政府信息公开中的个人信息保护

2021-09-13 16:03鲁丹
西部学刊 2021年15期
关键词:政府信息公开个人信息保护大数据

摘要:个人信息作为对特定人的识别数据,其本身具有一定的公共性,是政府数据采集中不可避免的信息内容。当前,政府在信息公开中对于个人信息的公开还存在个人信息私法保护不足,偶有比例原则缺位以及数据利用规范不完善等问题。政府在处理好所公开数据中的个人信息内容时,应努力推动个人信息保护的科学化立法,建立政府数据中个人信息的分级化标准,完善敏感个人信息的“去标识化”手段,健全常态化的个人信息公开审查机制,以保障政府信息公开的合法化。

关键词:政府信息公开;个人信息保护;大数据

中图分类号:D922.1文献标识码:A文章编号:2095-6916(2021)15-0097-03

在执政过程中,利用平台收集行政对象的数据信息用于社会治理,以海量数据信息的分析作为决策辅助,已成为政府治理现代化的共识。2015年,我国政府颁布了《促进大数据发展行动纲要》,政务“互联网+”时代正式开启,越来越多的大数据技术应用到政府治理的过程中,众多行政机关履行行政职能时所采集或利用的数据,逐渐由曾经的“模糊”“概括”转变为“准确”“精细”,成为作出宏观调控和具体政策分析的重要辅助工具。在这一背景下,行政机关不可避免地采集了大量公民个人信息用于社会治理过程,这是必然的,也是必要的。但当政府信息根据法律规定应当公开时,对于这些糅杂了大量个人信息的政府治理数据,如何在保证政府信息透明化的前提下,同时对信息主体的个人信息权益加强保护,就成为亟待探讨的问题。

一、政府信息公开中的个人信息

(一)何为法律所保护的“个人信息”

伴随着互联网时代大数据技术的发展,个人信息从原本的碎片化使用,经大数据技术处理后价值得到巨大提升。越来越多的事务处理需要使用到个人信息数据,这种使用过程不仅仅局限于直接服务的信息主体。合理利用的情况下,在商业领域除直接用于营销之外,还可用于用户画像、用户体验改善、市场策略调整等方面,具有极高的商业价值。在政府行政过程中,个人信息除用于日常政务处理,还可用于政策分析、市场把控、决策指导等。个人信息配合大数据分析利用有着极具价值的作用,其使用安全问题应直接纳入国家安全战略体系。但相伴个人信息巨大价值而衍生的,是个人信息的滥用、侵害现象屡禁不止,相关立法被倒逼催生。

近年来,我国对于个人信息的立法较为分散,《民法总则》《电子商务法》《网络安全法》以及《关于加强网络信息保护的决定》等法律法规中,均提及个人信息安全保障义务。其中,2016年颁布的《网络安全法》第七十六条对于个人信息给出了当下法学界更为认可的定义标准,即“能够单独或者与其他信息结合识别自然人个人身份的各种信息”。这一表述更强调识别性,改变了之前立法中对于个人信息较为简单的定义,将个人信息与个人隐私作出了一定程度的区分,开启了个人信息权与隐私权的二元保护模式。

而在2021年1月开始施行的《中华人民共和国民法典》(以下简称《民法典》)的人格编中,个人信息和隐私权一同被作出了专章规定。其中对于个人信息的表述,沿用了《网络安全法》中“能够单独或结合识别自然人身份的信息”的这一定义方式,在列举中除此前规定中存在的如姓名、身份证件号码、个人生物识别等信息外,结合考虑了新法颁布前期,新冠疫情期间出现的个人信息侵害问题,额外增加了“健康信息、行踪信息”两项,更加完善了个人信息的定义。其保护除了此前民法总则中明确了信息使用方对于所获取个人信息的保护义务,要求使用方除不得滥用外,也不得非法买卖、提供和进行公开,《民法典》还特别规定了对于个人信息合法、正当、必要的处理原则和处理条件及例外,同时在第一千零三十九条中对于国家行政职能机构履职过程中的个人信息保密义务作了专门规定。《民法典》作为民事基本法,其规定对于政府履职中如何对待公民个人信息,有着重要的规范和指导作用。

(二)现阶段政府信息公开中个人信息公开的正当性基础

当下政府社会治理过程的数字化、网络化趋势,是便利行政对象的手段,同时也是构建现代化法治政府的必然需求。个人信息作为对特定人的识别数据,其本身具有一定的公共性,是政府数据采集中不可避免的内容。虽然当下对于个人信息保护问题的社会关注度极高,但政府采集使用的数据中并不可能完全排除掉公民的个人信息数据。由此导致在公民请求政府信息公开的对象或内容中,存在出现个人信息数据的可能性。在此类公开请求中,基于国家利益和社会公共利益的综合考量,应肯定涉及个人信息数据的某些请求具有现实需求的正当性。

