【内容摘要】 围绕“安全保障、技术为基、标准先行”这一网络安全治理方案,我国个人信息安全标准体系正在形成。透过对个人信息安全标准治理有关现象的观察,不论在市场标准向政府标准的转化中,抑或在标准自身的实施过程中,都呈现出许多异化现象。尽管个人信息安全标准化可以在技术治理主义的论证中获得正当性,但是有关标准化的进程不应忽视对标准自身局限性的认知、对被规制者的影响、与之相配套的认证制度建设,以及标准背后的权力真相。监管部门应当处理好个人信息安全“标准先行”与全领域、全要素治理法治化的关系。在为行政权力介入标准治理划定必要界限的同时, 监管部门应当摒弃工具主义的管制思维,在个人信息安全标准化进路中更多地关注公共服务。
【关键词】 个人信息安全;标准;治理机制;法治
传播方式的变革促进了信息的高速流动,而与此同时,“支付宝年度账单事件”“数据堂倒卖个人信息案件”“华住集团旗下酒店客户信息泄露事件”等个人信息安全事件不断挑动社会公众的敏感神经,进而引发行政力量的迅速弹压。实践中,复杂的网络生态和高速变化的技术环境需要具备技术属性的监管制度予以回应。为此,互联网监管机构将“安全保障、技术为基、标准先行”确定为网络安全治理的框架性方案。在这一治理方案中,个人信息安全标准被置于十分重要的地位。它的定位在于为网络安全设备和网络专用产品建立统一的安全框架;指导具体产品的制定要求,为其提供共性层和基础层;进而为涉及个人信息的社会活动提出可量化、可程序化的具体方案。不过,从理论上讲,标准是一套与法律制度既有区别、又相联系的规则体系。在全面法治的背景下,对这套规则体系的价值, 在实施中存在的问题,与法律制度的契合方式等都需要进行理性的分析,以便发展与法治化要求相适应的技术治理。
一、技术制度:个人信息安全标准体系及其特征
标准化学界认为:标准是一种技术制度。由此,个人信息安全标准也应当兼具技术和制度两种属性。尽管这一制度体系不论在制定主体、制定程序抑或实施方式、效力来源等方面都与法律体系有所不同,但我们仍然可以借助于分析法律体系的规范主义进路,来对个人信息安全标准体系进行分类和分级,进而提炼其特征。
(一)个人信息安全标准体系
根据“标准的级别”和“标准的功能”两种不同的分类标准,可以大体勾勒出当前个人信息安全标准体系的基本框架:其一,从标准的级别上看,标准包括国家标准、行业标准、地方标准、团体标准和 企业标准。其中,政府主导制定的国家标准、行业标准和地方标准属于“政府标准”范畴,团体标准和 企业标准属于“市场标准”范畴。其二,从标准的功能上看,个人信息安全标准可以分为“基本要求类标准”“实施指南类标准”“检测评估类标准”以及“行业应用类标准”。其中,“基本要求类标准”规 定了针对个人信息安全的基本技术要求和基本管理要求,适用于指导个人信息安全建设和监督管理。“实施指南类标准”是对“基本要求类标准”的细化解释,从而为达致有关个人信息安全要求提供指引。“检测评估类标准”是为落实“基本要求”而设定的可执行、可重复、可度量的测试方法、验收规范、审核规则、核查机制等。“行业应用类标准”则是有关标准在具体行业应用时的情景化规范。
由于统一的标准信息公开平台建设相对滞后,以及团体标准等市场标准的相对非公开性,笔者基于全国信息安全标准化技术委员会(以下简称全国信安标委)网站的标准查询专栏、中国知网标准库等线上平台的既有数据进行的不完全检索,大体整合出当前个人信息安全标准的基本框架。
1.个人信息安全主要国家标准。在个人信息安全领域,现已制定 4 部国家标准,另有多部国家标准正在研究制定中。其中,在已经制定的国家标准中,属于安全要求类标准的包括《信息安全技术个人信息安全规范》(GB/T35273-2020)、《信息安全技术 移动智能终端个人信息保护技术要求》(GB/ T34978-2017)和《信息安全技术大数据服务安全能力要求》(GB/T35274-2017);属于实施指南类标准的是《信息安全技术 个人信息去标识化指南》(GB/T37964-2019)。正在研究制定的标准则包括属于安全要求类标准的《信息安全技术 移动互联网应用(App)收集个人信息基本规范》,属于实施指南类标准的《信息安全技术个人信息安全工程指南》《信息安全技术个人信息告知同意指南》《信息安全技术个人信息出境安全评估指南》,以及属于检测评估类标准的《信息安全技术个人信息安全影响评估指南》等。
