邹宇?骆淑媛

摘 要｜近年来个人信息保护逐渐成为学者们讨论的热点话题，《个人信息保护法》的出台更是将个人信息保护问题推上了顶峰。在《个人信息保护法》中规定的集个人、行政、司法保护于一体的个人信息保护制度中，行政机关的双重角色很容易滋生各种违法行为，行政不作为就是实践中最常见且屡禁不止的一种。为保护行政相对人的个人信息合法权益和塑造良好的政府形象，本文从法律层面界定个人信息保护中的行政不作为行为出发，分析其构成要件、行为表现，指出个人信息保护中行政不作为行为违法滋生的原因是多方面的，提出需要从立法、行政、司法三个层面联合规制的具体建议。

关键词｜个人信息保护；行政不作为；司法审查

Copyright ? 2023 by author （s） and SciScan Publishing Limited

This article is licensed under a Creative Commons Attribution-NonCommercial 4.0 International License. https：//creativecommons.org/licenses/by-nc/4.0/

2021年8月20日第十三届全国人民代表大会常务委员会第三十次会议通过《中华人民共和国个人信息保护法》，作为一部专门保护个人信息的法律，其对大数据时代下长期缺乏法律保护的数据处理和个人信息保护问题做出了系统性的立法回应，提供了一个集个人保护、行政保护、司法保护一体的个人信息保护制度。虽然《个人信息保护法》第二章第三节专节列出了国家机关处理个人信息的特别规定，第六章专章规定了履行个人信息保护的职责部门以及我国履行保护公民个人信息保护的行政机关应尽的义务。但个人信息的行政保护机制仍存在缺憾，这其中特别突出的就是实践中层出不穷、屡禁不止的行政不作为问题。在个人信息保护中，行政机关作为信息收集和管理者常会作出一些违法行政行为，而行政不作为作为违法行政行为的一种，不仅会对公民的个人信息的受保护利益造成侵害，亦对服务型政府的形象大打折扣。因此，笔者拟针对现有立法下的个人信息行政保护中的行政不作为问题展开探讨。

一、个人信息保护中行政不作为的法律界定

（一）行政不作为的内涵界定

关于行政不作为的内涵、性质、构成要件等问题，国内学者对此问题的研究众说纷纭，难以达成统一的认识。整体有以下几种意见：一是根据行政不作为內容或义务的性质的不同而分为积极义务的行政不作为和消极义务的行政不作为。积极义务的行政不作为是指行政机关有义务作出某种行为而不履行；消极义务的行政不作为是指行政机关虽然没有义务作出某些行为，但还是做出了相应的行为。如周佑勇认为，只有以行政主体具有法定义务为前提，并且这种法定义务属于一种作为义务积极义务，才能认定行政不作为的行为性，也就是说，行政不作为的成立必须以行政主体具有法定的作为义务为前提。二是认为准确地界定行政不作为的内涵应当从程序上展开，如我国《行政诉讼法》第十二条第一项中第3、6、10、11项列举的行政机关拒绝履行法定职责的情形。可见，行政不作为本质上是行政机关不履行法律规定行政机关应当履行的法定职责，即在行政相对人提出申请时，行政机关有履行法定职责的客观条件，但是作出了拒绝履行或者拖延履行法定职责的行为。还有一种观点认为行政不作为的认定与其是否负有法定义务无关，而在于其拒绝履行、拖延履行或因其他原因不作出相应的行政行为，即行政主体消极地不作出行政相对人请求的行为就属于行政不作为。在此基础上，又可以将行政不作为划分成方式的不为和内容的不为，如行政主体拒绝履行法定职责的行为就属于方式上的作为，内容上的不为。

行政不作为是我国行政法学的一个主要的研究领域，虽然目前学术界对行政不作为的法律内涵尚未达成共识，但是从众多的理论研究成果中不难看出，行政不作为理论的研究已经取得了丰硕的成果。在上述几种观点的基础上，笔者认为行政不作为是指行政主体在负有法定义务的条件下，对于行政相对人的申请有依法履行相应行政行为的客观可能性，而拒绝履行或者拖延履行的情形。

