我国个人信息保护立法的必要性和适用性探析

刘一毫，南丽军

（东北林业大学文法学院，黑龙江哈尔滨 150040）

在信息技术日新月异的时代，个人信息因其具备显而易见的经济效益和社会效益，已成为一种重要的战略资源，无论是政府的日常管理，还是企业的商业活动，个人信息在其中扮演的角色都至关重要。我国第一部关于个人信息保护的专门立法《中华人民共和国个人信息保护法》正是我国高速发展的数字经济对个人信息保护迫切需求的坚实回应。本文基于行政法的视角，以《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）为基础，针对如今我国个人信息保护立法存在的问题，试论我国个人信息保护立法的必要性和适用性。

当前，国际社会数字经济发展空前迅速，在全球范围内数据的流动频率越来越高，[1]数据控制力与数据主导权的重要性日益显著。在我国强调加快培育数据要素的市场背景下，各领域对个人信息保护立法的需求逐年递增，而个人信息保护立法却相对分散，相对冗杂的立法状况在个人信息泄露、非法采集等严峻形势面前已无法从容应对，《个人信息保护法》是我国个人信息保护近年来的总结归纳与创新，也是改善目前形势，探索制度道路的必然选择。

（一）我国个人信息保护立法不足 我国现行的个人信息保护的法律法规中，保护个人信息的核心思想为保护个人隐私，这些法律法规主要分布在宪法、民法、刑法、行政法以及数据要素市场的行业规定中。比如2021 年1 月1 日实施的《民法典》中规定了自然人的个人信息受法律的保护;《民事诉讼法》中对涉及个人隐私等民事案件不公开进行作出了明确的规定等。这些规定从不同层次、不同层级体现了我国对个人信息的法律保护，但往往只有一条或几条是与之相关的法律条令，且在具体适用时常常存在协调性不足的问题。因此我国切实需要一部可以将各部门法律统筹兼顾、相互协调的个人信息保护专门立法。

我国个人信息保护立法不足的主要原因：

第一，立法计划和进程的迟滞，导致我国对个人信息保护的概念以及救济等基本问题缺乏统一的规划、界定，不仅增加立法成本以及浪费立法资源，也使不同个人信息保护的法律出现相互冲突和矛盾的问题。

第二，现有各法律规定之间的内容重复，且多数具体规则过于宽泛。结果造成各部门法中规定了个人信息不得泄露，却没有细化出具体的公民应具有的关于个人信息权的确权，只能根据个别法规法条推导出具体的权利，如更正权、知情权等。

第三，我国尚未有统一的个人信息保护专门监管机构。我国近年发生的涉及侵犯公民个人信息的事件中，大部分处理结果最后都是不了了之。目前监督管理机构比较分散，因为各部门之间监管界限不清以及权责部分重合，相互推诿的情况时有发生，以致于我国涉及个人信息保护的各监管机构难以发挥真正的作用。

（二）贯彻国家大战略的需要 此前，关于个人信息保护的立法，主要见于各个部门法之中，规范的层级较低，而且没有形成统一有序、规范严谨的体系。伴随着《民法典》的出台，完善个人信息保护立法的重要性日益凸显，客观上也是因为我国当前电子信息时代的到来，个人信息保护问题愈发突出，所以更加有赖于相关政策、制度以及立法的保驾护航。完善个人信息保护立法，完善法律体系也是具有中国特色个人信息保护法治化现代化的集中体现，是为我国数字经济抢占国际优势地位的必要保障，国际形势的飞速变更要求我国要在立法、执法上具备坚实的制度的稳定性与法律的适应性、前瞻性。

纵观我国个人信息保护法全篇，其内容充分学习借鉴了国外先进的立法经验和立法实践，同时结合本国实际情况，总结归纳现有的法律法规，如《民法典》《网络安全法》等，吸收大量司法实践的现实要求，制订出适合于本国特色的个人信息保护法律体系，从而更好地为我国个人信息保护提供规范化系统化现代化的法律法规。

（一）域外个人信息立法保护的实践经验 个人信息法律保护在国际范围内主要分为两大类。一是建立统一的贯穿政府与商业领域的法律，主要为以欧盟为代表的大陆法系国家和地区。个人信息的收集、使用、处理有标准的流程，同时设立专门的行政机构，对个人信息进行专门的监管和处理。二是英美法系国家的实践立法。主要以美国为代表的国家以个人隐私为核心，分别针对政府公共领域、商业企业等各行业建立分门别类的法律规范。下文将对欧盟和美国的立法经验详细分析。

