论公私合作治理模式下个人信息保护机制建构
作者: 唐瑞芳摘要:公私合作保护个人信息成为越来越常见的路径。网络空间是现实社会的延伸,严格依法治网成为个人信息保护实践当中的初始选择。然而在传统的规范主义模式下,存在着私主体规制合法性基础薄弱、公益与私利难以平衡、司法救济制度安排存在困境等问题。随着实践的深化,公私合作保护个人信息向功能主义转向,较好地回应了个人信息保护应用场景丰富、参与主体多样、保护路径绵长等现实需要,然而在实践中还存在着公私主体角色与利益混同、程序正义较难实现等问题,需要在更新理念的基础上,从多元利益再平衡、监管机制再塑造、责任分配再优化、救济手段再升级等方面进一步完善公私合作治理机制。
关键词:个人信息;公私合作;规范主义;功能主义;机制
中图分类号:D9 文献标志码:A 文章编号:1004-3160(2022)01-0099-12
一、引言
据第48次《中国互联网发展状况统计报告》统计,截至2021年6月,中国网民规模达10.11亿。随着公民、法人和其他组织广泛和深刻的参与,超级网络平台的不断壮大,网络社会出现了“权力多元化和社会化的趋向”[1]。与此同时,个人信息处理与保护已经成为一个普遍且突出的现实问题。由于主体多元、社会关系多样,无论“无形的手”抑或“有形的手”都难以独立回应错综复杂的个人信息保护难题。“市场失灵置换了市场万能观念,而政府失效又拒斥了国家的神话。”[2]近年来,个人信息保护越来越需要全社会的参与,逐渐突破公权力一家主导的个人信息保护模式,个人信息自决、企业主体责任、行业指导越来越被重视,从侧重“依法治网、依法办网、依法上网”的规范主义治网模式,逐渐转向“党委领导、政府管理、企业履责、社会监督、网民自律等多主体参与,经济、法律、技术等多种手段相结合的综合治网格局”[3],功能主义治网之道倾向愈加明显。刚刚通过不久的《个人信息保护法》第11条规定“推动形成政府、企业、相关社会组织、公众共同参与个人信息保护的良好环境”,与网络综合治理体系一脉相承,从公权力主导向多元社会主体借力,建构起平衡安全秩序法益与数字社会未来发展的理论与实践图景。
公私合作保护个人信息合理覆盖了个人信息保护的复杂场景,有利于在不同场景下实现个人信息保护的专业化和精准化,紧密契合个人信息保护的法治定位,积极探索信息控制与信息利用相互促进,成为越来越常见的路径。然而,在实践中,网络信息社会结构复杂化、信息利益诉求与社会关系复杂多变、线上行政规制权力分散化与社会化、权利(权力)与责任边界不清等现状影响了公私合作保护个人信息作用发挥,显现出一定的适应性障碍,并且对大数据技术发展与产业壮大也产生了一系列“并发症”。因此,如何平衡个人信息保护与未来社会数字化生存发展两者关系,已经成为当务之急。
二、个人信息保护公私合作的规范主义实践与困境
公私合作治理模式较好地发挥政府部门与民间主体各自的优势,以多元利益平衡为理念取向,用“行政任务履行”置换“行政权力行使”,不单纯依靠政府强制力的行政行为来完成特定行政任务、达成行政目的。
公私合作行政主要存在于基础设施与公共服务领域[4],并逐步在科技、文化、社会管理、农业、林业等各领域公共事业中推广。而个人信息保护命题是伴随着社会信息化的发展、公共信息基础设施不断完善逐渐产生并日益丰富的。基于信息传输的基础性地位与作用,世界银行早就将“电信”归类在硬经济性基础设施[5]。《联合国国际贸易法委员会基础设施PPP立法指南》明确列举“通信部门的本地和长距离的电话通信和数据传输网络”为基础设施和公共服务[6]。我国一直将信息化发展纳入国家战略之中予以推进,特别在2018年中央经济工作会议首次提出“新基建”概念后,国家以及上海、广东、山东等大多数省区市都制定了信息化“新基建”的政策文件和行动方案,而这些政策文件无一例外要求培育社会需求、鼓励市场参与、强化公私合作。①
