近日,國務院對外發布《政府信息公開條例》(以下簡稱“條例”),并宣布“條例”將于2019年5月15日施行。2008年施行的舊“條例”因立法技術粗糙,原則過于宏觀,加上行政部門偏于保守,司法解釋又缺乏統一標準,政府的信息公開工作一直廣受詬病。新“條例”對司法實踐中存在的諸多問題給予明晰,特別是新“條例”確定的“以公開為常態,不公開為例外”原則,得到了實務界的廣泛贊譽。
角度決定思路,本團隊因致力于數據保護研究,新“條例”的出臺不僅未令筆者感到開心,反而加劇了筆者的擔憂:因為政府信息公開范圍的擴大,更容易導致個人數據的大范圍泄露。須知,政府泄露個人數據的情況并不少見,例如,安徽省銅陵市政府信息公開網上曾公開40對夫妻的姓名,其中77人的身份證號碼完整呈現;安徽省合肥市政府信息公開網曾公開醫療救助對象的居民住址、聯系電話、患病事由等。
[①]可見,新“條例”的發布有利于政府信息的透明運作,但個人數據泄露的風險也相對提高。那么,政府信息公開下,個人數據具體存在哪些潛在威脅呢?面對信息泄露的風險,政府要如何保障個人數據安全呢?
一、解讀新“條例”的內容
筆者認為,為了讓讀者更好理解新“條例”對個人數據泄露的潛在威脅,有必要先對新“條例”做大致解讀,使讀者對其有基本的認識,因此,筆者將在下文先對新“條例”的內容做解讀。值得注意的是,由于新“條例”對舊“條例”做了大幅度的修改和調整,下文的解讀勢必無法全面細致,筆者只能選取部分重要內容進行分析。
(一)框架結構更規范
在框架結構上,筆者認為,新“條例”的結構更加規范和合理。研究發現,舊“條例”原本共5章內容,分別為“總則”“公開的范圍”“公開的方式和程序”“監督和保障”以及“附則”。新“條例”在舊“條例”基礎上,將舊“條例”第3章“公開的方式和程序”拆成2章,設為第3章“主動公開”和第4章“依申請公開”,結構更為清晰合理;其中“主動公開”章節規定的內容更為詳實,“依申請公開”章節對于程序的規定更具有可操作性;同時新“條例”在舊“條例”第2章“公開的范圍”內填入“主體”要件,使政府信息公開的主體更加明確。
一、新舊“條例”的框架對比表
| 舊“條例” |
新“條例” |
解讀 |
| 第1章:總則 |
第1章:總則 |
由原來8條擴充為9條;條款的內容有所擴充。 |
| 第2章:公開的范圍 |
第2章:公開的主體和范圍 |
增加了公開的“主體”;由原來6條擴充為9條;條款的內容有所擴充。 |
| 第3章:公開的方式和程序 |
第3章:主動公開 |
將舊“條例”中主動公開和以申請公開的程序拆分為更精細的兩章;由原來14條擴充為27條;條款的內容有所擴充。 |
| 第4章:依申請公開 |
| 第4章:監督和保障 |
第5章:監督和保障 |
由原來7條擴充為8條;條款的內容有所擴充。 |
| 第5章:附則 |
第6章:附則 |
條款的內容有所擴充。 |
2019年4月,筆者自制。
(二)增設“以公開為常態,不公開為例外”原則
相比于舊“條例”,筆者認為,新“條例”對原則的規定更加準確合理。例如,舊“條例”規定“行政機關公開政府信息,應當遵循公正、公平、便民的原則。”但如何確定“公正、公平、便民的原則”?舊“條例”未給予可行的操作方案,致使該原則在實務中無法被貫徹實施。為解決舊“條例”原則失范的問題,新“條例”增設“以公開為常態,不公開為例外”的原則條款,并在“條例”中塑造規范體系,貫徹始終。
具體而言,新“條例”在公開范圍中規定,除特殊事項外,政府信息應當一律公開
[②],同時“條例”列舉了政府應當公開的具體事項,其中,增加了公開公務員招考錄取的信息、行政處罰信息等。
[③]此外,“條例”還規定行政機關要按照上級行政機關的部署,不斷增加主動公開的內容。
[④]該具體條款的規定使得“條例”確定的“以公開為常態”有了法律上的依據;而在“以不公開為例外”上,新“條例”在不公開的范圍中規定了絕對不公開事項
[⑤],相對不公開事項
[⑥]和可以不公開事項
[⑦]等,通過規定“例外”事項,以設立負面列表的方式打通信息公開的渠道。
(三)主體和范圍更明確
在主體方面,新“條例”理清了制作機關、牽頭機關和保存機關的關系,明確了承擔公開職責的各權力主體。例如,制作政府信息的行政機關負責公開該信息,保存政府信息的行政機關負責公開該保存信息,如果有多個行政機關同時涉及某類政府信息時,此時由牽頭機關負責公開該信息;此外,新“條例”還授予派出機構和內設機構有公開信息的權限,公共企事業單位不適用新“條例”的規定。
