张涛
(清华大学法学院助理研究员,法学博士)
[摘 要] 在大数据时代,个人信息保护权已经成为一项重要的基本权利。政府监管作为个人信息保护权的第三大支柱,与赋予信息主体权利、强化信息处理者义务同样重要。监管机构是个人信息保护监管的组织基础,《个人信息保护法》虽然对监管机构的基本职责、主要职权、监管措施等内容进行了规定,但仍然无法解决当前个人信息保护监管的行政组织模式面临的困境。由于“监管者与受监管者”的双重身份,导致监管机构缺乏独立性和中立性,再加上“条块分割”的组织关系,可能导致部门之间协作性不足,引发差异化执法或者选择性执法。在现代规制国中盛行其道的独立监管机构,由于集专业主义、运行自治、政治绝缘、政策上的专业知识及灵活应对变动环境的特点于一身,能够更好地为个人信息保护权提供结构性支持,已经在德国、英国、日本等国家的个人信息保护监管中实现了制度化、法制化。为了更好地落实个人信息的国家保护义务,我国应当在未来设立国家个人信息保护委员会作为统一独立的个人信息保护监管机构,并通过《个人信息保护法》明确其法律地位、组织结构、基本职责、行政职权、监管措施和问责机制等内容。
[关键词] 个人信息保护;独立监管机构;行政组织法;政府监管;个人信息保护委员会
一、问题的提出
从国内外个人信息保护的立法内容来看,个人信息保护权主要建立在三个重要支柱之上:个人信息处理者的义务、个人信息主体的权利和个人信息保护机构的作用。在大数据时代,由于物联网、机器学习、人工智能等先进技术的广泛应用,前述三个支柱均受到不同程度的侵蚀。个人信息处理者在政治或者经济利益驱动之下,违法收集和使用个人信息的行为非常普遍,并且规模巨大,行为隐蔽,不易察觉;个人信息主体由于缺乏足够的专业知识,再加上信息不对称,导致很多权利无法有效行使,沦为“具文”; 个人信息保护机构由于组织目标、权责分配、决策机制、执法资源等组织要素的比例失衡,导致监管乏力,效果不彰。从这三大支柱的关系来看,个人信息保护机构能否充分发挥作用直接关系到个人信息处理者是否严格履行法律规定的义务,也影响到个人信息主体能否充分行使法律赋予的权利。职是之故,如何建构一个独立、有效、可问责的个人信息保护监管机构已经成为个人信息保护中亟待解决的重要课题。
针对这一问题,一些国家或者地区通过立法设立统一独立的监管机构来承担个人信息保护的执法任务,以期促进个人信息处理者的合规义务,保护个人信息主体的合法权益。欧盟《一般数据保护条例》第51条第1款规定,为保护与数据处理相关的自然人的基本权利和自由,为了便于欧盟内个人数据的自由流动,每个成员国应当提供一个或者多个独立监管机构(independent public authorities)对本条例的适用情况进行监督。德国《联邦数据保护法》第4章对“联邦数据保护和信息自由专员”的权限、任命、职责等内容进行了规定。日本《个人信息保护法》第5章对“个人信息保护委员会”的地位、任务、主管事务等内容进行了规定。长期以来,我国个人信息保护领域的行政执法体系呈现“九龙治水”的态势,网信办、市场监管总局、工信部、公安部等管理部门均负有监管职责。在我国《个人信息保护法》的制定过程中,关于是否单设统一独立的监管机构引发争议。一种观点认为,国家机关本身也是监管对象之一,应当设立独立的监管机构;另一种观点认为,各个业务部门分头执法符合中国的现实情况,无须设立独立的监管机构。最终,《个人信息保护法》采纳了第二种观点,仅在第60条第1款规定,国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。
在信息社会,随着个人信息保护权的基本权利地位之确立和巩固, 一个统一独立的公共机构能够更好地以一致的方式保护个人信息主体的基本权利和自由,并在必要时与其他私人利益或者公共利益达成公平的、合乎比例的平衡。在理论上,个人信息保护监管虽然已经引起了学界的关注, 但目前尚未有学者对个人信息保护中的独立监管机构展开深入研究,仅有少数学者在论及我国个人信息保护行政监管的组织机构时简要提及应当设立独立的监管机构。对于为什么要在个人信息保护领域设立独立监管机构、独立监管机构在个人信息保护实践中呈现何种样态、我国是否有必要在个人信息保护中引入独立监管机构、存在何种基础、又面临何种障碍等问题,均有待从理论上予以解答。有鉴于此,笔者以行政组织法、规制理论为研究视角,对个人信息保护中的独立监管机构展开系统研究,探析其基本原理、实践现状、制度建构等内容,以期为完善我国个人信息保护法治提供借鉴。
二、我国个人信息保护监管机构及其实践现状
“公法的基础不再是命令,而是组织”。在现代社会,组织是一种规制媒介,行政规制其实大部分是组织规制,“组织的特殊功能在于将个别意思转化为集体行为”。行政组织的建构应当以行政任务与目的的达成为出发点。在大数据时代,个人信息保护面临新的挑战与机遇,具有所涉主体的混合性、所涉过程的不透明、所涉范围的广泛性、所涉权益的重要性、所涉手段的技术性、所涉场景的多样性、所涉地域的跨界性等特征。为了适应大数据时代个人信息保护的基本特性,个人信息保护监管机构的组织要求不仅要契合传统行政组织法的基本原则(如依法组织、行政分权、组织效率等), 匹配个人信息保护领域的基本特性,还应当遵循独立性、权威性、参与性、协作性和科学性等特殊要求。那么,当前我国个人信息保护监管机构的组织构造是否符合上述要求呢?为此,有必要对我国个人信息保护监管机构的组织结构和监管实践予以梳理,总结经验,提炼问题,才能更有针对性地找出解决之道。
(一)个人信息保护监管机构的基本构造
在《个人信息保护法》通过之前,我国有关个人信息保护监管机构的规定主要散见于《网络安全法》《消费者权益保护法》《电信条例》等法律法规,公安、网信、电信、邮政、教育、卫生、新闻出版、市场监管、药品监督管理、广播电视、文化和旅游等有关部门均可以按照法律、行政法规的有关规定,对个人信息保护进行监管,形成“多头混治”的局面。为了改变法律依据分散、监管执法尺度紊乱、保护实务多门等问题, 《个人信息保护法》第六章专门对“履行个人信息保护职责的部门”进行了规定。一方面,《个人信息保护法》对“履行个人信息保护职责的部门”的大致范围进行了框定,另一方面,《个人信息保护法》也对“履行个人信息保护职责的部门”的主要职责、享有的执法权力、可使用的执法措施等内容进行了规定。关于“履行个人信息保护职责的部门”的具体构成,按照《个人信息保护法》第60条的规定,主要可以分为以下三个部分:
1.负责统筹协调和监管执法的国家网信部门
早在《个人信息保护法》通过之前,“国家网信部门”在个人信息保护领域就一直发挥着“统筹协调”的作用,如《网络安全法》第8条、《网络信息内容生态治理规定》第3条、《互联网用户公众号信息服务管理规定》第3条等均有规定。不过,绝大多数法律法规对“统筹协调”的具体内容并未予以明确,而是根据不同监管领域的特点来确定。《个人信息保护法》不仅在第60条第1款重申了“国家网信部门”在个人信息保护中的“统筹协调”地位,而且第62条进一步规定了“统筹协调”的具体内容。根据《个人信息保护法》第62条的规定,国家网信部门主要对下列个人信息保护工作进行统筹协调:(1)制定具体规则及标准;(2)针对特定信息处理者和特定技术专门制定规则及标准;(3)支持研发电子身份认证技术;(4)推进个人信息保护评估、认证;(5)完善投诉、举报机制。