2.个人信息安全部分行业标准。个人信息安全行业标准以通信行业为主,但也涉及卫生、公共安全以及金融等其他行业。其中,公安行业的个人信息安全标准,如《信息安全技术个人移动终端安全管理产品测评准则》(GA/T1540-2018)、《居民身份证视读个人信息排列格式》(GA456-2004)等。卫生行业的个人信息安全标准,如《健康档案共享文档规范第14部分:重性精神疾病患者个人信息登记》(WS/T483.14-2016)、《基本信息基本数据集个人信息》(WS371-2012)等。通信行业的个人信息安全标准数量最多,包括《移动智能终端上的个人信息保护技术要求》(YD/T3082-2016)、《移动用户个人信息管理业务总体技术要求》(YD/T2129-2010)、《移动用户个人信息管理业务终端技术要求》(YD/T 2132-2010)、《移动用户个人信息管理业务总体技术要求》(YD/T 2129-2010)等。金融行业的个人信息安全标准包括《中国金融移动支付检测规范第 8 部分:个人信息保护》(JR/T 0098.8-2012)等。
3.个人信息安全部分团体标准。2017年新修订的《标准化法》确定了团体标准的法律地位。总体来看,个人信息安全领域各类团体标准的制定主体表现亦相对活跃。例如,2018 年,电信终端产业协会(TAF)协调相关市场主体共同启动《移动智能终端与应用软件用户个人信息保护实施指南》从总则部分到第 8部分的系列团体标准的制定。内容涉及个人信息分类、告知同意、权限管理、应用软件隐私政策等诸多重要内容。
4.有关技术文件。个人信息安全领域的技术文件可以分为两类:一类是国家标准化指导性技术文件。根据《国家标准化指导性技术文件管理规定》(以下简称“技术文件管理规定”):“指导性技术文件,是为仍处于技术发展过程中(如变化快的技术领域)的标准化工作提供指南或信息,供科研、设计、生产、使用和管理等有关人员参考使用而制定的标准文件。”在个人信息安全领域,2012 年由全国信安标委提出并归口的《信息安全技术公共及商品服务信息系统个人信息保护指南》(GB/Z 28828-2012,以下简称“《个人信息保护指南》国标指导文件”)就属于这类国家标准化指导性技术文件。另一类则可被称为其他技术文件。如2019年6月1日,全国信安标委秘书处发布《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》(TC260-PG-20191A,以下简称“业务功能规范”)。该规范前言就自我明示:《网络安全实践指南》是全国信安标委发布的技术文件。
值得注意的是,本领域还存在各类临时性组织以各种形式发布的具备一定技术特征的其他制度文件。如 2019年 1月,中央网信办、工信部、公安部、市场监管总局等四部门联合发布《关于开展APP违法违规收集使用个人信息专项治理的公告》(以下简称“四部门公告”)。受四部门委托,全国信安标委等四家非政府机构成立了 App违法违规收集使用个人信息专项治理工作组,具体推动 App 违法违规收集使用个人信息评估工作。该工作组曾以自己的名义发布《App违法违规收集使用个人信息自评估指南》。在行政法上,此类文件的法律属性存疑,囿于篇幅所限,本文不做赘述,权且根据其内容具备技术性特征而将其纳入技术文件的范畴。
(二)个人信息安全标准体系的特征
1.功能上的支撑性。我国迄今尚未制定个人信息安全专门性法律。虽然部分法律、行政法规、部门规章先后就个人信息收集、使用、加工、传输等环节如何保障个人信息安全进行了规范,但个人信息安全的制度规范体系在总体上仍呈现出民事、行政规定整体供给不足、权利义务规定抽象的特征。与之相对,标准化活动则同步延展到与个人信息安全有关的服务、管理以及公权力领域,并在适用范围、调整对象上与法律规范保持了相当的重叠性。《网络安全法》第 15 条明确规定:“建立和完善网络安全标准体系。”《关于加强国家网络安全标准化工作的若干意见》同时指出:“构建统一权威、科学高效的网络安全标准体系和标准化工作机制,支撑网络安全和信息化发展。”可见,标准在功能上具有十分明显的支撑属性。
2.内容上的规范性。通过检索发现,与一般技术标准在语言表述上有所不同的是,个人信息安全相关标准中存在一些比较明显的类似法律规则中行为模式的用语。比如,在《信息安全技术个人信息安全规范》(GB/T35273— 2020,以下简称“《个人信息安全规范》国家标准”)中,检索到“应”(156次),“不应”(29 次),具体表述如“不应以欺诈、诱骗、误导的方式收集个人信息”“不应隐瞒产品或服务所具有的收集个人信息的功能”“不应从非法渠道获取个人信息”等。在《信息安全技术移动智能终端个人信息保护技术要求》(GB/T34978— 2017)中,检索到“可以”(1 次),“应”(23 次),“不应”(3 次),具体表述如“持续收集个人信息时,应允许移动智能终端用户配置、调整或关闭个人信息收集功能”“移动智能终端系统和应用程序不应该采取隐蔽手段或以间接方式收集个人信息”等。可见,个人信息安全标准不仅仅关注一般技术标准所关注的技术水平要求、技术路线选择和技术指标论证, 也同样关注个人信息安全相关主体的行为,从而呈现出规范性特征。我国在标准方面向来有技术标准、工作标准、管理标准之分。个人信息安全标准更多从属于工作标准或管理标准的范畴。不过,承认这一分类并不否定个人信息安全标准是技术制度的判断。因此,标准仍应当主要立足于对技术细节的规范。从这个意义上讲,个人信息安全标准是技术性和规范性的统一。
