劉一毫，南麗軍

（東北林業(yè)大學文法學院，黑龍江哈爾濱 150040）

在信息技術(shù)日新月異的時代，個人信息因其具備顯而易見的經(jīng)濟效益和社會效益，已成為一種重要的戰(zhàn)略資源，無論是政府的日常管理，還是企業(yè)的商業(yè)活動，個人信息在其中扮演的角色都至關(guān)重要。我國第一部關(guān)于個人信息保護的專門立法《中華人民共和國個人信息保護法》正是我國高速發(fā)展的數(shù)字經(jīng)濟對個人信息保護迫切需求的堅實回應。本文基于行政法的視角，以《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）為基礎(chǔ)，針對如今我國個人信息保護立法存在的問題，試論我國個人信息保護立法的必要性和適用性。

一、《個人信息保護法》出臺背景

當前，國際社會數(shù)字經(jīng)濟發(fā)展空前迅速，在全球范圍內(nèi)數(shù)據(jù)的流動頻率越來越高，[1]數(shù)據(jù)控制力與數(shù)據(jù)主導權(quán)的重要性日益顯著。在我國強調(diào)加快培育數(shù)據(jù)要素的市場背景下，各領(lǐng)域?qū)€人信息保護立法的需求逐年遞增，而個人信息保護立法卻相對分散，相對冗雜的立法狀況在個人信息泄露、非法采集等嚴峻形勢面前已無法從容應對，《個人信息保護法》是我國個人信息保護近年來的總結(jié)歸納與創(chuàng)新，也是改善目前形勢，探索制度道路的必然選擇。

（一）我國個人信息保護立法不足 我國現(xiàn)行的個人信息保護的法律法規(guī)中，保護個人信息的核心思想為保護個人隱私，這些法律法規(guī)主要分布在憲法、民法、刑法、行政法以及數(shù)據(jù)要素市場的行業(yè)規(guī)定中。比如2021 年1 月1 日實施的《民法典》中規(guī)定了自然人的個人信息受法律的保護;《民事訴訟法》中對涉及個人隱私等民事案件不公開進行作出了明確的規(guī)定等。這些規(guī)定從不同層次、不同層級體現(xiàn)了我國對個人信息的法律保護，但往往只有一條或幾條是與之相關(guān)的法律條令，且在具體適用時常常存在協(xié)調(diào)性不足的問題。因此我國切實需要一部可以將各部門法律統(tǒng)籌兼顧、相互協(xié)調(diào)的個人信息保護專門立法。

我國個人信息保護立法不足的主要原因：

第一，立法計劃和進程的遲滯，導致我國對個人信息保護的概念以及救濟等基本問題缺乏統(tǒng)一的規(guī)劃、界定，不僅增加立法成本以及浪費立法資源，也使不同個人信息保護的法律出現(xiàn)相互沖突和矛盾的問題。

第二，現(xiàn)有各法律規(guī)定之間的內(nèi)容重復，且多數(shù)具體規(guī)則過于寬泛。結(jié)果造成各部門法中規(guī)定了個人信息不得泄露，卻沒有細化出具體的公民應具有的關(guān)于個人信息權(quán)的確權(quán)，只能根據(jù)個別法規(guī)法條推導出具體的權(quán)利，如更正權(quán)、知情權(quán)等。

第三，我國尚未有統(tǒng)一的個人信息保護專門監(jiān)管機構(gòu)。我國近年發(fā)生的涉及侵犯公民個人信息的事件中，大部分處理結(jié)果最后都是不了了之。目前監(jiān)督管理機構(gòu)比較分散，因為各部門之間監(jiān)管界限不清以及權(quán)責部分重合，相互推諉的情況時有發(fā)生，以致于我國涉及個人信息保護的各監(jiān)管機構(gòu)難以發(fā)揮真正的作用。

（二）貫徹國家大戰(zhàn)略的需要 此前，關(guān)于個人信息保護的立法，主要見于各個部門法之中，規(guī)范的層級較低，而且沒有形成統(tǒng)一有序、規(guī)范嚴謹?shù)捏w系。伴隨著《民法典》的出臺，完善個人信息保護立法的重要性日益凸顯，客觀上也是因為我國當前電子信息時代的到來，個人信息保護問題愈發(fā)突出，所以更加有賴于相關(guān)政策、制度以及立法的保駕護航。完善個人信息保護立法，完善法律體系也是具有中國特色個人信息保護法治化現(xiàn)代化的集中體現(xiàn)，是為我國數(shù)字經(jīng)濟搶占國際優(yōu)勢地位的必要保障，國際形勢的飛速變更要求我國要在立法、執(zhí)法上具備堅實的制度的穩(wěn)定性與法律的適應性、前瞻性。

