- 数据分析
- 数据治理
- 产品解决方案
- 行业解决方案
- 案例
- 数据资产入表
- 赋能中心
- 伙伴
- 关于
时间:2022-01-26来源:虎瘦雄心在家浏览数:138次
目 次
一、个人信息保护的“公法路径”与“私法路径”之争
二、个人信息私法保护机制的局限
(一)信息处理者与信息主体的地位失衡导致维权难度高
(二)成本与收益不均衡导致司法诉讼的激励困境
(三)私权保护路径难以及时有效应对系统性侵权
三、行政规制的法权基础与比较优势
(一)作为法权基础的基本权利国家保护义务
(二)行政规制在个人信息保护中的比较优势
(三)行政规制的局限与公私法的调和
四、个人信息保护行政规制路径的完善
(一)明确个人信息保护的行政规制体制
(二)构建多元化的行政规制机制
结 语:迈向合作的个人信息保护
注:本文原载于《行政法学研究》2022年第1期“个人信息保护”专栏,因篇幅较长,已略去原文注释。
摘要:个人信息保护存在私法诉讼与行政规制两种主要路径,私法诉讼多以侵权之诉的形式展开。由于个人信息处理者与信息主体的地位失衡,信息主体举证困难,维权难度高;由于损害难以界定,诉讼存在成本与收益不均衡的激励困境;同时,个别性的诉讼也难以有效回应系统性的社会风险。行政规制路径以基本权利的国家保护义务作为法权基础,在专业性、信息充分程度、治理效率等方面具有比较优势。个人信息保护立法应当更妥善地处理两种路径的协调。未来个人信息保护的行政规制路径需要进一步明确规制体制,充分运用行政处罚、自我规制、内部管理型规制、第三方规制等多元化的规制机制。
关键词:个人信息保护;行政规制;公共执行;基本权利国家保护义务
在我国个人信息保护法律制度构建的方向上,一直存在着“公法保护”与“私法保护”之争。有学者以个人信息权理论为核心,主张将个人信息权视作私权,以民事救济来提供保障。也有观点认为,个人信息保护法是一种有关个人信息的管理法,是通过行政许可、行政处罚等手段来确保个人信息处理者合法处理个人信息的法律制度。此类观点多主张个人信息权是一种基本人权,需要由国家建立有效的事前事中监管与行政执法制度来提供保护。
近年来,大数据技术的发展对个人信息保护提出了新的挑战。信息公共性的增强和所包含法益的复杂性使得绝对化的私权保护路径窒碍繁多。而互联网平台的扩张则导致平台与用户间的议价能力失衡,私权保护的基础受到动摇。面对种种挑战,学界开始提出重构个人信息保护法的主张,如主张将个人信息保护“消费者法化”,并结合风险规制的公法框架提供保护;或是主张以行业标准为主导的个人信息保护路径。这些主张所呈现的一个共同特征是,不再强调个人信息保护是单纯的私法议题,而是试图以多元化的方式解决私法保护的局限。
我国的个人信息保护实践也呈现出相似的复杂性。《侵权责任法》、《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》(以下简称《网络侵权司法解释》)以及《民法典》都为私法保护提供了充分的规范基础。但实证研究却显示,相较于刑事手段,自然人请求法院对其个人信息权益提供司法保护的案件数量较少。民法学者也提出,个人信息保护中的各种问题需要依靠个人信息处理者的自律行为、监管者的监管措施以及自然人针对信息处理者的民事诉讼(及公益诉讼)共同加以解决,公法保护与私法保护在个人信息保护中都具有重要作用,都是不可或缺的。但对于公法机制与私法机制的所长所短、相互关系,学界的讨论还有进一步深入的空间。
2021年8月通过的《个人信息保护法》被认为确立了较有力的行政执法机制。事实上,在《个人信息保护法》出台之前,我国已经依据《网络安全法》和相关单行立法开展了大量个人信息保护行政执法。这类执法活动在取得一定收效的同时,也引发了一些合法性争论。这促使从学理层面思考个人信息保护行政执法模式的重要性日益凸显。本文将从上述讨论出发,对以司法诉讼为中心的私权保护机制所固有的局限展开分析,提出行政规制在个人信息保护上的比较优势,并就私法保护路径和行政规制路径的相互关系进行适当展开。同时,本文将结合《个人信息保护法》相关规范的解释与实施,对我国个人信息保护行政规制体系的完善提出建议。
在私法层面,当个人信息权利受到损害时,受害人在理论上既可以选择违约之诉,也可选择侵权之诉。但由于违约之诉举证责任较重,救济效果有限,所以并未成为主要渠道。在侵权之诉中,信息不对称、激励不均衡等问题都影响着私法效用的发挥。
个人信息保护法主要调整系统收集、利用个人信息的个人信息处理者与信息主体之间的法律关系。在移动互联网时代,个人信息处理者多为具有专业性或商业性信息收集特征的主体,其中最主要的是大型互联网平台。从形式上看,大型互联网平台与用户之间是平等的民事主体关系,但基于平台经济在“双边效应”和“头部效应”下的先天扩张属性,大型互联网平台的规模日渐增长,面对分散的用户展现出了技术上和资源上的绝对优势。平台对其业务生态内的信息有着极强的掌控力,被侵权人缺乏足够的专业技术和条件去收集、固定证据。这导致基于平等主体关系而设定的侵权法规则难以发挥预期功能。