3.效力上的非强制性。总体而言,有关个人信息安全标准尚不满足《标准化法》第 10 条关于“保障人身健康和生命财产安全、国家安全、生态环境安全以及满足经济社会管理基本需要”的要求。有关标准都符合《标准化法》第 11条所谓“基础通用、与强制性国家标准配套、对各有关行业起引领作用等需要的技术要求”,从而选择制定了推荐性标准。尽管本领域还存在一些因历史原因制定了行业标准的强制性标准,但《标准化法》修订以后,行业标准、地方标准都只能是推荐性标准,有关强制性标准应当完成转化。故可以认定,有关个人信息安全的政府标准均应是推荐性标准,在效力上具有非强制性特征。
4.体系结构上的模糊性。根据前述“技术文件管理规定”第 3 条:“技术尚在发展中,需要有相应的标准文件引导其发展或具有标准化价值,尚不能制定为标准的项目可以制定指导性技术文件。”按照该管理规定,指导性技术文件项目应当列入标准制修订项目计划,并在计划中以指导性技术文件的特有标号进行标明。尽管“技术文件管理规定”的适用范围限于国家标准化指导性技术文件,但依旧对其他各类技术文件的规范化管理具备借鉴意义。反观个人信息安全领域,却隐约发现与从源头上强化指导性技术文件的规划性、体系性和规范性的精神不相符合的地方。《全国信息安全标准化技术委员会〈网络安全标准实践指南〉管理办法(暂行)》对技术文件的立项和编制程序规定相对灵活简单, 在严肃性方面表现不足。比如,“四部门公告”发布以后,有关单位原本希望以推荐性国家标准的形式制定“四部门公告”中所提及的“大众化应用基本业务功能必要信息规范”。因制定过程中遭遇困难,后来被演变为制定“业务功能规范”这一其他技术文件,但2020 年初,全国信安标委又将《信息安全技术 移动互联网应用(App)收集个人信息基本规范》列入年度标准立项项目。这之间相对灵活而又反复的转化至少说明,个人信息安全相关标准在内在体系结构方面还存在相当的模糊性。这与本行业发展不成熟、不稳定有着直接的关系。
二、标准先行:实施中的异化及其动因
制定标准与实施标准是标准化的两个维度。标准先行的前提是制定足够多的、好的标准并加以实施,进而实现支撑法律实施的目的。就标准的制定而言,《标准化法》的修改力图改变多年来由政府几乎作为标准唯一供给主体的局面,通过适度吸纳、转化市场标准,提升标准的总体供给能力。就标准的实施而言,标准的实施虽然可以通过标准化自身的举措来实现(如基于标准的认证),但主要还是通过与法律规范发生关系而实施的。这便牵涉出标准化的体制,以及标准与法律规范之间的关系问题。
(一)个人信息安全标准实施环节的异化
1.标准先于法律规范对外部性的行为进行规制。当具备规范性特征的个人信息安全标准与同样具有规范性特征的法律规范在规制对象上相互重叠之时,通过比对两类规范性文件的内容,可以在一定程度上揣度标准实施中存在的问题。
第一,个人信息安全标准中不少具有规范性特征的语言,在表述上仍停留于相对抽象的层面。比如,标准中还存在诸如“隐蔽手段”“间接方式”等不确定法律概念,给标准实施留有相当的裁量余地。这些规定并未将法律规范中的行为要求全面分解成客观的、描述性的、程序性的要素,并未充分关注不同产品、服务和流程的属性及内容,也就并未完全契合标准在技术性、科学性、透明性、可达性以及相容性等方面要求。因此,有关标准的实施也未必能如人所愿地很好地起到支撑法律实施的作用,从而不可避免地在一些时刻与法律的实施形成平行状态。
第二,部分标准并未仅仅局限于将有关法律的规定转换为技术性的要求。由于《网络安全法》对个人信息安全的表述过于原则,导致有关标准中相当的篇幅都用来容纳法律中未曾出现的针对互联网领域新生业态的各类新兴行为的规范性条款。通过标准本身相对灵活、简便的制修订活动,标准事实上领先于法律规范实现了对现实变迁的回应。比如,“《个人信息保护指南》国标指导文件”就在法律规范之前率先区分了一般个人信息和个人敏感信息,并设置了相应的行为规则。又比如,“《个人信息安全规范》国家标准”又在《网络安全法》之外区分了“基本业务功能”和“扩展功能”,并新设了诸如“增强式告知”等行为规则。这些条款的实施,注定会影响产品和服务提供者、使用者的权利义务。
