2019年修订的《中华人民共和国政府信息公开条例》（以下简称《条例》）第15条规定，“涉及商业秘密、个人隐私等公开会对第三方合法权益造成损害的政府信息，行政机关不得公开。但是，第三方同意公开或者行政机关认为不公开会对公共利益造成重大影响的，予以公开。”该条确立了个人隐私信息公开豁免制度，以例外事项的豁免规定确立政府信息公开的范围，并确定了信息公开中隐私权与知情权的界限及其冲突解决方案。具体包含两项内容，一是明确个人隐私信息不得公开原则，即第15条第一句话；二是确立个人隐私信息予以公开的两类情形，包括第三方同意公开的情形和行政机关认为不公开会对公共利益造成重大影响的情形，即第15条第二句话的但书条款。可以说，该条将政府信息公开中涉及个人隐私时应否公开、如何公开、公开情形等均作了规定，是个人隐私信息公开豁免的直接法律依据。但是，政府信息公开制度实施二十余年来，即使在《条例》修订之后，个人隐私信息公开豁免制度并未真正成为“行动中的法”。政府信息公开实践中侵害个人隐私的实例却屡见不鲜、层出不穷。比如有些行政机关为了提升执法信息的透明度，不加任何处理地打包公开执法人员名录库。其中不仅包含执法人员的姓名、性别、工作单位、执法证号等职务信息，而且包含每一个执法人员的完整身份证号码等个人信息。甚至，泄露执法人员的个人信息一度成为多地执法机关的“通病”。又如，行政机关为了提升授益行政行为的公平性和公正性，在公示分配方案时常会泄露相对人的个人身份信息、银行信息、住址信息等。再如，在抗击新冠疫情突发公共危机处置中，因流调过程由多部门、众多人员联动完成，也常造成确诊病例或密接者个人信息泄露。可以说，政府信息公开中个人隐私保护不力、个人隐私信息公开豁免条款近乎“闲置”，已是不争的事实。追根溯源、细究根由，除了行政机关及其工作人员隐私权保护意识淡漠、懒政怠政、责任心不强等主观因素外，《条例》第15条的核心概念不易把握、未确立法律保留原则的约束、第三方参与程序不完善等制度不健全的客观因素，才是该条款未被有效实施的根源。

2020年我国颁布了民法典，并于2021年1月1日起施行。民法典人格权编以第六章专章形式系统规定了“隐私权和个人信息保护”，确立了民事基本法意义上的隐私权保护制度和个人信息保护制度。民法典明确宣示了自然人享有隐私权，并以禁止性规范宣告：“除法律另有规定或者权利人明确同意外”任何组织或者个人不得侵害他人的隐私权。在区分保护隐私权和个人信息权益的基础上，确立对隐私权与个人信息权益的不同强度的保护规则，并对属于二者交叉保护范围的个人私密信息确立了严格保护立场和优先适用隐私权保护规则。进入民法典时代，实现行政法对民法典的回应和有效衔接，做到法法衔接、法制统一，为《条例》所确立的个人隐私信息公开豁免条款的重构、完善带来了契机。我们迫切需要回答如下问题：《条例》第15条确立的个人隐私信息公开豁免条款与民法典规定的隐私权保护制度是否一致？民事基本法对政府信息公开制度有哪些辐射效应？以及个人隐私信息公开豁免条款完善方向等。本文旨在阐述这些问题，以期对民法典时代个人隐私信息公开豁免制度的发展和完善有所裨益。

