高志明

[摘 要]對(duì)個(gè)人信息利益、個(gè)人信息流轉(zhuǎn)的調(diào)整可分為國家層面與社會(huì)層面，國家層面包括個(gè)人信息相關(guān)立法，專門、專業(yè)的行政管理機(jī)構(gòu)的監(jiān)管，通過法的適用對(duì)侵害個(gè)人信息權(quán)利的行為追究法律責(zé)任；社會(huì)層面包括通過市場機(jī)制調(diào)節(jié)的個(gè)人信息契約行為，組織內(nèi)部建立個(gè)人信息保護(hù)專員制度，相關(guān)行業(yè)制定行業(yè)自律規(guī)范，個(gè)人信息保護(hù)協(xié)會(huì)等社會(huì)組織、媒體輿論、社會(huì)公眾的監(jiān)督等。個(gè)人信息保護(hù)中的行業(yè)自律機(jī)制是一種基于市場機(jī)制、基于市民社會(huì)內(nèi)部的自覺自發(fā)、自下而上的機(jī)制，具有專業(yè)性、經(jīng)濟(jì)性、相對(duì)靈活性等優(yōu)點(diǎn)。行政部門對(duì)個(gè)人信息流轉(zhuǎn)的監(jiān)管體現(xiàn)在對(duì)個(gè)人信息處理的事前審查與事后救濟(jì)兩方面，包括預(yù)先通知與預(yù)先審查制度、登記備案與許可制度、申訴與救濟(jì)制度等。

[關(guān)鍵詞]個(gè)人信息保護(hù)；自律；監(jiān)督

[中圖分類號(hào)]D93/97 [文獻(xiàn)標(biāo)識(shí)碼]A [文章編號(hào)]1671-8372（2016）03-0083-12

一、個(gè)人信息保護(hù)中的多元機(jī)制

學(xué)者吳嘉生認(rèn)為，在信息社會(huì)中，我們期盼在信息科技基礎(chǔ)上，建立完整的三個(gè)規(guī)范層次：自律規(guī)范（倫理道德規(guī)范）、社會(huì)規(guī)范（介于道德與國家法律之間的規(guī)范）與法律規(guī)范；雖然這個(gè)三層次架構(gòu)在不同國家、文化與社會(huì)環(huán)境中，會(huì)有不同的具體表現(xiàn)，但這種架構(gòu)是不會(huì)改變的[1]156-157。實(shí)際上，從法理的角度來看，社會(huì)調(diào)整根據(jù)其作用于人們行為的方式與人們服從原因的不同，可分為內(nèi)在調(diào)整（自律）與外在調(diào)整（他律）。內(nèi)在調(diào)整使人們認(rèn)識(shí)到從事某種行為是否正當(dāng)，使外在的行為規(guī)則內(nèi)化為自覺從事正當(dāng)行為的一種習(xí)慣，是人的社會(huì)化過程的體現(xiàn)；外在調(diào)整則是通過外部規(guī)范的壓力，使人們遵守一定社會(huì)規(guī)范的過程[2]45。在個(gè)人信息法中規(guī)定一定的自律機(jī)制與監(jiān)督機(jī)制，實(shí)現(xiàn)內(nèi)在調(diào)整與外在調(diào)整的有機(jī)結(jié)合，對(duì)促進(jìn)個(gè)人信息保護(hù)具有積極意義。對(duì)此，各國家或地區(qū)的相關(guān)立法多有體現(xiàn)。

對(duì)個(gè)人信息利益、個(gè)人信息流轉(zhuǎn)的調(diào)整可分為國家層面上的調(diào)整與社會(huì)層面上的調(diào)整，二者綜合構(gòu)成一種多元機(jī)制。在國家層面上，通過立法活動(dòng)制定出統(tǒng)一的規(guī)范個(gè)人信息利益的法律，通過專門的行政管理機(jī)構(gòu)對(duì)個(gè)人信息流轉(zhuǎn)進(jìn)行監(jiān)管，通過法的適用對(duì)侵害個(gè)人信息權(quán)利的行為追究法律責(zé)任、施以法律制裁。在社會(huì)層面上，相關(guān)主體之間形成個(gè)人信息法律關(guān)系，個(gè)人信息交易等契約行為依市場機(jī)制進(jìn)行調(diào)節(jié)，相關(guān)行業(yè)制定適用全行業(yè)的自律規(guī)范，個(gè)人信息保護(hù)協(xié)會(huì)等社會(huì)組織對(duì)個(gè)人信息流轉(zhuǎn)行為進(jìn)行社會(huì)監(jiān)督等。

圖1 個(gè)人信息保護(hù)的多元機(jī)制

多元機(jī)制能夠較為有效地防止個(gè)人信息保護(hù)中的法律失效、政府失靈、市場失靈等問題。在統(tǒng)一的個(gè)人信息法中，企業(yè)自律、行業(yè)自律機(jī)制，行政監(jiān)管制度，以及社會(huì)監(jiān)督機(jī)制，通常都體現(xiàn)為相應(yīng)的原則性、引導(dǎo)性規(guī)范。國家層面對(duì)個(gè)人信息的立法規(guī)范與司法救濟(jì)，已經(jīng)多有論述，本文探討個(gè)人信息保護(hù)中的企業(yè)自律、行業(yè)自律、行政監(jiān)管及社會(huì)監(jiān)督問題。

二、個(gè)人信息保護(hù)中的自律

自律即社會(huì)個(gè)體的自我約束、自我控制，使自我行為符合一定的道德規(guī)范。自律是與自由相伴的一個(gè)概念，法律保障人們的自由，但同時(shí)也需要倫理道德等規(guī)范約束人們的行為，這是一種內(nèi)在的自我約束，旨在避免過分?jǐn)U展甚至濫用個(gè)人權(quán)利自由而侵害他人的正當(dāng)權(quán)益。

信息社會(huì)必須正視高科技帶來的副作用，因?yàn)樾畔⒖萍嫉牟划?dāng)利用對(duì)社會(huì)造成的傷害，有時(shí)還超過該科技所帶來的便利；倫理道德是行為的指導(dǎo)準(zhǔn)則，信息社會(huì)須構(gòu)建相應(yīng)的倫理道德，以規(guī)范人們的行為[3]3-12。

在個(gè)人信息保護(hù)問題上，自律指由相關(guān)公司企業(yè)或產(chǎn)業(yè)實(shí)體聯(lián)合制定該行業(yè)的行為規(guī)范或行為指引，在行業(yè)內(nèi)部遵循的保護(hù)個(gè)人信息權(quán)利的機(jī)制[4]443。個(gè)人信息保護(hù)的自律規(guī)范通常是一套關(guān)于個(gè)人信息保護(hù)的完整的行為規(guī)范或道德準(zhǔn)則，分為技術(shù)規(guī)范與社會(huì)規(guī)范兩類，前者指直接以技術(shù)標(biāo)準(zhǔn)作為規(guī)范，后者指人們在個(gè)人信息收集、處理、傳輸與利用等過程中形成的維系正常有序的個(gè)人信息法律關(guān)系所要求的規(guī)范[5]185。

個(gè)人信息保護(hù)中的自律包括企業(yè)自律與行業(yè)自律。

（一）個(gè)人信息保護(hù)中的企業(yè)自律

個(gè)人信息保護(hù)中的企業(yè)自律，是指相關(guān)企業(yè)在收集、處理、傳輸與利用個(gè)人信息過程中的自我約束。其中最主要的是設(shè)立企業(yè)內(nèi)部的個(gè)人信息保護(hù)專員制度，該制度由德國首創(chuàng)，1977年德國數(shù)據(jù)保護(hù)法律就明確規(guī)定了這一制度。歐盟《個(gè)人數(shù)據(jù)保護(hù)與流通指令》采納了德國的做法，允許個(gè)人信息控制者依法任命個(gè)人信息保護(hù)專員，獨(dú)立負(fù)責(zé)確保個(gè)人信息保護(hù)法在控制者內(nèi)部的適用，對(duì)控制者實(shí)施的個(gè)人信息處理行為進(jìn)行登記，并確保個(gè)人信息處理不對(duì)個(gè)人信息本人的權(quán)利和自由造成不利影響①。德國、荷蘭、瑞典和盧森堡等國的個(gè)人信息法都規(guī)定了企業(yè)內(nèi)部設(shè)立個(gè)人信息保護(hù)專員的制度。具有一定專業(yè)知識(shí)與經(jīng)驗(yàn)者才有資格成為個(gè)人信息保護(hù)專員，企業(yè)內(nèi)部的個(gè)人信息保護(hù)專員須以書面形式任命，其職責(zé)主要是負(fù)責(zé)監(jiān)督個(gè)人信息保護(hù)法律規(guī)范在企業(yè)的實(shí)施，監(jiān)督企業(yè)內(nèi)部的個(gè)人信息處理行為，避免企業(yè)侵害個(gè)人信息本人的權(quán)利。

