一个专业的论文、出书、专利服务平台

品质、专业的

论文指导服务

民法典时代政府信息公开中个人私密信息保护研究

时间:2021-12-07分类:行政法

  摘 要:个人私密信息是个人隐私与个人信息的交集,既受隐私权保护也受个人信息权益保护,我国《民法典》确立了优先适用隐私权保护和处理须获权利人明确同意等严格保护规则。随着数字化治理的发展,《政府信息公开条例》的隐私权保护机制力有不逮。我国《民法典》施行中“法法衔接”和我国《个人信息保护法》施行恰是个人私密信息保护制度的发展契机。宜主要从四个方面完善政府信息中的个人私密信息保护制度:确立包含个人私密信息的政府信息不得公开原则,列举规定个人私密信息可予公开范围,裁量公开程序中保障第三人参与权,确立不同的征求意见程序以区分保护个人私密信息与普通信息。

  关键词:个人私密信息;隐私权;政府信息公开;民法典;个人信息保护法

民法典时代政府信息公开中个人私密信息保护研究

  李卫华, 政治与法律 发表时间:2021-10-05 期刊

  2020年初新冠疫情暴发,我国各地政府及时公开新冠疫情确诊病例行程轨迹等疫情信息,为全民防疫抗疫提供了有效的信息支撑。然而,在疫情信息公开中,一些“去隐私化”现象,① 以及多地频发的侵害隐私权案件,如“成都女孩案”“沈阳尹老太案”等,② 促使人们关注突发事件中个人信息利用的法治化,③据此行政机关疫情信息发布方式也悄然转变。④ 行政许可、行政处罚决定向全社会公开是法治的基本要义,但也有学者提出应防范公开对当事人隐私权与个人信息的可能侵害。⑤ 当前,数字化经济、数字化治理席卷全球,在政府信息公开和政府数据开放中,信息泄露、隐私侵犯更趋多发, 对政府信息公开中的隐私权与个人信息保护提出了更高要求。2021年初我国《民法典》开始施行,我国《个人信息保护法》也将于2021年11月施行,在区分隐私权与个人信息权益基础上,完善政府信息公开中的个人私密信息保护制度恰逢其时。

  一、个人私密信息:隐私权与个人信息权益的交叉保护范围

  (一)个人私密信息既是个人隐私也是个人信息

  现代意义上的隐私权概念最早由沃伦(Warren)和布兰代斯(Brandeis)在《论隐私权》一文中提出,他们将隐私权界定为“远离世事纷扰”和“个人独处”的权利(therightoftheindividualtobeletalone)。⑥ 嗣后,隐私权在各国法治中生根发芽并日益拓展。我国法律也确立了隐私权保护观念,即我国《宪法》第38条规定的“公民的人格尊严不受侵犯”和我国《民法典》第110条、第1032条规定的“自然人享有隐私权”,确认了隐私权的法定权利性。就其保护范围而言,依据我国《民法典》第1032条, 个人隐私包括“自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息”。个人信息则是具有个人识别性的信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。以是否具有隐私性、私密性为标准,个人信息可以区分为私密信息与普通信息。

  个人隐私与个人信息并不等同,二者在内涵和外延上均有差异。从内涵上看,个人隐私强调隐匿性、私密性、不公开性,侧重点在“隐”和“私”;个人信息则强调个人身份的识别性、标识性、个人归属性,侧重点在“个人”。从外延上看,两者之间不是上位概念与下位概念、包含与被包含的关系,而是交叉关系,“即有的个人隐私属于个人信息,而有的个人隐私则不属于个人信息(如个人想享有的私生活安宁不被他人打扰属于个人隐私,但却不属于人信息);有的个人信息特别是涉及个人私生活的私密信息属于个人隐私(如婚姻状况、身体健康情况、征信信息、行踪轨迹等),但也有一些个人信息因高度公开而不属于隐私(如姓名、性别、籍贯等)”。⑦ 因而,个人私密信息既属于个人隐私,又属于个人信息,是个人隐私与个人信息的交集。一般来说,任何私人不愿意公开、不愿意为他人知晓、并具有个人识别性的信息都可能构成个人私密信息,比如个人的生理信息、身体状况、健康状态、财产信息、家庭信息、基因信息、个人经历信息以及其他有关个人生活的私密信息等。⑧

