电子政务平台个人信息保护的行政监管研究

王芷彤

(中南财经政法大学 法学院，湖北 武汉 430073)

1 引言

在互联网时代背景下，我国依托互联网技术发展电子政务，通过建立电子政务平台，有条不紊地促进行政服务信息化。电子政务的快速发展能够推动公民电子数字化信息的共享与使用，提高政府的行政效率，更好地满足人民的日常需求。2021年出台的《个人信息保护法》针对的是公民个人信息权利予以保护，其中第2条规定了受该法约束的主体包括了任何组织和个人，即行政主体也在约束范围内，故该法后述的“信息处理者”亦理所当然地包括了在电子政务平台收集个人信息的行政主体。其中第十三条至第二十七条都是从不同角度、不同层面对于收集处理个人信息应当遵循的“告知同意”归责进行了详细的规定，并且第十三条列举式规定了无须征得相对人同意即可处理个人信息的情况，这在某种程度上有助于解决对于个人利益与公共利益产生冲突的情况，但是在第二章第三节中涉及国家机关对于个人信息的处理时依旧存在规定不够具体和详细的不足，因此将该法用于指导行政机关在电子政务领域的具体实践时有可能面临一定的困难。目前，电子政务平台中侵犯公民个人隐私的案件时有发生，电子政务平台中个人信息领域存在的安全隐患也不容忽视。我国电子政务领域中关于个人信息保护存在行政权力不当行使的潜在风险。为此文章对电子政务平台个人信息保护的现状进行原因剖析，结合我国国情以及对美国和加拿大两国的域外经验借鉴，为电子政务领域个人信息保护体系的制度构建提供有益思路。

2 电子政务平台个人信息保护的域外经验借鉴

2.1 公私分立治理的美国模式

美国通过分别构建公共领域、私法领域的信息秩序实现个人信息保护的分立治理模式。在公共领域中，在管理与预算办公室(office of management and budget，OMB)的统领与对联邦行政机关的监督之下，依托隐私法案、联邦信息安全现代化法案、信息自由法案等一系列由国会颁发的法律和国家管理与预算办公室颁布的行政备忘录形成完善的、覆盖广泛的政府信息行为规范体系，实现对公民信息权利的公法领域保障。在私法领域中，联邦政府针对各领域的信息保护颁布单行法律，结合政府的公平信息实践(fair information practices，FIPs)，构建起涉及金融信息保护、互联网平台信息安全保护，以及儿童隐私安全保护等方面的信息安全保护规范体系，同时通过政府措施激励各行业组织自律以及私营部门就隐私保护建立自我规制机制，进而在信息保护与信息安全的领域达成以自我规制协同配合政府规制的合作互补。

再者，美国电子政务领域对于公民个人信息的保护机制由隐私风险评估机制、基于数据生命周期的隐私保护机制和专业化的信息隐私管理机制三种机制构成。

联邦政府通过事前的初步隐私评估(initial privacy assessment)和事后的隐私影响评估(privacy impact assessment)对于隐私风险进行评估。在对于公民的个人信息进行采集、存储、使用、共享、公开等的过程中，联邦行政机关在整个过程中需要严格遵循“合目的性原则”以及告规则，严格遵守法定程序，通过明示的方法向公民直接收集信息并告知收集目的、信息用途、信息是否共享或者公开、公开群体等，以保障公民的知情权以及救济权。在数据的存储与管理方面，根据美国《电子政务法案》规定，由管理与预算办公室及其内设机构电子政务与信息科技办公室(Office of E-government and Information Technology，OEIT)和联邦政府机关中统一设置的专管隐私工作的机关高级隐私官员(senior agency official for privacy，SAOP)负责联邦政府所有几乎信息网络技术开展的电子政务工作，并且还设置信息与规制事务办公室(Office of Information and Regulatory Affairs，OIRA)对于联邦行政机关的隐私保护工作、信息政策执行情况进行监督，通过多部门各司其职，相互监督的方式使得信息隐私管理趋向专业化。

2.2 制定风险评估准则的加拿大例证

在加拿大在线政府建设工程中，其依托隐私影响评估准则(privacy impact assessment，PIA)和风险识别作为监测、量化和描述隐私风险的政策工具，从而在数据开放的透明性与个人隐私保护之间寻求平衡点。隐私影响评估准则是基于《隐私影响评估报告指令》《向隐私专员署提交隐私影响评估报告的指南》构建的五步评估流程：识别政务相关的个人信息并检视数据收集处理的方式——判断政府对于个人信息的收集的行政行为是否具有必要性、正当性、有效性、不可替代性以及是否符合比例原则——基于加拿大标准委员会制定的个人信息保护十大准则展开风险评估——形成个人信息收集来源和处理去向的PIA报告对隐私风险进行量化——尽可能消除或者降低风险后公开PIA报告摘要。加拿大隐私影响评估准则(PIA)的特点在于坚持目标为导向将收集的公民个人信息最少化、保护公民个人信息自决权、系统性量化评估数据收集与开放的隐私风险、专设数据安全管理机构，以及将隐私风险评估贯穿数据收集、使用、开放的全流程，较为完善的个人信息保护体系促进了加拿大在线政府建设的发展。

