個人信息在智慧治理中的風險與保護
——以《民法典》個人信息保護為中心

■方志偉 王建文

伴隨著大數據、人工智能等技術在社會治理領域的長足發展，政府利用個人信息實現智慧治理得以可能。但行政機關在收集、加工、使用、共享等處理個人信息過程中存在諸多風險，且現行法律體系對規制政府利用個人信息的制度供給嚴重不足?！睹穹ǖ洹纷鳛樗綑囝I域的基礎性法律，明確了公民個人信息受法律保護，具有規范、平衡和指引政府處理個人信息的重要意義。未來需要在《民法典》的框架下，通過制定個人信息在公共領域合理使用規則，明確行政機關的責任形態，完善對個人信息主體的損害賠償制度，促使政府在智慧治理中合理利用個人信息。

近年來，個人信息的公共價值已在公共管理中得到廣泛利用。在大數據、人工智能等技術的加持下，政府部門可以低成本、高效率地收集和處理更多個人信息，實現科學、理性的決策［1］(P38-59)，傳統政府治理模式逐漸轉向數據治理并最終實現“智慧治理”。政府利用人工智能技術革新其履職模式，但個人信息利用的邊界及發生個人信息侵權后的救濟規則等并無直接的法律法規予以明確。效力位階較高的《網絡安全法》雖然對個人信息的范圍和使用方式有所提及，但其所規范的主體是可能侵害個人信息的“網絡服務提供者、運營者”“其他企業事業單位”等，政府部門在《網絡安全法》中的定位是純粹的監管者和個人信息保護者，而非個人信息的獲取者和使用者。［2］(P2-14)黨的十九屆四中全會明確提出，“要建立健全運用互聯網、大數據、人工智能等技術手段進行行政管理的制度規則”①，個人信息的規范利用必然是其應有之義。令人欣喜的是，《中華人民共和國民法典》（以下簡稱《民法典》）就個人信息的內涵、使用方式、生命周期等作了詳細規定，個人信息所蘊含的價值及其權利（權益）屬性獲得私法之確認。因此，當下的緊迫任務是如何在《民法典》的框架下探究個人信息在智慧治理過程中的利用方式與限度，完善公共領域個人信息保護的法律體系，實現個人信息安全與政府治理高效運行之間的平衡。

一、個人信息在智慧治理中的風險

政府作為個人信息最大的擁有者和使用者，存儲了海量的個人信息［3］(P103-107)，智慧治理即是通過收集、整合大量個人信息形成結構化數據，利用深度學習、數據挖掘等人工智能技術構建算法模型，實現智能化決策、優化公共服務?！睹穹ǖ洹穼€人信息處理作了較為詳盡的規定，其將個人信息的處理分為收集、存儲、使用、加工、傳輸、提供、公開等。②依據《民法典》關于個人信息處理的分類，結合智慧治理過程中對個人信息利用的實踐現狀，筆者認為個人信息在被政府收集利用過程中可能存在如下風險。

（一）信息收集：過度或違規收集個人信息

目前，我國各地關于政府對個人信息收集的內容、采集方式仍在探索之中。在《民法典》個人信息保護的框架下，政府收集個人信息過程中可能給個人造成以下風險。其一，過度收集個人信息?！睹穹ǖ洹奉C布前，行政機關對個人信息收集并無細致規定，智慧政務平臺、政務APP超范圍收集個人信息時有發生。本文寫作過程中，筆者登錄某公安局智慧警務平臺，即被要求“允許使用你的地理位置”，這已明顯超出必要的收集限度。此外，不同政府的智慧政務平臺辦理相同事務收集的信息范圍卻不盡一致，如公積金查詢服務，浙江省比河北省的智慧政務平臺多出人臉識別的要求，相較之下，浙江省智慧政務平臺難免存在過度收集個人信息之嫌。其二，違規收集個人信息。政府智能收集個人信息行為可能存在有意或無意的違規，以廣受稱贊的“天網工程”③為例，該工程通過星羅棋布的視頻監控設備，對特定區域進行實時監控和記錄，為我國公共安全構筑起重要防線。誠然，愈發密集的“天眼”確能有效識別犯罪嫌疑人，維護社會穩定，但也近乎完整地覆蓋監控范圍內其他公民的行為和狀態。在未經廣泛的公眾參與、未出臺配套細則及救濟機制的情況下，貿然展開大范圍的視頻監控聯網建設，其對公民個人信息甚至隱私可能產生的影響讓人不寒而栗。［4］(P31-46)

（二）信息加工：違法分類標注個人信息或過度關聯挖掘

信息加工是對原始信息進行去偽存真、由此及彼的二次信息活動過程。政府機關基于公共服務、社會管理的職能，積累了大量的個人信息，但這些原始信息無法為計算機所理解和應用。直言之，只有經適當加工的個人信息才能用于智慧治理中的預測、風險評估或提供決策依據。個人信息的加工主要利用數據挖掘技術對個人信息數據進行清洗、分類、標注等轉化為結構化數據，再經聚類、回歸等算法進一步挖掘形成更具價值的個人信息數據庫。

