民法典時代政府信息公開中個人私密信息保護研究

　　摘 要:個人私密信息是個人隱私與個人信息的交集,既受隱私權保護也受個人信息權益保護,我國《民法典》確立了優先適用隱私權保護和處理須獲權利人明確同意等嚴格保護規則。隨著數字化治理的發展,《政府信息公開條例》的隱私權保護機制力有不逮。我國《民法典》施行中“法法銜接”和我國《個人信息保護法》施行恰是個人私密信息保護制度的發展契機。宜主要從四個方面完善政府信息中的個人私密信息保護制度:確立包含個人私密信息的政府信息不得公開原則,列舉規定個人私密信息可予公開范圍,裁量公開程序中保障第三人參與權,確立不同的征求意見程序以區分保護個人私密信息與普通信息。

　　關鍵詞:個人私密信息;隱私權;政府信息公開;民法典;個人信息保護法

　　李衛華， 政治與法律 發表時間：2021-10-05 期刊

　　2020年初新冠疫情暴發,我國各地政府及時公開新冠疫情確診病例行程軌跡等疫情信息,為全民防疫抗疫提供了有效的信息支撐。然而,在疫情信息公開中,一些“去隱私化”現象,① 以及多地頻發的侵害隱私權案件,如“成都女孩案”“沈陽尹老太案”等,② 促使人們關注突發事件中個人信息利用的法治化,③據此行政機關疫情信息發布方式也悄然轉變。④ 行政許可、行政處罰決定向全社會公開是法治的基本要義,但也有學者提出應防范公開對當事人隱私權與個人信息的可能侵害。⑤ 當前,數字化經濟、數字化治理席卷全球,在政府信息公開和政府數據開放中,信息泄露、隱私侵犯更趨多發, 對政府信息公開中的隱私權與個人信息保護提出了更高要求。2021年初我國《民法典》開始施行,我國《個人信息保護法》也將于2021年11月施行,在區分隱私權與個人信息權益基礎上,完善政府信息公開中的個人私密信息保護制度恰逢其時。

　　一、個人私密信息:隱私權與個人信息權益的交叉保護范圍

　　(一)個人私密信息既是個人隱私也是個人信息

　　現代意義上的隱私權概念最早由沃倫(Warren)和布蘭代斯(Brandeis)在《論隱私權》一文中提出,他們將隱私權界定為“遠離世事紛擾”和“個人獨處”的權利(therightoftheindividualtobeletalone)。⑥ 嗣后,隱私權在各國法治中生根發芽并日益拓展。我國法律也確立了隱私權保護觀念,即我國《憲法》第38條規定的“公民的人格尊嚴不受侵犯”和我國《民法典》第110條、第1032條規定的“自然人享有隱私權”,確認了隱私權的法定權利性。就其保護范圍而言,依據我國《民法典》第1032條, 個人隱私包括“自然人的私人生活安寧和不愿為他人知曉的私密空間、私密活動、私密信息”。個人信息則是具有個人識別性的信息,包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。以是否具有隱私性、私密性為標準,個人信息可以區分為私密信息與普通信息。

　　個人隱私與個人信息并不等同,二者在內涵和外延上均有差異。從內涵上看,個人隱私強調隱匿性、私密性、不公開性,側重點在“隱”和“私”;個人信息則強調個人身份的識別性、標識性、個人歸屬性,側重點在“個人”。從外延上看,兩者之間不是上位概念與下位概念、包含與被包含的關系,而是交叉關系,“即有的個人隱私屬于個人信息,而有的個人隱私則不屬于個人信息(如個人想享有的私生活安寧不被他人打擾屬于個人隱私,但卻不屬于人信息);有的個人信息特別是涉及個人私生活的私密信息屬于個人隱私(如婚姻狀況、身體健康情況、征信信息、行蹤軌跡等),但也有一些個人信息因高度公開而不屬于隱私(如姓名、性別、籍貫等)”。⑦ 因而,個人私密信息既屬于個人隱私,又屬于個人信息,是個人隱私與個人信息的交集。一般來說,任何私人不愿意公開、不愿意為他人知曉、并具有個人識別性的信息都可能構成個人私密信息,比如個人的生理信息、身體狀況、健康狀態、財產信息、家庭信息、基因信息、個人經歷信息以及其他有關個人生活的私密信息等。⑧

