國家機關(guān)處理個人信息的特殊風(fēng)險及其法律規(guī)制

孫清白

一、問題的提出：國家機關(guān)處理個人信息的特殊風(fēng)險

2017年，《經(jīng)濟學(xué)人》雜志宣稱：“世界上最有價值的資源不再是石油，而是數(shù)據(jù)?！?1)Regulating the Internet Giants: The World’s Most Valuable Resource Is No Longer Oil, but Data, Economist(May 6, 2017), http://www.economist.com/news/leaders/21721656-data-economy-demands-new-approach-antitrust-mles-wordds-most-valuable-resource，最后訪問日期：2021-10-15。個人信息作為一種重要的數(shù)據(jù)類型，在國家治理領(lǐng)域發(fā)揮著不可替代的作用。據(jù)統(tǒng)計，各級政府部門掌握了我國80%以上的數(shù)據(jù)資源(2)《李克強：信息數(shù)據(jù)“深藏閨中”是極大浪費》，中國政府網(wǎng)，http://www.gov.cn/xinwen/2016-05/13/content_5073036.htm，最后訪問日期：2021-10-15。，其中就包含大量個人信息。隨著電子政務(wù)和智慧治理的興起，國家機關(guān)履行職責(zé)的過程中時刻面臨著個人信息的處理。近年來，國家機關(guān)不當(dāng)處理個人信息的報道頻頻見諸媒體。如安徽省銅陵市政府信息公開網(wǎng)公示某社區(qū)40對孕前優(yōu)生健康檢查夫妻的姓名，并完整呈現(xiàn)其中77人的身份證號；合肥市長豐縣羅塘鄉(xiāng)政府在網(wǎng)上發(fā)布的低保金資金發(fā)放花名冊中公開居民姓名、家庭住址、一卡通賬號和聯(lián)系號碼等；景德鎮(zhèn)市人社局官網(wǎng)上發(fā)布的大學(xué)生創(chuàng)業(yè)補貼人員花名冊中，14名創(chuàng)業(yè)大學(xué)生的學(xué)號、身份證號、手機號碼等被公之于眾(3)王煜：《部分政府官方網(wǎng)站現(xiàn)個人信息泄露 專家稱將損害政府信用》，騰訊網(wǎng)，https://news.qq.com/a/20171114/001544.htm，最后訪問日期：2021-10-15。；海南省也被曝出在財政惠民補貼、“三支一扶”崗位招募信息公示等活動中泄露公民完整的身份信息(4)楊藍:《政府官網(wǎng)公示泄露個人信息 提升保護意識是關(guān)鍵》, 人民網(wǎng)，http://yuqing.people.com.cn/n1/2019/1231/c429781-31529948.html，最后訪問日期：2021-10-15；蒲曉磊：《多地公示信息簡單粗暴：公民個人信息被政府部門泄露》，閩南網(wǎng)，http://www.mnw.cn/news/consumer/1889794.html，最后訪問日期：2021-10-15。。除不當(dāng)公開公民個人信息外，國家機關(guān)違法收集個人信息、不同職能部門之間隨意共享個人信息、對特殊人員(上訪戶、刑滿釋放人員等)的個人信息進行不當(dāng)標注等都是飽受質(zhì)疑的個人信息處理行為。在前信息時代，國家機關(guān)不當(dāng)處理個人信息造成的損害相對有限，但隨著信息時代的到來，國家機關(guān)運用互聯(lián)網(wǎng)、大數(shù)據(jù)、云計算、人工智能等技術(shù)輔助國家治理已成為常態(tài)，個人信息處理的效能得到了提升，與之相伴的風(fēng)險也成倍增加。由于職責(zé)履行的特殊性，國家機關(guān)處理個人信息的過程中會給個人權(quán)益和社會公眾利益帶來特殊風(fēng)險，主要有如下表現(xiàn)：

(一)豁免同意帶來的個人信息處理失控風(fēng)險

取得當(dāng)事人同意是個人信息處理最重要的合法性基礎(chǔ)。在公權(quán)力行使領(lǐng)域，基于保密、決策和管理的需要，國家機關(guān)常常未經(jīng)信息主體的同意即處理其個人信息，也不告知信息主體其個人信息被處理的事實。比如，一些地方政府發(fā)文要求下屬單位統(tǒng)計中青年“未娶媳婦”人數(shù)，并要求有具體數(shù)據(jù)和案例作為支撐，其中就涉及大量未經(jīng)同意的敏感個人信息處理(5)賈淑瑞、張奇：《一縣委發(fā)文統(tǒng)計光棍人數(shù)，農(nóng)村青年娶媳婦有多難？》，網(wǎng)易網(wǎng)，https://www.163.com/dy/article/GK89VIV90514R9OJ.html，最后訪問日期：2021-10-15。；個別地區(qū)的國家機關(guān)未經(jīng)當(dāng)事人同意且在拒絕告知相關(guān)情況的基礎(chǔ)上，擅自將公民個人信息列入動遷信息(6)張恒：《迷霧重重！上海男子沒房且已租房多年，竟被安排參與了動遷協(xié)議？》，騰訊網(wǎng)，https://new.qq.com/omn/20210925/20210925A0C14500.html，最后訪問日期：2021-10-15。；甚至有個別地方政府打著疫情防控的旗號曝光外地返鄉(xiāng)人員住址信息和行蹤信息(7)參見邱越、袁勃《疫情精細化防控須注重對隱私權(quán)的保護》，人民網(wǎng)，http://yuqing.people.com.cn/n1/2020/0228/c209043-31609857.html，最后訪問日期：2021-10-15。。這些未經(jīng)同意的個人信息處理行為，都在不同程度上侵害了當(dāng)事人的合法權(quán)益。另有一些未經(jīng)同意的個人信息處理行為，雖看似沒有直接造成個人合法權(quán)益的侵害，但實質(zhì)上加劇了人與人之間的社會分化，引發(fā)社會歧視。例如，蘇州通過收集普通民眾日常生活中的個人信息形成“蘇城文明碼”，將市民行為的“文明度”與市民在工作、生活、學(xué)習(xí)和娛樂等方面享受到的公共服務(wù)相掛鉤，導(dǎo)致公民在日常生活中留存的海量個人信息成為差異化社會治理的重要因素。這是“數(shù)據(jù)治理時代的一種滑坡效應(yīng)”，將服務(wù)于人的治理工具變成“管人治人”的管控工具(8)郭春鎮(zhèn)：《對“數(shù)據(jù)治理”的治理——從“文明碼”治理現(xiàn)象談起》，《法律科學(xué)(西北政法大學(xué)學(xué)報)》2021年第1期。。

在《個人信息保護法(草案)》的審議階段，一審稿、二審稿中的第35條均明確，國家機關(guān)為履行法定職責(zé)處理個人信息，應(yīng)當(dāng)向個人告知并取得其同意；法律、行政法規(guī)規(guī)定應(yīng)當(dāng)保密，或者告知、取得同意將妨礙國家機關(guān)履行法定職責(zé)的除外。但最終通過的《個人信息保護法》第35條僅規(guī)定國家機關(guān)為履行法定職責(zé)處理個人信息，應(yīng)當(dāng)履行告知義務(wù)，同意的要求被刪除。基于國家治理的需要，國家機關(guān)處理個人信息無需同意的制度設(shè)計是必要的，因為個人同意會一定程度上破壞國家機關(guān)公共職能的行使(9)參見王利明、丁曉東《論〈個人信息保護法〉的亮點、特色與適用》,《法學(xué)家》2021年第6期。，但由于國家機關(guān)處理個人信息的封閉性，豁免同意的后果是國家機關(guān)與社會公眾之間存在明顯的信息不對稱，公眾無法判斷并知曉風(fēng)險發(fā)生的時間以及危害后果，更難以第一時間知悉其個人合法權(quán)益受侵害的事實。在未經(jīng)個人同意、個人也無從知曉其個人信息被處理的事實且無法行使其個人信息權(quán)利的情況下，國家機關(guān)處理個人信息是否會無所顧忌，是否會帶來個人信息處理失控的風(fēng)險是值得認真審視的。

