首页 > 期刊文章 >

论我国行政法律中“信息类概念”的整合
2025-04-23 来源：谭波

摘要：作为网络社会和“大数据时代”的制度元概念，“信息”成为当下行政法律中聚合类型化概念的重要基点，同时也形成了与其他同类型概念之间的交叉。政府信息公开法制与保密法制的对合性设计，又进一步造就了这种概念交叉的复杂性。对概念交叉类型化的总结，是对“信息类概念”理论地位与实践模型准确定位的基础。“个人信息”是“信息类概念”产生的原点，尤其是表现在“个人信息”与“政府信息”的关联。而政府信息公开与保密在法制上的关联，又成为“信息类概念”衍生的基点。面对“信息类概念”与“秘密类概念”的多重并用模式的共存现状，应从目的导向实现“信息类概念”与“秘密类概念”的均衡使用，在逻辑层面实现对“信息类概念”内部的概念整合，以“个人私密信息”作为概念整合的中心进行概念体系再造。

关键词：个人信息；政府信息；个人隐私；个人私密信息

中图分类号：D922.1 文献标识码：A

文章编号：1005-3492（2025）01-0124-14

引言

随着网络社会和“大数据时代”的深入，作为制度元概念和法律关系载体的“信息”在立法的表现中愈发明显。从立法的直观表征来看，2019年《政府信息公开条例》修改，2021年《数据安全法》《个人信息保护法》均得以通过。2020年6月全国人大常委会法工委所作的《关于〈中华人民共和国数据安全法（草案）〉的说明》，不仅提到了“数据”的定义（任何以电子或者非电子形式对信息的记录），而且专门提到该法并与《网络安全法》、当时正在制定的“个人信息保护法”等法律的衔接。2020年10月全国人大常委会法工委所做的《关于〈中华人民共和国个人信息保护法（草案）〉的说明》，在“法法衔接”问题上又提到了“个人信息数据是大数据的核心和基础”，“在保障个人信息权益的基础上，促进信息数据依法合理有效利用”。信息、数据、信息数据、个人信息数据等多级概念的出现及其与“个人隐私”“工作秘密”等“准信息类概念”间的关系处理，无疑对当下的中国行政法学发展又提出新问题。一方面，新概念的创设成为学科发展的契机和研究的“增长点”，但概念不受限制的无序增生，对学科的发展也并不都是积极影响。另一方面，如何整合已有概念及科学创设新生概念，进而打通诸多行政法律中多“元”之间的关系，都成为中国法学科学发展无法回避的疑难。而对“信息类概念”的整合恰好是处在部门行政法向领域法转型的关键期，对其与相关概念群的关系辨析、整合与梳理，正是我国领域法学得以发展的动力。

一

我国行政法律中“信息类概念”的缘起

（一）“个人信息”的概念兴起

“个人信息”概念其实并不是最早出现于《个人信息保护法》中，该法只不过起到了对“个人信息”进行概念强调与保障强化的作用。最典型的“反例”就是2009年修订的《统计法》第九条之规定，“统计机构和统计人员对在统计工作中知悉的国家秘密、商业秘密和个人信息，应当予以保密”。此时，“个人信息”在统计行政法律关系中被作为保密客体。该条文也恰好回应了《个人信息保护法》第七十二条的规定，即“法律对各级人民政府及其有关部门组织实施的统计、档案管理活动中的个人信息处理有规定的，适用其规定”。在《个人信息保护法》出台之前，2017年施行的《网络安全法》和2019年施行的《电子商务法》都从民事领域和行政领域明确了“个人信息保护”的精神。《网络安全法》第四十四条其实也将以非法方式获取或向他人非法提供的禁行义务主体扩展到了“任何组织”，《网络安全法》第四十五条对相应行政主体的规定则更加明确，即“依法负有网络安全监督管理职责的部门”，而《电子商务法》则是在“法律责任”部分规定了“依法负有电子商务监督管理职责的部门的工作人员”“泄漏、出售或者非法向他人提供在履行职责中所知悉的个人信息”时所应承担的法律责任，但没有明确是“个人行为”还是“机关行为”。

在现行有效的305部法律之中，对429处“个人信息”的使用，不仅有行政法场合的“个人信息”用法，还有大量民商法领域有关“个人信息”的规定，《民法典》与《公司法》的相关规定是后者的典型。尤其是《民法典》已经通过“人格权编”专章“隐私权和个人信息保护”对“隐私权”与“个人信息”的关系做了规定。《民法典》第一千零三十四条第三款从法律层面尽量厘清两者的关系，“个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定”。但也有学者对此条规定的司法适用提出质疑，认为该条款可能导致“私密性的司法认定实践难以令人满意，且令人担忧”。

