國家機關處理個人信息的特殊風險及其法律規制

孫清白

一、問題的提出：國家機關處理個人信息的特殊風險

2017年，《經濟學人》雜志宣稱：“世界上最有價值的資源不再是石油，而是數據。”(1)Regulating the Internet Giants: The World’s Most Valuable Resource Is No Longer Oil, but Data, Economist(May 6, 2017), http://www.economist.com/news/leaders/21721656-data-economy-demands-new-approach-antitrust-mles-wordds-most-valuable-resource，最后訪問日期：2021-10-15。個人信息作為一種重要的數據類型，在國家治理領域發揮著不可替代的作用。據統計，各級政府部門掌握了我國80%以上的數據資源(2)《李克強：信息數據“深藏閨中”是極大浪費》，中國政府網，http://www.gov.cn/xinwen/2016-05/13/content_5073036.htm，最后訪問日期：2021-10-15。，其中就包含大量個人信息。隨著電子政務和智慧治理的興起，國家機關履行職責的過程中時刻面臨著個人信息的處理。近年來，國家機關不當處理個人信息的報道頻頻見諸媒體。如安徽省銅陵市政府信息公開網公示某社區40對孕前優生健康檢查夫妻的姓名，并完整呈現其中77人的身份證號；合肥市長豐縣羅塘鄉政府在網上發布的低保金資金發放花名冊中公開居民姓名、家庭住址、一卡通賬號和聯系號碼等；景德鎮市人社局官網上發布的大學生創業補貼人員花名冊中，14名創業大學生的學號、身份證號、手機號碼等被公之于眾(3)王煜：《部分政府官方網站現個人信息泄露 專家稱將損害政府信用》，騰訊網，https://news.qq.com/a/20171114/001544.htm，最后訪問日期：2021-10-15。；海南省也被曝出在財政惠民補貼、“三支一扶”崗位招募信息公示等活動中泄露公民完整的身份信息(4)楊藍:《政府官網公示泄露個人信息 提升保護意識是關鍵》, 人民網，http://yuqing.people.com.cn/n1/2019/1231/c429781-31529948.html，最后訪問日期：2021-10-15；蒲曉磊：《多地公示信息簡單粗暴：公民個人信息被政府部門泄露》，閩南網，http://www.mnw.cn/news/consumer/1889794.html，最后訪問日期：2021-10-15。。除不當公開公民個人信息外，國家機關違法收集個人信息、不同職能部門之間隨意共享個人信息、對特殊人員(上訪戶、刑滿釋放人員等)的個人信息進行不當標注等都是飽受質疑的個人信息處理行為。在前信息時代，國家機關不當處理個人信息造成的損害相對有限，但隨著信息時代的到來，國家機關運用互聯網、大數據、云計算、人工智能等技術輔助國家治理已成為常態，個人信息處理的效能得到了提升，與之相伴的風險也成倍增加。由于職責履行的特殊性，國家機關處理個人信息的過程中會給個人權益和社會公眾利益帶來特殊風險，主要有如下表現：

(一)豁免同意帶來的個人信息處理失控風險

取得當事人同意是個人信息處理最重要的合法性基礎。在公權力行使領域，基于保密、決策和管理的需要，國家機關常常未經信息主體的同意即處理其個人信息，也不告知信息主體其個人信息被處理的事實。比如，一些地方政府發文要求下屬單位統計中青年“未娶媳婦”人數，并要求有具體數據和案例作為支撐，其中就涉及大量未經同意的敏感個人信息處理(5)賈淑瑞、張奇：《一縣委發文統計光棍人數，農村青年娶媳婦有多難？》，網易網，https://www.163.com/dy/article/GK89VIV90514R9OJ.html，最后訪問日期：2021-10-15。；個別地區的國家機關未經當事人同意且在拒絕告知相關情況的基礎上，擅自將公民個人信息列入動遷信息(6)張恒：《迷霧重重！上海男子沒房且已租房多年，竟被安排參與了動遷協議？》，騰訊網，https://new.qq.com/omn/20210925/20210925A0C14500.html，最后訪問日期：2021-10-15。；甚至有個別地方政府打著疫情防控的旗號曝光外地返鄉人員住址信息和行蹤信息(7)參見邱越、袁勃《疫情精細化防控須注重對隱私權的保護》，人民網，http://yuqing.people.com.cn/n1/2020/0228/c209043-31609857.html，最后訪問日期：2021-10-15。。這些未經同意的個人信息處理行為，都在不同程度上侵害了當事人的合法權益。另有一些未經同意的個人信息處理行為，雖看似沒有直接造成個人合法權益的侵害，但實質上加劇了人與人之間的社會分化，引發社會歧視。例如，蘇州通過收集普通民眾日常生活中的個人信息形成“蘇城文明碼”，將市民行為的“文明度”與市民在工作、生活、學習和娛樂等方面享受到的公共服務相掛鉤，導致公民在日常生活中留存的海量個人信息成為差異化社會治理的重要因素。這是“數據治理時代的一種滑坡效應”，將服務于人的治理工具變成“管人治人”的管控工具(8)郭春鎮：《對“數據治理”的治理——從“文明碼”治理現象談起》，《法律科學(西北政法大學學報)》2021年第1期。。