人工智能時代，政府對個人信息的加工流程愈發復雜化、自動化，導致個人信息安全風險也愈發突出且隱蔽，從信息加工的過程來看，這些風險主要表現在如下方面。

其一，個人信息的違法標注。個人信息加工需人工或機器進行分類標注，但實踐中為實現某些行政目的，行政機關甚至采用違法的分類標注方式。如2011年深圳舉行第26屆世界大學生運動會期間，深圳警方利用大數據技術對8萬名“高危人員”予以標注并將其清出深圳，其分類標簽毫無法律依據，如：“沒有正當職業，生活規律異常或經濟來源可疑的人員”，“有犯罪前科，且無正當職業及合法經濟來源”，等等。［5］違法標注的個人信息因缺乏代表性并存在數據偏見，據此訓練的人工智能算法必將產生算法歧視和偏見［6］（P82-90），進一步放大智慧治理的技術風險。此外，由于個人信息載體的多樣性（如文字、圖片、視頻等）及技術的局限性，導致對個人信息的錯誤標注時有發生。如泉州市某公安局個人信息系統因新老身份證號碼更替原因，錯誤地將某犯罪分子的行為標注在其他人名下。④其二，個人信息過度關聯聚類。數據挖掘的一項重要功能即在于發現不同信息之間的關聯性，但人工智能算法通過回歸、聚類等方法挖掘出不同個人信息之間的關聯關系是一種概率體現，而非實際的因果關系。個人信息在智慧治理中最重要的價值體現在于將大量的不同類型的個人信息關聯、整合在一起用于預測、評估甚至自動化決策。政府通過整合關聯個人信息能有效地優化政務流程，提升服務效率，但實踐中也存在某些以關聯性取代因果判斷的行為，并據此對個人信息主體采取不當限制。

（三）信息使用：濫用個人信息

政府對個人信息的使用范圍和使用方法在人工智能時代愈發廣泛和多樣，其在社會風險治理、政策制定等領域都發揮了重要作用。在享受大數據和人工智能帶來的便利的同時，我們還應注意到，行政機關作為個人信息使用者時，監督機構的缺位極易引發個人信息濫用的風險。例如，2014年江蘇睢寧縣推出大眾信用體系評級系統，是基于個人信息利用的一種探索，旨在提供一種現代市場服務，營造“一處守信，處處受益；一處失信，處處制約”的社會氛圍。⑤但該信用體系存在將個人行為責任擴大化之可能，當地居民若干“失信”行為將限制其申請國家救濟。［7］此即利用有關個人信息限制公民的基本權利，是一種典型的個人信息濫用。再如，有些地方政府利用職務之便收集“上訪戶”的活動軌跡信息，從而實施“截訪”等行為，這無疑是對個人信息的一種濫用，甚至是違法使用。

（四）信息共享：顯名共享個人信息

信息開放共享是我國一項重大戰略方針，是大數據時代基于政府信息公開制度的時代發展。同時，行政機關基于不同的社會治理目的積累了大量的個人信息并內化為各類政務數據。為實現個人信息公共價值最大化，促進數字經濟發展和社會治理變革，2015年出臺的《促進大數據發展行動綱要》中明確各類政務信息“以共享為原則，不共享為例外”。為此，全國各級政府積極推進信息共享開放并設立政務數據開放平臺。我們可將政務信息共享開放簡單理解為政務信息提供的過程，可以是不同政府部門的內部傳輸流動，也可以是政府機關共享給其他第三方主體，如企業、自然人等。然而，囿于缺乏合理適度的開放共享法律法規和政策體系，行政機關對包含個人信息的政務信息共享尺度把握不準，導致個人信息甚至隱私信息的泄漏。如江西省黎川縣共享的《關于黎川縣2017年度建檔立卡貧困戶名單的公示》文件中，披露了該縣近萬名貧困戶的姓名、身份證號碼等個人信息甚至還包含健康狀況等私密信息。⑥此外，如果各種不同類型的個人信息不經去標識化共享，即可通過整合分析，再現某特定個體的生活全景，將各自然人變成透明人，形成監控社會。［4］(P103-107)

大數據、人工智能技術在政務活動中的廣泛應用，使公共領域利用個人信息的方式、空間發生巨變，并在不同的處理環節衍生出不同的安全風險。此外，新型技術的加入，還將加劇傳統模式下政府機關侵害個人信息的風險。如政府信息公開過程中的個人隱私侵犯，因網絡傳播的即時性和廣泛性將無限放大個人隱私權益侵害的影響面。人工智能時代對于個人信息的保護早已不再著眼于限制個人信息的收集和利用，防止個人信息濫用及造成財產和隱私等損害方是重中之重。［8］(P53-61)因此，個人信息在公共領域的利用，尤其是智慧治理場景中的利用亟待出臺相關制度予以規制。

二、個人信息在智慧治理中法律保護的現狀與不足

隨著信息技術的發展，人們對個人信息利用的多樣化，導致對個人信息的保護也顯得愈發迫切。早在21世紀初個人信息保護就已引起學界的廣泛關注，多位學者就個人信息保護相繼提出了相關立法建議稿。⑦時至今日，個人信息保護法仍在制定當中。實踐中人們時常通過援引政府信息公開相關條款對政府不當利用個人信息予以規制。［9］(P51-55)但人工智能時代，政府對個人信息的利用早已超越信息公開的使用目的。因此，仔細梳理現有的政府利用、保護個人信息的法律法規，發現其中的不足之處就顯得尤為必要。