  (二)个人私密信息受法律严格保护

  其一,个人私密信息优先适用隐私权保护。个人私密信息作为个人隐私与个人信息的交叉范围, 既应受隐私权保护也应受个人信息权益保护。那么,对个人私密信息的保护是优先适用隐私权保护,还是优先适用个人信息权益保护,抑或根据具体情形在隐私权保护与个人信息权益保护之间选择适用呢? 对此,我国《民法典》确立了优先适用隐私权保护规则的原则,仅在隐私权没有规定时才适用个人信息保护规则。之所以作出这样的制度安排,是因为隐私权重在保护人格尊严,而个人信息权益重在保护个人身份,隐私权保护比个人信息权益保护更严格,保护强度更高。

  其二,公开个人私密信息应遵循法律保留原则。个人私密信息作为隐私权的核心保护范围,对其收集、公开等处理行为应遵循隐私权的克减原则,即法律保留原则。隐私权虽属于对世权,但与生命健康权的绝对不可克减性不同,可以基于公共利益的需要有条件地克减。比如,“为了满足公众的知情权和保护正当的舆论监督,实现‘阳光政治’,公众人物的隐私权保护受到相应的限制”。⑨ 对此,最初提出隐私权概念的沃伦、布兰代斯也认为隐私权并不是绝对的,“隐私权并不禁止公开涉及公共利益或者普遍利益的事项”。?????? 《公民及政治权利国际盟约》也认可缔约国在依法保护隐私权的前提下得于紧急情势必要限度内克减隐私权的必要性。?????? 然而,必须强调的是,对隐私权的克减只能由法律规定,应遵循法律保留原则。首先,从法理上讲,隐私权属于法定权利,意在维护主体作为一个法律意义上的人而且是体面的人的尊严和私人生活的安宁权。对隐私权的克减只可基于公共利益的需要, 由立法者通过利益衡量做出制度安排。其次,依据我国《立法法》第8条,民事基本制度属于法律保留范围。隐私权保护,既有宪法规定的人格尊严、住宅权、通信秘密保护等依据,又有我国《民法典》总则编确认的具体人格权、人格权编确立的具体保护制度等依据,应属于民事基本制度范畴,其创设和限制都要由法律规定。再次,我国《民法典》第1033条规定,“除法律另有规定或者权利人明确同意外”, 任何组织或者个人不得实施侵害他人隐私权的行为。此处的“法律”仅指狭义的法律,这样理解也符合我国《民法典》确立的隐私权应受严格保护的法治观念。所谓“法律另有规定”,是指依照法律的规定无须取得权利人同意即可实施客观上侵害隐私权但无须承担法律责任的行为。比如依据我国《国家安全法》的规定,国家安全机关为了维护国家安全而有权依法采取技术侦查手段,如进行监听、窃听等活动。这是法律规定的隐私权保护的例外情形,也是法律为了维护公共利益对隐私权保护的限制。最后,再比较我国《民法典》第1035条第1款第4项的表述,即“处理个人信息的”“不违反法律、行政法规的规定”,可以更加确信其第1033条“除法律另有规定”就是仅仅授权狭义的“法律”才可限制隐私权保护范围。

  其三,公开个人私密信息须获得权利人明确同意。由于个人私密信息优先适用隐私权保护,处理个人私密信息应遵守的程序和规则,必然比处理个人普通信息的程序和规则更严格、更全面。原因在于,处理个人私密信息要受到隐私权与信息控制权的双重约束,既要保护个人隐私,又要尊重权利人的信息自决权和信息控制权。可以说,“自己决定权和个人信息控制权”是当今隐私权发展的主要方向。?????? 据此,我国《民法典》第1033条第5项专门确立了处理个人私密信息的规则和程序,除法律另有规定或者权利人明确同意外,任何组织或者个人不得处理他人的私密信息。所谓权利人的“明确同意”,不仅与“默示同意”不同,而且与“同意”有区别。首先,权利人必须作出明确的意思表示,该意思表示必须是指向特定私密信息的、明确同意的、具体的意思表示,不能是模糊不清的,也不能是一揽子笼统授权。其次,权利人“明确同意”的范围对行为人具有约束力,行为人公开的个人私密信息范围应当与权利人“明确同意”的范围一致。再次,权利人“明确同意”是对行为人告知程序的明确回应,即行为人处理他人的私密信息前应当告知权利人并获得权利人的“明确同意”。当然,基于效率追求和操作便捷性,权利人的“明确同意”并不限于书面方式,可以是书面的,也可以是口头的,但行为人要有证据证明权利人做出了“明确同意”的意思表示。最后,“明确同意”必须是单独的、具体的、确定的意思表示,但“同意”可以是概括性的、笼统的、默示的表示。

