鄧 輝

大數(shù)據(jù)、區(qū)塊鏈等信息技術(shù)的不斷發(fā)展，使得個人信息的重要性前所未有地凸顯出來。在現(xiàn)代社會中，隨著技術(shù)的門檻越來越低，個人信息遭受侵害的情形越來越常見，但是信息主體難以進(jìn)行私力救濟，只有依靠民法救濟、刑事規(guī)范和行政監(jiān)管的合力才能形成對個人信息的全面保護。事實上，個人信息的保護和利用不僅事關(guān)公民的基本權(quán)利和人格尊嚴(yán)，同時也與經(jīng)濟發(fā)展和社會公共利益存在著緊密的聯(lián)系，還關(guān)系著網(wǎng)絡(luò)主權(quán)和國家安全的維護，涉及不同層面的制度安排。除了在水平層面上不斷完善(自然人的)個人信息權(quán)利和(信息從業(yè)者的)個人信息保護義務(wù)規(guī)定外，立法還應(yīng)當(dāng)在縱向?qū)用嫔辖⒑侠砗透咝У谋O(jiān)管制度，確保關(guān)于權(quán)利保護、義務(wù)遵守和救濟提供的規(guī)定能夠落到實處。(1)有學(xué)者認(rèn)為，歐洲個人數(shù)據(jù)保護賴以建立的三大支柱包括數(shù)據(jù)主體的權(quán)利、數(shù)據(jù)控制者與處理者的義務(wù)和國家主管機關(guān)的監(jiān)管。See Andra Giurgiu & Tine A. Larsen, Roles and Powers of National Data Protection Authorities — Moving from Directive 95/46/EC to the GDPR： Stronger and More “European” DPAs as Guardians of Consistency?, 2 European Data Protection Law Review 342-352 (2016).職是之故，本文擬對我國個人信息保護行政監(jiān)管的現(xiàn)狀進(jìn)行分析，并從目標(biāo)、主體、措施和程序等四個方面提出具體的優(yōu)化路徑和改進(jìn)方向，冀以推動相關(guān)立法和實踐的發(fā)展。

一、 我國個人信息保護行政監(jiān)管現(xiàn)狀的梳理分析

(一) 存在強烈和現(xiàn)實的監(jiān)管需求

由于大數(shù)據(jù)技術(shù)的快速發(fā)展和廣泛運用，信息利用的范圍和深度逐漸擴展。被譽為“信息時代原材料”的個人信息，不僅關(guān)系著信息主體的人格尊嚴(yán)，還作為基礎(chǔ)數(shù)據(jù)推動著經(jīng)濟社會的持續(xù)發(fā)展，受到了社會各界的極大重視。近年來，我國關(guān)于個人信息保護的立法進(jìn)程明顯加快。2009年，《刑法修正案(七)》增加了“侵犯公民個人信息罪”(《刑法》第253條之一)，將“違反國家規(guī)定，向他人出售或提供公民個人信息”的行為規(guī)定為犯罪行為。2012年，全國人大常委會發(fā)布《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》，將“能夠識別公民個人身份和涉及公民個人隱私的電子信息”納入保護范圍(第1條)。2013年，工信部和國務(wù)院分別發(fā)布了《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》和《征信業(yè)管理條例》來規(guī)范電信業(yè)務(wù)、互聯(lián)網(wǎng)信息服務(wù)以及征信業(yè)務(wù)等領(lǐng)域中的個人信息利用行為。2016年，《網(wǎng)絡(luò)安全法》首次在立法層面通過“定義+不完全列舉”的方式來界定“個人信息”(第76條第5項)。2017年以來，《測繪法》《公共圖書館法》和《電子商務(wù)法》等多項立法也都對各自領(lǐng)域內(nèi)的個人信息保護進(jìn)行了規(guī)定。

隨著立法進(jìn)程的進(jìn)一步加快，對個人信息的多重保護機制逐步建立。在個人信息遭受侵害時，受害人可以選擇私力救濟和司法救濟等不同的權(quán)利救濟方式。同時，在社會規(guī)制層面，信息產(chǎn)業(yè)或互聯(lián)網(wǎng)行業(yè)協(xié)會也可以建立以行業(yè)標(biāo)準(zhǔn)為代表的自律機制，來防止或糾正個人信息侵害行為。(2)參見劉曉春： 《大數(shù)據(jù)時代個人信息保護的行業(yè)標(biāo)準(zhǔn)主導(dǎo)模式》，載《財經(jīng)法學(xué)》2017年第2期，第17—21頁。然而，上述的應(yīng)對措施都存在力有未逮之處： 首先，私力救濟不具備現(xiàn)實基礎(chǔ)。在實踐中，通過網(wǎng)絡(luò)手段侵害個人信息的行為具備技術(shù)性、虛擬性和迅速性等特性，信息主體(信息權(quán)利人)難以進(jìn)行預(yù)防。(3)參見刁勝先： 《個人信息網(wǎng)絡(luò)侵權(quán)責(zé)任形式的分類與構(gòu)成要件》，載《重慶郵電大學(xué)學(xué)報(社會科學(xué)版)》2014年第2期，第31頁。不僅如此，行為人有時還通過技術(shù)手段隱蔽其真實身份，信息主體根本無法查實具體的責(zé)任人，更遑論進(jìn)行自力救濟。其次，司法救濟存在效率上的缺陷。作為“社會公平正義的最后一道防線”，司法救濟能夠為當(dāng)事人提供最全面的權(quán)利保護和程序保障。但是，司法救濟通常只針對已經(jīng)發(fā)生的侵害行為，無法對潛在的威脅進(jìn)行預(yù)先防范。受害人想要通過訴訟手段獲得司法救濟，往往因為繁瑣的程序而需要付出大量的時間和精力，不能對惡意侵害事件進(jìn)行快速和有效的反應(yīng)。(4)參見張平： 《大數(shù)據(jù)時代個人信息保護的立法選擇》，載《北京大學(xué)學(xué)報(哲學(xué)社會科學(xué)版)》2017年第3期，第150頁。再次，我國相關(guān)的行業(yè)自律機制尚未形成。目前，我國信息產(chǎn)業(yè)取得了飛速的發(fā)展，但關(guān)于個人信息保護的自律性行業(yè)規(guī)定仍舊付諸闕如。在用戶個人信息的商業(yè)化利用過程中，包括“徐玉玉事件”在內(nèi)的個人信息泄露事件層出不窮，不斷引發(fā)要求加強相關(guān)企業(yè)個人信息保護責(zé)任的呼吁。(5)參見王葉剛： 《保護個人信息，相關(guān)企業(yè)責(zé)無旁貸》，載《光明日報》2016年11月7日，第10版。究其原因，互聯(lián)網(wǎng)企業(yè)或行業(yè)具備天然的逐利性，使得為市場決策服務(wù)的信息利用思維占據(jù)了主導(dǎo)地位。簡單地說，市場主體對個人信息的態(tài)度主要表現(xiàn)為“重商業(yè)利用、輕法律保護”，缺乏足夠的動力來進(jìn)行自我管理和制定相應(yīng)的保護政策。(6)參見周漢華： 《探索激勵兼容的個人數(shù)據(jù)治理之道——中國個人信息保護法的立法方向》，載《法學(xué)研究》2018年第2期，第6頁。因此，在未來一段時期內(nèi)，只有進(jìn)一步加強外部監(jiān)督和執(zhí)法威懾，才能夠促使信息從業(yè)者認(rèn)識到個人信息保護的重要性，逐步實現(xiàn)行業(yè)自律和自我管理。(7)2019年，一款名為“ZAO”的換臉軟件強制要求用戶授予“全球范圍內(nèi)完全免費、不可撤銷、永久、可轉(zhuǎn)授權(quán)和可再許可的權(quán)利”。有學(xué)者建議就此建立強有力的專門監(jiān)管機構(gòu)及設(shè)立巨額罰款。參見何淵： 《無牙的法律——ZAO為何敢如此肆無忌憚地ZUO？！出路： 打造中國版的FTC及設(shè)立巨額罰款》，載微信公眾號“數(shù)據(jù)法盟”, https：//mp.weixin.qq.com/s/_YGOmOubdznv4LJcagmBNw。

