摘要:为此,必须站在法治政府与法治社会一体建设的高度,通过社会信用建设倒逼政务诚信改革,努力建成守法诚信的法治政府。 ...
比如1930年陈汉章作《古有宪法考》,文中辑《墨子》等证明夏王朝已有宪法。
按照《传染病防治法》19条的规定,省级人民政府有权发布传染病预警信息。而丁香园等专业机构通过大数据技术的加工处理,提炼出数据背后的普遍性特征,对各类数据进行可视化处理,为疫情治理中的病源与感染人群进行精准画像,从而建立高效便捷的疫情监测和预警机制。
由此可见,此次武汉疫情信息公开是延误的,其原因除了法定主体不作为外,疫情信息公开的法律规范冲突也是重要因素。首先,在行政系统内部,应该以地方政府为主导,强化其他职能部门的专业协同定位,构建一体化的信息公开机制。在疫情发生初期,各种非正式信息可能会迅速传播,政府通过权威渠道发布准确的信息,有利于抑制假冒伪劣信息的扩散,谣言也将不攻自破。[28] 参见王锡锌:《传染病疫情信息公开的障碍及克服》,载《法学》2020年第3期。政府在疫情信息公开的同时,可以将原始的疫情数据向数据服务专业机构开放,通过数据的市场化利用,释放信息资源开放的社会效用,有利于民众获取更精细化的信息服务。
突发公共卫生事件的处置必须在一定的时效内进行,否则会导致事态的升级或后期处理上难度的加剧。[5] 参见王晓君:《政府危机管理法律问题研究》,山东人民出版社2008年版,第29—30页。对于个人信息保护主要存在两种进路:一是主张赋予权利,二是主张规范个人信息处理行为。
中国2020年发布的《信息安全技术个人信息安全影响评估指南》,以国家推荐性标准的方式,对个人信息安全影响评估的评估原理、评估实施流程作了具体规定。二、个人信息处理的正当原则:目的特定、明确、合理 正当原则是合法处理个人信息的首要条件,它要求个人信息处理的目的特定、明确、合理。尽管法律可以列举常见的个人信息处理目的,但永远无法穷尽。[34]个人信息处理者在个人同意的基础上,可以开放个人信息给第三方使用,但第三方应在授权目的范围内合理使用,并且应获得个人的二次同意。
狭义的必要原则是比例原则的子原则之一,它要求有助于目的实现的手段,具有必要性。随着数字政府建设的不断推进,政府进行个人信息处理的范围和频度必将不断扩张。
学界对于个人信息处理的目的要求也存在认识分歧。所处理的数据的数量、数据留存时间、处理的范围等都必须与数据处理的目的相称。[25]目的正当无法证成手段正当,个人信息处理除了应遵循目的正当原则,还应符合处理手段必要原则。[49]一些国家和地区的法院将成文法中的必要性条款解释为比例原则。
至于个人信息处理的哪些目的是合理的,法律对于常见情形可以作出列举,即明确规定合法利益的类型。但公共利益属于典型的不确定性法律概念,内涵与外延十分模糊,容易被滥用。国家计算机病毒应急处理中心在净网2020专项行动中发现,多款民宿、会议类移动应用存在超范围采集个人信息。发源于18世纪末期德国警察法的比例原则,如今在很多国家已发展成为宪法基本原则。
在大数据时代,个人信息只有反复被处理才能真正实现物尽其用。在新浪微博诉脉脉案中,法院认为,脉脉通过OpenAPI开发合作方式获取新浪微博用户的职业信息、教育信息,尽管OpenAPI是实现数据资源共享的新途径,但为了保护用户隐私同时维护企业的核心竞争优势,第三方通过OpenAPI获取用户信息时应坚持用户授权+平台授权+用户授权的三重授权原则。
然而,不宜过度扩张目的限制原则和目的正当原则的内涵。运用个人信息实现公共利益的行为必将更加普遍。
该条实际上是比例原则的体现,对个人信息处理目的和手段提出了要求。[43]《个人信息保护法》第51条只是简单规定对个人信息实行分类管理,并从二审稿开始就删除了一审稿中分级一词——对个人信息实行分级分类管理。为了顺利签订或履行合同,个人信息处理者不经个人同意,可以在必要限度内处理个人信息。[12]齐爱民认为,应确立目的明确原则:收集时必须有明确的特定目的,禁止超出目的范围收集、处理和利用个人信息。《民法典》第一编总则第111条、第四编人格权编第六章隐私权与个人信息,都只是使用了个人信息权益。国家机关处理个人信息,必须出于正当目的,因为其是公共利益的化身。