  二、涉隐私政府信息豁免公开的困境

  (一)《政府信息公开条例》中隐私权优先保护立场不坚定

  涉及个人隐私的政府信息应否公开、如何公开、公开多少,体现了立法者在信息公开与隐私权保护的利益衡量中的选择。当政府信息涉及个人隐私时,信息公开与隐私权保护就互为矛盾。政府信息公开必然减损隐私权保护利益,隐私权保护也必然减损政府信息公开利益。这构成了涉及个人隐私的政府信息公开制度需要利益衡量的前提。关于这对矛盾利益的衡量,涉及政府信息所保障的公众知情权、参与权、监督权等多项权利与隐私权之间的价值衡量,也反映立法者基于公共利益考量对个人隐私权保护范围作出的限制,一直都是各国政府信息公开立法的难点。“有的国家制定个人信息保护法等明确列出需要保护的个人信息的范围,也有的国家在信息公开法中对于个人信息进行细致的列举规定。”??????由于法律文化和价值追求的差异,不同国家的政府信息公开制度对这对矛盾利益的选择必然会有差异。比如,美国基于信息自由的立场选择了政府信息充分公开的一般原则,优先保护政府信息公开的利益,通过其《信息自由法》“强烈推定公开”政府信息:最小限度的隐私权利益不足以引起隐私权免除公开,只有隐私权利益明显大于公开获得的公共利益,即“明显不当”侵犯个人隐私权,才可以决定免除公开。?????? 有些国家则基于保护人格尊严、尊重信息自决权的立场选择不公开个人隐私相关信息的一般原则,如苏格兰《信息自由法》第38条概括性规定“违背个人隐私保护精神的信息不予公开”,加拿大《信息获取法》也明确表达了隐私权保护的强硬立场,“政府机构的负责人应拒绝公开包含《隐私权法》第 3条定义的个人信息的任何记录。除非与该信息有关的个人同意公开”。

  我国政府信息公开制度对此问题的基本立场是“行政机关不得公开”涉隐私政府信息,倾向于隐私权保护优先于信息公开。有学者从权利位阶角度解释隐私权优先保护的正当性:“作为公民参政权的知情权,应当服从作为公民基本权利的个人隐私权。”??????也有学者适用公共利益衡量制度予以解释, 即隐私权保护所体现的公共利益优先于信息公开所体现的公共利益,“公益优先”与“公开优先”是递进关系而不是并列关系,“公益优先”是第一顺位的原则,“公开优先”是第二顺位的原则。?????? 至于隐私权优先保护立场的具体规范依据,主要是我国《政府信息公开条例》(以下简称:《条例》)的第13条和 15条。《条例》第13条是关于“政府信息应当公开”的例外情形的概括性规定,表明涉隐私政府信息属于豁免公开范围。《条例》第15条规定:“涉及商业秘密、个人隐私等公开会对第三方合法权益造成损害的政府信息,行政机关不得公开。但是,第三方同意公开或者行政机关认为不公开会对公共利益造成重大影响的,予以公开。”其中第一句话 “行政机关不得公开”涉隐私政府信息,确立了涉隐私政府信息不公开的一般性原则,体现了《条例》在知情权、参与权与个人隐私权之间的价值衡量中选择了隐私权优先保护的制度安排。该一般性规定在《条例》修订前后表述基本一致,都直截了当地以“行政机关不得公开”的禁止性规范,明确、坚定地表达了立法者对涉隐私政府信息豁免公开的基本立场,以及对知情权与隐私权冲突的制度选择倾向于隐私权优先。

  然而,这一隐私权优先保护立场并未被自始至终地坚持,显示出立法者对此选择不够坚定,甚至有些游移。依据《条例》第15条的但书条款,有条件公开涉隐私政府信息适用于两种情形,第一种情形是第三方同意公开的,第二种情形是行政机关认为不公开会对公共利益造成重大影响的,这两种情形下都“予以公开”。比较2019年修订前的《条例》(以下简称:旧《条例》)第14条第4款的规定,修订后的《条例》以“予以公开”代替了“可以予以公开”的表述,仅删除了“可以”二字。前后比较,“予以公开”就应理解为“应当予以公开”。并且,如果理解为“应当予以公开”,也与上一句原则规定体现的隐私权优先保护立场是一致的,即只有不公开会对公共利益“造成重大影响的”才予以公开,而不是对公共利益“造成影响的”就予以公开。然而,《条例》第32条确立公开的条件规则时,却未完全坚持“应当予以公开”的立场。在第三方逾期未答复和第三方不同意公开情形下,行政机关都有权进行利益衡量,认为不公开可能对公共利益造成重大影响的,“可以决定予以公开”。这就与《条例》第15条但书条款“予以公开”的规定不一致了。两个条款的逻辑前提完全相同,即“行政机关认为不公开可能对公共利益造成重大影响的”,结论却有差异,一个是“予以公开”,一个是“可以决定予以公开”。前后一紧一松的不同规定,表达出立法者对隐私权优先保护的立场并不坚定。这种举棋不定的立法趋向,也必然投射到法律的实施效果上。

