朱程斌 曹文兵
(1.重庆大学法学院,重庆,400044;
2.武汉大学法学院,武汉,430072;
3.武汉市中级人民法院,武汉,430072)
《个人信息保护法》对国家机关处理个人信息时的隐私保护未作明确规定[1]。《个人信息保护法》在第2章第3节专门规定了国家机关处理个人信息的特别规定,该节第33条规定:“国家机关处理个人信息的活动,适用本法;
本节有特别规定的,适用本节。”但《个人信息保护法》从文本上没有区分个人信息和个人隐私的关系,其规定中没有提及隐私。而《民法典》的第1034条明确承认了个人信息包含了隐私和隐私权属性的内容,即第1034条第2款规定的“个人信息中的私密信息,适用有关隐私权的规定”。《个人信息保护法》应进一步明晰个人隐私的范围,细化《民法典》的相关规定。
学界从不同角度论述了个人信息处理和隐私保护的关系。第一,概括地论述数字化和信息化对个人隐私的系统性侵入,网络对个人信息的记录不可避免地导致个人隐私的泄漏[2];
第二,从消费者和平台公司之间的互动考察个人隐私的保护,即应在消费者同意授权的情况下适当使用个人信息以保护个人隐私[3];
第三,讨论个人信息的隐私属性,有观点认为个人信息就是个人隐私的信息化[4],也有观点认为个人信息中的个人隐私具有财产性[5];
第四,从行政角度出发,考虑大数据时代行政行为与个人隐私的关系,既有考虑政府收集、应用处理个人信息和个人隐私保护关系[6],也有从中外比较角度论述政府对个人隐私的保护[7];
第五,从司法角度出发,考虑大数据时代司法与个人隐私的关系,有考察法院保护个人隐私司法实践的[8],也有从司法角度反思公法保护个人隐私的[9]。但囿于《个人信息保护法》新近出台,因而对国家机关处理个人信息时如何保护个人隐私考虑得分散、不系统。
处理个人信息的国家机关包括了立法、行政和司法机关,应在明晰个人信息与个人隐私区分、联系的基础上,系统地考虑国家机关处理个人信息时对个人隐私的保护。因此,本文从考察个人信息和个人隐私的概念出发,明晰了个人信息中个人隐私的范围,分类分析了行政和司法机关处理的个人隐私的情况,最后根据上述讨论明确了国家机关保护个人隐私的规范构建路径。
个人信息是与个人有关的,能够单独或结合起来反映个人喜好、偏好等特征或身份的符号和符号系统[10],个人隐私是个人安宁生活和不愿为他人知晓的私密,二者具有一定的重合。个人信息的范围大于个人隐私,个人信息中有个人隐私的属性,个人信息也包括了以数据、符号化形式出现的个人隐私。
2.1 个人信息的名称和定义
国际上个人信息的名称并不统一,各个国家对个人信息保护立法的名称因此也不统一。从立法文本来看,有称为“个人信息”的,如韩国《公共机关个人信息保护法》、日本《个人信息保护法》;
有称为“个人隐私”的,如美国《隐私法》;
有称为“个人数据”的,如欧盟《个人数据保护指令》;
也有称为“个人资料”的,如挪威《个人资料保护法》,如我国香港地区《个人资料(隐私)条例》、台湾地区“个人资料保护法”。
个人信息名称的不统一,反映了各国对个人信息保护的态度也不一致。这些态度集中表现在各国对隐私和个人信息的区分上,有国家认为个人信息是隐私权的保护范围,个人信息是隐私权的客体。美国《隐私法》采用的就是这一立场,其将个人信息直接纳入到隐私权保护范围。日本也将个人信息置于隐私的概念之下进行保护[11],认定个人信息为隐私外延信息,是传统隐私权的外延。我国大陆和台湾地区也有学者持有这种观点[12],有学者认为个人信息人格利益仍应归入隐私范畴。
