王子臣

一、大數(shù)據(jù)時代的個人信息保護

(一)個人信息的界定

在論及個人信息的保護問題時，必須先界定個人信息的概念。何為個人信息以及何種個人信息值得保護的問題，是研究個人信息保護問題時必須首先回答的。個人信息是一個較為抽象的詞匯，它也很難被賦予一個明確且權威的概念。當今學界普遍認為，個人信息是指以數(shù)據(jù)或其他方式存在的能夠識別特定自然人主體或表明自然人活動內(nèi)容的各種信息的總稱。從上述定義中不難發(fā)現(xiàn)，個人信息的概念雖然難以得到權威、明確的認定，但是個人信息的核心內(nèi)涵是十分清晰的，即有可識別性。德國法律中就明確規(guī)定，個人信息是指能夠將自然人與其他自然人主體明確區(qū)分開的屬人信息[1]。被普遍認為是個人信息的家庭住址、電話號碼等也都符合能將該自然人與其他自然人區(qū)分開的可識別性特征。同時，個人的信息具有識別性也不一定意味著就能得到充分保護，即使同屬于個人隱私范疇的信息，所受到的保護的力度也并不相同[2]。例如，對于個人的身份證號、病例資料、犯罪記錄等信息，政府、社會普通民眾都認為是十分敏感并應當予以充分保護的隱私。而對于個人的姓名、性別、血型、婚姻狀況等信息，則通常被認為是非私密的且不必予以太過強力的保護。雖然存在這種差異，但是在何種個人信息值得保護或應當?shù)玫礁蟊Ｗo的問題上，無論是法律規(guī)定還是學理研究，都很難給出確定的答案。

(二)個人信息的保護需求

大數(shù)據(jù)時代，信息傳播逐漸突破了地域、時間、體量及對象人數(shù)等的限制，克服了以往傳統(tǒng)線性傳播效率低下、信息量少等固有缺陷[3]。在這個裂變式傳播方式占主導的時代，信息共享、傳播迅速、范圍廣闊已成為衡量信息技術水平的基本標準。一個普普通通的手機就能實現(xiàn)數(shù)據(jù)在全國甚至全世界范圍內(nèi)快速、迅捷地流通，成本卻十分低廉。但信息共享傳播迅速、范圍廣的特點也使個人信息在大數(shù)據(jù)技術的支持下有了在利用上超越空間與時間的可能，個人信息的利用便捷度和社會經(jīng)濟價值大大提升，政府、企業(yè)都敏銳地捕捉到了信息的這一特性，并開始利用大數(shù)據(jù)技術挖掘個人信息中隱含的社會經(jīng)濟價值。而這些技術挖掘行為無疑加大了個人信息被濫用、被竊取及被泄露的風險，對傳統(tǒng)的信息保護體系提出了更高的要求。

通過對個人信息的收集、分析，可以迅速掌握一個人的購買偏好、社會關系和財富狀況等重要商業(yè)信息，從而幫助經(jīng)營者有的放矢推銷自己的商品，以獲取更多利益[4]。而在個人信息泄露時，個人利益也容易遭受更大損失。犯罪者可以將所收集到的個人信息運用于盜竊、詐騙等多種犯罪活動之中甚至還會冒用受害人的身份信息實施違法犯罪行為，給受害人造成難以彌補的損害。在數(shù)字時代，個人信息已成為一個人的核心利益，它如同打開財富大門的鑰匙，蘊含著龐大的商業(yè)價值，也可能帶來巨大的經(jīng)濟損失。

因此，在當今時代，社會的普通民眾對個人信息的保護需求遠比過去強烈。一個又一個的案例已經(jīng)向人們證明，將保護個人信息的希望寄托在經(jīng)營主體或私法制度上并非明智之舉。只有政府通過行政法手段對個人信息進行保護，才是解決這一問題的關鍵舉措和根本出路。