(二)寬泛授權(quán)所導(dǎo)致的個人信息處理泛化風(fēng)險

面對日趨復(fù)雜的社會分工和多樣化的社會生活，國家機關(guān)需要處理的個人信息類型和數(shù)量都在急劇膨脹。由于在人員、時間和技術(shù)等方面受到一些限制，國家機關(guān)常需授權(quán)其他主體代為處理個人信息，這本無可厚非，但有些情況下國家機關(guān)授權(quán)處理個人信息的方式很不規(guī)范，授權(quán)內(nèi)容也不明確，甚至對一些未經(jīng)授權(quán)處理個人信息的行為采取默許態(tài)度。例如，根據(jù)《傳染病防治法》和《突發(fā)公共衛(wèi)生事件應(yīng)急條例》等相關(guān)規(guī)定，有權(quán)收集、報告疫情信息的主體包括疾病預(yù)防控制機構(gòu)、衛(wèi)生行政主管部門和其他有關(guān)部門、醫(yī)療衛(wèi)生機構(gòu)，街道、鄉(xiāng)鎮(zhèn)以及居民委員會、村民委員會予以協(xié)助。實踐中，除法律明確規(guī)定的組織可因疫情防控需要處理個人信息外，一些不具有相應(yīng)職責(zé)權(quán)限的用人單位、公共場所、住宅小區(qū)、村民小組乃至個人都承擔(dān)起收集個人信息的職責(zé)。其中，為數(shù)眾多的主體只在疫情防控部門的默許下承擔(dān)了個人信息處理職責(zé)，卻并沒有在事實上獲得相應(yīng)授權(quán)。即便經(jīng)過授權(quán)的主體，由于疫情防控的特殊背景，也大多是通過口頭告知、電話告知、即時通信軟件通知或公告的方式獲得相應(yīng)的授權(quán)，授權(quán)處理的內(nèi)容和處理的方式都未充分明確，屬典型的不規(guī)范授權(quán)。

隨著政務(wù)信息化程度的加深，國家機關(guān)與第三方平臺的合作越來越緊密，與之相伴的風(fēng)險也愈發(fā)顯現(xiàn)。對于生物信息、通信信息、軌跡信息等敏感個人信息，國家機關(guān)除通過自有渠道收集外，更多地需要依托以商業(yè)平臺為代表的第三方主體。而大規(guī)模的數(shù)據(jù)存儲和分析，也要借助商業(yè)平臺的存儲空間和分析技術(shù)。國家機關(guān)與商業(yè)平臺的合作是否受到嚴格規(guī)制一直為社會所關(guān)注，比如商業(yè)平臺收集公民個人信息是否經(jīng)過國家機關(guān)授權(quán)，如何規(guī)范國家機關(guān)與商業(yè)平臺之間雙向的信息共享，國家機關(guān)存儲于商業(yè)平臺的個人信息是否安全等(10)參見貝金欣、謝澍《司法機關(guān)調(diào)取互聯(lián)網(wǎng)企業(yè)數(shù)據(jù)之利益衡量與類型化路徑》，《國家檢察官學(xué)院學(xué)報》2020年第6期。。但這方面的法律規(guī)制較為欠缺，以至于一些與國家機關(guān)存在密切合作關(guān)系的商業(yè)平臺打著國家機關(guān)的旗號，超越國家機關(guān)所授權(quán)的范圍處理個人信息。以偵查機關(guān)利用大數(shù)據(jù)平臺偵查犯罪為例，我國刑事訴訟法僅有個別條文涉及個人信息處理，缺少關(guān)于個人信息處理的權(quán)限、程序、條件、對象等基本規(guī)范，導(dǎo)致刑事司法實踐中偵查機關(guān)處理個人信息只是得到了事實上的寬泛授權(quán)(11)顏飛、劉文琦：《刑事司法中應(yīng)避免侵害個人信息權(quán)益》，《檢察日報》2021年9月15日，第3版；高磊：《網(wǎng)絡(luò)時代數(shù)據(jù)隱私的搜查干預(yù)——從滴滴順風(fēng)車司機搶劫、強奸、殺人案切入》，《安徽大學(xué)學(xué)報(哲學(xué)社會科學(xué)版)》2019年第3期。。這種事實上的寬泛授權(quán)傳導(dǎo)到大數(shù)據(jù)平臺，導(dǎo)致大數(shù)據(jù)平臺基于配合偵查潛在犯罪的考慮廣泛收集個人信息，甚至有些商業(yè)平臺在滿足國家機關(guān)職權(quán)履行需要之余，為了商業(yè)化的目的處理個人信息。由此可見，寬泛授權(quán)的存在會使個人信息權(quán)益被侵害的風(fēng)險大大增加。

(三)過度處理帶來的個人信息監(jiān)控風(fēng)險

基于國家治理的需要，國家機關(guān)常通過各種方式處理個人信息。相較于商業(yè)機構(gòu)，國家機關(guān)對公民個人信息的處理影響面更廣、覆蓋面更大，對于公民切身權(quán)益造成的侵害更為直接，也更容易打著公共利益的旗號侵害公民個人信息權(quán)益。國家機關(guān)在數(shù)據(jù)處理中能夠形成“公共數(shù)據(jù)權(quán)力”，這種權(quán)力直接關(guān)聯(lián)社會資源和公共服務(wù)的分配。如果國家機關(guān)處理個人信息的行為沒有受到足夠的約束與限制，大規(guī)模處理個人信息的行為會使個人應(yīng)享有的合法權(quán)益面臨嚴重威脅。盡管國家機關(guān)收集到的多數(shù)個人信息確實用于相關(guān)執(zhí)法、監(jiān)管和風(fēng)險控制，但在收集過程中難免會有一些個人信息與法定職責(zé)履行無關(guān)。此種情況下，如何處置收集到的“無關(guān)”信息是值得考慮的問題。例如，為維護國家安全和社會治安，以國安、公安為代表的國家機關(guān)需要對可疑對象進行監(jiān)控，監(jiān)控得到的與違法犯罪無關(guān)的個人信息或他人信息是應(yīng)當(dāng)繼續(xù)保留還是應(yīng)當(dāng)直接刪除？再如，基于社會調(diào)查、行政管理、統(tǒng)計分析等需要收集的大量個人信息被用于為社會提供公共服務(wù)，這是否有超越履行法定職責(zé)所必要的范圍和限度的嫌疑？

