摘要: 目前我国的数字政府建设如火如荼,政府的数字化转型也卓有成效,但这对我国的个人信息保护带来了新的挑战。首先,数字化背景下政府信息处理主体混杂;其次,大数据处理侵害个人信息处理告知同意制度;再次,电子政务公开与个人信息保护存在矛盾。以上种种问题都显示了,在我国数字法治政府建设中,个人信息保护是不容忽视的议题。为了在数字法治政府建设中更好地保障个人信息安全,需要进一步构建能与数字化相匹配的个人信息保护制度,严格规范政府信息处理主体,细化个人信息处理告知同意制度,并找到个人信息保护和政府信息公开的平衡点,进一步提高我国数字政府建设的法治化水平。
Abstract: At present, our country’s digital government construction is in full swing, and the digital transformation of the government is also fruitful, but this brings new challenges to the protection of personal information in our country. Firstly, the government information processing subject is mixed under the digital background; second, big data processing infringes on the consent system of personal information processing; thirdly, there is a contradiction between the disclosure of e-government and the protection of personal information. All these problems show that the protection of personal information is an issue that cannot be ignored in the construction of digital rule of law government in our country. In order to better ensure the security of personal information in the construction of a digital government under the rule of law, it is necessary to further build a personal information protection system that can match the digitalization, strictly regulate the government information processing subjects, refine the personal information processing consent system, and find the balance point between personal information protection and government information disclosure, so as to further improve the rule of law level of China’s digital government construction.
1. 数字政府建设中个人信息保护相关概念
(一) 数字政府的基本内涵
随着现代信息技术手段的迅速发展,我国进入了一个崭新的数据时代。互联网、云计算、人工智能等现代科技手段的不断涌现,不仅助推了我国科学技术的发展,也推动了我国政府行政实践活动的革新。从二十一世纪初至今,推动政府数字化转型一直是我国政府建设发展的重要议题。
政府数字化不是一蹴而就的,中国政府的数字化进程可以大致分为三个阶段。第一阶段是电子政务阶段,实现了政府办公自动化;第二阶段是网络政府阶段,体现为政务活动的网络化;第三阶段正是如今的数字政府,追求实现政府组织的数字化。相比前两个阶段,数字政府不是对传统的政务处理技术或方式的简单变革,而是对政府自身运行形态的深刻革新。相较于传统的政府模式,数字政府以新一代的信息技术为支撑,通过构建大数据驱动的政务平台机制,进一步优化调整政府内部的组织架构、运作程序和管理服务,全面提升政府的公共服务水平,从而形成一种崭新的现代化治理模式。一方面,数字政府提高了行政效率,通过简化业务流程、优化组织结构弥补了传统政务结构纷繁冗杂的弊端,节省了大量人力物力资源。另一方面,数字政府提高了民主化程度,打破了传统行政方式“一言堂”的官僚风气,鼓励全体民众积极参与到公共决策中来,群策群力,极大地促进了民主政治建设。
(二) 个人信息的内涵界定
对于个人信息的界定,学界有两种不同的观点。一种是隐私型,即主张个人信息的保护应当以保护隐私作为出发点[1];另一种是识别型,强调个人信息的可识别性[2]。如果采纳前者,将隐私型定义作为个人信息的内涵界定,可能会导致个人信息与隐私的范围模糊难辨,而且还可能不恰当地缩小个人信息的范围。相比较而言,识别型定义更能凸显个人信息的本质,这也是《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)所采取的界定模式。
