“法定职责”与“法定义务”的范围

网络法实务圈 · 公众号 · · 2024-12-23 17:00

正文

最近出现了一个关于保险回溯性录屏的案子，其中很多朋友开始热议监管部门颁布的部门规章是否属于在于个人信息处理的合法性基础中的“法定义务”。

那个案子本身可能并没有深入地触及这个话题，但是，很巧，我研究生的毕业论文写的就是这个话题。当然，由于学艺不精，毕业论文现在看来十分稚嫩，但其中对于一些文献的整理可能还算是到位。

因此，就趁着这个机会，跟大家一起讨论一下（绝不是为了凑一期推送）。

#背景：《个人信息保护法》

第十三条

符合下列情形之一的，个人信息处理者方可处理个人信息：

……

（三）为履行法定职责或者法定义务所必需；

……

依照本法其他有关规定，处理个人信息应当取得个人同意，但是有前款第二项至第七项规定情形的，不需取得个人同意。

“法定职责”与“法定义务”的范围

《个人信息保护法》的“外接性规范”都采取了高度概括性的描述，除了第二十条第二款指向《民法典》的侵权责任编外，其他条款都没有明确的指向性。这种表述方式看似实现了对特别规定予以全面吸收的效果，但却会令人疑惑接入的外部法律规范的范围和层级。

这个问题在第十三条第一款第（三）项的“法定职责”和“法定义务”的解释上体现的尤为明显。高度盖然式的表达，加之缺乏权威释义的有效释明，无法仅从字面理解此处的“法”到底指的是狭义上的法律范围，还是广义上的法律范围?

这不仅仅只是咬文嚼字的文字游戏，在实践中也引发了两个方面的争议和混乱。第一个争议是“部门规章及是否能作为合理处理个人信息的依据”。除了第十三条外，《个人信息保护法》全文所列举的外部法律规定无一不是法律、行政法规、国际条约。例如，同一条款的第七项还列举了“法律、行政法规规定的其他情形”，从字面上看该项与第（三）项中的“法定职责”与“法定义务”有极强的相似性，不免令人怀疑第（三）项所称的“法”实质就是第七项规定的内容。但是，现实中国家机关和具有管理公共事务职能的组织在许多场景下履行的却是部门规章赋予的职权。此外，部门规章创设新的法律义务也屡见不鲜。

第二个争议是在个人信息存储的场景下，“低层级规范文件对个人信息存储期间的规定是否有效”。《个人信息保护法》第十九条和第四十七条都将“法律”和“行政法规”作为个人信息处理者必须删除个人信息的除外事由。因此从从正面理解这两条规定，即可认为基于“法律、行政法规”的规定，个人信息处理者可以正当合法地存储个人信息，而不需要取得信息主体的同意。这与《个人信息保护法》第十三条的合法性基础有着异曲同工之妙，毋宁说这两条其实是第（三）项“法定义务”在个人信息保存领域的特殊规定。那么此时会遇到的问题是，第十三条、第十九条和第四十七条之间的关系是是什么？后两者是否是对于第十三条第一款第（三）项的限制，即在个人信息保存领域，只有法律和行政法规才能成为合法性基础？而实践中存在着大量部门规章和地方性法规为信息处理者赋予了保存个人信息的义务。。

要回答上述这两个实践争议，我们必须对于《个人信息保护法》第十三条第一款第（三）项有更深入的理解。

狭义与广义之争

当把目光聚焦在国内法时，第（三）项中的“法”的范围也存在极大的争论。在《个人信息保护法》正式立法前，有三位专家学者起草了个人信息保护法建议稿，成为立法者的参考资料。其中，齐爱民稿和张新宝稿均将“法定职责”与“法定义务”列为个人信息处理的合法性基础，而在周汉华稿中只保留了政府机关的法定职责。同时，这三份建议稿中只有张新宝稿针对上述概念给出了较为直接明确的解释。张新宝稿在第三十条中将“法定义务”拆分为“为履行法律、行政法规规定的义务所必要”与“为执行政务部门依法作出的命令所必要”，将义务的法律渊源扩展至了所有抽象行政行为。而其在第七十条却将“法定职责”限缩在“具有法律法规依据”的小范围中。相比之下，齐爱民稿只采用了“法律法规规定”的模糊字样。由此可见，在立法之初，学者们对于“法定义务”和“法定职责”的规定就存在较大的分歧，并延续到了现在。

在《个人信息保护法》生效后，学者们争论的焦点主要聚焦于“法定职责”中的“法”上。杨合庆认为，依据职权法定和法律保留原则，“法定职责”中的“法”应该仅限于“法律和行政法规的明确授权”。判断国家机关处理个人信息是否属于履行法定职责所必需，应当依据法律、行政法规的规定，或者根据国家机关及其履行的职责性质等因素予以判断。但程啸等学者认为，法定职责中的“法”是广义的法，既包括全国人大及其常委会颁布的法律，也包括行政法规、地方性法规、部门规章和地方政府规章等规范性法律文件。

