上海政法学院法律学院,上海
随着科技的迅猛进步与全球化的持续深化,时代发展的步伐愈发日新月异。当前,我国已迈入数字经济的新纪元,数字化进程的深入发展促使数字政府建设成为核心的治理理念与重要举措。党中央在习近平总书记的引领下,对数字政府建设给予了深切关注,此战略举措,不仅深刻变革了国家和社会运行的管理架构,还极大改变了民众的日常生活方式。在数字时代,行政机关、企事业单位等都需要收集、利用公民的个人信息,这些信息的使用不仅便利了信息主体的生活,还推进了社会的进步与发展。然而,随着行政权力的持续拓展,以及行政活动日趋繁复的同时,行政机关作为管理和服务社会的国家机关在收集、利用和处理个人信息方面享有较大权限,比其他信息处理者掌握更多、更完整的个人信息,是国家最大的信息处理平台,一旦存在安全漏洞将会对个人信息主体甚至是社会造成重大损害。据此,对个人信息的行政法保护进行深入探讨,不但有利于弥补法律漏洞,完善相关法律制度,对于保障个人信息安全具有深远的理论与现实意义,同时,也有助于进一步提升行政机关的公信力,旨在为数字政府建构稳固的法律基础框架,以保障数字经济的蓬勃发展,并维护其有序性。
在数字化浪潮的席卷之下,个人信息已成为个体与社会、私权与公益交织的纽带,其保护之重要性日益凸显,既关乎个人的私密空间,又牵动社会的公共秩序与国家的安全大局。在个人信息兼具私权属性与公共属性的背景下,其保护与利用之间的平衡成为核心议题。行政法作为界定行政权力边界与保障公民权利的法律基石,其全过程、全方位的保护能力在构建个人信息综合保护体系中发挥着独特作用。
在界定个人信息概念时,我国学术界普遍采纳 “识别说”与“关联说”相结合的主流理论,将其解释为通过电子或者其他方式记载,与已确认身份或可确认身份的自然人相关联的各类信息(排除经匿名化处理后的信息)。此外,我国《民法典》第一千零三十四条明确规定:“自然人的个人信息受法律保护”,这一条款深刻体现了个人信息的私权本质。换言之,个人信息构成自然人人格尊严不可或缺的组成部分,蕴含着重要的人格利益。因此,对个人信息的保护,实质上即是对自然人的人格尊严及其内在人格利益的有效捍卫。然而,个人信息并非仅具有单一私权属性,其特殊性在于同时兼具保护与利用的双重属性,这一特性在大数据时代尤为显著,跨越了公私法的界限。传统民事关系中的私有权利是个人化的、最终的利益表达,不依赖于与公众的外部关系。然而,个人信息凭借因其固有的可识别性与关联性特征,能够经由某些特定信息将之与某一具体个人相联系。一个人在社会生活中,必然会公开部分个人信息,这使得个人信息在特定条件下,如为了公共利益或法律规定的需要,展现出公共属性。因此,个人信息同样亦可被视作一种宝贵的数据资源,其中蕴含着巨大的经济潜力和社会价值。相应地,对个人信息的保护也意味着对数据财产权利的保护,对于推动数据的合理利用与顺畅流通具有积极作用。此种公共特性在个人信息被国家机关用于公共管理、公共服务等职能执行过程中,得到了充分体现。例如,在劳动监察中,为调查劳动违法行为可能需要收集员工的个人信息;在市场管理中,为监管市场和企业行为可能需要获取企业及管理层人员的个人信息;在税务检查、征收过程中,可能需要收集纳税人的个人信息;在提供某些公共服务时,也可能需要依法收集部分个人信息。这些场景均体现了个人信息在行政管理和公共服务中的必要性,以及其与公共利益的紧密关联。
党的二十大报告提出:“提高公共安全治理水平、加强个人信息保护”。个人信息保护法律体系的建立,旨在平衡个人、企业、社会与国家之间的利益,同时确保公共安全与国家安全。在个人信息权益保护与有效利用之间,存在明显的矛盾与冲突态势。关键在于如何妥善平衡个人利益、信息处理者的经济利益和国家公共利益之间的关系。尤其在推行数字政府建设和电子政务服务后,个人信息保护的难度进一步增加。行政机关在保护与利用个人信息中,扮演着平衡个人利益与公共利益的关键角色。因此,行政法需为这一平衡提供法律框架和制度保障,确保个人信息的合理利用与有效保护并行不悖。
