孫海濤 王紅利

摘? ? ? 要：域外對于個人信息保護的主流模式主要有分散立法與綜合保護兩種。在我國，盡管《民法典》中預(yù)留了個人信息行政法保護的立法接口，但實踐中仍存在個人信息的收集處理程序缺失、行政機關(guān)監(jiān)管力度較為薄弱、被侵權(quán)人主張民事訴訟難獲救濟和主張行政救濟途徑受阻等問題。未來，個人信息的行政保護應(yīng)順應(yīng)時代的潮流，循序漸進。在立法層面，完善個人信息行政法保護體系，建立個人信息收集者與處理者的行政許可制度;在司法層面，確立個人信息保護組織在訴訟中的原告資格;在執(zhí)法層面，健全個人信息行政監(jiān)管機制。

關(guān)? 鍵? 詞：《民法典》;個人信息保護;行政法;行政機關(guān)

中圖分類號：D922.1? ? ? ? 文獻標(biāo)識碼：A? ? ? ? 文章編號：1007-8207（2021）12-0066-06

收稿日期：2021-07-16

作者簡介：孫海濤，河海大學(xué)法學(xué)院副教授，法學(xué)博士，東南大學(xué)法學(xué)院博士后，研究方向為行政法學(xué)、民法學(xué);王紅利，河海大學(xué)法學(xué)院碩士研究生，研究方向為行政法學(xué)。

基金項目：本文系國家社科基金項目“政府購買模式運行的行政規(guī)制研究”的階段性成果，項目編號：16BFX030;河海大學(xué)中央高?；究蒲袠I(yè)務(wù)費專項基金“民法典時代個人信息保護制度的行政法回應(yīng)”的階段性成果，項目編號：B210203061;河海大學(xué)中央高?；究蒲袠I(yè)務(wù)費項目“過程論視野中的行政裁量權(quán)研究”的階段性成果，項目編號：B200202240。

在自2021年1月1日起實施的《中華人民共和國民法典》（以下簡稱《民法典》）中，人格權(quán)獨立成編，特別是將個人信息保護納入人格權(quán)編成為《民法典》的亮點之一。這標(biāo)志著個人信息主體的權(quán)利得到民事基本法的確認，個人信息保護制度的頂層設(shè)計正在逐步完善。在我國民商合一的立法體制下，民法是私法的基礎(chǔ)和重要組成內(nèi)容，私法的價值通過民法得以彰顯。從某種程度上說，民法就是整個私法。[1]但應(yīng)看到，大數(shù)據(jù)時代，信息高效流轉(zhuǎn)，僅在私法層面討論個人信息保護具有一定的局限性和不適應(yīng)性，《民法典》的相關(guān)規(guī)定需要行政法進一步的規(guī)范和確認。個人信息保護在以私法為基礎(chǔ)的同時亦應(yīng)兼顧公法視野下相關(guān)理論與制度的研究與完善，以更好地適應(yīng)信息開放共享的時代要求?！睹穹ǖ洹返幕A(chǔ)性法律地位決定了其對行政法的發(fā)展和完善將發(fā)揮積極的推動作用。[2]

