法学∣罗英:个人信息在国家机关之间传输的类型化治理
OCT
02作者:罗 英
作者单位:湖南大学法学院
责任编辑:郭海清
全文已略去注释,如需查看,请订阅《法学》
【内容摘要】 行政法上关于“瑕疵”的理解存在狭义与广义之分。能被补救的行政行为瑕疵,限于“行政上微小的缺点”,且仅限于行政行为在实施程序方面的瑕疵(即程序瑕疵),及在事实与证据方面、规范依据方面的瑕疵(属实体瑕疵)。面向程序瑕疵与实体瑕疵的补救机制,分别为补正制度与理由之替换,二者均产生治愈行政行为违法性的效果。但行为意义上的替换理由不等于结果意义上的理由之替换:前者仅在一定范围内才产生治愈违法性的效果。在我国,补正行政行为程序瑕疵的时点被限于提起行政诉讼前,一旦进入诉讼阶段,补正的效果将被推翻。事实与证据、规范依据都属于可以为行政行为合法性提供支持的“理由”,适用理由之替换将面临三项限制:用作替换的证据必须在行政行为作出时就已被收集;不得因替换证据而架空法定的陈述意见程序或听证程序;不得因替换证据或规范依据而改变行政行为的同一性。
【内容摘要】个人信息传输是我国《个人信息保护法》第4条第2款规定的一种个人信息处理行为,国家机关之间通过数据共享技术传输个人信息,在我国数字政府建设中渐成常态。基于传输主体的组织形态、传输发起的缘由等不同因素,个人信息在国家机关之间的传输行为呈现一体化和点状式两种实践形态。前者是基于公共数据共享平台而展开的规模化传输,后者则是国家机关在履行法定职责或法定义务过程中,因职权互动或依职权主动而展开的个案式传输。从本质上而言,以上两类行为在法律属性上属于双元性事实行为。为了应对“一体化形态”的叠加风险与“点状式形态”的特殊风险,宜基于类型化视角对国家机关间个人信息传输行为进行适法性调适,以法律保留原则对传输行为区分不同的规范强度,根据程序正当原则对传输行为形成梯度性约束,并按照均衡性原则对传输行为进行差异化调控。
【关键词】个人信息保护法 个人信息传输 法律保留原则 程序正当原则 均衡性原则
◐
个人信息传输是我国《个人信息保护法》第4条第2款规定的一种个人信息处理行为,其核心特征是将已收集的个人信息在不同信息处理者之间传递、移转。这一信息处理行为与公共数据共享联系紧密,但又存在明显差异。基于我国《个人信息保护法》“一体调整”的立法模式,个人信息传输行为既可能发生在非国家机关之间、非国家机关与国家机关之间,也可能发生在国家机关之间。中共中央、国务院于2023年印发的《数字中国建设整体布局规划》明确要求“发展高效协同的数字政务……强化数字化能力建设,促进信息系统网络互联互通、数据按需共享、业务高效协同”。在扑面而来的数字政府建设浪潮下,“整体智治”不再是浪漫的智能化遐想。“一网通办”“多码协同”“跨省通办”“一码通”等政务数据共享技术层出迭生,国家机关之间通过这些技术传输个人信息,在我国数字政府建设中渐成常态。
然而,相较于颇受关注的个人信息收集行为,国家机关间个人信息传输行为甚少被关注。此类行为将原本散置于各处之公共数据迅速复制、移转、利用,提高了行政效率和公共数据利用率,同时减少了相对人因相同个人信息被不同国家机关重复收集的反感,在提升公共服务满意度上具有合理性,但也可能滋生数据安全、隐私权受损之风险;且传输行为可能改变原始个人信息收集时所确立之目的,减损当事人的个人信息自决权。同时,此类行为往往发生在公权力主体之间,属于内部行政的一部分,存在个人信息权益秘密受损之风险,个人信息被窃取、篡改、毁损、灭失或泄露等风险相对更高。2022年9月13日,国务院办公厅发布的《全国一体化政务大数据体系建设指南》明确要求,要“厘清数据流转全流程中各方权利义务和法律责任”。我国《个人信息保护法》第2章第3节虽对国家机关处理个人信息有专门规定,但多为原则性规定,规范密度明显不足。因此,在我国数字政府建设中,有必要关注个人信息传输这一特定类型的公法行为,推进个人信息保护法治的精细化研究。有鉴于此,本文将首先对国家机关间个人信息传输行为的实践形态进行类型化描摹,并在此基础上分析其法律属性及可能引发的法治风险,最后基于类型化的思路,提出相应的适法性调控对策。
一、个人信息在国家机关之间
传输的实践类型
20世纪以降,伴随着科学技术的逐步发展,以及行政组织和科层体制的快速创设与完善,政府在公共管理过程中对个人信息的需求更胜以往,大量包含姓名、家庭地址、受教育程度、行程信息、婚姻状况、收入、缴税记录、犯罪记录等内容的个人信息被国家机关收集和掌握。进入数字政府时代,政府又通过建立大型数据库、数据平台等方式存放已收集的大量个人信息,并采用数据共享与开放的方式进行个人信息的传递。基于传输主体的组织形态、传输发起的缘由等不同因素,国家机关间个人信息传输行为呈现不同的实践形态。
(一)一体化形态:基于公共数据共享平台
在“整体政府”理念下,根据公共数据共享开放之总体规划或机制,基于优化营商环境、便民服务等目的,通过公共数据平台进行的个人信息传输属于一体化形态。此种类型的个人信息传输行为一般基于公共数据共享与开放的一体化建设需求,发生在不特定的行政机关之间。
本世纪伊始,我国已在科技基础条件平台、气象观测、电子口岸、食品安全等领域提出“数据共享”规划。2015年,国务院颁布《国务院关于印发促进大数据发展行动纲要的通知》,从总体上提出要“推动政府部门数据共享”。2016年9月5日,第一部政务数据共享行政法规——《政务信息资源共享管理暂行办法》颁布施行。此后,地方政府陆续出台相关立法,典型的如2017年《贵阳市政府数据共享开放条例》和2020年《贵州省政府数据共享开放条例》。2022年,国务院印发的《关于加强数字政府建设的指导意见》对政府数据共享开放作出了更为系统全面的规划。
