電子政務平臺個人信息保護的行政監管研究

王芷彤

(中南財經政法大學 法學院，湖北 武漢 430073)

1 引言

在互聯網時代背景下，我國依托互聯網技術發展電子政務，通過建立電子政務平臺，有條不紊地促進行政服務信息化。電子政務的快速發展能夠推動公民電子數字化信息的共享與使用，提高政府的行政效率，更好地滿足人民的日常需求。2021年出臺的《個人信息保護法》針對的是公民個人信息權利予以保護，其中第2條規定了受該法約束的主體包括了任何組織和個人，即行政主體也在約束范圍內，故該法后述的“信息處理者”亦理所當然地包括了在電子政務平臺收集個人信息的行政主體。其中第十三條至第二十七條都是從不同角度、不同層面對于收集處理個人信息應當遵循的“告知同意”歸責進行了詳細的規定，并且第十三條列舉式規定了無須征得相對人同意即可處理個人信息的情況，這在某種程度上有助于解決對于個人利益與公共利益產生沖突的情況，但是在第二章第三節中涉及國家機關對于個人信息的處理時依舊存在規定不夠具體和詳細的不足，因此將該法用于指導行政機關在電子政務領域的具體實踐時有可能面臨一定的困難。目前，電子政務平臺中侵犯公民個人隱私的案件時有發生，電子政務平臺中個人信息領域存在的安全隱患也不容忽視。我國電子政務領域中關于個人信息保護存在行政權力不當行使的潛在風險。為此文章對電子政務平臺個人信息保護的現狀進行原因剖析，結合我國國情以及對美國和加拿大兩國的域外經驗借鑒，為電子政務領域個人信息保護體系的制度構建提供有益思路。

2 電子政務平臺個人信息保護的域外經驗借鑒

2.1 公私分立治理的美國模式

美國通過分別構建公共領域、私法領域的信息秩序實現個人信息保護的分立治理模式。在公共領域中，在管理與預算辦公室(office of management and budget，OMB)的統領與對聯邦行政機關的監督之下，依托隱私法案、聯邦信息安全現代化法案、信息自由法案等一系列由國會頒發的法律和國家管理與預算辦公室頒布的行政備忘錄形成完善的、覆蓋廣泛的政府信息行為規范體系，實現對公民信息權利的公法領域保障。在私法領域中，聯邦政府針對各領域的信息保護頒布單行法律，結合政府的公平信息實踐(fair information practices，FIPs)，構建起涉及金融信息保護、互聯網平臺信息安全保護，以及兒童隱私安全保護等方面的信息安全保護規范體系，同時通過政府措施激勵各行業組織自律以及私營部門就隱私保護建立自我規制機制，進而在信息保護與信息安全的領域達成以自我規制協同配合政府規制的合作互補。

再者，美國電子政務領域對于公民個人信息的保護機制由隱私風險評估機制、基于數據生命周期的隱私保護機制和專業化的信息隱私管理機制三種機制構成。

聯邦政府通過事前的初步隱私評估(initial privacy assessment)和事后的隱私影響評估(privacy impact assessment)對于隱私風險進行評估。在對于公民的個人信息進行采集、存儲、使用、共享、公開等的過程中，聯邦行政機關在整個過程中需要嚴格遵循“合目的性原則”以及告規則，嚴格遵守法定程序，通過明示的方法向公民直接收集信息并告知收集目的、信息用途、信息是否共享或者公開、公開群體等，以保障公民的知情權以及救濟權。在數據的存儲與管理方面，根據美國《電子政務法案》規定，由管理與預算辦公室及其內設機構電子政務與信息科技辦公室(Office of E-government and Information Technology，OEIT)和聯邦政府機關中統一設置的專管隱私工作的機關高級隱私官員(senior agency official for privacy，SAOP)負責聯邦政府所有幾乎信息網絡技術開展的電子政務工作，并且還設置信息與規制事務辦公室(Office of Information and Regulatory Affairs，OIRA)對于聯邦行政機關的隱私保護工作、信息政策執行情況進行監督，通過多部門各司其職，相互監督的方式使得信息隱私管理趨向專業化。

2.2 制定風險評估準則的加拿大例證

在加拿大在線政府建設工程中，其依托隱私影響評估準則(privacy impact assessment，PIA)和風險識別作為監測、量化和描述隱私風險的政策工具，從而在數據開放的透明性與個人隱私保護之間尋求平衡點。隱私影響評估準則是基于《隱私影響評估報告指令》《向隱私專員署提交隱私影響評估報告的指南》構建的五步評估流程：識別政務相關的個人信息并檢視數據收集處理的方式——判斷政府對于個人信息的收集的行政行為是否具有必要性、正當性、有效性、不可替代性以及是否符合比例原則——基于加拿大標準委員會制定的個人信息保護十大準則展開風險評估——形成個人信息收集來源和處理去向的PIA報告對隱私風險進行量化——盡可能消除或者降低風險后公開PIA報告摘要。加拿大隱私影響評估準則(PIA)的特點在于堅持目標為導向將收集的公民個人信息最少化、保護公民個人信息自決權、系統性量化評估數據收集與開放的隱私風險、專設數據安全管理機構，以及將隱私風險評估貫穿數據收集、使用、開放的全流程，較為完善的個人信息保護體系促進了加拿大在線政府建設的發展。