（一）政府處理個人信息的制度依據

如前所述，政府作為個人信息的最大存儲者和使用者，相應地，其對個人信息的侵權風險也最大，對個人信息保護的責任也最大。通過檢索現有法律法規體系，目前有50部法律、60多部行政法規及數百部部門規章對個人信息的利用和保護作出或多或少的規定⑧，但其中政府的角色多為監督者和管理者。具體至公共領域，個人信息的利用和保護則鮮有涉及，而更高級的利用——基于數據挖掘的個人信息聚合利用——規制則近乎“真空”狀態。

在公共領域，政府處理個人信息的相關法律法規較為稀少，個人信息利用的相關制度十分零散，個人信息的使用范圍、使用方式、責任主體、責任內容等都不甚明確。筆者通過梳理在全國范圍內統一施行的法律、法規、規章，發現政府處理個人信息的制度依據［10］(P134-140)如表1所示。

表1 公共領域政府處理個人信息的制度依據

2013年以前，立法機關對個人信息內涵的理解較為局限，集中在傳統的姓名、住址、電話號碼等，政府機關對個人信息的處理也主要集中在公共管理過程中的行政登記、公開等。隨著信息技術的發展，個人信息的公共價值愈發凸顯，其內容范圍逐漸得到擴展，處理方式也逐漸變得復雜，因而《網絡安全法》《民法典》等對個人信息的內涵和處理過程作了較為明確的規定。個人信息主體權益內容在立法上仍處于探索階段，目前仍以人身性權利為主要規制邏輯，其中知情權⑨是個人信息處理過程中信息主體最基本的權利，在多部法律法規中均有體現。此外，《民法典》首次完整地提出個人信息主體的決定權，即賦予其查詢、復制、更正、刪除的權利。

（二）對政府利用個人信息法律規制存在的不足

隨著《民法典》的出臺，我國個人信息的法律保護在刑事、民事、行政等諸多部門法中得到體現，并逐漸體系化。但縱觀現行法律法規，其仍存在明顯短板，即強調信息主體對個人信息的控制，而對信息處理的具體過程關注不足，尤其是政府部門對個人信息的使用規范問題，立法上更是處于基本空白的狀態。具體而言，在《民法典》框架下，現行法律法規對政府處理個人信息實現智慧治理的規制存在如下不足。

1.重視個人信息大數據賦能政府治理，忽視個人信息智能化處理的風險。基于數據的決策模式正逐漸推動政府治理向人工智能精準治理的范式轉變，公民個人信息等數據成為政府治理社會、提供公共服務的重要資源。為此，我國出臺了多部法規、規章及政策文件等鼓勵或引導利用大數據、人工智能等技術推動智慧治理平臺建設。例如，2018年國家衛健委為促進“互聯網+醫療健康”發展，發揮健康醫療大數據作用，制定了《國家健康醫療大數據標準、安全和服務管理辦法》，國內多地政府也紛紛出臺了類似涵蓋個人信息的大數據管理辦法，如《赤壁市政務大數據管理辦法》《四川省健康醫療大數據應用管理辦法（試行）》等。

涵蓋個人信息的大數據正加速改變政府治理模式，而對個人信息處理的過程和方式也正由人工處理演變為計算機處理并逐漸向智能化處理過渡。但人工智能對個人信息的智能化處理較之傳統的信息處理方式，將帶來諸多新的潛在威脅。例如，數據挖掘技術使個人信息利用的廣度和深度被無限放大，這意味著政府機關等個人信息處理者可以利用深度學習等算法推斷、預測、披露之前個人信息主體并未同意提供的個人信息甚至是個人隱私。有實驗證明，利用種族、宗教信仰、父母婚姻狀況等個人信息，人們便可極為準確地推測其性取向。［11］實踐中，美國曾有選民通過系統分析個人是否全國步槍協會成員和計劃生育支持者，預測用戶的選舉傾向。［12］(P108-117)政府智能化處理個人信息，將對個人信息（隱私）帶來極大的安全隱患。同時，政府作為個人信息的最大持有者，導致這種隱憂還將進一步加深。如上所述，現行法律體系對個人信息、大數據等立法取向傾向于促進和利用，而對個人信息利用的法律規范則極少提及，且十分零散地分布在不同的法律、法規之中，導致難以應對人工智能技術對個人信息處理帶來的風險。

2.強調個人信息處理結果保護，忽視處理過程的風險。梳理現行有關公共部門處理個人信息的法律體系，其主要對個人信息處理的結果予以規制，即強調政府部門應妥善保管（保密）合法公開收集到的個人信息，對行政機關收集、加工、使用、傳輸等其他個人信息的處理過程規制不足。如《統計法》規定統計機構及工作人員對在統計工作中知悉的個人信息應當予以保密；再如，《政府信息公開條例》中規定：“政府信息中涉及商業機密、個人隱私，公開會對第三方合法權益造成損害的，行政機關不得公開?！雹庠谝酝男姓顒又?，個人信息的收集多是基于行政記錄統計的結果，加上行政機關對個人信息處理能力的不足，因而政府部門處理個人信息的法律規制集中于對結果的規制也是順理成章。但隨著芯片技術發展帶來的算力飛速提升，個人信息的價值在大數據、人工智能等技術的加持下被無限放大，已在精準扶貧、公共管理等領域發揮了重要作用。智慧治理情景下，個人信息不僅僅是政府日常行政管理過程中的“副產品”，還將是政府部門重要的決策依據。但另一方面，在依法治國的前提下，智慧治理同時仍須是依法治理，政府部門在利用個人信息優化公共管理、提升公共服務的全部過程須在法治的框架內進行。易言之，智慧治理場景中對個人信息收集利用的全部過程應于法有據，即法律對個人信息的保護不僅局限于對結果的保護，還應對個人信息的收集、加工、使用、共享等過程予以規范。但現行法律體系對此極為欠缺，亟待完善。