《个人信息保护法》第69条第1款规定,处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。这实际上是采取了过错推定的立场。但在这一原则下,受害人完成举证责任至少存在着三个方面的困难。
首先,在侵权行为和损害结果的认定上,个人信息侵权呈现出高度隐蔽化和技术化的特征。在一般侵权中,侵权行为会造成直接、确定的损害后果,其对相关权益的影响多是清晰和可感知的。但在个人信息侵权中,侵权行为通常以数字化的形式发生,信息主体不仅难以知晓侵权人是谁、侵权方式和侵权行为是什么,甚至难以知道信息权益已经被侵害。在大量的个人信息泄露类案件中,由于所泄露的信息量极大,被侵权人通常无法知晓自己信息是否被包含在已泄露的信息集合中。同时,除私密信息的泄露可能直接引发社会评价降低外,其他个人信息的泄露会衍生出何种具体损害高度不确定。被泄露的个人信息既可能不产生任何波澜,也可能被用于消费诱导、歧视,甚至犯罪。这些损害表现形式超出了传统侵权法的范畴,导致损害计量难以进行。
其次,即便被侵权人能够发现侵权行为和损害,也较难完成因果关系的证明。分散的信息主体在大型互联网平台面前本就处于信息劣势,在个人信息可能由多主体控制并经多个环节处理的情况下,更是难以构建排他的因果联系。在“王金龙与汉庭上海酒店管理有限公司隐私权纠纷”一案中,法院比对了已泄露信息与酒店系统中的信息,查明二者所涉及信息主体的姓名、身份证号、性别、生日等信息一致,但住址、手机号、入住时间不一致。尽管原告提出,泄露信息中的住址、手机号是原告在最初办理会员时所登记的信息,入住时间则完全由酒店控制,存在被更改可能,但因为未提供相应证据,法院认定其为“猜测性抗辩”而并未采纳。法院认为,姓名、性别、身份证号等作为个人基本信息,使用频率和范围较广,并不为被告单独掌握,其扩散渠道不具有单一性和唯一性,无法断定相关信息是由被告泄露。类似案件在航空票务等不同领域多次上演,折射出被侵权人所面临的证明困境。
再次,尽管在过错推定原则下,被侵权人无需证明信息处理者的过错,但当信息处理者利用信息和技术优势证明自己未实施违法行为或已尽到合理注意义务时,受害人通常难以提出有效的反证。由于平台遵守法定义务与否的证据都处于其掌控范围内,涉诉时完成举证并不十分困难。而被侵权人要提出有效反证则需要面临两大难题:一是存在技术上的壁垒,普通民众难以掌握专业信息技术;二是存在信息上的不对称,无法了解信息处理者内部个人信息保护机制的真实运行状况,更遑论及时收集和固定证据。
私法实践针对上述问题的回应主要有二,其一是适用高度盖然性的证明标准,强化法官心证的作用。例如,在“庞某与北京趣拿信息技术有限公司隐私权纠纷案”中(以下简称“庞某案”),法院结合被告对涉案信息的掌握、他人获取信息的可能性、被告过往的信息安全表现等因素,认定被告存在泄露原告个人隐私信息的高度可能。在“申某与支付宝(中国)网络技术有限公司等侵权责任纠纷案”中(以下简称“申某案”),法院提出,诈骗分子在较短的时间内就完成了对涉案个人信息的获取、编辑及非法利用的全过程,基于涉案个人信息被短时间泄露等时空背景条件,可认定携程公司作为消费者所直接面对的第一手完整信息保管者,存在泄露涉案信息的高度可能。然而,这一路径存在的最大问题是主观性过强、不确定性过大。
其二是通过强化平台义务、降低因果关系认定标准等方式来矫正双方地位的失衡,但这面临着如何合理确定平台责任限度的问题。在“申某案”的判决中,法院指出,面对经常发生、影响广泛的网络攻击、侵权行为,网络服务提供者作为系统安全的直接维护者和受益者,应当有相应的反应机制、技术储备和人力财力支持。课以其安全保障责任,将最有利于被侵权人得到合理的救济,也最符合侵权法的整体效率的实现。但此类案件往往涉及多方主体,其中可能有大量职业黑客。在面临这类特别复杂和恶意的攻击时,单纯强化平台责任难言妥当。
私法救济的另一问题是难以实现合理的诉讼激励。大量实证研究均显示,在当前数量有限的个人信息保护民事诉讼中,普遍呈现出获得赔偿少、赔偿数额低的情况。诉讼回报与高昂的维权成本形成了鲜明对比。这一现象与个人信息侵权责任的分配规则有着紧密联系。
《个人信息保护法》第69条第2款规定,处理个人信息侵害个人信息权益造成损害的,损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。这一规则在《民法典》第1182条和2014年《网络侵权司法解释》第11条中已有体现。《网络侵权司法解释》同时在第12条规定,被侵权人为制止侵权行为所支付的合理开支,如调查、取证的合理费用、律师费等可以被认定为财产损失。若被侵权人因人身权益受侵害造成的财产损失或者侵权人因此获得的利益无法确定的,人民法院可以根据具体案情在50万元以下的范围内确定赔偿数额。