相較于以上三種保護手段，行政監(jiān)管不僅貫穿事前預(yù)防、事中監(jiān)督和事后處理等個人信息保護的全過程，也可以綜合運用包括風(fēng)險管理、調(diào)查和處罰等多種手段，還在制止侵權(quán)行為方面具備快速和便捷的特點，能夠充分應(yīng)對現(xiàn)實中的各種挑戰(zhàn)，從而為個人信息提供多角度和全方位的保障。再者，在國家治理體系和治理能力不斷現(xiàn)代化的背景下，政府職能基本實現(xiàn)了從“管理型”到“服務(wù)型”的轉(zhuǎn)變，但是，公權(quán)力機關(guān)仍可以對個人信息保護等事關(guān)公共福祉的重大領(lǐng)域進(jìn)行監(jiān)管。此外，由于公共管理職能的明確要求和有力的制度保障，行政監(jiān)管既能夠為個人信息提供更周延的保護，又可以妥善處理公民權(quán)利保護、網(wǎng)絡(luò)安全維護和經(jīng)濟社會發(fā)展之間的關(guān)系。由此可見，我國建立個人信息保護監(jiān)管制度，既具備相當(dāng)明顯的比較優(yōu)勢，同時也契合現(xiàn)實社會的發(fā)展需要。

(二) 相對弱化和附屬的監(jiān)管目標(biāo)

2016年通過的《網(wǎng)絡(luò)安全法》不僅系統(tǒng)地定義了個人信息的概念和范圍，還明確了責(zé)任主體的行為義務(wù)，應(yīng)當(dāng)屬于目前最重要的個人信息保護法規(guī)。但是，該法的立法目的包括“保障網(wǎng)絡(luò)安全，維護網(wǎng)絡(luò)空間主權(quán)和國家安全、社會公共利益，保護公民、法人和其他組織的合法權(quán)益，促進(jìn)經(jīng)濟社會信息化健康發(fā)展”等多重目標(biāo)(《網(wǎng)絡(luò)安全法》第1條)。(8)參見楊合慶主編： 《中華人民共和國網(wǎng)絡(luò)安全法釋義》，中國民主法制出版社2017年版，第37—40頁。如此看來，“個人信息保護”僅是“保護公民、法人和其他組織的合法權(quán)益”之一環(huán)，在網(wǎng)絡(luò)和信息技術(shù)迅猛發(fā)展的背景下，反倒處于立法目的體系中與其重要性極不相稱的弱小和附屬地位。另一方面，由于立法目的上的限制，相應(yīng)的監(jiān)管職權(quán)配置也未得到應(yīng)有的重視。比如，國家互聯(lián)網(wǎng)信息辦公室(以下簡稱“網(wǎng)信辦”)的設(shè)立是為了“維護互聯(lián)網(wǎng)安全”和“加強網(wǎng)絡(luò)信息保護”，(9)參見《全國人民代表大會常務(wù)委員會關(guān)于維護互聯(lián)網(wǎng)安全的決定》和《全國人民代表大會常務(wù)委員會關(guān)于加強網(wǎng)絡(luò)信息保護的決定》。其工作重心仍在于“網(wǎng)絡(luò)安全工作”，而“個人信息保護”最多只能被解釋為網(wǎng)信辦的“相關(guān)監(jiān)督管理職責(zé)”(《網(wǎng)絡(luò)安全法》第8條第1款)。有學(xué)者敏銳地指出：“網(wǎng)絡(luò)行政管理機關(guān)事務(wù)繁多，需要負(fù)責(zé)網(wǎng)絡(luò)安全的各個方面，在資源有限的情況下，行政機關(guān)往往側(cè)重于國家和社會重大安全網(wǎng)絡(luò)事件的監(jiān)管，而相對次要的個人信息保護則容易疏于監(jiān)管。”(10)蔣都都、楊解君： 《大數(shù)據(jù)時代的信息公益訴訟探討——以公眾的個人信息保護為聚焦》，載《廣西社會科學(xué)》2019年第5期，第110頁。

在消費者個人信息保護領(lǐng)域，《消費者權(quán)益保護法》需要兼顧“保護消費者的合法權(quán)益”“維護社會經(jīng)濟秩序”和“促進(jìn)社會主義市場經(jīng)濟健康發(fā)展”等不同的立法目的(《消費者權(quán)益保護法》第1條)。在這些立法目的中，“保護消費者的合法權(quán)益”屬于《消費者權(quán)益保護法》的“基礎(chǔ)和核心”。(11)參見李適時主編： 《中華人民共和國消費者權(quán)益保護法釋義》(最新修正版)，法律出版社2013年版，第3頁。但是，“消費者個人信息受保護的權(quán)利”在消費者權(quán)利體系中僅占半句(《消費者權(quán)益保護法》第14條后半句)，實在難以彰顯個人信息保護的重要性。

由此可見，在我國個人信息保護分散立法的背景下，單行法或部門法限于其本身的立法目的，通常將維護公共利益、促進(jìn)經(jīng)濟發(fā)展和維護社會秩序等立法目標(biāo)置于相對優(yōu)先的地位，導(dǎo)致“個人信息保護”在部門監(jiān)管目標(biāo)中呈現(xiàn)出附帶性或從屬性的特征，不利于個人信息保護的監(jiān)管和信息主體合法權(quán)益的保障。

(三) 缺乏統(tǒng)一和獨立的監(jiān)管機構(gòu)

目前，在我國行業(yè)分散立法的背景下，個人信息保護監(jiān)管呈現(xiàn)出明顯的部門區(qū)隔特征： 在一般消費領(lǐng)域，工商行政部門和其他有關(guān)部門負(fù)責(zé)保護消費者的個人信息權(quán)利(《消費者權(quán)益保護法》第32條)；在電信和互聯(lián)網(wǎng)領(lǐng)域，主要由國家網(wǎng)信部門、電信主管部門、公安部門和其他有關(guān)機關(guān)對個人信息保護工作進(jìn)行監(jiān)管(《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》第17條、《網(wǎng)絡(luò)安全法》第8條)；在征信和郵政快遞領(lǐng)域，個人信息保護監(jiān)管分別由國務(wù)院征信業(yè)監(jiān)督管理部門(中國人民銀行)和國家郵政管理機構(gòu)(國家郵政局)負(fù)責(zé)。(參見下表1)

