个人信息保护行政监管经验与启示

摘要:要成员国、美国、日本、韩国和我国港澳台地区都已经建立了较为完备的个人信息保护监管体系．面对新兴科技的法律挑战与错综复杂的利益平衡需求，我国应当充分借鉴比较法上的有益经验，重点从主体、目标、措施和程序4个方面入手，积极探索建立个人信息保护的行政监管制度，从而形成对个人信息的全面保护．

关键词:个人信息保护；行政监管；立法趋势；域外经验；监管体系

在现代社会中，个人信息保护事关公民的基本权利和人格尊严，同时也与经济社会发展、公共利益和国家安全存在着紧密的联系：从个人的角度而言，个人信息是自然人的基本识别要素；对于经济和社会发展而言，信息的有效利用是现代经济的重要基础；在国家的层面，国民的个人信息属于重要的战略资源．事实上，为了对内协调个人尊严与经济社会发展、对外维护民族独立及国家安全，欧盟、美国、日本、韩国以及我国港澳台地区已经成立了相应的个人信息保护监管机构，相关法律也对个人信息保护监管进行了明确的规定．对这些国家和地区个人信息保护监管的立法和实践进行系统考察，能够为我国个人信息保护监管体系的完善提供有益的借鉴．

1欧盟的个人信息保护监管

早在1995年《欧盟数据保护与流通指令》（简称《指令》）中，欧盟即要求各成员国成立公共机构来确保《指令》的适用．为了正确地履行保护人们的数据权利和促进数据流通的职能，这些监管机构（supervisoryauthorities）应当独立存在，并有权实施包括进行调查、干预以及介入诉讼等方式在内的行政监管措施（参见《指令》第28条）．在《指令》的要求下，欧盟还建立了咨询机构（第29条）和专门委员会（第31条），为保护个人数据和制定法律文件等事项提供意见［1］．2018年5月25日正式实施的《欧盟一般数据保护条例》（简称GDPR），被誉为“史上最严格的数据保护法案”．除了实现个人信息统一立法、确立广泛的数据权利（比如增加“擦除权?被遗忘权”和“数据可携带权”等）外，GDPR所推行的对个人信息保护的强力监管也颇为引人注目：1）根据“企业—成员国—欧盟”的不同层级，建立全覆盖、多层次的监管体系［2］．在成员国内非政府机构（主要是企业）的层面，GDPR要求在其内部设立数据保护专员（dataprotectionofficer）．其次，在欧盟成员国层面，GDPR要求设立相应的监管机构来对政府领域与非政府领域的个人信息保护进行监管（第51条）．最后，在欧盟的整体层面，除了进行个人信息保护全局的协调和领导外，欧盟数据保护委员会（EDPB）还负责对非政府领域的个人信息保护进行监管［3］．2）细化对监管机构独立性的具体要求．在欧盟各成员国中成立的监管机构必须具备完全的独立性（completeindependence）．按照GDPR第52条的规定，监管机构不受到来自其他组织和个人的影响（外部干预），同时也在成员、技术、资金、基础设施和财政预算等方面享有独立性保障（内部设置）．3）明确监管机构的监管目标和职责范围．根据GDPR的规定，监管机构的主要目标在于确保GDPR的实施（第57条）．在发生个人信息泄露时，数据控制者应当在72h内无不当延迟地通知监管机构（第33条）．针对违反个人信息保护规定的行为，监管机构享有广泛的调查、纠正处理与提出改进建议的权力，在必要时可以引入司法救济（第58条）．如果数据控制者或处理者存在严重违规行为，监管机构有权处以2000万欧元或其前一财年全球收入4％（取其高者）的罚款（第83条）．4）根据数据处理风险等级的不同，实行差异化监管．GDPR没有采用“一刀切”式的监管模式，而是根据信息处理引发损害风险的大小进行差异化的监管（第32条）［4］．尤其是对于那些可能引发高风险的行为，数据控制者和处理者将负担更重的义务，这些义务包括事先进行信息保护评估（第35条），在发生个人信息泄露后及时通知监管机构（第33条），并与数据主体取得联系（第34条）．在欧盟范围来看，尽管在名称和监管模式上存在些许差异，但多数成员国都已经建立了本国的个人信息保护监管机构［5］．英国、德国和法国的情况也大致相同：即便已经启动“脱欧”程序，个人信息保护仍被视为英国面临的重要议题．根据2017年《英国数据保护法案》，作为监管机构的信息专员办公室（InformationCommissionersOffice）将继续保持其独立性，并获得更大权力来处理投诉、进行调查、罚款和刑事制裁［6］．在德国，根据2015年修订的《联邦数据保护法》，国家数据保护监督机关（DataProtectionAuthorities）负责监督和确保个人数据保护条款的执行，可以在监管目的之范围内对数据进行加工、使用或传输．对于违反数据保护的行为，监管机构可以告知数据主体报告或通知行业监督机构采取措施［7］．在法国，个人信息和数据保护的监管机构为国家信息与自由委员会（CNIL）．为了协调法国数据保护法与GDPR，法国政府与2018年12月12日以条例的形式通过了新的《法国数据保护法》．在所有欧盟国家中，法国对于个人信息的保护最为严厉．2019年1月22日，CNIL对谷歌处以5000万欧元的罚款，原因是它没有向用户正确披露如何通过其搜索引擎、谷歌地图和YouTube等服务收集数据，以展示个性化广告［8］．此外，法国刑法还规定，若任何个人或者机构阻碍CNIL的执法活动，其将会面临1年的监禁和最高1．5万欧元的罚款．值得注意的是，GDPR已经正式生效，由于它是可以产生“直接效力”的欧盟法规，所有欧盟成员国都必须适用GDPR的规定．

