本研究受国家社会科学基金重大项目“社会信用体系的法律保障机制研究”(批准号:21&ZD199)资助。北京大学法学院研究生冯莉媛、黄智杰为本文研究做了大量的资料整理工作,并对文章的修改提出了很多建议。特致谢忱。
国家是最大的个人信息处理平台。今日,国家治理以巨量的信息处理为基础。国家权力与数据权力的结合,催生了“数治”(rule by data)这一新的治理技术。在这个背景中,国家机关行使法定职权、履行法定职责中处理个人信息的活动,应如何纳入法律控制框架?从法律上看,国家机关处理个人信息的行为,可依其处理个人信息的权责之性质而作类型化区分。第一类是公法关系中的个人信息处理行为,例如,国家机关依据法定权限、履行法定职责所需而进行个人信息处理;第二类是私法关系中的个人信息处理行为,例如,国家机关订立用工、买卖、劳务、机关事务、民事委托等合同行为。本文仅讨论行政机关为履行法定职责而处理个人信息的活动。
一、问题界定:行政机关处理个人信息适用个人信息保护法吗?
(一)“一体调整”的立法模式
国家机关为履行法定职责而处理个人信息的行为,是否适用个人信息保护法?《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”)的制定深受民法思维影响。我国无论是在民法典还是在个人信息保护法中,都体现出将国家机关与其他信息处理者同样对待,并原则上适用同一法律框架的立法论思维。《个人信息保护法》第33 条规定的“国家机关处理个人信息的活动,适用本法”,一定程度上正是这一立法论思维的体现。在这个意义上,问题似乎已经解决:国家机关处理个人信息的活动,同样受《个人信息保护法》调整。
然而,《个人信息保护法》主要是围绕私人机构处理个人信息的行为而展开的规制设计。毫无疑问,这些机构和平台的大规模、持续性的处理个人信息的活动,对个人信息权益带来了侵害风险;正因为此,个人信息保护法律制度的逻辑,就是对处理个人信息的各种行为,包括个人信息的采集、分析、转移、传输、出境等进行规制,通过对个人信息处理规则的建构、对处理者义务的设定、对个人的赋权以及法律责任机制的构造等规制策略,控制个人信息处理活动的风险,并对个人信息权益进行保护。
但在“数治”作为国家治理技术的时代,国家机关处理个人信息的活动,与上述场景存在明显不同。国家权力及职能活动的“数字化”,意味着国家机关,特别是行政机关对个人数据日益增大的“胃口”。从国家视角看,“数治”对国家具有明显的“赋能”效应。信息采集、处理、分析以及在此基础上的决策、监管、执法等能力,提升了国家管制和治理能力;但从个人和社会的视角看,“数治”对个人权益具有复杂的外部性影响。一方面,国家的数字化治理在提升治理效能的意义上有助于增进公共福祉,因而具有“正外部性”;另一方面,数字化治理所带来的国家过度侵入私人空间的威胁及其心理效应,对个人权益也带来“负外部性”影响。国家机关违法的、过度的个人信息处理活动,不仅会直接侵害个人信息相关权益,也会造成社会成员在心理层面的焦虑和恐惧感。
在很大程度上,数字技术的迭代更新和发展,催生了“技术权力”及其广泛应用。这种技术权力有工具意义上的“中立性”;但工具与利用工具的主体相结合,会形成一种具有强烈目的和价值导向的权力系统。具体而言,数字权力与资本的结合,导致了被称为“监控资本主义”(surveillance capitalism)、8“监控型社会”(surveillance society)的新的社会经济和社会生态;而这种数据权力与国家权力的结合,则催生了“监控型国家”(surveillance state)。
在“监控型社会”中,资本与技术的结合——其典型形态是平台——将人转化为各种数据资源以追求竞争优势和利润最大化。在这一权力系统中,个人被数字化、数据化,成为资本监控的对象、竞争的资源,甚至成为被支配、被消费、被控制的客体。个人信息保护法的核心使命之一,就是要求国家对这些大规模、持续性处理个人信息的组织的信息处理活动进行法律控制,其目的在于控制信息处理活动带来的侵害风险,并对受侵害的个人信息权益提供法律救济。
监控型国家则是国家权力与数字技术相结合的一种国家治理技术。杰克·巴尔金(Jack Balkin)指出,监控型国家不是一种新的国家价值系统,而是一种新的国家治理技术。数字技术,包括数据采集、分析、共享、集成等技术的“大数据”,与不断更新的算法相结合,对传统的国家权力进行升级、赋能,不断走向一种“数据赋能的国家治理”,或者说“数治”(rule by data)。监控型国家的兴起以及“数治”在国家治理各种场域的实践,已成为当代国家治理中的一个普遍事实。在中国,从常态管理背景中的社会信用监管、基层网格化治理、预防式执法、“互联网+监管”,到公共卫生事件应对中的“码治理”,都属于“数治”的具体应用形态。无论是监控型国家,还是“数治”技术,都需要以国家对社会生活中各种数据的采集、分析、处理为基础,这其中当然也包括了对个人信息的处理。
因此,个人信息权益所面临的侵害风险源,既包括私人机构,也包括国家机关,二者都是大规模、持续性处理个人信息的“处理者”;相应地,为了保护个人信息权益,自然应当对两种风险源都进行规制。但是,私人机构与国家机关在组织、目标、手段、归责机制等方面存在巨大差异性,对这两种不同风险源的规制,是否可以采用相同的规制策略?
我国个人信息保护法在第二章“个人信息处理规则”规定了个人信息处理的一般规定,同时对国家机关处理个人信息作了特别规定。第33 规定:“国家机关处理个人信息的活动,适用本法;本节有特别规定的,适用本节规定。”从体系解释的角度看,这意味着国家机关处理个人信息,受个人信息保护法调整;“特别规定”只是针对国家机关处理个人信息活动的优先的、补充的规则。相较于一些国家针对国家机关处理个人信息活动作出专门规定的“差别调整”模式而言,我国个人信息保护法对国家机关和私人机构的个人信息处理活动,采用了“一体调整”的立法模式。
(二)国家机关处理个人信息的法律控制:未完成的任务
但是,顺着这个逻辑,我们是否可认为,除了“特别规定”之外,《个人信息保护法》所确立的一般规则都适用于国家机关处理个人信息的活动?换言之,《个人信息保护法》是否提供了一套调整私人机构和国家机关处理个人信息的“一体性规则”?
对于这个问题,学界尚未给予应有的重视,许多问题没有明确答案。例如,国家机关履行法定职责而处理敏感个人信息,是否适用《个人信息保护法》关于敏感个人信息处理的规则?个人在个人信息处理活动中的“权利束”——包括知情、决定、查询、复制、删除等在内的权利集合——是否适用于国家机关履行法定职责而处理个人信息的活动?国家机关履行法定职责处理个人信息违反规则,是否适用行政处罚责任和侵权责任等救济机制?
