大数据背景下的公民信息保护
——以政府信息公开为视角

李欣航

（长春理工大学，吉林 长春 130000）

一、引言

数据与信息是当今信息化社会的主题。自《政府信息公开条例》发布以来，政府利用信息公开实现社会效益，维护了社会稳定的同时保障了公民的权利。但是，也存在收集与后续处理应用时带给人们的新问题。在收集的过程中哪些是应当收集的而哪些又是不必要的。在具体适用时，政府信息开放的豁免事由与个人信息隐私权的保护是否存在冲突的问题上，仍然存在着未解决的疑问。由于目前对个人信息的概念在法律规范体系中仍未统一，个人信息的界定问题仍需探索，这为行政机关无论是在执法过程中还是法律适用上都设置了无法直接援引法律的条文的障碍。如何解决此类疑问，是本文准备讨论的问题。解决问题的前提就需要查询在时代的不断发展之下，究竟什么样的信息属于个人信息、需要达致什么样的标准属于个人信息中需要特殊保护的部分。而一旦被确定为敏感信息，那么是否应该斟酌考虑条例第15 条规定的可以公开的例外情形，这些都需要一定的理论依据作为支撑。

二、个人信息保护的理论基础

（一）数据和信息的概念区分

数据和信息的概念以及二者之间的关系在理论界有一些不同的解读。在有的文章中，还将二者混同适用。虽然二者存在某些联系，但也应做出区分。在国际标准化组织中，信息是在特定语境下具有特定含义的知识，而数据是该知识的表现形式。有的学者认为数据具有工具性，基于数据的工具性，数据以一种生成并传输信息的数字编码技术，通过代码最终显示出信息；同时，在互联网介质系统下，数据作为介质的一部分，与信息能够建立更快速与直接的联系。在欧美语境下，对于数据的保护即对个人信息的保护。我国对数据的保护可以通过其他方面，如对个人信息的保护表现出来。在我国，个人信息是受到保护的，公民享有对自己的个人信息的处分与决定的权利。而对于数据本身的确权问题，我国有学者对此进行研究，因为其本身具有以算法为中心的数据价值，我国有学者对此进行研究。但是就目前来看，数据的确权问题仍未定性，因此，当我国对个人信息进行保护的同时，便是间接地对数据加以保护。结合以上几点，简单来说信息就是一种外在表现形式，数据就是生成信息的一种介质。而政府中的信息公开中的信息便是对原始数据进行技术分析与加工形成政府信息，最终面向大众。

（二）个人信息概念的界定

1.个人信息的基本理论学说

我国通过一些相关法律法规，对个人信息中的“信息”概念下过一些定义，并对信息侵权行为如何处理进行规制。在2017 年6 月1 日施行的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《若干问题解释》）中对公民个人信息的定义同《网络安全法》中相一致，都将“可识别”作为界定个人信息的关键词，认为个人信息是指能够单独或者与其他的信息相结合进而识别出自然人身份的各种信息。另外，在《信息安全技术，个人信息安全规范》中对概念的定义除了可识别到特定人，还包括“反应特定自然人活动的”其他信息，同时在概念后列举了几个“皆为个人在活动中产生”的信息，通过“关联性”扩大了个人信息概念的范围，而不只是如前所述要求“通过信息可识别到个人”。除此之外，有的学者还指出个人信息的概念还存在废除静态概念说与新识别说。前者基于信息利用的目的在收集时没有办法确定，因此会导致非个人信息转为个人信息的现象，要求立法者考虑除信息本身风险之外的问题。如隐私权的期待，因道德产生的信任。新识别说不以信息是否可识别为标准，而是将信息使用者的意图以及阻止重新识别的义务作为规制对象，认为要根据不同类型的信息成比例的匹配相应程度的保护机制。互联网时代发展至今，可以看到，由于新技术的出现使得信息侵权行为的类型怎么发展我们不得而知，因此对于信息概念仅仅满足可以“直接识别的信息”已不能够。目前，对于信息概念的学说结合我国法律条文可以看出主要以可识别说为主，还包括将个人信息概念的范围看作一个动态的过程的关联说。识别说与关联说将信息分括为直接识别与间接识别是目前我国法律界定信息概念的主要基础。