在“个人信息”的概念界定上，《网络安全法》和作为基本法律的《民法典》也早于《个人信息保护法》。《网络安全法》第七十六条第五项规定，“个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”2021年1月开始施行的《民法典》第一千零三十四条第二款的规定沿袭了《网络安全法》对“个人信息”的界定，强调“特定自然人”，同时增加了对“个人信息”的列举种类，如“电子邮箱、健康信息、行踪信息等”。《个人信息保护法》的制定首先与《民法典》一样，首先都是“根据宪法”，其次在部门法归类上其与《网络安全法》《数据安全法》都被归入“经济（行政）法”的范畴，其对“个人信息”的界定“是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息”。《个人信息保护法》对“个人信息”的定义，相比《网络安全法》《民法典》增加了排除情形（否定列举），但《民法典》的肯定列举对《个人信息保护法》也完全适用。2020年10月全国人大常委会法工委所做的《关于〈中华人民共和国个人信息保护法（草案）〉的说明》也谈到了该法与《民法典》的衔接。“个人信息”也成为跨越公法与私法领域的重要“客体”或“对象”概念。

不仅如此，《刑法》第二百五十三条也规定了“侵犯公民个人信息罪”，但其前提是“违法国家有关规定”，这里的“国家有关规定”，就包括《居民身份证法》《护照法》等法律。2004年的《居民身份证法》在2011年修正时还配合了《刑法修正案（七）》增加了相应的条款，与后者在当时的主体表述上保持了高度一致，补齐了对行政犯在不构成犯罪时的责任科处。还有一些“国家有关规定”并没有直接使用“个人信息”，或者只是使用了“个人隐私”的概念，如《商业银行法》《反洗钱法》，亟须在概念上实现整合。而从世界范围内看，各国的个人信息保护法都以公平信息实践原则为基础，同时包含公法制度与私法制度，这与以侵权法为基础的隐私权保护形成显著区别。

（二）“政府信息”概念的界定

同样作为“信息类概念”的子集，“政府信息”概念与“个人信息”存在天然联系。2007年《政府信息公开条例》出台，当时对“政府信息”的界定是“行政机关在履行职责过程中制作或者获取的，以一定形式记录、保存的信息”。政府收集或获取的信息，很大程度上源于“个人信息”。这里就存在“个人信息”向“政府信息”转化的问题。在《个人信息保护法》之前，对“个人信息的收集”可见于2011年施行的《社会保险法》第九十二条的法律责任规定之中，该法第八十一条使用的是“个人的信息”。《社会保险法》中的社会保险行政部门和其他有关行政部门获取的信息其实就是“政府信息”的部门法体现。《社会保险法》第七十四条第二款和同条第三款都明确规定了“社会保险经办机构”的“记录”“保管”等职责，而《社会保险法》第七十四条第一款则规定了“社会保险经办机构”“获取”“数据”的职权。2019年《政府信息公开条例》修改，将“政府信息”的制作或获取范围修改为“履行行政管理职能过程中”，其对“政府信息”的界定更为科学精准。这就等于说对“政府信息”的外延框定加上了“主体”和“时段”两个限制维度。

实际上，如果从“主体”维度来看，不仅政府有权收集“个人信息”，其他一些民商事领域的经营者也有收集“个人信息”的渠道，而这种“收集”行为也要受到规制。2013年修正的《消费者权益保护法》的第十四条、第二十九条以及第五十条和第五十六条的法律责任规定之中，也都有“个人信息”的表述。但《社会保险法》主要表述重点在于特定主体在保密方面的“不作为（不泄漏）”义务，相比《消费者权益保护法》而言，《社会保险法》的相关规定的意义在于，其显示出公法领域的个人信息收集与私法领域的个人信息收集一样，都应受到特别关注。《社会保险法》第八十一条和第九十二条的主语都包括了“社会保险行政部门和其他有关行政部门、社会保险经办机构、社会保险费征收机构”。政府部门与经营者在收集个人信息的主体定位上都属于“个人信息处理者”。这就为《个人信息保护法》创制这一概念提供了制度基础。《关于〈中华人民共和国个人信息保护法（草案）〉的说明》提到的加强个人信息保护法制保障的具体表现就是，《个人信息保护法》要“细化、充实个人信息保护制度规则”。对“个人信息的处理”之界定就显得非常必要。政府是典型的“个人信息处理者”。《个人信息保护法》在其附则中对政府处理个人信息有关的规定非常典型，“个人信息处理者”是“在个人信息处理活动中自主决定处理目的、处理方式的组织”，而所谓的“个人信息处理”包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。

与“政府信息”制度相对应，《消费者权益保护法》也在《个人信息保护法》出台之前对个人信息的处理规定进入到较为系统的表述层面，比如“收集”“使用”等表述。而这些表述实际上也成为后来《民法典》《个人信息保护法》对个人信息处理相关规定的立法溯源。但不可否认的是，正是政府部门收集个人信息与经营者等私法主体收集个人信息的制度合流，带来了制度的升级与价值再选，正如有学者所言，相比消费者权益保护法和劳动法，个人信息保护法呈现出更多的公法因素。而“政府信息”作为原生概念保持其独立性，但内涵界定也在这一过程中得到不断科学化。