1.欧盟《欧盟一般个人信息保护条款》（GDPR）

欧盟个人信息保护立法的主要特点是采取统一立法的方式，即对公务机关和相关机关适用统一的立法，同时对监管采取集中管理，设立统一专门的监管部门。欧盟在个人信息保护立法上的特点具体表现为：第一，明确的行为规范。对个人信息的处理，收集、加密等环节均使用统一的规则制度，同时，对个人信息的获取、使用遵循最优采用的原则；
第二，独立的执法机制。以专设的信息专员，对相关的个人信息保护进行专门的处理；
第三，公私二元的救济制度。作为国家行政主体的行政机关与其他社会主体同时被个人信息保护法监管。欧盟统一专门的个人信息保护监规机构，可以对公权机关主体以及公司、个人等私权主体的个人信息违法行为进行法律制裁。秉持追求法律与社会相协调的理念，欧盟2016年通过并实施了推进欧盟数字一体化市场建立的《欧盟一般个人信息保护条款》（GDPR），它确认了明示许可制度，并对儿童的“同意”进行了专门规定；
赋予了信息主体个人信息纠正权、查询权、移除权等；
加大了对企业的行政处罚额度，最高处罚额度可达2000欧元或者全球收入百分之四的罚金，[2]这是目前罚款额度最高的个人数据保护法。总体来说，欧盟的个人信息保护立法，强调了对每个公民尊严的尊重，强调人权保护，增强个人信息处理，增加了民众对政府公信力的信任，提高了数据的流动性与安全性。

2.美国《加州消费者隐私权法案》（CCPA）

美国《加州消费者隐私权法案》(以下简称CCPA)在2018 年被加州议会通过，于2020 年1 月1 日正式实施。该法案以隐私权为基础，全方位地保护了消费者的隐私和数据安全。CCPA 的特点主要体现在三个方面：

第一，提出个人隐私并非一成不变，而是因社会发展而动态更新。隐私权不能以单一的方式界定，而是要根据事件的发展而赋予其不同的意义，以加强对隐私权的保护。CCPA 的创新之处在于，新的“情景”模型将会事先设定信息主体的期望值，并代入真实的个人信息处理模式，来观察这个行为是否超过了设定好的期望区间，并且禁止公司使用非法手段来收集、存储和使用有关公民隐私的信息和数据。如果公司的处理行为通过了“情景”设定的合法框架，那么公司才有权利利用这个规则，这样就可以对个人信息进行更清晰的保护。因此，个人隐私已经超越了传统的静态观念，成为一种动态的观念。

第二，实行公平多轨的救济渠道。对于企业违反CCPA 规定的侵权行为，不仅可以采用公力救济，由加州总检察长对违法企业处以最高7500 美元的处罚；
也可以采用民事诉讼，主张因企业违反“合理性”而造成消费者权益受损的处理行为，就每事每人索赔100 至750 美元区间内的民事赔偿，或者禁令与其他宣告性法律救济，且允许集体诉讼。但CCPA 也要求，民事诉讼必须要在选择民事诉讼前30 个工作日内通知侵权企业，企业可以在此期间与消费者协商，避免民事诉讼。

（二）我国个人信息立法保护的特色 飞速发展的现代化社会，对个人信息保护不断提出新的挑战，我国个人信息保护立法有的放矢，积极、辩证地学习国外立法理念与司法实践的先进经验，总结我国过往的实践进程，归纳经验，立足创新与实用，使得我国个人信息立法保护既与国际接轨，顺应时代潮流，又不乏中国特色。

第一，将个人信息处理者首次纳入立法的视野下。我国吸收了GDPR 中对信息控制者和信息处理者进行甄别区分的理念，并要求其承担对所掌握的个人信息进行保护的义务。但相比于GDRP的规定，我国《个人信息保护法》第九条中将保护义务集中于“个人信息处理者”，对于个人信息保护过程中各个主体的具体责任加以明确，也圈定了应当如何采用措施防范风险问题。在《个人信息保护法》的规定之中，还以专章的形式加以确定，在个人信息处理过程中，相关的责任人如何履行自己的义务。

