个人信息保护的行政规制:实践检视及完善路径
2024-05-24叶战备闫钊
叶战备 闫钊
〔摘要〕 行政规制在个人信息保护方面发挥着重要作用,有利于彌补民法规制与刑法规制对个人信息保护的不足,较大程度地防止相关主体对个人信息权益的侵害。然而,实践中个人信息保护的行政规制存在立法内容的涵盖性有待加强、监督制度的有效性有待提高、处罚制度的严谨性有待强化、救济程序的规范性有待提升等方面的不足,应通过完善现行立法内容、优化行政监督体制、调适行政处罚机制、改进行政救济程序等路径对个人信息保护的行政规制予以完善。
〔关键词〕 个人信息;个人信息保护;行政规制;信息数据
〔中图分类号〕D922.1 〔文献标识码〕A 〔文章编号〕1009-1203(2024)02-0082-05
2021年8月,十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》),标志着我国法律在个人信息保护方面更为细致和全面〔1〕。就其内容来看,主要集中在“规范个人信息处理活动”“明确个人信息保护活动的相关部门及其职责”等方面〔2〕。《个人信息保护法》施行后,企业和互联网平台收集、处理个人信息更为规范,行政机关管理个人信息也更为高效,但是由于个人信息具有经济价值,可能会面临企业和营利性机构的侵害,也可能会遭受非法收集、处理和利用的风险,因此对个人信息的保护仍需进一步加强。针对当前多元主体对个人信息权益的侵犯,有学者提出可以将个人信息权视为私权,通过民事等私法路径保障个人权益〔3〕。需要注意的是,当个人所面对的侵权主体是行政机关时,容易面临国家公权力和个人私权利不对等的困扰:一方面行政机关由于职责所在,需要较为频繁地收集、处理个人信息,另一方面个人出于义务,需要配合行政机关提供个人信息〔4〕。一旦个人信息权益在信息收集、处理过程中受到侵害,若侵权方是行政机关时,民众很可能会因个人权利受限而无法对侵权行为进行有效举证,导致其很难通过私法路径有效保护个人权益。鉴于民众可以通过行政诉讼等方式申请行政机关协助取证、诉讼维权,而行政规制不仅能够规定行政机关在行使公权力时应当遵循的基本原则和规则,还能够规范和限制行政机关在行使公权力时的行为,防止公权力滥用,因此,笔者认为应突出行政规制在个人信息保护方面的重要作用。
一、个人信息保护行政规制的必要性
根据《个人信息保护法》第4条的相关规定,个人信息是指“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”。当前学界对行政规制并没有统一的界定,不过大多数学者认为其实质是行政机关运用公权力对社会与市场失灵的状态进行校正。考虑到行政法学建立在“权力—权利”基础上,其目的是对行政主体的行为进一步约束,笔者认为对于个人信息保护的行政规制,可以理解为“在约束负责保护公民个人信息的行政主体自身行为的基础上,通过行使行政权力对涉及公共利益且通过市场机制难以合理处理的事项进行规范,实现对个人信息的高效保护”。目前对于如何运用行政规制保护个人信息,尚未有明确定论,有学者基于行政法的“组织法—行为法—救济法”的划分搭建了分析框架〔5〕,也有学者结合规制体系从“规制主体、规制实施与规制问责”方面进行了分析〔6〕。二者出发点虽有不同,但都体现了事前到事后的全流程保护的逻辑进路。在个人信息保护场域中,保护的不仅是个人信息权,更是包含人格权在内多种法益的权益群,因此对于个人信息保护的行政规制,应当涵盖事前立法预防、事中执法监督以及事后救济问责的全流程保护。
