国家机关处理个人信息的特殊风险及其法律规制
2022-11-21孙清白
孙清白
一、问题的提出:国家机关处理个人信息的特殊风险
2017年,《经济学人》杂志宣称:“世界上最有价值的资源不再是石油,而是数据。”(1)Regulating the Internet Giants: The World’s Most Valuable Resource Is No Longer Oil, but Data, Economist(May 6, 2017), http://www.economist.com/news/leaders/21721656-data-economy-demands-new-approach-antitrust-mles-wordds-most-valuable-resource,最后访问日期:2021-10-15。个人信息作为一种重要的数据类型,在国家治理领域发挥着不可替代的作用。据统计,各级政府部门掌握了我国80%以上的数据资源(2)《李克强:信息数据“深藏闺中”是极大浪费》,中国政府网,http://www.gov.cn/xinwen/2016-05/13/content_5073036.htm,最后访问日期:2021-10-15。,其中就包含大量个人信息。随着电子政务和智慧治理的兴起,国家机关履行职责的过程中时刻面临着个人信息的处理。近年来,国家机关不当处理个人信息的报道频频见诸媒体。如安徽省铜陵市政府信息公开网公示某社区40对孕前优生健康检查夫妻的姓名,并完整呈现其中77人的身份证号;合肥市长丰县罗塘乡政府在网上发布的低保金资金发放花名册中公开居民姓名、家庭住址、一卡通账号和联系号码等;景德镇市人社局官网上发布的大学生创业补贴人员花名册中,14名创业大学生的学号、身份证号、手机号码等被公之于众(3)王煜:《部分政府官方网站现个人信息泄露 专家称将损害政府信用》,腾讯网,https://news.qq.com/a/20171114/001544.htm,最后访问日期:2021-10-15。;海南省也被曝出在财政惠民补贴、“三支一扶”岗位招募信息公示等活动中泄露公民完整的身份信息(4)杨蓝:《政府官网公示泄露个人信息 提升保护意识是关键》, 人民网,http://yuqing.people.com.cn/n1/2019/1231/c429781-31529948.html,最后访问日期:2021-10-15;蒲晓磊:《多地公示信息简单粗暴:公民个人信息被政府部门泄露》,闽南网,http://www.mnw.cn/news/consumer/1889794.html,最后访问日期:2021-10-15。。除不当公开公民个人信息外,国家机关违法收集个人信息、不同职能部门之间随意共享个人信息、对特殊人员(上访户、刑满释放人员等)的个人信息进行不当标注等都是饱受质疑的个人信息处理行为。在前信息时代,国家机关不当处理个人信息造成的损害相对有限,但随着信息时代的到来,国家机关运用互联网、大数据、云计算、人工智能等技术辅助国家治理已成为常态,个人信息处理的效能得到了提升,与之相伴的风险也成倍增加。由于职责履行的特殊性,国家机关处理个人信息的过程中会给个人权益和社会公众利益带来特殊风险,主要有如下表现:
(一)豁免同意带来的个人信息处理失控风险
取得当事人同意是个人信息处理最重要的合法性基础。在公权力行使领域,基于保密、决策和管理的需要,国家机关常常未经信息主体的同意即处理其个人信息,也不告知信息主体其个人信息被处理的事实。比如,一些地方政府发文要求下属单位统计中青年“未娶媳妇”人数,并要求有具体数据和案例作为支撑,其中就涉及大量未经同意的敏感个人信息处理(5)贾淑瑞、张奇:《一县委发文统计光棍人数,农村青年娶媳妇有多难?》,网易网,https://www.163.com/dy/article/GK89VIV90514R9OJ.html,最后访问日期:2021-10-15。;个别地区的国家机关未经当事人同意且在拒绝告知相关情况的基础上,擅自将公民个人信息列入动迁信息(6)张恒:《迷雾重重!上海男子没房且已租房多年,竟被安排参与了动迁协议?》,腾讯网,https://new.qq.com/omn/20210925/20210925A0C14500.html,最后访问日期:2021-10-15。;甚至有个别地方政府打着疫情防控的旗号曝光外地返乡人员住址信息和行踪信息(7)参见邱越、袁勃《疫情精细化防控须注重对隐私权的保护》,人民网,http://yuqing.people.com.cn/n1/2020/0228/c209043-31609857.html,最后访问日期:2021-10-15。。这些未经同意的个人信息处理行为,都在不同程度上侵害了当事人的合法权益。另有一些未经同意的个人信息处理行为,虽看似没有直接造成个人合法权益的侵害,但实质上加剧了人与人之间的社会分化,引发社会歧视。例如,苏州通过收集普通民众日常生活中的个人信息形成“苏城文明码”,将市民行为的“文明度”与市民在工作、生活、学习和娱乐等方面享受到的公共服务相挂钩,导致公民在日常生活中留存的海量个人信息成为差异化社会治理的重要因素。这是“数据治理时代的一种滑坡效应”,将服务于人的治理工具变成“管人治人”的管控工具(8)郭春镇:《对“数据治理”的治理——从“文明码”治理现象谈起》,《法律科学(西北政法大学学报)》2021年第1期。。