  (二)信息公开实践中隐私权保护的泛化与虚化

  由于《条例》对隐私权保护立场的不坚定,以及未区分个人隐私与个人信息、未界定涉隐私政府信息的范围,信息公开实践中隐私权保护制度的实施效果也有些不尽如人意。“关于信息公开例外事项的规定及其公共利益衡量条款存在较大的缺陷”与“例外事项的规定不清晰、不全面,不公开的公共利益展现不全面”,??????都直接影响《条例》的实施。不同行政机关之间、行政机关与法院之间,甚至不同法院之间,对个人隐私的理解、对涉隐私政府信息豁免公开适用标准的理解不一致,使得个人隐私豁免公开制度或被曲解适用、或被闲置 “休眠”,隐私权保护的泛化与虚化倾向同时并存。

  一方面,行政机关和法院往往以隐私权保护代替个人信息保护,倾向于只要涉及个人信息就笼统地以隐私权保护为由拒绝公开。“行政机关倾向于只要涉及个人隐私,就全部不予公开所涉信息”, “绝对化保护个人隐私以及仅凭第三方不同意公开意见就判断构成了个人隐私”,??????甚至法院也会不加区分地扩大隐私权保护范围,使隐私权保护过于泛化。比如,在 “张某与长沙市财政局不履行政府信息公开法定职责案”中,法院认为:“上诉人申请公开的第三方工作人员的姓名、性别、出生年月、出生地、学历、毕业院校、原工作单位、进入现单位的工作时间、每月基本工资、奖金、津贴等个人事项,一般认为属个人隐私。”??????这种说法宽泛地把第三人的个人信息一律视为个人隐私,却没有把第三方工作人员与职务有关的个人信息与纯粹的个人私密信息进行区分,有泛化隐私权保护的嫌疑。事实上, 只有与职务无关的、纯粹的个人私密信息才受隐私权保护,而与职务有关的个人普通信息,如该个人的头衔、职位职级、岗位职责、工作地址、工作电话号码等则不受隐私权保护,应予以公开。再如,在 “蔡某与周村区人民政府青年路街道办事处信息公开案”中,行政机关认为蔡某申请公开的案涉房屋补偿协议,涉及第三方个人隐私,并依第三方明确答复不同意公开为由,决定不予公开。然而,法院审理后认定,涉案房屋为蔡某与第三方共有,蔡某也是涉案房产登记的权利人,行政机关应当向所有被征收人告知涉案房屋的拆迁补偿情况,“法律在此明确排除了个人隐私的适用”,“这也是立法为实现征收过程公开、透明而在公共利益和个人利益的一种平衡”。?

  另一方面,强制公开个人隐私条款也被长期虚置,行政机关和司法机关都倾向于放弃适用。依据《条例》第15条和第32条的规定,在行政机关征求第三方意见后,第三方逾期未提出意见的,或者第三方不同意公开但行政机关认为不公开可能对公共利益造成重大影响的,行政机关可依法决定予以公开,由此确立了行政机关基于公共利益的需要依法强制公开涉隐私政府信息的情形。然而,实践中,这一强制公开程序鲜有启动。有学者曾言:“虽有公共利益衡量机制,但却很少发现有案例真正启用了该机制。”??????也有学者在旧《条例》施行六年后,以“北大法宝法律数据库”为检索对象,对六年内全部315件信息公开案件研读后,得出结论,“在我们阅读的这些案件中也没有出现一起强制公开案件”,“对于的确涉及个人隐私的信息……是否公开往往取决于第三人意愿。第三人不同意的,行政机关就不公开,法院也认可”。

  (三)涉隐私政府信息公开规定与个人私密信息严格保护规则不一致

  《条例》对行政机关的授权太过笼统和宽泛,与隐私权限制适用法律保留原则是相悖的。《条例》通过其第15条和第32条,把判断某项政府信息是否涉及个人隐私、公开会否侵害第三人正当权益、公开会否对公共利益造成重大损害、权利人不同意公开时的理由是否合理等内容的判断权一揽子授予行政机关裁量行使。在授权条款中,既未列举规定豁免公开的例外情形,也未对个人隐私的识别标准做出规定,更没有确立第三人权益和公共利益受损害的判断标准。甚至在第三人明确拒绝公开后, 行政机关基于公共利益会受到重大影响的判断有权强制公开相关信息的,判断基础仍是行政裁量。

