大數據背景下個人信息收集和使用的行政法規(guī)制

王春業(yè) 費博

[摘 要]大數據時代，對個人信息收集和使用越來越頻繁，在帶來更多便利的同時，存在市場主體對個人信息收集和使用的諸多亂象，包括收集的隨意性、過度性及對信息的管理和使用缺乏規(guī)制，嚴重損害公民的權利，甚至誘發(fā)許多犯罪行為，迫切需要行政法的介入和規(guī)制。個人信息保護涉及眾多人的利益，行政法規(guī)制具有現實的必要性。與民法保護、刑法規(guī)制相比，行政法規(guī)制具有對個人信息保護的完整性、系統(tǒng)性及更加快捷、高效等特點，更適應大數據時代的現實需要。加大行政法的規(guī)制，關鍵要建立和完善個人信息行政許可制度，避免對個人信息收集的隨意性，從源頭上加以控制;完善定期檢查制度，建立信息使用留痕可追蹤制度，創(chuàng)新動態(tài)化的監(jiān)測評價機制;探索多種責任追究方式，使違規(guī)者受到應有懲罰。

[關鍵詞]大數據時代;個人信息保護;行政法規(guī)制

中圖分類號：D923 文獻標識碼：A 文章編號：1008-410X（2021）03-0072-08

當代社會，個人信息在社會交往中所承載的功能越來越多，其發(fā)揮的作用也越來越大，在個體參與社會化活動的過程中發(fā)揮著愈來愈重要的功能。尤其是隨著網絡信息技術的發(fā)展，人們利用個人信息參與社會交往，開展經濟活動，參加諸如求職、購物、旅游等活動已經成為當代公民生活的常態(tài)。然而，如何確保在順利進行社會活動的同時保護合法權益，防止相關公司企業(yè)等市場主體隨意收集和濫用公民個人信息，甚至因管理不善或故意買賣而泄露個人信息現象的發(fā)生，成為當下必須解決的問題，也是目前需要加強研究的問題。

一、對個人信息收集和使用出現的問題及其后果

（一）對個人信息收集和使用出現的問題

隨著信息時代的到來，需要提交個人信息的場合越來越多，有些是必要的，廣泛存在于求職、購物、疫情防控等與公民生活息息相關的領域：在個人求職時，必然需要提交較為完整的個人簡歷，以便讓用人單位對求職人員有充分的了解，其中涉及個人的諸多信息，而且一般都需要通過網絡信息平臺進行提交;在購物時，需要通過購物平臺遞交郵寄商品的個人住址、手機號碼，有的還需要身份驗證等，以便準確發(fā)送所購買的商品;為了防控疫情，各地使用了健康碼，需要下載相關軟件，填寫個人身份證號碼、手機號碼、家庭住址、行蹤等個人信息。然而，并非所有對個人信息的收集都是必要的，也存在許多不必要而隨意收集的現象，以至于出現一些亂象。

1.收集的隨意性。由于在信息收集前不需要批準或履行特定程序，一些主體尤其是市場主體往往自行決定收集個人信息的內容、范圍甚至深度。現實生活中就出現了某居民小區(qū)安裝人臉識別系統(tǒng)，對業(yè)主的人臉圖像、身份等信息進行收集的現象;甚至有公廁要求必須通過人臉識別才能取用衛(wèi)生紙

。一些企業(yè)公司往往通過店堂告示和短信方式通知消費者提供個人信息，對于收集消費者什么樣的個人信息，怎樣收集個人信息，企業(yè)公司則享有控制權和主導權。“在整個信息處理過程中，信息主體始終處于被動的境地，甚至對于自己的信息如何被收集、處理及使用的都全然不知”[1]。

2.收集的過度性。理論上講，任何單位收集個人信息都應當以自身需求為限，本著保護個人隱私和最小干預的原則進行收集。然而，由于當前應當以什么樣的標準去界定收集個人信息的剛性規(guī)定不足，導致許多主體存在著超過自身需求而過度收集公民個人信息的現象。特別是一些單位往往以所謂的公共安全、管理需要為借口，過度收集甚至濫用公民個人信息，“商品服務提供者會盡可能對個人信息進行全面采集和分析，出現超范圍收集，誘導式收集”[2]。一方面，從市場主體參與經濟活動的角度來看，在中國人臉識別第一案即郭某訴杭州野生動物世界的案例中，除了體現當代公民對個人信息保護的意識不斷增強外，當前諸多市場主體存在對公民個人信息過度收集的現象也可以透過本案予以折射。

