近日,国务院对外发布《政府信息公开条例》(以下简称“条例”),并宣布“条例”将于2019年5月15日施行。2008年施行的旧“条例”因立法技术粗糙,原则过于宏观,加上行政部门偏于保守,司法解释又缺乏统一标准,政府的信息公开工作一直广受诟病。新“条例”对司法实践中存在的诸多问题给予明晰,特别是新“条例”确定的“以公开为常态,不公开为例外”原则,得到了实务界的广泛赞誉。
角度决定思路,本团队因致力于数据保护研究,新“条例”的出台不仅未令笔者感到开心,反而加剧了笔者的担忧:因为政府信息公开范围的扩大,更容易导致个人数据的大范围泄露。须知,政府泄露个人数据的情况并不少见,例如,安徽省铜陵市政府信息公开网上曾公开40对夫妻的姓名,其中77人的身份证号码完整呈现;安徽省合肥市政府信息公开网曾公开医疗救助对象的居民住址、联系电话、患病事由等。
[①]可见,新“条例”的发布有利于政府信息的透明运作,但个人数据泄露的风险也相对提高。那么,政府信息公开下,个人数据具体存在哪些潜在威胁呢?面对信息泄露的风险,政府要如何保障个人数据安全呢?
一、解读新“条例”的内容
笔者认为,为了让读者更好理解新“条例”对个人数据泄露的潜在威胁,有必要先对新“条例”做大致解读,使读者对其有基本的认识,因此,笔者将在下文先对新“条例”的内容做解读。值得注意的是,由于新“条例”对旧“条例”做了大幅度的修改和调整,下文的解读势必无法全面细致,笔者只能选取部分重要内容进行分析。
(一)框架结构更规范
在框架结构上,笔者认为,新“条例”的结构更加规范和合理。研究发现,旧“条例”原本共5章内容,分别为“总则”“公开的范围”“公开的方式和程序”“监督和保障”以及“附则”。新“条例”在旧“条例”基础上,将旧“条例”第3章“公开的方式和程序”拆成2章,设为第3章“主动公开”和第4章“依申请公开”,结构更为清晰合理;其中“主动公开”章节规定的内容更为详实,“依申请公开”章节对于程序的规定更具有可操作性;同时新“条例”在旧“条例”第2章“公开的范围”内填入“主体”要件,使政府信息公开的主体更加明确。
一、新旧“条例”的框架对比表
| 旧“条例” |
新“条例” |
解读 |
| 第1章:总则 |
第1章:总则 |
由原来8条扩充为9条;条款的内容有所扩充。 |
| 第2章:公开的范围 |
第2章:公开的主体和范围 |
增加了公开的“主体”;由原来6条扩充为9条;条款的内容有所扩充。 |
| 第3章:公开的方式和程序 |
第3章:主动公开 |
将旧“条例”中主动公开和以申请公开的程序拆分为更精细的两章;由原来14条扩充为27条;条款的内容有所扩充。 |
| 第4章:依申请公开 |
| 第4章:监督和保障 |
第5章:监督和保障 |
由原来7条扩充为8条;条款的内容有所扩充。 |
| 第5章:附则 |
第6章:附则 |
条款的内容有所扩充。 |
2019年4月,笔者自制。
(二)增设“以公开为常态,不公开为例外”原则
相比于旧“条例”,笔者认为,新“条例”对原则的规定更加准确合理。例如,旧“条例”规定“行政机关公开政府信息,应当遵循公正、公平、便民的原则。”但如何确定“公正、公平、便民的原则”?旧“条例”未给予可行的操作方案,致使该原则在实务中无法被贯彻实施。为解决旧“条例”原则失范的问题,新“条例”增设“以公开为常态,不公开为例外”的原则条款,并在“条例”中塑造规范体系,贯彻始终。
具体而言,新“条例”在公开范围中规定,除特殊事项外,政府信息应当一律公开
[②],同时“条例”列举了政府应当公开的具体事项,其中,增加了公开公务员招考录取的信息、行政处罚信息等。
[③]此外,“条例”还规定行政机关要按照上级行政机关的部署,不断增加主动公开的内容。
[④]该具体条款的规定使得“条例”确定的“以公开为常态”有了法律上的依据;而在“以不公开为例外”上,新“条例”在不公开的范围中规定了绝对不公开事项
[⑤],相对不公开事项
[⑥]和可以不公开事项
[⑦]等,通过规定“例外”事项,以设立负面列表的方式打通信息公开的渠道。
(三)主体和范围更明确
在主体方面,新“条例”理清了制作机关、牵头机关和保存机关的关系,明确了承担公开职责的各权力主体。例如,制作政府信息的行政机关负责公开该信息,保存政府信息的行政机关负责公开该保存信息,如果有多个行政机关同时涉及某类政府信息时,此时由牵头机关负责公开该信息;此外,新“条例”还授予派出机构和内设机构有公开信息的权限,公共企事业单位不适用新“条例”的规定。