由于企業(yè)內(nèi)部個(gè)人信息保護(hù)專員是由具有專業(yè)知識(shí)和經(jīng)驗(yàn)者擔(dān)任，他們處在個(gè)人信息流轉(zhuǎn)諸環(huán)節(jié)的監(jiān)督“前線”，能夠直接了解信息控制者實(shí)施的個(gè)人信息處理行為的具體情況，可以因地制宜地提出更可行的指導(dǎo)、意見和建議，因而能夠卓有成效地監(jiān)督企業(yè)的個(gè)人信息處理行為[6]265。這是該制度的優(yōu)勢所在。而該制度的缺點(diǎn)主要是這種個(gè)人信息保護(hù)的內(nèi)部監(jiān)督機(jī)制掣肘于相關(guān)企業(yè)內(nèi)部的高層管理者及管理部門，可能存在失靈或虛設(shè)等問題。

除了設(shè)立個(gè)人信息保護(hù)專員外，一般網(wǎng)絡(luò)企業(yè)特別是大型網(wǎng)絡(luò)企業(yè)都重視個(gè)人信息收集、處理、傳輸與利用中的自律，并做出了相應(yīng)的在線個(gè)人信息隱私保護(hù)承諾或聲明。比如，新浪網(wǎng)規(guī)定了較為細(xì)致的個(gè)人信息隱私政策：第一，明確了站點(diǎn)收集的個(gè)人信息范圍，包括用戶的姓名、地址和電話號(hào)碼，用戶有權(quán)隨時(shí)決定不接受來自新浪網(wǎng)的任何信息；第二，采取適當(dāng)?shù)牟襟E保護(hù)用戶的個(gè)人信息隱私，每當(dāng)用戶提供敏感信息時(shí)，新浪網(wǎng)將采取合理的步驟保護(hù)該敏感信息，采取合理的安全手段保護(hù)已存儲(chǔ)的個(gè)人信息，除非根據(jù)法律或政府的強(qiáng)制性規(guī)定，在未得到用戶的許可前，不把用戶的任何個(gè)人信息提供給無關(guān)的第三方；第三，規(guī)定了管理涉及隱私的個(gè)人信息的五項(xiàng)原則，包括明確詢問、說明用途、選擇拒絕、特殊披露、投訴舉報(bào)等；第四，說明了cookies的用途；第五，公布了更新提供給新浪網(wǎng)的個(gè)人信息的渠道①。搜狐、網(wǎng)易等大型門戶網(wǎng)站均有類似的個(gè)人信息隱私保護(hù)聲明，包括在收集、處理、傳輸與利用個(gè)人信息時(shí)均遵循用戶同意、知情、選擇等原則。特別值得一提的是，谷歌于2011年10月20日修改了隱私權(quán)政策（2012年3月1日生效），詳細(xì)地規(guī)定了收集哪些個(gè)人信息，收集的原因、方式，對(duì)收集的個(gè)人信息的使用方式，為用戶提供接受與拒絕收集的選擇，訪問和更新個(gè)人信息的方式等②。

（二）個(gè)人信息保護(hù)中的行業(yè)自律

在個(gè)人信息保護(hù)領(lǐng)域，單純依靠行政、司法等公權(quán)力，可能會(huì)存在成本過高、政府失靈、法律失靈等問題；而純粹采取自由交易的市場模式，個(gè)人在保護(hù)其個(gè)人信息權(quán)利時(shí)可能耗費(fèi)很高的代價(jià)，也存在市場失靈的情況，導(dǎo)致個(gè)人無法以私力救濟(jì)方式保護(hù)其個(gè)人信息。行業(yè)自律規(guī)范往往為大多數(shù)企業(yè)所公認(rèn)，在特定行業(yè)領(lǐng)域內(nèi)具有廣泛的權(quán)威性并能夠得到自覺遵守，通過行業(yè)自律機(jī)制能夠較好地解決特定行業(yè)對(duì)個(gè)人信息特殊保護(hù)的問題[7]83-84。

1.行業(yè)自律的典型—美國

從各國家或地區(qū)現(xiàn)有的個(gè)人信息救濟(jì)制度來看，行業(yè)自律機(jī)制均受到普遍重視。特別是美國尤其強(qiáng)調(diào)行業(yè)自律在個(gè)人信息保護(hù)中的主導(dǎo)地位。自律觀念在美國整個(gè)社會(huì)受到推崇，在一定程度上，與其說自律機(jī)制在美國很發(fā)達(dá)，不如說自律在美國更是一種文化傳統(tǒng)或社會(huì)習(xí)慣。美國的立憲者相信人民的善行與自律，因而美國憲法主要規(guī)定了限制政府公權(quán)力和保障人民私權(quán)利的條款，只闡明了人民的權(quán)利，而并未提及人民的責(zé)任與義務(wù)[5]184-185。美國對(duì)個(gè)人信息保護(hù)的有限立法主要集中在公共領(lǐng)域，而諸多私人領(lǐng)域則采取各種行業(yè)自律機(jī)制。

1996年12月，美國政府發(fā)布了《全球電子商務(wù)政策框架》白皮書，闡明了保護(hù)個(gè)人信息隱私的重要性及相關(guān)內(nèi)容，指出保護(hù)個(gè)人信息隱私對(duì)商務(wù)活動(dòng)的重要意義，并提出消費(fèi)者的個(gè)人信息隱私受到侵害應(yīng)當(dāng)?shù)玫窖a(bǔ)償。但美國政府對(duì)個(gè)人信息隱私采取的是行業(yè)自律為主導(dǎo)的模式。1997年7月1日，美國政府發(fā)布了《全球電子商務(wù)架構(gòu)報(bào)告》，指出政府應(yīng)避免對(duì)電子商務(wù)活動(dòng)予以過多法律限制，而應(yīng)采取市場主導(dǎo)的原則。這表明了美國政府對(duì)信息時(shí)代個(gè)人信息隱私保護(hù)所采取的基本立場。

個(gè)人信息隱私保護(hù)的行業(yè)自律主要有四種類型：

其一，技術(shù)性選擇保護(hù)（technical protection）。采取一定標(biāo)準(zhǔn)的個(gè)人信息隱私保護(hù)軟件，給用戶提供是否同意收集其個(gè)人信息的選擇，將選擇權(quán)交給用戶自己。最著名的技術(shù)性選擇保護(hù)個(gè)人信息軟件是“個(gè)人隱私偏好平臺(tái)”（Personal Privacy Preference Platform， “P3P”），用戶可以將其個(gè)人隱私偏好設(shè)定在該軟件的選項(xiàng)中，從而形成用戶與網(wǎng)絡(luò)服務(wù)商在個(gè)人信息收集問題上的一個(gè)電子協(xié)議。

其二，在線隱私（認(rèn)證）標(biāo)識(shí)計(jì)劃（online privacy seal program）。由網(wǎng)絡(luò)隱私認(rèn)證機(jī)構(gòu)對(duì)申請(qǐng)的從業(yè)者進(jìn)行審查，對(duì)同意遵守機(jī)構(gòu)制定的個(gè)人信息隱私保護(hù)規(guī)則的網(wǎng)站，授權(quán)掛出特定的在線隱私認(rèn)證標(biāo)識(shí)。在線隱私認(rèn)證是跨行業(yè)的，其代表有TRUSTe③和BBBonline④等。

其三，建設(shè)性行業(yè)指引（suggestive industry guidelines）。由從事網(wǎng)絡(luò)業(yè)務(wù)的行業(yè)聯(lián)盟制定適用于行業(yè)內(nèi)部的網(wǎng)上個(gè)人信息隱私保護(hù)的建設(shè)性指引，要求行業(yè)聯(lián)盟的成員發(fā)布與執(zhí)行，而具體的個(gè)人信息隱私保護(hù)辦法由從業(yè)者自行制定。建設(shè)性行業(yè)指引不跨行業(yè)，其代表是“在線隱私聯(lián)盟”（Online Privacy Alliance）⑤指引。

其四，行業(yè)自律規(guī)范（industry self-regulations）。相關(guān)行業(yè)的聯(lián)盟或協(xié)會(huì)提出適用于本行業(yè)的自律規(guī)范，試圖通過同行業(yè)彼此良性競爭發(fā)揮自律規(guī)范的拘束作用，以取代統(tǒng)一的個(gè)人信息隱私規(guī)范可能無法顧及的專業(yè)上特別需求的缺陷，其代表是美國直銷協(xié)會(huì)配合聯(lián)邦貿(mào)易委員會(huì)提出的行業(yè)自律規(guī)范[8]185-186。