各類市場主體往往基于謀取經營利潤、擴大經營規(guī)模的目的，從自己的角度出發(fā)去決定收集個人信息的范圍、程度和方式。從這樣的單一視角出發(fā)所作出的行為，若沒有剛性法律法規(guī)的有效制約，容易導致漠視公民個人信息所隱含社會價值的不良后果。從開始收集姓名、手機號碼，到后來收集指紋、人臉識別等更加敏感和重要的個人信息，呈現收集的過度性問題。另一方面，從當前城市化過程中社會管理的角度來看，亦需要處理好有效管理與合理使用公民個人信息的關系。誠然，通過互聯網、大數據的信息分析能夠有效實現城市各個領域管理的智能化、規(guī)范化，但哪些管理手段的運用需要收集公民個人隱私信息？要想在這些領域實現高效管理的效果是否必須犧牲部分的個體隱私？這些都是有待于進一步探討的問題。

3.信息使用缺乏規(guī)制。任何主體出于管理的需要，對收集到的個人信息都應當限于工作上的使用，而不能用到管理之外。然而，一些主體，尤其是一些企業(yè)公司超出自身的使用范圍，運用到不該使用的領域;不僅自己使用，還放任其他主體使用;還因信息管理不善，出現買賣個人信息的現象。在招聘領域就有某些平臺對外明確表示，要想獲得其他人在該網站上投遞的簡歷信息，“只要購買企業(yè)招聘賬戶，在平臺上進行充值，就能查看、下載簡歷”[3]。在這些網絡招聘平臺中，往往借用充值的表象間接販賣個人信息，這種對于查看他人信息的權限沒有有效規(guī)制的行為極易成為非法交易個人信息的重災區(qū)。

（二）對個人信息收集和使用缺乏規(guī)制的嚴重后果

對個人信息收集和使用不當，甚至泄露、買賣等，產生了諸多問題，引發(fā)更為嚴重的后果。2020年12月7日發(fā)布的《中國網絡誠信發(fā)展報告》顯示，28.5%的被調查者表示曾經常遭遇個人信息泄露，32.7%的被調查者表示有時遭遇個人信息泄露。

1.對公民個人權利造成嚴重侵害。個人信息涉及公民諸多重要信息，相關主體的隨意過度收集和違規(guī)使用等對公民權利造成多方面危害，其中最主要的是對公民隱私權的侵犯及由此而來的對公民日常生活的影響。首先，侵犯了公民隱私權。所謂隱私，是指涉及公民個人且除非出于必要外公民一般不愿對外公開的信息。一些主體濫用優(yōu)勢地位，過度收集公民個人信息，是對公民隱私權的侵犯;而那些濫用甚至泄露、買賣個人信息的行為，更是對公民隱私的最大侵犯。當下，一些市場主體在日常經營中會接觸到大量用戶的個人信息，有些互聯網企業(yè)本身就是通過數據來實現盈利的。

在這種情況下，由于相關主體對用戶個人信息的使用沒有較為統(tǒng)一嚴格的標準，加之內部管理存在的缺陷，導致泄露個人信息、侵犯公民隱私的現象時有發(fā)生。其次，破壞了公民生活安寧狀態(tài)。

個人信息被泄露之后，就容易成為各類商家的“潛在目標”而遭遇大量的電話和短信騷擾。

甚至由此還出現個人名譽無端受到詆毀等問題，嚴重破壞了個人正常生活的安寧。再次，給公民日常交往帶來諸多煩惱。

為了便于與親朋好友聯系，公民一般都建立了好友通訊錄，有了較為固定的聯系人。而一些科技公司在公民下載或使用某APP時，往往變相要求公民授權公司訪問其私人空間，包括使用其通訊錄。在獲取公民個人隱私信息后，一些廣告公司不僅向使用APP的公民發(fā)送各類騷擾信息，還向該公民通訊錄中的其他聯系人發(fā)送，且在發(fā)送時標注該公民的個人信息，以此獲得其他聯系人的信任，由此造成公民與其聯系人之間的誤解，帶來交往中的各種煩惱。

