摘要:个人信息保护中行政处罚的实施正面临过度介入私权纠纷化解、压缩社会自治空间及混淆内部法益构造等质疑,亟需对其实施的必要性、可行性等基础问题重新审视。调整信息处理者与信息主体之间的不平等关系,规避个人信息处理领域的不特定公共风险,以及协调个人信息权益保护中的多元利益诉求,构成该领域行政处罚的实施基础,从本质上确立了该领域行政处罚实施的目标和边界。个人信息保护行政处罚制度建设须植根于互联网公域变迁与公共治理变革之语境,遵循价值平衡、风险预防、辅助监管等原则,从宏观、中观和微观层面促进公法与私法、硬法与软法的衔接适用,协调不同法律规范的效力位阶关系,以及推动制度设计的场景化、精细化。依托组织法、行为法、程序法构造确定行政处罚实施的主体结构、操作指南、流程指引等,有利于增强处罚实施的正当性和明确性。
关键词:个人信息保护;行政处罚;公法秩序;公共治理;社会自治
一、个人信息保护中行政处罚实施面临的质疑
当前,个人信息保护中实施行政处罚的对象、场景、情节、尺度等均存在较大差异,反映了执法部门对该领域行政处罚的功能定位、目标指向、实施边界等问题认识不一,实践中部分案例面临合法性、正当性质疑。
(一)介入个人信息保护中的私权纠纷化解
1.针对普通信息处理者的处罚正当性存疑。《个人信息保护法》第66条明确规定了行政处罚适用对象为信息处理者,但并未对信息处理者作具体分类和细致规定。学界主要根据现有案例,将实践中作为处罚对象的信息处理者划分为互联网平台和普通信息处理者两种类型。互联网平台无疑是个人信息行政处罚制度实践的核心指向对象,普通信息处理者则主要指除了平台以外,从事传统销售、服务等日常生产经营活动的组织,以及掌握他人信息的个人。后者在实践中往往以非法采集人脸信息、存储个人信息数据、暴露个人隐私等形式侵犯个人信息权益而受到处罚。
2.行政处罚情形泛化内含的保护模式冲突。《个人信息保护法》的出台推动了行政处罚实施范围由消费者权益保护、网络安全风险控制等场景向更加复杂的场景拓展。经北大法宝最新检索发现,实践中行政机关以“违法收集存储泄露个人信息”“未经同意处理个人信息”“未采取安全保障措施”“超出信息合理使用范围”“未按照要求处理敏感信息”等为由对不同主体作出处罚的案例分别为160余宗、130余宗、50余宗、20余宗、40余宗。尽管在同一案件中往往出现事由叠加,但这足以说明上述事由均已成为典型的个人信息违法处罚情形。
倘若将不同违法情形划分为“侵犯个人在信息处理活动中的权利”和“个人信息处理者未履行义务”两种类型。前一类型主要包含信息处理者未充分保障个人对信息的知情权、决定权、查阅权、复制权、更正权、补充权、删除权及救济权等权利的情形;后一类型主要指信息处理者违反个人信息保护法所设定的各项义务,包括违反作为义务和不作为义务的情形,如没有对个人信息采取相应的加密、去标识化等安全技术措施,未取得个人单独同意公开其处理的个人信息等。
(二)压缩个人信息保护中的社会自治空间
1.难以缓解行政处罚与社会自治在个人信息保护领域的张力关系。《个人信息保护法》为多元主体共同参与个人信息保护提供了依据,并对信息处理者采取必要的安全措施,建立权利行使申请受理和处理机制,制定内部管理制度和操作规程,指定个人信息保护负责人;建立健全合规制度,制定平台规则,对管理服务提供者等义务加以规定,从而塑造了一个相对清晰的自治空间。社会自治的正当性基础或从部分个人信息权利让渡中体现,或从信息处理者的公共义务中证立。
