蔣偉龍

(長沙學院 法學院，湖南 長沙 431000)

新中國幾代人期盼已久的《中華人民共和國民法典》(以下簡稱法典)將于2021年1月1日開始實施。法典第111條等概括地規(guī)定了自然人的個人信息受法律保護；第1039條專門規(guī)定了承擔行政職能的法定機構(gòu)及其工作人員對于履行職責過程中知悉的自然人的隱私和個人信息予以保密。這是我國民事立法史上對個人信息首次概括保護的規(guī)定，是習近平新時代中國特色社會主義法治思想在民事立法領(lǐng)域的時代實踐，對落實我國憲法規(guī)定的尊重和保護人權(quán)具有重大理論和實際意義。

一、我國個人信息行政保護的立法缺失及原因分析

隨著我國互網(wǎng)絡(luò)科技信息的發(fā)展，個人信息保護早已受到了立法部門、執(zhí)法部門及司法部門等的關(guān)注，各項制度也在不斷的完善之中?？傮w而言，現(xiàn)行個人信息保護的立法分散在憲法、刑法、民法、行政法等部門法以及信息產(chǎn)業(yè)的行業(yè)規(guī)定中，主要表現(xiàn)在：憲法規(guī)定了公民的通信秘密和通信自由受法律的保護；刑法規(guī)定了向他人出售、竊取或者以非法獲取公民個人信息等行為將受到刑事處罰。民法典規(guī)定了處理個人信息的原則、程序及法定機構(gòu)負有的保密義務(wù)；民事訴訟法規(guī)定了法院審理涉及國家秘密、個人隱私等民事案件不公開進行。護照法規(guī)定了護照簽發(fā)機關(guān)對因制作、簽發(fā)護照而知悉的公民個人信息予以保密；居民身份證法規(guī)定了公安機關(guān)對知悉的公民的個人信息予以保密；網(wǎng)絡(luò)安全法規(guī)定了網(wǎng)絡(luò)運營者應(yīng)當對其收集的用戶信息予以保密；政府信息公開條例規(guī)定了政府機關(guān)不得公開涉及個人隱私的公民信息；網(wǎng)絡(luò)安全法規(guī)定了運營者保護用戶個人信息的責任；電子商務(wù)法明確了信息主體刪除的方法和程序；此外，《消費者權(quán)益保護法》《商業(yè)銀行法》《征信業(yè)管理條例》《電信條例》《精神衛(wèi)生法》《郵政法》《未成年人保護法》《刑事訴訟法》等做了相關(guān)規(guī)定，這些規(guī)定均從不同的角度為個人信息提供保護?？梢?，我國現(xiàn)行個人信息保護立法的特點。第一，我國至今沒有一部統(tǒng)一的《個人信息保護法》；第二，在公法上主要是刑法上的懲罰，忽視了行政法上預防犯罪的保護；第三，民法上的救濟制度有待完善。從2003年起，我國部分學者開始了對制訂《個人信息保護法》的立法研究。目前，學術(shù)界有代表性的立法草案主要有周漢華教授版和齊愛民教授版。

我國個人信息保護法治不足的主要原因。首先，立法過于粗象化，缺乏專門的《個人信息保護法》特別法。立法的不統(tǒng)一導致了對個人信息保護理念等基本問題缺乏統(tǒng)一規(guī)定，不僅導致立法成本的增加和立法資源的浪費，也極易導致各規(guī)定間的沖突和矛盾。同時，從內(nèi)容來看，現(xiàn)有的各規(guī)定之間的內(nèi)容多有重復，而多數(shù)具體規(guī)則過于原則化。尤其是對行政主體進行個人信息的行政行為缺乏規(guī)制和對個人信息主體權(quán)利規(guī)定不充分，如《人口普查條例》規(guī)定了個人信息不得泄露。行政立法其他條款中并沒有對應(yīng)細化個人信息權(quán)的內(nèi)容，只是根據(jù)具體法條推導出公民應(yīng)有的個人信息權(quán)，如知情權(quán)、異議權(quán)、更正權(quán)等。其次，至今未成立個人信息保護專門監(jiān)管機構(gòu)。近年來，幾乎每年的“3 . 15”晚會的曝光名單都涉及侵犯公民個人信息的事件，但大部分事件的處理結(jié)果最后是不了了之。對于個人信息違規(guī)處理事件的處罰情況直接反映一國對于個人信息保護的力度。無論是美國的零散立法模式還是歐盟的統(tǒng)一立法模式，其都設(shè)立了專門的個人信息監(jiān)管機構(gòu)。域外國家曾處罰過多個大型公司因個人信息處理違法事件，如臉書未經(jīng)授權(quán)向用戶發(fā)送朋友生日信息，被要求為每條未授權(quán)信息賠償1 500美元[1]。根據(jù)公開媒體報道，我國至今為止很少發(fā)生過大規(guī)模集體訴訟事件或者遭致巨額罰款的情況。與域外創(chuàng)下的巨額罰單及犯罪分子所獲得的收益相比，我國目前的懲治力度仍難以起到足夠的警示作用。政府機關(guān)近幾年泄露公民個人信息不斷被爆出，尤其應(yīng)該設(shè)立專門的個人信息執(zhí)法機構(gòu)監(jiān)管政府機關(guān)在收集、處理和利用個人信息的行為。再次，個人信息保護行政救濟制度不完善?！坝袡?quán)利就有救濟”。行政訴訟法規(guī)定政府機關(guān)侵害其他人身權(quán)、財產(chǎn)權(quán)等正當權(quán)益的可以向人民法院提起訴訟。但如個人信息受到侵犯時的救濟途徑?jīng)]有具體的程序規(guī)定，因而，個人信息的保護往往得不到救濟。故有待完善政府機關(guān)對公民的信息保護提供的具體規(guī)定，在公民的個人信息遭到他人侵害時獲得行政法上的救濟。

