大數(shù)據(jù)背景下個人信息收集和使用的行政法規(guī)制

王春業(yè) 費博

[摘 要]大數(shù)據(jù)時代，對個人信息收集和使用越來越頻繁，在帶來更多便利的同時，存在市場主體對個人信息收集和使用的諸多亂象，包括收集的隨意性、過度性及對信息的管理和使用缺乏規(guī)制，嚴(yán)重?fù)p害公民的權(quán)利，甚至誘發(fā)許多犯罪行為，迫切需要行政法的介入和規(guī)制。個人信息保護(hù)涉及眾多人的利益，行政法規(guī)制具有現(xiàn)實的必要性。與民法保護(hù)、刑法規(guī)制相比，行政法規(guī)制具有對個人信息保護(hù)的完整性、系統(tǒng)性及更加快捷、高效等特點，更適應(yīng)大數(shù)據(jù)時代的現(xiàn)實需要。加大行政法的規(guī)制，關(guān)鍵要建立和完善個人信息行政許可制度，避免對個人信息收集的隨意性，從源頭上加以控制;完善定期檢查制度，建立信息使用留痕可追蹤制度，創(chuàng)新動態(tài)化的監(jiān)測評價機制;探索多種責(zé)任追究方式，使違規(guī)者受到應(yīng)有懲罰。

[關(guān)鍵詞]大數(shù)據(jù)時代;個人信息保護(hù);行政法規(guī)制

中圖分類號：D923 文獻(xiàn)標(biāo)識碼：A 文章編號：1008-410X（2021）03-0072-08

當(dāng)代社會，個人信息在社會交往中所承載的功能越來越多，其發(fā)揮的作用也越來越大，在個體參與社會化活動的過程中發(fā)揮著愈來愈重要的功能。尤其是隨著網(wǎng)絡(luò)信息技術(shù)的發(fā)展，人們利用個人信息參與社會交往，開展經(jīng)濟(jì)活動，參加諸如求職、購物、旅游等活動已經(jīng)成為當(dāng)代公民生活的常態(tài)。然而，如何確保在順利進(jìn)行社會活動的同時保護(hù)合法權(quán)益，防止相關(guān)公司企業(yè)等市場主體隨意收集和濫用公民個人信息，甚至因管理不善或故意買賣而泄露個人信息現(xiàn)象的發(fā)生，成為當(dāng)下必須解決的問題，也是目前需要加強研究的問題。

一、對個人信息收集和使用出現(xiàn)的問題及其后果

（一）對個人信息收集和使用出現(xiàn)的問題

隨著信息時代的到來，需要提交個人信息的場合越來越多，有些是必要的，廣泛存在于求職、購物、疫情防控等與公民生活息息相關(guān)的領(lǐng)域：在個人求職時，必然需要提交較為完整的個人簡歷，以便讓用人單位對求職人員有充分的了解，其中涉及個人的諸多信息，而且一般都需要通過網(wǎng)絡(luò)信息平臺進(jìn)行提交;在購物時，需要通過購物平臺遞交郵寄商品的個人住址、手機號碼，有的還需要身份驗證等，以便準(zhǔn)確發(fā)送所購買的商品;為了防控疫情，各地使用了健康碼，需要下載相關(guān)軟件，填寫個人身份證號碼、手機號碼、家庭住址、行蹤等個人信息。然而，并非所有對個人信息的收集都是必要的，也存在許多不必要而隨意收集的現(xiàn)象，以至于出現(xiàn)一些亂象。

1.收集的隨意性。由于在信息收集前不需要批準(zhǔn)或履行特定程序，一些主體尤其是市場主體往往自行決定收集個人信息的內(nèi)容、范圍甚至深度?，F(xiàn)實生活中就出現(xiàn)了某居民小區(qū)安裝人臉識別系統(tǒng)，對業(yè)主的人臉圖像、身份等信息進(jìn)行收集的現(xiàn)象;甚至有公廁要求必須通過人臉識別才能取用衛(wèi)生紙

。一些企業(yè)公司往往通過店堂告示和短信方式通知消費者提供個人信息，對于收集消費者什么樣的個人信息，怎樣收集個人信息，企業(yè)公司則享有控制權(quán)和主導(dǎo)權(quán)?！霸谡麄€信息處理過程中，信息主體始終處于被動的境地，甚至對于自己的信息如何被收集、處理及使用的都全然不知”[1]。

2.收集的過度性。理論上講，任何單位收集個人信息都應(yīng)當(dāng)以自身需求為限，本著保護(hù)個人隱私和最小干預(yù)的原則進(jìn)行收集。然而，由于當(dāng)前應(yīng)當(dāng)以什么樣的標(biāo)準(zhǔn)去界定收集個人信息的剛性規(guī)定不足，導(dǎo)致許多主體存在著超過自身需求而過度收集公民個人信息的現(xiàn)象。特別是一些單位往往以所謂的公共安全、管理需要為借口，過度收集甚至濫用公民個人信息，“商品服務(wù)提供者會盡可能對個人信息進(jìn)行全面采集和分析，出現(xiàn)超范圍收集，誘導(dǎo)式收集”[2]。一方面，從市場主體參與經(jīng)濟(jì)活動的角度來看，在中國人臉識別第一案即郭某訴杭州野生動物世界的案例中，除了體現(xiàn)當(dāng)代公民對個人信息保護(hù)的意識不斷增強外，當(dāng)前諸多市場主體存在對公民個人信息過度收集的現(xiàn)象也可以透過本案予以折射。

