王子臣

一、大数据时代的个人信息保护

(一)个人信息的界定

在论及个人信息的保护问题时，必须先界定个人信息的概念。何为个人信息以及何种个人信息值得保护的问题，是研究个人信息保护问题时必须首先回答的。个人信息是一个较为抽象的词汇，它也很难被赋予一个明确且权威的概念。当今学界普遍认为，个人信息是指以数据或其他方式存在的能够识别特定自然人主体或表明自然人活动内容的各种信息的总称。从上述定义中不难发现，个人信息的概念虽然难以得到权威、明确的认定，但是个人信息的核心内涵是十分清晰的，即有可识别性。德国法律中就明确规定，个人信息是指能够将自然人与其他自然人主体明确区分开的属人信息[1]。被普遍认为是个人信息的家庭住址、电话号码等也都符合能将该自然人与其他自然人区分开的可识别性特征。同时，个人的信息具有识别性也不一定意味着就能得到充分保护，即使同属于个人隐私范畴的信息，所受到的保护的力度也并不相同[2]。例如，对于个人的身份证号、病例资料、犯罪记录等信息，政府、社会普通民众都认为是十分敏感并应当予以充分保护的隐私。而对于个人的姓名、性别、血型、婚姻状况等信息，则通常被认为是非私密的且不必予以太过强力的保护。虽然存在这种差异，但是在何种个人信息值得保护或应当得到更大保护的问题上，无论是法律规定还是学理研究，都很难给出确定的答案。

(二)个人信息的保护需求

大数据时代，信息传播逐渐突破了地域、时间、体量及对象人数等的限制，克服了以往传统线性传播效率低下、信息量少等固有缺陷[3]。在这个裂变式传播方式占主导的时代，信息共享、传播迅速、范围广阔已成为衡量信息技术水平的基本标准。一个普普通通的手机就能实现数据在全国甚至全世界范围内快速、迅捷地流通，成本却十分低廉。但信息共享传播迅速、范围广的特点也使个人信息在大数据技术的支持下有了在利用上超越空间与时间的可能，个人信息的利用便捷度和社会经济价值大大提升，政府、企业都敏锐地捕捉到了信息的这一特性，并开始利用大数据技术挖掘个人信息中隐含的社会经济价值。而这些技术挖掘行为无疑加大了个人信息被滥用、被窃取及被泄露的风险，对传统的信息保护体系提出了更高的要求。

通过对个人信息的收集、分析，可以迅速掌握一个人的购买偏好、社会关系和财富状况等重要商业信息，从而帮助经营者有的放矢推销自己的商品，以获取更多利益[4]。而在个人信息泄露时，个人利益也容易遭受更大损失。犯罪者可以将所收集到的个人信息运用于盗窃、诈骗等多种犯罪活动之中甚至还会冒用受害人的身份信息实施违法犯罪行为，给受害人造成难以弥补的损害。在数字时代，个人信息已成为一个人的核心利益，它如同打开财富大门的钥匙，蕴含着庞大的商业价值，也可能带来巨大的经济损失。

因此，在当今时代，社会的普通民众对个人信息的保护需求远比过去强烈。一个又一个的案例已经向人们证明，将保护个人信息的希望寄托在经营主体或私法制度上并非明智之举。只有政府通过行政法手段对个人信息进行保护，才是解决这一问题的关键举措和根本出路。

二、收集、处理和利用个人信息的要件与利益衡量

(一)行政主体收集、处理和利用个人信息的要件

行政主体收集、处理和利用个人信息时必须依据一定的标准并符合特定的条件。该要件有以下四点：第一，法律上有明确规定。行政主体收集、处理和利用个人信息必须以法律法规的明文规定为依据并符合该法律法规的规定。行政主体在合法且经过授权的基础上收集、处理和利用个人信息才是适当的。第二，任何对个人信息的收集、处理和利用都应当是基于一定的公共事务管理目的和履行职责目的，且必须始终围绕这些目的进行相关行政事实行为。第三，收集与处理应当经信息主体同意。许多西方国家在法律中规定了行政机关在收集、利用或公开个人信息时必须将相关情况告知该个人信息主体并取得该个人信息主体的同意方可为之[5]。而在我国，学界对于行政主体对个人信息的收集、处理和利用等行为需要告知相关权利人这一要求并无异议，但是对是否需要权利人的同意则有不同的看法。有些学者认为，行政主体收集、处理和利用个人信息的行为是出于行政主体管理相关公共事务或履行法定职务的目的；因此，只要保证行政机关将相关个人信息运用到法定目的，就不需要征得个人信息主体的同意[6]。而有些学者主张对行政机关收集、处理及利用个人信息的行为加以区分，对于基于管理性目的而为的信息收集处理行为不必得到相关权利人的同意，但对基于服务性目的而为的信息收集处理行为应得到相关权利人的事前同意[7]。第四，行政机关负有保护个人信息安全的责任。行政机关作为管理公民个人信息的主体，有义务防范任何可能对公民个人信息的安全性产生威胁的风险；同时，在此种风险已经存在时，该行政机关也有义务排除此种风险[8]。

