数字时代的平台化浪潮不仅重构了市场领域的互联网结构和社会关系,同时也以前所未有的深度与广度重塑着国家权力的运行形态。“平台型政府”正在从前瞻构想演变为数字政府建设的普遍实践。近年来,中国在数字政府建设领域成就斐然,“全国一体化在线政务服务平台”(以下简称“政务平台”)的建设与发展即为典型例证。历经十余年的推进,政务平台不仅成为政府通过数字化手段提供公共服务、提升治理效能的核心枢纽,更演进为权力深度嵌入社会运行、集中处理个人信息的新型公共网络基础设施。然而,本应遵循公法原理制定的政务平台隐私政策,在实践中却普遍陷入私法主导的窠臼:各级平台的隐私政策与商业平台几无二致,均围绕“告知同意”展开;而本应作为首要合法性基础的“为履行法定职责所必需”,却被边缘化为可有可无的例外情形。尽管公法学界曾对立法过程中民法思维的过度介入提出过反思,亦有学者检视过《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)在公权力领域实施效果不彰的困境,但政务平台隐私政策在法律适用上的系统性错位表明,私法主导已固化为我国个人信息保护制度领域的一种范式——从学理探讨到立法设计,再经由法律实施,渗透至数字政府的建设实践当中。
面对政府平台化所引致的全新治理格局,我们亟须从根源上厘清政务平台隐私政策陷入“私法主导范式”的生成机理,并依据法理界定公、私法的功能边界,对其隐私政策中的法律责任主体、责任范围、处理个人信息的合法性基础、行为边界、处理清单、责任承担机制等进行系统性的公法重构。实现这一公法重构不仅能在提升政务服务效能与切实保障个人信息权益之间达成新的平衡,而且能为《个人信息保护法》在公权力领域的全面落地开辟切实可行的新路径,为数字法治政府的建设提供制度方案。
一、政务平台的法律构造
探究政务平台隐私政策的规范形态,首要前提在于对其法律构造进行内外维度的精准解剖。在外部构造层面,需厘清平台设立的规范依据、主管机关的职权归属以及涉及的国家机关之间的关系;在内部构造层面,则需识别个人信息处理者的类型、具体的处理场景,以及不同主体与场景交织而成的法律关系性质。唯有透视其法律构造,方能依据不同场景为多元化的个人信息处理者准确适用“合法性基础”。作为合法、正当原则的具体展开,《个人信息保护法》第13条第1款设定了七种合法性基础,只有符合其中任一情形,“个人信息处理者方可处理个人信息”。这也意味着,七种合法性基础犹如七条规范通道,每一条通道背后都联结着差异化的“个人信息处理规则”、应当保护的“个人在个人信息处理活动中的权利”和应当履行的“个人信息处理者义务”。因此,系统梳理政务平台的法律构造,准确定位不同场景和主体的“规范通道”,便构成探讨其隐私政策制度设计的逻辑起点。
然而,要以法学视角来解析各级政务平台的内外构造,实非易事。首先,政务平台的制度依据呈现高度碎片化,内部场景也异常复杂。我国政务平台的建设并非基于某种先验的学理蓝图一蹴而就,而是国务院在宪法和组织法授权范围内的自我改革,是数十年“问题导向、有限目标下的渐次推进”的产物。从2016年至今,国务院及各级地方政府制定了大量的法规、规章及规范性文件,使得政务平台的制度依据异常庞杂。同时,政务平台内部的个人信息处理者和处理场景远比商业平台复杂。商业平台内部虽然涉及多方主体,但都仅限于平等民事主体之间的关系。反观政务平台内部,不仅有多种类型的权力主体,而且还有各种权利因素参与其中,从而造就了复杂而多元的法律关系。
其次,相关法学研究积累与政务平台快速发展之间存在落差。长期以来,学界的注意力被大型平台公司的影响力所吸引,研究重心聚焦于“数字权力”“平台权力”等“描述性概念”,而以国家公权力为研究对象的“规范性概念”则乏人问津。在“告知同意是个人信息保护的核心制度”的思维定式下,隐私政策亦被学界默认为私法制度。反观本就脱胎于商业平台成功经验的“政府即平台”,从一开始就被赋予了太多理想色彩。而现实中的政府平台往往看上去很不“平台”,自然也就难以引起法学界的兴趣。近年,随着中共中央、国务院提出“全面建设数字法治政府”的战略目标,政府平台化挑战才逐渐进入法学界视野。尽管关于国家机关处理个人信息的规范分析已有展开,但法学界仍缺少深入数字政府建设实践的“隐私政策”专门研究。
鉴于制度与理论供给均有所不足,笔者认为在探究政务平台隐私政策之前,有必要深入政务平台建设和运行的实际,阐明其内外法律构造,厘清各种场景下应当适用的个人信息处理合法性基础。
(一)政务平台的法律关系构造
从宪法与组织法的授权逻辑来看,政务平台本质上是国家权力在数字空间的延伸,其核心法律关系应被界定为权利主体与权力主体之间的公法关系。“全国一体化在线政务服务平台由国家政务服务平台、国务院有关部门政务服务平台(业务办理系统)和各地区政务服务平台组成。国家政务服务平台是全国一体化在线政务服务平台的总枢纽,各地区和国务院有关部门政务服务平台是全国一体化在线政务服务平台的具体办事服务平台。”尽管政务平台由行政机关推进建设并主管,且主要是行政机关向公民、法人提供服务的载体,但随着平台建设的持续推进与功能扩展,政务平台也逐渐开始接入人大、监察、审判和检察等其他国家机关提供的在线政务服务。据此,支撑政务平台运行的权力架构,在规范层面可解析为以下两类:
第一类是行政权力,其内部又可以区分为平台管理权力和行政服务权力。本文所论述的平台管理权力,是指有关行政部门依据法律、法规的授权,在构建与维系政务平台运行过程中所享有的管理权力。从公法的角度来看,政务平台本身与接入平台的各种行政服务提供者隶属于不同的行政组织。如果说商业平台的独立性表现在其独立的法人地位,那么政务平台中平台自身的独立性,则表现在平台由独立的行政组织,即平台管理者负责运营。依据《国务院关于在线政务服务的若干规定》(以下简称《在线政务服务规定》)第3条,国家政务平台由国务院办公厅负责管理,省级平台则由省级政府负责管理。
行政服务权力,即各行政部门为实施具体政务服务事项所行使的职权。这里的行政部门,也即行政服务提供者,包括了政府部门和法律、法规授权的具有管理公共事务职能的组织。依据《在线政务服务规定》第4条,政务平台提供的政务服务事项包括行政权力事项和公共服务事项。具体来说,行政权力事项是指由法定行政机关或组织实施的对自然人、法人和其他组织权利义务产生直接影响的具体行政行为,包括行政许可、行政处罚、行政强制、行政确认、行政裁决、行政给付、行政奖励、行政备案及其他行政权力事项;公共服务事项是指除行政权力事项之外的授益性事项,如公共教育、劳动就业、社会保险、医疗卫生、养老服务、社会服务、住房保障、文化体育、残疾人服务等。
平台管理权力与行政服务权力构成了政务平台的双重内核,二者相互依赖,缺一不可。然而,这一共生关系在实际运行中呈现出“技术同构但法律异质”的内在张力。从用户交互的维度审视,这两类权力的行使深度嵌入统一的操作界面与连贯的业务流,展现出高度的同构特征。但在法律属性上,二者却存在差异。平台管理权力源自《在线政务服务规定》等行政法规的概括性授权,功能指向在于维系平台基础设施的稳定运行与系统安全,其个人信息处理具有通用性、架构性特征;而行政服务权力是各行政部门履行特定职权的数字化延伸,其个人信息处理的目的、范围及期限严格受制于特定的法律规范,呈现出显著的独立性与专业性。简言之,前者侧重于平台基础设施的运行规则,后者则关涉具体行政浮动的合法性边界。厘清二者的共生关系与法律异质,不仅有助于确保法律适用的准确性,更为后续构建体系化的隐私政策框架奠定了清晰的逻辑前提。
第二类是其他国家权力,即行政机关以外的国家机关通过接入平台所行使的职权。这类权力的出现,主要是因为人大、监察、审判、检察等其他国家机关也开始推进数字化建设,并纷纷接入同级政务平台。政务平台正从单一的“行政门户”向综合性的“国家治理终端”演进。其中,司法机关接入政务平台的情况最为普遍。比如上海市高级人民法院建设的诉讼服务平台“沪案通”和上海市人民检察院主办的检察服务平台“上海检察12309服务平台”都接入了上海市政务平台。需要说明的是,对于政府建设的政务平台来说这类权力较为特殊,不是本文讨论的重点,但其公法原理基本相同。