一、個人信息概述

個人信息的內(nèi)涵界定? 目前，學(xué)界對于“個人信息”的概念主要持“關(guān)聯(lián)型定義”和“識別型定義”兩種觀點?！瓣P(guān)聯(lián)型定義”是指與個人有關(guān)的所有信息;“識別型定義”是指以“識別”為基礎(chǔ)，信息的內(nèi)容與主體之間存在客觀確定的聯(lián)系，可以通過相關(guān)信息精準(zhǔn)辨別主體身份。[3]司法實踐中，《民法典》第一千零三十四條第二款采取“識別型定義”的方式對個人信息作出了明確限定：“個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。”2020年10月21日發(fā)布的《個人信息保護法（草案）征求意見》第四條第一款規(guī)定：“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息?！睂ⅰ耙炎R別”和“可識別”作為個人信息的判斷標(biāo)準(zhǔn)，使得個人信息的界定更為科學(xué)，而將“匿名化處理的信息”排除在外也是保障個人信息的一種有效表現(xiàn)?？梢?，運用“識別型定義”界定個人信息的概念更具精準(zhǔn)性和嚴(yán)謹(jǐn)性。互聯(lián)網(wǎng)的普遍應(yīng)用加速了信息的傳播，個人信息的表現(xiàn)形式也更加多樣，傳統(tǒng)的信息形式主要體現(xiàn)為姓名、身份證號、住址、電話號碼等，新型的個人信息形式包括網(wǎng)頁瀏覽痕跡、社交媒體上發(fā)表的言論、通話記錄以及行蹤軌跡等。[4]因此，筆者認為，個人信息的內(nèi)涵界定應(yīng)適當(dāng)進行擴展，對于個人信息的存在形式不予限定，主要是指可以直接或間接識別特定自然人的信息總和。

個人信息的基本特征? 其一，可識別性，即通過匯總已知的各種信息可以與特定自然人之間產(chǎn)生關(guān)聯(lián)，進而識別特定自然人。個人信息的可識別性體現(xiàn)的是個人信息與信息主體之間的緊密聯(lián)系，主要包括直接識別和間接識別兩種。直接識別是指通過某個單獨信息便能直接定位到信息主體，不需要其他信息輔助驗證;間接識別是指單獨的信息不能直接定位到準(zhǔn)確的個體，需要與其他信息相互印證才能識別特定主體。其二，兼具人身和財產(chǎn)雙重屬性。人身屬性即個人信息依附于個人而存在并為個人所有;財產(chǎn)屬性即個人信息可以作為資源進行交易使雙方獲益。個人信息是自然人與生俱來的并在其發(fā)展過程中不斷形成的，與自然人的人身密不可分，若僅從人身屬性界定個人信息并不嚴(yán)謹(jǐn)，個人信息同樣可以被他人收集、使用，流轉(zhuǎn)市場中具有財產(chǎn)價值;反之，個人信息具有財產(chǎn)價值，是一種重要的社會資源，若僅從財產(chǎn)屬性上識別個人信息也過于片面，個人信息的人格特性不容忽視，不能將個人信息單獨歸屬于財產(chǎn)權(quán)的客體。[5]當(dāng)然，二者的地位不同，人身屬性為主，財產(chǎn)屬性為輔。保護個人信息既要保護個人信息的財產(chǎn)屬性，更要保護自然人對個人信息的支配和自主決定權(quán)。[6]其三，可公開性，即信息主體根據(jù)規(guī)范的操作指引可以查閱、獲取個人信息，其是區(qū)分個人信息保護與隱私保護的重要標(biāo)志。隱私在實務(wù)界被定義為關(guān)于個人的生活安寧和個人信息的秘密，在學(xué)界被定義為隱私中私密性的個人信息，而單個的私密信息或私人活動并不直接指向自然人的主體身份。[7]從對信息形態(tài)的要求看，隱私對于信息形態(tài)沒有嚴(yán)格的要求，表現(xiàn)多樣，可以是活動、行為或日常習(xí)慣等;個人信息則需要記載，要求以數(shù)字化的形式呈現(xiàn)。從保護的對象看，隱私保護的對象是個人不愿為外界所知悉、不曾對外公開的有關(guān)私人的信息、空間及事務(wù);個人信息保護的對象則是以識別為特征的信息主體的總稱，受保護的不僅僅是個人信息的人身權(quán)益，同時也包括交易、公開等行為帶來的財產(chǎn)利益。

