近年來我國積極推動個人信息保護(hù)立法，取得了階段性成果，但在數(shù)字治理領(lǐng)域仍然存在著許多不足。不同于常見的法學(xué)領(lǐng)域的研究，本文構(gòu)建出一個較為全面的分析框架，將數(shù)字治理中的個人信息保護(hù)制度劃分為法律層面、行政層面和治理主體層面三個維度，在此基礎(chǔ)上對我國制度發(fā)展的成果和問題進(jìn)行了分析。在制度分析的基礎(chǔ)上，本文就數(shù)字治理中的個人信息保護(hù)制度的完善提出了政策建議：首先，要推進(jìn)立法精細(xì)化，注重行政法規(guī)和行政訴訟，堅(jiān)持嚴(yán)厲問責(zé)，完善救濟(jì)渠道；其次，要建立強(qiáng)力的個人信息保護(hù)監(jiān)管機(jī)構(gòu)，增強(qiáng)技術(shù)標(biāo)準(zhǔn)的強(qiáng)制力和約束力；最后，要完善公民的參與機(jī)制和維權(quán)制度，鼓勵社會組織積極參與個人信息保護(hù)工作，實(shí)現(xiàn)數(shù)字治理中的個人信息保護(hù)工作中的協(xié)同治理局面。

一、數(shù)字治理與個人信息安全

數(shù)字治理為社會治理模式的優(yōu)化轉(zhuǎn)型提供了契機(jī)，但是也引發(fā)了公眾對數(shù)字治理中的個人信息安全問題的關(guān)切。伴隨著信息處理技術(shù)的發(fā)展升級，個人信息的價值與日俱增，公民個人信息的非法利用問題也逐漸凸顯。如何在利用數(shù)字治理為社會創(chuàng)造便利的同時，又能夠最大限度地解決公民個人信息的安全隱患，關(guān)乎著信息技術(shù)和數(shù)字治理的未來。在推進(jìn)數(shù)字治理的過程中實(shí)現(xiàn)個人信息保護(hù)與信息有效利用之間的平衡，成為數(shù)字治理發(fā)展的重要目標(biāo)。

二、數(shù)字治理背景下的制度分析框架

如圖1所示，通過對相關(guān)研究的總結(jié)，結(jié)合我國數(shù)字治理的現(xiàn)實(shí)狀況，本研究構(gòu)建出數(shù)字治理中的個人信息保護(hù)的分析框架。數(shù)字治理中的個人信息保護(hù)制度的內(nèi)涵可以被劃分為三個層面，分別是法律層面、行政層面和治理主體層面。其中法律層面包括立法、司法以及問責(zé)和救濟(jì)制度；行政層面主要包括監(jiān)管機(jī)構(gòu)和技術(shù)標(biāo)準(zhǔn)；治理主體層面體現(xiàn)出協(xié)同治理的思想，主要包括公共部門主體、公眾主體和社會組織主體，其中公共部門主體的治理角色主要體現(xiàn)在行政層面中。

盡管該研究框架將數(shù)字治理中的個人信息保護(hù)制度分為了三個層面，但是三者之間并非是相互獨(dú)立存在的，而是存在著極為緊密的聯(lián)系，例如法律層面的問責(zé)制度會直接影響到行政層面的監(jiān)管機(jī)構(gòu)的權(quán)力行使。如果將數(shù)字治理中的個人信息保護(hù)制度看成一個結(jié)構(gòu)系統(tǒng)，那么法律層面就是其中的目標(biāo)和規(guī)則系統(tǒng)，行政層面是執(zhí)行系統(tǒng)，而治理主體層面是組織系統(tǒng)，三個層面共同構(gòu)成了完整的制度系統(tǒng)，相互影響、相互促進(jìn)。

三、制度困境背后的現(xiàn)實(shí)原因

（一）個人信息保護(hù)立法不夠具體，忽視行政訴訟

在法律建設(shè)方面，《保護(hù)法》填補(bǔ)了我國個人信息保護(hù)法律的長期空缺，促進(jìn)了個人信息保護(hù)工作的廣泛推進(jìn)。但當(dāng)前的法律體系仍然存在很多問題，個人信息保護(hù)立法依然需要改善。

