高志明

[摘 要]對個人信息利益、個人信息流轉(zhuǎn)的調(diào)整可分為國家層面與社會層面，國家層面包括個人信息相關(guān)立法，專門、專業(yè)的行政管理機構(gòu)的監(jiān)管，通過法的適用對侵害個人信息權(quán)利的行為追究法律責(zé)任；社會層面包括通過市場機制調(diào)節(jié)的個人信息契約行為，組織內(nèi)部建立個人信息保護專員制度，相關(guān)行業(yè)制定行業(yè)自律規(guī)范，個人信息保護協(xié)會等社會組織、媒體輿論、社會公眾的監(jiān)督等。個人信息保護中的行業(yè)自律機制是一種基于市場機制、基于市民社會內(nèi)部的自覺自發(fā)、自下而上的機制，具有專業(yè)性、經(jīng)濟性、相對靈活性等優(yōu)點。行政部門對個人信息流轉(zhuǎn)的監(jiān)管體現(xiàn)在對個人信息處理的事前審查與事后救濟兩方面，包括預(yù)先通知與預(yù)先審查制度、登記備案與許可制度、申訴與救濟制度等。

[關(guān)鍵詞]個人信息保護；自律；監(jiān)督

[中圖分類號]D93/97 [文獻標識碼]A [文章編號]1671-8372（2016）03-0083-12

一、個人信息保護中的多元機制

學(xué)者吳嘉生認為，在信息社會中，我們期盼在信息科技基礎(chǔ)上，建立完整的三個規(guī)范層次：自律規(guī)范（倫理道德規(guī)范）、社會規(guī)范（介于道德與國家法律之間的規(guī)范）與法律規(guī)范；雖然這個三層次架構(gòu)在不同國家、文化與社會環(huán)境中，會有不同的具體表現(xiàn)，但這種架構(gòu)是不會改變的[1]156-157。實際上，從法理的角度來看，社會調(diào)整根據(jù)其作用于人們行為的方式與人們服從原因的不同，可分為內(nèi)在調(diào)整（自律）與外在調(diào)整（他律）。內(nèi)在調(diào)整使人們認識到從事某種行為是否正當，使外在的行為規(guī)則內(nèi)化為自覺從事正當行為的一種習(xí)慣，是人的社會化過程的體現(xiàn)；外在調(diào)整則是通過外部規(guī)范的壓力，使人們遵守一定社會規(guī)范的過程[2]45。在個人信息法中規(guī)定一定的自律機制與監(jiān)督機制，實現(xiàn)內(nèi)在調(diào)整與外在調(diào)整的有機結(jié)合，對促進個人信息保護具有積極意義。對此，各國家或地區(qū)的相關(guān)立法多有體現(xiàn)。

對個人信息利益、個人信息流轉(zhuǎn)的調(diào)整可分為國家層面上的調(diào)整與社會層面上的調(diào)整，二者綜合構(gòu)成一種多元機制。在國家層面上，通過立法活動制定出統(tǒng)一的規(guī)范個人信息利益的法律，通過專門的行政管理機構(gòu)對個人信息流轉(zhuǎn)進行監(jiān)管，通過法的適用對侵害個人信息權(quán)利的行為追究法律責(zé)任、施以法律制裁。在社會層面上，相關(guān)主體之間形成個人信息法律關(guān)系，個人信息交易等契約行為依市場機制進行調(diào)節(jié)，相關(guān)行業(yè)制定適用全行業(yè)的自律規(guī)范，個人信息保護協(xié)會等社會組織對個人信息流轉(zhuǎn)行為進行社會監(jiān)督等。

圖1 個人信息保護的多元機制

多元機制能夠較為有效地防止個人信息保護中的法律失效、政府失靈、市場失靈等問題。在統(tǒng)一的個人信息法中，企業(yè)自律、行業(yè)自律機制，行政監(jiān)管制度，以及社會監(jiān)督機制，通常都體現(xiàn)為相應(yīng)的原則性、引導(dǎo)性規(guī)范。國家層面對個人信息的立法規(guī)范與司法救濟，已經(jīng)多有論述，本文探討個人信息保護中的企業(yè)自律、行業(yè)自律、行政監(jiān)管及社會監(jiān)督問題。

二、個人信息保護中的自律

自律即社會個體的自我約束、自我控制，使自我行為符合一定的道德規(guī)范。自律是與自由相伴的一個概念，法律保障人們的自由，但同時也需要倫理道德等規(guī)范約束人們的行為，這是一種內(nèi)在的自我約束，旨在避免過分擴展甚至濫用個人權(quán)利自由而侵害他人的正當權(quán)益。

信息社會必須正視高科技帶來的副作用，因為信息科技的不當利用對社會造成的傷害，有時還超過該科技所帶來的便利；倫理道德是行為的指導(dǎo)準則，信息社會須構(gòu)建相應(yīng)的倫理道德，以規(guī)范人們的行為[3]3-12。

在個人信息保護問題上，自律指由相關(guān)公司企業(yè)或產(chǎn)業(yè)實體聯(lián)合制定該行業(yè)的行為規(guī)范或行為指引，在行業(yè)內(nèi)部遵循的保護個人信息權(quán)利的機制[4]443。個人信息保護的自律規(guī)范通常是一套關(guān)于個人信息保護的完整的行為規(guī)范或道德準則，分為技術(shù)規(guī)范與社會規(guī)范兩類，前者指直接以技術(shù)標準作為規(guī)范，后者指人們在個人信息收集、處理、傳輸與利用等過程中形成的維系正常有序的個人信息法律關(guān)系所要求的規(guī)范[5]185。

個人信息保護中的自律包括企業(yè)自律與行業(yè)自律。

（一）個人信息保護中的企業(yè)自律

個人信息保護中的企業(yè)自律，是指相關(guān)企業(yè)在收集、處理、傳輸與利用個人信息過程中的自我約束。其中最主要的是設(shè)立企業(yè)內(nèi)部的個人信息保護專員制度，該制度由德國首創(chuàng)，1977年德國數(shù)據(jù)保護法律就明確規(guī)定了這一制度。歐盟《個人數(shù)據(jù)保護與流通指令》采納了德國的做法，允許個人信息控制者依法任命個人信息保護專員，獨立負責(zé)確保個人信息保護法在控制者內(nèi)部的適用，對控制者實施的個人信息處理行為進行登記，并確保個人信息處理不對個人信息本人的權(quán)利和自由造成不利影響①。德國、荷蘭、瑞典和盧森堡等國的個人信息法都規(guī)定了企業(yè)內(nèi)部設(shè)立個人信息保護專員的制度。具有一定專業(yè)知識與經(jīng)驗者才有資格成為個人信息保護專員，企業(yè)內(nèi)部的個人信息保護專員須以書面形式任命，其職責(zé)主要是負責(zé)監(jiān)督個人信息保護法律規(guī)范在企業(yè)的實施，監(jiān)督企業(yè)內(nèi)部的個人信息處理行為，避免企業(yè)侵害個人信息本人的權(quán)利。