行政规制对保护个人信息非常必要,主要表现在两个方面:首先,行政规制有利于弥补民法规制与刑法规制对个人信息保护的不足。当前仅从民法和刑法层面无法实现对个人信息的全面保护,存在民法事前预防保护不周全、刑法事后保护无法达到立案标准的困境。就民法保护而言,民法往往是在个人信息遭受侵害后对其合法权益进行保护,涉及侵害前预防工作的条款较少,且多以说明性内容为主。如对个人信息的处理,《民法典》第1038条只表明了信息处理者保护个人信息安全的保障义务,同样第1039条也只提及了行政人员履职过程中所知悉自然人隐私信息的保密义务〔7〕。不过不同的是,后者内容涉及行政人员的保密义务,可以结合《行政诉讼法》通过多种行政手段对个人信息权益进行实质保护,并且《个人信息保护法》包含公法和私法元素,在一定程度上属于行政公开法律的范畴。不难发现,民法即使能够对个人信息提供较为完善的保护,也需要和行政法共同施行。就刑法保护而言,虽然《中华人民共和国刑法修正案(十一)》第253条规定了侵害个人信息的犯罪条件,然而个人信息遭受不法侵害在立案标准上存在模糊地带。按照现行刑法的相关规定,需要以行为人主观故意为基准来判断其是否侵害个人信息,对于行为人是否是在主观故意的基础上实施侵害,其侵害行为是否达到立案标准,在司法实践中一直饱受争议〔8〕。《个人信息保护法》关于行政处罚的相关内容在一定程度上可以弥补刑法惩戒的难题,其第66条规定,对于侵害个人信息但未构成刑事犯罪的企业,行政机关可以通过行政处罚对单位或个人进行警告与罚款。情节特别严重的会提升行政处罚形式的等级,从最轻微的警告到责令信息处理者停止经营活动,甚至吊销其信息收集处理的许可证。其次,行政规制有利于较大程度地防止相关主体对个人信息权益的侵害。如若缺少行政规制,在个人信息遭受侵害时,仅凭其他法律制度很难有效追责。行政规制不仅贯穿事前预防、事中监督和事后处理的个人信息保护全过程,还可以综合运用调查和处罚等多种手段进行快速与便捷的执法〔9〕。以2018年无锡培训机构侵害学生信息为例,便是由于“民事诉讼程序繁琐,刑事处理达不到立案标准”等原因,导致不法分子的猖獗之势难以压制。行政规制的独特之处在于被侵害人即使不主动维权,相关部门发现后也有权主动介入。该案中检察机关发现后便主动介入,同公安机关、相关教育主管部门共同对教育机构与学校相关人员进行了处理,在一定程度上维护了涉事群体的信息权益。对于个人信息的保护,可以说行政法与刑法、民法之间是互相补足的关系,三者对于个人信息保护可以被认为是一种“民法—行政法—刑法”的递进式进路〔10〕。当出现侵害个人信息权益的情形时,当事人可以选择民事诉讼等途径维护自身权益;如若侵害进一步加深,出现个人信息被贩卖、遭到泄漏等影响范围较广的现象,此时由履行保护职责的行政机关进行源头与传播途径的多重规制;如若侵害导致当事人面临诸如危害人身安全等严重社会后果,此时便需要刑法通过威慑、惩戒等方式来弥补民法与行政法在个人信息保护方面的不足。综上所述,无论从实然还是应然层面,行政规制对于个人信息保护都有切实之必要。
二、个人信息保护行政规制的实践检视
《个人信息保護法》的施行使得我国关于个人信息保护的法治建设取得了长足的发展,个人信息保护的相关立法不断健全,监督体制与处罚机制逐渐成熟,救济措施也在不断补充完善,然而实践中个人信息保护的行政规制仍显不足。
(一)立法内容的涵盖性有待加强
个人信息保护的行政立法包括制定个人信息收集、使用和处理的相关规章、指导方针和标准,以确保对个人信息的合理、合法和安全处理。《个人信息保护法》未出台之前,关于个人信息保护的相关立法内容散见于《民法典》、《中华人民共和国网络安全法》(以下简称《网络安全法》)、《中华人民共和国数据安全法》(以下简称《数据安全法》)。自2017年6月1日起施行的《网络安全法》是我国首个专门规定网络安全与个人信息保护的综合性法律,其对网络安全管理、数据出境等方面进行了规定。自2021年9月1日起施行的《数据安全法》为了规范数据处理活动、保护个人的数据权益,对有关个人数据开发利用活动作了专门规定。自2021年11月1日起施行的《个人信息保护法》是通过行政监督、行政处罚等手段来确保个人信息处理者合法处理个人信息的一部保护个人信息的专门法律〔11〕。