总之,在常态化的个人信息处理场景中,用户与政务平台中的权力主体之间形成公法关系,而非平等民事主体之间的私法关系。以下以上海市“户口迁移审批”为例进一步说明。用户首先需要在上海市政务平台完成账号注册、实名认证、关联电子证照等前置操作。此时,作为权利主体的用户与作为权力主体的平台管理者之间形成公法关系,即便用户未办理任何业务,平台层面的个人信息处理活动也已独立发生。用户进入事项办理页面后,按系统要求提交申请材料。其中,已关联的居民身份证、房产证等电子证照由平台提供,用户则需提交其他法定申请材料。上海市公安局依据《中华人民共和国户口登记条例》及本市户口政策,对是否准予迁入落户作出决定。此时,用户(权利主体)与平台管理者(权力主体)、公安机关(权力主体)之间交织形成了复合的多重公法关系。相关个人信息处理是否必要、是否过度、保存期限如何设定,均应当依据前述法规、政策加以判断。
当然,现代行政服务的复杂性决定了在政务平台中必然有一定的权利因素参与其中。这些因素可归纳为四类:一是准公共服务,主要包括供水、供电、供气等公用事业。依据我国《民法典》,用户与公用企业事业单位之间形成合同法上的平等民事主体关系。但部分省级平台将这类服务纳入政务服务事项统一管理,对于那些需要在平台和公用企业事业单位之间传递、共享的个人信息来说,用户与平台、公用企业事业单位之间依然形成复合公法关系。二是与政务服务有一定关联性的商业服务,如旅游、餐饮、体育、购物等。此时,用户与商业服务提供者之间形成平等民事主体关系,平台管理者则暂时扮演了商业平台的角色,作为权利主体参与其中。三是第三方辅助服务,如支付、物流、政务服务信息推送、人脸识别等。平台为了系统运行管理,需要委托第三方商业辅助服务。对于平台与此类第三方之间的个人信息共享、传递究竟形成哪种法律关系,还需要依据其辅助的主法律关系来判断。四是平台在法律法规授权之外为用户提供增值信息服务,如在具体政务服务之外向用户推送信息、用户画像分析等。此时平台管理者成为临时的权利主体,用户与平台管理者之间形成短暂的、临时的平等民事主体关系。这些权利因素虽客观存在,但仅具有辅助性、临时性与例外性,不应遮蔽政务平台的公法本质。
(二)政务平台处理个人信息的合法性基础
基于上文剖析,政务平台隐私政策的规范构建逻辑已然清晰:在公权力运行的核心场景,个人信息处理活动必须确立“为履行法定职责所必需”的主导地位;而在权利因素介入的边缘或辅助场景,则有限度地适用告知同意等私法合法性基础。这不仅是法律适用的技术选择,更是权力与权利二元结构在数字治理中的规范映射。在政务平台中,各种法律主体在不同场景下应当适用哪种合法性基础,还需要具体分析。
首先,“为履行法定职责所必需”应当成为政务平台构建隐私政策的逻辑起点和核心规则。作为国家机关,平台管理者和各类行政服务提供者的个人信息处理行为本质上是权力的数字化行使,其合法性基础理应指向《个人信息保护法》第13条第1款第3项中的“法定职责”。通过对第13条第1款其他合法性基础的法解释学检视,可进一步印证这一结论。第一,可排除纯粹私法性质的合法性基础,包括第1项取得个人同意、第2项为订立履行合同所必需和第5项新闻报道。关于国家机关能否适用取得个人同意,学界存在争议。依据上文分析,平台管理者作为权力主体时不能适用,只有转变为临时权利主体时方可适用。第二,具有公共属性的其他合法性基础应被“法定职责”所涵盖。第4项突发公共卫生事件应对,第6项合理处理已公开的个人信息,第7项法律、行政法规规定的其他情形,虽理论上可以适用于权力主体,但对于政务平台来说,这些情形往往是特定法定职责的具体化。基于“一般法与特别法”的竞合原理,在政务平台的常态化运行中,应优先适用“法定职责”。第三,需厘清“法定职责”与“法定义务”的界限。第3项中与“法定职责”并列的“法定义务”,通常指向被动履行的特定法律义务,如政府信息公开、配合司法调查、维护网络安全等,而非国家机关行使本职权力的“法定职责”。综上,对于平台内的权力主体而言,“为履行法定职责所必需”构成了其处理个人信息的正当性原点。
其次,告知同意等私法合法性基础仅在特定场景下发挥辅助与补强功能。第一,准公共服务提供者为履行服务合同直接从用户端收集的个人信息,应当适用为订立履行合同所必需;但被纳入政务服务事项的公用企业事业单位与平台之间的个人信息传递、共享等,还是应当适用“为履行法定职责所必需”。第二,一般商业服务,无论是直接收集还是与平台的数据传递和共享,平台管理者与商业服务提供者应当分别适用告知同意。第三,辅助平台运行管理的第三方辅助机构法律地位都属于《个人信息保护法》第21条规定的委托处理情形,其处理行为的合法性基础具有依附性:若辅助公法关系,则溯源至“法定职责”;若辅助私法关系,则适用告知同意等私法合法性基础。第四,平台管理者为提供法定职责之外的信息服务而处理个人信息则应当适用告知同意。部分地方性法规已对此类“履职外采集数据”作出了明确授权与限制,但此类服务必须严守“非强制”的底线,即用户的“不同意”不得成为其获取基础政务服务的障碍,亦不得导致任何公法上的不利评价。
二、私法主导范式下的政务平台隐私政策
尽管依据法理,政务平台应遵循公法原理构建,但在现实运作中,其隐私政策却呈现出与商业平台高度同构的特征:普遍陷入私法主导的路径依赖,机械地将“告知同意”奉为圭臬;而本应作为逻辑起点和核心规则的“为履行法定职责所必需”却沦为可有可无的例外情形。为了揭示这一现象的普遍性及其具体表征,本文对全国范围内的33份政务平台隐私政策进行了考察,涵盖了1个“国家政务服务平台”和32个省级“政务服务平台”。结果显示,无一例外,所有的隐私政策都采纳了私法主导范式。各个政务平台隐私政策当中的私法主导范式,具体表现如下:
(一)以国家标准为事实上的制定依据
政务平台隐私政策制定的首要规范依据理应是《个人信息保护法》。但从形式要素来看,仅有5个平台明确引述该法,2个平台仅引述了《中华人民共和国网络安全法》(以下简称《网络安全法》)和《民法典》。此外,宁夏回族自治区政务平台在注册界面注明其隐私政策制定依据是“《信息安全技术个人信息安全规范》(GB/T 35273-2017)及网络信息安全相关法律法规”。其余25个平台都没有具体说明隐私政策的制定依据。从实质内容来看,这些隐私政策制定的依据,或者说模板,并不是任何一部立法,而是国家标准《信息安全技术个人信息安全规范》(GB/T 35273-2017;GB/T 35273-2020)(以下简称《个人信息安全规范》)。尽管除了宁夏回族自治区,各政务平台均未予明示,但从其取得同意的交互设计、文本的体例结构、核心原则的表述乃至具体规则的展开,均可清晰辨识出该标准的巨大影响。简言之,该标准所提供的“隐私政策模板”就是各政务平台制定隐私政策时所采用的“模板”。而《个人信息安全规范》本身就是私法主导范式的典型代表。尽管其宣称“适用于规范各类组织”,但并未考量国家机关处理个人信息的不同要求,以告知同意作为其贯穿始终的基本原则和核心规则,而本应适用于国家机关的“法定职责”则被缩限、挤压到各种例外情形之中。
(二)以告知同意为基本原则和核心规则
在《个人信息安全规范》所构建的规范体系中,“告知同意”并非单纯的操作规程,而是被升格为基本原则,其地位与《个人信息保护法》中的合法、正当原则相当。这一原则具有强大的穿透力,不仅统摄了一般个人信息的收集与使用,更在敏感个人信息处理、数据共享转让、公开披露及儿童信息保护等高风险场景中衍生出更为严苛的“特别同意”规则。相比之下,《个人信息保护法》第13条第1款列举的“法定职责”和“法定义务”等公法合法性基础,则被《个人信息安全规范》界定为各种“例外”情形。
