个人信息的行政法保护

兰松喜

（河北大学法学院，河北 保定 071000）

我们正处于一个信息技术高速发展的时代，无论是在手机上注册一个应用软件，还是在超市里购买一个生活用品，都涉及我们个人信息的使用。但在现实生活中，很少有人在使用软件或者签电子发票时会认真阅读冗长繁杂的个人信息使用条款，使个人信息处于可能被不合理使用的危险中。并且随着科学技术的不断进步，行政机关愈发便捷、直接、高效地获取公民的个人信息，对于这些信息，社会各主体能否处理，处理的界限在哪里，如果违法会承担什么样的后果等等这些问题都是模棱两可的。因此，在信息技术高速发展的时代，关于个人信息的行政法保护面临着严峻的挑战。

一、个人信息概要

（一）个人信息的法律属性

理论界目前存在所有权说，隐私权说和人格权说这三种主张以阐明个人信息的法律属性。[1]现在主流观点多认同个人信息权属于一种独立的人格权，原因在于：首先，个人信息和人格之间联系紧密，通过个人信息可以勾勒出一个人的人格特征，其存在与权利主体密不可分，且专属于某一主体，具有不可替代性和可识别性。其次，个人信息权具有财产属性，存在利益价值，例如不法分子利用个人信息发送诈骗短信而获利，政府收集个人信息用于完善公共基础设施等等。

个人信息权虽然具有财产属性，但并非具有财产属性、有利益价值的都属于所有权。而与隐私权相比，虽然同样与权利主体密不可分，但是隐私权的范围更小，无法涵盖所有的个人信息，会导致一部分个人信息处于无保护状态。因此，将个人信息权视为一种人格权更为准确。

（二）个人信息的特点

1．个人信息具有可识别性。个人信息与单个权利主体密切相关，是一个人生活、工作等等行为的真实反馈，具有鲜明的指向性，通过个人信息，可以快速准确与单个主体相联系。例如行政机关可以通过对个人信息的搜集而快速抓获犯罪嫌疑人。

2．个人信息具有时效性。个人信息伴随着人的一生处于不断变化过程，对于个体而言，从出生到死亡，每一次住所搬迁、学历变化或者身体健康状况的不同都会导致个人信息的变化。因此，个人信息也具有时效性，它仅在特定时间内对同一主体有效。这要求行政机关处理个人信息时要及时更新，有效筛选过滤。

3．个人信息的主体是自然人。这种确认是基于生物学意义以及法律意义的唯一性。与自然人相对的，将法人排除在个人信息的主体之外，主要原因在于自然人较之法人享有人格利益，在维护法益方面拥有更高的主动性和可能性。

（三）保护个人信息的必要性

1．保护权利主体利益的需要

2019年1月，无锡市惠山区发生一起涉嫌侵犯公民个人信息权的案件。犯罪嫌疑人付某在去年5月至8月期间，利用黑客技术攻击众多互联网网站，仅仅三个月便非法获取200多万条个人信息并进行售卖。付某的同伙刘某更是在境外网站公开售卖公民个人信息，而刘某年仅十八岁。对于公民个人信息安全的保护可见一斑。

公民的个人信息权不容侵犯，但是由于立法的不完善、保护机制不健全，我国对于公民个人信息的保护与高速发展的网络时代脱节，使得公民的个人信息在流转过程中时刻可能被窃取。一旦不法分子心存歹念，很容易利用网络技术收集到公民的个人信息，使得公民人身和财产安全处于真空境地。

除此之外，行政机关在收集和处理公民个人信息的过程中往往占据优势地位，一旦监督管理有所疏漏，公民的信息安全则岌岌可危。因此，对于行政机关的规范也是应有之义。

2．行政机关依法行政的需要

保障社会安定、保护公民权利是行政机关的职责所在，为了更好地履行职责，依法行政则是行政机关的必然要求。在当代社会，随着公民受教育程度的提高，权利意识愈加觉醒，对行政机关的工作提出了更多新的要求，这其中就包含行政信息的公开化。但是在实践操作中，行政信息时常包含公民的个人信息，由于立法的不完善，使得行政机关常常处于是否公开以及哪些部分公开、哪些不公开的困境，给推进依法行政的进程造成阻碍，也使得公民的个人信息权变得脆弱。

