ENGLISH
文献资源
当前位置:首页 > 文献资源 > 论文著作 > 理论推演
文献资源
张硕|个人信息收集中法律保留原则的梯度适用
2025年10月20日 【作者】张硕 预览:

【作者】张硕

【内容提要】



个人信息收集中法律保留原则的梯度适用






张硕 北京科技大学文法学院讲师







摘要:《个人信息保护法》第34条将作为行政法基本原则的“法律保留”进行了具体化,要求行政机关收集个人信息应当具有法律或行政法规之授权。但对于纷繁多元的个人信息收集行为,该法条并未明确授权规范的纵向位阶与横向类型的适用问题。这也导致法律保留难以有针对性地关照多元场景下的差异化信息收集行为,协调个人信息保护与利用间的平衡。事实上,法律保留作为一项法律原则,其适用本就具有密度性特征,即针对不同事项可在纵向上适用由狭义法律授权的绝对保留或由行政立法授权的相对保留;在横向上适用由根据规范授权的行为保留或由组织规范授权的组织保留。据此,有必要依据收集行为的强制性、收集信息的敏感性、收集手段的自动化程度对行政机关的个人信息收集行为进行分类,并根据不同类型行为所干预公民权利的重要性、构成损害的风险性,将其与法律保留的密度结构进行动态耦合,建构一种强干预、高风险收集对应高密度法律保留,弱干预、低风险收集对应低密度法律保留的梯度适用方案。

关键词:法律保留;个人信息收集;个人信息保护;类型化;梯度适用







一、问题的提出

随着信息时代的到来,所有社会事务都在向数字化模式飞速转变,行政机关面临着数字化演进的时代变革需求。正如施瓦茨所说,“信息是燃料,没有它,行政机器就无法运转”,充足的个人信息供给更是当下政府数字化建设以及行政活动提质增效的基本前提与物质保障。面对纷繁复杂且不断膨胀的公共管理事务,传统行政经历了从电子化、信息化到系统性、综合性数字化治理模式的变迁,但各种技术手段蓬勃运用于数字政府建设的同时,也在一次次地将行政机关对于个人信息的需求推到新的高度。行政机关对于个人信息的大量、深度收集滋生了巨大的数据安全风险与利益冲突问题。其中,多场景、多方式、全时段的信息收集甚至引发了人们对“监控国家”(Surveillance State)的隐忧。

为有效控制行政机关的个人信息处理行为,《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)第34条将作为行政法基本原则的“法律保留”进行了重申和具体化,要求“行政机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限、程序进行……”。然而,该条款具有明显的模糊化特征,缺乏对法律保留原则的规则性转化,难以直接适用并指导实践。具体而言,法律保留原则在行政机关处理个人信息活动中的适用具有丰富的层次性,除了在纵向的规范位阶上有着法律与行政法规的授权区别,在横向的规范类型上亦有着根据规范与组织规范的授权选择。行政机关收集个人信息究竟在何时须由法律授权,何时又可由行政法规授权?必须有明确的根据规范授权抑或概括性的组织规范授权以为足够?这些问题均构成法律保留原则在个人信息保护领域发挥作用的关键和前提。

“个人信息处理行为”不同于行政许可、行政处罚、行政强制等具有单行法专门规制的典型行政行为,其还未在我国行政法律体系中获得明确的定位。直接规范行政机关处理个人信息的法规范数量稀少且碎片化程度较高。实践中,诸多行政机关的个人信息收集活动并不具备法律、行政法规位阶的规范授权,即便是具有相应授权,也是一种宽泛的组织规范授权,具体的信息收集范围与收集程序并没有根据规范的规定。例如《中华人民共和国传染病防治法》《中华人民共和国突发事件应对法》《突发公共卫生事件应急条例》规定了县级以上人民政府及其有关部门、各级疾病防控机构、街道、乡镇以及居民委员会和村民委员会有权收集疫情防控的相关信息。但是,并未以根据规范之形式就具体的信息收集范围与程序作出具体规定。这也导致了部分地方政府通过“红头文件”层层加码,过度收集个人信息的乱象出现。 实定法规范的缺失与薄弱直接造成了行政机关在信息收集活动中的法律依据不足,以及法律保留原则在实效性层面的架空。

法律保留原则在个人信息保护领域中的引入是必要的,同时也是有待进一步细化的。为真正落实并发挥法律保留原则规范行政机关个人信息处理行为,保障公民个人信息合法权益,同时协调个人信息保护与利用间的平衡,有必要对行政机关处理个人信息的行为进行分类,并将其与法律保留原则的层次化结构进行动态耦合,建构起法律保留原则在行政机关处理个人信息活动中的梯度化适用方案。但鉴于个人信息处理行为的多元性与复杂性,收集、存储、传输、公开等行为涉及完全不同的场景,具有不同的性质和影响,同时也对应不同的分类方式,一并讨论甚是复杂。因此,本文特以“个人信息收集行为”为对象,有针对性地讨论法律保留原则在行政机关收集个人信息活动中的具体适用。

二、个人信息收集中法律保留的规范意涵与密度结构

依据《个人信息保护法》之规定,以及行政法之基本原则,法律保留构成行政机关收集个人信息的合法性基准,其要求行政机关处理个人信息须具有法律或行政法规之授权。同时法律保留作为一项法律原则具有内部的密度结构,可以在纵向的保留规范位阶上划分为法律与行政法规之授权,也可以在横向的保留规范类型上划分为组织规范与根据规范之授权。

