一、引言

个人信息保护是大数据时代的重要焦点。《个人信息保护法》（以下简称“个保法”）在内容和形式上确立了权利保护和行政监管双管并行的个人信息综合治理模式。然而如何让个人信息保护法规定下的权利保护和行政规制协同运行值得深思，同时随着大数据时代迅速发展，现有的法律概念和相关法律实践也因此发生改变，导致立法规定和数据环境的不兼容性问题凸显，传统的行政规制模式势必难以适应大数据背景下个人信息权益保护的需要。

此外，市场主体和行政机关都可能会存在对个人信息侵犯的问题：市场逐利主体为了抓住数据这一开启商机大门的金钥匙，在利用过程中有可能会对公民的个人信息权益造成不同程度的损害。行政机关作为公共秩序的管理者，为提升行政管理效率和服务人民的质量，也需要全面精准地获取公民的个人信息，在此过程中难以衡平个人信息保护和限制中这一问题。个人信息不仅与公民自身的合法权益紧密相关，还关乎着国家安全、市场利益以及行政部门的再造。我国强调加快建设“数字中国”的同时，也重视个人信息保护。因此，大数据背景下个人信息权益保护问题已成为一项重要的发展任务，有必要从行政法规制的角度加强个人信息权益保护。

二、大数据背景个人信息权益保护问题的行政法规制理论概述

（一）大数据背景个人信息权益保护问题的行政法规制理论基础

1. 个人信息权益属性的定性

个人信息保护的核心焦点在于权利还是权益之争。对其定性不同，选择保护的路径也不完全相同，进而影响着个人信息保护的效果。从我国的相关立法路径来看，虽然《中华人民共和国民法典》（以下简称《民法典》）并没有对“个人信息”作出明确的规定，没有使用“个人信息权”的法律用语，但是将个人信息和隐私权一并予以保护；《个保法》同样也只是表述为“为了保护个人信息权益，根据宪法，制定本法”。

由此可见，正由于个人信息所包含的是多重利益的集合体，并非是单一的财产利益或者人身利益，将其简单归类为某项财产权或人格权来进行保护不太符合现实情形，因此两者都在定义上明确了个人信息的“权益”地位。

2. 个人信息的内涵

《民法典》中对个人信息的定义，主体范围扩大到了包括特定自然人的各种信息，是一切可以识别自然人信息的总和。而《个保法》则排除了特定自然人这一特定主体，采用的是“自然人”的说法，实质上采取定义个人信息的最宽入口模式，扩大了个人信息的认定范围。

自然人是个人信息最主要的来源，从我国的法律法规对个人信息内涵界定来看，个人信息保护适用主体是自然人，法人和非法人组织不能归入个人信息权益保护主体范畴。从世界范围来看，大部分国家和地区也都认为个人信息主体只能是自然人，因此个人信息保护对于人权保障具有重要意义。此外，《民法典》和《个保法》都强调了个人信息的可识别性，这说明“可识别性”是判断个人信息的重要标准，是个人信息权益保护的基础。

（二）大数据背景下个人信息权益保护问题的行政法规制必要性

1. 个人信息权益保护主体的需要

不同形式不同手段的个人信息权益致损，公民可能会手足无措，处于相对弱势的地位。而行政机关作为个人信息权益保护义务的首要承担者，需要采取必要的行政手段对个人信息权益保护问题进行规制，并在实施过程中不断地与时俱进。此外相对于刑法的事后惩罚和制裁以及民法的事后救济来说，行政法在大数据背景下有其独特的优势，具有高效性、处理事务的技术性，兼顾了事前预防、事中监管和事后处罚的优点。因此可以为个人信息权益保护提供较为全面的保护，更适时地保障个人信息主体的合法权益。

2. 大数据时代发展的需要

个人信息作为大数据时代发展的重要资源和基础，倘若在其发展过程中缺乏相应有效的保护措施，信息主体可能不愿意将自己的个人信息提供给信息管理主体，那么个体、整个社会都可能成为一座座封闭的孤岛，阻碍个人向前发展，社会停滞不前。因此要处理好个人信息保护和利用关系，需要借助行政法对收集和利用的各个环节进行规制，为数据的流通和共享提供有力的保护，打破数据孤岛，适应大数据时代数据自由流通和共享发展的需要。

3. 依法行政的需要

法治社会的构建离不开依法行政的推动。行政机关承担着管理社会的重要职能，既是个人信息的收集和利用者，也是个人信息的保护者，对个人信息权益保护负有不容推卸的责任。行政机关在个人信息处理的收集和利用等过程中都需要严格遵守合法的程序，一旦在个人信息处理程序中不合法，不仅会侵犯公民个人信息合法权益，损害其人身财产安全利益，也会在一定程度上丧失公信力。因此对行政机关处理个人信息的行为进行有效的规制，不仅可以很好地提升行政机关的公信力，提高依法行政能力和水平，还可以更好地保护公民的个人信息权益，促进法治社会的构建和发展。