由于企業(yè)內(nèi)部個人信息保護專員是由具有專業(yè)知識和經(jīng)驗者擔(dān)任，他們處在個人信息流轉(zhuǎn)諸環(huán)節(jié)的監(jiān)督“前線”，能夠直接了解信息控制者實施的個人信息處理行為的具體情況，可以因地制宜地提出更可行的指導(dǎo)、意見和建議，因而能夠卓有成效地監(jiān)督企業(yè)的個人信息處理行為[6]265。這是該制度的優(yōu)勢所在。而該制度的缺點主要是這種個人信息保護的內(nèi)部監(jiān)督機制掣肘于相關(guān)企業(yè)內(nèi)部的高層管理者及管理部門，可能存在失靈或虛設(shè)等問題。

除了設(shè)立個人信息保護專員外，一般網(wǎng)絡(luò)企業(yè)特別是大型網(wǎng)絡(luò)企業(yè)都重視個人信息收集、處理、傳輸與利用中的自律，并做出了相應(yīng)的在線個人信息隱私保護承諾或聲明。比如，新浪網(wǎng)規(guī)定了較為細致的個人信息隱私政策：第一，明確了站點收集的個人信息范圍，包括用戶的姓名、地址和電話號碼，用戶有權(quán)隨時決定不接受來自新浪網(wǎng)的任何信息；第二，采取適當?shù)牟襟E保護用戶的個人信息隱私，每當用戶提供敏感信息時，新浪網(wǎng)將采取合理的步驟保護該敏感信息，采取合理的安全手段保護已存儲的個人信息，除非根據(jù)法律或政府的強制性規(guī)定，在未得到用戶的許可前，不把用戶的任何個人信息提供給無關(guān)的第三方；第三，規(guī)定了管理涉及隱私的個人信息的五項原則，包括明確詢問、說明用途、選擇拒絕、特殊披露、投訴舉報等；第四，說明了cookies的用途；第五，公布了更新提供給新浪網(wǎng)的個人信息的渠道①。搜狐、網(wǎng)易等大型門戶網(wǎng)站均有類似的個人信息隱私保護聲明，包括在收集、處理、傳輸與利用個人信息時均遵循用戶同意、知情、選擇等原則。特別值得一提的是，谷歌于2011年10月20日修改了隱私權(quán)政策（2012年3月1日生效），詳細地規(guī)定了收集哪些個人信息，收集的原因、方式，對收集的個人信息的使用方式，為用戶提供接受與拒絕收集的選擇，訪問和更新個人信息的方式等②。

（二）個人信息保護中的行業(yè)自律

在個人信息保護領(lǐng)域，單純依靠行政、司法等公權(quán)力，可能會存在成本過高、政府失靈、法律失靈等問題；而純粹采取自由交易的市場模式，個人在保護其個人信息權(quán)利時可能耗費很高的代價，也存在市場失靈的情況，導(dǎo)致個人無法以私力救濟方式保護其個人信息。行業(yè)自律規(guī)范往往為大多數(shù)企業(yè)所公認，在特定行業(yè)領(lǐng)域內(nèi)具有廣泛的權(quán)威性并能夠得到自覺遵守，通過行業(yè)自律機制能夠較好地解決特定行業(yè)對個人信息特殊保護的問題[7]83-84。

1.行業(yè)自律的典型—美國

從各國家或地區(qū)現(xiàn)有的個人信息救濟制度來看，行業(yè)自律機制均受到普遍重視。特別是美國尤其強調(diào)行業(yè)自律在個人信息保護中的主導(dǎo)地位。自律觀念在美國整個社會受到推崇，在一定程度上，與其說自律機制在美國很發(fā)達，不如說自律在美國更是一種文化傳統(tǒng)或社會習(xí)慣。美國的立憲者相信人民的善行與自律，因而美國憲法主要規(guī)定了限制政府公權(quán)力和保障人民私權(quán)利的條款，只闡明了人民的權(quán)利，而并未提及人民的責(zé)任與義務(wù)[5]184-185。美國對個人信息保護的有限立法主要集中在公共領(lǐng)域，而諸多私人領(lǐng)域則采取各種行業(yè)自律機制。

1996年12月，美國政府發(fā)布了《全球電子商務(wù)政策框架》白皮書，闡明了保護個人信息隱私的重要性及相關(guān)內(nèi)容，指出保護個人信息隱私對商務(wù)活動的重要意義，并提出消費者的個人信息隱私受到侵害應(yīng)當?shù)玫窖a償。但美國政府對個人信息隱私采取的是行業(yè)自律為主導(dǎo)的模式。1997年7月1日，美國政府發(fā)布了《全球電子商務(wù)架構(gòu)報告》，指出政府應(yīng)避免對電子商務(wù)活動予以過多法律限制，而應(yīng)采取市場主導(dǎo)的原則。這表明了美國政府對信息時代個人信息隱私保護所采取的基本立場。

個人信息隱私保護的行業(yè)自律主要有四種類型：

其一，技術(shù)性選擇保護（technical protection）。采取一定標準的個人信息隱私保護軟件，給用戶提供是否同意收集其個人信息的選擇，將選擇權(quán)交給用戶自己。最著名的技術(shù)性選擇保護個人信息軟件是“個人隱私偏好平臺”（Personal Privacy Preference Platform， “P3P”），用戶可以將其個人隱私偏好設(shè)定在該軟件的選項中，從而形成用戶與網(wǎng)絡(luò)服務(wù)商在個人信息收集問題上的一個電子協(xié)議。

其二，在線隱私（認證）標識計劃（online privacy seal program）。由網(wǎng)絡(luò)隱私認證機構(gòu)對申請的從業(yè)者進行審查，對同意遵守機構(gòu)制定的個人信息隱私保護規(guī)則的網(wǎng)站，授權(quán)掛出特定的在線隱私認證標識。在線隱私認證是跨行業(yè)的，其代表有TRUSTe③和BBBonline④等。

其三，建設(shè)性行業(yè)指引（suggestive industry guidelines）。由從事網(wǎng)絡(luò)業(yè)務(wù)的行業(yè)聯(lián)盟制定適用于行業(yè)內(nèi)部的網(wǎng)上個人信息隱私保護的建設(shè)性指引，要求行業(yè)聯(lián)盟的成員發(fā)布與執(zhí)行，而具體的個人信息隱私保護辦法由從業(yè)者自行制定。建設(shè)性行業(yè)指引不跨行業(yè)，其代表是“在線隱私聯(lián)盟”（Online Privacy Alliance）⑤指引。

其四，行業(yè)自律規(guī)范（industry self-regulations）。相關(guān)行業(yè)的聯(lián)盟或協(xié)會提出適用于本行業(yè)的自律規(guī)范，試圖通過同行業(yè)彼此良性競爭發(fā)揮自律規(guī)范的拘束作用，以取代統(tǒng)一的個人信息隱私規(guī)范可能無法顧及的專業(yè)上特別需求的缺陷，其代表是美國直銷協(xié)會配合聯(lián)邦貿(mào)易委員會提出的行業(yè)自律規(guī)范[8]185-186。

