大數(shù)據(jù)時代個人信息的行政法保護(hù)路徑探索

李亦君

（貴州財經(jīng)大學(xué)，貴州貴陽 550000）

大數(shù)據(jù)時代，個人信息的法律保護(hù)成為各國面臨的重要問題。在我國，私法領(lǐng)域的保護(hù)較為被動，且規(guī)制的范圍主要是針對營利性主體和非政府機(jī)構(gòu)侵犯公民個人信息的行為，而公法領(lǐng)域的刑法所要求的條件較高，一般的侵害個人信息的違法行為在未達(dá)到犯罪標(biāo)準(zhǔn)的情況下，無法運(yùn)用刑法進(jìn)行懲罰。而從行政法層面加強(qiáng)對個人信息保護(hù)具有更高的嚴(yán)密性，行政法可以明確具體地規(guī)定個人信息的請求更正權(quán)和救濟(jì)權(quán)，規(guī)制范圍更具有針對性。因此，對國外先進(jìn)的行政法保護(hù)經(jīng)驗(yàn)進(jìn)行對比分析，提出對我國更具有針對性和適用性的行政保護(hù)策略具有較為現(xiàn)實(shí)的意義。

1 個人信息概述

1.1 個人信息的概念界定

我國沒有個人信息方面的專門立法，對個人信息的概念尚未統(tǒng)一，根據(jù)學(xué)術(shù)界的學(xué)者們關(guān)于個人信息的內(nèi)容達(dá)成的基本共識，個人信息可以被界定為“以直接或間接的手段獲取的足以識別特定自然人的受法律保護(hù)的信息，范圍包括但不限于姓名、出生日期、身份證號、工作、教育、財務(wù)、健康狀況以及其他具有個人指向性的信息”。

1.2 個人信息的特征

個人信息所包括的內(nèi)容具有較為寬泛的外延，能夠?qū)⑷伺c人區(qū)別開來的任何有關(guān)個人的碎片材料都可以視為個人信息的范圍，具有廣泛性和可識別性的特點(diǎn)，包括與個人相關(guān)的基本情況、生活背景、個人習(xí)慣等。同時，個人信息具有時效性，個人信息處于一個不斷變化的過程，每個人的信息都隨著時間的推進(jìn)而更新，比如年齡、身體狀況、家庭住址、工作情況等。另外，個人信息還具有可共享性，同一部分的個人信息可以同時被不同的信息用戶獲取或利用。大數(shù)據(jù)時代，個人信息的上述特征在拓展了其價值空間的同時，也給個人信息的保護(hù)增加了難度和成本。

2 我國行政法對個人信息保護(hù)的問題分析

2.1 現(xiàn)有行政法對個人信息的保護(hù)

2.1.1 個人信息保護(hù)的行政立法

我國現(xiàn)有的有關(guān)個人信息保護(hù)的行政法律有近40部，法規(guī)30余部，部門規(guī)章200多部，較為分散，且有關(guān)個人信息保護(hù)的規(guī)定不夠統(tǒng)一，無法準(zhǔn)確界定行政法領(lǐng)域?qū)€人信息的保護(hù)范圍，甚至有些條款的規(guī)定欠缺可行性，導(dǎo)致個人信息的法律保護(hù)未能達(dá)到期待的效果。

從上表可以看出，我國行政法關(guān)于個人信息保護(hù)從理論層面基本做到了事前預(yù)防，事中監(jiān)管和事后監(jiān)督、救濟(jì)，但由于無專門的立法，規(guī)定較為籠統(tǒng)且繁瑣，同時有很多操作性不強(qiáng)的法律規(guī)定，缺乏相對應(yīng)的處罰措施和完善的救濟(jì)途徑。

2.1.2 個人信息保護(hù)的行政執(zhí)法

互聯(lián)網(wǎng)的普及使行政機(jī)關(guān)越來越方便地收集、處理和使用公民的個人信息，公民的個人信息權(quán)可能會由于行政機(jī)關(guān)在采集、存儲和信息公開等環(huán)節(jié)受到侵犯，在出現(xiàn)個人信息被超范圍使用或泄露時，“官本位”的執(zhí)法理念下行政機(jī)關(guān)甚至不把維護(hù)公民個人信息安全作為自身的義務(wù)，甚至一些行政機(jī)構(gòu)為了提高辦公效率，節(jié)省辦公資源，開通機(jī)構(gòu)間信息共享渠道，但由于缺乏監(jiān)管，致使個人信息資源在共享過程中出現(xiàn)泄露時無法明確責(zé)任主體，公民個人信息權(quán)遭受侵害卻無法得到救濟(jì)。這些常見的情形彰顯了行政機(jī)關(guān)在執(zhí)法上的不足，未做到按照相關(guān)法律法規(guī)的規(guī)定對信息管理部門的嚴(yán)格監(jiān)管。

