赵县人民检察院 许晓爽

    【摘要】 2021年11月01日，《中华人民共和国个人信息保护法》（以下称“《个保法》”）正式实施。《个保法》是我国第一部关于个人信息保护的专门性基本法律，点燃了我国个人信息保护的星星之火，将与2017年出台的《网络安全法》和2021年9月起正式施行的《数据安全法》共同构建关于网络安全和数据保护的基本法律框架，我国网络安全和数据保护的合规工作将进入新的局面。本文拟从国家属性的角度对《个保法》作出解读，以期更好的推进《个保法》实践应用。

【关键字】个人信息保护  国家机关  特殊规定

随着信息时代的来临，作为大数据核心资源的个人信息的有效流通和合理利用成为中国数字经济发展的重要课题。另一方面，由于个人信息被过度滥用引发了诸多社会问题，也客观加速了个人及社会对于个人信息和隐私保护意识的觉醒。至此，《个保法》应运而生，11月1日起正式施行。本法明确了人信息保护的基本法律框架，国家义务尽显其中。本文试图从国家义务角度对《个保法》重点问题的解读，理清法律脉络，推进国家机关更好的履行处理个人信息的职责。

一、立法依据的公法属性

   《个保法》第一条：“为了保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用，根据宪法，制定本法。”该表述明确了《个保法》中各种权利的规定以宪法为依据，尤其是与宪法中规定的人格尊严不受侵犯、通信自由和通信秘密受法律保护等紧密相关，其权利是衍生于宪法中基本权利。从宪法调整国家权力与公民权利基本关系的角度来看，这一表述也意味着《个保法》不仅调整私主体之间的法律关系，同时也必然涉及到公法领域，规范公权力对公民个人信息的干预活动。所以将本法的依据提升至宪法高度，就个人信息保护而言，至少应当是私领域和公领域并重。始于《网络安全法》后以《民法典》为核心的法律规定已经搭建起私主体处理个人信息的法律框架，相对而言，国家机关处理个人信息的规定始终较为模糊和分散。《个保法》的立法定位一定程度上搭建起公领域个人信息处理的规制基础，但尚未形成完整的规制结构，同时条文相对较少和简单，与相关法律规定的衔接仍显不足。从这个角度讲，未来个人信息保护制度需要提升对国家机关处理个人信息的关注度，尽快建立起与本法的立法定位和依据相匹配的公领域个人信息保护制度体系。

二、国家机关处理个人信息的特殊规定

《个保法》对于国家机关处理个人信息专门设置了一节，目的是为了突出公领域与私领域在处理个人信息时具有差异。可以下几点来解读本章节：

    第一，关于国家机关的范围。国家机关应当包含各种承担国家治理和管理职能的机构，例如立法机关、行政机关、司法机关、监察机关、安全机关、军事机关等。国家机关的核心在于履行社会公共管理职能，正是基于此意义，本法第37条将特殊规则的适用对象扩展到“法律、法规授权的具有管理公共事务职能的组织”之上。第34条和37条真正发挥作用，需要大量的相关法律和行政法规的支撑，以明确其处理个人信息的职权、程序以及限度。需特意注意第37条采用的表述是“法律、法规授权”，这里的“法规”既可以指向行政法规，又可以指向地方性法规，这是《个保法》中唯一的一处规定。其他条文均以“法律、行政法规”为依据。第37条的依据范围相对更广，因此在其适用时需要同时关注地方立法活动。

第二，关于国家机关处理个人信息的原则。本法第34条确立了两项基本原则：其一是法定原则，其二是比例原则。法定原则强调的是其职权和程序均需要有法律、行政法规的明确规定。从我国现有的个人信息保护相关规定看，前期立法的重心主要围绕私领域开展，例如《网络安全法》所确立的各项个人信息保护制度主要针对的是网络运营者而非国家机关。从这一角度来看，关于国家机关处理个人信息的立法亟待跟进，意味着未来将有大量的立法工作需要完成。比例原则强调的是干预个人信息与履行法定职责之间的均衡关系。在法律、行政法规赋予处理行为正当性的前提下，比例原则需要进一步在三个层面对国家机关处理个人信息的行为进行衡量：一是适当性要求，二是必要性要求，三是均衡性要求。其中，适当性要求意味着具体干预措施与正当目的之间应当合理匹配，以手段能够达到目的为要求；必要性要求意味着干预公民权利的最小化，体现在个人信息保护领域，则如最少收集原则；均衡性要求强调的是干预公民权利与该手段所保护的权益之间形成狭义比例关系，反映出的是不同价值之间可能存在的冲突，例如保护个人信息就有可能与公众知情权之间存在冲突，这个时候需要进一步的细致衡量。

