新公共管理模式下个人信息保护法一体调整的局限性研究

摘要：在以提高行政效率为目标，讲究协同治理的新公共管理模式下，我国现行 《个人信息保护法》在立法上采取了不区分公私部门的一体调整模式，缺乏对公共管理需求的考虑，在私人部门对个人信息安全保护的责任方面也显得不够明晰。本文站在公共管理和法学的角度，针对新公共管理模式下个人信息保护法一体调整的局限性问题，深入发掘问题产生的原因并就如何平衡发展和保护个人信息提出相应的建议。

关键词：公共管理；个人信息保护法；数字政府；数据安全

我国的 《个人信息保护法》 （以下简称 《个保法》）采取一体调整模式 （不区分公私部门），统一称为个人信息处理者，仅在第三十三条至三十七条对国家机关处理个人信息作出了特别规定。有学者认为，这是一种 “象征性立法”，[1]因为公共部门代表的公权力与公益属性与私人部门代表的私人利益之间存在着本质区别，一体调整模式 “既无法为公共部门个人信息保护提供足够明晰的规则指引，也无法回应数字政府建设的需要”。[2]

政府作为公共管理者，公共属性是其固有属性，法律赋予了政府相应的职权以保障其为了公共利益和福祉而完成相应工作，即政府应在完成以公共利益为目标的公共任务时能够获得特别保护。而为了保护个人利益对私人部门加以限制时又碍于公共部门的工作需要不得不降低保护标准，只会既影响权利保护也阻碍了行政效率，这是我国 《个保法》在立法环节存在的一处不可调和的矛盾。而对于个人信息保护中涉及的多元主体问题，学者们倾向于平衡各方利益，借助各方优势协同治理，这一观点与发源于20世纪80年代的 “新公共管理运动”的核心理念相合，即将企业管理的理论、方法、工具引入行政部门，同时，将部分公共管理职能转交私营机构和社会组织，以期提升公共管理效率和效果。[3]我国在探索公共管理的过程中也逐渐吸纳了新公共管理模式的一些优点，推行简政放权，提高行政管理效率。但以企业为代表的私人部门，其本质就是逐利的，不具备公共属性，因此，在面对个人信息这种资源宝库时，很多时候就会产生对公共安全的危害。而现行的 《个保法》在信息保护上没有对公共管理和私人行为做出区别化应对，因此容易造成管理上的困局和信息保护上的疏漏。

一、《个保法》对公私部门一体调整造成的问题

（一）公共部门疏于技术掌握导致治理能力下滑

《2022中国数字政府发展指数报告》显示，[4]与2021年相比，我国省级数字政府发展水平稳步提升，东部省份的数字政府发展水平明显高于中西部省份，但后者的发展势头明显，水平提升速度较快。2022年省级数字政府发展水平的提升主要体现在组织机构建立、制度体系完善、治理效果提升三个方面，而治理能力略有下降。

政府治理能力不升反降，其原因之一就是在新公共管理模式注重绩效指标的影响下，部分地方政府对于项目需求、技术指标缺乏理解，在数字技术方面过度依赖于第三方和企业的介入，导致很多地方政府虽然按照国家战略建立了数据中心，推行了 “一网通办”等数字化举措，但自身也只是作为使用者，对于如何运用和保护数据缺乏理解，实际治理能力相较于前数字化时代并没有显著提升。报告还显示，各省市级政府均建立了相应的数据管理机构或中心，在已成立大数据管理机构的220多个省、市两级单位中，140个是政府工作部门，52个是发改委、工信局、行政审批局等部门挂牌机构，剩余为政府直属或部门下设事业单位，[5]可见，该机构的建立多以其他政务资源相对丰富的部门为基础来进行合并或重组，其中显然存在着传统公共行政模式下各部门之间的博弈。

（二）私人部门参与个人信息保护存在监守自盗

中华人民共和国公安部部署开展的专项行动 “净网2023”的阶段性报告显示，电信诈骗案、盗窃银行卡、非法套现、冒用他人银行卡、网络消费诈骗等问题层出不穷的形势依然严峻，其中，超过90%的案件是由于个人信息泄露所致。公安部同时表示，三年来，“净网”专项行动严打侵犯公民个人信息违法犯罪活动，共抓获电信运营商、保险公司、快递公司等行业 “内鬼”2 300余名。由此不难看出，由于个人信息数据具备资源属性和利益性质，以企业为代表的私人部门在个人信息保护中监守自盗的现象颇为常见。更有甚者，为了经济利益将大量国民信息、位置信息等敏感内容提交给境外机构，引发了国家安全的重大危机。