（一）个人隐私信息公开豁免规则

《条例》第15条第一句确立了个人隐私信息公开豁免规则的基础和原则，即行政机关不得公开涉及个人隐私、且公开会对第三方合法权益造成损害的政府信息。但该项原则因核心概念不易识别、关联用语不够明确致使实施效果差强人意。该项原则以“个人隐私”为核心概念，“涉及个人隐私”是启动政府信息公开豁免衡量机制的前提。何谓“涉及”？《现代汉语词典》解释为“牵涉到、关联到”。所谓涉及个人隐私的政府信息，就是指牵涉到、关联到个人隐私的政府信息。如此解释，仍然有些语焉不详、模糊、不确定，仍然需要行政机关在实践中根据具体情形裁量判断。如何识别个人隐私？“隐”意味着个人不愿秘密为人所知、隐匿空间被人侵入、独处的安宁为人所打扰的期望，体现出个人自我遮蔽身体与藏匿生活秘密的意愿，并利用一定的地理间隔与空间构造，将自我生存状态从公共空间中排除。“隐”的法律意义是私法对抗他人侵扰、公法上对抗国家侵入的消极权利。“私”意味着私人事务与决定的自由不为他人干预，其法律意义是主体的意志自由和信息自主性。从 “隐”到 “私”的认识转变，“虽反映出对概念的理解从现象描述走向抽象认知，但仍显模糊和经验化，无法精准提炼现今政府信息公开中个人隐私的特点，” 依此而定义的 “个人隐私”在信息公开实践中当然就缺乏可操作性的识别标准。至于“公开会对第三方合法权益造成损害的”，看似增加了损害后果判断条件，其实并不尽然，并没有增强该条款的可操作性。“如果信息涉及个人隐私，那么公开信息必然对权利人的合法权益造成一定的损害，这是由个人隐私的性质和特点所决定的。” 

《条例》第15条但书条款，规定了两种情形之下个人隐私信息不受豁免条款约束而应予以公开，即第三方同意公开的情形和行政机关认为不公开会对公共利益造成重大影响的情形。第一种情形，只需“第三方同意公开”，无关“同意公开”的程序、形式、方式，即予以公开。第二种情形，行政机关认为不公开会对公共利益造成重大影响的予以公开，实际上是授权行政机关强制适用公共利益衡量机制、并在衡量后认为不公开会对公共利益造成重大影响时，应当强制公开个人隐私信息。如果再结合《条例》修订后的变化，即第15条但书条款以“予以公开”的表述，代替了修订前第14条第4款 “可以予以公开”的表述，就更能确认第二种情形实际上是对行政机关强制公开个人隐私信息的授权规范。对此强制公开制度，学界已有关注，如有学者专门研究了强制公开第三人信息之程序规则的完善。当然，公共利益指向的范围，以及所谓“重大影响”，亦属不确定概念。有学者指出“重大影响”类似优势超越，实践中应根据利益衡量方法予以判断。“要求公共利益超越个人隐私所保护的利益必须达到优势的程度” “在立法目的上更加注重保护例外事项的利益，强调要有足够的公共利益才能突破例外事项。公开的公共利益大于或者绝对大于例外事项保护的利益时，可以公开信息。”

（二）个人私密信息严格保护规则

个人私密信息既是个人隐私也是个人信息，是个人隐私与个人信息的交叉范围。个人隐私与个人信息是两个不同的概念，二者在内涵和外延上均有差异。从内涵上看，个人隐私强调隐匿性、私密性、不公开性，侧重点在“隐”和“私”；个人信息强调个人身份的识别性、标识性、个人归属性，侧重点在“个人”。从外延上看，两者之间不是上位概念与下位概念、包含与被包含的关系，而是交叉关系。个人隐私包括“自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息”。根据是否具有隐私性、私密性，个人信息可以区分为私密信息与非私密信息，也可称为私密信息与普通信息。可见，个人私密信息是个人隐私与个人信息在外延上的交叉范围。具体而言，个人私密信息一般包括个人的生理信息、身体状况、健康状态、财产信息、家庭信息、基因信息、个人经历信息、其他有关个人生活的私密信息等。

