为此,宪法尤其强调国家机关在各种活动中保持向社会和人民开放的重要性。
在笔者看来,要有效回应党政融合的机构改革对行政法带来的挑战,就必须回到问题的原点,即必须明确党政机构融合的合法性,进而确定党的机构在行政过程中的应然角色。[xii]参见薛刚凌:《多元化背景下行政主体之建构》,《浙江学刊》2007年第2期,第513页。
例如,作为党内法规的《关于实行党政领导干部问责的暂行规定》同时适用于党、政两类官员,有关行政问责制的研究不可能将其抛开。本文提出的对行政过程中的党政角色进行实质性区分、问实而不循名的思路,无论在机构改革之前还是之后,无论某个领域的党政机构是否合设、合署,都是适用的,都能保持一贯性和稳定性。再如,2019年4月颁布的《重大行政决策程序暂行条例》性质上是行政法规,其最终审议机关却是中共中央全面依法治国委员会,该条例所调整也不仅仅是纯粹的法律问题。很多学者认为,执政是党的领导的最主要方式,甚至是唯一方式。这固然有认识上的误区,也与绝大多数情况下中国的政府官员身兼党政两种职务有关。
这部分党内法规的控权取向和公法的功能是相通的,我们应当承认其具有法的属性。[ix]参见刘杰:《党政关系的历史变迁与国家治理逻辑的变革》,《社会科学》2011年第12期,第4-11页。基于以上分析,本文在此尝试提出一个更为符合大数据时代特征的公平信息实践版本: 个体合理预期:个人信息的收集、处理与流转应当符合个体的合理预期,尤其是在不涉及公共利益的情形下,当个人信息的收集、处理与流转超出一个社会中正常理性个体的合理预期时,个人信息的收集者或处理者必须对个体进行显著告知,确保个体理解伴随此类收集与处理的风险,并且在此类情形中获得个体的明确授权[48]。
此外,在个人信息的管理义务方面,不同版本的公平信息实践也不同。同时,对信息控制者施加某些责任也未必符合大数据的基本特征,不能恰当地利用与保护个人信息。[45] 第35条规定:当某种类型的处理——特别是适用新技术进行的处理——很可能会对自然人的权利与自由带来高风险时,在考虑了处理的性质、范围、语境与目的后,控制者应当在处理之前评估计划的处理进程对个人数据保护的影响。近年来,随着个人信息保护问题引起社会的日益关注,并且被列入国家的立法计划,各类个人信息保护研究的文献如雨后春笋般的兴起。
(6)对进一步转移的限制:对于进一步的个人数据转移,只有第二个接收者也受到同样恰当程度的保护,这种转移才能被允许。而另一项研究则发现,只有4.5%的被调查者说他们总是阅读隐私公告,只有14.1%的人说他们经常阅读隐私公告。
ii.如果收费的话,不超出合理限度。一言以蔽之,公平信息实践已经成为全球隐私保护的重要准则,得到了包括中国在内的全球各个国家的认可[3]。就个体控制自身信息的手段而言,个体在面对信息收集者收集个人信息时经常遇到的就是告知-选择(notice-choice)框架,即面对网站等信息收集者的告知而选择同意或拒绝其个人信息被收集{4}。公民个体很难理解其信息如何被储存、使用和转移,从而也就很难对后续的种种信息处理行为进行控制。
(3)对于个人的档案信息的使用和披露,应当建立和界定有关责任(建立合法的、可执行的保密预期)。就企业而言,在缺乏有效个人信息的情形下,企业就不可能有效地为个体提供可能满足其需求的供给,个体则可能会因为缺乏推荐而付出更高的价格[37]。更多时候,公民个体对隐私公告的选择只是一种漫不经心或无可奈何的点击{5-6}。注释: [1] 在中国期刊网上以公平信息实践为主题或关键词进行搜索,搜索结果只有一篇文献。
(4)安全:网站需要采取合理步骤来保护所收集信息的安全性[15]。在Facebook的信息泄露事件中,我们看到也只是在Facebook卷入了美国政治并且经过新闻媒体的大规模曝光,此次事件才为大众所察觉[34]。
此外,强化个体赋权可能导致个体无法获取有效服务、制定良好公共政策、实现合理信息流通。[28] 此类研究,参见:Kent Walker. The Costs of Privacy[J].25 Harvard Journal of Law Public Policy,2001,(25):87-107. [29] 此类研究,参见:Lorrie Faith Cranor. Necessary But Not Sufficient: Standardized Mechanisms for Privacy Notice and Choice[J]. J. Telecomm. High Tech. L,2012,10(2):273-274. [30] 此类研究,参见:Alessandro Acquisti Jens Grossklags. What Can Behavioral Economics Teach Us About Privacy? in Digital Privacy: Theory, Technologies and Practices, Acquisti, De Capitani di Vimercati, Gritzalis, Lambrinoudakis[M]. Auerbach Publications,2007:363. [31] 例如美国2006年的一项研究发现,只有20%的人在大多数情况下会阅读隐私公告。