越來越多的事實表明，在過于重視通過個人信息大數(shù)據(jù)賦能政府治理的當(dāng)下，國家機關(guān)處理個人信息的風(fēng)險以及對個人信息權(quán)益應(yīng)有的保護常常被忽視(12)方志偉、王建文：《個人信息在智慧治理中的風(fēng)險與保護——以〈民法典〉個人信息保護為中心》，《江西社會科學(xué)》2021年第5期；劉艷紅：《大數(shù)據(jù)時代審判體系和審判能力現(xiàn)代化的理論基礎(chǔ)與實踐展開》，《安徽大學(xué)學(xué)報(哲學(xué)社會科學(xué)版)》2019年第3期。。為了社會公益，帶有海量個人信息的各類數(shù)據(jù)日益成為國家機關(guān)監(jiān)控的重要對象，公眾個人信息受到侵害的風(fēng)險正以前所未有的速度被放大。雖然大數(shù)據(jù)驅(qū)動的社會治理有諸多優(yōu)勢，但同時也會帶來遭受民眾抵制的社會風(fēng)險(13)參見程雷《大數(shù)據(jù)背景下的秘密監(jiān)控與公民個人信息保護》，《法學(xué)論壇》2021年第3期。。國家機關(guān)對公民個人信息的大數(shù)據(jù)分析加劇了公眾在數(shù)據(jù)監(jiān)控下的不安，利用超強技術(shù)手段攫取數(shù)據(jù)令每個人的隱私形同透明。國家機關(guān)收集、儲存、分析和使用個人信息的“度”如果掌握不好，就有過度監(jiān)控并導(dǎo)致“監(jiān)控國家”出現(xiàn)的可能(14)參見馬長山《智能互聯(lián)網(wǎng)時代的法律變革》，《法學(xué)研究》2018年第4期。。

(四)安全保障不足所引發(fā)的信息泄露風(fēng)險

現(xiàn)代大數(shù)據(jù)技術(shù)背景下，國家機關(guān)普遍開展個人信息的處理工作，涉及個人信息的收集、存儲、使用、傳輸?shù)榷鄠€環(huán)節(jié)。隨著電子政務(wù)的普及，各級各類國家機關(guān)都建有相應(yīng)的數(shù)據(jù)庫和數(shù)據(jù)處理平臺，公民的個人信息無時無刻不被以各種形式處理，任何環(huán)節(jié)的安全保障疏忽都會導(dǎo)致個人信息泄露，從而給當(dāng)事人的人身和財產(chǎn)安全帶來巨大威脅。

可以預(yù)見的是，在社會治理領(lǐng)域，信息化手段的嵌入將會逐漸加深?！吨泄仓醒腙P(guān)于制定國民經(jīng)濟和社會發(fā)展第十四個五年規(guī)劃和二○三五年遠景目標的建議》提出，要“加強數(shù)字社會、數(shù)字政府建設(shè)，提升公共服務(wù)、社會治理等數(shù)字化智能化水平”，“擴大基礎(chǔ)公共信息數(shù)據(jù)有序開放，建設(shè)國家數(shù)據(jù)統(tǒng)一共享開放平臺”。近年來，各地、各級政府部門正在加快部署與實施國家數(shù)字化戰(zhàn)略，強化各類數(shù)據(jù)、信息在公共服務(wù)、社會治理中的應(yīng)用，加快推進數(shù)據(jù)共享。在個人信息共享實踐中，既有某一國家機關(guān)與其他國家機關(guān)的信息共享，也有國家機關(guān)與商業(yè)平臺的信息互聯(lián)，還有國家機關(guān)內(nèi)部的信息傳輸。個人信息作為重要的政務(wù)數(shù)據(jù)常在不同主體之間流轉(zhuǎn)，在這一過程中會因數(shù)據(jù)發(fā)送方和數(shù)據(jù)接收方安全保障措施不健全，導(dǎo)致數(shù)據(jù)保護舉措不統(tǒng)一、數(shù)據(jù)流向不可控、數(shù)據(jù)流失難追蹤等一系列安全問題。在經(jīng)濟欠發(fā)達地區(qū)以及基層組織，受到各種因素制約，個人信息傳輸時有采取非電子化的方式(如移動介質(zhì)拷貝、紙質(zhì)傳遞)，數(shù)據(jù)安全性更難得到應(yīng)有保障。由于一些國家機關(guān)對數(shù)據(jù)安全性的保護程度達不到應(yīng)有水平，流轉(zhuǎn)于國家機關(guān)數(shù)據(jù)庫之間的個人信息很容易被網(wǎng)絡(luò)黑客盜取?？紤]到當(dāng)前我國所有的官方數(shù)據(jù)庫或者半官方數(shù)據(jù)庫(如通信、醫(yī)療、交通、金融系統(tǒng)等)都使用統(tǒng)一的身份驗證系統(tǒng)(主要是姓名、人臉、身份證號和手機號)，一旦這些重要的個人信息大范圍泄露，將會使個人隱私和財產(chǎn)安全暴露在巨大的危險之中。

二、國家機關(guān)處理個人信息特殊風(fēng)險的規(guī)范缺失

國家機關(guān)作為公權(quán)力的行使主體，是國家人格在國家治理領(lǐng)域的具體呈現(xiàn)，其履行職責(zé)的行為具有權(quán)威性，國家機關(guān)本應(yīng)對個人信息處理起到表率作用。然而，實踐中，國家機關(guān)在履行職權(quán)的過程中并未對個人信息的保護予以足夠的重視。這既有部分國家機關(guān)及其工作人員法治觀念沒跟上的原因，也有法律規(guī)范不足的因素。面對國家機關(guān)處理個人信息的特殊風(fēng)險，我國立法機關(guān)已關(guān)注到國家機關(guān)處理個人信息需要受到特別的法律規(guī)制，并在《個人信息保護法》《數(shù)據(jù)安全法》《民法典》《網(wǎng)絡(luò)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施保護條例》等法律、法規(guī)中予以相應(yīng)的制度回應(yīng)，但現(xiàn)有立法過于簡略，對于一些重要問題存在明顯的規(guī)范缺失，并沒能很好地應(yīng)對國家機關(guān)處理個人信息所涉及的各種特殊風(fēng)險。

作為我國立法層面的最新成果，也是規(guī)制國家機關(guān)處理個人信息最直接的法律依據(jù)，《個人信息保護法》第二章第三節(jié)(第33條至第37條)專門就國家機關(guān)處理個人信息做了特別規(guī)定。其中，第33條屬于注意規(guī)定，該條明確國家機關(guān)處理個人信息適用《個人信息保護法》以及第二章第三節(jié)的特別規(guī)定。第34條規(guī)定國家機關(guān)處理個人信息所應(yīng)遵循的基本準則，即國家機關(guān)應(yīng)當(dāng)依照法律、行政法規(guī)規(guī)定的權(quán)限和程序處理個人信息，不得超出履行法定職責(zé)所必需的范圍和限度。第35條則是有關(guān)處理個人信息的告知規(guī)定，依據(jù)該條，國家機關(guān)為履行法定職責(zé)處理個人信息需要履行告知義務(wù)，但依法應(yīng)當(dāng)保密、不需要告知或者告知將妨礙國家機關(guān)履行法定職責(zé)的除外。第36條要求國家機關(guān)處理的個人信息應(yīng)在我國境內(nèi)存儲，涉及跨境傳輸須經(jīng)安全評估。第37條是擬制規(guī)定，該條將具有管理公共事務(wù)職能的組織為履行法定職責(zé)處理個人信息納入國家機關(guān)處理個人信息的特別規(guī)范中。從上述規(guī)定可以看出，《個人信息保護法》對于國家機關(guān)處理個人信息真正具有實質(zhì)規(guī)范意義的只有第34條、第35條和第36條，這三條也只是明確了國家機關(guān)處理個人信息需要遵守一定的權(quán)限、程序和職責(zé)范圍，并對告知義務(wù)以及個人信息的跨境傳輸要求做了原則性規(guī)定，但并未展開具體的制度構(gòu)建。

