1000部做爰免费视频,婷婷蜜桃国产精品一区小说,家庭乱欲免费阅读全文,2020亚洲熟女在线观看,樱井莉亚全集bt种子,男男体育生乱yin高h肉汁,高辣文h书包网,17岁中国高清免费观看完整版,免费观看已满十八岁的电视剧动漫

中國(guó)人權(quán)領(lǐng)域唯一專業(yè)網(wǎng)站
首頁(yè)>出版物>《人權(quán)》雜志

數(shù)字時(shí)代政府機(jī)關(guān)處理個(gè)人信息告知義務(wù)制度的公法建構(gòu)

來源:《人權(quán)》2022年第3期作者:喻文光 鄭子璇 
字號(hào):默認(rèn)超大| 打印|
  內(nèi)容提要:在數(shù)字政府的建設(shè)中,個(gè)人信息保護(hù)具有極其重要的地位。告知義務(wù)是政府機(jī)關(guān)處理個(gè)人信息應(yīng)履行的前提性核心義務(wù),它既是個(gè)人信息自決權(quán)的具體表達(dá),也是個(gè)人信息受保護(hù)權(quán)發(fā)揮基本權(quán)利防御功能的前提,同時(shí)還是制約政府信息權(quán)力和預(yù)防侵權(quán)風(fēng)險(xiǎn)的程序工具。由于個(gè)人信息處理規(guī)則本身以及告知義務(wù)均具有公法屬性,政府機(jī)關(guān)處理個(gè)人信息活動(dòng)亦具有公法性質(zhì),尤其是告知義務(wù)具有的憲法價(jià)值和控權(quán)功能,對(duì)于告知義務(wù)的制度建構(gòu)不能完全照搬適用于私法主體的規(guī)則,而應(yīng)當(dāng)針對(duì)政府機(jī)關(guān)處理個(gè)人信息活動(dòng)的公法特性,克服目前粗疏零散的立法弊端,從法律主體、程序、內(nèi)容、違法后果及法律救濟(jì)等方面進(jìn)行體系化的公法建構(gòu)。

  關(guān)鍵詞:個(gè)人信息保護(hù)  政府機(jī)關(guān)處理個(gè)人信息行為  告知義務(wù)  理論基礎(chǔ)  制度建構(gòu)

  我國(guó)已經(jīng)進(jìn)入數(shù)字時(shí)代,各行各業(yè)開啟全面數(shù)字化,數(shù)字政府正在如火如荼地建設(shè)。例如,“一網(wǎng)通辦”、政務(wù)“秒批”“秒辦”、身份證“網(wǎng)證”等試點(diǎn)措施,有力促進(jìn)了政府和社會(huì)治理的高效化、精準(zhǔn)化和智能化,以及便民服務(wù)的智慧化。但不容忽視的是,數(shù)字政府系統(tǒng)收集、存儲(chǔ)和處理海量的公民個(gè)人信息,這些全面、真實(shí)、巨量的個(gè)人信息一旦遭到泄露或被濫用,不僅威脅個(gè)人的人身、財(cái)產(chǎn)和信息安全,也可能危害公共安全,甚至危及國(guó)家整體安全??梢哉f,數(shù)據(jù)安全是數(shù)字政府的生命線,個(gè)人信息保護(hù)是數(shù)字經(jīng)濟(jì)的底線。因此,在數(shù)字化時(shí)代,必須加強(qiáng)對(duì)政府機(jī)關(guān)處理個(gè)人信息的法律規(guī)制,并建構(gòu)相應(yīng)的特別規(guī)則,因?yàn)檎畽C(jī)關(guān)處理個(gè)人信息主要是為履行法定職責(zé)或法定義務(wù),或提供公共服務(wù),其處理個(gè)人信息的法律基礎(chǔ),與信息主體之間形成的法律關(guān)系以及政府信息處理行為的性質(zhì),都不同于私人主體的個(gè)人信息處理活動(dòng)。由此,政府機(jī)關(guān)處理個(gè)人信息的告知同意規(guī)則具有其特殊性,不能完全套用私法主體處理個(gè)人信息的規(guī)則,需要結(jié)合其公法特性進(jìn)行理論和規(guī)范層面的法律建構(gòu)。2021年11月1日施行的《個(gè)人信息保護(hù)法》(以下簡(jiǎn)稱“個(gè)保法”)將私人主體和國(guó)家機(jī)關(guān)處理個(gè)人信息的行為一并納入規(guī)范對(duì)象,雖然在第二章“個(gè)人信息處理規(guī)則”專設(shè)一節(jié)來規(guī)定國(guó)家機(jī)關(guān)處理個(gè)人信息的行為,但明確規(guī)定了“告知同意”規(guī)則的一般性適用,只規(guī)定了個(gè)別的特殊例外,并沒有對(duì)政府機(jī)關(guān)處理個(gè)人信息的公法特殊性予以充分強(qiáng)調(diào)。而理論界對(duì)于告知同意規(guī)則的反思批判多是由民法學(xué)者展開的,主要針對(duì)私法主體適用該規(guī)則處理個(gè)人信息出現(xiàn)的問題,例如該規(guī)則的內(nèi)在缺陷、異化現(xiàn)象、與個(gè)人信息社會(huì)屬性以及大數(shù)據(jù)經(jīng)濟(jì)發(fā)展的沖突等。本文則從公法角度出發(fā),聚焦于政府主體處理個(gè)人信息的的告知義務(wù),從實(shí)踐問題入手,闡釋理論基礎(chǔ),并結(jié)合新實(shí)施的個(gè)保法,探討如何從告知義務(wù)角度來規(guī)制政府這一最大的個(gè)人信息處理者,從而有效保護(hù)信息主體的合法權(quán)益,為數(shù)字政府在法治軌道上運(yùn)行保駕護(hù)航。

  一、政府機(jī)關(guān)處理個(gè)人信息告知義務(wù)制度的現(xiàn)存問題

  個(gè)人信息處理中的告知是指“將與個(gè)人信息處理活動(dòng)相關(guān)信息提供給個(gè)人信息主體,使其了解個(gè)人信息處理活動(dòng)的有關(guān)規(guī)則。”告知是“告知同意”制度的核心組成部分。告知同意制度是指?jìng)€(gè)人信息處理者在收集個(gè)人信息之時(shí),應(yīng)當(dāng)對(duì)信息主體就有關(guān)個(gè)人信息被收集、處理和利用的情況進(jìn)行充分告知,并征得信息主體明確同意的制度。告知同意被視為個(gè)人信息保護(hù)的基石,是個(gè)人信息自決權(quán)的具體表達(dá)。即個(gè)人基于自決的理念有權(quán)自主決定在什么時(shí)候、在什么限度內(nèi),關(guān)于他個(gè)人生活的事實(shí)可以被披露。信息自決權(quán)就是要保證個(gè)人擁有自主決定個(gè)人信息是否被披露或被使用的權(quán)利。雖然告知同意作為核心規(guī)則已在個(gè)保法中確立,而且適用于政府機(jī)關(guān)。但如何具體實(shí)施還有很多問題需要探討,囿于篇幅,本文只探討其中的告知義務(wù)問題??傮w來看,政府機(jī)關(guān)處理個(gè)人信息告知義務(wù)制度目前無論在法律規(guī)范還是在行政實(shí)踐層面都存在諸多不足。