3 电子政务平台个人信息保护的现状

尽管《个人信息保护法》中规定任何组织和个人在收集使用公民的个人信息时都应当受到约束与限制，通过合法的程序对于必要的信息进行收集，并且应当严格遵循对相对人的告知同意制度。在电子政务领域中，行政主体作为个人信息收集、使用、共享和公开的主要信息处理者，应当承担对行政相对人的个人信息进行合理收集使用以及提供有力保护的义务，但是在实际的信息收集以及政务处理的流程中，行政主体在电子政务平台采集处理公民个人信息的行为未得到有效的规制，造成了行政权力对于公民个人信息的侵犯，在电子政务平台的信息收集、管理、使用、共享与公开的过程中都潜藏着威胁的侵害。

3.1 电子政务中个人信息的不当收集

在电子政务领域中，行政主体基于行使行政管理职权的需要对于公民个人信息进行收集时，除了法律规定的特殊情况外，一般须告知公民后在获得公民明确的同意之后作出，并且根据行政法中的比例原则，行政主体应当对于具体工作或者行政职能相关的个人信息进行收集，但是在具体实务过程中，违反告知同意制度、超越职权或超出行政目的过度收集个人信息等不当收集公民个人信息的情况依旧存在。

除了《个人信息保护法》规定的八种无须遵循告知同意制度的信息收集与信息公开的特殊情况外，行政主体在采集公民的个人信息时须征得公民明示的同意，按照法定的程序进行收集。违反告知同意规则的收集是非正常程序的收集，即在电子政务平台使用者不知情或者未经同意的情况下通过平台本身的信息存储以及数据爬取与分析的功能对个人信息进行了擅自收集。如今Cookie技术普遍应用于电子政务平台的情况下，部分电子政务平台并未在隐私条款中明确地将平台使用Cookie技术在公民使用平台办理政务服务的过程中同步收集个人信息和浏览记录，故在平台得到用户的信息数据用作其他用途以及分析推送时，用户本身在大部分情形下处于并不知晓、并未意识的状态。如“i深圳”政府服务App的服务条款中有明确注明该平台会使用Cookie技术进行信息收集、数据分析与服务推送以便提升用户的体验，且用户可以在后台关闭该功能，但是粤省事电子政务平台的服务条款中并未见相关技术的提醒与注明，但是在实际使用过程中，如通过“扫一扫”获得场所码服务时，实时更新的用户定位信息实际上是通过Cookie在公民未同意的情况下对公民定位信息的收集上传，平台并未取得用户的明示的同意即完成了对于公民实时位置信息的采集与共享。

超出行政主体实施行政行为进行社会管理所必须的公民个人信息的收集实际上是超出行政职能需要的信息不当收集。在广东省粤省事政务服务平台中，账号登录时需要用户进行人脸识别或者输入微信支付密码(使用微信小程序进行登录)进行认证，从而判断正在进行登录操作的用户是否与账号用户本人相符，尽管一方面对于登录用户进行人脸识别或者微信支付密码验证从某种程度上降低了账户冒用的可能性，但是粤省事并未提供用户除了这两种方式以外的其他认证方式进行登录验证。在存在例如身份证号输入、指纹识别等其他可供验证的身份信息的其他方式的前提下，这使得登录时对于公民的人脸信息以及微信支付密码的收集是否有必要存在疑问，且微信支付密码的采集与行政主体通过电子政务平台行使行政管理职能的关联度并不十分密切，因此，必须通过采集人脸信息或微信支付密码对于用户身份进行核验或将造成对于公民个人信息的一种侵犯，也会增加公民重要的个人信息遭到泄露的风险，导致难以弥补的损失。

3.2 电子政务中个人信息的不当管理

电子政务平台作为行政机关收集处理公民个人信息的媒介，应当具有机制健全的信息管理保护系统，建立安全个人信息数据库保障公民个人信息的管理与储存，并且除了在技术层面为公民个人信息安全提供保护之外，行政主体的及时监管与事后救济的提供在构建完备的电子政务公民个人信息安全保护体系之中亦是不可或缺的。由于电子政务平台本身具有个人信息存储量大、信息覆盖面广泛等的特点，一旦信息安保体系存在漏洞导致公民个人信息的泄露，无论是对政府还是对于公民个人所造成的损害都是不可估量、难以弥补的，因此，电子政务平台运行中存在的不当管理现象应当予以充分重视。

