数字政府建设中个人信息保护的风险规制路径_刘绍宇.pdf

资源描述

1、*刘绍宇,中国社会科学院法学研究所助理研究员。本文为国家社会科学基金重大项目“行政诉讼类型制度的构建研究”(1 9 Z D A 1 6 3)、中国博士后科学基金第1 4批特别资助“论私法主体的公法管控:以网络平台为考察对象”(2 0 2 1 T 1 4 0 7 2 7)阶段性研究成果。N o.2,2 0 2 3p p.5 1 6 7数字政府建设中个人信息保护的风险规制路径刘绍宇*内容提要:公共部门个人信息保护制度的完善是建构数字法治政府的必由之路。我国个人信息保护法采取了公私部门一体调整的宣示性立法模式,目前既无法为公共部门个人信息保护提供足够的规则指引,也未充分满足数字政府建设的需要。数字

2、政府个人信息保护规则的建构,不仅需要考虑公共部门相对私人部门在个人信息处理活动中的特殊性,还要兼顾数字政府在技术和治理这两个层面的革新,进而制定专门规则。风险规制模式不仅是世界范围内个人信息保护制度的发展趋势,而且能够为一体调整模式提供理论基础。通过风险预防原则的适当运用,对个人信息权利的风险化解释与调适,风险管理、风险交流和风险评价等风险规制机制的灵活运用,以及合作治理、独立规制机构、技术治理、回应治理、试验规制和软法之治等风险规制策略的共同配合,建构以风险规制为导向的数字政府个人信息保护机制是我国未来的最优选择。关键词:数字政府个人信息保护风险规制一、问题的提出近年来,我国一直致力于推

3、动数字政府建设,并取得了令人瞩目的成绩。在数字政府建设中,政府汇集了整个社会的数据资源,并利用其实现大数据治理,这在提升行政服务水平、促进数字经济发展和推动国家治理现代化的同时,也带来了极大的数据安全和个人信息风险。数据安全和个人信息保护是数字政府建设中不可忽视的议题,一直受到我国政府的高度重视。中国共产党第十九届四中全会作出的中共中央关于坚持和完善中国特色社会主义制度推进国家治理体15DOI:10.16823/ki.10-1281/d.2023.02.0052 0 2 3年第2期系和治理能力现代化若干重大问题的决定明确提出“推进数字政府建设,加强数据有序共享,依法保护个人信息”。而在2

4、0 2 2年6月2 3日发布的国务院关于加强数字政府建设的指导意见中,国务院更是以专章规定“构建数字政府全方位安全保障体系”,其中包括“加大对涉及国家秘密、工作秘密、商业秘密、个人隐私和个人信息等数据的保护力度”。与此同时,我国个人信息保护法律体系建设也正稳步推进。尤其是2 0 2 1年中华人民共和国数据安全法(以下简称数据安全法)和中华人民共和国个人信息保护法(以下简称个人信息保护法)这两部法律的颁行,标志着我国个人信息保护法律制度基本成型。然而,尽管个人信息保护对数字政府建设来说至关重要,但个人信息保护制度的建构似乎与数字政府建设平行进行,并未为后者提供足够的制度供给。个人信息保

5、护法采取公共部门与私人部门一体调整模式,被认为是一种“象征性立法”1,远远无法满足数字法治政府建设的制度需求,“数字政府建设过程中的个人信息保护尚未得到应有的重视”2。一体调整模式既无法为公共部门个人信息保护提供足够明晰的规则指引,也未回应数字政府建设的需要,“个人数据权利保护的制度供给不足是当前掣肘数字政府变革的重要因素之一”3。如何规范公共部门个人信息处理活动,尤其是如何建构与数字政府兼容的个人信息保护制度,是建设数字政府和完善个人信息保护制度的重大议题之一。尽管目前学界已对政府处理个人信息活动的规范展开了深入研究,4但绝大多数研究并未充分考虑政府数字化转型的时代背景,而仍是在传统政府视角

