李富民

（南安市法律援助中心，福建南安 362300）

0 引言

我國個人信息保護(hù)的私法救濟(jì)途徑淵源較長，也更為成熟，而行政規(guī)制在大數(shù)據(jù)時代才真正走入人們的視野。此時，獲取個人信息的成本降低，公民的個人信息侵權(quán)案件數(shù)量不斷增加，司法程序復(fù)雜冗長，行政規(guī)制彰顯優(yōu)勢，專業(yè)且便捷的行政機(jī)關(guān)更能發(fā)揮治理作用。基于此，對個人信息保護(hù)的行政規(guī)制進(jìn)行研究。

1 個人信息保護(hù)概述

1.1 個人信息權(quán)利的界定

隨著社會經(jīng)濟(jì)的發(fā)展，人們的思想也隨之發(fā)生變化，權(quán)利意識逐漸覺醒，產(chǎn)生了立法者將法律“權(quán)利化”的訴求，個人信息自然也被“權(quán)利化”，但不同國家對個人信息權(quán)利的界定不同。

我國《中華人民共和國個人信息保護(hù)法》（以下簡稱《個人信息保護(hù)法》）規(guī)定，個人對自身信息的處理享有知情權(quán)、決定權(quán)，有權(quán)限制或者拒絕他人對個人信息進(jìn)行處理；法律、行政法規(guī)另有規(guī)定的除外?！吨腥A人民共和國民法典》人格權(quán)編規(guī)定了隱私權(quán)和個人信息保護(hù)。也就是說，個人信息權(quán)利在我國屬于人格權(quán)利，但又被區(qū)別于隱私權(quán)，有學(xué)者將此界定為“獨(dú)立的具體人格權(quán)”[1]。

1.2 個人信息保護(hù)路徑的演變

早期由于流通渠道不夠暢通、網(wǎng)絡(luò)技術(shù)水平不高等因素，個人信息侵犯案件并不是十分復(fù)雜，所以大多按照侵權(quán)訴訟這種司法救濟(jì)解決。當(dāng)時的個人信息保護(hù)路徑也就是私法救濟(jì)路徑，行政主體還沒有參與的必要，自然行政規(guī)制還未發(fā)展。

科技有了一定進(jìn)步、信息流通量開始增大后，單一的保護(hù)路徑無法完全保障個人信息的安全時，行政主體才參與進(jìn)個人信息保護(hù)。有的國家拓寬了隱私權(quán)內(nèi)涵，有的國家確立了“個人信息自決權(quán)”，以提高個人對信息的控制權(quán)。但由于個人力量薄弱且權(quán)利意識不足，該種賦權(quán)極易淪為形式主義[2]。就如“告知—同意”機(jī)制一樣，告知同意原則指企業(yè)在收集個人信息時，應(yīng)充分告知信息主體有關(guān)個人信息的收集、處理和使用情況，并取得信息主體的明確同意的原則[3]。但在網(wǎng)絡(luò)空間中，信息主體并不一定處于充分知情的情況。因此，該機(jī)制產(chǎn)生了困境，走向了形式主義。為解決這個難題，各國開始運(yùn)用行政主體的監(jiān)管智能，試圖提高企業(yè)收集、使用個人信息的透明度，保證個人的知情權(quán)。

雖然出現(xiàn)了行政主體的身影，但卻不是作為一條實(shí)質(zhì)的保護(hù)路徑出現(xiàn)的，在大數(shù)據(jù)時代行政規(guī)制才真正成為個人信息保護(hù)的一種手段。2018 年3 月，F(xiàn)acebook 泄露將近5000 萬用戶的個人信息；2019 年2 月，深網(wǎng)視界被揭發(fā)泄露250 萬人臉數(shù)據(jù)，還有換臉軟件“ZAO”被爆利用隱私條款違法收集個人信息[4]；2022 年12 月，蔚來汽車就用戶數(shù)據(jù)遭竊取發(fā)表致歉聲明，證實(shí)此前其用戶數(shù)據(jù)被泄露的傳聞。從這些數(shù)據(jù)可見，許多大型企業(yè)不斷在侵犯個人信息，企業(yè)與個人之間力量懸殊，只有引入一股更為強(qiáng)勢的力量才能與之抗衡。這股力量便是行政規(guī)制，行政規(guī)制不再作為一種輔助性手段，而是成為與私法救濟(jì)同等地位的手段。