（三）“个人信息”与“政府信息”的关联

一方面，“个人信息”与“政府信息”在制度转化和保障上存在关联。如前所述，“政府信息”不仅可能是“个人信息”经由政府收集行为的转化形态，而且与特殊的“个人信息”之间存在外延上的互斥关系。相比“政府信息”，《个人信息保护法》对“个人信息”的界定，强调信息的已识别性和可识别性，同时排除了“匿名化处理后的信息”。“匿名化处理后的信息”不再是个人信息，但可以是“政府信息”，存在被公开的必要性与可能性。《民法典》第一千零三十六条所规定的“处理个人信息的免责事由”中也专门明确了“为维护公共利益”而“合理实施的其他行为”。但在法律规定的目的实现后，相关机构和个人也不得继续处理该个人信息，需要及时删除该个人信息，或对个人信息进行匿名化处理。而匿名化处理实际上也是保证“个人信息”不再“私密化”的重要手段。而“删除”作为《个人信息保护法》专门提到的“手段”，也是为实现维护公共利益需要而合理实施公开个人信息之后的平衡制度补救，除非不能“删除”而通过“匿名化”实现同样目的。

另一方面，“个人信息”与“政府信息”在处理方式上也存在关联。这种关联造就了各类规范在内容上的关联。如《个人信息保护法》第二章“个人信息处理规则”第三节也专门规定了“国家机关处理个人信息的特别规定”。与之相对应的是，在政府信息公开的规范视角内，2007年的《政府信息公开条例》一方面将“个人隐私”排除在外，另一方面也为了实现利益与价值平衡存有制度但书，即“经权利人同意公开或者行政机关认为不公开可能对公共利益造成重大影响的涉及商业秘密、个人隐私的政府信息，可以予以公开”。从行为实质来看，在“公开”这一环节上，政府对个人信息的处理与“政府信息公开”相竞合，而对前文提出的“政府在履行行政管理职能过程中”“制作或者获取”“信息”，又与这里的“个人信息”的“加工”“收集”等行为环节存在重合。

由此可以看出，一方面，在“信息”等概念引领下，“个人信息”“政府信息”等概念的关系逐渐明朗，另一方面，“个人信息的处理”“个人信息处理者”等衍生概念也各就其位，且外延逐渐丰富。由于界定视角不同，概念与概念之间的关系逐渐多元。“个人信息”的界定视角是“信息”的依附主体或原生主体，而“政府信息”的界定视角则是“信息”的“后期获取主体”或“个人信息”的再加工主体。这种关系格局类似于作品经改编后产生的著作权，但不同之处在于“政府信息”具有更强的公共属性，必要时需要依申请公开或主动公开。

在主体转化和客体形式叠加的双重作用下，网络社会和“大数据时代”的这种规则激变成为不可避免的趋势。在此基础上，公法与私法的进一步融合也势在必行，新生的概念（如个人信息、数据等）又与传统的私法概念（如个人隐私等）之间的关系得以凸显。从个人信息的流转加速，到个人隐私经由个人信息的概念扩容，再到个人信息集中化造就的“数据权利待定”，“个人私密信息”“个人信息数据”等三级概念也被不可避免地创设出来，这些概念在公法私法方面的专属性已不是非常明显，而因其产生的政府行为与市场行为的共性却在不断显现。这也契合当前个人信息保护过程中多元共治局面的逐渐成形。从“个人隐私”到“个人信息”的转型与扩容，也要求概念创设必须回应时代维权场景，“个人私密信息”的中观性在克服“个人隐私”微观性的同时，也要对“个人信息”的宏观性进行取舍，从而造就更为适中的权益保障范围，而“个人信息数据”的衍生过程，则彰显信息海量化过程中的新型法律关系客体保障的制度需求。

二

政府信息公开与保密：“信息类概念”衍生的基点

（一）政府信息公开法制与保密法制的对合性设计

在政府信息公开法制之前，保密法的制度需求似乎更为旺盛。1987年《档案法》出台，其第十四条和第十六条都规定了“（应当）保密（的）档案”，第十四条还规定了保密档案的管理和利用必须按照国家有关保密的法律和行政法规的规定办理。1988年《保守国家秘密法》（以下简称《保密法》）出台，及时填补了这一制度空缺，但其不涉及信息公开的规定。2010年《保密法》被修订，其第四条第二款规定，“法律、行政法规规定公开的事项，应当依法公开”。同时第十五条和第十九条都规定了“公开”与“解密”的关系，“机关、单位对在决定和处理有关事项工作过程中确定需要保密的事项，根据工作需要决定公开的，正式公布时即视为解密”。“对在保密期限内因保密事项范围调整不再作为国家秘密事项，或者公开后不会损害国家安全和利益，不需要继续保密的，应当及时解密”。这一规定在2024年《保密法》修改时并没有再发生变化。可以看出，2007年《政府信息公开条例》的出台，对2010年《保密法》的修订产生了影响，立法者开始在公开与保密之间寻求制度设计上的平衡。“秘密类概念”开始经由“政府信息公开制度”与“（政府）信息类概念”产生联系。2017年的《国家情报法》也明确了“国家情报工作坚持公开工作与秘密工作相结合”的原则，以明确情报类信息收集工作的过程公开与过程秘密间的平衡，这与政府信息公开的结果公开和国家保密工作的结果秘密相辅相成。

