论个人信息的行政法保护现状、问题及完善建议

朱麒达

(张家港市人民法院,江苏 苏州 215600)

2020年十三届全国人大三次会议审议进一步强化对隐私权和个人信息的保护，并为《个人信息保护法》的下一步制订留下空间。可见，我国关于个人信息保护的行政立法仍有完善空间。现如今，以大数据、云计算为代表的信息技术的快速发展，虽便利了信息收集及数据整合，但也给个人信息保护带来更多挑战。在此背景下，我国加大对个人信息安全保护的重视。例如为应对2020年疫情防控工作背景下的全民个人信息采集，以浙江为例，浙江省新型冠状病毒肺炎疫情防控工作领导小组办公室发布进一步完善“健康码”管理服务机制的通知，明确强调要“做好法律评估、严防信息泄露”[1]。可见，在大数据时代，公民的个人信息安全比以往更为严峻，个人信息的行政法保护具有紧迫性和必要性。基于此，结合我国个人信息的行政法保护现状进行探讨，并对如何完善我国法律制度提出建议。

1 公民个人信息的行政法保护1.1 个人信息的行政法保护现状

传统行政法视域下的个人信息保护，主要为个人生活以及身份信息受到法律保护和不被公开的一种人格权，此定性不仅对个人信息提供更好的保护方式，也是体现个人自治的重要形式。随着互联网的发展，网络环境下的个人信息不仅具有人格性、私密性，也具有不同于传统个人信息的特征，如隐私载体的数字化及财产性特征。

在互联网时代，个人信息的行政法保护现状不容乐观。一方面，在数字化特征下，数据泄露等情况多有出现。尽管我国已加大对个人信息保护的重视程度，但网络个人信息保护的相关法律法规亟待完善，个人信息保护也只是通过保护名誉权来间接实现[2]。在我国目前的法律法规中，对于网络个人信息侵害的行为没有相关条例进行约束。另一方面，在财产性特征下，个人信息数据也属于商业资源，是企业在社会发展过程中提升竞争力的重要因素。在目前的司法实践中，个人信息侵权行为没有纳入侵害赔偿法律中，一切个人信息侵权行为承担的责任以停止侵害、恢复名誉为主，赔偿措施惩罚程度较轻，难以实现保护网络个人信息的目的。除此之外，专门针对个人信息保护的行政法《个人信息保护法》至今尚在制订中，还未正式出台[3]。

1.2 个人信息行政法保护的必要性

首先，完善个人信息的行政法保护具有保护公民权益、稳定社会秩序的重要作用。我国公民对个人信息的意识形成较晚，对个人信息的法律保护意识薄弱。部分公民的个人信息遭到侵权或泄露时，因“无法可依”以及赔偿措施不完善等原因，公民诉诸法律去维权的情况较少。许多信息泄露后果仅是企业为拓展客户而进行电话、短信等骚扰，实际对公民的生活影响不大，公民多秉持“大事化小，小事化了”的心态，这也从另一个方面纵容了侵权者。其次，完善法律法规的必要性。我国对个人信息相关的立法与西方发达国家相比较晚，具有一定的滞后性。虽然目前保护个人信息也有一些法律可寻，但是这些个人信息保护的条文散见于我国的宪法、基本法和特殊领域的立法，如《银行法》《保险法》中，缺乏系统的、有针对性的法律法规。部分法规更多的是概念模糊的陈述，不能在当今的环境下切实有效地保护个人信息。最后，科技进步下个人信息保护的急迫性。在网络上，即使有些网站会提供用户一些设置自己的信息隐私的权限，但也会存在一些潜藏的危险。例如各个社交平台的弹出广告上，出现利用第三方应用程序来窃取网络个人信息、甚至利用科学技术更改网络用户档案数据的现象。因此，完善个人信息的行政法保护具有紧迫性和必要性。