3 電子政務平臺個人信息保護的現狀

盡管《個人信息保護法》中規定任何組織和個人在收集使用公民的個人信息時都應當受到約束與限制，通過合法的程序對于必要的信息進行收集，并且應當嚴格遵循對相對人的告知同意制度。在電子政務領域中，行政主體作為個人信息收集、使用、共享和公開的主要信息處理者，應當承擔對行政相對人的個人信息進行合理收集使用以及提供有力保護的義務，但是在實際的信息收集以及政務處理的流程中，行政主體在電子政務平臺采集處理公民個人信息的行為未得到有效的規制，造成了行政權力對于公民個人信息的侵犯，在電子政務平臺的信息收集、管理、使用、共享與公開的過程中都潛藏著威脅的侵害。

3.1 電子政務中個人信息的不當收集

在電子政務領域中，行政主體基于行使行政管理職權的需要對于公民個人信息進行收集時，除了法律規定的特殊情況外，一般須告知公民后在獲得公民明確的同意之后作出，并且根據行政法中的比例原則，行政主體應當對于具體工作或者行政職能相關的個人信息進行收集，但是在具體實務過程中，違反告知同意制度、超越職權或超出行政目的過度收集個人信息等不當收集公民個人信息的情況依舊存在。

除了《個人信息保護法》規定的八種無須遵循告知同意制度的信息收集與信息公開的特殊情況外，行政主體在采集公民的個人信息時須征得公民明示的同意，按照法定的程序進行收集。違反告知同意規則的收集是非正常程序的收集，即在電子政務平臺使用者不知情或者未經同意的情況下通過平臺本身的信息存儲以及數據爬取與分析的功能對個人信息進行了擅自收集。如今Cookie技術普遍應用于電子政務平臺的情況下，部分電子政務平臺并未在隱私條款中明確地將平臺使用Cookie技術在公民使用平臺辦理政務服務的過程中同步收集個人信息和瀏覽記錄，故在平臺得到用戶的信息數據用作其他用途以及分析推送時，用戶本身在大部分情形下處于并不知曉、并未意識的狀態。如“i深圳”政府服務App的服務條款中有明確注明該平臺會使用Cookie技術進行信息收集、數據分析與服務推送以便提升用戶的體驗，且用戶可以在后臺關閉該功能，但是粵省事電子政務平臺的服務條款中并未見相關技術的提醒與注明，但是在實際使用過程中，如通過“掃一掃”獲得場所碼服務時，實時更新的用戶定位信息實際上是通過Cookie在公民未同意的情況下對公民定位信息的收集上傳，平臺并未取得用戶的明示的同意即完成了對于公民實時位置信息的采集與共享。

超出行政主體實施行政行為進行社會管理所必須的公民個人信息的收集實際上是超出行政職能需要的信息不當收集。在廣東省粵省事政務服務平臺中，賬號登錄時需要用戶進行人臉識別或者輸入微信支付密碼(使用微信小程序進行登錄)進行認證，從而判斷正在進行登錄操作的用戶是否與賬號用戶本人相符，盡管一方面對于登錄用戶進行人臉識別或者微信支付密碼驗證從某種程度上降低了賬戶冒用的可能性，但是粵省事并未提供用戶除了這兩種方式以外的其他認證方式進行登錄驗證。在存在例如身份證號輸入、指紋識別等其他可供驗證的身份信息的其他方式的前提下，這使得登錄時對于公民的人臉信息以及微信支付密碼的收集是否有必要存在疑問，且微信支付密碼的采集與行政主體通過電子政務平臺行使行政管理職能的關聯度并不十分密切，因此，必須通過采集人臉信息或微信支付密碼對于用戶身份進行核驗或將造成對于公民個人信息的一種侵犯，也會增加公民重要的個人信息遭到泄露的風險，導致難以彌補的損失。

3.2 電子政務中個人信息的不當管理

電子政務平臺作為行政機關收集處理公民個人信息的媒介，應當具有機制健全的信息管理保護系統，建立安全個人信息數據庫保障公民個人信息的管理與儲存，并且除了在技術層面為公民個人信息安全提供保護之外，行政主體的及時監管與事后救濟的提供在構建完備的電子政務公民個人信息安全保護體系之中亦是不可或缺的。由于電子政務平臺本身具有個人信息存儲量大、信息覆蓋面廣泛等的特點，一旦信息安保體系存在漏洞導致公民個人信息的泄露，無論是對政府還是對于公民個人所造成的損害都是不可估量、難以彌補的，因此，電子政務平臺運行中存在的不當管理現象應當予以充分重視。

