王 爽
(东南大学 法学院,江苏 南京 211189)
大数据时代,数据不仅成为信息业者的生产要素和行动指南(1)本文所称的信息业者是指专门以信息的收集、处理、储存、利用和传输为主要业务的信息服务提供者。参见张新宝《从隐私到个人信息:利益再衡量的理论与制度安排》,载《中国法学》2015年第3期。在不同法律中表述有所不同,例如《网络安全法》称之为网络运营者,本文以信息业者作统一指代。,也成为各国政府的基础性战略资源。[1]处理个人信息已然演变成公权力运行的基本手段之一,国家机关也成为最大的个人信息处理者。[2]通过梳理现有的法律、行政法规、部门规章等有关个人信息保护的规范性文件可以发现,针对国家机关处理个人信息的立法规范经历了从规范缺位到将国家机关与信息业者置于同一规范框架之下的一元化路径的演变历程。
《全国人大常委会关于加强网络信息保护的决定》规范的仅包括网络服务提供者和企事业单位的个人信息处理行为,而未提及国家机关的相关行为。《网络安全法》(以下简称《网安法》)第40~45条规定了网络运营者的个人信息保护职责,同样忽视了国家机关的相关责任。[3]《民法典》第110条规定的“任何组织”虽同时囊括国家机关和信息业者,但采用的仍是个人信息责任主体一元化的制度进路,即用同一套规则规制国家机关和信息业者处理个人信息的行为,使二者遵循同等的严格程度和行为路径,而未根据主体特性“分而治之”。《个人信息保护法(草案)》(二次审议稿)(以下简称《个保法(草案)》)和《个人信息保护法》(专家建议稿)中虽设专章规定了国家机关处理个人信息的规则,但内容较为简略,而《个保法(草案)》中也仅有5条原则性的规定,因此,在立法体系上仍可被视作一元责任主体。与之形成鲜明对比的是,《刑法》对信息业者和国家机关侵犯公民个人信息的刑罚规定遵循的是二元路径,即《刑法修正案(七)》在侵犯公民个人信息罪项下增设了国家机关的身份加重责任。
当前学界关于个人信息保护的研究多将关注点聚焦于信息业者[4],对于国家机关与信息业者在个人信息保护规范上的区分尚缺乏深入的研究。申言之,国家机关相较于信息业者在处理个人信息时存在何种差别?基于此,国家机关处理个人信息应遵循何种理念?具体规则应当如何展开?笔者将对上述问题做进一步的探讨和研究。
应否采用个人信息二元责任主体架构的逻辑起点在于判断国家机关较之于信息业者在处理个人信息时是否具有独特性。由公权力背书的国家机关在个人信息获取、利用、安全保障、数据共享等方面表现出的不同应当成为构建个人信息二元责任主体架构的重要考量因素。
一是获取的强制性。与信息业者处理个人信息的合法性基础有所差别的是,《个保法(草案)》第35条将法律、行政法规的保密规定和法定职责履行列为国家机关处理个人信息的合法性基础,凸显了国家机关获取个人信息时的单方强制性。此种强制性包括三个方面的原因。
第一,主体地位的不平等性。行政行为存在单方性和强制性的特征,致使国家机关与信息主体处于相对不平等的地位。同时,行政主体还有权以强制手段保障行政行为的落实。[5](P.97)在此前提下,即便信息主体同意对方处理自己的信息,也很难知晓其是否是基于公权力的威慑而做出的选择。[6]
第二,公共治理的必要性。国家机关是公民在让渡个人权利的前提下形成的共同意志的代表,作为公意而非众意的代表[7](PP.33~34),国家机关在进行公共治理的同时势必会牺牲部分个人利益,如完全遵循信息主体的意志,则公共治理便会难以为继。例如,在行政执法当中,因为执法机关与信息主体不存在持续性的信息关系,如信息主体享有知情同意权、访问权、更正权等,则其可能会借此破坏执法机关所需的信息和证据。[8]