6、下的探讨。事实上,学界普遍认为数字政府给个人信息保护制度带来了极大的挑战,有学者直接指出数字政府与个人信息保护之间存在难以弥合的矛盾,5还有学者考察了开放政府、数据治理、平台政府与个人信息保护之间的冲突,6以及知情同意原则、目的限制原则与数字政府之间的张力7。对于如何建构数字政府个人信息保护制度这一问题,学界存在权利保护路径和风险管理路径之间的争议。权利保护路径侧重于探讨个人信息保护原则以及个人信息权利如何在数字政府中实现,风险管理路径则认为应通过政府内部风险管理实现个人信息保护。本文认为应整合上述两种251234567王锡锌:行政机关处理个人信息活动的合法性分析框架,载比较法研究2 0 2

7、 2年第3期,第9 4页。马颜昕等:数字政府:变革与法治,中国人民大学出版社2 0 2 1年版,第3 7 0页。董筱文、胡雯:以法治化赋能数字政府建设,载中国社会科学报2 0 2 2年8月1 0日,第8版。参见赵宏:告知同意在政府履职行为中的适用与限制,载环球法律评论2 0 2 2年第2期;喻文光、郑子璇:数字时代政府机关处理个人信息告知义务制度的公法建构,载人权2 0 2 2年第3期;彭錞:论国家机关处理个人信息的合法性基础,载比较法研究2 0 2 2年第1期;孙清白:国家机关处理个人信息的特殊风险及其法律规制,载安徽大学学报(哲学社会科学版)2 0 2 2第3期;程子栋、王鹏彪、

8、罗海宁:对数字政府安全技术合规分析的建议,载中国信息安全2 0 2 2年第8期。V g l.R o n a g e l/L a u e,Z w e c k b i n d u n g i mE l e k t r o n i kG o v e r n m e n t,D V 1 2(2 0 0 7),5 4 3,5 4 4;H a n s e n,D i e a m b i v a l e n t eB e z i e h u n gz w i s c h e ne G o v e r n m e n tu n dD a t e n s c h u t z,D u D1 0(2 0 2 1)

9、,6 6 4,6 6 4;S t u t z,V e r a n t w o r t l i c h k e i tu n dD a t e n c h u t zi mE-g o v e r n m e n t,i n:W i n d/K r g e r(H r s g.),H a n d b u c hI Ti nd e rV e r w a l t u n g,2 0 0 6,S.3 4 7.参见宋烁:论政府数据开放中个人信息保护的制度构建,载行政法学研究2 0 2 1年第6期;宋华琳、郑琛:论政府数据开放中的数据安全保护制度,载中国司法2 0 2 2第3期;彭箫剑:平台型政府及行政

10、法律关系初论,载兰州学刊2 0 2 0年第7期。参见马颜昕、吴敏慧:数字政府建设中适用的挑战与展望,载网络信息法学研究第1 1期,中国社会科学出版社2 0 2 2年版,第1 2 2页。刘绍宇:数字政府建设中个人信息保护的风险规制路径路径的优劣,提出一种风险规制路径,为建构数字政府中的个人信息保护提供理论基础和制度指引。本文第一部分从权力、技术和组织这三个层面系统讨论数字政府建设如何对个人信息保护制度构成挑战,在此基础之上,第二部分提出个人信息保护的风险规制路径,并对其在数字政府中的运用予以证成,最后探讨如何在风险规制路径下完善数字政府个人信息保护制度。二、数字政府建设对个人信息保护制度带

11、来的挑战学界普遍认为我国个人信息保护制度与数字政府建设之间存在难以弥合的矛盾,数字政府建设给个人信息保护制度带来严峻挑战。这主要是因为,在目前的一体调整模式下,我国以私人部门为范式建构的个人信息保护规则并未考虑到公共部门的独特之处和数字政府的最新发展。本文结合数字政府的主要特征,从公共属性、技术进步和治理革新这三个层面分析数字政府建设何以为个人信息保护制度带来挑战。(一)公共属性给个人信息保护制度带来的挑战我国个人信息保护法确立的一体调整模式,本质上是将以私人部门为范式建构的个人信息保护规则适用于公共部门,并未顾及数字政府的公共属性。公共属性是政府的固有属性,意味着政府主要是为了完成取向于公