法治是当今社会的普遍价值追求与社会治理底色。网络虚拟社会是现实社会的延伸,在网络空间形成了传统社会有迹可循的特定关系,传统的规范主义模式也在不断复刻到网络空间之中,个人信息主要以信息网络为流通介质,从一开始借力于公权力管理来进行保护的现象就十分突出。在法制建设尚不完善,个人信息泄露、倒卖、不当利用较猖獗的时期,国家出于保护个人信息安全的需要,一般采用“重典治网”的规范主义路径,以尽快恢复网络信息领域良好秩序。早在2012年,全国人大常委会就制定了《关于加强网络信息保护的决定》,采用了强规制的举措打击个人信息侵害行为,赋予了有关主管部门强力监管职权,也规定了网络服务提供者和相关企业全面责任,通篇可见规范主义的理念与措施。
随着法治实践的深化和认识的提高,个人信息权利上升到公民基本权利的地位,个人信息保护制度的公私混合的法律属性十分明显[7],各项处理与保护制度横跨公法、私法范畴,是一项独立的法律制度[8],既调整行政机关因处理个人信息而形成的与自然人之间的行政管理关系,也适用于民事主体之间因处理个人信息而形成的平等主体之间的关系。从世界范围内来看,各国个人信息保护的实践中,都在不断鼓励私主体参与其中,充分利用各种资源与要素,实现多元主体利益的最大化,公私合作保护个人信息应用的广度和深度不断拓展,个人信息保护公私合作模式逐渐发展完善。美国《加州消费者隐私法案》(CCPA)构建了基于场景理念主导的个人信息保护机制,在动态保护过程中,引入全社会力量形成个人信息保护的合力。在我国,《网络安全法》坚持共同治理原则,要求采取措施鼓励全社会共同参与,政府部门、网络建设者、网络运营者、网络服务提供者、网络行业相关组织、高等院校、职业学校、社会公众等都应根据各自的角色参与网络安全治理工作。[9]《个人信息保护法》系统吸收了《网络安全法》第四章“网络信息安全”和《民法典·人格权编》第六章“隐私权和个人信息保护”之内容,既有管治关系,也有平等主体之间的权利义务分配,兼具权利保障和行政规制的双重色彩。
然而,在个人信息保护的场景中,因其主体、客体以及专业技术性等因素,运用规范主义模式加强个人信息公私合作治理保护,还存在一定的障碍。在传统公法学视野中,“行政之法律合法性源于行政之民主正当性,即通过民意机构制定的法律来完成这一转换,行政是否具有政治上的合法性,就是看行政是否与法律一致。”[10]一般通过以权力清单和责任清单的方式划定行政权力运行的边界与范围,以防止行政权力的无限扩张与扭曲变异。然而,随着网络社会管治领域和事项的加速裂变,特别是现实与网络社会的交叉叠加,“这种治理模式逐渐暴露出公平与效率的矛盾、政府机构膨胀问题、官僚主义问题、治理成本无限增长的问题、腐败问题等弊端。”[11]如果将这种拉单挂账式的治理方式复制适用于个人信息保护领域,走立法赋权、依法规制的老路,又陷入了政府膨胀与失灵的恶性循环,相关立法滞后、专门法授权私主体的条款稀缺,难以有效适应一日千里的个人信息保护形势。
此外,一些私主体比如信息处理者特别是超级网络平台的“权力”越来越膨胀,对个人信息处理的话语权极大,通过平台用户协议事实上对个人信息的处理与保护进行相应的管理规制。这样与个人信息主体处于平等地位的信息处理者事实上行使一些行政规制权能,不仅无法使个人信息主体安然接受,对于法教义学也是一种突破,对公权力“法无授权不可为”的法治理念进行了一定篡改。一些私主体规制权能来源无据、地位不清,一定程度上也限制了其合作功能的有效发挥。个人信息保护贯穿收集、存储、清洗、处理、使用等全环节,必然要求更多的私主体类型与数量参与到此过程中来,信息处理主体数量众多、分布广泛、权利分散,客观上增加了私主体行为失范的可能性,容易对个人信息主体的权利产生不良的影响。
从实践来看,信息处理者和政府本身具有重大的个人信息利益诉求,在个人信息处理与保护过程中却不能绕开回避,构成利益衡量的一个维度[12]。首先,信息处理者面临利与义的交锋。在欧美等公有营运主体十分微弱的情况下,互联网巨头甚至充当了个人信息处理的主要操盘手。在这一过程中,互联网巨头一方面实际控制了个人信息及其使用、监管,面对体量巨大、价值无限的个人信息,作为以营利为目的的市场主体,还能否厘清公益与私利的关系,实在是一个值得怀疑的命题。其次,政府面临安全与效率的拷问。政府在个人信息保护过程中同时具有了使用者和管理者的双重身份,实现个人信息安全可控视为“公益”,而滥用大量个人信息提升规制效能可视为“私利”。为了更好地为行政行为提供便利,完成公共管理和服务职能,政府会自觉不自觉地将目光望向了本应当严密控制的个人信息。如何划定安全与效率的边界,在公私合作治理场阈中也是一个重大而现实的使命。
