論大數據時代政府信息公開中的敏感個人信息保護

摘 要： 加強敏感個人信息保護是政府的責任與義務。 政府信息公開中敏感個人信息保護意味著政府機關不僅應履行尊重私人生活、 避免干預個人安寧的消極義務， 還應通過積極保護， 增強個人對抗政府公開敏感個人信息中尊嚴減損的風險。 《個人信息保護法》 主要以私人機構處理個人信息活動為場景， 建構了處理個人信息活動的規制框架。 盡管該法對行政機關與私人機構處理敏感個人信息活動規定了 “一體調整” 模式， 但從公法角度分析， 行政機關處理敏感個人信息的活動具有行政性、 高權性、 強制性等典型的行政行為特征， 除了法律上應對敏感個人范圍作出合理界定以外， 宜加強運用公法的手段與方式予以保護： 即限制性原則適用的具象化， 告知規則的補強以及公法責任追究機制的引入。

關鍵詞： 敏感個人信息; 政府信息公開; “一體調整” 模式

敏感個人信息保護是隨著互聯網、 大數據的發展而產生的新問題。 20 世紀 60 年代末， 隨著計算機和信息系統的陸續普遍使用， 美國與歐洲最早關注到敏感個人信息濫用的問題， 在關于數據保護的法律中開始引入并詳細規定這一概念， 比如美國聯邦制定的 《消費者數據隱私與安全法令》 以及有關州法直接適用 “敏感個人信息”， 歐盟制定的 《一般數據保護條例》 中， 則將其稱為 “特殊類型的個人數據”， 等等。事實上， 因敏感個人信息直接關涉個人尊嚴和人身、 財產安全等重大權益， 為了有針對性建立規則予以更好保護， 將個人信息劃分為一般個人信息和敏感個人信息也確有必要。 為此， 2021 年我國頒行的 《中華人民共和國個人信息保護法》 （以下簡稱《個人信息保護法》 ） 首次明確了 “敏感個人信息” 的法律屬性及其處理規則， 為加強保護提供了較為完備的法律依據。

但政府是個人信息處理的最大平臺， 大量個人信息被政府采集、 處理并公開， 無論是秩序行政、 服務行政還是公共行政， 都越來越依賴對個人信息等數據的處理。而 《個人信息保護法》 卻主要是以規范私人機構處理個人信息活動為對象建立的規制框架， 實踐已反復證明私權模式不足以防范政府對敏感個人信息的侵犯。特別是近些年在政府信息公開活動中， 敏感個人信息屢遭泄露甚至侵犯， 相關保護制度亟待建立完善。 本文擬從敏感個人信息的概念界定出發， 以公法研究的視角 “個人信息受保護權—國家保護義務”， 就政府信息公開中敏感個人信息保護涉及的相關問題作出初步探討。

一、 敏感個人信息： 概念辨析與規范解讀

究竟應當給予敏感個人信息以怎樣的特殊保護， 界定清楚敏感個人信息的內涵與外延至關重要。 學理上， 對于 “敏感個人信息” 的表述學界已有基本共識， 強調該信息是一旦泄露或者非法使用， 容易導致自然人的人格尊嚴受到侵害或者人身、 財產安全受到危害的個人信息。至于具體判斷標準， 遍觀各國立法實踐， 主要形成了以歐盟為代表的 “列舉模式” 和以美國為代表的 “場景模式”， 前者由立法機關主導， 依據敏感度和風險性對敏感個人信息作出歸類并在法律條文中予以盡量明確; 而后者則授予行政機關廣泛的裁量權， 允許其綜合考量處理目的和具體操作情景作出個案判斷。 以實踐效果觀之， 兩種判斷模式各有利弊。我國在借鑒比較法經驗基礎之上， 在《個人信息保護法》 中作出了折中制度安排， 即采取 “概括+列舉” 的方式。

（一） 敏感個人信息的內涵

《個人信息保護法》 首次正式從法律上采用了 “敏感個人信息” 這一概念， 并建立特殊的處理規則予以保護。 而應如何界定 “敏感個人信息” 的范圍， 《個人信息保護法》 第 28 條第 1 款已經明確要求根據個人信息是否關涉人格尊嚴、 人身與財產安全或不滿 14 周歲未成年人進行判斷。

首先是基于對人格尊嚴的保護。 與人格尊嚴緊密相連是敏感個人信息與一般個人信息最明顯的區別之一， 一旦其被泄露或非法使用， 信息主體的人格尊嚴很容易受到損害。 比如， 個人性取向的泄露會造成個人在就學、 就業等社會活動中遭受不平等對待。

其次是基于對人身、 財產安全的保護。 一方面， 涉及人身安全的信息主要是關涉信息主體生命、 健康、 身體安全的信息。 如果這些信息受到侵害， 個人的人身安全很可能也會受到損害， 因此將其定性為敏感個人信息。 比如， 家庭信息一旦被公開， 很可能因親屬關系而遭受打擊報復，使其人身安全面臨重大風險。 另一方面， 財產權是公民所享有的基本權利， 公民的合法財產受到法律保護， 敏感個人信息自然也應包括關涉信息主體財產安全的信息。 比如， 個人貸款情況、 征信記錄以及銀行流水賬單等信息被泄露， 各種電信詐騙將紛至沓來， 嚴重威脅個人的財產安全。

最后， 《個人信息保護法》 還將未滿 14 周歲未成年人的所有信息均納入敏感個人信息的范疇予以特殊保護。 這主要是考慮到未成年人心智還未健全， 個人信息一旦泄露， 很可能被別有用心的人利用來對家長進行威脅或對未成年人直接實施侵害。