“国家秘密”是“关系国家安全和利益，依照法定程序确定，在一定时间内只限一定范围的人员知悉的事项”。但就公域中的“秘密”而言，是否就应定位为“事项”，值得反思。“事项”属于表象而“信息”属于实质。从表现形态判断，“国家秘密”很多场景和层面上仍然属于“信息”。在2010年修订的《保密法》第四条“基本原则”的规定中，就有“确保国家秘密安全，又便利信息资源合理利用”的表述，足以说明“国家秘密”的“信息资源”属性。《保密法》第三十四条规定，“发现利用互联网及其他公共信息网络发布的信息涉嫌泄露国家秘密的，应当立即停止传输该信息”，“应当根据保密行政管理部门或者公安机关、国家安全机关的要求，删除涉及泄露国家秘密的信息”，也表明部分“国家秘密”可被包含于“信息”之中。就保密审查机制而言，《保密法》与《政府信息公开条例》都有相应规定。《保密法》第三十五条规定，“机关、单位应当依法对拟公开的信息进行保密审查，遵守国家保密规定”。《政府信息公开条例》第十七条第二款则规定，“行政机关应当依照《保密法》以及其他法律、法规和国家有关规定对拟公开的政府信息进行审查”。这两条对应性的规定将国家秘密背后的“信息”载体属性再次释明。

“信息”或“秘密”的公开与否，其实就是政府信息公开法制与保密法制之间的制度设计初衷与平衡基点。但在“个人信息”“政府信息”“国家秘密”的“概念海拔”不断提升过程中，还有一些明显的过渡地带或缓冲区，比如，2024年的《保密法》第六十四条规定了“工作秘密”，即机关、单位对履行职能过程中产生或者获取的不属于国家秘密但泄露后会造成一定不利影响的事项，要适用工作秘密管理办法采取必要的保护措施。“国家秘密”与“工作秘密”的最终落脚点都是“事项”。关于“工作秘密”的列示，其实在2019年修订的《政府信息公开条例》第十六条有明确规定，“行政机关的内部事务信息，包括人事管理、后勤管理、内部工作流程等方面的信息”“行政机关在履行行政管理职能过程中形成的讨论记录、过程稿、磋商信函、请示报告等过程性信息以及行政执法案卷信息”，但其使用的都是“可以不予公开”，而“法律、法规、规章规定上述信息应当公开的，从其规定”。这说明“工作秘密”本身的确定与“国家秘密”一样具有法定性，同时其也应在公开过程中遵守特定规范的要求。“国家秘密”的“海拔”降低，其结果未必就是“公开”，这之前还要经过“审查”程序和“工作秘密”等“低海拔秘密类概念”的排除。另一方面，“政府信息公开”也不是制度的末端，在2021年的《数据安全法》之中，“政务数据开放”又被提出，但“政府信息公开与数据开放并非简单的迭代升级、并列关系或替代关系”，两者“既相互交叉融合，又同步并行发展”，“数据是信息的底层，它不仅是信息的载体，更是信息的基石”。由此可见，伴随着“保密”与“公开”“开放”等多种制度张力的显现，“信息类概念”与“秘密类概念”都需要进一步的内涵与外延分层。

（二）“信息类概念”表述模式的类型化分析

概念集群内部的条分缕析固然重要，但概念集群之间的关系也亟待理清。“秘密类概念”与“信息类概念”间的关系应如何确定，是否在概念并列过程中存在不必要的重复列举？从国家秘密、工作秘密、商业秘密、个人隐私、个人信息的概念选择谱系中，我们可看到“多项选择”式的并用之间可能存在的矛盾。两类概念使用的共性之处在于，都是为了“信息”的“保护”或“秘密”的“保守”，在“秘密”实质大都亦为“信息”的前提下，“保护”与“保守”的制度用意也就存在趋同。在这种语境下，“保密”其实可以成为统摄“信息类概念”和“秘密类概念”的制度起因。在现行有效的305部法律中，“信息类概念”内部以及“信息类概念”与“秘密类概念”一并出现的场合有以下几种。

第一种情形是“两概念并列式”。这种模式其实也是传统的“从私权益着眼开展人格（权）保护”理念的产物，具体有三种组合，其最典型的表现就是“隐私权+个人信息”的表述。但也有学者从刑法的视角将两概念进行分层，认为“隐私权”和“个人信息”分别代表“客体”和“对象”。“隐私权+个人信息”模式的重点在于，一般不涉及国家利益或社会公共利益，只是对私人人格权益的特别保护，在民法或有关特殊群体保护的社会法中表现相对明显。对于特殊主体尤其是儿童隐私权的强化保护要求，决定了这里隐私权的使用有其特殊制度意图，不同于一般意义上的个人信息，在特殊权力运行程序（如司法审判等）中通常得到重点关注，国外将其称之为“儿童友好型”司法，其中就潜含对隐私权和其他一些个人信息的特别保护。当然，这也是行政执法应该关注的方向。