表1 我國目前個人信息保護的監(jiān)管概況

由于立法上缺乏對監(jiān)管機構(gòu)的統(tǒng)一規(guī)定，我國個人信息保護的實踐已經(jīng)受到嚴(yán)重影響。例如，部分領(lǐng)域的立法完全沒有規(guī)定監(jiān)管主體?！渡虡I(yè)銀行法》《執(zhí)業(yè)醫(yī)師法》和《旅游法》確立了金融、醫(yī)療和旅游領(lǐng)域中個人信息受保護的規(guī)定，但是，由于缺乏對監(jiān)管主體、監(jiān)管措施和法律責(zé)任的規(guī)定，基本等同于沒有相應(yīng)的監(jiān)管機構(gòu)來履行監(jiān)管職責(zé)。又如，即便根據(jù)法律規(guī)定，也難以確定具體的監(jiān)管機構(gòu)。在消費者和網(wǎng)絡(luò)個人信息保護的領(lǐng)域，對于所謂“有關(guān)行政部門”(《消費者權(quán)益保護法》第32條)以及“有關(guān)機關(guān)”(《網(wǎng)絡(luò)安全法》第8條第1款)究竟是指哪一具體的行政部門或機關(guān)，立法并沒有進(jìn)行明確的說明，可能導(dǎo)致負(fù)有監(jiān)管義務(wù)的機關(guān)相互推諉、逃避職責(zé)。再如，部分行業(yè)或領(lǐng)域的多頭監(jiān)管，容易引發(fā)管轄中的混亂。“工商行政管理部門”(《消費者權(quán)益保護法》第32條)以及“電信主管部門和公安部門”(《網(wǎng)絡(luò)安全法》第8條第1款)僅對涉及“消費者權(quán)益”與“網(wǎng)絡(luò)信息安全”的個人信息侵害行為進(jìn)行監(jiān)管。那么，在侵害經(jīng)營者的個人信息但尚未危害網(wǎng)絡(luò)安全或構(gòu)成犯罪時，即出現(xiàn)了監(jiān)管的“空白區(qū)域”；在行為人利用電信或網(wǎng)絡(luò)盜賣消費者個人信息時，又存在“重復(fù)監(jiān)管”的現(xiàn)象。

(四) 缺少細(xì)致和有效的監(jiān)管措施

我國個人信息保護法規(guī)通常賦予監(jiān)管機構(gòu)進(jìn)行調(diào)查和處罰的權(quán)力(參見表1)。但是，總的來說，這些措施還存在著介入階段滯后、保護手段匱乏的問題：

1. 事先防范缺乏有效機制，法律約束動力不足?；趯ζ胶庑畔a(chǎn)業(yè)發(fā)展和個人信息權(quán)利保護之間關(guān)系的考量，我國不應(yīng)進(jìn)行過多的事前限制。在法律沒有明確禁止的前提下，只要取得信息主體的同意，信息處理者就有權(quán)對個人敏感信息和一般信息進(jìn)行處理，無須事先由監(jiān)管機構(gòu)進(jìn)行審查或取得監(jiān)管機構(gòu)的許可。然而，這不等于立法應(yīng)當(dāng)放棄個人信息保護的事先預(yù)防。目前，我國的信息安全風(fēng)險管理體系已經(jīng)基本建成，相關(guān)的國家標(biāo)準(zhǔn)和地方政府規(guī)章涵蓋了信息安全風(fēng)險評估、管理和處理等主要領(lǐng)域。但是，傳統(tǒng)意義上的信息安全主要規(guī)制計算機系統(tǒng)的運行安全，基本沒有將個人信息保護納入考量。(12)參見前注〔6〕，周漢華文，第13—14頁。這意味著，信息安全管理制度與個人信息保護仍然處于脫節(jié)的狀態(tài)，無法預(yù)防或減輕因信息泄露帶來的損害。

2. 事中監(jiān)督大量使用“行政約談”，非正式手段措施乏力。在信息收集和處理行為涉嫌侵害公民的個人信息時，監(jiān)管機構(gòu)的通常做法是通過約談來約束相關(guān)企業(yè)的行為。例如，在“2017年支付寶年度賬單”事件中，負(fù)有監(jiān)督檢查職責(zé)的網(wǎng)信辦以及工信部信息通信管理局先后在2018年1月6日和11日約談當(dāng)事企業(yè)的負(fù)責(zé)人，要求相關(guān)企業(yè)進(jìn)行整改。(13)參見《國家互聯(lián)網(wǎng)信息辦公室網(wǎng)絡(luò)安全協(xié)調(diào)局約談“支付寶年度賬單事件”當(dāng)事企業(yè)負(fù)責(zé)人》，載國家互聯(lián)網(wǎng)信息辦公室網(wǎng)站，http：//www.cac.gov.cn/2018-01/10/c_1122234687.htm；《信息通信管理局就加強用戶個人信息保護約談相關(guān)企業(yè)》，載工業(yè)和信息化部網(wǎng)站，http：//www.miit.gov.cn/n1146290/n1146402/n1146440/c6010817/content.html。然而，這種被廣泛運用的“行政約談”手段，其主要功能在于警示、告誡或指導(dǎo)，缺乏相應(yīng)的強制力，(14)參見徐永濤、林樹金： 《我國行政約談的理論基礎(chǔ)及法治化》，載《東岳論壇》2014年第12期，第168頁。不僅在行為性質(zhì)上尚待進(jìn)一步的理論澄清和檢驗，而且在對監(jiān)管對象的程序保障以及約談的法律效力等方面也面臨著諸多質(zhì)疑。(15)參見鄭毅： 《現(xiàn)代行政法視野下的約談》，載《行政法學(xué)研究》2012年第4期，第57—59頁。從我國實踐的情況來看，往往是侵犯個人信息的行為已經(jīng)發(fā)生，監(jiān)管機構(gòu)才采取本應(yīng)在事前進(jìn)行的約談措施，無法真正起到對侵害行為的預(yù)防和制止作用。

3. 事后處罰的力度較輕，難以實現(xiàn)有效的威懾。針對支付寶(中國)網(wǎng)絡(luò)技術(shù)有限公司在個人信息保護方面存在的違法行為，中國人民銀行杭州中心支行依據(jù)《消費者權(quán)益保護法》對其處以警告和5萬元罰款。(16)由于支付寶在客戶權(quán)益和產(chǎn)品宣傳方面的違法行為，還被分別處以3萬元和10萬元的罰款。參見中國人民銀行杭州中心支行杭銀處罰字〔2018〕23號行政處罰決定書。但是，通常來說，行政監(jiān)管采取營業(yè)地管轄原則，這樣的規(guī)定已經(jīng)足以避免不同的監(jiān)管機構(gòu)對同一違法行為進(jìn)行多次處罰。為了實現(xiàn)對個人信息侵害行為的威懾，立法在“沒收違法所得”外還應(yīng)當(dāng)確定一個較高的處罰數(shù)額(固定數(shù)額)或?qū)@利因素(比如年營業(yè)額)納入考量。(17)例如，《歐盟一般數(shù)據(jù)保護條例》(GDPR)第83條規(guī)定，在被監(jiān)管對象嚴(yán)重違反數(shù)據(jù)保護規(guī)定時，監(jiān)管機構(gòu)可以處以2 000萬歐元或其財政年度全球收入4%(取其高者)的罰款。準(zhǔn)此而言，在實踐中，由于缺乏明確和具體的客觀標(biāo)準(zhǔn)和考量因素，我國對個人信息違法行為的處罰力度偏低，難以實現(xiàn)威懾和遏制的目的。

二、 我國個人信息保護行政監(jiān)管目標(biāo)的合理設(shè)置

(一) 以“強化私權(quán)保護”為主要目標(biāo)

