【摘 要】 个人信息保护问题涉及多个法律部门,其中行政执法是个人信息保护的重要机制。《网络安全法》《消费者权益保护法》等现行立法和全国人大常委会已经公布的《个人信息保护法(草案)》都对个人信息保护的行政执法机制作出了规定,但现有规范存在执法体制不清晰、执法范围不明确、执法措施的行使条件与程序有待进一步细化、违法行为与法律责任未能实现梯度对应等多方面的问题。未来应当进一步明确个人信息保护行政执法的体制和职权分配,完善执法程序,优化行政法律责任的设定。
【关键词】个人信息保护;行政执法;行政监管
一、引言
在个人信息保护法的研究中,一直存在所谓“公法保护路径”和“私法保护路径”的讨论。所谓“公法保护路径”,是指依托行政监管机制,由行政机关对违反个人信息保护法规范的行为进行查处和治理;所谓“私法保护路径”,则是指将个人信息保护视作私权问题,依托司法体系为权益受到侵害的当事人提供救济。在这一问题上,世界各国的制度因其法律文化传统和制度偏好而存在差异,并无定于一尊的答案。学界倾向于认为,欧盟及其成员国对个人信息安全的保护以公法为主,美国则是以私法为主的保护模式之代表。
2020年10月,全国人大常委会公布了《中华人民共和国个人信息保护法(草案)》[简称《个人信息保护法(草案)》]。《个人信息保护法(草案)》第11条规定,国家要“推动形成政府、企业、相关行业组织、社会公众共同参与个人信息保护的良好环境”,体现了多主体、多路径并行的个人信息保护立法理念。同时,《个人信息保护法(草案)》在第6章明确规定了个人信息保护的执法主体、执法权限、执法措施等内容,充分体现出立法者对行政执法机制的重视。事实上,早在《个人信息保护法(草案)》公布前,《网络安全法》《消费者权益保护法》等立法就已经明确规定了个人信息保护的行政执法机制。实践中,中央网信办等多部门也已经联合开展了相应的执法活动。
个人信息保护一方面关涉个人信息主体权益的保障,另一方面关系到大数据时代信息的共享与利用,充满内在张力。建立适合中国国情的行政执法体制机制,确保行政机关在法治框架内开展个人信息保护执法,是个人信息保护法律制度建设的客观需要,也是法治政府建设的重要要求。本报告旨在梳理已经颁布的《个人信息保护法(草案)》和现行立法中与个人信息保护行政执法相关的条款,并就个人信息保护的执法主体、执法方式等重点问题进行探讨。
二、个人信息保护行政监管的立法分析
早在《个人信息保护法(草案)》颁布之前,就已有大量的单行立法就个人信息保护作出了规定,其中自然也涉及个人信息保护的行政监管问题。梳理相关规范可以看出,尽管大量法律规范都已经规定了个人信息保护的行政监管机制,但在监管主体、监管范围、法律责任等方面都还存有模糊地带,有待进一步完善。
(一)现行立法中的规定
在“个人信息保护法”未正式颁布生效前,《全国人民代表大会常务委员会关于加强网络信息保护的决定》(简称《关于加强网络信息保护的决定》)和《网络安全法》构成了个人信息保护领域的基础性规范,明确规定了行政监管机制(见表1,略)。《电子商务法》、《消费者权益保护法》、《未成年人保护法》、《邮政法》、《居民身份证法》、《传染病防治法》和《征信业管理条例》等具体领域的立法则分别在电子商务、消费者保护、未成年人保护、邮政、征信等具体领域就个人信息保护问题进行了规定。
此外,还有部分法律法规就具体领域的隐私和个人信息保护问题作出了规定,例如,《律师法》第38条第1款规定,律师不得泄露当事人的隐私。但因为此类立法中个人信息保护的义务主体并不是大规模收集处理个人信息的“信息处理者”,双方关系是因履行特定职能和提供特定服务而形成的单次信息利用关系,不属于学者所言的应当由“个人信息保护法”调整的“个人和信息收集者与处理者之间构成的一种持续性的信息不平等关系”,因此本报告并未予以梳理。
从表1中可以看出,《关于加强网络信息保护的决定》作为《网络安全法》生效之前互联网领域的基础性立法,已经初步探索确立了个人信息保护的核心规则,其第1条到第4条涵盖了个人信息的定义,收集使用个人信息的合法、正当、必要原则,“告知—同意”要求,个人信息收集使用规则的公开,信息保密义务,信息安全保障义务等内容。同时,《关于加强网络信息保护的决定》第11条也明确,对于违反该决定的行为,要给予警告、罚款、没收违法所得、吊销许可证或者取消备案、关闭网站、禁止有关责任人员从事网络服务业务等处罚。然而,该决定并未明确执法主体,仅在第10条明确“有关主管部门应当在各自职权范围内依法履行职责,采取技术措施和其他必要措施,防范、制止和查处窃取或者以其他非法方式获取、出售或者非法向他人提供公民个人电子信息的违法犯罪行为以及其他网络信息违法犯罪行为”,这导致个人信息保护的执法权限的分配并不清晰。同时,该决定在法律责任的设定上较为笼统,并未实现违法行为和法律之间的对应关系。“依法”给予相应处罚的立法表述表明,相关规则还有待其他立法的进一步细化。
