《个人信息保护法》已于近日通过了全国人大常委的审议，确定于2021年11月1日起施行。《个人信息保护法》的出台，是对时下个人信息倒卖、个人信息违规收集、大数据杀熟等诸多影响老百姓现实利益的有力回应。《个人信息保护法》设置了境外个人信息处理的“长臂管辖”（第三条）、个人信息共同处理者的连带责任（第二十条）、高企的行政罚款处罚（第六十六条）等多个个性十足的条款，体现了立法机关对个人信息保护的坚决与果断。

但结合当今社会给个体提供的法律保护，一般会通过个人保护、行政保护、司法保护等途径相互交织，才能给个人提供充分有效无死角的保护体系，这就不得不提到《个人信息保护法》在对个人信息的行政保护机制上，尚存在的5大缺憾：

一、个人信息保护立法的行政属性不明   

根据目前有关《个人信息保护法》归属哪个部门法的主流观点，一般认为，个人隐私及数据在《中华人民共和国民法典》是作为人身权及财产权的属性加以规定的，《个人信息保护法》是专门用来保护个人隐私民事权益的法律规范，因此，《个人信息保护法》属于民事法律规范。如果将《个人信息保护法》定位于民事法律规范，势必大大缩减了个人信息行政保护的力度。在个人信息采集和利用过程中，既有行政机关代表国家和个人之间的管理与被管理关系，也有个人可能求助于行政机关保护其信息权益的保护被保护关系，前者可能出现行政侵权，后者可能出现行政不作为，均有赖于《个人信息保护法》的规范。如果忽略了《个人信息保护法》的行政属性，对个人信息的行政保护效果将大打折扣。

二、个人信息保护行政机关不明确

根据《个人信息保护法》第六十条的规定，各级各地网信部门负责统筹协调个人信息保护工作和相关监督管理工作，其他部门在各自职责范围内负责个人信息保护和监督管理工作，网信办及其他部门统称为“履行个人信息保护职责的部门”。但这一规定在具体的执法实践中如何落地，尚存在诸多变数。一是网信部门长期以来，主要职能定位于行政许可，在行政处罚和行政强制方面鲜有涉足。自己都没有做过的事，是否能够统筹协调好当然是一个疑问。二是其他部门究竟是哪些部门不得而知，这就可能造成执法出现互相推诿，或者“一窝蜂”的情形。同时也存在个人举报投诉摸门不着的窘境。

三、处罚裁量权过于宽泛 

《个人信息保护法》中有关“法律责任”的部分，集中规定在第六十六条。第六十六条最突出的特点是设置的罚款数额令人咋舌。其中对于违法处理个人信息的个人信息处理者，经责令改正拒不改正的，可以并处一百万元以下罚款。情节严重的，可以并处五千万元以下或者上一年度营业额百分之五以下罚款。对直接负责的主管人员和其他责任人员处以十万元以上一百万元以下的罚款。动辄上百万元、上千万元的罚款，设定的罚款上限高不可攀，却没有相应的裁量权的行使基准，在具体案件中很容易造成同案不同罚，处罚显失公正等情形。

四、行政保护不力缺乏监督

如上所述，在个人信息保护的执法过程中，既可能出现行政机关收集和利用个人信息和个人产生纠纷的可能，也可能出现个人求助于行政机关要求保护其信息权益，行政机关拒绝或者未及时予以保护的情形。而一旦产生纠纷，个人应当如何选择救济途径，在《个人信息保护法》通篇没有涉及。虽然《个人信息保护法》在第五十条第二款和第七十条中均提到了“诉讼”，但结合上下条款的内容，两处的“诉讼”均指向民事诉讼，而并非行政诉讼。对行政机关收集利用个人信息时的违法行为，以及保护个人信息的消极不作为行为，个人应当均有权提起行政复议或行政诉讼，可惜这一点在《个人信息保护法》中有意或无意被遗漏了。

五、行政规章意外缺位

在《个人信息保护法》中，共有23处提到“法律、行政法规”规定的情形或者例外的立法用语，均未涉及到有关行政规章的规定，也就是说，行政机关制定的行政规章在个人信息保护体系中根本无从发挥作用。但我们知道，行政规章的制定具有立法反应迅速、立法程序简便、操作性强，数量庞大等优点，其实更有利于个人信息的保护。虽然行政规章的制定可能出现部门保护，甚至和上位法冲突的弊端，但结合个人信息保护的立法状况，目前《个人信息保护法》刚刚出台，个人信息保护的法律体系尚未有序搭建。相比较于个人信息处理者收集和利用个人信息是否可能受到限制，我们更担心的是个人的信息权益受到侵害。因此，应当充分发挥行政规章的优势，允许行政机关在个人信息保护的执法过程中，可以援引行政规章，作为相应的行政行为。

《个人信息保护法》作为第一步保护个人信息的专门立法，行政保护的缺憾瑕不掩瑜，我们仍然有理由期待，《个人信息保护法》能够保护我们畅游于数据的海洋，而且拒绝“走光”！

供   稿 | 宋静律师团队

排   版 | 董丽娜

核   稿 | 苏慧英

审   定 | 石伟民