二、收集、處理和利用個人信息的要件與利益衡量

(一)行政主體收集、處理和利用個人信息的要件

行政主體收集、處理和利用個人信息時必須依據(jù)一定的標準并符合特定的條件。該要件有以下四點：第一，法律上有明確規(guī)定。行政主體收集、處理和利用個人信息必須以法律法規(guī)的明文規(guī)定為依據(jù)并符合該法律法規(guī)的規(guī)定。行政主體在合法且經(jīng)過授權的基礎上收集、處理和利用個人信息才是適當?shù)摹５诙?，任何對個人信息的收集、處理和利用都應當是基于一定的公共事務管理目的和履行職責目的，且必須始終圍繞這些目的進行相關行政事實行為。第三，收集與處理應當經(jīng)信息主體同意。許多西方國家在法律中規(guī)定了行政機關在收集、利用或公開個人信息時必須將相關情況告知該個人信息主體并取得該個人信息主體的同意方可為之[5]。而在我國，學界對于行政主體對個人信息的收集、處理和利用等行為需要告知相關權利人這一要求并無異議，但是對是否需要權利人的同意則有不同的看法。有些學者認為，行政主體收集、處理和利用個人信息的行為是出于行政主體管理相關公共事務或履行法定職務的目的；因此，只要保證行政機關將相關個人信息運用到法定目的，就不需要征得個人信息主體的同意[6]。而有些學者主張對行政機關收集、處理及利用個人信息的行為加以區(qū)分，對于基于管理性目的而為的信息收集處理行為不必得到相關權利人的同意，但對基于服務性目的而為的信息收集處理行為應得到相關權利人的事前同意[7]。第四，行政機關負有保護個人信息安全的責任。行政機關作為管理公民個人信息的主體，有義務防范任何可能對公民個人信息的安全性產(chǎn)生威脅的風險；同時，在此種風險已經(jīng)存在時，該行政機關也有義務排除此種風險[8]。

(二)個人信息保護與政府信息公開之間的利益衡量

在政府的實際工作中，個人信息的保護與政府信息公開之間存在著天然的對立關系。解決這種沖突最有效的方法就是在二者之間進行利益衡量，協(xié)調處理好不同主體間的利益關系，即綜合考量個人信息利益與公眾知情利益之間的關系，并依據(jù)價值更高的利益進行取舍。在現(xiàn)代民主社會，保證公民知情權是維護社會公共利益、限制政府行政權力的必然要求，公民知情權與公共利益之間的關系更近，因此，政府在衡量滿足公民知情權與可能因此產(chǎn)生的個人信息泄露風險時，會傾向于優(yōu)先滿足公民知情權。所以，在涉及社會公共利益問題時，為了保障公民的知情權而適當披露部分個人信息就成為一種必然選擇。當然，這并不意味著對個人信息權的保護已無必要。一方面，行政主體即使是為了社會公共利益而披露個人信息，也必須滿足上述要件；另一方面，當公民的行政公開請求與社會公共利益的保護關聯(lián)不大時，就不能以保護社會公共利益為借口犧牲公民的個人信息權利。

三、個人信息的行政法保護的現(xiàn)實困境

(一)網(wǎng)絡發(fā)展對個人信息安全性的沖擊

自20世紀八九十年代以來，互聯(lián)網(wǎng)作為不可替代的溝通交流和信息獲取工具呈現(xiàn)出不可阻擋、一日千里的迅猛發(fā)展之勢。網(wǎng)絡成為人們生活中不可或缺的獲取信息資訊的重要工具，但這也極大提高了保護個人信息的難度。這一情況主要體現(xiàn)在兩方面。其一，網(wǎng)絡傳播已經(jīng)能無視地域的阻隔。網(wǎng)絡已經(jīng)能夠通過光纜、線路等將不同的國家、地區(qū)緊密連接在一起[9]，通過互聯(lián)網(wǎng)傳輸，個人信息能夠在全球范圍內(nèi)飛速傳播。一旦個人信息被竊取或遭到濫用，將面臨大范圍的泄露，而且這種泄露的速度會超出人們的想象[10]。大范圍的傳播造成更加嚴重的后果，極其快速的擴散也讓國家難以在造成大的危害后果前就采取有效手段予以制止。其二，虛擬網(wǎng)絡提高了信息真實性的判斷難度，也提高了打擊侵犯個人信息犯罪的難度?；ヂ?lián)網(wǎng)雖然不是法外之地，但它確實也是虛擬場所。在網(wǎng)絡中活躍的犯罪分子往往借助各種手段隱藏自己的真實身份和目的，通過真假難辨的話語騙取公民的個人信息，而個人難以判斷語言或信息的真實性。