2.推荐性标准实施过程中的变相强制化。前述标准内容的前瞻性并非一定是值得非议的。为应对风险社会挑战,标准化越来越强调“事前引领”的功能,即由标准进行面向未来的规划、设计、创新和综合,以解决未来问题或引领所在领域乃至跨领域的全面发展。因此,还需要结合监管部门在行政执法活动中对待标准的态度来进行进一步的判断。2017 年,国家网信办等四部门牵头《个人信息保护倡议》的起草工作,最终,包括京东、阿里等互联网头部企业签署了这一倡议。倡议书中虽然只笼统地写明“遵照国家相关标准要求,采取充分有效的技术和管理措施,防止个人信息泄露、毁损、丢失”,但 2018年 1月,国家网信办网络安全协调局在约谈“支付宝年度账单事件”当事企业负责人时, 仍指出其收集使用个人信息的方式“不符合刚刚发布的《个人信息安全规范》国家标准”“违背其前不久签署的《个人信息保护倡议》”。
《标准化法》第 2 条规定:“国家鼓励采用推荐性标准。”《企业标准化管理办法》(原国家技术监督局第 13 号令)第 17 条指出:“推荐性标准,企业一经采用,应严格执行。”可见,推荐性标准获得法律效力的方式是“企业采用”。这里便涉及两个可资讨论的问题:(1)何为“企业采用”? 在前述行政执法案件中,监管机关显然非常明确地将签署倡议书等柔性社会治理手段也视同为企业采用推荐性国家标准的方式。与此同时,监管机关又非常宽泛地解释了倡议书中“有关国家标准”的内涵。这样一来,监管机关就可以依据个人信息保护推荐性国家标准的要求来对监管对象实施处理。(2)对于未签署上述倡议书的绝大多数被监管对象而言,基于推荐性标准的行政执法是否难以实施呢?《个人信息安全规范》国家标准实施以后,虽然监管机关的执法文书通常简单而直接地对应违法行为与《网络安全法》有关禁止性条款、义务性条款的关系,但有关个人信息安全的推荐性标准却在事实上作为了评判互联网从业者是否违法的直接准据。在“《个人信息安全规范》国家标准”的适用范围说明中就写道:“本标准……适用于主管监管部门、第三方评估机构等组织对个人信息处理活动进行监督、管理和评估。”而监管机关负责人在《规范》发布时也明确指出,规范“为制定和实施个人信息保护相关法律法规奠定基础,为国家主管部门、第三方测评机构等开展个人信息安全管理、评估工作提供指导和依据”。
综上,在“《个人信息安全规范》国家标准”尚未实施的情况下,监管部门已经显露出将“《个人信息安全规范》国家标准”等推荐性标准作为判断违法事实依据的端倪。“《个人信息安全规范》国家标准”实施以后,这一思路在实践中被隐性地坚持了下来。至此,推荐性标准在实施环节被变相强制化了。
3.团体标准在未经验证前被行业标准吸纳。新《标准化法》第 18 条增加了团体标准作为法定标准的类型之一,“鼓励学会、协会、商会、联合会、产业技术联盟等社会团体协调相关市场主体共同制定满足市场和创新需要的团体标准,由本团体成员约定采用或者按照本团体的规定供社会自愿采用”。关于团体标准,《团体标准管理规定(试行)》(以下简称“团标规定”)第 25 条要求:“团体标准实施效果良好,且符合国家标准、行业标准或地方标准制定要求的,团体标准发布机构可以申请转化为国家标准、行业标准或地方标准。”然而,通过检索个人信息安全标准制定过程中的一系列公开信息,却可以发现一些不太符合“团标规定”要求的情形。比如,由工业和信息化部主管的中国通信标准化协 会(CCSA)下属网络与信息安全技术工作委员会(TC8)无线网络安全工作组(WG2)第 58 次会议审议了作为研究项目的《移动应用软件个人信息保护要求和评估办法》标准文稿 V1.1 的文本。而在中国通信标准化协会主办的通信行业标准线上查询平台上,可以查找到被列入通信行业标准项目进展目录的《移动应用软件个人信息保护要求和评估方法》,项目编号为 2019-1132T-YD。如果将该平台所公布的行业标准过程稿文本与前述电信终端产业协会(TAF)协调相关市场主体正在制定的《移动智能终端与应用软件用户个人信息保护实施指南》系列团体标准的过程稿文本进行对比的话,就会发现两类标准文本之间存在高度的重合性。问题是,TAF 相关团体标准并未完成制定,也远未实施,显然不能构成“团标规定”所称“实施效果良好”。二者之间在内容方面的高度一致性表明,个人信息安全团体标准存在未经验证就被采标部门转化吸纳为行业标准的情况。
(二)标准实施中产生异化的动因
上述事实说明,不论是标准体系内部的转化吸纳,还是借助于法律的强制效力来实施标准,都呈现出诸多与应然状态不相一致的情况。这当然与个人信息安全热点事件频发和所吸引的公众关注直接相关。肩负确保个人信息安全的监管职责,面对互联网信息领域复杂的技术和市场环境,监管部门不仅希望自己的行政规制,而且希望市场主体的自我规制以及社会第三方的技术支持都能够通过一个相对制度化的载体发挥作用,从而实现技术治理的目标。具体而言,上述异化由两个方面的因素所驱动。