（二）个人信息保护中行政不作为的构成要件

行政不作为本质上是对国家法定作为义务的放弃，是对公众利益和个人利益的直接侵害，属于行政法学理论中的行政瑕疵行为的一种。一般而言，瑕疵行政行为包括违法行政行为、不当行政行为和相对轻微的原因导致的瑕疵行政行为类型，而行政不作为作为行政法治实践中一种违反法定义务的瑕疵行为类型，其明显是属于违法行政行为。在认定行政不作为是一种违法行政行为时，我们就需要确定行政不作为的法定构成要件，即如果行政主体的某一行为或某一不作为与我们预先设定的行政不作为的法定构成要件相吻合的情况下，就可以将该行为或不作为界定为行政不作为。因此，在研究个人信息保护中行政不作为时应当首先研究其构成要件。

首先，确定个人信息保护中行政不作为的主体要件。我国《行政诉讼法》第十二条中规定人民法院受理公民、法人和其他组织申请的“具有履行保护人身权、财产权的法定职责的行政机关，拒绝履行或者不予答复的”案件，法律规定行政相对人提起诉讼的被告应当是具有法定职责的行政机关，提起行政诉讼的对象是行政主体作出的具体行政行为。通常来讲，行政主体包括具有行政权能的行政机关和法律、法规授权的具有管理公共事务职能的组织。在个人信息保护方面，行政不作为的主体就应当根据《个人信息保护法》中有关规定予以确认。所以个人信息保护中行政不作为的主体为履行个人信息保护职责的国家网信部门和根据有关法律、行政法规的规定具有履行个人信息保护、监督管理职责的国务院有关部门和县级以上地方人民政府有关部门。

其次，个人信息保护中行政不作为的构成要件应当包含行政主体有作为的义务且存在“履行的可能”。行政不作为本质上也是一种行政行为，是静态表现下的行政行为，所以在分析其构成要件时就应当依照行政行为的构成要件梳理。主体适格，行为内容应当符合法律、法规的规定和社会公共利益，行政行为符合法定程序和影响行政相对人权利义务为行政行为的主要构成要件，而行政不作为层面上与法律授权要件相对应的就是行政主体负有法定作为义务且存在客观履行的可能性。这是因为，作为是行政机关根据法律赋予的权力所为的行为，对应的行政不作为实质上就是对法定义务的违反。正如《个人信息保护法》的第十三条规定的，当行政机关作为个人信息处理者这一角色时，就负有先取得个人的同意这一义务，而行政机关不履行该义务且不属于其他规定中提到的不需要取得个人同意的情形时即为行政不作为。

再次，不实施任何行为即不作为当然地作为个人信息保护中行政不作为的构成要件，而其不履行作为义务的行为对行政相对人权益造成的损害就成了行政不作为的最后一个构成要件。《个人信息保护法》第二十三条规定，个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。由此可得，当行政机关作为上述向其他机构提供个人信息的个人信息处理者时，就应当履行其法律规定的告知和取得个人同意的义务，若行政机关不履行该义务，就会在个人信息权益者不自知的情况下泄露个人信息，侵犯了公民的合法权益。

关于“行政相对人的申请”是否作为行政不作为的构成要件之一，学界目前也无法达成共识。持赞成意见的学者们将行政不作为视作行政主体对法定职责的放弃和消极对待，其责任指向的是行政相对人的权益。而反对者们则主张，行政机关应当履行的义务有依相对人申请而履行的情形，也有不以相对人的申请为前提条件而应当依法主动履行义务的情形。在个人信息保护领域笔者赞成后一种观点，即不以“相对人是否申请”个人信息保护中行政不作为的构成要件之一。如《个人信息保护法》第四十六条规定，“个人发现其个人信息不准确或者不完整的，有权请求个人信息处理者更正、补充。”表明行政机关作为个人信息处理者时，行政相对人作出更正、补充的申请后，行政机关具有应当按照法律规定更正、补充的义务。而四十七条则规定，“处理目的已实现、无法实现或者为实现处理目的不再必要时，个人信息处理者应当主动删除个人信息”，这时候作为个人信息处理者的行政机关就不以行政相对人的申请为前提条件而获得法律规定的主动删除个人信息的义务。所以，在个人信息保护中的行政不作为并不以相对人的申请为构成要件，不然行政主体就会以相对人未申请作为掩盖其懈怠行使法定义务的理由。