此外,《个人信息保护法》第60条第3款还将“国家网信部门”确定为“履行个人信息保护职责的部门”,这意味着国家网信部门除了发挥“统筹协调”作用外,还要承担个人信息保护监管执法的职责。按照此逻辑,《个人信息保护法》第61条规定的监管职责、第63条规定的执法措施和也将一并适用于国家网信部门。事实上,在《个人信息保护法》通过之前,一些法律规范已经开始授予国家网信部门在个人信息保护领域的监管执法权。例如,《儿童个人信息网络保护规定》第22条授予网信部门监督检查权、第25条授予网信部门约谈权、第26条授予网信部门处罚权。
2.履行监管职责的国务院有关部门
如前所述,早在《个人信息保护法》通过之前,公安、市场监管、邮政、电信等部门就已经履行个人信息保护监管职责。《个人信息保护法》第60条第1款对有关部门的监管机构地位再次予以确认,规定“国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作”。不过,对于“国务院有关部门”和“有关法律、行政法规的规定”却并未明确。为了对除国家网信部门之外的国务院有关部门在个人信息保护监管中的地位有一个较为明确的把握,笔者根据现行有效的法律、行政法规之规定,对主要监管机构的行业领域、法律规范、监管对象、监管措施等内容进行了梳理,如表1所示。
3.履行监管职责的地方政府有关部门
如前所述,中央层面的一些法律、行政法规对个人信息保护监管作出了不同程度地规定,一些监管执法权力虽然是直接授予国务院有关部门,但是基于我国上下级政府及其部门、机构之间的“条块关系”, 地方政府有关部门也实际享有了个人信息保护监管执法权力。除此以外,地方政权机关还充分发挥了地方立法权的自主性和补充性的工具特性, 对一些特定领域(行业)的个人信息保护及其监管进行了立法。
第一,一些地方对特定领域的个人信息保护问题进行了立法,但是对该领域的主管部门是否享有个人信息保护监管执法权力没有明确。例如,《天津市社会信用条例》第16条第2款明确规定禁止采集自然人的宗教信仰、血型、疾病和病史、生物识别信息等个人信息,《广东省社会信用条例》第22条第3款也对此进行了规定。不过,上述地方立法均没有规定,一旦社会信用服务机构违反上述规定,作为社会信用体系建设主管部门的发改部门能否对此进行监督检查或者行政处罚。
第二,一些地方明确将个人信息保护监管执法权授予了特定部门。例如,《北京市促进人力资源市场发展办法》第28条对求职者的个人信息保护进行了规定,第32条规定,人力资源服务机构违反第28条的规定,市、区人力资源和社会保障部门可以采取责令改正、没收违法所得、罚款、吊销许可证等措施。又如,《吉林省地图管理办法》第28条对个人位置、行踪轨迹等个人信息保护进行了规定,自然资源主管部门对互联网地图服务单位违反前述规定享有监督检查权。
基于地方政府有关部门在个人信息保护中的监管执法现状,《个人信息保护法》第60条第2款将“县级以上地方人民政府有关部门”也确定为“履行个人信息保护职责的部门”,其具体职责按照国家有关规定确定。
(二)个人信息保护监管机构的权责配置
《个人信息保护法》对个人信息保护的基本原则、一般规则进行了规定,这在一定程度上可以解决以往缺乏执法依据或者执法依据混乱的问题。与此同时,为了个人信息保护监管机构能够有效地履行职责,推动《个人信息保护法》规定的权利义务能够落地执行,《个人信息保护法》还对个人信息保护监管机构的基本职责、监管措施进行了规定,主要体现在以下两个方面:
第一,个人信息保护监管机构的基本职责。
根据《个人信息保护法》第61条的规定,个人信息保护监管机构应当承担以下职责:(1)个人信息保护宣传教育;(2)指导个人信息处理者;(3)监督个人信息处理者;(4)处理个人信息保护有关的投诉及举报;(5)对特定场景、技术应用的个人信息保护进行测评,并公布结果;(6)对违法个人信息处理活动进行调查;(7)对违法个人信息处理活动进行处置。
第二,个人信息保护监管机构的监管措施。
根据《个人信息保护法》第63条、第64条、第66条和第67条的规定,个人信息保护监管机构可以采取以下监管措施:(1)询问当事人,调查有关情况;(2)查阅、复制有关资料;(3)实施现场检查;(4)检查有关设备及物品,必要时可以查封或者扣押;(5)实施行政约谈;(6)要求处理者委托专业机构进行合规审计;(7)实施行政处罚(包括警告、没收违法所得、责令暂停或者终止提供服务、罚款、吊销相关证照);(8)记录违法失信行为,并予以公示。
(三)现有个人信息保护监管机构的问题
一般认为,行政组织法主要由三个部分构成,即法律形式、体系上特有的区分以及特定实体法原则,其中,法律形式由职位、行政机关等基本要素构成,其主要作用是确保组织体在法律交往中的行为能力及法律地位。从这个角度看,《个人信息保护法》对于个人信息保护监管而言,在某种程度上也发挥了组织法的建构功能,确保了个人信息保护监管机构的行为能力以及与其他主体相互间的法律地位关系。然而,从行政组织与行政任务的对应关系看,现有的“履行个人信息保护职责的部门”在组织构造上仍然存在问题,未能与大数据时代个人信息保护的基本特性实现最佳匹配,不符合个人信息保护监管机构的特殊要求,也未能对个人信息保护权在信息社会中的基本权利地位提供“结构性支持”。
第一,“监管者与受监管者”的双重身份,可能导致监管机构缺乏独立性和中立性,引发公信力危机。在行政法中,行政公正是一项非常重要的基本原则,其基本精神是要求行政主体及其工作人员“办事公道、不徇私情”。行政公正原则背后的理论基础是所谓的“自然正义”,其核心主张之一便是“任何人不能做自己案件的法官”, 这便要求行政组织在履行职务过程中应当公正、公平。在现有的个人信息保护监管机构中,绝大多数监管机构自身就是重要的个人信息处理者,同时又负有个人信息保护监管职责,出现了“监管者与受监管者”合于一身的现象,这显然不符合独立性和中立性原则。例如,公安机关是重要的个人信息保护监管机构,多部法律、行政法规均明确授予其监管权力。与此同时,在所有的政府部门中,公安机关也是主要的个人信息处理者,尤其是在智慧警务建设背景下,人脸识别、指纹识别、车辆识别等技术被广泛运用于警察执法中, 各种类型的个人信息数据库也不断建立, 存在侵犯个人信息的风险, 引发社会质疑和批判。《个人信息保护法》虽然在第68条规定了国家机关不履行个人信息保护义务的法律责任,但是仅仅依靠“上级机关或者履行个人信息保护职责的部门责令改正”,既无法改变“自己做自己的法官”之现状,也无法与国家机关应当承担的法律义务相匹配。
