摘要：在大数据时代，个人信息的不当使用与泄露情形屡见不鲜，仅仅依靠民法保护措施与刑法保护措施，无法有效应对当前实践中存在的问题，还需要加强个人信息的行政法保护措施，构建起不同部门法相互协调、相互配合的个人信息保护体系，才能有效遏制个人信息侵害行为。目前，我国的个人信息行政法保护体系仍存在着立法不健全、缺少监管、救济缺位等问题，亟待有关部门针对该问题进行完善。

　　关键词：个人信息,行政法,权益保护

　　随着大数据时代的到来，以网络与新媒体为依托，各类信息获得了爆炸式的增长，在此背景下，因个人信息非法泄露、收集等引发的纠纷与案件也呈现出了明显的增多趋势。行政机关在大数据时代，既是公民个人信息的收集使用者，又是公民个人信息的保护者，因此在个人信息安全治理中具有非常重要的地位，发挥出了不可替代的作用。随着《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）的出台，我国对于公民个人信息的保护进入了一个全新的时代，但不可忽视的是，实践中仍存在着许多问题。故本文将以行政法为视角，对大数据时代的个人信息保护进行研究，旨在回答以下三个问题：第一，为什么要对个人信息进行行政法保护；第二，我国的个人信息行政法保护存在哪些问题；第三，针对实践中存在的问题应如何进行改进。

　　一、大数据时代个人信息行政法保护的概述

　　（一）个人信息的概念与属性

　　1．个人信息的概念

　　根据《中华人民共和国民法典》（以下简称《民法典》）第一千零三十四条与《个人信息保护法》第四条的规定，个人信息指的是可以单独识别特定个人或与其他信息结合后可识别特定个人的信息，具体包括自然人的身份证号码、姓名、联系方式等信息，但匿名化后的信息不在此范围内。虽然两部法律对个人信息的规定略有差异，但都肯定了个人信息的核心特点是具有“可识别性”。

　　2．个人信息的法律属性

　　虽然《民法典》将个人信息与隐私权并列归入了人格权一章，但对个人信息的法律属性的探讨并未停止，目前主流的观点为“人格权说”，除此之外，还存在着“隐私权说”“所有权说”等学说。笔者认为，虽然个人信息在一定情形下可以被支配、使用，并呈现出了经济价值属性，但这并不能否认个人信息的基本人权属性。并且根据《民法典》对隐私权的规定来看，个人信息与隐私权虽存在着交叉之处，但本质上并不相同。因此，笔者也认为个人信息应属于与隐私权有所区分的人格权。

　　（二）个人信息行政法保护的内涵

　　个人信息的行政法保护是个人信息法律保护体系中的重要环节，旨在根据行为情节严重程度不同为权益人提供民法、刑法之外的第三条救济途径。完善的个人信息行政法保护机制包含有两层含义：一方面，指的是健全的个人信息保护行政法律体系，即通过成文法律法规，对各方主体的权利义务予以明确，从而规范个人信息的使用、取得、存储等各个环节；另一方面，指的是高效的个人信息保护行政管理系统，即形成以国家网信等相关部门为主导，各领域有关部门相互配合相互协调的管理体系。［1］

　　（三）个人信息行政法保护的基本原则

　　1．合法、正当、必要和诚实信用原则

　　《个人信息保护法》第五条对该原则进行了规定，具体来说，合法、正当指的是个人信息的各环节处理活动都应严格按照法律法规的规定进行，任何行政主体都不得越权行权。合法正当原则也是行政法的合法性原则，在个人信息行政法保护领域里的具体体现。有必要指出的是，个人信息的处理活动要保证对权益人产生的影响最小，即在各方利益博弈的过程中，要尽可能减少对权益人合法权益的侵害。诚信指的是个人信息的处理要秉持诚实信用的态度，无论是当事人还是行政机关均不得采取欺骗隐瞒等手段。

　　2．目的限制原则

　　《个人信息保护法》第六条对该原则进行了规定，这一原则同时也是行政法的基本原则之一。根据法条内容来看，该原则可以从三个层面进行理解：第一，对个人信息进行处理的目的应当明确且合理；第二，对个人信息的处理方式、处理范围等具体处理活动都需与个人信息的处理目的具有直接的关联；第三，所有个人信息的处理活动都应采取对当事人权益产生影响最小的方式。该原则旨在降低个人信息处理过程中权益人所面临的各种风险，要求信息处理者通过差异化的处理手段寻求最佳的信息处理方案。

