彭真明:失信约束中个人信息保护模式的更迭与走向
2022年8月16日      ( 正文字号: )
[ 导语 ]
       大数据技术加持下的失信约束制度对个人信用信息的利用已经突破单一部门履行法定职责的限制,转而迈向跨部门的聚合利用,但在个人信息保护模式上依然是结果保护模式,从而诱发了一系列个人信用处理过程中的问题。为何国家机关处理个人信息的行为致力于保护个人信息处理结果而非处理过程?个人信息过程保护模式在失信约束制度中的价值体现在哪里?其能否肩负起个人信息保护的使命?对此,海南大学法学院的彭真明教授在《失信约束中个人信息保护模式的更迭与走向》一文中,试图从历史演进的视角剖析失信约束制度中的个人信息保护模式,并结合《个人信息保护法》的规定,探讨其保护模式的未来走向。
一、失信约束中个人信息“结果保护”的路径依赖

个人信息“结果保护”模式是指以个人信息处理结果为主要保护对象,而忽视个人信息处理过程的保护模式,其实际上是信息安全制度的延伸。

收集、使用、储存公民个人信息是政府开展行政工作的必要条件,因此其在行使公权力之初就面临着个人信息保护问题。个人信息保护模式形成初期,国家机关处理个人信息多表现为对其行政工作的记录,为确保个人信息安全,须保护个人信息处理结果,即表现为对个人信息存储过程中的保密义务要求。随后,《政府信息公开条例》虽新增了信息主体的公开同意权、信息获取权、不准确信息更正权等,但所保障的仍是国家机关处理个人信息的结果,并未赋予信息主体信息自决权的关键内核——个人得自主决定其个人信息于何时、何地以及何种方式被国家收集、储存、处理以及利用,本质上仍是采用个人信息结果保护模式。至此,这种以行政主体的保密义务为核心,辅以信息主体更正权的个人信息结果保护模式被固定下来,之后无论是修订旧法还是出台新法,凡涉及国家机关的公共数据处理行为,其中的个人信息保护规则基本遵循这一模式。

失信约束制度包括失信信息的输入、失信状态的评价和失信惩戒的应用三部分,其具体包含的信用信息的收集、共享、评价、使用和存储等各环节均涉及国家机关处理个人信息的行为,因此在建构个人信用信息保护规则的过程中,结果保护模式是制度惯性使然。

二、“结果保护”的局限与“过程保护”的引入

结果保护模式以国家机关明确个人信息处理的范围为前提,其理论假设为只要国家机关按照法定程序,履行法定职责,其处理个人信息的过程即是合法行为,仅需关注个人信息处理结果是否正确、储存是否安全。但在数字政府建设时期,包含个人信息在内的行政数据被广泛收集、共享、分析,并在此基础上深度利用,国家机关对个人信息的利用已不限于法律法规为其预设的“法定职责”,个人信息的处理过程同样潜伏着侵害个人信息的风险,对此个人信息结果保护模式并不能有效调整。

具体到失信约束制度,这种尤为明显的风险具体表现为个人信用信息的过度收集(如将拖欠电费作为失信信息予以收集)、强制共享(如推动建立“全国信用信息共享平台”但缺乏相应明确国家机关之间共享信用信息的范围和程序的保护规范)、评价黑箱(公众无法参与评价标准的形成过程且无法获知评价的中间处理过程)和不当滥用(如将“被依法列为失信联合惩戒对象”作为录用公务员的排除要件)。

失信约束制度中国家机关对个人信息的处理与单一部门在法定职责范围内的行政记录有本质区别,其处理过程中所涉及的问题也不是简单的异议权、更正权和保密义务所能解决的。跳出个人信息结果保护模式的局限则需要转换保护思路,将国家机关处理个人信息的过程纳入保护范围之中,即引入个人信息“过程保护”模式。

三、失信约束中个人信息“过程保护”的适用限度

个人信息过程保护模式是市场主体作为信息处理者时所采纳的主要保护模式,其以个人信息的私益性为价值取向,并通过赋予信息主体信息自决权的方式,由信息主体主导其个人信息是否被收集、如何被利用等信息处理全过程,进而实现个人信息保护的规范目标。