2.為違法犯罪行為提供了溫床。“在大數據時代，網絡信息具有高價值屬性，網絡信息在被非法獲取、非法傳播和非法濫用之后，往往會伴隨著進一步侵害相關權益的后續(xù)犯罪行為，這是網絡安全犯罪產業(yè)鏈的最后一環(huán)”[4]。個人信息包含了眾多有價值的信息，例如，在招聘簡歷中就有個體的身份證號、照片、手機號碼等重要信息，有的還涉及公民的購物、住宿、行程軌跡等記錄，這些個人信息一旦被泄露，極易被不法分子非法利用，為他們的犯罪提供溫床。目前，許多侵犯人身安全類型的犯罪，如非法拘禁罪、綁架罪等均與犯罪分子掌握了受害人的精確個人信息有關。此外，在當今網絡時代，傳統(tǒng)的侵犯公民財產權的犯罪行為已經逐漸轉移到網絡空間，犯罪分子通常根據被害人的相關信息編輯有針對性的詐騙短信，誘使受害者落入圈套，也經常利用其獲得的受害人個人信息在網絡上實施詐騙、盜取銀行賬號等違法犯罪行為。網絡信息技術的發(fā)展提升了個人信息的重要地位，增加了其社會價值。個人信息已經不再純粹地只是個體參與社會交往的符號，更多地與私主體的人格利益、財產利益緊密聯系。分析諸多網絡詐騙案件，追根溯源大多是因為網絡服務的提供者和經營者沒能很好地履行有效保護個人信息的義務，導致消費者的詳細購物信息被泄露，造成詐騙案件的發(fā)生。雖然在這些案件中部分消費者也存在防范意識不強、主觀上疏忽大意等過錯，但不可否認的是網絡平臺和銷售公司在個人信息使用方面存在管理缺陷。市場主體對于個人信息保護的缺失極易誘發(fā)關聯犯罪行為，不僅給受害者帶來傷害，也給整個社會造成極大恐慌。

二、加強個人信息收集與使用行政法規(guī)制的必要性與可行性

（一）個人信息收集和使用涉及公眾利益

1.社會性侵權現象使得眾多人權利受到侵犯。“小數據時代的個人信息侵害事件具有孤立性、個體性、靜態(tài)性，基本可以還原為信息處理者對某一信息主體的單獨侵權。而大數據時代的個人信息侵權以社會性侵權為主”[5]。所謂社會性侵權主要指，由于集中大量個人信息的企業(yè)公司自身的疏忽而導致大規(guī)模的信息泄露。2020年發(fā)生的圓通公司內部員工與外部不法分子相互勾結共同販賣涉及大量公民個人信息的事件就是一個典型的社會性侵權事件[6]。隨著個人信息數據集中在部分市場主體手中，其被泄露的潛在風險也在增加。這種大范圍的信息泄露由于其損害后果難以控制，一旦發(fā)生，救濟的難度也比以往更大。2019年耿某以謀取不法利益為目的，將其在一家早教公司任職期間所獲取的3549條個人信息進行非法出售，導致大量公民個人信息被泄露。

在這起事件中，被告人耿某所任職的早教公司同樣難逃信息泄露的責任。可見，個人信息收集和使用及由此造成的嚴重危害結果已不僅僅關乎個人權益，在更大程度上成為一種亟待解決的社會問題。

2.“大數據殺熟”現象影響了眾多消費者的選擇權。在當今市場經濟交往過程中，“網絡算法技術”在互聯網企業(yè)經營中扮演重要角色。通過對收集而來的海量個人信息進行分析整理，了解用戶喜歡什么類型產品、其購買習慣和購物傾向等;通過對消費者在網絡上的瀏覽記錄、購物記錄的分析，互聯網企業(yè)可以針對不同的消費者制定不同的策略。互聯網企業(yè)根據用戶的個人信息精確推送相關產品信息，讓購買者的眼光局限于被商家劃定的范圍，損害了消費者在同等情況下廣泛選擇商品的權利，其中，“大數據殺熟”現象是近段時間的社會熱點。“大數據殺熟”是指互聯網企業(yè)通過分析對比不同消費者的購物信息，對消費者的消費傾向和習慣作出預測，根據用戶的差異收取不同費用。“當平臺經營者擁有市場支配地位、數據的收集與運用能力，將會積累起隱性侵害熟客消費者的能力”[7]。2019年3月北京市消費者協會發(fā)布的“大數據殺熟”問題調查結果顯示，88.32%的被調查者認為“大數據殺熟”現象普遍或很普遍，56.92%的被調查者表示有過被“大數據殺熟”的經歷[8]，由此造成眾多消費者喪失了對不同商品價格對比和選擇的權利。