第二，对于数据储存相关问题进行了细致的规范。这一规范无疑也是符合实际需要的，因为当前信息跨境发展中，需要进行隐私保护的场合往往并不局限于国内环境。我国充分吸取各国优秀的立法经验，并总结我国司法实践在个人信息保护涉及的问题，首次将个人信息的存储与处理的义务不仅归于行政机关、处理和存储个人信息需要的企业及相关社会组织，同时也将个人信息存储与处理个人信息达到标准数量的个人信息处理者纳入义务体系。

（一）法律条文本身 近年来，我国在个人信息保护层面的立法逐渐完善，专项整治已形成常态化，如《个人信息保护法》就是专门的个人信息保护立法，但其中有尚待完善的瑕疵，主要体现在以下几个方面：

第一，语言逻辑问题。以《个人信息保护法》第四条第二款为例，其中提到了“包括个人信息的收集、存储、使用、加工、提供、公开等活动”，其中的“等活动”包括第一款提到的“不包括匿名化处理后的信息”。

第二，条款表述问题。个别条款如《个人信息保护法》第八条，缺乏明确的义务主体，没有明晰信息处理的主体是个人信息的提供者还是处理者。

第三，法律责任问题。《个人信息保护法》规定的处罚类型过于单一，如《草案》中第七章第六十二条，对于违反法律责任的主体，单纯处以罚金，如果违法主体因违法处理个人信息所获得的利益，超过被处罚的额度，那违法将成为可以谋求利润的手段，不适宜于高速发展变更的如今，应对处罚方式进一步具体化和多样化。

（二）与《民法典》《网络安全法》《数据安全法》的协调 在信息保护问题上，无疑是要更为广泛地发挥法律的作用，所以立法方面的完善也是有其必要性的，而且个人信息法律往往又横跨公法和私法两个领域。[3]而在德国，则将此类法律纳入到行政法保护范畴之中。[4]

由于个人信息的特殊性，比如个人信息保护的实质以及权益属性是人格权还是财产权，以及在调整对象上，个人信息保护法保护的社会关系范围无疑是广泛的，其中既有横向的，也就是一般来说认为属于平等主体之间的关系，同时也包含不平等主体，即公权力范围的社会关系。

第一，与《民法典》的协调民法典中，“人格权编”的分类中首次标明了个人信息保护，并明确规定了个人信息的适用方式、处理原则、权利义务等，同时将“人格权益”上升到个人信息权益是否受到损害的重要标准，作为我国首个专门的个人信息保护立法，与各个相关法律规范相适应是十分必要的。可以说，《个人信息保护法》是以国家监管的角度，细化公权力并以个人信息人格权益为基础，维护个人信息合法权益的特别法。如《个人信息保护法》中的“敏感信息”与“人格权益”中的“私密信息”的概念是否有冲突，以及如何将这两个概念区分与鉴定？关于个人信息的公开又该如何与“人格权益”的相关规定相适应？

第二，与《网络安全法》《数据安全法》的协调。随着国内外形势日新月异，我国个人信息如何协调《网络安全法》《数据安全法》等，尤其是目前的部分规定存在冲突是尚须严肃解决的问题。如《个人信息保护法》行政处罚的规定方面，与《网络安全法》存在互相矛盾的地方，如触犯个人信息处理规则时需要进行行政处罚时，二法在处罚的最高上限上存在冲突，当二者发生竞合时，应该适用哪部法律？《个人信息保护法》中关于信息本地安置与信息跨区域流通在规定上与《网络安全法》在法条描述与相关细则中同样存在矛盾，如何使二者在适用上有效衔接？此外，《个人信息保护法》与《网络安全法》《数据安全法》在个人信息认证与评估上也要避免重复。

（三）行政救济制度与个人信息保护脱节 在个人信息的行政法律救济方面，我国的立法虽已迈入了体系化建设的快车道，但在行政救济领域尚有进步空间。现行行政法规仅规定行政主体对个人信息负有保密责任义务。但对于行政机关及其工作人员损害到公民个人信息权利的行为，有关行政法没有明确规定公民的救济途径，只是规定被侵权人有权向有关行政监督部门投诉。纵观我国《行政复议法》等涉及行政救济的立法渠道，《行政诉讼法》《国家赔偿法》等法律法规并未明确侵犯公民个人信息是否可以向行政主体提起行政复议，侵犯公民个人信息是否属于国家赔偿的法定范围。

