個人信息保護行政監管經驗與啟示

導語：個人信息保護行政監管經驗與啟示一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

摘要:要成員國、美國、日本、韓國和我國港澳臺地區都已經建立了較為完備的個人信息保護監管體系．面對新興科技的法律挑戰與錯綜復雜的利益平衡需求，我國應當充分借鑒比較法上的有益經驗，重點從主體、目標、措施和程序4個方面入手，積極探索建立個人信息保護的行政監管制度，從而形成對個人信息的全面保護．

關鍵詞:個人信息保護；行政監管；立法趨勢；域外經驗；監管體系

在現代社會中，個人信息保護事關公民的基本權利和人格尊嚴，同時也與經濟社會發展、公共利益和國家安全存在著緊密的聯系：從個人的角度而言，個人信息是自然人的基本識別要素；對于經濟和社會發展而言，信息的有效利用是現代經濟的重要基礎；在國家的層面，國民的個人信息屬于重要的戰略資源．事實上，為了對內協調個人尊嚴與經濟社會發展、對外維護民族獨立及國家安全，歐盟、美國、日本、韓國以及我國港澳臺地區已經成立了相應的個人信息保護監管機構，相關法律也對個人信息保護監管進行了明確的規定．對這些國家和地區個人信息保護監管的立法和實踐進行系統考察，能夠為我國個人信息保護監管體系的完善提供有益的借鑒．

1歐盟的個人信息保護監管

早在1995年《歐盟數據保護與流通指令》（簡稱《指令》）中，歐盟即要求各成員國成立公共機構來確保《指令》的適用．為了正確地履行保護人們的數據權利和促進數據流通的職能，這些監管機構（supervisoryauthorities）應當獨立存在，并有權實施包括進行調查、干預以及介入訴訟等方式在內的行政監管措施（參見《指令》第28條）．在《指令》的要求下，歐盟還建立了咨詢機構（第29條）和專門委員會（第31條），為保護個人數據和制定法律文件等事項提供意見［1］．2018年5月25日正式實施的《歐盟一般數據保護條例》（簡稱GDPR），被譽為“史上最嚴格的數據保護法案”．除了實現個人信息統一立法、確立廣泛的數據權利（比如增加“擦除權?被遺忘權”和“數據可攜帶權”等）外，GDPR所推行的對個人信息保護的強力監管也頗為引人注目：1）根據“企業—成員國—歐盟”的不同層級，建立全覆蓋、多層次的監管體系［2］．在成員國內非政府機構（主要是企業）的層面，GDPR要求在其內部設立數據保護專員（dataprotectionofficer）．其次，在歐盟成員國層面，GDPR要求設立相應的監管機構來對政府領域與非政府領域的個人信息保護進行監管（第51條）．最后，在歐盟的整體層面，除了進行個人信息保護全局的協調和領導外，歐盟數據保護委員會（EDPB）還負責對非政府領域的個人信息保護進行監管［3］．2）細化對監管機構獨立性的具體要求．在歐盟各成員國中成立的監管機構必須具備完全的獨立性（completeindependence）．按照GDPR第52條的規定，監管機構不受到來自其他組織和個人的影響（外部干預），同時也在成員、技術、資金、基礎設施和財政預算等方面享有獨立性保障（內部設置）．3）明確監管機構的監管目標和職責范圍．根據GDPR的規定，監管機構的主要目標在于確保GDPR的實施（第57條）．在發生個人信息泄露時，數據控制者應當在72h內無不當延遲地通知監管機構（第33條）．針對違反個人信息保護規定的行為，監管機構享有廣泛的調查、糾正處理與提出改進建議的權力，在必要時可以引入司法救濟（第58條）．如果數據控制者或處理者存在嚴重違規行為，監管機構有權處以2000萬歐元或其前一財年全球收入4％（取其高者）的罰款（第83條）．4）根據數據處理風險等級的不同，實行差異化監管．GDPR沒有采用“一刀切”式的監管模式，而是根據信息處理引發損害風險的大小進行差異化的監管（第32條）［4］．尤其是對于那些可能引發高風險的行為，數據控制者和處理者將負擔更重的義務，這些義務包括事先進行信息保護評估（第35條），在發生個人信息泄露后及時通知監管機構（第33條），并與數據主體取得聯系（第34條）．在歐盟范圍來看，盡管在名稱和監管模式上存在些許差異，但多數成員國都已經建立了本國的個人信息保護監管機構［5］．英國、德國和法國的情況也大致相同：即便已經啟動“脫歐”程序，個人信息保護仍被視為英國面臨的重要議題．根據2017年《英國數據保護法案》，作為監管機構的信息專員辦公室（InformationCommissionersOffice）將繼續保持其獨立性，并獲得更大權力來處理投訴、進行調查、罰款和刑事制裁［6］．在德國，根據2015年修訂的《聯邦數據保護法》，國家數據保護監督機關（DataProtectionAuthorities）負責監督和確保個人數據保護條款的執行，可以在監管目的之范圍內對數據進行加工、使用或傳輸．對于違反數據保護的行為，監管機構可以告知數據主體報告或通知行業監督機構采取措施［7］．在法國，個人信息和數據保護的監管機構為國家信息與自由委員會（CNIL）．為了協調法國數據保護法與GDPR，法國政府與2018年12月12日以條例的形式通過了新的《法國數據保護法》．在所有歐盟國家中，法國對于個人信息的保護最為嚴厲．2019年1月22日，CNIL對谷歌處以5000萬歐元的罰款，原因是它沒有向用戶正確披露如何通過其搜索引擎、谷歌地圖和YouTube等服務收集數據，以展示個性化廣告［8］．此外，法國刑法還規定，若任何個人或者機構阻礙CNIL的執法活動，其將會面臨1年的監禁和最高1．5萬歐元的罰款．值得注意的是，GDPR已經正式生效，由于它是可以產生“直接效力”的歐盟法規，所有歐盟成員國都必須適用GDPR的規定．