各類市場主體往往基于謀取經(jīng)營利潤、擴(kuò)大經(jīng)營規(guī)模的目的，從自己的角度出發(fā)去決定收集個人信息的范圍、程度和方式。從這樣的單一視角出發(fā)所作出的行為，若沒有剛性法律法規(guī)的有效制約，容易導(dǎo)致漠視公民個人信息所隱含社會價值的不良后果。從開始收集姓名、手機號碼，到后來收集指紋、人臉識別等更加敏感和重要的個人信息，呈現(xiàn)收集的過度性問題。另一方面，從當(dāng)前城市化過程中社會管理的角度來看，亦需要處理好有效管理與合理使用公民個人信息的關(guān)系。誠然，通過互聯(lián)網(wǎng)、大數(shù)據(jù)的信息分析能夠有效實現(xiàn)城市各個領(lǐng)域管理的智能化、規(guī)范化，但哪些管理手段的運用需要收集公民個人隱私信息？要想在這些領(lǐng)域?qū)崿F(xiàn)高效管理的效果是否必須犧牲部分的個體隱私？這些都是有待于進(jìn)一步探討的問題。

3.信息使用缺乏規(guī)制。任何主體出于管理的需要，對收集到的個人信息都應(yīng)當(dāng)限于工作上的使用，而不能用到管理之外。然而，一些主體，尤其是一些企業(yè)公司超出自身的使用范圍，運用到不該使用的領(lǐng)域;不僅自己使用，還放任其他主體使用;還因信息管理不善，出現(xiàn)買賣個人信息的現(xiàn)象。在招聘領(lǐng)域就有某些平臺對外明確表示，要想獲得其他人在該網(wǎng)站上投遞的簡歷信息，“只要購買企業(yè)招聘賬戶，在平臺上進(jìn)行充值，就能查看、下載簡歷”[3]。在這些網(wǎng)絡(luò)招聘平臺中，往往借用充值的表象間接販賣個人信息，這種對于查看他人信息的權(quán)限沒有有效規(guī)制的行為極易成為非法交易個人信息的重災(zāi)區(qū)。

（二）對個人信息收集和使用缺乏規(guī)制的嚴(yán)重后果

對個人信息收集和使用不當(dāng)，甚至泄露、買賣等，產(chǎn)生了諸多問題，引發(fā)更為嚴(yán)重的后果。2020年12月7日發(fā)布的《中國網(wǎng)絡(luò)誠信發(fā)展報告》顯示，28.5%的被調(diào)查者表示曾經(jīng)常遭遇個人信息泄露，32.7%的被調(diào)查者表示有時遭遇個人信息泄露。

1.對公民個人權(quán)利造成嚴(yán)重侵害。個人信息涉及公民諸多重要信息，相關(guān)主體的隨意過度收集和違規(guī)使用等對公民權(quán)利造成多方面危害，其中最主要的是對公民隱私權(quán)的侵犯及由此而來的對公民日常生活的影響。首先，侵犯了公民隱私權(quán)。所謂隱私，是指涉及公民個人且除非出于必要外公民一般不愿對外公開的信息。一些主體濫用優(yōu)勢地位，過度收集公民個人信息，是對公民隱私權(quán)的侵犯;而那些濫用甚至泄露、買賣個人信息的行為，更是對公民隱私的最大侵犯。當(dāng)下，一些市場主體在日常經(jīng)營中會接觸到大量用戶的個人信息，有些互聯(lián)網(wǎng)企業(yè)本身就是通過數(shù)據(jù)來實現(xiàn)盈利的。

在這種情況下，由于相關(guān)主體對用戶個人信息的使用沒有較為統(tǒng)一嚴(yán)格的標(biāo)準(zhǔn)，加之內(nèi)部管理存在的缺陷，導(dǎo)致泄露個人信息、侵犯公民隱私的現(xiàn)象時有發(fā)生。其次，破壞了公民生活安寧狀態(tài)。

個人信息被泄露之后，就容易成為各類商家的“潛在目標(biāo)”而遭遇大量的電話和短信騷擾。

甚至由此還出現(xiàn)個人名譽無端受到詆毀等問題，嚴(yán)重破壞了個人正常生活的安寧。再次，給公民日常交往帶來諸多煩惱。

為了便于與親朋好友聯(lián)系，公民一般都建立了好友通訊錄，有了較為固定的聯(lián)系人。而一些科技公司在公民下載或使用某APP時，往往變相要求公民授權(quán)公司訪問其私人空間，包括使用其通訊錄。在獲取公民個人隱私信息后，一些廣告公司不僅向使用APP的公民發(fā)送各類騷擾信息，還向該公民通訊錄中的其他聯(lián)系人發(fā)送，且在發(fā)送時標(biāo)注該公民的個人信息，以此獲得其他聯(lián)系人的信任，由此造成公民與其聯(lián)系人之間的誤解，帶來交往中的各種煩惱。