   第三，限缩知情同意原则的适用。本法第35条体现了国家机关处理个人信息的强制性于私领域中的知情同意原则的冲突，强制性意味着不以相对人主观意愿为前提，如果在公领域也强调同意原则，将极大降低公共管理活动的效率和质量，或者反过来造成大量的事实上的执法者违法。所以，本法对于国家机关的告知义务设置了法定例外和酌定例外。其中，法定例外强调的是法律、行政法规明确要求的保密或免除告知义务；酌定例外主要涉及两种情形：一是第18条第2款规定的紧急情况；二是第35条规定的妨碍履行法定职责的情况。从现有立法来看，目前尚未形成国家机关处理个人信息方面明确的法定例外的相关规定，因此后续仍然需要进行大量的规则补充。就酌定的两种情形来看，《个保法》事实上采取了两种不同的思路。第18条规定的紧急情况例外本质是暂缓告知而非不告知，即要求在紧急情况消除后及时告知；而第35条规定的妨碍公务例外则并未明确方式和限度，本身需要交由法律或行政法规从以下几个方面进行进一步的细化规定：第一是就妨碍公务这一告知例外提供法律依据；第二是明确“妨碍公务”的判断标准并尽可能具体化其适用情形；第三是从比例原则出发，区分不同形式的告知例外，以暂缓告知为主要形式，尽可能避免完全不告知，同时在妨碍情形消除后应当及时告知。

    第四，数据本地化要求。《个保法》第36条要求，国家机关处理的个人信息在境内存储，凡向境外提供必须经安全评估。关于数据本地化的规定最早出现在《网络安全法》中，第37条规定关键信息基础设施的运营者在中国境内运营中收集和产生的个人信息和重要数据应当在境内存储。2021年通过的《数据安全法》第31条延续了《网络安全法》的立法思路，仍然将规制重点放置在关键信息基础设施运营者身上。相较而言，《个保法》将数据本地化义务的主体扩展为三类：第一是关键信息基础设施运营者，第二是处理个人信息达到国家网信部门规定数量的个人信息处理者，第三是国家机关。前两者规定在本法第40条之中，其规则基本上与《网络安全法》和《数据安全法》相一致。

     相对而言，国家机关作为个人信息处理者的数据本地化义务具有如下特殊之处。第一是从义务主体而言，由于划分标准不统一，三类主体之间实则存在交叉重叠，同一个人信息可能同时落入三类本地化义务之中；第二是就作为客体的个人信息而言，前两类主体的本地化义务限定于“在中华人民共和国境内收集和产生的个人信息”，但对于国家机关而言并无此类限制；第三是针对跨境提供个人信息时的告知同意规则，原则上三类主体均应当适用本法第39条的规定，不仅需要就境外接收方的相关情况进行具体告知，还需要获得信息主体的单独同意。由于第39条与前述第35条的国家机关处理个人信息无需征得同意且可免除告知义务的规定分属不同章节，第35条的规定是否适用于国家机关向境外传输个人信息的情形即存在疑问。需要看到的是，国家机关处理个人信息的行为是否涉及信息出境，均不改变其强制性的内在特征；同时因告知而妨碍公务的风险同样与信息出境与否无涉。因此从这个角度讲，第35条中对同意的免除和对告知的限制同样应当适用于国家机关跨境提供个人信息的情形。

三、结语 

数字经济时代，机遇与危险并存。在充分利用个人信息的同时做好个人信息安全保护是互联网法治的迫切任务。特别是在疫情防控时期，基于维护公共利益、保障公共卫生安全的需要，各国发布个人信息收集使用同意豁免的声明，允许有关机构基于疫情防控的需要未经同意收集使用个人信息，这是利益衡量的结果。将公共利益作为合法性基础，使得疫情期间个人信息收集使用具有了正当性，但必须应当按照本法国家机关处理个人信息的特殊规定进行，本法的出台一定程度上使得国家机关处理个人信息有了法律依据，但是，从上文分析可看依然需要进一步的细化，希望本文能够促进《个保法》实践应用。