“法法銜接”下個人隱私信息豁免公開制度的完善

王雨晨 張碧珂

(上海政法學院 法律學院,上海 201602)

2015年國務院出臺《促進大數據發展行動綱要》,明確了各類政務信息“以共享為原則,不共享為例外”,2019年修訂的《政府信息公開條例》(簡稱《條例》)進一步明確了政府信息公開原則。政府信息公開不僅要考慮第三方是否同意,還涉及相關信息中個人隱私與公共利益之間的平衡。《條例》第十五條被稱為“個人隱私信息公開豁免條款”,該條將個人隱私作為政府信息豁免公開的一項事由,將第三方同意和公共利益作為豁免公開的限制條件。

近年來個人信息保護愈發受到重視,《民法典》人格權編已將個人信息與隱私權并列,《個人信息保護法》(以下簡稱《個保法》)提出個人信息保護的四項原則,但未對個人隱私權和公共利益之間的矛盾問題細化規定,如何把控個人隱私和公共利益的界限值得討論。政府信息公開制度已經施行二十多年,但個人隱私信息公開豁免條款并未轉化為“行動中的法”。實踐中行政機關應公開但以保護當事人隱私為由拒絕公開的情況時有發生,個人隱私信息公開豁免制度不時成為有關單位不履行公開義務的擋箭牌。“去隱私化”現象及頻發的侵犯隱私權案件[1]敦促公眾關注政府信息公開與個人信息利用,信息公開豁免制度亟待完善。本文以信息豁免公開未正確實施為切入點,分析政府信息公開中的個人隱私保護,提出完善個人隱私信息豁免公開制度的建議。

一、信息豁免公開制度未正確實施的情況分析

2021年李云迪事件曝光,公安機關主動公開相關信息引發關于個人隱私保護的廣泛討論;2022年6月,因有關部門在“唐山打人事件”發生后長期對被打女子傷情保持緘默,再次引發輿論熱議。政府主動公開和選擇不公開的案例引發公眾對政府公信力的質疑。國外還存在政府部門售賣公民個人信息的情況,例如英國駕駛員和車輛執照管理局向保險公司及停車場等出售公民姓名、地址等個人信息,2012年凈賺一千多萬英鎊[2]。可以說,政府信息公開中個人隱私信息公開豁免條款近乎“閑置”,已是不爭的事實[3]。分析涉個人隱私政府信息公開豁免制度的實施,通常會出現應豁免公開卻公開、應公開而未公開、內部人員泄露及濫用公民隱私信息四種情況。

(一)應豁免公開卻公開

近年來,政府信息公開涉個人隱私造成公民隱私泄露事件時有發生。相關部門未對信息進行去標識化處理、未依法履行審查義務,暴露了公民信息,侵害了公民隱私權益。例如,某縣農業農村局在政府官網發布的政務信息含有未去標識化的農戶個人信息,損害了他們的隱私利益(1)2021年檢察機關個人信息保護公益訴訟典型案例之五,江西省樂安縣人民檢察院督促規范政府信息公開行政公益訴訟案。2020年5月,江西省樂安縣農業農村局在縣政府官網公布2017年至2019年農機購置補貼情況,內容含有未經去標識化處理的農戶個人信息,侵害了公民個人信息安全。。

(二)應公開而未公開

“唐山某燒烤店打人事件”發生于2022年6月10日,截至6月20日當地官方未公布任何關于受傷女子的消息,輿情集中到為何不公開受害女子近況上,案件已上升為公共輿論事件,有關部門應以妥當方式公開相關信息,而不是放任輿論發酵損害社會公共利益,減損群眾對行政機關執法的滿意度和認可度,降低行政機關的公信力。

(三)內部人員泄露含個人隱私的政府信息

新冠肺炎防控期間,少數工作人員將有關人員的信息對外轉發,導致相關信息迅速擴散,造成惡劣影響(2)2020年度公安部十大侵犯公民個人信息違法犯罪典型案例之九,貴州安順公安查處楊某侵犯涉疫情公民個人信息違法案件。2020年1月,網民舉報有人在微信朋友圈傳播防控人員信息,安順網安部門查明某街道工作人員楊某向好友發送防控人員信息,造成信息在微信平臺迅速擴散。。政府工作人員是收集、整理政府信息的重要力量,是信息第一手接觸者,一旦將含有公民隱私信息的政府信息帶出可控范圍導致信息泄露,將嚴重侵害公民隱私權,影響相關公眾正常生活秩序和安寧。