2.為違法犯罪行為提供了溫床?！霸诖髷?shù)據(jù)時代，網(wǎng)絡(luò)信息具有高價值屬性，網(wǎng)絡(luò)信息在被非法獲取、非法傳播和非法濫用之后，往往會伴隨著進(jìn)一步侵害相關(guān)權(quán)益的后續(xù)犯罪行為，這是網(wǎng)絡(luò)安全犯罪產(chǎn)業(yè)鏈的最后一環(huán)”[4]。個人信息包含了眾多有價值的信息，例如，在招聘簡歷中就有個體的身份證號、照片、手機號碼等重要信息，有的還涉及公民的購物、住宿、行程軌跡等記錄，這些個人信息一旦被泄露，極易被不法分子非法利用，為他們的犯罪提供溫床。目前，許多侵犯人身安全類型的犯罪，如非法拘禁罪、綁架罪等均與犯罪分子掌握了受害人的精確個人信息有關(guān)。此外，在當(dāng)今網(wǎng)絡(luò)時代，傳統(tǒng)的侵犯公民財產(chǎn)權(quán)的犯罪行為已經(jīng)逐漸轉(zhuǎn)移到網(wǎng)絡(luò)空間，犯罪分子通常根據(jù)被害人的相關(guān)信息編輯有針對性的詐騙短信，誘使受害者落入圈套，也經(jīng)常利用其獲得的受害人個人信息在網(wǎng)絡(luò)上實施詐騙、盜取銀行賬號等違法犯罪行為。網(wǎng)絡(luò)信息技術(shù)的發(fā)展提升了個人信息的重要地位，增加了其社會價值。個人信息已經(jīng)不再純粹地只是個體參與社會交往的符號，更多地與私主體的人格利益、財產(chǎn)利益緊密聯(lián)系。分析諸多網(wǎng)絡(luò)詐騙案件，追根溯源大多是因為網(wǎng)絡(luò)服務(wù)的提供者和經(jīng)營者沒能很好地履行有效保護(hù)個人信息的義務(wù)，導(dǎo)致消費者的詳細(xì)購物信息被泄露，造成詐騙案件的發(fā)生。雖然在這些案件中部分消費者也存在防范意識不強、主觀上疏忽大意等過錯，但不可否認(rèn)的是網(wǎng)絡(luò)平臺和銷售公司在個人信息使用方面存在管理缺陷。市場主體對于個人信息保護(hù)的缺失極易誘發(fā)關(guān)聯(lián)犯罪行為，不僅給受害者帶來傷害，也給整個社會造成極大恐慌。

二、加強個人信息收集與使用行政法規(guī)制的必要性與可行性

（一）個人信息收集和使用涉及公眾利益

1.社會性侵權(quán)現(xiàn)象使得眾多人權(quán)利受到侵犯?！靶?shù)據(jù)時代的個人信息侵害事件具有孤立性、個體性、靜態(tài)性，基本可以還原為信息處理者對某一信息主體的單獨侵權(quán)。而大數(shù)據(jù)時代的個人信息侵權(quán)以社會性侵權(quán)為主”[5]。所謂社會性侵權(quán)主要指，由于集中大量個人信息的企業(yè)公司自身的疏忽而導(dǎo)致大規(guī)模的信息泄露。2020年發(fā)生的圓通公司內(nèi)部員工與外部不法分子相互勾結(jié)共同販賣涉及大量公民個人信息的事件就是一個典型的社會性侵權(quán)事件[6]。隨著個人信息數(shù)據(jù)集中在部分市場主體手中，其被泄露的潛在風(fēng)險也在增加。這種大范圍的信息泄露由于其損害后果難以控制，一旦發(fā)生，救濟(jì)的難度也比以往更大。2019年耿某以謀取不法利益為目的，將其在一家早教公司任職期間所獲取的3549條個人信息進(jìn)行非法出售，導(dǎo)致大量公民個人信息被泄露。

在這起事件中，被告人耿某所任職的早教公司同樣難逃信息泄露的責(zé)任。可見，個人信息收集和使用及由此造成的嚴(yán)重危害結(jié)果已不僅僅關(guān)乎個人權(quán)益，在更大程度上成為一種亟待解決的社會問題。

2.“大數(shù)據(jù)殺熟”現(xiàn)象影響了眾多消費者的選擇權(quán)。在當(dāng)今市場經(jīng)濟(jì)交往過程中，“網(wǎng)絡(luò)算法技術(shù)”在互聯(lián)網(wǎng)企業(yè)經(jīng)營中扮演重要角色。通過對收集而來的海量個人信息進(jìn)行分析整理，了解用戶喜歡什么類型產(chǎn)品、其購買習(xí)慣和購物傾向等;通過對消費者在網(wǎng)絡(luò)上的瀏覽記錄、購物記錄的分析，互聯(lián)網(wǎng)企業(yè)可以針對不同的消費者制定不同的策略?；ヂ?lián)網(wǎng)企業(yè)根據(jù)用戶的個人信息精確推送相關(guān)產(chǎn)品信息，讓購買者的眼光局限于被商家劃定的范圍，損害了消費者在同等情況下廣泛選擇商品的權(quán)利，其中，“大數(shù)據(jù)殺熟”現(xiàn)象是近段時間的社會熱點。“大數(shù)據(jù)殺熟”是指互聯(lián)網(wǎng)企業(yè)通過分析對比不同消費者的購物信息，對消費者的消費傾向和習(xí)慣作出預(yù)測，根據(jù)用戶的差異收取不同費用?！爱?dāng)平臺經(jīng)營者擁有市場支配地位、數(shù)據(jù)的收集與運用能力，將會積累起隱性侵害熟客消費者的能力”[7]。2019年3月北京市消費者協(xié)會發(fā)布的“大數(shù)據(jù)殺熟”問題調(diào)查結(jié)果顯示，88.32%的被調(diào)查者認(rèn)為“大數(shù)據(jù)殺熟”現(xiàn)象普遍或很普遍，56.92%的被調(diào)查者表示有過被“大數(shù)據(jù)殺熟”的經(jīng)歷[8]，由此造成眾多消費者喪失了對不同商品價格對比和選擇的權(quán)利。

