数字法治政府背景下个人信息的行政法保护研究

陈 慧,胡晓航

(1.武汉理工大学 法学与人文社会学院,湖北 武汉 430070;2.西南政法大学 行政法学院(监察法学院),重庆 401120)

0 引言

随着信息技术的迅猛发展,数字化已经成为了全球范围内的新趋势,数字法治政府建设也逐渐成为了国家治理现代化的必由之路。《法治政府建设实施纲要(2021-2025年)》以法治政府建设的具体领域为视角,明确了构建信息化数字政府的具体任务。建设数字法治政府是保障公民个人信息安全的重要途径之一,体现在其不仅涉及到公民的个人权利,也关系到国家安全和社会稳定等方面。数字法治政府建设的核心目标是建立一个数字化、信息化的治理体系,以促进政府决策的透明化、公正化、高效化和服务的智能化。在当前个人信息保护制度现存的问题之中,个人信息泄露、滥用等方面的问题已经引起了广泛关注。这些问题的根源在于个人信息保护法律体系的不完善和行政管理机制的不规范,缺乏有效的行政法保护措施。为此,数字法治背景下的个人信息保护措施和行政法保护的法律基础已经成为了研究的热点之一。在数字法治政府建设背景下,行政机关需要承担更多的责任和义务,加强对个人信息的保护和管理,推动数字时代的社会进步[1]。基于此,将两者结合起来研究,具有重要的理论价值和现实意义。

1 数字法治政府背景下个人信息行政法保护的基本问题界定

1.1 个人信息行政法保护的内涵

个人信息行政法保护的内涵包括行政机关依法采取措施保护公民的个人信息安全以及公民依法享有的个人信息权益得到有效保障。为了确保个人信息安全受到保护,国家应当制定全面系统的个人信息保护法律法规、建立健全个人信息安全保护机制、加强对个人信息的监管和管理,并提高行政机关工作人员的法律素养和技能。同时,为了保障公民的个人信息权益,公民需要拥有个人信息自主权、个人信息控制权以及个人信息访问权等权利。

在数字法治政府建设背景下,个人信息行政法保护的内涵需要更加注重数字化、网络化、智能化等特点[2]。首先,行政机关需要加强个人信息安全保护的技术手段和能力建设,采取更加有效的措施保护公民的个人信息安全,如加密技术、身份认证技术、安全管理制度等。其次,行政机关需要加强对数据的管理,通过建立健全的数据分类、归集、存储、使用、共享、清理、销毁等制度,更好地保护公民的个人信息安全。此外,行政机关需要加强对第三方机构的监管,建立健全的个人信息共享和数据开放机制,保障公民个人信息在合法、规范、安全、有效的情况下得到使用。最后,为了共同推进个人信息保护工作,行政机关需要加强与社会各方的合作,发挥政府、企业、社会组织等多方面的作用。只有通过政府与社会各界的紧密合作,才能够形成一个协同推动、互相配合的机制,以保障个人信息的安全和隐私。

随着大数据时代的发展,信息技术不断更新迭代,个人信息的保护问题也在不断面临新的挑战。因此,行政机关需要适应新形势、制定更加完善的法规和政策措施,以更好地保护公民的个人信息安全和权益。同时公民也需要提高自身的法律意识和技能,主动了解和维护自己的个人信息权益。只有在行政机关、公民以及社会各方共同努力下,才能够建立起一个更加健康、安全、有序的个人信息保护体系,为数字经济的发展提供更加坚实的法治保障。

1.2 个人信息行政法保护的基本原则

根据《中华人民共和国个人信息保护法》的规定,个人信息的处理活动必须遵循合法、正当、必要和诚信原则,以及目的限制原则和公开透明原则等。①合法、正当、必要与诚信原则。合法性原则要求个人信息的处理活动符合法律法规规定;正当性原则要求处理在合理、正当的范围内进行;必要性原则要求处理仅限于合理、必要的范围;诚信原则要求处理诚实、信用并保护个人隐私。这些原则有利于确保个人信息行政法保护遵循法律规定、维护个人权益,促进信息管理的规范与透明,平衡信息管理需求与个人权益保护,维护社会秩序与公共利益。②目的限制原则。通过明确个人信息处理的特定目的,并限制在合法、合理的范围内,可以确保行政机关不滥用个人信息权力,减少对个人隐私的侵犯[3]。同时,目的限制原则还有助于防止信息被不当使用或泄露,提升行政机关的透明度,促进信息管理的公开透明。遵循目的限制原则能够维护公共利益和个人权益之间的平衡,确保个人信息行政法保护的有效实施。③公开透明原则。这意味着行政机关在处理个人信息时应向公众提供充分、明确的信息,保障公民的知情权和参与权。公开透明原则有助于提升行政机关的责任和信任度,防止个人信息的滥用和不当使用。通过公开披露个人信息处理的方式和目的,可以使公众监督行政机关的行为,发现和纠正滥用行为。此外,公开透明原则还建立了行政机关与公民之间的信任与合作基础,促进个人信息保护工作的有效实施。因此,个人信息行政法保护应严格遵循公开透明原则。