电子政务平台本身是否能为公民信息安全提供良好的技术保障在解决信息泄露问题之中举足轻重，电子政务平台之中潜藏着漏洞与信息泄露的风险。在2021年国内十大信息泄露事件中，我国湖北省公安县的公民数据在国外被售卖，发现这起事件的外国安全研究团队Cyber在日常监控之中发现多个帖子正在售卖公安县公民的户口登记样本数据等个人信息。电子政务平台记载了大量的公民的身份证号码、家庭住址、电话号码、财产等隐私性较强的个人信息，如若不重视加强电子政务平台的信息存储与保障系统，及时发现并修补平台技术层面存在的漏洞，信息的外泄会对我国的信息安全造成巨大的威胁。

除了平台本身可能存在漏洞为不法分子获得公民信息提供可乘之机外，防范来自外部的恶意攻击与数据窃取、与平台内部工作人员利用职务便利倒卖个人信息的犯罪行为也是保护公民信息安全的重要环节。2016年上海市疾病防控中心的工作人员韩某利用职务之便倒卖新生儿信息、2020年至2022年以来层出不穷的公民流调信息被泄露事件，为加强电子政务平台的内部行政监管严肃提醒。而2016年的“山东徐玉玉”案件、2017年的“肖凡、周浩等侵犯公民个人信息案件”都是犯罪分子利用黑客技术入侵政府机构政务平台窃取个人信息实施的犯罪案件，2021年公布的国内十大信息安全事件之中，中信银行的部分客户信息被外泄，这为提升电子政务平台的信息安全和预防信息犯罪敲响了警钟。

3.3 电子政务中个人信息的不当公开

电子政务平台作为政府信息公开的重要媒介，行政主体在电子政务平台进行信息公开时，应当严格遵守《政府信息公开条例》中的规定，符合法定程序与权限。行政主体应当兼顾保障公民知情权、公民对政府行政工作的监督权以及对于公民个人信息权利的保障，谨慎把握政府信息公开的尺度与界限，防止政府不当行使信息公开权力对公民信息权利造成侵害。在电子政务领域公民个人信息公开的实践层面容易出现信息的不当公开导致政府信息权力与公民个人信息权利之间失衡的情况，而政府作为个人信息的处理者，不仅应当以《政府信息公开条例》作为行政权力行使过程中的约束性规范，还应当将《个人信息保护法》作为自己实施行政行为的准则，有效地减少行政公开之中的不合理和不适当的侵害行为。

公民个人信息的收集应当遵循告知同意制度，同样，当需要公开与商业秘密或者个人隐私的内容时，除了征得相对人的同意或者公开不会造成第三人损失的情况外，其他对于公民个人信息的公开也应当依申请才予以公开。

在裁判文书网、北大法宝等网站对于政府信息公开侵犯公民信息权利的行政复议或者行政诉讼案例数量不多，大部分案例属于行政相对人请求行政机关进行信息公开但是未予以答复或者拒绝请求的情况，这可以视为《信息公开条例》以及《个人信息保护法》在电子政务政府信息公开的领域起到了相当程度的约束与规范作用，并且政府在处理相对人的信息公开的请求时较为谨慎，面对相对人的请求会进行较为全面的审查并作出相应的答复。尽管在政府信息公开的领域由于法律、行政法规的规范使得该方面鲜少存在信息不当公开的情况，但是在已经依法公开的个人信息中，却存在着公开错误信息的情况，即政府或其他行政机关在电子政务平台进行信息公开过程中，由于信息系统的漏洞与工作人员的疏漏和或者失误等原因导致公布的个人信息缺乏完整性和准确性，这不仅会使得公民的个人信息权利受到侵犯，还会影响政府的公信力。例如，河北省定兴县人民政府官网于2020年12月公开的《河道采砂监管责任人名单》(以下简称《名单》)中有关定兴县内各河道县、乡、村三级河长负责人与实际工作人员不相符，导致村民于2021年5月举报盗砂案件时无处可投诉，求告无门，出现了河段无人管理的现象，经查证《名单》中的负责人已经经过换届，现负责人与《名单》存在较为严重的不相符合状况，是由于定兴县水利局工作人员的疏忽导致的《名单》上存在纰漏。政府公布的信息存在错误导致相对人无法根据准确完整的信息及时行使或者保护自己的权利，向政府反映相关的状况，从而容易导致政府失信于民的后果发生。