（二） 敏感個人信息核心特征是敏感性

依據 《個人信息保護法》 第 28 條第 1 款的規定， 個人一般信息與個人敏感信息的核心區別在于敏感性， 即 “一旦泄露或非法使用， 容易導致自然人的人格尊嚴受到侵害或者人身、 財產安全受到危害的個人信息”。 盡管囿于語言本身的模糊性和不確定性， 學界對于 “敏感” 一詞的意涵存在較大爭議， ①但也達成了一些共識：

一方面， 是否會產生損害結果是個人敏感信息判斷的重要標識。 事實上， 對敏感個人信息予以特殊保護很重要的原因就是基于不當披露會對信息主體造成實質意義的不利。通常情況下， 個人一般信息的披露是不會對個人造成任何負面影響的， 而敏感信息的披露則會對信息主體的利益造成損害， 主要包括財產性損害和非財產性損害。 《個人信息保護法》 第 28 條已經明確損害人格尊嚴和財產安全的個人信息就是敏感信息， 而前者就是典型的非財產性損害。 質言之， 如果沒有損害的發生， 那么與個人相關的信息就不是敏感信息。

另一方面， 是否敏感的判定標準較為主觀， 不同主體的認知是不一樣的。 盡管理論界與實務界作出種種努力， 想就 “敏感” 一詞的內涵作出較為清晰的界定， 但囿于 “敏感” 本身所具有很強的主觀性， 常常與個人的經歷、 經驗和行為有密切關系， ③特別是對于非財產性的損害， 不同個體的認知并不一樣， 甚至還可能出現對立的情形。 比如個人的婚戀情況， 大部分普通人都視其為個人敏感信息， 不愿主動披露; 而對于部分名人而言， 主動披露這類信息卻有助于提升其公眾關注度。 另外從比較法角度而言， 大部分國家在立法條文中都回避了對 “敏感性” 的意涵與特征作出較為明確表述， 而只是通過具體列舉的方式確定哪些個人信息屬于敏感個人信息。 ④因此， 《個人信息保護法》 第 28 條也充分借鑒了國外立法經驗， 具體列舉了敏感個人信息的種類， 包括生物識別、 宗教信仰、 特定身份、 醫療健康、 金融賬戶、 行蹤軌跡等信息， 以及不滿 14 周歲未成年人的個人信息。

（三） 政府信息公開與敏感個人信息保護的關系

隨著 《中華人民共和國民法典》 （以下簡稱 《民法典》 ） 《個人信息保護法》 《中華人民共和國網絡安全法》 （以下簡稱 《網絡安全法》 ） 等相關法律的頒布， 針對敏感個人信息保護的法律制度已經初步建立。 但目前的法律制度主要是圍繞民事主體間的處理個人信息行為展開設計的，事實上， 憑借突飛猛進的數字技術發展， 政府建立了龐大的個人信息數據資源庫， 已經掌握大量個人信息。 若不加以規制， 存在泄露敏感個人信息的風險。

2008 年頒行的 《中華人民共和國政府信息公開條例》 （以下簡稱 《政府信息公開條例》 ） 第5 條規定， “行政機關公開政府信息， 應當堅持以公開為常態， 不公開為例外”。 2024 年 8 月， 中共中央辦公廳、 國務院辦公廳印發 《關于全面推進政務公開工作的意見》 明確要求推進 “決策公開、 執行公開、 管理公開、 服務公開、 結果公開以及重點領域信息公開”。 毋庸諱言， 在國家法律與政策的持續推動下， 政府信息公開的廣度與深度都明顯增強。 但是在公開過程中因個人信息泄露引發糾紛的案例也明顯增多。 比如 2020 年， 江西省樂安縣農業農村局在縣人民政府官方網站“政府信息公開” 欄目中公開了四份涉及農機購置補貼情況的政府信息， 因未對相關個人信息進行去標識化或匿名化處理， 致使多達 1044 人 （次） 農戶 （含部分單位） 的個人信息被泄露。 ①值得警惕的是， 這起案例也并非孤例， 在其他地區也發生過類似的案件， 加強政府信息公開過程中敏感個人信息的保護迫在眉睫。

二、 涉敏感個人信息政府信息公開中存在的主要問題

《個人信息保護法》 將敏感個人信息與個人信息予以區分， 用意是加強對敏感個人信息的保護。 但因該法的制定主要是由民法學者主導， 深受民法思維的影響， 因此， 在構建的敏感個人信息保護制度框架中， 行政機關與其他信息處理者被同等對待， 《個人信息保護法》 第 33 條規定，“國家機關處理個人信息的活動， 適用本法”。 換言之， 立法者采取了 “一體調整” 的立法模式，要求政府機關在履行法定職責過程中處理個人信息時， 也應適用個人信息保護法。 然而， 在政府信息公開過程中， 這一制度框架能否發揮預設的保護作用卻遭到質疑與挑戰， 其主要問題集中在以下四個方面。