第三,公共服务的不可替代性。信息业者处理个人信息时多会采用格式合同的方式,从表面上看,信息主体在此情况下只能选择同意,其选择自由被变相剥夺。但事实上却并非如此,如果信息主体持反对意见,则可以选择更换提供同等服务的信息业者。而国家机关提供的公共服务存在于公民生活的各个方面,并无其他主体可以替代,因而公民无法选择或回避。例如,《居民身份证法》(以下简称《身份证法》)第3条第3款规定,如果公民拒绝登记指纹信息,公安机关得拒绝为其发放身份证,该规定即要求在此情况下对公民的指纹信息进行强制性披露。[9]
二是处理的公益性。信息业者对个人信息的处理会受到商业利益的驱动,国家机关则完全出于对公共利益的考量。
第一,收集的公益性。在信息化时代,公共治理方式的转型要求国家机关广泛收集个人信息。例如,在工业社会向风险社会转变的过程中,各种社会风险不断产生,因而“对安全性的承诺随着风险和破坏的增长而增长”[10](PP.15~16),公众的安全保障诉求日益强烈。在此背景下,政府在公共空间中设置了大规模的监控设备,以收集大量的个人信息,并以此为手段来保障公众的安全。[11]
第二,利用的公益性。国家机关利用个人信息进行公共治理,将其广泛运用于风险预警、应急决策、网络舆情管理和危机沟通等各个方面,并在运用过程中以公共利益为根本导向。[3]例如,在新冠肺炎疫情期间,以个人信息为基本单元的大数据就为应急决策、精准防控提供了强大支持。
第三,共享的公益性。(2)《贵州省政府数据共享开放条例》第3条对政府数据共享与政府数据开放进行了分别定义。为了表述的简便,本文将国家机关之间的数据共享、政府信息公开和政府数据开放统称为“共享”。一方面,《中共中央关于全面深化改革若干重大问题的决定》提出要深入推进国家机关之间的信息共享,相关法律规范都将“共享为原则,不共享为例外”作为国家机关间信息共享的基本准则。另一方面,政府信息公开和政府数据开放作为国家机关提供的公共服务(3)虽然根据《政府信息公开条例》规定,涉及个人隐私的政府信息不得公开,但个人隐私与个人信息是种属和交叉的关系,因而,不属于个人隐私的个人信息仍属于政府信息公开的范围。政府数据开放也是同理。,以创造公共价值为根本宗旨。有学者认为,开放政府数据本身不具有直接价值,唯有创造公共价值才是真正有意义的。[12]
三是共享的限制性。虽然数据共享已成为大数据时代数据利用的重要方式,但国家机关对个人信息的共享范围和形式而言显然较信息业者尚有所限制。根据《政府信息公开条例》第15条和政府数据开放的相关地方性法规的规定,原则上涉及个人隐私的信息均不予公开。但对信息业者之间的个人信息共享则不受类似的限制,例如,《支付宝隐私权政策》中阐明,为完成交易,支付宝可能会与第三方共享信息主体的支付信息、注册信息等。[13]而根据《信息安全技术个人信息安全规范(GB/T 35273—2020)》规定,账户信息、交易记录等属于个人敏感信息,具有高度的私密性。再如,《淘宝隐私协议》列举的共享个人信息情形包括“为提供产品或服务的必要情况下共享必要的个人信息”[14],但该规定对何为“必要”未予明确,出于追求商业利益的目的,信息业者必然会对“必要”进行利于自身的扩大化解释,进而可能导致个人隐私信息被共享。综上而言,信息业者应如何共享个人信息多取决于双方拟定的隐私协议,而国家机关则通过法律规范明确限制个人信息的共享范围,以实现对信息主体的安全防御。
四是安全保障的严格性。我国当前采用的是个人信息责任主体的一元架构,但在刑罚方面却规定对国家机关工作人员侵害个人信息的行为实行加重处罚。一方面,惩处力度提升。《刑法》第235条第2款规定,国家机关工作人员将在履行职责或者提供服务过程中获得的公民个人信息进行出售或提供的应从重处罚。另一方面,情节严重认定的标准下降。关于《刑法》第235条中的“情节严重”应如何认定,《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第5条第8款规定,国家机关将在履行职责或提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到前项规定标准一半以上的即可认定为“情节严重”。由此可见,相较于信息业者而言,国家机关工作人员构成侵害公民个人信息罪的门槛更低,对其惩处力度也更大。
