查看原文
其他

崔梦雪:个人信息保护的行政法制度考察

崔梦雪 上海市法学会 东方法学 2022-06-09
崔梦雪  东南大学法学院硕士研究生。


内容摘要

随着大数据技术的发展和政府职权的不断扩大,个人信息的价值也在不断丰富,不仅可以给市场经营者创造巨大的经济价值,还能提高政府公共管理的效率。然而各种非法收集、处理和利用个人信息的现象也随之产生,具有侵权者和保护者双重身份的行政主体在个人信息保护领域中也显现出独特的价值和功能,个人信息的行政法保护问题逐渐受到人们的关注和重视。通过比较和界定大数据时代下个人信息的基本概念,梳理我国目前有关个人信息保护的行政法制度现状,结合国外的先进经验与成果对当前存在的一些问题进行研究和探讨。

关键词:个人信息保护 大数据 个人隐私 行政法 政府信息公开



一、问题的提出及意义

随着信息技术的飞速发展,应用大数据技术的热潮席卷全球,人类迎来了大数据时代。在这种特殊的环境下,个人信息已经成为一种可以带来巨大经济效益和价值的重要战略资源,企业可以借此更精确地开发和推广产品,政府也可以更高效地实施公共管理。然而,新时代新兴技术的发展和普及虽然为个人信息的收集、处理和利用赋予了前所未有的价值张力,同样也为不法分子滥用技术条件、实施违法行为提供了温床,各种对个人信息的泄露、非法收集和利用等问题也随之而来。在大数据技术的支持下,非法收集、存储、利用和传播个人信息的侵权行为变得更加隐蔽,诸多通过社交网络产生的数据等没有任何固定形式的非结构化数据也能被深度挖掘出其潜在的价值,海量的个人信息在我们日常使用智能手机、互联网的过程中就会被不知不觉地获取和泄露出去,例如现在有很多网站能够通过几个搜索、浏览记录就可以准确地分析出个人喜好,精准地在网站界面上推出相应的产品刺激购买,再或者我们日常经常莫名其妙地接到房产中介、考试报名指导、金融理财等类似的骚扰电话,每个人的生活变得透明可见,甚至是可以预期的。根据互联网协会近几年发布的相关调查报告中的数据统计,我国网民每年因信息泄露就能产生几百亿人民币的损失,这些无法逃避的事实向我们敲响了警钟,在大数据时代加大力度保护个人信息已成为当务之急。

在人们权利意识日益高涨的当下,个人信息保护问题已然受到人们的密切关注和重视,而目前我国在个人信息保护的法律制度方面明显滞后。其中,承担了对个人信息进行保护重要功能的行政法律制度尤为明显,存在对法律所要保护的“个人信息”概念认识不清、立法散乱、缺乏配套的组织结构设置及相应的程序性规定等问题。

现阶段,我们需要重视和加强行政法领域对个人信息保护问题的研究,不单在于个人信息保护已经成为各部门法都应给予高度关注并提供解决办法的普遍性问题,更重要的是在个人信息保护问题上,行政法保护手段有其独特的功能和作用,主要在于以下几点:

首先,行政法对个人信息的保护较之于民刑来说有其优势所在。个人信息保护实际上处于一个交叉领域,可以涉及不同的部门法,其中民法和刑法在个人信息保护上主要呈现出事后保护的特点,存在滞后性的弊端。而行政法能够提供事前保护和事后保护相结合的,更加全面、系统的保护路径,可以通过事前的规范和监督,有效预防侵犯个人信息事件的发生。另外,行政主体得天独厚的组织管理优势,以及在行政法制度下呈现的高度权威性、技术性和效率性,利于更加有效地处理和平衡好私权利主体之间的矛盾与冲突,为保障私权利主体的合法权益提供强有力的后盾,在避免个人信息被不法行为侵害和提供科学有效的救济方面发挥着不可替代的作用。

其次,行政主体已逐步演变为当前个人信息的主要侵权主体之一。对于行政主体来说,由于其拥有天然的信息搜集优势,在履行职责的过程中就能收集到大量的个人信息,例如户籍管理、社会保障、税收记录等等,而通过收集整合这些个人信息一方面能够极大地提高行政主体公共管理的效率,另一方面也导致个人信息不仅面临来自企业等营利性组织的不法侵害,也不可避免地受到行政主体滥用权力,导致个人信息被不当收集、处理与利用的风险威胁。例如一些地方政府的官网上直接挂出了涉及低保救助人员的姓名、身份证号、住址等十分重要的个人信息,并且未做任何的模糊处理,导致个人信息被公然泄露,严重损害了政府的公信力和公民的人格尊严,也更显示出我国部分政府工作人员保密意识差,以及在个人信息的行政法保护方面存在缺失等问题。又如本次新冠疫情期间,益阳市部分小区业主群内出现并流传出涉及多人个人隐私信息的相关病例调查报告,系由当地健康局工作人员不当转发导致。由此可见,行政主体也能成为侵犯公民个人信息的滥觞,需要受到法律的严格规制,但是仅凭民法和刑法很难全面追究行政主体及其工作人员的责任,存在较大的局限性,需要行政法律制度加以补充和规范。