2.行業(yè)自律在其他國家的發(fā)展

日本的個人信息保護體制以立法規(guī)范為主導(dǎo)，制定了《個人情報保護法》，但對一定領(lǐng)域內(nèi)的個人信息保護也采取了行業(yè)自律機制。日本政府認為，公務(wù)部門與非公務(wù)部門收集、利用個人信息的目的、方法不同，侵害個人信息隱私的樣態(tài)也不同，如果對所有領(lǐng)域的個人信息隱私保護都采用剛性的法律，則在有效防止公務(wù)部門侵害個人信息權(quán)利的同時，卻也大幅度地限制了非公務(wù)部門的自由經(jīng)濟行為，這違背了日本行政改革與放松管制的潮流。同時，不同行業(yè)對個人信息收集、利用的情況也存在不同，對所有行業(yè)適用統(tǒng)一的法律規(guī)范客觀上也是不可能的。因而，日本政府首先確立了公務(wù)部門與非公務(wù)部門個人信息保護的一般規(guī)范，再就金融等特殊行業(yè)制定特殊法，還針對非公務(wù)部門的特點采取靈活的機制，鼓勵非公務(wù)部門進行自律[9]335。1998年，日本信息處理開發(fā)協(xié)會創(chuàng)設(shè)了“隱私標識”（Privacy Mark）認證①機制，向采取適當?shù)膫€人信息保護措施的非公務(wù)部門頒發(fā)隱私標識，以督促其積極改善個人信息保護狀況，同時便于消費者判斷該部門的個人信息保護處于何種水平。后來，日本還將隱私認證標識納入日本工業(yè)標準管理體系，以《關(guān)于個人情報保護應(yīng)遵守規(guī)則的要求事項》②作為通過隱私標識認證的要件。在日本，隱私標識認證機制所確立的標準至少等同于甚至略高于法律規(guī)范的要求，因而，凡是取得隱私標識認證的非公務(wù)部門就可以被認為達到了個人信息保護法律規(guī)范要求的保護水平[10]236。

其他很多國家對個人信息保護的行業(yè)自律一般也持肯定的態(tài)度，有些國家或有些國家的某些領(lǐng)域?qū)€人信息保護的行業(yè)自律進行了一定的嘗試，在不同程度上采取了行業(yè)自律的做法。比如，加拿大標準協(xié)會于1996年制定了《保護個人信息標準守則》，對相關(guān)行業(yè)在處理個人信息中的行為加以規(guī)范。瑞典信息技術(shù)行業(yè)于1997年制定了瑞典《信息技術(shù)企業(yè)組織商業(yè)行為規(guī)則》，其中涉及個人信息的保護問題。荷蘭消費者協(xié)會、產(chǎn)業(yè)與雇工聯(lián)盟于1998年制定了《個人隱私行為守則》。韓國通信信息部要求從2005年10月起，任何通信服務(wù)組織和其他服務(wù)提供者都應(yīng)當制定專門的內(nèi)部管理辦法，以保護其在服務(wù)過程中對個人信息的保護，而設(shè)在信息通信部下的信息通信產(chǎn)業(yè)協(xié)會，則對那些在個人信息安全方面達到一定標準的網(wǎng)站授予“個人信息保護優(yōu)秀網(wǎng)站認證標識”。

在中國，個人信息保護的行業(yè)自律也同樣受到重視。臺灣微軟2010年9月9日成立“微軟個資保護中心”，這是臺灣地區(qū)針對個人信息保護議題設(shè)立的專職機構(gòu)，主要針對大中型企業(yè)客戶對個人信息保護的咨詢，包括診斷與風(fēng)險評估，以及建立符合信息安全的IT環(huán)境③。大連市軟件行業(yè)協(xié)會于2007年開始主導(dǎo)實施個人信息保護評價④制度，被評價單位必須已經(jīng)有個人信息保護體系的實踐并已經(jīng)取得一定效果，才獲資格向大連市個人信息保護工作委員會申請個人信息保護體系評價；評價的程序包括資格審查、現(xiàn)場審核、公示、審批等[11]313-314。

中國大陸學(xué)者在各自的“個人信息保護法”（建議稿）中，都寫入了有關(guān)行業(yè)自律的規(guī)范。其中，齊愛民教授2005年的個人信息保護法“學(xué)者建議稿”第29條專門就“自律規(guī)范”的效力進行了擬定：“非國家機關(guān)依據(jù)本法制定的自律性規(guī)范，達到本法要求標準的，具有與本法同等的效力。”[12]5這是一種“認可”的“立法”方式，等于認可了“自律規(guī)范”的法律效力。當然，究竟“自律規(guī)范”的效力能否與法律規(guī)范等量齊觀，進一步說，自律規(guī)范究竟達到何種標準才能與法律規(guī)范效力等同，筆者認為，這是一個值得商榷的問題，起碼還要涉及個人信息主管部門的審查、批準等機制。

周漢華教授在2006年的個人信息保護法“專家建議稿”中用一節(jié)兩個條文對“行業(yè)自律機制”進行了擬定。其中，第53條擬定了“行業(yè)自律組織”：“國家鼓勵其他個人信息處理者在資源的基礎(chǔ)上成立行業(yè)自律組織，并創(chuàng)造條件，逐步向行業(yè)自律組織轉(zhuǎn)移政府職能。行業(yè)自律組織的設(shè)立條件和要求，由國務(wù)院信息資源主管部門具體規(guī)定。行業(yè)自律組織成立后，應(yīng)在政府信息資源主管部門進行登記，接受政府信息資源主管部門的指導(dǎo)和監(jiān)督?！盵13]19第54條則擬定了“行業(yè)自律組織的職能”，包括制定本行業(yè)的行為準則，推廣本行業(yè)的執(zhí)業(yè)可信度認證標志，協(xié)調(diào)本行業(yè)與政府信息資源主管部門的關(guān)系，接受信息主體的投訴，對信息主體與成員之間的爭議進行協(xié)調(diào)、處理，處理行業(yè)自律組織成員之間的關(guān)系等職能[13]19。這里的可取之處是對行業(yè)自律組織進行了全面的規(guī)范，但對行業(yè)自律規(guī)范以及行業(yè)自律與法律規(guī)范的關(guān)系缺少規(guī)定，同時此處的相關(guān)條文似乎略顯繁瑣。

3.行業(yè)自律的優(yōu)勢與不足

行業(yè)自律是一種基于市場機制、基于市民社會內(nèi)部的自覺自發(fā)、自下而上的機制，具有專業(yè)性、經(jīng)濟性、相對靈活性等優(yōu)勢。專業(yè)性，指的是行業(yè)自律往往由相關(guān)行業(yè)的協(xié)會或聯(lián)盟針對該行業(yè)的個人信息保護問題，專門制定相應(yīng)的規(guī)范、標準或指引，能夠密切結(jié)合該行業(yè)的特點與專業(yè)性問題，這是一般的立法所難以做到的。經(jīng)濟性，指的是行業(yè)自律節(jié)省了國家立法、行政、司法等公共資源，同時由于行業(yè)自律是行業(yè)自我監(jiān)督，自治性較強，程序相對簡單，效率較高，執(zhí)行成本較低。相對靈活性，指的是行業(yè)自律能夠針對相關(guān)行業(yè)的發(fā)展變化進行動態(tài)調(diào)整，能夠較為迅速地回應(yīng)信息社會不斷出現(xiàn)的新情況、新問題，能夠針對行業(yè)內(nèi)部的具體問題靈活適用，而不像個人信息法律規(guī)范那樣具有較強的原則性和剛硬性；但要注意的是，行業(yè)自律的靈活性只是相對于法律規(guī)范而言的，行業(yè)自律是行業(yè)內(nèi)部的監(jiān)督機制，也必然具有一定的原則性與強制性，否則就不成其為行業(yè)規(guī)范了。