　　3．公开透明原则

　　《个人信息保护法》第七条对该原则进行了规定，指的是行政机关在收集处理公民个人信息时，要采取公开透明的方式，并应公布收集处理信息的合理理由。该原则强调了要赋予权益人必要的知情权与决定权，通过加强社会监督的方式促进了涉个人信息处理行政行为的规范化、合理化。但公开透明原则并不意味着相关个人信息的公开，因此在公开处理方式的同时也要做好权益人个人信息保护的相关措施。

　　（四）个人信息行政法保护的必要性

　　1．个人信息保护在大数据时代面临着前所未有的挑战

　　在大数据时代，以信息为核心的智能处理应用技术被越来越普遍运用在了各个领域之中，信息综合分析的推广导致了当事人的个人信息一旦泄露即可能发生较为严重的后果，科技的发展无疑给个人信息保护带来了巨大的挑战。传统的个人信息保护模式在面临日趋复杂的个人信息侵害行为时，难以有效进行治理管控。若仍依赖于“告知—知情—同意”规则进行个人信息的保护，而忽视了个人信息处理活动中各方主体的地位不平等，会进一步增加个人信息权益遭受侵害的风险。

　　2．行政法保护手段在个人信息保护中具有自身特有的优势

　　虽然民法与刑法中都对侵害个人信息的行为进行了规制，但民事与刑事规制并不能代替行政法保护手段，三种权益保护手段各有优势，相互配合，才能形成统一的个人信息保护体系。而行政法保护手段可以对企业处理公民个人信息的行为形成有效的监管。当前个人信息有受到侵害的风险，很大程度上是源于企业收集用户个人信息后，未能妥善使用或保管造成的，如果增强事前的监管或许可以加强对于不规范处理公民个人信息行为的源头治理。除了能对企业进行事前监督外，个人信息的行政法保护还可以对行政机关处理公民个人信息行为进行规范，降低行政机关越权处理公民个人信息、不当处理公民个人信息的可能性。

　　3．有助于提升行政机关的公信力

　　个人信息权益不但是私法上的人格权利，也呈现出了一定的公共属性，因此行政法介入到个人信息的保护当中，是应然，也是必然。行政机关依照行政法规定，对自身及企业的处理个人信息的行为进行规范，保证公民个人信息的收集、使用等各个环节都在法律监督下运行，可以对公民的合法权益形成有力的保障，提升公民对行政机关的信赖及认可程度，从而对于全面提升行政机关的公信力颇有帮助。

　　二、我国当前个人信息行政法保护面临的问题

　　（一）个人信息行政法保护法律体系尚不健全

　　虽然我国已出台了关于个人信息保护的专门立法，且在民法、刑法等多个部门法中也对个人信息的保护进行了规定，但不可忽视的是，目前我国仍存在着个人信息行政法保护法律体系尚不健全的问题。第一，我国的个人信息保护立法尝试起步较晚，还有许多领域存在着立法上的空白，缺少有效的成文立法规制；第二，《个人信息保护法》涉及的内容虽然较为全面，但多为原则性规定或较为笼统，实际操作性不强；第三，目前涉及个人信息保护的行政法规主要有《中华人民共和国政府信息公开条例》《征信业管理条例》等，规定较为分散，且存在着立法空白与立法冲突的问题。

　　（二）行政机关处理个人信息行为缺少必要的限制与规范

　　行政主体与个人信息权益人之间存在着天然的地位差距，当行政主体成为信息的处理者时，由于缺少必要的限制与规范，极易发生个人信息权益人合法权益遭受侵害的情形。行政机关处理个人信息行为缺少必要的限制与规范主要体现在以下两个方面：一方面是网信部门的权力责任边界不明晰，导致了在实践当中不同领域不同地区存在着不同的看法，执法标准很大程度上依赖于办案人员的自由裁量，缺少必要的限制；另一方面是目前设定的行政规则大多属于原则性规定，在实际工作中通常只是依照原则制定了极为宽泛的标准，可能导致执法的不规范。