个人私密信息既受隐私权保护也受个人信息权益保护，但由于隐私权保护规则更严格、保护力度更强，而优先适用隐私权保护规则，而不是在隐私权保护与个人信息保护之间选择适用。只有在隐私权保护规定缺失时，才适用有关个人信息保护的规定。优先适用隐私权保护的规定，也表明立法机关已经充分认识到了个人隐私与个人信息之间的差异和联系，由此确立了不同方式、不同强度的保护规则。据此，民法典第1033条确立了对个人私密信息的两项严格保护规则。其一，公开个人私密信息应遵循法律保留原则。个人私密信息作为隐私权的核心保护范围，对其收集、公开等处理行为都构成隐私权限制。隐私权是对世权，属于基本权利，意在维护主体作为一个法律意义上的人、而且是体面的人的尊严与私生活的安宁权。隐私权不是绝对的，“并不禁止公开涉及公共利益或者普遍利益的事项”。但是，隐私权的限制和克减只可基于公共利益的需要，并由立法者通过利益衡量做出制度安排，即应遵循法律保留原则。“在严格的法律保留原则下，有权力对基本权利作出限制的只能是立法机关。” 其二，公开个人私密信息须获权利人明确同意，这是民法典第1033条第5项专门确立的、处理个人私密信息应遵循的程序规则。所谓权利人的“明确同意”，不仅与“默示同意”不同，也与“同意”有所区别。首先，“明确同意”要求权利人必须作出明确的意思表示。该意思表示必须是指向特定私密信息的、明确同意的、具体的意思表示，不能是模糊不清的，也不能是一揽子笼统授权。其次，权利人“明确同意”的范围对行为人具有约束力，行为人公开的个人私密信息范围应当与权利人“明确同意”的范围一致。再次，权利人“明确同意”是对行为人告知程序的明确回应，即行为人处理他人的私密信息前应当告知权利人并获得权利人的“明确同意”。当然，基于效率追求和操作便捷性，权利人的“明确同意”并不限于书面方式，可以是书面的，也可以是口头的；但行为人要有证据证明权利人做出了“明确同意”的意思表示。最后，“明确同意”必须是单独的、具体的、确定的意思表示，但“同意”可以是概括性的、笼统的、默示的表示。

（三）《条例》个人隐私信息公开豁免条款与民法典个人私密信息严格保护规则不一致

其一，《条例》的个人隐私信息公开豁免条款没有区分个人隐私与个人信息，民法典则对个人隐私与个人信息确立了区分保护规则。2007年制定《条例》时，我国完全没有区分个人隐私与个人信息的法制背景。佐证之一是 “北大法宝法律数据库”的检索结果。我们以“隐私”和“个人信息”对“全文”作“同篇”“精确”检索，共检索到11部法律文本中同时使用了“隐私”和“个人信息”概念，其中最早的是2012年修订的《刑事诉讼法》。这表明，在2012年前我国法律并没有区分使用个人隐私与个人信息概念，更遑论对二者确立区分保护规则。2007年的《条例》当然不可能突破时代的局限性，2019年《条例》修订时，个人隐私信息公开豁免条款主体框架并未改变，只是微调、补充修订。其中，未区分个人隐私与个人信息的基础前提、笼统地以个人隐私作为核心概念的基本状况，新《条例》与旧《条例》并无二致、基本照搬。但是，2020年颁布的民法典，则系统区分了个人隐私与个人信息，并对隐私权和个人信息保护确立了不同的规则。因而，可以说，《条例》个人隐私信息公开豁免条款与民法典的隐私权保护制度，在基础前提上不一致、有冲突。

其二，《条例》个人隐私信息公开豁免条款对行政机关宽泛授权；民法典则规定公开个人私密信息应遵循法律保留原则。《条例》第15条但书条款，授予行政机关宽泛的裁量权，既有权强制适用公共利益衡量方法进行利益衡量，也有权在经衡量后认为不公开会对公共利益造成重大影响时强制公开个人隐私信息。但民法典第1033条所规定的“除法律另有规定”则确立了严格的法律保留原则，对个人私密信息的处理，包括公开，受法律保留原则的约束。所谓“法律另有规定”，是指依照法律的规定无须取得权利人同意即可实施客观上侵害隐私权但无需承担法律责任的行为。比如依据《国家安全法》的规定，国家安全机关为了维护国家安全而有权依法采取技术侦查手段，如进行监听、窃听等活动。这是法律规定的隐私权保护的限制情形，也是法律为了维护公共利益对隐私权保护的限制。据此，《条例》个人隐私信息公开豁免条款与民法典的隐私权保护制度，在是否遵循法律保留原则问题上不一致、有冲突。

