李亦君

（貴州財經(jīng)大學(xué)，貴州貴陽 550000）

大數(shù)據(jù)時代，個人信息的法律保護成為各國面臨的重要問題。在我國，私法領(lǐng)域的保護較為被動，且規(guī)制的范圍主要是針對營利性主體和非政府機構(gòu)侵犯公民個人信息的行為，而公法領(lǐng)域的刑法所要求的條件較高，一般的侵害個人信息的違法行為在未達到犯罪標準的情況下，無法運用刑法進行懲罰。而從行政法層面加強對個人信息保護具有更高的嚴密性，行政法可以明確具體地規(guī)定個人信息的請求更正權(quán)和救濟權(quán)，規(guī)制范圍更具有針對性。因此，對國外先進的行政法保護經(jīng)驗進行對比分析，提出對我國更具有針對性和適用性的行政保護策略具有較為現(xiàn)實的意義。

1 個人信息概述

1.1 個人信息的概念界定

我國沒有個人信息方面的專門立法，對個人信息的概念尚未統(tǒng)一，根據(jù)學(xué)術(shù)界的學(xué)者們關(guān)于個人信息的內(nèi)容達成的基本共識，個人信息可以被界定為“以直接或間接的手段獲取的足以識別特定自然人的受法律保護的信息，范圍包括但不限于姓名、出生日期、身份證號、工作、教育、財務(wù)、健康狀況以及其他具有個人指向性的信息”。

1.2 個人信息的特征

個人信息所包括的內(nèi)容具有較為寬泛的外延，能夠?qū)⑷伺c人區(qū)別開來的任何有關(guān)個人的碎片材料都可以視為個人信息的范圍，具有廣泛性和可識別性的特點，包括與個人相關(guān)的基本情況、生活背景、個人習(xí)慣等。同時，個人信息具有時效性，個人信息處于一個不斷變化的過程，每個人的信息都隨著時間的推進而更新，比如年齡、身體狀況、家庭住址、工作情況等。另外，個人信息還具有可共享性，同一部分的個人信息可以同時被不同的信息用戶獲取或利用。大數(shù)據(jù)時代，個人信息的上述特征在拓展了其價值空間的同時，也給個人信息的保護增加了難度和成本。

2 我國行政法對個人信息保護的問題分析

2.1 現(xiàn)有行政法對個人信息的保護

2.1.1 個人信息保護的行政立法

我國現(xiàn)有的有關(guān)個人信息保護的行政法律有近40部，法規(guī)30余部，部門規(guī)章200多部，較為分散，且有關(guān)個人信息保護的規(guī)定不夠統(tǒng)一，無法準確界定行政法領(lǐng)域?qū)€人信息的保護范圍，甚至有些條款的規(guī)定欠缺可行性，導(dǎo)致個人信息的法律保護未能達到期待的效果。

從上表可以看出，我國行政法關(guān)于個人信息保護從理論層面基本做到了事前預(yù)防，事中監(jiān)管和事后監(jiān)督、救濟，但由于無專門的立法，規(guī)定較為籠統(tǒng)且繁瑣，同時有很多操作性不強的法律規(guī)定，缺乏相對應(yīng)的處罰措施和完善的救濟途徑。

2.1.2 個人信息保護的行政執(zhí)法

互聯(lián)網(wǎng)的普及使行政機關(guān)越來越方便地收集、處理和使用公民的個人信息，公民的個人信息權(quán)可能會由于行政機關(guān)在采集、存儲和信息公開等環(huán)節(jié)受到侵犯，在出現(xiàn)個人信息被超范圍使用或泄露時，“官本位”的執(zhí)法理念下行政機關(guān)甚至不把維護公民個人信息安全作為自身的義務(wù)，甚至一些行政機構(gòu)為了提高辦公效率，節(jié)省辦公資源，開通機構(gòu)間信息共享渠道，但由于缺乏監(jiān)管，致使個人信息資源在共享過程中出現(xiàn)泄露時無法明確責(zé)任主體，公民個人信息權(quán)遭受侵害卻無法得到救濟。這些常見的情形彰顯了行政機關(guān)在執(zhí)法上的不足，未做到按照相關(guān)法律法規(guī)的規(guī)定對信息管理部門的嚴格監(jiān)管。

2.2 個人信息行政法保護存在的問題

2.2.1 行政法對個人信息保護的規(guī)定不完善

（1）個人信息主體權(quán)利的規(guī)定不明確。行政法中對個人信息權(quán)的內(nèi)容和范圍未作出確切的規(guī)定，只能在具體法條的基礎(chǔ)上對公民享有的個人信息權(quán)利進行推導(dǎo)適用。比如：根據(jù)法條中規(guī)定的“公民有了解或知道自己個人信息被收集的目的的權(quán)利”，得出公民對個人信息享有知情權(quán)的結(jié)論；“公民發(fā)現(xiàn)自己的個人信息不符時，有提出異議和更正自己信息的權(quán)利”，推導(dǎo)出公民享有個人信息的異議權(quán)和更正權(quán)；以及在個人信息遭受侵害后才能要求行使的刪除權(quán)。然而，一些其他正當(dāng)性的權(quán)利如公民拒絕提供信息的權(quán)利等在行政法中沒有提及，很容易導(dǎo)致信息主體無實質(zhì)權(quán)利、公民個人信息被非法使用的后果。