《民法總則》第111條立法采用的措辭是“個人信息”并非“個人信息權(quán)”。按照嚴(yán)格的文義解釋，個人信息屬于受法律保護的“法益”(合法利益)，僅表明對個人信息進(jìn)行保護的基本立場。(18)參見葉金強： 《〈民法總則〉“民事權(quán)利章”的得與失》，載《中外法學(xué)》2017年第3期，第651頁。但是，從體系解釋和目的解釋來看，《民法總則》第111條本身存在著極大的權(quán)利解釋空間，應(yīng)當(dāng)被解釋為個人信息的確權(quán)規(guī)范。(19)參見王成： 《個人信息民法保護的模式選擇》，載《中國社會科學(xué)》2019年第6期，第140—141頁。更關(guān)鍵的是，在個人信息日益成為一種重要社會資源的背景下，只有以表彰私權(quán)屬性為基礎(chǔ)，才能夠在現(xiàn)實和未來的層面上對個人信息進(jìn)行有效的規(guī)制和保護。(20)參見王利明： 《論個人信息權(quán)在人格權(quán)法中的地位》，載《蘇州大學(xué)學(xué)報》2012年第6期，第75頁。換言之，個人信息并非僅為“法益”，而是屬于私法上的重要“權(quán)利”，從而能夠享有更高層次的法律保護。(21)參見楊立新： 《個人信息： 法益抑或民事權(quán)利》，載《法學(xué)論壇》2018年第1期，第40頁。

近代以來，正當(dāng)?shù)恼魏头芍刃虮仨氁詡€體權(quán)利(私權(quán))為核心，逐漸形成了作為私法基礎(chǔ)的權(quán)利本位觀念。(22)參見周濂： 《后形而上學(xué)視閾下的西方權(quán)利理論》，載《中國社會科學(xué)》2012年第6期，第50—51頁。即使在公法領(lǐng)域，立法者也必須正視相關(guān)制度對個人權(quán)利的影響。(23)參見劉權(quán)、應(yīng)亮亮： 《比例原則適用的跨學(xué)科審視與反思》，載《財經(jīng)法學(xué)》2017年第5期，第42—43頁。主流觀點認(rèn)為，“個人信息權(quán)”是一種具體人格權(quán)，(24)參見王利明： 《論個人信息權(quán)的法律保護》，載《現(xiàn)代法學(xué)》2013年第4期，第70頁。同時也屬于基本權(quán)利，因而具備客觀法的性質(zhì)： 一方面，所有組織和個人必須尊重這種民事權(quán)利，不得進(jìn)行侵害；另一方面，包括監(jiān)管機構(gòu)在內(nèi)的公權(quán)力機關(guān)也負(fù)有義務(wù)進(jìn)行更周延和完整的權(quán)利保護，采取積極措施來創(chuàng)造和執(zhí)行制度性保障，進(jìn)而營造個人信息權(quán)受保護的客觀價值秩序。(25)參見張翔： 《基本權(quán)利的雙重性質(zhì)》，載《法學(xué)研究》2005年第3期，第28頁。在這個意義上來說，“權(quán)利保護”應(yīng)當(dāng)成為個人信息保護監(jiān)管的主要目標(biāo)和監(jiān)管機構(gòu)的主要職責(zé)。

(二) 扮演“利益沖突協(xié)調(diào)者”的角色

盡管個人信息保護的最有利方式是進(jìn)行完備周全的綜合立法，但這種方式可能無法兼顧信息產(chǎn)業(yè)發(fā)展的需求，并阻礙信息的自由流通。(26)參見蔣坡主編： 《個人數(shù)據(jù)信息的法律保護》，中國政法大學(xué)出版社2008年版，第112頁。在進(jìn)行個人信息保護法律制度構(gòu)建時，需要在信息主體(個人基本權(quán)利)、信息行業(yè)(經(jīng)營活動)和國家管理(公共利益)三方之間進(jìn)行更多的利益平衡。(27)參見張新寶： 《從隱私到個人信息： 利益再衡量的理論與制度安排》，載《中國法學(xué)》2015年第3期，第52頁。進(jìn)一步而言，在個人信息保護中發(fā)生利益沖突時，由于信息主體(個人)和信息從業(yè)者(經(jīng)營者)存在實際能力和利益取向上的局限性，個人信息保護監(jiān)管機構(gòu)作為法律實施狀況的監(jiān)督者和公共利益的代表，理應(yīng)承擔(dān)起協(xié)調(diào)利益沖突的責(zé)任。

在立法沒有明文規(guī)定的前提下，如果個人信息權(quán)利與下列的公共利益或他人重大利益發(fā)生沖突，監(jiān)管機構(gòu)應(yīng)當(dāng)運用比例原則等利益衡量方法來進(jìn)行妥當(dāng)?shù)奶幚恚?(1) 國家安全和國防安全，針對個人信息(數(shù)據(jù))跨境流通應(yīng)當(dāng)采取更加嚴(yán)格的監(jiān)管措施；(2) 公共利益，比如公共安全、公共衛(wèi)生以及基于公共利益進(jìn)行的統(tǒng)計、編寫歷史或?qū)W術(shù)研究；(3) 司法活動，包括偵查、起訴、審判和判決執(zhí)行等活動；(4) 公民的基本權(quán)利和自由，比如隱私權(quán)、肖像權(quán)和言論自由；(5) 信息從業(yè)者的重大合法權(quán)益，比如商業(yè)秘密、信息產(chǎn)業(yè)發(fā)展。此外，在信息主體存在惡意或濫用權(quán)利時，其權(quán)利行使也應(yīng)當(dāng)受到限制。

(三) 以“信息社會治理”為基本理念

進(jìn)入信息化時代以來，信息主體、信息從業(yè)者(控制者和處理者)、社會公眾等多元主體的參與和互動成為有目共睹的事實，單純依靠自上而下的命令已無法確保法律規(guī)則的嚴(yán)格遵守。(28)由于現(xiàn)代社會系統(tǒng)結(jié)構(gòu)的復(fù)雜性和不確定性，傳統(tǒng)意義上的科層式管制(管理)體制難以解決信息時代的難題。參見范如國： 《復(fù)雜網(wǎng)絡(luò)結(jié)構(gòu)范型下的社會治理協(xié)同創(chuàng)新》，載《中國社會科學(xué)》2014年第4期，第99頁。因此，面對不同主體的利益訴求，構(gòu)建有序的參與機制才是治本之道。有學(xué)者指出，社會治理作為管理的升級版，承載著更多的職能，其主要特點就是允許適當(dāng)?shù)淖灾慰臻g與社會的多元參與，從而逐漸形成個人信息保護與利用的制度性激勵，進(jìn)而實現(xiàn)綜合治理的新格局。(29)參見前注〔6〕，周漢華文，第4—5頁。

