摘 要：《個人信息保護法》在2021年11月1日開始施行，其中有關(guān)國家機關(guān)規(guī)定的法條有五條，但令人遺憾的是，這五條法律條文和其他法律法規(guī)涉及公權(quán)力部分僅是概括性規(guī)定，不利于解決實際案例，這對于處理和利用個人信息的重要參與者來說是遠遠不夠的。對于如何完善國內(nèi)個人信息保護立法有關(guān)對公權(quán)力的限制，則需要從國家機關(guān)處理和利用個人信息的合法性基礎(chǔ)、國家權(quán)利機關(guān)有權(quán)整合個人信息的情形、國內(nèi)外立法模式比較研究幾個方面進一步分析。

關(guān)鍵詞：國家機關(guān)；個人信息保護法；數(shù)字化防控

一、問題的提出以及研究基礎(chǔ)性概念的界定

放眼于大數(shù)據(jù)時代背景下，如何使個人信息在促進國家經(jīng)濟政治等方面飛速發(fā)展的同時，做到合理利用、正確處理個人信息是我們需要解決問題的重中之重。因此我們需要明確國家機關(guān)對于處理個人信息時所需要的法律依據(jù)以及如何限制公權(quán)力利用個人信息權(quán)利泛化。

在本文設(shè)定的研究框架內(nèi)，筆者認為對于國家機關(guān)范圍的界定應當做擴大解釋，即采用學者張新寶提出的“政府部門及法律法規(guī)授權(quán)具有行政職能的事業(yè)單位和社會組織”這一概念。

我國采取公私統(tǒng)一的個人信息立法模式，有關(guān)國家機關(guān)個人信息保護的規(guī)定在2021年11月實施的《個人信息保護法》中僅在第二章第三節(jié)中涉獵，而對于第三節(jié)中沒有涉及到的法律問題，可以類比原因其他章節(jié)對一般主體的規(guī)定。然而并不是所有的都能類比適用，例如該法第58條僅適用于“提供重要互聯(lián)網(wǎng)服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復雜的個人信息處理者”；該法66、69、71條中規(guī)定的行政責任（包括罰款）、民事責任與刑事責任當然地不適用于國家機關(guān)。當然，若是該法一般條文與特別規(guī)定相沖突，應當優(yōu)先適用第二章第三節(jié)的相關(guān)規(guī)定。筆者認為，若是泛談國內(nèi)立法模式不利于研究如何完善立法缺口，所以本文以“數(shù)字化防控”這一歷史背景下，通過國家機關(guān)處理和利用個人信息的情形來具體分析如何平衡公權(quán)力與私主體之間信息管理的權(quán)利范圍，避免公權(quán)力擴張泛濫，導致公民個人隱私泄露。

二、“數(shù)字化防控”背景下我國國家機關(guān)有權(quán)處理個人信息的合法性基礎(chǔ)

（一）數(shù)字化防控下國家機關(guān)所處理信息的分類

一般情況下，國家機關(guān)處理個人信息的目的大致有三：一是用來做人口普查，便于管理國內(nèi)人口戶籍檔案；二是高效化處理各種政務(wù)活動，以便管理房產(chǎn)、政審之類的信息記錄或者疫情背景下社區(qū)網(wǎng)格防控；三是用于國家大數(shù)據(jù)統(tǒng)籌分析更好進行國家管理職能，以便規(guī)劃未來十幾年的國家發(fā)展計劃。

處理不同種類的信息會產(chǎn)生不同的合法性基礎(chǔ)：比如有明確的法律法規(guī)條文援引的是法定基礎(chǔ)；取得個人信息權(quán)主體同意的為意定基礎(chǔ)；為了國家、社會公共利益以及個人信息權(quán)主體合法權(quán)益而處理的屬于酌定基礎(chǔ)。

以公安部門的戶籍信息為例，按照《個人信息保護法》第72條第2款的規(guī)定：“法律對各級人民政府及其有關(guān)部門組織實施的統(tǒng)計、檔案管理活動中個人信息，適用其規(guī)定。”公安部分的戶籍信息收集屬檔案管理活動，可知其所依據(jù)的是法定基礎(chǔ)。

以自主申報的個人信息為例，在申報人明知自己的信息會作為社區(qū)、省市人口流動的防疫信息處理對象（這里對普遍標準的一般人而言），所以推斷個人信息主體已經(jīng)知道申報的信息會被相關(guān)部門處理，該類信息屬于意定基礎(chǔ)。

