行政黑名單中相對人個人信息保護的困境及解決途徑

（中國人民公安大學 北京 100038）

1 行政黑名單制度的內涵

行政黑名單制度，是指行政機關針對失信相對人，根據失信相對人的違法失信行為的嚴重程度，將其列入行政機關制定的黑名單，對社會進行公布，從而限制相對人一定行為或者權利的社會治理手段。實際上，行政黑名單與其他黑名單存在如下區別：首先，行政黑名單與其他黑名單制定主體不同，行政黑名單是由行政機關制定和公開，而司法黑名單、行業、企業的黑名單分別由法院系統、各行業協會以及企業制定和公開；其次，制定的目的不同，行政機關制定行政黑名單的目的是滿足行政機關的行政管理工作，而法院系統制定黑名單的目的是解決執行難的問題，所以法院系統制定的黑名單又稱為失信被執行人名單，而企業或者行業制定的黑名單是為了維持行業協會之間的正常運轉。

在行政法學界，行政黑名單制度歸于具體行政行為基本沒有太大爭議，但是對行政黑名單制度的具體行政行為的種類，出現不同的觀點。例如胡建淼教授認為，行政黑名單制度從其法律屬性處罰，應當定性為行政處罰，并且屬于《行政處罰法》中的其他行政處罰方式[1]。此外，還有學者認為行政黑名單制度屬于行政強制，但是這種行政強制不屬于法規范意義上的行政強制，而屬于“間接強制”或者屬于“事實上的強制”[2]。相較于行政處罰中的警告與罰款，行政黑名單制度的懲戒性比警告或者罰款更加突出，相對于行政拘留，行政黑名單制度并非直接限制相對人的人身自由，而是通過公開失信相對人部分個人信息、限制出行工具的使用或者其他手段間接限制相對人一定程度的自由，因此行政黑名單制度兼顧聲譽罰和人身罰的特點。

2 行政黑名單制度對于保護個人信息的困境

2.1 缺少系統的、易于操作的法律

放眼各國保護個人信息的手段，立法是保護個人信息手段中最基礎、最直接的。近年來，我國將保障個人信息的視野轉移到立法層面，經過不斷的研究與探索，我國在個人信息保護的立法不斷進步，但是我國個人信息立法技術與美國和歐盟國家相比，還存在較大差距，需要學習歐盟國家和美國在制定個人信息保護立法的優點。通過法條檢索工具，將關鍵詞列為個人信息，所搜索出的相關法條數量并不少，但是這些條文零散分布在法律、地方性法規等規范文件之中。這些條文規定的既分散，且針對個人信息保護規定的過于原則，缺乏可操作性，所以我國在個人信息保護立法方面仍缺少一部系統的、有針對性的并且易于操作的法律，而2003 年開始起草的《個人信息保護法》至今未出臺，使得個人信息保護在立法方面仍是未成體系狀態。因此，在缺少統一立法的情形下，行政機關制定行政、公開行政黑名單沒有統一的標準，容易不當公開相對人個人信息，并侵害其合法權益造成損害。

2.2 缺少監督機關及完整的監督機制

第一，我國對行政機關的監督方式，主要是以上下級監督和內部自行監督為主，但在個人信息保護的監督中，僅僅依靠上下級之間的監督與行政機關內部的監督達不到有效監督目的，不能保障監督效果。行政機關作為行政黑名單的制定主體，同樣是監督主體，既是制定者又是監督者，往往監督的結果不能使相對人信服。因此在大數據時代，行政機關雖然是加強網絡安全管理、個人信息保護的重要監管力量，但僅依靠自身是遠不夠的。由于個人信息范圍廣泛、技術性強的特點，因此需要建立專門監督機構，在行政機關內部進行自我糾錯的同時，通過專門機構進行外部監督。但是根據目前我國個人信息監管途徑來看，我國尚未建立個人信息保護的專門監督機關[3]。

第二，監督機制方面，我國重視事前與事后的監督，而忽視事中監督。缺少個人信息保護的事中監督，意味著監督缺少必要的監督環節，造成個人信息保護的監督制度不完善。

2.3 救濟途徑尚未完善

行政復議、行政訴訟以及行政賠償是行政法上最主要的救濟方式。由于立法存在滯后性，依據現行的行政救濟相關的規定，相對人個人信息保護受到行政機關的侵害，是否可以提起行政復議、行政訴訟以及行政賠償并沒有明確規定。因此行政黑名單的制定公開行政主體侵犯相對人個人信息權利，相對人在尋求救濟上缺少完善的救濟手段。

3 失信相對人個人信息的保護路徑

通過上述對失信相對人個人信息保護的困境進行分析，可以將失信相對人個人信息保護路徑從立法層面、監管層面、救濟制度層面以及技術層面進行展開。

3.1 制定符合國情且具有可操作性的個人信息保護法律

美國和歐盟國家在個人信息保護立法方面在世界中處于領先地位，盡管二者在個人信息保護立法上選擇了截然不同的模式，但美國和歐盟都已經建立了完善的個人信息保護法律體系。此外，歐盟與美國除制定原則性的個人信息保護法律外，為適應不斷發展的大數據、個人信息方面的技術，美國頒布了專門行業中個人信息保護的法律，在歐盟則啟動新的立法程序。