在《个人信息保护法(草案)》的审议阶段,一审稿、二审稿中的第35条均明确,国家机关为履行法定职责处理个人信息,应当向个人告知并取得其同意;法律、行政法规规定应当保密,或者告知、取得同意将妨碍国家机关履行法定职责的除外。但最终通过的《个人信息保护法》第35条仅规定国家机关为履行法定职责处理个人信息,应当履行告知义务,同意的要求被删除。基于国家治理的需要,国家机关处理个人信息无需同意的制度设计是必要的,因为个人同意会一定程度上破坏国家机关公共职能的行使(9)参见王利明、丁晓东《论〈个人信息保护法〉的亮点、特色与适用》,《法学家》2021年第6期。,但由于国家机关处理个人信息的封闭性,豁免同意的后果是国家机关与社会公众之间存在明显的信息不对称,公众无法判断并知晓风险发生的时间以及危害后果,更难以第一时间知悉其个人合法权益受侵害的事实。在未经个人同意、个人也无从知晓其个人信息被处理的事实且无法行使其个人信息权利的情况下,国家机关处理个人信息是否会无所顾忌,是否会带来个人信息处理失控的风险是值得认真审视的。
(二)宽泛授权所导致的个人信息处理泛化风险
面对日趋复杂的社会分工和多样化的社会生活,国家机关需要处理的个人信息类型和数量都在急剧膨胀。由于在人员、时间和技术等方面受到一些限制,国家机关常需授权其他主体代为处理个人信息,这本无可厚非,但有些情况下国家机关授权处理个人信息的方式很不规范,授权内容也不明确,甚至对一些未经授权处理个人信息的行为采取默许态度。例如,根据《传染病防治法》和《突发公共卫生事件应急条例》等相关规定,有权收集、报告疫情信息的主体包括疾病预防控制机构、卫生行政主管部门和其他有关部门、医疗卫生机构,街道、乡镇以及居民委员会、村民委员会予以协助。实践中,除法律明确规定的组织可因疫情防控需要处理个人信息外,一些不具有相应职责权限的用人单位、公共场所、住宅小区、村民小组乃至个人都承担起收集个人信息的职责。其中,为数众多的主体只在疫情防控部门的默许下承担了个人信息处理职责,却并没有在事实上获得相应授权。即便经过授权的主体,由于疫情防控的特殊背景,也大多是通过口头告知、电话告知、即时通信软件通知或公告的方式获得相应的授权,授权处理的内容和处理的方式都未充分明确,属典型的不规范授权。
随着政务信息化程度的加深,国家机关与第三方平台的合作越来越紧密,与之相伴的风险也愈发显现。对于生物信息、通信信息、轨迹信息等敏感个人信息,国家机关除通过自有渠道收集外,更多地需要依托以商业平台为代表的第三方主体。而大规模的数据存储和分析,也要借助商业平台的存储空间和分析技术。国家机关与商业平台的合作是否受到严格规制一直为社会所关注,比如商业平台收集公民个人信息是否经过国家机关授权,如何规范国家机关与商业平台之间双向的信息共享,国家机关存储于商业平台的个人信息是否安全等(10)参见贝金欣、谢澍《司法机关调取互联网企业数据之利益衡量与类型化路径》,《国家检察官学院学报》2020年第6期。。但这方面的法律规制较为欠缺,以至于一些与国家机关存在密切合作关系的商业平台打着国家机关的旗号,超越国家机关所授权的范围处理个人信息。以侦查机关利用大数据平台侦查犯罪为例,我国刑事诉讼法仅有个别条文涉及个人信息处理,缺少关于个人信息处理的权限、程序、条件、对象等基本规范,导致刑事司法实践中侦查机关处理个人信息只是得到了事实上的宽泛授权(11)颜飞、刘文琦:《刑事司法中应避免侵害个人信息权益》,《检察日报》2021年9月15日,第3版;高磊:《网络时代数据隐私的搜查干预——从滴滴顺风车司机抢劫、强奸、杀人案切入》,《安徽大学学报(哲学社会科学版)》2019年第3期。。这种事实上的宽泛授权传导到大数据平台,导致大数据平台基于配合侦查潜在犯罪的考虑广泛收集个人信息,甚至有些商业平台在满足国家机关职权履行需要之余,为了商业化的目的处理个人信息。由此可见,宽泛授权的存在会使个人信息权益被侵害的风险大大增加。
(三)过度处理带来的个人信息监控风险
基于国家治理的需要,国家机关常通过各种方式处理个人信息。相较于商业机构,国家机关对公民个人信息的处理影响面更广、覆盖面更大,对于公民切身权益造成的侵害更为直接,也更容易打着公共利益的旗号侵害公民个人信息权益。国家机关在数据处理中能够形成“公共数据权力”,这种权力直接关联社会资源和公共服务的分配。如果国家机关处理个人信息的行为没有受到足够的约束与限制,大规模处理个人信息的行为会使个人应享有的合法权益面临严重威胁。尽管国家机关收集到的多数个人信息确实用于相关执法、监管和风险控制,但在收集过程中难免会有一些个人信息与法定职责履行无关。此种情况下,如何处置收集到的“无关”信息是值得考虑的问题。例如,为维护国家安全和社会治安,以国安、公安为代表的国家机关需要对可疑对象进行监控,监控得到的与违法犯罪无关的个人信息或他人信息是应当继续保留还是应当直接删除?再如,基于社会调查、行政管理、统计分析等需要收集的大量个人信息被用于为社会提供公共服务,这是否有超越履行法定职责所必要的范围和限度的嫌疑?