上述规则符合侵权法原理,但在实践中却较难妥善适用。首先,就被侵权人的实际损失而言,个人信息侵权较少导致显著、直接的损害,其结果往往体现为外部风险和内部焦虑。即便在特定情况下,个人信息侵权的风险转化为了现实的物质性损害,也可能是多种合力所致,追求明晰和单一化的因果关系链条并不现实。例如,当平台疏于承担安全保障义务导致个人信息泄露,引发后续违法行为时,作为信息处理者的平台、利用泄露信息从事非法活动的第三人、甚至受害者自身均对损害结果具有原因力。在“申某案”中,原告申某主张二被告应当赔偿其被诈骗所造成的经济损失11万余元。法院虽然认定被告之一携程公司违反安全保障义务,导致申某遭遇诈骗形成财产损失,但只判决携程公司在5万元范围内承担补充责任。
当具体物质损害难以认定时,《网络侵权司法解释》第12条规定的合理开支费用成为很多案件中原告唯一能够确证和法院唯一支持的损失。在近来受到高度关注的“微信读书案”中,原告向被告主张公证费用6660元,得到了法院的支持,但该案并未涉及其他赔偿责任。须知,在个人信息侵权这种高度技术性的复杂案件中,当事人为诉讼所付出的时间、精力远超能够被准确计量的诉讼合理开支,这在诉讼激励上显然是不成比例的。
其次,在适用个人信息处理者因侵权而获得利益这一标准时,计量难题也同样存在。个人信息侵权案中,除了销售个人信息外,信息处理者在大部分情况下没有具体获益。如在未尽到安全保障义务、个人信息记载错误等案件中,信息处理者不仅无获益,甚至可能有损失。而在部分情况下,由于信息利用的集合性,信息处理者虽有获益,但却无法个别计算,如信息处理者未经“告知-同意”而收集个人信息时,侵权行为通常是以系统性方式实施,其所获利益也是一种系统性侵权的结果,无法具体分配到个人。
在上述标准失灵的情况下,由法官在个案中确定赔偿数额成为唯一选择。但从实践来看,法院所支持的赔偿数额总体偏低。在“抖音案”中,原告主张赔偿经济损失35769元,精神损害抚慰金20000元,维权合理费用4231元,共计60000元。由于“双方均未提供原告因个人信息权益受到侵害所遭受的财产损失或被告因此获得利益的相关证据”,法院最终酌定赔偿的数额仅为1000元,同时支持了公证费4231元。可以推测,赔偿金额偏低的原因是损害的表现并不显著。
此外,除了财产损害赔偿数额较低,个人信息侵权的精神损害赔偿请求也较少得到法院支持。按照《民法典》第1183条第1款的规定,侵害自然人人身权益必须要造成严重精神损害,被侵权人才有权请求精神损害赔偿。要求精神损害的程度达到“严重”,其原因在于非物质性损害本身就具有一定的伸缩性,如果损害认定过于宽泛则可能导致侵权行为认定泛滥。而坚持“严重”的标准,对原告而言具有较高的证明成本。前述“庞某案”“申某案”“抖音案”中,原告提出了精神损害抚慰金的请求,但均未获得法院支持。
相较于《民法典》,《个人信息保护法》第69条对个人信息侵权责任的规定有进步之处:一是明确了损害赔偿的范围不再限定于财产损失;二是取消了50万元的赔偿限额。但这一调整依然没有解决个人信息侵权损害的不确定性问题,责任设定动辄得咎的两难局面未得到化解。一方面,即便非财产损失可赔,但若坚持传统的损害认定方式,被侵权人也很难得到有效的司法救济。另一方面,如通过向后延长因果关系链条来强化责任,则可能会出现责任分配上的不公,甚至导致个人信息保护领域出现滥诉。一个现实的担忧是,《个人信息保护法》第50条规定个人信息处理者拒绝个人行使权利的请求的,个人可以依法向人民法院提起诉讼。在这种举证责任较轻的案件中,当事人的诉讼可能给法院带来过大压力,甚至招致职业打假人的蜂拥而至。
大数据时代的个人信息处理行为几乎都是大规模、系统化进行,这导致个人信息侵权通常是一种规模性侵权。面对此类侵权,分散的个体诉讼往往只能就特定个案提出主张,无法撬动足够的社会资源,实现整体性治理。同时,鉴于司法程序本身的特质,较为漫长的司法流程也难以形成及时、高效的社会控制。
首先,私权保护路径的个别性无法有效回应系统性的侵权问题。从理性人假设出发,只有提起诉讼的预期收益大于诉讼成本时,提起诉讼才是理性选择。在个人信息侵权案件中,考虑到诉讼难度和诉讼回报,被侵权人提起诉讼的积极性通常较低。这会导向两种结果:一是选择接受并容忍侵权行为,“对违规行为完全麻木,认为违规行为是进入市场的实际必然”,从而陷入所谓的“数据泄露疲劳”当中(data breach fatigue);二是抱持“搭便车”的心态等待观望其他受害者率先提起诉讼,其结果往往是出现“集体行动的困境”。
部分案件中,即便有被侵权人提起诉讼,个人信息处理者也更倾向于以非正式的方式解决,如支付相应费用、促成调解和解等。此种情况下,被侵权者的权益看似得到了部分实现,但普遍和持续性的侵害依然可能发生,客观法秩序并未得到维护。对大型互联网平台而言,即便在个案中付出了较高额的和解或赔偿费用,也难以对其经营策略构成实质性影响。