2 行政規(guī)制的內(nèi)容

2.1 行政規(guī)制主體

《個人信息保護(hù)法》確立了多主體的監(jiān)管架構(gòu)，第60 條規(guī)定國家網(wǎng)信部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)個人信息保護(hù)工作和相關(guān)監(jiān)督管理工作。國務(wù)院有關(guān)部門依照本法和有關(guān)法律、行政法規(guī)的規(guī)定，在各自職責(zé)范圍內(nèi)負(fù)責(zé)個人信息保護(hù)和監(jiān)督管理工作?？h級以上地方人民政府有關(guān)部門的個人信息保護(hù)和監(jiān)督管理職責(zé)，按照國家有關(guān)規(guī)定確定。

2.2 行政規(guī)制對象

個人信息的行政規(guī)制對象，即個人信息處理者，指組織或個人在處理個人信息的過程中，可以自主決定處理的意圖、方法[5]。而個人信息的處理則主要是收集、保存、運(yùn)用、加工、傳送、供應(yīng)、公開和清除等。個人信息處理者可以分為兩大類，一類是國家機(jī)關(guān)，另一類是一般個人信息處理者。

國家機(jī)關(guān)作為個人信息的處理者，除了要符合《個人信息保護(hù)法》的一般性規(guī)定外，還必須遵守國家有關(guān)個人信息的特殊規(guī)定。例如，應(yīng)按照規(guī)定的職權(quán)和流程辦事，不得超出其職權(quán)范圍和限度。

除了國家機(jī)關(guān)以外，其他組織、自然人均為一般的個人信息處理者?！秱€人信息保護(hù)法》規(guī)定，處理個人信息超過國家網(wǎng)絡(luò)通信機(jī)構(gòu)規(guī)定數(shù)目的，應(yīng)指定個人信息保護(hù)主管人員，公布主管人員的信息，并將主管人員信息上報(bào)主管部門。

2.3 行政規(guī)制方法

個人信息保護(hù)的行政規(guī)制方法大多與行政處罰、行政強(qiáng)制措施等行政手段重合?！秱€人信息保護(hù)法》規(guī)定，履行個人信息保護(hù)職責(zé)部門的工作：（1）詢問當(dāng)事人；（2）查閱、復(fù)制相關(guān)資料；（3）現(xiàn)場檢查；（4）檢查、扣押相關(guān)的設(shè)備、物品。當(dāng)事人應(yīng)予以協(xié)助、配合。另外，還有警告、沒收違法所得、罰款責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷許可證或營業(yè)執(zhí)照等方法。

在這些制度中，比較特殊的一種規(guī)制方式就是行政約談。行政約談是一種具體的行政行為，由具有特定行政權(quán)力的行政主體，通過訪談、交流等手段，對被約談方存在的問題進(jìn)行矯正和規(guī)范。同時，在接到建議后15 個工作日內(nèi)，被約談的行政相對方要將問題的處理結(jié)果以書面形式提交，以保證行政約談的效果[6]。