　　(二)個人私密信息受法律嚴格保護

　　其一,個人私密信息優先適用隱私權保護。個人私密信息作為個人隱私與個人信息的交叉范圍, 既應受隱私權保護也應受個人信息權益保護。那么,對個人私密信息的保護是優先適用隱私權保護,還是優先適用個人信息權益保護,抑或根據具體情形在隱私權保護與個人信息權益保護之間選擇適用呢? 對此,我國《民法典》確立了優先適用隱私權保護規則的原則,僅在隱私權沒有規定時才適用個人信息保護規則。之所以作出這樣的制度安排,是因為隱私權重在保護人格尊嚴,而個人信息權益重在保護個人身份,隱私權保護比個人信息權益保護更嚴格,保護強度更高。

　　其二,公開個人私密信息應遵循法律保留原則。個人私密信息作為隱私權的核心保護范圍,對其收集、公開等處理行為應遵循隱私權的克減原則,即法律保留原則。隱私權雖屬于對世權,但與生命健康權的絕對不可克減性不同,可以基于公共利益的需要有條件地克減。比如,“為了滿足公眾的知情權和保護正當的輿論監督,實現‘陽光政治’,公眾人物的隱私權保護受到相應的限制”。⑨ 對此,最初提出隱私權概念的沃倫、布蘭代斯也認為隱私權并不是絕對的,“隱私權并不禁止公開涉及公共利益或者普遍利益的事項”。?????? 《公民及政治權利國際盟約》也認可締約國在依法保護隱私權的前提下得于緊急情勢必要限度內克減隱私權的必要性。?????? 然而,必須強調的是,對隱私權的克減只能由法律規定,應遵循法律保留原則。首先,從法理上講,隱私權屬于法定權利,意在維護主體作為一個法律意義上的人而且是體面的人的尊嚴和私人生活的安寧權。對隱私權的克減只可基于公共利益的需要, 由立法者通過利益衡量做出制度安排。其次,依據我國《立法法》第8條,民事基本制度屬于法律保留范圍。隱私權保護,既有憲法規定的人格尊嚴、住宅權、通信秘密保護等依據,又有我國《民法典》總則編確認的具體人格權、人格權編確立的具體保護制度等依據,應屬于民事基本制度范疇,其創設和限制都要由法律規定。再次,我國《民法典》第1033條規定,“除法律另有規定或者權利人明確同意外”, 任何組織或者個人不得實施侵害他人隱私權的行為。此處的“法律”僅指狹義的法律,這樣理解也符合我國《民法典》確立的隱私權應受嚴格保護的法治觀念。所謂“法律另有規定”,是指依照法律的規定無須取得權利人同意即可實施客觀上侵害隱私權但無須承擔法律責任的行為。比如依據我國《國家安全法》的規定,國家安全機關為了維護國家安全而有權依法采取技術偵查手段,如進行監聽、竊聽等活動。這是法律規定的隱私權保護的例外情形,也是法律為了維護公共利益對隱私權保護的限制。最后,再比較我國《民法典》第1035條第1款第4項的表述,即“處理個人信息的”“不違反法律、行政法規的規定”,可以更加確信其第1033條“除法律另有規定”就是僅僅授權狹義的“法律”才可限制隱私權保護范圍。

　　其三,公開個人私密信息須獲得權利人明確同意。由于個人私密信息優先適用隱私權保護,處理個人私密信息應遵守的程序和規則,必然比處理個人普通信息的程序和規則更嚴格、更全面。原因在于,處理個人私密信息要受到隱私權與信息控制權的雙重約束,既要保護個人隱私,又要尊重權利人的信息自決權和信息控制權。可以說,“自己決定權和個人信息控制權”是當今隱私權發展的主要方向。?????? 據此,我國《民法典》第1033條第5項專門確立了處理個人私密信息的規則和程序,除法律另有規定或者權利人明確同意外,任何組織或者個人不得處理他人的私密信息。所謂權利人的“明確同意”,不僅與“默示同意”不同,而且與“同意”有區別。首先,權利人必須作出明確的意思表示,該意思表示必須是指向特定私密信息的、明確同意的、具體的意思表示,不能是模糊不清的,也不能是一攬子籠統授權。其次,權利人“明確同意”的范圍對行為人具有約束力,行為人公開的個人私密信息范圍應當與權利人“明確同意”的范圍一致。再次,權利人“明確同意”是對行為人告知程序的明確回應,即行為人處理他人的私密信息前應當告知權利人并獲得權利人的“明確同意”。當然,基于效率追求和操作便捷性,權利人的“明確同意”并不限于書面方式,可以是書面的,也可以是口頭的,但行為人要有證據證明權利人做出了“明確同意”的意思表示。最后,“明確同意”必須是單獨的、具體的、確定的意思表示,但“同意”可以是概括性的、籠統的、默示的表示。