从定义上看,各个国家和地区的法律对个人信息的定义较为一致。欧盟《一般数据保护法案》第4条(1)将个人信息定义为能够识别或指向特定自然人的信息,美国《隐私法》将个人信息定义为包括个人姓名、身份号码、医疗病史、工作经历、教育背景、犯罪前科等个人身份标记信息[13],台湾“个人资料保护法”以列举和概括相结合的形式明确了个人资料的范围,即直接或间接上能识别个人的资料。
从2003年我国《居民身份证法》、2009年《刑法》修正案七、2021年《个人信息保护法》等法律中可以看出,我国一直采用个人信息的概念。我国《民法典》将个人信息定义为“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息”,《个人信息保护法》将个人信息定义为“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息”,两者含义一致。
2.2 隐私和信息隐私的定义
隐私权是社会发展到一定阶段的产物,个人信息的重要性也是随着科技的发展而不断凸显出来的。
2.2.1 隐私权定义
《民法典》第1032条第2款规定,隐私是指自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。隐私和隐私权起源美国,大陆法系最初反而未见规定[14]。隐私是随着社会发展才得到发展和重视的,人类社会早期是没有隐私概念的[15]。随着社会生产力的发展,个人从传统家庭中解放出来获得了独立性,却在工业化生产的非人格化社会中失去自我,个人因此想在独立性和失去自我之间寻求平衡[16]。1980年沃伦和布兰迪斯在《The Right to Privacy》一文中最先提出隐私权,他们认为隐私权是对人类情感的关注,是法律对个人思想、情感和感觉利益的承认[17]。
隐私和隐私权后来虽有发展,但还是和私人生活相关。按照《牛津法律大辞典》的定义,隐私权是个人安宁免受干扰的权利,包括消极的不受干扰的权利,也包括积极地禁止他人公开私人生活的权利[18]。德国的《基本法》和民法并没有隐私和隐私权这一概念,而在判例学说中以“私人性或私人领域”的概念加以体现[19]。所以,隐私和隐私权是与私人生活相关的,是个人保持在一定范围内的私密事务,不是公共事务。
2.2.2 信息隐私中的语法隐私和语义隐私
但随着信息化和大数据技术的发展,个人隐私的界限逐渐模糊。传统的个人私密事务在技术手段下面已经不再是私密,个人企图保持的个人价值和独立性在被技术不断侵入[20]。物理空间、心理状态、私密关系、情感状态以往能很好地保持私密性的领域,在数据技术面前不堪一击。信息的数据化会导致隐私分类的数据化,在大数据时代数据隐私主要分为语法隐私和语义隐私[21]:
第一,语法隐私是指出现在统计数据库中的个人隐私信息,即直接呈现出来的隐私,按照数据统计方法,它一般可以以表格形式表现。例如我们经常要使用、接触到的病例。语法隐私中包括了非隐私的信息(性别),也包括足以确定个人身份的信息(姓名、住址、年龄),还包括了个人极为私密的信息(病情、病症、社保卡号、身份证号)。
第二,语义隐私是指在统计数据库中暗含的个人隐私,需要通过其他技术手段才能确定。一般可以通过查询或攻击窃取数据库获取非隐私信息,然后通过对获取的非隐私信息进行推导,最后确定个人隐私。例如,中国裁判文书网上的裁判文书包含了原被告的住址、姓名,还包括了案件事实,通过对这些非隐私信息的查询可以确定特定被告的信用状况、履约能力、从事的职业、生活习惯等个人隐私。
2.3 个人信息中的个人隐私
综上可以看出,个人信息在学理上和个人隐私重叠。立法上也承认二者之间的关联,我国《民法典》第1034条第3款规定,超出隐私权规定的个人信息中的私密信息适用个人信息保护的规定。
