摘要: 行政活动中的个人信息权益具备程序和实体双重构造。针对行政机关违法处理个人信息、侵害个人信息权益的行为,信息主体可以主张间接与直接两种救济路径,前者侧重于对后续行政行为的结果审查,后者侧重于对个人信息处理过程的风险控制。在间接救济维度,在行政机关利用个人信息作出行政行为后,信息主体可以针对该行政行为寻求救济,由法院或行政复议机关对个人信息处理行为的合法性进行判断。在直接救济维度,为了规制个人信息处理风险,监督行政机关遵守个人信息处理规则,信息主体可以主张查阅、更正、删除等权利,并在遭受拒绝时寻求行政救济,此时应当充分发挥履行个人信息保护职责部门的作用。如果个人信息处理风险已经现实化为具体损害,则信息主体也有权直接要求行政机关承担国家赔偿责任。间接与直接两种救济路径在具体适用中存在一定的紧张关系。为避免叠床架屋,应当审查信息主体行使个人信息主体权利的必要性,并在此基础上完善间接与直接两种救济路径之间的衔接程序。
关键词: 个人信息权益;个人信息处理;个人信息主体权利;程序性行为;
一、问题的提出
在数字时代,国家是掌握个人信息量最多的个人信息处理者。在国家权力分工中,基于行政活动的多样性与行政权力介入社会生活的持续性、广泛性,行政机关处理个人信息的行为最为频繁,规模也最为庞大。行政机关不仅可以为履行某项法定职责而收集、利用个人信息,还可以进一步对收集到的个人信息进行持续存储、重复利用、相互比对、整合分析,这给个人的人格尊严和其他权益带来了持续的风险,亟需相应的法治约束。对此,我国《个人信息保护法》强调,包括行政机关在内的国家机关必须依照法定的权限和程序处理个人信息,不得超出履行法定职责所必需的限度,在不妨碍履行法定职责的情况下,应当向个人充分告知处理情况。行政机关处理个人信息的行为,不仅需要满足职权法定的要求,具有权限合法性,而且应当满足《个人信息保护法》规定的目的正当、最小必要、安全准确、透明公正等处理要求。在理论层面,针对如何评价行政机关处理个人信息行为的合法性这一问题,学界已经发表了一定的研究成果。[1]不过,在行政机关违法处理个人信息的情形下,对于个人信息主体(以下简称信息主体)寻求行政救济之具体路径问题,[2]目前缺乏专门化、精细化的探讨。针对行政机关违法处理个人信息的行为,作为信息主体的个人究竟如何主张对其个人信息权益的救济,消除个人信息违法处理活动带来的影响?在“数字法治政府”的建设中,这是一个需要严肃面对的问题。
其中的难点在于:行政机关处理个人信息往往是基于行使职权的需要,依照既有的行政行为合法性分析框架,个人信息处理行为往往具有一定的过程性、程序性特征,似乎不具有成熟性特征,不会直接对信息主体的实体性权益造成实际减损;并且,在很多情况下,行政机关对个人信息的存储、共享是在政府系统内部完成的,没有直接作用于信息主体的权力表现。[3]那么,信息主体是否能够直接针对行政机关的个人信息处理行为提起行政复议或行政诉讼?如果可以的话,信息主体又应当如何提起行政复议或行政诉讼?在制度层面,《个人信息保护法》第50条第2款规定了个人信息主体权利之诉;一些专门法,如正在制定的《社会信用体系建设法》,也尝试规定关于个人信用信息处理的行政诉讼的内容。不过,对于这些法律规则具体如何被解释和适用,彼此之间如何协调,尚缺乏明确的答案。[4]
归结而言,要解决上述问题,核心在于厘清行政活动中个人信息权益救济的基础原理。本文首先分析“救济什么”这一问题,明确行政活动中个人信息权益的内涵;其次,针对“如何救济”这一问题,提炼出间接救济与直接救济两种路径,明确两种路径各自的运行逻辑与适用情形;最后,分析“如何协调”这一问题,针对两种救济路径之间潜在的紧张关系,尤其是行政行为撤销之诉和个人信息主体权利之诉之间可能存在的重叠和抵牾,提出有效协调的基本对策。
二、救济什么:行政活动中个人信息权益的内涵
梳理信息主体可以寻求的救济路径,不可避免地需要关联到一个基本概念问题:什么是行政活动中的“个人信息权益”?只有先界定清晰这一概念的内涵,从价值目标的视角明确“保护什么”,才能进一步地分析“如何救济”的问题。
(一)风险规制理念下的个人信息权益保障
在数字技术的支持下,大数据分析、智能算法、自动化决策等治理要素得到广泛运用,产生了新技术运用的规模效应。涉及个人信息保护的法律规则正是在大型公共机构与私人机构大规模、持续性地处理个人信息的背景下产生的,其主要针对的是传统的法律规则无法回应的个人信息处理风险的问题。在数字技术驱动下的行政活动,依赖于视频监控、生物识别、行程轨迹排查等信息采集、分析和挖掘手段,对行政管理领域的个体活动进行大规模的数据化,这种数据化又借助行政机关的政务信息共享机制不断放大其效应。大规模的个人信息处理虽然提升了行政效能,但也给公民基本权利的保障带来了新的挑战:一方面,对于行政机关来讲,海量的个人信息处理活动具有“数字赋能效应”,有助于提升国家的治理能力;另一方面,行政机关违法的、过度的个人信息处理活动,不仅会威胁个人信息上承载的相关权益,也会导致社会成员在心理层面产生焦虑和恐惧,破坏良性的宪制结构。[5]
就此,有观点认为,个人信息权益的本质是作为基本权利的信息自决权,个人有权基于其内心自由地决定自身信息何时、何地、以何种方式被收集、储存、处理以及利用。因此,个人信息处理者违法处理个人信息侵害的是信息主体对自身信息的自决权、控制权。[6]这种观点值得商榷。在行政机关处理个人信息的主体间关系中,信息主体面临的问题主要是恐惧和担忧个人信息被滥用,其自主性和人格的自由发展受到威胁,而不是其对个人信息的控制与支配受到限制。[7]实际上,行政机关大规模违法处理个人信息所带来的危害,往往具有累积性、间接性与结构性等特点,个人很难评估风险发生的时间节点、危害程度与后续衍生效应,事后的损害计算和补救的意义较为有限。[8]基于此,弱势的个体更加需要的是预防性的法律保护框架,而不是形式化的、所有权式的对个人信息的排他性控制。如果将视角聚焦到个人在行政机关处理个人信息过程中可能遭受到的系统性侵害风险,那么防控这一“公共风险”才是核心任务。在落实核心任务的过程中,确保个人对自身信息的控制并不是价值目标,也不是核心工具。[9]更何况,行政机关处理个人信息的正当性基础是“为履行法定职责所必需”,其处理个人信息的行为具有法定性和公共性,其处理个人信息的目的、范围、方式、种类等事项并不能由行政机关与信息主体协商决定,而是取决于法定授权,这很难用信息自决权的逻辑进行诠释。
因此,不能认为行政机关处理个人信息行为的本质是侵害信息主体“信息自决权”的行政行为,处分的是信息主体自主决定信息处理活动的自由。应该看到,对个人信息权益的侵害不同于秩序行政下行政处罚、行政强制等侵益性行政行为导致的行政相对人权益的减损,这两种情况背后的行政机关的角色定位和行政相对人权益保护的理念存在差异。在“自由防御型”行政法模式下,传统行政活动的目的主要在于维护安全和秩序,它以狭义的“行政行为”(行政法律行为)为实现行政目标的核心手段,行政行为往上承接法律,往下与行政诉讼相连。行政机关根据法律规定作出行政行为,课予行政相对人义务,减损其权利;在行政相对人不服这种行政行为时,便可以诉请法院撤销该行政行为,排除侵害,恢复自由,寻求赔偿,使得行政相对人的自由、人格、财产恢复如初,撤销之诉因此成为传统行政救济机制的中心。[10]此时,对行政相对人权益的救济主要针对具体的、现实的权益减损,在事后展开;撤销之诉的审查内容是审查行政行为是否属于有权机关按照法律所划定的“公益—私益”边界,依照法定程序作出的。在法律后果上,法院在认定行政行为违法后应当撤销该行政行为或者作出确认该行政行为违法的判决;如果该违法的行政行为满足侵权行为的要件,被告还应当承担国家赔偿责任。与之相比,对个人信息权益的救济则存在不同。针对日新月异的数字化技术和规模愈发庞大的政府数据处理活动,法律不仅要在行政机关滥用个人信息对信息主体的实体性权益造成实际减损时确保信息主体实体性权益的事后恢复与弥补,还应该前置性、预防性地规制行政机关滥用个人信息的风险。行政机关遵守个人信息处理规则的程度越高,其实施的个人信息处理行为给信息主体的相关权益造成损害的风险就越低,这指向的是一种“风险规制型”的行政法模式。