在《個人信息保護法(草案)》的審議階段，一審稿、二審稿中的第35條均明確，國家機關為履行法定職責處理個人信息，應當向個人告知并取得其同意；法律、行政法規規定應當保密，或者告知、取得同意將妨礙國家機關履行法定職責的除外。但最終通過的《個人信息保護法》第35條僅規定國家機關為履行法定職責處理個人信息，應當履行告知義務，同意的要求被刪除。基于國家治理的需要，國家機關處理個人信息無需同意的制度設計是必要的，因為個人同意會一定程度上破壞國家機關公共職能的行使(9)參見王利明、丁曉東《論〈個人信息保護法〉的亮點、特色與適用》,《法學家》2021年第6期。，但由于國家機關處理個人信息的封閉性，豁免同意的后果是國家機關與社會公眾之間存在明顯的信息不對稱，公眾無法判斷并知曉風險發生的時間以及危害后果，更難以第一時間知悉其個人合法權益受侵害的事實。在未經個人同意、個人也無從知曉其個人信息被處理的事實且無法行使其個人信息權利的情況下，國家機關處理個人信息是否會無所顧忌，是否會帶來個人信息處理失控的風險是值得認真審視的。

(二)寬泛授權所導致的個人信息處理泛化風險

面對日趨復雜的社會分工和多樣化的社會生活，國家機關需要處理的個人信息類型和數量都在急劇膨脹。由于在人員、時間和技術等方面受到一些限制，國家機關常需授權其他主體代為處理個人信息，這本無可厚非，但有些情況下國家機關授權處理個人信息的方式很不規范，授權內容也不明確，甚至對一些未經授權處理個人信息的行為采取默許態度。例如，根據《傳染病防治法》和《突發公共衛生事件應急條例》等相關規定，有權收集、報告疫情信息的主體包括疾病預防控制機構、衛生行政主管部門和其他有關部門、醫療衛生機構，街道、鄉鎮以及居民委員會、村民委員會予以協助。實踐中，除法律明確規定的組織可因疫情防控需要處理個人信息外，一些不具有相應職責權限的用人單位、公共場所、住宅小區、村民小組乃至個人都承擔起收集個人信息的職責。其中，為數眾多的主體只在疫情防控部門的默許下承擔了個人信息處理職責，卻并沒有在事實上獲得相應授權。即便經過授權的主體，由于疫情防控的特殊背景，也大多是通過口頭告知、電話告知、即時通信軟件通知或公告的方式獲得相應的授權，授權處理的內容和處理的方式都未充分明確，屬典型的不規范授權。

隨著政務信息化程度的加深，國家機關與第三方平臺的合作越來越緊密，與之相伴的風險也愈發顯現。對于生物信息、通信信息、軌跡信息等敏感個人信息，國家機關除通過自有渠道收集外，更多地需要依托以商業平臺為代表的第三方主體。而大規模的數據存儲和分析，也要借助商業平臺的存儲空間和分析技術。國家機關與商業平臺的合作是否受到嚴格規制一直為社會所關注，比如商業平臺收集公民個人信息是否經過國家機關授權，如何規范國家機關與商業平臺之間雙向的信息共享，國家機關存儲于商業平臺的個人信息是否安全等(10)參見貝金欣、謝澍《司法機關調取互聯網企業數據之利益衡量與類型化路徑》，《國家檢察官學院學報》2020年第6期。。但這方面的法律規制較為欠缺，以至于一些與國家機關存在密切合作關系的商業平臺打著國家機關的旗號，超越國家機關所授權的范圍處理個人信息。以偵查機關利用大數據平臺偵查犯罪為例，我國刑事訴訟法僅有個別條文涉及個人信息處理，缺少關于個人信息處理的權限、程序、條件、對象等基本規范，導致刑事司法實踐中偵查機關處理個人信息只是得到了事實上的寬泛授權(11)顏飛、劉文琦：《刑事司法中應避免侵害個人信息權益》，《檢察日報》2021年9月15日，第3版；高磊：《網絡時代數據隱私的搜查干預——從滴滴順風車司機搶劫、強奸、殺人案切入》，《安徽大學學報(哲學社會科學版)》2019年第3期。。這種事實上的寬泛授權傳導到大數據平臺，導致大數據平臺基于配合偵查潛在犯罪的考慮廣泛收集個人信息，甚至有些商業平臺在滿足國家機關職權履行需要之余，為了商業化的目的處理個人信息。由此可見，寬泛授權的存在會使個人信息權益被侵害的風險大大增加。

(三)過度處理帶來的個人信息監控風險

基于國家治理的需要，國家機關常通過各種方式處理個人信息。相較于商業機構，國家機關對公民個人信息的處理影響面更廣、覆蓋面更大，對于公民切身權益造成的侵害更為直接，也更容易打著公共利益的旗號侵害公民個人信息權益。國家機關在數據處理中能夠形成“公共數據權力”，這種權力直接關聯社會資源和公共服務的分配。如果國家機關處理個人信息的行為沒有受到足夠的約束與限制，大規模處理個人信息的行為會使個人應享有的合法權益面臨嚴重威脅。盡管國家機關收集到的多數個人信息確實用于相關執法、監管和風險控制，但在收集過程中難免會有一些個人信息與法定職責履行無關。此種情況下，如何處置收集到的“無關”信息是值得考慮的問題。例如，為維護國家安全和社會治安，以國安、公安為代表的國家機關需要對可疑對象進行監控，監控得到的與違法犯罪無關的個人信息或他人信息是應當繼續保留還是應當直接刪除？再如，基于社會調查、行政管理、統計分析等需要收集的大量個人信息被用于為社會提供公共服務，這是否有超越履行法定職責所必要的范圍和限度的嫌疑？

