我國個人信息保護立法的必要性和適用性探析

劉一毫，南麗軍

（東北林業大學文法學院，黑龍江哈爾濱 150040）

在信息技術日新月異的時代，個人信息因其具備顯而易見的經濟效益和社會效益，已成為一種重要的戰略資源，無論是政府的日常管理，還是企業的商業活動，個人信息在其中扮演的角色都至關重要。我國第一部關于個人信息保護的專門立法《中華人民共和國個人信息保護法》正是我國高速發展的數字經濟對個人信息保護迫切需求的堅實回應。本文基于行政法的視角，以《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）為基礎，針對如今我國個人信息保護立法存在的問題，試論我國個人信息保護立法的必要性和適用性。

當前，國際社會數字經濟發展空前迅速，在全球范圍內數據的流動頻率越來越高，[1]數據控制力與數據主導權的重要性日益顯著。在我國強調加快培育數據要素的市場背景下，各領域對個人信息保護立法的需求逐年遞增，而個人信息保護立法卻相對分散，相對冗雜的立法狀況在個人信息泄露、非法采集等嚴峻形勢面前已無法從容應對，《個人信息保護法》是我國個人信息保護近年來的總結歸納與創新，也是改善目前形勢，探索制度道路的必然選擇。

（一）我國個人信息保護立法不足 我國現行的個人信息保護的法律法規中，保護個人信息的核心思想為保護個人隱私，這些法律法規主要分布在憲法、民法、刑法、行政法以及數據要素市場的行業規定中。比如2021 年1 月1 日實施的《民法典》中規定了自然人的個人信息受法律的保護;《民事訴訟法》中對涉及個人隱私等民事案件不公開進行作出了明確的規定等。這些規定從不同層次、不同層級體現了我國對個人信息的法律保護，但往往只有一條或幾條是與之相關的法律條令，且在具體適用時常常存在協調性不足的問題。因此我國切實需要一部可以將各部門法律統籌兼顧、相互協調的個人信息保護專門立法。

我國個人信息保護立法不足的主要原因：

第一，立法計劃和進程的遲滯，導致我國對個人信息保護的概念以及救濟等基本問題缺乏統一的規劃、界定，不僅增加立法成本以及浪費立法資源，也使不同個人信息保護的法律出現相互沖突和矛盾的問題。

第二，現有各法律規定之間的內容重復，且多數具體規則過于寬泛。結果造成各部門法中規定了個人信息不得泄露，卻沒有細化出具體的公民應具有的關于個人信息權的確權，只能根據個別法規法條推導出具體的權利，如更正權、知情權等。

第三，我國尚未有統一的個人信息保護專門監管機構。我國近年發生的涉及侵犯公民個人信息的事件中，大部分處理結果最后都是不了了之。目前監督管理機構比較分散，因為各部門之間監管界限不清以及權責部分重合，相互推諉的情況時有發生，以致于我國涉及個人信息保護的各監管機構難以發揮真正的作用。

（二）貫徹國家大戰略的需要 此前，關于個人信息保護的立法，主要見于各個部門法之中，規范的層級較低，而且沒有形成統一有序、規范嚴謹的體系。伴隨著《民法典》的出臺，完善個人信息保護立法的重要性日益凸顯，客觀上也是因為我國當前電子信息時代的到來，個人信息保護問題愈發突出，所以更加有賴于相關政策、制度以及立法的保駕護航。完善個人信息保護立法，完善法律體系也是具有中國特色個人信息保護法治化現代化的集中體現，是為我國數字經濟搶占國際優勢地位的必要保障，國際形勢的飛速變更要求我國要在立法、執法上具備堅實的制度的穩定性與法律的適應性、前瞻性。

縱觀我國個人信息保護法全篇，其內容充分學習借鑒了國外先進的立法經驗和立法實踐，同時結合本國實際情況，總結歸納現有的法律法規，如《民法典》《網絡安全法》等，吸收大量司法實踐的現實要求，制訂出適合于本國特色的個人信息保護法律體系，從而更好地為我國個人信息保護提供規范化系統化現代化的法律法規。

（一）域外個人信息立法保護的實踐經驗 個人信息法律保護在國際范圍內主要分為兩大類。一是建立統一的貫穿政府與商業領域的法律，主要為以歐盟為代表的大陸法系國家和地區。個人信息的收集、使用、處理有標準的流程，同時設立專門的行政機構，對個人信息進行專門的監管和處理。二是英美法系國家的實踐立法。主要以美國為代表的國家以個人隱私為核心，分別針對政府公共領域、商業企業等各行業建立分門別類的法律規范。下文將對歐盟和美國的立法經驗詳細分析。

