大数据时代视阈下公民个人信息的行政法保护思考
2023-12-19任艳芬
任艳芬
河北经贸大学,河北 石家庄 050000
随着大数据技术的广泛普及和应用,行政机关及相关授权信息处理机构在获取公民个人信息领域得到了极大便利,可以迅速有效地获取和保存大量公民个人信息。但由于行政法的规制不完善及其他主客观原因,造成在信息收集、保存及使用等环节出现了信息泄露及不当使用的情况产生,给公民的合法隐私权及人身、财产权都造成了威胁。因此,对公民个人信息的行政法保护成为当务之急。
一、大数据时代下公民个人信息保护内涵
个人信息通常指以电子数据或者其他方法,对公民的信息进行记录,可以用于识别该公民身份的各类信息。大数据是指用超大型的数据库工具来获取、存储、管理和分析数据,具有数据量大、范围广及个性化的分析能力。而大数据应用于公民个人信息,不仅对现代生活和社会经济活动的发展产生了巨大影响,其数据分析及创新能力,也激活了公民个人信息的管理价值和经济价值。在大数据背景下,政府机构和各类社会组织,可以通过对公民信息的搜集和加工,充分提炼信息中的价值,包括其中的匿名化及碎片化信息,例如搜索记录、购物习惯、观看历史、兴趣爱好、驾驶记录等,就可以锁定信息的主体,以此作为进行下一步社会行为的基准。基于大数据时代下信息收集能力的提升,《中华人民共和国网络安全法》(以下简称《网络安全法》)也适时对公民个人信息的概念进行延伸,将可以组合识别的匿名化信息也同样纳入法律保护领域,从而全面保护公民个人信息。[1]
二、大数据时代对公民个人信息安全的威胁
大数据时代下,信息化建设不断推进,为我们的生活提供了极大便利,同时也给公民个人信息安全及利益带来了严峻挑战,对信息安全保护的要求也在不断提高。大数据时代对公民个人信息安全的威胁主要表现在以下方面:
(一)公民个人信息频繁泄露
行政机关在执行某些行政权力或公开政务时,经常涉及公民个人信息搜集以及使用,在此过程中,公民个人信息遭受行政机关及法律法规授权组织的违法使用现象频发,这主要由于行政机关在公民信息收集过程中缺乏必要的规范和限制,以及个别工作人员出于经济利益等目的向不法人员提供或泄露个人信息,或缺乏有效的技术防护等,都会造成对公民个人信息权的侵害并给不法人员提供可乘之机。[2]例如,很多人都曾经历过在报考各类考试后,由于相关信息管理部门对个人信息的管理不善,造成信息泄露,频繁收到各类培训机构等电话推销的情况。
(二)个人信息控制能力削弱
大数据时代下,行政机关为了净化网络环境,规范网络管理,维护网络安全,通常要求使用者实名制注册,甚至会强制用户授权,获取其电话号码、位置等信息的开放权限,而用户在下载信息、浏览网页、平台购物、论坛发帖、社交沟通时也会涉及个人信息的登记和传播,甚至在电子设备上的随意操作和浏览痕迹都会一并被留下记录,不仅大大削弱了公民对自己个人信息的控制能力,一旦被不法分子收集和利用,也会给公民生活和信息安全等方面带来很大影响。[3]例如,很多人都有过在网络上浏览或搜索了某些想要的商品,就会接到许多类似商品的推销电话或者短信的现象,使用者不胜其烦却又投诉无门。
(三)账户被盗威胁财物安全
大数据时代下,在开通网银服务、进行网络购物等时,电子设备的密码账号、身份验证等个人信息不仅关乎个人隐私,更影响着财产安全。而在大数据背景下,这些信息基本处于开放的网络环境中,受到许多潜在威胁,如果安全防护做得不够或者操作不当等,均会受到信息泄露等非法侵害,极易造成财物损失。[4]
三、我国公民个人信息行政法保护现状及困境
(一)我国公民个人信息行政法保护现状