《网络安全法》进一步细化了《关于加强网络信息保护的决定》中规定的个人信息保护行为要求,并对法律责任进行了细化,对罚款数额等进行了规定。但是,《网络安全法》依然没有彻底解决执法权限划分的问题。除了明确“窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的”违法行为是由公安部门进行执法外,对于其他侵害个人信息依法得到保护的权利的,《网络安全法》依然选择了沿袭《关于加强网络信息保护的决定》的规定,明确由“有关主管部门”进行执法。从体系解释的角度出发,《网络安全法》在总则部分的第8条规定了网络安全事务的管理体制:“国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。”这意味着除了国家网信部门、国务院电信主管部门、公安部门外,“其他有关机关”可能也基于其职责而具有一部分个人信息保护的执法权;进一步而言,大数据时代信息技术的普遍应用导致各个行业都存在个人信息保护问题,金融、医疗、食品药品、农业、旅游等各行业主管部门是否属于“有关主管部门”,是否应当具有各自领域内的执法权限也并不清晰。
同时,《网络安全法》在责任设定上还存在一个问题,即未能实现行为和处罚的梯度对应。例如,《网络安全法》第68条第1款规定,对于行为人拒不改正或者情节严重的,由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关许可证或者吊销营业执照。这一责任条款涵盖了从暂停相关业务到吊销相关许可证或者吊销营业执照的多梯度责任,但立法并未对“拒不改正”“情节严重”的情形进行具体划分和界定,其结果是何种程度的违法后果引发何种强度的责任不够清晰,存在执法裁量空间过大的风险。
除了《关于加强网络信息保护的决定》和《网络安全法》这两部综合性规范之外,《电子商务法》《消费者权益保护法》等具体领域的立法也对个人信息保护的行政执法机制作出了规定。相较于综合性立法而言,具体领域的部分立法对于执法机制的规定相对细致一些,但依然存在不够明确的问题(见表2,略)。
从对上述立法的梳理中可以看出,相较于综合性的立法,具体领域的立法对于个人信息保护行政执法机制的一些问题进行了具体化,以满足特定领域的实际需要。但相关条款依然含有大量的不完整规范,对行政机关和市场主体的指引不够明确,尚未形成稳定的制度环境。
在执法主体方面,各具体领域立法所采取的规定方式差异化程度较大。有部分立法明确规定了行业主管部门的执法权限,例如《征信业管理条例》规定,征信活动开展过程中的个人信息违法行为由国务院征信业监督管理部门或者其派出机构监督查处;《邮政法》和《快递暂行条例》规定,邮政活动中个人信息违法行为由邮政管理部门监督查处。部分立法采用了特别法规定优先的原则,例如《消费者权益保护法》规定有关法律、法规对处罚机关有规定的,依照法律、法规的规定执行;法律、法规未作规定的,工商行政管理部门享有兜底式的行政执法权。有部分立法依然沿用《网络安全法》的立法模式,规定由“有关部门按照职责分工处理”。例如《未成年人保护法》规定,违反未成年人个人信息保护规定的行为,由公安、网信、电信、新闻出版、广播电视、文化和旅游等有关部门按照职责分工处理。《电子商务法》则直接规定,电子商务经营者违反法律、行政法规有关个人信息保护的规定,依照《网络安全法》等法律、行政法规的规定处罚。
在违法行为方面,现行立法所涵盖的个人信息违法行为包括收集、使用个人信息未遵循合法、正当、必要原则,未经信息主体同意而收集、使用个人信息,出售或者非法向他人提供个人信息,未按法定要求或约定处理个人信息,未尽到个人信息安全保护义务,泄露、篡改、毁损个人信息,窃取、买卖或以其他方式非法获取个人信息等典型的个人信息违法行为。与此同时,各具体领域的立法结合实际情况对个人信息保护的规则进行了丰富和延伸。例如《未成年人保护法》规定,处理不满十四周岁未成年人个人信息的,还应当征得未成年人的父母或者其他监护人同意。《快递暂行条例》规定了经营快递业务的企业需要定期销毁快递运单的个人信息保护义务。这表明,各具体领域、行业的个人信息保护需求具有特殊性,在统一规则之外还需根据实际情况进行补充完善。