根据官方文件的界定,政府数据共享意指“行政机关因履行职责需要使用其他行政机关的政府数据或者为其他行政机关提供政府数据的行为”。从公共数据共享定义涵摄的范围来看,共享应限于“提供”与“使用”两种公权力主体的数据行为。从语义来看,“提供”与“使用”是具有双向性的互动行为,本身意味着公共数据因共享在国家机关之间发生流动,而流动必然就会产生个人信息的传输。有论者甚至指出,“数据共享本质上是个人信息传输的一种方式。”因此,本文将其视为国家机关间个人信息传输行为的一种类型。
实践中,此种类型的个人信息传输行为具有以下特点:第一,宏观性。公共数据共享一般以国家、区域、多部门的战略规划或机制建设的形式,出现在各级法律规范和政策文件中,具有宏观战略性,区别于行政机关在执行行政任务具体个案中的点对点式传输。第二,多元性。主要体现在发生的场景多元,不仅可能发生在跨部门公共行政中,也可能发生在跨区域公共行政中。前者如《社会救助暂行办法》第6条明确要求县级以上人民政府建立跨部门的社会救助管理信息系统,实现社会救助信息互联互通、资源共享;后者如沪苏浙三地正在探索建立的“长三角区域数据共享工作机制”。第三,平台性。公共数据共享往往与政府的信息化、数字化建设密切相关,也需要借助数字技术来实现,通过平台来连接“提供”与“使用”行为,以促进数据的高效流通与价值实现。如2016年的《政务信息资源共享管理暂行办法》第11条明确了全国和各级政府的共享平台和共享平台体系建设职责,第12条则明确了不同类型的共享类信息资源,部门之间如何实现信息共享。这些规范都表明此种类型的个人信息传输需要借助数字平台来实现。第四,规模化。此特点与前述平台性相关,此种形态是“政府巨型数据库”时代的产物,国家机关可运用数字平台这一数字化处理介质,其个人信息传输的量级显著大于后述点状式形态。美国学者JulieCohen将其定性为一种“对个人有系统性的资料汇集”,由于各国政府越来越多的重大决策是根据这些汇集个人信息的系统性资料而作出的,其最终效果要超过单个、判断性的个人信息的单纯加总。
(二)点状式形态:基于职权互动与依职权主动
现代国家任务兼具复杂性、专业性和多样性,单一公权力主体往往难以胜任,行政机关之间进行职权互动与合作非常必要。行政机关在完成公共任务过程中所取得的个人信息,因职权互动或依职权主动之需要,不可避免会传输至合作机关。此种类型个人信息传输行为具有点状式、个案性的特点。
1.基于职权互动进行的个人信息传输。根据国家机关之间的职权关系,此种传输行为既可能发生在隶属关系国家机关间,也可能发生在非隶属关系国家机关间。
(1)隶属关系国家机关间个人信息传输。国家机关之间的职权关系可从垂直和水平两个方向进行划分,隶属关系是对存在上下层级关系的公权力主体之间纵向关系的描述,其判断标准为上级机关对下级机关职权行使的合法性与合目的性是否存在指挥、决定、监督权。此种指挥、决定、监督权可表现为批准、审查、审批、备案、代为处理、行政复议、奖惩等。隶属机关与被隶属机关之间的指挥、决定、监督关系本质上是为了组织化完成公共任务并确保其合法性与合目的性,本文将其归入广义上的职权互动关系。
在纵向职权互动中,被隶属的国家机关将执行公共任务过程中所收集的个人信息一并提交给隶属机关,以确认自身职权行使的合法性与合目的性,或者由隶属机关对外作出最终产生法律效力的决定。前者如依据我国《行政复议法》规定,在不服最低生活保障金决定的行政复议中,民政部门在受理时要对申请人是否符合领受资质进行审核,从而收集反映申请人家庭经济状况和生活水平的证明材料,借此作出行政行为的这些材料应依法提交给复议机关,由此大量的个人信息将在被申请人与复议机关之间传递。后者如我国《行政许可法》规定的依法应当先经下级行政机关审查后报上级行政机关决定的行政许可,在上报过程中下级机关不仅应当遵守法定期限的要求,而且要将审查意见和全部申请材料直接报送上级行政机关。此类行政许可主要需要进行总量控制,由较高级别的行政机关审批以进行统筹和合理布局。《陆生野生动物保护实施条例》规定的“特许猎捕证”就是此类行政许可。此时,因行政许可的最终审批权由隶属机关享有,被申请机关必须将当事人的申请材料报送给隶属机关,从而产生个人信息的传输。
(2)非隶属关系国家机关间个人信息传输。职权互动也会发生在非隶属关系国家机关间,此类职权互动关系是一种横向的平行互动关系。以管辖权是否实现移转为标准,非隶属的职权关系可分为职务委托、职务协助与职务会同。一般而言,职务委托实现了管辖权移转,职务协助与职务会同则没有发生管辖权移转。在职务委托关系中,原机关的管辖权依法移转至受委托机关,即产生管辖权移转效果之权限授予机制,原机关在移转期间内丧失执行该行政事务之权限,受委托机关取而代之成为新的管辖机关,享有执行被移转行政事务之权限。职务委托是行政合作的制度工具之一,但在职务委托中并不存在两个具有独立管辖权的机关,原机关与受委托机关不会因执行被移转之行政事务而产生交集,二者只是在管辖权上实现了交接与移转。从本质上而言,此类职权关系是一种职权的单向流动,并未形成职权互动关系,故而也不可能产生个人信息之传输。因此,在非隶属关系国家机关间的个人信息传输只可能发生在职务协助与职务会同两类职权互动关系中。
第一,因职务协助而产生的个人信息传输。根据我国学者的定义,职务协助发生在两个无隶属关系的行政机关之间,且应当由有管辖权的行政主体基于法律或事实之需要,向无管辖权的行政主体提出协助请求,无管辖权的行政主体依法运用职权予以协助。因此,很多国家和地区的行政程序法对此项制度予以明确规定,并将职务协助明示为行政机关彼此间的义务。我国湖南、山东等地先后在行政程序规定中对该项制度予以吸收;《行政处罚法》在修订中于第26条增加了行政处罚实施中的职务协助制度;新近颁布的《江苏省行政程序条例》第28条也明确规定了职务协助的范围、要件等内容。职务协助是一种典型的基于合作的职权互动关系,为形成行政合力完成特定国家任务,请求机关与协助机关之间会传递信息,因此存在个人信息传输之可能。有学者敏锐地指出:“行政机关之间基于职务协助相互传递信息的现象亦普遍存在,此种情况应在个人信息保护法的框架下重新检讨。”
