辛庆玲

(中共青海省委党校/青海省行政学院，青海 西宁 810001)

一、智慧城市建设与个人信息保护的问题缘起

(一)智慧城市的内涵与发展

何谓智慧城市？查阅当前已有资料，定义不可谓不丰富。2014年8月，国家发改委等八部委联合印发的《关于促进智慧城市健康发展的指导意见》对智慧城市作出如下定义：“智慧城市是运用物联网、云计算、大数据、空间地理信息集成等新一代信息技术，促进城市规划、建设、管理和服务智慧化的新理念和新模式”。①

智慧城市概念的提出是伴随着第三次科技革命的发展而来，崛起于第四次工业革命的大幕之下，而智慧城市成为全球关注热点的标志性事件是2008年和2009年IBM“智慧地球”(Smart Planet)愿景以及“智慧城市”(Smart City)愿景的相继提出。②在信息通信技术应用于城市的各个运行领域，推动城市全面发展转型的背景之下，世界各国都开启了智慧城市的探索进程。比如，2006年新加坡推行了“智慧国2015”的计划，2009年欧盟和日本也都相继提出了建设智慧城市的计划。

自2009年开始，北京、上海、广东、南京、宁波等十几个省市相继提出了智慧城市的建设目标。截至2015年9月，国家智慧城市试点已达290个。2015年以来，地方政府普遍将智慧城市建设写入五年发展规划之中，甚至制定了独立的智慧城市发展战略。③青海省西宁市也建成了全省首家城市运行指挥中心、城市级大数据基础平台，荣获2018年中国领军智慧城市称号。④在中国智慧城市论坛(http://www.chinasmartcity.org/)网站页面上，智慧城市建设已经涉及诸如城市规划、智慧产业、城市文化、PPP、智慧交通、智慧安防、智慧医疗、智慧教育等多个种类和项目，可以说已经覆盖了城市发展的方方面面。

(二)智慧城市建设与个人信息保护的矛盾

智慧城市发展得如火如荼，一方面充分顺应了世界科技发展的潮流，尤其在第四次科技革命发展的大幕下，在德国工业4.0计划等的助推下，中国城市发展应把握时机，通过智慧城市建设，推动以物联网、云计算、大数据为代表的智能技术蓬勃发展，加快城市的网络化和信息化。另一方面，我们也应看到智慧城市建设对国家、企业和公民的信息安全和隐私保护问题提出了严峻挑战。城市的智慧化水平，很大程度上取决于对信息使用和处理的效率。也就是说，智慧城市建设必须建立在海量、精确、动态的信息数据基础之上。智慧城市的建设与发展过程中，如何最大程度上促进智慧城市发展与信息安全保障和个人隐私保护。在面临一系列由于公民个人信息泄露所造成的恶性事件后，从政府到普通公众都对二者之间的发展与矛盾给予了高度关注，尤其是作为个体的普通公众更对自身信息安全与隐私保护提出了实质要求与合理关注，这理应引起我们的高度重视。

二、政府在智慧城市建设中对个人信息保护的职能定位

智慧城市建设进程中公民个人信息保护日益引起了高度关注，在解决智慧城市建设与个人信息保护的矛盾与挑战方面，政府负有至关重要和不可推卸的责任，从政府公权力行使的三个角度来看，政府在智慧城市建设中对个人信息保护的职能重点体现在三方面。

(一)依法管理

智慧城市是通过构建以政府、企业、市民三大主体的交互与共享信息平台，为城市治理与运营提供更加“便捷、高效、灵活”的决策支持与行动工具，达到“低碳、安全、便利、友好”的城市发展目标。⑤智慧城市的规划和建设，首先需要一个“智慧政府”作为指挥中心和智力支持，在这一过程中，政府发挥了实质性的主导和基础性作用。在这一背景下，依法管理是指政府对个人信息的收集、使用、传播等负有积极的守护和管理之责，即在合法的范围内，政府对个人信息享有积极、主动的公权力行使权限。这种权限存在的基础一方面来自国家法规范体系的授予，另一方面则是智慧城市建设中的现实必然性要求。