對于自律規(guī)范及自律規(guī)范機構(gòu)的優(yōu)勢，英國學(xué)者曾論述道：第一，由于較之于獨立的公務(wù)機構(gòu)，自律規(guī)范機構(gòu)在相關(guān)領(lǐng)域一般能夠掌握更高程度的實務(wù)專長和技術(shù)知識以及具有更大的創(chuàng)新的可能性，因此，制定和解釋標準的信息成本相對較低；第二，基于相同理由，監(jiān)督和執(zhí)行成本也相應(yīng)減少，而在互動很可能產(chǎn)生彼此信任的條件下，從業(yè)者與管理者打交道的成本也得以減少；第三，較之于公共規(guī)范制度，在自律規(guī)范機構(gòu)的程序以及規(guī)則較為不正式的范圍內(nèi)，修改標準的成本（包括導(dǎo)致延遲的因素）降低了；第四，這種制度的管理成本通常是在其規(guī)范的行業(yè)或活動內(nèi)部承擔(dān)，而獨立的公務(wù)機構(gòu)的管理成本通常由納稅人承擔(dān)[14]309-310。

當然，任何制度或機制都不可能十全十美，行業(yè)自律亦不例外。行業(yè)自律的不足包括：規(guī)范性不足、執(zhí)行力有限、合法性隱憂等。規(guī)范性不足，指的是很多個人信息保護的行業(yè)自律往往只是一種行業(yè)標準、認證或指引，缺乏法律規(guī)范那樣的具體明確的規(guī)范性。執(zhí)行力有限，指的是由于行業(yè)自律并沒有強有力的執(zhí)行機構(gòu)，行業(yè)內(nèi)部的企業(yè)組織往往只是出于自覺遵守，但如果出現(xiàn)不自覺遵守的情況，相關(guān)的制裁措施也很難奏效。合法性隱憂，指的是有些行業(yè)自律規(guī)范出于維護行業(yè)、企業(yè)自身利益的考量，其內(nèi)容往往有利于維護本行業(yè)及其內(nèi)部的企業(yè)組織的利益，這可能與統(tǒng)一的個人信息法律潛在一定沖突，可能對保護個人信息權(quán)利存在不利。

對于行業(yè)自律的不足，中國臺灣地區(qū)的熊愛卿博士曾指出：其實向來經(jīng)驗與實證數(shù)據(jù)已經(jīng)顯示，行業(yè)自律只是個人信息保護的必要條件之一，并非充分條件；面對信息科技所呈現(xiàn)的不確定與安全威脅，加上多年自律機制實證結(jié)果顯示，或許已經(jīng)到了政府適當介入的時候了[7]99-100。

三、個人信息保護中的行政監(jiān)管

（一）個人信息保護的行政監(jiān)管機構(gòu)及其職責(zé)

各國家或地區(qū)的個人信息行政監(jiān)管機構(gòu)（supervisory authority）與職責(zé)有所不同，具體情況如下：

1.歐盟指令框架

歐盟在1995年個人數(shù)據(jù)保護與流通指令框架下，設(shè)置了個人信息保護的監(jiān)管機構(gòu)、咨詢機構(gòu)和專家委員會。

監(jiān)管機構(gòu)。歐盟設(shè)有歐盟數(shù)據(jù)（信息）保護專員機構(gòu)①，監(jiān)督歐盟機構(gòu)與組織的個人信息處理。根據(jù)歐盟《個人數(shù)據(jù)保護與流通指令》第28條，歐盟各成員國應(yīng)當設(shè)置一個或多個公共機構(gòu)，監(jiān)督本指令的有關(guān)規(guī)定在其境內(nèi)的適用，成員國的法律法規(guī)中如果涉及個人信息保護，相關(guān)部門都應(yīng)當咨詢該機構(gòu)的意見，而且，該機構(gòu)應(yīng)當享有相應(yīng)的調(diào)查權(quán)，以及依職權(quán)或者依有關(guān)當事人申請，有對相應(yīng)的個人信息相關(guān)違法行為進行查處的權(quán)力、通過介入訴訟維護法律實施的權(quán)力等。根據(jù)該規(guī)定，歐盟成員國一般都設(shè)立了相應(yīng)的個人數(shù)據(jù)（信息）監(jiān)管機構(gòu)。

咨詢機構(gòu)。根據(jù)歐盟《個人數(shù)據(jù)保護與流通指令》第29條，歐盟設(shè)立了“涉及個人數(shù)據(jù)（信息）處理時保護個人的工作組”，也被稱為“第29條工作組”，具有咨詢地位且獨立行事。其成員由成員國數(shù)據(jù)（信息）監(jiān)管機構(gòu)或指定機構(gòu)的代表等組成，每年召開數(shù)次會議。工作組的職能包括：檢查依照歐盟指令制定的國內(nèi)法在適用過程中產(chǎn)生的任何問題，促進這些措施的統(tǒng)一適用；就共同體和第三國的數(shù)據(jù)（信息）保護水平向歐盟委員會提出意見；就歐盟指令修改、涉及個人信息處理時保護自然人權(quán)利和自由的任何附加措施或特殊措施等向歐盟委員會提出建議；就共同體層面草擬的行為守則提出意見。

專門委員會。根據(jù)歐盟《個人數(shù)據(jù)保護與流通指令》第31條，設(shè)立由歐盟成員國政府代表組成、由歐盟委員會的代表任主席的專門委員會來協(xié)助歐盟委員會工作，也被稱為“第31條委員會”。該委員會定期在布魯塞爾開會，對需要成員國同意的事項作出決定。該委員會不僅像“第29條工作組”那樣具有咨詢作用，而且對法律文件的通過具有重要作用，關(guān)于個人信息保護的許多重要措施的通過需要其批準。歐盟《個人數(shù)據(jù)保護與流通指令》第31條于2003年9月29日進行了修改，是整個指令實施以來唯一進行了修改的條款，旨在授予歐盟委員會根據(jù)《歐共體條約》提及的程序行使法律文件規(guī)定的執(zhí)行權(quán)。

2.歐洲國家的兩種模式

歐盟成員國在歐盟《個人數(shù)據(jù)保護與流通指令》框架下，都建立了相應(yīng)的個人數(shù)據(jù)（信息）行政管理機構(gòu)，其中德國每個州還設(shè)置了數(shù)據(jù)（信息）保護機構(gòu)。歐洲的數(shù)據(jù)（信息）保護機構(gòu)在組織和作用上多有相似，但也存在差異，一些國家采取的是監(jiān)察（ombudsman）模式，如芬蘭、匈牙利和瑞典的個人信息監(jiān)管機構(gòu)；另一些國家采取的是管制（regulation）模式，如法國、波蘭和西班牙的個人信息監(jiān)管機構(gòu)[15]15-16。監(jiān)察模式的監(jiān)管機構(gòu)主要關(guān)注提出法律請求的特定個人的情況，如果認為存在違反信息保護法律的情況，會為個人尋求救濟，如要求對有關(guān)的個人信息進行修正，可能的話還要求給予賠償，但其自身并不廣泛地介入信息控制者的實踐活動；管制模式的監(jiān)管機構(gòu)關(guān)注法律的遵守，當收到投訴并判定違反信息保護規(guī)范的情況屬實時，考慮的不僅是個人的情況，而且包括決定采取何種可能行動的一系列因素，其主要關(guān)注的是確保遵守法律而非為投訴的個人提供救濟[15]16。歐洲國家專門的個人行政主管機構(gòu)的詳細情況見表1。