个人信息有多种分类,可以分为一般个人信息和敏感个人信息、直接个人信息和间接个人信息[22]、自动化个人信息和非自动化个人信息[23]、普通主体个人信息和特殊主体个人信息等。很显然,上述后三种分类并不能直接体现个人隐私。举例来说,直接个人信息中的身份证号码属于个人隐私,但直接个人信息中的姓名又不属于个人隐私。直接与隐私相关的分类为敏感个人信息和一般个人信息。
敏感个人信息是指泄漏或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。按照信息的敏感程度对信息进行分类,主要是因为考虑到并非所有的个人信息都值得法律同等保护,或者说法律认为有些信息更值得保护[24]。在值得保护的信息中更值得保护的是敏感个人信息,因为侵犯敏感个人信息会导致个人的重大利益损失。因此敏感个人信息的收集、处理和利用不同于一般个人信息,法律通常设立特别条款保护敏感个人信息。
欧盟《个人数据保护指令》、德国《联邦个人数据保护法》[25]、我国台湾地区的“个人资料法”和我国《个人信息保护法》都将个人信息进行了进一步划分,将与个人人格、隐私密切相关的信息单列,名称和内容如表1所示。
表1 个人敏感数据的范围
综上,敏感个人信息属于个人隐私,个人信息中的宗教信仰状况、政治见解、特定身份、健康状况、种族血统、基因生物信息、医疗信息、性生活、金融账户信息、犯罪前科信息、行踪轨迹信息等属于敏感个人信息。
大数据时代,国家在个人隐私保护问题上所扮演的角色发生了改变,它不仅难以保持维护个人隐私的超然地位,而且自身更是成为了最大的个人信息收集、处理、储存和利用者[26]。国家机关处理个人信息必然涉及个人隐私,这既是理论和规范对国家机关的职责要求,也是国家机关治理过程中必然出现的现象。
3.1 国家机关职责涉及对个人隐私的处理
一方面随着大数据技术在国家行政、司法中大量应用,个人信息被国家机关大规模地数据化掌握和处理,个人信息中的隐私部分也被不同的国家机关大量收集、掌握和处理;
另一方面国家推进数字政府建设,必然涉及个人隐私的大量数据化。
3.1.1 行政职责涉及对个人隐私的处理
国家机关中处理个人信息最多的是行政机关。因为行政机关管理着各项公共事务,是公共产品的主要提供者[27]。现代社会个人在学习、生活、工作中,从出生到死亡,都不得不面对行政主体。行政机关在掌握了个人姓名、住址、身份证号、出生日期、生物信息等个人信息的基础上,才能更好地制定方针、政策,开展行政执法工作。因此,行政主体有收集个人信息的动力和能力。
理论上行政机关需要收集个人信息作出具体行政的行为主要有行政登记、行政许可、行政给付、行政监督检查等。它们有可能涉及个人隐私。
第一,行政登记获取的个人信息包含个人隐私。行政登记是指行政机关为实现一定的行政管理目的,将行政相对人的人身权、财产权等方面的法律事实予以书面记载的行政行为[28]。行政登记几乎贯穿一个人从摇篮到坟墓的全过程,个人出生、结婚、离婚、死亡要去公安或民政机关登记,个人纳税要到税务机关登记,个人成立企业、办理个体经营等要去工商行政机关进行营业登记。
第二,行政许可获取的个人信息包含个人隐私。行政许可是指行政机关根据公民、法人或者其他组织的申请, 经依法审查,准予申请人从事特定活动的行为[29]。从定义就可以看出,行政许可和个人的经济生活息息相关。生活中常见的行政许可大到进出口货物许可、矿产资源开采许可,小到执业律师资格、会计师资格许可。而行政相对人在申请行政许可的过程中需要填写大量的个人信息,行政机关由此就可以获得个人信息。
