政府信息公开中个人信息保护的法律保障

山东师范大学 单一杰，张靖，郭玉晓，杜伊冉，龙利知

大数据时代，信息泄露可能性大流转速度快、信息发酵方向可控性低，政府为了实现国家管理的需要，在获得相匹配的权力后收集并掌握大量的信息资源，尤其是个人信息。政府如向第三方公开包含隐私的个人信息，极易侵害公民的信息权，从而降低公众对政府的信赖度。目前我国政府信息公开制度探索取得了一定的成效，却鲜少关注信息公开流程中存在的对个人信息权益造成侵害的可能性。对政府信息公开中个人信息保护的研究既有利于使政府使用的公权力和公民享有的私权力达到平衡，又体现了我国法律与政府对公民人格权的尊重与保护。

一、概述

（一）政府信息公开中个人信息的学理界定

我国出台了保护自然人个人信息的条例，但对个人信息界定与保护的制度尚不完善，学术界对于个人信息的概念理解也较为宽泛，其具体分类尚没有统一的定论。目前学者所认可的主流观点主要分为可识别性说关联性说以及广义说。可识别性学说认为每个人拥有不同的属性和特征，因此具有特定属性的、能够直接或者间接定位到特定个人的、单独识别个人的信息即为个人信息[1]，如邮政编码、通信地址等。关联性学说认为无论是能够反映个人不同属性与特征的信息还是与个人隐私等相关联的、能够与个体产生关联的信息均属于个人信息[2]，如出生日期等。广义说认为只要是个人在生活以及工作中产生的信息，均属于个人信息，因此，通过查阅与归纳各个学者的观点，可以看出在个人信息界定的过程中对于个人信息与隐私信息、基本信息与敏感信息的划分问题亟待解决。

（二）法律文件中的保护范围

2021年最新出台的《中华人民共和国个人信息保护法》中含有相关个人信息界定的法条①，同时排除了匿名化处理后的信息。《民法典》在个人信息的界定中明确使用了“识别”一词，同时采用信息分类的方式，对私密信息进行了特别保护。《网络安全法》亦使用可识别性定义对个人信息进行了界定。据此，我国法律对政府信息公开中涉及的个人信息的界定倾向于可识别性学说。

《条例》中规定行政机关不得公开涉及个人隐私的信息，但对于个人隐私的范围没有明确的界定。基于大数据时代的特点，在政府信息公开对于个人信息的界定上具有模糊性与复杂性，导致在司法实践中因对于信息公开范围把握不准而造成诸多问题，影响个人隐私的保护与法治效果的发挥。比如，对个人基本信息和隐私信息进行无差别公开、对个人信息的分类不当、公开内容具体范围缺失、权限主体范围不明等情况。

二、政府信息公开中个人信息保护的法律规制模式

（一）我国当前法律规制模式

我国宪法第38条规定，“中华人民共和国公民的人格尊严不受侵犯”，其中的人格尊严即确定了对名誉、肖像、姓名、隐私等人格权的保护，建立了由宪法所奠基的个人信息保护体系。1982年出台的《民事诉讼法》首次使用了“隐私”这一概念，其中就含有个人隐私信息这一重要对象。2005年《妇女权益保障法》修改时，界分并列举了一系列与隐私权有关的人格权。《民法典》人格权编明确了隐私权与个人信息保护，我们可以明确得知，自然人的个人信息受《民法典》保护，收集个人信息应当符合合法、正当、必要等原则，隐私应当予以保密，自然人有权要求信息处理者立即删除违反规定处理的个人信息。关于个人信息保护规则的具体适用，《民法典》在一定程度上区分了个人信息保护和个人隐私保护。个人私密信息属于隐私的范畴，隐私信息归属于个人信息中的一部分，其保护程度一般要高于对普通个人信息的保护，为处罚相应违法行为奠定了基础。