根据职务协助的学理分类,一般可将其分为不直接对外发生法律效果与直接对外发生法律效果两种类型。前一种类型中职务协助行为仅是辅助性行为,辅助提出请求的行政主体完成行政任务,不具有对外性和法效性,不产生外部法律效果。如信息传递、文书档案等资料寄送、书证或其他证据材料的收集、参与听证或担任鉴定人、协助调查案件之部分事实、请求提供有关物力设施或人力等协助行为。此种类型本身也是职务协助适用的一种情形,如《江苏省行政程序条例》第28条第1款第3项规定,行政机关若“执行公务所必需的文书、资料、信息为其他行政机关所掌握,自行收集难以获得的”,可以书面请求相关行政机关协助。在具体行政执法领域中,此种类型的职务协助俯拾皆是。如《法律援助法》第41条规定,法律援助机构核查法律援助申请人的经济困难状况时,要确定申请人经济困难之事实,有关部门、单位、村民委员会、居民委员会都应当予以协助。后一种类型中职务协助行为是直接对外作出发生法律效果的具体实施行为,德国法上称之为“加重之职务协助”。此种职务协助多发生在警察行政领域,请求协助的行政主体囿于行使强制力或处理公共安全事件之能力有限,得请求警察机关予以协助。
第二,因职务会同而产生的个人信息传输。职务会同是指各自享有管辖权但不相隶属之公权力主体,会同制定行政规范或会同作出行政行为之职权关系。学理上也将之称为“协力行政”。职务会同是一种典型的职权合作关系或者联合关系。相较于职务协助而言,职务会同在构成要件上更为灵活,并不严格要求以其他不相隶属机关之请求为要件。公权力主体之间形成职务会同关系时,一般在作出行政决定之前进行会商与讨论,这需要基于所决定事项的相关信息与事实资料才能展开。职务会同在联合执法、联合取缔、联防联控和重大行政决策等中均有体现,特别是国家机关在作出与相对人经济利益密切相关的重大决策时,秉持审慎的态度,往往会进行多部门的会商。如我国《法律援助法》第52条对法律援助补贴标准确定程序的规定,明确要求“省、自治区、直辖市人民政府司法行政部门会同同级财政部门,根据当地经济发展水平和法律援助的服务类型、承办成本、基本劳务费用等确定,并实行动态调整”。为了科学确定或动态调整法律援助补贴标准,在决策形成过程中,有关法律援助工作者和被援助对象的个人信息就可能会被收集,并在有职务会同关系的国家机关之间传递与流通。
2.依职权主动进行的个人信息传输。实践中,国家机关也可能依职权主动向其他机关传输个人信息。此种类型具有如下特点:第一,主动性。传输个人信息的国家机关主动发起传输行为,不需要任何其他国家机关的请求,也不需要基于任何职权互动的现实需求。第二,法定性。此种个人信息传输行为原则上应当在法律规范中明确予以规定,属于传输机关的法定职责,或者是在履行法定职责过程中必然会发生的传输。第三,主体关系的不特定性。此种情形只要法律规范有明确规定,传输机关和接收机关之间并不必然存在隶属关系,也不要求存在职权互动关系。此种情形在不同权力分支的国家机关之间和信用、违法信息共享机制建设两个领域较为常见。因后一种类型主要体现在特定领域的信用或违法信息的个案传输,虽然其也可能会涉及通过数字平台进行个人信息传输,但因仅限于个案式的传输,本文将其与前述基于公共数据平台的个人信息归入不同类型。前者如公安机关根据法定职责,必须主动将刑事侦查中所收集的与公诉案件有关的个人信息传输至检察机关之情形。后者如《最高人民法院关于公布失信被执行人名单信息的若干规定》第8条规定人民法院应当主动向政府相关部门、金融监管机构通报失信被执行人名单信息。
二、个人信息在国家机关之间
传输的法律属性及其法治风险
前述个人信息在国家机关之间传输实践形态的类型化描摹,展现了一幅层次井然的实践图景,基本厘清了此类信息公权力行为的事实属性。对公权力主体行为的识别和限定需从事实属性与法律属性两个维度展开,要在公法行为谱系中对其进行准确定位和识别,为其存在的法治风险及其治理提供论证思路,还需进一步分析其法律属性。
(一)国家机关间个人信息传输行为是一种双元性事实行为
1.性质上属于事实行为。有学者指出,“国家机关处理个人信息在性质上属于国家机关的职权行为,国家机关与个人之间形成的是公法上的权利义务关系。”这一定性诠释了该行为的本质,即国家机关处理个人信息体现了公权力的行使,国家机关间个人信息传输行为属于个人信息处理行为的一种具体类型。根据我国《个人信息保护法》第34条之规定,国家机关处理个人信息应“为履行法定职责”,当然符合“职权行为”的特点。但这仅仅识别出行为内容的“权力性”,而未及于其法律效果。传统行政行为法理论认为,是否具有“法效意思”和“对外直接的法效性”是区分行政行为与事实行为的两个要素。国家机关间传输个人信息并不以创设、增加或减损信息主体的权利义务为目的,也不对其权利义务产生直接影响。因此,该行为的性质并非一种法律行为,而是一种特殊的事实行为。事实行为的定性决定了该类公权力行为一旦侵犯私益,将对信息主体的救济带来一定限缩,因事实行为不存在撤销、确认无效的纠正机制,对其合法性的调控需作出更精细化的制度设计。
2.行为主体具有双元性。“所谓传输,是在特定主体之间进行信息开放、披露。”无论是通过数字技术抑或纸质资料的检索、查阅与邮寄,传输行为必然在两类主体之间进行,即个人信息来源机关和接收机关。个人信息来源机关是传输的源头与基础,没有其信息的输出,传输行为犹如“无源之水、无本之木”。个人信息接收机关则完成对个人信息的输入、存储、编辑、复制等程序,实现对个人信息跨机关、跨人员的处理与利用。来源机关的行为是将个人信息提供给当事人以外的第三人,德国法分为两种方式传送给第三者:一是由信息储存单位传送至接收机关;二是由接收机关从储存机关查阅或截取原始资料。无论传达、查阅或截取,其共通概念皆属必须具有“外部性”,即所获知之来源来自单位内部者,非属传递之行为。传输具有主体的双元性,系传输关涉个人信息来源机关和接收机关两个主体,可以是单方行为,而非必然为双方行为。换言之,传输是双主体行为,可能是发生在双主体间的单向行为,却不一定是双主体的双向互动行为。