众所周知,我国宪法体系围绕公民的“基本权利—国家义务”构建保护架构,旨在维护与促进人权,宪法赋予公民在人身、政治、经济,以及文化等多个维度的权利和自由。尽管“个人信息权利”尚未在我国实体法中明确规定,但《宪法》确立的“国家尊重和保护人权”以及“公民人格尊严不受侵犯”等原则性规定,构成了个人信息保护的法律基石。在个人信息保护的法律关系框架内,“国家层面的个人信息保护涉及‘国家—信息主体—信息处理者’的三元主体结构”,此种三方结构符合国家保护义务的基本架构。个人信息不仅与个人权益息息相关,而且广泛触及公共利益领域,故而国家肩负捍卫个人信息安全的重大职责。国家在个人信息保护方面的职责展现出双重性质:一方面体现为消极保护义务,即国家必须避免侵犯公民的个人信息权益,要求国家机关在信息采集、加工及应用过程中,遵循信息公开原则、比例原则等法律原则,确保不侵犯公民基本权利;另一方面,国家承担着积极保护义务,既“确保公民的人格尊严、隐私及生活安宁得到妥善维护;步入信息时代后,这一职责进一步扩展,涵盖全面保护个人信息相关权益的范畴”。意即当公民个人信息权利受到法律地位不对等主体的侵犯,且私法救济不足时,国家有及时主动保护个人信息不受侵犯的义务。
在日常工作中,行政机关与公民联系最为紧密且广泛,几乎涵盖公民日常生活的方方面面。因此,行政法负有保护公民个人信息的重要义务,这些义务涵盖了通知、安全、责任等多个方面。行政立法明确界定了信息主体的权利,包括信息更正权、拒绝权等,并规定了平衡个人信息保护与政府信息公开矛盾的措施。行政机关作为承担国家保护义务的最主要主体,在保障公民个人信息的主观权利和维护客观价值秩序方面发挥着独特作用。综上所述,在行政法框架下的公民个人信息保护工作尤为重要,其不仅奠定了法律基石,还通过一系列制度与措施有效保障了个人信息安全及其承载的合法权益。
在《中华人民共和国个人信息保护法》颁布实施前,我国《刑法》《民法》已对个人信息保护有所规定。《刑法修正案(七)》首次将个人信息保护纳入刑法规制范畴,凭借刑法的严厉制裁性及强大震慑效应,明确规定侵犯个人信息的犯罪主体和刑事责任,有效防止和打击此类犯罪行为。同时,《民法典》将个人信息视为新型人格权益,纳入人格权编保护并承认其隐私权属性,对个人信息的类型、收集、更改或删除等做了初步规定,增强了公众对信息处理者的信任,防止市场主体滥用个人信息获取不当利益,促进市场公平竞争和正常秩序。然而,就个人信息的法律保护而言,刑法与民法尚存在不足之处与局限性。例如,《刑法》中 “侵犯公民个人信息罪”的“情节严重”边界模糊,缺乏具体判断标准,可能导致同案异判;且对个人信息犯罪的行为方式规定范围较小,难以涵盖新式或过失犯罪手段,难以适应现实需求。而《民法典》在界定个人信息法律范畴时存在模糊性,导致个人信息的法律地位与权利属性不明确,尤其在行政机关和其他商业主体作为个人信息收集、处理者时,民法在全面适用方面存在局限性。同时,个人信息兼具私权属性和公共利益的双重特征,使得作为民事权利组成部分的个人信息权无法与国家权力相抗衡,亦无法有效规范国家与信息主体之间的法律关系。
“国家机构在处理个人信息时,其正当性根源在于法定职责的履行,其行为准则、责任承担机制与私法关系有着本质差异。”据此,个人信息权益保障不能单纯依赖私法框架,需结合行政法保护机制。个人信息保护旨在促进“合法且合理的信息流通与利用”,行政法在该领域展现独特优势,它能够通过事前预防、事中监管、事后救济三个维度,实现对个人信息权益的全过程、全方位保护。与刑法和民法相比,行政法适用于政府、企业、个人等广泛主体,能够更为全面地保护个人信息。同时,行政法具有强制执行力,能够确保个人信息保护措施得到有效实施。