  首先,現(xiàn)行法律規(guī)范對(duì)政府機(jī)關(guān)處理個(gè)人信息的告知義務(wù)還未進(jìn)行體系化的全面規(guī)制并突出政府機(jī)關(guān)處理個(gè)人信息的公法特性。雖然個(gè)保法第17條對(duì)告知的方式、事項(xiàng)做出了規(guī)定,但這是一般性規(guī)定,既適用于非政府主體的個(gè)人信息處理者,也適用于政府機(jī)關(guān);而個(gè)保法第35條雖強(qiáng)調(diào)了國(guó)家機(jī)關(guān)履行法定職責(zé)處理個(gè)人信息時(shí)應(yīng)當(dāng)履行告知義務(wù),但僅對(duì)應(yīng)當(dāng)保密和告知會(huì)妨礙履行法定職責(zé)的情形做了除外規(guī)定,并未針對(duì)政府機(jī)關(guān)處理個(gè)人信息在告知主體、程序、方式、法律責(zé)任、救濟(jì)途徑等方面的特殊性做出體系化的、具體細(xì)致的特別規(guī)定。其他現(xiàn)行相關(guān)規(guī)定也都較為粗疏。例如,《網(wǎng)絡(luò)安全法》在第41條只籠統(tǒng)規(guī)定,網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)“公開收集、使用規(guī)則,明示收集、使用信息的目的、方式和范圍”,但并未明確規(guī)定涵蓋告知義務(wù)各個(gè)要素的具體規(guī)則以及可能的例外情形。此外,其他現(xiàn)行相關(guān)法律對(duì)于政府機(jī)關(guān)處理個(gè)人信息的告知義務(wù)基本沒有作出區(qū)別于私法主體的特別規(guī)定,即使作出特別規(guī)定,也較為零散、可操作性不強(qiáng)。例如,《電子商務(wù)法》只有關(guān)于政府機(jī)關(guān)處理個(gè)人信息的準(zhǔn)用性規(guī)范,即規(guī)定其應(yīng)當(dāng)“遵守法律、行政法規(guī)有關(guān)個(gè)人信息保護(hù)的規(guī)定”;《民法典》雖然在第111條規(guī)定,保護(hù)個(gè)人信息的義務(wù)主體是“任何組織或者個(gè)人”,將政府等國(guó)家機(jī)關(guān)也包括在內(nèi),但其對(duì)于告知義務(wù)的具體規(guī)定寥寥,也未明確政府與非政府主體在告知義務(wù)等個(gè)人信息處理規(guī)則方面的差異。這些粗略或零散的法律規(guī)定在實(shí)踐運(yùn)用中會(huì)增加政府告知義務(wù)的履行難度,減損義務(wù)履行和監(jiān)管的可操作性。

  其次,政府在處理個(gè)人信息的行政實(shí)踐中,由于缺乏明確具體的法律規(guī)定以及保護(hù)公民個(gè)人信息的意識(shí),普遍存在著履行告知義務(wù)不規(guī)范,或者少告知、不告知等問題。據(jù)學(xué)者研究,較多政府巨型數(shù)據(jù)庫(kù)的運(yùn)作并不公開透明,并未受到法律、行政法規(guī)或者規(guī)章基于保護(hù)個(gè)人權(quán)利的限制和約束。公民的個(gè)人信息經(jīng)常在毫不知情的情形下被收集、儲(chǔ)存、披露或共享,公民的隱私權(quán)、人格尊嚴(yán)甚至人身自由等基本權(quán)利因此受到侵害,例如,警務(wù)工作中的個(gè)人信息錯(cuò)誤導(dǎo)致錯(cuò)誤的拘捕或行政強(qiáng)制措施等。而2020年進(jìn)行的全國(guó)人口普查,因?yàn)槭占T多個(gè)人敏感信息,如身份證號(hào)碼和住房情況等,引發(fā)廣大民眾對(duì)個(gè)人信息保護(hù)的疑慮。據(jù)筆者親身經(jīng)歷,普查員入戶采集個(gè)人信息時(shí),并未使用可以進(jìn)行數(shù)據(jù)加密保護(hù)的電子化采集設(shè)備,而是采取填寫紙質(zhì)表格的方式。此外,普查員既未按照《全國(guó)人口普查條例》第23條規(guī)定告知人口普查的目的、法律依據(jù)和普查對(duì)象的權(quán)利義務(wù),也未能就筆者提出的關(guān)于個(gè)人敏感信息的儲(chǔ)存期限問題給出回答。再如,當(dāng)我們通過健康寶小程序進(jìn)行個(gè)人信息掃碼登記時(shí),小程序一般僅具有如下提示信息:“您的個(gè)人信息將保存于xx市政務(wù)云,且僅用于政府防疫追溯及相關(guān)工作。掃碼登記場(chǎng)所僅顯示您脫敏處理后的個(gè)人信息。”但并未告知法律依據(jù)、信息主體權(quán)利義務(wù)、信息保存時(shí)長(zhǎng)等重要內(nèi)容。

  當(dāng)然,在大數(shù)據(jù)時(shí)代,基于大數(shù)據(jù)處理的技術(shù)特征,政府在某些情形下可能也難以履行告知義務(wù),凸顯了大數(shù)據(jù)利用中個(gè)人信息保護(hù)的困境。在我國(guó),數(shù)據(jù)已與土地、勞動(dòng)力、資本、技術(shù)等傳統(tǒng)要素并列為五大生產(chǎn)要素,數(shù)據(jù)要素的高效配置,是推動(dòng)數(shù)字經(jīng)濟(jì)發(fā)展的關(guān)鍵一環(huán),大數(shù)據(jù)在社會(huì)治理和數(shù)字政府建設(shè)中發(fā)揮了舉足輕重的作用。大數(shù)據(jù)在各個(gè)領(lǐng)域的廣泛運(yùn)用,使得原來個(gè)人信息保護(hù)的基本規(guī)則——告知同意制度受到巨大挑戰(zhàn),因?yàn)閿?shù)據(jù)的價(jià)值主要在于對(duì)原始信息和數(shù)據(jù)的二次利用與聚合分析,而且會(huì)進(jìn)行匿名化和脫敏處理,此時(shí)數(shù)據(jù)處理者很難再去告知信息主體并取得其同意,若必須在已經(jīng)高度融合的數(shù)據(jù)中找出特定個(gè)人信息將需要付出極高的成本。而且根據(jù)《網(wǎng)絡(luò)安全法》第42條和個(gè)保法第4條,匿名化處理后的信息不再屬于個(gè)人信息,無需受到個(gè)人信息處理規(guī)則的約束。但必須指出的是,日新月異發(fā)展的數(shù)據(jù)技術(shù)表明,數(shù)據(jù)匿名化僅僅是一種小數(shù)據(jù)時(shí)代的策略,在大數(shù)據(jù)時(shí)代,不同的數(shù)據(jù)庫(kù)互相“撞庫(kù)”,采用大數(shù)據(jù)分析技術(shù),找出個(gè)人信息并由此拼湊出個(gè)人人格畫像并非難事。由此可見,匿名化處理并不能排除個(gè)人信息權(quán)益受到侵害的風(fēng)險(xiǎn)。如何平衡大數(shù)據(jù)時(shí)代的個(gè)人信息合理利用和個(gè)人信息權(quán)益保護(hù),走出告知同意規(guī)則的困境,是立法實(shí)踐和理論研究必須回應(yīng)的世界性難題。

  若想從根本上解決上述立法和行政實(shí)踐中的突出問題,并系統(tǒng)建構(gòu)符合政府機(jī)關(guān)處理個(gè)人信息公法特性的告知義務(wù)制度,則需要深入探究政府機(jī)關(guān)處理個(gè)人信息告知義務(wù)的理論基礎(chǔ),為制度建構(gòu)提供理論指導(dǎo)和支撐。

  二、政府機(jī)關(guān)處理個(gè)人信息告知義務(wù)的公法理論基礎(chǔ)

  從理論視角考察,與私人主體處理個(gè)人信息不同,政府機(jī)關(guān)處理個(gè)人信息具有鮮明的公法屬性,這體現(xiàn)在以下四個(gè)方面:個(gè)人信息處理規(guī)則本身具有的“一般禁止、例外許可”的公法屬性、政府處理個(gè)人信息在行為性質(zhì)上的公法特征、告知義務(wù)具有的基本權(quán)利防御功能以及告知義務(wù)作為制約政府信息權(quán)力的程序工具價(jià)值。以下分別闡述:

