李富民

（南安市法律援助中心，福建南安 362300）

0 引言

我国个人信息保护的私法救济途径渊源较长，也更为成熟，而行政规制在大数据时代才真正走入人们的视野。此时，获取个人信息的成本降低，公民的个人信息侵权案件数量不断增加，司法程序复杂冗长，行政规制彰显优势，专业且便捷的行政机关更能发挥治理作用。基于此，对个人信息保护的行政规制进行研究。

1 个人信息保护概述

1.1 个人信息权利的界定

随着社会经济的发展，人们的思想也随之发生变化，权利意识逐渐觉醒，产生了立法者将法律“权利化”的诉求，个人信息自然也被“权利化”，但不同国家对个人信息权利的界定不同。

我国《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）规定，个人对自身信息的处理享有知情权、决定权，有权限制或者拒绝他人对个人信息进行处理；法律、行政法规另有规定的除外。《中华人民共和国民法典》人格权编规定了隐私权和个人信息保护。也就是说，个人信息权利在我国属于人格权利，但又被区别于隐私权，有学者将此界定为“独立的具体人格权”[1]。

1.2 个人信息保护路径的演变

早期由于流通渠道不够畅通、网络技术水平不高等因素，个人信息侵犯案件并不是十分复杂，所以大多按照侵权诉讼这种司法救济解决。当时的个人信息保护路径也就是私法救济路径，行政主体还没有参与的必要，自然行政规制还未发展。

科技有了一定进步、信息流通量开始增大后，单一的保护路径无法完全保障个人信息的安全时，行政主体才参与进个人信息保护。有的国家拓宽了隐私权内涵，有的国家确立了“个人信息自决权”，以提高个人对信息的控制权。但由于个人力量薄弱且权利意识不足，该种赋权极易沦为形式主义[2]。就如“告知—同意”机制一样，告知同意原则指企业在收集个人信息时，应充分告知信息主体有关个人信息的收集、处理和使用情况，并取得信息主体的明确同意的原则[3]。但在网络空间中，信息主体并不一定处于充分知情的情况。因此，该机制产生了困境，走向了形式主义。为解决这个难题，各国开始运用行政主体的监管智能，试图提高企业收集、使用个人信息的透明度，保证个人的知情权。

虽然出现了行政主体的身影，但却不是作为一条实质的保护路径出现的，在大数据时代行政规制才真正成为个人信息保护的一种手段。2018 年3 月，Facebook 泄露将近5000 万用户的个人信息；2019 年2 月，深网视界被揭发泄露250 万人脸数据，还有换脸软件“ZAO”被爆利用隐私条款违法收集个人信息[4]；2022 年12 月，蔚来汽车就用户数据遭窃取发表致歉声明，证实此前其用户数据被泄露的传闻。从这些数据可见，许多大型企业不断在侵犯个人信息，企业与个人之间力量悬殊，只有引入一股更为强势的力量才能与之抗衡。这股力量便是行政规制，行政规制不再作为一种辅助性手段，而是成为与私法救济同等地位的手段。

2 行政规制的内容

2.1 行政规制主体

《个人信息保护法》确立了多主体的监管架构，第60 条规定国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定，在各自职责范围内负责个人信息保护和监督管理工作。县级以上地方人民政府有关部门的个人信息保护和监督管理职责，按照国家有关规定确定。

2.2 行政规制对象

个人信息的行政规制对象，即个人信息处理者，指组织或个人在处理个人信息的过程中，可以自主决定处理的意图、方法[5]。而个人信息的处理则主要是收集、保存、运用、加工、传送、供应、公开和清除等。个人信息处理者可以分为两大类，一类是国家机关，另一类是一般个人信息处理者。

国家机关作为个人信息的处理者，除了要符合《个人信息保护法》的一般性规定外，还必须遵守国家有关个人信息的特殊规定。例如，应按照规定的职权和流程办事，不得超出其职权范围和限度。

除了国家机关以外，其他组织、自然人均为一般的个人信息处理者。《个人信息保护法》规定，处理个人信息超过国家网络通信机构规定数目的，应指定个人信息保护主管人员，公布主管人员的信息，并将主管人员信息上报主管部门。

2.3 行政规制方法

个人信息保护的行政规制方法大多与行政处罚、行政强制措施等行政手段重合。《个人信息保护法》规定，履行个人信息保护职责部门的工作：（1）询问当事人；（2）查阅、复制相关资料；（3）现场检查；（4）检查、扣押相关的设备、物品。当事人应予以协助、配合。另外，还有警告、没收违法所得、罚款责令暂停相关业务、停业整顿、关闭网站、吊销许可证或营业执照等方法。

在这些制度中，比较特殊的一种规制方式就是行政约谈。行政约谈是一种具体的行政行为，由具有特定行政权力的行政主体，通过访谈、交流等手段，对被约谈方存在的问题进行矫正和规范。同时，在接到建议后15 个工作日内，被约谈的行政相对方要将问题的处理结果以书面形式提交，以保证行政约谈的效果[6]。

