目? 次
一、個人信息保護的“公法路徑”與“私法路徑”之爭
二、個人信息私法保護機制的局限
(一)信息處理者與信息主體的地位失衡導致維權難度高
(二)成本與收益不均衡導致司法訴訟的激勵困境
(三)私權保護路徑難以及時有效應對系統性侵權
三、行政規制的法權基礎與比較優勢
(一)作為法權基礎的基本權利國家保護義務
(二)行政規制在個人信息保護中的比較優勢
(三)行政規制的局限與公私法的調和
四、個人信息保護行政規制路徑的完善
(一)明確個人信息保護的行政規制體制
(二)構建多元化的行政規制機制
結 語:邁向合作的個人信息保護
注:本文原載于《行政法學研究》2022年第1期“個人信息保護”專欄,因篇幅較長,已略去原文注釋。
? ? ? ?摘要:個人信息保護存在私法訴訟與行政規制兩種主要路徑,私法訴訟多以侵權之訴的形式展開。由于個人信息處理者與信息主體的地位失衡,信息主體舉證困難,維權難度高;由于損害難以界定,訴訟存在成本與收益不均衡的激勵困境;同時,個別性的訴訟也難以有效回應系統性的社會風險。行政規制路徑以基本權利的國家保護義務作為法權基礎,在專業性、信息充分程度、治理效率等方面具有比較優勢。個人信息保護立法應當更妥善地處理兩種路徑的協調。未來個人信息保護的行政規制路徑需要進一步明確規制體制,充分運用行政處罰、自我規制、內部管理型規制、第三方規制等多元化的規制機制。
? ? ? ?關鍵詞:個人信息保護;行政規制;公共執行;基本權利國家保護義務
? ? ? ?一、個人信息保護的“公法路徑”與“私法路徑”之爭
? ? ? ?在我國個人信息保護法律制度構建的方向上,一直存在著“公法保護”與“私法保護”之爭。有學者以個人信息權理論為核心,主張將個人信息權視作私權,以民事救濟來提供保障。也有觀點認為,個人信息保護法是一種有關個人信息的管理法,是通過行政許可、行政處罰等手段來確保個人信息處理者合法處理個人信息的法律制度。此類觀點多主張個人信息權是一種基本人權,需要由國家建立有效的事前事中監管與行政執法制度來提供保護。
? ? ? ?近年來,大數據技術的發展對個人信息保護提出了新的挑戰。信息公共性的增強和所包含法益的復雜性使得絕對化的私權保護路徑窒礙繁多。而互聯網平臺的擴張則導致平臺與用戶間的議價能力失衡,私權保護的基礎受到動搖。面對種種挑戰,學界開始提出重構個人信息保護法的主張,如主張將個人信息保護“消費者法化”,并結合風險規制的公法框架提供保護;或是主張以行業標準為主導的個人信息保護路徑。這些主張所呈現的一個共同特征是,不再強調個人信息保護是單純的私法議題,而是試圖以多元化的方式解決私法保護的局限。
? ? ? ?我國的個人信息保護實踐也呈現出相似的復雜性。《侵權責任法》、《全國人民代表大會常務委員會關于加強網絡信息保護的決定》、《最高人民法院關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規定》(以下簡稱《網絡侵權司法解釋》)以及《民法典》都為私法保護提供了充分的規范基礎。但實證研究卻顯示,相較于刑事手段,自然人請求法院對其個人信息權益提供司法保護的案件數量較少。民法學者也提出,個人信息保護中的各種問題需要依靠個人信息處理者的自律行為、監管者的監管措施以及自然人針對信息處理者的民事訴訟(及公益訴訟)共同加以解決,公法保護與私法保護在個人信息保護中都具有重要作用,都是不可或缺的。但對于公法機制與私法機制的所長所短、相互關系,學界的討論還有進一步深入的空間。
? ? ? ?2021年8月通過的《個人信息保護法》被認為確立了較有力的行政執法機制。事實上,在《個人信息保護法》出臺之前,我國已經依據《網絡安全法》和相關單行立法開展了大量個人信息保護行政執法。這類執法活動在取得一定收效的同時,也引發了一些合法性爭論。這促使從學理層面思考個人信息保護行政執法模式的重要性日益凸顯。本文將從上述討論出發,對以司法訴訟為中心的私權保護機制所固有的局限展開分析,提出行政規制在個人信息保護上的比較優勢,并就私法保護路徑和行政規制路徑的相互關系進行適當展開。同時,本文將結合《個人信息保護法》相關規范的解釋與實施,對我國個人信息保護行政規制體系的完善提出建議。
? ? ? ?二、個人信息私法保護機制的局限
? ? ? ?在私法層面,當個人信息權利受到損害時,受害人在理論上既可以選擇違約之訴,也可選擇侵權之訴。但由于違約之訴舉證責任較重,救濟效果有限,所以并未成為主要渠道。在侵權之訴中,信息不對稱、激勵不均衡等問題都影響著私法效用的發揮。
? ? ? ?(一)信息處理者與信息主體的地位失衡導致維權難度高
? ? ? ?個人信息保護法主要調整系統收集、利用個人信息的個人信息處理者與信息主體之間的法律關系。在移動互聯網時代,個人信息處理者多為具有專業性或商業性信息收集特征的主體,其中最主要的是大型互聯網平臺。從形式上看,大型互聯網平臺與用戶之間是平等的民事主體關系,但基于平臺經濟在“雙邊效應”和“頭部效應”下的先天擴張屬性,大型互聯網平臺的規模日漸增長,面對分散的用戶展現出了技術上和資源上的絕對優勢。平臺對其業務生態內的信息有著極強的掌控力,被侵權人缺乏足夠的專業技術和條件去收集、固定證據。這導致基于平等主體關系而設定的侵權法規則難以發揮預期功能。
