去年底,成都公布的确诊病例活动的轨迹中,20岁的女子赵某因近14天内横跨成都5个区,活动轨迹牵涉多家酒吧等场地,遭遇网络暴力。此后,北京顺义一确诊病例个人信息的曝光,其年龄、行程轨迹、航班信息被公布,“确诊34岁考研男”引起广泛关注。
疫情期间如何保护个人信息,成为备受关注的话题,由此也牵引出一个问题,公权力机关如何管理好手中握有的个人信息,如何对其进行规范约束?
3月22日至23日,由中国人民大学民商事法律科学研究中心和英国杜伦大学法学院联合主办的“中英个人信息保护法研讨会”上,不少与会专家都提及国家机关处理个人信息的规制问题。
清华大学法学院教授程啸表示,目前《个人信息保护法(草案)》中专设一节来规定国家机关处理个人信息的义务,此外,第六十四条也明确,国家机关不履行义务时应承担的法律责任。“但约束措施还不够有力,未来《个人信息保护法》应更加关注国家机关在履行行政职能过程中的个人信息保护的义务和相应法律责任问题。”
北京大学法学院教授王锡锌认为,国家机关作为信息处理者具有公共性、法定性、垄断性、强制性等特点,这与以私人机构作为个人信息处理者为设想场景的《个人信息保护法(草案)》具有明显不同。未来还应当制定一个特别的规则调整国家机关处理个人信息的行为。
国家机关是最大的数据处理平台
“大数据、人工智能等网络信息科技对政府提高治理能力非常重要,比如疫情期间,政府利用信息技术,有效控制了疫情蔓延,保障了公共利益。”程啸说,但也暴露了一些问题,无时无刻的信息收集处理带来了安全隐患。
程啸表示,国家机关掌握着大量信息,许多优质的个人信息资源也是由政府掌握。
王锡锌也表示,国家机关是最大的数据处理平台,是最重要的个人信息的处理者。
而国家机关作为个人信息处理者,与私人机构作为个人信息处理者,无论是机构性质还是行为性质,都存在不同。
王锡锌称,国家机关作为信息处理者具有法定职权性、公共性、广泛性、持续性、垄断性、强制性等特点。
比如垄断性,王锡锌解释称,如果用知情同意的规则来收集信息的话,个人对私人机构,不同意可以退出寻找其他替代平台,但国家机关是垄断的、唯一的。
并且,国家机关处理个人信息的活动具有强制性。“这意味着国家很难基于个人意思自治进行信息处理活动。”王锡锌说。
上述特点导致国家机关作为个人信息处理者,与以私人机构作为个人信息处理者为设想场景的《个人信息保护法(草案)》具有明显不同。
他解释道,如果适用《个人信息保护法(草案)》所规定的权利义务规则,无法解决国家机关处理个人信息时的一些活动。比如,知情同意规则是《个人信息保护法(草案)》中的基本规则,但是如果刑事司法机关对嫌疑人进行调查时,个人信息收集、分析、处理是否需要嫌疑人的同意?如果个人不同意,是否意味着司法机关就不能够再进行个人信息的收集和处理?
“回答当然是否定的。”王锡锌称,同样的道理,行政监管机构、行政执法机构在进行行政违法行为的调查取证等过程中,也都是依照法定的职权来进行信息的收集和处理,显然也不需要个人的同意,个人同意在这个过程中基本上是失效的。
将“信托”引入国家机关处理个人信息环节
王锡锌认为,未来应当制定一个特别的规则调整国家机关处理个人信息的行为。
国家机关收集个人信息、处理个人信息时,有信息输入、信息处理、信息输出和责任机制。王锡锌认为,在信息收集和信息输入端口,应划分不同的国家机关所负有的不同职责和国家任务。比如,对行政机关的行政行为进行划分,一类是福利行政,一类是秩序行政,一类是风险行政。
在福利行政模式下,个人通过行政机关可以获得某种福利保障,类似于平台,可以参照平台的个人信息处理规则进行规制。秩序行政则主要表现为监管和执法,必然与平台处理个人信息的目的完全不同。
对于风险行政,主要表现为针对不特定、不确定风险的进行大规模监控,比如对疫情的监控需要采集大量信息,以及对公共场所基于公共安全而进行的监控。
王锡锌认为,现代国家机关,尤其是出于风险安全的考量,使得信息收集的端口越开越大,个人实际上很难有足够的、有效的理由去抵抗国家机关对信息的大规模搜集。
因此,他认为,应在信息处理端建立起偏向个人信息保护的规则设计,国家机关在处理个人信息时应遵循职权法定和目的性一致原则,信息处理的必要性、准确性、有效性的原则,在信息处理过程中要特别保障个人信息的安全,个人信息披露的严格控制。
他建议,将民法商法中的“信托”引入国家机关处理个人信息的环节,建构起一种国家机关与个人之间的信义义务,加重国家机关在存储、处理、保存个人信息时的法定责任。
国家处理个人信息责任规制方面仍存短板
国家不履行对个人信息保护的义务或者处理个人信息不当应如何承担法律责任?
《个人信息保护法(草案)》第六十四条规定:国家机关不履行本法规定的个人信息保护义务的,由其上级机关或者履行个人信息保护职责的部门责令改正; 对直接负责的主管人员和其他直接责任人员依法给予处分。
程啸认为,这样的责令改正与处分等措施还不够有力。
此外,第六十二条规定,违反本法规定处理个人信息,或者处理个人信息未按照规定采取必要的安全保护措施的,由履行个人信息保护职责的部门责令改正,没收违法所得,给予警告;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
王锡锌认为,罚款的方式对国家机关来说没有意义,无非是财政的钱从左口袋入有口袋。而行政处分的责任太轻微。
“目前对国家机关的责任规范非常碎片化,对于个人信息被国家机关侵害的法律救济存在明显短板。”他说。
王锡锌认为,对国家赔偿责任和行政机关责任的规范约束,以及如何与行政机关内部的问责结合,将是接下来重点任务。
程啸也提到,未来个人信息保护法的制订应更加关注国家机关在履行行政职能中的个人信息保护的义务和责任问题。
(作者:王俊 编辑:周上祺)