袁博
(湖北经济学院法学院副教授、湖北行政复议研究院研究员、法学博士)
[摘 要]《个人信息保护法》在“告知—知情—同意”框架基础上,创造性地设置了以行为规制为中心的个人信息权益保护模式。行政监管的功能在这一全新保护模式中能否准确定位,关系到个人信息保护的成效。然而相比于大数据时代的飞速推进,行政监管的长期踯躅导致信息保护效果并不理想,因而亟需对个人信息保护法中行政规范条款进行重新诠释。在法理逻辑上,行政监管介入个人信息保护旨在建构“明确保护个人信息权益”“规范个人信息处理活动”“促进个人信息合理利用”三者的有效连接,维护个人信息的良性使用秩序。在价值立场上,行政监管应以协调个人信息处理中的不平等关系为基本取向,调和个人信息主体和信息处理者的非对称关系,以平等主体之间的不平等结构为调控重点并平衡公私主体间的不平等关系。个人信息保护中的行政监管需维护“告知—知情—同意”的基本保护模式,并加强针对信息处理者自我规制的行政监督,同时还须依循数字社会的变化向智慧化监管转型,创新技术监管方式以加强行政监管的职能建设。
[关键词] 个人信息保护法;行政监管;数字社会;个人信息主体;信息处理者;行为规制
《中华人民共和国个人信息保护法》(以下简称《个人信息法》)作为我国首部针对个人信息保护的专门立法,为进一步加强公民信息权益保护的目的不言而喻。从制度规范上看,立法者已明显地意识到原有的“告知-同意”规则的不足,进而在原有的“告知-同意”的保护框架基础上,增加了对信息处理者各种负担性义务,将个人信息权益保护的重心转移到对信息处理者的规制上,从而将个人信息权益保护置于更高层次的间接保护范式之中。为此,如何统筹针对个人信息主体直接保护和针对信息处理者限制间接保护的有效衔接,通过导入行政监管中的政府力量,形成个人信息权益保护“个人-企业-政府”三个层次的合力,并最终实现个人信息保护与合理利用的动态平衡,成为个人信息保护法在实施过程中不可回避的问题。质言之,仅有立法层面的直接与间接保护模式,实难改变个人信息主体和信息处理者之间极不对称的现实关系,无法真正地实现个人信息权益保护的理想效果。随着大数据的发展,传统行政监管方式必将难以适应信息时代的数据处理特征,如何提高行政监管的专业性与智能性,弥合行政监管部门与信息处理者间的技术沟壑,以此保证监管制度的有效性亦需深入探讨。毋庸讳言,对个人信息保护法中负担性义务的履行,离不开信息处理者的自律自为,但更依赖于构建系统完备的监管执法机制,通过加强行政部门相应的监管职能建设,以国家公权力机关的强制力量介入,调和个人信息主体与信息处理者间不平等的利益关系,抵抗“信息利维坦”对于个体公民个人信息权益的侵犯。因而,新的个人信息保护模式中引入的行政条款如何解释并建构起来,行政监管应当在其中发挥何种作用,如何通过行政监管协调不均衡的利益关系便成为首要问题。据此,本文尝试以《个人信息保护法》中的行政条款的法理诠释为出发点,进一步厘清行政监管介入的基本立场,以管窥充分发挥监管职能的应然之道,实现个人信息保护中个人利益与社会利益的均衡发展。
一、《个人信息保护法》施行后行政监管之现状检视
《个人信息保护法》第六章“履行个人信息保护职责的部门”中明确规定了个人信息保护的职责部门,并对相关工作方向、举措进行了规定,涵盖其中的行政监管极具鲜明特点,那么行政监管在全新保护模式中如何定位实施成为关键问题,影响着个人信息保护的实际成效。
(一)以行为规制为中心的保护模式之形成
在数字社会,个人信息全面数据化的特征非常明显,个人信息属性已发生颠覆性变化。但不受限制的个人信息数据收集和挖掘,频繁的个人信息滥用,造成个人信息的侵权现象非常严重。面对这种巨大变化,《中华人民共和国民法典》(以下简称《民法典》)对个人信息保护采取了全新的保障模式,创造性地设置了个人信息中私密信息优先适用隐私权予以保护的规则,而且明确了个人信息的保护思路是流通性限制,着重在于赋予处理者责任并加入各种限制规则。目前,《民法典》(人格权编)中有关个人信息的规定有六条,涉及个人信息界定、收集、处理等。
鉴于当前云环境、平台经济、智能技术日趋兴盛,《个人信息保护法》建立了以行为规制为核心的个人信息处理的规范体系,借此实现个人信息权益保护与个人信息合理利用的有效平衡。具体而言,《个人信息保护法》上确立五项行为规制原则:一是要求处理行为具备合法、正当、必要和诚信原则;二是要求个人信息处理应具有明确、合理的目的;三是要求个人信息处理应遵循公开、透明原则;四是要求个人信息处理应保证个人信息质量原则;五是要求个人信息处理应采取必要措施确保个人信息安全原则。以上原则表明,信息处理者在实体标准、程序要求等方面都具有限制性的约束条件。在此基础上,《个人信息保护法》还以个人信息主体的立场设置了行为规制模式,首当其冲是以“告知-知情-同意”为核心的权利义务框架,即个人需在将数据提供给不同商业主体时,充分注意到他们的数据保护政策,而企业自身也要将其未来可能的数据使用情景在保护政策中列明,使用户足以知晓不同使用情景的存在和它们对自身权利的影响。
在此基础上,《个人信息保护法》还建立起自我规制的限制框架,即对企业等组织作为信息处理者时设置各种行为规制规则,主要表现在信息处理者的义务设置方面。例如,要求制定内部管理制度和操作规程;对个人信息实行分类管理;采取相应的加密、去标识化等安全技术措施;指定个人信息保护负责人;定期进行合规审计;进行个人信息保护影响评估和记录;互联网平台、受托人等特殊处理者的特定义务。除此,《个人信息保护法》对敏感个人信息的处理、国家机关处理个人信息、个人信息跨境提供等建立了特殊情形的行为规制。
