摘要：随着网络信息技术的高速发展，大数据、区块链、人工智能等技术被广泛应用于各行各业。个人信息数据作为大数据时代的重要社会资源，具有巨大的经济价值。然，随着个人信息数据的不断商业化，侵害个人信息主体的现象也日益普遍，个人信息保护与个人信息的商业利用逐渐失衡。我国作为互联网发展大国，目前正处于平衡数据共享、利用与个人信息保护的过渡阶段，但由于我国目前个人信息保护制度立法分散的局限，各行政监管部门对个人信息保护问题的监管也相对较弱。2021年4月26日《个人信息保护法（草案第二审议稿）》的发布对促进我国个人信息保护统一监管意义重大。本文将结合《个人信息保护法》立法趋势，通过分析个人信息保护制度现状对个人信息保护的行政监管问题进行探讨研究。

      关键词：大数据、个人信息保护、行政监管

      一、大数据时代下的公民个人信息危机

       个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。在网络信息技术高速发展前，企业、公司收集客户信息的方式大多通过调查问卷、定向走访等线下方式，且由于存储、分析客户信息的经济成本较高，个人信息数据一般也只在小范围内流通，缺乏变现价值。但进入大数据时代后，个人信息的获取方式逐渐多元化，浏览网站后的浏览记录、网上购物的消费记录、注册各式各样手机APP、留存下的个人身份信息及偏好等均被网站或者APP后台储存，为企业收集、存储、利用公民个人信息精准投放商业信息提供了便利。

     虽然网络信息技术的发展提高了企业和个人获取信息的效率，但在享受技术进步带来便利的同时，人们也受到了技术所带来的个人信息危机。由于个人信息作为大数据时代重要的社会资源具有巨大的经济价值，掌握大量个人信息资源的企业在行业中往往具有独特的核心竞争力。然，个人信息数据除了可以成为企业、公司精准投放商业信息的依据，为经营者创造巨大的商业价值，也可能会被不法分子利用作为违法犯罪的工具（如：电信诈骗等）。部分数据公司在巨大经济利益的诱惑下，为利用个人信息获取更大的经济利益，甚至实施了买卖个人信息数据的违法行为，即“非法数据交易”；亦有APP经营者不合理收集消费者个人信息，并在未经消费者同意的情况下擅自利用消费者的个人信息为自身谋取利益；更有第三方机构恶意入侵企业计算机系统盗取其存储的个人信息数据，造成用户信息泄漏并给企业带来了巨大经济损失。

      大数据时代下，个人信息数据的可识别性，使企业、公司可以通过单个或者多个个人信息识别出特定的自然人，因此企业在对个人信息数据的收集、存储、利用的过程中难免会对特定自然人产生影响。此外，公民个人信息经济价值高、收集成本低、收集手段便捷隐蔽、信息主题缺乏个人信息保护意识等原因，致使经营者非法收集、出售和利用个人信息的现象十分普遍。因此为防止个人信息被滥用，有必要通过各个部门法对个人信息保护和利用加以规范，防止不法分子利用个人数据侵害公民的人格权益和财产权益。

      二、我国个人信息保护制度的立法进程

      近年来，我国个人信息法律保护问题凸显，已经受到了立法、执法部门的高度关注，个人信息保护制度亦在各个部门法中逐步完善。

      2009年，《刑法修正案（七）》增设“非法获取公民信息罪”将公民个人信息权利保护列入刑法保护范围，后由于个人信息保护问题日益严重，该罪名于《刑法修正案（九）》变更为“侵犯公民个人信息罪”，并删除了侵犯个人信息罪主体的限制条件。

      2012年12月28日第十一届全国人大常委会通过了《关于网络信息保护的决定》（下称”《决定》“），为互联网时代的公民个人信息保护装上了“法律的盾牌”。该《决定》首次以法律形式确定了企业收集、管理、使用公民个人信息的制度，赋予了政府主管部门监管的权利，并强调了非经个人用户同意不得收集和利用个人信息的规则，为个人信息保护中的“知情同意原则”打下基础。

      2013年，工信部发布《电信和互联网用户个人信息保护规定》用以规范电信经营者对用户信息收集和利用的行为。同年，国务院发布《征信业管理条例》，依据个人信息保护原则确定了征信领域个人信息的采集、加工处理、保存和使用规范。在消费者保护领域，《消费者权益保护法》的颁布，明确了消费者的个人信息受法律保护，对经营者收集、利用消费者信息的管理进行规范，亦强调了侵犯消费者个人信息的法律责任。

      2017年6月1日正式开始实施的《网络安全法》确立了我国个人信息保护的基本法律框架，其中部分条款对我国公民个人信息保护具有建设性意义。《网络安全法》出台前，网络经营者通常采用格式化条款，肆意收集用户信息。《网络安全法》第四十一条针对网络经营者收集、使用个人信息提出了“应该遵循合法、正当、必要的原则”的要求，并重点强调了经营者在收集个人信息时需要经用户同意以及明确个人信息用途。