  与此同时,《条例》未对第三方同意的方式作出区分,这与我国《民法典》确立的处理个人私密信息应经权利人“明确同意”的程序规则不一致。《条例》第15条规定,涉及个人隐私的,第三方“同意公开”的予以公开,关于同意的方式未做规定。尽管《条例》第32条确立了依申请公开中征求第三方意见的程序,也仅就程序规则、时限、不回复、回复理由要求等做出规定,却未考虑对不同信息依据不同的程序规则区分保护。依据我国《民法典》第1033条至第1038条的规定,权利人“明确同意”与“同意”是有区别的,立法者区分不同的程序规则,意在确立对个人私密信息更加严格的保护制度。事实上,我国的司法实践早已走在前面。人民法院在审理政府信息公开类行政案件时,“在判决中都一致强调,第三人的同意必须是明示的”。?????? 《最高人民法院关于审理政府信息公开行政案件若干问题的规定》第5条第2款也规定:“因公共利益决定公开涉及商业秘密、个人隐私政府信息的,被告应当对认定公共利益以及不公开可能对公共利益造成重大影响的理由进行举证和说明。”这表明,司法实践已经把《条例》第15条的“同意”理解为“明确同意”而加以适用了。

  三、个人私密信息保护制度的发展契机

  (一)以宪法为统领的隐私权保护体系渐趋完善

  我国《宪法》虽没有明确规定隐私权概念和保护个人隐私字眼,但依然确立了隐私权保护观念。 “宪法保障的公民基本权利不以列举的为限”,??????是否在宪法中明确列举都不影响隐私权的基本权利属性。我国《宪法》第38条规定的“公民的人格尊严不受侵犯”,包含了对名誉、姓名、肖像、隐私等人格权内容的确认;第39条规定的“公民的住宅不受侵犯”,实际上是对私人生活安宁的直接确认和保护;第40条规定的“公民的……通信秘密受法律的保护”,也属于隐私权的范畴。这些宪法条款“为后来其他部门法和特别法规保护公民个人隐私权以及相应的司法解释留下了广阔的空间”。

  我国法律已经普遍确立了隐私权保护制度。1982年我国《民事诉讼法》首次使用“隐私”概念, 1993年我国《澳门特别行政区基本法》首次规定“隐私权”概念。2005年对我国《妇女权益保障法》进行修正时将隐私权与名誉权、肖像权等并列为独立的人格权利。随后,我国《未成年人保护法》确认保护未成年人的个人隐私,一些专门法律还规定了基于执业活动获得他人隐私的人员和机构负有尊重他人隐私、保守秘密的义务。以此为基础,2017年我国《民法总则》正面确认隐私权是每个自然人都享有的具体人格权。三大诉讼法也都规定对涉及个人隐私的材料、信息,应当保密;涉及个人隐私的证据,不在公开开庭时出示;有关个人隐私的案件,不公开审理。最高人民法院发布的司法解释也及时回应了隐私保护的社会需求,“在隐私权保护制度建设过程中可以说是直接的推动者和实践者”。??????《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》明确了隐私权属于法律保护的人身权益范围,强化了个人隐私信息的司法保护。我国《民法典》全面规定了隐私权的概念、内涵、范围、效力、保护方式以及在不同场景下的类型化保护程度等,并明确了隐私权与个人信息保护的区分立场及其保护方式、保护程度的不同。

  (二)政府信息公开制度应与民法典有机衔接

  政府信息公开制度不能与我国《民法典》关于隐私权保护和个人信息保护的规定相冲突。我国《民法典》是全国人大制定的基本法律,“其位阶仅次于宪法而高于其他法律”,??????是《条例》的上位法和制定依据。遵循法律优位原则,政府信息公开涉及个人信息和个人隐私的制度设计,不能与我国《民法典》的有关规定相冲突。对此,习近平同志高屋建瓴地指出:“对同民法典规定和原则不一致的国家有关规定,要抓紧清理,该修改的修改,该废止的废止。”??????《条例》虽是公法,但依然不能与我国《民法典》冲突。“因其系一部基础性法律,在我国法律体系中具有基础性地位,公法不能与其产生冲突, 凡是冲突的公法规范一律失去效力,应修改并与民法典保持一致”;我国《民法典》“不仅在保障私权的领域中发挥作用,而且规范公权力的行使”。?