本文统计的33份隐私政策,无一例外均采用了这种范式。告知同意作为核心规则贯穿隐私政策始终。以国家政务平台为例,其隐私政策开篇即表明“如您点击‘同意’并确认提交、使用本应用”即视为同意;紧接着,在“如何收集与使用您的用户信息”部分,采用了公式化的表述“当您使用......服务时,需要您授权本应用使用您的......,您同意......”。在其余部分,除收集未成年人信息需征得监护人同意之外,使用cookies和同类技术,个人信息的共享、转让、公开披露,保存用户信息,用户信息储存及转移,隐私政策更新等章节均采用了类似的公式化表述。与告知同意原则相适应,在个人管理权限部分,各平台隐私政策赋予了用户一些本不应该享有的支配性权限。譬如,通过“改变您授权同意的范围或撤回您的授权”行使部分或全部个人信息的删除权。再如,基于同意的账户注销,用户可以完全删除其所有个人信息。对于国家机关来说,信息删除往往涉及公共利益,需由具体法律规定,并非个人所能决定。更为甚者,部分隐私政策甚至赋予用户“数据可携权”。然而,可携权系市场竞争机制下的产物,旨在打破商业平台的数据垄断,仅适用于基于同意或合同收集的个人信息。
(三)“法定职责”被降格并缩限为例外情形
《个人信息安全规范》没有采纳欧盟《通用数据保护条例》(General Data Protection Regulation,以下简称“GDPR”)的合法原则,而是构建了一个以告知同意为绝对核心、其他情形为附随例外的规范体系。《个人信息安全规范》设置了三种例外。一是收集、使用个人信息时征得授权同意的例外(以下简称“收集使用例外”);二是共享、转让、公开披露用户信息时事先征得授权同意的例外(以下简称“共享例外”);三是响应个人信息主体请求权的例外(以下简称“权利响应例外”)。概括来看,这三种例外所列举的具体情形大同小异,而且大多数情形被《民法典》第1036条和《个人信息保护法》第13条所吸收,唯独缺少了“为履行法定职责所必需”。究其根源,《个人信息安全规范》没有采用“法定职责”或其类似的抽象概念,转而采用了列举式立法技术,仅限定了“国家安全、国防安全”,“公共安全、公共卫生、重大公共利益”及“刑事侦查、起诉、审判和判决执行”三类特定的强公权力事项。经此缩限,政务服务这类弱公权力事项被排除在“例外”之外,这似乎是暗示此类日常公共服务工作仍须遵循告知同意规则。
有31份隐私政策至少规定了收集使用例外与共享例外中的一种。其中,15份规定了三种例外,27份规定了权利响应例外,仅2份未规定任何例外。从具体情形看,24份基本复制了《个人信息安全规范》相关条款,仅在“法定职责”相关的表述上做了微调。比如国家政务平台隐私政策在收集使用例外中增加了一种情形:“本应用或接入的第三方服务为政府机构或具有法律赋予的行政权力机构,因执行公权利进行收集、使用用户数据的行为。”还有7份隐私政策引述《个人信息保护法》第13条第1款第2至7项作为收集使用例外或共享例外,同时又引述了2020版《个人信息安全规范》第8.7条作为权利响应例外。较为特殊的是贵州省政务平台,其隐私政策表面上似乎是采用了《个人信息保护法》的合法原则,但列举的首要和原则性“合法性基础”仍然是“取得您的同意”,而其他9项“无需再征得您的同意”的“合法性基础”,实质上就是《个人信息安全规范》当中的收集使用例外。除了这三类较为原则的例外,部分平台甚至盲目照搬了仅适用于企业法人的“收购或破产清算”特定例外条款。
(四)法律主体与责任公、私混同
从各个政务平台隐私政策来看,其法律主体呈现出公、私兼有的混乱状态。完全符合《在线政务服务规定》第3条要求的仅有云南省政务平台,即由省级人民政府作为隐私政策的法律主体。在其余32份隐私政策中,法律主体呈现公权力性质的有26份:其中10份是省级政府直属机构,6份是政府内设办事机构,10份是事业单位。有6份隐私政策的法律主体属于营利法人,均为受委托参与平台建设的企业法人,如上海市的上海市民信箱服务有限公司、贵州省的多彩宝互联网服务有限公司及关联公司等。
关于平台管理者与行政服务提供者的法律责任界分,则呈现出鲜明的“两极分化”。其中15个平台套用商业平台“平台—第三方商家”的私法免责逻辑,采取“单独责任”模式,将行政服务提供者视为“第三方接入服务”。其隐私政策仅涵盖用户注册、身份认证、电子证照、安全保障等平台基础功能所涉的个人信息处理,对于具体行政服务中的个人信息处理则声明仅提供技术支持而不承担法律责任。包括国家政务平台在内的其余18个平台则采取“统一责任”模式,其隐私政策列举的个人信息处理活动涵盖了平台基础功能与各类行政服务事项,由平台统一对外承担责任。至于接入政务平台的人大、监察、法院、检察院等其他国家机关的个人信息保护责任,在全部33份隐私政策中均未涉及。
对于政务平台当中的各种权利因素,各平台隐私政策普遍未将其与权力作出区分,由此导致平台当中公法责任与私法责任的混同。首先,绝大部分隐私政策虽设有第三方责任条款,却无一份对政务服务、准公共服务和商业服务加以区分,普遍采用“第三方服务”“第三方应用”“第三方政务便民服务”等较为笼统的概念。其次,对于第三方商业辅助服务,所有平台都制定了“第三方共享清单”或“第三方SDK清单”。这也就意味着,各政务平台没有依据其辅助的主法律关系来区分其法律性质和合法性基础。最后,从平台自身提供的法定职责之外的信息服务来看,有19个平台在隐私政策中表明平台会提供政务服务之外的信息推送、个性化服务、信息自动决策、用户画像等服务,由于这些条款本就是告知同意机制的组成部分,因此也无法将这些服务与平台管理者本应承担的法定职责相区分。
三、私法主导范式的生成机理及其影响
前文的考察表明,政务平台普遍机械地沿用《个人信息安全规范》提供的模板,以告知同意为基本原则和核心规则构建隐私政策。这一现象展示了私法主导范式的强大影响力,同时也引出了更为深层的追问:私法主导范式是如何产生的?为何层级较低且制定在先的推荐性国家标准,在实践中的规制效力竟反超法律?而《个人信息保护法》颁布实施已逾四年,为何适用于国家机关的个人信息处理公法规范却难以落地?要回答这些问题,必须回溯我国个人信息保护制度发生发展的历史脉络,厘清其背后的学术与制度根源。
(一)民法思维与安全思维的合力
我国个人信息保护制度的构架并非单一逻辑演绎的产物,而是经历了一个从民法思维到公法思维,再迈向民法思维和安全思维双重变奏的演进过程。民法思维主张制定个人信息保护法应当采取“以私权保护为中心的立法模式”,而非“以政府管理为中心的个人信息保护模式”。公法思维则发端于我国电子政务建设实践,主张以宪法为基本依据,将个人信息权视为基本权利,并为“政府机关”与“其他个人信息处理者”(市场主体)分章设立行为规范。与民法思维和公法思维的理论先行不同,安全思维所要应对的则是互联网服务产业飞速发展所引发的各种现实的安全问题:“一些企业、机构甚至个人,从商业利益等出发,......利用个人信息侵扰人民群众生活安宁、危害人民群众生命健康和财产安全等问题仍十分突出。”
由于拥有共同的规制对象——互联网市场,安全思维与民法思维在制度发展过程中形成了合力,并主导了我国的个人信息保护立法进程。2012年《全国人民代表大会常务委员会关于加强网络信息保护的决定》(以下简称《加强网络信息保护决定》)和2016年《网络安全法》虽然形式上属于公法,但其制度内核却深受私法逻辑支配。通过这两部立法,告知同意从原本的一般规则跃升为基本原则,实质上成为处理个人信息的唯一合法性基础。安全思维与民法思维合力之下的集大成者,正是《个人信息安全规范》。彼时,为了落实《网络安全法》,监管者亟需为市场主体设定清晰、可执行且便于追责的合规判断标准。而民法学者早已锻造好的告知同意及其配套措施,恰好完美地满足了这一监管需求。于是,便产生了被誉为“全世界最严”告知同意规则的《个人信息安全规范》。更为关键的是,这套规则虽名义上是推荐性标准,但“在实施环节被变相强制化了”。由此,一项源于私法、强调个体意思自治的法律原则,经由安全导向的行政监管路径,被细化为一套具有强制约束力且近乎绝对化的合规规则。
