蔡星月:个人隐私信息公开豁免的双重界限

来源:法治政府研究院 编辑:牛丰田 发布时间:2019-08-07

【摘    要】个人隐私公开豁免条款兼具定义规范和权限规范的双重特征,定义规范确定了条款的适用范围,个人隐私定义本身构成公开豁免的内在界限;权限规范赋予行政机关对何为“对公众利益造成重大影响”的裁量权限,公共利益的判准成为公开豁免的外在界限,双重界限的背后是隐私权与知情权的利益衡量与价值取舍。传统隐私权转向信息性隐私权的同时,界定“个人隐私”概念的关键应从“隐私”转向“识别”。在类型学和隐私保护领域阶层理论的基础上,在识别后果不同的“个人隐私”与重要性不同的“公共利益”之间进行比例原则的精细化衡量,才能发挥该条款的规范功能。

【关键词】政府信息公开;个人隐私;识别;公共利益;比例原则

一、问题的提出

《政府信息公开条例》(以下简称“《条例》”)第14条第4款以豁免条款的形式划定了信息公开的范围,其中规定行政机关不得公开涉及个人隐私的政府信息,并但书:“行政机关认为不公开可能对公共利益造成重大影响的可以予以公开”。该条款建立了个人隐私公开豁免制度,旨在平衡公民知情权和个人隐私权,其中个人隐私豁免是对信息公开范围的限制,公共利益是对限制的限制。但从实践上看,该条款的公开范围界定功能并未得到充分发挥、知情权与隐私权的二元价值目标也未得以完全实现。《条例》实施十多年来,政府公开过程中侵犯个人隐私的案例屡见不鲜、各地对该条款适用标准不一、解释乱象,公开豁免条款或被曲解适用、或被闲置“休眠”。学界因此对该条款的规定和适用出现了一些批评意见,有观点认为该条款成为行政机关逃避公开的借口,有观点认为这里的知情权与隐私权边界仍然不清,这些批评在立法论上虽无可厚非,但在解释论上,对条款的现实适用却力有不逮。

从规范内容上看,该条款兼具定义规范和权限规范的双重特征,前半句作为定义规范将信息公开的范围以“个人隐私”的例外形式予以确定,在法律规范内部确定出条款的适用领域;作为权限规范,条款后半句中关于“可能对公共利益造成重大影响”的表述赋予行政机关一定裁量权限,使隐私公开豁免范围受制于公共利益的判准,行政机关得以以公共利益为由,在认定信息涉及个人隐私且未获得权利人同意之时,仍作出公开的决定。从规范功能上看,该条款的目标在于确定个人隐私公开豁免的界限,此界限应满足对个人隐私的合理保护,使基本权利的核心价值不至被掏空,又应符合以公开为原则的政府数据开放要求,为个人隐私保护划定出合理边界,力求知情权与隐私权以恰当比例平衡相容。

以上目标的实现取决于对此难题的解决:怎样的公共利益可以对怎样的个人隐私做出限制?其答案可拆分为三步:一是如何界定模糊法律概念“个人隐私”?二是怎样理解不确定法律概念“公共利益”?三是该以怎样的逻辑和标准来划定公共利益对隐私公开豁免的限制程度?以上难题都指向“规范如何被理解”,故需在现有法规范体系下,挖掘模糊和不确定法律概念的内涵、厘清各规范要素间的逻辑关系、在规范与事实之间建立一套科学化精细化的教义学理论框架,从学理上为个人隐私豁免制度的适用提供依据,本文旨在对此展开论述。

二、从“隐”和“私”走向“识别”的信息性隐私权  

概念是法律推理适用的逻辑起点,其功能并不仅止于归纳概括,更在于格物界分——划定语义范畴、进行同类合并与异类排除、将此物与彼物区别开来,概念的界分功能使个人隐私概念本身即构成规范适用的内在界限。然而个人隐私的高度模糊性削减了其格物界分的实操性,给条款的准确适用带来困难。为降低模糊性,可依赖能揭示概念本质特征的核心要素,使其成为打开语言形式之门的钥匙,以揭开模糊面纱、窥探语义内涵。目前主流观点认为,个人隐私是指私人生活安宁不受他人非法干扰,私人信息保密不受他人非法搜集、刺探和公开,其内涵包扩私生活安宁和私生活秘密。这里界定个人隐私的两个核心要素是“隐”和“私”,前者属于描述性要素,后者属于认知性要素,为进一步提升概念理解的精准性,有必要进一步挖掘科学性要素。