个人信息保护行政立法的目的是保护个人信息主体的隐私权和信息安全,并规范社会中个人信息的收集、传输和存储活动。《个人信息保护法》详细规定了告知—知情—同意为核心的个人信息处理规则(详见第14条)、敏感个人信息的认定与保护规则(详见第28条)等内容,对个人信息的保护更为细化。然而现有立法的涵盖性仍显不足,比如法定保护个人信息的界限不够明确,没有严格区分个人信息与私密信息,法律条文也并未作详细说明。《民法典》第1034条提及了私密信息,然而《个人信息保护法》并未就私密信息这一概念作出相应界定,其虽然对敏感个人信息进行了说明,但私密信息与敏感个人信息并不等同。再如现有对于未成年人信息保护的相关立法仍不够全面。未成年人这一特殊群体不仅法律意识相对薄弱,而且自我保护能力也相对不足,《个人信息保护法》关于未成年人个人信息保护的内容仅为一般性规定,没有专门针对未成年人的信息保护措施,并且相关法条即第28条也只明确了14周岁以下未成年人的个人信息为敏感个人信息,但对于14—18周岁之间的未成年人的个人信息如何认定并未作出进一步规定〔12〕。
(二)监督制度的有效性有待提高
一是对民众、企业及互联网平台的监督。目前民众、企业及互联网平台对个人信息的非法侵害时有发生,其不法行为主要表现为对个人信息数据的收集与非法转卖。《征信业管理条例》明确规定征信管理部门拥有监督职能,其履行监督职能时应充分发挥事前审查制度的监督作用,包括对个人信息数据的收集、处理、利用是否进行登记备案的形式审查;对审查对象收集个人信息的目的是否真实及使用个人信息数据的方式是否合法的实质审查。此外,为了更好地督促重要互联网平台对个人信息的规范使用,《个人信息保护法》第58条规定了互联网平台的法律义务,要求其成立独立的监督机构,以便对自身处理个人信息数据的行为是否正当进行监督〔13〕。
二是对行政主体的监督。《个人信息保护法》第60条明确了负责保护个人信息的监管部门及其监督形式,着重提及由网信部门进行统筹协调。在此之前,网信、公安等部门拥有监督职能,但对于其自身履行职责缺乏有效监督。《个人信息保护法》对国家网信办统筹作用的明确,极大地减少了各部门在保护民众个人信息过程中的职能冲突,保证了行使监督职权机关的独立性。然而监管部门也存在无法全面行使监督职权的问题,因为个人信息数据遭受非法侵害、被不法分子贩卖,往往是通过“暗网”等隐秘形式进行的,监管机构很难及时发现,并且监管机构囿于执法权限,取证也非常困难。尽管《个人信息保护法》规定重要互联网平台要成立“独立的个人信息保护监督机构”,以协助监管部门监督,但目前并未得到有效落实,外部监督的效果尚未充分发挥出来,致使监督企业与互联网平台信息处理行为的效果大打折扣。
(三)处罚制度的严谨性有待强化
《个人信息保护法》对违规处理和使用个人信息数据加大了处罚力度。从关于罚款的内容来看,打破了以往罚款额度“最高不超过100万”的封顶。《个人信息保护法》第66条提出最高不超过5 000万或者不超过上一年度5%的营业额的处罚形式,此举极大提高了最高罚款额度。并且相较《个人信息保护法》未出台之前对于主管人员和直接负责人的处罚,罚款额度已从《网络安全法》规定的1万元至10万元增加到了现在的10万元至100万元。除此之外,在行为人违反相关行政法规但又没有构成犯罪的情况下,可以针对行为人不同程度的违法情节对应不同的处罚金额。与吊销从业许可证、剥夺行为主体从事信息处理与服务行业的资格相比,罚款这一手段相对缓和;相较于责令停业整改的处罚形式,罚款可以对违法行为主体进行经济制裁,产生直接的惩戒作用。并且行政处罚中的罚款作为一种财产式处罚,具有可量化性及可兼并性,也可以根据违法行为人的违法程度和其他处罚形式结合使用,诸如“罚款+停业整顿”“罚款+企业责任人追责”等。由此可见,《个人信息保护法》首次提出的“双罚制”不仅打破了以往封顶的罚款额度局限,而且开创性地将罚款与对涉事相关责任人的处罚相结合,为个人信息保护制度的施行提供了有力保障。不过有学者认为,现有个人信息保护行政处罚制度存在罚款主体不明确、罚款标准不清晰、罚款程序与结果缺乏监督等问题,需要引起高度关注〔14〕。
