前沿 | 王锡锌：行政机关处理个人信息 亟待专门立法

北京大学法学院教授

本文为“蓟门决策”精编节选版。如体验完整版，请点击文末“阅读原文”。

国家是最大的个人信息处理平台。今日，国家治理以巨量的信息处理为基础。国家权力与数据权力的结合，催生了“数治”（rule by data）这一新的治理技术。在这个背景中，国家机关行使法定职权、履行法定职责中处理个人信息的活动，应如何纳入法律控制框架？从法律上看，国家机关处理个人信息的行为，可依其处理个人信息的权责之性质而作类型化区分。第一类是公法关系中的个人信息处理行为，例如，国家机关依据法定权限、履行法定职责所需而进行个人信息处理；第二类是私法关系中的个人信息处理行为，例如，国家机关订立用工、买卖、劳务、机关事务、民事委托等合同行为。本文仅讨论行政机关为履行法定职责而处理个人信息的活动。

1

1

1

问题界定：行政机关处理个人信息适用个人信息保护法吗？

（一）“一体调整”的立法模式

个人信息权益所面临的侵害风险源，既包括私人机构，也包括国家机关，二者都是大规模、持续性处理个人信息的“处理者”；相应地，为了保护个人信息权益，自然应当对两种风险源都进行规制。但是，私人机构与国家机关在组织、目标、手段、归责机制等方面存在巨大差异性，对这两种不同风险源的规制，是否可以采用相同的规制策略？

我国个人信息保护法在第二章“个人信息处理规则”规定了个人信息处理的一般规定，同时对国家机关处理个人信息作了特别规定。第33 规定：“国家机关处理个人信息的活动，适用本法；本节有特别规定的，适用本节规定。”从体系解释的角度看，这意味着国家机关处理个人信息，受个人信息保护法调整；“特别规定”只是针对国家机关处理个人信息活动的优先的、补充的规则。相较于一些国家针对国家机关处理个人信息活动作出专门规定的“差别调整”模式而言，我国个人信息保护法对国家机关和私人机构的个人信息处理活动，采用了“一体调整”的立法模式。

（二）国家机关处理个人信息的法律控制：未完成的任务

我国个人信息保护法形式上采用“一体调整”模式，将国家机关处理个人信息的活动纳入了该法的调整范围；但相关内容存在缺失。这使《个人信息保护法》的“一体调整”模式在实践中难以有效适用于国家机关处理个人信息的活动。可以说，《个人信息保护法》关于“国家机关处理个人信息适用本法”的规定，目前仍然具有很强的“象征性立法”（symbolic legislation）色彩。

这种象征性立法的宣告，或许有其苦心。它至少表明，立法者注意到了对国家机关处理个人信息的活动进行法律控制的必要性；但对国家机关处理个人信息的行为如何进行法律控制，这仍是一个未完成的命题。国家机关处理个人信息的职权活动，在目的、权力性质、行为属性等方面均不同于私人组织处理个人信息的活动。例如，《中华人民共和国民法典》（以下简称“《民法典》”）对国家机关处理个人信息作了原则性规定，但如果国家机关侵害个人信息权益，是适用民事侵权责任？同理，《个人信息保护法》所规定的行政处罚责任、民事侵权责任，是否适用于国家机关处理个人信息活动？这些都是理论和实践中有待明确的重大问题。

本文接下来从国家机关与私人机构处理个人信息活动的差异性的视角，探讨对国家机关履行法定职责处理个人信息活动的法律控制框架。需要说明的是：国家机关包括立法、司法、行政、监察等机关，也包括依法承担公共管理职能的组织；但实践中，立法具有很强的政治性，主要是政治过程；司法机关的活动，主要受诉讼法等专门法律的调整；故本文接下来仅针对行政机关履行法定职责情形下处理个人信息的活动展开分析。

1

2

1

行政机关处理个人信息行为的法律性质

（一）行政机关处理个人信息行为的“行政性”

行政机关之所以需要收集、分析、共享、运用个人数据，乃在于其需要处理信息以实现组织的功能，进而实现公共管理和服务的组织目标。行政机关与私人机构处理个人信息的行为存在明显差异。

这种差异性具体表现在以下几个方面。首先，目的不同。行政机关处理个人信息的目的，是为了履行其法定的公共职责。也就是说，该种活动虽然需要处理个人信息，但其目的并不限于对个人的管理或服务，而是具有“公共性”的。