（2）行政主體對個人信息的行政行為缺乏規(guī)制。我國行政法律規(guī)范對行政機關(guān)在處理個人信息時應(yīng)遵守的規(guī)則較為簡單且籠統(tǒng)，沒有具體操作程序的法律條文，給法律適用帶來了一定的難度。比如，行政法律規(guī)范中有的規(guī)定了國家需要對個人信息的保密義務(wù)；有的規(guī)定了政府在公民查詢個人信息時的審查義務(wù)，盡管這些規(guī)定對行政機關(guān)保護公民個人信息作出了要求，但并沒有明確行政機關(guān)及其工作人員不作為或亂作為而導(dǎo)致個人信息權(quán)利遭受侵犯時，應(yīng)承擔(dān)什么樣的具體責(zé)任及如何承擔(dān)責(zé)任。

（3）個人信息的行政法保護滯后。行政機關(guān)處理公民個人信息時按照現(xiàn)有行政法對行政行為的總體要求為依據(jù)，行使自己的職權(quán)，但對于個人信息保護相關(guān)的事項，行政法律法規(guī)沒有專門的規(guī)定，對處理個人信息的行政行為與一般的行政行為所應(yīng)遵循的原則和程序規(guī)范未具體區(qū)分，若出現(xiàn)行政機關(guān)收集、保存的個人信息被泄露、被非法利用的情況，行政機關(guān)往往在公民的個人信息權(quán)益被侵害后才進行事后保護，按現(xiàn)有行政法無針對性的操作程序無法及時保護公民因個人信息遭受損害所產(chǎn)生的人身和財產(chǎn)損失。

2.2.2 個人信息處理的主體缺少監(jiān)管

我國個人信息處理的主體主要包括行政機關(guān)和非行政機關(guān)，其中，行政機關(guān)及其職能部門作為公民個人信息的“集散地”，在收集、處理和使用信息的合法性及合理性方面需要受到嚴格監(jiān)管。實務(wù)中，一方面，行政機關(guān)工作人員利用職務(wù)之便主動泄露個人信息謀取不正當(dāng)利益或者發(fā)現(xiàn)信息泄露而不作為的現(xiàn)象較多；另一方面，行政機關(guān)專門建立的信息庫儲存的個人信息具有較為廣泛的覆蓋率和超高的準確率，成為一些不法分子的首要目標，在監(jiān)管力度不夠的情況下，他們往往利用系統(tǒng)保護的漏洞入侵行政機關(guān)的信息庫，盜取信息資源。因此，我國需要設(shè)置專門的監(jiān)管機關(guān)對不同級別的處理個人信息的行政機關(guān)進行統(tǒng)一監(jiān)督，避免目前的上級監(jiān)督下級的方式存在的監(jiān)管缺陷。

非行政機關(guān)對個人信息的不法行為主要表現(xiàn)為非法收集和使用。我國《征信業(yè)管理條例》中明確了行政機關(guān)等征信管理部門對非行政機關(guān)收集和使用個人信息的行為具有監(jiān)管職能。但現(xiàn)實中，即使行政機關(guān)未依法履行監(jiān)管職責(zé)或監(jiān)管力度不夠，公民個人也較難憑借自身實力對行政機關(guān)進行有效的監(jiān)督。另外，雖然行業(yè)自律組織在規(guī)制行業(yè)間個人信息濫用的現(xiàn)象中也能發(fā)揮不容小覷的作用，但由于我國行業(yè)自律制度不夠完善，對非行政機關(guān)類的信息處理主體的監(jiān)管尚未發(fā)揮出應(yīng)有的效用。

2.2.3 個人信息救濟制度不健全

“無救濟則無權(quán)利”，救濟制度作為保證權(quán)利實現(xiàn)的重要方式之一，其健全與否關(guān)系到公民個人信息權(quán)益的保護能否順利實現(xiàn)。我國目前的個人信息救濟制度存在一定的缺失，大多時候政府部門不能為公民信息安全提供相應(yīng)的保障，在公民個人信息遭受侵害時往往出現(xiàn)無法得到及時的救濟或者救濟不到位的狀況，法律形同虛設(shè)，造成的后果不只是公民個人權(quán)益受到侵害無法得到賠償，甚至?xí){到法律的權(quán)威，產(chǎn)生不良的社會效應(yīng)。