(二)个人信息保护与政府信息公开之间的利益衡量

在政府的实际工作中，个人信息的保护与政府信息公开之间存在着天然的对立关系。解决这种冲突最有效的方法就是在二者之间进行利益衡量，协调处理好不同主体间的利益关系，即综合考量个人信息利益与公众知情利益之间的关系，并依据价值更高的利益进行取舍。在现代民主社会，保证公民知情权是维护社会公共利益、限制政府行政权力的必然要求，公民知情权与公共利益之间的关系更近，因此，政府在衡量满足公民知情权与可能因此产生的个人信息泄露风险时，会倾向于优先满足公民知情权。所以，在涉及社会公共利益问题时，为了保障公民的知情权而适当披露部分个人信息就成为一种必然选择。当然，这并不意味着对个人信息权的保护已无必要。一方面，行政主体即使是为了社会公共利益而披露个人信息，也必须满足上述要件；另一方面，当公民的行政公开请求与社会公共利益的保护关联不大时，就不能以保护社会公共利益为借口牺牲公民的个人信息权利。

三、个人信息的行政法保护的现实困境

(一)网络发展对个人信息安全性的冲击

自20世纪八九十年代以来，互联网作为不可替代的沟通交流和信息获取工具呈现出不可阻挡、一日千里的迅猛发展之势。网络成为人们生活中不可或缺的获取信息资讯的重要工具，但这也极大提高了保护个人信息的难度。这一情况主要体现在两方面。其一，网络传播已经能无视地域的阻隔。网络已经能够通过光缆、线路等将不同的国家、地区紧密连接在一起[9]，通过互联网传输，个人信息能够在全球范围内飞速传播。一旦个人信息被窃取或遭到滥用，将面临大范围的泄露，而且这种泄露的速度会超出人们的想象[10]。大范围的传播造成更加严重的后果，极其快速的扩散也让国家难以在造成大的危害后果前就采取有效手段予以制止。其二，虚拟网络提高了信息真实性的判断难度，也提高了打击侵犯个人信息犯罪的难度。互联网虽然不是法外之地，但它确实也是虚拟场所。在网络中活跃的犯罪分子往往借助各种手段隐藏自己的真实身份和目的，通过真假难辨的话语骗取公民的个人信息，而个人难以判断语言或信息的真实性。

(二)行政立法保护上的制度缺失

纵观国家对个人信息的行政法保护现状可知，我国缺少一部统一而完善的个人信息保护法[11]。我国对个人信息的保护条款散见于各类法律法规和部门规章中，难以形成严密完备的个人信息行政法保护体系。同时，这些相关个人信息保护法律规定多以原则性规定的形式存在，缺乏灵活且具有可操作性的具体规定[12]。除了个人信息保护法颁布遥遥无期这一问题外，我国现阶段对个人信息的行政法保护还存在以下几个问题。其一，没有明确划分个人信息收集者与被收集者之间的权利与义务。例如，经营者向用户收集信息，往往是以格式合同的方式实施的，个人信息的被收集者如果想接受服务就必须提供相应信息，而没有拒绝的权利；经营者的信息收集范围过大：这些问题都是值得有关部门认真思考的。其二，对于行政机关的监管不到位，对于行政机关在个人信息收集过程中的职责与义务等问题也没有明确的规定。而且，我国对于政府收集个人信息的权利的约束力度不足，导致政府的行政权已经对公民的个人隐私和信息安全造成了一定威胁。其三，对个人信息的收集处理缺乏程序上的规定。无论是行政主体还是经营主体，在处理个人信息的程序上都缺乏透明度。公民的个人信息在被收集后就处于信息收集者的控制之中，对于如何处理这些个人信息以及这些个人信息将会被用于何种目的，公民都很难予以有效监督[13]。

(三)个人信息权遭侵害后的行政救济缺失

我国个人信息的行政法保护制度还存在一个严重的问题，就是当个人信息权遭受侵害后，受害人难以得到充分有效的救济以弥补损失[14]。行政救济的缺失主要体现在两方面：一方面，行政法救济的可行方法较少，在如今我国个人信息保护的法律体系中，对行政主体在收集、处理个人信息的过程中享有的权利和承担的义务规定的较多，但是对于如何确定侵害个人信息权的主体、由哪一主体承担向受害人提供救济的责任及对受害人的个人信息权采取何种手段予以救济等问题规定的却不多；另一方面，相关法律详细划分行政机关在个人信息收集等方面的权责，这就导致在具体的追责过程中行政机关往往能够通过互相推诿的方法逃避惩罚[15]。