12、共福祉和公共利益的公共任务,进而被法律赋予职权。政府的公共属性并不因为其数字化转型而丧失,而应予以特别保护。公共部门之所以要有专门的个人信息保护规则,主要是基于其公共属性,这也是一体调整模式制度供给不足的首要原因。正基于此,在个人信息保护立法较为悠久的德国,公共部门个人信息保护立法一直独立于私人部门存在。公共部门之所以给以私人部门为范式建构的个人信息保护制度带来挑战,主要是基于两个方面的原因。一方面,政府完成公共任务主要是为了维护公共利益,而个人信息保护制度主要是一种维护个人权益的机制。政府在履行公共职责时,个人信息保护原则和个人信息权利均会因为公共利益的优位性而受到限制。欧盟保护警察和刑事

13、司法当局使用的个人数据指令(以下简称L E D)和德国各州公共机构数据保护立法之中均对知情同意原则、目的限制原则和透明原则有不同程度的放宽,对个人信息权利也有一定限制。8甚至有学者认为目的限制原则被完全突破,因为与欧盟通用数据保护条例(G D P R)不同的是,只要符合合法性和必要性原则的要求,个人信息被再次处理的目的并不需要与初始目的兼容。9另一方面,政府无论是从事秩序行政还是服务行政,个人信息主体均处于一种非对等关系的弱势地位,诸如“同意”这样的个人信息保护机制基本失灵。有德国学者以疫情防控软件为例,指出该情境下政府搜集个人信息获取的同意根本无法实现有效的权利保护。1 035891 0S

14、 e eM a r kL e i s e r&B a r tC u s t e r s,T h eL a wE n f o r c e m e n tD i r e c t i v e:C o n c e p t u a lC h a l l e n g e so fE UD i r e c t i v e 2 0 1 6/6 8 0,5(5)E u r o p e a nD a t aP r o t e c t i o nL a wR e v i e w3 6 7,3 7 3(2 0 1 9).S e eC a t h e r i n eJ a s s e r a n d,L a wE n

15、f o r c e m e n tA c c e s st oP e r s o n a lD a t aO r i g i n a l l yC o l l e c t e db yP r i v a t eP a r t i e s:M i s s i n gD a t aS u b j e c t s S a f e g u a r d s i nD i r e c t i v e2 0 1 6/6 8 0?,3 4(1)C o m p u t e rL a w&S e c u r i t yR e v i e w1 5 4,1 6 3(2 0 1 8).V g l.S a m a r

16、d z i c/B e c k e r,D i eG r e n z e nd e sD a t e n s c h u t z e s:D e rb e s c h r a n k t eS c h u t zd u r c hF r e i w i l l i g k e i tu n dE i n w i l l i g u n gb e iC o r o n a-A p p s,E u ZW3 1(2 0 2 0),6 4 6,6 4 6.2 0 2 3年第2期根据政府活动公共属性的高权程度不同,个人信息保护规则也应有所不同,而我国目前的一体调整模式并未作出这种区分。以欧盟为例,政府警

17、察、刑事司法活动和一般行政活动的个人信息保护规则并不相同。一般来说,政府活动高权程度越高,相应的公共属性越强,对公民基本权利的影响越大,对以私人部门为范式建构的个人信息保护制度形成的挑战越大,特别规则的建立也越有必要。根据高权程度的不同,政府活动可以区分为警察和刑事司法活动、秩序行政、服务行政和私行政。结合前述原理,私行政活动可参照个人信息保护法其他部分的规定,因此“同意”在政府处理个人信息中也有适用空间。1 1警察和刑事司法活动高权属性最强,绝大多数国家建立了专门的个人信息保护规则。我国刑事诉讼法学界也对此展开了专门的深入研究,普遍认为应进行刑事诉讼个人信息保护专门立法。1 2一般秩序行政

18、和服务行政则基本可以参照私部门个人信息保护规则,适用一体调整模式。不过,由于各个国家对警察、犯罪和刑事司法等概念的理解存在差异,警察、刑事司法活动和秩序行政实际上存在一定区分难度,在欧盟实践中已经造成困扰。1 3(二)技术手段给个人信息保护制度带来的挑战数字政府给个人信息保护制度带来挑战的另一关键原因在于,数字政府广泛运用了大数据、人工智能、区块链、云计算、物联网乃至虚拟现实和深度合成等新型数字技术。个人信息保护制度的本质是技术监管工具,1 4从监管理论上来说,其应随着技术进步而更新,否则会造成规制滞后。我国目前的个人信息保护制度整体上根植于2 0世纪8 0年代的公平信息实践,上述每一项技术革