《政府信息公开条例》（以下简称《条例》）完成了对政府公权力信息公开更加明确具体的规范。《条例》首先将不涉及公共利益的个人隐私信息排除在外，又把第三人同意作为公开的例外。《条例》倾向于对个人信息的保护而非信息的公开，尊重个人信息权的保护，同时也对公民知情权作了一定程度的限制。在公众知情权、个人隐私权在政府信息公开中的矛盾问题上，《条例》采用了“行政机关认为不公开会对公共利益造成重大影响”这一表述，模糊了《条例》在具体问题上的适用，因为“重大影响”在实践中有很大的主观裁量空间，容易导致不当的解释，从而侵犯公民的信息权。

《个人信息保护法》的出台体现了我国个人信息保护体系趋向成熟，顺应了全球数字化趋势下数字经济发展的需求。《个人信息保护法》承接宪法精神，系统性规范了个人信息的保护与利用，明确公私主体的义务与责任，提高了个人信息权的法律地位，赋予个人信息删除权、查询权、解释权、更正权等并且抽象出个人对信息处理的知情权与决定权，限制或拒绝他人对自己信息的使用④。但我国《个人信息保护法》虽明确了个人在信息处理全过程享有的诸多权利，却没有配套的责任落实条款，即便政府侵犯了个人权益，但如个人无法举证，证明其因果关系，政府往往无须承担法律责任。

（二）其他法律规制模式

由于个人信息权利与公民基本权利息息相关，加之OCED在1980年正式通过的《隐私指南》等的影响，世界各国都很重视对个人信息的法律保护。

一些国家根据信息的特性、类型分别制定了一系列个人信息保护法，如《通信法》《电子通信隐私法》《网络安全法》等一系列特定法律，法律覆盖范围更为精准。同时，值得注意的是，一些国家设置了针对个人信息保护的职责机构，主要承担保护公民个人信息的职责，在执法上提供了保护本国公民个人信息的有力屏障。据此，我们不仅要设置具有针对性的个人信息保护法律，增强制度保障，还可以设置相关机构，专门处理此类问题。

还有一些国家并未采用分散性立法，而是采用统一立法模式，规避了不同部门法之间相互冲突的问题，当个人信息权益受到侵害时，停止诉讼规则为个人信息保护法律体系提供了深刻借鉴。

三、政府信息公开中个人信息保护的规制缺陷及原因

（一）保护标准不明晰

对于个人信息概念内涵与外延的界定，散见于我国《个人信息保护法》《民法典》《突发公共卫生事件应急条例》以及地方立法等各个层级的文件当中，并无统一、明确的概念与范围，且各项规范性文件中衔接不当，缺乏体系性。此外，立法中对个人信息进行笼统化保护，并无分级分类体系，激化了个人隐私保护与信息利用的矛盾，同时，个人信息收集、加工、储存、销毁等程序不够公开透明，增加了不确定性。现行立法的分散化，一是造成政府信息公开效率低下，行政机关在确认要公开的政府信息时，对涉及个人信息的部分缺少相关认知，增加了信息公开的不确定性。二是容易导致政府以及司法机关的裁量权过大，增加对个人信息权侵害的可能性，审判机关对隐私信息的认定不同，甚至会造成“同案不同判”的结果。

立法过程中对公民知情权以及个人隐私的衡量问题有待解决，在个人隐私泄露问题面前基本原则不够明确，公共利益或个人利益保护立场不坚定。此外，我国个人信息保护问题虽已得到一定程度的重视，但在行政法领域对个人隐私保护问题的研究尚在起步阶段，并未进行成熟的探索，且研究更多关注政府信息公开内容是否完备以及政府职责性问题，并未过多着眼于个人信息保护，因此政府信息公开中的个人信息保护有待加强探讨。

（二）救济保障不充分

法律对隐私侵害的行政补偿机制空缺较大，《条例》中只表明了个人隐私遭到政府侵犯后可以请求赔偿，但关于具体的赔偿程序、赔偿数额等并未作出具体的规定，在行政诉讼案件中极易造成公民求助无门、法官裁量时依据较少的问题，且由于侵害个人信息权益侵权责任损害的特殊性，导致因果关系认定复杂，加大了公民获得赔偿的难度。由于信息安全侵害的隐藏性高，个体信息侵权具有高度隐蔽性与技术化的特征，个人信息泄露会衍生出怎样的损害具有高度不确定性[5]，短期内很难辨别潜在危险，在未发生实质性伤害的情况下，行政相对人很难举证，行政机关以及司法机关利用优势地位拒绝对公民进行赔偿，或是公民在证据不充足的情况下，利用自己在舆论上的偏向地位恶意请求损害赔偿，对相关工作带来不良影响。

