民法典时代个人信息保护的行政法回应

孙海涛 王红利

摘      要：域外对于个人信息保护的主流模式主要有分散立法与综合保护两种。在我国，尽管《民法典》中预留了个人信息行政法保护的立法接口，但实践中仍存在个人信息的收集处理程序缺失、行政机关监管力度较为薄弱、被侵权人主张民事诉讼难获救济和主张行政救济途径受阻等问题。未来，个人信息的行政保护应顺应时代的潮流，循序渐进。在立法层面，完善个人信息行政法保护体系，建立个人信息收集者与处理者的行政许可制度;在司法层面，确立个人信息保护组织在诉讼中的原告资格;在执法层面，健全个人信息行政监管机制。

关  键  词：《民法典》;个人信息保护;行政法;行政机关

中图分类号：D922.1        文献标识码：A        文章编号：1007-8207（2021）12-0066-06

收稿日期：2021-07-16

作者简介：孙海涛，河海大学法学院副教授，法学博士，东南大学法学院博士后，研究方向为行政法学、民法学;王红利，河海大学法学院硕士研究生，研究方向为行政法学。

基金项目：本文系国家社科基金项目“政府购买模式运行的行政规制研究”的阶段性成果，项目编号：16BFX030;河海大学中央高校基本科研业务费专项基金“民法典时代个人信息保护制度的行政法回应”的阶段性成果，项目编号：B210203061;河海大学中央高校基本科研业务费项目“过程论视野中的行政裁量权研究”的阶段性成果，项目编号：B200202240。

在自2021年1月1日起实施的《中华人民共和国民法典》（以下简称《民法典》）中，人格权独立成编，特别是将个人信息保护纳入人格权编成为《民法典》的亮点之一。这标志着个人信息主体的权利得到民事基本法的确认，个人信息保护制度的顶层设计正在逐步完善。在我国民商合一的立法体制下，民法是私法的基础和重要组成内容，私法的价值通过民法得以彰显。从某种程度上说，民法就是整个私法。[1]但应看到，大数据时代，信息高效流转，仅在私法层面讨论个人信息保护具有一定的局限性和不适应性，《民法典》的相关规定需要行政法进一步的规范和确认。个人信息保护在以私法为基础的同时亦应兼顾公法视野下相关理论与制度的研究与完善，以更好地适应信息开放共享的时代要求。《民法典》的基础性法律地位决定了其对行政法的发展和完善将发挥积极的推动作用。[2]

一、个人信息概述

个人信息的内涵界定  目前，学界对于“个人信息”的概念主要持“关联型定义”和“识别型定义”两种观点。“关联型定义”是指与个人有关的所有信息;“识别型定义”是指以“识别”为基础，信息的内容与主体之间存在客观确定的联系，可以通过相关信息精准辨别主体身份。[3]司法实践中，《民法典》第一千零三十四条第二款采取“识别型定义”的方式对个人信息作出了明确限定：“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”2020年10月21日发布的《个人信息保护法（草案）征求意见》第四条第一款规定：“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。”将“已识别”和“可识别”作为个人信息的判断标准，使得个人信息的界定更为科学，而将“匿名化处理的信息”排除在外也是保障个人信息的一种有效表现。可见，运用“识别型定义”界定个人信息的概念更具精准性和严谨性。互联网的普遍应用加速了信息的传播，个人信息的表现形式也更加多样，传统的信息形式主要体现为姓名、身份证号、住址、电话号码等，新型的个人信息形式包括网页浏览痕迹、社交媒体上发表的言论、通话记录以及行踪轨迹等。[4]因此，笔者认为，个人信息的内涵界定应适当进行扩展，对于个人信息的存在形式不予限定，主要是指可以直接或间接识别特定自然人的信息总和。