  政府信息公开制度还应与我国《民法典》配合、协同和衔接。我国《民法典》规定的公民权利,既为平等民事主体之间享有和实现权利提供了基本法律依据,也为行政权力干预公民权利划定了界限,还为公民民事权利的行政保护提供了直接的规范依据,“构筑起行政机关不得侵犯权利的消极性保护、介入权利侵犯的积极性保护和促成权利实现的创造性保护的三层次义务结构”。?????? 我国《民法典》中有160多个条款与行政机关相关,行政法制定主体必须及时作出回应,在法律、行政法规、规章中进一步细化,改革和完善相关制度。行政法应主动对接民法典,“行政法只有主动适应对接民法典,通过 ‘法法衔接’才能保障民法典的有效实施,进而以此为契机大力推进法治政府建设”。

  (三)隐私权的公法保护机制亟待确立

  现代意义的隐私权不再局限于以人格权为核心的民事权利属性,而是具有了基本权利属性,并对国家和政府设定了保护义务。据此,世界上多数国家都建立了政府信息公开中的隐私权专门保护制度。在美国,联邦法院通过一系列的判例创设了“宪法上的隐私权”,将隐私权解释为“公民对抗警察非法搜查、拒绝自我归罪的权利”,并被确认为独立于美国宪法第4修正案、第5修正案的一般宪法权利。?????? 在此基础上,美国《隐私权法》(1974年)就公共机构对个人信息的采集、使用、公开和保密问题详细规定,确立了联邦政府机构处理个人信息中的隐私权保护制度。在英国,《信息自由法》(2000 年)确立了信息权,《公共部门信息再利用条例》(2015年)要求在公共部门中设立隐私保护专家并定期发布“个人隐私影响评估手册”,并设立了直接向英国国会报告的信息专员办公室,作为专司维护公众信息权益、促进公共部门开放和保护个人数据隐私的非政府公共机构。在德国,《信息自由法》 (2013年)规定了信息公开与隐私政策冲突时的解决原则,联邦设立了隐私保护和信息自由委员会, 州设立了数据保护专员作为在信息公开中保护个人隐私的专司部门。

  在我国,施行《个人信息保护法》也带来了隐私权公法保护机制的完善契机。在公权力运行领域, 隐私权保护观念更待加强,“对个人隐私尤其是信息隐私的最大威胁也主要来自国家”。?????? 国家机关、公务组织在依法履行职责的过程中,不仅要大量收集自然人的个人信息,而且会产生新的个人信息, 也会掌握自然人的很多隐私。同时,国家机关、公务组织所处理的个人信息和掌握的个人隐私,具有精准度高、全面性强、覆盖面大的特点。因而,在区分保护隐私权和个人信息权益的基础上,以我国《个人信息保护法》的施行为契机,以“个人信息受保护权———国家保护义务”框架完善个人信息的权力保护机制,??????进而完善个人私密信息保护制度,是历史赋予的机遇。

  四、政府信息公开中个人私密信息保护制度的完善

  (一)包含个人私密信息的政府信息不得公开原则

  基于隐私权和个人信息保护的双重立场,应在个人信息保护法中确立个人私密信息豁免公开原则,以填补《条例》隐私权保护立场不够坚定、涉隐私政府信息内涵模糊的制度漏洞。首先,应区分保护个人隐私与个人信息,以回应和衔接我国《民法典》。其次,应以个人私密信息为基础确立涉隐私政府信息公开豁免制度。事实上,所谓“涉及个人隐私”的表述是2019年修订的《条例》对旧《条例》的完全照搬,没有任何修改。旧《条例》制定时,我国的隐私权保护观念尚不成熟,更不能奢谈区分保护隐私权与个人信息。当前,我国《民法典》已经在隐私权基础上提出个人私密信息概念并规定了严格保护规则,政府信息涉及个人隐私的,实际上是指包含个人私密信息的政府信息。也可以说,“在信息时代,隐私主要就表现为信息隐私的形式”。?????? 政府信息公开中的隐私权仅指向信息隐私权,不包含空间隐私权、私生活安宁权等隐私权的其他内容。因而,应以“个人私密信息”这一明确概念,代替个人隐私的宽泛表述,给行政机关信息公开实践提供更明确的法律依据。最后,应明确规定“个人私密信息不得公开原则”,以彰显个人私密信息优先适用隐私权保护,以及信息公开不得侵害隐私权的严格法治立场,并以此确立我国《民法典》个人私密信息保护制度与《条例》政府信息公开豁免制度的联结机制,进而完善个人私密信息的公权力保护体系。

