鄭朋樹

（浙江廣播電視大學(xué) 玉環(huán)學(xué)院，浙江 玉環(huán) 317600）

隨著經(jīng)濟(jì)的發(fā)展以及大數(shù)據(jù)時(shí)代的到來，個(gè)人信息的經(jīng)濟(jì)屬性日益彰顯[1]。由于覬覦個(gè)人信息的經(jīng)濟(jì)價(jià)值，一些企業(yè)和個(gè)人試圖通過各種非法手段獲取個(gè)人信息。近些年來，我國也發(fā)生過一些重大的個(gè)人信息泄漏事件，如2017年4月京東泄露50億條個(gè)人信息，2018年5月華住旗下酒店5億條個(gè)人信息疑似泄露。據(jù)我國消費(fèi)者協(xié)會(huì)2018年8月發(fā)布的報(bào)告數(shù)據(jù)顯示，我國個(gè)人信息泄露人數(shù)在被調(diào)查者中的占比達(dá)到85.2%[2]。個(gè)人信息一旦被非法使用，個(gè)人將面臨人格及其他合法權(quán)益受損的危險(xiǎn)。因此，個(gè)人信息的收集、處理、利用和保護(hù)成為了世界性的法律問題，得到了越來越多國家的關(guān)注。截至2017年，已有120個(gè)國家或地區(qū)制定了保護(hù)個(gè)人信息的相關(guān)法律[3]。雖然我國在該領(lǐng)域也制定了一些法律規(guī)范，但同法治發(fā)展水平較高的國家相比仍有差距，尤其在行政法對(duì)個(gè)人信息保護(hù)方面還存在著很大不足。

一、我國法律對(duì)公民個(gè)人信息的保護(hù)

筆者在北大法寶上以“個(gè)人信息”為關(guān)鍵詞，對(duì)中央和地方法律、法規(guī)和司法解釋進(jìn)行全文精確搜索后發(fā)現(xiàn)，內(nèi)容中含有“個(gè)人信息”的地方性法規(guī)、規(guī)章共有6299篇，內(nèi)容中含有“個(gè)人信息”的中央法規(guī)和司法解釋共計(jì)1437篇。這些不同層級(jí)的法律、法規(guī)從不同部門法和不同層次上對(duì)讀者個(gè)人信息、旅游者個(gè)人信息、殘疾人個(gè)人信息、乘客個(gè)人信息、未成年人個(gè)人信息、流動(dòng)人口個(gè)人信息、患者個(gè)人信息、獻(xiàn)血者個(gè)人信息、舉報(bào)人個(gè)人信息、受助人員個(gè)人信息等進(jìn)行著保護(hù)，構(gòu)筑起我國公民個(gè)人信息保護(hù)的法律框架。

實(shí)際上，在我國除了一些法律、法規(guī)中明確提出保護(hù)公民個(gè)人信息之外，還有一些法律、法規(guī)是以保護(hù)個(gè)人隱私的方式來保護(hù)公民個(gè)人信息的。在我國，較早的法律規(guī)范相關(guān)條款中個(gè)人信息大多以“個(gè)人隱私”的方式表述，直到《中華人民共和國居民身份證法》才在法律中明確提出保護(hù)“個(gè)人信息”，但沒有對(duì)個(gè)人信息的概念進(jìn)行界定。2013年的《電信與互聯(lián)網(wǎng)個(gè)人信息保護(hù)規(guī)定》更進(jìn)一步，對(duì)“用戶個(gè)人信息”的概念進(jìn)行了解釋。2017年施行的《中華人民共和國網(wǎng)絡(luò)安全法》首次在法律層面對(duì)“個(gè)人信息”做出明確定義，該法第七十六條采用概括加列舉的方法對(duì)個(gè)人信息的內(nèi)涵進(jìn)行了闡述①根據(jù)網(wǎng)絡(luò)安全法的規(guī)定，個(gè)人信息是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人個(gè)人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息、住址、電話號(hào)碼等。，將我國法律所保護(hù)的個(gè)人信息界定為身份識(shí)別信息。

（一）我國民法對(duì)公民個(gè)人信息的保護(hù)