（一） 保護對象不統一： 現行法相互之間有抵牾

界定清楚涉及敏感個人信息的政府信息是否應公開、 公開多少， 是構建完善敏感個人信息保護制度的前提性基礎。 而這體現的是立法者在公眾知情權與個人信息保護的利益衡量中的抉擇，但也一直是各國在政府信息公開立法過程中普遍遭遇的難點， “有的國家在政府信息公開法中會對個人信息進行細致的列舉規定， 有的國家會制定專門的個人信息保護法對需要保護的個人信息范圍予以明確”。 盡管 《個人信息保護法》 已經明確對敏感個人信息予以特別保護， 但若將其直接適用于政府信息公開活動中卻存在制度障礙， 根本原因在于現行法律體系之間的抵牾。 《政府信息公開條例》 是各級政府部門處理政府信息公開活動的直接法律依據， 但在其特別保護的對象之中并未包含 “敏感個人信息”， 而是規定 “涉及商業秘密、 個人隱私等公開會對第三方合法權益造成損害的政府信息， 行政機關不得公開”。 同時， 《個人信息保護法》 第 33 條、 34 條又分別規定， “國家機關處理個人信息的活動， 適用本法; 本節有特別規定的， 適用本節規定” “國家機關為履行法定職責處理個人信息， 應當依照法律、 行政法規規定的權限、 程序進行”。 而按照法體系的解釋方法， 政府機關在公開涉及個人的敏感信息時， 應當優先適用作為行政法規的 《政府信息公開條例》。 很顯然， “敏感個人信息” 與 “個人隱私” 所指代的對象與保護的范圍是不同的。 關于兩者具體的區別， 學界的研究也是較為充分的， 主要形成了 “交叉重合說” “獨立區分說” “個人隱私覆蓋說” 三種觀點。

個人隱私與敏感個人信息在內涵與外延上均存在較大差異， 并不等同。 個人隱私更側重的是信息私密性屬性， “隱” 與 “私”， 在法律上的范圍也較為固定; 而敏感個人信息強調的是信息處理的特殊要求， 即高度的識別性與標識性。 因此， 雖然兩者存在交叉關系， 但并非上下位概念或包含與被包含關系。 “即有的個人隱私屬于敏感個人信息， 而有的個人隱私則不屬于敏感個人信息; 有的敏感個人信息特別是涉及個人私生活的私密信息屬于個人隱私 （如婚姻狀況、 身體健康情況等）， 但也有一些敏感個人信息因高度公開而不屬于隱私 （如姓名、 籍貫等）。”質言之， 法律體系對于保護對象規定的不統一造成各地行政機關對敏感個人信息保護的力度的差異。

（二） 處理規則模糊： 限制性原則理解有歧義

敏感個人信息應當得到嚴格的保護， 《個人信息保護法》 第 28 條第 2 款規定： “只有在具有特定的目的和充分的必要性， 并采取嚴格保護措施的情形下， 個人信息處理者方可處理敏感個人信息。” 然而， 立法并沒有對這些限定性條件作出較為明確的解釋， 這無疑對于負責個人信息保護工作的機構或個人， 在眾多復雜多變的場景中精準作出這一判斷， 頗具挑戰與困難。

首先， “特定目的” 指向不明確。 處理敏感個人信息的目的過于寬泛和模糊都將被認為違法。事實上， 其他相關法律中也都有關于目的明確性要求， 比如 《民法典》 1035 條、 《網絡安全法》第 41 條， 等等， 但這些法律規定都沒有對 “目的” 的具體要求予以明確， 致使信息處理者在具體處理敏感個人信息時， 容易產生認知歧義。 在政府信息公開活動中， 依據 《政府信息公開條例》第 15 條的規定， 政府公開公民個人的隱私信息， 只能是基于 “公共利益” 保護的目的。 雖然大部分法律、 行政法規以及司法解釋都在使用 “公共利益” 一詞， 但都是作為一個無需甄別的概念直接適用， 其內涵與外延并不明確、 統一。

其次， “充分必要性” 解釋不充分。 立法上要求 “充分必要性” 的主要目的在于強調手段與目的的相匹配性， 處置敏感個人信息 “應當保持最大的克制” ， 防止無限制的個人信息處置，《個人信息保護法》 第 6 條也規定 “應當與處理目的直接相關， 采取對個人權益影響最小的方式”“收集個人信息， 應當限于實現處理目的的最小范圍， 不得過度收集個人信息”，……不得超出履行法定職責所必需的范圍和限度。” 但現實問題是， 很多時候法律對于政府機關的職責職能規定的就較為 “模糊、 寬泛”， 比如僅僅以 “公共利益” 或 “公共安全” 等作為履職目標， 如此根本就無法依據比例原則對政府部門處理敏感個人信息行為的合法性作出判斷。

再者， 在政府信息公開過程中， 行政機關對于不確定概念享有的裁量權過大。 依據 《政府信息公開條例》 第 15 條和第 32 條的授權， 行政部門對政府公開信息是否損害個人隱私、 是否會損害公共利益以及權利人不同意公開所給出的理由是否合理等享有判斷權。 但在這些授權條款中，對重要的概念與標準都沒有明確規定， 比如個人隱私的識別標準、 公共利益遭受損害的判斷標準以及在第三人不同意公開的情形下， 行政部門仍可以基于公共利益需求強制性公開的基本構成要件等。 簡言之， 行政機關對于不確定概念享有過大的裁量權。

（三） 保護程序不健全： 告知規則的不足

告知同意規則是法律保護個人信息設立的特別制度。 而對于敏感個人信息的處理， 則在 《個人信息保護法》 第 29 條特別規定： “處理敏感個人信息應當取得個人的單獨同意; 法律、 行政法規規定處理敏感個人信息應當取得書面同意的， 從其規定。” 但同時為保障國家機關高效履職，《個人信息保護法》 第 35 條又規定， 國家機關履行法定職責處理個人信息， 只承擔告知義務。 換言之， 政府部門依法公開信息時， 對于敏感個人信息是不需要單獨獲取信息主體的同意， 告知即可。