電子政務平臺本身是否能為公民信息安全提供良好的技術保障在解決信息泄露問題之中舉足輕重，電子政務平臺之中潛藏著漏洞與信息泄露的風險。在2021年國內十大信息泄露事件中，我國湖北省公安縣的公民數據在國外被售賣，發現這起事件的外國安全研究團隊Cyber在日常監控之中發現多個帖子正在售賣公安縣公民的戶口登記樣本數據等個人信息。電子政務平臺記載了大量的公民的身份證號碼、家庭住址、電話號碼、財產等隱私性較強的個人信息，如若不重視加強電子政務平臺的信息存儲與保障系統，及時發現并修補平臺技術層面存在的漏洞，信息的外泄會對我國的信息安全造成巨大的威脅。

除了平臺本身可能存在漏洞為不法分子獲得公民信息提供可乘之機外，防范來自外部的惡意攻擊與數據竊取、與平臺內部工作人員利用職務便利倒賣個人信息的犯罪行為也是保護公民信息安全的重要環節。2016年上海市疾病防控中心的工作人員韓某利用職務之便倒賣新生兒信息、2020年至2022年以來層出不窮的公民流調信息被泄露事件，為加強電子政務平臺的內部行政監管嚴肅提醒。而2016年的“山東徐玉玉”案件、2017年的“肖凡、周浩等侵犯公民個人信息案件”都是犯罪分子利用黑客技術入侵政府機構政務平臺竊取個人信息實施的犯罪案件，2021年公布的國內十大信息安全事件之中，中信銀行的部分客戶信息被外泄，這為提升電子政務平臺的信息安全和預防信息犯罪敲響了警鐘。

3.3 電子政務中個人信息的不當公開

電子政務平臺作為政府信息公開的重要媒介，行政主體在電子政務平臺進行信息公開時，應當嚴格遵守《政府信息公開條例》中的規定，符合法定程序與權限。行政主體應當兼顧保障公民知情權、公民對政府行政工作的監督權以及對于公民個人信息權利的保障，謹慎把握政府信息公開的尺度與界限，防止政府不當行使信息公開權力對公民信息權利造成侵害。在電子政務領域公民個人信息公開的實踐層面容易出現信息的不當公開導致政府信息權力與公民個人信息權利之間失衡的情況，而政府作為個人信息的處理者，不僅應當以《政府信息公開條例》作為行政權力行使過程中的約束性規范，還應當將《個人信息保護法》作為自己實施行政行為的準則，有效地減少行政公開之中的不合理和不適當的侵害行為。

公民個人信息的收集應當遵循告知同意制度，同樣，當需要公開與商業秘密或者個人隱私的內容時，除了征得相對人的同意或者公開不會造成第三人損失的情況外，其他對于公民個人信息的公開也應當依申請才予以公開。

在裁判文書網、北大法寶等網站對于政府信息公開侵犯公民信息權利的行政復議或者行政訴訟案例數量不多，大部分案例屬于行政相對人請求行政機關進行信息公開但是未予以答復或者拒絕請求的情況，這可以視為《信息公開條例》以及《個人信息保護法》在電子政務政府信息公開的領域起到了相當程度的約束與規范作用，并且政府在處理相對人的信息公開的請求時較為謹慎，面對相對人的請求會進行較為全面的審查并作出相應的答復。盡管在政府信息公開的領域由于法律、行政法規的規范使得該方面鮮少存在信息不當公開的情況，但是在已經依法公開的個人信息中，卻存在著公開錯誤信息的情況，即政府或其他行政機關在電子政務平臺進行信息公開過程中，由于信息系統的漏洞與工作人員的疏漏和或者失誤等原因導致公布的個人信息缺乏完整性和準確性，這不僅會使得公民的個人信息權利受到侵犯，還會影響政府的公信力。例如，河北省定興縣人民政府官網于2020年12月公開的《河道采砂監管責任人名單》(以下簡稱《名單》)中有關定興縣內各河道縣、鄉、村三級河長負責人與實際工作人員不相符，導致村民于2021年5月舉報盜砂案件時無處可投訴，求告無門，出現了河段無人管理的現象，經查證《名單》中的負責人已經經過換屆，現負責人與《名單》存在較為嚴重的不相符合狀況，是由于定興縣水利局工作人員的疏忽導致的《名單》上存在紕漏。政府公布的信息存在錯誤導致相對人無法根據準確完整的信息及時行使或者保護自己的權利，向政府反映相關的狀況，從而容易導致政府失信于民的后果發生。