　　二、涉隱私政府信息豁免公開的困境

　　(一)《政府信息公開條例》中隱私權優先保護立場不堅定

　　涉及個人隱私的政府信息應否公開、如何公開、公開多少,體現了立法者在信息公開與隱私權保護的利益衡量中的選擇。當政府信息涉及個人隱私時,信息公開與隱私權保護就互為矛盾。政府信息公開必然減損隱私權保護利益,隱私權保護也必然減損政府信息公開利益。這構成了涉及個人隱私的政府信息公開制度需要利益衡量的前提。關于這對矛盾利益的衡量,涉及政府信息所保障的公眾知情權、參與權、監督權等多項權利與隱私權之間的價值衡量,也反映立法者基于公共利益考量對個人隱私權保護范圍作出的限制,一直都是各國政府信息公開立法的難點。“有的國家制定個人信息保護法等明確列出需要保護的個人信息的范圍,也有的國家在信息公開法中對于個人信息進行細致的列舉規定。”??????由于法律文化和價值追求的差異,不同國家的政府信息公開制度對這對矛盾利益的選擇必然會有差異。比如,美國基于信息自由的立場選擇了政府信息充分公開的一般原則,優先保護政府信息公開的利益,通過其《信息自由法》“強烈推定公開”政府信息:最小限度的隱私權利益不足以引起隱私權免除公開,只有隱私權利益明顯大于公開獲得的公共利益,即“明顯不當”侵犯個人隱私權,才可以決定免除公開。?????? 有些國家則基于保護人格尊嚴、尊重信息自決權的立場選擇不公開個人隱私相關信息的一般原則,如蘇格蘭《信息自由法》第38條概括性規定“違背個人隱私保護精神的信息不予公開”,加拿大《信息獲取法》也明確表達了隱私權保護的強硬立場,“政府機構的負責人應拒絕公開包含《隱私權法》第 3條定義的個人信息的任何記錄。除非與該信息有關的個人同意公開”。

　　我國政府信息公開制度對此問題的基本立場是“行政機關不得公開”涉隱私政府信息,傾向于隱私權保護優先于信息公開。有學者從權利位階角度解釋隱私權優先保護的正當性:“作為公民參政權的知情權,應當服從作為公民基本權利的個人隱私權。”??????也有學者適用公共利益衡量制度予以解釋, 即隱私權保護所體現的公共利益優先于信息公開所體現的公共利益,“公益優先”與“公開優先”是遞進關系而不是并列關系,“公益優先”是第一順位的原則,“公開優先”是第二順位的原則。?????? 至于隱私權優先保護立場的具體規范依據,主要是我國《政府信息公開條例》(以下簡稱:《條例》)的第13條和 15條。《條例》第13條是關于“政府信息應當公開”的例外情形的概括性規定,表明涉隱私政府信息屬于豁免公開范圍。《條例》第15條規定:“涉及商業秘密、個人隱私等公開會對第三方合法權益造成損害的政府信息,行政機關不得公開。但是,第三方同意公開或者行政機關認為不公開會對公共利益造成重大影響的,予以公開。”其中第一句話 “行政機關不得公開”涉隱私政府信息,確立了涉隱私政府信息不公開的一般性原則,體現了《條例》在知情權、參與權與個人隱私權之間的價值衡量中選擇了隱私權優先保護的制度安排。該一般性規定在《條例》修訂前后表述基本一致,都直截了當地以“行政機關不得公開”的禁止性規范,明確、堅定地表達了立法者對涉隱私政府信息豁免公開的基本立場,以及對知情權與隱私權沖突的制度選擇傾向于隱私權優先。

　　然而,這一隱私權優先保護立場并未被自始至終地堅持,顯示出立法者對此選擇不夠堅定,甚至有些游移。依據《條例》第15條的但書條款,有條件公開涉隱私政府信息適用于兩種情形,第一種情形是第三方同意公開的,第二種情形是行政機關認為不公開會對公共利益造成重大影響的,這兩種情形下都“予以公開”。比較2019年修訂前的《條例》(以下簡稱:舊《條例》)第14條第4款的規定,修訂后的《條例》以“予以公開”代替了“可以予以公開”的表述,僅刪除了“可以”二字。前后比較,“予以公開”就應理解為“應當予以公開”。并且,如果理解為“應當予以公開”,也與上一句原則規定體現的隱私權優先保護立場是一致的,即只有不公開會對公共利益“造成重大影響的”才予以公開,而不是對公共利益“造成影響的”就予以公開。然而,《條例》第32條確立公開的條件規則時,卻未完全堅持“應當予以公開”的立場。在第三方逾期未答復和第三方不同意公開情形下,行政機關都有權進行利益衡量,認為不公開可能對公共利益造成重大影響的,“可以決定予以公開”。這就與《條例》第15條但書條款“予以公開”的規定不一致了。兩個條款的邏輯前提完全相同,即“行政機關認為不公開可能對公共利益造成重大影響的”,結論卻有差異,一個是“予以公開”,一個是“可以決定予以公開”。前后一緊一松的不同規定,表達出立法者對隱私權優先保護的立場并不堅定。這種舉棋不定的立法趨向,也必然投射到法律的實施效果上。