对于那些超出民法保护范围但不符合刑事制裁要求的侵犯个人信息行为,行政法可以提供有效的制裁手段。此外,行政法还能够有效控制行政机关行使权力,防止因滥用行政权力泄露个人信息,并平衡个人信息处理者与信息主体之间的关系。更重要的是,行政法能够根据社会发展和技术进步的需要,及时调整和完善个人信息保护制度。行政机关能够调动大量资源对个人信息保护进行教育宣传和技术支持,从而提升个人信息法律保护的全面性。换言之,对于个人信息的保护工作,应当着重考虑以行政法保护为核心的公法手段,并需与《刑法》《民法》及《个人信息保护法》等相关法律紧密协作,构建一套综合性的保护机制,以协同保障个人信息的合法权益。
在个人信息保护领域,行政法面临诸多挑战。行政立法缺乏系统全面保护,规则建设缺少系统控制,导致个人信息管理混乱,监管制度不统一,执法力度薄弱。同时,行政救济领域存在漏洞,救济渠道不畅,赔偿制度不完善,难以有效保障信息主体权益。
我国行政法在个人信息保护领域的立法呈现分散特征。通观行政法律体系,相关规定散见于各行政法律法规和规章之中,至今尚未形成统一的专门立法。在行政法规层面,尽管征信、电信、快递等行业已出台相应管理条例,但众多其他行业的个人信息保护仍局限于以实施细则形式出现的部门规章,这些细则法律位阶较低,在行政诉讼中无法直接作为依据。同时,我国个人信息保护专门立法起步较晚,相关规定散落于多部法律法规中,导致法律体系内部缺乏系统性和协调性。这种碎片化状况使得各项法律法规难以形成统一连贯的体系,不同主体处理相同工作时可能遵循不同的规则,不仅增加工作负担,降低管理效率,还可能导致不同地区或机关对同类案件作出不同处罚决定。更为严峻的是,现有的行政法律法规可能无法全面覆盖所有需要调整的领域,规范数量不足也难以满足数字经济时代公民对个人信息保护的迫切需求。
在个人信息保护领域,行政规则建设显得尤为关键,它不仅是行政机关自我约束、系统控制行政活动的指南和手册,还潜移默化地对外界环境产生广泛而深远的影响。然而,当前行政工作中,对收集到的个人信息缺乏规范化管理和统一的监管制度,成为两大亟待解决的难题。
行政机关与其他企事业单位、社会组织等依据法定权限在特定工作中对公民个人信息进行收集、处理和利用等活动,在收集个人信息过程中,必须恪守严谨的管理规程,以保障个人信息的私密性和安全性。倘若行政机关在个人信息收集环节缺乏系统的规范化管理,可能引发信息外泄、不当使用等诸多隐患,进而侵犯公民的正当权益。在日常工作中,可能出现行政机关收集的个人信息超过工作需要限度,或因操作程序不规范个人信息存储系统存在漏洞而泄露公民个人信息的情况。在非行政机关从事生产经营等活动中,他们会向公民广泛收集个人信息。加之由于行政机关监管存在疏漏,非行政机关往往出于商业利益或获利目的,过度利用公民个人信息,逾越了行政许可与行政授权所界定的范畴,从而侵犯了公民个人信息的合法权益。但是,就目前的行政实践看,尚缺乏一套统一且完备的对收集到的个人信息储存管理系统和处理程序。
行政监管构成了行政管理活动不可或缺的关键组成部分,贯穿行政管理活动始终,在保障行政机关正确行使公权力与个人信息合法权益中发挥着非常重要的作用。在维护公民个人信息安全领域,尽管有众多承担监管职责的行政部门,包括电信管理、网络安全、公安、金融、教育、市场监管等多个领域的主管机关均肩负着相应的监管责任,且监管涉及的范围非常广泛,但缺乏统一、标准的行政监管制度,且执法力度不足、处罚力度小的问题较为突出。例如,2024年南昌市某学校未进行学生同意且未经过信息脱敏处理等措施即在学校网站上发布含有大量学生姓名、身份证号等公示信息,泄露了4000余名学生的个人信息,南昌市网信办对该学校作出警告的行政处罚;2018年湖南省某房地产开发公司售楼部销售人员泄露购房者个人信息,导致购房者收到大量推销电话,对其生活和精神造成困扰和损害,株洲市中级人民法院依法判处被告株洲市某房地产开发公司赔偿原告经济损失2000元,并在《株洲日报》上刊登公告向陈某公开赔礼道歉。