论大数据背景下公民个人信息的行政法保护

　　[摘要]在大数据背景下，公民个人信息已经成为了一种极其重要的社会资源，一方面，行政机关基于行使社会公共职能的需要掌握了大量公民个人信息，另一方面，行政机关所搜集的公民个人信息又成为了不少违法犯罪分子的“目标”。从个人信息行政法保护的必要性出发，基于我国公民个人信息行政法保护的现状，分析出我国个人信息保护过程中存在的诸多问题，并有针对性地提出相应的完善建议，以期在行政法领域内切实地保障公民的个人信息权，从而实现公民个人信息行政法保护领域内的良法善治。

　　[关键词]行政法保护；个人信息；行政主体

　　[中图分类号]D922.1[文献标识码]A[文章编号]2095-3283（2020）05-0111-06

　　當今社会，信息已经成为最重要的社会资源，在市场经济下，如若投资者掌握了更多的公民个人信息，与其他投资者相比，便拥有了不可比拟的信息优势。精准掌握市场需求、消费者的市场偏好，可以帮助投资者及时地作出科学有效的投资决策，从而获得同行业竞争者无法获得的超额收益。一方面，资本市场中商机转瞬即逝，另一方面，公民的个人信息安全又受到了前所未有的挑战和威胁。公民个人信息如果使用得当，将为政府提供科学决策的依据，将为企业提供扩大生产的导向，如果公民个人信息保管和使用不善，将会使公民的一切社会行为都处于被曝光的状态，引发人民群众的恐慌情绪。因此，如何在公民个人信息保护和信息自由流通中寻找恰当的平衡点，在法律层面上分析如何加强个人信息保护，特别是在行政法层面上如何强化行政机关对于公民个人信息的行政管理，针对我国现阶段个人信息保护的不足提出相应的完善建议，实乃当务之急。

　　一、大数据背景下公民个人信息行政法保护的必要性

　　（一）法律关系复杂性的要求

　　我国公民个人信息的法律关系呈现出内容广、主体多、保障难的特点。在公民个人信息受侵害案件中，通常存在三方主体，即信息搜集主体，信息提供主体以及技术提供主体。行政机关作为信息收集主体基于公共利益或服务的考量搜集了大量信息提供主体的个人信息，为了更好地实现公共服务的职能，精准化地了解人民所需，行政主体通常将所收集的个人信息提供给技术服务单位，与其形成了技术服务合同法律关系。该法律关系隐藏在信息提供主体与信息搜集主体下，若技术服务单位基于自己的过错导致信息提供主体的损害，理所应当承担相应的民事法律责任。但是如果违反了相应的行政法律规范，阻碍了行政机关履行相应的社会公共职能，影响了行政机关行政职能的发挥，行政法律责任便会浮出水面。

　　（二）强化行政监管责任的需要

　　通过对中国裁判文书网中有关侵犯公民个人信息案件判决书、调解书的分析，发现大多数信息泄露来源于行政机关中的内部人员，他们在高额的利益诱惑和低廉的违法成本之间做出抉择，导致了大量个人信息泄露。然而《侵权责任法》第三十四条规定，用人单位工作人员的人格被吸收的情况限于工作人员执行工作任务之时，工作人员在从事违法行为时一般难以认定为法人机关的行为。所以当大量个人信息泄露导致不特定多数群体的权利受到损害时，其损害赔偿请求也只能向直接侵权行为人提出，而直接侵权行为人面对数额巨大的赔偿金额往往无能为力，从而造成不特定多数人的权利处于悬而未决难以救济的状态。因此需要强化行政机关对公民个人信息保护的行政监管责任。

　　（三）加强行政监管力度的需要

　　为履行社会公共职能，行政机关有权搜集并分析相关公民个人信息，但是在实践中，行政机关搜集的个人信息通常多于其本身所需的个人信息，超出了行政机关行使公共职能的必要范围，行政机关在使用的过程中由于操作程序不规范、所使用的个人信息存储系统漏洞较多造成大量公民个人信息泄露。此外，除行政机关有权搜集公民个人信息外，非行政主体通过行政许可或者行政委托、其他企事业单位在生产经营活动中也会搜集大量公民个人信息，由于行政机关对其监管力度不够，导致非行政主体或企事业单位对待其搜集的公民个人信息进行过度的商业化使用，超出了行政许可、行政委托或者民事授权协议的必要范围，侵害公民的个人信息权利。