在公开的范围方面,新“条例”规定除了国家秘密、商业秘密、个人隐私和行政机关的内部事务信息外,政府信息原则上都应当公开。在公开的方式上主要有主动公开和依申请公开两种。在主动公开上,“条例”要求“对涉及公众利益调整、需要公众广泛知晓或者需要公众参与决策的政府信息”应当主动公开,同时以列举的形式规定了政府机关应当公开的事项;在依申请公开上,“条例”规定凡是公民以自己的名义,都可以申请政府信息公开,并完善了申请的程序流程。
二、新“条例”对个人数据泄露的潜在威胁
由上可知,新“条例”依循“以公开为常态,不公开为例外”的原则,对政府信息应当公开的内容做了概括式要求、列举式规定;对政府信息不予公开的内容做了绝对不予公开、相对不予公开和可以不予公开的界定,使得新“条例”的体系更加完整和规范,加大了政府信息公开的力度。然而,笔者认为新“条例”体系完整的背后潜藏着个人数据泄露的风险。换言之,新“条例”对政府信息应该公开、不予公开的内容做详细分类的背后隐藏着个人数据泄露的潜在威胁。具体来说,新“条例”对个人数据泄露的威胁来自于3个方面,分别是:政府信息公开的内容存在泄露个人数据的风险、政府信息相对不予公开的内容存在泄露个人数据的风险、政府信息管理动态调整机制存在泄露个人数据的风险。
在政府信息公开的内容上,新“条例”在主动公开范围中增加了行政处罚的相关信息、公务员招考录用的信息、政府办公机构负责人的姓名、联系方式、办公时间、办工地址等信息;
[⑧]同时规定设区的市级、县级人民政府及其部门还应该根据具体情况公布土地征收、房屋征收、治安管理、社会救助等方面信息;
[⑨]乡(镇)人民政府还应该公布农村土地承办经营权流转、宅基地使用情况审核、农田水利工程建设运营等信息。
[⑩]
上述所列举的信息,基本上都会涉及个人数据的公开问题,例如公务员招考录用会涉及拟录取公务员的个人信息,比如姓名、联系方式、身份证号、家庭住址等信息;行政处罚会涉及行政处罚人甚至行政相对人的相关信息;政府机构负责人的姓名、联系方式甚至住址都会被公布;农村土地、宅基地更是涉及农民的财产信息。根据新“条例”的规定,这些个人数据都将会被公开。如果政府缺乏数据保护的意识,个人数据公开的幅度和范围将会更大。
同时,新“条例”在申请公开上,改变了旧“条例”规定“生产、生活、科研等特殊需要”的公民才能申请信息公开的条件,而是不再设置任何门槛,只要依自己名义就有权申请政府信息公开。申请条件的放开是否会导致利益团体为获取个人数据恶意申请特定人的信息公开呢?笔者认为随着数据在智能时代中作用的不断凸显,利益集团具有想方设法获取个人数据的动机。由此可见,个人数据在申请公开上也存在个人数据泄露的风险。
在政府信息相对不予公开的内容上,新“条例”规定涉及商业秘密、个人隐私的数据,行政机关不得公开。但是如果行政机关认为不公开会对公共利益造成重大影响的,可以公开。
[11]但问题是如何权衡个人隐私与公共利益之间的利益大小,新“条例”并未给出裁量基准,而是将裁量权拱手让给行政机关。众所周知,任何机构在做主观判断时,势必有所偏向。如果政府机关更偏向于认为公共利益影响大于个人隐私的保护,个人数据的泄露问题将不可阻挡。从这个角度看,政府信息相对不予公开也存在个人数据泄露的风险。
在政府信息管理动态调整机制上,新“条例”规定除了负面清单列举的事项不公开外,其余事项都要公开,并且对“不予公开的政府信息进行定期评估审查”,对因情势变化可以公开的政府信息进行公开。
[12]同时,要不断加大主动公开的内容。
[13]可见,新“条例”不仅规定了政府信息“以公开为常态,不公开为例外”,同时这种“例外”还可能随着时间的推进变成“常态”,这种“常态”还可能变成“超常态”。换言之,信息公开的幅度会越来越大,信息公开的范围会不断加大。政府信息公开的幅度和范围的不断加大,是否会像黑洞一样把个人数据等信息也吸附进去,使得政府信息公开的过程中,个人数据在不经意间也大量流失和泄露呢?笔者不得不对此也持有警惕之心。
三、政府信息公开下政府如何保障个人数据安全
新“条例”无论在政府信息应当公开的内容,还是政府信息相对不予公开的内容,亦或是政府信息管理动态调整机制上,都存在可能泄露个人数据的潜在风险。那么,政府信息公开下该如何保障个人数据的安全呢?笔者认为,政府保障个人数据安全应从个人数据的收集、保存和使用三个方面加以保障。