二是规定目的限制原则。其一,收集与正当目相关联的最少够用的个人信息。
不得高频率反复收集相关个人信息。2014年,欧盟第29条工作组出台规定要求数据控制者进行合比例性平衡测试,证明数据处理的合法利益高于数据主体的个人利益。
结语 个人信息有用,但应用之有道。(2)医疗健康、公共卫生事项。
如《一般数据保护条例》第6条(b)项规定:履行数据主体作为一方当事人的合同,或在订立合同前为实施数据主体要求的行为所必要的数据处理。根据个人信息的类型、处理目的、处理范围、处理场景等因素,对个人信息处理引发风险的可能性、严重性等不利影响进行全面评估,有助于比较不同处理手段的损害大小,最终选择一个最小损害的最佳处理手段。而且,告知同意并非个人信息处理的唯一合法原则,其适用存在的例外情形应受正当、必要原则的实体约束。[25]参见广州互联网法院(2019)粤0192民初11652号民事判决书。
例如私主体为应对突发公共卫生事件、为公共利益实施新闻报道而处理个人信息,不得对个人造成过度损害而出现利益失衡的情形。在很多情形下,不经个人同意也可以直接处理个人信息。
[28]互联网企业超范围收集个人信息并不少见。本文所称的个人信息处理,是指对个人信息的任何操作,涉及对个人信息的收集、存储、使用、加工、传输、提供、公开等各个环节。
同主要评价目的的正当原则相对应,必要原则主要是对个人信息处理手段的规范,它要求在必要限度内处理并保护个人信息。[1]See Judith Rauhofer,Look to Yourselves, That We Lose Not Those Things Which We Have Wrought: What Do Proposed Changes to the Purpose Limitation Principle Mean for Public Bodies' Rights to Access Third-Party Data, International Review of Law, Computers Technology, Vol.28, No.2 (2014), p.145。
欧盟《一般数据保护条例》第6条规定了处理个人数据的6种合法性条件,同意仅为其中一种情形。随着数字经济的不断发展,告知同意机制的例外情形必定会越来越多,个人信息安全隐患也将日益增多。[18]See Alessandro Mantelero,The future of consumer data protection in the E. U. Re-thinking the ‘notice and consent paradigm in the new era of predictive analytics, Computer Law Security Review, Vol.30, No.6 (2014), p.652. [19][英]维克托·迈尔—舍恩伯格、肯尼思·库克耶:《大数据时代:生活、工作与思维的大变革》,盛杨燕、周涛译,浙江人民出版社2013年版,第197页。《民法典》确立的合理使用制度,实际上是要求个人信息处理应当符合法律规定合理使用所希望达到的正当目的,且手段和方式没有超过为实现该目的而可以采取的最缓和的方式。
谢琳:大数据时代个人信息使用的合法利益豁免,《政法论坛》2019年第1期,第74页以下。《信息安全技术个人信息安全规范》提出,建立适当的数据安全能力,落实必要的技术和管理措施。
[46]判断个人信息处理是否具有均衡性,首先需要对实现特定、明确、合理的正当目的所带来的收益进行评估,然后客观评估个人信息处理造成的损害,最后在此基础上进行损益对比分析。如果个人信息处理导致利益失衡,则不符合必要原则。
合法、正当、必要原则分别评价个人信息处理的形式合法性、目的正当性和手段必要性。《个人信息保护法》第6条体现了必要原则,要求处理个人信息应当采取对个人权益影响最小的方式,不得过度收集个人信息。