二、域外個人信息保護的主流模式

分散立法模式? 隨著數(shù)字經(jīng)濟的繁榮發(fā)展，個人信息作為經(jīng)濟發(fā)展的新能源逐漸引起了各國的重視。美國對于隱私和個人信息的保護采用的是分散立法模式，其于1974年通過的《隱私法案》對政府機構(gòu)采集個人信息的方式、存儲信息的范圍、向公眾公布收集信息的方式以及對信息主體的權(quán)利等作出了較為詳細的規(guī)定，強調(diào)聯(lián)邦政府對個人信息收集和利用的公平性和正當(dāng)性，是美國歷史上最重要的一部保護個人信息方面的法律。1986年頒布的《電子通訊隱私法案》詳細規(guī)定了執(zhí)法機關(guān)訪問電子通信相關(guān)數(shù)據(jù)的標(biāo)準(zhǔn)，以期協(xié)調(diào)國家安全與個人隱私、通信秘密保障之間的沖突，[8]權(quán)衡隱私權(quán)與個人信息保護之間的對立關(guān)系。1988年制定的《電腦匹配和隱私權(quán)保護法》進一步詳細規(guī)定了個人信息在行政機關(guān)內(nèi)部電腦識別的范圍和程序，為個人隱私權(quán)保護提供了防護墻。同年頒布的《兒童在線隱私權(quán)保護法》是美國出臺的第一部保護兒童個人信息的聯(lián)邦法律，一定程度上削弱了商業(yè)網(wǎng)站對兒童個人信息的侵犯。1999年10月20日，聯(lián)邦貿(mào)易委員會（ETC）發(fā)布了實施《兒童在線隱私權(quán)保護法》的細則，闡明了法律調(diào)整的范圍和責(zé)任問題，該細則于2000年4月21日生效。美國分散立法模式的良好運行有賴于嚴(yán)厲的執(zhí)法機制和行業(yè)協(xié)會的雙重作用：國家權(quán)力通過執(zhí)法機制對個人信息保護進行管控，加大保護力度;[9]行業(yè)協(xié)會利用行業(yè)規(guī)則和標(biāo)準(zhǔn)進行微觀調(diào)控，客觀上起到了補充和完善執(zhí)法法制的作用。

綜合保護模式? 歐盟對于個人信息的保護是通過一系列條約、指令的演進，最終在法律層面確立了國家保護個人信息的必要性義務(wù)。[10]歐盟個人信息保護的發(fā)展主要經(jīng)歷了三個階段：[11]第一個階段以公約為主要表現(xiàn)形式。1950年11月4日在歐洲理事會主持下于羅馬簽署的《歐洲人權(quán)公約》被認為是歐洲第一代個人信息保護法。第二個階段以指令為主要表現(xiàn)形式。1995年，歐盟正式頒布《關(guān)于個人信息處理保護及個人信息自由傳輸?shù)闹噶睢?，該指令在落實保障信息主體基本權(quán)利的基礎(chǔ)上也實現(xiàn)了信息在成員國之間受法律限制的“自由傳輸”，對歐盟個人信息保護的發(fā)展起到了至關(guān)重要的推動作用。隨之，歐盟各成員國先后頒布了個人信息法并設(shè)立了信息保護局。第三個階段以條例和指令為共同表現(xiàn)形式。伴隨著經(jīng)濟的蓬勃發(fā)展，數(shù)據(jù)信息極速流轉(zhuǎn)，舊法已難以達到協(xié)調(diào)歐盟各成員國個人信息保護法之目的。鑒于此，2010年歐洲委員會向歐洲議會和理事會提交《歐盟個人信息保護綜合方案》，確立了個人信息保護法改革的基本框架。2016年，歐洲理事會議會先后表決通過了《關(guān)于個人信息處理及個人信息自由傳輸?shù)臈l例》（以下簡稱《條例》）和《關(guān)于有權(quán)機關(guān)為了預(yù)防、發(fā)現(xiàn)、調(diào)查和起訴形式犯罪而自由傳輸個人信息及保護個人信息的指令》（以下簡稱《指令》），同時設(shè)立專門的個人數(shù)據(jù)監(jiān)督管理機構(gòu)，對個人信息的收集、流通和利用進行嚴(yán)格的管理和監(jiān)督。[12]歐盟各成員國則以《指令》和《條例》為一般原則和指引，在本國制定了相應(yīng)的法律法規(guī)。