在制度逻辑上,针对行政机关处理个人信息设立处理规则和信息主体的权益保障措施,并不是为了保障信息主体对个人信息的支配或控制,而是为了规制个人信息处理风险,防范与补救个人信息处理行为可能引发的侵害后果。通过监督行政机关遵守个人信息处理规则,维护个人信息处理的“法秩序”,从而规制个人信息处理风险,正是个人信息保护法律制度的核心要义。个人信息保护法的历史发展也佐证了这一点:在20世纪,德国数个州的个人数据保护法明确规定,数据保护的目的在于防卫国家的宪制体制被自动化数据处理技术带来的风险所侵害。[11]在整个欧洲层面,2018年实施的欧盟《一般数据保护条例》在序言中直接强调,“在个人数据处理中自然人受保护是一项基本权利”,并在多个条款中明确提到“数据处理对自然人权利和自由的风险”。可见,其立法目标在于规制个人信息处理风险,保障个人信息处理中涉及的信息主体的实体性权益,而不是保障信息主体对个人信息的自决权。在美国,1974年《隐私权法》的制定背景是:在水门事件之后,许多公众和政治家对政府收集数据的权力感到紧张,担忧政府建立大型数据库处理公民的个人信息带来权力滥用风险。也就是说,该法的首要目的是防范政府对个人信息的滥用,保障公众对政府处理个人信息活动的信任。[12]可以说,政府处理个人信息基本规则之所以形成,其制度需求正在于:在日新月异的信息处理技术的加持下,“个人—行政机关”之间的“权利—权力”关系进一步失衡,权力滥用与权益受损的风险加剧,有必要在传统行政法制度基础之上引入新的法律控制技术进行介入和保护,对个人赋权并对行政机关施加义务,确保两者之间维持理性化的制衡关系,以全方位防范个人信息处理风险。
(二)个人信息权益的程序面向与实体面向
承前所述,个人信息处理规则本身是为应对大规模的人格尊严和其他权益被侵害风险而产生的一套具有公法上的强行性、预防性的保护规则,其最终目的是保障个人信息处理过程可能威胁到的相关信息主体的实体性权益。就此,源于“公平信息实践原则”的个人信息保护法强调“目的限定”“透明性”“准确性、完整性与保密性”等基本要求,旨在通过具体且细致的规定,给行政机关设定各种义务,限制和规范行政机关收集、存储、使用和共享个人信息的各种权力和行为,同时,落实信息主体对其个人信息享有的各项权利,促进个人信息处理过程中的风险交流和个人的参与、监督。[13]在个人信息处理者的义务维度,行政机关在处理个人信息时,需要确保处理目的的正当性、明确性,确保在履行法定职责所必需的范围内处理个人信息,保证个人信息处理活动的安全性和准确性,进行风险评估并采取相应的技术措施控制处理风险,在利用目的达成后及时删除个人信息。与此同时,为了更加充分、高效地防范个人信息处理风险,并突出个人的主体性、能动性,关于个人信息保护的法律规则也明确了作为信息主体的个人的角色,给个人赋予了知情、查阅、复制、更正、删除等个人信息主体权利,使得个人可以充分参与和监督个人信息处理者实施的个人信息处理活动,这在行政活动中表现为程序性权利。对此,早在1972年,现代数据隐私法的奠基人艾伦·威斯丁(Alan F. Westin)在其与迈克尔·贝克(Michael A. Baker)合著的《自由社会的数据库》一书中便指出,依据正当程序原则,应保障公民有权查阅其个人信息被使用和存储的情况,从而作为一种控制政府权力的机制。也就是说,应将刑事案件中被告人及其辩护人享有的查看和质疑证据的程序性权利延伸到所有的个人信息处理活动中。[14]近年来,学者玛格特·卡明斯基(Margot E. Kaminski)在针对欧盟数据保护实践的研究中指出,在欧洲,数据主体权利制度保障了个人对数据处理活动的知情权和参与权,是一种“个人正当程序权利制度”。[15]也就是说,信息主体有权要求并监督行政机关依法、透明、公正地处理其个人信息,将行政机关的个人信息处理行为始终置于信息主体的可预见范围内。行政机关违法处理个人信息的行为会打破这种可预见性,增大个人信息的处理风险,信息主体有权进行纠偏。
综上来看,行政活动中的个人信息权益具有复合的法律性质,体现为双阶层的构造,既包括了程序面向上的知情、查阅、复制、更正、删除等个人信息主体权利所蕴含的参与、监督等工具性、程序性权益,也囊括了实体面向上的个人信息所关联或承载的、可能在个人信息处理中遭受侵害因而需要预防性保护的相关实体性权益,例如,个人自治、生活安宁、获得公正对待、身份识别的准确与完整、人身安全和财产安全等。[16]信息主体针对个人信息权益寻求救济,本质上是纠偏行政机关违法处理个人信息的行为,消除行政机关违法处理个人信息活动的风险,并补救已经发生的实体性权益损害。
个人信息权益的内涵与《行政许可法》《行政处罚法》《行政强制法》强调的“公民的合法权益”具有一定的相似之处,既包括程序性权益,也包括实体性权益,在法律层面,保障前者可以更好地保障后者。不过,需要在其中看到区别:传统的正当程序制度针对的是行政决定导致的行政相对人实体性权益的减损,强调受到不利对待的行政相对人能够进行防御与申辩;个人信息权益的程序面向,即个人信息主体权利,针对的是个人信息处理风险,是对传统正当程序制度的补充,旨在解决原有的行政程序规则无法妥善处理的问题。借助个人信息主体权利,信息主体不必等到其个人信息被实际滥用造成权益减损时才监督行政权力的行使并寻求救济,而是可以全程化、常态化地监督、制衡作为个人信息处理者的行政机关。根据欧洲学者谢尔盖·古特沃斯(Serge Gutwirth)和保罗·德赫特(Paul De Hert)教授的观点,个人信息保护规则属于“疏导权力的透明性工具(channelling power through transparency tools)”,其主要是通过将政府决策或政府行为公开化、透明化、理性化,迫使权力良善地运行。[17]个人信息保护规则并不是为了最大程度地减少乃至禁绝行政机关利用个人信息,而是在肯定行政机关利用个人信息对完成行政任务、提升行政效率具有重要性乃至必要性之前提下,促进行政机关利用个人信息过程的透明、公正。在此意义上,我国《个人信息保护法》第四章规定的个人信息主体权利与第二章规定的个人信息处理规则具有同构性,都是为了提升个人信息处理过程的程序理性和公正性,防范个人信息处理的风险。[18]
在个人信息权益的双层次构造下,需要结合行政机关处理个人信息的特点,重新定位传统行政法对行政行为“产生实际影响”的要求。从行政救济法的传统原理来看,只有行政行为处分了信息主体在行政法上的权利义务,对信息主体产生了实际影响,也就是具有了外部性,才能容许信息主体寻求行政救济,并在行政行为被认定为违法后,让作出该行为的行政机关承担法律责任。[19]因此,就行政机关处理个人信息的行为往往具备内部性、过程性等特点而言,这类行为并不必然对信息主体的实体性权益构成处分,造成减损。若依行政救济法的传统原理,信息主体似乎无法主张行政机关处理其个人信息的行为对其实体性权益“产生实际影响”,进而寻求行政救济。但是,在个人信息保护法的框架之下,基于风险规制的目标,有必要让作为信息主体的个人充分知情、参与,对行政机关违法处理个人信息的行为及时纠偏。在此意义上,虽然行政机关违法处理个人信息的行为并不必然产生损害,但是可能直接对信息主体的实体性权益带来风险,基于落实预防性保护目的的考虑,需要外部监督力量提前介入。故而,应当承认“风险规制”意义上的“外部性”,在传统框架之外发展新的法律责任激活机制。