第三,行政给付获取的个人信息包含个人隐私。行政给付与国家的社会保障功能息息相关,是指行政主体给予符合法律规定的个人以物质或与物质相关的帮助的行为[30]。个人是否符合法定条件获得行政帮助,需要个人提供个人信息予以证明,其中就涉及了敏感个人信息、个人隐私。例如,在申请社会救济金时,个人需要提供包括姓名、身份证号、住址、手机号、收入状况等一系列个人信息。
第四,行政监督检查获取的个人信息包含个人隐私。行政监督检查是行政机关履行行政职能的主要方式,是指行政机关依据法律规定,对行政相对人遵守、执行法律法规、命令决定的情况进行检查、了解、监督的行为[31]。行政监督检查是行政机关执法的必经程序,行政机关只有在调查掌握了相对人的守法情况后才能据此进一步作出行政行为。行政机关依职权主动或被动地进行监督检查涉及我们日常生活的方方面面,包括食品、医药、税收、教育、交通、农业、劳动等领域,因而会记录个人在这些方面的信息和数据。
3.1.2 司法过程国家机关处理的个人信息涉及个人隐私
虽然相比于行政,司法对个人信息的收集没有那么普遍,但司法机关对个人信息的收集更为全面和具体,是和特定案件相关的[32]。司法机关收集的个人信息包括姓名、住址、生物信息、犯罪记录、医疗信息、性生活、金融账户信息、行踪轨迹信息等个人隐私。
第一,立案收集的个人信息包含个人隐私。立案既包括公安机关的立案,也包括法院、检察院的立案,是指人民法院、人民检察院或者公安机关对于报案、控告、举报和自首的材料,应当按照管辖范围,迅速进行审查,决定是否开启司法程序的活动。立案的过程中司法机关需要收集个人详细的信息[33],不仅包括犯罪嫌疑人、原告的个人信息,还包括报案人、被告的个人信息。立案收集的个人信息包括犯罪嫌疑人、报案人,原告和被告的姓名、住址、联系方式、案件基本事实。
第二,侦查收集的个人信息包含了个人隐私。侦查是指在刑事诉讼过程中,侦查机关为查明案情,收集犯罪证据材料,证实和抓获犯罪嫌疑人,追究犯罪嫌疑人刑事责任,依法采取的一系列专门调查手段和强制性措施。侦查的过程中会具体而系统地收集犯罪嫌疑人的个人信息,其中既包括个人的一般个人信息,也包括了敏感个人信息[34]。侦查的一个重要方面是调查案件事实,会涉及个人极为私密的信息,包括但不限于个人基因生物信息、通信、聊天、私人关系、银行账户、性行为等个人隐私。
第三,审理涉及个人隐私。审理既包括了对民事案件的审理,也包括了刑事案件的审理,还包括了对行政案件的审理。案件审理的过程中法官、原告、公诉人、被告、犯罪嫌疑人会就当事人的情况、案件的事实、各种作为证据的个人信息进行详细的辩论,个人信息和个人隐私会在法庭上完全被呈现、记录。这一程序中暴露的个人信息包括了侦查中获取的个人隐私,还包括了审理过程中对个人更加隐私的信息询问、确认和记录。不仅如此,法官的个人信息也会被其他人通过语义隐私全方位地分析[35]。
第四,裁判文书公开包含了语义隐私。审判应该公开,这是防止司法腐败和确保司法公正的重要举措,判决书公开是审判公开的一个重要方面[36]。我国自2010年发布《关于人民法院在互联网公布裁判文书的规定》以来,一直坚持裁判文书上网公开。我国没有公开所有的裁判文书,即除涉及国家秘密、商业秘密和个人隐私以及其他不宜公开的裁判文书外,其他裁判文书全部公开上网。公开上网的裁判文书虽然不会直接涉及个人隐私,但是包含了语义隐私,违法犯罪者有可能利用这些公开的裁判文书分析出个人隐私。例如,劳动纠纷案件中包含了个人的姓名、性别、工作单位、工资情况等个人信息,如果通过裁判文书网或其他途径查询出该特定主体的其他一般个人信息,结合起来,就很容易得知诸如个人信用状况之类的个人隐私。
