网络环境中个人信息保护的 行政监管

摘 要

信息技术的高速发展与经济形式的更迭使得个人信息的流通愈发频繁。在此过程中，个人信息的传播与利用为社会创造了可观的经济效益，但与此同时，个人信息的安全也正面临前所未有的危机。为应对当前频频发生的个人信息泄露问题，我国出台了《个人信息保护法》对个人信息保护领域的问题赋予上位法保障。但由于网络环境的特殊性影响，加之我国在新法实施后仍具有一些现实问题：如执法权归属不明确、行政处罚裁量权过于宽泛、遗漏救济途径、未建立长效监管机制、告知同意规则存在缺陷以及个人信息跨境合作不协调等。因此，在新法颁布的基础上研究网络环境中个人信息保护的行政监管则显得迫在眉睫。本文将针对上述问题，运用文献调查法搜集有关域外在该领域的先进经验，并运用比较分析法对比分析各国经验成果，提出适合我国国情的完善建议，为我国个人信息保护领域进一步发展尽绵薄之力。

关键词：个人信息保护；行政监管；网络环境

一、绪论

（一）问题的提出

信息时代，全球互联网技术的发展达到了前所未有的速度，这使得个人信息每时每刻都裸露在网络环境之中，为个人信息的泄露创造了“机会”。譬如，2007年一位自杀的姜女士在临亡前开放了自己的博客，博客记录了其丈夫出轨后自己的心路历程。在姜女士自杀后，看到此博客的网友群情激愤，通过网络技术对插足姜女士婚姻的第三者进行“人肉搜索”，最终找到了有关王女士的个人信息，这些个人信息被网友们公之于众，成为攻击王女士的利器。再如，2016年松阳县警方破获的一起买卖个人信息案件中，犯罪嫌疑人王某和库某等人便是通过黑客技术入侵各大信息系统和网站获取近七亿多条公民个人信息，并将这些信息进行倒卖，造成公民个人信息泄露，更造成一系列财产损失。又如，2023年7月，“滴滴出行”软件因泄露用户个人信息而被下架要求整改。面对此种情况，2023年11月1日，我国首部《个人信息保护法》正式颁布实施。此部法律的颁布为个人信息保护的行政监管提供了上位法保障。但是，在新法颁布后，个人信息泄露事件仍然频发。2023年2月10日，疫情防控工作者时某将其在工作中搜集到的公民个人信息上传至某社交软件上，导致这些公民个人信息泄露。无独有偶，据工信部发布的测评结果显示，截至2023年2月，五十二款软件向第三方共享用户个人信息，且共享数量高达七千一百四十二条，其中包含多种敏感信息。可见，作为一部新兴法律，《个人信息保护法》能否突破网络环境的特殊性为个人信息保护提供完善的行政监管法律依据？而监管部门在个人信息保护行政执法的过程中又面临哪些困境？这些困境应对采取什么样的方式去解决？这一系列的问题都值得我们进行探讨。这些问题的答案将在下文的论述中进行呈现，以帮助我国探索出一条适应网络环境中个人信息保护的行政监管路径。

　（二）研究的意义

       1.理论意义

第一，从学科发展角度看，个人信息的内涵在不同的发展阶段具有不同的表现形式，通过此次探讨可以明晰网络环境中个人信息的范围界限及其所包含的内容，同时厘清个人信息与同其有关的趋同概念之间的关系，以此丰富对个人信息保护理论的研究思路。

第二，从学科内容的角度看，相较于普通环境，网络环境中个人信息保护问题更为复杂，因而必须探索多元化的路径以应对各种复杂问题。而在多种解决该困境的主体中，行政机关在落实网络环境下个人信息保护的监管活动中扮演着主要角色，因此，探索如何落实科学合理的行政监管体系在保护网络环境中个人信息方面尤为重要。

2.实践意义

信息时代所带来的重大变革对数据资源的分析和使用方式产生了重大影响，为个人信息保护带来更多困境与挑战。本文试图结合网络环境的突出特点，刨析现阶段我国国内个人信息保护领域的困境，并结合国外相关经验，立足我国国情与时代背景，提出健全我国网络环境中个人信息保护行政监管体系的基本构想。希望能在汲取学习知识的同时，为保护公民个人信息、维护经济社会持续健康发展，完善XX监管模式、建设健康网络环境，保护个人信息安全方面提供有益的思考。

　（三）研究现状

首先，在对个人信息保护的概念界定方面，学界一直存在着个人信息与个人隐私保护内容是否一致的争议。针对这一争议，学界主要存在三种不同的观点。周汉华教授认为，个人信息和个人隐私本质上没有太大的区别，只是在历史及国情因素的影响下导致不同国家的立法者对同一概念出现了不同的解读。王忠教授则主张，个人信息和个人隐私两者在范畴及属性上存在差异：在概念范畴上，个人隐私小于个人信息；在概念属性上，不同于个人信息，隐私不具有财产属性，因此，王忠教授认为个人信息及个人隐私属于两个不同的概念，不能混为一谈。而王利明教授则认为，虽然个人隐私的概念范畴小于个人信息，但二者并非毫无联系，二者存在包含与被包含的关系，个人隐私的概念包含于个人信息中。由此可以看出，在《个人信息保护法》未颁布以前，学界对于这两个概念的界定尚有分歧。

其次，在个人信息保护的行政监管方面，不同学者也发表了自己的见解。张鸣春教授认为行政监管需要落实三个工作内容：一是需要行政机关为市场制定科学合理的竞争规则，以弥补市场的不足，解决因市场缺陷所带来的个人信息侵害问题；二是行政机关应当对公民进行个人信息保护的宣传教育，提高公民个人信息保护意识；三是行政机关必须加强内部机关的管理，强化对其下属部门的监督。而王秀哲教授则主张行政机关在对个人信息进行监管时需要承担保护个人信息的积极义务以及不侵害个人信息安全的消极责任。而卢宏及孙金华教授则主张必须对个人使用他人个人信息的行为采用程序约束机制以及目的约束机制加以限制。

最后，在《个人信息保护法》的实际适用问题上，一些学者亦提出自己的观点。蒋红珍认为，《个人信息保护法》通过立法方式授予行政机关大量决策型功能的权力，但由于多数授权条款缺乏特别明确授权的目的、事项、范围、期限以及被授权机关实施授权决定应当遵循的原则，故此种法律机制面临着一定的合法性风险。此外，这也可能加剧该法在不同地区、不同时期的差异化适用，从而导致“法律适用不平等”或者“执法不平等”。学者吕炳斌认为《个人信息保护法》对个人信息的处理采用告知同意机制，在此机制下，同意是在告知的基础上做出的，但矛盾的是，告知并不等同于知情，这便容易导致告知同意机制形同虚设。这一现象在网络空间中尤为严重。学者韩旭至则认为，告知同意机制不仅作为授权机制存在缺陷，其作为一种免责、问责机制亦存在一定困境。一方面，告知同意的授权范围存在局限；另一方面，目前告知同意机制无法全面回应实践中出现的数据利用问题，这些问题将导致告知同意无法用于考察个人信息处理的合法性的问责依据。

（四）研究思路及方法

1.研究思路

本文先对网络环境、个人信息保护以及行政监管中所涉及的概念进行阐述，然后对我国网络环境中个人信息保护行政监管的法律规范以及困境进行介绍，接着比较分析X、欧盟及日本个人信息保护领域的监管模式并对其进行评析。通过比较评析，为我国个人信息保护行政监管模式的完善提出若干建议。

2.研究方法

1.文献调查法：前人的研究成果为本课题研究提供了重要的理论素材，通过对前人关于我国及域外个人信息保护行政监管模式的研究进行刨析整理，为本文进行网络环境中个人信息保护的行政监管研究提供了有益参考。

2.比较研究法：通过对比分析其他国家在个人信息保护领域的发展过程和经验，有利于我国发现自身的不足之处，帮助我国在立足本国国情的前提下结合域外先进经验找到适合我国在个人信息保护领域的行政监管完善方案。