19、新均给其带来冲击,对此法律与技术界已展开了深入的探讨。1 5而数字政府是上述技术的综合运用,1 6更给个人信息保护带来系统性风险和根本性挑战。具体来说,数字技术的发展在以下几个方面给个人信息保护制度带来挑战,这些挑战目前已在数字政府建设中凸显。1.个人信息与非个人信息的区分传统个人信息保护制度是建立在个人信息与非个人信息二分基础之上,个人信息被认为是个人信息保护立法的核心与前提。而在数字政府建设的大背景下,为了充分发挥大数据技术的治理潜力,数据融合越来越频繁,个人信息与非个人信息的区分开始模糊,非个人信息被重新识别的难度越来越低。早在个人信息保护法出台之前,关于个人信息的界定处于众说纷纭的状

20、态,司法实践中也是莫衷一是。个人信息保护法出台后,尽管其对个人信息作出了较为明确的定义,但上述分歧并未完全消失。至今,个人信息的界定,仍然困扰着理论与实务界。在大数据时代,这一问题在未来根本无法得到解决,本质上是因为大数据技术使得重新识别越来451 11 21 31 41 51 6参见前引 4,彭錞文。参见裴炜、张桂贤:论刑事诉讼中个人信息保护的知情规则,载成都理工大学学报(社会科学版)2 0 2 2年第4期;郭烁、杨默涵:受限、契合与独立:论刑事诉讼数据处理原则,载北京航空航天大学学报(社会科学版)2 0 2 2年第4期;郑曦:刑事诉讼个人信息保护论纲,载当代法学2 0 2 1年第2期

21、。V g l.K u g e l m a n n,A n w e n d u n g s b e r e i c hu n dS p i e l r a u m ed e rL a n d e s d a t e n s c h u t z g e s e t z e,i n:S e c k e l m a n n(H r s g.),D i g i t a l-i s i e r t eV e r w a l t u n gV e r n e t z t e sE-g o v e r n m e n t,2.A u f l.,2 0 1 9,S.4 3 2.V g l.V o g e l,D

22、 a sD a t e n s c h u t z r e c h t a l s I n s t r u m e n td e rT e c h n i k r e g u l i e r u n g,i n:S u s a n n e/C a r s t e n/B r i a n(H r s g.),D i g i-t a l i s i e r u n g,A u t o m a t i s i e r u n g,K Iu n dR e c h t.F e s t g a b ez u m1 0-j h r i g e nB e s t e h e nd e rF o r s c h

23、 u n g s s t e l l eR o b o t R e c h t,2 0 2 0,S.6 4 5.S e eT a lZ a r s k y,I n c o m p a t i b l e:T h eG D P Ri nt h eA g eo fB i gD a t a,4 7(4)T h eS e t o nH a l lL a wR e v i e w9 9 5(2 0 1 6).国务院发布的全国一体化政务大数据体系建设指南中指出,积极运用云计算、区块链、人工智能等技术提升数据治理和服务能力。刘绍宇:数字政府建设中个人信息保护的风险规制路径越容易。2.目的限制原则目的限制原

24、则是我国个人信息保护制度的基础原则,规定在个人信息保护法第6条第1款中。所谓目的限制原则,是指个人信息的收集和利用均限于最初确立的目的,与该目的保持一致。从一定程度上说,目的限制原则和大数据技术的运作模式存在根本冲突。在数字政府的大背景下,大数据技术的要义便在于不断去发掘数据的价值,使数据发挥在搜集时难以预料到的作用。而目的限制原则要求个人信息的利用限于搜集时的目的,阻碍了新功能和新服务的研发,不利于数据利用价值的发挥。因此,在数字经济建设的大背景下,目的限制原则受到越来越多的批判,不少国家也通过引入兼容性使用标准、无法预料标准和尊重场景原则等来缓和目的限制原则的严格要求。1 7而我国则仍坚