　　（四）提高行政机关公信力的需要

　　在民事活动中，信息提供主体通常基于合同授权的方式将自己的个人信息提供给信息搜集主体进行使用，大多也在合同中约定了个人信息的使用方式和范围。所以即使当侵权行为发生，侵害的也是合同相对方的个人信息权利，侵害范围较小。而对于行政机关而言，个人信息收集的主要依据的是社会契约理论，对于行政机关实施的具体行政行为，行政相对人与行政机关通常没有商量余地，所以行政机关凭借其天然的地位优势以及行使社会公共管理职能的需要搜集了大量的公民个人信息，形成了相应的个人信息库以便做出科学的行政决策。然而这些信息一旦泄露，将会给社会公共利益造成难以弥补的损害，影响行政机关的公信力。

　　（五）个人信息全面保护的需要

　　在民事法律制度层面，若侵权行为人实施了侵害他人个人信息权的行为且符合侵权责任承担的四个构成要件，应当按照《侵权责任法》的相关规定承担民事侵权法律责任。在刑事法律制度层面，2015年实施的《刑法修正案（九）》增设了“侵犯公民个人信息罪”，对于严重侵害他人个人信息的犯罪行为予以规制，从而为公民个人信息的保护提供了“底线预期”。然而当侵害公民个人信息的违法行为尚不能达到刑事处罚程度，但其严重性已经超过了民事侵权行为的涵盖范围，此时就需要行政法进行规制。对涉案行政相对人进行一定金额的行政处罚或者进采取一定的行政强制措施，从而使得社会秩序得以恢復，受损害的权利也处于一种填平状态。

　　二、我国公民个人信息行政法保护的现状及存在的问题

　　（一）公民个人信息行政法保护的现状

　　近年来，伴随着个人信息受侵害等一系列违法犯罪行为的发生，我国在个人信息行政法领域的立法不断增多。2012年12月，全国人大常委会发布了《全国人民代表大会常务委员会关于加强网络信息保护的决定》（以下简称决定），重点规定了网络服务者和其他企事业单位在业务活动中收集、使用公民个人电子信息应当遵循的原则。2013年，工业和信息化部公布了《电信和互联网用户个人信息保护规定》（以下简称规定），重点规定了电信业务经营者、互联网信息服务提供者的信息收集和使用规范以及当个人信息泄漏时应当采取的相关安全保障措施。

　　在行政立法层面上，我国对于个人信息的保护条款较为零散。大多散落于各个行政法规、行政规章之中。在现行个人信息行政立法中，大多将公民个人信息当做隐私权加以保护。譬如，2019年修订的《政府信息公开条例》第15条规定，涉及个人隐私且会对第三方权益造成损害的信息，行政机关原则上不得公开。在现阶段，我国尚未形成统一的个人信息行政法律体系，造成个人信息行政法律法规的系统性、协同性不足，当侵权行为发生需要寻找可引用的法律依据时，可能会出现无法律依据的情况，或者需要进行法律漏洞的填补工作，严重地影响了公民个人信息的有效保护。

　　在行政执法层面上，我国尚未形成统一的个人信息监管和保护机构。现阶段我国个人信息的保护职责主要由各个行政机关来承担，造成在实践中涉及公民个人信息侵权案件时各部门推诿扯皮现象严重。有时候还需要请示上级行政机关，严重地影响了公民个人信息的及时保护。此外，由于公民个人信息的行政立法欠缺，导致行政机关在进行行政执法时缺乏相应的执法依据。对于如何规范执法，执法程序应当怎样运行，现阶段立法都没有给出一个明确的答案。

　　（二）公民个人信息行政法保护存在的问题

　　1.行政立法缺乏

　　大数据背景下，公民个人信息行政法的保护原则尚未明确。在大数据时代，个人信息受侵害案件层出不穷，个人信息受侵害的方式百怪千奇，而法律却与生俱来地具有一定的滞后性。为了克服法律规则存有漏洞时出现无法律规则可以遵循的问题，丰富相应的法律原则便成为了解决这一问题的必要之举。我国行政法中规定了行政法的“六项基本原则”，但尚未根据大数据背景下个人信息保护的特殊性制定相应的基本原则，在法律规则不具体的情况下又缺乏相应的法律原则，这使得当新形式的个人信息侵权行为出现时，寻找可以援用的法律依据就成为了一大困难之一。

　　大数据背景下，公民个人信息行政法的保护规则尚不完善。在各项行政法规、行政规章中，我们可以看到个人信息保护的影子，但相关条款大多都不明确、不具体；在行政立法的层级方面，我们可以看出，无论是《决定》还是《规定》，有关个人信息行政立法的层级相对较低，大多处在行政规章当中，呈现出碎片化、零散化的状态，对于个人信息的保护范围较小、力度较低。