2.行業(yè)自律在其他國家的發(fā)展

日本的個(gè)人信息保護(hù)體制以立法規(guī)范為主導(dǎo)，制定了《個(gè)人情報(bào)保護(hù)法》，但對(duì)一定領(lǐng)域內(nèi)的個(gè)人信息保護(hù)也采取了行業(yè)自律機(jī)制。日本政府認(rèn)為，公務(wù)部門與非公務(wù)部門收集、利用個(gè)人信息的目的、方法不同，侵害個(gè)人信息隱私的樣態(tài)也不同，如果對(duì)所有領(lǐng)域的個(gè)人信息隱私保護(hù)都采用剛性的法律，則在有效防止公務(wù)部門侵害個(gè)人信息權(quán)利的同時(shí)，卻也大幅度地限制了非公務(wù)部門的自由經(jīng)濟(jì)行為，這違背了日本行政改革與放松管制的潮流。同時(shí)，不同行業(yè)對(duì)個(gè)人信息收集、利用的情況也存在不同，對(duì)所有行業(yè)適用統(tǒng)一的法律規(guī)范客觀上也是不可能的。因而，日本政府首先確立了公務(wù)部門與非公務(wù)部門個(gè)人信息保護(hù)的一般規(guī)范，再就金融等特殊行業(yè)制定特殊法，還針對(duì)非公務(wù)部門的特點(diǎn)采取靈活的機(jī)制，鼓勵(lì)非公務(wù)部門進(jìn)行自律[9]335。1998年，日本信息處理開發(fā)協(xié)會(huì)創(chuàng)設(shè)了“隱私標(biāo)識(shí)”（Privacy Mark）認(rèn)證①機(jī)制，向采取適當(dāng)?shù)膫€(gè)人信息保護(hù)措施的非公務(wù)部門頒發(fā)隱私標(biāo)識(shí)，以督促其積極改善個(gè)人信息保護(hù)狀況，同時(shí)便于消費(fèi)者判斷該部門的個(gè)人信息保護(hù)處于何種水平。后來，日本還將隱私認(rèn)證標(biāo)識(shí)納入日本工業(yè)標(biāo)準(zhǔn)管理體系，以《關(guān)于個(gè)人情報(bào)保護(hù)應(yīng)遵守規(guī)則的要求事項(xiàng)》②作為通過隱私標(biāo)識(shí)認(rèn)證的要件。在日本，隱私標(biāo)識(shí)認(rèn)證機(jī)制所確立的標(biāo)準(zhǔn)至少等同于甚至略高于法律規(guī)范的要求，因而，凡是取得隱私標(biāo)識(shí)認(rèn)證的非公務(wù)部門就可以被認(rèn)為達(dá)到了個(gè)人信息保護(hù)法律規(guī)范要求的保護(hù)水平[10]236。

其他很多國家對(duì)個(gè)人信息保護(hù)的行業(yè)自律一般也持肯定的態(tài)度，有些國家或有些國家的某些領(lǐng)域?qū)€(gè)人信息保護(hù)的行業(yè)自律進(jìn)行了一定的嘗試，在不同程度上采取了行業(yè)自律的做法。比如，加拿大標(biāo)準(zhǔn)協(xié)會(huì)于1996年制定了《保護(hù)個(gè)人信息標(biāo)準(zhǔn)守則》，對(duì)相關(guān)行業(yè)在處理個(gè)人信息中的行為加以規(guī)范。瑞典信息技術(shù)行業(yè)于1997年制定了瑞典《信息技術(shù)企業(yè)組織商業(yè)行為規(guī)則》，其中涉及個(gè)人信息的保護(hù)問題。荷蘭消費(fèi)者協(xié)會(huì)、產(chǎn)業(yè)與雇工聯(lián)盟于1998年制定了《個(gè)人隱私行為守則》。韓國通信信息部要求從2005年10月起，任何通信服務(wù)組織和其他服務(wù)提供者都應(yīng)當(dāng)制定專門的內(nèi)部管理辦法，以保護(hù)其在服務(wù)過程中對(duì)個(gè)人信息的保護(hù)，而設(shè)在信息通信部下的信息通信產(chǎn)業(yè)協(xié)會(huì)，則對(duì)那些在個(gè)人信息安全方面達(dá)到一定標(biāo)準(zhǔn)的網(wǎng)站授予“個(gè)人信息保護(hù)優(yōu)秀網(wǎng)站認(rèn)證標(biāo)識(shí)”。

在中國，個(gè)人信息保護(hù)的行業(yè)自律也同樣受到重視。臺(tái)灣微軟2010年9月9日成立“微軟個(gè)資保護(hù)中心”，這是臺(tái)灣地區(qū)針對(duì)個(gè)人信息保護(hù)議題設(shè)立的專職機(jī)構(gòu)，主要針對(duì)大中型企業(yè)客戶對(duì)個(gè)人信息保護(hù)的咨詢，包括診斷與風(fēng)險(xiǎn)評(píng)估，以及建立符合信息安全的IT環(huán)境③。大連市軟件行業(yè)協(xié)會(huì)于2007年開始主導(dǎo)實(shí)施個(gè)人信息保護(hù)評(píng)價(jià)④制度，被評(píng)價(jià)單位必須已經(jīng)有個(gè)人信息保護(hù)體系的實(shí)踐并已經(jīng)取得一定效果，才獲資格向大連市個(gè)人信息保護(hù)工作委員會(huì)申請(qǐng)個(gè)人信息保護(hù)體系評(píng)價(jià)；評(píng)價(jià)的程序包括資格審查、現(xiàn)場審核、公示、審批等[11]313-314。

中國大陸學(xué)者在各自的“個(gè)人信息保護(hù)法”（建議稿）中，都寫入了有關(guān)行業(yè)自律的規(guī)范。其中，齊愛民教授2005年的個(gè)人信息保護(hù)法“學(xué)者建議稿”第29條專門就“自律規(guī)范”的效力進(jìn)行了擬定：“非國家機(jī)關(guān)依據(jù)本法制定的自律性規(guī)范，達(dá)到本法要求標(biāo)準(zhǔn)的，具有與本法同等的效力?！盵12]5這是一種“認(rèn)可”的“立法”方式，等于認(rèn)可了“自律規(guī)范”的法律效力。當(dāng)然，究竟“自律規(guī)范”的效力能否與法律規(guī)范等量齊觀，進(jìn)一步說，自律規(guī)范究竟達(dá)到何種標(biāo)準(zhǔn)才能與法律規(guī)范效力等同，筆者認(rèn)為，這是一個(gè)值得商榷的問題，起碼還要涉及個(gè)人信息主管部門的審查、批準(zhǔn)等機(jī)制。

周漢華教授在2006年的個(gè)人信息保護(hù)法“專家建議稿”中用一節(jié)兩個(gè)條文對(duì)“行業(yè)自律機(jī)制”進(jìn)行了擬定。其中，第53條擬定了“行業(yè)自律組織”：“國家鼓勵(lì)其他個(gè)人信息處理者在資源的基礎(chǔ)上成立行業(yè)自律組織，并創(chuàng)造條件，逐步向行業(yè)自律組織轉(zhuǎn)移政府職能。行業(yè)自律組織的設(shè)立條件和要求，由國務(wù)院信息資源主管部門具體規(guī)定。行業(yè)自律組織成立后，應(yīng)在政府信息資源主管部門進(jìn)行登記，接受政府信息資源主管部門的指導(dǎo)和監(jiān)督?！盵13]19第54條則擬定了“行業(yè)自律組織的職能”，包括制定本行業(yè)的行為準(zhǔn)則，推廣本行業(yè)的執(zhí)業(yè)可信度認(rèn)證標(biāo)志，協(xié)調(diào)本行業(yè)與政府信息資源主管部門的關(guān)系，接受信息主體的投訴，對(duì)信息主體與成員之間的爭議進(jìn)行協(xié)調(diào)、處理，處理行業(yè)自律組織成員之間的關(guān)系等職能[13]19。這里的可取之處是對(duì)行業(yè)自律組織進(jìn)行了全面的規(guī)范，但對(duì)行業(yè)自律規(guī)范以及行業(yè)自律與法律規(guī)范的關(guān)系缺少規(guī)定，同時(shí)此處的相關(guān)條文似乎略顯繁瑣。

3.行業(yè)自律的優(yōu)勢與不足

行業(yè)自律是一種基于市場機(jī)制、基于市民社會(huì)內(nèi)部的自覺自發(fā)、自下而上的機(jī)制，具有專業(yè)性、經(jīng)濟(jì)性、相對(duì)靈活性等優(yōu)勢。專業(yè)性，指的是行業(yè)自律往往由相關(guān)行業(yè)的協(xié)會(huì)或聯(lián)盟針對(duì)該行業(yè)的個(gè)人信息保護(hù)問題，專門制定相應(yīng)的規(guī)范、標(biāo)準(zhǔn)或指引，能夠密切結(jié)合該行業(yè)的特點(diǎn)與專業(yè)性問題，這是一般的立法所難以做到的。經(jīng)濟(jì)性，指的是行業(yè)自律節(jié)省了國家立法、行政、司法等公共資源，同時(shí)由于行業(yè)自律是行業(yè)自我監(jiān)督，自治性較強(qiáng)，程序相對(duì)簡單，效率較高，執(zhí)行成本較低。相對(duì)靈活性，指的是行業(yè)自律能夠針對(duì)相關(guān)行業(yè)的發(fā)展變化進(jìn)行動(dòng)態(tài)調(diào)整，能夠較為迅速地回應(yīng)信息社會(huì)不斷出現(xiàn)的新情況、新問題，能夠針對(duì)行業(yè)內(nèi)部的具體問題靈活適用，而不像個(gè)人信息法律規(guī)范那樣具有較強(qiáng)的原則性和剛硬性；但要注意的是，行業(yè)自律的靈活性只是相對(duì)于法律規(guī)范而言的，行業(yè)自律是行業(yè)內(nèi)部的監(jiān)督機(jī)制，也必然具有一定的原則性與強(qiáng)制性，否則就不成其為行業(yè)規(guī)范了。