2美國的隱私和個人信息保護監管

面對大數據時代的隱私和個人信息保護問題，美國近年來陸續出臺了《白宮大數據白皮書》（TheWhiteHouseBigDataReport）和《消費者隱私權利法案》（ConsumerPrivacyBillofRights）等，以提高個人信息保護水平．對照來看，與歐盟采取嚴格監管來實現事先預防的做法不同，美國更加強調個人信息的利用自由與事后救濟［9］，其個人信息保護監管具備自己的特點．美國將隱私權作為個人信息保護的基礎，力圖平衡信息利用和權利保護之間的關系，落實市場主導和減少政府干預的原則，對事先立法和行政監管并不十分依賴．從20世紀80年代起，美國政府根據不同行業的特點而單獨進行立法（主要集中在金融和通信領域），擴大了法律規制的范圍．為了避免更為嚴格的法律規定阻礙信息經濟的未來發展，信息產業界及相關的從業者主動選擇明確規范自己在信息收集、儲存、利用和傳播等方面的權利和義務，以及制定相關的個人信息保護政策（隱私權政策）［10］．在此背景下，美國網絡信息行業陸續出臺以“建議性行業指引”（SuggestiveIndustryGuidelines）和“網絡隱私認證計劃”（OnlinePrivacySealProgram）為主要表現形式的行業自律規范，逐漸形成了以行業規制和企業自我管理為核心的“行業自律機制”［11］．迄今為止，美國尚未形成綜合性的個人信息保護法典或法律，也沒有統一的監管機構和執法機構．相關的聯邦立法僅規定了各領域或行業的主管機關，由其負責監督和管理本行業內個人信息（隱私）保護的實施情況：在一般商業領域，通過不斷擴展《聯邦貿易委員會法》（FTA）第5條“不公正或欺騙商業行為”規定的適用范圍，美國聯邦貿易委員會（FTC）承擔了大部分消費者個人信息保護的職能．在特殊商業領域，與征信和金融有關的個人信息保護監管通常由消費者金融保護局（CFFB）來負責，而關于通信和醫療的個人信息保護則分別由聯邦通信委員會（FCC）與衛生和公共服務部（HHS）進行監管．在分散式監管立法的框架下，美國更加重視個人信息保護的執法實踐，并采取了靈活多樣的執法手段．以美國聯邦貿易委員會為例，它不僅有權進行專項整改、刪除非法獲得的消費者信息、沒收非法所得以及其他行政處罰，還致力于通過制定規則、指南與舉辦培訓班（workshops）等方式來實現對消費者個人信息的嚴格保護．對于違反《兒童網絡隱私保護法》（ChildrensOnlinePrivacyProtectionAct）、《公平信用報告法》（FairCreditReportingAct）和《電話銷售規則》（Telemarket－ingSalesRule）等制定法的行為，FTC也可以進行罰款．有學者指出，聯邦貿易委員會的執法實踐不僅直接對消費者的個人信息提供保護，還間接地塑造了美國的隱私法律制度［12］．截至2018年底，FTC已經處理了數千起關于個人隱私和數據安全的案子，保護了上億消費者的個人信息權利［13］．