2美国的隐私和个人信息保护监管

面对大数据时代的隐私和个人信息保护问题，美国近年来陆续出台了《白宫大数据白皮书》（TheWhiteHouseBigDataReport）和《消费者隐私权利法案》（ConsumerPrivacyBillofRights）等，以提高个人信息保护水平．对照来看，与欧盟采取严格监管来实现事先预防的做法不同，美国更加强调个人信息的利用自由与事后救济［9］，其个人信息保护监管具备自己的特点．美国将隐私权作为个人信息保护的基础，力图平衡信息利用和权利保护之间的关系，落实市场主导和减少政府干预的原则，对事先立法和行政监管并不十分依赖．从20世纪80年代起，美国政府根据不同行业的特点而单独进行立法（主要集中在金融和通信领域），扩大了法律规制的范围．为了避免更为严格的法律规定阻碍信息经济的未来发展，信息产业界及相关的从业者主动选择明确规范自己在信息收集、储存、利用和传播等方面的权利和义务，以及制定相关的个人信息保护政策（隐私权政策）［10］．在此背景下，美国网络信息行业陆续出台以“建议性行业指引”（SuggestiveIndustryGuidelines）和“网络隐私认证计划”（OnlinePrivacySealProgram）为主要表现形式的行业自律规范，逐渐形成了以行业规制和企业自我管理为核心的“行业自律机制”［11］．迄今为止，美国尚未形成综合性的个人信息保护法典或法律，也没有统一的监管机构和执法机构．相关的联邦立法仅规定了各领域或行业的主管机关，由其负责监督和管理本行业内个人信息（隐私）保护的实施情况：在一般商业领域，通过不断扩展《联邦贸易委员会法》（FTA）第5条“不公正或欺骗商业行为”规定的适用范围，美国联邦贸易委员会（FTC）承担了大部分消费者个人信息保护的职能．在特殊商业领域，与征信和金融有关的个人信息保护监管通常由消费者金融保护局（CFFB）来负责，而关于通信和医疗的个人信息保护则分别由联邦通信委员会（FCC）与卫生和公共服务部（HHS）进行监管．在分散式监管立法的框架下，美国更加重视个人信息保护的执法实践，并采取了灵活多样的执法手段．以美国联邦贸易委员会为例，它不仅有权进行专项整改、删除非法获得的消费者信息、没收非法所得以及其他行政处罚，还致力于通过制定规则、指南与举办培训班（workshops）等方式来实现对消费者个人信息的严格保护．对于违反《儿童网络隐私保护法》（ChildrensOnlinePrivacyProtectionAct）、《公平信用报告法》（FairCreditReportingAct）和《电话销售规则》（Telemarket－ingSalesRule）等制定法的行为，FTC也可以进行罚款．有学者指出，联邦贸易委员会的执法实践不仅直接对消费者的个人信息提供保护，还间接地塑造了美国的隐私法律制度［12］．截至2018年底，FTC已经处理了数千起关于个人隐私和数据安全的案子，保护了上亿消费者的个人信息权利［13］．