3.实证研究法：通过科学归纳其他国家有关个人信息保护行政监管方面的经验，总结出符合我国国情的经验成果。

（五）本文创新点

本文创新点共有三个方面——

其一是内容上的创新。一直以来，我国学界对于个人信息保护的研究大多集中于如何制定一部属于我国的个人信息保护立法的讨论上，而由于去年（2023年）我国首部《个人信息保护法》已经颁布实施，且因为该法属于一部新兴法律，目前学界针对该法内容上的研究少之又少，因此，本文在研究个人信息保护的行政监管过程中融入对于《个人信息保护法》立法内容的讨论，富有创新点。

其二是研究视角上的创新。不同于以往从法理或者整体视角切入个人信息保护领域的研究，本文从行政监管的角度切入，试图分析行政监管部门在个人信息保护过程中面临的现状，并帮助行政监管部门找到解决问题的路径，具有新颖性及研究价值。

其三为研究空间上的创新。学界对个人信息保护的行政监管的研究大多是基于物理空间的前提下进行展开，而本文关注的是网络空间中个人信息的保护问题。通过分析网络环境的特殊性，为行政监管部门在网络环境下对个人信息保护的监管找到科学合理的完善方案。

二、核心概念的基本界定

（一）个人信息保护的内涵

1.个人信息保护定义

20世纪中叶，随着互联网的诞生，世界各国对网络隐私权的法律保护意识纷纷觉醒。1968年，联合国在“国际人权会议”上首次提出“资料保护”这一概念。而后，世界各国结合本国需要，将该概念进行解释，并逐渐在其本国以立法的方式确立对个人资料权的保护。“资料保护”这一概念发展演变至今，更多地被人表述为“个人数据”；“个人资料”；“个人信息”等，虽表述各异，但立法的宗旨却是不变的。就我国而言，我国国内普遍选用“个人信息”这一表述。

而有关个人信息保护的概念，从字面上看，个人信息即指个人的信息，其中概念界定的难点则落在信息的保护范围上。个人信息的范围很广，哪些内容才是法律所需要保护的，则取决于如何界定个人信息的范围。关于个人信息的范围，学界有很多看法，归结起来共有三种：一是隐私说，这一学说以隐私权为前提，认为个人信息包含于个人隐私的保护范畴之中，因此个人信息应当同法律规定的个人隐私权一样被加以保护。二是以人权为权利基础的关联说，在此种学说看来，不论是个人隐私，还是某个人同社会之间产生的所有关系，只要是本人有关的一切信息，都属于个人信息。三是以人格权为前提的识别说。这一学说将那些能够辨识某个特定人的信息定义为个人信息，换言之，该学说认为个人信息需要具有可识别性，如果能够通过某个信息锁定某个特定的人，则该信息便可以被称之为个人信息。这种识别性既可以是直接的，亦可以是间接的。

就我国而言，在《个人信息保护法》未颁布实施以前，个人信息保护的条文零星分散于不同的部门法之中，而虽然不同部门法对于个人信息保护的定义有所差异，但不管是《电信和互联网用户个人信息保护管理规定》，还是《民法典》第1034条规定，亦或是《网络安全法》第76条规定，都在信息的可识别性这一特性上基本达成一致。在《个人信息保护法》颁布实施后，更加明确了我国对于个人信息的定义是以可识别性为核心的。综上所述，我国采用了识别说，将个人信息定义为能够直接或者间接识别出信息所有者的信息。

2.个人信息与个人隐私的比较

由于个人信息与个人隐私这对概念在内容上有着较多重合之处，所以在此有必要先厘清个人信息与个人隐私这对概念的关系。在实务中，侵犯个人信息可能会与侵犯个人隐私发生法律竞合，这让人们容易将这两对概念混为一谈，但从前述有关我国对个人信息保护定义的界定上可以看出，这对概念之间是既存在联系，但也有区别的关系。

从联系上看，个人信息可分为私密信息以及非私密信息。此时，依照《民法典》第1034条第（二）款，私密信息既属于个人隐私的概念范畴，亦在个人信息的含义领域之中。因此二者在部分情况下存在着你中有我、我中有你的亲密关系。从区别上看，首先，在性质上，个人信息具备可识别性，但个人隐私并不需要具备此种属性。隐私权侧重的是信息的排他性，而个人信息则强调对信息主体的识别。其次，从内容上看，个人信息既包括了公共信息，也包括了私密信息中可以识别信息主体身份的内容，而个人隐私则只注重对于个人不愿披露的信息的保护。其所保护的范围较个人信息要狭窄些。最后，从立法目的上看，个人隐私保护的是隐私权及人格尊严权，而个人信息保护的则是人格权及信息的自由流动。

由此可见，虽然二者在部分内容上存在重叠，但从性质、内容、及立法目的上出发，还是可以清晰地辨析出二者的不同之处。

（二）网络环境中个人信息保护的内涵

1.网络环境的含义

既然本文论述的范围集中于网络环境中个人信息的保护，那么在论述前首先必须明确网络环境的含义。本文中所要论述的“网络环境”，是基于网络空间的产生而筑建形成的一个存储个人信息数据的三元空间环境。信息化时代的到来使人类由传统的“物理空间”和“人类社会”为主的二元空间逐步转变为由“物理空间”、“人类社会”以及“网络空间”所构成的三元空间。从信息论角度来看，网络空间是所有电子数据信息系统的集合，人类在网络空间中依靠电子数据信息所构建出的网络环境生存。换言之，网络空间就好比一个地球，而电子数据信息则类似这个“地球”中的基础资源，其如同物理空间中的一草一木，一水一土一般，构造出一个自然生态环境，而这一环境，便是网络空间中的网络环境。因此，既然网络环境由数据电子信息所构建，便可以反推出网络环境实际上就是指由电子数据信息所集结而成的一个三元空间环境。

2.网络环境中个人信息保护的特殊性

正如网络环境的含义，传统意义下的个人信息只要实现了数据电子化，则传统意义下的个人信息就会存储于网络环境中，成为网络环境中的个人信息。但是，网络环境中的个人信息并不仅仅包含那些实现数据电子化的传统意义下的个人信息。基于个人信息的可识别性这一特征，我们可以轻松界定出何种信息属于传统意义下的个人信息。但在网络环境中，一些不能被认定为传统意义上的个人信息却能够在网络环境中被承认为个人信息。举个简单的例子，一幅在纸上所作的画作，在没有任何署名的情况下是不会泄露该画作作者的任何信息的，此时，我们可以说一幅没有署名的画作是不具备可识别性的。但如果是在网络环境中，只要借助一幅原本就是在网络空间中所形成的没有署名的画作，就可以轻而易举地追踪到画作的作者，甚至可以挖掘出该作者的身份信息、个人行踪、社会关系等。此时，传统信息范畴里面的许多信息在网络环境下被赋予了可识别的属性，这些信息依靠着现有理论从普通的信息升格成为法律意义上的个人信息。可见，网络环境中所要保护的个人信息比传统意义下所包含的个人信息范围更广泛。传统意义下的个人信息实际上包含于网络环境中的个人信息。

3.网络环境中个人信息受侵害的外现形式

虽然上述已经对网络环境中个人信息的概念进行了初步的论述，但要找到行政监管的突破口，还需要进一步了解网络环境中个人信息受侵害的各种途径。总的来看，网络环境中侵犯个人信息的外现形式可以归结为以下三种：

第一种：不当收集个人信息。不当收集个人信息还可以细分为非法收集个人信息以及过度收集个人信息两种形式。其中，非法收集个人信息是指信息收集者在完全没有获得信息主体授予收集个人信息权力的情况下收集个人信息。而过度收集个人信息是指信息主体授予了信息收集者在必要限度内收集其个人信息的权力，但信息收集者超越了该必要限度。