2 数字法治政府背景下个人信息行政法保护的现状及困境

虽然我国已经出台了一系列法律法规,但是目前我国个人信息保护的规制对象主要是私法主体,缺少对行政机关的规制,包括《中华人民共和国民法典》《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》《中华人民共和国网络安全法》《信息安全技术个人信息安全规范》等。这些法律、法规虽然明确了个人信息的概念、范围、个人信息处理的基本原则以及个人信息泄露、滥用等违法行为的处罚标准和责任追究机制,但目前法律规范中对于“有关部门”的具体细化尚未完善,这种模糊的规定可能导致各部门之间相互推诿“踢皮球”或者“一窝蜂”的现象,进而造成信息主体受到侵害却无法找到投诉的途径。这种情况可能导致信息主体陷入无法维权的困境,迫切需要进一步明确有关部门的职责和责任,加强监管和执法的效果,确保个人信息保护的有效实施。当然也要看到我国加强个人信息保护监管和执法力度的决心,国家网信部、公安部、工信部等多个部门已经建立了个人信息保护监管机制,并对个人信息保护违法行为进行了打击。例如,近年来,多个互联网企业因违反个人信息保护规定而被罚款或停业整顿,这些行动有助于推动企业更加重视个人信息保护。具体而言,我国在数字法治政府建设背景下个人信息的行政法保护仍存在如下问题。

2.1 行政法律规范体系不够严密

个人信息保护是数字法治政府建设的重要内容之一,也是现代社会保护个人隐私和信息安全的必然要求。《中华人民共和国个人信息保护法》是我国第一部专门规定个人信息保护的法律,虽然较之前的规范性文件内容更加完善、更加紧跟时事,但在实施细则、制裁措施等方面仍有很多不足之处。《个人信息保护法》第60条规定:“国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作,国务院有关部门依照该法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。”在实践中,该条款的落实存在很多尚不明确的地方,比如如何做到“统筹协调”,“有关部门”具体是指哪些部门等。

众所周知,法律的制定存在一定程度的滞后性,所以一部法律的出台需要相应的制度进行跟进和实施,但就目前来说,在我国个人信息保护的法律框架下,仍然存在着行政规制体制不健全的问题。这意味着目前的行政规定和机制尚未完全适应快速发展的个人信息保护需求,无法有效应对涉及个人信息的新挑战和新问题。因此,需要加强对行政规制的完善和更新,以确保个人信息保护的法律框架与实际需求相匹配,提高行政规制的适应性和灵活性,这样才能更有效地保护个人信息,维护公民的隐私权益。纵观整个法律法规体系,目前的个人信息保护法律法规数量有限,而且分散在不同的法律文件中,个人信息保护的体系化还是不够完善和严密[4]。另外,我国个人信息保护法律法规对于不同类型和形式的个人信息的保护标准和适用范围并不完全明确,导致一些违法行为在法律上存在一定的空间,这就需要我国立法机关进一步完善个人信息保护的法律法规。

2.2 行政监管机制不够健全

一切有权力的人都容易滥用权力,有权力的人们使用权力一直到遇有界限的地方才休止[5]。纵观我国个人信息保护法律法规的监管和执行,确实存在一定的问题,也正是由于我国的行政体制和法律监管机制的不完善,才导致一些违法行为难以得到有效监管和制裁。在实际的个人信息处理工作的过程中,行政机关存在过度收集,未履行告知义务,未经同意擅自收集、储存和利用公民个人信息的情形,行为的正当性存在较大问题[6]。例如“大数据杀熟”、北京健康宝收集的大量明星个人信息被广泛公布在公共社交平台上并被用于牟利等情况,揭示了对我国个人信息安全保护法律法规的无视和挑衅,凸显了当前个人信息保护体系存在的漏洞和执法的挑战,这种行为严重损害了信息主体的权益,产生了负面的社会影响。