我國行政法雖然規(guī)定了行政機關(guān)不作為或非法作為時，公民可以通過行政復(fù)議或行政訴訟維權(quán)，但沒有規(guī)定具體的程序，救濟過程中缺乏實際可操作的規(guī)范指導(dǎo)，公民實際實行行政救濟的結(jié)果并不盡如人意。比如，公民在發(fā)現(xiàn)個人信息權(quán)益遭受侵害時，往往無法確定自己的信息何時被泄露、被誰泄露、泄露的程度，從而出現(xiàn)無法確定被告、舉證不能等問題，也就不能順利通過復(fù)議或訴訟的途徑主張自己的權(quán)利；另外，與強大的公權(quán)力相比，公民個人力量較為單薄，在公民知曉個人信息遭受行政機關(guān)侵害的情況下，通過舉報、檢舉、投訴等方式維護自己的合法權(quán)益也可能最終不了了之，個人權(quán)利無法得到實際救濟。

3 國外個人信息的行政法律保護制度

3.1 美國分散立法和行業(yè)自律結(jié)合模式

美國在公領(lǐng)域和私領(lǐng)域分別設(shè)置了個人信息的保護制度。在公領(lǐng)域，通過分散立法的方式，在個人信息保護方面對政府的行政行為進行引導(dǎo)。美國制定了《隱私權(quán)法》和《信息自由法》，分別規(guī)定了公民個人信息的使用規(guī)則和公眾對政府信息的知情權(quán)。在私領(lǐng)域，主要依靠外部的社會組織制定的自律規(guī)則進行輔助引導(dǎo)。美國的行業(yè)組織較為發(fā)達，在個人信息保護方面制定較為針對性的自律規(guī)則，更加有效地實現(xiàn)公民個人信息的保護。為了保障政府信息公開和個人信息保護能夠有序進行，美國通過公法與行業(yè)自律規(guī)則相結(jié)合的模式，分別在兩種制度中明確了各自規(guī)制的范圍和側(cè)重點。美國的這一完善的制度設(shè)計對我國個人信息保護制度的健全具有一定的啟發(fā)意義，我國可以在行政法中明確公民個人信息權(quán)的范圍，并對行政機關(guān)處理公民個人信息時的職責(zé)和義務(wù)作出詳細規(guī)定，避免公民個人信息權(quán)在政府信息公開過程中遭受侵害。

3.2 歐盟的統(tǒng)一立法模式

歐盟于2018年5月25日全面實施的《通用數(shù)據(jù)保護條例》①對公民個人信息的保護和監(jiān)管規(guī)定了較高的保護程度和保護標準?！锻ㄓ脭?shù)據(jù)保護條例》作為各成員國在個人信息保護領(lǐng)域共同遵守的法律，各成員國可根據(jù)自身實際情況出臺相應(yīng)的配套法律，保障歐盟體內(nèi)各國家之間信息的安全流通。歐盟還設(shè)立了針對個人數(shù)據(jù)保護的專門機構(gòu)，主要對信息控制者的行為進行監(jiān)管，在公民個人信息被違規(guī)披露或流通時，可以行使投訴權(quán)。同時，監(jiān)管機構(gòu)還擁有強大的執(zhí)法權(quán)，便于其調(diào)查和處理個人數(shù)據(jù)相關(guān)的投訴事件。我國有必要借鑒歐盟的經(jīng)驗，在個人數(shù)據(jù)的收集、流通方面制定完善的規(guī)則促使行政機關(guān)對個人信息進行有序、有效的管理和保護，學(xué)習(xí)歐盟監(jiān)管機構(gòu)的設(shè)立及權(quán)利配置，提高行政機關(guān)在個人信息保護方面的執(zhí)法效能。

3.3 日本的統(tǒng)分結(jié)合立法模式

日本制定了統(tǒng)一的《個人信息保護法》，通過分散立法和統(tǒng)一立法相結(jié)合的模式，分別對政府機關(guān)和個人在信息處理方面應(yīng)遵循的規(guī)則制定了不同的法律。在個人信息保護法律制度建設(shè)方面，國家和地方均有相應(yīng)的立法，法律保護體系較為健全。日本未設(shè)置專門的個人信息保護的監(jiān)管機構(gòu)，但通過賦予行業(yè)組織處理公民信息一定的自由度量的權(quán)力，確立了公民個人信息受損害時可向個人信息保護委員會尋求救濟的制度。同時，日本還設(shè)置了“信息公開與個人信息保護審查會”，作為中立的第三方機構(gòu)，主要為行政機關(guān)信息公開和個人信息保護類的案件提供咨詢建議。日本法律在賠償救濟途徑方面的規(guī)定也較為完善，公民可以在國家賠償?shù)木葷鸁o法實現(xiàn)時，主張民事賠償請求權(quán)，賦予公民多種個人信息權(quán)利救濟途徑。

