论我国个人信息的行政法保护
——基于《民法典》第1039条的思考

蒋伟龙

(长沙学院 法学院，湖南 长沙 431000)

新中国几代人期盼已久的《中华人民共和国民法典》(以下简称法典)将于2021年1月1日开始实施。法典第111条等概括地规定了自然人的个人信息受法律保护；第1039条专门规定了承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息予以保密。这是我国民事立法史上对个人信息首次概括保护的规定，是习近平新时代中国特色社会主义法治思想在民事立法领域的时代实践，对落实我国宪法规定的尊重和保护人权具有重大理论和实际意义。

一、我国个人信息行政保护的立法缺失及原因分析

随着我国互网络科技信息的发展，个人信息保护早已受到了立法部门、执法部门及司法部门等的关注，各项制度也在不断的完善之中。总体而言，现行个人信息保护的立法分散在宪法、刑法、民法、行政法等部门法以及信息产业的行业规定中，主要表现在：宪法规定了公民的通信秘密和通信自由受法律的保护；刑法规定了向他人出售、窃取或者以非法获取公民个人信息等行为将受到刑事处罚。民法典规定了处理个人信息的原则、程序及法定机构负有的保密义务；民事诉讼法规定了法院审理涉及国家秘密、个人隐私等民事案件不公开进行。护照法规定了护照签发机关对因制作、签发护照而知悉的公民个人信息予以保密；居民身份证法规定了公安机关对知悉的公民的个人信息予以保密；网络安全法规定了网络运营者应当对其收集的用户信息予以保密；政府信息公开条例规定了政府机关不得公开涉及个人隐私的公民信息；网络安全法规定了运营者保护用户个人信息的责任；电子商务法明确了信息主体删除的方法和程序；此外，《消费者权益保护法》《商业银行法》《征信业管理条例》《电信条例》《精神卫生法》《邮政法》《未成年人保护法》《刑事诉讼法》等做了相关规定，这些规定均从不同的角度为个人信息提供保护。可见，我国现行个人信息保护立法的特点。第一，我国至今没有一部统一的《个人信息保护法》；第二，在公法上主要是刑法上的惩罚，忽视了行政法上预防犯罪的保护；第三，民法上的救济制度有待完善。从2003年起，我国部分学者开始了对制订《个人信息保护法》的立法研究。目前，学术界有代表性的立法草案主要有周汉华教授版和齐爱民教授版。

我国个人信息保护法治不足的主要原因。首先，立法过于粗象化，缺乏专门的《个人信息保护法》特别法。立法的不统一导致了对个人信息保护理念等基本问题缺乏统一规定，不仅导致立法成本的增加和立法资源的浪费，也极易导致各规定间的冲突和矛盾。同时，从内容来看，现有的各规定之间的内容多有重复，而多数具体规则过于原则化。尤其是对行政主体进行个人信息的行政行为缺乏规制和对个人信息主体权利规定不充分，如《人口普查条例》规定了个人信息不得泄露。行政立法其他条款中并没有对应细化个人信息权的内容，只是根据具体法条推导出公民应有的个人信息权，如知情权、异议权、更正权等。其次，至今未成立个人信息保护专门监管机构。近年来，几乎每年的“3 . 15”晚会的曝光名单都涉及侵犯公民个人信息的事件，但大部分事件的处理结果最后是不了了之。对于个人信息违规处理事件的处罚情况直接反映一国对于个人信息保护的力度。无论是美国的零散立法模式还是欧盟的统一立法模式，其都设立了专门的个人信息监管机构。域外国家曾处罚过多个大型公司因个人信息处理违法事件，如脸书未经授权向用户发送朋友生日信息，被要求为每条未授权信息赔偿1 500美元[1]。根据公开媒体报道，我国至今为止很少发生过大规模集体诉讼事件或者遭致巨额罚款的情况。与域外创下的巨额罚单及犯罪分子所获得的收益相比，我国目前的惩治力度仍难以起到足够的警示作用。政府机关近几年泄露公民个人信息不断被爆出，尤其应该设立专门的个人信息执法机构监管政府机关在收集、处理和利用个人信息的行为。再次，个人信息保护行政救济制度不完善。“有权利就有救济”。行政诉讼法规定政府机关侵害其他人身权、财产权等正当权益的可以向人民法院提起诉讼。但如个人信息受到侵犯时的救济途径没有具体的程序规定，因而，个人信息的保护往往得不到救济。故有待完善政府机关对公民的信息保护提供的具体规定，在公民的个人信息遭到他人侵害时获得行政法上的救济。