3日本和韩国的个人信息保护监管

在日本，《个人信息保护法》（2015年修正）是目前公共部门和私人领域内个人信息保护的总原则［14］．之前由中央主管大臣对各自领域负责的个人信息保护职权，统一收归于由内阁总理大臣直接管辖的“个人信息保护委员会”．该委员会下设事务局和临时的专门委员会，分别负责日常事务的执行和特别事项的调查［15］．此外，委员会成员在任期内不得参加其他政党或政治团体，不得参与政治运动，不得从事营利性活动，以保证委员会不受其他组织和个人干涉的独立性．个人信息保护委员会有权要求数据处理从业者提交报告或资料，进行抽查（第15和16条），针对违法行为还可以进行处罚．截至2017年5月30日（日本《个人信息保护法》施行日），个人信息保护委员会不仅完成了组建，还协同金融厅和厚生劳动省等其他机关，针对金融和医疗等特殊行业了旨在强化个人信息保护的指南等具体规则［16］．2011年，韩国出台了《个人信息保护法》，标志着韩国放弃了原来的个人信息二元化保护模式，从而将个人信息保护的范围扩展到公共机关和私人部门［17］．在此之前，韩国内政部（行政安全部）是事实上个人信息保护的监管机构．根据《韩国个人信息保护法》的规定，新设立的个人信息保护委员会作为个人信息保护监管的专责机关，其行政层级由对内阁负责提升为直接隶属于总统的独立部门，主要职责包括统筹个人信息保护政策、制定个人信息保护基本计划和实施方案以及对有关个人信息保护的事项提出意见或建议［18］．

4我国港澳台地区的个人信息保护监管

在我国香港地区，根据《个人资料（私隐）条例》（简称《私隐条例》）的规定，个人资料私隐专员（PrivacyCommissionerforPersonalData）负责《私隐条例》的实施和个人资料的保障，是一个永久和独立的职位（第5条），在没有获得行政长官批准的情况下，不得担任其他职务（第6条）．根据《私隐条例》第8条的规定，私隐专员享有以下权力：1）根据投诉或主动进行调查，协助受害人获得赔偿；2）对条例的遵守情况进行监察和监管；3）检查公私部门的个人信息处理系统；4）制定相关的实务守则；5）审核可能对个人资料造成影响的法例；6）进行推广和宣传，促进社会参与；7）与其他机构进行合作．此外，根据官方网站的说明，个人资料私隐专员公署还紧贴科技发展，密切关注国际发展趋势与香港地区的社会期望，对个人资料的保护需求作出及时和有效的回应［19］．在我国澳门地区，按《个人资料保护法》（2005年制定）第28条和《民法典》第79条的规定，监察个人资料的收集、储存与使用的主管机构为“公共当局”．不过，由于这样的规定过于模糊，澳门特区政府在2007年设立了个人资料保护办公室作为专责的监管机构．根据澳门特区政府第83?2007号行政长官批示，个人资料保护办公室在行政长官监督下独立运作，负责监察、协调对《个人资料保护法》的遵守和执行，其基本职责范围包括：1）监督法律执行；2）制定保密制度；3）处理投诉；4）进行宣传教育；5）进行理论问题的分析研究．此外，按照《个人资料保护法》的规定，个人资料的自动化处理、特定情形下敏感信息的处理、跨境信息流通以及基于统计、科学研究等目的对个人资料进行的处理需要通知主管机关或取得主管机关的许可（第21～23条）．这些要求在一定程度上体现了政府介入，因而也被认为是属于行政监管的内容．根据我国台湾地区“个人资料保护法”（2015年修正）第22条和第25条的规定，“中央目的事业主管机关”或“直辖市、县（市）政府”为个人资料保护的监管机构，具备进入（固定场所）检查、要求配合（比如命令相关人员进行必要的说明或提供相关证明资料）、处以罚款、对个人资料进行处分（比如禁止搜集、处理或利用个人资料、命令删除经处理之个人资料档案、没收或命令销毁违法搜集之个人资料）以及公布违法情形及相对人的姓名或名称与负责人等职权（如表1所示）．

