個人信息保護的行政規制：實踐檢視及完善路徑

葉戰備 閆釗

〔摘要〕 行政規制在個人信息保護方面發揮著重要作用，有利于彌補民法規制與刑法規制對個人信息保護的不足，較大程度地防止相關主體對個人信息權益的侵害。然而，實踐中個人信息保護的行政規制存在立法內容的涵蓋性有待加強、監督制度的有效性有待提高、處罰制度的嚴謹性有待強化、救濟程序的規范性有待提升等方面的不足，應通過完善現行立法內容、優化行政監督體制、調適行政處罰機制、改進行政救濟程序等路徑對個人信息保護的行政規制予以完善。

〔關鍵詞〕 個人信息；個人信息保護；行政規制；信息數據

〔中圖分類號〕D922.1 〔文獻標識碼〕A 〔文章編號〕1009-1203（2024）02-0082-05

2021年8月，十三屆全國人大常委會第三十次會議表決通過《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》），標志著我國法律在個人信息保護方面更為細致和全面〔1〕。就其內容來看，主要集中在“規范個人信息處理活動”“明確個人信息保護活動的相關部門及其職責”等方面〔2〕。《個人信息保護法》施行后，企業和互聯網平臺收集、處理個人信息更為規范，行政機關管理個人信息也更為高效，但是由于個人信息具有經濟價值，可能會面臨企業和營利性機構的侵害，也可能會遭受非法收集、處理和利用的風險，因此對個人信息的保護仍需進一步加強。針對當前多元主體對個人信息權益的侵犯，有學者提出可以將個人信息權視為私權，通過民事等私法路徑保障個人權益〔3〕。需要注意的是，當個人所面對的侵權主體是行政機關時，容易面臨國家公權力和個人私權利不對等的困擾：一方面行政機關由于職責所在，需要較為頻繁地收集、處理個人信息，另一方面個人出于義務，需要配合行政機關提供個人信息〔4〕。一旦個人信息權益在信息收集、處理過程中受到侵害，若侵權方是行政機關時，民眾很可能會因個人權利受限而無法對侵權行為進行有效舉證，導致其很難通過私法路徑有效保護個人權益。鑒于民眾可以通過行政訴訟等方式申請行政機關協助取證、訴訟維權，而行政規制不僅能夠規定行政機關在行使公權力時應當遵循的基本原則和規則，還能夠規范和限制行政機關在行使公權力時的行為，防止公權力濫用，因此，筆者認為應突出行政規制在個人信息保護方面的重要作用。

一、個人信息保護行政規制的必要性

根據《個人信息保護法》第4條的相關規定，個人信息是指“以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息”。當前學界對行政規制并沒有統一的界定，不過大多數學者認為其實質是行政機關運用公權力對社會與市場失靈的狀態進行校正。考慮到行政法學建立在“權力—權利”基礎上，其目的是對行政主體的行為進一步約束，筆者認為對于個人信息保護的行政規制，可以理解為“在約束負責保護公民個人信息的行政主體自身行為的基礎上，通過行使行政權力對涉及公共利益且通過市場機制難以合理處理的事項進行規范，實現對個人信息的高效保護”。目前對于如何運用行政規制保護個人信息，尚未有明確定論，有學者基于行政法的“組織法—行為法—救濟法”的劃分搭建了分析框架〔5〕，也有學者結合規制體系從“規制主體、規制實施與規制問責”方面進行了分析〔6〕。二者出發點雖有不同，但都體現了事前到事后的全流程保護的邏輯進路。在個人信息保護場域中，保護的不僅是個人信息權，更是包含人格權在內多種法益的權益群，因此對于個人信息保護的行政規制，應當涵蓋事前立法預防、事中執法監督以及事后救濟問責的全流程保護。