第五,公开的判决执行和执行结果包含了个人隐私。我国不仅公开裁判文书,裁判文书的执行情况也公开。执行公开是执行监督的重要方面[37],2006年最高人民法院发布《关于人民法院执行公开的若干规定》,规定除涉及个人隐私、商业秘密和国家秘密等信息外,法院应该将案件的执行情况公开。我国建立了完善的执行信息公开制度,并将执行情况上网公开,通过输入姓名、身份证号等个人信息可以查询相关执行情况。同公开裁判文书一样,公开执行结果也可能造成个人的语义隐私泄漏。执行结果也包括了个人的一些基本信息,如果将之同其他一般个人信息结合,有可能导致个人隐私泄漏。
3.2 实践中国家机关建立数据库涉及个人隐私
据统计,国家机关掌握的信息多达整个社会信息资源的80%[38],个人信息是其中最主要的组成部分。国家收集了大量的个人信息,为了合法高效执法,又建立了众多数据库。这些数据库包含了大量个人隐私。
3.2.1 数据库的建设包括了个人隐私
为了提高国家机关立法、执法、司法效率,为向社会更好地提供公共服务,国家机关设立了形式多样的数据库。国家机关设立的数据库涵盖统计、公安、劳动和社会保障、司法等领域。
第一,统计数据库。1952年国务院决定成立国家统计局,国家统计局统计的数据包括了国家经济社会生活的方方面面,包括人口、就业、资源和环境、GDP、CPI、PPI、PMI等重要数据。这些数据涉及面广、内容多样,包括了敏感个人信息,有些统计数据可以通过国家统计局的官方网站获取。从人口统计的工作来看,我国自1963年以来就固定开展人口统计工作,至今已经完成了七次人口普查[39]。人口统计工作包括了多项个人信息,如姓名、性别、年龄、民族、住址、受教育程度、生育状况、住房信息、行业、职业、社会保障、人口流动等信息。
第二,公安数据库。公安机关是掌握个人信息最多的国家机关,其掌握和建立的数据库不仅包括了个人的姓名、住址、年龄、性别等一般个人信息,还包括了身份证号、宗教信仰状况、政治见解、特定身份、健康状况、种族血统、基因生物信息、医疗信息、性生活、金融账户信息、犯罪前科信息等几乎所有种类的敏感个人信息。公安机关不仅建立了数据库,而且还提供了一定的查询功能,例如,公安部全国公民身份号码查询服务中心在2005年就和中国移动通信有限公司、北京国政通公司等单位合作推出了全国公民身份信息核查服务[40]。
第三,劳动和社会保障数据库。2011年人社部发布《关于进一步推进劳动保障监察两网化管理工作的意见》,要求以《劳动保障监察管理信息系统基础指标集和代码》为基础建立信息数据库[41]。数据库要求采集、上传和更新网格内用人单位用工信息,不仅个人的姓名、住址、年龄、性别等一般个人信息,身份证号、宗教信仰状况、电话号码、医疗信息、犯罪前科信息等敏感个人信息也被收集。
第四,司法数据库。如上文所述,我国的法院建立裁判文书、裁判文书的执行情况的数据库。这两个数据库直接透露部分敏感个人信息。
3.2.2 数字政府的建设涉及个人隐私
党的十九大将数字中国上升为国家战略,数字政府是数字中国的有机组成部分。为了建设数字政府,各地争相建立政务数据系统。据调查,截至2020年,全国68.6% 的地区明确了政务数据统筹管理机构[42]。数字政府意味着以上数据库的互联互通将进一步加深,个人隐私将面临更大的泄漏风险。
2021年11月17日李克强主持召开国务院常务会议,审议通过了“十四五”推进国家政务数据化规划,提出要加快建设数字政府提升政务服务水平[43]。“十三五”时期,中央人民政府和各地政府纷纷推出数字政府建设措施,利用信息化和大数据的优势,建设政务数据系统并应用。李克强指出“十四五”时期,数字政府的建设要更好地满足企业需求和群众期盼,抓住推动政务数据共享、提升在线政务服务效率等关键环节。“十四五”时期数字政府建设意味着个人信息在更大程度上、更大范围内被各个政府部门交替查询,个人敏感信息在这一过程中也增加了泄漏的风险。