还需要留意的是行政活动中的个人信息权益救济与非行政活动中的个人信息权益救济之间的差别。虽然在行政机关处理个人信息与私人机构处理个人信息的场景中,都需要贯彻风险规制理念,兼顾个人信息权益的程序面向与实体面向,但仍然需要精细地分辨殊异。从处理目的和主体间关系的角度来看,私人机构处理某些个人信息,主要是因为私人机构需要分析和利用这些个人信息,进而对个人提供特定服务,开展民商事活动。私人机构处理个人信息是基于民事主体之间的“交换关系”,以私人利益为中心,故而以知情同意为核心建构处理规则。相比之下,行政机关处理个人信息,则是因为行政机关在履行法定职责的过程中,需要利用个人信息来行使行政职权,完成行政任务。因此,行政机关的处理活动往往具有高权性、强制性的特点。进而,在行政活动中,在对个人信息权益进行救济时,需要同时考虑行政机关法定职责的履行与公共利益的保障,也就是要考虑行政行为作出的效率性、连贯性与安定性,并同对行政行为的合法性审查逻辑相衔接。这是个人信息权益救济在行政活动领域的特殊之处,在适用《个人信息保护法》规制行政机关处理个人信息的行为时应当着重考量。
三、如何救济:间接救济与直接救济的基本逻辑
在明确了行政活动中个人信息权益的内涵后,要回答的下一个问题是“如何救济”。对行政机关侵害个人信息权益的行为设计救济机制与设定法律责任,要结合个人信息处理活动的特点展开。其中,个人信息一旦被行政机关违法处理便会产生事实效果,即发生个人信息已被无权机关实际获取、个人信息已被违法共享或存储等既成事实。为了消除这些事实效果,最为直接的救济方式,当是由信息主体全面了解其个人信息被处理的情况,进而请求更正、停止处理、删除相关个人信息,并就已经发生的侵权损害寻求赔偿。另外,间接救济的方式则是,在行政机关利用个人信息作出实际减损信息主体实体性权益的行政行为之后,信息主体请求法院或行政复议机关(以下简称审查机构)针对该行政行为展开审查,进而在审查过程中就行政机关是否遵守个人信息处理规则进行判断。此时,审查机构直接针对行政机关利用个人信息作出的实际减损信息主体实体性权益的行政行为展开审查,判决结果或复议决定针对的是被审查的行政行为,故而对个人信息权益的救济是相对间接的。
那么,针对个人信息权益的间接救济路径与直接救济路径,二者各自运行的基本逻辑是什么?二者存在什么样的功能分工关系?应该看到,对于作为行政相对人的信息主体而言,其首要的关切往往是针对直接处分其权利义务的行政行为寻求救济。因此,信息主体主张间接救济是实践中的常态。但在一些情况下,行政机关尚未实际利用个人信息作出行政行为,此时,为了规制个人信息处理风险,监督行政机关依法处理个人信息,一些“为权利而斗争”的信息主体也会主张个人信息主体权利的行使。因此可以说,间接救济侧重于对后续行政行为的结果审查,直接救济侧重于对个人信息处理过程的风险控制。以下,笔者结合国内外的代表性案例,对两种救济路径的基本逻辑与适用情形进行扼要分析。
(一)间接救济路径的基本逻辑与适用情形
如果行政机关利用个人信息作出了一个独立的、成熟的行政行为,[20]造成了信息主体实体性权益的实际减损,则信息主体当然可以针对该行政行为提起行政复议或行政诉讼。在这种情况下,个人信息处理规则构成了行政机关作出行政行为时所需遵循的法律规则的一部分。审查机构若认定行政机关在作出该行政行为时因未遵循个人信息处理规则而构成违法,则可以作出撤销行政行为的判决或复议决定。由此,通过否定行政机关利用个人信息作出的这一行政行为的法律效力,可以彰显个人信息权益的程序价值,并使得信息主体的被减损的实体性权益得到恢复。间接救济的代表性场景包括行政机关依据个人情况调查结论作出行政行为,行政机关运用信息工具开展规制活动,行政机关利用个人信息作出自动化决策。
1.行政机关依据个人情况调查结论作出行政行为
在作出处分行政相对人实体性权益的行政行为之前,基于查清事实之需要,行政机关往往会在职权范围内尽量收集行政相对人的个人信息,俾无遗漏,以有助于最终正确决定之作出。在秩序行政中,行政调查人员主要通过人身搜查、住宅搜查、询问等带有强制性的方式直接获取个人信息。在给付和福利行政中,为了进行资格审查,行政机关往往需要获取当事人多方面的个人信息,信息主体也常常主动提供个人信息供行政机关作出判断。[21]随着数字化技术的发展,行政机关通过公共监控,以“无需在场”的方式获取个人生活片段的活动愈发频繁。与此同时,经由行政机关之间日益广泛的政务信息共享,行政机关间接收集个人信息的能力也大大增强。以岳某诉阜新蒙古族自治县民政局追缴社会救助资金一案为例,民政部门在审批岳某是否具有办理低保的资格时,使用了审计部门对申请人财产情况的认定结论,获取了岳某的个人财产情况,进而认定岳某不符合低保审批条件,并追缴已发放的救助金。[22]在这些场景中,行政机关的个人信息处理行为具有过程性特征,服务于后续具有“利害调整”效果的行政行为之作出。
不论行政机关是直接收集个人信息还是经由政务信息共享间接收集个人信息,都需要满足个人信息处理规则的要求。如果行政机关违反个人信息处理规则收集个人信息,而后根据被其违法收集的个人信息作出行政行为,造成了信息主体实体性权益的实际减损,则信息主体在针对该行政行为寻求行政救济的过程中便可以主张行政机关获取案件事实的程序违法。[23]进而,审查机构在审查过程中,可以斟酌案件事实发现与程序正义之间的平衡,对行政机关违法取得的个人信息是否具备证据能力进行认定,最终对行政行为是否应当被撤销作出法律判断。[24]例如,在“巴拉等诉罗马尼亚国家税务局与健保基金案”中,欧盟法院认为,罗马尼亚的第95/2006号法第315条只是简略地规定健保基金以外的机关需向健保基金传递个人数据,至于关于传递个人数据的种类、方式及其他要求的详细规定,其实记载在国家税务局和健保基金双方签订的协议书里,而该协议书没有正式对外发布,国家税务局也没有在当事人参与的程序中对其进行充分告知,对数据主体知情权的保障严重不足。因此,该共享行为不符合公开、透明的个人信息处理要求。在欧盟法院作出判决后,罗马尼亚国内法院也撤销了健保基金根据被共享的个人数据作出的社保缴款决定。[25]由此,通过认定行政机关收集个人信息违法,否定行政机关违法收集的个人信息的证据能力,可以对行政机关违反个人信息处理规则获取个人信息的行为进行一定程度的威慑,彰显个人信息权益的程序价值。又如,在“郑州部分村镇银行储户被赋红码”事件中,郑州市疫情防控部门对储户赋红码的行为直接限制了储户的人身自由,不仅在内容上违法,而且从行政行为的作出过程看,将储户的个人金融信息直接与健康码系统内的个人信息相比对、联结,明显违反了个人信息处理规则,亦属于程序违法。[26]此外,还值得留意的一类特殊情形在于:如果行政机关在调查过程中要求信息主体提供个人信息,但信息主体因未履行提供该个人信息的义务而被采取行政强制执行手段,此时信息主体也可以针对该行政强制执行行为主张间接救济路径的适用。也就是说,可将“利用个人信息”的内涵延伸到“为利用个人信息”,进而将行政机关为了获取个人信息而作出的行政强制执行行为纳入间接救济路径的适用范围。审查机构在审查该行政强制执行行为的合法性时,应当判定行政机关是否遵循个人信息处理规则。
2.行政机关运用信息工具开展规制活动