诚然,安全思维精准捕捉了我国当下网络社会治理的主要矛盾,私法主导范式以其对告知同意原则的尊崇,成功为互联网市场建立了一套严密而有效的执法准则,这无疑是中国个人信息保护法治建设的巨大进步。但其产生的副作用是,一套专为监管市场而生的私法框架同时也被强行套用到政务服务领域。《网络安全法》颁布实施,以及《个人信息安全规范》制定、实施和修订的时期,恰好也是国家和各省政务平台从启动、建设到密集上线运行的时期。2016年国务院发布了第一份全国统一政务平台建设指南,其设计的《自然人实名注册协议》模板,采用的正是经典的告知同意规则。2018年国家政务平台开始启动建设,《个人信息安全规范》顺理成章地成为了其制定隐私政策的制度来源。相关国家标准明确要求各政务平台“应严格执行《中华人民共和国网络安全法》和GB/T 35273-2017中所列的基本原则”,“应对用户提供隐私保障协议,在用户注册时明示数据收集信息,并由用户明确确认。协议见GB/T 35273-2017和国办函〔2016〕108号中所列模板”。
(二)私法主导范式对《个人信息保护法》的影响
2020年之后,随着《民法典》和《个人信息保护法》接连颁布,近乎绝对化的告知同意原则开始得到修正,公法思维也有所复兴。《民法典》第1035条规定处理个人信息应当征得同意,“但是法律、行政法规另有规定的除外”,确立了以告知同意为一般原则、其他合法性基础为例外的规范模式。2021年颁布实施的《个人信息保护法》写入了“根据宪法,制定本法”,明确了个人信息权在宪法上的“实质性、规范性意涵”。相较于《个人信息安全规范》,《个人信息保护法》借鉴了GDPR的合法原则,告知同意也随之从基本原则被降格为个人信息处理的合法性基础和一般规则。意义更加重大的是,该法首次为公权力主体增加了专有的合法性基础,并制定了适用于国家机关的个人信息处理公法规范。尽管如此,私法主导范式的影响依然强大,民法思维在“很大程度上主导了理论导向和立法选择”。对此,有学者尖锐地指出:“主张《个人信息保护法》是民法的特别法,实质上是民法大一统观念的典型体现,将公私法合作治理关系变成为主从关系,将公法变成为私法的一部分。”
《个人信息保护法》中“私法为主,公法为从”的结构性失衡,集中体现为告知同意规则的核心和原则地位。起草伊始,立法机关就“确立以‘告知—同意’为核心的个人信息处理一系列规则”。民法学者认为,“草案二审稿”通过加入第13条第2款,进一步明确了“取得同意是原则,不需要取得同意是例外”。与此相适应,通观整部《个人信息保护法》,告知同意及其相关的个人信息处理私法规范体系严整、规则详备。而第13条第1款当中的“为履行法定职责所必需”则一直处于告知同意的阴影之下,在草案讨论过程中险些成了“可有可无”的多余条款。相应地,“国家机关处理个人信息”也被降格为“一般规定”之外的“特别规定”,与私法规范相比,其体系性和完备度不可同日而语。
然而,对我国立法产生重大影响的GDPR并没有采纳任何形式的“私法为主”或“公法为主”,而是秉持着公法与私法二分的框架体系。GDPR“第6条第1款(a)至(f)项所列各合法性依据之间不存在效力等级之分,即不存在某项依据具有规范优先性的情况”。只有在私营领域,当缺乏或难以界定其他合法性依据时,“基于同意的处理依据(第6条第1款(a)项)在实践中可能作为潜在替代方案发挥突出作用”。因此,在欧洲国家政府网站的“隐私公告”中,“执行公共任务”是居于主导地位的合法性基础,而“同意”等的适用空间被压缩到极为有限的边缘场景。比如英国数字政府统一身份认证系统(GOV. UK One Login)的“隐私公告”规定身份认证、身份核验等核心功能的合法性基础是“为执行公共利益任务或行使政府部门职能所必需”,“同意”仅适用于cookies分析和调查反馈等辅助性活动。德国联邦劳动和社会事务部的“隐私公告”同样规定“执行公共任务”适用于网站绝大多数功能场景,“合同履行”和“同意”仅适用于订购材料、招聘等民事交易场景。
《个人信息保护法》颁布实施虽然已超过四年,但其中的个人信息处理公法规范“仍然具有很强的‘象征性立法’色彩”。国务院早在三年前就提出,在《个人信息保护法》等法规出台后“亟需建立完善与政务数据安全配套的制度”。但实际情况是,政务领域的个人信息保护制度依然只有零星条款,缺乏可操作的实施细则或国家标准。反观个人信息处理私法规范体系,则呈现出爆发式增长态势。在数字市场监管领域,由国家网信部门推动制定的个人信息保护相关行政法规、部门规章和其他规范性文件已多达数十件,基于《个人信息安全规范》的国家标准体系也已蔚为大观。在此背景下,公、私法规范在实施层面的巨大反差,导致私法主导范式在实践中依然发挥着持续且排他的影响,各政务平台也只能继续将《个人信息安全规范》视为其隐私政策的模板。
四、公法重构
若商业平台隐私政策不仅被视为平台面向用户的承诺,而且“可能充当信息处理者的合规章程、市场声誉信息机制的媒介、司法诉讼与行政执法的依据、赢取个体信任与进行隐私教育的工具”;那么,政务平台隐私政策则应定位为政府依法履职、保护个人信息权益的证明,既是数字政府内部运作的操作规程与责任归属依据,亦是培育数字法治信任与开展公民教育的载体。尤为关键的是,基于公法原理重构其隐私政策,所涉利益非止于个体或局部,更关乎数字法治政府整体的诚信构建与公信力维系。受制于私法主导范式,现行隐私政策显难实现上述公共价值与制度目标。为此,亟需推动学界重新审视《个人信息保护法》第13条,重塑个人信息处理公法规范与私法规范之间的逻辑关系。在此基础上,各级管理者应当为其政务平台分别制定基于公法与私法的两份“隐私政策”。
(一)厘清个人信息处理公、私法规范间详略有别但效力并列的关系
实现政务平台隐私政策公法重构的前提是,矫正学界对《个人信息保护法》结构性“私主公从”的刻板认知。这就要求我们回归法理,对该法第13条进行学理上的正本清源。立法机关虽赋予告知同意在个人信息处理规则体系中的“核心地位”,但这更多体现为一种规范形式上的侧重:为了遏制商业领域的个人信息滥用,以告知同意为核心的个人信息处理私法规范确需制定得更加完善、更加系统。相对而言,国家机关并非彼时立法的重心,以“为履行法定职责所必需”为基础的个人信息处理公法规范因而呈现出条款简约、原则性强的特征。换言之,立法原意仅仅表明了两类规范在体系形式上的详略有别,不应据此推导出二者在规范效力上存在“原则与例外”的位阶差异。
从现有文献考察,并无明确的证据表明立法机关支持“取得同意是原则,不需要取得同意是例外”这一学理解释。前文已述,在立法过程中,仅法制工作委员会讨论过告知同意的核心地位,宪法和法律委员会未曾对此发表过定性意见。民法学者的观点主要基于第13条第2款。但对此,法制工作委员会经济法室编著的立法释义已明确指出,该条款意在说明:“本法中所有要求应当取得个人同意以及单独同意、书面同意的规定,都是对基于同意这一合法性基础处理个人信息作出的要求,如果处理者是基于本条第1款同意以外的合法性基础处理个人信息则不需要适用取得同意的要求。”可见,第2款的原意并非旨在确立告知同意的原则性地位,而是为了强调该规则内部的体系性;至于其他合法性基础,因无涉同意,自然无需适用此套体系化规则。从立法起草过程来看,最终稿删除了第35条中的“取得其同意”,却未采纳民法学者主张的删除第13条第1款第3项之建议,也从侧面印证了立法机关的态度:“为履行法定职责所必需”并非仅仅是适用于国家机关的“特殊规则”,而且也应当作为与取得个人同意并列的合法性基础之一。