對(duì)于自律規(guī)范及自律規(guī)范機(jī)構(gòu)的優(yōu)勢，英國學(xué)者曾論述道：第一，由于較之于獨(dú)立的公務(wù)機(jī)構(gòu)，自律規(guī)范機(jī)構(gòu)在相關(guān)領(lǐng)域一般能夠掌握更高程度的實(shí)務(wù)專長和技術(shù)知識(shí)以及具有更大的創(chuàng)新的可能性，因此，制定和解釋標(biāo)準(zhǔn)的信息成本相對(duì)較低；第二，基于相同理由，監(jiān)督和執(zhí)行成本也相應(yīng)減少，而在互動(dòng)很可能產(chǎn)生彼此信任的條件下，從業(yè)者與管理者打交道的成本也得以減少；第三，較之于公共規(guī)范制度，在自律規(guī)范機(jī)構(gòu)的程序以及規(guī)則較為不正式的范圍內(nèi)，修改標(biāo)準(zhǔn)的成本（包括導(dǎo)致延遲的因素）降低了；第四，這種制度的管理成本通常是在其規(guī)范的行業(yè)或活動(dòng)內(nèi)部承擔(dān)，而獨(dú)立的公務(wù)機(jī)構(gòu)的管理成本通常由納稅人承擔(dān)[14]309-310。

當(dāng)然，任何制度或機(jī)制都不可能十全十美，行業(yè)自律亦不例外。行業(yè)自律的不足包括：規(guī)范性不足、執(zhí)行力有限、合法性隱憂等。規(guī)范性不足，指的是很多個(gè)人信息保護(hù)的行業(yè)自律往往只是一種行業(yè)標(biāo)準(zhǔn)、認(rèn)證或指引，缺乏法律規(guī)范那樣的具體明確的規(guī)范性。執(zhí)行力有限，指的是由于行業(yè)自律并沒有強(qiáng)有力的執(zhí)行機(jī)構(gòu)，行業(yè)內(nèi)部的企業(yè)組織往往只是出于自覺遵守，但如果出現(xiàn)不自覺遵守的情況，相關(guān)的制裁措施也很難奏效。合法性隱憂，指的是有些行業(yè)自律規(guī)范出于維護(hù)行業(yè)、企業(yè)自身利益的考量，其內(nèi)容往往有利于維護(hù)本行業(yè)及其內(nèi)部的企業(yè)組織的利益，這可能與統(tǒng)一的個(gè)人信息法律潛在一定沖突，可能對(duì)保護(hù)個(gè)人信息權(quán)利存在不利。

對(duì)于行業(yè)自律的不足，中國臺(tái)灣地區(qū)的熊愛卿博士曾指出：其實(shí)向來經(jīng)驗(yàn)與實(shí)證數(shù)據(jù)已經(jīng)顯示，行業(yè)自律只是個(gè)人信息保護(hù)的必要條件之一，并非充分條件；面對(duì)信息科技所呈現(xiàn)的不確定與安全威脅，加上多年自律機(jī)制實(shí)證結(jié)果顯示，或許已經(jīng)到了政府適當(dāng)介入的時(shí)候了[7]99-100。

三、個(gè)人信息保護(hù)中的行政監(jiān)管

（一）個(gè)人信息保護(hù)的行政監(jiān)管機(jī)構(gòu)及其職責(zé)

各國家或地區(qū)的個(gè)人信息行政監(jiān)管機(jī)構(gòu)（supervisory authority）與職責(zé)有所不同，具體情況如下：

1.歐盟指令框架

歐盟在1995年個(gè)人數(shù)據(jù)保護(hù)與流通指令框架下，設(shè)置了個(gè)人信息保護(hù)的監(jiān)管機(jī)構(gòu)、咨詢機(jī)構(gòu)和專家委員會(huì)。

監(jiān)管機(jī)構(gòu)。歐盟設(shè)有歐盟數(shù)據(jù)（信息）保護(hù)專員機(jī)構(gòu)①，監(jiān)督歐盟機(jī)構(gòu)與組織的個(gè)人信息處理。根據(jù)歐盟《個(gè)人數(shù)據(jù)保護(hù)與流通指令》第28條，歐盟各成員國應(yīng)當(dāng)設(shè)置一個(gè)或多個(gè)公共機(jī)構(gòu)，監(jiān)督本指令的有關(guān)規(guī)定在其境內(nèi)的適用，成員國的法律法規(guī)中如果涉及個(gè)人信息保護(hù)，相關(guān)部門都應(yīng)當(dāng)咨詢該機(jī)構(gòu)的意見，而且，該機(jī)構(gòu)應(yīng)當(dāng)享有相應(yīng)的調(diào)查權(quán)，以及依職權(quán)或者依有關(guān)當(dāng)事人申請(qǐng)，有對(duì)相應(yīng)的個(gè)人信息相關(guān)違法行為進(jìn)行查處的權(quán)力、通過介入訴訟維護(hù)法律實(shí)施的權(quán)力等。根據(jù)該規(guī)定，歐盟成員國一般都設(shè)立了相應(yīng)的個(gè)人數(shù)據(jù)（信息）監(jiān)管機(jī)構(gòu)。

咨詢機(jī)構(gòu)。根據(jù)歐盟《個(gè)人數(shù)據(jù)保護(hù)與流通指令》第29條，歐盟設(shè)立了“涉及個(gè)人數(shù)據(jù)（信息）處理時(shí)保護(hù)個(gè)人的工作組”，也被稱為“第29條工作組”，具有咨詢地位且獨(dú)立行事。其成員由成員國數(shù)據(jù)（信息）監(jiān)管機(jī)構(gòu)或指定機(jī)構(gòu)的代表等組成，每年召開數(shù)次會(huì)議。工作組的職能包括：檢查依照歐盟指令制定的國內(nèi)法在適用過程中產(chǎn)生的任何問題，促進(jìn)這些措施的統(tǒng)一適用；就共同體和第三國的數(shù)據(jù)（信息）保護(hù)水平向歐盟委員會(huì)提出意見；就歐盟指令修改、涉及個(gè)人信息處理時(shí)保護(hù)自然人權(quán)利和自由的任何附加措施或特殊措施等向歐盟委員會(huì)提出建議；就共同體層面草擬的行為守則提出意見。

專門委員會(huì)。根據(jù)歐盟《個(gè)人數(shù)據(jù)保護(hù)與流通指令》第31條，設(shè)立由歐盟成員國政府代表組成、由歐盟委員會(huì)的代表任主席的專門委員會(huì)來協(xié)助歐盟委員會(huì)工作，也被稱為“第31條委員會(huì)”。該委員會(huì)定期在布魯塞爾開會(huì)，對(duì)需要成員國同意的事項(xiàng)作出決定。該委員會(huì)不僅像“第29條工作組”那樣具有咨詢作用，而且對(duì)法律文件的通過具有重要作用，關(guān)于個(gè)人信息保護(hù)的許多重要措施的通過需要其批準(zhǔn)。歐盟《個(gè)人數(shù)據(jù)保護(hù)與流通指令》第31條于2003年9月29日進(jìn)行了修改，是整個(gè)指令實(shí)施以來唯一進(jìn)行了修改的條款，旨在授予歐盟委員會(huì)根據(jù)《歐共體條約》提及的程序行使法律文件規(guī)定的執(zhí)行權(quán)。

2.歐洲國家的兩種模式

歐盟成員國在歐盟《個(gè)人數(shù)據(jù)保護(hù)與流通指令》框架下，都建立了相應(yīng)的個(gè)人數(shù)據(jù)（信息）行政管理機(jī)構(gòu)，其中德國每個(gè)州還設(shè)置了數(shù)據(jù)（信息）保護(hù)機(jī)構(gòu)。歐洲的數(shù)據(jù)（信息）保護(hù)機(jī)構(gòu)在組織和作用上多有相似，但也存在差異，一些國家采取的是監(jiān)察（ombudsman）模式，如芬蘭、匈牙利和瑞典的個(gè)人信息監(jiān)管機(jī)構(gòu)；另一些國家采取的是管制（regulation）模式，如法國、波蘭和西班牙的個(gè)人信息監(jiān)管機(jī)構(gòu)[15]15-16。監(jiān)察模式的監(jiān)管機(jī)構(gòu)主要關(guān)注提出法律請(qǐng)求的特定個(gè)人的情況，如果認(rèn)為存在違反信息保護(hù)法律的情況，會(huì)為個(gè)人尋求救濟(jì)，如要求對(duì)有關(guān)的個(gè)人信息進(jìn)行修正，可能的話還要求給予賠償，但其自身并不廣泛地介入信息控制者的實(shí)踐活動(dòng)；管制模式的監(jiān)管機(jī)構(gòu)關(guān)注法律的遵守，當(dāng)收到投訴并判定違反信息保護(hù)規(guī)范的情況屬實(shí)時(shí)，考慮的不僅是個(gè)人的情況，而且包括決定采取何種可能行動(dòng)的一系列因素，其主要關(guān)注的是確保遵守法律而非為投訴的個(gè)人提供救濟(jì)[15]16。歐洲國家專門的個(gè)人行政主管機(jī)構(gòu)的詳細(xì)情況見表1。