我国个人信息保护法形式上采用“一体调整”模式,将国家机关处理个人信息的活动纳入了该法的调整范围;但相关内容存在缺失。这使《个人信息保护法》的“一体调整”模式在实践中难以有效适用于国家机关处理个人信息的活动。可以说,《个人信息保护法》关于“国家机关处理个人信息适用本法”的规定,目前仍然具有很强的“象征性立法”(symbolic legislation)色彩。
这种象征性立法的宣告,或许有其苦心。它至少表明,立法者注意到了对国家机关处理个人信息的活动进行法律控制的必要性;但对国家机关处理个人信息的行为如何进行法律控制,这仍是一个未完成的命题。国家机关处理个人信息的职权活动,在目的、权力性质、行为属性等方面均不同于私人组织处理个人信息的活动。例如,《中华人民共和国民法典》(以下简称“《民法典》”)对国家机关处理个人信息作了原则性规定,但如果国家机关侵害个人信息权益,是适用民事侵权责任?同理,《个人信息保护法》所规定的行政处罚责任、民事侵权责任,是否适用于国家机关处理个人信息活动?这些都是理论和实践中有待明确的重大问题。
本文接下来从国家机关与私人机构处理个人信息活动的差异性的视角,探讨对国家机关履行法定职责处理个人信息活动的法律控制框架。需要说明的是:国家机关包括立法、司法、行政、监察等机关,也包括依法承担公共管理职能的组织;但实践中,立法具有很强的政治性,主要是政治过程;司法机关的活动,主要受诉讼法等专门法律的调整;故本文接下来仅针对行政机关履行法定职责情形下处理个人信息的活动展开分析。
二、行政机关处理个人信息行为的法律性质
(一)行政机关处理个人信息行为的“行政性”
在职能主义的组织结构中,作为公共组织的行政机关按照“结构—功能主义”原则而建立。依据行政法治原则,行政机关的权责应按照法定方式予以明确。行政机关之所以需要收集、分析、共享、运用个人数据,乃在于其需要处理信息以实现组织的功能,进而实现公共管理和服务的组织目标。行政机关与私人机构处理个人信息的行为存在明显差异。
这种差异性具体表现在以下几个方面。首先,目的不同。行政机关处理个人信息的目的,是为了履行其法定的公共职责。也就是说,该种活动虽然需要处理个人信息,但其目的并不限于对个人的管理或服务,而是具有“公共性”的。比如,疾控部门处理流调信息,并不限于对特定个人进行管理和服务之目的,而是为了传染病防控的公共目的。类似地,社会信用监管制度中的个人信息处理,主要围绕公共监管这一目的。相比较而言,私人机构处理个人信息的活动,在目的上主要是为了对个人提供服务、开展民商事活动的需要。
其次,处理个人信息的权力基础不同。行政机关处理个人信息行为的权力基础,是基于其所负有的法定职责及相应的法定职权。因此,行政机关处理个人信息行为具有高权性、强制性特征。一般而言,基于职权行为的高权性、强制性特征,国家机关处理个人信息的法权基础是一种“管理关系”,并不需要以个人同意或授权为权力基础。例如,无论是行政监管和执法中的调查,还是为了公共安全而对公共场所进行监控,都无需以个人“同意”为权力行使的正当基础。相比较而言,私人机构处理个人信息的法权基础,是基于个人—机构之间的“交换关系”。私人机构提供特定的服务,而使用此种服务的个人需要允许前者进行必要的个人信息处理。正是在这种“交换关系”的结构中,“同意”(consent)成为私人机构处理个人信息主要的正当基础。
复次,处理个人信息所引发的权利义务关系的性质不同。行政机关处理个人信息的行为所影响的是行政法上的权利义务关系。相比较而言,私人机构处理个人信息的行为是在信息主体“同意”的基础上进行的,“个人—信息处理者”之间具有民事权利义务关系的内容。尽管国家考虑到“个人—信息处理者”之间存在实质性的不对等关系,采取了针对处理者的“规制策略”,但这并不会影响“个人—信息处理者”之间民事权利义务关系的底色。
最后,处理个人信息行为所引发的法律责任及归责机制不同。由于行政机关处理个人信息行为在本质上是针对作为“行政行为相对人”的个人而实施的,该种行为应当纳入行政法的控制框架;相应地,如果行政机关处理个人信息行为违法,将导致行政行为违法的法律后果,包括行政行为的无效、可撤销、变更等;如果违法的个人信息处理行为侵害个人合法权益,应承担行政侵权赔偿责任。与此不同的是,私人机构违法处理个人信息活动,通常导致“不合规”,其所对应的是行政监管机构的监管责任和行政处罚,包括责令改正、罚款等。如果私人机构违法处理个人信息侵害个人信息权益,则需要区分被侵害的权益的性质,分别引入相应的救济机制。例如,侵害个人信息民事权益并造成损害,适用民事侵权赔偿责任;侵害个人信息权利束中的知情、决定、查询、复制、删除等“工具性权利”,适用行政监管和执法责任。
(二)行政机关处理个人信息行为的行政法约束框架
承前所述,行政机关处理个人信息行为的“行政性”,使其区别于私人机构处理个人信息的行为。在法律性质上,行政机关处理个人信息的行为属于行政行为,具有公共性、高权性、强制性、单方性。在数字化行政日益普遍化的国家治理背景中,无论是秩序行政、分配行政还是服务行政等,都依赖对个人信息等数据的处理。因此,行政机关为实现行政目的,通过行使职权、履行职责而进行的个人信息处理活动,具备行政行为的典型要素和特征,应纳入行政行为法的约束框架。在数字化行政时代,“数字国”与“行政国”呈现出日益结合的态势;面对此种态势,唯有强化对依法行政原则的坚守,才能对“数字赋能”的行政权进行有效约束。
行政法上对行政行为的法治约束,主要从行政行为的合法性维度展开。无论是学理上,还是在对行政行为进行司法审查的实践中,行政行为合法性的法治化约束机制主要从行为主体、权限、内容、程序等维度展开。对行政机关处理个人信息行为的合法性评价,同样应当从上述维度展开。
应当看到,这里存在两个递进的逻辑:第一,行政机关处理个人信息的行为在法律上属于行政行为,故应当受到行政行为法意义上的合法性控制;第二,行政机关处理个人信息的行为,又属于《个人信息保护法》意义上的处理个人信息的活动,因此也要受“保护个人信息权益”这一法益保护目标的约束。在这个意义上,《民法典》《个人信息保护法》等法律中专门规范设定的、有关保护个人信息权益的原则和规则,对行政机关处理个人信息活动的合法性评价,提供了法秩序统一意义上的“合目的性”标准。可以认为:行政机关处理个人信息的活动,受到行政行为法(一般法)、个人信息保护法(特别法)的双重约束;前者围绕“行政权力活动的合法性”展开,后者围绕“保护个人信息权益”而展开。
三、权限合法性分析:行政机关处理个人信息的权责基础
(一)个人“同意”是否构成行政机关处理个人信息的正当基础?