其次,司法裁判本身的特质导致了其回应问题的迟滞。一方面,司法裁判重在事后课责,往往只能在损害已经发生、当事人提起诉讼之后启动。对于尚未转化为现实“损害”的风险而言,私法路径的反应相对迟缓和被动,很可能造成损害结果的进一步扩大。另一方面,在司法程序启动之后,由于受案量大、流程复杂、程序严格繁琐、人力资源有限等因素,司法裁判的周期相对较长。这进一步迟滞了私法路径对于严重社会问题的回应,导致社会整体治理层面的低效。目前,部分地方尝试通过公益诉讼来弥补私法诉讼的个别化问题,《个人信息保护法》第70条也设计了公益诉讼条款。但从其他领域公益诉讼的推进情况来看,公益诉讼更多是作为一种补充性的法律实施机制而存在,同时公益诉讼也难以解决司法机制回应迟滞的问题。
私法保护路径的主张者通常将个人信息权视为纯粹的私权。但这种观点忽略了个人信息保护作为数字经济时代的基础性议题,所展现出的跨越公私法的复杂属性:其一,传统民事关系中的私权是个人化的、确定的利益表达,基本不依赖于外部的公共关系。但个人信息利益的公共性极强,其交互、动态的属性与私权相对确定、静态的结构存在着先天冲突,将个人信息完全作为民事权利客体保护,会形成对民法既有概念体系的挑战。其二,在当前的信息条件下,国家机关和商业主体都可能成为个人信息的处理者,但作为民事权利的个人信息权无法对抗国家,也无法调整国家与信息主体的关系。因为国家机构处理个人信息的正当性基础是其法定职责,相应的行为规范、责任承担都与私法关系存在本质区别。因此,个人信息权益绝不可能、也不应该仅仅是一种纯粹的私权,必须从统合公私法的更高维度出发,在宪法层面寻求基础。
主张在宪法层面保护个人信息需要确定规范基础。这其中面临的最大问题是,个人信息保护涉及多种不同的问题和法益,很难用一项具体的权利进行概括和统合的表达。滥觞于德国的“个人信息自决权”试图基于“人的尊严”,诉诸“自决”这一概念来统率个人信息保护涉及的各种法益,但由于其绝对化的立场和对信息流动的阻滞,受到了诸多批评。近来,有研究者提出了“个人信息受保护权”的概念,强调不以个人信息本身为权利客体,而是关注个人在信息处理过程中应当获得的保护。通过对个人信息处理活动的法律控制,在不限制个人信息自由流动和利用的前提下,确保个人信息处理不逾越人格尊严的底线。相较于“个人信息自决权”,“个人信息受保护权”所建构的教义学体系应当是更加合理和可行的。
然而需要注意的是,“个人信息受保护权”的理论主张者认为,个人信息保护的核心指向是“人格尊严”这一法益。之所以强调个人信息应受保护,旨在“让每时每刻都在被‘处理’的信息主体在此过程中重拾主体地位,确保其个人信息以合乎人格尊严的方式被处理。”但实际上,个人信息保护所面对的是更为复杂的、栖身于不同宪法规范、彼此之间又存在高度关联的多种法益。例如,对隐私信息的披露、对人格图像的歪曲等可能涉及宪法第38条人格尊严条款;对通讯信息的侵犯可能涉及宪法第40条通信自由与通信秘密条款;对个人生物信息、位置信息的侵犯可能涉及宪法第37条人身自由条款。虽然上述法益似乎均可被纳入到“人的主体地位”这一命题中,从而被“人格尊严”条款所涵摄,但这种简单的论证很难与我国宪法的具体规范相契合。首当其冲的问题是,我国宪法中的“人格尊严”条款是否具备此种近似德国基本法上“人的尊严”条款的地位,尚有不小争议。即便承认“人格尊严”条款的这种地位,当宪法中存在更加具体的权利和规范时,也应当以具体权利而非概括性权利作为保护基础。
这一点也得到了立法过程的印证。对于《个人信息保护法》三审时在第1条添加的“根据宪法”这一立法依据,立法机关给出的解释是“我国宪法规定,国家尊重和保障人权,公民的人格尊严不受侵犯,公民的通信自由和通信秘密受法律保护。制定实施本法对于保障公民的人格尊严和其他权益具有重要意义。”从这一解释中可以看出,个人信息保护除了涉及人格尊严外,还涉及其他基本权利。其中至少包含公民的通信自由和通信秘密。从这个角度上说,个人信息保护的宪法基础并不仅是“人格尊严”条款或宪法的某一其他条款,而是包含多种法益的一个规范群。
在宪法层面确立个人信息保护的法权基础,至少具有以下两方面功能:其一,基于基本权利的主观权利属性,确立国家的消极义务和公民的防御权,防止公权力机关违法或不当收集、处理相对人信息,侵害相对人信息权益。其二,基于基本权利的客观价值秩序属性,确立国家的积极义务,确保国家积极作为以促进个人基本权利的实现。一般而言,国家对基本权利的积极义务包括了给付义务、保护义务等多项内容。在个人信息保护领域,通常不需要国家提供给付,国家的积极义务主要表现为对个人信息的保护义务。需要注意的是,国家如何行使基本权利保护义务具有广泛的形成空间,可依据基本权利的类型、受侵害的程度而采取不同的措施予以保护。也即基本权利的保护义务并不天然要求国家建立强有力的行政规制系统。之所以主张个人信息保护应当强化行政规制,是因为行政规制能够更加理性、高效地实现个人信息保护目标,这也是基本权利保护义务中“功能适当”原则的体现。