二、我國個人信息保護的立法現(xiàn)狀

縱觀我國個人信息保護法全篇，其內(nèi)容充分學習借鑒了國外先進的立法經(jīng)驗和立法實踐，同時結(jié)合本國實際情況，總結(jié)歸納現(xiàn)有的法律法規(guī)，如《民法典》《網(wǎng)絡安全法》等，吸收大量司法實踐的現(xiàn)實要求，制訂出適合于本國特色的個人信息保護法律體系，從而更好地為我國個人信息保護提供規(guī)范化系統(tǒng)化現(xiàn)代化的法律法規(guī)。

（一）域外個人信息立法保護的實踐經(jīng)驗 個人信息法律保護在國際范圍內(nèi)主要分為兩大類。一是建立統(tǒng)一的貫穿政府與商業(yè)領(lǐng)域的法律，主要為以歐盟為代表的大陸法系國家和地區(qū)。個人信息的收集、使用、處理有標準的流程，同時設立專門的行政機構(gòu)，對個人信息進行專門的監(jiān)管和處理。二是英美法系國家的實踐立法。主要以美國為代表的國家以個人隱私為核心，分別針對政府公共領(lǐng)域、商業(yè)企業(yè)等各行業(yè)建立分門別類的法律規(guī)范。下文將對歐盟和美國的立法經(jīng)驗詳細分析。

1.歐盟《歐盟一般個人信息保護條款》（GDPR）

歐盟個人信息保護立法的主要特點是采取統(tǒng)一立法的方式，即對公務機關(guān)和相關(guān)機關(guān)適用統(tǒng)一的立法，同時對監(jiān)管采取集中管理，設立統(tǒng)一專門的監(jiān)管部門。歐盟在個人信息保護立法上的特點具體表現(xiàn)為：第一，明確的行為規(guī)范。對個人信息的處理，收集、加密等環(huán)節(jié)均使用統(tǒng)一的規(guī)則制度，同時，對個人信息的獲取、使用遵循最優(yōu)采用的原則；第二，獨立的執(zhí)法機制。以專設的信息專員，對相關(guān)的個人信息保護進行專門的處理；第三，公私二元的救濟制度。作為國家行政主體的行政機關(guān)與其他社會主體同時被個人信息保護法監(jiān)管。歐盟統(tǒng)一專門的個人信息保護監(jiān)規(guī)機構(gòu)，可以對公權(quán)機關(guān)主體以及公司、個人等私權(quán)主體的個人信息違法行為進行法律制裁。秉持追求法律與社會相協(xié)調(diào)的理念，歐盟2016年通過并實施了推進歐盟數(shù)字一體化市場建立的《歐盟一般個人信息保護條款》（GDPR），它確認了明示許可制度，并對兒童的“同意”進行了專門規(guī)定；賦予了信息主體個人信息糾正權(quán)、查詢權(quán)、移除權(quán)等；加大了對企業(yè)的行政處罰額度，最高處罰額度可達2000歐元或者全球收入百分之四的罰金，[2]這是目前罰款額度最高的個人數(shù)據(jù)保護法?？傮w來說，歐盟的個人信息保護立法，強調(diào)了對每個公民尊嚴的尊重，強調(diào)人權(quán)保護，增強個人信息處理，增加了民眾對政府公信力的信任，提高了數(shù)據(jù)的流動性與安全性。

2.美國《加州消費者隱私權(quán)法案》（CCPA）

美國《加州消費者隱私權(quán)法案》(以下簡稱CCPA)在2018 年被加州議會通過，于2020 年1 月1 日正式實施。該法案以隱私權(quán)為基礎(chǔ)，全方位地保護了消費者的隱私和數(shù)據(jù)安全。CCPA 的特點主要體現(xiàn)在三個方面：

第一，提出個人隱私并非一成不變，而是因社會發(fā)展而動態(tài)更新。隱私權(quán)不能以單一的方式界定，而是要根據(jù)事件的發(fā)展而賦予其不同的意義，以加強對隱私權(quán)的保護。CCPA 的創(chuàng)新之處在于，新的“情景”模型將會事先設定信息主體的期望值，并代入真實的個人信息處理模式，來觀察這個行為是否超過了設定好的期望區(qū)間，并且禁止公司使用非法手段來收集、存儲和使用有關(guān)公民隱私的信息和數(shù)據(jù)。如果公司的處理行為通過了“情景”設定的合法框架，那么公司才有權(quán)利利用這個規(guī)則，這樣就可以對個人信息進行更清晰的保護。因此，個人隱私已經(jīng)超越了傳統(tǒng)的靜態(tài)觀念，成為一種動態(tài)的觀念。

