注释: [1]参见秦小建：《精神文明的宪法叙事：规范内涵与宪制结构》，载《中国法学》2018年第4期，第25页。

洛阳市中级人民法院在判决中认定：《种子法》实施后，玉米种子的价格已由市场调节，《河南省农作物种子管理条例》作为法律位阶较低的地方性法规，其与《种子法》相冲突的条款自然无效。[9]在甘肃省人大常委会督促下，甘肃省高级人民法院撤销了酒泉市中级人民法院的判决，认为法院直接对地方性法规的效力加以评判是错误的。

这并不是一个不可解决的麻烦，首先，按照哲学解释学的观点，有理解，理解就有不同，法官对地方性法规及其上位法的认识一定包含价值判断，不可能完全一致。《答复》下发次日，河南省人大常委会通过《河南省实施〈中华人民共和国种子法〉实施办法》，《河南省农作物种子管理条例》同时废止。彭真长期主持我国政法工作，后来又成为全国人大常委会委员长，是我国社会主义法制奠基人，他对人大的定位最有发言权。换言之，如果地方性法规违反法律或者行政法规，法院应当适用法律或者行政法规，有权不予适用地方性法规。这一立场不是第一次出现，早在1993年，最高人民法院在《关于人民法院审理行政案件对地方性法规的规定与法律和行政法规不一致的应当执行法律和行政法规的规定的复函》中指出，《福建省实施〈中华人民共和国渔业法〉办法》的规定与《渔业法》规定不一致，进而一般性地要求，人民法院审理行政案件，对地方性法规的规定与法律和行政法规的规定不一致的，应当执行法律和行政法规的规定。

因为它的上位法太多，包括宪法、法律、行政法规和所在省的地方性法规，只要这些上位法进行了修改或废止或新制定，作为下位法的地方性法规极有可能需要修改或废止。双方争论的焦点问题是：地方法院有无权力审查地方性法规的合法性。[16]根据法治国家的基本原则，政府干涉基本权利需要有法律的授权和正当性基础。

[10]请参见《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》（2020年4月9日公布）。[36]《信息安全技术个人信息告知同意指南（征求意见稿）》第5.1条第d项规定，个人信息控制者从第三方间接接受、查询等方式间接获取个人信息的，需向个人信息主体告知收集、使用个人信息的类型、目的、方式和范围，并征得个人信息主体的明示同意。但政府机关根据法律规定，利用人脸识别等设备收集敏感个人信息或进行监控或身份识别时，仅设立显著标识还不能认为履行了完全的告知义务，还应当通过公布规则的方式，对公共场所监控以及身份识别设备设置的地点及其法律依据、维护公共安全的目的、数据类型和数量、信息收集后的处理方式、存储时间等进行统一说明。然而，第66、69、71条很难适用于政府的违法信息处理行为，第68条作为对政府机关的唯一专门规定，又只规定了内部行政责任和刑事责任，正式实施的个保法虽然较草案增加了个人行使权利遭到拒绝时的起诉权， [46]但对抗政府不履行告知义务最为重要的行政复议和行政诉讼以及国家赔偿制度都付之阙如。

因此，如果存在持续性的信息处理行为，政府应当进行说明，以使信息主体充分了解被处理信息的范围。但不容忽视的是，数字政府系统收集、存储和处理海量的公民个人信息，这些全面、真实、巨量的个人信息一旦遭到泄露或被滥用，不仅威胁个人的人身、财产和信息安全，也可能危害公共安全，甚至危及国家整体安全。

但并未告知法律依据、信息主体权利义务、信息保存时长等重要内容。个保法第6条规定个人信息处理的目的明确、合理原则以及必要和目的限制原则。[14]实施这种一般禁止，例外许可性质的公法上的严格保护的原因又可追溯到历史上各国个人信息保护立法的主要动因，即随着上世纪60年代巨型计算机技术的运用，政府自动化处理个人信息的能力和范围剧增，其建立的巨型数据库能够大规模集中收集和存储和处理个人信息，对公民隐私权造成巨大威胁。此时的告知是对前两种的有力补充。

文章来源：《人权》2022年第3期 进入专题： 个人信息保护 政府机关处理个人信息行为 告知义务理论 。基于该委托关系的个人信息传输，并未超出个人基于原有告知内容产生的预期，因此无需重复告知。[20]由此，在政府处理告知义务制度的建构中也不能照搬适用于私法主体的告知规则，而需在公法框架下进行体系化架构。首先，《宪法》第38条的人格尊严条款可以作为个人信息权的宪法基础，虽然学界对于该条款属于具体基本权利抑或是原则性的权利保护条款还存在争议，但这并不影响我们借鉴美国宪法学中的晕影理论（ Penumbra Theory） [22]从该条款中解释出个人信息受保护权这一新型基本权利，因为一方面人格尊严本身就蕴含着人民享有基本权利的意旨，另一方面人格尊严是宪法基本权利的逻辑起点和价值内涵。

在上述两种情形下，政府机关都是个人信息的实际处理者，均需履行告知义务。第3修正案禁止士兵在和平时期未经房主同意驻扎在其住宅，这包含了隐私权的内容。

[45]参见《个人信息保护法》第28-31条以及《信息安全技术人脸识别数据安全要求（征求意见稿）》第5、6条之规定。[39] 在有特定告知对象的情形下，考虑到对信息主体权益的充分保障，应优先适用逐一告知方式，当该告知方式存在显著困难或者成本过高时，方可使用发布公告等不特定告知方式。