《个人信息保护法》第13条规定了个人信息处理活动的“正当基础”(legitimate basis)。该条将“知情—同意”作为个人信息处理活动正当基础的“默认规则”,同时也规定了“同意”的例外情形,其中包括“为履行法定职责或法定义务所必需”。那么,该条所规定的“个人同意”是否可作为行政机关处理个人信息的正当基础?换言之,在行政机关具有法定权责、但不行使该种法定权责的情形下,可否以“个人同意”作为处理个人信息的正当基础?
回答应当是否定的。无论是从规范性层面还是从法体系解释层面看,“个人同意”都不应成为行政机关处理个人信息职权行为的正当基础。
从规范层面来看,首先,行政机关是依法履行公共管理和服务的组织;“执行性”和“公共性”构成行政机关的重要特征。执行性意味着行政机关主要执行立法者的意志,实际上是一个“代理人”(agent),其行为的界限、方式、目的都应当由作为委托人的权力机关来设定。“法无授权不可为”便是对这一委托代理关系的直观表达。公共性则意味着行政机关活动围绕公共利益和公共目标而进行,这种公共职能的实现不应以个人是否同意作为基础,否则就会出现“公共目标”与“个人意志”的错位。其次,在行政机关进行公共管理和服务的场景中,个人信息具有更强的社会性和公共性。比如,传染病流调信息不仅涉及到个人,也涉及到与该个人有时空交集的其他个人。如果行政机关以“个人同意”作为处理个人信息的合法基础,那实际上意味着个人的同意与否可以支配他人的信息。第三,行政机关与相对人在法律上处于不对等地位,对个人构成公法上的不对称权力优势,在这种权利义务结构中,“个人同意”的真实性、自主性存在很大的“折扣”,甚至出现“同意的乌托邦”。因此,“法定性”应成为行政机关处理个人信息的法律属性,这是“权责法定”原则的逻辑延伸。除非法律、行政法规作出明确的例外或者相反规定,否则行政机关只能基于明确的“法定职责”而处理个人信息。但这种例外和相反规定,依然是在行政法治框架下的具体设定。例如行政机关为应对突发事件而处理个人信息,依然是基于法定职责,只不过对职责明确性、手段合比例性、程序正当性有一些相对特殊的要求。在这个意义上,“履行法定职责”可以吸收《个人信息保护法》13条第4项[“为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需”(如应急管理)]、第6 项[“依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息”(如行政统计)]等代表性的行政活动场景。在体系解释维度,各条文之间可以相呼应、融贯,维护“履行法定职责”之核心功能,形成对“履行法定职责”的整全性理解。
(二)如何理解“法定职责”?
《个人信息保护法》第34 条规定:“国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度。”在该条中,“为履行法定职责所必需”既构成行政机关处理个人信息的权责基础,又构成对其处理个人信息行为的范围和限度的控制。因此,明确“法定职责”的规范内涵至关重要。
1.行政机关的职责、职权、职能辨析
行政法上所讲的行政机关“职责”,指特定的行政机关针对具体的对象和事务所负有的特定“义务”。37在规范层面,职责概念常见于“三定方案”。在我国,“三定方案”是行政机关及其机构组织法意义上有关职责、机构、人员的底层架构。例如,中央编办关于国家疾控局的“三定方案”的第3 条规定:“本规定确定的主要职责、机构设置、人员编制等,是国家疾病预防控制局机构职责权限、人员配备和工作运行的基本依据。”第4 条则规定了该机构的“职责”。这些职责是国家疾控局主要的管理事务范围。从法律上看,职责也表现为对事的管理职权。例如,《中华人民共和国传染病防治法》(以下简称“《传染病防治法》”)第18 条规定,“各级疾病预防控制机构在传染病预防控制中履行下列职责”,包括实施传染病防治规划、计划,传染病监测、预警,传染病流行病学调查,实验室检测、鉴定,免疫规划、健康教育等“职责”;而这些职责其实构成疾控机构的“事权”。
与行政机关的职责相关,还有职权、职能等法定概念。那么,行政机关的职责与职权、职能有何不同?从逻辑上讲,行政机关的权和责相互对应、相互联系,甚至相互交织,也就是权责统一、权责相应。职责是任务和目的,职权是手段;二者结合,共同服务于行政职能的实现。从我国法律规范层面看,职权、职责、职能并没有明确区分。例如,《中华人民共和国国家赔偿法》(以下简称“《国家赔偿法》”)对国家机关侵权行为的界定,是从“职权”角度进行界定的。该法第2 条规定:“国家机关和国家机关工作人员行使职权,有本法规定的侵犯公民、法人和其他组织合法权益的情形,造成损害的,受害人有依照本法取得国家赔偿的权利。”《中华人民共和国政府信息公开条例》(以下简称“《政府信息公开条例》”)在界定政府信息时,用的是“管理职能”概念。该条例第2 条规定:“本条例所称政府信息,是指行政机关在履行行政管理职能过程中制作或者获取的,以一定形式记录、保存的信息。”
国务院推行的政府“权责清单”制度中,也将职权、职责概念在相同意义上使用。因此,《个人信息保护法》第13 条、第34 条中的“法定职责”概念,应当理解为包括职责、职权和职能。从依法行政层面看,行政机关履行法定职责、实现管理职能,必然需要行使行政职权;在此意义上,从“职权”角度切入来理解和界定“法定职责”,其实更容易判定行政机关实施行为的权力基础和主体资格,也更有利于对该种行使行政权的行为进行合法性、合理性评价和控制。
2.何为“法定”?
