公共服务领域政务信息共享中的个人信息保护研究

以《民法典》为视角

2021年第06期    作者:张磊    阅读 2,305 次

一、问题的提出

2017年10月，中国共产党第十九次代表大会提出，中国特色社会主义进入新时代，中国社会主要矛盾已经转化为人民日益增长的美好生活需要和不平衡不充分的发展之间的矛盾。十九大以后，一大批旨在消除不平衡不充分发展的政策法规陆续出台。在公共服务领域，让百姓“最多跑一次”甚至“一次都不跑”的制度理念逐渐深入人心。2020年1月1日起实施的国务院行政法规《优化营商环境条例》第三十七条第二款提出：“国家依托一体化在线平台，推动政务信息系统整合，优化政务流程，促进政务服务跨地区、跨部门、跨层级数据共享和业务协同。政府及其有关部门应当按照国家有关规定，提供数据共享服务，及时将有关政务服务数据上传至一体化在线平台，加强共享数据使用全过程管理，确保共享数据安全。”2020年7月15日，国务院办公厅又发布国务院《关于进一步优化营商环境更好服务市场主体的实施意见》（国办发〔2020〕24号），提出“建立健全政府及公共服务机构数据开放共享规则，推动公共交通、路政管理、医疗卫生、养老等公共服务领域和政府部门数据有序开放”。受上述政策法规影响，国内各省市在公共服务领域先行先试了一大批政府政务信息共享项目。比如，浙江政务平台与阿里巴巴旗下互联网电子签名公司“e签宝”展开多项合作，包括电子合同签订保存、一站式在线行政许可审批、司法区块链存证、房屋买卖云签约云登记过户以及水电煤等公用事业合同签订流转。而在上海，《上海市优化营商环境条例》第四十九条第二款则进一步规定：“本市推进公共数据开放及大数据普惠金融应用，依法与金融机构共享市场监管、税务、不动产登记、环保等政务数据和电力、供排水、燃气、网络等公用事业数据，并依法保护商业秘密、个人信息。”一时间，公共服务领域政务信息的共享成为改革的创新亮点。在此背景下，如何对个人信息和个人隐私作充分、合理的保护成为一个需要研究解决的问题。政府采集的个人信息的法律属性是什么？政府采集个人信息和一般市场主体采集、储存、使用个人信息的原则、方式、范围有哪些不同？政务信息共享的边界、原则有哪些？政务信息共享是否需要考虑反垄断、反不正当竞争的反制？政务信息共享背景下信息主体的救济途径有哪些？政务信息共享背景下的赔偿责任及归责原则有什么特征？笔者认为，上述问题都值得深入研究。

二、《民法典》关于个人信息和个人隐私保护的规定

2021年1月1日生效的《中华人民共和国民法典》（以下简称《民法典》）是我国建国以来第一部以“法典”命名的法律。这部《民法典》的一个显著特征就是高度重视人格权保护，单辟了人格权一编。人格权编的第六章又专门规定了隐私权和个人信息的保护。

笔者认为，《民法典》的出台主要解决了个人隐私和个人信息保护的以下四方面具体问题：

一是明确了隐私权和个人信息的法益。《民法总则》出台前，个人信息在《民法通则》《侵权责任法等》基本法律中没有具体的规定。法院在审理涉及个人信息保护的相关案件中，大多只能引用《民法通则》第101条关于名誉权、人格尊严保护的一般性规定。2019年《民法通则》颁布实施后，其第110条规定了个人信息安全原则、合法使用原则、授权同意原则，但个人信息保护的内涵外延尚不完整。《民法典》对个人隐私和个人信息保护作了较为详尽的规定，其中第1032条规定了隐私权的定义及保护原则，第1034条又规定了个人信息的定义，上述规定使隐私权和个人信息的法益内涵得以明晰，夯实了信息主体的请求权基础。

二是明确了隐私权和个人信息保护的基本原则。《民法典》第1033条列举了各类侵害隐私权违法行为的表现形式；第1035条规定了个人信息使用应当合法、必要、正当的原则，且需遵循授权同意原则、目的限定原则以及公开使用原则；第1036条规定个人信息处理人不承担民事责任的各类情形，使个人信息保护原则更加完整。

