期待国家机关通过自身制度完善,起到个人信息保护的带头示范作用,提升全社会的个人信息保护水平。
刚刚过去的11月1日,《个人信息保护法》正式实施。作为中国首部个人信息保护的专门性法律,其构建了完整的个人信息保护体系,对互联网巨头等企业提出了新要求,进一步规范了国家机关的行为,将对中国数字经济、数字治理的发展产生重大且深远影响。
《个人信息保护法》中的多个条款将对企业产生深远影响,如腾讯、苹果等,已经做出了快速回应。值得注意的是,《个人信息保护法》不仅适用于个人和企业,同样适用于国家机关。从事公共管理和服务的国家机关,在《个人信息保护法》中具有双重身份,第一重身份是规则的制定者和监管者;第二重身份是信息的处理者,这也是本文希望重点讨论的内容。
《个人信息保护法》明确规定“国家机关处理个人信息的活动,适用本法”。因此,国家机关在处理个人信息时,将和其他主体一样,需要遵守《个人信息保护法》所规定的个人信息保护义务。联系现有实践,有几点值得关注:
第一,国家机关需要建立普遍性的个人信息保护机制。在《个人信息保护法》出台之前,掌握大量个人信息的国家机关,如公安机关、政务数据管理机关等,内部建立了较为严格的保护机制,但有些基层组织还缺乏个人信息保护的观念,也未能建立相应的个人信息保护机制,在采集、保管、提供个人信息等方面存在一定的随意性。如某些疫情流调信息,往往是从基层组织中以“纸质文件拍照”等方式流出。事实上,所有的国家机关都应当严格履行《个人信息保护法》所规定的义务,防止出现个人信息保护的盲区。
第二,落实个人信息处理的最小目的原则。《个人信息保护法》第六条规定“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。”“收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。”这实际上与行政法上的比例原则是一致的,即行政机关进行行政活动,应当具有适当性、必要性,选择对相对人损害最小的方式。这对国家机关提出了新的挑战,数字政府建设最重要的工作之一,就是通过数据共享打通“数据烟囱”,实现“一处填表,各处可用”,这就可能超越“目的明确”和“最小范围”的要求,由此产生合法性争议。这一方面需要在未来的法律规定和法律解释中进一步明确。另一方面,在当前实践中,国家机关也需要打破“宁多勿少”的观念,实现个人信息的精确采集和严格管理。在采集和处理个人信息时,充分保护相对人的知情权,用“显著方式、清晰易懂的语言真实、准确、完整地向个人告知处理目的”。
▲图据视觉中国
第三,正确认识相对人的同意权。知情同意是《个人信息保护法》中规定的基础性制度。个人信息保护法第十三条规定,个人信息处理者取得个人同意后方可处理个人信息。但同时也规定,有第二项至第七项规定情形的,不需取得个人同意。其中,“为履行法定职责或者法定义务所必需”“为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需”“法律、行政法规规定的其他情形”等情形与国家机关密切相关。对于国家机关来说,其个人信息处理行为很多时候是基于职权,未必需要征得个人同意。关于这一点,公众应当有足够的认识。
依职权处理即使无须征得个人同意,但同样需要满足前述的最小目的原则,并且履行处理目的的告知义务,保证相对人知情权。此外,考虑到数字政府建设中许多数据共享和利用行为的法律依据尚不非常明确,为提高相对人的可接受度,减少法律争议,建议国家机关在处理一些个人数据时,主动获取相对人的同意,增加处理行为的合规性依据。
整体来说,《个人信息保护法》要求国家机关建立普遍性的个人信息保护制度,进行个人信息的精准处理,打破过去粗放式的处理模式。我们期待国家机关可以通过自身制度完善,起到个人信息保护的带头示范作用,提升全社会的个人信息保护水平。
红星新闻特约评论员 马颜昕(华南师范大学法学院研究员、数字政府与数字经济法治研究中心主任)
编辑 官莉
红星评论投稿邮箱:hxpl2020@qq.com