其三，《条例》规定“第三方同意公开的”情形予以公开，民法典则规定处理他人私密信息需获“权利人明确同意” 。所谓“同意”与“明确同意”，当然不止于字面上的不同。二者在意思表示的形式、内容、约束效力等方面都有显著区别。在意思表示的形式上，“同意”可以是默示的，也可以是一揽子授权的；“明确同意”则必须是明确的、具体的、确定的。在意思表示的内容上，“同意” 可以指向概括性信息；“明确同意”则指向特定的、确定的信息。在意思表示的约束力上，“同意”可以具有多次适用性，对其后的信息处理行为都有效；“明确同意”的效力则只能是“一事一议”，仅限于权利人“明确同意”公开的信息。据此，《条例》个人隐私信息公开豁免条款与民法典的隐私权保护制度，在保障第三方参与权方面不一致、有冲突。

（一）隐私权的基本权利、公法权利属性

现代意义上的隐私权是由沃伦(Warren)与布兰代斯(Brandeis)在《论隐私权》一文中提出的。他们将隐私权界定为“免受外界干扰的、独处的”权利。“个人拥有隐私权，防止肖像被公开，这是该权利延展最简单的情况。保护私人事务不被新闻报刊书面描写、议论，是更为重要和影响深远的权利”。毫无疑问，隐私权最初提出只是一项民事权利，是对抗他人对私人空间和私人事务侵袭的权利。其后百余年，隐私权获得长足发展，被大多数国家确认为法定权利，并逐渐由民事权利、私法权利延展至基本权利、公法权利。在美国，隐私权早已超越“独处权”内涵，发展出信息隐私权、空间隐私权、自决隐私权等内容。美国联邦最高法院，通过一系列的判例创设了“宪法上的隐私权”并纳入基本权利范畴，如根据宪法第4、第5修正案将隐私权解释为公民享有的、对抗警察非法搜查、拒绝自我归罪的权利，又如确认堕胎自由是宪法保护的隐私权，并将隐私权作为各州及联邦法令违宪审查的依据之一。因而，在美国法治中，隐私权既是一项重要的民事权利，也是一项基本权利。在欧洲大陆，隐私权也兼具民事权利与基本权利的双重属性。《欧洲人权公约》明确将公民私生活保护列为基本权利；在德国，隐私权同时属于宪法意义上和私法意义上的人格权范畴。

在我国，隐私权也兼具民事权利与基本权利属性。民法典第110条和第1032条都直接确认了隐私权的具体人格权属性，明确规定“自然人享有隐私权”。我国《宪法》虽没有明确规定隐私权概念和保护个人隐私字眼，但依然确立了隐私权保护观念。“个人本源性的基本权利是先于宪法、与生俱来的”，“宪法保障的公民基本权利不以列举的为限”， 是否在宪法中明文列举并不影响隐私权的基本权利属性。《宪法》第38、39、40条关于人格尊严、住宅不受侵犯、通信秘密的规定为隐私权的宪法保护提供了依据，这些宪法条款“为后来其他部门法和特别法规保护公民个人隐私权以及相应的司法解释留下了广阔的空间”。同时，在行政法、刑法、诉讼法等公法制度中，尊重和保护个人隐私业已获得普遍确认。《行政处罚法》《治安管理处罚法》规定，行政机关及其工作人员在实施处罚过程中知悉的个人隐私，应当依法予以保密；偷窥、偷拍、窃听、散布他人隐私的，予以治安处罚；《出口管制法》《执业医师法》《传染病防治法》《公证法》《律师法》《精神卫生法》等规定，在执法行为或职务行为中知悉当事人隐私的，应当尊重、不得泄露、应当保密。《刑法》规定了侵犯公民个人信息罪，违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，追究刑事责任。三大诉讼法都规定，司法机关及其工作人员对涉及个人隐私的材料、信息，应当保密；涉及个人隐私的证据，不在公开开庭时出示；有关个人隐私的案件，不公开审理。可见，隐私权不仅是民法典规定的人格权，也是受宪法和公法制度保障的基本权利和公法权利。