在我国，数据已与土地、劳动力、资本、技术等传统要素并列为五大生产要素，[10]数据要素的高效配置，是推动数字经济发展的关键一环，大数据在社会治理和数字政府建设中发挥了举足轻重的作用。首先，现行法律规范对政府机关处理个人信息的告知义务还未进行体系化的全面规制并突出政府机关处理个人信息的公法特性。[28]而且在大数据和人工智能时代，随着电子政务和数字政府的推广，政府作为最大的个人信息处理者，滥用行政权侵犯公民个人信息权益的风险很大。第二，告知内容因告知方式而异。值得注意的是，尽管个保法显示了政府应主动探知信息主体年龄的立法意向，但此种要求很可能因为难度过大而被虚置。郑子璇，中国人民大学法学院2018级法律硕士。

其中，个人信息的保存期限是个人信息保护立法普遍规定的告知内容，但却较少在政府告知中被提及。[44]考虑到敏感信息被泄露或滥用将带来更大危害，在遵循比例原则和利益衡量原则的基础上，政府应当为敏感个人信息提供更为坚实的保护，并通过区分保护的方式降低行政成本，为收集敏感信息设置更为严格的必要性和目的限制要求，相关告知的内容也应增加处理该类信息的必要性以及对个人权益的影响等内容，并且一般应当获得信息主体的同意。

正如个保法第28条规定，敏感个人信息一旦遭到泄露或者非法使用，将造成人格尊严受损或者人身和财产安全危机，一般认为，应当对一般信息和敏感信息进行区分保护，从而平衡个人权利的保护与个人信息的利用。[13]这明显不同于私法意思自治原则，以及私法领域的基本行为准则——法无禁止即自由。

而理论界对于告知同意规则的反思批判多是由民法学者展开的，主要针对私法主体适用该规则处理个人信息出现的问题，例如该规则的内在缺陷、异化现象、与个人信息社会属性以及大数据经济发展的冲突等。除此之外，为充分保护未成年人，学界已基本达成共识，认为处理未成年人个人信息应当告知其监护人。

在同一目的下，接收个人信息的政府机关相当于原机关的延伸，个人信息并未落入其他主体手中。根据个保法第59条，受托人应协助政府履行告知义务。[24] Pieroth,Schlink. Grundrechte Staatsrecht II. 28. Auflage, C.F. Müller, 2012:Rn. 57, S. 16. [25] Georg Jellinek. System der subjektiven öffentlichen Rechte. 2. Aufl. 1919: S. 87. [26]张翔:《论基本权利的防御权功能》,载《法学家》2005年第2期,第66页。[9]据笔者亲身经历，普查员入户采集个人信息时，并未使用可以进行数据加密保护的电子化采集设备，而是采取填写纸质表格的方式。

与此同时，告知程序也体现了个人参与原则（Individual Participation  Principle） [30]，通过保障信息主体的参与权突出了在大数据时代人的主体性地位和个人自决权。[18]第三，从信息处理行为的性质角度而言，政府机关处理个人信息是一种行政活动方式，可以被视为特殊的行政事实行为，其一般不直接对信息主体的实体权利义务产生影响，且通常从外部基本看不到该事实行为，尤其在运用大数据分析或算法的自动化决策中。

构成例外许可依据的一般是信息主体的同意或法律的授权。[29]政府机关在利用自动化行政程序处理个人信息时，应当遵循上述技术性正当程序，告知相对人信息处理行为并遵守相关算法公开规则。

我们认为，对政府机关处理个人信息而言，明确、合理指目的具体、清晰，且与政府机关的职责相匹配。[6]即个人基于自决的理念有权自主决定在什么时候、在什么限度内，关于他个人生活的事实可以被披露。

[4]告知是告知同意制度的核心组成部分。二、政府机关处理个人信息告知义务的公法理论基础 从理论视角考察，与私人主体处理个人信息不同，政府机关处理个人信息具有鲜明的公法属性，这体现在以下四个方面：个人信息处理规则本身具有的一般禁止、例外许可的公法属性、政府处理个人信息在行为性质上的公法特征、告知义务具有的基本权利防御功能以及告知义务作为制约政府信息权力的程序工具价值。[17] Johannes Masing. Herausforderungen des Datenschutzes. NJW, 2012: S.2305. [18]参见周汉华:《中华人民共和国个人信息保护法(专家建议稿)及立法研究报告》, 法律出版社 2006 年版, 第 66 页。[19]私法主体处理个人信息则是双方基于同意这一合意基础上的民事法律行为。

[17]二者的主要区别如下：首先，处理个人信息的合法基础不同。据学者研究，较多政府巨型数据库的运作并不公开透明，并未受到法律、行政法规或者规章基于保护个人权利的限制和约束。

但如何具体实施还有很多问题需要探讨，囿于篇幅，本文只探讨其中的告知义务问题。因此，非常有必要对信息行政行为进行全方面的法律规制。

[40]但是，公共管理等概念极为宽泛，使得政府各机关部门之间的信息处理隔离机制近乎失效。作者简介：喻文光，法学博士，中国人民大学法学院副教授，未来法治研究院研究员。