  (二)个人私密信息可予公开范围宜由法律列举规定

  在遵循个人私密信息不得公开原则的基础上,为了实现公共利益的需要,根据利益衡量,在某些特定情形下仍然必须公开,即应确立“不得公开的例外”,意即“否定之否定”的范围。对此,世界上多数国家或地区的信息保护法均遵循法律保留原则,就公务机关基于公共利益的需要可径自依法处理个人私密信息的情形,在专门法律中做了明确的、列举式规定。此类确定的“不予公开的例外范围”规定,既给行政机关无须征求权利人同意可径行公开相关信息提供了明确的、操作性强的法律依据,也避免因授权过于宽泛导致例外条款虚置,也可提高信息公开效率。比如,《欧盟个人数据保护指南》 (1995年)序言第33条、《比利时关于个人数据处理的隐私权利保护法》第7条第2款、《冰岛有关个人数据的保护法》第9节、《丹麦个人数据处理法》第7条第2款、《匈牙利个人数据保护与公共利益数据公开法》第3条、《意大利有关个人和其他主体的个人数据处理的保护法》第4条、《荷兰个人数据保护法》第16条至第23条、《葡萄牙个人数据保护法》第7条、《瑞典个人数据法》第14条、《美国隐私权法》第二部分、《加拿大个人数据保护法》第7条和第8条、《阿根廷个人数据保护法》第5条第2款、《日本个人信息保护法》第23条、《韩国公共机关个人信息保护法》第10条,??????都明确规定了行政机关可径行处理个人信息的范围。

  总结各个国家或地区的立法模式和法律规定,至少有三点共同之处可以为我国法治提供有益借鉴。其一,在个人数据、个人信息保护的专门立法中规定个人私密信息可予公开的特定情形,以确保在国家意志和公共利益层面上平衡公众知情权、监督权与隐私权,以及对隐私权的克减仅来自法律。其二,通过单独章节或条款专门规定,不仅彰显立法的审慎,而且有利于例外条款的执行。其三,采取列举式规定而非概括式规定,以保证公开情形的实效性和可操作性。有些国家的法律还区分不同类型的私密信息,分别列举豁免同意的情形。比如,比利时区分了有关人种、种族、政治观点、宗教或哲学信仰商业联盟成员资格与有关健康状况的两类数据,分别规定;荷兰区分了有关个人种族、个人政治信仰、个人贸易联盟身份、个人健康、个人犯罪记录六类特殊个人数据,分别列举规定;瑞典把有关非营利组织成员的个人数据、卫生与医疗保健、为进行学术研究、统计而处理的个人数据等四类单独列举,规定豁免同意的情形。

  基于我国法律已经确立的个人私密信息严格保护立场,以及政府信息公开制度的利益衡量需求, 通过政府信息公开专门立法规定政府信息涉及个人私密信息时可径行公开的例外情形最为可行。在立法形式上,可以借鉴德国的立法例,以专门条款或者章节进行规定,以彰显个人信息保护在政府信息公开与企业数据处理中的不同价值追求。在立法内容上,可借鉴多数国家立法把以下六类事项规定为可予公开的法定情形:一是涉及国防安全和公共安全的,二是涉及刑事追诉的,三是涉及医疗健康、公共卫生和治病救人的,四是涉及紧急避险的,五是合同约定的,六是其他法律规定的。当然,这些情形下个人私密信息虽然公开,但公开范围必须是特定的而不是普遍的。

  (三)个人私密信息裁量公开应保障第三人参与权

  对于个人私密信息的判断,有时需要结合具体个案信息。比如,在城市旧区改造安置中,每个家庭的安置地点、安置面积、安置房状况等看似是私密信息,但在总体安置资源有限且须遵循公平原则的背景下,安置户就有权知悉同批次其他人的安置概况。因而,关于申请公开的政府信息是否包含个人私密信息以及所包含的第三人信息是否属于私密信息,行政机关也可依法行使裁量权,并在征询第三人同意后,决定是否公开。保障第三人参与权在信息自决权、正当程序原则、参与民主原则等领域都能找到理论支撑。信息自决权是欧洲大陆法系国家隐私权保护的基础,强调自我表达、自我发展与自主决断,以保障主体的人格尊严和身份认同。包含第三人私密信息的政府信息公开,会对第三人产生不利影响,可能侵害第三人的隐私权,应遵守正当程序原则,保障第三人的公平参与权。参与民主、协商合意也是第三人参与程序的法理基础。有学者提出,我国信息公开制度的宪法基础实质上是参与民主原则,“其目的在于通过信息公开让人民更好地行使管理国家、社会等公共事务的权利,其中包括《宪法》第27、41条规定的监督、批评、建议、申诉、控告和检举权等”;当前政府信息公开中同时出现的“不足”和“过剩”现象,实际上源于政府信息公开制度遵循参与民主原则不彻底、不全面。

