太原煤气化第二焦化厂关停

一是在基层群众自治活动中，由群众作为社会公德的实施主体，将社会公德转化为各种守则、公约，诸如小区文明守则、社区公约、居民公约等等。

当然，我们仍然可以在两者间作出区分：若剥夺给付利益使公民无法达到生存的最低标准，那么这种剥夺行为就影响了宪法上的利益。需明确的是，与处罚措施设定权密切相关的另一种权力是违法行为设定权，即对处罚措施所适用的情景（应受处罚的行为）的设定权。

应当说，处罚措施设定权限随法源文件的位阶高低而变化这一制度安排本身具有实践层面的合理性。[45]参见李晴：论地方性法规处罚种类创设权，《政治与法律》2019年第5期，第123页。例如，宪法授权法律采取剥夺财产权的处罚，那么法律就只能设定剥夺财产权非核心部分的措施，而不能径行规定没收个人全部财产等影响该利益核心部分的措施。但是，若从规范上追问，为什么高位阶的立法就应当有更大权限？这种更大的权限的边界又在哪里？事实上，我国当前《行政处罚法》所采用的模式主要基于立法机关在各领域单行法规定基础上所作的总结，背后的法理基础并不明确。[31]法规范在创设处罚时，可能同时设定该处罚所对应的违法行为，也可能不设定，而以空白构成要件的形式留待下位法设定。

王锡锌、彭錞：个人信息保护法律体系的宪法基础，《清华法学》2021年第3期，第11-15页。尽管有理论主张法人也可以享有部分基本权利，[15]但这目前并无我国宪法规范上的依据。[10]请参见《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》（2020年4月9日公布）。

虽然数据联通、整合和分析能够高效赋能数字政府建设，但无疑也扩大了技术利维坦的侵权风险，加大了控权难度。[24] Pieroth,Schlink. Grundrechte Staatsrecht II. 28. Auflage, C.F. Müller, 2012:Rn. 57, S. 16. [25] Georg Jellinek. System der subjektiven öffentlichen Rechte. 2. Aufl. 1919: S. 87. [26]张翔:《论基本权利的防御权功能》,载《法学家》2005年第2期,第66页。但是，这一例外是可转化的，在职责履行完毕之后，妨碍履职的可能性便不复存在，如证据已经固定，再予告知并不会导致证据的灭失损毁，也不会阻碍后续的司法、执法进程，此时政府应当补充履行告知义务，以起到提示、及时启动救济程序的效果。据学者研究，较多政府巨型数据库的运作并不公开透明，并未受到法律、行政法规或者规章基于保护个人权利的限制和约束。

此外，因为电子凭证的普及，电子化书面告知也具有高效便捷、低成本、易保管等优点。收集是实施其他信息处理活动的前提，在大多数情况下，收集和实施后续信息处理活动的主体是同一的，原则上只在收集个人信息环节履行告知义务即可。

[47]所以，现行个保法规定非常不利于监督行政机关履行告知义务以及信息主体进行权利救济。我们认为，这一安排的本意在于：部分政府机关兼具个人信息处理者和履行个人信息保护职责的部门两种身份，在一般+特别的模式下，政府作为前者违法处理个人信息适用第66、69、71条，而作为后者履职不当将受到第68条的处罚。总体来看，政府机关处理个人信息告知义务制度目前无论在法律规范还是在行政实践层面都存在诸多不足。之所以强调实际处理者，主要基于以下两方面的考量：第一，处理个人信息是负有告知义务的前提。

以下分别阐述： （一）个人信息处理一般规则的公法属性 我国个保法第13条对个人信息处理的一般规则作了明确规定，即只有符合该法所列举的七种情形，方可处理个人信息。若不强化告知义务作为控权工具，仅依赖政府自我约束，公民个人信息权益将很难得到切实保障。[46]《个人信息保护法》第50条第2款规定，个人信息处理者拒绝个人行使权利的请求的，个人可以依法向人民法院提起诉讼。个体出入公共场所也会暴露体态样貌等个人信息，但对此类不涉及信息处理的情形都以规制，既不必要，还将徒增立法、合规的成本和争议。

[49] 概括而言，在数字政府时代，政府机关已经成为极为重要的个人信息处理主体，必须受到法治原则的约束，其处理个人信息的活动同样需要具有明确的正当化依据，应以履行法定职责为必要条件，遵循严格的目的限定要求。还有如第4修正案禁止不合理的搜查和逮捕中包含的隐私权内容。

其中，个人信息的保存期限是个人信息保护立法普遍规定的告知内容，但却较少在政府告知中被提及。可以说，数据安全是数字政府的生命线，个人信息保护是数字经济的底线。

(二)政府机关处理个人信息行为的公法属性 不同于电商、网络社交媒体或手机App运营商等私主体对个人信息的处理，政府机关处理个人信息的活动具有明显的公法属性。另一方面，也只有在告知的基础上，信息主体才能有针对性地行使防御权等权利，例如，行使法律赋予的拒绝权、查询权或删除权等，及时有效防范侵权风险。例如，一网通办、政务秒批秒办、身份证网证等试点措施，有力促进了政府和社会治理的高效化、精准化和智能化，以及便民服务的智慧化。告知方式一般包括树立提示标志、发布公告或者规则等，如个保法第17条第3款就规定了制定个人信息处理规则这一方式，《告知同意指南》附录D也建议在用户端、问询处、柜台、办公室等处提供规则文本以供查阅。[47]参见王锡锌、彭錞:《个人信息保护法律体系的宪法基础》,载《清华法学》2021年第3期。2.信息处理的目的和依据 处理信息的目的和依据包括政府收集、利用信息的目的，以及可以证明政府部门有权处理信息的法律或者事实依据。