4 我國個人信息行政法保護的改善建議

4.1 出臺專門的個人信息保護法

我國在各個部門法中零散的規(guī)定了個人信息保護的條款，但是部門法之間缺乏協(xié)調(diào)性，與形成全面的保護體系尚有一定的差距。統(tǒng)一立法模式更符合我國成文法的立法傳統(tǒng)，且較之零散的立法模式，統(tǒng)一立法能夠有效避免標準多樣的弊端，更加有利于司法實踐中的有效執(zhí)行。因此，采取統(tǒng)一的立法模式，制定專門的《個人信息保護法》，明確規(guī)定個人信息的保護原則、保護范圍、救濟途徑以及侵權(quán)賠償?shù)葍?nèi)容，才能為更有效地保障公民的個人信息安全提供法律依據(jù)。

4.2 設(shè)立專門的個人信息保護監(jiān)管機構(gòu)

設(shè)立個人信息保護的監(jiān)管機構(gòu)，專門對個人信息處理者的行為進行監(jiān)督和管理。針對不同的監(jiān)管對象設(shè)置兩個部門，分別監(jiān)管行政機關(guān)和非行政機關(guān)，賦予其相應(yīng)的行政權(quán)力，如調(diào)查檢查權(quán)、行政裁決權(quán)、行政處罰權(quán)、行政救濟權(quán)等。同時，保證執(zhí)法機構(gòu)的獨立性，保障其職權(quán)的實現(xiàn)。建立專門的個人信息保護機構(gòu)監(jiān)督、管理信息處理的各類問題，實現(xiàn)監(jiān)管標準一體化，保障法律的有效實施。

4.3 完善個人信息的行政救濟制度

當(dāng)政府機關(guān)對收集的公民個人信息未盡到安全保護義務(wù)致使信息泄露，或者公民個人信息被行政機關(guān)超范圍或超職權(quán)使用，給公民人身或財產(chǎn)造成一定損失時，公民有權(quán)根據(jù)《行政訴訟法》和《國家賠償法》的規(guī)定，要求公共部門賠償損失，也可以在申請復(fù)議和提起訴訟中一并提出賠償。

第一，行政復(fù)議及行政訴訟。擴大行政復(fù)議和行政訴訟的受案范圍，行政執(zhí)法部門對個人信息主體作出不法行為時，公民個人可以向個人信息的專門管理機構(gòu)申請行政復(fù)議，或向法院提起行政訴訟。由于公民因個人信息遭受侵害而提起行政訴訟時侵權(quán)主體的確定具有一定的難度，應(yīng)該由疑似侵權(quán)主體承擔(dān)舉證責(zé)任。專門機構(gòu)和法院根據(jù)具體的法律規(guī)定，對政府機關(guān)的具體行政行為進行調(diào)查，如確認侵害公民的合法權(quán)益，依據(jù)相關(guān)法律規(guī)定對相關(guān)負責(zé)人進行行政處罰。

第二，行政賠償。國家機關(guān)及其工作人員行使職權(quán)損害公民合法權(quán)益的，受害人有權(quán)取得國家賠償。因而，行政機關(guān)侵害公民的個人信息時，受害人可以直接請求賠償也可以在提出行政復(fù)議時要求行政賠償。行政工作人員侵害個人信息時，公民可以向信息執(zhí)法機構(gòu)申訴，主張損害賠償。如果通過上述兩種方式不能實現(xiàn)對當(dāng)事人的救濟，可以提出行政訴訟，尋求司法救濟，獲得賠償。同時，建議在行政賠償?shù)姆秶性黾訉€人信息人身權(quán)益造成損害的精神賠償金，以彌補公民個人所遭受的精神損害。

5 結(jié)語

大數(shù)據(jù)時代，世界各國將進一步加強對個人信息權(quán)的保護，在我國這樣一個注重行政管制的國家，從行政法層面加強對個人信息保護具有更高的嚴密性。行政法可以明確具體地規(guī)定個人信息的請求更正權(quán)和救濟權(quán)，相較于民法和刑法的規(guī)制范圍，行政法更具有針對性，是個人信息保護體系中最有效的手段。我國出臺《個人信息保護法》的迫切性日益凸顯，本文通過分析我國現(xiàn)有行政法在個人信息保護方面存在的不足，提出相應(yīng)的解決建議，為將來我國《個人信息保護法》的出臺提供理論依據(jù)。

注釋：

①《通用數(shù)據(jù)保護條例》（General Data Protection Regulation，簡稱GDPR）為歐洲聯(lián)盟的條例，前身是歐盟在1995年制定的《計算機數(shù)據(jù)保護法》。2018年5月25日，歐洲聯(lián)盟出臺《通用數(shù)據(jù)保護條例》。