现有的法律规范仍保持着个人信息责任主体的一元架构,《个保法(草案)》虽将国家机关处理个人信息的规则单列为一节,但其内容却比较简略,因此,应正视国家机关处理个人信息规则的建构与信息业者之间存在的差异,以“一头转向,两头强化”作为核心理念对相关规定做进一步的细化。
《民法典》第1035条及《个保法(草案)》第5、6条明确了个人信息保护应遵循“合法、正当、必要”的原则。对于信息业者而言,基于逐利性目标的驱使会力图使个人信息的商业价值得到彰显,因而存在侵犯信息主体利益的可能,所以应当始终严格秉持“合法、正当、必要”三项原则来规范信息业者对个人信息的处理行为。国家机关处理个人信息应以权力限制为整体导向,遵循“一头转向,两头强化”的理念。具言之,“一头转向”是指将履行法定职责作为国家机关处理个人信息的合法性关键要素,如果国家机关在职权范围内处理个人信息则无需征得信息主体同意,而一旦超越职权则应以信息主体的同意为必要前提。需要说明的是,合法性的转变仅是公民让渡了同意权,而非丧失其知情权,除有损国家机关职责履行等特殊情况,国家机关仍需对公民履行告知义务。此种合法性的转向存在着法理正当性。基于社会契约理论可知,国家权力来源于社会个体对自身权利的让渡,公民具有主权者和国家成员的双重角色。一方面,《网安法》《身份证法》等法律法规作为公意的表达和公民共同意志的记载,是“全体人民对全体人民的规定”[7](PP.42~43),将信息主体同意的权利和约定事项以立法形式让渡给国家机关,赋予其个人信息处理的法定职责[15]。换言之,虽然国家机关处理个人信息确需事先征得信息主体的同意,但实际上,这里的“同意”已经被法律规范确定下来。只要国家机关是在法定职权范围内及法律规范之下处理个人信息就无需再行征得信息主体的同意。另一方面,“法律结合了意志的普遍性和对象的普遍性”[7](P.43),当权利褪去权力因素时,公民就应当遵守法律、服从秩序,不得再要求行使同意权。
“两头强化”是指国家机关收集个人信息的行为具有强制性,且国家机关处理个人信息的行为彰显出的集权效应使得信息主体难以与国家机关相抗衡。在国家机关不当处理个人信息时,信息主体难以得到有效及时的救济,例如,在司法机关不当处理个人信息的情况下,信息主体无法诉诸司法裁判,只能申请司法赔偿,而司法赔偿存在着申请难、审理难和理赔难的问题,使得信息主体的合法权益难以得到有效的维护。[16]因而,虽然在国家机关处理个人信息的过程中,个人利益在面对公共利益时要受到一定的限制,但同时应当加强对利用行为的正当性和必要性的约束,防止公权力失范。
1.协调角色冲突 《民法总则》第111条首次明确提出要对个人信息进行保护,在此之前,对个人信息的保护主要是通过隐私权的模式予以实现。两种保护模式在设权目的、保护权能与保护客体上具有近似性和共通性。但事实上,将其置于隐私权框架中予以考察,则个人需要对抗的是大众传媒、公众评论、大众窥私欲对私人信息的侵扰,换言之,隐私权为其可能与知情权及言论自由产生的冲突提供了保护屏障。隐私权、知情权和言论自由均为个人享有的基本权利,国家对其负有积极的保护义务,同时,言论自由、公众知情权等与隐私保护之间的利益权衡、分配与限制应属于高位阶法律规范的范畴[17],此时国家作为超然于个体权利冲突之外的中立第三方,以立法和司法裁判的方式协调涉事主体的利益冲突。概言之,隐私权框架下的国家机关仅为中立的监督者和利益协调者。