25、持了严格的目的限制原则,因而加剧了个人信息保护制度与数字政府建设,尤其是大数据治理之间的冲突。1 83.知情同意原则知情同意原则是世界范围内个人信息保护法的核心机制,在我国个人信息保护制度中也发挥关键作用。网络安全法一度将同意作为个人信息处理唯一的合法性基础,个人信息保护法尽管规定了更加多元化的合法性基础,但知情同意原则仍具有基础地位。然而,知情同意原则作为落实个人信息自决的机制,其前提在于个人信息主体具有独立自主决定的能力,对此个人信息保护法也专门规定,要求知情同意必须“由个人在充分知情的前提下自愿、明确作出”。而在数字政府背景下,数字技术的应用使得个人信息主体根本不可能满足这一前提条件,

26、用户对其个人信息的控制是虚幻的。1 9由于个人根本无法理解隐私协议,也无法理解数字政府建设中的数字技术,以及其对个人信息所带来的风险,这种同意并不是建立在充分知情基础之上。4.个人信息权利个人信息权利在不少数字技术中也难以实现,具有代表性的例子是人工智能、区块链和云计算技术。就人工智能来说,在机器学习中如何确保删除权和被遗忘权在国内外数据合规实践中已经成为一个难题,“数据删除的要求实际上已经游离在一种不可能的边缘”2 0,“完全删除数据是一项计算密集工作,既不经济实用也不环保”2 1。就区块链技术来说,删除权和被遗忘权2 2等个人信息权利的行使与区块链记录的完整性、防篡改性、可追溯性等原生特性

27、存在悖论,在技术551 71 81 92 02 12 2参见朱荣荣:个人信息保护“目的限制原则”的反思与重构以第6条为中心,载财经法学2 0 2 2年第1期。参见刘权:论个人信息处理的合法、正当、必要原则,载法学家2 0 2 1年第5期。S e eN e i lR i c h a r d s&W o o d r o w H a r t z o g,T h eP a t h o l o g i e so fD i g i t a lC o n s e n t,9 6(6)W a s h i n g t o nU n i v e r s i t yL a wR e-v i e w1 4 6

28、 1,1 4 7 3(2 0 1 8).翟凯:论人工智能领域被遗忘权的保护:困局与破壁,载法学论坛2 0 2 1年第5期,第1 4 2页。M i c h l eF i n c k,T h eL i m i t so f t h eG D P Ri n t h eP e r s o n a l i s a t i o nC o n t e x t,i nU.K o h l&J.E i s l e r e d s.,D a t a-D r i v e nP e r-s o n a l i s a t i o ni nM a r k e t s,P o l i t i c sa n dL a w,

29、C a m b r i d g eU n i v e r s i t yP r e s s,2 0 2 1,p.1 0 0.V g l.M a r t i n i/W e i n z i e r l,D i eB l o c k c h a i n-T e c h n o l o g i eu n dd a sR e c h ta u fV e r g e s s e n w e r d e n,NVw Z1 7(2 0 1 7),1 2 5 1,1 2 5 1.2 0 2 3年第2期上难以实现。2 3就云计算技术来说,删除权和可携带权等个人信息权利在云计算架构中难以实现。2 45.个人信息保

30、护责任数字技术的发展不仅给个人信息权利带来挑战,而且给个人信息保护责任分配也造成威胁,这在区块链和云计算技术中尤为明显。个人信息风险管理以确定个人信息处理者为前提,进而课以个人信息处理者一系列义务责任。在区块链技术中,由于其去中心化的架构特征,中心化的个人信息处理者并不存在,如何认定个人信息处理者,至今仍是困扰理论界和实务界的难题,导致个人信息保护责任难以明确。2 5在云计算技术中,由于涉及各方均难以决定个人信息处理目的,个人信息处理者与个人信息受托人,以及欧盟法上的数据控制者与数据处理者之间的区分很难明晰,2 6进而影响了个人信息保护责任的分配。(三)治理理念给个人信息保护制度带来的挑战除了