首先，就国家法规范体系的授予来看。自20世纪70年代第一部个人信息保护法诞生以来的近半个世纪，全球已有90多个国家制定了个人信息保护法。⑥当前，我国尚无出台统一的个人信息保护法，关于个人信息保护的法律规定散见于不同层次立法和专门立法领域中。在这些规定中，较为普遍地明确了政府部门对个人信息保护的权限和义务。故而，政府应当依法对个人信息的收集、使用、传播等进行管理。

其次，就智慧城市建设中的现实必然性来看。智慧城市建设必须建立在海量、精确、动态的信息数据基础之上。而政府承担了大量的数据采集、提供使用、实时监测、传播反馈等职责。因此，促使政府依法管理个人信息，保护其不被滥用，不被随意受到侵害。

(二)有效制约

自二战以来，公权力的扩张是发生在国家治理和社会发展层面一个显著的特点，这一特点在信息社会发展背景下的智慧城市建设中也未有改变。基于政府在智慧城市建设中的主导和基础性作用，应该更加有效限制与制约政府对个人信息的行使权限。基于此，在政府相关权力行使过程中要保证：一是当事人知情并同意对个人信息的采集、编辑、利用等；二是严格目的限制原则，即资料持有者只能为某特定目的利用个人资料。⑦即知情同意和限制目的使用应当是对政府公权力在个人信息行使方面的两个有效原则。

(三)加强监管

2010年，发生了著名的网络竞争事件“3Q大战”(又称“360与QQ事件”)，360公司与腾讯公司因安全软件开发使用产生冲突，互相指责并采取实际行动攻击对方，其间数以亿计的用户被卷入，闹得不可开交之际，政府介入干预，最终使两公司的纠纷诉诸法律途径。⑧这一事件的发生，不仅反映了互联网经济发展中的问题，更折射出网络经济运行中商业利益与公民个人权利冲突的问题。

智慧城市建设中，政府负有主导和基础性作用，但非公权力主体亦是重要参与方。比如，以阿里巴巴旗下的“芝麻征信”为例，其推出了中国公民个人首个信用评分“芝麻分”。为了快速积累用户，还接入了租车、酒店、签证等场景，使得征信的应用场景更为广泛。未来智慧城市建设中，通过运用大数据技术，类似于预约打车、水电缴费、网上购物等过程中公民个人信息被非公权力主体广泛享有，面对“网络利维坦”，我们还有隐私吗？在这一过程中，除了非公权力行使方履行行业自律之责外，作为智慧城市建设中公权力行使方的代表——政府应履行监管之责，维护公民个人信息的合法保护。

三、政府在智慧城市建设中对个人信息保护的两个维度

(一)“公”与“私”的平衡

“公”指公权力，也指公共利益；“私”指私权利，也指私人利益。政府在智慧城市建设中在个人信息方面享有的公权力所代表的是公共利益属性，公民个人在其中享有的私权利所代表的是私人利益属性，智慧城市建设中政府对个人信息保护的价值基础应是这二者间的平衡。在公共利益与私人利益的关系中，公共利益的优先性通常非常明显，但在智慧城市建设背景下，政府所享有的公权力亦是非常强势的，在各种先进的网络技术适用过程中，政府公权力不仅“合法”地获取了海量个人信息，而且还呈现了随公权力扩张之势而形成的对公民私人生活领域的“有效”渗入，这种渗入既有显性的对公民个人私生活地剥夺，也有隐性的无处不在、不知不觉地侵犯。何况，伴随技术的运用，使得这种“剥夺”和“侵犯”变得容易和便利。此时，考虑“公”与“私”平衡，应确立私权保护优先的理念。

所谓私权保护优先，即在智慧城市建设中政府收集、使用、传播个人信息过程中公权力的行使应当优先考虑公民个人合法信息的保护。在个人信息保护与政府公权力行使发生冲突时，应当优先考虑保护公民的个人信息。这一理念的确立符合当代宪法理念下对公权力的合法有效制约和行政法治的时代精神。众所周知，公权力的行使是为保障私权利的实现。在智慧城市建设中，虽然政府采集、使用、传播个人信息常常是为公共利益考量，但这种权力的行使也是有界限的，不能肆意侵犯公民个人私域范围，更遑论政府借公益之名行干预私益之实的粗暴行为。

