我国个人信息保护行政监管的立法选择
邓辉,北京大学法学院博士研究生
大数据、区块链等信息技术的不断发展,使得个人信息的重要性前所未有地凸显出来。在现代社会中,随着技术的门槛越来越低,个人信息遭受侵害的情形越来越常见,但是信息主体难以进行私力救济,只有依靠民法救济、刑事规范和行政监管的合力才能形成对个人信息的全面保护。事实上,个人信息的保护和利用不仅事关公民的基本权利和人格尊严,同时也与经济发展和社会公共利益存在着紧密的联系,还关系着网络主权和国家安全的维护,涉及不同层面的制度安排。除了在水平层面上不断完善(自然人的)个人信息权利和(信息从业者的)个人信息保护义务规定外,立法还应当在纵向层面上建立合理和高效的监管制度,确保关于权利保护、义务遵守和救济提供的规定能够落到实处。职是之故,本文拟对我国个人信息保护行政监管的现状进行分析,并从目标、主体、措施和程序等四个方面提出具体的优化路径和改进方向,冀以推动相关立法和实践的发展。
(一) 存在强烈和现实的监管需求
由于大数据技术的快速发展和广泛运用,信息利用的范围和深度逐渐扩展。被誉为“信息时代原材料”的个人信息,不仅关系着信息主体的人格尊严,还作为基础数据推动着经济社会的持续发展,受到了社会各界的极大重视。近年来,我国关于个人信息保护的立法进程明显加快。2009年,《刑法修正案(七)》增加了“侵犯公民个人信息罪”(《刑法》第253条之一),将“违反国家规定,向他人出售或提供公民个人信息”的行为规定为犯罪行为。2012年,全国人大常委会发布《关于加强网络信息保护的决定》,将“能够识别公民个人身份和涉及公民个人隐私的电子信息”纳入保护范围(第1条)。2013年,工信部和国务院分别发布了《电信和互联网用户个人信息保护规定》和《征信业管理条例》来规范电信业务、互联网信息服务以及征信业务等领域中的个人信息利用行为。2016年,《网络安全法》首次在立法层面通过“定义+不完全列举”的方式来界定“个人信息”(第76条第5项)。2017年以来,《测绘法》《公共图书馆法》和《电子商务法》等多项立法也都对各自领域内的个人信息保护进行了规定。
随着立法进程的进一步加快,对个人信息的多重保护机制逐步建立。在个人信息遭受侵害时,受害人可以选择私力救济和司法救济等不同的权利救济方式。同时,在社会规制层面,信息产业或互联网行业协会也可以建立以行业标准为代表的自律机制,来防止或纠正个人信息侵害行为。然而,上述的应对措施都存在力有未逮之处:首先,私力救济不具备现实基础。在实践中,通过网络手段侵害个人信息的行为具备技术性、虚拟性和迅速性等特性,信息主体(信息权利人)难以进行预防。不仅如此,行为人有时还通过技术手段隐蔽其真实身份,信息主体根本无法查实具体的责任人,更遑论进行自力救济。其次,司法救济存在效率上的缺陷。作为“社会公平正义的最后一道防线”,司法救济能够为当事人提供最全面的权利保护和程序保障。但是,司法救济通常只针对已经发生的侵害行为,无法对潜在的威胁进行预先防范。受害人想要通过诉讼手段获得司法救济,往往因为繁琐的程序而需要付出大量的时间和精力,不能对恶意侵害事件进行快速和有效的反应。再次,我国相关的行业自律机制尚未形成。目前,我国信息产业取得了飞速的发展,但关于个人信息保护的自律性行业规定仍旧付诸阙如。在用户个人信息的商业化利用过程中,包括“徐玉玉事件”在内的个人信息泄露事件层出不穷,不断引发要求加强相关企业个人信息保护责任的呼吁。究其原因,互联网企业或行业具备天然的逐利性,使得为市场决策服务的信息利用思维占据了主导地位。简单地说,市场主体对个人信息的态度主要表现为“重商业利用、轻法律保护”,缺乏足够的动力来进行自我管理和制定相应的保护政策。因此,在未来一段时期内,只有进一步加强外部监督和执法威慑,才能够促使信息从业者认识到个人信息保护的重要性,逐步实现行业自律和自我管理。
