王春业 费博

[摘 要]大数据时代，对个人信息收集和使用越来越频繁，在带来更多便利的同时，存在市场主体对个人信息收集和使用的诸多乱象，包括收集的随意性、过度性及对信息的管理和使用缺乏规制，严重损害公民的权利，甚至诱发许多犯罪行为，迫切需要行政法的介入和规制。个人信息保护涉及众多人的利益，行政法规制具有现实的必要性。与民法保护、刑法规制相比，行政法规制具有对个人信息保护的完整性、系统性及更加快捷、高效等特点，更适应大数据时代的现实需要。加大行政法的规制，关键要建立和完善个人信息行政许可制度，避免对个人信息收集的随意性，从源头上加以控制;完善定期检查制度，建立信息使用留痕可追踪制度，创新动态化的监测评价机制;探索多种责任追究方式，使违规者受到应有惩罚。

[关键词]大数据时代;个人信息保护;行政法规制

中图分类号：D923 文献标识码：A 文章编号：1008-410X（2021）03-0072-08

当代社会，个人信息在社会交往中所承载的功能越来越多，其发挥的作用也越来越大，在个体参与社会化活动的过程中发挥着愈来愈重要的功能。尤其是随着网络信息技术的发展，人们利用个人信息参与社会交往，开展经济活动，参加诸如求职、购物、旅游等活动已经成为当代公民生活的常态。然而，如何确保在顺利进行社会活动的同时保护合法权益，防止相关公司企业等市场主体随意收集和滥用公民个人信息，甚至因管理不善或故意买卖而泄露个人信息现象的发生，成为当下必须解决的问题，也是目前需要加强研究的问题。

一、对个人信息收集和使用出现的问题及其后果

（一）对个人信息收集和使用出现的问题

随着信息时代的到来，需要提交个人信息的场合越来越多，有些是必要的，广泛存在于求职、购物、疫情防控等与公民生活息息相关的领域：在个人求职时，必然需要提交较为完整的个人简历，以便让用人单位对求职人员有充分的了解，其中涉及个人的诸多信息，而且一般都需要通过网络信息平台进行提交;在购物时，需要通过购物平台递交邮寄商品的个人住址、手机号码，有的还需要身份验证等，以便准确发送所购买的商品;为了防控疫情，各地使用了健康码，需要下载相关软件，填写个人身份证号码、手机号码、家庭住址、行踪等个人信息。然而，并非所有对个人信息的收集都是必要的，也存在许多不必要而随意收集的现象，以至于出现一些乱象。

1.收集的随意性。由于在信息收集前不需要批准或履行特定程序，一些主体尤其是市场主体往往自行决定收集个人信息的内容、范围甚至深度。现实生活中就出现了某居民小区安装人脸识别系统，对业主的人脸图像、身份等信息进行收集的现象;甚至有公厕要求必须通过人脸识别才能取用卫生纸

。一些企业公司往往通过店堂告示和短信方式通知消费者提供个人信息，对于收集消费者什么样的个人信息，怎样收集个人信息，企业公司则享有控制权和主导权。“在整个信息处理过程中，信息主体始终处于被动的境地，甚至对于自己的信息如何被收集、处理及使用的都全然不知”[1]。

2.收集的过度性。理论上讲，任何单位收集个人信息都应当以自身需求为限，本着保护个人隐私和最小干预的原则进行收集。然而，由于当前应当以什么样的标准去界定收集个人信息的刚性规定不足，导致许多主体存在着超过自身需求而过度收集公民个人信息的现象。特别是一些单位往往以所谓的公共安全、管理需要为借口，过度收集甚至滥用公民个人信息，“商品服务提供者会尽可能对个人信息进行全面采集和分析，出现超范围收集，诱导式收集”[2]。一方面，从市场主体参与经济活动的角度来看，在中国人脸识别第一案即郭某诉杭州野生动物世界的案例中，除了体现当代公民对个人信息保护的意识不断增强外，当前诸多市场主体存在对公民个人信息过度收集的现象也可以透过本案予以折射。

