电子政务领域个人信息的法律保护

武 乾，陈燕玲

中南财经政法大学法治发展与司法改革研究中心，湖北 武汉 430073

引言

在网络蓬勃发展的今天，基于互联网技术的推动，公民个人信息的收集、管理、存储和传递逐渐由以往的纸质化向电子数字化方向发展，互联网空间内的个人信息作为一种重要的社会资源被广泛开发和利用[1]。然而，在整个社会对信息的利用需求迅速提高的同时，个人信息安全隐患也越来越突出，非公共领域内出现的侵犯公民信息权利的案件频发，并成为社会大众和政府关注的重点。《民法典》《刑法》等法律都对侵犯公民个人信息权利的行为做出了规制，但是，随着互联网技术进入到传统公共行政领域，电子政府建设日益完善的同时，在电子政务领域内个人信息的法律保护问题却处于“跛足”状态。从行政法律的角度来看，政府作为公民衣、食、住、行的管理者，享有一定的信息权力，公民让渡的部分个人信息构成了政府进行电子政务管理的基础。但是在现实生活中，电子政务领域内政府信息权力与公民个人信息权利之间的博弈却呈现出不平衡的态势，且偏向于政府一方。这种权力与权利之间的失衡会使得公民的合法权益沦为政府权力膨胀的牺牲品，导致政府与社会公众之间产生新的信任危机。在我国在线政务服务用户规模已经高达6.94 亿的背景下，可以说电子政务领域内的个人信息保护迫在眉睫。本文将围绕法律属性来分析失衡状态的出现原因，并在借鉴国外有益经验的基础上，探讨如何从法制建设的角度来保护电子政务领域内的个人信息权利。

1 电子政务领域政府信息权力与公民信息权利之间呈现失衡状态

随着我国电子政务工程的不断推进，政府基于电子政务建立起了庞大的公民个人信息数据库。借助强势的行政权力，政府已经成为国家最大的信息处理主体。个人信息在充分体现人格自由与尊严的同时，也兼具商业价值和公共管理价值，因此，公民让渡部分个人信息权利以换取政府所提供的公共服务具有合法性与正当性。但是，这种公民权利与政府权力之间的平衡状态仅仅是立法者在进行制度设计时的美好愿景。Ryan M D 就指出，“在政务数据飞速增长和积累的今天，公民个人信息已经渗透到了政府公共服务的全过程，而在政府收集、处理、存储、传递这些政务数据的每个环节，都时刻面临着公民个人信息安全和隐私泄露的风险”[2]。可以说，这种预设的平衡状态往往由于政府信息权力的膨胀而被打破，政府部门侵犯公民个人信息权利的事件时常发生。通过对政府部门施政实际情况的梳理，可以发现，目前我国电子政务领域内发生的侵犯公民个人信息权利的行为主要体现在以下三个方面。

1.1 政府不当收集公民个人信息

政府作为国家的管理者，其进行社会管理的基础就是建立在对大量公民个人信息的控制下。凭借行政权力的强制属性，政府在信息与服务的交换中往往掌握着主动权，拥有强势一方的主体地位。特别是随着电子政务的逐渐成熟，在科学技术的支持下，政府可以更加轻易地获取和掌握公民的个人信息。但是，不当收集公民个人信息也成了政府个人信息处理行为中的问题。第一，不告知收集。有些政府部门在收集公民个人信息时并未及时告知公民，从而导致公民对政府的信息处理行为不知情，严重侵犯了公民的个人信息权利。正如胡忠惠说的，“政府作为提供社会福利的重要主体，依据这一身份成为公民个人信息数据的原始收集者。而在这种情况下，政府往往能够强迫公民提供自己的信息，并且不需要征得其本人同意，也不需要支付一定的报酬”[3]。尤其是在电子政务普及化的背景下，呈几何式增长的电子政务项目能够轻松地攫取公民的个人信息，而不论公民同意与否。第二，过度收集。对于哪些信息需要收集、哪些信息没有必要收集的问题，有关政府部门并不能准确把握，从而导致了对公民个人信息的过度收集。第三，重复收集。由于政府部门之间政务数据共享机制的不完善，使得对公民个人信息重复收集、多头收集的现象在实践中并不少见。总之，无论是不告知收集、过度收集还是重复收集，都是对公民信息决定权的一种侵犯，而后两者同时还会造成政府行政资源的浪费。