2012年颁布的《全国人民代表大会常务委员会关于加强网络信息保护的决定》正式确立了以“告知—同意”为核心的个人信息“过程保护”模式。2021年颁布的《个人信息保护法》以个人信息商业利用为主要调整对象,兼及个人信息公共利用。其虽有对国家机关的特别规定,但基本条款的适用场景并未区分公共利用还是商业利用,仍以“告知—同意”规则为核心架构,并配套规定有“最小必要原则”“目的限制原则”“个人同意前置”“对自动化决策的拒绝和要求说明”“限制公开”等其他具体规则,正式将以“告知—同意”为核心的个人信息过程保护模式引入国家机关处理个人信息的场景之中。失信约束制度作为国家机关处理个人信息的典型场景,也必然应当落实《个人信息保护法》对过程保护模式的要求,但如何落实却存在明显的差异。

由于失信约束制度中的个人信息处理行为以国家机关履行法定职责为主,因而得以豁免个人同意,故“告知—同意”规则在其中的适用范围十分有限。但尽管如此,个人信息过程保护模式可以确保个人参与到国家机关处理个人信息的过程之中,全程监督国家机关的权力运行,进而预防国家机关侵害个人信息权益。其不仅实现了个人信息在国家机关处理行为中从具体权益保护到风险防范的转变,而且有助于实现个人在保护过程中从被动防御性保护到主动主张权利的转变。故失信约束制度中的个人信息过程保护模式的建构应重点落实国家机关的“告知义务”。


四、结语:“结果保护”与“过程保护”的协调

结果保护模式与过程保护模式均以规范国家机关权力行使为规范目的。前者是静态的“圈地自省”,从国家机关自身权力行使的角度出发,旨在通过明确权力边界以限制权力滥用。但失信约束制度已转向跨部门聚合利用,诱发的评价黑箱等问题表明国家机关有持久动力突破权利边界而无法进行有效遏制;后者是动态的“外部监督”,从外部监督国家机关权力行使的过程,特别是通过完善国家机关的告知义务,由利益相关的行政相对人以权利救济的方式倒逼国家机关正当行使权力。

对于整个失信约束制度中的个人信息保护要求来说,过程保护模式的引入并非替代结果保护模式,而是补强其在保护个人信息处理过程中的不足。因而二者的协调共生,方是失信约束制度中个人信息保护模式的正确走向。

在发布《全国公共信用信息基础目录(2021年版)》和《全国失信惩戒措施基础清单(2021年版)》之后,失信约束制度的规范路径正式走向“目录清单管理模式”,首次实现了个人信息结果保护模式和过程保护模式的协调。这种尝试是有意义且值得深化的,但不能止步于此。一方面,个人信用信息的共享边界不清和个人信用评分算法黑箱问题可能需要在法政策层面进一步探索共享清单,落实《个人信息保护法》第24条〔44〕的规定,明确国家机关的算法说明义务,必要时引入算法审计和算法评估制度以确保知情权的有效行使。另一方面,除了上述的事前告知事项外,个人信用信息被国家机关收集、共享、评价、使用、乃至储存过程中出现个人信息丢失损毁时的事后知情权,同样应当予以保障。



(本文文字编辑马国杰。本文未经原文作者审核。本文为中国民商法律网“原创标识”作品。凡未在“中国民商法律网”微信公众号正式发布的文章,一律不得转载。)



文献链接:《失信约束中个人信息保护模式的更迭与走向》


[ 注释 ]

本文选编自彭真明:《失信约束中个人信息保护模式的更迭与走向》,载《当代法学》2022年第4期。
【作者简介】彭真明,海南大学法学院教授,博士生导师,法学博士,中国民商法律网授权学者。

推荐阅读
赵玉:夫妻股权归属及其单方处分效力的认定
夫妻股权归属及其单方处分的法律效力,涉及家庭财产维护、市场交易秩序、公司组织三个维度规则的交叉适用。
翟远见:重大误解的制度体系与规范适用
相对人参与等并非重大误解的构成要件。重大误解可能例外地不产生可撤销的效力,或者关注表意人的动机错误。
何欢:债务清理上破产法与执行法的关系
破产法和执行法的共通属性为债务清理,二者存在适用上的竞争,应联动立法,且破产法原则上须尊重执行法。
热门排行
学术公告
问答集锦
相关文章
本期评价
0个赞
0个踩
敬请关注中国法学会民法典编纂项目领导小组组织撰写的《中华人民共和国民法典•民法总则专家建议稿(征求意见稿)》

编辑:唐子航

向编辑提问:

分享

扫二维码
用手机看民商
用微信扫描
还可以分享至
好友和朋友圈

中国民法学研究会
教育部人文社会科学重点研究基地
中国人民大学民商事法律科学研究中心

本网站由王利明教授创办并提供全部运作资金 Copyright◎2000-2021 All Rights Reserved 京ICP备2022010855号  
E-mail: ccclarticles@126.com