維護網(wǎng)絡(luò)安全和推進(jìn)信息化等公共利益的實現(xiàn)，既需要監(jiān)管機構(gòu)采取行政管理措施進(jìn)行有效的監(jiān)督，也需要信息控制者和處理者的共同協(xié)力。尤其是，針對個人信息的合規(guī)化處理，更加依賴不同主體之間的合作。比如，作為技術(shù)性實際操作規(guī)則的《信息安全技術(shù) 個人信息安全規(guī)范》(GB/T 35273—2017)中的若干規(guī)定就直接體現(xiàn)了個人權(quán)利保護指引、企業(yè)合規(guī)參考和國家推薦標(biāo)準(zhǔn)三種意義。(30)參見吳沈括： 《個人信息保護的規(guī)范趨勢： 走向客觀綜合主義保護》，載《中國信息安全》2018年第3期，第72頁。可見，個人信息保護監(jiān)管應(yīng)當(dāng)置身于“信息社會治理”的大背景下，關(guān)注和重視包括市場與信用在內(nèi)的其他社會力量，(31)參見余佳、劉逸帆、葛云： 《加強個人信息保護、促進(jìn)社會和諧進(jìn)步——訪中國電子商務(wù)協(xié)會政策法律委員會副主任阿拉木斯》，載《社會治理》2017年第5期，第41頁。為行業(yè)自律機制和輿論監(jiān)督發(fā)揮作用預(yù)留下足夠的空間，積極引導(dǎo)多種社會因素的有序參與并進(jìn)行有效的監(jiān)督。

三、 我國個人信息保護行政監(jiān)管主體的立法設(shè)想

(一) 域外主要國家和地區(qū)的立法與實踐

早在1995年，《歐盟數(shù)據(jù)保護指令》(Directive 95/46/EC)即要求各成員國成立監(jiān)管機構(gòu)(supervisory authorities)來確保前述指令的適用。為了正確地履行保護數(shù)據(jù)權(quán)利和促進(jìn)數(shù)據(jù)流通的職能，這些公共機構(gòu)應(yīng)當(dāng)獨立存在，并有權(quán)實施包括進(jìn)行調(diào)查、干預(yù)以及介入訴訟等方式在內(nèi)的行政監(jiān)管措施。不僅如此，2018年5月25日起實施的《歐盟一般數(shù)據(jù)保護條例》(General Data Protection Regulation/GDPR)除了實現(xiàn)個人數(shù)據(jù)保護統(tǒng)一立法和確立廣泛的數(shù)據(jù)權(quán)利外，其所推行的對個人信息保護的強力監(jiān)管也頗為引人矚目，尤其是GDPR不僅建立了全覆蓋、多層次的監(jiān)管體系，而且大大細(xì)化了對監(jiān)管機構(gòu)的組織獨立性、目標(biāo)定位和職責(zé)范圍等方面的具體要求。(32)Paul Voigt and Axel von dem Bussche, The EU General Data Protection Regulation (GDPR)： A Practical Guide, Springer International Publishing AG, 2017, p.189-190.

在歐盟范圍來看，盡管在名稱和監(jiān)管模式上存在些許差異，大多數(shù)成員國都已經(jīng)建立了本國的個人信息保護監(jiān)管機構(gòu)。(33)參見高志明： 《個人信息保護中的自律與監(jiān)督》，載《青島科技大學(xué)學(xué)報(社會科學(xué)版)》2016年第3期，第88頁。英國和德國的情況也大致相同： 即便英國已經(jīng)啟動“脫歐”程序，但是個人信息保護仍被視為重要的議題。根據(jù)2017年《英國數(shù)據(jù)保護法案》，作為監(jiān)管機構(gòu)的“信息專員辦公室”(Information Commissioner’s Office)將繼續(xù)保持獨立性，并獲得更大權(quán)力來處理相關(guān)投訴、進(jìn)行調(diào)查、罰款和刑事制裁。(34)參見英國數(shù)字、文化、媒體和體育部(DCMS)： 《英國新數(shù)據(jù)保護法案： 改革計劃》，鄧輝譯，載《中國應(yīng)用法學(xué)》2017年第6期，第174頁。在德國，2015年修訂的《聯(lián)邦數(shù)據(jù)保護法》要求國家數(shù)據(jù)保護監(jiān)督機關(guān)負(fù)責(zé)監(jiān)督和確保個人數(shù)據(jù)保護條款的執(zhí)行，有權(quán)在監(jiān)管目的范圍內(nèi)對數(shù)據(jù)進(jìn)行加工、使用或傳輸。(35)參見任文倩： 《德國〈聯(lián)邦數(shù)據(jù)保護法〉介紹》，載《網(wǎng)絡(luò)法律評論》2016年第1期，第69頁。

在分散式行業(yè)立法的框架下，美國雖然沒有統(tǒng)一的監(jiān)管機構(gòu)，但更加重視個人信息保護的執(zhí)法實踐，采取了靈活多樣的執(zhí)法手段。迄今為止，美國尚未形成綜合性的個人信息保護法典或法律，相關(guān)的聯(lián)邦立法僅規(guī)定了各領(lǐng)域或行業(yè)的主管機關(guān)，由其負(fù)責(zé)監(jiān)督和管理本行業(yè)內(nèi)個人信息(隱私)保護的實施情況。比如，美國聯(lián)邦貿(mào)易委員會(FTC)承擔(dān)了大部分消費者個人信息保護的監(jiān)管職能，消費者金融保護局(CFFB)負(fù)責(zé)與征信和金融有關(guān)的個人信息監(jiān)管，而關(guān)于通訊和醫(yī)療的個人信息保護則分別由聯(lián)邦通信委員會(FCC)與衛(wèi)生和公共服務(wù)部(HHS)進(jìn)行監(jiān)管。其中，F(xiàn)TC不僅有權(quán)要求進(jìn)行專項整改、命令刪除非法獲得的消費者信息、沒收非法所得以及進(jìn)行其他行政處罰，同時也致力于通過制定規(guī)則、發(fā)布指南與舉辦培訓(xùn)班等方式來實現(xiàn)對消費者個人信息的嚴(yán)格保護。截至2018年底，F(xiàn)TC已經(jīng)處理了上千起關(guān)于個人隱私和數(shù)據(jù)安全的案子，從而保護了上億消費者。(36)Federal Trade Commission, Privacy & Data Security Update： 2018, https：//www.ftc.gov/reports/privacy-data-security-update-2018.有學(xué)者指出，F(xiàn)TC的執(zhí)法實踐不僅直接對消費者的個人信息提供保護，還間接地塑造了美國的隱私和個人信息法律制度。(37)Daniel J. Solove & Woodrow Hartzog, The FTC and The New Common Law of Privacy, 114 Columbia Law Review 583-584 (2014).

