【条文主旨】
本条是关于国家机关处理个人信息合法原则的规定。
【条文理解】
一、国家机关处理个人信息应置于公私法框架内进行
在立法层面,我国个人信息保护经历了从侧重公法保护到同时注意私法保护的历程。2013年修正《
消费者权益保护法》时,在原第14条新增消费者“享有个人信息依法得到保护的权利”,这是立法首次从民事权利角度对个人信息作出规定。有学者提出,将个人信息私权化的路径缺乏支撑,个人信息难以成为民法所有权逻辑下一个排他性的个人控制的课题,依托于意思自治、主体平等基础的私权保护路径也无法应对强大的私人机构以及国家机构处理个人信息时的非对称权利结构。[1]《
民法典》人格权编围绕个人信息的收集、使用、删除、更正和保护作出了较为全面的框架性规定,建立了个人信息的私权保护制度,明确了自然人个人信息受保护的民事权益。本法第69条规定的侵权责任形式,与《民法典》相关规定相衔接,呼应了个人信息的民事权益属性。国家机关因行使职权侵害个人信息权益的,虽存在国家赔偿救济或者发生行政责任、民事责任竞合的可能性,但考虑到侵权责任的形式、内容、部分请求权特别诉讼时效规定等都更有利于权益救济,可以预见未来侵权责任路径将成为个人信息保护的主流。
然而,对个人信息予以私权保护,并不意味着要抹杀国家机关的公权力机关属性,恰恰相反,不能简单地将国家机关与其他个人信息处理者等同对待。在处理个人信息上,国家与私人之间的紧张关系,源于大数据时代公权力借由信息处理向私人生活的扩XXX介入,与以往传统的行政行为方式相比,大数据处理正无孔不入地侵入私人空间。国家机关是基于公共利益或者法定职责处理信息,其与作为个人信息处理者的主体具有逐利性不同,尤其是在信息利益正当性上有着本质区别。在自然人人格尊严、人格自由与促进信息合理流通、发挥其公共价值之间进行权衡,必须回归公权力运行的本质属性,将国家机关处理个人信息的活动置于公法视野中考察,并将公法制约作为行为合法性、合理性的评判标准,因此也形成了个人信息私权保护的独特路径。这并不构成内在的逻辑冲突。总之,将国家机关对个人信息处理活动纳入公法架构内,着眼于权力运行的合法性、合理性,与个人信息私权保护路径可谓相得益彰,这是实现私权全面保护、平衡多元利益冲突的应有之义。
二、国家机关处理个人信息的职权和程序法定原则
(一)职权法定
职权法定原则是国家机关行使其法定职权时必须遵守的基本原则,是拥有行政职权的行政机关、被授权组织及受委托的组织实施行政行为的首要前提。国家机关的职权源于
宪法和法律,即法无授权不可为,行政职能必须符合宪法和法律的规定,行政权力行使的目的预先设定于宪法和法律。国家机关及其工作人员的行政权力必须有法律的明确授权,不能自行设定。行政职权是国家机关或公务员为实现特定的行政目的、履行其法定职责而拥有的权力,国家机关要做到依法行政,首先必须有法律明确授予的行政职权,必须在法律规定的职权范围内活动。非经法律授权,国家机关不能作出行政管理行为;超出法律授权范围,国家机关也不享有对有关事务的管理权,否则都属于行政违法。国家机关处理个人信息,应受职权法定原则的拘束,依照法律、行政法规规定的权限进行。
(二)程序法定
国家机关为履行法定职责处理个人信息应当依照法律、行政法规规定的程序进行,称为程序法定原则。国家机关任何减损公民、法人和其他组织合法权益或者增加其义务的行为,都应当依照法定程序进行,不得在法定程序之外增减程序,从而避免当事人遭受不公正的待遇并保障其获得救济。在个人信息处理中也应当遵循此原则,未经法定条件和程序,即使在法定职责范围内也不得收集个人数据。例如,根据《
行政许可法》第4条和《
行政强制法》第4条规定,实施行政许可和行政强制,“应当依照法定的权限、范围、条件和程序”。[2]国家机关处理个人信息,亦应受程序法定原则的拘束,依照法律、行政法规规定的程序进行。
三、国家机关处理个人信息的比例原则
本条中的“不得超过履行法定职责所必需的范围和限度”,系采取比例原则。比例原则又称为行政合理性原则。“行政合理性原则是依法治国理念或者法治理论推动行政法基本原则发展并完善的结果。虽行政合理性原则在各国的称谓不一,但其追求实质法治的目的是一致的。”[3]在比较法上,比例原则包含三项主要内容:一是适当性原则,即国家机关拟实施行政行为,特别是实施对行政相对人权益不利的行政行为时,只有认定该行为有助于达到相应行政目的或目标时,才能实施。如该行为并无助于相应行政目的的实现,国家机关则应选择另外的行政行为方案。二是必要性原则,即国家机关实施行政行为,必须在多种方案、多种手段中选择对相对人权益损害最小的方案、手段实施。该原则亦称“最小损害原则”。三是均衡性原则,即国家机关拟实施行政行为,必须进行利益衡量,只有通过利益衡量,确认实施该行为不仅对于实现相应行政目标是适当和必要的,而且可能取得的利益大于可能损害的利益,收益大于成本,才能实施。[4]比例原则在我国行政法立法中已有体现,如《行政强制法》第5条规定:“行政强制的设定和实施,应当适当。采用非强制手段可以达到行政管理目的的,不得设定和实施行政强制。”
比例原则搭建了以衡量目的和手段为中心的分析框架,并非专属于公法领域中的宪法、行政法,其同样是民法领域中的普适性原则。[5]前已述及,对国家机关的个人信息处理行为应置于公私法框架内评判,但相较于我国现行《
