李亦君

（贵州财经大学，贵州贵阳 550000）

大数据时代，个人信息的法律保护成为各国面临的重要问题。在我国，私法领域的保护较为被动，且规制的范围主要是针对营利性主体和非政府机构侵犯公民个人信息的行为，而公法领域的刑法所要求的条件较高，一般的侵害个人信息的违法行为在未达到犯罪标准的情况下，无法运用刑法进行惩罚。而从行政法层面加强对个人信息保护具有更高的严密性，行政法可以明确具体地规定个人信息的请求更正权和救济权，规制范围更具有针对性。因此，对国外先进的行政法保护经验进行对比分析，提出对我国更具有针对性和适用性的行政保护策略具有较为现实的意义。

1 个人信息概述

1.1 个人信息的概念界定

我国没有个人信息方面的专门立法，对个人信息的概念尚未统一，根据学术界的学者们关于个人信息的内容达成的基本共识，个人信息可以被界定为“以直接或间接的手段获取的足以识别特定自然人的受法律保护的信息，范围包括但不限于姓名、出生日期、身份证号、工作、教育、财务、健康状况以及其他具有个人指向性的信息”。

1.2 个人信息的特征

个人信息所包括的内容具有较为宽泛的外延，能够将人与人区别开来的任何有关个人的碎片材料都可以视为个人信息的范围，具有广泛性和可识别性的特点，包括与个人相关的基本情况、生活背景、个人习惯等。同时，个人信息具有时效性，个人信息处于一个不断变化的过程，每个人的信息都随着时间的推进而更新，比如年龄、身体状况、家庭住址、工作情况等。另外，个人信息还具有可共享性，同一部分的个人信息可以同时被不同的信息用户获取或利用。大数据时代，个人信息的上述特征在拓展了其价值空间的同时，也给个人信息的保护增加了难度和成本。

2 我国行政法对个人信息保护的问题分析

2.1 现有行政法对个人信息的保护

2.1.1 个人信息保护的行政立法

我国现有的有关个人信息保护的行政法律有近40部，法规30余部，部门规章200多部，较为分散，且有关个人信息保护的规定不够统一，无法准确界定行政法领域对个人信息的保护范围，甚至有些条款的规定欠缺可行性，导致个人信息的法律保护未能达到期待的效果。

从上表可以看出，我国行政法关于个人信息保护从理论层面基本做到了事前预防，事中监管和事后监督、救济，但由于无专门的立法，规定较为笼统且繁琐，同时有很多操作性不强的法律规定，缺乏相对应的处罚措施和完善的救济途径。

2.1.2 个人信息保护的行政执法

互联网的普及使行政机关越来越方便地收集、处理和使用公民的个人信息，公民的个人信息权可能会由于行政机关在采集、存储和信息公开等环节受到侵犯，在出现个人信息被超范围使用或泄露时，“官本位”的执法理念下行政机关甚至不把维护公民个人信息安全作为自身的义务，甚至一些行政机构为了提高办公效率，节省办公资源，开通机构间信息共享渠道，但由于缺乏监管，致使个人信息资源在共享过程中出现泄露时无法明确责任主体，公民个人信息权遭受侵害却无法得到救济。这些常见的情形彰显了行政机关在执法上的不足，未做到按照相关法律法规的规定对信息管理部门的严格监管。

2.2 个人信息行政法保护存在的问题

2.2.1 行政法对个人信息保护的规定不完善

（1）个人信息主体权利的规定不明确。行政法中对个人信息权的内容和范围未作出确切的规定，只能在具体法条的基础上对公民享有的个人信息权利进行推导适用。比如：根据法条中规定的“公民有了解或知道自己个人信息被收集的目的的权利”，得出公民对个人信息享有知情权的结论；“公民发现自己的个人信息不符时，有提出异议和更正自己信息的权利”，推导出公民享有个人信息的异议权和更正权；以及在个人信息遭受侵害后才能要求行使的删除权。然而，一些其他正当性的权利如公民拒绝提供信息的权利等在行政法中没有提及，很容易导致信息主体无实质权利、公民个人信息被非法使用的后果。

（2）行政主体对个人信息的行政行为缺乏规制。我国行政法律规范对行政机关在处理个人信息时应遵守的规则较为简单且笼统，没有具体操作程序的法律条文，给法律适用带来了一定的难度。比如，行政法律规范中有的规定了国家需要对个人信息的保密义务；有的规定了政府在公民查询个人信息时的审查义务，尽管这些规定对行政机关保护公民个人信息作出了要求，但并没有明确行政机关及其工作人员不作为或乱作为而导致个人信息权利遭受侵犯时，应承担什么样的具体责任及如何承担责任。

