【摘要】 随着信息技术的不断进步和电子政务建设的飞速发展,政府掌握了海量的公民个人信息,一旦操作不当,就可能影响公民的合法权益。因此,需要加强个人信息保护的行政立法,通过明确公共行政领域內的个人信息保护的原则,赋予个人信息主体权利,对行政主体收集、储存、利用个人信息的行为进行限制和规范。
【关键词】 个人信息;行政法保护;行政主体
从专业化的政府巨型数据库不断出现到电子监控设备数量呈几何级数地在城市公共场所中广泛应用,人们日益认识到行政主体在收集、储存、使用个人信息过程中对自身合法权益可能带来的威胁。而近日引起巨大争议的“棱镜门”更促使我们思考:公共行政领域中的个人信息保护与其他领域相比究竟有何不同?为什么更加重要?当前行政立法对个人信息保护达到何种程度?应当如何对行政主体收集、储存、利用个人信息的行为进行限制和规范,保护个人信息主体的合法权益?
一、公共行政领域中个人信息保护的重要性
个人信息是关于公民个人具体情况的信息,涉及其生理、心理、智力、个体、社会、经济、文化、家庭等各个方面,通过这些信息可以识别公民本人。[1]如果个人信息受到侵害,小到影响公民的日常生活,大到影响公民的人身财产安全。近年来,针对公民个人信息权利的各种不法行为层出不穷,个人信息保护的问题也日益凸显。目前我国正逐渐加强个人信息保护的力度,例如制定规范服务机构和商业机构的个人信息保护国家标准;打击各种侵害个人信息的犯罪行为等等。但是,公共行政领域中的个人信息保护尚未得到应有的重视。从国外经验来看,无论是德国的人口普查案,还是日本的住基网案件,民众都始终极为关注行政主体收集、储存和处理个人信息的行为。其原因在于,行政主体由于地位的特殊性,在获取个人信息的方式、数量、真实性程度上都与私法行为主体有很大的不同,一旦出现问题,对公民切身利益可能造成的影响更为严重。因此,公共行政领域中的个人信息保护尤为重要。
首先,和私法行为主体获得的个人信息相比较,行政主体获得的个人信息真实程度高,内容详细,涉及范围广泛。举例而言,在普通的电子商务或者网页浏览过程中,公民在填写个人信息方面具有选择性,如填写真实信息还是虚假信息,填写全部还是部分等等。但是在行政主体履行行政职责或为公众提供公共服务时,因为二者地位的不对等性,公民无法进行选择,只能填写真实、完整的个人信息。例如,《户口登记条例》虽然并未对户口登记的具体事项加以规定,但现实中户口簿收集个人信息内容却多达24项,既包括一般信息,又包括敏感信息。[2]当政府掌握了大量详尽、完整的公民个人信息时,一旦出现信息泄露或是对个人信息的违法操作,对公民个人及其生活的影响将远远超过私法主体信息泄露所带来的影响。曾有新闻报道指出,“大量倒卖信息的源头都来自掌握公民个人信息的单位和部门。”[3]2009年的《中国法治发展报告》也提到因能够采集公民身份证信息的机构疏于管理而导致的身份证信息泄露的情况非常严重。[4]
其次,个人信息主体的权利在公共行政领域过程中受到一定的限制。具体而言,在电信、金融、医疗等服务领域,所有个人信息的收集、处理和使用除法律另有规定外,都应当在个人信息主体同意的基础上进行。公民具有自主决定权和选择权。但在公共行政领域,行政主体对于个人信息的收集、处理和使用,并不需要得到个人信息主体的同意。例如,我国的《统计法》和《人口普查条例》都规定“公民提供真实、完整的信息”是一项义务。再如,德国《联邦数据保护法》第4节规定,除法律明确规定的情形外,所有个人数据的收集、处理和使用都应当在数据主体同意基础上进行。“行政主体为履行行政职责、实现行政目的的需要”就是这一条款的例外情形之一。换句话说,行政主体在取得公民的个人信息后,其对于资料的使用,一般只受到收集目的和自身职权范围的限制。公民没有同意或协商使用的权利。这是因为在公共行政领域,行政主体和个人信息主体的地位并不平等,采用同意作为行政主体收集、处理个人信息的基础,很难考察其真实性。因此对于个人信息收集、储存、利用的限制,是从“职责必须”的角度来设置的。[5]基于公私领域对于个人信息保护的这一点重大不同,更应提防公权力对于个人信息主体合法权益的侵害。
最后,在政府信息化建设的背景下,公民个人信息保护问题显得更为重要。我国的电子政务经过二十年的发展取得了极大的进步。目前电子政务网络已经覆盖了所有的省(自治区、直辖市)、90%以上的市和80%以上的县。[6]电子公共服务系统从无到有,发展到了一定规模。各类巨型个人信息数据库也逐步建立[7]部分涉及核心业务的系统(如金关、金审、金税、金盾等)在全国的覆盖率已达到90%以上。[8]电子政务的核心在于庞大的电子信息资源,其中包含了大量的公民个人信息。与其他形式的个人信息相比较,电子形式的个人信息受到侵害的可能性更大。这是由网络的互联性、开放性和传播性所决定的。与传统形式的资料相比,电子资料可以迅速、不留痕迹地被更改和清除,也更容易复制和传输,不容易加以防护。同时,由于电子资料本身的特性以及信息系统的兼容性,使用软件可以轻而易举地对各种不同形式的电子资料进行分析和综合。[9]有学者在研究中指出,通过政府的电子信息数据库,只要各部门比对分别掌握的个人信息,融合并共享专业数据,原来分散存在的各种政府记录就能瞬间拼凑在一起,形成一张详细、完整的人格图像,而公民却对此则毫无所知。[10]