首先，我國的個人信息保護(hù)法律體系并不完善。《保護(hù)法》更多起到綱領(lǐng)性和原則性的作用，缺乏對實(shí)踐的指導(dǎo)能力，因此需要具體的程序法予以支持。同時，數(shù)字時代的信息技術(shù)快速發(fā)展，人們面臨形形色色的侵權(quán)威脅，個人信息保護(hù)的境況處在不斷的變化之中，因此我國的個人信息立法需要與時俱進(jìn)，不僅需要修訂新法，也需要確保已頒布的法律能夠滿足現(xiàn)實(shí)的需求。

其次，我國長期忽視行政訴訟在個人信息保護(hù)中的作用。行政機(jī)關(guān)在公務(wù)中需要利用個人信息，但是并沒有確定信息利用的標(biāo)準(zhǔn)和界限，因此行政機(jī)關(guān)的個人信息侵犯行為難以確定，導(dǎo)致信息侵害行為的模糊性和隱秘性。并且由于行政機(jī)關(guān)與行政相對人之間地位懸殊，個人信息所有者負(fù)擔(dān)較大、舉證困難，導(dǎo)致行政訴訟難上加難。依靠個別行政相對人的力量很難對行政機(jī)關(guān)進(jìn)行追責(zé)，因此我國在近年建立了行政公益訴訟制度，但缺乏詳細(xì)的規(guī)定，實(shí)踐案例較少。

（二）行政規(guī)制能力不足，缺乏強(qiáng)制力和約束力

我國在個人信息保護(hù)中存在著“重法律建設(shè)，輕行政規(guī)制”的情況。《保護(hù)法》確定了我國網(wǎng)信部門在個人信息保護(hù)中的統(tǒng)籌協(xié)調(diào)地位，但是并未能夠真正解決行政執(zhí)法權(quán)力的歸屬問題，因?yàn)榫W(wǎng)信部門僅僅擁有的是統(tǒng)籌協(xié)調(diào)的地位，而不具備統(tǒng)一負(fù)責(zé)的能力。孔祥穩(wěn)認(rèn)為網(wǎng)信部門存在其自身的問題：首先網(wǎng)信部門地位不明，實(shí)際權(quán)力不清；其次網(wǎng)信部門職責(zé)繁重，規(guī)制能力和資源有限；最后，個人信息保護(hù)事務(wù)紛繁復(fù)雜，網(wǎng)信部門不能夠掌握其全貌。倘若網(wǎng)信部門并不適合作為我國個人信息保護(hù)的主管部門，應(yīng)當(dāng)考慮重新設(shè)置一個專門的信息保護(hù)部門。

除了個人信息保護(hù)的行政執(zhí)法部門缺乏必要的規(guī)制能力，在個人信息保護(hù)的技術(shù)標(biāo)準(zhǔn)方面，也缺乏基本的強(qiáng)制力和約束力。上文中提到的等一系列技術(shù)標(biāo)準(zhǔn)都屬于GB/T標(biāo)準(zhǔn)，即推薦性標(biāo)準(zhǔn)，并不具備相應(yīng)的強(qiáng)制性和約束性。因此這些標(biāo)準(zhǔn)和規(guī)范很少得到實(shí)踐的檢驗(yàn)，相關(guān)的信息保護(hù)技術(shù)也無法真正落實(shí)。

（三）公眾缺乏參與渠道，社會組織的作用遭到忽視

當(dāng)前公眾缺乏參與個人信息保護(hù)的積極性，不能夠采取積極的措施維護(hù)自身權(quán)益，更不能保護(hù)社會利益。由于我國制度構(gòu)建的不足，民眾缺乏通暢的維權(quán)渠道和舉報渠道。但與此同時，盡管公眾擁有較強(qiáng)的風(fēng)險感知，但公眾普遍表現(xiàn)出一種“知行不合一”的狀態(tài)。盡管公眾明確了解到個人信息安全風(fēng)險，卻仍然愿意提供個人信息以換取更加便利的服務(wù)，這種“信息悖論”不利于個人信息保護(hù)工作的推進(jìn)，在很大程度上淡化了公眾對自身信息權(quán)益的重視。