1.专业和信息优势
“风险社会”的到来进一步强化了行政国家的建构。由国家设立专业的行政规制机构,通过各种工具来识别、评估、预防和控制风险已经成为普遍趋势。专业规制机构所承担的工作相对聚焦,日常任务相近,从业人员多具有相关专业知识背景或实践经验,与相关领域的专家联系也更加紧密,“足以和真正的专家来交流,并确证出谁是更好的专家”。同时,行政机关还可以通过建立专门的技术岗位、设立专业技术机构、外聘技术专家等多种形式强化专业技术优势。个人信息保护法本身就是为了回应数字技术发展进步带来的挑战而诞生,具有鲜明的技术化特征。尤其是在大数据时代,个人信息保护和信息利用之间的张力持续凸显,规制主体不仅需要具备技术专长,还需要了解产业发展趋势,从而在纷繁复杂的利益冲突中权衡规制措施的合理性,这些都对规制主体的专业能力提出了较高要求。
相较而言,司法系统更擅长于解释和运用法律,但并不具备专业技术上的认知优势。技术问题并不是从“事实”到“法律”的推理,而可能涉及复杂的专业术语、模型和统计。美国法体系中对司法系统回应技术变化的能力也颇有微词,波斯纳将英美司法体系中的法官称为“日益专业化的政府和社会中的最后一批通才”,并认为法院对于医疗事故、产品设计缺陷、药品、专利等技术问题的回应通常不够理想。从我国当前的司法实践来看,在涉及复杂互联网技术的个人信息保护案件中,不仅诉讼两造需要通过聘请专家辅助人的方式来阐明意见,法院也需要借助专门的技术调查官来辅助审判,这虽然在一定程度上弥补了法官专业知识上的欠缺,但同时也使得诉讼成本大幅增加,影响了诉讼效率。
与此同时,行政规制还具有明显的信息优势。一般认为,就社会问题的治理而言,私法路径具有信息上的优势,因为行政机关启动正式调查程序、获取相应信息需要付出一定的公共成本,同时还可能要面对被规制者规避规制、隐藏信息等问题。而在私法机制中,诉讼当事人距离信息源更近,也更愿意主动向法院提供信息,无需付出额外的公共成本。但这一判断的前提条件是,被侵权人能够清楚、准确地识别加害者,并获取诉讼所需的信息。如果私人获取信息的难度较高,尤其是一些信息的获取可能需要运用超越私主体能力的强制性力量时,情况就有所不同。在个人信息保护法律关系中,面对大型互联网平台的封闭结构,信息主体获取信息的难度极高,取证成本高昂。法院受限于其中立角色,也无法在所有案件中依职权全面调取证据。相反,行政机关可以基于法定的调查权主动获取相应信息,在收集、分析、研判信息上比司法机关具有更大的优势。
2.预防和处理系统性侵权的效率优势
选择基于行政规制体系来实现事前事中的过程性控制,抑或是选择经由司法裁判的事后威慑来实现公共治理的目的,需要考虑事后威慑的有效性和可能发生的损害之特点。如果违法行为可能导致即刻且不可逆转的严重损害,事后威慑的效果又较为有限,则应当强化行政规制,以充分发挥行政规制在风险防范上的效率优势。这也是为何绝大多数国家要在食品、药品领域建立与一般消费品不同的强监管机制的原因。
在个人信息保护领域,通过司法裁判提供救济的方式效率较低,难以及时有效制止系统性侵权。但个人信息侵权在短时间内就可造成极大影响,且事后难以实现有效补救。如对敏感信息的泄露或滥用可能导致当事人的人格利益严重受损,在互联网时代的传播条件下,相关信息很容易二次扩散,造成不可逆转的长期损害。
面对此类问题,行政规制具有显著优势。首先,行政规制系统并非是由于特定损害发生才被激活,而是处于持续运行状态。行政规制机关无需依托特定主体的请求启动程序,也不需要等待风险的具象化,而是可基于对风险的自主研判而及时启动相应程序。其次,行政规制机关能够以发布一般性规则的方式对同类问题进行整体规制,发挥“规模优势”,以解决私法诉讼“一事一议”可能存在的低效问题。
3.形塑一般性规则的功能优势
大数据时代,对个人信息的利用多为集合性利用,其所引发的侵权并非是多个分散私权的简单叠加,而可能存在公共面向。长期未得到有效治理的个人信息侵权完全有可能超出私人利益范畴,形成一种系统性的社会风险。“对个人信息权利侵犯严重到一定程度时,就构成了对公共秩序的违反。”这反映出,个人信息保护法律制度的设计除了解决个案争议之外,也需要一般性地塑造良好行业规则,解决社会共性问题。