2.个人信息相关问题的概念界定

由于个人信息的权属性问题，一些理论学者针对个人信息与个人隐私之间的矛盾关系进行了研究。毕竟个人信息涉及到一定程度的私密性，并且不愿意为人所知时，就触及到了个人隐私。有的学者还将个人信息与隐私之间的重合部分划定为敏感信息。在《个人信息保护法》草案中对个人信息划分出了敏感个人信息。这部分信息是指一旦被泄漏或者非法使用，就可能使个人收到歧视或者人身、财产安全受到严重危害的个人信息。例如，种族、个人生物信息、个人行踪等等。可见，在草案中将以上信息视作一旦公开就会对人身财产造成严重影响，因此，需要特别保护，并将上述信息划定为敏感信息。

根据个人信息的私密程度与对个人造成的影响不同，有些信息需要置于比普通信息更值得重点保护的位置上。从一些法律条文中我们可以看到法律将一部分涉及到个人隐私的部分信息进行了特殊的保护。欧盟于2015年5 月开始生效的《通用数据保护条例》中列举了特殊类型个人信息的权利。我国最高人民法院2016 年发布的《关于人民法院在互联网公布裁判文书的规定》(以下简称《互联网裁判文书的规定》)明确要求人民法院在互联网公布裁判文书时，应当删除自然人的家庭住址、通讯方式等个人信息。再如刑法253 条第三款和第四款中将非法获取、出售行踪轨迹信息、通信内容、征信、财产等信息规定为50 条以上即构成犯罪的标准，而住宿、通信等记录需达500 条。综上，能够看出一些信息具有高度的私密性，信息主体不希望被人所知，并且一旦公开会对本人造成严重影响。因此，我国在行政立法、执法抑或是司法实践中可以将个人信息进行划分，根据类型的不同采取不同层次的保护。这种不同层次的信息类别，为后续行政机关出台相关法律法规来界定一般个人信息与特殊信息，甚至对个人信息概念问题都具有借鉴意义。

对于个人信息的概念，由于不同法律所保护的客体和立法目的不同，可能会形成条文内容的差异。而网络信息安全法中对信息概念的表述被我国大多数部门法所援引。目前，个人信息保护法仍未出台，针对出台后的个人信息概念是否适用我国整个法律规范体系也未可知。但唯一可以确定的是在我国行政立法领域中目前没有可直接参考的具体个人信息概念，这一点是行政机关依法执行与个人信息相关的公务时所留下的法律空白，不利于个人信息案件在行政领域的直接保护与救济，同时也是一种个人信息概念在行政法理论界的缺失。事实上，行政法的调整对象与调整范围随着社会实际的需要也涉猎了更广的领域，新行政法已经开始进入互联网领域，政府开始强化对网络空间的规制；同样的，针对互联网信息侵权，行政机关作为国家的执行机关，理应成为保证个人信息安全的最重要的一环。信息问题为我国数据时代之下亟待解决的问题之一，理应引起相关部门的重视。

三、政府信息公开的现状与应用

（一）政府信息公开的现状

历史的沿革与时代的进步造就了一个国家的政权理念。首先，一个好的政府必然是一个民主的政府。无论是立法、执法还是司法都需要公民广泛参与，政府的权力是人民赋予的，国家工作人员也应自觉接受人民的监督；为了防止权力的滥用，要求政府信息公开，在不损害国家利益的基础上，保证政府的透明性。其次，基于权利与义务的相对性，在要求公民履行义务的同时，也应赋予其相对的权利。行政相对人与行政机关相比较而言仍处于弱势地位，地位的悬殊之下如何保障自己的权利不受侵犯，就需要公民对政府的信息享有知情权利。很多国家都认识到政府信息公开的重要性。美国《情报自由法》就表示要尽可能多地让公民掌握更多的政府信息，这也是一个民主政府的真谛所在，使人们更多地了解政府的活动。同时，在申请政府公开的过程中，美国对于申请人也无过多的限制，即只要求行政相对人对其提供简单的个人信息即可，并不存在其他实质性的条件。