（三）公民对自身个人信息无法完全掌控

国家 “十四五”规划明确了数据的资源属性，经济社会中对于海量公民个人信息数据这种资源的掌握和运用可以决定一个经济团体的很多行为。我们可以看到，当下，几乎所有科技公司都在疯狂攫取各种数据。云计算、人工智能等技术加持带来的强大数据处理能力，一方面，使人们可以享有更精准的天气预报、地图导航等生活服务；另一方面，在享受这些便利的同时，人们也无法拒绝手机APP对权限的索取和对个人隐私的监控。无处不在的广告投放以及个人信息泄露引发的各种恶性事件譬如网络暴力甚至刑事犯罪等，对于普通公民来说，都是缺乏对自身个人信息掌控和自我保护的选择之下带来的无法承受之重。

二、《个保法》一体调整局限性的原因

（一）立法原则对公私部分一体适用缺乏灵活性

我国 《个保法》的立法原则采用了知情同意原则和目的限制原则。知情同意原则要求个人 “在充分知情的前提下自愿、明确作出”同意，但实践中很难做到这一点。最直观的例子就是手机应用中动辄几十页的 “用户协议与隐私政策”，提供应用的公共部门和企业往往会在协议中要求获取使用者录入于手机的全部个人信息，使用者点击确认后便视作知情且同意，否则无法使用该应用。这种做法看似给了个人选择的权利，实际上则是通过技术压制强行获得使用者的同意，这种普遍做法让法律规定中的 “知情”及 “同意”都形同虚设。

此外，我国还采用严格的目的限制原则，要求 “处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式……”这一原则实际上与当前技术发展路线相悖。发展大数据技术是为了更快、更准、更多地收集各种数据，然后挖掘出数据背后隐含的规律或价值，从而帮助管理和决策。而目的限制原则则要求最低限度地使用数据，降低数据的价值，因此是不符合发展规律的一条规定，且在监管和执行过程中也存在较多困难。

（二）一体调整导致信息不对称更易造成信息保护的困境

由于 《个保法》对公共事业和私人管理采取一体调整的方式，使得私人部门在对个人信息的收集、处理上得到了与公共部门类似的授权和监管，而根据市场理论，市场主体为了追求更强大的竞争力，掌握更多的信息资源优势，会尽可能地攫取资源，于是在个人信息的市场上就形成了提供服务一方的私人企业，经法律授权和用户承认获得了采集和使用用户个人信息的权利，而用户却缺乏认识和选择信息资源的权利，造成信息不对称、权利不平等，同时，监管和追责不易，也诱发了平台企业、互联网公司、通信公司监守自盗的现象。

（三）对应当收集、处理和保护的数据缺乏分类

从技术角度出发，数据是通过各种方式对客观现象的统计而产生的记录。依据社会认知、政治、法律对记录对象有着不同的定义，数据自然也应该随之具有不同的属性。比如自然现象、自然规律属于应该由公众认知的客观事实或是经过验证的真理，且这类数据的公开不会对公共利益或个人利益造成危害，那么其记录数据就属于可以由大众获取的内容。但是如果对数据进行分析和处理后，得出了某些结论，或者进行加工后得到了相应成果，那么就要结合知识产权的定义，判断新的数据成果是否适用更高一级的保护。同理，当个人信息可能涉及人格权、财产权等权利保护时，对其的保护也应该适用更高一级的标准。可见，对于数据应该作出不同级别的分类，当产生数据的来源涉及其他权利的保护时，就应当对其采取不同的处理方式和保护措施。

（四）缺乏个人信息保护的公众参与机制和救济手段

由于公共部门管理的需要以及私人部门技术的压制，公民对于个人信息几乎是没有把控能力的。很多人生活中遭遇广告骚扰、电信诈骗后才会疑惑自己的信息是如何被他人知晓并利用的，而更多的人根本不知道自己的个人信息已经泄露。我国在建设数字政府的过程中，各地都开展了不同形式的平台建设，包括门户网站、政务APP、微信小程序、支付宝小程序等，但都没有一个为众人所熟知的渠道，能让公众参与到个人信息保护中去，也缺乏相应的适用于公众遇到问题后产生的需求的救济手段。这也是在公共管理过程中过度追求效率和指标，却忽视公共管理对象的需求，疏于制度建设的一种表现。

三、基于公共管理角度对强化个人信息保护的建议

（一）针对个人信息保护应公私部门分情况调整

德国 《联邦数据保护法》在个人信息保护方面从公私两个维度进行了统一规定，笔者认为值得我国研究和借鉴。该法先在总则中对通用的定义和规定作出了 “一般条款”，然后在分则部分对公务机关资料处理、其他机关及依法竞争企业的资料处理作出了分类规定。[6]