而在个人信息框架下,国家机关处理个人信息具有公益性,国家机关需要个人信息作为基本元素以实现治理体系与治理能力的现代化,由此国家机关具有对非法利用个人信息行为的监督管理者和最大的个人信息处理者的双重身份。虽然对个人信息进行监管的国家机关与处理个人信息的国家机关并非完全一致,但由于国家机关之间的内在维护性和自我保护意识,难以完全确保国家机关在处理问题时不向自身的整体利益倾斜。故而,应强化国家机关处理个人信息的正当性和必要性,以协调国家机关角色冲突可能招致的权力失范,使其时刻回应外界对自我监管有效性的质疑。[18]
2.协调利益冲突 基于国家机关处理个人信息的公益性,其希冀以最小成本、最快速度和最高效率处理最大规模的个人信息,以提供周全的公共服务和精准的公共产品。同时,信息主体则希望个人信息不被侵犯,因此,两种利益便产生了矛盾,矛盾的实质是秩序和自由的冲突。虽然个人是自身的最高主权者,对自己的身心享有自由[19](P.10),但无限制的自由极易被滥用,需要对其进行限制[20](P.302)。秩序的存在是为了社会福祉而限制公民的自由,进而使其自由得以真正实现。一方面,“一头转向”可以有效促进公共治理稳定有序地推进。基于卢梭的“连比例”观点[7](PP.63~69),如果公民赋予国家机关处理个人信息的权限过小,且国家机关需在处理个人信息前征得信息主体的同意,则表明公民赋予国家机关的权限与国家机关行使职权的有效性与科学性不成比例,导致国家机关职权的行使将得不到有效的保障。合法性的转向在一定程度上强化了国家机关处理个人信息的强制性,可以保障公共治理的推进。首先,在公共治理的成效层面,要求国家机关处理个人信息需征得信息主体的同意可能会从源头上减少信息的供给量,从而引发公共治理受阻等连锁反应。其次,在公共治理效率层面,如过度强调信息主体的同意权,则会大大增加公共治理的成本,减损治理效率。最后,在公共治理秩序层面,如果赋予信息主体以同意权,那么根据《个保法(草案)》第16条的规定,信息主体势必也享有撤回同意的权利。而不同于信息业基于商业目的对个人信息所进行的利用,国家机关对个人信息的处理具有公益性,如允许信息主体随意将信息撤回,则会影响社会治理的安定性。另一方面,虽然国家机关处理个人信息的行为要受到安全保障性和共享限制性的约束,但仍未形成体系性的规范,未能全面覆盖个人信息的整个生命周期,仍需从整体上对其正当性和必要性进行强化。同时,一旦国家机关在处理个人信息时对公民造成侵害,导致的不仅仅是个体利益受损,而是不特定多数人公共利益的减损。因此,需要对公权力行使的正当性和必要性进行严格地限制,以实现信息主体与国家机关间的良好互动。
3.协调逻辑冲突 《个保法(草案)》第35条规定:“国家机关为履行法定职责处理个人信息,应当依照本法规定向个人告知并取得其同意;法律、行政法规规定应当保密,或者告知、取得同意将妨碍国家机关履行法定职责的除外。”这一规定存在着既要强化信息主体同意权,又给予国家机关充分逃逸空间的逻辑悖论。申言之,该条以除外条款的形式规定了国家机关在法律、行政法规中存在保密规定和履行法定职责的情况下,无需征得信息主体同意即可处理个人信息,而这两种合法性来源的外延较广,缺乏清晰的边界,且由于国家机关处理个人信息的行为具有公益性,能够有效提升国家治理的能见度和风险感知度,随着技术的迭代和公共治理的需求,个人信息的公共用途必然会极速扩张,而立法者尚不能够穷尽相关的所有规定。[3]除外条款的逃脱性与信息主体同意的繁琐性形成了鲜明对比,由于国家机关实质上缺乏征求信息主体同意的内生驱动力,自然会选择向除外条款逃逸,进而造成征得信息主体同意的条款沦为虚置条款。因此,与其让信息主体的同意条款被架空,不如对个人信息的合法性基础进行转向,以有效应对此种逻辑冲突。