公私合作保护个人信息由于主体的混同性、利益的复合性和手段的非规制性大量存在,使得对传统行政行为的司法控制模式也提出了一定的挑战。私主体承担了本属于公共职能的履行,却又可能摆脱司法对公权力运用的严格审查,私人参与的责任性因而受到关注。[13]142同时,私人力量承担管治职责,对传统的只能民告官的行政诉讼模式也构成了挑战。“这种实现行政任务的私法行为还在游走于公、私法两域的边缘,成为公、私法都不能尽心照顾的‘流浪儿’”[14]。信息收集者、信息处理者在实现公共任务过程中的角色也是经常变幻的,有时开始是规制对象,有时又承担公共管理职能,还有的时候可能同时具有双重身份,因而精准界定其身份具有一定的困难。此外,公私主体参与个人信息保护情况纷繁复杂,要抽丝剥茧进行类型化分析十分困难,也对公私合作行为进行司法控制制度安排提出了挑战。更重要的是,私主体参与行政行为的体量是前所未有的,所产生的纠纷数量也是传统行政诉讼数量所不可比拟的,加上线上纠纷的确定主体难、立案难、取证难、执行难等特点,应用传统的行政诉讼模式简直是不可能完成的任务。
三、个人信息保护公私合作的功能主义转向与痛点
由于传统规制主义的显著弊病,个人信息保护像其他诸多领域一样,在实用主义法观念支配下,围绕着实现公法意图和公共利益,尝试着超越传统规范主义控权模式,逐步转而进行功能主义的探索。[15]85
从功能主义视角来看,私主体能参与公权力行使,其正当性就是能够促进公共利益的实现,否则公私合作的基础将不复存在,也因此公主体与私主体也将承担一系列违法行政的法律责任。公私合作契合了功能主义之社会协作的工具理性,有效回应了个人信息保护应用场景丰富、参与主体多样、保护路径绵长等特点,不再局限于公私主体原初法释义学上的地位与作用,而追求于各自功能的有效发挥。私人力量不再是纯粹的机械服从公共权力,个人主体数量庞大,与个人信息具有更加天然紧密的联系,对泄漏、不当使用个人信息会产生切肤之痛,将个人信息保护纳入“人民战争”汪洋大海之中,更能起到群防群控、共治共享的社会效果。从企业来说,作为个人信息处理的主要主体,产业界相对于政府部门,拥有更加专业化的技术能力,也具有更强的规则体系建设的驱动力[16]。从功能性与实用性的角度出发,私主体的参与较大幅度提升个人信息保护的专业化和精准性,特别是电信巨头、互联网巨头深度参与,行政权力一定程度上失去了绝对主导的地位,个人信息保护越来越有赖于私主体作用的发挥。各级政府在各类信息数字公共事业之中,大都与电信巨头、超级互联网企业合作,或者政府既希望深度主导个人信息保护,又想寻求技术专项支持与矛盾缓冲带,建立公用合资公司实现功能转换。比如,广东省提出以“政企合作、管运分离”的模式开展数字政府改革建设工作,成立数字广东网络建设有限公司,全面负责广东省数字政府改革建设[17],对政务云平台上的用户信息处理与保护职能实现一定的剥离。
另外,功能主义模式具有较强灵活性与广泛适用性,为了实现个人信息保护的便利功能,更加注重个人信息保护法律制度既定的意图和目标,倾向采取工具主义的社会政策路径[12],更能根据个人信息保护不同的法制定位面向,确立不同的应对策略,打造统合性的保护政策法规链条与体系,完善个人信息保护的周延性与闭合性。随着越来越多的私主体被赋予了行使个人信息监管的地位与权能,公私合作保护个人信息的类型越来越丰富。比如,欧盟《通用数据保护条例》(GDPR)规定了“数据保护官”制度,即在特定条件下各欧盟成员国的官方机构或企业都需要强制聘请一位数据保护官,可以是个人,也可以是专门从事数据保护的专业机构。[18]