社會組織作為個人信息保護(hù)工作中的重要主體，其在個人信息保護(hù)的社會治理中的作用卻經(jīng)常遭到忽視。在我國數(shù)字治理中的個人信息保護(hù)制度中，社會組織處于極為尷尬的地位，缺乏參與治理的制度安排。由于相關(guān)制度的缺乏，社會組織沒有對個人信息保護(hù)制度的發(fā)展產(chǎn)生實(shí)質(zhì)性的推動作用，也沒能起到聚合民意、保護(hù)公益的作用，一定程度上導(dǎo)致了個人信息所有者孤軍奮戰(zhàn)的狀況。

在數(shù)字治理中的個人信息保護(hù)中，只依靠政府的規(guī)制和執(zhí)法行為很難獲得良好的治理效果，政府要通過完善參與渠道改變治理現(xiàn)狀，只有實(shí)現(xiàn)各主體之間的通力合作，才能在面對紛繁復(fù)雜的個人信息保護(hù)問題時找到最合適的方案。

四、制度完善的政策建議

（一）法律層面的完善建議

1.推進(jìn)立法精細(xì)化，完善個人信息保護(hù)的程序法

《保護(hù)法》存在的最大問題是過于原則化，缺乏對實(shí)際的操作性。首先，《保護(hù)法》亟需精細(xì)化，對部分條文進(jìn)行深入的闡述和解釋。其次，我國要逐步完善個人信息保護(hù)的程序法，支持《保護(hù)法》的有效行使。具體來說，當(dāng)前程序法建設(shè)需要聚焦于司法訴訟方面，建立完善個人信息保護(hù)的司法訴訟程序。

2.健全行政訴訟制度，推廣公益訴訟和集體訴訟

首先，健全行政訴訟制度要擴(kuò)大行政訴訟的受案范圍，允許個人信息所有者就行政部門對個人信息權(quán)的侵害提起行政訴訟。其次，通過司法實(shí)踐對行政部門侵犯個人信息權(quán)的界限進(jìn)行規(guī)定。應(yīng)當(dāng)確定行政機(jī)關(guān)侵犯個人信息權(quán)益的指導(dǎo)性案例，作為司法的參照和依據(jù)。最后，要推廣個人信息公益訴訟制度和集體訴訟制度。王成認(rèn)為，個人信息處理者對個人信息的侵犯事前難防范、事中難制止、事后難查找，因此個人提起訴訟的負(fù)擔(dān)極大。我國公益訴訟的起訴方是檢察機(jī)關(guān)，檢察機(jī)關(guān)的專業(yè)能力和社會資源可以解決個人信息訴訟中面臨的困難。

3.堅(jiān)持嚴(yán)厲問責(zé)，注重行政救濟(jì)

要堅(jiān)持對個人信息犯罪行為進(jìn)行嚴(yán)厲的問責(zé)，尤其是對行政部門要嚴(yán)格懲罰，因?yàn)樾姓块T侵犯個人信息的危害大、輿論反應(yīng)強(qiáng)烈，會給政府形象和國家形象帶來極大的不良影響。當(dāng)前我國在個人信息保護(hù)方面的救濟(jì)以民事救濟(jì)為主，但行政救濟(jì)應(yīng)當(dāng)成為數(shù)字治理中主要的個人信息保護(hù)救濟(jì)方式。我國的行政救濟(jì)方式主要包括行政復(fù)議、行政訴訟和行政賠償，其中行政復(fù)議成本較低、程序較為簡便，可以成為獲取行政救濟(jì)的首選渠道。

（二）行政層面的完善建議

1.強(qiáng)化監(jiān)管部門權(quán)力，增強(qiáng)行政規(guī)制力量

首先，我國應(yīng)當(dāng)建立新的獨(dú)立監(jiān)管機(jī)構(gòu)，專門行使個人信息保護(hù)的監(jiān)管職能，配備專業(yè)從事個人信息監(jiān)管的專職人員，同時要在中央和地方都建立起垂直管理的個人信息監(jiān)管機(jī)構(gòu)。然后要通過法律規(guī)定該監(jiān)管機(jī)構(gòu)專門負(fù)責(zé)個人信息保護(hù)工作中的監(jiān)管職能，確保行政規(guī)制權(quán)力的統(tǒng)一行使，改變分散監(jiān)管的現(xiàn)象。最后，要賦予個人信息監(jiān)管機(jī)構(gòu)行政執(zhí)法的權(quán)力和一定程度的自由裁量權(quán)，嚴(yán)厲打擊侵犯個人信息權(quán)益的行為。