在数字时代,行政机关以信息为媒介对外行使职权的活动日益广泛,运用信息工具开展规制活动的频率不断升高,其中便涉及许多个人信息处理行为。例如,在针对个人的声誉制裁中,必然会涉及公布被制裁者的基本信息。当事人在针对声誉制裁行为寻求救济时,审查机构可以从公布的内容出发,分析行政机关是否公布了非必要的个人信息,进而判断声誉制裁行为是否存在不当之处。此外,在风险信息提示、模范宣传、官方辟谣、官方评级等信息公布活动中,行政机关都会针对特定主体乃至不特定公众表明意见立场,引导其行为。[27]此类活动往往会对相关个人的名誉产生直接影响。如果此类活动降低了当事人的社会评价,造成了其实体性权益的实际减损,则当事人可以提起行政复议或行政诉讼,请求审查机构确认行政机关公布个人信息的行为违法。审查机构在审理过程中需要判定行政机关公布个人信息的行为在主体、权限、程序、内容等方面是否合法,其中便会涉及对行政机关在个人信息的收集、存储、共享、公布等环节是否遵循了个人信息处理规则的判断。由此,如果行政机关在运用信息工具开展规制活动的过程中违反了个人信息处理规则,则审查机构可以通过对信息公布行为的否定性评价来威慑行政机关,保障个人信息权益。
3.行政机关利用个人信息进行自动化决策
《个人信息保护法》第24条第3款规定:“通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。”在公共信用评价、福利行政申请的处理等情形中,都会涉及行政机关通过自动化决策方式作出对个人实体性权益有重大影响的决定。基于《个人信息保护法》的要求,在此类情形中,个人应对行政机关仅通过自动化决策的方式作出决定享有知情权和拒绝权。审查机构对这些自动化决策进行审查时,便会对行政机关是否履行告知义务进行审查,并判断自动化决策的作出是否侵犯了当事人的拒绝权,是否符合个人信息处理规则,进而根据行为违法的危害程度来决定是否撤销该行为。由此,信息主体的知情权、拒绝权等程序性权利便可以得到有效的落实,其基于福利领取资格与公共信用评价情况享有的社会待遇也能够得到保障。
在前述处理方式之外,审查机构还可以超越行政行为本身,对个人信息权益进行更充分的救济:一方面,审查机构可以通过对规范性文件进行附带性审查的方式,对行政机关处理个人信息的规范依据进行审查与纠偏;另一方面,审查机构如果作出的是确认行政行为违法与无效的判决、决定,则可以责令被告采取相应的补救措施,如删除或更正政务协同办公系统内的相关个人信息,避免相关违法行为再次发生。[28]
(二)直接救济路径的基本逻辑与适用情形
个人信息的价值在于不断被使用、分析和挖掘。在很多情形中,行政机关尚未实际利用个人信息作出实际减损信息主体实体性权益的行政行为,而只是在内部存储、分析、共享信息主体的个人信息,所以间接救济路径难以发挥作用。实际上,在行政机关超出实现个人信息处理目的所需的保存期限而没有及时删除个人信息、个人信息来源机关与不具备处理权限的接收机关共享信息等情形中,都存在个人信息被滥用的风险。不过,在这类情形中,由于处理个人信息的行政机关尚未作出行政行为,所以信息主体往往无法通过提起撤销之诉寻求救济。比如,在我国台湾地区的“邱某等诉健康保险署案”中,健康保险部门建立了健康保险研究资料库。一些信息主体认为,这一措施不具有法律依据且安全保障不足。但是,此时不存在一个独立、成熟的行政行为,信息主体无法提起撤销之诉。于是,原告主张删除相关个人信息。这一请求遭被告拒绝后,原告提起履行之诉,并被法院受理。[29]又如,在数字政府建设中,行政相对人的错误信息一旦被行政机关录入政务协同办公系统,会在政府内部其他机关的各个子系统中被迅速共享。行政相对人如果选择间接救济路径,则需要等到每个获取信息的行政机关作出行政决定后再一一起诉,这会给行政相对人带来巨大的权益损失和维权成本。此时,信息主体行使查阅权和更正权更有利于从根本上消除个人信息处理风险。这在王某诉昭通市公安局昭阳分局公安行政管理一案中有典型体现:原告被错误认定为吸毒人员,其个人信息还从昭阳分局的数据库被共享到户政、交通等其他公安部门的数据库中。在该案中,虽然被告依据错误的个人信息作出的行政决定已被撤销,但是该错误的个人信息被共享导致的连锁效应并未得到系统性解决。[30]
在这类情形中,在不妨碍行政机关履行法定职责的情况下,为了规制个人信息处理风险,监督行政机关遵守个人信息处理规则,信息主体可以向处理其个人信息的行政机关主张行使查阅、更正、删除等个人信息主体权利,并在权利行使遭到拒绝时寻求行政救济,要求处理其个人信息的行政机关履行配合义务。也就是说,在直接救济的情形中,不需要存在实际的权益减损情况,信息主体便可直接行使个人信息主体权利。此外,如果在特定案件中个人信息处理风险已经现实化为具体的损害,那么,根据《个人信息保护法》第69条的规定,个人也可以直接向处理其个人信息的行政机关主张损害赔偿,即要求行政机关对其违法的个人信息处理活动承担国家赔偿责任。
1.个人信息主体权利的适用条件
在个人信息主体权利体系中,知情权、查阅权与复制权是直接救济的基础,其功能在于确保信息主体在个人信息处理活动中“保持清醒的在场”。只有信息主体清楚地获知了其个人信息被处理的情况,其才能实施后续行为,行使更正权、删除权、停止利用请求权等具有直接干预功能和纠偏功能的个人信息主体权利,改变或消除个人信息被违法处理的既成事实,有效地实现信息主体监督行政机关处理个人信息行为的目标。
首先,知情权、查阅权与复制权的功能在于促使行政机关对个人信息处理情况进行披露与沟通。根据我国《个人信息保护法》的规定,行政机关在处理个人信息时,只要不存在应当保密(第18条)或者妨碍履职(第35条)的情形,便有义务告知信息主体其个人信息被处理的情况,主动承担风险交流责任;并且,信息主体可以依据《个人信息保护法》第45条向作为个人信息处理者的行政机关提出查阅、复制其个人信息的要求。[31]与此同时,不适宜事前告知并不必然否定事后告知。在一些行政任务履行完毕之后,妨碍履职的情况可能已经不存在。譬如,证据已经固定,此时告知并不会导致证据的损毁灭失。又如,行政机关决定不予立案,但先前收集到的个人信息依然被存储。此时,信息主体有权了解相关个人信息过去实际被利用及未来可能被利用的情况。
其次,信息主体有权不因信息错误或信息处理方法存在缺陷而遭到不公正的识别、判断与对待,故而更正权具有重要的现实意义。个人信息作为个人与社会联结的符号标志与事实写照,往往会被行政机关用于对个体的分类、筛选、判别与评价。个人信息若有误,则可能在后续处理中导致错误的识别、判断与归类,进而增加各种不利于个人的风险,减少个人的福祉与便利。此时,如果信息主体能够充分查阅其个人信息在政府内部被流转、共享的情况,进而行使更正权,便能从根本上消除该错误个人信息被不当利用的风险。
再次,删除权或停止处理请求权(异议权)主要针对个人信息处理缺乏合法性基础的情形,既包括前期违法,如行政机关超出法定职责所必需的范围处理个人信息,也包括后期违法,如行政机关处理个人信息起初具有合法性基础,但是在处理个人信息的目的已经实现或个人信息存储期限届满后没有主动删除个人信息。[32]在这两类情形中,有必要让信息主体进行干预,消除个人信息处理风险。例如,在我国台湾地区的“许某诉疾病管制署案”中,由于担心行政机关在防疫目的实现后继续存储“电子围篱系统”所收集的个人信息,原告请求被告删除其个人健康信息与行程轨迹信息。经过法院核实,被告已经在原告结束隔离后的14天后删除了相关信息。原告的权利行使行为对行政机关在大规模存储个人信息后及时将其删除起到了一定的监督作用。[33]