然而,实践中监管部门发现信息处理者存在“未建立数据安全管理制度和操作规程”“未采取去标识化和加密措施”等情形时,往往直接作出警告、罚款、责令暂停提供服务等处罚,以侵权的潜在危险性为依据,直接取缔信息处理者的自治空间,造成自治与他治的边界模糊。对个人信息权益保护而言,“潜在的风险”是否必然成为引入行政监管以平衡不对等权利(权力)义务关系的正当性基础?对社会自治规律而言,自治规范缺位是否意味着自治失灵?作为最严厉的行政监管手段,实施行政处罚是否需以自治场域内个人信息权利束行使乏力为前提?这些疑问折射出行政处罚实施的启动条件不明,以及社会自治语境下行政权力介入信息处理者与个人关系的边界厘定不清。行政处罚在个人信息保护实践中的过早介入,与《个人信息保护法》所预设的共治格局相违背,加剧行政监管与社会自治之间的协调困难。
2.未能正视行政监管与社会自治在个人信息保护中的功效差异。个人信息保护中行政处罚的实施与社会自治的展开分别仰仗于国家行政权与社会公权力的行使,权力结构的分立与共治格局的生成决定了行使两种权力在回应个人信息保护诉求方面存在较大区别。一是,部分信息处理者占有信息、技术等普通私主体所不掌握的资源是社会公权力产生和运行的基础,其凭借专业技术、流程控制等优势,能够更加高效、便捷、准确地回应个人信息保护诉求,应对复杂的个人信息侵权场景。二是,信息处理者往往以满足个人信息流转追求的更大收益为指向,需要兼顾个人信息利用与个人信息保护双重任务,从而在行使权力时并不单纯以个人信息权益保护为价值目标,而是同时强调打通信息壁垒、提升服务效能等,这与行政权介入个人信息保护的单一性目标存在显著差异。三是,以平台为代表的信息处理者可以行使权力,直接对平台内的服务提供者侵犯个人信息权益予以惩戒,而在相同情形下,通过对平台实施行政处罚难以实现上述理想的成效,甚至引发关于处罚对象适格性的质疑。
(三)混淆个人信息保护中的内部法益构造
结合个人信息权益的内部结构、不同行政处罚法律依据的价值倾向,以及不同行政处罚措施和尺度的选择适用来看,现有的行政处罚实践尚未理顺个人信息保护内部复杂化的法益构造。
二、个人信息保护中行政处罚实施基础审视
(一)基于信息处理者与信息主体不平等关系的纠偏
通过民事保护工具和社会自治机制无法实现对“持续性不平等关系”的有效调整,体现了行政处罚对象和场景的特殊性。
可见,排除传统公共行政部门依行政权收集个人信息的场景,信息处理者与信息主体是否存在不平等关系及民事保护机制的失灵是行政处罚介入与否的重要判断标准。个人与信息处理者之间是平等的民事关系,还是不对称权力结构下的信息处理关系,将在侵权赔偿或行政处罚的选择适用中起决定作用。其核心的界分标准在于信息处理者是否行使了公权力,包括是否存在行使公权力的客观危险性,造成个人主观权利诉求表达的障碍。从基本权利保护的视角来看,这有利于将个人信息权利的效力对象限定于实际行使公权力的信息处理者,防止其效力向普通信息处理者及私人自治场域外溢。
(二)指向个人信息处理领域不特定公共风险的规避
对信息处理者违法行为实施行政处罚还指向规避个人信息处理中的不特定公共风险,其旨在建构一种稳定的公法秩序,以实现对个人信息处理活动的全过程监控。