第二，實行公平多軌的救濟渠道。對于企業(yè)違反CCPA 規(guī)定的侵權(quán)行為，不僅可以采用公力救濟，由加州總檢察長對違法企業(yè)處以最高7500 美元的處罰；也可以采用民事訴訟，主張因企業(yè)違反“合理性”而造成消費者權(quán)益受損的處理行為，就每事每人索賠100 至750 美元區(qū)間內(nèi)的民事賠償，或者禁令與其他宣告性法律救濟，且允許集體訴訟。但CCPA 也要求，民事訴訟必須要在選擇民事訴訟前30 個工作日內(nèi)通知侵權(quán)企業(yè)，企業(yè)可以在此期間與消費者協(xié)商，避免民事訴訟。

（二）我國個人信息立法保護的特色 飛速發(fā)展的現(xiàn)代化社會，對個人信息保護不斷提出新的挑戰(zhàn)，我國個人信息保護立法有的放矢，積極、辯證地學習國外立法理念與司法實踐的先進經(jīng)驗，總結(jié)我國過往的實踐進程，歸納經(jīng)驗，立足創(chuàng)新與實用，使得我國個人信息立法保護既與國際接軌，順應時代潮流，又不乏中國特色。

第一，將個人信息處理者首次納入立法的視野下。我國吸收了GDPR 中對信息控制者和信息處理者進行甄別區(qū)分的理念，并要求其承擔對所掌握的個人信息進行保護的義務。但相比于GDRP的規(guī)定，我國《個人信息保護法》第九條中將保護義務集中于“個人信息處理者”，對于個人信息保護過程中各個主體的具體責任加以明確，也圈定了應當如何采用措施防范風險問題。在《個人信息保護法》的規(guī)定之中，還以專章的形式加以確定，在個人信息處理過程中，相關(guān)的責任人如何履行自己的義務。

第二，對于數(shù)據(jù)儲存相關(guān)問題進行了細致的規(guī)范。這一規(guī)范無疑也是符合實際需要的，因為當前信息跨境發(fā)展中，需要進行隱私保護的場合往往并不局限于國內(nèi)環(huán)境。我國充分吸取各國優(yōu)秀的立法經(jīng)驗，并總結(jié)我國司法實踐在個人信息保護涉及的問題，首次將個人信息的存儲與處理的義務不僅歸于行政機關(guān)、處理和存儲個人信息需要的企業(yè)及相關(guān)社會組織，同時也將個人信息存儲與處理個人信息達到標準數(shù)量的個人信息處理者納入義務體系。

三、當前我國個人信息立法保護存在的問題

（一）法律條文本身 近年來，我國在個人信息保護層面的立法逐漸完善，專項整治已形成常態(tài)化，如《個人信息保護法》就是專門的個人信息保護立法，但其中有尚待完善的瑕疵，主要體現(xiàn)在以下幾個方面：

第一，語言邏輯問題。以《個人信息保護法》第四條第二款為例，其中提到了“包括個人信息的收集、存儲、使用、加工、提供、公開等活動”，其中的“等活動”包括第一款提到的“不包括匿名化處理后的信息”。

第二，條款表述問題。個別條款如《個人信息保護法》第八條，缺乏明確的義務主體，沒有明晰信息處理的主體是個人信息的提供者還是處理者。

第三，法律責任問題?！秱€人信息保護法》規(guī)定的處罰類型過于單一，如《草案》中第七章第六十二條，對于違反法律責任的主體，單純處以罰金，如果違法主體因違法處理個人信息所獲得的利益，超過被處罰的額度，那違法將成為可以謀求利潤的手段，不適宜于高速發(fā)展變更的如今，應對處罰方式進一步具體化和多樣化。

（二）與《民法典》《網(wǎng)絡安全法》《數(shù)據(jù)安全法》的協(xié)調(diào) 在信息保護問題上，無疑是要更為廣泛地發(fā)揮法律的作用，所以立法方面的完善也是有其必要性的，而且個人信息法律往往又橫跨公法和私法兩個領(lǐng)域。[3]而在德國，則將此類法律納入到行政法保護范疇之中。[4]