另外,政府信息公开制度同个人信息保护制度之间存在着天然的矛盾与冲突,如何协调两者的关系亦是在构建个人信息保护制度过程中需要重点关注的问题之一。而这一问题的解决必须依靠行政法律制度,只有从行政法方面落实具体的规定,才能切实平衡好两者之间的关系。

最后,重视个人信息的行政法保护手段亦是依法行政的必然要求。随着生产力的迅猛发展,现代社会经济事务变得更加多样化和专业化,政府管理社会经济事务的职能不断扩大,现代各国的行政权力普遍呈现出扩张的趋势,极易导致行政主体滥用其权力的现象发生,掌握权力的人们使用权力只有在遇到有界限的地方时才会休止。当前,行政主体已经成为不法侵害个人信息的主要侵权主体,行政权力更加需要受到法律的限制。而行政法保护的实质就在于控权,在行政法律制度的严格规制之下可以督促行政主体严格依照法律办事,在法律规定的权限内行使职权,防止其滥用权力,这也是落实我国关于推进依法行政、建设法治政府的必然要求。



二、个人信息界说

(一)个人信息概念及其“周边关系”的界定

关于个人信息的基本概念,目前我国学界多数是采用识别说的理论去定义,将个人信息界定为“一切足以构成对个人进行识别的信息”。在立法工作上,通过比较业已问世的民法典第1034条,2017年公布的个人信息保护法(草案)第3条以及2020年10月13日提请全国人大常委会会议审议的新版个人信息保护法(草案)对个人信息的定义,能够发现三者虽然在对个人信息概念的阐释中存在些许差别,但仍能总结出三点共同要素,分别为“可识别的”“以电子或者其他方式记录的”“与特定自然人有关的”。因此,在我国个人信息主要被界定为“以电子或者其他方式记录的,能够单独或与其他信息相结合从而可以直接或间接地识别到特定自然人的各种信息,涵盖生物、家庭、社会等各方面”。

另外,虽然在世界范围内已有许多国家针对个人信息保护作出了专门的立法,如美国的隐私权法、德国的联邦数据保护法、日本的个人信息保护法等,但是至今还没有形成一个统一精准的定义,在用词上除了使用“个人信息”之外,许多国家和地区在立法时采用的是“个人资料”“个人数据”“个人隐私”这三种与个人信息较为相似的称谓。从本质上看,这些国家的立法宗旨与所要保护的内在法益是一致的,但是每个不同的词汇都有其一定的侧重点,为保证法律用语的一致及法律概念的准确性,减少法律解释的负累,仍需准确界定个人信息与上述三种周边概念的联系和区别,划清概念之间的界限。

1.个人信息与个人资料

国际上早期关于个人信息保护方面的立法常使用个人资料一词,从词汇的字面含义上比较来看,资料指的是物化存在着的客观事物,而信息则是经过人的主观能动性选择处理后的内容,能够起到识别的作用,比资料更具有受法律保护的价值。同时,随着计算机技术的发展,个人信息呈现的形式更加多样,个人资料已经无法涵盖所有形态的个人信息。由于个人信息和个人资料有着明显的区别,后期国际上的立法文件多呈现在个人信息与个人数据、个人隐私上的用词差异。

2.个人信息与个人数据

数据是指对已经存在的事实、客观的活动、状态等数字化的描述和记录,通常情况下,数据一词主要在电子、通讯等专业技术领域里广泛使用,强调专业性和技术性。与个人信息相比,数据同资料更为相似,更加注重外在的客观表现形式,而信息在此基础上多了一层经过人的加工处理选择的程序,减少了事物的一部分不确定性,增添了更多的主观色彩,两者之间既有联系又有区别。数据的外延比信息更加广泛,它承载的内容既包含需要受到法律保护的这部分数据,也就是信息,还包含大量无价值的数据,而这部分数据不需要由法律去保护。