无论是职权还是职责,依法行政原则首先要求“权责法定”。何为“法定”?这一问题涉及到配置和设定行政机关权责的法规范依据。广义的“法”涵盖了多种规范渊源,包括法律、行政法规、中央部门规章、地方性法规和地方政府规章等,甚至还有大量的规范性文件。《个人信息保护法》所规定的“法定职责”中的“法”到底应如何界定?这个问题涉及到行政机关处理个人信息的正当性基础。对此,有学者持广义的理解,认为应包括所有的与上位法不抵的规范性文件。
笔者认为,对《个人信息保护法》规定的“法定职责”中“法定”的理解,需要遵循“法律保留”原则。也就是说,需要根据“为履行法定职责”而处理个人信息所限制的个人权益的性质和确立这些权益的法律规范的位阶,相应地界定设定行政机关“职责”的法规范的位阶。据此逻辑,首先应当考虑的是:法定职责所限制的个人信息权益是什么?从《个人信息保护法》的规定看,行政机关为履行法定职责而处理个人信息,所限制的是个人对其信息处理活动的“决定权”;而该项权利是在《民法典》《个人信息保护法》等法律层面设定的。因此,限制这项权益的“法定职责”的规范依据,应当与设定该权益的规范处在“同一”法律位阶。也就是说,对“法定职责”中的“法”,应当坚持法律保留原则。
《个人信息保护法》第34 条规定:“国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度。”这里,“应当依照法律、行政法规规定的权限、程序进行”,可以理解为《个人信息保护法》通过授权,将“法定职责”扩展到包括法律、行政法规规定的职责之范围,即立法者通过法律将部分权限授权给行政法规。此种授权依然是在法律保留原则的指引下展开的。
法律保留原则主要包括组织法和行为法两个层面。组织法是行政机关架构的基本法律,对各级行政机关的职权、职责提供了统一的结构性设定。地方特色、地方需要等因素,不应损害组织法对行政机关职权职责的基本结构安排。在这个意义上,不同的行政部门、不同的行政层级,虽然可以对法定的职权、职责做技术性优化,但不能在没有法律规定或者授权的情况下自我赋权。这就是说,在组织法意义上,行政机关的法定职责必然受到地方各级人民政府组织法的限制,并通过特定领域的法律而进行横向与纵向的权责细化。相较于组织法,法律保留应更加强调行政机关对外活动的行为法依据,尤其是手段意义上的“职权”的法律保留。组织性法律保留主要涉及的是内部权责配置;对于具体的行政行为的控制而言,更需要依赖行为的规范依据。
坚持狭义的法律保留原则,也有助于抑制现实中行政机关自我赋权的冲动,防止其通过自我赋权扩张职权职责,过度处理个人信息。如果各种行政性规范都可以通过自我赋权的方式而设定“法定职责”,那么《个人信息保护法》第34 条所规定的“不得超出履行法定职责所必需的范围和限度”就会被架空。在很多情况下,由于不存在对应的“上位法”,“不抵触”标准实际中很难适用。例如,在疫情防控中,一些地方政府和部门为了规避责任,通过各种“土政策”层层加码,过度处理个人信息,过度采取管控措施,其依据都是通过各种“土政策”而自我设定的疫情防控职责。
四、内容合法性分析:必要性分析如何展开?
《个人信息保护法》第13 条、第34 条都规定了“为履行法定职责所必需”。这一规定的逻辑是:行政机关为了履行法定职责,无需以个人同意为处理个人信息的正当性基础;但处理个人信息“不得超出履行法定职责所必需的范围和限度”。学者通常将此理解为行政机关处理个人信息的比例原则之要求。例如,赵宏认为,《个人信息保护法》第34 条的规定意味着“比例原则对国家机关同样适用且被特别强调”。刘权认为,“正当、必要原则”是个人信息处理最核心的实体原则;现行法律规范并没有明确排除国家机关处理个人信息适用“合法、正当、必要原则”,即没有排除国家机关受比例原则约束;同时,比例原则约束一切国家公权力,且内在蕴含于我国宪法第33条“国家尊重和保障人权”条款之中,因此也必然约束国家机关的个人信息处理行为。
(一)比例原则的适用困境
但此处的问题是:如果“法定职责”不明确、不具体,如何判断行政机关处理个人信息是否超出“必需的范围和限度”?引入比例原则对行政机关处理个人信息行为进行控制,前提是对“法定职责”进行明确化、具体化。如果以宽泛的“公共利益”“公共安全”“突发事件应对”等作为法定职责和目标,就无法有效地展开行为的必要性分析。
例如,根据《传染病防治法》的规定,地方政府及卫生行政部门对本行政区域内的传染病防治负责。但是,“传染病防治”这一法定职责显然非常宽泛。如果缺乏对法定职责的具体化,面对如此宽泛的法定职责,如何将比例原则运用于具体个案?以疫情防控为例,地方政府采取层层加码的防控措施,是否符合比例原则?如果政府将“传染病防治”作为目的,由于该目的非常宽泛,相应地,地方政府无论采取何种过度的措施,似乎都可以符合比例原则的要求。
将视角切换到具体的行政机关处理个人信息领域,不难发现:各地对疫情防控中流调信息的采集、处理、公布已经展现出比例原则的适用困境。观察发现,许多地方疾控部门在对确诊病例的流调信息进行采集、发布时,信息包括个人详细家庭住址、性别、年龄、工作单位、活动的详细场所名称、个人活动轨迹所对应的时间、行为等信息。不少观察者对此种“示众”式的流调信息提出了批评。如果流调信息的处理目的在于对特定个人所引发的疫情传播风险的控制,那么,个人活动轨迹的时间、空间、场所坐标,已经足以实现流调目的;那些个人详细家庭住址、性别、工作单位、特定时空坐标中的个人行为的具体内容,明显涉及个人隐私,但牺牲这些隐私利益的必要性,显然难以得到充分证明。
同样,在行政机关之间共享信息的情形中,也存在由于法定职责宽泛、不确定而导致的比例原则适用困境。政务数据共享是当前我国推进政务数据治理、政府“数据赋能”的主要制度。政务数据共享,主要指作为“整体性的”政府的各个职能部门之间打通部门隔阂,将各部门数据进行汇集,形成政务大数据。这种数据共享既有提高管理效能的考虑,也有实现公共服务目标的考虑。例如,国务院一直在推动的数据共享,其目标就包括数据赋能,建设“数字法治政府”等管理效能目标;也包括“让数据多跑路,群众少跑腿”的服务目标。但是,放在个人信息保护法框架中观察,政务数据部门间共享个人信息,本质上是个人信息委托处理、共同处理等行为。这些共同处理行为,在属性上也属于行政机关对个人信息的处理,因此,共享个人信息同样应以“履行法定职责所必需”作为正当基础。但行政机关之间是否负有共享数据的法定职责?有些情况下,的确存在共享数据的“法定职责”规定。例如,《传染病防治法》规定的疫情通报制度,规定了行政机关之间共享信息的职责。不过,在多数情况下,行政机关之间共享包括个人信息在内的政务数据,缺乏明确的法定权限。面对这种法律环境,我国政务信息共享制度的法定权责基础,只能从政府组织结构的“整体性”角度解释“法定职责”。但“整体性政府”的法定职责必然是非常宽泛和不确定的。例如,《传染病防治法》在关于传染病防治的职责规定方面,就规定了传染病防治的“属地责任”。在这种整体性责任框架下,地方政府各个职能部门之间关于传染病防治的信息共享,自然也就可以被理解为地方政府履行法定职责所必需。这种宽泛的法定职责范围,必然会导致比例原则“必要性”分析的困境。
(二)“为履行法定职责所必需”的具体化