3.美國的發(fā)展

英美法系國家或地區(qū)大都設(shè)置了“隱私專員公署”之類的個人信息（隱私）保護專門管理機構(gòu)，但美國是個例外，美國采取的是以行業(yè)自律為主導(dǎo)的個人信息保護體制，沒有設(shè)置專門的個人信息（隱私）保護管理機構(gòu)。據(jù)《華爾街日報》報道，2010年12月16日奧巴馬政府表示，需要設(shè)立隱私保護公署（Privacy Policy Office），幫助制定互聯(lián)網(wǎng)“隱私法”以保護美國公民的隱私權(quán)，并協(xié)調(diào)全球隱私保護問題②。

4.亞洲國家或地區(qū)的選擇

亞洲國家或地區(qū)的情況不盡相同。日本在個人信息保護法立法過程中認為，如果設(shè)置歐洲那樣對任何領(lǐng)域都擁有管理權(quán)限的個人信息保護行政機關(guān)，可能限制非公務(wù)部門本應(yīng)進行的自由活動，這不合乎日本的國情，與行政改革和放寬管制的趨勢相左，所以日本傾向于設(shè)置事后救濟制度③。日本《個人情報保護法》中沒有規(guī)定專門的個人信息保護執(zhí)法機構(gòu)，但第49條規(guī)定了“主管大臣”制度：內(nèi)閣總理大臣在認為必要時，可以將特定的大臣指定為主管大臣。韓國設(shè)置了公務(wù)部門和非公務(wù)部門個人信息處理的不同機構(gòu)，國務(wù)總理下屬的個人信息保護審議委員會負責(zé)公務(wù)部門相關(guān)制度和政策的制定和完善，并對公務(wù)部門個人信息保護事項進行協(xié)調(diào)，行政自治部負責(zé)指導(dǎo)公務(wù)部門的個人信息保護；信息通信部負責(zé)對非公務(wù)部門的個人信息處理糾紛的救濟，該部設(shè)立了個人信息糾紛調(diào)停委員會④。泰國設(shè)置了政府信息管理委員會，負責(zé)政府對個人信息的保護等事務(wù)⑤。

中國香港地區(qū)設(shè)置了個人資料（信息）私隱專員公署⑥，主要職責(zé)包括：監(jiān)督個人信息私隱專員的行政及管理工作；制訂行動方針及程序，以執(zhí)行條例的規(guī)定；監(jiān)察及監(jiān)管各界遵守私隱條例的規(guī)定；行使核準及發(fā)出實務(wù)守則的權(quán)力，為遵守條例的規(guī)定提供實務(wù)性指引；加強各界對條例的認識和理解，以及促使各界遵守條例的規(guī)定；對認為可能影響個人信息私隱的建議中的任何法例（包括附屬法例）加以審核，以及向建議制定有關(guān)法例的人士報告審核結(jié)果；視察機構(gòu)的個人信息系統(tǒng)，包括政府部門及法定團體的系統(tǒng)；在接獲信息當事人的投訴后，或是主動對涉嫌違反條例規(guī)定的情況做出調(diào)查；就可能對個人信息私隱有不利影響的個人信息處理方法及計算機科技進行研究，以及監(jiān)察其發(fā)展情況；就互相關(guān)注并涉及個人信息私隱的事項，與香港以外任何地方擔(dān)任類似信息保障職能的人士保持聯(lián)絡(luò)及互相合作。

中國澳門地區(qū)設(shè)有個人資料（信息）保護辦公室⑦，主要職能包括：監(jiān)察、協(xié)調(diào)對《個人資料保護法》的遵守和執(zhí)行，接受個人信息處理的通知，并做出登記；審批許可申請和其他申請；訂定保密制度，監(jiān)察該等制度的實施；接受、調(diào)查及處理有關(guān)個人信息保護方面的查詢、投訴或舉報，對違反《個人資料保護法》的行政違法行為做出處罰；向公眾宣傳《個人資料保護法》，令市民提升保護私隱的意識；對個人信息保護領(lǐng)域進行理論研究，不斷完善相關(guān)的制度和規(guī)定。

中國臺灣地區(qū)尚未設(shè)立專門的個人信息保護行政管理機構(gòu)。不過，前面述及的“微軟個資保護中心”是臺灣針對個人信息保護議題設(shè)立的專職機構(gòu)（社會機構(gòu)）。

對于中國大陸法域而言，設(shè)立專門的全國個人信息管理機構(gòu)是必要的，其理由為：第一，設(shè)立專門的全國個人信息管理機構(gòu)符合大多數(shù)國家個人信息管理的慣例；第二，設(shè)立專門的全國個人信息管理機構(gòu)有利于統(tǒng)一領(lǐng)導(dǎo)全國個人信息保護工作；第三，設(shè)立專門的全國個人信息管理機構(gòu)有利于與其他國家或地區(qū)協(xié)調(diào)個人信息保護與跨境流通等問題。其職能可以包括：第一，統(tǒng)籌全國個人信息保護管理與執(zhí)法工作；第二，制定全國個人信息保護指導(dǎo)方針、政策、規(guī)劃等；第三，領(lǐng)導(dǎo)各級個人信息管理部門與執(zhí)法機構(gòu)的工作；第四，監(jiān)督全國日常的個人信息保護工作；第五，協(xié)調(diào)有關(guān)機構(gòu)或組織的個人信息保護工作；第六，與國際溝通個人信息保護工作，加強個人信息保護的國際合作。

（二）個人信息保護的行政監(jiān)管制度

行政主管部門對個人信息保護的監(jiān)管體現(xiàn)在對個人信息收集、處理、傳輸與利用等行為的事前監(jiān)督與事后監(jiān)督兩方面，而為了避免行政力量對市場行為的過度干預(yù)，一般情況下不宜設(shè)置事中監(jiān)督制度。

1.預(yù)先通知與預(yù)先審查制度

預(yù)先通知制度，是指個人信息本人以外的有關(guān)主體，在對個人信息進行全部或部分處理操作前，須向行政監(jiān)管部門預(yù)先通知有關(guān)情況并公開處理操作的制度。預(yù)先通知制度有利于監(jiān)管部門對個人信息處理行為的事前監(jiān)督，也有利于個人信息本人預(yù)先了解個人信息處理的情況[6]261。預(yù)先審查制度，是指個人信息的行政監(jiān)管部門在收到處理個人信息的預(yù)先通知后，隨即進行審查，從而決定是否允許其對個人信息進行處理或是否需要采取必要措施的制度。預(yù)先審查制度在一定程度上有利于預(yù)先防止個人信息處理者的非法和不當行為，有利于預(yù)先維護個人信息本人的正當權(quán)益[6]263。