1.2 政府不当管理公民个人信息

政府拥有着由海量公民个人信息组成的庞大数据库，涉及人事、婚姻、户籍、犯罪记录等多个方面。作为个人信息数据库的管理者，政府部门同样承担着作为信息义务主体的责任，包括采取适当的保护措施保障公民个人信息安全、对错误的个人信息及时进行更正等。但是从实践层面来看，有的政府部门却在管理公民个人信息这一问题上存在诸多疏忽。一是因未采取合理的保护措施，导致公民个人信息泄露。如2019 年4 月至6 月，浙江省某市交警中队的辅警葛某某等人利用职务便利，从政府信息系统中盗取公民车辆档案信息几百条，并转卖给他人[4]。2021 年新冠肺炎疫情期间，四川省广元市剑阁县某镇一村民在政府信息系统中登记的身份证号、手机号等个人信息被村干部以及镇疫情防控办公室工作人员通过微信群转发泄露，对其本人生活造成了巨大的影响[5]。这两个案例反映出的均是对公民信息保密权的侵犯。二是对政府信息系统中错误的个人信息未按公民要求及时更正。在张某诉夹江县教育局政府信息公开一案中，原告张某在夹江县教育局信息系统中查询个人档案时发现有伪造内容，遂向政府申请信息公开，要求公开相关档案材料并进行更正。但是，该教育局以张某不符合相关规定为由拒绝公开，法院最终判决夹江县教育局败诉[6]。从这一案例中可以看到，政府数据库中的公民个人信息存在错误，而有关政府部门却不能及时进行更正，并以不符合规定为由拒绝向当事人公开相关档案材料，实际上严重侵犯了公民个人信息权利中的查询权和更正权。三是未经公民个人同意，擅自修改公民个人信息。在冯某诉乐山市人力资源和社会保障局修改社会保障个人信息违法及申请更正一案中，原告冯某在政府信息系统中的个人社保账户参保单位信息被市人社局和市社保局违法修改，从而导致不能真实再现其本人缴费历史记录、缴费信息的原始性及缴费历史的真实面貌[7]。通过上述案件可以看到，由于政府对个人信息保护工作重要性的认识不到位，使得政府不当管理公民个人信息的行为在实践中并不少见。

1.3 政务公开泄露公民个人信息

随着《政府信息公开条例》的颁布，政务信息公开的广度和深度都在一定程度上有所提升。一方面政务公开有利于实现对公民知情权的保障，加强社会公众对政府工作的监督。另一方面，政务数据的不当公开则存在泄露公民个人信息、侵犯个人隐私的可能性。近些年来，政府在公开电子政务数据时侵犯公民信息权利的事件频繁发生。2017 年，江西景德镇、宜春两地政府由于在政府网站上公开了包含居民身份证号在内的个人信息而受到社会公众的质疑。在群众的强烈反映下，两地政府及时采取补救措施，将70 多条涉及个人隐私的公民信息删除。2019 年，湖南省新宁县政府官网公示的《城镇住房保障事务配租审核对象名单》中将相关人员的姓名、身份证号码等个人信息完整地公示出来，而未采取任何隐私保护方式。此外，该官网公布的《危房改造资金发放公示表》中也完整地显示了危改户的户主姓名、危改对象姓名、身份证号码以及“两折两卡”号码等个人信息，总计373 条危改户信息[8]。可以说，政务公开领域是目前电子政务领域个人信息权利受到侵犯的重灾区，而哪些信息需要公开、哪些信息能够公开、信息公开时是否需要进行模糊处理等都是有关政府部门需要慎重考虑的问题[9]。但是在现实工作中，一些地方政府对公民个人信息权利的保护意识不强，经常将政府信息公开工作当作侵犯公民个人信息权利的挡箭牌。

综上，在电子政务体系不断完善和成熟的今天，我国一些地方政府在电子政务领域内的个人信息保护工作却不尽人意。“政府在收集、使用、管理、公开公民个人信息时往往与行政相对人处于信息不对称的状态。行政相对人一般难以拒绝和排斥行政主体实施的行政行为，因此也难以知悉其个人信息被收集、使用的具体情况”[10]，由此导致了对公民信息决定权、信息保密权、信息查询权、信息更正权等个人信息权利的严重损害。但是，公共行政领域似乎成为了侵犯个人信息权利的免责区，从而使得公民信息权利与政府信息权力之间的博弈呈现出失衡状态，并且在互联网技术的支持下，这种不平衡态势被进一步加剧。

2 电子政务领域政府信息权力与公民信息权利之间出现失衡的原因

法规、政策是政府重要的治理工具之一，它能够直接或间接地体现出政府的治理思想与治理模式。因此，对当前我国电子政务领域内有关法规政策以及相关互联网个人信息保护法律制度进行梳理，是了解和评价政府在电子政务领域内的个人信息保护行为的重要切入点。本文拟从横向和纵向两个维度来分析当前我国电子政务领域的立法现状以及互联网领域内有关个人信息保护的法律制定情况，进而揭示当前电子政务领域内政府信息权力与公民信息权利之间出现失衡状态的原因。

2.1 横向维度：电子政务领域关于个人信息保护的法规政策

我国电子政务建设相较于国外来看起步较晚，发展较慢，有关法律法规的制定也相对滞后。以“电子政务”和“在线政务”为关键词在“北大法宝”上进行搜索发现，目前有效的法律主要包括《国务院办公厅关于电子政务协调发展的指导意见》等8部行政法规以及《电子政务电子认证服务业务规则规范》《电子政务工程技术指南》等39 部部门规章，内容主要集中在电子行政、信息公开、信息服务、信息系统及基础服务建设等方面。