我国的政府信息公开经历了地方试点到全面推进的过程。从1998 年开展“村务公开”开始，我国政府信息公开经历了二十年的发展历史。中央和地方先后出台相关规范性文件有31 部左右，从发布地方性法规开始，再到中央立法，逐渐走向成熟。为进一步加强法制的建设，我国于2004年颁布了《全面推进依法行政实施纲要》，明确表明法治政府的建设需要政府的信息公开，为政府信息公开条例的出台埋下理论基础。随后，《政府信息公开条例》在08 年的时候正式实施，这也是我国第一部规范政府信息公开，进而保障公民知情权的行政法规。一方面，有利于完善政府的监督制约机制，促进政府的职能转变；另一方面也保障了公民的权益，建立和谐社会。但时代总是变化的，当原有的法律规范满足不了人民的需求时，就要运用立法的手段进行变更。由于法律的滞后性，一些信息公开内容本身并不全面，这也间接影响到在实施过程中执法工作的正常运转。于是，我国于19 年重新修改了《政府信息公开条例》，包括删减的条款，共有34 条法律条文进行了变更。虽然我国并未明确规定公民的知情权，但是政府明确规定“以公开为常态、不公开为例外”也间接地体现了公民知情权在法律体系中的构建。

（二）《政府信息公开条例》的具体应用

人类历史演变至今，信息的获取方式也发生着变化。基于数据的“公共性”，人们在生活中可以无偿获取公开的信息。在信息时代，个人信息不再是作为一种绝对财产权与人格权的对象而存在，而是具有一定的“公共性”。政府也通过采取政府信息公开的方式满足社会发展的进步与需要。公开的政府信息符合公民享有知晓信息的权利，但实际案例中公民以个人信息不受侵犯为由拒绝或阻却政府公开其本人或与之相关信息的案件时有发生，政府信息公开与个人信息保护的矛盾冲突由来已久。近三年来行政机关信息公开案件近7471 例。以“政府信息公开”作为关键词检索近十年来行政机关信息公开案件，可以看到，《政府信息公开条例》自08 年实施以来，相关案件逐渐呈上升趋势，案件数量比例逐年递增，从17 年开始有所下降。纵观行政案件的种类分布图，也可直观地看到政府信息公开案件的数量在所有行政案件中位居第二，仅次于行政处罚。

表3.1.1 近十年政府信息公开案件趋势图

表3.3.2 行政行为主要种类

在行政行为种类分布图中，政府信息公开类的案件虽然很多，但是争议焦点的内容也不同。有上位法与下位法规定不一致引发的适用冲突、还有行政相对人对行政机关做出的行政决定有异议、亦或是隐私权的个人信息是否应当公开的问题。例如，杨政权诉房产管理局信息公开案件中，它的争议焦点在于住房人申请材料信息是否属于个人隐私而应否公开的问题。案件涉及到知情权与隐私权之间的冲突解决，由于隐私信息的性质界定不明确使行政机关与行政相对人对信息是否应予公开的事实上发生了偏差。再如尹秀辉等诉成都市国土资源局成华分局政府信息公开案中，涉及到公民住宅信息的部分是否应当公开的问题上，行政机关与行政相对人之间也存在不同的理解与矛盾。从上述案件中可以看出个人信息在行政法领域的法律保护中仍有很多理论基础需要强化之处，在法律的适用中仍处于发展中，需要不断完善。对个人信息中的敏感信息的界定同样影响着政府信息的公开。

四、政府信息公开与个人信息保护的问题

（一）政府信息公开的收集阶段

如前所述，政府信息公开案例占行政案件很大一部分，如果操作不当很容易造成对公民隐私权的侵犯，因此，在信息公开之前，政府的数据收集活动也应符合最小目的性原则。随着大数据时代的到来，政府将原始数据收集后经过加工分析面向公众，行政机关利用数据强化社会公共管理、可以说数据收集早已成为国家应尽的法律义务。在以分享为主题的信息社会中，若是想要加强对个人信息的保护，信息的收集与处理是一个很重要的步骤。问题是，在实际生活中，行政主体与行政相对人之间地位不平等，公民对已经提供的个人信息的后续处理利用已经无法掌控；基于此类现象的“非直接操控性”，公民对于大部分信息的如何利用处于被动状态。从信息的收集到储存、应用、公开都是政府中的相关人员进行管理，而公民本人对自己所享有的相关权利只能在案件发生时才得以主张，相对于行政机关，行政相对人处于弱势的一方。在公共利益与个人利益的权衡中，不可能会放弃对资源的开发共享；政府需要通过信息公开，强化政府职能，提高公共服务。这也同《条例》中所表达出的初衷一致。但是，明确目的性及必要性是限制数据不当利用的前提，欧盟的《一般数据保护条例》就规定了信息收集应当具有特定、明确且合法的目的。

