淺談我國國家機關處理個人信息

摘 要：《個人信息保護法》在2021年11月1日開始施行，其中有關國家機關規定的法條有五條，但令人遺憾的是，這五條法律條文和其他法律法規涉及公權力部分僅是概括性規定，不利于解決實際案例，這對于處理和利用個人信息的重要參與者來說是遠遠不夠的。對于如何完善國內個人信息保護立法有關對公權力的限制，則需要從國家機關處理和利用個人信息的合法性基礎、國家權利機關有權整合個人信息的情形、國內外立法模式比較研究幾個方面進一步分析。

關鍵詞：國家機關；個人信息保護法；數字化防控

一、問題的提出以及研究基礎性概念的界定

放眼于大數據時代背景下，如何使個人信息在促進國家經濟政治等方面飛速發展的同時，做到合理利用、正確處理個人信息是我們需要解決問題的重中之重。因此我們需要明確國家機關對于處理個人信息時所需要的法律依據以及如何限制公權力利用個人信息權利泛化。

在本文設定的研究框架內，筆者認為對于國家機關范圍的界定應當做擴大解釋，即采用學者張新寶提出的“政府部門及法律法規授權具有行政職能的事業單位和社會組織”這一概念。

我國采取公私統一的個人信息立法模式，有關國家機關個人信息保護的規定在2021年11月實施的《個人信息保護法》中僅在第二章第三節中涉獵，而對于第三節中沒有涉及到的法律問題，可以類比原因其他章節對一般主體的規定。然而并不是所有的都能類比適用，例如該法第58條僅適用于“提供重要互聯網服務、用戶數量巨大、業務類型復雜的個人信息處理者”；該法66、69、71條中規定的行政責任（包括罰款）、民事責任與刑事責任當然地不適用于國家機關。當然，若是該法一般條文與特別規定相沖突，應當優先適用第二章第三節的相關規定。筆者認為，若是泛談國內立法模式不利于研究如何完善立法缺口，所以本文以“數字化防控”這一歷史背景下，通過國家機關處理和利用個人信息的情形來具體分析如何平衡公權力與私主體之間信息管理的權利范圍，避免公權力擴張泛濫，導致公民個人隱私泄露。

二、“數字化防控”背景下我國國家機關有權處理個人信息的合法性基礎

（一）數字化防控下國家機關所處理信息的分類

一般情況下，國家機關處理個人信息的目的大致有三：一是用來做人口普查，便于管理國內人口戶籍檔案；二是高效化處理各種政務活動，以便管理房產、政審之類的信息記錄或者疫情背景下社區網格防控；三是用于國家大數據統籌分析更好進行國家管理職能，以便規劃未來十幾年的國家發展計劃。

處理不同種類的信息會產生不同的合法性基礎：比如有明確的法律法規條文援引的是法定基礎；取得個人信息權主體同意的為意定基礎；為了國家、社會公共利益以及個人信息權主體合法權益而處理的屬于酌定基礎。

以公安部門的戶籍信息為例，按照《個人信息保護法》第72條第2款的規定：“法律對各級人民政府及其有關部門組織實施的統計、檔案管理活動中個人信息，適用其規定。”公安部分的戶籍信息收集屬檔案管理活動，可知其所依據的是法定基礎。

以自主申報的個人信息為例，在申報人明知自己的信息會作為社區、省市人口流動的防疫信息處理對象（這里對普遍標準的一般人而言），所以推斷個人信息主體已經知道申報的信息會被相關部門處理，該類信息屬于意定基礎。

以個地方大數據中心為例，大數據中心直屬于當地政府，由當地政府授權，具有行政職能。該單位處理個人信息主要目的是為了個省市數據整合、數據綜合計算，以便于政府的政務工作、國家大數據統籌分析以此更好地進行國家管理職能。所以該項信息的處理依據的是酌定基礎。

（二）數字化防控下國家機關有權處理個人信息的情形討論

依據《個人信息保護法》第13條，羅列了七項有關可以處理個人信息的一般規定，其中與“數字化防控”相關的有“（一）取得個人的同意”“（三）為履行法定職責或者法定義務所必需”“（五）為公共利益實施新聞報道、輿論監督等行為，在合理的范圍內處理個人信息”“（七）法律、行政法規規定的其他情形”。其中“（四）為應對突發公共衛生事件，或者緊急情況下為保護自然人的生命健康和財產安全所必需”，該項由于偏向于“突發性”，本文討論的內容大多涉及疫情常態化防控，因此不再本文討論范圍內，故只對前四項進行論述。