越来越多的事实表明,在过于重视通过个人信息大数据赋能政府治理的当下,国家机关处理个人信息的风险以及对个人信息权益应有的保护常常被忽视(12)方志伟、王建文:《个人信息在智慧治理中的风险与保护——以〈民法典〉个人信息保护为中心》,《江西社会科学》2021年第5期;刘艳红:《大数据时代审判体系和审判能力现代化的理论基础与实践展开》,《安徽大学学报(哲学社会科学版)》2019年第3期。。为了社会公益,带有海量个人信息的各类数据日益成为国家机关监控的重要对象,公众个人信息受到侵害的风险正以前所未有的速度被放大。虽然大数据驱动的社会治理有诸多优势,但同时也会带来遭受民众抵制的社会风险(13)参见程雷《大数据背景下的秘密监控与公民个人信息保护》,《法学论坛》2021年第3期。。国家机关对公民个人信息的大数据分析加剧了公众在数据监控下的不安,利用超强技术手段攫取数据令每个人的隐私形同透明。国家机关收集、储存、分析和使用个人信息的“度”如果掌握不好,就有过度监控并导致“监控国家”出现的可能(14)参见马长山《智能互联网时代的法律变革》,《法学研究》2018年第4期。。
(四)安全保障不足所引发的信息泄露风险
现代大数据技术背景下,国家机关普遍开展个人信息的处理工作,涉及个人信息的收集、存储、使用、传输等多个环节。随着电子政务的普及,各级各类国家机关都建有相应的数据库和数据处理平台,公民的个人信息无时无刻不被以各种形式处理,任何环节的安全保障疏忽都会导致个人信息泄露,从而给当事人的人身和财产安全带来巨大威胁。
可以预见的是,在社会治理领域,信息化手段的嵌入将会逐渐加深。《中共中央关于制定国民经济和社会发展第十四个五年规划和二○三五年远景目标的建议》提出,要“加强数字社会、数字政府建设,提升公共服务、社会治理等数字化智能化水平”,“扩大基础公共信息数据有序开放,建设国家数据统一共享开放平台”。近年来,各地、各级政府部门正在加快部署与实施国家数字化战略,强化各类数据、信息在公共服务、社会治理中的应用,加快推进数据共享。在个人信息共享实践中,既有某一国家机关与其他国家机关的信息共享,也有国家机关与商业平台的信息互联,还有国家机关内部的信息传输。个人信息作为重要的政务数据常在不同主体之间流转,在这一过程中会因数据发送方和数据接收方安全保障措施不健全,导致数据保护举措不统一、数据流向不可控、数据流失难追踪等一系列安全问题。在经济欠发达地区以及基层组织,受到各种因素制约,个人信息传输时有采取非电子化的方式(如移动介质拷贝、纸质传递),数据安全性更难得到应有保障。由于一些国家机关对数据安全性的保护程度达不到应有水平,流转于国家机关数据库之间的个人信息很容易被网络黑客盗取。考虑到当前我国所有的官方数据库或者半官方数据库(如通信、医疗、交通、金融系统等)都使用统一的身份验证系统(主要是姓名、人脸、身份证号和手机号),一旦这些重要的个人信息大范围泄露,将会使个人隐私和财产安全暴露在巨大的危险之中。
二、国家机关处理个人信息特殊风险的规范缺失
国家机关作为公权力的行使主体,是国家人格在国家治理领域的具体呈现,其履行职责的行为具有权威性,国家机关本应对个人信息处理起到表率作用。然而,实践中,国家机关在履行职权的过程中并未对个人信息的保护予以足够的重视。这既有部分国家机关及其工作人员法治观念没跟上的原因,也有法律规范不足的因素。面对国家机关处理个人信息的特殊风险,我国立法机关已关注到国家机关处理个人信息需要受到特别的法律规制,并在《个人信息保护法》《数据安全法》《民法典》《网络安全法》《关键信息基础设施保护条例》等法律、法规中予以相应的制度回应,但现有立法过于简略,对于一些重要问题存在明显的规范缺失,并没能很好地应对国家机关处理个人信息所涉及的各种特殊风险。
作为我国立法层面的最新成果,也是规制国家机关处理个人信息最直接的法律依据,《个人信息保护法》第二章第三节(第33条至第37条)专门就国家机关处理个人信息做了特别规定。其中,第33条属于注意规定,该条明确国家机关处理个人信息适用《个人信息保护法》以及第二章第三节的特别规定。第34条规定国家机关处理个人信息所应遵循的基本准则,即国家机关应当依照法律、行政法规规定的权限和程序处理个人信息,不得超出履行法定职责所必需的范围和限度。第35条则是有关处理个人信息的告知规定,依据该条,国家机关为履行法定职责处理个人信息需要履行告知义务,但依法应当保密、不需要告知或者告知将妨碍国家机关履行法定职责的除外。第36条要求国家机关处理的个人信息应在我国境内存储,涉及跨境传输须经安全评估。第37条是拟制规定,该条将具有管理公共事务职能的组织为履行法定职责处理个人信息纳入国家机关处理个人信息的特别规范中。从上述规定可以看出,《个人信息保护法》对于国家机关处理个人信息真正具有实质规范意义的只有第34条、第35条和第36条,这三条也只是明确了国家机关处理个人信息需要遵守一定的权限、程序和职责范围,并对告知义务以及个人信息的跨境传输要求做了原则性规定,但并未展开具体的制度构建。