行政規制對保護個人信息非常必要，主要表現在兩個方面：首先，行政規制有利于彌補民法規制與刑法規制對個人信息保護的不足。當前僅從民法和刑法層面無法實現對個人信息的全面保護，存在民法事前預防保護不周全、刑法事后保護無法達到立案標準的困境。就民法保護而言，民法往往是在個人信息遭受侵害后對其合法權益進行保護，涉及侵害前預防工作的條款較少，且多以說明性內容為主。如對個人信息的處理，《民法典》第1038條只表明了信息處理者保護個人信息安全的保障義務，同樣第1039條也只提及了行政人員履職過程中所知悉自然人隱私信息的保密義務〔7〕。不過不同的是，后者內容涉及行政人員的保密義務，可以結合《行政訴訟法》通過多種行政手段對個人信息權益進行實質保護，并且《個人信息保護法》包含公法和私法元素，在一定程度上屬于行政公開法律的范疇。不難發現，民法即使能夠對個人信息提供較為完善的保護，也需要和行政法共同施行。就刑法保護而言，雖然《中華人民共和國刑法修正案（十一）》第253條規定了侵害個人信息的犯罪條件，然而個人信息遭受不法侵害在立案標準上存在模糊地帶。按照現行刑法的相關規定，需要以行為人主觀故意為基準來判斷其是否侵害個人信息，對于行為人是否是在主觀故意的基礎上實施侵害，其侵害行為是否達到立案標準，在司法實踐中一直飽受爭議〔8〕。《個人信息保護法》關于行政處罰的相關內容在一定程度上可以彌補刑法懲戒的難題，其第66條規定，對于侵害個人信息但未構成刑事犯罪的企業，行政機關可以通過行政處罰對單位或個人進行警告與罰款。情節特別嚴重的會提升行政處罰形式的等級，從最輕微的警告到責令信息處理者停止經營活動，甚至吊銷其信息收集處理的許可證。其次，行政規制有利于較大程度地防止相關主體對個人信息權益的侵害。如若缺少行政規制，在個人信息遭受侵害時，僅憑其他法律制度很難有效追責。行政規制不僅貫穿事前預防、事中監督和事后處理的個人信息保護全過程，還可以綜合運用調查和處罰等多種手段進行快速與便捷的執法〔9〕。以2018年無錫培訓機構侵害學生信息為例，便是由于“民事訴訟程序繁瑣，刑事處理達不到立案標準”等原因，導致不法分子的猖獗之勢難以壓制。行政規制的獨特之處在于被侵害人即使不主動維權，相關部門發現后也有權主動介入。該案中檢察機關發現后便主動介入，同公安機關、相關教育主管部門共同對教育機構與學校相關人員進行了處理，在一定程度上維護了涉事群體的信息權益。對于個人信息的保護，可以說行政法與刑法、民法之間是互相補足的關系，三者對于個人信息保護可以被認為是一種“民法—行政法—刑法”的遞進式進路〔10〕。當出現侵害個人信息權益的情形時，當事人可以選擇民事訴訟等途徑維護自身權益；如若侵害進一步加深，出現個人信息被販賣、遭到泄漏等影響范圍較廣的現象，此時由履行保護職責的行政機關進行源頭與傳播途徑的多重規制；如若侵害導致當事人面臨諸如危害人身安全等嚴重社會后果，此時便需要刑法通過威懾、懲戒等方式來彌補民法與行政法在個人信息保護方面的不足。綜上所述，無論從實然還是應然層面，行政規制對于個人信息保護都有切實之必要。

二、個人信息保護行政規制的實踐檢視

《個人信息保護法》的施行使得我國關于個人信息保護的法治建設取得了長足的發展，個人信息保護的相關立法不斷健全，監督體制與處罰機制逐漸成熟，救濟措施也在不斷補充完善，然而實踐中個人信息保護的行政規制仍顯不足。

