郑朋树

（浙江广播电视大学 玉环学院，浙江 玉环 317600）

随着经济的发展以及大数据时代的到来，个人信息的经济属性日益彰显[1]。由于觊觎个人信息的经济价值，一些企业和个人试图通过各种非法手段获取个人信息。近些年来，我国也发生过一些重大的个人信息泄漏事件，如2017年4月京东泄露50亿条个人信息，2018年5月华住旗下酒店5亿条个人信息疑似泄露。据我国消费者协会2018年8月发布的报告数据显示，我国个人信息泄露人数在被调查者中的占比达到85.2%[2]。个人信息一旦被非法使用，个人将面临人格及其他合法权益受损的危险。因此，个人信息的收集、处理、利用和保护成为了世界性的法律问题，得到了越来越多国家的关注。截至2017年，已有120个国家或地区制定了保护个人信息的相关法律[3]。虽然我国在该领域也制定了一些法律规范，但同法治发展水平较高的国家相比仍有差距，尤其在行政法对个人信息保护方面还存在着很大不足。

一、我国法律对公民个人信息的保护

笔者在北大法宝上以“个人信息”为关键词，对中央和地方法律、法规和司法解释进行全文精确搜索后发现，内容中含有“个人信息”的地方性法规、规章共有6299篇，内容中含有“个人信息”的中央法规和司法解释共计1437篇。这些不同层级的法律、法规从不同部门法和不同层次上对读者个人信息、旅游者个人信息、残疾人个人信息、乘客个人信息、未成年人个人信息、流动人口个人信息、患者个人信息、献血者个人信息、举报人个人信息、受助人员个人信息等进行着保护，构筑起我国公民个人信息保护的法律框架。

实际上，在我国除了一些法律、法规中明确提出保护公民个人信息之外，还有一些法律、法规是以保护个人隐私的方式来保护公民个人信息的。在我国，较早的法律规范相关条款中个人信息大多以“个人隐私”的方式表述，直到《中华人民共和国居民身份证法》才在法律中明确提出保护“个人信息”，但没有对个人信息的概念进行界定。2013年的《电信与互联网个人信息保护规定》更进一步，对“用户个人信息”的概念进行了解释。2017年施行的《中华人民共和国网络安全法》首次在法律层面对“个人信息”做出明确定义，该法第七十六条采用概括加列举的方法对个人信息的内涵进行了阐述①根据网络安全法的规定，个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。，将我国法律所保护的个人信息界定为身份识别信息。

（一）我国民法对公民个人信息的保护

《中华人民共和国民法总则》第一百一十一条明确规定，国家保护自然人的个人信息，禁止非法收集、使用、加工、传输、买卖、提供、公开他人个人信息，这是民事基本法层面对个人信息保护的规定。《中华人民共和国侵权责任法》第三十六条对侵害个人信息权利的侵权责任进行了规定。《中华人民共和国消费者权益保护法》第十四条明确规定消费者“享有个人信息依法取得保护的权利”，该法规定经营者收集、使用消费者个人信息应当遵守的原则，同时要明示收集和使用的目的、方式、范围。

（二）我国刑法对公民个人信息的保护

1997施行的现行刑法没有对个人信息进行直接保护，只对个人信息进行了间接保护。2000年全国人大常委会通过了《关于维护互联网安全的决定》，这个决定将非法侵入他人电子邮箱并对邮件进行非法操作的，可以认定为侵犯通信自由罪。2009年的《中华人民共和国刑法修正案（七）》增加了“出售、非法提供公民个人信息罪”和“非法获取公民信息罪”两个罪名，意味着有了专属的罪名打击侵犯个人信息的犯罪。《中华人民共和国刑法修正案（九）》将“非法获取公民信息罪”和“出售、非法提供公民个人信息罪”合并成一个罪名即“侵犯公民个人信息罪”，更为系统地针对侵犯个人信息的犯罪行为进行打击。