从规范逻辑看,行政机关处理个人信息,应当以“履行法定职责”为启动处理个人信息的正当基础;进一步,其处理个人信息行为,“不得超出履行法定职责所必需的范围和限度”。前者是行政机关处理个人信息行为的目的正当性规则;后者是行政机关处理个人信息行为的手段必要性规则。前文分析表明:如果对概括性的、宽泛的“法定职责”不进行具体化,那么无论是对目的正当性,还是手段必要性,都无法运用比例原则进行分析和评价。因此,对“法定职责”进行具体化,是行政机关处理个人信息正当性及合比例性控制的关键。
1.法定职责的具体化路径
《个人信息保护法》第6 条规定:“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。”这一原则对于行政机关处理个人信息的活动同样是适用的。将“法定职责”这一不确定概念向具体的“目的”这一方向转化,可作为实践中将法定职责具体化的基本路径。
如何促成“抽象的法定职责”向“明确的目的”转化?逻辑上存在两种路径选择。第一种是规则细化路径,即通过法律规范层面对权责的梳理,促进法定权责具体化。行政法上的“权责法定”原则,要求明确行政机关职权职责的法律依据,还要求法定的权责应当尽可能清晰、明确。例如,实践中推行的“权责清单”制度,就是对抽象的权责进行细分和具体化。
第二种是行政程序路径,即对法律上集合性的、不具体的法定职责,通过“法定职责—行为目的”的路径,在具体行政活动程序中进行说明和界定。职责是行政机关的事权和事责的集合;但在行政机关实施的具体行为中,行为应当有具体的、明确的目的。因此,可以根据具体的行政活动,要求行政机关在程序中对其实施行为的目的予以明确。对于抽象的、裁量空间较大的法定职责,比如“传染病防治”等,所谓“法定”,只是通过法律规定了权责行使的情形和条件(如《传染病防治法》第42 条规定的“传染病暴发、流行时”),而并未对法定职责的具体内容作出规定,后者有赖于在具体行政程序中的告知程序加以明确,其核心是行政机关的告知、说理,形成完整的、相对人可理解的逻辑链条。
以流调为例,行政机关采集公民信息时应通过告知程序对目的正当性和手段必要性进行具体说明。在目的正当性层面,应明确采集此信息是服务于“疫情防控”这一不具体法定职责中的何种环节、何种特定目的,需要在目的陈述时,通过将行政活动置于特定时间段、针对具体任务,来对不确定法定职责加以明确。在手段必要性层面,应明确采集此信息将如何服务于上述明确的目的,如果不采集信息,目的将无法达成——在这一阶段的说理应当使相对人理解处理信息的必要性,并提供相应的对话机制。
顺着这个路径,应当要求行政机关在处理个人信息的告知环节,对目的进行明确、具体的说明。《个人信息保护法》第35条规定:“国家机关为履行法定职责处理个人信息,应当依照本法规定履行告知义务”;这里的“本法规定”,即指《个人信息保护法》第17 条的规定:“个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:(一)个人信息处理者的名称或者姓名和联系方式;(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;(三)个人行使本法规定权利的方式和程序;……”
《个人信息保护法》第28 条还规定,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。第30 条规定,个人信息处理者处理敏感个人信息的,除本法第17 条第一款规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响。第26 条规定:“在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。”上述规定表明,立法者对处理个人信息之目的和必要性的说明高度关注。法律规定的上述“告知义务”,对行政机关处理个人信息的约束具有更为重要的意义。
2.分析“为履行法定职责所必需”的逻辑层次
“所必需”构成对行政机关履行法定职责处理个人信息的范围、限度的约束。如何分析、判定“所必需”?可以通过两个层次来分析行政机关处理个人信息是否符合“必需”原则。
一是必要性分析。其核心问题是:行政机关处理个人信息的范围、方式等,是否为实现行政活动目的的必要条件。这一分析的逻辑是“目的—手段”之间的必要性联系。在逻辑上,必要条件关系的分析可进一步展开为:第一,手段与目的之间是否有条件关系?例如,疾控机构为了对传染病确诊患者的传播风险进行控制(目的),对个人的行程轨迹信息进行处理(手段),后者是前者的必要条件。第二,最小化分析。在手段—目的之间存在条件关系的基础上,进一步分析手段—目的之间的量化关系。比例原则不仅要求手段与目的之间存在“定性”意义上的条件关系,还要求二者之间的条件关系满足手段最小化的要求。这也正是《个人信息保护法》规定的“所必需”的涵义。“所必需”是条件关系定性与定量的结合。例如,在前面所提到的疾控机构处理流调信息的场景中,采集个人活动轨迹信息与传染病风险防控目的之间,存在定性意义的条件关系;但还需进一步从定量意义上考虑,所采集的个人信息限于多大的范围?个人活动所覆盖的场所是必要信息,但个人在这些场所进行的活动,比如是吃饭、喝咖啡还是发呆,这些信息与传染病风险防控并不具有必要性联系,因此不属于“所必需”的信息。
二是可替代性分析。必要性分析关注的是目的—手段之间定性和定量的条件关系;可替代性分析所关注的则是实现目的之手段的可选择性。在行政机关处理个人信息的情况下,为实现特定目的而处理个人信息,可能存在多种处理方式。比如,为了公共场所安全的目的,行政机关可以处理个人身份信息。但处理个人身份信息有多种方式,如查验、核对身份证件、人脸识别等。存在实现行政目的的多种个人信息处理方式可供选择时,如果只提供一种方式而排除其他方式,应当进行说明,否则会导致“可替代性”的争议。在规范内涵上,“所必需”要求处理个人信息的方式是达到目的“必需”的;如果存在其他可实现目的的处理方式,在没有充分理由排除可替代方式时,应提供替代性的处理个人信息的替代性方式。《个人信息保护法》第35 条所规定的国家机关处理个人信息应当履行的告知义务中,包括了告知处理个人信息的方式这一义务。
综上,行政机关为履行法定职责处理个人信息,内在包含了行使行政职权这一因素。在这个背景中,行政行为的内容合法性,就是指行使职权是否符合法定目的、是否存在滥用职权等情形。具体到行政机关处理个人信息的行为,运用“为履行法定职责所必需”这一标准,可对行政行为内容合法性、合比例性进行控制。为此,首先需要对法定职责的具体目的进行细化;其次需要对目的—手段的必要性进行分析;最后需要对行使职权的方式进行可替代性分析。
五、程序合法性分析:个人信息权利束的程序功能
程序合法性是分析、评价行政行为合法性的一个重要维度。如前所述,行政机关处理个人信息的活动是一种行政行为,程序合法应成为规范、评价行政机关处理个人信息行为的要求。
(一)程序法规范的适用问题
在行政法上,程序合法性判断主要通过两个层面展开。第一是行政行为的程序规则,通常被称为法定程序;第二是行政程序的基本原则,例如程序正当原则。具体到行政机关处理个人信息的行为,虽然在法律属性上,该种行为属于行政行为,但行政机关处理个人信息的行为与其他行为往往在同一个程序之中,并与其他行为竞合。例如,在治安管理处罚程序中,对违法行为人的调查、取证行为,与公安机关处理个人信息行为处于同一个程序中,存在着竞合;同样,在给付行政中,行政机关作出决定之前对申请人个人信息的处理行为,既是行政决定的过程环节,又属于处理个人信息的行为。在这种竞合情形下,行政机关处理个人信息的行为,应适用何种法律规范?