按照以上四項條文，可以逐一分析其在數字化防控背景下所指向的具體情形。

一是取得個人同意。這里的取得個人同意，不僅包括個人自主申報的信息，還包括信息主體在使用健康碼、行程卡時，亦或是在社區防疫政策告知書上簽字等情況下，同意協議上有關公開個人信息的情形。后者大部分情況下是通過簽訂協議同意公開信息以此來獲得一定的生活服務，健康碼的開通和適用是為了用戶自由進出公共場所、防疫政策告知書的簽字是為了能夠獲得社區服務。該項合法性基礎最容易最為行政部門逃避“合法處理”的借口，必須明確適用該項法條規定的門檻必須達到信息主體自愿、不會因為拒絕提供信息而影響得到國家機關有關給付行為的程度。

二是為履行法定職責或者法定義務所必需。此處的法定職責一般由法律明文規定而獲得，屬于法律授權而擁有的處理和利用個人信息的情形，主要用于國家的政務數據處理。法定義務一般不由法規直接體現，而是滲透于國家機關日常工作中的原則性規定。根據這些原則性規定，法定義務可分為積極的和消極的：積極義務便是國家機關應該身為個人信息權主體的保護者，避免個人信息變成利益的工具而導致信息主體喪失主體性地位；消極義務指向的是國家機關非依法律法規、非依職權不得隨意處理和利用個人信息。

三是為公共利益實施新聞報道、輿論監督等行為，在合理的范圍內處理個人信息。在數字化防控背景下，尤其是“動態清零”政策下，各地實時新聞報道感染人數、感染人行動軌跡以及感染人小區住址等就屬于“為公共利益實施新聞導報”因此，需要適用該項合法性基礎需要鏈兩個條件，一是報道機關需要為公共利益而報道，二是需要國家授權。但是需要注意的是，根據黨的十三大報告提出，輿論報道的監督主體為公民而非國家機關本身，故本文在此并不討論。

四是法律、行政法規規定的其他情形。例如《個人信息保護法》第72條所暗指的統計法和檔案法、《民法典》第111條“任何組織和個人”中的組織也同樣適用本文所討論的國家機關、《數據安全法》中對于國家機關規定的數據處理的安全責任等等。這些法律共同構建了信息主體和國家機關相處的基本框架，而在數字化防控背景下，這些法律條文搭建起了個人信息權力與公權力友好溝通的橋梁，以及當個人信息權利受到侵害后所能夠適用援引的法律依據。

三、有關個人信息立法模式國內外比較分析

通過研究國內個人信息立法模式中有關國家機關的相關規定，對比美國、德國、日本三個國家中個人信息保護法體系中國家機關的有關法規，研究探討如何對國內對于國家機關處理、利用個人信息立法問題的完善。

（一）美國采取公私分立，私領域分散立法的模式

將個人隱私權力這一概念進行擴大化解釋，是美國在相關領域的立法模式，就是把個人信息權包含在隱私權中予以法律保護。而其中美國法采用“公共/私人”二分法的隱私保護模式，所保護的范疇并不包括可公開獲取的信息。程嘯教授指出“所謂可公開獲取的信息是指從聯邦、州或地方政府記錄中合法取得的信息，但不包括企業在消費者不知情的情況下收集的有關消費者的生物特征信息。”美國這一模式的運行，其法律主要限制對象并不在私主體，與我國恰好相反，美國采取的是主要規制公權力，以規制私主體為例外，且對待私領域分散立法，這與美國的歷史與社會因素關系很大，我國應當適當借鑒，不能完全照搬。

（二）德國采取公私統一的立法模式

德國采取的公私統一的立法模式是以《聯邦個人信息保護法》為基礎的，總的來說，除非有特別法特別規定規定，否則國家機關和私主體適用同一套方法除了個人信息，有特別法規定的部分適用特別法。

值得注意的是，德國身為大陸法系的先行者，有很多立法模式都值得我們借鑒，在個人信息保護這一方面，德國憲法法院中“人口普查案”這一案例所提出的“資訊自決權”符合本文所提出的如何平衡公權力和私主體個人信息權問題的解決答案，即若非處于為了重大公共利益而不得不處理個人信息的情況外，國家機關必須要考慮到公共利益和私主體的比例原則，必要時應當詢問個人信息權主體的意愿，通過獲得權利主體的同意作為主要的合法性依據。

（三）日本采取各部門單行法補充模式

日本最早的針對個人信息保護的法律是1988《行政機關保有的電子計算機處理的個人信息保護法》，日本學者普遍認為，個人信息保護法的出發點在于限制公權力，而不是干預私人自由。即使后來歐盟出臺了《個人信息保護指令》，日本擔心現行法律可能影響歐盟在日本的貿易，于是分別對于公私領域分別立法，并在2003年出臺《個人信息保護法》，構筑了以該法為基本法，各部門單行法為補充的法律體系。