3日本和韓國的個人信息保護監管

在日本，《個人信息保護法》（2015年修正）是目前公共部門和私人領域內個人信息保護的總原則［14］．之前由中央主管大臣對各自領域負責的個人信息保護職權，統一收歸于由內閣總理大臣直接管轄的“個人信息保護委員會”．該委員會下設事務局和臨時的專門委員會，分別負責日常事務的執行和特別事項的調查［15］．此外，委員會成員在任期內不得參加其他政黨或政治團體，不得參與政治運動，不得從事營利性活動，以保證委員會不受其他組織和個人干涉的獨立性．個人信息保護委員會有權要求數據處理從業者提交報告或資料，進行抽查（第15和16條），針對違法行為還可以進行處罰．截至2017年5月30日（日本《個人信息保護法》施行日），個人信息保護委員會不僅完成了組建，還協同金融廳和厚生勞動省等其他機關，針對金融和醫療等特殊行業了旨在強化個人信息保護的指南等具體規則［16］．2011年，韓國出臺了《個人信息保護法》，標志著韓國放棄了原來的個人信息二元化保護模式，從而將個人信息保護的范圍擴展到公共機關和私人部門［17］．在此之前，韓國內政部（行政安全部）是事實上個人信息保護的監管機構．根據《韓國個人信息保護法》的規定，新設立的個人信息保護委員會作為個人信息保護監管的專責機關，其行政層級由對內閣負責提升為直接隸屬于總統的獨立部門，主要職責包括統籌個人信息保護政策、制定個人信息保護基本計劃和實施方案以及對有關個人信息保護的事項提出意見或建議［18］．

4我國港澳臺地區的個人信息保護監管

在我國香港地區，根據《個人資料（私隱）條例》（簡稱《私隱條例》）的規定，個人資料私隱專員（PrivacyCommissionerforPersonalData）負責《私隱條例》的實施和個人資料的保障，是一個永久和獨立的職位（第5條），在沒有獲得行政長官批準的情況下，不得擔任其他職務（第6條）．根據《私隱條例》第8條的規定，私隱專員享有以下權力：1）根據投訴或主動進行調查，協助受害人獲得賠償；2）對條例的遵守情況進行監察和監管；3）檢查公私部門的個人信息處理系統；4）制定相關的實務守則；5）審核可能對個人資料造成影響的法例；6）進行推廣和宣傳，促進社會參與；7）與其他機構進行合作．此外，根據官方網站的說明，個人資料私隱專員公署還緊貼科技發展，密切關注國際發展趨勢與香港地區的社會期望，對個人資料的保護需求作出及時和有效的回應［19］．在我國澳門地區，按《個人資料保護法》（2005年制定）第28條和《民法典》第79條的規定，監察個人資料的收集、儲存與使用的主管機構為“公共當局”．不過，由于這樣的規定過于模糊，澳門特區政府在2007年設立了個人資料保護辦公室作為專責的監管機構．根據澳門特區政府第83?2007號行政長官批示，個人資料保護辦公室在行政長官監督下獨立運作，負責監察、協調對《個人資料保護法》的遵守和執行，其基本職責范圍包括：1）監督法律執行；2）制定保密制度；3）處理投訴；4）進行宣傳教育；5）進行理論問題的分析研究．此外，按照《個人資料保護法》的規定，個人資料的自動化處理、特定情形下敏感信息的處理、跨境信息流通以及基于統計、科學研究等目的對個人資料進行的處理需要通知主管機關或取得主管機關的許可（第21～23條）．這些要求在一定程度上體現了政府介入，因而也被認為是屬于行政監管的內容．根據我國臺灣地區“個人資料保護法”（2015年修正）第22條和第25條的規定，“中央目的事業主管機關”或“直轄市、縣（市）政府”為個人資料保護的監管機構，具備進入（固定場所）檢查、要求配合（比如命令相關人員進行必要的說明或提供相關證明資料）、處以罰款、對個人資料進行處分（比如禁止搜集、處理或利用個人資料、命令刪除經處理之個人資料檔案、沒收或命令銷毀違法搜集之個人資料）以及公布違法情形及相對人的姓名或名稱與負責人等職權（如表1所示）．