對多數人利益造成侵害，對公共利益造成危害，需要公法的介入，而行政法作為典型意義上的公法，對于保護眾多人利益具有非常重要的作用。社會經濟的發(fā)展和運行當然需要自由市場規(guī)則的約束，也允許各類社會組織的自治，但如果某種事物的發(fā)展超越了市場規(guī)則調控能力和范圍，并且對社會大多數人的利益或社會利益造成重大影響時，就需要行政法的介入來保障公共利益得以有效維護。這是當前我國行政法介入市場主體活動、調整個人信息收集和使用的理論基礎。“公共利益應當成為行政法適用和解釋的普遍原則，一切行政行為的目的、動機和旨趣皆應著眼于維護和促進公共利益”[9]，“不少學者已經明確意識到個人信息上并非僅有私法屬性，還具有某種公共利益的屬性”[1]，基于維護公共利益的角度，應當由行政法介入、調整和規(guī)范。

（二）行政法對于個人信息保護具有完整性和系統(tǒng)性

對公民個人信息權利的保護，有民法和刑法的保護，并都具有一定的效果，但其不足也是顯而易見的。

就民法保護而言，民法典的出臺對個人信息保護問題作了積極回應，將個人信息作為一項新的人格利益予以保護。民法典第111條規(guī)定：“自然人的個人信息受法律保護。任何組織或者個人需要獲取他人個人信息的，應當依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息”。據此，自然人的個人信息遭受侵害的，可以依據民法典的規(guī)定對自己合法權益予以保護。然而，通過民事救濟方式來保護公民個人信息仍然有諸多局限。一是民法對個人信息的保護范圍不夠完善。雖然民法典第1034條規(guī)定了“個人信息包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等”，但除此之外的其他個人信息能否都將其認定為民法所保護的民事權益，這個問題尚待解決。“以傳統(tǒng)民事權利話語體系界定個人信息權利，將個人信息保護納入私法人格權范疇，與隱私權并列在一節(jié)中，必然會出現邏輯矛盾與實踐沖突”[10]。二是民法保護忽視個人信息保護的社會效果。民事法律往往強調個人信息受到侵犯后對個人的補償和賠償，卻忽視已經造成的信息泄露的社會風險，當出現經濟或精神損失的時候對受損方予以補償，而對造成信息泄露的社會風險如何來調控，民事法律規(guī)范沒有辦法解決。

就刑法保護而言，刑法是事后懲戒的規(guī)制方法，對嚴重破壞社會秩序的犯罪行為予以最為嚴厲的刑事制裁。當前涉及個人信息收集和使用而侵犯公民權利可能觸及犯罪的，主要有刑法第235條之一“侵犯公民個人信息罪”和第286條之一“拒不履行信息網絡安全管理義務罪”，對這兩種犯罪都通過司法解釋的形式規(guī)定了構成犯罪所要求的泄露個人信息的數量。然而通過刑法規(guī)制并不能達到完全打擊對個人信息泄露行為的社會效果。

一是刑法規(guī)制忽視先期階段信息泄露風險。大數據背景下隱私信息的泄露可分為前期市場主體對個人信息收集和使用的環(huán)節(jié)及后期階段個人信息被非法買賣的環(huán)節(jié)。刑法更強調后期階段對非法交易個人信息行為的處罰而忽視前期階段已有的信息泄露風險。在周某非法買入個人信息案中，涉案當事人雖然受到了法律的嚴懲，但非法買入的個人信息是如何獲得的，這些個人信息流入市場又經歷了怎樣的非法流轉？這些前期個人信息泄露的風險及其防控顯然不在刑法的規(guī)制范圍內。二是刑法規(guī)制個人信息泄露類行為的預防性效果不明顯。針對個人信息泄露和買賣的違法犯罪行為，刑法通過對涉事單位和個人以嚴厲的懲罰來達到特殊預防的作用。然而從整體上看，個人信息從收集、正常使用到非法泄露是一個復雜的過程，僅僅在已經發(fā)生信息嚴重泄露后對其進行懲罰難以達到一般預防的社會效果。