二、个人信息保护中的行政不作为的行为表现方面及危害性

（一）个人信息处理上的行政不作为

大数据时代，个人信息保护法治中，国家不再单纯以超然于信息业者与信息主体双方关系之外的治理者角色出现，政务部门代表国家成为最大的个人信息处理者。以数字政府的建设为例，截至2021年10月，我国已有193个政府数据开放平台，全国地级以上政府数据開放平台从2017年的20个跃升为2021下半年的193个，这不仅标志着我国数字政府建设的迅猛发展，还预示着政府部门将一步一步成为个人信息的最大处理者、存储者和管理者。可见，要想分析个人信息保护中行政不作为的行为表现，行政机关在个人信息处理方面的不作为应当是首先被分析的对象。

以政府数据开放中，行政机关作为个人信息的处理者这一角色为例，行政机关对个人信息的处理又分为收集、存储、使用、加工、信息流通、信息共享、信息公开等环节，所以在个人信息处理的复杂过程中，行政机关作为个人信息处理者必须高度遵守我国法律中有关行政机关履行法定职责的原则性规定，在数据处理的任何环节都要做到遵循《个人信息保护法》《网络安全法》等对行政机关处理个人信息应当履行法定职责的规定。比如《个人信息保护法》中规定的收集个人信息的目的性原则，禁止过度收集、取得个人同意等法定职责。一旦行政机关在处理个人信息时出现了拒绝履行或怠于履行类似上述抽象法定职责或者具体法定职责的行为，就构成了行政瑕疵行为，也就是本文所讨论的行政不作为。因此，个人信息处理上的行政不作为很少以平常所讨论的以相对人的申请为前提出现，其大多是行政机关应当主动行使法律、行政法规规定的职责，行政机关如果不履行或者拖延履行仍应当就其不依法履行职责承担相应的法律责任。

（二）个人信息公开中的行政不作为

早在我国政府数据开放工作加速推进之前，2008年《中华人民共和国政府信息公开条例》就已经开始施行了。《条例》的颁布和实施对于大力推进政务公开工作、规范政府权力运行、构建服务型政府方面都起着不可取代的作用。但是在司法实践中政府信息公开的效果却不像预想的一般公正透明，各种各样使政府公信力减少、损害公众知情权的行政不作为现象也屡禁不止，行政机关的固步自封，违法行为等都导致政府信息公开工作成了个人信息保护中行政不作为表现较为严重的一面。比如政府信息公开工作中，行政机关获取、保存的是行政相对人的个人信息时，经其他行政相对人的申请公开或者此信息属于个人隐私的敏感信息，行政机关信息权益所有者同意就予以公开就很有可能会出现侵害行政相对人信息保护权益的行政不作为行为。

（三）个人信息权益保护中的行政不作为

在个人信息被采集、利用等一系列的过程中，既有行政机关代表个人信息处理者一角色管理行政相对人的关系，也会有行政相对人因受到个人信息侵权，从而向负责个人信息保护的行政机关求助的关系。我国《个人信息保护法》第九条中规定，个人信息处理者应当采取必要措施保障所处理的个人信息的安全。当行政机关充当个人信息处理者这一角色时，其负有保障自己所处理的个人信息的安全义务，同时如果不采取相关保护措施保护个人信息的安全，使个人信息暴露在外，就可以构成违反法定义务的行政不作为行为。当个人求助于个人信息保护行政机关时，行政机关的角色就转变成了个人信息保护权益的救济和监督机关，此时行政机关如若出现拒绝或者未在法定时间内予以个人信息法律保护的情形，也属于个人信息权益保障中的行政不作为行为。