（一）立法內容的涵蓋性有待加強

個人信息保護的行政立法包括制定個人信息收集、使用和處理的相關規章、指導方針和標準，以確保對個人信息的合理、合法和安全處理。《個人信息保護法》未出臺之前，關于個人信息保護的相關立法內容散見于《民法典》、《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）、《中華人民共和國數據安全法》（以下簡稱《數據安全法》）。自2017年6月1日起施行的《網絡安全法》是我國首個專門規定網絡安全與個人信息保護的綜合性法律，其對網絡安全管理、數據出境等方面進行了規定。自2021年9月1日起施行的《數據安全法》為了規范數據處理活動、保護個人的數據權益，對有關個人數據開發利用活動作了專門規定。自2021年11月1日起施行的《個人信息保護法》是通過行政監督、行政處罰等手段來確保個人信息處理者合法處理個人信息的一部保護個人信息的專門法律〔11〕。個人信息保護行政立法的目的是保護個人信息主體的隱私權和信息安全，并規范社會中個人信息的收集、傳輸和存儲活動。《個人信息保護法》詳細規定了告知—知情—同意為核心的個人信息處理規則（詳見第14條）、敏感個人信息的認定與保護規則（詳見第28條）等內容，對個人信息的保護更為細化。然而現有立法的涵蓋性仍顯不足，比如法定保護個人信息的界限不夠明確，沒有嚴格區分個人信息與私密信息，法律條文也并未作詳細說明。《民法典》第1034條提及了私密信息，然而《個人信息保護法》并未就私密信息這一概念作出相應界定，其雖然對敏感個人信息進行了說明，但私密信息與敏感個人信息并不等同。再如現有對于未成年人信息保護的相關立法仍不夠全面。未成年人這一特殊群體不僅法律意識相對薄弱，而且自我保護能力也相對不足，《個人信息保護法》關于未成年人個人信息保護的內容僅為一般性規定，沒有專門針對未成年人的信息保護措施，并且相關法條即第28條也只明確了14周歲以下未成年人的個人信息為敏感個人信息，但對于14—18周歲之間的未成年人的個人信息如何認定并未作出進一步規定〔12〕。

（二）監督制度的有效性有待提高

一是對民眾、企業及互聯網平臺的監督。目前民眾、企業及互聯網平臺對個人信息的非法侵害時有發生，其不法行為主要表現為對個人信息數據的收集與非法轉賣。《征信業管理條例》明確規定征信管理部門擁有監督職能，其履行監督職能時應充分發揮事前審查制度的監督作用，包括對個人信息數據的收集、處理、利用是否進行登記備案的形式審查；對審查對象收集個人信息的目的是否真實及使用個人信息數據的方式是否合法的實質審查。此外，為了更好地督促重要互聯網平臺對個人信息的規范使用，《個人信息保護法》第58條規定了互聯網平臺的法律義務，要求其成立獨立的監督機構，以便對自身處理個人信息數據的行為是否正當進行監督〔13〕。

二是對行政主體的監督。《個人信息保護法》第60條明確了負責保護個人信息的監管部門及其監督形式，著重提及由網信部門進行統籌協調。在此之前，網信、公安等部門擁有監督職能，但對于其自身履行職責缺乏有效監督。《個人信息保護法》對國家網信辦統籌作用的明確，極大地減少了各部門在保護民眾個人信息過程中的職能沖突，保證了行使監督職權機關的獨立性。然而監管部門也存在無法全面行使監督職權的問題，因為個人信息數據遭受非法侵害、被不法分子販賣，往往是通過“暗網”等隱秘形式進行的，監管機構很難及時發現，并且監管機構囿于執法權限，取證也非常困難。盡管《個人信息保護法》規定重要互聯網平臺要成立“獨立的個人信息保護監督機構”，以協助監管部門監督，但目前并未得到有效落實，外部監督的效果尚未充分發揮出來，致使監督企業與互聯網平臺信息處理行為的效果大打折扣。

（三）處罰制度的嚴謹性有待強化

《個人信息保護法》對違規處理和使用個人信息數據加大了處罰力度。從關于罰款的內容來看，打破了以往罰款額度“最高不超過100萬”的封頂。《個人信息保護法》第66條提出最高不超過5 000萬或者不超過上一年度5%的營業額的處罰形式，此舉極大提高了最高罰款額度。并且相較《個人信息保護法》未出臺之前對于主管人員和直接負責人的處罰，罰款額度已從《網絡安全法》規定的1萬元至10萬元增加到了現在的10萬元至100萬元。除此之外，在行為人違反相關行政法規但又沒有構成犯罪的情況下，可以針對行為人不同程度的違法情節對應不同的處罰金額。與吊銷從業許可證、剝奪行為主體從事信息處理與服務行業的資格相比，罰款這一手段相對緩和；相較于責令停業整改的處罰形式，罰款可以對違法行為主體進行經濟制裁，產生直接的懲戒作用。并且行政處罰中的罰款作為一種財產式處罰，具有可量化性及可兼并性，也可以根據違法行為人的違法程度和其他處罰形式結合使用，諸如“罰款+停業整頓”“罰款+企業責任人追責”等。由此可見，《個人信息保護法》首次提出的“雙罰制”不僅打破了以往封頂的罰款額度局限，而且開創性地將罰款與對涉事相關責任人的處罰相結合，為個人信息保護制度的施行提供了有力保障。不過有學者認為，現有個人信息保護行政處罰制度存在罰款主體不明確、罰款標準不清晰、罰款程序與結果缺乏監督等問題，需要引起高度關注〔14〕。