二、我国个人信息行政法保护的理论基础

(一)个人信息行政法保护的一般规定与理论

自然人的个人信息是指以电子方式或其他方式记录的能够单独或者与其他信息识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证号码、个人生物识别信息、住址等。隐私与个人信息二者的范围重合的部分可称为隐私信息，隐私一般不具有财产利益。个人信息不仅包括不愿为他人知晓的隐私信息，还包括可以公开的非隐私信息。

民法典第1039条规定了承担国家的法定机构知悉的自然人的隐私和个人信息予以保密。个人数据法的制定应当说在我国信息安全的保证上起着十分重要的作用，它实际上兼跨以民事和行政两个法律领域[2]。在德国，个人信息保护法明确属于行政法的范畴[3]。从调整对象上看，个人信息保护法既调整横向平等主体之间的个人信息处理关系，又调整纵向行政机关一方进行的个人信息处理关系，这种交叉的调整关系在性质属于公私合一的混合法。个人信息保护法纵向调整的信息处理关系的具体法律规范属于特别法。因此，国家在制订个人信息保护的法律制度时，需要满足行政法的基本原则要求。为了更好的保护个人信息，需要授予行政机关一定的合理行使权力的机会。同时，并不是所有的个人信息在任何情况下都得以保护。在规范个人信息保护范围的同时，应该考虑设定豁免条款，允许国家权力限制特定个人信息范围内的自决权。

(二)个人信息保护的域外实践

域外个人信息保护立法大致分为以下两大类。一是以欧盟为代表的大陆法系国家和地区，建立关于个人信息保护的立法，制定了统领政府部门和所有商业领域涉及个人信息保护的统一法律。个人信息的处理和使用的标准和流程，设立专门的个人信息保护机构对个人信息实行专门监管和保护。二是以美国为代表的英美法系国家，建立个人信息的公平实践立法，即以个人隐私为保护对象，以个人隐私权为宪法权利基础，针对政府等公共领域，以及征信、金融、通讯等不同商业领域，以尊重信息主体隐私权为前提，提倡信息的合理正当使用，不伤害信息主体利益，形成了分门别类的个人信息法律规范。

1.个人信息行政法保护在德国的实践

德国个人信息保护法立法模式特点是采用同一标准规定，即对公权力机构和非公权机构采取标准相同，保证统一适用法律。以《联邦数据保护法》对存在公共领域内的个人信息处理为例进行分析：第一，保护内容与适用范围。个人信息是指个人的具体状况能被识别的信息，该法适用公共机关执行个人信息处理工作。第二，信息主体享有不可被剥夺的知情权、更正权、标注隔离权等权利。第三，规定了公私二元救济制度。在公权领域，规定了如果联邦公共机关在处理、利用信息时侵害了相对人的权利，相对人有权向联邦数据保护专员进行申诉。在私权领域，私权利主体在涉及个人数据过程中有违法行为的，则可能构成行政违法或刑事违法，而其中绝大多数是行政违法。

2.个人信息行政法保护在美国的实践

美国采用了部门式的分散立法模式。如1974年的《隐私法》为例，该法主要对政府处理个人信息的行为做了比较严格的规定，以确保个人信息及隐私不被侵犯。该法保护的个人信息主要内容有：第一，保护的对象仅限合法获准永久居留的外国人与美国公民。保护的内容是政府信息系统中所储存可以识别某一特定自然人的有形信息数据。第二，规定了限制行政机关处理个人信息的条件。①收集个人信息的目的仅限于总统的命令和法律法规的要求。向当事人说明收集信息的理由和目的后，行政机关才可收集个人信息，并且需要说明是否将此次收集的信息予以公开。②个人信息储存在行政机关时，行政机关有义务保证公民信息的安全、完整和准确。③限于收集所明示的目的才可使用个人信息。④赋予信息主体相应的查阅权、更正权、救济权等权利。⑤规定了民事诉讼、刑事诉讼两类司法救济途径与程序。

三、我国个人信息行政法保护完善的路径分析

(一)个人信息保护与行政信息公开的衔接

因为二者保护目的有所不同，行政信息公开保障的个人的知情权，个人信息保护保障的是个人的信息权，一般情形下，二者不矛盾。但当某种信息既属于个人信息又属于公开行政信息时，如果一方当事人要求不公开而另一方当事人要求公开时，这种特殊情形下，二者容易发生知情权与隐私权之间的权利冲突。正如学者胡建淼、马良骥所说：“行政机关在保障公众知情权，促进政府管理透明化的同时，可能侵害公民的个人信息自决权和公民的隐私权。”[4]法益平衡方法这时为解决知情权与隐私权的冲突提供基本的思路，即不同法益之间的取舍关系的协调是两种权利的冲突解决须考虑的问题。例如，当某项个人信息涉及到公共利益时，将个人信息予以公开而对个人知情权进行限制；反之，纯属满足个人的利益需要而公开个人信息，与公共利益无关时，应该不予公开，优先保护个人信息权。公共利益之法益保护无疑优先于个人利益的法益保护。在具体制度构建时可按如下法律适用原则：