此外，由于个人隐私权的权利特殊性，《条例》虽明确规定了可以进行投诉、举报，但是在行政复议以及诉讼请求过程中极有可能造成信息的二次泄露，加重隐私权益的侵害，因此明晰赔偿范围以及标准、完善隐私侵害救济保障机制、减少二次侵害迫在眉睫。

四、个人信息保护完善建议

（一）明确界定个人信息范围

对个人信息进行明确的界定与划分。明晰“个人敏感隐私信息”的概念，将一般性个人信息、个人敏感隐私信息进行区别化对待，强化一般个人信息的利用与个人敏感隐私信息的保护，调和信息保护冲突与利用之间的矛盾，进行利益衡量[6]。一般性个人信息应为很难识别到特定个人，不会侵犯个人隐私，其公开能够实现公共利益的衡量，而私密信息则与个人隐私密切相关，此类信息的公开就要增加审查程序，采取匿名化技术等手段对信息进行处理，在确保公共利益被保护的情况下最小限度地影响个人生活安宁。此外，应针对不同主体进行信息保护，对普通公民、未成年人以及公务人员的个人信息进行区别化对待。普通公民适用一般性规则对个人隐私进行保护，国家公职人员应当自觉接受监督，在工作范围内适当让渡个人信息权益。未成年人的保护需要特殊性规定，固其不具备完全民事行为能力，难以对自己的权利进行主张保护，因此应当特殊对未成年人进行保护。

在制定信息公开时保护个人信息的规范性文件时应当遵守以下原则：一是目的明确原则。行政立法中应明确政府信息公开是为了保障公民的监督权、知情权，只能出于维护公共利益、建设服务型政府的目的，信息收集与公开过程中不得超过目的范围。二是安全保障原则。保障公民的信息安全，确保公民的信息应用于正当途径，同时提升信息储存、销毁的技术水平，防止信息泄露，坚决不可触碰公民个人隐私的“红线”。三是及时准确原则。政府信息公开的内容应当做到准确、充分、公开及时，满足公民参与政治生活的要求，对信息错误及时纠正、撤销，减少信息风险的蔓延。

（二）完善个人信息权益侵害的救济路径

建立适合我国国情的、体系化的行政赔偿机制。前文提到，行政相对人在隐私侵害案件中举证困难，处于相对弱势地位，我国现行法律法规中缺乏完善的隐私侵害行政补偿机制。一种做法是设立监察委员会进行案件审查，且明确了“道义赔偿”，只要政府对公民的隐私权造成侵害，无论是否具有或者是否能够证明造成损害后果，都应支付一定的赔偿金。此种方式能够鼓励公民以高效、简便的方式维护自己的权益。

在举证方面，另一种方案是实行交叉举证责任分配制度，而非单纯的“谁主张、谁举证”，法官在了解相关案情之后再分配双方的举证责任，避免了双方之间因为地位、能力的差异造成的公民举证困难。我国法律应当明确规定法定数额赔偿、精神性赔偿、惩罚性赔偿的标准，在司法实践中应当将举证责任进行分配，同时在政府信访部门开设专门的监督渠道，对政府信息公开的内容进行及时的反馈、审查。

五、结语

数字化时代加剧了信息安全的不稳定性以及不同利益之间的冲突，为政府信息公开工作带了更大的挑战。个人信息是政府信息的主体组成部分，对政府信息公开制度下的个人信息保护问题进行研究，有益于在保证政务透明的同时做好公民个人信息保护工作，真正地提升政府的公信力。

注释

①《中华人民共和国信息保护法》第4条：“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息”。