第二,监管机构的组织结构具有高度封闭性,不利于制度化、组织性的公众参与。如前所述,在大数据时代,个人信息保护问题不仅带有极强的技术性色彩,而且关涉公民基本权利的防御、给付和保护。因此,要求个人信息保护监管机构积极回应社会现实,通过制度化的方式建立组织性参与通道,确保科技专家、法学专家、社会公众能够参与到监管决策制定、实施的过程中。《个人信息保护法》虽然确立了三类部门作为“履行个人信息保护职责的部门”的法律地位,但并未涉及具体的组织构造,这些部门仍然保留了以往“科层制官僚机构”的典型特征,组织机构仍然具有高度封闭性。例如,关于国家网信部门的组织构造,公开信息仅显示了主要领导(主任和副主任),因而无法获知其具体的组织结构,也无从知晓其组织结构中公众参与的途径、方式与程度。此外,尽管《个人信息保护法》赋予了社会公众投诉、举报的权利,要求个人信息保护监管机构公开投诉、举报的方式和途径,但是“投诉、举报”这种“参与”主要是程序性的,且主要针对具体个案,与组织层面的“参与”存在明显区别。
第三,“条块分割”的组织关系,可能导致部门之间协作性不足,引发差异化执法或者选择性执法。在大数据时代,由于个人信息保护问题具有所涉场景的多样性、所涉地域的跨界性、所涉时间的延续性等特征,这要求个人信息保护监管机构在组织要求上应当遵循协作性原则。从我国现有的个人信息保护监管机构来看,其主要延续了过去“条块分割”的组织关系,形成了“1+N”的组织局面,这也反映了个人信息保护所涉场景多样性的特征。从理论上看,在国家网信部门的“统筹协调”之下,其他政府部门在各自的职责范围之内按照法律、行政法规的规定履行职责,似乎便能对个人信息保护构成“无死角”监管。然而,现实问题是,“过量的水平组织,往往超过行政首长的有效控制射程,而且还增加了组织间的协调成本,滋生过多的行政决策流程,并导致公务人力数量的不当成长”。再加上在实际监管执法过程中,一些监管部门为了“自利”,形成了所谓的“执法偏好”,对那些能够产生较大政治效益或者社会效益的问题往往积极主动执法,反之,则采取消极被动的态度,导致出现差异化执法或者选择性执法。此外,由于网络空间环境瞬息万变,一旦出现个人信息侵权事件,可能导致当事人难以在短时间内获得高效的帮助,由于各机关缺乏统一协调机制, 不利于个人信息保护权的“无漏洞保护”。
第四,非以个人信息保护为核心职责,可能导致监管决策、执法资源配置缺乏科学性,过度依赖运动式整治。行政组织存废、规模、结构形态等受到行政任务的影响,而核心职责的确立又影响着监管决策与执法资源的配置。对个人信息保护监管而言,最理想的状态应当是由专门的机构、专业的人员来承担监管执法重任。对这些监管机构而言,保护个人信息是核心且唯一的职责,无论国家总体的政策导向有何变化,所有的监管决策及执法资源配置均应以实现个人信息保护为目标。如此才能最大限度地实现“让专业的人做专业的事”,以科学合理的监管机制为个人信息保护权提供国家保护。就目前的个人信息保护监管机构而言,大部分监管机构都承担了多项职责,且核心职责并非个人信息保护,这意味着这些监管机构在作出监管决策和分配执法资源时具有极大的不确定性, 很容易受到外部政策导向的影响,过度依赖各种形式的运动式整治。例如,国家网信部门于2011年成立之时,其主要职能包括落实互联网信息传统方针政策和推动互联网信息传播法制建设,指导、协调、督促有关部门加强互联网信息内容管理等,主要偏向宏观政策指导。虽然经2014重组后,增加了“负责监督管理执法”,但其核心职责仍然是推动国家网络安全和信息化法治建设,个人信息保护仅仅是“网络安全和信息化法治建设”的一部分。迄今为止,国家网信部门已经开展了多项“专项整治活动”,包括“专项整治教育类App涉黄低俗乱象”“专项整治软色情信息”“专项整治恶意营销账号”等。
三、优化个人信息保护监管的组织模式:迈向独立监管机构
“行政组织所欲达成之行政任务决定了行政组织的历史发展,也决定了行政组织法之发展方向。因此,只有寻求行政组织与行政任务间的相对应关系,组织法的规范内涵才能真正发挥”。换言之,若行政组织难以适应行政任务之要求,那么就需要进行“组织变革”来回应社会需求。当前我国个人信息保护监管机构在组织建构上难以适应大数据时代个人信息保护的基本特征,因此有必要进行机构改革,增强其“回应性”。从域外个人信息保护监管实践来看,设立统一独立的数据保护机构(data protection authorities)已经成为一种重要的、新型的监管方式,并且已经不同程度地实现了制度化、法制化。在规制理论中,独立监管机构(independent regulatory agencies)的理论基础和实践经验可以作为一个理论模型,为统一独立的数据保护机构提供分析框架。
(一)规制理论中独立监管机构的一般原理
通过许可或者规划许可等方式实现市场规制,属于国家最古老的职能,但是规制的话语已经渗透到越来越多的社会领域,以至于有学者宣称,我们生活在一个“规制国”(regulatory state)时代。作为一个分析性概念,规制国意在描述,在20世纪最后三十年间,随着许多发达资本主义国家的社会经济环境变化,治理模式或者风格所发生的转型。尽管不同学者所强调的规制特征可谓迥异,但大部分规制学者都同意,规制国是“保持距离的治理”(governs at a distance),不再适用单边的、裁量性、命令式的控制方式,必须预先明确设定规则和标准,要更为依赖保持距离型的监督方式。
在规制国之间和规制国内部,尽管呈现多样化的形态,但通常认为独立监管机构是规制国中具有共性的制度特征。从20世纪80年代末到21世纪初期,经合组织国家的独立监管机构激增了三到六倍。英国学者马克·撒切尔(Mark Thatcher)将独立监管机构界定为“根据公法拥有自己的权力和责任的机构,在组织上与各部委分开,既不直接选举产生,也不由选举产生的官员管理”。顾名思义,“独立性”是独立监管机构的核心特征。不过,对于“独立性”的具体意涵以及外在表现形式,在理论与实践中却存在争议。瑞士学者法布里齐奥·吉拉迪(Fabrizio Gilardi)认为,独立监管机构的“形式独立性”(formal independence)应当从四个维度考量:第一个维度是指机构负责人或者管理委员会的地位;第二个维度是指机构与民选官员之间的关系;第三个维度涉及该机构的财务和组织独立性;第四个维度包括授权给该机构的权限(包括规则制定、监督或者制裁等)。丹麦学者卡佳·约翰森(Katja Johannsen)则试图从以下四个方面来衡量监管机构的独立性:(1)独立于政府;(2)独立于利益相关者;(3)独立于决策;(4)组织自治。