? ? ? ?《個人信息保護法》第69條第1款規定,處理個人信息侵害個人信息權益造成損害,個人信息處理者不能證明自己沒有過錯的,應當承擔損害賠償等侵權責任。這實際上是采取了過錯推定的立場。但在這一原則下,受害人完成舉證責任至少存在著三個方面的困難。
? ? ? ?首先,在侵權行為和損害結果的認定上,個人信息侵權呈現出高度隱蔽化和技術化的特征。在一般侵權中,侵權行為會造成直接、確定的損害后果,其對相關權益的影響多是清晰和可感知的。但在個人信息侵權中,侵權行為通常以數字化的形式發生,信息主體不僅難以知曉侵權人是誰、侵權方式和侵權行為是什么,甚至難以知道信息權益已經被侵害。在大量的個人信息泄露類案件中,由于所泄露的信息量極大,被侵權人通常無法知曉自己信息是否被包含在已泄露的信息集合中。同時,除私密信息的泄露可能直接引發社會評價降低外,其他個人信息的泄露會衍生出何種具體損害高度不確定。被泄露的個人信息既可能不產生任何波瀾,也可能被用于消費誘導、歧視,甚至犯罪。這些損害表現形式超出了傳統侵權法的范疇,導致損害計量難以進行。
? ? ? ?其次,即便被侵權人能夠發現侵權行為和損害,也較難完成因果關系的證明。分散的信息主體在大型互聯網平臺面前本就處于信息劣勢,在個人信息可能由多主體控制并經多個環節處理的情況下,更是難以構建排他的因果聯系。在“王金龍與漢庭上海酒店管理有限公司隱私權糾紛”一案中,法院比對了已泄露信息與酒店系統中的信息,查明二者所涉及信息主體的姓名、身份證號、性別、生日等信息一致,但住址、手機號、入住時間不一致。盡管原告提出,泄露信息中的住址、手機號是原告在最初辦理會員時所登記的信息,入住時間則完全由酒店控制,存在被更改可能,但因為未提供相應證據,法院認定其為“猜測性抗辯”而并未采納。法院認為,姓名、性別、身份證號等作為個人基本信息,使用頻率和范圍較廣,并不為被告單獨掌握,其擴散渠道不具有單一性和唯一性,無法斷定相關信息是由被告泄露。類似案件在航空票務等不同領域多次上演,折射出被侵權人所面臨的證明困境。
? ? ? ?再次,盡管在過錯推定原則下,被侵權人無需證明信息處理者的過錯,但當信息處理者利用信息和技術優勢證明自己未實施違法行為或已盡到合理注意義務時,受害人通常難以提出有效的反證。由于平臺遵守法定義務與否的證據都處于其掌控范圍內,涉訴時完成舉證并不十分困難。而被侵權人要提出有效反證則需要面臨兩大難題:一是存在技術上的壁壘,普通民眾難以掌握專業信息技術;二是存在信息上的不對稱,無法了解信息處理者內部個人信息保護機制的真實運行狀況,更遑論及時收集和固定證據。
? ? ? ?私法實踐針對上述問題的回應主要有二,其一是適用高度蓋然性的證明標準,強化法官心證的作用。例如,在“龐某與北京趣拿信息技術有限公司隱私權糾紛案”中(以下簡稱“龐某案”),法院結合被告對涉案信息的掌握、他人獲取信息的可能性、被告過往的信息安全表現等因素,認定被告存在泄露原告個人隱私信息的高度可能。在“申某與支付寶(中國)網絡技術有限公司等侵權責任糾紛案”中(以下簡稱“申某案”),法院提出,詐騙分子在較短的時間內就完成了對涉案個人信息的獲取、編輯及非法利用的全過程,基于涉案個人信息被短時間泄露等時空背景條件,可認定攜程公司作為消費者所直接面對的第一手完整信息保管者,存在泄露涉案信息的高度可能。然而,這一路徑存在的最大問題是主觀性過強、不確定性過大。
? ? ? ?其二是通過強化平臺義務、降低因果關系認定標準等方式來矯正雙方地位的失衡,但這面臨著如何合理確定平臺責任限度的問題。在“申某案”的判決中,法院指出,面對經常發生、影響廣泛的網絡攻擊、侵權行為,網絡服務提供者作為系統安全的直接維護者和受益者,應當有相應的反應機制、技術儲備和人力財力支持。課以其安全保障責任,將最有利于被侵權人得到合理的救濟,也最符合侵權法的整體效率的實現。但此類案件往往涉及多方主體,其中可能有大量職業黑客。在面臨這類特別復雜和惡意的攻擊時,單純強化平臺責任難言妥當。
? ? ? ?(二)成本與收益不均衡導致司法訴訟的激勵困境
? ? ? ?私法救濟的另一問題是難以實現合理的訴訟激勵。大量實證研究均顯示,在當前數量有限的個人信息保護民事訴訟中,普遍呈現出獲得賠償少、賠償數額低的情況。訴訟回報與高昂的維權成本形成了鮮明對比。這一現象與個人信息侵權責任的分配規則有著緊密聯系。
? ? ? ?《個人信息保護法》第69條第2款規定,處理個人信息侵害個人信息權益造成損害的,損害賠償責任按照個人因此受到的損失或者個人信息處理者因此獲得的利益確定;個人因此受到的損失和個人信息處理者因此獲得的利益難以確定的,根據實際情況確定賠償數額。這一規則在《民法典》第1182條和2014年《網絡侵權司法解釋》第11條中已有體現。《網絡侵權司法解釋》同時在第12條規定,被侵權人為制止侵權行為所支付的合理開支,如調查、取證的合理費用、律師費等可以被認定為財產損失。若被侵權人因人身權益受侵害造成的財產損失或者侵權人因此獲得的利益無法確定的,人民法院可以根據具體案情在50萬元以下的范圍內確定賠償數額。