3.个人信息与个人隐私

在个人信息和个人隐私的关系方面,理论界一直存在着很大的争论,主要包括两种观点:一类认为个人信息和个人隐私是包含关系,从该角度出发又可分为主张个人信息的范畴大于个人隐私的个人信息包含说和主张个人隐私的范畴大于个人信息的个人隐私包含说;另一类则主张个人信息和个人隐私是一种复杂的交叉关系,本文更倾向最后一种观点。

在社会飞速发展与进步的带动之下,隐私权所保护的法益也在不断扩充。前不久,我国刚刚公布的民法典明确将隐私界定为“自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息”。而个人信息指的是能够与特定人相关联的具有可识别性的信息,比如家庭信息、医疗健康信息等等,可以看出两者在内容上存在一定的交叉,但仍然具有十分明显的区别。首先,从表现形式上来看,隐私不仅包括个人私密信息的表现形态,还能以私人生活、行为方式等形态体现,而个人信息只能呈现为一种固定的信息表现形式。其次,从权利保护的范围上看,隐私权所保护的信息更强调私密性,主要指的是个人不愿意透露或被他人知晓的这部分信息。个人信息则强调的是可识别性,凡是可以指向具体个人的信息,不论是单独还是需要与其他信息结合之后识别到特定个人,都属于个人信息权保护的内容,并且这部分信息不一定是个人不愿意公开披露的信息,还包括个人主动愿意公开的部分信息。另外,信息技术的发展已经赋予了个人信息独立的存在价值,个人隐私制度传统的被动保护思维和方式已经无法满足信息化社会下个人对其信息保护的新诉求,因此个人信息有必要单列出来加以保护。

(二)个人信息的特征和类型

1.个人信息的特征

实际生活中处处产生并存在着与个人有关的信息,但并不是所有与个人相关的信息都作为法律研究和保护的对象,其至少应当具有以下特征:

(1)可识别性。不论是立法还是理论研究对个人信息所下的定义,都可以看出其具有明显的可识别性,人们能通过单独的信息或者将琐碎的信息加以整合便能识别到具体的个人。

(2)广泛性。大数据技术的发展使得个人信息呈现广泛性的特点。从内容上看,即使是看上去无关紧要的、碎片化的信息,通过技术处理也可以指向特定的自然人。从载体上看,个人信息的载体不再局限于传统的纸质文档资料,还可以通过电子设备等新兴技术记录和呈现。

(3)时效性。每个人从出生到死亡,伴随着时间的推移,其个人信息也在不断更新变化,比如家庭住址、职业、身体健康状况等,而这些信息的更改对于识别到一个特定的自然人具有十分重要的作用,因此个人信息也具有时效性的特点。

2.个人信息的类型

大数据时代下个人信息有着十分宽泛的外延,仅凭教育信息、医疗信息、消费信息、交通信息等诸如此类的列举也无法穷尽,因此需要选取一定的标准分类有利于更准确直观地认识和区分个人信息。

首先,以识别方式为标准,可以分为直接和间接的个人信息,直接个人信息指的是那些只需单独存在就能识别到具体自然人的信息,而间接个人信息则指的是那些只有同其他信息相结合才可以指向特定具体个人的信息。

另外,以信息与特定自然人联系的紧密度,还可以分为敏感信息和一般信息(非敏感信息)。敏感信息跟个人隐私密切相关,如生物基因信息、个人行踪信息等,这类个人信息不能随意公开和处理,需要由法律专门作出严格的限制。而对于一般信息,信息主体可以作出相对的让渡,便于国家实施高效的公共管理,促进企业等市场经营者创造更大的社会财富,从而达到三方利益的平衡。在判断哪类信息应当归属于需要受到法律特别保护的个人敏感信息时,主要可以从“一旦泄露是否会导致信息主体的人身、财产或人格尊严受到重大伤害”“造成伤害的几率大小”及“特定社会中多数人对该信息的敏感度”三方面进行综合考量。

最后,以是否公开为标准,可以分为公开和未公开的个人信息。公开的个人信息,应当允许其在正当合理的范围内处理和利用,在另作他用时还需经过信息主体的同意。对于未公开的个人信息,除了在有法律强制性规定或者利于保护信息主体的权益等确有必要的情况下,不应当随意收集、处理和利用。



三、我国个人信息保护的行政法制度现状及存在的问题


(一)我国个人信息保护的行政法制度立法现状



近年来,我国行政法领域逐渐重视起关于个人信息保护方面的立法工作,但尚未形成一部专门用来保护个人信息的行政法,相关规定呈现出分散化的特点,主要散见于各类法律文件的具体条文之中。