然而,随着监管任务和社会环境的变化,学者们逐渐认识到一味纠结于监管机构在形式上的独立性对于提升监管有效性并无太大助益,因为没有任何理由表明法律上的独立性会自动转化为实践中的独立性。瑞士学者吉拉迪和马蒂诺·马吉蒂(Martino Maggetti)使用“事实上的独立性”(de facto independence)这一术语来表示监管机构在管理其日常监管行动时的有效自主程度,强调了授予这些机构的自由裁量权的范围及其制度化的程度。经合组织也强调,监管机构在形式上的或者法律上的独立“很少足以”(rarely sufficient)确保其日常工作中体现这种独立文化,大多数监管机构需要防范某种形式的不当影响(undue influence),这些影响试图改变其行为和监管决定或者活动的结果,而鉴于监管机构必须与利益相关者进行互动和对话,这一点似乎是不可避免的。对此,经合组织就如何解决监管机构整个生命周期的“压力点”(stress points)提出了加强独立性的必要制度措施,包括五个维度:角色明确性、透明度与问责制、财务独立性、领导层的独立性、工作人员的行为与独立文化。
至于独立监管机构为何在现代规制国中盛行其道,一般认为,因为这些机构有能力在非常复杂的活动范围中,集专业主义、运行自治、政治绝缘、政策上的专业知识及灵活应对变动环境的特点于一身。在理论上,对于“为什么是独立监管机构”这一问题的解答,主要有两种解释路径:一种是规范性解释(normative explanations),认为独立监管机构的重要任务不仅是纠正市场失灵,它们被赋予独立性的主要原因是限制政府失灵;另一种是理性解释(rational explanations),认为背景因素(如决策成本、承诺成本、代理成本、不确定性成本等)和职能压力(如责任转移、监管的技术性质等)可以解释为何向独立监管机构下放权限及其程度。经合组织通过对各国独立监管机构的调查研究,总结并描述了创建独立且结构分离的监管机构时要考虑的因素,如表2所示。
(二)独立监管机构作为个人信息保护专责机构
从各国的政府监管实践来看,独立监管机构已经成为众多领域中政府监管的组织模式,个人信息保护监管亦不例外。为什么独立监管机构应当成为个人信息保护领域的专责机构呢?笔者认为,除了独立监管机构本身具有的优势外,还与独立监管机构契合大数据时代个人信息保护的基本特征及组织要求有关,具体而言,主要体现在以下几个方面。
第一,独立监管机构可以满足个人信息保护监管的独立性要求。
如前所述,在个人信息保护监管中,公共部门和私营部门均属于“受监管者”,所涉主体具有混合性。一方面,需要对这些不同性质的部门采取一致的做法。从我国《个人信息保护法》的立法内容来看,虽然对国家机关处理个人信息应当遵循的规则进行了专门规定,但是“总则”部分有关个人信息保护的基本原则均应当一体适用于国家机关,并不因为其所具有的公权力色彩或者公共利益取向而有所减损。另一方面,与私营部门相比,公共部门以国家权力作为后盾,其所从事的个人信息处理活动所涉范围更广、可能产生的影响也最大,因此更需要一种有效的机制来监督公共部门。独立监管机构尽管在组织关系、问责、预算等方面不能做到绝对“独立”,但是它却能最大限度地实现“保持距离的治理”,解决潜在的利益冲突,增强个人信息保护监管机构的公信力,以确保监管决策的公正性。
第二,独立监管机构可以满足个人信息保护监管的权威性要求。
在大数据时代,个人信息保护监管所涉场景多样、所涉主体多元,由不同行业或者领域的监管机构一并承担相应领域的个人信息保护监管职责,可能导致规则适用混乱、执法标准不一、权利救济不及时等问题。个人信息保护权是个人在信息社会、网络社会中最为重要的一项基本权利,它需要结构性支持。正如学者所言:“法律不是自动实施的,如果没有一个权威的倡导者,隐私文化就不能安全地建立起来”。独立监管机构通常是由立法机关通过立法形式赋予其明确的法律地位,同时赋予其规则制定权、监督检查权、行政处罚权等不同类型的权力,确保其在履行职责时的行为能力以及与其他主体间的法律地位关系。此外,由独立监管机构统一负责《个人信息保护法》的执行以及具体规则的制定,可以最大限度确保法律适用的一致性和权威性。“所有的规则制定者不论对内对外都应寻求一种相同且客观的条件,所有的社会工作者对于服务对象的利益,都应该根据相同的客观标准,给予同等的对待”。
第三,独立监管机构可以满足个人信息保护监管的参与性要求。
在大数据时代,个人信息保护监管所涉权益的重要性、所涉技术的复杂性,要求个人信息治理应当更加具有参与性。尽管官僚体制在某些功能上仍然有其存在的必要性,但是人民自己可以在整个体制上发挥更重要的作用。相对于传统的政府部门控制性的层级节制,独立监管机构在组织结构上更加具有扁平化、网络化等特征,不仅有助于激发内部低层级员工参与监管决策的积极性,发挥更多的洞察力和专业能力,而且还能为在传统上属于“外部主体”的科技专家、法律专家、社会公众提供制度性的参与通道。
第四,独立监管机构可以满足个人信息保护监管的协作性要求。
在大数据时代,个人信息保护监管并非是局限于某一个国家或者地区的孤立的封闭领域,它不仅与医疗卫生、消费者保护、社会信用等传统监管领域密切相关,而且还与人工智能、算法、共享经济等新兴技术(业态)存在交叉。此外,随着经济全球化的发展,个人信息的跨境流动已经不可避免,诸多问题已经超越了国家法律的射程,需要借助区域合作、国际合作来建立统一的规则或者监管机制。独立监管机构作为个人信息保护的专责机构,其背后的理论基础是新治理理论,即部门间关系的定义性特征由竞争变为合作, 因此更加符合大数据时代个人信息保护监管的协作性要求。在内部协作上,以个人信息保护为唯一己任的独立监管机构在与其他监管部门进行协调时,能够更加准确地把握问题的关键,捍卫个人信息保护监管在整个政府监管体系中的地位。在外部协作上,独立监管机构作为个人信息保护专责机构,在国际交流与协作以及国际性规则的制定中将会更为集中地表达国家的利益主张和问题关切。
第五,独立监管机构可以满足个人信息保护监管的科学性要求。
个人信息保护监管所涉技术的复杂性和技术性,要求监管机构必须具有很强的专业知识,能够科学合理地作出监管决策,采取监管措施。与传统行政部门相比,“监管机构是基于监管技术性、专业性因素而产生的一种公务分权方式”。就独立监管机构而言,其本身就具有“发展专业监管知识”之功能,因此以独立监管机构作为个人信息保护专责机构,能够更为有力地集中专业优势,妥善应对各类个人信息保护问题。
(三)个人信息保护中独立监管机构的域外实践
目前,独立监管机构在一些国家或者地区的个人信息保护监管中已经实现了制度化,不过却有不同的模式,有的完全独立于政府,也有的与某个部委或者行政部门保持一定的联系。这些不同的模式也可以反映出各国在行政体制背景方面的差异。为了能够对个人信息保护中独立监管机构的制度实践有一个较为全面的把握,笔者对德国、英国、日本等三个国家的制度实践进行了介绍。
1.独立监管机构:德国联邦数据保护和信息自由专员