(一)传统以“隐”、“私”作为概念界定核心要素的缺陷

“隐”意味着个人不愿秘密为人所知、隐匿空间为人侵入、独处的安宁为人打扰,体现出个人自我遮蔽身体与藏匿生活秘密的意愿,并利用一定的地理间隔与空间构造,将自我生存状态从公共空间中排除。“隐”表现为一种私法上对抗他人侵扰、公法上对抗国家侵入的消极权利,然而这种以“隐”为核心的隐私权保护在政府信息权力急速扩张的大数据时代受到了挑战。智能终端和数字技术击破了“隐”存在的物理界限,“老大哥”在权力和技术的双重助力下实现了对个人生活的全方位监控,空间防护和物理遮蔽已无法实现对个人隐私的全然保护,技术发展注定了“隐”的消失,也催生了“私”的需求。“私”意味着私人事务与个体决定的自由不为他人所干预,如果说“隐”体现的是一种消极避世状态,那么“私”则体现出积极自由状态。从“隐”到“私”的认识转变虽反映出对概念的理解从现象描述走向抽象认知,但仍显模糊和经验化,无法精准提炼现今政府信息公开过程中所涉个人隐私的特点,依此而定义的“个人隐私”在行政与司法实践中失去了对概念的甄别力,问题如下:

一是主体方面。“隐”和“私”皆以权利人为中心来考察隐私边界,需转换到权利人视角推测人的主观意愿和心理状态,对行政、司法人员提出了过高的要求,也为概念解释留下过于宽泛的裁量空间,易使隐私豁免条款成为信息随意发布的借口或逃避信息公开的“挡箭牌”。二是客体方面,无法呼应隐私权客体的变化与扩张。隐私权客体随人际交往模式和信息技术变革而扩张,以往主要针对住宅和通信秘密的保护模式已显过时,个人信息成为新型隐私权的主要客体,尤其是政府信息公开中所涉的个人隐私更是集中表现为个人信息。三是主观方面,在实践中无法为个人隐私范围界定提供明确标准,易出现理解上的分歧和混乱,如上下级法院对身份证号码是否属于个人隐私的不同理解。四是客观方面,传统隐私概念无法对接新兴信息技术,无以消弭法律话语与技术话语的鸿沟,根植于社会学的隐私概念难以提炼出代码规制下个人隐私的突出特点,工业社会孕育的“隐”、“私”要素无法继续对 “个人隐私”进行精准定义,故需在经验现象的基础上进行理论更新,借用新的话语和要素来完成对既有概念的剖解。

(二)以“识别”作为核心要素来界定概念

应当清晰认识到,隐私的信息化呈现与数字化传播使得政府公开过程中涉及的“个人隐私”均以信息性隐私的形式出现,其内涵已由传统的隐私权转为信息性隐私权。信息性隐私权的保护对象是个人信息,所谓个人信息,即指与一个人身份已经被识别或者身份可被识别的自然人相关的任何信息,包括个人姓名、住址、出生日期、身份证号码、医疗记录、人事记录、照片等单独或与其他信息对照可以识别特定的个人的信息。从传统隐私权到信息性隐私权的发展过程,不仅体现出法律概念随科技变革、观念变迁而发生的内涵变化,更是法律权能不断自我更新完善以适应现代社会生活需要的积极响应。在传统隐私权的保护对象——“隐私”已无法理论自洽的大数据时代,信息性隐私权的保护对象——“个人信息”为我们解释“个人隐私”概念提供了新的路径。