综上所述,告知同意与其他合法性基础之间虽有体系上的详略之分、形式上的繁简之别,但绝无规范效力上的原则与例外之分。相对于私法规范,个人信息处理公法规范在体系详略上的差异是客观事实,也符合彼时安全思维的立法政策导向,但二者在规范效力上的并列关系必须坚守。否则,就会出现类似政务平台隐私政策普遍错位适用私法主导范式的状况。顺应这种“详略有别但效力并列”的关系,整部《个人信息保护法》在实施过程中亦应一分为二:当个人信息处理者是权利主体时,应当遵循民法原理,适用个人信息处理私法规范,告知同意也可名正言顺地成为核心与原则;当个人信息处理者是权力主体时,则应当依循公法原理,以“为履行法定职责所必需”为首要原则,适用个人信息处理公法规范。
(二)分别制定公法和私法两类“隐私政策”
唯有明确个人信息处理公法规范与私法规范在规范逻辑上的并列关系,方能在政务平台错综的场景与法律关系中,精准匹配相应的合法性基础。基于此,实现隐私政策公法重构的具体路径是制定两类“隐私政策”:各政务平台应当制定基于公法的双重《个人信息处理规则告知书》(以下简称《告知书》),同时保留作为例外和附属的、基于私法的《隐私政策》。
1.基于公法原理构建双重《告知书》架构
公法“隐私政策”应被命名为“个人信息处理规则告知书”,而不再使用“隐私政策”,主要是因为使用“个人信息处理规则”符合我国法律体系中“个人信息保护”与“隐私权”平行适用的实践。关于个人信息处理者履行告知义务的具体形式,我国《个人信息保护法》第17条并未使用“隐私政策”的概念,而是采用了“个人信息处理规则”。采用“隐私政策”只是实践中市场领域的通用做法。政务平台在履行告知义务时采用法定概念,更符合依法行政的基本要求,也便于用户区分政务平台中被保留的基于私法的《隐私政策》。使用“告知书”而非“政策”,则是为了凸显其公法特质。实践中,欧洲国家政府使用的是“隐私公告”,我国“人民法院在线服务网”也是使用“告知书”公开相关诉讼规则。具体而言,应当从以下几个方面实现公法重构:
(1)明确平台管理者的法律主体地位,构建双重《告知书》架构
作为个人信息处理者,平台管理者应当具备独立的法律主体地位,并由适格的行政法主体就平台的个人信息处理行为承担法律责任。国家政务平台的法定主管机关是国务院办公厅,省级平台则是省级人民政府。基于权责一致原则,其法律主体也应当分别是国务院办公厅与省级人民政府。但根据上文的统计,实践中各省往往通过地方性法规或地方政府规章将主管职权授予其所属部门或事业单位。笔者认为,在国务院没有统一规范的情况下,应当坚守公法底线,即平台管理者的责任主体应当是适格的行政法主体,或为省政府直属工作部门,或为法规规章授权的内部办事机构、事业单位,而不应是任何形式的营利法人。考虑到平台管理者事实上掌控着整个平台的基础设施、系统代码和数据流动,其理应成为行政组织法上的“新型组织单元”。
与平台法律主体密切相关的是其责任范围的界定,即依据不同性质的“法定职责”界分平台管理者、行政服务提供者与第三方权力主体各自承担的法律责任。首先,为有效化解前述平台运行与行政服务“技术同构但法律异质”的张力,同时防止实践中的“两极分化”处理,应分别制定《政务平台个人信息处理规则告知书》(以下简称《平台告知书》)与《政务服务事项个人信息处理规则告知书》(以下简称《事项告知书》)。《平台告知书》直接对应平台管理权力,涵盖用户注册、身份认证、个人信息管理、数据流转与共享、评价监督等通用性个人信息处理活动,由平台管理者作为责任主体;而《事项告知书》则对应行政服务权力,仅针对具体行政服务过程中的个人信息处理活动,由各行政部门作为责任主体。其次,接入平台的人大、监察、审判、检察等其他国家机关提供的在线服务,因其运行系统的封闭性与权力配置的区隔性,则应明确其作为第三方权力主体的独立责任并制定独立的《告知书》,同时由平台管理者依据《个人信息保护法》第58条履行相应的平台管理义务。
(2)编制适配双重《告知书》架构的结构化处理清单
政务平台要依法履行告知义务,制定结构化的处理清单无疑是最佳方式,这也是双重《告知书》架构最为核心的内容。实践中,各个政务平台都制定了私法主导范式下的个人信息收集和共享清单。其中,采用“统一责任”的平台在隐私政策中还列举了各类政务服务所需的个人信息。比如国家政务平台列举了社保医保、户政治安、驾管行驶等15大类服务所需的个人信息;天津市政务平台列举最为详尽,涵盖各类政务服务以及区级、局级政务服务共70余类。尽管如此,现有清单既不符合个人信息处理公法规范的要求,亦难以适应政务服务事项本身的动态特质。与双重《告知书》架构相对应,政务平台应当向用户提供多份结构清晰、权责分明的处理清单。
第一,在《平台告知书》中制定“平台基础个人信息处理清单”“个人信息共享清单”与“第三方SDK清单”。“平台基础个人信息处理清单”对应的是平台管理者为维持基础设施运行、保障系统安全及提供统一入口所必需的个人信息处理活动。其内容应包括《在线政务服务规定》《优化营商环境条例》等行政法规规定的“法定职责”,如有关统一身份认证、政务服务事项标准化、电子签名、电子证照、电子印章、电子档案、服务评价、电子监督等的规定。就具体的个人信息处理而言,则包括统一身份认证信息(如实名注册、人脸识别)、个人数字空间、平台操作日志、设备信息与权限调用等。制定“个人信息共享清单”是为厘清数据在不同权力主体之间流转的脉络。政务平台当中的数据流转与共享理应由平台管理者主管,同时也涉及各个权力主体的责任。依据《政务数据共享条例》,政务数据实行统一目录管理,且编制目录时需开展个人信息保护影响评估。因此,对于涉及政务平台收集、处理的个人信息,应当实现数据目录与告知义务的有效联动,直接提取政务数据目录中与共享相关的元数据,并制定“个人信息共享清单”,告知用户共享个人信息的类别、共享的方式、共享的法律依据、数据提供单位、数据接收单位、共享期限等。此外,辅助平台整体运行的“第三方SDK清单”也应归入《平台告知书》,明确其技术支撑属性。
第二,在《事项告知书》中制定“行政服务事项个人信息处理清单”。具体行政服务事项数量多、变化快,在《告知书》正文中穷尽列举既不现实也无必要。实际上,政务服务事项已实现标准化管理,相关公开信息均已通过“办事指南”在事项办理界面向用户公开。在“办事指南”基础上,可由平台管理者会同各行政服务提供者,针对《个人信息保护法》第17条规定的告知要求,统一汇编各事项的个人信息处理清单,形成《事项告知书》的主体内容,并在各事项办理界面提供明确的链接指引。仍以前述“户口迁移审批”办事指南为例具体说明。该办事指南中的“实施主体”及其联系方式对应个人信息处理者的名称和联系方式;“设定依据”对应处理目的与基本的合法性基础;“申请材料目录”逐项列明材料名称、来源渠道、材料形式和材料必要性,对应个人信息种类、范围、具体的合法性基础与必要性依据;“办理流程”和“权限划分”对应处理方式与共享主体;“监督投诉方式”和“权利义务”对应个人行使和维护权利的方式、程序。尤其值得注意的是,申请材料目录已区分“必要”与“非必要”,例如婚姻状况材料仅在申请人达到法定婚龄时方需核查,亲子关系司法鉴定意见书仅在其他凭证无法提供或存疑时方为必要。因此,行政服务事项个人信息处理清单的编制,核心工作是按照《个人信息保护法》的要求进行法律转译,并补充办事指南尚未涵盖的法定告知事项,如个人信息的保存期限等。
(3)界定基于公法的用户权利与政务平台义务
政务平台的用户权利保障机制与商业平台存在较大差异。《个人信息保护法》第44条规定的知情权与决定权在《告知书》中将呈现“一扩一缩”的公法特征。一方面,知情权将获得更严格的保障,无论是平台层还是政务服务事项层。这源于国家机关除需遵守《个人信息保护法》外,还受制于立法公开、政府信息公开、司法公开等公法要求。同理,查阅、复制权和个人信息处理规则解释说明权也是如此,除非有例外规定,政务平台都应当提供查阅、复制和解释。另一方面,决定权将受到较大限制。由于平台当中的个人信息处理行为均基于法定职责而非同意,用户无法行使撤回同意权。上文已述,数据可携权亦不适用于权力主体。个人信息的更正、补充与删除则需要区分具体的个人信息处理情形。对于属于平台基础层的注册信息,用户享有较为完整的更正权与注销权,以保障其数字身份的准确性与自主性。然而,对于平台统一管理的电子证照、身份认证、电子档案,以及具体的政务服务事项层的个人信息处理,个人信息的更正、补充与删除则不再是单纯的数据处理行为,而是涉及行政行为公定力与档案管理制度的法律行为,本质上是行政相对人程序权利的行使。因此,两份《告知书》都应明确告知用户,须依法向具体主管部门提出申请,并遵循行政复议或行政诉讼等法定救济程序。