最后,需要明确信息主体行使个人信息主体权利的保障方式。《个人信息保护法》第50条规定:“个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的,应当说明理由。个人信息处理者拒绝个人行使权利的请求的,个人可以依法向人民法院提起诉讼。”应该看到,信息主体向行政机关提起权利请求,由后者配合,能够高效、便捷地消除个人信息处理风险。在行政机关拒绝时,才有必要进行司法保护,这对于明确争议焦点、提高司法效率、节约审判资源、减轻法院的负担是有益的。与此同时,要求个人信息处理者建立便捷的信息主体行使权利的处理机制,就是将个人信息主体权利指向的个人信息处理者的配合义务具体化。这一处理机制的建立显然不能仅仅立足于信息主体或者个人信息处理者的单方立场,还要以严格遵守《个人信息保护法》为条件,以保障个人信息权益为中心,兼顾信息主体、个人信息处理者以及第三人等各方利益。这一点在比较法上也有一定的经验。在美国1974年《隐私权法》的适用过程中,法院形成了如下教义:查阅权应该在信息记录系统的已有框架下行使。行政机关只需要依照信息主体所请求的内容,在信息记录系统中充分和合理地搜索相关的个人信息,根据搜索的文件类型、归档方法和使用的搜索词进行说明论证,无需地毯式地检索信息记录系统内的所有个人信息。[34]在欧洲,欧盟法院在“鹿特丹市政府诉里克布尔案”中指出,欧盟成员国应为数据主体的个人数据查阅确定内容范围与时限,促进数据主体与数据处理者之间权利义务关系的合理平衡。一方面,考虑数据主体的利益,特别是以查阅权为基础,进而申请更正、删除和阻止数据处理者处理数据的权利;另一方面,要考虑存储、配合查阅、删除数据的义务对数据处理者造成的负担。[35]
2.个人信息处理风险现实化时的国家赔偿责任
基于行政机关运用自动化设备、电子系统实施个人信息侵权行为的隐蔽性、技术性,在信息主体察觉到相关的个人信息处理行为违法时,相关违法行为可能已经持续了一定时间,个人信息处理风险可能已经现实化为具体的损害,造成信息主体在人格权、财产权等方面的损失。典型的场景包括:行政机关没有履行对个人健康状况、家庭住址等敏感个人信息的保密义务,将上述敏感个人信息不当披露给其他行政机关或外部主体,导致信息主体被羞辱感、恐惧感等情绪困扰;行政机关没有履行安全保障义务,导致含有巨量个人信息的数据集被泄露,随之发生身份盗窃、诈骗以及人身伤害问题;等等。在这类情况下,作为“程序性行为”的个人信息处理行为本身直接导致了信息主体实体性权益的损害,信息主体有权要求行政机关停止侵害、消除影响并赔偿损失。
由于行政机关处理个人信息的权力基础是履行法定职责,所以,如果行政机关的个人信息处理行为直接对个人信息权益造成损害,则应当适用国家赔偿制度。首先,从规范基础来看,尽管《国家赔偿法》并未明确将个人信息权益纳入行政赔偿范围,但作为个人信息处理者的行政机关也应当按照《个人信息保护法》第69条的规定与《国家赔偿法》第2条的概括性规定,对其侵犯公民个人信息权益造成损害的违法履职行为承担损害赔偿责任。其次,在归责原则上,应当秉持违法归责原则,只要行政机关存在违法处理个人信息的行为或者没有尽到法律规定的个人信息安全保障义务,从而导致损害的发生,就应当承担国家赔偿责任。也就是说,基于作为个体的信息主体与组织化、封闭化的行政机关之间的技术、能力、资源差距,不应当将公职人员的故意或重大过失作为个人信息侵权国家赔偿责任的构成要件之一,否则将极大地提高信息主体寻求国家赔偿的门槛,削弱权利救济的可得性。[36]最后,在损害赔偿的范围上,除了财产损失,还应当将精神损害纳入赔偿范围。目前,《国家赔偿法》第35条规定,行政机关对受害人的精神损害进行赔偿,必须存在该法第3条规定的侵犯人身自由、身体健康的情形,对受害人人格权的精神损害赔偿被排除在外。由此,在个人信息侵权国家赔偿案件中,即便原告遭受巨大的精神损害,法院也难以支持原告的精神损害赔偿诉求。[37]这与私人机构在处理个人信息造成损害时的赔偿范围相比仍存在不小的差距,亟需得到改进。
3.专门化监管机构的关键性作用
个人信息处理系统发挥数字赋能效应,依靠的是通过技术、机器、组织、人员、管理流程与规范塑造而成的整体架构。在数字赋能效应日益凸显的数字政府建设实践中,分散化的公民个体很难有充足的时间、精力和能力来持续评估、判断个人信息处理系统带来的衍生风险并作出回应。从寻求救济的难度来看,信息主体的技术、资源、能力相对有限,提起诉讼与举证的程序性成本较高。例如,对于监控设备对个人信息的处理究竟是否存在安全风险,以及监控设备对个人信息的收集和存储是否超出了行政机关履行法定职责所必需的范围,信息主体往往难以充分举证。又如,信息主体如果主张行使删除权,其往往也很难具备相应的技术和专业能力支持其判断个人信息是否真正被完全删除。对于法院而言,其也存在不熟悉行政机关内部信息管理系统、缺少介入的技术手段的难题。与此同时,法院的判决仅仅具有个案效果,只能实现特定主体的权利主张,无法超越特定案件而系统性地规制行政机关的大规模个人信息处理活动带来的公共风险。
相较而言,专门化监管机构在专业知识与信息获取能力上占据优势,享有形塑一般性规则的权力,因而能更高效地预防和处理系统性侵权问题,应当发挥其在个人信息权益救济中的关键性作用。[38]在个人信息保护制度的发展过程中,许多国家都让信息主体先向行政系统内部的专门化监管机构寻求救济,在用尽行政系统内部救济后,再提起行政诉讼。例如,新西兰《个人信息保护法》第98条要求,当信息主体认为包括行政机关在内的个人信息处理者的个人信息处理活动违法时,必须先向个人信息保护专员投诉,当对个人信息保护专员作出的处理决定不服时,再提起诉讼;印度《个人数据保护法》第28条对于个人信息主体权利的保障设置了先向监管部门投诉、举报这一途径。欧盟有一些成员国也采取了类似做法。在2017年的“普什卡诉斯洛伐克金融局案”中,欧盟法院指出,在欧盟数据保护法的框架下,成员国可以规定,数据主体在申请司法救济措施前须先用尽可用的行政救济措施。正如斯洛伐克法律所规定的那样,针对行政机关拒绝数据主体权利请求的行为,数据主体应当先通过投诉、举报等方式,请求监管机构进行处理;如果数据主体对监管机构作出的处理决定不服,或者监管机构对数据主体的请求未进行处理,数据主体方可提起行政诉讼。[39]
除此之外,一些国家虽然没有要求信息主体在就个人信息主体权利提起行政诉讼之前必须寻求行政救济,但是也不断强化履行个人信息保护职责部门的组织保障,使得信息主体可以更加高效、充分、便捷地向专门化监管机构寻求救济。例如,日本《个人编号法》第21条要求,通过公民个人编号卡系统(公民公共身份证系统)开展的个人信息共享,必须由总务大臣在与个人信息保护委员会协商后,在专门的网络系统平台上进行。个人信息保护委员会熟悉政府内部的数据处理系统,信息主体向其寻求救济的可行性更强,也能够超越个案解决系统性问题。与之类似,德国《社会法典》第十编第79条规定,个人信息自动化共享程序于设置之初即应当衡量大规模共享对当事人隐私利益可能造成的影响,并且应经监督机关许可。其中,信息接收机关与来源机关应以纸质或电子方式确认共享所需建置的技术与组织保护措施,并适时通报数据保护官员进行审查。
目前,我国《个人信息保护法》在第六章专章规定了“履行个人信息保护职责的部门”,设置了个人的投诉、举报机制(第65条);在第七章“法律责任”中规定了国家机关及其工作人员不履行个人信息保护义务所应承担的法律责任(第68条)。这些规定需要与《个人信息保护法》第50条第2款规定的个人信息主体权利之诉进行体系化整合,即应当根据功能适当原则,强化履行个人信息保护职责的部门在直接救济路径中的作用。尤其需要注意的是,目前,关于履行个人信息保护职责的部门监督行政机关处理个人信息的规定较为原则,有必要对履行个人信息保护职责部门的具体职能、监督权限划分、受理投诉和举报的方式、监管处理决定与复议制度和诉讼制度的衔接等内容进行细化研究,为信息主体寻求直接救济提供更好的组织保障。
四、如何协调:避免两种救济路径之间叠床架屋