  (一)個(gè)人信息處理一般規(guī)則的公法屬性

  我國(guó)個(gè)保法第13條對(duì)個(gè)人信息處理的一般規(guī)則作了明確規(guī)定,即只有符合該法所列舉的七種情形,“方可”處理個(gè)人信息。GDPR第6條也有相似規(guī)定。在法教義學(xué)上,該規(guī)定屬于公法中“附許可條件的一般禁止”,也即,一般情形下是禁止處理個(gè)人信息的,只有滿足合法情形才可以例外允許。這明顯不同于私法意思自治原則,以及私法領(lǐng)域的基本行為準(zhǔn)則——法無禁止即自由。之所以作出這種一般性禁止規(guī)定,其根本原因在于個(gè)人信息權(quán)被視為基本權(quán)利,受到憲法和法律以及法律保留原則的嚴(yán)格保護(hù)。實(shí)施這種“一般禁止,例外許可”性質(zhì)的公法上的嚴(yán)格保護(hù)的原因又可追溯到歷史上各國(guó)個(gè)人信息保護(hù)立法的主要?jiǎng)右?,即隨著上世紀(jì)60年代巨型計(jì)算機(jī)技術(shù)的運(yùn)用,政府自動(dòng)化處理個(gè)人信息的能力和范圍劇增,其建立的巨型數(shù)據(jù)庫(kù)能夠大規(guī)模集中收集和存儲(chǔ)和處理個(gè)人信息,對(duì)公民隱私權(quán)造成巨大威脅。為了限制政府濫用信息權(quán)力并保護(hù)公民的基本權(quán)利,歐美各國(guó)在上世紀(jì)70年代紛紛制定了隱私法或個(gè)人信息保護(hù)法,如德國(guó)黑森州1970年的《個(gè)人信息保護(hù)法》、瑞典1973年的《個(gè)人信息保護(hù)法》、美國(guó)1973年的《隱私法》等,而且這幾部個(gè)人信息保護(hù)法的規(guī)制對(duì)象都是政府部門,其主要目的都是規(guī)范和限制公共部門對(duì)個(gè)人數(shù)據(jù)的收集和使用。簡(jiǎn)而言之,個(gè)人信息保護(hù)法產(chǎn)生的主要原因是為了防御政府收集處理信息對(duì)個(gè)人基本權(quán)利的侵犯。個(gè)人信息權(quán)也逐步從民事上的隱私權(quán)提升為憲法基本權(quán)利。根據(jù)法治國(guó)家的基本原則,政府干涉基本權(quán)利需要有法律的授權(quán)和正當(dāng)性基礎(chǔ)。由此,為保護(hù)基本權(quán)利的個(gè)人信息保護(hù)規(guī)則也就有具有了公法屬性,其一般禁止處理個(gè)人信息,除非具有合法的例外許可依據(jù)。構(gòu)成例外許可依據(jù)的一般是信息主體的同意或法律的授權(quán)。即對(duì)于私法主體而言,其處理個(gè)人信息必須有信息主體的同意或者是為訂立和履行合同所必須。而對(duì)于政府機(jī)關(guān)而言,處理個(gè)人信息的合法基礎(chǔ)則是法律授權(quán),例如為履行法定職責(zé)或法定義務(wù),為應(yīng)對(duì)突發(fā)公共衛(wèi)生事件或緊急情況下為保護(hù)生命健康和財(cái)產(chǎn)等重大法益。告知是同意的前提,也是信息主體知情權(quán)的保障,且是所有個(gè)人信息處理者必須履行的義務(wù),不具有基于意思自治的協(xié)商空間,自然也具有公法屬性。

  (二)政府機(jī)關(guān)處理個(gè)人信息行為的公法屬性

  不同于電商、網(wǎng)絡(luò)社交媒體或手機(jī)App運(yùn)營(yíng)商等私主體對(duì)個(gè)人信息的處理,政府機(jī)關(guān)處理個(gè)人信息的活動(dòng)具有明顯的公法屬性。二者的主要區(qū)別如下:首先,處理個(gè)人信息的合法基礎(chǔ)不同。政府機(jī)關(guān)處理個(gè)人信息主要是基于法律的授權(quán),為了履行法定職責(zé)或法定義務(wù),而私法主體則是基于信息主體出于意思自治的同意來處理個(gè)人信息。其次,與信息主體形成的法律關(guān)系性質(zhì)不同。政府依法定職權(quán)處理個(gè)人信息是行使信息行政權(quán)的行為,具有單方性、職權(quán)性特點(diǎn),與信息主體之間形成的是不平等的行政法律關(guān)系,具有實(shí)現(xiàn)行政管理目的或維護(hù)公共利益的目的正當(dāng)性,一般無需信息主體的同意,相反,信息主體有時(shí)還需要予以配合。例如我國(guó)《人口普查條例》第4條、第16條規(guī)定了人口普查對(duì)象應(yīng)當(dāng)真實(shí)、準(zhǔn)確、完整、及時(shí)地提供人口普查所需的資料,不得拒絕。該法第24條還規(guī)定了人口普查對(duì)象拒絕提供或提供不真實(shí)、不完整資料的法律責(zé)任。而私法主體經(jīng)信息主體同意處理個(gè)人信息是一種民事主體的自主活動(dòng),雙方之間是平等的民事法律關(guān)系。第三,從信息處理行為的性質(zhì)角度而言,政府機(jī)關(guān)處理個(gè)人信息是一種行政活動(dòng)方式,可以被視為特殊的行政事實(shí)行為,其一般不直接對(duì)信息主體的實(shí)體權(quán)利義務(wù)產(chǎn)生影響,且通常從外部基本看不到該事實(shí)行為,尤其在運(yùn)用大數(shù)據(jù)分析或算法的自動(dòng)化決策中。在行政法教義學(xué)中可以通過擴(kuò)容單純行政活動(dòng)或行政事實(shí)行為的概念,將其容納并進(jìn)行體系化規(guī)制。私法主體處理個(gè)人信息則是雙方基于“同意”這一合意基礎(chǔ)上的民事法律行為。鑒于政府與私法主體處理個(gè)人信息行為在上述三方面的本質(zhì)區(qū)別,對(duì)二者應(yīng)當(dāng)采用不同的規(guī)制方式和規(guī)制強(qiáng)度。由此,在政府處理告知義務(wù)制度的建構(gòu)中也不能照搬適用于私法主體的告知規(guī)則,而需在公法框架下進(jìn)行體系化架構(gòu)。

  (三)告知義務(wù)作為個(gè)人信息權(quán)防御功能發(fā)揮的前提

  個(gè)保法最終在三審稿的第一條中新增“根據(jù)憲法”的規(guī)定,意義非常重大,表明受到保護(hù)的個(gè)人信息權(quán)益,不僅僅是民事權(quán)益,還是一項(xiàng)受到憲法保護(hù)的基本權(quán)利,從而回應(yīng)了公法學(xué)界逐漸達(dá)成的共識(shí):個(gè)人信息權(quán)或個(gè)人信息受保護(hù)權(quán)是一項(xiàng)基本權(quán)利。雖然從憲法文本上看,我國(guó)并未明確規(guī)定個(gè)人信息權(quán),但是通過對(duì)既有條款、概括性權(quán)利條款的解釋和邏輯推演,也能證成個(gè)人信息權(quán)系我國(guó)憲法基本權(quán)利。首先,《憲法》第38條的人格尊嚴(yán)條款可以作為個(gè)人信息權(quán)的憲法基礎(chǔ),雖然學(xué)界對(duì)于該條款屬于具體基本權(quán)利抑或是原則性的權(quán)利保護(hù)條款還存在爭(zhēng)議,但這并不影響我們借鑒美國(guó)憲法學(xué)中的“暈影理論”(Penumbra Theory)從該條款中解釋出個(gè)人信息受保護(hù)權(quán)這一新型基本權(quán)利,因?yàn)橐环矫嫒烁褡饑?yán)本身就蘊(yùn)含著人民享有基本權(quán)利的意旨,另一方面人格尊嚴(yán)是憲法基本權(quán)利的邏輯起點(diǎn)和價(jià)值內(nèi)涵。此外,從《憲法》第33條關(guān)于人權(quán)保障的概括性條款來看,其為個(gè)人信息權(quán)作為一項(xiàng)基本人權(quán)涵蓋進(jìn)未列舉的基本權(quán)利清單提供了容納空間。