大数据时代下,我国由于公民个人信息受侵害造成的法律案件频发,相关立法部门也加大了对公民个人信息保护领域的行政法保护力度。笔者在研究中发现,目前我国行政法领域的法律规章中大多都对个人信息保护作出了相应规定:《中华人民共和国行政复议法》中规定,涉及个人隐私的相关材料,不得提供给申请人和其他第三人;《中华人民共和国政府信息公开条例》指出,在政务公开过程中,不得出现涉及个人隐私的事项,也对公民有权修改不正确的个人信息做出了相应规定;而《网络安全法》则专章对网络信息安全保护进行了规定,包含多项个人信息保护原则;工信部2013 年7 月发布的《电信和互联网用户个人信息保护规定》对电信业务经营商及互联网信息服务供应商等对公民信息的收集和使用进行了规范,并对个人信息泄露时应采取的保障措施进行要求;全国人大常委会2012 年12 月通过的《全国人民代表大会常务委员会关于加强网络信息保护的决定》,则对网络服务中及企事业单位因业务需要而对公民个人信息进行搜集和使用的行为进行了规范。
(二)我国公民个人信息行政法保护困境
从我国个人信息行政法保护现状可以看出,虽然许多法律条文中涉及了公民个人信息保护领域,但大多指向原则性、保障性条款,并不作为主要规定或仅仅只是搭车条款。由此可见,目前我国公民个人信息行政法保护领域仍面临着许多困境,主要表现在以下几方面:
首先,法制体系不完善。从行政立法角度看,目前我国的公民个人信息保护行政立法大多处于决定或规定等行政立法层级相对较低的领域,且内容大多是一些概念性、原则性和基础性规定,缺少具体详细的实践指导。此外,我国目前在公民个人信息领域的法律规定较为分散、单一。各行业都受各自领域单行法律规制,分散于各类行政法规和制度之中,仍未建立起全面统一的公民个人信息行政法律保护体系,缺乏一部统一性基础上位法,导致法律规制缺乏系统性及协调性。在执法过程中,经常面临无据可依、无所适从的困境,也容易出现因标准不明确而影响法律裁量程度,有些行业法律漏洞比较明显,给不法分子带来了可乘之机,降低了公民个人信息的法律保护效果。此外,由于缺乏统一的上位法律管理,各个地区对于公民个人信息的保护规章制度也出现各行其是的局面,导致执法及救济领域的混乱,政府机关因公民个人信息搜集和管理不当而导致的个人信息泄露案件也日渐增多。
其次,行政监管不到位。从行政法保护角度看,目前我国个人信息的保护职责主要由各个行政机关来承担。然而,行政法在监管标准、监管主体和监管方式上都未做出明确要求。一方面,导致各个行政机关在开展个人信息监管保护时,各执一词、各行其道,极易出现权力滥用或随意裁量,监管不作为或者乱作为现象频发。同时,由于缺乏内部监管制度,产生许多因工作人员受利益驱使等原因,利用职务之便非法贩卖个人信息的现象;另一方面,由于行政机关缺乏对所获得公民信息的有效监管,没有对数据技术处理部门或信息保管平台等进行有效的法制约束或管理,造成信息被随意进行处置,给不法分子留下了可乘之机,导致公民个人信息被窃取或泄露。
最后,法律执行效果不如人意。公民个人信息权利中包含的救济权,体现了行政法对公民个人信息进行法律保护的执行实效。目前,我国行政法领域对个人信息保护救济也不够完善,造成个人信息权利受到侵害后无法得到相应救济。一方面,大数据造成了信息的海量传播,当公民个人信息权益受到侵犯进行维权时,要搜集证据和寻找实际侵害人,犹如大海捞针。同时,由于行政法的不完善,个人信息监管机构不明确,公民在受到侵害时,常常投诉无门,遭遇敷衍推诿;另一方面,目前我国行政法并没有就个人信息行政救济方式做出明确要求,因此,公民在个人信息受侵害时,由于方式选择不当及举证能力有限,常常会受救济程序负累,影响保护实效。
四、开展公民个人信息行政法保护的策略
基于以上几点公民个人信息行政法保护领域的困境,笔者结合实践开展思考,从我国公民个人信息行政法保护的法制体系建设、监督制度加强及救济落实等领域,提出如下策略,以期为提升我国公民个人信息行政法保护实效作出有效参考。
(一)完善公民个人信息行政法保护体系建设