相较于以上三种保护手段,行政监管不仅贯穿事前预防、事中监督和事后处理等个人信息保护的全过程,也可以综合运用包括风险管理、调查和处罚等多种手段,还在制止侵权行为方面具备快速和便捷的特点,能够充分应对现实中的各种挑战,从而为个人信息提供多角度和全方位的保障。再者,在国家治理体系和治理能力不断现代化的背景下,政府职能基本实现了从“管理型”到“服务型”的转变,但是,公权力机关仍可以对个人信息保护等事关公共福祉的重大领域进行监管。此外,由于公共管理职能的明确要求和有力的制度保障,行政监管既能够为个人信息提供更周延的保护,又可以妥善处理公民权利保护、网络安全维护和经济社会发展之间的关系。由此可见,我国建立个人信息保护监管制度,既具备相当明显的比较优势,同时也契合现实社会的发展需要。
(二) 相对弱化和附属的监管目标
2016年通过的《网络安全法》不仅系统地定义了个人信息的概念和范围,还明确了责任主体的行为义务,应当属于目前最重要的个人信息保护法规。但是,该法的立法目的包括“保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展”等多重目标(《网络安全法》第1条)。如此看来,“个人信息保护”仅是“保护公民、法人和其他组织的合法权益”之一环,在网络和信息技术迅猛发展的背景下,反倒处于立法目的体系中与其重要性极不相称的弱小和附属地位。另一方面,由于立法目的上的限制,相应的监管职权配置也未得到应有的重视。比如,国家互联网信息办公室(以下简称“网信办”)的设立是为了“维护互联网安全”和“加强网络信息保护”,其工作重心仍在于“网络安全工作”,而“个人信息保护”最多只能被解释为网信办的“相关监督管理职责”(《网络安全法》第8条第1款)。有学者敏锐地指出:“网络行政管理机关事务繁多,需要负责网络安全的各个方面,在资源有限的情况下,行政机关往往侧重于国家和社会重大安全网络事件的监管,而相对次要的个人信息保护则容易疏于监管。”
在消费者个人信息保护领域,《消费者权益保护法》需要兼顾“保护消费者的合法权益”“维护社会经济秩序”和“促进社会主义市场经济健康发展”等不同的立法目的(《消费者权益保护法》第1条)。在这些立法目的中,“保护消费者的合法权益”属于《消费者权益保护法》的“基础和核心”。但是,“消费者个人信息受保护的权利”在消费者权利体系中仅占半句(《消费者权益保护法》第14条后半句),实在难以彰显个人信息保护的重要性。
由此可见,在我国个人信息保护分散立法的背景下,单行法或部门法限于其本身的立法目的,通常将维护公共利益、促进经济发展和维护社会秩序等立法目标置于相对优先的地位,导致“个人信息保护”在部门监管目标中呈现出附带性或从属性的特征,不利于个人信息保护的监管和信息主体合法权益的保障。
(三) 缺乏统一和独立的监管机构
目前,在我国行业分散立法的背景下,个人信息保护监管呈现出明显的部门区隔特征:在一般消费领域,工商行政部门和其他有关部门负责保护消费者的个人信息权利(《消费者权益保护法》第32条);在电信和互联网领域,主要由国家网信部门、电信主管部门、公安部门和其他有关机关对个人信息保护工作进行监管(《电信和互联网用户个人信息保护规定》第17条、《网络安全法》第8条);在征信和邮政快递领域,个人信息保护监管分别由国务院征信业监督管理部门(中国人民银行)和国家邮政管理机构(国家邮政局)负责。(参见下表1)
(一) 以“强化私权保护”为主要目标