除《個人信息保護法》外，對國家機關(guān)處理個人信息最具規(guī)范意義的立法是《數(shù)據(jù)安全法》。《數(shù)據(jù)安全法》第四章“數(shù)據(jù)安全保護義務(wù)”和第五章“政務(wù)數(shù)據(jù)安全與開放”涉及對國家機關(guān)處理數(shù)據(jù)的特別規(guī)制?？紤]到個人信息也是數(shù)據(jù)的重要類型，故《數(shù)據(jù)安全法》自當(dāng)適用于國家機關(guān)對個人信息的處理。該法第35條規(guī)定公安機關(guān)、國家安全機關(guān)因依法維護國家安全或者偵查犯罪的需要調(diào)取數(shù)據(jù)，應(yīng)當(dāng)經(jīng)過嚴格的批準手續(xù)，依法進行。第38條與《個人信息保護法》的規(guī)定基本相同，要求國家機關(guān)為履行法定職責(zé)處理個人信息應(yīng)當(dāng)在履行法定職責(zé)的范圍內(nèi)，依照法律、行政法規(guī)規(guī)定的條件和程序進行，并對個人信息依法予以保密。第39條則明確國家機關(guān)應(yīng)當(dāng)建立健全數(shù)據(jù)安全管理制度，落實數(shù)據(jù)安全保護責(zé)任。第40條要求國家機關(guān)委托他人處理數(shù)據(jù)應(yīng)當(dāng)經(jīng)過嚴格的批準程序，并應(yīng)當(dāng)監(jiān)督受托方履行相應(yīng)的數(shù)據(jù)安全保護義務(wù)。總體而言，《數(shù)據(jù)安全法》對國家機關(guān)處理包含個人信息在內(nèi)的各種數(shù)據(jù)的規(guī)制邏輯與《個人信息保護法》有相同之處，如明確個人信息處理的目的是基于法定職責(zé)的履行、要求個人信息處理依法定條件和程序進行并予以保密。但《數(shù)據(jù)安全法》還對國家機關(guān)的數(shù)據(jù)安全管理以及委托第三方處理數(shù)據(jù)做了規(guī)定，這是《個人信息保護法》針對國家機關(guān)處理個人信息的行為規(guī)制所不能覆蓋的。

在《個人信息保護法》《數(shù)據(jù)安全法》之外，我國《民法典》《網(wǎng)絡(luò)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施保護條例》等法律、法規(guī)還對國家機關(guān)處理個人信息的保密義務(wù)做了規(guī)定。依據(jù)《民法典》第1039條、《網(wǎng)絡(luò)安全法》第45條和《關(guān)鍵信息基礎(chǔ)設(shè)施保護條例》第30條，國家機關(guān)、承擔(dān)行政職能的法定機構(gòu)及其工作人員對于履行職責(zé)過程中知悉個人信息，應(yīng)當(dāng)予以保密，不得泄露、出售或者向他人非法提供。這些規(guī)定顯然也只能夠滿足社會公眾對國家機關(guān)處理個人信息最低層次的保密期待，能夠化解的風(fēng)險十分有限。

由以上梳理可見，《個人信息保護法》和《數(shù)據(jù)安全法》搭建了國家機關(guān)處理個人信息法律規(guī)范的基本框架，而《民法典》《網(wǎng)絡(luò)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施保護條例》等法律、法規(guī)則強化了國家機關(guān)處理個人信息的保密規(guī)定。總的來看，現(xiàn)有立法只有個別條文涉及國家機關(guān)處理個人信息所面臨的特殊風(fēng)險的法律規(guī)制，且多為原則性或宣示性的規(guī)定，并沒有具體到可操作層面。即便是《個人信息保護法》和《數(shù)據(jù)安全法》中針對國家機關(guān)處理個人信息具有實質(zhì)性約束的法律規(guī)范也較為簡略。比如，超越職責(zé)范圍和限度處理個人信息如何處置，《個人信息保護法》沒有給出答案；國家機關(guān)處理個人信息所應(yīng)當(dāng)告知的內(nèi)容、告知的方式和告知的時間節(jié)點，《個人信息保護法》也沒有規(guī)定；國家機關(guān)數(shù)據(jù)安全管理制度的主要內(nèi)容、數(shù)據(jù)安全保護責(zé)任的內(nèi)涵，《數(shù)據(jù)安全法》并沒有揭示；國家機關(guān)委托他人處理數(shù)據(jù)的批準程序、國家機關(guān)對受托方履行數(shù)據(jù)安全保護義務(wù)的監(jiān)督，《數(shù)據(jù)安全法》也只是一筆帶過?？梢姡瑢τ诨砻馔獾那闆r下如何避免個人信息處理的失控、如何規(guī)范國家機關(guān)對個人信息處理的授權(quán)、如何制約國家機關(guān)對個人信息的過度監(jiān)控、如何強化國家機關(guān)處理個人信息的安全等問題，現(xiàn)有立法尚無法做出有效回應(yīng)。此外，考慮到國家機關(guān)處理個人信息的行為本質(zhì)上也屬于行政行為或至少屬于行政行為的組成部分，按照行政法有關(guān)行政行為規(guī)范的基本邏輯，對于國家機關(guān)處理個人信息行為的法律規(guī)制應(yīng)當(dāng)從實體規(guī)范和程序規(guī)范兩個方面展開。然而現(xiàn)有立法主要是從實體性規(guī)范的角度規(guī)制國家機關(guān)對個人信息的處理，程序性規(guī)制的色彩過于淡薄，這毫無疑問也是現(xiàn)有立法所存在的巨大缺漏。簡言之，《個人信息保護法》《數(shù)據(jù)安全法》《民法典》等法律、法規(guī)對國家機關(guān)處理個人信息所涉及的特殊問題既缺乏足夠多的有實際約束力的實體性規(guī)范設(shè)計，也忽視了本應(yīng)可以發(fā)揮重要作用的程序性規(guī)范設(shè)計，相對籠統(tǒng)的法律規(guī)則很難全面覆蓋到國家機關(guān)處理個人信息的特殊風(fēng)險，未能對國家機關(guān)處理個人信息形成充分的規(guī)范指引，也無法有效制約國家機關(guān)處理公民個人信息的行為。因此，我國現(xiàn)有立法總體呈現(xiàn)出明顯的制度供給不足，無法有效應(yīng)對國家機關(guān)處理個人信息實踐中存在的各種問題。