在德国,联邦数据保护和信息自由专员(Federal Commissioner for Data Protection and Freedom of Information)是个人数据保护中的独立监管机构。根据德国《联邦数据保护法》的规定,联邦数据保护和信息自由专员(以下简称“联邦专员”)是一个由公法规定的联邦机构,具有正式的法律地位,并且是个人数据保护领域的最高联邦机构,其工作人员属于联邦公务员。根据德国联邦政府的提议,联邦专员由德国联邦议会超过法定人数的一半选举产生,任期5年,可以连任一次,当选者由德国联邦总统任命。联邦专员在当选时必须在35岁以上,并且应当具有履行其职责和行使其权力所需的资格、经验和技能,特别是在个人数据保护领域。联邦专员的职务关系从任命书交付时开始,在任期结束或辞职时终止。如果联邦专员有严重的不当行为或者不再符合执行任务的要求,那么联邦总统应根据联邦议会主席的要求解除联邦专员的职务。
独立性一直是联邦专员的核心要素。根据德国《联邦数据保护法》第10条的规定,联邦专员在履行其任务和行使其权力时应当完全独立(complete independence),始终保持不受外部影响,无论是直接的还是间接的,并且不应寻求或者接受任何人的指示。为了确保联邦专员的独立性,德国《联邦数据保护法》对联邦专员的权利与义务进行了明确规定。联邦专员应当避免采取任何与其职责不相符的行动,在其任期内不得从事任何不相符的职业。联邦专员不得担任任何其他有偿职务,不得在其公务之外从事任何商业活动或者职业,也不得属于联邦或州的政府或者立法机构。不过,联邦专员的独立性也不是绝对的。根据德国《联邦数据保护法》的规定,只要不影响联邦专员的独立性,一方面,联邦专员可以将人力资源管理任务委托给其他联邦机构;另一方面,联邦专员应当接受联邦审计院的审计。
作为联邦层面的监管机构,联邦专员在数据保护法的执行中发挥着至关重要的作用。根据德国《联邦数据保护法》第14条的规定,联邦专员的主要任务包括以下几个方面:(1)监督和执行欧盟《一般数据保护条例》和德国《联邦数据保护法》以及其他与数据保护法相关的规定;(2)促进公众对个人数据处理方面的风险、规则、保障措施和权利的认识与理解,特别关注专门针对儿童的措施;(3)就数据保护相关的立法和行政保护措施向德国联邦议会、联邦政府和其他机构与团体提供咨询;(4)提高数据控制者和处理者对其在数据保护立法下的义务的认识;(5)应要求向任何数据主体提供有关行使其在《联邦数据保护法》和其他数据保护立法下的权利的信息;(6)处理数据主体或者机构、组织或者协会提出的投诉,并在适当的范围内调查投诉的事项,在合理时间内将调查进展和结果通知投诉人;(7)与其他监管机构合作,包括分享信息,并向其提供协助,以确保《联邦数据保护法》和其他数据保护立法的应用与执行的一致性;(8)监测可能对个人数据保护有影响的技术的发展;等等。
为了让联邦专员能够有效地履行其任务,实现监管目标,德国《联邦数据保护法》第16条还明确授予了联邦专员一系列权力,主要包括以下几个方面:首先,联邦专员拥有广泛的调查权(investigative powers)。联邦政府的所有公共机构以及邮政或者电信服务的提供者,都有义务支持联邦专员及其工作人员执行其任务。这些公共机构和供应商必须履行如下义务:(1)回答问题;(2)允许查阅所有文件和档案,尤其是存储的数据和数据处理程序;(3)允许在任何时候进行现场调查。其次,联邦专员可以查阅特别保密的文件。对于这类受专业保密的信息,可以根据具体情况进行例外处理。联邦专员有权在任何时候进行检查,即使没有任何具体的理由,也不论个人数据是以自动方式还是以纸质文件处理的。再次,联邦专员有拒绝作证的权利,可以在法庭上保持沉默,并可以向任何第三方隐瞒其文件。最后,如果联邦专员发现了数据泄露,其可以通过以下措施来结束这些侵权行为:(1)向数据控制者或者处理者发出警告,告知其打算进行的处理操作有可能违反数据保护法;(2)对数据控制者或者处理者进行告诫;(3)命令数据控制者或者处理者遵守数据主体的要求;(4)指示数据控制者或者处理者,使其处理操作符合数据保护规则;(5)对数据处理过程施加临时或者永久的限制,包括禁止;(6)命令纠正或删除个人数据;(7)处以罚款;(8)暂停向第三国传输数据;等等。
2.非政府部门公共机构:英国信息专员办公室
在英国,承担个人信息保护监管职责的独立监管机构是英国信息专员办公室(Information Commissioner' s Office)。当然,维护社会公众的信息权,推动公共机构的信息(数据)开放,也是信息专员的重要使命。根据英国《2018年数据保护法》(Data Protection Act 2018)的规定,信息专员是一个独立的非政府部门公共机构(non-departmental public body),意即在国家治理进程中发挥作用,但不是一个政府部门或者政府部门的一部分。信息专员由英国女王按照《女王制诰》(Letters Patent)任命,其任职不得超过7年,且只能被任命一次。除非有关人员是在公平和公开竞争的基础上择优录取,否则不得向女王提出任命某人为信息专员的建议。在实际运作中,英国信息专员办公室受到数字、媒体、文化和体育部(Department for Digital, Culture, Media & Sport)的赞助,信息专员需要通过任命前听证会由下议院数字、文化、媒体和体育特别委员会(Digital, Culture, Media and Sport select committee)批准,最后由女王正式任命。
受欧盟《一般数据保护条例》的影响,英国信息专员的一般性任务(general tasks)与德国联邦专员的基本任务存在诸多相似之处。根据英国《2018年数据保护法》附则13“专员的其他一般性任务”之规定,信息专员的一般性任务主要包括以下几个方面:(1)监督和实施《2018年数据保护法》第三部分“执法处理”(law enforcement processing)和第四部分“情报处理”(intelligence services processing);(2)促进公众认识和了解适用《2018年数据保护法》进行个人数据处理的风险、规则、保障和权利;(3)对议会、政府和其他机构及团体为保护自然人适用《2018年数据保护法》处理个人数据的权利和自由所做的立法和行政措施提供建议;(4)应数据主体之要求提供有关行使权利的信息;等等。
除此之外,《2018年数据保护法》还授予了信息专员就有关个人数据处理进行调查、纠正、授权和警告的权力,具体包括以下几个方面:(1)向控制者或者处理者发出通知,当其根据《2018年数据保护法》第三部分和第四部分涉嫌侵权时;(2)向控制者或者处理者发出警告,当其进行的处理操作可能违反数据保护法时;(3)向控制者或者处理者发出谴责,当其处理操作违反数据保护法时;(4)主动或者应要求向议会、政府和其他机构及团体以及公民,就任何个人数据保护问题提出意见。
3.内阁府外部机构:日本个人信息保护委员会