[13]这明显不同于私法意思自治原则，以及私法领域的基本行为准则——法无禁止即自由。不过，鉴于书面告知能为行政执法留痕，优势相对更为显著，一方面有利于倒逼政府切实保障个人权利，另一方面也能为政府免责提供证据，因此一般应当采取书面告知的方式。

其次，政府在处理个人信息的行政实践中，由于缺乏明确具体的法律规定以及保护公民个人信息的意识，普遍存在着履行告知义务不规范，或者少告知、不告知等问题。我们认为，对政府机关处理个人信息而言，明确、合理指目的具体、清晰，且与政府机关的职责相匹配。

部分告知方式无法全面展示告知的内容，在特定场景下，只能按轻重缓急有所取舍，而且每一告知的内容也无需详尽周到。我们认为，在政府处理个人信息中，应当保密主要指在涉及国家秘密的情况下，应当遵守保密规定，可以不予告知。

[31] 三、政府机关处理个人信息告知义务的制度建构 正是由于个人信息处理规则本身具有的公法属性，告知义务的公法特征，以及政府机关处理个人信息活动的公法性质，尤其是告知义务具有的宪法价值功能，即告知义务是作为宪法基本权利的个人信息权发挥防御功能的前提条件，同时是制约政府信息权力和预防侵权风险的有效程序工具，我们应当针对政府机关处理个人信息活动的公法特性，在吸纳适用于私主体处理个人信息基本规则的合理成分的基础上，弥补目前粗疏零散的立法缺陷，体系化建构政府机关处理个人信息的告知义务制度。50已经生效实施的个保法虽然在政府机关处理个人信息方面已经作出了一些规定，但对政府机关处理个人信息这一信息行政事实行为的公法特性认识和关注不足，尚未针对政府机关处理个人信息制定有足够针对性的体系化规则，例如，并未针对政府处理个人信息的告知同意的特殊性制定细化规则。如前文所述，告知的时间节点包括处理个人信息前、告知的内容变更时和特殊情况发生后。[32]第二，实际处理者应当既包括狭义的行政机关，也包括法律法规授权的组织和行政机关委托的组织，而非局限于个保法规定的个人信息处理者 [33]。

[48]笔者认为，非常有必要通过法律解释的方法，结合行政诉讼法的规定，认定个保法中的公益诉讼包含了行政公益诉讼，即国家机关不履行法律、行政法规规定的个人信息保护义务致使众多个人权益被侵害的，检察机关可以依据《行政诉讼法》第25条规定提起行政公益诉讼。例如，《电子商务法》只有关于政府机关处理个人信息的准用性规范，即规定其应当遵守法律、行政法规有关个人信息保护的规定。

二、政府机关处理个人信息告知义务的公法理论基础 从理论视角考察，与私人主体处理个人信息不同，政府机关处理个人信息具有鲜明的公法属性，这体现在以下四个方面：个人信息处理规则本身具有的一般禁止、例外许可的公法属性、政府处理个人信息在行为性质上的公法特征、告知义务具有的基本权利防御功能以及告知义务作为制约政府信息权力的程序工具价值。[45] （四）政府机关可以不履行告知义务的例外情形 政府机关处理个人信息一般必须履行告知义务，但是，政府告知义务也存在着例外情形。

[37]《告知同意指南》附录A根据未成年人是否为所提供的产品或服务的主要受众设计了不同的核验方式，具有一定的可操作性，可以参考。[24]其理论基础渊源于耶利内克界定的国家和公民四种关系中的消极地位，即个人具有的消极不受国家干涉的地位。

告知义务是政府机关处理个人信息应履行的前提性核心义务，其既是个人信息自决权的具体表达，也是个人信息受保护权发挥基本权利防御功能的前提，同时还是制约政府信息权力和预防侵权风险的程序工具。[22] 晕影理论被道格拉斯（Justice Dauglas）在其主笔的 Griswold v. Connecticut（1965 年）判决书中，用来推定论证美国宪法上隐私权的成立，即宪法修正案中除了明确列举的明示权利外，尚有边缘性的权利，这些边缘性的权利包含于宪法修正案中所确立的具体基本权利条款中，如第1修正案信仰自由、言论和出版自由中包含结社自由、选择公立或私立或教会学校的自由等。妨碍履行法定职责的风险常见于司法、执法活动中，譬如针对技术侦查等行为，一般不履行告知义务，否则将给个人隐匿、销毁证据提供巨大便利。本文针对政府机关处理个人信息的告知义务，从公法理论基础和具体制度建构两方面进行了较为体系化的探讨，强调了告知义务的宪法价值和控权功能以及告知义务制度的公法建构，希望能为将来制定政府机关处理个人信息的具体规则提供智识参考。

[25]具体而言，基本权利的防御权功能是指公民得要求国家不侵犯基本权利所保障的利益，当国家侵犯该利益时，公民得直接依据基本权利的规定请求停止侵害。[21]虽然从宪法文本上看，我国并未明确规定个人信息权，但是通过对既有条款、概括性权利条款的解释和逻辑推演，也能证成个人信息权系我国宪法基本权利。

[4]告知是告知同意制度的核心组成部分。[42] 必要和目的限制原则强调处理个人信息的边界，即仅能实施达成目的所必需的信息处理行为，不得进行与处理目的无关的个人信息处理，后续利用信息时也不得违背该目的，除非是基于公共利益、科学或者历史研究、统计此三类目的。

相比之下，GDPR的可操作性更强，可资借鉴。若将其排除在告知义务主体外，将不利于信息主体合法权益的保障。