通过梳理2015 年至2021 年期间我国电子政务领域内的主要政策法规发现，目前我国电子政务领域内的主要法规政策具有以下几个特点：其一是法规政策的效力层级低，除《电子签名法》《政府信息公开条例》以及《国务院关于在线政务服务的若干规定》外，其他多为国务院部门出台的工作文件；其二是法规政策分布零散，缺乏专门的电子政务法进行统一调整；其三是法规政策的主要内容大多集中于电子政务工程的具体建设，对于电子政务领域个人信息保护问题仅有少部分内容提及。如《“互联网+政务服务”技术体系建设指南》以政策文件的形式明确了“必须加强电子政务平台中各类公共信息、个人隐私等重要数据的安全防护”。《关于加快推进全国一体化在线政务服务平台建设的指导意见》作为国务院规范文件，指出了“必须加强对电子政务工作中所涉及的国家利益、公共安全、商业秘密、个人隐私等重要信息的保护和管理”。《国务院关于在线政务服务的若干规定》的第14 条和《政府信息公开条例》的第15 条则以行政法规的形式，明确了对政务服务机构及其工作人员侵犯公民个人信息和隐私权利的行为的法律责任以及政务信息公开工作中的个人信息保护义务。但是，这些法规政策仍然具有较大的局限性：一是并没有形成完整全面的法律规范体系；二是仅停留在原则性规定上，缺乏具体性和可操作性。总之，从立法者的制度设计理念来看，其更加关注电子政务工程建设等具体实务操作问题，而对电子政务中的权利保障问题不够重视。

2.2 纵向维度：互联网领域关于个人信息保护的法规政策

通过对目前互联网领域中有关个人信息保护的法规政策进行整理，可以看到，随着电子政务的推进，政府逐渐成为互联网个人信息保护工作的重要参与主体和责任主体。具体而言，我国对互联网领域内政府个人信息处理行为的立法规制主要经历了三个阶段。

第一阶段，未将政府纳入互联网个人信息保护法律的规制主体，仅在特殊领域进行有限调整。2013 年实施的《信息安全技术公共及商用服务信息系统个人信息保护指南》确立了互联网信息系统中个人信息保护的国家标准，但是在适用对象上，该指南没有将政府等行使公共管理职责的机构纳入规制的范围。同年颁布的《电信和互联网用户个人信息保护规定》尽管也对个人信息安全的保护措施做出了具体规定，但这些规定的规制对象也仅限于电信业务经营者和互联网信息服务提供者。从公布的这两部部门规范性文件规定的具体内容来看，在该阶段，网络技术的发展使得互联网个人信息安全问题开始被社会所关注，但是这些法规政策的效力层级较低，且在适用的对象上具有明显的局限性，国家机关等履行公共管理职能的组织的个人信息处理行为仅仅受到《身份证法》等特殊领域法规政策的限制。

第二阶段，将政府纳入互联网个人信息保护法律的规制主体范围。2016 年颁布的《中华人民共和国网络安全法》以法律的形式对网络信息安全问题做出了回应，在网络信息安全一章中详细地规定了通过网络收集、处理、存储个人信息的具体要求，明确了合法、正当、必要原则。相比于之前的法规政策，该法为保护网络空间内的个人信息安全提供了重要的制度支撑，不仅在效力层级上有了显著的提升，并且适用于在我国境内建设、运营、使用网络的所有主体。随后，2019 年、2020 年颁布的《互联网个人信息安全保护指南》和《信息安全技术个人信息安全规范》则对互联网个人信息保护问题作了进一步的补充和细化，并且在适用主体上不再区分。可以看出，在这个阶段，我国加强了对网络中个人信息安全的保护力度，不仅规制传统的互联网主体，而且将所有通过互联网获取、管理、使用个人信息的主体都纳入到了法律调整的范围。因此，在数据治理背景下的电子政府也成为重要的规制对象。当然，在统一调整的模式下，电子商务等重点互联网领域内的个人信息处理行为同时也受到《电子商务法》等特殊法律的规制。相比之下，在电子政府建设方面，却没有针对性的涉及电子政务领域个人信息保护的专门法律规制，而只是接受相关互联网法律的统一调整。

第三阶段，试图将国家机关与其他主体进行区分调整。随着社会对个人信息保护问题的愈加重视，个人信息保护立法呼声高涨。2020 年10 月21日，《个人信息保护法（草案）》公布。该草案共8 章70 条，体例编排上包括总则、个人信息保护的一般规则、信息主体的权利、信息处理者的义务、履行保护职责的部门以及法律责任，其中第2 章第3 节主要是关于国家机关处理个人信息的特殊规定。可以看到，当前立法者已经注意到国家机关个人信息处理行为的特殊性，试图将国家机关与其他一般主体进行区别调整。2021 年8 月20 日，十三届全国人大常委会第三十次会议通过了《中华人民共和国个人信息保护法》。目前，我国仅在《中华人民共和国个人信息保护法》等法律中将国家机关作为特殊主体列出，还没有针对电子政府工作中个人信息保护的专门立法规制。