3.美國的發(fā)展

英美法系國家或地區(qū)大都設(shè)置了“隱私專員公署”之類的個(gè)人信息（隱私）保護(hù)專門管理機(jī)構(gòu)，但美國是個(gè)例外，美國采取的是以行業(yè)自律為主導(dǎo)的個(gè)人信息保護(hù)體制，沒有設(shè)置專門的個(gè)人信息（隱私）保護(hù)管理機(jī)構(gòu)。據(jù)《華爾街日?qǐng)?bào)》報(bào)道，2010年12月16日奧巴馬政府表示，需要設(shè)立隱私保護(hù)公署（Privacy Policy Office），幫助制定互聯(lián)網(wǎng)“隱私法”以保護(hù)美國公民的隱私權(quán)，并協(xié)調(diào)全球隱私保護(hù)問題②。

4.亞洲國家或地區(qū)的選擇

亞洲國家或地區(qū)的情況不盡相同。日本在個(gè)人信息保護(hù)法立法過程中認(rèn)為，如果設(shè)置歐洲那樣對(duì)任何領(lǐng)域都擁有管理權(quán)限的個(gè)人信息保護(hù)行政機(jī)關(guān)，可能限制非公務(wù)部門本應(yīng)進(jìn)行的自由活動(dòng)，這不合乎日本的國情，與行政改革和放寬管制的趨勢相左，所以日本傾向于設(shè)置事后救濟(jì)制度③。日本《個(gè)人情報(bào)保護(hù)法》中沒有規(guī)定專門的個(gè)人信息保護(hù)執(zhí)法機(jī)構(gòu)，但第49條規(guī)定了“主管大臣”制度：內(nèi)閣總理大臣在認(rèn)為必要時(shí)，可以將特定的大臣指定為主管大臣。韓國設(shè)置了公務(wù)部門和非公務(wù)部門個(gè)人信息處理的不同機(jī)構(gòu)，國務(wù)總理下屬的個(gè)人信息保護(hù)審議委員會(huì)負(fù)責(zé)公務(wù)部門相關(guān)制度和政策的制定和完善，并對(duì)公務(wù)部門個(gè)人信息保護(hù)事項(xiàng)進(jìn)行協(xié)調(diào)，行政自治部負(fù)責(zé)指導(dǎo)公務(wù)部門的個(gè)人信息保護(hù)；信息通信部負(fù)責(zé)對(duì)非公務(wù)部門的個(gè)人信息處理糾紛的救濟(jì)，該部設(shè)立了個(gè)人信息糾紛調(diào)停委員會(huì)④。泰國設(shè)置了政府信息管理委員會(huì)，負(fù)責(zé)政府對(duì)個(gè)人信息的保護(hù)等事務(wù)⑤。

中國香港地區(qū)設(shè)置了個(gè)人資料（信息）私隱專員公署⑥，主要職責(zé)包括：監(jiān)督個(gè)人信息私隱專員的行政及管理工作；制訂行動(dòng)方針及程序，以執(zhí)行條例的規(guī)定；監(jiān)察及監(jiān)管各界遵守私隱條例的規(guī)定；行使核準(zhǔn)及發(fā)出實(shí)務(wù)守則的權(quán)力，為遵守條例的規(guī)定提供實(shí)務(wù)性指引；加強(qiáng)各界對(duì)條例的認(rèn)識(shí)和理解，以及促使各界遵守條例的規(guī)定；對(duì)認(rèn)為可能影響個(gè)人信息私隱的建議中的任何法例（包括附屬法例）加以審核，以及向建議制定有關(guān)法例的人士報(bào)告審核結(jié)果；視察機(jī)構(gòu)的個(gè)人信息系統(tǒng)，包括政府部門及法定團(tuán)體的系統(tǒng)；在接獲信息當(dāng)事人的投訴后，或是主動(dòng)對(duì)涉嫌違反條例規(guī)定的情況做出調(diào)查；就可能對(duì)個(gè)人信息私隱有不利影響的個(gè)人信息處理方法及計(jì)算機(jī)科技進(jìn)行研究，以及監(jiān)察其發(fā)展情況；就互相關(guān)注并涉及個(gè)人信息私隱的事項(xiàng)，與香港以外任何地方擔(dān)任類似信息保障職能的人士保持聯(lián)絡(luò)及互相合作。

中國澳門地區(qū)設(shè)有個(gè)人資料（信息）保護(hù)辦公室⑦，主要職能包括：監(jiān)察、協(xié)調(diào)對(duì)《個(gè)人資料保護(hù)法》的遵守和執(zhí)行，接受個(gè)人信息處理的通知，并做出登記；審批許可申請(qǐng)和其他申請(qǐng)；訂定保密制度，監(jiān)察該等制度的實(shí)施；接受、調(diào)查及處理有關(guān)個(gè)人信息保護(hù)方面的查詢、投訴或舉報(bào)，對(duì)違反《個(gè)人資料保護(hù)法》的行政違法行為做出處罰；向公眾宣傳《個(gè)人資料保護(hù)法》，令市民提升保護(hù)私隱的意識(shí)；對(duì)個(gè)人信息保護(hù)領(lǐng)域進(jìn)行理論研究，不斷完善相關(guān)的制度和規(guī)定。

中國臺(tái)灣地區(qū)尚未設(shè)立專門的個(gè)人信息保護(hù)行政管理機(jī)構(gòu)。不過，前面述及的“微軟個(gè)資保護(hù)中心”是臺(tái)灣針對(duì)個(gè)人信息保護(hù)議題設(shè)立的專職機(jī)構(gòu)（社會(huì)機(jī)構(gòu)）。

對(duì)于中國大陸法域而言，設(shè)立專門的全國個(gè)人信息管理機(jī)構(gòu)是必要的，其理由為：第一，設(shè)立專門的全國個(gè)人信息管理機(jī)構(gòu)符合大多數(shù)國家個(gè)人信息管理的慣例；第二，設(shè)立專門的全國個(gè)人信息管理機(jī)構(gòu)有利于統(tǒng)一領(lǐng)導(dǎo)全國個(gè)人信息保護(hù)工作；第三，設(shè)立專門的全國個(gè)人信息管理機(jī)構(gòu)有利于與其他國家或地區(qū)協(xié)調(diào)個(gè)人信息保護(hù)與跨境流通等問題。其職能可以包括：第一，統(tǒng)籌全國個(gè)人信息保護(hù)管理與執(zhí)法工作；第二，制定全國個(gè)人信息保護(hù)指導(dǎo)方針、政策、規(guī)劃等；第三，領(lǐng)導(dǎo)各級(jí)個(gè)人信息管理部門與執(zhí)法機(jī)構(gòu)的工作；第四，監(jiān)督全國日常的個(gè)人信息保護(hù)工作；第五，協(xié)調(diào)有關(guān)機(jī)構(gòu)或組織的個(gè)人信息保護(hù)工作；第六，與國際溝通個(gè)人信息保護(hù)工作，加強(qiáng)個(gè)人信息保護(hù)的國際合作。

（二）個(gè)人信息保護(hù)的行政監(jiān)管制度

行政主管部門對(duì)個(gè)人信息保護(hù)的監(jiān)管體現(xiàn)在對(duì)個(gè)人信息收集、處理、傳輸與利用等行為的事前監(jiān)督與事后監(jiān)督兩方面，而為了避免行政力量對(duì)市場行為的過度干預(yù)，一般情況下不宜設(shè)置事中監(jiān)督制度。

1.預(yù)先通知與預(yù)先審查制度

預(yù)先通知制度，是指個(gè)人信息本人以外的有關(guān)主體，在對(duì)個(gè)人信息進(jìn)行全部或部分處理操作前，須向行政監(jiān)管部門預(yù)先通知有關(guān)情況并公開處理操作的制度。預(yù)先通知制度有利于監(jiān)管部門對(duì)個(gè)人信息處理行為的事前監(jiān)督，也有利于個(gè)人信息本人預(yù)先了解個(gè)人信息處理的情況[6]261。預(yù)先審查制度，是指個(gè)人信息的行政監(jiān)管部門在收到處理個(gè)人信息的預(yù)先通知后，隨即進(jìn)行審查，從而決定是否允許其對(duì)個(gè)人信息進(jìn)行處理或是否需要采取必要措施的制度。預(yù)先審查制度在一定程度上有利于預(yù)先防止個(gè)人信息處理者的非法和不當(dāng)行為，有利于預(yù)先維護(hù)個(gè)人信息本人的正當(dāng)權(quán)益[6]263。

從現(xiàn)有立法例來看，尚只有歐盟及其成員國個(gè)人信息法規(guī)定了個(gè)人信息處理的預(yù)先通知和預(yù)先審查制度。在歐盟，各成員國對(duì)通知制度存在不同的主張，有些成員國的個(gè)人信息法主張實(shí)施通知制度，有些成員國則主張盡量避免通知和預(yù)先審查的嚴(yán)格程序要求。歐盟《個(gè)人數(shù)據(jù)保護(hù)與流通指令》采取了折中的做法，原則上，各成員國個(gè)人信息法應(yīng)當(dāng)規(guī)定管理者或其代表在進(jìn)行全部或部分自動(dòng)處理操作前，必須通知個(gè)人信息行政監(jiān)管機(jī)構(gòu)。各成員國可以規(guī)定在例外情況下，簡化或免除通知的義務(wù)，這些情況包括：個(gè)人信息處理侵害個(gè)人信息本人權(quán)利的風(fēng)險(xiǎn)較低，而且處理者提供了有關(guān)個(gè)人信息處理的具體信息；個(gè)人信息控制者任命了個(gè)人信息內(nèi)部保護(hù)專員，由其監(jiān)督個(gè)人信息處理的具體實(shí)施，以避免侵害個(gè)人信息本人的權(quán)利；個(gè)人信息處理的目的是為公眾提供信息；個(gè)人信息處理屬于合法的敏感個(gè)人信息的處理[6]258。