（四）救濟程序的規范性有待提升

與之前的法律相比，《個人信息保護法》對個人信息遭受侵害的行政相對人的救濟程度有所提高，特別是第69條第二款明確了損害賠償的認定范圍不再局限于財產損失，并且取消了賠償上限50萬元的限制。當行政相對人遭受行政主體侵害后，在對違法的行政主體進行相關處罰的基礎上，行政相對人還可以通過行政救濟的相關措施維護自身合法權益：對行政爭議之處，行政相對人可以申請原來作出行政決定的機關或其上級監督機關審查，原來作出行政決定的機關或其上級監督機關按照程序對違法或者不當行為審查后進行糾正。《個人信息保護法》第50條規定，如若行政主體作為信息處理者拒絕行政相對人行使請求權，行政相對人也可以通過法定程序向法院提起訴訟，但是目前個人信息遭受侵害后申請行政救濟困難重重。行政法雖然規定了行政機關行使權力不當時民眾可以通過行政訴訟等方式尋求救濟，但在實際救濟過程中由于缺乏規范的指導，被侵害人在面對侵權的行政機關時，不僅取證難度較大，投訴維權也鮮有結果。此外，當前并未將保護個人信息納入行政復議范疇，行政相對人無法就個人信息的處理問題向行政復議機關提出復查行政行為的申請。

三、個人信息保護行政規制的完善路徑

（一）完善現行立法內容

針對個人信息保護立法層面的不足，可以考慮從以下幾方面進行完善：其一，進一步明確私密信息與敏感個人信息的界限。可以對涉及個人信息的法律條文進行修訂，或者出臺相關司法解釋。其二，出臺對于未成年人信息保護的專門規定。應針對年齡分層次出臺不同規定，填補14—18周歲年齡段的空缺，要求只要是18周歲以下的未成年人，對其個人信息授權同意的情況均需要監護人的知情同意。其三，制定充分告知與平等交流規定。以網絡APP使用為例，其收集個人信息需用戶授權同意，但相關授權內容冗長，一方面未成年人無法準確知悉授權內容，另一方面由于閱讀需要耗費大量時間，未成年人為了快速使用往往直接選擇同意，形成了“不知情—同意”的局面。這就要求互聯網平臺與相關企業要簡明信息授權內容，確保未成年人能充分了解其授權提交個人信息的儲存情況、信息去向以及使用情況。

（二）優化行政監督體制

一要細化監管部門的監督職能。應進一步劃分監管部門對民眾、企業和互聯網平臺以及行政機關的分類監督，以增強針對性。采取對應式監督不僅能夠提高監管效率，預防侵害行為的發生，同時也能夠對不當處理個人信息的行為作出及時反應，最大程度地保護個人信息。二要加強對互聯網平臺的治理。信息在網絡中的流通性和無界性特征，在一定程度上增加了行政監管的難度，需要國家加大對互聯網平臺的治理，優化網絡環境。比如授予監管機關一定的執法權力，監管機關就能夠對隨意發布他人信息等侵害行為作出相應管控或處罰。三要完善行政追責制度。行為人受到侵害涉及諸多主體，除對侵權主體追責外，也應對侵害鏈上其他協助侵權的主體進行追責。相關主體雖然沒有直接侵害個人信息權益，但他們在傳遞信息的過程中可能獲利，只有對他們違法或者不當行為進行處罰，才能更有效地遏制個人信息的竊取、傳播與濫用等不法行為的發生，達到保護個人信息的目的。

（三）調適行政處罰機制

針對學界認為現有個人信息保護行政處罰制度存在罰款主體不明確、罰款標準不清晰、罰款程序與結果缺乏監督等問題，筆者認為罰款主體不明確與罰款標準不清晰更多的是基于各行業對于個人信息保護的考量，如金融行業對違規處理個人信息數據行為的處罰與醫療行業對違規處理個人信息行為的處罰應當有所不同，前者可能涉及經濟效益，后者則可能與個人的安全相關，因而需要結合領域特性進行處罰。從本質來看，這是立法層面的問題，需要在立法層面予以細化。此外，行政處罰已經擁有十分規范的程序，并且其過程公開透明，可以說罰款的程序與結果實際上并不缺乏監督，不需要過分強調監督。

