个人信息保护法中的行政监管有鲜明特点:一方面将监管者本身纳入监管,行政机关构成个人信息处理关系中的一方主体,具有法律适用的特殊性。另一方面,个人信息保护法既设置传统的个案式监管,实现执法监督与法律责任追究;也强调监管者的规制决策权和规制工具的多元性,体现监管模式的创新。
引言
这其中,以行政监管为视角进行行政法规范的梳理具有重要意义。
这一方面是因为,立法前期围绕着个人信息保护究竟应该采取“私法路径”还是“公法路径”的争论,已经明确被“公私协力、合作共治”的立法格局所采纳,政府作为“监管者”的角色在个人信息保护领域十分突出;但另一方面,与传统“监管法”的立法模式相比,《个人信息保护法》作为个人信息保护的一般法,带有一种“领域立法”的特质,这使政府在《个人信息保护法》中的法律地位,体现出与一般传统监管型立法的不同,面临着法律适用的特殊性。
厘清《个人信息保护法》中的政府监管,尤其是行政主体在《个人信息保护法》中可能涵盖的不同行政监管法律关系,从而有效应对未来可能的规范适用和纠纷解决,就显得较为迫切。
一、作为个人信息处理者的行政主体:将监管者纳入监管
《个人信息保护法》的特点之一,是监管者本身纳入监管。换言之,行政主体作为个人信息处理者,与自然人之间就个人信息处理所形成的法律关系(参见图1),纳入立法的调整范围。《个人信息保护法》第2条规定:“自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。”这里的“任何组织”,包含了国家公权力机关。
图1作为“个人信息处理者”的监管主体
(一)基本定位:确立“执法信息”的保护框架
理论上,个人信息保护的法律框架是否应当包含公权力机关在执法过程中的个人信息处理,存在争论。有学者认为,起源于“公平信息实践”(fairinformationpractice)的个人信息权利保护,应当专指“持续不平等信息关系”。
在数字时代,个人信息兼具个人与公共属性,不宜设定绝对性、排他性和无限性的“个人信息权”,因此,与传统隐私权“效力及于一切不特定的任何人”有所不同,个人信息保护不具有“对世权”。
只有把个人信息保护法的规范对象设定为具有专业性或商业性收集能力的主体,方能体现出法律对“持续不平等信息关系”进行特殊调整的必要性。由于公权力机关在执法中的个人信息处理,属于非持续性的信息关系,更加接近于传统“隐私侵权”中的个人与侵入者,只需要通过“合理预期”标准控制执法行为的合法性即可。因此,个人信息保护的法律框架应当排除“执法信息”。
不过,《个人信息保护法》并没有遵循这种限定。
从文本看,仿效《民法典》第111条中的“任何组织”没有排除国家公权力机关,《个人信息保护法》第2条中“任何组织、个人不得侵害自然人的个人信息权益”,也包括对公权力机关行使职权的限制。更为重要的是,《个人信息保护法》在第二章中,用专节的方式设置了“国家机关处理个人信息的特别规定”,区分出国家机关作为个人信息处理者时的特别规范。
(二)“告知同意规则”的适用及其例外
原则上,行政主体实施个人信息处理行为,需要遵守个人信息处理的一般规定。比如合法、正当、必要和诚信原则,公开、透明、禁止过度收集等原则。《个人信息保护法》中“个人在个人信息处理活动中的权利”和“个人信息处理者的义务”条款,同样适用于行政主体作为信息处理者时的法律关系。
当然,将监管者本身纳入监管,也存在特殊性。以《个人信息保护法》所确立的处理个人信息之核心基础的“告知同意规则”为例,便可见行政主体作为信息处理者时法律适用的特殊性。
《个人信息保护法》在第13条第1款第1项确立起“告知同意”的一般规则,但在第2款中排除了多项个人信息处理情境中“同意规则”的适用,这其中,便包含着行政主体作为信息处理者的情形。比如,为履行法定职责或者法定义务、为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需等情形,不需取得个人同意。
