摘要：随着科学技术、信息技术的迅速发展，个人信息收集和使用越来越频繁，保护个人信息也逐渐成为当今政府和各界人士共同关心的热门话题。在大数据时代的背景下，个人信息的应用价值逐渐被公众所熟知，但同时伴随而来的是安全风险的出现，如：个人信息泄露，合法权益受到侵犯。基于此，本文立足大数据的时代背景，从个人信息权的基础理论出发，对公民个人信息在大数据背景下所面临的风险进行分析，提出相关的措施与建议，从而提供公民更加全面和有效的个人信息安全保障。

关键词：个人信息;行政法;个人信息保护法;保护机制

大数据时代，个人信息的法律保护已然成为各国不容忽视的重要问题之一，尤其是基于网络信息技术的快速发展，利用个人信息参与社会交往已逐步成为当代公民生活的常态。然而，如何确保在顺利进行社会活动的同时保护合法权益，防止市场主体随意收集和滥用公民个人信息，如何杜绝因管理不善或故意买卖而导致个人信息泄露现象的发生，是当下必须解决的问题。

1个人信息的概念界定及特征

目前我国学界内对于个人信息在行政法视域下的识别通常采用的是“识别说”①。齐爱民认为个人信息包含了一个自然人一切可识别本人的信息[7]。张新宝指出个人信息是指与一个身份已经被识别或者可以被识别的自然人相关的任何信息[9]。

个人信息具有广泛性和可识别性，外延十分的宽泛，如与个人相关的背景、基本生活情况等任何能够将人与人区别开来的个人碎片材料均可包含在个人信息的范围之内。个人信息与单个权利主体密切相关，是一个人生活、工作等等行为的真实反馈，具有鲜明的指向性，通过个人信息，可以快速准确与单个主体相联系。

个人信息具有时效性和可共享性。个人信息处于一个随时更新的状态，同一个自然人的个人信息在不同的时间也同样具有差异，对于个体而言，年龄的增长、身体状况的改变、家庭住址的变迁、工作情况的不同都会导致个人信息的变化，因此，个人信息的有时效性体现在特定时间内对同一主体有效。除此之外，同一部分的个人信息可以同时被多个不同的信息用户获取和利用，具有共享性的特征。

个人信息的主体是自然人。《中华人民共和国个人信息保护法》提到：“自然人的个人信息受法律保护，任何组织、个人不得侵害自然人的个人信息权益。”这种确认是基于生物学意义以及法律意义的唯一性，自然人较之法人享有人格利益，在维护法益方面拥有更高的主动性和可能性。

2公民个人信息在大数据背景下所面临的风险

在人们与互联网日益紧密的联系下，互联网所产生的弊端也愈加明显。一方面，大数据以其超高水平的储存能力，记录着人们在互联网上的活动轨迹，另一方面这种储存的能力也意味着人们的日常生活在被互联网时刻监控着。其次，大数据的传播与共享在互联网中十分便捷，社交软件为人们提供快捷发声渠道的同时公民的个人信息也会轻而易举被广泛传播，对人们的生活也会造成一定的风险。

2.1个人隐私泄露的风险

当下，个人信息作为网络生活重要组成部分也逐步在展示着其经济价值，一些市场主体在日常经营中会接触到大量用户的个人信息，有些互联网企业本身就是通过数据来实现盈利的。同时广大网民在日常生活中使用的手机、电脑网页等均会产生浏览痕迹，并留下大量的个人信息，这些数据信息会自动进入网络管理者的资料库，在一定程度上也增加了个人隐私会被泄露的风险。除此之外由于相关主体对用户个人信息的使用没有较为统一严格的标准，加之内部管理存在的缺陷，出现对个人信息的泄露、买卖等侵犯公民隐私的现象，引发了更为严重的后果。

2020年12月7日发布的《中国网络诚信发展报告》中显示，28.5%的被调查者表示曾经常遭遇个人信息泄露，32.7%的被调查者表示有时遭遇个人信息泄露。此外类似于借助网络平台购买一定数量的电话号码这样的新闻报道也比比皆是，这看似是电话号码的泄露，但其中涵盖的是公民个人隐私的泄露。