《中華人民共和國民法總則》第一百一十一條明確規(guī)定，國家保護(hù)自然人的個(gè)人信息，禁止非法收集、使用、加工、傳輸、買賣、提供、公開他人個(gè)人信息，這是民事基本法層面對(duì)個(gè)人信息保護(hù)的規(guī)定?！吨腥A人民共和國侵權(quán)責(zé)任法》第三十六條對(duì)侵害個(gè)人信息權(quán)利的侵權(quán)責(zé)任進(jìn)行了規(guī)定?！吨腥A人民共和國消費(fèi)者權(quán)益保護(hù)法》第十四條明確規(guī)定消費(fèi)者“享有個(gè)人信息依法取得保護(hù)的權(quán)利”，該法規(guī)定經(jīng)營者收集、使用消費(fèi)者個(gè)人信息應(yīng)當(dāng)遵守的原則，同時(shí)要明示收集和使用的目的、方式、范圍。

（二）我國刑法對(duì)公民個(gè)人信息的保護(hù)

1997施行的現(xiàn)行刑法沒有對(duì)個(gè)人信息進(jìn)行直接保護(hù)，只對(duì)個(gè)人信息進(jìn)行了間接保護(hù)。2000年全國人大常委會(huì)通過了《關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》，這個(gè)決定將非法侵入他人電子郵箱并對(duì)郵件進(jìn)行非法操作的，可以認(rèn)定為侵犯通信自由罪。2009年的《中華人民共和國刑法修正案（七）》增加了“出售、非法提供公民個(gè)人信息罪”和“非法獲取公民信息罪”兩個(gè)罪名，意味著有了專屬的罪名打擊侵犯個(gè)人信息的犯罪?！吨腥A人民共和國刑法修正案（九）》將“非法獲取公民信息罪”和“出售、非法提供公民個(gè)人信息罪”合并成一個(gè)罪名即“侵犯公民個(gè)人信息罪”，更為系統(tǒng)地針對(duì)侵犯個(gè)人信息的犯罪行為進(jìn)行打擊。

（三）我國行政法對(duì)公民個(gè)人信息的保護(hù)

我國行政法對(duì)個(gè)人信息的保護(hù)主要體現(xiàn)在兩個(gè)方面：一是通過立法對(duì)行政機(jī)關(guān)、事業(yè)單位、法律法規(guī)授權(quán)的組織依法獲取、保存、利用公民個(gè)人信息的各個(gè)環(huán)節(jié)加以規(guī)制；二是對(duì)信息收集者、控制者違反個(gè)人信息保護(hù)法律規(guī)定的行為加以行政制裁。例如，2007年發(fā)布、2008年施行、2019年修訂的《政府信息公開條例》是國務(wù)院第一部關(guān)于公民個(gè)人信息公開的行政法規(guī)，這一條例是行政法領(lǐng)域?qū)駛€(gè)人信息保護(hù)的重要立法，發(fā)揮著對(duì)行政權(quán)力的限制和對(duì)公民個(gè)人信息保護(hù)的雙重作用。該條例第十五條明確規(guī)定，政府機(jī)關(guān)不得公開涉及個(gè)人隱私的公民信息；第四十一條規(guī)定了公民享有對(duì)其自身信息的更正權(quán)；第五十一條規(guī)定了信息主體在信息公開中侵害了信息主體合法權(quán)益的情況下，信息主體具有行政救濟(jì)權(quán)。2013年施行的《征信業(yè)管理?xiàng)l例》在個(gè)人信息保護(hù)方面進(jìn)行更加具體的規(guī)定。一是嚴(yán)格規(guī)范個(gè)人征信業(yè)務(wù)規(guī)則：除依法公開的個(gè)人信息以外，采集個(gè)人信息必須經(jīng)過信息主體的同意；個(gè)人不良信息保存期限不得超過5年；他人向征信機(jī)制查詢個(gè)人信息應(yīng)當(dāng)取得信息主體的同意，并約定信息的用途。二是明確了征信機(jī)構(gòu)限制采集和禁止采集的個(gè)人信息范圍①限制采集的信息主要有個(gè)人的收入、存款、有價(jià)證券、不動(dòng)產(chǎn)的信息和納稅數(shù)額信息，禁止采集的信息主要有宗教信仰、基因、指紋、血型、疾病和病史信息。。三是明確規(guī)定個(gè)人對(duì)本人信息享有查詢、異議和投訴等權(quán)利：個(gè)人可每年免費(fèi)查詢兩次個(gè)人信用報(bào)告；個(gè)人信息有錯(cuò)誤、遺漏的，信息主體可以提出異議；合法權(quán)益受侵害的，信息主體可以向征信監(jiān)督管理部門投訴，可以向法院起訴。此外，該條例還嚴(yán)格規(guī)定了違反法定義務(wù)時(shí)應(yīng)當(dāng)承擔(dān)的法律責(zé)任。