可以看出,《个人信息保护法》既设定了针对个人信息主体的“告知-知情-同意”处理框架,又针对信息处理者设置了自我规制的各项负担性义务。显然,这些义务超出了单一的“知情-同意”模式,从而产生了以个人信息合理利用为导向的行为要求。对此,个人信息权益直接保护只是行为规制模式中的一种,更大程度在于导入一个高层次的间接保护。据此,无论是针对个人信息主体的“告知-知情-同意”处理框架,还是针对信息处理者的自我规制,共同构成了个人信息行为限制模式。可以看出,《个人信息保护法》已演变成以个人信息处理限制为核心的制度规范。这一模式更加重视发挥行政监管在个人信息保护中的作用,以国家公权力的介入打破信息主体与信息处理者间的相互关系。通过企业自律以及对相关的责任追究,对信息处理者课以个人信息保护的法律责任,行政权得以在信息主体原本难以触及的区域发挥权利保护的作用。
(二)行政监管的踯躅导致保护效果的削弱
随着“公私协力、合作共治”立法格局的明确,政府作为“监管者”的角色在个人信息保护领域十分突出。而在《个人信息保护法》上的“告知-知情-同意”的保护模式下,个人信息保护依然是权利(益)制约义务(责任)的基本思路,个人信息保护有赖于政府积极作为,而行政监管则是公私协力最好的注解。
在以“告知-知情-同意”为核心的直接模式中,行政监管作为一种实现公民权益救济性保障的必要手段。针对具体个人信息处理行为的监督,可以确保个人信息主体的知情权、同意权更具实效性。有研究认为,在以企业和政府为主导的数字社会,尤其平台企业为首的信息处理者异常强势,“告知-知情-同意”的授权机制和免责/问责机制存在失灵现象。如果没有行政监管来支持和保障个人信息主体的知情权和同意权,很可能让这种“告知—同意”制度沦为形式。而引入行政监管,实际上就是通过职权监督手段来促使信息处理者在“隐私政策”方面进行改进,借此强化“告知”的实质意义。与此同时,注入行政监管可以改变“告知-同意”模式沦为信息处理者维护形式合法的处境,使其在实质层面具有强制选择特征。
在针对信息处理者的自我规制模式之中,行政监管主体作为自我规制的规制者,就要针对信息处理者的自我规制进行监督,以此确保信息处理者在个人信息合理利用的轨道上正常运行。随着当前个人信息及其处理的复杂性不断加剧,个人信息主体与信息处理者之间不平衡关系进一步拉大,个人信息主体的知情权和同意权很难通过事后救济或事后监管实现。对此,强化对信息处理者自我规制的行政监管势在必行,通过行政监管来介入个人信息合理使用的日常机制,这就等于为个人信息实施了一种间接性、机制性保护。对此,增设或整合独立机构来开展对信息处理者自我规制的行政监督,实际上是为个人信息保护增加一道“保护墙”。
然而,由于对个人信息保护法中行政条款缺少规范化与体系化的阐释,尤其是对行政监管自身的价值和功能定位认知模糊,一定程度上已阻滞了该条款立法目的的实现。并且,相比于大数据时代的飞速演进,行政监管长期踟蹰不前或缓慢前行,已难以满足实际监管需求。行政监管的缺位、错位,不仅信息处理者的处理行为得不到强有力的监督,法律责任条款流于形式,反而助长了对个人信息的违法滥用,事实上导致了个人信息保护的实际效果并不十分理想。发挥行政监管在个人信息保护中的作用,首要的便是对相关行政条款予以合理解释,明晰这一个人信息保护模式的法理逻辑与作用机理,以及行政监管在新的保护模式下应当保持的价值立场。
二、行政监管介入个人信息保护的法理诠释
毋庸置疑,个人信息保护法的终极目标是保障个人信息权益。但随着大数据社会的到来,个人信息保护模式从直接保护转向多元保护、从个人控制转向社会控制。在转变的关键阶段,如何定位行政监管的价值和功能便非常重要。这就需要《个人信息保护法》在立场上确立“明确保护个人信息权益”“规范个人信息处理活动”“促进个人信息合理利用”三者之间的连接点和关键点,明确行政监管在个人信息保护中的功能和目标指向。
(一)行政监管在个人信息保护中的价值和功能定位
既有研究认为,大数据时代个人信息利用具有不可逆特征,以知情同意为核心的保护模式难以发挥其功能,进而主张由“赋权+责任”型的二元保护转向行政监管嵌入的三元保护模式。通过行政监管的有机融入,个人信息保护就可以从源头控制转变为过程性控制,从而适应数字时代动态性和过程化的需要。从《个人信息保护法》针对个人信息主体的“告知-知情-同意”处理框架和针对信息处理者的自我规制这两种路径来看,这种三元保护模式是非常合时宜的理论主张。但反过来从个人信息保护法的实施立场来看,行政监管的定位功能须跳出“信息主体—信息处理者”的二元格局。这就意味着行政监管要作为独立力量介入信息数据的治理关系中,从而确立行政监管在“告知-知情-同意”处理框架和信息处理者自我规制体系中的结构性地位。以下几方面的问题亟须梳理和建构。
首先,行政监管作为被动扩张的结果,须在行为规制模式中明确基本目标。不可否认,在个人信息主体和信息处理者之间,行政监管需要维护“告知-知情-同意”模式的有效性。但从立法角度看,自我规制或其他特殊性的限制规则远不止维护个人信息控制理论中的知情权和同意权。如果行政监管只是通过自身优势来强势调整二元架构中的不平衡因素,那么个人信息处理规则就很难从形式层面转变为实质保护。很明显,行政监管本质是要让行政监管机构与处理者之间直接建立公法上的约束力。那么,救济性质的监督在满足个体需求后,如何导入一个自我规制的监督机制就成为重要问题。对此,确立从知情权、同意权保障到自我规制监督的目标体系非常重要,以此确立行政监管从源头到过程,再到结果控制的规制目标。
