【条文主旨】
本条是关于国家机关处理个人信息活动,在本节规定与本法其他规定之间发生竞合时,优先适用本节的规定。
【条文理解】
一、国家机关属于个人信息处理者
在数字时代,每个人都有可能成为个人信息处理者,国家机关也不例外。在一定意义上,国家机关已然成为最大的个人信息处理者,这与国家机关所承担的规模庞大的行政管理、服务职能密切相关。个人信息除了承载商业价值外,也蕴含了极大的公共管理价值,在行政管理、服务中的作用不断提升。对个人信息的广泛收集和高效处理,是现代政府科学决策、精准施策的重要基础和途径。世界各国政府均高度重视信息技术运用,积极推动数字政府建设,强化对个人信息的收集、利用和保护。
进入21世纪,我国将推行电子政务作为信息化发展的战略重点之一。自2004年3月1日起,我国启动人口基础信息共享试点,实现公安、劳动保障、税收征管等部门之间的信息交换与共享,逐步融合计划生育、统计、民政、社会保障、税务、教育等部门的信息资源,将个人信息纳入社会公共资源的范畴。2014年12月30日,中共中央办公厅、国务院办公厅公布《关于加强社会治安防控体系建设的意见》,明确表示我国将建立以公民身份号码为唯一代码、统一共享的国家人口基础信息库,建立健全相关方面的实名登记制度。建立公民统一社会信用代码制度,并探索建立包含公民所有信息的一卡通制度。这是我国政府顺应社会信息化发展趋势的重大举措,也是我国信息化发展中的重要标识。在我国政府推进公共安全、公共管理,保障公共福利的历程中,个人信息的资源优势得到充分展现。2019年新冠肺炎疫情出现后,个人信息的快速收集和分析工作,对把握疫情发展趋势、作出防控决策、稳妥推进复工复产提供了有力支持。
在社会信息化深化发展过程中,政府承担的数据信息处理任务愈加繁重,职能也愈加清晰。过去传统的隐私权保护和法律关系中,涉及国家机关不当泄露个人信息的纠纷偶有发生,但国家机关尚未成为独立的利益主体。在进入个人信息保护法治时代后,“国家不再单纯以超然于信息业者与信息主体双方关系之外的治理者角色出现,政务部门代表国家成为最大的个人信息处理者。同信息业者处理个人信息相同,政务部门进行个人信息处理仍以具备合法性或正当性依据为前提”。[1]虽然个人信息采集和大数据分析可以带来国家机关治理的科学性、精准性和高效性,但大规模收集、处理个人信息存在着广泛的监控、支配和歧视自然人的风险。
从比较法来看,将公权力机构纳入规制范围是个人信息保护立法的重要内容。1995年颁布的《欧盟个人信息保护指令》以公共领域和私人领域的个人数据活动之间并无清晰界限且日渐交融,二者均可能造成数据主体的权益损害为由,全面适用于公私领域,作为个人数据处理行为规范适用。[2]在新加坡,个人信息保护法虽明确将公权力机构排除在规制范围外,但公权力机构收集处理信息的行为仍受其他法律规范制约,包括公权力机构(治理)法、官方保密法、所得税法、传染病法、
统计法等法律为公权力机构处理数据信息、保护敏感数据信息设置了较高标准的责任。1994年制定的《韩国政府机关个人信息保护法》采用区分政府部门、私营部门的个人信息保护法律制度。2021年5月12日通过《日本数字相关法案》将现行分别规范国家行政机关、独立行政法人、民间企业三类主体有关个人信息保护的三部法律,统一整合到个人信息保护法中。
我国过去关于个人信息保护的相关规定,尚未形成对国家机关的全面、系统规制。如《
网络安全法》关于网络信息安全的规制对象是网络运营者,即网络的所有者、管理者和网络服务提供者,是否可适用于国家机关,涵盖公共领域信息处理,存在争议。有观点认为,可以涵盖设立和运营网站的个人、企业、事业单位和政府组织;[3]也有观点认为政府机关并不包含在内。[4]其他一些专门规定则强调国家机关及其工作人员的保密义务,如《全国人民代表大会常务委员会关于加强网络信息保护的决定》《网络安全法》《
