一、引言:曾经的立法争鸣 作为一部公私交融的立法,《个人信息保护法》对于私人与国家机关处理个人信息是否无差别地遵循告知同意规则,经历过重大分歧。 2020年10月21日,公开征求意见的一审稿第13条确立了允许处理个人信息的六种情形,包括“(一)取得个人的同意”和“(三)为履行法定职责或者法定义务所必需”。①从文义上看,可以理解为“履行法定职责或法定义务”与“取得个人同意”是并列条件,后者并不必然是前者的前提。但若结合一审稿第35条有关“国家机关为履行法定职责处理个人信息,应当依照本法规定向个人告知并取得其同意;法律、行政法规规定应当保密,或者告知、取得同意将妨碍国家机关履行法定职责的除外”之规定,即便以法定职责为依据,一般情况下国家机关处理个人信息也仍须获得同意。可见,一审稿确立的是公私领域处理个人信息的全面告知同意规则。 但这项规则,在二审稿中出现了不一致的表述。2021年4月29日公布的《个人信息保护法(草案)(二次审议稿)》,②在保留第13条第1款第1项和第3项内容的同时,新增了第2款“依照本法其他有关规定,处理个人信息应当取得个人同意,但有前款第二项至第七项规定情形的,不需取得个人同意”。也就是说,因履行法定职责处理个人信息,无须以个人同意为前提。悖反的是,一审稿第35条在二审稿中完整地保留下来。前后矛盾的表述,直接导致国家机关在履行法定职责处理个人信息时,若按照第13条第1款第3项、第2款的规定,无须取得个人同意;但依据第35条,则应以取得同意为前提。两者之间的直接冲突,无法通过体系解释获得内在一致的疏导。一时间,这两个条款成为学界与实务界关注的焦点。直到2021年8月20日,《个人信息保护法》正式通过,才以删除第35条中有关同意的规定、保留“国家机关为履行法定职责处理个人信息,应当依照本法规定履行告知义务”的表述,明确了告知同意规则的例外适用,为这场争鸣暂时画上了句号。 但国家机关无需同意的个人信息处理权力一旦被滥用,个人的信息权益将岌岌可危。为此,必须寻找到权力行使的可控轨道,“法定职责”成为很多国家在立法时的共同选择。③然而,《个人信息保护法》中“法定职责”的内涵与外延,尚未在学界与实务界达成共识:“法定职责”之法,是否仅限于法律,还是可以放宽到所有合法的规范性文件?在规范之外,是否还存在其他的“职责”来源?拥有合法的职责来源,能否足以正当化国家机关处理个人信息的所有活动?只有妥善回答这一系列的追问,才能在国家治理能力现代化提升与个人信息合法权益保障之间,构建起适合中国国情的制度。 二、法定职责:“法”的再审视 传统行政法的基本原则依法行政,首先要求职责法定。④这也许正是《个人信息保护法》第13条第1款第3项将“法定职责”确立为国家机关处理个人信息豁免适用告知同意规则的原因所在。从世界各国的制度设计与学理研究来看,法定职责早已成为个人信息处理的“例外”主张:“如果数据主体反对数据处理,控制者就不能再处理该数据,除非控制者能够证明具备在数据主体利益、权利和自由的之上的合法理由,或者是为了确立、行使或捍卫法律的规定。”⑤于是,“法”的范围与“法”的明确性,自然就成为试图厘清“法定职责”要义的关键所在。 (一)“法”的范围 关于“法定职责”中的“法”,从规范与学理出发,至少有四种不同的认识: 1.法律保留说。将法定职责中的“法”,限定在全国人大及其常委会制定的法律,是我国行政法学理论界早期的一种权威观点。“行政机关的职权,在我国主要是指中央政府及其所属部门和地方各级政府的职权,必须由法律规定。”⑥强调行政机关的职权职责来源于国家的立法机关,体现了对行政权力来源的民主要求,不少国家和地区也采用了类似的严格规定。如欧盟《通用数据保护条例》(General Data Protection Regulation,以下简称GDPR)第6条第3款规定:“本条第1款(c)项和(e)项中所述的处理的合法性基础应当来源于以下规定:(a)欧盟法律;(b)适用于控制者的成员国法律。”⑦但法律制定的周期漫长、行政改革的时机转瞬,仅以法律作为行政的唯一依据,难以满足中国转型发展的巨大需求,故而法律保留说在今天的行政法学理论中主要表现为一种法治理念,仅在特殊场合被要求严格执行。何谓特殊?有学者从法定职责所限制的相对人权益出发,提出若权益来源于法律的赋予,则影响这种权益的也只能是法律:“从《个人信息保护法》的规定看,行政机关为履行法定职责而处理个人信息,所限制的是个人对其信息处理活动的‘决定权’;而该权利是在《民法典》《个人信息保护法》等法律层面设定的。因此,限制这项权益的‘法定职责’的规范依据,应当与设定该权益的法律规范处于‘同一’法律位阶。”⑧坚持国家机关处理个人信息时适用最为严格的法律保留原则,旨在避免行政机关通过行政立法不断自我赋权,从而防范个人信息处理权限的滥用。 2.法律、行政法规说。如果说法律保留的立场主要是一种学术观点,那么法律、行政法规说的主要依据则是《个人信息保护法》第34条的规定:“国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度。”既然法律条文中明确赋予国家机关依照法律、行政法规规定的权限和程序处理个人信息,也就意味着法定职责之“法”包含了法律和行政法规。对行政法规的这种特殊青睐,在《民法典》起草时就有所体现。对比《民法典》与之前的《民法通则》《合同法》,可以发现《民法典》对行政法规的援引发生了显著的变化,其中《民法典》总则篇大量援引了《民法通则》中未出现的行政法规,合同篇中行政法规的出场次数也有明显增加。这些均表明:“民法的渊源既包括全国人大及其常委会制定的法律,也包括国务院制定的行政法规。”⑨王锡锌也指出,《个人信息保护法》第34条的规定,“可以理解为《个人信息保护法》通过授权,将‘法定职责’扩展到包括法律、行政法规规定的职责之范围,即立法者通过法律将部分权限授权给行政法规。”但需要注意的是,“此种授权依然是在法律保留原则的指引下展开的”。⑩这就是法律保留说与法律、行政法规保留说的区别所在。在前者,法律中若没有特别授权行政法规,则行政法规仍不属于法定职责的“法”的范畴;在后者,无须法律中的单独授权,行政法规自身即拥有独立作为法定职责依据的地位。行政法规不同于一般法律渊源的地位,由此可见一斑。