其次,行政监管作为一种职权手段,秉持的立场直接决定个人信息保护目的的实现。《个人信息保护法》分别针对个人信息保护设置了正反两方面路径,即对个人信息主体采取正面的权益维护,对信息处理者实施反面的行为规制。要致力正反两方面路径的实现,行政监管机构在发挥职权的过程中应当建立一种起点化的立场定位,借此对接和实现个人信息保护法的立法目的。
除此,作为独立力量的监管,行政监管机构与个人信息主体及其信息处理者之间的关系要从理论上予以厘清。在三元保护模式下,行政监管的任务更加多元,行政监管机构与信息处理者之间并不能简单地看成单方强制关系。具体而言,一方面,介入“告知-知情-同意”的处理框架,行政监管机构与个人信息主体、行政监管机构与信息处理者之间的相互关系,直接决定着监管的强度和方式;另一方面行政机关机构对信息处理者自我规制的监管,不仅要处理直接的行政监管法律关系,而且要致力于建构行政机关机构与个人信息主体及其他主体的相互关系。
(二)行为规制模式有效连接个人信息权益保护和个人信息处理活动
数字技术为个人信息处理提供客观条件,通过对个人行为、数字痕迹的收集与整合,然后利用“关联规则”“预测推荐”等技术形成、识别不同类型的个人信息,尤其是经过集中处理建构的全新信息集合,使得单个个人信息已经具备了公共价值属性,自然人事实上已无法做到真正“个人自决”。更重要的是,数字化的个人信息具有很强的社会属性,利用的深度和广度已全面升级。可以说,数据化的个人信息已经演变成社会流通的基本要素。面对这样的变化,简单的“知情-同意”保护框架并不能满足于个人与社会的需求。对此,对待个人信息应采取更宏观、更有效的路径来进行保护和利用。另一方面,大数据时代个人信息的侵害和滥用源于外部制约机制的问题,而个人信息不正当流通使个人信息保护变得极为困难。
从这两方面出发可得出,个人信息保护并不应忽视个人信息的合理利用,而应重视保护与合理使用的充分协调。那么,找准二者之间的基本关联成为关键。对此,有研究主张在规范个人信息使用的前提下,进一步丰富公民在数字化场景下的信息权利内容和权能,以防止公权力通过算法权力的侵害。还有人主张,针对个人信息的保护不仅需建立一种高强度的规制和保护理论,而且需要适度引导和维护个人信息的合理利用,以适应数字经济的要求。
对此,《个人信息保护法》在民法典确立的保护框架之上,进一步建立了个人信息“保护”和“利用”同步推进的举措。从《个人信息保护法》第1条明显可以看出,“保护个人信息权益”和“促进个人信息合理利用”是两个平行又关联的立法目的,而“规范个人信息处理活动”是其中的关键环节。质言之,基于个人信息处理的行为规制模式可以有效连接和协调个人信息权益保护和个人信息合理利用的同时实现。但在个人信息主体和信息处理者处于极不平衡的局面下,通过对强势一方的限制来实现对弱势一方的保护就非常有必要。
(三)行政监管的基本目标是维护良性的个人信息使用秩序
行为规制模式的关键在于对信息处理者进行行为约束。表面上看,《个人信息保护法》旨在保护个人信息,但从实际局面和动态角度来看,这种规制模式不仅仅呈现一种保护性的法律面向,而是要对自我规制形成一种监督机制,从而改变个人信息使用和流通的无序状况。质言之,个人信息保护与合理利用并不冲突,通过行政监管加强信息处理者自我规制的基本逻辑在于:一方面保障个人信息主体愿意授予其他主体对信息的使用权利,另一方面确保信息处理者通过自我规制实现对个人信息理性和合理的利用。
1.克服个人信息使用的社会失灵
个人信息保护的目的在于规制个人信息处理风险,防范与救济个人数据处理与利用活动可能产生的侵害后果。行为规制模式中的行政监管主要是指行政监管机构针对个人信息处理中的权利义务关系进行监督和管理,用以克服个人信息使用秩序的社会失灵。一般而言,“市场失灵”是行政监管权存在的基本前提。而在数据不断凸显要素价值的数字时代,尤其在《个人信息保护法》实施之后,数据化的个人信息的使用、处理和流程具有了合法性基础。但关键的问题在于,防止平台企业或其他组织对个人信息数据的垄断,个人信息主体和信息处理者在个人信息数据上的不对称,及其外来干扰因素都是市场失灵的重要因素。这种有失公平的流通秩序会让信息处理者处于极度不利的局面,依靠数字市场的调节无法得以平衡。
对此,为了维护个人信息主体和信息处理者双方的权益关系,通过行政监管来加强对信息处理者的约束和正当性确认,由此开启数据资源化利用的钥匙。这样,任何个人信息及其行为数据都有外在监管力量的加持,同时让社会主体可以援用正当条款使用个人信息,发挥个人信息的社会价值。具体解释应该分为三个层面:首先,个人信息保护的行政监管的对象是个人信息,即能够识别信息主体的个人基本信息和行为数据;其次,行政监管是落实个人信息使用的正当性,在针对权益维护和行为限制的过程中,行政监管都具有独立性,并在具体监管手段中(如行政检查、行政备案)进行使用正当性的调节和控制,保障个人信息在社会合理利用中正当流通。
2.协调不同主体的利益冲突