　　(二)信息公開實踐中隱私權保護的泛化與虛化

　　由于《條例》對隱私權保護立場的不堅定,以及未區分個人隱私與個人信息、未界定涉隱私政府信息的范圍,信息公開實踐中隱私權保護制度的實施效果也有些不盡如人意。“關于信息公開例外事項的規定及其公共利益衡量條款存在較大的缺陷”與“例外事項的規定不清晰、不全面,不公開的公共利益展現不全面”,??????都直接影響《條例》的實施。不同行政機關之間、行政機關與法院之間,甚至不同法院之間,對個人隱私的理解、對涉隱私政府信息豁免公開適用標準的理解不一致,使得個人隱私豁免公開制度或被曲解適用、或被閑置 “休眠”,隱私權保護的泛化與虛化傾向同時并存。

　　一方面,行政機關和法院往往以隱私權保護代替個人信息保護,傾向于只要涉及個人信息就籠統地以隱私權保護為由拒絕公開。“行政機關傾向于只要涉及個人隱私,就全部不予公開所涉信息”, “絕對化保護個人隱私以及僅憑第三方不同意公開意見就判斷構成了個人隱私”,??????甚至法院也會不加區分地擴大隱私權保護范圍,使隱私權保護過于泛化。比如,在 “張某與長沙市財政局不履行政府信息公開法定職責案”中,法院認為:“上訴人申請公開的第三方工作人員的姓名、性別、出生年月、出生地、學歷、畢業院校、原工作單位、進入現單位的工作時間、每月基本工資、獎金、津貼等個人事項,一般認為屬個人隱私。”??????這種說法寬泛地把第三人的個人信息一律視為個人隱私,卻沒有把第三方工作人員與職務有關的個人信息與純粹的個人私密信息進行區分,有泛化隱私權保護的嫌疑。事實上, 只有與職務無關的、純粹的個人私密信息才受隱私權保護,而與職務有關的個人普通信息,如該個人的頭銜、職位職級、崗位職責、工作地址、工作電話號碼等則不受隱私權保護,應予以公開。再如,在 “蔡某與周村區人民政府青年路街道辦事處信息公開案”中,行政機關認為蔡某申請公開的案涉房屋補償協議,涉及第三方個人隱私,并依第三方明確答復不同意公開為由,決定不予公開。然而,法院審理后認定,涉案房屋為蔡某與第三方共有,蔡某也是涉案房產登記的權利人,行政機關應當向所有被征收人告知涉案房屋的拆遷補償情況,“法律在此明確排除了個人隱私的適用”,“這也是立法為實現征收過程公開、透明而在公共利益和個人利益的一種平衡”。?

　　另一方面,強制公開個人隱私條款也被長期虛置,行政機關和司法機關都傾向于放棄適用。依據《條例》第15條和第32條的規定,在行政機關征求第三方意見后,第三方逾期未提出意見的,或者第三方不同意公開但行政機關認為不公開可能對公共利益造成重大影響的,行政機關可依法決定予以公開,由此確立了行政機關基于公共利益的需要依法強制公開涉隱私政府信息的情形。然而,實踐中,這一強制公開程序鮮有啟動。有學者曾言:“雖有公共利益衡量機制,但卻很少發現有案例真正啟用了該機制。”??????也有學者在舊《條例》施行六年后,以“北大法寶法律數據庫”為檢索對象,對六年內全部315件信息公開案件研讀后,得出結論,“在我們閱讀的這些案件中也沒有出現一起強制公開案件”,“對于的確涉及個人隱私的信息……是否公開往往取決于第三人意愿。第三人不同意的,行政機關就不公開,法院也認可”。

　　(三)涉隱私政府信息公開規定與個人私密信息嚴格保護規則不一致

　　《條例》對行政機關的授權太過籠統和寬泛,與隱私權限制適用法律保留原則是相悖的。《條例》通過其第15條和第32條,把判斷某項政府信息是否涉及個人隱私、公開會否侵害第三人正當權益、公開會否對公共利益造成重大損害、權利人不同意公開時的理由是否合理等內容的判斷權一攬子授予行政機關裁量行使。在授權條款中,既未列舉規定豁免公開的例外情形,也未對個人隱私的識別標準做出規定,更沒有確立第三人權益和公共利益受損害的判斷標準。甚至在第三人明確拒絕公開后, 行政機關基于公共利益會受到重大影響的判斷有權強制公開相關信息的,判斷基礎仍是行政裁量。