在私权保护优先理念的指引下，政府获取一切个人信息要以符合公共利益为根本目的，即正当目的性要求。如何使这一原则付诸实践？实体层面牵涉政府收集、使用、传播信息的权限范围。程序层面应做到：收集信息前，政府应向行政相对方说明收集个人信息的目的、用途；信息使用、传播过程中应确保有关政府信息的公开透明；后期应注意信息有效储存及使用情况的跟踪反馈。行政公开应贯穿政府对个人信息保护的始终，以此检验政府行为的正当目的性要求是否实现。

(二)行政公开与个人信息保护的协调

前已述及，在公共利益与私人利益的平衡中，行政公开更有益于个人信息保护的实现。就行政公开与个人信息保护的关系来看，一是通过行政公开明确政府可以收集、利用的个人信息的范围和目的；二是政府在一般意义的行政公开程序中不能因为公开而侵犯个人信息的隐私性。可以说，行政公开与个人信息保护是控制行政权的两个面向。一方面，通过行政公开制度，行政机关收集、利用个人隐私的公共利益目的性得以体现；另一方面，在行政公开过程中，政府也负有保守个人信息隐私的义务，这要求行政机关必须遵守收集、利用和传播个人信息的一定规则。

当前，需要引起重视的是行政公开过程中个人信息保护异化的问题。一种情形是政府不能依法公开应当公开的信息。在智慧城市建设中，对应当向特定个人公开的信息，政府是否能做到无论是依职权公开还是依申请公开都能依法公开。实践中，公开的有关个人信息都是无关痛痒的信息，但是对于信息用途、目的、后续跟踪等的内容公开依然不足。另一种情形是政府对个人信息保护不利，甚至有公权力主体与非公权力主体在公民个人信息的享有、使用、传播过程中相互结合形成“垄断”，以致个人信息被滥用，甚至被非法买卖，造成公民个人信息严重泄漏的后果，形成了不良的社会影响。

面对上述问题，行政公开与个人信息保护的协调应基于个人信息对特定个人公开这一原则，即政府掌握的个人信息属于不予向社会公开的信息范围，个人信息资料必须对特定相对人全程公开。在收集或利用个人信息时应当尊重当事人的权益，依诚实信用方法为之，向特定当事人公开，并且不得超越法定目的的范围。除知情权外，个人还应该能充分控制个人信息的使用。“在资料的收集、储存、利用、传递、阅览、更正、销毁的各个进程中，都允许个人以自我决定权为理由全程参与，除非此举危及重大利益，该项权利方得以法律或本于法律限制之。”⑨

四、智慧城市建设中政府对个人信息保护的途径

(一)明确个人信息保护对象

智慧城市建设中，政府对个人信息的保护首先需要明确个人信息保护的对象，即政府对哪些个人信息应予保护。目前，我国关于个人信息的分散立法中多数规定未明确何为个人信息，只是简单作了应当保护个人信息的原则性规定。一般以居民身份证法列举的最多，为姓名、性别、民族、出生日期、常住户口所在地住址、居民身份证号码、本人照片、指纹信息等。此外，护照法还列出了出生地、精神卫生法列出了病历资料、刑事诉讼法列有工作单位。这些具体的个人信息都值得关注，但还需要从明确分类的角度总结已列举的内容，决定是否列举以及如何选择列举的具体内容。在智慧城市建设背景下，一方面需要从个人信息保护的立场出发，尽可能广泛明确个人信息的界定范围，另一方面也需要考虑政府行为的公益性目的，对个人信息保护的范围做必要的限制。这方面可以借鉴国务院出台的《征信业管理条例》中的相关规定，在此条例中明确规定了禁止采集的个人信息和限制采集的个人信息，这种立法形式使得个人信息的范围界定有了一定的层次性，区分了个人基本信息和敏感信息的差别，有助于个人信息保护的顺利推进。

