一、论题的缘起
2007年4月5日,国务院以第492号令公布《政府信息公开条例》(以下简称《条例》),并于2019年4月3日进行了修订。《条例》规定行政机关对于在履职过程中制作或者获取的政府信息“以公开为常态、不公开为例外”。
2021年1月1 日起施行的《民法典》专设第四编对人格权加以规定,成为立法亮点。《民法典》不仅对隐私权、个人信息作了定义,并且规定了国家机关及其工作人员对于隐私和个人信息的保密义务。
2021年11月1日起施行的《个人信息保护法》(以下简称《个保法》),对个人信息权利的保护和合理利用作出了规定。同时,在《个保法》第二章第三节,对国家机关处理个人信息活动加以特别规定。
政府信息公开,属于公权力的范畴,源自人民主权理论,是我国全面依法治国和建设法治政府的要求。而个人信息公开,则属于私权力的范畴,基于自然人的基本人权,与自然人的生命权、财产权、人格权密不可分。
在政府信息公开过程中,行政机关行使行政权力,公开政府信息中的个人信息,但同时,行政机关也负有保护个人信息的法定责任。笔者认为,厘清权责边界,是行政机关依法公开涉个人信息政府信息的前提。而要探析这一边界,则需要回答三个问题,即:哪些个人信息可以作为政府信息公开?公开涉及个人信息的政府信息需要满足什么条件?以及行政机关公开政府信息中的个人信息时应当履行怎样的义务?
二、政府信息公开中的个人信息范围
《条例》规定,对于公开涉及个人隐私的政府信息,会对第三方合法权益造成损害的,除第三方同意公开或者不公开会对公共利益造成重大影响之外,行政机关不得公开。
《民法典》定义隐私为“自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息”。同时,定义个人信息为“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息。”对于个人信息与隐私的交集部分,规定优先适用隐私权的规定。
《个保法》定义个人信息为“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”
显然,《条例》规定的“个人隐私”似乎仅限于《民法典》所称的隐私权,或者仅涉及《民法典》所规定的个人信息中的私密信息。但《民法典》的“个人信息”与《个保法》中规定的“个人信息”在性质、内容和范围上均有所不同。前者属于民事权利中人格权范畴内的个人信息,而后者不限于此,还包括宪法性权利的个人信息和其他法律规定的个人信息。
笔者认为,政府信息公开涉及的个人信息应采《个保法》中的定义,可以按照不同的标准进行分类:
1、按照个人信息的权利基础,分为:
(1)宪法权利个人信息,如宗教信仰信息、通信秘密等;
(2)人格权个人信息,如个人身份信息(自然人的姓名、出生日期、身份证件号码)、生物识别信息(人脸、指纹)、住所信息(住址)、通信方式信息(电话号码、电子邮箱)、健康信息、行踪信息等,尤其包括其中的个人隐私;
(3)财产权个人信息,如银行账户信息、车辆信息、不动产信息、股权信息、交易信息等;
(4)劳动权个人信息,如工作单位、职业信息、薪酬信息等;
(5)婚姻家庭权个人信息,如婚姻状况信息、亲子信息等;
(6)其他个人信息,如特定身份信息、行政处罚信息、刑事处罚信息等。
2、按照个人信息的敏感性,分为:
(1)敏感个人信息,《个保法》定义敏感个人信息是“一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息”,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息;
(2)一般个人信息,除敏感个人信息之外的其他个人信息。
三、政府信息中个人信息的公开条件
根据《条例》和《个保法》的规定,笔者认为,行政机关公开政府信息中的个人信息,需要具备以下条件:
1、具有公开相关政府信息的法定职责;
根据《条例》规定,各级人民政府和县级以上人民政府部门(包括法律法规授权的具有管理公共事务职能的组织)是政府信息公开的行政主体,应当指定政府信息公开工作机构负责日常工作。