  基本權(quán)利的首要功能是防御國(guó)家對(duì)公民權(quán)利和自由的干預(yù)、限制和侵害。其理論基礎(chǔ)淵源于耶利內(nèi)克界定的國(guó)家和公民四種關(guān)系中的“消極地位”,即個(gè)人具有的消極不受國(guó)家干涉的地位。具體而言,基本權(quán)利的防御權(quán)功能是指“公民得要求國(guó)家不侵犯基本權(quán)利所保障的利益,當(dāng)國(guó)家侵犯該利益時(shí),公民得直接依據(jù)基本權(quán)利的規(guī)定請(qǐng)求停止侵害。”個(gè)人信息權(quán)作為一項(xiàng)基本權(quán)利,自然也具有防御權(quán)功能,信息權(quán)主體得要求政府以不作為的方式消極不侵犯公民的個(gè)人信息權(quán)益,或發(fā)生侵害時(shí)要求其停止行為或消除影響。但公民行使該防御權(quán)的前提是知悉政府何時(shí)以及如何處理了其個(gè)人信息。也即,告知是基本權(quán)防御功能發(fā)揮的前提條件。只有告知才能保證信息主體知曉信息處理行為及侵權(quán)情況,從而有針對(duì)性地提出請(qǐng)求。質(zhì)言之,在個(gè)人信息保護(hù)的語(yǔ)境下,知情權(quán)往往以被動(dòng)的方式行使,如無信息處理者的主動(dòng)告知,信息主體將無從行使知情權(quán),也無法行使防御權(quán)。因此,所有信息處理者都必須履行告知義務(wù),這是處理個(gè)人信息合法性的必備前提條件。而告知義務(wù)對(duì)于政府機(jī)關(guān)處理個(gè)人信息意義更為重大,因?yàn)槠湟彩侵萍s行政權(quán)力的有效程序工具。

  (四)告知義務(wù)作為制約政府信息權(quán)力和預(yù)防侵權(quán)風(fēng)險(xiǎn)的程序工具

  如前所述,政府機(jī)關(guān)處理個(gè)人信息是其行使信息行政權(quán)的體現(xiàn),是一種信息行政行為,屬于特殊的行政事實(shí)行為。而且在大數(shù)據(jù)和人工智能時(shí)代,隨著電子政務(wù)和數(shù)字政府的推廣,政府作為最大的個(gè)人信息處理者,濫用行政權(quán)侵犯公民個(gè)人信息權(quán)益的風(fēng)險(xiǎn)很大。因此,非常有必要對(duì)信息行政行為進(jìn)行全方面的法律規(guī)制。其中,最有效的規(guī)制工具就是正當(dāng)程序原則,即政府在作出信息行為前必須告知信息主體或?qū)⒆詣?dòng)化行政的相關(guān)算法邏輯進(jìn)行公開,從源頭上預(yù)防侵權(quán)風(fēng)險(xiǎn)并制約行政權(quán)力。而行政法中的正當(dāng)程序原則也與時(shí)俱進(jìn),發(fā)展出了技術(shù)性正當(dāng)程序理論,回應(yīng)了自動(dòng)化行政以及算法對(duì)傳統(tǒng)正當(dāng)程序理論的挑戰(zhàn)。該理論在肯定自動(dòng)化行政等信息處理行為的優(yōu)勢(shì)的同時(shí),構(gòu)建了一套“技術(shù)性正當(dāng)程序”,即要求算法公開、透明并具有程序一致性;算法需要具有可解釋性,能提供決策的相關(guān)邏輯和實(shí)質(zhì)性信息;決策結(jié)果可以被質(zhì)疑,在專業(yè)人員協(xié)助下算法可以被審查,有錯(cuò)誤時(shí)能夠及時(shí)修正。簡(jiǎn)而言之,通過公平、透明、可問責(zé)的技術(shù)性正當(dāng)程序來規(guī)制自動(dòng)化行政,保護(hù)個(gè)人的知情權(quán)、異議權(quán)、參與權(quán)等程序權(quán)利。政府機(jī)關(guān)在利用自動(dòng)化行政程序處理個(gè)人信息時(shí),應(yīng)當(dāng)遵循上述技術(shù)性正當(dāng)程序,告知相對(duì)人信息處理行為并遵守相關(guān)算法公開規(guī)則。

  告知程序制約行政權(quán)力的邏輯在于緩解政府與信息主體之間的信息不對(duì)稱。信息不對(duì)稱也是目前同意制度飽受詬病的主要原因之一。例如,對(duì)于前述很多政府巨型數(shù)據(jù)庫(kù),信息主體并不知道個(gè)人信息何時(shí)被收集、如何被收集以及收集后將被如何運(yùn)用,也就無法判斷政府處理信息的合法性和合理性。若不強(qiáng)化告知義務(wù)作為控權(quán)工具,僅依賴政府自我約束,公民個(gè)人信息權(quán)益將很難得到切實(shí)保障。與此同時(shí),告知程序也體現(xiàn)了個(gè)人參與原則(Individual Participation Principle),通過保障信息主體的參與權(quán)突出了在大數(shù)據(jù)時(shí)代人的主體性地位和個(gè)人自決權(quán)。一方面,信息主體參與信息處理活動(dòng)并行使信息自決權(quán)以充分知情為前提,而知情又以告知為前提,因此告知義務(wù)堪稱保障信息主體有效參與行政且行使個(gè)人信息自決權(quán)的邏輯起點(diǎn);另一方面,也只有在告知的基礎(chǔ)上,信息主體才能有針對(duì)性地行使防御權(quán)等權(quán)利,例如,行使法律賦予的拒絕權(quán)、查詢權(quán)或刪除權(quán)等,及時(shí)有效防范侵權(quán)風(fēng)險(xiǎn)。

  三、政府機(jī)關(guān)處理個(gè)人信息告知義務(wù)的制度建構(gòu)

  正是由于個(gè)人信息處理規(guī)則本身具有的公法屬性,告知義務(wù)的公法特征,以及政府機(jī)關(guān)處理個(gè)人信息活動(dòng)的公法性質(zhì),尤其是告知義務(wù)具有的憲法價(jià)值功能,即告知義務(wù)是作為憲法基本權(quán)利的個(gè)人信息權(quán)發(fā)揮防御功能的前提條件,同時(shí)是制約政府信息權(quán)力和預(yù)防侵權(quán)風(fēng)險(xiǎn)的有效程序工具,我們應(yīng)當(dāng)針對(duì)政府機(jī)關(guān)處理個(gè)人信息活動(dòng)的公法特性,在吸納適用于私主體處理個(gè)人信息基本規(guī)則的合理成分的基礎(chǔ)上,彌補(bǔ)目前粗疏零散的立法缺陷,體系化建構(gòu)政府機(jī)關(guān)處理個(gè)人信息的告知義務(wù)制度。下文將結(jié)合個(gè)保法,從告知義務(wù)的法律主體、程序、內(nèi)容、告知的例外情形、違法后果及救濟(jì)等幾個(gè)方面進(jìn)行全面探討。

  (一)告知程序中的法律主體

  1.履行告知義務(wù)的主體

  履行告知義務(wù)的主體一般指?jìng)€(gè)人信息的實(shí)際處理者。之所以強(qiáng)調(diào)“實(shí)際處理者”,主要基于以下兩方面的考量:第一,“處理”個(gè)人信息是負(fù)有告知義務(wù)的前提。個(gè)體出入公共場(chǎng)所也會(huì)暴露體態(tài)樣貌等個(gè)人信息,但對(duì)此類不涉及信息處理的情形都以規(guī)制,既不必要,還將徒增立法、合規(guī)的成本和爭(zhēng)議。第二,實(shí)際處理者應(yīng)當(dāng)既包括狹義的行政機(jī)關(guān),也包括法律法規(guī)授權(quán)的組織和行政機(jī)關(guān)委托的組織,而非局限于個(gè)保法規(guī)定的“個(gè)人信息處理者”。因?yàn)樾姓C(jī)關(guān)在處理個(gè)人信息時(shí)并不總是親力親為,很多政府?dāng)?shù)據(jù)庫(kù)都是通過法律規(guī)范授權(quán)或經(jīng)行政機(jī)關(guān)委托在處理公民個(gè)人信息,因而告知的主體也應(yīng)當(dāng)包括被授權(quán)或委托的組織等。這一點(diǎn)在個(gè)保法第37條和第59條得到了確認(rèn)。

  還需注意的是政府從第三方獲得個(gè)人信息或通過數(shù)據(jù)共享提供給其他機(jī)關(guān)個(gè)人信息的告知義務(wù)問題。在上述兩種情形下,政府機(jī)關(guān)都是個(gè)人信息的實(shí)際處理者,均需履行告知義務(wù)。2020年1月12日公布的《信息安全技術(shù)個(gè)人信息告知同意指南(征求意見稿)》(下稱“《告知同意指南》”)對(duì)此作出了詳細(xì)規(guī)定,可資借鑒。