（三）我国行政法对公民个人信息的保护

我国行政法对个人信息的保护主要体现在两个方面：一是通过立法对行政机关、事业单位、法律法规授权的组织依法获取、保存、利用公民个人信息的各个环节加以规制；二是对信息收集者、控制者违反个人信息保护法律规定的行为加以行政制裁。例如，2007年发布、2008年施行、2019年修订的《政府信息公开条例》是国务院第一部关于公民个人信息公开的行政法规，这一条例是行政法领域对公民个人信息保护的重要立法，发挥着对行政权力的限制和对公民个人信息保护的双重作用。该条例第十五条明确规定，政府机关不得公开涉及个人隐私的公民信息；第四十一条规定了公民享有对其自身信息的更正权；第五十一条规定了信息主体在信息公开中侵害了信息主体合法权益的情况下，信息主体具有行政救济权。2013年施行的《征信业管理条例》在个人信息保护方面进行更加具体的规定。一是严格规范个人征信业务规则：除依法公开的个人信息以外，采集个人信息必须经过信息主体的同意；个人不良信息保存期限不得超过5年；他人向征信机制查询个人信息应当取得信息主体的同意，并约定信息的用途。二是明确了征信机构限制采集和禁止采集的个人信息范围①限制采集的信息主要有个人的收入、存款、有价证券、不动产的信息和纳税数额信息，禁止采集的信息主要有宗教信仰、基因、指纹、血型、疾病和病史信息。。三是明确规定个人对本人信息享有查询、异议和投诉等权利：个人可每年免费查询两次个人信用报告；个人信息有错误、遗漏的，信息主体可以提出异议；合法权益受侵害的，信息主体可以向征信监督管理部门投诉，可以向法院起诉。此外，该条例还严格规定了违反法定义务时应当承担的法律责任。

2017年施行的《中华人民共和国网络安全法》和2019年施行的《中华人民共和国电子商务法》涉及到多个法律部门，其中行政法律责任占有重要篇幅。一般认为，网络安全法是迄今为止我国在法律层面对个人信息保护最权威、最全面的规定，不仅对网络运营者保护用户个人信息的责任做出了具体规定，也赋予了网络用户更广泛的个人信息权，对加强我国网络个人信息保护具有重要意义。电子商务法对电子商务领域中的个人信息保护问题进行更为细致的规定，如网络安全法规定了个人信息主体删除、更正个人信息的权利，电子商务法则进一步明确了删除的方法和程序。但是，不同法律对个人信息保护的做法也存在差异，如网络安全法对信息主体删除其个人信息设置了前提条件，而电子商务法在用户实现删除权方面没有设置前提条件。

此外，其它的一些行政法律、法规中也有关于个人信息和个人隐私保护的零星规定。例如，《中华人民共和国护照法》《中华人民共和国居身份证法》《中华人民共和国治安管理处罚法》《婚姻登记档案管理办法》规定了公安机关、护照办理机关、婚姻登记机关及其工作人员在办理治安案件、办理涉及护照和身份证业务、办理婚姻登记业务时获知的公民个人信息，应当予以保密。《中华人民共和国行政许可法》《中华人民共和国行政处罚法》和《中华人民共和国行政复议法》规定了涉及到个人隐私的行政许可、行政处罚听证、行政复议案件，行政机关要对涉及个人隐私的材料进行保密，不允许公开、复制和查阅。

二、个人信息保护的行政法价值

（一）民法、刑法对个人信息保护的局限性

在信息数据已经上升为国家战略资源的背景下，单纯依靠民法和刑法已难以实现对公民个人信息的有效保护。例如，《民法总则》并未界定个人信息是哪种民事权利，也没有完成个人信息确权保护的任务。民法对个人信息保护规定的不足导致司法和执法实践中的诸多难题：首先，民法中的隐私权保护机制没有明确个人信息主体的权利性质，无法适应现代化社会中的风险，不利于个人信息的保护；其次，缺少举证责任倒置、团体诉讼等配套制度；再次，对个人信息受损害的赔偿方法、赔偿限额没有作出规定；最后，过度依赖私法保护会给个人和企业维权制造难题[4]。

由于刑法对相关犯罪的打击具有滞后性、间接性、起点高等特征，并未能有效、全面遏制侵害公民个人信息犯罪的发生。首先，我国刑法对个人信息的保护是建立在隐私权基础之上的，隐私权侧重于消极防御，无法解决公民积极使用自身信息参与活动的问题[5]。其次，侵犯公民个人信息罪所保护的客体是公民的人格隐私，公民的个人信息除了身份信息，还包括人身、财产安全方面的信息，而将该罪名放在“侵犯公民人身权利、民主权利罪”一章，使得该罪在保护公民个人信息时捉襟见肘。再次，刑法保护方式起点较高，必须要达到犯罪的程度才能追究相关责任，显然对相关权利保护的覆盖面不足。事实上，当在侵害公民个人信息的行为刚发生时，就利用行政法律、法规加以制止，将法律保护阶段提前，能够较好地保护公民个人信息[6]。