3.行为样态上亦具有双元性。与主体双元性相关,此类信息公权力行为在行为样态上也具有双元性的特点。就来源机关而言,其将所保存之个人信息提供给其他机关使用,在《个人信息保护法》第4条第2款所规范之行为样态上,应被归入个人信息处理行为中的“提供”行为。就接收机关而言,其接收行为则可被归为个人信息之“使用”行为。无论其主动提出申请或请求,抑或被动地接收,其结果皆因来源机关之“提供”行为而取得个人信息。因此,国家机关间个人信息传输行为由来源机关之个人信息“提供”行为与接收机关之个人信息“使用”行为共同组成。我国台湾地区学者也将之称为“复数机关集合式资料对待行为”,具有行为评价之双元性。进而言之,这种双元性不仅体现在数量上,也表现为前后两个行为在程序上的联动关系和依存关系。
4.目的具有公益性。作为事实行为的国家机关间个人信息传输行为,具有权力性的属性决定了其目的具有公益性特征,即个人信息传输行为的发生并非为了国家机关自身的利益或者攫取商业利益,而是为了实现公共利益,提供公共服务或增进公共福祉。目的公益性与国家机关是否履行法定职责或法定义务并无必然关联,非基于法定职责或法定义务所必需,仅仅是为了优化公共服务质量,因其以更优的公共服务和增进公共福祉为目标,也应当被视为具有公益性目的。如优化营商环境背景下,为了实现“让数据多跑路,让百姓少跑路”而进行的个人信息传输。
(二)个人信息在国家机关之间传输的法治风险
随着数字信息技术的发展,传统的一切都已被数字化“再定义”和“重编码”,物理世界正在被数字化的虚拟世界全息复制,每一处角落、每一个自然人都将无可避免地被提取多维的信息,生成一个平行共存的数字孪生体。这种趋势在商业资本助推和数字政府建设的合流下越发显现,而由此伴生的各种技术风险、伦理风险和法律风险也愈来愈成为人们忧心和焦虑的对象。虽然一体化形态和点状式形态的国家机关间个人信息传输行为面临着相似的法治风险,但因其行为类型的特殊性,又表现出一定的差异化。
1.一体化形态中的叠加风险,主要有:
第一,一体化汇聚的信息监控风险。数字政府建设的共性基础设施是一体化在线政务服务平台,其运行的前提是一体化采集公众信息,其建设的目标是通过统一身份认证、统一服务门户、统一网络支撑、统一管理事项、统一数据共享,全面实现“一网通办”。虽然政府服务的初心是为了便利群众办事,让其“只进一扇门”“最多跑一次”“不盖多个章”,但数字政府建设的总体架构和运行逻辑决定了其必将一体化汇聚数据信息。这种个人信息的一体化汇聚无疑数倍放大了信息监控风险。
第二,模糊性授权的实质违法风险。在一体化公共数据共享平台的建设过程中,国家政务服务平台作为总枢纽,会对接国务院各部门垂直业务系统,联通各省市政务服务平台,整合人口、法人、信用、地理、生物信息等基础资源库,发挥公共数据共享交换通道的作用。国务院有关部门和各省市提出政务服务数据共享的需求,国家政务服务平台会统一受理和提供服务,在实践中提出的共享需求可能基于模糊性的授权,而受理方提供的服务往往是一揽子的数据,此时个人信息在国家机关之间传输缺少根据规范,立法并未将个人信息的处理权限予以明确授权。如《精神卫生法》第24条规定的“精神卫生工作信息共享机制”,因精神卫生涉及个人敏感信息,若缺乏明确的法定授权,极易产生信息交流共享中公权力行为的合法性危机。此外,行政程序法上“职务协助”条款并不能直接作为一体化个人信息传输行为的授权依据。根据德国行政法原理,职务协助尚须符合“临时性”的要求,亦即事件处理完毕就应停止,不能使事件成为长期例行工作,共享与常态化的信息传输皆非一次性之性质,并不符合临时性的要求。进言之,共享需求的提出方是基于何种目的和法律依据要求提供多大范围、何种类别的数据,提供服务的受理方又是基于何种审查义务,在多大权限内传输何种类别的数据,立法上尚不明朗或者不够细化,如果不能为这种一体化的集中授权寻找到相应的依据,则会使其陷入实质违法的泥淖之中。
第三,批量化传输的泛化处理风险。在一体化公共数据共享平台的运行当中,国家政务服务平台与国务院各部门、各省市平台之间的数据交换、传输和更新,往往是批量化的大数据处理。这种处理不同于精细化的个案处理,往往基于一项维度或一项标准进行海量数据提取,使得很多关联性不大的数据由于泛化处理的模式而被标注和传输,甚至让无权获取的国家机关掌握职权范围以外的大量信息。行政机关是最大的个人信息收集者、保有者和处理者,掌握着我国80%以上的信息数据资源,不仅包括很多公开的政府数据,也包括很多“养在深闺”的个人信息和公共信息。如果一体化公共数据共享平台在数据传输中不进行精准的分级分类,而是粗疏地批量化处理,就会使得大量隐私性的信息被不当公开和使用,从而带来泛化处理的潜在隐患。
第四,大规模泄露的数据安全风险。推进一体化在线政务服务平台建设,旨在通过各地区、各部门的政务服务规范化、标准化和集约化,形成全国范围内互联互通的“一张网”。这张网发挥着全国政务服务管理的公共通道、公共入口、公共支撑的作用,汇聚着最权威、最大量、最广泛的可价值转化的各种数据,且需要即时性响应各种类型的数据调用需求。一体化在线政务服务平台的基础性和价值性,决定了其将成为无数商业机构、技术黑客甚至恐怖势力攻击的“数字堡垒”。同时,一体化公共数据共享平台的公共性,决定了其需要面对不同政府机关共享数据和面对不同社会公众进行数据公开,其数据存储会采用分布式的云端技术,这使得数据平台处于随时可攻击的开放环境中,数据安全风险极其凸显。2018年,法国外交部的“阿丽亚娜”紧急联络人信息数据库遭黑客入侵,美国政府网站HealthCare.gov被黑致使7.5万人敏感信息泄露,印度国家生物特征库Aadhaar数据被低价售卖;2023年,我国地震监测系统被境外的后门恶意软件攻击。这些让人震惊的事件均告诫我们,必须高度重视大规模数据泄露的风险防控,建立稳健的网络安全韧性生态系统,抵御各种网络攻击,护航数字社会发展。