3.側重對責任主體的處罰，忽視信息主體權益救濟。如前所述，現行法主要側重政府部門對個人信息利用及利用結果的法律保護，具體表現為政府部門及其工作人員對收集的個人信息應妥善保管并保密，如有發生泄漏或不當公開應承擔相應責任。遍閱現行法中政府部門泄漏個人信息之責任承擔，多表現為對違法行政機關及工作人員以罰款、拘留等處罰，情節嚴重的甚至還將面臨刑事處罰。?但個人信息主體作為真正的受害人，其個人信息權益的損害卻無從救濟。個人信息的權益屬性在學界一直存有很大爭議，有學者認為個人信息屬于民事權益中的人格權，也有學者認為個人信息還具有財產屬性。?《民法典》對此予以明確，即公民個人信息權益屬于人格權益，而非財產權益。［13］(P1-18)因此，根據《國家賠償法》的有關規定，行政機關對侵犯公民合法權益造成的損害應予以賠償，而對人格權部分的賠償范圍一般限于對生命健康、人身自由等人格權益及其造成的精神損害。?可見，個人信息權益不在《國家賠償法》的賠償范圍之內，在智慧治理場景下行政機關對個人信息權益造成的損害救濟將面臨無法可依的困境。

給予個人信息法律保護的討論由來已久，但在智慧治理具體應用場景中的法律保護卻近乎空白?？v覽現行個人信息保護的法律體系，從立法取向來看，現行法律多傾向于強調利用個人信息賦能政府治理，實現智慧治理，較少關注政府機關如何規范利用個人信息；從立法內容來看，現行法多傾向于結果保護及相應的行政責任，而較少關注個人信息處理的過程規范和個人信息主體損害之救濟。值得慶幸的是，《民法典》的出臺為個人信息保護在智慧治理場景下提供了方向性指引。

三、《民法典》對公共部門利用個人信息的價值

現代法治核心在于規范公權，保障私權。一般認為，規范公權是公法的主要任務，而保障私權則由私法來實現。但實際上，私法通過確認和保護私權，并成為依法行政的基本遵循。各級國家機關在履行行政職責、實施行政行為時須明確行政活動的范圍與界限，不得侵犯公民享有的合法民事權益，包括人身權利和財產權利。?因此，從這個意義上來講，《民法典》作為私權領域的基礎性、綜合性法律，明確了公民個人信息受法律保護，具有規范、平衡和指引政府處理與利用個人信息的重要意義。

（一）個人信息權益的私法確認

《民法典》出臺前，我國個人信息法律保護以公法保護為基調，即主要通過《網絡安全法》為主線，借鑒歐盟與美國的有關立法經驗，構建起我國個人信息法律保護的基本框架。［14］(P3-23)但以《網絡安全法》為框架的公法個人信息保護體系所規范的可能侵害個人信息權益的主體是“網絡服務者”“經營者”等，行政機關在其中扮演的是監管者、監督者，而非個人信息處理者。令人欣慰的是，《民法典》通過對個人信息權益的調整對象、權益邊界等予以私權確認，填補了這一漏洞。

《民法典》將自然人的個人信息有關權益法定化，并為個人信息的保護提供了基本原則和規則。具體至個人信息智慧治理應用場景下，首先，《民法典》將個人信息處理者的范圍擴大至“任何組織和個人”，政府作為個人信息處理者之一也將受到《民法典》的調整；其次，《民法典》明確個人信息的判斷標準——可識別性，且可識別性不僅包括身份信息還適用于活動信息，如行蹤信息、健康信息等，從而擴展了個人信息的保護范圍，這也回應了人工智能時代個人信息保護的新訴求；最后，《民法典》還確定了個人信息處理的基本原則，《民法典》在承接了《網絡安全法》第41條的基礎上，增加了“不得過度處理”的原則?，這對個人信息的處理提出了進一步要求，給予個人信息以全生命周期的保護。

事實上，個人信息保護的最終目的是維護自然人的合法權益，即便公法對個人信息保護的相關規定是出于維護公共利益的目的，其根本目標也無法偏離保護自然人的人身財產權益［15］(P26-43)，無論是行政法對個人信息利用的規制還是刑法對侵害個人信息的處罰，其目的都是為了保護個人信息這一民事權益。因此，《民法典》通過賦予自然人個人信息相應的民事權益，可以為公法對任何組織、個人收集、存儲、使用、加工、傳輸、提供、公開個人信息等行為規制，奠定民事權益上的正當性基礎和民事基本法的依據。

（二）平衡個人信息的利用與保護

從個人信息保護的角度來看，無論是行政機關還是商業機構，只要掌握個人信息，均存在濫用或侵犯個人權利之可能。［16］(P39-40)因此，有不少觀點提出個人信息的保護不僅需要對商業企業予以規制，還需要限制行政機關。?但事實上，任何國家或地區對個人信息的保護都不是簡單限制使用，還必須平衡多種利益，其中最為核心的莫過于個人信息利用與個人信息保護的平衡。從比較法的視角觀察，日本《個人信息保護法》第1條就明確指出，“在充分顧及個人信息有用性的同時對個人信息的權利利益加以保護”；我國臺灣地區的“個人資料保護法”在開篇即明確指出，立法目的在于“規范個人資料之搜集、處理及利用，以避免人格權受侵害，并促進個人數據之合理利用”。?