在東亞地區(qū)，根據(jù)《韓國個人信息保護法》(2011年)和《日本個人信息保護法》(2015年修訂)的規(guī)定，作為個人信息保護監(jiān)管的專責(zé)機關(guān)，新設(shè)立的“個人信息保護委員會”直屬于總統(tǒng)或內(nèi)閣總理大臣，負(fù)責(zé)統(tǒng)籌個人信息保護并享有相應(yīng)的行政職權(quán)。(38)參見郭戎晉： 《韓國個人資料保護法制之比較研究》，載《科技法律透析》2014年第2期，第33—34頁；范姜真媺： 《日本個人編號法對我國之借鏡——以個人資料保護監(jiān)督機制為主》，載《東吳法律學(xué)報》2014年第2期，第22—23頁。與此同時，在我國香港地區(qū)，“個人資料私隱專員(公署)”負(fù)責(zé)《個人資料(私隱)條例》的實施和個人資料的保障，并密切關(guān)注國際發(fā)展趨勢與香港地區(qū)的社會期望，對個人資料的保護需求做出及時和有效的回應(yīng)。(39)Stephen Kai-yi Wong & Guobin Zhu, Personal Data (Privacy) Law in Hong Kong, The City University of Hong Kong Press, 2016, p.3-5.在我國澳門地區(qū)，按《個人資料保護法》第28條和《民法典》第79條的規(guī)定，監(jiān)察個人資料的收集、儲存與使用的主管機構(gòu)為“公共當(dāng)局”。但是，這樣的規(guī)定過于模糊，特區(qū)政府在2007年設(shè)立了“個人資料保護辦公室”作為專責(zé)的監(jiān)管機構(gòu)。我國臺灣地區(qū)“個人資料保護法”第22條規(guī)定，“‘中央’目的事業(yè)主管機關(guān)”和“‘直轄市’、縣(市)政府”是行政監(jiān)管機構(gòu)，但是，當(dāng)局遲遲未設(shè)立專責(zé)的監(jiān)管機構(gòu)，引發(fā)了人們對法律實施效果的質(zhì)疑。(40)參見羅承宗： 《無專責(zé)機關(guān)的二代個資法： 一個資料探勘的嘗試》，載《新社會政策》總第10期(2010年6月)，第30、32頁；李飛： 《臺灣“個人資料保護法”的變遷、問題及其啟示意義》，載《廈門大學(xué)法律評論》(第20輯)，廈門大學(xué)出版社2012年版，第286—288頁。

(二) 既有的立法建議及其局限

對于個人信息保護的立法，我國學(xué)者積極開展理論研究，并提出了數(shù)個具有重大立法參考價值的草案建議稿。其中，由齊愛民教授提出的《個人信息保護法示范法草案學(xué)者建議稿》區(qū)分了國家機關(guān)與非國家機關(guān)，涵蓋了個人信息的收集、處理和利用以及相應(yīng)的損害賠償，但是，該建議稿缺乏對個人信息保護監(jiān)管的相關(guān)規(guī)定。(41)參見齊愛民： 《中華人民共和國個人信息保護法示范法草案學(xué)者建議稿》，載《河北法學(xué)》2005年第6期，第2—5頁。周漢華教授主持的專家建議稿及說明指出，在缺乏個人信息保護法專門執(zhí)行機構(gòu)的背景下，建議成立“專門的政府信息資源主管部門”對個人信息處理進(jìn)行政府管理，負(fù)責(zé)相應(yīng)的登記、許可、審查和決定等事項(第35—41條)。在有條件的情況下，也可以吸收政府之外的專家，共同組建“獨立的信息委員會”。(42)參見周漢華： 《中華人民共和國個人信息保護法(專家建議稿)及立法研究報告》，法律出版社2006年版，第83—84頁。在張新寶教授主持起草的《個人信息保護法》(專家建議稿)中，“監(jiān)督管理”(第六章)制度設(shè)計的基本思路是“在堅持網(wǎng)信部門核心地位的同時，充分發(fā)揮新聞監(jiān)督、社會監(jiān)督和公共參與的作用”，主張“網(wǎng)信辦牽頭協(xié)調(diào)，共同參與”。(43)參見《更嚴(yán)厲的數(shù)據(jù)保護法來了，〈個人信息保護法〉(專家建議稿)即將發(fā)布》，載搜狐新聞網(wǎng)，http：//www.sohu.com/a/226016805_453795。

值得注意的是，《網(wǎng)絡(luò)安全法》出臺以來，“網(wǎng)信辦”在個人信息保護領(lǐng)域中發(fā)揮著愈加重要的作用。但是，“網(wǎng)信辦”與“中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組辦公室”是“兩塊牌子、一套機構(gòu)”，后者在組織建制上僅是議事協(xié)調(diào)機構(gòu)，屬于一種“階段性工作機制”，不是嚴(yán)格意義上的實體性組織，其專業(yè)性和獨立性難以獲得保障。在此背景下，即便立法賦予了“網(wǎng)信辦”進(jìn)行統(tǒng)籌協(xié)調(diào)的職權(quán)，它也無法擺脫臨時組織的性質(zhì)和多頭監(jiān)管帶來的弊端。這充分表明，分散式的監(jiān)管主體缺乏統(tǒng)一性和獨立性，無法有效地統(tǒng)領(lǐng)個人信息保護監(jiān)管的大局。

(三) 建立統(tǒng)一和獨立的監(jiān)管主體

如前所述，我國目前個人信息保護仍處于分散立法階段，由多個部門進(jìn)行分別監(jiān)管，相應(yīng)的監(jiān)管主體設(shè)置和職權(quán)配置也牽涉網(wǎng)信部門、工信部門、公安機關(guān)、郵政管理部門以及人民銀行等多個主體。但是，相互獨立的行業(yè)監(jiān)管無法實現(xiàn)統(tǒng)一健全的頂層設(shè)計，個人信息保護的監(jiān)管體制難以實現(xiàn)突破，而不同監(jiān)管機關(guān)之間的沖突協(xié)調(diào)又困難重重。(44)參見竇海陽： 《民法典有關(guān)個人信息立法的立法建議》，載陳甦主編： 《中國社會科學(xué)院民法典分則草案建議稿》，法律出版社2019年版，第493頁。因此，在未來的民法典分則或個人信息保護單行法中，立法應(yīng)當(dāng)新設(shè)立以“個人信息保護”為主要目標(biāo)的專責(zé)監(jiān)管機構(gòu)，采取統(tǒng)一而非分散的監(jiān)管模式，打破不同行業(yè)之間的藩籬，實現(xiàn)更高程度的統(tǒng)籌、協(xié)調(diào)和指導(dǎo)，促進(jìn)個人信息保護監(jiān)管的統(tǒng)一領(lǐng)導(dǎo)與國際合作。

世界上主要國家和地區(qū)的立法和實踐表明，只有堅持個人信息保護監(jiān)管機構(gòu)的獨立性和全局視野，才能有效地防止和排除其他組織和個人的干預(yù)，進(jìn)而履行法定的監(jiān)管職能。這種獨立性要求具體表現(xiàn)為“人、財、物”等方面的相應(yīng)保障： 在組織結(jié)構(gòu)上，監(jiān)管機構(gòu)應(yīng)當(dāng)是政府的直接組成部門，而不從屬于其他非以個人信息保護為主要職能的政府機關(guān)；在人員組成上，監(jiān)管機構(gòu)的工作人員屬于公務(wù)員序列，不得從事與其職業(yè)不兼容的活動，尤其是影響履行監(jiān)管職能的營利性活動；在財政預(yù)算上，立法應(yīng)當(dāng)保障監(jiān)管機構(gòu)享有獨立的財政預(yù)算，并將其作為國家財政預(yù)算的組成部分；在物質(zhì)條件上，為了履行監(jiān)督和管理職責(zé)，尤其是調(diào)查個人信息保護情況，必須保證監(jiān)管機構(gòu)具備相應(yīng)的辦公設(shè)備及基礎(chǔ)設(shè)施。

(四) 提升專業(yè)性和行政級別

在大數(shù)據(jù)時代，現(xiàn)代社會的信息化程度不斷提高，侵害個人信息的行為也呈現(xiàn)出較強的技術(shù)性特點，給監(jiān)管工作帶來了巨大的挑戰(zhàn)。所以，行政監(jiān)管機構(gòu)的設(shè)置不僅應(yīng)當(dāng)符合專業(yè)性的要求，同時也需要其工作人員通過不斷學(xué)習(xí)來提高自身的業(yè)務(wù)能力，以適應(yīng)日新月異的個人信息保護環(huán)境。除此之外，監(jiān)管機構(gòu)還可以效仿“行政復(fù)議委員會”的做法，邀請具備信息技術(shù)、審計、管理和法律等方面專業(yè)知識的人士(專家)協(xié)助制定監(jiān)管法規(guī)、處理投訴和進(jìn)行政策宣傳。