《民法总则》第111条立法采用的措辞是“个人信息”并非“个人信息权”。按照严格的文义解释,个人信息属于受法律保护的“法益”(合法利益),仅表明对个人信息进行保护的基本立场。但是,从体系解释和目的解释来看,《民法总则》第111条本身存在着极大的权利解释空间,应当被解释为个人信息的确权规范。更关键的是,在个人信息日益成为一种重要社会资源的背景下,只有以表彰私权属性为基础,才能够在现实和未来的层面上对个人信息进行有效的规制和保护。换言之,个人信息并非仅为“法益”,而是属于私法上的重要“权利”,从而能够享有更高层次的法律保护。
近代以来,正当的政治和法律秩序必须以个体权利(私权)为核心,逐渐形成了作为私法基础的权利本位观念。即使在公法领域,立法者也必须正视相关制度对个人权利的影响。主流观点认为,“个人信息权”是一种具体人格权,同时也属于基本权利,因而具备客观法的性质:一方面,所有组织和个人必须尊重这种民事权利,不得进行侵害;另一方面,包括监管机构在内的公权力机关也负有义务进行更周延和完整的权利保护,采取积极措施来创造和执行制度性保障,进而营造个人信息权受保护的客观价值秩序。在这个意义上来说,“权利保护”应当成为个人信息保护监管的主要目标和监管机构的主要职责。
(二) 扮演“利益冲突协调者”的角色
尽管个人信息保护的最有利方式是进行完备周全的综合立法,但这种方式可能无法兼顾信息产业发展的需求,并阻碍信息的自由流通。在进行个人信息保护法律制度构建时,需要在信息主体(个人基本权利)、信息行业(经营活动)和国家管理(公共利益)三方之间进行更多的利益平衡。进一步而言,在个人信息保护中发生利益冲突时,由于信息主体(个人)和信息从业者(经营者)存在实际能力和利益取向上的局限性,个人信息保护监管机构作为法律实施状况的监督者和公共利益的代表,理应承担起协调利益冲突的责任。
在立法没有明文规定的前提下,如果个人信息权利与下列的公共利益或他人重大利益发生冲突,监管机构应当运用比例原则等利益衡量方法来进行妥当的处理:(1) 国家安全和国防安全,针对个人信息(数据)跨境流通应当采取更加严格的监管措施;(2) 公共利益,比如公共安全、公共卫生以及基于公共利益进行的统计、编写历史或学术研究;(3) 司法活动,包括侦查、起诉、审判和判决执行等活动;(4) 公民的基本权利和自由,比如隐私权、肖像权和言论自由;(5) 信息从业者的重大合法权益,比如商业秘密、信息产业发展。此外,在信息主体存在恶意或滥用权利时,其权利行使也应当受到限制。
(三) 以“信息社会治理”为基本理念
进入信息化时代以来,信息主体、信息从业者(控制者和处理者)、社会公众等多元主体的参与和互动成为有目共睹的事实,单纯依靠自上而下的命令已无法确保法律规则的严格遵守。因此,面对不同主体的利益诉求,构建有序的参与机制才是治本之道。有学者指出,社会治理作为管理的升级版,承载着更多的职能,其主要特点就是允许适当的自治空间与社会的多元参与,从而逐渐形成个人信息保护与利用的制度性激励,进而实现综合治理的新格局。
维护网络安全和推进信息化等公共利益的实现,既需要监管机构采取行政管理措施进行有效的监督,也需要信息控制者和处理者的共同协力。尤其是,针对个人信息的合规化处理,更加依赖不同主体之间的合作。比如,作为技术性实际操作规则的《信息安全技术 个人信息安全规范》(GB/T 35273—2017)中的若干规定就直接体现了个人权利保护指引、企业合规参考和国家推荐标准三种意义。可见,个人信息保护监管应当置身于“信息社会治理”的大背景下,关注和重视包括市场与信用在内的其他社会力量,为行业自律机制和舆论监督发挥作用预留下足够的空间,积极引导多种社会因素的有序参与并进行有效的监督。
(一) 域外主要国家和地区的立法与实践