从最大程度保障个人信息权益的视角来看,间接救济与直接救济两种救济路径之间应当互为补充,协同作用。但在现实情况下,信息主体在寻求救济的过程中,针对同一或关联事项,可能既主张对行政行为的合法性审查,又尝试行使个人信息主体权利。有观点认为,两种救济路径的侧重点不同,一种指向针对行政行为的合法性审查,一种聚焦于保障信息主体在个人信息处理活动中的积极参与和监督。在满足法律规定的条件时,两种救济路径可以独立适用。[40]然而,这种观点忽视了两种救济路径并行适用可能带来的救济资源浪费、审查结论抵触、影响行政行为的确定力等问题。故而,有必要对两种救济路径进行协调,兼顾效率与公正,避免二者叠床架屋。对此,需要先审查信息主体行使个人信息主体权利是否具有必要性,明确直接救济路径的适用是否恰当。[41]在此基础上,完善间接救济路径与直接救济路径之间的衔接程序,从而及时、高效地救济个人信息权益,促进行政行为合法性审查机制与个人信息主体权利救济机制之间保持审查结论一致。
(一)审查信息主体行使个人信息主体权利的必要性
若无必要,勿增实体。个人信息主体权利是对正当程序制度的发展和补充,而非替代或重构。在一些场景中,行政机关在利用个人信息作出行政行为后,信息主体可能不只选择间接救济路径解决问题,也可能会同时考虑行使个人信息主体权利,直接要求更正或删除被行政机关违法处理的个人信息。这时,从形式上来看,信息主体启动两种救济路径似乎都符合条件。但若进一步判断,直接救济路径的适用可能未必具有恰当性。这是因为,信息主体行使个人信息主体权利在遭到拒绝后寻求行政救济,应当满足权利保护必要性的要求,具备有效、适时、正当的权利救济契机。法院与专门化监管机构对权利保护必要性的审查,应当考虑个人信息主体权利的行使对实现信息主体救济目标的作用,兼顾行政机关履行法定职责、审查机构高效配置救济资源的特定需要,妥善协调原告的利益、被告的利益以及审查机构所欲维护的公共利益。
第一,信息主体行使个人信息主体权利应当具备有效性。法院与专门化监管机构对权利保护必要性的审查,需要围绕原告的权益诉求,比较各种救济方式的有效性程度,避免适用低效的救济方式。具体来说,如果行政机关以个人信息为基础作出行政决定,那么信息主体的核心诉求可能是改变或撤销对自身不利的这一行政决定。在既有的法律程序机制已然完备的情况下,信息主体直接根据既有的行政程序与司法程序规则向审查机构寻求对该行政决定的合法性审查即可,并不需要行使个人信息主体权利。例如,在美国的实践中,不少信息主体针对行政机关以其个人信息为基础作出的行政决定,往往会在具体行政管理领域已有的完备法律程序机制外,申请查阅并更正作为该行政行为基础的相关个人信息。就此,美国法院对原告的个人信息主体权利主张采取了非常审慎的态度,强调尊重既定的完备法律程序机制,适用该行政管理领域专门化的法律程序。在1978年的“怀特诉公务员制度委员会案”中,公务员制度委员会在作出不利于原告的就业申请处理决定后,原告主张更正其在公务员制度委员会存档的申请记录中的个人工作情况信息,以便未来地方法院在审查就业决定时根据的将是对其有利的个人信息。华盛顿特区巡回法院认为,尽管原告用尽了行政救济措施,但在其尚未对不利的就业申请处理决定(根据《联邦行政程序法》)寻求司法审查的情况下,其更正个人信息的主张是“不适当的和不成熟的”,因为此时给予其隐私权法救济“将倾向于破坏既定的和经过验证的方法,通过这种方法,个人已经能够从法院获得审查”。[42]法院判决的逻辑是:原告权益诉求与救济目标的实现应当考虑到该行政管理领域已然完备的法律程序机制,没有必要放弃既有的、经过验证有效的救济方案,而选择一个功能类似但无证据表明救济效率更高的新方案。就本案的案情来看,个人工作情况信息进一步被滥用的风险并不明显,原告也没有提出相应担忧,此时行使个人信息主体权利并无实益,通过更正个人信息来寻求改变就业申请处理决定反倒显得较为间接和迂回。相较而言,既有的司法审查程序可以直接、高效、全面地审查行政行为的合法性,充分回应原告的诉求,并使得法院的救济资源得到合理利用,因此应当优先适用既有的司法审查程序。
在我国的司法实践中,也出现了类似的问题。例如,由于《政府信息公开条例》第41条规定“公民、法人或者其他组织有证据证明行政机关提供的与其自身相关的政府信息记录不准确的,可以要求行政机关更正”,因此,不少信息主体试图根据该条款直接要求行政机关更正其个人信息,以改变相关行政行为的内容。在孙某某诉天津市河北区人力资源和社会保障局劳动和社会保障行政管理一案中,原告主张自身是城镇企业退休职工而不是社会退休人员,故应按照城镇企业退休职工享受退休待遇。原告试图根据《政府信息公开条例》第41条提起行政复议,要求被告在政府记录中将其身份更正为城镇企业退休职工。在行政复议被驳回后,原告又针对行政复议决定提起诉讼。而后,原告又在另一起诉讼中要求确认被告在《天津市养老保险待遇档案(档案A3)》的个人缴费一栏将其认定为社会退休人员的行政行为违法。[43]在该案中,原告其实是以个人信息更正权为依据,尝试通过变更个人信息而实质性地变更退休待遇认定行为。在这类情形中,信息主体应当通过关于退休待遇认定行为的既有行政程序与司法程序寻求救济,请求审查机构责令行政机关重新对其退休待遇进行核实。若相关个人信息确实有误,则审查机构可以在事实足够清楚时责令行政机关变更退休待遇认定行为,也可以责令行政机关重新调查并依据更新后的个人信息作出新的退休待遇认定行为,这些方案都可以高效地回应信息主体的诉求。此时,信息主体行使个人信息主体权利的有效性难以得到证成。
第二,个人信息主体权利的行使应当具备适时性,即法院与专门化监管机构应在适当的时机给信息主体提供应有的救济。比如,程序效率的要求会限制个人信息主体权利的行使。在德国,根据《联邦行政法院法》第44a条的规定,如果行政机关收集个人信息是为了认定案件事实进而作出处分当事人权利义务的实体决定,那么,即便当事人认为行政机关的个人信息收集行为违法,也不得在实体决定作出前直接对决定程序使用的个人信息主张行使删除权和更正权,而是需要等待实体决定作出后,在对实体决定提起诉讼时一并主张作为“程序性行为”的个人信息收集行为违法。由此,可以确保实体决定迅速且有效地作出,实现行政目的,并防止在针对“程序性行为”的前一诉讼与针对实体决定的后一诉讼之间产生重叠与冲突。不过,如果个人信息处理行为和实体决定不直接相关,如公职人员将收集到的个人信息另行录入不符合法律要求的电子系统,那么,此时这一“程序性行为”与实体决定不直接关联,个人信息主体权利的行使不会影响作出实体决定的效率,信息主体也可以直接针对这一存在额外风险的处理行为寻求救济。[44]
第三,个人信息主体权利的行使应当具备正当性。信息主体不得滥用救济程序,否则将否定其权利保障的必要性。在美国1982年的“莱布诉退伍军人管理局案”中,一名退伍军人根据《隐私权法》对退伍军人管理局提起诉讼,要求退伍军人管理局更正其福利决定所使用的个人记录。对此,哥伦比亚特区联邦地区法院指出,在该案中,原告已经有充分的机会对关于其福利决定的是非曲直进行诉讼,其不仅在行政系统内部启动了许多申请程序来质疑退伍军人管理局作出的福利决定,而且在本法院和上诉法院就这些程序的公正性问题进行了诉讼并败诉。法院强调,《隐私权法》既不是也不应该被允许成为一个“后门机制”,以颠覆司法判决的终局性。因此,原告不得适用《隐私权法》提起个人信息主体权利之诉。[45]在法院看来,原告质疑的福利决定的合法性问题(包括是否遵循个人信息处理规则、是否满足程序合法的要求)已经得到了终局性判定。此时,原告以行使个人信息主体权利、监督行政机关遵守个人信息处理规则之名义再度启动已告终结的纠纷处理程序,属于滥用救济程序,不具有权利保障的正当性。