為有效協調個人信息保護與合理利用，《民法典》 通過確認個人信息權益性質及其保護規則的同時，還規定了完善的個人信息使用制度，從而實現個人信息的利用和保護之間的平衡。就個人信息的使用制度觀察，《民法典》在“知情同意”的框架下，另辟例外原則，平衡個人信息的利用與保護。其一，維護公共利益，如國家安全、公共衛生等公共利益；其二，保護民事權益，如保護自然人的生命健康、財產安全等重要民事權益；其三，合法公開的個人信息，可在法律范圍內自由使用。?易言之，《民法典》為實現智慧治理提供了完善的制度環境，政府機關基于公共利益或保護民事權利等目的，可以合理收集、處理、存儲、共享、公開相關的個人信息，從而加快推進“互聯網+政務服務”的部署。

（三）注重事前預防與事后救濟相結合

人工智能時代到來之前，行政機關是個人信息收集的主要主體，收集方式也大多由自然人主動填寫提交，行政機關等主體對收集后的個人信息以紙媒或是電子存檔，不僅信息收集的效率、范圍有限，且受限于羸弱的算力、算法，行政機關對個人信息的利用十分有限，多數個人信息僅具統計意義。對自然人個人信息價值挖掘能力的欠缺使個人信息法律保護多為事后救濟，強調行政機關及其工作人員收集、處理自然人個人信息過程中的保密與安全保管責任。

人工智能、大數據、物聯網等技術賦予個人信息以空前的價值，但也從不同方面對個人信息的保護提出了挑戰。在步入人工智能時代后，個人信息處理者收集、存儲和利用海量的個人信息，個人信息權益一旦受到侵害，不僅受害人數量極為龐大，且對受害人的損害結果往往具有不可逆性，這就需要強化個人信息保護的事前預防功能。有鑒于此，《民法典》高度重視對個人信息保護的事前預防與事后救濟的結合。一方面，《民法典》對個人信息收集、存儲、使用、加工、傳輸、提供、公開等行為予以規制，從源頭控制違法收集、使用等行為，發揮損害預防功能；另一方面，《民法典》在人格權編一般規定與侵權責任編對侵害個人信息的損害結果給出了詳盡的事后救濟路徑，實現個人信息保護的事前預防與事后救濟的結合。因此，在《民法典》視域下，政府部門既要在收集處理個人信息的過程中遵守相關法律、法規和技術標準，并采取必要的技術措施確保個人信息安全，還應對其違法行為承擔相應的責任。

綜上，《民法典》的出臺對個人信息保護具有重要意義，其不僅規制一般民事主體處理個人信息，同樣還規范指引行政機關合法、合理利用個人信息。習近平總書記強調，各級政府要以保證《民法典》有效實施為重要抓手推進法治政府建設。［17］(P4-9)作為國家行政機關在人工智能時代的治理模式，智慧治理應把《民法典》作為其處理個人信息的標尺，秉持以人民為中心的原則，充分認識和尊重民事主體的各項權利。

四、《民法典》視域下智慧治理中個人信息保護路徑

《民法典》在我國立法歷史中具有里程碑式的意義，確定了一系列具體民事權利，其中，人格權得到系統確認與保護并將個人信息保護獨立成章是我國《民法典》的最大亮點。［18］(P3-13)一般認為民法調整的是平等主體之間的人身和財產關系，但我國《民法典》對個人信息保護的相關規定對規范公共領域的個人信息利用也具有重要價值。無論是正在制定的《個人信息保護法》《數據安全法》等法律法規，還是既有個人信息保護法律法規的解釋適用，都應充分尊重和保護自然人的個人信息，做好與《民法典》的銜接過渡，實現公共領域的個人信息保護與利用。相較于商業領域，學界對公共領域個人信息的保護與利用的研究屈指可數，多數研究集中于一般私主體在人工智能時代利用個人信息的規制必要性與制度建構，對政府機關利用個人信息實現智慧治理過程中所扮演角色的探討鳳毛麟角。但國內的研究也意識到政府不能肆意收集和利用個人信息，個人信息法律保護的發展始終伴隨著對政府權力的限制。［1］(P38-59)在《民法典》的規范指引下，筆者認為，我國公共領域個人信息保護與利用，應從構建合理使用的規則體系與權益救濟體系等方面予以完善，推動法律制度的立改廢釋和公法、私法融合。