除《个人信息保护法》外,对国家机关处理个人信息最具规范意义的立法是《数据安全法》。《数据安全法》第四章“数据安全保护义务”和第五章“政务数据安全与开放”涉及对国家机关处理数据的特别规制。考虑到个人信息也是数据的重要类型,故《数据安全法》自当适用于国家机关对个人信息的处理。该法第35条规定公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,应当经过严格的批准手续,依法进行。第38条与《个人信息保护法》的规定基本相同,要求国家机关为履行法定职责处理个人信息应当在履行法定职责的范围内,依照法律、行政法规规定的条件和程序进行,并对个人信息依法予以保密。第39条则明确国家机关应当建立健全数据安全管理制度,落实数据安全保护责任。第40条要求国家机关委托他人处理数据应当经过严格的批准程序,并应当监督受托方履行相应的数据安全保护义务。总体而言,《数据安全法》对国家机关处理包含个人信息在内的各种数据的规制逻辑与《个人信息保护法》有相同之处,如明确个人信息处理的目的是基于法定职责的履行、要求个人信息处理依法定条件和程序进行并予以保密。但《数据安全法》还对国家机关的数据安全管理以及委托第三方处理数据做了规定,这是《个人信息保护法》针对国家机关处理个人信息的行为规制所不能覆盖的。
在《个人信息保护法》《数据安全法》之外,我国《民法典》《网络安全法》《关键信息基础设施保护条例》等法律、法规还对国家机关处理个人信息的保密义务做了规定。依据《民法典》第1039条、《网络安全法》第45条和《关键信息基础设施保护条例》第30条,国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉个人信息,应当予以保密,不得泄露、出售或者向他人非法提供。这些规定显然也只能够满足社会公众对国家机关处理个人信息最低层次的保密期待,能够化解的风险十分有限。
由以上梳理可见,《个人信息保护法》和《数据安全法》搭建了国家机关处理个人信息法律规范的基本框架,而《民法典》《网络安全法》《关键信息基础设施保护条例》等法律、法规则强化了国家机关处理个人信息的保密规定。总的来看,现有立法只有个别条文涉及国家机关处理个人信息所面临的特殊风险的法律规制,且多为原则性或宣示性的规定,并没有具体到可操作层面。即便是《个人信息保护法》和《数据安全法》中针对国家机关处理个人信息具有实质性约束的法律规范也较为简略。比如,超越职责范围和限度处理个人信息如何处置,《个人信息保护法》没有给出答案;国家机关处理个人信息所应当告知的内容、告知的方式和告知的时间节点,《个人信息保护法》也没有规定;国家机关数据安全管理制度的主要内容、数据安全保护责任的内涵,《数据安全法》并没有揭示;国家机关委托他人处理数据的批准程序、国家机关对受托方履行数据安全保护义务的监督,《数据安全法》也只是一笔带过。可见,对于豁免同意的情况下如何避免个人信息处理的失控、如何规范国家机关对个人信息处理的授权、如何制约国家机关对个人信息的过度监控、如何强化国家机关处理个人信息的安全等问题,现有立法尚无法做出有效回应。此外,考虑到国家机关处理个人信息的行为本质上也属于行政行为或至少属于行政行为的组成部分,按照行政法有关行政行为规范的基本逻辑,对于国家机关处理个人信息行为的法律规制应当从实体规范和程序规范两个方面展开。然而现有立法主要是从实体性规范的角度规制国家机关对个人信息的处理,程序性规制的色彩过于淡薄,这毫无疑问也是现有立法所存在的巨大缺漏。简言之,《个人信息保护法》《数据安全法》《民法典》等法律、法规对国家机关处理个人信息所涉及的特殊问题既缺乏足够多的有实际约束力的实体性规范设计,也忽视了本应可以发挥重要作用的程序性规范设计,相对笼统的法律规则很难全面覆盖到国家机关处理个人信息的特殊风险,未能对国家机关处理个人信息形成充分的规范指引,也无法有效制约国家机关处理公民个人信息的行为。因此,我国现有立法总体呈现出明显的制度供给不足,无法有效应对国家机关处理个人信息实践中存在的各种问题。
三、国家机关处理个人信息的法律规制策略
在个人信息日渐成为国家治理中的重要资源,政府的宏观决策、社会管理、公共服务都离不开对个人信息充分利用的当下,国家机关在履行法定职责的过程中对个人信息予以充分保护也同样重要。如果国家治理过于重视对个人信息的利用,特别是从个人利益服从于国家利益、私人权益让位于公共利益的角度看待个人信息处理问题,就会难以避免地损害到社会公众的合法权益,导致社会公众陷入对政府的不信任,采取消极态度对待国家机关对其个人信息的处理,从而不利于国家机关职权的履行。因此,要兼顾国家机关职权的履行和对个人合法权益的保护(15)参见高富平《个人信息保护:从个人控制到社会控制》,《法学研究》2018年第3期。。同时,由于信息时代“数字化行政方式”的普及,公权力的行使越来越多地通过数字化的方式实现(16)展鹏贺:《数字化行政方式的权力正当性检视》,《中国法学》2021年第3期。,国家机关在法定职责履行的过程中不再像前信息时代那样处理小规模、单一化的个人信息,而是借助互联网、大数据、计算机和算法等通过自动化决策的方式处理大规模、多样化的个人信息。只有全方位规范国家机关处理公民个人信息的行为,才能有效降低国家机关职责履行全过程中个人信息处理所面临的风险。