各类市场主体往往基于谋取经营利润、扩大经营规模的目的，从自己的角度出发去决定收集个人信息的范围、程度和方式。从这样的单一视角出发所作出的行为，若没有刚性法律法规的有效制约，容易导致漠视公民个人信息所隐含社会价值的不良后果。从开始收集姓名、手机号码，到后来收集指纹、人脸识别等更加敏感和重要的个人信息，呈现收集的过度性问题。另一方面，从当前城市化过程中社会管理的角度来看，亦需要处理好有效管理与合理使用公民个人信息的关系。诚然，通过互联网、大数据的信息分析能够有效实现城市各个领域管理的智能化、规范化，但哪些管理手段的运用需要收集公民个人隐私信息？要想在这些领域实现高效管理的效果是否必须牺牲部分的个体隐私？这些都是有待于进一步探讨的问题。

3.信息使用缺乏规制。任何主体出于管理的需要，对收集到的个人信息都应当限于工作上的使用，而不能用到管理之外。然而，一些主体，尤其是一些企业公司超出自身的使用范围，运用到不该使用的领域;不仅自己使用，还放任其他主体使用;还因信息管理不善，出现买卖个人信息的现象。在招聘领域就有某些平台对外明确表示，要想获得其他人在该网站上投递的简历信息，“只要购买企业招聘账户，在平台上进行充值，就能查看、下载简历”[3]。在这些网络招聘平台中，往往借用充值的表象间接贩卖个人信息，这种对于查看他人信息的权限没有有效规制的行為极易成为非法交易个人信息的重灾区。

（二）对个人信息收集和使用缺乏规制的严重后果

对个人信息收集和使用不当，甚至泄露、买卖等，产生了诸多问题，引发更为严重的后果。2020年12月7日发布的《中国网络诚信发展报告》显示，28.5%的被调查者表示曾经常遭遇个人信息泄露，32.7%的被调查者表示有时遭遇个人信息泄露。

1.对公民个人权利造成严重侵害。个人信息涉及公民诸多重要信息，相关主体的随意过度收集和违规使用等对公民权利造成多方面危害，其中最主要的是对公民隐私权的侵犯及由此而来的对公民日常生活的影响。首先，侵犯了公民隐私权。所谓隐私，是指涉及公民个人且除非出于必要外公民一般不愿对外公开的信息。一些主体滥用优势地位，过度收集公民个人信息，是对公民隐私权的侵犯;而那些滥用甚至泄露、买卖个人信息的行为，更是对公民隐私的最大侵犯。当下，一些市场主体在日常经营中会接触到大量用户的个人信息，有些互联网企业本身就是通过数据来实现盈利的。

在这种情况下，由于相关主体对用户个人信息的使用没有较为统一严格的标准，加之内部管理存在的缺陷，导致泄露个人信息、侵犯公民隐私的现象时有发生。其次，破坏了公民生活安宁状态。

个人信息被泄露之后，就容易成为各类商家的“潜在目标”而遭遇大量的电话和短信骚扰。

甚至由此还出现个人名誉无端受到诋毁等问题，严重破坏了个人正常生活的安宁。再次，给公民日常交往带来诸多烦恼。

为了便于与亲朋好友联系，公民一般都建立了好友通讯录，有了较为固定的联系人。而一些科技公司在公民下载或使用某APP时，往往变相要求公民授权公司访问其私人空间，包括使用其通讯录。在获取公民个人隐私信息后，一些广告公司不仅向使用APP的公民发送各类骚扰信息，还向该公民通讯录中的其他联系人发送，且在发送时标注该公民的个人信息，以此获得其他联系人的信任，由此造成公民与其联系人之间的误解，带来交往中的各种烦恼。