(一)法律保留在个人信息保护法制中的规范意涵

法律保留(Vorbehalt des Gesetzes)最初由奥托·迈耶提出,要求行政机关之行为,仅于法律授权之情形下,始得为之,亦即,行政须积极取得法律上之基础,方为适法;行政若乏法律依据,即构成违法。我国《个人信息保护法》第34条,“国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限、程序进行……”之规定,不仅要求处理个人信息的国家机关须具备相应的法定职责,同时还要求信息处理行为需要按照法定的权限和程序进行,实际上构成了法律保留原则在个人信息保护领域的具体化表达。

就个人信息处理场景下的“法定职责”来说,学界目前存在两种主要观点。一种观点认为法定职责中的“法”仅包括狭义的法律和行政法规。《个人信息保护法》通过授权,将“法定职责”扩展到包括法律、行政法规规定的职责之范围,即立法者通过法律将部分权限授权给行政法规。另一种观点认为,第34条前半句的“法定职责”与后半句中“法律、行政法规规定的权限和程序”无关,“法定职责”只是行政机关处理个人信息的目的,在内容上不必是对处理个人信息行为本身的专门授权,因此,也不受“处理权限、程序应依照法律、行政法规之规定”的限制。亦有学者指出,将对信息处理行为的授权限定于法律和行政法规,会阻碍行政机关的正常公务,因此,第34条“法定职责”中的“法”应作广义理解,既包括狭义法律与行政法规,同时也包括地方性法规、部门规章和地方政府规章等规范性文件。从比较法视野观之,我国台湾地区“个人资料保护法”第15条同样规定了公务机关在执行法定职务必要范围内收集个人信息的情形。对于“法定职务”中的“法”,其“个人资料保护法施行细则”第10条作出了进一步解释,即为“法律、法律授权之命令;自治条例;法律或自治条例授权之自治规则;法律或中央法规授权之委办规则”,类似于我国的法律、行政法规、地方性法规、地方政府规章。可以看出,我国台湾地区对于行政机关处理个人信息活动中的“法定职责”采广义说。

上述两种观点在结论上看似互斥,但实际上却可通过对“职责”内涵的解释予以调和。如果认为本条中“法定职责”是对行政机关处理个人信息行为本身的授权,那么理应结合后半句的内容,认为法定职责中的“法”仅包含法律和行政法规;如果认为“法定职责”并非指涉行政机关处理个人信息的行为,而是对行政机关职责一种普遍意义上的一般性描述,那么便不需再局限于法律和行政法规的授权,应当包括地方性法规、部门规章、地方政府规章,甚至“三定”规定。本文主张,为了更好地规范行政机关处理个人信息的行为,防止行政机关破除界限自我赋权,保障个人信息主体权益,宜将本条中“法定职责”结合“法律、行政法规规定的权限和程序”一同理解为法律和行政法规对行政机关处理个人信息行为的专门授权,排除地方性法规、规章等其他下位规范的授权资格。

(二)法律保留的密度结构

“法律保留”作为一项法律原则具有相对开放的适用空间,而规范位阶与规范类型的不同在纵向与横向两个维度将此空间进行了网格化划分,也让这个空间具有了不同的“密度”。

法律保留基于纵向上授权规范位阶的不同可以区分为“绝对保留”与“相对保留”。前者是指必须将特定规范的创设权保留给狭义的法律,后者则是承认行政立法享有对于特定事项的规范创制权。应松年指出,“在多层次立法的国家中,有些立法事项的立法权只属于法律,法律以外的其他规范,一律不得行使,其目的在于保证人民群众对国家最重大问题的最后决策权,保障国家法制的统一和公民的权利”。此观点将法律保留视为由最高权力机关行使的垄断性专属立法权,构成了一种最为狭义的解释路径,也构成了一种纵向位阶上最高密度的法律保留,即“绝对保留”。然而,单纯的“绝对保留”并不具有现实可能性,将行政的裁量空间与主观能动性压缩为零,进而沦为立法的执行机器也与现代法治国家中立法行政的合作理念相悖。从本质上来讲,“行政是一种自行形成的国家意志,并不只是服务于法律,而是能自行从不同程度优势地位出发决定什么是正确的”。行政行为的法定化不是由立法机关以狭义法律的形式“一锤定音”,而是表现为多个主体共同参与、多层规范依次细化的复杂过程。在现实的行政法治实践中,政府的基本立场同样也选择了对“法律”的广义理解,抑或说是对“实质法律”概念的采纳,形成了一种“没有法律、法规、规章依据,行政机关不得作出影响公民、法人和其他组织权益或者增加其义务的决定”的观点,一定程度上将传统法律保留理论发展为了“法规范保留”理论,也形成了相较于绝对保留密度更低的“相对保留”。

