深化改革的核心目标是划定监察权力的理性边界,‘把权力关进制度的笼子,是法治建构标准的‘中国式表达,涵括了对一切公权力行使的要求。
参考文献: 〔1〕陈建平.国家治理现代化视域下的区域协同立法:问题、成因及路径选择〔J〕.重庆社会科学,2020(12):108-118. 〔2〕焦洪昌,席志文.京津冀人大协同立法的路径〔J〕.法学,2016(03):40-48. 〔3〕陈 光.论区域法治竞争视角下的地方立法协调〔J〕.东方法学,2019(05):100-108. 〔4〕周尚君.地方法治竞争范式及其制度约束〔J〕.中国法学,2017(03):87-101. 〔5〕冯 烨.法治化营商环境评估指标体系构建〔J〕.理论探索,2020(02):120-128. 〔6〕刘作翔.论重大改革于法有据:改革与法治的良性互动——以相关数据和案例为切入点〔J〕.东方法学,2018(01):14-21. 〔7〕梁 平,律 磊.京津冀协同立法:立法技术、机制构建与模式創新〔J〕. 河北大学学报(哲学社会科学版),2019(02):57-62. 〔8〕虞 浔.立法协同推动区域协调发展〔N〕.人民日报,2019-01-17(19). 〔9〕贺海仁.我国区域协同立法的实践样态及其法理思考〔J〕.法律适用,2020(21):69-78. 〔10〕叶一舟.粤港澳大湾区协同立法机制建设刍议〔J〕.地方立法研究,2018(04):37-45. 〔11〕宋保振,陈金钊.区域协同立法模式探究——以长三角为例〔J〕.江海学刊,2019(06):165-171. 〔12〕塞尔兹尼克,诺内特.转变中的法律与社会——迈向回应型法〔M〕.季卫东,张志铭,译.北京:中国政法大学出版社,2004. 〔13〕毛新民.上海立法协同引领长三角一体化的实践与经验〔J〕.地方立法研究,2019(02):50-59. 〔14〕陈 光.论区域立法协调委员会的设立与运行——兼评王春业《区域行政立法模式研究》〔J〕.武汉科技大学学报(社会科学版),2012(01):74-80. 〔15〕杨 炼.立法过程中的利益衡量研究〔M〕.北京:法律出版社,2010. 〔16〕姚 明.地方立法协作研究〔M〕.北京:中国法制出版社,2019. 〔17〕约瑟夫·齐默尔曼.州际合作——协定与行政协议〔M〕.王诚,译.北京:法律出版社,2013. 〔18〕叶必丰.区域经济一体化的法律治理〔J〕.中国社会科学,2012(08):107-130+205-206. 进入专题: 区域一体化 治理现代化 。但同时我们也必须看到,受制于区域发展中的产业同质化现象,行政壁垒和地方保护主义日益严重。
对此质疑,我们可从以下两方面进行化解。如京津冀、长三角的法院、检察院系统均通过联席会议机制,共同研究解决疑难案件的法律适用问题,以统一裁判尺度,实现平衡救济。目前,该信息共享机制在京津冀及长三角协同立法中都取得重要推进,如长三角早已将长三角政务服务一网通办和长三角人大网作为重要信息沟通平台。当面对协同发展区域暂不具有或难以制定专门立法规范情形时,通过解释已有规范,对其具体适用进行细化和补充,就不失为推进区域协同立法的重要路径。可见,区域协同立法不是一个纯粹的立法技术问题,也不是政策的法律化问题,而是在超越局部利益的发展原则指引下,区域经济社会发展立法规划的呈现和落实问题。
该利益补偿机制主要适用于在区域内统一立法文件的基础上,各省市结合自身情况制定细化的地方性法规或规章的情形,其目的是化解协同立法中因同质化引发的区域冲突和不正当竞争。(二)区域协同立法面临的现实难题 现有协同立法实践可归纳为如下不同类型:一是在顶层立法理念指引下,共同起草制定统一法律规范。原则上不应使用人脸识别方式对不满十四周岁的未成年人进行身份识别。
[3]本文则从公法角度出发,聚焦于政府主体处理个人信息的的告知义务,从实践问题入手,阐释理论基础,并结合新实施的个保法,探讨如何从告知义务角度来规制政府这一最大的个人信息处理者,从而有效保护信息主体的合法权益,为数字政府在法治轨道上运行保驾护航。[29]SeeDanielleKeatsCitron,TechnologicalDueProcess,WASH.U.L.REV.1249(2008)。[39]可参考《信息安全技术人脸识别数据安全要求(征求意见稿)》第6.1a)条规定。[32]参见周汉华:《个人信息保护的法律定位》,载《法商研究》2020年第3期。