2.2个人财产安全和违法犯罪率增加的风险

随着移动支付凭借其支付方便快捷的特点迅速发展起来，人们在日常生活中会更多的选择使用支付宝或微信等网络线上支付的方式进行交易。在这样的背景之下，移动支付也能够准确地利用大数据，使商户可以通过客户的支付，利用移动支付系统就达到追踪客户信息的效果。一些不法分子会通过这样的方式采取非法手段来获取用户的个人经济信息，因此若出现个人操作不当的问题就极易受到外部不明来源的危险入侵，从而导致自身账户内的财产遭受不法侵占，导致严重的后果。例如山东学生徐玉玉在2016年遭受电信诈骗最后自杀身亡，就足以体现出该问题的严重性。

2.3公民的信息控制权被削弱的风险

人们在使用社交网络时，往往需要通过填写一系列的个人信息来验证自己的身份，因此，在此基础上各类软件也以大数据为核心，建立了一套关于用户个人信息的收集系统，对用户的年龄、性别、爱好、取向进行大数据分析，甚至一些应用会设立格式条款，强制用户填写相关的信息后才能使用其使用权，这在某种程度上来说就是对用户信息控制权的削弱。

3个人信息的行政法保护基础

3.1行政法保护的必要性与可行性

社会经济的发展和运行需要自由市场规则的约束，虽然各类社会组织享有所谓的自治权，但如果其发展超越了市场规则调控能力和范围，并且对社会大多数人的利益或社会利益造成重大影响时，行政法的介入才能有效地维护和保障公共利益。不少学者已经明确意识到个人信息上具有某种公共利益的属性，因此基于维护公共利益的角度，也应当由行政法介入、调整和规范。

行政法对于个人信息的保护具有完整性和系统性的特点。尤其是我国现行立法关于个人信息保护的规则主要是从基本民事权利的角度作出规定，无法为特定场景下个人信息权利的保护确定具体规则。与刑法、民法基于社会关系受到破坏和个人权益受损后的救济不同，行政法对个人信息保护是基于一个完整的覆盖面，通过行政法的规制，可以解决个人信息如何收集、如何使用及市场主体如何流转个人信息等一系列问题。

除此之外，行政法对于个人信息的保护具有快捷高效的优势，可以及时有效地填补相关过程中存在的漏洞。相较于其他的法律对个人信息的保护方式，从行政法的角度出发，即使被侵害人不主动维权，相关部门发现后也有权主动介入，不仅贯穿事前预防、事中监督和事后处理等个人信息保护的全过程，也可以综合运用包括风险管理、调查和处罚等多种手段，快速便捷地制止侵权行为。

3.2个人信息保护的行政法基础

发达国家的信息技术等方面的发展明显早于我国，也更早重视对个人信息权的保护。

德国出台以信息自决权为基础的《联邦数据保护法》，将公民的个人信息由一个监管部门统一监管，较为全面地对公民的信息安全做了规划和保护，除此之外，德国还严格限制信息的转让、流通，在某种程度上对信息安全加了一层保障。在德国的个人信息保护法明确属于行政法的范畴。发生于1983年的“人口普查案”作为德国个人信息保护法发展中的重要里程碑，所反映的就是行政法调整的领域——公共利益与个人利益的关系。

美国采取分散立法为主，加之以行业自律的保护体系来达到对个人信息的保护，在公领域和私领域分别设置了个人信息的保护制度。不仅如此，美国制定的《隐私权法》作为保护公民个人信息权的法律法规的基础准则，对政府收集公民个人信息的各个流程都做了进一步规定，针对不同领域的个人信息制定了与之相对应的法律，采取不同保护手段，例如《美国电信法》保护公民在电信领域的自由。

4我国现行个人信息的行政法保护现状及启示

我国保护公民个人信息行政立法过程中的重要一步是2008年出台的《政府信息公开条例》，规定了公民个人信息的公开、保护以及救济措施。而后颁布的各项法律条文中对个人信息保护、网络安全以及网络信息保护;个人信息的内容和收集范围;信息处理者收集个人信息应付的保密义务;公民个人信息受到行政主体侵害时应承担相应的行政责任等方面也有体现，但条文极为分散，仍存在以下几点疏漏：