监察法》等。《
民法典》第1039条规定:“国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息,应当予以保密,不得泄露或者向他人非法提供。”明确将国家机关、承担行政职能的法定机构及其工作人员列为个人信息保护义务的主体。
我国既往立法规制中涉及国家机关的信息保护行为规范较为单一,偏重于消极的不作为义务,而不涉及其他行为规范,已不能适应数字时代的现实需求。本法第73条第1项规定:“个人信息处理者,是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。”本条前段首次明确国家机关作为个人信息处理者,纳入个人信息处理者的主体范围。以此作为依据,涉及国家机关行为的合法性、正当性认定,不能止步于是否超越法定职责范围,而应根据本法规定的个人信息保护基本原则和个人信息处理者权利、义务等方面予以全面考量。对国家机关处理个人信息的活动,应适用本法中关于保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用的规定。
二、国家机关处理个人信息的特别规定优先适用
相对于其他个人信息处理者而言,国家机关处理个人信息的活动具有一定的特殊性。一是在处理目的方面,国家机关处理个人信息以行使法定职权为目的,着眼于国家利益和社会公共利益,是优化社会治理模式、提升行政管理效能、深化政务公开的必要内容。因国家机关处理个人信息发生的争议,虽表现为公权力和私权利之间的对抗关系,但其实质是整个社会对信息资源产生依赖的同时,必然因信息技术高效运作付出一定成本和代价,因此形成多元化的利益冲突格局。故涉及国家机关信息处理行为合法性、正当性的认定需置于整体社会环境和公共利益背景下衡量,给予必要的容忍度和包容度,保障国家机关正常行使法定职能。二是在处理方式方面,国家机关基于履行职务需要,对信息的收集边界宽泛、内容精准、成本较低,其信息处理规模为私人从业者难以比肩。“政府是最大的数据控制者和管理者。而大数据实际上强化了政府和个体既有的力量强弱差序格局,个体无论从财力上、技术上还是从举证和诉讼能力上,都越来越无法与公权力机构抗衡。”因此,有学者建议应对国家机关课以更重的注意义务。[5]本法虽未打破统一的注意义务标准,但本节特别规定仍体现了对国家机关处理个人信息活动特殊性的尊重以及考量。
【条文适用】
一、关于国家机关是否可以成为个人信息民事纠纷的适格被告
国家机关对于个人信息的收集、存储、处理和利用,在性质上属于公权力行使,具有行使法定职权的表现形式和活动范围。对于国家机关能否成为处理个人信息民事纠纷的适格被告,一度存在争议。第一种观点是肯定说,认为国家机关可以作为处理个人信息民事纠纷的适格被告。理由有二:一是“无论国家机关处理自然人的个人信息,还是非国家机关处理自然人的个人信息,也无论处理者处理自然人个人信息的目的是行政管理、公共服务还是营利,处理者与自然人都属于平等的民事主体”。[6]二是认为《
国家赔偿法》第3条规定的国家赔偿范围局限于生命权、健康权、人身自由权等有限的几种人格权,不涉及其他人格权益,此类争议应当直接适用《民法典》的规定。[7]第二种观点是否定说,认为国家机关及其工作人员在履职过程中侵害他人个人信息的,因国家机关履职行为系行使国家公权力,这已经不是平等主体之间的法律关系,此时造成的对个人信息的侵害系因国家机关及其工作人员履行职务所致,应适用国家赔偿责任。[8]对这一问题,还需要进一步研究。我们认为,要根据具体行为的性质分别加以确定。