在公開的范圍方面,新“條例”規定除了國家秘密、商業秘密、個人隱私和行政機關的內部事務信息外,政府信息原則上都應當公開。在公開的方式上主要有主動公開和依申請公開兩種。在主動公開上,“條例”要求“對涉及公眾利益調整、需要公眾廣泛知曉或者需要公眾參與決策的政府信息”應當主動公開,同時以列舉的形式規定了政府機關應當公開的事項;在依申請公開上,“條例”規定凡是公民以自己的名義,都可以申請政府信息公開,并完善了申請的程序流程。
二、新“條例”對個人數據泄露的潛在威脅
由上可知,新“條例”依循“以公開為常態,不公開為例外”的原則,對政府信息應當公開的內容做了概括式要求、列舉式規定;對政府信息不予公開的內容做了絕對不予公開、相對不予公開和可以不予公開的界定,使得新“條例”的體系更加完整和規范,加大了政府信息公開的力度。然而,筆者認為新“條例”體系完整的背后潛藏著個人數據泄露的風險。換言之,新“條例”對政府信息應該公開、不予公開的內容做詳細分類的背后隱藏著個人數據泄露的潛在威脅。具體來說,新“條例”對個人數據泄露的威脅來自于3個方面,分別是:政府信息公開的內容存在泄露個人數據的風險、政府信息相對不予公開的內容存在泄露個人數據的風險、政府信息管理動態調整機制存在泄露個人數據的風險。
在政府信息公開的內容上,新“條例”在主動公開范圍中增加了行政處罰的相關信息、公務員招考錄用的信息、政府辦公機構負責人的姓名、聯系方式、辦公時間、辦工地址等信息;
[⑧]同時規定設區的市級、縣級人民政府及其部門還應該根據具體情況公布土地征收、房屋征收、治安管理、社會救助等方面信息;
[⑨]鄉(鎮)人民政府還應該公布農村土地承辦經營權流轉、宅基地使用情況審核、農田水利工程建設運營等信息。
[⑩]
上述所列舉的信息,基本上都會涉及個人數據的公開問題,例如公務員招考錄用會涉及擬錄取公務員的個人信息,比如姓名、聯系方式、身份證號、家庭住址等信息;行政處罰會涉及行政處罰人甚至行政相對人的相關信息;政府機構負責人的姓名、聯系方式甚至住址都會被公布;農村土地、宅基地更是涉及農民的財產信息。根據新“條例”的規定,這些個人數據都將會被公開。如果政府缺乏數據保護的意識,個人數據公開的幅度和范圍將會更大。
同時,新“條例”在申請公開上,改變了舊“條例”規定“生產、生活、科研等特殊需要”的公民才能申請信息公開的條件,而是不再設置任何門檻,只要依自己名義就有權申請政府信息公開。申請條件的放開是否會導致利益團體為獲取個人數據惡意申請特定人的信息公開呢?筆者認為隨著數據在智能時代中作用的不斷凸顯,利益集團具有想方設法獲取個人數據的動機。由此可見,個人數據在申請公開上也存在個人數據泄露的風險。
在政府信息相對不予公開的內容上,新“條例”規定涉及商業秘密、個人隱私的數據,行政機關不得公開。但是如果行政機關認為不公開會對公共利益造成重大影響的,可以公開。
[11]但問題是如何權衡個人隱私與公共利益之間的利益大小,新“條例”并未給出裁量基準,而是將裁量權拱手讓給行政機關。眾所周知,任何機構在做主觀判斷時,勢必有所偏向。如果政府機關更偏向于認為公共利益影響大于個人隱私的保護,個人數據的泄露問題將不可阻擋。從這個角度看,政府信息相對不予公開也存在個人數據泄露的風險。
在政府信息管理動態調整機制上,新“條例”規定除了負面清單列舉的事項不公開外,其余事項都要公開,并且對“不予公開的政府信息進行定期評估審查”,對因情勢變化可以公開的政府信息進行公開。
[12]同時,要不斷加大主動公開的內容。
[13]可見,新“條例”不僅規定了政府信息“以公開為常態,不公開為例外”,同時這種“例外”還可能隨著時間的推進變成“常態”,這種“常態”還可能變成“超常態”。換言之,信息公開的幅度會越來越大,信息公開的范圍會不斷加大。政府信息公開的幅度和范圍的不斷加大,是否會像黑洞一樣把個人數據等信息也吸附進去,使得政府信息公開的過程中,個人數據在不經意間也大量流失和泄露呢?筆者不得不對此也持有警惕之心。
三、政府信息公開下政府如何保障個人數據安全
新“條例”無論在政府信息應當公開的內容,還是政府信息相對不予公開的內容,亦或是政府信息管理動態調整機制上,都存在可能泄露個人數據的潛在風險。那么,政府信息公開下該如何保障個人數據的安全呢?筆者認為,政府保障個人數據安全應從個人數據的收集、保存和使用三個方面加以保障。