从立法形式论角度看,《个人信息保护法》第13条似乎有模糊“告知同意规则”作为核心规则的嫌疑,一方面它突破了《网络安全法》将“同意”作为处理个人信息唯一要件的限制,但另一方面又填补了《民法典》第1035条第1款例外规则的具体情形,确立起“告知同意”作为一般规则及其法定例外的规范结构。
不过,行政机关作为信息处理者适用“告知同意规则”,不仅需要结合例外条款,还要结合例外规则的特殊补充规则。按照《个人信息保护法》第35条的规定:“国家机关为履行法定职责处理个人信息,应当依照本法规定履行告知义务;有本法第十八条第一款规定的情形,或者告知将妨碍国家机关履行法定职责的除外。”
这样,以“告知”与“取得同意”两项具有独立法律效果的行为作为界分,行政主体作为个人信息处理者,便存在“告知+同意”、“告知+无须同意”和“无须告知+无须同意”三种可能的情形。
无须告知,即“告知之例外”。并且因为无须告知,也就无须取得同意,符合“无须告知+无须同意”的情形。结合第35条的规定看,适用“无须告知+无须同意”的情形主要有两类:一是援引第18条第1款的“法律、行政法规规定应当保密或者不需要告知”;二是“告知将妨碍国家机关履行法定职责”的情形。
这里,“法律、行政法规规定应当保密”并非指法律、行政法规规定国家机关对个人信息本身需要保密的情形,而是特指因保密需要所以不予告知个人信息被使用的情形。考虑到“告知将妨碍国家机关履行法定职责”在文义上具有较大的裁量空间,有必要比照“法律、行政法规规定应当保密”的严苛性,对此作限缩解释从而确保“告知之例外”适用的有限性。
无须同意,即“同意之例外”。由于《个人信息保护法》第35条第1句确立了一般性的告知义务,因此“同意之例外”意味着“告知+无须同意”的适用情形。《个人信息保护法》在第13条第2款排除同意规则适用的情形中,有多项符合行政机关职能行使的范畴,最典型的是“为履行法定职责所必需”。然而,《个人信息保护法》第13条所称的“履行法定职责”是否与第35条所称的“履行法定职责”完全同义,有待进一步验证。
从广义角度看,除非主体层面的超越职权,所有行政作用方式都可以视为履行法定职权的表现。这样,从广义角度解释第35条,有助于确立起一般意义上的“告知规则”。但第13条规定中的“履行法定职责”,则与其他行政作用方式并列在一起,有作为列举“同意之例外”具体情形的外观。对此,是否应该解释为“履行特定的、包含有个人信息处理的法定职责”,即对“履行法定职责”采取狭义解释,更有利于贯通“告知同意”在行政主体作为个人信息处理者时的适用规则,有待未来执法和司法的进一步明确。
当然,如果法律法规有特别规定需要获得自然人同意的,应当遵其规定。并且,无须个人同意的处理行为在强制性程度上也依据国家机关类型和职能差异体现出差别性。
(三)法律规范适用体系的特殊性
将监管者在监管过程中的信息处理行为纳入《个人信息保护法》的调整范围,有其必要性。我国已有不少立法特别规定行政主体在监管过程中对个人信息所承担的保护义务。可以预见,《个人信息保护法》颁布之后,个人信息保护也将成为监管部门履行法定职责的合法性焦点之一。
为此,《个人信息保护法》第34条规定的“国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度”,便是专门为“监管者纳入监管”所创设的特殊规则。
二、作为“规制者”的行政主体:决策型监管
从狭义的行政监管角度看,它们赋予了行政主体在个人信息保护领域进行决策型监管的职能。
图2作为“规制者”的监管主体
(一)作为监管者的职能主体建构
《个人信息保护法》的重要目标之一,是要明确个人信息保护的履职部门,解决行政规制系统所必需的体制设计和职权分配问题。
目前,《个人信息保护法》多主体的监管架构已经确立:一方面,国家网信部门对个人信息保护有统筹协调和监督管理的职能;另一方面,国务院有关部门、县级以上地方人民政府有关部门,在相应的职责范围内也负有监管职能。