由于個人信息的特殊性，比如個人信息保護的實質(zhì)以及權(quán)益屬性是人格權(quán)還是財產(chǎn)權(quán)，以及在調(diào)整對象上，個人信息保護法保護的社會關(guān)系范圍無疑是廣泛的，其中既有橫向的，也就是一般來說認為屬于平等主體之間的關(guān)系，同時也包含不平等主體，即公權(quán)力范圍的社會關(guān)系。

第一，與《民法典》的協(xié)調(diào)民法典中，“人格權(quán)編”的分類中首次標明了個人信息保護，并明確規(guī)定了個人信息的適用方式、處理原則、權(quán)利義務等，同時將“人格權(quán)益”上升到個人信息權(quán)益是否受到損害的重要標準，作為我國首個專門的個人信息保護立法，與各個相關(guān)法律規(guī)范相適應是十分必要的?？梢哉f，《個人信息保護法》是以國家監(jiān)管的角度，細化公權(quán)力并以個人信息人格權(quán)益為基礎(chǔ)，維護個人信息合法權(quán)益的特別法。如《個人信息保護法》中的“敏感信息”與“人格權(quán)益”中的“私密信息”的概念是否有沖突，以及如何將這兩個概念區(qū)分與鑒定？關(guān)于個人信息的公開又該如何與“人格權(quán)益”的相關(guān)規(guī)定相適應？

第二，與《網(wǎng)絡安全法》《數(shù)據(jù)安全法》的協(xié)調(diào)。隨著國內(nèi)外形勢日新月異，我國個人信息如何協(xié)調(diào)《網(wǎng)絡安全法》《數(shù)據(jù)安全法》等，尤其是目前的部分規(guī)定存在沖突是尚須嚴肅解決的問題。如《個人信息保護法》行政處罰的規(guī)定方面，與《網(wǎng)絡安全法》存在互相矛盾的地方，如觸犯個人信息處理規(guī)則時需要進行行政處罰時，二法在處罰的最高上限上存在沖突，當二者發(fā)生競合時，應該適用哪部法律？《個人信息保護法》中關(guān)于信息本地安置與信息跨區(qū)域流通在規(guī)定上與《網(wǎng)絡安全法》在法條描述與相關(guān)細則中同樣存在矛盾，如何使二者在適用上有效銜接？此外，《個人信息保護法》與《網(wǎng)絡安全法》《數(shù)據(jù)安全法》在個人信息認證與評估上也要避免重復。

（三）行政救濟制度與個人信息保護脫節(jié) 在個人信息的行政法律救濟方面，我國的立法雖已邁入了體系化建設的快車道，但在行政救濟領(lǐng)域尚有進步空間。現(xiàn)行行政法規(guī)僅規(guī)定行政主體對個人信息負有保密責任義務。但對于行政機關(guān)及其工作人員損害到公民個人信息權(quán)利的行為，有關(guān)行政法沒有明確規(guī)定公民的救濟途徑，只是規(guī)定被侵權(quán)人有權(quán)向有關(guān)行政監(jiān)督部門投訴?？v觀我國《行政復議法》等涉及行政救濟的立法渠道，《行政訴訟法》《國家賠償法》等法律法規(guī)并未明確侵犯公民個人信息是否可以向行政主體提起行政復議，侵犯公民個人信息是否屬于國家賠償?shù)姆ǘǚ秶?/p>

因此，從個人信息行政法保護的視角來看，我國行政救濟在面對公民個人信息權(quán)被侵權(quán)時，無法完全發(fā)揮應有的作用。當公民個人信息遭到非法侵犯時，由于缺乏相對應的救濟渠道，法律沒有辦法對信息主體的信息權(quán)利予以保護，因而導致較為不佳的權(quán)利救濟效果。

四、完善我國個人信息保護法的幾點思考

（一）界定敏感信息，確保動態(tài)客觀 如今國際在個人信息保護上普遍以敏感信息為核心，但如何界定個人敏感信息？怎樣能使個人信息的保護與利用和諧共處？是我國個人信息保護法著重研究和解決的問題?！秱€人信息保護法》界定了個人信息的處理規(guī)則與內(nèi)涵，但個人信息的判定在不同的應用場景更應當是動態(tài)變化的。同時既要保證個人信息的評估判定要與各部門法理念的統(tǒng)籌協(xié)調(diào)，也要保證我國個人信息保護的整體性。個人信息保護的價值不只體現(xiàn)在社會治理中，同樣表現(xiàn)在日益重要的商業(yè)經(jīng)營中，因此，對個人信息保護的界定與評議也要面對公民個人權(quán)益的保護，企業(yè)的經(jīng)濟發(fā)展以及社會穩(wěn)定的多重考驗，因此，《個人信息保護法》第25條中關(guān)于權(quán)責判定標準的個人主觀成分，并不適宜，要平衡好公民個人的權(quán)益、企業(yè)的商業(yè)利益以及社會公共利益，決策的評議更應采用客觀的標準。