2.3 横向维度与纵向维度的交叉分析

从横向维度分析我国电子政务领域的立法现状，可以注意到，当前电子政务领域缺乏对个人信息保护的相关立法规制，散见于各个法规政策中有关电子政务个人信息保护的规定未形成完整的法律规制框架。在电子政务飞速发展的时代，这可以被认为是以电子政务为核心的法律规范体系的重要缺漏。从纵向维度梳理我国互联网个人信息保护的法规政策，可以看到，目前我国有关互联网领域个人信息保护的立法模式，没有完全清晰地对公共行政领域与商业领域进行区分，其中有关电子政务领域的个人信息保护基本上由相关互联网法律进行统一调整。通过对两个维度进行交叉分析，发现其重合之处所反映出来的问题就是：我国电子政务领域内有关个人信息的专门法律保护仍处于“半空白”状态。这或许就是当前政府信息权力与公民信息权利之间呈现出失衡状态的重要原因。

目前，理论界的大多数学者认为，在我国电子政务不断深入推进的同时，政府忽视了对电子政务领域个人信息的法律保护问题。如刘红指出，我国现有数据保护相关法律法规针对性不明显，同时又缺乏足够的约束力；电子政务等特定环境下的数据保护立法缺位，亟待健全[11]。巩雨则认为，“电子政务领域个人信息立法严重缺乏，制定主体混乱，法律层级较低”[12]，是当前电子政务中公民个人信息权利受到侵犯的重要因素之一。赵晟也指出，“当前实践领域内一些行政机关行使行政权时已经存在侵害公民个人信息的现象，但是由于有关法律的欠缺，使得相关收集个人信息的行为缺少必要的合规判断”[13]。笔者认为，由于政府的特殊性质，行政主体在收集、管理、使用个人信息时往往具有与其他社会主体不同的特点，带有一定的行政属性。这就导致电子政务时代政府信息权力不断膨胀，挤压了公民个人信息权利的活动空间，因此，现行的个人信息保护立法模式是有待完善的。在笔者看来，应当在区分公共领域与私人领域的认知下，构建针对电子政务领域内个人信息的专门法律保护制度，以实现对电子政府个人信息处理行为的针对性、规范性调整。

一方面，对电子政务领域内的个人信息保护进行专门的法律规制具有重要的理论意义。首先，纵观目前我国电子政务领域的立法情况，并没有统一、明确的有关个人信息保护的法规政策，出台专门针对电子政务领域内公民个人信息保护的法律法规，能够弥补现行电子政务立法的缺漏，进一步完善电子政务相关法律法规体系。其次，“有限政府理论”指出，“个人主权是政府主权行为的基础，也是政府主权行为的终极目的。因此，为了保护个人自由，必须限制政府权力”[14]。在当前政府管理视角下，电子政务领域内的个人信息立法不仅能够规范行政主体收集、处理、使用个人信息的行为，同时也是对“将权力关进制度的笼子”的有效呼应，可以有效避免行政权力滥用。再者，随着电子政务逐渐代替纸质化政务，在区分传统行政领域与电子政务领域、公共领域与私人领域两对概念的基础上，专门立法规制将为电子政务领域内的个人信息保护提供更具专业性和规范性的指导。

另一方面，建立电子政务领域内专门个人信息保护法律制度具有重要的实践意义。在电子政务个人信息安全漏洞频出的今天，更加需要为电子政务领域内的个人信息安全加上一把法律的“锁”，通过专门的立法来进一步规范和约束政府的信息处理行为。可以说，建立起保护电子政务领域公民个人信息安全的法律底线，对防止实践中政府侵权行为发生、恢复政府与公民之间在信息权力与权利之间的平衡状态具有十分重要的意义。

3 电子政务领域个人信息法律保护的域外经验

综上所述，无论是从实践层面还是理论层面来看，建立起专门的电子政务领域个人信息法律保护制度都是十分必要的。但是，必要性仅仅是对电子政务领域进行单独立法规制的前提，只有在实践和制度产生张力的情况下，才需要进一步讨论制度的完善方式与路径。因此，可行性是未来立法者在对制度进行设计和完善时需要充分考虑的另一重要因素。通过对国外电子政务领域个人信息保护法律制度的梳理，可以为我国电子政务领域内的个人信息保护工作提供制度借鉴。

3.1 制定专门的电子政务法案

作为首个提出“隐私权”概念的国家，美国在个人信息保护方面取得了许多成就。美国的电子政务起源于20 世纪90 年代，经过20 多年的发展，美国的电子政务体系已经十分成熟，其围绕电子政务建立起来的隐私保护机制也成了许多国家学习和借鉴的模板。为了保护电子政务这一公共行政领域内的公民个人信息权利，2002 年，美国通过了《电子政务法》。该法案的第二篇详细地规定了美国在电子政务领域的隐私保护政策，其中第108 条规定，各政府机构在通过网络收集有关个人数据之前必须开展隐私风险评估工作，包括收集什么信息、信息安全保护措施、信息的预期用途，等等。除此之外，《电子政务法》还要求政府机构的网站必须刊登有关个人信息安全保护的政策声明。其后发布的《＜电子政务法案＞隐私条款执行指导规则》，则进一步细化了《电子政务法》中有关个人信息保护的规定。