4.1缺乏具体的行为规制

我国行政法律规范中对于行政机关在处理个人信息时具体操作程序只是笼统地提到应按照法律行政法规所规定的权限和程序进行，不得超出其法定职权的范围和权限，缺乏对具体明确的行为规则。同时，由于各行政机关所负责处理公民事务的领域、范围各不相同，如果相关立法没有明确限定，仅凭借一些涉及原则性的条款，会导致在具体的实践过程中存在随意裁量的问题，削弱了个人信息保护的效果，导致可操作性不强的现象发生。

因此，虽然我国目前已经存在个人信息保护的上位法依据，但处于下位法的部门法之间存在缺失和缺乏协调性的问题。对此，我们应该在以《中华人民共和国信息保护法》为上位法的依据前提下，将明确目的原则、比例原则、保护信息安全原则、信息公开原则为基准进一步明确规定个人信息的保护范围、救济途径以及侵权赔偿等内容，从而使部门法的相关规定得以完善，成为保障公民的个人信息安全提供行政法保护的依据。

4.2专业管理机构和监管体制

当前，我国国家机关中未设立专门具有针对性的个人信息管理机构，在实践中存在各部门职责重合、监管界限不清的现象，不仅不利于保护公民的个人信息，而且还会导致行政效率下降，个人信息泄露的风险提高的问题。在个人信息行政法保护执法的过程中也缺少健全完善的监管体制，并未形成明确的监管标准，缺少严格的监管措施。因此，针对上述问题应进一步加强执法保护力度，完善监管体制：

首先，建立专门具有针对性的个人信息监管机构进行监督和管理，同时针对不同的监管对象可以分别设置监管行政机关和非行政机关的两个部门，保证执法机构的独立性。除此之外，监督部门和网络运营商要联合起来，对公民个人信息进行保护，及时受理公民关于网络个人信息侵权行为的投诉。在执法中要注重执法的灵活性，可以采取强制方式和非强制方式、直接方式和间接方式相结合的多种执法和保护方式，从而形成全面的个人信息保障体系。其次，对个人信息的使用划定严格的分级许可制度。一方面给予相关部门特别的授权，同时明确其相应的法律责任，遵循权利与责任并行原则;另一方面应统一使用规范的标准，以许可制度的分级规定为基础，规制个人信息的分类、设置面临的风险等级使最终达到保护个人信息安全的效果和目的。最后，为进一步发挥监管部门有效的监督作用，应针对不同类型的个人信息采用不同层次的监管力度。

4.3救济制度方面

公民在个人信息遭受侵害时，由于缺乏实际可操作的规范指导，无法通过复议或诉讼的途径主张自己的权利，进而导致个人权利无法得到实际救济。除此之外，虽然行政复议在我国行政法规定的救济措施中是一种常见的救济手段，但公民在面对个人信息权被侵犯时调查取证较为困难，很容易陷入不停复议的循环的局面之中。再加之个人力量单薄，在诉讼维权的过程中很难获取有利证据且需面临复杂繁琐的诉讼程序，所需耗费的时间与金钱成本太高。对于处于缓和有效救济方式的行政赔偿而言，由于现行法律规定不健全，对于个人信息权被侵犯该怎么赔偿、赔偿数额、情节轻重如何划分、责任主体等都十分模糊，实际操作困难重重。

因此，针对上述问题，进一步完善救济制度是我国对个人信息保护最有效的途径之一。第一，平衡举证责任分配。介于被侵害主体举证无法得知个人信息被盗用的途径以及侵权方信息的情况，考虑将举证责任平衡分配，减轻被侵权主体的举证压力，使权利得以被保护。第二，在救济方面的立法可以借鉴我国澳门地区《个人资料保护法》中有关救济的规定，从行政救济和司法保护两个方面进行规定，个人信息主体违反行政法层面的规定应承担行政责任，同时可以参考行政法中关于行政处罚的具体规定，比如金钱罚、能力罚和自由罚。但是，处罚力度应当在遵循比例原则的基础上适当提高，因为在社会实践中违法行为人被经济利益驱动再加上违法成本小故而增加了个人信息遭到侵害的可能，只有违法行为人清楚地认识到实施违法行为需要付出巨大的代价，才会谨慎行事，方可在一定程度上有效抑制行为人的违法行为。第三，进一步扩大行政复议和行政诉讼的受案范围，当行政机关侵犯公民的个人信息权时公民个人可以向专门管理机构申请行政复议，或向法院提起行政诉讼。同时举证责任应该由疑似侵权主体承担，因为公民在提起行政诉讼时往往无法明确侵权的主体。第四，给予受害人国家赔偿。国家机关及其工作人员行使职权损害公民合法权益的，受害人有权直接请求赔偿或在提出行政复议时要求行政赔偿。如果均无法得到有效的救济，则可通过提出行政诉讼，寻求司法救济来获得赔偿。