(一)细化国家机关处理个人信息的告知义务
国家机关对个人信息的处理绕过了当事人的同意,除非国家机关主动告知,当事人对于被处理个人信息的类型、处理目的、处理方式、处理环境是否安全等问题都不知情,很难对国家机关处理其个人信息的行为进行事前控制。这就导致当事人无法监督国家机关对其个人信息的处理,也无法及时对违法处理其个人信息的行为提出异议。国家机关基于履行法定职责的需要可以使未经同意的个人信息处理合法化,但并不意味着当事人不享有知情权。依据《个人信息保护法》第18条和第35条的规定,除有法律、行政法规规定应当保密或者不需要告知的情形,或者告知将妨碍国家机关履行法定职责的情形外,国家机关为履行法定职责处理个人信息,应当依法履行告知义务。令人感到遗憾的是,《个人信息保护法》虽规定了国家机关的告知义务,但却并未明确国家机关应当何时告知、告知的内容以及告知的方式。为使当事人能够在知情的基础上形成对国家机关的有效监督,在“同意权”丧失的情况下,立法应尽可能保障个人的“知情权”,明确国家机关履行告知义务的时间节点、告知方式和告知内容,特别是限缩不予告知的情形。
在告知内容方面,国家机关除履行一般意义上的告知义务外,还应告知处理个人信息的法律依据,基于履行何种法定职责处理个人信息,处理个人信息的种类、方式、范围和内容,处理个人信息的法律意义,处理个人信息可能引发的法律效果(法律后果)以及当事人享有的权利和救济途径。对于涉及人数众多或不特定多数人的个人信息处理,国家机关还应通过网络、媒体或者其他便于接收的渠道向社会公告有关大规模处理个人信息的事实。在告知时间节点方面,国家机关应在开始处理个人信息之前履行告知义务,以便当事人及时提出异议;原有告知内容发生变更的,国家机关应当及时补充告知。在告知方式方面,鉴于国家机关对个人信息的处理可能直接关涉个人基本权益,告知必须是可以留痕的书面形式(17)郑曦:《刑事诉讼个人信息保护论纲》,《当代法学》2021年第2期。。在紧急状况下,国家机关可以口头告知,但事后必须补充书面告知文件。
此外,由于《个人信息保护法》在确认国家机关须履行告知义务的基础上,还规定了三类无须告知的情形,为避免国家机关对无须告知的任意解释,立法应当对三类无须告知的情形予以进一步明确。申言之,对于“依法应当保密”这一无须告知的情形,重点在于明确“法”的范围。考虑到部门立法和地方立法都有可能为了部门或地方利益大开个人信息处理的方便之门,弱化对个人知情权的保护,故“依法应当保密”所依据的“法”应当限于法律和行政法规。另外,“不需要告知”以及“告知将妨碍国家机关履行法定职责”这两种情形的规定都较为模糊,需要通过列举或类型化界定的方式进一步明确,以免国家机关选择性告知或故意不告知,损害个人和社会公众应有的知情权。
(二)规范国家机关对个人信息处理的授权
由于人员、技术和时间等方面的限制,国家机关授权其他主体处理个人信息的现象广泛存在,但授权不规范的存在常引发个人信息处理的泛化,超越国家机关授权范围处理个人信息时有发生。因此,规范国家机关对个人信息处理的授权非常必要,需要授权的情形、被授权主体的资质、授权处理的具体内容都应当有明确法律规定,国家机关如何监督其他主体履行个人信息安全保障义务也需要进一步明确。
其一,需要授权的情形应当法定化。为避免授权的泛化,需要授权的情形应当由法律明确列举,比如国家机关的技术条件达不到个人信息处理的要求、缺乏专门处理个人信息的人员以及难以承担大批量、高风险个人信息处理的安全保障措施等。这样既能避免国家机关逃避职责任意授权,也可以限制国家机关授权的范围。除法定可以授权个人信息处理的情形外,国家机关不得将个人信息处理职权交由第三方行使。国家机关如发现第三方未经授权打着履行国家机关职权的旗号处理个人信息的,应当及时制止并向个人信息保护主管部门举报。
其二,被授权主体应满足相应条件。国家机关原则上须自行承担个人信息处理职责,只有在因人员、技术等方面受到限制的情况下,才能将个人信息处理委托第三方实施,因而被授权的主体也必须在技术条件、专业人员方面符合相应的条件。立法应强调国家机关必须审慎授权具有相应资质的主体开展个人信息处理工作,以便最大限度保障个人信息安全。至于被授权主体具体应当符合哪些条件,可视国家机关职权履行、处理个人信息的类型、处理方式以及处理场景等的不同,由部门立法或者地方立法作进一步明确。
其三,授权事项应当具体、明确,严禁概括授权和转授权。在概括授权的情形下,国家机关与被授权主体之间没有明确的职责划分,被授权主体行使个人信息处理的职权可大可小,容易导致国家机关与被授权的主体之间模糊个人信息处理的权责边界。特别是在有多个被授权主体且彼此之间权责不明的情况下,个人很难知晓权益侵害发生的具体环节,也很难找到权益救济的主张对象。因此,国家机关授权处理个人信息的内容必须是具体、明确的。国家机关在授权第三方处理个人信息时,必须明确授权处理个人信息的类型、范围、数量、期限、处理方式和保护措施等,被授权主体只能在授权的范围内处理个人信息。此外,鉴于国家机关授权特定主体履行个人信息处理职责是基于对该主体处理能力的认可,故被授权主体只能在授权范围内自行处理个人信息,不得转授权其他主体,经国家机关同意的除外。