2 公民个人信息行政法保护的问题探析

2.1 信息收集使用规范性探析

一方面，部分行政机关对公民个人信息的收集和使用缺乏规范。我国的政府机关，作为国家权力的行使者与公民的服务者，在工作中不可避免地需要对公民的个人信息进行收集、处理和利用。政府在对个人信息进行调查的过程中，出现对公民信用记录以及其他一些特别记录进行调查利用的情况，以及因故意或过失导致公民信息保护遭到侵害的问题。究其原因，个人信息公开相关法律没有明确规定政府机关对个人信息的公开程度，涉及到个人具体信息的公开存在不明确、不协调的现象。另一方面，部分商家、企业在对公民个人信息的收集和使用时存在不规范现象，而法律并未给出明确的、能够落实的规章。例如2019年中国人脸识别第一案“杭州野生动物园被诉案”，针对园区在未告知的情况下强制采集人脸信息，消费者提出质疑。学者程啸认为，人脸信息的采集具有特殊性，其容易在未经自然人同意或主动配合的情况下进行收集，在出现争议后的行政执法，也没有准确的判定依据，因此，在这种情况下，部分法律如网络安全法规定的告知同意原则在实际上难以落实，法律必须对组织或个人在哪些场合可以收集包括人脸在内的生物识别信息，作出更明确的规定[4]。

2.2 个人信息保护的行政救济探析

《行政处罚法》以及《行政许可法》对个人隐私事件进行具体保护规定，同时对个人信息保护中的行政处罚以及行政许可设定等相关规定都进行具体规定。此外，国务院将个人隐私事项的相关规定也纳入《税收征收管理法实施细则》中，以具体条例对个人义务中的隐私事项提出具体保护措施。我国其他对个人信息保护的相关法律法规，主要有《居民身份证法》以及《统计法》等，还有《户口登记条例》以及《人口普查条例》等法规。虽然我国法律对个人信息保护提出了相关法律保护措施，但公民个人信息保护的行政救济仍存在法律空白[5]。其一，与西方国家相对成熟的法律体系相比，我国对于个人信息保护的法律较少，而且对于个人信息保护的相关案件较少，行政人员在执法时没有具体参考。其二，我国法律对于个人信息保护力度不够，根据上述相关法律规定能够发现我国相关法律对于个人信息保护相关规定比较抽象，且操作可行性不高，难以在实践中实施。其三，我国相关法律对于个人信息保护领域水平参差不齐，且水平不高，对个人信息的行政救济不具备长远发展动力。除此之外，电子政务的出现也在一定程度上加大了信息保护的难度。

2.3 个人信息行政法保护的监管问题探析

行政监管是保障个人信息受到法律保护的有效实施及核查手段，是维护法律权威性的重要纠错机制。然而，我国的个人信息保护缺乏一定程度的行政监管。行政权力作为来源于宪法或组织法的“固有授权”，行政监管权力则来源于特定法律法规的“特别授权”，而我国对于个人信息保护的行政监管上尚未有“特别授权”及其他实质性规定。目前可查的行政监管办法有2012年《关于加强网络信息保护的决定》第十一条、2013年《电信和互联网用户个人信息保护规定》第三条等，相对个人信息的行政法保护法条及目前的个人信息安全问题，个人信息的行政法监管虽有法律依据，但仍不完善，行政机关在监管时不仅缺乏监管机构的明确授权，也无统一、标准的监管制度[6]。行政规定多分布在不同社会活动、领域中，监管制度的要求不统一，关于各类突发情况的规定也不详尽，导致公民个人信息保护的行政监管权难以有效落实。