(二)行政立法保護上的制度缺失

縱觀國家對個人信息的行政法保護現(xiàn)狀可知，我國缺少一部統(tǒng)一而完善的個人信息保護法[11]。我國對個人信息的保護條款散見于各類法律法規(guī)和部門規(guī)章中，難以形成嚴密完備的個人信息行政法保護體系。同時，這些相關個人信息保護法律規(guī)定多以原則性規(guī)定的形式存在，缺乏靈活且具有可操作性的具體規(guī)定[12]。除了個人信息保護法頒布遙遙無期這一問題外，我國現(xiàn)階段對個人信息的行政法保護還存在以下幾個問題。其一，沒有明確劃分個人信息收集者與被收集者之間的權利與義務。例如，經(jīng)營者向用戶收集信息，往往是以格式合同的方式實施的，個人信息的被收集者如果想接受服務就必須提供相應信息，而沒有拒絕的權利；經(jīng)營者的信息收集范圍過大：這些問題都是值得有關部門認真思考的。其二，對于行政機關的監(jiān)管不到位，對于行政機關在個人信息收集過程中的職責與義務等問題也沒有明確的規(guī)定。而且，我國對于政府收集個人信息的權利的約束力度不足，導致政府的行政權已經(jīng)對公民的個人隱私和信息安全造成了一定威脅。其三，對個人信息的收集處理缺乏程序上的規(guī)定。無論是行政主體還是經(jīng)營主體，在處理個人信息的程序上都缺乏透明度。公民的個人信息在被收集后就處于信息收集者的控制之中，對于如何處理這些個人信息以及這些個人信息將會被用于何種目的，公民都很難予以有效監(jiān)督[13]。

(三)個人信息權遭侵害后的行政救濟缺失

我國個人信息的行政法保護制度還存在一個嚴重的問題，就是當個人信息權遭受侵害后，受害人難以得到充分有效的救濟以彌補損失[14]。行政救濟的缺失主要體現(xiàn)在兩方面：一方面，行政法救濟的可行方法較少，在如今我國個人信息保護的法律體系中，對行政主體在收集、處理個人信息的過程中享有的權利和承擔的義務規(guī)定的較多，但是對于如何確定侵害個人信息權的主體、由哪一主體承擔向受害人提供救濟的責任及對受害人的個人信息權采取何種手段予以救濟等問題規(guī)定的卻不多；另一方面，相關法律詳細劃分行政機關在個人信息收集等方面的權責，這就導致在具體的追責過程中行政機關往往能夠通過互相推諉的方法逃避懲罰[15]。

四、個人信息行政法保護的優(yōu)化路徑

(一)通過行政立法彌補行政法在個人信息保護上的制度缺失

行政立法工作絕非短時間就能完成的，這必然是一個漫長的過程，我國立法機關首先應該做的是通過行政立法對行政機關的個人信息收集、處理、公開等行政行為進行更加細致嚴密的規(guī)范。第一，限制收集個人信息的主體范圍?，F(xiàn)階段，我國收集個人信息的行政主體數(shù)量過多，多領域、多層級的行政部門在實際行政管理工作中都有權收集公民個人信息，個人信息泄露風險大增。針對這一問題，筆者認為國務院可以出臺“暫行辦法”或“暫行條例”等立法層級較低的法律規(guī)范(方便日后修改)，明確規(guī)定有權收集個人信息的政府機關及可收集的個人信息范圍，仿照政府信息公開目錄或政府信息公開指南的形式，將可收集個人信息的政府主體與其可以收集的個人信息的具體范圍一一對應并標明收集目的。除此之外，要嚴格禁止不具有收集個人信息的政府部門收集個人信息的行為，在《個人信息保護法(草案)》中增加對政府機關不當收集個人信息的懲罰措施。第二，有必要將個人信息處理的主體、方式、程序等納入政府行政公開的范疇之中。新修訂的《中華人民共和國政府信息公開條例》將政府機關的內(nèi)部事務及行政過程性信息規(guī)定為可公開也可不公開的信息，而政府處理個人信息的方式、程序等自然可被視為政府機關的內(nèi)部事務及過程性信息，因此，政府機關將可以以此為理由不將這些內(nèi)容納入政府行政公開的范疇中，顯然這并不利于個人信息的保護。因此，筆者認為《中華人民共和國政府信息公開條例》可以特意增設法律條文，將個人信息的處理主體、方式及程序等與個人信息安全保護緊密相關的內(nèi)容規(guī)定為政府信息必須公開的內(nèi)容，強制收集、處理個人信息的政府機關將處理過程和處理方式及其所實施的安全保障措施向社會公開并接受人民群眾監(jiān)督。