在我国的制度表现上，2020年修订的《未成年人保护法》第四条第三项规定，“处理涉及未成年人事项”，应当符合“保护未成年人隐私权和个人信息”要求。2022年修订的《妇女权益保障法》第二十四条第三款规定，“对遭受性侵害、性骚扰的女学生，学校、公安机关、教育行政部门等相关单位和人员应当保护其隐私和个人信息，并提供必要的保护措施”，但该法第二十八条又使用了“隐私权”和“个人信息”并列的模式，“妇女的姓名权、肖像权、名誉权、荣誉权、隐私权和个人信息等人格权益受法律保护”。社会法的修改及其“权益”概念表述，实际上是受到了《民法典》第四编第六章“隐私权和个人信息保护”内容的影响。

在“两概念并列式”中，还有些法律使用的是“商业秘密+个人信息”的表述。2013年出台的《旅游法》第八十六条第二款规定，“监督检查人员对在监督检查中知悉的被检查单位的商业秘密和个人信息应当依法保密”。在“公布”与“泄漏”的问题上，2009年修订的《统计法》第三十九条第一款第二项除了将“商业秘密”和“个人信息”的泄漏至于同列以外，还单独规定了“能够识别或者推断单个统计调查对象身份的资料”，这实际上是对其他可识别性“个人信息”的前期表述，唯一可对此合理解释的是当时“个人信息”未成统一法律概念。另外，“商业秘密+个人隐私”模式出现在《密码法》《人民调解法》中，但其规律性表征并不明显。

第二种情形是“三概念并列式”，即“商业秘密+（个人）隐私+个人信息”并行的模式。这种情形其实与前述“两概念并列式”反映的实质问题相同。2022年修正的《反垄断法》第四十九条规定，“反垄断执法机构及其工作人员对执法过程中知悉的商业秘密、个人隐私和个人信息依法负有保密义务”。2023年修订的《海洋环境保护法》第二十九条第二款规定，“检查者应当依法为被检查者保守商业秘密、个人隐私和个人信息”。2024年修订的《国境卫生检疫法》第六条第二款规定，“海关履行国境卫生检疫职责，应当依法保护商业秘密、个人隐私和个人信息”。对于上述三部法律中的行政法律关系都强调了“个人隐私”与“个人信息”作为独立的“客体”或“对象”存在。即使如此，这种“三概念并列式”的用法也还有特殊的表述形式与排序。比如，《网络安全法》第四十五条规定，“依法负有网络安全监督管理职责的部门及其工作人员，必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密”。

由此可见，《民法典》使用“隐私权+个人信息”的并列模式，并没有“带动”经济法或行政法领域中的所有相关表述都保持一致。公法中的权益保护表述，集体选择了不完全同于私法中受保护权益表述的态度。作为“信息类概念”，“个人隐私+个人信息”的并用，是否与作为基本法律的《民法典》第一千零三十四条第三款的规定有抵牾？《民法典》设定的私法义务对公权力主体来说能否完全被移植或通用？在行政法律关系中是否使用“（个人）隐私”比“隐私权”更合适？而“（个人）隐私”与“个人信息”的并列，是否表明这种保护或保密义务覆盖需要更为全面？

为实现对上述问题的相对准确回答，我们有必要对照更多立法中的表述。不难发现的是，更多的法律则选择概念单用，这与前述“两概念并列式”的单用情形类似，比如2018年施行的《核安全法》，其出台于《民法总则》通过的2017年3月之后，使用了“国家秘密+商业秘密+个人信息”的并列组合，没有提及“隐私（权）”的问题。但在《民法典》《个人信息保护法》出台之前或者之后，也有大量的法律选择不使用“个人信息”的概念，如《行政许可法》《银行业监督管理法》《公证法》《反洗钱法》《劳动争议调解仲裁法》《反有组织犯罪法》《香港特别行政区维护国家安全法》，只有“国家秘密+商业秘密+个人隐私”的表述。比如《行政许可法》第五条第二款规定，“行政许可的实施和结果，除涉及国家秘密、商业秘密或者个人隐私的外，应当公开”。这种现象的出现，则说明目前就“个人隐私”保护与“个人信息”保护的立法选择而言，依其与“国家安全”的对应抑或行政权、司法权日常行使的需求，各就其位，但也不排除有些立法在《个人信息保护法》或《民法典》出台之前，还未及依循新法作出相应的调整。

第三种情形是“四概念并行式”，这主要指“国家秘密+商业秘密+个人隐私+个人信息”一同出现。如2020年10月通过的《出口管制法》第二十九条第三款，“有关国家机关及其工作人员对调查中知悉的国家秘密、商业秘密、个人隐私和个人信息依法负有保密义务”。2022年9月通过的《反电信网络诈骗法》第五条第二款规定，“有关部门和单位、个人应当对在反电信网络诈骗工作过程中知悉的国家秘密、商业秘密和个人隐私、个人信息予以保密”。这种模式在商事法律关系中也存在，即2023年修订的《公司法》第五十七条第四款规定，“股东及其委托的会计师事务所、律师事务所等中介机构查阅、复制有关材料，应当遵守有关保护国家秘密、商业秘密、个人隐私、个人信息等法律、行政法规的规定”。另外，还有一种特殊情况，就是2021年通过的《数据安全法》第三十八条的规定，“个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密”，将“保密商务信息”单列。这种不同于“三概念并列式”的表述，基本都是在2021年《个人信息保护法》通过前后。《公司法》虽属商法领域，但就规定而言，带有商法主体遵循公法相关规定的意味，属于私主体在掌握公权力前提下的公义务。