政务平台应当履行的个人信息保护义务,其性质和要求也需要具体分析。《个人信息保护法》规定的“个人信息处理者的义务”,大部分应适用于平台管理者和行政服务提供者,如保证个人信息质量,落实安全与合规保障措施,履行个人信息审计、影响评估、安全事件补救和通知,以及共同处理、委托处理相关义务等。依据政务数据和网络安全相关的规范性文件和国家标准,其中不少义务实际还需要遵循较市场主体更高的标准。对于各级政务平台来说,其平台管理者还应当依法履行网络平台特别义务。然而,亦有部分法律义务不适用于权力主体。例如,在处理敏感个人信息、未成年人信息和个人信息跨境传输时,若有明确的法定职责要求,国家机关亦无需履行“单独同意”或“告知”义务。此外,使用自动化决策的方式处理用户信息,如果是为更好地开展政务服务,则属于为履行法定职责所必需,应当在《告知书》中列明平台的相关义务;但如果是用于非政务服务的增值服务或其他服务,则属于私法范畴,相关义务应列入《隐私政策》。
(4)公布公法监督与救济渠道
与私法主导范式下的隐私政策不同,《告知书》应当基于有关公法执法机制和一般行政法原理公布相关监督与救济途径。依据《个人信息保护法》第60条,国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作;同时,政务平台主管部门也应当“按照相关法律和有关规定,承担指导、监督本行业、本领域个人信息保护的职责”。另依据该法第68条,对于国家机关的违法责任“由其上级机关或者履行个人信息保护职责的部门责令改正”。据此,各级政务平台《告知书》应当至少公布两种违规投诉渠道:一是同级网信主管部门,二是上级政务平台主管部门。此外,鉴于行政行为的可诉性,《告知书》还应指引用户通过行政复议、行政诉讼(含国家赔偿)及行政公益诉讼等途径维护权益。
2.保留附属的、基于私法规范的《隐私政策》
对于政务平台中基于私法关系的个人信息处理,仍需保留基于私法规范的《隐私政策》。此类《隐私政策》可沿用原有的制度模板,不再赘述。此处需要厘清的是《隐私政策》与《告知书》的关系。作为集中提供政务服务的场所和方式,政务平台要受到职权法定等公法原则约束,具有公益性且不应以营利为目的,因此应严格限制权利因素的介入目的和规模。平台在法定职责所必需之外处理个人信息,应当仅限于与其法定职责相关的授益性行为,同时列入《隐私政策》个人信息收集清单。对于接入平台的非政务类商业服务,尤其是营利性商业服务,应当明确接入的原因,说明其与政务服务的关联性和辅助性,并严格禁止平台借此营利。同时,要严格区分商业服务与行政服务,明确商业服务作为平台第三方的法律地位。商业服务作为第三方应用,其提供者应制定独立的隐私政策,用户使用时需重新注册并由其单独获取同意。政务平台与第三方之间的数据共享应受到严格限制,且平台需对第三方履行监管义务。
五、结语:迈向公法主导模式
推动各级政务平台依据公法重构“隐私政策”,其意涵远超平台本身,旨在构建低成本、可复制且具扩展性的个人信息处理公法规范实施模式。此路径并不依赖于“制定调整行政机关处理个人信息活动的专门立法”,亦无须先行“对行政机关处理个人信息的行为进行有限度的类型化规范”。因为,政务平台作为整个数字政府的架构枢纽,天然充当着行政权力的“聚合器”与低风险权力的“过滤器”。“《告知书》为主、《隐私政策》为辅”的组合模式,不仅能由前台交互界面向后台管理系统扩展,为平台内部运行创建一份切实有效的个人信息保护公法操作指引;更能借助平台管理权力向各行政服务提供者辐射,为各行政部门在提供在线服务时型构一个可资参照的个人信息保护公法合规模板;进而还能通过平台监管义务向各类第三方权力主体延伸,为人大、监察、审判、检察等国家机关构建一套通用的个人信息处理公法规范体系。
沿此“由易向难”的制度建构路径,我们能够在数字政府建设进程中先行确立公法主导模式,以较低的制度变迁成本助力公权力主体摆脱私法主导范式的路径依赖,回归公法思维。唯有夯实这一公法主导模式的实践基础,未来推动行政机关个人信息处理专门立法、探讨公权力处理个人信息活动的类型化时,方能减少现实阻力,真正走出“象征性立法”的困境。与私法主导范式所具有的垄断性与排他性不同,公法主导模式并不排斥私法规范的适用,而是遵循一般法理,依据具体场景中个人信息处理者法律性质的差异,客观理性地厘定权力主体与权利主体的边界、个人信息处理公法规范与私法规范的适用范围。这正是笔者强调使用“模式”而非“范式”的深意所在:面对法律关系与现实场景的复杂交织,无论是公法还是私法,均不应僭越为具有排他性的“范式”,而应在各自的适用范围内,共同支撑起数字法治政府的制度大厦。
(责任编辑:彭錞)
【注释】
[1] “政府平台”相关学理脉络及其与我国实践之间的关系,参见余敏江、王磊:“平台型政府的‘重层嵌套’组织结构及其制度逻辑”,《学术月刊》2022年第9期,第73—85页;宋锴业:“平台组织的国家建构:形态变迁及演化机制”,《学术交流》2025年第6期,第137—152页。
[2] 该平台由国家、省级和部级政务平台构成。其中国家政务平台于2018年4月开始启动建设,并于2019年5月31日上线试运行。参见王益民主编:《中国电子政务发展报告(2021~2022)》,社会科学文献出版社2023年版,第11页。
[3] 需说明的是,本文所讨论的公法与私法之分,特指个人信息保护领域内的法律规范分类,而非一般法理学层面的界分。具体而言,“个人信息处理公法规范”是指调整权力主体的个人信息处理活动的法律规范;相应地,“个人信息处理私法规范”是指调整权利主体的个人信息处理活动的法律规范。
[4] 相关代表性研究,参见周汉华:“个人信息保护的法律定位”,《法商研究》2020年第3期,第44—56页;王锡锌:“个人信息国家保护义务及展开”,《中国法学》2021年第1期,第145—166页;张翔:“个人信息权的宪法(学)证成——基于对区分保护论和支配权论的反思”,《环球法律评论》2022年第1期,第53—68页。
[5] 相关代表性研究,参见王锡锌:“行政机关处理个人信息活动的合法性分析框架”,《比较法研究》2022年第3期,第92—108页;姚岳绒:“再论我国个人信息保护的立法模式选择”,《政治与法律》2025年第9期,第31—46页。
[6] 参见李晓方:“政务服务数字转型过程中的职责体系演进:基于政策文本的回溯分析”,《中国行政管理》2022年第10期,第46页。
[7] 其中最重要且法律效力等级最高的是2019年4月发布的《国务院关于在线政务服务的若干规定》。其他相关的行政法规还有2019年10月发布的《优化营商环境条例》和2025年6月发布的《政务数据共享条例》。
[8] 关于数字权力研究中的“描述性概念”与“规范性概念”的区分,参见王苑:“事实与规范:数字权力是一个法律概念吗?”,《政法论坛》2025年第3期,第59—60页。
[9] 参见丁晓东:“隐私政策的多维解读:告知同意性质的反思与制度重构”,《现代法学》2023年第1期,第34页。
[10] “政府作为平台的全部意义在于鼓励私营部门开发政府未曾考虑或没有资源创建的应用程序。”See Tim O’Reilly, “Government as a Platform,” Innovations, Vol.6, No.1, 2011, p.31.
