[34]如果未来康德的世界宪制的理想在全球化和信息化的时代能够实现,宪法的主权标记便会消失,基于国家主权的宪法效力自我宣称也就不复存在。
宪法最高法律效力规范采用默示形式,非但不会否定宪法最高法律效力,而且还能纾解宪法效力自我确证的逻辑难题。39参见何勤华、张海斌主编:《西方宪法史》,北京大学出版社2006年版,第248页。
法国首部宪法即1791年宪法虽未明确规定宪法的最高法律效力,但在其他规定(相当于附则)中规定任何由宪法所设立的权力无权更改宪法。因此,可以理解为什么在1954年宪法之后,1975年宪法与1978年宪法也没有规定宪法最高法律效力。尽管议会不是国家唯一的整合要素,但根据议会主义国家宪法的宗旨,议会是终局性的整合要素。当下,由于全球化和网络信息技术对法律的深刻影响,传统最高效力的主权国家宪法已经无法满足现实发展的要求,人们逐渐认同建立具有全球影响力的框架秩序,实现世界宪法的构想。当时晚清政府只是想借助宪法来确保皇权万世一系,永永尊戴,不可能规定宪法的最高法律效力。
但如何保证元契约的履行呢?由于在自然状态下,尚无强迫元契约履行的外在权力,因此只能诉诸契约自身。因为价值判断是主观的,不存在真值(truth value)和客观判断标准。然而,第66、69、71条很难适用于政府的违法信息处理行为,第68条作为对政府机关的唯一专门规定,又只规定了内部行政责任和刑事责任,正式实施的个保法虽然较草案增加了个人行使权利遭到拒绝时的起诉权, [46]但对抗政府不履行告知义务最为重要的行政复议和行政诉讼以及国家赔偿制度都付之阙如。
因此,如果存在持续性的信息处理行为,政府应当进行说明,以使信息主体充分了解被处理信息的范围。但不容忽视的是,数字政府系统收集、存储和处理海量的公民个人信息,这些全面、真实、巨量的个人信息一旦遭到泄露或被滥用,不仅威胁个人的人身、财产和信息安全,也可能危害公共安全,甚至危及国家整体安全。但并未告知法律依据、信息主体权利义务、信息保存时长等重要内容。个保法第6条规定个人信息处理的目的明确、合理原则以及必要和目的限制原则。
[14]实施这种一般禁止,例外许可性质的公法上的严格保护的原因又可追溯到历史上各国个人信息保护立法的主要动因,即随着上世纪60年代巨型计算机技术的运用,政府自动化处理个人信息的能力和范围剧增,其建立的巨型数据库能够大规模集中收集和存储和处理个人信息,对公民隐私权造成巨大威胁。此时的告知是对前两种的有力补充。
文章来源:《人权》2022年第3期 进入专题: 个人信息保护 政府机关处理个人信息行为 告知义务理论 。基于该委托关系的个人信息传输,并未超出个人基于原有告知内容产生的预期,因此无需重复告知。[20]由此,在政府处理告知义务制度的建构中也不能照搬适用于私法主体的告知规则,而需在公法框架下进行体系化架构。首先,《宪法》第38条的人格尊严条款可以作为个人信息权的宪法基础,虽然学界对于该条款属于具体基本权利抑或是原则性的权利保护条款还存在争议,但这并不影响我们借鉴美国宪法学中的晕影理论( Penumbra Theory) [22]从该条款中解释出个人信息受保护权这一新型基本权利,因为一方面人格尊严本身就蕴含着人民享有基本权利的意旨,另一方面人格尊严是宪法基本权利的逻辑起点和价值内涵。
在上述两种情形下,政府机关都是个人信息的实际处理者,均需履行告知义务。第3修正案禁止士兵在和平时期未经房主同意驻扎在其住宅,这包含了隐私权的内容。[45]参见《个人信息保护法》第28-31条以及《信息安全技术人脸识别数据安全要求(征求意见稿)》第5、6条之规定。[39] 在有特定告知对象的情形下,考虑到对信息主体权益的充分保障,应优先适用逐一告知方式,当该告知方式存在显著困难或者成本过高时,方可使用发布公告等不特定告知方式。
在我国,数据已与土地、劳动力、资本、技术等传统要素并列为五大生产要素,[10]数据要素的高效配置,是推动数字经济发展的关键一环,大数据在社会治理和数字政府建设中发挥了举足轻重的作用。首先,现行法律规范对政府机关处理个人信息的告知义务还未进行体系化的全面规制并突出政府机关处理个人信息的公法特性。
[28]而且在大数据和人工智能时代,随着电子政务和数字政府的推广,政府作为最大的个人信息处理者,滥用行政权侵犯公民个人信息权益的风险很大。第二,告知内容因告知方式而异。