第四种情形是“五概念并列式”，即“国家秘密+工作秘密+商业秘密+个人隐私+个人信息”并行的模式。2023年修订后的《反间谍法》第十一条第二款规定，“对属于国家秘密、工作秘密、商业秘密和个人隐私、个人信息的，应当保密。”但在2014年的《反间谍法》第十七条第二款中只有“国家秘密、商业秘密和个人隐私”的规定。相同的规定模式还可见于《审计法》第十六条，《审计法》还突破了单一的保密行政法律关系之要求，从通报、公布审计结果的角度也对五类对象做了同样的规定，“审计机关通报或者公布审计结果，应当保守国家秘密、工作秘密、商业秘密、个人隐私和个人信息，遵守法律、行政法规和国务院的有关规定”。上述两条文的法律责任同样可见于《审计法》第五十七条。但2006年的《审计法》只是规定了“国家秘密”“商业秘密”的保守义务。2024年9月《统计法》修正后第十一条的表述，也是比2009年《统计法》第九条的规定增加了“工作秘密”和“个人隐私”，变成“五概念并列式”的表述。这种全序列式的规定，多见于保密式或监督式的法律条文规定，不管是《反间谍法》中涉及国家政治安全的保密，还是审计监督或统计监督中的权力滥用禁止，都是对监督部门在权力行使过程中掌握的“各类信息”秘密性的保守，实际都属于全方位保密的视角。

总体来看，“五概念并列式”与“四概念并列式”这种多元概念并行的规定，其实都是着眼于公权力行使中保密法制的要求，存在可以统一的空间，但也可以从保密强度具体分析，比如到底是基于监督获取的“信息”，还是在日常行政过程中获取的“信息”，这可能也是造成保密客体表述宽度的原因，但从长远的角度来看，更应实现“保密要求”的精准化，对国家安全、监督权控制、行政权行使这种不同层面的价值或目标进行排序，同时对应不同的表述模式，更为适宜。而对比“两概念并列式”与“三概念并列式”中的不同表现，会发现对于“保密法制”的要求，其实也在从“社会（保障）行政”到普通行政和“经济行政”再到“高度侵益行政”和“涉国家安全行政”权力行使的过渡，随着权力行使强度的提升和国家秘密、工作秘密的相继融入，“保密”就从对个人信息权益或人格权益的保护升级到了私主体“信息”的全面保护，甚至再到公域“秘密”的保守，权力行使深度不断提升的前提下，带来的必然是“信息”得到全面保护或“秘密”保守的全方位义务或职责。而在“政府信息公开”“政务数据开放”的背景下，这种保护或保守又必然要寻求新的平衡，于是，精细化处理就成为目前不同领域公权力行使必然要面对的制度要求。

三

概念整合：“信息类概念”与“秘密类概念”的内外衔接

无论在上述哪一种模式中，我们都不难发现，“信息类概念”与“秘密类概念”大体处于一种并行适用的状态，虽然广义的“信息类概念”很大程度上可以涵盖“秘密类概念”，但两者产生的制度角度与需求的差异，导致了两种概念都有各自存在的必要。但目前的“双线”甚至“多线”概念运行还是导致了不同法律在表述上的“众说纷纭”，容易造成法律具体适用过程中的混乱。

（一）目的导向：“秘密类概念”与“信息类概念”的均衡使用

如前所述，“秘密”很大程度上表现为“信息”，如果关乎国家政治安全和监督类权力的行使，则应最大限度地拓展“秘密类概念”与“信息类概念”的并列使用范围，保障与国家安全有关的相关信息在最大可能上不失密，或对监督类权力的行使装上更紧实的制度“笼子”。这一点不管是对“国家秘密”还是“工作秘密”这类公域秘密，还是“商业秘密”这种在私域中备受重视的秘密，概莫能外。从这个角度讲，“秘密类概念”（国家秘密、工作秘密、商业秘密）和“信息类概念”（个人隐私、个人信息）都具有对世性，尤其是对于维护总体国家安全和控制相应公权力的滥用至为关键。而在具体的部门行政领域，则需依权力行使的强度来决定概念的搭配，进而实现“N概念并列式”的精准选择。有些社会行政领域的权力本身不具有侵益性，或不至于接触到相应的国家秘密或工作秘密，则不应全面列举，更应直接强调对“商业秘密、个人隐私或个人信息”的保护。不容易确定概念使用原则的领域主要在于授益行政权与高度侵益行政权或国家安全行政权行使强度区间中的一般行政权力，需要做的是根据领域特点来决定“N概念并列”的模式甚至是对具体概念的改造使用。