这就要求在收集信息的过程中，考虑是否达到了其所需要的目的。在美国控制理论下的“公平信息行为准则”中也涵盖了目的限定，在收集，使用个人信息前必须先披露收集的目的。以及信息收集利用以特定目的的必要性为限的信息最小化标准。我国信息收集中也与控制理论下的目的限定相一致，建议在未来个人信息收集中也能够灵活使用目的限定原则。虽然我国对信息的收集要求告知同意方能获取，但是收集目的是否必要与合理以及后续的处理才是关键，告知同意原则也不仅仅是一种形式。

（二）政府信息公开的处理阶段

我国《政府信息公开条例》中规定了涉及个人隐私的信息需要相关人员同意方可进行公开的规定。在19 年我国新修订了《政府信息公开条例》（以下简称《条例》），条例在第14 条中，取消了“对法律法规规定以及政府不予公开的信息进行审查，必要时报送相关部门确定”的规定；而是将这一部分内容同国家秘密一起作为绝对不予公开的情形。同时，在第15 条中，将商业秘密、个人隐私与国家秘密进行区分，将商业秘密与个人隐私设置为待决豁免事由，也就是说原则上不得公开，但由于加入了第三方与行政机关的例外规定，在特定情形下也可以进行公开。同时取消了“权利人同意的予以公开”的条款，将其改为第三人。总体上，这一修改文义表达清晰，有利于理清豁免事由的条文布局，完善了行政法在法释义学基础理论建设。

但是，在新修订的《条例》中取消了“经权利人同意可以公开”的规定，回避了行政机关与权利人之间的观点发生分歧时的观点讨论，也并未解释当关涉个人隐私的信息同信息公开的矛盾发生时前者做出很大让步这一问题，间接体现了公共利益与个人利益发生冲突时以国家与公共利益优先的原则。政府信息的公开一方面保障了公民的“知情权”，另一方面，公民信息的自决权、隐私权又同信息公开中涉及到个人隐私的部分存在矛盾。因为一旦第三人或是行政机关认为可以或是应公开的情况下，就可以对这部分信息进行公开。究其原因，还是取决于个人信息中的敏感信息在理论中没有一个清晰的界定。在处理某类行政案件时，法官只能根据相关法律法规援引相关条文，并根据经验做出判断。个人信息保护法还未成熟，当其公布后个人信息以及敏感信息是否也应用在政府信息公开中也是值得讨论的。但是能够确定的是，当概念和界限划分清楚后，此类案件引发的政府信息公开的争议就会缩减。在我国曾发布的《个人信息保护法》草案中，内容包括对敏感信息与非敏感信息概念的界定，对于敏感信息区分的方式，该草案是以列举的方式将敏感信息罗列出来。可是如果以前述原则性规定为标准，那么涉及的范围是很广的，而不仅局限于列举的个别信息。另外，条例中在涉及到公共利益的隐私信息“行政机关认为不公开会造成重大影响”的情形中，什么样的情形能够被理解为“重大影响”，该词本身就是一种抽象的概念，需要行政机关自行把握，间接给予了行政机关一定的自由裁量权；而自由裁量的标准并非一个具体的概念。但若将信息进行不同层次的区分，当行政机关处理对应信息时就会有所考虑和依据，间接限制行政机关的裁量权。

五、政府信息公开中个人信息保护的新思考

（一）加强政府信息公开前置工作

政府信息的收集是必不可少的，但是我们继续讨论在收集信息的时候应当注意的问题。政府信息公开中要保证个人信息的合理收集，避免发生因后续利用不当而引发诉讼争议。我国相关法律反映出使用信息的目的要合理。同时，由于信息收集是信息公开的前置程序，因此需要在收集信息时尽量减少不必要的采集。信息收集重要的一点就是合乎目的性，应当保证信息的获取以最小目的性为原则，满足公民对于个人信息处理的合理期待。在具体的实施过程中，行政机关可以参考适用国内外的研究方法。例如在美国《消费者权益保护法（草案）》中，最早使用的场景一词。场景是指信息收集的后续传播不超出最初的情境，作用是可以利用场景进行风险评估。具体而言就是在场景中评估信息处理的风险等级，最后根据风险等级的大小决定责任的大小以便进行相关人员的追责。将其运用在政府信息收集处理中，利用场景评估信息收集后的一系列活动是否满足公民的合理期待，后续引发的风险是否合乎目的最小化。通过场景中的合理方式收集，也有利于转化传统知情同意的固化思维。