2.点状式形态中的特殊风险,主要有:
第一,授权要件满足的当然性风险。与前述一体化形态中的模糊性授权不同,在点状式形态中,国家机关间个人信息传输行为容易自认为是有授权的。这使得在传输个人信息时容易忽略其前置性条件,即是否具备实质权限基础。依职权主动进行的个人信息传输一般基于法律明确授权,其要件满足自不待言,但基于职权互动的个人信息传输则未必,且容易被当然性地视作满足,这就存在缺乏实质权限基础易被忽视的风险。在具有隶属关系的国家机关间进行纵向个人信息传输,一般上级机关具有更广的管辖权,可以要求下级机关在职权范围内传输,但下级机关不得对等要求上级机关进行传输,除非是基于管辖权委托或管辖权指定,否则仅得在有限范围内请求上级机关提供合乎目的的相关数据。在非隶属关系的国家机关间进行横向个人信息传输,分为合意型和默示许可型。其中合意型又分为相向合意型和同向合意型,前者如非隶属关系国家机关间基于相互达成的协议而互传个人信息,即基于合意的职务协助行为;后者如非隶属关系国家机关基于共同的行政目的而联合作出的行政行为,即基于合意的职务会同行为。默示许可型主要存在于职务协助行为中,将职务协助当然性地作为国家机关间传输个人信息的正当化事由。然德国法认为职务协助之内容涉及基本权利之侵害的情形,请求机关有特别法所赋予实质管辖权限者,才能为资料的传输。职务协助仅具有程序法上的性质,并不足以为个人信息传输提供实质权限基础,但不排除其他法律得以明文赋予实质权限。基于合意的职务协助行为,以两机关间订立“行政协议”方式作为个人信息传递行为的依据,这种私意契约并不当然能作为公权授予的凭借,否则有违职权法定主义的原则。基于合意的职务会同行为,多源于实现共同目的之协力行政,相互传输资料并共享信息具有目的实现之必要性,且限于一事一议或集中性的行动,影响可控,则对授权要件满足不会那么严苛。比如集中整治乱搭乱建的执法中,国土、规划、城管等部门可以在协力行政中共享乱搭乱建的户主姓名、家庭人口、占地面积、用地规划属性等个人信息。
第二,告知同意规则的虚置性风险。知情同意是个人信息处理的一项基础性规则,然而国家机关间个人信息传输极易忽视这一规则,同时也可能与原始收集的目的存在或多或少的落差,这就导致告知同意规则在点状式形态的传输实践中成了虚设,不能发挥程序控制的功能,无法维护当事人的信息自决权。告知同意规则包括告知规则和同意规则,前者要求个人信息的处理须以显著方式、清晰易懂的语言让该个人充分知情,真实、准确、完整地掌握有关事项;后者要求个人信息的处理须征得该个人的同意,且在充分知情的前提下自愿、明确地作出。《个人信息保护法》第18、30条和第35条规定了可以不告知和事后告知的例外情形,第13条第2款规定了不需取得同意的豁免情形,为告知同意规则的“差别化适用”撕开了一道口子。根据该规定,法律、行政法规规定应当保密或者不需要告知的、告知将妨碍国家机关履行法定职责的,均属可以不告知的情形,这种主观判断法给国家机关虚置告知同意规则创设了肆意的解释空间。而该法第13条采用例外列举的开放式结构,将订立履行合同、履行法定职责、紧急危机应对、公共利益目的、公开信息利用及“法律、行政法规规定的其他情形”划归为无须同意的情形,也给个人信息在国家机关间传输罔顾告知同意规则创造了弹性的有利条件。这些豁免情形,亦被称为限制性允许条件,其与告知同意规则在该条款中显示为并列关系,只要符合限制性允许条件之一,就不需要取得当事人同意,或者只要取得当事人同意,则无须满足其他限制性允许条件。这种以限制性允许条件替代当事人同意的制度设计,可能不当架空告知同意规则,使其特定目的规制作用无法发挥效果,违背了当事人的信息自决权。
第三,合法性控制的形式僵化风险。国家机关间个人信息传输行为作为一种双元性事实行为,且呈现不同的类型,不能一刀切式地进行合法性控制。但在点状式形态的规制实践中,存在通过僵化的形式主义做法,对国家机关间个人信息传输行为进行简单化、普遍化、非精准化的处置。不同类型的个人信息传输行为存在不同的合法性控制侧重点。首先,在依职权进行的主动传输与基于职权互动的被动传输中,因传输的发起存在主体、事由等差异,合法性控制的风险在传输行为的不同阶段呈现不同的态势,因此应当对来源机关和接收机关的合法性控制责任作出不同程度的要求。其次,授益性行政行为与负担性行政行为的个人信息传输中,因两类行为对个人的权利义务的影响机制不同,也应作出差异化的合法性控制要求。最后,程序是现代行政法的精髓。只有通过行政法将行政行为的步骤、方法、次序、时限等诸要素进行合理规范,才能确保行政权力的行使在约束的范围之内。在非隶属关系国家机关间的职务协助行为和职务会同行为并不相同,应采用不同的行政程序予以规制。
三、个人信息在国家机关之间
传输的适法性调控:
基于类型化的视角
我国现行立法存在制度性的供给不足,相关条文稍显简略、粗疏、抽象,不能有效地应对国家机关间传输个人信息所存在的风险与挑战。因此,有必要基于前述类型化视角,对国家机关间个人信息传输行为的适法性进行体系化制度建构。由于此种传输行为是一种公权力行为,当然适用依法行政、正当程序、合法预期保护、比例原则等行政法的一般性原则,同时亦需要针对信息公权力行为的特点提出特别要求。以下将结合前述类型化分析,针对个人信息传输行为的特点,着重探讨如何基于合法性和合理性维度对其进行特别的规范和限制。
(一)法律保留原则对传输行为应区分不同的规范强度
法律保留原则要求“法无授权即禁止”,一切公权力的存在与运行必须获得规范授权。