對多數(shù)人利益造成侵害，對公共利益造成危害，需要公法的介入，而行政法作為典型意義上的公法，對于保護(hù)眾多人利益具有非常重要的作用。社會經(jīng)濟(jì)的發(fā)展和運行當(dāng)然需要自由市場規(guī)則的約束，也允許各類社會組織的自治，但如果某種事物的發(fā)展超越了市場規(guī)則調(diào)控能力和范圍，并且對社會大多數(shù)人的利益或社會利益造成重大影響時，就需要行政法的介入來保障公共利益得以有效維護(hù)。這是當(dāng)前我國行政法介入市場主體活動、調(diào)整個人信息收集和使用的理論基礎(chǔ)?！肮怖鎽?yīng)當(dāng)成為行政法適用和解釋的普遍原則，一切行政行為的目的、動機和旨趣皆應(yīng)著眼于維護(hù)和促進(jìn)公共利益”[9]，“不少學(xué)者已經(jīng)明確意識到個人信息上并非僅有私法屬性，還具有某種公共利益的屬性”[1]，基于維護(hù)公共利益的角度，應(yīng)當(dāng)由行政法介入、調(diào)整和規(guī)范。

（二）行政法對于個人信息保護(hù)具有完整性和系統(tǒng)性

對公民個人信息權(quán)利的保護(hù)，有民法和刑法的保護(hù)，并都具有一定的效果，但其不足也是顯而易見的。

就民法保護(hù)而言，民法典的出臺對個人信息保護(hù)問題作了積極回應(yīng)，將個人信息作為一項新的人格利益予以保護(hù)。民法典第111條規(guī)定：“自然人的個人信息受法律保護(hù)。任何組織或者個人需要獲取他人個人信息的，應(yīng)當(dāng)依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息”。據(jù)此，自然人的個人信息遭受侵害的，可以依據(jù)民法典的規(guī)定對自己合法權(quán)益予以保護(hù)。然而，通過民事救濟(jì)方式來保護(hù)公民個人信息仍然有諸多局限。一是民法對個人信息的保護(hù)范圍不夠完善。雖然民法典第1034條規(guī)定了“個人信息包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等”，但除此之外的其他個人信息能否都將其認(rèn)定為民法所保護(hù)的民事權(quán)益，這個問題尚待解決?！耙詡鹘y(tǒng)民事權(quán)利話語體系界定個人信息權(quán)利，將個人信息保護(hù)納入私法人格權(quán)范疇，與隱私權(quán)并列在一節(jié)中，必然會出現(xiàn)邏輯矛盾與實踐沖突”[10]。二是民法保護(hù)忽視個人信息保護(hù)的社會效果。民事法律往往強調(diào)個人信息受到侵犯后對個人的補償和賠償，卻忽視已經(jīng)造成的信息泄露的社會風(fēng)險，當(dāng)出現(xiàn)經(jīng)濟(jì)或精神損失的時候?qū)κ軗p方予以補償，而對造成信息泄露的社會風(fēng)險如何來調(diào)控，民事法律規(guī)范沒有辦法解決。

就刑法保護(hù)而言，刑法是事后懲戒的規(guī)制方法，對嚴(yán)重破壞社會秩序的犯罪行為予以最為嚴(yán)厲的刑事制裁。當(dāng)前涉及個人信息收集和使用而侵犯公民權(quán)利可能觸及犯罪的，主要有刑法第235條之一“侵犯公民個人信息罪”和第286條之一“拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪”，對這兩種犯罪都通過司法解釋的形式規(guī)定了構(gòu)成犯罪所要求的泄露個人信息的數(shù)量。然而通過刑法規(guī)制并不能達(dá)到完全打擊對個人信息泄露行為的社會效果。

一是刑法規(guī)制忽視先期階段信息泄露風(fēng)險。大數(shù)據(jù)背景下隱私信息的泄露可分為前期市場主體對個人信息收集和使用的環(huán)節(jié)及后期階段個人信息被非法買賣的環(huán)節(jié)。刑法更強調(diào)后期階段對非法交易個人信息行為的處罰而忽視前期階段已有的信息泄露風(fēng)險。在周某非法買入個人信息案中，涉案當(dāng)事人雖然受到了法律的嚴(yán)懲，但非法買入的個人信息是如何獲得的，這些個人信息流入市場又經(jīng)歷了怎樣的非法流轉(zhuǎn)？這些前期個人信息泄露的風(fēng)險及其防控顯然不在刑法的規(guī)制范圍內(nèi)。二是刑法規(guī)制個人信息泄露類行為的預(yù)防性效果不明顯。針對個人信息泄露和買賣的違法犯罪行為，刑法通過對涉事單位和個人以嚴(yán)厲的懲罰來達(dá)到特殊預(yù)防的作用。然而從整體上看，個人信息從收集、正常使用到非法泄露是一個復(fù)雜的過程，僅僅在已經(jīng)發(fā)生信息嚴(yán)重泄露后對其進(jìn)行懲罰難以達(dá)到一般預(yù)防的社會效果。