      《民法总则》第一百一十一条特别规定了个人信息保护，但该条文仅简单表述“自然人的个人信息受法律保护”，对于个人信息该如何保护却没有作出更为详细的规定。2021年1月1日开始实施的《民法典》人格权编第1034条至第1039条对自然人个人信息保护的规定相较于《民法总则》更具有操作性。此外，《民法典》在“个人信息”的定义中明确了个人信息所涉及的范围，以及个人信息与隐私权交叉部分的法律适用规则。但鉴于个人信息的核心在于“可识别性”，致使保护个人信息的目的不在于个人信息本身，而在于防止个人信息被滥用后对自然人财产权益和人格权的侵害。因此，为协调个人信息保护与个人信息流动和利用之间的关系，我国《民法典》关于“个人信息”的表述使用的仍是“个人信息保护”而非“个人信息权”。

      从我国对于个人信息保护的立法背景来看，我国现行法律对个人信息保护的规定分布在民法、刑法、行政法等多个部门法以及各个行业规范中，对于个人信息保护的规定较为零散。单行法和各部门法限于其各自的立法目的，维护公共利益、促进经济发展和维护社会秩序等往往在立法中优于个人信息保护，致使个人信息保护在当下的法律法规中呈现附属性特征，既不利于有关行政机关对公民个人信息保护的监管，亦不利于信息主体合法权益的保障。

       三、我国个人信息保护行政监管的困境

      在我国个人信息保护立法分散的背景下，对于个人信息保护的行政监管也呈现出明显的区域性特征。在电信和互联网领域，工业和信息化部以及各省、自治区、直辖市的通信管理局对电信和互联网个人信息保护具有监管职责；在消费领域，由工商行政管理部门和其他有关行政部门保护消费者个人信息安全；在征信领域，由国务院征信监管部门（中国人民银行）及其派出机构对征信业个人信息保护问题负责。（我国个人信息监管情况具体如下表）

      由于我国对个人信息保护的分散监管，导致在实践中个人信息难以得到有效保护。例如，《关于网络信息保护的决定》中对有关主管部门针对侵犯公民个人信息的监管权限界定模凌两可。《决定》第十条规定政府主管部门在“各自职权范围内”依法履行职责，但对于主管部门的管理权限却未作进一步明确，由此可能导致各主管部门在监管过程中因职责分工不明造成行政资源浪费或部分领域的监管空白。具体到各个行业领域，《消费者权益保护法》和《网络安全法》中规定“有关行政部门”和“有关部门”在职责范围内保护消费者和用户合法权益，但对“有关行政部门”具体是指哪些部门，职责分工如何却没有进一步明确。由此可能导致信息主体受到侵害时不知向何机关寻求救济，也会造成各监管机关因分工不明而相互推诿、逃避职责的现象。此外，《消费者权益保护法》、《网络安全法》、《电信和互联网用户个人信息保护规定》中对个人信息保护的监管分别由工商行政管理部门、电信主管部门、公安部门以及工信部负责。虽然看似各个监管部门在分管领域内分工明确，但消费者领域对个人信息保护的监管仅限于经营者对消费者个人信息的侵犯；电信主管部门也仅对网络信息安全范围内侵犯个人信息进行监管。若出现侵犯经营者个人信息却又未达危害网络安全的情形，就会出现监管空白；而在网络消费盛行的今天，若行为人利用互联网侵犯消费者个人信息，则会出现工商行政管理部门和电信主管部门均有权监管的“重复监管”现象。 

       四、我国个人信息保护行政监管法律体系的建议

      在数字经济时代，个人信息往往因行业内自我规范不足以及个人信息被侵害后救济方式不明确而无法得到有效保护。因此，有效的行政监管在保护个人信息方面有着至关重要的作用。根据我国个人信息保护制度现状，笔者结合全国人大常委会于2021年4月26日公布的《个人信息保护法（草案第二审议稿）》（下称“《个保法（草案）》”）提出如下三点建议：

      （一）加强个人信息保护的事前防范

      《个保法（草案）》第五十五条、五十六条规定个人信息处理者应当对个人有重大影响的个人信息提前进行风险评估，一旦发现个人信息数据泄漏应通知“履行个人信息保护职责的部门和个人”，可见我国已初步建立对个人信息保护的事前防范制度。但《个保法（草案）》第六章关于“履行个人信息保护职责的部门”的相关规定中，第六十条有关部门的职责规定却仅为开展个人信息保护教育、监管工作以及处理相关投诉举报等，对于事前经评估发现可能存在个人信息泄漏风险的情况处理并未有详细的法律指引，由此可能导致事前个人信息风险监管制度最终不了了之。因此，为有效防止个人信息泄漏对信息主体、利害关系人以及社会公共利益造成不利影响，建议除建立“个人信息影响风险评估制度”和“信息泄露和报告制度”外，还应明确个人信息监管部门的职责，尤其是监管部门对事前预防的处理方式，化被动为主动，将个人信息泄漏风险扼杀在萌芽中。

