云南省图书馆机构用户,欢迎您!
个人信息保护法的出台,将使学界对该法的关注从立法论转向解释论。以行政监管为视角,梳理该法中的行政监管法律关系,从而为履行监管部门的法定职责和解决相关争议提供基础,显得尤为必要。个人信息保护法中的行政监管有鲜明特点:一方面将监管者本身纳入监管,行政机关构成个人信息处理关系中的一方主体,具有法律适用的特殊性。另一方面,个人信息保护法既设置传统的个案式监管,实现执法监督与法律责任追究;也强调监管者的规制决策权和规制工具的多元性,体现监管模式的创新。
图1 作为“个人信息处理者”的监管主体 (一)基本定位:确立“执法信息”的保护框架 理论上,个人信息保护的法律框架是否应当包含公权力机关在执法过程中的个人信息处理,存在争论。有学者认为,起源于“公平信息实践”(fair information practice)的个人信息权利保护,应当专指“持续不平等信息关系”。在数字时代,个人信息兼具个人与公共属性,⑤不宜设定绝对性、排他性和无限性的“个人信息权”,⑥因此,与传统隐私权“效力及于一切不特定的任何人”有所不同,个人信息保护不具有“对世权”。⑦只有把个人信息保护法的规范对象设定为具有专业性或商业性收集能力的主体,方能体现出法律对“持续不平等信息关系”进行特殊调整的必要性。⑧由于公权力机关在执法中的个人信息处理,属于非持续性的信息关系,更加接近于传统“隐私侵权”中的个人与侵入者,只需要通过“合理预期”标准控制执法行为的合法性即可。因此,个人信息保护的法律框架应当排除“执法信息”。⑨ 不过,《个人信息保护法》并没有遵循这种限定。从文本看,仿效《民法典》第111条中的“任何组织”没有排除国家公权力机关,《个人信息保护法》第2条中“任何组织、个人不得侵害自然人的个人信息权益”,也包括对公权力机关行使职权的限制。⑩更为重要的是,《个人信息保护法》在第二章中,用专节的方式设置了“国家机关处理个人信息的特别规定”,区分出国家机关作为个人信息处理者时的特别规范。从实践角度看,近年来国家机关发生的个人信息泄露事件,尤其是新冠肺炎疫情防控背景下相关措施是否构成对个人信息的过度收集和不当使用的讨论,也凸显出确立起“把监管部门也纳入监管范围”这种防御性立场的必要性。 (二)“告知同意规则”的适用及其例外 原则上,行政主体实施个人信息处理行为,需要遵守个人信息处理的一般规定。(11)比如合法、正当、必要和诚信原则,公开、透明、禁止过度收集等原则。《个人信息保护法》中“个人在个人信息处理活动中的权利”和“个人信息处理者的义务”条款,同样适用于行政主体作为信息处理者时的法律关系。当然,将监管者本身纳入监管,也存在特殊性。以《个人信息保护法》所确立的处理个人信息之核心基础的“告知同意规则”为例,便可见行政主体作为信息处理者时法律适用的特殊性。(12)《个人信息保护法》在第13条第1款第l项确立起“告知同意”的一般规则,但在第2款中排除了多项个人信息处理情境中“同意规则”的适用,这其中,便包含着行政主体作为信息处理者的情形。比如,为履行法定职责或者法定义务、为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需等情形,不需取得个人同意。 从立法形式论角度看,《个人信息保护法》第13条似乎有模糊“告知同意规则”作为核心规则的嫌疑,一方面它突破了《网络安全法》将“同意”作为处理个人信息唯一要件的限制,(13)但另一方面又填补了《民法典》第1035条第1款例外规则的具体情形,确立起“告知同意”作为一般规则及其法定例外的规范结构。不过,行政机关作为信息处理者适用“告知同意规则”,不仅需要结合例外条款,还要结合例外规则的特殊补充规则。按照《个人信息保护法》第35条的规定:“国家机关为履行法定职责处理个人信息,应当依照本法规定履行告知义务;有本法第十八条第一款规定的情形,或者告知将妨碍国家机关履行法定职责的除外。”这样,以“告知”与“取得同意”两项具有独立法律效果的行为作为界分,行政主体作为个人信息处理者,便存在“告知+同意”“告知+无须同意”和“无须告知+无须同意”三种可能的情形。