　　2.行政监管薄弱

　　公民个人信息行政监管是公民个人信息保护过程中的重要一环。可在实践中，由于我国行政监管标准不统一、监管主体不明确、监管方式不科学等诸多原因导致在行政监管环节对个人信息的监管力度较弱：

　　（1）监管标准不统一

　　行政法作为公法，其最为核心的一项功能在于限制公权力，防止公权力对私权利的过度侵害。可如今，行政法在公民个人信息保护层面上还未明确如何进行监管，导致各个行政机关在个人信息监管的程序和标准方面各执一词、莫衷一是，有各自的程序和标准，而权力一旦少了约束就加大了权力被滥用的风险，致使实践中行政机关对待个人信息监管不作为或者乱作为的情况较为普遍。此外，行政机关内部缺乏相应的监管机制。不少内部人员为了一己私利利用职务之便贩卖大量其在日常工作中所接触到的个人信息，成为当今公民个人信息泄露的重要来源。最后，行政机关作为信息搜集主体对于信息的保管和处理机制不完善。通常将所搜集的个人信息委托给技术提供主体进行技术处理时没有进行跟踪监管，造成技术提供主体在保存、分析个人信息时敷衍了事，网站和密码的设置也极为简单，给不少网络攻击者窃取他人信息留下了可乘之机。

　　（2）监管主体不明确

　　一方面，我国现阶段尚未建立一个统一的个人信息监管和保护机构。因此个人信息监管的主体处于一种分散状态，主要由各个职能部门来进行。比如，婚姻登记机关对民事主体进行婚姻登记，婚姻登记机关就负有保护民事主体婚姻状况等相关个人信息的义务；公安机关对公民的身份信息、籍贯信息进行登记，同样就负有保护相关个人信息的义务。然而，我们知道，每个人的公民个人信息的各个组成部分其实上是难以分割的，比如许多公民的家庭住址与身份证上的籍贯信息相一致，所以当公安机关对公民的籍贯信息进行登记时，实际上就掌握了许多公民的家庭住址信息。因此，公民个人信息一旦泄露，实际上涉及多个行政机关，这种分散、混乱的个人信息保护状态对公民个人信息保护的质效来讲仍待商榷。

　　另一方面，公民个人信息泄露往往需要多个行政管理部门联合介入。比如在电商平台上进行购物时导致个人信息信息泄露，需要公安部门、工商部门、电信管理部门等多个部门在各自的行政职权范围内处理好个人信息泄露问题，才能最大限度地堵住个人信息的漏洞。然而，由于我国现阶段尚未形成一个统一的个人信息监督和保护机构，这就使得即使当今存在众多承担个人信息保护职责的行政机关，但仍然缺少一个“领头羊”的角色，对于许多个人信息泄露的疑难问题缺少一个“一锤定音”的领导者。

　　（3）监管方式不科学

　　一方面，在公民个人信息的行政监管上，我国尚未形成对个人信息的“源头监管”，对于个人信息的行政监管具有一定的滞后性。通常当个人信息违法行为发生时，行政机关才“后知后觉”地作出相应地行政行为或者采取补救措施，缺乏监管的主动性。另一方面，我国尚未根据个人信息与人身联系的紧密程度、个人信息的隐私性级别来确定公民个人信息的保护力度，对于各类级别的公民个人信息在监管层面上实行同等级别的保护。与公民人身形联系极大的公民敏感信息，比如指纹、DNA等生物信息却和公民的一般信息，比如购物记录、通话记录等生活信息实行同等保护。虽然在一定程度上可以扩大对个人信息的保护范围，但却没有考虑个人信息保护的现实效果，使得公民的一般信息受到了较强的行政保护，保护效果好；而公民的敏感信息相对而言却受到了较弱的行政保护，保护效果差，这样的做法不仅得不偿失，还不具有科学性，极大地浪费了行政资源。