31、技术手段之外,数字政府所蕴含的治理理念也给传统个人信息保护制度带来极大的挑战。从传统政府到数字政府,本质上是为了“建设人民满意的服务型政府”,在治理理念上发生了整体政府、合作政府和平台政府的转变,传统个人信息保护制度无法满足变革所带来的制度需求。尽管数字技术在建构数字政府进程中发挥着举足轻重的作用,但治理理念的变革更为重要。理念是目的,技术只是工具,否则数字政府只会沦为一种形象工程。首先,从政府内部关系来说,数字政府正在向整体政府转型。整体政府理念最早源自西方,核心在于整体性协作,其内容十分广泛,既包含不同层级政府之间的上下协作,也包含同一层级不同政府之间以及同一政府不同部门之间的左右协同,还

32、包括政府与企业和非营利组织之间的内外合作。近年来,我国行政管理改革和法治政府建设也被认为发生了向整体政府的转变,2 7尤其是数字政府建设更是贯穿了整体政府的理念。在数字时代,数字技术的兴起和运用使得整体政府的理念更容易得到贯彻,整体政府进而也成为数字政府的重要特征。尤其是政府组织内部的数据共享打破了以往各个机构之间的信息孤岛,在线协作、跨部门协同和线上线下的交互融合协同,实现了整体性协同运行的路径建设。其次,从政府企业关系来说,数字政府正在向合作政府转型。数字政府建设需要大量的技术支撑和资源投入,政府根本没有足够的能力单独完成,此时只能引入民间资本和企业力量才能满足技术、资金、人力等方面的需求

33、。因此,公私合作成为我国乃至全球数字政府建设的普遍模式,对私人企业的依赖是以往任何公私合作形式所无法比拟的,数字政府也基本成了一种合作政府。无论是数据治理、数据共享还是数据开放,公私合作均发挥着重要作用。以数据治理为例,652 32 42 52 62 7参见陈爱飞:解释论视域下的区块链个人信息删除权,载南京社会科学2 0 2 2年第6期。S e eM a r i n a k r i n j a rV i d o v i,E UD a t aP r o t e c t i o nR e f o r m:C h a l l e n g e s f o rC l o u dC o m p u t

34、i n g,1 2(1)C r o a t i a nY e a r b o o ko fE u r o p e a nL a w&P o l i c y1 7 1,1 8 3(2 0 1 6).参见前引 2 2,M a r t i n i、W e i n z i e r l文,第1 2 5 7页。参见前引 2 4,M a r i n a k r i n j a rV i d o v i文,第1 7 6页。参见王太高:我国整体政府思想的形成及其展开以切入,载探索与争鸣2 0 2 2年第1期。刘绍宇:数字政府建设中个人信息保护的风险规制路径不少政府的大数据决策监测技术系统均是由私人企业提供

35、;以数据共享为例,目前全国范围内各地政府均采取了公共数据授权运营的模式,将公共数据授权给企业运营。最后,从政府公民关系来说,数字政府正在向平台政府转型。平台政府的理念与实践发源于英国,近年来受到我国学界的高度关注。平台政府是我国数字政府建构的重要面向,搭建政务服务平台是近年来的主要工作。尽管国内外理论与实务界对平台政府的界定尚未达成共识,但整体上来说其具有如下两个方面的特征:组织技术上借鉴平台企业运用了双边平台治理技术和组织架构;治理理念上突出社会开放性、权力多中心、双向互动和公众参与。从外部关系来说,平台政府体现了开放、参与、便民和透明的价值导向;从内部关系来说,平台政府体现了协作、整体、效

36、能和集成的管理理念。数字政府具有显著的整体性、系统性、开放性和协同性特征,不仅将公共部门各个实体有机融合,而且将公共部门和私人部门高度整合。正基于此,越来越多的学者提出数字生态理论,认为数字政府、数字社会和数字公民构成了一个生态系统,充分体现了数字政府的治理转型。2 8随着数字经济的发展和数字政府建设的推进,这种特性会越来越强。而传统个人信息保护制度是建立在公私部门相互隔离和数据处理者分散独立的基础之上的以数据处理者为中心的调控模式,难以满足数字治理生态系统下的个人信息保护需求。基于此种范式,公共部门与私人部门之间的数据传输并未受到足够的规范,这在欧盟数据保护法中已经有所体现,2 9数据使用中