这种监管职能建构的立法模式可能依然会存在争议,但也确实有其现实基础。信息化本身是一场“治理的革命”,将引发整个政府的业务流程再造和组织机构重组。
虽然独立监管机构的模式未被《个人信息保护法》采纳,将国家网信部门作为统筹协调中心的方案也褒贬不一,但就目前规定看,业务部门分头管理的机制继续延续,国家网信办的主导和统筹地位则得到进一步强化。
(二)决策型监管职能的体现
从行政监管角度看,将监管重心从事后的“个案处理”前溯到事先的“规则制定”,代表着现代政府的职能转型。美国规制理论和实践发展,其中一个重要指征就是从聚焦于具体的个案处理(执行法律、适用规则)到依赖于抽象的规则制定(制定规则、形成决策)。
《个人信息保护法》具有突出这种通过规则制定实现规制目标的特点。比如其第62条规定,国家网信部门统筹协调有关部门依据本法推进以下个人信息保护工作:
(1)制定个人信息保护具体规则、标准;(2)针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用,制定专门的个人信息保护规则、标准;(3)支持研究开发和推广应用安全、方便的电子身份认证技术,推进网络身份认证公共服务建设;(4)推进个人信息保护社会化服务体系建设,支持有关机构开展个人信息保护评估、认证服务;(5)完善个人信息保护投诉、举报工作机制。
虽然第62条中只有“小型个人信息处理者”这短短的一行字,但在未来的监管规则形成时,如何界定“小型个人信息处理者”?针对这一特殊对象该形成怎样的规则和标准?如何体现个人信息保护与对新兴企业、小微平台进行扶持激励的平衡?这些都将涉及复杂的利益冲突与衡量。
该条规定中涉及的敏感个人信息、人脸识别、人工智能、电子身份认证,以及评估和认证服务体系、投诉和举报工作机制,围绕这些议题展开的规则、标准、服务和工作机制的确立,都涉及类似的决策型监管职能。
比如以“安全评估机制”为例,结合《个人信息保护法》第40条的规定,首先,境内收集和产生的个人信息在什么情况下存储在境内,需要确立标准(涉及处理个人信息的数量);其次,确需向境外提供个人信息时,应当通过由国家网信部门组织的安全评估(涉及安全评估机制的配套规定);进而根据法律、行政法规和国家网信部门的规定,可以不进行安全评估(涉及对例外情形的创设)。
可以看到,这是通过一个“法律概念”的立法创设试图为监管部门匹配一整套机制的规制思路。除了“安全评估机制”,这种思路也体现在其他规制工具创设中,它们未来有赖于监管部门的“组织”、“规定”或者“指定”。
(三)未来法律适用的跟进方向
就监管部门作为事前规制的决策者角度看,未来法律体系的适用有三个重点需要跟进的方向:
未来在这些具有一般性规则的形成过程中,如何加强决策本身的合法性就需要成为重点。比如《个人信息保护法》固然是将网络平台尤其是大型在线企业作为重点监管对象,但正如“规制俘获理论”所揭示的那样,受制于技术、信息和能力的局限,再加上资本具有裹挟公共认知走向的巨大利益驱动和资源投入,如何在未来的决策型监管中体现对处于分散化的个体信息权利者的保护,如何能够兼顾到中小企业的创业和创新保护,这些都需要在决策过程中体现专家智识和商谈民主的平衡,在实体和程序的双重层面上增强决策型监管的合法性基础。
其二,《个人信息保护法》出台,意味着我国个人信息保护的法律结构基本确立,监管也应该迈入规范化。但由于大量具体规则尚未出台,而每一项细化性规则的出台,必然体现规则形成前后的适用差异,这就相当于是为《个人信息保护法》的法律适用,提供了差异化对待的基础。
比如,国家网信办2019年通过的《儿童个人信息网络保护规定》第17条规定“网络运营者向第三方转移儿童个人信息的,应当自行或者委托第三方机构进行安全评估”,这里的“自行安全评估”和“委托第三方安全评估”,与《个人信息保护法》规定的“安全评估机制”关系如何?在未成年人信息纳入个人敏感信息作为监管对象之后,是否需要严格儿童的个人信息网络保护,重新调整儿童信息第三方转移的监管工具?再如,2019年国家网信办、工业和信息化部、公安部、国家市场监管总局联合开展App违法违规收集使用个人信息专项治理工作,曾制定《App违法违规收集使用个人信息行为认定方法》,对多项个人信息处理违法行为的构成要件进行细化。