（一）制定公共領域“合理使用”規則體系

《民法典》在確認個人信息權益的同時，也高度重視個人信息的利用與保護，通過構建自然人與信息處理者之間的權利義務框架，合理平衡了個人信息與維護公共利益之間的關系。?顯然，立法機關也注意到對公、私部門利用個人信息的限制應該有所不同。通常公共部門處理個人信息是為了更好地實現國家治理、社會管理和公共服務，《民法典》也賦予其“合理使用”的相關權限，但僅保留了相關原則性規定，且配套制度并不完備。概言之，為確保個人信息在公共領域的合理使用，實現智慧治理，我們在個人信息保護的制度體系中需回應個人信息使用的目的與范圍、個人信息使用的具體內容、個人信息的使用方式等。

首先，明確個人信息在公共領域合理使用的范圍，即個人信息的使用場域。為充分發揮個人信息的社會治理價值，《民法典》明確指出，“為維護公共利益或者該自然人合法權益”，可以合理實施信息處理行為而不承擔民事責任?！睹穹ǖ洹?為個人信息的合理使用與實現智慧治理創造了接口，但何為公共利益、何為合理信息處理行為均需進一步細化。筆者認為，正在制定的《個人信息保護法》可借鑒《土地管理法》的立法技術?，可就“維護公共利益”做列舉性說明，如公共衛生防控、技術偵查等，從而明確個人信息利用的邏輯前提。

其次，明確不同使用場景中個人信息的使用內容。區分不同類型的個人信息以確定利用和保護程度，是各國個人信息法律保護的一般路徑，我國法律也不例外?！睹穹ǖ洹穼€人信息區分為一般個人信息與私密信息，并將私密信息歸入隱私權予以保護，但私密信息如何利用和保護并未有明確答案。此前，張新寶提出，將個人信息區分為個人敏感隱私信息與一般個人信息，并強化對個人敏感信息的保護，對個人敏感信息的處理一般被禁止，而公務機關執行法定職務是例外。［1］(P38-59)筆者認為，對政府處理個人信息行為僅此限制不免失之過寬，如何賦權行政機關處理何種類型個人信息，仍需進一步細化。正在制定的《個人信息保護法》可通過列舉行政機關在不同使用場景中使用何種類型個人信息，從而明確區分私密信息與一般個人信息。此外，對私密信息的利用應當獲得狹義法律的授權；而對個人一般信息的利用，可以允許法規作為授權依據。［2］(P2-14)

最后，明確行政機關利用個人信息的方式。行政機關利用個人信息實現智慧治理的方式可總結為三種：一是行政機關利用海量個人信息，整合、建模，用于完善社會治理能力或是輔助其他行政決策；二是利用個人信息主體的各類行為數據描繪其“數據畫像”（profiling），進而執行某項行政決策，如行政審批；三是利用個人信息主體的直接識別信息（姓名、身份證號等）或間接識別信息（健康信息、行蹤軌跡等），識別特定對象身份，如識別犯罪嫌疑人等。不同的利用方式所帶來的個人信息權益風險等級并不一致，對其利用方式的限制也應有所區別。對于第一種利用方式，行政機關在不識別特定信息主體身份的前提下，利用海量個人信息建模分析，評估預測社會安全、配置社會資源等，從而提升社會治理水平。該利用方式下，個人信息權益安全風險表現為信息處理者泄漏或是篡改個人信息。對此，《民法典》明確“信息處理者不得泄露或者篡改其收集、存儲的個人信息，但是經過加工無法識別特定個人且不能復原的除外”?。對于利用不特定多數人的個人信息優化公共服務的方式，應盡可能地去標識化（匿名化）處理。事實上，政府實現上述功能也確實無須識別特定個體身份。第二種利用方式，即通過描繪自然人的數據畫像，提供個性化服務，但實踐中行政機關卻利用數據畫像給予信息主體不當限制與歧視，用關聯性替代因果關系。因此，對于該利用方式應審慎應用，謹防為實現某行政目的，濫用用戶數據畫像。第三種利用方式多基于維護公共安全，政府利用直接或間接識別信息識別個體身份，但卻極易對個人權利產生巨大威脅，行政機關極易利用信息技術將普通個體完全置于監控體系之下。因此利用個人信息識別個體身份應被界定為技術偵查，僅在觸犯特定罪名時方可使用。［2］(P2-14)綜上，行政機關利用個人信息實現智慧治理應結合不同應用場景，明確具體的利用方式，實現《民法典》中關于個人信息的利用與保護的平衡。

（二）明確公共信息處理者“安全保障”與“合理使用”的雙重責任

《民法典》在人格權編與侵權責任編對個人信息主體的權利、信息處理者的義務進行了一定界分，但在智慧治理的場域下，個人信息侵權的救濟需進一步明確作為信息處理者的政府機關之責任。

在人工智能時代，行政機關在智慧治理場景下的法律責任應分為“技術性”責任與“應用性”責任。一方面，智慧治理的實現有賴于處理海量個人信息的軟件和提供算力、載體的硬件系統，但系統漏洞、黑客攻擊等不確定因素也“如影隨形”，威脅著系統中海量個人信息的安全。此外，即便是目前較為成熟的人工智能技術（如語音識別、圖像標注等技術）仍存有小概率錯誤可能，導致個人信息混淆、丟失等風險。由此，行政機關作為信息處理者“應當采取技術措施和其他必要措施，確保其收集、存儲的個人信息安全，防止信息泄露、篡改、丟失”?，如獨立硬盤冗余陣列（RAID10）、CPU冗余設計、雙機熱備份等。只有明確了政府的數據安全保障義務與責任，才可以有效保障數據安全［19］(P3-12)，此即行政機關及其工作人員在安全保障方面的技術性責任。另一方面，行政機關利用人工智能技術處理個人信息在實現智慧治理的同時，還可能有意或無意超目的或超范圍地利用個人信息實施如前所述的“截訪”等非法行為。人工智能技術本身并無善惡之分，也不具備責任能力。但行政機關以“非法目的”處理或使用個人信息必無“合理使用”之可能。［20］（P85-92）易言之，行政機關應在合理使用的規制體系內利用個人信息，對于不合理使用個人信息的行為對信息主體造成的歧視或不當限制，應承擔相應的應用性責任。