（1）非法收集个人信息

非法收集个人信息的主要手段有两种：其中最常见的便是利用木马病毒入侵的方式，非法侵入他人计算机系统，从而实现窃取个人信息的目的。而由于能够利用病毒获取个人信息的行为主体都是一些擅长计算机技术的网络黑客，加之木马病毒很难溯源，因此，到目前为止，木马病毒已经成为网络环境中侵害个人信息的主要途径。而另一种手段则是利用Cookie文件在信息主体眼皮子底下悄无声息地收集个人信息。Cookie文件是网络服务商为探析网络用户浏览动向而预装在用户计算机中的一种文件。这种文件能够在未获得用户授权的情况下被网络用户的浏览器自动接收，并且实时获取网络用户的浏览记录。与此同时，网络用户在网页中所填写的个人信息将直接被Cookie接收并传送至网络服务商。譬如，只要用户用某购物软件的网页版本购买商品，那么Cookie文件会迅速捕捉该用户所填写的收件地址、手机号码、兴趣爱好，甚至能够获取第三方支付平台中的用户资料等。可以看出，用户个人信息隐藏着巨大的商业价值，而网络服务商作为一个企业，必将是以营利为目的的，建立在此目的之上，网络服务商也会为了追求更大的利益而大规模地收集网络用户的个人信息。因此，Cookie文件的使用已然成为非法收集个人信息的一种途径。

过度收集个人信息虽然手机软件为人们的生活提供了许多便利，但不得不承认的是，一些手机软件在为人们提供方便的同时，也在侵害着人们的个人信息权。众所周知，我们在首次打开某款手机软件时，软件平台就会弹出“隐私政策”提示。作为用户，我们必须勾选“同意”才能够使用此款软件。但是，这些隐私政策往往隐藏着类似“用户在使用软件的过程中企业有权收集用户所有个人信息”的霸王条款。但是由于用户不同意此类条款就无法使用该软件，出于想要使用该软件的心理也不得不做出妥协。此外，有些企业还会设置冗长的文字对这类关键条款进行层层掩护，所以即使用户知道自己授予了企业一些权力，但却根本不清楚这些权力的限度到达什么样的程度。可见，这些所谓的隐私条款实际上形同虚设，本质上它们只是企业掩盖自己过度收集个人信息，侵害用户个人信息权的工具罢了。

第二种：不当利用个人信息。不当利用个人信息的途径可以细分为以下两种类型：

恶意传播恶意宣扬和公布个人信息是一种较为普遍和原始的侵害方式。只是网络科学技术为这些恶意传播他人个人信息的行为主体提供了更加顺手和强有力的武器。网络环境下，恶意传播他人信息的手段有人肉搜索、发送电子邮件、通过社交平台发布个人信息等。最典型的案例就是成都确诊女孩个人信息泄露事件。2020年的12月，一位成都女孩被确诊为新冠病毒患者，这位女孩配合疫情防控，将自己的行程轨迹一五一十地向防控中心报备。但就因为该女孩在近十四天内出入过多个酒吧，引起网友不满。网友纷纷讨伐这个女孩“私生活不检点”，一时间，舆论的炮火向这个女孩砸来。这个女孩的姓名、地址、手机号码、社交账号等信息都被网友一一翻找出来并且肆意宣扬。可以见得，个人信息不仅是识别人们身份的一种标识，也可以成为攻击一个人的利刃。

对个人信息的价值进行二次开发个人信息本身具有着巨大的利用价值已经不需要再赘述，但很多人不知道的是，只要稍加用心地对个人信息进行进一步加工，就可以对个人信息的价值开启二次开发。二次开发个人信息往往存在于商业行为之中。正如前述，一些企业会将收集而来的个人信息储存于专门的信息数据库中，只要通过大数据分析对这些个人信息进行加工，就可以获得深埋于个人信息中信息主体的消费取向，从而能够迅速推出更加有针对性的服务，以此开拓市场，获取更大的商业价值。虽然追求商业利益是企业的“天性”，无法苛责，但是如果这一行为已经侵犯了信息主体的权益，那么这一行为是否合理的关键就在于信息主体能否接受。一旦信息主体不接受这种做法，则企业的行为也应当被判定为不当利用个人信息。

第三种：非法买卖个人信息。在电子商务中，个人信息不但具有利用价值，也已然沦为了一种商品。在利益的驱使下，一些法外狂徒对个人信息进行交易，以此获取商业价值。更有甚者，成立了买卖个人信息为业的公司，公然在网络上以个人信息为商品进行宣传出售。譬如，曾在X一个名为“1—800U．S．Search”的网站上花一百七十九美元，就可以轻松购买到某个人藏在银行保险库内的保险箱位置信息，花费二百八十九美元即可获取某个人的银行档案，花费七百八十九美元就能够得到其银行账号的数量。可见，非法交易个人信息已经不是一件稀奇的事情。此外，由于买卖个人信息的行为是在信息主体毫不知情的情况下悄然发生的，因此，非法交易个人信息不仅会侵害信息主体的个人信息权，还容易滋生一系列网络犯罪。比如2020年的圆通内鬼泄密案。该案中，圆通物流公司内部工作人员将大量用户信息打包售卖给网络诈骗人员，给多位用户造成财产损失。通过此案件足见个人信息买卖对社会的危害程度。

（三）网络环境中个人信息保护的行政监管之内涵

1.行政监管的含义

对于行政监管的理解，应当聚焦于“监管”一词上。监管一词指的是监管主体依照法律规定对市场经济进行干预以解决市场失灵情况的手段。行政监管实质上是附带有行政属性的监管。就目前而言，行政监管已经被纳入到我国行政法法律体系的范畴。从行政法基本原理上看，行政监管是指国家行政机关依照相关法律、法规的规定调节并且控制市场经济的运行。

2.网络环境中个人信息保护的行政监管的定义

综合上述针对网络环境中个人信息保护以及行政监管的定义的论述，我们可以推知，网络环境中个人信息保护的行政监管的定义是：“国家行政机关依照相关法律、法规的规定调节并且控制网络环境中具有识别性的个人信息的保护状况。”依照此定义，我们可以提炼出有关网络环境中个人信息保护的行政监管的几个要点——

首先，行政监管的空间范围规定在网络环境中；其次，监管的对象是具有识别性的个人信息，监管主体是国家行政机关；再次，行政监管必须依照国家有关法律及法规的有关规定；最后，监管的方式是根据网络环境中对个人信息侵害方式的特殊性，对网络环境中个人信息保护中所出现的各类问题进行个性化的调节和控制，以达到维护个人信息在网络环境中正常传播与使用的目的。

　3.我国网络环境中个人信息保护行政监管的现状

依据我国行政法“法无授权不可为，法定职责必须为”的基本准则，行政监管必须具有法律授权，才能够拥有保护网络环境中个人信息的基础和依据。因此，本文在论述网络环境中个人信息保护的行政监管问题时还需要对授予该行政监管权限的相关法律现状进行刨析。

4.个人信息保护关于行政监管的法律规范

在《个人信息保护法》尚未颁布实施以前，我国关于个人信息保护行政监管方面的规定分散于各法律法规及规章中，其中包括：

2005年颁布的《个人信用信息基础数据库管理暂行办法》中确立了中国人民银行在商业银行个人信息保护中的行政监管地位。

2012 年通过的《XXXX常务委员会关于加强网络信息保护的决定》虽然并未明确规定行政监管主体，但明确了行政机关对于个人信息保护的职权范围以及处罚措施。

2013年2月，信息部发布的《信息安全技术公共和商业服务信息系统个人信息保护指南》确立了信息主管部门按市场主体划分监督个人信息收集和使用的权力。该部门规章还规定，信息主管部门有权对不当使用个人信息的行为采取强制措施。同年7月，工信部公布的《电信和互联网用户个人信息保护规定》中不仅规定了工信部和通信管理局在电信及互联网用户的个人信息保护方面的行政监管权力，还明确了相关的惩罚标准。同年10月新修改的《消费者权益保护法》中亦对个人信息保护作出相关规定，并且明确了工商行政部门和其他有权部门对消费领域个人信息保护的行政监管权。