（二）明確權(quán)責分工，避免多頭監(jiān)管《個人信息保護法》雖然對于此前規(guī)范不明的問題進行了明確，但是未能從根本上解決我國長期以來未建立成體系的專門機構(gòu)、個人信息由不同部門監(jiān)督和掌握的事實，各部門各行業(yè)的信息錯綜復雜，不只是監(jiān)督難度大，同時個人信息的救濟方式也難以實現(xiàn)，應進一步加強。首先明確專門的監(jiān)管主管部門，協(xié)調(diào)統(tǒng)籌下級各部門的監(jiān)督，同時明確各級各部門的權(quán)責分工與界限，建立統(tǒng)一有效的監(jiān)督管理機構(gòu)。避免立法實施后再續(xù)之前存在的各部門之間權(quán)責與界限重合，影響個人信息監(jiān)督管理部門發(fā)揮應有的效能。而事實上如果能夠盡早介入保護，那么對于個人信息保護來說無疑會更為有利，能夠更好地起到法律的規(guī)范和約束作用。[5]

（三）細化懲戒標準，保證執(zhí)法公正 行政權(quán)運行的一個重要原理，要求行政機關(guān)在追求公共利益的時候，如果對個人的利益造成損害，那么必須從各個方面將損害降到最低。我國刑法針對性的提出侵犯公民個人信息罪，以及目前現(xiàn)有的規(guī)定的罰金方式，再通過增加違法成本的方式，體現(xiàn)法律懲治的威嚴與力度，一定程度上減少了目前個人信息違法的亂象。但《個人信息保護法》中以及現(xiàn)行法律中，監(jiān)管部門關(guān)于罰款的未能確立清晰的劃分，以及相應的罰款幅度，自由裁量的空間過于巨大，這將會影響我國在個人信息保護執(zhí)法上的公平公正。

（四）完善行政救濟，疏通賠償機制 保護公民的個人信息權(quán)利不僅要在監(jiān)管上貫徹實施，懲戒違法行為，同時也要做到行政救濟的真正適配。我國目前的行政救濟方式主要有兩種，分別是行政復議和行政訴訟，為適應新時代的飛速發(fā)展，行政救濟途徑不僅要總結(jié)以往的經(jīng)驗，同時可根據(jù)本國實際情況，考慮吸收在國外已證明確實有效的關(guān)于行政救濟的新探索。如歐盟于2012 年提出的“數(shù)字遺忘權(quán)”，該權(quán)利豐富了公民個人信息保護的權(quán)利，同時提高了公民對保護個人信息的主觀能動性。在向相關(guān)部門提出數(shù)字遺忘權(quán)被拒的情況下，再付諸傳統(tǒng)的行政救濟方式。如當公民不需要某軟件的服務時，應有權(quán)提出刪除自己基于隱私條款其中的個人信息。

五、結(jié)語

自我國為應對國內(nèi)發(fā)展局勢與國外競爭環(huán)境不斷更新個人信息保護立法以來，我國的數(shù)字產(chǎn)業(yè)發(fā)展得十分迅猛，數(shù)字行業(yè)的規(guī)范統(tǒng)一上也進展迅速。我國發(fā)布的《個人信息保護法》是我國個人信息保護方面的集大成之作，充分總結(jié)了我國以往在立法、執(zhí)法層面的經(jīng)驗與教訓，以法律保障的形式很大程度上推動了我國數(shù)字行業(yè)的進步與更新。但目前，我國個人信息保護立法在監(jiān)管機制設定、敏感數(shù)據(jù)界定等制度設計上依然有瑕疵。我國的個人信息保護立法不僅要重點關(guān)注公民個人信息權(quán)利的保障，也要充分地考量經(jīng)濟價值和社會效益之間的平衡，為我國數(shù)字產(chǎn)業(yè)發(fā)展提供堅實的法律保障。我國的個人信息保護法律已有了《網(wǎng)絡安全法》《民法典》等，《數(shù)據(jù)安全法》也將陸續(xù)出臺，個人信息保護法要在保證自身獨立性的前提下，做好與各部門法的協(xié)調(diào)，同時形成囊括刑事、行政、民事的全方位立體的法律保護體系。