2.2 個人信息行政法保護(hù)存在的問題

2.2.1 行政法對個人信息保護(hù)的規(guī)定不完善

（1）個人信息主體權(quán)利的規(guī)定不明確。行政法中對個人信息權(quán)的內(nèi)容和范圍未作出確切的規(guī)定，只能在具體法條的基礎(chǔ)上對公民享有的個人信息權(quán)利進(jìn)行推導(dǎo)適用。比如：根據(jù)法條中規(guī)定的“公民有了解或知道自己個人信息被收集的目的的權(quán)利”，得出公民對個人信息享有知情權(quán)的結(jié)論；“公民發(fā)現(xiàn)自己的個人信息不符時，有提出異議和更正自己信息的權(quán)利”，推導(dǎo)出公民享有個人信息的異議權(quán)和更正權(quán)；以及在個人信息遭受侵害后才能要求行使的刪除權(quán)。然而，一些其他正當(dāng)性的權(quán)利如公民拒絕提供信息的權(quán)利等在行政法中沒有提及，很容易導(dǎo)致信息主體無實(shí)質(zhì)權(quán)利、公民個人信息被非法使用的后果。

（2）行政主體對個人信息的行政行為缺乏規(guī)制。我國行政法律規(guī)范對行政機(jī)關(guān)在處理個人信息時應(yīng)遵守的規(guī)則較為簡單且籠統(tǒng)，沒有具體操作程序的法律條文，給法律適用帶來了一定的難度。比如，行政法律規(guī)范中有的規(guī)定了國家需要對個人信息的保密義務(wù)；有的規(guī)定了政府在公民查詢個人信息時的審查義務(wù)，盡管這些規(guī)定對行政機(jī)關(guān)保護(hù)公民個人信息作出了要求，但并沒有明確行政機(jī)關(guān)及其工作人員不作為或亂作為而導(dǎo)致個人信息權(quán)利遭受侵犯時，應(yīng)承擔(dān)什么樣的具體責(zé)任及如何承擔(dān)責(zé)任。

（3）個人信息的行政法保護(hù)滯后。行政機(jī)關(guān)處理公民個人信息時按照現(xiàn)有行政法對行政行為的總體要求為依據(jù)，行使自己的職權(quán)，但對于個人信息保護(hù)相關(guān)的事項(xiàng)，行政法律法規(guī)沒有專門的規(guī)定，對處理個人信息的行政行為與一般的行政行為所應(yīng)遵循的原則和程序規(guī)范未具體區(qū)分，若出現(xiàn)行政機(jī)關(guān)收集、保存的個人信息被泄露、被非法利用的情況，行政機(jī)關(guān)往往在公民的個人信息權(quán)益被侵害后才進(jìn)行事后保護(hù)，按現(xiàn)有行政法無針對性的操作程序無法及時保護(hù)公民因個人信息遭受損害所產(chǎn)生的人身和財產(chǎn)損失。

2.2.2 個人信息處理的主體缺少監(jiān)管

我國個人信息處理的主體主要包括行政機(jī)關(guān)和非行政機(jī)關(guān)，其中，行政機(jī)關(guān)及其職能部門作為公民個人信息的“集散地”，在收集、處理和使用信息的合法性及合理性方面需要受到嚴(yán)格監(jiān)管。實(shí)務(wù)中，一方面，行政機(jī)關(guān)工作人員利用職務(wù)之便主動泄露個人信息謀取不正當(dāng)利益或者發(fā)現(xiàn)信息泄露而不作為的現(xiàn)象較多；另一方面，行政機(jī)關(guān)專門建立的信息庫儲存的個人信息具有較為廣泛的覆蓋率和超高的準(zhǔn)確率，成為一些不法分子的首要目標(biāo)，在監(jiān)管力度不夠的情況下，他們往往利用系統(tǒng)保護(hù)的漏洞入侵行政機(jī)關(guān)的信息庫，盜取信息資源。因此，我國需要設(shè)置專門的監(jiān)管機(jī)關(guān)對不同級別的處理個人信息的行政機(jī)關(guān)進(jìn)行統(tǒng)一監(jiān)督，避免目前的上級監(jiān)督下級的方式存在的監(jiān)管缺陷。