1.歐盟《歐盟一般個人信息保護條款》（GDPR）

歐盟個人信息保護立法的主要特點是采取統一立法的方式，即對公務機關和相關機關適用統一的立法，同時對監管采取集中管理，設立統一專門的監管部門。歐盟在個人信息保護立法上的特點具體表現為：第一，明確的行為規范。對個人信息的處理，收集、加密等環節均使用統一的規則制度，同時，對個人信息的獲取、使用遵循最優采用的原則；
第二，獨立的執法機制。以專設的信息專員，對相關的個人信息保護進行專門的處理；
第三，公私二元的救濟制度。作為國家行政主體的行政機關與其他社會主體同時被個人信息保護法監管。歐盟統一專門的個人信息保護監規機構，可以對公權機關主體以及公司、個人等私權主體的個人信息違法行為進行法律制裁。秉持追求法律與社會相協調的理念，歐盟2016年通過并實施了推進歐盟數字一體化市場建立的《歐盟一般個人信息保護條款》（GDPR），它確認了明示許可制度，并對兒童的“同意”進行了專門規定；
賦予了信息主體個人信息糾正權、查詢權、移除權等；
加大了對企業的行政處罰額度，最高處罰額度可達2000歐元或者全球收入百分之四的罰金，[2]這是目前罰款額度最高的個人數據保護法?？傮w來說，歐盟的個人信息保護立法，強調了對每個公民尊嚴的尊重，強調人權保護，增強個人信息處理，增加了民眾對政府公信力的信任，提高了數據的流動性與安全性。

2.美國《加州消費者隱私權法案》（CCPA）

美國《加州消費者隱私權法案》(以下簡稱CCPA)在2018 年被加州議會通過，于2020 年1 月1 日正式實施。該法案以隱私權為基礎，全方位地保護了消費者的隱私和數據安全。CCPA 的特點主要體現在三個方面：

第一，提出個人隱私并非一成不變，而是因社會發展而動態更新。隱私權不能以單一的方式界定，而是要根據事件的發展而賦予其不同的意義，以加強對隱私權的保護。CCPA 的創新之處在于，新的“情景”模型將會事先設定信息主體的期望值，并代入真實的個人信息處理模式，來觀察這個行為是否超過了設定好的期望區間，并且禁止公司使用非法手段來收集、存儲和使用有關公民隱私的信息和數據。如果公司的處理行為通過了“情景”設定的合法框架，那么公司才有權利利用這個規則，這樣就可以對個人信息進行更清晰的保護。因此，個人隱私已經超越了傳統的靜態觀念，成為一種動態的觀念。

第二，實行公平多軌的救濟渠道。對于企業違反CCPA 規定的侵權行為，不僅可以采用公力救濟，由加州總檢察長對違法企業處以最高7500 美元的處罰；
也可以采用民事訴訟，主張因企業違反“合理性”而造成消費者權益受損的處理行為，就每事每人索賠100 至750 美元區間內的民事賠償，或者禁令與其他宣告性法律救濟，且允許集體訴訟。但CCPA 也要求，民事訴訟必須要在選擇民事訴訟前30 個工作日內通知侵權企業，企業可以在此期間與消費者協商，避免民事訴訟。

（二）我國個人信息立法保護的特色 飛速發展的現代化社會，對個人信息保護不斷提出新的挑戰，我國個人信息保護立法有的放矢，積極、辯證地學習國外立法理念與司法實踐的先進經驗，總結我國過往的實踐進程，歸納經驗，立足創新與實用，使得我國個人信息立法保護既與國際接軌，順應時代潮流，又不乏中國特色。

第一，將個人信息處理者首次納入立法的視野下。我國吸收了GDPR 中對信息控制者和信息處理者進行甄別區分的理念，并要求其承擔對所掌握的個人信息進行保護的義務。但相比于GDRP的規定，我國《個人信息保護法》第九條中將保護義務集中于“個人信息處理者”，對于個人信息保護過程中各個主體的具體責任加以明確，也圈定了應當如何采用措施防范風險問題。在《個人信息保護法》的規定之中，還以專章的形式加以確定，在個人信息處理過程中，相關的責任人如何履行自己的義務。