從現(xiàn)有立法例來看，尚只有歐盟及其成員國個人信息法規(guī)定了個人信息處理的預(yù)先通知和預(yù)先審查制度。在歐盟，各成員國對通知制度存在不同的主張，有些成員國的個人信息法主張實施通知制度，有些成員國則主張盡量避免通知和預(yù)先審查的嚴格程序要求。歐盟《個人數(shù)據(jù)保護與流通指令》采取了折中的做法，原則上，各成員國個人信息法應(yīng)當規(guī)定管理者或其代表在進行全部或部分自動處理操作前，必須通知個人信息行政監(jiān)管機構(gòu)。各成員國可以規(guī)定在例外情況下，簡化或免除通知的義務(wù)，這些情況包括：個人信息處理侵害個人信息本人權(quán)利的風(fēng)險較低，而且處理者提供了有關(guān)個人信息處理的具體信息；個人信息控制者任命了個人信息內(nèi)部保護專員，由其監(jiān)督個人信息處理的具體實施，以避免侵害個人信息本人的權(quán)利；個人信息處理的目的是為公眾提供信息；個人信息處理屬于合法的敏感個人信息的處理[6]258。

歐盟各成員國的個人信息法堅持了歐盟《個人數(shù)據(jù)保護與流通指令》的預(yù)先通知原則，但對例外情況的規(guī)定有所不同。其中，荷蘭、瑞典、德國、法國等成員國的個人信息法規(guī)定，個人信息處理者通過任命內(nèi)部的個人信息保護專員監(jiān)督個人信息處理行為，可以不向個人信息保護機構(gòu)通知。對于是否應(yīng)當通知的個人信息處理的類別等具體情形，奧地利《聯(lián)邦個人數(shù)據(jù)保護法》規(guī)定，只有涉及公開性和間接性的個人信息處理行為不用通知①；而葡萄牙、比利時、丹麥的個人信息法則規(guī)定處理員工的薪酬、員工管理等信息可以適用簡化通知程序或免除通知義務(wù)。

預(yù)先通知的內(nèi)容至少包括：管理者及其代表（如果有）的姓名和地址；操作的目的；個人信息本人及信息的類別，或與其相關(guān)信息類別的描述；可能向其公開信息的接收者或接收者的類別；擬議中向第三國進行的信息轉(zhuǎn)讓；為保障處理的安全性而采取的措施的適度性做基本的評估②。

關(guān)于預(yù)先審查制度，歐盟《個人數(shù)據(jù)保護與流通指令》要求各成員國應(yīng)當確定對個人信息本人的權(quán)利和自由帶來特定風(fēng)險的處理操作，并應(yīng)當在操作開始前檢查這些操作過程是否受到了檢驗；監(jiān)管部門應(yīng)當在收到由于產(chǎn)生懷疑而必須向監(jiān)管部門進行咨詢的管理者或個人信息保護官員的通知后進行預(yù)先檢查；各成員國也可以在國會所采取的措施或以這些立法措施為基礎(chǔ)而采取的措施的準備過程中進行檢查，以確定操作的性質(zhì)并制定適當?shù)谋Ｗo方法③。

歐盟各成員國個人信息法都規(guī)定了預(yù)先審查制度，只是具體規(guī)定存在一定的不同。比如，葡萄牙規(guī)定國家數(shù)據(jù)（信息）保護委員會進行預(yù)先審查的是：處理敏感個人信息；處理涉及非法活動、犯罪和行政違法行為指控，以及適用刑法、安全措施、罰金與其他刑事決定的個人信息；處理涉及個人信用和破產(chǎn)的信息；對個人信息進行互聯(lián)；在收集個人信息目的外使用個人信息①。而法國規(guī)定國家信息與自由委員會預(yù)先審查的是：處理敏感個人信息；醫(yī)療人員和生物學(xué)家為了預(yù)防醫(yī)學(xué)、醫(yī)療診斷、護理或治療管理的目的，自動化處理基因信息；處理涉及犯罪、判決或安全措施的個人信息；如果法律無明確規(guī)定，自動化信息處理因其性質(zhì)、重要性或目的可能剝奪個人的權(quán)利、服務(wù)或合同利益；對一個或多個涉及不同公共利益的信息庫進行互聯(lián)；個人信息處理涉及自然人的身份編號；自動化信息處理涉及個人社會問題的信息；自動化信息處理包含確定個人身份所必須的生物信息②。從歐盟《個人數(shù)據(jù)保護與流通指令》和歐盟成員國的立法可見，預(yù)先審查制度既包括形式審查，也包括實質(zhì)審查。

2.登記備案與許可制度

個人信息處理的登記備案與許可制度目前主要是研究者的一種探討。比如，周漢華教授寫道：“其他個人信息處理者開始進行個人信息收集之前，須向政府信息資源管理主管部門進行登記。以個人信息處理為主要業(yè)務(wù)或通過個人信息處理營利的公民、法人或其他組織，在開始進行個人信息收集之前，須經(jīng)政府信息資源主管部門行政許可?！雹坳P(guān)于登記制度的創(chuàng)設(shè)，楊麗華認為：首先，明確規(guī)定監(jiān)督執(zhí)行機構(gòu)專門負責(zé)登記；其次，明確規(guī)定信息處理者收集個人信息前必須進行登記以及符合登記的形式要件；最后，明確規(guī)定對不履行登記手續(xù)的信息處理者，監(jiān)督執(zhí)行機構(gòu)有采取行政措施的權(quán)力[16]38。

個人信息處理的許可制度，實際上是審查批準個人信息處理者的個人信息處理資格的一種批準制度，其規(guī)則與行政許可法的相應(yīng)規(guī)則基本相同。關(guān)于行政許可制度的建立，楊麗華認為：個人信息處理許可制度要求其他個人信息處理者在進行個人信息收集之前，需向監(jiān)督執(zhí)行機構(gòu)申請，監(jiān)督執(zhí)行機構(gòu)針對其申請，分別進行形式審查和實質(zhì)審查，判定其是否具有從事該個人信息收集的資格，決定其是否可以實施這種行為；并非所有信息處理者都要申請許可，個人信息行政許可制度應(yīng)當只限于以信息處理為業(yè)務(wù)或者牟利的信息處理者；若信息處理者未經(jīng)行政許可，擅自處理個人信息的，監(jiān)督執(zhí)行機構(gòu)可以采取行政措施[16]38。

關(guān)于個人信息處理登記與許可申請應(yīng)當載明的事項，周漢華教授認為應(yīng)當包括：自然人的姓名、身份證號、住址、法人或其他組織的名稱、住所、法定代表人或主要負責(zé)人的姓名；個人信息文件的名稱；個人信息的使用目的；個人信息的主要內(nèi)容；個人信息的收集方法；個人信息的保存期限；個人信息文件的主要使用者；個人信息文件的公開方式與地點；個人信息文件的安全保護措施；個人信息文件安全保護主要負責(zé)人姓名、身份證號、住址及簡歷；國務(wù)院信息資源主管部門要求的其他事項④。

3.申訴與救濟制度

申訴制度，是指個人信息本人因其個人信息權(quán)利遭受公務(wù)部門主體或公務(wù)部門以外主體的侵害，而向個人信息行政管理機構(gòu)投訴的制度。個人信息行政管理機構(gòu)根據(jù)個人信息本人的申訴，依法律、依職權(quán)對侵害個人信息權(quán)利的行為進行查處，此即個人信息遭受侵害的行政救濟制度。行政申訴制度與救濟制度的規(guī)則與行政法的相應(yīng)規(guī)則基本一致，個人信息法一般只針對個人信息保護的特殊之處，制定相應(yīng)的規(guī)范。