除了在规范层级上存在纵向的法律保留密度问题以外,不同类型的法律规范授权同样涉及横向上法律保留密度之问题。按照内容和功能,法律规范大致可以区分为组织规范、根据规范与规制规范,其中规制规范是指在可以作出某种行政行为的前提下,为了确保行政行为的公正性而设置的法律规范,其本身不具有授权能力,所以在此可不作考虑。法律保留的密度依“根据规范—组织规范”的类型而逐级降低。之所以可以以规范类型来区别法律保留的密度,原因在于不同类型规范对于行政活动的授权存在概括与具体的差别。组织规范对于活动的授权是概括性的,因其主要规范的重点在于行政主体的事权范围;而根据规范则主要是针对行政活动的具体授权。申言之,“组织规范”指将行政事务分配给不同行政机关的法律规范,亦即关于设置怎样的行政机关、如何在各行政机关之间分配行政事务、如何规定各行政机关的组织结构等的法律规范,是内部法的问题。而“根据规范”,又被称为“授权规范”,是指在组织规范规定的所辖事务范围内,立法机关事前承认行政机关的具体活动、并规定其实体要件和效果的法律规范,调整的是行政机关与相对人之间的外部关系。通常而言,法律保留就是指实体法意义上的行为权限保留给法律来设定,组织法规范不能直接成为行政行为的依据。然而,随着行政活动的复杂性与多元性不断增强,有时很难判断其对公民权利产生何种影响,严格要求所有行政活动须具有根据规范之授权可能会大幅降低行政效能,甚至阻碍行政管理目的的实现。因此,在部分情境下,也不是完全不可以考虑以组织规范对行政行为授权,将组织性法律保留作为行政活动法上法律保留的有益补充,形成公民权利保障的底线。由此可见,法律保留原则本身具有层次化的结构,其在个人信息收集活动中究竟应当以何种层级,以及何种类型的规范进行授权以为足够仍有待于进一步的规则细化。

三、个人信息收集中法律保留的梯度适用理据

法律保留在行政机关收集个人信息活动中的梯度适用是指不同类型的个人信息收集活动,涉及不同的行为要素,对个人信息主体的不同权益产生了不同程度的影响,应匹配不同位阶和类型的规范授权。而之所以采用此种适用模式具有实践与理论层面的三重依据:其一,实践中,行政机关的个人信息收集活动呈现出了多元化的样态,为法律保留的梯度适用提供了现实基础;其二,法律保留作为一项“法律原则”,其适用并非如同规则般的“全有或全无”,而是具有程度性的特征;其三,基于个人信息保护领域的场景理论,不同类型的信息收集行为涉及不同的场景要素,应当在不同程度上适用个人信息处理原则。

(一)行政机关个人信息收集行为的类型化展开

行政机关的个人信息收集活动纷繁复杂,为厘清不同信息收集行为在法律性质、对公民权利义务的影响,以及对个人信息权益所造成的风险方面的差异,进而为法律保留原则的精细化适用提供一个梯度化标尺。因此,特别以“收集手段的强制性”“收集信息的敏感性”“收集行为的自动化程度”为标准,对行政机关的个人信息收集活动进行了划分。

1.强制收集与任意收集

以手段的强制性为标准,理论上可将行政机关的信息收集行为区分为“任意收集”与“强制收集”。前者系指不得强制实施,亦无行政或刑事罚则作为担保,需在私人的任意协力下展开的信息收集行为。私人不因不配合而遭受不利后果。后者则可进一步细分为“直接强制收集”与“间接强制收集”。直接强制收集具有实力担保其实效性,普遍以物理力量直接作用于行政相对人的人身、财产或者建筑物的方式实现对人身、物品以及相对封闭空间内信息的进入式收集。间接强制收集则又可进一步细分为以行政罚与刑罚作为担保的两种具体情形,具体是指当个人无正当理由拒绝信息收集时,需承担被行政处罚、刑事处罚,或其他不利处分之后果。间接强制收集在本质上是利用制裁的威吓来敦促个人信息主体履行义务,从而达到信息收集之目的,其在强制性上强于任意收集但又弱于直接强制收集。

从我国实定法规范来看,明确规定行政机关可以使用直接强制方法收集信息的情形并不多见,且在收集方式上多采取对物品的扣留,对住所的进入,以及限制人身自由等强干预性措施,与个人信息的关联并不紧密。就间接强制收集来说,尽管其在理论上可以被区分为以行政罚与刑罚作为实效性担保的两种类型,但鉴于刑法保护的最终性与备位性,实定法规范中列举之情形绝大多数归于前者。在法律性质上,强制收集不仅构成《个人信息保护法》所规定之“个人信息处理行为”,同时亦构成行政机关行使行政权力所作出的“具体行政行为”。

2.敏感信息收集与一般信息收集

既有个人信息保护法制依据个人与信息间的关系将个人信息的类型作出了划分。依据《中华人民共和国民法典》(以下简称《民法典》)第1034条与《个人信息保护法》第28条之规定,个人信息在规范层面被区分为“一般个人信息”(以下简称“一般信息”)“敏感个人信息”(以下简称“敏感信息”)以及“私密信息”。

作为基础性的概念单元,个人信息是指“以各种方式记录的与已识别的或者可识别的自然人有关的各种信息”,其包含了“可识别性”与“相关性”两项要素,前者是从信息内容出发,要求信息本身能够识别或结合其他信息能够识别特定个人;后者是从个人信息主体出发,强调相对性,指涉所有与已经识别或者可识别的个人相关的信息。在此基础之上,敏感信息是特指“一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康……”。据此规范表达,可归纳出敏感信息的三项标准要素,一是可能引发特定权益,即个人信息主体的人格尊严、人身、财产安全受损,除此之外的其他权益是否可能受损与敏感信息的判定无关;二是“特定权益受损的概率较高”,即信息一旦泄露或者非法使用“容易”导致权益受侵害;三是“权益侵害后果一般性”,即只要是对特定权益构成危害即可符合侵害后果之要素要求。当然,学界对于敏感信息的认定标准尚存争议,具体的概念内涵与外延还有赖于未来更多的规范与案例进一步明示。但无论以何种方式和标准进行界分,对于个人信息的差序化评价格局已然建立,对于敏感信息和一般信息的收集也理应适用不同强度的保护规范。