(四)救济程序的规范性有待提升
与之前的法律相比,《个人信息保护法》对个人信息遭受侵害的行政相对人的救济程度有所提高,特别是第69条第二款明确了损害赔偿的认定范围不再局限于财产损失,并且取消了赔偿上限50万元的限制。当行政相对人遭受行政主体侵害后,在对违法的行政主体进行相关处罚的基础上,行政相对人还可以通过行政救济的相关措施维护自身合法权益:对行政争议之处,行政相对人可以申请原来作出行政决定的机关或其上级监督机关审查,原来作出行政决定的机关或其上级监督机关按照程序对违法或者不当行为审查后进行纠正。《个人信息保护法》第50条规定,如若行政主体作为信息处理者拒绝行政相对人行使请求权,行政相对人也可以通过法定程序向法院提起诉讼,但是目前个人信息遭受侵害后申请行政救济困难重重。行政法虽然规定了行政机关行使权力不当时民众可以通过行政诉讼等方式寻求救济,但在实际救济过程中由于缺乏规范的指导,被侵害人在面对侵权的行政机关时,不仅取证难度较大,投诉维权也鲜有结果。此外,当前并未将保护个人信息纳入行政复议范畴,行政相对人无法就个人信息的处理问题向行政复议机关提出复查行政行为的申请。
三、个人信息保护行政规制的完善路径
(一)完善现行立法内容
针对个人信息保护立法层面的不足,可以考虑从以下几方面进行完善:其一,进一步明确私密信息与敏感个人信息的界限。可以对涉及个人信息的法律条文进行修订,或者出台相关司法解释。其二,出台对于未成年人信息保护的专门规定。应针对年龄分层次出台不同规定,填补14—18周岁年龄段的空缺,要求只要是18周岁以下的未成年人,对其个人信息授权同意的情况均需要监护人的知情同意。其三,制定充分告知与平等交流规定。以网络APP使用为例,其收集个人信息需用户授权同意,但相关授权内容冗长,一方面未成年人无法准确知悉授权内容,另一方面由于阅读需要耗费大量时间,未成年人为了快速使用往往直接选择同意,形成了“不知情—同意”的局面。这就要求互联网平台与相关企业要简明信息授权内容,确保未成年人能充分了解其授权提交个人信息的储存情况、信息去向以及使用情况。
(二)优化行政监督体制
一要细化监管部门的监督职能。应进一步划分监管部门对民众、企业和互联网平台以及行政机关的分类监督,以增强针对性。采取对应式监督不仅能够提高监管效率,预防侵害行为的发生,同时也能够对不当处理个人信息的行为作出及时反应,最大程度地保护个人信息。二要加强对互联网平台的治理。信息在网络中的流通性和无界性特征,在一定程度上增加了行政监管的难度,需要国家加大对互联网平台的治理,优化网络环境。比如授予监管机关一定的执法权力,监管机关就能够对随意发布他人信息等侵害行为作出相应管控或处罚。三要完善行政追责制度。行为人受到侵害涉及诸多主体,除对侵权主体追责外,也应对侵害链上其他协助侵权的主体进行追责。相关主体虽然没有直接侵害个人信息权益,但他们在传递信息的过程中可能获利,只有对他们违法或者不当行为进行处罚,才能更有效地遏制个人信息的窃取、传播与滥用等不法行为的发生,达到保护个人信息的目的。
(三)调适行政处罚机制
针对学界认为现有个人信息保护行政处罚制度存在罚款主体不明确、罚款标准不清晰、罚款程序与结果缺乏监督等问题,笔者认为罚款主体不明确与罚款标准不清晰更多的是基于各行业对于个人信息保护的考量,如金融行业对违规处理个人信息数据行为的处罚与医疗行业对违规处理个人信息行为的处罚应当有所不同,前者可能涉及经济效益,后者则可能与个人的安全相关,因而需要结合领域特性进行处罚。从本质来看,这是立法层面的问题,需要在立法层面予以细化。此外,行政處罚已经拥有十分规范的程序,并且其过程公开透明,可以说罚款的程序与结果实际上并不缺乏监督,不需要过分强调监督。