1.风险预防有赖于开展行为控制。根据依法行政的要求,行政执法机关需要按照“过罚相当”的原则作出行政处理。因此,个人信息违法事件的社会危害后果与行政处理的幅度正相关。当还没有发生个人信息安全事件,抑或发生了安全事件但危害后果不大时,行政执法的幅度就不会太大,执法的威慑力也就相对有限。与工业时代的法律主要针对大型企业和专业化的服务提供者而设计管制规范不同的是,在互联网时代,大量分散的个体和小型企业借助数字平台参与经济活动。由于这些活动的内在要求是对海量分散化信息的整合处理,以满足多样化、个性化的需求,因此,涉及个人信息的信息流的大小与有关产品和服务满足市场需求的能力和水平正相关,而与从业主体的规模大小没有直接关联——一些来路于小型从业主体的产品或服务,因其内容受欢迎,反而可能吸附更大规模的个人信息。在这些产品或者服务身上一旦发生个人信息安全事件,波及面大,后果极为严重。因此,监管部门意识到个人信息安全的治理需要贯彻风险预防的理念,将执法的端口前移,从事后制裁拉回到事前事中控制上来。为从业者设置行为规范,进行流程管理就成为监管部门落实事前事中控制的一个非常合适的选择。
2.多元治理有赖于提高制度供给。如前所述,由于大量分散的个体和小型企业借助数字平台参与经济活动,严重的执法效益难题必然催生监管机关、被规制者、社会第三方的多元治理。
第一,相较于大型平台企业,这些分散个体、小型企业的个人信息安全风险防控意识更差、用于保障安全的硬件和软件投入更少,因此社会上存在的潜在违法量极大。行政执法力量与行政执法对象之间比例严重失调,执法成本极高。特别是囿于数字经济架构的复杂和技术的超高速迭代,个人信息控制者有能力利用复杂的技术架构来规避监管,使得本领域政府规制面临高强度“监管追赶”的压力, 进而需要同样高强度的、产出灵活的制度供给。
第二,在政府规制以外,行政机关不仅需要借助投诉举报等公众参与机制对涉个人信息违法行为进行精准对应,而且需要依靠从业主体的自我规制来实现降低潜在违法量的目的。监管部门希望个人信息安全标准为从业主体进行组织合规和内部制度建设提供现成素材;希望通过用一套相对便于识别、便于操作、便于评价的制度化供给来为从业主体开展合规审计、进行自我规制,以及便利社会公众有效参与提供参照和准据。
第三,在本领域开展行政执法的技术门槛较高,往往需要借助社会第三方评估检测机构才能实施。而行政机关常用的对外部行政相对人发挥作用的行政规范性文件并不能适应第三方评估检测机构的技术需要,因此也客观上提出了能够适用于第三方评估检测的技术性的制度供给需要。
三、对标法治:技治主义的隐性优势及其反思
依托标准来实施法律,通过标准的技术规范或标准化工作机制来实现保障个人信息安全相关法律在实施中取得最佳效果,这其实在国际上并不鲜见。美国 NIST 所做的“网络安全框架”(Cybersecurity Framework)也是推荐性的。我国的个人信息安全监管机关及其智库机构也常常以此来佐证其监管思路的正当性,并列举了美国联邦贸易委员会(FTC)、美国证券交易委员会(SEC)、美国国土安全部以及美国能源部的几个案例来作为佐证,形成一种“有事实、有真相”的局面。实际上,在标准化学界,早已有学者以美国的标准化实践为视角,分析了技术法规与自愿性标准的融合问题,但是上述观点可能仅仅注意到标准与法律相融合的现象,却没有在法治层面探讨这一问题,更没有在公法所特有的思维框架中来具体分析这一问题。
(一)对标准实施中异化现象的解释:技治主义进路
虽然监管机关确立了“安全保障、技术为基、标准先行”的规制框架,但是这一框架却并没有从正当性层面得到充分的论证。固然,通过标准来支撑法律实施以实现规制目的,是西方国家开展个人信息安全规制所通行的做法,但在认同这种方式之前,还需要更为精确地回应标准化的本质特征。就此而言,监管部门的立场并未获得法理层面的充分论证。
1.标准作为外在于法律的制度系统,其所反映的是一种市场需求与标准之间的供求关系。在这种供求关系中,市场是需求方,标准是供给方。对于标准本身而言,发表一个标准的价值可能是微小的,而付诸实施推广和实现是重要的,标准化的作用取决于标准的实施。而标准之所以能够获得实施,取决于标准与市场需求的契合度。因此,标准化的本质特征是自下而上的价值取向和横向合作、协商共识的形成方式。这与以法律规则为代表的,体现国家意志、自上而下形成的纵向秩序规则是截然不同的。
2.在规范的效力层面,标准并不具有法律规范所具有的权利义务内容,只具有科学技术上的合理性。标准虽然在法律上也具有规范的效力,但其规范效力并不是来自于标准本身,而是来自于法的规定。即便是强制性国家标准在现行法框架下似乎具有自上而下的法律效力,但其强制性效力也是来自《标准化法》的规定,而不是标准本身。如果仅就推荐性标准而言,当事人的自愿选择构成标准发生法律效力的首要路径。