从“秘密类概念”内部观察，在“国家秘密”这一概念之下，“工作秘密”在涵摄度上紧随其后，但“工作秘密”产生的环境一般在“国家机关和涉及国家秘密的单位”。也即，“工作秘密”的保守义务主体也主要是公权力主体及其公职人员。相比《国家情报法》中的“情报”概念而言，“工作秘密”受主体范围所限，外延相对狭窄。根据《最高人民法院关于审理为境外窃取、刺探、收买、非法提供国家秘密、情报案件具体应用法律若干问题的解释》（法释〔2001〕4号）的规定，刑法中相应罪名中的“情报”，“是指关系国家安全和利益、尚未公开或者依照有关规定不应公开的事项”。但“情报”也在“国家秘密”之外，《国家情报法》使用了“与国家情报工作有关的国家秘密”“国家情报工作秘密”概念，同时也要求国家情报工作机构对“国家秘密+商业秘密+个人信息”有保密义务。“情报”与“工作秘密”都不属于可以公开的事项，必要时可选择“国家秘密+情报+商业秘密+…”模式来适当替代“国家秘密+工作秘密+商业秘密+…”模式，同时回应《刑法》第一百一十一条“为境外窃取、刺探、收买、非法提供国家秘密、情报罪”的规定。而从私域的秘密类概念来看，商业秘密其实可被视为是一种“保密商业信息”，具体包括“保密技术信息”“保密经营信息”等子项。如《数据安全法》中列示的“保密商务信息”，应属于广义“商业秘密”的一种，不应与“商业秘密”再并列。而为实现列示的准确性，可考虑将“商业秘密”细化为“保密技术信息”与“保密经营信息（或保密商务信息）”，以期与“信息类概念”衔接。

对于“信息类概念”来说，也需结合“秘密类概念”做好综合的序位排列，“政府信息”对“国家秘密信息”来说是上位概念，其与“个人信息”“商业信息”等信息类二级概念相对应，而“国家秘密信息”与“个人私密信息”“保密商业信息”等三级概念相对应。依此，也可将“（个人）信息（数据）类概念”的各级概念予以分级，通过不断地确定固化定语来保证整个概念体系的对应性与唯一性。这其实就是为实现我国《个人信息保护法》中的“保护个人信息权益与促进个人信息的合理利用为目标”，同时也与《保密法》中的“既确保国家秘密安全”“又便利信息资源合理利用”相呼应。

（二）逻辑理清：“信息类概念”内部的概念整合

相比侧重公域的“秘密类概念”，侧重于私域的“信息类概念”的内部混淆近些年逐渐明显，尤其是“个人信息”在立法中得以普及之后。对于“个人隐私”“隐私”“隐私权”等各种不同概念表述，其实可实现同一表达。《民法典》第一千零三十二条将“隐私权”和“隐私”规定为同一条，即“隐私权的客体是隐私”。《民法典》对“隐私”的界定，其实涉及两大类四小种，即“自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息”。私密活动是动态的隐私，但若其以静态的形式体现出来，就变成了私密信息。比如某人的通信行为为私密活动，但通信记录则为私密信息。“隐私”与“个人信息”的交叉之处在于“私密信息”。所以，才有了《民法典》第一千零三十四条第三款有关“个人信息中的私密信息”的特别规定，因此，完全可在私法领域将“个人信息”分为“个人私密信息”“其他个人信息”。而且，私密活动和私密信息的区分，与宪法所说的“通信秘密”又有一定联系。“通信自由”与“通信秘密”都属宪法“通信权”的表现，在宪法层面体现国家对公民个人隐私权的保护。这说明，在公域和私域均言及“（个人）私密信息”，其实也是没有理论障碍的。“民法典已经明确区分隐私权与个人信息权，并对私密信息与公民个人信息适用不同的保护规则，这宣告私密信息与公民个人信息混同的时代已经结束”。

但鉴于《个人信息保护法》还使用了“敏感个人信息”，在各种个人信息中，敏感个人信息因与公民人身、财产安全直接相关且易受侵犯，故需作有别于非敏感个人信息的特殊保护。对此，可从规则上作出进一步设定：一是私密但不敏感的私密信息隐私适用隐私权规则；二是敏感但不私密的个人信息适用个人信息保护规则；三是既私密又敏感的个人信息的人格利益适用隐私权规则，财产利益适用个人信息保护规则。私密信息处理同时侵害人格利益和财产利益的，隐私权规则和个人信息保护规则同时适用，即采用聚合规则保护模式；四是兜底性条款的法律地位。对私密信息没有规定的，适用个人信息保护规则。由此可以看出“个人私密信息”“敏感个人信息”等概念交叉衍生次级概念的重要性，“有必要细化对敏感个人信息的分类列举，立足法秩序统一视角”。有了准确的概念前提，才利于确定进一步保护规则。

