【国家机关收集、使用数据的基本原则】
国家机关为履行法定职责的需要收集、使用数据,应当在其履行法定职责的范围内依照法律、行政法规规定的条件和程序进行;对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供。
【释义】
本条的规范对象是国家机关收集、使用数据的行为,这也是我国首次在法律层面明确对政务数据的收集和使用行为进行规定,先前的立法尝试则散见于地方各省市制定的地方性法规。[8]这一条文的意义在于:作为原则性规定,在观念上宣示了国家机关收集、使用数据应当依法进行,并且要限定在履行法定职责的范围内;同时将政务数据的收集和使用行为纳入《数据安全法》的规范体系内,进一步强化了政务数据的数据安全面向。相较于本法历次审议稿,本条增设了“对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供”,该句重点强调了国家机关的数据保密义务,进一步强化了对国家机关收集和使用数据的制度约束,有利于推动国家机关不断提高数据安全能力和水平。
进入大数据时代以来,数据日益成为网络空间中最为重要的战略性资源,也成为人工智能等前沿技术得以进步和迭代的基础性资源。集成海量数据而生成的大数据广泛应用于社会生活各个方面,在应用价值和经济社会效益中都溢出了巨大红利,其中一个表现就是政府在重大活动决策、精准监管、科学立法等行政活动过程中,也开始应用大数据以提升行政管理民主化和科学化,提升公共政策合理性和有效性。[9]“作为社会管理和公共服务的提供部门,收集数据、使用数据,是自古以来全世界政府都在普遍采用的做法。”[10]有学者总结,大数据将在四个方面有效提升政府治理能力:1.大数据技术可以增强政府决策过程的现代化和科学化,提高政府的决策水平;2.大数据技术能够助力政府公共服务高效化,提升政府公共服务能力;3.大数据技术可以提高政府治理的精准性,使政府更好地履行现代政府职能;4.大数据技术能够助力政府治理实现多中心协同治理,从而提高政府治理的效能。[11]以政府决策为例,通过大数据的应用,政府机关不仅能更客观、精确地掌握问题现状,挖掘现象与问题之间的关联性,还可以模拟预测政策措施的施行结果。大数据可以在多方面对政府决策产生影响,包括影响决策目的、决策信息、决策方式、模拟决策拟合方法甚至决策的最终结果[12],推动政务服务由粗放式供给转向精准化供给。这种在政务活动中运用的大数据,学界通常称其为“政务数据”,即本法第五章标题中的表述。有学者认为,“政务数据”狭义上是指政府所拥有和管理的数据,包含自然信息、社会主体信息、城市建设信息、社会管理信息以及服务与民生消费类信息等;广义上是指政府掌握的数据在公共服务领域的应用实践,即政府将自身的业务数据和收集的外部数据进行汇集、治理,开展数据共享交换、开放、交易以及业务协同等。[13]总之,以大数据为核心的治理变革,重新建构了政府机关的职能配置、组织体系及运作方式,国务院于2015年发布的《促进大数据发展行动纲要》也指出:“建立‘用数据说话、用数据决策、用数据管理、用数据创新’的管理机制,实现基于数据的科学决策,将推动政府管理理念和社会治理模式进步,加快建设与社会主义市场经济体制和中国特色社会主义事业发展相适应的法治政府、创新政府、廉洁政府和服务型政府,逐步实现政府治理能力现代化。”
如前所述,大数据的生成必然伴随着超强力度和超大规模的数据收集、存储和处理活动,但就现阶段而言,数据产生者(主要是普通用户)仍然难以控制自己的数据,数据在流动的过程中易被各类主体为实现特定目的而“悄无声息”地进行收集、存储、处理、使用、交易,进而可能导致数据所承载的信息被滥用或泄露[14],公民个人生活安宁和个人隐私由此遭到减损,还可能危及社会秩序稳定和国家安全,政务数据的收集和使用过程也并无例外,这也为本条后一句话的增设提供了实践依据。总的来看,政务数据的收集和使用可能引发两个方面的安全问题:一是公民个人隐私安全风险。