数字时代,个人信息被过度采集、开发以及利用的局面,个人信息买卖、隐私侵犯、大数据杀熟、价格歧视、算法歧视等问题非常突出。克服个人信息滥用弊病,需要在“个体-企业-政府”间建立诉求协调机制,实现个人信息保护与利用的利益均衡。并且,数字社会以来,信息主体、信息从业者(控制者和处理者)、社会公众等多元主体的参与和互动成为有目共睹的事实,单纯依靠自上而下的命令已无法确保法律规则的严格遵守。《个人信息保护法》通过行为规制模式,要求信息处理者(尤其平台)建构内部规制规则,同时通过特殊处理规则平衡“知情—同意”的利益关系,并且更多考虑到信息主体(个人基本权利)、信息行业(经营活动)和国家管理(公共利益)三方之间的利益平衡。对此,如果因信息主体和信息处理者的局限导致个人信息利用过程发生冲突,作为法律实施状况的监督者和公共利益的代表的行政监管机构,理应为促进个人信息合理利用承担协调冲突的责任,行政监管机构可采取比例原则、利益衡量等方法监管职能运作。例如,为促使国家安全和推进信息化等公共利益,行政监管需要兼顾个人信息主体、信息控制者和处理者,甚至数据从业者之间正当流通中的权益,通过有效的监管措施,让各方共同协力。尤其是针对敏感个人信息的匿名化、合规化处理等情况进行监督时,严格监管只是一方面的表现,必要时还要对信息主体进行追认,甚至促成主体间的合作。
3.适应现实正当性的需求
个人信息保护与利用的平衡是《个人信息法》的内在体系,如何限制个人信息利用成为关键。对于数字时代的发展而言,个人信息的大量聚合具有无限的商业和社会价值。作为大数据信息的微观元素,集成的个人信息对于任何数据库生成和数据分析模型都不可或缺,在商业利用过程中,则直接表现为个人信息大数据的产业化。对此,在对敏感个人信息处理规则进行行政监管时,可以对相关信息进行分类化对待和采取不同的监管手段。对于人格属性较强的,可以采取严格的监管措施,如采取审批、知情权追问或实施处罚等;对于数据要素较强的,可采取相对宽松的监管手段,如采取约谈、指导、备案等。与此同时,通过分类监管原则,尽可能让整合型个人信息实现正当性流通。
三、协调个人信息处理中的不平等关系是行政监管的应然立场
行政监管属于公权力介入行为规制模式的具体方式,不可避免须调和个人信息主体和信息处理者之间的矛盾,那么行政监管机构所站的立场直接决定监管的指向性及其力度。
(一)信息处理中的不平等地位构成行政监管的介入基础
1.个人信息主体与信息处理者之间存在严重的非对称性问题
在个人信息处理过程中,个人信息主体与信息处理者面临着严重的非对称性问题。主要表现在于,信息处理者与个人信息主体处于完全不对等的状态,二者之间的主导地位与弱势地位形成鲜明对比。
其一,个人信息收集具有隐蔽性,让个人信息主体的知情权利非常受限。虽然个人信息数据广泛运用在政务、劳动人事、社会消费、金融服务、社会服务、企业行为等各项活动中,但实践表明数据化、技术化的个人信息收集具有随意性和隐蔽性。最典型的是,基于人脸、体态等生物识别信息的收集过程已经动摇了自我控制权理论的基础,在缺乏外在监管力量的情况下,“知情—同意”模式几乎构不成对信息处理者的约束。
其二,个人信息处理具有可变和复杂特征,让个人信息主体的知情和许可权利几乎无法开展。基于当前的信息技术能力,个人信息作为数据收集后,信息处理者可以完全实现信息主宰。一方面,信息处理者可以对个人信息数据进行合并,从而在个体化的个人信息数据基础上形成具有集合性质的新数据,这类信息是否属于个人信息就变得非常模糊;另一方面,信息处理者采取人工智能来分析信息内容,整个过程十分专业,个人信息主体完全被排除在认知范畴之外。最典型的是,深度合成技术所涉及知识的专业性和复杂性决定了个人信息主体根本无法知晓其中的运行规则和逻辑,除了被动接收便别无选择。如果信息处理者在算法、编写程序中加入隐秘活动更是让信息主体完全无从知晓。这就造成信息交流不对称,信息主体合法权益的保障遭遇空前危机。
其三,个人信息处理结果具有不可控特征,让个人信息主体知情和救济权益变得十分渺小。一方面,在个人信息处理过程中,针对个人信息主体的侵权行为加剧,不仅侵害方式多样化,而且突破了时空的限制,导致侵害后果很难把握;另一方面,信息处理者进一步催生了个人信息主体的分类与标签化,让个人信息主体人格利益保护的作用力变得非常有限。
2.个人信息处理中的不平等地位为行政监管提供了介入依据
基于专业知识与能力的阻隔,信息主体在保护自身信息权益上存在诸多客观条件限制,因而纯粹地赋予某种新型权利无异于空头支票,根本无法达到保护目的。基于主体完全不平等的个人信息处理状况,个人信息主体与信息处理者之间的矛盾调和亟需政府行政监管的介入,将各方的利益关系及其冲突有效地组织起来,政府职能部门通过行政监管在信息处理者一端施加行政高权压力,为信息主体一端相对弱势的个人信息权利提供直接或间接公权力加持。否则个人信息处理会完全导向个人信息处理一方。事实证明,由于利益驱动、技术有限和产业链条绑定,以企业为核心的信息处理者在数据产业化过程中几乎不存在个体理性。即便是受道德和企业声誉的制约,信息处理者甚至会做出实质利己、形式利他的特殊安排。长此以往,这无疑会进一步引发个人信息使用秩序的无序和混乱,也决定了行政监管介入个人信息处理的必要性。通过对个人信息收集、处理等引发复杂局面的行政监管,可以进一步加强信息处理者的负担性义务,相对增加个人信息主体知情、控制等权利,从而达到协调二者权益关系的目的。鉴于个人信息主体与信息处理者之间的不平等关系,就必须要设置行政监管来调和二者的矛盾,借此实现个人信息利用秩序的正当性和合理性。
