International Open Access Journal Platform

一、个人信息受保护权之范围界定与属性分析

（一）个人信息的界定

在通常情况下，我们很难准确区分个人信息与个人隐私，个人资料与个人数据的关系。在未对相关概念进行界定与厘清的时候，是无法进行后续研究的。因此我们需要在开头，对个人信息权的进行界定，以便后续研究的顺利进行。从权利性质上来看，个人隐私是自己所知悉并且不希望他人知悉或者入侵的私密领域，若被他人侵入则会影响其基本安宁的生活秩序。对个人隐私权的侵害大多数表现在被害人的精神方面受到创伤或影响。而个人信息权的权利性质是经济的，基于通过对于该信息的识别，社会大众或者公权力机关可以区分出自身与他人的不同之处，可以将其识别并进而指向某一具体个人。对个人信息的侵害则体现为财产利益，如盗用其身份信息刷银行卡，以及人格利益，如将该个人的身份信息列入失信名单并进行公示。当然，个人信息主体也会受到精神上的损害，如信息曝光过度也会给信息主体带来精神上的困扰。因此，个人信息具有财产性与精神性的统一。(a)我们可以发现通过对个人信息与个人资料、个人数据的范围进行比较来看，个人信息具有更加浓厚的权利保护色彩或者说对权利的关注强度是个人资料与个人数据所不及的，体现了我国保障人权的宪法原则。

（二）个人信息权的权利属性

我国学界的既有研究中对个人信息法律保护制度的设想可以类型化为两种回应。其一，将个人信息受保护权作为一项私权利进行定位并制定了与之相匹配的“权利保护”模式，认为个人信息的主体可以根据自己的意思表示对其信息进行决定，收集以及排除他人的非法干预与使用(b)；其二，将个人信息受法律保护的权利定位成一项由宪法规定而衍生出的基本权利，权利条款作为形式上证明的主要依据以及在实质上证明该项权利具有足够的宪法保障之必要(c)。进而主张“权力保护”模式，强调公权力不仅具有不作为的义务，即对个人信息不可以过度干涉，也主张公权力需要对个人信息的保护采取积极的作为义务，其主要体现在通过制定相应的保障制度或尽力通过一切手段与方式，为公民个人实现该项基本权利提供制度性前提及排除第三人的侵害。

王锡锌教授对两种基本权利的保护模式从规范逻辑、制度功能和域外经验等维度进行了三个层面的分析，并认为对个人信息权的保护若仅通过私法则可能缺乏完满路径，可能存在保护不足的问题，因而将个人信息权引入公法领域甚至是具有最高法律效力的宪法进行保护，其正当性是十足的。(d)张翔教授认为，“在大规模处理个人信息的频率日渐增长、技术愈发成熟的背景下，在宪法层面确立个人信息权的首要意义便是对公权力机关作出有效的防御和约束。无论个人信息在民事权益体系中如何定位，都不排斥将个人信息保护上升为宪法基本权利”。(e)周汉华教授认为，《中华人民共和国个人信息保护法》第一条规定了“根据宪法，制定本法”条款，意味着个人信息保护领域的基本法，并不是民法的特别法。(f)随着2021年《个人信息保护法》的公布与实施，明确了个人信息保护需要在整个宪法秩序下进行，并且面对不同情形、不同场域，各行政机关都会通过不同的手段或者机制来进行有效保护，并会产生在个人信息的限制程序与公共利益之间进行利弊权衡，这样复杂、综合、多方领域共同维护的领域，是民法领域所不能达至的。个人信息保护的有效性必然有赖于公权力机关的规制，实践中站在维权第一线的其实往往是监管者而非个人。(g)这个是张新宝老师的观点。众多学者的观点都认为需要将个人信息纳入基本权利的范畴，进而提供宪法上的保护并通过以行政法为主导，以刑法、民法为辅助的多路径方式来进行，这样才可称为“较为完备的保护”。

二、个人信息行政法保护的基本内涵与理论基础

（一）个人信息行政法保护的基本内涵

前文对于将个人信息权置于宪法思维以下进行保护已经讨论良多，我们还要进一步讨论现行宪法的基本权利条款中是如何对个人信息进行诠释的。根据宪法和法律委员会将个人信息与人权条款，人格尊严条款与通信权条款相连接，提供了一种全新的论证思路。因此，我们可以猜想个人信息权的宪法基础可能在多项权力条款中得到证成，而不仅仅拘泥于一项条款。

