律法规直接授权公安机关交通管理部门根据交通技术监控记录资料作出处罚,但经济发达城市早已安装了交通技术监控设备并以其记录作为主要证据。司法实践中,只要这些监控设备的安装区域有明显的提示,车辆驾驶人、行人等均有了解,法院一般会支持交通管理部门收集违法事实的手段,承认证据的合法性。
(三)个人同意不得作为法定职责的依据
个人同意作为国家机关处理个人信息的合法性基础,与个人同意作为法定职责的依据,是两个不同的问题。前者主要涉及国家机关不行使公权力的情况下,可否依据个人同意、法定义务等私主体间的相同事由处理个人信息;后者关注的则是欠缺法律法规明确授权的情况下,个人同意可否作为国家机关法定职责的来源。
对前者的讨论,存在正反两种截然不同的观点。赞成者提出,国家机关不行使权力时,其身份与普通私主体相似,可以依据《个人信息保护法》第13条规定的其他理由处理个人信息,当然也包含个人同意。反对者认为,国家机关与个人之间存在天然的不平等,地位上的巨大悬殊使个人同意是否基于真实意愿作出难以判断。为避免权力借助同意的“外衣”,损害告知同意规则背后的信息自决权益,原则上不承认国家机关基于个人同意处理个人信息。该观点的典型代表就是GDPR序言部分第43条的规定:“为确保同意是自由作出的,若数据主体与数据控制者的地位失衡,尤其在数据控制者为公权力机关,同意在此种情形下不太可能自由作出时,不能将同意视作处理个人信息的合法基础。”2020年欧洲数据保护委员会专门修订了《关于条例2016/679下“同意”的指南》,对序言第43条中的“自由”二字做了进一步的说明:“如果数据主体在拒绝或撤回同意时会遭受不利后果,则该同意不能被视为是自由作出的。”在委员会看来,当数据控制者是公权力机关时,数据主体在大多数情况下,除了接受该控制者的处理外,没有其他现实可行的选择。因此,一般情况下,不宜将个人同意作为国家机关处理个人信息的法定事由。
对于后者,在国家机关行使权力的情况下,个人同意面临的主要问题就转化为可否作为职责依据的辨析。毋庸置疑的是,若国家机关欠缺组织规范,完全不具备相关事务的管辖权限,即便个人确实表达了由国家机关处理个人信息的真实意愿,也不能正当化履行职责过程中的处理行为。作为国家机关行使职权的规范依据,需要综合考虑处理行为对行政相对人一方、利益相关方和国家机关履职效能造成的影响,由立法机关按照立法程序反复讨论确定,单纯的个人同意并不足以构成权力行使的合法依据。需要讨论的是,当国家机关拥有概括的组织规范时,个人授权可否替代根据规范,成为个人信息处理、尤其是核心信息处理行为的职责依据?此种情形,看起来与行政协议接近,似乎可以按照前述行政协议的分类方法处理。实则,两者大相径庭。在行政协议的场合,契约的协商本质确保了权利让渡的对价性。但在单纯个人同意的情境下,欠缺保障真实意愿的制衡机制,无法确保同意背后的信息自决权/信息控制权符合放弃的前提条件:“仅当基本权利须可以放弃、基本权利主体具有相应认知能力、有意思表示时,才产生效力,且不得违反宪法和法律明文规定、客观价值秩序,损害人性尊严、基本权利本质内容及第三人基本权利。”在国家机关未行使权力的场合,GDPR尚且担忧双方地位悬殊可能损害同意作出的自由度,更毋论履行职责过程中放弃信息自决权/信息控制权的真实性。由此,不应承认个人同意作为法定职责的依据。
四、整体化的“法定职责”:必要性原则的动态调控
不论是对法定职责之“法”的范围与明确性剖析,还是对作为“职责”来源的不成文法渊源拓展,都是以明晰国家机关处理个人信息的依据作为防范信息处理权限滥用的手段。且具备依据仅是正当化的前提,国家机关对个人信息的处理尚需满足必要性原则,方才符合立法者的制度设计。然而,今日国家机关的职责履行,早已因数字化改革的推进呈现多部门协同甚至公私合作的态势,以静态的“法定职责”和“最小”定位的必要性原则,恐难契合多元场景下的差异化国家任务诉求。这就需要在传统的静态标准之外,探索新的动态调控机制,以实现两者之间的平衡。
(一)必要性原则的“最小化”袪魅