2016年颁布的《网络安全法》则规定了以网信部门为主，其他相关部门为辅开展个人信息保护在互联网领域的行政监管工作。

可见，在《个人信息保护法》尚未颁布实施以前，虽然在法律法规及规章中能够找到行政监管的相关依据，但鉴于这些依据过于分散，且由规章及其他规范性文件组成居多，缺乏上位法统领，故在此之前行政监管的相关法律依据是较为薄弱的。而2023年《个人信息保护法》的出现打破了这一僵局。该法对此前已经颁布的法律法规中有关个人信息保护的行政监管规范进行整体设计，最终统领整合为一部统一的上位法。明确赋予国家网信办、xxx各部门以及县级以上网信办行政监管的职权，为行政机关针对个人信息保护的监管提供了合法性依据。此外，该法还构建了行政治理结构，降低了行政执法难度。同时，该法规定了个人信息保护行政处罚的有关标准，一定程度上提高了处罚的准确性与公正性。

（二）网络环境中个人信息保护行政监管的困境

1.立法层面的不足

虽然在《个人信息保护法》颁布实施以后，我国个人信息保护行政监管的局面已经得到极大的改善，但由于《个人信息保护法》作为一部新兴法律仍有很大的完善空间。因此，分析个人信息保护立法层面的缺漏有利于直击个人信息保护行政监管所遗留的痛源，并对症下药。

（1）执法权归属不明确

通过上面对于个人信息保护行政监管法律依据的论述可以得知，《个人信息保护法》对比旧有立法的优势有二，一是其明确了国家网信部门的“统筹协调”地位强调了该部门在个人信息保护行政执法中的特殊性；二是该法第62条中明确了该部门统筹有关部门制定个人信息保护的具体规则及标准。这一规定在一定程度上防止了“各自为政”的情况。但是，此二规定均未解决执法权归属不明确的问题。

首先，此二规定将国家网信部门置于“统筹协调”地位，而非将个人信息保护的行政监管权交由该部门统一负责，而因为对于“统筹协调”的理解，仍有较大的解释空间，故此二规定针对执法权的归属问题在本质上仍是较为模糊的。“统筹”和“协调”意味着国家网信部门并不是个人信息保护行政监管的直接负责主体，而是通过统筹和协调有关部门进行间接的监管。换言之，国家网信部门是否取得了执法权仍然是不能明确的。而如果网信部门没有执法权，那么执法权的归属最终落入哪个部门手中，也是《个人信息保护法》中未解决的一个问题。可见，“统筹协调”这一词汇看起来是为个人信息保护行政监管找到了执法权的归属，但透过上述现象，可以看出，个人信息保护行政监管执法权的归属问题仍然是不明确的，这仍然会导致执法部门互相推诿的后果，同时也会使受害者陷入投诉无门的尴尬局面。

其次，从《个人信息保护法》第60条可以看出，能够赋予相关部门监管权力的不仅是《个人信息保护法》，还有“有关法律、行政法规”。但要知道的是，如果其他法律和行政法规也可以赋予相关部门行政监管权限的话，便还是容易带来监管权过于分散的问题。此外，不同部门所制定的法律法规不可避免地会带有一定程度的部门主义色彩，从而造成执法权权属发生冲突。可见，虽然《个人信息保护法》对执法权属规定做出更新，但本质上还是有种“换汤不换药”的感觉。而执法权归属的不明确一方面将直接使得执法层面收到牵制；另一方面，在《个人信息保护法》规定了“上一年度营业额百分之五以下”等巨额罚款权力的情况下，执法权属的模糊更会影响到法律的明确性和可预期性。

（2）行政处罚裁量权过于宽泛

上述提到，《个人信息保护法》中对行政处罚的有关标准进行了一系列的规定。但细看条文，还是能够发现，对于适用罚款的情形及罚款对象的规定还是过于笼统，这使得行政处罚的裁量空间过于宽泛，随之而来的还会有裁量权滥用的问题。譬如，《个人信息保护法》中对情节严重的违法行为设定了“五千万元以下”或 “上一年度营业额百分之五以下”的罚款额度，但具体在什么情形下适用何种处罚方式则并没有在条文中阐明。同时，对于犯罪行为的程度说明也并没有在条文中呈现，因而何种违法行为属于“情节严重”则无从判断。在此情况下，适用罚款的情形则难以确定，这也意味着罚款方式及罚款额度也被归于监管部门的裁量空间之中。但这一裁量权过于宽泛，加之执法权属尚不明确，更不利于执法的统一性，亦更容易导致不公正的判罚行为。

此外，从金额上看，罚款的上限金额高达五千万元，即便是营业额的百分之五以下，也是一笔非常惊人的数目。而如此高额的罚款金额，却没有一个明确的裁量权行使基准。这更大大加剧了案件同案不同罚的问题。

另外，基于网络环境中大部分侵犯个人信息的主体多为互联网平台，而互联网平台一般都为股权结构比较复杂的集团化企业因此，处罚的具体对象还需要进一步确定。而《个人信息保护法》中有关“上一年度营业额百分之五”的处罚仅规定了额度，并没有明确处罚的对象，在此种情况下，一些无辜的股东有可能会受到牵连。这不仅不利于法律的权威，更在一定程度上阻碍了互联网平台的发展壮大。

（3）遗漏救济途径

目前而言，个人遭遇个人信息被侵害的情形共有两种：一是行政机关在收集和利用个人信息的过程中侵犯了个人信息；二是除了行政机关以外的个人、企业以及其他组织侵害个人信息。而不管是这两种情况中的何种情况，个人在遭遇了个人信息被侵害情形时，都会寻求救济的途径。但有意思的是，《个人信息保护法》作为一部上位法，却通篇没有提及或者说没有明确提及受害人有哪种救济选项可以选择。虽然在该法的第50条第（二）款以及第70条中都为受害者提供了“诉讼”这一救济途径，但结合上下条款的内容来看，可以判断此处的“诉讼”指的是民事诉讼而非行政诉讼。如此一来，不管是行政机关违法收集和利用个人信息的行为，还是行政机关行政监管的消极不作为行为，受害人提起行政复议或者行政诉讼的权力都被完完全全地遗漏了。

2.执行层面的困境

（1）未建立长效监管机制

个人信息保护涉及收集、存储、使用、加工、传输、提供、公开、删除等多个环节，属于一个系统性工程。因此，行政机关亦必须建立起长效的监管机制。但从目前看，个人信息保护的治理工作主要为“运动式”的执法模式，且监管的范围仅集中于信息收集者是否非法或者过度收集个人信息，对于信息主体的个人信息被非法或者过度收集之后的其他问题，监管部门未能进行后续的跟踪调查。而要知道，由于网络环境的特殊性，个人信息的泄露速度要比一般情况迅速得多，大部分情况下，当信息主体发现自己的个人信息被侵害时，此信息已经再次被传播出去了。譬如，在“徐玉玉案”中，犯罪嫌疑人就是通过攻击高考报名系统获取徐玉玉的高考报名信息，该信息几经辗转落入电子诈骗犯手中，最终酿成悲剧。可见，个人信息被非法使用或者非法买卖所带来的危害程度远远比其被非法或者过度收集大得多。通过上述可以发现，虽然集中且运动式的执法模式可以在短期内较为精准地捕捉到侵害个人信息的行为，但从长远角度看来，个人信息泄露的其他潜在危害便能够悄然发展壮大。除此之外，基于网络环境的特殊性，监管部门的延伸管理亦难以深入。由于网络环境中涉及的信息主体十分庞大，监管部门要在如此庞大的用户中寻找获取了潜在威胁信息的用户无异于大海捞针。加之法律未对后续跟进环节进行详细地规定，因此，由哪一部门负责该环节的调查工作则变成了一个未解之谜。在此种情况下，也更容易让各监管部门因畏难心理而互相推诿，从而更加不利于长效监管机制的建立。

（2）“告知同意”规则的实施困境

《个人信息保护法》中沿用《民法典》所确立的告知同意规则，该规则指的是信息收集者必须告知信息主体并且征得信息主体同意才能够对信息主体的个人信息进行收集。但由于该规则具有结构性问题，且信息主体的认知在多方面因素的影响下容易被干扰，加之该规则本身存在内在悖论，使得行政机关在运用知情同意规则进行监管时面临层层阻碍。