  2.告知的對(duì)象

  告知的對(duì)象,也即告知內(nèi)容的接收方,通常指?jìng)€(gè)人信息主體。如前所述,政府機(jī)關(guān)處理個(gè)人信息可以認(rèn)定為是一種行政事實(shí)行為,也應(yīng)遵守行政程序規(guī)則,對(duì)受到影響的信息主體履行告知義務(wù)。

  除此之外,為充分保護(hù)未成年人,學(xué)界已基本達(dá)成共識(shí),認(rèn)為處理未成年人個(gè)人信息應(yīng)當(dāng)告知其監(jiān)護(hù)人。值得注意的是,盡管個(gè)保法顯示了政府應(yīng)主動(dòng)探知信息主體年齡的立法意向,但此種要求很可能因?yàn)殡y度過大而被虛置。《告知同意指南》附錄A根據(jù)未成年人是否為所提供的產(chǎn)品或服務(wù)的主要受眾設(shè)計(jì)了不同的核驗(yàn)方式,具有一定的可操作性,可以參考。

  (二)政府履行告知義務(wù)的時(shí)間和方式

  1.告知的時(shí)間

  告知義務(wù)不應(yīng)僅僅存在于信息收集之前,而是貫穿于信息處理的全生命周期,只要信息處理的目的發(fā)生改變就應(yīng)告知,以實(shí)現(xiàn)目的限制原則。具體而言,告知的時(shí)點(diǎn)包括:

  第一,處理個(gè)人信息前。收集是實(shí)施其他信息處理活動(dòng)的前提,在大多數(shù)情況下,收集和實(shí)施后續(xù)信息處理活動(dòng)的主體是同一的,原則上只在收集個(gè)人信息環(huán)節(jié)履行告知義務(wù)即可。告知的時(shí)點(diǎn)最遲不晚于信息收集時(shí),這樣能夠最大程度地保障信息主體的參與,彰顯個(gè)人的主體性,同時(shí)也真正實(shí)現(xiàn)對(duì)政府行政權(quán)力的全流程監(jiān)督。若在信息處理過程中加入新的政府機(jī)關(guān),其也應(yīng)當(dāng)至遲在處理信息時(shí)履行告知義務(wù)。

  第二,告知的內(nèi)容變更時(shí)。個(gè)人信息的價(jià)值在聚合和二次利用中被高度放大,但在此期間,原本告知信息主體的內(nèi)容很可能發(fā)生變化。為保障信息主體的知情權(quán)和參與權(quán),理當(dāng)重新告知、保持更新狀態(tài)。值得注意的是,此種告知并不必然要在變動(dòng)前完成,除非是向他人提供個(gè)人信息、超出最小利用原則處理信息等需要再征得信息主體同意的變動(dòng),否則事后在“及時(shí)”這一合理區(qū)間內(nèi)告知即可。

  第三,特殊情況發(fā)生后。此時(shí)的告知是對(duì)前兩種的有力補(bǔ)充。在遇到無法事前告知的特殊情況時(shí),如個(gè)人信息泄露、行政執(zhí)法中緊急查處或者防止證據(jù)藏匿滅失等,在保護(hù)生命財(cái)產(chǎn)安全和不妨礙政府履職的基礎(chǔ)上,為盡可能保障信息主體的權(quán)利,可改為在特殊情況消除后及時(shí)予以告知。

  2.告知的方式

  根據(jù)告知方式的不同,一般行政程序中的告知可以分為書面告知與口頭告知、特定告知與非特定告知。這一分類方式同樣也適用于個(gè)人信息保護(hù)中的政府告知義務(wù)。

  書面與口頭告知的區(qū)別主要在于是否有書面憑證。雖然部分法律法規(guī)就書面告知作出了規(guī)定,如《征信業(yè)管理?xiàng)l例》第18條就明確要求書面同意,但尚未有法律規(guī)范專門就政府告知義務(wù)提出書面要求。此次個(gè)保法也于第14條和第29條規(guī)定,法律、行政法規(guī)規(guī)定需書面告知的從其規(guī)定,說明一般情況下書面和口頭都是合法可取的告知方式。不過,鑒于書面告知能為行政執(zhí)法留痕,優(yōu)勢(shì)相對(duì)更為顯著,一方面有利于倒逼政府切實(shí)保障個(gè)人權(quán)利,另一方面也能為政府免責(zé)提供證據(jù),因此一般應(yīng)當(dāng)采取書面告知的方式。此外,因?yàn)殡娮討{證的普及,電子化書面告知也具有高效便捷、低成本、易保管等優(yōu)點(diǎn)。

  根據(jù)告知對(duì)象是否特定,個(gè)人信息保護(hù)中的政府告知義務(wù)還可以分為特定告知和非特定告知。針對(duì)具有特定告知對(duì)象的信息處理行為,從商業(yè)實(shí)踐來看,包括網(wǎng)頁(yè)彈窗為主的線上方式和直接送達(dá)為主的線下方式,這些都可為政府所用。此外,政府還可以運(yùn)用《告知同意指南》中提及的電話、短信、郵件等傳統(tǒng)方式,對(duì)信息主體實(shí)現(xiàn)一對(duì)一的特定告知。

  非特定告知適用于信息主體不特定、告知內(nèi)容同一,且一般無需征求信息主體明示同意的情形,例如自動(dòng)測(cè)溫器采集行人體溫時(shí)的告知。告知方式一般包括樹立提示標(biāo)志、發(fā)布公告或者規(guī)則等,如個(gè)保法第17條第3款就規(guī)定了“制定個(gè)人信息處理規(guī)則”這一方式,《告知同意指南》附錄D也建議在用戶端、問詢處、柜臺(tái)、辦公室等處提供規(guī)則文本以供查閱。

  特別值得指出的是,對(duì)于為維護(hù)公共安全所必需,而在公共場(chǎng)所安裝圖像采集、個(gè)身份識(shí)別設(shè)備的,根據(jù)個(gè)保法第26條的規(guī)定,必須設(shè)置顯著的提示標(biāo)識(shí)。但政府機(jī)關(guān)根據(jù)法律規(guī)定,利用人臉識(shí)別等設(shè)備收集敏感個(gè)人信息或進(jìn)行監(jiān)控或身份識(shí)別時(shí),僅設(shè)立顯著標(biāo)識(shí)還不能認(rèn)為履行了完全的告知義務(wù),還應(yīng)當(dāng)通過公布規(guī)則的方式,對(duì)公共場(chǎng)所監(jiān)控以及身份識(shí)別設(shè)備設(shè)置的地點(diǎn)及其法律依據(jù)、維護(hù)公共安全的目的、數(shù)據(jù)類型和數(shù)量、信息收集后的處理方式、存儲(chǔ)時(shí)間等進(jìn)行統(tǒng)一說明。

  在有特定告知對(duì)象的情形下,考慮到對(duì)信息主體權(quán)益的充分保障,應(yīng)優(yōu)先適用逐一告知方式,當(dāng)該告知方式存在顯著困難或者成本過高時(shí),方可使用發(fā)布公告等不特定告知方式。

  (三)政府告知的內(nèi)容

  個(gè)保法第17條明確規(guī)定了信息處理者在處理個(gè)人信息前,應(yīng)當(dāng)以顯著方式、清晰易懂的語(yǔ)言真實(shí)、準(zhǔn)確、完整地向個(gè)人告知的具體內(nèi)容事項(xiàng)。具體到政府機(jī)關(guān)處理個(gè)人信息的場(chǎng)景,其在處理前應(yīng)向信息主體告知以下內(nèi)容:

  1.信息實(shí)際處理者及其他相關(guān)主體

  如前所述,政府在處理個(gè)人信息前應(yīng)當(dāng)告知信息主體實(shí)際的信息處理者及其他相關(guān)主體,即狹義的行政機(jī)關(guān)、法律法規(guī)授權(quán)的組織和行政機(jī)關(guān)委托的組織,以及已知將處理信息的第三方或共享信息的其他行政主體。此種披露有利于政府順利處理信息,因?yàn)榕队嘘P(guān)主體能為信息處理行為的安全性背書,從而促使信息主體在無法定義務(wù)時(shí)基于對(duì)政府的信任同意提供其信息;此外,只有明確處理個(gè)人信息的相關(guān)主體,信息主體才能有針對(duì)性且有效地進(jìn)行監(jiān)督和維權(quán)。

