返回上一页 文章阅读 登录

王锡锌:行政机关处理个人信息活动的合法性分析框架

更新时间:2022-06-03 17:43:14
作者: ​王锡锌  

  

   本研究受国家社会科学基金重大项目“社会信用体系的法律保障机制研究”(批准号:21&ZD199)资助。北京大学法学院研究生冯莉媛、黄智杰为本文研究做了大量的资料整理工作,并对文章的修改提出了很多建议。特致谢忱。

   国家是最大的个人信息处理平台。今日,国家治理以巨量的信息处理为基础。国家权力与数据权力的结合,催生了“数治”(rule by data)这一新的治理技术。在这个背景中,国家机关行使法定职权、履行法定职责中处理个人信息的活动,应如何纳入法律控制框架?从法律上看,国家机关处理个人信息的行为,可依其处理个人信息的权责之性质而作类型化区分。第一类是公法关系中的个人信息处理行为,例如,国家机关依据法定权限、履行法定职责所需而进行个人信息处理;第二类是私法关系中的个人信息处理行为,例如,国家机关订立用工、买卖、劳务、机关事务、民事委托等合同行为。本文仅讨论行政机关为履行法定职责而处理个人信息的活动。

   一、问题界定:行政机关处理个人信息适用个人信息保护法吗?

   (一)“一体调整”的立法模式

   国家机关为履行法定职责而处理个人信息的行为,是否适用个人信息保护法?《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”)的制定深受民法思维影响。我国无论是在民法典还是在个人信息保护法中,都体现出将国家机关与其他信息处理者同样对待,并原则上适用同一法律框架的立法论思维。《个人信息保护法》第33 条规定的“国家机关处理个人信息的活动,适用本法”,一定程度上正是这一立法论思维的体现。在这个意义上,问题似乎已经解决:国家机关处理个人信息的活动,同样受《个人信息保护法》调整。

   然而,《个人信息保护法》主要是围绕私人机构处理个人信息的行为而展开的规制设计。毫无疑问,这些机构和平台的大规模、持续性的处理个人信息的活动,对个人信息权益带来了侵害风险;正因为此,个人信息保护法律制度的逻辑,就是对处理个人信息的各种行为,包括个人信息的采集、分析、转移、传输、出境等进行规制,通过对个人信息处理规则的建构、对处理者义务的设定、对个人的赋权以及法律责任机制的构造等规制策略,控制个人信息处理活动的风险,并对个人信息权益进行保护。

   但在“数治”作为国家治理技术的时代,国家机关处理个人信息的活动,与上述场景存在明显不同。国家权力及职能活动的“数字化”,意味着国家机关,特别是行政机关对个人数据日益增大的“胃口”。从国家视角看,“数治”对国家具有明显的“赋能”效应。信息采集、处理、分析以及在此基础上的决策、监管、执法等能力,提升了国家管制和治理能力;但从个人和社会的视角看,“数治”对个人权益具有复杂的外部性影响。一方面,国家的数字化治理在提升治理效能的意义上有助于增进公共福祉,因而具有“正外部性”;另一方面,数字化治理所带来的国家过度侵入私人空间的威胁及其心理效应,对个人权益也带来“负外部性”影响。国家机关违法的、过度的个人信息处理活动,不仅会直接侵害个人信息相关权益,也会造成社会成员在心理层面的焦虑和恐惧感。

   在很大程度上,数字技术的迭代更新和发展,催生了“技术权力”及其广泛应用。这种技术权力有工具意义上的“中立性”;但工具与利用工具的主体相结合,会形成一种具有强烈目的和价值导向的权力系统。具体而言,数字权力与资本的结合,导致了被称为“监控资本主义”(surveillance capitalism)、8“监控型社会”(surveillance society)的新的社会经济和社会生态;而这种数据权力与国家权力的结合,则催生了“监控型国家”(surveillance state)。