2021年,我国的《个人信息保护法》正式颁行,这一法律的出台对我国个人信息保护法律制度的构建起到了至关重要的作用。根据《个人信息保护法》的规定:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”上述条文从法律层面上确立了识别作为个人信息的认定标准,并以“自然人有关的各种信息”作为兜底性描述,且将匿名处理后的信息予以排除。这里的识别,既包括能够直接定位到具体个体信息的直接识别,也包括通过对信息分析能够确认其身份的间接识别。总的来说,只要是能够识别具体个人的信息,都应纳入个人信息的范畴。
2. 我国数字政府建设中个人信息保护存在的困境
(一) 数字化背景下政府信息处理主体混杂
传统的行政主体一元化理论仅强调国家行政,由政府行政机关来行使国家权力,忽视了社会行政和多元行政利益。这种传统的一元化理论实际上不利于行政体制改革和政府职能的转变,与当代行政法的发展潮流相悖。随着时代发展,行政主体多元化的理论开始流行,将行政主体扩展到了以非政府公共组织为主的社会主体。而随着我国社会发展,对多元化的认识进一步加强,也逐渐形成了行政主体多元化的趋势,行政主体的外延不断扩大,种类也变得更加复杂[3],行政权的行使也由以往强硬的直接命令转向了较为温和的指导监督。这一趋势在我国数字政府建设的进程中体现得尤为明显。
要想建设数字政府,对数据的收集、分析和整合利用是其中必不可少的关键一环。为了更好地实现对数据的治理,各地政府纷纷建立起了大数据管理机构。这一机构承担起了各地政府数据治理的重要职能,并将推进政府数字化转型和数字政府建设作为工作任务的重点。大数据管理机构掌握着大量的数据资源,通过专业的技术处理手段对数据资源加以整合利用,不仅能够实现数据资源的开放共享,还可以解决政府长久以来的信息碎片化和服务分割化问题。但是,对数据的收集、处理和利用需要大量的专业技术作为支撑,现有的政府资源远远不足以满足现有的数据治理需要,这就需要强有力外援的加入。因此,许多政府都选择采取政企合作的方式,与专业的互联网公司进行对接,以解决数据处理的难题。这样一来,互联网公司以其专业的数据处理技术为政府的数据治理提供帮助,实际上成为了政务数据治理实际上的实施主体。这一模式固然解决了政府数据治理上的技术难题,但是也带来了一定的隐患。因为作为数据治理主体的互联网公司在这一过程中必不可少地将接触大量的数据信息,一旦其利用本身的技术优势对这些信息进行进一步的开发利用,那么必将对个人信息安全造成侵犯。
(二) 大数据处理侵害个人信息处理告知同意制度
2021年实施的《个人信息保护法》设专章对信息处理者处理个人信息的规则作出了规定,明确了个人信息处理告知同意制度。这一制度顾名思义,要求个人信息处理者在收集个人信息的时候,应征得被收集者的同意,并充分告知被收集信息的内容、收集方式和用途等情况[4],这一制度与公民的信息决定权密切相关。公民享有对其个人信息依法支配、控制并排除他人侵害的权利,其权利内容具体来说有信息决定权、信息保密权、信息查询权、信息更正权等等。其中的信息决定权即公民个人得以直接支配与控制其个人信息,决定其个人信息是否被收集、处理与利用以及以何种方式、目的、范围收集、处理和利用的权利。信息决定权在个人信息权利中处于极为重要的地位,因此,为了保障这一权利而存在的个人信息处理告知同意制度是个人信息保护的基石,也是个人信息保护法中的核心制度。然而,数字政府建设中大数据处理技术的广泛运用,使得政府在很多情况下难于履行这一告知义务,给个人信息保护带来了新的挑战。
在我国的数字政府建设中,大数据技术发挥了极为重要的作用,实现了政府数据要素的高效配置。随着信息技术的发展,互联网规模不断扩展,数据本身呈现爆发式增长,数据体量巨大成为了大数据技术最为显而易见的特征,这一技术的价值就在于对海量信息数据的再次利用和聚合分析。然而,面对大量进行过匿名化处理且高度融合的信息,要在其中找出特定的个人信息并依次取得其信息主体的同意几乎是不可能完成的任务,这也就使得个人信息处理的告知同意制度在大数据处理中难以发挥它原本的效用。尽管根据《个人信息保护法》的规定,该法所保护的个人信息并不包括经过匿名化处理的信息,但在大数据时代,以大数据分析技术通过海量的数据分析找出特定的个人信息并借此拼凑出个人画像并非难事。因此,即使个人信息经过了匿名化处理,也难以在大数据技术下保障其安全,个人信息受到侵害的风险仍然存在。
(三) 电子政务公开与个人信息保护存在矛盾
在经济全球化和信息化的今天,瞬息万变的信息成为了经济社会发展的重要因素,信息成为了重要的社会资源。而这其中,政府信息扮演着极为重要的角色。政府信息不仅是社会公众了解政府行为的直接途径,也是公民监督政府行为的重要依据。正是因此,政府信息“深藏不露”是极大的资源浪费,推进政府信息公开是数字政府建设必不可少的要求。为了给公民提供更好的服务,建设服务型政府,就需要运用政府网站来公布相关政府信息。而政府信息中有很大一部分来自于政府部门在履行职责过程中收集到的个人信息,电子政务公开可能会给这些信息主体带来一定的侵害。