私权保护路径的被动性决定了其通常只能围绕争讼个案,就原告的诉讼请求进行裁判,难以积极地塑造个人信息保护规则,为企业和消费者提供更加明确的行为指引。例如,在“微信读书案”中,针对原告提出的读书软件中与微信好友的互动是否应当默认关闭这一问题,法院明确提出,从该案的证据来看,腾讯公司并未违反法律的规定。至于何种规则才是更加合理的,“司法不宜超过个案诉争范围过度干预。”事实上,个人信息保护作为数字时代的基础性问题,具有复杂的经济社会面向,这意味着治理措施需要广泛考虑经济社会发展情况、行业特点和社会诉求,立足个案却又能够超越个案设定一般性的规则。在这方面,行政机关具有更为宽泛的法政策形成空间,而法院通常受限于特定个案的事实,难以进行更广泛和全面的考量。
从个人信息保护立法的特点来看,由于需要对技术变化和产业发展保持可容纳性,数字经济领域的立法通常带有较多的原则性规范,其有效实施有赖于进一步的解释。例如,荷兰个人信息保护实践中大量的行业规则就是出于澄清其《数据保护法》的原则性规定,增加法律的确定性而出台。我国《网络安全法》和《个人信息保护法》也在一定程度上体现出这一特征。在司法裁判中,法官对法律负责,不存在科层制的命令系统,不同司法判决在对待同类事项时可能存在差异。而由统一的行政规制机关来执行规则,可以形成相对确定的解释方案,提高法律规则的明确性,这对于数字经济行业的发展尤为重要。
行政规制虽然在处理特定问题上存在优势,但也并非毫无瑕疵。一般来说,相较于私人诉讼,行政规制可能存在不经济、过度干预市场、被俘获、诱发权力寻租等问题。就个人信息保护而言,行政规制的局限主要体现在成本、灵活性和救济效果三个方面。
首先,在成本方面,开展有效的行政规制必须依托强有力的规制机关和执法队伍,这需要组织、人员层面的大量投入。行政机关的日常监管、调查取证、集体讨论、作出决定等执法程序也将耗费大量的公共资源,而这些都必须由公共财政予以保障。当前我国已经开展的个人信息保护行政执法更多是以“专项整治”的运动方式开展。在媒体和公众的高度关注下,执法机关将个人信息保护问题视作执法议程中的重点,在短时间内调动了大量资源。但当执法常态化后,如何保证监管资源的有效供给和高效利用就成为必须要面对的话题。
其次,在灵活性上,行政规制要求基于统一的规则形成相对稳定的执法实践。这虽然可以提供稳定、可预期的规制环境,但却可能难以妥当处理特殊个案。同时,在技术变革较快的互联网领域,规则的僵化可能影响其容纳新事物发展变化的能力,损及治理的灵活性。这带来了行政规制的一个困境:如果法规范过于原则,则解释和执行成本过高;如果法规范过于具体,则难以适应特殊个案和技术的发展变化。当前我国个人信息保护行政执法中,非强制性的个人信息保护标准发挥了极大作用,其中一个核心原因即是由于制定法规范过于原则,不得不依托技术标准实现具体化。个人信息保护的技术标准在这一意义上也已经超出了其“技术”属性,而发挥了解释法律的功能,承担了连接制定法和行政裁量权的作用。
此外,行政规制也无法为受到损害的当事人提供物质上的救济。行政法律责任中所涉及的高额罚金需要上缴国库,而不能用于填平和弥补当事人所受损害。尽管部分立法曾规定由执法机关责令退还违法所得、赔偿当事人的制度,但学界一般认为,责令退赔制度“不仅致使案件处置环节烦琐,案件办理期限变长,影响执法效率,增大执法成本,而且在保护广大消费者、其他经营者合法利益的功能上也并不理想。”《个人信息保护法》中也并未规定类似机制。
在上述问题上,私法诉讼机制恰恰是具有优势的。成本方面,在私主体发起的诉讼中,私人承担了收集证据、出庭应诉等一系列工作,实现社会目标的成本被分摊到了各个私主体头上,除消耗部分司法资源外,并未增加额外的公共成本。在灵活性方面,私法机制可根据技术发展的最新变化和个案情况,经由诉讼两造的对抗来实现更为灵活的权衡。在救济方面,尽管实际效果不尽如人意,但侵权诉讼终究能够为受害者提供一定的抚慰。因此,尽管私法机制存在多方面的局限,但其作用也是极为重要和不可替代的。
综上,在个人信息保护领域强化行政规制,并非是要由行政规制全面代替私法机制,而是应当着眼于二者的制度特点,推进二者的协调和互补:行政监管机制应当更多关注系统性、规模性、普遍性、高风险的个人信息保护问题,例如大规模信息泄露、普遍发生的人脸识别滥用等,以提高执法的针对性。私法诉讼机制则应当侧重关注具体性、个别性的个人信息保护问题,就公共性较低、排他性权利特征较强的问题进行处理。在《个人信息保护法》落地实施的过程中,二者的衔接和配套机制还需要进一步完善。
从比较法经验来看,行政规制始终是个人信息保护的重要机制。《个人信息保护法》实施过程中,一方面应当正确评估行政规制的功能与作用,处理好行政规制和私法救济的关系;另一方面也应结合我国实际情况,进一步优化行政规制的制度设计,提升规制质量。