除国家秘密、商业秘密、个人隐私和内部事务信息外,行政机关对于履职过程中制作或者获取的政府信息应当依法予以公开。
因此,公开涉个人信息的政府信息,必须是在行政管理工作中制作、获取此等政府信息且负有公开职责的行政机关。并且,公开的政府信息不属于禁止公开的情形。
2、必须依申请公开;
《条例》规定的政府信息公开方式包括主动公开和依申请公开。对于前者,主要指涉及公众利益调整、需要公众广泛知晓或者需要公众参与决策的政府信息;除此之外的其他政府信息,必须由公民、法人或者其他组织向行政机关申请获取。
显而易见,对于政府信息中的个人信息,不应由行政机关主动公开,而只能是依申请公开。
3、书面告知与同意;
《条例》规定,依申请公开政府信息会损害第三方合法权益的,行政机关应当书面征求第三方的意见。第三方不同意公开且有合理理由的,不予公开。
笔者认为,为充分保护个人信息,首先,申请人在提起申请的同时,应当说明获取政府信息中个人信息的正当性、合法性和必要性。如果申请没有正当目的、用途不合法、没有必要性,行政机关不应予以公开,或者将个人信息与其他政府信息区分处理后再行公开。其次,行政机关必须书面告知个人利息权利人,书面征求其意见。除涉及公共利益外,只要个人信息权利人不同意,则不应予以公开。第三,对于敏感个人信息,必须向个人信息权利人(包括未成年人的监护人)告知公开的必要性以及对个人权益的影响,取得个人信息权利人单独书面同意,方可公开。作为例外情形,在法律法规规定应当保密或者无需告知或者在紧急情形下,可以不履行事先告知义务。
4、为公共利益而决定公开。
《条例》规定,不公开可能对公共利益造成重大影响的,行政机关可以决定予以公开。
笔者认为,该条中的“公共利益”容易作扩大解释,故应当明确其具体内涵,如:为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;为公共利益实施新闻报道、舆论监督等行为。并且,在此情形下,行政机关应当仅向负有维护国家安全、公共利益和舆论监督职责的权力机关、司法机关和其他行政机关等国家机关(包括法律法规授权组织)和新闻机构等特定法人决定公开。在决定予以公开后,行政机关应当及时书面通知个人信息权利人,使其知情,并告之救济途径。
四、行政机关在公开个人信息时应当履行的义务
1、依据法律、法规规定的权限、程序进行
唯有在法定权限范围内,严格依照法定程序公开政府信息,才能确保依法行政。包括政府信息公开的主体、公开的内容、公开的程序,都必须在法律的框架内实施。
2、对公开申请进行审查
行政机关在依申请公开政府信息中的个人信息时,应当遵循合法、正当、必要和诚信原则,对申请公开的目的、方式、信息种类以及对个人权益的影响和可能存在的安全风险进行严格审查。对于非必要、不合法、不正当的申请,不予公开。如果涉及敏感个人信息,行政机关应当委托第三方机构进行个人信息保护影响评估。
3、严格遵循“告知+同意”的原则
除非为公共利益而决定公开的情形外,行政机关应当严格遵守“告知+同意”的个人信息处理核心规则。特别对于敏感个人信息的公开以及为公共利益而决定的公开,尤其应当慎重适用。
4、向境外提供个人信息应当进行安全评估
根据《个保法》规定,行政机关公开涉及个人信息的政府信息,应当存储在境内;确有必要向境外提供的,应当进行安全评估。
5、采取适当措施以确保合规公开与防止个人信息泄露
行政机关在依法公开政府信息中的个人信息时,应当根据公开的目的提供最小范围的个人信息,将其对个人权益的影响减至最小。同时,在能够实现公开目的的前提下,对个人信息采取相应的加密、去标识化等安全技术措施。
五、结束语
个人信息的保守与公开,关系到人权保护,关系到国家安全,也关系到我国法治政府的建设。厘清行政机关的权责边界,是平衡公法与私法权益的前提。本文草就于《个人信息保护法》实施之际,仅作引玉之砖,意图通过对比、梳理、分析、阐释相关法律规定,对行政管理实务工作有所禆益。