   在“监控型社会”中,资本与技术的结合——其典型形态是平台——将人转化为各种数据资源以追求竞争优势和利润最大化。在这一权力系统中,个人被数字化、数据化,成为资本监控的对象、竞争的资源,甚至成为被支配、被消费、被控制的客体。个人信息保护法的核心使命之一,就是要求国家对这些大规模、持续性处理个人信息的组织的信息处理活动进行法律控制,其目的在于控制信息处理活动带来的侵害风险,并对受侵害的个人信息权益提供法律救济。

   监控型国家则是国家权力与数字技术相结合的一种国家治理技术。杰克·巴尔金(Jack Balkin)指出,监控型国家不是一种新的国家价值系统,而是一种新的国家治理技术。数字技术,包括数据采集、分析、共享、集成等技术的“大数据”,与不断更新的算法相结合,对传统的国家权力进行升级、赋能,不断走向一种“数据赋能的国家治理”,或者说“数治”(rule by data)。监控型国家的兴起以及“数治”在国家治理各种场域的实践,已成为当代国家治理中的一个普遍事实。在中国,从常态管理背景中的社会信用监管、基层网格化治理、预防式执法、“互联网+监管”,到公共卫生事件应对中的“码治理”,都属于“数治”的具体应用形态。无论是监控型国家,还是“数治”技术,都需要以国家对社会生活中各种数据的采集、分析、处理为基础,这其中当然也包括了对个人信息的处理。

   因此,个人信息权益所面临的侵害风险源,既包括私人机构,也包括国家机关,二者都是大规模、持续性处理个人信息的“处理者”;相应地,为了保护个人信息权益,自然应当对两种风险源都进行规制。但是,私人机构与国家机关在组织、目标、手段、归责机制等方面存在巨大差异性,对这两种不同风险源的规制,是否可以采用相同的规制策略?

   我国个人信息保护法在第二章“个人信息处理规则”规定了个人信息处理的一般规定,同时对国家机关处理个人信息作了特别规定。第33 规定:“国家机关处理个人信息的活动,适用本法;本节有特别规定的,适用本节规定。”从体系解释的角度看,这意味着国家机关处理个人信息,受个人信息保护法调整;“特别规定”只是针对国家机关处理个人信息活动的优先的、补充的规则。相较于一些国家针对国家机关处理个人信息活动作出专门规定的“差别调整”模式而言,我国个人信息保护法对国家机关和私人机构的个人信息处理活动,采用了“一体调整”的立法模式。

   (二)国家机关处理个人信息的法律控制:未完成的任务

   但是,顺着这个逻辑,我们是否可认为,除了“特别规定”之外,《个人信息保护法》所确立的一般规则都适用于国家机关处理个人信息的活动?换言之,《个人信息保护法》是否提供了一套调整私人机构和国家机关处理个人信息的“一体性规则”?

   对于这个问题,学界尚未给予应有的重视,许多问题没有明确答案。例如,国家机关履行法定职责而处理敏感个人信息,是否适用《个人信息保护法》关于敏感个人信息处理的规则?个人在个人信息处理活动中的“权利束”——包括知情、决定、查询、复制、删除等在内的权利集合——是否适用于国家机关履行法定职责而处理个人信息的活动?国家机关履行法定职责处理个人信息违反规则,是否适用行政处罚责任和侵权责任等救济机制?

   我国个人信息保护法形式上采用“一体调整”模式,将国家机关处理个人信息的活动纳入了该法的调整范围;但相关内容存在缺失。这使《个人信息保护法》的“一体调整”模式在实践中难以有效适用于国家机关处理个人信息的活动。可以说,《个人信息保护法》关于“国家机关处理个人信息适用本法”的规定,目前仍然具有很强的“象征性立法”(symbolic legislation)色彩。

   这种象征性立法的宣告,或许有其苦心。它至少表明,立法者注意到了对国家机关处理个人信息的活动进行法律控制的必要性;但对国家机关处理个人信息的行为如何进行法律控制,这仍是一个未完成的命题。国家机关处理个人信息的职权活动,在目的、权力性质、行为属性等方面均不同于私人组织处理个人信息的活动。例如,《中华人民共和国民法典》(以下简称“《民法典》”)对国家机关处理个人信息作了原则性规定,但如果国家机关侵害个人信息权益,是适用民事侵权责任?同理,《个人信息保护法》所规定的行政处罚责任、民事侵权责任,是否适用于国家机关处理个人信息活动?这些都是理论和实践中有待明确的重大问题。