2017年施行的《中華人民共和國網(wǎng)絡(luò)安全法》和2019年施行的《中華人民共和國電子商務(wù)法》涉及到多個(gè)法律部門，其中行政法律責(zé)任占有重要篇幅。一般認(rèn)為，網(wǎng)絡(luò)安全法是迄今為止我國在法律層面對(duì)個(gè)人信息保護(hù)最權(quán)威、最全面的規(guī)定，不僅對(duì)網(wǎng)絡(luò)運(yùn)營者保護(hù)用戶個(gè)人信息的責(zé)任做出了具體規(guī)定，也賦予了網(wǎng)絡(luò)用戶更廣泛的個(gè)人信息權(quán)，對(duì)加強(qiáng)我國網(wǎng)絡(luò)個(gè)人信息保護(hù)具有重要意義。電子商務(wù)法對(duì)電子商務(wù)領(lǐng)域中的個(gè)人信息保護(hù)問題進(jìn)行更為細(xì)致的規(guī)定，如網(wǎng)絡(luò)安全法規(guī)定了個(gè)人信息主體刪除、更正個(gè)人信息的權(quán)利，電子商務(wù)法則進(jìn)一步明確了刪除的方法和程序。但是，不同法律對(duì)個(gè)人信息保護(hù)的做法也存在差異，如網(wǎng)絡(luò)安全法對(duì)信息主體刪除其個(gè)人信息設(shè)置了前提條件，而電子商務(wù)法在用戶實(shí)現(xiàn)刪除權(quán)方面沒有設(shè)置前提條件。

此外，其它的一些行政法律、法規(guī)中也有關(guān)于個(gè)人信息和個(gè)人隱私保護(hù)的零星規(guī)定。例如，《中華人民共和國護(hù)照法》《中華人民共和國居身份證法》《中華人民共和國治安管理處罰法》《婚姻登記檔案管理辦法》規(guī)定了公安機(jī)關(guān)、護(hù)照辦理機(jī)關(guān)、婚姻登記機(jī)關(guān)及其工作人員在辦理治安案件、辦理涉及護(hù)照和身份證業(yè)務(wù)、辦理婚姻登記業(yè)務(wù)時(shí)獲知的公民個(gè)人信息，應(yīng)當(dāng)予以保密。《中華人民共和國行政許可法》《中華人民共和國行政處罰法》和《中華人民共和國行政復(fù)議法》規(guī)定了涉及到個(gè)人隱私的行政許可、行政處罰聽證、行政復(fù)議案件，行政機(jī)關(guān)要對(duì)涉及個(gè)人隱私的材料進(jìn)行保密，不允許公開、復(fù)制和查閱。

二、個(gè)人信息保護(hù)的行政法價(jià)值

（一）民法、刑法對(duì)個(gè)人信息保護(hù)的局限性

在信息數(shù)據(jù)已經(jīng)上升為國家戰(zhàn)略資源的背景下，單純依靠民法和刑法已難以實(shí)現(xiàn)對(duì)公民個(gè)人信息的有效保護(hù)。例如，《民法總則》并未界定個(gè)人信息是哪種民事權(quán)利，也沒有完成個(gè)人信息確權(quán)保護(hù)的任務(wù)。民法對(duì)個(gè)人信息保護(hù)規(guī)定的不足導(dǎo)致司法和執(zhí)法實(shí)踐中的諸多難題：首先，民法中的隱私權(quán)保護(hù)機(jī)制沒有明確個(gè)人信息主體的權(quán)利性質(zhì)，無法適應(yīng)現(xiàn)代化社會(huì)中的風(fēng)險(xiǎn)，不利于個(gè)人信息的保護(hù)；其次，缺少舉證責(zé)任倒置、團(tuán)體訴訟等配套制度；再次，對(duì)個(gè)人信息受損害的賠償方法、賠償限額沒有作出規(guī)定；最后，過度依賴私法保護(hù)會(huì)給個(gè)人和企業(yè)維權(quán)制造難題[4]。

