政府数字权力监督反思与体系建构／高 瑞

　　在数据利用阶段，政府可能会利用数据的加工分析提升行政执法效能，使得行政决策更加精准、科学。但是，在对数据的利用过程中，行政机关也可能会出现违反《个人信息保护法》第6条规定的“目的限制原则”的行为，将原本基于A目的收集的信息用于B目的。［5］违反“目的限制原则”的行政行为不仅直接损害了公民的个人信息权益，而且可能会对公民的其他权益造成侵害。例如，在新冠疫情防控过程中，健康码、场所码等“码治理”的方式在提升行政管理效率、有效防控疫情风险中发挥了重要作用，但一些地方试图将用于疫情防控的“码治理”扩展运用到常态化、全方位的社会监管中，从而使公民在其他场域的权益受到影响。

　　（四）数字权力中“政府失灵”现象的成因

　　数字权力运用中的“政府失灵”现象是多重因素叠加造成的，其中规则体系缺失、政府处理个人信息缺乏具体的指引是主因之一。我国在数据立法中，对私人机构和公权力机关处理个人信息等数据的行为采取一体调整的模式，只在法律文本中用寥寥几款条文对于国家机关处理数据做出特别的规定，对于这些条文之外未规定的事项，则适用私人机构处理个人信息的规定。但是，国家机关与私人机构之间存在着本质的不同，适用于私人机构的个人信息处理规定并不完全适配国家机关。例如，私人机构收集的个人信息，既关乎信息主体的个人权益，也关联私人机构的商业利益。一般而言，私人机构非必要时，不会主动公开其收集的个人信息，即使在必要时，也会依据《个人信息保护法》第25条的规定，在取得个人同意的前提下公开。但是，国家机关服务于公共利益，应当主动公开其履职情况，以便保证公民的知情权和对政府的监督权。因此，依据《中华人民共和国政府信息公开条例》的规定，政府收集和处理的个人信息应以公开为原则、以不公开为例外，只有涉及隐私的个人信息，在未取得当事人同意时，行政机关不得公开。但是，个人不同意并非不公开的绝对理由，若行政机关认为不公开会对公共利益造成重大影响，也应当予以公开。由此可见，在处理个人信息时，国家机关与私人机构之间存在本质区别，《个人信息保护法》的很多规定无法直接适用于国家机关。《个人信息保护法》第33条“国家机关处理个人信息的活动，适用本法”的规定，具有很强的“象征性立法”色彩。

　　另外一个重要原因是政府在运用数字技术进行社会治理时，也延伸出了保护个人信息、数据安全等行政义务，但行政机关未能投入相应的资