三、我國個人信息行政法保護之不足

個人信息收集處理程序缺失? 程序正當(dāng)原則主要是對行政權(quán)力實施過程進行規(guī)制，使之透明化、專業(yè)化。行政機關(guān)作為最大的個人信息收集處理主體，應(yīng)將程序正當(dāng)原則貫徹在個人信息收集、處理的各個階段。個人信息收集前應(yīng)通知信息主體，事中以同意為原則展開信息的采集，事后應(yīng)提供救濟渠道以保障侵權(quán)人和被侵權(quán)人陳述、申辯的權(quán)利。大數(shù)據(jù)時代，個人信息的形式愈加多樣化，網(wǎng)頁瀏覽足跡、購物傾向、APP的注冊信息等皆屬于新型的個人信息。隨之而來的是，個人信息收集的方式也悄然發(fā)生變化，并逐漸由“知情同意”向“不知情被收集”轉(zhuǎn)化。現(xiàn)實中，因個人信息收集、處理程序缺失，行政機關(guān)忽視程序收集個人信息的不當(dāng)行為時有發(fā)生，不僅剝奪了信息主體對個人信息的支配權(quán)，也加劇了受害人主張事后救濟的難度。而且，行政機關(guān)對個人信息收集處理程序的不透明也使得信息主體和其他社會公眾難以進行有效監(jiān)督，這也與程序正當(dāng)原則的要求不符。

個人信息保護監(jiān)管力度不強? 一是我國尚無專門機構(gòu)對個人信息實施統(tǒng)一管理，且行政機關(guān)內(nèi)部對接觸信息的工作人員也缺乏嚴(yán)格的管控，這無疑加大了個人信息內(nèi)部泄露的可能性。二是行政機關(guān)收集、處理個人信息的操作過程及采用的技術(shù)手段并未經(jīng)過專業(yè)測評，無法保證個人信息不被泄露。三是對侵犯公民個人信息的行政監(jiān)管措施種類較少、力度較輕。如《中華人民共和國居民身份證法》（2011修正）第十九條規(guī)定：“國家機關(guān)或者金融、電信、交通、教育、醫(yī)療等單位的工作人員泄露在履行職責(zé)或者提供服務(wù)過程中獲得的居民身份證記載的公民個人信息，構(gòu)成犯罪的，依法追究刑事責(zé)任;尚不構(gòu)成犯罪的，由公安機關(guān)處十日以上十五日以下拘留，并處五千元罰款，有違法所得的，沒收違法所得。單位有前款行為，構(gòu)成犯罪的，依法追究刑事責(zé)任;尚不構(gòu)成犯罪的，由公安機關(guān)對其直接負責(zé)的主管人員和其他直接責(zé)任人員，處十日以上十五日以下拘留，并處十萬元以上五十萬元以下罰款，有違法所得的，沒收違法所得。有前兩款行為，對他人造成損害的，依法承擔(dān)民事責(zé)任?！?/p>

被侵權(quán)人主張民事訴訟難獲救濟? 一方面，個人信息主體舉證難。大數(shù)據(jù)時代，信息流轉(zhuǎn)具有極強的隱藏性，處理迅速且容易修改，個人信息主體收集和固定侵權(quán)證據(jù)絕非易事。在中國人臉識別第一案中，當(dāng)事人郭某具有專業(yè)的法律知識尚感維權(quán)之路困難重重，對于普通人而言拒絕人臉識別更是難上加難;另一方面，維權(quán)成本與侵權(quán)賠償不對等。即便個人信息主體能夠克服困難、沖破阻礙最終維權(quán)成功，但維權(quán)成本與侵權(quán)賠償間的巨大“赤字”也會使其望而卻步。

被侵權(quán)人主張行政救濟途徑受阻? 在中國人臉識別第一案中，一審和二審均只判定野生動物世界將入園方式由指紋識別改為人臉識別的行為構(gòu)成民法意義的違約，在要求其刪除后并未追究行政責(zé)任。目前，在我國行政法領(lǐng)域并未有專門的法律法規(guī)對個人信息進行保護，也未建立專門的個人數(shù)據(jù)保護執(zhí)法機構(gòu)，[13]且現(xiàn)行個人信息法律保護體系對于個人信息主體如何確定行政機關(guān)侵權(quán)、采取何種手段主張救濟以及向誰提出救濟等問題涉及較少，一定程度上導(dǎo)致個人信息主體在主張行政救濟時面臨重重阻礙。[14]