　　與此同時,《條例》未對第三方同意的方式作出區分,這與我國《民法典》確立的處理個人私密信息應經權利人“明確同意”的程序規則不一致。《條例》第15條規定,涉及個人隱私的,第三方“同意公開”的予以公開,關于同意的方式未做規定。盡管《條例》第32條確立了依申請公開中征求第三方意見的程序,也僅就程序規則、時限、不回復、回復理由要求等做出規定,卻未考慮對不同信息依據不同的程序規則區分保護。依據我國《民法典》第1033條至第1038條的規定,權利人“明確同意”與“同意”是有區別的,立法者區分不同的程序規則,意在確立對個人私密信息更加嚴格的保護制度。事實上,我國的司法實踐早已走在前面。人民法院在審理政府信息公開類行政案件時,“在判決中都一致強調,第三人的同意必須是明示的”。?????? 《最高人民法院關于審理政府信息公開行政案件若干問題的規定》第5條第2款也規定:“因公共利益決定公開涉及商業秘密、個人隱私政府信息的,被告應當對認定公共利益以及不公開可能對公共利益造成重大影響的理由進行舉證和說明。”這表明,司法實踐已經把《條例》第15條的“同意”理解為“明確同意”而加以適用了。

　　三、個人私密信息保護制度的發展契機

　　(一)以憲法為統領的隱私權保護體系漸趨完善

　　我國《憲法》雖沒有明確規定隱私權概念和保護個人隱私字眼,但依然確立了隱私權保護觀念。 “憲法保障的公民基本權利不以列舉的為限”,??????是否在憲法中明確列舉都不影響隱私權的基本權利屬性。我國《憲法》第38條規定的“公民的人格尊嚴不受侵犯”,包含了對名譽、姓名、肖像、隱私等人格權內容的確認;第39條規定的“公民的住宅不受侵犯”,實際上是對私人生活安寧的直接確認和保護;第40條規定的“公民的……通信秘密受法律的保護”,也屬于隱私權的范疇。這些憲法條款“為后來其他部門法和特別法規保護公民個人隱私權以及相應的司法解釋留下了廣闊的空間”。

　　我國法律已經普遍確立了隱私權保護制度。1982年我國《民事訴訟法》首次使用“隱私”概念, 1993年我國《澳門特別行政區基本法》首次規定“隱私權”概念。2005年對我國《婦女權益保障法》進行修正時將隱私權與名譽權、肖像權等并列為獨立的人格權利。隨后,我國《未成年人保護法》確認保護未成年人的個人隱私,一些專門法律還規定了基于執業活動獲得他人隱私的人員和機構負有尊重他人隱私、保守秘密的義務。以此為基礎,2017年我國《民法總則》正面確認隱私權是每個自然人都享有的具體人格權。三大訴訟法也都規定對涉及個人隱私的材料、信息,應當保密;涉及個人隱私的證據,不在公開開庭時出示;有關個人隱私的案件,不公開審理。最高人民法院發布的司法解釋也及時回應了隱私保護的社會需求,“在隱私權保護制度建設過程中可以說是直接的推動者和實踐者”。??????《最高人民法院關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規定》明確了隱私權屬于法律保護的人身權益范圍,強化了個人隱私信息的司法保護。我國《民法典》全面規定了隱私權的概念、內涵、范圍、效力、保護方式以及在不同場景下的類型化保護程度等,并明確了隱私權與個人信息保護的區分立場及其保護方式、保護程度的不同。

　　(二)政府信息公開制度應與民法典有機銜接

　　政府信息公開制度不能與我國《民法典》關于隱私權保護和個人信息保護的規定相沖突。我國《民法典》是全國人大制定的基本法律,“其位階僅次于憲法而高于其他法律”,??????是《條例》的上位法和制定依據。遵循法律優位原則,政府信息公開涉及個人信息和個人隱私的制度設計,不能與我國《民法典》的有關規定相沖突。對此,習近平同志高屋建瓴地指出:“對同民法典規定和原則不一致的國家有關規定,要抓緊清理,該修改的修改,該廢止的廢止。”??????《條例》雖是公法,但依然不能與我國《民法典》沖突。“因其系一部基礎性法律,在我國法律體系中具有基礎性地位,公法不能與其產生沖突, 凡是沖突的公法規范一律失去效力,應修改并與民法典保持一致”;我國《民法典》“不僅在保障私權的領域中發揮作用,而且規范公權力的行使”。?