5对我国个人信息保护监管的启示

在大数据时代，个人信息的价值日益凸显，对个人信息的收集、储存、处理和传播缺乏有效的制度约束，尤其是市场领域中的个人信息侵害日益频发，已经发展为一般性的社会问题．究其原因，乃是在现代社会中几乎人人都被贴上了消费者的标签，而个人信息侵害亦大多发生于商业化利用的过程中，侵权行为人主要是拥有技术和经济优势的互联网企业和大数据公司等市场主体，处于相对弱势地位的受害人往往难以依靠自身力量获得赔偿．这意味着，只在水平层面上不断完善（自然人的）个人信息权利和（信息从业者的）个人信息保护义务是远远不够的，立法还应当在纵向层面上建立起合理和高效的行政监管制度，施加足够的外部压力促使个人信息保护制度内生性的转变，确保法律和行政法规关于权利保护、义务遵守和救济提供的规定能够落到实处．因此，在这个意义上，我国个人信息保护立法应及时转换思维，重视个人信息保护纵向行政监管体制的建立和完善，从而构建横向保护和纵向监管相结合的综合保护体系．笔者认为，我国个人信息保护监管制度的构建应当从主体、目标、措施和程序4个方面入手，以充分应对大数据技术和商业发展所带来的挑战：首先，建立统一和独立的监管机构．总结来看，域外的个人信息保护监管大致存在2种选择：一是采取欧盟式的统一监管，即统一立法、集中监管，建立个人信息保护监管的专责机关，并逐步强化监管机构的权力；二是采取美国式的分散监管，即分散立法、部门监管，由不同行业的主管部门负责各自领域中的个人信息保护监管，辅之以高度发达的行业准则．目前，在我国分散立法的背景下，相关的个人信息保护规定依附于不同的部门法，电信、网络、征信和邮政快递等行业都已经存在相应的主管机关，其监管实践更类似于美国模式．但是，从长远来看，建立统一和独立的监管主体是未来的发展趋势，它可以避免多头监管和不当干预的弊端，同时促进监管工作的统一领导与国际合作，从而有利于我国个人信息保护水平的进一步提高．其次，明确个人信息保护监管的基本目标．在个人信息成为一种重要社会资源的背景下，只有以表彰私权属性为基础，才能够在现实和未来的层面上对个人信息进行有效的规制和保护．《中华人民共和国民法总则》第111条确立了个人信息的权利保护模式．相应地，个人信息保护监管应当以“强化私权保护”为基本目标，以扭转我国长期以来重利用、轻保护的个人信息实践现状，促进尊敬个人信息权利保护和信息商业化利用齐头并进的优良商业环境的生成．再次，细化个人信息保护的监管措施．由于企业内部或信息行业规范的自觉发展尚不充分，信息（数据）控制者或处理者往往无视法律法规而实施侵害个人信息的行为．与此同时，行业自律机制同样也离不开行政监管的外部压力．在这个意义上，行政监管需要而且应当包括行之有效的具体措施，以全方位地覆盖个人信息保护的不同阶段，具体而言，包括严格事前防范，加强事中监督，进行事后的追踪观察，建立和完善信息处理风险评估制度、完善监督检查措施、健全调查处理制度、明确行政处罚的种类、重视政策制定和法规宣传等在内的制度和措施．最后，协调不同保护程序之间的关系．在现代信息社会中，侵害个人信息的行为日益呈现出技术性和突发性的特点，由于受害人本身的能力和精力等方面的限制，私力救济的适用空间被不断压缩，而以行政监管与司法救济为代表的公力救济手段获得了较大的发展．在未来的个人信息保护立法中，应当着力处理好不同保护程序之间的关系，协调个人信息保护监管与行政申诉、民事诉讼、行政处罚和刑事处罚之间的关系，并明确因同一行为承担不同责任时的处理规则．

作者:邓辉 单位:北京大学法学院