第一,统一的国家电子政务网络体系会增加各种不同数据库中个人隐私的交叉泄漏风险。统一的国家电子政务网络体系不仅要求各部门之间的电子政务系统要实现整合,也意味着各地方的政务服务系统实现整合[44],因此各地方和各部门的信息孤岛状态会被打破,信息互联和信息共享更加便捷。
第二,全国一体化政务服务平台功能将增加敏感个人信息泄漏风险。政务服务平台功能包括了统一的电子证照库,包括了电子合同、签章内容,包括了个人的医疗、教育、社保、就业等的信息。
第三,政务数据向社会开放增加了个人语义隐私泄漏风险。政务数据的开放涉及企业登记和监管、卫生、教育、交通、气象等信息的开放,这些信息中包括了个人语义隐私,还包括了商业秘密和个人隐私。
李克强在2021年11月17日的国务院常务会议上提出,加强数字政府建设的同时要保护商业秘密和个人隐私,要强化网络安全保障,严格落实分等级保护制度,增强数据安全保障能力。因此,要结合理论和规范路径构建国家机关处理、保护个人隐私的体系。理论上,个人信息的相关立法要首先确定保护的对象,其次明确处理的原则,再次准确定性主体的权利,最后落实法律责任[45]。规范上,《个人信息保护法》《政府信息公开条例》《关键信息基础设施安全保护条例》等法律法规在确定对信息、信息设施的处理和保护问题上,首先确定所要调整的范围,其次确定管理部门或立法原则,再次确定处理的程序或涉及的主体,最后明确了相应的法律责任。例如《关键信息基础设施安全保护条例》第2条规定了什么是关键信息基础设施,第3条规定了管理部门,第4条规定了保护的环节和主体,第5条规定依法惩处违法犯罪活动。为此,规范路径构建国家机关处理、保护个人隐私的体系要明确个人隐私的范围,确定处理个人隐私的程序,成立专门的机关监督管理个人隐私的处理、保护,强化泄漏个人隐私的法律责任。
4.1 确定个人信息中隐私的范围
确定个人信息中隐私的范围为国家机关保护个人隐私划定了明确的界限,是国家机关保护个人隐私的出发点。如果个人隐私的范围不划定,对个人信息的公开、共享等将无法确定。我国《个人信息保护法》或其他相关立法应将以下信息确定为个人隐私,包括个人信息中的宗教信仰状况、政治见解、特定身份、健康状况、种族血统、基因生物信息、医疗信息、性生活、金融账户信息、犯罪前科信息、行踪轨迹信息等。
确定个人隐私范围有两种途径:第一,通过确定个人隐私的范围来保护个人隐私。例如,美国《信息自由法》(b)6和7(c)规定,个人医事性档案或其他类似性质的档案属于个人隐私,执法过程中搜集到的个人信息一般也属于个人隐私[46];
美国《加州消费者隐私法》认为,个人隐私数据是指识别、关联、描述能够与特定消费者或家庭直接或间接地建立联系或合理链接的信息[47];
《澳大利亚政府数据共享和发布法案》规定了个人敏感信息的范围,即将个人基因生物信息、健康信息、生物识别信息、种族血统信息、性取向和性生活信息、政治见解信息、宗教或哲学信仰信息、工会会员身份的个人信息等规定为敏感信息[48]。
第二,确定特定主体信息全部为隐私。这类立法的方式有两种,既有规定得较为原则的,也有严格规定的。前者如英国《数据宪章》规定要保护儿童的上网安全[49],后者如美国《儿童在线隐私保护法》禁止收集13岁以下未成年人的个人信息[50]。我国《个人信息保护法》规定14岁以下未成年人的个人信息为敏感个人信息。
4.2 确定处理个人隐私的程序