? ? ? ?上述規則符合侵權法原理,但在實踐中卻較難妥善適用。首先,就被侵權人的實際損失而言,個人信息侵權較少導致顯著、直接的損害,其結果往往體現為外部風險和內部焦慮。即便在特定情況下,個人信息侵權的風險轉化為了現實的物質性損害,也可能是多種合力所致,追求明晰和單一化的因果關系鏈條并不現實。例如,當平臺疏于承擔安全保障義務導致個人信息泄露,引發后續違法行為時,作為信息處理者的平臺、利用泄露信息從事非法活動的第三人、甚至受害者自身均對損害結果具有原因力。在“申某案”中,原告申某主張二被告應當賠償其被詐騙所造成的經濟損失11萬余元。法院雖然認定被告之一攜程公司違反安全保障義務,導致申某遭遇詐騙形成財產損失,但只判決攜程公司在5萬元范圍內承擔補充責任。
? ? ? ?當具體物質損害難以認定時,《網絡侵權司法解釋》第12條規定的合理開支費用成為很多案件中原告唯一能夠確證和法院唯一支持的損失。在近來受到高度關注的“微信讀書案”中,原告向被告主張公證費用6660元,得到了法院的支持,但該案并未涉及其他賠償責任。須知,在個人信息侵權這種高度技術性的復雜案件中,當事人為訴訟所付出的時間、精力遠超能夠被準確計量的訴訟合理開支,這在訴訟激勵上顯然是不成比例的。
? ? ? ?其次,在適用個人信息處理者因侵權而獲得利益這一標準時,計量難題也同樣存在。個人信息侵權案中,除了銷售個人信息外,信息處理者在大部分情況下沒有具體獲益。如在未盡到安全保障義務、個人信息記載錯誤等案件中,信息處理者不僅無獲益,甚至可能有損失。而在部分情況下,由于信息利用的集合性,信息處理者雖有獲益,但卻無法個別計算,如信息處理者未經“告知-同意”而收集個人信息時,侵權行為通常是以系統性方式實施,其所獲利益也是一種系統性侵權的結果,無法具體分配到個人。
? ? ? ?在上述標準失靈的情況下,由法官在個案中確定賠償數額成為唯一選擇。但從實踐來看,法院所支持的賠償數額總體偏低。在“抖音案”中,原告主張賠償經濟損失35769元,精神損害撫慰金20000元,維權合理費用4231元,共計60000元。由于“雙方均未提供原告因個人信息權益受到侵害所遭受的財產損失或被告因此獲得利益的相關證據”,法院最終酌定賠償的數額僅為1000元,同時支持了公證費4231元。可以推測,賠償金額偏低的原因是損害的表現并不顯著。
? ? ? ?此外,除了財產損害賠償數額較低,個人信息侵權的精神損害賠償請求也較少得到法院支持。按照《民法典》第1183條第1款的規定,侵害自然人人身權益必須要造成嚴重精神損害,被侵權人才有權請求精神損害賠償。要求精神損害的程度達到“嚴重”,其原因在于非物質性損害本身就具有一定的伸縮性,如果損害認定過于寬泛則可能導致侵權行為認定泛濫。而堅持“嚴重”的標準,對原告而言具有較高的證明成本。前述“龐某案”“申某案”“抖音案”中,原告提出了精神損害撫慰金的請求,但均未獲得法院支持。
? ? ? ?相較于《民法典》,《個人信息保護法》第69條對個人信息侵權責任的規定有進步之處:一是明確了損害賠償的范圍不再限定于財產損失;二是取消了50萬元的賠償限額。但這一調整依然沒有解決個人信息侵權損害的不確定性問題,責任設定動輒得咎的兩難局面未得到化解。一方面,即便非財產損失可賠,但若堅持傳統的損害認定方式,被侵權人也很難得到有效的司法救濟。另一方面,如通過向后延長因果關系鏈條來強化責任,則可能會出現責任分配上的不公,甚至導致個人信息保護領域出現濫訴。一個現實的擔憂是,《個人信息保護法》第50條規定個人信息處理者拒絕個人行使權利的請求的,個人可以依法向人民法院提起訴訟。在這種舉證責任較輕的案件中,當事人的訴訟可能給法院帶來過大壓力,甚至招致職業打假人的蜂擁而至。
? ? ? ?(三)私權保護路徑難以及時有效應對系統性侵權
? ? ? ?大數據時代的個人信息處理行為幾乎都是大規模、系統化進行,這導致個人信息侵權通常是一種規模性侵權。面對此類侵權,分散的個體訴訟往往只能就特定個案提出主張,無法撬動足夠的社會資源,實現整體性治理。同時,鑒于司法程序本身的特質,較為漫長的司法流程也難以形成及時、高效的社會控制。
? ? ? ?首先,私權保護路徑的個別性無法有效回應系統性的侵權問題。從理性人假設出發,只有提起訴訟的預期收益大于訴訟成本時,提起訴訟才是理性選擇。在個人信息侵權案件中,考慮到訴訟難度和訴訟回報,被侵權人提起訴訟的積極性通常較低。這會導向兩種結果:一是選擇接受并容忍侵權行為,“對違規行為完全麻木,認為違規行為是進入市場的實際必然”,從而陷入所謂的“數據泄露疲勞”當中(data breach fatigue);二是抱持“搭便車”的心態等待觀望其他受害者率先提起訴訟,其結果往往是出現“集體行動的困境”。
? ? ? ?部分案件中,即便有被侵權人提起訴訟,個人信息處理者也更傾向于以非正式的方式解決,如支付相應費用、促成調解和解等。此種情況下,被侵權者的權益看似得到了部分實現,但普遍和持續性的侵害依然可能發生,客觀法秩序并未得到維護。對大型互聯網平臺而言,即便在個案中付出了較高額的和解或賠償費用,也難以對其經營策略構成實質性影響。