4 電子政務平臺個人信息保護存在的漏洞原因分析

電子政務平臺對于公民個人信息的收集與處理實際上是行政權與公民權相互作用、達成平衡的結果。因此，下文將從行政機關與公民的權利義務的視角切入。

在電子政務的領域，一方面，行政權的行使既要得到保障，又要得到約束，才能夠保證行政主體有權收集處理公民的個人信息，同時又通過合法的程序在合法的權限范圍內以合法的方式處理或者公開公民的個人信息從而達到社會管理的目的；另一方面，公民權既要受到保護，也要受到約束，這使得公民的個人信息權利既要受到行政機關提供的保障，同時公民保護自己的個人信息權利也要在合理的限度范圍內，不能以濫用個人信息保護權利妨礙行政機關實施行政行為，行政權與公民權之間應既相互制約又相互平衡，才能夠促進電子政務領域有序、健康的發展。同時，在電子政務領域中，在行政機關與相對人之間的權利義務關系中也應當達到總體上的平衡狀態，具體而言，既包括了行政機關自身的信息收集處理權利與收集處理義務的平衡，又包括了行政機關的信息收集處理權利與相對人一方的信息保護權利、行政機關的信息保護義務與相對人信息保護義務之間的平衡，而當上述的權力與權利之間、權利與義務之間等的狀態未達到平衡時，便會導致電子政務領域個人信息收集和處理過程中的各種問題與漏洞的產生。

因此，要探究電子政務平臺個人信息保護方面出現的漏洞原因，應當從行政機關與公民的權利義務的平衡角度切入并進行深入的分析。

4.1 中央與地方層面電子政務領域個人信息保護法規尚有缺漏

盡管我國已經出臺了有關公民個人信息保護的專門規范，即《個人信息保護法》，并且在《民法典》和《刑法》中也設置了相關的條款對于在非公共領域侵害公民個人信息權利的行為進行了規制，但是涉及公法領域行政機關收集、處理、使用公民個人信息的程序規范與實體規范依舊停留于較為抽象的原則性規范的層面，缺乏具體的法律法規對于行政機關行使行政權收集使用公民個人信息的行政行為的指導與約束。因此，在電子政務領域行政機關收集處理公民的個人信息的過程中其依舊保有較大幅度的自由裁量權，且基于行政機關實施行政行為進行社會管理的過程中其與行政相對人所處的不平等地位，行政主體在電子政務領域的信息權力與公民的個人信息保護權利之間的失衡結果在實踐之中并不罕見，并且由于具體管制規范的缺乏，公民面臨行政機關侵犯自己的個人信息的行為時也存在著救濟困難，這與電子政務發展的利民本旨背道而馳。

由此可以得知，我國目前對于電子政務領域的個人信息保護方面缺乏統一的立法機制，盡管存在《個人信息保護法》這一部門法對于收集處理個人信息的程序等進行規范，但是其中涉及規制電子政務領域的法規依舊較少且存在較為抽象、缺乏相關的司法解釋因此難以具體適用的現象。與電子政務相關的規范散見于各個法規、政策當中，并且尚未形成較為完整的規范體系，例如盡管地方層面紛紛出臺《電子證照管理實施辦法》等用于規范涉及個人證照信息的管理與使用等，各個領域也相繼通過相關管理辦法進行規制，但是中央層面亟待一部標準化和規范化的法律法規對于各個地方的規范進行統領。

這一問題在學術界也引起了熱烈的討論，大多數學者提出政府在深入推進電子政務發展的同時存在一定程度的對于該領域的個人信息的法律保護的問題。如鞏雨教授認為導致目前的電子政務領域匯總公民個人信息遭受侵害的重要原因之一是該領域的立法嚴重缺乏、法律層級較低且法律法規的制定主體較為混亂。武乾教授認為我國電子政務的個人信息立法保護領域存在兩方面的問題：一是立法模式層面并未對公法領域與私法領域進行明確區分；二是籠統地通過《個人信息保護法》對于互聯網個人信息相關領域進行調整。陳紅教授則指出我國目前對于公民的信息數據的法律法規保護缺乏實際約束力與針對性。盡管學者的觀點各有千秋，但是無不在提醒我國在公共行政領域對于公民信息的保護存在漏洞，僅僅期待《個人信息法》或者法律法規等中有關個人信息保護的條款兼顧對于公私法領域侵害個人信息的行為進行管制與威懾是不夠的，針對公法領域電子政務領域的個人信息保護方面還應當構建一套完整的專門的法律保護制度與體系，用以彌補現行電子政務領域的立法缺漏。因為在電子政務領域公民信息權利與信息安全面臨的最大威脅的來源并非其他平等主體的侵權行為，而是來源于政府公權力無節制擴張與膨脹所可能導致的各種失范行為，因此，限制與約束政府權力的行使，管束與規范電子政務領域行政主體采集、處理、共享、公開個人信息的各種行為與過程，通過在實踐領域建立起保護公民個人信息安全的法律底線，有效地將權力關進制度的牢籠，才是立法層面所應當著重予以關注的問題。