（3）个人信息的行政法保护滞后。行政机关处理公民个人信息时按照现有行政法对行政行为的总体要求为依据，行使自己的职权，但对于个人信息保护相关的事项，行政法律法规没有专门的规定，对处理个人信息的行政行为与一般的行政行为所应遵循的原则和程序规范未具体区分，若出现行政机关收集、保存的个人信息被泄露、被非法利用的情况，行政机关往往在公民的个人信息权益被侵害后才进行事后保护，按现有行政法无针对性的操作程序无法及时保护公民因个人信息遭受损害所产生的人身和财产损失。

2.2.2 个人信息处理的主体缺少监管

我国个人信息处理的主体主要包括行政机关和非行政机关，其中，行政机关及其职能部门作为公民个人信息的“集散地”，在收集、处理和使用信息的合法性及合理性方面需要受到严格监管。实务中，一方面，行政机关工作人员利用职务之便主动泄露个人信息谋取不正当利益或者发现信息泄露而不作为的现象较多；另一方面，行政机关专门建立的信息库储存的个人信息具有较为广泛的覆盖率和超高的准确率，成为一些不法分子的首要目标，在监管力度不够的情况下，他们往往利用系统保护的漏洞入侵行政机关的信息库，盗取信息资源。因此，我国需要设置专门的监管机关对不同级别的处理个人信息的行政机关进行统一监督，避免目前的上级监督下级的方式存在的监管缺陷。

非行政机关对个人信息的不法行为主要表现为非法收集和使用。我国《征信业管理条例》中明确了行政机关等征信管理部门对非行政机关收集和使用个人信息的行为具有监管职能。但现实中，即使行政机关未依法履行监管职责或监管力度不够，公民个人也较难凭借自身实力对行政机关进行有效的监督。另外，虽然行业自律组织在规制行业间个人信息滥用的现象中也能发挥不容小觑的作用，但由于我国行业自律制度不够完善，对非行政机关类的信息处理主体的监管尚未发挥出应有的效用。

2.2.3 个人信息救济制度不健全

“无救济则无权利”，救济制度作为保证权利实现的重要方式之一，其健全与否关系到公民个人信息权益的保护能否顺利实现。我国目前的个人信息救济制度存在一定的缺失，大多时候政府部门不能为公民信息安全提供相应的保障，在公民个人信息遭受侵害时往往出现无法得到及时的救济或者救济不到位的状况，法律形同虚设，造成的后果不只是公民个人权益受到侵害无法得到赔偿，甚至会威胁到法律的权威，产生不良的社会效应。

我国行政法虽然规定了行政机关不作为或非法作为时，公民可以通过行政复议或行政诉讼维权，但没有规定具体的程序，救济过程中缺乏实际可操作的规范指导，公民实际实行行政救济的结果并不尽如人意。比如，公民在发现个人信息权益遭受侵害时，往往无法确定自己的信息何时被泄露、被谁泄露、泄露的程度，从而出现无法确定被告、举证不能等问题，也就不能顺利通过复议或诉讼的途径主张自己的权利；另外，与强大的公权力相比，公民个人力量较为单薄，在公民知晓个人信息遭受行政机关侵害的情况下，通过举报、检举、投诉等方式维护自己的合法权益也可能最终不了了之，个人权利无法得到实际救济。

3 国外个人信息的行政法律保护制度

3.1 美国分散立法和行业自律结合模式

美国在公领域和私领域分别设置了个人信息的保护制度。在公领域，通过分散立法的方式，在个人信息保护方面对政府的行政行为进行引导。美国制定了《隐私权法》和《信息自由法》，分别规定了公民个人信息的使用规则和公众对政府信息的知情权。在私领域，主要依靠外部的社会组织制定的自律规则进行辅助引导。美国的行业组织较为发达，在个人信息保护方面制定较为针对性的自律规则，更加有效地实现公民个人信息的保护。为了保障政府信息公开和个人信息保护能够有序进行，美国通过公法与行业自律规则相结合的模式，分别在两种制度中明确了各自规制的范围和侧重点。美国的这一完善的制度设计对我国个人信息保护制度的健全具有一定的启发意义，我国可以在行政法中明确公民个人信息权的范围，并对行政机关处理公民个人信息时的职责和义务作出详细规定，避免公民个人信息权在政府信息公开过程中遭受侵害。

3.2 欧盟的统一立法模式

欧盟于2018年5月25日全面实施的《通用数据保护条例》①对公民个人信息的保护和监管规定了较高的保护程度和保护标准。《通用数据保护条例》作为各成员国在个人信息保护领域共同遵守的法律，各成员国可根据自身实际情况出台相应的配套法律，保障欧盟体内各国家之间信息的安全流通。欧盟还设立了针对个人数据保护的专门机构，主要对信息控制者的行为进行监管，在公民个人信息被违规披露或流通时，可以行使投诉权。同时，监管机构还拥有强大的执法权，便于其调查和处理个人数据相关的投诉事件。我国有必要借鉴欧盟的经验，在个人数据的收集、流通方面制定完善的规则促使行政机关对个人信息进行有序、有效的管理和保护，学习欧盟监管机构的设立及权利配置，提高行政机关在个人信息保护方面的执法效能。