[11] 有学者对数字政府建设现状评论道:“这与平台开放、包容、赋权、创造的理念格格不入,政府并没有成为一个面向所有人开放、募集创新思想、联结社会群体的公共平台。”参见彭箫剑:“平台型政府及行政法律关系初论”,《兰州学刊》2020年第7期,第59页。
[12] 参见中共中央、国务院印发《法治政府建设实施纲要(2021—2025年)》。
[13] 相关代表性研究,参见马长山:“数字法治政府的机制再造”,《政治与法律》2022年第11期,第17—34页;马怀德:“数字法治政府的内涵特征、基本原则及建设路径”,《华东政法大学学报》2024年第3期,第6—22页。
[14] 相关代表性研究,参见彭錞:“论国家机关处理个人信息的合法性基础”,《比较法研究》2022年第1期,第162—176页;赵宏:“告知同意在政府履职行为中的适用与限制”,《环球法律评论》2022年第2期,第36—51页;赵鹏:“数字时代行政机关处理个人信息的性质界定与授权规则”,《法学研究》2025年第5期,第20—38页;郑春燕:“法定职责作为国家机关处理个人信息的边界”,《中外法学》2025年第6期,第1427—1443页。
[15] 目前仅有公共管理等视角的统计研究,代表性研究参见袁红、张素娇:“‘互联网+政务服务’环境下政务APP隐私政策的内容分析”,《现代情报》2022年第3期,第121—132页。
[16] 《国务院关于加快推进全国一体化在线政务服务平台建设的指导意见》(国发〔2018〕27号)。由于建设相对滞后,本文暂不讨论部级政务平台。
[17] 参见《国务院关于加快推进政务服务标准化规范化便利化的指导意见》(国发〔2022〕5号);《全国一体化政务服务平台政务服务事项基本目录及实施清单第1部分:编码要求》(GB/T39554.1-2020),第3条。
[18] 实践中“政务部门”泛指“各级党委、人大及其常委会有关政务机构、政府部门以及政协、法院、检察院有关政务机构”。参见《发展改革委关于印发“十二五”国家政务信息化工程建设规划的通知》(发改高技〔2012〕1202号)。广义的“政务部门”概念无形之中契合了当下政务平台的扩展性和综合性演进。有鉴于此,本文所使用的“政务平台”虽主要指称行政机关建设的“全国一体化在线政务服务平台”,但也涵盖了其他各个国家机关建设的在线平台。
[19] 参见《“户口迁移审批”办事指南》,载上海一网通办,https://zwdt.sh.gov.cn/govPortals/bsfw/item/7c61a0e0-c2c3-4c39-a71e-136b1cff6ebd,最后访问日期:2026年2月4日。
[20] 参见《民法典》第三编第十章“供用电、水、气、热力合同”。
[21] 参见《江苏省促进政务服务便利化条例》第2、39条;《贵州省政务服务条例》第59条。
[22] 第三方辅助服务当中也有政府部门提供的服务,比较常见的是电子社保卡和国家网络身份认证。这类服务属于权力,可以被上文提到的平台管理权力所吸收。
[23] 这与政府采购合同是同样的道理,此时“所谓机关法人,实为政府等公共机关为了行使权力的需要,在进入市场做等价交换之时临时性披上的一件法律外衣,交换完成之后立即就脱掉了”。参见童之伟:《实践法理学的现象解释体系》,中国社会科学出版社2024年版(2025年印刷版),第234页。
[24] 赞同的观点参见彭錞,见前注[14],第169—171页;赵宏,见前注[14],第47页;否定的观点参见王锡锌,见前注[5],第96—97页;赵鹏,见前注[14],第24页;郑春燕,见前注[14],第1435—1436页。
[25] 关于“为履行法定职责所必需”与其他合法性基础的竞合关系,参见李群涛:“个人信息处理规范依据的公私二分”,《法律科学》2025年第2期,第98—99页。
[26] 通说认为这项合法性基础仅适用于权利主体。参见杨合庆主编:《中华人民共和国个人信息保护法释义》,法律出版社2022年版,第48—49页。但此观点值得商榷,因为法定义务可以“区分为与权利相对称的义务和与权力相对称的义务”。参见童之伟:《实践法理学:权利、权力与法权说》,中国社会科学出版社2024年版(2025年印刷版),第371页。
[27] 参见《上海市公共数据和一网通办管理办法》第20条;《山西省政务数据管理与应用办法》第10条。
[28] 参见彭錞,见前注[14],第170页。
[29] 32个省级政务平台包括22个省、4个直辖市、5个自治区和新疆生产建设兵团。本次统计以最近更新的各平台移动应用程序或小程序隐私政策为准,统计截止时间为2025年12月1日。此外,考虑到隐私政策更新可能存在滞后(如主管机关实际已变更),本次统计仅以客观文本内容为准。
[30] 前者包括浙江省、广东省、吉林省、河南省、安徽省;后者包括国家级和重庆市。
[31] 参见2017版《信息安全技术个人信息安全规范》(以下简称《个人信息安全规范》),附录D隐私政策模板;2020版《个人信息安全规范》,附录D个人信息保护政策模板。
[32] 根据2017版和2020版《个人信息安全规范》第1条,其适用范围并没有排除政务领域。
[33] 参见2017版和2020版《个人信息安全规范》第4条。
[34] 有关数据可携权的适用范围,参见程啸:《个人信息保护法理解与适用》,中国法制出版社2021年版,第345—346页。
[35] 分别参见2017版《个人信息安全规范》第5.4、8.5、7.11条;2020版《个人信息安全规范》第5.6、9.5、8.7条。第三种响应个人信息主体请求权的例外虽然与“无需征得授权同意”有所不同,但实质上与前两种例外密切相关。
[36] 参见最高人民法院民法典贯彻实施工作领导小组主编:《中华人民共和国民法典人格权编理解与适用》,人民法院出版社2020年版,第387—388页。
[37] 包括广东省、青海省。
[38] 这里的“公权利”并非笔者笔误,原文就是如此。也许这正体现了隐私政策制定者的矛盾心态:行政部门本应行使公权力,但是为了符合告知同意之下的私法关系,强行把“公权力”写作“公权利”。出现类似“笔误”的还有上海市、江苏省、山东省、河南省。
[39] 包括浙江省、湖南省、山西省、河北省、云南省、辽宁省、陕西省。
[40] 共有10个省级平台使用这类特定例外,包括上海市、广东省、辽宁省、云南省、陕西省、河北省、山西省、湖北省、湖南省和内蒙古自治区。其中只有上海市政务平台隐私政策的法律主体是营利法人。
[41] 比较常见的是数据管理局或政务服务局,包括浙江省、江苏省、广东省、辽宁省、河北省、山西省、湖北省、河南省、黑龙江省和青海省。
[42] 如国家政务平台隐私政策的法律责任主体是国务院办公厅政务办公室,此类省级平台隐私政策的法律责任主体通常是省级政府办公厅或其下属部门,包括湖南省、甘肃省、内蒙古自治区、西藏自治区和宁夏回族自治区。
[43] 以省级办公厅或直属机构主管的大数据中心居多,包括陕西省、山东省、北京市、天津市、四川省、安徽省、江西省、海南省、新疆维吾尔自治区和新疆生产建设兵团。
[44] 除上海市之外,还有福建省、吉林省、贵州省、广西壮族自治区、重庆市。