2001 年，韩国出台了《为构建电子政府而促进行政业务电子化的相关法律》，目的在于促进电子政府工程的建设，推进电子政务工作规范化。该法对与电子政务工作相关的事宜做出了详细的规定，其中第二篇确立了行政机关在收集、使用和管理所获取的个人信息时，不得违背当事人意愿而随意使用的原则。除此之外，该法还特别就政府信息共享时的公民信息权利保护做出了规定，不仅根据公共机关个人信息保护法律的要求限制了共享信息的范围，而且规定政府机关在可以向其他机关获取信息时不得再向公民重复收集信息[15]。

除了美国、韩国外，芬兰、意大利、保加利亚等国家也制定了专门的电子政务法，在法案中都或多或少地提及了隐私或个人信息保护政策，以规范行政机关在电子政务工作中的个人信息处理行为。

3.2 公共领域与非公共领域区分立法

美国的《隐私法案》在保护公共行政领域内的个人信息权利中发挥了十分重要的作用。该法案仅将政府等公权力机关作为主要的规制对象，对政府收集公民信息的范围、处理信息的具体规则以及信息主体的权利等都做出了较为详细的规定，并将私人主体排除在规制主体范围之外。作为《隐私法案》增补法律的《计算机匹配与隐私保护法》，也仅仅针对政府机关，要求政府部门在使用计算机记录公民个人信息时必须遵循严格的程序，以保护公民的个人信息权利。可以看到美国最初在保护在公民隐私与个人信息权利问题上，重要关注点在于公共行政领域。后来，随着互联网经济的发展，非公共主体越来越多地实施公民信息的收集、处理和使用行为，而由于缺乏相关制度的规范，导致在非公共领域内个人信息安全屡屡受到侵犯，于是美国又出台了《电子隐私权法》。该法主要用于保护电子商业领域消费者的个人信息权利，大部分非营利机构的个人信息处理行为则不受该法调整。由此可以看到，美国在个人信息保护方面，倾向于将公共领域与非公共领域区分开来进行调整[16]。

德国的个人信息保护立法一直走在世界的前列。尽管德国当前没有出台专门的电子政府法，但是，其颁布的《联邦数据保护法》在保护电子政务领域内的个人信息安全方面发挥了十分重要的作用。目前生效的《联邦数据保护法》是德国于2003 年应欧盟要求在1977 年和1990 年版本基础上修订的，该法总共分为6 章，第一章总则部分明确了该法适用的主体范围包括联邦公共机构、各州公共机构、非公共主体。第二章专门规定了公共机构的数据处理规则，包括数据处理的法律依据、数据当事人的权利、联邦数据保护和信息自由专员三节。第三章则规定了非公共机构和公法上竞争企业对数据的处理规则。最后三章分别是特殊规定、法律责任以及过渡条款[17]。从《联邦数据保护法》的体例安排上可以看出，其采用的是公私分立的立法模式，针对公共主体和非公共主体的差异，将二者分别规定在不同的章节，并在有关个人信息处理活动的具体规定上又有所不同。可以看到，尽管德国不同于美国出台不同领域的隐私保护法，而是将公共领域的个人信息保护和非公共领域的个人信息保护规定在同一法案的不同章节中，但两个国家都关注到了公共领域和非公共领域在个人信息保护方面存在的差异，因此进行区分立法。

3.3 建立隐私风险评估机制

美国的隐私风险评估机制由“初步隐私评估”和“隐私影响评估（以下简称PIA）”两部分构成。其中，“初步隐私评估”主要在政府启动或更新政务项目时使用，其要求有关政府部门对该项目是否需要收集或使用公民个人信息、是否需要采取一定的行动以保障公民的个人信息权利，以及在此基础上是否需要进行第二阶段的隐私影响评估进行描述和评价。“隐私影响评估”是根据《电子政务法》的规定，在“初步隐私评估”的基础上建立的一套隐私影响评估机制。美国的《隐私影响评估指南》指出“PIA是一种评估政务信息系统中所涉及隐私的实用工具，它能够保障隐私问题得到充分的识别和有效解决”[18]。根据评估指南的规定，政府机构应当在以下两种情况下进行隐私风险评估：一是针对10 人及以上的人进行电子信息收集时；二是信息系统发生变化可能导致出现新的隐私风险时。而隐私风险评估的具体内容则包括个人信息的性质、来源、数据收集的合法性、信息安全保护措施、收集信息的用途等。