可見，雖然刑法和民法分別通過相應規(guī)則對侵犯公民個人信息的行為進行彌補或懲罰，但都是基于個人信息出現被泄露的損害后果之后進行的。“我國現行立法關于個人信息保護的規(guī)則主要是從基本民事權利的角度作出規(guī)定，此種粗線條的規(guī)則可能無法為特定場景下個人信息權利的保護確定具體規(guī)則”[11]。應建立一套完整的關于個人信息從收集到最后有效發(fā)揮價值的全流程制度，只有這樣才能基于事前預防和有效管理的角度保護社會化的個人信息，而不是坐等發(fā)生嚴重后果時才去彌補。與刑法、民法基于社會關系受到破壞和個人權益受損后的救濟不同，行政法對個人信息保護不是基于某一個點，而是基于一個完整的覆蓋面。通過行政法的規(guī)制，可以解決個人信息如何收集、如何使用及市場主體如何流轉個人信息等一系列問題。因此，有必要通過完善行政法律法規(guī)，構建對個人信息防護的立體網絡，從源頭上解決侵犯個人信息的諸多問題。

（三）行政法規(guī)制具有快捷高效的優(yōu)勢

與其他保護方式相比，行政法規(guī)制具有快捷、高效的獨特優(yōu)勢。以與民法保護比較為例，一方面，民事法律對個人信息的保護存在過程漫長、舉證復雜等特征。受害人因為個人信息被泄露，如果想通過法院審理程序獲得賠償，不僅前期要搜集證據，往后也要經歷開庭、舉證、宣判、執(zhí)行等較為漫長的過程，“由于傳統(tǒng)侵權法對損害要件強調存在‘實際經濟損失或‘嚴重精神損害，受害人受舉證責任規(guī)則的約束，事實上也難以得到法院支持賠償的判決”[12]。行政法規(guī)制對個人信息保護則不同，其強調高效、快捷地制止各種違法行為，可以及時有效地填補相關過程中存在的漏洞。另一方面，用民事規(guī)制的方法由公民個人進行維權，秉承不告不理原則，往往還會出現因為被侵權人的“忍氣吞聲”而放縱侵權行為的現象。

而行政法規(guī)制，即使被侵害人不主動維權，相關部門發(fā)現后也有權主動介入，不僅貫穿事前預防、事中監(jiān)督和事后處理等個人信息保護的全過程，也可以綜合運用包括風險管理、調查和處罰等多種手段，在制止侵權行為方面具備快速和便捷的特點[13]。

實際上，針對日常生活中個人信息受到非法收集和使用的現象，越來越多的民眾選擇向有關部門進行舉報。自2019年1月起，“中央網信辦、工信部、公安部、市場監(jiān)管總局聯合開展APP專項治理行動以來，相關舉報平臺已收到近8000條舉報信息”[14]。隨著個人信息在公民參與社會交往中作用愈加重要，社會公眾對保護自己隱私信息呼聲也日漸高漲，對加強個人信息收集使用的行政監(jiān)管呼聲日趨強烈，更顯示行政法在保護個人信息中的獨特作用。

三、個人信息收集和使用的行政法規(guī)制路徑

（一）建立個人信息收集的行政許可制度

作為一種具有社會價值的資源，對個人信息收集和使用不應毫無限制，應當建立門檻化的信息收集標準，有利于對個人信息進行完整保護。針對當前市場領域許多主體隨意收集公民個人信息的亂象，有必要考慮建立對個人信息收集的行政許可制度，“行政許可，系指特定的行政主體，根據行政相對人的申請，經依法審查，作出準予或不準予其從事特定活動之決定的行政行為”[15]（P263），相關主體只有在行政機關審查并被賦予相應資格后，才能對公民個人信息進行收集，否則，就是違規(guī)。這樣制度設計的優(yōu)勢在于：一是能夠有效規(guī)范相關市場主體的信息收集行為，有效避免對個人信息收集的隨意性;二是能夠明確市場主體收集和使用個人信息的權限，有效避免超越需要的收集行為;三是有助于強化企業(yè)責任，促進各類主體加強自我管理和自我糾錯。