其次，处理个人信息的权力基础不同。行政机关处理个人信息行为的权力基础，是基于其所负有的法定职责及相应的法定职权。因此，行政机关处理个人信息行为具有高权性、强制性特征。一般而言，基于职权行为的高权性、强制性特征，国家机关处理个人信息的法权基础是一种“管理关系”，并不需要以个人同意或授权为权力基础。

复次，处理个人信息所引发的权利义务关系的性质不同。行政机关处理个人信息的行为所影响的是行政法上的权利义务关系。相比较而言，私人机构处理个人信息的行为是在信息主体“同意”的基础上进行的，“个人—信息处理者”之间具有民事权利义务关系的内容。

最后，处理个人信息行为所引发的法律责任及归责机制不同。由于行政机关处理个人信息行为在本质上是针对作为“行政行为相对人”的个人而实施的，该种行为应当纳入行政法的控制框架；相应地，如果行政机关处理个人信息行为违法，将导致行政行为违法的法律后果，包括行政行为的无效、可撤销、变更等；如果违法的个人信息处理行为侵害个人合法权益，应承担行政侵权赔偿责任。与此不同的是，私人机构违法处理个人信息活动，通常导致“不合规”，其所对应的是行政监管机构的监管责任和行政处罚，包括责令改正、罚款等。如果私人机构违法处理个人信息侵害个人信息权益，则需要区分被侵害的权益的性质，分别引入相应的救济机制。

（二）行政机关处理个人信息行为的行政法约束框架

行政法上对行政行为的法治约束，主要从行政行为的合法性维度展开。无论是学理上，还是在对行政行为进行司法审查的实践中，行政行为合法性的法治化约束机制主要从行为主体、权限、内容、程序等维度展开。对行政机关处理个人信息行为的合法性评价，同样应当从上述维度展开。

应当看到，这里存在两个递进的逻辑：第一，行政机关处理个人信息的行为在法律上属于行政行为，故应当受到行政行为法意义上的合法性控制；第二，行政机关处理个人信息的行为，又属于《个人信息保护法》意义上的处理个人信息的活动，因此也要受“保护个人信息权益”这一法益保护目标的约束。在这个意义上，《民法典》《个人信息保护法》等法律中专门规范设定的、有关保护个人信息权益的原则和规则，对行政机关处理个人信息活动的合法性评价，提供了法秩序统一意义上的“合目的性”标准。可以认为：行政机关处理个人信息的活动，受到行政行为法（一般法）、个人信息保护法（特别法）的双重约束；前者围绕“行政权力活动的合法性”展开，后者围绕“保护个人信息权益”而展开。

1

3

1

权限合法性分析：行政机关处理个人信息的权责基础

（一）个人“同意”是否构成行政机关处理个人信息的正当基础？

无论是从规范性层面还是从法体系解释层面看，“个人同意”都不应成为行政机关处理个人信息职权行为的正当基础。

从规范层面来看，首先，行政机关是依法履行公共管理和服务的组织；“执行性”和“公共性”构成行政机关的重要特征。执行性意味着行政机关主要执行立法者的意志，实际上是一个“代理人”（agent），其行为的界限、方式、目的都应当由作为委托人的权力机关来设定。“法无授权不可为”便是对这一委托代理关系的直观表达。公共性则意味着行政机关活动围绕公共利益和公共目标而进行，这种公共职能的实现不应以个人是否同意作为基础，否则就会出现“公共目标”与“个人意志”的错位。其次，在行政机关进行公共管理和服务的场景中，个人信息具有更强的社会性和公共性。第三，行政机关与相对人在法律上处于不对等地位，对个人构成公法上的不对称权力优势，在这种权利义务结构中，“个人同意”的真实性、自主性存在很大的“折扣”，甚至出现“同意的乌托邦”。

因此，“法定性”应成为行政机关处理个人信息的法律属性，这是“权责法定”原则的逻辑延伸。除非法律、行政法规作出明确的例外或者相反规定，否则行政机关只能基于明确的“法定职责”而处理个人信息。但这种例外和相反规定，依然是在行政法治框架下的具体设定。

（二）如何理解“法定职责”？

《个人信息保护法》第34 条规定：“国家机关为履行法定职责处理个人信息，应当依照法律、行政法规规定的权限、程序进行，不得超出履行法定职责所必需的范围和限度。”在该条中，“为履行法定职责所必需”既构成行政机关处理个人信息的权责基础，又构成对其处理个人信息行为的范围和限度的控制。因此，明确“法定职责”的规范内涵至关重要。