相较于保护公民通信、住宅、个人生活安宁等内容的传统隐私权,大数据时代的隐私出现了新的类型——整合型隐私,即通过数据挖掘技术,将人们在网络上留存的数字化痕迹进行有规律整合而生成的隐私,此时“隐私”的内涵已超越了个人不愿被他者干涉或侵入的私密领域,而拓展为收集、使用与控制数据的权益。[15]但是,大数据带来的技术复杂性不仅使得以往行之有效的隐私保护方式失去了作用,另外,也会导致隐私侵权的后果发生变异,网络空间的可搜索性和永久存续性导致隐私侵权损害的长期化,从而加重损害后果。[16]此外,在实践中,大数据的一个显著特征就是其价值不仅来源于其基本用途,更多源于其二次利用。[17]政府对数据的拥有量和公民知情权之间的不对称,使得政务数据的收集和运用相伴随着公民个体对自身数据控制权的逐渐丧失,也对公民隐私权保障提出了更高的要求。还有学者主张,在保护个人数据上,除隐私权外,还应确立个人数据权利,作为与隐私权相并列的一类独立民事权利,用以保护自然人对其个人数据被他人收集、存储、转让和使用过程中自主决定的利益。[18]显然,如果国家机关等公权力组织非法采集和使用公民个人数据,就构成了对这一权利的侵犯。二是社会生活安全和国家安全风险。政务数据和商业大数据的不同之处在于,政府机关的履职范围涉及社会生活的全部方面,政务数据涉及的则是民生相关的重要数据和个人敏感隐私,数据价值极大。此外,现代政府决策已经逐渐由单个部门拍板定调的方式转变为更为联合的共同决策,数据在多部门、组织之间频繁交换和共享的现象频发,尤其是许多地方政府还在进行扩大数据共享范围的探索,使得数据超范围共享的隐患日益突出。
“可以大规模地、持续地在公共场所获得一个人的照片,而且不需要经过当事人的同意,甚至在当事人不知情的情况下就能获得数据。这种能力,历史上任何力量都未曾具备过。”[19]面临以上安全风险,继续允许国家机关采集和使用数据,究其根本在于在价值位阶的先后次序上,国家或社会的公共性利益(公共利益或法定职责)大于个体基本数据权益和自由。这一点在欧盟《一般数据保护条例》(GDPR)中也有所体现:第6(1)(f)条规定,为实现数据控制者或第三方合法利益的数据处理应视为合法,但是在该情形下,如果为了保障数据主体的基本自由和权利,并且该保护利益高于数据控制者或第三方追求的合法利益时,则处理行为不合法,除非是公权力机关执行工作任务。[20]由此,更紧迫和现实的问题就转向了国家机关在何种条件下可以收集和使用数据、收集和使用的方式和程序是怎样的、数据活动的边界在何处等问题。本条正是在这一背景下得以产生。
对于本条的具体内容,应当重点把握以下几点理解。
第一,本条的适用对象是国家机关。“国家机关”并不单指行政机关,司法机关、检察机关、立法机关等均属于国家机关范畴,这些机关收集和使用数据的行为均受到本条调整,而对于一些法律、法规授权的具有管理公共事务职能的组织,则由本法第42条予以规定。(https://www.daowen.com)
第二,本条规范的是国家机关的数据收集和数据使用行为:
(1)收集数据。对于本条规定“收集”之理解,应当采更广泛的解释路径,包括数据的收集、挖掘、捕获等。国家机关在日常运行过程中,只要是对数据展开收集的活动,无论是主动要求提供、日常获取还是接收数据上报等,均属于本条所指的“收集”。
(2)使用数据。使用是一个内涵较为宽泛的动词,为了充分落实“保障数据安全,促进数据开发利用,保护公民、组织的合法权益,维护国家主权、安全和发展利益”的立法目的,此处的“使用”应可以比照本法在第3条所界定的“数据处理”概念。在数据活动中常见的数据计算、为实现某些目的而进行的数据二次分析、大数据应用、数据维护、数据共享均属于本条所指的“使用”。尤其是近年来,随着我国政府机关逐步从“政府信息公开”向“政府数据开放”探索前进,各地政务数据向社会公众开放的进程逐步加快,使得大量来源分散、内容不一的数据汇集到数据交换共享平台,有学者指出,早在2017年,我国交通运输行业(公路、水路)业务系统就有700多套,其中部级业务系统50多套,有16类数据库,数据项过万,有近30TB的数据(不含巨量的GPS和视频数据);地方业务系统约600余套,省级层面有300多个数据库,总数据量近900TB(不含海量的视频数据)。[21]因此,面临政务数据共享活动可能引发的安全风险[22],政务数据共享活动也应纳入本条射程之内。
