行政机关肩负个人信息处理者和个人信息保护者双重角色,必须在推进政府信息公开中注重保护个人信息,平衡好知情权和隐私权、个人信息权等关系,切实推进个人信息的全面保护。
数字经济时代,个人信息因蕴含巨大价值而面临被滥用和侵害风险。如何合理合规利用个人信息,妥善解决背后隐藏的诸多价值衡量问题,强化个人信息保护,尤其政府信息公开过程中因处理不当导致个人信息权益受损的问题,值得关注。例如,2023年3月最高人民检察院发布的8件个人信息保护检察公益诉讼典型案例,反映出个别行政部门在政务公开过程中存在许多未能有效保护公民个人信息的问题。
根据《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)第四条规定,个人信息的处理包括收集、存储、使用、加工、传输、提供、公开、删除等。行政机关在履行行政管理职能过程中制作或者获取的,以一定形式记录、保存的个人信息经公开后,该个人信息同时具备政府信息和个人信息双重属性,由此会产生政府信息公开活动中的个人信息保护问题。行政机关肩负个人信息处理者和个人信息保护者双重角色,进一步凸显了其在个人信息保护领域中的重要地位,决定了其必须在推进政府信息公开中注重保护个人信息,平衡好知情权和隐私权、个人信息权等关系,切实推进个人信息的全面保护。具体来看,可以通过以下三种方式处理好政府信息公开履职和个人信息保护履职的关系。
建立个人信息分类公开机制
大部分政府信息公开领域,均存在个人信息,如公务员录用、行政许可、行政处罚、行政强制、行政给付等。不同的信息类型,蕴含不同的数据价值和权益损害程度。从现实需求、法理基础和制度运作机理三方面来看,应注意区分个人信息,建立不同的公开标准,实现个人信息分类公开,更好推进个人信息保护和政府信息公开中的私益保护和公益实现之间关系的科学平衡。《个人信息保护法》第五十一条要求个人信息处理者对个人信息实行分类管理,这为个人信息分类公开提供了规范依据。个人信息分类公开机制的建立应围绕分类标准、识别机制和公开程序等核心内容展开。
关于个人信息类别问题,个人信息保护法按照个人信息的私密性,分为一般个人信息和敏感个人信息。《中华人民共和国政府信息公开条例》(以下简称《条例》)将个人信息区分为一般个人信息和个人隐私信息。此外,全国信息安全标准化技术委员会发布的国家标准《信息安全技术 个人信息安全规范》(GB/T35273-2020)也分为一般个人信息和敏感个人信息。2021年3月,国家互联网信息办公室秘书局、工业和信息化部办公厅等四部门联合印发的《常见类型移动互联网应用程序必要个人信息范围规定》,根据是否为保障应用程序正常运行所必需的信息,分为非必要个人信息和必要个人信息。根据法律位阶原理,依照上位法优先适用于下位法的规则,应遵循个人信息保护法的分类规定,将个人信息区分为一般个人信息和敏感个人信息,据此建立个人信息分类公开机制。对于涉及个人敏感信息的政府信息,以不公开为原则,列入豁免公开范围;基于公益目的确需公开的,行政机关应尽到更高的审查义务,除遵循告知、说明理由、知情同意等规则外,还应采取相应的加密、去标识化等安全技术措施,实行限期公开,期限届满应及时删除。
设立个人信息保护负责人
行政机关基于公权力特性,具有强大的个人信息收集能力。在政府信息公开工作中,行政机关不论是基于故意或过失不当公布个人信息,均极有可能致使个人信息面临双重风险。一方面,个人信息违法或不当公开,会直接导致个人敏感信息暴露于公众视野,隐私权受损;另一方面,一些以利润最大化为目标追求的个人和商业机构,会借此机会直接搬运和再利用,有可能造成个人信息的第二次滥用。为了解决该问题,需从源头入手,转事后救济为事前预防,引入个人信息保护负责人制度,通过明确保护职责的专门性,增强个人信息保护力度。
个人信息保护负责人制度源于欧盟的数据保护官制度,一般被视作个人信息保护的“看门人”角色。我国很早便开始研究并展开个人信息保护负责人实践。全国信息安全标准化技术委员会2017年发布的《信息安全技术 个人信息安全规范》首次使用“个人信息保护负责人”一词,经多年探索,最终被2021年正式施行的《个人信息保护法》正式确立。根据《个人信息保护法》第五十二条的规定,行政机关公开的政府信息有可能会涉及一定数量的个人信息,甚至敏感信息。因此必须确定专人作为信息保护负责人。个人信息保护负责人的主要职责在于对个人信息处理活动及采取的保护措施等进行监督,以确保政府信息公开活动中的个人信息处理合规,防患于未然。为了保证个人信息保护负责人制度真正发挥功效,应着眼于独立性和实效性制度设计,前者侧重于履职不受干扰,具体可从任职身份、履职程序、责任追究等方面予以考虑;后者侧重于履职能力保障,赋予其便利的信息获取、资源调配等职权。
推动“法法”衔接
我国政府信息公开制度很早便注意到知情权和隐私权的冲突问题,并以《条例》第十五条确立了个人隐私公开豁免制度。然而,个人隐私公开豁免制度实施效果不佳,这既与个别行政执法人员隐私保护意识淡薄有关,也与制度设计和理论构建不周延有关。就制度设计而言,《条例》第十五条以“个人隐私”为核心概念,在一定程度上反映了政府信息公开对个人信息的保护范围极其有限。同时,个人隐私概念的抽象性提高了学理试图分析内涵的难度,进一步影响法律法规的适用性和可操作性。《中华人民共和国民法典》(以下简称《民法典》)颁行后正式确立“个人隐私”与“个人信息”并行制度。个人信息保护法进一步发展为“敏感个人信息”和“一般个人信息”分级保护制度。至此,我国已建成了个人信息保护制度的基本框架体系。个人信息保护时代的到来,给政府信息公开带来了新要求和挑战,亟须行政法予以回应,实现“法法”有效衔接。
在法制统一要求下,行政法应积极推进《民法典》《个人信息保护法》《条例》等相关法律法规有效衔接。“法法”衔接路径可以聚焦于个人信息保护范围、分类保护机制、法律概念、责任追究等多个方面。首先,应扩充个人信息保护范围,在《条例》总则部分增加“政府信息公开工作中落实和加强个人信息保护”条款,明确政府信息公开应坚持个人信息保护原则。值得指出的是,公务员录用过程中的信息公示已率先启动了个人信息保护历程。例如,2015年11月印发的《公务员录用面试组织管理办法(试行)》第三十八条规定:“考生个人信息应当受到保护。凡涉及考生个人隐私的信息,应当按有关规定严格控制知晓范围,不得面向社会公布。”该立法探索可以为《条例》修订提供经验借鉴和实践依据。其次,将《条例》中的“个人隐私”概念调整为个人信息保护法中的“敏感个人信息”概念,据此建立政府信息公开中的个人信息分类保护体系,为个人信息分类公开机制提供制度支撑。最后,应明确不当公开个人信息的法律责任,责任追究条款应置于“监督和保障”部分。责任主体为具体履行政府信息公开的部门,即个人信息处理者,而非个人信息保护负责人。此外,个人敏感信息的处理规则、公开程序、个人信息保护负责人的具体职责、不当公开的权利救济等内容,同样关涉个人信息保护成效,应纳入《条例》修订和“法法”衔接重点考虑范围。
本文为陕西省社科基金专项项目“加强县(市、区)法治政府建设研究”(项目编号:22022FZX02)的阶段性研究成果。
(作者单位:西北大学法学院)