二、我國個人信息行政法保護的理論基礎(chǔ)

(一)個人信息行政法保護的一般規(guī)定與理論

自然人的個人信息是指以電子方式或其他方式記錄的能夠單獨或者與其他信息識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證號碼、個人生物識別信息、住址等。隱私與個人信息二者的范圍重合的部分可稱為隱私信息，隱私一般不具有財產(chǎn)利益。個人信息不僅包括不愿為他人知曉的隱私信息，還包括可以公開的非隱私信息。

民法典第1039條規(guī)定了承擔國家的法定機構(gòu)知悉的自然人的隱私和個人信息予以保密。個人數(shù)據(jù)法的制定應(yīng)當說在我國信息安全的保證上起著十分重要的作用，它實際上兼跨以民事和行政兩個法律領(lǐng)域[2]。在德國，個人信息保護法明確屬于行政法的范疇[3]。從調(diào)整對象上看，個人信息保護法既調(diào)整橫向平等主體之間的個人信息處理關(guān)系，又調(diào)整縱向行政機關(guān)一方進行的個人信息處理關(guān)系，這種交叉的調(diào)整關(guān)系在性質(zhì)屬于公私合一的混合法。個人信息保護法縱向調(diào)整的信息處理關(guān)系的具體法律規(guī)范屬于特別法。因此，國家在制訂個人信息保護的法律制度時，需要滿足行政法的基本原則要求。為了更好的保護個人信息，需要授予行政機關(guān)一定的合理行使權(quán)力的機會。同時，并不是所有的個人信息在任何情況下都得以保護。在規(guī)范個人信息保護范圍的同時，應(yīng)該考慮設(shè)定豁免條款，允許國家權(quán)力限制特定個人信息范圍內(nèi)的自決權(quán)。

(二)個人信息保護的域外實踐

域外個人信息保護立法大致分為以下兩大類。一是以歐盟為代表的大陸法系國家和地區(qū)，建立關(guān)于個人信息保護的立法，制定了統(tǒng)領(lǐng)政府部門和所有商業(yè)領(lǐng)域涉及個人信息保護的統(tǒng)一法律。個人信息的處理和使用的標準和流程，設(shè)立專門的個人信息保護機構(gòu)對個人信息實行專門監(jiān)管和保護。二是以美國為代表的英美法系國家，建立個人信息的公平實踐立法，即以個人隱私為保護對象，以個人隱私權(quán)為憲法權(quán)利基礎(chǔ)，針對政府等公共領(lǐng)域，以及征信、金融、通訊等不同商業(yè)領(lǐng)域，以尊重信息主體隱私權(quán)為前提，提倡信息的合理正當使用，不傷害信息主體利益，形成了分門別類的個人信息法律規(guī)范。