在日本,《个人信息保护法》(個人情報の保護に関する法律)在最初制定之时并未规定所谓的个人信息保护专责机关,而是由各中央部委按照其所负责的业务,作为除公务机关之外非公务机关的主管机关,分别由各部委进行监管执法,这种情形与我国目前的监管现状类似。自2013年起,日本学界与实务界就开始提出不同部委之间需要共同合作,应尽快设立个人信息保护专责机关之提议。在此背景下,日本于2013年制定通过了《个人编号利用法》(行政手続における特定の個人を識別するための番号の利用等に関する法律),提出设立特定个人信息保护委员会作为独立专责机关,其首任委员长为一桥大学名誉教授堀部政男。2015年,日本对《个人信息保护法》进行了修订,在原有的特定个人信息保护委员会的基础之上,专门规定了个人信息保护委员会(個人情報保護委員会)。因此,日本个人信息保护委员会的首要任务便是监督和实施《个人编号利用法》和《个人信息保护法》。
日本《个人信息保护法》之所以能够对个人信息保护委员会进行规定,其法律依据是日本《内阁府设置法》(内閣府設置法)第49条,即内阁府可以设立委员会和厅作为其外部机构,而委员会和厅的设立及废除由法律进行规定。为了确保个人信息保护委员会的权威性、独立性和参与性,日本《个人信息保护法》规定,个人信息保护委员会直接向内阁总理大臣负责,不受其他行政机关或者行政力量的干涉及施压。个人信息保护委员会由委员长和八名委员组成,委员长及委员独立行使其职权。其中,有四名委员采取非专任制,委员长和委员均从人格高尚、见识卓越的人士中产生,并经过参、众两院同意后,由内阁总理大臣任命。委员长及委员中应当包括具有个人信息保护和正当且有效利用方面的学识和经验的人。为了确保委员长及委员能够独立行使职权,《个人信息保护法》规定,除非受到破产宣告或者违反法律被处以刑罚,或者被认为身心障碍无法行使职权等,否则不能将委员长及委员予以免职。
除了对个人信息保护委员会的设置、地位、组成、任期、身份保障、罢免、任命等进行规定外,日本《个人信息保护法》还规定了“基本任务”和“主管事务”。其中,个人信息保护委员会的“基本任务”主要包括:重视个人信息的正当且有效利用对创新产业、经济发展和国民生活的促进作用,保护个人的权利和利益,确保个人信息的正当处理。个人信息保护委员会的“主管事务”则主要包括:(1)制定和推广关于保护个人信息的基本政策;(2)对个人信息处理的监督;(3)有关认定个人信息保护团体的事务;(4)对特定个人信息处理的监测和监督;(5)与评估特定个人信息保护有关的事务;(6)与投诉调解有关的事务;(7)国际合作;(8)推广和启发有关个人信息保护的事务;等等。
为了让个人信息保护委员会能够顺利实现其基本任务和主管事务,日本《个人信息保护法》明确授予了个人信息保护委员会以下三种权力:(1)指导及建议。个人信息保护委员会对于个人信息处理者的处理操作可以进行指导,并提出建议。(2)劝告及命令。个人信息保护委员会可以在其认为为保护个人权益必要时,劝告个人信息处理者采取相应的纠正措施;若个人信息处理者拒绝劝告,个人信息保护委员会认为违法行为对个人的重大权益之侵害已经迫在眉睫时,可以命令个人信息处理者采取相应措施。对违反个人信息保护命令的非公务机关,可能面临2年以下的有期徒刑或者100万日元以下罚金。(3)报告及现场检查。个人信息保护委员会可以要求个人信息处理者提交必要的报告或者资料,其工作人员可以进入相关场所,询问相关人员或者检查相关账簿材料等,此项检查属于行政检查权,不用事前得到法院许可。此外,日本《个人信息保护法》也对个人信息保护委员会行使职权进行了限制,要求个人信息保护委员会在进行现场检查、指导、建议、劝告、命令时,不得妨碍言论自由、学术自由、宗教信仰自由等。
4.比较与借鉴
从德国、英国和日本的个人信息保护监管机构的组织构造看,它们既有共性,也有差异。其中,共性之处在于都通过法律规范确立个人信息保护监管机构的法律地位、权责配置、任命程序、组织结构等,强调个人信息保护监管机构的独立性、权威性、参与性和协作性等。不同之处主要在于个人信息保护监管机构的独立程度存在差异,这与各国自身的政治文化传统密切相关,具体比较如表3所示。
从表3可知,独立监管机构在德国、英国和日本的个人信息保护监管中呈现出不同的组织模式。尽管这些个人信息保护监管机构的名称不同,但是其法律性质,以及承担与个人信息保护法律制度的相关职能都有一定程度上的类似,可以为我国个人信息保护监管机构改革提供以下几个方面的参考经验:(1)通过个人信息保护立法对个人信息保护监管机构予以明确,充分发挥个人信息保护法在组织法建构方面的作用,确立个人信息保护监管机构的法律地位和性质,并通过各种举措促进个人信息保护监管机构的独立性、权威性、参与性等。(2)明确个人信息保护监管机构的主要任务和基本职责,将公共部门与私营部门同时作为监管对象,平衡个人信息保护与利用之间的关系,确立优先的、特定的监管任务。(3)授予个人信息保护监管机构各种监管权力,既包括处罚、命令、禁止等刚性权力,也包括教育、指导、劝告、建议等柔性权力。
四、我国个人信息保护中引入独立监管机构的制度空间
成立统一独立的个人信息保护监管机构已经成为一种趋势,这为我国个人信息保护中引入独立监管机构提供了外在条件;而我国现有个人信息保护监管机构之不足,则为我国设立统一独立的个人信息保护监管机构提供了内在动因。从政府监管的历史经验和未来发展看,我国个人信息保护中引入独立监管机构具备一定的基础,在组织法构造方面也有可供借鉴的经验。
(一)我国个人信息保护中引入独立监管机构的基础
如前所述,不同国家在不同领域设置独立监管机构时,所采取的组织模式不尽相同,这与各国的政治文化、监管传统有关。从我国个人信息保护领域及其他领域的政府监管实践与发展看,我国个人信息保护领域引入独立监管机构具备可行性,主要体现在以下几个方面:
第一,《个人信息保护法》的颁布实施,可以为设立统一独立的个人信息保护监管机构提供法律规范基础。《个人信息保护法》结束了我国个人信息保护分散立法的现状,其很多原则和规则凝聚了目前理论与实务的共识,是我国个人信息保护领域的基本法。目前在我国大部分政府监管领域,主要采取“先设立机构再立法”的模式,导致一些监管机构在实践中遭遇法律障碍。从理论上看,“先立法再设立机构”才符合法治精神,即根据立法授权进行机构设置或者改革,实现重大改革于法有据。虽然目前我国《个人信息保护法》未对统一独立的监管机构进行明确规定,但却已经奠定了法规范基础,在未来可以让机构调整与法律变革同步,实现监管机构的法定化。
第二,我国行政管理体制的大部制改革,可以为设立统一独立的个人信息保护监管机构提供理论与实践支撑。为了解决政府监管权分散带来的种种弊端,我国自2008年开始实施大部制改革,加大政府机构整合力度,探索实行职能有机统一的大部门体制。在我国个人信息保护领域设立统一独立的监管机构,可以改变目前我国个人信息保护执法“九龙治水”的局面,不仅可以避免执法标准不一而引发的差异化执法,而且还能减少因部门之间职责交叉、重叠所带来的推诿、懒政,契合我国大部制改革的理念与发展方向。反过来看,我国其他领域的大部制改革经验也可以为设立统一独立的个人信息保护监管机构提供镜鉴。