三是明确了个人信息主体的主要权利以及信息处理者的概括义务。《民法典》第1037条规定了信息主体享有查询复制权、变更修正权和删除权；第1038条规定了信息处理者不得泄露或者篡改其收集、存储的个人信息，不得擅自向他人提供信息（完成脱敏的除外）以及应对收集、储存的个人信息承担安全保护责任。

四是《民法典》第1039条概括规定了国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息，应当予以保密，不得泄露或者向他人非法提供。

然而，在互联网经济、数据经济、分享经济迅猛发展的当下，《民法典》的制度设计还略显滞后，一些实践中各方关注的重点问题仍然没有得到有效解决。笔者认为，以下四方面问题在《民法典》中没有很好地解决：

一是关于知情同意原则的失灵问题。知情同意原则是隐私权、个人信息保护概念出现初始就确立的基本原则。齐爱民教授在《大数据时代个人信息保护法国际比较研究》一书中介绍：“经济合作与发展组织（OECD）在1980年通过了《关于隐私保护与个人资料跨国流通的指针的建议》，提出国内隐私保护立法的八项原则，其中就包括信息主体参与原则（第13条）。英国于1998年修订了《个人资料保护法》，明确个人对其信息享有知情权（要求告知权，即信息主体有权要求信息处理者告知自己的信息是否在被处理）和拒绝权（包括阻止或拒绝可能引起损害的个人信息处理的权利以及阻止以直接营销为目的的个人信息处理的权利）。”然而进入大数据时代后，知情同意原则受到了极大的挑战。张新宝教授在《个人信息收集：告知同意原则适用的限制》一文中认为：“告知同意原则存在被滥用的风险，很多情况下手机APP等互联网应用所谓的告知并不是真正的告知，而是机械地将一份早已拟就的、目的仅在于规避法律风险的所谓告知文件呈现在用户面前。而用户的同意并非真正的同意，在极大多数情况下，用户只要不同意手机APP等互联网应用所要求的概括同意，就完全无法使用或在相当程度上无法使用该APP的服务。”2020年5月15日、7月3日、7月24日、8月31日，工业和信息化部先后4批次通报各类侵害用户权益行为的APP，主要涉及问题均为违规收集个人信息和使用个人信息。使用上述APP均需关注或注册，均需接受其服务条款，然而用户个人信息的知情权、选择权实际均得不到保障。

二是授权原则的保护失能问题。授权保护的基础是范围和目的限定，即个人信息在信息主体授权的、限定的范围或基于限定的目的之使用才是合法使用。在传统领域，授权保护原则能够较好地发挥作用，因为经济活动对个人信息、个人数据的流通要求没有那么高，甚至处于领先地位的市场主体会有意识地制造个人信息、用户数据流通的壁垒，并从中获得区别于竞争对手的优势。而在数据经济繁荣的环境下，数据的规模、能级、精细化程度直接决定互联网企业的生存。大批互联网头部企业进入云数据产业，通过对海量用户数据的收集、分析、匹配以及分享交换等二次利用，提高资源配置效率和用户响应速度，进而掌握用户需求的流量和通道。因此，个人信息广泛进入商业领域并且其使用边界存在的巨大不确定性，是数据经济背景下个人信息保护无法回避的问题。传统的、呆板的、静态的授权原则显然无法适应这一变化。