　　政府信息公開制度還應與我國《民法典》配合、協同和銜接。我國《民法典》規定的公民權利,既為平等民事主體之間享有和實現權利提供了基本法律依據,也為行政權力干預公民權利劃定了界限,還為公民民事權利的行政保護提供了直接的規范依據,“構筑起行政機關不得侵犯權利的消極性保護、介入權利侵犯的積極性保護和促成權利實現的創造性保護的三層次義務結構”。?????? 我國《民法典》中有160多個條款與行政機關相關,行政法制定主體必須及時作出回應,在法律、行政法規、規章中進一步細化,改革和完善相關制度。行政法應主動對接民法典,“行政法只有主動適應對接民法典,通過 ‘法法銜接’才能保障民法典的有效實施,進而以此為契機大力推進法治政府建設”。

　　(三)隱私權的公法保護機制亟待確立

　　現代意義的隱私權不再局限于以人格權為核心的民事權利屬性,而是具有了基本權利屬性,并對國家和政府設定了保護義務。據此,世界上多數國家都建立了政府信息公開中的隱私權專門保護制度。在美國,聯邦法院通過一系列的判例創設了“憲法上的隱私權”,將隱私權解釋為“公民對抗警察非法搜查、拒絕自我歸罪的權利”,并被確認為獨立于美國憲法第4修正案、第5修正案的一般憲法權利。?????? 在此基礎上,美國《隱私權法》(1974年)就公共機構對個人信息的采集、使用、公開和保密問題詳細規定,確立了聯邦政府機構處理個人信息中的隱私權保護制度。在英國,《信息自由法》(2000 年)確立了信息權,《公共部門信息再利用條例》(2015年)要求在公共部門中設立隱私保護專家并定期發布“個人隱私影響評估手冊”,并設立了直接向英國國會報告的信息專員辦公室,作為專司維護公眾信息權益、促進公共部門開放和保護個人數據隱私的非政府公共機構。在德國,《信息自由法》 (2013年)規定了信息公開與隱私政策沖突時的解決原則,聯邦設立了隱私保護和信息自由委員會, 州設立了數據保護專員作為在信息公開中保護個人隱私的專司部門。

　　在我國,施行《個人信息保護法》也帶來了隱私權公法保護機制的完善契機。在公權力運行領域, 隱私權保護觀念更待加強,“對個人隱私尤其是信息隱私的最大威脅也主要來自國家”。?????? 國家機關、公務組織在依法履行職責的過程中,不僅要大量收集自然人的個人信息,而且會產生新的個人信息, 也會掌握自然人的很多隱私。同時,國家機關、公務組織所處理的個人信息和掌握的個人隱私,具有精準度高、全面性強、覆蓋面大的特點。因而,在區分保護隱私權和個人信息權益的基礎上,以我國《個人信息保護法》的施行為契機,以“個人信息受保護權———國家保護義務”框架完善個人信息的權力保護機制,??????進而完善個人私密信息保護制度,是歷史賦予的機遇。

　　四、政府信息公開中個人私密信息保護制度的完善

　　(一)包含個人私密信息的政府信息不得公開原則

　　基于隱私權和個人信息保護的雙重立場,應在個人信息保護法中確立個人私密信息豁免公開原則,以填補《條例》隱私權保護立場不夠堅定、涉隱私政府信息內涵模糊的制度漏洞。首先,應區分保護個人隱私與個人信息,以回應和銜接我國《民法典》。其次,應以個人私密信息為基礎確立涉隱私政府信息公開豁免制度。事實上,所謂“涉及個人隱私”的表述是2019年修訂的《條例》對舊《條例》的完全照搬,沒有任何修改。舊《條例》制定時,我國的隱私權保護觀念尚不成熟,更不能奢談區分保護隱私權與個人信息。當前,我國《民法典》已經在隱私權基礎上提出個人私密信息概念并規定了嚴格保護規則,政府信息涉及個人隱私的,實際上是指包含個人私密信息的政府信息。也可以說,“在信息時代,隱私主要就表現為信息隱私的形式”。?????? 政府信息公開中的隱私權僅指向信息隱私權,不包含空間隱私權、私生活安寧權等隱私權的其他內容。因而,應以“個人私密信息”這一明確概念,代替個人隱私的寬泛表述,給行政機關信息公開實踐提供更明確的法律依據。最后,應明確規定“個人私密信息不得公開原則”,以彰顯個人私密信息優先適用隱私權保護,以及信息公開不得侵害隱私權的嚴格法治立場,并以此確立我國《民法典》個人私密信息保護制度與《條例》政府信息公開豁免制度的聯結機制,進而完善個人私密信息的公權力保護體系。