第三,港澳地区个人信息保护监管机构的实践经验,可以为设立统一独立的个人信息保护监管机构提供借鉴。我国香港特别行政区于1996年设立香港个人资料私隐专员公署,作为监察《个人资料(私隐)条例》的实施及合规情况的独立机构,负责执法、审查及监督、教育推广等任务。我国澳门特别行政区于2007年设置澳门个人资料保护办公室,在行政长官的监督下可以独立运作,主要职权包括监察与协调、制定保密制度、处理申诉、调查及处罚、教育宣传、推进个人信息保护研究等。港澳地区个人信息保护监管机构的实践经验和教训可以为我国内地设立统一独立的个人信息保护监管机构提供参考。
(二)我国个人信息保护中引入独立监管机构的建议
结合国内外个人信息保护监管机构的组织模式,笔者认为,我国可以借鉴日本的经验,设立“国家个人信息保护委员会”作为统一独立的个人信息保护监管机构。一方面,德国的联邦专员和英国的信息专员虽然在“独立性”方面存在差异,但其背后均与立法权和行政权之间的对抗、党派之间的斗争等政治因素有关,不太符合我国现有国情;另一方面,日本的组织模式充分吸收了规制理论中独立监管机构的基本原理,但同时又未完全放弃其“行政性”,比较适合我国的国情。为了充分发挥行政组织法对行政机关的建构和管制功能, 我们有必要从国家个人信息保护委员会的组织法建构入手。就行政组织法的内容而言,其有繁有简,但关于行政机关的性质、地位、组织、职权是其必备的内容。因此,从行政组织法的角度看,笔者认为,至少需要从法律地位、组织结构、基本职责、行政职权、监管措施、问责机制等几个方面对国家个人信息保护委员会进行组织法构造,以促进国家个人信息保护委员会的权威性、独立性、参与性、科学性、可问责性等为目标。
1.明确国家个人信息保护委员会的法律地位
长期以来,在我国政府监管改革过程中,由于中央各部门之间权力配置、利益分配较为复杂,以至于国家权力机关很少对行政组织进行立法。因此,中央各部门之间的权责分配主要依靠政策来调整,即所谓的“三定方案”(定职责、定机构、定编制)。尽管如此,但这并不意味着国家权力机关可以放弃对公共行政基本秩序的建构,“政府的职能定位和权力结构……需要法律调整,都属于国家的基本制度层面,需要国家权力机关的立法规定和推进”。为了确保国家个人信息保护委员会的权威性,我国应当在《个人信息保护法》中明确规定:国家个人信息保护委员会统一负责个人信息保护的监督管理工作。国家个人信息保护委员会可以扮演不同的角色,它是教育者,负责宣传与推广个人信息保护法制;它是监察员,对个人信息处理者进行监测、管理和记录等工作;它是政策顾问,对个人信息处理合规与否进行判断,并提出建议或者意见;它是谈判者,在个人信息保护的内部交流或者国际交流中表达部门主张或者国家立场;它是执法者,有权对公共部门和私营部门的个人信息处理活动进行调查,并对违法行为进行处罚和制裁等。
在组织关系隶属上,可以有两种思路:一种思路是将国家个人信息保护委员会确立为国务院直属机构,直接对国务院负责;另一种思路是将国家个人信息保护委员会确立为国务院部委管理的国家局。笔者倾向于采用第一种思路,这样更能突出国家个人信息保护委员会的权威性和重要性,才能与个人信息保护权的基本权利地位相匹配,才更有助于落实个人信息的国家保护义务。
2.确立国家个人信息保护委员会的组织结构
我国《个人信息保护法》在对“履行个人信息保护职责的部门”进行规定时,并未对这些部门的组织结构进行明确规定,如主要负责人及其工作人员的任职要求、任命程序、免职条件等。在其他领域的立法中,也只有少数法律对监管机构的组织结构予以规定,如《海关法》第73条规定了海关专业人员的任职要求、选任、考核等。在德国、英国和日本的个人信息保护立法中均对个人信息保护监管机构的组织结构进行了规定,尽管在具体内容上存在差异,但基本都包括任职要求、任命程序、免职条件、身份保障等内容。
为了确保国家个人信息保护委员会的独立性、参与性,笔者认为,我国《个人信息保护法》可以借鉴德国、英国和日本的立法经验,虽然不必对内设机构进行具体规定,但是可以规定以下几个方面的内容:一是明确国家个人信息保护委员会的负责人及其工作人员的任职要求,如必须具备个人信息保护与利用方面的专业知识或者工作经验;二是在选任程序上,可以考虑向社会公开招聘或者通过挂职程序引入高等院校、科研机构的专家学者;三是规定任职保障,非因法定事由不得降职、调职、免职或者降薪;四是规定竞业限制,要求不得从事与任职行为有利害冲突的活动,避免出现“旋转门”现象。
3.明确国家个人信息保护委员会的基本职责
在行政法理论中,公共行政既是法治行政,也应当是责任行政,完善的责任机制是实现法治行政的关键,行政职责是行政主体在行使职权、执行公务的过程中所受到的应如何行为(必须作出一定行为或者不能作出一定行为)的法律约束。我国《个人信息保护法》第61条和第62条分别对“履行个人信息保护职责的部门”和“国家网信部门”的职责进行了规定,这为明确国家个人信息保护委员会的基本职责奠定了基础。德国、英国和日本的个人信息保护立法均对个人信息保护监管机构的“任务”或者“主管事务”进行了规定,这可以为明确国家个人信息保护委员会的基本职责提供参考。
在未来,为了确保国家个人信息保护委员会的可问责性,使其稳定地在法律框架内运作,我国《个人信息保护法》应当对现有第61条和第62条之规定进行整合,统一规定国家个人信息保护委员会的基本职责,其主要内容应当围绕两个方面来展开:一是重视个人信息的正当且有效利用对数字经济、国民生活的促进作用;二是保护个人的权利和利益,力求确保个人信息的合法、正当、必要、诚信处理。
4.授予国家个人信息保护委员会的行政职权
在行政法理论中,行政主体的行政职权与行政职责具有相应性、协调性,犹如一枚硬币的两面,缺一不可。因此在明确国家个人信息保护委员会的职责后,还应当授予其相应的行政职权。所谓的行政职权是指“行政主体依法所享有的进行国家行政管理活动的权力”, 一般至少包含职权名目、职权归属、职权界限、职权方式、职权对象等五项要素。我国《个人信息保护法》中并未直接对“职权”进行明确规定,而是将其与“职责”混合在一起,这也反映出行政职权与行政职责之间紧密相连的关系。
在域外个人信息保护法立法中,欧盟《一般数据保护条例》第58条直接对个人数据保护独立监管机构的“权力”进行了规定,主要包括三大类:一是调查权力(investigative powers),具体又包括以数据保护审计的方式进行调查的权力、审查根据法律发布的认证、从控制者或者处理者处获得数据的权力以及对场所、设备和信息进行调查的权力等。二是纠正权力(corrective powers),具体包括对控制者或者处理者发出警告或命令遵守数据主体要求等较为温和的制裁,以及命令删除、禁止处理或者暂停数据流向第三国等较为严厉的制裁,还有对控制者或者处理者实施行政罚款等最为严厉的制裁。三是授权与意见权力(authorisation and advisory powers),具体包括可以向立法机关、行政机关及社会公众发表与个人数据保护相关的意见,以及对认证机构进行认定、发布认证标准等。其他国家新近关于个人信息保护监管机构职权的立法大多是围绕这三类权力展开,包括本文提及的德国、英国和日本。在未来,为了增强国家个人信息保护委员会的权威性,促进个人信息保护监管的有效性和可问责性,笔者认为,《个人信息保护法》可以借鉴欧盟的立法经验,将“职责”与“职权”进行拆分,分别予以立法,在职权设定中也可以围绕调查、纠正、授权与意见这三类权力进行类型化和具体化。