(一)个人数据的收集
在个人数据的收集上,《全国人民代表大会常务委员会关于加强网络信息保护的决定》第2条规定网络服务提供者和其他企业事业单位在收集个人数据时,“应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息”,2016年颁布的《网络安全法》第41条再次重申网络运营者应遵循上述要求。然而无论是全国人大常委会的《决定》,还是《网络安全法》的规定,限定的主体主要是商事主体,政府机关被排除在外。但是在实务中,收集个人数据最强有力的机构恰恰是行政机关,而笔者通过检索法律法规,发现迄今为止,并未有一部法律专门对政府收集个人数据作出规范控制,关联度最高的《政府信息公开条例》,规定的内容也主要是如何公开政府信息,政府如何收集个人信息的规定只字未提。
笔者认为,政府信息公开的合法基础是个人数据的合法收集,如果一开始政府收集的个人数据就超过了必要的限度,后期政府对无关个人数据的公开,其实就是变相的信息泄露。因此,笔者认为,政府在个人数据的收集上,也应当遵循网络运营者所应遵循的“合法、正当、必要”的原则,明示收集信息的目的、方式和范围,不得超过必要限度。
(二)个人数据的保存
在个人数据的保存上,《全国人民代表大会常务委员会关于加强网络信息保护的决定》和《网络安全法》对网络运营者个人数据如何保存都做出相应规定,例如网络运营者“应当采取技术措施和其他必要措施,确保信息安全,防止在业务活动中收集的公民个人电子信息泄露、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时,应当立即采取补救措施”,同时网络运营者还需要做好保密措施。
[14]然而,对于与网络运营者相对的政府机构,法律对其在数据保存上的规定就较为粗糙。例如,《网络安全法》仅规定国家对可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。
[15]而对于除关键信息基础设施外的个人数据安全,我国并未有相关的法律规定。可见,在个人数据的保存上,行政机关的保护力度同样不足。
笔者认为,个人数据的保存也是行政机关保护个人数据的重要组成部分,当前法律法规的规定过于含糊,对个人数据的保护力度不足,政府部门在对个人数据的保存上应参照网络运营者,应当采取技术措施和其他必要措施,确保信息安全,防止在业务活动中收集的公民个人电子信息泄露、毁损、丢失。
(三)个人数据的使用
在个人数据的使用上,《网络安全法》规定个人数据的使用,应当遵循法律、行政法规的规定和与用户的约定。
[16]欧盟《通用数据保护条例》(General Data Protection Regulation,简称GDPR)还指出网络运营者在收集个人数据时,应遵循“目的必要性”原则,即使用的数据要与收集数据时明示的目的相符合,当使用的范围超过明示的目的时,要重新征得数据主体的同意。
我国法律法规并未规定政府在使用个人数据时,要遵循上述种种要求。法律规定的缺失极易导致政府信息公开体系的整体失范、数据主体保障个人权利的整体失语。因此,在个人数据的使用上,政府也应参照网络运营者使用数据的限制,遵循法律、行政法规的规定和与用户的约定,遵循“目的必要性”原则。
[②] 参见2019年《政府信息公开条例》第13条。
[③] 参见2019年《政府信息公开条例》第20条。
[④] 参见2019年《政府信息公开条例》第22条。
[⑤] 参见2019年《政府信息公开条例》第14条。
[⑥] 参见2019年《政府信息公开条例》第15条。
[⑦] 参见2019年《政府信息公开条例》第16条。
[⑧] 参见2019年《政府信息公开条例》第20条。
[⑨] 参见2019年《政府信息公开条例》第21条。
[⑩] 参见2019年《政府信息公开条例》第21条。
[11] 参见2019年《政府信息公开条例》第15条。
[12] 参见2019年《政府信息公开条例》第18条。
[13] 参见2019年《政府信息公开条例》第22条。
[14] 参见《全国人民代表大会常务委员会关于加强网络信息保护的决定》第3条、第4条;《网络安全法》第42条、第45条。
[15] 参见《网络安全法》第二节“关键信息基础设施的运行安全”。