可見，雖然刑法和民法分別通過相應(yīng)規(guī)則對侵犯公民個人信息的行為進(jìn)行彌補或懲罰，但都是基于個人信息出現(xiàn)被泄露的損害后果之后進(jìn)行的?！拔覈F(xiàn)行立法關(guān)于個人信息保護(hù)的規(guī)則主要是從基本民事權(quán)利的角度作出規(guī)定，此種粗線條的規(guī)則可能無法為特定場景下個人信息權(quán)利的保護(hù)確定具體規(guī)則”[11]。應(yīng)建立一套完整的關(guān)于個人信息從收集到最后有效發(fā)揮價值的全流程制度，只有這樣才能基于事前預(yù)防和有效管理的角度保護(hù)社會化的個人信息，而不是坐等發(fā)生嚴(yán)重后果時才去彌補。與刑法、民法基于社會關(guān)系受到破壞和個人權(quán)益受損后的救濟(jì)不同，行政法對個人信息保護(hù)不是基于某一個點，而是基于一個完整的覆蓋面。通過行政法的規(guī)制，可以解決個人信息如何收集、如何使用及市場主體如何流轉(zhuǎn)個人信息等一系列問題。因此，有必要通過完善行政法律法規(guī)，構(gòu)建對個人信息防護(hù)的立體網(wǎng)絡(luò)，從源頭上解決侵犯個人信息的諸多問題。

（三）行政法規(guī)制具有快捷高效的優(yōu)勢

與其他保護(hù)方式相比，行政法規(guī)制具有快捷、高效的獨特優(yōu)勢。以與民法保護(hù)比較為例，一方面，民事法律對個人信息的保護(hù)存在過程漫長、舉證復(fù)雜等特征。受害人因為個人信息被泄露，如果想通過法院審理程序獲得賠償，不僅前期要搜集證據(jù)，往后也要經(jīng)歷開庭、舉證、宣判、執(zhí)行等較為漫長的過程，“由于傳統(tǒng)侵權(quán)法對損害要件強調(diào)存在‘實際經(jīng)濟(jì)損失或‘嚴(yán)重精神損害，受害人受舉證責(zé)任規(guī)則的約束，事實上也難以得到法院支持賠償?shù)呐袥Q”[12]。行政法規(guī)制對個人信息保護(hù)則不同，其強調(diào)高效、快捷地制止各種違法行為，可以及時有效地填補相關(guān)過程中存在的漏洞。另一方面，用民事規(guī)制的方法由公民個人進(jìn)行維權(quán)，秉承不告不理原則，往往還會出現(xiàn)因為被侵權(quán)人的“忍氣吞聲”而放縱侵權(quán)行為的現(xiàn)象。

而行政法規(guī)制，即使被侵害人不主動維權(quán)，相關(guān)部門發(fā)現(xiàn)后也有權(quán)主動介入，不僅貫穿事前預(yù)防、事中監(jiān)督和事后處理等個人信息保護(hù)的全過程，也可以綜合運用包括風(fēng)險管理、調(diào)查和處罰等多種手段，在制止侵權(quán)行為方面具備快速和便捷的特點[13]。

實際上，針對日常生活中個人信息受到非法收集和使用的現(xiàn)象，越來越多的民眾選擇向有關(guān)部門進(jìn)行舉報。自2019年1月起，“中央網(wǎng)信辦、工信部、公安部、市場監(jiān)管總局聯(lián)合開展APP專項治理行動以來，相關(guān)舉報平臺已收到近8000條舉報信息”[14]。隨著個人信息在公民參與社會交往中作用愈加重要，社會公眾對保護(hù)自己隱私信息呼聲也日漸高漲，對加強個人信息收集使用的行政監(jiān)管呼聲日趨強烈，更顯示行政法在保護(hù)個人信息中的獨特作用。

三、個人信息收集和使用的行政法規(guī)制路徑

（一）建立個人信息收集的行政許可制度

作為一種具有社會價值的資源，對個人信息收集和使用不應(yīng)毫無限制，應(yīng)當(dāng)建立門檻化的信息收集標(biāo)準(zhǔn)，有利于對個人信息進(jìn)行完整保護(hù)。針對當(dāng)前市場領(lǐng)域許多主體隨意收集公民個人信息的亂象，有必要考慮建立對個人信息收集的行政許可制度，“行政許可，系指特定的行政主體，根據(jù)行政相對人的申請，經(jīng)依法審查，作出準(zhǔn)予或不準(zhǔn)予其從事特定活動之決定的行政行為”[15]（P263），相關(guān)主體只有在行政機關(guān)審查并被賦予相應(yīng)資格后，才能對公民個人信息進(jìn)行收集，否則，就是違規(guī)。這樣制度設(shè)計的優(yōu)勢在于：一是能夠有效規(guī)范相關(guān)市場主體的信息收集行為，有效避免對個人信息收集的隨意性;二是能夠明確市場主體收集和使用個人信息的權(quán)限，有效避免超越需要的收集行為;三是有助于強化企業(yè)責(zé)任，促進(jìn)各類主體加強自我管理和自我糾錯。