定义个人信息概念的关键词是“识别”,识别是“以匿名或假名的方式运转的数字交易系统”,可揭示出既有信息与特定个人之间的确定联系,它以文字、符号、数字或特定标示为依据,将此人与他人区别并标识出来,使信息以特定个体专属信息的形式呈现。“识别”既是信息技术领域的科技术语,又是可以运用于司法实践活动的法律话语,它在科技术语和法律话语之间搭建出有效沟通的桥梁。识别为“个人隐私”概念理论更新提供了简洁有效切入点,个人隐私由此可定义为在众多信息中能识别出特定个人的信息,识别过程即是将个人隐私从一般个人信息中区别出来的过程。以“识别”作为界定个人隐私概念关键要素的科学性在于识别过程的客观性与识别结果的可预测性:识别过程遵循“解码-比对-区分-标识”的路径,大大降低了概念的甄别难度,在网络社会里探寻“是否具有识别性”,比考量“是否具有隐私期待”相对容易,更易在实践中达成统一的适用方法,避免了行政裁量的恣意。

(三)该界定方法在法规范体系下的证立

我国《宪法》第38条 “中华人民共和国的人格尊严不受侵犯”中的 “人格尊严”用语与德国基本法中以“人格主义”为哲学基础的“人的尊严”概念存在某种可互换的意义空间,成为我国宪法上基本权利体系的出发点。识别性信息的公开与否不仅事关个人隐私保护问题,还关涉人格尊严的实现程度,规定在信息公开过程中不得随意对特定个人进行识别,即阻断了“虚拟数字人”与“现实社会人”之间的对应勾连,为个人隐私留下了公权力不容随意侵入的空间,由此能保证个人在社会交往中最基本的安全感、自由度和尊严得以实现,与 “人格尊严”条款的基础价值相协调,体现了部门法解释与宪法基本权利的融通。

此外,我国现行法律和行政法规中明确列举出个人隐私范围的仅有5条,分别将“病人的病历资料”、“未成年人的信件、日记、电子邮件”、“居民身份证记载的公民个人信息”、“能够识别公民个人身份和涉及公民个人隐私的电子信息”、“自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息”作为个人隐私予以保护。上述信息皆属于指向特定个人的识别性信息,本文的界定与之相一致,实现了部门法体系解释上的融贯。

三、公共利益的具体化和类型化

公共利益的观念随着国家结构与人们对国家行为合法性理解的变化而变化,但这种不确定性和流变性是相对的,不能把它泛泛地等同于某些抽象的、理想化的价值,需放在特定语境下理解。具体到政府信息公开领域,引向信息公开的公共利益集中表现为作为信息公开法基础价值的知情权。《条例》规范语境下的知情权指公众了解政府运作情况的权利,它具有双重价值,既是以人为目的、在它基础之上保障个人参政权、言论自由权等基本权利得以实现的人权,又是具有公共职能、能促进民主制度与社会组织正常运转的配套性制度。

对于概念的界定,在语义解释无以精准确定内涵时,可对其所指涉的对象领域进行类型学分析。德国联邦宪法法院在药店判决中将公共利益区分为一般公益、重要公益和极端重要的公益,该分类具有法教义学的规范意义,为阐明什么样的公共利益方能作为对什么样的职业自由进行限制的“三阶层理论”提供了理论基础。依此分析思路,结合《条例》第10-12条的规定,可将我国政府公开法语境下、知情权背后所代表的公共利益划分为以下五种类型:第一类是公共健康和公共安全,其中包括突发公共安全事件处理、公共卫生安全保障、交通安全、食品和药品安全监督、生产安全监督、产品重大质量问题处理、环境保护等;第二类是公共资源配置和基础设施保障,其中涉及行政收费、行政征用、行政征收、行政许可、重大项目建设等行政行为;第三类是促进经济社会发展,包括经济运行保障、职业保障、商业活动监管、消费者保护等;第四类是对政府使用公共资金的监督,包括对财政预算决算情况、行政运行经费使用情况等的监督;第五类是对国家机关及其工作人员公务活动的监督,其中一方面是对公务人员违法、不当和失职行为的监督,另一方面是对公务人员进行行政决策等一般行政活动的监督。