（二）个人私密信息严格保护规则的公法效力

个人私密信息严格保护规则作为民法典确立的隐私权保护制度，不仅在保障私权的领域中发挥作用，而且能够规范行政机关行使公权力的行为，是依法行政的基本遵循。在我国，民法典是中国特色社会主义法律体系中“固根本、稳预期、利长远的基础性法律”，在确认和保护民事权利的同时，也为公权力的行使确定了边界，起到了规范公权的作用。民法典中的大量规范都需要借助公权力的行使来具体落实，也需要相应的公法规范予以配套。隐私权是对世权，任何人、任何组织都不得侵害他人的隐私权。其义务主体指向权利主体以外的所有人，既包括平等关系中的民事主体，也包括公法关系中履行职权、行使公权力的国家机关和公务组织。个人私密信息严格保护规则作为民法典确立的隐私权保护制度，对国家机关、公务组织产生的义务主要包括三个层面。一是尊重和不侵害义务。在依法履行职责的过程中，国家机关、公务组织不仅要大量收集个人信息，也会产生新的个人信息，其中当然会包括个人私密信息，并且具有精准度高、全面性强、覆盖面大的特点。如果国家机关、公务组织及其工作人员不能充分尊重相对人的个人隐私，一旦泄露相对人的个人私密信息，将对相对人的人格尊严、人身自由、财产权益乃至公共安全造成极大的危险和侵害。因而，民法典虽定位于民事基本法律范畴，仍径直对公权力的不侵害义务作出明确规定。第1039条规定：“国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息，应当予以保密，不得泄露或者向他人非法提供。”二是积极履行职责、主动采取措施、创造条件积极保护的义务。在大数据已经成为重要的战略资源、数字化治理飞速发展的今天，行政机关拥有组织人员优势、专业技术优势、行政管理优势和信息数据资源优势等，应该积极创造条件、更新设施、措施、制定有效的操作规程等，为相对人的个人私密信息提供积极保护义务。比如，《未成年人保护法》规定，“保护未成年人隐私权和个人信息；询问未成年被害人、证人，应当依法通知其法定代理人或者其成年亲属、所在学校的代表等合适成年人到场，并采取适当方式，在适当场所进行，保障未成年人的名誉权、隐私权和其他合法权益。”公安机关、学校等公务组织应积极采取措施，尽可能全面、有效地保护未成年人的个人隐私。三是在相对人个人私密信息遭受侵害时的制止、制裁等平衡、救济义务。当民事主体的个人私密信息受到他人侵害时，其可以向有权行政机关寻求救济，请求行政机关责令加害人停止侵害行为、并对加害人的侵权行为予以处罚和制裁。此种情形下的救济义务，体现了行政法的平衡功能，即行政机关通过实施相关管理措施，既可以达到行政管理目的，客观上又实现了平衡平等主体利益冲突、权利冲突、救济相对人权利损害的功能。比如，依据《治安管理处罚法》，偷窥、偷拍、窃听、散布他人隐私，由公安机关依法予以治安管理处罚。对此类侵害他人隐私行为予以治安管理处罚，是公安机关的职权，也是职责、义务；对受侵害的权利主体而言，此处罚则具有救济、平衡功能。

（三）个人隐私信息公开豁免条款应与民法典衔接

个人隐私信息公开豁免条款不能与民法典的隐私权保护和个人信息保护规定相冲突，而应实现法法衔接、法法一致。民法典是全国人大制定的基本法律，“其位阶仅次于宪法而高于其他法律”，是《条例》的上位法和依据法。遵循法律优位原则，政府信息公开涉及个人信息和个人隐私的制度设计，民法典的有关规定构成其上位法和立法依据。《条例》虽是公法，但其位阶效力较低，基于法制统一原则，其当然不能与民法典冲突。因为民法典“系一部基础性法律，在我国法律体系中具有基础性地位，公法不能与其产生冲突，凡是冲突的公法规范一律失去效力，应修改并与民法典保持一致”。正是在此意义上，习近平总书记指出了实施民法典、完善公法制度的要求，“对同民法典规定和原则不一致的国家有关规定，要抓紧清理，该修改的修改，该废止的废止。” 

民法典中有160多个条款与行政机关相关，行政法制定主体必须及时作出回应，在法律、行政法规、规章中进一步细化，改革和完善相关制度。行政法应主动对接民法典，“行政法只有主动适应对接民法典，通过‘法法衔接’才能保障民法典的有效实施，进而以此为契机大力推进法治政府建设。” 