在英国，隐私风险评估又被称作为“数据保护影响评估”。根据英国2007 年发布的《隐私风险评估手册》的要求，英国政府应当在收集公民个人信息数据的初期就进行隐私风险评估。一旦经政府机构认定需要对政务项目进行隐私风险评估，有关部门就需要提交有关个人数据处理行为的报告。相关政府机构将对数据收集的必要性进行评估，并寻找降低隐私侵犯风险的方案。最后制作的数据风险评估报告还需要提交审批。一旦涉及公民重大隐私利益，该隐私风险评估报告还将提交信息专员办公室进行咨询[19]。

除了美国、英国外，加拿大也在2010 年通过了《隐私影响评估指令》，建立起了自己的隐私影响评估制度。根据《隐私影响评估指令》的要求，隐私影响评估的重点在于保证政府机关在《隐私法》规定的框架内开展个人信息的收集和处理活动。该法令强调比例原则，即必须保证隐私评估的手段、方法与政府活动中的隐私风险相匹配。在该评估指令设计的评估流程中，政府部门在开展可能侵犯公民个人信息权利的工作时，应当判断是否需要进行隐私风险评估。在进入隐私风险评估流程后，必须依照指令的要求完成评估，并提交评估报告。该评估报告在经过有关机构审批同意后，还需要再提交到财政委员秘书处与隐私专员办公室[20]。

3.4 构建以专门机构为核心的监督管理体系

美国政府根据《电子政务法》的要求，在管理与预算办公室下设立了“电子政务办公室”和“信息与规制事务办公室”。其中电子政务办公室负责政府各部门与电子政务有关的工作，信息与规制办公室负责监督各机关对隐私政策的执行情况。除此之外，法案还要求在政府机关内部设置高级隐私官员，负责执行联邦信息政策，审查行政机关信息处理行为的合规性以及监督本行政机关在电子政务中的个人信息保护工作。2015 年，美国政府又成立了联邦隐私委员会。该委员会由管理与预算办公室的副主任以及各机关高级隐私官员等人组成，主要职责在于制定联邦隐私保护政策，并对其落实情况进行监督。

1984 年，英国成立了信息专员办公室，主要职责是划定国家个人信息保护等级。《数据保护法》颁布后，信息专员办公室逐渐发展为公民个人信息权利保护机构，其职责不再仅仅局限于确定个人信息保护等级，而是延伸到监督信息数据保护法律的实施情况、审查隐私风险评估报告等方面。随着政府数据开放工作的深入，2010 年，英国政府又设置了公共部门透明委员会。该委员会隶属于首相办公室，由跨部门的数据和信息分析专家组成，主要职责是为政府数据开放和公民信息保护提供审议意见，并负责监督政府的信息公开工作[21]。

日本于2003 年出台了《个人信息保护法》。在该法案的要求下，日本政府依据《内阁设置法》的相关规定设立了个人信息保护委员会，任务就是确保个人信息得到正当的处理和使用。《个人信息保护法》还对个人信息保护委员会的具体职权做出了规定，其中包括制定和实施有关个人信息保护的基本方针政策、对个人信息处理活动进行监督、对特定的个人信息处理活动进行评价等。

4 构建保护电子政务领域个人信息法律制度的几点建议

政府成立目的、个人自然权利属性以及有限理性原则三要素要求对政府权力加以限制，以达到保障个人权利的目的。这构成了近代政府的重要权力观念[22]，然而，在电子政务普及化背景下，电子行政领域内的个人信息权利却无法得到充分的保障。电子政务领域个人信息保护出现的法律“半空白”状态，使得政府信息权力与公民信息权利的天平偏向了政府一方。通过对实践和制度的梳理分析可以发现，要切实解决实践中出现的政府侵权行为，扭转当前的失衡状态，必须构建起保护电子政务领域个人信息的专门法律制度。笔者在结合我国实际国情和国外有效经验的基础上，提出了以下几点设想，可以将其简单概括为三个“一个”，即：一个体系框架，一个管理机构，一个机制保障。从三个“一个”出发，对电子政务领域个人信息保护法律制度的框架进行了初步的设计，以发挥源头的规范引导作用、明确机构的管理监督职能、实现机制的评估指导功能。