作为一部以个人信息保护为主基调的立法,《个人信息保护法》在允许国家机关无需同意即可基于法定职责处理个人信息时,同步配套了必要性原则(第34条),以防止“例外”的无限扩张:“国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度。”结合《个人信息保护法》第6条第1款有关“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式”的表述,有学者指出,告知同意原则的适用,应当受到必要性原则的限制:“个人信息保护的原则并不是孤立适用的,基本原则与具体原则共同构成一个有机、协调的整体,控制收集、使用个人信息的整个过程。任何法律原则的使用都是有前提的,都需要与其他的原则相配合,或者是受较高位阶原则的制约,或是与同位阶的原则的相互制约。”依循这一原则体系的立法平衡要求,国家机关在履行法定职责时虽无需适用告知同意原则,却仍应受制于必要性原则的拘束,确保所处理的个人信息,是匹配任务目标所需的“最小”信息。
这看似毋庸置疑的结论,却值得进一步推敲:存在预设的、唯一正确的“最小”信息吗?所谓“最小”,一般认为包含三个层面的内涵:一是指涉及个人信息的数据体量最小,二是指保存个人信息的时间最短,三是承载个人信息的数据形式侵益性最小。以《电子商务法》第28条为例,该条第1款规定:“电子商务平台经营者应当按照规定向市场监督管理部门报送平台内经营者的身份信息”。尽管立法者已经给出了非常清晰的指引,但对于身份信息的范围,除了姓名、性别、身份证号码等常见个人身份信息外,是否还包括民族、住址、职业、联系方式等进一步明确个人身份的信息,并非不可争议;此外,表明身份唯一性的除身份证号码外,是否也包含指纹、人脸等生物性信息,亦存在探讨空间。倘若按照必要性原则的“最小”要求,电子商务平台经营者需要报送的,应该仅限于体量最小的常见个人身份信息,保存最短的时长并排除对个人侵益性较大的生物性信息。但上述范围的身份信息,真的能支撑起数字时代市场监督管理部门的监管职责吗?面对拥有海量数据和强大技术的平台内部治理规则,新业态、新模式层出不穷的平台经济发展趋势,跨区域、跨部门甚至跨国界的平台违法行为,机械化的“最小”身份信息报送模式,对规制和促进不同类型平台的多种经营行为,不可不谓“捉襟见肘”。
事实上,当我们执着于必要性原则的“最小”内涵时,也许正走入“一叶障目”的误区,忽视了适用必要性原则的完整位阶秩序。作为比例原则的三项子原则之一,启动必要性原则,首先需满足适当性原则的前提,之后还要接受均衡原则的检视。尽管法律体系中存在单独的必要性原则条款,司法实践中亦不乏独立审查必要性原则的案例,但不论是“全阶式适用”完整的比例原则,还是“截取式适用”单独的必要性原则,必要性原则自身所包含的“选择可能性、相同有效性和最小侵害性”的三重步骤,均是不可或缺的审查对象:“选择可能性”指向多种实现目标的可选择手段;“相同有效性”要求对能够达成目标的多种手段,就目标实现的程度作出评价;只有多种手段在实现目标方面同等有效,才会进一步考虑“最小侵害性”。依此逻辑展开,“相同有效性”是“最小侵害性”的前设条件。当国家机关处理涉及个人信息的“最小”数据时,我们很难想象,其可以达到与更大体量、更长存储时间、更多载体形式的数据,相同的治理成效。“在大数据时代,个人信息或数据的价值恰巧在于数据的二次甚至是多次挖掘,而数据的二次或多次挖掘,又依赖于数据的海量汇集与沉淀。通过对海量沉淀的个人信息的二次或多次使用,大数据可以发现隐藏在这些孤立的数据背后的商业价值与公共性价值。”持续汇聚的数据与日新迭代的算法,是数据不断产生新价值的动力源泉。数据的“大”或“小”,直接影响数据处理的不同效果,遑论实现目标的相同有效性。以一刀切的“最小”意涵,诠释个人信息保护领域的必要性原则,背离了数字时代技术革新与价值创造的本质特征。
(二)整体政府改革对静态“必要性”的突破
