周慧娟

(中南财经政法大学，湖北 武汉 430000）

当前，个人隐私泄露和利用非法获取的个人信息牟取不法利益甚至触犯刑事犯罪的事件时有发生。从法律规制层面来看，我国对个人信息保护的还远远没有达到理想的高度，例如国内目前还没有明确处理个人信息保护的专门机关，导致针对该事项的管辖权利比较分散的问题。本文立足于我国当前的信息产业发展现状以及相关立法的实施情况，对个人信息保护事项当中存在的突出问题加以研究和分析，从行政法的理念和视角对当中问题提出合理化建议。

一、我国个人信息行政法保护现状及问题

我国相对于发达国家而言，针对个人信息保护的法律研究是略微滞后的。当前，我国法律针对个人信息的保护规定还不够全面，在行政法领域内的立法数量更少，也尚未形成各大部门法间联动保护的体系。从我国立法实践来看，通常的做法是部门法在法律确定后再加以完善，但如此操作的弊端是时效性上的不足。

我国尚未出台专门针对个人信息保护的部门法，涉及这一方面的法律发挥散布在各种条文之中：《中华人民共和国宪法》中规定有公民人格尊严、通信秘密等内容；《民法通则》明确规定了公民的肖像权、名誉权等涉人格的权益；《刑法》中规定有侵犯公民个人信息罪。此外，我国各针对特殊群体保护的法律，例如《妇女权益保护法》《未成年人保护法》《教师法》《监狱法》等，也有涉及个人信息保护的内容。针对特殊行业和领域的法规如《执业医师法》《对艾滋病病毒病人和感染者的管理意见》等也涉及个人信息保护的问题。

在行政法规方面，根据我国现有法律法规的制定层次，主要可分为前期预防、过程监督和事后救济。现针对个人信息保护的法律法规有：前期预防阶段主要有《征信管理条例》《人口普查条例》《政府信息公开条例》《行政许可法》等加以规制；中间监督阶段有《互联网上网服务营业场所管理条例》《全国经济普查条例》；事后问责阶段则由《行政复议法》《征信管理条例》《政府信息公开条例》《婚姻登记办法》等加以规定。尽管我国在对个人信息保护方面立法成果丰富，但对于个人信息问题缺乏系统性保护。是否有必要在行政法领域出台一部专门的个人信息保护法也越来越受到相关学者和社会各界的关注。2005 年相关领域学者就完成了《个人信息保护法（专家意见稿）》，虽然该意见稿最终未被采纳，但是自此关于个人信息保护的话题和议案每年都会成为两会关注的对象。

二、域外个人信息行政法保护的实践与启示

美国是世界上最早采用法律规制个人信息保护的国家之一，其采取的模式是：由政府引导、行业协会或专门机构制定具体规章，行业通过遵守规章进行自我管理从而保证个人信息的安全流通。这种模式的形成与美国奉行的自由经济模式密不可分。1967 年《信息自由法》生效，将美国政府公开政府信息的决定权转移给了国会和法院，公众对政府信息的知情权由此确立。1974 年的《隐私法案》是美国针对公民个人信息保护问题具有重要意义的一部法律，这部法案列明了保护受众的范围、信息主体享有的权利、相关行政救济措施，并且对联邦政府管理涉个人信息保护问题提供了指引。但该法案并不适用于国会以及国会的隶属机关和法院、州政府的行政机关。从其后的发展来看，该法案遗留的问题也比较突出：首先该法案仅仅规定可管辖联邦部会以上的机构，管辖范围过小；其次法案并未明确规定专门行政监管机构。

欧盟通常制定一部适用于全行业的法律来解决个人信息保护的问题，其中典型的代表是德国的《联邦个人资料保护法》。相比美国的《隐私权法》德国的《个人资料保护法》调整的范围更加广泛，不仅适用于行政机关还适用于立法以及司法领域。此外，德国还专门设置了个人资料保护委员一职，以监督公务机关在处理个人资料时出现违法情形。不仅如此，该职位供职要求还十分严格，一般得由资深教授或法官担任，且非特殊情况一般不得罢免其职位。