行政行为的程序规则主要从行政行为过程的时间、空间、步骤等要素展开。例如,在治安管理处罚的一般程序中,程序规则从时间维度展开,对步骤、环节、方式等要素进行规定。公安机关对涉嫌违法的行为人进行调查时,需要表明身份、告知其可能涉嫌的事由、告知当事人权利等;在行政执法“三项制度”实践中,还要求对调查过程全程录音、录像、公开执法结果等。上述程序规则是对治安管理处罚行为的程序要求。但这一过程同时涉及公安机关为履行法定职责而处理个人信息的行为。调查行为既是行政处罚行为的一个程序环节,又涉及独立的处理个人信息的行为。那么,调查行为是否可以吸收处理个人信息的行为?笔者认为,行政调查行为不应吸收处理个人信息的行为。因为,调查行为与处理个人信息的行为在法律上构成不同的行政行为,受不同的法律规范调整,二者也涉及不同的权利义务。行政调查取证程序的主要目标是保障处罚决定所需的事实、证据,程序规则所追求的价值目标是调查权的有效行使与程序公平之间的平衡;而行政机关处理个人信息行为的程序保护,在于保障个人信息权益,规范行政机关的个人信息处理活动。而且,行政机关处理个人信息的行为,不仅包括个人信息的采集,还包括采集后对信息的分析、共享、存储等行为。因此,在涉及到个人信息处理的行政调查行为中,行政调查行为作为行政处罚的一个环节,应当受专门的行政法规范调整;但同时,调查行为中涉及到行政机关处理个人信息的活动,也应当受《个人信息保护法》调整。
(二)程序规则的提炼
行政机关处理个人信息行为的程序规则,在法律上表现为行政机关处理个人信息行为中行政机关与个人之间的程序权利义务配置。虽然《个人信息保护法》并没有对行政机关处理个人信息的程序作出规定,但我们可以通过对法律所规定的程序性权利义务的配置的分析,提炼出程序规则的基本要求。
《个人信息保护法》第四章规定的“个人在个人信息处理活动中的权利”,也就是通常所说的“个人信息保护权利束”,本质上是一种工具性、程序性的权利。这些程序性权利具有参与、表达、竞争、监督等功能。在行政机关处理个人信息的活动中,法律对个人信息处理规则的设定以及个人信息权利束的展开,共同构成行政机关处理个人信息活动中的程序要求。值得注意的是,由于行政机关在不同场景下处理个人信息活动的强制性、技术性、应时性、复杂性存在差异,不同行政领域所对应的程序性权利并非完全一致,这些权利也并不是在任何场景下都属于个人的固有权利,其并不必然可以行使。以下就代表性的程序性权利展开论述。
1.告知程序
《个人信息保护法》第35 条规定,“国家机关为履行法定职责处理个人信息,应当依照本法规定履行告知义务”。该条的告知义务的内容,指向《个人信息保护法》第17 条的规定,包括:(一)个人信息处理者的名称或者姓名和联系方式;(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;(三)个人行使本法规定权利的方式和程序。从上述规定看,告知程序是行政机关处理个人信息行为的启动环节。另外,第23 条第一句规定:“个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。”
尽管法律对告知的方式并未作出明确规定,但是考虑到告知程序对行政行为合法性的重要性以及发生争议时获取证据的需要,这种告知义务原则上应当以书面方式作出,或者制定统一的个人信息处理规则,告知处理信息的具体目的、范围、方式以及个人行使其权利的方式和程序等事项。
2.同意程序
前文已经指出,行政机关履行法定职责情形下处理个人信息,不需要个人同意;且个人同意不应成为行政机关处理个人信息的正当性基础。但是,应当注意的是:作为行政机关处理个人信息之“正当基础”的“同意”,与一些场景中行政机关在依职权处理个人信息程序中的“同意”并非同一问题。前者涉及的是权责基础,即行政机关是否有权处理个人信息的问题;后者涉及的是程序规则,即行政机关在有权处理的前提下,如何处理个人信息的程序安排。在行政机关基于职权职责处理个人信息的过程中,个人对处理个人信息的方式、内容等依法享有的“同意”权利,是其对行政机关“如何处理”个人信息的参与性、制约性的程序权利。一方面,“同意”这一程序要素在行政机关处理个人信息活动中并不具备普遍性,仅仅在特定场景中针对特定的信息处理形式适用,并往往由法律进行专门规定与个别化列举。另一方面,在这类场景中,同意程序所指向的个人信息处理的范围和程度,依然是由“履行法定职责所必需”所决定的;如果信息处理活动超出了法定职责的授权范围,或者虽符合形式上的权限要求却超出了权力行使的必要限度,哪怕有个人的同意也无法豁免行政机关违法处理的责任。不难想象,如果认为“同意”不仅是程序要素而是一项完全独立的合法性基础,将使得行政主体可以无视法律规定而自行同私主体合意展开个人信息处理活动,这无疑将造成行政权力的私人化乃至寻租,损害行政权力行使的公共性。由此,“履行法定职责所必需”对于正当化处理行为而言最为根本,也最为重要,是对行政机关个人信息处理行为进行合法性判断的核心内容与根本要素。也就是说,“同意”在行政机关处理个人信息活动中不具备普遍性、独立性、决定性、根本性的特征,只是特定场景下的程序要素。以下就同意程序在一些特定处理场景中的适用作简要展开。
比如,在行政机关运用算法处理个人信息进行“自动化决策”的情形中,个人是否享有决定权?《个人信息保护法》第24 条规定:“通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。”从体系解释角度看,该条规定应该也适用于行政机关履行法定职责处理个人信息的情形。在电子化执法、福利行政申请的处理、疫情防控中利用自动化处理技术而作出决策的“码治理”等情形中,都会涉及到行政机关通过自动化决策方式作出对个人权益有重大影响的决定,个人应有权拒绝行政机关仅通过自动化决策方式而作出决定。也就是说,在这种场景中,个人对行政机关仅通过自动化决策的方式作出决定,应享有“不同意”还需注意的是,《个人信息保护法》第25 条规定:“个人信息处理者不得公开其处理的个人信息,取得个人单独同意的除外。”这一规定是否适用于行政机关为履行法定职责处理个人信息?从规范的体系解释看,特别是结合《政府信息公开条例》的规定,可以发现:虽然行政机关为履行法定职责处理个人信息,无需以个人同意作为处理信息的正当基础,但这并不必然意味着其公开个人信息在程序上必然无需获得个人同意。根据《政府信息公开条例》的规定,政府信息如果涉及到个人隐私的,行政机关一般不得公开,除非当事人同意或涉及重大公共利益。58根据体系解释,《政府信息公开条例》中的“同意”也应当理解为“单独同意”。