　　(二)個人私密信息可予公開范圍宜由法律列舉規定

　　在遵循個人私密信息不得公開原則的基礎上,為了實現公共利益的需要,根據利益衡量,在某些特定情形下仍然必須公開,即應確立“不得公開的例外”,意即“否定之否定”的范圍。對此,世界上多數國家或地區的信息保護法均遵循法律保留原則,就公務機關基于公共利益的需要可徑自依法處理個人私密信息的情形,在專門法律中做了明確的、列舉式規定。此類確定的“不予公開的例外范圍”規定,既給行政機關無須征求權利人同意可徑行公開相關信息提供了明確的、操作性強的法律依據,也避免因授權過于寬泛導致例外條款虛置,也可提高信息公開效率。比如,《歐盟個人數據保護指南》 (1995年)序言第33條、《比利時關于個人數據處理的隱私權利保護法》第7條第2款、《冰島有關個人數據的保護法》第9節、《丹麥個人數據處理法》第7條第2款、《匈牙利個人數據保護與公共利益數據公開法》第3條、《意大利有關個人和其他主體的個人數據處理的保護法》第4條、《荷蘭個人數據保護法》第16條至第23條、《葡萄牙個人數據保護法》第7條、《瑞典個人數據法》第14條、《美國隱私權法》第二部分、《加拿大個人數據保護法》第7條和第8條、《阿根廷個人數據保護法》第5條第2款、《日本個人信息保護法》第23條、《韓國公共機關個人信息保護法》第10條,??????都明確規定了行政機關可徑行處理個人信息的范圍。

　　總結各個國家或地區的立法模式和法律規定,至少有三點共同之處可以為我國法治提供有益借鑒。其一,在個人數據、個人信息保護的專門立法中規定個人私密信息可予公開的特定情形,以確保在國家意志和公共利益層面上平衡公眾知情權、監督權與隱私權,以及對隱私權的克減僅來自法律。其二,通過單獨章節或條款專門規定,不僅彰顯立法的審慎,而且有利于例外條款的執行。其三,采取列舉式規定而非概括式規定,以保證公開情形的實效性和可操作性。有些國家的法律還區分不同類型的私密信息,分別列舉豁免同意的情形。比如,比利時區分了有關人種、種族、政治觀點、宗教或哲學信仰商業聯盟成員資格與有關健康狀況的兩類數據,分別規定;荷蘭區分了有關個人種族、個人政治信仰、個人貿易聯盟身份、個人健康、個人犯罪記錄六類特殊個人數據,分別列舉規定;瑞典把有關非營利組織成員的個人數據、衛生與醫療保健、為進行學術研究、統計而處理的個人數據等四類單獨列舉,規定豁免同意的情形。

　　基于我國法律已經確立的個人私密信息嚴格保護立場,以及政府信息公開制度的利益衡量需求, 通過政府信息公開專門立法規定政府信息涉及個人私密信息時可徑行公開的例外情形最為可行。在立法形式上,可以借鑒德國的立法例,以專門條款或者章節進行規定,以彰顯個人信息保護在政府信息公開與企業數據處理中的不同價值追求。在立法內容上,可借鑒多數國家立法把以下六類事項規定為可予公開的法定情形:一是涉及國防安全和公共安全的,二是涉及刑事追訴的,三是涉及醫療健康、公共衛生和治病救人的,四是涉及緊急避險的,五是合同約定的,六是其他法律規定的。當然,這些情形下個人私密信息雖然公開,但公開范圍必須是特定的而不是普遍的。

　　(三)個人私密信息裁量公開應保障第三人參與權

　　對于個人私密信息的判斷,有時需要結合具體個案信息。比如,在城市舊區改造安置中,每個家庭的安置地點、安置面積、安置房狀況等看似是私密信息,但在總體安置資源有限且須遵循公平原則的背景下,安置戶就有權知悉同批次其他人的安置概況。因而,關于申請公開的政府信息是否包含個人私密信息以及所包含的第三人信息是否屬于私密信息,行政機關也可依法行使裁量權,并在征詢第三人同意后,決定是否公開。保障第三人參與權在信息自決權、正當程序原則、參與民主原則等領域都能找到理論支撐。信息自決權是歐洲大陸法系國家隱私權保護的基礎,強調自我表達、自我發展與自主決斷,以保障主體的人格尊嚴和身份認同。包含第三人私密信息的政府信息公開,會對第三人產生不利影響,可能侵害第三人的隱私權,應遵守正當程序原則,保障第三人的公平參與權。參與民主、協商合意也是第三人參與程序的法理基礎。有學者提出,我國信息公開制度的憲法基礎實質上是參與民主原則,“其目的在于通過信息公開讓人民更好地行使管理國家、社會等公共事務的權利,其中包括《憲法》第27、41條規定的監督、批評、建議、申訴、控告和檢舉權等”;當前政府信息公開中同時出現的“不足”和“過剩”現象,實際上源于政府信息公開制度遵循參與民主原則不徹底、不全面。