个人信息的基本特征  其一，可识别性，即通过汇总已知的各种信息可以与特定自然人之间产生关联，进而识别特定自然人。个人信息的可识别性体现的是个人信息与信息主体之间的紧密联系，主要包括直接识别和间接识别两种。直接识别是指通过某个单独信息便能直接定位到信息主体，不需要其他信息輔助验证;间接识别是指单独的信息不能直接定位到准确的个体，需要与其他信息相互印证才能识别特定主体。其二，兼具人身和财产双重属性。人身属性即个人信息依附于个人而存在并为个人所有;财产属性即个人信息可以作为资源进行交易使双方获益。个人信息是自然人与生俱来的并在其发展过程中不断形成的，与自然人的人身密不可分，若仅从人身属性界定个人信息并不严谨，个人信息同样可以被他人收集、使用，流转市场中具有财产价值;反之，个人信息具有财产价值，是一种重要的社会资源，若仅从财产属性上识别个人信息也过于片面，个人信息的人格特性不容忽视，不能将个人信息单独归属于财产权的客体。[5]当然，二者的地位不同，人身属性为主，财产属性为辅。保护个人信息既要保护个人信息的财产属性，更要保护自然人对个人信息的支配和自主决定权。[6]其三，可公开性，即信息主体根据规范的操作指引可以查阅、获取个人信息，其是区分个人信息保护与隐私保护的重要标志。隐私在实务界被定义为关于个人的生活安宁和个人信息的秘密，在学界被定义为隐私中私密性的个人信息，而单个的私密信息或私人活动并不直接指向自然人的主体身份。[7]从对信息形态的要求看，隐私对于信息形态没有严格的要求，表现多样，可以是活动、行为或日常习惯等;个人信息则需要记载，要求以数字化的形式呈现。从保护的对象看，隐私保护的对象是个人不愿为外界所知悉、不曾对外公开的有关私人的信息、空间及事务;个人信息保护的对象则是以识别为特征的信息主体的总称，受保护的不仅仅是个人信息的人身权益，同时也包括交易、公开等行为带来的财产利益。

二、域外个人信息保护的主流模式

分散立法模式  随着数字经济的繁荣发展，个人信息作为经济发展的新能源逐渐引起了各国的重视。美国对于隐私和个人信息的保护采用的是分散立法模式，其于1974年通过的《隐私法案》对政府机构采集个人信息的方式、存储信息的范围、向公众公布收集信息的方式以及对信息主体的权利等作出了较为详细的规定，强调联邦政府对个人信息收集和利用的公平性和正当性，是美国历史上最重要的一部保护个人信息方面的法律。1986年颁布的《电子通讯隐私法案》详细规定了执法机关访问电子通信相关数据的标准，以期协调国家安全与个人隐私、通信秘密保障之间的冲突，[8]权衡隐私权与个人信息保护之间的对立关系。1988年制定的《电脑匹配和隐私权保护法》进一步详细规定了个人信息在行政机关内部电脑识别的范围和程序，为个人隐私权保护提供了防护墙。同年颁布的《儿童在线隐私权保护法》是美国出台的第一部保护儿童个人信息的联邦法律，一定程度上削弱了商业网站对儿童个人信息的侵犯。1999年10月20日，联邦贸易委员会（ETC）发布了实施《儿童在线隐私权保护法》的细则，阐明了法律调整的范围和责任问题，该细则于2000年4月21日生效。美国分散立法模式的良好运行有赖于严厉的执法机制和行业协会的双重作用：国家权力通过执法机制对个人信息保护进行管控，加大保护力度;[9]行业协会利用行业规则和标准进行微观调控，客观上起到了补充和完善执法法制的作用。

综合保护模式  欧盟对于个人信息的保护是通过一系列条约、指令的演进，最终在法律层面确立了国家保护个人信息的必要性义务。[10]欧盟个人信息保护的发展主要经历了三个阶段：[11]第一个阶段以公约为主要表现形式。1950年11月4日在欧洲理事会主持下于罗马签署的《欧洲人权公约》被认为是欧洲第一代个人信息保护法。第二个阶段以指令为主要表现形式。1995年，欧盟正式颁布《关于个人信息处理保护及个人信息自由传输的指令》，该指令在落实保障信息主体基本权利的基础上也实现了信息在成员国之间受法律限制的“自由传输”，对欧盟个人信息保护的发展起到了至关重要的推动作用。随之，欧盟各成员国先后颁布了个人信息法并设立了信息保护局。第三个阶段以条例和指令为共同表现形式。伴随着经济的蓬勃发展，数据信息极速流转，旧法已难以达到协调欧盟各成員国个人信息保护法之目的。鉴于此，2010年欧洲委员会向欧洲议会和理事会提交《欧盟个人信息保护综合方案》，确立了个人信息保护法改革的基本框架。2016年，欧洲理事会议会先后表决通过了《关于个人信息处理及个人信息自由传输的条例》（以下简称《条例》）和《关于有权机关为了预防、发现、调查和起诉形式犯罪而自由传输个人信息及保护个人信息的指令》（以下简称《指令》），同时设立专门的个人数据监督管理机构，对个人信息的收集、流通和利用进行严格的管理和监督。[12]欧盟各成员国则以《指令》和《条例》为一般原则和指引，在本国制定了相应的法律法规。