   本文接下来从国家机关与私人机构处理个人信息活动的差异性的视角,探讨对国家机关履行法定职责处理个人信息活动的法律控制框架。需要说明的是:国家机关包括立法、司法、行政、监察等机关,也包括依法承担公共管理职能的组织;但实践中,立法具有很强的政治性,主要是政治过程;司法机关的活动,主要受诉讼法等专门法律的调整;故本文接下来仅针对行政机关履行法定职责情形下处理个人信息的活动展开分析。

   二、行政机关处理个人信息行为的法律性质

   (一)行政机关处理个人信息行为的“行政性”

   在职能主义的组织结构中,作为公共组织的行政机关按照“结构—功能主义”原则而建立。依据行政法治原则,行政机关的权责应按照法定方式予以明确。行政机关之所以需要收集、分析、共享、运用个人数据,乃在于其需要处理信息以实现组织的功能,进而实现公共管理和服务的组织目标。行政机关与私人机构处理个人信息的行为存在明显差异。

   这种差异性具体表现在以下几个方面。首先,目的不同。行政机关处理个人信息的目的,是为了履行其法定的公共职责。也就是说,该种活动虽然需要处理个人信息,但其目的并不限于对个人的管理或服务,而是具有“公共性”的。比如,疾控部门处理流调信息,并不限于对特定个人进行管理和服务之目的,而是为了传染病防控的公共目的。类似地,社会信用监管制度中的个人信息处理,主要围绕公共监管这一目的。相比较而言,私人机构处理个人信息的活动,在目的上主要是为了对个人提供服务、开展民商事活动的需要。

   其次,处理个人信息的权力基础不同。行政机关处理个人信息行为的权力基础,是基于其所负有的法定职责及相应的法定职权。因此,行政机关处理个人信息行为具有高权性、强制性特征。一般而言,基于职权行为的高权性、强制性特征,国家机关处理个人信息的法权基础是一种“管理关系”,并不需要以个人同意或授权为权力基础。例如,无论是行政监管和执法中的调查,还是为了公共安全而对公共场所进行监控,都无需以个人“同意”为权力行使的正当基础。相比较而言,私人机构处理个人信息的法权基础,是基于个人—机构之间的“交换关系”。私人机构提供特定的服务,而使用此种服务的个人需要允许前者进行必要的个人信息处理。正是在这种“交换关系”的结构中,“同意”(consent)成为私人机构处理个人信息主要的正当基础。

   复次,处理个人信息所引发的权利义务关系的性质不同。行政机关处理个人信息的行为所影响的是行政法上的权利义务关系。相比较而言,私人机构处理个人信息的行为是在信息主体“同意”的基础上进行的,“个人—信息处理者”之间具有民事权利义务关系的内容。尽管国家考虑到“个人—信息处理者”之间存在实质性的不对等关系,采取了针对处理者的“规制策略”,但这并不会影响“个人—信息处理者”之间民事权利义务关系的底色。

最后,处理个人信息行为所引发的法律责任及归责机制不同。由于行政机关处理个人信息行为在本质上是针对作为“行政行为相对人”的个人而实施的,该种行为应当纳入行政法的控制框架;相应地,如果行政机关处理个人信息行为违法,将导致行政行为违法的法律后果,包括行政行为的无效、可撤销、变更等;如果违法的个人信息处理行为侵害个人合法权益,应承担行政侵权赔偿责任。与此不同的是,私人机构违法处理个人信息活动,通常导致“不合规”,(点击此处阅读下一页)


爱思想关键词小程序
本文责编:admin
发信站:爱思想(http://m.aisixiang.com)
本文链接:http://m.aisixiang.com/data/134387.html
文章来源:《比较法研究》2022年第3期
收藏