3.3 日本的统分结合立法模式

日本制定了统一的《个人信息保护法》，通过分散立法和统一立法相结合的模式，分别对政府机关和个人在信息处理方面应遵循的规则制定了不同的法律。在个人信息保护法律制度建设方面，国家和地方均有相应的立法，法律保护体系较为健全。日本未设置专门的个人信息保护的监管机构，但通过赋予行业组织处理公民信息一定的自由度量的权力，确立了公民个人信息受损害时可向个人信息保护委员会寻求救济的制度。同时，日本还设置了“信息公开与个人信息保护审查会”，作为中立的第三方机构，主要为行政机关信息公开和个人信息保护类的案件提供咨询建议。日本法律在赔偿救济途径方面的规定也较为完善，公民可以在国家赔偿的救济无法实现时，主张民事赔偿请求权，赋予公民多种个人信息权利救济途径。

4 我国个人信息行政法保护的改善建议

4.1 出台专门的个人信息保护法

我国在各个部门法中零散的规定了个人信息保护的条款，但是部门法之间缺乏协调性，与形成全面的保护体系尚有一定的差距。统一立法模式更符合我国成文法的立法传统，且较之零散的立法模式，统一立法能够有效避免标准多样的弊端，更加有利于司法实践中的有效执行。因此，采取统一的立法模式，制定专门的《个人信息保护法》，明确规定个人信息的保护原则、保护范围、救济途径以及侵权赔偿等内容，才能为更有效地保障公民的个人信息安全提供法律依据。

4.2 设立专门的个人信息保护监管机构

设立个人信息保护的监管机构，专门对个人信息处理者的行为进行监督和管理。针对不同的监管对象设置两个部门，分别监管行政机关和非行政机关，赋予其相应的行政权力，如调查检查权、行政裁决权、行政处罚权、行政救济权等。同时，保证执法机构的独立性，保障其职权的实现。建立专门的个人信息保护机构监督、管理信息处理的各类问题，实现监管标准一体化，保障法律的有效实施。

4.3 完善个人信息的行政救济制度

当政府机关对收集的公民个人信息未尽到安全保护义务致使信息泄露，或者公民个人信息被行政机关超范围或超职权使用，给公民人身或财产造成一定损失时，公民有权根据《行政诉讼法》和《国家赔偿法》的规定，要求公共部门赔偿损失，也可以在申请复议和提起诉讼中一并提出赔偿。

第一，行政复议及行政诉讼。扩大行政复议和行政诉讼的受案范围，行政执法部门对个人信息主体作出不法行为时，公民个人可以向个人信息的专门管理机构申请行政复议，或向法院提起行政诉讼。由于公民因个人信息遭受侵害而提起行政诉讼时侵权主体的确定具有一定的难度，应该由疑似侵权主体承担举证责任。专门机构和法院根据具体的法律规定，对政府机关的具体行政行为进行调查，如确认侵害公民的合法权益，依据相关法律规定对相关负责人进行行政处罚。

第二，行政赔偿。国家机关及其工作人员行使职权损害公民合法权益的，受害人有权取得国家赔偿。因而，行政机关侵害公民的个人信息时，受害人可以直接请求赔偿也可以在提出行政复议时要求行政赔偿。行政工作人员侵害个人信息时，公民可以向信息执法机构申诉，主张损害赔偿。如果通过上述两种方式不能实现对当事人的救济，可以提出行政诉讼，寻求司法救济，获得赔偿。同时，建议在行政赔偿的范围中增加对个人信息人身权益造成损害的精神赔偿金，以弥补公民个人所遭受的精神损害。

5 结语

大数据时代，世界各国将进一步加强对个人信息权的保护，在我国这样一个注重行政管制的国家，从行政法层面加强对个人信息保护具有更高的严密性。行政法可以明确具体地规定个人信息的请求更正权和救济权，相较于民法和刑法的规制范围，行政法更具有针对性，是个人信息保护体系中最有效的手段。我国出台《个人信息保护法》的迫切性日益凸显，本文通过分析我国现有行政法在个人信息保护方面存在的不足，提出相应的解决建议，为将来我国《个人信息保护法》的出台提供理论依据。

注释：

①《通用数据保护条例》（General Data Protection Regulation，简称GDPR）为欧洲联盟的条例，前身是欧盟在1995年制定的《计算机数据保护法》。2018年5月25日，欧洲联盟出台《通用数据保护条例》。