“最小”必要原则适用的前提,是假设数据收集时存在唯一的、不变的职责履行场景。只有直接相关的目的是清晰的,才能判断何种体量、何种时长、何种载体形式对个人信息的来源主体造成的损害是最小的。但随着各地机关数字化改革的推进,传统意义上分工明确的职能部门,愈来愈趋向于集约化的整体政府:“电子政务的发展带来的‘一张网’,既为行政运行一体化提供技术条件,也在运行中成为强化行政一体化和扁平化的推动力。政府的‘一张网’‘一站式’的运行机制打破了上下级政府,不同部门之间的‘墙’,使各部门为公民的利益而共同协作,提供一整套无缝隙的服务。”整体政府的形成,对传统依法行政下的职责法定构成学理与制度的双重挑战。以科层制为基础的官僚体系,尊奉精细分工的形式理性,强调通过部门之间的职责划分,实现各司其职、彼此协同的运行机制。作为对这一公共行政模式的回应,传统行政法学发展出了职责法定原则,要求行政主体只有获得法律、法规、规章的授权,才能合法地实施行政活动。我国初期的行政法律制度基本上是按此原则设计的,几乎每一部单行的部门行政法都会在总则中明确主管部门,并划定协同部门。整体政府的出现,看似颠覆了传统行政法赖以奠基的基本原则。但若从宪法角度进一步追问,那些在法律、法规、规章上拥有行政职权的职能部门,并非真正意义的行政主体。从根源上看,行政权的真正归属主体是国家,国家才是原始行政主体。只是国家作为抽象概念不能自己开展活动,需要将行政权力赋予具体的组织,由此中央人民政府经由《宪法》第85条、地方人民政府经由《宪法》第105条第1款,获得了“宪法上的行政主体”地位。至于人民政府的职能部门,只是行政主体的一个构件而已,是为了行政救济的便利,经由《行政诉讼法》创设的“行政法上的行政主体”。从这个意义上来看,整体政府的推进,实际上是对“宪法上的行政主体”的回归,各职能部门原本就是政府行使行政组织权配置职权的产物,将各职能部门的权力重新划归政府统一调度,并不违背职权法定原则的宪法意涵。
在此前提下,某一职能部门收集的涉及个人信息的数据,同时也要服务于其他职能部门甚至其他国家机关的职责履行;公共数据的内部共享,已经成为数字时代国家机关开展工作的新常态。如果说初次收集个人信息时,确实存在一个相对明晰的法定职责,则已被收集的个人信息,还要服务于其他职能部门或其他国家机关的何种具体职责,往往是一个未知数。虽然国家机关内部共享数据,仍需要遵守法定职责的前提,但“共享为原则,不共享为例外”的基调一旦确立,对职责的来源层次、表现形式,对个体权益损害大小等问题的关切,便会随着共享场景中行政相对人的缺席而消散。在“国家—个人”两造对抗场域中发挥重要控权作用的“法定职责”,也就渐失个人信息权益保障的盾牌底色。也许正在考虑到共享前提下“法定职责”遇到的困境,刚刚公布的《政务数据共享条例》并未确立“共享为原则,不共享为例外”的基本原则,且在第20条中明确“政务数据需求部门应当根据履行职责需要,按照统一发布的政务数据目录,经本部门政务数据共享工作机构负责人同意后,依法提出政务数据共享申请,明确使用依据、使用场景、使用范围、共享方式、使用时限等,并保证政务数据共享申请的真实性、合法性和必要性”,强调了基于具体使用场景的必要性判断基准。
更何况,个人信息处理在整体政府改革推进过程中的作用,并不仅限于监督与惩戒违法行为。为提高决策的科学化、社会治理的精准化与公共服务的高效化,中央与地方各级国家机关纷纷借助大数据分析与人工智能实现数字化转型。“经过各方面共同努力,各级政府业务信息系统建设和应用成效显著,数据共享和开发利用取得积极进展,一体化政务服务和监管效能大幅提升,‘最多跑一次’、‘一网通办’、‘一网统管’、‘一网协同’、‘接诉即办’等创新实践不断涌现,数字技术在新冠肺炎疫情防控中发挥重要支撑作用,数字治理成效不断显现,为迈入数字政府建设新阶段打下了坚实基础。”国务院对数字政府改革成效的提炼,就是最好的佐证。如果说,在干预行政领域,必要性原则的“最小”内涵,有助于防范公权力对个人信息权益的不当侵蚀,那么对给付行政、风险行政而言,提前预设的静态标准,未必能回应信息主体对公共服务与风险预防的个性化需求。“只有针对这种利益减损型处理行为,才有必要将处理限制在最小范围内;如果个人信息处理的效果是维护、增进信息主体的利益,且越是在较大范围内处理个人信息,越能有效维护、增进信息主体的利益,那便不应将处理范围限定在最小值。”以主要适用于干预行政领域的“最小”定位作为数字化改革中个人信息处理行为的基本原则,就显得有失偏颇。