以個地方大數(shù)據(jù)中心為例，大數(shù)據(jù)中心直屬于當?shù)卣?，由當?shù)卣跈?quán)，具有行政職能。該單位處理個人信息主要目的是為了個省市數(shù)據(jù)整合、數(shù)據(jù)綜合計算，以便于政府的政務(wù)工作、國家大數(shù)據(jù)統(tǒng)籌分析以此更好地進行國家管理職能。所以該項信息的處理依據(jù)的是酌定基礎(chǔ)。

（二）數(shù)字化防控下國家機關(guān)有權(quán)處理個人信息的情形討論

依據(jù)《個人信息保護法》第13條，羅列了七項有關(guān)可以處理個人信息的一般規(guī)定，其中與“數(shù)字化防控”相關(guān)的有“（一）取得個人的同意”“（三）為履行法定職責或者法定義務(wù)所必需”“（五）為公共利益實施新聞報道、輿論監(jiān)督等行為，在合理的范圍內(nèi)處理個人信息”“（七）法律、行政法規(guī)規(guī)定的其他情形”。其中“（四）為應對突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護自然人的生命健康和財產(chǎn)安全所必需”，該項由于偏向于“突發(fā)性”，本文討論的內(nèi)容大多涉及疫情常態(tài)化防控，因此不再本文討論范圍內(nèi)，故只對前四項進行論述。

按照以上四項條文，可以逐一分析其在數(shù)字化防控背景下所指向的具體情形。

一是取得個人同意。這里的取得個人同意，不僅包括個人自主申報的信息，還包括信息主體在使用健康碼、行程卡時，亦或是在社區(qū)防疫政策告知書上簽字等情況下，同意協(xié)議上有關(guān)公開個人信息的情形。后者大部分情況下是通過簽訂協(xié)議同意公開信息以此來獲得一定的生活服務(wù)，健康碼的開通和適用是為了用戶自由進出公共場所、防疫政策告知書的簽字是為了能夠獲得社區(qū)服務(wù)。該項合法性基礎(chǔ)最容易最為行政部門逃避“合法處理”的借口，必須明確適用該項法條規(guī)定的門檻必須達到信息主體自愿、不會因為拒絕提供信息而影響得到國家機關(guān)有關(guān)給付行為的程度。

二是為履行法定職責或者法定義務(wù)所必需。此處的法定職責一般由法律明文規(guī)定而獲得，屬于法律授權(quán)而擁有的處理和利用個人信息的情形，主要用于國家的政務(wù)數(shù)據(jù)處理。法定義務(wù)一般不由法規(guī)直接體現(xiàn)，而是滲透于國家機關(guān)日常工作中的原則性規(guī)定。根據(jù)這些原則性規(guī)定，法定義務(wù)可分為積極的和消極的：積極義務(wù)便是國家機關(guān)應該身為個人信息權(quán)主體的保護者，避免個人信息變成利益的工具而導致信息主體喪失主體性地位；消極義務(wù)指向的是國家機關(guān)非依法律法規(guī)、非依職權(quán)不得隨意處理和利用個人信息。

三是為公共利益實施新聞報道、輿論監(jiān)督等行為，在合理的范圍內(nèi)處理個人信息。在數(shù)字化防控背景下，尤其是“動態(tài)清零”政策下，各地實時新聞報道感染人數(shù)、感染人行動軌跡以及感染人小區(qū)住址等就屬于“為公共利益實施新聞導報”因此，需要適用該項合法性基礎(chǔ)需要鏈兩個條件，一是報道機關(guān)需要為公共利益而報道，二是需要國家授權(quán)。但是需要注意的是，根據(jù)黨的十三大報告提出，輿論報道的監(jiān)督主體為公民而非國家機關(guān)本身，故本文在此并不討論。

四是法律、行政法規(guī)規(guī)定的其他情形。例如《個人信息保護法》第72條所暗指的統(tǒng)計法和檔案法、《民法典》第111條“任何組織和個人”中的組織也同樣適用本文所討論的國家機關(guān)、《數(shù)據(jù)安全法》中對于國家機關(guān)規(guī)定的數(shù)據(jù)處理的安全責任等等。這些法律共同構(gòu)建了信息主體和國家機關(guān)相處的基本框架，而在數(shù)字化防控背景下，這些法律條文搭建起了個人信息權(quán)力與公權(quán)力友好溝通的橋梁，以及當個人信息權(quán)利受到侵害后所能夠適用援引的法律依據(jù)。

