改革开放前,全国青少年犯罪人数在青少年总人数中为0.3‰,而90年代以来,已上升至3‰,提高了10倍。
在第二次选举时必须更换父母。我们有理由相信,父母都是理性人,会在学校教育和在家教育之间进行选择,从而最大程度地保障儿童的受教育权。
随着中国社会经济的发展,确立家庭教育权的基本权观念有着重要现实性,同时也为今后的家庭教育立法提供观念和理论指引。第二,对学校参与深度的认识没有达成共识。他们认为该小学裁量错误的理由在于:他们的孩子在该小学上过学前班,基于学前班和小学之间的紧密联系,该小学应该录取他们的孩子,可是该小学却没有考虑这一因素,因而不予录取的裁量是有瑕疵的。借助于宪法第33条第3款之规定,从第49条第3款中大体上可以得出父母权利具有基本权利的观点,间接佐证了家庭教育权的基本权属性。这就意味着义务教育不包含在基本法第7条第1款中。
从基本权利的角度来理解家庭教育权可能是一条解决现实症结的有效途径,为此就需要合理划分父母和国家在家庭教育上的权利义务,即夯实父母享有的家庭教育权的内容。在学校上,是选择公立学校还是私人学校,都有较大的自由。德国《联邦资料保护法》是公领域、私领域统一立法的典型。
[25]参见吴晓涛等:《大数据时代我国应急管理体系变革新机遇与新挑战》,《河南理工大学学报(社会科学版)》2016年第2期。[34] 总之,政府对个人信息的利用在社会风险治理中体现得极为充分,政府对个人信息的大数据分析工具大多首先出现并应用于这一领域。[27]参见孙粤文:《大数据:风险社会公共安全治理的新思维与新技术》,《求实》2016年第12期。这是因为个人信息法律保护制度的构建不仅是对公民提供保护,而且是为维护政府自身政权合法性所必须。
大数据技术的出现大大降低了技术门槛,对个人信息的利用被迅速推广到了社会风险治理的一般领域和日常事务。通常认为,信息主体的知情权可以在以下几个方面予以落实:机构在收集个人信息时应当表明其身份,明确告知处理的目的、种类、潜在的个人信息接受者等。
[55]而对个人一般信息的利用,可以允许法规作为授权依据。探究个人信息在社会风险治理中的利用及其限度,对于提炼公共领域个人信息保护的一般规则,并完善个人信息保护的法律体系,颇具意义。对于政府收集的个人信息,应当允许其保留一定的冗余度。对个人敏感信息的利用,应当获得狭义法律的授权。
[58]然而,政府对个人信息的获取和利用并不以信息主体的同意为前提,而是源于法律的授权。总之,行政机关对个人信息利用的广度和强度一点都不亚于商业机构,但我国既有的个人信息保护规范体系却严重忽视了这一点。[16]社会风险治理是政府利用个人信息一个典型领域,因为社会安全事件是由人的行为所导致的、危及社会稳定和社会秩序的冲突性事件,社会风险治理的目的就是降低发生此类危机的可能性,或者阻止这种可能性转化为现实,以及在这种可能性转化为现实之后控制事态和减少损失,其核心过程始终围绕的就是预测、监控、分析和处置人的行为,自然要以大量的个人信息为支撑。社会安全事件发生后,主要通过四种机制促进舆情大数据的生成:一是在线社会聚合,即公众在网络空间发布信息、发表观点。
[26]参见薛澜、张强、钟开斌:《危机管理:转型期中国面临的挑战》,清华大学出版社2003年版,第169页。三是在安全思维之下,私主体侵权成为个人信息保护的主要情景假设,对相关私法问题的研究蓬勃发展,公法研究则未受重视。
究其原因,一是近十多年来个人信息的大数据应用在公、私两个领域的突飞猛进将原来的某些理论远远抛于身后。在行政机关提出一个个人信息利用的新场景时,必须向主管部门提交风险评估报告并获得其同意,同时建立相应的责任回溯机制。
有学者从2016年欧盟《数据保护一般条例》和2015年美国《消费者隐私权利法案(草案)》出发,提出场景与风险导向的个人信息保护新架构,主张对个人信息的利用不应再以用户的知情同意为基础,不应再苛求将信息的收集、利用保持在最小和必要的范围,而应当结合个人信息利用可能对用户造成损害或负面影响的具体场景进行风险评估,要求利用者将个人信息处理所引发的风险控制在实现特定目的所必须的合理水平,对个人信息进行后续利用时应将其引发的隐私风险降至实现目的最低水平,个人信息的二次利用不应提升信息原初的隐私风险或给用户带来无法预期的隐私损害,用风险限定取代目的限定,用风险最小化取代信息最小化作为处理个人信息的准则。[61]在个人信息被聚合利用的情况下,由于此时损害个人权利的风险已明显降低,部分事项的告知已无必要,而另外某些事项的告知则很难实现。[28]在大数据时代,有三种个体时空信息获取途径:一是手机定位与GPS数据等被动获取途径,二是出行活动日志与时间利用日志等主动获取途径,三是社交网络用户签到信息等半主动获取途径。[23]正如国务院《促进大数据发展行动纲要》(国发[2015]50号)所指出的那样,大数据应用能够揭示传统技术方式难以展现的关联关系,推动政府数据开放共享,促进社会事业数据融合和资源整合,将极大提升政府整体数据分析能力,为有效处理复杂社会问题提供新的手段。三是个人信息具有非独占性。然而,这种动机与潜在于商业机构的、滥用个人信息追逐利润的动机相比,孰强孰弱,实难定论。