三、我国个人信息行政法保护之不足

个人信息收集处理程序缺失  程序正当原则主要是对行政权力实施过程进行规制，使之透明化、专业化。行政机关作为最大的个人信息收集处理主体，应将程序正当原则贯彻在个人信息收集、处理的各个阶段。个人信息收集前应通知信息主体，事中以同意为原则展开信息的采集，事后应提供救济渠道以保障侵权人和被侵权人陈述、申辩的权利。大数据时代，个人信息的形式愈加多样化，网页浏览足迹、购物倾向、APP的注册信息等皆属于新型的个人信息。随之而来的是，个人信息收集的方式也悄然发生变化，并逐渐由“知情同意”向“不知情被收集”转化。现实中，因个人信息收集、处理程序缺失，行政机关忽视程序收集个人信息的不当行为时有发生，不仅剥夺了信息主体对个人信息的支配权，也加剧了受害人主张事后救济的难度。而且，行政机关对个人信息收集处理程序的不透明也使得信息主体和其他社会公众难以进行有效监督，这也与程序正当原则的要求不符。

个人信息保护监管力度不强  一是我国尚无专门机构对个人信息实施统一管理，且行政机关内部对接触信息的工作人员也缺乏严格的管控，这无疑加大了个人信息内部泄露的可能性。二是行政机关收集、处理个人信息的操作过程及采用的技术手段并未经过专业测评，无法保证个人信息不被泄露。三是对侵犯公民个人信息的行政监管措施种类较少、力度较轻。如《中华人民共和国居民身份证法》（2011修正）第十九条规定：“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员泄露在履行职责或者提供服务过程中获得的居民身份证记载的公民个人信息，构成犯罪的，依法追究刑事责任;尚不构成犯罪的，由公安机关处十日以上十五日以下拘留，并处五千元罚款，有违法所得的，没收违法所得。单位有前款行为，构成犯罪的，依法追究刑事责任;尚不构成犯罪的，由公安机关对其直接负责的主管人员和其他直接责任人员，处十日以上十五日以下拘留，并处十万元以上五十万元以下罚款，有违法所得的，没收违法所得。有前两款行为，对他人造成损害的，依法承担民事责任。”

被侵权人主张民事诉讼难获救济  一方面，个人信息主体举证难。大数据时代，信息流转具有极强的隐藏性，处理迅速且容易修改，个人信息主体收集和固定侵权证据绝非易事。在中国人脸识别第一案中，当事人郭某具有专业的法律知识尚感维权之路困难重重，对于普通人而言拒绝人脸识别更是难上加难;另一方面，维权成本与侵权赔偿不对等。即便个人信息主体能够克服困难、冲破阻碍最终维权成功，但维权成本与侵权赔偿间的巨大“赤字”也会使其望而却步。

被侵权人主张行政救济途径受阻  在中国人脸识别第一案中，一审和二审均只判定野生动物世界将入园方式由指纹识别改为人脸识别的行为构成民法意义的违约，在要求其删除后并未追究行政责任。目前，在我国行政法领域并未有专门的法律法规对个人信息进行保护，也未建立专门的个人数据保护执法机构，[13]且现行个人信息法律保护体系对于个人信息主体如何确定行政机关侵权、采取何种手段主张救济以及向谁提出救济等问题涉及较少，一定程度上导致个人信息主体在主张行政救济时面临重重阻碍。[14]

四、行政法对民法中个人信息保护的因应

完善个人信息行政法保护体系  《民法典》在第一千零三十六条、第一千零三十八条和第一千零三十九條明确了处理个人信息的免责事由、信息处理者的安全保障义务、行政人员承担保密义务，预留出了完善个人信息行政法保护的接口。我国可借鉴域外对于个人信息保护的分散立法模式和综合立法模式，探索适合我国基本国情的个人信息保护兼容模式，即将保护私权利的民法与监督公权力的行政法相互融合。一方面，将合法行政、合理行政、程序正当、知情同意、用途限制等原则作为个人信息行政法保护的根本原则，切实加强对个人信息的行政法保护，禁止过度商业化的行为，加大个人信息侵权惩处力度;另一方面，正确区分个人信息和隐私权之间的差异，二者重叠部分应统一作出立法规定，二者不同部分应有针对性地提出立法建议，确保个人信息行政法保护体系的系统化、科学化。

建立个人信息处理的行政许可制度  信息在互联网时代的飞速流转加速了个人信息处理者的不断变换，导致个人信息处理主体的不确定，放大了信息泄露的风险。为明确信息处理主体，避免在信息处理过程中出现侵权现象，应提高信息处理的“门槛”，采用“许可-备案”制确定个人信息处理的主体资格。获得资格的信息处理主体由专门机构进行统一培训、备案考察和集中管理（非行政机关处理个人信息应增加“授权”这一前置程序），定期进行公民信息保密核查和评估。建立刚性的惩戒机制，对于泄露个人信息或处理不当的机关或组织予以大额罚款、吊销个人信息处理登记证或许可证、[15]免除其处理信息的资格等行政处罚。