我國的個人信息保護立法，首先需要厘清個人信息與其他易混淆的概念，以及明確行政機關制定、公開行政黑名單涉及個人信息的公開范圍，規定個人信息公開時，行政機關需要遵守的程序，例如進行事先審查，明確個人信息公開的主體是否合法、是否符合個人信息保護的基本原則、是否遵守個人信息公開的告知、聽證程序等。特別是公開失信相對人的個人信息，更需要謹慎對待，防止過度公開和不當公開的情形。其次，確立適合我國國情的個人信息保護應當遵守的原則，個人信息保護應遵循的基本原則早在1980 年OECD 公布的《關于隱私保護和個人數據跨疆界流動的指導原則》中有所體現，其中規定的八項原則具有權威影響力，對我國個人信息立法具有一定指導意義[4]。

個人信息保護的法律制定中需要對能夠收集、公開個人信息的主體范圍進行限制，而現階段我國可以收集、公開失信相對人的行政主體過多，易造成失信相對人的個人信息的泄露。此外，行政黑名單制度不但需要限制制定、公開失信相對人個人信息的行政主體，而且需要與之相配套的程序保障，我國應當在制定個人信息保護的法律同時輔以嚴格的程序規定，例如說明理由、聽取意見、必要時聽證等程序，構成個人信息保護的完整程序規定。但是，法律的制定需要時間，通過多次討論、研究才可以出臺，因此在制定個人信息保護法的空檔期中，可以先由國務院制定個人信息保護的法規，對收集、公開失信相對人的行政主體進行限制，規范可公開的范圍，并且制定收集、公開個人信息的程序，保障程序的完整性，使下級行政機關有章可循。

3.2 明確個人信息保護的監管主體及監督方式

首先，應當明確個人信息保護的監督主體。失信相對人的個人信息保護需要設置有效的監督部門對負有制定和公開行政黑名單的行政機關進行監督和管理，因此在制定個人信息保護法時，應當考慮監管機關的設置。目前我國對個人信息保護的監督主要工信部負責，所以我國在設置個人信息保護的監督機關時，可以由工信部作為主要監督部門，在各地設置個人信息監管部門，由工信部垂直領導，實現個人信息保護的有效監督。

其次，完善個人信息保護監督部門的監督方式。按照以往的監督方式，監督的重心放在事后，忽視事前和事中的監督。因此在明確個人信息保護監督機關的職責的同時完善監督方式，將監督貫穿于個人信息保護的全過程，即行政主體在制定公開行政黑名單前，經過監督部門的審查，符合法律規定的方可公開；在事中，行政機關公開后由負責公開的行政機關與監督機關共同負責事中的個人信息保護，及時對公開主體的不當行政行為進行糾錯，對侵犯失信相對人個人信息的行為進行嚴厲打擊處理，追究其行政責任或刑事責任；在事后，失信相對人履行行政機關確定的義務后，及時消除已公開的相對人個人信息，防止失信相對人的個人信息泄露。

3.3 完善個人信息保護的救濟制度

在信息爆炸式增長的年代，行政機關在公開行政黑名單懲戒失信相對人時，稍有不慎就會侵犯相對人的個人信息合法權益，只有建立完善的個人信息保護救濟制度，才能充分保障失信相對人的個人信息權利。行政主體在制定、公開行政黑名單時，若侵犯相對人的合法權益，相對人除對侵犯其個人信息的違法人提起民事訴訟之外，行政機關也應當在存在過錯的部分承擔相應責任。因此完善個人信息保護的救濟制度需要探索民事、行政、刑事三種救濟途徑的有效銜接。

3.4 完善個人信息保護的技術手段

行政機關在制作和公開失信相對人的個人信息時，公開的只是相對人個人信息的一部分，但是行政機關收集的相對人個人信息涵蓋的范圍較廣，遠超過公開的部分，而未公開的部分儲存在行政機關內部設備中。隨著大數據等技術的飛速發展，黑客侵入計算機系統、行政機關內部網絡存在的漏洞等都會導致相對人個人信息的泄露，并且這些導致個人信息泄露的因素不能也不可能完全杜絕，因此在技術層面建立數據泄露通知制度，對于行政機關預防和及時制止個人信息泄露具有重要意義[5]。這一制度不但可以幫助行政機關對侵犯個人信息的違法者進行追溯、降低執法成本。此外，在技術層面還可以建立個人信息相關數據的處理登記制度，利用登記手段，可以監督內部機關工作人員是否存在泄漏個人信息的行為，這一制度實質上屬于備案的一種，將處理個人信息數據的控制者針對個人信息所作出的行為及時上傳到監管部門。法律手段與技術手段相結合，共同保護失信相對人的個人信息。

4 結語

行政黑名單制度的設計初衷是通過社會輿論、限制其一定權利等手段迫使相對人及時履行行政機關所確定的義務。行政主體在利用失信相對人的個人信息時很可能造成信息泄露，使相對人個人信息受到侵害，所以我國需要適應本土特點的個人信息保護立法、行之有效的監督程序和救濟制度，并且在技術層面，需要科研人員不斷探索，設計出有利于保護個人信息的技術手段，綜合多種手段，推進我國信用社會的發展以及保障個人信息的安全。