3.尽管标准中有政府标准和市场标准之分,且政府主导的标准有助于抵消市场标准的负效应,但基于标准“自下而上”的本质,政府标准与市场标准的关系不是对立的——政府标准不是政府主导制定的法律规则,它应当以市场标准作为基础,进而深深地植根于市场需求和社会自治之中。在多数国家,都为符合特定条件的市场标准通过特定程序转化为国家标准预埋了管道,前述我国的“团标规定”也为团体标准的转化创造了条件。不过,这一切制度设计的前提是在市场标准之间能够形成充分竞争。也只有通过竞争,优秀的市场标准才可能脱颖而出,进而成为向政府标准转化的“毛坯”。正因为如此,尽管美国十分重视通过采用标准来支撑法律的实施,但 1998年白宫预算与管理办公室发布的《联邦参与制定和采用自愿一致标准及合格评定活动行政通告》((OMB)CircularNo.A- 119)就非常明确地指出:所有联邦机构在采购和法规管理活动中必须采用自愿一致性标准。
综上,当监管部门试图用前述几个美国事例来说明通过标准开展治理的正当性时,可能恰恰忽略了域外制度中最为重要的前提——那就是标准自下而上、自愿一致的属性。前述美国 FTC 的表态只不过肯定了标准规制与法律规制的融合性;SEC 的要求则仅仅将推荐性标准作为从业主体实施自我规制的合规参照;至于美国国土安全部和美国能源部的举措则更加明确地佐证了标准当且仅当市场主体自愿采用时才会发生法律效力的观点。
因此,在“行为规范”和“执法 / 裁判规范”二元框架下,个人信息安全领域的推荐性标准应当属于前者,这意味着其应当将“引导企业行为合规”作为首要目的,而不是用作国家主管部门开展个人信息安全管理的依据。例如,2017 年 7 月,中央网信办等四部门联合开展隐私条款专项工作时,参加评审的十款网络产品和服务就参照《个人信息安全规范(报批稿)》中的《附录 D:隐私政策模板》,对各自的隐私政策进行了相应的调整,而监管部门也对这样的合规举措进行了认可。这一事例大致符合“引导参照”的进路,即监管部门通过制定标准,站在企业行为之时的立场上,在事前给出合规的方案,但是一旦监管部门对待个人信息安全推荐性标准的态度稍稍滑出“行为规范”的框架,而变向地进入到“执法 / 裁判规范”的框架时,就意味着监管部门在将代表代议民主的现代法律作为执法和裁判的唯一依据之时,又另外肯定了代表技术理性的标准制度具有事实上同等的地位。特别是当行政监管部门在缺乏对标准化“自下而上”的本质特征的认知之时,就如此强化技术理性“自上而下” 的作用,甚至将其奉为迎接法律落地的“阶梯”,这在无形中显露出一种技治主义的规制思路。
关于技治主义,其在理论层面主张“社会组织必须在发展的每一个阶段上,根据技术‘律令’的需要来适应技术的进步”。应当说,技治主义并非众矢之的,在抽象的理论意义上,它是人们基于技术化社会进程的不可逆性,而对于理性化社会中科学技术、可靠性、高效率的意义和本体地位的哲学概括。技治与法治之间并非毫无可比性——立法的过程高度复杂,是一个各方面利益反复博弈的政治过程。其经历的时间较长,不确定因素较大,如果将立法作为规制个人信息安全的主渠道,其持续性的制度供给能力着实令人堪忧。不仅如此,传统立法规制方式通常表现为“命令—控制”方式,集中体现为执行大量的禁止性规范或者义务性规范,要求被管理对象不得或者必须为某些特定的行为, 有关法律条文的组成架构也被抽象为“前提条件 + 行为模式 + 法律后果”。在互联网技术条件下,这样的组成架构难以回应技术爆炸环境的合规需求。不过,仅仅认识到技术治理的合理性,而将技治主义作为一个解释社会现象的工具是不够的。一切社会行为都是有意义的,欲理解个人信息安全标准实施中的异化,有必要进一步解构监管技治主义进路背后的真正“意义”。相较于法治,技治还有什么隐蔽的功能呢?这就需要结合公法特有的思维框架进行分析。
法治特别是其中的公法规则与政府的权力直接相关。基于依法行政的要求,不同层级的法律规范对行政执法机关的赋权力度相差迥异。在传统行政法中所体现出来的对行政权的高度不信任,以及与之对应的简单粗放式的立法控权方式,导致行政执法机关的权力能力大为受限。越是基层越没权,越是政府规制主体越被动,难以达致“命令—控制”方式所需要的强大执法能力。行政执法机关不得不想方设法地自我解套,以便“绕开束缚”来另寻执法权力借力发挥的载体。很显然,标准客观上为行政执法权的借力发挥提供了便利。标准体系不仅与法律体系共享规范性的特征,而且相较于法律体系则更有利于对接行政执法机关的现实需要——对于公权力而言,与各具体的行政行为法根据《立法法》所确立的法规范体系的层级,由上至下递减式地对公权力进行授权赋能不同,不同类型标准之间严格来说只有适用范围上的区别、强制和自愿的区别、于我有效和于我无效的区别,并没有效力大小的区别。即使是推荐性标准,也比一般的行政规范性文件更具备形式上的规范性,也更易于产生实质上的参照效应和执法威慑,且不像行政规范性文件将始终面临来自司法审查的压力。可以预见,即使行政机关在执法文书中公开了对标准有关技术内容的引证,司法机关在很大程度上将对这种技术理性保持尊重,尽管仍保留有审查的职责。