目前，我国对于个人信息的行政法保护路径主要体现在三个方面，即事前、事中和事后。个人数据保护的第一阶段侧重于保护隐私。这意味着，如果个人数据权受到侵犯，被侵权方将诉诸法律手段索赔。目前，已经进入到大数据时代，这意味着行政机关对网络服务提供商的信息处理流程进行监管，及时发现违法违规行为。

行政法对个人信息保护的主要有以下三个方面的内涵：（1）完善法律法规的规定，要对行政机关的权力进行一定的规制，防止行政机关在处理公民个人信息时滥用权力。特别是在突发公共卫生事件后，对公民具体信息的收集需要对权力界限进行明确的划定。（2）建立统一和独立的行政监管机构，对行政主体和非行政主体，以及其他信息控制者与收集者，如公司等的处理行为进行有效监管。（3）完善行政救济途径，通过行政手段并充分发挥其效率高、影响大的特点，以此来解决在实践中公权主体与私法主体侵犯公民个人信息的问题，并将这些乱象进行一定的控制。

在当今的数据时代下，个人信息本身具有一定的交互性、普遍性、公开性的特征，因此对于个人信息进行处理是无法避免的，这时需要行机关积极地履行义务，通过设立制度或者提供某些便利条件来确保公民可以对个人信息进行处理。

（二）个人信息行政法保护的理论基础

行政法的基本原则贯穿行政机关执法的全过程，在任何时候都必须遵守，那么在公民的个人信息保护方面也是如此。即有两个行政法基本原则是最需要我们关注的，一是合法性原则，二是合理性原则。

行政合法性原则意味着行政立法和执法应遵循法律，行政权力应在法律框架内行使。

这一原则强调任何行政实体都没有依法作出具体决定的特权，都必须依法作出具体行政行为。如果行政行为违法或超越职权，该行为最终被视为无效。合法行政意味着行政主体不仅要遵守实体法的具体规定，还要注意程序法的内容，只有遵守实体法，才能做到依法行政。

关注程序法的内容，才能有利于实现实体法和程序法的社会公平正义。法律优先的依法行政原则是这一原则的核心。法律优先意味着行政行为不违反法律，但必须服从法律。首先，在行政立法中，行政主体在制定相关行政法规时，必须考虑行政法律规范，并牢记现行宪法的法律规范。

行政法合理性原则，是指在法律法规或规章的基础上实行相关行政行为，但是在执法过程中，除了是依据具体规定外，还应深刻把握立法目的，牢记立法的精神，不光是要在程序上做到公平正义，还必须在实质上也做到公平正义，考虑行政行为的合理程度，必须让作出的行政行为符合社会一般人的预期。

三、个人信息行政法保护机制的完善

在实践中，基于双重面向使得行政机关产生两种路径对公民的个人信息进行完善保护，首先，要构建行政机关违法处理个人信息的制度机制以对行政机关侵犯公民个人信息进行事前规制（即不对个人信息进行不当干预）、事后救济与责任追究；其次，需要完善行政机关对个人信息保护的专门机制，即通过建立专门保护机关与构建行政监督机制。

（一）建构行政机关违法处理个人信息的制度机制

1．构建行政机关侵权的事后救济制度

目前，通过《个人信息保护法》第六十五条对行政机关侵权的事后救济制度进行了规定，即通过投诉、举报机制加以救济。但是笔者认为，仅通过该两种渠道，其救济力度是完全不够的，公民无法收到反馈的情形在实践中是非常有可能发生的。并且，根据《个人信息保护法》第七十条，行政公益诉讼的提起仅能在侵害众多个人权益的情况下才可以产生，这给行政诉讼的提起设置了一定的门槛，对于单个主体的权利救济并没有作出规定。笔者认为，应当在个人信息保护受到侵害的领域将行政复议与行政诉讼制度进行衔接。行政复议具有方便、及时的特点，行政复议法规定行政机关必须在受理申请之日起60日内作出。这样可以将结果及时告知行政相对人。行政相对人对行政复议不服的可以提起行政诉讼，当然这里需要明确的是申请行政复议并不应该成为行政相对人提起行政诉讼的前置性条件，应当给予行政相对人多种救济途径的选择。这是因为行政复议和行政诉讼都是为了保护相对人私益而设置的，立法者应当相信理性的相对人为了保护自身权益完全能够作出理智的选择。(h)