从体系解释的角度看，龙卫球认为虽然职权法定的法律渊源范围在实践中存在宪法、法律、行政法规、地方性法规以及行政规章授权等不同形式，但是《个人信息保护法》第三十四条要求国家机关处理个人信息，必须“依照法律、行政法规规定的权限、程序进行，不得超出履行法定职责所必需的范围和限度”。因此，在《个人信息保护法》内部体系解释方面，第三十四条明确了仅有法律、行政法规才能成为第十三条第一款第（三）项“法定职责”的职权来源。但是，彭錞对第三十四条作出了不同的理解，他认为该条的表述不应被理解为把“法定”的范围限于法律、行政法规，而是在强调履行法定职责不能沦为处理个人信息的空泛借口，而应是真实的依法履职。因此，《个人信息保护法》第十三条第一款第（三）项和第三十四条中的“法定职责”均应被理解为公开有效不违反上位法的任何法规范授子国家机关的职责。

与此同时，《个人信息保护法》第三十七条将“法律法规授权的具有管理公共事务职能的组织”视同国家机关，在处理信息时适用相同的规则。所谓管理公共事务职能的组织包括基层群众性自治组织、行业组织等，可以在法定授权的范围内实施行政处罚、行政许可以及行政强制。而这类法定授权在生活中不仅限于法律或行政法规授权，还包括地方性法规的授权。而经不完全统计，中国至少有18座城市在地方立法中通过地方性法规授权轨道交通运营单位处罚权。

有趣的是，虽然程啸在法定职责的态度上主张广义的定义，但在对于“法定义务”的解释上却认为并非是指广义上的法律规定的任何义务，而应当做限缩解释，仅指法律、行政法规规定的必须履行的义务，例如《反洗钱法》第三条、《反恐怖主义法》第二十条、《网络安全法》第二十一条、《电子商务法》第二十七条所规定的义务。

但在比较法上，我们也能找到支持广义解释的依据。欧盟GDPR第六条第一款（c）和（e）项将“为遵守一项法定义务所必需”和“为公共利益执行职务或数据控制者受托行使公权力所必需”作为处理个人信息的合法性基础，与中国《个人信息保护法》的第十三条第一款第（三）项类似。而在解释上，欧盟立法者认为“法定”的来源是“欧盟法或数据控制者所属成员国法律”，“成员国可以维持或制定更多具体条款，以适应本规则的适用”。具体至欧盟成员国中，例如英国和爱尔兰都给予了法律渊源较为广泛的解释。英国的数据保护机构ICO认为法定义务包括普通法和成文法的义务，因此并不需要有专门的法律规定，关键在于信息处理的目的是否是为了遵守一个足够明确基础的法律义务。而在法律规定的层级上，ICO认为有法定基础的监管要求也符合法定义务的要求。例如，竞争和市场管理局（CMA）依据2002年《企业法》有权下令补救对市场竞争的损害。如果CMA要求零售能源供应商提供客户数据以遵守CMA的能源市场调查令，则这些供应商可以将CMA的监管命令作为处理个人信息的合法性基础。爱尔兰的数据保护机构DPC也同样认为法定义务的法源是多元化的，法律义务可能基于主要立法（如法案）、次要立法（如法定文书）或某些普通法的要求。

除此之外，邻国日本的《个人信息保护法》第十六、十七条也有“法定义务”（直译为“以法令为依据的情形”）的合法性基础。而在解释何为“法令”时，个人信息保护委员会认为除了“法律”之外，“法令”还包括“政府条例”、根据法律制定的“部令”和地方政府制定的“条例”。而政府机关内部的“指示”和“通知”则不包括在“法律”中。

现实的需求与风险

虽然狭义解释与广义解释在理论上都能找到支持的依据，但在现实的社会运转中，如果赋予“法定义务”和“法定职责”狭窄的范围，可能会遇到以下三个麻烦。

首先，如前文所述，法律法规授权的具有管理公共事务职能的组织也可以依据“法定职责”处理个人信息，而此类组织的法定授权除了法律、行政法规外，还往往包括地方性法规和规章类文件。例如，车辆管理所由《机动车登记规定》《机动车驾驶证申领和使用规定》两部规章授权行使车辆管理的公共职能,其在履职过程中无疑会处理大量个人信息。而随着政务电子化的趋势，车辆管理所的业务办理也转移到了交管12123的App上。而从该App的隐私政策中，我们可以发现车辆管理所在办理机动车驾驶证业务的过程中会收集申请者的个人照片、身份证件类型、证件号码、姓名、联系方式、邮寄地址等个人信息。但是在业务办理的过程中，车辆管理所都没有在收集个人信息前征求过申请者的同意。同时，该App也不会像其他常见App一般在登录注册时通过弹窗或者勾选框的方式取得用户的同意。因此，在该场景下，只能认为车辆管理所和该App依据部门规章设定的“法定职责”来处理个人信息。

“法定职责”与“法定义务”的范围

正文

请到「今天看啥」查看全文