3 個人信息保護(hù)行政規(guī)制面臨的困境

3.1 個人信息保護(hù)的行政規(guī)制法律依據(jù)不足

事實(shí)上，個人信息保護(hù)相關(guān)的法律和法規(guī)并不少，最典型的莫過于《個人信息保護(hù)法》，《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國政府信息公開條例》等法律法規(guī)中也有涉及個人信息保護(hù)的條款。但是，行政規(guī)制的法律依據(jù)仍有缺失。從《個人信息保護(hù)法》來看，第62 條規(guī)定網(wǎng)信部門推進(jìn)信息保護(hù)的工作方法，第64 條規(guī)定發(fā)現(xiàn)侵權(quán)行為的部門可采取的措施，《個人信息保護(hù)法》中當(dāng)然也有關(guān)于行政規(guī)制的條款，但是大部分條款都沒有具體、細(xì)致的規(guī)定。如果法條中授權(quán)不明確，“空白授權(quán)”就容易導(dǎo)致違法行為的產(chǎn)生，利用行政規(guī)制保護(hù)個人信息的作用就會大大降低，無法達(dá)到預(yù)期效果?！吨腥A人民共和國網(wǎng)絡(luò)安全法》規(guī)定，國家網(wǎng)信部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)網(wǎng)絡(luò)安全工作和相關(guān)監(jiān)督管理工作。對于該條規(guī)定，有學(xué)者指出由于網(wǎng)絡(luò)行政事務(wù)繁雜，行政主體大多會將資源和時間傾向于影響力大或危害性較大的網(wǎng)絡(luò)安全案件，對于微小的個人侵權(quán)案件反而疏于監(jiān)管?！吨腥A人民共和國政府信息公開條例》針對政府信息和政務(wù)的透明公開進(jìn)行了規(guī)定，但該法內(nèi)容有限，保護(hù)力量薄弱。

3.2 尚未形成統(tǒng)一的監(jiān)管機(jī)構(gòu)

我國目前并沒有獨(dú)立、統(tǒng)一的行政監(jiān)管機(jī)構(gòu)，而是由法律確定各個部門的監(jiān)管區(qū)域，十分零散，難以統(tǒng)一管控，無法形成合力。如《網(wǎng)絡(luò)安全法》規(guī)定了國家網(wǎng)信部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)網(wǎng)絡(luò)安全工作和相關(guān)監(jiān)督管理工作。國務(wù)院電信主管部門、公安部門和其他有關(guān)機(jī)關(guān)依照本法和有關(guān)法律、行政法規(guī)的規(guī)定，在各自職責(zé)范圍內(nèi)負(fù)責(zé)網(wǎng)絡(luò)安全保護(hù)和監(jiān)督管理工作?？h級以上地方人民政府有關(guān)部門的網(wǎng)絡(luò)安全保護(hù)和監(jiān)督管理職責(zé)，按照國家有關(guān)規(guī)定確定?！吨腥A人民共和國消費(fèi)者權(quán)益保護(hù)法》明確各級人民政府工商行政管理部門和其他有關(guān)行政部門應(yīng)依照法律、法規(guī)的規(guī)定，在各自的職責(zé)范圍內(nèi)采取措施，保護(hù)消費(fèi)者的合法權(quán)益。從這些規(guī)定中可以看出，我國個人信息的監(jiān)管機(jī)構(gòu)分散且籠統(tǒng)的，對我國個人信息保護(hù)的發(fā)展起到消極作用。如果不能建立統(tǒng)一的行政監(jiān)管機(jī)構(gòu)，就容易導(dǎo)致管控遺漏。例如旅游領(lǐng)域的個人信息保護(hù)，盡管已經(jīng)制定了一些法律，但缺少監(jiān)管主體，使得法律成為空殼，不能發(fā)揮作用。

另外，將各部門職責(zé)分開，導(dǎo)致權(quán)力分散、權(quán)責(zé)不清晰，很容易出現(xiàn)“踢皮球”的現(xiàn)象，各部門在遇到問題或困難時互相推諉，導(dǎo)致公信力下降，使個人信息保護(hù)工作無法正常進(jìn)行。除“踢皮球”現(xiàn)象外，還會產(chǎn)生職責(zé)重疊現(xiàn)象，因?yàn)楦鞑块T職責(zé)是由不同的法律規(guī)定的，所以難免出現(xiàn)職責(zé)重疊，引起部門之間無法協(xié)調(diào)工作，出現(xiàn)混亂。