? ? ? ?其次,司法裁判本身的特質導致了其回應問題的遲滯。一方面,司法裁判重在事后課責,往往只能在損害已經發生、當事人提起訴訟之后啟動。對于尚未轉化為現實“損害”的風險而言,私法路徑的反應相對遲緩和被動,很可能造成損害結果的進一步擴大。另一方面,在司法程序啟動之后,由于受案量大、流程復雜、程序嚴格繁瑣、人力資源有限等因素,司法裁判的周期相對較長。這進一步遲滯了私法路徑對于嚴重社會問題的回應,導致社會整體治理層面的低效。目前,部分地方嘗試通過公益訴訟來彌補私法訴訟的個別化問題,《個人信息保護法》第70條也設計了公益訴訟條款。但從其他領域公益訴訟的推進情況來看,公益訴訟更多是作為一種補充性的法律實施機制而存在,同時公益訴訟也難以解決司法機制回應遲滯的問題。
? ? ? ?三、行政規制的法權基礎與比較優勢
? ? ? ?(一)作為法權基礎的基本權利國家保護義務
? ? ? ?私法保護路徑的主張者通常將個人信息權視為純粹的私權。但這種觀點忽略了個人信息保護作為數字經濟時代的基礎性議題,所展現出的跨越公私法的復雜屬性:其一,傳統民事關系中的私權是個人化的、確定的利益表達,基本不依賴于外部的公共關系。但個人信息利益的公共性極強,其交互、動態的屬性與私權相對確定、靜態的結構存在著先天沖突,將個人信息完全作為民事權利客體保護,會形成對民法既有概念體系的挑戰。其二,在當前的信息條件下,國家機關和商業主體都可能成為個人信息的處理者,但作為民事權利的個人信息權無法對抗國家,也無法調整國家與信息主體的關系。因為國家機構處理個人信息的正當性基礎是其法定職責,相應的行為規范、責任承擔都與私法關系存在本質區別。因此,個人信息權益絕不可能、也不應該僅僅是一種純粹的私權,必須從統合公私法的更高維度出發,在憲法層面尋求基礎。
? ? ? ?主張在憲法層面保護個人信息需要確定規范基礎。這其中面臨的最大問題是,個人信息保護涉及多種不同的問題和法益,很難用一項具體的權利進行概括和統合的表達。濫觴于德國的“個人信息自決權”試圖基于“人的尊嚴”,訴諸“自決”這一概念來統率個人信息保護涉及的各種法益,但由于其絕對化的立場和對信息流動的阻滯,受到了諸多批評。近來,有研究者提出了“個人信息受保護權”的概念,強調不以個人信息本身為權利客體,而是關注個人在信息處理過程中應當獲得的保護。通過對個人信息處理活動的法律控制,在不限制個人信息自由流動和利用的前提下,確保個人信息處理不逾越人格尊嚴的底線。相較于“個人信息自決權”,“個人信息受保護權”所建構的教義學體系應當是更加合理和可行的。
? ? ? ?然而需要注意的是,“個人信息受保護權”的理論主張者認為,個人信息保護的核心指向是“人格尊嚴”這一法益。之所以強調個人信息應受保護,旨在“讓每時每刻都在被‘處理’的信息主體在此過程中重拾主體地位,確保其個人信息以合乎人格尊嚴的方式被處理。”但實際上,個人信息保護所面對的是更為復雜的、棲身于不同憲法規范、彼此之間又存在高度關聯的多種法益。例如,對隱私信息的披露、對人格圖像的歪曲等可能涉及憲法第38條人格尊嚴條款;對通訊信息的侵犯可能涉及憲法第40條通信自由與通信秘密條款;對個人生物信息、位置信息的侵犯可能涉及憲法第37條人身自由條款。雖然上述法益似乎均可被納入到“人的主體地位”這一命題中,從而被“人格尊嚴”條款所涵攝,但這種簡單的論證很難與我國憲法的具體規范相契合。首當其沖的問題是,我國憲法中的“人格尊嚴”條款是否具備此種近似德國基本法上“人的尊嚴”條款的地位,尚有不小爭議。即便承認“人格尊嚴”條款的這種地位,當憲法中存在更加具體的權利和規范時,也應當以具體權利而非概括性權利作為保護基礎。
? ? ? ?這一點也得到了立法過程的印證。對于《個人信息保護法》三審時在第1條添加的“根據憲法”這一立法依據,立法機關給出的解釋是“我國憲法規定,國家尊重和保障人權,公民的人格尊嚴不受侵犯,公民的通信自由和通信秘密受法律保護。制定實施本法對于保障公民的人格尊嚴和其他權益具有重要意義。”從這一解釋中可以看出,個人信息保護除了涉及人格尊嚴外,還涉及其他基本權利。其中至少包含公民的通信自由和通信秘密。從這個角度上說,個人信息保護的憲法基礎并不僅是“人格尊嚴”條款或憲法的某一其他條款,而是包含多種法益的一個規范群。
? ? ? ?在憲法層面確立個人信息保護的法權基礎,至少具有以下兩方面功能:其一,基于基本權利的主觀權利屬性,確立國家的消極義務和公民的防御權,防止公權力機關違法或不當收集、處理相對人信息,侵害相對人信息權益。其二,基于基本權利的客觀價值秩序屬性,確立國家的積極義務,確保國家積極作為以促進個人基本權利的實現。一般而言,國家對基本權利的積極義務包括了給付義務、保護義務等多項內容。在個人信息保護領域,通常不需要國家提供給付,國家的積極義務主要表現為對個人信息的保護義務。需要注意的是,國家如何行使基本權利保護義務具有廣泛的形成空間,可依據基本權利的類型、受侵害的程度而采取不同的措施予以保護。也即基本權利的保護義務并不天然要求國家建立強有力的行政規制系統。之所以主張個人信息保護應當強化行政規制,是因為行政規制能夠更加理性、高效地實現個人信息保護目標,這也是基本權利保護義務中“功能適當”原則的體現。