(三)必要性原则的情境化判断
无论是公共数据共享带来的多元任务,还是给付行政、风险行政伴生的流动数据需求,都提示我们,跳脱出僵化的概念禁锢,探索适应信息时代的必要性原则内涵。作为考察手段目标关系的最重要理论工具,当涉及个人信息的同一数据用于多种不同国家任务时,应结合不同使用场景判断个人信息处理行为对信息主体造成的影响;考虑到差异化的任务,会产生侵益或授益的分化效果,应分别根据权益增加或减少的面向,决定必要性原则的适用范围;同时联系个人信息自身的敏感度,进一步区分适用:“对必要性原则的升华,需要对个人信息建立起分级分类情境化的区隔,按照核心、重要数据及一般数据,以及识别度、关联度、敏感性等多维度对个人信息进行区别,提供各层次场景选择,供给不同程度的保护方案。”综合以上多重因素,以公共数据收集、共享和开放的三大个人信息处理场景作为基本划分,重新建构必要性原则的动态调整机制。
1.公共数据收集阶段,是将个人信息从信息主体转移到国家机关的关键节点,触及个人享有的知情权和决定权等核心个人信息权益。因此,原则上应适用较为严格的“法定职责”,即趋近于静态的“法定职责”认定,具体方案如下:以规章以上的规范性文件,作为收集个人信息的国家任务依据;或在行政协议作为职责来源时,审慎核查契约双方的权利义务对等性;或在概括授权的前提下,对是否承认行政惯例,秉承较为刚性的审查标准。在此基础上,重点考察公共数据直接服务的国家任务对个人权益可能带来的影响:“大数据时代,个人信息的使用场景纷繁复杂,超出立法所能规范与预见的能力,以用户为中心、结果为导向进行动态界定的思路由此日益为国际上所倡导,其核心在于考察个人信息的处理行为给用户带来的后果及隐私影响。”由此,大体可以将必要性原则的适用分为三类:不利于信息来源主体的干预或侵害任务,强调对实现国家任务的“最小”数量、保存时长、载体形式的必要性内涵;对信息来源主体纯粹获益的给付任务,必要性原则的适用应平衡“最小”与“增益”之间的内在张力;基于风险预防的特定任务,必要性原则应适度让位于不确定性规制所需的大数据分析前提。
2.公共数据共享阶段,从各地一体化公共数据平台的建设情况来看,个人信息已经进入统一的政务云(或国家机关购买的私有云),信息来源主体失去了对这部分个人信息的实际控制权。此时,再强调静态的法定职责作为控制手段,已经欠缺对前述整体政府改革效应的有效约束,情境化的法定职责与必要性原则的内涵调整必不可少。根据数据提供机关与数据利用机关之间的不同法律关系,有学者将其分为三种模式:“以业务协同关系为基础的模块式汇集、以资源互助关系为基础的旋涡式汇集及以统筹指挥关系为基础的枢纽式汇集。”这种视角固然能帮助我们厘清公共数据共享的权力基础,但更为重要的,是三种形态下国家机关的主要活动内容对个人信息来源主体产生的不同影响:①模块式汇集类型下,国家机关作出的主要是针对特定个体的执法决定,实际上是将个人信息从个人—国家的收集渠道,调整到机关—机关的内部转移,其实质等同于公共数据收集,故应遵循公共数据收集阶段的法定职责与必要性原则的内涵要求;②旋涡式汇集类型下,国家机关实施的主要是针对特定群体的决策,只有群体画像越精准,决策的质量才能越高。此时,就不能一味强调法定职责的刚性与必要性原则的最小化,但需要以充分的说理作为共享的职责基础与必要性证成;③枢纽式汇集类型下,国家机关开展的主要是公共规划与公共政策的制定活动,此时虽然对公共数据的体量要求是最大的,但对公共数据的个体指向性需求却是最低的,应该确立非必要不共享原始状态个人信息的基本要求。