每项具体的公共利益背后虽体现出不同的价值追求,揭示对不同理念与文化的认知和接纳程度,但对于代表着普世价值的生命、自由、财产权、社会权等基本人权,文明世界有着大致趋同的追求。上述第一类公共利益因涉及生命、健康、自由等人之为人最核心与重要的基本权利,应视为极端重要的公益;由于财产权对个人自由具有重要意义,且“处于公共利益的经济模型中心位置的是将私人财产权认定为市场活动的基础”,故关涉财产权和经济、社会权的第二、第三类公共利益应视为重要公益;第四类公共利益和第五类公共利益中关于对公务人员违法、不当和失职行为的监督,由于极易牵扯到对其他利益的侵犯问题,应视情况纳入相对重要公益范畴;对公务人员进行行政决策等一般行政活动的监督,作为民主政治生活中参政权的保障,是知情权最普遍的目标所在,可看作一般公益。由此,引向信息公开的公共利益被分为重要性依次递减的四个层次,使进一步的利益衡量精细化操作成为可能。

四、利益衡量精细化——基于隐私保护领域阶层理论的比例原则操作

(一)隐私保护领域阶层理论的提出

作为目的的公共利益与作为手段的公开个人隐私之间需达到怎样的联系,知情权对隐私权的干涉才具有合法性?这首先需对个人隐私保护程度的合理性进行论证。由于信息性隐私是多种不同形态特征信息的集合,故只有对不同信息类型给予不同程度的保护才能使限制合理化。按德国基本权利教义学“保护领域”的思考框架,本文提出隐私保护领域阶层理论,即以识别为中心,按可识别风险和识别后果的不同对个人隐私进行分层处理,以合理确定保护程度。识别风险越大、识别后果对个人的影响越严重,则隐私保护阶层越高、对隐私保护的要求也就越高。

美国隐私法专家solove教授在批判了传统将个人信息分为已识别信息与不可识别信息的两分法缺陷之后提出了三分法,他认为个人信息应分为已识别信息、可识别信息与不可识别信息,前两者属于个人隐私,《欧洲统一数据保护条例》采用了相同观点。已识别信息为直接识别型信息,可识别信息乃间接识别型信息,两者总和可称为“识别性信息”,共同构成个人隐私。将信息性隐私权的保护范围限定在已识别信息与可识别信息的界定方法也得到了学界认可,此分类法虽可以初步区分出隐私保护程度的差异,但仍显笼统、有待细化。

故以识别的载体和对象为划分依据,进一步将涉及个人隐私的信息细分为创作性信息、联络性信息、描述性信息和符号映射性信息。其中创作性信息指主体通过一定媒介载体创作或表达、且其意不在对外公开的信息,如私人通话、日记、书信内容和电子邮件等,创作性信息历来属于传统隐私权的保护范围。描述性信息指能对特定个人进行可识别性描述的信息,如性别、身高、体重、婚姻状况、犯罪记录、社会关系、就学及工作经历等,描述性信息中包含着诸如宗教信仰、健康、性生活、性取向、政治观点等敏感信息,其外延随技术发展不断扩张,如基因数据和指纹、面部识别数据等。联络性信息指电话号码、电子邮箱、住址、网络账号等可以借其联络到特定个人的信息,联络性信息的泄露易造成对个人生活安宁的侵扰。符号映射性信息指经数字、符号或技术表达编码,在一定条件和环境下能解码映射于特定个人、将其识别并进行标识的信息,如银行账户密码、社会保障号码等。行为轨迹是新兴的个人隐私类型,包括由Cookies等插件所抓取的阅读、消费习惯等线上行为轨迹和被智能穿戴、移动终端、GPS等实时记录的线下运动轨迹。

从识别后果和隐私风险的角度看,以上信息类型中创作性信息通常仅限于个人独享或与有限亲密相对人私下享有的私密内容;描述性信息中的敏感信息高度集中反映个人精神与心理活动,基因、指纹和面部识别信息等具有唯一专属性、暴露后无法抛弃更换;映射性信息与财产权利密切相关,以上三类的权利人隐私期待高、信息泄露后对个人人格与财产的不良影响较大,故应进入隐私保护的核心领域——第一阶层、予以高强度保护。一般描述性信息对于个人具有高度的识别性和依附性,属于隐私保护的中心领域,应纳入第二阶层给予中等强度保护。联络性信息具有一定的外向性与公共性,其自身的社会交往功能削减了隐私特色,应纳入第三阶层给与弱保护。此外,行为轨迹具有一定特殊性,线下行为轨迹因实时反应出数据主体的位置信息,为保障个人安全,应加大保护力度,而线上行为轨迹若也按同等程度保护,则恐有碍于数据流通利用,故两者应分置于第一和第三阶层予以保护,归纳如下(见表1)。