2.为违法犯罪行为提供了温床。“在大数据时代，网络信息具有高价值属性，网络信息在被非法获取、非法传播和非法滥用之后，往往会伴随着进一步侵害相关权益的后续犯罪行为，这是网络安全犯罪产业链的最后一环”[4]。个人信息包含了众多有价值的信息，例如，在招聘简历中就有个体的身份证号、照片、手机号码等重要信息，有的还涉及公民的購物、住宿、行程轨迹等记录，这些个人信息一旦被泄露，极易被不法分子非法利用，为他们的犯罪提供温床。目前，许多侵犯人身安全类型的犯罪，如非法拘禁罪、绑架罪等均与犯罪分子掌握了受害人的精确个人信息有关。此外，在当今网络时代，传统的侵犯公民财产权的犯罪行为已经逐渐转移到网络空间，犯罪分子通常根据被害人的相关信息编辑有针对性的诈骗短信，诱使受害者落入圈套，也经常利用其获得的受害人个人信息在网络上实施诈骗、盗取银行账号等违法犯罪行为。网络信息技术的发展提升了个人信息的重要地位，增加了其社会价值。个人信息已经不再纯粹地只是个体参与社会交往的符号，更多地与私主体的人格利益、财产利益紧密联系。分析诸多网络诈骗案件，追根溯源大多是因为网络服务的提供者和经营者没能很好地履行有效保护个人信息的义务，导致消费者的详细购物信息被泄露，造成诈骗案件的发生。虽然在这些案件中部分消费者也存在防范意识不强、主观上疏忽大意等过错，但不可否认的是网络平台和销售公司在个人信息使用方面存在管理缺陷。市场主体对于个人信息保护的缺失极易诱发关联犯罪行为，不仅给受害者带来伤害，也给整个社会造成极大恐慌。

二、加强个人信息收集与使用行政法规制的必要性与可行性

（一）个人信息收集和使用涉及公众利益

1.社会性侵权现象使得众多人权利受到侵犯。“小数据时代的个人信息侵害事件具有孤立性、个体性、静态性，基本可以还原为信息处理者对某一信息主体的单独侵权。而大数据时代的个人信息侵权以社会性侵权为主”[5]。所谓社会性侵权主要指，由于集中大量个人信息的企业公司自身的疏忽而导致大规模的信息泄露。2020年发生的圆通公司内部员工与外部不法分子相互勾结共同贩卖涉及大量公民个人信息的事件就是一个典型的社会性侵权事件[6]。随着个人信息数据集中在部分市场主体手中，其被泄露的潜在风险也在增加。这种大范围的信息泄露由于其损害后果难以控制，一旦发生，救济的难度也比以往更大。2019年耿某以谋取不法利益为目的，将其在一家早教公司任职期间所获取的3549条个人信息进行非法出售，导致大量公民个人信息被泄露。

在这起事件中，被告人耿某所任职的早教公司同样难逃信息泄露的责任。可见，个人信息收集和使用及由此造成的严重危害结果已不仅仅关乎个人权益，在更大程度上成为一种亟待解决的社会问题。

2.“大数据杀熟”现象影响了众多消费者的选择权。在当今市场经济交往过程中，“网络算法技术”在互联网企业经营中扮演重要角色。通过对收集而来的海量个人信息进行分析整理，了解用户喜欢什么类型产品、其购买习惯和购物倾向等;通过对消费者在网络上的浏览记录、购物记录的分析，互联网企业可以针对不同的消费者制定不同的策略。互联网企业根据用户的个人信息精确推送相关产品信息，让购买者的眼光局限于被商家划定的范围，损害了消费者在同等情况下广泛选择商品的权利，其中，“大数据杀熟”现象是近段时间的社会热点。“大数据杀熟”是指互联网企业通过分析对比不同消费者的购物信息，对消费者的消费倾向和习惯作出预测，根据用户的差异收取不同费用。“当平台经营者拥有市场支配地位、数据的收集与运用能力，将会积累起隐性侵害熟客消费者的能力”[7]。2019年3月北京市消费者协会发布的“大数据杀熟”问题调查结果显示，88.32%的被调查者认为“大数据杀熟”现象普遍或很普遍，56.92%的被调查者表示有过被“大数据杀熟”的经历[8]，由此造成众多消费者丧失了对不同商品价格对比和选择的权利。