非行政機(jī)關(guān)對個人信息的不法行為主要表現(xiàn)為非法收集和使用。我國《征信業(yè)管理?xiàng)l例》中明確了行政機(jī)關(guān)等征信管理部門對非行政機(jī)關(guān)收集和使用個人信息的行為具有監(jiān)管職能。但現(xiàn)實(shí)中，即使行政機(jī)關(guān)未依法履行監(jiān)管職責(zé)或監(jiān)管力度不夠，公民個人也較難憑借自身實(shí)力對行政機(jī)關(guān)進(jìn)行有效的監(jiān)督。另外，雖然行業(yè)自律組織在規(guī)制行業(yè)間個人信息濫用的現(xiàn)象中也能發(fā)揮不容小覷的作用，但由于我國行業(yè)自律制度不夠完善，對非行政機(jī)關(guān)類的信息處理主體的監(jiān)管尚未發(fā)揮出應(yīng)有的效用。

2.2.3 個人信息救濟(jì)制度不健全

“無救濟(jì)則無權(quán)利”，救濟(jì)制度作為保證權(quán)利實(shí)現(xiàn)的重要方式之一，其健全與否關(guān)系到公民個人信息權(quán)益的保護(hù)能否順利實(shí)現(xiàn)。我國目前的個人信息救濟(jì)制度存在一定的缺失，大多時候政府部門不能為公民信息安全提供相應(yīng)的保障，在公民個人信息遭受侵害時往往出現(xiàn)無法得到及時的救濟(jì)或者救濟(jì)不到位的狀況，法律形同虛設(shè)，造成的后果不只是公民個人權(quán)益受到侵害無法得到賠償，甚至?xí){到法律的權(quán)威，產(chǎn)生不良的社會效應(yīng)。

我國行政法雖然規(guī)定了行政機(jī)關(guān)不作為或非法作為時，公民可以通過行政復(fù)議或行政訴訟維權(quán)，但沒有規(guī)定具體的程序，救濟(jì)過程中缺乏實(shí)際可操作的規(guī)范指導(dǎo)，公民實(shí)際實(shí)行行政救濟(jì)的結(jié)果并不盡如人意。比如，公民在發(fā)現(xiàn)個人信息權(quán)益遭受侵害時，往往無法確定自己的信息何時被泄露、被誰泄露、泄露的程度，從而出現(xiàn)無法確定被告、舉證不能等問題，也就不能順利通過復(fù)議或訴訟的途徑主張自己的權(quán)利；另外，與強(qiáng)大的公權(quán)力相比，公民個人力量較為單薄，在公民知曉個人信息遭受行政機(jī)關(guān)侵害的情況下，通過舉報、檢舉、投訴等方式維護(hù)自己的合法權(quán)益也可能最終不了了之，個人權(quán)利無法得到實(shí)際救濟(jì)。

3 國外個人信息的行政法律保護(hù)制度

3.1 美國分散立法和行業(yè)自律結(jié)合模式

美國在公領(lǐng)域和私領(lǐng)域分別設(shè)置了個人信息的保護(hù)制度。在公領(lǐng)域，通過分散立法的方式，在個人信息保護(hù)方面對政府的行政行為進(jìn)行引導(dǎo)。美國制定了《隱私權(quán)法》和《信息自由法》，分別規(guī)定了公民個人信息的使用規(guī)則和公眾對政府信息的知情權(quán)。在私領(lǐng)域，主要依靠外部的社會組織制定的自律規(guī)則進(jìn)行輔助引導(dǎo)。美國的行業(yè)組織較為發(fā)達(dá)，在個人信息保護(hù)方面制定較為針對性的自律規(guī)則，更加有效地實(shí)現(xiàn)公民個人信息的保護(hù)。為了保障政府信息公開和個人信息保護(hù)能夠有序進(jìn)行，美國通過公法與行業(yè)自律規(guī)則相結(jié)合的模式，分別在兩種制度中明確了各自規(guī)制的范圍和側(cè)重點(diǎn)。美國的這一完善的制度設(shè)計對我國個人信息保護(hù)制度的健全具有一定的啟發(fā)意義，我國可以在行政法中明確公民個人信息權(quán)的范圍，并對行政機(jī)關(guān)處理公民個人信息時的職責(zé)和義務(wù)作出詳細(xì)規(guī)定，避免公民個人信息權(quán)在政府信息公開過程中遭受侵害。