三、大数据背景个人信息权益保护的问题

（一）行政监管尚有不足

首先，传统的行政监管手段已不适应个人信息权益保护的需要。随着大数据时代人工智能的发展，侵犯个人信息权益的行业复杂多样，情形不一，导致行政监管对象、监管环境等一系列基本要素发生了改变，加上法律法规本身存在一定的滞后性，行政监管缺乏适时性。

其次是监管职责不明确。一方面我国个人信息保护的监管职责呈现分散化，《个保法》第六十条规定“有关部门的监管职责由相应的法律、行政法规赋予”，基于此，我国个人信息保护的不同领域有不同的相关立法，并且由不同的有关部门起草，部门利益和目的有所不同，可能会导致监管部门之间发生冲突；另一方面个人信息权益保护涉及的主体和领域较为广泛，监管领域可能会存在交叉监管职责，个别领域则会出现真空地带。所以监管职责界限不明确，模糊不清。

最后是监管效果不显著。监管缺乏一定成效主要是因为行政监管措施较为柔和，例如《个保法》第六十四条规定，监管部门在发现个人信息存在着较大的风险或者是发生安全事件时，可以采取约谈的方式要求相关法定代表人或是负责人进行整改。约谈的方式在于警示、提醒和劝导，措施柔性化，在一定程度上缺乏相应的强制力，有可能会导致监管效果不显著。

（二）行政处罚规定仍需规范

行政处罚中罚款是最常见的财产罚之一，起到制裁的作用。《个保法》第六十六条借鉴域外立法的相关经验，规定了违反个人信息保护义务的最终法律责任以行政罚款形式来承担，上调了罚款的额度以警示违反个人信息保护义务的行为，加大了违法成本，在个人信息保护方面起到较大的震慑作用。第二款规定“情节严重的，并处五千万元以下或者上一年度营业额百分之五以下罚款”，针对“情节严重”这一情形，一定程度上赋予了行政机关较大的自由裁量权和空间。从处罚的额度来看罚款高额，但是具体适用的情形以及如何适用这一款有待细化。由于基于各地的实际特殊情况不同，在适用该条款时所依据的标准也不尽相同，最终作出的行政处罚也会有所不同，结果可能会出现执法不一、同案不同罚的情况，引发争议，给监管处罚增加了一定的难度。

（三）行政救济途径亟待完善

首先在行政复议方面，行政复议是公民认为行政机关所作出的行政行为侵害其合法权益寻求救济的重要法律制度。根据现行我国的行政复议法，面对个人信息权益遭受侵犯的情形之一能否可以通过行政复议的方式寻求救济在法律上并无明确的规定，没有纳入行政复议的范围当中去。

此外在行政诉讼方面，当公民认为行政机关及其工作人员所实施的具体行政行为侵犯了其合法权益时，公民有权向人民法院提起诉讼。一方面基于行政机关和公民的地位较为悬殊，个人能力相对有限；另一方面当个人信息权益受到侵害时，由于大数据时代发展的数据海量性等特点，个人收集证据的难度加大，维权成本较高。

最后在行政赔偿方面，行政赔偿主要指行政机关及其工作人员在行使职权的过程中侵害公民合法权益时，公民有权向国家提出赔偿的法律制度。根据《国家赔偿法》的相关规定，公民的个人信息权益遭受侵害时，能否向国家提出赔偿的条文并没有明确规定。因此救济的途径相对来说不太畅通，行政救济的途径亟待完善。

四、个人信息权益保护问题的行政法规制进路

（一）找准行政监管定位

首先针对传统监管手段不适应大数据时代个人信息权益保护的问题，创新监管手段，依托大数据实施大数据监管。一方面在法律制度设计上，针对《个保法》《数据安全法》等相关法律法规可以出台对应的实施细则，将技术标准规范和法律制度设计有机结合起来，发挥国家强制力在个人信息权益保护中的重要作用；另一方面依托互联网平台，拓宽公民获取互联网平台信用的渠道，尽快建立以企业信用信息为核心的互联网监管平台，引导互联网平台企业健康有序发展。

其次基于监管职责不明确这一问题，可以由国家网信办根据《个保法》的相关规定联合各行政部门制定统一的个人信息保护领域实施细则和规范标准，其他有关行政部门可以制定相应的部门监管规范。此外，对于可能出现的监管冲突问题，可由部门之间自行协商，协商不成由国家网信部门统筹协调处理。对于可能出现的监管空白问题，也可以由国家网信部门兜底进行监管。

最后对于监管缺乏一定效果的问题，可以适当引入第三方评估机构和行业协会。将行政机关的部分职责和权力下放给第三方社会力量，可以提升监管的成效。一方面要建立健全第三方市场准入机制和退出机制，及时监管第三方机构和行业协会；另一方面行政监管部门也要与第三方机构、行业协会划分监管职责，避免出现监管冲突，形成监管合力，着力提升监管实效，保障个人信息权益。