在法律责任方面,现行立法对个人信息违法行政责任的规定涵盖了从警告到行政拘留各个类型的处罚形式。其中,《居民身份证法》规定了对于国家机关或者金融、电信、交通、教育、医疗等单位的工作人员泄露在履行职责或者提供服务过程中获得的居民身份证记载的公民个人信息,尚不构成犯罪的,可处十日以上十五日以下拘留。这是目前个人信息保护领域最为严厉的行政法律责任。在罚款数额设定上,《网络安全法》采用了数值式和倍率式相结合的立法形式,规定可根据情节处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。其他立法或是同样采取数值式和倍率式相结合的立法形式,或是单独采用区间数值式的立法形式对罚款数额作出规定。但无论采取哪种形式,《网络安全法》所规定的违法所得一到十倍的区间倍率和最高一百万元的罚款数值,都是现行立法罚款数额的最高标准。
(二)《个人信息保护法(草案)》的规定
制定专门的“个人信息保护法”的呼声由来已久,《个人信息保护法(草案)》一经颁布就引发了社会各界的高度关注,通过统一的“个人信息保护法”来解决个人信息保护领域规则供给不足的问题也成为学术界和实务界的共同期望。在行政执法问题上,《个人信息保护法(草案)》第6章专门规定了“履行个人信息保护职责的部门”,涉及个人信息保护执法的体制、基本职责和权限、执法措施、举报投诉机制等内容。第7章“法律责任”部分第62条规定了行政罚款制度,第63条规定了信用档案制度。总体来看,相较于现行立法,《个人信息保护法(草案)》在行政执法机制的建构上存在一些进步之处,例如第59条规定了行政机关执法调查时可采取的措施,为行政机关的调查取证提供了保障;第60条规定了行政约谈制度,明确了约谈的法律依据。但部分规定依然显得较为笼统而不够细致,有必要进一步细化完善。
首先,《个人信息保护法(草案)》并未彻底解决行政执法体制和职权的问题。《个人信息保护法(草案)》第56条规定,国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。按照这一规定,国家网信部门在个人信息保护中的作用仅是“统筹协调”,而非集中统一管理。国务院有关部门“依照本法和有关法律、行政法规的规定”,在其职责范围内负责相关个人信息保护和监督管理工作。这意味着当其他法律、行政法规对行政机关的个人信息保护职责有规定时,该机关同样也拥有个人信息保护领域的执法权。然而,这不仅有可能导致作为基础性法律的“个人信息保护法”被单行法律架空,也可能因为单行立法之间的立场并不一致而引发执法冲突:由于我国的行政组织法尚不完善,国务院各部门的法定职责很多情况下是由具体领域的立法来确定,而具体领域立法多由行业主管部门起草,可能出现执法权限的分散和冲突问题。而《个人信息保护法(草案)》同时规定的巨额罚款制度可能会在某种程度上加剧这种冲突。
这一问题同时也反映在《个人信息保护法(草案)》第58条规定的标准制定上。按照《个人信息保护法(草案)》第58条的规定,国家网信部门和国务院有关部门按照职责权限组织制定个人信息保护相关规则、标准,推进个人信息保护社会化服务体系建设,支持有关机构开展个人信息保护评估、认证服务。根据这一规定,国家网信部门和具有法律、行政法规职权依据的国务院有关部门都可以组织制定个人信息保护的规则和标准,难免会出现标准与标准间的冲突、重叠,从而给市场主体带来负担。
其次,在执法措施上,《个人信息保护法(草案)》第59条规定了较为丰富的调查措施,能够为执法行为提供充分的保障。但从另一方面而言,各类措施的行使条件与程序还有进一步细化的空间。例如,《个人信息保护法(草案)》第59条规定行政机关在调查时可以“查阅、复制当事人与个人信息处理活动有关的合同、记录、账簿以及其他有关资料”,但“与个人信息处理活动有关”可能会被扩张解释为被调查主体所有与个人信息处理有关的活动。事实上,为更好保护第三人权益和商业秘密,应当将查阅、复制的对象限定在与被调查违法行为相关的合同、记录、账簿以及其他有关资料上。
再次,在执法范围和违法行为的认定上,《个人信息保护法(草案)》并未采用明确列举违法行为的方式,而采用了概括式的立法表述,规定“违反本法规定处理个人信息,或者处理个人信息未按照规定采取必要的安全保护措施的”,都可能被追究行政责任。然而,《个人信息保护法(草案)》规定的个人信息保护规则较为丰富。除了违法收集、利用个人信息,泄露个人信息等典型的违法行为之外,还规定了信息主体查询、复制、更正、补充、删除个人信息,要求个人信息处理者对个人信息处理规则进行解释说明等权利,当此类权利被侵犯时,是否能够追究信息处理者的行政责任尚不清晰。