對于公務(wù)部門處理個人信息的行為而言，這是出于履行法定職責(zé)，進行行政管理的需要，構(gòu)成行政法律關(guān)系；因而，個人信息本人的權(quán)利受到公務(wù)部門侵害的，除了采取個人信息法規(guī)定的司法救濟方式外，還可以通過行政復(fù)議、行政訴訟獲得行政救濟[16]36。依中國大陸法域現(xiàn)行法律，個人信息本人在要求公開、修改個人信息遭到公務(wù)部門拒絕的，可以就這一具體行政行為申請行政復(fù)議或提起行政訴訟；如果個人信息本人要求公開、修改個人信息，公務(wù)部門不予答復(fù)，個人信息本人可以依行政不作為申請行政復(fù)議或提起行政訴訟；而且個人信息本人對救濟的途徑有選擇權(quán)[16]37。日本于2005年施行的《信息公開及個人信息保護審查會設(shè)置法》規(guī)定，凡是與個人信息處理有關(guān)的行政復(fù)議案件，復(fù)議機關(guān)必須咨詢專門設(shè)立的“信息公開與個人信息保護審查委員會”的意見，該機構(gòu)的委員具有較高的專業(yè)水平和獨立地位，復(fù)議機關(guān)一般比較尊重其提出的意見①。韓國行政自治部負責(zé)公務(wù)部門的個人信息保護，相關(guān)的爭議通過一般的行政復(fù)議或行政訴訟方式解決。

個人信息遭受侵害者向個人信息管理機構(gòu)提起申訴后，個人信息管理機構(gòu)應(yīng)當根據(jù)申訴的事項范圍，決定是否受理。在歐盟，各成員國對應(yīng)當受理的事項范圍的規(guī)定存在不同，西班牙、葡萄牙、丹麥、法國等國家的立法規(guī)定，只要申訴的事項與個人信息處理有關(guān)，個人信息管理機構(gòu)就有權(quán)受理。但芬蘭、奧地利等國的立法則規(guī)定，個人信息本人申訴的事項只能是涉及查閱和修改個人信息等權(quán)利行使的事項。

個人信息管理部門在受理了個人信息本人的申訴后，將根據(jù)具體情況決定是否展開調(diào)查。而調(diào)查的對象是除個人信息本人外的其他相關(guān)個人信息控制者的個人信息處理行為。經(jīng)過調(diào)查后，個人信息管理機構(gòu)確定相關(guān)的個人信息控制者是否違法，決定是否采取行政強制措施，決定解決糾紛的具體方式。解決糾紛的方式包括行政調(diào)解、行政裁決、行政處罰等。比如，奧地利《聯(lián)邦個人數(shù)據(jù)保護法》規(guī)定：在獲知個人信息本人的請求并未涉及立法或司法行為所需的信息使用范圍，數(shù)據(jù)（信息）保護委員會應(yīng)當對個人信息所有人主張的，由數(shù)據(jù)應(yīng)用程序的管理員對其享有的知情權(quán)造成的侵害做出裁決；當處理相關(guān)申訴時，如存在緊急情況，在涉及信息準確性的爭議情況時，數(shù)據(jù)（信息）保護委員會可以完全或部分禁止對個人信息進一步的使用，命令管理員對該爭議點做出標記②。

四、個人信息保護中的社會監(jiān)督

社會監(jiān)督是個人信息保護中國家機關(guān)、行業(yè)內(nèi)部以外的第三種監(jiān)督力量，也是最為廣泛的監(jiān)督力量，并日益成為一種強有力的監(jiān)督力量，對個人信息保護有不可忽視的作用。個人信息保護的社會監(jiān)督包括個人信息保護團體的監(jiān)督，媒體輿論的監(jiān)督以及社會公眾的監(jiān)督等。個人信息法對社會監(jiān)督機制一般應(yīng)當設(shè)置相應(yīng)的指引性規(guī)范，以保證社會監(jiān)督有序進行并發(fā)揮積極的作用。

（一）個人信息保護中的社會團體監(jiān)督

個人信息保護團體主要是指專業(yè)、專門針對個人信息保護進行社會監(jiān)督的團體，傳統(tǒng)的消費者利益保護團體、工會等有時也會涉足個人信息保護領(lǐng)域，但后者一般只是起到輔助、補充的作用。在社會管理創(chuàng)新思想引導(dǎo)下，社會團體介入個人信息保護領(lǐng)域，往往能發(fā)揮著比政府直接介入該領(lǐng)域更有成效的作用。社會團體作為一種公益性組織，是維護個人信息權(quán)利，監(jiān)督企業(yè)、行業(yè)等對個人信息的收集、處理、傳輸與利用行為的重要社會力量。比如，位于紐約的個人信息隱私保護的民間團體“隱私國際”③針對谷歌的隱私保護狀況，曾提出批評，認為沒有一家互聯(lián)網(wǎng)企業(yè)的隱私政策像谷歌那樣“對用戶隱私有如此大的威脅”，谷歌對此做出了積極回應(yīng)，并努力改進在線隱私政策④。

在個人信息保護社會團體的監(jiān)督方面，日本《個人情報保護法》采取了認可、支持與引導(dǎo)的國家政策，該法第4章第2節(jié)“由民間團體推動的個人信息保護”對民間團體在個人信息保護中涉及的事項進行了全面規(guī)定。其中，第37條、第38條規(guī)定了成立個人信息保護團體須向主管大臣申請，并要有符合法定條件的成員；第39條規(guī)定了認定個人信息保護團體的標準；第40條規(guī)定了個人信息保護團體申報廢止的程序；第41條、第42條規(guī)定了個人信息保護團體的業(yè)務(wù)范圍、處理爭議的程序；第43條規(guī)定個人信息保護團體須依該法制定個人信息保護指導(dǎo)方針；第44條、第45條對個人信息保護團體名稱的使用進行了限制，禁止目的外使用，禁止未經(jīng)認定的團體使用；第46至49條對主管大臣監(jiān)督個人信息保護團體業(yè)務(wù)等事項進行了規(guī)定。

中國臺灣地區(qū)于2008年成立了社團法人臺灣個人資料（信息）保護協(xié)會⑤，其宗旨是以保護個人信息免于不當搜集（收集）、處理及利用過程所產(chǎn)生的風(fēng)險，并促進個人信息的合理利用。其任務(wù)包括：接受個人或團體相關(guān)信息遭受國家或私人的不當搜集（收集）、使用、交換的案件申訴；監(jiān)督并督促政府個人信息保護主管機關(guān)的政策推動與法令執(zhí)行；向社會大眾推廣隱私權(quán)及個人信息保護的觀念；刊行會志、會報及相關(guān)的各類書籍；與國內(nèi)外相關(guān)團體暨學(xué)術(shù)研究機構(gòu)舉辦交流活動及學(xué)術(shù)聯(lián)系；推動個人信息保護專門教學(xué)與研究機構(gòu)的設(shè)立；其他促進個人信息保護發(fā)展的相關(guān)活動。