1.中央层面的行政法律制度

截至目前,我国在中央层面上涉及个人信息保护方面的法律文件有一百多个。首先,在我国的宪法条文中并未明确规定出保护个人信息的字眼,但是个人信息承载着极为重要的人格尊严价值,因此可以通过宪法第38条和第40条依法保护公民的人格尊严、通信自由及通信秘密的相关规定中找到个人信息应当受到法律保护的依据。

其次,我国明确规定保护个人信息的行政法方面的法律有近20部,但多数以单个条文的笼统性规定为主,例如2018年修正的社会保险法只有第92条涉及保护个人信息,规定了相关人员不得泄露个人信息,否则对相关责任人依法给予处分。诸如“应当保护个人信息”“不得泄露个人信息”“在……过程中知悉的个人信息,应当予以保密”“相关部门及其人员的保密义务+依法给予行政处分或追究法律责任”等类似概括性规定形式的法律文件,还有电子商务法、国家情报法、核安全法、居民身份证法、出境入境管理法、统计法等。还有几十部法律如政府信息公开条例、行政复议法,是通过强调保护个人隐私,不得随意查阅和公开的方式保护涉及个人隐私的信息。值得一提的是,2017年发布实施的网络安全法作出了较为详细的规定,明确了个人信息的概念,指出网络经营者收集利用个人信息的具体方式,以及在这一过程中应当遵循的基本原则和义务,还规定了相关行政部门的监管举措及其保密义务,以及违法者具体承担的行政责任,如罚款、没收违法所得等,具有很强的操作性,但是这也只是针对网络运营中的个人信息保护,并未涵盖所有应当受到法律保护的个人信息。实际上我国2017年就已经公布了较为成熟、系统的个人信息保护法草案,继2019年12月20日全国人大常务委员会法工委公开声明将于2020年制定个人信息保护法之后,个人信息保护法(草案)已于2020年10月13日正式提请十三届全国人大常委会第二十二次会议审议。

另外,我国行政法规中关于个人信息保护的相关规定较之法律来说,扩大了一部分保护个人信息的行政管理领域,例如在2019年修正的社会救助暂行办法、全国经济普查条例、居住证暂行条例等近30部行政法规中都设置了一到两条概括性规定,明确指出相关行政部门、服务机构及其人员对工作中知悉的个人信息负有保密义务,一旦违反规定对外泄露、非法向他人提供或出售个人信息的,依法承担相应的行政责任及刑事责任。

最后,我国现行有效的有明确保护个人信息字眼的部门规章有50余部。这些部门规章进一步扩大了个人信息保护的内容和范围,涉及保护个人信息的领域更加宽泛,例如互联网域名管理办法、互联网信息内容管理行政执法程序规定等文件拓宽了网络运营管理领域中相关人员对个人信息的保密义务;国内水路运输管理规定、房地产经纪管理办法等文件扩展了经营活动管理领域个人信息保护的内容。总的来看,这些部门规章多数依旧按照法律、行政法规的模式,仅泛泛地规定了不得泄露个人信息,否则需承担相应的法律责任。其中,2019年10月1日起施行的儿童个人信息网络规定详细规定了网络运营者在实行收集利用儿童个人信息等行为时应当遵循的原则及义务,但是从内容上可以看出,该文件主要是依照网络安全法制定的,依旧存在适用范围等方面的局限性。

2.地方行政法律制度

我国现行有效的地方性法规规章明确规定保护个人信息字眼的有400多部,其中省级地方性法规占比比较大,各省市基本都针对当地个人信息保护的需求制定出了相关领域的法律规范。较之中央层面的法律规范来说,地方性的法规规章进一步拓宽了保护个人信息的领域,涉及的范围更加全面、多样,例如许多省市在献血、志愿服务、器官捐献等公益服务管理领域中都明确规定了相关部门机构及其工作人员的保密义务,还有一些省市针对视频监控、流动人口服务管理、住房租房保障、信访,以及本次新冠肺炎疫情防控工作等公共服务管理领域设置了专门条文以保护个人信息。虽然地方性法规规章涉及保护个人信息的领域进一步扩大,但是仍旧采用笼统概括的原则性规定的方式,大多数文件依然存在实际操作性差等问题。

3.其他规范性文件、政策的规定

近年来我国在行政法领域越来越重视个人信息保护的问题,不仅体现在立法工作上相关法律文件的增多,大量规范性文件及国家政策的发布和实施亦说明了这一点。我国截至目前已经出台的行政规范性文件以及政策性规定,在疫情防控、人口普查、政务新媒体、医疗健康、电子商务、市场监管、社会服务等各个方面都明确提出了保护个人信息的要求,另一个方面也反映出社会对个人信息保护需求的普遍性。2013年工信部与其他部门联合制定出了我国在个人信息保护方面的第一个国家标准,并作为一部指导性技术文件在有关处理个人信息的相关活动中发挥着重要的示范性作用。