3 公民个人信息行政法保护的完善建议

3.1 确立基本原则维护公民基本权益

如今服务型政府的建立，不仅对个人信息法律保护体系要求不断提高，在价值目标及指导思想上也需以人民为主体。因此，确立基本原则以提高政府行政执法的质量，规范商家对信息的收集与使用行为，以维护公民的基本权益。首先，借鉴“OECD劝告”中的目的明确原则，以信息控制权为基础，对行政部门信息收集与使用行为进行制约，即“非职责需要不得收集”。目的明确原则一是要明确行政机关对于公民个人信息的权力范围，二是要明确保护对象，只有明确了保护的对象，才能从根本上做到真正的权利维护。郭婷婷研究发现，在确立此原则时，我国应对其适用主体做扩大化解释，因为除行政机关外，各商业机构也是信息处理主体，维护公民权益的基本原则除要约束行政主体外，也要约束社会主体[7]。其次，确立公开原则。一方面，在信息收集阶段，要公开告知信息权利人。公开原则下，不同信息处理主体的公开告知方式也可有所不同。在行政部门收集信息时，公开告知义务可适当弱化，采取默示同意法，提高行政效率。而针对非公共职能部门对公民进行信息采集时，必须强化告知义务，明确告知公民信息采集的目的，经公民同意后才可收集。最后，确立均衡原则。行政部门在行使权力时，会出现因维护公共秩序而损害个人信息安全或为维护个人信息安全而损坏公共秩序的“不平衡”情况，在均衡原则下，行政主体要“两权相害取其轻”，维护公民个人信息保护的合法权益[8]。

3.2 与时俱进完善行政处罚相关法规

一方面，针对现代个人信息的数据化现状，明确网络环境下个人信息的保护对象，与时俱进完善行政处罚相关法规。首先，网络环境对个人信息保护主要是对隐私范围进行界定，内容包括个人数据、私人活动等方面。完善网络环境下个人信息的法律制度，制定相关的个人隐私资料保护法。这不仅利于在网络环境下加强信息安全保护，也是对个人信息起到保护作用的司法制度[9]。其次，在制定相关法律法规时，要重视个人信息保护，注重“以人为本”的立法精神，个人信息包括多个方面，除了通讯自由还有通讯秘密等方面，都需要制定法律提供保护，保护个人信息具体人格权[10]。最后，行政立法禁止恶意获取他人信息以及正常通讯信息，对网络环境中的个人自然信息造成破坏需要承担一定的法定义务。另一方面，我国司法制度要根据网络形势变化发展而不断更新，对受理网络环境下的个人信息侵权案件，要对侵权主观方面采取一定的惩罚措施，对受害人的证据进行认证，以立案的方式进行受理。侵害人要承担一定责任，除了一般的道歉之外，还要执行停止侵害等多种形式，法院应该在查明事实的基础上，根据侵权程度确定赔偿数额。司法机关要扩大法律适应范围，还要提升相关法律灵活性，积累更多实践经验，为公民利益提供重要保护[11-12]。

3.3 强化个人信息内外行政法律监管

公民个人信息的保护离不开政府的监管。政府作为行政执法的主体，应该进一步促进监督管理体制的构建，要完善监督管理体制，加大执法力度，为保护公民个人信息，创造更良好、安全的社会环境。要通过多种方式进行监督，将行政监管与社会监管相结合[13]。一方面，个人信息内部行政法律监管下，政府部门要履行好自己的监管职能，对网络公民侵权行为采取打击措施，以行政制裁为基础，使网络环境得到改善，也能够为公民利益提供更好保障。设置专门的统一监管标准，避免条块分割。行政部门人员要加强技术培训，以应对互联网背景

下的数字信息泄露问题，加强技术监管。另一方面，个人信息的外部行政法律监督，即要对除公共机关以外的外部信息处理主体进行行政法监督。基于目前个人信息保护法尚未修订完成，各外部信息处理主体(如企业、商业机构、协会)等应发挥自律职能，比如建立网络隐私认证模式[14]。大部分企业加入隐私认证计划遵守网络隐私保护基本原则，就能获得信誉认证标志，从而能够更好地保护网络隐私，也能提升企业形象，获得更多用户信任，不仅促进社会信息处理主体的自身发展，还能够营造良好的信息安全环境[15]。

4 结束语

行政力量作为保护公民个人信息的重要力量，行政机关在信息保护立法的全面性、信息安全的技术性以及执法上的规范性仍需不断加强。个人信息安全在信息化时代具有重要价值，通过拓展及规范行政机构的职权、强化个人信息内外行政法律监管等建议，加快个人的行政法保护，不仅为《个人信息安全法》的制订提供借鉴，还推动了我国信息化法律体系的形成与发展。