德国对于个人资料侵权的救济进行了分类规制，分为行政侵权和民事侵权。前者是当公权力机关侵犯公民个人信息发生时，适用无过错责任原则，赔偿范围上设有明确的最高限额；后者是当公司、个人等民事主体侵犯公民个人信息时，则适用过错责任原则，应予以全额赔偿且无最高限额的要求。

日本在这方面的做法是公民的个人信息由政府主导和行业自律共同来保障。最早明确规定个人信息保护范围的《行政机关计算机处理个人情报保护法》。该法针对电脑中的个人信息进行保护；在1994 年的《个人信息条例》中补充将集体信息纳入保护范围之中；2001年对1998年的《个人情报保护法》做了重大调整和完善，由此形成了“个人信息保护五法案”。2005 年日本开始实施《个人信息保护法》，后该法在实践中不断修改完善。起初该法的适用范围也限于民事领域，后其逐渐延伸到社会公共领域中。除此之外，日本还出台了约束公共团体的《个人信息保护条例》，主要针对的是非行政机关收集和使用公民个人信息问题。2006 年日本又特别设立了个人信息保护委员会，其定位是负责在行政机关或经营者处理公民个人信息时，衡量个人信息有用性和合理使用。

三、完善我国个人信息行政法规制的建议

（一）制定行政法层面的专项立法

通过前文阐述比较的具有代表性的域外涉个人信息保护法律实践，不难看出我国国情与日本有着许多共通之处，可以借鉴其采取统一立法辅以行业自律的立法模式，而且其也是一种更为折中温和的做法。我国应当加快制定《个人信息保护法》，明晰个人信息保护对象及其范围，还应当对信息流通利用与信息保护之间的均衡作出合理安排、进一步丰富和延伸针对涉个人信息侵权纠纷的救济途径、明确和区别公权力机关以及民事主体非法侵害公众个人信息的责任承担问题。值得特别注意的是利用行政专项法律规制个人信息保护问题时，应当将该专门法的适用范围予以明确。

（二）加强信息主管机关监管

公权力机关在收集和利用公民个人信息时侵害公民权利的情况客观存在，但是大数据时代下个人信息的多元传播渠道影响下，主要的侵害依然来源于非公权力机关，且后者涉及的侵权范围更广泛，故参与规制的主体和工具也应当相应更复杂。通常来说，公权力机关处理个人信息的必要条件是获得机关内部的许可和授权，那么对于非公权力机关可以在许可、授权之外增加获取专门的信息主管机关许可的条件，例如协会的许可。

（三）推进行政法层面的法治教育

改善公民个人信息权利保护法治环境的重要环节是，公民首先了解自身个人信息权利受法律保护的范围和救济方法。当前，各国对于互联网网络安全教育方面的力度越来越大，例如印度和韩国都要求公众接受互联网安全教育和网络素质教育。中国的网民规模居于世界首位，但是受限于教育水平我国网民素质参差不齐、且具有低龄化发展的趋势。大数据时代下的法治宣传需要更为明确和深刻，将公众在个人信息遭受侵害时的救济方式明确告知以增强其维权的信心。除鼓励民众积极维权以外，打通民众反监督渠道也可以对个人信息保护起到良好促进作用。

结语：大数据时代背景下，数据共享和信息流通发生得更加广泛和便捷，这给全球经济带来新的增长动能的同时也给各国带来了开展个人信息保护的挑战。从行政法规制角度，本文介绍了大数据时代背景下我国当前个人信息保护的法律实践情况，并支出当中存在的不足，其后在比较域外主要发达国家针对个人信息保护实践的基础上，分析了其中可供中国借鉴吸纳的经验，并在文章最后提出了进行行政专项立法、强化主管部门监管和行业自律以及加强行政法治教育的建议。