  2.信息處理的目的和依據(jù)

  處理信息的目的和依據(jù)包括政府收集、利用信息的目的,以及可以證明政府部門有權(quán)處理信息的法律或者事實(shí)依據(jù)。

  個(gè)保法第6條規(guī)定個(gè)人信息處理的目的明確、合理原則以及必要和目的限制原則。我們認(rèn)為,對(duì)政府機(jī)關(guān)處理個(gè)人信息而言,“明確、合理”指目的具體、清晰,且與政府機(jī)關(guān)的職責(zé)相匹配。其中,“具體”要求政府機(jī)關(guān)處理個(gè)人信息應(yīng)當(dāng)避免“維護(hù)公共利益”“進(jìn)行公共管理”“提供公共服務(wù)”這種籠統(tǒng)的目的表述。對(duì)此,有學(xué)者認(rèn)為政府部門無論負(fù)有何種具體職責(zé),均以公共管理為信息處理的目的,因而不必要因政府部門間的信息流通或者共享而重復(fù)告知。但是,“公共管理”等概念極為寬泛,使得政府各機(jī)關(guān)部門之間的信息處理隔離機(jī)制近乎失效。雖然數(shù)據(jù)聯(lián)通、整合和分析能夠高效賦能數(shù)字政府建設(shè),但無疑也擴(kuò)大了“技術(shù)利維坦”的侵權(quán)風(fēng)險(xiǎn),加大了控權(quán)難度。此外,“公共利益”相對(duì)個(gè)體的信息權(quán)益也不必然具有優(yōu)先性,因而政府機(jī)關(guān)處理個(gè)人信息必須告知具體的目的。

  必要和目的限制原則強(qiáng)調(diào)處理個(gè)人信息的邊界,即僅能實(shí)施達(dá)成目的所必需的信息處理行為,不得進(jìn)行與處理目的無關(guān)的個(gè)人信息處理,后續(xù)利用信息時(shí)也不得違背該目的,除非是基于公共利益、科學(xué)或者歷史研究、統(tǒng)計(jì)此三類目的。雖然正式實(shí)施的個(gè)保法第6條較草案新增了“應(yīng)當(dāng)與處理目的直接相關(guān)”“不得過度收集個(gè)人信息”的表述,對(duì)必要和目的限制原則作出解釋,且第13條第1款第3項(xiàng)和第34條還分別強(qiáng)調(diào)政府機(jī)關(guān)處理個(gè)人信息,“為履行法定職責(zé)或者法定義務(wù)所必需”,“不得超出法定職責(zé)所必需的范圍和限度”,但如何理解和定義“直接”“必需”等要素,以及當(dāng)出現(xiàn)多元目的和利益沖突時(shí)如何衡量取舍,也缺乏可操作性。在這方面,可以適當(dāng)借鑒2019年12月歐盟數(shù)據(jù)保護(hù)主管(European Data Protection Supervisor)發(fā)布的針對(duì)個(gè)人數(shù)據(jù)保護(hù)的比例原則的指南。該指南為立法和政策制定者提供了實(shí)用工具和審查清單,以幫助其評(píng)估相關(guān)措施對(duì)個(gè)人數(shù)據(jù)基本權(quán)利的干預(yù)是否符合比例原則。

  另外,還應(yīng)當(dāng)告知信息主體政府機(jī)關(guān)處理個(gè)人信息的權(quán)限。與非政府主體不同,基于政府主體職責(zé)法定原則,并非所有的政府組織都有權(quán)直接處理個(gè)人信息。如在疫情期間,根據(jù)《關(guān)于做好個(gè)人信息保護(hù)利用大數(shù)據(jù)支撐聯(lián)防聯(lián)控工作的通知》第1條之規(guī)定,只有國(guó)務(wù)院衛(wèi)生健康部門依法授權(quán)的組織才有權(quán)未經(jīng)個(gè)人同意收集、使用個(gè)人信息。因此,政府在履行告知義務(wù)時(shí)也應(yīng)當(dāng)說明其權(quán)限依據(jù),以便于信息主體判斷其行為的主體合法性。

  3.所涉信息的范圍

  所涉信息的范圍,指政府收集、利用的信息種類,以及處理此類信息的時(shí)間周期。“信息種類”指如姓名、身份證號(hào)、民族等個(gè)人信息項(xiàng),而“處理周期”則是信息處理行為所持續(xù)的時(shí)間,比如有的軟件在關(guān)閉界面后仍然會(huì)在后臺(tái)運(yùn)行,繼續(xù)處理個(gè)人信息。因此,如果存在持續(xù)性的信息處理行為,政府應(yīng)當(dāng)進(jìn)行說明,以使信息主體充分了解被處理信息的范圍。

  4.處理信息的方式和保存期限

  處理信息的方式,指政府對(duì)個(gè)人信息采取的信息處理行為,即個(gè)保法第4條規(guī)定的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開、刪除等系列活動(dòng)。其中,個(gè)人信息的保存期限是個(gè)人信息保護(hù)立法普遍規(guī)定的告知內(nèi)容,但卻較少在政府告知中被提及。個(gè)保法第17條第1款第2項(xiàng)也規(guī)定個(gè)人信息處理者應(yīng)當(dāng)告知信息的保存期限,且根據(jù)第19條的規(guī)定,該期限指“實(shí)現(xiàn)處理目的所必要的最短時(shí)間”。但是,由于現(xiàn)實(shí)中政府工作進(jìn)展的不確定性,在進(jìn)行告知時(shí)可能還無法明確信息的保存期限,例如在疫情防控常態(tài)化的背景下,部分防疫信息也可能被長(zhǎng)期存儲(chǔ)并不定期使用?;蛟S也正因如此,目前政府機(jī)關(guān)處理個(gè)人信息往往缺省了這一內(nèi)容。例如,筆者在支付寶“健康碼”欄目中查詢多省市的健康碼,一般只顯示用于防疫工作,而未告知相關(guān)個(gè)人信息的保存期限。相比之下,GDPR的可操作性更強(qiáng),可資借鑒。其第14(2)條(a)項(xiàng)規(guī)定,如果無法告知明確儲(chǔ)存期限的,應(yīng)當(dāng)告知確定保存期限的標(biāo)準(zhǔn)。

  5.信息主體享有的權(quán)利及對(duì)權(quán)利的救濟(jì)

  政府在作出一般行政行為時(shí),會(huì)告知行政相對(duì)人其享有申請(qǐng)聽證、陳述申辯等權(quán)利,且行政相對(duì)人還能夠通過提起行政復(fù)議或者行政訴訟獲得救濟(jì)。在個(gè)人信息保護(hù)領(lǐng)域,告知信息主體其所享有的權(quán)利及救濟(jì)權(quán)利的途徑也是政府告知義務(wù)的應(yīng)有之義。其中,權(quán)利主要是指信息主體可以申請(qǐng)對(duì)其個(gè)人信息采取查閱、復(fù)制、更正、補(bǔ)充、刪除等措施;根據(jù)個(gè)保法第50條的規(guī)定,個(gè)人向政府請(qǐng)求行使權(quán)利遭到拒絕的,可以向人民法院提起訴訟,該救濟(jì)途徑應(yīng)當(dāng)作為應(yīng)予告知的內(nèi)容加以規(guī)定。

  6.政府告知內(nèi)容的特別注意事項(xiàng)

  政府在履行告知義務(wù)時(shí)還需注意以下方面:

  第一,告知內(nèi)容因告知時(shí)間而異。如前文所述,告知的時(shí)間節(jié)點(diǎn)包括處理個(gè)人信息前、告知的內(nèi)容變更時(shí)和特殊情況發(fā)生后。處理個(gè)人信息前和特殊情況發(fā)生后的告知內(nèi)容應(yīng)當(dāng)盡可能全面詳盡,而當(dāng)政府因告知的內(nèi)容變更另行告知時(shí)則不必面面俱到,而應(yīng)列明變更的原因、變更的內(nèi)容、該種變更將對(duì)信息主體產(chǎn)生的影響以及信息主體可以尋求救濟(jì)的方式,否則這些重要信息將淹沒在眾多告知同意條款之中,反而有悖補(bǔ)充告知的本意。