其四,被授权处理个人信息的主体应履行个人信息安全保护义务。《数据安全法》虽规定国家机关委托他人处理数据的,须对受托方履行数据安全保护义务进行监督,但并未明确监督的方式和具体内容。考虑到被授权方是在国家机关授权之下处理个人信息,监督的具体内容应在于被授权方是否在国家机关授权范围内处理个人信息、是否按照国家机关的法定工作流程处理个人信息、受托方处理个人信息是否有潜在风险以及是否侵害到他人合法权益等。监督的方式既可以是国家机关对受托人进行定期或不定期的个人信息处理工作检查,也可以是受托机关定期或根据国家机关的要求提交个人信息处理工作报告。
(三)明确国家机关处理个人信息的比例原则
国家机关在职权履行的过程中总会接触到大量个人信息,其中有些个人信息的处理是履行职责所必需的,有些则与法定职责的履行无关。实践中,由于处理尺度掌握不一,国家机关超越职权范围处理个人信息的现象较为普遍,容易引发公众对国家机关处理个人信息公信力的质疑。鉴于国家机关处理个人信息从根本上而言是为了社会公益,故国家机关对个人信息的处理理应在公益实现与保障公民合法权益之间找到合适的平衡点,即国家机关所采取的个人信息处理措施给公民权益造成的影响、限制甚至损害应当与该方法所追求的目的合乎比例。比例原则的本质是对基于公共利益需要而处理公民个人信息的国家权力进行限制,将国家机关因履行职责需要对个人信息的处理控制在一定范围与限度之内,避免过度处理个人信息,引发个人信息监控和泄露的社会风险(18)参见刘玫、陈雨楠《从冲突到融入:刑事侦查中公民个人信息保护的规则建构》,《法治研究》2021年第5期。。
比例原则包含目的正当性和手段必要性两方面内涵。“目的正当性”要求国家机关对公民个人信息的处理必须是为了履行法定职责,不得基于其他目的,尤其是牟取利益的目的。虽然有人认为我国立法对于目的限制原则的规定非常宽松,从实践来看,个人信息处理也不太可能完全符合初始目的,因而不能苛求目的范围的最小化,应当容留一些弹性空间(19)梁泽宇:《个人信息保护中目的限制原则的解释与适用》,《比较法研究》2018年第5期。。但在公权力行使领域,为限制国家机关对个人信息的过度处理,目的限定应当得到严格的贯彻。换言之,国家机关收集个人信息只能是基于履行职责的需要,后续个人信息处理也只能以满足职责履行的需要为限。“目的正当性”可以有三项判定标准:其一,目的合法,即国家机关对个人信息的处理必须公平且依法进行,不得以非法目的处理个人信息;其二,目的特定,处理个人信息的目的应当在不迟于收集个人信息之前确定下来,而且在履行法定职责的范围内,不得随意变更个人信息的处理目的(20)See Alan F.Westin, Privacy and Freedom, New York: Atheneum, 1967, p.387.;其三,目的明确,处理个人信息的目的应当特定化,以确保国家机关和信息主体都能够对该目的具有一致理解(21)See Tal Z.Zarsky, Incompatible: The GDPR in the Age of Big Data, Seton Hall Law Review, vol.47, no.4, 2017, p.1006.。
“手段必要性”要求在有多种处理方式可供选择时,国家机关应以所欲实现的社会治理价值为基础,合理地权衡社会公共利益与少数群体利益、个人利益,选取对公民个人信息权益造成影响最小的方式进行,确保处理个人信息的手段和方法均保持在合理的限度范围内。为减少处理过程中个人信息的丢失和错漏,在个人信息处理各环节,国家机关都应保障个人信息的完整性和准确性。当事人确有证据证明其被处理的个人信息存在瑕疵、缺漏或错误的,可以要求更正、补全或删除,以确保其权益不受侵害。在个人信息被更正或补全以前,国家机关应当暂停对其个人信息的处理,以避免产生不可挽回的损害后果。同时,国家机关处理个人信息是为了履行法定职责,这就决定了国家机关对个人信息不能无限期留存。除非法律另有规定,国家机关应当在法定职责已履行完毕或个人信息保存的期限已经届满时,及时删除个人信息(22)刘克江:《政府信息公开中个人隐私权保护的制度完善》,《电子知识产权》2018年第11期。。
(四)强化国家机关处理个人信息的安全保障义务