3.2 歐盟的統(tǒng)一立法模式

歐盟于2018年5月25日全面實(shí)施的《通用數(shù)據(jù)保護(hù)條例》①對公民個人信息的保護(hù)和監(jiān)管規(guī)定了較高的保護(hù)程度和保護(hù)標(biāo)準(zhǔn)。《通用數(shù)據(jù)保護(hù)條例》作為各成員國在個人信息保護(hù)領(lǐng)域共同遵守的法律，各成員國可根據(jù)自身實(shí)際情況出臺相應(yīng)的配套法律，保障歐盟體內(nèi)各國家之間信息的安全流通。歐盟還設(shè)立了針對個人數(shù)據(jù)保護(hù)的專門機(jī)構(gòu)，主要對信息控制者的行為進(jìn)行監(jiān)管，在公民個人信息被違規(guī)披露或流通時，可以行使投訴權(quán)。同時，監(jiān)管機(jī)構(gòu)還擁有強(qiáng)大的執(zhí)法權(quán)，便于其調(diào)查和處理個人數(shù)據(jù)相關(guān)的投訴事件。我國有必要借鑒歐盟的經(jīng)驗(yàn)，在個人數(shù)據(jù)的收集、流通方面制定完善的規(guī)則促使行政機(jī)關(guān)對個人信息進(jìn)行有序、有效的管理和保護(hù)，學(xué)習(xí)歐盟監(jiān)管機(jī)構(gòu)的設(shè)立及權(quán)利配置，提高行政機(jī)關(guān)在個人信息保護(hù)方面的執(zhí)法效能。

3.3 日本的統(tǒng)分結(jié)合立法模式

日本制定了統(tǒng)一的《個人信息保護(hù)法》，通過分散立法和統(tǒng)一立法相結(jié)合的模式，分別對政府機(jī)關(guān)和個人在信息處理方面應(yīng)遵循的規(guī)則制定了不同的法律。在個人信息保護(hù)法律制度建設(shè)方面，國家和地方均有相應(yīng)的立法，法律保護(hù)體系較為健全。日本未設(shè)置專門的個人信息保護(hù)的監(jiān)管機(jī)構(gòu)，但通過賦予行業(yè)組織處理公民信息一定的自由度量的權(quán)力，確立了公民個人信息受損害時可向個人信息保護(hù)委員會尋求救濟(jì)的制度。同時，日本還設(shè)置了“信息公開與個人信息保護(hù)審查會”，作為中立的第三方機(jī)構(gòu)，主要為行政機(jī)關(guān)信息公開和個人信息保護(hù)類的案件提供咨詢建議。日本法律在賠償救濟(jì)途徑方面的規(guī)定也較為完善，公民可以在國家賠償?shù)木葷?jì)無法實(shí)現(xiàn)時，主張民事賠償請求權(quán)，賦予公民多種個人信息權(quán)利救濟(jì)途徑。

4 我國個人信息行政法保護(hù)的改善建議

4.1 出臺專門的個人信息保護(hù)法

我國在各個部門法中零散的規(guī)定了個人信息保護(hù)的條款，但是部門法之間缺乏協(xié)調(diào)性，與形成全面的保護(hù)體系尚有一定的差距。統(tǒng)一立法模式更符合我國成文法的立法傳統(tǒng)，且較之零散的立法模式，統(tǒng)一立法能夠有效避免標(biāo)準(zhǔn)多樣的弊端，更加有利于司法實(shí)踐中的有效執(zhí)行。因此，采取統(tǒng)一的立法模式，制定專門的《個人信息保護(hù)法》，明確規(guī)定個人信息的保護(hù)原則、保護(hù)范圍、救濟(jì)途徑以及侵權(quán)賠償?shù)葍?nèi)容，才能為更有效地保障公民的個人信息安全提供法律依據(jù)。

4.2 設(shè)立專門的個人信息保護(hù)監(jiān)管機(jī)構(gòu)

