民法典时代个人信息保护的行政法回应

来源：核心期刊咨询网时间：2021-12-30 14:1112

摘要：摘 要：域外对于个人信息保护的主流模式主要有分散立法与综合保护两种。在我国，尽管《民法典》中预留了个人信息行政法保护的立法接口，但实践中仍存在个人信息的收集处理程序缺失、行政机关监管力度较为薄弱、被侵权人主张民事诉讼难获救济和主张行政救济途径受阻等问

　　摘 要：域外对于个人信息保护的主流模式主要有分散立法与综合保护两种。在我国，尽管《民法典》中预留了个人信息行政法保护的立法接口，但实践中仍存在个人信息的收集处理程序缺失、行政机关监管力度较为薄弱、被侵权人主张民事诉讼难获救济和主张行政救济途径受阻等问题。未来，个人信息的行政保护应顺应时代的潮流，循序渐进。在立法层面，完善个人信息行政法保护体系，建立个人信息收集者与处理者的行政许可制度;在司法层面，确立个人信息保护组织在诉讼中的原告资格;在执法层面，健全个人信息行政监管机制。

　　关 键 词：《民法典》;个人信息保护;行政法;行政机关

　　基金项目：本文系国家社科基金项目“政府购买模式运行的行政规制研究”的阶段性成果，项目编号：16BFX030;河海大学中央高校基本科研业务费专项基金“民法典时代个人信息保护制度的行政法回应”的阶段性成果，项目编号：B210203061;河海大学中央高校基本科研业务费项目“过程论视野中的行政裁量权研究”的阶段性成果，项目编号：B200202240。

　　在自2021年1月1日起实施的《中华人民共和国民法典》(以下简称《民法典》)中，人格权独立成编，特别是将个人信息保护纳入人格权编成为《民法典》的亮点之一。这标志着个人信息主体的权利得到民事基本法的确认，个人信息保护制度的顶层设计正在逐步完善。在我国民商合一的立法体制下，民法是私法的基础和重要组成内容，私法的价值通过民法得以彰显。从某种程度上说，民法就是整个私法。[1]但应看到，大数据时代，信息高效流转，仅在私法层面讨论个人信息保护具有一定的局限性和不适应性，《民法典》的相关规定需要行政法进一步的规范和确认。个人信息保护在以私法为基础的同时亦应兼顾公法视野下相关理论与制度的研究与完善，以更好地适应信息开放共享的时代要求。《民法典》的基础性法律地位决定了其对行政法的发展和完善将发挥积极的推动作用。[2]

　　一、个人信息概述

　　个人信息的内涵界定 目前，学界对于“个人信息”的概念主要持“关联型定义”和“识别型定义”两种观点。“关联型定义”是指与个人有关的所有信息;“识别型定义”是指以“识别”为基础，信息的内容与主体之间存在客观确定的联系，可以通过相关信息精准辨别主体身份。[3]司法实践中，《民法典》第一千零三十四条第二款采取“识别型定义”的方式对个人信息作出了明确限定：“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”2020年10月21日发布的《个人信息保护法(草案)征求意见》第四条第一款规定：“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。”

　　将“已识别”和“可识别”作为个人信息的判断标准，使得个人信息的界定更为科学，而将“匿名化处理的信息”排除在外也是保障个人信息的一种有效表现。可见，运用“识别型定义”界定个人信息的概念更具精准性和严谨性。互联网的普遍应用加速了信息的传播，个人信息的表现形式也更加多样，传统的信息形式主要体现为姓名、身份证号、住址、电话号码等，新型的个人信息形式包括网页浏览痕迹、社交媒体上发表的言论、通话记录以及行踪轨迹等。[4]因此，笔者认为，个人信息的内涵界定应适当进行扩展，对于个人信息的存在形式不予限定，主要是指可以直接或间接识别特定自然人的信息总和。

　　个人信息的基本特征 其一，可识别性，即通过汇总已知的各种信息可以与特定自然人之间产生关联，进而识别特定自然人。个人信息的可识别性体现的是个人信息与信息主体之间的紧密联系，主要包括直接识别和间接识别两种。直接识别是指通过某个单独信息便能直接定位到信息主体，不需要其他信息輔助验证;间接识别是指单独的信息不能直接定位到准确的个体，需要与其他信息相互印证才能识别特定主体。其二，兼具人身和财产双重属性。人身属性即个人信息依附于个人而存在并为个人所有;财产属性即个人信息可以作为资源进行交易使双方获益。个人信息是自然人与生俱来的并在其发展过程中不断形成的，与自然人的人身密不可分，若仅从人身属性界定个人信息并不严谨，个人信息同样可以被他人收集、使用，流转市场中具有财产价值;反之，个人信息具有财产价值，是一种重要的社会资源，若仅从财产属性上识别个人信息也过于片面，个人信息的人格特性不容忽视，不能将个人信息单独归属于财产权的客体。

　　当然，二者的地位不同，人身属性为主，财产属性为辅。保护个人信息既要保护个人信息的财产属性，更要保护自然人对个人信息的支配和自主决定权。[6]其三，可公开性，即信息主体根据规范的操作指引可以查阅、获取个人信息，其是区分个人信息保护与隐私保护的重要标志。隐私在实务界被定义为关于个人的生活安宁和个人信息的秘密，在学界被定义为隐私中私密性的个人信息，而单个的私密信息或私人活动并不直接指向自然人的主体身份。[7]从对信息形态的要求看，隐私对于信息形态没有严格的要求，表现多样，可以是活动、行为或日常习惯等;个人信息则需要记载，要求以数字化的形式呈现。从保护的对象看，隐私保护的对象是个人不愿为外界所知悉、不曾对外公开的有关私人的信息、空间及事务;个人信息保护的对象则是以识别为特征的信息主体的总称，受保护的不仅仅是个人信息的人身权益，同时也包括交易、公开等行为带来的财产利益。

转载请注明来自：http://www.qikan2017.com/lunwen/zfa/22250.html