然而， 基于行政部門處理敏感個人信息具有強制性、 單方性、 技術性、 復雜性等特征， 《個人信息保護法》 上的有些程序性權利在特定的場景下并不必然能由個人行使。 尤其是進入大數據時代以后， 面對多主體互聯互享、 龐大數據匯聚、 多樣式高頻率適用等復雜情形， 致使有效告知與同意難度與成本的增加， 制度實效虛化， 甚至異化。例如， 告知的內容與標準很可能不明確。 依據 《個人信息保護法》 第 30 條規定， 信息處理者在處理敏感個人信息之前， 不僅要遵循一般告知事項的規定， 而且特別要求要告知信息處理的 “必要性” 和 “對個人權益的影響”， 同時該法第17 條要求 “顯著方式、 清晰易懂的語言真實、 準確、 完整”。 但實際上， 這些關于告知內容要求的表述都過于抽象、 模糊， 致使部分信息處理者為規避風險故意使用專業、 抽象、 深奧的術語來撰寫告知文書， 或者告知內容冗長、 復雜， 其目的均是為了讓信息主體因缺乏理解能力和時間而無法做出正確的判斷。同時， 《個人信息保護法》 也沒有明確告知方式， 很可能會加大行政機關與個人之間信息不對稱的張力， 阻礙了信息主體有效閱讀、 理解相關內容。

（四） 保護責任失衡： 重事后追責輕事前監督

《個人信息保護法》 第 66 條專門針對違法處理個人信息的行為設立了行政處罰責任、 侵權賠償責任以及信用監管責任三種追責方式。 毋庸諱言， 這些法律責任機制主要聚焦民事主體違法處理個人信息行為， 雖然法律也規定 “國家處理個人信息的活動適用本法”， 但很顯然， 這些法律責任規定直接適用政府處理個人信息的行為具有困難。 立法者應該也注意到了這個問題， 因此在該法第 68 條又對國家機關的責任進行了補充性規定。

在 “一體調整” 立法模式下， 監督主要采取私法保護模式， 即事后損害賠償救濟。 整體上講，私法保護模式的缺陷主要表現在兩方面： 一方面， 若采用民事糾紛機制解決行政機關的信息侵權責任， 依據 “誰主張、 誰舉證” 的舉證原則， 就需要由信息利益受到侵害的個人承擔舉證責任，但由于個人收集證據能力的有限性， 充分舉證是比較困難的， 尤其在大數據時代， 數據運用的復雜性與隱秘性特征使得證明行政機關的信息公開行為造成信息主體實質性損害的難度大大增加，依靠個人的力量幾乎是不可能做到的;另一方面， 重視事后救濟賠償機制的作用而忽視了事前監督機制的建立完善。 敏感個人信息事前保護機制的建立完善可以有效保障其使用過程的安全性。通過事前完善的監督體系， 可以避免敏感個人信息受到損害， 尤其在互聯網上， 因數據的規模性、集合性特征， 一旦發生個人信息侵害事件， 通常涉及的人員數量都比較大， 若不加以及時制止和糾紛解決， 就很容易演變成群體性事件， 增大安全防護的成本。

三、 公法視角下 “一體調整” 模式的反思與修正

關于個人信息保護的法律制度， 我國在立法上采取了 “一體調整” 模式。 目前， 學界對該模式利弊的討論還是較為充分的， 形成了 “支持說” “反對說” “折中說” 三種觀點。 “支持說” 支持從民法的路徑建構保護制度;“反對說” 則主張從公法的角度建立保護制度;而 “折中說” 是在權衡前面兩種主張優劣的基礎上， 提出綜合保護路徑的觀點。事實上， 隨著數據時代的降臨，政府機關擁有了強大的 “數據權力 （Data Power） ”， 從功能主義角度思考， 僅僅依靠私法是不能夠為個人信息尤其是敏感個人信息提供全面、 有效保護的， 公法理應介入。

（一） 個人信息國家義務保護的公法基礎

基于 《民法典》 第 1034 條規定， 很多學者將信息處理者義務理解為不得侵犯私法主體享有的個人信息民事權益， 繼而形成 “個人信息民事權—個人信息處理義務” 的民事權利義務分析框架。但將個人信息權益私權化， 存在明顯不足。 一方面個人信息在所有權上并不具備完全的排他性， 而是內在具有公共性、 交易性與社會性的特征， 如果認為個人信息的處置完全應由個人決定，“基于自己意思自主地決定個人信息能否被他人收集、 儲存并利用”， 將阻礙社會的正常交往，也會影響信息價值的充分實現; 另一方面忽視了在處理個人信息過程中， 國家機關與個人之間明顯的不對等關系， 建構在意思自治、 平等協商基礎之上的私權保護模式是無法有效約束國家機關的。 “面對國家對個人信息權利的威脅， 民法并不能提供充分的保護， 僅僅規定權利是不夠的， 因為它們太容易虛化， 最終淪為 ‘字面上的權利’。”因此， 應當建構完善個人信息保護的公法制度， 重視國家機關的規制作用， 實踐中站在維權最前沿的始終是監管者而非個人。