当然,政府信息的公开要遵循一定的章程。《中华人民共和国政府信息公开条例》(以下简称《政府信息公开条例》)就明确指出,在对信息公开前,行政机关的事前审查是十分必要的,以此来避免对个人隐私的不当公开。但不可否认的是,政府信息公开实践中仍然存在着对个人隐私的侵犯。比如,2020年5月江西省乐安县农业农村局在乐安县人民政府网站“政府信息公开”栏目公布了四份农机购置补贴情况的政府信息1,内容详细包括了购机农户姓名、购机数量、补贴金额等农户个人信息,涉及农户(含部分单位)1044人次,明显侵犯了公民个人信息安全。这一案例不仅反映出地方政府及其工作人员对个人信息保护的漠视,同时也反映出了电子政务公开和个人信息保护之间存在的难以调和的矛盾。对于涉及社会公共利益的政府信息,出于公共利益保护的考虑需要对其予以公开。而个人信息保护强调的则是对私人利益的保障,使得公民个人信息免受公权力的侵扰[5]。尽管《政府信息公开条例》强调除权利人同意公开或者不公开会严重影响社会公共利益之外,不能对涉及个人隐私的信息予以公开,但是这一规定在实践中对个人信息的保护并没有起到强有力的保障作用。
3. 基于数字政府建设的个人信息保护制度的构建
(一) 严格规范政府信息处理主体
针对经过法律法规授权或者行政机关委托获得相关政府信息处理权限的组织机构,明确其收集公民个人信息的合法性原则。即必须在法定的职权范围内收集公民个人信息,且收集公民个人信息的目的必须合法,必须是出于公共利益和目的的需要,而不能是出于私人私利,否则就构成违法。尤其是政府信息的传递必须发生在行政机关履行职务的过程中,出于正当合法的目的予以传递。也就是说,不能将履职过程中获取的公民的个人信息在工作之外传递给他人,更不能出于非法目的传递信息,以上行为无疑构成了对公民个人信息的侵犯。
而对于为了应对技术难题而参与到政府信息处理当中成为数据治理主体的互联网公司,在信息处理的过程中,由于其专业技术手段的运用,使其极容易获取以及利用所处理的信息,从而构成对公民个人信息的侵犯。针对这一问题,可以考虑从内外两方面入手。一方面,加强对政府工作人员的专业技术培养并吸收更多专业技术型人才,提高相关政府工作人员的数据处理水平。另一方面还应当加强对政企合作中相关互联网公司的监督管理,杜绝数据治理中的个人信息泄露。
(二) 细化个人信息处理告知同意制度
对于政府收集处理个人信息的告知同意制度,除了应当规范其主体、程序等内容,还应当针对性地关注其中一些具体问题。
一方面,告知的内容应当与类型相匹配。一般而言,个人信息可以分为一般信息和敏感信息,后者指的是那些一旦被泄漏或者非法使用,可能危及人身和财产安全并极易导致个人名誉、身心健康受到损害或歧视性待遇的个人信息,具体包括身份证号码、银行账户、通信记录等等。因此敏感信息一旦被侵害,所造成的危害后果将远大于一般信息。这也就要求政府应当根据信息类型的不同,对一般信息和敏感信息进行区分并予以不同的保护。对于公民的敏感信息,应当设置更为严格的必要性和目的性要求,所告知的内容也应当更加全面具体和有针对性。比如,人脸信息是生物识别信息中社交属性最强同时也最容易被采集的个人信息,理所应当属于敏感信息,它的泄漏将会对被采集者造成极大的危害。因此,政府在收集处理人脸信息时,应当提高信息安全的保护力度,把相关服务限定在最为必要的时间、地点和人群范围内,把个人信息泄漏的风险降到最低。
另一方面,告知的内容应当随着时间及时调整。对个人信息处理的告知不仅发生在信息处理前,还包括相关情况发生变化后。尤其是当发生了某些特殊情况时,告知的内容更应当尽量具体全面,并列出情况变化的原因、内容、对公民个人可能产生的影响以及救济途径等重要的相关信息,以此更好地保障公民个人信息处理的告知同意权。
(三) 平衡个人信息保护与电子政务公开
首先,明确界定政府信息公开中个人隐私的标准。《政府信息公开条例》虽然明确了对涉及个人隐私的政府信息不应当公开,但是对个人隐私的内涵没有加以规定。因此,为了更好地厘清个人信息标准,可以根据隐私程度的不同对其进行细化,分为不同的层级,设定不同的保护力度。对于那些和人格利益密切联系的个人信息,应当给予更高程度的保护,因为这部分信息的不当处理将会对个人权利造成难以弥补的伤害。而对于隐私性较低的信息,可以通过对这些信息的部分让渡实现更大的公共利益。
其次,明确界定公共利益的标准。考量个人信息中包含的多重因素,综合考虑其对公共利益的影响。也就是说,如果当信息公开所形成的公共利益小于公开所造成的损失时,那么该信息就不宜公开,反之则可以公开。
最后,完善政府信息公开的流程。科学合理的政府信息公开流程对公民个人信息的保护也会起到积极地推动作用。一方面,要不断加大信息公开前政府审查的力度,避免出现形式性审查,做到实质且高效地审查个人信息,切实保障政府信息公开的合理合法。另一方面,扩大信息公开事先告知的范围。在政府信息公开的过程中,对于涉及相关权利人利益的情况,除了依申请公开的情况之外,对于依职权公开的有关事项也应当书面通知相关人员并征得其同意之后才能公开。
4. 结语
总而言之,我国近年来一直大力推进数字法治政府建设,并取得了令人瞩目的成绩。然而,数字法治政府建设在提升政府服务能力、推动国家治理能力现代化的同时,给公民的个人信息安全也带来了极大的风险与挑战。传统的个人信息保护模式强调以数据处理者为中心,公私部门相互独立,这与数字化政府开放性、系统性、协同性的特性相悖。我国的数字法治政府建设,不仅融合了不同的公共实体部门,而且实现了公私部门的整合。在这种发展趋势下,如何规范政府的个人信息处理活动,构建与数字政府相互兼容的个人信息保护制度,就成为了数字法治政府建设中的重要议题,留待大家进一步的研究和讨论。
NOTES
1江西省乐安县人民检察院督促规范政府信息公开行政公益诉讼案.中华人民共和国最高人民检察院网站,网站链接:https://www.spp.gov.cn/spp/jcgyssljgrxxbh/202104/t20210422_527819.shtml,最后访问日期:2024年7月17日。