应急状态下个人信息的行政法保护研究

[摘要]应急状态下，为了保护公共利益，行政机关限制个人信息相关权利在法理和法律规范方面具有其正当性基础，与此同时，行政机关处理个人信息不规范、缺乏监管机构等问题容易对信息主体造成侵害。因此，要求行政机关对信息主体不仅要履行消极不侵犯的义务还要履行积极保护的责任从而实现应急状态下个人信息在行政法领域得到充分保护的目的。

[关键词]应急状态；权利克减；个人信息；行政法

中图分类号：D912.1

一、应急状态下个人信息行政法保护的法理基础

（一）应急状态下个人信息的界定

1.应急状态的内涵

应急状态是指行政机关行使行政应急权，从而控制重大突发事件达到消除社会危害的目的。在应急状态下，行政机关需依法行使行政应急权，严格遵循合法行政原则，可以有效地保障公民生命、财产安全，有效遏制重大突发事件回归常态。

2.个人信息的内涵

《个人信息保护法》与《民法典》均对个人信息的内涵予以明确。笔者将两部法律对于个人信息的定义进行对比，我们可以看出《个保法》对于个人信息的定义注重信息的处理使用，《民法典》对于个人信息的定义更加偏向于个人信息本身含义，因此，我们可以将个人信息理解为包括姓名、身份证号码、生物识别信息等各种可记录或者识别的与主体有关的各种信息，但不包括匿名处理的信息。

3.个人信息的法律属性

个人信息的内涵厘清有助于在应急状态下能够准确地识别各种个人信息，要对个人信息针对性保护还需理清个人信息的法律属性。由上文个人信息的定义以及《个保法》相关条文可知，单纯从个人信息本身难以得出一个明确的公法或私法属性。笔者认为，不同的场景对个人信息法律属性的确定不同。笔者试图从以下几个方面进行分析确定应急状态下个人信息的法律属性。首先，在应急状态这一特殊背景下围绕个人信息的核心矛盾在于如何在个人信息保护与公共利益的保护之间寻找到一个平衡点。这对矛盾的外在表现是应急状态的个人信息归属不明，外化为责任主体归属不清从而导致大量的个人信息被泄露。由于应急状态下对个人信息的保护更多地承载着行政机关的介入，因此，应急状态下个人信息的法律属性定位为公法属性更有利于公民的个人信息保护。其次，应急状态下个人信息的保护与平日个人信息救济方式并无不同，即私法诉讼与行政规制两种主要路径，又由于应急状态下个人信息处理者与信息主体的地位失衡，信息主体维权难度高等困境，将大量个人信息被侵害的案例寄希望于个别性的诉讼也难以有效回应系统性的社会风险。因此，应急状态下个人信息的法律属性定位为公法属性更合时宜，通过行政规制路径能较为有效地对个人信息进行保护。

（二）应急状态下个人信息行政法保护的理论依据

1.权利克减理论

权利克减理论通常置于应急状态下。从目前国内法来看，克减权利得到了国内法和国际公约的许可和支持。在通常情况下，国家应当依照既定法律保障公民权利行使，并在相应权利受到侵犯时为受害者提供救济，而在战争、瘟疫等特殊时期，克减条款准许政府减少或免于承担此类保障义务。以个人信息相关权利为例，应急状态下的个人信息相关权利克减可认为是一种必要且合法的私权利限缩，是在特殊状态下基于对社会整体利益的考量，为实现更长远的利益，从这一角度来讲，我们可以认为对于个人信息相关权利的限制也是对根本人权的保护。

2.公共利益理论

应急状态下，当公益与私益冲突时，应以公益优先，这不仅是道德层面的主张，也是法律规范的要求。以应急状态下个人信息保护为例，首先，《个保法》有诸多公共利益特殊保护条款和责任豁免条款是处于行政应急状态下，例如《个保法》第13条。因此，我们可以说，《个保法》为公共利益限制个人信息相关权利提供了合法性基础。其次，公共利益限制个人信息相关权利具有其正当性基础，我们从以下几个方面进行分析。首先，在应急状态这一特殊时期下，行政机关负有维护社会生活正常秩序，保障国家利益和公民个人利益的责任。当私益与公益发生冲突时，私益需让位于公益。[1]其次，公共利益在其发展过程中综合、放大了私益的普遍性、合理性成分，我们可以说，公益是无数个人利益的最大公约数。