2.以公共风险规制为导向,行政处罚实施重在建构一套稳定的公法秩序。民事保护模式主要依赖于公民在受到信息侵权时的积极维权与诉讼救济,其缺点在于只聚焦个体利益,倚重事后救济及效率低下,在前置保护与应急防控方面难有作为。相比之下,《个人信息保护法》确立的个人信息处理规则及其配套的行政处罚制度实际上旨在赋予监管部门法定职权,以建构一套公法秩序,致力于从源头上遏制风险及对违法侵权行为的事中控制,实现个人信息国家保护秩序的构建。在这套秩序中,公共利益是不可或缺的目的,知情权、决定权、查阅权等个人在信息处理活动中的权利保护是基础,应以“公共性”为标准限定行政权介入个人信息保护的法律领域,将行政处罚实施的场景划定在信息处理者依不同性质的权力侵犯个人信息权利束或危及公共利益的范围内。
(三)促进个人信息权益保护中多元利益诉求的协调
民事权益保护只是个人信息权益保护内含的诸多利益诉求中的一项,故单纯的民事保护模式缺乏法益保护的适配性,不能实现对个人信息权益的全方位保护。相反,行政处罚的实施能够在个人信息保护中促进多元利益诉求协调。
三、个人信息保护中行政处罚的制度机理
立足个人信息保护中行政处罚的实施基础,应从现实语境、原则、框架思路等方面进一步对行政处罚的制度构造展开讨论,确立其指引具体规则体系完善的内在机理。
(一)行政处罚制度建设的现实语境
第一,多元主体围绕秩序建构和服务供给等公共事务展开合作,往往也促成个人信息保护的分工,配套的处罚制度应在区分不同主体功能分域和治理优势的基础上确定处罚的对象、场景和边界。一是,须在复杂的共治场景中确立适格的信息处理者及与之匹配的义务;二是,在社会自治维度,如通过推进内部组织建构、行为限度调适、治理过程控制和侵权损害救济能够实现个人信息有效保护,应对处罚保持审慎克制,赋予自治充分的空间,发挥信息处理者的技术优势;三是,合作治理畅通了监管部门与信息处理者沟通的渠道,应进一步为二者在陈述申辩、情节认定、尺度选择等环节的沟通预留通道。
第二,从倚重刚性监管的行政方式向兼顾包容、效能的治理方式转变,要求保障行政处罚与其他治理方式的统筹协调。个人信息保护行政处罚的实施需兼顾个人信息利用的经济价值。单纯强调秩序建构、风险防控容易过度放大处罚的功用,滋长“以罚代管”的观念,桎梏个人信息的合理利用。行政指导、行政约谈、行政调解等协商型行政方式的广泛应用标志着柔性治理的兴起,为减轻一味借助处罚保护个人信息的负面影响提供了更多有效的治理方案。故配套的行政处罚制度应积极为其他治理方式的适用容留空间,根据个人信息处理各环节的风险和违法情节确定不同治理方式实施的先后位序、结合形式、对接程序等,形成包容性的制度架构。
第三,治理过程交替互动、治理要素频繁更新决定了个人信息处理主体、形式、场景等的多样性、创新性,迫切需要增强处罚制度的回应性。一是,适应多元主体协商互动的治理机理,明确处罚实施中公民权利诉求表达的途径;二是,及时根据信息处理者类型拓展、技术创新、新业态发展等对个人信息保护实践产生的影响,调整关于处罚对象、场景、情节的制度设定;三是,重视信息处理者之间的互操作情形对中小平台自主决定权的影响,在联动的治理网络中增强对违法情形的客观判定。
(二)行政处罚制度建设的原则指引
总体来看,个人信息保护行政处罚基本原则的设定不能脱离秩序行政下行政法基本原则的具体内涵和功能定位,合法、合理、程序正当等原则强调的“限权控权”“合乎比例”等理念不仅应被吸收到其体系内部,而且应得到进一步续造和巩固。从个人信息权益积极保护的原理出发,合法原则须以保护个人信息权益为落脚点,进一步强调处罚目的的合法性,推动具体处罚部门的职权法定,缓解部门之间的职能交叉、政出多门、多头执法;合理原则主要应以满足个人信息权利诉求为导向,突出处罚场景、措施、尺度设定的必要性;程序正当原则应适应传统管理模式下政府权力单向度运作向互动式合作治理逻辑生成转变的客观规律,注重对信息处理者参与过程的规范化,以及将参与对象向更多信息主体、监督评估主体等延伸;等等。除此之外,个人信息保护行政处罚制度还需将价值平衡原则、风险预防原则、辅助监管原则等作为基本原则。