3.3 缺少細(xì)致的行政規(guī)制措施

目前，我國存在多種行政規(guī)制措施，還不夠完善、精細(xì)，有待立法將其妥善分配。首先，在侵害發(fā)生前的預(yù)防機(jī)制上，預(yù)防機(jī)制、警報(bào)工作不到位。政府對于市場是一雙“看不見的手”，一般不會對市場造成過多干預(yù)，且基于“告知—同意”機(jī)制，信息處理者收集個人信息時，行政機(jī)關(guān)不會干涉過多。但這正是導(dǎo)致侵權(quán)行為頻發(fā)的源頭，行政部門要做好預(yù)防措施，避免事件的發(fā)生。其次，各種措施實(shí)施時間不恰當(dāng)，我國在發(fā)現(xiàn)信息處理者涉嫌侵害個人信息時經(jīng)常會運(yùn)用“行政約談”的手段。如，2022年2 月，張掖市互聯(lián)網(wǎng)信息辦公室依據(jù)相關(guān)法律法規(guī)分別對2 家門戶網(wǎng)站負(fù)責(zé)人及網(wǎng)站信息內(nèi)容編審人員進(jìn)行執(zhí)法約談，并予以警告；同月，蕪湖市市場監(jiān)管局、消保委召開加強(qiáng)消費(fèi)者個人信息保護(hù)工作推進(jìn)會暨企業(yè)提醒約談會。可以看出，行政機(jī)關(guān)在事中監(jiān)督工作中大量使用行政約談手段，但行政約談起到的只是警告預(yù)示作用，應(yīng)作為事前預(yù)防手段，而作為事中監(jiān)督手段使用顯得有些乏力。

3.4 行政機(jī)關(guān)自身行為不當(dāng)

行政規(guī)制路徑的實(shí)施主體毋庸置疑是行政機(jī)關(guān)，這就要求行政機(jī)關(guān)本身做好職責(zé)內(nèi)的事，要依法辦事，但實(shí)踐中仍存在行政機(jī)關(guān)執(zhí)法不當(dāng)?shù)男袨?。例如，行政機(jī)關(guān)有著強(qiáng)大的調(diào)查權(quán)，可以獲得全面完整的侵權(quán)證據(jù)，但也會使行政機(jī)關(guān)超越調(diào)查權(quán)限收集或使用個人信息。強(qiáng)大的權(quán)力容易使人迷失在邊界，做出超越邊界的錯誤行為，反而成為侵犯公民隱私的元兇。目前對于行政機(jī)關(guān)處理個人信息的規(guī)定過于籠統(tǒng)，行政機(jī)關(guān)存在濫用權(quán)力的問題，監(jiān)管效果大打折扣[7]。除了調(diào)查權(quán)，行政機(jī)關(guān)在個人信息保護(hù)中最重要的是監(jiān)管權(quán)，行政機(jī)關(guān)監(jiān)管大量的個人信息，行政部門是個人信息的集中地，如果在技術(shù)上產(chǎn)生漏洞，不法分子就會抓住漏洞盜取個人信息，造成嚴(yán)重的后果。另外，行政機(jī)關(guān)內(nèi)部人員可能會不顧公共安全，為了商業(yè)利益將個人信息泄露。

4 完善個人信息保護(hù)行政規(guī)制的措施

4.1 明確行政規(guī)制法律依據(jù)

目前，我國《中華人民共和國民法典》《中華人民共和國網(wǎng)絡(luò)安全法》《個人信息保護(hù)法》都已經(jīng)出臺，但行政規(guī)制手段散見于各個法律，沒有建立統(tǒng)一的行政規(guī)制體系。立法部門應(yīng)積極吸取相關(guān)個人信息保護(hù)的案例經(jīng)驗(yàn)，分析歸納他國個人信息行政規(guī)制的法律依據(jù)，充分聽取學(xué)者以及公眾的意見，盡快明確個人信息保護(hù)的行政法律規(guī)制。我國出臺的《個人信息保護(hù)法》是個人信息保護(hù)道路上的里程碑，但其未確定統(tǒng)一的監(jiān)管機(jī)構(gòu)。在權(quán)力設(shè)置方面，《個人信息保護(hù)法》規(guī)定得太過籠統(tǒng)，應(yīng)細(xì)化權(quán)力和職責(zé)的范圍，實(shí)現(xiàn)邊界清晰化，防止行政機(jī)關(guān)或信息處理者鉆空子，做出侵害個人信息的行為。