3.说明理由
行政机关履行法定职责处理个人信息,对其处理个人信息的法定职责、目的、用途、范围、处理信息的方式负有说明义务。说明理由的义务与告知义务有重叠,比如告知职责依据、目的、方式、必要性等,既是告知,也往往是在程序交互中说明个案中处理行为之正当理由。但二者在一些场景中也有程序设计上的不同。例如,通过自动化决策方式作出对个人权益有重大影响的决定,行政机关应当说明理由,个人也有权主动要求个人信息处理者予以说明;处理个人敏感信息的,处理者应当主动向个人告知处理敏感个人信息的必要性以及对个人权益的影响。
4.查询、更正
在行政机关履行法定职责处理的个人信息活动中,个人是否享有查询、更正的请求权?对这个问题的讨论,需要结合《个人信息保护法》的规定、相关法律和行政法规的专门规定。《个人信息保护法》第四章规定的“个人在个人信息处理活动中的权利”,包含了查询、复制、更正、删除等权利。这些权利是否可以适用于行政机关为履行法定职责处理个人信息的活动?从规范的体系解释和逻辑解释角度看,回答是肯定的。《个人信息保护法》第33 条规定:“国家机关处理个人信息的活动,适用本法;本节有特别规定的,适用本节规定。”从规范逻辑看,“特别规定”并没有完全限制个人在个人信息处理活动中的权利。进一步,行政机关履行法定职责处理个人信息的活动,也受到其他专门法律的调整,查询、更正的权利可以通过专门法律得到对应的具体化。《个人信息保护法》第72 条规定:“法律对各级人民政府及其有关部门组织实施的统计、档案管理活动中的个人信息处理有规定的,适用其规定。”据此,在统计、档案管理、政府信息公开等法律规范中,个人对行政机关处理的涉及其本人的信息,具有查询权;如果个人认为其信息有错误,有权要求行政机关予以更正。例如,《政府信息公开条例》规定,个人对政府信息中有关个人信息的内容,有权要求更正。同样,在我国《政府信息公开条例》第15条规定:“涉及商业秘密、个人隐私等公开会对第三方合法权益造成损害的政府信息,行政机关不得公开。但是,第三方同意公开或者行政机关认为不公开会对公共利益造成重大影响的,予以公开。”社会信用体系制度中,个人对有关其个人信用信息有权要求查询、修复。
六、行政机关处理个人信息行为的法律责任
行政机关为履行法定职责处理个人信息的行为,涉及到行政权—相对人权利关系。此处的相对人权利,主要是个人信息上所承载的权利和利益,包括宪法上的人格尊严、平等、通信秘密;民法上的个人隐私、人格权等;以及行政法上的权益,如知情、同意、查询等程序性权利。行政机关处理个人信息行为的法律责任,也就是行政机关履行法定职责处理个人信息行为侵害个人信息权益所应承担的法律责任。
《个人信息保护法》第66条对违法处理个人信息的行为、处理个人信息未依法履行个人信息保护义务的违法行为,设定了行政处罚责任、信用监管责任、侵权赔偿责任三种法律责任形式。行政处罚责任包括警告、没收违法所得;对违法处理个人信息的应用程序,责令暂停或者终止提供服务;罚款、从业禁止等形式。第67条规定了信用惩戒责任。第69条规定了民事侵权赔偿责任。对行政机关违法处理个人信息或者未履行个人信息保护义务的,是否可适用上述法律责任机制?
如前所述,《个人信息保护法》主要聚焦于非公共机构处理个人信息的活动;尽管法律也规定“国家机关处理个人信息的活动,适用本法”这一适用原则,但《个人信息保护法》规定的法律责任机制,显然难以直接适用于行政机关处理个人信息的行为。
我们可以从规范和逻辑两个维度对此略作分析。从规范维度看,《个人信息保护法》第68 条规定:“国家机关不履行本法规定的个人信息保护义务的,由其上级机关或者履行个人信息保护职责的部门责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分。”该条对国家机关处理个人信息的违法行为设定了专门的法律责任机制,也就是行政内部责任。从逻辑维度分析,对国家机关违法处理个人信息的行为,责令停业、罚款处罚实际上是无法适用的。在我国行政法上,责令停业主要针对企业违法行为的纠正。对行政机关,无法责令其停业。“巨额罚款”被认为是《个人信息保护法》的“牙齿”,但这一责任形式对行政机关意义不大。根据行政处罚法的规定,罚款上缴国库;而国家机关的经费正是由国库来支付的。包括“黑名单”在内的信用惩戒机制,也很难适用于国家机关。至于民事侵权赔偿责任机制,考虑到国家机关处理个人信息活动的权力基础是法定的职权职责,如果违法侵害个人信息权益,应当适用特别的侵权赔偿责任制度,即国家赔偿制度。
从行政法上的法律责任体系看,行政违法行为的法律责任,包括行政内部责任、行政外部责任、侵权赔偿责任。行政机关履行法定职责处理个人信息的行为,属于行政行为,同样应当纳入行政法律责任的体系,这既是行政法治原则的基本要求,也是《个人信息保护法》所规定的规范个人信息处理活动、保护个人信息权益的目标所在。建构和完善行政机关处理个人信息行为的法律责任体系,是个人信息保护法领域的一个有待解决的重大命题。
(一)内部法律责任机制
《个人信息保护法》第68条规定:“国家机关不履行本法规定的个人信息保护义务的,由其上级机关或者履行个人信息保护职责的部门责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分。”这一规定设计了专门的内部法律责任机制。但这一机制存在比较明显的问题。首先,“不履行本法规定的个人信息保护义务”这一表述,范围不清晰,也不能覆盖“违法处理个人信息”的范围。其次,对违法处理个人信息的行为,法律规定由上级机关或者履行个人信息保护职责的部门责令改正,但规定由上级机关责令改正,是基于层级监督权;而由履行个人信息保护职责的部门责令改正,是基于个人信息处理监管权。将二者并列,逻辑上存在问题,实践中也难以协调两种监督的关系。第三,程序如何启动?个人如何参与到这一过程中?需要注意的是,《个人信息保护法》所规定的上述内部责任,并不能排除行政机关为履行法定职责处理个人信息行为可能导致的其他法定责任。例如,如果个人认为行政机关违法处理其个人信息,侵害个人信息权益,可以请求负有个人信息保护职责的部门进行监督;如果对后者的处理结果不服,可以申请行政复议或提起行政诉讼。