(二)我国个人信息保护的行政法制度内容

纵观以上对我国个人信息保护的行政法制度梳理,能够发现我国相关规范中很多都包含了保护个人信息的字眼,其中涉及个人信息保护的具体内容大体上可以概括为以下几个方面:

第一,明确了个人信息的定义和范围,部分法律规范如网络安全法、统计法均采用“能够识别自然人身份”的类似表述界定了其所要保护的个人信息的范畴,其他法律规范主要通过列举的方式指出个人信息具体包含哪些内容。

第二,确定了个人信息收集、处理和利用需要遵循的基本原则,包括目的告知、主体知情同意、限制利用、安全保证、可纠错等原则。

第三,规定了个人信息主体享有的权利,主要包括对个人信息收集、处理、利用相关情况的知情权,收集和利用个人信息需要经过信息主体同意的信息决定权,以及信息更正权、信息删除权等。

第四,规定了相关主体对个人信息负有保密义务以及需要承担法律责任,多数法律规范主要采用“应当保护个人信息”“不得泄露在……过程中知悉的个人信息”的表述方式以明确相关领域的经营者、履职者及其主管部门或监督机关、监督检查人员的保密义务,在法律责任方面多表述为依法追究其法律责任或者依法给予行政处分,少数法律规范如网络安全法、儿童个人信息网络保护规定、消费者权益保护法对法律责任作出了具体规定,明确了具体的追责类型和幅度,列明的处罚方式主要包括罚款、没收违法所得、吊销营业执照、拘留、计入信用档案并对外公示等。


(三)我国个人信息行政法制度存在的问题

1.立法分散混乱,可操作性不强

通过梳理我国目前关于个人信息保护的行政法制度现状,能够看出我国个人信息的行政法保护仍处于缓慢发展阶段,在行政立法保护方面呈现出一种零碎、分散的保护状态,各法律文件之间的协调性较差,具有部门化、分散化的倾向,没有形成系统完备的法律法规体系。通过上文的现状梳理也能发现我国目前出台的法律文件多数针对的是互联网、通信等特定行业,缺乏一部统一规范的个人信息保护法进行专门规制,各机关部门仅针对各自特定的领域作出相应的规范,适用范围较为单一。另外,虽然我国相关的行政立法文件越来越多,但是可操作性并不强,大多数都是模糊笼统的原则性规定。除了个别法律文件对相关主体具体行为过程中需要遵循的原则、义务以及相应的法律责任作了较为详细的规定以外,其他法律文件基本都只用了一两条概括性地规定了相关主体的保密义务,对于个人信息的具体内容没有明确的界定,并且对于法律责任的规定也十分简单,保护力度远远不够,还容易导致执法者肆意裁量,无法有效地付诸于实践当中。

2.保护对象不够明确

各法律规范在制定过程中,应当首先明定个人信息这一客体的基本范围。然而通过前文对我国行政法律制度现状的梳理,可以发现我国大部分法律规范中都缺乏对个人信息的基本概念和内容明确的界定,作出列举的基本都是姓名、联系方式、住址等社会交往类的个人信息,只有少数的特定领域中专门规定了针对其领域特点应当保护的个人信息,例如生物医疗领域的基因、病史信息等。另外,大数据技术的发展促使人类逐步进入了信息社会,社会中的每一个人都不再只是具有保护其个人信息的需求,同时也产生了利用并依赖他人个人信息的强烈需求,个人信息不仅可以为市场经营者创造巨大的经济效益,还可以为政府实施公共管理,服务和满足公共利益带来便利。例如本次新冠疫情防控期间,我国通过实行“健康码”绿色出行、每日健康打卡上报系统等举措,充分收集和获取人们日常健康状况、行程轨迹等个人信息,在抗击和防控疫情工作中发挥了至关重要的作用。因此法律对个人信息的保护程度不能同传统的隐私保护制度一样给予绝对的保护,这其中所涉及的利益主体与内容更加复杂、多元,在个人信息保护的立法过程中需要平衡各方利益,保护个人信息与合理收集、处理并利用个人信息拥有同等重要的地位和价值追求。但是我国目前的法律规定多数只是泛泛地规定了需要保护个人信息,并未区分哪一类个人信息需要提供强力的保护,哪一类则可以倾向于保障其他主体的利益,由个人信息主体作出一定的让渡。其中,新修订的政府信息公开条例体现了一部分对信息分类保护的思想,规定了涉及个人隐私的信息属于一般不予公开的信息,但存在第三方同意或者不公开会严重影响公共利益则可以公开这两种例外,显示出立法机关在制定法律规范的过程中多少考虑到了如何平衡个人隐私信息保护和信息公开背后所固有的个人利益与公共利益之间的矛盾,不过仍存在着效力层级不够高、具体内容不够详细等问题。