  保障第三人参与权、征询第三人同意已经成为世界范围内信息保护法、数据保护法的共同选择。如《经济合作组织(OECD)关于隐私权保护和个人数据跨疆界流动的指导原则》中就有专门条款规定了“个人参与原则”;《欧盟个人数据保护指南》(1995年)第14条规定了数据主体的拒绝权利;英国《数据保护法》规定处理个人敏感信息应该获得权利人的明示同意,德国《个人数据保护法》规定在电话告知隐私权人时,同意的意思表示可以用口头形式。

  在我国,《条例》第32条规定了比较完善的第三人参与程序。在第三人明确表示不同意公开时, 行政机关依然可以依法行使裁量权,认为不公开可能对公共利益造成重大影响的,可以决定予以公开,这是《条例》所规定的裁量公开程序。然而,在实践中,行政机关很少适用裁量公开程序。究其根源,除了行政机关懒政、怠政、害怕承担责任的主观原因外,也与个人私密信息保护规则不健全和第三人介入程序不健全有关。关于第三人介入程序之完善,有学者提出了极具操作性的建议,即“采行拟公开决定后的征询意见程序、确立正式公开决定前的听证程序、确立公开决定的作出与公开决定的执行相分离的制度、明确规定救济期间公开决定中止执行的制度”。?????

  (四)确立不同的征求意见程序以区分保护个人私密信息与普通信息

  比照我国《民法典》把个人信息区分为私密信息与普通信息的做法,在依申请公开程序中应将所涉第三人信息区分为个人私密信息与普通信息,并把征求第三方同意程序分别规定为强制性程序与裁量性程序。也就是说,申请公开的信息会侵害第三人私密信息的,应当书面征求第三方明确同意; 申请公开的信息仅涉及第三人普通信息的,可以征求第三方同意。

  如此区分信息类型并分别保护的做法,与目前《条例》所遵循的以信息种类为基础区分公开范围的做法一致,也是以“法法衔接”的方式实施民法典,并对应我国《民法典》区分保护隐私权与个人信息、对个人私密信息严格保护的制度。然而,以上两个方面都不是最重要的,此种区分的首要价值是实现政府信息“以公开为原则、不公开为例外”的主导价值,并提高政府信息公开的效率,提升征求第三方意见程序的实践操作性。比如,在“林某诉上海市环境保护局申请公开第三人公司环保环评报告 (需要按照新的环保法全文公开,包括公众参与者名单)案”中,??????被告认为涉案《环境影响报告书》系第三人委托相关环境影响评价机构制作,对于其中含有公众调查对象的姓名、电话等个人信息只需征求第三人意见即可,即不需要征求相关公众参与者意见。被告的理由是,《环境影响报告书》不仅内容庞杂,而且涉及公众参与者众多,如若逐一征询本人意见,势必耗费大量行政资源,并导致行政效率低下与行政程序冗长。法院认为:“针对涉及权利人众多,内容庞杂的政府信息,行政机关采用较为便捷的程序审查处理,且处理结果无损于原告的知情权,亦不会对公共利益造成不利影响,应予支持。”??????可见,实践需求远比法律规定的更复杂多样,政府信息涉及他人信息的,除了第三方,可能还有第四方、第五方,甚至像该案一样涉及众多权利人。如果不区分所涉信息种类机械执行“应当书面征求第三方的意见”,势必拉长征求意见程序、增加大量行政成本、造成行政效率低下,进而引发大量信息公开诉讼。

  因而,区分保护个人私密信息与普通信息,并比照适用我国《民法典》确立的征求权利人同意的程序规则,涉及多方、多数权利人的,以信息类别为区分的类型化征求意见程序更具可操作性。对于公开会损害他人私密信息的,行政机关应当书面征求权利人意见,并须获得权利人明确同意;对于公开会损害他人非私密信息的,可以征求权利人意见,获得权利人同意。依据我国《民法典》第1035条的规定,获得权利人同意,可以是默示、笼统的、一揽子授权。换言之,如果在信息收集时获得了权利人有关信息处理的授权,在信息公开时就无须再征求意见。也就是说,收集信息时权利人的授权,可以理解为包含了对非私密信息公开的同意;无须在公开前专门征求权利人意见。事实上,司法实践中已经关注到此类需求,并把其归纳为“区分处理”操作,法院应审查“是否存在可以区分处理的情形”。??????能够区分处理的,行政机关应向申请人提供可以公开部分的信息内容。

获取免费资料

最新文章