5對我國個人信息保護監管的啟示

在大數據時代，個人信息的價值日益凸顯，對個人信息的收集、儲存、處理和傳播缺乏有效的制度約束，尤其是市場領域中的個人信息侵害日益頻發，已經發展為一般性的社會問題．究其原因，乃是在現代社會中幾乎人人都被貼上了消費者的標簽，而個人信息侵害亦大多發生于商業化利用的過程中，侵權行為人主要是擁有技術和經濟優勢的互聯網企業和大數據公司等市場主體，處于相對弱勢地位的受害人往往難以依靠自身力量獲得賠償．這意味著，只在水平層面上不斷完善（自然人的）個人信息權利和（信息從業者的）個人信息保護義務是遠遠不夠的，立法還應當在縱向層面上建立起合理和高效的行政監管制度，施加足夠的外部壓力促使個人信息保護制度內生性的轉變，確保法律和行政法規關于權利保護、義務遵守和救濟提供的規定能夠落到實處．因此，在這個意義上，我國個人信息保護立法應及時轉換思維，重視個人信息保護縱向行政監管體制的建立和完善，從而構建橫向保護和縱向監管相結合的綜合保護體系．筆者認為，我國個人信息保護監管制度的構建應當從主體、目標、措施和程序4個方面入手，以充分應對大數據技術和商業發展所帶來的挑戰：首先，建立統一和獨立的監管機構．總結來看，域外的個人信息保護監管大致存在2種選擇：一是采取歐盟式的統一監管，即統一立法、集中監管，建立個人信息保護監管的專責機關，并逐步強化監管機構的權力；二是采取美國式的分散監管，即分散立法、部門監管，由不同行業的主管部門負責各自領域中的個人信息保護監管，輔之以高度發達的行業準則．目前，在我國分散立法的背景下，相關的個人信息保護規定依附于不同的部門法，電信、網絡、征信和郵政快遞等行業都已經存在相應的主管機關，其監管實踐更類似于美國模式．但是，從長遠來看，建立統一和獨立的監管主體是未來的發展趨勢，它可以避免多頭監管和不當干預的弊端，同時促進監管工作的統一領導與國際合作，從而有利于我國個人信息保護水平的進一步提高．其次，明確個人信息保護監管的基本目標．在個人信息成為一種重要社會資源的背景下，只有以表彰私權屬性為基礎，才能夠在現實和未來的層面上對個人信息進行有效的規制和保護．《中華人民共和國民法總則》第111條確立了個人信息的權利保護模式．相應地，個人信息保護監管應當以“強化私權保護”為基本目標，以扭轉我國長期以來重利用、輕保護的個人信息實踐現狀，促進尊敬個人信息權利保護和信息商業化利用齊頭并進的優良商業環境的生成．再次，細化個人信息保護的監管措施．由于企業內部或信息行業規范的自覺發展尚不充分，信息（數據）控制者或處理者往往無視法律法規而實施侵害個人信息的行為．與此同時，行業自律機制同樣也離不開行政監管的外部壓力．在這個意義上，行政監管需要而且應當包括行之有效的具體措施，以全方位地覆蓋個人信息保護的不同階段，具體而言，包括嚴格事前防范，加強事中監督，進行事后的追蹤觀察，建立和完善信息處理風險評估制度、完善監督檢查措施、健全調查處理制度、明確行政處罰的種類、重視政策制定和法規宣傳等在內的制度和措施．最后，協調不同保護程序之間的關系．在現代信息社會中，侵害個人信息的行為日益呈現出技術性和突發性的特點，由于受害人本身的能力和精力等方面的限制，私力救濟的適用空間被不斷壓縮，而以行政監管與司法救濟為代表的公力救濟手段獲得了較大的發展．在未來的個人信息保護立法中，應當著力處理好不同保護程序之間的關系，協調個人信息保護監管與行政申訴、民事訴訟、行政處罰和刑事處罰之間的關系，并明確因同一行為承擔不同責任時的處理規則．

作者:鄧輝 單位:北京大學法學院