(二)完善间接救济路径与直接救济路径的衔接程序
在判定信息主体行使个人信息主体权利的行为具有权利保护必要性的基础上,还需要完善间接救济路径与直接救济路径同时适用时的衔接程序。在行政机关利用个人信息作出了一个独立、成熟的行政行为之后,信息主体既可能主张对该行政行为的合法性审查,也可能直接针对行政机关违法处理个人信息的活动寻求行使个人信息主体权利,消除个人信息处理风险,两种救济路径都会涉及对个人信息处理行为合法性的判断,二者之间的衔接程序便显得尤为重要。比如,《社会信用体系建设法(向社会公开征求意见稿)》(以下简称“征求意见稿”)针对个人公共信用信息处理初步设定了两种救济路径:其一,依照“征求意见稿”第99条的规定,行政机关对信用信息主体采取失信惩戒措施的,信用信息主体可以依法申请行政复议或者提起行政诉讼。其二,根据“征求意见稿”第95—97条的规定,信用信息主体认为存在信用信息错误、超出保存期限、侵犯个人隐私等情形的,可以向信用信息处理者提出异议,对信用信息处理者的异议处理结果不服的,可以向信用信息处理者的上级管理部门投诉或直接提起诉讼。应该看到,失信惩戒措施的作出往往需要不同行政机关之间的信息上传、共享,如果行政机关依据被违法共享的错误或超出期限的失信信息对信息主体采取失信惩戒措施,信息主体既有可能针对该失信惩戒措施提起行政复议或行政诉讼,也可能直接向参与信息共享的行政机关提出在政务信息共享系统内删除、更正相关个人失信信息的主张。再如,行政机关设置了不符合法律规定的监控设备,根据该监控设备收集个人信息,进而作出行政行为。对此,即便信息主体提起行政复议或行政诉讼来撤销该行政行为,监控设备继续收集和存储个人信息的风险也依然存在。因此,信息主体可以同时主张行使个人信息主体权利,消除行政机关基于监控设备持续性处理个人信息导致的风险。也就是说,在上述这些情形中,存在间接救济路径与直接救济路径同时适用的可能性。为了高效、及时地救济个人信息权益,促进两种救济路径之间保持审查结论一致,有必要完善间接救济路径与直接救济路径之间的衔接程序。具体而言,就是要通过诉讼中止、合并审理等制度完善行政行为合法性审查机制与个人信息主体权利救济机制之间的衔接。
以行政诉讼为例,如果信息主体既针对行政机关利用个人信息作出的行政行为提起撤销之诉,又针对行政机关处理个人信息的行为提起了个人信息主体权利之诉,那么,同时适用两种救济路径可能导致两个诉讼的司法程序对同一事项的重复审查乃至结论抵触,值得审慎对待。对此,可以考虑以下两种应对方案:
第一,可将行政行为撤销之诉与个人信息主体权利之诉进行合并审理。
在我国台湾地区的“杨连昌等诉劳工保险局案”中,原告对被告作出的投保资格认定决定不服,先是针对投保资格认定决定提起行政诉讼,随后又主张删除政府违法获取的其享有土地权利的情况信息。法院为了避免并行审查带来的重复审查乃至结论冲突,决定对原告的两项主张进行合并审查,最终在审查后认定原告的删除主张缺乏依据。理由是:原告享有土地权利的情况信息是被告审查原告投保资格所必需的信息,属于被告履行法定职责必须利用的信息,不得被删除。最后,法院在判决中一并明确了投保资格认定决定的合法性。[46]法院如此处理也是考虑到原告提出的高度关联的两个诉讼主张指向了对同一事项的审查,分开审理可能会导致出现诉讼资源浪费与判决结论抵触的现象。在合并审理的情形中,为了更加及时地规制个人信息处理风险,法院在认定行政机关处理个人信息的行为违法后,还可以就个人信息是否应当被删除或更正作出先行判决。尤其是在个人信息被大规模共享的情况下,及时规制个人信息被进一步违法处理与滥用的风险,防止信息被共享导致的连锁效应,十分重要。
第二,法院可以根据案件审理进程,裁定其中一个诉讼程序中止审理。
比如,法院可以裁定中止审理行政行为撤销之诉,在个人信息主体权利之诉审理终结后,基于已审理终结的诉讼中对个人信息处理行为的合法性审查结论,恢复行政行为撤销之诉的审理,进一步审查行政行为的合法性。由此,既可以尽早明确个人信息处理行为的合法性,及时规制个人信息处理风险,还能够有效节约司法资源,促使审查结论保持一致。此外,如果行政行为撤销之诉中的原告和被告就个人信息处理的合法性问题展开争执,法院也可以裁定个人信息主体权利之诉中止审理,在行政行为撤销之诉得出结论后,再恢复审理个人信息主体权利之诉。
在确定具体方案的过程中,法院可以根据不同行政管理领域行政机关处理个人信息的特点,结合个人信息处理风险的大小、原告的核心诉求、行政行为撤销之诉与个人信息主体权利之诉在争议点上的重合程度、两种诉讼程序的审理期限与审理难度等要素,展开综合考量。未来,基于已有的实践探索经验,立法机关可以针对不同的行政管理领域设置更加清晰化、专门化的规则,进一步明确行政行为合法性审查机制与个人信息主体权利救济机制之间的衔接程序。
结 语
对行政活动中个人信息权益的保障并非旨在保护信息主体对其个人信息的控制,而是为了规制个人信息处理风险,防范与补救个人信息处理行为可能引发的侵害后果。针对行政机关违法处理个人信息的行为,信息主体可以主张间接救济与直接救济两种救济路径,前者侧重于对后续行政行为的结果审查,后者侧重于对个人信息处理过程的风险控制。个人信息主体权利是对正当程序制度的发展和补充,而非替代或重构。应当以此为基点,梳理个人信息处理规则与既有的行政程序规则、司法审查规则的关系。在完善行政机关处理个人信息行为的法律责任体系和适用救济路径的过程中,需要发扬个体理性与司法理性,促进两种救济路径之间的合理分工与协调,协力完成约束行政权力、保障个人信息权益的任务。
注释:
[1]参见王锡锌:《行政机关处理个人信息活动的合法性分析框架》,《比较法研究》2022年第3期,第97-105页;彭錞:《论国家机关处理个人信息的合法性基础》,《比较法研究》2022年第1期,第167-174页。
[2]本文采用“行政救济”的广义概念,文中的“行政救济”既包括行政复议和履行个人信息保护职责部门的救济这两种行政系统内部的救济,也包括行政诉讼这一行政系统外部的司法救济。同时,“个人数据”与“个人信息”这两个概念在本文中的含义相同,前者偏向于欧盟语境,后者偏向于我国语境。
[3]有观点主张,根据成熟性原理,行政机关处理个人信息的活动无法被纳入行政诉讼的受案范围,难以获得司法审查。参见郑晓军:《数据跨部门流动的风险与问责》,《中国行政管理》2022年第11期,第54页。
[4]例如,有观点认为,在失信惩戒制度运行中,应该保障个人的知情权、更正权、删除权,但对于这些个人信息主体权利的行政救济与失信惩戒措施的行政救济之间的适用关系缺乏具体分析。比如,针对行政机关利用违法收集的个人信息作出的失信惩戒措施,信息主体应当提起行政行为撤销之诉,还是应当提起个人信息删除权之诉?信息主体如果同时提起两类诉讼,法院应当如何应对?两种诉讼机制之间如何协调?这些问题尚缺乏相应研究,可能带来实践层面的混乱。参见彭真明:《失信约束中个人信息保护模式的更迭与走向》,《当代法学》2022年第4期,第74-78页。
[5]参见王锡锌:《数治与法治:数字行政的法治约束》,《中国人民大学学报》2022年第6期,第22-24页。
[6]参见姚岳绒:《论信息自决权作为一项基本权利在我国的证成》,《政治与法律》2012年第4期,第73页。
[7]参见张翔:《个人信息权的宪法(学)证成——基于对区分保护论和支配权论的反思》,《环球法律评论》2022年第1期,第62-64页。
[8]See Daniel J.Solove,“A Taxonomy of Privacy”,University of Pennsylvania Law Review,Vol.154,No.3(Jan.,2006),pp.506-525.