三、执法监督与责任追究:个案式监管
图3作为“执法监督者”的监管主体
(一)行政法律责任的设置和风险
按照《个人信息保护法》的规定,个人信息保护涉及民事、行政和刑事的多重法律责任体系。其中,《个人信息保护法》主要通过第66条的一般处罚条款,确立起行政法律责任体系。该条款确立的行政处罚构成要件是“违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务”。
从立法形式看,一方面它属于不完全法条,具体适用时必须援引其他条款;另一方面,调整范围非常广泛。对比《网络安全法》和《数据安全法》的法律责任部分,行政处罚条款一般会设定“不履行或者违反本法第几条”的形式,来区别化地匹配不同的法律责任后果,《个人信息保护法》第66条的立法方式,是将该法中所有个人信息处理的权利义务关系条款,都纳入行政处罚的制裁后果。
这本质上并不利于凸显《个人信息保护法》对不同权利义务配置类型的差别度,对处罚机制设定的过度宽泛也将使个人信息处理者缺乏预见性从而承担更大的合规成本。
(二)针对“将监管者纳入监管”的法律责任条款适用
《个人信息保护法》第68条规定:“国家机关不履行本法规定的个人信息保护义务的,由其上级机关或者履行个人信息保护职责的部门责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分。履行个人信息保护职责的部门的工作人员玩忽职守、滥用职权、徇私舞弊,尚不构成犯罪的,依法给予处分。”这一条款是否拘束作为个人信息处理者的监管部门,需要进行一定的解释适用。
按照一般监管法的立法体系,国家机关的法律责任条款往往拘束特定的履职部门。从《网络安全法》和《数据安全法》看,“双安法”的立法模式都是在总则部分明确监管主体,在法律责任部分直接针对监管主体配置责任条款,但由于《个人信息保护法》有将监管者纳入监管的特点,因此第68条究竟是针对“特定的”履职部门,即履行个人信息保护职责的部门;还是针对广义的履职部门,即作为个人信息处理者的国家机关,抑或是两者兼顾适用?本文基本持第三种理解,即除了针对特殊的履行个人信息保护职责的部门,第68条还应当包括在履行相应法定职责时进行个人信息处理的其他国家机关。
理由如下:从文义角度看,《个人信息保护法》在第六章、尤其是第60条第3款明确提出“履行个人信息保护职责的部门”这一统称之后,个人信息保护的特别履职部门就此被确定,但《个人信息保护法》第68条第1款直接以“国家机关”为规范主体,突显出对特别履职部门的忽略,遵循文义和体系解释,应当将此条款对照《个人信息保护法》第二章第三节的规定,回应“将监管者纳入监管”的整体立法特点。
从立法例角度看,对照同样是“将监管者纳入监管”之典型的《反垄断法》,可以发现,在政府机关和市场主体一并作为法律规范对象的前提下,外部行政处罚决定往往只针对“市场经营者”,而对政府机关的法律责任则需要另设机制。
可见这种与行政处罚作为外部责任追究机制相并列的内部责任追究机制,包括责令改正、予以处分等,体现出独特的内部行政责任追究机制确立的立法意图。从这个角度看,应当对“不履行本法规定的个人信息保护义务”做宽泛解释,既包含了特定履职部门的个人信息保护义务,也包含了一般履职部门的个人信息保护义务。
当然,尽管《个人信息保护法》没有设置专门针对“监管者纳入监管”的外部行政责任条款,但并不排除其他部门法的另行规定。比如《居民身份证法》第19条对“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员泄露在履行职责或者提供服务过程中获得的居民身份证记载的公民个人信息”的行为,设置了治安管理处罚。
结语
《个人信息保护法》的出台对于确立我国个人信息保护的法律制度,被誉为具有“鲜明的时代意义”。