四、个人信息行政法保护的优化路径

(一)通过行政立法弥补行政法在个人信息保护上的制度缺失

行政立法工作绝非短时间就能完成的，这必然是一个漫长的过程，我国立法机关首先应该做的是通过行政立法对行政机关的个人信息收集、处理、公开等行政行为进行更加细致严密的规范。第一，限制收集个人信息的主体范围。现阶段，我国收集个人信息的行政主体数量过多，多领域、多层级的行政部门在实际行政管理工作中都有权收集公民个人信息，个人信息泄露风险大增。针对这一问题，笔者认为国务院可以出台“暂行办法”或“暂行条例”等立法层级较低的法律规范(方便日后修改)，明确规定有权收集个人信息的政府机关及可收集的个人信息范围，仿照政府信息公开目录或政府信息公开指南的形式，将可收集个人信息的政府主体与其可以收集的个人信息的具体范围一一对应并标明收集目的。除此之外，要严格禁止不具有收集个人信息的政府部门收集个人信息的行为，在《个人信息保护法(草案)》中增加对政府机关不当收集个人信息的惩罚措施。第二，有必要将个人信息处理的主体、方式、程序等纳入政府行政公开的范畴之中。新修订的《中华人民共和国政府信息公开条例》将政府机关的内部事务及行政过程性信息规定为可公开也可不公开的信息，而政府处理个人信息的方式、程序等自然可被视为政府机关的内部事务及过程性信息，因此，政府机关将可以以此为理由不将这些内容纳入政府行政公开的范畴中，显然这并不利于个人信息的保护。因此，笔者认为《中华人民共和国政府信息公开条例》可以特意增设法律条文，将个人信息的处理主体、方式及程序等与个人信息安全保护紧密相关的内容规定为政府信息必须公开的内容，强制收集、处理个人信息的政府机关将处理过程和处理方式及其所实施的安全保障措施向社会公开并接受人民群众监督。

(二)设立专门机构加强个人信息保护及监管

个人信息收集的工作量大、专业性强的特点，决定了在个人信息的收集、处理、保护等工作上应当尽可能将权责集中到一个或少数几个行政部门，而不是像现在这样多部门都有相应权限，这既不利于个人信息相关工作的开展，也不利于个人信息的统一管理，更不利于执法部门对行政机关收集、处理个人信息的行政行为进行统一监管。《中华人民共和国个人信息保护法(草案)》明确规定国家网信部门负责统筹个人信息的保护和监督工作，但仅仅规定了在中央层面具体负责统筹个人信息保护和监督工作的部门，而没有真正建立起由中央到地方的个人信息政府管理体系。笔者认为，应当在《中华人民共和国个人信息保护法》中建立起从中央到地方的全套个人信息政府保护、监管体系。可以先在省一级建立直属于省政府办公厅的副厅级个人信息管理机构，并向下扩展，逐步建立起地市级乃至县级的个人信息专职管理部门，自上而下形成严密的行政管理体系。

(三)网络空间需加强治理

在互联网时代，侵害个人信息的违法行为往往是以互联网为犯罪工具或犯罪途径的，侵害个人信息的违法行为也通常是以互联网违法犯罪行为的形式存在的[12]。现阶段的《中华人民共和国网络安全法》(以下简称“《网络安全法》”)虽然通过法律条文明确规定了网络运营者及其他网络主体在个人信息保护上的责任，并且规定了惩罚措施，但是惩罚措施规定得比较笼统。《网络安全法》规定具体的惩罚条文时应该明确网络运营者的违法情节，并且根据具体的违法情节规定相应惩罚手段，《网络安全法》使用“违反某某条”拒不改正或造成“危害网络安全等后果”作为进行行政惩罚的前提，但是这种规定在表述上太过宽泛，行政机关在实际执法工作中不能将网络运营者的违法行为与具体法条对应起来予以判断。在这一点上，可以借鉴《刑法分则》的经验,在法律条文中对于违法行为要具体描述违法情节或对所造成的违法结果进行详细的分层次规定并据此设置不同的惩罚标准。

五、结语

大数据时代，个人信息安全性遭到了面临严重的峻挑战，对保护个人信息权的保护难度也在不断提高。，但从另一个角度来看，这也是一个提高我国行政立法水平和行政主体行政能力水平的好机会。完善个人信息行政法保护制度是提高个人信息安全性的根本途径之一，也向立法机关和行政机关提出了不断提高立法水平和行政水平客观要求。毫无疑问，在完善个人信息行政法保护制度的过程中，国家和政府离建立法治国家和法治政府的伟大理想也将越来越近。