因此，从个人信息行政法保护的视角来看，我国行政救济在面对公民个人信息权被侵权时，无法完全发挥应有的作用。当公民个人信息遭到非法侵犯时，由于缺乏相对应的救济渠道，法律没有办法对信息主体的信息权利予以保护，因而导致较为不佳的权利救济效果。

（一）界定敏感信息，确保动态客观 如今国际在个人信息保护上普遍以敏感信息为核心，但如何界定个人敏感信息？怎样能使个人信息的保护与利用和谐共处？是我国个人信息保护法着重研究和解决的问题。《个人信息保护法》界定了个人信息的处理规则与内涵，但个人信息的判定在不同的应用场景更应当是动态变化的。同时既要保证个人信息的评估判定要与各部门法理念的统筹协调，也要保证我国个人信息保护的整体性。个人信息保护的价值不只体现在社会治理中，同样表现在日益重要的商业经营中，因此，对个人信息保护的界定与评议也要面对公民个人权益的保护，企业的经济发展以及社会稳定的多重考验，因此，《个人信息保护法》第25条中关于权责判定标准的个人主观成分，并不适宜，要平衡好公民个人的权益、企业的商业利益以及社会公共利益，决策的评议更应采用客观的标准。

（二）明确权责分工，避免多头监管《个人信息保护法》虽然对于此前规范不明的问题进行了明确，但是未能从根本上解决我国长期以来未建立成体系的专门机构、个人信息由不同部门监督和掌握的事实，各部门各行业的信息错综复杂，不只是监督难度大，同时个人信息的救济方式也难以实现，应进一步加强。首先明确专门的监管主管部门，协调统筹下级各部门的监督，同时明确各级各部门的权责分工与界限，建立统一有效的监督管理机构。避免立法实施后再续之前存在的各部门之间权责与界限重合，影响个人信息监督管理部门发挥应有的效能。而事实上如果能够尽早介入保护，那么对于个人信息保护来说无疑会更为有利，能够更好地起到法律的规范和约束作用。[5]

（三）细化惩戒标准，保证执法公正 行政权运行的一个重要原理，要求行政机关在追求公共利益的时候，如果对个人的利益造成损害，那么必须从各个方面将损害降到最低。我国刑法针对性的提出侵犯公民个人信息罪，以及目前现有的规定的罚金方式，再通过增加违法成本的方式，体现法律惩治的威严与力度，一定程度上减少了目前个人信息违法的乱象。但《个人信息保护法》中以及现行法律中，监管部门关于罚款的未能确立清晰的划分，以及相应的罚款幅度，自由裁量的空间过于巨大，这将会影响我国在个人信息保护执法上的公平公正。

（四）完善行政救济，疏通赔偿机制 保护公民的个人信息权利不仅要在监管上贯彻实施，惩戒违法行为，同时也要做到行政救济的真正适配。我国目前的行政救济方式主要有两种，分别是行政复议和行政诉讼，为适应新时代的飞速发展，行政救济途径不仅要总结以往的经验，同时可根据本国实际情况，考虑吸收在国外已证明确实有效的关于行政救济的新探索。如欧盟于2012 年提出的“数字遗忘权”，该权利丰富了公民个人信息保护的权利，同时提高了公民对保护个人信息的主观能动性。在向相关部门提出数字遗忘权被拒的情况下，再付诸传统的行政救济方式。如当公民不需要某软件的服务时，应有权提出删除自己基于隐私条款其中的个人信息。

自我国为应对国内发展局势与国外竞争环境不断更新个人信息保护立法以来，我国的数字产业发展得十分迅猛，数字行业的规范统一上也进展迅速。我国发布的《个人信息保护法》是我国个人信息保护方面的集大成之作，充分总结了我国以往在立法、执法层面的经验与教训，以法律保障的形式很大程度上推动了我国数字行业的进步与更新。但目前，我国个人信息保护立法在监管机制设定、敏感数据界定等制度设计上依然有瑕疵。我国的个人信息保护立法不仅要重点关注公民个人信息权利的保障，也要充分地考量经济价值和社会效益之间的平衡，为我国数字产业发展提供坚实的法律保障。我国的个人信息保护法律已有了《网络安全法》《民法典》等，《数据安全法》也将陆续出台，个人信息保护法要在保证自身独立性的前提下，做好与各部门法的协调，同时形成囊括刑事、行政、民事的全方位立体的法律保护体系。