5结语

大数据时代背景之下从行政法层面加强对个人信息保护具有更高的严密性，《中华人民共和国个人信息保护法》的出台见证着我国行政法在保护个人信息方面趋向完善。行政力量作为保护公民个人信息的重要力量，在信息保护立法的全面性、信息安全的技术性以及执法上的规范性仍需不断加强。本文通过对目前我国个人信息行政法保护的现状分析提出在上位法的基础上应进一步明确规范行政机构的职权、强化个人信息内外行政法律监管等建议，旨在构建我国对个人信息权全方位的保护机制，推动我国个人信息权的行政保护。

参考文献

[1]高宠.大数据背景下公民个人信息保护立法研究[D].江苏：东南大学，2017.

[2]王崇敏，郑志涛.网络环境下个人信息的私法保护[J].海南大学学报（人文社会科学版），2017，35（5）：125-132.

[3]周庆，暴梦洁.论大数据背景下个人信息的私法保护[J].延边大学学报（社会科学版），2021，54（5）：125-132.

[4]高梅梅.大数据时代背景下对个人信息的私法保护探究[J].湖南工程学院学报（社会科学版），2020，30（1）：91-94.

[5]王晓芬.个人信息的法律属性及私法保护模式探究[J].河南财经政法大学学报，2016（5）：64-70.

[6]齐爱民.中华人民共和国个人信息保护法示范法草案学者建议稿[J].河北法学，2005，23（6）：2-5.

[7]齐爱民.论个人信息的法律保护[J].苏州大学学报（哲学社会科学版），2005（2）：30-35.

[8]齐爱民.美德个人资料保护立法之比较—兼论我国个人资料保护立法的价值取向与基本立场[J].甘肃社会科学，2004（3）：137-141.

[9]张新宝.从隐私到个人信息：利益再衡量的理论与制度安排[J].互联网金融法律评论，2015（2）：16-21.

[10]刘国.个人信息保护的公法框架研究——以突发公共卫生事件为例[J].甘肃社会科学，2020（4）：155-162.

[11]时明涛.大数据时代个人信息保护的困境与出路——基于当前研究现状的评论与反思[J].科技与法律，2020（5）：66-74.

[12]赵丽莉，郑蕾.美国数据与隐私安全保护制度进展述评[J].重庆理工大学学报（社会科学版），2019，33（10）：110-118.

[13]吕艳滨.个人信息保护法制管窥[J].行政法学研究，2006（1）：87-91，100.

[14]王润农.论大数据时代行政法对个人信息的保护[J].法制与社会，2021（14）：5-7.

[15]宁华.大数据环境下公民个人信息的行政法保护分析[J].传播力研究，2021，5（27）：1-3，59.

[16]刘巍.论个人信息的行政法保护[J].行政法学研究，2007（2）：29-34.

[17]郑宁.我国网络环境下个人信息的行政法保护[J].四川理工学院学报（社会科学版），2012，27（6）：50-54.

[18]常宇豪.我国个人信息保护的法律实践与检视[J].征信，2019，37（5）：30-35.

[19]韩伟.安全与自由的平衡——数据安全立法宗旨探析[J].科技与法律，2019（6）：41-48，67.

[20]许娟.中国个人信息保护的权利构造[J].上海大学学报（社会科学版），2019，36（2）：77-89.

[21]赵晟.大数据时代个人信息行政法保护的域外考察与启示——以美国、日本个人信息保护为视角[J].黑龙江省政法管理干部学院学报，2020（2）：17-21.

注释

①该学说强调的是信息与信息主体之间的关联，一种被识别的可能性，尤其是具体的个人可以凭借信息而被“认”出来。

作者简介

于北，南京工业大学/法政学院法学专业硕士研究生在读，研究方向：宪法与行政法学。