（二）行政法可以弥补民法、刑法对个人信息保护的不足

在现代社会，行政法有三大基本作用：规制行政权，监督公权力的行使；保障公民权利；维护社会秩序，保护公共利益。政府为了公共行政管理的需要，凭借其职权收集个人信息的行政具有正当性，经过法律确认后，其性质是合法行为，这也是世界各国普遍的做法。但是，同样需要注意的是，政府部门在收集个人信息时，存在着任意收集、超范围收集以及信息滥用等不规范现象，也存在泄露或允许第三方使用个人信息的情形，这些都是政府部门侵害公民个人信息的体现。个人信息的行政法保护是指利用行政法律、法规来规范信息处理主体收集、处理、利用个人信息，明确信息处理主体的法律责任，同时建立个人信息受到侵害后的行政救济制度，对信息处理主体的违法行为进行处罚，从此意义上说，行政法应当成为我国个人信息保护的重要手段。国家有责任保护公民的信息安全，行政法在我国信息安全保障上应当发挥更大的作用。例如，德国的个人信息保护法明确属于行政法的范畴，这源于1983年的“人口普查案”，该案体现的正是行政权与公民对个人信息权的需求之间的矛盾，换言之，行政法对个人信息的保护体现着公共利益与个人利益的矛盾及其调和[7]。行政法通过调整行政权的运用和行使，调整着公共利益与个人利益的平衡，在实现公共利益和行政职权的同时，也担负着保护个人信息的重要使命。

事实上，实践中的大多数侵害个人信息权利的行为处于民事侵权与刑事违法之间，属于一般性的违法行为，如果缺少行政责任的追究机制，不但会影响信息社会高质、高速发展，也会造成公民权益保护不足的情况。为此，在保护公民个人信息权益方面，行政法起到了弥补民法和刑法不足的作用，当行为人侵害的法益超过了民法保护范围，但没有达到刑事制裁的标准时，就需要由行政法来对这种行为进行规制。

三、我国行政法对个人信息保护的不足

（一）个人信息保护的行政立法散乱

目前，我国尚没有统一的个人信息保护立法，《政府信息公开条例》《征信业管理条例》等一些行政法规对部分行业的个人信息保护进行了规范。部分行业立法中虽然有对个人信息保护的规定，但却比较分散。例如，保护个人金融信息的立法主要有《商业银行法》《征信业管理条例》《个人存款账户实名制规定》等；电信互联网行业的个人信息主要由《电信条例》《电信与互联网用户个人信息保护规定》加以保护；个人健康信息主要由《精神卫生法》《人口健康信息管理办法》加以保护；个人快递信息主要由《邮政法》《寄递服务用户个人信息安全管理规定》加以保护。但是，这些立法没有形成法律制度体系，个人信息保护法条之间多有重复，甚至出现相互冲突的情形，导致了对个人信息保护的理念、原则、权责等方面缺少一致性和标准性，同时也导致了立法成本的增加和立法资源的浪费。并且，立法规则过于原则化，缺乏执行性，以致出现了立法空白和法律漏洞，难以适应大数据发展背景下公民个人信息保护的新需求。

（二）缺乏专门的行政监督管理机构

当前，我国的国家机关序列中没有建立专门的个人信息监督管理机构，不同的个人信息由不同部门掌握和监管。例如，劳动人事部门掌握人事档案信息；公安部门掌握户籍、家庭成员、住址信息；税务部门掌握纳税信息；金融部门掌握账户信息、财产信息、交易信息；教育部门和学校掌握学籍信息和教育信息；电信、医院、民航掌握着公民的通信、就医、出行信息。在这些单位中，有的是行政机关，有的是具有公共管理职能的企事业单位。实际上，对于这些单位收集、处理、利用个人信息的情况，都需要行政机关进行监督和管理。但是，从目前来看，这些分散的监督管理机构在个人信息保护中的作用并不突出，原因在于这些机构的传统职责中并没有个人信息保护，个人信息监管工作也缺少上位法授权，再加上各部门之间职责重合，监管界限不清，导致部门之间相互推诿，个人信息保护监管效果不佳。