1.個人信息行政法保護在德國的實踐

德國個人信息保護法立法模式特點是采用同一標準規(guī)定，即對公權(quán)力機構(gòu)和非公權(quán)機構(gòu)采取標準相同，保證統(tǒng)一適用法律。以《聯(lián)邦數(shù)據(jù)保護法》對存在公共領(lǐng)域內(nèi)的個人信息處理為例進行分析：第一，保護內(nèi)容與適用范圍。個人信息是指個人的具體狀況能被識別的信息，該法適用公共機關(guān)執(zhí)行個人信息處理工作。第二，信息主體享有不可被剝奪的知情權(quán)、更正權(quán)、標注隔離權(quán)等權(quán)利。第三，規(guī)定了公私二元救濟制度。在公權(quán)領(lǐng)域，規(guī)定了如果聯(lián)邦公共機關(guān)在處理、利用信息時侵害了相對人的權(quán)利，相對人有權(quán)向聯(lián)邦數(shù)據(jù)保護專員進行申訴。在私權(quán)領(lǐng)域，私權(quán)利主體在涉及個人數(shù)據(jù)過程中有違法行為的，則可能構(gòu)成行政違法或刑事違法，而其中絕大多數(shù)是行政違法。

2.個人信息行政法保護在美國的實踐

美國采用了部門式的分散立法模式。如1974年的《隱私法》為例，該法主要對政府處理個人信息的行為做了比較嚴格的規(guī)定，以確保個人信息及隱私不被侵犯。該法保護的個人信息主要內(nèi)容有：第一，保護的對象僅限合法獲準永久居留的外國人與美國公民。保護的內(nèi)容是政府信息系統(tǒng)中所儲存可以識別某一特定自然人的有形信息數(shù)據(jù)。第二，規(guī)定了限制行政機關(guān)處理個人信息的條件。①收集個人信息的目的僅限于總統(tǒng)的命令和法律法規(guī)的要求。向當事人說明收集信息的理由和目的后，行政機關(guān)才可收集個人信息，并且需要說明是否將此次收集的信息予以公開。②個人信息儲存在行政機關(guān)時，行政機關(guān)有義務(wù)保證公民信息的安全、完整和準確。③限于收集所明示的目的才可使用個人信息。④賦予信息主體相應(yīng)的查閱權(quán)、更正權(quán)、救濟權(quán)等權(quán)利。⑤規(guī)定了民事訴訟、刑事訴訟兩類司法救濟途徑與程序。

三、我國個人信息行政法保護完善的路徑分析

(一)個人信息保護與行政信息公開的銜接

因為二者保護目的有所不同，行政信息公開保障的個人的知情權(quán)，個人信息保護保障的是個人的信息權(quán)，一般情形下，二者不矛盾。但當某種信息既屬于個人信息又屬于公開行政信息時，如果一方當事人要求不公開而另一方當事人要求公開時，這種特殊情形下，二者容易發(fā)生知情權(quán)與隱私權(quán)之間的權(quán)利沖突。正如學者胡建淼、馬良驥所說：“行政機關(guān)在保障公眾知情權(quán)，促進政府管理透明化的同時，可能侵害公民的個人信息自決權(quán)和公民的隱私權(quán)?！盵4]法益平衡方法這時為解決知情權(quán)與隱私權(quán)的沖突提供基本的思路，即不同法益之間的取舍關(guān)系的協(xié)調(diào)是兩種權(quán)利的沖突解決須考慮的問題。例如，當某項個人信息涉及到公共利益時，將個人信息予以公開而對個人知情權(quán)進行限制；反之，純屬滿足個人的利益需要而公開個人信息，與公共利益無關(guān)時，應(yīng)該不予公開，優(yōu)先保護個人信息權(quán)。公共利益之法益保護無疑優(yōu)先于個人利益的法益保護。在具體制度構(gòu)建時可按如下法律適用原則：

首先，在分別制定個人信息保護法和政府信息公開法時，統(tǒng)一二者的立法原則，同時確立幾點法律適用原則：①申請人依個人信息保護法獲得的個人信息，政府原則上應(yīng)依法提供。②依政府信息公開法，申請人有權(quán)申請政府提供在行政管理過程中所獲得的有關(guān)個人利益的信息。③當個人信息保護法與政府信息公開法沖突時，經(jīng)過綜合權(quán)量，以保護個人信息知情權(quán)，優(yōu)先適用政府信息公開法。

其次，設(shè)立專門的第三方信息咨詢評測機構(gòu)，建立個人信息權(quán)利保護的動態(tài)平衡協(xié)調(diào)平臺。該機構(gòu)在法律法規(guī)明確授權(quán)的條件下，享有法定的調(diào)查權(quán)、獨立的決定權(quán)、行政命令權(quán)、處罰權(quán)等來解決二者沖突的問題，該裁決具有終局性。