基于“一头转向”的理念,国家机关在履行法定职权范围内处理个人信息无需经过信息主体的同意。但“法定职权”应当如何被界定?现有的法律规范虽对此有所涉及,但对具体职权的阐述仍不够详细。(4)例如,《传染病防治法》第12条虽然规定了疾病预防控制机构等有权收集个人信息,但未具体阐明在具体履行何种职责时有权收集个人信息,也未对收集、利用等具体规则作出规定。扩张是权力的天然属性,如果对法定职权界定不清将会有违“控权”思想。对“法定职权”的限定可以参照权力清单模式进行明确列举和统一规范。但法律天生即存在滞后性,因而权力清单不可能完全概括国家机关无需经信息主体同意即可处理个人信息的法定职权范围,此时超出法定职权范围的个人信息处理行为就需征得信息主体的同意,而不可一概以公共利益为由进行豁免。当然,在遇有紧急情况、突发事件时,即便未在法定职责范围内,也应允许国家机关未经信息主体的同意对其个人信息进行处理。
个人信息责任主体的二元架构旨在构建对国家机关处理个人信息的限制性规范。在“两头强化”理念的指引下,对国家机关处理个人信息的规制应遵循个人信息全生命周期的进路,实行分阶段考量,同时,考虑到个人敏感信息一旦泄露可能会侵害公民的人格尊严[21],因而需要对个人的敏感信息实行更为严格的保护。
收集阶段是个人信息从个体层面向外扩张的最初源头,正本清源有助于实现个人信息处理的良性循环。对国家机关收集个人信息正当性和必要性的强化主要可以从收集方式和收集内容两个方面予以展开。
1.收集方式 对国家机关收集个人信息方式的正当性和必要性进行强化包括三个方面。
第一,对公民知情权的强化。既往国家机关收集个人信息的过程往往是在信息主体不知情的情况下进行的。如在犯罪侦查过程中,侦查机关无法在技术侦查的过程中告知信息主体,且法律规范尚未规定侦查机关负有向信息主体在事后告知的义务。由此可见,国家机关在个人信息收集的过程中,对信息主体的知情权保障严重不足。虽然合法性的转向不再以信息主体同意为前提,但这并不代表信息主体一并让渡了自己的知情权。因此,国家机关仍应及时履行告知义务,并根据履行职责的类别和需求,选择事前告知或事后告知,同时应当参照美国《隐私法案》的规定详细说明收集依据、内容、目的、拒绝提供的后果等信息,在收集个人敏感信息时要明确告知信息主体此为敏感信息。
第二,遵循直接收集原则。直接收集指的是国家机关在收集个人信息时,如果可能会对信息主体做出不利决定时,必须尽可能地由信息主体自主提供信息,避免第三者提供的信息对其主体产生不利影响。个人敏感信息则应当完全禁止第三方提供。
第三,遵循一次性收集原则。既往国家机关收集个人信息存在多头收集的现象,为减少对信息主体的侵扰,应当实行一次性收集,不仅应包括收集主体的一次性,即由一个主体收集之后,通过信息共享等方式向其他有需要的国家机关传递,由此代替向信息主体的再次收集,同时还包括收集内容的一次性,即类似于行政法的“一次性告知”规则,国家机关应当一次性收集所需的个人信息,减少对信息主体的侵扰。
2.收集内容 对国家机关收集个人信息内容的考量应秉持比例原则的核心要义,对其正当性和必要性予以强化。具言之,国家机关收集个人信息应符合法律的正当性目的,将收集个人信息所获取的利益与给信息主体造成的后果进行权衡,只有在证明公共治理目的大于其所侵害的信息主体权利时才能对公民的信息进行收集和利用,且所处理的个人信息应是达成目的范围的最小值,此处的最小值不仅包括信息的数量,也应包括其类型,对个人敏感信息的收集应当更加谨慎,即只在收集一般个人信息不足以实现公共治理目标时方可收集个人的敏感信息。实践当中,过量收集个人信息的现象也凸显了对收集内容进行正当性和必要性强化的重要性。例如,2013年,某学校在校内发生盗窃案件之后,即要求在校的5000多名男生化验DNA。[22]而DNA作为个人敏感信息被如此收集,校方实则有滥用职权、侵犯公民个人信息之嫌。再如,我国台湾地区针对“捺印指纹换身份证”案,大法官会议明确指出,加强身份证防伪和防止冒用身份证的目的均已通过设置防伪措施等方式实现了,因而采用捺印指纹的方式属手段过当,不符合比例原则。[23]