4.2 行政機關收集使用公民個人信息并未嚴格遵守“告知同意”制度

行政主體收集處理個人信息的行為，原則上既要遵循行政法中行政主體實施行政行為的基本原則，如依法行政中的法律優先原則、行政合理性原則中的必要性、正當性、狹義比例原則和衡量原則、行政公開原則等，同時也要遵循《個人信息保護法》中的有關個人信息處理者的權利與義務。在該法中規定的核心性、基礎性的規則“告知同意規則”中規定個人信息處理者處理信息時應當取得相對人的同意，除了第13條第2款中規定的例外情形無須征得相對人同意的排除情況外，對于國家機關作為個人信息處理者的情形，還通過第35條進行了規定，并且無論是第13條和第35條都將“告知”和“取得同意”作為兩項獨立的法律效果對于行政機關處理公民個人信息的行政行為進行評價，用以保護公民的知情權以及個人信息權利，因此行政主體在電子政務的領域對于個人信息的處理情況便可以分為：“告知+同意”“告知+無須同意”以及“無須告知+無須同意”的三種情形。

行政機關須嚴格的以此約束自己的行為，并且明確的區分三種情形的使用情況，在執法過程中牢記無須同意和無須告知的同意和告知的例外情況：“告知+無須同意”適用于第13條第2款的同意規則的排除規范，其中不乏有多項用以指導行政機關的行為，如其中的第2項、第3項和第4項等都可以用于約束行政機關在電子政務平臺的信息收集與處理行為，并且其中最具有代表性的就是第2項，即行政機關為了履行法定職責所需。蔣紅珍教授認為，對于“履行法定職責”存在廣義和狹義的兩種解釋方法，從廣義上而言，所有符合行政職權范圍的行政行為都可以解釋為行政機關為了履行法定的職責，廣義理解有利于確立一般意義的“告知規則”，但結合第13條其他的排除情況，存在與其他行政行為并列作為同意的例外的列舉外觀；對之進行限縮解釋有利于行政主體在具體的信息處理過程中貫通“告知同意規則”與區別于其他兩種情況的適用，但仍待未來進一步的司法明確。“無須告知+無須同意”的規則使用于法律法規規定的特殊情況以及告知將妨礙國家機關履行法定職責的情形兩種主要情形，此處的特殊情況專指為了保密需要而不予告知相對人的情形而非涉及個人隱私需要保密的情形，而后者告知會影響國家機關職權行使的狀況則賦予行政主體較大的自由裁量空間，為了規范具體的信息收集與處理程序，有必要按照法律、法規等規定應予保密的個人信息進行進一步的限縮理解。

明確三種“告知同意制度”的具體使用規則是為了更好地探尋具體實踐的過程中導致電子政務平臺中的不當收集與不當處理現象發生的原因，正因部分行政機關在收集處理信息的過程中濫用裁量權，將超越職權、違反法定程序的信息處理、公開等侵權行為解釋為“為了履行法定職責所需”粗暴執法、逃避責任，使得行政機關的權力過度膨脹侵犯公民個人信息權利，行政主體在電子政務領域的合法收集處理信息義務與自身的保護義務失衡、行政主體的信息收集處理權利與公民的信息保護權利失衡。

4.3 公民個人信息收集與使用的監督與救濟制度不完善

4.3.1 公民個人信息保護意識淡薄

盡管《個人信息保護法》的出臺對于公民的個人信息保護意識具有一定程度的提升作用，但是相對于公民的其他人格權利而言，公民個人信息保護意識層面依舊處于不完善的狀態，并且主要集中于民事領域中的民事主體之間的信息侵犯的糾紛，并且由于具體行政行為中行政主體與相對人之間的地位關系，導致公民面臨電子政務領域等出現的公權力侵害個人信息權利的行為，經常表現為無意識、不在意等態度，難以積極有意識地行使個人信息保護權。

這種淡薄的意識貫穿信息收集與處理的各個階段中：在信息收集的階段，出于對政府等公權力行使機關的信賴，大部分公民并不會在使用政府門戶網站或者掌上政務服務App等電子政務平臺時特意關注其《服務條款》或者《隱私政策聲明》，遑論其中列明的電子政務信息收集的法律依據、行政目的、是否符合行政合理性以及信息的用途、是否會被公開等，對于公權力的信賴只是導致公民在電子政務領域信息權利保護意識淡薄的原因之一。

另外，一個重要原因是公民自身對于網絡信息安全、個人所享有的信息保護權利缺乏充分的了解，這兩種關鍵因素共同導致了公民無法在面臨來自公權力的信息侵犯時準確快速的意識、識別具體的侵權行為，意識的缺乏導致了救濟的缺位。

再者，即便公民對于行政機關不當的信息收集與處理行為具有意識，但是由于缺乏對自身所享有的具體的信息權利的了解，如不知曉自己所享有的個人信息保密權、完整權、決定權等權利，而無法認識到自己所遭受的具體的利益損失，或者對于信息權利被侵犯的后果認識不全面。如果不存在明顯的、足以引起公民重視的利益損失，其便難以主動通過復議、申訴等方式進行維權。