1.法律保留原则对一体化传输行为的要求。如前所述,一体化形态的国家机关间个人信息传输行为,相较于点状式形态的传输行为,对个人人格利益有直接冲击性,具有更强的潜在危害性,必须置于法律保留原则的框架中谨慎对待。
从法律保留原则的调整密度而言,由于一体化形态的国家机关间个人信息传输行为会产生规模化效应,给信息源的一切自然人、法人和其他组织带来灾难性的危害,加上个人信息的处理与《宪法》第33条和第38条的基本权利条款直接相关,故这里法律保留原则中的“法律”不仅指全国人民代表大会及其常委会通过的法律,还包括宪法。之所以说这里存在宪法保留,主要基于两点:一是,根据德国联邦宪法法院所采纳的“重要性”说,公民重要的权利义务应由法律加以规定,涉及相对人的重要的、基本的、决定性的和紧急的权利应保留给宪法以国民民主的方式决议,而不能让行政权力恣意妄为;二是,根据日本学者提出的“权力保留”说,国家机关的权威源于宪法以及根据宪法由人民代表机关制定的法律,而一体化在线政务服务平台的组织形态及“超级权力”也同样源于或者说间接性源于宪法。当然,这里的宪法保留原则,不是说宪法中必须要有具体的直接性规定,而是说要有涉及个人信息的基本权利保护规定。相比于点状化形态的传输行为,这里的“法律”主要是综合性的基础立法,比如《个人信息保护法》《民法典》和《刑法》。
从法律保留原则的调整范围而言,一是,不同的行政行为目的,对法律保留规范强度要求不同。一体化形态的国家机关间个人信息传输行为既涉及羁束目的的干预行政,也涉及授益目的的给付行政;前者系侵害行政相对人的基本权利或对行政相对人课以义务,后者系为行政相对人提供物质帮助或其他授益性服务。两者都必须得到法律的授权且在法律规定的范围内进行,但相对于给付行政,干预行政适用法律保留原则更为严苛。二是,不同的个人信息类型,对法律保留规范强度要求不同。一体化形态的国家机关间个人信息传输行为既涉及个人一般信息,也涉及个人敏感信息,有学者提出“两头强化、三方平衡”理论,认为要强化对前者的利用和对后者的保护。对个人敏感信息的利用,应当获得狭义法律的授权;而对个人一般信息的利用,可以允许法规作为授权依据。三是,不同的传输行为类型,对法律保留规范强度要求不同。一体化形态的传输主要分为共享行为与开放行为,前者是国家机关间的个人信息传输,后者是面向公众依申请的个人信息传输。因开放行为系面向不特定多人的个人信息传输,其开放面、开放手段和信息深度都会受限,其法律保留规范的强度会弱于共享行为。
2.法律保留原则对点状式传输行为的要求。在点状式传输场景下,法律保留原则着眼于具体的行政行为是否“积极”地依法行政,在没有立法机关所制定之法律的授权情形下,行政机关即不能合法地作出相应的行政行为。换言之,无论是基于职权互动还是依职权主动的国家机关间个人信息传输行为,都不得与法律相抵触,也不得以消极的不违反法律为理由,还必须积极地以法律来明确规定。由于点状式形态的国家机关间个人信息传输行为更为杂乱、类型多样,且个案化的危害性较一体化的危害性更小,因此从法律保留原则的调整密度而言,这里的“法律”主要是具体的专门性立法,比如《行政许可法》《人民警察法》等。当然,在点状式传输场景中,也同样要受制于宪法和综合性基础立法的规定,比如《个人信息保护法》第34条就是一般化的“法律保留原则”规定,所有的国家机关进行个人信息处理都得适用。
从法律保留原则的调整范围而言,一是,区别行政立法和行政执法,赋予不同程度的法律保留。从行政立法的角度而言,立法机关保留对某些事项的立法权限,行政机关除非获得授权,否则不得作出任何规定和决定,即相对法律保留。比如《著作权法》第6条规定,民间文学艺术作品的著作权保护办法由国务院另行规定,若遇有关部门向著作权管理机构请求传输民间文学艺术作品传承人的个人信息,则这里法律保留原则中的“法律”可扩展至授权国务院制定的行政法规。从行政执法的角度而言,如果没有全国人民代表大会及其常委会制定的法律,行政机关将不得作出减损公民、法人和其他组织合法权益的行为,即绝对法律保留。二是,区分不同的传输行为对当事人的权利侵害程度,赋予不同密度的法律保留标准。借鉴层级化法律保留方案,对于涉及《宪法》第33条的人权保障,采用宪法保留,只得由宪法规范;对于涉及剥夺生命健康、限制身体自由的事项,采用绝对法律保留,必须由法律明文规定,不得授权行政法规;对于除剥夺生命健康、限制身体自由以外的自由权利限制、涉及重大公共利益的事项,采用相对法律保留,可由法律明文规定,也可由行政法规规定;对于执行法律的细节性、技术性事项、非重大给付行政的事项,采用非法律保留,无需以法律明文规定或授权以行政法规、地方性法规或命令定之。三是,区别传输行为在履职中的角色地位,赋予不同场景的法律保留规范。如果在国家机关的履职活动中,对个人信息的收集和处理是履职的核心手段,若无此手段,履职活动就无法展开,那么职权授予规范就可被理解为是一种一体性授权,则法律保留的授权中当然地包括信息的收集和处理。如果个人信息的收集和处理仅是国家机关履职时可供选择的一种行为手段,或国家机关与私人主体合作进行的数据治理,此时法律保留有待具体分析。近年来不断引起争议的人脸识别技术即是一个典型例子。上述两种情形下的法律保留,是否可适用同意的豁免,就需要结合合法正当、符合比例、目的限制、禁止不当联结等其他原则来一并考虑,同时也需参酌信息使用的具体场景予以判断。四是,区别不同的国家机关属性,赋予不同要求的法律保留。对于警察与刑事司法这种高权性较强的领域,应遵循严格的法律保留原则,禁止通过标准等软法形式规定个人信息保护规则。
(二)程序正当原则对传输行为的梯度性拘束