(二)比例原则的精细化操作

隐私公开豁免范围的确定核心在于利益衡量,公共利益与个人隐私间的张力包含“合理保护-合理限制”的二元平衡与“隐私权-知情权”的两极权衡。比例原则有助于找到两者之间的临界线,从而划定出个人隐私豁免的外在界限,其基本理念是只有符合以下情况,才能对基本权利进行干涉:此种干预相对于一个更高的利益而言是必要的;干预必须适合于达成所欲求之目的;而且要采用最和缓的手段来实现此目的。信息性隐私受私法领域信息流动与公法领域信息公开价值的叠加影响,致使个人保有隐私权益的有限空间岌岌可危,为防止政府信息公开对个人隐私的过分侵扰,依据德国联邦宪法法院在药店案判决中确立的四个审查步骤,对比例原则的适用进行细致讨论。

1、合目的性

合目的性审查可分为严格审查与宽松审查,严格审查表现为积极要求,即有关限制基本权利的立法目的需符合宪法的规定;宽松审查表现为消极要求,即禁止立法者追求违宪或违法的目的。德国宪法法院对立法合宪性的审查一向采取宽松的审查态度,认为只要不违反基本法的目的即为目的正当,宽松审查模式在一定程度上体现了司法权对立法权的克制与谦让,是分权与制衡的结果。而行政法领域的合目的性审查主要是审查行政机关是否仅追求法律所允许的目的,这意味着对行政行为的审查比对立法的审查标准更高,属严格审查。这是由“行政的合法律性”原则决定的,该原则可理解为“违反法律的行为全部是违法的,形式上不违反法律的行为未必是合法的”,德国基本法第20条第3款“执行权及裁判权受法律和法的拘束”的规定将此原则法定化。我国依法行政的要求也对公权力的行使提出“法无授权不可为”的限制,故对政府信息公开目的的审查应采用严格审查模式,以积极追求“对个人隐私的限制应符合法律规定”的合法性效果,在更大限度上防止公权力对个人基本权利的侵扰。

《条例》第1条从三方面阐释了信息公开的立法目的:一是明确公民享有信息获取权;二是提高政府工作透明度,促进政府依法行政;三是发挥政府信息的服务作用。按此原则审查近年出现的政府公开个人隐私信息案例,如作为行政主体的北京大学在发布的信息中透露了毕业生学号、姓名、工作单位等个人信息,此公开行为目的是为了宣传学院培养成果,与以上三个目的无必然联系,故不能以公共利益作为公开的合法化依据。

2、手段适当性

手段适当性原则指公权力限制基本权所采用的手段须能实现所追求的合法公益目的,意在考察手段和目的之间的合理因果关联,如果手段不能促进目的实现,则该手段为不适当手段。什么样的手段才是所谓“能促进目的实现”的手段?可将手段与结果的联系分为三种状态:一是手段完全不能实现目的;二是手段仅能实现部分目的;三是手段完全实现目的。在审查政府信息公开案件之时,究竟应追求何种状态?本文认为需根据信息的识别风险而定。直接识别型信息应追求第三种状态做严格审查,即只有达到公开能实现、而非仅部分实现所追求的公益,乃能通过审查。涉及敏感信息等识别风险高的个人隐私亦应按此处理。而间接识别型信息因识别风险较低,可仅追求第二种状态做宽松审查。宽严相济的审查模式对应着不同程度的侵害情境,恰为比例原则之要义所在。如政府官网公布户主姓名、银行账号的事件中,公开领取补贴人员情况是为了监督财政资金的使用情况,但其中的银行账号属于敏感信息,如被犯罪分子识别利用,将对户主财产利益带来极大风险,故应采取严格审查标准。经严格审查,账号信息虽能部分地证明资金去向,但因其主要是作为行政工作中的内部信息,目的在于方便工作人员拨付款项,与监督财政资金的目的之间无法构成“完全实现或促成”的紧密联系,故无法通过审查。