最后,在法律责任的设定上,《个人信息保护法(草案)》大幅提高了严重违法行为的罚款上限。《个人信息保护法(草案)》第62条规定,违反本法规定处理个人信息,或者处理个人信息未按照规定采取必要的安全保护措施,情节严重的,可处以五千万元以下或者上一年度营业额百分之五以下的罚款,并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照。此处设定的罚款数额包括“五千万元以下”和“上一年度营业额百分之五以下”两个计算标准,但立法并未明确在何种情况下适用前者,何种情况下适用后者,这导致法律责任不够确定。
三、个人信息保护行政执法机制的完善方向
(一)明确执法体制和职权分配
构建个人信息行政执法机制的首要问题是解决执法体制和职权分配问题。从《个人信息保护法(草案)》出台之前的立法状况来看,分散执法的体制一直在实践当中得到应用。学术界对这种分散执法的机制提出了较多批评,多主张建立独立、统一的监管主体。例如,周汉华教授指出,目前个人信息的执法体制呈现“九龙治水”的分散状态,网信、市场监管、工信、公安以及教育、医疗、卫生、金融等相关领域的管理部门都负有相应的管理责任,这可能导致执法责任边界不清,出现推卸责任的后果。因此,个人信息保护领域应当通过设立独立的机构来解决传统管理中政企不分、政资不分、政事不分等弊端;如果不具备现实条件,也应该按照部委管理的国家局模式,设立个人信息保护机构,并在横向配置上尽量体现机构的独立性。《网络安全法》颁布实施以来,国家网信部门在互联网治理实践中发挥了较大的作用,其权力也有逐渐扩张和强化的趋势。《个人信息保护法(草案)》也赋予了国家网信部门较多的权力,如授权国家网信部门主要负责个人信息数据出境的安全评估等。因此,以国家网信部门为中心建立执法机构的呼声较高。但需要注意的是,国家网信部门所承担的互联网治理任务较为繁重,其执法能力相对有限,由其统一进行执法可能难以满足现实需要。因此,可能的方案是进一步强化国家网信部门的统筹协调能力,确保“政出一门”,规则统一。
此外,执法权力的配置还需要处理好纵向关系。按照《个人信息保护法(草案)》第56条第2款的规定,县级人民政府所属部门即可作为履行个人信息保护职责的部门,承担个人信息保护和监管职责。但个人信息保护执法的技术性较强,县级人民政府所属部门可能并不具备相应的执法能力。从保障执法规范化的角度出发,应当对级别管辖的规范再做进一步完善,如将管辖级别提升到设区市人民政府所属部门,明确省级人民政府所属部门和设区市人民政府所属部门的监管权限划分。
(二)完善执法程序
由于我国尚未制定统一的《行政程序法》,行政执法和调查尚未有统一的程序规则。尽管《行政处罚法》和《行政强制法》对于实施行政处罚和行政强制的程序作出了规定,但总体上比较原则性,多为基础性要求。个人信息案件的行政执法存在比较强的技术特征,个人信息保护立法应当充分重视这种差异并予以回应。例如,执法机关在行使询问、查阅、复制、现场检查等权力时,需要与信息处理者的保密义务有效对接。再如,对于《个人信息保护法(草案)》所规定的扣押、封存等措施,在云计算、云储存等技术和服务环境下会对信息处理者乃至案外第三人的权益造成较大的损害,因此必须在确有必要的情况下方能实施,同时应当增加听取当事人意见的程序。此外,还应当在立法中明确启动调查程序的标准、对于执法结果的后续跟踪监督等内容。
(三)优化行政法律责任的设定
《个人信息保护法(草案)》中对于罚款额度的规定是个人信息保护领域行政责任的重大突破。这一立法被普遍认为借鉴了欧盟《通用数据保护条例》的立法思路,以高额的罚款提高违法成本,从而对互联网商业巨头形成震慑。例如,有研究者就提出,既有立法最高未超过一百万元的罚款额度不足以遏制大规模侵害个人信息的行为。通过提高罚款金额增加侵害人的违法成本是强化行政执法的必然要求。然而需要注意的是,《行政处罚法》第4条第2款明确规定,设定行政处罚必须以事实为依据,与违法行为的事实、性质、情节以及社会危害程度相当。个人信息违法行政罚款的设定,必须与违法行为成比例。《个人信息保护法(草案)》的高额处罚虽然有其必要性,但在适用条件上却失之于笼统,留给行政机关的裁量权限过大。未来还需要进一步细化对“情节严重”等适用条件的界定,增加对违法行为人主观恶性的考量,综合对当事人的损害、对社会公共利益造成的损害等因素进行处罚,同时明确适用五千万元以下和上一年度营业额百分之五以下标准的具体情形。