1.明確個人信息收集的“不可替代”原則。當前，關于經濟生活中對個人信息進行收集要堅持必要性原則已成為社會關注的重要內容，必要性原則在相關部門所制定的管理辦法中已經有所體現，在2020年國家互聯網信息辦公室發(fā)布的“應用程序必要個人信息范圍”征求意見稿中，就對38類常見應用程序必要個人信息范圍進行了分類整理[16]。然而，從當前經濟社會交往現狀看，該必要性原則仍然存在進一步完善的空間。在相關規(guī)范中體現的必要性原則往往以“提供服務所必需”“基于管理的需要”等內容體現出來，但僅僅考慮該個人信息是否為提供服務所必需似乎不能有效界定其必要的程度。為此，當下在對個人信息收集的行政許可中，不僅要將必要性作為一個重要原則加以明確，并作為行政許可的重要前提，還要進一步將其發(fā)展為“不可替代”原則，在必要性原則中加入“不可替代性”的考量因素，只有信息收集者證明該個人信息的收集不僅僅是必要的，而且不存在其他可替代性措施時，才符合信息收集的條件，才能獲得信息收集的行政許可。

2.實行信息收集的多元許可標準。個人信息內容的豐富多樣，在不同領域不同經濟交往中需求也不同。“現今越來越多的學者及機構傾向認為，隱私及個人信息保護的邊界并非固定、僵化的，而是主觀的、動態(tài)的，并受多重因素影響，何以構成個人信息的合理使用，在不同的場合均不盡相同”[17]。因此，行政機關對于個人信息收集的許可中，應避免采取“一刀切”方式，而應當結合當前經濟社會活動的不同領域制定多元化的信息許可標準，才能夠保障在經濟社會活動各領域信息收集的安全性和使用的有效性。

一是根據不同行業(yè)領域確定不同標準。隨著經濟的深度發(fā)展，新的市場消費模式不斷涌現，整個市場被劃分為不同的消費領域。雖然個人信息成為當今人們進行經濟交往和社會交往經常使用的工具，但并不是每個領域對于個人信息的需求都是相同的。有些涉及高度秘密性和隱私性的經濟交往通常需要更多更完整的公民個人信息，而有些具有一定社會公開性的領域，則只需收集簡單或初步的個人信息即可。為此，需區(qū)別不同行業(yè)領域，明確其信息收集的具體權限，并采取相應的許可標準。二是根據對個人信息使用目的來確定許可標準。按照不同行業(yè)領域初步劃分不同主體信息收集的標準后，還需進一步針對具體市場主體的經營目的確定更為具體的許可標準。即便是在同一市場領域，不同主體由于其具體經營需求和目的不同，對于個人信息的收集也并非完全一樣。

3.加強行政許可中申請材料的完備性審查。申請收集個人信息的相關市場主體應當基于自身經營目的和實際需要，向行政機關提交申請資料;在收到申請后，相關行政機關應當按照法律法規(guī)和申請主體情況進行評估，若認為該主體的信息收集行為符合法律法規(guī)，同時與該主體的自身需求相契合，就可以為其頒發(fā)信息收集許可證。

申請主體所提交的申請資料應當包含收集個人信息的類型、信息收集的作用、信息使用具體規(guī)則、提供技術支持的相關公司信息等。這里尤其要加強對提供技術支持的公司情況的審查。由于個人信息收集的行政許可不同于一般意義上的行政許可，在各類市場主體利用大數據收集個人信息時，經常會聘請相關技術公司作為技術支持，由這些技術公司對個人信息的收集和使用提供幫助，而這些提供技術支持的公司，往往在公民個人信息收集和使用中起到關鍵的作用。如果對他們不進行有效監(jiān)管，就難以真正實現對公民個人信息的有效保護。根據當前狀況，消費者在與各類主體進行經濟交往時，普遍反映針對個人信息管理和運行的透明度不夠。許多消費者既不清楚在公司企業(yè)背后負責管理個人信息的相關主體是誰，又對這些市場主體能否保障信息安全不盡了解。當大數據技術提供公司信息“不透明”成為普遍現象，個體維護自己的信息安全更無從談起。因此，在信息收集主體申請行政許可時，行政機關應當督促這些主體完善申請信息，不能忽視技術支持的關聯企業(yè)，應將這類技術公司的相關情況也作為申請材料的一部分向行政機關提交并接受行政機關的審查。