越來越多的事實表明，在過于重視通過個人信息大數據賦能政府治理的當下，國家機關處理個人信息的風險以及對個人信息權益應有的保護常常被忽視(12)方志偉、王建文：《個人信息在智慧治理中的風險與保護——以〈民法典〉個人信息保護為中心》，《江西社會科學》2021年第5期；劉艷紅：《大數據時代審判體系和審判能力現代化的理論基礎與實踐展開》，《安徽大學學報(哲學社會科學版)》2019年第3期。。為了社會公益，帶有海量個人信息的各類數據日益成為國家機關監控的重要對象，公眾個人信息受到侵害的風險正以前所未有的速度被放大。雖然大數據驅動的社會治理有諸多優勢，但同時也會帶來遭受民眾抵制的社會風險(13)參見程雷《大數據背景下的秘密監控與公民個人信息保護》，《法學論壇》2021年第3期。。國家機關對公民個人信息的大數據分析加劇了公眾在數據監控下的不安，利用超強技術手段攫取數據令每個人的隱私形同透明。國家機關收集、儲存、分析和使用個人信息的“度”如果掌握不好，就有過度監控并導致“監控國家”出現的可能(14)參見馬長山《智能互聯網時代的法律變革》，《法學研究》2018年第4期。。

(四)安全保障不足所引發的信息泄露風險

現代大數據技術背景下，國家機關普遍開展個人信息的處理工作，涉及個人信息的收集、存儲、使用、傳輸等多個環節。隨著電子政務的普及，各級各類國家機關都建有相應的數據庫和數據處理平臺，公民的個人信息無時無刻不被以各種形式處理，任何環節的安全保障疏忽都會導致個人信息泄露，從而給當事人的人身和財產安全帶來巨大威脅。

可以預見的是，在社會治理領域，信息化手段的嵌入將會逐漸加深。《中共中央關于制定國民經濟和社會發展第十四個五年規劃和二○三五年遠景目標的建議》提出，要“加強數字社會、數字政府建設，提升公共服務、社會治理等數字化智能化水平”，“擴大基礎公共信息數據有序開放，建設國家數據統一共享開放平臺”。近年來，各地、各級政府部門正在加快部署與實施國家數字化戰略，強化各類數據、信息在公共服務、社會治理中的應用，加快推進數據共享。在個人信息共享實踐中，既有某一國家機關與其他國家機關的信息共享，也有國家機關與商業平臺的信息互聯，還有國家機關內部的信息傳輸。個人信息作為重要的政務數據常在不同主體之間流轉，在這一過程中會因數據發送方和數據接收方安全保障措施不健全，導致數據保護舉措不統一、數據流向不可控、數據流失難追蹤等一系列安全問題。在經濟欠發達地區以及基層組織，受到各種因素制約，個人信息傳輸時有采取非電子化的方式(如移動介質拷貝、紙質傳遞)，數據安全性更難得到應有保障。由于一些國家機關對數據安全性的保護程度達不到應有水平，流轉于國家機關數據庫之間的個人信息很容易被網絡黑客盜取。考慮到當前我國所有的官方數據庫或者半官方數據庫(如通信、醫療、交通、金融系統等)都使用統一的身份驗證系統(主要是姓名、人臉、身份證號和手機號)，一旦這些重要的個人信息大范圍泄露，將會使個人隱私和財產安全暴露在巨大的危險之中。

二、國家機關處理個人信息特殊風險的規范缺失

國家機關作為公權力的行使主體，是國家人格在國家治理領域的具體呈現，其履行職責的行為具有權威性，國家機關本應對個人信息處理起到表率作用。然而，實踐中，國家機關在履行職權的過程中并未對個人信息的保護予以足夠的重視。這既有部分國家機關及其工作人員法治觀念沒跟上的原因，也有法律規范不足的因素。面對國家機關處理個人信息的特殊風險，我國立法機關已關注到國家機關處理個人信息需要受到特別的法律規制，并在《個人信息保護法》《數據安全法》《民法典》《網絡安全法》《關鍵信息基礎設施保護條例》等法律、法規中予以相應的制度回應，但現有立法過于簡略，對于一些重要問題存在明顯的規范缺失，并沒能很好地應對國家機關處理個人信息所涉及的各種特殊風險。

作為我國立法層面的最新成果，也是規制國家機關處理個人信息最直接的法律依據，《個人信息保護法》第二章第三節(第33條至第37條)專門就國家機關處理個人信息做了特別規定。其中，第33條屬于注意規定，該條明確國家機關處理個人信息適用《個人信息保護法》以及第二章第三節的特別規定。第34條規定國家機關處理個人信息所應遵循的基本準則，即國家機關應當依照法律、行政法規規定的權限和程序處理個人信息，不得超出履行法定職責所必需的范圍和限度。第35條則是有關處理個人信息的告知規定，依據該條，國家機關為履行法定職責處理個人信息需要履行告知義務，但依法應當保密、不需要告知或者告知將妨礙國家機關履行法定職責的除外。第36條要求國家機關處理的個人信息應在我國境內存儲，涉及跨境傳輸須經安全評估。第37條是擬制規定，該條將具有管理公共事務職能的組織為履行法定職責處理個人信息納入國家機關處理個人信息的特別規范中。從上述規定可以看出，《個人信息保護法》對于國家機關處理個人信息真正具有實質規范意義的只有第34條、第35條和第36條，這三條也只是明確了國家機關處理個人信息需要遵守一定的權限、程序和職責范圍，并對告知義務以及個人信息的跨境傳輸要求做了原則性規定，但并未展開具體的制度構建。