[9]参见王怀勇、常宇豪:《个人信息保护的理念嬗变与制度变革》,《法制与社会发展》2020年第6期,第154页。
[10]参见王贵松:《作为利害调整法的行政法》,《中国法学》2019年第2期,第92页。
[11]See Lee A.Bygrave,Data Protection Law,Approaching Its Rationale,Logic and Limits,Kluwer Law International,2002,p.39.
[12]See Maxim Brumbach,“Are You on the List:Dispelling the Myth of a Total Exemption from the Privacy Act’s Civil Remedies in Shearson v.DHS”,University of Cincinnati Law Review,Vol.81,No.3(Jun.,2013),p.1030.
[13]参见丁晓东:《论个人信息法律保护的思想渊源与基本原理——基于“公平信息实践”的分析》,《现代法学》2019年第3期,第102页。
[14]See Alan F.Westin & Michael A.Baker,Databanks in a Free Society,Quadrangle Books,1972,pp.347-371.
[15]See Margot E.Kaminski,“Binary Governance:Lessons from the GDPR’s Approach to Algorithmic Accountability”,California Law Review,Vol.92,No.6 (Sep.,2019),pp.1586-1592.
[16]参见王锡锌:《个人信息权益的三层构造及保护机制》,《现代法学》2021年第5期,第122页。
[17]See Serge Gutwirth & Paul De Hert,“Privacy,Data Protection and Law Enforcement:Opacity of the Individual and Transparency of Power”,in Erik Claes,Antony Duff & Serge Gutwirth(eds.),Privacy and the Criminal Law,Intersentia,2006,pp.70-72.
[18]参见王锡锌:《重思个人信息权利束的保障机制:行政监管还是民事诉讼》,《法学研究》2022年第5期,第11页。
[19]参见[德]奥托·迈耶:《德国行政法》,刘飞译,商务印书馆2013年版,第158页。
[20]这里的“行政行为”是广义的概念,不仅包括行政法律行为,还包括事实行为,只要该行政行为具有调整公民在行政法上的实体性权利义务关系的效果即可,包括行政处罚、行政许可、行政强制、行政确认、行政给付、行政奖励等。信息主体实体性权益的实际减损既包括可识别性逻辑下一些关涉个人“数字化形象”的行政行为对于个人信息所承载的权益的减损,例如行政给付决定、行政确认行为中由于个人信息被违法处理而引发的歧视和误判对个人身份权益和平等权的侵害;也包括行政机关依据违法收集的个人信息而作出的行政行为对个人其他权益的减损,例如依据违法收集的个人信息作出的行政处罚和强制措施对个人人身自由、财产权的减损。
[21]参见胡敏洁:《社会保障行政中的个人信息利用及其边界》,《华东政法大学学报》2019年第5期,第63-66页。
[22]参见辽宁省阜新市中级人民法院行政判决书,(2018)辽09行终25号。
[23]参见詹俊荣:《公务机关间个人资料之传送——以台湾桃园“地方法院”行政诉讼102年度简字第2号判决出发》,《法学丛刊》第60卷第1期(2015年),第4页。
[24]参见洪家殷:《公务机关资料之收集与个人资料之保护》,《东吴法律学报》第30卷第4期(2019年),第56页。
[25]See Smaranda Bara and Others v.Casa Na?ional de Asigurri de Sntate and Others,Case C-201/14,Judgment of October 2015,para.28-46.
[26]参见《郑州通报部分村镇银行储户被赋红码问题调查问责情况》,https://www.thepaper.cn/newsDetail_forward_18688875,2023年7月9日访问。
[27]参见黄宇骁:《行政行为概念的立体程序化改造》,《清华法学》2023年第2期,第16页。
[28]在我国的司法实践中,为了实质性化解行政争议,一些法院在作出确认判决的同时责令被告删除系统内的相关信息,避免有关部门后续作出错误或违法的行政决定。代表性案例如尚某某诉如东县民政局婚姻行政登记案。在该案中,法院要求被告“一并删除对原告的错误婚姻登记信息,以确保违法行政对原告的负面影响降至最低限度”。参见江苏省南通市南通经济技术开发区人民法院行政判决书,(2020)苏0691行初325号。
[29]参见我国台湾地区“最高行政法院”2017年度判字第54号判决。
[30]参见云南省昭通市中级人民法院行政判决书,(2019)云06行终82号。
[31]关于个人信息主体权利具备的风险交流功能,参见刘绍宇:《数字政府建设中个人信息保护的风险规制路径》,《财经法学》2023年第2期,第62页。
[32]参见程啸:《论〈个人信息保护法〉中的删除权》,《社会科学辑刊》2022年第1期,第108-109页。
[33]参见我国台湾地区“最高行政法院”2020年度裁字第2191号裁定。
[34]See U.S.Department of Justice Office of Privacy and Civil Liberties,Overview of the Privacy Act of1974,2020 Edition,pp.145-146.
[35]See College van burgemeester en wethouders van Rotterdam v.M.E.E.Rijkeboer,Case C-553/07,[2009] ECR I-03889,Judgment of May 2009,para.56-70.
[36]这一困境在将“公职人员的有意或故意”作为国家赔偿要件的美国《隐私权法》实践中得到了印证:公职人员可因疏忽和轻微过失而免责,个人则面临很高的证明成本,法院的审查难度也较高。See U.S.Department of Justice Office of Privacy and Civil Liberties,Overview of the Privacy Act of1974,2020 Edition,p.241.
[37]参见天津市第三中级人民法院行政判决书,(2021)津03行赔终6号。
[38]参见孔祥稳:《论个人信息保护的行政规制路径》,《行政法学研究》2022年第1期,第138-140页。
[39]See Peter Pu?kár v.Financˇnécˇné riaditel’stvo Slovenskej republiky and Kriminálny úrad financˇcˇnej správy,Case C-73/16,Judgment of September 2017,para.76.
[40]参见[日]盐野宏:《行政法总论》,杨建顺译,北京大学出版社2008年版,第237页。
[41]权利保护必要性就是确定有实益、有效率、适时、正当的权利救济契机。参见王贵松:《论行政诉讼的权利保护必要性》,《法制与社会发展》2018年第1期,第147页。
[42]See White v.U.S.Civil Serv.Comm’n,589 F.2d 713,715-716(D.C.Cir.1978).
[43]参见天津市高级人民法院行政判决书,(2020)津行终491号;天津市河北区人民法院行政裁定书,(2020)津0105行初74号。
[44]Vgl.Philipp Reimer,Verwaltungsdatenschutzrecht,Nomos,2019,Rn.315.
[45]See Leib v.VA,546 F.Supp.758,762 (D.D.C.1982).
[46]参见我国台湾地区“高雄高等行政法院”2018年度诉字第202号判决。
黄智杰,北京大学法学院博士研究生。
来源:《法制与社会发展》2023年第5期。