对多数人利益造成侵害，对公共利益造成危害，需要公法的介入，而行政法作为典型意义上的公法，对于保护众多人利益具有非常重要的作用。社会经济的发展和运行当然需要自由市场规则的约束，也允许各类社会组织的自治，但如果某种事物的发展超越了市场规则调控能力和范围，并且对社会大多数人的利益或社会利益造成重大影响时，就需要行政法的介入来保障公共利益得以有效维护。这是当前我国行政法介入市场主体活动、调整个人信息收集和使用的理论基础。“公共利益应当成为行政法适用和解释的普遍原则，一切行政行为的目的、动机和旨趣皆应着眼于维护和促进公共利益”[9]，“不少学者已经明确意识到个人信息上并非仅有私法属性，还具有某种公共利益的属性”[1]，基于维护公共利益的角度，应当由行政法介入、调整和规范。

（二）行政法对于个人信息保护具有完整性和系统性

对公民个人信息权利的保护，有民法和刑法的保护，并都具有一定的效果，但其不足也是显而易见的。

就民法保护而言，民法典的出台对个人信息保护问题作了积极回应，将个人信息作为一项新的人格利益予以保护。民法典第111条规定：“自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息”。据此，自然人的个人信息遭受侵害的，可以依据民法典的规定对自己合法权益予以保护。然而，通过民事救济方式来保护公民个人信息仍然有诸多局限。一是民法对个人信息的保护范围不够完善。虽然民法典第1034条规定了“个人信息包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等”，但除此之外的其他个人信息能否都将其认定为民法所保护的民事权益，这个问题尚待解决。“以传统民事权利话语体系界定个人信息权利，将个人信息保护纳入私法人格权范畴，与隐私权并列在一节中，必然会出现逻辑矛盾与实践冲突”[10]。二是民法保护忽视个人信息保护的社会效果。民事法律往往强调个人信息受到侵犯后对个人的补偿和赔偿，却忽视已经造成的信息泄露的社会风险，当出现经济或精神损失的时候对受损方予以补偿，而对造成信息泄露的社会风险如何来调控，民事法律规范没有办法解决。

就刑法保护而言，刑法是事后惩戒的规制方法，对严重破坏社会秩序的犯罪行为予以最为严厉的刑事制裁。当前涉及个人信息收集和使用而侵犯公民权利可能触及犯罪的，主要有刑法第235条之一“侵犯公民个人信息罪”和第286条之一“拒不履行信息网络安全管理义务罪”，对这两种犯罪都通过司法解释的形式规定了构成犯罪所要求的泄露个人信息的数量。然而通过刑法规制并不能达到完全打击对个人信息泄露行为的社会效果。

一是刑法规制忽视先期阶段信息泄露风险。大数据背景下隐私信息的泄露可分为前期市场主体对个人信息收集和使用的环节及后期阶段个人信息被非法买卖的环节。刑法更强调后期阶段对非法交易个人信息行为的处罚而忽视前期阶段已有的信息泄露风险。在周某非法买入个人信息案中，涉案当事人虽然受到了法律的严惩，但非法买入的个人信息是如何获得的，这些个人信息流入市场又经历了怎样的非法流转？这些前期个人信息泄露的风险及其防控显然不在刑法的规制范围内。二是刑法规制个人信息泄露类行为的预防性效果不明显。针对个人信息泄露和买卖的违法犯罪行为，刑法通过对涉事单位和个人以严厉的惩罚来达到特殊预防的作用。然而从整体上看，个人信息从收集、正常使用到非法泄露是一个复杂的过程，仅仅在已经发生信息严重泄露后对其进行惩罚难以达到一般预防的社会效果。