4.2 構(gòu)建獨(dú)立、統(tǒng)一的監(jiān)管機(jī)構(gòu)

我國對個人信息保護(hù)的監(jiān)管機(jī)構(gòu)多且權(quán)責(zé)不清，不僅會出現(xiàn)“踢皮球”的現(xiàn)象，還會造成職責(zé)重復(fù)的問題。因此，構(gòu)建獨(dú)立、統(tǒng)一的監(jiān)管機(jī)構(gòu)，打破不同部門之間的界限，由一個機(jī)構(gòu)統(tǒng)籌分配任務(wù)，各部門在監(jiān)管機(jī)構(gòu)的統(tǒng)一領(lǐng)導(dǎo)下互相合作，這是我國個人信息保護(hù)道路的一項(xiàng)重要工程。

首先，監(jiān)管機(jī)構(gòu)作為一個獨(dú)立的機(jī)構(gòu)，其組成人員必須“新穎”。具體指抽調(diào)行政人員組成全新的機(jī)構(gòu)，而不是由原先的某一個部門收攏權(quán)力。有學(xué)者提出，在《中華人民共和國網(wǎng)絡(luò)安全法》《個人信息保護(hù)法》中網(wǎng)信部門都是作為保護(hù)個人信息的主要機(jī)構(gòu)，或許可以將網(wǎng)信部門發(fā)展為統(tǒng)一的監(jiān)管機(jī)構(gòu)[8]。但是，網(wǎng)信部門擅長的是其部門領(lǐng)域內(nèi)的事務(wù)，若是涉及其他領(lǐng)域的個人信息問題，就不會那么得心應(yīng)手。因此，可以從各個領(lǐng)域抽調(diào)人手組成新的監(jiān)管機(jī)構(gòu)，再由該機(jī)構(gòu)統(tǒng)一調(diào)配工作任務(wù)，以提高工作效率。

其次，作為獨(dú)立的監(jiān)管機(jī)構(gòu)，要確保內(nèi)部人員的廉潔公正，做好保密工作，防止信息泄露。內(nèi)部監(jiān)察工作也應(yīng)到位，對違法泄露個人隱私的政府工作人員，應(yīng)給予更為嚴(yán)厲的懲罰。保障技術(shù)安全，對存儲設(shè)備進(jìn)行技術(shù)升級，防止黑客侵入以及企業(yè)的違法訪問。

最后，監(jiān)管機(jī)構(gòu)設(shè)施必須完備、精密。監(jiān)管機(jī)構(gòu)作為個人信息的儲存地，儲存設(shè)施必須精密，技術(shù)更新速度要迅速，維護(hù)數(shù)據(jù)管理設(shè)備安全，防止“黑客”入侵行政機(jī)構(gòu)內(nèi)網(wǎng)盜取信息。若不幸被盜取或泄露信息，機(jī)構(gòu)應(yīng)提前建立信息安全監(jiān)督部門，及時處理后續(xù)工作。

4.3 妥善分配行政規(guī)制各環(huán)節(jié)任務(wù)

事前預(yù)防方面，政府應(yīng)建立統(tǒng)一的風(fēng)險(xiǎn)保障機(jī)制，監(jiān)控市場舉動，既要防止侵害行為的發(fā)生，又要做好應(yīng)急保障工作。風(fēng)險(xiǎn)評估工作中，可以將各個信息處理者按照等級劃分為低、中、高風(fēng)險(xiǎn)，按照風(fēng)險(xiǎn)等級，提升監(jiān)督力度[9]。除外部監(jiān)督外，內(nèi)部泄露也是一大隱患，需要多加預(yù)防。