4 电子政务平台个人信息保护存在的漏洞原因分析

电子政务平台对于公民个人信息的收集与处理实际上是行政权与公民权相互作用、达成平衡的结果。因此，下文将从行政机关与公民的权利义务的视角切入。

在电子政务的领域，一方面，行政权的行使既要得到保障，又要得到约束，才能够保证行政主体有权收集处理公民的个人信息，同时又通过合法的程序在合法的权限范围内以合法的方式处理或者公开公民的个人信息从而达到社会管理的目的；另一方面，公民权既要受到保护，也要受到约束，这使得公民的个人信息权利既要受到行政机关提供的保障，同时公民保护自己的个人信息权利也要在合理的限度范围内，不能以滥用个人信息保护权利妨碍行政机关实施行政行为，行政权与公民权之间应既相互制约又相互平衡，才能够促进电子政务领域有序、健康的发展。同时，在电子政务领域中，在行政机关与相对人之间的权利义务关系中也应当达到总体上的平衡状态，具体而言，既包括了行政机关自身的信息收集处理权利与收集处理义务的平衡，又包括了行政机关的信息收集处理权利与相对人一方的信息保护权利、行政机关的信息保护义务与相对人信息保护义务之间的平衡，而当上述的权力与权利之间、权利与义务之间等的状态未达到平衡时，便会导致电子政务领域个人信息收集和处理过程中的各种问题与漏洞的产生。

因此，要探究电子政务平台个人信息保护方面出现的漏洞原因，应当从行政机关与公民的权利义务的平衡角度切入并进行深入的分析。

4.1 中央与地方层面电子政务领域个人信息保护法规尚有缺漏

尽管我国已经出台了有关公民个人信息保护的专门规范，即《个人信息保护法》，并且在《民法典》和《刑法》中也设置了相关的条款对于在非公共领域侵害公民个人信息权利的行为进行了规制，但是涉及公法领域行政机关收集、处理、使用公民个人信息的程序规范与实体规范依旧停留于较为抽象的原则性规范的层面，缺乏具体的法律法规对于行政机关行使行政权收集使用公民个人信息的行政行为的指导与约束。因此，在电子政务领域行政机关收集处理公民的个人信息的过程中其依旧保有较大幅度的自由裁量权，且基于行政机关实施行政行为进行社会管理的过程中其与行政相对人所处的不平等地位，行政主体在电子政务领域的信息权力与公民的个人信息保护权利之间的失衡结果在实践之中并不罕见，并且由于具体管制规范的缺乏，公民面临行政机关侵犯自己的个人信息的行为时也存在着救济困难，这与电子政务发展的利民本旨背道而驰。

由此可以得知，我国目前对于电子政务领域的个人信息保护方面缺乏统一的立法机制，尽管存在《个人信息保护法》这一部门法对于收集处理个人信息的程序等进行规范，但是其中涉及规制电子政务领域的法规依旧较少且存在较为抽象、缺乏相关的司法解释因此难以具体适用的现象。与电子政务相关的规范散见于各个法规、政策当中，并且尚未形成较为完整的规范体系，例如尽管地方层面纷纷出台《电子证照管理实施办法》等用于规范涉及个人证照信息的管理与使用等，各个领域也相继通过相关管理办法进行规制，但是中央层面亟待一部标准化和规范化的法律法规对于各个地方的规范进行统领。

这一问题在学术界也引起了热烈的讨论，大多数学者提出政府在深入推进电子政务发展的同时存在一定程度的对于该领域的个人信息的法律保护的问题。如巩雨教授认为导致目前的电子政务领域汇总公民个人信息遭受侵害的重要原因之一是该领域的立法严重缺乏、法律层级较低且法律法规的制定主体较为混乱。武乾教授认为我国电子政务的个人信息立法保护领域存在两方面的问题：一是立法模式层面并未对公法领域与私法领域进行明确区分；二是笼统地通过《个人信息保护法》对于互联网个人信息相关领域进行调整。陈红教授则指出我国目前对于公民的信息数据的法律法规保护缺乏实际约束力与针对性。尽管学者的观点各有千秋，但是无不在提醒我国在公共行政领域对于公民信息的保护存在漏洞，仅仅期待《个人信息法》或者法律法规等中有关个人信息保护的条款兼顾对于公私法领域侵害个人信息的行为进行管制与威慑是不够的，针对公法领域电子政务领域的个人信息保护方面还应当构建一套完整的专门的法律保护制度与体系，用以弥补现行电子政务领域的立法缺漏。因为在电子政务领域公民信息权利与信息安全面临的最大威胁的来源并非其他平等主体的侵权行为，而是来源于政府公权力无节制扩张与膨胀所可能导致的各种失范行为，因此，限制与约束政府权力的行使，管束与规范电子政务领域行政主体采集、处理、共享、公开个人信息的各种行为与过程，通过在实践领域建立起保护公民个人信息安全的法律底线，有效地将权力关进制度的牢笼，才是立法层面所应当着重予以关注的问题。