4.3.2 難以識別的侵犯個人信息的行為

盡管我國的電子政務領域已經經過了一段時間的發展，并且在對于個人信息收集處理與保護監管的方面已經取得初步的成就，但是從電子政務領域的運行現狀來看，實務之中依舊存在著不容忽視的個人信息保護與監管方面的問題。一方面，相對于傳統的線下政務服務辦理，電子政務是在“互聯網+電子政務”的改革中應運而生的，公民對于通過電子網絡的方式進行政務辦理的時間并不算長，故電子政務服務系統的關注度和社會接受度依據在不斷增長中，公眾對于電子政務中的侵權行為并不了解或者熟悉，更勿論及時地發現侵權行為并且采取有效的應對措施。并且，電子政務領域之中行政機關對于公民個人信息的侵害行為是隱蔽的、難以識別與發現的，在許多情況下，只有當相對人的合法權益遭受了明顯的侵害時侵害行為才能被知曉。例如，對于部分不對外公布、只用于行政部門之間共享的信息，對于這部分信息如果存在行政機關工作人員由于疏漏或者失誤將公民信息進行了錯誤登記導致信息與實際情況不符時，公民便難以知曉該錯誤登記行為，只有當行政機關基于該錯誤的信息實施了行政行為作出錯誤的行政決定對相對人的合法權益造成消極影響時，公民才能夠知曉自身的個人信息在電子政務系統中被錯誤地錄入登記，在這種個人與個人信息處理者之間的不對稱的權力機構中，面對公權力機關作為信息處理者的侵犯行為，公民唯有在知曉該行為后才能夠申請行政復議或者提起行政訴訟的方式要求對信息進行修正進而維護自身的合法權益，這種不對等的地位與權力結構為公民識別行政機關的侵害行為造成了困難。

4.3.3 公民行使自身的救濟權利時存在阻礙

盡管《民法典》《個人信息保護法》等都設置了個人信息保護具體條款，但是面對行政機關作為個人信息的處理者對于信息進行大規模收集與處理所帶來的風險，僅僅依靠公民對救濟權的行使來保護自身的個人信息權、使其免受公權力的侵害往往無法達到有效的、填補損害的救濟效果，且公民行使自身的救濟權利時也存在著來自不同方面的阻礙，最終可能導致權利落空的尷尬。

首先，基于公民個人信息權利與政府行政權力之間的不對稱的結構，當個人完成了上述的識別侵權行為并且能夠積極自主地以其所享有的民事權利對抗在信息處理與收集方面具有顯著優勢的行政機關時，由于個人與行政機關之間的力量失衡，其很可能由于缺乏技術資源而難以僅憑個人對抗組織化的信息侵害風險，故通過個人與作為信息處理者的行政機關之間的自發形成平等有序的信息治理秩序很有可能只停留在“美好愿景”的階段。

其次，由于《個人信息保護法》中存在“為了履行法定職責所需”等裁量性規范，行政機關作為電子政務領域中的信息收集與處理者在知識、技術或者資源等方面對于行政相對人具有壓倒性優勢，行政權的實際行使過程中或存在條款進行過度擴張解釋的情況，從而使得涉及個人信息保護的“告知同意規則”等規范條款面臨形同虛設的風險，對于公民知情權等信息權利的保障或將大打折扣，加之許多公民實際上缺乏對電子政務平臺《隱私政策條款》和《免責聲明》等進行分析、解讀與具體運用的專業能力，其對于個人信息進行自我保護的實際效果受限。

最后，盡管大部分電子政務系統都通過設置非訴程序向公民提供救濟途徑，但是現實情況之中，公民若想采取這種司法之外的程序維權也有可能會遭到工作人員消極懈怠、相互推諉等不作為的現實因素的阻撓，對于這一非訴救濟制度的架空現象并不少見。以上三種原因都是公民權利救濟道路上的“絆腳石”，使得公民無法達到維護個人信息權利的目的。

5 電子政務領域個人信息保護體系的制度展望

由于公民通過行使個人信息權利進行自我救濟的自我保護范式，在個人信息保護領域存在救濟與監督機制上的力有不逮。因此，不能僅寄希望于構建私權保護框架用以對抗公權信息處理體系中的亂象，應當意識到公私法領域的個人信息保護并非相互對立的存在，而將公私協同治理作為共建完善的電子政務領域個人信息保護體系的基礎，通過國家行政主體自覺履行國家保護義務，提升公民自身的自我保護意識以及能力，從而形成“個人信息保護權——國家保護義務”的框架，達成個體權利保護與國家規制相輔相成的狀態，才是有效解決電子政務領域個人信息保護難題的關鍵、促進電子政務持續、健康發展的重要舉措。

5.1 完善電子政務領域個人信息保護的專門法規

無論是從我國電子政務領域個人信息保護方面現存的問題方面，還是從汲取值得借鑒的公私法領域區分立法的域外經驗來看，加強電子政務領域對于個人信息的立法保護都是目前亟待解決的重要問題之一。