可见，虽然刑法和民法分别通过相应规则对侵犯公民个人信息的行为进行弥补或惩罚，但都是基于个人信息出现被泄露的损害后果之后进行的。“我国现行立法关于个人信息保护的规则主要是从基本民事权利的角度作出规定，此种粗线条的规则可能无法为特定场景下个人信息权利的保护确定具体规则”[11]。应建立一套完整的关于个人信息从收集到最后有效发挥价值的全流程制度，只有这样才能基于事前预防和有效管理的角度保护社会化的个人信息，而不是坐等发生严重后果时才去弥补。与刑法、民法基于社会关系受到破坏和个人权益受损后的救济不同，行政法对个人信息保护不是基于某一个点，而是基于一个完整的覆盖面。通过行政法的规制，可以解决个人信息如何收集、如何使用及市场主体如何流转个人信息等一系列问题。因此，有必要通过完善行政法律法规，构建对个人信息防护的立体网络，从源头上解决侵犯个人信息的诸多问题。

（三）行政法规制具有快捷高效的优势

与其他保护方式相比，行政法规制具有快捷、高效的独特优势。以与民法保护比较为例，一方面，民事法律对个人信息的保护存在过程漫长、举证复杂等特征。受害人因为个人信息被泄露，如果想通过法院审理程序获得赔偿，不仅前期要搜集证据，往后也要经历开庭、举证、宣判、执行等较为漫长的过程，“由于传统侵权法对损害要件强调存在‘实际经济损失或‘严重精神损害，受害人受举证责任规则的约束，事实上也难以得到法院支持赔偿的判决”[12]。行政法规制对个人信息保护则不同，其强调高效、快捷地制止各种违法行为，可以及时有效地填补相关过程中存在的漏洞。另一方面，用民事规制的方法由公民个人进行维权，秉承不告不理原则，往往还会出现因为被侵权人的“忍气吞声”而放纵侵权行为的现象。

而行政法规制，即使被侵害人不主动维权，相关部门发现后也有权主动介入，不仅贯穿事前预防、事中监督和事后处理等个人信息保护的全过程，也可以综合运用包括风险管理、调查和处罚等多种手段，在制止侵权行为方面具备快速和便捷的特点[13]。

实际上，针对日常生活中个人信息受到非法收集和使用的现象，越来越多的民众选择向有关部门进行举报。自2019年1月起，“中央網信办、工信部、公安部、市场监管总局联合开展APP专项治理行动以来，相关举报平台已收到近8000条举报信息”[14]。随着个人信息在公民参与社会交往中作用愈加重要，社会公众对保护自己隐私信息呼声也日渐高涨，对加强个人信息收集使用的行政监管呼声日趋强烈，更显示行政法在保护个人信息中的独特作用。

三、个人信息收集和使用的行政法规制路径

（一）建立个人信息收集的行政许可制度

作为一种具有社会价值的资源，对个人信息收集和使用不应毫无限制，应当建立门槛化的信息收集标准，有利于对个人信息进行完整保护。针对当前市场领域许多主体随意收集公民个人信息的乱象，有必要考虑建立对个人信息收集的行政许可制度，“行政许可，系指特定的行政主体，根据行政相对人的申请，经依法审查，作出准予或不准予其从事特定活动之决定的行政行为”[15]（P263），相关主体只有在行政机关审查并被赋予相应资格后，才能对公民个人信息进行收集，否则，就是违规。这样制度设计的优势在于：一是能够有效规范相关市场主体的信息收集行为，有效避免对个人信息收集的随意性;二是能够明确市场主体收集和使用个人信息的权限，有效避免超越需要的收集行为;三是有助于强化企业责任，促进各类主体加强自我管理和自我纠错。