　　3.行政归责单一

　　过错归责原则和无过错归责原则是我国现行法律体系下的两种归责原则。无过错归责原则是指无论行为人无论对损害结果是否有过错都需要承担责任的一种归责方式，其产生的目的在于加重行为人的法律责任，提高行为人的注意义务，从而最大限度地避免损害结果的发生。在现阶段我国个人信息的搜集主体主要有两类，一是代表国家行使公共管理职能的行政机关，二是在民事活动中获得授权与人民群众形成信息搜集和使用协议的企事业单位。对于行政机关而言，如若采取单一的过错行为归责原则，那么当行政机关无任何过错导致其所搜集的个人信息大量泄漏或者面临大量泄漏的风险，行政机关将会免责。而当行政机关为了作出科学的决策搜集大量的公民个人信息时，此时就将大量的公民个人信息处在自己的控制范围之内，也具有了一定的风险。为了行政机关本身能够作出科学决策，就将大多数人的个人信息处于一种风险状态，若仍采取过错行为归责原则，意味着受害人在诉讼活动中还需举证证明行政机关存在着个人信息泄露的过错，一方面加大了受害人的举证难度，降低了受害人维权的积极性和主动性，另一方面将会使受害人的损害赔偿请求权难以实现，严重地损害社会公共利益。

　　4.行政救济困难

　　个人信息权包含的救济权能是个人信息权赖以存在的重要基础。若个人信息受到侵害后得不到救济，将会使个人信息权的制度设计处于一种“架空”状态。然而在大数据背景下公民个人信息的行政救济却面临着诸多困难。首先，在大数据背景下，侵权行为人通常将互联网作为天然屏障和媒介，致使个人信息一旦泄露，证据的搜集成为一大难题。其次，伴随着海量的数据泄露，致使个人信息一旦被窃取，将会融入海量的数据之中，难以找到信息泄露源头，那么如何在诉讼过程中列出明确的被告便成为了权利救济的另一大难题。再次，由于现行法律并未规定明确的个人信息监督和管理机构，致使信息一旦泄露，受害者寻求行政机关帮助时，不少行政机关以各种理由搪塞或推诿，或者采取“踢皮球”的方式告知受害者寻找其他行政机关寻求救济，极大地影响了个人信息的保护效率。最后，在救济方式的选择方面，由于我国行政法没有对于个人信息行政救济方式的特殊规定，所以在现行法律制度下，公民个人信息受侵害者既可以采取行政复议也可以采取行政诉讼还可以采取先复议再诉讼的方式进行权利救济。但这样的权利救济方式并没有充分考虑大数据背景下个人信息的特点，也没有根据公民个人信息的敏感程度进行不同的救济方式的区分。比如因行政机关过失导致大量公民个人信息泄露，若信息涉及公民的敏感信息，再让公民个人信息受侵害者选择先进行行政复议再进行行政诉讼的救济方式，在大数据网络背景下，将会延迟对公民个人信息的权利救济，造成大量的公民个人信息在网络这一屏障下再度快速流转，从而加大公民个人信息权利救济的难度，提高公民个人信息权利救济的成本，加重公民个人信息权利救济的程序负担，最终影响到公民个人信息行政法保护的效果与水平。

　　（三）完善公民个人信息行政法保护的建议

　　1.完善行政立法

　　虽然现阶段已有大量学者主张我国需要制定一部专门的“个人信息保护法”，全国人大法工委也明确指出，“个人信息保护法”已纳入立法规划，但如今该项法律并未制定和颁布。因此，出台统一的“个人信息保护法”，特别是在“个人信息保护法”中明确行政机关对于公民个人信息的保护职责、行政机关监管的程序和步骤等内容对于大数据背景下公民个人信息的保护迫在眉睫。

　　首先，要明确个人信息保护的法律原则。在行政法传统“六项基本原则”的基础上，根据个人信息行政法保护的特殊性，增加以下三项基本原则。其一是安全保护原则，即行政机关从事各项行政活动，无论是作出外部行政行为，进行公文来往、职权调整、人事处理的内部行政行为还是将搜集的信息提供给技术处理主体进行技术处理等活动都要将公民个人信息的安全纳入考虑范畴，作为是否能进行行政活动的前提之一，其二是知情同意原则，即行政机关在搜集、使用公民个人信息时要以信息提供者的“知情同意”作为其进行行政活动的基本前提之一，若信息提供者不同意、不知情或者没有作出明确授权的意思表示，行政机关以及相应企事业单位都不得搜集、处理公民个人信息。其三是用途限制原则，即除了维护国家利益、社会公共利益外，行政機关或企事业单位只能在信息提供者授权的范围内处理公民个人信息，不得超出信息提供者的授权范围。