除此,按现有的个人信息利用状况,没有强力的行政监管力量,个人信息利用秩序将进一步恶化。随着商业数据的越发重要,数据(个人或消费者)市场失灵需要政府在监管方面的强力介入。由于目前已形成以大型互联网公司为垄断态势的信息数据市场,行政监管需要致力于消解大型互联网公司主导和滥用个人信息数据的局面,避免个人信息保护完全受限于企业自我克制的局面。同时,行政监管要防范和规制中小微企业或者后发的企业的个人信息处理行为,由于这类企业想要在市场竞争中占据一席之地,就需要获得更多的消费者或潜在客户的资料,可能用到各种方法来获取、积累大量的客户信息数据,这就需要行政监管对收集行为的重点监管。除此,行政监管还要致力于个人信息数据的合法流通,对个人信息数据的黑色产业链进行打击。而这些职能的履行皆是单独的信息主体在不平等的利益关系中所无法承载的。事实上这些信息处理活动规范与否,制约甚至决定着个人信息保护的实际成效,行政监管的及时补位和在场才足以弥补信息主体的自我保护不能。
(二)平等主体间的不平等结构应为行政监管的调控重点
在个人信息处理过程中,基于平等信息主体意思自治的具体场景应是行政监管的重点内容。一般而言,平等主体的不平等结构让真实的意思自治形同虚设。
1.敏感个人信息处理规则须导入行政监管
目前以生物识别、行踪轨迹、特定身份等个人信息数据的市场价值潜力巨大,相关信息处理者可能基于经济利益的追求而忽视限制规则,在具体处理过程中存在非法收集、滥用、共享、流通等行为。无论是“严格限制”还是“告知—同意”模式,更多依赖信息处理者的自我规制,尤其“特定的目的和充分的必要性+采取严格保护措施”的判断实施更多是一般维度上的,缺乏针对技术进步条件下如何有效实施的问题。
对此,《个人信息保护法》上的敏感个人信息处理规则需导入一种行政监管的实施策略。为促使私人主体对敏感个人信息处理活动的合法化和有序化,须建立一种比较统一和独立的行政监管体制。就监管内容而言,主要从两个方面着手:一是要通过行政监管,将相关主体(包括平台企业、运营商、社会组织等)制定的个人信息处理流程以及内部合规建设进行合法性审查;二是对私人主体处理用户敏感个人信息的行为展开监管。一方面需要打通个人(用户)与行政监管部门的通道,确保个人信息主体随时可以向行政监管部门予以举报和申诉,另一方面需要对私人主体的敏感个人信息处理活动进行风险监测、违法调查和指导建议。除此,行政监管部门还要加强信息处理主体对敏感个人信息处理活动相关风险、规则及权利的认知和理解。
2.行政监管需有效介入大数据与人工智能处理规则
在信息产业大趋势下,个人信息数据收集以及处理上的“技术霸权”和主导流通必须受到严格规制,主要有三个方面:
一是,随着算法、AI计算等人工智能技术发展,自动化决策、算法歧视和与算法偏见可能为个人信息处理方面带来难以预料的后果。对此,一方面在形式层面要注重算法公开性与可解释性的行政监管,另一方面在实质层面要结合具体场景与具体对象来监督处理规则的妥当性。
二是,由于智能感知、识别技术与普适计算等通信感知技术的发展,信息处理演变成对个人信息智能化识别、监控、跟踪和分析。这种物联网造成个人信息收集和传输的范围远超一般认知。可以发现,这种智能技术造成信息处理者和个人信息主体“通知—选择”框架几乎失效,通过行政监管加强企业的信息安全治理变得十分迫切。
三是,基于云存储技术的发展,个人信息存储和处理的去中心化现象,以及个人信息与非个人信息混同,不仅造成导致处理规则可能无从适用,而且造成管辖与跨境数据流通规则难以实施。同时,信息处理者和个人信息主体之间的处理关系发生巨大变化,基于信息处理者的报送义务和责任承担难以认定,基于个人信息主体的“知情—许可”框架也将难以开展。基于私人主体应对处理规则的无能力,就需要建立符合其技术特征的行业监管和行政监管,从侧重静态化保护转向侧重动态化保护至关重要。
(三)行政监管仍需平衡公私主体间的不平等关系
相较于信息主体与一般信息处理者的关系而言,国家机关对于个人信息的需求事实上比普通企业更为迫切和强烈,这也就意味着个人信息在一定程度上可能会面临更大范围的处理风险和保护挑战。国家机关对个人信息的应用更加明显,很多公共行为都需要通过收集和处理个人信息来进行。如户籍管理、社区治理、风险管理、疫情防控、信用管理等离不开个人信息数据库的建设,然后需通过大数据来进一步提高分析和处理能力。在当今世界,政府管理日益依赖个人信息的有效收集、处理和利用,但政府的整合和再识别挖掘对公民隐私权带来隐患。政府根据利用人工智能技术形成的行为数据,对人的行为性质及其特征进行评估,继而采取的预测性和预防性行政措施已引发多重合法性争议。因此在调控平等主体的非对称关系之外,行政监管仍需在国家职能的高效履行与信息主体权益保护之间寻求平衡,既最大程度发挥信息聚合的社会效应,也关注和保障作为个体的信息主体的权利需求。
相比私人主体,享有公权力的国家机关处理个人信息造成的危害可能更大,这主要表现在两方面:一是,国家机关的公共管理职能放大了个人信息处理不当的危害。这种危害对个人和公共而言是双向的,处理不当不仅仅是个人隐私泄露,更重要的是引发舆论暴力。例如,涉及婚姻等隐私内容的司法公开、各类“黑名单”的网络发布等,都需要在公布之前和公布之中采取特别限制,否则短期内引发的隐私和名誉侵害对个人造成难以估量的后果,即便采取了事后补救措施,这种负面影响也难以消除。二是,国家机关作为公共利益机关,掌握的个人信息数据库不仅数量更大,而且内容更敏感、公共利益属性更强,意味着国家在个人信息处理方面具有更重要的责任。