日本這立法模式昭示這其在大陸法系國家的領先地位，立法完善可以在理論上更好的解決基礎學理問題，但是由于體系內部法律法規十分繁雜，不利于解決實務，可能造成“有法而不詢法”的問題，我國身為世界第一人口大國，相關問題層出不窮，案件事實都要復雜多樣，繁重冗雜的法律法規不適于我國國情，在學習和借鑒日本立法的基礎上，還要更多注意法規適用問題的普遍性。

四、結論

過多的限制會導致國家機關政務活動無法正常運轉，進入“半癱瘓”狀態；而若不做限制或者限制不夠，公權力就會成為某些犯罪分子攫取利益的工具。而我國現在暫時采取以主要規范企業和個人對個人信息的處理和利用，以公務機關的處理和利用為例外。相較于這種公私統一立法的模式，對于公務機關的規定會少之又少，這不利于約束公權力，可能會導致公權力對個人信息權利泛化。

目前，美國和日本對于個人信息隱私的保護方式較為分散，講個人信息分為個人健康信息、個人隱私信息、網絡數據信息等等，通過各個行業實行全面監督的立法模式來保護個人隱私不受侵犯；我國和德國都屬于大陸法系國家，均采用公私統一的立法模式，不僅沒有將個人信息分類立法，反而連國家機關都喝私主體共用一套法律法規。前者的優勢在于立法清除明確，在適用法律上能做到一一對應，缺點在于過于冗雜的法規會致使“有法而不詢”現象，對于司法實務而言加重了負擔；后者的優點在于能夠解放司法實務，將解釋權交到法官手上，便于審理案件，缺點在于法規單一，不能準確地適用法律。中國的《消費者權益保護法》《民法典》《網絡安全法》也在一些領域確立了保護個人隱私相關方面的法律法規，完善了法律體系。但中國個人信息保護領域仍然有一些缺陷，在一些規定上仍描述較模糊，不夠明晰，體系不夠完善，沒有形成覆蓋所有行業的綜合性體系，因此在保護個人信息和隱私方面仍有較大的進步空間。

想要完善我國的個人信息保護法體系，首先要做到普及個人信息權這一概念，任何權利的保護都有賴于權利主體擁有保護權利的意識，只有當每個人都了解個人信息泄露帶來的實際危害才能真正促進國內立法的推進；其次要建立起完善的救濟系統，中國龐大的人口數量決定了國內個人信息數據處理的復雜，一個人的能力在公權力面前顯得微小無助，公權力得不到限制就很容易壓迫人民，這就會與公權力誕生的本初背道而馳，我們需要做的，是在科學技術與信息處理需求不對等時，要盡量完善法律制度，做到最大程度地將信息權的主體地位歸還給私人。

由此可見，我國應該早日出臺相關的針對性法律。一方面面方便司法，易于理解和執行，在個人信息遭受侵害時有利于信息主體在第一時間找到法律依據，而不需要花大量的時間去搜集零散在各部法律法規中的相關法規；一方面便于國家機關整理數據，將不符合法律法規授權的信息從機關系統內移除，減輕政務數據庫處理壓力。

參考文獻：

[1]張新寶，葛鑫.《個人信息保護法》（專家建議稿）[J].網絡信息法學研究，2019（02）：3-31.

[2]張新寶.《民法總則》個人信息保護條文研究[J].中外法學，2019，31（01）：54-75.

[3]彭錞.論國家機關處理個人信息的合法性基礎[J].比較法研究，2022（01）：162-176.

[4]王錫鋅.個人信息國家保護義務及展開[J].中國法學，2021（01）：145-166.DOI：10.14111/j.cnki.zgfx.2021.01.010.

[5]王利明.論個人信息權的法律保護——以個人信息權與隱私權的界分為中心[J].現代法學，2013，35（04）：62-72.

[6]程嘯.論公開的個人信息處理的法律規制[J].中國法學，2022（03）：82-101.DOI：10.14111/j.cnki.zgfx.20220511.003.

[7]Buchner，Informationelle Selbstbestimmung im Privatrecht，2006，S． 26．

[8]謝青.日本的個人信息保護法制及啟示[J].政治與法律，2006（06）：152-157.

[9]曾益康.數據時代健康信息交換中的隱私保護——以美國《HIPAA法案》為例[J].中國數字醫學，2022，17（03）：6-10.

[10]喻文光，鄭子璇.數字時代政府機關處理個人信息告知義務制度的公法建構[J].人權，2022（03）：1-20.DOI：10.16696/j.cnki.11-4090/d.2022.03.010.

[11]齊愛民.中華人民共和國個人信息保護法學者建議稿[J].河北法學.