就“私密信息”来说,虽然《民法典》没有对其概念内涵进行具体阐释,但明确了其优先“适用有关隐私权的规定”。这一安排也凸显了私密信息的隐私本质,即凡是个人不愿意为他人知晓且旨在维护其私生活安宁或私生活秘密的信息都应属于私密信息。据此,鉴于本文系讨论《个人信息保护法》下法律保留原则在行政机关收集个人信息活动中的适用问题,便不再对优先适用隐私权保护规范的私密信息收集进行分类。后续梯度化适用的建构也将以敏感与一般信息二分之方法展开。

3.自动收集与人工收集

以是否有自动化技术介入为标准可将行政机关的个人信息收集行为划分为自动收集与人工收集两类。前者是指借助云平台、大数据、图像采集监控、个人身份识别设备等技术设施对个人信息实施的自动化收集;后者则是传统意义上行政机关不借助任何自动化技术,通过人力开展的信息获取活动。自动化行政行为的作出过程大致包含三个环节,即“识别与输入”“分析与决定”“输出与实现”。信息收集只是其中的一个初始环节。传统的人工收集往往针对特定相对人的特定信息,并且与后续的信息处理环节相独立,而按照与后续环节的关联程度,自动收集可被进一步区分为“辅助决定型”与“直接决定型”两类。前者是指自动化技术仅用于信息的收集,行政行为作出前的分析与决定仍由人工作出。例如交通抓拍,即通过道路监控识别和取证,至于是否处罚的分析与决定仍然由人工处理;后者则是指自动收集行为会连带参与后续行政行为的分析决定与输出实现等环节。例如健康码的赋予,即是在系统中输入相应信息后的瞬间便会产生相应的评级结果。总体来说,自动收集往往具有持续性、规模性,以及与后续信息处理环节高度嵌合的特征。其无论是对于公共利益,抑或被收集信息主体的个人权益都具有相较于人工收集更加重大和深刻的影响。

(二)作为法律原则的权衡适用

按照法理学通说,法律规范可以分为法律原则(legal principles)与法律规则(legal rules)(以下分别简称“原则”与“规则”)。二者虽然都以应然法律命题的形式确定法律主体的权利义务,发挥着作为规范的指引功能,但却在逻辑上存在质的差别。在规范表达的外在形式上,规则相较于原则更加具体,内含构成要件和法效果,具有“行为规范”的特征,当事人直接依照规则行事即可,无需考虑规则背后的目的或评价。而原则的表达则更具抽象性,且在本质上构成一种“目标规范”,即只是将某种状态设定为要追求的目标,并不对达致此状态的具体手段作出规定,因此无法为当事人之行为作出明确指引,也无法成为个案的裁判标准。法律保留在《个人信息保护法》中的规范表达只是在目标层面确立了行政机关处理个人信息应当具有法定依据,但并未释明具体的权限与程序究竟应由何种位阶与类型的规范授权。行政机关处理个人信息仍无法据此规定开展实施。因此,即便不考虑“法律保留”作为一项行政法基本原则的学术共识,《个人信息保护法》第34条之规定仍然应当在法理学层面被视为一项法律原则,遵从原则的适用方法。

事实上,原则与规则在适用方式上的差异是最为根本的。具体而言,规则以涵摄之方式适用,原则以权衡之方式适用,前者系“确定性命令”,后者则是“最佳化命令”。对于规则来说,其效力是全有或全无的,只要符合其适用情境,则必须完满地适用,不多不少地实现其规定之内容。但规则也存在少数例外情形,即立法者在通盘考量后认为特定情形下规则不可用,并将此类例外情形在规范中明确列举。这也意味着规则与规则间的冲突只能以一项规则排除另一项规则适用的方式解决。举例来说,《个人信息保护法》第13条所规定之“知情同意”便具有典型的规则结构,其要求一般情况下,个人信息处理者需取得个人的同意方可处理个人信息,但是有“为订立、履行个人作为一方当事人的合同所必需;为履行法定职责或者法定义务所必须;为应对突发公共卫生事件”等情形的,不需要取得个人同意。可见,立法将“知情同意”作为一项一般性的规则,同时列举出相应的情形作为例外。要么需要获取同意要么不需要,规则与例外互斥适用,不存在适用程度问题。

与规则的完满性适用不同,原则只是要求某事在相对于事实与法律上可能的范围内尽最大可能被实现,这意味着,它们能以不同的程度被满足。申言之,原则的抽象性决定了其内涵的空间性以及适用的程度性。原则的目标性决定了其鲜明的价值性,而价值的相对性则决定了原则间碰撞的普遍性。但不同于规则间冲突的排除性适用,互相冲突的原则是可以共存的,只是在不同的具体情境下,二者各自实现的程度不同罢了。