? ? ? ?(二)行政規制在個人信息保護中的比較優勢
? ? ? ?1.專業和信息優勢
? ? ? ?“風險社會”的到來進一步強化了行政國家的建構。由國家設立專業的行政規制機構,通過各種工具來識別、評估、預防和控制風險已經成為普遍趨勢。專業規制機構所承擔的工作相對聚焦,日常任務相近,從業人員多具有相關專業知識背景或實踐經驗,與相關領域的專家聯系也更加緊密,“足以和真正的專家來交流,并確證出誰是更好的專家”。同時,行政機關還可以通過建立專門的技術崗位、設立專業技術機構、外聘技術專家等多種形式強化專業技術優勢。個人信息保護法本身就是為了回應數字技術發展進步帶來的挑戰而誕生,具有鮮明的技術化特征。尤其是在大數據時代,個人信息保護和信息利用之間的張力持續凸顯,規制主體不僅需要具備技術專長,還需要了解產業發展趨勢,從而在紛繁復雜的利益沖突中權衡規制措施的合理性,這些都對規制主體的專業能力提出了較高要求。
? ? ? ?相較而言,司法系統更擅長于解釋和運用法律,但并不具備專業技術上的認知優勢。技術問題并不是從“事實”到“法律”的推理,而可能涉及復雜的專業術語、模型和統計。美國法體系中對司法系統回應技術變化的能力也頗有微詞,波斯納將英美司法體系中的法官稱為“日益專業化的政府和社會中的最后一批通才”,并認為法院對于醫療事故、產品設計缺陷、藥品、專利等技術問題的回應通常不夠理想。從我國當前的司法實踐來看,在涉及復雜互聯網技術的個人信息保護案件中,不僅訴訟兩造需要通過聘請專家輔助人的方式來闡明意見,法院也需要借助專門的技術調查官來輔助審判,這雖然在一定程度上彌補了法官專業知識上的欠缺,但同時也使得訴訟成本大幅增加,影響了訴訟效率。
? ? ? ?與此同時,行政規制還具有明顯的信息優勢。一般認為,就社會問題的治理而言,私法路徑具有信息上的優勢,因為行政機關啟動正式調查程序、獲取相應信息需要付出一定的公共成本,同時還可能要面對被規制者規避規制、隱藏信息等問題。而在私法機制中,訴訟當事人距離信息源更近,也更愿意主動向法院提供信息,無需付出額外的公共成本。但這一判斷的前提條件是,被侵權人能夠清楚、準確地識別加害者,并獲取訴訟所需的信息。如果私人獲取信息的難度較高,尤其是一些信息的獲取可能需要運用超越私主體能力的強制性力量時,情況就有所不同。在個人信息保護法律關系中,面對大型互聯網平臺的封閉結構,信息主體獲取信息的難度極高,取證成本高昂。法院受限于其中立角色,也無法在所有案件中依職權全面調取證據。相反,行政機關可以基于法定的調查權主動獲取相應信息,在收集、分析、研判信息上比司法機關具有更大的優勢。
? ? ? ?2.預防和處理系統性侵權的效率優勢
? ? ? ?選擇基于行政規制體系來實現事前事中的過程性控制,抑或是選擇經由司法裁判的事后威懾來實現公共治理的目的,需要考慮事后威懾的有效性和可能發生的損害之特點。如果違法行為可能導致即刻且不可逆轉的嚴重損害,事后威懾的效果又較為有限,則應當強化行政規制,以充分發揮行政規制在風險防范上的效率優勢。這也是為何絕大多數國家要在食品、藥品領域建立與一般消費品不同的強監管機制的原因。
? ? ? ?在個人信息保護領域,通過司法裁判提供救濟的方式效率較低,難以及時有效制止系統性侵權。但個人信息侵權在短時間內就可造成極大影響,且事后難以實現有效補救。如對敏感信息的泄露或濫用可能導致當事人的人格利益嚴重受損,在互聯網時代的傳播條件下,相關信息很容易二次擴散,造成不可逆轉的長期損害。
? ? ? ?面對此類問題,行政規制具有顯著優勢。首先,行政規制系統并非是由于特定損害發生才被激活,而是處于持續運行狀態。行政規制機關無需依托特定主體的請求啟動程序,也不需要等待風險的具象化,而是可基于對風險的自主研判而及時啟動相應程序。其次,行政規制機關能夠以發布一般性規則的方式對同類問題進行整體規制,發揮“規模優勢”,以解決私法訴訟“一事一議”可能存在的低效問題。
? ? ? ?3.形塑一般性規則的功能優勢
? ? ? ?大數據時代,對個人信息的利用多為集合性利用,其所引發的侵權并非是多個分散私權的簡單疊加,而可能存在公共面向。長期未得到有效治理的個人信息侵權完全有可能超出私人利益范疇,形成一種系統性的社會風險。“對個人信息權利侵犯嚴重到一定程度時,就構成了對公共秩序的違反。”這反映出,個人信息保護法律制度的設計除了解決個案爭議之外,也需要一般性地塑造良好行業規則,解決社會共性問題。