（三）个人信息行政法保护机制不健全

我国行政机关、司法机关以及学校、医院、银行等被授权行使公权力的组织，都会对个人信息进行收集、使用和处理。公民在日常活动中，如网上购物、宾馆住宿、订外卖都会登记个人信息。信息控制者掌握的这些信息面临着被二次利用的风险，需要规范信息控制者处理信息的行为，减少对信息主体个人信息权益的损害。但是，我国现有法律、法规中缺乏对信息控制者收集、使用、处理个人信息的详细规定。

在法律救济层面，个人信息受到侵害的行政法律救济途径主要有三种：行政复议、行政诉讼、行政赔偿。日常工作中，行政机关往往更注重收集和使用个人信息，因而个人信息保护相关法条中大多只规定了工作人员的保密义务，而对个人信息受到侵害时的救济规定不足，尤其是个人信息救济方式缺乏可操作性程序，导致行政和司法实践中公民寻求行政救济比较困难。

四、完善我国行政法对个人信息保护的建议

（一）尽快出台个人信息保护法

个人信息权是公民的基本权利，保护这项权利既是维护国家安全和公共安全的需要，也是促进互联网经济健康发展的迫切需求。然而，我国已有的个人信息保护有关法律法规已不能满足现代经济社会发展的需求，应加快制定我国《个人信息保护法》。制定《个人信息保护法》既有利于个人信息的保护，更能为我国互联网企业开拓海外市场提供良好的信誉保证。

从世界范围看，个人信息保护的模式主要有三种，即德国模式、美国模式和日本模式[8]。德国是统一立法模式，选取“个人资料”作为基础概念，以信息自决权和人格权作为权利基础，制定一部综合性的个人信息保护法来对个人信息进行保护。美国采用分散立法方式保护个人信息，制定了《隐私法》《隐私保护法》《儿童在线隐私保护法案》等部门法，与行业自律和市场调节机制相结合[9]。日本模式可以称为统分结合立法模式，日本近些年相继制定了1988年《行政机关电脑处理个人情报保护法》，2005年《个人情报保护法》以及2015年《个人情报保护法》。《个人情报法》是日本保护个人信息的基本法律，该法规定对于医疗、金融等特殊领域，可以单独制定法律，而对于民间行为，该法只制定了个人信息保护的最低标准，各个行业可以根据实际情况制定不低于最低标准的行业规范。

本文认为，我国应借鉴德国立法模式，立足于我国的法律制度和经济发展实际情况，制定一部统一的《个人信息保护法》，以促进个人权利和社会经济的协调发展[10]。目前，《个人信息保护法》已经纳入到十三届全国人大常委会的立法规划中，学界普遍认为，此轮《个人信息保护法》的立法应当尽量明确个人信息的范围和权利内容，明确规定信息处理主体收集、处理、利用个人信息的基本原则和规范，明确个人信息保护专门机构的权利和义务，以及出台个人信息受侵害时程序清晰、可操作性强的救济途径①。

（二）建立专门的个人信息行政监督管理机构

个人信息保护的法律实践具有较高的技术成分，需要具备一定经验的、高素质的安全技术人员熟练地运用法律和信息技术知识对相关问题加以分析和解决。因此，很多国家和地区都设立了专门的个人信息保护机构。例如，英国设有数据保护专员，葡萄牙设置了国家数据保护委员会，丹麦设置了信息保护局，法国设置了国家信息处理与自由保护委员会，加拿大设有专门的隐私专员。欧盟则专门设立了监督机构来监管个人信息收集、流通和使用，并要求每个欧盟成员国都要设立一个或多个个人信息监管机构，监管机构应当保持完全的独立性，其在行使权力时不受外部影响，法律赋予监管机构必要的执法权、调查权、处理投诉权和行政处罚权。又如，德国的《联邦数据保护法》规定，自动处理个人数据的公共机关和私营机构，都应当书面任命一名数据保护官。这名官员应直接从属于公共机关或者私营机构的领导者，其任务是致力于使《联邦数据保护法》和其他关于数据保护的法律规定得到遵守。联邦政府应设立联邦数据保护和信息自由专员，作为联邦最高的数据保护机构，联邦数据保护和信息自由专员应当监督联邦公共机关遵守《联邦数据保护法》和其他数据保护规定的情况，还可以监督联邦公共机关获得的关于书信、邮政和电信的内容、细节的个人数据和属于职业秘密或者特殊官方机密的个人数据，尤其是税法典第三十条规定的税务秘密。联邦公共机关有义务协助联邦数据保护和信息自由专员检查其有权监督的文件，尤其是储存的数据和数据处理程序。联邦数据保护和信息自由专员对违反《联邦数据保护法》和其他数据保护规定的行为或者其他个人数据处理和使用中的违法行为，有权向相关机构提起控告。