  第二,告知內(nèi)容因告知方式而異。部分告知方式無法全面展示告知的內(nèi)容,在特定場(chǎng)景下,只能按輕重緩急有所取舍,而且每一告知的內(nèi)容也無需詳盡周到。最為典型的就是圖像監(jiān)控和身份識(shí)別場(chǎng)景中的告知。當(dāng)信息主體進(jìn)入以監(jiān)控設(shè)備為圓心的特定半徑內(nèi)或者靠近身份識(shí)別裝置時(shí),設(shè)備就能實(shí)時(shí)采集圖像或識(shí)別身份,因此只有醒目的提示才能即時(shí)起到告知的作用,此時(shí)冗長(zhǎng)的告知內(nèi)容反而低效無用。當(dāng)然,這并不意味著政府告知義務(wù)的弱化,因?yàn)楦嬷绞街g不是互斥關(guān)系,政府還可以通過提前發(fā)布公告等方式進(jìn)行統(tǒng)一說明,比如《道路交通安全違法行為處理程序規(guī)定》第16條第2款就規(guī)定,“固定式交通技術(shù)監(jiān)控設(shè)備設(shè)置地點(diǎn)應(yīng)當(dāng)向社會(huì)公布”。為讓告知對(duì)象了解統(tǒng)一說明的內(nèi)容,還應(yīng)當(dāng)為告知對(duì)象指明了解詳細(xì)告知的途徑,如《告知同意指南》建議在顯著醒目告知的同時(shí)告知獲取更多相關(guān)信息的途徑,可以通過“詳情請(qǐng)參見”的方式引導(dǎo)告知對(duì)象查看更為詳盡的告知內(nèi)容。

  第三,告知內(nèi)容因信息類型而異。正如個(gè)保法第28條規(guī)定,敏感個(gè)人信息一旦遭到泄露或者非法使用,將造成人格尊嚴(yán)受損或者人身和財(cái)產(chǎn)安全危機(jī),一般認(rèn)為,應(yīng)當(dāng)對(duì)一般信息和敏感信息進(jìn)行區(qū)分保護(hù),從而平衡個(gè)人權(quán)利的保護(hù)與個(gè)人信息的利用??紤]到敏感信息被泄露或?yàn)E用將帶來更大危害,在遵循比例原則和利益衡量原則的基礎(chǔ)上,政府應(yīng)當(dāng)為敏感個(gè)人信息提供更為堅(jiān)實(shí)的保護(hù),并通過區(qū)分保護(hù)的方式降低行政成本,為收集敏感信息設(shè)置更為嚴(yán)格的必要性和目的限制要求,相關(guān)告知的內(nèi)容也應(yīng)增加處理該類信息的必要性以及對(duì)個(gè)人權(quán)益的影響等內(nèi)容,并且一般應(yīng)當(dāng)獲得信息主體的同意。

  例如,人臉信息具有唯一性和不可更改性,屬于敏感個(gè)人信息中的生物識(shí)別信息,而且是生物識(shí)別信息中社交屬性最強(qiáng)、最易采集的個(gè)人信息,一旦泄露將對(duì)個(gè)人人身財(cái)產(chǎn)安全造成極大危害,甚至可能威脅公共安全。因此,政府機(jī)關(guān)在處理人臉信息時(shí),必須還要遵守個(gè)保法第二節(jié)關(guān)于敏感個(gè)人信息的處理規(guī)則。此外,2021年4月23日公布的國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù) 人臉識(shí)別數(shù)據(jù)安全要求(征求意見稿)》中也對(duì)政府機(jī)關(guān)合法合規(guī)處理人臉信息提供了具體指引。根據(jù)個(gè)保法和上述國(guó)家標(biāo)準(zhǔn)(征求意見稿)的規(guī)定,除非法律法規(guī)另有規(guī)定,政府機(jī)關(guān)在收集人臉識(shí)別數(shù)據(jù)時(shí),應(yīng)向數(shù)據(jù)主體告知收集目的、收集人臉信息的必要性及對(duì)個(gè)人權(quán)益的影響、數(shù)據(jù)類型和數(shù)量、處理方式、存儲(chǔ)時(shí)間等規(guī)則,并征得數(shù)據(jù)主體的明示同意。只有在非人臉識(shí)別方式安全性或便捷性顯著低于人臉識(shí)別方式(如機(jī)場(chǎng)、火車站進(jìn)行人證比對(duì)等)情況下,方可開展人臉驗(yàn)證或人臉辨識(shí);人臉識(shí)別數(shù)據(jù)不應(yīng)用于除身份識(shí)別之外的其他目的,如評(píng)估或預(yù)測(cè)數(shù)據(jù)主體工作表現(xiàn)、經(jīng)濟(jì)狀況、健康狀況、偏好、興趣等情況。原則上不應(yīng)使用人臉識(shí)別方式對(duì)不滿十四周歲的未成年人進(jìn)行身份識(shí)別。應(yīng)同時(shí)提供非人臉識(shí)別的身份識(shí)別方式,并提供數(shù)據(jù)主體選擇使用。此外,還應(yīng)提供安全措施保障數(shù)據(jù)主體的知情同意權(quán)。

  (四)政府機(jī)關(guān)可以不履行告知義務(wù)的例外情形

  政府機(jī)關(guān)處理個(gè)人信息一般必須履行告知義務(wù),但是,政府告知義務(wù)也存在著例外情形。對(duì)此,個(gè)保法做出了較為全面的規(guī)定,其在第18條和第35條規(guī)定,法律、行政法規(guī)規(guī)定應(yīng)當(dāng)保密或不需要告知的,或者告知將妨礙履行法定職責(zé)的,可以不予告知。我們認(rèn)為,在政府處理個(gè)人信息中,“應(yīng)當(dāng)保密”主要指在涉及國(guó)家秘密的情況下,應(yīng)當(dāng)遵守保密規(guī)定,可以不予告知。“不需要告知”是從行政活動(dòng)合目的性以及行政效益原則出發(fā),盡量減少不必要的告知,至少包含以下兩種情形:其一,政府內(nèi)部基于同一處理目的的信息交流和共享。在同一目的下,接收個(gè)人信息的政府機(jī)關(guān)相當(dāng)于原機(jī)關(guān)的延伸,個(gè)人信息并未落入其他主體手中。不過,這要求處理目的務(wù)必明確、具體,否則告知義務(wù)將名存實(shí)亡,畢竟所有行政機(jī)關(guān)都可以通過“公共管理”的目的串聯(lián)起來,使個(gè)人信息在行政機(jī)關(guān)間被任意傳輸并用于履行各類職能。其二,政府委托其他組織處理個(gè)人信息時(shí),與受托方間的信息交流。根據(jù)個(gè)保法第59條,受托人應(yīng)協(xié)助政府履行告知義務(wù)。便利起見,可由受托人告知,但受托人應(yīng)當(dāng)披露背后的“個(gè)人信息處理者”?;谠撐嘘P(guān)系的個(gè)人信息傳輸,并未超出個(gè)人基于原有告知內(nèi)容產(chǎn)生的預(yù)期,因此無需重復(fù)告知。“妨礙履行法定職責(zé)”的風(fēng)險(xiǎn)常見于司法、執(zhí)法活動(dòng)中,譬如針對(duì)技術(shù)偵查等行為,一般不履行告知義務(wù),否則將給個(gè)人隱匿、銷毀證據(jù)提供巨大便利。但是,這一例外是可轉(zhuǎn)化的,在職責(zé)履行完畢之后,妨礙履職的可能性便不復(fù)存在,如證據(jù)已經(jīng)固定,再予告知并不會(huì)導(dǎo)致證據(jù)的滅失損毀,也不會(huì)阻礙后續(xù)的司法、執(zhí)法進(jìn)程,此時(shí)政府應(yīng)當(dāng)補(bǔ)充履行告知義務(wù),以起到提示、及時(shí)啟動(dòng)救濟(jì)程序的效果。

  (五)違反告知義務(wù)的法律后果和救濟(jì)