從國家規制視角探尋個人信息權益保護的法理基礎， 追根溯源， 個人信息國家義務保護的根源在于憲法 “尊重和保障人權” 的相關規定。“尊重” 強調國家對個人信息權益不得侵犯， 嚴格遵守法律保留原則， 依法履權， 除非履職需要， 否則不得處理個人信息; “保障” 則要求國家積極作為， 通過立法、 加強監管或強化事后懲戒制度等多種方式， 保護公民享有的個人信息權益免受非法侵害。 尤其是在大數據時代， 構建與維護的法秩序不僅能保護個人信息的安全， 還要保障數據的充分利用， 而能勝任這項任務的只能是國家， 并非個人。

（二） 政府信息公開中處理個人信息行為的 “行政性”

與私人處理個人信息不同， 行政機關信息公開中處理個人信息行為性質上應屬于行政行為，具有明顯的 “行政性” 特征。 因此， 對其行為過程的規范， 應納入行政法治的框架， 從行為主體、權限、 內容、 程序以及歸責等維度展開。

首先， 使用目的具有公共性。 政府機關公開有關個人信息是為了履行其法定的公共職責， 充分發揮政府信息對人民群眾生產、 生活和經濟社會活動的服務作用。質言之， 公共利益需要是證成政府行為合法性與正當性的唯一理由。 比如基于更好維護公共交通安全的需要， 公安機關有權公開終身禁駕人員的個人信息; 又如為了避免更多人感染病毒， 衛生行政部門在疫情防控期間可以公開疑似感染者的活動軌跡， 等等。

其次， 行為過程具有高權性、 強制性。 行政行為最主要的特點就是高權性、 強制性， 行政主體與行政相對人之間并不是處于對等的地位， 對于前者單方面作出的行為， 后者是需要服從遵守的， 并沒有 “討價還價” 的余地。雖然個人信息保護法中確立了特別告知同意規則， 但是行政機關認為不公開將會對公共利益造成重大影響的， 可以不需要獲得信息主體的同意而直接公開， 例如， 公安部門和衛生行政部門基于公共利益所需， 都無需以信息主體 “同意” 作為權力行使的前提性條件。

再者， 公開的內容具有法定性。 行政法治的基本要求就是要堅持依法行政， 即一切行政行為應依法而為， 受法之拘束。政府信息公開中處理的個人信息按照法律要求都應是與行政部門履職有關的， 具有明確的法定性特征。 一般而言， 民法對于個人信息的處理遵循意思自治， 只要平等的民事主體之間基于真實意愿的表達， 在不違反法律強制性規定的前提下， 就可以協商議定后自由處置個人信息。 而政府部門處理個人信息時， 卻有特殊的限制性規定， 依據 《個人信息保護法》相關規定， 行政機關處理個人信息不得超出履行法定職責所需的范圍與限度。

（三） 敏感個人信息保護的公法定位與框架

在法律性質上， 政府機關公開敏感個人信息是典型的 “行政行為”， 具有公共性、 高權性、 強制性等特點， 面對政府機關對個人信息權益的威脅， 僅靠民法并不能提供充分保護，應納入行政法治框架約束， 運用正當程序、 比例原則、 法律保留等公法思維、 公法方式， 對行政機關處理個人信息行為予以規范和約束。 雖然在 “一體調整” 模式下， 《個人信息保護法》 也強調國家機關處理個人信息有特別規定的， 從其特別規定， 但立法上這方面的特殊規定還是較為欠缺， 停留于“象征性立法”。

事實上， 在個人信息保護的制度建構中， 公法與私法不是非此即彼的關系， 目的都是一致的，都是為了更好地保護公民的個人信息權益。 截至目前， 全球有超過 120 多個國家制定了專門的個人信息保護法， 公私法相融的治理體系被普遍接受。 作為個人信息保護方面的基本法律， 所有的處理行為， 不論是國家機關還是個人所為都應遵守 《民法典》 《個人信息保護法》 《中華人民共和國數據安全法》 《網絡安全法》 等法律規定的原則與規則。 但對行政機關而言， 僅靠這些規定是不足以保護公民的個人信息權益的， 設立特別的制度予以規范很有必要。 質言之， 一旦納入公法的治理框架， 相較于側重事后救濟的私法保護模式， 公法保護模式更注重事前事中的監督， 救濟的渠道更豐富， 方式更多樣， 效果也更顯著。

四、 政府信息公開中敏感個人信息保護制度的完善

行政機關作為國家公權力的行使者， 除維護公共秩序與安全外， 承擔著保護公民基本權利與自由的責任， “人權是我們時代的觀念， 是已經得到普遍接受的唯一的政治與道德觀念”。 雖然，政府信息公開也是為了實現公民知情權， 但是公開的范圍與方式都應當是有限制的， 政府不應以“公共利益” 需要為由無節制地肆意公開個人信息， 尤其是敏感個人信息， “敏感信息可能給信息主體帶來更大的侵害風險， 故適用不同于一般信息的處理規則、 受到更強力度的保護措施”。 針對實踐中已經暴露的種種問題， 需要放置在政府信息公開活動中行政機關處理敏感個人信息的整個過程予以系統思考。 換言之， 敏感個人信息行政機關保護義務的落實與展開， 是一個綜合不同法律理念和規制工具的體系化過程， 吸納多方力量參與， 最終實現充分保護的目的。