健全个人信息行政法监管机制  一是基于行政复议机关兼具监督行政权、权利救济和解决争议的功能，可将其确定为个人信息保护的行政监管主体。二是加强信息处理者的监管义务。保护个人信息不能只立足于事后监督，更要着眼于事前和事中监督，应在个人信息处理过程中对信息处理者的技术措施和技术手段进行监督，确保其安全收集、存储及流转个人信息。建立个人信息泄露问责机制，加大对涉案信息处理者的处罚力度。三是对于个人信息流通过程中出现的的泄露、篡改、丢失等情形有针对性地采取处罚措施。四是鉴于《民法典》已规定收集、处理个人信息应告知自然人并向有关主管部门报告，在行政法中亦应设置专门机构对自然人的的报告进行审查和处理。

确立个人信息保护组织在诉讼中的原告资格  相较于政府、企事业单位或其他组织，公众在个人信息遭受侵犯时往往不知如何采取救济手段、如何搜集和固定证据继而求助于个人信息保护组织。因此，应明确个人信息保护组织参与诉讼的资格，确保其能有序参与诉讼途径。从某种程度上说，个人信息保护组织原告资格的确认作为一种事后监督手段，能够倒逼行政机关和非行政机关合法收集、处理个人信息，是维护公众个人信息权益的可操作性举措。[16]当然，对可以参与诉讼的个人信息保护组织应设置一定的等级限制，可参照环境公益诉讼的原告主体资格进行确定，即在设区的市级以上人民政府民政部门登记的，专门从事个人信息保护活动连续五年以上且无违法记录的社会组织。

【参考文献】

[1]李少伟.民法法典化与私法价值的实现[J].河北法学，2019，（12）：20-28.

[2]程琥.民法典时代的行政法：挑战与回应[J].中国法律评论，2020，（4）：170-177.

[3]涂慧.试论中国个人信息的法律保护[J].西北大学学报（哲学社会科学版），2010，（2）：149-153.

[4]程啸.论我国民法典中的个人信息合理使用制度[J].中外法学，2020，（4）：1001-1017.

[5]齐爱民.个人信息保护法研究[J].河北法学，2008，（4）：15-33.

[6]韩强.人格权确认与构造的法律依据[J].中国法学，2015，（3）：138-158.

[7]杨立新.个人信息：法益抑或民事权利——对《民法总则》第111条规定的“个人信息”之解读[J].法学论坛，2018，（1）：34-45.

[8]徐海宁，詹伟杰，许多奇.电子通信隐私法[J].互联网金融法律评论，2016，（2）：190-213，2.

[9]周汉华.探索激励相容的个人数据治理之道——中国个人信息保护法的立法方向[J].社会科学文摘，2018，（4）：64-66.

[10][15]王锡锌.个人信息国家保护义务及展开[J].中国法学，2021，（1）：145-166.

[11]刘云.欧洲个人信息保护法的发展历程及其改革创新[J].暨南学报（哲学社会科学版），2017，（2）：72-84.

[12]张玉洁，李佳文.互联网时代个人信息保护机制研究[J].政法学刊，2020，（3）：59-68.

[13]刘学涛.个人数据保护在我国行政法治视域下的挑战与应对[J].北京邮电大学学报（社会科学版），2019，（2）：9-16.

[14]吴伟光.大数据技术下个人数据信息私权保护论批判[J].政治与法律，2016，（7）：116-132.

[16]张炜达，呼啸.大数据时代下个人信息行政公益诉讼制度之建构[J].西北大学学报（哲学社会科学版），2020，（4）：69-80.

Administrative Law Response of Personal Information Protection

System in Civil Code Era

Sun Haitao，Wang Hongli

Abstract：There are two main modes of extraterritorial personal information protection：decentralized legislation and comprehensive protection. In China，although the legislative interface for the protection of personal information administrative law is reserved in the civil code，there are still some problems in practice，such as the lack of personal information collection and processing procedures，the weak supervision of administrative organs， the infringed's claim that it is difficult to obtain relief in civil litigation and the obstruction of administrative relief. In the future，the administrative protection of personal information should comply with the trend of the times and step by step.At the legislative level， improve the protection system of personal information administrative law，and establish the administrative license system for personal information collectors and processors;At the judicial level，establish the plaintiff qualification of personal information protection organizations in litigation;At the level of law enforcement，improve the administrative supervision mechanism of personal information.

Key words：personal information protection;civil code;administrative law;administrative organ