3 个人信息保护行政规制面临的困境

3.1 个人信息保护的行政规制法律依据不足

事实上，个人信息保护相关的法律和法规并不少，最典型的莫过于《个人信息保护法》，《中华人民共和国网络安全法》《中华人民共和国政府信息公开条例》等法律法规中也有涉及个人信息保护的条款。但是，行政规制的法律依据仍有缺失。从《个人信息保护法》来看，第62 条规定网信部门推进信息保护的工作方法，第64 条规定发现侵权行为的部门可采取的措施，《个人信息保护法》中当然也有关于行政规制的条款，但是大部分条款都没有具体、细致的规定。如果法条中授权不明确，“空白授权”就容易导致违法行为的产生，利用行政规制保护个人信息的作用就会大大降低，无法达到预期效果。《中华人民共和国网络安全法》规定，国家网信部门负责统筹协调网络安全工作和相关监督管理工作。对于该条规定，有学者指出由于网络行政事务繁杂，行政主体大多会将资源和时间倾向于影响力大或危害性较大的网络安全案件，对于微小的个人侵权案件反而疏于监管。《中华人民共和国政府信息公开条例》针对政府信息和政务的透明公开进行了规定，但该法内容有限，保护力量薄弱。

3.2 尚未形成统一的监管机构

我国目前并没有独立、统一的行政监管机构，而是由法律确定各个部门的监管区域，十分零散，难以统一管控，无法形成合力。如《网络安全法》规定了国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定，在各自职责范围内负责网络安全保护和监督管理工作。县级以上地方人民政府有关部门的网络安全保护和监督管理职责，按照国家有关规定确定。《中华人民共和国消费者权益保护法》明确各级人民政府工商行政管理部门和其他有关行政部门应依照法律、法规的规定，在各自的职责范围内采取措施，保护消费者的合法权益。从这些规定中可以看出，我国个人信息的监管机构分散且笼统的，对我国个人信息保护的发展起到消极作用。如果不能建立统一的行政监管机构，就容易导致管控遗漏。例如旅游领域的个人信息保护，尽管已经制定了一些法律，但缺少监管主体，使得法律成为空壳，不能发挥作用。

另外，将各部门职责分开，导致权力分散、权责不清晰，很容易出现“踢皮球”的现象，各部门在遇到问题或困难时互相推诿，导致公信力下降，使个人信息保护工作无法正常进行。除“踢皮球”现象外，还会产生职责重叠现象，因为各部门职责是由不同的法律规定的，所以难免出现职责重叠，引起部门之间无法协调工作，出现混乱。

3.3 缺少细致的行政规制措施

目前，我国存在多种行政规制措施，还不够完善、精细，有待立法将其妥善分配。首先，在侵害发生前的预防机制上，预防机制、警报工作不到位。政府对于市场是一双“看不见的手”，一般不会对市场造成过多干预，且基于“告知—同意”机制，信息处理者收集个人信息时，行政机关不会干涉过多。但这正是导致侵权行为频发的源头，行政部门要做好预防措施，避免事件的发生。其次，各种措施实施时间不恰当，我国在发现信息处理者涉嫌侵害个人信息时经常会运用“行政约谈”的手段。如，2022年2 月，张掖市互联网信息办公室依据相关法律法规分别对2 家门户网站负责人及网站信息内容编审人员进行执法约谈，并予以警告；同月，芜湖市市场监管局、消保委召开加强消费者个人信息保护工作推进会暨企业提醒约谈会。可以看出，行政机关在事中监督工作中大量使用行政约谈手段，但行政约谈起到的只是警告预示作用，应作为事前预防手段，而作为事中监督手段使用显得有些乏力。

3.4 行政机关自身行为不当

行政规制路径的实施主体毋庸置疑是行政机关，这就要求行政机关本身做好职责内的事，要依法办事，但实践中仍存在行政机关执法不当的行为。例如，行政机关有着强大的调查权，可以获得全面完整的侵权证据，但也会使行政机关超越调查权限收集或使用个人信息。强大的权力容易使人迷失在边界，做出超越边界的错误行为，反而成为侵犯公民隐私的元凶。目前对于行政机关处理个人信息的规定过于笼统，行政机关存在滥用权力的问题，监管效果大打折扣[7]。除了调查权，行政机关在个人信息保护中最重要的是监管权，行政机关监管大量的个人信息，行政部门是个人信息的集中地，如果在技术上产生漏洞，不法分子就会抓住漏洞盗取个人信息，造成严重的后果。另外，行政机关内部人员可能会不顾公共安全，为了商业利益将个人信息泄露。

4 完善个人信息保护行政规制的措施

4.1 明确行政规制法律依据

目前，我国《中华人民共和国民法典》《中华人民共和国网络安全法》《个人信息保护法》都已经出台，但行政规制手段散见于各个法律，没有建立统一的行政规制体系。立法部门应积极吸取相关个人信息保护的案例经验，分析归纳他国个人信息行政规制的法律依据，充分听取学者以及公众的意见，尽快明确个人信息保护的行政法律规制。我国出台的《个人信息保护法》是个人信息保护道路上的里程碑，但其未确定统一的监管机构。在权力设置方面，《个人信息保护法》规定得太过笼统，应细化权力和职责的范围，实现边界清晰化，防止行政机关或信息处理者钻空子，做出侵害个人信息的行为。