1.行政机关的职责、职权、职能辨析

行政法上所讲的行政机关“职责”，指特定的行政机关针对具体的对象和事务所负有的特定“义务”。在规范层面，职责概念常见于“三定方案”。在我国，“三定方案”是行政机关及其机构组织法意义上有关职责、机构、人员的底层架构。

与行政机关的职责相关，还有职权、职能等法定概念。那么，行政机关的职责与职权、职能有何不同？从逻辑上讲，行政机关的权和责相互对应、相互联系，甚至相互交织，也就是权责统一、权责相应。职责是任务和目的，职权是手段；二者结合，共同服务于行政职能的实现。从我国法律规范层面看，职权、职责、职能并没有明确区分。

国务院推行的政府“权责清单”制度中，也将职权、职责概念在相同意义上使用。因此，《个人信息保护法》第13 条、第34 条中的“法定职责”概念，应当理解为包括职责、职权和职能。

2.何为“法定”？

笔者认为，对《个人信息保护法》规定的“法定职责”中“法定”的理解，需要遵循“法律保留”原则。也就是说，需要根据“为履行法定职责”而处理个人信息所限制的个人权益的性质和确立这些权益的法律规范的位阶，相应地界定设定行政机关“职责”的法规范的位阶。

坚持狭义的法律保留原则，也有助于抑制现实中行政机关自我赋权的冲动，防止其通过自我赋权扩张职权职责，过度处理个人信息。如果各种行政性规范都可以通过自我赋权的方式而设定“法定职责”，那么《个人信息保护法》第34 条所规定的“不得超出履行法定职责所必需的范围和限度”就会被架空。在很多情况下，由于不存在对应的“上位法”，“不抵触”标准实际中很难适用。

1

4

1

内容合法性分析：必要性分析如何展开？

《个人信息保护法》第13 条、第34 条都规定了“为履行法定职责所必需”。这一规定的逻辑是：行政机关为了履行法定职责，无需以个人同意为处理个人信息的正当性基础；但处理个人信息“不得超出履行法定职责所必需的范围和限度”。学者通常将此理解为行政机关处理个人信息的比例原则之要求。

（一）比例原则的适用困境

但此处的问题是：如果“法定职责”不明确、不具体，如何判断行政机关处理个人信息是否超出“必需的范围和限度”？引入比例原则对行政机关处理个人信息行为进行控制，前提是对“法定职责”进行明确化、具体化。如果以宽泛的“公共利益”“公共安全”“突发事件应对”等作为法定职责和目标，就无法有效地展开行为的必要性分析。

将视角切换到具体的行政机关处理个人信息领域，不难发现：各地对疫情防控中流调信息的采集、处理、公布已经展现出比例原则的适用困境。

同样，在行政机关之间共享信息的情形中，也存在由于法定职责宽泛、不确定而导致的比例原则适用困境。政务数据共享是当前我国推进政务数据治理、政府“数据赋能”的主要制度。政务数据共享，主要指作为“整体性的”政府的各个职能部门之间打通部门隔阂，将各部门数据进行汇集，形成政务大数据。这种数据共享既有提高管理效能的考虑，也有实现公共服务目标的考虑。

但是，放在个人信息保护法框架中观察，政务数据部门间共享个人信息，本质上是个人信息委托处理、共同处理等行为。这些共同处理行为，在属性上也属于行政机关对个人信息的处理，因此，共享个人信息同样应以“履行法定职责所必需”作为正当基础。但行政机关之间是否负有共享数据的法定职责？有些情况下，的确存在共享数据的“法定职责”规定。例如，《传染病防治法》规定的疫情通报制度，规定了行政机关之间共享信息的职责。

不过，在多数情况下，行政机关之间共享包括个人信息在内的政务数据，缺乏明确的法定权限。面对这种法律环境，我国政务信息共享制度的法定权责基础，只能从政府组织结构的“整体性”角度解释“法定职责”。但“整体性政府”的法定职责必然是非常宽泛和不确定的。例如，《传染病防治法》在关于传染病防治的职责规定方面，就规定了传染病防治的“属地责任”。在这种整体性责任框架下，地方政府各个职能部门之间关于传染病防治的信息共享，自然也就可以被理解为地方政府履行法定职责所必需。这种宽泛的法定职责范围，必然会导致比例原则“必要性”分析的困境。