三、有關(guān)個人信息立法模式國內(nèi)外比較分析

通過研究國內(nèi)個人信息立法模式中有關(guān)國家機關(guān)的相關(guān)規(guī)定，對比美國、德國、日本三個國家中個人信息保護法體系中國家機關(guān)的有關(guān)法規(guī)，研究探討如何對國內(nèi)對于國家機關(guān)處理、利用個人信息立法問題的完善。

（一）美國采取公私分立，私領(lǐng)域分散立法的模式

將個人隱私權(quán)力這一概念進行擴大化解釋，是美國在相關(guān)領(lǐng)域的立法模式，就是把個人信息權(quán)包含在隱私權(quán)中予以法律保護。而其中美國法采用“公共/私人”二分法的隱私保護模式，所保護的范疇并不包括可公開獲取的信息。程嘯教授指出“所謂可公開獲取的信息是指從聯(lián)邦、州或地方政府記錄中合法取得的信息，但不包括企業(yè)在消費者不知情的情況下收集的有關(guān)消費者的生物特征信息?！泵绹@一模式的運行，其法律主要限制對象并不在私主體，與我國恰好相反，美國采取的是主要規(guī)制公權(quán)力，以規(guī)制私主體為例外，且對待私領(lǐng)域分散立法，這與美國的歷史與社會因素關(guān)系很大，我國應當適當借鑒，不能完全照搬。

（二）德國采取公私統(tǒng)一的立法模式

德國采取的公私統(tǒng)一的立法模式是以《聯(lián)邦個人信息保護法》為基礎(chǔ)的，總的來說，除非有特別法特別規(guī)定規(guī)定，否則國家機關(guān)和私主體適用同一套方法除了個人信息，有特別法規(guī)定的部分適用特別法。

值得注意的是，德國身為大陸法系的先行者，有很多立法模式都值得我們借鑒，在個人信息保護這一方面，德國憲法法院中“人口普查案”這一案例所提出的“資訊自決權(quán)”符合本文所提出的如何平衡公權(quán)力和私主體個人信息權(quán)問題的解決答案，即若非處于為了重大公共利益而不得不處理個人信息的情況外，國家機關(guān)必須要考慮到公共利益和私主體的比例原則，必要時應當詢問個人信息權(quán)主體的意愿，通過獲得權(quán)利主體的同意作為主要的合法性依據(jù)。

（三）日本采取各部門單行法補充模式

日本最早的針對個人信息保護的法律是1988《行政機關(guān)保有的電子計算機處理的個人信息保護法》，日本學者普遍認為，個人信息保護法的出發(fā)點在于限制公權(quán)力，而不是干預私人自由。即使后來歐盟出臺了《個人信息保護指令》，日本擔心現(xiàn)行法律可能影響歐盟在日本的貿(mào)易，于是分別對于公私領(lǐng)域分別立法，并在2003年出臺《個人信息保護法》，構(gòu)筑了以該法為基本法，各部門單行法為補充的法律體系。

日本這立法模式昭示這其在大陸法系國家的領(lǐng)先地位，立法完善可以在理論上更好的解決基礎(chǔ)學理問題，但是由于體系內(nèi)部法律法規(guī)十分繁雜，不利于解決實務(wù)，可能造成“有法而不詢法”的問題，我國身為世界第一人口大國，相關(guān)問題層出不窮，案件事實都要復雜多樣，繁重冗雜的法律法規(guī)不適于我國國情，在學習和借鑒日本立法的基礎(chǔ)上，還要更多注意法規(guī)適用問題的普遍性。

四、結(jié)論

過多的限制會導致國家機關(guān)政務(wù)活動無法正常運轉(zhuǎn)，進入“半癱瘓”狀態(tài)；而若不做限制或者限制不夠，公權(quán)力就會成為某些犯罪分子攫取利益的工具。而我國現(xiàn)在暫時采取以主要規(guī)范企業(yè)和個人對個人信息的處理和利用，以公務(wù)機關(guān)的處理和利用為例外。相較于這種公私統(tǒng)一立法的模式，對于公務(wù)機關(guān)的規(guī)定會少之又少，這不利于約束公權(quán)力，可能會導致公權(quán)力對個人信息權(quán)利泛化。