（二）個人信息保護中的媒體輿論監(jiān)督

媒體輿論監(jiān)督是通過紙質(zhì)報刊、廣播電視、網(wǎng)絡(luò)新媒體等信息平臺對個人信息保護中的違法、不當行為的監(jiān)督、批評與指正。尤其是網(wǎng)絡(luò)新媒體，已經(jīng)成為一種強大的監(jiān)督平臺，日益成為及時高效地對侵害個人信息權(quán)利的行為進行輿論監(jiān)督的重要媒介。媒體輿論的監(jiān)督包括新聞報道、編讀往來、舉報平臺、專家評論等多種方式。比如，針對大學(xué)生求職中存在的個人信息泄露問題，媒體進行了報道，指出大學(xué)生在求職期間，把自己的電子郵箱和手機號等個人信息公布在網(wǎng)上，結(jié)果遭到人才服務(wù)機構(gòu)的非法、不當收集，使求職者即使在找到工作后，仍然會遭到不定期的垃圾廣告郵件、手機群發(fā)短信的騷擾[17]。

媒體輿論往往對侵害個人信息權(quán)利者造成強大的心理壓力，有時發(fā)揮著比法律手段更有效的作用，促進侵害個人信息權(quán)利者及時對其行為進行改正或采取補救措施。比如，以Web方式登錄谷歌郵箱后網(wǎng)頁出現(xiàn)的有針對性投放的廣告信息，被認為與對個人郵件內(nèi)的文字、文檔內(nèi)容進行分析的結(jié)果有關(guān)，涉嫌侵害個人信息，對此谷歌進行了說明，指出谷歌只會通過掃描谷歌郵箱中的消息來展示相關(guān)性廣告，而不會掃描用戶存儲在谷歌文檔中的內(nèi)容①；與此同時，谷歌也在不斷地積極改進個人信息保護機制，特別是2012年3月實行了對保護個人信息隱私更有利的新的隱私權(quán)政策。

當然，媒體輿論監(jiān)督必須在遵守媒體倫理、職業(yè)道德，遵守媒體法律的框架下進行，避免利用媒體輿論造成對有關(guān)主體正當權(quán)利的侵害。比如，在涉及個人隱私的新聞報道中要進行匿名處理，不能直接披露被報道對象真實的姓名、明確的身份等個人信息。在涉及司法的新聞報道領(lǐng)域，英國、加拿大的法官有權(quán)禁止發(fā)表可能導(dǎo)致“司法程序受到嚴重阻礙或損害重大風(fēng)險”的信息，從嫌疑人被捕或被起訴到被判決，新聞工作者可以旁聽審判，但限制其報道的內(nèi)容；在另一些國家，民法和刑法均有條款對可報道或不可報道的信息類別予以規(guī)定，一般限制內(nèi)容涉及犯罪受害者的姓名、離婚案或兒童監(jiān)護案中的家庭詳情，或者被告過去犯罪記錄等；而在瑞典等一些沒有此類規(guī)定的國家，新聞工作者的職業(yè)操守要求，除“有公共利益上的明顯需要”，否則不得將被告身份公開②。

（三）個人信息保護中的社會公眾監(jiān)督

社會公眾是最廣泛的社會監(jiān)督主體，社會公眾的監(jiān)督是無處不在的廣泛監(jiān)督力量。社會公眾對侵害個人信息權(quán)利行為的監(jiān)督方式很多，包括網(wǎng)上文字披露、批評，直接投訴或申訴，提起公益訴訟等。比如，2005年底，以“搜人”為服務(wù)內(nèi)容的網(wǎng)站—優(yōu)庫網(wǎng)（ucloo.com）推出，在其網(wǎng)站上可以搜索到海量個人信息，并有償提供個人信息內(nèi)容服務(wù)，由于其服務(wù)涉嫌大量泄露個人信息，遭到社會公眾的猛烈抨擊而在壓力下被迫進行了整改③。而個人博客、網(wǎng)絡(luò)社區(qū)、微博等網(wǎng)絡(luò)應(yīng)用，也已然成為公眾進行社會監(jiān)督包括對侵害個人信息權(quán)利行為進行監(jiān)督的重要平臺。

當然，對于社會公眾監(jiān)督，也必須堅持個人信息法的引導(dǎo)，要防止出現(xiàn)不負責(zé)任甚至制造虛假信息的情況，在保障社會公眾監(jiān)督權(quán)利的同時，應(yīng)當保證社會公眾監(jiān)督的秩序，而不是造成一種無序、噪雜的狀態(tài)。值得一提的是，網(wǎng)上投訴平臺是一種既能方便社會公眾監(jiān)督，又能保證社會公眾監(jiān)督秩序的平臺。因而，開通相關(guān)的平臺，并對投訴信息進行及時處理，對涉及的問題進行及時解決，對于發(fā)揮公眾監(jiān)督的作用具有重要意義。在這方面，歐洲很多國家均建立了公眾針對個人信息問題的網(wǎng)上投訴通道。比如，斯洛伐克信息保護專員機構(gòu)的官方網(wǎng)站上就開通了一個接受公眾投訴、反饋的在線提交平臺，公眾可以提交關(guān)于個人信息監(jiān)管中的批評、建議和問題④。在中國，搜索引擎“百度”設(shè)立了包括網(wǎng)頁投訴中心、貼吧投訴中心、推廣投訴中心等的大型網(wǎng)上投訴平臺⑤，用戶對在百度發(fā)現(xiàn)的不良信息、侵權(quán)信息均可直接通過該平臺進行投訴，百度投訴中心的工作人員承諾一般在24小時內(nèi)將投訴的處理結(jié)果反饋給投訴者。

[參考文獻]

吳嘉生.資訊倫理與法律[M].臺北：國立空中大學(xué)，1997.

朱景文.法理學(xué)[M].北京：中國人民大學(xué)出版社，2008.

詹炳耀，任文瑗，郭秋田，張裕敏.資訊倫理與法律[M].臺北：臺北旗標出版有限股份有限公司，2006.

蔣坡.國際信息政策法律比較[M].北京：法律出版社，2001.

齊愛民.拯救信息社會中的人格：個人信息保護法總論[M].北京：北京大學(xué)出版社，2009.

孔令杰.個人資料隱私的法律保護[M].武漢：武漢大學(xué)出版社，2009.

熊愛卿.網(wǎng)際網(wǎng)路個人資料保護研究[D].臺北：臺灣大學(xué)法律學(xué)研究所，2000.

洪海林.個人信息的民法保護研究[M].北京：法律出版社，2010.

王麗萍，步雷，等.信息時代隱私權(quán)保護研究[M].濟南：山東人民出版社，2008.

呂艷濱.信息法治政府治理新視角[M].北京：社會科學(xué)文獻出版社，2009.

郎慶斌，孫鵬.大連個人信息保護評價體系[M]//李林.中國法治發(fā)展報告.北京：社會科學(xué)文獻出版社，2010.

齊愛民.中華人民共和國個人信息保護法示范法草案學(xué)者建議稿[J].河北法學(xué)，2005（6）：2-5.

周漢華.中華人民共和國個人信息保護法（專家建議稿）及立法研究報告[R].北京：法律出版社，2006.

戴恩·羅蘭德，伊莉莎白·麥克唐納.信息技術(shù)法[M].宋連斌，等，譯.2版.武漢：武漢大學(xué)出版社，2004.

庫勒.歐洲數(shù)據(jù)保護法：公司遵守與管制[M].曠野，楊會永，等，譯.2版.北京：法律出版社，2008.

楊麗華.行政法視野中的個人信息保護—從兩則案例引發(fā)的思考[D].蘭州：蘭州大學(xué)，2009.

霍仟，來揚.大學(xué)生求職須謹防個人信息泄露[N].中國青年報，2011-05-30（7）.

[責(zé)任編輯 張桂霞]