除《個人信息保護法》外，對國家機關處理個人信息最具規范意義的立法是《數據安全法》。《數據安全法》第四章“數據安全保護義務”和第五章“政務數據安全與開放”涉及對國家機關處理數據的特別規制。考慮到個人信息也是數據的重要類型，故《數據安全法》自當適用于國家機關對個人信息的處理。該法第35條規定公安機關、國家安全機關因依法維護國家安全或者偵查犯罪的需要調取數據，應當經過嚴格的批準手續，依法進行。第38條與《個人信息保護法》的規定基本相同，要求國家機關為履行法定職責處理個人信息應當在履行法定職責的范圍內，依照法律、行政法規規定的條件和程序進行，并對個人信息依法予以保密。第39條則明確國家機關應當建立健全數據安全管理制度，落實數據安全保護責任。第40條要求國家機關委托他人處理數據應當經過嚴格的批準程序，并應當監督受托方履行相應的數據安全保護義務。總體而言，《數據安全法》對國家機關處理包含個人信息在內的各種數據的規制邏輯與《個人信息保護法》有相同之處，如明確個人信息處理的目的是基于法定職責的履行、要求個人信息處理依法定條件和程序進行并予以保密。但《數據安全法》還對國家機關的數據安全管理以及委托第三方處理數據做了規定，這是《個人信息保護法》針對國家機關處理個人信息的行為規制所不能覆蓋的。

在《個人信息保護法》《數據安全法》之外，我國《民法典》《網絡安全法》《關鍵信息基礎設施保護條例》等法律、法規還對國家機關處理個人信息的保密義務做了規定。依據《民法典》第1039條、《網絡安全法》第45條和《關鍵信息基礎設施保護條例》第30條，國家機關、承擔行政職能的法定機構及其工作人員對于履行職責過程中知悉個人信息，應當予以保密，不得泄露、出售或者向他人非法提供。這些規定顯然也只能夠滿足社會公眾對國家機關處理個人信息最低層次的保密期待，能夠化解的風險十分有限。

由以上梳理可見，《個人信息保護法》和《數據安全法》搭建了國家機關處理個人信息法律規范的基本框架，而《民法典》《網絡安全法》《關鍵信息基礎設施保護條例》等法律、法規則強化了國家機關處理個人信息的保密規定。總的來看，現有立法只有個別條文涉及國家機關處理個人信息所面臨的特殊風險的法律規制，且多為原則性或宣示性的規定，并沒有具體到可操作層面。即便是《個人信息保護法》和《數據安全法》中針對國家機關處理個人信息具有實質性約束的法律規范也較為簡略。比如，超越職責范圍和限度處理個人信息如何處置，《個人信息保護法》沒有給出答案；國家機關處理個人信息所應當告知的內容、告知的方式和告知的時間節點，《個人信息保護法》也沒有規定；國家機關數據安全管理制度的主要內容、數據安全保護責任的內涵，《數據安全法》并沒有揭示；國家機關委托他人處理數據的批準程序、國家機關對受托方履行數據安全保護義務的監督，《數據安全法》也只是一筆帶過。可見，對于豁免同意的情況下如何避免個人信息處理的失控、如何規范國家機關對個人信息處理的授權、如何制約國家機關對個人信息的過度監控、如何強化國家機關處理個人信息的安全等問題，現有立法尚無法做出有效回應。此外，考慮到國家機關處理個人信息的行為本質上也屬于行政行為或至少屬于行政行為的組成部分，按照行政法有關行政行為規范的基本邏輯，對于國家機關處理個人信息行為的法律規制應當從實體規范和程序規范兩個方面展開。然而現有立法主要是從實體性規范的角度規制國家機關對個人信息的處理，程序性規制的色彩過于淡薄，這毫無疑問也是現有立法所存在的巨大缺漏。簡言之，《個人信息保護法》《數據安全法》《民法典》等法律、法規對國家機關處理個人信息所涉及的特殊問題既缺乏足夠多的有實際約束力的實體性規范設計，也忽視了本應可以發揮重要作用的程序性規范設計，相對籠統的法律規則很難全面覆蓋到國家機關處理個人信息的特殊風險，未能對國家機關處理個人信息形成充分的規范指引，也無法有效制約國家機關處理公民個人信息的行為。因此，我國現有立法總體呈現出明顯的制度供給不足，無法有效應對國家機關處理個人信息實踐中存在的各種問題。

三、國家機關處理個人信息的法律規制策略

在個人信息日漸成為國家治理中的重要資源，政府的宏觀決策、社會管理、公共服務都離不開對個人信息充分利用的當下，國家機關在履行法定職責的過程中對個人信息予以充分保護也同樣重要。如果國家治理過于重視對個人信息的利用，特別是從個人利益服從于國家利益、私人權益讓位于公共利益的角度看待個人信息處理問題，就會難以避免地損害到社會公眾的合法權益，導致社會公眾陷入對政府的不信任，采取消極態度對待國家機關對其個人信息的處理，從而不利于國家機關職權的履行。因此，要兼顧國家機關職權的履行和對個人合法權益的保護(15)參見高富平《個人信息保護:從個人控制到社會控制》，《法學研究》2018年第3期。。同時，由于信息時代“數字化行政方式”的普及，公權力的行使越來越多地通過數字化的方式實現(16)展鵬賀：《數字化行政方式的權力正當性檢視》，《中國法學》2021年第3期。，國家機關在法定職責履行的過程中不再像前信息時代那樣處理小規模、單一化的個人信息，而是借助互聯網、大數據、計算機和算法等通過自動化決策的方式處理大規模、多樣化的個人信息。只有全方位規范國家機關處理公民個人信息的行為，才能有效降低國家機關職責履行全過程中個人信息處理所面臨的風險。