當前，我國《民法典》對信息處理者的技術性責任與應用性責任均作出了原則性規定，并強調了有關行政機關及其工作人員對于履職過程中獲取的個人信息和隱私的保密義務。?《民法典》作為典型的私法，對行政機關及其工作人員的規制稍顯不足，且相對寬泛。因此，正在制定的《個人信息保護法》等個人信息保護立法，應在《民法典》的框架下，結合智慧治理的具體使用場景予以細化，明確行政機關及其工作人員安全保障的技術性責任與合理使用的應用性責任。事實上，人工智能時代，公共領域個人信息利用的風險主要集中在個人信息的不合理使用情形之下，而確保個人信息安全等技術性責任已形成較為完備的規定，故應著重完善個人信息不合理使用的責任體系，引導規范行政機關對個人信息的合理使用。

（三）完善個人信息主體的損害賠償制度

無救濟則無權利，僅明確行政機關利用個人信息目的與范圍、個人信息使用的具體內容、個人信息的利用方式及責任形態等尚顯不足。個人信息保護的制度體系中，我們還需完善個人信息權益侵害的救濟制度，實現個人信息保護的完整閉環。如前所述，現行法對行政機關利用個人信息著重關注對個人信息的安全保障，并課以相應的行政責任甚至刑事責任，《民法典》對此也作進一步強調。但《民法典》將個人信息的相關權益定位成人格權益而無法適用現行《國家賠償法》的有關規定。實踐中，囿于國家機關泄漏、濫用個人信息，造成有關信息主體人身或財產損失的案例屢見不鮮，但信息主體作為真正的受害人，其個人信息權益的損害卻無從救濟。

對此，立法者與學界也給予了足夠的關注，如《個人信息保護法（草案）》2017年版中指出：“國家機關違反本法規定，給信息主體造成人身或財產上的損失的，應依照本法的規定承擔損害賠償等民事責任；本法無規定的，依照《中華人民共和國國家賠償法》的規定承擔民事責任。”?筆者認為，將民事責任引入政府的侵權責任之中，并承認行政機關侵害個人信息責任的競合是一種有效的保護路徑。一方面，正在制定的《個人信息保護法》應明確國家機關對個人信息侵權的民事責任、行政責任及刑事責任，實現與《民法典》第999條等條款之銜接；另一方面，也可以通過完善《國家賠償法》對個人信息侵害的賠償規則，完善賠償范圍和標準，從而適應人工智能時代智慧治理中個人信息侵權的新樣態。需要強調的是，在智慧治理場景中，個人信息的主要風險更集中于行政機關對個人信息的濫用，造成對相關信息主體的歧視與不當限制等精神損害。因此，在修改完善《國家賠償法》的一般人格權賠償范圍時，我們應重點配套完善精神損害賠償規則，除“賠禮道歉、消除影響或者恢復名譽”等法定義務外，侵權人對被侵權人還應承擔精神損害賠償責任。

五、結語

基于數據的智慧政府正逐漸推動政府治理向人工智能精準治理的范式轉變，公民個人信息等數據成為智慧政府治理社會、公共服務的重要資源。然而，智慧治理并不僅是新技術在社會治理中的直接應用，更是對社會治理和法治秩序的顛覆和重建。為此，黨的十九屆四中全會也明確提出：“要建立健全運用互聯網、大數據、人工智能等技術手段進行行政管理的制度規則?！?個人信息在社會治理場景中如何被利用便是其中亟待解決的重大課題。《民法典》 針對公民個人信息在人格權編予以專門保護，就個人信息的范圍、個人信息所蘊含的價值及其權利（權益）屬性予以確認，為規范行政機關合理利用個人信息提供指引。通過制定行政機關對個人信息合理使用的規則體系，明確行政機關的技術性責任與應用性責任的雙重責任形態，完善行政機關侵害個人信息主體的損害賠償制度，在制度設計層面實現政府在智慧治理中合理利用個人信息的目的。當然，人工智能技術的迅猛發展決定了智慧治理系統中個人信息分析工具可能隨時突破法律事先預設的界限。為此，智慧治理的創新發展與規制不僅要重視智慧治理的頂層設計，還需加強法律規則在系統開發中的嵌入，以技術手段識別違法收集、使用個人信息的行為，進而實現個人信息的技術保護。

注釋：

①參見《中共中央關于堅持和完善中國特色社會主義制度,推進國家治理體系和治理能力現代化若干重大問題的決定》，新華網，http://www.qstheory.cn/yaowen/2019-11/07/c_1125202003.htm。