4.1 制定电子政务个人信息保护法，以规范和指导政府信息处理行为

通过对有关国家电子政务领域个人信息保护立法情况的梳理可以看到，在法律层面，这些国家或是制定了专门的电子政务法来规制电子政务领域内的个人信息处理行为，或是制定了调整公共行政领域的个人信息保护相关法，抑或是在统一的个人信息保护法中对公共领域内的个人信息保护做出单独规定。就如何从立法层面来解决当前电子政务领域内的个人信息保护难题，国内有的学者从统一立法的角度，提出必须加快推进《个人信息保护法》的立法进程，以实现对电子政务领域内的公民信息保护（《中华人民共和国个人信息保护法》已于2021年8 月20 日由全国人民代表大会常务委员会通过并于8 月21 日颁布。——编者注）。例如，詹雅伦指出，应当在《个人信息保护法》中明确“行政机关作为信息利用者和监督者的权力和责任，以及进行个人信息处理活动的具体规则和惩戒机制”[23]。当然也有部分学者指出，电子政务领域需要进行单独的立法规制。例如，杨邵亮等人指出，由于不同领域的个人信息安全问题不同，个人信息所面临的风险、应当采取的保护方式以及保护的程度等都有其不同之处，因此，针对电子政务领域，有必要出台《电子政务领域个人信息保护法案》，并从政务数据的界定、政府具体权力行使以及监管机制等方面提出了他的设想[24]。又如，于洁等人通过梳理我国电子政务立法中有关个人信息保护的相关规定，指出当前电子政务领域内的个人信息保护规定零散地分布于《政府信息公开条例》《网络安全法》等法律中，并没有专门的法规政策对其进行具体、详细地指导和规范。因此，她建议“出台专门针对电子政务领域个人信息保护的行政法规”，并围绕电子政务敏感信息管理制度、信息安全监管制度、个人信息处理工作说明书等制度设计展开了讨论[25]。

综合国外立法模式和国内学者的观点，笔者认为，尽快出台一部专门针对电子政务领域个人信息保护的行政法规是当前最适合我国国情的选择。首先，从我国的立法现状可以看出，我国对行政主体在处理公民个人信息问题上的法律责任不够重视，在电子行政领域缺乏专门约束和规范行政主体信息处理行为的行政法规。其次，电子政务法涉及众多要素，涵盖电子政务组织法、电子政务信息法、电子政务技术法、电子行政行为法等多个方面[26]，综合制定时间、立法资源等因素来考虑，尽快制定一部统一的电子政务法不仅立法成本高，而且难以短时间内实现。而电子政务个人信息保护法仅仅是针对电子政务领域内的政府信息处理行为进行规范，不仅能够在一定程度上节约立法成本，而且也能够为将来我国出台统一的电子政务法奠定基础。再次，从我国《个人信息保护法》的体例安排上可以看出，立法者已经开始试图将公共行政领域与私人领域的个人信息进行区别保护，而电子政务个人信息保护法正是对《个人信息保护法》在电子行政领域内的补充和细化。最后，随着电子政务工程建设的不断推进，电子政务将逐渐替代传统的纸质化政务。相较于传统的公共行政领域，电子政务领域内的个人信息权利更加容易被侵犯，且传统行政领域内的个人信息保护基本能够依靠传统的个人信息保护相关法以及《个人信息保护法》所解决。因此，针对电子政务领域，有必要出台一部专门的电子政务个人信息保护法。在电子政务个人信息保护法的制定上，可以借鉴美国《隐私法案》的规定，就电子政务领域内的信息处理主体、信息处理行为、信息处理主体的权利、信息处理主体的义务、法律责任以及有关监管机构等做出详细的规定。其中，第一章作为总则部分，内容主要包括适用对象、基本原则、信息主体的权利、行政主体的义务及其他概括性的规定；第二章为行政主体处理公民个人信息行为的一般规定，涵盖收集、使用、管理、共享等一系列过程的具体要求；第三章主要规定政府信息保护机构的法律地位和职责功能；第四章为政府信息处理行为的特殊规定；第五章为相关主体的法律责任规定。

4.2 设立政府信息保护机构，以管理和监督政府信息处理行为

美国作为电子政务最发达的国家之一，早已经通过设立专门的政府信息保护机构来负责电子政务的各项事宜，其中包括电子政务领域内的个人信息保护工作。除此之外，英国也成立了信息专员办公室负责监督政府的公民个人信息处理行为。目前在我国，无论是从《立法法》，还是从相关的行政法律规章来看，政府内部并未设置专门的信息保护机构来具体管理和指导行政主体的信息处理行为。从电子政务工程建设到政府信息数据库的建立，一直是依靠行政权力来推动，但是却忽视了对行政权力的监督与约束。实践中，往往是通过社会监督和公民个人监督的方式来发现行政主体侵犯公民信息权利的行为。从消极意义上看，作为社会管理者的政府，在缺乏有效内部监督和约束机制的情况下，其控制的信息权力将被无限放大。政府信息权力的滥用将对公民个人信息权利造成严重的侵犯，导致社会信任危机的出现。从积极意义来看，政府信息保护机构作为政府信息处理行为的监督者和指导者，不仅能够统筹整个政府信息处理行为，而且能够为政府收集、处理、使用、存储公民个人信息提供专业性的指导和服务。除此之外，在公民的个人信息权利受到行政行为侵犯时，政府内部的信息保护机构也能够为受到侵犯的公民提供有效的行政救济。