公信力是政府执政之基,维系国家机关和社会公众之间的信任关系至关重要(23)See Grayson Barber, Personal Information in Government Records: Protecting the Public Interest in Privacy, Saint Louis University Public Law Review, vol.25, no.1, 2006, p.73.。一旦国家机关处理个人信息的安全性无法获得公众信任,国家机关处理个人信息的正当性和合法性就会受到动摇。由于个人与处理个人信息的国家机关之间是一种非对称的权力结构,国家机关处理个人信息带有一定强制性,因而会对个人形成强烈的压迫感。个人在应对国家机关对其个人信息的威胁方面是无力的,更多地需要依赖国家机关主动采取保护措施。因此,为矫正个人同国家机关之间的地位失衡,立法应确立国家机关处理个人信息的安全保障义务,要求国家机关主动从技术层面采取措施保障个人信息安全(24)参见郭春镇《数字化时代个人信息的分配正义》,《华东政法大学学报》2021年第3期。。申言之,国家机关处理个人信息的安全保障义务包含三个部分:保密义务、记录义务以及风险评估义务。
其一,国家机关处理个人信息必须承担严格的保密义务,以防止个人信息泄露。无论《民法典》《个人信息保护法》《数据安全法》《网络安全法》还是其他相关法律、法规,都将严格保密作为国家机关处理个人信息所应承担的重要义务,但却没有阐明保密义务的具体要求。本文认为,国家机关处理个人信息所应承担的保密义务包含对内保密和对外保密两方面的要求。对内保密要求国家机关内部设置个人信息处理专员负责个人信息处理事宜,以便将个人信息的知情范围控制在最小限度内。在处理个人信息前,专员应告知国家机关有关个人信息处理所应当遵循的法规和政策并提供建议。在处理个人信息阶段,只能由专员依据法律规定的职权和流程处理个人信息。国家机关应当确保个人信息处理专员的相对独立性,不干扰其履行相关职责。个人信息处理专员承担其他职责的,不能与个人信息保护职责存在利益冲突。对外保密要求国家机关不得随意向第三方泄露个人信息,更不得将个人信息用于非法交易。只有出于履行职责的需要,国家机关才能向第三方传输、共享或公开个人信息,所传输、共享或公开的个人信息也应以履行职责的必要为限。对于属于政府信息公开范围内的个人信息,除非法律、法规有明确规定或经过当事人同意,不得公开完整的个人信息,需要公开的个人信息必须进行适当去识别化处理,包括采用分割处理、匿名化或模糊化等措施(如身份证号、手机号等可以隐去若干数字,住址不精确到门牌号),以便消除个人的身份标识。一旦发生个人信息泄露时,国家机关既要及时向个人信息主管部门报告,以便尽快采取补救措施,减轻损害后果,又要及时告知当事人,使其能够了解因信息泄露可能给其人身或财产造成的损失,做好应对准备或寻求保护(25)参见郑曦《刑事诉讼个人信息保护论纲》,《当代法学》2021年第2期。。
其二,国家机关处理个人信息须承担记录义务,确保处理个人信息的全过程留痕。以日志形式记录个人信息处理的全过程,能够及时跟踪个人信息的处理,并为日后审查处理行为的合法性以及违法处理下的责任追究提供证据。记录的内容包括处理者的姓名(名称)和权限,处理目的,处理个人信息的种类、数量,处理的方式以及时间等(26)参见王忠《大数据时代个人数据隐私规制》,北京:社会科学文献出版社,2014年,第180~182页。。对于复杂的个人信息处理活动,国家机关还应及时生成处理简报,形成对处理活动的动态监测。为推动个人信息记录制度的规范化运行,立法可要求国家机关建立个人信息管理平台,管理平台作为开展个人信息处理各项活动的载体,须全程记录国家机关处理个人信息的过程并进行动态监测。在有违法处理个人信息或造成个人合法权益损害的情况发生时,个人信息监管部门可以通过平台追踪并溯源。平台还应设置信息查询功能,与国家机关处理个人信息相关的当事人可以登录平台,查询被处理的个人信息相关情况,以保障个人的知情权和监督权。对于个人信息存在错漏的,当事人可以通过平台要求改正或补充;对于违法处理个人信息的,当事人有权通过平台提出异议或举报。
其三,国家机关处理个人信息应承担影响评估义务,并根据个人信息风险等级的不同采取相应的保护措施。我国《个人信息保护法》第55条建立了个人信息保护影响评估制度,但未将国家机关处理个人信息纳入影响评估范畴,存在疏漏。对个人信息处理活动进行影响评估,是保障个人信息安全的重要手段。国家机关处理个人信息时,应将个人信息影响评估纳入个人信息处理的全生命周期中,通过数据分析技术评估处理行为可能给个人带来的人身以及财产等方面的风险,并根据风险等级的不同采取相应的保护举措。影响评估的主体应是各级国家机关内设专门负责个人信息风险评估的部门或工作人员。对于无力承担影响评估或不适合承担影响评估的国家机关,可以委托第三方机构开展影响评估工作。国家机关个人信息处理影响评估的核心是处理环境的安全性和风险的可控性(27)刘金瑞:《数据安全范式革新及其立法展开》,《环球法律评论》2021年第1期。。评估的重点是个人信息处理行为侵害个人权益之可能性,以及针对不同的风险等级所提出的应对方案的可行性。对于评估出的不同风险,可参照环境影响评价制度,按照相应风险等级编制登记表、报告表和报告书。即个人信息处理对个人信息权益造成很小风险的,应当填报风险登记表;对个人信息权益造成较大风险的,应当编制风险报告表;对个人信息权益造成极大风险的,应当编制风险报告书。对于评估存在较大和极大风险的个人信息处理行为,应当在报告表和报告书里详细阐明降低风险的举措以及风险发生后的处置方案。