（四）个人信息监管的行政不作为

与此前出台的《网络安全法》和《数据安全法》不同，《个人信息保护法》的立法重点显得尤为不同，在本法中更多规定聚焦于公民个人信息权利的保护，因此便赋予了个人信息处理者更多的法律义务，由此更加容易触发政府主管部门的监管。但是在大数据时代，政府需要维持信息市场的经济价值和维护网络安全、保护隐私自由三者间的平衡，同时又因为所处的角色不同，有可能同时承担着对个人信息进行收集的社会管理职能和对个人信息处理者的监管职能，这种种都使得行政机关内部因其组织机构不够专业、监管职权划分不清等问题，出现推诿、逃避甚至怠于行使法定监管义务的表现。

三、个人信息保护中的行政不作为滋生的原因

（一）个人信息行政保护立法有待完善

近年来，随着大数据时代的来临和我国数字政府建设理念的提出，个人信息保护也逐渐成为各国网络安全领域的立法重点。自2016年以来发布的诸多立法成果中，《网络安全法》《消费者权益保护法》，包括近期颁布的《民法典》和《个人信息保护法》中均体现了法律对于个人信息的规范性保护，但是其中也存在着一些问题。首先，从某种程度上来说，大数据时代信息高效流转，我国有关个人信息保护的法律、行政法规、部门规章及地方性法规等虽然对个人信息保护作出了诸多规定，但大多为从私益角度救济个人权利，将民事保护作为个人信息保护领域中纠正不法行为、救济个人信息权利的主要途径。但由于个人信息某种意义上具有的人身和财产的双重属性和政府在个人信息处理、监管上不可或缺的角色，仅从司法角度保护个人信息就会显现出其一定的局限性。其次，当前我国有关个人信息行政保护的规范性内容，一方面原则性条款居多，实际操作需要进一步解释，缺乏公民救济个人权利的具体行政救济手段。如在行政保护的具体实施的过程中，由于各部门保护范围不够明晰，行政执法人员存在随意推诿职责的问题时，如何认定行政机关的侵权行为、采取何种方式请求救济、向何人请求等一系列问题，都不是单纯的应用原则性条款就能予以解决的。另一方面，在《个人信息保护法》中，多次提到“法律、行政法规”規定的情形或者例外的立法用语，均未涉及有关行政规章的规定，即是说，在个人信息保护法律体系中，行政规章被遗忘了。众所周知，行政规章具有立法迅速、程序简便等优点，在我国个人信息保护法律体系尚未搭建完全的情况下，尽管行政规章存在一些弊端，但相对于这些弊端来说，更让人担心的是当个人信息权益受到侵害时无法得到及时、有效、有针对性的救济和保护。

（二）个人信息保护的行政机关不明确

《个人信息保护法》第六十条的规定，各级各地网信部门负责统筹协调个人信息保护工作和相关监督管理工作，其他部门在各自职责范围内负责个人信息保护和监督管理工作。因此，国家网信办及其他部门作为具有“个人信息保护职责”的行政主体。虽然《个保法》中明确规定了我国个人信息的行政保护职能的行使主体，然而这项规定在具体的执法实践中如何落地，尚存在许多变数。一是在我国《个人信息保护法》出台之前，国家网信部门只负责个人信息安全方面的监管工作，其主要职能也是定位于行政许可，在行政处罚方面鲜有涉足，是否能够统筹协调好个人信息的行政保护相关工作当然存在疑惑。二是条款中的其他部门也未作出具体规定，而其究竟是哪些部门不得而知，这就可能造成执法出现互相推诿，进一步出现消极的行政不作为行为。

（三）政府责任意识的匮乏和追责制度的不完善

行政管理秩序是社会秩序的有机构成部分，一定意义上讲，社会秩序中的绝大多数都可以纳入行政管理秩序的范畴之中。当行政相对人受到侵犯个人信息权益保护问题时，求助于或通过一定的法律形式要求行政机关行使法定的行政管理职能时，而行政机关未对行政相对人的要求作出反应或拒绝作出某种行为时，行政相对人与行政管理机关也就自然地成了行政管理秩序设定的有关方。众所周知，秩序的建立依靠法律，那么秩序的执行需要的则是主观意识形态。当前我国公务员存在政府责任意识不强的现象，第一可能是因为其自身的道德修养、理论水平不高，缺乏政治知识和服务意识，第二则是目前社会大环境下，少数公务员的初心改变，出现了以权谋私、为利可图的思想，从而消极承担应当承担的行政责任，进一步助长了行政不作为行为的蔓延。