2．完善行政机关侵权的责任追究制度

《个人信息保护法》第六十八条虽然规定了对行政机关及其工作人员的责令改正、行政处分，但是仅针对行政机关及其工作人员消极不作为的情况，对于行政机关及其工作人员主动侵权的行为没有相应的处分规定。笔者认为，应当在立法中不论是行政不作为还是行政机关主动侵权综合运用处分手段，同时可以将行政处分予以公开，如果并不是首次违法，应当加大行政处分的力度将行政处分向社会公众公开，产生一定的威慑力以及警示作用和教育作用。

（二）完善行政机关保护个人信息的专门机制

1．组建个人保护的专门机关

目前，我国信息保护的碎片化以及机关权力的分散化是我国个人信心保护的不足之处，因此建立一个专门机关来保护公民的个人信息是十分必要的，并且这也是当前的国际趋势，即世界各国已经开始设立专门保护个人信息的行政机关来处理个人信息。欧盟1995年指令第二十八条即规定，各成员国应设一个或多个公共机构专门负责监督个人数据保护法的实施。在指令指引下，欧盟各成员国均成立了个人信息保护专门机关。(i)《通用数据保护条例》（GDPR）通过认可了该种模式的益处，采用专章规定“独立监管机构”，对机构的独立性提出了明确要求。在此规定下，通过对各个监管机关授予权力，对公民个人信息的保护几乎覆盖了方方面面，其中包括引导加强公民对个人信息的保护意识、对个人信息处理者的警告甚至设置禁令。

那么该如何设置专门的行政机关，应当给予其什么样程度的权力以防止行政机关权力过大缺乏监管而产生权力滥用的情形，以及可能因为授权不足而行政机关只能机械行使，在实践中无法根据具体情形灵活作出规定呢？行政机关的独立性应在何种范围内授予？行政机关工作人员的专业性程度如何判断？这是值得探讨的问题。有学者认为，该专门机关的独立程度应当与其财政独立相关联，独立意味着财力、人力资源保障且不受政治干扰，设立在政府部门的数据保护机制不具有独立性。(j)但考虑到目前在我国的执法实践中若规定单独将保护个人信息的权力直接抽离至于单一行政机关恐怕在短期之内难以实现。可以先设立国务院下的个人信息保护委员会，采用国、省、市、县四级垂直管理体例，这样既可以保障各部门衔接协调也可以保证其独立行使职权。(k)对于行政机关的授权范围，建议应当给予行政机关相当的自由裁量权以便行政机关在实践中可以采取得当的行政手段，但权力不可以没有监督，这时需要加大监管力度，可以通过程序机制为行政机关行使权力产生一定的说理义务、告知义务和公示义务，防止行政权力行使的随意性以及不确定性，防止行政机关与个别企业产生不正当的利益联结。

2．构建行政监督机制

在组建了个人信息保护的专门机关后，建议全国人大应当通过立法的方式赋予该委员会相应权力与专属职能，以便委员会在工作中可以形成体系化、常态化、正当化的个人信息保护模式。具体可以总结为两方面。第一，负责个人信息保护的宣传与教育工作。个人信息保护目前在我国公民的映像中主要是集中于姓名、家庭住址、工作信息等单一范畴，对于个人信息可能被侵害的范畴具有片面性、单一性和不完整性。因此，个人信息保护委员会应当告知公民个人信息的覆盖范围，使其明白自己的信息可能在什么样的情况下容易被不正当干涉；企业可能也会对信息产生过度干预，应当帮助公民梳理个人信息与宪法中所规定的言论自由、隐私权等具有同样重要的地位，行政机关也负有给予相同位阶的保护义务。第二，负责处理公民投诉其个人信息被侵害的行为，并且依法展开调查、走访，进而作出合乎比例的行政处罚。行政机关在受理投诉后，应当主动对反映的情况进行调查，并依据其专业判断作出行政处罚决定或不作出行政处罚决定。并且行政机关在作出行政处罚决定后，在其自由裁量范围内应当负有说理义务，以便使被处罚人得知行政机关是基于何种考量而作出该处罚决定。