1.明确个人信息收集的“不可替代”原则。当前，关于经济生活中对个人信息进行收集要坚持必要性原则已成为社会关注的重要内容，必要性原则在相关部门所制定的管理办法中已经有所体现，在2020年国家互联网信息办公室发布的“应用程序必要个人信息范围”征求意见稿中，就对38类常见应用程序必要个人信息范围进行了分类整理[16]。然而，从当前经济社会交往现状看，该必要性原则仍然存在进一步完善的空间。在相关规范中体现的必要性原则往往以“提供服务所必需”“基于管理的需要”等内容体现出来，但仅仅考虑该个人信息是否为提供服务所必需似乎不能有效界定其必要的程度。为此，当下在对个人信息收集的行政许可中，不仅要将必要性作为一个重要原则加以明确，并作为行政许可的重要前提，还要进一步将其发展为“不可替代”原则，在必要性原则中加入“不可替代性”的考量因素，只有信息收集者证明该个人信息的收集不仅仅是必要的，而且不存在其他可替代性措施时，才符合信息收集的条件，才能获得信息收集的行政许可。

2.实行信息收集的多元许可标准。个人信息内容的丰富多样，在不同领域不同经济交往中需求也不同。“现今越来越多的学者及机构倾向认为，隐私及个人信息保护的边界并非固定、僵化的，而是主观的、动态的，并受多重因素影响，何以构成个人信息的合理使用，在不同的场合均不尽相同”[17]。因此，行政机关对于个人信息收集的许可中，应避免采取“一刀切”方式，而应当结合当前经济社会活动的不同领域制定多元化的信息许可标准，才能够保障在经济社会活动各领域信息收集的安全性和使用的有效性。

一是根据不同行业领域确定不同标准。随着经济的深度发展，新的市场消费模式不断涌现，整个市场被划分为不同的消费领域。虽然个人信息成为当今人们进行经济交往和社会交往经常使用的工具，但并不是每个领域对于个人信息的需求都是相同的。有些涉及高度秘密性和隐私性的经济交往通常需要更多更完整的公民个人信息，而有些具有一定社会公开性的领域，则只需收集简单或初步的个人信息即可。为此，需区别不同行业领域，明确其信息收集的具体权限，并采取相应的许可标准。二是根据对个人信息使用目的来确定许可标准。按照不同行业领域初步划分不同主体信息收集的标准后，还需进一步针对具体市场主体的经营目的确定更为具体的许可标准。即便是在同一市场领域，不同主体由于其具体经营需求和目的不同，对于个人信息的收集也并非完全一样。

3.加强行政许可中申请材料的完备性审查。申请收集个人信息的相关市场主体应当基于自身经营目的和实际需要，向行政机关提交申请资料;在收到申请后，相关行政机关应当按照法律法规和申请主体情况进行评估，若认为该主体的信息收集行为符合法律法规，同时与该主体的自身需求相契合，就可以为其颁发信息收集许可证。

申请主体所提交的申请资料应当包含收集个人信息的类型、信息收集的作用、信息使用具体规则、提供技术支持的相关公司信息等。这里尤其要加强对提供技术支持的公司情况的审查。由于个人信息收集的行政许可不同于一般意义上的行政许可，在各类市场主体利用大数据收集个人信息时，经常会聘请相关技术公司作为技术支持，由这些技术公司对个人信息的收集和使用提供帮助，而这些提供技术支持的公司，往往在公民个人信息收集和使用中起到关键的作用。如果对他们不进行有效监管，就难以真正实现对公民个人信息的有效保护。根据当前状况，消费者在与各类主体进行经济交往时，普遍反映针对个人信息管理和运行的透明度不够。许多消费者既不清楚在公司企业背后负责管理个人信息的相关主体是谁，又对这些市场主体能否保障信息安全不尽了解。当大数据技术提供公司信息“不透明”成为普遍现象，个体维护自己的信息安全更无从谈起。因此，在信息收集主体申请行政许可时，行政机关应当督促这些主体完善申请信息，不能忽视技术支持的关联企业，应将这类技术公司的相关情况也作为申请材料的一部分向行政机关提交并接受行政机关的审查。

（二）建立动态化监测评价机制

建立各類主体对信息收集的许可制度，弥补了在个人信息收集环节缺乏监管和规制的缺陷。但如果只有在初始阶段的信息收集许可而没有对后续个人信息使用的持续监管，同样不能堵住个人信息泄露甚至买卖的漏洞。以往行政许可只在企业违反法律法规规定时才对其进行处罚，达不到应有的目的和效果。因此，完善行政许可之后的事中监督检查机制必不可少。换言之，市场主体对信息收集的权限不应当是“一朝许可”而获得“终身权限”，注重企业获得行政许可之后的运营和管理同样重要。