（二）“为履行法定职责所必需”的具体化

从规范逻辑看，行政机关处理个人信息，应当以“履行法定职责”为启动处理个人信息的正当基础；进一步，其处理个人信息行为，“不得超出履行法定职责所必需的范围和限度”。前者是行政机关处理个人信息行为的目的正当性规则；后者是行政机关处理个人信息行为的手段必要性规则。前文分析表明：如果对概括性的、宽泛的“法定职责”不进行具体化，那么无论是对目的正当性，还是手段必要性，都无法运用比例原则进行分析和评价。因此，对“法定职责”进行具体化，是行政机关处理个人信息正当性及合比例性控制的关键。

1.法定职责的具体化路径

《个人信息保护法》第6 条规定：“处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。”这一原则对于行政机关处理个人信息的活动同样是适用的。将“法定职责”这一不确定概念向具体的“目的”这一方向转化，可作为实践中将法定职责具体化的基本路径。

如何促成“抽象的法定职责”向“明确的目的”转化？逻辑上存在两种路径选择。第一种是规则细化路径，即通过法律规范层面对权责的梳理，促进法定权责具体化。行政法上的“权责法定”原则，要求明确行政机关职权职责的法律依据，还要求法定的权责应当尽可能清晰、明确。

第二种是行政程序路径，即对法律上集合性的、不具体的法定职责，通过“法定职责—行为目的”的路径，在具体行政活动程序中进行说明和界定。职责是行政机关的事权和事责的集合；但在行政机关实施的具体行为中，行为应当有具体的、明确的目的。因此，可以根据具体的行政活动，要求行政机关在程序中对其实施行为的目的予以明确。对于抽象的、裁量空间较大的法定职责，比如“传染病防治”等，所谓“法定”，只是通过法律规定了权责行使的情形和条件（如《传染病防治法》第42 条规定的“传染病暴发、流行时”），而并未对法定职责的具体内容作出规定，后者有赖于在具体行政程序中的告知程序加以明确，其核心是行政机关的告知、说理，形成完整的、相对人可理解的逻辑链条。

顺着这个路径，应当要求行政机关在处理个人信息的告知环节，对目的进行明确、具体的说明。

2.分析“为履行法定职责所必需”的逻辑层次

“所必需”构成对行政机关履行法定职责处理个人信息的范围、限度的约束。如何分析、判定“所必需”？可以通过两个层次来分析行政机关处理个人信息是否符合“必需”原则。

一是必要性分析。其核心问题是：行政机关处理个人信息的范围、方式等，是否为实现行政活动目的的必要条件。这一分析的逻辑是“目的—手段”之间的必要性联系。在逻辑上，必要条件关系的分析可进一步展开为：第一，手段与目的之间是否有条件关系？第二，最小化分析。在手段—目的之间存在条件关系的基础上，进一步分析手段—目的之间的量化关系。比例原则不仅要求手段与目的之间存在“定性”意义上的条件关系，还要求二者之间的条件关系满足手段最小化的要求。这也正是《个人信息保护法》规定的“所必需”的涵义。“所必需”是条件关系定性与定量的结合。

二是可替代性分析。必要性分析关注的是目的—手段之间定性和定量的条件关系；可替代性分析所关注的则是实现目的之手段的可选择性。在行政机关处理个人信息的情况下，为实现特定目的而处理个人信息，可能存在多种处理方式。存在实现行政目的的多种个人信息处理方式可供选择时，如果只提供一种方式而排除其他方式，应当进行说明，否则会导致“可替代性”的争议。在规范内涵上，“所必需”要求处理个人信息的方式是达到目的“必需”的；如果存在其他可实现目的的处理方式，在没有充分理由排除可替代方式时，应提供替代性的处理个人信息的替代性方式。《个人信息保护法》第35 条所规定的国家机关处理个人信息应当履行的告知义务中，包括了告知处理个人信息的方式这一义务。

1

5

1

程序合法性分析：个人信息权利束的程序功能

(一）程序法规范的适用问题

在行政法上，程序合法性判断主要通过两个层面展开。第一是行政行为的程序规则，通常被称为法定程序；第二是行政程序的基本原则，例如程序正当原则。具体到行政机关处理个人信息的行为，虽然在法律属性上，该种行为属于行政行为，但行政机关处理个人信息的行为与其他行为往往在同一个程序之中，并与其他行为竞合。