尽管国家相关部门对于违反个人信息保护法规的企业和个人进行了一些处罚,但是在很多情况下,这些处罚并不能有效地起到威慑和惩戒作用。首先,监管部门的职责分散、协调不足[7]。当前,我国个人信息保护涉及的部门众多,涉及范围广泛,包括公安、工信、文化和旅游等多个部门,不同部门之间的职责划分不够明确,缺乏有效的协调和合作。其次,监管手段不够严格、效果不够明显。个人信息泄露事件频繁发生,但是对于泄露者的处罚力度较小,难以形成有效威慑;再者,监管部门执法能力不足。一方面,监管部门的人员数量不足,无法有效地开展监管工作;另一方面,监管部门的执法手段相对单一,难以有效应对复杂多变的个人信息泄露情况。

在这个问题上,需要我国加强个人信息保护的监管和执行力度,建立健全行政监管机制,完善监管手段和监管体系,提高监管的有效性和精准度。此外,还需要加强对个人信息保护问题的调查和研究,加强信息公开和宣传力度,提高公众个人信息保护意识和重视程度。

2.3 行政保护的法律执行效果较差

尽管我国已经颁布了一系列与个人信息保护相关的法律法规,但在行政法领域,与个人信息保护有关的法律法规的实际执行效果却并不理想。虽然法律数量已经相对较多,但仍然面临着一些挑战,主要体现在以下几个方面:首先,法律执行不力导致违法行为难以追究。个人信息保护法律体系庞大而复杂,执法机关在执行过程中可能面临资源不足、技术挑战和法律解释不明确等问题。这导致一些违反个人信息保护法规的行为难以被及时发现、调查和追究责任,给违法者带来了容忍和逍遥法外的错觉,从而削弱了法律的威慑力。其次,执法机关能力不足影响法律执行效果。个人信息保护涉及广泛的行政管理范畴,需要执法机关具备充分的专业知识、技能和技术手段来应对不断变化的技术和法律挑战。然而,一些执法机关在人员配备、培训和经费等方面面临着限制和不足,无法有效地执行个人信息保护法律,导致执行效果不佳。此外,对违法行为的处罚力度不足也是导致法律执行效果较低的因素之一。个人信息保护法律对违法行为的处罚力度不够严厉,尤其是对于违规企业和个人的处罚,仅仅停留在轻微的行政处罚或口头警告的层面。这导致违法者的违法成本太低,缺乏足够的动力改善其行为,从而影响了法律执行的效果。

为了改善行政保护的法律执行效果,应采取一系列措施。例如,加强执法机关的能力建设,提供充足的人员、培训和经费支持,以确保其具备应对技术和法律挑战的能力;加大对违法行为的惩罚力度,建立严密的法律制度,使违法行为付出真正的代价,提高法律的威慑力。只有通过这些综合性措施的有效实施,才能提升行政保护的法律执行效果,更有效地保护个人信息的合法权益。

2.4 行政救济途径及时效性不够

在我国,行政救济途径是保护公民合法权益的重要途径之一。但在实践中,行政救济途径及时效性不够是当前行政保护领域的一个重要问题,需要进一步加以关注和改进[8]。首先,行政救济途径的不充分主要体现在救济渠道的不明确性。当前个人信息保护领域存在多个行政机关和部门分别负责不同方面的监管和救济,但其救济范围有限,仅限于某些特定情形或特定行为的救济。这使得一些个人信息保护纠纷无法得到有效解决,对个人权益的保护存在漏洞。比如,现有法律条文在最后设置了“等”字这类具有解释性的兜底条款,但是,在实践中存在缺少法律依据和适用领域存在局限性等现象。例如,当公民认为自己的权利受到损害后,可以选择行政诉讼或者行政复议的方式寻求救济,但是由于《个人信息保护法》出台后对“个人信息保护”的内容和相关解释并没有与行政法达成很好的衔接与过渡,所以不同地区对该类条款的适用存在分歧,在知晓公民申请的是关于个人信息权益受损的救济时,就会存在有的地方受理申请,有的地方不受理申请的情况。

其次,行政救济途径的效率不高也是问题所在。救济程序繁琐、时间耗费长,行政机关的办事效率和工作负荷等因素都影响着救济的及时性。此外,一些救济机构缺乏专业知识和技能,无法对复杂的个人信息保护问题做出迅速准确的裁决,导致救济结果的延迟和不确定性。另外,行政救济途径的法律保障也存在不足。一些法律对行政救济的规定比较笼统,缺乏具体操作细则,导致行政机关在救济过程中存在裁量权过大或标准不一致等问题。此外,对于救济决定的执行力度不够,行政机关往往缺乏有效的措施来推动救济的落实。