1.完善定期检查制度。“个体的信息安全若想得到有效和及时的保护，对于数据运营者和控制者的责任规制就显得尤为必要”[18]。出于对个人信息安全的考虑，完善定期的监督检查制就显得非常必要。有时市场主体在对个人信息收集时其行为并无不妥，使用中却出现了违法违规问题。信息收集的合法合理并不能保证信息使用环节不出现疏漏，两者一个是前期信息收集的权限问题，另一个是中期过程中信息管理的规范问题。各类主体特别是私营公司企业，要想达到个人信息使用环节的低风险目标，就需要通过加强内部管理规范，完善体制机制来实现。而这个过程的实现，既需要企业自身发现问题及时纠正，又需要行政机关外部的合理监督。相关行政机关必须建立常态化的监测评价机制，发现相关主体在个人信息管理和使用方面存在的问题，及时采取措施督促其限期整改，并与其收集和使用个人信息的权限挂钩。只有这样，信息收集权限的许可才是一个动态可评价的状态，有利于加强对信息收集使用的有效监管。

2.建立信息使用留痕可追踪制度。在大数据背景下，如果不注重对信息使用痕迹的追踪，在发现信息泄露、滥用等问题时，很难对相关责任主体进行追责和惩罚。因此，在对个人信息使用领域确立可追踪原则是保护个人信息的必然要求，也是有效推进信息泄露、滥用等行政问责的必要保障。要通过行政法律规范确立信息收集主体使用信息可追踪原则，明确各类市场主体对其收集个人信息的使用应当“留有痕迹”，记录网络后台数据海量的个人信息用在什么地方、如何被使用等“痕迹”，确保可以被追踪，有利于督促众多市场主体转变原来的信息使用方式，为个人信息安全提供有力保障。

（三）探索多样的责任承担方式

1.完善全链条式的行政追责机制。现实中，行政机关针对侵犯公民个人信息的行为往往只对直接的主体进行追责，没有对其他相关主体一同追责，不能有效切断信息泄漏、滥用、买卖等全部链条。实际上，对公民个人信息的侵害往往涉及较多主体，不能仅对其中某个或某几个主体进行处罚，而应该让涉案的全部主体承担相应的法律责任。既要对违法使用者进行追究，也要对信息的来源、传输等环节上的主体进行制裁，对所有与侵犯该个人信息相关的链条企业进行处理，由此建立一个全链条式的追责机制。只有这样，才能够更有效地打击各类侵犯公民个人信息的行为。

2.运用多种行政手段加大惩罚力度。“目前我国行政法律法规对侵害个人信息行为的行政罚款多采取封顶式，罚款额度各异，最高也未超过100万元，从具体的行政执法实践来看，罚款金额也普遍较低”[19]。实际上，当前对侵犯公民个人信息行为不仅存在罚款力度偏低问题，更重要的是，以行政罚款为主要惩罚方式具有较大片面性。单纯通过行政罚款的手段去监督相关市场主体行为，可能会因为罚款力度不足而难以引起相关企业的重视，因此，有必要运用多种行政制裁手段。一是吊销相关主体对个人信息收集的许可，或降低其收集信息的范围和权限，达到剥夺或减少其收集个人信息权限的目的。二是将违规收集或使用个人信息的主体纳入征信系统，进行失信惩戒。一方面，对管理不严、贩卖个人信息谋利的企业向社会公开，提醒广大公民警惕;另一方面，对其相关行为或权利予以限制，达到降低名誉、限制权利等多重效果，并将其对个人信息收集与使用情况与其在该领域的行政许可挂起钩来。

参考文献：

[1]时明涛.大数据时代个人信息保护的困境与出路——基于当前研究现状的评论与反思[J].科技与法律，2020，（5）.