早在1995年,《欧盟数据保护指令》(Directive 95/46/EC)即要求各成员国成立监管机构(supervisory authorities)来确保前述指令的适用。为了正确地履行保护数据权利和促进数据流通的职能,这些公共机构应当独立存在,并有权实施包括进行调查、干预以及介入诉讼等方式在内的行政监管措施。不仅如此,2018年5月25日起实施的《欧盟一般数据保护条例》(General Data Protection Regulation/GDPR)除了实现个人数据保护统一立法和确立广泛的数据权利外,其所推行的对个人信息保护的强力监管也颇为引人瞩目,尤其是GDPR不仅建立了全覆盖、多层次的监管体系,而且大大细化了对监管机构的组织独立性、目标定位和职责范围等方面的具体要求。
在欧盟范围来看,尽管在名称和监管模式上存在些许差异,大多数成员国都已经建立了本国的个人信息保护监管机构。英国和德国的情况也大致相同:即便英国已经启动“脱欧”程序,但是个人信息保护仍被视为重要的议题。根据2017年《英国数据保护法案》,作为监管机构的“信息专员办公室”(Information Commissioner’s Office)将继续保持独立性,并获得更大权力来处理相关投诉、进行调查、罚款和刑事制裁。在德国,2015年修订的《联邦数据保护法》要求国家数据保护监督机关负责监督和确保个人数据保护条款的执行,有权在监管目的范围内对数据进行加工、使用或传输。
在分散式行业立法的框架下,美国虽然没有统一的监管机构,但更加重视个人信息保护的执法实践,采取了灵活多样的执法手段。迄今为止,美国尚未形成综合性的个人信息保护法典或法律,相关的联邦立法仅规定了各领域或行业的主管机关,由其负责监督和管理本行业内个人信息(隐私)保护的实施情况。比如,美国联邦贸易委员会(FTC)承担了大部分消费者个人信息保护的监管职能,消费者金融保护局(CFFB)负责与征信和金融有关的个人信息监管,而关于通讯和医疗的个人信息保护则分别由联邦通信委员会(FCC)与卫生和公共服务部(HHS)进行监管。其中,FTC不仅有权要求进行专项整改、命令删除非法获得的消费者信息、没收非法所得以及进行其他行政处罚,同时也致力于通过制定规则、发布指南与举办培训班等方式来实现对消费者个人信息的严格保护。截至2018年底,FTC已经处理了上千起关于个人隐私和数据安全的案子,从而保护了上亿消费者。有学者指出,FTC的执法实践不仅直接对消费者的个人信息提供保护,还间接地塑造了美国的隐私和个人信息法律制度。
在东亚地区,根据《韩国个人信息保护法》(2011年)和《日本个人信息保护法》(2015年修订)的规定,作为个人信息保护监管的专责机关,新设立的“个人信息保护委员会”直属于总统或内阁总理大臣,负责统筹个人信息保护并享有相应的行政职权。与此同时,在我国香港地区,“个人资料私隐专员(公署)”负责《个人资料(私隐)条例》的实施和个人资料的保障,并密切关注国际发展趋势与香港地区的社会期望,对个人资料的保护需求做出及时和有效的回应。在我国澳门地区,按《个人资料保护法》第28条和《民法典》第79条的规定,监察个人资料的收集、储存与使用的主管机构为“公共当局”。但是,这样的规定过于模糊,特区政府在2007年设立了“个人资料保护办公室”作为专责的监管机构。我国台湾地区“个人资料保护法”第22条规定,“‘中央’目的事业主管机关”和“‘直辖市’、县(市)政府”是行政监管机构,但是,当局迟迟未设立专责的监管机构,引发了人们对法律实施效果的质疑。
(二) 既有的立法建议及其局限