就法律保留原则来说,其调整法律与行政间的关系,要求行政的发动需具有法律的授权,进而保障公民之基本权利。同时,基于国家任务的考量,行政亦应当具有一定的积极性与主动性以高效完成管理任务,促进公共利益的实现。就个人信息保护法治来说,其不仅旨在保护个人信息权益,规范个人信息处理活动,同时也肩负着促进个人信息合理利用的价值使命。“个人信息保护”与“个人信息利用”可以被视为两项互相碰撞的基本原则,二者既不能同时完全实现,也不可排除任意其一,只得权衡适用。“行政机关处理个人信息必须依照法律、行政法规规定的权限、程序进行”之规定一方面体现了立法对个人信息权益的保护,但同时也产生了对行政效能与个人信息流通利用的限制。因此,为了实现个案正义,以及个人信息保护与利用间的平衡,需将法律保留原则本身所具有的开放性、动态性特征在特定场景下以权衡的方式予以特定化、具体化。

(三)场景理论的差异化规制思路

除了在法理学与行政法学层面廓清法律保留作为一项行政法基本原则所具有的空间属性,个人信息与隐私保护领域的“场景理论”同样为法律保留原则的梯度适用提供了正当性理由。海伦·尼森鲍姆(Helen Nissenbaum)最早提出了场景一致性理论(contextual integrity)(以下简称“场景理论”),认为不同的信息活动发生在不同的场景之下,应当匹配一套独特的信息规范。这种信息规范包含场景(contexts)、行为主体(actors)、属性(attributes)和传输原则(transmission principles)四个关键要素,即对不同属性信息可以在何种场景之下,由谁向谁,以何种方式传输进行规定。信息活动只有符合了信息规范,场景一致性才算得以维持,个人隐私权才被视为未受侵犯。场景理论不是一个僵化的框架,其更多的是为个人信息处理提供一种基于场景的差异化规制思路,而这种思路已经在不同程度上融入了我国个人信息保护法制的各个方面,并在侵权责任认定方面有明显体现。

在民事领域,个人信息侵权损害赔偿构成对个人信息主体后端救济的主要渠道。依据《个人信息保护法》第69条之规定,侵害个人信息权益的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定,此两种方式难以确定的,根据实际情况确定赔偿数额。立法所确认的个人信息权益本身就是一种风险控制工具,用来对抗违法信息处理行为产生的抽象风险。然而,风险与实际损害之间还涉及复杂的兑现概率问题,个人的实际损失与信息处理者的违法获利并不易确定。因此,“根据实际情况”确定赔偿数额将会成为一种重要的计算方式。这要求司法机关对“个人信息侵权场景”的全面掌握,其不仅需要考虑侵害人主观状态、恢复公共秩序的合理开支、侵害人经济和生活状况等因素,还需要考虑违法信息处理行为的具体情节与影响后果。有学者主张应根据个人信息的种类和侵害程度等情况的不同,建立分级分类的损害赔偿制度。举例来说,如果侵权行为的客体是敏感个人信息,即有更高概率产生更加严重的后果,那么相应的赔偿数额应较对一般个人信息的侵权更高。

在刑事领域,“侵犯公民个人信息罪”的差序化刑罚直接体现了对于不同类型个人信息的不同程度保护。《中华人民共和国刑法》第253条将“情节严重”设定为“侵犯公民个人信息罪”的入罪门槛,规定“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金……”。2017年出台的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》进一步将个人信息划分为了三类,并规定:非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;非法获取、出售或者提供其他个人信息五千条以上的认定为刑法第253条规定的“情节严重”,构成犯罪。这种差异化设置的入罪标准,直接体现了个人信息性质对于信息规范的影响。三类个人信息私密性依次递减,社会性依次递增,所对应的保护强度也依次递减。可以说,个人信息的领域化区分直接影响了罪与非罪的界定。

总体而言,场景理论已经被我国个人信息保护法制的理论与实践所接纳,也应当被视作一种方法进一步应用于《个人信息保护法》的解释之中。 法律保留作为一项行政机关处理个人信息的基本原则,应当遵从场景理论的差异化规制思路,针对不同情形进一步细化特定的适用规则。


四、个人信息收集中法律保留的梯度适用方案

行政机关不同类型的信息收集行为所干预的个人权益不同,对个人权益造成损害的风险程度亦不相同,故而应当匹配不同位阶与类型的法律授权,以实现个人信息保护与个人信息利用的平衡。法律保留原则实际上建构起了一个事实与规范相交互的空间性结构,梯度适用的方法便是将差异化的事实与不同位阶类型的规范相适配的“钥匙”。

(一)法律保留的梯度适用标准

相比于明确纵向上绝对保留与相对保留,以及横向上组织保留与行为保留的概念差异,更重要的是明确应当以何种标准和方法来决定法律保留原则在行政机关收集个人信息活动中适用密度之大小,强度之高低。

1.基于权利的规范位阶划分

对于法律保留位阶的标准,《中华人民共和国立法法》(以下简称《立法法》)第11、12条以不完全列举的方式在一定程度上划分出了绝对保留与相对保留的界限,同时也反映出了对德国重要性理论(Wesentlichkeitstheorie)的吸纳,即认为“重要的特定事物必须由立法者亲自决定,而不可假手授权行政权以法规命令加以决定”。其中,“重要性”多指的是权益的重要性,包括个人的权利,以及公共的利益。但由于这种“重要性”往往处于滑动的状态,重要性理论也常被认为是缺乏清楚性与可预期性的难以被教义化的工具。究其本质,重要性判断的困境在于价值的相对性。将不同权利进行静态的重要性排序并不现实,但从法律适用的角度出发,这种价值的评判与取舍确是必须作出之决定。举例来说,按照《中华人民共和国行政处罚法》(以下简称《行政处罚法》)中关于处罚设定权的规定,只有法律能够设定关于限制人身自由的处罚,行政法规可以设定人身罚之外的处罚,地方性法规可以设定除人身罚与吊销营业执照以外的处罚。据此可以认为,在行政处罚的场景之下,人身自由比营业自由重要,而营业自由又比一般性的财产权更为重要。