三是政务信息共享环节中的个人信息保护问题没有予以明确。首先，从目前各地的实践来看，参与政务信息共享的主体主要分为以下五类：一是政府各相关职能部门，如不动产登记局、市场监督局、规划和自然资源局等；二是供水、供电、供气等各类公用事业企业；三是提供普遍服务义务的各类金融机构；四是各类数据存储、运行维护供应商；五是在线支付服务供应商。从上述参与共享的主体来看，既有非营利性的政府机关，也有兼具公共服务职能和商业经营属性的公用事业，还有完全市场化经营的第三方运营服务企业。个人信息在上述三类不同主体间分享必然突破政务信息的限定使用范围和目的，存在予以特别规制的必要性。其次，从信息共享的具体内容来看，《民法典》第1034条规定的范围包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。这些信息的大部分甚至全部既可以是政务信息的范围，也可以成为市场主体采集、收集、储存并实施大规模商业化利用的范围。因此在缺乏有效规制的前提下，被分享的政务信息存在被滥用的巨大风险。第三，从反垄断和反不正当竞争角度来看，政务信息的分享可能会引发新的反垄断和反不正当竞争问题。作为政务信息分享的典型代表，“一网通办”为广大市民用户带来“一网打尽”的巨大便利；但同时对未能进入“一网通办”服务供应商序列的其他市场主体带来“一网隔绝”的巨大壁垒，这样一种壁垒不仅使得不同市场主体在政务服务电子化服务领域出现巨大竞争地位落差，还会因个人信息、个人数据丰富内涵价值的外部性，影响到其他纯市场化领域的竞争态势。例如某个为不动产登记局提供数据分享服务的供应商，就有可能接触到各类房屋买卖、贷款、装修、家用电器购置、车辆购置、充电桩安装等一系列潜在服务需求，即便该供应商与政府签订了一系列保密协议，但考虑到政府监管的成本和技术穿透能力，该供应商相比于其他竞争者的竞争优势仍然是巨大的，并且这种竞争优势存在持续放大的可能，容易产生“强者恒强，大者通吃”的寡头格局。《民法典》仅在第1039条规定了国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息承担保密责任，难以应对上述三方面具体问题的挑战。

四是关于赔偿机制的适用性问题。我国现行民事赔偿制度的基本原则是：以填平式赔偿为原则，以惩罚性赔偿为例外。《民法典》关于惩罚性赔偿的制度设计有3处：故意侵害他人知识产权且情节严重（第1185条）；明知产品存在缺陷仍然生产、销售，或者没有依据前条规定采取有效补救措施（第1207条）；故意污染环境破坏生态造成严重后果（第1232条）。未包括个人信息和个人隐私的保护。笔者认为，在个人信息保护领域引入惩罚性赔偿机制至关重要。首先，个人信息和个人隐私兼具人格权属性和财产权属性，但财产权的价值大小基本由信息控制处理者决定，信息主体难以掌握，因此填平式赔偿原则难以切实保护信息主体的权益；其次，数据经济背景下，信息处理者从个人信息中获得的权益和其承担的义务严重不对等，从近年来获准境内或境外IPO上市的企业来看，大量的所谓独角兽企业均为互联网企业、均掌握海量的用户信息和资料，对这类企业适用惩罚性赔偿机制符合民事活动最基本的公平原则；第三，适用惩罚性赔偿原则是规范各类准公共服务企业，抑制垄断和不正当竞争的需要。如前所述，由于数据价值的外部性，在互联网服务领域非常容易形成寡头竞争，当这类企业所占据的细分市场份额超过70%后，其所提供的服务就不是可有可无的一般商业服务，而获得了某种准公共服务的属性。用户一旦无法使用该服务，将出现巨大的工作、生活障碍，甚至出现自杀等极端情况。因此，基于反垄断和反不正当竞争的考量，通过建立惩罚性赔偿制度，加重具有市场支配地位的个人信息控制处理者的法律责任，也是个人信息保护立法需要考虑的问题。

总体而言，笔者认为：《民法典》建立了个人信息、个人隐私保护的基本制度，厘清了相关概念；但《民法典》确立的保护理念、保护原则滞后于经济社会发展，难以满足当前数据经济蓬勃发展的需要，也未能解决实践中较为突出的公共服务领域政务信息共享问题。

三、《民法典》视野下公共服务领域政务信息共享立法完善建议

笔者认为，《民法典》确立了个人信息和个人隐私的法益，明确了信息主体应当享有的各项权利，为后续个人信息、个人隐私专门立法奠定了基础。以下问题需要在后续专门立法中予以特别考量：