3.公共数据开放阶段,包含了公共数据的普惠型开放与授权运营,“是一个包括不同阶段连续、多元主体共同参与的动态过程,其目的是通过公私部门的合力,为社会公众释放普惠性的公共数据价值”。可见,公共数据开放与公共数据收集、共享阶段的法定职责无关,是促进数据要素市场化和推动数字经济发展的的产物。既无法定职责,自然难以判断与职责目标相配套的手段之必要性。退一步说,若将促进数据要素市场化和推动数字经济发展作为公共数据开放单位的法定职责,则该职责属于给付行政的范畴,也难以用干预行政下发展出的必要性原则进行规范。由此,对国家机关开放利用公共数据活动的规范,就需要另辟蹊径。温州·中国数安港先行探索的“原始数据不出域,数据可用不可见”模式,经由中共中央、国务院《关于构建数据基础制度更好发挥数据要素作用的意见》(2022年12月2日)的采用,现已成为全国各地最常见的公共数据开放利用的技术规范路径。但隐私技术能否真的做到“原始数据不可见”,以及在技术路径之外是否还可以通过利用收费或数据反哺,实现公共数据的公平利用与合理制衡,尚待理论研究与社会实践的检验。
五、结语:职责履行与个人信息权益保护的内在平衡
自《个人信息保护法》出台以来,关于国家机关处理个人信息所应遵循的依据与界限,一直存在争议。“法定职责”看似给出了国家机关不适用“告知同意”规则的豁免条件,却又因概念界定的不确定性与实践操作的多样性,遭致学界与实务界的双重批评。严格解释“法”的范围、限制职责的来源标准,固然能发挥个人信息权益保护的作用,但数字化改革如火如荼推进的实践,却又呼吁我们正视中国特色社会主义法律体系早已于2008年已经基本形成、但大多数法律法规未就国家机关处理个人信息作出规定的现实。更何况,数据的流动性、可复制性、可加工性等特征,决定了涉及个人信息的公共数据在初次采集后,仍能反复适用于其他国家机关的多元任务,甚至可以纯粹促进数字经济与数字社会的发展。以传统行政法的静态法源观和最小定位的必要性原则,规范国家机关处理个人信息的活动,已经难以适应数字化改革推动下的整体政府。
为在职责履行与个人信息权益保护之间寻求最佳平衡点,有必要构建情境化的法定职责解释方法与必要性原则要求。根据个人信息处理行为是否触及个人信息自决权/信息控制权,可以将个人信息处理行为划分为核心信息处理行为与辅助信息处理行为。考虑到前者影响的是个人信息权益的基础性权能,仅规章以上规范性文件且必须明确授权,方可作为法定职责的依据;鉴于后者仅牵涉个人信息权益的功能性权能,职责依据的范围可以放宽到所有合法的规范性文件且无须明确授权。行政协议、行政惯例均只能作为法定职责的补充依据,且须受到协议对价性、惯例公开性与可接受性的约束。在整体政府改革推进过程中,法定职责与必要性的动态调整更显正当。可进一步将信息处理行为划分为三个阶段:公共数据收集阶段,可适用收集时的规范依据界定静态的法定职责,并结合所收集的个人信息服务于干预行政、给付行政还是风险行政,分别厘清必要性原则三种类型中需要重点关注的侵害与增益;公共数据共享阶段,以数据汇集形式对个人信息权益可能造成的损害为界分,调整法定职责的刚性程度和必要性原则的最小尺度;公共数据开放阶段,法定职责的约束作用极其有限,应在推进数据要素市场化与数字经济发展的同时,充分利用隐私技术的发展保护个人信息权益。置身个人信息处理活动的多元场景,结合受影响信息权益的类型,寻求职责履行与个人信息权益的动态平衡,方为数字时代的依法行政新解。
(责任编辑:彭錞)
【注释】
[1] 《个人信息保护法(草案)征求意见》,载北大法宝官网,https://www.pkulaw.com/protocol/86eee948b47bc33d439869974e44f7d4bdfb.html,最后访问日期:2025年10月18日。
[2] 《中华人民共和国个人信息保护法(草案二次审议稿)征求意见》,载北大法宝官网,https://www.pkulaw.com/protocol/2a8bc1f710879423765dcca29a4091b6bdfb.html,最后访问日期:2025年10月18日。
[3] See General Data Protection Regulation, Art. 6(1); Fourth Amendment to the United States Constitution.