[45] 参见《工业和信息化部关于开展信息通信服务感知提升行动的通知》(工信部信管函〔2021〕292号)。该通知首次明确要求“各相关企业应建立已收集个人信息清单和与第三方共享个人信息清单”。
[46] 要说明的是,此处的“思维”是对我国个人信息保护制度演进过程中三条主要制度供给路径的学理概括,其判断依据是客观的立法文本、标准文件和制度实践。三种思维在制度演进中交替主导、相互叠加,共同形成了公法制度供给不足、告知同意标准先行和私法主导范式路径依赖等结构性效应。关于这一演进过程的早期梳理,参见孙平:《“信息人”时代:网络安全下的个人信息权宪法保护》,北京大学出版社2018年版,第124—204页。
[47] 王利明:“论个人信息权的法律保护——以个人信息权与隐私权的界分为中心”,《现代法学》2013年第4期,第70页。
[48] 参见周汉华:《中华人民共和国个人信息保护法(专家建议稿)及立法研究报告》,法律出版社2006年版,第51、66页。
[49] 刘俊臣:《关于<中华人民共和国个人信息保护法(草案)>的说明——2020年10月13日在第十三届全国人民代表大会常务委员会第二十二次会议上》,载中国人大网,http://www.npc.gov.cn/npc/c2/c30834/202108/t20210820_313092.html,最后访问日期:2026年2月4日。
[50] 参见《加强网络信息保护决定》第2条、《网络安全法》第41条。关于告知同意规则一般化、绝对化的批评,参见高富平:“个人信息使用的合法性基础——数据上利益分析视角”,《比较法研究》2019年第2期,第79—81页。
[51] 关于《个人信息安全规范》的制定背景,尤其是其作为“全世界最严”同意规则与《网络安全法》第41条的关系,参见洪延青:《对<个人信息安全规范>五大重点关切的回应和解释》,载微信公号“网安寻路人”,2018年2月5日上传。
[52] 崔俊杰:“个人信息安全标准化进路的反思”,《法学》2020年第7期,第167页。
[53] 参见《国务院办公厅关于印发“互联网+政务服务”技术体系建设指南的通知》(国办函〔2016〕108号),附录四:自然人和法人实名注册协议。
[54] 《国家政务服务平台统一身份认证隐私保护要求》(ZWFWC0131-2018)第6.1、6.2条。
[55] 参见张翔,见前注[4],第54页。
[56] 梅夏英:“社会风险控制抑或个人权益保护——理解个人信息保护法的两个维度”,《环球法律评论》2022年第1期,第7页。
[57] 周汉华:“平行还是交叉——个人信息保护与隐私权的关系”,《中外法学》2021年第5期,第1184页。
[58] 刘俊臣,见前注[49]。
[59] 程啸:“论我国个人信息保护法中的个人信息处理规则”,《清华法学》2021年第3期,第63页。
[60] 依据“草案一审稿”和“草案二审稿”第35条,国家机关为履行法定职责处理个人信息也应当向个人告知并取得其同意,除非有法定的例外规定或情形。这与“草案二审稿”加入的第13条第2款形成冲突,民法学者建议应当删除第13条第1款第3项。同上注,第67—68页。当然,该意见未被立法机关采纳。
[61] 有关欧洲个人信息处理规范的公、私二分架构,参见李群涛,见前注[25],第89—92页。
[62] See Christopher Kuner, Lee A. Bygrave, Christopher Docksey and Laura Drechsler (eds.), The EU General Data Protection Regulation (GDPR): A Commentary, Oxford: Oxford University Press, 2020, p.329.
[63] See Department for Science, Innovation and Technology (DSIT), “Privacy Notice (4 June 2025),” https://www.gov.uk/government/publications/govuk-one-login-privacy-notice, last visited on 4 December2025.需要说明的是,英国脱欧后将GDPR转化为国内法(UKGDPR),其第6条第1款所列6项合法性基础与EUGDPR第6条第1款基本相同。
[64] See Federal Ministry of Labour and Social Affairs (BMAS), “Privacy Notice (1 February 2024),” https://www.bmas.de/EN/Services/Privacy-Notice/privacy-notice.html, last visited on 4 December 2025.
[65] 王锡锌,见前注[5],第94页。
[66] 参见《国务院办公厅关于印发全国一体化政务大数据体系建设指南的通知》(国办函〔2022〕102号)。
[67] 参见《政务数据共享条例》第11、13条;《互联网政务应用安全管理规定》第11、12条。
[68] 已颁布实施和正在制定的相关国家标准,参见全国网络安全标准化技术委员会秘书处:《个人信息保护国家标准体系(2025版)》。
[69] 《数据安全技术政务数据处理安全要求》(GB/T45396-2025)第5.2条第o项规定:“政务数据处理中涉及个人信息,应依据政务数据处理的个人信息安全管理规范,自动识别个人信息,并符合GB/T35273的规定对个人信息进行保护。”
[70] 丁晓东,见前注[9]。
[71] 相关立法背景性文件,参见程啸,见前注[34],第572—585页。
[72] 杨合庆,见前注[26],第52页。
[73] 参见周汉华,见前注[57],第1167—1172页。
[74] 参见《“人民法院在线服务全国版”告知书》,载人民法院在线服务网,https://zxfw.court.gov.cn/zxfw-statics/files/人民法院在线服务全国版告知书.pdf,最后访问日期:2025年12月6日。
[75] 尽管国务院办公厅理论上不能作为行政法主体,但若有明确的法律、法规授权,也可以成为适格的行政法主体。类似的情况可参见《政府信息公开条例》第3条。
[76] 参见王锡锌:“数字行政与行政职权配置的变革逻辑”,《环球法律评论》2025年第5期,第18页。
[77] 参见《政务数据共享条例》第12、13条。
[78] 参见《国务院关于加快推进政务服务标准化规范化便利化的指导意见》(国发〔2022〕5号)。
[79] 杨合庆,见前注[26],第150页。
[80] 有关国家机关处理个人信息的外部监督方式,参见彭錞:“论国家机关的个人信息保护法律责任——以《个人信息保护法》第68条为切入点”,《比较法研究》2023年第2期,第40—41页。
[81] 王锡锌,见前注[5],第108页。相似观点,参见姚岳绒,见前注[5],第45页。
[82] 赵鹏,见前注[14],第30页。
孙平,华东政法大学法治中国建设研究中心副研究员