[2]朱方彬，宋宗宇.大数据时代个人信息权保护的法制构建[J].山东社会科学，2020，（7）.

[3]赵红斌.杜绝简历倒卖招聘平台责无旁贷[N].嘉兴日报，2020-12-09.

[4]田 刚.网络信息安全犯罪的定量评价困境和突围路径——大数据背景下网络信息量化标准的反思和重构[J].浙江工商大学学报，2020，（3）.

[5]王怀勇，常宇豪.个人信息保护的理念嬗变与制度变革[J].法制与社会发展，2020，（6）.

[6]岳振廷.要筑起公民个人信息安全的“防火墙”[J].企业观察家，2020，（11）.

[7]曹彦君.肆虐的大数据杀熟[J].21世纪商业评论，2021，（1）.

[8]许 诺.北京市消协发布“大数据杀熟”问题调查结果[DB/OL].[2021-02-13].http：//www.xinhuanet.com/fortune/2019-03/28/c_1124292767.html.

[9]刘 国.个人信息保护的公法框架研究——以突发公共卫生事件为例[J].甘肃社会科学，2020，（4）.

[10]周汉华.个人信息保护的法律定位[J].法商研究，2020，（3）.

[11]王叶刚.网络隐私政策法律调整与个人信息保护：美国实践及其启示[J].环球法律评论，2020，（2）.

[12]孙 莹.大规模侵害个人信息高额罚款研究[J].中国法学，2020，（5）.

[13]邓 辉.我国个人信息保护行政监管的立法选择[J].交大法学，2020，（2）.

[14]中央网信办.APP专项治理行动已收到近8000条举报信息[DB/OL].[2021-03-10].http：//it.people.com.cn/n1/2019/0916/c1009-31355365.html.

[15]胡建淼.行政法学（第四版）[M].北京：法律出版社，2015.

[16]常见类型移动互联网应用程序（APP）必要个人信息范围（征求意见稿）[DB/OL].[2021-03-15].http：//www.cac.gov.cn/2020-12/01/c_1608389002456595.html.

[17]范 为.大数据时代个人信息保护的路径重构[J].环球法律评论，2016，（5）.

[18]曾 磊.我国个人网络信息保护立法的制度构建[J].广西社会科学，2020，（5）.

[19]关于下架侵害用户权益APP名单的通报[DB/OL].[2021-03-19].https：//www.miit.gov.cn/xwdt/gxdt/sjdt/art/2021/art_4c7c3bd89f3447e5a73f30cafe97b5ba.html.

责任编辑：陈文杰

Administrative Regulations Governing the Collection and the Use of Personal Information in the Context of Big Data

Wang Chunye， Fei Bo

Abstract：In the era of big data， personal information is collected and used more and more frequently. While bringing more convenience， there are also many

chaos， including the randomness and excessiveness of collection， and the lack of regulation in information management and use， which seriously damages the rights of citizens.Therefore， the intervention and regulation of administrative law is urgently needed. The protection of personal information involves the interests of many people， so it is necessary to regulate by administrative law.Compared with civil law protection and criminal law regulation， administrative law regulation has the characteristics of integrality， systematicness， rapidness and efficiency of personal information protection，and may meet the needs of the big data era. To strengthen the regulation of administrative law， the key is to establish and improve the administrative licensing system of personal information， to avoid the random collection of personal information and to control it from its source. We should improve the regular inspection system， establish a traceability system for information usage， and innovate a dynamic monitoring and evaluation system， and explore a variety of accountability.

Key words：big data era， personal information protection， administrative regulations

收稿日期：2021-03-12

作者簡介：

王春业（1970-），男，安徽明光人，河海大学法学院副院长，教授，博士生导师，博士，江苏南京 211100;费 博（1997-），男，河南巩义人，河海大学法学院硕士生，江苏南京 211100

本文为中央高校基本科研业务费项目“节水优先立法保障问题研究”（批准号B200207046）的阶段性研究成果。