除此之外，出于社会管理的需要，公民的大量信息都掌握在行政机关手里，在立法缺陷带来的对于个人信息保护有所疏漏的现状下，行政机关对于公民的个人信息享有非常大的自由裁量权，使得公民对于自己的个人信息权的保护处于被动地位，不利于保障公民权利。

3．推进我国数字时代发展的需要

为了促进我国经济发展，推进信息化建设、构建数字时代，已经成为时代发展的必然要求。个人信息保护制度的建立无疑是给信息化时代奠定制度基础，助力于信息化进程的快速建设。

但是由于我国在保护个人信息方面法律的不完善，使得不法分子有机可乘，给信息安全工作带来不稳定因素，给数字时代带来阴影。除此之外，由于公民对于个人信息的保护机制缺乏信心，造成许多公民不愿意再进行网络交易或者建立数字档案等等，给信息化进程造成一定程度的阻碍。

二、个人信息保护的缺陷以及原因

关于个人信息保护法的属性，一直有行政法、民法等观点，也有持综合说的，如齐爱民的“领域法”说[2]。但是无论如何，由于行政机关承担着对个人信息的监督和管理职能，在与公民的地位对比中，也处于某种程度上的优势地位，对于关于个人信息权的保护，行政法的规制是不可或缺的，法律必须明确行政机关的权利、义务和职责[3]。因此，从行政法的角度着手完善对公民信息安全的保护是非常必要的。

（一）行政立法的不完善

我国行政法对个人信息的保护多以“个人隐私”的名义散见于多部法律法规中。但值得一提的是，我国于2008年出台的《政府信息公开条例》对于公民的个人信息的公开、保护以及救济措施做了规定。例如，当有关机关审查信息是否属于个人隐私时，如果涉及第三方利益主体，应该征求其意见并书面通知。《政府信息公开条例》是我国保护公民个人信息迈出的重要一步，但是其出台时间过早，规定也不尽详细完善，已经不适合我国当下的发展状况。

因此，行政立法方面对于公民个人信息的保护尚且存在以下几点疏漏：第一，缺乏系统性。对于个人信息权的保护多散见于不同法律法规的个别条例，不成体系、不够全面。第二，缺乏可操作性，对于个人信息的保护缺乏明确的规定，且多用“个人隐私”来替代，规定含糊不清，在实践中难以实行。第三，缺乏时代性，我国的相关规定都出台太早，且没有随着时间发展修改关于个人隐私的内容，在高速发展的当下，其早已与时代脱节，不能解决当前社会的矛盾和冲突，往往出现无法可依的尴尬局面。

（二）行政执法的缺陷

目前，我国尚未规定专门的有关个人信息的执法部门，大量涉及处理公民个人信息的工作则分散于公安部门和工信部门等。专门执法部门的缺失，使得在收集、处理公民个人信息时各个部门之间责权不清，容易造成相互推诿或者争相揽权的情况。再者，在收集和处理公民个人信息时缺乏统一完善的程序和执法依据。我国关于个人信息的规定散见于不同的法律法规的寥寥数语，在执法过程中缺乏统一适用的依据，使得行政机关常常无法可依或者滥用权力。程序的缺失也给救济制度带来了很大的缺失，公民的个人信息权受到侵犯以后，常常不知道要如何维权，去哪儿维权。长此以往，使得公民对行政机关和法律制度丧失了信心，不利于维护社会的稳定团结。

（三）关于行政法对于信息保护缺陷的原因分析

1．缺乏基本原则

基本原则是一部法律的精髓，体现了这部法律立法的基本思想，具有高度的概括性和指导全篇的重要意义。因此，任何一部法律的制定，确立其基本原则是必不可少的。但是，《个人信息保护法》尚未出台，关于我国个人信息权保护的基本原则还没有确立，这对于我国公民个人信息的保护是一大缺憾。

纵观我国法律发展，大多是难以调和的社会新问题出现以后推动法律的发展变革，采取较为保守的法律制定态度，这样做难免导致一定时间的法律与社会发展不适应。在这种情况下，基本原则就更加凸显其作用，它作为一部法律的精神主旨，蕴含着这部法律对问题的价值判断，在具体规定难以适用时，它可以作为评判的价值标准。我国行政法虽然确立了几大基本原则，但是个人信息保护有其复杂性和特殊性，为了更好地完善《个人信息保护法》以及更好地维护公民的个人信息权，确立个人信息保护的基本原则迫在眉睫。