当前关于个人信息保护行政处罚的“双罚制”已较为完善,只需在信用制度方面进行调适即可。可以将违法处理个人信息以及违规使用个人信息的行为主体纳入征信系统,通过警告或者通报的方式对其失信行为进行惩处。如此一来,不仅可以对违规处理个人信息的互联网平台和违法贩卖个人信息牟取利益的企业公开警示,而且可以对其收集、处理个人信息的活动加以限制,通过影响行业名誉的方式达到惩戒和威慑的目的〔14〕。
(四)改进行政救济程序
行政救济实质上是对行政行为的一种另类监督,其目的是弥补不当行政行为对行政相对人造成的损失。为此,一应积极改进责任取证制度,让侵权主体提供相关证据,用以证明其没有实施侵害个人信息的行为。此举不仅有利于减轻行政相对人的举证负担,而且可以在一定程度上降低司法成本,有助于侵权双方争议的有效解决。二应通过出台相应规定或修订补充行政复议法拓宽救济途径。与之相对应的是,由于民众与行政机关地位不对等,泄漏个人信息更易给民众带来极大的精神困扰与名誉损害,因此可以考虑放宽提起行政诉讼的要求,并不一定要求民众的财产权等权利受到侵犯才可以提起行政诉讼,如若受到较为严重的精神困扰与名誉损害,民众也可以提起行政诉讼。三应通过完善行政赔偿制度,以加大行政机关及其工作人员侵害公民个人信息的成本来防止侵害行为的发生。此举一方面可以在一定程度上保障行政相对人的权益,另一方面可以降低行政机关及其工作人员违法行为的发生率。
〔参 考 文 献〕
〔1〕程 啸.论我国个人信息保护法的基本原则〔J〕.国家检察官学院学报,2021(05):3-20.
〔2〕张新宝.论个人信息权益的构造〔J〕.中外法学,2021(05):1144-1166.
〔3〕王利明.论个人信息权的法律保护——以个人信息权与隐私权的界分为中心〔J〕.现代法学,2013(04):62-72.
〔4〕王锡锌.个人信息国家保护义务及展开〔J〕.中国法学,2021(01):145-166.
〔5〕王瑞雪.规制法的体系分析——评《规制、治理与法律:前沿问题研究》〔J〕.公法研究,2021(01):383-395.
〔6〕陈 明.认真对待规制——评《规制、治理与法律:前沿问题研究》〔J〕.公法研究,2021(01):396-417.
〔7〕孙海涛,王红利.民法典时代个人信息保护的行政法回应〔J〕.行政与法,2021(12):66-71.
〔8〕王华伟.已公开个人信息的刑法保护〔J〕.法学研究,2022(02):191-208.
〔9〕邓 辉.我国个人信息保护行政监管的立法选择〔J〕.交大法学,2020(02):140-152.
〔10〕叶战备,闫 钊.行政规制视角下未成年人的网络安全保护〔J〕.青少年学刊,2023(04):46-55.
〔11〕周汉华.个人信息保护的法律定位〔J〕.法商研究,2020(03):44-56.
〔12〕王者鹏.未成年读者个人信息保护政策的构建与实施——基于《个人信息保护法》〔J〕.图书馆,2022(01):1-7.
〔13〕蒋红珍.《个人信息保护法》中的行政监管〔J〕.中国法律评论,2021(05):48-58.
〔14〕谢尚果,赵佳成.个人信息保护中行政罚款制度研究〔J〕.河北法学,2024(01):59-72.
责任编辑 梁华林
〔收稿日期〕 2024-02-08
〔基金项目〕 国家社会科学基金一般项目(20BZZ090)。
〔作者简介〕 叶战备(1970-),男,安徽桐城人,南京审计大学国家治理与国家审计研究院执行院长,教授,法学博士,博士研究生导师,主要研究方向为政务数据治理、数字公共治理。
闫 钊(2001-),男,回族,河南商丘人,南京审计大学国家治理与国家审计研究院研究助理,主要研究方向为网络治理、个人信息保护。