對于個人信息保護監(jiān)管機構(gòu)的組織形式來說，“委員會”通常屬于成建制的固定機構(gòu)，是為完成一定的任務(wù)而設(shè)立的專門組織，其職能更加全面、機構(gòu)更加規(guī)范、運行更加穩(wěn)定、組織更加健全。在不斷推進(jìn)國家治理體系和治理能力現(xiàn)代化的背景下，機構(gòu)改革的長遠(yuǎn)方向是要逐步實現(xiàn)從“領(lǐng)導(dǎo)小組”到“委員會”的轉(zhuǎn)變。(45)根據(jù)《中共中央深化黨和國家機構(gòu)改革方案》的要求，“中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組”將改為“中央網(wǎng)絡(luò)安全和信息化委員會”。參見《從“領(lǐng)導(dǎo)小組”到“委員會”： 全面深化改革進(jìn)入新階段》，載中國共產(chǎn)黨新聞網(wǎng)，http：//theory.people.com.cn/n1/2018/0329/c40531-29895329.html。因此，在未來的立法中，我國應(yīng)當(dāng)重視個人信息保護監(jiān)管的頂層設(shè)計和總體布局，盡快設(shè)立直屬于中央人民政府(國務(wù)院)的“個人信息保護委員會”。

四、 我國個人信息保護行政監(jiān)管的措施細(xì)化和程序銜接

(一) 行政監(jiān)管措施的細(xì)化方案

在數(shù)字經(jīng)濟時代，企業(yè)經(jīng)營者受到經(jīng)濟利益的強大驅(qū)動，信息行業(yè)規(guī)范的自覺發(fā)展又不充分，往往無視法律法規(guī)而實施侵害個人信息的行為。(46)參見杜鑫： 《每個詐騙案背后都有一本個人信息泄露的“糊涂賬”》，載《工人日報》2017年3月5日，第4版。退一步來說，即使依靠行業(yè)自律機制來實現(xiàn)個人信息的保護，同樣也離不開行政監(jiān)管的外部壓力。在這個意義上，行政監(jiān)管需要而且應(yīng)當(dāng)具備行之有效的具體措施，全方位地覆蓋個人信息保護的不同階段。

首先，嚴(yán)格事前防范，建立信息處理風(fēng)險評估制度。為了在個人權(quán)利、公共利益和信息產(chǎn)業(yè)發(fā)展之間實現(xiàn)適當(dāng)?shù)钠胶猓⒎☉?yīng)當(dāng)加強對信息處理活動的“事先評估”。通過對相關(guān)的信息處理行為進(jìn)行事先的風(fēng)險評估，“個人信息影響風(fēng)險評估制度”能夠明確這些活動對個人信息安全的影響，進(jìn)而對高風(fēng)險的信息處理活動采取嚴(yán)格的行政監(jiān)管。(47)參見《信息安全技術(shù) 個人信息安全影響評估指南(征求意見稿)》。同時，由于個人信息的泄露可能導(dǎo)致對信息主體、利害關(guān)系人以及社會公共利益造成重大影響，立法還應(yīng)當(dāng)在事先確立統(tǒng)一的“信息泄露通知和報告制度”，要求信息控制者和處理者在發(fā)生或者可能發(fā)生信息泄露、毀損、丟失的情況時立即采取補救措施，及時報告監(jiān)管機構(gòu)(有關(guān)主管部門)并通知信息主體以及可能受到影響的利害關(guān)系人，避免損害的進(jìn)一步擴大。

其次，加強事中監(jiān)督，完善監(jiān)督檢查措施。其一，進(jìn)一步細(xì)化監(jiān)督檢查的形式。對于個人信息保護的實施情況，監(jiān)管機構(gòu)可以進(jìn)行監(jiān)督抽查、專項檢查和其他監(jiān)督檢查。對于信息處理系統(tǒng)，監(jiān)管機構(gòu)有權(quán)選擇“現(xiàn)場檢查”或“遠(yuǎn)程檢測”等具體方式，以及采取詢問、查閱、復(fù)制或封存相關(guān)資料等措施。其二，設(shè)置重點檢查對象和內(nèi)容。對于兩年內(nèi)曾發(fā)生過個人信息泄露或網(wǎng)絡(luò)安全事件的信息控制者和處理者等對象，以及監(jiān)管對象是否進(jìn)行登記備案和風(fēng)險評估、建立信息泄露通知和相關(guān)防范制度等內(nèi)容，監(jiān)管機構(gòu)可以進(jìn)行重點檢查。其三，還應(yīng)當(dāng)規(guī)定監(jiān)督檢查的法律程序。比如，在進(jìn)行現(xiàn)場檢查時，檢查人員不得少于兩人，并應(yīng)當(dāng)出示執(zhí)法證件和《執(zhí)法檢查通知書》。(48)關(guān)于監(jiān)督檢查較為系統(tǒng)和詳盡的規(guī)定，可參見《公安機關(guān)互聯(lián)網(wǎng)安全監(jiān)督檢查規(guī)定》。

再次，健全調(diào)查處理制度，明確行政處罰的種類。監(jiān)管機構(gòu)可以主動進(jìn)行調(diào)查，也可以基于信息主體的申訴進(jìn)行調(diào)查。在后一情形中，監(jiān)管機構(gòu)應(yīng)當(dāng)在一定期限內(nèi)進(jìn)行調(diào)查，并將處理結(jié)果及時通知申訴人。如果信息控制者和處理者違反有關(guān)個人信息保護的法律、行政法規(guī)和部門規(guī)章，監(jiān)管機構(gòu)可以根據(jù)情節(jié)輕重，采取包括警告、限期改正、沒收違法所得、處以罰款、責(zé)令停業(yè)整頓、吊銷營業(yè)執(zhí)照或相關(guān)業(yè)務(wù)經(jīng)營許可證在內(nèi)的一種或數(shù)種行政處罰措施。

復(fù)次，進(jìn)行事后的追蹤觀察，重視政策制定和法規(guī)宣傳。個人信息保護的監(jiān)管是一個長期和持續(xù)的過程，應(yīng)當(dāng)避免治標(biāo)不治本的“運動式治理”。對于發(fā)生個人信息泄露或網(wǎng)絡(luò)安全事件的企業(yè)，立法可以借鑒《侵權(quán)責(zé)任法》第64條規(guī)定的“產(chǎn)品跟蹤觀察義務(wù)”，要求監(jiān)管機構(gòu)進(jìn)行后續(xù)的追蹤觀察或重點檢查，跟進(jìn)其個人信息保護的整改情況。此外，監(jiān)管機構(gòu)還應(yīng)當(dāng)制定相應(yīng)的個人信息保護政策，定期舉行法規(guī)和政策的培訓(xùn)，培育重視個人信息保護的價值觀并引導(dǎo)相關(guān)的信息處理行為，以強化多元參與凝聚社會共識，進(jìn)而促進(jìn)整個社會的觀念更新。