(二)法治框架下技治主义进路的反思
作为一种技术制度,标准不仅仅具有技术属性,而且具有制度属性。制度属性表明标准不仅仅表现为其在技术领域发挥对于法律实施的支撑作用,而且表现为其与政治制度、法律制度的互动关联。在互联网技术条件下,个人信息安全标准化具有技治主义意义上的合理性,也完全可以用作市场主体自我规制的参照,但在法治的框架下,不能被对个人信息安全标准制度的微观管理和便利性优势遮蔽双眼,还要将对标准化活动的评价纳入到现实的政治制度、社会条件、法治发展阶段之中,要结合标准的宏观管理以及标准背后的政府权力和职能配置的合法性、正当性等问题对技治主义进路进行反思。
1.个人信息安全标准化不能忽视对标准自身局限的认识。具体而言,标准在民主性、科学性和确定性三方面都可能存在不足。
第一,在民主性方面,尽管国家标准等政府标准制定流程的改革红利正在释放,标准的民主性已大为提升,但与完整、严谨的立法程序相比,还存在很大的区别。事实上,只要标准还具有技术属性,就不可能弥合二者之间的区别。相对而言,非政府的市场标准尽管也强调制定过程的公开透明, 但在体现民主性方面可能遭遇更大的不确定。标准中的技术要求及对其的选择“是‘待确定的’,对可选择事物的最终决定归根到底取决于它们与影响设计过程的不同社会集团和信仰之间的‘适应性’”。换言之,有关技术要素并不能单独决定标准的设计过程和设计结果,社会要素将不可避免地参与到标准的设计过程中来。与立法相比,标准在制定中可能更容易受到来自利益集团的俘获,这是因为标准事实上是在设置市场壁垒,建立进入门槛。标准要求的提高将直接增加市场参加者的竞争成本,不利于中小企业在市场中的竞争和发展,进而减少大企业所面临的竞争威胁,最终降低市场的充分竞争程度。因此,需要警惕的是,尽管标准的产生体现竞争、强调合作,但标准的实施完全可能出现反竞争的后果。由此,对于有关市场标准的吸纳和转化,就必须建立在严格评判竞争的充分性和实施效果的优良程度之上。
第二,在科学性方面,即使在工业时代,知识有限的魔咒就一直存在。面对信息时代的高风险挑战,专业化的科学知识已经不再具有传统科学观所主张的全整的理性,而是充满了知识结构和内容的不确定性。加之专家个人偏好的情境性以及政策的社会建构性等因素,将极大地降低科学理性的正当性并进一步削弱了其介入标准等技术制度建构的有效性。例如,前述全国信安标委发布的技术文件“业务功能规范”对移动互联网应用进行了类型化的区分,并“自上而下”地对不同类型移动互联网应用的通用功能相关必要信息、业务功能相关必要信息进行划定,进而限制个人信息的收集和使用。有关移动互联网类型的区分、以及功能所需必要信息的框定都是基于标准制定之时的有限理性进行判断的,这种封闭式的技术路线与标准开放性的要求南辕北辙,可能无法引领行业发展,如果其产生适用效力,可能制约市场创新。又比如,“《个人信息安全规范》国家标准”要求:“个人信息主体注销账户,对个人信息控制者的要求包括……应及时删除其个人信息或匿名化处理。”由于匿名化与去标识化并非同一概念,删除或者匿名化以后,有关信息不可恢复,故退出后如需要再次返回,则需要对个性化展示需要的各种数据进行重新收集和重新画像。该规定可能实质降低用户体验感、折损企业数据权益,存在有悖于大数据发展规律的现实可能性,因而在标准规范的科学性上存疑。如果对科学理性的限度视而不见,一旦存在认识上的局限,不尽合理的标准就可能对市场的创新产生挤出效应。
第三,在确定性方面,前文已述,个人信息安全诸多标准都具备规范性特征,属于工作标准抑或管理标准。与纯粹技术标准强调数值确定性不同的是,个人信息安全标准的影响像法律规范一样涉及不特定的群体,他们的内容及其表述方式都与法律规范相差无几。因此,他们自身也难以完全逃脱法律规范的局限,如存在不确定概念和裁量余地等。换言之,二者在局限性方面可能并没有质上的区别, 只有程度上的差异。在一个不确定性占据主导地位的时代,制定一部确定无虞的规范性的文件(不论是法律还是标准),都几乎是不可能完成的任务。
2.个人信息安全标准化不能忽视因标准自身缺陷而对被规制者产生的影响。由于标准存在上述民主性、科学性和规范性的局限,标准并不是一个神话般的存在。监管部门在推进个人信息安全标准化的同时,可能忽略了标准化与法律责任之间的关系。脱胎于工业时代的标准化在强调其整齐划一的制度优势之时,可能未必适应数据高速流动、极化使用以及不确定性风险如影随形的数字时代。如果被规制者遵循了标准的有关行为和流程要求,是否意味着其可以获得法律责任的豁免? 至少在现在的情况下,一旦发生个人信息安全事件,面对强大的政治压力和舆论压力,对标准自身缺陷的理性认知都会让位于结果导向的管制思路。而标准自身的缺陷、被规制者的质疑又都能够被标准规范中不确定的概念和裁量余地所吸收。