就个人信息收集活动来说,其干预的权利越重要,对应的授权规范位阶就应当越高。基于《个人信息保护法》将行政机关处理个人信息的活动保留给了法律与行政法规两级规范,可以认为重要的信息收集活动需要法律授权,非重要的信息收集活动可由行政法规授权。需要注意的是,此处对信息收集活动重要性的二分只是为了方便匹配实定法所规定的两级授权规范,即法律和行政法规。“重要性”本身构成开放性的价值空间,并非泾渭分明之界限,对于事务重要性的评价不应是非此即彼的“重要”或“不重要”,而是要在连续的价值光谱中刻画不同重要程度的具体刻度。已经有学者提出,在法律保留之上应当存在更加一般性的原则,即“同位保留原则”,要求剥夺利益的规范应与形成该利益的规范处于同一位阶。考虑到个人信息之上承载利益的多元性,以及信息收集活动的普遍性,不排除未来立法对于信息收集活动授权规范位阶要求的放宽。

2.基于风险的规范类型分配

相同位阶的授权规范有组织规范与根据规范上的类型划分,而究竟应当以组织规范抑或根据规范之授权以为足够则应当从风险与效能相平衡的视角进行分析。不同于法律与行政法规,根据规范与组织规范间的授权划分并不涉及人大与行政机关就立法权限的分配。其核心是如何更好地在控制行政恣意风险的同时,促进行政效能与行政目标的实现。

如前所述,组织规范和根据规范均具有授权效应,只是二者在规范内容上的具体化程度和明确性不同。根据规范包含具体的要件和效果,对行政行为有着较强的拘束力,行政机关只能在符合法定要件的前提下产生法定的效果;而组织规范相对宏观,且明确性较低,对行政行为仅构成一种低程度的拘束,行政机关在组织职权范围内拥有广阔的措施采用裁量空间。从立法技术上来讲,根据规范与组织规范构成了法律授权的两种方式,前者明确性高,风险性低,但不利于行政效能的提升;后者明确性低,风险性高,但有利于行政目标更广泛地实现。事实上,法律保留原则不仅需要明确何种事项必须由何种法律规范予以规定,还需要对立法的具体规范方式进行限定。如果只要求一个事项应当由相应的法规范予以规定,但却不对其如何进行规定作出限制,则会从根本上架空法律保留的制度功能。根据《立法法》第7条第2款“法律规范应当明确、具体,具有针对性和可执行性”之规定,以及法治国一般理论,法律作为法治秩序的主要构成要素须具有明确性,即尽可能地清楚和准确,以使人们对于法律的具体要求有准确认知,避免产生不可预测的损害。然而,明确的法律规范在具备安定性与可预见性的同时却无法全面因应多样与易变的社会事实,从而降低行政的效能。因此,应当以平衡的视角去肯定组织规范与根据规范授权在不同场景下的积极价值。就个人信息收集来说,其几乎构成了所有行政活动的前提,通过全面的根据规范授权既不现实,也无必要。我们应当在可接受的风险范围内,允许组织规范对信息收集行为的授权,同时坚持以严格的根据规范对高风险信息收集行为的授权。

总体而言,对纵向上法律保留的规范位阶,应当以受干预的权利位阶为判断标准而无关风险水平,其中受干预权利的核心部分也不能以风险为名而重新校准;对横向上法律保留的规范类型,应当以规范实效为目标,兼顾风险的可控与效能的保障。 关于“基于风险”和“基于权利”两种个人信息保护模式的调适思路,

(二)强制收集与任意收集分类下的法律保留

强制收集具有法效性,无论是不经个人协力而直接强制获取信息,抑或课予个人以法律上的协力义务,间接强制获取信息,均构成对个人信息主体的权利限制。任意收集则有赖于个人的主动协助,且不具有直接的法律效果,可以归类于行政事实行为。因此,法律保留原则在二者间的适用应当体现密度上的差异,即以高密度的法律保留限制强制收集的开展,而以低密度的法律保留提升任意收集的效能。

就直接强制收集来说,其是以在获取当事人信息的同时往往在手段上具有强制力作为保障,不仅对于个人信息权构成了限制,同时还对于公民的人身财产权构成限制。可以认为,直接强制收集与行政强制之间存在竞合关系。具体而言,直接强制收集可以分为两个阶段,第一阶段系行政机关要求个人提供信息,第二阶段是在遭遇拒绝或不予协助的情形下可以通过强制手段直接获取相关信息。前一阶段具有对公民权利义务的处分性,构成一项具体行政行为,而后一阶段行为因并未对个人构成新的权利义务变更而不具处分性,构成一种强制执行。因此,可以参考《中华人民共和国行政强制法》第10条“行政强制执行由法律设定”之规定,限定直接强制收集行为须有狭义法律之授权。