收集个人信息既是国家机关职责,也是依法执政的必经程序,虽然这难免会收集个人隐私。大数据时代个人隐私的保护需要对数据收集者和利用者从收集、发布、应用方面加以规定。我国国家机关对个人隐私的涉及涵盖收集、公开和应用多阶段,因此应从收集、公开、应用方面加以保护。
第一,收集阶段做好对个人隐私的保护。这一点可以借鉴丹麦相关领域的立法。2000年丹麦实施了《个人数据处理法案》,规定国家机关在内的公共部门在个人信息收集时就应注意分级处理个人信息[51]。丹麦在随后出台的《2016-2020数字化战略》中要求国家机关对个人数据中的个人隐私设立安全等级,分级管理个人数据和个人隐私[52]。
第二,国家机关进行信息公开、应用个人信息——尤其是应用个人隐私时,也应注意做好个人隐私的保护。信息公开时避免对个人隐私泄漏的通常做法是,对个人信息进行脱敏处理,或进行匿名化处理。如本文3所述,我国在信息公开时,匿名化处理做得不到位,应立法进一步细化。可以借鉴利益衡量原则决定是否公开个人信息,即德国《数据自由法》规定的申请公开信息的申请人只有在证明自己的信息利益大于所要公开的信息的利益时,或在获得申请信息的所有权人同意时,才允许访问个人信息[53]。
第三,国家机关应在法定职责和范围内才能应用个人信息和个人隐私。如上文所述,收集和应用个人信息是法律规定的国家机关法定职责。换言之,法定职责既是权力也是义务,即国家机关超过法定规定的范围应用个人信息是违法的。比如,欧盟的《一般数据保护法案》规定出于执法目的处理个人数据是合法的[54],日本《个人信息法律》第4条规定行政机关保存的个人信息,必须仅限定在完成该部门负责事务范围以内[55]。
4.3 成立独立于行政部门的专门机关统筹监督管理个人隐私的处理、保护
国际上有两种不同的个人信息处理的监督管理模式,一种是设立独立的机关进行监督管理,另一种是在行政部门内设立相应的机构进行监督管理。前者如欧盟,后者如俄罗斯和我国[56]。我国《个人信息保护法》第60条规定:“国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作,国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。县级以上地方人民政府有关部门的个人信息保护和监督管理职责,按照国家有关规定确定。”
按第60条规定,我国采取的行政机关内部分散管理体现在:第一,各部门分别管理。我国对个人信息处理的保护和监督模式是,各行政机关在自己的职权之内设立部门进行管理,即采取的是各部门分别管理,缺乏统一的管理部门。第二,国家网信部门负责统筹。中央在国务院下设的各职能部门设立,并由国家网信部门负责统筹,也就是说,一方面中央是在行政部门内部设立保护和监督机关,另一方面缺少统一的保护和监督机关而由各部门分别管理。这就造成中央既无法统一监督个人信息的处理,也无法监督行政机关之外的立法、司法、监察等过程中的信息处理。第三,保护和监督按职能分管。我国地方的个人信息保护和监督也采取职能机关分管的模式,这除了造成前述中央保护和监督的两个方面问题外,还会导致中央监督管理的难以实现,例如,地方的信贷管理部门出现个人隐私泄露,中央信贷管理部门如果懈于管理,那么网信部门并不能直接管理地方信贷管理部门。
从两种模式的设立角度就可以看出来,在行政部门内部设立的监督管理机关的权力和监督范围要小于独立的监督管理机关。我国的信息收集和管理工作不仅涉及行政部门,也涉及司法部门,只规定行政部门的管理和监督机构,不利于个人信息和隐私的监督管理。鉴于个人隐私的独特性,应在《个人信息保护法》第60条的基础上专门成立独立于行政部门的个人隐私监督管理机关,统筹监督管理。