虽然《个人信息保护法》并未对国家机关间传输个人信息的行为作出程序上的具体要求,但我们可以通过法律对权利义务的配置来提炼传输行为的程序要求。《个人信息保护法》第13条搭建起“告知—同意”的基本架构,作为对个人信息处理活动的一般性要求。从这一角度而言,个人信息传输行为的程序控制主要着眼于告知和同意两个阶段。对于传输行为的告知要求,《个人信息保护法》第35条规定了国家机关在处理个人信息时,应当依法履行告知义务,告知的具体内容则由该法第17条予以阐明。由此可以认为,告知是国家机关间传输个人信息的起点,是传输行为合法性的关键构成要件。国家机关作为公权力主体,在传输个人信息时要恪尽告知义务,让传输信息所涉个人知晓传输的内容与程序;对于传输行为的同意要求,国家机关信息处理者与私人信息处理者适用完全相反的规则,国家机关个人信息处理活动是以法律授权而非信息主体的“知情—同意”为基本原则。《个人信息保护法》第13条既将“同意”作为个人信息处理活动正当基础的“默认规则”,也规定了例外情形。但需要在本部分讨论前予以明确的是,置于传输行为场景下的“同意”涉及的是程序规则问题,并非一般意义上处理个人信息的正当性基础问题。国家机关传输个人信息的流程中,“同意”对应的是个人对于传输行为的方式、内容等享有的确认与否的权利,是对这一过程进行参与、制约、监督的程序性权利,发挥制衡信息处理者“权力”的功能。国家机关间传输个人信息的一体化与点状式具有不同的规模特征,告知和同意程序也需分别作出相应要求。
1.程序正当原则对一体化传输行为的要求。《政务信息资源共享管理暂行办法》第12条第3款提出了“禁止重复收集”的规则,要求国家机关应保持高度的利用主动性与收集克制性,对于可以通过政府信息化平台进行传输从而得以获取的信息尽可能“一次收集,多次使用”,但从“告知—同意”的流程来看,这部分个人信息在传输和利用上只会由初次发起方来征得信息数据主体的同意,在后续的传输过程中,其他国家机关可能缺少告知的主动或机会,这在一定程度上是对《个人信息保护法》第23条所规定的“重新取得个人同意”之要求的违背。此时,要发挥目的拘束原则对信息公权力行为的程序拘束作用。目的拘束原则是当事人事实上对个人信息享有控制权的一种“客观化拟制机制”,只要个人信息之使用维持在收集目的之内,则视为是当事人对资料仍保有“被制度化之控制权”。由此观点出发,倘若个人信息之使用超出收集目的,并未造成当事人对个人信息完全丧失控制权,则在基本权利教义学上,个人信息目的拘束原则的例外情形,进入立法者的形成空间之内。因此,基于同一处理目的进行的个人信息传输,接收个人信息的机关相当于原机关的延伸,个人信息并未落入其他主体受众,此时可以尽量减少不必要的告知。反之,若国家机关间一体化传输个人信息可能存在传输目的或利用目标的临时性变化,“告知”作为程序正当原则对传输行为适法调控的核心要求之一,应当受到高度重视。
《个人信息保护法》第24条对以自动化决策形式作出的个人信息处理行为进行了特别限制,并赋予个人在受重大影响情形下,要求个人信息处理者说明和拒绝以自动化决策方式作出决定的权利。从体系解释的角度和方法来看,这一规定同样适用于国家机关处理个人信息的场景。一体化传输行为以大规模化传输为主,行政申请的批量审核、行政执法的电子处理等事宜都可能以此方式来提起和完成,必然会涉及国家机关通过自动化决策的形式作出对个人权益具有重大影响的相关处理决定和行为。在高度规模化和平台化的一体化传输行为中,应当高度重视程序正当原则的约束,个人具有拒绝国家机关通过自动化决策方式作出的传输行为的权利,即“同意”的实际意涵更偏重个人对国家机关间批量式、规模式传输个人信息的“不同意”。
2.程序正当原则对点状式传输行为的要求。根据《个人信息保护法》第18条和第35条之规定,国家机关处理个人信息有“告知将妨碍履行法定职责”“不需要告知”等四种情形。由此可见,在国家机关间传输个人信息的行为中,基础性的告知要求存在放松拘束的可能。但从告知义务构建的规范要求与价值约束上来看,仍应以审慎的态度对待告知,只是可以将关注重心从“有无”告知转向“如何”告知。从本质上来讲,即使是出于《个人信息保护法》第18条之规定克减了告知的法定义务,但这并不意味着“告知”的内核不需要实际履行,只是形式上的告知义务在此时转化、调整为事实上的说明、沟通义务。
此种形态下,个人信息因国家机关履行职责或公务协同而被个案式地于国家机关间传输,可进一步分为三种可能的形式:第一,不变更原始收集目的下之传输;第二,变更原始收集目的之下,为传输机关法定任务达成所为之传输;第三,变更原始收集目的之下,为接受机关法定任务达成所为之传输。针对第一种情形,由于个人信息收集目的未改变,此时接受个人信息的国家机关在同一目的之下得以延伸,因此也没有再次告知、同意之必要。后两种情况由于个人信息收集之目的变更而处理或利用,对当事人之权利影响过剧,若为增进轻微之公共利益,而允许国家机关变更收集目的而予以处理或利用资料,将违反公法上之比例原则,故公共利益必须属于重大事宜。
此外,个人信息传输所服务的行政行为性质与目的不同,也会对告知同意规则提出不同要求。在授益性行政行为的个人信息传输中,因满足行政给付之需,来源机关仅需将个人信息的接受机关、信息种类、处理目的、处理方式及个人行使权利的方式、程序告知当事人即可,不必非得征求其同意;在负担性行政行为的个人信息传输中,因会给当事人带来不利之影响,来源机关不仅需履行告知义务,且不得在未征求当事人同意之基础上擅自为资料传输行为。当事人基于对某一国家机关在特定场合所实施的行政行为的信赖,同意该国家机关采集其个人信息,若该国家机关事后将所采集的个人信息转而传输给其他国家机关,擅自改变个人信息收集与使用目的,并由其他国家机关作出对行政相对人不利的决策或命令,则会侵害行政相对人的基本权利,使其信赖利益受损。比如,行政相对人基于对社会保障机构的信赖,同意其采集自己的生物体征、户政信息、经济状况等个人信息,但社会保障机构将所采集的信息直接转交税务征缴机构对其实施税款稽查并作出处罚,这在某种意义上就损害了行政相对人对个人信息采集机构的信赖利益。