值得注意的是,尽管个保法显示了政府应主动探知信息主体年龄的立法意向,但此种要求很可能因为难度过大而被虚置。郑子璇,中国人民大学法学院2018级法律硕士。其中,个人信息的保存期限是个人信息保护立法普遍规定的告知内容,但却较少在政府告知中被提及。[44]考虑到敏感信息被泄露或滥用将带来更大危害,在遵循比例原则和利益衡量原则的基础上,政府应当为敏感个人信息提供更为坚实的保护,并通过区分保护的方式降低行政成本,为收集敏感信息设置更为严格的必要性和目的限制要求,相关告知的内容也应增加处理该类信息的必要性以及对个人权益的影响等内容,并且一般应当获得信息主体的同意。正如个保法第28条规定,敏感个人信息一旦遭到泄露或者非法使用,将造成人格尊严受损或者人身和财产安全危机,一般认为,应当对一般信息和敏感信息进行区分保护,从而平衡个人权利的保护与个人信息的利用。[13]这明显不同于私法意思自治原则,以及私法领域的基本行为准则——法无禁止即自由。
而理论界对于告知同意规则的反思批判多是由民法学者展开的,主要针对私法主体适用该规则处理个人信息出现的问题,例如该规则的内在缺陷、异化现象、与个人信息社会属性以及大数据经济发展的冲突等。除此之外,为充分保护未成年人,学界已基本达成共识,认为处理未成年人个人信息应当告知其监护人。
在同一目的下,接收个人信息的政府机关相当于原机关的延伸,个人信息并未落入其他主体手中。根据个保法第59条,受托人应协助政府履行告知义务。
[24] Pieroth,Schlink. Grundrechte Staatsrecht II. 28. Auflage, C.F. Müller, 2012:Rn. 57, S. 16. [25] Georg Jellinek. System der subjektiven öffentlichen Rechte. 2. Aufl. 1919: S. 87. [26]张翔:《论基本权利的防御权功能》,载《法学家》2005年第2期,第66页。[9]据笔者亲身经历,普查员入户采集个人信息时,并未使用可以进行数据加密保护的电子化采集设备,而是采取填写纸质表格的方式。
与此同时,告知程序也体现了个人参与原则(Individual Participation Principle) [30],通过保障信息主体的参与权突出了在大数据时代人的主体性地位和个人自决权。[18]第三,从信息处理行为的性质角度而言,政府机关处理个人信息是一种行政活动方式,可以被视为特殊的行政事实行为,其一般不直接对信息主体的实体权利义务产生影响,且通常从外部基本看不到该事实行为,尤其在运用大数据分析或算法的自动化决策中。构成例外许可依据的一般是信息主体的同意或法律的授权。[29]政府机关在利用自动化行政程序处理个人信息时,应当遵循上述技术性正当程序,告知相对人信息处理行为并遵守相关算法公开规则。
我们认为,对政府机关处理个人信息而言,明确、合理指目的具体、清晰,且与政府机关的职责相匹配。[6]即个人基于自决的理念有权自主决定在什么时候、在什么限度内,关于他个人生活的事实可以被披露。
[4]告知是告知同意制度的核心组成部分。二、政府机关处理个人信息告知义务的公法理论基础 从理论视角考察,与私人主体处理个人信息不同,政府机关处理个人信息具有鲜明的公法属性,这体现在以下四个方面:个人信息处理规则本身具有的一般禁止、例外许可的公法属性、政府处理个人信息在行为性质上的公法特征、告知义务具有的基本权利防御功能以及告知义务作为制约政府信息权力的程序工具价值。
[17] Johannes Masing. Herausforderungen des Datenschutzes. NJW, 2012: S.2305. [18]参见周汉华:《中华人民共和国个人信息保护法(专家建议稿)及立法研究报告》, 法律出版社 2006 年版, 第 66 页。[19]私法主体处理个人信息则是双方基于同意这一合意基础上的民事法律行为。
[17]二者的主要区别如下:首先,处理个人信息的合法基础不同。据学者研究,较多政府巨型数据库的运作并不公开透明,并未受到法律、行政法规或者规章基于保护个人权利的限制和约束。但如何具体实施还有很多问题需要探讨,囿于篇幅,本文只探讨其中的告知义务问题。因此,非常有必要对信息行政行为进行全方面的法律规制。
[40]但是,公共管理等概念极为宽泛,使得政府各机关部门之间的信息处理隔离机制近乎失效。作者简介:喻文光,法学博士,中国人民大学法学院副教授,未来法治研究院研究员。
其中,在江西省乐安县人民检察院督促规范政府信息公开行政公益诉讼案中,针对行政机关在履行政府信息公开职能时泄露不应公开的公民个人信息的情形,检察机关通过制发诉前检察建议,依法督促行政机关履职整改,保护公民个人信息安全。第二,告知的内容变更时。
告知方式一般包括树立提示标志、发布公告或者规则等,如个保法第17条第3款就规定了制定个人信息处理规则这一方式,《告知同意指南》附录D也建议在用户端、问询处、柜台、办公室等处提供规则文本以供查阅。书面与口头告知的区别主要在于是否有书面凭证。
相关文章
发表评论
评论列表