综合《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》和《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》的相关规定,个人敏感信息包括基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动、踪轨迹信息、通信内容、征信信息、财产信息、住宿信息、通信记录、交易信息等。[53]其列举的个人敏感隐私信息包括有关医疗、基因、性生活、健康检查及犯罪前科记录等。
例如,要从被聚合起来的海量信息中单独提取出某个人的信息被处理的情况以准确回应信息主体的查询,其可行性是值得怀疑的。[25]其实,北京早在2010年开始,就在西单、大栅栏商业区、什刹海风景区和天安门广场等地启用了人群聚集风险预警系统,以实时监控流动人群。
[52]张娟:《个人信息的公法保护研究》,中国政法大学2011年博士学位论文,第111页。正因为如此,在法律上就信息主体对个人信息的自我控制权给予一定限制,赋予行政机关在必要情况下直接使用的权力,其正当性才更加充分。
这一领域充分展现了政府在大数据时代利用个人信息的实际图景和公私利益在其中微妙复杂的紧张关系,是在个人信息保护领域提炼公法问题的最佳窗口。个人信息一般被定义为与一个身份已被识别或者身份可识别的自然人(信息主体)相关的任何信息,包括自然人的姓名、出生年月日、身份证统一编号、护照号码、身体特征、指纹、婚姻、家庭、教育、职业、病历、医疗、基因、性生活、健康检查、犯罪前科、联络方式、财务情况、社会活动以及其他得以直接或间接方式识别该个人的信息。[26]大数据技术使得基于所有数据而不是样本数据的决策成为可能,在应急决策的实践中,大数据分析所带来的信息增量,可以在很大程度上突破由于信息缺失而导致的决策困境。[59]在我国,《全国人大常委会关于加强网络信息保护的决定》《网络安全法》都移植了用户同意机制,但其适用对象都没有将行政机关涵盖在内,前者的规定适用于网络服务提供者和其他企业事业单位,后者的规定则适用于网络产品、服务的提供者。
[63]比例原则要求行政措施的采取必须能实现行政目的或至少有助于目的的达成。在我国,2013年工信部发布的《电信和互联网用户个人信息保护规定》和全国信息安全标准化技术委员会编制的《信息安全技术公共及商用服务信息系统个人信息保护指南》同样确认了这一点。
[3]参见肖登辉、张文杰:《个人信息权利保护的现实困境与破解之道——以若干司法案例为切入点》,《情报理论与实践》2017年第2期。概言之,个人信息往往产生于信息主体与信息收集系统的互动之中,而这些信息在被聚合起来进行再分析时所产生的价值远远大于其在单个状态下的价值,同时,个人信息被聚合使用之后的价值又往往使信息主体自身直接受益。
然而,该研究者仍称之为间接可识别个人信息,这就与那些通过组合之后能够间接识别个人的信息混淆了起来。社会风险治理作为政府利用个人信息最为活跃的领域,是提炼这些规则的一个绝佳窗口,这对于完善个人信息保护的公法架构,乃至于推动公法、私法相融合的我国《个人信息保护法》早日出台,均有裨益。
应当认为,这种豁免实际上就构成了对行政机关在相应事项上的授权。[66]如果当初收集的信息较为有限或较早删除,就可能错失进一步挖掘利用的机会,或者需要付出巨大的成本补充或重新收集。对政府利用个人信息的规制是当前个人信息保护中的一大短板。[44]甚至有人提出,应当先就急迫的公共行政领域内个人信息保护问题先行单独立法。
[27] 再次,个人信息可以被用于分析社会安全事件中的个体行为。[55]某些国家的法律并未直接规定对行政机关利用个人信息的授权,而是规定了公法领域中对个人信息保护的豁免。
[35]大数据技术的广泛应用实际上正重塑着整个法律体系运作于其中的社会空间,改变着大数据掌控者(包括国家和商业机构)与公民个人之间的权利关系,并创造出许多无须借助法律的社会控制方式,大数据技术使个人变得越来越透明,而权力行使者却变得越来越隐秘。[49]参见张永生、孙贝贝:《漩涡中的睢宁政府版征信》,《新京报》2014年7月2日,第A14版。
二是个人信息具有再分析价值。[16]同前注[9],张新宝文。