(三)均衡性原则对传输行为的差异化调控
均衡性原则作为比例原则的核心支撑,代表着利益衡量的精要。不同类型的个人信息承载、关联着不同类型的法益,不同类型的个人信息传输行为对应着不同类型的差异化调控要求。
1.均衡性原则对一体化传输行为的要求。实践中,国家机关所施行的大量行为在很大程度上依赖于海量个人信息所提供的决策参考,这其中必然包括了大量敏感个人信息。国家机关间一体化传输个人信息的特征之一即是规模性。大数据处理与敏感个人信息在量级上的叠加,使得均衡性原则对一体化传输行为的重要限制就在于规模化操作与信息敏感程度间的平衡。除取得信息数据主体的知情同意外,域外立法对于敏感个人信息的处理常持禁止态度,除非满足如欧盟《一般数据保护条例》第9条第2款规定的“保护数据主体根本权益”等例外事由,我国则直接由《个人信息保护法》第28条第2款予以约束,但并未对敏感个人信息的处理采取完全禁止的态度,而是作出两方面的合比例性要求。
在一体化传输行为中,有必要将敏感个人信息的调控予以明确。在数字政府背景下,国家机关对个人信息的广泛利用,已在一定程度上虚化了个人对其信息数据的控制权限,风险水平成为决定个人信息是否敏感的关键因素。由于敏感个人信息处理的风险是动态的,而风险是个人信息保护强度的决定性因素,因而敏感个人信息保护离不开对信息处理保护技术的规制。在一体化传输个人信息行为的一般处理情境下,均衡性原则的拘束强度需要根据具体处理场景中人们的普遍预期加以确定,调适方式应当以风险最小化为中心,从技术治理方面承担起更多的个人信息保护职责,即通过底层逻辑在系统设计、技术设定、代码架构等方面,运用各种技术手段积极主动预防个人信息风险,让个人信息保护成为一体化传输个人信息的默认规则,从源头上抑制敏感个人信息被侵害的风险。具体而言,一体化传输行为中的均衡性规制在技术治理措施上主要包括信息脱敏和风险评估两个方面。在信息脱敏方面,去标识化是个人信息保护的重要手段,能够有效降低个人信息处理过程中的风险,增强信息主体的信任感。在传输行为的发起端和接收端,应当在不影响数据使用的前提下,对敏感信息进行变形、分散等处理,以降低数据敏感度,从源头防范个人信息泄露的风险;在风险评估方面,应明确敏感个人信息的处理风险具有动态性,随着处理场景的变化在转变。为将该类型个人信息传输所引发的风险提前防控在合理限度内,应结合传输流程的行为目的、数据范围、应用场景等具体指标,进行个人信息影响风险评估,并根据评估出的风险等级采取相应的管理措施。特别是对传输操作的目的必要性与方式相称性的分析,以及对信息数据主体权益风险性的预测,将是均衡性原则对该类型传输行为的重要评价点。
2.均衡性原则对点状式传输行为的要求。《个人信息保护法》第34条明确规定,国家机关处理个人信息的范围和限度应为“履行法定职责所必需”。该规定为国家机关个人信息处理行为划定了边界,可视为此类行为的总括性要求。作为个人信息处理行为的一种具体类型,点状式个人信息传输行为在根本上也应遵守这一要求,以“履行法定职责所必需”为限度。对这一总括性要求进行具体化分析,是国家机关间传输个人信息行为适用均衡性原则的关键。
基于点状式传输行为的个案式特征,首先应考量“手段—目的”二者之间的均衡性要求,即传输目的与传输方式间是否具有唯一对应性。国家机关在基于职权互动或行权主动而涉及处理个人信息的情景下,可能存在多种处理方式,机关间传输个人信息或许是诸多手段之一而非唯一。如公共场所因安全保障需要对个人身份进行识别时,可以通过核验有效身份证件,抑或经由国家机关调取个人信息生成身份码进行校对,再或采取人脸识别等方式。从规范文本及应有内涵来看,“所必需”实际上是对“可替代性”作出了要求:处理个人信息的方式应当是为达到目标而“必需”的,如果存在其他可以实现履职行权目标的方式,就不应当仅将如国家机关间传输个人信息之行为作为唯一手段,而在缺少充分理由的情况下排除其他可替代方式。
国家机关在职权互动或主动行权的过程中会接触、处理和传输大量个人信息,并不能保证对全部个人信息的传输行为是符合履职所必需的。为避免国家机关对个人信息的传输行为出现泛化、滥化和逾规化,基于职权互动或依职权主动进行的个人信息传输行为,起点和终点都应当是满足履行职责之需要。在前文分析下,均衡性原则在此提出的要求即是:国家机关在追求所欲实现的行政任务时,如果有多种方式可以选择,那么就应当合理审慎地权衡各方利益,选取对信息数据主体所享有的权益造成影响最小的方式进行,确保国家机关依职权互动或主动而进行的个人信息传输的方法和途径均保持在合理的限度范围内。
四、结语
中共中央、国务院出台的《法治政府建设实施纲要(2021—2025年)》中,提出了叠加“数字政府”与“法治政府”两方面要素的“全面建设数字法治政府”系统目标。“数字法治政府”是新时代技术变革背景下,党和国家对传统行政管理方式在运行机制和治理途径等维度上的新要求、新思路。国家机关间传输个人信息在行为模式和技术选择上能够有效推动数据有序共享,并提升政府管理行为的数字化与智能化水平,对政府机关囿于部门利益或条块分割的权力架构而形成的“数据孤岛”现象具有一定程度的纾解作用。本文在《个人信息保护法》尚未对国家机关处理个人信息活动提出具体化的行为拘束框架之时,通过对国家机关间传输个人信息“一体化”“点状式”两种形态的观察,从法律保留原则、程序正当原则与均衡性原则三个维度提出了类型化的规制思路,以期对传输行为构建基本的范围与限度。在数字政府、法治政府建设进程日趋加快的当下,对国家机关间传输个人信息的行为予以研究是有必要的,本文的研究只是一个初步尝试,相关制度和规范的体系性建构还需深入研究。
往期文章:
屈文生:美国在近代中国行使治外法权的司法与外交手段——以“华尔遗款案”(1862-1904)为中心
孙国祥:论累积犯的正当性及其限度——兼谈累积犯对污染环境罪构成的影响