事中監(jiān)督方面，在侵害個人信息行為發(fā)生時，應(yīng)立刻采取緊急措施，控制侵害行為，防止個人信息的進(jìn)一步泄露。行政機(jī)關(guān)不應(yīng)只在危害發(fā)生時才有所行動，在日常工作中，可以積極行使調(diào)查權(quán)，通過隨機(jī)抽查，發(fā)現(xiàn)泄露個人信息的行為應(yīng)及時予以處罰和控制。行政機(jī)關(guān)應(yīng)規(guī)制、監(jiān)管各行業(yè)對個人信息的收集、使用限度，不可隨意濫用，侵犯公民權(quán)利。

事后處罰方面，對不合理使用個人信息、隨意泄露個人信息的企業(yè)，應(yīng)給予一定的行政處罰。行政處罰應(yīng)具有懲戒性，懲罰力度不可過輕，必須起到警示作用。處罰并不意味著整個事件的結(jié)束，還應(yīng)對侵犯他人個人信息的企業(yè)進(jìn)行追蹤調(diào)查，檢查其是否存在再犯行為。事后除了處罰與追蹤，還可以對侵權(quán)方進(jìn)行教育與宣傳，定時開展宣講會或派人到現(xiàn)場普法，培養(yǎng)企業(yè)的個人信息保護(hù)意識，增強(qiáng)其社會共建理念，強(qiáng)化責(zé)任意識[10]。

4.4 追求多方協(xié)作

個人信息保護(hù)的主要手段是司法救濟(jì)和行政規(guī)制，這兩種手段雖然內(nèi)涵不同，但其目的是一致的?！肮絽f(xié)力，合作共治”是未來個人信息保護(hù)的一條重要途徑。在公民個人信息受到侵犯時，首先嘗試行政申訴，行政機(jī)關(guān)的調(diào)查權(quán)和專業(yè)性更能為其提供幫助，行政申訴失敗，再進(jìn)行訴訟，可以避免浪費(fèi)司法資源。當(dāng)然，行政申訴并不是前置程序，應(yīng)給予被侵權(quán)人多種選擇。在強(qiáng)調(diào)公私合作之余，還可以引進(jìn)第三方監(jiān)管機(jī)構(gòu)，即數(shù)據(jù)安全認(rèn)證，通過信用評估機(jī)制，激勵企業(yè)遵守法律法規(guī)，增強(qiáng)公民對企業(yè)的信任感，避免政府“一刀切”規(guī)制[11]。數(shù)據(jù)安全認(rèn)證可以在市場和政府無法做出反應(yīng)時，實(shí)現(xiàn)互聯(lián)網(wǎng)時代個人信息的安全和保障，是保護(hù)個人信息的重要手段。

對企業(yè)、公民來說，應(yīng)加強(qiáng)配合與協(xié)作。政府與企業(yè)之間可以共同設(shè)立風(fēng)險(xiǎn)儲備金，防止侵害行為的發(fā)生。企業(yè)應(yīng)做到遵守法律規(guī)定，落實(shí)“法無規(guī)定不可為”，合法、正當(dāng)?shù)匦惺箼?quán)利。政府應(yīng)發(fā)揮引導(dǎo)與服務(wù)的作用。引導(dǎo)公民保護(hù)自身的個人信息，加強(qiáng)宣傳教育，適當(dāng)開展活動，使公民樹立保護(hù)個人隱私的責(zé)任意識。公民也要積極捍衛(wèi)隱私權(quán)，積極配合工作，在發(fā)現(xiàn)侵害隱私行為時，及時向行政部門申訴。

5 結(jié)語

當(dāng)前，行政規(guī)制在個人信息保護(hù)中越來越普遍，行政規(guī)制手段能夠彌補(bǔ)私法救濟(jì)的不足，積極引導(dǎo)社會走向，確保公民個人信息安全。不可忽視的是，行政規(guī)制存在的一定缺陷，國家對這些缺陷應(yīng)以更快的速度做出反應(yīng)，完善行政規(guī)制。行政規(guī)制只是個人信息保護(hù)中的一個手段，要想保障個人信息安全，還需要各方共同努力，國家機(jī)關(guān)、市場、企業(yè)，甚至是公民個人都應(yīng)該以適當(dāng)?shù)姆绞奖Ｗo(hù)個人信息，維持社會秩序，共創(chuàng)美好家園。