(四)濫用公民隱私信息

“河南銀行儲戶賦紅碼事件”中共有1 317名儲戶被賦紅碼(3)河南村鎮銀行儲戶被賦紅碼事件。2022年河南部分村鎮銀行出現兌付難,時任鄭州市委政法委常務副書記、市疫情防控指揮部社會管控指導部部長馮某某等人擅自決定對到鄭州線下取錢的儲戶賦紅碼,試圖限制維權儲戶的行動范圍。,該案例反映出的某些政府濫用公民隱私信息現象值得關注。毋庸置疑,濫用公民隱私信息會影響政府公信力,損害公民隱私權益,甚至侵犯公民人身自由。

二、政府信息公開個人隱私豁免存在的問題

在信息公開過程中,行政機關均需在保證信息自由與保障公民個人隱私之間找到平衡點[4]。一方面,隨著信息技術發展行政機關收集信息更加便利,存儲、傳播信息能力更強,各類行政行為因治理需要已深入公眾生活,行政機關掌握了更為全面的公民隱私信息,隱私泄露的威脅前所未有。另一方面,若政府信息公開過度考量公民隱私權保護,將會形成信息孤島,阻礙信息自由流動。政府信息公開出現前述四種情況的原因,不僅在于行政機關對公民隱私保護的法律意識淡薄,更在于缺乏平衡個人隱私權與公眾知情權、監督權等公共利益的體制機制。

(一)對信息公開侵害個人隱私行為的法律責任規定不明確

現有法律涉及個人信息和隱私保護的內容較少。我國《民法典》將個人信息規定在人格權編,明晰了個人信息定義,確定了私密信息適用隱私權。有學者提出,可從社會一般公眾認知和價值理解來衡量哪些個人信息屬于私密信息,在具體案件具體分析后逐一認定[5]。《條例》雖規定行政機關在履行管理職能時,可通過個人隱私豁免公開對公民隱私進行保護,但實則未落實到位。上文四種情形可看出行政機關缺乏公民隱私保護意識,加之立法上并未擬定個人隱私不公開的標準,實踐中無法形成制約。

政府信息公開個人隱私豁免制度旨在“不得公開”涉個人隱私的政府信息,即一般情況下個人隱私權保護優先于政府信息公開,但立法者對該立場的態度并不堅定。2019年修改《條例》時,第十五條但書后的“可以予以公開”被改為“予以公開”,從文義解釋和法條修改意圖看,這一修改應與修改前“可以予以公開”相對應,轉變為“應當予以公開”,否則無修改必要。該修改表明通常情況下政府信息公開對隱私權保護優先于政府信息公開追求的公共利益,僅在不公開涉個人隱私政府信息將對公共利益造成重大影響,基于維護公共利益考量才必須公開該部分信息。然而在《條例》第三十二條申請公開條件的規則中卻未堅持例外情況下“應當予以公開”的立場,規定在第三方逾期未答復和第三方不同意公開情形下,將衡量利益輕重的權力賦予行政機關,即行政機關認為不公開可能對公共利益造成重大影響的“可以決定予以公開”。這與《條例》第十五條但書條款表明的“應當予以公開”態度相悖。這兩個條款有相同邏輯前提,即“行政機關認為不公開可能對公共利益造成重大影響”,卻形成了“予以公開”和“可以決定予以公開”的不同結論[6]。上述松緊不一的規定體現出立法者在例外情形下對隱私權保護和公共利益保護的搖擺態度。舉棋不定的立法趨向必然投射到法律實施效果上,豁免制度無法兼顧個人隱私保護和公共利益保護。

(二)未建立事前利益衡量機制

缺乏平衡個人隱私權與公眾知情權、監督權等公共利益的具體規定,未建立事前利益衡量機制。例外事項的全面列舉與可衡量的個人隱私和公共利益是權衡個人隱私權和公眾知情權的前提,也是豁免制度真正落實的保障。越清楚的例外事項規定,越明確的公共利益公開需求,越可以精準把握信息公開的范圍和邊界[7]。《條例》第十五條將“重大損害”作為衡量公共利益的界限,卻未明晰“重大”標準,這給執法司法者帶來理解困難,信息處理者在處理政府信息時難以把握合適的度,易造成適用偏差。《條例》第二十條羅列了十五項應主動公開的政府信息,第二十一條規定了行政機關可視情況主動公開的事項。上述兩條從側面反映出涉及國民經濟發展、教育、醫療、公共安全等政府信息屬于公共利益,但此宏觀描述仍無法解釋何種“重大”損害將成為豁免公開界限。公共利益具有模糊性和不確定性,將公共利益作為信息公開的考量因素時需明確其界限。《條例》未明確基于公共利益絕對公開事項,在個人隱私與第二十條應公開事項沖突發生時個人隱私與公共利益如何選擇?遺憾的是立法尚未給出解決方案,未明晰何種情形下個人隱私讓渡于公共利益[8],行政機關自由裁量邊界不明。