(二)個人信息行政保護立法模式的選擇

域外對于個人信息保護的立法模式有國家立法模式和行業(yè)自律模式兩種，其中國家立法模式又分為零散立法模式和統(tǒng)一立法模式。大陸法系國家以德國為代表采用的是統(tǒng)一專門立法模式，以人格權(quán)為基礎(chǔ)價值對個人信息加以立法保護；英美法系代表性的美國是以行業(yè)自律和零散立法相結(jié)合的模式，以隱私權(quán)為基礎(chǔ)價值對個人信息加以法律保護。我國對個人信息保護的取得了較大進步，《民法典》明確規(guī)定了對個人信息的保護，在此基礎(chǔ)上，我國宜采取統(tǒng)一專門立法模式，制定一部專門的個人信息保護法，從立法原則、法律適用、保護范圍及救濟程序等方面全方位，尤其是從行政法角度加以詳細規(guī)定，符合我國的法律傳統(tǒng)和我國市場經(jīng)濟發(fā)展狀況。

(三)個人信息保護法律監(jiān)督制度的完善

政府既是個人信息收集、利用主體，又是個人信息保護的監(jiān)管者。當今互聯(lián)網(wǎng)時代，違法使用個人信息導致犯罪日益猖獗、作案手段隱蔽化、跨區(qū)域化等一系列特點，如何強化對個人信息泄露的全過程實施有效的政府監(jiān)管，預防犯罪，迫在眉睫?？蓮囊韵路矫婕右酝晟啤?/p>

首先，完善政府監(jiān)管個人信息主體機構(gòu)。在縣級以上政府建立統(tǒng)一的個人信息監(jiān)督和保護機構(gòu)和行業(yè)自律組織，實行以政府監(jiān)管為主、行業(yè)自律為輔的系統(tǒng)保護機制，處理輕微侵權(quán)的個人信息案件，并且把該處理結(jié)果作為其后訴訟的前置程序。當然，為防止個人信息被非法傳播造成更大影響，監(jiān)管者有權(quán)命令相關(guān)組織和個人采取臨時強制措施。

其次，完善政府監(jiān)管個人信息范圍。政府監(jiān)管信息范圍包括政府自身收集各類個人信息和非政府人員自身收集的各類個人信息，尤其是自然人的隱私信息。如直接涉及國家安全、公共衛(wèi)生、司法活動等公共利益的個人信息，收集者可行使信息優(yōu)益權(quán)而不公開個人信息，但以不得損害信息主體的合法權(quán)益。

再次，完善政府監(jiān)管個人信息程序。在政府內(nèi)部，一是讓政府內(nèi)部工作人員接觸公民個人信息的時間、地點都得到嚴格的限制，防止政府內(nèi)部人員利用職務(wù)之便販賣、流轉(zhuǎn)個人信息的違法行為；二是政府在選擇相應(yīng)的技術(shù)提供主體時更加注重技術(shù)提供主體的相應(yīng)資質(zhì)，加強對技術(shù)提供主體的后續(xù)監(jiān)管。在政府外部，使政府在進行與個人信息相關(guān)的行政活動時知道何時做、如何作為、按照什么樣的標準，一切按預先設(shè)定程序行使行政權(quán)。

最后，完善個人信息監(jiān)管的準確性。政府如發(fā)現(xiàn)其數(shù)據(jù)庫內(nèi)的個人信息存在錯誤或不完整，應(yīng)當主動與聯(lián)系信息主體并完善相關(guān)信息。如信息主體發(fā)現(xiàn)政府違法使用個人信息，則有權(quán)要求政府及時刪除。

(四)完善行政救濟途徑

歐盟《通用數(shù)據(jù)保護條例》規(guī)定，每個信息主體都有權(quán)依法向監(jiān)管機構(gòu)進行申訴，監(jiān)管機構(gòu)應(yīng)當告知申訴者申訴的程序和申訴的結(jié)果；對監(jiān)管機構(gòu)具有法律約束力的決定，任何個人組織都有權(quán)獲得有效的司法救濟；任何受到傷害的人有權(quán)從信息控制者那里獲得相應(yīng)的賠償。德國《聯(lián)邦數(shù)據(jù)保護法》規(guī)定了聯(lián)邦數(shù)據(jù)保護專員專門對受到聯(lián)邦公共機關(guān)侵害信息主體權(quán)利進行專門監(jiān)督，則聯(lián)邦公共機關(guān)可能構(gòu)成行政違法或刑事違法。美國的《隱私法》規(guī)定了信息主體的民事訴訟、刑事訴訟兩類司法救濟途徑與程序，全面地保護了個人信息權(quán)。

在我國民法典及相關(guān)行政法規(guī)定中，沒有明確政府及其工作人員對于履行職責過程中泄露或者非法向他人提供個人信息是否可提起復議、訴訟、賠償?shù)臋?quán)利，這使得信息主體的憲法權(quán)利落空，因此，有必要完善現(xiàn)行個人信息保護的行政救濟制度。