对于个人信息保护的立法,我国学者积极开展理论研究,并提出了数个具有重大立法参考价值的草案建议稿。其中,由齐爱民教授提出的《个人信息保护法示范法草案学者建议稿》区分了国家机关与非国家机关,涵盖了个人信息的收集、处理和利用以及相应的损害赔偿,但是,该建议稿缺乏对个人信息保护监管的相关规定。周汉华教授主持的专家建议稿及说明指出,在缺乏个人信息保护法专门执行机构的背景下,建议成立“专门的政府信息资源主管部门”对个人信息处理进行政府管理,负责相应的登记、许可、审查和决定等事项(第35—41条)。在有条件的情况下,也可以吸收政府之外的专家,共同组建“独立的信息委员会”。在张新宝教授主持起草的《个人信息保护法》(专家建议稿)中,“监督管理”(第六章)制度设计的基本思路是“在坚持网信部门核心地位的同时,充分发挥新闻监督、社会监督和公共参与的作用”,主张“网信办牵头协调,共同参与”。
值得注意的是,《网络安全法》出台以来,“网信办”在个人信息保护领域中发挥着愈加重要的作用。但是,“网信办”与“中央网络安全和信息化领导小组办公室”是“两块牌子、一套机构”,后者在组织建制上仅是议事协调机构,属于一种“阶段性工作机制”,不是严格意义上的实体性组织,其专业性和独立性难以获得保障。在此背景下,即便立法赋予了“网信办”进行统筹协调的职权,它也无法摆脱临时组织的性质和多头监管带来的弊端。这充分表明,分散式的监管主体缺乏统一性和独立性,无法有效地统领个人信息保护监管的大局。
(三) 建立统一和独立的监管主体
如前所述,我国目前个人信息保护仍处于分散立法阶段,由多个部门进行分别监管,相应的监管主体设置和职权配置也牵涉网信部门、工信部门、公安机关、邮政管理部门以及人民银行等多个主体。但是,相互独立的行业监管无法实现统一健全的顶层设计,个人信息保护的监管体制难以实现突破,而不同监管机关之间的冲突协调又困难重重。因此,在未来的民法典分则或个人信息保护单行法中,立法应当新设立以“个人信息保护”为主要目标的专责监管机构,采取统一而非分散的监管模式,打破不同行业之间的藩篱,实现更高程度的统筹、协调和指导,促进个人信息保护监管的统一领导与国际合作。
世界上主要国家和地区的立法和实践表明,只有坚持个人信息保护监管机构的独立性和全局视野,才能有效地防止和排除其他组织和个人的干预,进而履行法定的监管职能。这种独立性要求具体表现为“人、财、物”等方面的相应保障:在组织结构上,监管机构应当是政府的直接组成部门,而不从属于其他非以个人信息保护为主要职能的政府机关;在人员组成上,监管机构的工作人员属于公务员序列,不得从事与其职业不兼容的活动,尤其是影响履行监管职能的营利性活动;在财政预算上,立法应当保障监管机构享有独立的财政预算,并将其作为国家财政预算的组成部分;在物质条件上,为了履行监督和管理职责,尤其是调查个人信息保护情况,必须保证监管机构具备相应的办公设备及基础设施。
(四) 提升专业性和行政级别
在大数据时代,现代社会的信息化程度不断提高,侵害个人信息的行为也呈现出较强的技术性特点,给监管工作带来了巨大的挑战。所以,行政监管机构的设置不仅应当符合专业性的要求,同时也需要其工作人员通过不断学习来提高自身的业务能力,以适应日新月异的个人信息保护环境。除此之外,监管机构还可以效仿“行政复议委员会”的做法,邀请具备信息技术、审计、管理和法律等方面专业知识的人士(专家)协助制定监管法规、处理投诉和进行政策宣传。
对于个人信息保护监管机构的组织形式来说,“委员会”通常属于成建制的固定机构,是为完成一定的任务而设立的专门组织,其职能更加全面、机构更加规范、运行更加稳定、组织更加健全。在不断推进国家治理体系和治理能力现代化的背景下,机构改革的长远方向是要逐步实现从“领导小组”到“委员会”的转变。因此,在未来的立法中,我国应当重视个人信息保护监管的顶层设计和总体布局,尽快设立直属于中央人民政府(国务院)的“个人信息保护委员会”。