　　（三）缺少必要的行政监管

　　行政机关在个人信息的行政法保护领域担负着重要的职责，但在其行权的过程中，仍存在着监管标准不统一、权责不明晰与措施不一致的问题。除此之外，传统的监管措施也已无法有效应对日新月异的科技变革，在诸多领域中都暴露出了监管缺位的问题。造成这一问题的主要原因有三个：第一，根据《个人信息保护法》第六十条的规定，我国的行政监管采取了分工协调模式，即网信部门统筹协调，有关部门在权限内行动。由于不同部门间的监管措施与标准并不统一，因此在实践中也很难实现真正的协调统一，呈现出了监管分散化的趋势，在一些领域甚至出现了监管冲突或者监管空白的混乱局面。第二，部分行政机关存在着怠于行权的问题，可能出于保护税源等原因对一些企业的监管呈现出了极为消极的状态。在侵权行为发生后，也不能及时有效启动补救与调查程序，增加了个人信息权益人损害扩大化的风险。第三，部分行政部门或者部分行政监管人员未能认识到自我监管的重要性。通常行政机关与企业相较，掌握的公民个人信息更为全面，在大数据时代，这些信息无疑具有了极高的经济价值。若忽视了对这些信息处理、储存及使用的监管，一旦信息数据泄露或不当使用，将会造成非常严重的后果，除了会给当事人造成不必要的损失外，还可能会造成恶劣的社会影响。

　　（四）行政救济途径不畅

　　行政救济途径的不畅也是个人信息行政保护的主要问题之一，虽然《个人信息保护法》的出台很大程度上缓解了这一问题，但问题并未从根源上予以解决，造成这一问题的原因主要有三点：第一，个人信息权益受到侵害是否属于行政复议或诉讼的受理范围，行政法并未予以明确规定，这就会造成不同地区不同部门的处理结果存在差异；第二，个人信息保护救济中的公益诉讼制度是否涵盖行政公益诉讼也未予以明确，实践中存在着不同的看法，部分学者认为《个人信息保护法》仅仅确立了民事公益诉讼制度；［2］第三，在个人信息权益损害案件中，当事人维权成本高，取证难度大，难以追究对方的责任。

　　三、我国个人信息行政法保护的完善路径

　　（一）完善个人信息保护的行政立法

　　随着科技的变革，个人信息范围、内容等也在不断发生着改变，为了避免立法滞后与立法僵化造成的个人信息行政法保护缺失，应尽快对个人信息保护行政立法进行完善。第一，应尽快建立起个人信息的分类分级保护机制，对个人信息进行精细化的管理。对于较为重要的个人信息设置较高级别的保护措施，对于重要程度一般的个人信息设置较低级别的保护措施，在充分保护公民个人信息的基础上也节约了管理资源。针对侵害不同级别个人信息的行为，还应设定不同程度的法律责任，通过梯度处罚模式的设立，降低个人信息泄露与不当使用的风险。第二，应细化现有的个人信息保护相关规定，增加其实际操作性。在个人信息的行政法保护体系中，《个人信息保护法》更多充当的是原则性的规范作用，因此，在《个人信息保护法》的统领之下，还应进一步制定详细的实施细则，明确执法与惩处的具体标准。第三，还应注重个人信息行政法保护与民法保护、刑法保护的衔接，形成相互配合、相互衔接的三元保护体系。［3］

　　（二）加强个人信息的行政监管与规范

　　加强个人信息的行政监管与规范应从两个角度入手，一方面，要规范行政机关处理个人信息的行为，制定详细的实体与程序规定，明确不当处理信息的法律责任与具体的责任主体；另一方面，要加强行政机关对企业等信息处理者的监管，对企业处理个人信息行为的监管应在同时兼顾灵活性与差异性的基础上，细化规范，明确具体的监督措施与法律责任。此外，还要构建起“事前—事中—事后”联动的监管体系，不能只注重个人信息侵害发生后的监管，也要对事前风险防范予以足够的重视。［4］

　　（三）建立多元化的行政救济途径

　　为了在个人信息保护中更好地发挥行政治理的功效，应加强不同部门间的联系，建立起多手段、多途径的个人信息行政救济途径。第一，应完善个人信息行政公益诉讼体系，可以考虑将行政诉讼也纳入《个人信息保护法》中的公益诉讼范畴之中；第二，要厘清个人信息行政监管与行政诉讼、行政复议间的关系，将部分行政机关不当使用、处理公民个人信息的行为纳入行政诉讼、复议的覆盖之内；第三，应在个人信息侵害案件中，合理分配举证责任，降低个人信息权益人的维权难度，减轻当事人的诉讼负担。

　　参考文献

　　［1］韩思阳．个人信息保护中的主观公权利［J］．法商研究，2023，40（4）：87-100.

　　［2］苏和生．个人信息保护公益诉讼的程序构造——从损害救济模式向风险防控模式的转向［J］．华中科技大学学报（社会科学版），2023，37（4）：98-110.

　　［3］蒋逸天．政府数据开放中个人信息保护的法治逻辑［J］．南海法学，2023，7（3）：91-99.

　　［4］韩思阳．公法介入私域：平台中的个人信息保护［J］．学术月刊，2023，55（5）：106-119.