[4] 职责法定或法定职责,也可表述为职权法定或者法定职权。通说认为,职责与职权是一体两面的关系,相互依存、彼此对应,职权与职责相统一。但现代行政的发展,特别是在给付行政与风险行政领域,行政机关有可能被授予概括性的事务管辖权,却欠缺如何行使权力、怎样行使权力的具体指引。此时,可能会出现职责与职权并不完全匹配的情形,这也正是今天促进型立法遭遇的立法效力不足的困境。
[5] See Moira Paterson and Maeve McDonagh, “Data Protection in an Era of Big Data: The Challenges Posed by Big Personal Data,” Monash University Law Review, Vol.44, No.1, 2018, p.23.
[6] 应松年:“依法行政论纲”,《中国法学》1997年第1期,第29页。
[7] 《英国数据保护法》中也有类似规定。See UK Data Protection Act 2018, Part 2, Chapter 2, Article 16(1)(a).
[8] 王锡锌:“行政机关处理个人信息活动的合法性分析框架”,《比较法研究》2022年第3期,第99页。
[9] 周海源:“‘民法典’时代行政法规创设民事制度的正当性及其限度”,《行政法学研究》2021年第3期,第26页。
[10] 王锡锌,见前注[8]。
[11] 彭錞:“论国家机关处理个人信息的合法性基础”,《比较法研究》2022年第1期,第168页。
[12] 程啸:“论个人信息权益”,《华东政法大学学报》2023年第1期,第14页。
[13] 龙卫球主编:《中华人民共和国个人信息保护法释义》,中国法制出版社2021年版,第162页。
[14] 对法律保留原则要求的法律根据所做的组织规范与根据规范之分,可参见(日)藤田宙靖:《行政法总论》,王贵松译,中国政法大学出版社2023年版,第58页。
[15] Steinmüller u. a., Grundfragen des Datenschutzes: Gutachten im Auftrag des Bundesministeriums des Inneren, 1972, BT—Drucksache VI 3826, S.87.转引自杨芳:“个人信息自决权理论及其检讨——兼论个人信息保护法之保护客体”,《比较法研究》2015年第6期,第23页。
[16] See Samuel D. Warren and Louis D. Brandeis, “The Right to Privacy,” Harvard Law Review, Vol.4, No.5, 1890, pp.193-220.
[17] Whalen v. Roe,429 U.S.589(1977),599-600.
[18] (德)康拉德·黑塞:《联邦德国宪法纲要》,李辉译,商务印书馆2007年版,第251页。
[19] 王泽鉴:“人格权的具体化及其保护范围·隐私权篇(上)”,《比较法研究》2008年第6期,第18页。
[20] 丁晓东:“个人信息权利的反思与重塑:论个人信息保护的适用前提与法益基础”,《中外法学》2020年第2期,第346页。在论证个人信息自决权/个人信息控制权的相对性思路之外,另有学者指出信息科技自身的专业性与迭代性从根本上颠覆了作为人性尊严或者自我决定理论根基的理性主义哲学。冗长、专业的格式范本,或耗费用户的宝贵时间,或超越用户的理解能力,最终导致盲目的同意或拒绝。有鉴于此,以个人信息处决权/个人信息控制权为基础的告知同意规则,需要受到全面的反思。See Omri Ben-Shahar, “Data Pollution,” Journal of Legal Analysis, Vol.11, 2019, p.131.