基本权利的国家保护义务要求国家为基本权利的实现提供组织上的保障,而行政规制组织的建立首先要解决体制设计和职权分配问题。我国相关立法对个人信息保护执法体制的规定一直不够明确,引发较大争议。2012年《全国人民代表大会常务委员会关于加强网络信息保护的决定》仅在第10条明确“有关主管部门应当在各自职权范围内依法履行职责”,而没有明确具体的规制主体。《网络安全法》虽被视为网络安全领域的基础性立法,但也只是沿袭《决定》的立法策略,规定由“有关主管部门”实施监管。从体系解释的角度出发,按照《网络安全法》第8条规定的网络安全事务管理体制,网信部门、电信部门、公安部门以及“其他有关机关”都可能基于各自职责而享有监管权,但上述各机关之间的权限如何分配、关系如何调处,“其他有关机关”的范畴为何,均不清晰。由于规范意旨含混,实践中权责交叉、执法冲突的现象较为常见。学术界对这种分散执法的机制提出了较多批评,指出目前个人信息的执法体制呈现“九龙治水”的分散状态,这可能导致执法责任边界不清,出现推卸责任的后果。
《个人信息保护法》第60条在确立国家网信部门“统筹协调”地位的基础上,沿用了各部门“依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作”的立法模式,同时在第62条规定了由国家网信部门统筹协调的具体事项。相较于旧有立法,《个人信息保护法》的规定有两个进步之处:一是明确了国家网信部门“统筹协调”的地位,凸显其在个人信息保护执法中的特殊性;二是在第62条规定了由国家网信部门统筹协调有关部门制定个人信息保护具体规则、标准,这有利于解决个人信息保护规则“政出多门”的问题。但是,该规定依然未能解决执法权归属的争议:其一,国家网信部门的地位为“统筹协调”而非“统一负责”,但何为“统筹协调”仍然具有较大的解释空间;其二,按照《个人信息保护法》第60条的规定,除《个人信息保护法》外,“有关法律、行政法规”也可赋予相关部门监管职责,但这种由具体领域的行为法来确定法定职责的形式可能导致职责过于分散。同时,各具体领域的立法多由行业主管部门起草,难免带有部门主义色彩,从而导致执法权的冲突。
面对上述问题,学界多主张进一步建立集中、统一的规制体制,以独立的个人信息保护机构来强化执法的公正、权威和独立性。部分研究者提出应由“更具独立性和全局视野”的网信部门集中统一执法。参见张新宝:《我国个人信息保护法立法主要矛盾研讨》,载《吉林大学社会科学学报》2018年第5期,第51页。从近年来的实践来看,网信部门依托《网络安全法》等法律法规赋予的权限,深度参与了互联网治理规则的塑造,形成了一定的执法威慑力。从满足规制机关应当具备的权威性、专业性等要求来看,网信部门确实是较为适当的选择。
然而,由网信部门集中统一行使执法权存在着三方面的障碍。第一,网信部门的组织法地位尚不清晰。尽管《网络安全法》和《个人信息保护法》都采用了“网信部门”的概念,但对于各级网信办是否属于政府组成部门还存在不同看法,这导致网信部门的实际权力不清,可问责性不明。第二,网信部门的法定任务繁多,执法资源和执法能力有限,在当前各行业各领域均涉及个人信息保护问题的情况下,由网信部门集中执法可能超出其实际执法能力。有观点就指出,“网络行政管理机关事务繁多,需要负责网络安全的各个方面,在资源有限的情况下,行政机关往往侧重于国家和社会重大安全网络事件的监管,而相对次要的个人信息保护则容易疏于监管。”第三,金融、医疗健康等各个具体领域的个人信息保护问题存在一定差异性,作为互联网综合管理机构的网信部门难以全面掌握各行业的特性,并基于此制定更为精明的监管方案。
从这个角度来看,《个人信息保护法》之所以仍然沿用了一直被诟病的“各部门在各自职责范围内负责个人信息保护和监督管理工作”这一立法模式,或许是现实条件制约下一种“不得不”的选择。在《个人信息保护法》未来实施的过程中,需要进一步解释和细化第61条、第62条和第63条的规范要求,在兼顾执法统一性和灵活性的前提下,明确网信部门和其他各部门执法权限划分。具体而言,应由网信部门负责牵头制定个人信息保护领域的基础性规则和通用标准,确立个人信息保护行政执法的基本制度;其他各部门可依据《个人信息保护法》第61条和其他单行法律、行政法规的规定,结合本行业内的具体情况,开展各具体领域的行政执法工作。网信部门可为各部门的行政执法提供指导支持,并保留兜底性的执法权。对于可能出现的执法冲突,应由国家网信部门统筹协调,通过建立部门联席会议、推进联合执法等机制解决。
对于个人信息保护的公法路径,曾经存在着一种片面认知,即公法保护必然导致严格的事前审批,从而对产业发展形成窒碍。这实际上是对行政规制的误解。现代行政规制理论的发展已经提供了丰富的规制工具,个人信息保护的行政规制机制必然是多元化和综合性的。