2．个人信息保护缺乏完善的法律体系

我国关于保护个人信息的规定分散于多部不同的法律法规，相关规定也只是寥寥数语不够详细，没有形成一套完整的保护机制。法律体系的缺失也导致没有相应的管理与监督机制，行政机关掌管大量的公民个人信息，也意味着面对巨大的利益诱惑，缺乏相应的管理与监督机制容易给腐败提供温床。除此之外，严格的管理也是保障个人信息被妥善保管，不轻易丢失、遗漏的制度基础。否则，公民面对个人信息的缺失会大大增加对行政机关的不信任感，不利于我国法治政府的建设。

3．缺乏合理的救济措施

有救济才有权利，救济制度是保障权利落实的重要的制度基础。如果缺乏合理的救济制度，公民的权利被侵犯以后常常维权无门，权利无法得到落实和保障。制定合理有效的救济制度的重要性不言而喻。

我国行政法规定的救济措施包括行政复议、行政诉讼和行政赔偿。行政复议作为一种常见的救济手段，有其合理和必要性。但是行政复议也存在着行政机关不够中立的弊端，尤其个人信息权被侵犯时调查取证更加困难，会很容易让被侵犯主体陷入不停复议的循环。行政诉讼是最严厉有效的救济手段，但是个人信息被侵犯的后果有大有小，面对较小的损失，行政诉讼所耗费的时间与金钱成本太高，会让很多被侵权主体望而却步。再者，即使造成巨大损失，部分公民也会因为成本以及害怕打官司的观念问题而放弃诉讼。行政赔偿是较为缓和、有效的救济方式，但是现行法律规定不健全，对于个人信息权被侵犯该怎么赔偿、赔偿数额、情节轻重如何划分、责任主体等都十分模糊，实际操作困难重重。因此，建立完善的、针对保护公民个人信息权的救济制度也是必不可少的。

4．公民的权利意识淡薄

法律存在的意义就是为了保障公民合理的权利，公民对利益的迫切需求往往是推动法律改革的重要因素。但是个人信息权随着信息科学技术才逐渐受到关注，加之国家的普法力度不足，很多公民对此了解不多，没有意识到自己的身份证号码、手机号等被盗用也会造成巨大的损失，维护自身权利的意识淡薄。例如，在网上随意注册用户，填写过于细致的个人信息。部分公民在知道个人信息被泄露以后没有权利被侵犯的意识，不知道需要维权也不知道怎样维权或者干脆避免使用信息科学技术一了百了。公民权利意识的提高不仅可以促进法律的发展与完善也可以避免让法律成为一纸空文，真正地落实、有效。除此之外，公民权利意识的提高也是打击违法犯罪的重要手段，不给不法分子以可乘之机。

三、国外个人信息保护的模式

发达国家的信息技术等方面的发展早于我国，对个人信息权的保护也更早重视。由于每个国家的政治、地理、历史等因素不同，因而在构建保护个人信息权的法律模式上也有所差异。以典型国家美国、德国为例。

美国采取分散立法为主，辅之以行业自律的保护体系。

美国的《隐私权法》作为保护公民个人信息权的法律法规的基础准则，对政府收集公民个人信息的各个流程都做了进一步规定。不仅如此，美国还制定了其他法律对不同领域的个人信息采取不同保护手段。例如《美国电信法》保护公民在电信领域的自由。[4]除了立法，美国还采取行业自律的方式对此加以辅助。美国的信息保护模式具有较强的针对性和可操作性，具体明确。但是也存在某些弊端，例如，由于是分散立法，缺乏统一的价值判断标准，在某些重合领域难以适用。

德国采用的是统一立法模式。

这一点主要体现在1977年出台的《联邦数据保护法》，这部法律以信息自决权为基础，将公民的个人信息由一个监管部门统一监管，较为全面地对公民的信息安全做了规划和保护，因而在世界上也是比较典型的信息保护法律。但是这种统一的立法模式面对社会发展带来的新问题难以调整，显得僵硬呆板。并且这部法律出台时间较为久远，出现了许多与社会发展现实不相适应的地方。除此之外，德国还严格限制信息的转让、流通，这虽然在某种程度上对信息安全加了一层保障，但长远来看，势必阻碍信息社会的发展。