當前關于個人信息保護行政處罰的“雙罰制”已較為完善，只需在信用制度方面進行調適即可。可以將違法處理個人信息以及違規使用個人信息的行為主體納入征信系統，通過警告或者通報的方式對其失信行為進行懲處。如此一來，不僅可以對違規處理個人信息的互聯網平臺和違法販賣個人信息牟取利益的企業公開警示，而且可以對其收集、處理個人信息的活動加以限制，通過影響行業名譽的方式達到懲戒和威懾的目的〔14〕。

（四）改進行政救濟程序

行政救濟實質上是對行政行為的一種另類監督，其目的是彌補不當行政行為對行政相對人造成的損失。為此，一應積極改進責任取證制度，讓侵權主體提供相關證據，用以證明其沒有實施侵害個人信息的行為。此舉不僅有利于減輕行政相對人的舉證負擔，而且可以在一定程度上降低司法成本，有助于侵權雙方爭議的有效解決。二應通過出臺相應規定或修訂補充行政復議法拓寬救濟途徑。與之相對應的是，由于民眾與行政機關地位不對等，泄漏個人信息更易給民眾帶來極大的精神困擾與名譽損害，因此可以考慮放寬提起行政訴訟的要求，并不一定要求民眾的財產權等權利受到侵犯才可以提起行政訴訟，如若受到較為嚴重的精神困擾與名譽損害，民眾也可以提起行政訴訟。三應通過完善行政賠償制度，以加大行政機關及其工作人員侵害公民個人信息的成本來防止侵害行為的發生。此舉一方面可以在一定程度上保障行政相對人的權益，另一方面可以降低行政機關及其工作人員違法行為的發生率。

〔參 考 文 獻〕

〔1〕程 嘯.論我國個人信息保護法的基本原則〔J〕.國家檢察官學院學報，2021（05）：3-20.

〔2〕張新寶.論個人信息權益的構造〔J〕.中外法學，2021（05）：1144-1166.

〔3〕王利明.論個人信息權的法律保護——以個人信息權與隱私權的界分為中心〔J〕.現代法學，2013（04）：62-72.

〔4〕王錫鋅.個人信息國家保護義務及展開〔J〕.中國法學，2021（01）：145-166.

〔5〕王瑞雪.規制法的體系分析——評《規制、治理與法律：前沿問題研究》〔J〕.公法研究，2021（01）：383-395.

〔6〕陳 明.認真對待規制——評《規制、治理與法律：前沿問題研究》〔J〕.公法研究，2021（01）：396-417.

〔7〕孫海濤，王紅利.民法典時代個人信息保護的行政法回應〔J〕.行政與法，2021（12）：66-71.

〔8〕王華偉.已公開個人信息的刑法保護〔J〕.法學研究，2022（02）：191-208.

〔9〕鄧 輝.我國個人信息保護行政監管的立法選擇〔J〕.交大法學，2020（02）：140-152.

〔10〕葉戰備，閆 釗.行政規制視角下未成年人的網絡安全保護〔J〕.青少年學刊，2023（04）：46-55.

〔11〕周漢華.個人信息保護的法律定位〔J〕.法商研究，2020（03）：44-56.

〔12〕王者鵬.未成年讀者個人信息保護政策的構建與實施——基于《個人信息保護法》〔J〕.圖書館，2022（01）：1-7.

〔13〕蔣紅珍.《個人信息保護法》中的行政監管〔J〕.中國法律評論，2021（05）：48-58.

〔14〕謝尚果，趙佳成.個人信息保護中行政罰款制度研究〔J〕.河北法學，2024（01）：59-72.

責任編輯 梁華林

〔收稿日期〕 2024-02-08

〔基金項目〕 國家社會科學基金一般項目（20BZZ090）。

〔作者簡介〕 葉戰備（1970-），男，安徽桐城人，南京審計大學國家治理與國家審計研究院執行院長，教授，法學博士，博士研究生導師，主要研究方向為政務數據治理、數字公共治理。

閆 釗（2001-），男，回族，河南商丘人，南京審計大學國家治理與國家審計研究院研究助理，主要研究方向為網絡治理、個人信息保護。