目前，美國和日本對于個人信息隱私的保護方式較為分散，講個人信息分為個人健康信息、個人隱私信息、網(wǎng)絡(luò)數(shù)據(jù)信息等等，通過各個行業(yè)實行全面監(jiān)督的立法模式來保護個人隱私不受侵犯；我國和德國都屬于大陸法系國家，均采用公私統(tǒng)一的立法模式，不僅沒有將個人信息分類立法，反而連國家機關(guān)都喝私主體共用一套法律法規(guī)。前者的優(yōu)勢在于立法清除明確，在適用法律上能做到一一對應，缺點在于過于冗雜的法規(guī)會致使“有法而不詢”現(xiàn)象，對于司法實務(wù)而言加重了負擔；后者的優(yōu)點在于能夠解放司法實務(wù)，將解釋權(quán)交到法官手上，便于審理案件，缺點在于法規(guī)單一，不能準確地適用法律。中國的《消費者權(quán)益保護法》《民法典》《網(wǎng)絡(luò)安全法》也在一些領(lǐng)域確立了保護個人隱私相關(guān)方面的法律法規(guī)，完善了法律體系。但中國個人信息保護領(lǐng)域仍然有一些缺陷，在一些規(guī)定上仍描述較模糊，不夠明晰，體系不夠完善，沒有形成覆蓋所有行業(yè)的綜合性體系，因此在保護個人信息和隱私方面仍有較大的進步空間。

想要完善我國的個人信息保護法體系，首先要做到普及個人信息權(quán)這一概念，任何權(quán)利的保護都有賴于權(quán)利主體擁有保護權(quán)利的意識，只有當每個人都了解個人信息泄露帶來的實際危害才能真正促進國內(nèi)立法的推進；其次要建立起完善的救濟系統(tǒng)，中國龐大的人口數(shù)量決定了國內(nèi)個人信息數(shù)據(jù)處理的復雜，一個人的能力在公權(quán)力面前顯得微小無助，公權(quán)力得不到限制就很容易壓迫人民，這就會與公權(quán)力誕生的本初背道而馳，我們需要做的，是在科學技術(shù)與信息處理需求不對等時，要盡量完善法律制度，做到最大程度地將信息權(quán)的主體地位歸還給私人。

由此可見，我國應該早日出臺相關(guān)的針對性法律。一方面面方便司法，易于理解和執(zhí)行，在個人信息遭受侵害時有利于信息主體在第一時間找到法律依據(jù)，而不需要花大量的時間去搜集零散在各部法律法規(guī)中的相關(guān)法規(guī)；一方面便于國家機關(guān)整理數(shù)據(jù)，將不符合法律法規(guī)授權(quán)的信息從機關(guān)系統(tǒng)內(nèi)移除，減輕政務(wù)數(shù)據(jù)庫處理壓力。

參考文獻：

[1]張新寶，葛鑫.《個人信息保護法》（專家建議稿）[J].網(wǎng)絡(luò)信息法學研究，2019（02）：3-31.

[2]張新寶.《民法總則》個人信息保護條文研究[J].中外法學，2019，31（01）：54-75.

[3]彭錞.論國家機關(guān)處理個人信息的合法性基礎(chǔ)[J].比較法研究，2022（01）：162-176.

[4]王錫鋅.個人信息國家保護義務(wù)及展開[J].中國法學，2021（01）：145-166.DOI：10.14111/j.cnki.zgfx.2021.01.010.

[5]王利明.論個人信息權(quán)的法律保護——以個人信息權(quán)與隱私權(quán)的界分為中心[J].現(xiàn)代法學，2013，35（04）：62-72.

[6]程嘯.論公開的個人信息處理的法律規(guī)制[J].中國法學，2022（03）：82-101.DOI：10.14111/j.cnki.zgfx.20220511.003.

[7]Buchner，Informationelle Selbstbestimmung im Privatrecht，2006，S． 26．

[8]謝青.日本的個人信息保護法制及啟示[J].政治與法律，2006（06）：152-157.

[9]曾益康.數(shù)據(jù)時代健康信息交換中的隱私保護——以美國《HIPAA法案》為例[J].中國數(shù)字醫(yī)學，2022，17（03）：6-10.

[10]喻文光，鄭子璇.數(shù)字時代政府機關(guān)處理個人信息告知義務(wù)制度的公法建構(gòu)[J].人權(quán)，2022（03）：1-20.DOI：10.16696/j.cnki.11-4090/d.2022.03.010.

[11]齊愛民.中華人民共和國個人信息保護法學者建議稿[J].河北法學.