3.个人信息安全标准化不能忽视与之相配套的制度建设。之所以存在前述因忽视标准自身缺陷而对被规制者权利义务产生影响的情况,并不一定意味着规制者有意对二者之间张力的视而不见,相反,这与和标准化相配套的认证制度不健全以及实施不有力有着直接的关系。事实上,但凡规制者还抱持工具主义、结果导向的管制思路,就还没有从根本上意识到标准自身的实施机制与法律实施机制的不同,没有跳出“对违法行为实施事后制裁”的法律规制进路,也就没有回到通过事前“合规审计” 来确保标准实施的规制进路上来。更进一步讲,认证制度不仅有对符合纸上的标准的认证,也有对符合要求的事实的认证。例如,如果平台当前的业务实践不完全符合有关个人信息安全推荐性标准的规定,但该平台可以证明该业务实践能够满足《网络安全法》或其他法律法规的要求,则应当认为该平台不会有明显的法律合规风险。这一规定的实施在很大程度上将有赖于认证制度的落实,否则,一旦发生安全事件,在结果导向的管制思路下,仍可能招致法律的制裁。尽管认证制度也不排斥对违反标准的行为进行事后制裁,但认证制度的信号功能、激励效应,也有助于促使市场主体遵守标准,从而确保标准的有效实施。
4.个人信息安全标准化不能掩盖标准背后的权力真相。为此,可以分别从政府标准的产出以及市场标准的产出、标准的实施三个方面来进行论证。
第一,就政府标准的产出而言,制定标准本身就是一种权力,体现了标准制定主体的权力能力。我国的标准化体制脱胎于计划经济,有关政府标准的制定在很大程度上体现为行政权的直接作用。因此,标准化体制改革的成效在很大程度上可以折射政府职能转变的成效。行政权力应当是有限的, 因此行政权力介入标准化活动也应当是有限度的。从这个意义上讲,网络信息产业的成熟度、相关市场的稳定程度,以及过度标准化可能产生的技术壁垒、超大型平台企业可能因此形成的垄断等,都应当作为行政权力介入个人信息安全标准制定之前需要考虑的因素。
第二,就市场标准的产出而言,《标准化法》修改以后,法律对团体标准等市场标准的强调并不意味着强大行政权力的自动退场。研究《标准化法》的学者认为,在保留推荐性行业标准的前提下培育发展团体标准,体现出渐进式推进标准化体制改革的思路。这是一种注重增量而非存量的改革,遵循 “帕累托改进”,希望通过体现市场需求的团体标准的增量变化来最终带动体现行政权力的政府标准存量的调整变化。因此,既保留行业标准又培育团体标准可能是一种过渡形态,体现了政府主导和发挥“市场在资源配置中的决定性作用”之间的艰难变奏。在过渡阶段,行业标准与团体标准的各自定位还未完全厘清,行业标准与团体标准的内在关联机制还没有很好建立,政府的行政权力对团体标 准的制定存在着非制度化的影响。因此,主张培育团体标准,发挥各类学会、协会的专业作用,就不仅 是对协会、学会等团体标准制定主体在类型和名称方面的关注,更是对组织法意义上此类标准制定主 体的资格和权利能力的关注。如果只满足于形式上的团体标准,而不存在社会组织、行业协会的团体 自治,就意味着行政权力仍将实质影响团体标准的产出。如果行政权力可以变相影响团体制定标准, 甚至未经市场验证就对团体标准实施转化,这意味着有关团体事实上成为了协助政府制定标准的工具。这样一来,“自下而上的标准”就将被“自上而下的标准”所取代。而广大市场主体所面对的,就 可能不仅仅有叠床架屋的法律规范,而且是层层加码的标准。
第三,就标准的实施而言,标准的实施依赖于法律的规定。标准既然不能离开法律为自己赋权, 也就更不能僭越乃至取代法律对其他主体赋权。所有作为政府部门执法的依据都必须通过法律法规以及规章授权,因此政府在执法时依据标准是有问题的。即使是强制性标准,也不能作为天然的依据, 而必须有转致的条款。《网络安全法》虽然要求市场主体提供的服务、产品符合个人信息安全标准, 但并未直接授权政府执行。违反标准代表市场主体的行为和服务有缺陷,可以作为判断民事责任的依据,但是不应当天然作为政府执法的依据。
四、结论
标准看似是一个技术问题,但实际上对当事人权利义务影响重大。也正因如此,标准的技术判断应当限于技术细节,基本的价值权衡则必须由民主的立法程序完成。就此,需要进行反思的是,标准尤其是规范性特征较为明显的工作标准和管理标准,究竟能够在多大程度上贡献简化、协调、统一、最优的治理方案?如何通过法律制度的构造,让标准发挥减少市场主体交易成本的作用?如何对接“放管服”改革和政府职能转变,引导市场主体主动科学推标?一言以表,监管部门不应忽视标准“自下而上”的本质,从而摒弃工具主义的管制思维。政府在利用标准开展个人信息安全治理时,应当更多地关注服务,而不是执法。