（四）对行政权力的监督不足

行政管理秩序的有效推进同样离不开事后监督，而对应到个人信息的行政保护方面，追责制度的建立则是有效预防个人信息行政不作为的一大举措。我国《个人信息保护法》第六十八条规定，国家机关不履行个人信息保护义务，由其上级机关或者履行个人信息保护职责的部门责令改正，对直接负责的主管人员和其他直接责任人员依法给予处分的追责机制。但在对违法行为的处罚方面却将罚款设定为一百万元以下这一宽泛无比的范围，且没有规定相应的裁量权基准，这必然会导致实践中同案不同罚等显失公平的情形出现。完备的行政监督体系可以倒推行政机关正确地行使行政权力。在个人信息权益受到侵害时，司法监督是对行政权力进行监督的最有力武器，也是公民最便于行使自己权利的一种方式。在《个人信息保护法》中提到公民可以通过民事诉讼手段来救济自己的权利，而当传统救济行政相对人权益遭受行政机关行政不作为侵害时，行政相对人多数选择的行政复议或行政诉讼未有涉及。最后，行政机关作为个人信息处理者时多是公益性的，那么按照《个人信息保护法》第六十九条的规定，受到行政机关不作为侵害的个人信息权益主体是否可以获得国家赔偿？获得国家赔偿的标准能否适用由个人信息处理者获得的利益确定赔偿数额的标准都未尝可知。

四、规制个人信息保护中的行政不作为的建议

（一）立法规则表达

明确个人信息行政法保护主体。对于个人信息行政保护法律机制的完善中，首先需要明确的就是个人信息的行政保护主体。《个人信息保护法》规定国家网信部门负责统筹协调相关工作，有关部门在各自职责范围内负责个人信息保护和监督管理工作的规定过于笼统和分散，在实践过程中很有可能造成权责不统一的情况，所以根据法律保留原则，在《个人信息保护法》执行过程中，建立由网信部门牵头，联合有关行政执法部门，尽快确立一套集水平级各行政执法部门负责个人信息保护监督管理的具体职能范围，和管理监督层面的网信办统筹各有关部门行政执法的问责和监督范围于一体的相关司法解释或行政法规，更好地规范个人信息保护实践中难以完全杜绝的行政不作为行为，为我国个人信息行政保护法律体系添砖加瓦。

完善个人信息行政不作为的救济途径。法律规定了个人信息处理者侵犯个人的信息保护权益时，个人可以通过民事诉讼和民事公益诉讼救济自己的权益，只有当侵害行为造成严重后果时才能启动公法保护程序。在立法层面完善个人信息行政保护的救济途径，明确个人信息保护的行政规制体制，不仅要求在个人信息保护方面加强行政诉讼制度的作用，让公民可以更多地不受诉讼成本高、举证困难等私益救济制度的弊端困扰，还要求在《行政复议法》中将个人信息领域的行政不作为问题明确纳入行政复议的范围之内，将行政不作为行为在行政机关内部直接启动纠错程序予以解决，节约司法成本、加快救济效率。并且应当明确规定受行政机关侵害个人信息权益的公民、法人或其他组织可以依法提起国家赔偿，以及细化行政不作为行为侵害权益时国家赔偿的标准。

（二）過程控制

摒弃政府本位观念，强化服务理念。政府本位是指，政府是国家意志的体现者和贯彻者，是享有公共事务管理职能的唯一主体，行使着对社会一切事务监督、控制和管理的权力。这种思想容易异化行政机关手中的权力，违背了现代服务政府理念中公共服务的宗旨。现阶段公务员不仅应当完全摒弃政府本位思想，丢弃行政权本位理念，而且应当主动学习党的全心全意为人民服务的精神，提高个人的公共服务意识和培养公民利益至上的思想。