(五)建立国家机关个人信息处理的分级机制
鉴于个人信息类型多样、个人信息处理的场景不尽相同,国家机关在不同场景下处理不同类型的个人信息所能引发的后果存在差异。为避免国家机关职权履行和个人利益保护的失衡,不宜对个人信息处理采用“一刀切”的保护模式,而应建立国家机关处理个人信息的分级机制。分级机制的核心是围绕个人信息类型以及处理场景的不同,区分个人信息的“敏感度”“风险度”和“关联度”,采取不同的处理方式和保护措施。其中,“敏感度”是指处理特定类型个人信息对人格尊严或者人身、财产安全的影响程度;“风险度”是指个人信息处理行为造成个人权益侵害的可能性;“关联度”是指个人信息与信息主体关联的紧密程度,即该信息是能够单独还是必须与其他信息相结合才能识别特定自然人。个人信息分级保护机制的关键在于针对个人信息的“敏感度”“风险度”和“关联度”,对国家机关处理个人信息的行为进行层级化控制。
其一,区分敏感个人信息与一般个人信息,并根据个人信息的敏感度采取不同的保护强度。依据《个人信息保护法》第28条,敏感个人信息是“一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。”通说认为,个人信息保护强度必须按照处理个人信息敏感程度的高低进行合理配置(28)See Lawrence J.Leigh, Informational Privacy: Constitutional Challenges to the Collection and Dissemination of Personal Information by Government Agencies, Hastings Constitutional Law Quarterly, vol.3, no.1, 1976, pp.251-253.参见邢会强《大数据时代个人金融信息的保护与利用》,《东方法学》2021年第1期;吕炳斌《个人信息保护的“同意”困境及其出路》,《法商研究》2021年第2期。。相较于一般个人信息,敏感个人信息处理更容易给个人人格尊严或者人身、财产安全带来损害风险,因而国家机关对敏感个人信息处理必须满足更加严格的条件,比如更严格的审批程序、更高要求的告知义务、更加安全的技术手段以及更为严格的保护措施(29)孙清白:《敏感个人信息保护的特殊制度逻辑及其规制策略》,《行政法学研究》2022年第1期。。在不影响个人信息可用性的情况下,还应在处理之前尽可能进行数据脱敏。相应的,考虑到人们允许或者至少不排斥对于一般个人信息的合理利用,且一般个人信息的处理给个人人格尊严以及人身、财产安全造成的风险要低于敏感个人信息,因而对于一般个人信息处理及保护的要求可以低于敏感个人信息。
其二,区分收集、存储、使用、加工、传输、提供、公开、删除等不同处理阶段(方式),对国家机关处理个人信息的行为进行层级控制,要求每个阶段的个人信息处理都经过独立的核准程序。国家机关因履行法定职责处理个人信息虽无需经过当事人同意,但仍需完成内部核准程序。国家机关处理个人信息的每个行为阶段都必须得到事前的核准,前一处理阶段的正当性并不能顺延到后续处理阶段。经过核准的个人信息处理必须载明许可处理的方式,不能采取一揽子核准,即仅概括表明允许处理,而不注明允许处理的方式。核准权应由负责处理个人信息的国家机关负责人或专门委员会行使。为避免过度处理个人信息所导致的“监控”风险,核准时必须对个人信息处理的目的、时空范围、信息类型、数量等进行限定。除核准程序这样的内部管理外,为形成对国家机关处理个人信息的有力监督,对于大规模的个人信息处理(尤其是针对不特定多数人的个人信息处理),还必须经个人信息保护主管部门审批后方可实施,确立个人信息处理的内部管理和外部监管并立机制,并由个人信息保护主管部门对国家机关处理个人信息的活动进行定期或不定期审查,以避免产生重大风险。
其三,区分个人信息与人格关联的紧密程度,对关联度不同的个人信息保护予以区别对待。个人信息与人格关联的紧密程度,决定了个人对该信息的关切,也决定了国家机关对该信息应有的保护力度。个人信息与人格关联度越强,个人就越在意该信息处理的安全性,国家机关也有义务对该信息的处理采取更强的保护力度。对于关联度低的个人信息,特别是通过技术手段挖掘、整理、分析获得的群体性信息(如同一居民小区的住址信息),考虑到此类信息呈现出的只是特定群体的概括性描述信息,一般需要与其他关联信息(如门牌号、居民的性别、职业等)相结合才具有可识别性,已不具有较强的人格关联度,国家机关基于职权履行的目的处理此类信息(如公开有传染病例的某一居民小区),当事人合法权益因此受到的不利影响或者损害的可能微乎其微,只需要评估为低风险即可自由处理该类人格关联度较弱的个人信息。而对于人格关联度强的个人信息,特别是不需要与其他信息结合即能识别特定自然人的信息,由于此类信息一旦泄露会给个人带来生活安宁以及人身、财产权益上的损害,通常需要经过匿名化、去识别化之后才能由国家机关进行处理。对于一些特殊方式的处理(如存储、提供、传输),国家机关还应借助加密手段,在专门设置的物理环境中通过专用网络完成。