而在诸多行政法、经济法、社会法等公法领域，则需关注有些法律所使用的“个人隐私”是否应改为“个人信息”，纠正概念误用。如《银行业监督管理法》《反洗钱法》《行政许可法》，这里的表述实质上更侧重“个人信息”的不泄露。在实践中，也有很多相关规定（《信息安全技术—个人信息安全规范》（GB/T 35273-2020））将“隐私政策”的表述调整为“个人信息保护政策”，以使其适用范围变得更加严谨、准确。相比之下，《反有组织犯罪法》虽然是在2022年通过的法律，但依然使用了“个人隐私”，对其依然可以考虑采用“个人私密信息”“其他个人信息”的并行列举。《网络安全法》《出口管制法》《数据安全法》都应属于此种情形。在《网络安全法》和《数据安全法》中，尤其应强调“个人私密信息”，这些“个人私密信息”被以电子通信的元数据形式表现出来，如果泄露将导致所涉人员私人生活的结论被精确得出。因此，对“个人隐私”“个人信息”的并用，都要考虑是否改为“个人私密信息”“其他个人信息”，以突出“个人隐私”中的信息类个人隐私的重要性，这也是网络社会或“大数据时代”最容易受到侵犯的人格权益。

（三）体系再造：确立“个人私密信息”作为概念整合的中心

不论是中国特色社会主义法律体系还是中国特色社会主义法治体系中的“完备的法律规范体系”，都需要系统化的概念体系，即概念同一性使用。如果说“秘密类概念”目前的分层格局已经相对固定，那么“信息类概念”的系统化改造还将成为未来一段时间内需完成的重点任务。不同“个人私密信息”每时每刻都在经历大量的“收集、提取或综合”。在此种场合，“个人私密信息”之于“个人信息”和“个人隐私”，犹如当年“政务数据开放”之于“政府信息公开”，任何概念的不精准，都将影响立法目标的明确，进而影响各类立法保障间的清晰度。

“个人隐私”作为概念能够“立得住”，在于其具有主观感受性，但也须符合“合理期待”原则，即自然人主观上具有隐私期待利益，社会上也认为该种期待利益合理。但公法与私法之间的立法意图存在抵牾。如果按照《政府信息公开条例》第十五条的规定，行政机关认为不公开会对公共利益造成重大影响的，予以公开，因此，本人不愿意公开的信息首先不能是法律要求必须公开的或行政机关认为不公开会对公共利益造成重大影响的情形，否则个人隐匿这些信息构成违法，或者违反社会公共道德。在这种场合，个人隐私已经不能再成为免予公开的理由，因此，通过隐私权的绝对权属性来对抗公共利益，不再是一种可行的路径。

从当下的司法实践角度来看，“个人私密信息”的价值则体现在社会公众对信息作为私密信息的认知和信息对于维护自然人的人身财产权益、人格尊严和人格自由的重要程度以及该信息对于维护社会正常交往、信息自由的重要程度如何等方面。“个人私密信息”具有价值性，但其与“政府信息”同样都面临信息资源合理利用的问题，需要在“密”和“开”之间做出选择，这与“政府信息公开”机制所面临的价值判断与利益选择是相通的。也即，通过“个人私密信息”实际上更能反映政府信息和个人信息之间的可比性，而对于涉及个人隐私的信息，实际上是已将其转化为“政府信息”的组成部分，此时，由法律、行政法规来规定例外或由行政机关来判断是否公开，实际上也是对“政府信息”与“个人私密信息”可对比衡量现实的一种肯认。这正是利益衡量原则与机制的一种具体体现。

四

结语

在保密形势和要求日趋强化的背后，实际上是总体国家安全强化的要求在呼唤概念的进一步整合。大到“国家秘密”“工作秘密”，小到“商业秘密”“个人信息”，无一不被涵盖在“大国家安全”的背景之中。从个人信息保护的角度来说，“个人信息保护也包括侵害众多个人权益或不特定多数人利益的风险，乃至更广泛意义上的信息安全等等”。这些都成为目前中国行政法学概念整合的最大政治需求，反过来看，这也是概念必须统一的实际背景。而在国家（安全）治理之下，社会治理也需概念的同一性表达，以方便各类主体在“共建共治共享”的实际操作过程中都能“剑指一处”，这也是未来行政基本法典所面临的最直接的理论难题。而除了法律中的“个人信息”，现行有效594部行政法规中的154处法条表述中的“个人信息”也需要进一步整合。这才是行政法律关系中的“信息”作为“客体”或“对象”实现概念统一的进路，进而保证中国特色社会主义法治体系的理论严谨性。

期刊简介

主办单位：兰州市社会科学院
刊期：月刊
主编：曾月梅
副主编：王望
编辑部地址：兰州市金昌北路75号
通讯(投稿)地址：兰州市中央广场邮局《兰州学刊》信箱
电话：8801976
邮编：730030
Email信箱:LZXK@chinajournal.net.cn
Email信箱:LZXK@vip.163.com

论我国行政法律中“信息类概念”的整合2025-04-23 来源：谭波

论我国行政法律中“信息类概念”的整合
2025-04-23 来源：谭波