完善行政机关权责统一机制体制。民主政治下的政府，必然是责任政府。在责任政府的构建过程中，责任意识这一主观意识形态的作用并不小于制度建设、法律监督等外在规制。强化政府责任意识首先是建立权责统一机制体制，完善行政追责制度，将行政责任落实到个人，将行政不作为的行政处罚追究到个人，明确权力相对应的责任，让行政机关自觉不敢、不能、不想不作为。

加快制定《行政程序》法，使行政行为彻底暴露在阳光下。叶必丰教授曾经说过：“行政法的体系化不限于法典化，国家可以推行以行政法总则为基本法律，以行政行为类型化法律为重要组成部分，以众多特别行政法为基础的分层分级行政法体系。”目前我国行政实体法总则因种种原因已经止步，但是行政程序法总则作为兼顾了行政实体法一般性原则和行政程序共同规则的法律，是我国行政法体系化的当务之急。制定和落实行政程序法，从大的方面讲是对我国现有的行政处罚、行政许可、行政审批等作出了全面统一的规定，将区域协调中优秀的经验上升为法律并运用到全国，从小的方面讲就是讲所有的行政行为都置于正当程序原则之下，接受来自各界的监督，彻底清除行政机关谋取不正当利益的根基，杜绝行政不作为行为产生的可能性。

（三）司法救济

个人信息保护领域中的行政机关不作为案件的遏制不仅应当通过立法层面将其纳入法律规范约束，遵循正当程序原则将其暴露在阳光下任凭监督，更应当从事情已经发生的角度讨论行政不作为案件应当怎样更有利于救济合法权益。

我国现行对行政不作为的规范途径主要有两种，即行政复议和司法救济，将个人信息保护中的行政不作为纳入行政复议范围的建议上文已经提及，剩下的就是完善司法救济手段。我国对于行政不作为的司法救济手段主要有民事诉讼、民事公益诉讼和行政诉讼三种，而行政诉讼中法院审理行政不作为案件的一大重要环节就是司法审查。行政诉讼中针对行政机关不作为的判决主要有驳回诉讼请求、判决撤销并重做、判决确认违法并赔偿三种，这其中判决撤销并重做是体现司法审查强度最集中的一种。但在实践中法院作出撤销并重做判决时，却很少涉及对行政主体重新作出某一行政行为的内容，究其原因是这种行为充分体现了司法权对于行政权的尊重，用较轻微的司法审查强度保护了行政机关的自由裁量权，但这却以牺牲着相对人的合法权益为代价。作为司法对行政相对人合法权益保护重大责任的重大一环，在对行政不作为的诉讼过程中加强司法审查的强度，有利于加强公正司法对行政机关行为的干预，更有利于掩埋行政机关的过分自由，遏制违法行政行为的发生。当然加强司法审查的强度也是有界限的，我国就可以借鉴德国的“裁判时机成熟理论”，即在案件审理后，人民法院认为行政主体是否应当作出某一具体内容的行政行为已十分明晰，并且此时受司法审查的作为义务内容无需行政主体自由裁量时即为裁判时机成熟，至此法院就可以直接对行政主体履行义务的内容作出直接判决。

Research on Administrative Inaction in the Protection of Personal Information

Zou Yu Luo Shuyuan

Shanghai University of Political Science and Law， Shanghai

Abstract： In recent years， the protection of personal information has become a hot topic of discussion among academics. The introduction of the Personal Information Protection Act has brought the issue of personal information protection to the forefront. In a personal information protection system that combines personal， administrative and judicial protection as stipulated in the Personal Information Protection Law， the dual role of the administrative authorities can easily breed various violations， and administrative inaction is one of the most common and repeatedly prohibited in practice. In order to protect the legitimate rights and interests of the administrative counterparts personal information and to create a good image of the government， this paper starts from defining the administrative inaction in the protection of personal information， analyzes its constitutive elements and behavioral manifestations， points out that the reasons for the illegal breeding of administrative inaction in the protection of personal information are multifaceted， and puts forward specific suggestions that require joint regulation at the legislative， administrative and judicial levels.

Key words： The protection of personal information; Administrative inaction; Judicial review