1.明確個人信息收集的“不可替代”原則。當(dāng)前，關(guān)于經(jīng)濟(jì)生活中對個人信息進(jìn)行收集要堅持必要性原則已成為社會關(guān)注的重要內(nèi)容，必要性原則在相關(guān)部門所制定的管理辦法中已經(jīng)有所體現(xiàn)，在2020年國家互聯(lián)網(wǎng)信息辦公室發(fā)布的“應(yīng)用程序必要個人信息范圍”征求意見稿中，就對38類常見應(yīng)用程序必要個人信息范圍進(jìn)行了分類整理[16]。然而，從當(dāng)前經(jīng)濟(jì)社會交往現(xiàn)狀看，該必要性原則仍然存在進(jìn)一步完善的空間。在相關(guān)規(guī)范中體現(xiàn)的必要性原則往往以“提供服務(wù)所必需”“基于管理的需要”等內(nèi)容體現(xiàn)出來，但僅僅考慮該個人信息是否為提供服務(wù)所必需似乎不能有效界定其必要的程度。為此，當(dāng)下在對個人信息收集的行政許可中，不僅要將必要性作為一個重要原則加以明確，并作為行政許可的重要前提，還要進(jìn)一步將其發(fā)展為“不可替代”原則，在必要性原則中加入“不可替代性”的考量因素，只有信息收集者證明該個人信息的收集不僅僅是必要的，而且不存在其他可替代性措施時，才符合信息收集的條件，才能獲得信息收集的行政許可。

2.實行信息收集的多元許可標(biāo)準(zhǔn)。個人信息內(nèi)容的豐富多樣，在不同領(lǐng)域不同經(jīng)濟(jì)交往中需求也不同?！艾F(xiàn)今越來越多的學(xué)者及機構(gòu)傾向認(rèn)為，隱私及個人信息保護(hù)的邊界并非固定、僵化的，而是主觀的、動態(tài)的，并受多重因素影響，何以構(gòu)成個人信息的合理使用，在不同的場合均不盡相同”[17]。因此，行政機關(guān)對于個人信息收集的許可中，應(yīng)避免采取“一刀切”方式，而應(yīng)當(dāng)結(jié)合當(dāng)前經(jīng)濟(jì)社會活動的不同領(lǐng)域制定多元化的信息許可標(biāo)準(zhǔn)，才能夠保障在經(jīng)濟(jì)社會活動各領(lǐng)域信息收集的安全性和使用的有效性。

一是根據(jù)不同行業(yè)領(lǐng)域確定不同標(biāo)準(zhǔn)。隨著經(jīng)濟(jì)的深度發(fā)展，新的市場消費模式不斷涌現(xiàn)，整個市場被劃分為不同的消費領(lǐng)域。雖然個人信息成為當(dāng)今人們進(jìn)行經(jīng)濟(jì)交往和社會交往經(jīng)常使用的工具，但并不是每個領(lǐng)域?qū)τ趥€人信息的需求都是相同的。有些涉及高度秘密性和隱私性的經(jīng)濟(jì)交往通常需要更多更完整的公民個人信息，而有些具有一定社會公開性的領(lǐng)域，則只需收集簡單或初步的個人信息即可。為此，需區(qū)別不同行業(yè)領(lǐng)域，明確其信息收集的具體權(quán)限，并采取相應(yīng)的許可標(biāo)準(zhǔn)。二是根據(jù)對個人信息使用目的來確定許可標(biāo)準(zhǔn)。按照不同行業(yè)領(lǐng)域初步劃分不同主體信息收集的標(biāo)準(zhǔn)后，還需進(jìn)一步針對具體市場主體的經(jīng)營目的確定更為具體的許可標(biāo)準(zhǔn)。即便是在同一市場領(lǐng)域，不同主體由于其具體經(jīng)營需求和目的不同，對于個人信息的收集也并非完全一樣。

3.加強行政許可中申請材料的完備性審查。申請收集個人信息的相關(guān)市場主體應(yīng)當(dāng)基于自身經(jīng)營目的和實際需要，向行政機關(guān)提交申請資料;在收到申請后，相關(guān)行政機關(guān)應(yīng)當(dāng)按照法律法規(guī)和申請主體情況進(jìn)行評估，若認(rèn)為該主體的信息收集行為符合法律法規(guī)，同時與該主體的自身需求相契合，就可以為其頒發(fā)信息收集許可證。

申請主體所提交的申請資料應(yīng)當(dāng)包含收集個人信息的類型、信息收集的作用、信息使用具體規(guī)則、提供技術(shù)支持的相關(guān)公司信息等。這里尤其要加強對提供技術(shù)支持的公司情況的審查。由于個人信息收集的行政許可不同于一般意義上的行政許可，在各類市場主體利用大數(shù)據(jù)收集個人信息時，經(jīng)常會聘請相關(guān)技術(shù)公司作為技術(shù)支持，由這些技術(shù)公司對個人信息的收集和使用提供幫助，而這些提供技術(shù)支持的公司，往往在公民個人信息收集和使用中起到關(guān)鍵的作用。如果對他們不進(jìn)行有效監(jiān)管，就難以真正實現(xiàn)對公民個人信息的有效保護(hù)。根據(jù)當(dāng)前狀況，消費者在與各類主體進(jìn)行經(jīng)濟(jì)交往時，普遍反映針對個人信息管理和運行的透明度不夠。許多消費者既不清楚在公司企業(yè)背后負(fù)責(zé)管理個人信息的相關(guān)主體是誰，又對這些市場主體能否保障信息安全不盡了解。當(dāng)大數(shù)據(jù)技術(shù)提供公司信息“不透明”成為普遍現(xiàn)象，個體維護(hù)自己的信息安全更無從談起。因此，在信息收集主體申請行政許可時，行政機關(guān)應(yīng)當(dāng)督促這些主體完善申請信息，不能忽視技術(shù)支持的關(guān)聯(lián)企業(yè)，應(yīng)將這類技術(shù)公司的相關(guān)情況也作為申請材料的一部分向行政機關(guān)提交并接受行政機關(guān)的審查。