其一,规制主体可采用传统的行政执法模式,即以行政处罚为代表的“命令—控制”式规制系统。《个人信息保护法》第66条参照域外经验,大幅提高了严重违法行为的罚款上限。从理论上说,高额处罚有其必要性,因为当处罚数额少于违法所得的利益时,很难产生足够的威慑功能。但是,对裁量权的控制同样是设定罚款数额时应当考虑的因素。《个人信息保护法》对情节严重的违法行为采用了区间数值式和区间倍率式并用的处罚方式,设定了“五千万元以下”或“上一年度营业额百分之五以下”的罚款额度,但却并未明确在何种情况下适用前者,何种情况下适用后者,失之于笼统。未来还需要进一步细化“情节严重”的要件解释,如违法者的主观状态、违法行为的性质、危害后果等;同时还应进一步明确选择适用“五千万元以下”或“上一年度营业额百分之五”标准的条件。此外,由于互联网平台多为股权结构复杂的集团化企业,在适用“上一年度营业额百分之五”标准时,需要准确认定被处罚对象。
其二,个人信息保护应当充分重视自我规制的展开。行政法上的“自我规制”在广义上既包括团体的自我规制(group self-regulation),也包括个体的自我规制(individual self-regulation)。团体的自我规制主要指行业协会自治或多个企业间的联合规制,如通过制定实施行业标准、通用规范等实现行业内部的普遍秩序。个体自我规制是指私人主体基于社会责任、市场声誉、竞争力等多方因素的考量,自主规范和约束其行为。自我规制是美国个人信息保护法律制度的突出特征,其对于降低规制成本、提高规制的系统性发挥着重要作用。我国个人信息保护领域也存在着大量的自我规制实践:由相关企业参与制定的推荐性标准发挥着重要作用,企业隐私政策也是重要的个人信息保护机制。《个人信息保护法》的实施需要更加重视行政规制与自我规制的结合。一方面,要更好发挥自我规制的自主性优势,如充分发挥推荐性标准、行业良好实践等行业自律性规范的作用,重视和尊重市场主体“由下而上”的规则提炼;另一方面也要强化对自我规制的“再规制”,如对隐私政策的制定和执行进行适当的监督等。
其三,个人信息保护可将“内部管理型规制”作为重要抓手,通过综合性的激励手段,培养信息处理者的内部治理机制。内部管理型规制的重点在于要求企业针对行政目标,制定适合自身的内部经营计划、管理流程及决策规则,从而将社会价值内部化,其本质是通过整肃和控制组织内部的管理制度,来增强企业的合规遵从。考虑到个人信息侵权的隐蔽性、系统性、结果风险化等特征,个人信息保护必须重视对信息处理过程的管控,尤其应当重视对大型互联网平台企业内部的治理结构、管理流程进行规制,从而防范信息处理中的风险、营造数字经济中的组织信任环境。《个人信息保护法》第52条所设计的个人信息保护负责人制度和第58规定的大型互联网平台的特殊义务均体现了内部管理型规制的思路。但需要注意的是,内部管理型规制实际上是行政权对企业内部治理的介入,在实质上构成对企业经营自主权的限制,故而在进行制度设计时需要更加妥善地处理各种利益之间的冲突。如《个人信息保护法》第58条规定,大型互联网平台应当成立主要由外部成员组成的独立机构对个人信息保护情况进行监督,这存在着外部监督与商业秘密保护之间的张力,需要通过精细的配套机制来化解。
其四,个人信息保护可引入第三方认证等市场化的规制机制。第三方认证是指由独立于被规制者的第三方机构通过调查、取证、检验等程序,对被规制者的合规情况进行评价,以促进合规遵从的活动。在市场规模较大、需要开展专业化的检验检测工作的领域,行政监管通常难以实现全面、有效的覆盖。借助第三方的审核、认证,一方面可以充分利用私人组织的专业和资源优势,另一方面也能够降低政府的成本,将监管投入从分散的市场主体转移到相对集中的第三方认证机构之上。OECD改进规制效率的报告就曾指出,各国政府应当投入资源,通过信息披露、认证机制、评级机制等强化规制遵从。只要能够确保可信度,此类措施能够对经营者形成守法激励,推动市场整体合规程度的提高。
《个人信息保护法》第62条规定了国家网信部门有权统筹协调有关部门“支持有关机构开展个人信息保护评估、认证服务”,但对于个人信息保护评估、认证的法律效力及其开展方式未作具体规定。通常来说,第三方认证通常可分为强制性认证和自愿性认证两种。个人信息保护领域的认证应当以自愿认证为原则,由市场主体自愿申请,对其信息处理行为的合规性进行认证。认证结果可以作为企业个人信息保护的合规依据,证明企业的个人信息保护政策符合法律规定,从而增进消费者对企业的信任度。规制主体也可采信部分认证成果,将其作为分配执法资源、开展调查的依据,但认证结果不具备在特定个案中证明企业特定行为合规的效力。
本文前述论证旨在说明,以侵权诉讼为核心的私法机制在解决个人信息保护问题上存在局限,个人信息保护必须重视以行政规制为代表的公法机制。行政规制机关的介入能够有效缓解信息处理者与信息主体力量失衡的局面,从而实现有效治理。当然,政府亦会“失灵”。尤其是受执法资源、执法意愿等一系列因素的影响,过度依赖行政规制也未必能够取得良好的效果。理想的个人信息保护模式一定是一个融贯公私法,调和行政规制与民事诉讼乃至刑事责任的综合性法律框架。在行政规制的内部,也必须实现行政监管、第三方监管、行业自我规制的有效融通。面对复杂的个人信息保护问题,不断强化跨部门、跨领域的法律合作,才能找到最适当的回应方案。