完善立法大致可以從以下三方面進行：

首先，明確區分私法保護與公法保護的領域，規范約束與保護的范圍，對于電子政務相關法律屬性的界定應當清晰明確為行政法領域的部門法保護，這是出于電子政務平臺的行政服務的性質與功能所決定的，電子政務平臺收集處理公民的個人信息是為了方便政府與公民辦理政務服務，其宗旨是便民與利民，因而通過行政法范疇的立法加強對于行政主體的監督，進而促進其更加規范地行使行政權力，從而提供更加規范和優質的服務，這是立法的首要層面。

其次，構建起電子政務相關的技術法、組織法和救濟法等多位一體的行政法領域公民個人信息的保護體系，通過技術法解決電子政務領域區別于傳統政務領域的涉及互聯網科學技術相關的問題，如統一侵害個人信息的標準、側重對于個人信息的網絡安全保障、建立數據的采集與共享規范等，通過組織法調和電子政務中政府的行政行為與公民個人信息權利之間可能產生不可避免的沖突與矛盾，規范政府權力行使的界限、范圍、方式和程序等，并且建立起侵權行為發生后的歸責機制。

最后，通過救濟法解決公民維權過程中面臨的行政機關之間相互推諉等問題。不僅保障公民的事后的救濟權，更要保障其事前的救濟權，并且對于侵權行為發生過程中的證據認定、收集與保存也作出具體規定。在行政法領域通過立法建立起事前、事中、事后貫穿電子政務平臺收集處理公民信息的全過程的法律體系。

5.2 將作為電子政務領域個人信息處理者的行政主體納入監管

行政主體不僅具有對于日常生活中公民、法人或者其他組織之間的信息處理行為的執法監管義務，在電子政務平臺中，其作為個人信息的收集處理者也應當受到監管。《個人信息保護法》中第2條規定的受到該法約束的主體范圍是“任何組織、個人”即包括了電子政務領域作為信息收集處理者的行政主體，這一條款的設定不僅彰顯了將監管者也納入監管體系的重要性，也與目前我國后疫情時代疫情防控常態化的大背景相符合，尤其對于政府涉疫信息收集處理中存在的不當收集、管理、共享、公開等具有約束與規制作用。個人信息保護職責也將成為作為行政主體的法定職責之一，信息在電子政務領域對于行政主體而言是一種權力或者資源，但是對于公民本身而言卻意味著義務或者負擔，為了防止行政機關在電子政務領域濫用自由裁量侵犯公民的個人信息權利，將作為兼具監管者和信息處理者身份的行政主體納入監管范圍之中，并且另設專門的監管部門進行監管。以組織法、行為法、程序法、救濟法等領域的規范作為行政主體信息收集與處理行為的合法性基礎，通過法律、法規用于其信息收集與處理的行政行為作出具有普遍約束力的規制，從而達到將公權力的行使限制在合理合法的范圍之內，在行政監管層面加強對作為個人信息處理者的行政主體的監管，減少行政行為中對信息的不當收集、違反“告知同意制度”、不當管理以及錯誤公開等侵權行為。

5.3 強化將行政公益訴訟作為個人信息保護的救濟路徑

《個人信息保護法》第70條規定對公益訴訟這一救濟途徑進行了規定，在我國，公益訴訟包括民事公益訴訟與行政公益訴訟兩種，本文認為從行政公益訴訟的角度為個人信息提供保護是為個人信息受到行政機關違法行為侵害的公民提供有效救濟的路徑之一。

第一，從該條的文義考察，行政公益訴訟并未被排除在個人信息保護領域之外，第70條對有權針對個人信息侵權行為提起訴訟的主體進行了有限列舉，即限于檢察院、網信部門以及法律規定的消費者組織，人民檢察院作為有權主體可以提起民事行政公益訴訟，此處并未對公益訴訟的種類進行限縮，這為行政公益訴訟作為個人信息保護的救濟渠道提供了法律解釋空間。

第二，根據《行政訴訟法》第25條第4款關于行政公益訴訟的規定可知，對負有監管職責的行政機關因違法失職行為或者不作為而致使國家利益、公共利益受損害的，檢察機關本就可以提起行政公益訴訟，該款中的生態環境保護、國有財產保護等領域屬于示范性列舉，可以涵蓋個人信息保護領域，因此，對于行政機關在個人信息保護領域對個人信息的違法侵害行為，檢察院可以提起訴訟。

第三，民事公益訴訟由于糾紛雙方都屬于平等民事主體，因此，在解決公權力領域發生的個人信息案件時民事公益訴訟的救濟方式力有不逮，而通過提起行政公益訴訟可以彌補民事公益訴訟無法針對行政機關的個人信息侵權行為提起訴訟的不足。在最高檢2021年發布的個人信息行政公益訴訟案件中“江西省樂安縣人民檢察院督促規范政府信息公開”一案即是檢察院通過行政公益訴訟為個人信息受到行政機關侵害的公民提供救濟的典型案例，在公民個人信息保護領域引入行政公益訴訟有利于完善公權力領域個人信息侵權的救濟制度。