综上，应急状态下，公共利益应优位于个人信息的个体保护，以便于政府能够最大程度地保障公民的个人信息相关权利。

二、我国在应急状态下个人信息行政法保护的现实问题

（一）应急状态下行政机关收集、处理个人信息不规范

1.个人信息收集主体类型多样化

以重大突发公共卫生事件为例，根据目前我国法律规定，在重大突发公共卫生事件中有权收集个人信息的主体是县级政府及有关部门、疾控办、医疗机构和专业机构。除此之外，并无法律明确规定重大突发公共卫生事件防控中个人信息收集主体。值得注意的是，居委会和村委会仅具有协助收集个人信息的权利，但是实际情况是村委会、居委会均在收集公民的个人信息，其中不乏详细家庭住址等具有隐私性的信息。在《个保法》中，对信息收集主体的范围规定更是广泛，对突发公共卫生事件中信息收集主体的范围也没有明确规定，就容易使得公民对信息收集主体抱有质疑的心态。

2.个人信息收集、公布范围过度

应急状态下，信息收集主体的类型不明晰，衍生出个人信息收集、公布范围的问题。还是以重大突发公共卫生事件为例，为了能够快速确认确诊人员、密接人员，行政机关往往“一刀切”式的收集公民各种信息，有的甚至收集个人收入等无关信息。然而，为了有效防控重大突发公共卫生事件，满足公众的知情权，行政机关在收集信息后负有向社会公开信息的责任，但是收集敏感性信息并无关键性作用，盲目过度地公开会对公民的身心健康带来严重侵害。

3.个人信息收集程序存在缺陷

在行政应急状态这一特殊时期下，法律赋予了行政机关比平时更为广泛的权力，因此需要正当程序限制行政机关的实体权力以保障公民的个人信息安全。《个保法》第34条对于行政机关处理个人信息程序问题笼统规定，这就导致应急状态下，各种因程序不规范导致公民权益受损害的现象出现。例如，以重大突发公共卫生事件为例，在信息收集阶段，行政机关对于收集的法律依据、收集后的信息如何处理等事由均未明确告知信息主体。由于信息收集程序存在缺陷，信息主体却对个人信息的收集处理毫无参与感可言，这实际上是给信息主体造成二次伤害。

（二）应急状态下个人信息保护缺乏独立的监管机构

应急状态下，个人信息保护机构由于组织目标、权责分配、决策机制等组织要素比例失衡，导致监管乏力，效果不佳。

《个保法》第6章对个人信息保护的职能部门范围、职责、执法权力等内容进行了规定。根据《个保法》第60条规定，网信部、国务院有关部门、地方政府有关部门履行监管和保护的职能。从上文我们可以看出政府是公民个人信息保护者同时也是监管者，这种双重身份在应急状态下愈发明显，从法理上而言，违背了行政法中的行政公正原则。政府在个人信息保护面前的双重身份就可能导致监管机构缺乏中立性，引发公信力危机。虽然《个保法》在第68条规定了在相关部门不履责时，上级机关有权责令其予以改正，但这既无法改变“自己做自己的法官”之现状，也无法与国家机关应当承担的法律义务相匹配。

（三）应急状态下个人信息主体权利救济途径不畅

个人信息主体由于缺乏足够的专业知识，导致很多权利无法有效行使。在司法实践中，一方面，被收集者自身缺乏法治意识；另一方面，信息保管者主观上缺乏负有数据安全保护义务的责任意识，在后续保管未对敏感信息进行脱敏处理。这样的案例屡见不鲜，在突发公共卫生事件中，大量密切人员的信息被恶意泄露，给他们的精神造成难以弥补的创伤。

三、应急状态下对个人信息行政法保护的完善

（一）构建个人信息保护的专责机关

目前，我国个人信息监管部门尚未统一，因此容易形成“九水治龙”的局面。对此，为解决上述困境，应当设置独立的监管机构以解决个人信息保护的种种困境。根据上文所提及的个人信息保护框架，将个人信息的保护寄希望于政府难以高效地应对现实中的各种问题，应当设置垂直管理的个人信息保护的专门机构，监管政府使用、处理个人信息，例如：处理相关投诉、提供信息保护咨询、将矛盾化解在诉前从而更好地对个人信息进行保护。[2]