最后，強化信息跨境流通的監(jiān)管，積極參與國際合作。隨著國際經(jīng)濟貿(mào)易聯(lián)系的不斷深入，跨國經(jīng)營中的個人信息儲存和出境問題逐漸凸顯： 一方面，為了保障個人信息安全，維護網(wǎng)絡(luò)空間主權(quán)和國家安全、社會公共利益，世界上主要國家和地區(qū)已經(jīng)要求個人信息儲存本地化以及在出境時進(jìn)行安全評估。(49)參見張金平： 《跨境數(shù)據(jù)轉(zhuǎn)移的國際規(guī)制及中國法律的應(yīng)對》，載《政治與法律》2016年第12期，第140—142頁。根據(jù)《網(wǎng)絡(luò)安全法》第37條和相關(guān)規(guī)定的要求，個人信息境內(nèi)存儲和出境安全評估等法律規(guī)則的有效落實，無法離開監(jiān)管機構(gòu)的認(rèn)真履職和積極作為。(50)關(guān)于個人信息出境安全評估的具體規(guī)定，參見《個人信息和重要數(shù)據(jù)出境安全評估辦法(征求意見稿)》和《信息安全技術(shù) 數(shù)據(jù)出境安全評估指南(征求意見稿)》。另一方面，為避免形成個人信息保護的“洼地”現(xiàn)象，我國監(jiān)管機構(gòu)還應(yīng)當(dāng)主動參與雙邊性、區(qū)域性和全球性的國際合作，與其他國家和地區(qū)的監(jiān)管機關(guān)展開交流和互動，對內(nèi)不斷提升我國的個人信息保護水平，對外維護我國公民和企業(yè)的合法權(quán)益、國家利益和社會公共利益，共同應(yīng)對信息跨境流通監(jiān)管的世界挑戰(zhàn)。

(二) 與其他保護程序之間的協(xié)調(diào)

在現(xiàn)代社會中，個人信息侵害行為日益呈現(xiàn)出技術(shù)性、突發(fā)性和隱蔽性的特點，私力救濟的適用空間被不斷壓縮，以行政監(jiān)管與司法救濟為代表的公力救濟手段則獲得了較大的發(fā)展。因此，在個人信息保護立法中，應(yīng)當(dāng)著力處理好不同保護程序之間的關(guān)系，共同協(xié)力形成對個人信息的全面保護。

首先，協(xié)調(diào)個人信息保護行政申訴和民事訴訟之間的關(guān)系。作為個人信息保護監(jiān)管的組成部分，行政申訴制度旨在處理信息主體的投訴，即在個人信息遭到不具有公共管理職能的組織或個人侵害時，權(quán)利人(信息主體)可以請求監(jiān)管機構(gòu)依據(jù)行政程序解決相關(guān)爭議。(51)按《消費者權(quán)益保護法》第34條的規(guī)定，若消費者與經(jīng)營者之間發(fā)生了個人信息權(quán)益的爭議，即可向有關(guān)行政部門進(jìn)行申訴。但是，在《網(wǎng)絡(luò)安全法》中，應(yīng)當(dāng)及時受理和處理關(guān)于網(wǎng)絡(luò)信息安全的投訴和舉報的主體為網(wǎng)絡(luò)運營者，網(wǎng)信部門和有關(guān)部門僅對此進(jìn)行監(jiān)督檢查(參見《網(wǎng)絡(luò)安全法》第49條)。但是，本制度的設(shè)立初衷在于擴大而非限制對個人信息的保護，故不應(yīng)成為信息主體獲得司法救濟的前置程序。易言之，在個人信息侵害來自非公務(wù)機關(guān)時，權(quán)利人既可以提出申訴，也可以直接提起訴訟。此外，在大規(guī)模的個人信息侵害事件中，受害人為數(shù)眾多，立法應(yīng)當(dāng)規(guī)定由其中一人或數(shù)人代表全體進(jìn)行集體訴訟。在必要時，還可以授權(quán)消費者保護協(xié)會、行政監(jiān)管機構(gòu)、人民檢察院或合乎法律規(guī)定的其他非營利組織提起公益訴訟。

其次，協(xié)調(diào)行政監(jiān)管和行政訴訟之間的關(guān)系。因履行公共管理職能的需要，公權(quán)力機關(guān)可以在法律授權(quán)的范圍內(nèi)對個人信息進(jìn)行處理。在這一過程中，行政機關(guān)與信息主體之間形成的是行政法律關(guān)系。如果公權(quán)力機關(guān)侵害了公民的個人信息權(quán)利，應(yīng)當(dāng)先經(jīng)過行政機關(guān)內(nèi)部的審查和處理，需要遵循“先復(fù)議、后訴訟”的原則。另一方面，由于監(jiān)管機構(gòu)在本質(zhì)上也是公權(quán)力機關(guān)，如果信息主體的申訴在法定期間內(nèi)沒有獲得處理或被監(jiān)管對象不服監(jiān)管機構(gòu)的監(jiān)管措施和處理結(jié)果，那么，信息主體或被監(jiān)管對象也可以監(jiān)管機構(gòu)為被告提起行政訴訟。

再次，協(xié)調(diào)行政處罰和刑事責(zé)任之間的關(guān)系。針對侵害個人信息權(quán)利的行為而言，只有達(dá)到了“情節(jié)嚴(yán)重”的程度，才會落入《刑法》第253條之一“侵犯公民個人信息罪”的規(guī)制范圍。但是，本罪屬于非親告罪，受害人不得提起刑事自訴。由此可見，個人信息的刑法保護不能完全取代行政執(zhí)法機制。對于侵害個人信息的行為，即使沒有達(dá)到入罪的程度，受害人仍有進(jìn)行檢舉和投訴的權(quán)利。

最后，明確因同一侵害行為承擔(dān)不同責(zé)任時的處理規(guī)則。在監(jiān)管對象因侵害個人信息的同一行為同時承擔(dān)民事責(zé)任和行政責(zé)任、刑事責(zé)任時，其財產(chǎn)不足以支付全部賠償?shù)模瑸榱藢崿F(xiàn)保障私權(quán)的目的，責(zé)任人應(yīng)當(dāng)先承擔(dān)民事責(zé)任。

五、 結(jié) 語

在現(xiàn)代社會中，大數(shù)據(jù)等技術(shù)和商業(yè)的迅猛發(fā)展，使得個人信息的利用在范圍與效率上達(dá)到了前所未有的程度。《民法總則》第111條已經(jīng)邁出了個人信息保護重要的一步，作為單行法的“個人信息保護法”也在2018年9月10日被列入十三屆全國人大常委會的第一類立法規(guī)劃。這意味著，民法典分編與單行法中的個人信息保護制度構(gòu)建將是未來立法的重點課題。

行政監(jiān)管是個人信息保護制度的重要內(nèi)容。但是，由于低層級、多頭化和分散式等原因，我國目前的監(jiān)管設(shè)計無法擔(dān)當(dāng)起確保個人信息權(quán)利保護和法律規(guī)范落實的重任。未來的立法應(yīng)當(dāng)采用專章(節(jié))來規(guī)定“個人信息保護的監(jiān)管”，設(shè)立國家層面的“個人信息保護委員會”，明確規(guī)定其監(jiān)管目標(biāo)、組織地位、職權(quán)范圍、監(jiān)管措施和法律責(zé)任，協(xié)調(diào)與其他保護程序之間的關(guān)系，不斷夯實個人信息保護的第三大支柱，從而充分應(yīng)對信息科技興起帶來的法律挑戰(zhàn)。