5.丰富国家个人信息保护委员会的监管措施
在规制理论中,监管机构为了实现监管目标,可以通过采用不同的工具或者措施来行使监管权力,除了常见的、典型的“命令—控制”措施之外,还可以通过很多其他措施来实施监管,如“点名和羞辱”(name and shame)。在我国政府监管改革中,除了依靠传统的许可、处罚、强制等监管措施外,一些新的监管理念和监管措施也不断出现在监管实践中,如事中事后监管、 信用监管 等。《法治政府建设实施纲要(2021—2025年)》明确提出“创新行政执法方式”,要求“广泛运用说服教育、劝导示范、警示告诫、指导约谈等方式,努力做到宽严相济、法理相融,让执法既有力度又有温度”。在个人信息保护监管执法中,学者亦提出应当进行“激励相容”的制度设计,即“通过外部威慑促使信息控制者内生机制发挥作用,而不是‘一刀切’式的命令控制立法”。
为了在个人信息保护监管中实现“激励相容”的目标,增强监管的回应性和有效性,笔者认为,《个人信息保护法》可以借助“回应型规制”(responsive regulation)理论,对国家个人信息保护委员会的监管措施进行层次结构设计,将软性执法工具和刚性执法工具进行结合,促进监管机构与监管对象之间就个人信息保护进行双边沟通。在规制理论体系中,“回应型规制”既是一种成熟的学术理论,也是一种广泛接受的监管框架,它的核心是建立监管措施的层次结构。具体而言,监管的姿态首先应该是合作性的,随后的违规行为是通过逐步的监管升级来解决的,而监管升级的程度和监管反应的惩罚性效果与违规行为的性质相一致。目前,“回应型规制”的基本理念已经被我国一些领域的政府监管所采纳。例如,在信用监管中,一些地方的社会信用立法规定,对于轻微偶发失信主体,可以采取警示提醒、指导约谈等措施;对于一般失信主体,可以采取提高抽查比例、加强现场检查等措施;对于严重失信主体,可以采取限制进入市场、行业等措施。以此为借鉴,笔者认为,在未来,《个人信息保护法》可以通过以下三种思路来建构具有“回应性”的监管措施层次结构:第一种思路是根据个人信息安全风险的程度,采取不同干预强度的监管措施;第二种思路是根据不同类型的个人信息,采取不同强度的保护标准,实施不同干预强度的监管措施;第三种思路是根据不同的场景,设计不同的监管措施,采取不同的执法机制。
6.强化国家个人信息保护委员会的问责机制
在规制理论中,学者们通常比较关注独立监管机构的“独立性”,认为利用这种机构形式来监督和实施监管标准,可以提升政策的可信度,可以将“高度政治化”的经济生活领域转变为“低度政治化”的范围。然而,也正是因为“独立性”的缘故,这种机构形式的发展也遭到了批评,批评者认为独立监管机构欠缺民主正当性。对此,国际货币基金组织研究员马克·昆廷(Marc Quintyn)提出了独立监管机构的“监管治理”(regulatory governance)模式,认为独立性、问责制(accountability)、透明度(transparency)和廉洁性(integrity)共同构成了独立监管机构的四个支柱,而这四个支柱之间相互依存、相互促进。对独立监管机构而言,问责制至少具有四项功能:一是提供公共监督;二是维持和加强合法性;三是加强监管治理的廉洁性;四是提高机构的绩效。至于如何强化独立监管机构的问责制,英国上议院(British House of Lords)提出了一个所谓的“360度问责观点”(360° view of accountability),试图将议会、法院、政府、公民、消费者权益组织、受规制公司等众多利益相关者都纳入独立监管机构的问责框架中,但实际上被正式授予监督权的仍然只是传统的三大政府分支。
在域外个人信息保护立法中,有关个人信息保护监管机构的问责制也受到重视,主要可以分为以下几个方面:一是行政问责,即要求个人信息保护监管机构接受审计部门的审计,同时要求其向政府提交活动报告。例如,德国《联邦数据保护法》规定,联邦专员应当接受联邦审计院的审计。二是议会问责,即要求个人信息保护监管机构的财务预算接受议会的监督,同时向议会提交活动报告。例如,英国《2018年数据保护法》规定,信息专员应当每年向议会提交一份关于执行专员职能的总报告,并且应当将经过审计长检验、认证的账目报表提交给议会。三是司法问责,即要求个人信息保护监管机构的行为应当受到法院的审查。例如,欧盟《一般数据保护条例》第78条规定,在不影响任何其他行政或者非司法救济的情况下,每个自然人或者法人都有权针对监管机构作出的与之相关的有法律约束力的决定寻求司法救济。以此为参考借鉴,为了增强国家个人信息保护委员会的可问责性,笔者认为,在未来,《个人信息保护法》应当从以下几个方面强化国家个人信息保护委员会的问责:一是通过政务处分、审计、绩效考核等方式强化行政问责;二是通过预算监督、执法检查等方式强化人大问责;三是通过行政诉讼、民事诉讼等方式强化司法监督;四是通过人民检察院利用检察建议、公益诉讼等方式强化检察监督;五是通过信息公开、投诉举报等方式强化公共监督。
结语
行政监管是个人信息保护制度的重要内容,正如周汉华教授所言:“制定个人信息保护法的国家,一项重要的立法任务就是构建有效的外部执法威慑,促使信息控制者积极履行法律责任,并对违法处理个人信息的行为予以制裁”。监管机构是个人信息保护行政监管的组织基础,我国《个人信息保护法》虽然对“履行个人信息保护职责的部门”的职责、职权、监管措施等进行了规定,但是并未改变我国个人信息保护监管执法“九龙治水”的局面,难以适应大数据时代个人信息保护所面临的新挑战。
从域外个人信息保护监管经验看,设立统一独立的个人信息保护监管机构已经成为一种重要发展趋势。德国、英国、日本等主要国家均在其个人信息保护法律中对独立的监管机构进行了规定,明确其法律地位、组织结构、基本职责以及行政职权。从政府规制理论看,统一独立的个人信息保护监管机构具备独立监管机构的诸多特性和优势,能够更好地发挥政府监管在个人信息保护中的作用。从行政法理论看,行政组织的设立与废除应当以行政任务为导向,设立统一独立的个人信息保护机构能够更好地适应大数据时代个人信息保护提出的新要求。
长期以来,我国一直在推动政府机构改革,尤其是以“加大机构整合、实行职能统一”为目标的大部制改革,这为个人信息保护监管机构改革提供了理论与实践支撑。《个人信息保护法》的制定通过以及我国港澳地区个人信息保护监管机构的具体实践也为个人信息保护监管机构改革提供了规范基础和参考经验。为了对个人信息保护权提供结构性支持,落实个人信息的国家保护义务,我国应当设立国家个人信息保护委员会,作为统一独立的个人信息保护监管机构,并通过《个人信息保护法》对该机构的法律地位、基本职责、行政职权等组织要素予以规定,以便其能够在个人信息保护的国内监管与国际合作中发挥更大作用。