行政诉讼法》规定的实质合法性(合理性)审查标准,本条规定放弃了“滥用职权”“明显不当”这种略为宽泛的表述,而是更多地借鉴了比例原则的分析框架。首先,应当“为履行法定职责所必需”,要求处理个人信息属于履职所必需的手段,这是比例原则的“合目的性”要素。其次,“不超过必需的范围和限度”,要求对全部为履职所必需的有效手段进行权衡,其中造成伤害最小,最为温和的方案为最优方案,此为比例原则中的“必要性”要素。
比例原则的独特优势,是在形成冲突的不同或同阶法益中形成动态衡量,利益的博弈随着社会环境和事件情境不同悄然改变,敏锐捕捉到这些在潜移默化中产生的变迁。对于承载了多元价值冲突的个人信息而言,这种分析方法显得尤为必要。国家机关一定程度上代表了国家利益、社会公共利益,在不同的经济发展水平、社会文明程度、文化背景之下形成的公共利益价值体系也存在不同,同时在公共利益和个人权益之间既存在紧张的对抗关系,也存在包容关系。遵循比例原则采用的分析方式和步骤将推动个人信息保护不再受限于静态的、统一的传统模式。以比例原则诠释行为合理性,将更有利于回应信息利用和共享的多元主体利益诉求。
【条文适用】
一、国家机关处理个人信息的合法性审查
所谓合法性审查,是指针对国家机关是否在法律、行政法规范围内行使权力所进行的审查,此为职权和程序法定原则的当然之义。《行政诉讼法》第6条规定:“人民法院审理行政案件,对行政行为是否合法进行审查。”基于国家机关职权的法定性,对公权力行为目的正当性的审查在司法审判过程中并未受到重视。在《行政诉讼法》修订前,人民法院对行政行为的审查范围限于具体行政行为。我们认为,欲完成对个人信息处理行为的全面、妥善规制,目的限定原则应当作为一般原则统一适用于全部信息业者。这是法治中国建设中,从形式法治向实质法治转变的必然要求。“根据实质的法治国家概念,一切国家行为必须符合实质上的公正理念。”[6]
对国家机关个人信息处理行为的目的合法性审查,除了对目的本身的正当性进行考量之外,目的的合理性也应作为分析对象。根据传统比例原则中的“狭义比例原则”(即均衡性原则),采取某一手段增加的公共利益和所造成的损害应当合理、适度、成比例。以新冠肺炎疫情防控中的个人信息处理为例,在疫情发生后,各级政府及相关主管部门、疾控机构对确诊或疑似病例开展流行病学调查,并定期公布确诊病例个人信息,内容包含个人姓氏、年龄、住址或单位地址、确诊日期、个人活动轨迹等,其法律依据主要是《
传染病防治法》《
突发事件应对法》等,同时具有疫情防控的宏观性合理目的。根据本法第13条规定,为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需,个人信息处理者可以处理个人信息。
在处理个人信息上,国家机关的权力运行更为关注行政效率、国家政策和公共利益,处理方式、手段更多地表现为充分的灵活性,以满足变幻的社会需求,适应信息的天然流动性。为充分尊重国家机关处理个人信息活动的内在规律,司法对权力运行的干预也应当保持克制。有观点认为:“形式合法性审查注重硬法的严格遵守,更侧重于对法律文义的解释和应用、法律和事实推理,以及形式逻辑的运用。”[7]本条规定的权限及程序其实质均指向个人信息处理活动是否遵循明确具体的法律规定,考虑到实践中个人信息处理活动形态的多样性和复杂性,也不能排除在必要时对行政行为引入一般法定审查标准,对存在其他违反法律、行政法规情形的行为作出合法性否定评价。
二、国家机关处理个人信息的合理性审查
如果说,合法性是国家机关处理个人信息活动的刚性要求,那么,合理性则为其柔性要求。围绕合理限度和范围的界定,本条授权人民法院对信息处理行为是否失当、是否过度、是否存在滥用职权进行审查。这使本条具有一般条款的性质,即赋予了人民法院自由裁量权,对国家机关处理个人信息活动的自由度预留了较大的弹性空间。
本法第6条规定:“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。”其中,除明确目的合理性和目的相关性原则以外,还明确了“最小够用原则”。1995年《欧盟个人数据保护指令》中规定“与收集时和/或随后的个人数据的处理目的充分相关且不过量”,2016年GDPR表述为“即数据应是充足的、相关的并且限于数据处理目的的最小必要范围”。但是,“它反映的是大数据时代之前个人信息保护和利用的基本理念,它是建立在收集个人信息时目的确定且限定于该目的的使用前提上”。[8]
在数字中国建设过程中,新型个人信息共享模式逐步建立,个人信息的“二次利用”将成为普遍趋势,如与对一般信息业者的要求一致,规定国家机关收集个人信息应当限于实现处理目的的最小范围,必然无法适应将来数字政府的运行模式和发展战略。正因如此,专家建议稿建议:“信息业者、国家机关进行个人信息处理应当在收集时所确定的特定目的或与之具有合理关联的范围内进行个人信息处理。”如果要发挥个人信息“二次利用”的增值价值,需要划定一个中间地带。[9]在审判实践中,应注意本法第6条与本条规定的区别,充分尊重国家机关处理个人信息的公权力性质,按照比例原则充分考察相关行为的目标价值与公民基本权利的受损价值之间的权衡关系。