首先，告知同意规则存在着结构性问题。在知情同意规则下，信息处理者为了规避法律风险，会通过大篇幅的告知文件隐藏关键授权信息，以此混淆试听，加之告知文件中大多为晦涩难懂的法律专业术语，一般信息主体在面对一份冗长的告知文件就已经足够头疼，更何况是多个网站或者应用的多份类似的告知文件，在此情况下，信息主体大多会选择放弃阅读这些告知文件，直接勾选同意。可见，在这种规则下，信息主体是否真正了解条款的内容且是否表达的是真实同意的意思表示不再被关心，这显然与确立该规则的目的背道而驰。此外，在一般情况下，在不同时间段授权的某一单一的个人信息可能不会带来某种风险，但基于网络环境的特殊性，在网络环境中，在不同时间段授予的单一个人信息，甚至是在不同平台上的不同时间段授予的单一的个人信息，经过技术分析后可能会互为线索，最终聚合形成具有巨大威胁的敏感信息。而信息主体在授权这些单一个人信息时往往会或有意或无意识地忽视这种潜在危险。显然，知情同意规则在网络环境中的适用性还有待进一步地考究。与此同时，正如前述提到，目前大多网络用户在首次使用某款软件时都会面临“二选一”的艰难抉择。如果网络用户不签署同意授权告知文件，则不能够使用软件。在看似有所选择，但实际上没有任何选择余地的窘境下，大多数网络用户都会妥协勾选“同意”选项以便使用软件。可以看出，商家只需要迈出“告知”这一步，后面的“同意”步骤在多数情况下就能够顺理成章的完成。这也意味着告知同意规则在告知这一步就出现了断层，无法与后续的同意机制连续上。如此一来，同意便成了形同虚设。可见告知同意规则在结构上存在着一定问题。

其次，由于信息主体的认知在多方面因素的影响下被干扰，告知同意规则难以成立。告知同意规则可以成立的假定前提是信息主体是一个理性的自然人，即其会阅读且理解告知文件的内容，并能够权衡其中的利弊，作出是否授权个人信息权的理性选择。但是，正如前文所述，大部分的自然人实际上并不会阅读告知文件，更不用说能否根据其所理解的告知文件的内容作出理性判断了。换言之，告知同意规则在大多数情况下缺乏假定前提，即缺少其赖以存在的理论支撑。

最后，告知同意规则亦有内在的悖论。第一，告知同意规则要求信息收集者充分告知信息主体授权内容，而充分告知往往需要冗长的文字说明以及晦涩难懂的专业术语加以支撑，而冗长的内容以及晦涩的词汇会导致信息主体本能地排斥阅读理解这些告知文件的内容，信息主体往往只愿意接受一些简洁易懂的告知内容，但简洁易懂的告知内容却难以传达复杂的告知内容。可见，“充分告知”与“生动易懂”之间存在着悖论，“充分告知”信息主体与让信息主体接受阅读告知内容之间难以兼得。第二，在实施强度方面，该规则亦存在悖论。虽然法治基本理念要求执行机关严格落实法律规则，但在该规则下，严格的态度将会带来一系列的反效果——信息收集者会为了规避法律风险而编辑更加细化、复杂的告知内容或者发出更多告知文件供信息主体签署，导致信息主体更加难以接受。加之网络用户只能做出“二选一”的选择，在缺乏选择空间的情况下用户一般会直接选择同意授权，进而导致网络用户对同意请求更加不敏感。可见，严格实施该规则不仅难以达到强化个人信息保护的目的，更使得该规则沦为信息收集者出罪的工具。该规则本身存在内在悖论。

综合上述可以看出，由于规则本身存在一定问题并且具有内在悖论，使得信息主体的同意质量下降，难以达到该规则的立法宗旨，这亦大幅度增加了监管机关判断信息主体的授权行为的作出，是否基于其真实意思表示的难度，因此，行政监管者在实施此规则时难免遭遇困境。

（3）个人信息跨境合作不协调

此次颁布的《个人信息保护法》中增设了个人信息跨境提供规则，该规则对个人信息处理者向我国境外提供个人信息的行为做出具体规定。虽然结合该规定及其他相关法律法规不难看出，我国在个人信息跨境提供规则方面已经形成初步的立法框架，但该规则在实际实施过程中仍然面临一些阻碍。

从法律条文上看，我国在个人信息跨境提供规则中仅对提供个人信息这一环节中作出规范，对于已经违法跨境传输个人信息之后的一系列监管措施，则未在该规则中释明。而根据一般的执法思路，为了提高监管效率、明确监管职权，当代XX一般是以区域划分治理范围。但在网络环境中，个人信息的散布不限定在一个地区或者一个国家，更甚的是，对于个人信息的非法收集、过度收集、非法买卖、非法二次开发行为可能由世界各地的违法分子共同实施。因此，在网络环境中，个人信息的保护需要依靠多个国家或者地区的监管部门共同合作进行。但是由于各个国家监管部门的设立方式、监管手段、权力边界、执法模式以及关于个人信息跨境提供的规定判若鸿沟，而我国法律又未对此种情况做出有效规定，便导致信息跨境监管受到一定的阻碍。与此同时，被侵害个人信息的信息主体在面对跨境侵害时，更无从寻求有效的救济渠道，此种情况下，个人信息传播的可能范围将扩大到全球。可以说，在个人信息跨境合作不协调的情况下，个人信息传播的危害性将是空前巨大的。

四、国外网络环境中个人信息保护的经验及启示

（一）X关于个人信息保护的监管经验

1.X个人信息保护监管模式

X是首个提出保护个人信息的国家，受国家性质影响，X并未出台专门的个人信息保护法，而是采用分散式立法模式，将对个人信息的保护规定分散于宪法、联邦法律以及各个州的法律中。且X作为传统英美法系国家，选择运用双轨模式，对行政机关与非行政主体操控个人信息的行为采用不同的法规加以规制。一方面，对于行政主体利用个人信息的行为，X出台了《X隐私法》，主要按照保护隐私权的方式对个人信息权进行保护。为平衡行政主体的权力与信息主体权利，该法详细规定了行政机关处理个人信息所应承担的义务。另一方面，X采用行业自律方式对非行政主体处理个人信息的行为进行调整。此种模式以X民法领域的普通法为主，以各州立法、各民间行业规范等为辅，形成一个行业自律保护模式。此种模式自上而下运行，在各行业中形成一系列个性化的信息保护标准，通过行业自律监管为首，XX宏观指导次之的模式，构建一整套行业保护体系。在此领域，X并没有新设机构对个人信息保护进行监管，而是将对个人信息的保护工作交由各行业或者各领域中的主管机关负责，以此更有针对性地对个人信息进行保护。

2.X个人信息保护的监管特点

（1）不同领域监管机制不同

从上述可知，X在公共行政领域和非公共行政领域分别采用了不同的监管机制。这是X长期受自由市场经济思想影响所带来的结果。相比个人信息的保护价值来说，XXX更加青睐于个人信息背后所蕴藏的商业价值。所以，X更崇尚以商业角度去看待个人信息的保护问题。这就导致X在不同领域的监管机制不同。

（2）未设立专门监管机构及执法机构

正如前文所述，X十分重视个人信息所带来的经济效益。因此，为了防止阻碍个人信息商业价值的开发，X没有成立专门的监管机构和执法机构，而是采取分散立法、多元监管的方式，将各领域所涉及的个人信息保护工作交给主管该领域的机关进行管辖，这种模式即是上文所提及的行业自律监管模式。举个例子，在网络安全领域，就由网络安全管理组织负责与网络用户有关的个人信息保护监管工作。虽然行业自律监管模式能够更有针对性地监管不同领域的个人信息保护状况，但在网络环境下，此种监管模式常常面临失灵的窘境。

（3）行业自律监督方式缺乏法律效力

在非公共行政领域，X运用行业自律模式对个人信息进行监管。但由于此种模式主要是认证项目，并不具备法律强制力，因此大多数企业并没有参与其中。这便导致行业监管存在较大的漏洞，达不到预期的监管效果。

3.X个人信息保护监管机制评析

一方面，X分散立法分散监管模式符合其国情，照顾到了各领域及各行业的特殊性，能够个性化地对个人信息进行保护，具有自身优越性；而另一方面，在缺少统一监管标准，未设立专门监管机构及执行机构，仅依靠行业自律对个人信息进行监管的情况下，未能很好的应对网络环境下的各类挑战。