（一）以区分保护个人隐私与个人信息为前提

以个人隐私与个人信息的区分保护为前提重构个人隐私信息公开豁免制度，是非常必要且有益的。首先，这是个人隐私信息公开豁免条款对民法典的回应与衔接，是《条例》作为下位法对基本法律的实施和落实。其次，区分保护个人隐私与个人信息，也是厘清个人隐私信息公开豁免范围的基础前提。依据民法典第1032条，隐私权的保护客体主要包括私人生活安宁、私密空间、私密活动和私密信息。也就是说，私生活、私密空间、私密活动、私密信息都属于个人隐私的范畴。政府信息公开中，仅衡量个人私密信息应否公开，即仅涉及个人隐私中所谓“私”的部分；并不涉及个人隐私中“隐”的部分，如私生活、私密空间、私密活动等都与政府信息公开没有关联。再次，在区分保护个人隐私与个人信息的基础上，以“个人私密信息”代替“个人隐私”作为核心概念，重构个人私密信息公开豁免制度，更具可操作性。因为，与个人隐私相比，个人私密信息的范围更明确、更确定，也更易识别。最后，区分保护个人隐私与个人信息，也与二者具有实质区别有关。个人隐私与个人信息，在根本上是两个概念；隐私权保护与个人信息权益保护，也是两项相互独立的法律制度。隐私权保护，首要价值是保护人格尊严、保护人格权。个人信息权益保护，严格说来是“个人信息处理保护”，必须要有“处理”才涉及保护；同时，个人信息保护法的规范对象是处理个人信息的“个人信息控制者”，而不是一般的组织或者个人；个人信息处理权、个人信息控制权，是一种新型的公法权利，与人格权具有根本的区别，不应该纳入民事权利体系，需要独立的法律渊源、程序设计、制度配置、执法机制、交流平台等一系列专门法律制度予以保障。 

识别个人私密信息，可分三步走。第一步，判断是否属于个人信息。即具有个人标识性、身份识别性的信息就是个人信息。“个人信息指向信息主体，能够显现个人的生活轨迹，勾勒出个人人格形象，作为信息主体人格的外在标志，形成个人‘信息化形象’。” 第二步，判断是否具有私密性。即个人不想为外人知道的、尚未公开的或者一旦公开即会对个人权益造成不利影响的，就是私密信息；相反则是个人普通信息。有时，判断某些个人信息是否属于私密信息，还“必须从社会公众的一般认知和价值权衡的角度出发”，考量“社会公众对该信息作为私密信息的认知; 该信息对于维护自然人的人身财产权益、人格尊严和人格自由的重要程度; 该信息对于维护社会正常交往、信息自由的重要程度如何等。” 第三步，是判断不公开这些个人信息是否违反法律的强制性规定和公序良俗。如果此类信息属于应当依法披露和公开的范围，即属于法律强制公开的信息，比如为了维护国防安全、公共安全、经济安全、社会稳定、实现刑事追诉等必须公开的个人信息等，就不受隐私权保护。

（二）确立个人私密信息公开的法律保留制度

隐私权保护不是绝对的，基于刑事追诉、国防安全、公共安全、治病救人等必要的、紧急的公共利益的需要，隐私权是可以克减的。行政机关应有特定情形下为了公共利益的需要未经权利人同意而强制公开个人私密信息的裁量权，只是该项裁量权应由“法律”授权，而不是通过《政府信息公开条例》授权。至于立法方式，有许多国家或地区的个人数据保护法中就公务机关基于公共利益的需要处理个人私密信息时豁免征得数据主体同意的情形做了列举式规定，可资借鉴。主要有：《欧盟个人数据保护指南》序言第33条、《比利时关于个人数据处理的隐私权利保护法》第7条第2款、《冰岛有关个人数据的保护法》第9节、《丹麦个人数据处理法》第7条第2款、《匈牙利个人数据保护与公共利益数据公开法》第3条、《意大利有关个人和其他主体的个人数据处理的保护法》第4条、《荷兰个人数据保护法》第16-23条、《葡萄牙个人数据保护法》第7条、《瑞典个人数据法》第14条、《美国隐私权法》第二部分、《加拿大个人数据保护法》第7条和第8条、《阿根廷个人数据保护法》第5条第2款、《日本个人信息保护法》第23条、《韩国公共机关个人信息保护法》第10条， 以及我国台湾地区“个人资料保护法”第6条等。

