论个人信息保护的行政规制路径

      一、个人信息保护的“公法路径”与“私法路径”之争

      在我国个人信息保护法律制度构建的方向上，一直存在着“公法保护”与“私法保护”之争。有学者以个人信息权理论为核心，主张将个人信息权视作私权，以民事救济来提供保障。①也有观点认为，个人信息保护法是一种有关个人信息的管理法，是通过行政许可、行政处罚等手段来确保个人信息处理者合法处理个人信息的法律制度。②此类观点多主张个人信息权是一种基本人权，需要由国家建立有效的事前事中监管与行政执法制度来提供保护。③

      近年来，大数据技术的发展对个人信息保护提出了新的挑战。信息公共性的增强和所包含法益的复杂性使得绝对化的私权保护路径窒碍繁多。而互联网平台的扩张则导致平台与用户间的议价能力失衡，私权保护的基础受到动摇。面对种种挑战，学界开始提出重构个人信息保护法的主张，如主张将个人信息保护“消费者法化”，并结合风险规制的公法框架提供保护；④或是主张以行业标准为主导的个人信息保护路径。⑤这些主张所呈现的一个共同特征是，不再强调个人信息保护是单纯的私法议题，而是试图以多元化的方式解决私法保护的局限。

      我国的个人信息保护实践也呈现出相似的复杂性。《侵权责任法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》(以下简称《网络侵权司法解释》)以及《民法典》都为私法保护提供了充分的规范基础。但实证研究却显示，相较于刑事手段，自然人请求法院对其个人信息权益提供司法保护的案件数量较少。⑥民法学者也提出，个人信息保护中的各种问题需要依靠个人信息处理者的自律行为、监管者的监管措施以及自然人针对信息处理者的民事诉讼(及公益诉讼)共同加以解决，⑦公法保护与私法保护在个人信息保护中都具有重要作用，都是不可或缺的。⑧但对于公法机制与私法机制的所长所短、相互关系，学界的讨论还有进一步深入的空间。

      2021年8月通过的《个人信息保护法》被认为确立了较有力的行政执法机制。事实上，在《个人信息保护法》出台之前，我国已经依据《网络安全法》和相关单行立法开展了大量个人信息保护行政执法。这类执法活动在取得一定收效的同时，也引发了一些合法性争论。这促使从学理层面思考个人信息保护行政执法模式的重要性日益凸显。本文将从上述讨论出发，对以司法诉讼为中心的私权保护机制所固有的局限展开分析，提出行政规制在个人信息保护上的比较优势，并就私法保护路径和行政规制路径的相互关系进行适当展开。同时，本文将结合《个人信息保护法》相关规范的解释与实施，对我国个人信息保护行政规制体系的完善提出建议。

      二、个人信息私法保护机制的局限

      在私法层面，当个人信息权利受到损害时，受害人在理论上既可以选择违约之诉，也可选择侵权之诉。但由于违约之诉举证责任较重，救济效果有限，所以并未成为主要渠道。⑨在侵权之诉中，信息不对称、激励不均衡等问题都影响着私法效用的发挥。

      (一)信息处理者与信息主体的地位失衡导致维权难度高

      个人信息保护法主要调整系统收集、利用个人信息的个人信息处理者与信息主体之间的法律关系。在移动互联网时代，个人信息处理者多为具有专业性或商业性信息收集特征的主体，⑩其中最主要的是大型互联网平台。从形式上看，大型互联网平台与用户之间是平等的民事主体关系，但基于平台经济在“双边效应”和“头部效应”下的先天扩张属性，大型互联网平台的规模日渐增长，面对分散的用户展现出了技术上和资源上的绝对优势。(11)平台对其业务生态内的信息有着极强的掌控力，被侵权人缺乏足够的专业技术和条件去收集、固定证据。这导致基于平等主体关系而设定的侵权法规则难以发挥预期功能。

      《个人信息保护法》第69条第1款规定，处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。这实际上是采取了过错推定的立场。但在这一原则下，受害人完成举证责任至少存在着三个方面的困难。

      首先，在侵权行为和损害结果的认定上，个人信息侵权呈现出高度隐蔽化和技术化的特征。在一般侵权中，侵权行为会造成直接、确定的损害后果，其对相关权益的影响多是清晰和可感知的。但在个人信息侵权中，侵权行为通常以数字化的形式发生，信息主体不仅难以知晓侵权人是谁、侵权方式和侵权行为是什么，甚至难以知道信息权益已经被侵害。在大量的个人信息泄露类案件中，由于所泄露的信息量极大，被侵权人通常无法知晓自己信息是否被包含在已泄露的信息集合中。同时，除私密信息的泄露可能直接引发社会评价降低外，其他个人信息的泄露会衍生出何种具体损害高度不确定。被泄露的个人信息既可能不产生任何波澜，也可能被用于消费诱导、歧视，甚至犯罪。这些损害表现形式超出了传统侵权法的范畴，导致损害计量难以进行。(12)

      其次，即便被侵权人能够发现侵权行为和损害，也较难完成因果关系的证明。分散的信息主体在大型互联网平台面前本就处于信息劣势，在个人信息可能由多主体控制并经多个环节处理的情况下，更是难以构建排他的因果联系。在“王金龙与汉庭上海酒店管理有限公司隐私权纠纷”一案中，法院比对了已泄露信息与酒店系统中的信息，查明二者所涉及信息主体的姓名、身份证号、性别、生日等信息一致，但住址、手机号、入住时间不一致。尽管原告提出，泄露信息中的住址、手机号是原告在最初办理会员时所登记的信息，入住时间则完全由酒店控制，存在被更改可能，但因为未提供相应证据，法院认定其为“猜测性抗辩”而并未采纳。法院认为，姓名、性别、身份证号等作为个人基本信息，使用频率和范围较广，并不为被告单独掌握，其扩散渠道不具有单一性和唯一性，无法断定相关信息是由被告泄露。(13)类似案件在航空票务等不同领域多次上演，折射出被侵权人所面临的证明困境。(14)