笔者认为，行政调查行为不应吸收处理个人信息的行为。因为，调查行为与处理个人信息的行为在法律上构成不同的行政行为，受不同的法律规范调整，二者也涉及不同的权利义务。行政调查取证程序的主要目标是保障处罚决定所需的事实、证据，程序规则所追求的价值目标是调查权的有效行使与程序公平之间的平衡；而行政机关处理个人信息行为的程序保护，在于保障个人信息权益，规范行政机关的个人信息处理活动。而且，行政机关处理个人信息的行为，不仅包括个人信息的采集，还包括采集后对信息的分析、共享、存储等行为。因此，在涉及到个人信息处理的行政调查行为中，行政调查行为作为行政处罚的一个环节，应当受专门的行政法规范调整；但同时，调查行为中涉及到行政机关处理个人信息的活动，也应当受《个人信息保护法》调整。

（二）程序规则的提炼

虽然《个人信息保护法》并没有对行政机关处理个人信息的程序作出规定，但我们可以通过对法律所规定的程序性权利义务的配置的分析，提炼出程序规则的基本要求。

1.告知程序

《个人信息保护法》第35 条规定，“国家机关为履行法定职责处理个人信息，应当依照本法规定履行告知义务”。该条的告知义务的内容，指向《个人信息保护法》第17 条的规定，包括：（一）个人信息处理者的名称或者姓名和联系方式；（二）个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；（三）个人行使本法规定权利的方式和程序。从上述规定看，告知程序是行政机关处理个人信息行为的启动环节。另外，第23 条第一句规定：“个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。”

2.同意程序

在行政机关基于职权职责处理个人信息的过程中，个人对处理个人信息的方式、内容等依法享有的“同意”权利，是其对行政机关“如何处理”个人信息的参与性、制约性的程序权利。一方面，“同意”这一程序要素在行政机关处理个人信息活动中并不具备普遍性，仅仅在特定场景中针对特定的信息处理形式适用，并往往由法律进行专门规定与个别化列举。另一方面，在这类场景中，同意程序所指向的个人信息处理的范围和程度，依然是由“履行法定职责所必需”所决定的；如果信息处理活动超出了法定职责的授权范围，或者虽符合形式上的权限要求却超出了权力行使的必要限度，哪怕有个人的同意也无法豁免行政机关违法处理的责任。

“同意”在行政机关处理个人信息活动中不具备普遍性、独立性、决定性、根本性的特征，只是特定场景下的程序要素。

3.说明理由

行政机关履行法定职责处理个人信息，对其处理个人信息的法定职责、目的、用途、范围、处理信息的方式负有说明义务。

4.查询、更正

《个人信息保护法》第四章规定的“个人在个人信息处理活动中的权利”，包含了查询、复制、更正、删除等权利。这些权利是否可以适用于行政机关为履行法定职责处理个人信息的活动？从规范的体系解释和逻辑解释角度看，回答是肯定的。《个人信息保护法》第33 条规定：“国家机关处理个人信息的活动，适用本法；本节有特别规定的，适用本节规定。”从规范逻辑看，“特别规定”并没有完全限制个人在个人信息处理活动中的权利。进一步，行政机关履行法定职责处理个人信息的活动，也受到其他专门法律的调整，查询、更正的权利可以通过专门法律得到对应的具体化。《个人信息保护法》第72 条规定：“法律对各级人民政府及其有关部门组织实施的统计、档案管理活动中的个人信息处理有规定的，适用其规定。”据此，在统计、档案管理、政府信息公开等法律规范中，个人对行政机关处理的涉及其本人的信息，具有查询权；如果个人认为其信息有错误，有权要求行政机关予以更正。

1

6

1

行政机关处理个人信息行为的法律责任

如前所述，《个人信息保护法》主要聚焦于非公共机构处理个人信息的活动；尽管法律也规定“国家机关处理个人信息的活动，适用本法”这一适用原则，但《个人信息保护法》规定的法律责任机制，显然难以直接适用于行政机关处理个人信息的行为。