4.2 行政机关收集使用公民个人信息并未严格遵守“告知同意”制度

行政主体收集处理个人信息的行为，原则上既要遵循行政法中行政主体实施行政行为的基本原则，如依法行政中的法律优先原则、行政合理性原则中的必要性、正当性、狭义比例原则和衡量原则、行政公开原则等，同时也要遵循《个人信息保护法》中的有关个人信息处理者的权利与义务。在该法中规定的核心性、基础性的规则“告知同意规则”中规定个人信息处理者处理信息时应当取得相对人的同意，除了第13条第2款中规定的例外情形无须征得相对人同意的排除情况外，对于国家机关作为个人信息处理者的情形，还通过第35条进行了规定，并且无论是第13条和第35条都将“告知”和“取得同意”作为两项独立的法律效果对于行政机关处理公民个人信息的行政行为进行评价，用以保护公民的知情权以及个人信息权利，因此行政主体在电子政务的领域对于个人信息的处理情况便可以分为：“告知+同意”“告知+无须同意”以及“无须告知+无须同意”的三种情形。

行政机关须严格的以此约束自己的行为，并且明确的区分三种情形的使用情况，在执法过程中牢记无须同意和无须告知的同意和告知的例外情况：“告知+无须同意”适用于第13条第2款的同意规则的排除规范，其中不乏有多项用以指导行政机关的行为，如其中的第2项、第3项和第4项等都可以用于约束行政机关在电子政务平台的信息收集与处理行为，并且其中最具有代表性的就是第2项，即行政机关为了履行法定职责所需。蒋红珍教授认为，对于“履行法定职责”存在广义和狭义的两种解释方法，从广义上而言，所有符合行政职权范围的行政行为都可以解释为行政机关为了履行法定的职责，广义理解有利于确立一般意义的“告知规则”，但结合第13条其他的排除情况，存在与其他行政行为并列作为同意的例外的列举外观；对之进行限缩解释有利于行政主体在具体的信息处理过程中贯通“告知同意规则”与区别于其他两种情况的适用，但仍待未来进一步的司法明确。“无须告知+无须同意”的规则使用于法律法规规定的特殊情况以及告知将妨碍国家机关履行法定职责的情形两种主要情形，此处的特殊情况专指为了保密需要而不予告知相对人的情形而非涉及个人隐私需要保密的情形，而后者告知会影响国家机关职权行使的状况则赋予行政主体较大的自由裁量空间，为了规范具体的信息收集与处理程序，有必要按照法律、法规等规定应予保密的个人信息进行进一步的限缩理解。

明确三种“告知同意制度”的具体使用规则是为了更好地探寻具体实践的过程中导致电子政务平台中的不当收集与不当处理现象发生的原因，正因部分行政机关在收集处理信息的过程中滥用裁量权，将超越职权、违反法定程序的信息处理、公开等侵权行为解释为“为了履行法定职责所需”粗暴执法、逃避责任，使得行政机关的权力过度膨胀侵犯公民个人信息权利，行政主体在电子政务领域的合法收集处理信息义务与自身的保护义务失衡、行政主体的信息收集处理权利与公民的信息保护权利失衡。

4.3 公民个人信息收集与使用的监督与救济制度不完善

4.3.1 公民个人信息保护意识淡薄

尽管《个人信息保护法》的出台对于公民的个人信息保护意识具有一定程度的提升作用，但是相对于公民的其他人格权利而言，公民个人信息保护意识层面依旧处于不完善的状态，并且主要集中于民事领域中的民事主体之间的信息侵犯的纠纷，并且由于具体行政行为中行政主体与相对人之间的地位关系，导致公民面临电子政务领域等出现的公权力侵害个人信息权利的行为，经常表现为无意识、不在意等态度，难以积极有意识地行使个人信息保护权。

这种淡薄的意识贯穿信息收集与处理的各个阶段中：在信息收集的阶段，出于对政府等公权力行使机关的信赖，大部分公民并不会在使用政府门户网站或者掌上政务服务App等电子政务平台时特意关注其《服务条款》或者《隐私政策声明》，遑论其中列明的电子政务信息收集的法律依据、行政目的、是否符合行政合理性以及信息的用途、是否会被公开等，对于公权力的信赖只是导致公民在电子政务领域信息权利保护意识淡薄的原因之一。

另外，一个重要原因是公民自身对于网络信息安全、个人所享有的信息保护权利缺乏充分的了解，这两种关键因素共同导致了公民无法在面临来自公权力的信息侵犯时准确快速的意识、识别具体的侵权行为，意识的缺乏导致了救济的缺位。

再者，即便公民对于行政机关不当的信息收集与处理行为具有意识，但是由于缺乏对自身所享有的具体的信息权利的了解，如不知晓自己所享有的个人信息保密权、完整权、决定权等权利，而无法认识到自己所遭受的具体的利益损失，或者对于信息权利被侵犯的后果认识不全面。如果不存在明显的、足以引起公民重视的利益损失，其便难以主动通过复议、申诉等方式进行维权。