比较分析上述各个国家或地区的立法模式和立法规定，至少为我国立法提供了四点有益借鉴。其一，在个人数据、个人信息保护的专门立法中规定豁免权利主体同意的情形，以确保在国家意志和公共利益层面上平衡公众知情权、监督权与隐私权，以及对隐私权的克减仅来自法律规定。其二，通过单独章节或条款专门规定，不仅彰显立法的审慎，而且有利于豁免条款的执行。其三，采取列举式规定而非概括式规定，以保证豁免条款的实效性和可操作性。有些国家的立法中还区分不同类型的私密信息分别列举豁免同意的情形，比如比利时区分了有关人种、种族、政治观点、宗教或哲学信仰商业联盟成员资格与有关健康状况的两类数据分别规定，荷兰区分了有关个人种族、个人政治信仰、个人贸易联盟身份、个人健康、个人犯罪记录六类特殊个人数据分别列举规定，瑞典把有关非盈利组织成员的个人数据、卫生与医疗保健、为进行学术研究、统计而处理的个人数据等四类单独列举规定豁免同意的情形。其四，多数国家都规定涉及以下六类事项的个人数据处理豁免权利主体同意：一是涉及国防安全和公共安全的，二是涉及刑事追诉的，三是涉及医疗健康、公共卫生和治病救人的，四是涉及紧急避险的，五是合同约定的，六是法律规定的。当然，这些情形下个人隐私信息虽然应予公开，但公开范围必须是特定的而不是普遍的。

（三）修正《条例》第15条

根据前述分析，《条例》第15条个人隐私信息公开豁免条款与民法典隐私权保护和个人信息权益保护制度存在诸多冲突和不一致。这些冲突很难通过法律解释进行消解，比如未规定法律保留原则、未区分个人隐私与个人信息、未充分尊重第三方参与权等。当然，《条例》于2019年刚刚修订完成，再次大修既无可能也没必要。最便捷、最可行的方法是，在现行法制框架内由国务院对《条例》第15条作出个别修正。具体修正建议主要有三点。第一，《条例》第15条第1句中增加法律保留原则的规定，并把个人私密信息作为核心概念。即增加 “除非法律另有规定” 的表述，以“个人私密信息”替代“个人隐私”，并以“包含”代替模糊概念“涉及”，删除不具有实质意义的“会对第三方合法权益造成损害的”表述。建议修正为“涉及商业秘密、个人私密信息的政府信息，行政机关不得公开，除非法律另有规定。”第二，在但书条款中，既要授予行政机关在具体情势下进行利益衡量的行政裁量权，又要尊重权利人的信息自决权和支配权。建议修正为“但是，行政机关认为不公开会对公共利益造成重大影响的，征得权利人明确同意的，可以公开。”第三，增加第三句，对个人普通信息的公开程序做出规定，以回应和衔接民法典第1035条第1项。建议表述为“包含个人非私密信息的，征得权利人或其监护人同意的，可以公开”。增加第三句的必要性有三，一是区分了个人隐私与个人信息，二是涉及个人非私密信息的公开也要遵循告知程序，三是充分尊重信息自决权，公开应征得权利人或其监护人同意。概而言之，建议《条例》第15条修正为：“包含商业秘密、个人私密信息的政府信息，行政机关不得公开，除非法律另有规定。但是，行政机关认为不公开会对公共利益造成重大影响的，征得权利人明确同意的，可以公开。包含个人非私密信息的，征得权利人或其监护人同意的，可以公开。”值得说明的是，修正建议的三层次逻辑推进也有特定的价值考量。第一句是原则规定，表明个人私密信息公开豁免的基本立场。并把“除非法律另有规定”的法律保留原则的约束，放在第一句，而不是沿袭现行第15条但书条款中与第三方同意公开并列，意在强调法律保留原则的重要约束意义。第二句是但书条款，确立公共利益衡量机制和第三人参与机制。第三句是公开个人普通信息的程序规则，意在呼应个人隐私与个人信息区分保护的前提，并彰显个人私密信息的核心概念意义。