(一)細化國家機關處理個人信息的告知義務

國家機關對個人信息的處理繞過了當事人的同意，除非國家機關主動告知，當事人對于被處理個人信息的類型、處理目的、處理方式、處理環境是否安全等問題都不知情，很難對國家機關處理其個人信息的行為進行事前控制。這就導致當事人無法監督國家機關對其個人信息的處理，也無法及時對違法處理其個人信息的行為提出異議。國家機關基于履行法定職責的需要可以使未經同意的個人信息處理合法化，但并不意味著當事人不享有知情權。依據《個人信息保護法》第18條和第35條的規定，除有法律、行政法規規定應當保密或者不需要告知的情形，或者告知將妨礙國家機關履行法定職責的情形外，國家機關為履行法定職責處理個人信息，應當依法履行告知義務。令人感到遺憾的是，《個人信息保護法》雖規定了國家機關的告知義務，但卻并未明確國家機關應當何時告知、告知的內容以及告知的方式。為使當事人能夠在知情的基礎上形成對國家機關的有效監督，在“同意權”喪失的情況下，立法應盡可能保障個人的“知情權”，明確國家機關履行告知義務的時間節點、告知方式和告知內容，特別是限縮不予告知的情形。

在告知內容方面，國家機關除履行一般意義上的告知義務外，還應告知處理個人信息的法律依據，基于履行何種法定職責處理個人信息，處理個人信息的種類、方式、范圍和內容，處理個人信息的法律意義，處理個人信息可能引發的法律效果(法律后果)以及當事人享有的權利和救濟途徑。對于涉及人數眾多或不特定多數人的個人信息處理，國家機關還應通過網絡、媒體或者其他便于接收的渠道向社會公告有關大規模處理個人信息的事實。在告知時間節點方面，國家機關應在開始處理個人信息之前履行告知義務，以便當事人及時提出異議；原有告知內容發生變更的，國家機關應當及時補充告知。在告知方式方面，鑒于國家機關對個人信息的處理可能直接關涉個人基本權益，告知必須是可以留痕的書面形式(17)鄭曦：《刑事訴訟個人信息保護論綱》，《當代法學》2021年第2期。。在緊急狀況下，國家機關可以口頭告知，但事后必須補充書面告知文件。

此外，由于《個人信息保護法》在確認國家機關須履行告知義務的基礎上，還規定了三類無須告知的情形，為避免國家機關對無須告知的任意解釋，立法應當對三類無須告知的情形予以進一步明確。申言之，對于“依法應當保密”這一無須告知的情形，重點在于明確“法”的范圍。考慮到部門立法和地方立法都有可能為了部門或地方利益大開個人信息處理的方便之門，弱化對個人知情權的保護，故“依法應當保密”所依據的“法”應當限于法律和行政法規。另外，“不需要告知”以及“告知將妨礙國家機關履行法定職責”這兩種情形的規定都較為模糊，需要通過列舉或類型化界定的方式進一步明確，以免國家機關選擇性告知或故意不告知，損害個人和社會公眾應有的知情權。

(二)規范國家機關對個人信息處理的授權

由于人員、技術和時間等方面的限制，國家機關授權其他主體處理個人信息的現象廣泛存在，但授權不規范的存在常引發個人信息處理的泛化，超越國家機關授權范圍處理個人信息時有發生。因此，規范國家機關對個人信息處理的授權非常必要，需要授權的情形、被授權主體的資質、授權處理的具體內容都應當有明確法律規定，國家機關如何監督其他主體履行個人信息安全保障義務也需要進一步明確。

其一，需要授權的情形應當法定化。為避免授權的泛化，需要授權的情形應當由法律明確列舉，比如國家機關的技術條件達不到個人信息處理的要求、缺乏專門處理個人信息的人員以及難以承擔大批量、高風險個人信息處理的安全保障措施等。這樣既能避免國家機關逃避職責任意授權，也可以限制國家機關授權的范圍。除法定可以授權個人信息處理的情形外，國家機關不得將個人信息處理職權交由第三方行使。國家機關如發現第三方未經授權打著履行國家機關職權的旗號處理個人信息的，應當及時制止并向個人信息保護主管部門舉報。

其二，被授權主體應滿足相應條件。國家機關原則上須自行承擔個人信息處理職責，只有在因人員、技術等方面受到限制的情況下，才能將個人信息處理委托第三方實施，因而被授權的主體也必須在技術條件、專業人員方面符合相應的條件。立法應強調國家機關必須審慎授權具有相應資質的主體開展個人信息處理工作，以便最大限度保障個人信息安全。至于被授權主體具體應當符合哪些條件，可視國家機關職權履行、處理個人信息的類型、處理方式以及處理場景等的不同，由部門立法或者地方立法作進一步明確。