? ? ? ?私權保護路徑的被動性決定了其通常只能圍繞爭訟個案,就原告的訴訟請求進行裁判,難以積極地塑造個人信息保護規則,為企業和消費者提供更加明確的行為指引。例如,在“微信讀書案”中,針對原告提出的讀書軟件中與微信好友的互動是否應當默認關閉這一問題,法院明確提出,從該案的證據來看,騰訊公司并未違反法律的規定。至于何種規則才是更加合理的,“司法不宜超過個案訴爭范圍過度干預。”事實上,個人信息保護作為數字時代的基礎性問題,具有復雜的經濟社會面向,這意味著治理措施需要廣泛考慮經濟社會發展情況、行業特點和社會訴求,立足個案卻又能夠超越個案設定一般性的規則。在這方面,行政機關具有更為寬泛的法政策形成空間,而法院通常受限于特定個案的事實,難以進行更廣泛和全面的考量。
? ? ? ?從個人信息保護立法的特點來看,由于需要對技術變化和產業發展保持可容納性,數字經濟領域的立法通常帶有較多的原則性規范,其有效實施有賴于進一步的解釋。例如,荷蘭個人信息保護實踐中大量的行業規則就是出于澄清其《數據保護法》的原則性規定,增加法律的確定性而出臺。我國《網絡安全法》和《個人信息保護法》也在一定程度上體現出這一特征。在司法裁判中,法官對法律負責,不存在科層制的命令系統,不同司法判決在對待同類事項時可能存在差異。而由統一的行政規制機關來執行規則,可以形成相對確定的解釋方案,提高法律規則的明確性,這對于數字經濟行業的發展尤為重要。
? ? ? ?(三)行政規制的局限與公私法的調和
? ? ? ?行政規制雖然在處理特定問題上存在優勢,但也并非毫無瑕疵。一般來說,相較于私人訴訟,行政規制可能存在不經濟、過度干預市場、被俘獲、誘發權力尋租等問題。就個人信息保護而言,行政規制的局限主要體現在成本、靈活性和救濟效果三個方面。
? ? ? ?首先,在成本方面,開展有效的行政規制必須依托強有力的規制機關和執法隊伍,這需要組織、人員層面的大量投入。行政機關的日常監管、調查取證、集體討論、作出決定等執法程序也將耗費大量的公共資源,而這些都必須由公共財政予以保障。當前我國已經開展的個人信息保護行政執法更多是以“專項整治”的運動方式開展。在媒體和公眾的高度關注下,執法機關將個人信息保護問題視作執法議程中的重點,在短時間內調動了大量資源。但當執法常態化后,如何保證監管資源的有效供給和高效利用就成為必須要面對的話題。
? ? ? ?其次,在靈活性上,行政規制要求基于統一的規則形成相對穩定的執法實踐。這雖然可以提供穩定、可預期的規制環境,但卻可能難以妥當處理特殊個案。同時,在技術變革較快的互聯網領域,規則的僵化可能影響其容納新事物發展變化的能力,損及治理的靈活性。這帶來了行政規制的一個困境:如果法規范過于原則,則解釋和執行成本過高;如果法規范過于具體,則難以適應特殊個案和技術的發展變化。當前我國個人信息保護行政執法中,非強制性的個人信息保護標準發揮了極大作用,其中一個核心原因即是由于制定法規范過于原則,不得不依托技術標準實現具體化。個人信息保護的技術標準在這一意義上也已經超出了其“技術”屬性,而發揮了解釋法律的功能,承擔了連接制定法和行政裁量權的作用。
? ? ? ?此外,行政規制也無法為受到損害的當事人提供物質上的救濟。行政法律責任中所涉及的高額罰金需要上繳國庫,而不能用于填平和彌補當事人所受損害。盡管部分立法曾規定由執法機關責令退還違法所得、賠償當事人的制度,但學界一般認為,責令退賠制度“不僅致使案件處置環節煩瑣,案件辦理期限變長,影響執法效率,增大執法成本,而且在保護廣大消費者、其他經營者合法利益的功能上也并不理想。”《個人信息保護法》中也并未規定類似機制。
? ? ? ?在上述問題上,私法訴訟機制恰恰是具有優勢的。成本方面,在私主體發起的訴訟中,私人承擔了收集證據、出庭應訴等一系列工作,實現社會目標的成本被分攤到了各個私主體頭上,除消耗部分司法資源外,并未增加額外的公共成本。在靈活性方面,私法機制可根據技術發展的最新變化和個案情況,經由訴訟兩造的對抗來實現更為靈活的權衡。在救濟方面,盡管實際效果不盡如人意,但侵權訴訟終究能夠為受害者提供一定的撫慰。因此,盡管私法機制存在多方面的局限,但其作用也是極為重要和不可替代的。
? ? ? ?綜上,在個人信息保護領域強化行政規制,并非是要由行政規制全面代替私法機制,而是應當著眼于二者的制度特點,推進二者的協調和互補:行政監管機制應當更多關注系統性、規模性、普遍性、高風險的個人信息保護問題,例如大規模信息泄露、普遍發生的人臉識別濫用等,以提高執法的針對性。私法訴訟機制則應當側重關注具體性、個別性的個人信息保護問題,就公共性較低、排他性權利特征較強的問題進行處理。在《個人信息保護法》落地實施的過程中,二者的銜接和配套機制還需要進一步完善。
? ? ? ?四、個人信息保護行政規制路徑的完善
? ? ? ?從比較法經驗來看,行政規制始終是個人信息保護的重要機制。《個人信息保護法》實施過程中,一方面應當正確評估行政規制的功能與作用,處理好行政規制和私法救濟的關系;另一方面也應結合我國實際情況,進一步優化行政規制的制度設計,提升規制質量。
? ? ? ?(一)明確個人信息保護的行政規制體制