而在法理和现有立法中,也应认为个人信息被包含在某些政府公开信息中具有正当性。2019年国务院修订的《中华人民共和国政府信息公开条例》(以下简称《公开条例》)明确规定,与公众利益调整相关及有必要由公众广泛知晓的政府信息应当主动公开。《公开条例》第十五条规定,当可能对权利方的合法权益造成损害时,政府不得对于涉及其隐私的信息进行公开,但是行政机关认为不公开会对公共利益造成重大影响的例外。《公开条例》虽未提及个人信息的豁免规则,但这一规定延续了未修订前的公开条例中,对于基于公共利益的个人隐私的公开豁免。举重以明轻,该条款于个人信息的使用有一定的参考意义。另外,《民法典》第一千零三十五条第一款对于个人信息使用条件的同意规则后,以但书形式陈述法律、行政法规另有规定的除外,而《民法典》第一千零三十六条,行为人处理个人信息不承担民事责任的例外情形中,第三款规定了“为维护公共利益或者该自然人合法权益,合理实施的其他行为。”这些但书都表明,当为了维护公共利益之时,政府有权在未取得信息权利人同意的情况下对于公民相关部分的个人信息进行公开。

二、政府信息公开中个人信息保护的不足之处

(一)个人信息私法保护不足

现阶段,国内针对个人信息权的立法以民事法律为主,《民法典》中也增加了相应规定,有了较高位阶的法律保护,刑事法律规范和行政法律规范中也有具体规定。但因为国内互联网行业较之发达国家发展较迟,对于个人信息的保護是伴随数据技术的发展才逐渐被重视,相关立法仍不够系统。一方面,从立法体系来说,缺乏个人信息权的专门法,导致对其保护缺乏顶层设计和具体规则。另一方面,在私法中作为人格权被保护的个人信息救济方式较为有限,主要是赔礼道歉和消除影响,只在少数情况下才有可能获得财产赔偿。但个人信息在人身属性之外,往往在被侵害的过程中牵涉到信息主体的财产利益,从现实案例还会看到某些侵害行为造成大量不可逆的恶性后果,实务中现有救济方式难以恢复受害者的损失,侵害方的违法代价也较小[1]。

《民法典》对于信息保护义务人确定为“国家机关、承担行政职能的法定机构及其工作人员”,相应的侵害结果可能是人格尊严、个人隐私等人格利益受损,也有可能造成严重财产损失,现有的个人信息权利私法保护模式明显不足以对信息主体遭到的侵害形成足够保护。

(二)政府偶有比例原则缺位

比例原则①在行政机关实施行政行为的过程中起着极其重要的合法性指导作用。我国台湾地区著名学者陈新民教授认为,比例原则是拘束行政权力违法最有效的原则,其在行政法学中地位可比拟“诚信原则”在民法中之地位,故被称为行政法中的“帝王条例”并不为过[2]。在公共卫生事件中,个人信息的公开需在涉及公共利益的情况下才被允许,但是否只要涉及公共利益就要公开,是否涉及公共利益就要尽数公开,这却是更需要行政机关把握的问题,应兼顾公开目标的实现和损害最小化原则,合理调整两方面比例。在这一核心点的把握中,行政机关如不能时刻将比例原则放在指导地位,仅单纯考虑在公共利益面前个人利益应当让步,甚至滥用行政权力侵夺私权利益,就会导致行政行为缺乏合法性。

(三)政府数据利用规范有待完善

个人信息作为私主体的一项民事权利,主要通过私法进行保护,在政府信息公开中,行政机关对于个人信息的利用虽有正当性,但若出现利用不当或利用过度的情形导致信息主体侵害的,追责却难以找到相应的私法依据,这一私法保护的局限说明在公法中充实个人信息利用的规定十分必要,更有利于法治政府的完善[3]。

当下对于政府信息公开问题,主要法律依据就是2019年新修订的《公开条例》,其中虽对公开范围、程序和例外等都有了与时俱进的规范,但对于个人信息是否参照政府信息适用公开规则没有说明,对于政府个人信息公开过程中的个人信息分级等类似保护方式也并没有提及。涉及个人信息在公开问题缺乏系统性、专门性的规定,从而导致实务中当涉及个人的政府信息被申请公开时,行政职能机构具体操作无法可依,信息保护的职责主体也未被明确,实践中容易出现对于信息利用的行政行为缺乏合法性、合理性。

三、政府信息公开中的个人信息保护策略

(一)推动个人信息保护的科学化立法

伴随着越来越多个人信息案件、纠纷的发生,系统性的保护立法逾显急迫。《民法典》的人格权编从民事基本法的层面,对于个人信息的保护作出了原则性规定,但具体的个人信息使用条件、保护义务主体、侵害的责任承担方式等问题表述并不具体明确,与国际现有保护方式存在一定差距,仍需一部专门的个人信息保护法来加以规定。根据全国人大会议的精神,个人信息保护法现已列入立法规划,相关部门正在积极征求意见进行起草,有望近年颁布实施。