通过梳理以往的法律规范可以发现,其中规定的关于个人信息的存储期限从6个月到30年不等,其规定较为杂乱,且缺乏统一的标准,并未全面涵盖个人信息的种类。明确国家机关储存个人信息的期限,既有利于防止因公权力过于庞大而导致其发生异化,同时,有期限地保留数据也有助于增强个人信息的时效准确性。
对于具体期限的确定,已有部分信息业者对此进行了明确。如谷歌在隐私政策中将个人信息的删除期限划分为随时删除、到期自动删除和视需要延长保留期限三种类型,随时删除的信息指的是谷歌账号名下的一些个人信息,在信息主体删除前该类信息会一直保留;到期自动删除数据的存储期限则取决于收集原因和类别,如Cookie信息在保留到18个月后会被删除;视需要延长保留期限的则是出于商业或法律的要求,如为确保信息的安全性、防范欺诈行为等。[24]
强化国家机关处理个人信息存储期限的正当性和必要性应从以下两个方面进行考量。
第一,强化类型化区分储存期限的必要性。对个人信息应当根据收集原因和用途划分为即时删除、职责履行完毕的到期删除和视职责履行需要延长保留期限三种类型,并规定储存的时间上限。规定视职责履行需要延长保留期限的原因在于,公共治理具有场景多样性和不可预测性,国家机关收集的个人信息的用途有很多都是无法提前预见的,如果一概对其进行即时删除或到期删除的处理,则可能会丧失进一步挖掘数据功能的机会,而重新收集又会耗费巨大的成本。因此,当删除信息的时间节点临近时,应由国家机关再次判断是否存在保留的必要,并应允许各部门根据职责所需规定不同的使用期限。对个人敏感信息则应严格执行最短的存储期限。
第二,进一步强化向信息主体公开储存信息的正当性。在衡量信息主体私人利益与公共利益的过程中,信息主体牺牲了部分个人信息的自决权,因此,应在合理范围内对其权利进行补足。笔者认为,可以借鉴美国《隐私法案》的规定,借助个人信息系统面向信息主体公示储有的个人信息数量、存储位置等情况,以充分保障信息主体的知情权和监督权。
可流动性是个人信息的天然属性,国家机关使用个人信息应兼顾“有用”和“管护”两项基准[25],既要通过数据画像、算法自动化决策(5)数据画像是指针对个人信息的自动处理,以用于评估或预测自然人的个人偏好、行为特征等等。算法自动化决策则是利用个人信息对个人的行为习惯、兴趣爱好等,通过计算机程序的自动分析、评估进行决策,以是否有人工干预为标准,又可细化为完全自动化算法决策和半自动化算法决策。数据画像通常用于算法自动化决策,但也可以用于人工决策,算法自动化决策可以使用数据画像作为输入方式,也可以使用其他数据来源。两者虽并非完全等同或互相依存,但在技术逻辑上具有高度相似性与关联性,故笔者在此一并进行阐述。等方式挖掘数据的价值,又要加强对个人信息使用的正当性和必要性的约束。承继“一头转向”的理念,国家机关在进行数据画像和算法自动化决策时,无需经过信息主体的同意即可收集对方的信息,只需在履行法定职责的范畴内使用即可,但在程序运作上应当严格遵循正当程序原则。首先,在事前阶段应当通过数据画像和算法自动化决策数据、事项负面清单的建立和公开以及对算法决策影响的评估来强化对信息收集的正当性和必要性。一方面,应在重要领域为数据画像和算法自动化决策设立禁区。例如,在司法领域,可借助司法大数据应用的常规备案和伦理审查,适时出台并定期更新“司法大数据应用负面清单”。[26]同时,还应当单独划定个人敏感信息数据画像和算法自动化决策的禁区。