第二，對于數據儲存相關問題進行了細致的規范。這一規范無疑也是符合實際需要的，因為當前信息跨境發展中，需要進行隱私保護的場合往往并不局限于國內環境。我國充分吸取各國優秀的立法經驗，并總結我國司法實踐在個人信息保護涉及的問題，首次將個人信息的存儲與處理的義務不僅歸于行政機關、處理和存儲個人信息需要的企業及相關社會組織，同時也將個人信息存儲與處理個人信息達到標準數量的個人信息處理者納入義務體系。

（一）法律條文本身 近年來，我國在個人信息保護層面的立法逐漸完善，專項整治已形成常態化，如《個人信息保護法》就是專門的個人信息保護立法，但其中有尚待完善的瑕疵，主要體現在以下幾個方面：

第一，語言邏輯問題。以《個人信息保護法》第四條第二款為例，其中提到了“包括個人信息的收集、存儲、使用、加工、提供、公開等活動”，其中的“等活動”包括第一款提到的“不包括匿名化處理后的信息”。

第二，條款表述問題。個別條款如《個人信息保護法》第八條，缺乏明確的義務主體，沒有明晰信息處理的主體是個人信息的提供者還是處理者。

第三，法律責任問題?！秱€人信息保護法》規定的處罰類型過于單一，如《草案》中第七章第六十二條，對于違反法律責任的主體，單純處以罰金，如果違法主體因違法處理個人信息所獲得的利益，超過被處罰的額度，那違法將成為可以謀求利潤的手段，不適宜于高速發展變更的如今，應對處罰方式進一步具體化和多樣化。

（二）與《民法典》《網絡安全法》《數據安全法》的協調 在信息保護問題上，無疑是要更為廣泛地發揮法律的作用，所以立法方面的完善也是有其必要性的，而且個人信息法律往往又橫跨公法和私法兩個領域。[3]而在德國，則將此類法律納入到行政法保護范疇之中。[4]

由于個人信息的特殊性，比如個人信息保護的實質以及權益屬性是人格權還是財產權，以及在調整對象上，個人信息保護法保護的社會關系范圍無疑是廣泛的，其中既有橫向的，也就是一般來說認為屬于平等主體之間的關系，同時也包含不平等主體，即公權力范圍的社會關系。

第一，與《民法典》的協調民法典中，“人格權編”的分類中首次標明了個人信息保護，并明確規定了個人信息的適用方式、處理原則、權利義務等，同時將“人格權益”上升到個人信息權益是否受到損害的重要標準，作為我國首個專門的個人信息保護立法，與各個相關法律規范相適應是十分必要的?？梢哉f，《個人信息保護法》是以國家監管的角度，細化公權力并以個人信息人格權益為基礎，維護個人信息合法權益的特別法。如《個人信息保護法》中的“敏感信息”與“人格權益”中的“私密信息”的概念是否有沖突，以及如何將這兩個概念區分與鑒定？關于個人信息的公開又該如何與“人格權益”的相關規定相適應？

第二，與《網絡安全法》《數據安全法》的協調。隨著國內外形勢日新月異，我國個人信息如何協調《網絡安全法》《數據安全法》等，尤其是目前的部分規定存在沖突是尚須嚴肅解決的問題。如《個人信息保護法》行政處罰的規定方面，與《網絡安全法》存在互相矛盾的地方，如觸犯個人信息處理規則時需要進行行政處罰時，二法在處罰的最高上限上存在沖突，當二者發生競合時，應該適用哪部法律？《個人信息保護法》中關于信息本地安置與信息跨區域流通在規定上與《網絡安全法》在法條描述與相關細則中同樣存在矛盾，如何使二者在適用上有效銜接？此外，《個人信息保護法》與《網絡安全法》《數據安全法》在個人信息認證與評估上也要避免重復。

（三）行政救濟制度與個人信息保護脫節 在個人信息的行政法律救濟方面，我國的立法雖已邁入了體系化建設的快車道，但在行政救濟領域尚有進步空間?，F行行政法規僅規定行政主體對個人信息負有保密責任義務。但對于行政機關及其工作人員損害到公民個人信息權利的行為，有關行政法沒有明確規定公民的救濟途徑，只是規定被侵權人有權向有關行政監督部門投訴?？v觀我國《行政復議法》等涉及行政救濟的立法渠道，《行政訴訟法》《國家賠償法》等法律法規并未明確侵犯公民個人信息是否可以向行政主體提起行政復議，侵犯公民個人信息是否屬于國家賠償的法定范圍。