3.行政监管缺位

行政监管从广义上来讲指的是行政主体对其所辖事务进行监督和管控,在规范相关主体的活动,维护社会和经济的平稳运行过程中具有重要地位,同样也是保护个人信息的重要手段之一,贯穿于事前、事中、事后的全过程。虽然我国涉及个人信息保护方面的法律文件多数都有行政监管责任相关的规定,但实际上仍然存在诸多不容忽视的问题。日常生活中我们的个人信息主要面对来自两类主体的侵犯,一类是作为私权利主体的社会组织和个人,另一类是代表公权力的行政主体。一方面,由于我国相关法律文件在监管主体、标准和责任等方面的规定十分模糊,没有设置一个专门的监督管理机构,主要由各自领域内相应的监管机关负责监督和检查相关经营者、履职者对个人信息的收集利用行为是否合法,并且缺乏统一的监管原则、方式和程序,极容易导致在执法实践中产生异化,出现对个人信息的重复收集、多头收集等现象,以及在个人信息受到上述两类主体的侵害时,发生各部门间相互推诿、不作为或乱作为等现象。另一方面,我国对第二类公权力主体采集、处理和利用个人信息的行为严重缺乏约束和规制。大数据技术的发展为行政主体实施公共管理带来了便利的同时,也极易造成个人信息被不当搜集和利用。然而我国目前对于行政主体的管制主要集中在泄露、出售和非法提供给他人这三种侵权行为,对由于错误信息未及时更正等其他类型的侵权行为给相对人造成损害依旧缺乏配套的法律规定。并且在追究其法律责任时,相关法律文件也仅采取了“依法给予行政处分”这种简单的宣示性规定,无法有效遏制行政主体的侵权行为。

4.行政救济困难

正如西方法谚所言:“无救济则无权利”,如果个人权利受到侵害却没有充分的救济途径,不仅会使其权利受到损害,更会降低法律的权威性和政府的公信力。如前文所述,行政主体享有天然的信息收集优势,基于其社会管理职责就能轻而易举地采集到公民的个人信息,建立起一个庞大的信息数据库。然而一旦相关工作人员缺乏对个人信息的保护意识,滥用职权随意超越行为目的和范围收集个人信息,或者将所掌握的个人信息不当处理和利用或非法提供给他人,都会极大增加个人信息遭受侵害的风险。

另外,行政主体还拥有天然的优势地位,当公民遭受来自行政主体的侵害时很难与其抗衡,尤其在大数据时代下,公民凭借自身力量找到权利受侵犯的证据变得更加困难。然而我国在行政救济方面的法律规定还很匮乏,在个人信息的行政法保护呈现碎片化的情势之下,还有很多领域仅泛泛地规定了行政主体的保密义务,没有明确界定其搜集利用公民个人信息的正当目的、范围、方式及程序,甚至没有规定相应的法律责任。目前仅有少数几部法律如新修订的政府信息公开条例提供了投诉、举报、申请行政复议、提起行政诉讼这几种救济途径,尚未形成一个系统完备的行政救济制度。



四、完善我国个人信息保护的行政法制度的建议

(一)选择适当的立法模式

国际上已有许多国家形成了相对完善的个人信息保护制度,在立法模式上主要体现为三种立法类型,分别是以美国为主的分散立法模式、以德国为主的统一立法模式和以日本为主的两种相结合的立法模式。由于各国的社会经济发展和历史文化传统存在不同,我国在学习与借鉴的过程中也应当立足本国国情,平衡利弊,选择出一个适合我国现实需要的立法模式。美国的分散式立法是针对不同领域制定各自专门的法律规范,并且十分重视行业的自我约束,这种模式的优点在于更加灵活、更具有针对性,但是也存在保护范围受限、标准程序不统一等弊端。德国采取的统一立法模式则更加重视法律的稳定性和统一性,制定一部可以统一适用于行政机关和非行政机关、不分部门领域的个人信息保护法,但是相应地也会存在不能及时跟进社会发展速度等缺点,容易对市场经济的灵活发展造成束缚。日本虽然在立法模式上主要借鉴了德国,确立了统一适用于公共部门和非公共部门的基本原则,但是在具体的规则设计上可以看到很多美国模式的影子,在需要特殊保护的领域允许制定个别法,有针对性地进行调整和规范,另外也鼓励非公共部门进行行业自律,创设了一种适合本国国情的统分相结合的模式。