（一） 敏感個人信息的主要判斷標準

敏感個人信息保護首要解決的問題就是敏感個人信息的識別。 《個人信息保護法》 第 28 條第1 款在對敏感個人信息的種類作出具體列舉以后又使用了 “等” 字， 這也就意味著立法者也承認敏感個人信息的范圍應具有開放性， 并不局限于法律所列舉的這七類， 大量的新型的個人信息很可能也會被認定為敏感個人信息。 換言之， 法律授予行政部門相當的裁量權， 即可以根據具體場景判斷新類型的個人信息是否屬于敏感個人信息。 ⑤而在政府信息公開活動中， 行政機關判斷 “敏感性” 的依據主要是信息主體、 信息性質以及公開目的， 為此， 敏感個人信息的認定應嚴格遵循以下三方面的標準。

首先是身份的識別性。 個人信息的基本功能是識別個人， 敏感個人信息也具有較強的識別性，且與特定個人緊密相連， 它存在于個體對外界的感知與辨認中， 是主體與客觀外在世界交流的產物。一方面， 敏感個人信息內容都具有識別性， 指向特定個人。 但根據是否能單獨直接區分出特定的個人， 敏感個人信息又可以劃分為直接敏感個人信息和間接敏感個人信息， 對于間接敏感個人信息則需要與其他信息結合起來才能識別特定的個人， 具有依賴性和關聯性， 通常需要通過邏輯分析來認定特定個人， 比如身高、 血型、 性別等。 實踐中， 間接敏感個人信息因無法單獨識別特定個人， 侵權風險較低， 因此不用特別保護， 但若間接敏感信息能串聯起來， 識別特定個人時，同樣應適用法律上的特殊保護規則; 另一方面， 僅具有識別性的信息也不一定是敏感個人信息，即使是直接可識別的個人信息也需要結合具體場景進行綜合全面的判斷。 事實上， 若不在內容上加以區分， 一律特殊對待， 則很容易阻礙正常的信息交流。 比如， 將同事的電話號碼、 家庭住址在單位小范圍公開， 很難說是構成侵害敏感個人信息， 但若是未經信息主體同意私自將這些信息放到網絡上， 則侵權結論很可能是成立的。

其次是實效性。 所謂實效性主要是就信息內容的價值與用途而言的， 它與 “敏感性” 緊密相連。 盡管所有的個人信息都具有實效性， 但其強度卻存在差異。 一般而言， 實效性越強的個人信息， 敏感性也就越強， 受到侵害的可能性也就越大。 從文義解釋來看， 實效性對應的是， “容易導致個人的人格尊嚴受到侵害或者人身、 財產安全受到危害”。 基于語詞本身的模糊性， 行政機關在具體認定實效性時， 還需結合具體的場景考慮信息是否與人格尊嚴、 人身、 財產安全存在密切關聯。有些信息在日常情形下實效性并不強， 但此類個人信息一旦與數字技術相結合， 在特定情形下很可能對人格尊嚴造成侵害， 這時它的實效性就很強， 也可能屬于敏感個人信息。 比如， 單純了解個人的下班時間、 回家路線或者到家時間， 可能并不具有實效性， 但如果利用數字技術將所有信息串聯起來， 就可以獲取信息主體完整的行為軌跡， 構成敏感個人信息， 需要適用法律有關規定予以保護。此外， 行政機關在判斷實效性時， 應立足于社會公眾的主流觀念， 而非當事人的主觀認知。

再者是結果損害性。 侵權行為的成立須以發生損害為必要，個人信息泄露會不會造成信息主體的損害也是識別敏感個人信息的重要標準。 但行政部門在評估行為后果是否具有損害性時， 有三點需要特別注意： 其一， 損害的類型不局限于人身損害與財產損失。 敏感個人信息的損害結果類型已經從傳統的物質損害向精神損害與物質損害并重擴散，比如因個人信息泄露而帶來的侮辱、 羞恥等強烈主觀性不適的精神損害， 其敏感個人信息的屬性已經被大多數國家通過立法予以確認; 其二， 損害后果評估側重的是發生的概率或可能性， 而并非遭受明確的、 固定的損害。 《個人信息保護法》 第 28 條第 1 款的表述為 “容易導致”， 指向的就是一種發生的概率。 換言之， 對敏感個人信息嚴格保護的目的是要降低信息主體合法權益被侵害的風險， 而非是損害結果的實際發生。 值得警惕的是， 由于各級行政部門掌握的信息識別技術的應用能力參差不齊， 因而不同場景下損害后果發生的可能性也會有差異; 其三， 財產損害應包括實際財產損失和期待利益損失。

實際上， 將期待利益損失納入結果損害的評定范圍是將財產損失做了擴大化解釋， 更有利于個人信息權益的保護。 例如， 如果行政部門違法或不當處理個人醫療健康信息， 就容易造成信息主體的可期待利益受到損害。

（二） 限制性原則適用的具象化

敏感個人信息保護的重要性自不待言， 但目前關于行政部門在政府信息公開活動中如何對敏感個人信息保護， 法律只是規定了需要遵循的基本原則， 并無具體的要求。 《個人信息保護法》 第6 條、 第 28 條分別規定： “處理個人信息應當具有明確、 合理的目的， 并應當與處理目的直接相關， 采取對個人權益影響最小的方式。” “只有在具有特定的目的和充分的必要性， 并采取嚴格保護措施的情形下， 個人信息處理者方可處理敏感個人信息。” 在法體系解釋框架下， 這些原則性的限制規定， 可以具象化為以下三方面的實質性要求。