（二）建立動態(tài)化監(jiān)測評價機制

建立各類主體對信息收集的許可制度，彌補了在個人信息收集環(huán)節(jié)缺乏監(jiān)管和規(guī)制的缺陷。但如果只有在初始階段的信息收集許可而沒有對后續(xù)個人信息使用的持續(xù)監(jiān)管，同樣不能堵住個人信息泄露甚至買賣的漏洞。以往行政許可只在企業(yè)違反法律法規(guī)規(guī)定時才對其進行處罰，達不到應有的目的和效果。因此，完善行政許可之后的事中監(jiān)督檢查機制必不可少。換言之，市場主體對信息收集的權限不應當是“一朝許可”而獲得“終身權限”，注重企業(yè)獲得行政許可之后的運營和管理同樣重要。

1.完善定期檢查制度。“個體的信息安全若想得到有效和及時的保護，對于數據運營者和控制者的責任規(guī)制就顯得尤為必要”[18]。出于對個人信息安全的考慮，完善定期的監(jiān)督檢查制就顯得非常必要。有時市場主體在對個人信息收集時其行為并無不妥，使用中卻出現了違法違規(guī)問題。信息收集的合法合理并不能保證信息使用環(huán)節(jié)不出現疏漏，兩者一個是前期信息收集的權限問題，另一個是中期過程中信息管理的規(guī)范問題。各類主體特別是私營公司企業(yè)，要想達到個人信息使用環(huán)節(jié)的低風險目標，就需要通過加強內部管理規(guī)范，完善體制機制來實現。而這個過程的實現，既需要企業(yè)自身發(fā)現問題及時糾正，又需要行政機關外部的合理監(jiān)督。相關行政機關必須建立常態(tài)化的監(jiān)測評價機制，發(fā)現相關主體在個人信息管理和使用方面存在的問題，及時采取措施督促其限期整改，并與其收集和使用個人信息的權限掛鉤。只有這樣，信息收集權限的許可才是一個動態(tài)可評價的狀態(tài)，有利于加強對信息收集使用的有效監(jiān)管。

2.建立信息使用留痕可追蹤制度。在大數據背景下，如果不注重對信息使用痕跡的追蹤，在發(fā)現信息泄露、濫用等問題時，很難對相關責任主體進行追責和懲罰。因此，在對個人信息使用領域確立可追蹤原則是保護個人信息的必然要求，也是有效推進信息泄露、濫用等行政問責的必要保障。要通過行政法律規(guī)范確立信息收集主體使用信息可追蹤原則，明確各類市場主體對其收集個人信息的使用應當“留有痕跡”，記錄網絡后臺數據海量的個人信息用在什么地方、如何被使用等“痕跡”，確保可以被追蹤，有利于督促眾多市場主體轉變原來的信息使用方式，為個人信息安全提供有力保障。

（三）探索多樣的責任承擔方式

1.完善全鏈條式的行政追責機制。現實中，行政機關針對侵犯公民個人信息的行為往往只對直接的主體進行追責，沒有對其他相關主體一同追責，不能有效切斷信息泄漏、濫用、買賣等全部鏈條。實際上，對公民個人信息的侵害往往涉及較多主體，不能僅對其中某個或某幾個主體進行處罰，而應該讓涉案的全部主體承擔相應的法律責任。既要對違法使用者進行追究，也要對信息的來源、傳輸等環(huán)節(jié)上的主體進行制裁，對所有與侵犯該個人信息相關的鏈條企業(yè)進行處理，由此建立一個全鏈條式的追責機制。只有這樣，才能夠更有效地打擊各類侵犯公民個人信息的行為。

2.運用多種行政手段加大懲罰力度。“目前我國行政法律法規(guī)對侵害個人信息行為的行政罰款多采取封頂式，罰款額度各異，最高也未超過100萬元，從具體的行政執(zhí)法實踐來看，罰款金額也普遍較低”[19]。實際上，當前對侵犯公民個人信息行為不僅存在罰款力度偏低問題，更重要的是，以行政罰款為主要懲罰方式具有較大片面性。單純通過行政罰款的手段去監(jiān)督相關市場主體行為，可能會因為罰款力度不足而難以引起相關企業(yè)的重視，因此，有必要運用多種行政制裁手段。一是吊銷相關主體對個人信息收集的許可，或降低其收集信息的范圍和權限，達到剝奪或減少其收集個人信息權限的目的。二是將違規(guī)收集或使用個人信息的主體納入征信系統(tǒng)，進行失信懲戒。一方面，對管理不嚴、販賣個人信息謀利的企業(yè)向社會公開，提醒廣大公民警惕;另一方面，對其相關行為或權利予以限制，達到降低名譽、限制權利等多重效果，并將其對個人信息收集與使用情況與其在該領域的行政許可掛起鉤來。

參考文獻：

[1]時明濤.大數據時代個人信息保護的困境與出路——基于當前研究現狀的評論與反思[J].科技與法律，2020，（5）.