（二）建立動態(tài)化監(jiān)測評價機制

建立各類主體對信息收集的許可制度，彌補了在個人信息收集環(huán)節(jié)缺乏監(jiān)管和規(guī)制的缺陷。但如果只有在初始階段的信息收集許可而沒有對后續(xù)個人信息使用的持續(xù)監(jiān)管，同樣不能堵住個人信息泄露甚至買賣的漏洞。以往行政許可只在企業(yè)違反法律法規(guī)規(guī)定時才對其進(jìn)行處罰，達(dá)不到應(yīng)有的目的和效果。因此，完善行政許可之后的事中監(jiān)督檢查機制必不可少。換言之，市場主體對信息收集的權(quán)限不應(yīng)當(dāng)是“一朝許可”而獲得“終身權(quán)限”，注重企業(yè)獲得行政許可之后的運營和管理同樣重要。

1.完善定期檢查制度?！皞€體的信息安全若想得到有效和及時的保護(hù)，對于數(shù)據(jù)運營者和控制者的責(zé)任規(guī)制就顯得尤為必要”[18]。出于對個人信息安全的考慮，完善定期的監(jiān)督檢查制就顯得非常必要。有時市場主體在對個人信息收集時其行為并無不妥，使用中卻出現(xiàn)了違法違規(guī)問題。信息收集的合法合理并不能保證信息使用環(huán)節(jié)不出現(xiàn)疏漏，兩者一個是前期信息收集的權(quán)限問題，另一個是中期過程中信息管理的規(guī)范問題。各類主體特別是私營公司企業(yè)，要想達(dá)到個人信息使用環(huán)節(jié)的低風(fēng)險目標(biāo)，就需要通過加強內(nèi)部管理規(guī)范，完善體制機制來實現(xiàn)。而這個過程的實現(xiàn)，既需要企業(yè)自身發(fā)現(xiàn)問題及時糾正，又需要行政機關(guān)外部的合理監(jiān)督。相關(guān)行政機關(guān)必須建立常態(tài)化的監(jiān)測評價機制，發(fā)現(xiàn)相關(guān)主體在個人信息管理和使用方面存在的問題，及時采取措施督促其限期整改，并與其收集和使用個人信息的權(quán)限掛鉤。只有這樣，信息收集權(quán)限的許可才是一個動態(tài)可評價的狀態(tài)，有利于加強對信息收集使用的有效監(jiān)管。

2.建立信息使用留痕可追蹤制度。在大數(shù)據(jù)背景下，如果不注重對信息使用痕跡的追蹤，在發(fā)現(xiàn)信息泄露、濫用等問題時，很難對相關(guān)責(zé)任主體進(jìn)行追責(zé)和懲罰。因此，在對個人信息使用領(lǐng)域確立可追蹤原則是保護(hù)個人信息的必然要求，也是有效推進(jìn)信息泄露、濫用等行政問責(zé)的必要保障。要通過行政法律規(guī)范確立信息收集主體使用信息可追蹤原則，明確各類市場主體對其收集個人信息的使用應(yīng)當(dāng)“留有痕跡”，記錄網(wǎng)絡(luò)后臺數(shù)據(jù)海量的個人信息用在什么地方、如何被使用等“痕跡”，確?？梢员蛔粉?，有利于督促眾多市場主體轉(zhuǎn)變原來的信息使用方式，為個人信息安全提供有力保障。

（三）探索多樣的責(zé)任承擔(dān)方式

1.完善全鏈條式的行政追責(zé)機制?，F(xiàn)實中，行政機關(guān)針對侵犯公民個人信息的行為往往只對直接的主體進(jìn)行追責(zé)，沒有對其他相關(guān)主體一同追責(zé)，不能有效切斷信息泄漏、濫用、買賣等全部鏈條。實際上，對公民個人信息的侵害往往涉及較多主體，不能僅對其中某個或某幾個主體進(jìn)行處罰，而應(yīng)該讓涉案的全部主體承擔(dān)相應(yīng)的法律責(zé)任。既要對違法使用者進(jìn)行追究，也要對信息的來源、傳輸?shù)拳h(huán)節(jié)上的主體進(jìn)行制裁，對所有與侵犯該個人信息相關(guān)的鏈條企業(yè)進(jìn)行處理，由此建立一個全鏈條式的追責(zé)機制。只有這樣，才能夠更有效地打擊各類侵犯公民個人信息的行為。

2.運用多種行政手段加大懲罰力度?！澳壳拔覈姓煞ㄒ?guī)對侵害個人信息行為的行政罰款多采取封頂式，罰款額度各異，最高也未超過100萬元，從具體的行政執(zhí)法實踐來看，罰款金額也普遍較低”[19]。實際上，當(dāng)前對侵犯公民個人信息行為不僅存在罰款力度偏低問題，更重要的是，以行政罰款為主要懲罰方式具有較大片面性。單純通過行政罰款的手段去監(jiān)督相關(guān)市場主體行為，可能會因為罰款力度不足而難以引起相關(guān)企業(yè)的重視，因此，有必要運用多種行政制裁手段。一是吊銷相關(guān)主體對個人信息收集的許可，或降低其收集信息的范圍和權(quán)限，達(dá)到剝奪或減少其收集個人信息權(quán)限的目的。二是將違規(guī)收集或使用個人信息的主體納入征信系統(tǒng)，進(jìn)行失信懲戒。一方面，對管理不嚴(yán)、販賣個人信息謀利的企業(yè)向社會公開，提醒廣大公民警惕;另一方面，對其相關(guān)行為或權(quán)利予以限制，達(dá)到降低名譽、限制權(quán)利等多重效果，并將其對個人信息收集與使用情況與其在該領(lǐng)域的行政許可掛起鉤來。

參考文獻(xiàn)：

[1]時明濤.大數(shù)據(jù)時代個人信息保護(hù)的困境與出路——基于當(dāng)前研究現(xiàn)狀的評論與反思[J].科技與法律，2020，（5）.