1.确立价值平衡原则,推动多元主体利益关系协调。与合理原则所强调的利益衡量性相区别,价值平衡原则遵循行政法价值取向从“限权控权”向“促进权力与权利的平衡”转向的趋势,指向以回应个人信息保护中不同利益诉求为基础,确立信息处理者、监管部门各自在行政处罚中的权利(权力)义务,推动“个人—信息处理者—国家”整体关系结构的平衡。就个人信息处理中多元价值关系的协调而言,促进从个人、信息处理者到监管部门的权力与权利相平衡,本质上是追求个人信息公共价值及私人价值的平衡。换言之,行政处罚的设定和实施应致力于平衡好个人信息权利与社会公权力、行政监管权,以及信息处理者权利与行政监管权之间的关系,以实现个人信息权益保障、信息处理者自身发展、公共秩序建构的统筹兼顾。
2.明确风险预防原则,发挥监管部门积极保护功能。“在风险社会理论下,风险控制的理念和工具被引入个人信息保护中,形成了‘基于风险的方法’”,风险预防的重要性自不待言。将风险预防原则作为个人信息保护行政处罚的基本原则,主要面向信息主体难以对个人信息形成有效控制的场景,旨在促进风险规制责任的合理分配,强化风险的社会控制及监管部门的积极保护,以促进个人信息不同法益在信息充分流通情境下的有效实现。应当明确的是,一方面,风险预防原则在《个人信息保护法》中主要体现为积极保护的理念和机制,行政处罚制度应与《个人信息保护法》关于信息处理者、监管部门的保护义务设定相对接,强化对信息处理者自我规制的督促作用,以及对系统性风险的事中、事后监管;另一方面,风险预防原则适用以回应个人信息利益诉求为前提,脱离权利诉求的风险规制犹如“无本之木”,只有面向不同的个人信息处理场景,以更有利于个人信息权益保障为导向,才能准确把握基于风险预防实施处罚的模式、标准、程序等。
3.秉持辅助监管原则,兼顾网络经济新业态发展需要。辅助监管与社会自治是一体两面的关系,其主张发挥行业协会、信息处理者等社会主体的自治优势,减少对信息处理者的刚性束缚,避免囿于过度干预而变相增加其运营负担。个人信息保护行政处罚制度秉持辅助监管原则,既要求从立法层面严格限定行政处罚适用范围,又呼唤从执法层面对实施处罚及采取严厉的处罚手段持审慎的态度。特别是,新兴行业倘若出现过度采集利用个人信息或信息权益保护不足等情形,应避免过度依赖“重罚”手段,导致平台创新的积极性受到影响。
(三)行政处罚制度建设的框架思路
个人信息保护在多元主体合作共治的整体性治理变革中展开,整体主义理念影响着行政处罚法的重塑。围绕个人信息保护中处罚实践对不同治理资源的整合利用,迫切需要从宏观、中观、微观层面推动配套制度建构。
四、个人信息保护中行政处罚的规范构造
(一)组织法构造:确立行政处罚实施的主体结构
个人信息保护行政处罚实施的有序展开依赖于清晰的组织架构,重在围绕“谁实施处罚”“谁协助处罚”,推进政府内部职权配置及外部功能分域法定化。