（二）欧盟关于个人信息保护的监管经验

1.欧盟个人信息保护监管模式

欧盟在个人信息保护领域一直位于世界领先位置，早在二十世纪六十年代，欧盟便开始开展个人信息保护领域的立法工作。彼时的欧洲在信息技术大规模扩张的情况下对个人信息的需求量骤然增大，深谋远虑的欧盟各国渐渐意识到个人信息背后所蕴含的巨大商业价值，同时对于个人信息保护的意识亦逐渐觉醒，因此，欧盟各国纷纷加入到个人信息保护的行列中。而欧盟作为一个邦联制国家，注定了其无法像其他国家一样通过一部统一的立法对个人信息保护进行规制。因此，欧盟另辟蹊径，运用一系列的条约、指令推动欧盟各成员国在个人信息保护领域内的立法，从而间接创设出一种统一的监管模式。欧盟在个人信息保护领域的发展演进过程中，最具标志性的条例及指令便是其1995年通过的《关于个人信息处理保护及个人信息自由传输的指令》（以下简称“《指令》”）以及2016年通过的《通用数据保护条例》（以下简称“GDPR”）。

《指令》中对各成员国个人信息的保护限定了最低标准，并为各成员国国内个人信息保护立法提供了一般性原则。如此一来，各成员国仅需要依照自身国情将这些原则转化为国内法，便能够将这些基本性原则内化为本国法进行适用。但由于《指令》的相关规定过于严苛，限制了经济社会的发展，加之《指令》中的一些规定已经不再适应高速发展的互联网信息技术，因而《指令》最终被GDPR所取代。

GDPR的粉墨登场使得欧盟个人信息保护达到了史无前例的高度。首先，在GDPR的规制下，欧盟设立了专门且独立的个人信息监管机构——欧洲数据保护局（以下简称“EDPB”）。该保护局负责密切关注全球信息规则的动态并且实时发布指令，以此维护欧盟信息环境的安全。与此同时，GDPR还要求欧盟各成员国根据自身发展需要在本国国内设立至少一个负责本国国内个人信息监管工作的监管机构，并由EDPB统一保障各成员国国内监管机构个人信息保护工作的切实执行，以此实现良性监管。可见，EDPB的统一监管加之各成员国内设监管机构的分散管理，使得欧盟在监管机构的设置上呈现出一个“统分”的结构形态。另外，EDPB还在各成员国之间扮演“中介”及“调解员”等角色，为各成员国之间创造合作机会的同时，还会帮助有分歧的成员国进行居中调解。其次，GDPR还通过专章形式确立了“数据保护官制度”。该制度要求欧盟除建立上述两个层级的监管机构以外，还应当在部分企业中通过外部选聘或者企业内部选拔的方式，选出一些熟悉与个人信息保护相关的法律法规及专业知识的工作人员作为数据保护官。且为防止数据保护官监守自盗，担任数据保护官的工作人员不得担任与数据保护官职能有利益冲突的其他职位。可见，数据保护官的设立实现了将个人信息的保护深入推进到企业内部之中，进而达到数据管理者及处理者自我规制的效果。

2.欧盟个人信息保护的监管特点

（1）监管模式统一化

不同于X的分散式监管，欧盟采用的是统一的监管模式。但这种模式并非简单地用统一的立法形式将其监管模式加以明确，而是包含了两种不同维度的、较为深层次的统一。第一个维度是横向维度。这一维度还包含两个层面的内容：一是在欧盟整体层面上，通过制定各种条例及指令，欧盟形成了统一的一般性原则。二是在领域层面上，欧盟并未对公共行政领域及非公共行政领域进行划分，此二领域均受统一的规范调整。第二个维度是纵向维度。这一维度同样包含两个层面的内容：一是从欧盟各成员国的角度看，欧盟各成员国必须遵循一般性原则制定本国个人信息保护法律法规。二是指成员国内所设置的监管机构都统一受EDPB的监督，并在EDPB的领导下统一开展监管工作。可见，欧盟通过极具技巧的立法形式，在邦联制国家中实现了统一的个人信息保护监管模式。

（2）多层次监管机构

从上述可以看出，欧盟形成了三个层级的监管机构。由欧盟整体层级的监管机构扩散到欧盟各成员国的内部监管机构，形成“统分”结构对个人信息保护进行同步且递进式的监管。再搭配企业内部数据保护管制度，更为欧盟个人信息保护监管机制建立起强有力的保障。

3.欧盟个人信息保护监管机制评析

“统分”结构的监管机构搭配数据保护官制度为欧盟个人信息安全铸造了一面坚硬紧闭的保护墙。但凡事总是具有正反两个面向，这种密不透风的保护虽然在很大程度上保障了个人信息的安全，却也在一定程度阻挡了个人信息的自由流通。因此，虽然欧盟对于个人信息保护的监管模式对我国具有巨大的参考价值，但我国在借鉴时还必须仔细权衡此种模式所带来的利弊，去粗取精、合理借鉴。

（三）日本关于个人信息保护的监管经验

1.日本的监管模式

日本作为一个善于学习的国家，对于个人信息保护监管模式的形成，也同样吸收了各国经验。首先，日本参考了欧盟统一立法的监管模式，于2005年实施《个人信息保护法》。该法一改往日仅规制行政机关的立法，而将非行政机关也纳入到监管对象的行列中。同时该法对个人信息保护的适用原则、范围、适用对象、主体权利、机构职责及救济机制等都作出规定，可以说，该部法律为当时的日本个人信息保护建立起了较为完备的监管模式。此外，日本还借鉴X分散式的立法模式，对各领域中操纵个人信息的行为以分散立法的方式加以规制。同时，日本还学习X行业自律模式，并结合自身国情建立了自律认证制度和安全管理系统评估制度。此二制度为日本打造了一个较为专业的评估体系，XX通过该评估体系筛选出个人信息保护水平达标的企业，以此保障持有个人信息企业的安全性和自律性。而与X行业自律模式不同的是，日本将行业自律置于防范的位置，其更加强调的是XX的调控和监管作用。可以看出，日本在吸收各家经验，不断探索平衡之后，最终形成了颇具特色是“统分结合”监管模式。除此之外，2017年生效的《个人信息保护法》修正案设立个人信息保护委员会，将监管权由各省主务大臣手中转移给个人信息保护委员会。虽然该委员会手握监管权，但其功能却更偏向于咨询和服务类型。因此，该监管机构相比欧盟而言，监管效力较弱。

2.日本个人信息保护的监管特点

日本在汲取X和欧盟监管模式各自的优点之后，创设出统分结合的监管模式，打破了统一监管及分散监管之间的壁垒。在此种模式下，XX既能够统一管理各地方对个人信息的保护，也能够通过行业自律在各领域实现个性化的监管。

3.日本个人信息保护监管机制评析

日本对于个人信息保护的监管机制汲取了X分散式立法和行业自律模式的优点，针对各领域以及各行业制定了极具特色的个人信息保护立法，同时也结合欧盟统一立法模式，通过总领性的个人信息保护立法指导各领域的立法以及各行业的规范。在此种模式下，日本构建了较为完备的监管体系。但是，由于日本的监管机构即个人信息保护委员会缺乏专业监管功能，削弱了个人信息保护的监管力度。

（四）域外个人信息保护行政监管机制对我国的启示

1.根据本国国情完善监管模式

从三个国家的监管模式的选择上看，X受其国家性质影响，更趋向于追求个人信息所带来的商业价值，更加侧重于个人信息的自由流通，因此，在监管模式上，X选用分散式监管和行业自律模式相结合的监管方式。相比之下，欧盟作为一个联盟共同体，需要一种能够将各成员国统筹监管的监管模式。因此，在监管机构的设立上，欧盟选择设立一个独立的监管机构，并要求各成员国依照实际情况内设至少一个监管机构，再由欧盟的监管机构负责监管各成员国内设监管机构的执行工作，从而实现了监管上的统一化。此外，由于欧盟向来注重对个人信息的保护，因此，欧盟还在前述两种监管层级上配套了数据保护官制度，以此建立起更加严密的个人信息保护监管机制。而日本作为一个善于学习的国度，参考了X和欧盟的立法，最终创造了统分结合的监管模式。可见，我国在完善个人信息监管模式时，不能盲目照搬他国的经验，而必须从自身实际出发，综合我国国情完善我国的监管模式。