二、当前我国公共行政领域个人信息保护立法的不足
如前文所述,当前政府是个人信息的最大拥有者。个人信息真正最大的威胁恰恰来自于公权力的侵权行为。如何保护个人信息免受来自公权力的侵犯是当务之急。有调查表明,目前约有40部法律、30部法规和近200项来自工
表一:在公共行政领域对个人信息保护加以规定的主要法律规范
┌─────────┬───────────┬─────────┬──────┐
│规定内容 │法律 │法规 │规章 │
├─────────┼───────────┼─────────┼──────┤
│个人信息的内容 │《居民身份证法》3条 │《人口普查条例》第│ │
│ │、《护照法》第 │12条、《征信业管理│ │
│ │7条、 │条例》第3条 │ │
├─────────┼───────────┼─────────┼──────┤
│笼统地规定行政主体│《行政复议法》23条、│《政府信息公开条例│《婚姻登记档│
│对于涉及个人隐私的│《行政处罚法》42条、│》第14条、《人口普│案管理办法》│
│信息应当予以保密 │《治安管理处罚法》第80│查条例》第4条第2款│第14条第6款 │
│ │条、《行政许可法》第5 │ │、 │
│ │条、《居民身份证法》第│ │ │
│ │6条、《护照法》12条 │ │ │
│ │第3款、《统计法》9条│ │ │
├──┬──────┼───────────┼─────────┼──────┤
│行政│目的限制原则│《统计法》25条、 │《人口普查条例》第│ │
│主体│ │ │33条 │ │
│的义│ │ │ │ │
│务 │ │ │ │ │
│ ├──────┼───────────┼─────────┼──────┤
│ │处理、保存和│《统计法》6条 │《人口普查条例》第│ │
│ │销毁 │ │26、32条 │ │
│ ├──────┼───────────┼─────────┼──────┤
│ │行政主体侵害│《居民身份证法》19条│《人口普查条例》第│ │
│ │个人信息的罚│第5款、《护照法》第20 │34、35条 │ │
│ │则 │条第5款、《统计法》第3│ │ │
│ │ │7、38、39条 │ │ │
├──┼──────┼───────────┼─────────┼──────┤
│个人│提供个人信息│《统计法》7条、 │《人口普查条例》第│ │
│信息│的义务 │ │4、24、25、36条 │ │
│主体│ │ │ │ │
│的义│ │ │ │ │
│务与│ │ │ │ │
│权利│ │ │ │ │
│ ├──────┼───────────┼─────────┼──────┤
│ │个人信息主体│ │《政府信息公开条例│《婚姻登记档│
│ │的知情权 │ │》第25条、《征信业│案管理办法》│
│ │ │ │管理条例》第28、29│第15条 │
│ │ │ │条 │ │
│ ├──────┼───────────┼─────────┼──────┤
│ │个人信息主体│ │《政府信息公开条例│ │
│ │的更正权和异│ │》第23、25条 │ │
│ │议权 │ │ │ │
└──┴──────┴───────────┴─────────┴──────┘
信部、银监会、保监会等部门的规章涉及个人信息保护。此外还有一些地方法规,如江苏省2011年出台的信息化条例以及深圳市正在制定的个人信息保护条例。[11]但这些法律法规大多都注重规定非公共行政领域个人信息保护,而对公共行政领域内应当如何进行个人信息保护的规定却相对稀少。笔者收集了在公共行政领域对个人信息保护加以规定的主要法律规范,并试图对其进行简要分析:
从表中可以看出,我国在公共行政领域对于个人信息保护的立法不仅规定数量不足,在保护力度上也明显不够。在内容上,相关法律规范则存在以下问题:
一是对行政主体主体收集、利用、储存个人信息的行为缺少限制。表中的法律规范对于行政主体收集利用、储存个人信息行为的规定较为粗疏,缺少可操作性。例如《人口普查条例》条例第4条第2款规定,“人口普查对象提供的资料,应当依法予以保密”;第32条规定“人口普查中获得的原始普查资料,按照国家有关规定保存、销毁”;第33条规定“人口普查中获得的能够识别或者推断单个普查对象身份的资料,任何单位和个人不得对外提供、泄露。”这三条虽然规定了行政主体安全保管的义务,可是缺乏可供操作的程序规定。再如,《婚姻登记档案管理办法》规定:“其他单位、组织和个人要求查阅婚姻登记档案的,婚姻登记档案保管部门在确认其利用目的合理的情况下,经主管领导审核,可以利用。”这一条虽然限制了行政主体向第三方公开公民个人信息的行为,但是对于什么是合理、正当的目的并未加以规定,给了行政主体极大的裁量权。
(本文转摘自北大法宝:http://www.pkulaw.cn/fulltext_form.aspx?Db=qikan&Gid=1510175830&keyword=&EncodingName=&Search_Mode=accurate&Search_IsTitle=0)