各个国家的发展模式都有其自身的独特性，与国情、历史等因素息息相关，我国保护个人信息权利的发展较为滞后，应该吸取国外的经验，借鉴学习。但同时要避免照搬照抄，应与我国国情和实践经验相结合，创造出适合我国的保护公民个人信息权的体系，接下来，就我国的对个人信息保护的方法提出几点建议。

四、对于个人信息权保护的建议

（一）明确基本原则

我国《个人信息保护法》已经在紧锣密鼓的制定中，其中基本原则的确立也是不可忽视的重点，许多专家建议稿都给出了自己的意见。针对个人信息保护的独特性，以下几种原则是不可或缺的。

目的特定原则。目的特定原则是指必须以明确合理、合法的特定目的对公民的个人信息进行收集、使用，不得出现与目的无关甚至与之违背的情况。确认目的之后，在法定情况下可以变更，但是变更以后的目的必须明确和特定，不得随意。这一原则避免了在收集和使用公民个人信息的过程中出现的混乱和缺失，以期获得公共利益与公民个人利益的平衡。

选择适用原则。这一原则旨在公民保护自己的法益，主张赔偿的时候，在适用哪部法律的问题上有自主选择权。因为个人信息一般与信息技术相结合，数量巨大，《个人信息保护法》必然规定一个最高限额，否则对于庞大的数据处以无尽的赔偿反而使法律成为空谈。在最高限额不能补偿被侵犯的权利主体的时候，他可以要求适用民法或者行政法的一般规定以获得最大赔偿。

安全保护原则。安全保护原则是指有权收集、储存、记录等行为的国家机关、个人或者社会团体，对于其所掌握的个人信息负有安全保护的义务。如建立数据库进行加密处理。在更新个人信息时，对于过时的信息必须销毁处理。非法定情况不得查阅和记录。

（二）建立我国的信息保护法律模式

鉴于我国的国情，我们应该以即将出台的《个人信息保护法》作为信息保护的统一和基础，同时辅以行业自律，但我国尚处于发展中国家的阶段，经济和社会发展没有完全成熟，很多行业尚处于探索阶段。因此我国的行业自律应与宏观调控和政府监督相结合，这样既可以减轻行政部门的负担又使得各领域可以灵活处理新的发展形势下的新问题。

（三）完善救济制度

第一，平衡举证责任分配。公民在得知个人信息被盗用时，往往是在遭受损失才知道或者通过网络途径知道。比如，被银行告知信用卡莫名透支或者频繁被广告推销电话骚扰。在这种情况下，被侵害主体举证无法得知个人信息被盗用的途径以及侵权方的信息，举证十分困难，给维权带来了种种不便。因此，应该考虑将举证责任平衡分配，减轻被侵权主体的举证压力，使权利得以被保护。

第二，完善现有救济制度。我国现行的行政复议制度将侵犯公民的个人信息权排除在受案范围之外，基于此，我们应将受案范围进一步完善，当公民的个人信息权遭受行政机关侵犯，公民可以直接越级申请复议。行政诉讼作为最直接、严厉的救济手段，应当是最有效的，但是目前的行政诉讼对于行政机关侵犯个人信息权的处罚过低，一旦侵犯公民的个人信息权，应当由行政机关对其给予行政赔偿，情节严重的应当具体到个人，使其承担侵权责任。

（四）完善监督机制

第一，加大普法宣传力度。政府的权力来自人民，提高公民的维权意识，可以让公民积极主动地监督政府，减少行政机关对于公民个人信息权的侵害。同时公民维权意识的提高也倒逼法律的完善与改革，两者相辅相成。

第二，建立行业内监督机制。公民个人信息权受到侵害，主要来自非行政机关的侵害，这就需要各行业各领域的自律与受到依法监督。行业内监督机制可以与政府和普通公民挂钩，由政府和公民以及行业内部人员共同参与，对行业内的信息收集、处理等行为建立监督记录。

五、结语

在信息化技术愈加发达的当代社会，个人信息被广泛地搜集和使用。如果缺乏完善的法律机制对其进行保护，将会使个人信息暴露在真空中。我国《个人信息保护法》即将出台，关于个人信息保护的问题也热议如沸。我们应当立足于国情和发展现状，在吸收借鉴外国先进经验的情况下，对我国关于个人信息保护的问题从立法原则、立法模式以及救济和监督机制方面的有关问题进行探讨，致力于完善我国对个人信息权的保护机制。