第三,本条的规范重心在于将法治主义贯彻到国家机关收集和使用数据活动中,实质上属于落实行政法治的要求,通过行政与法律的一致性而使行政活动得以合法化[23],结合本条来看,则是两个方面的一致性,即收集和使用数据活动要和该机关法定职责范围相一致,不能出现逾越法定职责收集和使用数据的行为;也要与法律、行政法规规定的收集、使用数据条件和程序相一致,违反法定条件和程序的数据收集和使用活动也不属于依法行政,合法性基础不再存在。也就是说,国家机关收集和使用数据应当符合两个条件:一是为履行法定职责,必须与国家机关履职相关联,如疾控部门为防控疫情需要收集公民行程数据,依法对公民姓名、性别、电话号码、身份证号、个人行程轨迹等信息的收集符合“为履行法定职责”的规定,但如果进一步收集公民的教育背景信息、信用记录或基因信息等,则显然和“法定职责”无关;二是依法进行,本条设定的合法性依据是法律和行政法规,部门规章和地方性法规不属此列。但值得商榷的是,“履行法定职责”作为在本条中先后出现两次的重要条件,是否真的足以构成国家机关收集和使用数据的“底线要求”。理论上,我国对于不履行法定职责行政案件具有秩序性审查与合目的性审查两种司法审查模式,有学者通过实证研究发现:我国法院在被告(行政机关)有无法定职责、履行法定职责条件是否成就或有无现实可能以及是否实质履行了法定职责三个方面司法审查标准和强度并不统一。[24]在这种情况下,将“履行法定职责”上升为一项贯彻到数据收集和使用活动全过程的基本条件,是依法行政的现实需要,但在实践中如何严格把握和落实这一要求,还有赖于出台更为细致的具体规定和司法裁量确立更加统一的审查标准。
第四,本条增设第二句话,显然是为了应对各类数据泄露问题日趋严重的现状。大数据包含大量用户身份信息、属性信息和行为信息,各渠道数据存在交叉检验的可能,极易造成隐私泄露威胁。[25]本条明确设定国家机关的数据保密义务,且并不限于收集和使用数据过程,对于国家机关在履行职责中所知悉的数据,均应当予以保密。该条列举了四类数据:其一是个人隐私,依照《民法典》第1032条规定,隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息,此处规定之个人隐私应该既包括传统隐私类型,也包含前文所述的互联网条件下的新型隐私。其二是个人信息,按照《个人信息保护法》定义,个人信息是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。其三是商业秘密,根据《刑法》第219条第3款和《反不正当竞争法》第9条的规定,所谓商业秘密,是指不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息。但是,并非所有数据、数据集合都属于经营者的商业秘密。[26]依据本条规定,国家机关看似只对企业构成商业秘密的数据有保密义务,而企业还存在着半公开数据,如数据库的数据是典型的半公开类型的数据,对少部分人群开放[27],而本条并未明确国家机关对于此类数据是否应当予以保密,商业秘密也并不能提供有效的保护,还需进一步明确。其四是保密商务信息,相较商业秘密而言,保密商务信息是一个较新的概念,应更具聚焦于企业在进行商务活动中形成的秘密数据,此类数据亦首先应当符合保密性的要求。针对以上数据类型,本条具体规定国家机关既不得泄露,也不得非法向他人提供,说明本条文肯认合法的数据共享活动,但同样必须依照法律规定的条件和程序。
【关联规定】
《中华人民共和国网络安全法》第30条、第44~46条、第48条,《中华人民共和国民法典》第1032条,《中华人民共和国刑法》第219条,《中华人民共和国反不正当竞争法》第9条
(撰稿人:何傲翾)