4.3.2 难以识别的侵犯个人信息的行为

尽管我国的电子政务领域已经经过了一段时间的发展，并且在对于个人信息收集处理与保护监管的方面已经取得初步的成就，但是从电子政务领域的运行现状来看，实务之中依旧存在着不容忽视的个人信息保护与监管方面的问题。一方面，相对于传统的线下政务服务办理，电子政务是在“互联网+电子政务”的改革中应运而生的，公民对于通过电子网络的方式进行政务办理的时间并不算长，故电子政务服务系统的关注度和社会接受度依据在不断增长中，公众对于电子政务中的侵权行为并不了解或者熟悉，更勿论及时地发现侵权行为并且采取有效的应对措施。并且，电子政务领域之中行政机关对于公民个人信息的侵害行为是隐蔽的、难以识别与发现的，在许多情况下，只有当相对人的合法权益遭受了明显的侵害时侵害行为才能被知晓。例如，对于部分不对外公布、只用于行政部门之间共享的信息，对于这部分信息如果存在行政机关工作人员由于疏漏或者失误将公民信息进行了错误登记导致信息与实际情况不符时，公民便难以知晓该错误登记行为，只有当行政机关基于该错误的信息实施了行政行为作出错误的行政决定对相对人的合法权益造成消极影响时，公民才能够知晓自身的个人信息在电子政务系统中被错误地录入登记，在这种个人与个人信息处理者之间的不对称的权力机构中，面对公权力机关作为信息处理者的侵犯行为，公民唯有在知晓该行为后才能够申请行政复议或者提起行政诉讼的方式要求对信息进行修正进而维护自身的合法权益，这种不对等的地位与权力结构为公民识别行政机关的侵害行为造成了困难。

4.3.3 公民行使自身的救济权利时存在阻碍

尽管《民法典》《个人信息保护法》等都设置了个人信息保护具体条款，但是面对行政机关作为个人信息的处理者对于信息进行大规模收集与处理所带来的风险，仅仅依靠公民对救济权的行使来保护自身的个人信息权、使其免受公权力的侵害往往无法达到有效的、填补损害的救济效果，且公民行使自身的救济权利时也存在着来自不同方面的阻碍，最终可能导致权利落空的尴尬。

首先，基于公民个人信息权利与政府行政权力之间的不对称的结构，当个人完成了上述的识别侵权行为并且能够积极自主地以其所享有的民事权利对抗在信息处理与收集方面具有显著优势的行政机关时，由于个人与行政机关之间的力量失衡，其很可能由于缺乏技术资源而难以仅凭个人对抗组织化的信息侵害风险，故通过个人与作为信息处理者的行政机关之间的自发形成平等有序的信息治理秩序很有可能只停留在“美好愿景”的阶段。

其次，由于《个人信息保护法》中存在“为了履行法定职责所需”等裁量性规范，行政机关作为电子政务领域中的信息收集与处理者在知识、技术或者资源等方面对于行政相对人具有压倒性优势，行政权的实际行使过程中或存在条款进行过度扩张解释的情况，从而使得涉及个人信息保护的“告知同意规则”等规范条款面临形同虚设的风险，对于公民知情权等信息权利的保障或将大打折扣，加之许多公民实际上缺乏对电子政务平台《隐私政策条款》和《免责声明》等进行分析、解读与具体运用的专业能力，其对于个人信息进行自我保护的实际效果受限。

最后，尽管大部分电子政务系统都通过设置非诉程序向公民提供救济途径，但是现实情况之中，公民若想采取这种司法之外的程序维权也有可能会遭到工作人员消极懈怠、相互推诿等不作为的现实因素的阻挠，对于这一非诉救济制度的架空现象并不少见。以上三种原因都是公民权利救济道路上的“绊脚石”，使得公民无法达到维护个人信息权利的目的。

5 电子政务领域个人信息保护体系的制度展望

由于公民通过行使个人信息权利进行自我救济的自我保护范式，在个人信息保护领域存在救济与监督机制上的力有不逮。因此，不能仅寄希望于构建私权保护框架用以对抗公权信息处理体系中的乱象，应当意识到公私法领域的个人信息保护并非相互对立的存在，而将公私协同治理作为共建完善的电子政务领域个人信息保护体系的基础，通过国家行政主体自觉履行国家保护义务，提升公民自身的自我保护意识以及能力，从而形成“个人信息保护权——国家保护义务”的框架，达成个体权利保护与国家规制相辅相成的状态，才是有效解决电子政务领域个人信息保护难题的关键、促进电子政务持续、健康发展的重要举措。

5.1 完善电子政务领域个人信息保护的专门法规

无论是从我国电子政务领域个人信息保护方面现存的问题方面，还是从汲取值得借鉴的公私法领域区分立法的域外经验来看，加强电子政务领域对于个人信息的立法保护都是目前亟待解决的重要问题之一。