在个人信息保护职责设定之外单独看待行政处罚权配置问题,将处罚权交由统一的行政机关行使,无疑是契合公共治理语境,从主体结构设计层面防止处罚权滥用,提升处罚明确性的有效路径。组织权限配置与行政任务之间呈现“结构—目的”的功能性关系,为有效规避个人信息保护行政处罚出现“九龙治水”,关键要推进处罚权的集中。一方面,分散化职权配置下,监管部门难以认识和把握个人信息保护任务的特殊性,设置统一的机关更有利于处理技术性事务,对信息处理者违法的情节认定更为专业、客观、公正,这与当前中共中央提出的“一类事项原则上由一个部门统筹、一件事情原则上由一个部门负责”的机构改革精神相一致;另一方面,设置统一的机关并不影响其他机关在其各自业务范围内发挥个人信息保护的功用,可以进一步聚焦对“如何实现专责机关与一般机关之间的统筹协调”的讨论,促进其与国家网信部门、其他业务部门形成合理细致的分工。
从提升专门机关执法专业性的角度来看,应进一步在其内部建立专业委员会,吸收本部门以外的法律专家、技术专家及产业发展规划部门的工作人员参与重大疑难案件的讨论,通过合议机制作出决定。同时,集中受理个人信息保护行政处罚、强制等的行政复议申请,对复议案件进行裁决,并指导下级专门机关的执法工作。
(二)行为法构造:明晰行政处罚实施的操作规则
以个人信息保护行政处罚组织法定为基础,应进一步健全处罚实施的行为依据,明确实施处罚的对象、情形、尺度等,确保个人信息不同法益保护的目标在处罚实施中得以实现。
1.行政处罚规范依据应恪守明确性、透明性的基本要求。行政处罚介入个人信息处理的事项范围有多大、具体如何操作、阻却事由有哪些及其与民事责任承担的关系等重要问题都应有明确的制度规定,形成透明的操作规则,以指引和规范行政处罚实践。一是,对应当(可以)予以处罚的对象、事由等作出具体规定,明确处罚权介入个人信息保护的范围;二是,结合个人信息处理的特定场景对行政处罚适用规则予以细化,区分减轻、从轻及免于处罚等各类情形,确定具体构成要件;三是,根据个人信息敏感程度、生命周期及跨境处理等,制定分级分类标准,并建立不同的违法认定标准,提升处罚精确度;四是,区分差异化的违法场景中个人信息权益受损的不同情况,在行政处罚实施中处理好行政责任与民事责任的关系。
(三)程序法构造:建立行政处罚实施的流程指引
个人信息保护行政处罚的程序建构既要遵守处罚的基本程序,又要围绕多元主体的协商互动、分工合作形成覆盖全过程的规范指引,以督促专门机关履行监管义务,以及限制处罚权的恣意行使。
五、结语
从调整不平等的权利义务关系、防控不特定的公共风险、协调多元利益诉求等方面能够充分揭示在《个人信息保护法》规范体系下引入行政法律责任机制的必要性,进而证成行政处罚制度相较于民事救济机制的天然优越性和特殊适用性。基于数据、技术、资本等资源优势,信息处理者在个人信息处理中实际行使公权力,并成为衍生和把控信息安全风险,平衡国家与个人、公益与私益关系的关键要素。个人信息保护中行政处罚的实施应正视其特殊性,赋予其一定的自治空间,并结合其权力行使的限度、形式、成效等,确定自身的边界。故配套的处罚制度建设应始终置于互联网公域治理变革的语境之中,坚持以“公共性”为标准划定处罚对象和场景,致力于构建一套稳定的公法秩序,保障个人信息权益的全方位实现。这意味着,处罚制度的整体设计应以调和权利保护、信息共享、产业发展、风险预防的张力为导向,尝试处理好公法与私法、硬法与软法,以及不同法律适用的位阶关系,制定场景化、精细化的法律规则。只有在具体的规范构造中保障处罚的权责明晰和组织法定,处罚对象、情节、基准等的明确性,以及处罚中各项程序的规范化,才能实现个人信息保护领域行政处罚实施的法治化。