三、國家機關(guān)處理個人信息的法律規(guī)制策略

在個人信息日漸成為國家治理中的重要資源，政府的宏觀決策、社會管理、公共服務(wù)都離不開對個人信息充分利用的當(dāng)下，國家機關(guān)在履行法定職責(zé)的過程中對個人信息予以充分保護也同樣重要。如果國家治理過于重視對個人信息的利用，特別是從個人利益服從于國家利益、私人權(quán)益讓位于公共利益的角度看待個人信息處理問題，就會難以避免地損害到社會公眾的合法權(quán)益，導(dǎo)致社會公眾陷入對政府的不信任，采取消極態(tài)度對待國家機關(guān)對其個人信息的處理，從而不利于國家機關(guān)職權(quán)的履行。因此，要兼顧國家機關(guān)職權(quán)的履行和對個人合法權(quán)益的保護(15)參見高富平《個人信息保護:從個人控制到社會控制》，《法學(xué)研究》2018年第3期。。同時，由于信息時代“數(shù)字化行政方式”的普及，公權(quán)力的行使越來越多地通過數(shù)字化的方式實現(xiàn)(16)展鵬賀：《數(shù)字化行政方式的權(quán)力正當(dāng)性檢視》，《中國法學(xué)》2021年第3期。，國家機關(guān)在法定職責(zé)履行的過程中不再像前信息時代那樣處理小規(guī)模、單一化的個人信息，而是借助互聯(lián)網(wǎng)、大數(shù)據(jù)、計算機和算法等通過自動化決策的方式處理大規(guī)模、多樣化的個人信息。只有全方位規(guī)范國家機關(guān)處理公民個人信息的行為，才能有效降低國家機關(guān)職責(zé)履行全過程中個人信息處理所面臨的風(fēng)險。

(一)細化國家機關(guān)處理個人信息的告知義務(wù)

國家機關(guān)對個人信息的處理繞過了當(dāng)事人的同意，除非國家機關(guān)主動告知，當(dāng)事人對于被處理個人信息的類型、處理目的、處理方式、處理環(huán)境是否安全等問題都不知情，很難對國家機關(guān)處理其個人信息的行為進行事前控制。這就導(dǎo)致當(dāng)事人無法監(jiān)督國家機關(guān)對其個人信息的處理，也無法及時對違法處理其個人信息的行為提出異議。國家機關(guān)基于履行法定職責(zé)的需要可以使未經(jīng)同意的個人信息處理合法化，但并不意味著當(dāng)事人不享有知情權(quán)。依據(jù)《個人信息保護法》第18條和第35條的規(guī)定，除有法律、行政法規(guī)規(guī)定應(yīng)當(dāng)保密或者不需要告知的情形，或者告知將妨礙國家機關(guān)履行法定職責(zé)的情形外，國家機關(guān)為履行法定職責(zé)處理個人信息，應(yīng)當(dāng)依法履行告知義務(wù)。令人感到遺憾的是，《個人信息保護法》雖規(guī)定了國家機關(guān)的告知義務(wù)，但卻并未明確國家機關(guān)應(yīng)當(dāng)何時告知、告知的內(nèi)容以及告知的方式。為使當(dāng)事人能夠在知情的基礎(chǔ)上形成對國家機關(guān)的有效監(jiān)督，在“同意權(quán)”喪失的情況下，立法應(yīng)盡可能保障個人的“知情權(quán)”，明確國家機關(guān)履行告知義務(wù)的時間節(jié)點、告知方式和告知內(nèi)容，特別是限縮不予告知的情形。

在告知內(nèi)容方面，國家機關(guān)除履行一般意義上的告知義務(wù)外，還應(yīng)告知處理個人信息的法律依據(jù)，基于履行何種法定職責(zé)處理個人信息，處理個人信息的種類、方式、范圍和內(nèi)容，處理個人信息的法律意義，處理個人信息可能引發(fā)的法律效果(法律后果)以及當(dāng)事人享有的權(quán)利和救濟途徑。對于涉及人數(shù)眾多或不特定多數(shù)人的個人信息處理，國家機關(guān)還應(yīng)通過網(wǎng)絡(luò)、媒體或者其他便于接收的渠道向社會公告有關(guān)大規(guī)模處理個人信息的事實。在告知時間節(jié)點方面，國家機關(guān)應(yīng)在開始處理個人信息之前履行告知義務(wù)，以便當(dāng)事人及時提出異議；原有告知內(nèi)容發(fā)生變更的，國家機關(guān)應(yīng)當(dāng)及時補充告知。在告知方式方面，鑒于國家機關(guān)對個人信息的處理可能直接關(guān)涉?zhèn)€人基本權(quán)益，告知必須是可以留痕的書面形式(17)鄭曦：《刑事訴訟個人信息保護論綱》，《當(dāng)代法學(xué)》2021年第2期。。在緊急狀況下，國家機關(guān)可以口頭告知，但事后必須補充書面告知文件。

此外，由于《個人信息保護法》在確認國家機關(guān)須履行告知義務(wù)的基礎(chǔ)上，還規(guī)定了三類無須告知的情形，為避免國家機關(guān)對無須告知的任意解釋，立法應(yīng)當(dāng)對三類無須告知的情形予以進一步明確。申言之，對于“依法應(yīng)當(dāng)保密”這一無須告知的情形，重點在于明確“法”的范圍?？紤]到部門立法和地方立法都有可能為了部門或地方利益大開個人信息處理的方便之門，弱化對個人知情權(quán)的保護，故“依法應(yīng)當(dāng)保密”所依據(jù)的“法”應(yīng)當(dāng)限于法律和行政法規(guī)。另外，“不需要告知”以及“告知將妨礙國家機關(guān)履行法定職責(zé)”這兩種情形的規(guī)定都較為模糊，需要通過列舉或類型化界定的方式進一步明確，以免國家機關(guān)選擇性告知或故意不告知，損害個人和社會公眾應(yīng)有的知情權(quán)。

(二)規(guī)范國家機關(guān)對個人信息處理的授權(quán)

由于人員、技術(shù)和時間等方面的限制，國家機關(guān)授權(quán)其他主體處理個人信息的現(xiàn)象廣泛存在，但授權(quán)不規(guī)范的存在常引發(fā)個人信息處理的泛化，超越國家機關(guān)授權(quán)范圍處理個人信息時有發(fā)生。因此，規(guī)范國家機關(guān)對個人信息處理的授權(quán)非常必要，需要授權(quán)的情形、被授權(quán)主體的資質(zhì)、授權(quán)處理的具體內(nèi)容都應(yīng)當(dāng)有明確法律規(guī)定，國家機關(guān)如何監(jiān)督其他主體履行個人信息安全保障義務(wù)也需要進一步明確。

其一，需要授權(quán)的情形應(yīng)當(dāng)法定化。為避免授權(quán)的泛化，需要授權(quán)的情形應(yīng)當(dāng)由法律明確列舉，比如國家機關(guān)的技術(shù)條件達不到個人信息處理的要求、缺乏專門處理個人信息的人員以及難以承擔(dān)大批量、高風(fēng)險個人信息處理的安全保障措施等。這樣既能避免國家機關(guān)逃避職責(zé)任意授權(quán)，也可以限制國家機關(guān)授權(quán)的范圍。除法定可以授權(quán)個人信息處理的情形外，國家機關(guān)不得將個人信息處理職權(quán)交由第三方行使。國家機關(guān)如發(fā)現(xiàn)第三方未經(jīng)授權(quán)打著履行國家機關(guān)職權(quán)的旗號處理個人信息的，應(yīng)當(dāng)及時制止并向個人信息保護主管部門舉報。