为了解决行政救济途径及时效性不够的问题,可以采取以下措施:首先,建立更为完善和多样化的救济渠道,确保个人信息主体能够选择适合自身情况的救济途径。其次,优化救济程序,简化办事流程,提高行政机关的工作效率和专业能力,确保救济的及时性和准确性。同时,加强对行政救济途径的法律保障,明确救济程序和标准,加大对救济决定的执行力度,确保救济的公正和有效。

综上所述,数字法治政府背景下个人信息行政法保护存在着行政法律规范体系不严密、行政监管机制不健全、行政保护的法律执行效果较低、行政救济途径及时效性不够等问题。要加强个人信息保护,必须从法律、监管、救济等多个方面进行改进和完善。例如,加强个人信息保护法律体系的建设,明确各部门的职责和监管权限;加强监管机制的协调和合作,提高执法效果和处罚力度;加强行政救济机构的人员配备和救济程序的简化,提高救济效率。

3 数字法治政府背景下个人信息行政法保护的推进措施

3.1 坚持公私法相结合的保护模式

大数据时代,对个人信息的保护要对应数字法治政府背景下其内涵逐渐丰富的趋势,行政机关应当利用其强大的监管能力,与其他部门法相互配合,维护公民个人信息保护过程中的动态性需求。行政法保护个人信息的优势在于其具有强制性和全面性的特点;能够通过立法和行政机关的监管,规范个人信息的收集、处理和使用行为,确保行政机关和企业遵守法律规定,保护个人信息主体的权益。行政法的强制性使得违法行为可以得到及时的制止和处罚,有助于维护社会公共利益和个人信息的安全。私法保护个人信息的优势在于其注重个人的权利和责任,强调个人信息主体的自主选择和自由意志,通过合同法、侵权法等私法规定,保护个人信息主体的隐私权、名誉权和其他相关权益。私法强调个体之间的平等地位和交易自由,能够针对具体的争议和侵权行为提供个人信息主体的救济途径。

在保护个人信息方面,公私法相结合的保护模式应该兼顾到以下几个方面:①立法上的结合。在立法过程中,公法和私法应该相互补充,形成一个完善的法律体系。公法立法主要关注行政机关的管理职责和违法行为的处罚,而私法立法则注重个人信息主体的权利和违约责任。两者结合能够形成一套完整的个人信息保护法律框架。②规制机构的协同合作。行政机关和司法机关在个人信息保护中应该加强协作,形成一个有机的合作机制。行政机关负责监管和执法,及时制止和处罚违法行为;而司法机关则负责依法审理个人信息侵权纠纷,保护个人信息主体的合法权益。③救济渠道的整合。公法和私法应该在救济渠道上相互衔接。行政救济途径应该及时、有效,提供给个人信息主体进行投诉和申诉的渠道。私法救济机制则应该提供给个人信息主体追究侵权行为的补偿和赔偿途径。④规范行为的综合性。公私法相结合的保护模式应该综合考虑个人信息的收集、处理和使用行为。行政法主要通过行政授权和行政许可来规范行为,保护公共利益和个人信息的安全;私法则通过合同和侵权法规范个体之间的行为,保护个人信息主体的权益。

综上所述,个人信息的行政法保护应该坚持公私法相结合的保护模式,通过公法和私法的结合,实现个人信息全面、有效、综合的保护。这样的保护模式能够更好地平衡行政机关的管理职责和个人信息主体的权益,确保个人信息得到合理、合法、综合保护。

3.2 完善行政法律规范体系建设

《个人信息保护法》虽然发挥了统领的作用,但是如何能够在实践中顺利推行法治政府背景下个人信息的行政保护制度,需要制定一些更详细的规则作为承上启下的工具,帮助信息主体和信息处理者更好地参与其中。

首当其冲便是要加强立法层面的建设,建立更加完善的行政法律规范体系,如制定个人信息行政保护的标准和规范,明确行政机关的行为准则和权限范围等。同时,要进一步加强立法的专业性和针对性,以满足不断变化的大数据环境下的保护需求[9],例如要加强对个人信息保护相关法律的修订和完善,包括:①法律保留原则限制个人信息收集主体。根据我国《立法法》的相关规定,收集个人信息的主体应当受到法律的明确授权。立法机关通过制定法律对行政权力进行限制,才能更好地保护个人信息。②注重立法完善的同时,加强对个人信息的分类和制定更加详细的实施细则。个人信息的种类繁多,不同类型的信息可能需要采取不同的保护措施。因此,在制定个人信息保护法律法规时,需要考虑不同信息类型的特点和风险程度,为不同信息提供具体的保护要求和措施。同时,可以规定对行政机关的执法工作开展长期监督、定期检查和突击检查等规则。例如,设置检查结果评分制,规定参与监督、调查活动的工作人员不得少于 2～3 名,双方都应当严格遵守检查程序等。③比例原则限制个人信息收集范围。个人信息收集范围的确定是对信息所涉领域的重要性、收集信息时的紧迫性,以及收集信息与其目的之间的关联性等因素的综合考量[10]。《个人信息保护法》第六条中“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关……收集个人信息,应当限于实现处理目的的最小范围”的规定是最少必要原则的体现。相关的法律法规应当在数字法治政府的背景下紧跟时事,作出适当调整与修订。