　　其次，要加快个人信息的行政立法进程。区分公民个人信息权与隐私权的涵盖范围，隐私权是一种决定权，也是排除他人干涉的一种独处权，即个人信息所有者有权享有私生活领域内的自由、有权自主地决定个人的私生活，有权排除外界的不当干涉；而个人信息权是指对于那些与公民个人直接相关、具有法律保护价值并可以直接或者间接识别出个人信息所有者的相关信息，个人信息所有者享有排他的、不受侵害的权利。就权利性质而言，二者均属于人格权范畴；就权利内容而言，公民个人信息与公民隐私权的内涵存在着交叉部分。在推进行政立法过程中，对于二者的竞合部分要重点立法，加大行政保护和监管力度，对于超出竞合部分的公民个人信息仍要推进行政立法进行保护，从而实现公民个人信息更大范围、更宽领域、更强力度的保护。

　　最后，要推进个人信息法律保护体系化。对于不符合“个人信息保护法”的有关行政法规、对于抵触行政法规的有关行政规章要予以及时修改或者废止，从而提升个人信息法律保护的层级，改变现阶段我国个人信息行政法保护呈现出的碎片化、零散化的状态，构建科学有效、严密完善、运行良好的个人信息保护法律体系。

　　2.加强行政监管

　　面对当今个人信息违法犯罪呈现出数量激增、作案手段隐蔽化、跨区域化等一系列特点，如何强化公民个人信息的行政监管，对个人信息泄露的全过程实施全面的行政监管，从个人信息源头堵住个人信息漏洞，是我们不得不面对的问题。

　　首先，要统一公民个人信息的行政监管标准。这不仅需要统一行政机关外部的监管程序和标准，更需要加强行政机关系统内部的监管，明确具体的监管程序和步骤。在行政机关外部，通过明确个人信息行政监管程序和步骤，让行政机关在进行与个人信息相关的行政活动时知道如何作为、按照什么样的标准作为、何时不作为，更重要的是，使得行政机关从事的与公民个人信息相关的各项行政活动时都能在法定的程序上运作，最大限度地约束公权力的行使，从而保障公民的个人信息权。在行政机关内部，通过明确个人信息行政监管程序和步骤，一方面可以让行政机关内部工作人员接触公民个人信息的时间、地点都得到严格的管理和限制，减少行政机关内部人员利用职务之便贩卖、流转个人信息的违法行为，从而在源头上减少公民个人信息的泄露；另一方面，通过明确个人信息行政监管程序和步骤，使得行政机关在选择相应的技术提供主体时更加注重技术提供主体的相应资质，也会更加注重对技术提供主体的后续监管，使得技术服务主体在激烈的市场竞争和较高的市场标准下提高自己对于个人信息的保护能力和技术水平，这对于个人信息保护而言，是百利而无一害的。

　　其次，要明确公民个人信息行政监管的主体。通过完善公民个人信息的相关行政立法，在县级以上地区建立统一的个人信息监督和保护机构。行政机关作为我国个人信息行政管理的“正规军”，其在日常的行政管理工作中要从事大量的行政管理活动，其对公民个人信息的监督和管理难以涵盖社会的方方面面，因此还需要充分发挥个人信息行业自律组织的作用，在每个县级以上个人信息监督和保护机构处辅之以相应的个人信息行业自律组织，实现对个人信息的全方面监管。个人信息监督和保护机构的主要职能主要有四：其一，受理个人信息泄露的投诉、申诉等，可以受理一些涉案个人信息数量较少、涉案金额较小、涉及个人信息主体较少的案件的投诉，并对相应的投诉进行快速调查使其得到快速的解决；其二，当其他行政行政机关因履行公共服务管理职能需要搜集、使用公民个人信息时，应当报个人信息监督和保护机构同意并进行备案。其三，当行政机关违反“个人信息保护法”的相关规定造成公民个人信息泄露等侵权行为的发生时，个人信息监督和保护机构享有对行政机关和受害者调查的权力。其四，制定相应的行业自律规范，监督个人信息行业自律组织的相关行为，同时引导个人信息行业自律组织发展，最终实现以行政机关为监管中心、行业自律组织为辅助的多元化监管体系。