37、的公私合作被认为处于法律真空状态,3 0在我国则更为明显;政府机构之间,政府机构与私人企业之间以及私人企业之间任何跨实体的数据流动被严格规范,个人信息一旦在不同的实体之间流动,便受到法律的管控;个人信息保护主要依赖于政府的行政监管和数据处理者自身的内部控制,个人信息主体参与性较低。随着数字政府的不断发展,数字政府与传统政府在治理理念上的不同,已经演化为原则冲突甚至规则冲突。政府数字化转型所带来的治理理念变革被形塑为数字政府原则,甚至被进一步具体化为规则,例如,政府数据共享中的“以共享为原则、不共享为例外”正是整体政府的体现,一次搜集原则则同时体现了整体政府和平台政府的理念。但目前个人信息保护制

38、度仍是基于传统政府而建构,严格的目的限制原则即是集中体现,即一旦个人信息被用于搜集时所确立目的之外的目的,均要得到授权。因此,有人提出一次搜集原则和目的限制原则存在冲突,3 1目的限制原则与整体政府之间存在冲突3 2。752 82 93 03 13 2参见孟天广:数字治理生态:数字政府的理论迭代与模型演化,载政治学研究2 0 2 2年第5期;丁晓东:从公开到服务:政府数据开放的法理反思与制度完善,载法商研究2 0 2 2年第2期;G r o/K r e l l m a n n,D a sO k o s y s t e md e rD i g i t a l i s i e r u n g,

39、i n:S t e m b e r/E i x e l s b e r g e r/S p i c h i g e r/N e u r o n i/H a b b e l/(H r s g.),H a n d b u c hE-G o v e r n m e n t:T e c h n i k i n d u z i e r t eV e r w a l t u n g s e n t w i c k l u n g,2 0 1 9,S.7.参见前引 9,C a t h e r i n eJ a s s e r a n d文,第1 5 5页。S e eT h i l oG o t t s c

40、h a l k,T h eD a t a-L a u n d r o m a t?P u b l i c-P r i v a t e-P a r t n e r s h i p sa n dP u b l i c l yA v a i l a b l eD a t ai nt h eA r e ao fL a wE n f o r c e m e n t,6(1)E u r o p e a nD a t aP r o t e c t i o nL a wR e v i e w2 1,2 1(2 0 2 0).V g l.M a r t i n i/W e n z e l,O n c eo n

41、l y v e r s u so n l yo n c e:D a sP r i n z i pe i n m a l i g e r E r f a s s u n gz w i s c h e nZ w e c k b i n d u n g s g r-u n d s a t zu n dB r g e r f r e u n d l i c h k e i t,D V B L1 3 2(2 0 1 7),7 4 9,7 4 9.参见前引 7,马颜昕、吴敏慧文,第1 2 2页。2 0 2 3年第2期三、风险规制路径下的个人信息保护及其在数字政府中的应用基于上述分析可发现,数字政府建设与传

42、统个人信息保护制度之间存在内在矛盾,数字政府个人信息保护制度须进行体系性重构。本文提出一种风险规制路径来回应数字政府给个人信息保护制度带来的挑战,认为应以风险控制为导向,坚持适度预防原则,完善风险管理机制,并以风险规制理念重构传统个人信息保护规则。(一)个人信息保护风险规制模式的提出及其与数字政府的契合从全球范围来看,个人信息保护可以区分为“权利保护”和“风险管理”这两种模式,各国个人信息保护法均由这两种模式共同构成。权利保护模式起源于“公平信息实践”,随着个人信息保护在宪法层面的不断强化而被日益肯认,尤其是德国法上的信息自决理念和欧盟法上作为基本权利的个人信息保护观念的确立极大巩固了该模式。

43、然而,该模式在如今互联网大数据时代受到越来越多的批判,其制度渊源(公平信息实践)和理论基础(信息自决)均受到各界的集体反思,不仅被认为无法满足时代发展的需求,3 3甚至还被批判有损于个人信息保护3 4。具体来说,一方面该模式依赖于个人信息主体对数据的控制,而这在互联网大数据时代由于数字技术的飞速发展、数据流动的日益频繁和平台权力的优势地位等因素根本无法真正实现;另一方面该模式使得人们陷入虚幻的安全,误以为对个人信息能够绝对控制,而忽视真正的风险。在这一大背景下,各国数据保护法又开始了一场个人信息保护的风险革命,3 5风险管理的因素被越来越多地融入个人信息保护制度之中,进而形成了个人信息的风险管