      （二）建立统一和独立的个人信息行政监管部门

      如前所述，我国个人信息保护由多个部门分散监管，相互之间职责分工多有重复或部分空白。因此，设立以“个人信息保护”为主要目的行政监管部门，有助于打破不同行业间个人信息保护壁垒，维护公民个人信息的合法权益。本次《个保法（草案）》的立法模式在监管主体方面有所突破，虽然仍保留了现行个人信息保护各部门分散监管的状态，但其中特别规定个人信息保护工作由“国家网信部门”统筹协调，以防止各部门出现“多头混治”和“权责不明”的情况，是我国个人保护制度的进步。此外，《个保法（草案）》第五十九条第二款还确定了个人信息监管的基层主管部门（县级以上人民政府），推动了行政监管重心下移，有利于处理大量个人信息的管理。

      然，虽然个人信息保护工作已规定由国家网信部门统筹协调有关部门进行处理，但因网信部的监管主要还是特定领域对数据的监管，其主要职责仍是维护网络空间秩序，而非个人信息保护，在协调其他监管部门进行个人信息数据监管时难免力不从心。因此，设立独立的个人信息监管机构仍是我国个人信息保护制度的发展目标之一。以欧盟的个人数据保护制度为例，欧盟于2000年出台的Regulation(EC)No 45/2001中专门设立了独立的个人数据监管局，即欧洲数据监管局（European Data Protection Supervisor,EDPS)，负责监测和管理欧盟成员国内部的个人信息数据处理情况。2018年，随着欧洲《通用技术保护条例》（General Data Protection Regulation,GDPR)的出台，专门对数据监管机构的内部设置、承担责任、权力划分等进行了更为详细的规定。因此，设立一个专门、独立、行政级别较高的行政监管机构负责个人信息数据的有关事项，包括事前预防个人信息泄漏、规范经营者数据收集和利用、接受公民对侵犯公民个人信息罪的投诉举报等，有助于数据行业的健康发展和个人信息有效保护。

      （三）提升监管主体工作人员的专业性。

      大数据时代下，因互联网技术及信息化技术的快速发展，侵犯个人信息的行为也逐渐呈现出技术性特征，各领域的行业特点也使得侵犯个人信息的违法行为逐渐多样化。仍以欧盟为例，欧洲数据监管局内部主管部门设置相对成熟，其中包括监督与实施部门、信息交流部门、政策咨询部门等，使监管部门工作人员在应对个人数据相关问题时更为细致和专业化。因此，我国在设立以监管个人信息为主的行政监管部门的同时，还应要求监管部门工作人员对各领域个人信息问题进行持续性研究以适应不断变化的个人信息保护环境。 

五、结语

当代社会网络信息技术的迅猛发展使个人信息利用的范围和频率达到了前所未有的高度。个人信息保护的行政监管作为个人信息保护制度中至关重要的一环，对个人信息保护的意义重大。但我国由于监管部门分散，在个人信息保护监管方面存在监管部门职责不明，难以起到有效保障公民个人信息权益的问题。《个保法（草案）》的发布不仅确立了以“告知—同意”为核心的个人信息处理规则，亦明确了由“国家网信部门”统筹协调个人信息保护的管理机制，对我国个人信息保护的司法实践提供了强有力的保障。展望个人信息保护监管体系从九龙治水到一超多极不断完善的同时，笔者仍然期待，我国个人信息保护意识的完善可以立足于个人社会、组织社会、网络社会的嬗变背景，逐渐从强调个人信息权利保护的技术性规范转向宪法性权利的建构与深化。

参考文献

1、程啸：《论大数据时代的个人数据权利》，中国社会科学，2018年第3期，第107-108页。

2、陈原：《民法典解读：个人信息保护》，https://mp.weixin.qq.com/s/mvXUG-RMVlP95GOb。

3、邓辉：《我国个人信息保护行政监管的立法选择》，交大法学，2020年第2期。

4、蒋子皓：《风险社会对公民个人信息立法保护的要求》，统计与管理，2020年第36卷第9期。

5、潘永建、杨讯、邓梓珊、刘时宇：《个人信息保护的行政执法实践》，https://mp.weixin.qq.com/s/XGcFCPySfwph7CacxVPyWw

6、杨翱宇：《我国个人信息保护的立法实践与路径走向》，重庆邮电大学学报（社会科学版），2017年第6期。

7、张智浩：《公民个人信息保护现实困境与突破》，洛阳理工学院学报（社会科学版），2021年第36卷第1期。