在我国客观存在的行政主导模式下,基于经济改革效率性和政府职能灵活性的要求,政府行政借助于广泛展开的行政立法和决策主导权而获得相对超然的地位。国家机关对收集和处理个人信息应有一定的界限,即须明确个人信息处理中维护社会公共利益、保障公共安全的基本立场,建立健全个人信息的许可使用、处理监管等制度是重要途径。对此,针对国家机关处理个人信息数据的内部规则,确保按规则来限制权力化的个人信息使用过程。同时,对国家机关收集、处理及利用个人信息的必要性问题也非常重要,设定相关机构的严格安全保护责任以及处理的国家安全标准成当务之急。
四、行为规制模式下行政监管的实施及其智慧化转型
《个人信息保护法》在行政监管制度方面仍沿用《网络安全法》的监管体制,即由国家网信部门统筹协调,其他各部门和地方政府履行相关职能的体系。在监管职能方面,不仅赋予了比较系统的调查、处理权限,而且针对不确定个人信息安全事件还具有约谈、合规审计和要求整改的权限,意味着个人信息保护领域行政职权体系已经完成系统化设置。
(一)维护“告知—知情—同意”模式的行政监管运用
监管部门及其享有的监管职权需在“告知—知情—同意”框架下,以其价值立场和功能定位为基本依循,以实现主体间利益平衡为目标进行合理配置。自《网络安全法》施行以来,随着监管部门在信息保护领域执法经验的增强,以及《个人信息保护法》正式实施后在信息保护领域职权体系的完成,对个人信息保护的监管趋势将呈现两方面特征:一是个案监管和合规监管不断融合,主动执法与被动执法不断结合,专项检查和主动执法的比重将逐步提升。二是处罚力度将逐步加大,处罚手段不断增多。随着《个人信息保护法》进一步明确对违法个人信息处理活动的法律责任,企业二次甚至多次违法行为的累积将会进一步加大处罚力度,尤其针对个人信息泄露、非法买卖等侵害个人信息权益行为给予严厉处罚。除此,在处理手段上也不断丰富,针对所谓的“二选一”强制消费、“大数据杀熟”、应用程序强制运用、自动化决策等方面有了监管职权。
1.注重对个人信息主体知情权的效用性监管
效用性监管主要是针对信息处理者是否针对个人信息主体履行了相应的义务,以此确保个人信息处理活动是否符合信息主体权益,以及是否在实体和程序方面符合正当利用的标准。对此,行政监管机构可以指导和有效介入信息处理者处理活动的真实性过程。在以平台经营者为代表的信息处理过程中,大多会忽视交易前的信息甄别和交易后的服务保障,信息主体对知情同意协议大多处于被动和忽略状态,但一旦出现不良后果,行政监管机构就要注重对信息处理者对相关信息的修改进行管理,对修改时间和缘由进行监督。
除此,行政监管机构要求信息处理者创新治理工具,尤其要对评价工具的有效性进行监督,让信息主体及其处理者在合理框架内引入信息处理的沟通工具,让信息处理者处理个人信息活动公开、透明。如果信息处理者突破效用性原则,“知情-同意”框架则可能失去其保护意义。对此,除了传统行政处罚措施,还可以在若干个人信息处理活动、网络开发与应用等方面中实施限制措施,如APP下架(禁止下载)、关停小程序、网站关闭等。
2.加强信息处理者告知义务的履行监督
信息主体知情权和同意权的实现有赖于信息处理者告知义务的落实,“告知—知情—同意”模式的行政监管应当以告知义务履行为主要途径。具体而言,行政监管机构应注重以下几方面:
第一,监督信息处理者对告知的内容是全面、真实的,并且要求所提供的内容能够被信息主体理解。对此,行政监管机构可根据投诉、举报或通过调查、检查等方式,监督信息处理者的格式(用户)协议是否以简单明了、通俗易懂、突出重点的形式呈现,确保信息主体作出的同意兼具真实性和有效性。
第二,监督信息处理者是否采取有利于信息主体的义务履行方式,重点在于信息处理者是否站在信息主体的角度履行告知义务。具体而言,大致包括考察信息处理者是否充分利用便利手段、是否能提高征求同意的效率、是否在用户协议中设置更多的个性化选项,以及是否能真实反映信息主体的真实意思表示等等。如果经过综合考察,这种义务履行方式存在很多问题,则行政监管机构则可以提出约谈、责令改正、给予警告等措施。若引发个人信息权益侵害后果的,可以采取没收违法所得,责令暂停或者终止提供服务等处罚手段。
(二)针对信息处理者自我规制的行政监督实施
《个人信息保护法》第63条已明确履行个人信息保护职责的部门享有询问、调查、取证、检查、查封、扣押等方面的职权,同时要求信息处理者协助和配合的义务。这类监督职权的目的在于加强信息处理者自我规制的监督,从而实现信息处理者在日常生活中能够正确地履行相关义务。
1.建立有效的行政处罚措施
行政处罚作为一种威慑执法模式,在行为规制模式中须主要针对于信息处理者,并最大程度保障个人信息使用的正当秩序。对此,行政监管机构实施行政处罚措施必须以有效性为导向。
第一,采取有针对性的处罚方式。行政处罚并不是执法机关作为外部力量单向度的强制手段,而是要关注信息处理者作为执法对象的差异性。对那些“巨无霸”式的信息处理者(如大型平台企业)应当采用威慑性执法,需加大执法力度和提高处罚额度;而对那些有守法意愿而自我规制能力不足的信息处理者,行政监管机构可以采取相对宽松的处罚措施,兼顾采取约谈、指导等行政措施。
第二,行政处罚的适用须过罚相当,要高度关注个人信息处理行为损害个人信息权益以及损害公共利益的情况。在适用行政处罚过程中,需高度关注金字塔式的执行路径。如果能通过教育、指导、责令改正、警告等达成规制目标的,则诸如没收违法所得、违法处理应用程序、责令暂停或者终止提供服务、停业整顿、吊销营业执照等更严厉的制裁措施,可以作为一种威慑机制使用,实施非必要不采用的原则。严厉制裁措施重点运用在那些可能严重泄露或买卖个人信息、严重忽略个人知情权和同意权的领域。不可忽视的是,对那些严重侵害个人信息权益的行为,应采取严厉的处罚措施,甚至可实施建立惩罚性损害赔偿制度。