由于刑法對(duì)相關(guān)犯罪的打擊具有滯后性、間接性、起點(diǎn)高等特征，并未能有效、全面遏制侵害公民個(gè)人信息犯罪的發(fā)生。首先，我國刑法對(duì)個(gè)人信息的保護(hù)是建立在隱私權(quán)基礎(chǔ)之上的，隱私權(quán)側(cè)重于消極防御，無法解決公民積極使用自身信息參與活動(dòng)的問題[5]。其次，侵犯公民個(gè)人信息罪所保護(hù)的客體是公民的人格隱私，公民的個(gè)人信息除了身份信息，還包括人身、財(cái)產(chǎn)安全方面的信息，而將該罪名放在“侵犯公民人身權(quán)利、民主權(quán)利罪”一章，使得該罪在保護(hù)公民個(gè)人信息時(shí)捉襟見肘。再次，刑法保護(hù)方式起點(diǎn)較高，必須要達(dá)到犯罪的程度才能追究相關(guān)責(zé)任，顯然對(duì)相關(guān)權(quán)利保護(hù)的覆蓋面不足。事實(shí)上，當(dāng)在侵害公民個(gè)人信息的行為剛發(fā)生時(shí)，就利用行政法律、法規(guī)加以制止，將法律保護(hù)階段提前，能夠較好地保護(hù)公民個(gè)人信息[6]。

（二）行政法可以彌補(bǔ)民法、刑法對(duì)個(gè)人信息保護(hù)的不足

在現(xiàn)代社會(huì)，行政法有三大基本作用：規(guī)制行政權(quán)，監(jiān)督公權(quán)力的行使；保障公民權(quán)利；維護(hù)社會(huì)秩序，保護(hù)公共利益。政府為了公共行政管理的需要，憑借其職權(quán)收集個(gè)人信息的行政具有正當(dāng)性，經(jīng)過法律確認(rèn)后，其性質(zhì)是合法行為，這也是世界各國普遍的做法。但是，同樣需要注意的是，政府部門在收集個(gè)人信息時(shí)，存在著任意收集、超范圍收集以及信息濫用等不規(guī)范現(xiàn)象，也存在泄露或允許第三方使用個(gè)人信息的情形，這些都是政府部門侵害公民個(gè)人信息的體現(xiàn)。個(gè)人信息的行政法保護(hù)是指利用行政法律、法規(guī)來規(guī)范信息處理主體收集、處理、利用個(gè)人信息，明確信息處理主體的法律責(zé)任，同時(shí)建立個(gè)人信息受到侵害后的行政救濟(jì)制度，對(duì)信息處理主體的違法行為進(jìn)行處罰，從此意義上說，行政法應(yīng)當(dāng)成為我國個(gè)人信息保護(hù)的重要手段。國家有責(zé)任保護(hù)公民的信息安全，行政法在我國信息安全保障上應(yīng)當(dāng)發(fā)揮更大的作用。例如，德國的個(gè)人信息保護(hù)法明確屬于行政法的范疇，這源于1983年的“人口普查案”，該案體現(xiàn)的正是行政權(quán)與公民對(duì)個(gè)人信息權(quán)的需求之間的矛盾，換言之，行政法對(duì)個(gè)人信息的保護(hù)體現(xiàn)著公共利益與個(gè)人利益的矛盾及其調(diào)和[7]。行政法通過調(diào)整行政權(quán)的運(yùn)用和行使，調(diào)整著公共利益與個(gè)人利益的平衡，在實(shí)現(xiàn)公共利益和行政職權(quán)的同時(shí)，也擔(dān)負(fù)著保護(hù)個(gè)人信息的重要使命。

事實(shí)上，實(shí)踐中的大多數(shù)侵害個(gè)人信息權(quán)利的行為處于民事侵權(quán)與刑事違法之間，屬于一般性的違法行為，如果缺少行政責(zé)任的追究機(jī)制，不但會(huì)影響信息社會(huì)高質(zhì)、高速發(fā)展，也會(huì)造成公民權(quán)益保護(hù)不足的情況。為此，在保護(hù)公民個(gè)人信息權(quán)益方面，行政法起到了彌補(bǔ)民法和刑法不足的作用，當(dāng)行為人侵害的法益超過了民法保護(hù)范圍，但沒有達(dá)到刑事制裁的標(biāo)準(zhǔn)時(shí)，就需要由行政法來對(duì)這種行為進(jìn)行規(guī)制。