在个人信息泄露事件频发的情形下，我国迫切需要建立一个专门且权责明晰的监督管理机构，担负起保护个人信息的职责，构建我国个人信息保护监管新秩序。本文认为，可以借鉴国际上通行的做法，监督管理机构的职责包括但不限于：起草个人信息保护法律、法规和政策，推动立法和政策落地；开展旨在提高公众个人信息保护意识的教育活动；接收与个人信息保护有关的投诉，监督投诉问题的处理结果，为公民提供维权服务；对个人信息保护法律、法规的适用作出解释性说明和指引；对侵害个人信息的违法行为进行调查取证，依法及时予以惩处。

（三）完善个人信息行政法律保护机制

个人信息的法律保护机制分为一般机制和特别机制。一般机制主要是调整个人信息主体的实体权利义务，特别机制是对个人信息控制者的信息利用环节加以规制。

1.完善行政监管制度

在信息社会里，政府既是信息的利用者又是管理者。一方面，政府为了社会管理和社会福利的需要，必须要掌握公民的个人信息。另一方面，在特定情况下，政府需要对个人信息私权利进行必要干预。当前，互联网技术的发展使收集个人信息变得更加容易，更为严重的是，一些商家共享甚至买卖收集来的个人信息，这种随意收集个人信息的趋势仍在加剧。为此，行政法要加强对个人信息控制者的行政监管，以保护信息主体的合法权益。首先，要对政府部门和从事公共事务的企事业单位收集个人信息的权力加以限制。收集处理个人信息要遵循合法、正当、必要、公开原则，除法律、行政法规另有规定外，收集个人信息要征得自然人或者监护人同意，不得过度收集信息，要告知收集、处理个人信息的目的、方式和范围。其次，要对个人信息的使用进行全程监管。要做好个人信息获取的事前准入审核工作，审核信息控制者掌握某项个人信息的必要性，是否有相应的技术和措施保障个人信息安全。做好对信息控制者使用个人信息情况的监督，监督其对个人信息的使用程序、使用范围是否符合规定和要求。如果发现信息控制者存在违法情况，应由专门机关依照法定程序对其行使处罚权。再次，要做好政府内部管理。各管理单位应明确哪些人员因工作需要有权限接触个人信息数库，制定个人信息数据库登记制度，设置保护措施避免随意下载数据。

2.完善行政救济手段

欧盟《通用数据保护条例》第七十七条规定，每个数据主体都有权向监管机构进行申诉，监管机构应当告知申诉者申诉的进程和结果；第七十八条规定，任何自然人或法人都有权对监管机构具有法律约束力的决定获得有效的司法救济；第八十二条规定，任何因为违反条例而受到物质或非物质性伤害的人，都有权从控制者或数据者那里获得相应的赔偿。新加坡《个人信息保护法案》规定，如果对个人信息保护委员会的决定不服，既可以向个人信息保护委员会申请复议，也可以向上诉委员会提出申请。如果既提出了复议又提出上诉的，复议程序自动终止。如果进行了复议，对复议结果不服的，可以提出上诉申请。对上诉委员会的处理结果不服的，可向法院起诉。

在我国目前的法律规范中，没有明确说明侵害公民个人信息权益的行政行为是否可列入行政复议的范围。因此，有必要通过立法将该行为纳入行政复议范围之内，由复议机关对原行政机关处理个人信息的行为进行监督。我国行政诉讼法规定的行政诉讼受案范围比较狭窄，条文中并没有规定哪些侵犯个人信息权益的行为可以提起行政诉讼，应通过立法列举的方式明确将侵害公民个人信息权益的行为纳入到行政诉讼受案范围。并且，如果行政机关侵犯了公民的个人信息权益，公民也应有权要求在损失范围内获得国家赔偿。