歐盟各成員國的個(gè)人信息法堅(jiān)持了歐盟《個(gè)人數(shù)據(jù)保護(hù)與流通指令》的預(yù)先通知原則，但對(duì)例外情況的規(guī)定有所不同。其中，荷蘭、瑞典、德國、法國等成員國的個(gè)人信息法規(guī)定，個(gè)人信息處理者通過任命內(nèi)部的個(gè)人信息保護(hù)專員監(jiān)督個(gè)人信息處理行為，可以不向個(gè)人信息保護(hù)機(jī)構(gòu)通知。對(duì)于是否應(yīng)當(dāng)通知的個(gè)人信息處理的類別等具體情形，奧地利《聯(lián)邦個(gè)人數(shù)據(jù)保護(hù)法》規(guī)定，只有涉及公開性和間接性的個(gè)人信息處理行為不用通知①；而葡萄牙、比利時(shí)、丹麥的個(gè)人信息法則規(guī)定處理員工的薪酬、員工管理等信息可以適用簡化通知程序或免除通知義務(wù)。

預(yù)先通知的內(nèi)容至少包括：管理者及其代表（如果有）的姓名和地址；操作的目的；個(gè)人信息本人及信息的類別，或與其相關(guān)信息類別的描述；可能向其公開信息的接收者或接收者的類別；擬議中向第三國進(jìn)行的信息轉(zhuǎn)讓；為保障處理的安全性而采取的措施的適度性做基本的評(píng)估②。

關(guān)于預(yù)先審查制度，歐盟《個(gè)人數(shù)據(jù)保護(hù)與流通指令》要求各成員國應(yīng)當(dāng)確定對(duì)個(gè)人信息本人的權(quán)利和自由帶來特定風(fēng)險(xiǎn)的處理操作，并應(yīng)當(dāng)在操作開始前檢查這些操作過程是否受到了檢驗(yàn)；監(jiān)管部門應(yīng)當(dāng)在收到由于產(chǎn)生懷疑而必須向監(jiān)管部門進(jìn)行咨詢的管理者或個(gè)人信息保護(hù)官員的通知后進(jìn)行預(yù)先檢查；各成員國也可以在國會(huì)所采取的措施或以這些立法措施為基礎(chǔ)而采取的措施的準(zhǔn)備過程中進(jìn)行檢查，以確定操作的性質(zhì)并制定適當(dāng)?shù)谋Ｗo(hù)方法③。

歐盟各成員國個(gè)人信息法都規(guī)定了預(yù)先審查制度，只是具體規(guī)定存在一定的不同。比如，葡萄牙規(guī)定國家數(shù)據(jù)（信息）保護(hù)委員會(huì)進(jìn)行預(yù)先審查的是：處理敏感個(gè)人信息；處理涉及非法活動(dòng)、犯罪和行政違法行為指控，以及適用刑法、安全措施、罰金與其他刑事決定的個(gè)人信息；處理涉及個(gè)人信用和破產(chǎn)的信息；對(duì)個(gè)人信息進(jìn)行互聯(lián)；在收集個(gè)人信息目的外使用個(gè)人信息①。而法國規(guī)定國家信息與自由委員會(huì)預(yù)先審查的是：處理敏感個(gè)人信息；醫(yī)療人員和生物學(xué)家為了預(yù)防醫(yī)學(xué)、醫(yī)療診斷、護(hù)理或治療管理的目的，自動(dòng)化處理基因信息；處理涉及犯罪、判決或安全措施的個(gè)人信息；如果法律無明確規(guī)定，自動(dòng)化信息處理因其性質(zhì)、重要性或目的可能剝奪個(gè)人的權(quán)利、服務(wù)或合同利益；對(duì)一個(gè)或多個(gè)涉及不同公共利益的信息庫進(jìn)行互聯(lián)；個(gè)人信息處理涉及自然人的身份編號(hào)；自動(dòng)化信息處理涉及個(gè)人社會(huì)問題的信息；自動(dòng)化信息處理包含確定個(gè)人身份所必須的生物信息②。從歐盟《個(gè)人數(shù)據(jù)保護(hù)與流通指令》和歐盟成員國的立法可見，預(yù)先審查制度既包括形式審查，也包括實(shí)質(zhì)審查。

2.登記備案與許可制度

個(gè)人信息處理的登記備案與許可制度目前主要是研究者的一種探討。比如，周漢華教授寫道：“其他個(gè)人信息處理者開始進(jìn)行個(gè)人信息收集之前，須向政府信息資源管理主管部門進(jìn)行登記。以個(gè)人信息處理為主要業(yè)務(wù)或通過個(gè)人信息處理營利的公民、法人或其他組織，在開始進(jìn)行個(gè)人信息收集之前，須經(jīng)政府信息資源主管部門行政許可?！雹坳P(guān)于登記制度的創(chuàng)設(shè)，楊麗華認(rèn)為：首先，明確規(guī)定監(jiān)督執(zhí)行機(jī)構(gòu)專門負(fù)責(zé)登記；其次，明確規(guī)定信息處理者收集個(gè)人信息前必須進(jìn)行登記以及符合登記的形式要件；最后，明確規(guī)定對(duì)不履行登記手續(xù)的信息處理者，監(jiān)督執(zhí)行機(jī)構(gòu)有采取行政措施的權(quán)力[16]38。

個(gè)人信息處理的許可制度，實(shí)際上是審查批準(zhǔn)個(gè)人信息處理者的個(gè)人信息處理資格的一種批準(zhǔn)制度，其規(guī)則與行政許可法的相應(yīng)規(guī)則基本相同。關(guān)于行政許可制度的建立，楊麗華認(rèn)為：個(gè)人信息處理許可制度要求其他個(gè)人信息處理者在進(jìn)行個(gè)人信息收集之前，需向監(jiān)督執(zhí)行機(jī)構(gòu)申請(qǐng)，監(jiān)督執(zhí)行機(jī)構(gòu)針對(duì)其申請(qǐng)，分別進(jìn)行形式審查和實(shí)質(zhì)審查，判定其是否具有從事該個(gè)人信息收集的資格，決定其是否可以實(shí)施這種行為；并非所有信息處理者都要申請(qǐng)?jiān)S可，個(gè)人信息行政許可制度應(yīng)當(dāng)只限于以信息處理為業(yè)務(wù)或者牟利的信息處理者；若信息處理者未經(jīng)行政許可，擅自處理個(gè)人信息的，監(jiān)督執(zhí)行機(jī)構(gòu)可以采取行政措施[16]38。

關(guān)于個(gè)人信息處理登記與許可申請(qǐng)應(yīng)當(dāng)載明的事項(xiàng)，周漢華教授認(rèn)為應(yīng)當(dāng)包括：自然人的姓名、身份證號(hào)、住址、法人或其他組織的名稱、住所、法定代表人或主要負(fù)責(zé)人的姓名；個(gè)人信息文件的名稱；個(gè)人信息的使用目的；個(gè)人信息的主要內(nèi)容；個(gè)人信息的收集方法；個(gè)人信息的保存期限；個(gè)人信息文件的主要使用者；個(gè)人信息文件的公開方式與地點(diǎn)；個(gè)人信息文件的安全保護(hù)措施；個(gè)人信息文件安全保護(hù)主要負(fù)責(zé)人姓名、身份證號(hào)、住址及簡歷；國務(wù)院信息資源主管部門要求的其他事項(xiàng)④。

3.申訴與救濟(jì)制度

申訴制度，是指個(gè)人信息本人因其個(gè)人信息權(quán)利遭受公務(wù)部門主體或公務(wù)部門以外主體的侵害，而向個(gè)人信息行政管理機(jī)構(gòu)投訴的制度。個(gè)人信息行政管理機(jī)構(gòu)根據(jù)個(gè)人信息本人的申訴，依法律、依職權(quán)對(duì)侵害個(gè)人信息權(quán)利的行為進(jìn)行查處，此即個(gè)人信息遭受侵害的行政救濟(jì)制度。行政申訴制度與救濟(jì)制度的規(guī)則與行政法的相應(yīng)規(guī)則基本一致，個(gè)人信息法一般只針對(duì)個(gè)人信息保護(hù)的特殊之處，制定相應(yīng)的規(guī)范。