[2]朱方彬，宋宗宇.大數據時代個人信息權保護的法制構建[J].山東社會科學，2020，（7）.

[3]趙紅斌.杜絕簡歷倒賣招聘平臺責無旁貸[N].嘉興日報，2020-12-09.

[4]田 剛.網絡信息安全犯罪的定量評價困境和突圍路徑——大數據背景下網絡信息量化標準的反思和重構[J].浙江工商大學學報，2020，（3）.

[5]王懷勇，常宇豪.個人信息保護的理念嬗變與制度變革[J].法制與社會發(fā)展，2020，（6）.

[6]岳振廷.要筑起公民個人信息安全的“防火墻”[J].企業(yè)觀察家，2020，（11）.

[7]曹彥君.肆虐的大數據殺熟[J].21世紀商業(yè)評論，2021，（1）.

[8]許 諾.北京市消協發(fā)布“大數據殺熟”問題調查結果[DB/OL].[2021-02-13].http：//www.xinhuanet.com/fortune/2019-03/28/c_1124292767.html.

[9]劉 國.個人信息保護的公法框架研究——以突發(fā)公共衛(wèi)生事件為例[J].甘肅社會科學，2020，（4）.

[10]周漢華.個人信息保護的法律定位[J].法商研究，2020，（3）.

[11]王葉剛.網絡隱私政策法律調整與個人信息保護：美國實踐及其啟示[J].環(huán)球法律評論，2020，（2）.

[12]孫 瑩.大規(guī)模侵害個人信息高額罰款研究[J].中國法學，2020，（5）.

[13]鄧 輝.我國個人信息保護行政監(jiān)管的立法選擇[J].交大法學，2020，（2）.

[14]中央網信辦.APP專項治理行動已收到近8000條舉報信息[DB/OL].[2021-03-10].http：//it.people.com.cn/n1/2019/0916/c1009-31355365.html.

[15]胡建淼.行政法學（第四版）[M].北京：法律出版社，2015.

[16]常見類型移動互聯網應用程序（APP）必要個人信息范圍（征求意見稿）[DB/OL].[2021-03-15].http：//www.cac.gov.cn/2020-12/01/c_1608389002456595.html.

[17]范 為.大數據時代個人信息保護的路徑重構[J].環(huán)球法律評論，2016，（5）.

[18]曾 磊.我國個人網絡信息保護立法的制度構建[J].廣西社會科學，2020，（5）.

[19]關于下架侵害用戶權益APP名單的通報[DB/OL].[2021-03-19].https：//www.miit.gov.cn/xwdt/gxdt/sjdt/art/2021/art_4c7c3bd89f3447e5a73f30cafe97b5ba.html.

責任編輯：陳文杰

Administrative Regulations Governing the Collection and the Use of Personal Information in the Context of Big Data

Wang Chunye， Fei Bo

Abstract：In the era of big data， personal information is collected and used more and more frequently. While bringing more convenience， there are also many

chaos， including the randomness and excessiveness of collection， and the lack of regulation in information management and use， which seriously damages the rights of citizens.Therefore， the intervention and regulation of administrative law is urgently needed. The protection of personal information involves the interests of many people， so it is necessary to regulate by administrative law.Compared with civil law protection and criminal law regulation， administrative law regulation has the characteristics of integrality， systematicness， rapidness and efficiency of personal information protection，and may meet the needs of the big data era. To strengthen the regulation of administrative law， the key is to establish and improve the administrative licensing system of personal information， to avoid the random collection of personal information and to control it from its source. We should improve the regular inspection system， establish a traceability system for information usage， and innovate a dynamic monitoring and evaluation system， and explore a variety of accountability.

Key words：big data era， personal information protection， administrative regulations

收稿日期：2021-03-12

作者簡介：

王春業(yè)（1970-），男，安徽明光人，河海大學法學院副院長，教授，博士生導師，博士，江蘇南京 211100;費 博（1997-），男，河南鞏義人，河海大學法學院碩士生，江蘇南京 211100

本文為中央高校基本科研業(yè)務費項目“節(jié)水優(yōu)先立法保障問題研究”（批準號B200207046）的階段性研究成果。