在政府信息保护机构的设置上，笔者认为，首先应当设立中央一级的个人信息保护办公室，负责统筹全国的个人信息保护工作，并可赋予该机构制定专门政务数据保护政策的立法权。中央一级的个人信息保护办公室的具体职责还应包括：监督地方政府有关个人信息保护法律和政策的落实情况，为地方政府个人信息保护工作提供行政指导，进行个人信息保护工作经验的国际交流等。其次，省、市、县一级的地方政府也应该在政府内部设立专门的个人信息保护办公室，负责具体执行有关个人信息保护的法规政策，监督和指导本行政区域内的政府信息处理行为。最后，作为国家运转机器的行政机关凭借其强势的行政权力掌握着各式各样的公民个人信息，为保障政府个人信息保护机构监督和管理权力的有效实现，应当在一定程度上保证其地位和权力的独立性。也就是说，负责监督各类行政主体信息处理行为的政府个人信息保护机构应当拥有独立于其他政府机构的权力地位，每一级个人信息保护办公室原则上只接受上级主管部门的垂直领导和指挥。

4.3 建立政务数据隐私风险评估机制，以评价和引导政府信息处理行为

随着我国电子政务体系发展的逐渐成熟和完善，电子政务领域内的个人信息权利乃至个人隐私受到侵犯的风险指数也逐渐升高，因此，政务数据隐私风险评估机制的建立不容忽视。一方面，政务数据隐私风险评估机制能够帮助识别政务工作中潜在的个人信息安全风险乃至隐私风险，从而为政府部门开展相关行政活动提供行为参考。可以说，作为一种风险控制方式，该机制的引入能够在一定程度上预防电子政务工作中可能发生的侵犯公民个人信息权利的行为，并为个人信息侵权行为提供合理的解决方案。另一方面，建立一套政务数据隐私风险评估机制，也是对我国电子政务工程在个人信息保护工作方面的完善和补充，有助于进一步推动我国电子政务工程的建设，提高电子政务的服务质量。

建立政务数据隐私风险评估机制的第一步，就是通过制定评估指南，将评估对象、评估内容、评估范围以及评估标准等事项进行量化、具体化。关于评估对象和内容，由于我国法律目前没有完全将个人信息与个人隐私区分开来，且公共行政领域内的个人信息兼具公共属性和私人属性，因此，在评估指南中，应当结合政府机关行使行政管理权的需要以及隐私风险化程度对公民个人信息进行等级划分，包括一般个人信息、敏感个人信息等。其中，对于风险程度等级较低的一般个人信息可以不进行风险评估或只进行简单、初级的风险评估：而对于敏感个人信息等涉及风险程度较高的公民个人信息，则需要根据实际工作情况和风险等级的不同进行不同级别的风险评估。对于政务数据隐私风险的评估工作，则由上文提到的个人信息保护办公室具体执行。风险因素越高、涉及面越广的政务项目，应当交由更高级别的个人信息保护机构来负责评估。在政务数据风险评估流程的设计上，笔者认为，具体步骤大致可以包括以下几个方面。首先，信息处理主体根据评估指南确认是否需要进行风险评估。其次，一般情况下，由本级地方政府的个人信息保护办公室根据预估风险级别和活动涉及范围开展隐私风险评估工作。评估的主要内容包括信息来源和内容、信息收集是否符合个人信息保护的基本原则、信息的预期用途等等。对于本级个人信息保护办公室无法处理的、风险程度较高的、涉众广的政务项目，应当提交上级政府个人信息保护办公室进行评估。再次，由政府个人信息保护办公室制作政务数据隐私风险评估报告，对政务项目中可能发生的侵犯公民个人信息权利乃至隐私的风险进行描述和评价，并提供指导和解决方案。最后，信息处理主体依据风险评估报告的反馈进行政务项目的审批和处理。

5 结语

当前，我国电子政务工程建设使得行政管理手段迅速向数字化、电子化方向发展。在电子政务蓬勃发展的今天，以技术为支撑、以行政权力为保障的政务数据库构成了政府进行社会治理、提供公共服务的重要资源。政府部门控制着一定的信息权力，行政权力不当行使，就会造成对公民个人信息权利的侵害。本文通过总结当前电子政务领域内政府侵害公民个人信息权利的主要表现形式，认为实践中政府信息权力与公民信息权利之间正呈现出一种失衡状态。究其法律方面的原因，主要就是电子政务领域立法侧重于平台建设、信息服务、政务公开等具体行政事务，忽视了电子政务领域内的个人信息权利保护，而互联网领域个人信息保护的法律法规仅将电子政务领域纳入统一调整的范围，对此缺乏具有针对性、约束性的规范和保护。另外，通过交叉分析发现，这种失衡状态出现的重要原因更在于缺乏针对电子政务领域个人信息保护的专门法律制度。在借鉴域外电子政务领域个人信息保护经验的基础上，笔者从立法规范、管理机构以及评估机制三个方面出发，提出了关于构建保护电子政务领域个人信息的专门法律制度的几点建议，目的在于通过构建专门的法律制度体系以实现对电子政务领域内个人信息权利的保护，促进政府信息权力与公民个人信息权利之间的良性互补和动态平衡，实现电子政府个人信息处理行为规范化、合法化，反推电子政务工作质量和水平的提升，进一步完善我国电子政务工程建设，推动我国政府向现代化政府转型升级。