三、我國行政法對(duì)個(gè)人信息保護(hù)的不足

（一）個(gè)人信息保護(hù)的行政立法散亂

目前，我國尚沒有統(tǒng)一的個(gè)人信息保護(hù)立法，《政府信息公開條例》《征信業(yè)管理?xiàng)l例》等一些行政法規(guī)對(duì)部分行業(yè)的個(gè)人信息保護(hù)進(jìn)行了規(guī)范。部分行業(yè)立法中雖然有對(duì)個(gè)人信息保護(hù)的規(guī)定，但卻比較分散。例如，保護(hù)個(gè)人金融信息的立法主要有《商業(yè)銀行法》《征信業(yè)管理?xiàng)l例》《個(gè)人存款賬戶實(shí)名制規(guī)定》等；電信互聯(lián)網(wǎng)行業(yè)的個(gè)人信息主要由《電信條例》《電信與互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》加以保護(hù)；個(gè)人健康信息主要由《精神衛(wèi)生法》《人口健康信息管理辦法》加以保護(hù)；個(gè)人快遞信息主要由《郵政法》《寄遞服務(wù)用戶個(gè)人信息安全管理規(guī)定》加以保護(hù)。但是，這些立法沒有形成法律制度體系，個(gè)人信息保護(hù)法條之間多有重復(fù)，甚至出現(xiàn)相互沖突的情形，導(dǎo)致了對(duì)個(gè)人信息保護(hù)的理念、原則、權(quán)責(zé)等方面缺少一致性和標(biāo)準(zhǔn)性，同時(shí)也導(dǎo)致了立法成本的增加和立法資源的浪費(fèi)。并且，立法規(guī)則過于原則化，缺乏執(zhí)行性，以致出現(xiàn)了立法空白和法律漏洞，難以適應(yīng)大數(shù)據(jù)發(fā)展背景下公民個(gè)人信息保護(hù)的新需求。

（二）缺乏專門的行政監(jiān)督管理機(jī)構(gòu)

當(dāng)前，我國的國家機(jī)關(guān)序列中沒有建立專門的個(gè)人信息監(jiān)督管理機(jī)構(gòu)，不同的個(gè)人信息由不同部門掌握和監(jiān)管。例如，勞動(dòng)人事部門掌握人事檔案信息；公安部門掌握戶籍、家庭成員、住址信息；稅務(wù)部門掌握納稅信息；金融部門掌握賬戶信息、財(cái)產(chǎn)信息、交易信息；教育部門和學(xué)校掌握學(xué)籍信息和教育信息；電信、醫(yī)院、民航掌握著公民的通信、就醫(yī)、出行信息。在這些單位中，有的是行政機(jī)關(guān)，有的是具有公共管理職能的企事業(yè)單位。實(shí)際上，對(duì)于這些單位收集、處理、利用個(gè)人信息的情況，都需要行政機(jī)關(guān)進(jìn)行監(jiān)督和管理。但是，從目前來看，這些分散的監(jiān)督管理機(jī)構(gòu)在個(gè)人信息保護(hù)中的作用并不突出，原因在于這些機(jī)構(gòu)的傳統(tǒng)職責(zé)中并沒有個(gè)人信息保護(hù)，個(gè)人信息監(jiān)管工作也缺少上位法授權(quán)，再加上各部門之間職責(zé)重合，監(jiān)管界限不清，導(dǎo)致部門之間相互推諉，個(gè)人信息保護(hù)監(jiān)管效果不佳。

（三）個(gè)人信息行政法保護(hù)機(jī)制不健全

我國行政機(jī)關(guān)、司法機(jī)關(guān)以及學(xué)校、醫(yī)院、銀行等被授權(quán)行使公權(quán)力的組織，都會(huì)對(duì)個(gè)人信息進(jìn)行收集、使用和處理。公民在日?；顒?dòng)中，如網(wǎng)上購物、賓館住宿、訂外賣都會(huì)登記個(gè)人信息。信息控制者掌握的這些信息面臨著被二次利用的風(fēng)險(xiǎn)，需要規(guī)范信息控制者處理信息的行為，減少對(duì)信息主體個(gè)人信息權(quán)益的損害。但是，我國現(xiàn)有法律、法規(guī)中缺乏對(duì)信息控制者收集、使用、處理個(gè)人信息的詳細(xì)規(guī)定。

在法律救濟(jì)層面，個(gè)人信息受到侵害的行政法律救濟(jì)途徑主要有三種：行政復(fù)議、行政訴訟、行政賠償。日常工作中，行政機(jī)關(guān)往往更注重收集和使用個(gè)人信息，因而個(gè)人信息保護(hù)相關(guān)法條中大多只規(guī)定了工作人員的保密義務(wù)，而對(duì)個(gè)人信息受到侵害時(shí)的救濟(jì)規(guī)定不足，尤其是個(gè)人信息救濟(jì)方式缺乏可操作性程序，導(dǎo)致行政和司法實(shí)踐中公民尋求行政救濟(jì)比較困難。