完善立法大致可以从以下三方面进行：

首先，明确区分私法保护与公法保护的领域，规范约束与保护的范围，对于电子政务相关法律属性的界定应当清晰明确为行政法领域的部门法保护，这是出于电子政务平台的行政服务的性质与功能所决定的，电子政务平台收集处理公民的个人信息是为了方便政府与公民办理政务服务，其宗旨是便民与利民，因而通过行政法范畴的立法加强对于行政主体的监督，进而促进其更加规范地行使行政权力，从而提供更加规范和优质的服务，这是立法的首要层面。

其次，构建起电子政务相关的技术法、组织法和救济法等多位一体的行政法领域公民个人信息的保护体系，通过技术法解决电子政务领域区别于传统政务领域的涉及互联网科学技术相关的问题，如统一侵害个人信息的标准、侧重对于个人信息的网络安全保障、建立数据的采集与共享规范等，通过组织法调和电子政务中政府的行政行为与公民个人信息权利之间可能产生不可避免的冲突与矛盾，规范政府权力行使的界限、范围、方式和程序等，并且建立起侵权行为发生后的归责机制。

最后，通过救济法解决公民维权过程中面临的行政机关之间相互推诿等问题。不仅保障公民的事后的救济权，更要保障其事前的救济权，并且对于侵权行为发生过程中的证据认定、收集与保存也作出具体规定。在行政法领域通过立法建立起事前、事中、事后贯穿电子政务平台收集处理公民信息的全过程的法律体系。

5.2 将作为电子政务领域个人信息处理者的行政主体纳入监管

行政主体不仅具有对于日常生活中公民、法人或者其他组织之间的信息处理行为的执法监管义务，在电子政务平台中，其作为个人信息的收集处理者也应当受到监管。《个人信息保护法》中第2条规定的受到该法约束的主体范围是“任何组织、个人”即包括了电子政务领域作为信息收集处理者的行政主体，这一条款的设定不仅彰显了将监管者也纳入监管体系的重要性，也与目前我国后疫情时代疫情防控常态化的大背景相符合，尤其对于政府涉疫信息收集处理中存在的不当收集、管理、共享、公开等具有约束与规制作用。个人信息保护职责也将成为作为行政主体的法定职责之一，信息在电子政务领域对于行政主体而言是一种权力或者资源，但是对于公民本身而言却意味着义务或者负担，为了防止行政机关在电子政务领域滥用自由裁量侵犯公民的个人信息权利，将作为兼具监管者和信息处理者身份的行政主体纳入监管范围之中，并且另设专门的监管部门进行监管。以组织法、行为法、程序法、救济法等领域的规范作为行政主体信息收集与处理行为的合法性基础，通过法律、法规用于其信息收集与处理的行政行为作出具有普遍约束力的规制，从而达到将公权力的行使限制在合理合法的范围之内，在行政监管层面加强对作为个人信息处理者的行政主体的监管，减少行政行为中对信息的不当收集、违反“告知同意制度”、不当管理以及错误公开等侵权行为。

5.3 强化将行政公益诉讼作为个人信息保护的救济路径

《个人信息保护法》第70条规定对公益诉讼这一救济途径进行了规定，在我国，公益诉讼包括民事公益诉讼与行政公益诉讼两种，本文认为从行政公益诉讼的角度为个人信息提供保护是为个人信息受到行政机关违法行为侵害的公民提供有效救济的路径之一。

第一，从该条的文义考察，行政公益诉讼并未被排除在个人信息保护领域之外，第70条对有权针对个人信息侵权行为提起诉讼的主体进行了有限列举，即限于检察院、网信部门以及法律规定的消费者组织，人民检察院作为有权主体可以提起民事行政公益诉讼，此处并未对公益诉讼的种类进行限缩，这为行政公益诉讼作为个人信息保护的救济渠道提供了法律解释空间。

第二，根据《行政诉讼法》第25条第4款关于行政公益诉讼的规定可知，对负有监管职责的行政机关因违法失职行为或者不作为而致使国家利益、公共利益受损害的，检察机关本就可以提起行政公益诉讼，该款中的生态环境保护、国有财产保护等领域属于示范性列举，可以涵盖个人信息保护领域，因此，对于行政机关在个人信息保护领域对个人信息的违法侵害行为，检察院可以提起诉讼。

第三，民事公益诉讼由于纠纷双方都属于平等民事主体，因此，在解决公权力领域发生的个人信息案件时民事公益诉讼的救济方式力有不逮，而通过提起行政公益诉讼可以弥补民事公益诉讼无法针对行政机关的个人信息侵权行为提起诉讼的不足。在最高检2021年发布的个人信息行政公益诉讼案件中“江西省乐安县人民检察院督促规范政府信息公开”一案即是检察院通过行政公益诉讼为个人信息受到行政机关侵害的公民提供救济的典型案例，在公民个人信息保护领域引入行政公益诉讼有利于完善公权力领域个人信息侵权的救济制度。