四、行政法對民法中個人信息保護的因應(yīng)

完善個人信息行政法保護體系? 《民法典》在第一千零三十六條、第一千零三十八條和第一千零三十九條明確了處理個人信息的免責(zé)事由、信息處理者的安全保障義務(wù)、行政人員承擔(dān)保密義務(wù)，預(yù)留出了完善個人信息行政法保護的接口。我國可借鑒域外對于個人信息保護的分散立法模式和綜合立法模式，探索適合我國基本國情的個人信息保護兼容模式，即將保護私權(quán)利的民法與監(jiān)督公權(quán)力的行政法相互融合。一方面，將合法行政、合理行政、程序正當(dāng)、知情同意、用途限制等原則作為個人信息行政法保護的根本原則，切實加強對個人信息的行政法保護，禁止過度商業(yè)化的行為，加大個人信息侵權(quán)懲處力度;另一方面，正確區(qū)分個人信息和隱私權(quán)之間的差異，二者重疊部分應(yīng)統(tǒng)一作出立法規(guī)定，二者不同部分應(yīng)有針對性地提出立法建議，確保個人信息行政法保護體系的系統(tǒng)化、科學(xué)化。

建立個人信息處理的行政許可制度? 信息在互聯(lián)網(wǎng)時代的飛速流轉(zhuǎn)加速了個人信息處理者的不斷變換，導(dǎo)致個人信息處理主體的不確定，放大了信息泄露的風(fēng)險。為明確信息處理主體，避免在信息處理過程中出現(xiàn)侵權(quán)現(xiàn)象，應(yīng)提高信息處理的“門檻”，采用“許可-備案”制確定個人信息處理的主體資格。獲得資格的信息處理主體由專門機構(gòu)進行統(tǒng)一培訓(xùn)、備案考察和集中管理（非行政機關(guān)處理個人信息應(yīng)增加“授權(quán)”這一前置程序），定期進行公民信息保密核查和評估。建立剛性的懲戒機制，對于泄露個人信息或處理不當(dāng)?shù)臋C關(guān)或組織予以大額罰款、吊銷個人信息處理登記證或許可證、[15]免除其處理信息的資格等行政處罰。

健全個人信息行政法監(jiān)管機制? 一是基于行政復(fù)議機關(guān)兼具監(jiān)督行政權(quán)、權(quán)利救濟和解決爭議的功能，可將其確定為個人信息保護的行政監(jiān)管主體。二是加強信息處理者的監(jiān)管義務(wù)。保護個人信息不能只立足于事后監(jiān)督，更要著眼于事前和事中監(jiān)督，應(yīng)在個人信息處理過程中對信息處理者的技術(shù)措施和技術(shù)手段進行監(jiān)督，確保其安全收集、存儲及流轉(zhuǎn)個人信息。建立個人信息泄露問責(zé)機制，加大對涉案信息處理者的處罰力度。三是對于個人信息流通過程中出現(xiàn)的的泄露、篡改、丟失等情形有針對性地采取處罰措施。四是鑒于《民法典》已規(guī)定收集、處理個人信息應(yīng)告知自然人并向有關(guān)主管部門報告，在行政法中亦應(yīng)設(shè)置專門機構(gòu)對自然人的的報告進行審查和處理。