另一方面,《个保法(草案)》第55条规定将算法自动化决策列入事前风险评估的范围,且这一规定同样适用于国家机关与信息业者。但算法自动化决策会对公众参与原则产生负面影响,因此,相较于信息业者而言,国家机关在进行风险评估时应注重公众的参与,通过听证等形式加强国家机关、算法研发者和公众的对话。事实上,已有国家采取了相关的做法。例如,美国华盛顿州的HB165法案即要求政府部门的算法系统在使用前需在政府网站上公布,并邀请公众对算法问责报告进行评论,时间不得少于30天。[27]其次,在事中阶段应注重对相对人知情权、陈述及申辩权的保障。一方面,应当保障相对人对算法自动化决策的知情权,并将其作为国家机关行为生效的必经程序,避免全自动行政行为直接对行政相对人发生效力。[28]然而,对于向信息主体告知的内容,《个保法(草案)》中仅作了粗略的规定。参考其他国家的相关规定,笔者认为,国家机关应当向相对人告知的内容包括收集的个人信息的来源、数据画像和算法自动化决策的引入逻辑、数据画像和算法自动化决策可能产生的后果与影响,等等。虽然公民的认知能力可能与算法决策具有的复杂性、专业性不相匹配,但这并不能成为国家机关拒绝解释算法决策的理由。这不仅是对公众知情权的回应,还能够对相对人的未来行为进行指引。另一方面,应当保障半自动化算法决策相对人陈述与申辩的权利。虽然完全自动化的行政决策无法及时保障相对人的陈述和申辩权,只能通过事后的救济予以补足,但对于半自动化的算法决策而言,则应当保证当事人的及时陈述和申辩权。最后,在事后阶段由于无法完全保证数据画像和算法自动化决策的准确性,一旦错误的结果作用于相对人,则会对其人身和财产利益产生损害。因此,国家机关应当为相对人提供救济途径,既包括对错误画像和自动化决策结果的纠偏,还应包括对错误算法方式的质疑和纠正。
在个人信息共享层面,应区分“对内”和“对外”两个向度,即面向国家机关内部的共享和面向公众的公开。强化“对外”共享的正当性和必要性包括两个方面。一方面,依据法秩序的统一性,应当通过法律形式明确可以向公众公开的个人信息类别,原则上禁止共享个人敏感信息。(6)在各地出台的政府数据公开的规定中,多以信息是否属于个人隐私作为是否应当公开的标准,《民法典》将个人信息划分为私密信息和非私密信息,《个保法(草案)》则将个人信息划分为个人敏感信息和非个人敏感信息。三种划分方式之间存在着重合之处,但并非完全一致,为保障法秩序的统一性,应对其进行统一规范。另一方面,应结合个人信息的形态以及造成他人重新识别的意图等因素,采用弹性的匿名化公开标准,以平衡个人信息保护的成本和质量,并对匿名化效果进行定期的追踪和修正。“对内”应以职权所需为限,在个人信息原有收集目的的合理范围内进行共享,对于合理范围的厘清,应当结合信息的收集目的和进一步处理之间的关系、信息处理的场景和个人信息的性质、进一步处理对信息主体的影响和保障措施的安全性等几个方面进行综合评估。同时,由于“对内”共享的范围限于国家机关内部,其再识别的风险较低,为减少成本的耗费,可适度放宽适用的匿名化标准。
在个人信息跨境流动层面,由于国家机关收集的个人信息在数量和质量上都优于信息业者,并且可能关涉国家利益和社会公共利益,所以,一般情况下,国家机关收集的个人信息都应在境内储存。确有必要跨境的,则应从数据出境的必要性、个人信息的重要性和敏感性、对公共利益造成的影响等方面实行严格的安全性评估,充分衡量信息输出的正当性和必要性。
笔者基于国家机关和信息业者对照的视角,剖析了国家机关处理个人信息的独有特性,提出“一头转向,两头强化”的理念框架,并基于此对国家机关处理个人信息的规则进行建构。但其中仍有很多问题有待进一步的研究,例如,不同类型的国家机关处理个人信息的规则是否存在差异?国家机关处理个人信息的类型化保护是否需要构建新的区分标准?这些都应当成为未来研究的方向。