在行政法范畴内,针对个人信息保护的监管机制存在诸多不足。行政机关在执行涉及个人信息处理的相关工作时,存在过度收集、未经公民同意收集、存储和使用公民个人信息、无序滥用和未履行告知义务等情况,该行为的合法性与正当性存疑。这些问题凸显了现行个人信息保护监管体系的缺陷,对信息主体的合法权益构成重大侵害,进而引发广泛的社会负面影响。这不仅需要健全个人信息保护的监管制度,还要加强监管和处罚手段,完善监管体系。
我国《个人信息保护法》明确规定,针对非行政机关在处理个人信息过程中存在的违法行为及未履行法定个人信息保护职责的情形,设置了严格的行政处罚责任,而针对行政机关非法处理公民个人信息行为,主要救济渠道仍依赖传统的行政救济措施,如行政复议、行政诉讼、国家赔偿等。随着数字技术不断更迭,信息处理者侵犯信息主体合法权益的活动往往具有时间间隔长、难以察觉、间接侵权等特点。个人信息受到侵害时,信息主体很难发现信息泄露源头和个人权益受损程度,并且证据收集、后续价值损失计算与补救、赔偿等也较为困难,这进一步凸显现了当前救济制度的局限性与不足。行政复议是解决行政争议的渠道之一,但我国《行政复议法》并未对个人信息权益被侵犯的救济作出专门规定。为了应对行政机关与行政相对人在法律诉讼中主体地位不平等的问题,我国创设了行政公益诉讼制度,赋予检察机关对行政机关违法行为提起诉讼的权力。然而,尽管《行政诉讼法》对公益诉讼的受理案件范围有所界定,却并未明确规定个人信息受行政机关侵犯后检察机关是否有权力提起公益诉讼。另外,对于行政赔偿制度而言,我国《国家赔偿法》第三、四条规定了受害人可获得行政赔偿的情况,但无论是在人身权还是财产权范围内都没有赋予个人信息权利独立的法律地位,这不仅加大了公民个人维权的难度,也影响行政法对个人信息保护的效果。
在个人信息保护日益凸显重要性的当下,行政法领域的应对举措显得尤为重要。面对行政立法中的缺失与不足,完善相关立法体系,为个人信息保护提供坚实的法律支撑,是当务之急。然而,法律的制定仅是第一步,其有效实施还需依托于高效的信息管理系统与专门的监管机构。即便如此,完善的救济制度仍是不可或缺的一环,它是公民权益受损时的最后防线,也是确保立法、管理系统与监管机构有效运作的关键保障。
如前所述,行政法范围内我国尚未制定统一的个人信息保护法,相关规范散见于《征信业管理条例》《电信条例》《政府信息公开条例》等行政法规与行政规章中。鉴于大数据技术迅猛发展和数字政府建设持续推进,个人信息保护的范围与内容正不断变化与扩展。为避免因立法空白或滞后导致行政法层面保护缺位,亟需加速推进个人信息保护行政立法完善工作。对此,在不具备由全国人大及其常委会制定专门法律的条件之下,可以考虑由国务院依据宪法和相关法律,依照法定程序制定《个人信息保护条例》。该条例应将行政机关明确纳入个人信息法律关系调整范围、细化行政机关对个人信息处理和利用的基本原则、规范行政机关收集和处理个人信息的程序,以及可收集利用的信息范围、细化个人信息的分类、明晰信息处理者的责任义务等。在制定条例时,应注意与其他法律、法规的衔接互动,以形成完整的个人信息保护法律体系。此外,在《个人信息保护条例》确立后,各地区可酌情制定具有执行性的地方性法规或地方政府规章,依据地域特殊情况有针对性地强化公民个人信息权益保护措施。
目前,我国还未设立专门统一管理个人信息的数据系统,为提高保护全面性,可在县级以上政府设立专门收集、储存个人信息的统一管理系统,形成信息一体化数据库,对个人信息分类别、分级别管理,实现更高层次的整体规划、协调和管理,打破信息孤岛,跨部门和级别共享信息,提升管理人员信息检索和统计分析的专业技术能力。同时,应明确个人信息管理主体,对系统管理人员进行专业培训,提高保护意识和专业技能,明确管理信息不当的具体责任人及其法律责任,划定人员权限,确保仅经上级行政机关授权方可访问、获取个人信息。此外,行政机关在收集、采集与管理个人信息时,务必严格遵循各项规定、要求及标准,采集整理工作完成后,做好标准化、规范化储存和保密工作,审批部门依法按审核标准审查信息收集、处理等程序的合法性,确保工作合法、正当、必要。