第一， 行政機關公開的敏感個人信息應在法定職責范圍內。 《個人信息保護法》 第 34 條明確規定， 國家機關為履行法定職責處理個人信息， 不得超出履行法定職責所必需的范圍和限度。 隨著國家治理越來越精細化、 專業化， 行政部門之間的分工也越來越具體。 龐大的行政組織就像一臺機器， 要求每個組成部分按照既定的安排運轉， 不能越位。 實際上， 依法行政原則是法治國家、法治政府的基本要求， 法治要求政府在法律范圍內活動， 依法辦事。 依此邏輯， 行政部門的職責都是法定的且都是有限度的， 只能在其職責范圍內依照法律規定公開敏感個人信息， 比如 《公安機關互聯網安全監督檢查規定》 規定由縣級以上地方人民政府公安機關網絡安全部門組織實施互聯網安全監督檢查工作， 那么在此范圍內它就有權依法處理個人信息， 其他行政部門介入則是非法的。 但是遵循依法履職的前提是職權職責的分配必須清晰、 明確， 而目前在實踐中職能相近的行政部門職責不清、 相互交叉現象還是較為普遍， 尤其是上下級政府之間， “不同層級政府之間的‘職能同構’ 是目前我國行政體制中的一大痼疾”。 因此， 制定權責清單從根本上理順、 明確各級政府與各個部門的職權職責可一勞永逸解決職責不清、 職能交叉的問題。 權責清單制度是指公權力主體將法律賦予它的各項權力進行統計、 核實， 以清單的形式， 將職權事項、 實施主體、 行使流程等內容進行詳細列舉與說明， 并進行公示的過程。 ③質言之， 通過權責清單形式明確行政部門的法定職權職責范圍， 使其清楚基于履職需要哪些敏感個人信息是可以公開的。

第二， 行政機關公開敏感個人信息具有 “特定目的性”。 根據 《個人信息保護法》 的規定，只有具有特定目的， 行政機關才能處理敏感個人信息。 然而， “特定目的” 是不確定概念， 其含義并不明確， 解釋的空間比較大。 美國學者愛倫·維斯汀 （Alan Westin） 最早提出特定目的原則，強調 “除非個人信息中的身份特征已經被完全去除， 或者獲得信息主體同意， 否則行政機關在處理個人信息時， 都必須基于明確的特定目的， 且嚴格限制其使用范圍”。 該原則一經提出， 就被很多國家相關法律予以吸納、 借鑒。 除了 《個人信息保護法》 第 34 條對國家機關公開個人信息的目的有較為明確的規定外， 《政府信息條例》 第 15 條也規定， 涉及個人隱私的信息如果不公開會對公共利益造成重大影響的， 予以公開。 綜上， 應當從以下兩方面理解政府機關公開敏感個人信息的 “特定的目的”。 其一， 特定的目的應當是基于履職需要， 且明確、 具體。 比如鎮政府公布轄區獲得國家因病貧困補貼的家庭的名單， 不能籠統地以符合國家因病貧困認定標準而公布他人的醫療健康信息， 而應當明確公布他人醫療健康信息的具體目的。 質言之， 公開目的越具體， 越能判斷公開敏感個人信息是否充分必要; 其二， 與私主體處理敏感個人信息不同， 行政機關是典型的公權力主體， 它沒有自身特殊的利益， 一切都是為了公共利益。為了防止以權謀私， 行政機關公開敏感個人信息的特定目的應嚴格限定為依 “法”， 包括憲法、 法律、 法規、 規章， 通過法律保留原則的適用， 可以更好地加強對行政機關的事前監督， 有利于敏感個人信息的保護。

第三， 行政機關公開敏感個人信息具有 “充分必要性”。 公開敏感個人信息除了特定目的以外， 還應當具有充分必要性。 立法上作此要求是為了避免過度公開敏感個人信息。 實際上， 充分必要與特定目的是緊密相連的， 特定目的是充分必要的前提與基礎， 而判斷是否充分必要則要依靠特定目的來衡量， 兩者缺一不可。 通常立法上對于目的與手段之間是否恰當用 “必要性” 表述即可， 而敏感個人信息的處理， 法律表述為 “充分必要”， 足見重視的程度。 至于實踐中如何才能實現 “充分必要”， 不妨借鑒域外有益的經驗， 例如 2020 年 1 月， 歐盟數據保護主管 （EDPS） 發布 《個人數據保護比例原則指南》， 其中規定： “在確定必要性時， 應首先闡釋怎樣處理個人數據才能實現處理目的。 如果有侵害較小的方案可以選擇， 數據平臺必須詳細解釋為何沒有選擇侵害較小的方案。”

（三） 告知規則的補強與完善

為加強敏感個人信息的保護， 個人信息保護法在程序上主要設立了告知同意規則， 即任何人或組織在處理敏感個人信息之前都需要充分告知并經過信息主體的同意， 法律另有規定的除外。在個人信息利用日益頻繁的數字時代， 告知同意規則已經為大部分國家接受并被確立為處理個人信息的基礎規范。 為保障公權力行使的高效性， 《個人信息保護法》 第 35 條特別規定， 除法定情形外， 國家機關履行法定職責只需履行告知義務即可。 針對行政機關的特殊性， 在信息公開活動中， 為充分保障信息主體的合法權益， 建立的告知規則應確保告知義務履行的全面性、 易理解性以及持續性。