? ? ? ?基本權利的國家保護義務要求國家為基本權利的實現提供組織上的保障,而行政規制組織的建立首先要解決體制設計和職權分配問題。我國相關立法對個人信息保護執法體制的規定一直不夠明確,引發較大爭議。2012年《全國人民代表大會常務委員會關于加強網絡信息保護的決定》僅在第10條明確“有關主管部門應當在各自職權范圍內依法履行職責”,而沒有明確具體的規制主體。《網絡安全法》雖被視為網絡安全領域的基礎性立法,但也只是沿襲《決定》的立法策略,規定由“有關主管部門”實施監管。從體系解釋的角度出發,按照《網絡安全法》第8條規定的網絡安全事務管理體制,網信部門、電信部門、公安部門以及“其他有關機關”都可能基于各自職責而享有監管權,但上述各機關之間的權限如何分配、關系如何調處,“其他有關機關”的范疇為何,均不清晰。由于規范意旨含混,實踐中權責交叉、執法沖突的現象較為常見。學術界對這種分散執法的機制提出了較多批評,指出目前個人信息的執法體制呈現“九龍治水”的分散狀態,這可能導致執法責任邊界不清,出現推卸責任的后果。
? ? ? ?《個人信息保護法》第60條在確立國家網信部門“統籌協調”地位的基礎上,沿用了各部門“依照本法和有關法律、行政法規的規定,在各自職責范圍內負責個人信息保護和監督管理工作”的立法模式,同時在第62條規定了由國家網信部門統籌協調的具體事項。相較于舊有立法,《個人信息保護法》的規定有兩個進步之處:一是明確了國家網信部門“統籌協調”的地位,凸顯其在個人信息保護執法中的特殊性;二是在第62條規定了由國家網信部門統籌協調有關部門制定個人信息保護具體規則、標準,這有利于解決個人信息保護規則“政出多門”的問題。但是,該規定依然未能解決執法權歸屬的爭議:其一,國家網信部門的地位為“統籌協調”而非“統一負責”,但何為“統籌協調”仍然具有較大的解釋空間;其二,按照《個人信息保護法》第60條的規定,除《個人信息保護法》外,“有關法律、行政法規”也可賦予相關部門監管職責,但這種由具體領域的行為法來確定法定職責的形式可能導致職責過于分散。同時,各具體領域的立法多由行業主管部門起草,難免帶有部門主義色彩,從而導致執法權的沖突。
? ? ? ?面對上述問題,學界多主張進一步建立集中、統一的規制體制,以獨立的個人信息保護機構來強化執法的公正、權威和獨立性。部分研究者提出應由“更具獨立性和全局視野”的網信部門集中統一執法。參見張新寶:《我國個人信息保護法立法主要矛盾研討》,載《吉林大學社會科學學報》2018年第5期,第51頁。從近年來的實踐來看,網信部門依托《網絡安全法》等法律法規賦予的權限,深度參與了互聯網治理規則的塑造,形成了一定的執法威懾力。從滿足規制機關應當具備的權威性、專業性等要求來看,網信部門確實是較為適當的選擇。
? ? ? ?然而,由網信部門集中統一行使執法權存在著三方面的障礙。第一,網信部門的組織法地位尚不清晰。盡管《網絡安全法》和《個人信息保護法》都采用了“網信部門”的概念,但對于各級網信辦是否屬于政府組成部門還存在不同看法,這導致網信部門的實際權力不清,可問責性不明。第二,網信部門的法定任務繁多,執法資源和執法能力有限,在當前各行業各領域均涉及個人信息保護問題的情況下,由網信部門集中執法可能超出其實際執法能力。有觀點就指出,“網絡行政管理機關事務繁多,需要負責網絡安全的各個方面,在資源有限的情況下,行政機關往往側重于國家和社會重大安全網絡事件的監管,而相對次要的個人信息保護則容易疏于監管。”第三,金融、醫療健康等各個具體領域的個人信息保護問題存在一定差異性,作為互聯網綜合管理機構的網信部門難以全面掌握各行業的特性,并基于此制定更為精明的監管方案。
? ? ? ?從這個角度來看,《個人信息保護法》之所以仍然沿用了一直被詬病的“各部門在各自職責范圍內負責個人信息保護和監督管理工作”這一立法模式,或許是現實條件制約下一種“不得不”的選擇。在《個人信息保護法》未來實施的過程中,需要進一步解釋和細化第61條、第62條和第63條的規范要求,在兼顧執法統一性和靈活性的前提下,明確網信部門和其他各部門執法權限劃分。具體而言,應由網信部門負責牽頭制定個人信息保護領域的基礎性規則和通用標準,確立個人信息保護行政執法的基本制度;其他各部門可依據《個人信息保護法》第61條和其他單行法律、行政法規的規定,結合本行業內的具體情況,開展各具體領域的行政執法工作。網信部門可為各部門的行政執法提供指導支持,并保留兜底性的執法權。對于可能出現的執法沖突,應由國家網信部門統籌協調,通過建立部門聯席會議、推進聯合執法等機制解決。
? ? ? ?(二)構建多元化的行政規制機制
? ? ? ?對于個人信息保護的公法路徑,曾經存在著一種片面認知,即公法保護必然導致嚴格的事前審批,從而對產業發展形成窒礙。這實際上是對行政規制的誤解。現代行政規制理論的發展已經提供了豐富的規制工具,個人信息保護的行政規制機制必然是多元化和綜合性的。