4.2 构建独立、统一的监管机构

我国对个人信息保护的监管机构多且权责不清，不仅会出现“踢皮球”的现象，还会造成职责重复的问题。因此，构建独立、统一的监管机构，打破不同部门之间的界限，由一个机构统筹分配任务，各部门在监管机构的统一领导下互相合作，这是我国个人信息保护道路的一项重要工程。

首先，监管机构作为一个独立的机构，其组成人员必须“新颖”。具体指抽调行政人员组成全新的机构，而不是由原先的某一个部门收拢权力。有学者提出，在《中华人民共和国网络安全法》《个人信息保护法》中网信部门都是作为保护个人信息的主要机构，或许可以将网信部门发展为统一的监管机构[8]。但是，网信部门擅长的是其部门领域内的事务，若是涉及其他领域的个人信息问题，就不会那么得心应手。因此，可以从各个领域抽调人手组成新的监管机构，再由该机构统一调配工作任务，以提高工作效率。

其次，作为独立的监管机构，要确保内部人员的廉洁公正，做好保密工作，防止信息泄露。内部监察工作也应到位，对违法泄露个人隐私的政府工作人员，应给予更为严厉的惩罚。保障技术安全，对存储设备进行技术升级，防止黑客侵入以及企业的违法访问。

最后，监管机构设施必须完备、精密。监管机构作为个人信息的储存地，储存设施必须精密，技术更新速度要迅速，维护数据管理设备安全，防止“黑客”入侵行政机构内网盗取信息。若不幸被盗取或泄露信息，机构应提前建立信息安全监督部门，及时处理后续工作。

4.3 妥善分配行政规制各环节任务

事前预防方面，政府应建立统一的风险保障机制，监控市场举动，既要防止侵害行为的发生，又要做好应急保障工作。风险评估工作中，可以将各个信息处理者按照等级划分为低、中、高风险，按照风险等级，提升监督力度[9]。除外部监督外，内部泄露也是一大隐患，需要多加预防。

事中监督方面，在侵害个人信息行为发生时，应立刻采取紧急措施，控制侵害行为，防止个人信息的进一步泄露。行政机关不应只在危害发生时才有所行动，在日常工作中，可以积极行使调查权，通过随机抽查，发现泄露个人信息的行为应及时予以处罚和控制。行政机关应规制、监管各行业对个人信息的收集、使用限度，不可随意滥用，侵犯公民权利。

事后处罚方面，对不合理使用个人信息、随意泄露个人信息的企业，应给予一定的行政处罚。行政处罚应具有惩戒性，惩罚力度不可过轻，必须起到警示作用。处罚并不意味着整个事件的结束，还应对侵犯他人个人信息的企业进行追踪调查，检查其是否存在再犯行为。事后除了处罚与追踪，还可以对侵权方进行教育与宣传，定时开展宣讲会或派人到现场普法，培养企业的个人信息保护意识，增强其社会共建理念，强化责任意识[10]。

4.4 追求多方协作

个人信息保护的主要手段是司法救济和行政规制，这两种手段虽然内涵不同，但其目的是一致的。“公私协力，合作共治”是未来个人信息保护的一条重要途径。在公民个人信息受到侵犯时，首先尝试行政申诉，行政机关的调查权和专业性更能为其提供帮助，行政申诉失败，再进行诉讼，可以避免浪费司法资源。当然，行政申诉并不是前置程序，应给予被侵权人多种选择。在强调公私合作之余，还可以引进第三方监管机构，即数据安全认证，通过信用评估机制，激励企业遵守法律法规，增强公民对企业的信任感，避免政府“一刀切”规制[11]。数据安全认证可以在市场和政府无法做出反应时，实现互联网时代个人信息的安全和保障，是保护个人信息的重要手段。

对企业、公民来说，应加强配合与协作。政府与企业之间可以共同设立风险储备金，防止侵害行为的发生。企业应做到遵守法律规定，落实“法无规定不可为”，合法、正当地行使权利。政府应发挥引导与服务的作用。引导公民保护自身的个人信息，加强宣传教育，适当开展活动，使公民树立保护个人隐私的责任意识。公民也要积极捍卫隐私权，积极配合工作，在发现侵害隐私行为时，及时向行政部门申诉。

5 结语

当前，行政规制在个人信息保护中越来越普遍，行政规制手段能够弥补私法救济的不足，积极引导社会走向，确保公民个人信息安全。不可忽视的是，行政规制存在的一定缺陷，国家对这些缺陷应以更快的速度做出反应，完善行政规制。行政规制只是个人信息保护中的一个手段，要想保障个人信息安全，还需要各方共同努力，国家机关、市场、企业，甚至是公民个人都应该以适当的方式保护个人信息，维持社会秩序，共创美好家园。