對(duì)于公務(wù)部門處理個(gè)人信息的行為而言，這是出于履行法定職責(zé)，進(jìn)行行政管理的需要，構(gòu)成行政法律關(guān)系；因而，個(gè)人信息本人的權(quán)利受到公務(wù)部門侵害的，除了采取個(gè)人信息法規(guī)定的司法救濟(jì)方式外，還可以通過行政復(fù)議、行政訴訟獲得行政救濟(jì)[16]36。依中國大陸法域現(xiàn)行法律，個(gè)人信息本人在要求公開、修改個(gè)人信息遭到公務(wù)部門拒絕的，可以就這一具體行政行為申請(qǐng)行政復(fù)議或提起行政訴訟；如果個(gè)人信息本人要求公開、修改個(gè)人信息，公務(wù)部門不予答復(fù)，個(gè)人信息本人可以依行政不作為申請(qǐng)行政復(fù)議或提起行政訴訟；而且個(gè)人信息本人對(duì)救濟(jì)的途徑有選擇權(quán)[16]37。日本于2005年施行的《信息公開及個(gè)人信息保護(hù)審查會(huì)設(shè)置法》規(guī)定，凡是與個(gè)人信息處理有關(guān)的行政復(fù)議案件，復(fù)議機(jī)關(guān)必須咨詢專門設(shè)立的“信息公開與個(gè)人信息保護(hù)審查委員會(huì)”的意見，該機(jī)構(gòu)的委員具有較高的專業(yè)水平和獨(dú)立地位，復(fù)議機(jī)關(guān)一般比較尊重其提出的意見①。韓國行政自治部負(fù)責(zé)公務(wù)部門的個(gè)人信息保護(hù)，相關(guān)的爭議通過一般的行政復(fù)議或行政訴訟方式解決。

個(gè)人信息遭受侵害者向個(gè)人信息管理機(jī)構(gòu)提起申訴后，個(gè)人信息管理機(jī)構(gòu)應(yīng)當(dāng)根據(jù)申訴的事項(xiàng)范圍，決定是否受理。在歐盟，各成員國對(duì)應(yīng)當(dāng)受理的事項(xiàng)范圍的規(guī)定存在不同，西班牙、葡萄牙、丹麥、法國等國家的立法規(guī)定，只要申訴的事項(xiàng)與個(gè)人信息處理有關(guān)，個(gè)人信息管理機(jī)構(gòu)就有權(quán)受理。但芬蘭、奧地利等國的立法則規(guī)定，個(gè)人信息本人申訴的事項(xiàng)只能是涉及查閱和修改個(gè)人信息等權(quán)利行使的事項(xiàng)。

個(gè)人信息管理部門在受理了個(gè)人信息本人的申訴后，將根據(jù)具體情況決定是否展開調(diào)查。而調(diào)查的對(duì)象是除個(gè)人信息本人外的其他相關(guān)個(gè)人信息控制者的個(gè)人信息處理行為。經(jīng)過調(diào)查后，個(gè)人信息管理機(jī)構(gòu)確定相關(guān)的個(gè)人信息控制者是否違法，決定是否采取行政強(qiáng)制措施，決定解決糾紛的具體方式。解決糾紛的方式包括行政調(diào)解、行政裁決、行政處罰等。比如，奧地利《聯(lián)邦個(gè)人數(shù)據(jù)保護(hù)法》規(guī)定：在獲知個(gè)人信息本人的請(qǐng)求并未涉及立法或司法行為所需的信息使用范圍，數(shù)據(jù)（信息）保護(hù)委員會(huì)應(yīng)當(dāng)對(duì)個(gè)人信息所有人主張的，由數(shù)據(jù)應(yīng)用程序的管理員對(duì)其享有的知情權(quán)造成的侵害做出裁決；當(dāng)處理相關(guān)申訴時(shí)，如存在緊急情況，在涉及信息準(zhǔn)確性的爭議情況時(shí)，數(shù)據(jù)（信息）保護(hù)委員會(huì)可以完全或部分禁止對(duì)個(gè)人信息進(jìn)一步的使用，命令管理員對(duì)該爭議點(diǎn)做出標(biāo)記②。

四、個(gè)人信息保護(hù)中的社會(huì)監(jiān)督

社會(huì)監(jiān)督是個(gè)人信息保護(hù)中國家機(jī)關(guān)、行業(yè)內(nèi)部以外的第三種監(jiān)督力量，也是最為廣泛的監(jiān)督力量，并日益成為一種強(qiáng)有力的監(jiān)督力量，對(duì)個(gè)人信息保護(hù)有不可忽視的作用。個(gè)人信息保護(hù)的社會(huì)監(jiān)督包括個(gè)人信息保護(hù)團(tuán)體的監(jiān)督，媒體輿論的監(jiān)督以及社會(huì)公眾的監(jiān)督等。個(gè)人信息法對(duì)社會(huì)監(jiān)督機(jī)制一般應(yīng)當(dāng)設(shè)置相應(yīng)的指引性規(guī)范，以保證社會(huì)監(jiān)督有序進(jìn)行并發(fā)揮積極的作用。

（一）個(gè)人信息保護(hù)中的社會(huì)團(tuán)體監(jiān)督

個(gè)人信息保護(hù)團(tuán)體主要是指專業(yè)、專門針對(duì)個(gè)人信息保護(hù)進(jìn)行社會(huì)監(jiān)督的團(tuán)體，傳統(tǒng)的消費(fèi)者利益保護(hù)團(tuán)體、工會(huì)等有時(shí)也會(huì)涉足個(gè)人信息保護(hù)領(lǐng)域，但后者一般只是起到輔助、補(bǔ)充的作用。在社會(huì)管理創(chuàng)新思想引導(dǎo)下，社會(huì)團(tuán)體介入個(gè)人信息保護(hù)領(lǐng)域，往往能發(fā)揮著比政府直接介入該領(lǐng)域更有成效的作用。社會(huì)團(tuán)體作為一種公益性組織，是維護(hù)個(gè)人信息權(quán)利，監(jiān)督企業(yè)、行業(yè)等對(duì)個(gè)人信息的收集、處理、傳輸與利用行為的重要社會(huì)力量。比如，位于紐約的個(gè)人信息隱私保護(hù)的民間團(tuán)體“隱私國際”③針對(duì)谷歌的隱私保護(hù)狀況，曾提出批評(píng)，認(rèn)為沒有一家互聯(lián)網(wǎng)企業(yè)的隱私政策像谷歌那樣“對(duì)用戶隱私有如此大的威脅”，谷歌對(duì)此做出了積極回應(yīng)，并努力改進(jìn)在線隱私政策④。

在個(gè)人信息保護(hù)社會(huì)團(tuán)體的監(jiān)督方面，日本《個(gè)人情報(bào)保護(hù)法》采取了認(rèn)可、支持與引導(dǎo)的國家政策，該法第4章第2節(jié)“由民間團(tuán)體推動(dòng)的個(gè)人信息保護(hù)”對(duì)民間團(tuán)體在個(gè)人信息保護(hù)中涉及的事項(xiàng)進(jìn)行了全面規(guī)定。其中，第37條、第38條規(guī)定了成立個(gè)人信息保護(hù)團(tuán)體須向主管大臣申請(qǐng)，并要有符合法定條件的成員；第39條規(guī)定了認(rèn)定個(gè)人信息保護(hù)團(tuán)體的標(biāo)準(zhǔn)；第40條規(guī)定了個(gè)人信息保護(hù)團(tuán)體申報(bào)廢止的程序；第41條、第42條規(guī)定了個(gè)人信息保護(hù)團(tuán)體的業(yè)務(wù)范圍、處理爭議的程序；第43條規(guī)定個(gè)人信息保護(hù)團(tuán)體須依該法制定個(gè)人信息保護(hù)指導(dǎo)方針；第44條、第45條對(duì)個(gè)人信息保護(hù)團(tuán)體名稱的使用進(jìn)行了限制，禁止目的外使用，禁止未經(jīng)認(rèn)定的團(tuán)體使用；第46至49條對(duì)主管大臣監(jiān)督個(gè)人信息保護(hù)團(tuán)體業(yè)務(wù)等事項(xiàng)進(jìn)行了規(guī)定。

中國臺(tái)灣地區(qū)于2008年成立了社團(tuán)法人臺(tái)灣個(gè)人資料（信息）保護(hù)協(xié)會(huì)⑤，其宗旨是以保護(hù)個(gè)人信息免于不當(dāng)搜集（收集）、處理及利用過程所產(chǎn)生的風(fēng)險(xiǎn)，并促進(jìn)個(gè)人信息的合理利用。其任務(wù)包括：接受個(gè)人或團(tuán)體相關(guān)信息遭受國家或私人的不當(dāng)搜集（收集）、使用、交換的案件申訴；監(jiān)督并督促政府個(gè)人信息保護(hù)主管機(jī)關(guān)的政策推動(dòng)與法令執(zhí)行；向社會(huì)大眾推廣隱私權(quán)及個(gè)人信息保護(hù)的觀念；刊行會(huì)志、會(huì)報(bào)及相關(guān)的各類書籍；與國內(nèi)外相關(guān)團(tuán)體暨學(xué)術(shù)研究機(jī)構(gòu)舉辦交流活動(dòng)及學(xué)術(shù)聯(lián)系；推動(dòng)個(gè)人信息保護(hù)專門教學(xué)與研究機(jī)構(gòu)的設(shè)立；其他促進(jìn)個(gè)人信息保護(hù)發(fā)展的相關(guān)活動(dòng)。