（一）内部法律责任机制

《个人信息保护法》第68条规定的内部法律责任机制存在比较明显的问题。首先，“不履行本法规定的个人信息保护义务”这一表述，范围不清晰，也不能覆盖“违法处理个人信息”的范围。其次，对违法处理个人信息的行为，法律规定由上级机关或者履行个人信息保护职责的部门责令改正，但规定由上级机关责令改正，是基于层级监督权；而由履行个人信息保护职责的部门责令改正，是基于个人信息处理监管权。将二者并列，逻辑上存在问题，实践中也难以协调两种监督的关系。第三，程序如何启动？个人如何参与到这一过程中？

（二）行政复议与行政诉讼

根据独立性标准，可以将行政机关处理个人信息的行为分为独立的个人信息处理行为和行政行为的“过程性行为”。所谓独立的行为，是指行政机关处理个人信息的行为，其本身即构成一个独立的法律行为。例如，行政机关对个人的信用评级，疾控机构对个人健康风险信息的自动化处理决定（如“健康宝”弹窗），行政机关对个人违法信息的公示或对行政处罚决定的公开等行为；这些既是行政机关处理个人信息的行为，但同时也构成独立的行政决定，并直接对个人的权利和义务产生影响。这些处理个人信息的行政行为，应当具有可诉性。

在很多情形下，行政机关处理个人信息，是在行政机关的监管、执法行为中发生的；处理个人信息本身就是其他行政行为过程中的阶段、环节。从行政效率、行政行为的连续性以及行政行为司法审查的“成熟性”（ripeness）等因素考虑，对行政行为过程中阶段性、过程性的行为，法院通常持一种非常谨慎的态度。对于作为行政行为阶段的个人信息处理行为，个人可以在行政行为决定作出后，以行政程序违法为由提起撤销之诉，或者直接针对处理个人信息的行为提起确认违法之诉。

（三）国家赔偿责任

行政机关处理个人信息行为侵害个人合法权益，完全可能满足《国家赔偿法》意义上的侵权赔偿责任要件，此时应适用行政赔偿制度。行政机关处理个人信息行为可能侵害的合法权益，既包括《民法典》《个人信息保护法》所规定的个人信息权益，也包括其他合法权益。

（四）宪法责任

由于个人信息权益包含了宪法上的平等权、人格尊严、通信秘密、安全等法益，故行政机关履行法定职责处理个人信息的行为，可能间接触发宪法上的责任。这主要包括作为行政机关处理个人信息活动“权责基础”的法规范存在合法性、合宪性问题的情形。在这种情况下，行政机关处理个人信息的法规范基础本身可能遭遇合法性、合宪性挑战，因此引发宪法性的责任。

在这种情况下，从形式上看，行政机关虽然具有处理个人信息的法定权责基础，但规定权责基础的法律规范本身存在合法、合宪问题。对设定行政机关处理个人信息权责基础的法律规范进行合法性与合宪性审查，这是未来个人信息保护领域的一个重要机制。

1

7

1

结论及讨论

国家机关处理个人信息的活动，与私人组织和机构处理个人信息的活动毕竟存在巨大差别，最重要的就是处理个人信息的“权力性质”差异。国家机关处理个人信息，既是实现其职能、履行其职责的需要，也是其行使权力的逻辑结果。

在“行政国家”背景中，行政机关是职责最广泛、职权最宽泛、职能最复杂的国家机关。随着“行政国”与“信息国”的融合，数字化行政已成为政府治理的重要工具，这对个人信息保护提出了大量新问题。从理论上讲，政府是个人信息保护义务的主体；但在现实中，政府也是个人信息最大的处理者和风险源。如何协调政府作为个人信息“保护者”和“处理者”的角色？如何克服个人信息国家保护的“悖论”？回答上述问题，仍需回到行政法治原则的逻辑起点。本文围绕行政机关处理个人信息活动的高权性、行政性、强制性等特性，探讨对行政机关处理个人信息的合法性控制机制，这有助于在现有法律框架下发展约束行政机关处理个人信息行为的可适用技术。但是，面向“数字化行政”的现实问题，根据《个人信息保护法》所建构的基本框架，尽快制定调整行政机关处理个人信息活动的专门立法，应是当前我国“数字法治政府”建设的一项紧迫课题。

文章来源：拟刊载于《比较法研究》2022年第3期，中国知网2022年5月25日网络首发。原刊责任编辑：丁洁琳。

因篇幅限制，已省略原文注释。

原标题：《前沿 | 王锡锌：行政机关处理个人信息 亟待专门立法》

阅读原文