第四，行政公益诉讼的引入还能够起到督促行政机关依法收集、使用、公开公民个人信息，检察院通过两种方式履行检察监督职能。一是在起诉前对违法行政机关提出检察建议的方式引导行政机关进行整改；二是对违法侵害公民个人信息的行政行为提起公诉，能够有效地达到对行政机关个人信息使用权的约束与限制，督促行政机关依法行政。此外，检察机关不仅可以对作为行政机关实施的个人信息侵害行为提起公益诉讼，还能对负有个人信息保护职能或者作为行业监管部门的行政机关在履行个人信息保护职责过程中的失职行为或者不作为提起公益诉讼，将个人信息领域对肩负保护监管职能的行政机关纳入行政公益诉讼的被告与《行政诉讼法》第25条第4款规定的意旨相符，可以将该条视为对电子政务平台个人信息提供保护的补充依据。整体而言，在个人信息领域应当注重从公、私法双重进路的角度提供保护路径，除了通过民事公益诉讼为个人信息受侵害的公民提供救济渠道的同时，也需要强调发挥行政公益诉讼在约束行政机关权力行使、填补公权力领域发生的侵权行为所造成的损害之作用。

5.4 构建电子政务领域的公私法协同治理体系

对于个人信息保护的行政保护在对于信息保护方面占优势，首先，行政规制通过国家设立的标准、规范、工具等在对于侵害行为的识别、评估、预测、控制风险等方面相较于私法保护具有优势。行政监管可以依托电子政务平台开展大规模的监管，并且基于电子政务平台大规模收集公民数据的特性，其具有私法保护所难以达到的信息优势，数据采集的大规模性尽管加大了数据泄露的风险与损失，但是其在识别加害者与受害者、调查侵权行为的过程中也具有特定的长处，并且花费的成本与个体诉讼而言更低。依托互联网技术，电子政务平台在预防、处理系统外部侵权行为以及监管、发现系统内部侵权行为方面存在效率优势，且以国家强制力作为后盾的行政规制在震慑侵权行为，避免损害发生或者扩大方面也具有私法保护所难以达到的效果。另外，与个案诉讼不同，行政规制具有设立一般性规范与标准的功能。以上种种都是电子政务个人信息保护的行政保护相对于个案诉讼的私法保护存在的不可比拟的优势。但是行政保护也存在着相应的局限，其开展需要组织性的行政机关及其相关执法人员，并且日常执法程序也会带来相应的公共财政负担，如何高效利用公共资源便成为行政规制所需要解决的一大问题。另外，由于行政保护中的行政规制具有一般性、系统性等特点，其难以适应电子政务平台不断出现的新型侵权行为，缺乏灵活性。再者，行政保护难以为受害人提供实体损害救济，其只能通过行政处罚的方式收缴罚款，但是无法直接对相对人给予补偿，对于上述缺陷，私法保护中的个案诉讼机制则可以进行补足与协调。

私法领域的个人信息保护存在较为鲜明的个案性与填补性，涉及的范围有限，而公法领域的个人信息保护主要是约束同样作为信息处理者的行政主体，填补个人信息保护的个案救济的范围与模式的不足，构建系统性的个人信息保护框架，这种宏观系统层面与微观个案层面的相互配合能够使得我国的电子政务领域探索出一条区别于域外公私分立治理模式但契合我国国情的公私领域协同治理的个人信息保护模式，在私法领域通过细化公民个人信息权利的具体内涵，划分信息权受到侵犯的类型，为公民的民事实体权益提供私法保障与个体自我保护的诉讼救济；在公法领域，通过程序法、组织法等规定行政权力的具体行使规则与合规要求，通过救济法在公法领域为个人信息的保护提供公法保护，构建出一套与民法侵权责任体系相衔接的行政主体侵权时的归责机制，明确责任承担的方式等内容，加强公私法领域的对话与沟通，在电子政务领域促进公私法协同治理、共同保护公民个人信息权利的治理模式。

6 结语

我国的电子政务领域正随着互联网时代的不断进步而蓬勃发展，电子政务平台对于公民数据信息的利用需求也正在提高，随着《个人信息保护法》的落地实施，个人信息保护愈加受到重视。

与此同时，公共行政领域存在的侵害个人信息权利的问题也不容忽视，电子政务平台作为行政主体收集使用公民个人信息的重要媒介，其中存在的不当收集、过度收集、不当管理、错误公开等现象为加快构建电子政务领域的个人信息保护体系敲响一记警钟。

文章在对于电子政务个人信息保护存在的漏洞进行分析后，总结出主要的原因并积极探寻解决途径，分别从完善该领域的专门立法、将行政主体纳入监管范围，强化将民事公益诉讼以外的行政公益诉讼作为个人信息保护的救济路径，以及构建公私协同治理的个人信息保护模式四个层面，为保护电子政务领域的个人信息权利作出有益探索。