44、理模式。G D P R正是这一观念转变的产物,其中大量规定了风险管理的内容,包括第2 4条规定的数据控制者基于风险的责任、第2 5条规定的通过设计的数据保护和默认的数据保护、第3 5条规定的数据保护影响评估。以上三种机制环环相扣、相互协调,构成了所谓的“风险三角”。3 6因此,G D P R被认为发生了从权利保护法到市场监管法的转型。3 7我国个人信息保护制度的建构过程尽管时间较短,但同样伴随着上述两种模式之间的争论。2 0 1 6年出台的网络安全法首次以法律形式系统规定个人信息保护制度时,便将知情同意原则作为唯一的个人信息处理合法性基础,充分体现了权利保护模式的理念。而在中华人民共和国民

45、法典(以下简称民法典)编纂过程之中,在民法学界的大力推动下,个人信息更是被写入民法典人格权编,个人信息权有成为一项独立的人格权的趋势,权利保护模式得到进一853 33 43 53 63 7S e eM a r g o tE.K a m i n s k i,T h eC a s e f o rD a t aP r i v a c yR i g h t s(o r,P l e a s e,aL i t t l eO p t i m i s m),9 7(5)N o t r eD a m eL a wR e v i e wR e f l e c t i o n3 8 5(2 0 2 2).S e

46、 eA r iE z r aW a l d m a n,P r i v a c y sR i g h t sT r a p,1 1 7N o r t h w e s t e r nU n i v e r s i t yL a wR e v i e wO n l i n e8 8(2 0 2 2).S e eC l a u d i aQ u e l l e,T h eR i s kR e v o l u t i o ni nE UD a t aP r o t e c t i o nL a w:W eC a n TH a v eO u rC a k ea n dE a t I t,T o o,i

47、nRL e e n e se t a l.e d s.,D a t aP r o t e c t i o na n dP r i v a c y:T h eA g eo fi n t e l l i g e n tM a c h i n e s,H a r tP u b l i s h i n g,2 0 1 7,p.3 3.S e eC l a u d i aQ u e l l e,E n h a n c i n gC o m p l i a n c eu n d e r t h eG e n e r a lD a t aP r o t e c t i o nR e g u l a t i

48、o n:t h eR i s k yU p s h o t o f t h eA c-c o u n t a b i l i t y-a n dR i s k-b a s e dA p p r o a c h,9(3)E u r o p e a nJ o u r n a l o fR i s kR e g u l a t i o n5 0 2,5 0 5(2 0 1 8).V g l.S c h r d e r,P a r a d i m S h i f t i mD a t e n s c h u t z r e c h t?-W i r t s c h a f t s v e r w a

49、l t u n g s r e c h t l i c h e I n s t r u m e n t e i n d e rD a t e n s c h u t z-G r u n d v e r o r d n u n g,i n:K r o n k e(H r s g.),R e g u l i e r u n gi nZ e i t e nd e rD i g i t a l w i r t s c h a f t:A u s g e w a h l t eF r a g e nd e sO f-f e n t l i c h e nW i r t s c h a f t s-,I

50、n f o r m a t i o n s-u n dM e d i e n r e c h t s,2 0 1 9,S.1 3 f.刘绍宇:数字政府建设中个人信息保护的风险规制路径步强化。而在个人信息保护法立法过程中,民法典所秉持的权利保护模式开始受到质疑,越来越多的学者提出风险控制的理念,3 8风险管理模式开始形成。至今,尽管个人信息保护法已经颁行,但这场争论尚未结束。3 9而从个人信息保护法的文本来看,立法者采取了折中路线,同时保留了这两种模式。事实上,无论是权利保护模式还是风险管理模式,均存在利弊之处。尽管与权利保护模式相比,风险管理模式被认为是互联网大数据时代的更优选择,但其仍

展开阅读全文