第三,在关系公共安全、国家安全的情形下,增强对信息处理者违法处理行为的处罚力度。长期以来,以数字经济为主导的数字社会在数据收集、处理和流通方面野蛮生长,对个人信息权益带来严重侵害的同时,甚至出现了对公共安全和国家安全的重大违规行为。对这类行为,仅靠经济性的处罚措施并不可靠,还需配套实施违法处理应用程序、责令暂停或者终止提供服务、停业整顿、吊销营业执照等制裁措施,以起到震慑违法效果。
2.形成差异性与灵活度的监管尺度
自我规制本身意味着信息处理者处理行为具有相对自由、自我约束的面向,而行政处罚则意味着处理行为在方式、程度、内容上仍然存在着合法性的边界和范围。同样地,对信息处理者的行政监督也是以其处理行为是否具备妥当性为监督内容的,数字时代需确保个人信息数据的有效利用,因而信息处理者对于个人信息的必要处理仍然应当被尊重和保护,对信息处理者的行为规制完全采取命令—控制型监管模式已无可能。对此,对不同信息处理者自我规制的监管适宜采取差异性与灵活度的监管尺度。
在监管尺度方面,行政监管机构的角色应定位于信息处理者为个人信息使用秩序所做的最大努力。因此,个人信息处理者制定内部管理制度和操作规程,对个人信息实行分类管理,采取相应加密、去标识化等安全技术措施,定期进行合规审计等,合理确定个人信息处理的操作权限,定期对从业人员进行安全教育和培训,制定并组织实施个人信息安全事件应急预案等方面,并不能采取同一化标准或一刀切方式。因而建议采取更多目标标准和绩效标准,至于信息处理者内部采取何种风险管理措施则可以不过多干预,给信息处理者施加个人信息保护影响评估压力的同时也赋予其高度灵活性,为信息处理者提供差异化、灵活性的监管标准。
另外,在监管过程中区分安全标准与技术标准。有关涉国家安全、公共安全、个人信息权益的事项,则需要采用强制性安全标准,以防范个人信息使用完全失去正当性标准。考虑到信息处理者,尤其是企业平台的技术创新能力日趋发展,对个人信息处理的技术规程和标准可采取不同对待的态度,对中小微企业以指导建议为主,对大中型企业则可以采取动态监管标准,让企业成长、技术创新与个人信息合理使用相得益彰。
3.实施风险预防类别的监督措施
由于数字经济中个人信息的有效和正当地流通,采取预防性的监管措施势在必行。行为规制模式中,信息处理者的自我规制应以个人信息处理的正当性为取向,那么行政监管则需要参照这样的特点来创新事前和事中监管方式,使行政监管工具和监管对象更加匹配。
首先,建立备案审查的制度。鉴于信息处理者在处理目的、处理方式,以及对个人权益的影响、可能存在的安全风险等方面,让行政监管机构在事先都有一定程度的了解。从监管监督而言,行政备案的主要功能是信息收集和存档备查,让事后监管更具针对性。在个人信息保护领域,在技术运用、跨境提供、敏感个人信息处理等方面,不同的行政监管部门可根据实际情况建立备案机制。
其次,采取一定的信用监管手段。信用监管主要是指行政主体对行政相对人的公共信用信息进行记录归集、评价分类、分享公开,并据此实施分类监管和联合奖惩的新型规制工具。行政监管机构通过信用监管,通过影响信息处理者的声誉,能使公众在个人信息权益方面获得更多的企业信息,一方面可以维护信息主体知情权和同意权,另一方面可以鞭策信息处理者遵循公开、透明的个人信息处理原则。通过进一步建立黑名单、信用评级制度,以及附随的联合惩戒措施,对信息主体可起到提示风险、事前预防的效果,使行政监管效果更优于一般行政处罚。
除此,以预防为宗旨展开约谈和行政指导。《个人信息保护法》(第64条)明确了实施约谈的条件为“发现个人信息处理活动存在较大风险或者发生个人信息安全事件”。对此,行政监管机制针对信息处理者在实施约谈时须明确责任告诫的重点,着重对被约谈对象面临的问题,通过劝服、建议等方式提醒;对于发生个人信息安全事件,要给予其警示告诫,提出要求并督促整改。而在行政指导方面,行政监管机构应在个人信息保护合规审计、影响或安全评估,甚至收到投诉、举报之后,除了硬性的监管手段,还要根据不同的信息处理者提出不同的监管指引。同时还须运用政策指引等形式来监督创新行为,可以在早期预防的同时避免干预过度,保护个人信息主体免受侵害风险。
(三)推进行政监管智慧化转型以提高监管效能
面对数字时代信息技术的飞速革新,行政监管能否充分发挥其功能,在一定程度上受制于其自身的专业性与智能性。随着高智能化的信息技术变革,技术与制度的协同直接决定个人信息保护制度的有效性。行政监管与技术运用是相辅相成的关系,有效履行行政监管职能仍须运用技术措施创新监管方式,破除与被监管对象间的技术阻隔,通过行政监管的智慧化转型应对个人数据信息的系统性风险。
1.利用算法技术加强监管职能建设
行为规制模式着重于对信息处理者正当利用的各项限制,对其自我规制的规制需要创新监管方式。尤其针对信息处理者对自动化决策、深度合成技术的大量运用,行政监管部门要及时跟上,以确保行政监管的有效性。总体而言,算法时代很多时候需要算法思维来解决。