除了OECD,亚太经济合作组织(APEC)也延续了公平信息实践的若干原则。在某些情形下,个体应当有权反对对其信息进行的处理。进入专题: 公平信息实践 个人信息保护 。值得指出的是,即使法律作出了进一步规定,要求网站所提供隐私公告清晰易懂,这种规定也不足以改变告知-选择框架异化的困境[32]。尤其是在引进某些新型权利时,例如被遗忘权等权利时,如果允许将此类权利绝对化,赋予个人以主张对所有信息控制者以删除其过时、不相关个人信息的权利[39],那么此类赋权将有可能导致公共空间中信息的漏洞,不利于信息的合理流通[40]。根据工作小组的解释,这部指令至少体现了如下八项反映公平信息实践的原则[16]: (1)目的限定原则:数据应当只能因为某个目的而被处理,而且数据转移不应当与此目的相冲突。
(8)可责性原则:数据控制者有责任采取措施,保证实现上面提到的原则。综观公平信息实践的发展以及相关信息隐私法的发展,可以发现预防损害与预防风险的原则逐渐受到重视。
(c)法律或其他具有法律效力的法律文书、声明所要求的。一方面,公平信息实践应当建立在个体的合理预期基础之上,有限度地赋予公民以相关信息权利,避免信息权利的泛化与极端化。
如果强行要求网站的隐私公告以简单的政策来表述其复杂的实践,那么其结果只能是个体更不能有效地理解信息收集者的隐私政策{7}。这一公平信息实践的版本强调平衡个人信息收集、处理和流通中的个体预期与社会预期,强调发挥个人信息的公共性价值与风险防范的个人信息保护进路。
对于信息控制者来说,只要其通过隐私公告获取了个体同意,并且满足信息使用与处理过程中的个体投诉,那么信息控制者就可以规避法律的风险{8}。(2)数据质量原则:个人数据应当和它们将被使用的目的相关,应当是为了实现这些目的所必要的,而且应当准确、完整并且及时更新。首先,就赋权程度而言,不同的公平信息实践版本采取了不同刚性程度的赋权[22]。(c)如果(a)项和(b)项中的请求被拒绝了,可以获得拒绝的理由,并且可以对拒绝提出质疑。
iv.以一种可理解的方式。如何既合理地使用个人信息,发挥大数据的价值与潜力,又保护个人信息在大数据时代不被滥用?舍恩伯格在其著作中提出了若干范式转换,其中之一即是从个人许可到让数据使用者承担责任。
从企业与政府等信息收集者与处理者的角度来看,强化个体赋权无疑会增加其成本,但重要的是,此类成本的增加可能对于真正保护公民的隐私权益并无帮助。1980年,OECD制定了《隐私保护与个人数据跨境流通指南》,确定了个人数据保护的八项基本原则: (1)收集限定性原则:个人数据的收集应当有限定性,而且任何此类数据都应当以合法和公平的手段获取,在合适情况下应当获取数据主体的了解或同意。
通过对海量沉淀的个人信息的二次或多次使用,大数据可以发现隐藏在这些孤立的数据背后的商业价值与公共性价值。从理论上看,个人信息保护在大数据时代面临着前所未有的挑战,如何兼顾个人信息的合理利用与保护,这是摆在所有法学研究者面前的一个难题。
(d)质疑关乎他们的数据,而且,如果质疑是成功的话,可以要求将数据擦除、改正或完善。本文对公平信息实践进行了介绍、总结和反思。[23] 根据《一般数据保护条例》第85条第5款,一旦违反核心条款,违法者可能面临20000000欧元或上一年全球总营业额4%的金额的罚款。但在美国联邦贸易委员会的公平信息实践版本中,此类限制则并不存在。
1.美国 公平信息实践的原理极大地影响了美国的信息隐私立法。在早期的公平信息实践版本中,例如美国1973年版本与1977年版本中,对于信息控制者的责任主要侧重于对于个人信息本身的管理,例如确保个人信息的可靠性,防止个人信息的滥用。
在大数据时代,如果严格按照目的限定原则来要求收集数据,那么信息或数据就会成为一个个孤岛,并不能集合起来发挥大数据的价值。未来我国的个人信息法立法,必定会受到公平信息实践的极大影响——如果不是完全继承的话[56]。
对于进入公共领域的信息和涉及公共利益的个人信息,公民个体的访问权、纠正权与删除权将受到相关限制[49]。3.国际组织 国际组织对于公平信息实践规定最为著名的当属经济合作与发展组织(OECD)。