公民的基本信息如户籍、婚姻信息、有无犯罪记录等是国家进行社会治理、计划生育、治安管理等国家决策时的重要参考。私人部门对于此类信息的收集和使用应仅限于功能实现部分，法律应规定私人部门收集公民个人信息的准入资格和范围，对于超出功能范围外的个人信息收集应要求提前报备并审批，未经允许不得收集，做出提前预防。而对违反规定收集、泄露、处理个人信息的行为应给予严格惩处，公共部门违反相关规定的应及时整改，对责任人按照法律规定予以惩戒。私人部门违反规定侵害个人信息的，除了经济上的处罚外，对责任人也应依照法律进行惩戒，强化事后监管手段，加大其违法成本。

（二）建立数据分类处理制度

结合先进公共管理经验，公共部门应在保证其行政合法性和合理性的同时注重效率的提升。为保护公共利益，在建设数字政府的过程中，对公民个人信息一类可能涉及复杂权利属性的数据应建立分类清单，按照禁止开放或共享、限制开放或共享和可以开放或共享的模式来处理。同时，基于政府自身专业团队的建设，自我MfwjLQV1viuaLSuc24A4Xv0wOEemIrf4oq1XYM/2PTo=消化敏感数据，减少接触敏感数据的层级。只有非敏感数据才可以依据效率原则选择市场化合作，引入有资质的企业协助处理，降低政府部门的工作负担，提能增效。

（三）加速建立政府专业技术人才队伍

建立政府专业技术人才队伍需要增强领导班子建设。2021年，中央曾发文要求提升领导干部和公务员的数字治理能力。领导干部和公务员应善于通过网络了解民意、开展工作，提升学网、懂网、用网的能力。现阶段，各省市级政府组织建立的大数据管理机构大多依托于政府其他机关部门建立或从其他部门抽调人员成立，可能存在部分领导或工作人员对新技术理解不够及时或深入，需要过多依赖第三方或者企业来替代政府的一部分职能的问题，这会加大信息泄露的风险，不利于个人信息保护。因此，在领导班子的建设中，应当至少有一名信息技术相关专业的领导负责统筹数字化改革工作，以保证信息安全和实施效率。另外，针对涉及个人信息、商业秘密、国家秘密一类的敏感数据，政府应该在条件允许的情况下自建团队，自行收集、分析、处理相应数据资源，以保证敏感数据不外流。

（四）完善信息保护公众参与制度，畅通公众救济渠道

从公共管理的角度来讲，公众参与治理是新公共管理模式的重要因素之一，我国建设数字政府的目的就是要通过技术升级更好地服务公众，因此，在建设过程中更应该广泛地吸取公众意见，针对公众关注的信息保护问题建立统一的、公众可参与的信息保护平台，加大宣传，让公众懂得自我保护，并知晓有问题向哪里反馈。正如王利民教授提出的观点，对于个人信息保护应注重私权保护，通过对个人信息的自我管控，遭遇侵害后采取小额诉讼或公益诉讼的方式维权是目前效果最佳的选择。[7]做好宣传工作，增强公民的个人信息保护意识，帮助公民养成良好的上网和使用智能设备的习惯，做好个人信息源头保护的事前预防工作，其成效远大于事后监管。

四、结束语

我们可以了解到，个人信息保护在结合数字技术之后，给政府管理带来了全新的挑战和冲击。现行的 《个保法》对公私部门一体调整存在局限性，影响了数字政府的建设进程，因此，必须作出针对性调整。

首先，应加强公共管理部门自身人才专业化建设；其次，要对现行以 《个保法》为基础的个人信息保护制度进行完善，将公共部门和私人部门分开调整，建立相应的数据分类管理制度；最后，应该加强宣传，完善个人信息保护的公众参与机制，让公众能够放心地将个人信息交由国家和法律保护。

参考文献：

[1] 王锡锌.行政机关处理个人信息活动的合法性分析框架[J].比较法研究，2022（03）：92-108.

[2] 刘绍宇.数字政府建设中个人信息保护的风险规制路径[J].财经法学，2023（02）：51-67.

[3] 胡业飞，傅利平，敬乂嘉，等.中国背景下的政府治理及其规律：研究展望[J].管理科学学报，2021，24（08）：91-104.

[4] 清华大学数据治理研究中心.2022中国数字政府发展指数报告[EB/OL].[2023-06-18].https：//www.dps.tsinghua.edu.cn/info/ 1197/2933.htm.

[5] 门理想.地方政府数据治理机构研究：组建方式与职能界定[J].兰州学刊，2019（11）：146-156.

[6] 齐爱民.美德个人资料保护立法之比较：兼论我国个人资料保护立法的价值取向与基本立场[J].甘肃社会科学，2004（03）：137-141.

[7] 王利明.论个人信息权的法律保护：以个人信息权与隐私权的界分为中心[J].现代法学，2013，35（04）：62-72.