首先,行政监管机构需明确算法监管职责的发展方向。在立法层面,《电子商务法》针对电子商务(平台)经营者追踪用户偏好和痕迹进行了一定限制,意味着立法者开始关注到算法的地位和作用。在此基础上,《个人信息保护法》针对人脸识别、人工智能等新技术、新应用进行特别限制,并且明确国家网信部门统筹协调相关规则和标准的制定。对此,在执法层面,国家网信部门应有意识地利用算法进行监管职能建设。在基础条件方面,国家网信部门应成立一个关于人工智能技术方面的数据库,将有关技术数据输入到数据库中,实现监管与算法的结合。在具体监管方面,行政监管机构应以风险导向为原则,确立算法预警为主导的监管方式。这就需要对相关信息的追踪溯源、动态轨迹进行比对完成,并对新技术、新应用的过程及时预警和提醒。
其次,行政监管机构在监管过程中需加强技术反制能力建设。人脸识别、人工智能等新技术需有效的技术反制,只有在技术层面跟上并进行反制才能真正规制信息处理者。关键在于,行政监管机构需对敏感个人信息的自动处理、跨境流动在技术层面随时有介入的能力。一方面,行政监管机构需要健全信息处理者在新技术、新应用方面的备案登记;另一方面,行政监管机构需建立异常技术运用的大数据分析模型,建设风险预测类别的拦截系统。
2.尝试建立监管沙盒制度
随着信息处理者的技术创新能力日益加强,科技与信息、数据的场景结合越发紧密,惯用行政监管手段已难以跟上信息数据人工智能的发展,那种“事件主导”监管模式,以及分业监管和机构监管,都很难加强对高科技化的信息处理者进行真正约束。国家网信部门统筹协调的监管部门应更多关注个人信息处理方面的科技创新与利用趋势。
第一,在个人信息保护领域运用沙盒监管可提升行政监管水平。
对此,为进一步提升在个人信息保护领域的行政监管水平,可在个人信息保护领域引入类似金融科技中的“监管沙盒”概念及其方式。主要原因有三个方面:一是,在个人信息处理中注入监管沙盒制度,就意味着对信息处理者进行了一种前准入监管。行政监管机构可以就信息处理者若干技术运用进行测试和备案,包括对技术创新和运用的真实性、匿名化处理情况、信息主体的权益保护、安全评估、合规审计等进行测试,只有达到正当性的信息处理标准才能进一步上线,从而达到事前预防的效果。二是,沙盒监管可以对不同的信息处理者进行差异化管理,从而实现监管的针对性和有效性。由于行政监管机构可以和信息处理者(主要是平台企业)共同商定针对技术创新利益的监管沙盒方案,在测试过程中就可以进行持续性地互动,从而得到真实个人信息数据处理过程的风险状况,最终以其最终报告来通过行政监管机构的审查。其中,行政监管机构采取的强制措施、指导规则、豁免政策等就更加针对性,让“一企一策”全面有效地展开。三是,沙盒监管属于临时性监管范畴,让行政监管在刚性制度中具有更灵活的监管措施。国家网信部门统筹协调的不同行政监管机构在各自职能范围均可进行沙盒监管措施,从而增强监管机构与被监管对象的互动性和沟通性。
第二,沙盒监管制度需秉持最低限度原则进行建设。
在监管沙盒的具体实施中,要将申请条件、程序设置等作为基本内容,一方面确保信息处理者科技创新与利用的可能性,另一方面需要坚守个人信息使用的正当性和必要性原则。对此,行政监管机构需要秉持最低限度原则,确保监管沙盒运用可有效促进个人信息得到正当化处理,同时又要防止对信息处理者过度干预导致企业自主权受到严重压缩。具体而言,我国个人信息保护领域的行政监管机构应实施穿透式监管模式,按照实质原则进行运作,将信息处理者的技术研发、技术运用连接起来,最终形成动态化的监管规则。
首先,监管沙盒需建立一种严格监管标准。一是,主体方面适用于自动化决策、算法技术等信息处理者;二是,适用场景方面具有技术创新的真实标准,简单的智能叠加无须采取监管沙盒;三是,适用监管沙盒须具有个人信息权益保障的导向,即信息处理者某项技术运用可能将个人信息权益置于不利的局面。
其次,监管沙盒运用中需建立监管机构与信息处理者之间的测试沟通机制。一个基本要求是,监管机构与信息处理者在测试过程中建立联系。在此基础上,双方要做到以下几点:一是,监管机构与信息处理者共同确定个人信息权益保护措施和技术限制规则;二是,监管机构对测试的信息处理者适时采取指导,不同意或需要修改测试方案,则需给出正当理由;三是,如果测试通过且经监管机构认可,信息处理者可以实施个人信息处理的新技术,但监管机构可以结合技术运用特点提出适当性要求;如果测试不通过或未经监管机构认可,信息处理者则不可以运用个人信息处理的新技术。
结语
在数据社会,信息主体、信息处理者以及政府等对个人信息权益保护呈现难以分割的特征,但又呈现分裂的态势。而《个人信息保护法》建构的行为规制模式以个人信息权益保护为起点,将关键点放在对信息处理者的限制方面,调整个人信息主体与信息处理者的不对称关系,很好地调和有机整体和分裂态势的矛盾。其中,行政监管的正当性基础在于维护这一有机整体,就要致力于消除不正当的利益格局。个人信息本身既包含信息主体的个人权利,同时其中又蕴藏着巨大的经济效益,以及国家作为信息处理者时潜在的国家治理效益,因而,缔造一个良好个人信息的处理环境,并不是简单地支持或者否定任何一端就足以完成。对此,本文主张行政监管要站在处于不利局面的信息主体一方,但也不意味着要绝对压制信息处理者利益,而是要二者达成合理利用秩序促使个人信息利用效能的提升。整体而言,本文主要将信息处理者置于数字经济以及企业组织的行为规制方面,尤其是将大型互联网平台企业作为潜在的重要对象。某种程度而言,这忽视了国家机关作为信息处理者的特别监管。但这方面的缺失或许就系统分析而言缺乏一定要素,但绝大多数行政监管场景都可以将国家机构纳入信息处理者的范畴。