(二)行政复议与行政诉讼
如果个人认为行政机关为履行法定职责处理个人信息的行为违法,是否可以针对该行为申请行政复议或提起行政诉讼?从理论上讲,行政机关处理个人信息的行为构成一个独立的法律行为,因此个人可以根据行政复议法、行政诉讼法等规定寻求救济。但是,从行政活动实践看,需要将行政机关在个人信息保护法意义上的处理个人信息行为与其他法律规定的行政行为相结合进行分析,从而判定处理个人信息行为的可诉性。这里的关键问题是行政机关处理个人信息行为是否具有独立性、最终性。
根据独立性标准,可以将行政机关处理个人信息的行为分为独立的个人信息处理行为和行政行为的“过程性行为”。所谓独立的行为,是指行政机关处理个人信息的行为,其本身即构成一个独立的法律行为。例如,行政机关对个人的信用评级,疾控机构对个人健康风险信息的自动化处理决定(如“健康宝”弹窗),行政机关对个人违法信息的公示或对行政处罚决定的公开等行为;这些既是行政机关处理个人信息的行为,但同时也构成独立的行政决定,并直接对个人的权利和义务产生影响。这些处理个人信息的行政行为,应当具有可诉性。
在很多情形下,行政机关处理个人信息,是在行政机关的监管、执法行为中发生的;处理个人信息本身就是其他行政行为过程中的阶段、环节。例如,在疫情防控中,为了作出对个人是否需要采取隔离措施的决定,自然需要对个人信息进行处理,此时个人信息处理是作出行政决定的过程性、阶段性的行为;同样,在实施行政处罚程序中,对个人信息的处理,与处罚程序中的调查、取证这一过程相重叠。处理个人信息的行为在处罚程序中表现为调查取证的程序行为,而且往往表现为事实行为而非法律行为。从行政效率、行政行为的连续性以及行政行为司法审查的“成熟性”(ripeness)等因素考虑,对行政行为过程中阶段性、过程性的行为,法院通常持一种非常谨慎的态度。对于作为行政行为阶段的个人信息处理行为,个人可以在行政行为决定作出后,以行政程序违法为由提起撤销之诉,或者直接针对处理个人信息的行为提起确认违法之诉。
(三)国家赔偿责任
行政机关处理个人信息行为侵害个人合法权益,完全可能满足《国家赔偿法》意义上的侵权赔偿责任要件,此时应适用行政赔偿制度。行政机关处理个人信息行为可能侵害的合法权益,既包括《民法典》《个人信息保护法》所规定的个人信息权益,也包括其他合法权益。例如,行政机关处理个人信息错误,导致个人福利受克减,或者导致个人失去准入资格;这些都会侵害个人的人身权、财产权等合法权益。
(四)宪法责任
具体行政行为一般不会产生直接的宪法责任,而是通过法律责任间接保障宪法实施。由于个人信息权益包含了宪法上的平等权、人格尊严、通信秘密、安全等法益,故行政机关履行法定职责处理个人信息的行为,可能间接触发宪法上的责任。这主要包括作为行政机关处理个人信息活动“权责基础”的法规范存在合法性、合宪性问题的情形。在这种情况下,行政机关处理个人信息的法规范基础本身可能遭遇合法性、合宪性挑战,因此引发宪法性的责任。例如,全国人大常委会法工委2021 年备案审查工作报告中披露的“强制亲子鉴定”违宪案例,就属于这种情形。行政机关依照地方性法规对个人进行强制亲子鉴定,违反了法律保留原则,也与宪法上的人格尊严条款相违背,存在合法性和合宪性的双重问题。在这种情况下,从形式上看,行政机关虽然具有处理个人信息的法定权责基础,但规定权责基础的法律规范本身存在合法、合宪问题。对设定行政机关处理个人信息权责基础的法律规范进行合法性与合宪性审查,这是未来个人信息保护领域的一个重要机制。随着数字技术与国家权力的深度结合,宪法责任的维度对于控制“监控技术”和“数据权力”的滥用,将具有越来越重要的意义。
七、结论及讨论
《个人信息保护法》围绕“个人信息权益”这一框架性法益,建构了个人信息保护的基本框架。这一框架性立法特性,一方面表明《个人信息保护法》作为个人信息保护“基本法”的地位;另一方面,框架性立法也表明《个人信息保护法》并没有全方位解决个人信息保护的问题。在这个意义上,“基本法”的定位既表明该法的重要性,又表明了该法的有限性。将国家机关处理个人信息的活动置于这个“基本法”框架中,可以更清楚地观察到《个人信息保护法》的意义及其局限。
从基本法的定位、功能看,《个人信息保护法》虽然是以非国家机关处理个人信息的活动为主要场景设置而展开的规则建构,但该法所确立的保障个人信息权益、规范个人信息处理活动的基本原则和逻辑,对国家机关处理个人信息的活动同样是适用的。这一点,在立法中也已作出明确的表达。
但是,国家机关处理个人信息的活动,与私人组织和机构处理个人信息的活动毕竟存在巨大差别,最重要的就是处理个人信息的“权力性质”差异。国家机关处理个人信息,既是实现其职能、履行其职责的需要,也是其行使权力的逻辑结果。在宪法和组织法上,不同的国家机关,主要就是按照“权力性质”而设定的。例如,全国人大和地方各级人大是立法机关、权力机关;中央和地方各级人民政府是行政机关,是权力机关的执行机关;司法机关行使司法权;监察机关行使监察权;等等。从宪法和行政法角度看,不同性质的权力行使活动受到相应的专门法律调整。因此,从“权力”这一角度看,不同国家机关处理个人信息的活动,必然受到相应的、专门的法律的调整。例如,司法机关在刑事司法过程中行使的侦查权、检察权、审判权,都会涉及到对个人信息处理的活动;调整这些活动的专门立法就是法院组织法、检察院组织法、刑事诉讼法等法律。在“行政国家”背景中,行政机关是职责最广泛、职权最宽泛、职能最复杂的国家机关。随着“行政国”与“信息国”的融合,数字化行政已成为政府治理的重要工具,这对个人信息保护提出了大量新问题。从理论上讲,政府是个人信息保护义务的主体;但在现实中,政府也是个人信息最大的处理者和风险源。如何协调政府作为个人信息“保护者”和“处理者”的角色?如何克服个人信息国家保护的“悖论”?回答上述问题,仍需回到行政法治原则的逻辑起点。本文围绕行政机关处理个人信息活动的高权性、行政性、强制性等特性,探讨对行政机关处理个人信息的合法性控制机制,这有助于在现有法律框架下发展约束行政机关处理个人信息行为的可适用技术。但是,面向“数字化行政”的现实问题,根据《个人信息保护法》所建构的基本框架,尽快制定调整行政机关处理个人信息活动的专门立法,应是当前我国“数字法治政府”建设的一项紧迫课题。
王锡锌,北京大学法学院教授,法学博士。