因此，從個人信息行政法保護的視角來看，我國行政救濟在面對公民個人信息權被侵權時，無法完全發揮應有的作用。當公民個人信息遭到非法侵犯時，由于缺乏相對應的救濟渠道，法律沒有辦法對信息主體的信息權利予以保護，因而導致較為不佳的權利救濟效果。

（一）界定敏感信息，確保動態客觀 如今國際在個人信息保護上普遍以敏感信息為核心，但如何界定個人敏感信息？怎樣能使個人信息的保護與利用和諧共處？是我國個人信息保護法著重研究和解決的問題?！秱€人信息保護法》界定了個人信息的處理規則與內涵，但個人信息的判定在不同的應用場景更應當是動態變化的。同時既要保證個人信息的評估判定要與各部門法理念的統籌協調，也要保證我國個人信息保護的整體性。個人信息保護的價值不只體現在社會治理中，同樣表現在日益重要的商業經營中，因此，對個人信息保護的界定與評議也要面對公民個人權益的保護，企業的經濟發展以及社會穩定的多重考驗，因此，《個人信息保護法》第25條中關于權責判定標準的個人主觀成分，并不適宜，要平衡好公民個人的權益、企業的商業利益以及社會公共利益，決策的評議更應采用客觀的標準。

（二）明確權責分工，避免多頭監管《個人信息保護法》雖然對于此前規范不明的問題進行了明確，但是未能從根本上解決我國長期以來未建立成體系的專門機構、個人信息由不同部門監督和掌握的事實，各部門各行業的信息錯綜復雜，不只是監督難度大，同時個人信息的救濟方式也難以實現，應進一步加強。首先明確專門的監管主管部門，協調統籌下級各部門的監督，同時明確各級各部門的權責分工與界限，建立統一有效的監督管理機構。避免立法實施后再續之前存在的各部門之間權責與界限重合，影響個人信息監督管理部門發揮應有的效能。而事實上如果能夠盡早介入保護，那么對于個人信息保護來說無疑會更為有利，能夠更好地起到法律的規范和約束作用。[5]

（三）細化懲戒標準，保證執法公正 行政權運行的一個重要原理，要求行政機關在追求公共利益的時候，如果對個人的利益造成損害，那么必須從各個方面將損害降到最低。我國刑法針對性的提出侵犯公民個人信息罪，以及目前現有的規定的罰金方式，再通過增加違法成本的方式，體現法律懲治的威嚴與力度，一定程度上減少了目前個人信息違法的亂象。但《個人信息保護法》中以及現行法律中，監管部門關于罰款的未能確立清晰的劃分，以及相應的罰款幅度，自由裁量的空間過于巨大，這將會影響我國在個人信息保護執法上的公平公正。

（四）完善行政救濟，疏通賠償機制 保護公民的個人信息權利不僅要在監管上貫徹實施，懲戒違法行為，同時也要做到行政救濟的真正適配。我國目前的行政救濟方式主要有兩種，分別是行政復議和行政訴訟，為適應新時代的飛速發展，行政救濟途徑不僅要總結以往的經驗，同時可根據本國實際情況，考慮吸收在國外已證明確實有效的關于行政救濟的新探索。如歐盟于2012 年提出的“數字遺忘權”，該權利豐富了公民個人信息保護的權利，同時提高了公民對保護個人信息的主觀能動性。在向相關部門提出數字遺忘權被拒的情況下，再付諸傳統的行政救濟方式。如當公民不需要某軟件的服務時，應有權提出刪除自己基于隱私條款其中的個人信息。

自我國為應對國內發展局勢與國外競爭環境不斷更新個人信息保護立法以來，我國的數字產業發展得十分迅猛，數字行業的規范統一上也進展迅速。我國發布的《個人信息保護法》是我國個人信息保護方面的集大成之作，充分總結了我國以往在立法、執法層面的經驗與教訓，以法律保障的形式很大程度上推動了我國數字行業的進步與更新。但目前，我國個人信息保護立法在監管機制設定、敏感數據界定等制度設計上依然有瑕疵。我國的個人信息保護立法不僅要重點關注公民個人信息權利的保障，也要充分地考量經濟價值和社會效益之間的平衡，為我國數字產業發展提供堅實的法律保障。我國的個人信息保護法律已有了《網絡安全法》《民法典》等，《數據安全法》也將陸續出臺，個人信息保護法要在保證自身獨立性的前提下，做好與各部門法的協調，同時形成囊括刑事、行政、民事的全方位立體的法律保護體系。