四、完善我國行政法對(duì)個(gè)人信息保護(hù)的建議

（一）盡快出臺(tái)個(gè)人信息保護(hù)法

個(gè)人信息權(quán)是公民的基本權(quán)利，保護(hù)這項(xiàng)權(quán)利既是維護(hù)國家安全和公共安全的需要，也是促進(jìn)互聯(lián)網(wǎng)經(jīng)濟(jì)健康發(fā)展的迫切需求。然而，我國已有的個(gè)人信息保護(hù)有關(guān)法律法規(guī)已不能滿足現(xiàn)代經(jīng)濟(jì)社會(huì)發(fā)展的需求，應(yīng)加快制定我國《個(gè)人信息保護(hù)法》。制定《個(gè)人信息保護(hù)法》既有利于個(gè)人信息的保護(hù)，更能為我國互聯(lián)網(wǎng)企業(yè)開拓海外市場提供良好的信譽(yù)保證。

從世界范圍看，個(gè)人信息保護(hù)的模式主要有三種，即德國模式、美國模式和日本模式[8]。德國是統(tǒng)一立法模式，選取“個(gè)人資料”作為基礎(chǔ)概念，以信息自決權(quán)和人格權(quán)作為權(quán)利基礎(chǔ)，制定一部綜合性的個(gè)人信息保護(hù)法來對(duì)個(gè)人信息進(jìn)行保護(hù)。美國采用分散立法方式保護(hù)個(gè)人信息，制定了《隱私法》《隱私保護(hù)法》《兒童在線隱私保護(hù)法案》等部門法，與行業(yè)自律和市場調(diào)節(jié)機(jī)制相結(jié)合[9]。日本模式可以稱為統(tǒng)分結(jié)合立法模式，日本近些年相繼制定了1988年《行政機(jī)關(guān)電腦處理個(gè)人情報(bào)保護(hù)法》，2005年《個(gè)人情報(bào)保護(hù)法》以及2015年《個(gè)人情報(bào)保護(hù)法》。《個(gè)人情報(bào)法》是日本保護(hù)個(gè)人信息的基本法律，該法規(guī)定對(duì)于醫(yī)療、金融等特殊領(lǐng)域，可以單獨(dú)制定法律，而對(duì)于民間行為，該法只制定了個(gè)人信息保護(hù)的最低標(biāo)準(zhǔn)，各個(gè)行業(yè)可以根據(jù)實(shí)際情況制定不低于最低標(biāo)準(zhǔn)的行業(yè)規(guī)范。

本文認(rèn)為，我國應(yīng)借鑒德國立法模式，立足于我國的法律制度和經(jīng)濟(jì)發(fā)展實(shí)際情況，制定一部統(tǒng)一的《個(gè)人信息保護(hù)法》，以促進(jìn)個(gè)人權(quán)利和社會(huì)經(jīng)濟(jì)的協(xié)調(diào)發(fā)展[10]。目前，《個(gè)人信息保護(hù)法》已經(jīng)納入到十三屆全國人大常委會(huì)的立法規(guī)劃中，學(xué)界普遍認(rèn)為，此輪《個(gè)人信息保護(hù)法》的立法應(yīng)當(dāng)盡量明確個(gè)人信息的范圍和權(quán)利內(nèi)容，明確規(guī)定信息處理主體收集、處理、利用個(gè)人信息的基本原則和規(guī)范，明確個(gè)人信息保護(hù)專門機(jī)構(gòu)的權(quán)利和義務(wù)，以及出臺(tái)個(gè)人信息受侵害時(shí)程序清晰、可操作性強(qiáng)的救濟(jì)途徑①。

（二）建立專門的個(gè)人信息行政監(jiān)督管理機(jī)構(gòu)