2.充分发挥行业自律的优势

充分发挥行业自律的优势不仅能够填补行政机关监管的不足，还能在一定程度上提高行业自觉保护个人信息的意识。而参考X的经验可以看出，单纯依靠行业的自我约束往往会使行业自律成为一纸空文，因此，行业自律模式的有效落实还需要配套统一的行业监管标准以及XX监管部门的统筹监管。可见，我国可以在现有的监管模式下引入行业自律模式，为个人信息保护监管上一把锁，各行业主管部门在网信部门的统筹领导下开展个人信息保护监管工作。当然，要引入此种模式还需要大量的配套措施需要跟进，势必还有一场“硬仗”要打，但从世界监管趋势以及我国当前正在推行的简政放权行政管理改革背景看，以后的监管模式将不再只有XX部门“一家独大”，而是趋向于类似日本统分结合式的监管模式。此种模式既能够发挥统筹监管的领导作用，也能充分发挥行业自律的优势，能够很好地促进XX统一监管以及行业自律优势互补。

3.监管个人信息要兼顾效益与安全

个人信息发展至今，人们关注的不再只是个人信息的安全价值，对于个人信息所带来的商业价值也是不可轻视的。但是不管是安全价值还是商业价值，都必须兼顾，而不能顾此失彼。从X和欧盟的经验上看，X过分注重追求个人信息的商业价值，对于个人信息的保护较为分散。这样虽然有利于个人信息的自由利用，但却在一定程度上降低了对于个人信息的保护。相反，欧盟则十分重视对个人信息安全的保护，也正因为这样，个人信息的自由流通受到安全壁垒的阻碍，这也让经济发展受到一定的影响。在高速发展的信息时代，个人信息所带来的经济效益是前所未有的，我们应当接受并且正视这一事实。但我们也不能削足适履，为了追求经济效益而放松对个人信息安全的保护，同样的，我们亦不能为了保护信息安全而用严苛的监管模式去抑制个人信息所带来的经济效益。我们应当权衡好效益和安全之间的利弊，将综合考量结果纳入对我国监管模式的完善之中。

五、我国网络环境中个人信息保护行政监管的完善措施

（一）网络环境中个人信息保护的立法层面的完善

1.补齐制度短板，完善监管依据

（1）厘清执法权归属

未来对《个人信息保护法》的完善过程中，需要尽快出台相关司法解释细化该法第61条、62条及63条关于执法权归属的规定，通过借鉴国外监管模式，在探索中尽快找到执法统一性和灵活性之间的平衡点，对网信部门和其他各部门的执法权限进行明确的切割。具体的操作笔者认为可以借鉴日本统分结合的监管模式，由网信部门负责制定个人信息领域的基本原则和通用标准，为个人信息保护执法确立基本的制度。而其他部门则在依照基本制度的前提下，结合其所负责的行业实际情况开展各行业领域的执法工作。与此同时，还可以效仿欧盟监管机构的做法，让网信部门监督各部门执行工作的完成，并且保留自身兜底执法权，以备不时之需。同时，在网络环境中，各部门在执法过程容易因领域竞合而出现执法冲突问题，在此情况下，网信部门也可化身为和欧盟EDPB一般的角色，在各部门之间进行调和，推进联合执法、效率执法。

（2）对行政裁量权做出限制

正如前述，由于《个人信息保护法》中对于行政处罚采取了区间数值式和区间倍率式并用的处罚方法，但是却未对适用方法的情形做出具体规定，加之处罚上限金额数目庞大，且在面对股权复杂结构企业时没有对具体出发对象做出规定，最终导致监管部门的可裁量空间过大，容易导致执法的差异化，不利于处罚的公正性和统一性。因此，在未来还应当通过相关司法解释进一步细化行政处罚的相关规定，对选择适用何种处罚方式进行较为准确的规定，同时对于处罚金额的标准层级以及具体处罚对象进行比较详细的划分。另外，对于“情节严重”的认定，还需要进一步细化其中诸如违法者的主观状态、危害行为的性质及危害结果等要件解释。只有将法律规定中未规定的信息填补完整，才能够进一步规制监管机关的监管行为，防止因裁量权过大而造成权力的滥用。此外，我国还应当尽快出台对侵害个人信息行为行政处罚的裁量基准办法，以此确保侵害个人信息行为行政处罚的一致性。

2.完善救济途径

前述提到，《个人信息保护法》中虽然规定了一系列的禁止性规范和强制性规范，但却并未对相应的救济途径作出规定。这就容易出现受害者在面对监管部门的消极不作为行为以及行政机关侵害个人信息权的行为时求助无门的情形。为了不让《个人信息法》成为一纸空文，我国必须尽快完善配套救济机制，为受害者提供救济途径。救济机制构建上，首先必须设立行政复议制度，利用行政复议制度对行政机关的行为进行初步的审查。而对于行政复议机关的选择上，由于个人信息保护有一定专业性的要求，因此，行政复议机关最好由监管部门的上一级监管部门担任。行政复议机关有权依照法律法规及相关司法解释的规定，对监管部门侵害公民个人信息或者行政不作为的行为做出处罚。同时，行政复议机关作为维权机关，也可能会出现行政不作为的问题，此时，可以在行政复议机关内部设立专门的监督机关监督行政复议机关的工作。其次，还需要为个人信息保护建立行政诉讼制度，用行政诉讼制度为行政机关的行为再添一层保障，用司法途径确保执法的公正性，用司法的力量守护公民的个人信息权。

（二）网络环境中个人信息保护行政执法的完善

1.建立长效监管机制

“运动式”的执法策略虽然有助于精准监管个人信息侵害行为，但是从长远角度看，这种执法策略仅能够起到事前监管的作用，对于事中及事后的侵害行为，则会在一定程度上被监管部门所遗漏。而在网络环境中，漏网之鱼的出现往往导致蚁穴溃堤。因此，只有将监管延伸至收集、存储、使用、加工、传输、提供、公开、删除等环节，形成全流程闭合式的监管，才能够搭建起专项治理和长效监管相结合的全方位监管模式。与此同时，监管机关还需要变被动为主动，主动对个人信息的收集和流通进行监管，主动关注社会时事热点，将行业领域的突出问题以及人民群众反映的呼声最高的问题作为调查整治活动的重点。最后，监管部门还需要充分发挥技术优势，创新执法手段。在网络环境中，个人信息侵权类型和手段愈来愈多样化，如果没有较为先进的设备作为监管武器，则很难在错综复杂的网络环境下找到违法源头。所以，监管部门可以依托大数据及人工智能技术，为监管提供强有力的技术支持，此外，还应当开发并推广网络用户身份认证系统，为个人信息的流通建设一个良好的网络环境。

2.缓解“告知同意”所处困境

“告知同意”规则虽然存在弊病，但基于这一规则在我国已经日益巩固，因此，如今再谈如何对该保护规则推倒重建显然已经不合时宜。在现阶段，我们更应该做的是研究何种方法能够缓解告知同意规则实施中所面临的困境。

首先，针对告知同意规则的结构性问题及信息主体的认知问题，我国可以出台相关配套措施，提高“告知”的门槛。个人信息保护领域可以参考借鉴民法领域关于格式条款的规定，要求信息收集者在告知文件中着重标注出足以对当事人权益产生影响的条款，同时要求信息收集者将这些重要条款在整篇告知文件的最前文处进行呈现。如此一来，既能够引起信息主体关注，也能够减轻其阅读的时间成本。与此同时，信息收集者还需要对潜在的风险以及一些晦涩难懂的专业术语进行解释，且解释的程度应达到一般人的理解程度，使“告知”能真正地被信息收集者所接收。由于告知同意规则实际上体现了私法自治原理，所以此种解决方法的原理也是建立在此基础上提出的，信息主体被告知后是否同意授权则可以凭借自己的意愿自由选择。法律作为一种保障权益的手段，也只能在最大程度为信息主体创造知情的机会，不可能强制将告知文件的内容传递到人的脑中。因而作为信息主体，权利的主人，也应当花费一定的时间成本去阅读和理解关乎自己权益的文件，毕竟这一规则本身就存在浓厚的私法自治色彩，因而在该规则下对权益的保障也需要当事双方共同努力才能实现。