3、手段必要性

手段必要性原则即“最小侵害原则”,意为若“还可以采取其他具有同样效果但使公民负担更轻的手段的话,现行手段即为不必要的”,如宜春市财政局发布技术资格考试合格人员名单,包括考生姓名和身份证号码,称此做法是因“证书尚未下发,方便用人单位核实”。以公开身份证号码的手段来实现“方便用人单位核实”的目的,显然不是最和缓的方式,既然可以用发放的证书来证明考试通过情况,何需以公开个人隐私为代价来实现用人单位信息获取权,故该做法无法通过审查。其次还需进一步考察在采取该手段之时是否穷尽了匿名化、分割处理等方法使其对权利人的侵害影响降为最低。如社区服务中心发布孕检人员名单,包含人员姓名、检查日、完整身份证号码等信息。因免费优生检查涉及政府补贴,公示主要目的是为了便于公众监督财政资金的使用情况,无需公开优生检查人员的完整姓名和身份证信息,故应按照《条例》第22条的规定对这几项内容以匿名化、假名化进行分割处理后再公开。

4、狭义比例原则

比例原则的上述几步审查主要涉及经验判断,相对而言较为直观,而最后一步的狭义比例原则以价值判断为主,涉及利益衡量的核心。在上文所述隐私保护领域按阶层划分和公共利益依重要性区分的基础上,狭义比例原则具有了可操作性:隐私保护阶层越高、对作为公开正当化事由的公益重要性要求也越高。具言之,第一阶层涉及个人核心隐私利益,仅“极端重要的公益”能致使公开豁免制度失效;对于第二阶层的隐私,除非与之抗衡的公益重要性等于或超过“重要公益”,否则不应予以公开;对第三阶层的个人隐私作弱保护,除“一般公益”之外,对其他公益的追求皆可成为其公开的正当化事由;最后,如果公开目的仅涉及对“一般公益”,则属于重要性最低之公益目的,按比例原则的精神不应解释为“对公众利益造成重大影响”,进而不可作为公开个人隐私的合法化依据,归纳如下。(见表2)

需说明的是,基于此框架的利益衡量得到的并非都是最终结果,还需给予公益的迫切性与危险程度一定权重,将这两个因素也纳入考虑。迫切性主要是从时间上看,公益所面临的危险正在发生或迫在眉睫,通过信息公开可以及时避免危险发生或进一步蔓延。危险程度的判断主要看危险所发生的领域、涉及的法益、发生的可能性大小等情况如何,需在个案中进行判断,作为公益重要性的权重值予以合并衡量。

四、结论

科技的未知与技术迭代的频繁加剧了社会本身的无序与话语意义的多元,分化了法律概念的理解、冲击法律概念的稳定性,使法教义学在概念形成、体系建构和价值判断等方面面临新的挑战,“个人隐私”概念就是典型的例子。本文是基本权利教义学在行政法上的展开。以“识别”替代“隐”和“私”成为定义信息时代个人隐私概念的关键要素,是传统隐私权转向信息性隐私权的必然要求,借此确定了个人隐私公开豁免内在界限问题。依识别程度、识别后果不同而建立隐私保护领域阶层理论框架,并将具体化、类型化了的公共利益对应搭建在此框架上,利益衡量变得更为精细化、更具操作性,回答了“怎样的公共利益可以对怎样的个人隐私做出限制”的外在界限问题。由此个人隐私公开豁免的内外界限合二为一,含混不清、难以判准的灰色地带消失,该条款作为定义规范和权限规范的双重功能得到充分发挥。

《条例》颁布的十年间,信息传播媒介更新与数字技术变革带来了网络社会交往模式和现实社会权力结构的剧变,政府数据聚集能力与《条例》制定之初已非同日而语,数据主体人格权利在政府信息权力扩张下更显脆弱,在利益冲突时,公权力对私权利的限制更需慎重而合理。因此,对既有规范进行解释论上的精耕细作,在立法滞后的情况下,通过法教义学工作激发现有规范的潜能显得更为迫切与有意义。

【作者】蔡星月,中国政法大学博士研究生