但是，专责机关的设置也应立足国情，一方面，专责机关需要提升公民个人信息保护意识、受理并及时处理相关投诉、对法律法规及时作出解释等。另一方面，专责机关要处理好与有关部门间的关系，例如应急状态下协作办公的同时如何保持各自的独立性还需进一步讨论。[3]

（二）明确应急状态下个人信息处理者遵循行政法原则

1.法律保留原则

收集个人信息的行为涉及对基本权利的限制，故而应当遵循法律保留原则。应急状态下，公民个人信息相关权利受到克减，故相比于一般状态下，行政机关更需严格遵守法律保留原则，在法律法规的授权下行使权利。值得注意的是，其他下位法均无此类权利，在实践中应当予以警惕。[4]

2.目的明确原则

目的明确原则要求行政机关依法使用公民个人信息，收集信息时须目的明确并且在后续使用个人信息时严格遵循，从而保证公民个人信息不被非法泄漏。根据目的明确原则，行政机关需公开并说明理由。这里的“公开”包括两个方面，一是行政机关需向社会公开，包括相关法律规范的公开以便满足社会公众的知情权，同时也便于社会主体监督行政主体。行政机关不仅需要向社会公开信息同时还需要向信息主体说明理由，例如法律依据、收集与使用目的、救济方式等均需要得到明确以保障公民的个人信息安全。

3.程序正当原则

要实现实体正义，首先要实现程序正义。在应急状态下，随着政府权力扩张，程序公正才能使得政府权力得到公正地行使，公共利益的实现需要权威背书，例如法律法规，也就是说，只有严格遵循正当程序正当原则，才能够尽可能从实体上保障公民的个人信息相关权利。

（三）完善个人信息主体权利救济渠道

在应急状态下，公民的个人信息相关权利受到克减，因此，充分发挥公民防御权才足以对抗行政应急权。例如，公民可通过司法救济以保障公民个人信息安全。应急状态下行政机关较大的权利克减裁量空间更需要发挥行政救济功能以弥补行政机关滥用权力的不利后果。[5]实践中，在应急状态下，个人信息的泄露并不会直接对信息主体产生财产上的不利影响，更多的是精神损害，如网暴，但因为以上不利后果通过诉讼维权的概率较低，因此，应急状态下，应当扩大公民救济的途径，笔者建议，将此类案件纳入行政复议、行政诉讼的受案范围，同时明确原告和申请人的资格从而助力公民在救济途径的选择权。

应急状态和一般应急状态相比，政府间的合作更为密切，在行政复议这一救济途径中，笔者建议充分发挥上级的指导地位，及时纠错以防不利影响扩大从而更好地实现应急管理的法治化。当受害主体众多时还可进行集体诉讼或者赋予检察机关、非营利组织提起公益诉讼的权利，最大程度保障公民个人信息相关权利。

四、结语

应急状态下个人信息的保护属于偶发性事件，更要平衡好公益与私益的关系。一方面是以国家、公民安全为内核的公共利益保护，另一方面是公民个人信息相关权利为代表的私益保护，二者在行政应急状态下分庭抗礼，由此体现出私益与公益的平衡也是行政法治建设中百年来的经典话题。

参考文献：

[1]刘国.个人信息保护的公法框架研究——以突发公共卫生事件为例[J].甘肃社会科学，2020（04）：155-162.

[2]邓辉.我国个人信息保护行政监管的立法选择[J].交大法学，2020（02）：140-152.

[3]高秦伟.论个人信息保护的专责机关[J].法学评论，2021，39（06）：106-118.

[4]张涛.个人信息保护中独立监管机构的组织法构造[J].河北法学，2022，40（07）：91-118.

[5]魏琼，徐俊晖.应急状态下个人信息权的克减与保护[J].行政与法，2021（07）：118-128.

基金项目：本文系青海民族大学研究生创新项目，项目名称：应急状态下个人信息的行政法保护研究（项目编号：04M2022034）

作者简介：邵舒莉（1997.06-），女 ，汉族，浙江诸暨人，在读硕士研究生，研究方向：行政法学。