②參見《中華人民共和國民法典》第1035條。

③天網工程是中央政法委牽頭，公安部、工信部等相關部委共同發起建設的信息化工程，實現城市治安防控和管理。其主要由GIS地圖、圖像采集、傳輸、控制、顯示和控制軟件等設備組成，對固定區域如交通要道、治安卡口、公共聚集場所、賓館、學校、醫院以及治安復雜場所安裝視頻監控設備進行實時監控和信息記錄，各種類型的視頻監控設備又被稱為“天眼”系統。參見《2000萬攝像頭看著你的天網工程侵犯隱私了嗎？》，中國青年網，https://news.china.com/domesticgd/10000159/20170929/31528539.html。

④參見《身份證漏洞幫了犯罪分子的忙》，中國人大網：http://npc.people.com.cn/n/2013/0821/c14576-22636564.html。

⑤參見《社會信用體系建設調查:是“道德綁架”還是“誠信創新”？》，中國政府網，http://www.gov.cn/xinwen/2014-06/19/content_2703960.htm。

⑥參見《多地政府網站泄露貧困戶個人隱私信息,公示標準有待統一》，光明時評，https://guancha.gmw.cn/2018-04/29/content_28558983.htm。

⑦如齊愛民、周漢華、張新寶等學者先后分別提出不同版本的個人信息保護法的建議稿。參見：齊愛民《中華人民共和國個人信息保護法學者建議稿》（《河北法學》2019年第1期)，周漢華《中華人民共和國個人信息保護法(專家建議稿)及立法研究報告》（法律出版社,2006年版），張新寶、葛鑫《個人信息保護法(專家建議稿)》，https://civillaw.com.cn/gg/t/?id=36127#。

⑧本文通過無訟法律數據庫以“個人信息”“個人隱私”等為關鍵詞進行全文檢索統計，具體結果如表1所示。

⑨通說認為，個人信息知情權是個人信息主體權利制度中的一項基本制度,盡管有明文規定的法律文件較少,但多數涉及個人信息處理的相關法律法規或多或少地均蘊含了知情權的權利內涵。

⑩參見：《中華人民共和國統計法》第9條，《中華人民共和國政府信息公開條例》第15條。

?參見：《中華人民共和國個人身份證法》第19條，《統計執法監督檢查辦法》第46條，《食品藥品監督管理統計管理辦法》第25條，《刑法修正案(九)》第17條第2項，等等。

?關于個人信息的權益屬性，存在“人格權”“財產權”等多種不同認識。參見：王利明《論個人信息權的法律保護——以個人信息權與隱私權的界分為中心》（《現代法學》2013年第4期），楊立新《個人信息:法益抑或民事權利——對〈民法總則〉第111條規定的‘個人信息’之解讀》（《法學論壇》2018年第1期），程嘯《民法典編纂視野下的個人信息保護》（《中國法學》2019年第4期)，劉德良《個人信息的財產權保護》（《法學研究》2007年第3期），龍衛球《數據新型財產權構建及其體系研究》（《政法論壇》2017年第4期）。

?參見《中華人民共和國國家賠償法》第2、3、35條。

?參見王利明《〈民法典〉為治理現代化提供有力的制度保障》,光明網，https://theory.gmw.cn/2020-07/07/content_33963626.htm。

?《民法典》就個人信息的處理范圍、判斷標準、處理原則等作出基礎性規定。參見《中華人民共和國民法典》第111、1034、1035條。

?如張新寶認為,政府不能無節制地肆意收集和利用個人信息,個人信息法律保護制度的發展始終伴隨著對政府權力的限制;王利明也指出,個人信息是一項受法律保護的利益,它不僅需要得到其他民事主體的尊重,也需要國家公權力機構予以尊重。參見：張新寶《從隱私到個人信息:利益再衡量的理論與制度安排》（《中國法學》2015年第3期），王利明《論個人信息權的法律保護——以個人信息權與隱私權的界分為中心》（《現代法學》2013年第4期）。

?參見：《日本個人信息保護法》 第1條，中國法學網，http://www.iolaw.org.cn/showNews.aspx?id=12426；《臺灣個人資料保護法》第1條。

?參見《中華人民共和國民法典》第1036條。

?參見王晨《關于〈中華人民共和國民法典(草案)〉的說明——2020年5月22日在第十三屆全國人民代表大會第三次會議上》,中國人大網，http://www.npc.gov.cn/npc/c30834/202005/50c0b507ad32464aba87c2ea65bea00d.shtml。

?《憲法》和原《土地管理法》都規定,為公共利益的需要,可以依法對土地實行征收并給予補償,但何為公共利益一直沒有明確界定。新的《土地管理法》創造性地對土地征收的“公共利益”進行了明確界定,列舉了為公共利益可以依法征收集體土地的6種情形。參見《中華人民共和國土地管理法》第45條。

?參見《中華人民共和國民法典》第1038條第1款。

?參見《中華人民共和國民法典》第1038條第2款。

?參見《中華人民共和國民法典》第999、1038、1039條。

?參見齊愛民《中華人民共和國個人信息保護法學者建議稿》（《河北法學》2019年第1期）。

?參見《中共中央關于堅持和完善中國特色社會主義制度,推進國家治理體系和治理能力現代化若干重大問題的決定》，新華網，http://www.xinhuanet.com/politics/2019-11/05/c_1125195941.htm。