基于我国悠久的成文法历史传统,以及我国目前个人信息保护的立法现状呈现出的立法层级偏低、立法领域分散混乱等问题,迫切需要出台一部统一细致的个人信息保护法予以规范,目前我国已经形成了专门的个人信息保护法(草案),并提交至全国人大常委会审议。另外,由于我国相关理论发展还不够成熟,相关主体以及公民自身的保护意识也都略显淡薄,既无法立马做到像德国一样出台一部足够健全的个人信息保护法,也无法像美国一样在政策引导之下重点依靠行业自律。因此我国可以借鉴日本的先进经验,充分学习不同模式的优点,首要任务是先制定出一部个人信息保护法以统筹我国有关个人信息保护方面的所有法律文件,明确其基本原则、适用范围、相关概念以及信息主体所享有的权利,区分国家机关和非国家机关各自应当遵循的规则、程序和义务,细化法律责任的认定和处罚标准等。同时,在法律和政策的协同指导下重视起行业自我管制、自我约束的积极作用,充分发挥其能够快速适应新变化并能及时调整等优势。

(二)明确个人信息的范围和种类,实行分类分级保护

如前文所述,大数据时代下个人信息作为一类有着丰富价值的战略资源,不仅具有人格尊严和人格自由价值,还存在很高的商业利用价值和公共管理价值,其背后所代表的是不同利益主体之间的冲突与平衡关系。因此为促进我国社会经济的发展,提高政府公共管理与服务的效率,不能对所有类型的个人信息都提供绝对的保护,需要在制定法律的过程中对个人信息进行明确的分类,在此基础上分别提供不同级别的保护强度,从而兼顾各主体的合法权益,找到其中的平衡点。

首先,在相关立法中应当明确个人信息的基本范围,各行各业需要重视和保护的个人信息多少会存在不同,应根据其自身特点划定该领域需要保护的个人信息,从而提供有针对性的、合理有效的保护。其次,为达到各方利益的平衡,需要区分不同种类的个人信息以提供不同程度的法律保护。目前学界多数赞成将个人信息分为个人敏感信息与一般(非敏感)信息,其中,个人敏感信息主要指的是涉及个人隐私,一旦公开会对个人生活造成重大的不良影响,具有高度私密性的这部分信息,因此法律在保护这类个人信息时需要提供高强力的保护,严格限制其他利益主体的收集利用等行为,只有在特定情形下且具有充分合理、正当的理由时,以显著方式告知并经过信息主体的同意才可以在必要限度内处理和使用。而对于一般个人信息,则需要由个人信息主体作出一定的让渡,按照法律规定的原则和程序允许相关主体在合理范围内收集和利用,比如需要有正当的收集利用个人信息的目的,在收集、利用个人信息时除了需要得到个人的同意以外,还应当对其进行去身份化的处理,使得这些信息达到无法指向具体个人的标准等。另外,在构建个人信息保护的行政法律制度中同样也需要重视起如何协调个人信息保护与政府信息公开之间的关系,后者在保障公民的知情权,推进政务公开、透明、高效等方面发挥着至关重要的作用,然而其背后所代表的公共利益与个人信息保护制度所维护的个人利益之间的矛盾与冲突同样不容忽视。为有效实施公共管理,行政主体可能需要搜集大量的个人信息,此时如果不加选择地将这部分内容对外公开,不仅会对个人的合法权益造成损害,还可能会给不法分子以可乘之机,导致个人权益遭受二次侵害,因此如何协调两者之间的关系同样是个人信息行政法保护过程中需要重点解决的问题之一。落实到实践中可以细化相应的法律规定,政府信息公开条例虽然已经体现了这一思想,但仍存在立法层级不够高、具体内容和程序不够详细等问题,因此在之后制定个人信息保护法的过程中还需要重视两者的衔接问题,明确平衡两者关系所应遵循的原则。比如可以将行政法中的比例原则内化进去,在公开信息与否涉及个人利益与公共利益之间的冲突时,应当首先坚持以维护公共利益为优先,但是需要将公开的信息范围划定到合理的范围内,尽量减小信息的可识别性,将个人利益可能受到的损害降低到最小。