就间接强制收集来说,其不同于以行政强制为保障的直接强制收集,而是以行政罚或法律上的不利后果为实效性保障的收集手段。即便个人不履行协力义务,行政机关也无权通过行政强制获取信息。从行政处罚的视角来看,个人拒绝信息收集与拒绝后所面临的不利后果分别对应处罚情形的设定(规范的构成要件),以及处罚措施的设定(规范的结果要件)。《行政处罚法》中法律保留的适用似乎只是针对处罚措施本身,而非可能导致处罚的行为。但实际上,处罚情形与处罚措施作为构成要件和结果要件共同构成行政处罚的完整规范形式,二者的分离将会导致处罚措施的设定完全失去意义。行政处罚的设定应当包含对处罚适用情形的设定。另外,间接强制收集行为本身的内涵也决定了其在规范上必须同时具有行为与结果两部分的构造。如果没有对应的责任结果,单纯的行为规范仅仅是授权了一种任意性调查。故而,在间接强制收集活动中,当事人拒绝和反抗收集之情形构成行政处罚的构成要件,同时也构成间接强制收集的授权依据,应当适用处罚措施设定中法律保留的规则。

间接强制收集课予当事人违反协力义务的不利后果具有多样性,包括对人身权的限制,以及对财产权的限制。对间接强制收集行为的法律保留密度也需要依据具体不利后果以及实定法中的相关规定进一步细化。根据《行政处罚法》第10条、11条之规定,限制人身自由的行政处罚只能由狭义法律设定;行政法规可以设定除限制人身自由以外的行政处罚。据此,可以明确的是,以人身罚为实效性保障的间接强制收集须由法律授权;以财产罚为实效性保障的间接强制收集可由法律、行政法规规定。另由于间接强制收集在规范表达上本就具备行为与结果要件,即天然具备了根据规范的外观,因此,间接强制收集不可能存在由组织规范授权的可能。

任意收集具有行政事实行为的特征,相比于强制收集缺乏强制性与法效性,但这并不能否认法律保留原则之适用。有观点认为任意收集是一种非权力性行为,并未对被收集人产生强制力,在理论上亦无关公民实体权利义务之限制与剥夺问题,因此不属于法律保留之事项。还有学者指出,任意收集的进行与否完全取决于相对人的同意。相对人对于任意性调查的同意与配合,可以看作自愿放弃权利,而非行政机关强制地限制或剥夺公民的权利和自由,因此,任意收集原则上不受法律保留原则的严格约束。即便没有直接的法律依据,任意收集同样可以实施。然而,任意收集虽未课以当事人法律上的“协力义务”,也并未对公民权利造成严重的限制,但在事实上却对公民产生了滋扰并使其承担了“协力负担”。如若否定对任意收集最低密度的法律保留要求,行政机关则可以通过任意收集之手段超脱于职权范围收集个人信息。现实生活中,公民面对行政机关的“命令”实际很难因规范层面的法效性缺失而从容拒绝,其仍然会忌惮于这种事实上的强制性而上交个人信息。因此,对于任意性调查只可酌情降低法律保留的适用密度,而无法完全排除法律保留的适用,即可由法律或行政法规以组织规范形式授权。

(三)一般信息与敏感信息分类下的法律保留

一般信息与敏感信息二分背后的根本原因是为了建构差别化的制度措施。除了《个人信息保护法》第二章第二节专门规定的“敏感个人信息的处理规则”,该法第55条亦规定了个人信息处理者在处理敏感信息前的评估义务,第62条还规定了个人信息保护部门就处理敏感个人信息制定专门的个人信息保护规则、标准。可以说,对于敏感信息的加重保护是贯穿立法始终的,法律保留原则的适用亦不例外。

有学者提出“两头强化、三方平衡”理论,认为要强化对一般个人信息的利用以及对敏感个人信息的保护。但其并未对处理一般信息与敏感信息所需具备的授权标准展开探讨。本文认为,应当以一般信息与敏感信息所承载具体权利的重要性或者说位阶高低进行法律保留密度的纵向划分。对于敏感个人信息来说,一旦泄露或非法使用将侵害个人人格尊严,危害人身财产安全。这实际上隐含了一个先验的、抽离于具体场景的风险推定, 即对敏感个人信息的处理可能对个人、群体或者整个社会产生较重的不利影响。不同于收集手段对于风险兑现概率的影响, 对敏感个人信息的收集影响的是风险后果的严重性, 即风险内容对应的权利的重要性。而此类权利均是作为宪法所确认之基本权利,理应由狭义的法律予以限制。另鉴于基本权利的辐射效应,法律或行政法规中所规定的权利也常常与基本权利产生联结,而在基本权利保护范围并未厘清时,基本权利与其他法定权利间的位阶划分也将变得模糊。对此,法律保留的适用需要准确把握所涉权利的性质与位阶,做出区分。未来的法治实践也还需要加强对于公民人格尊严、人身财产安全等基本权利进行解释。对于一般个人信息来说,其与人格尊严、人身与财产安全并没有紧密的关联,同时也构成绝大多数行政活动开展所需之必要“原料”,因此应当给予行政机关收集一般信息的较大自由,允许行政法规中组织规范的授权。

至于行政机关收集敏感个人信息究竟需要根据规范抑或组织规范的授权,可进一步对不同场景下个人信息所承载之权利进行解构并作出判断。权利的内涵抑或说权利的保护范围是具有空间性的。受《联邦德国基本法》第19条“基本权利的本质内容在任何情形下都不受侵犯”的教义启发,可以认为行政所干预的权利内容越靠近权利的本质,越需受到更高程度的限制与更加严格的合法性审查。就法律保留在横向上的授权规范类型来说,可根据信息收集行为所干预权利内容距离权利核心的远近程度作出区分。远离核心的行为允许组织规范授权,靠近核心的行为必须根据规范授权。当然,何为权利的本质内容本身难以界定,靠近与远离的描述也具有相对性和模糊性,因此,这种判断方式更多体现的是一种权利解构分层的思路,具体适用还需进一步结合收集方式与其他可能产生特定风险的场景要素,以及行政目的的重要性综合考量判断。