[21] 赵宏:“告知同意在政府履职行为中的适用与限制”,《环球法律评论》2022年第2期,第46页。
[22] 2015年最高人民法院《关于适用<中华人民共和国行政诉讼法>若干问题的解释》(以下简称《适用解释》)第11条第1款规定:“行政机关为实现公共利益或者行政管理目标,在法定职责范围内,与公民、法人或者其他组织协商订立的具有行政法上权利义务内容的协议,属于行政诉讼法第十二条第一款第十一项规定的行政协议。”
[23] 2019年最高人民法院公布的《关于审理行政协议案件若干问题的规定》(以下简称《行政协议司法解释》)第1条规定:“行政机关为了实现行政管理或者公共服务目标,与公民、法人或者其他组织协商订立的具有行政法上权利义务内容的协议,属于行政诉讼法第12条第1款第(十一)项规定的行政协议。”
[24] 梁凤云:“行政协议的界定标准——以行政协议司法解释第1条规定为参照”,《行政法学研究》2020年第5期,第6页。
[25] Mahendra P. Singh, German Administrative Law: In Common Law Perspective, Heidelberg: Springer-Verlag Berlin Heidelberg, 1985, p.52.
[26] 周佑勇:“论作为行政法之法源的行政惯例”,《政治与法律》2010年第6期,第16页。
[27] 陈新民:“论行政惯例的适用问题——评最高人民法院‘广州德发房产建设有限公司诉广州市地方税务局第一稽查局税务处理决定案’判决”,《法学评论》2018年第5期,第21页。
[28] Guidelines 05/2020 on Consent under Regulation 2016/679, Article 13.
[29] 柳建龙:“论基本权利放弃”,《法学家》2023年第6期,第1页。
[30] 张新宝:“个人信息收集:告知同意原则适用的限制”,《比较法研究》2019年第6期,第13页。
[31] 蒋红珍:“比例原则位阶秩序的司法适用”,《法学研究》2020年第4期,第50页。
[32] 丁晓东:“论个人信息法律保护的思想渊源与基本原理——基于‘公平信息实践’的分析”,《现代法学》2019年第3期,第106—107页。
[33] 王敬波:“面向整体政府的改革与行政主体理论的重塑”,《中国社会科学》2020年第7期,第110页。
[34] 参见陈敏:《行政法总论》,台湾新学林出版有限公司2009年版,第907页。
[35] 张治宇认为,“宪法意义上的行政主体”仅有中央人民政府,地方各级人民政府仅为“准宪法意义的行政主体”,理由是在实行单一制的中国,地方政府事实上不具备独立的法律人格。参见张治宇:“面向整体政府的职权法定原则更新”,《北方法学》2022年第4期,第117—119页。
[36] 如《浙江省公共数据条例》第22条第1款规定:“本条例所称公共数据共享,是指公共管理和服务机构因履行法定职责或者提供公共服务需要,依法使用其他公共管理和服务机构的数据,或者向其他公共管理和服务机构提供数据的行为。”
[37] 《国务院关于加强数字政府建设的指导意见》(国发[2022]14号)。
[38] 武腾:“最小必要原则在平台处理个人信息实践中的适用”,《法学研究》2021年第6期,第83页。
[39] 王月明、唐瑞芳:“大数据时代最小必要原则的悖论与超越”,《湖南大学学报(社会科学版)》2023年第3期,第123页。
[40] 范为:“大数据时代个人信息保护的路径重构”,《环球法律评论》2016年第5期,第97页。
[41] 王锡锌:“政务数据汇集的风险及其法律控制”,《华东政法大学学报》2024年第3期,第23页。一如作者指出的,文章不严格区分数据汇集与数据共享、政务数据与政务信息等相近概念。
[42] 孟飞:“公共数据开放利用的逻辑与规则”,《上海政法学院学报》2023年第5期,第78页。
[43] 2008年3月8日,时任全国人大常委会委员长的吴邦国同志在向十一届全国人大一次会议作全国人大常委会工作报告时说:“由七个法律部门、三个层次法律规范构成的中国特色社会主义法律体系已经基本形成。”吴邦国:“全国人民代表大会常务委员会工作报告——2008年3月8日在第十一届全国人民代表大会第一次会议上”,载《人民日报》2008年3月22日,第2版。
郑春燕,浙江大学光华法学院教授