(三)设立专门且独立的个人信息保护监管机构

目前我国暂时还未形成一部统一的个人信息保护法,有关监管机构的规定散见于各领域各层级的立法文件当中,很容易产生权力关系混乱、权责不统一等问题,导致在发生违法行为时极易出现各部门之间相互推诿,并且难以问责到具体部门的情况。因此为确保法律规定得以有效执行,我国有必要设立一个专门且独立的行政监管机构对个人信息的收集、处理和利用等各个环节进行管理和监督,贯彻在事前、事中、事后的各个方面。

其职能可以包括事前的审查制度,即通过登记、许可等方式对相关主体收集、处理和利用个人信息的行为进行形式审查与实质审查,实质审查的对象可以包括收集利用的目的、范围、方式和程度是否真实合法等。其次,还可以通过定期汇报、突击检查等方式对相关主体处理个人信息的行为进行事中的检查和监督。同时还要赋予行政监管机构一定的强制力,允许其依职权或依申请对疑似违法收集、处理和利用个人信息的行为进行调查和追责。

另外还应当保证该行政监管机构的独立性,实行从中央到地方、自上而下的垂直领导制,充分保障其能够独立行使职权而不受其他行政机关的干涉,全面公正地监督各类主体收集、处理和利用个人信息的行为,从而有效促进公正执法,提高监管工作的效率。


(四)完善个人信息保护的行政救济制度

健全的救济制度是维护社会稳定与保障权利实现的关键一环。在公民的个人信息受到行政主体的侵犯时,需要一个完善系统的行政救济制度作后盾。目前在我国行政法领域里占有重要地位的救济途径主要有三个,分别是行政复议制度、行政诉讼制度和行政赔偿制度,这几种同样也是保护个人信息的重要救济方式。

第一,在行政复议和行政诉讼之间的衔接关系方面,我国主要规定了自由选择制、复议前置制和复议终局制。在应用到个人信息保护中时,由于行政复议和行政诉讼各有其利弊,行政复议制度在时间效率上更加快捷,可以在个人信息遭受侵害后提供及时的救济,而行政诉讼制度在司法机关介入之下则更具有公正性,因此在个人信息保护的救济制度中,可以规定由信息主体自由选择采取哪种方式维权。如果选择申请行政复议,应当由上文提到的专门的个人信息保护监管机构来担任复议机关,以保证复议结果更加专业和公正。第二,行政赔偿在行政救济制度中同样属于不可缺少的角色。然而我国当下的国家赔偿法划定的行政赔偿的适用范围比较窄,只有人身权和财产权受到行政主体侵害时才可以请求行政赔偿,没有涉及人格权等其他权益。但是在实践中,公民的个人信息一旦受到不法侵害,不仅会造成一定的财产损失,精神上也可能会遭受严重的损害,仅凭目前的行政赔偿制度无法实现合理的救济。因此我国还需要进一步修改和完善国家赔偿法的有关规定,扩充行政赔偿的适用范围,在公民的个人信息受到行政主体非法侵害时也能享有取得行政赔偿的权利,切实保障信息化时代下人们所产生的新诉求。

在人类已经步入大数据时代的今天,对个人信息的收集、存储、加工与利用变得越来越日常化、简单化,个人信息的独特价值在为人们的生活提供便利、促进社会经济发展的同时,各类非法侵犯公民个人信息的问题也相伴而来,个人信息保护问题急需引起人们的关注与重视。同时,在行政权力不断扩张的趋势下,公民的个人信息还会遭受来自行政主体的不法侵害。然而我国行政法领域在个人信息保护方面的研究尚处于起步阶段,相关法律制度还不够完善,无法有效保障公民的合法权益。因此需要我国充分重视起个人信息的行政法保护功能,尽快落实相关立法活动,积极推进我国关于个人信息保护的行政法制度建设,从而在大数据的时代潮流中发挥出关键作用。



上海市法学会欢迎您的投稿

fxhgzh@vip.163.com


相关链接

罗培新:疫病境外输入压力日增,外国人可到中国免费医疗?国民待遇,绝不应等于“国民的”待遇

罗培新:“作业帮、题拍拍”等摧毁的,或许是我们最应珍视的价值

罗培新:医护人员“集体放弃”抗疫补助?法理事理情理,理理皆输

王军:建设工程逾期未答复视为认同结算的应用及分析《上海法学研究》集刊2020年第19卷目录戴敏敏:“换脸视频”智能技术的法律规制研究周玲玲:刑法视角下互联网时代网络谣言犯罪的治理探究于一帆:智能机器人产业风险的行政法规制
来源:《上海法学研究》集刊2020年第19卷(东南大学文集)。转引转载请注明出处。

责任编辑:魏广萍    金惠珠

请帮助点赞、在看


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存