? ? ? ?其一,規制主體可采用傳統的行政執法模式,即以行政處罰為代表的“命令—控制”式規制系統。《個人信息保護法》第66條參照域外經驗,大幅提高了嚴重違法行為的罰款上限。從理論上說,高額處罰有其必要性,因為當處罰數額少于違法所得的利益時,很難產生足夠的威懾功能。但是,對裁量權的控制同樣是設定罰款數額時應當考慮的因素。《個人信息保護法》對情節嚴重的違法行為采用了區間數值式和區間倍率式并用的處罰方式,設定了“五千萬元以下”或“上一年度營業額百分之五以下”的罰款額度,但卻并未明確在何種情況下適用前者,何種情況下適用后者,失之于籠統。未來還需要進一步細化“情節嚴重”的要件解釋,如違法者的主觀狀態、違法行為的性質、危害后果等;同時還應進一步明確選擇適用“五千萬元以下”或“上一年度營業額百分之五”標準的條件。此外,由于互聯網平臺多為股權結構復雜的集團化企業,在適用“上一年度營業額百分之五”標準時,需要準確認定被處罰對象。
? ? ? ?其二,個人信息保護應當充分重視自我規制的展開。行政法上的“自我規制”在廣義上既包括團體的自我規制(group self-regulation),也包括個體的自我規制(individual self-regulation)。團體的自我規制主要指行業協會自治或多個企業間的聯合規制,如通過制定實施行業標準、通用規范等實現行業內部的普遍秩序。個體自我規制是指私人主體基于社會責任、市場聲譽、競爭力等多方因素的考量,自主規范和約束其行為。自我規制是美國個人信息保護法律制度的突出特征,其對于降低規制成本、提高規制的系統性發揮著重要作用。我國個人信息保護領域也存在著大量的自我規制實踐:由相關企業參與制定的推薦性標準發揮著重要作用,企業隱私政策也是重要的個人信息保護機制。《個人信息保護法》的實施需要更加重視行政規制與自我規制的結合。一方面,要更好發揮自我規制的自主性優勢,如充分發揮推薦性標準、行業良好實踐等行業自律性規范的作用,重視和尊重市場主體“由下而上”的規則提煉;另一方面也要強化對自我規制的“再規制”,如對隱私政策的制定和執行進行適當的監督等。
? ? ? ?其三,個人信息保護可將“內部管理型規制”作為重要抓手,通過綜合性的激勵手段,培養信息處理者的內部治理機制。內部管理型規制的重點在于要求企業針對行政目標,制定適合自身的內部經營計劃、管理流程及決策規則,從而將社會價值內部化,其本質是通過整肅和控制組織內部的管理制度,來增強企業的合規遵從。考慮到個人信息侵權的隱蔽性、系統性、結果風險化等特征,個人信息保護必須重視對信息處理過程的管控,尤其應當重視對大型互聯網平臺企業內部的治理結構、管理流程進行規制,從而防范信息處理中的風險、營造數字經濟中的組織信任環境。《個人信息保護法》第52條所設計的個人信息保護負責人制度和第58規定的大型互聯網平臺的特殊義務均體現了內部管理型規制的思路。但需要注意的是,內部管理型規制實際上是行政權對企業內部治理的介入,在實質上構成對企業經營自主權的限制,故而在進行制度設計時需要更加妥善地處理各種利益之間的沖突。如《個人信息保護法》第58條規定,大型互聯網平臺應當成立主要由外部成員組成的獨立機構對個人信息保護情況進行監督,這存在著外部監督與商業秘密保護之間的張力,需要通過精細的配套機制來化解。
? ? ? ?其四,個人信息保護可引入第三方認證等市場化的規制機制。第三方認證是指由獨立于被規制者的第三方機構通過調查、取證、檢驗等程序,對被規制者的合規情況進行評價,以促進合規遵從的活動。在市場規模較大、需要開展專業化的檢驗檢測工作的領域,行政監管通常難以實現全面、有效的覆蓋。借助第三方的審核、認證,一方面可以充分利用私人組織的專業和資源優勢,另一方面也能夠降低政府的成本,將監管投入從分散的市場主體轉移到相對集中的第三方認證機構之上。OECD改進規制效率的報告就曾指出,各國政府應當投入資源,通過信息披露、認證機制、評級機制等強化規制遵從。只要能夠確保可信度,此類措施能夠對經營者形成守法激勵,推動市場整體合規程度的提高。
? ? ? ?《個人信息保護法》第62條規定了國家網信部門有權統籌協調有關部門“支持有關機構開展個人信息保護評估、認證服務”,但對于個人信息保護評估、認證的法律效力及其開展方式未作具體規定。通常來說,第三方認證通常可分為強制性認證和自愿性認證兩種。個人信息保護領域的認證應當以自愿認證為原則,由市場主體自愿申請,對其信息處理行為的合規性進行認證。認證結果可以作為企業個人信息保護的合規依據,證明企業的個人信息保護政策符合法律規定,從而增進消費者對企業的信任度。規制主體也可采信部分認證成果,將其作為分配執法資源、開展調查的依據,但認證結果不具備在特定個案中證明企業特定行為合規的效力。
? ? ? ?結語:邁向合作的個人信息保護
? ? ? ?本文前述論證旨在說明,以侵權訴訟為核心的私法機制在解決個人信息保護問題上存在局限,個人信息保護必須重視以行政規制為代表的公法機制。行政規制機關的介入能夠有效緩解信息處理者與信息主體力量失衡的局面,從而實現有效治理。當然,政府亦會“失靈”。尤其是受執法資源、執法意愿等一系列因素的影響,過度依賴行政規制也未必能夠取得良好的效果。理想的個人信息保護模式一定是一個融貫公私法,調和行政規制與民事訴訟乃至刑事責任的綜合性法律框架。在行政規制的內部,也必須實現行政監管、第三方監管、行業自我規制的有效融通。面對復雜的個人信息保護問題,不斷強化跨部門、跨領域的法律合作,才能找到最適當的回應方案。
(部分內容來源網絡,如有侵權請聯系刪除)