其三，授權事項應當具體、明確，嚴禁概括授權和轉授權。在概括授權的情形下，國家機關與被授權主體之間沒有明確的職責劃分，被授權主體行使個人信息處理的職權可大可小，容易導致國家機關與被授權的主體之間模糊個人信息處理的權責邊界。特別是在有多個被授權主體且彼此之間權責不明的情況下，個人很難知曉權益侵害發生的具體環節，也很難找到權益救濟的主張對象。因此，國家機關授權處理個人信息的內容必須是具體、明確的。國家機關在授權第三方處理個人信息時，必須明確授權處理個人信息的類型、范圍、數量、期限、處理方式和保護措施等，被授權主體只能在授權的范圍內處理個人信息。此外，鑒于國家機關授權特定主體履行個人信息處理職責是基于對該主體處理能力的認可，故被授權主體只能在授權范圍內自行處理個人信息，不得轉授權其他主體，經國家機關同意的除外。

其四，被授權處理個人信息的主體應履行個人信息安全保護義務。《數據安全法》雖規定國家機關委托他人處理數據的，須對受托方履行數據安全保護義務進行監督，但并未明確監督的方式和具體內容。考慮到被授權方是在國家機關授權之下處理個人信息，監督的具體內容應在于被授權方是否在國家機關授權范圍內處理個人信息、是否按照國家機關的法定工作流程處理個人信息、受托方處理個人信息是否有潛在風險以及是否侵害到他人合法權益等。監督的方式既可以是國家機關對受托人進行定期或不定期的個人信息處理工作檢查，也可以是受托機關定期或根據國家機關的要求提交個人信息處理工作報告。

(三)明確國家機關處理個人信息的比例原則

國家機關在職權履行的過程中總會接觸到大量個人信息，其中有些個人信息的處理是履行職責所必需的，有些則與法定職責的履行無關。實踐中，由于處理尺度掌握不一，國家機關超越職權范圍處理個人信息的現象較為普遍，容易引發公眾對國家機關處理個人信息公信力的質疑。鑒于國家機關處理個人信息從根本上而言是為了社會公益，故國家機關對個人信息的處理理應在公益實現與保障公民合法權益之間找到合適的平衡點，即國家機關所采取的個人信息處理措施給公民權益造成的影響、限制甚至損害應當與該方法所追求的目的合乎比例。比例原則的本質是對基于公共利益需要而處理公民個人信息的國家權力進行限制，將國家機關因履行職責需要對個人信息的處理控制在一定范圍與限度之內，避免過度處理個人信息，引發個人信息監控和泄露的社會風險(18)參見劉玫、陳雨楠《從沖突到融入：刑事偵查中公民個人信息保護的規則建構》，《法治研究》2021年第5期。。

比例原則包含目的正當性和手段必要性兩方面內涵。“目的正當性”要求國家機關對公民個人信息的處理必須是為了履行法定職責，不得基于其他目的，尤其是牟取利益的目的。雖然有人認為我國立法對于目的限制原則的規定非常寬松，從實踐來看，個人信息處理也不太可能完全符合初始目的，因而不能苛求目的范圍的最小化，應當容留一些彈性空間(19)梁澤宇：《個人信息保護中目的限制原則的解釋與適用》，《比較法研究》2018年第5期。。但在公權力行使領域，為限制國家機關對個人信息的過度處理，目的限定應當得到嚴格的貫徹。換言之，國家機關收集個人信息只能是基于履行職責的需要，后續個人信息處理也只能以滿足職責履行的需要為限。“目的正當性”可以有三項判定標準：其一，目的合法，即國家機關對個人信息的處理必須公平且依法進行，不得以非法目的處理個人信息；其二，目的特定，處理個人信息的目的應當在不遲于收集個人信息之前確定下來，而且在履行法定職責的范圍內，不得隨意變更個人信息的處理目的(20)See Alan F.Westin, Privacy and Freedom, New York: Atheneum, 1967, p.387.；其三，目的明確，處理個人信息的目的應當特定化，以確保國家機關和信息主體都能夠對該目的具有一致理解(21)See Tal Z.Zarsky, Incompatible: The GDPR in the Age of Big Data, Seton Hall Law Review, vol.47, no.4, 2017, p.1006.。

“手段必要性”要求在有多種處理方式可供選擇時，國家機關應以所欲實現的社會治理價值為基礎，合理地權衡社會公共利益與少數群體利益、個人利益，選取對公民個人信息權益造成影響最小的方式進行，確保處理個人信息的手段和方法均保持在合理的限度范圍內。為減少處理過程中個人信息的丟失和錯漏，在個人信息處理各環節，國家機關都應保障個人信息的完整性和準確性。當事人確有證據證明其被處理的個人信息存在瑕疵、缺漏或錯誤的，可以要求更正、補全或刪除，以確保其權益不受侵害。在個人信息被更正或補全以前，國家機關應當暫停對其個人信息的處理，以避免產生不可挽回的損害后果。同時，國家機關處理個人信息是為了履行法定職責，這就決定了國家機關對個人信息不能無限期留存。除非法律另有規定，國家機關應當在法定職責已履行完畢或個人信息保存的期限已經屆滿時，及時刪除個人信息(22)劉克江:《政府信息公開中個人隱私權保護的制度完善》，《電子知識產權》2018年第11期。。