首先，在分别制定个人信息保护法和政府信息公开法时，统一二者的立法原则，同时确立几点法律适用原则：①申请人依个人信息保护法获得的个人信息，政府原则上应依法提供。②依政府信息公开法，申请人有权申请政府提供在行政管理过程中所获得的有关个人利益的信息。③当个人信息保护法与政府信息公开法冲突时，经过综合权量，以保护个人信息知情权，优先适用政府信息公开法。

其次，设立专门的第三方信息咨询评测机构，建立个人信息权利保护的动态平衡协调平台。该机构在法律法规明确授权的条件下，享有法定的调查权、独立的决定权、行政命令权、处罚权等来解决二者冲突的问题，该裁决具有终局性。

(二)个人信息行政保护立法模式的选择

域外对于个人信息保护的立法模式有国家立法模式和行业自律模式两种，其中国家立法模式又分为零散立法模式和统一立法模式。大陆法系国家以德国为代表采用的是统一专门立法模式，以人格权为基础价值对个人信息加以立法保护；英美法系代表性的美国是以行业自律和零散立法相结合的模式，以隐私权为基础价值对个人信息加以法律保护。我国对个人信息保护的取得了较大进步，《民法典》明确规定了对个人信息的保护，在此基础上，我国宜采取统一专门立法模式，制定一部专门的个人信息保护法，从立法原则、法律适用、保护范围及救济程序等方面全方位，尤其是从行政法角度加以详细规定，符合我国的法律传统和我国市场经济发展状况。

(三)个人信息保护法律监督制度的完善

政府既是个人信息收集、利用主体，又是个人信息保护的监管者。当今互联网时代，违法使用个人信息导致犯罪日益猖獗、作案手段隐蔽化、跨区域化等一系列特点，如何强化对个人信息泄露的全过程实施有效的政府监管，预防犯罪，迫在眉睫。可从以下方面加以完善。

首先，完善政府监管个人信息主体机构。在县级以上政府建立统一的个人信息监督和保护机构和行业自律组织，实行以政府监管为主、行业自律为辅的系统保护机制，处理轻微侵权的个人信息案件，并且把该处理结果作为其后诉讼的前置程序。当然，为防止个人信息被非法传播造成更大影响，监管者有权命令相关组织和个人采取临时强制措施。

其次，完善政府监管个人信息范围。政府监管信息范围包括政府自身收集各类个人信息和非政府人员自身收集的各类个人信息，尤其是自然人的隐私信息。如直接涉及国家安全、公共卫生、司法活动等公共利益的个人信息，收集者可行使信息优益权而不公开个人信息，但以不得损害信息主体的合法权益。

再次，完善政府监管个人信息程序。在政府内部，一是让政府内部工作人员接触公民个人信息的时间、地点都得到严格的限制，防止政府内部人员利用职务之便贩卖、流转个人信息的违法行为；二是政府在选择相应的技术提供主体时更加注重技术提供主体的相应资质，加强对技术提供主体的后续监管。在政府外部，使政府在进行与个人信息相关的行政活动时知道何时做、如何作为、按照什么样的标准，一切按预先设定程序行使行政权。

最后，完善个人信息监管的准确性。政府如发现其数据库内的个人信息存在错误或不完整，应当主动与联系信息主体并完善相关信息。如信息主体发现政府违法使用个人信息，则有权要求政府及时删除。

(四)完善行政救济途径

欧盟《通用数据保护条例》规定，每个信息主体都有权依法向监管机构进行申诉，监管机构应当告知申诉者申诉的程序和申诉的结果；对监管机构具有法律约束力的决定，任何个人组织都有权获得有效的司法救济；任何受到伤害的人有权从信息控制者那里获得相应的赔偿。德国《联邦数据保护法》规定了联邦数据保护专员专门对受到联邦公共机关侵害信息主体权利进行专门监督，则联邦公共机关可能构成行政违法或刑事违法。美国的《隐私法》规定了信息主体的民事诉讼、刑事诉讼两类司法救济途径与程序，全面地保护了个人信息权。

在我国民法典及相关行政法规定中，没有明确政府及其工作人员对于履行职责过程中泄露或者非法向他人提供个人信息是否可提起复议、诉讼、赔偿的权利，这使得信息主体的宪法权利落空，因此，有必要完善现行个人信息保护的行政救济制度。