　　最后，要建立科学的个人信息行政監管体制。根据个人信息与人身联系的紧密程度、个人信息的隐私性级别将公民个人信息分成个人持有信息、个人敏感信息、直接识别信息、间接识别信息四类，并根据不同的种类确定不同的保护力度。指纹、DNA等与公民人身联系极强、隐私性极高的个人信息，一经泄露，将给个人信息所有者的日常生活带来极大地影响，应当给予最高力度的行政保护。个人的婚姻状况、家庭条件、诊疗记录等与公民人身联系较强、隐私性较高的个人信息，如果泄露将会给个人信息所有者的工作生活造成一定程度的困扰，应当给予较强力度的行政保护。身份证号码、证件照片、家庭住址等不需要其他相关信息的结合，就可以指向唯一的个人或单位的公民个人信息，由于其不需要其他介质的辅助，一旦在市场上进行流通，便可以快速地识别出个人信息所有者，因此，应当给予严格的管控。而网名、购物记录等指向不具有唯一指向性的公民个人信息，通常需要与其他信息结合才能识别出特定的人或单位，因此，应当给予较为严格的管控。根据公民个人信息的不同种类实施不同的行政管理力度，“将好钢用在刀刃上”，一方面可以节约行政资源，另一方面也是行政机关管理科学化的重要体现。

　　3.健全归责原则

　　在我国，行政机关是公民个人信息搜集量最大的主体，自行政机关出于公共利益的需要从公民处搜集了个人信息后，就应当附有安全保护的职责，在归责原则方面就应当有所加重，因此，对于行政机关应当采取无过错归责原则。在诉讼活动过程中，对于原告（对于个人信息受侵害者）来讲，不必证明被告的行为有过错，而对于被告（行政机关）而言，也无需证明自己没有过错。这不但可以减轻个人信息受侵害者的举证压力，增强其维权的积极性，而且还可以遏制当今个人信息违法犯罪行为高发的态势。对于通过行政委托方式获得公民个人信息收集权的行政组织而言，由于其在个人信息的收集层面与企事业单位（基于民事授权协议获得个人信息收集权）相比仍然具有一定的优势地位，如果对于个人信息的收集管理等行为不当，同样也会影响行政机关的公信力，但若和行政机关采取同样的无过错归责原则，会导致行政组织无论在搜集相关的公民个人信息过程中还是在后续的个人信息管理活动中都会小心翼翼、对待许多行政机关交代的活动战战兢兢，不利于其各项活动的开展。因此，应当退而求其次，对行政组织应当采取过错推定原则。对于普通的企事业单位而言，适用《侵权责任法》的一般过错归责原则即可。

　　4.畅通救济渠道

　　在行政救济方式的选择上，主要应当考虑两个因素：一是行政主体的主观状态，即行政主体对个人信息泄露是否有过失；二是个人信息的性质，即隐私级别越高、与人身联系更加紧密的个人信息应当受到更高力度的保护。如果大量个人信息泄露的原因是非行政主体的过错导致，此时通过民事调解、和解或者民事诉讼的方式即可解决。如果是因为行政主体的过失导致，就应当对个人信息的性质进行区分。若是隐私级别最高的个人敏感信息或者是不通过其他介质可以直接识别出个人信息所有者的直接识别信息，应当采取单独诉讼的救济模式，即不通过上级行政机关的行政复议直接提起行政诉讼以保证不特定主体多数人的个人信息权得到保障；若是个人一般信息，由于其对于公民个人信息所有者的人身联系较弱，对于所有者的人身安全威胁较小，可以采取复议前置型的行政救济模式，即行政相对人必须先通过上级行政机关对下级行政机关行政行为的纠正后才能提起行政诉讼，这是推动行政机关内部自我纠错，节约司法资源的合理选择。

　　三、结语

　　近些年来，个人信息受侵害案件激增，个人信息的安全问题已经受到了社会的普遍关注。2017年10月1日实施的《民法总则》第111条规定了个人信息权、2015年11月1日施行的《刑法修正案（九）》规定了“侵犯公民个人信息罪”，无论是民法领域还是刑法领域，对于个人信息的研究都取得了长足的进步。而作为个人信息行政法领域的研究和发展却相对滞后。如何既规范行政机关个人信息搜集、使用的权力，又在个人信息安全的前提下实现个人信息的流通价值，这既需要行政机关建立科学有效的行政监管体制，一方面，要注重对公民个人信息的事前保护和监管，防微杜渐、未雨绸缪；另一方面，要在样态各异的个人信息违法案件中总结行政执法的经验和教训，鉴往知来、前覆后戒，又需要加快推进公民个人信息行政立法进程，提高个人信息行政立法层级，从而规范行政机关有关公民个人信息的行政执法活动，使得行政机关搜集、使用、处理公民个人信息的相关行为都在法定的程序和轨道上运行，实现行政法与刑法、民法對于个人信息保护的衔接。这样才能在个人信息保护和个人信息自由流通中寻找到恰当地平衡点，真正实现公民个人信息的社会价值。