本报简介政务公开场景下检察公益诉讼如何保护公民个人信息
近日,有媒体报道,河南省周口市人民检察院针对“益心为公”志愿者反映的部分村委会在村务信息公开过程中未对关键信息进行“去标识化”处理,遂开展精准摸排,推动全市检察系统进行监督,截至7月底,已成功督促34个乡镇、180余个行政村撤换、整改违规公示信息4万余条,对非法获取、出售个人信息,损害社会公共利益的行为依法提起民事公益诉讼,立案17件,起诉13件。
政务公开是行政说明性义务的履行方式,也是提升政府公信力、保障公民知情权与监督权的重要举措。然而,随着公众对于个人隐私保护意识的不断提升,在政务公开过程中,时常会因个人信息被泄露的问题产生矛盾纠纷。政务公开追求的公共利益属性与个人信息保护追求的私人利益属性存在着一定价值冲突,如何平衡好两者的关系?检察机关可以通过积极履行公益诉讼职能,督促行政机关依法履职,平衡好政务公开与个人信息保护的关系。
政务公开与个人信息保护之间的关系
政务公开过程中,被公开个人信息兼具公共属性和个人隐私性特征,易引发公共利益与个人权益保障的价值冲突。在数字化时代,信息传播的迅捷化、便利化使得这种冲突表现得更强烈。一方面,政务公开通过在政府官方网站和乡镇(街道)、村(社区)公示栏公开公民所需信息,可以架起政府与公民之间沟通的桥梁,是提升政府公信力、保障公民知情权与监督权的重要举措。另一方面,个人信息一旦被公开,将造成其扩散范围和用途的不可控,如某些个人信息被以违背个人信息主体意愿的方式直接使用,对个人信息主体权益带来重大风险。
针对二者存在的价值冲突,《中华人民共和国民法典》第六章规定,自然人隐私权以及个人信息受法律保护。其中,民法典第一千零三十九条规定,国家机关、承担行政职能的法定机构及其工作人员对履行职责过程中知悉的自然人的隐私和个人信息负有保密义务。《中华人民共和国政府信息公开条例》第十五条也明确规定,行政机关不得公开涉及商业秘密、个人隐私等会对第三方合法权益造成损害的政府信息。此外,《中华人民共和国个人信息保护法》对个人信息保护进行专门规定。实践中,各地检察机关依据相关规定,聚焦财政补贴、行政处罚、公共资源交易等政务信息公开,主要监督行政机关因标准模糊、意识缺位、技术不足导致的个人信息过度披露问题,成效明显。比如,江苏省镇江市人民检察院在履职过程中发现,某单位官网页面“政府信息公开”栏目中,其公示的文件未对45名公民的姓名、身份证号码等个人信息进行去标识化处理,存在泄露公民个人信息的风险隐患。对此,检察机关向该信息公开单位制发检察建议,要求其对公民个人信息予以脱敏处理。
个人信息保护检察公益诉讼的展开形式
在政务公开场景中,保护公民个人信息是检察公益诉讼的应有之义。具体而言,检察机关可通过群众举报、实地走访、大数据筛查等方式获取线索,随后根据具体场景和具体问题选择最优的履职方式。
通过磋商快速解决隐私泄露问题。检察机关可以先就个人信息公开相关问题与行政机关进行磋商,表示政务信息的公开尤其是网络公开,传播速度快范围广,受到社会密切关注,过度公开个人信息可能侵犯公民隐私权。行政机关与检察机关经磋商后积极整改这类案件,说明二者在保护公益的主张上没有对抗性,个人信息保护达到预期理想状态的,检察机关可作终结案件处理。
制发检察建议,督促行政机关依法履职。政务信息公开过程中涉及个人隐私信息较多、传播范围较大时,检察机关需依法向行政机关制发检察建议,要求其履行法定职责,包括立即停止侵害,对已泄露的敏感个人信息撤销并脱敏处理;采取系统性整改措施弥补损害,对互联网、公告栏等已公开信息进行全面排查整改。譬如,南京市某基层检察院发现某街道办事处将某名单中的公民姓名、居住地址等信息完整公示,便向其发出检察建议,建议对该名单去标识化处理,并对其他公示信息进行全面排查。上述街道办事处收到检察建议后,及时对涉及个人信息的内容进行去标识化处理后重新公开,表示今后将依法依规进行政府信息公开。该案通过制发检察建议督促其主动作为,既保证行政机关全面展示其工作程序,又兼顾公民个人信息安全。