一是需要明确政府为公共服务需要收集个人信息的范围、采集程序、储存要求和披露规则。规范政府行为、保护个人隐私一直是美国隐私保护立法的基本原则。齐爱民教授在《大数据时代个人信息保护法国际比较研究》一书中介绍，1974年的《美国隐私法》是美国信息隐私法的基础法案，是规范联邦政府收集与处理个人信息的立法。该法规定了政府收集处理个人信息应遵循的6项基本义务：（1）直接收集义务，即个人信息的收集应尽可能向信息主体直接收集，尤其是行政机关收集的个人信息可能导致对信息主体作出不利决定的，应当向信息主体收集；（2）告知义务，即联邦收集个人信息时，应告知收集政策的合法性和个人信息的用途；（3）必要范围义务，即联邦政府只有在与法律规定或总统命令所要求完成的目的相关且必要的范围内，保有个人信息；（4）保密义务，即联邦政府所掌握的公务信息，除为公务使用外，不得公开；（5）资料品质义务，即需保持个人资料的完整、准确和时新。上述原则可以供我国立法参考。

二是需明确政务信息共享中的脱敏规则。《民法典》第1038条规定：“信息处理者不得泄露或者篡改其收集、存储的个人信息；未经自然人同意，不得向他人非法提供其个人信息，但是经过加工无法识别特定个人且不能复原的除外。”笔者认为，上述规定中的“脱敏原则”在政务信息共享中同样适用。首先，从采集内容来看，政务活动所需采集的个人信息与市场主体关注的个人信息并无实质性差别，而在政务信息共享过程中又难以完全排除个人信息的商业化使用，因此市场经济的基本法对政务信息共享应同样具有效力；其次，从共享目的来看，政府信息共享的主要制度目的是让行政相对人获得办理各类公共事务的便利，而非为市场主体提供商业服务机会，因此敏感信息的单向穿透性（即政务信息对行政相对人全面共享，而行政相对人个人信息的共享应受一定的阻断和屏蔽）更符合制度设计初衷；第三，从监管的操作性角度，边界清晰、内容明确的政务信息共享规则有利于提高监管效率、减低监管成本。值得庆幸的是，日新月异的技术进步为政务信息共享中的脱敏提供了现实可能性。数字证书、电子印章等一系列数字身份认证系统的出现，为个人从事各类社会公共活动提供了一帘面纱，面纱之下是需要保护和阻断的隐私信息，面纱之上是可以识别和指向的唯一数字标识。个人信息的隐私保护和商业使用在面纱的遮蔽下得以兼顾。

三是需明确政务信息共享的公平原则。承前所述，由于数据价值的外部性，在互联网服务领域非常容易形成寡头竞争，通过与政务信息共享项目的合作，这一竞争优势可能进一步放大甚至固化。国家市场监督管理总局于2019年6月26日发布了《制止滥用行政权力排除、限制竞争行为暂行规定》，其中第4条至第9条对行政机关和法律、法规授权的具有管理公共事务职能的组织不得滥用行政权力的具体情况作了规定，但尚未涉及政府信息的共享问题。笔者建议在后续个人信息保护专门立法中予以考虑。

四、结语

    个人信息保护是《民法典》立法的重点问题，而公共服务领域政务信息共享是实践中的热点问题。重点问题和热点问题碰撞后，必然绽放出绚烂的火花。社会公共服务领域的专业律师需要加强这方面的研究，为建立公平、有序，兼顾个人隐私保护要求和数据经济社会发展要求的政务信息共享管理机制， 提出有价值的意见和建议。笔者从《民法典》的基本制度出发，结合公共服务领域政务信息共享的特点，提出“明确政府为公共服务需要收集个人信息的范围、采集程序、储存要求和披露规则”，明确政务信息共享中的脱敏规则以及明确政务信息共享的公平原则三项立法完善建议，供有关人士参考。

张磊北京观韬中茂（上海）律师事务所合伙人，上海律协社会公共服务业务研究委员会副主任 业务方向： 能源和基础设施