人脸识别数据不应用于除身份识别之外的其他目的,如评估或预测数据主体工作表现、经济状况、健康状况、偏好、兴趣等情况。[41]此外,公共利益相对个体的信息权益也不必然具有优先性,因而政府机关处理个人信息必须告知具体的目的。
[25]具体而言,基本权利的防御权功能是指公民得要求国家不侵犯基本权利所保障的利益,当国家侵犯该利益时,公民得直接依据基本权利的规定请求停止侵害。Gero Ziegenhorn.Katharina von Heckel Datenverarbeitung durch Private nach der europäischen Datenschutzreform.NVwZ 2016, 1585 (1586). [14]Albers/Veit DS-GVO Art. 6, Rn. 11 ff,in Stefan Brink/Heinrich Wolff (hrsg.), Beckscher Online- Kommentar Datenschutz, 35. Edition 2021. [15] See Peter Blume, The Public Sector and the Forthcoming EU Data Protection Regulation, European Data Protection Law Review (EDPL), No. 1(2015), p. 32-38. [16]参见孙平: 《政府巨型数据库时代的公民隐私权保护》, 载《法学》2007 年第 7 期。公民的个人信息经常在毫不知情的情形下被收集、储存、披露或共享,公民的隐私权、人格尊严甚至人身自由等基本权利因此受到侵害,例如,警务工作中的个人信息错误导致错误的拘捕或行政强制措施等。也即,告知是基本权防御功能发挥的前提条件。
但公民行使该防御权的前提是知悉政府何时以及如何处理了其个人信息。2.告知的方式 根据告知方式的不同,一般行政程序中的告知可以分为书面告知与口头告知、特定告知与非特定告知。[8]而2020年进行的全国人口普查,因为收集诸多个人敏感信息,如身份证号码和住房情况等,引发广大民众对个人信息保护的疑虑。虽然数据联通、整合和分析能够高效赋能数字政府建设,但无疑也扩大了技术利维坦的侵权风险,加大了控权难度。
妨碍履行法定职责的风险常见于司法、执法活动中,譬如针对技术侦查等行为,一般不履行告知义务,否则将给个人隐匿、销毁证据提供巨大便利。[5]参见齐爱民: 《信息法原论》, 武汉大学出版社 2010 年版, 第 76 页。
Boris Paal/Daniel Pauly/Michael Frenzel, Datenschutz-Grundverordnung Bundesdatenschutzgesetz Kommentar, 3. Aufl. 2021, Art. 6 Rn. 1。告知义务是政府机关处理个人信息应履行的前提性核心义务,其既是个人信息自决权的具体表达,也是个人信息受保护权发挥基本权利防御功能的前提,同时还是制约政府信息权力和预防侵权风险的程序工具。
[48]笔者认为,非常有必要通过法律解释的方法,结合行政诉讼法的规定,认定个保法中的公益诉讼包含了行政公益诉讼,即国家机关不履行法律、行政法规规定的个人信息保护义务致使众多个人权益被侵害的,检察机关可以依据《行政诉讼法》第25条规定提起行政公益诉讼。由此可见,政府处理不满十四周岁未成年人的个人信息时,应当履行此种告知义务。由此,为保护基本权利的个人信息保护规则也就有具有了公法属性,其一般禁止处理个人信息,除非具有合法的例外许可依据。2021年4月22日,最高人民检察院发布了个人信息保护公益诉讼典型案例, 其中就有6起属于行政公益诉讼案件。例如,《网络安全法》在第41条只笼统规定,网络运营者应当公开收集、使用规则,明示收集、使用信息的目的、方式和范围,但并未明确规定涵盖告知义务各个要素的具体规则以及可能的例外情形。[16]根据法治国家的基本原则,政府干涉基本权利需要有法律的授权和正当性基础。