2.增強(qiáng)技術(shù)標(biāo)準(zhǔn)約束力，推進(jìn)個人信息保護(hù)影響評估

確立嚴(yán)格的技術(shù)標(biāo)準(zhǔn)是推進(jìn)個人信息保護(hù)工作的前提條件，也是進(jìn)行行政規(guī)制的基礎(chǔ)，要增強(qiáng)技術(shù)標(biāo)準(zhǔn)的約束力，進(jìn)一步將其規(guī)則化、原則化。個人信息保護(hù)影響評估是個人信息保護(hù)的重要工具，可以防范個人信息風(fēng)險，規(guī)范個人信息使用，對數(shù)字治理的健康發(fā)展有顯著的積極作用。個人信息保護(hù)影響評估可以檢驗(yàn)個人信息處理者的合規(guī)程度，促進(jìn)對個人信息的有效利用。從理論發(fā)展上來說，歐盟的個人信息保護(hù)影響評估已經(jīng)從靜態(tài)的“知情同意”框架轉(zhuǎn)變?yōu)閯討B(tài)的“風(fēng)險路徑”框架，強(qiáng)調(diào)風(fēng)險治理的重要性，而我國的評估框架仍遵循“知情同意”原則，需要對國外的先進(jìn)經(jīng)驗(yàn)進(jìn)行借鑒和學(xué)習(xí)。

（三）治理主體層面的完善建議

1.加強(qiáng)社會宣傳，設(shè)立舉報機(jī)制

公眾是數(shù)字治理領(lǐng)域個人信息保護(hù)中的重要治理主體，其主要職責(zé)是積極維護(hù)自身的個人信息權(quán)益，制止非法利用個人信息的行為。我國要加強(qiáng)社會宣傳，在全社會形成個人信息保護(hù)觀念，尤其是提升公眾的維權(quán)意識。除了進(jìn)行廣泛的宣傳之外，還需要建立個人信息保護(hù)舉報機(jī)制，對舉報個人信息侵權(quán)現(xiàn)象的公眾予以獎勵，并且要通過保密方式保護(hù)舉報人的安全和權(quán)益。只有民眾積極參與到個人信息維權(quán)中，實(shí)現(xiàn)其作為治理主體的價值，才能真正實(shí)現(xiàn)個人信息保護(hù)工作的有效展開。

2.建立個人信息保護(hù)組織，提供制度保障

社會組織是行政部門和公眾之外極為重要的第三方，具有獨(dú)特的治理作用。社會組織可以積極參加個人信息保護(hù)的司法工作，例如擔(dān)任集體訴訟的起訴方，可以有效解決個人訴訟面臨的資源不足、搜證困難的問題。在個人信息保護(hù)影響評估中，社會組織也可以作為第三方的角色參與評估，對個人信息處理工作進(jìn)行監(jiān)管。同時，部分社會組織擁有充足的專業(yè)人員和知識儲備，可以為行政部門的個人信息保護(hù)工作提供支持，尤其是在技術(shù)標(biāo)準(zhǔn)的制定中，社會組織可以充當(dāng)智囊的角色。

五、結(jié)語

當(dāng)前我國實(shí)施網(wǎng)絡(luò)空間安全戰(zhàn)略和數(shù)字中國建設(shè)規(guī)劃，在數(shù)字化轉(zhuǎn)型過程中，公民個人信息保護(hù)具有極其重要的意義。制度化可以建立起被普遍認(rèn)可的固定模式，讓個人信息保護(hù)工作有章可循。因此要以健全的制度保護(hù)公民個人信息和數(shù)據(jù)，深入推進(jìn)公共行政領(lǐng)域治理能力的現(xiàn)代化。

作者單位：南京大學(xué)政府管理學(xué)院