個(gè)人信息保護(hù)的法律實(shí)踐具有較高的技術(shù)成分，需要具備一定經(jīng)驗(yàn)的、高素質(zhì)的安全技術(shù)人員熟練地運(yùn)用法律和信息技術(shù)知識(shí)對(duì)相關(guān)問題加以分析和解決。因此，很多國家和地區(qū)都設(shè)立了專門的個(gè)人信息保護(hù)機(jī)構(gòu)。例如，英國設(shè)有數(shù)據(jù)保護(hù)專員，葡萄牙設(shè)置了國家數(shù)據(jù)保護(hù)委員會(huì)，丹麥設(shè)置了信息保護(hù)局，法國設(shè)置了國家信息處理與自由保護(hù)委員會(huì)，加拿大設(shè)有專門的隱私專員。歐盟則專門設(shè)立了監(jiān)督機(jī)構(gòu)來監(jiān)管個(gè)人信息收集、流通和使用，并要求每個(gè)歐盟成員國都要設(shè)立一個(gè)或多個(gè)個(gè)人信息監(jiān)管機(jī)構(gòu)，監(jiān)管機(jī)構(gòu)應(yīng)當(dāng)保持完全的獨(dú)立性，其在行使權(quán)力時(shí)不受外部影響，法律賦予監(jiān)管機(jī)構(gòu)必要的執(zhí)法權(quán)、調(diào)查權(quán)、處理投訴權(quán)和行政處罰權(quán)。又如，德國的《聯(lián)邦數(shù)據(jù)保護(hù)法》規(guī)定，自動(dòng)處理個(gè)人數(shù)據(jù)的公共機(jī)關(guān)和私營機(jī)構(gòu)，都應(yīng)當(dāng)書面任命一名數(shù)據(jù)保護(hù)官。這名官員應(yīng)直接從屬于公共機(jī)關(guān)或者私營機(jī)構(gòu)的領(lǐng)導(dǎo)者，其任務(wù)是致力于使《聯(lián)邦數(shù)據(jù)保護(hù)法》和其他關(guān)于數(shù)據(jù)保護(hù)的法律規(guī)定得到遵守。聯(lián)邦政府應(yīng)設(shè)立聯(lián)邦數(shù)據(jù)保護(hù)和信息自由專員，作為聯(lián)邦最高的數(shù)據(jù)保護(hù)機(jī)構(gòu)，聯(lián)邦數(shù)據(jù)保護(hù)和信息自由專員應(yīng)當(dāng)監(jiān)督聯(lián)邦公共機(jī)關(guān)遵守《聯(lián)邦數(shù)據(jù)保護(hù)法》和其他數(shù)據(jù)保護(hù)規(guī)定的情況，還可以監(jiān)督聯(lián)邦公共機(jī)關(guān)獲得的關(guān)于書信、郵政和電信的內(nèi)容、細(xì)節(jié)的個(gè)人數(shù)據(jù)和屬于職業(yè)秘密或者特殊官方機(jī)密的個(gè)人數(shù)據(jù)，尤其是稅法典第三十條規(guī)定的稅務(wù)秘密。聯(lián)邦公共機(jī)關(guān)有義務(wù)協(xié)助聯(lián)邦數(shù)據(jù)保護(hù)和信息自由專員檢查其有權(quán)監(jiān)督的文件，尤其是儲(chǔ)存的數(shù)據(jù)和數(shù)據(jù)處理程序。聯(lián)邦數(shù)據(jù)保護(hù)和信息自由專員對(duì)違反《聯(lián)邦數(shù)據(jù)保護(hù)法》和其他數(shù)據(jù)保護(hù)規(guī)定的行為或者其他個(gè)人數(shù)據(jù)處理和使用中的違法行為，有權(quán)向相關(guān)機(jī)構(gòu)提起控告。

在個(gè)人信息泄露事件頻發(fā)的情形下，我國迫切需要建立一個(gè)專門且權(quán)責(zé)明晰的監(jiān)督管理機(jī)構(gòu)，擔(dān)負(fù)起保護(hù)個(gè)人信息的職責(zé)，構(gòu)建我國個(gè)人信息保護(hù)監(jiān)管新秩序。本文認(rèn)為，可以借鑒國際上通行的做法，監(jiān)督管理機(jī)構(gòu)的職責(zé)包括但不限于：起草個(gè)人信息保護(hù)法律、法規(guī)和政策，推動(dòng)立法和政策落地；開展旨在提高公眾個(gè)人信息保護(hù)意識(shí)的教育活動(dòng)；接收與個(gè)人信息保護(hù)有關(guān)的投訴，監(jiān)督投訴問題的處理結(jié)果，為公民提供維權(quán)服務(wù)；對(duì)個(gè)人信息保護(hù)法律、法規(guī)的適用作出解釋性說明和指引；對(duì)侵害個(gè)人信息的違法行為進(jìn)行調(diào)查取證，依法及時(shí)予以懲處。

（三）完善個(gè)人信息行政法律保護(hù)機(jī)制

個(gè)人信息的法律保護(hù)機(jī)制分為一般機(jī)制和特別機(jī)制。一般機(jī)制主要是調(diào)整個(gè)人信息主體的實(shí)體權(quán)利義務(wù)，特別機(jī)制是對(duì)個(gè)人信息控制者的信息利用環(huán)節(jié)加以規(guī)制。