除民事立法之外,公法领域也应更多关注个人信息的保护问题,除刑事法律中对于侵犯公民个人信息罪等相关罪名的设立之外,在行政法领域,有关政府对于数据信息的收集利用,尤其涉及公民个人信息的利用,应有专门的规章和条例,指导行政机关合法、合理履职。

(二)建立政府数据中个人信息的分级化标准

我国现有立法明确了政府信息公开中对于个人隐私的保护要求,但个人信息与个人隐私存在较大区别,其数据并非直接表现个人隐私,但与个人隐私,甚至个人财产利益密切相关。故可综合考虑个人信息与隐私的密切程度,以及在待公开信息中的公开必要性,给予个人信息相应的级别标准,分级进行保护。在信息公开的相关法律法规文件中,应明确级别的认定主体、衡量基本标准、信息主体权益救济途径等内容,细化不同级别个人信息的保护策略,在保证政府信息公开的有效性和完整性的同时,兼顾个人信息保障的现实需求。

(三)完善敏感个人信息的“去标识化”手段

《民法典》对于需保护的个人信息定义为可单独或与其他信息结合识别特定自然人的各种信息,故减少在信息利用过程中对个人信息侵害的最好办法是避免信息的“可识别性”。在信息技术领域,去识别化技术又被称为匿名化或去标识化。根据《网络安全法》的表述,通过这一技术的处理,对于个人信息数据应达到“无法识别特定个人”且“无法复原”的标准。伴随个人信息保护意识的增强,这项技术在发展中逐渐完善,已成为较为成熟的一项技术标准,GB/T37964-2019《个人信息去标识化指南》将这项技术定义为“通过对个人信息的技术处理,使其在不借助额外信息的情况下,无法识别个人信息主体的过程”。在政府对于个人信息的利用中,尤其是公开于社会的过程中,去识别化技术的应用可以结合个人信息分级制度,有效避免对个人信息权利的不必要侵害,主要方式为通过“抑制屏蔽”技术——即将信息数据中有可能直接识别出信息主体身份的敏感信息删除或用“*”代替,或通过“匿名化”技术——概括或模糊数据主体属性,如以“信息主体1”代替“李四”本名[4]。

(四)健全常态化的个人信息公开审查机制

应完善政府信息公开中的信息使用相关立法,明确政府对于数据的权属主体地位,严格限定行政机关和行政职能机构对于个人信息使用的范围、手段和程序,明确信息保护义务主体及其监管责任,规范信息权利侵害的责任承担主体及承担方式[5]。更重要的是,除诉讼救济途径之外,对于政府信息公开中的个人信息权利侵害纠纷,还应给予信息主体更加明确、及时、有效的行政救济途径。

四、结语

总而言之,基于当下社会治理需求及社会公共利益需要,政府社会治理中对于包含个人信息的数据利用已成为必然,对于个人信息的保护应与个人信息的利用协调推动,不可偏废其一。现有个人信息的保护制度构建,也应兼顾考虑个人信息公共利用的合法性和合理性,完整个人信息的私法与公法协同保护制度架构,多途径、多角度维护信息主体的合法权益。

参考文献:

①比例原则是许多国家行政法一项重要的基本原则。学界通说认为,比例原则包含适当性原则、必要性原则和狭义比例原则三个子原则。行政法中比例原则是指行政权力的行使除了有法律依据这一前提外,行政主体还必须选择对人民侵害最小的方式进行。比例原则对我国行政法治建设具有很强的借鉴意义。

参考文献:

[1] 鲁丹.大数据时代个人信息保护的困境与民事纠纷解决思路[J].法制博览,2020(10).

[2] 陈新民.行政法学总论[M].北京:法律出版社,1995.

[3] 謝琳.大数据时代个人信息使用的合法利益豁免[J].政法论坛,2019(1).

[4] 张涛.欧盟个人数据匿名化治理:法律、技术与风险[J].图书馆论坛,2019(12).

[5] 叶名怡.个人信息的侵权法保护[J].法学研究,2018(4).

作者简介:鲁丹(1985—),女,汉族,江苏徐州人,单位为南京师范大学中北学院,研究方向为民商法和网络信息法学。

(责任编辑:王宝林)

猜你喜欢
政府信息公开个人信息保护大数据
政府信息公开中的个人伦理自主性研究
国内外政府信息公开研究的脉络、流派与趋势
如何做好法律领域的个人信息保护
我国大数据时代个人信息保护研究综述
基于大数据背景下的智慧城市建设研究
浅论政府信息公开制度的现状
移动互联环境中个人信息保护的调查与分析—以大学生为例
大数据时代个人信息管理与保护