其二，被授權(quán)主體應(yīng)滿足相應(yīng)條件。國家機關(guān)原則上須自行承擔(dān)個人信息處理職責(zé)，只有在因人員、技術(shù)等方面受到限制的情況下，才能將個人信息處理委托第三方實施，因而被授權(quán)的主體也必須在技術(shù)條件、專業(yè)人員方面符合相應(yīng)的條件。立法應(yīng)強調(diào)國家機關(guān)必須審慎授權(quán)具有相應(yīng)資質(zhì)的主體開展個人信息處理工作，以便最大限度保障個人信息安全。至于被授權(quán)主體具體應(yīng)當(dāng)符合哪些條件，可視國家機關(guān)職權(quán)履行、處理個人信息的類型、處理方式以及處理場景等的不同，由部門立法或者地方立法作進一步明確。

其三，授權(quán)事項應(yīng)當(dāng)具體、明確，嚴禁概括授權(quán)和轉(zhuǎn)授權(quán)。在概括授權(quán)的情形下，國家機關(guān)與被授權(quán)主體之間沒有明確的職責(zé)劃分，被授權(quán)主體行使個人信息處理的職權(quán)可大可小，容易導(dǎo)致國家機關(guān)與被授權(quán)的主體之間模糊個人信息處理的權(quán)責(zé)邊界。特別是在有多個被授權(quán)主體且彼此之間權(quán)責(zé)不明的情況下，個人很難知曉權(quán)益侵害發(fā)生的具體環(huán)節(jié)，也很難找到權(quán)益救濟的主張對象。因此，國家機關(guān)授權(quán)處理個人信息的內(nèi)容必須是具體、明確的。國家機關(guān)在授權(quán)第三方處理個人信息時，必須明確授權(quán)處理個人信息的類型、范圍、數(shù)量、期限、處理方式和保護措施等，被授權(quán)主體只能在授權(quán)的范圍內(nèi)處理個人信息。此外，鑒于國家機關(guān)授權(quán)特定主體履行個人信息處理職責(zé)是基于對該主體處理能力的認可，故被授權(quán)主體只能在授權(quán)范圍內(nèi)自行處理個人信息，不得轉(zhuǎn)授權(quán)其他主體，經(jīng)國家機關(guān)同意的除外。

其四，被授權(quán)處理個人信息的主體應(yīng)履行個人信息安全保護義務(wù)。《數(shù)據(jù)安全法》雖規(guī)定國家機關(guān)委托他人處理數(shù)據(jù)的，須對受托方履行數(shù)據(jù)安全保護義務(wù)進行監(jiān)督，但并未明確監(jiān)督的方式和具體內(nèi)容。考慮到被授權(quán)方是在國家機關(guān)授權(quán)之下處理個人信息，監(jiān)督的具體內(nèi)容應(yīng)在于被授權(quán)方是否在國家機關(guān)授權(quán)范圍內(nèi)處理個人信息、是否按照國家機關(guān)的法定工作流程處理個人信息、受托方處理個人信息是否有潛在風(fēng)險以及是否侵害到他人合法權(quán)益等。監(jiān)督的方式既可以是國家機關(guān)對受托人進行定期或不定期的個人信息處理工作檢查，也可以是受托機關(guān)定期或根據(jù)國家機關(guān)的要求提交個人信息處理工作報告。

(三)明確國家機關(guān)處理個人信息的比例原則

國家機關(guān)在職權(quán)履行的過程中總會接觸到大量個人信息，其中有些個人信息的處理是履行職責(zé)所必需的，有些則與法定職責(zé)的履行無關(guān)。實踐中，由于處理尺度掌握不一，國家機關(guān)超越職權(quán)范圍處理個人信息的現(xiàn)象較為普遍，容易引發(fā)公眾對國家機關(guān)處理個人信息公信力的質(zhì)疑。鑒于國家機關(guān)處理個人信息從根本上而言是為了社會公益，故國家機關(guān)對個人信息的處理理應(yīng)在公益實現(xiàn)與保障公民合法權(quán)益之間找到合適的平衡點，即國家機關(guān)所采取的個人信息處理措施給公民權(quán)益造成的影響、限制甚至損害應(yīng)當(dāng)與該方法所追求的目的合乎比例。比例原則的本質(zhì)是對基于公共利益需要而處理公民個人信息的國家權(quán)力進行限制，將國家機關(guān)因履行職責(zé)需要對個人信息的處理控制在一定范圍與限度之內(nèi)，避免過度處理個人信息，引發(fā)個人信息監(jiān)控和泄露的社會風(fēng)險(18)參見劉玫、陳雨楠《從沖突到融入：刑事偵查中公民個人信息保護的規(guī)則建構(gòu)》，《法治研究》2021年第5期。。

比例原則包含目的正當(dāng)性和手段必要性兩方面內(nèi)涵?！澳康恼?dāng)性”要求國家機關(guān)對公民個人信息的處理必須是為了履行法定職責(zé)，不得基于其他目的，尤其是牟取利益的目的。雖然有人認為我國立法對于目的限制原則的規(guī)定非常寬松，從實踐來看，個人信息處理也不太可能完全符合初始目的，因而不能苛求目的范圍的最小化，應(yīng)當(dāng)容留一些彈性空間(19)梁澤宇：《個人信息保護中目的限制原則的解釋與適用》，《比較法研究》2018年第5期。。但在公權(quán)力行使領(lǐng)域，為限制國家機關(guān)對個人信息的過度處理，目的限定應(yīng)當(dāng)?shù)玫絿栏竦呢瀼?。換言之，國家機關(guān)收集個人信息只能是基于履行職責(zé)的需要，后續(xù)個人信息處理也只能以滿足職責(zé)履行的需要為限。“目的正當(dāng)性”可以有三項判定標準：其一，目的合法，即國家機關(guān)對個人信息的處理必須公平且依法進行，不得以非法目的處理個人信息；其二，目的特定，處理個人信息的目的應(yīng)當(dāng)在不遲于收集個人信息之前確定下來，而且在履行法定職責(zé)的范圍內(nèi)，不得隨意變更個人信息的處理目的(20)See Alan F.Westin, Privacy and Freedom, New York: Atheneum, 1967, p.387.；其三，目的明確，處理個人信息的目的應(yīng)當(dāng)特定化，以確保國家機關(guān)和信息主體都能夠?qū)υ撃康木哂幸恢吕斫?21)See Tal Z.Zarsky, Incompatible: The GDPR in the Age of Big Data, Seton Hall Law Review, vol.47, no.4, 2017, p.1006.。

“手段必要性”要求在有多種處理方式可供選擇時，國家機關(guān)應(yīng)以所欲實現(xiàn)的社會治理價值為基礎(chǔ)，合理地權(quán)衡社會公共利益與少數(shù)群體利益、個人利益，選取對公民個人信息權(quán)益造成影響最小的方式進行，確保處理個人信息的手段和方法均保持在合理的限度范圍內(nèi)。為減少處理過程中個人信息的丟失和錯漏，在個人信息處理各環(huán)節(jié)，國家機關(guān)都應(yīng)保障個人信息的完整性和準確性。當(dāng)事人確有證據(jù)證明其被處理的個人信息存在瑕疵、缺漏或錯誤的，可以要求更正、補全或刪除，以確保其權(quán)益不受侵害。在個人信息被更正或補全以前，國家機關(guān)應(yīng)當(dāng)暫停對其個人信息的處理，以避免產(chǎn)生不可挽回的損害后果。同時，國家機關(guān)處理個人信息是為了履行法定職責(zé)，這就決定了國家機關(guān)對個人信息不能無限期留存。除非法律另有規(guī)定，國家機關(guān)應(yīng)當(dāng)在法定職責(zé)已履行完畢或個人信息保存的期限已經(jīng)屆滿時，及時刪除個人信息(22)劉克江:《政府信息公開中個人隱私權(quán)保護的制度完善》，《電子知識產(chǎn)權(quán)》2018年第11期。。