总体来说,不同的个人信息类型,对法律保留规范的密度要求不同。行政机关收集个人信息指向的标的既涉及一般信息,也涉及敏感信息。而鉴于权利重要性与风险程度的不同,对敏感信息的收集应当获得狭义法律的授权,对一般信息的收集,可以允许行政法规作为授权依据。对干预核心权利内容的信息收集行为必须根据规范授权,对干预非权利核心内容的信息收集行为可由组织规范授权。另不可忽略的是,敏感信息与一般信息之间可能存在动态转化,法律保留原则的适用也需要结合实践同步调整。

(四)自动收集与人工收集分类下的法律保留

人工收集作为行政机关获取外界信息的一般性传统路径不具备特殊性,仅需要在个案中考虑其是否具有强制性,以及所收集之信息是否具有敏感性,按照上文所述之规则适用法律保留。而自动收集因具有自动化技术的介入,相比于人工收集将对于个人信息主体权益以及公共利益造成更显著的影响,应当适用更高密度的法律保留。

就对权益的干预来说。首先,自动收集往往已经突破了物理空间和时间,形成了以数据为载体,无时无刻不链接着人与行为的关系,具有相当的规模性,即对一个区域或者一段时间内个人信息的持续采集。其次,自动收集具有对个人信息的二次挖掘与利用能力。随着信息质和量的累积,自动化技术可以实现对个人碎片化信息的整合,并逐渐形成个人的“人格剖面图”。以最典型的公共视频监控为例,其已经从简单地矗立于公共场所中的独立镜头发展成为运用数字及移动技术的复杂集成操作系统。持续性的区域性监控将镜头内发生的客观事实自动记录和存储,并主动地用于识别犯罪嫌疑人身份、评估公共安全等目的。在此场景之下,自动化技术对公民人格与行为的分析、评估甚至预测已经干预到了公民的人格尊严。公民在自动化技术的大规模监控以及分析之下,承担着沦为透明人的精神不安,难以形成自主人格,更无法实现人格发展之自由。因此,对于干预公民人格尊严的行为应当要求由法律的授权。当然,若存在类似于人工收集,仅是利用简单的自动化技术开展的个别信息收集行为,因其并不具有显著的规模性、分析预测等能力,并未形成对个人人格尊严之干预,仍可适用人工收集的法律保留规则。

就风险性而言,需从辅助决定型与直接决定型自动收集的分类展开讨论。同样是对公民的某项权利产生了干预,辅助决定型自动收集行为并不会将“人”排除出决策的“环路”。其只是在对信息的识别与输入端利用了自动化手段,但最终仍然是由人对自动收集所得信息进行分析并作出决策。行政机关在行政决定作出之前仍然需要向相对人作出解释说明,听取相对人意见,在涉及重大问题时也会按照程序组织听证。也就是说,辅助决定型自动收集更多的是在发挥自动化技术对信息的捕捉、记录与识别能力,并不会利用自动化技术进行直接决策,不会从根本上改变一个行政行为的性质与流程。人对于自动收集而来的信息具有二次校正和确认的机会,公民权利因自动化技术介入而受损的风险仍然是被控制在可接受的范围之内。反观直接决定型自动收集则是将传统行政程序高度压缩,省略了解释说明、听取意见等基础性环节,以全自动的方式生成一项具有确定性和拘束力的行政决定。虽然公民具有事后请求救济的权利,但事中与事前的程序性保障即宣告丧失。因此,对于辅助决定型自动收集行为应当适度放宽授权法律规范的密度,允许组织性规范的授权,而对于直接决定型自动收集则应当需要根据规范的授权。

五、结语

行政法律关系中的个人信息保护作为数字时代下最为重要的法治议题之一,涉及个人信息权、自动化行政等新兴要素,但其在本质上仍然没有脱离控制行政权力、保障公民权利的行政法治逻辑。研究需要坚持利用传统的基础理论解决新兴问题,在解决新兴问题的过程中反思与发展基础理论。当下的个人信息保护法制仍处于不断健全的过程之中,尽管多数重要的个人信息处理规范已然建立,但普遍停留在法律原则的维度,较为宏观笼统,难以在具体情形下直接适用或形成指引。法律保留便是一个原则性规范的典型例子。本文以收集行为的强制性、收集信息的敏感性、收集手段的自动化程度对行政机关的个人信息收集行为进行分类,并根据不同类型行为所干预公民权利的重要性,以及构成损害的风险性将其与法律保留的层次化结构进行动态耦合,建构一种宽严相济的法律保留梯度适用方案。这种分级分类的方法尽管可能不是最优的方案,但确实也形成了当下阶段对个人信息处理原则予以细化的一种思路,衔接起了个人信息处理场景与传统法律保留密度理论。未来的个人信息保护法治建设有必要更加关注原则的规则化工作,以多元化的方式针对不同的个人信息处理原则建立更加细致的适用标准,兼顾个人信息的保护与利用,切实提升既有原则性规定的规范实效。