（二）個(gè)人信息保護(hù)中的媒體輿論監(jiān)督

媒體輿論監(jiān)督是通過紙質(zhì)報(bào)刊、廣播電視、網(wǎng)絡(luò)新媒體等信息平臺(tái)對(duì)個(gè)人信息保護(hù)中的違法、不當(dāng)行為的監(jiān)督、批評(píng)與指正。尤其是網(wǎng)絡(luò)新媒體，已經(jīng)成為一種強(qiáng)大的監(jiān)督平臺(tái)，日益成為及時(shí)高效地對(duì)侵害個(gè)人信息權(quán)利的行為進(jìn)行輿論監(jiān)督的重要媒介。媒體輿論的監(jiān)督包括新聞報(bào)道、編讀往來、舉報(bào)平臺(tái)、專家評(píng)論等多種方式。比如，針對(duì)大學(xué)生求職中存在的個(gè)人信息泄露問題，媒體進(jìn)行了報(bào)道，指出大學(xué)生在求職期間，把自己的電子郵箱和手機(jī)號(hào)等個(gè)人信息公布在網(wǎng)上，結(jié)果遭到人才服務(wù)機(jī)構(gòu)的非法、不當(dāng)收集，使求職者即使在找到工作后，仍然會(huì)遭到不定期的垃圾廣告郵件、手機(jī)群發(fā)短信的騷擾[17]。

媒體輿論往往對(duì)侵害個(gè)人信息權(quán)利者造成強(qiáng)大的心理壓力，有時(shí)發(fā)揮著比法律手段更有效的作用，促進(jìn)侵害個(gè)人信息權(quán)利者及時(shí)對(duì)其行為進(jìn)行改正或采取補(bǔ)救措施。比如，以Web方式登錄谷歌郵箱后網(wǎng)頁出現(xiàn)的有針對(duì)性投放的廣告信息，被認(rèn)為與對(duì)個(gè)人郵件內(nèi)的文字、文檔內(nèi)容進(jìn)行分析的結(jié)果有關(guān)，涉嫌侵害個(gè)人信息，對(duì)此谷歌進(jìn)行了說明，指出谷歌只會(huì)通過掃描谷歌郵箱中的消息來展示相關(guān)性廣告，而不會(huì)掃描用戶存儲(chǔ)在谷歌文檔中的內(nèi)容①；與此同時(shí)，谷歌也在不斷地積極改進(jìn)個(gè)人信息保護(hù)機(jī)制，特別是2012年3月實(shí)行了對(duì)保護(hù)個(gè)人信息隱私更有利的新的隱私權(quán)政策。

當(dāng)然，媒體輿論監(jiān)督必須在遵守媒體倫理、職業(yè)道德，遵守媒體法律的框架下進(jìn)行，避免利用媒體輿論造成對(duì)有關(guān)主體正當(dāng)權(quán)利的侵害。比如，在涉及個(gè)人隱私的新聞報(bào)道中要進(jìn)行匿名處理，不能直接披露被報(bào)道對(duì)象真實(shí)的姓名、明確的身份等個(gè)人信息。在涉及司法的新聞報(bào)道領(lǐng)域，英國、加拿大的法官有權(quán)禁止發(fā)表可能導(dǎo)致“司法程序受到嚴(yán)重阻礙或損害重大風(fēng)險(xiǎn)”的信息，從嫌疑人被捕或被起訴到被判決，新聞工作者可以旁聽審判，但限制其報(bào)道的內(nèi)容；在另一些國家，民法和刑法均有條款對(duì)可報(bào)道或不可報(bào)道的信息類別予以規(guī)定，一般限制內(nèi)容涉及犯罪受害者的姓名、離婚案或兒童監(jiān)護(hù)案中的家庭詳情，或者被告過去犯罪記錄等；而在瑞典等一些沒有此類規(guī)定的國家，新聞工作者的職業(yè)操守要求，除“有公共利益上的明顯需要”，否則不得將被告身份公開②。

（三）個(gè)人信息保護(hù)中的社會(huì)公眾監(jiān)督

社會(huì)公眾是最廣泛的社會(huì)監(jiān)督主體，社會(huì)公眾的監(jiān)督是無處不在的廣泛監(jiān)督力量。社會(huì)公眾對(duì)侵害個(gè)人信息權(quán)利行為的監(jiān)督方式很多，包括網(wǎng)上文字披露、批評(píng)，直接投訴或申訴，提起公益訴訟等。比如，2005年底，以“搜人”為服務(wù)內(nèi)容的網(wǎng)站—優(yōu)庫網(wǎng)（ucloo.com）推出，在其網(wǎng)站上可以搜索到海量個(gè)人信息，并有償提供個(gè)人信息內(nèi)容服務(wù)，由于其服務(wù)涉嫌大量泄露個(gè)人信息，遭到社會(huì)公眾的猛烈抨擊而在壓力下被迫進(jìn)行了整改③。而個(gè)人博客、網(wǎng)絡(luò)社區(qū)、微博等網(wǎng)絡(luò)應(yīng)用，也已然成為公眾進(jìn)行社會(huì)監(jiān)督包括對(duì)侵害個(gè)人信息權(quán)利行為進(jìn)行監(jiān)督的重要平臺(tái)。

當(dāng)然，對(duì)于社會(huì)公眾監(jiān)督，也必須堅(jiān)持個(gè)人信息法的引導(dǎo)，要防止出現(xiàn)不負(fù)責(zé)任甚至制造虛假信息的情況，在保障社會(huì)公眾監(jiān)督權(quán)利的同時(shí)，應(yīng)當(dāng)保證社會(huì)公眾監(jiān)督的秩序，而不是造成一種無序、噪雜的狀態(tài)。值得一提的是，網(wǎng)上投訴平臺(tái)是一種既能方便社會(huì)公眾監(jiān)督，又能保證社會(huì)公眾監(jiān)督秩序的平臺(tái)。因而，開通相關(guān)的平臺(tái)，并對(duì)投訴信息進(jìn)行及時(shí)處理，對(duì)涉及的問題進(jìn)行及時(shí)解決，對(duì)于發(fā)揮公眾監(jiān)督的作用具有重要意義。在這方面，歐洲很多國家均建立了公眾針對(duì)個(gè)人信息問題的網(wǎng)上投訴通道。比如，斯洛伐克信息保護(hù)專員機(jī)構(gòu)的官方網(wǎng)站上就開通了一個(gè)接受公眾投訴、反饋的在線提交平臺(tái)，公眾可以提交關(guān)于個(gè)人信息監(jiān)管中的批評(píng)、建議和問題④。在中國，搜索引擎“百度”設(shè)立了包括網(wǎng)頁投訴中心、貼吧投訴中心、推廣投訴中心等的大型網(wǎng)上投訴平臺(tái)⑤，用戶對(duì)在百度發(fā)現(xiàn)的不良信息、侵權(quán)信息均可直接通過該平臺(tái)進(jìn)行投訴，百度投訴中心的工作人員承諾一般在24小時(shí)內(nèi)將投訴的處理結(jié)果反饋給投訴者。

[參考文獻(xiàn)]

吳嘉生.資訊倫理與法律[M].臺(tái)北：國立空中大學(xué)，1997.

朱景文.法理學(xué)[M].北京：中國人民大學(xué)出版社，2008.

詹炳耀，任文瑗，郭秋田，張?jiān)Ｃ?資訊倫理與法律[M].臺(tái)北：臺(tái)北旗標(biāo)出版有限股份有限公司，2006.

蔣坡.國際信息政策法律比較[M].北京：法律出版社，2001.

齊愛民.拯救信息社會(huì)中的人格：個(gè)人信息保護(hù)法總論[M].北京：北京大學(xué)出版社，2009.

孔令杰.個(gè)人資料隱私的法律保護(hù)[M].武漢：武漢大學(xué)出版社，2009.

熊愛卿.網(wǎng)際網(wǎng)路個(gè)人資料保護(hù)研究[D].臺(tái)北：臺(tái)灣大學(xué)法律學(xué)研究所，2000.

洪海林.個(gè)人信息的民法保護(hù)研究[M].北京：法律出版社，2010.

王麗萍，步雷，等.信息時(shí)代隱私權(quán)保護(hù)研究[M].濟(jì)南：山東人民出版社，2008.

呂艷濱.信息法治政府治理新視角[M].北京：社會(huì)科學(xué)文獻(xiàn)出版社，2009.

郎慶斌，孫鵬.大連個(gè)人信息保護(hù)評(píng)價(jià)體系[M]//李林.中國法治發(fā)展報(bào)告.北京：社會(huì)科學(xué)文獻(xiàn)出版社，2010.

齊愛民.中華人民共和國個(gè)人信息保護(hù)法示范法草案學(xué)者建議稿[J].河北法學(xué)，2005（6）：2-5.

周漢華.中華人民共和國個(gè)人信息保護(hù)法（專家建議稿）及立法研究報(bào)告[R].北京：法律出版社，2006.

戴恩·羅蘭德，伊莉莎白·麥克唐納.信息技術(shù)法[M].宋連斌，等，譯.2版.武漢：武漢大學(xué)出版社，2004.

庫勒.歐洲數(shù)據(jù)保護(hù)法：公司遵守與管制[M].曠野，楊會(huì)永，等，譯.2版.北京：法律出版社，2008.

楊麗華.行政法視野中的個(gè)人信息保護(hù)—從兩則案例引發(fā)的思考[D].蘭州：蘭州大學(xué)，2009.

霍仟，來揚(yáng).大學(xué)生求職須謹(jǐn)防個(gè)人信息泄露[N].中國青年報(bào)，2011-05-30（7）.

[責(zé)任編輯 張桂霞]