(二)以公众参与促进个人信息保护的实践

前已述及，无论是从“公”与“私”平衡的维度，还是从行政公开与个人信息保护协调的维度，智慧城市建设中政府对个人信息保护的实践都离不开公众参与机制的有效发挥。当前，在智慧城市建设过程中，可以说政府在个人信息的收集、使用和传播中占据主动地位，公民个人在信息保护中过于被动，甚至在信息占有极度不对称的情况下，个人对政府在个人信息采集、使用、传播等的前期启动、中期运行及后期跟踪的情况一无所知。在公权力面前，公民个人成了无所遁形的透明人。为制止这一情况的发生、恶化，有必要引入公众参与机制来促进个人信息的保护。

所谓公众参与，即政府在做出个人信息收集、使用、传播的过程中，除法律有特别规定外，应当尽可能允许公民个人参与其中，从而确保公民个人实现合法程序权益，也有利于加强对政府行为的监督，有利于在政府与公民间达成共识，使政府行为更加符合社会公共利益。公众参与机制在公民个人信息保护中最重要的实践路径是公民理当获得政府对相关事项的通知，即政府应就个人信息的收集范围、使用目的、传播途径等告知公民。尤其伴随大数据等技术的运用，个人信息的价值更多源于对其的二次利用。在这一现实面前，政府尤其应该重视对公民个人信息的基础性保护，在告知公民和得到许可的前提下行使政府权力。从保护个人人格尊严的角度出发，个人始终有控制个人信息合理合法使用、个人信息不被滥用的权利，即个人对自己信息的收集使用有知情、参与和控制的权利。⑩因为，无论伴随技术创新的时代变迁还是社会发展，个人信息保护中的个人核心地位不应该被改变。

(三)加强政府对非公权力主体行为的监管

智慧城市建设中，除了政府对个人信息进行大量的收集、使用和传播外，非公权力主体也是占有个人信息的另一大主体。因此，对非公权力主体的制约与监督也是个人信息保护的重要内容，这一方面有赖于非公权力主体的行业自律，另一方面有赖于公权力主体的有效监管。

就加强政府对非公权力主体行为的监管来看，其现实必要性非常紧迫。随着中国网民数量的激增和旺盛的市场需求，诸如互联网在线教育、网络医疗、网约车等等，互联网的发展真正进入了“拇指时代”，反映在智慧城市建设方面，由非公权力主体提供的各种城市产业、城市服务蓬勃发展。相对于新兴技术带来的迅速发展，我国在这方面的法制建设呈现了相对的滞后性。当前，互联网企业的恶意竞争、侵犯公民个人权益的一些行为尚缺乏法律的有效规制，个人信息和隐私经常被滥用和肆意侵犯。同时，由于对个人信息内涵、范围的界定不清，导致个人信息保护问题虽然讨论热烈，但在实践中仍处于被忽略的状态。

就对非公权力主体相关行为的制约与限制来看，当今世界发达国家采取了两种模式。美国采取行业自律的方式制约非公权力机关的个人信息处理行为，即通过行业协会等行业组织或者由公司、产业实体制定自律规范保护个人信息。当然，行业自律并不是完全交由非公权力主体进行管理，而是政府引导下的行业自律模式。与之相对应，欧洲(欧盟)则采取了一种公共政策式的，适用于所有公私部门进行独立监管的模式。