4.4 明确泄漏个人隐私的法律责任
个人隐私要比一般个人信息更具有敏感性,泄漏个人隐私会造成个人重大利益的损害,因此,国家机关不当收集、使用或泄漏个人隐私的法律责任要更加严格。
我国应在现有法律规定的基础上加重不当收集、使用或泄漏个人隐私的法律责任,将相关法律中有关不当收集、使用或泄漏个人隐私的法律统合起来,在单独立法中,或在《个人信息保护法》中对国家机关不当收集、使用或泄漏个人隐私的法律责任进行细化规定。除了《民法典》规定的民事责任,《刑法》规定的刑事责任,我国《个人信息保护法》第68条规定了国家机关不履行法律规定的个人信息保护义务应承担的责任。但第68条规定得比较原则,应在此基础上设置更加严格的责任,切实保护好个人的隐私。我们建议将《公务员法》《行政机关公务员处分条例》与国家机关泄漏个人隐私的行为直接对应。根据《公务员法》第56条和《行政机关公务员处分条例》第6条的规定,行政机关工作人员的处分由轻到重依次为警告、记过、记大过、降级、撤职、开除。国家机关及其工作人员不当收集、使用或泄漏个人隐私的,应承担记大过以上的处分;
行为情节严重,触犯刑法的,应追究其刑事责任。
个人信息尤其是个人隐私的保护,是当下及今后个人权利保护、经济社会发展、国家治理的重要课题。一方面,进入信息化社会是必然趋势。个人、公司、机构、政府等主体均在适应数字化和信息化的发展,这既是因为信息技术给生活、工作带来了便捷、效率,也是因为信息化趋势对各主体形成了倒逼。另一方面,个人隐私泄漏不可避免。数字化和信息时代个人信息不可避免地被个人、平台公司、团体和机构收集,个人在虚拟世界中被系统化地再现,个人隐私在这个过程中不仅被泄漏,而且还被分析、推导和分享。利用信息技术,不仅可以收集个人信息中的语法隐私,还存在可以推导出个人信息的语义隐私。
因此,在这一背景下,国家机关既需要通过信息技术提高立法、行政和司法等质量,又要更好地适应技术发展给立法、行政和司法带来的挑战,尤其需要在收集、公开、应用个人信息时防止个人信息和个人隐私的泄漏。
本研究注意到,《个人信息保护法》规定国家机关处理个人信息职责的同时,未对国家机关保护个人隐私作出具体规定,本研究为此提出了解决路径,具有理论和实践意义。理论上不仅廓清了个人隐私的范围和内容,也分析了国家机关处理个人隐私的不同步骤,确定了何种国家机关在何时、何环节处理何种个人隐私。实践上为国家机关处理个人隐私提供了可操作的方案。研究指出,国家应建立独立于行政机关的专门机关统筹监督管理个人隐私的处理、保护,确立保护个人隐私的程序,明确泄漏个人隐私的法律责任。
猜你喜欢国家机关保护法个人信息我国将加快制定耕地保护法今日农业(2022年13期)2022-11-10防范电信网络诈骗要做好个人信息保护公民与法治(2022年10期)2022-10-12个人信息保护进入“法时代”今日农业(2022年1期)2022-06-01未成年人保护法 大幅修订亮点多海峡姐妹(2020年11期)2021-01-18主题语境九:个人信息(1)疯狂英语·爱英语(2020年9期)2020-01-07在中央和国家机关党的建设工作会议上的讲话(2019年7月9日)当代陕西(2019年21期)2019-12-09警惕个人信息泄露绿色中国(2019年14期)2019-11-26我为《英雄烈士保护法》尽了绵薄之力湘潮(上半月)(2019年2期)2019-05-22中央国家机关公务员招考就业歧视的十年观察反歧视评论(2016年0期)2016-07-21偷车牌属于什么罪方圆(2015年14期)2015-08-01