  一般認(rèn)為,政府機(jī)關(guān)處理個(gè)人信息違法侵權(quán)的法律責(zé)任不同于私法主體,這在GDPR中也有體現(xiàn),例如,高額的罰款就不適用于行政機(jī)關(guān)。我國(guó)個(gè)保法第七章規(guī)定的法律責(zé)任也更多是針對(duì)私法主體的,比如,第66、71條規(guī)定了違反個(gè)保法規(guī)定處理個(gè)人信息的行政處罰,第68條針對(duì)國(guó)家機(jī)關(guān)不履行個(gè)人信息保護(hù)義務(wù)和相關(guān)工作人員違法用權(quán)規(guī)定了法律責(zé)任,第69條規(guī)定了適用歸錯(cuò)推定的侵權(quán)損害賠償責(zé)任。我們認(rèn)為,這一安排的本意在于:部分政府機(jī)關(guān)兼具個(gè)人信息處理者和履行個(gè)人信息保護(hù)職責(zé)的部門兩種身份,在“一般+特別”的模式下,政府作為前者違法處理個(gè)人信息適用第66、69、71條,而作為后者履職不當(dāng)將受到第68條的處罰。然而,第66、69、71條很難適用于政府的違法信息處理行為,第68條作為對(duì)政府機(jī)關(guān)的唯一專門規(guī)定,又只規(guī)定了內(nèi)部行政責(zé)任和刑事責(zé)任,正式實(shí)施的個(gè)保法雖然較草案增加了個(gè)人行使權(quán)利遭到拒絕時(shí)的起訴權(quán),但對(duì)抗政府不履行告知義務(wù)最為重要的行政復(fù)議和行政訴訟以及國(guó)家賠償制度都付之闕如。所以,現(xiàn)行個(gè)保法規(guī)定非常不利于監(jiān)督行政機(jī)關(guān)履行告知義務(wù)以及信息主體進(jìn)行權(quán)利救濟(jì)。信息主體可能的救濟(jì)途徑是間接借助行政公益訴訟制度。雖然個(gè)保法第70條規(guī)定的公益訴訟是否涵蓋行政公益訴訟尚不明確,但我國(guó)的檢察機(jī)關(guān)已經(jīng)在積極試點(diǎn)探索個(gè)人信息保護(hù)領(lǐng)域內(nèi)的行政公益訴訟制度。截至目前,全國(guó)已有25個(gè)省級(jí)人大常委會(huì)作出關(guān)于加強(qiáng)檢察公益訴訟工作的決定,其中有19個(gè)省份明確要求檢察機(jī)關(guān)積極穩(wěn)妥開展個(gè)人信息保護(hù)領(lǐng)域公益訴訟。2021年4月22日,最高人民檢察院發(fā)布了個(gè)人信息保護(hù)公益訴訟典型案例,其中就有6起屬于行政公益訴訟案件。其中,在江西省樂安縣人民檢察院督促規(guī)范政府信息公開行政公益訴訟案中,針對(duì)行政機(jī)關(guān)在履行政府信息公開職能時(shí)泄露不應(yīng)公開的公民個(gè)人信息的情形,檢察機(jī)關(guān)通過制發(fā)訴前檢察建議,依法督促行政機(jī)關(guān)履職整改,保護(hù)公民個(gè)人信息安全。筆者認(rèn)為,非常有必要通過法律解釋的方法,結(jié)合行政訴訟法的規(guī)定,認(rèn)定個(gè)保法中的公益訴訟包含了行政公益訴訟,即國(guó)家機(jī)關(guān)不履行法律、行政法規(guī)規(guī)定的個(gè)人信息保護(hù)義務(wù)致使眾多個(gè)人權(quán)益被侵害的,檢察機(jī)關(guān)可以依據(jù)《行政訴訟法》第25條規(guī)定提起行政公益訴訟。這主要是基于以下幾方面理由:第一,大數(shù)據(jù)時(shí)代對(duì)個(gè)人信息的侵害主要以“大規(guī)模”為表現(xiàn)形式,當(dāng)不特定多數(shù)人的個(gè)人信息權(quán)受到侵害,龐大的個(gè)體利益聚合足以使個(gè)人權(quán)益上升到社會(huì)公益的高度;第二,個(gè)人信息所具備的識(shí)別功能服務(wù)于社會(huì)交往,個(gè)人信息被泄露或者濫用都將影響社會(huì)秩序和安全;第三,政府信息處理行為關(guān)涉的信息主體數(shù)量龐大,政府組織與信息主體之間的實(shí)力又過于懸殊,由代表社會(huì)公共利益,且具有很強(qiáng)專業(yè)優(yōu)勢(shì)和舉證能力的國(guó)家檢察機(jī)關(guān)提起公益訴訟不僅更高效和經(jīng)濟(jì),極大彌補(bǔ)個(gè)人維權(quán)的不足,也有利于監(jiān)督依法行政。

  概括而言,在數(shù)字政府時(shí)代,政府機(jī)關(guān)已經(jīng)成為極為重要的個(gè)人信息處理主體,必須受到法治原則的約束,其處理個(gè)人信息的活動(dòng)同樣需要具有明確的正當(dāng)化依據(jù),應(yīng)以履行法定職責(zé)為必要條件,遵循嚴(yán)格的目的限定要求。已經(jīng)生效實(shí)施的個(gè)保法雖然在政府機(jī)關(guān)處理個(gè)人信息方面已經(jīng)作出了一些規(guī)定,但對(duì)政府機(jī)關(guān)處理個(gè)人信息這一信息行政事實(shí)行為的公法特性認(rèn)識(shí)和關(guān)注不足,尚未針對(duì)政府機(jī)關(guān)處理個(gè)人信息制定有足夠針對(duì)性的體系化規(guī)則,例如,并未針對(duì)政府處理個(gè)人信息的告知同意的特殊性制定細(xì)化規(guī)則;在政府違反相關(guān)規(guī)定的法律責(zé)任和權(quán)利主體的救濟(jì)制度等方面的規(guī)定也較為粗疏。告知義務(wù)是政府機(jī)關(guān)處理個(gè)人信息應(yīng)履行的前提性核心義務(wù),其既是個(gè)人信息自決權(quán)的具體表達(dá),也是個(gè)人信息受保護(hù)權(quán)發(fā)揮基本權(quán)利防御功能的前提,同時(shí)還是制約政府信息權(quán)力和預(yù)防侵權(quán)風(fēng)險(xiǎn)的程序工具。本文針對(duì)政府機(jī)關(guān)處理個(gè)人信息的告知義務(wù),從公法理論基礎(chǔ)和具體制度建構(gòu)兩方面進(jìn)行了較為體系化的探討,強(qiáng)調(diào)了告知義務(wù)的憲法價(jià)值和控權(quán)功能以及告知義務(wù)制度的公法建構(gòu),希望能為將來制定政府機(jī)關(guān)處理個(gè)人信息的具體規(guī)則提供智識(shí)參考。

 ?。ㄓ魑墓猓袊?guó)人民大學(xué)法學(xué)院副教授,未來法治研究院研究員;鄭子璇,中國(guó)人民大學(xué)法學(xué)院2018級(jí)法律碩士。)

Abstract:In the construction of digital government,the protection of personal information plays an extremely important role.The duty to inform is a prerequisite core obligation that the government should fulfill in processing personal information,a concrete expression of the right to self-determination of personal information,and a prerequisite for the right to protection of personal information that works as a fundamental right to defense the intrusion from the government,as well as a procedural regulatory tool to restrain the government’s information power and prevent the risk of infringement.As the rules on the processing of personal information and the duty to inform have both the nature of public law,the government’s processing of personal information is also public law in nature,especially because of the constitutional value and power-control function of the duty to inform,the system construction of the duty to inform cannot be copied from the rules applicable to private subjects,but should be tailored to the public law characteristics of the government’s processing of personal information,overcoming the shortcomings of the current rough and fragmented legislation,and set up a systematic regulation based on the public law in term of the legal subject,procedure,content,consequences of obligation violations and legal protection.

Keywords:Protection of Personal Information;Government’s Procession of Personal Information;Duty to Inform;Theoretical Basis;System Construction

  (責(zé)任編輯  陸海娜)
打印|