(四)強化國家機關處理個人信息的安全保障義務

公信力是政府執政之基，維系國家機關和社會公眾之間的信任關系至關重要(23)See Grayson Barber, Personal Information in Government Records: Protecting the Public Interest in Privacy, Saint Louis University Public Law Review, vol.25, no.1, 2006, p.73.。一旦國家機關處理個人信息的安全性無法獲得公眾信任，國家機關處理個人信息的正當性和合法性就會受到動搖。由于個人與處理個人信息的國家機關之間是一種非對稱的權力結構，國家機關處理個人信息帶有一定強制性，因而會對個人形成強烈的壓迫感。個人在應對國家機關對其個人信息的威脅方面是無力的，更多地需要依賴國家機關主動采取保護措施。因此，為矯正個人同國家機關之間的地位失衡，立法應確立國家機關處理個人信息的安全保障義務，要求國家機關主動從技術層面采取措施保障個人信息安全(24)參見郭春鎮《數字化時代個人信息的分配正義》，《華東政法大學學報》2021年第3期。。申言之，國家機關處理個人信息的安全保障義務包含三個部分：保密義務、記錄義務以及風險評估義務。

其一，國家機關處理個人信息必須承擔嚴格的保密義務，以防止個人信息泄露。無論《民法典》《個人信息保護法》《數據安全法》《網絡安全法》還是其他相關法律、法規，都將嚴格保密作為國家機關處理個人信息所應承擔的重要義務，但卻沒有闡明保密義務的具體要求。本文認為，國家機關處理個人信息所應承擔的保密義務包含對內保密和對外保密兩方面的要求。對內保密要求國家機關內部設置個人信息處理專員負責個人信息處理事宜，以便將個人信息的知情范圍控制在最小限度內。在處理個人信息前，專員應告知國家機關有關個人信息處理所應當遵循的法規和政策并提供建議。在處理個人信息階段，只能由專員依據法律規定的職權和流程處理個人信息。國家機關應當確保個人信息處理專員的相對獨立性，不干擾其履行相關職責。個人信息處理專員承擔其他職責的，不能與個人信息保護職責存在利益沖突。對外保密要求國家機關不得隨意向第三方泄露個人信息，更不得將個人信息用于非法交易。只有出于履行職責的需要，國家機關才能向第三方傳輸、共享或公開個人信息，所傳輸、共享或公開的個人信息也應以履行職責的必要為限。對于屬于政府信息公開范圍內的個人信息，除非法律、法規有明確規定或經過當事人同意，不得公開完整的個人信息，需要公開的個人信息必須進行適當去識別化處理，包括采用分割處理、匿名化或模糊化等措施(如身份證號、手機號等可以隱去若干數字，住址不精確到門牌號)，以便消除個人的身份標識。一旦發生個人信息泄露時，國家機關既要及時向個人信息主管部門報告，以便盡快采取補救措施，減輕損害后果，又要及時告知當事人，使其能夠了解因信息泄露可能給其人身或財產造成的損失，做好應對準備或尋求保護(25)參見鄭曦《刑事訴訟個人信息保護論綱》，《當代法學》2021年第2期。。

其二，國家機關處理個人信息須承擔記錄義務，確保處理個人信息的全過程留痕。以日志形式記錄個人信息處理的全過程，能夠及時跟蹤個人信息的處理，并為日后審查處理行為的合法性以及違法處理下的責任追究提供證據。記錄的內容包括處理者的姓名(名稱)和權限，處理目的，處理個人信息的種類、數量，處理的方式以及時間等(26)參見王忠《大數據時代個人數據隱私規制》，北京：社會科學文獻出版社，2014年，第180～182頁。。對于復雜的個人信息處理活動，國家機關還應及時生成處理簡報，形成對處理活動的動態監測。為推動個人信息記錄制度的規范化運行，立法可要求國家機關建立個人信息管理平臺，管理平臺作為開展個人信息處理各項活動的載體，須全程記錄國家機關處理個人信息的過程并進行動態監測。在有違法處理個人信息或造成個人合法權益損害的情況發生時，個人信息監管部門可以通過平臺追蹤并溯源。平臺還應設置信息查詢功能，與國家機關處理個人信息相關的當事人可以登錄平臺，查詢被處理的個人信息相關情況，以保障個人的知情權和監督權。對于個人信息存在錯漏的，當事人可以通過平臺要求改正或補充；對于違法處理個人信息的，當事人有權通過平臺提出異議或舉報。

其三，國家機關處理個人信息應承擔影響評估義務，并根據個人信息風險等級的不同采取相應的保護措施。我國《個人信息保護法》第55條建立了個人信息保護影響評估制度，但未將國家機關處理個人信息納入影響評估范疇，存在疏漏。對個人信息處理活動進行影響評估，是保障個人信息安全的重要手段。國家機關處理個人信息時，應將個人信息影響評估納入個人信息處理的全生命周期中，通過數據分析技術評估處理行為可能給個人帶來的人身以及財產等方面的風險，并根據風險等級的不同采取相應的保護舉措。影響評估的主體應是各級國家機關內設專門負責個人信息風險評估的部門或工作人員。對于無力承擔影響評估或不適合承擔影響評估的國家機關，可以委托第三方機構開展影響評估工作。國家機關個人信息處理影響評估的核心是處理環境的安全性和風險的可控性(27)劉金瑞：《數據安全范式革新及其立法展開》，《環球法律評論》2021年第1期。。評估的重點是個人信息處理行為侵害個人權益之可能性，以及針對不同的風險等級所提出的應對方案的可行性。對于評估出的不同風險，可參照環境影響評價制度，按照相應風險等級編制登記表、報告表和報告書。即個人信息處理對個人信息權益造成很小風險的，應當填報風險登記表；對個人信息權益造成較大風險的，應當編制風險報告表；對個人信息權益造成極大風險的，應當編制風險報告書。對于評估存在較大和極大風險的個人信息處理行為，應當在報告表和報告書里詳細闡明降低風險的舉措以及風險發生后的處置方案。