首先,明确公民个人信息保护基本法律要求。在遵循行政法基本原则要求的基础上,针对个人信息行政法保护的特殊性,增加以下要求:做好安全保护,要求行政机关在开展行政管理时,针对获取的公民个人信息,不论是保管留存还是提供给技术部门进行处理分析时,都要充分保护公民个人信息的安全;获得知情同意,要求行政机关在开展行政活动时,获取及使用公民个人信息的行为,要以获得信息权利人知情并同意作为前提,未征求同意或不授权不知情时,严禁以任何手段搜集、处理公民个人信息;规范使用权限,即对公民个人信息的使用不能超过规定权限,要以保障国家、社会和公民利益为原则,以处理行政事务为目的,在信息权利人的授权范围内使用该信息。[5]
其次,推进公民个人信息行政立法进程。明确个人信息保护与隐私权保护的区别,强化个人信息保护的行政主体意识,突破现行法律的单一性、分散性,制定上层统一基础性的专门立法,并增加具体性、操作性强的法律条文,以实现对公民个人信息全领域、强有力及标准化的保护。
最后,要加强公民个人信息行政法体系建设。对不规范的地方法规制度要予以清查,及时进行修正或者废止,在行政法保护领域达成统一,提升个人信息法律保护的标准和层级,打破现行法律的各行其是、管理混乱的局面,进而构建完善、科学、有序的公民个人信息行政法保护体系。
(二)强化公民个人信息行政法保护监管能力
首先,强化内部监督管理。行政管理部门应从内部加强其对公民个人信息的使用及搜集权力行使的程序规范及标准设置,明确工作人员对公民个人信息使用的范围和形式,从源头上杜绝工作人员利用职务之便非法转卖或传播个人信息的行为。此外,也要对进行个人信息技术处理的机构和相关人员开展持续严格的监管,加强其对公民个人信息的保护能力和意识。
其次,设置外部监管部门。通过完善立法等形式,推进各地建立公民个人信息保护工作监管机构,对行政管理部门行使处理公民个人信息权力的步骤和程序,进行监督管理和法律约束,并且统一受理个人信息保护领域的维权投诉等,也可对行政机关搜集和使用公民个人信息的过程进行备案、对相关侵权行为进行调查等,形成统一的外部监管体系。
最后,健全责任归属管理原则。行政机关由于行政管理等需要,对公民个人信息进行搜集和使用,就应当对应担负起安全保护责任。在因公民个人信息泄露产生的诉讼中,原告无需证明被告的过错行为,被告无需证明自己无过错,以此减轻举证压力,增强被侵害者维权积极性。
(三)促进公民个人信息行政法保护有效落实
首先,健全公民个人信息行政法保护程序。大数据时代,信息收集技术已经十分先进,仅凭借整合匿名、碎片的信息就能获得对个体的认识。侵权过程十分隐蔽且举证困难。因此,个人信息行政法保护的落实,不仅需要法律的规制,还要进一步将各个法律及制度加以具体的程序化实施。这就要求行政机关在开展行政管理时,用法定程序规范其具体行为。在完成信息收集工作之后,也要完善信息存储及使用程序,履行信息保护职责。在有关权利人进行信息搜索及查阅时,要严格执行监督程序。
其次,完善公民个人信息行政救济制度。为了提升公民个人信息的保护力度,促进行政法的有效落实,保障公民个人信息不受侵犯,不仅要加强法律建设中对公民个人信息权利的规定,还应该相应建立救济制度来保障公民个人信息权力的实现。而我国现行行政法明显存在救济制度不充足的情况。这就要求进一步完善救济制度,制定详细的救济程序,增加对行政管理过程中出现的公民个人信息侵害行为异议及申诉等开展救济的形式。在具体执行过程中,不仅要求行政部门对侵权行为做出相应赔偿,还应对侵权行为的涉案工作人员进行责任追究等,促进公民个人信息行政法保护工作的落实。
综上所述,大数据时代的来临,不仅为行政管理中信息搜集工作提供了便利,也对公民个人信息安全造成了威胁。为了有效突破目前我国行政法在公民个人信息保护领域存在的法制体系不完善、行政监管不到位、法律执行效果差等困境,切实有效保护公民个人信息,要从完善公民个人信息行政法保护体系建设、强化公民个人信息行政法保护监管能力、健全个人信息行政法保护程序、完善个人信息行政法救济制度等策略,推进行政法对公民个人信息保护的有效落实,提升公民个人信息安全程度。