第四，行政公益訴訟的引入還能夠起到督促行政機關依法收集、使用、公開公民個人信息，檢察院通過兩種方式履行檢察監督職能。一是在起訴前對違法行政機關提出檢察建議的方式引導行政機關進行整改；二是對違法侵害公民個人信息的行政行為提起公訴，能夠有效地達到對行政機關個人信息使用權的約束與限制，督促行政機關依法行政。此外，檢察機關不僅可以對作為行政機關實施的個人信息侵害行為提起公益訴訟，還能對負有個人信息保護職能或者作為行業監管部門的行政機關在履行個人信息保護職責過程中的失職行為或者不作為提起公益訴訟，將個人信息領域對肩負保護監管職能的行政機關納入行政公益訴訟的被告與《行政訴訟法》第25條第4款規定的意旨相符，可以將該條視為對電子政務平臺個人信息提供保護的補充依據。整體而言，在個人信息領域應當注重從公、私法雙重進路的角度提供保護路徑，除了通過民事公益訴訟為個人信息受侵害的公民提供救濟渠道的同時，也需要強調發揮行政公益訴訟在約束行政機關權力行使、填補公權力領域發生的侵權行為所造成的損害之作用。

5.4 構建電子政務領域的公私法協同治理體系

對于個人信息保護的行政保護在對于信息保護方面占優勢，首先，行政規制通過國家設立的標準、規范、工具等在對于侵害行為的識別、評估、預測、控制風險等方面相較于私法保護具有優勢。行政監管可以依托電子政務平臺開展大規模的監管，并且基于電子政務平臺大規模收集公民數據的特性，其具有私法保護所難以達到的信息優勢，數據采集的大規模性盡管加大了數據泄露的風險與損失，但是其在識別加害者與受害者、調查侵權行為的過程中也具有特定的長處，并且花費的成本與個體訴訟而言更低。依托互聯網技術，電子政務平臺在預防、處理系統外部侵權行為以及監管、發現系統內部侵權行為方面存在效率優勢，且以國家強制力作為后盾的行政規制在震懾侵權行為，避免損害發生或者擴大方面也具有私法保護所難以達到的效果。另外，與個案訴訟不同，行政規制具有設立一般性規范與標準的功能。以上種種都是電子政務個人信息保護的行政保護相對于個案訴訟的私法保護存在的不可比擬的優勢。但是行政保護也存在著相應的局限，其開展需要組織性的行政機關及其相關執法人員，并且日常執法程序也會帶來相應的公共財政負擔，如何高效利用公共資源便成為行政規制所需要解決的一大問題。另外，由于行政保護中的行政規制具有一般性、系統性等特點，其難以適應電子政務平臺不斷出現的新型侵權行為，缺乏靈活性。再者，行政保護難以為受害人提供實體損害救濟，其只能通過行政處罰的方式收繳罰款，但是無法直接對相對人給予補償，對于上述缺陷，私法保護中的個案訴訟機制則可以進行補足與協調。

私法領域的個人信息保護存在較為鮮明的個案性與填補性，涉及的范圍有限，而公法領域的個人信息保護主要是約束同樣作為信息處理者的行政主體，填補個人信息保護的個案救濟的范圍與模式的不足，構建系統性的個人信息保護框架，這種宏觀系統層面與微觀個案層面的相互配合能夠使得我國的電子政務領域探索出一條區別于域外公私分立治理模式但契合我國國情的公私領域協同治理的個人信息保護模式，在私法領域通過細化公民個人信息權利的具體內涵，劃分信息權受到侵犯的類型，為公民的民事實體權益提供私法保障與個體自我保護的訴訟救濟；在公法領域，通過程序法、組織法等規定行政權力的具體行使規則與合規要求，通過救濟法在公法領域為個人信息的保護提供公法保護，構建出一套與民法侵權責任體系相銜接的行政主體侵權時的歸責機制，明確責任承擔的方式等內容，加強公私法領域的對話與溝通，在電子政務領域促進公私法協同治理、共同保護公民個人信息權利的治理模式。

6 結語

我國的電子政務領域正隨著互聯網時代的不斷進步而蓬勃發展，電子政務平臺對于公民數據信息的利用需求也正在提高，隨著《個人信息保護法》的落地實施，個人信息保護愈加受到重視。

與此同時，公共行政領域存在的侵害個人信息權利的問題也不容忽視，電子政務平臺作為行政主體收集使用公民個人信息的重要媒介，其中存在的不當收集、過度收集、不當管理、錯誤公開等現象為加快構建電子政務領域的個人信息保護體系敲響一記警鐘。

文章在對于電子政務個人信息保護存在的漏洞進行分析后，總結出主要的原因并積極探尋解決途徑，分別從完善該領域的專門立法、將行政主體納入監管范圍，強化將民事公益訴訟以外的行政公益訴訟作為個人信息保護的救濟路徑，以及構建公私協同治理的個人信息保護模式四個層面，為保護電子政務領域的個人信息權利作出有益探索。