检察机关组织专项行动实施一体化办案。根据个人信息保护法第六十八条的规定,国家机关不履行个人信息保护义务,由上级机关或者履行个人信息保护职责的部门责令改正。因此,对于大规模个人敏感信息被级别较高的行政机关违法公开或者在某省、市普遍存在违法公开的情况时,基层检察院公益诉讼部门没有管辖权的,需将线索及时报送上级检察机关,发挥上下一体化办案作用,统筹形成以点带面的方法,推动省、市开展专项行动,以多层次协作提升违法公开个人信息行为的整治力度和办案质效。
个人信息保护检察公益诉讼的实践路径
检察机关可以通过跨部门协调,推动建立政务公开与个人隐私信息保护的操作标准,强化政务公开中个人信息内容的常态化审查机制,实现从源头上治理。
制定个人敏感信息细化清单。在检察公益诉讼视角下,政务公开中的个人敏感信息保护应具备个人信息保护法第二十八条的核心要件:一是危害可能性,泄露或滥用需“容易导致”人格尊严或人身财产安全受危害的;二是后果严重性,侵害结果需触及人格尊严贬损或威胁人身安全的。同时,可结合《信息安全技术 个人信息安全规范》(GB/T 35273-2020)附录B对个人敏感信息进行细化分类,在最低生活保障、困难群众临时救助、高龄津贴发放等政务公开领域,应将以下信息纳入个人敏感信息范围,并进行去标识化处理。
具体而言,个人敏感信息可分类为个人健康生理信息(个人因生病医治等产生的相关记录,如病症、住院志、医嘱单、检验报告、护理记录、用药记录等)、个人生物识别信息(个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等)、个人身份信息(身份证、军官证、护照、驾驶证、工作证、社保卡、居住证等)以及其他信息(性取向、婚史、宗教信仰、未公开的违法犯罪记录、行踪轨迹、网页浏览记录等)。
构建个人敏感信息“去标识化”常态机制。为了保护个人隐私,特别是在政务公开信息时避免泄露个人敏感信息,可采用“去标识化”技术手段。简单来说,就是对这些信息进行“变身”处理,让人无法直接认出具体是谁的信息,但又能保留信息的部分价值供分析或监督使用。检察公益诉讼视角下,检察机关可以跨部门协调、推动政府部门构建个人敏感信息“去标识化”常态机制。比如,信息“部分隐藏”,在公布名单时,把身份证号中间部分用星号(*)代替,只显示前几位和后几位;或者把精确年龄改成类似“30-40岁”的范围。这样,既能让公众了解必要的信息,又能给个人信息穿上“防护服”,有效保护公民隐私安全。
提升政务工作人员信息保护意识及操作规范性。为确保政务公开中个人信息处理合法合规,行政机关应当将工作人员的标准化操作培训作为基础工程,可以开展个人信息保护法、政府信息公开条例专项学习,使工作人员深刻理解“哪些属于敏感信息”“如何去标识化”。比如,重要信息发布前必须经过多重确认,以此确保公开的个人信息符合相关法律法规规定。同时,检察机关可以组织检察官走进行政机关开展政务公开过程中的个人信息保护专题培训,将个人信息保护理念深植于基层治理末梢。
总而言之,随着民法典的深入实施、个人信息保护法配套细则的日益完善,检察机关应以公益诉讼为支点,开展公益诉讼监督和预防性公益诉讼工作,既化解公民个人信息泄露风险,为保护公民个人信息筑起一道坚实的安全屏障,还要推动政务公开工作规范开展,依法保障政务公开与个人信息保护之间的动态平衡,从而促进经济社会高质量发展。
(作者单位:江苏省南京市建邺区人民检察院、南京审计大学法学院)