在我国,行政裁量作为一个学术概念,并没有经过深刻的理论检讨,现行认识是十分宽泛的,认为行政裁量权是行政主体便宜行事的权力,行使这种权力的前提是缺乏羁束性规范,在行政主体的权限范围之内[48]。
因此,其仍然应当在新的概念内涵中加以反映。这同样与国外学者的研究路数有所不同,从平冈久和毛雷尔的定义来看,在比较法上,要么不会在裁量基准的定义中提及这一结构(如毛雷尔),要么便不会将这一结构仅仅局限在法律要件和法律效果两个部分,而是更为开放地将其他内容也一并纳入。
2.模糊的行政裁量概念体系。[26]四川省农业厅:《四川省农业厅行政强制裁量标准》,(2019-05-06),http://www.ms.gov.cn/info/4973/1041973.htm。而且,需要注意的是,对此持相反认识的也并不鲜见。[74] Elizabeth Magill, Agency Self-Regulation, George Washington Law Review, 2009, 77, p. 861. [75]熊樟林:《重大行政决策概念证伪及其补正》,《中国法学》2015年第3期。[73]周佑勇:《行政裁量基准研究》,北京:中国人民大学出版社,2015年,第43页。
其中,根据法律规范对行政行为拘束的程度不同,行政行为可分为羁束行为和裁量行为。第二,丰富裁量基准的制定技术。[15]简而言之,个人信息保护法产生的主要原因是为了防御政府收集处理信息对个人基本权利的侵犯。
部分告知方式无法全面展示告知的内容,在特定场景下,只能按轻重缓急有所取舍,而且每一告知的内容也无需详尽周到。若在信息处理过程中加入新的政府机关,其也应当至迟在处理信息时履行告知义务。但必须指出的是,日新月异发展的数据技术表明,数据匿名化仅仅是一种小数据时代的策略,在大数据时代,不同的数据库互相撞库,采用大数据分析技术,找出个人信息并由此拼凑出个人人格画像并非难事。此外,2021年4月23日公布的国家标准《信息安全技术人脸识别数据安全要求(征求意见稿)》中也对政府机关合法合规处理人脸信息提供了具体指引。
第8.1.1条第d项规定,对外共享个人信息的,个人信息控制者应告知用户对第三方的审核要求,如第三方公司收集实施者、收集内容、使用目的、收集时间、保护措施,以及所承担的相应法律责任。本文针对政府机关处理个人信息的告知义务,从公法理论基础和具体制度建构两方面进行了较为体系化的探讨,强调了告知义务的宪法价值和控权功能以及告知义务制度的公法建构,希望能为将来制定政府机关处理个人信息的具体规则提供智识参考。
[12]由此可见,匿名化处理并不能排除个人信息权益受到侵害的风险。原则上不应使用人脸识别方式对不满十四周岁的未成年人进行身份识别。[3]本文则从公法角度出发,聚焦于政府主体处理个人信息的的告知义务,从实践问题入手,阐释理论基础,并结合新实施的个保法,探讨如何从告知义务角度来规制政府这一最大的个人信息处理者,从而有效保护信息主体的合法权益,为数字政府在法治轨道上运行保驾护航。[29]SeeDanielleKeatsCitron,TechnologicalDueProcess,WASH.U.L.REV.1249(2008)。
[39]可参考《信息安全技术人脸识别数据安全要求(征求意见稿)》第6.1a)条规定。[32]参见周汉华:《个人信息保护的法律定位》,载《法商研究》2020年第3期。人脸识别数据不应用于除身份识别之外的其他目的,如评估或预测数据主体工作表现、经济状况、健康状况、偏好、兴趣等情况。[41]此外,公共利益相对个体的信息权益也不必然具有优先性,因而政府机关处理个人信息必须告知具体的目的。
[25]具体而言,基本权利的防御权功能是指公民得要求国家不侵犯基本权利所保障的利益,当国家侵犯该利益时,公民得直接依据基本权利的规定请求停止侵害。Gero Ziegenhorn.Katharina von Heckel Datenverarbeitung durch Private nach der europäischen Datenschutzreform.NVwZ 2016, 1585 (1586). [14]Albers/Veit DS-GVO Art. 6, Rn. 11 ff,in Stefan Brink/Heinrich Wolff (hrsg.), Beckscher Online- Kommentar Datenschutz, 35. Edition 2021. [15] See Peter Blume, The Public Sector and the Forthcoming EU Data Protection Regulation, European Data Protection Law Review (EDPL), No. 1(2015), p. 32-38. [16]参见孙平: 《政府巨型数据库时代的公民隐私权保护》, 载《法学》2007 年第 7 期。
公民的个人信息经常在毫不知情的情形下被收集、储存、披露或共享,公民的隐私权、人格尊严甚至人身自由等基本权利因此受到侵害,例如,警务工作中的个人信息错误导致错误的拘捕或行政强制措施等。也即,告知是基本权防御功能发挥的前提条件。