[10]请参见《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》(2020年4月9日公布)。[36]《信息安全技术个人信息告知同意指南(征求意见稿)》第5.1条第d项规定,个人信息控制者从第三方间接接受、查询等方式间接获取个人信息的,需向个人信息主体告知收集、使用个人信息的类型、目的、方式和范围,并征得个人信息主体的明示同意。
但政府机关根据法律规定,利用人脸识别等设备收集敏感个人信息或进行监控或身份识别时,仅设立显著标识还不能认为履行了完全的告知义务,还应当通过公布规则的方式,对公共场所监控以及身份识别设备设置的地点及其法律依据、维护公共安全的目的、数据类型和数量、信息收集后的处理方式、存储时间等进行统一说明。然而,第66、69、71条很难适用于政府的违法信息处理行为,第68条作为对政府机关的唯一专门规定,又只规定了内部行政责任和刑事责任,正式实施的个保法虽然较草案增加了个人行使权利遭到拒绝时的起诉权, [46]但对抗政府不履行告知义务最为重要的行政复议和行政诉讼以及国家赔偿制度都付之阙如。
因此,如果存在持续性的信息处理行为,政府应当进行说明,以使信息主体充分了解被处理信息的范围。但不容忽视的是,数字政府系统收集、存储和处理海量的公民个人信息,这些全面、真实、巨量的个人信息一旦遭到泄露或被滥用,不仅威胁个人的人身、财产和信息安全,也可能危害公共安全,甚至危及国家整体安全。
但并未告知法律依据、信息主体权利义务、信息保存时长等重要内容。个保法第6条规定个人信息处理的目的明确、合理原则以及必要和目的限制原则。[14]实施这种一般禁止,例外许可性质的公法上的严格保护的原因又可追溯到历史上各国个人信息保护立法的主要动因,即随着上世纪60年代巨型计算机技术的运用,政府自动化处理个人信息的能力和范围剧增,其建立的巨型数据库能够大规模集中收集和存储和处理个人信息,对公民隐私权造成巨大威胁。此时的告知是对前两种的有力补充。
文章来源:《人权》2022年第3期 进入专题: 个人信息保护 政府机关处理个人信息行为 告知义务理论 。基于该委托关系的个人信息传输,并未超出个人基于原有告知内容产生的预期,因此无需重复告知。
[20]由此,在政府处理告知义务制度的建构中也不能照搬适用于私法主体的告知规则,而需在公法框架下进行体系化架构。首先,《宪法》第38条的人格尊严条款可以作为个人信息权的宪法基础,虽然学界对于该条款属于具体基本权利抑或是原则性的权利保护条款还存在争议,但这并不影响我们借鉴美国宪法学中的晕影理论( Penumbra Theory) [22]从该条款中解释出个人信息受保护权这一新型基本权利,因为一方面人格尊严本身就蕴含着人民享有基本权利的意旨,另一方面人格尊严是宪法基本权利的逻辑起点和价值内涵。
在上述两种情形下,政府机关都是个人信息的实际处理者,均需履行告知义务。第3修正案禁止士兵在和平时期未经房主同意驻扎在其住宅,这包含了隐私权的内容。
[45]参见《个人信息保护法》第28-31条以及《信息安全技术人脸识别数据安全要求(征求意见稿)》第5、6条之规定。[39] 在有特定告知对象的情形下,考虑到对信息主体权益的充分保障,应优先适用逐一告知方式,当该告知方式存在显著困难或者成本过高时,方可使用发布公告等不特定告知方式。在我国,数据已与土地、劳动力、资本、技术等传统要素并列为五大生产要素,[10]数据要素的高效配置,是推动数字经济发展的关键一环,大数据在社会治理和数字政府建设中发挥了举足轻重的作用。首先,现行法律规范对政府机关处理个人信息的告知义务还未进行体系化的全面规制并突出政府机关处理个人信息的公法特性。
[28]而且在大数据和人工智能时代,随着电子政务和数字政府的推广,政府作为最大的个人信息处理者,滥用行政权侵犯公民个人信息权益的风险很大。第二,告知内容因告知方式而异。
值得注意的是,尽管个保法显示了政府应主动探知信息主体年龄的立法意向,但此种要求很可能因为难度过大而被虚置。郑子璇,中国人民大学法学院2018级法律硕士。
其中,个人信息的保存期限是个人信息保护立法普遍规定的告知内容,但却较少在政府告知中被提及。[44]考虑到敏感信息被泄露或滥用将带来更大危害,在遵循比例原则和利益衡量原则的基础上,政府应当为敏感个人信息提供更为坚实的保护,并通过区分保护的方式降低行政成本,为收集敏感信息设置更为严格的必要性和目的限制要求,相关告知的内容也应增加处理该类信息的必要性以及对个人权益的影响等内容,并且一般应当获得信息主体的同意。