利益衡量是信息公開與否的關鍵,每一項待公開政府信息是否公開是衡量后的結果[9],僅籠統規定豁免條款而未構建衡量標準,難免使行政機關在適用豁免條款時產生偏差。保障公民知情權、監督權、參與權是政府信息公開制度的意義所在。公民隱私權是《憲法》保護的一項基本權利,《民法典》第一千零三十二條規定自然人享有隱私權,為隱私權民法保護提供了依據。行政機關基于公共管理需要,收集、調取、加工、使用公民個人信息,此類信息轉化為政府信息,其公開同時關涉政府履職和公民個人利益。公開個人隱私政府信息必會減損公民隱私利益,注重隱私權保護也必會減損信息公開的公共利益[5]。因此,是否主動公開涉個人隱私政府信息將演變為個人隱私權與公共利益之間的取舍。正如上文所言,究竟是側重保護個人隱私利益還是側重保護公眾知情權?衡量機制的缺失使公眾隱私權與公共利益均無法得到有效保護。

(三)行政相對人缺乏有效的救濟途徑

個人隱私信息威脅多來源于公權機關[10],但公眾對此類威脅缺乏有效救濟途徑。首先,《條例》第十五條規定行政機關認為“不公開會對公共利益造成重大影響的”“予以公開”,就文意解釋角度看是政府機關權力清單事項,而非責任清單事項。易言之,無法將該條解釋為“行政機關對公共利益造成重大影響的信息有公開的義務”,可見,行政機關對個人隱私與公共利益之間的沖突衡量具有自由裁量權,能決定二者在個案中的位階。由于此條款未能準確成為政府法定職責,社會公眾無法進行法律監督。

其次,缺乏公眾對政府不履行公開行為的法律監督程序。《條例》第四十五條第二款規定公民享有對行政機關主動公開信息的建議權,該權利限于提出建議的權利,公眾無法基于此提起訴訟。《條例》第五十一條賦予行政相對人在認為政府信息公開侵犯個人隱私和合法權益情況下,依法申請行政復議或提起行政訴訟的權利。但對侵害公眾知情權的行政不作為,公眾并不具有提起行政訴訟的資格,也無法申請行政復議。

最后,即便政府違法公開,行政相對人仍無明確法律依據主張損害賠償,在司法實踐中無法獲得支持。例如,某司法局在網站上公開對王某的《行政處罰決定書》時,將其個人信息進行公開,法院認為司法局系如實反映情況,雖對公民個人信息的處理存在不當,但訴訟過程中已對涉案公民身份證號碼及住址在網站上進行了刪除處理,因此駁回王某訴求(4)廣東省江門市江海區人民法院(2016)江海法行初字第23號行政判決書。。

三、個人隱私信息豁免公開制度的完善

我國現行法律已確立隱私權保護制度,《民法典》人格權編在“隱私權和個人信息”一章較為全面地規定了隱私權,同時對公民隱私權與個人信息進行區分保護。但在政府信息公開情境中,相關法律未明確行政機關對個人隱私與公共利益的自由裁量權邊界。在個人隱私和公共利益沖突案件中,表面是行政機關未權衡好二者關系,歸根究底還是立法未對隱私權和公共利益保護作出有效回應,缺乏價值位階判斷機制。基于此,政府信息公開的個人隱私保護可從兩方面完善。

(一)明確個人私密信息不公開原則并列舉例外

有學者提出構建以“信息自決權”為核心的公民個人信息公法保護體系[7],但現有法律已在公法框架下通過政府信息公開豁免制度對個人信息進行保護,于現有豁免制度內完善制度構建,促進公、私法銜接是較為穩妥的選擇。《民法典》不僅要在保障私權領域中發揮作用,還要規范公權力行使[11]。作為基本法,即使是公法領域的《政府信息公開條例》也不能與《民法典》相沖突(5)習近平在《充分認識頒布實施民法典重大意義 依法更好保障人民合法權益》中指出:“對同民法典規定和原則不一致的國家有關規定,要抓緊清理,該修改的修改,該廢止的廢止。”。《民法典》明確任何人均不得侵犯自然人隱私,尤其第一千零三十四條明確自然人個人信息受法律保護,強調個人信息中的私密信息適用隱私權規定。基于此,應首先確定包含個人私密信息的政府信息不公開原則。《條例》第十五條規定行政機關不得公開個人隱私,其“個人隱私”表述過于模糊。根據《民法典》對“隱私”的界定,政府信息公開中的“隱私”更側重強調私密信息,而非空間、活動等[6]。因此需縮小信息公開中的個人隱私范圍,明確個人私密信息豁免,而非個人隱私豁免,避免豁免范圍過大。