(二)設立專門機構加強個人信息保護及監(jiān)管

個人信息收集的工作量大、專業(yè)性強的特點，決定了在個人信息的收集、處理、保護等工作上應當盡可能將權責集中到一個或少數(shù)幾個行政部門，而不是像現(xiàn)在這樣多部門都有相應權限，這既不利于個人信息相關工作的開展，也不利于個人信息的統(tǒng)一管理，更不利于執(zhí)法部門對行政機關收集、處理個人信息的行政行為進行統(tǒng)一監(jiān)管?！吨腥A人民共和國個人信息保護法(草案)》明確規(guī)定國家網(wǎng)信部門負責統(tǒng)籌個人信息的保護和監(jiān)督工作，但僅僅規(guī)定了在中央層面具體負責統(tǒng)籌個人信息保護和監(jiān)督工作的部門，而沒有真正建立起由中央到地方的個人信息政府管理體系。筆者認為，應當在《中華人民共和國個人信息保護法》中建立起從中央到地方的全套個人信息政府保護、監(jiān)管體系?？梢韵仍谑∫患壗⒅睂儆谑≌k公廳的副廳級個人信息管理機構，并向下擴展，逐步建立起地市級乃至縣級的個人信息專職管理部門，自上而下形成嚴密的行政管理體系。

(三)網(wǎng)絡空間需加強治理

在互聯(lián)網(wǎng)時代，侵害個人信息的違法行為往往是以互聯(lián)網(wǎng)為犯罪工具或犯罪途徑的，侵害個人信息的違法行為也通常是以互聯(lián)網(wǎng)違法犯罪行為的形式存在的[12]?，F(xiàn)階段的《中華人民共和國網(wǎng)絡安全法》(以下簡稱“《網(wǎng)絡安全法》”)雖然通過法律條文明確規(guī)定了網(wǎng)絡運營者及其他網(wǎng)絡主體在個人信息保護上的責任，并且規(guī)定了懲罰措施，但是懲罰措施規(guī)定得比較籠統(tǒng)?！毒W(wǎng)絡安全法》規(guī)定具體的懲罰條文時應該明確網(wǎng)絡運營者的違法情節(jié)，并且根據(jù)具體的違法情節(jié)規(guī)定相應懲罰手段，《網(wǎng)絡安全法》使用“違反某某條”拒不改正或造成“危害網(wǎng)絡安全等后果”作為進行行政懲罰的前提，但是這種規(guī)定在表述上太過寬泛，行政機關在實際執(zhí)法工作中不能將網(wǎng)絡運營者的違法行為與具體法條對應起來予以判斷。在這一點上，可以借鑒《刑法分則》的經(jīng)驗,在法律條文中對于違法行為要具體描述違法情節(jié)或對所造成的違法結果進行詳細的分層次規(guī)定并據(jù)此設置不同的懲罰標準。

五、結語

大數(shù)據(jù)時代，個人信息安全性遭到了面臨嚴重的峻挑戰(zhàn)，對保護個人信息權的保護難度也在不斷提高。，但從另一個角度來看，這也是一個提高我國行政立法水平和行政主體行政能力水平的好機會。完善個人信息行政法保護制度是提高個人信息安全性的根本途徑之一，也向立法機關和行政機關提出了不斷提高立法水平和行政水平客觀要求。毫無疑問，在完善個人信息行政法保護制度的過程中，國家和政府離建立法治國家和法治政府的偉大理想也將越來越近。