1.完善行政監(jiān)管制度

在信息社會(huì)里，政府既是信息的利用者又是管理者。一方面，政府為了社會(huì)管理和社會(huì)福利的需要，必須要掌握公民的個(gè)人信息。另一方面，在特定情況下，政府需要對(duì)個(gè)人信息私權(quán)利進(jìn)行必要干預(yù)。當(dāng)前，互聯(lián)網(wǎng)技術(shù)的發(fā)展使收集個(gè)人信息變得更加容易，更為嚴(yán)重的是，一些商家共享甚至買賣收集來的個(gè)人信息，這種隨意收集個(gè)人信息的趨勢仍在加劇。為此，行政法要加強(qiáng)對(duì)個(gè)人信息控制者的行政監(jiān)管，以保護(hù)信息主體的合法權(quán)益。首先，要對(duì)政府部門和從事公共事務(wù)的企事業(yè)單位收集個(gè)人信息的權(quán)力加以限制。收集處理個(gè)人信息要遵循合法、正當(dāng)、必要、公開原則，除法律、行政法規(guī)另有規(guī)定外，收集個(gè)人信息要征得自然人或者監(jiān)護(hù)人同意，不得過度收集信息，要告知收集、處理個(gè)人信息的目的、方式和范圍。其次，要對(duì)個(gè)人信息的使用進(jìn)行全程監(jiān)管。要做好個(gè)人信息獲取的事前準(zhǔn)入審核工作，審核信息控制者掌握某項(xiàng)個(gè)人信息的必要性，是否有相應(yīng)的技術(shù)和措施保障個(gè)人信息安全。做好對(duì)信息控制者使用個(gè)人信息情況的監(jiān)督，監(jiān)督其對(duì)個(gè)人信息的使用程序、使用范圍是否符合規(guī)定和要求。如果發(fā)現(xiàn)信息控制者存在違法情況，應(yīng)由專門機(jī)關(guān)依照法定程序?qū)ζ湫惺固幜P權(quán)。再次，要做好政府內(nèi)部管理。各管理單位應(yīng)明確哪些人員因工作需要有權(quán)限接觸個(gè)人信息數(shù)庫，制定個(gè)人信息數(shù)據(jù)庫登記制度，設(shè)置保護(hù)措施避免隨意下載數(shù)據(jù)。

2.完善行政救濟(jì)手段

歐盟《通用數(shù)據(jù)保護(hù)條例》第七十七條規(guī)定，每個(gè)數(shù)據(jù)主體都有權(quán)向監(jiān)管機(jī)構(gòu)進(jìn)行申訴，監(jiān)管機(jī)構(gòu)應(yīng)當(dāng)告知申訴者申訴的進(jìn)程和結(jié)果；第七十八條規(guī)定，任何自然人或法人都有權(quán)對(duì)監(jiān)管機(jī)構(gòu)具有法律約束力的決定獲得有效的司法救濟(jì)；第八十二條規(guī)定，任何因?yàn)檫`反條例而受到物質(zhì)或非物質(zhì)性傷害的人，都有權(quán)從控制者或數(shù)據(jù)者那里獲得相應(yīng)的賠償。新加坡《個(gè)人信息保護(hù)法案》規(guī)定，如果對(duì)個(gè)人信息保護(hù)委員會(huì)的決定不服，既可以向個(gè)人信息保護(hù)委員會(huì)申請復(fù)議，也可以向上訴委員會(huì)提出申請。如果既提出了復(fù)議又提出上訴的，復(fù)議程序自動(dòng)終止。如果進(jìn)行了復(fù)議，對(duì)復(fù)議結(jié)果不服的，可以提出上訴申請。對(duì)上訴委員會(huì)的處理結(jié)果不服的，可向法院起訴。

在我國目前的法律規(guī)范中，沒有明確說明侵害公民個(gè)人信息權(quán)益的行政行為是否可列入行政復(fù)議的范圍。因此，有必要通過立法將該行為納入行政復(fù)議范圍之內(nèi)，由復(fù)議機(jī)關(guān)對(duì)原行政機(jī)關(guān)處理個(gè)人信息的行為進(jìn)行監(jiān)督。我國行政訴訟法規(guī)定的行政訴訟受案范圍比較狹窄，條文中并沒有規(guī)定哪些侵犯個(gè)人信息權(quán)益的行為可以提起行政訴訟，應(yīng)通過立法列舉的方式明確將侵害公民個(gè)人信息權(quán)益的行為納入到行政訴訟受案范圍。并且，如果行政機(jī)關(guān)侵犯了公民的個(gè)人信息權(quán)益，公民也應(yīng)有權(quán)要求在損失范圍內(nèi)獲得國家賠償。