[2]朱方彬，宋宗宇.大數(shù)據(jù)時代個人信息權(quán)保護(hù)的法制構(gòu)建[J].山東社會科學(xué)，2020，（7）.

[3]趙紅斌.杜絕簡歷倒賣招聘平臺責(zé)無旁貸[N].嘉興日報，2020-12-09.

[4]田 剛.網(wǎng)絡(luò)信息安全犯罪的定量評價困境和突圍路徑——大數(shù)據(jù)背景下網(wǎng)絡(luò)信息量化標(biāo)準(zhǔn)的反思和重構(gòu)[J].浙江工商大學(xué)學(xué)報，2020，（3）.

[5]王懷勇，常宇豪.個人信息保護(hù)的理念嬗變與制度變革[J].法制與社會發(fā)展，2020，（6）.

[6]岳振廷.要筑起公民個人信息安全的“防火墻”[J].企業(yè)觀察家，2020，（11）.

[7]曹彥君.肆虐的大數(shù)據(jù)殺熟[J].21世紀(jì)商業(yè)評論，2021，（1）.

[8]許 諾.北京市消協(xié)發(fā)布“大數(shù)據(jù)殺熟”問題調(diào)查結(jié)果[DB/OL].[2021-02-13].http：//www.xinhuanet.com/fortune/2019-03/28/c_1124292767.html.

[9]劉 國.個人信息保護(hù)的公法框架研究——以突發(fā)公共衛(wèi)生事件為例[J].甘肅社會科學(xué)，2020，（4）.

[10]周漢華.個人信息保護(hù)的法律定位[J].法商研究，2020，（3）.

[11]王葉剛.網(wǎng)絡(luò)隱私政策法律調(diào)整與個人信息保護(hù)：美國實踐及其啟示[J].環(huán)球法律評論，2020，（2）.

[12]孫 瑩.大規(guī)模侵害個人信息高額罰款研究[J].中國法學(xué)，2020，（5）.

[13]鄧 輝.我國個人信息保護(hù)行政監(jiān)管的立法選擇[J].交大法學(xué)，2020，（2）.

[14]中央網(wǎng)信辦.APP專項治理行動已收到近8000條舉報信息[DB/OL].[2021-03-10].http：//it.people.com.cn/n1/2019/0916/c1009-31355365.html.

[15]胡建淼.行政法學(xué)（第四版）[M].北京：法律出版社，2015.

[16]常見類型移動互聯(lián)網(wǎng)應(yīng)用程序（APP）必要個人信息范圍（征求意見稿）[DB/OL].[2021-03-15].http：//www.cac.gov.cn/2020-12/01/c_1608389002456595.html.

[17]范 為.大數(shù)據(jù)時代個人信息保護(hù)的路徑重構(gòu)[J].環(huán)球法律評論，2016，（5）.

[18]曾 磊.我國個人網(wǎng)絡(luò)信息保護(hù)立法的制度構(gòu)建[J].廣西社會科學(xué)，2020，（5）.

[19]關(guān)于下架侵害用戶權(quán)益APP名單的通報[DB/OL].[2021-03-19].https：//www.miit.gov.cn/xwdt/gxdt/sjdt/art/2021/art_4c7c3bd89f3447e5a73f30cafe97b5ba.html.

責(zé)任編輯：陳文杰

Administrative Regulations Governing the Collection and the Use of Personal Information in the Context of Big Data

Wang Chunye， Fei Bo

Abstract：In the era of big data， personal information is collected and used more and more frequently. While bringing more convenience， there are also many

chaos， including the randomness and excessiveness of collection， and the lack of regulation in information management and use， which seriously damages the rights of citizens.Therefore， the intervention and regulation of administrative law is urgently needed. The protection of personal information involves the interests of many people， so it is necessary to regulate by administrative law.Compared with civil law protection and criminal law regulation， administrative law regulation has the characteristics of integrality， systematicness， rapidness and efficiency of personal information protection，and may meet the needs of the big data era. To strengthen the regulation of administrative law， the key is to establish and improve the administrative licensing system of personal information， to avoid the random collection of personal information and to control it from its source. We should improve the regular inspection system， establish a traceability system for information usage， and innovate a dynamic monitoring and evaluation system， and explore a variety of accountability.

Key words：big data era， personal information protection， administrative regulations

收稿日期：2021-03-12

作者簡介：

王春業(yè)（1970-），男，安徽明光人，河海大學(xué)法學(xué)院副院長，教授，博士生導(dǎo)師，博士，江蘇南京 211100;費 博（1997-），男，河南鞏義人，河海大學(xué)法學(xué)院碩士生，江蘇南京 211100

本文為中央高?；究蒲袠I(yè)務(wù)費項目“節(jié)水優(yōu)先立法保障問題研究”（批準(zhǔn)號B200207046）的階段性研究成果。