(四)強化國家機關(guān)處理個人信息的安全保障義務(wù)

公信力是政府執(zhí)政之基，維系國家機關(guān)和社會公眾之間的信任關(guān)系至關(guān)重要(23)See Grayson Barber, Personal Information in Government Records: Protecting the Public Interest in Privacy, Saint Louis University Public Law Review, vol.25, no.1, 2006, p.73.。一旦國家機關(guān)處理個人信息的安全性無法獲得公眾信任，國家機關(guān)處理個人信息的正當(dāng)性和合法性就會受到動搖。由于個人與處理個人信息的國家機關(guān)之間是一種非對稱的權(quán)力結(jié)構(gòu)，國家機關(guān)處理個人信息帶有一定強制性，因而會對個人形成強烈的壓迫感。個人在應(yīng)對國家機關(guān)對其個人信息的威脅方面是無力的，更多地需要依賴國家機關(guān)主動采取保護措施。因此，為矯正個人同國家機關(guān)之間的地位失衡，立法應(yīng)確立國家機關(guān)處理個人信息的安全保障義務(wù)，要求國家機關(guān)主動從技術(shù)層面采取措施保障個人信息安全(24)參見郭春鎮(zhèn)《數(shù)字化時代個人信息的分配正義》，《華東政法大學(xué)學(xué)報》2021年第3期。。申言之，國家機關(guān)處理個人信息的安全保障義務(wù)包含三個部分：保密義務(wù)、記錄義務(wù)以及風(fēng)險評估義務(wù)。

其一，國家機關(guān)處理個人信息必須承擔(dān)嚴格的保密義務(wù)，以防止個人信息泄露。無論《民法典》《個人信息保護法》《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全法》還是其他相關(guān)法律、法規(guī)，都將嚴格保密作為國家機關(guān)處理個人信息所應(yīng)承擔(dān)的重要義務(wù)，但卻沒有闡明保密義務(wù)的具體要求。本文認為，國家機關(guān)處理個人信息所應(yīng)承擔(dān)的保密義務(wù)包含對內(nèi)保密和對外保密兩方面的要求。對內(nèi)保密要求國家機關(guān)內(nèi)部設(shè)置個人信息處理專員負責(zé)個人信息處理事宜，以便將個人信息的知情范圍控制在最小限度內(nèi)。在處理個人信息前，專員應(yīng)告知國家機關(guān)有關(guān)個人信息處理所應(yīng)當(dāng)遵循的法規(guī)和政策并提供建議。在處理個人信息階段，只能由專員依據(jù)法律規(guī)定的職權(quán)和流程處理個人信息。國家機關(guān)應(yīng)當(dāng)確保個人信息處理專員的相對獨立性，不干擾其履行相關(guān)職責(zé)。個人信息處理專員承擔(dān)其他職責(zé)的，不能與個人信息保護職責(zé)存在利益沖突。對外保密要求國家機關(guān)不得隨意向第三方泄露個人信息，更不得將個人信息用于非法交易。只有出于履行職責(zé)的需要，國家機關(guān)才能向第三方傳輸、共享或公開個人信息，所傳輸、共享或公開的個人信息也應(yīng)以履行職責(zé)的必要為限。對于屬于政府信息公開范圍內(nèi)的個人信息，除非法律、法規(guī)有明確規(guī)定或經(jīng)過當(dāng)事人同意，不得公開完整的個人信息，需要公開的個人信息必須進行適當(dāng)去識別化處理，包括采用分割處理、匿名化或模糊化等措施(如身份證號、手機號等可以隱去若干數(shù)字，住址不精確到門牌號)，以便消除個人的身份標識。一旦發(fā)生個人信息泄露時，國家機關(guān)既要及時向個人信息主管部門報告，以便盡快采取補救措施，減輕損害后果，又要及時告知當(dāng)事人，使其能夠了解因信息泄露可能給其人身或財產(chǎn)造成的損失，做好應(yīng)對準備或?qū)で蟊Ｗo(25)參見鄭曦《刑事訴訟個人信息保護論綱》，《當(dāng)代法學(xué)》2021年第2期。。

其二，國家機關(guān)處理個人信息須承擔(dān)記錄義務(wù)，確保處理個人信息的全過程留痕。以日志形式記錄個人信息處理的全過程，能夠及時跟蹤個人信息的處理，并為日后審查處理行為的合法性以及違法處理下的責(zé)任追究提供證據(jù)。記錄的內(nèi)容包括處理者的姓名(名稱)和權(quán)限，處理目的，處理個人信息的種類、數(shù)量，處理的方式以及時間等(26)參見王忠《大數(shù)據(jù)時代個人數(shù)據(jù)隱私規(guī)制》，北京：社會科學(xué)文獻出版社，2014年，第180～182頁。。對于復(fù)雜的個人信息處理活動，國家機關(guān)還應(yīng)及時生成處理簡報，形成對處理活動的動態(tài)監(jiān)測。為推動個人信息記錄制度的規(guī)范化運行，立法可要求國家機關(guān)建立個人信息管理平臺，管理平臺作為開展個人信息處理各項活動的載體，須全程記錄國家機關(guān)處理個人信息的過程并進行動態(tài)監(jiān)測。在有違法處理個人信息或造成個人合法權(quán)益損害的情況發(fā)生時，個人信息監(jiān)管部門可以通過平臺追蹤并溯源。平臺還應(yīng)設(shè)置信息查詢功能，與國家機關(guān)處理個人信息相關(guān)的當(dāng)事人可以登錄平臺，查詢被處理的個人信息相關(guān)情況，以保障個人的知情權(quán)和監(jiān)督權(quán)。對于個人信息存在錯漏的，當(dāng)事人可以通過平臺要求改正或補充；對于違法處理個人信息的，當(dāng)事人有權(quán)通過平臺提出異議或舉報。

其三，國家機關(guān)處理個人信息應(yīng)承擔(dān)影響評估義務(wù)，并根據(jù)個人信息風(fēng)險等級的不同采取相應(yīng)的保護措施。我國《個人信息保護法》第55條建立了個人信息保護影響評估制度，但未將國家機關(guān)處理個人信息納入影響評估范疇，存在疏漏。對個人信息處理活動進行影響評估，是保障個人信息安全的重要手段。國家機關(guān)處理個人信息時，應(yīng)將個人信息影響評估納入個人信息處理的全生命周期中，通過數(shù)據(jù)分析技術(shù)評估處理行為可能給個人帶來的人身以及財產(chǎn)等方面的風(fēng)險，并根據(jù)風(fēng)險等級的不同采取相應(yīng)的保護舉措。影響評估的主體應(yīng)是各級國家機關(guān)內(nèi)設(shè)專門負責(zé)個人信息風(fēng)險評估的部門或工作人員。對于無力承擔(dān)影響評估或不適合承擔(dān)影響評估的國家機關(guān)，可以委托第三方機構(gòu)開展影響評估工作。國家機關(guān)個人信息處理影響評估的核心是處理環(huán)境的安全性和風(fēng)險的可控性(27)劉金瑞：《數(shù)據(jù)安全范式革新及其立法展開》，《環(huán)球法律評論》2021年第1期。。評估的重點是個人信息處理行為侵害個人權(quán)益之可能性，以及針對不同的風(fēng)險等級所提出的應(yīng)對方案的可行性。對于評估出的不同風(fēng)險，可參照環(huán)境影響評價制度，按照相應(yīng)風(fēng)險等級編制登記表、報告表和報告書。即個人信息處理對個人信息權(quán)益造成很小風(fēng)險的，應(yīng)當(dāng)填報風(fēng)險登記表；對個人信息權(quán)益造成較大風(fēng)險的，應(yīng)當(dāng)編制風(fēng)險報告表；對個人信息權(quán)益造成極大風(fēng)險的，應(yīng)當(dāng)編制風(fēng)險報告書。對于評估存在較大和極大風(fēng)險的個人信息處理行為，應(yīng)當(dāng)在報告表和報告書里詳細闡明降低風(fēng)險的舉措以及風(fēng)險發(fā)生后的處置方案。