总之,加强个人信息的行政法律规范体系建设需要多方采取综合措施,通过不断强化法律规范和监管力度,加强个人信息主体的权利保护和救济机制,以及提升行政机关和企业的个人信息保护意识和能力,才能确保个人信息得到有效的行政法律保护。

3.3 优化行政监管机制建设

行政监管是指行政机关在行使监管职能时,对被监管对象的行为进行检查、审核和评估的过程。在保障个人信息行政法保护方面,行政监管机制的完善和优化也至关重要。当前个人信息的行政监管主要是以网信部门统筹与有关部门配合的方式为主,虽然该模式在一定程度上适应了数字时代的发展,但也不可避免地存在弊端。例如:多部门的监管模式可能会导致相关部门权责不明、互相推诿的问题,不利于实践中的有关部门确保处理行为合法性和执法有效性[11]。因此,加强行政监管机制建设需要从以下几个方面进行:①进一步明确各监管部门的职责。应当明确国家互联网信息办公室和公安部门在个人信息保护方面的职责和分工,以便更好地开展监管工作。②加强对行业内企业的监管力度。加强监管不仅要对企业的个人信息采集、使用和保护进行监管,还应对企业的安全技术能力和管理制度进行评估,确保其保护个人信息的能力和制度健全。③建立完善的监管机制。主要包括信息公示、监管评估和监管问责等方面。通过建立严格的监管机制,可以有效地监督企业的个人信息处理行为,同时也可以对个人信息泄露事件进行及时、有效的应对。④提高监管部门的执法能力。监管部门应该不断提升自身的执法能力,包括信息安全技术、法律知识和风险评估等方面,以便更好地开展监管工作。同时,应该完善行业自律机制,加强企业的自我监督,提高企业的自律意识。

3.4 健全行政复议和行政诉讼制度

行政救济是保障公民合法权益的重要途径之一,对于加强个人信息行政法保护也有着不可或缺的作用。在现行的行政救济制度中,行政复议和行政诉讼是最常用的两种方式[12]。但是在实际应用中,行政复议和行政诉讼制度还存在一些问题,例如时效性不足、诉讼成本高等。这些问题的存在,限制了公民在保护自身合法权益方面的效力。因此,进一步完善行政复议和行政诉讼制度成为了必要之举。

针对时效性不足的问题,可以考虑在行政救济程序中加强时限管理。例如,在复议和诉讼程序中设立明确的时限,并对时限进行监督和执行,以确保救济程序的及时性。此外,还可以在行政复议和行政诉讼程序中设立简易程序,以加速对于一些简单的案件的处理。对于诉讼成本高的问题,可以考虑在行政救济程序中适当降低诉讼费用,并提供一定的法律援助。此外,还可以通过加强司法公正性和透明度,保证公民在行政救济中的权益得到有效保障。

此外,还可以建立和完善其他形式的行政救济机制,如行政调解、行政监察等,以满足公民在不同情况下的救济需求。这些措施的实施,可以进一步强化行政法保护的效力,提高公民对于行政行为的合法性信任。

综上所述,坚持公私法相结合的保护模式、完善行政法律规范体系建设、优化行政监管机制建设和健全行政复议和行政诉讼制度等行政救济制度,是加强个人信息行政法保护的重要途径。只有在各个环节的全面优化下,才能够更好地保护公民的个人信息权益,营造良好的信息安全环境。

4 结语

在数字化时代,个人信息保护问题越来越受到重视,作为法治国家,中国政府也在不断加强个人信息行政法保护的工作。但是,现实中依然存在着行政法律规范体系不严密、行政监管机制不健全、行政救济途径时效性不足等问题。针对这些问题,需要加强行政法律规范体系建设,完善行政监管机制,以及进一步完善行政复议和行政诉讼制度等行政救济制度。

个人信息保护工作不是一个短期内可以完成的任务,而是需要长期不懈的努力和探索[13]。只有在不断强化行政法保护的基础上,才能为公民提供更加安全、稳定的信息保护环境。同时,个人信息保护不仅仅是政府的责任,每个人也应该积极参与到个人信息保护中来,保护自己的个人信息安全,营造更加健康、有序的数字社会生态。