行政机关在收集个人信息前可以考虑场景因素，以合理的手段收集，并对信息的收集处理的潜在风险进行评估，责任的承担根据风险大小决定。这意味着将信息从收集活动到后续的处理应用活动置于整个信息保护系统中。这样也是一种对个人信息的间接保护，从源头出发，帮助政府在对个人信息收集前谨慎的做出决定。总体而言，就是灵活使用目的限定原则以满足政府信息公开的条件；预估信息收集的风险，既对信息收集具有警示作用，也为责任承担提供依据。同时，在收集过程中，建议将公民信息个人隐私的部分与普通信息剥离开，一旦风险等级超出收集的目的限定，应当将这部分的信息剔除。这也是对个人信息概念加以分析的重要目的之一。

（二）完善敏感信息的界定以减小行政机关的自由裁量

个人信息概念是否能将所有领域的个人信息概念进行统一化，我们在此处皆有必要讨论一下个人信息概念欲在政府信息公开中所需要考虑的问题。我国个人信息相关的概念分散于各个法律规范中，并没有一条“万能规范”贯穿于中国所有法律法规。因此，行政机关在执行公务时必须有明确的规范进行援引，减少不必要的冲突的同时，约束行政机关的自由裁量权。笔者建议，可以在行政机关内部制定相应的内部规范，根据近年来发生的相关案例中的争议点汇总。将公开会对公民的人身或财产产生不利影响的信息同普通的信息区别开。而这部分信息则可视为敏感信息。政府信息公开必然会涉及到某部法律法规的适用问题上，但若要充分发挥法律条文的作用则需要对相关概念进行理解。敏感信息与普通信息的区别无法用简单列举的方式陈述清楚，那么就可以选择弱化二者的界限讨论，引入风险来解决问题。

个人信息概念需要突破传统的是否可识别性。随着目前信息的范围不断地扩张，过度限制信息是否可识别并不利于信息自由的流动与政府信息公开，因为越来越多的信息都可能因为其本身或与其他信息结合而识别到具体个人，不能对其全都加以限制。而个人信息中的敏感信息也无法参照具体的标准。因此，笔者认为可以从各类信息与风险大小的关系上解决问题。可以考虑将重点放在加强信息的风险引入上。具体而言，根据风险等级划分，将风险等级高的部分，如涉及到个人隐私的敏感信息同一般个人信息区别开；而这部分的信息要求具备与个人密切相关、具有高度私密性、公开会对公民本人造成重大影响等特点。因此，对于此类信息的保护力度要增加，并给予明确的法律地位。从这一点进行区分，有助于强化个人信息隐私权，政府在面对“会对公共利益产生重大影响”的个人隐私信息做出自由裁量的过程中也会从隐私信息的法律地位、风险大小、责任承担等问题考虑，做出利益权衡。

在未来，为了加强政府对个人信息的保护，在立法执法中行政机关也应主动告知公民具有保护个人信息的义务，对其将强引导，强化公民的维权意识，让公民参与到信息从收集到处理的整个监督过程中。在法律上提高公民信息主体意识，也有利于增强公民主张信息侵权保护的积极性。公民个人在对自己信息的控制范围上是十分有限的，因此，在社会生活中也应加强自己信息的保护意识，避免信息被不必要的泄露。

结语

政府信息公开从收集到后续的处理应用都需要注意减少对公民合法权益的伤害。因此需要在公开时考虑以下因素。收集时考虑场景，进行风险预防，在政府信息公开的源头上达到收集目的合理性，最终实现保护公民个人信息的作用。行政机关在实际操作的前提需要依法行政，这就要求法律对自身的概念问题规定明确。通过原则性的规定明确个人信息的概念，再将敏感信息以列举的方式表述出来，利用风险责任规制体系加强这部分信息的保护地位；使政府针对个人秘密信息公开行使自由裁量权时合理的平衡公共利益与个人利益的价值位阶；最后通过加强公民对个人信息保护的法律意识，提高公民维权意志，积极对政府监督。我们应明确认识到大数据下新问题面临的挑战，新情况回归本源研究解决，提高创新意识。面对未来风险提前预防掌控，保护公民的个人隐私信息。