对于信息监管机构,我国《个人信息保护法》第六十条规定了执行个人信息保护任务的部门,但仍存在监管分散问题,即不同部门负责不同领域的个人信息保护。虽然这项规定的初衷是使各部门能兼顾各领域的差异,履行其所在领域的职责,并关注不同部门之间的联系,但此种规定也存在不足之处,如部门间职责划分不明确、容易推卸责任、注重外部监督和缺乏管理机构的内部监督等。为避免行政机关在收集、处理个人信息工作中出现行政违法或侵犯个人信息权益和行政机关内部怠于监管等情况发生,可考虑在县级以上政府设立独立、不受外部影响的负责个人信息保管、存储、处理和使用的监管机构,专门负责监督和管理个人信息。从宏观视角出发,构建涵盖“事前预防、事中监察、事后补救”的全方位监管机制,完善透明、公正的监管程序,建立对内、对外监管的基本原则。具体而言,一方面,可以考虑对监管主体进行权责一致的严格约束,清晰划分监管主体的职责,加强监管主体的主动监管责任,增强各部门工作的协调性,避免监管领域的空白地带以及监管活动的重复进行,确保监管工作的全面性和高效性。例如,有关网络信息主要由网信办、电信管理部门等负责;涉及消费领域的信息保护则由市场管理部门负责;涉及医疗卫生的信息保护则由卫健委负责等。另一方面,如某学者所指出的,行政管理机关需要负责各个方面,事务繁杂,在资源有限条件下,行政机关倾向将监管中心置于国家和社会的重大事务之上,而可能在个人信息保护监管方面表现出相对的疏忽与不足, 因此,可以考虑在各行业领域内设置自律组织,通过制定各行业的章程或细则对各行业内进行监管工作,加强行业内部监督和约束。从监管主体和自律组织的关系看,二者应该是相互补充、相互促进的,但同时,自律组织的设立需要政府监管机构的批准,其日常业务活动要接受国家监管机构的检查、监督和指导。
救济制度是维护公民合法权益的重要路径,遵循“权利与救济并存、无救济则权利无保障”的原则。若救济制度存在缺陷,不仅会降低行政机关的公信力,还会使公民对法律制度失望而。对于公民个人信息权利保障,行政救济制度是确保前述立法、信息管理系统和监管机构有效运行的重要保障,是维护公民合法的信息权益的坚固防线。具体而言,首先,我国现行《行政复议法》与《行政诉讼法》均未对个人信息权益受侵害的救济途径作出具体规定。因此,完善救济制度的首要举措是拓展行政复议与行政诉讼的受案范畴,明确将个人信息权益受损情形纳入受理范围。其次,相较于行政诉讼,行政复议具备受理范畴广泛、处理高效、程序简便,以及成本较低的优势。负责审理行政复议的机关通常为行政机关,具备较高的专业性;而行政诉讼则由人民法院负责审理,往往耗时较长、成本较高、争议解决难度更大。鉴于数字时代背景下数据规模庞大、传播速率快且范围广的特点,信息泄露事件往往导致受害者众多、泄露范围广泛,如果每个案件都进行行政诉讼将使维权变得更加困难,还会导致司法资源的浪费。因此,应当设定行政复议前置、以行政复议为主诉讼为辅的救济制度,将行政诉讼作为公民救济的最后一道兜底程序。进一步而言,我国《个人信息保护法》第七十条明确指出,当个人信息处理者违法处理个人信息,从而侵害多数个人权益时,人民检察院、法定消费者组织以及由国家网信部门指定的机构均有权依法向人民法院提起公益诉讼。同时,我国《行政诉讼法》第二十五条界定了行政公益诉讼的受理范围,并且采用了“等”字样作为兜底条款,以适应规定以外的情形。鉴于此,可以探讨将个人信息权益纳入行政公益诉讼范畴的可能性,具体而言即由检察机关针对未依法履行保护公民个人信息职责的行政机关提起公益诉讼,这一过程可结合《个人信息保护法》的相关规定进行。