但公民行使该防御权的前提是知悉政府何时以及如何处理了其个人信息。2.告知的方式 根据告知方式的不同,一般行政程序中的告知可以分为书面告知与口头告知、特定告知与非特定告知。[8]而2020年进行的全国人口普查,因为收集诸多个人敏感信息,如身份证号码和住房情况等,引发广大民众对个人信息保护的疑虑。虽然数据联通、整合和分析能够高效赋能数字政府建设,但无疑也扩大了技术利维坦的侵权风险,加大了控权难度。妨碍履行法定职责的风险常见于司法、执法活动中,譬如针对技术侦查等行为,一般不履行告知义务,否则将给个人隐匿、销毁证据提供巨大便利。[5]参见齐爱民: 《信息法原论》, 武汉大学出版社 2010 年版, 第 76 页。
Boris Paal/Daniel Pauly/Michael Frenzel, Datenschutz-Grundverordnung Bundesdatenschutzgesetz Kommentar, 3. Aufl. 2021, Art. 6 Rn. 1。告知义务是政府机关处理个人信息应履行的前提性核心义务,其既是个人信息自决权的具体表达,也是个人信息受保护权发挥基本权利防御功能的前提,同时还是制约政府信息权力和预防侵权风险的程序工具。
[48]笔者认为,非常有必要通过法律解释的方法,结合行政诉讼法的规定,认定个保法中的公益诉讼包含了行政公益诉讼,即国家机关不履行法律、行政法规规定的个人信息保护义务致使众多个人权益被侵害的,检察机关可以依据《行政诉讼法》第25条规定提起行政公益诉讼。由此可见,政府处理不满十四周岁未成年人的个人信息时,应当履行此种告知义务。
由此,为保护基本权利的个人信息保护规则也就有具有了公法属性,其一般禁止处理个人信息,除非具有合法的例外许可依据。2021年4月22日,最高人民检察院发布了个人信息保护公益诉讼典型案例, 其中就有6起属于行政公益诉讼案件。
例如,《网络安全法》在第41条只笼统规定,网络运营者应当公开收集、使用规则,明示收集、使用信息的目的、方式和范围,但并未明确规定涵盖告知义务各个要素的具体规则以及可能的例外情形。[16]根据法治国家的基本原则,政府干涉基本权利需要有法律的授权和正当性基础。[10]请参见《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》(2020年4月9日公布)。[36]《信息安全技术个人信息告知同意指南(征求意见稿)》第5.1条第d项规定,个人信息控制者从第三方间接接受、查询等方式间接获取个人信息的,需向个人信息主体告知收集、使用个人信息的类型、目的、方式和范围,并征得个人信息主体的明示同意。
但政府机关根据法律规定,利用人脸识别等设备收集敏感个人信息或进行监控或身份识别时,仅设立显著标识还不能认为履行了完全的告知义务,还应当通过公布规则的方式,对公共场所监控以及身份识别设备设置的地点及其法律依据、维护公共安全的目的、数据类型和数量、信息收集后的处理方式、存储时间等进行统一说明。然而,第66、69、71条很难适用于政府的违法信息处理行为,第68条作为对政府机关的唯一专门规定,又只规定了内部行政责任和刑事责任,正式实施的个保法虽然较草案增加了个人行使权利遭到拒绝时的起诉权, [46]但对抗政府不履行告知义务最为重要的行政复议和行政诉讼以及国家赔偿制度都付之阙如。
因此,如果存在持续性的信息处理行为,政府应当进行说明,以使信息主体充分了解被处理信息的范围。但不容忽视的是,数字政府系统收集、存储和处理海量的公民个人信息,这些全面、真实、巨量的个人信息一旦遭到泄露或被滥用,不仅威胁个人的人身、财产和信息安全,也可能危害公共安全,甚至危及国家整体安全。
但并未告知法律依据、信息主体权利义务、信息保存时长等重要内容。个保法第6条规定个人信息处理的目的明确、合理原则以及必要和目的限制原则。
[14]实施这种一般禁止,例外许可性质的公法上的严格保护的原因又可追溯到历史上各国个人信息保护立法的主要动因,即随着上世纪60年代巨型计算机技术的运用,政府自动化处理个人信息的能力和范围剧增,其建立的巨型数据库能够大规模集中收集和存储和处理个人信息,对公民隐私权造成巨大威胁。此时的告知是对前两种的有力补充。文章来源:《人权》2022年第3期 进入专题: 个人信息保护 政府机关处理个人信息行为 告知义务理论 。基于该委托关系的个人信息传输,并未超出个人基于原有告知内容产生的预期,因此无需重复告知。
[20]由此,在政府处理告知义务制度的建构中也不能照搬适用于私法主体的告知规则,而需在公法框架下进行体系化架构。首先,《宪法》第38条的人格尊严条款可以作为个人信息权的宪法基础,虽然学界对于该条款属于具体基本权利抑或是原则性的权利保护条款还存在争议,但这并不影响我们借鉴美国宪法学中的晕影理论( Penumbra Theory) [22]从该条款中解释出个人信息受保护权这一新型基本权利,因为一方面人格尊严本身就蕴含着人民享有基本权利的意旨,另一方面人格尊严是宪法基本权利的逻辑起点和价值内涵。
在上述两种情形下,政府机关都是个人信息的实际处理者,均需履行告知义务。第3修正案禁止士兵在和平时期未经房主同意驻扎在其住宅,这包含了隐私权的内容。
[45]参见《个人信息保护法》第28-31条以及《信息安全技术人脸识别数据安全要求(征求意见稿)》第5、6条之规定。[39] 在有特定告知对象的情形下,考虑到对信息主体权益的充分保障,应优先适用逐一告知方式,当该告知方式存在显著困难或者成本过高时,方可使用发布公告等不特定告知方式。