（二）规范行政处罚程序

行政处罚程序当中，在《个保法》第六十六条第二款规定的“情节严重”情况下，考虑到各地具体实际情况不同，有可能出现执法不一、同案不同罚的问题，需要对该项规定进行细化，统一执法。首先可以以受害者数量来作为“情节严重”的判定标准之一，由于互联网的关联性较强，当出现侵犯个人信息权益所涉及的受害者具有不确定性。因此可以将受害者数量规定在合理的区间内。其次考量违法者的主观程度来确定“情节严重”的标准，区分故意、过失。最后还需要考虑社会危害性，即侵害个人信息权益的行为是否对社会秩序造成了影响。

此外针对一些市场营利主体来说，其违法成本较低，仅仅是罚款不足以对其造成震慑力，需要增加相应的行政处罚种类，对市场违法主体进行限制，如限制利用信息网络资源以及互联网平台的失信名单公示等。

（三）完善行政救济制度

首先，对于行政复议和行政诉讼的相关法律法规并没有对个人信息权益保护的明确规定的情况，有必要扩大行政复议和行政诉讼受案的范围。行政机关作为信息收集的重要主体，在收集和利用过程中可能会由于程序不当导致个人信息泄露。因此需要拓宽行政复议的受案范围，明确界定行政机关侵权的行为。行政诉讼也要相应地改变，以适应行政复议的变化。从行政复议和行政诉讼的受案范围来看，都是在行政机关侵犯公民个人信息权益之内的。

此外可以构建个人信息行政公益诉讼，考量到大数据时代个人信息不完全属于公民的私权以及个人信息具有公共属性的原因。第一是细化可起诉的主体，《个保法》第七十条规定了行政公益诉讼的主体包括人民检察院、法律规定的消费组织和由国家网信部门确定的组织。这一规定较为充分地考虑到公民独自维权的困难，也为行政公益诉讼的发展提供了思路和条件。不过由于“国家网信部门确定的组织”尚未明确，因此还需要有待细化可起诉主体。第二是拓宽受案的范围，我国的行政诉讼法第25条明确规定了行政公益诉讼的范围，规定中“等领域负有监管职责”并非是限定范围，而是留下更多的自由裁量空间，今后有待明确拓宽受案范围。第三是在收集取证上可以拓宽主体，大数据时代侵犯个人信息权益类型复杂多样，加上侵权手段逐渐技术化、隐蔽化，仅靠人民检察院依职权启动较难全面保护公民个人信息权益，需要依托互联网平台与个人等的主动性，发挥社会舆论监督的作用，协助人民检察院完成收集取证，以便确保行政公益诉讼的开展。

最后可以扩大行政赔偿的范围，行政赔偿作为个人信息权益的损害填补，完善行政赔偿制度一方面可以增强公民维权的信心，另一方面可以更好地弥补公民个人信息权益受到侵害后的损失以减少损害扩大。因此对于行政机关及其工作人员在收集和利用个人信息等过程中侵犯公民合法权益的，造成财产性损失的，公民可以向国家申请赔偿。不仅如此，合法权益中既有财产性权益也有人身利益，如果造成重大侵害的，可以向国家申请精神损害赔偿。

五、结语

大数据背景下，个人信息权益保护问题已成为一大发展任务。数据的自由流通和共享下个人信息利用和保护衡平问题也引发关注，一方面行政机关为提升政务水平和公共管理的质量，需要收集和利用个人信息，另一方面也给公民的个人信息权益保护带来了一系列的挑战。如何保障大数据背景个人信息的权益，关键在于具体分析个人信息权益保护存在的问题，选择好个人信息权益保护的进路，从行政法规制角度出发针对个人信息权益保护行政法规制的问题，进而找准行政监管定位、规范行政处罚程度和完善行政救济途径，为个人信息权益提供强有力的防护盾，促进大数据时代繁荣蓬勃发展。

参考文献：

1. [1] Zarsky T Z.Incompatible:The GDPR in the age of big data[J].Seton Hall Law Review,2017:995-1020.
2. [2] 丁柔.个人信息的行政法保护研究[D].江南大学,2022.
3. [3] Rodotà S. Data protection as a fundamental right, Gutwirth S, Poullet Y, Hert P, et al. Reinventing Data Protection?[M].Dordrecht: Springer,2009.
4. [4] 张涛.个人信息保护的整体性治理：立法、行政与司法的协同[J].电子政务,2023(06):51-64.
5. [5] 宋才发.个人信息保护的法律规制与法治路径[J].重庆邮电大学学报(社会科学版),2022,34(05):48-56.
6. [6] 张超,周博文.个人信息保护：作为基本权利的解读[J].河北工程大学学报(社会科学版),2022,39(03):85-91.
7. [7] 程啸.论《民法典》与《个人信息保护法》的关系[J].社会科学文摘.2022(11):112-114.
8. [8] 周庆,暴梦洁.论大数据背景下个人信息的私法保护[J].延边大学学报(社会科学版),2021,54(05):125-132+144.
9. [9] 张新宝.论个人信息权益的构造[J].中外法学,2021,33(05):1144-1166.
10. [10] 侯思博.论个人信息的行政法保护[D].黑龙江大学,2022.
11. [11] 吕良坤.大数据时代个人信息行政法保护问题研究[D].河南财经政法大学,2022.