本条文义上规制的对象仅为国家机关,不包含国家机关的工作人员,与此前相关规定将国家机关及其工作人员并列表述存在不同。究其原因,主要是为确保立法语言的凝练,出于立法技术的考虑而作出的选择。从民法上的用人者责任角度来讲,国家机关工作人员的行为如构成职务行为,则其行为后果归属于国家机关,应当由国家机关承担替代责任,国家机关是职务行为的单独责任主体。因此,本法规定的责任主体与既往相关立法实质上并无不同。在审判实践中,应注意本条规定与其他法律关于职务行为规定的衔接适用。《民法典》第1191条第1款规定:“用人单位的工作人员因执行工作任务造成他人损害的,由用人单位承担侵权责任。”其中的用人单位,涵盖了《民法典》总则编规定的营利法人、非营利法人、特别法人以及不具有法人资格的非法人组织。在判断国家机关工作人员是否构成职务行为时,应以该条规定为依据。有关职务行为的认定,需要采取多元标准而非单一标准,从行为的名义、内在动机、外观表现等综合分析、判断。此外,此类争议可能存在国家赔偿责任的适用,根据《国家赔偿法》第2条第1款规定,“国家机关和国家机关工作人员行使职权,有本法规定的侵犯公民、法人和其他组织合法权益的情形,造成损害的,受害人有依照本法取得国家赔偿的权利”。此时则应依据该条规定认定责任主体。
二、针对国家机关处理个人信息的特别法优于一般法的规则
本条后段是针对国家机关处理个人信息的特别法优于一般法的处理规则。《
立法法》第92条前段规定:“同一机关制定的法律、行政法规、地方性法规、自治条例和单行条例、规章,特别规定与一般规定不一致的,适用特别规定。”这是关于同级规范竞合处理规则中的事项冲突规则的规定。所谓特别法优于一般法,是指当2个以上具有不同内容的同级规范均可涵摄同一案件事实,但它们所规定的事项之间具有包含关系时,应优先适用规定事项范围较小的特别法,而不适用规定事项范围较大的一般法。所谓“不一致”,是指不同的规范均可适用于同一案件事实,但适用的结果却不相同。[9]“是否并且在什么范围内将一个规定视为特别规定,这个问题非常棘手。它必须根据解释的普遍标准(文义、产生历史、法律体系)来检验。同时关键在于对竞合规定的规范目的进行比较。”[10]从法律规范的构造分析,结构完整的法律规范包含构成要件和法律效果,其中构成要件的内容包括规范对象与情境描述,法律效果包括应然规制及被规制的行为模式。[11]如具体规范在构成要件和法律效果上分别存在不同,则构成规范内容的“不一致”。
本条后段中的“特别规定”,主要指本节中的第34~36条。其中,第34条是关于国家机关处理个人信息的合法原则的特别规定,从属于本法第5条关于处理个人信息的合法原则的规定。[12]但这并不意味着本章第一节、第二节关于处理个人信息的一般规定可以不适用于国家机关。恰恰相反,应以第34条为前提,围绕本章第一节、第二节的规定建立起更加完整、更加具体的国家机关处理个人信息规则,而非仅以第34条作为“依据”,直接否定本章第一节、第二节规定对国家机关处理个人信息的适用。第35条是关于国家机关处理个人信息的告知义务的特别规定,与本法第17条、第18条关于告知义务的一般规定相对应,增列“告知将妨碍国家机关履行法定职责”的告知除外情形。第36条是关于国家机关处理个人信息的存储特别规则,本法对其他主体处理个人信息的存储没有一般规定,当然还有其他特别规定(如第40条)。
此外,审判实践中还应注意本法与《民法典》总则编和人格权编相关规定的关系。本法与《民法典》处于同一位阶,在处理二者关系时,不适用上位法优于下位法的规则。根据《民法典》第11条规定:“其他法律对民事关系有特别规定的,依照其规定。”《民法典》总则编和人格权编对个人信息保护构建了制度框架,与本法属于一般法与特别法的关系。有关国家机关及其工作人员个人信息保护的行为规范,《民法典》第1039条规定亦属于一般规定,如法律规范发生竞合,应根据特别法优于一般法的规范竞合处理规则,优先适用本法规定。