其次，由于该规则存在内部的悖论，而对于悖论所产生的问题基本上无法根除，因此只能靠对同意强度引入必要的解释，以缓解该规则悖论所带来的困境。笔者认为，可以引入行为区分说对同意的强度划分成两个层级，即如果信息处理者所处理的个人信息不存在侵犯信息主体人格尊严的行为，则在信息主体履行了上述程度的告知义务后，可以视为信息主体默示同意了信息处理者的处理行为；反之，如果涉及人格尊严则必须获得信息主体的明示同意才能够视为信息主体授权于信息处理者。如此一来，再配套强而有力的告知制度规范，使得法的稳定性和法的融贯性得以兼顾，从而让人们在铺天盖地的“告知”及“同意”中解放出来，有利于提高同意的质量，实现该规则的确立目的。

3.个人信息保护跨境合作

信息时代的发展在带动个人信息流通的同时也让世界各国的联系更加紧密。由于个人信息保护逐渐呈现全球化趋势，单靠一个国家或者一个地区的努力难以解决个人信息保护这一全球化问题。因此，构建完备的个人信息保障跨境协作制度显得尤为迫切。首先，为推动个人信息跨境流通的顺利进行，我国个人信息保护监管部门应当加强与相关国家的监管机构的交流与合作，并充分掌握相关国家有关个人信息保护的有关规定。其次，为加强国际交流与合作，我国应当尽快构建一套多边监管框架，以科学合理的个人信息保护跨境合作机制应对国际贸易中的个人信息流通问题。最后，我国还应当积极融入国际性个人信息保护贸易规则体系的构建工作，尽快学习国际个人信息领域保护的先进手段，以此提高我国对个人信息领域的保护水平，为我国公民在国际贸易活动中的个人信息安全增添强有力的保障。

六、结论

信息时代的高速发展使得网络环境中个人信息受侵害问题越来越严峻，而我国新出台的《个人信息保护法》虽然为我国个人信息保护领域提供了上位法保障，但我国在个人信息保护领域的行政监管机制仍然不够完善。因此，本文通过对网络环境中个人信息保护行政监管的相关理论进行阐述，并基于网络环境的特殊性界定网络环境中个人信息新的内涵，整理总结了网络环境中个人信息遭受侵害的外现形式。本文分别从立法层面和执法层面出发，分析出当前我国行政监管面临执法权归属不明确；行政处罚裁量权过于宽泛；遗漏救济途径；未建立长效监管机制；“告知同意”规则存在缺陷以及个人信息跨境合作不协调等方面的困境。在明确我国面临的困境后，通过对比评析X、欧盟及日本等域外国家在个人信息保护领域的监管模式及制度特点，同时结合我国的具体国情和社会现状，为我国网络环境中个人信息保护行政监管路径提出一些完善建议。现阶段我国必须尽快补齐制度短板，完善监管依据，用完备的制度和法律依据保障行政监管的有力实施，用明确的法律规范监督监管部门裁量权的正确行使。同时，我国还必须完善救济途径，为公民维护自身权利开辟行政复议和行政诉讼两种路径，为公民捍卫权利提供强有力的法律武器。此外，我国为应对网络环境的各类新型侵害个人信息安全的行为，还必须建立长效监管机制，形成全流程闭合式的监管，同时还需要充分发挥技术优势，为长效监管磨好技术刀。最后，面对网络环境中个人信息全球流通的现状，我国必须加强个人信息保护跨境合作，为我国公民在国际贸易活动中的个人信息安全增添强有力的保障。

虽然网络环境中侵害个人信息的行为让我们感到苦恼，但网络环境也让个人信息最大程度地实现了它们的商业价值，我们应当正视网络环境下个人信息的安全价值与经济效益，创造一切条件去探寻网络环境下个人信息安全价值和商业价值之间的平衡。最后，笔者坚信，在不久的将来，我国乃至全世界对网络环境中个人信息保护行政监管的研究都能够取得质的飞跃，充分实现个人信息在网络环境下的良性流通。

参考文献

中文著作类

[1] 周汉华:《个人信息保护前沿问题研究》,法律出版社2016年版。

中文学位论文类

[1] 崔建:《大数据时代个人信息保护问题研究》,河北经贸大学2017年硕士学位论文。

[2] 李莹莹:《个人信息保护的行政监管研究》,北京邮电大学2015年硕士学位论文。

[3]林小君:《个人信息保护的XX职能研究》,西北农林科技大学2018年硕士学位论文。

[4]刘立明:《个人信息法律保护研究》, 华侨大学2018年硕士专业学位论文。

    期刊文章类

[1]韩旭至:《个人信息保护中告知同意的困境与出路——兼论<个人信息保护法（草案）>相关条款》,载《经贸法律评论》2023年第1期。

[2]侯巍:《联合国对个人资料的国际保护——论1990年联合国<关于自动资料档案中个人资料的指南>》,载《广西大学学报（哲学社会科学版）》2005年第27卷第4期。

[3]蒋红珍:《<个人信息保护法>中的行政监管》,载《中国法律评论》2023年第5期。

[4]孔祥稳:《论个人信息保护的行政规制路径》,载《行政法学研究》2023年第1期。

谢 辞

青春是一本太仓促的书，转眼江湖已去，韶华将至。曾经的隽永时光，随着毕业钟声的敲响在我的脑海中再次浮现……

四年的大学生活充实而温馨，不仅拓展了我的知识视野，更让我的身心得到了成长。在此，我由衷地感谢我的母校北京理工大学珠海学院，是它，为我的求学之路披荆斩棘，保驾护航！

同时，我要由衷地感谢我的指导老师。回想初识，教授身着一件米白色衬衫，在讲台上用浓浓的X腔介绍着自己，我抬头看向您亲切的面容，聆听着您将知识娓娓道来，不由得在心中期待起您成为我毕业指导老师时的模样。好在上天眷顾，给了我这次成为教授您毕业指导学生的机会，让我在研究遭遇瓶颈时都有一位亦师亦父的良师为我指点迷津。无论是学术知识还是人生规划，老师都愿意将他的经验倾囊相授于我。在本课题的选题和攥写过程中，每一个环节都凝结着老师的心血。老师严谨的治学态度，尽职尽责、一丝不苟的人格魅力深深地影响着我。在此，谨向导师表示我最崇高的敬意和最衷心的感谢！

另外，我还要感谢曾经带领我入门的老师们。是他们的悉心教导才让我对法学的奥义有了更深层次的理解；是他们的一路指引才让我能够扬帆远航；是他们的耐心聆听才让我拥有一段快乐无忧的大学时光。

此外，我还要由衷地感谢我的家人还有我的男朋友。不管我遇到多大的挫折和坎坷，他们都是我永远的避风港，不管我给自己树立多宏大的目标，他们也都会毫无保留地支持我。在他们面前，我可以不必长大，不必坚强。这世间的浪漫与宠溺仿佛他们只给予我一个人。我想说，世界很大，我很渺小，但感谢你们给了我全世界最温柔的宠爱与温暖！

最后，我还要感谢我的朋友、室友和同门。他们更像是我在大学所组建的三个家庭，遇见他们，是神明给我最弥足珍贵的礼物。我们曾一起乘风逐月登陆快乐星球，也曾披星戴月一齐历经九九八十一难。可以说，我与他们分享过的青春，不必初恋少半分。虽然天下没有不散的宴席，但愿我们各奔东西过后，依旧能在更高处相见！

在此愿，明朝即长路，情取此时心。

网络环境中个人信息保护的 行政监管

价格 ¥9.90 发布时间 2023年7月10日

下载查看全文内容

已付费？登录 或 刷新