考虑我国当前实际，因为缺乏自律的传统和观念，民间组织的发育尚不健全，社会自治能力也比较弱，如果照搬美国模式，通过自律机制主导来保护个人信息有一定现实困难。因此，在发展行业自律的同时，我国还要加强政府对非公权力主体相关行为的监管。具体来看，首先，应加快相关制度建设，从“公”与“私”平衡的角度，为非公权力主体行使相关信息处理行为制定合理界限。如个人信息收集的标准、范围，信息处理的权限、用途等。其次，对非公权力主体相关处理行为应进行过程性监管和持续的跟踪追查。要将监督关口前移，从事后追责到事前调查、事中披露都应予关注。同时，对涉事主体的责任追究应当持续跟踪，及时向公众公开反馈，在诸如诚信保障机制等的配合下，促使其合法开展相关行为。当然，这些措施的采取必须考虑的问题是既要保障个人信息受到保护，不被非公权力主体肆意侵犯，也要考虑不能对之管得过死，使其失去参与信心。从这个角度考虑，政府监管不仅要体现“管”的一面，也要重视“服务”的一面。尤其在智慧城市建设中，需要充分知晓企业处理信息行为的背景、目的等，不能生搬硬套，在合法的前提下充分考虑合理性。

(四)落实政府责任追究

法律责任的承担是法律权益保护实现的根本途径，即便在制度规定中有严格的行为规定，如果不能将法律责任予以付诸实践，任何制度规定都不过是一纸空文。当前，我国在个人信息保护的相关规范性文件中基本规定了行政责任、民事责任以及刑事责任，但是现实中普遍存在无法落实的困境。比如，在法律责任的规定上，多数有“泄露用人单位和个人信息的，依法给予处分或行政处罚”的规定，或者泛泛规定“造成损失”“侵犯合法权益”的承担民事赔偿责任，构成犯罪的承担刑事责任等。由于缺乏具体的侵权依据，导致前者成了一种简单的宣示规定；而由于缺乏对法律责任进行危害程度和危害结果的量化依据，致使后者无法按规定追责，这些是制度规范不足所导致的追责困难。

同时，政府负有对非公权力主体的监管之责，也负有对自身不当及不法行为的责任追究。但是实践中仍旧存在执法不严、追责不力的情形。就政府监管行为而言，现实中政府与涉事非公权力主体相互“勾结”，出卖个人信息，致使其被滥用和侵犯隐私的事件时有发生。在责任追究中，往往厚此而薄彼，造成了另一层意义上的公正难以实现的困境。

就政府责任追究及落实的具体路径来看，首先，在制度规范层面需要明确规定个人信息与个人信息权利内容，同时细化和规范化具体的量化标准。其次，就责任追究的实际来看，可以尝试引入第三方评估、调查追究机制，既确保涉事主体承担责任，又确保政府行为处于监督之下，即监督者本身亦应受到监督。结合当前我国的监察体制改革，也可对此进行相关的制度设计。

综上，信息技术的发展、智慧城市的建设不可阻挡，善用法治思维、法治方式解决矛盾、处理问题。智慧城市建设中加强政府对个人信息的保护是法治政府建设的重要内容。就对个人信息的公法保护层面而言，需要对政府权力进行制约。在智慧城市建设进程中，对政府权力行为的正当性、合法性来源需要深究。同时，在对个人信息的保护中还需要赋权予政府，无论是政府对个人信息的处理行为，还是政府对非公权力主体个人信息处理行为的监管，都需要政府积极主动、合法而行。

注释：

①参见360百科https://baike.so.com/doc/25233534-26232582.html，2019-06-18.

②吴红辉.智慧城市实践总论[M].北京：人民邮电出版社.2017:44.

③吴红辉.智慧城市实践总论[M].北京：人民邮电出版社.2017:31-32.

④参见http://www.xinhuanet.com/2019-02/24/c_1124155861.htm，2019-06-19.

⑤吴红辉.智慧城市实践总论[M].北京：人民邮电出版社,2017:47.

⑥张新宝.从隐私到个人信息：利益再衡量的理论与制度安排[J].中国法学,2015，(03)：38.

⑦王秀哲.信息社会个人隐私权的公法保护研究[M].北京：中国民主法制出版社,2017:77.

⑧详见360百科：https://baike.so.com/doc/5438645-5676964.html，2019-06-17.

⑨参见李震山.论个人资料之保护[A].台湾行政法学会主编.行政法争议问题研究(上)[C].台湾：台湾五南图书出版公司,2000:653-689.

⑩王秀哲.信息社会个人隐私权的公法保护研究[M].北京：中国民主法制出版社,2017:30.