(一)個人數據的收集
在個人數據的收集上,《全國人民代表大會常務委員會關于加強網絡信息保護的決定》第2條規定網絡服務提供者和其他企業事業單位在收集個人數據時,“應當遵循合法、正當、必要的原則,明示收集、使用信息的目的、方式和范圍,并經被收集者同意,不得違反法律、法規的規定和雙方的約定收集、使用信息”,2016年頒布的《網絡安全法》第41條再次重申網絡運營者應遵循上述要求。然而無論是全國人大常委會的《決定》,還是《網絡安全法》的規定,限定的主體主要是商事主體,政府機關被排除在外。但是在實務中,收集個人數據最強有力的機構恰恰是行政機關,而筆者通過檢索法律法規,發現迄今為止,并未有一部法律專門對政府收集個人數據作出規范控制,關聯度最高的《政府信息公開條例》,規定的內容也主要是如何公開政府信息,政府如何收集個人信息的規定只字未提。
筆者認為,政府信息公開的合法基礎是個人數據的合法收集,如果一開始政府收集的個人數據就超過了必要的限度,后期政府對無關個人數據的公開,其實就是變相的信息泄露。因此,筆者認為,政府在個人數據的收集上,也應當遵循網絡運營者所應遵循的“合法、正當、必要”的原則,明示收集信息的目的、方式和范圍,不得超過必要限度。
(二)個人數據的保存
在個人數據的保存上,《全國人民代表大會常務委員會關于加強網絡信息保護的決定》和《網絡安全法》對網絡運營者個人數據如何保存都做出相應規定,例如網絡運營者“應當采取技術措施和其他必要措施,確保信息安全,防止在業務活動中收集的公民個人電子信息泄露、毀損、丟失。在發生或者可能發生信息泄露、毀損、丟失的情況時,應當立即采取補救措施”,同時網絡運營者還需要做好保密措施。
[14]然而,對于與網絡運營者相對的政府機構,法律對其在數據保存上的規定就較為粗糙。例如,《網絡安全法》僅規定國家對可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護。
[15]而對于除關鍵信息基礎設施外的個人數據安全,我國并未有相關的法律規定。可見,在個人數據的保存上,行政機關的保護力度同樣不足。
筆者認為,個人數據的保存也是行政機關保護個人數據的重要組成部分,當前法律法規的規定過于含糊,對個人數據的保護力度不足,政府部門在對個人數據的保存上應參照網絡運營者,應當采取技術措施和其他必要措施,確保信息安全,防止在業務活動中收集的公民個人電子信息泄露、毀損、丟失。
(三)個人數據的使用
在個人數據的使用上,《網絡安全法》規定個人數據的使用,應當遵循法律、行政法規的規定和與用戶的約定。
[16]歐盟《通用數據保護條例》(General Data Protection Regulation,簡稱GDPR)還指出網絡運營者在收集個人數據時,應遵循“目的必要性”原則,即使用的數據要與收集數據時明示的目的相符合,當使用的范圍超過明示的目的時,要重新征得數據主體的同意。
我國法律法規并未規定政府在使用個人數據時,要遵循上述種種要求。法律規定的缺失極易導致政府信息公開體系的整體失范、數據主體保障個人權利的整體失語。因此,在個人數據的使用上,政府也應參照網絡運營者使用數據的限制,遵循法律、行政法規的規定和與用戶的約定,遵循“目的必要性”原則。
[②] 參見2019年《政府信息公開條例》第13條。
[③] 參見2019年《政府信息公開條例》第20條。
[④] 參見2019年《政府信息公開條例》第22條。
[⑤] 參見2019年《政府信息公開條例》第14條。
[⑥] 參見2019年《政府信息公開條例》第15條。
[⑦] 參見2019年《政府信息公開條例》第16條。
[⑧] 參見2019年《政府信息公開條例》第20條。
[⑨] 參見2019年《政府信息公開條例》第21條。
[⑩] 參見2019年《政府信息公開條例》第21條。
[11] 參見2019年《政府信息公開條例》第15條。
[12] 參見2019年《政府信息公開條例》第18條。
[13] 參見2019年《政府信息公開條例》第22條。
[14] 參見《全國人民代表大會常務委員會關于加強網絡信息保護的決定》第3條、第4條;《網絡安全法》第42條、第45條。
[15] 參見《網絡安全法》第二節“關鍵信息基礎設施的運行安全”。