設(shè)立個人信息保護(hù)的監(jiān)管機(jī)構(gòu)，專門對個人信息處理者的行為進(jìn)行監(jiān)督和管理。針對不同的監(jiān)管對象設(shè)置兩個部門，分別監(jiān)管行政機(jī)關(guān)和非行政機(jī)關(guān)，賦予其相應(yīng)的行政權(quán)力，如調(diào)查檢查權(quán)、行政裁決權(quán)、行政處罰權(quán)、行政救濟(jì)權(quán)等。同時，保證執(zhí)法機(jī)構(gòu)的獨(dú)立性，保障其職權(quán)的實(shí)現(xiàn)。建立專門的個人信息保護(hù)機(jī)構(gòu)監(jiān)督、管理信息處理的各類問題，實(shí)現(xiàn)監(jiān)管標(biāo)準(zhǔn)一體化，保障法律的有效實(shí)施。

4.3 完善個人信息的行政救濟(jì)制度

當(dāng)政府機(jī)關(guān)對收集的公民個人信息未盡到安全保護(hù)義務(wù)致使信息泄露，或者公民個人信息被行政機(jī)關(guān)超范圍或超職權(quán)使用，給公民人身或財產(chǎn)造成一定損失時，公民有權(quán)根據(jù)《行政訴訟法》和《國家賠償法》的規(guī)定，要求公共部門賠償損失，也可以在申請復(fù)議和提起訴訟中一并提出賠償。

第一，行政復(fù)議及行政訴訟。擴(kuò)大行政復(fù)議和行政訴訟的受案范圍，行政執(zhí)法部門對個人信息主體作出不法行為時，公民個人可以向個人信息的專門管理機(jī)構(gòu)申請行政復(fù)議，或向法院提起行政訴訟。由于公民因個人信息遭受侵害而提起行政訴訟時侵權(quán)主體的確定具有一定的難度，應(yīng)該由疑似侵權(quán)主體承擔(dān)舉證責(zé)任。專門機(jī)構(gòu)和法院根據(jù)具體的法律規(guī)定，對政府機(jī)關(guān)的具體行政行為進(jìn)行調(diào)查，如確認(rèn)侵害公民的合法權(quán)益，依據(jù)相關(guān)法律規(guī)定對相關(guān)負(fù)責(zé)人進(jìn)行行政處罰。

第二，行政賠償。國家機(jī)關(guān)及其工作人員行使職權(quán)損害公民合法權(quán)益的，受害人有權(quán)取得國家賠償。因而，行政機(jī)關(guān)侵害公民的個人信息時，受害人可以直接請求賠償也可以在提出行政復(fù)議時要求行政賠償。行政工作人員侵害個人信息時，公民可以向信息執(zhí)法機(jī)構(gòu)申訴，主張損害賠償。如果通過上述兩種方式不能實(shí)現(xiàn)對當(dāng)事人的救濟(jì)，可以提出行政訴訟，尋求司法救濟(jì)，獲得賠償。同時，建議在行政賠償?shù)姆秶性黾訉€人信息人身權(quán)益造成損害的精神賠償金，以彌補(bǔ)公民個人所遭受的精神損害。

5 結(jié)語

大數(shù)據(jù)時代，世界各國將進(jìn)一步加強(qiáng)對個人信息權(quán)的保護(hù)，在我國這樣一個注重行政管制的國家，從行政法層面加強(qiáng)對個人信息保護(hù)具有更高的嚴(yán)密性。行政法可以明確具體地規(guī)定個人信息的請求更正權(quán)和救濟(jì)權(quán)，相較于民法和刑法的規(guī)制范圍，行政法更具有針對性，是個人信息保護(hù)體系中最有效的手段。我國出臺《個人信息保護(hù)法》的迫切性日益凸顯，本文通過分析我國現(xiàn)有行政法在個人信息保護(hù)方面存在的不足，提出相應(yīng)的解決建議，為將來我國《個人信息保護(hù)法》的出臺提供理論依據(jù)。

注釋：

①《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，簡稱GDPR）為歐洲聯(lián)盟的條例，前身是歐盟在1995年制定的《計算機(jī)數(shù)據(jù)保護(hù)法》。2018年5月25日，歐洲聯(lián)盟出臺《通用數(shù)據(jù)保護(hù)條例》。