　　保障第三人參與權、征詢第三人同意已經成為世界范圍內信息保護法、數據保護法的共同選擇。如《經濟合作組織(OECD)關于隱私權保護和個人數據跨疆界流動的指導原則》中就有專門條款規定了“個人參與原則”;《歐盟個人數據保護指南》(1995年)第14條規定了數據主體的拒絕權利;英國《數據保護法》規定處理個人敏感信息應該獲得權利人的明示同意,德國《個人數據保護法》規定在電話告知隱私權人時,同意的意思表示可以用口頭形式。

　　在我國,《條例》第32條規定了比較完善的第三人參與程序。在第三人明確表示不同意公開時, 行政機關依然可以依法行使裁量權,認為不公開可能對公共利益造成重大影響的,可以決定予以公開,這是《條例》所規定的裁量公開程序。然而,在實踐中,行政機關很少適用裁量公開程序。究其根源,除了行政機關懶政、怠政、害怕承擔責任的主觀原因外,也與個人私密信息保護規則不健全和第三人介入程序不健全有關。關于第三人介入程序之完善,有學者提出了極具操作性的建議,即“采行擬公開決定后的征詢意見程序、確立正式公開決定前的聽證程序、確立公開決定的作出與公開決定的執行相分離的制度、明確規定救濟期間公開決定中止執行的制度”。?????

　　(四)確立不同的征求意見程序以區分保護個人私密信息與普通信息

　　比照我國《民法典》把個人信息區分為私密信息與普通信息的做法,在依申請公開程序中應將所涉第三人信息區分為個人私密信息與普通信息,并把征求第三方同意程序分別規定為強制性程序與裁量性程序。也就是說,申請公開的信息會侵害第三人私密信息的,應當書面征求第三方明確同意; 申請公開的信息僅涉及第三人普通信息的,可以征求第三方同意。

　　如此區分信息類型并分別保護的做法,與目前《條例》所遵循的以信息種類為基礎區分公開范圍的做法一致,也是以“法法銜接”的方式實施民法典,并對應我國《民法典》區分保護隱私權與個人信息、對個人私密信息嚴格保護的制度。然而,以上兩個方面都不是最重要的,此種區分的首要價值是實現政府信息“以公開為原則、不公開為例外”的主導價值,并提高政府信息公開的效率,提升征求第三方意見程序的實踐操作性。比如,在“林某訴上海市環境保護局申請公開第三人公司環保環評報告 (需要按照新的環保法全文公開,包括公眾參與者名單)案”中,??????被告認為涉案《環境影響報告書》系第三人委托相關環境影響評價機構制作,對于其中含有公眾調查對象的姓名、電話等個人信息只需征求第三人意見即可,即不需要征求相關公眾參與者意見。被告的理由是,《環境影響報告書》不僅內容龐雜,而且涉及公眾參與者眾多,如若逐一征詢本人意見,勢必耗費大量行政資源,并導致行政效率低下與行政程序冗長。法院認為:“針對涉及權利人眾多,內容龐雜的政府信息,行政機關采用較為便捷的程序審查處理,且處理結果無損于原告的知情權,亦不會對公共利益造成不利影響,應予支持。”??????可見,實踐需求遠比法律規定的更復雜多樣,政府信息涉及他人信息的,除了第三方,可能還有第四方、第五方,甚至像該案一樣涉及眾多權利人。如果不區分所涉信息種類機械執行“應當書面征求第三方的意見”,勢必拉長征求意見程序、增加大量行政成本、造成行政效率低下,進而引發大量信息公開訴訟。

　　因而,區分保護個人私密信息與普通信息,并比照適用我國《民法典》確立的征求權利人同意的程序規則,涉及多方、多數權利人的,以信息類別為區分的類型化征求意見程序更具可操作性。對于公開會損害他人私密信息的,行政機關應當書面征求權利人意見,并須獲得權利人明確同意;對于公開會損害他人非私密信息的,可以征求權利人意見,獲得權利人同意。依據我國《民法典》第1035條的規定,獲得權利人同意,可以是默示、籠統的、一攬子授權。換言之,如果在信息收集時獲得了權利人有關信息處理的授權,在信息公開時就無須再征求意見。也就是說,收集信息時權利人的授權,可以理解為包含了對非私密信息公開的同意;無須在公開前專門征求權利人意見。事實上,司法實踐中已經關注到此類需求,并把其歸納為“區分處理”操作,法院應審查“是否存在可以區分處理的情形”。??????能夠區分處理的,行政機關應向申請人提供可以公開部分的信息內容。