考慮到對公眾知情權、監督權的保護,需有限列舉因公共利益公開個人私密信息的例外,在立法層面上直接體現利益衡量。當出現列舉情形時,無需再進行利益衡量,此時個人隱私讓位于公共利益,行政機關無需經過相關權利人同意可直接依法公開相關信息。通過有限列舉能提高政府信息公開效率,避免出現過度授權致使行政機關豁免“一刀切”的情況。由于絕對公開可能侵害個人隱私權,對絕對公開事項的規定需更加謹慎,應單獨列舉,而非概括規定。結合多數國家立法以及《條例》第二十條規定,可將以下幾種情形規定為絕對公開事項:(1)涉及國家安全和社會公共安全的;(2)涉及突發國家公共事件、醫療健康事件的;(3)涉及緊急避險的。若信息公開直接涉及上述三種情況,依據絕對公共利益規定可直接公開相關信息,此時仍需滿足合法、正當、必要、誠信、最小損害原則,盡可能保護個人隱私利益。

(二)建立政府信息公開事前個人隱私評估機制

我國現階段尚未建立信息公開事前風險評估機制。《條例》第二十三至二十六條規定了主動公開政府信息的途徑和時間,未細化具體公開范圍及方式,司法實踐尚未形成統一裁判標準。對涉個人隱私政府信息公開與否、公開范圍多大、如何公開等一系列問題缺乏制度體現。因此,有必要建立政府信息公開事前個人隱私評估機制,在絕對公開情形下,可以適當方式公開個人私密信息。同時要使政府信息中的個人隱私和公共利益可度量化,二者相互比較、衡量,通過統一評估機制判斷是否公開以及如何公開。

國外法律對信息公開制度中個人隱私部分進行了規定。德國《信息自由法》規定信息公開與個人隱私利益沖突的解決原則,聯邦設立隱私保護和信息自由委員會,州設立數據保護專員作為在信息公開中保護個人隱私的專司部門[6]。除了對個人隱私進行評估和專門保護部門外,美國充分利用判例法國家特點,聯邦法院以判例創設“憲法上的隱私權”(constitutional privacy)[12]并將侵犯隱私權程度、公開獲得利益、可替代方案等利益權衡納入司法審查標準[13],通過《隱私權法》與《信息自由法》相互補充,共同搭建涵蓋個人信息保護的政府信息公開制度。

《個保法》第五十一條規定個人信息處理者應當對個人信息實行分類管理。借助《個保法》實施契機引入信息公開分類分級標準,借鑒國外隱私評估立法經驗逐步建立我國個人隱私信息評估機制。第一步是隱私權威脅分析,確定信息是否屬于涉個人隱私信息,明確公開利益相關者,對公開是否具有隱私威脅風險進行評估,確定隱私風險等級。第二步進行全面評估,審查公開內容、公開獲得的公共利益,通過聽證及書面調查相結合的形式審查信息公開目的、收集方式、公眾預期等。第三步進行合法性審查,主要評估信息公開是否符合《民法典》《個保法》及《條例》等信息公開及個人信息、隱私規定,能否主動公開、是否遵循法定職責、是否違反禁止事項等。第四步進行合規評估,對公開范圍、方式及采用的技術手段進行合規評估,是否匿名化或去標識化、需要達到什么標準等。第五步是責任和風險應對評估,圍繞可能發生的隱私風險構建反應機制,實施補救策略,例如控制訪問、限制轉載、下載等,確定最終責任部門。

四、結語

理解《民法典》《個保法》對隱私和個人信息的規定,將個人私密信息引入信息公開豁免制度,同時借鑒個人信息分類分級保護和影響評估,建立信息公開事前個人隱私評估制度,使隱私保護和公共利益保護的利益衡量更加精準。將對民事領域的制度理解轉換到行政法領域中,使政府信息公開中涉個人隱私政府信息得以合規公開和豁免,讓隱私權在公權力中獲得更多保護空間,通過“法法銜接”使《民法典》《個保法》《條例》更好施行。