確立個人信息保護組織在訴訟中的原告資格? 相較于政府、企事業(yè)單位或其他組織，公眾在個人信息遭受侵犯時往往不知如何采取救濟手段、如何搜集和固定證據(jù)繼而求助于個人信息保護組織。因此，應(yīng)明確個人信息保護組織參與訴訟的資格，確保其能有序參與訴訟途徑。從某種程度上說，個人信息保護組織原告資格的確認作為一種事后監(jiān)督手段，能夠倒逼行政機關(guān)和非行政機關(guān)合法收集、處理個人信息，是維護公眾個人信息權(quán)益的可操作性舉措。[16]當(dāng)然，對可以參與訴訟的個人信息保護組織應(yīng)設(shè)置一定的等級限制，可參照環(huán)境公益訴訟的原告主體資格進行確定，即在設(shè)區(qū)的市級以上人民政府民政部門登記的，專門從事個人信息保護活動連續(xù)五年以上且無違法記錄的社會組織。

【參考文獻】

[1]李少偉.民法法典化與私法價值的實現(xiàn)[J].河北法學(xué)，2019，（12）：20-28.

[2]程琥.民法典時代的行政法：挑戰(zhàn)與回應(yīng)[J].中國法律評論，2020，（4）：170-177.

[3]涂慧.試論中國個人信息的法律保護[J].西北大學(xué)學(xué)報（哲學(xué)社會科學(xué)版），2010，（2）：149-153.

[4]程嘯.論我國民法典中的個人信息合理使用制度[J].中外法學(xué)，2020，（4）：1001-1017.

[5]齊愛民.個人信息保護法研究[J].河北法學(xué)，2008，（4）：15-33.

[6]韓強.人格權(quán)確認與構(gòu)造的法律依據(jù)[J].中國法學(xué)，2015，（3）：138-158.

[7]楊立新.個人信息：法益抑或民事權(quán)利——對《民法總則》第111條規(guī)定的“個人信息”之解讀[J].法學(xué)論壇，2018，（1）：34-45.

[8]徐海寧，詹偉杰，許多奇.電子通信隱私法[J].互聯(lián)網(wǎng)金融法律評論，2016，（2）：190-213，2.

[9]周漢華.探索激勵相容的個人數(shù)據(jù)治理之道——中國個人信息保護法的立法方向[J].社會科學(xué)文摘，2018，（4）：64-66.

[10][15]王錫鋅.個人信息國家保護義務(wù)及展開[J].中國法學(xué)，2021，（1）：145-166.

[11]劉云.歐洲個人信息保護法的發(fā)展歷程及其改革創(chuàng)新[J].暨南學(xué)報（哲學(xué)社會科學(xué)版），2017，（2）：72-84.

[12]張玉潔，李佳文.互聯(lián)網(wǎng)時代個人信息保護機制研究[J].政法學(xué)刊，2020，（3）：59-68.

[13]劉學(xué)濤.個人數(shù)據(jù)保護在我國行政法治視域下的挑戰(zhàn)與應(yīng)對[J].北京郵電大學(xué)學(xué)報（社會科學(xué)版），2019，（2）：9-16.

[14]吳偉光.大數(shù)據(jù)技術(shù)下個人數(shù)據(jù)信息私權(quán)保護論批判[J].政治與法律，2016，（7）：116-132.

[16]張煒達，呼嘯.大數(shù)據(jù)時代下個人信息行政公益訴訟制度之建構(gòu)[J].西北大學(xué)學(xué)報（哲學(xué)社會科學(xué)版），2020，（4）：69-80.

Administrative Law Response of Personal Information Protection

System in Civil Code Era

Sun Haitao，Wang Hongli

Abstract：There are two main modes of extraterritorial personal information protection：decentralized legislation and comprehensive protection. In China，although the legislative interface for the protection of personal information administrative law is reserved in the civil code，there are still some problems in practice，such as the lack of personal information collection and processing procedures，the weak supervision of administrative organs， the infringed's claim that it is difficult to obtain relief in civil litigation and the obstruction of administrative relief. In the future，the administrative protection of personal information should comply with the trend of the times and step by step.At the legislative level， improve the protection system of personal information administrative law，and establish the administrative license system for personal information collectors and processors;At the judicial level，establish the plaintiff qualification of personal information protection organizations in litigation;At the level of law enforcement，improve the administrative supervision mechanism of personal information.

Key words：personal information protection;civil code;administrative law;administrative organ