(五)建立國家機關(guān)個人信息處理的分級機制

鑒于個人信息類型多樣、個人信息處理的場景不盡相同，國家機關(guān)在不同場景下處理不同類型的個人信息所能引發(fā)的后果存在差異。為避免國家機關(guān)職權(quán)履行和個人利益保護的失衡，不宜對個人信息處理采用“一刀切”的保護模式，而應(yīng)建立國家機關(guān)處理個人信息的分級機制。分級機制的核心是圍繞個人信息類型以及處理場景的不同，區(qū)分個人信息的“敏感度”“風(fēng)險度”和“關(guān)聯(lián)度”，采取不同的處理方式和保護措施。其中，“敏感度”是指處理特定類型個人信息對人格尊嚴或者人身、財產(chǎn)安全的影響程度；“風(fēng)險度”是指個人信息處理行為造成個人權(quán)益侵害的可能性；“關(guān)聯(lián)度”是指個人信息與信息主體關(guān)聯(lián)的緊密程度，即該信息是能夠單獨還是必須與其他信息相結(jié)合才能識別特定自然人。個人信息分級保護機制的關(guān)鍵在于針對個人信息的“敏感度”“風(fēng)險度”和“關(guān)聯(lián)度”，對國家機關(guān)處理個人信息的行為進行層級化控制。

其一，區(qū)分敏感個人信息與一般個人信息，并根據(jù)個人信息的敏感度采取不同的保護強度。依據(jù)《個人信息保護法》第28條，敏感個人信息是“一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴受到侵害或者人身、財產(chǎn)安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息?！蓖ㄕf認為，個人信息保護強度必須按照處理個人信息敏感程度的高低進行合理配置(28)See Lawrence J.Leigh, Informational Privacy: Constitutional Challenges to the Collection and Dissemination of Personal Information by Government Agencies, Hastings Constitutional Law Quarterly, vol.3, no.1, 1976, pp.251-253.參見邢會強《大數(shù)據(jù)時代個人金融信息的保護與利用》，《東方法學(xué)》2021年第1期；呂炳斌《個人信息保護的“同意”困境及其出路》，《法商研究》2021年第2期。。相較于一般個人信息，敏感個人信息處理更容易給個人人格尊嚴或者人身、財產(chǎn)安全帶來損害風(fēng)險，因而國家機關(guān)對敏感個人信息處理必須滿足更加嚴格的條件，比如更嚴格的審批程序、更高要求的告知義務(wù)、更加安全的技術(shù)手段以及更為嚴格的保護措施(29)孫清白：《敏感個人信息保護的特殊制度邏輯及其規(guī)制策略》，《行政法學(xué)研究》2022年第1期。。在不影響個人信息可用性的情況下，還應(yīng)在處理之前盡可能進行數(shù)據(jù)脫敏。相應(yīng)的，考慮到人們允許或者至少不排斥對于一般個人信息的合理利用，且一般個人信息的處理給個人人格尊嚴以及人身、財產(chǎn)安全造成的風(fēng)險要低于敏感個人信息，因而對于一般個人信息處理及保護的要求可以低于敏感個人信息。

其二，區(qū)分收集、存儲、使用、加工、傳輸、提供、公開、刪除等不同處理階段(方式)，對國家機關(guān)處理個人信息的行為進行層級控制，要求每個階段的個人信息處理都經(jīng)過獨立的核準程序。國家機關(guān)因履行法定職責(zé)處理個人信息雖無需經(jīng)過當(dāng)事人同意，但仍需完成內(nèi)部核準程序。國家機關(guān)處理個人信息的每個行為階段都必須得到事前的核準，前一處理階段的正當(dāng)性并不能順延到后續(xù)處理階段。經(jīng)過核準的個人信息處理必須載明許可處理的方式，不能采取一攬子核準，即僅概括表明允許處理，而不注明允許處理的方式。核準權(quán)應(yīng)由負責(zé)處理個人信息的國家機關(guān)負責(zé)人或?qū)ｉT委員會行使。為避免過度處理個人信息所導(dǎo)致的“監(jiān)控”風(fēng)險，核準時必須對個人信息處理的目的、時空范圍、信息類型、數(shù)量等進行限定。除核準程序這樣的內(nèi)部管理外，為形成對國家機關(guān)處理個人信息的有力監(jiān)督，對于大規(guī)模的個人信息處理(尤其是針對不特定多數(shù)人的個人信息處理)，還必須經(jīng)個人信息保護主管部門審批后方可實施，確立個人信息處理的內(nèi)部管理和外部監(jiān)管并立機制，并由個人信息保護主管部門對國家機關(guān)處理個人信息的活動進行定期或不定期審查，以避免產(chǎn)生重大風(fēng)險。

其三，區(qū)分個人信息與人格關(guān)聯(lián)的緊密程度，對關(guān)聯(lián)度不同的個人信息保護予以區(qū)別對待。個人信息與人格關(guān)聯(lián)的緊密程度，決定了個人對該信息的關(guān)切，也決定了國家機關(guān)對該信息應(yīng)有的保護力度。個人信息與人格關(guān)聯(lián)度越強，個人就越在意該信息處理的安全性，國家機關(guān)也有義務(wù)對該信息的處理采取更強的保護力度。對于關(guān)聯(lián)度低的個人信息，特別是通過技術(shù)手段挖掘、整理、分析獲得的群體性信息(如同一居民小區(qū)的住址信息)，考慮到此類信息呈現(xiàn)出的只是特定群體的概括性描述信息，一般需要與其他關(guān)聯(lián)信息(如門牌號、居民的性別、職業(yè)等)相結(jié)合才具有可識別性，已不具有較強的人格關(guān)聯(lián)度，國家機關(guān)基于職權(quán)履行的目的處理此類信息(如公開有傳染病例的某一居民小區(qū))，當(dāng)事人合法權(quán)益因此受到的不利影響或者損害的可能微乎其微，只需要評估為低風(fēng)險即可自由處理該類人格關(guān)聯(lián)度較弱的個人信息。而對于人格關(guān)聯(lián)度強的個人信息，特別是不需要與其他信息結(jié)合即能識別特定自然人的信息，由于此類信息一旦泄露會給個人帶來生活安寧以及人身、財產(chǎn)權(quán)益上的損害，通常需要經(jīng)過匿名化、去識別化之后才能由國家機關(guān)進行處理。對于一些特殊方式的處理(如存儲、提供、傳輸)，國家機關(guān)還應(yīng)借助加密手段，在專門設(shè)置的物理環(huán)境中通過專用網(wǎng)絡(luò)完成。