(五)建立國家機關個人信息處理的分級機制

鑒于個人信息類型多樣、個人信息處理的場景不盡相同，國家機關在不同場景下處理不同類型的個人信息所能引發的后果存在差異。為避免國家機關職權履行和個人利益保護的失衡，不宜對個人信息處理采用“一刀切”的保護模式，而應建立國家機關處理個人信息的分級機制。分級機制的核心是圍繞個人信息類型以及處理場景的不同，區分個人信息的“敏感度”“風險度”和“關聯度”，采取不同的處理方式和保護措施。其中，“敏感度”是指處理特定類型個人信息對人格尊嚴或者人身、財產安全的影響程度；“風險度”是指個人信息處理行為造成個人權益侵害的可能性；“關聯度”是指個人信息與信息主體關聯的緊密程度，即該信息是能夠單獨還是必須與其他信息相結合才能識別特定自然人。個人信息分級保護機制的關鍵在于針對個人信息的“敏感度”“風險度”和“關聯度”，對國家機關處理個人信息的行為進行層級化控制。

其一，區分敏感個人信息與一般個人信息，并根據個人信息的敏感度采取不同的保護強度。依據《個人信息保護法》第28條，敏感個人信息是“一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。”通說認為，個人信息保護強度必須按照處理個人信息敏感程度的高低進行合理配置(28)See Lawrence J.Leigh, Informational Privacy: Constitutional Challenges to the Collection and Dissemination of Personal Information by Government Agencies, Hastings Constitutional Law Quarterly, vol.3, no.1, 1976, pp.251-253.參見邢會強《大數據時代個人金融信息的保護與利用》，《東方法學》2021年第1期；呂炳斌《個人信息保護的“同意”困境及其出路》，《法商研究》2021年第2期。。相較于一般個人信息，敏感個人信息處理更容易給個人人格尊嚴或者人身、財產安全帶來損害風險，因而國家機關對敏感個人信息處理必須滿足更加嚴格的條件，比如更嚴格的審批程序、更高要求的告知義務、更加安全的技術手段以及更為嚴格的保護措施(29)孫清白：《敏感個人信息保護的特殊制度邏輯及其規制策略》，《行政法學研究》2022年第1期。。在不影響個人信息可用性的情況下，還應在處理之前盡可能進行數據脫敏。相應的，考慮到人們允許或者至少不排斥對于一般個人信息的合理利用，且一般個人信息的處理給個人人格尊嚴以及人身、財產安全造成的風險要低于敏感個人信息，因而對于一般個人信息處理及保護的要求可以低于敏感個人信息。

其二，區分收集、存儲、使用、加工、傳輸、提供、公開、刪除等不同處理階段(方式)，對國家機關處理個人信息的行為進行層級控制，要求每個階段的個人信息處理都經過獨立的核準程序。國家機關因履行法定職責處理個人信息雖無需經過當事人同意，但仍需完成內部核準程序。國家機關處理個人信息的每個行為階段都必須得到事前的核準，前一處理階段的正當性并不能順延到后續處理階段。經過核準的個人信息處理必須載明許可處理的方式，不能采取一攬子核準，即僅概括表明允許處理，而不注明允許處理的方式。核準權應由負責處理個人信息的國家機關負責人或專門委員會行使。為避免過度處理個人信息所導致的“監控”風險，核準時必須對個人信息處理的目的、時空范圍、信息類型、數量等進行限定。除核準程序這樣的內部管理外，為形成對國家機關處理個人信息的有力監督，對于大規模的個人信息處理(尤其是針對不特定多數人的個人信息處理)，還必須經個人信息保護主管部門審批后方可實施，確立個人信息處理的內部管理和外部監管并立機制，并由個人信息保護主管部門對國家機關處理個人信息的活動進行定期或不定期審查，以避免產生重大風險。

其三，區分個人信息與人格關聯的緊密程度，對關聯度不同的個人信息保護予以區別對待。個人信息與人格關聯的緊密程度，決定了個人對該信息的關切，也決定了國家機關對該信息應有的保護力度。個人信息與人格關聯度越強，個人就越在意該信息處理的安全性，國家機關也有義務對該信息的處理采取更強的保護力度。對于關聯度低的個人信息，特別是通過技術手段挖掘、整理、分析獲得的群體性信息(如同一居民小區的住址信息)，考慮到此類信息呈現出的只是特定群體的概括性描述信息，一般需要與其他關聯信息(如門牌號、居民的性別、職業等)相結合才具有可識別性，已不具有較強的人格關聯度，國家機關基于職權履行的目的處理此類信息(如公開有傳染病例的某一居民小區)，當事人合法權益因此受到的不利影響或者損害的可能微乎其微，只需要評估為低風險即可自由處理該類人格關聯度較弱的個人信息。而對于人格關聯度強的個人信息，特別是不需要與其他信息結合即能識別特定自然人的信息，由于此類信息一旦泄露會給個人帶來生活安寧以及人身、財產權益上的損害，通常需要經過匿名化、去識別化之后才能由國家機關進行處理。對于一些特殊方式的處理(如存儲、提供、傳輸)，國家機關還應借助加密手段，在專門設置的物理環境中通過專用網絡完成。