其一， 行政機關在告知時應當提供充分必要的信息， 不僅僅是擬準備公開的敏感個人信息內容， 還需告知公開內容與實現行政目的之間的關聯， 且無其他更為合適的替代方式。換言之， 行政機關應明白無誤的告知信息主體， 公開的敏感個人信息是為了實現行政目的， 而不得已采取的“最小范圍、 最短期限、 影響最小方式”。 毋庸諱言， 個人肯定是自己利益最忠實的護衛者， 而敏感個人信息又事關信息主體的個人尊嚴或人身、 財產安全， 讓信息主體充分了解、 掌握公開自己敏感個人信息的必要性與關聯性， 必將有助于其維護自身的合法權益。

其二， 告知內容的語言表達應當簡潔、 明了并且易理解， 不能刻意適用復雜、 專業和深奧的用語， 避免信息主體在讀完但不理解內容意思的情況下就同意。 為此， 應以普通人的理解能力為標準建立告知規則， 若確實存在語言解釋困難的專業術語， 應要求行政機關對信息主體作出當面解釋， 使其能理解告知的內容。 同時告知文件中應對即將公開的敏感個人信息通過字體加粗、 標下劃線或改為其他顏色等添加顯著標識的方式， 引起被告知者的高度關注。 另外在告知的方式方面還可以創新， 可以利用小視頻、 語言播報等較為生動、 形象的表達方式予以告知， 彌補采用書面告知形式單一化的不足。

其三， 告知義務有時不是一次性可完成， 是持續性的， 信息技術動態化的處理模式決定了信息供給并非靜止的， 敏感個人信息公開對于信息主體的權益影響也很可能是持續性與動態變化的過程。同時， 真正掌握并利用信息技術的是行政機關， 相較于個人， 行政機關更有能力實時掌握與敏感個人信息公開所關聯的風險變化情況。 在實踐中， 經過專業的大數據深度挖掘、 比對， 一些 “別有用心” 平臺完全可以突破淺顯的 “匿名” 包裝、 精準識別主體身份， 從而獲取敏感個人信息并違規使用。 因此， 政府機關因履職公開敏感個人信息后， 對發現的可能會對信息主體合法權益產生的負面風險， 應及時告知。

（四） 公法責任追究機制的引入

除了加強事前事中對政府公開行為的規范與監督以外， 完善事后追責問責制度對于政府信息公開中敏感個人信息的保護也是同等重要的， “通過明確的制度的安排， 可以使官員準確無誤地承擔責任， 找到不會導致責任模糊的最佳責任承擔方式”。 實際上， 《個人信息保護法》 第 66 條、67 條、 68 條以及 69 條集中規定了法律責任。 但都是在 “一體調整” 框架內考慮事后責任追究機制的設置， 而對于政府機關公開敏感個人信息行為 “行政性” 特征的應對明顯不足， 立足公法的觀察視角， 可以從以下三方面完善。

首先是內部法律責任機制的完善。 關于行政機關內部責任機制的規定， 主要依據 《個人信息保護法》 第 68 條與 《政府信息公開條例》 第 35 條。 但囿于法條內容本身的簡單、 不具體， 導致實踐中也是問題較多， 目前應重點考慮兩方面工作： 一方面應理順在責任追究過程中， 上級機關、個人信息保護職責的部門、 上一級行政機關以及監察機關四者之間的關系， 避免出現監督職責交叉、 相互推諉的情形; 另一方面應明確內部責任追究機制的啟動程序。 責任追究機制的啟動程序包括確定責任追究的主體、 問題線索提交以及受理與反饋， 等等， 目前法律上對其并無具體規定，容易造成內部監督不到位、 不及時。

其次是納入行政復議和行政訴訟受案范圍。 行政機關公開敏感個人信息行為是典型的行政行為， 理應將其納入行政復議和行政訴訟的受案范圍， 并依據公法上解決糾紛的規則予以處置。 一方面有利于強化公民個人敏感信息的保護。 考慮到行政主體履職過程中與行政相對人事實上存在的明顯不對等關系， 在行政復議和行政訴訟過程中賦予相對人程序上更多的優益權與對抗權。 另一方面， 更易于平衡公共利益與個人信息權益之間的張力與矛盾。 在大數據時代， 國家的各個領域， 包括教育、 醫療、 金融等都已經形成嚴重的 “數據依賴”， 個人信息的利用與保護不僅關乎個人， 而且還會影響到公共利益。 ①在行政復議和行政訴訟中， 因為裁判者都是對行政實務較為熟悉的專家， 所以能更好地把握糾紛的實質和雙方的訴求， 更有利于實質性化解矛盾。

最后是國家賠償責任的啟動。 《個人信息保護法》 第 69 條對賠償責任已經作出了原則性規定，但是該規定并沒有區分國家機關與個人承擔損害賠償責任的不同。 事實上， 政府機關公開敏感個人信息侵犯個人合法權益， 完全符合 《中華人民共和國國家賠償法》 所規定的侵權賠償責任構成要件， 應適用行政賠償制度。 一方面從損害賠償能力角度看， 國家的賠償能力肯定是強于個人或其他民事主體的， 納入國家賠償范圍， 能更好地賠償個人信息權益所遭受的侵害損失; 另一方面從歸責原則的角度看， 國家賠償法可適用無過錯原則更有利于敏感個人信息的保護。 換言之， 無過錯原則要求國家機關和國家工作人員即使沒有違法或過錯， 也應該由國家為其行為所致損害承擔賠償責任。 在數字時代， 基于社會對于數據的強大需求， 會不斷促使行政部門積極探索個人信息利用的價值， 侵權的風險也會隨之增大。 為有效保護個人的信息權益， 適用無過錯賠償歸責原則肯定是最優的選擇。

（責任編輯： 王玎）