作为“国家积极履行宪法上保护公民权益义务的制度体现”和“实现数字时代个人信息保护的合理方式”的行政公益诉讼,通过此种做法可以有效发挥其保护个人信息权益、督促行政机关履行其保护个人信息义务的作用。最后,我国《国家赔偿法》界定的公民行政赔偿范畴,主要涵盖侵犯公民人身自由、财产权益等基本权利,个人信息权利未被明确纳入,导致公民在个人信息权利受侵犯后无法依法寻求赔偿。鉴于公民个人信息权利的重要性,可以考虑扩大行政赔偿范围,将个人信息权利作为独立权利纳入行政赔偿范围之内。
[1] 习近平.高举中国特色社会主义伟大旗帜为全面建设社会主义现代化国家而团结奋斗:在中国共产党第二十次全国代表大会上的报告[M].北京:人民出版社,2022:21-22.
[2] 应松年.行政法学新论[M].中国方正出版社,1999:190.
[3] 关保英.行政法经验主义及其在数字时代的走向[J].法学杂志,2024(1):92-110.
[4] 李海平.个人信息国家保护义务理论的反思与重塑[J].法学研究,2023(1):74-90.
[5] 王锡锌.个人信息国家保护义务及展开[J].中国法学,2021(1):145-166.
[6] 孔祥稳.论个人信息保护的行政规制路径[J].行政法学研究,2022(1):131-145.
[7] 丁晓东.个人信息权利的反思与重塑——论个人信息保护的适用前提与法益基础[J].中外法学,2020(2):339-356.
[8] 余圣琪.流调与追踪中的数据法律保护[J].河北法学,2021(1):153-154.
[9] 许身健,张涛.个人信息保护检察公益诉讼的法理基础与制度完善[J].法学论坛,2023(1):95-110.
[10] 张涛.探寻个人信息保护的风险控制路径之维[J].法学,2022(6):57-71.
[11] 高富平.个人信息保护:从个人控制到社会控制[J].法学研究,2018(3):84-101.
[12] 蒋都都,杨解君.大数据时代的信息公益诉讼探讨——以公众的个人信息保护为聚焦[J].广西社会科学,2019(5):107-115.
[13] 张涛.探寻个人信息保护的风险控制路径之维[J].法学,2022(6):57-71.
[14] [荷兰]玛农·奥斯特芬.数据的边界:隐私与个人数据保护[M].曹博,译.上海人民出版社,2020:45-52.
[15] 赵宏.从信息公开到信息保护:公法上信息权保护研究的风向流转与核心问题[J].比较法研究,2017(2):31-46.
[16] 张勇.敏感个人信息的公私法一体化保护[J].东方法学,2022(1).
[17] 丁晓东.数据到底属于谁?——从网络爬虫看平台数据权属与数据保护[J].华东政法大学学报,2019(5):69-83.
[18] 程啸.民法典编纂视野下的个人信息保护[J].中国法学,2019(4):26-43.
[19] 丁纯.欧盟数字化转型的特征与启示[J].人民论坛,2021(25):106-109.
[20] 高富平.公共机构的数据持有者权——多元数据开放体系的基础制度[J].行政法学研究,2023(4):19-36.
[21] 刘权.论个人信息处理的合法、正当、必要原则[J].法学家,2021(5):1-15.
[22] 罗英.个人信息在国家机关之间传输的类型化治理[J].法学,2023(9):33-47.
[23] 沈斌.论公共数据的认定标准与类型体系[J].行政法学研究,2023(4):64-76.
[24] 兰楠.个人信息保护法中的社会公共利益[J].国家检察官学院学报,2023(1):156-176.
[25] 范明志.个人信息保护公益诉讼的制度展开[J].法律科学(西北政法大学学报),2025(1):109-121.