個人信息保護行政監(jiān)管經(jīng)驗與啟示

導語：個人信息保護行政監(jiān)管經(jīng)驗與啟示一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要:要成員國、美國、日本、韓國和我國港澳臺地區(qū)都已經(jīng)建立了較為完備的個人信息保護監(jiān)管體系．面對新興科技的法律挑戰(zhàn)與錯綜復雜的利益平衡需求，我國應當充分借鑒比較法上的有益經(jīng)驗，重點從主體、目標、措施和程序4個方面入手，積極探索建立個人信息保護的行政監(jiān)管制度，從而形成對個人信息的全面保護．

關(guān)鍵詞:個人信息保護；行政監(jiān)管；立法趨勢；域外經(jīng)驗；監(jiān)管體系

在現(xiàn)代社會中，個人信息保護事關(guān)公民的基本權(quán)利和人格尊嚴，同時也與經(jīng)濟社會發(fā)展、公共利益和國家安全存在著緊密的聯(lián)系：從個人的角度而言，個人信息是自然人的基本識別要素；對于經(jīng)濟和社會發(fā)展而言，信息的有效利用是現(xiàn)代經(jīng)濟的重要基礎(chǔ)；在國家的層面，國民的個人信息屬于重要的戰(zhàn)略資源．事實上，為了對內(nèi)協(xié)調(diào)個人尊嚴與經(jīng)濟社會發(fā)展、對外維護民族獨立及國家安全，歐盟、美國、日本、韓國以及我國港澳臺地區(qū)已經(jīng)成立了相應的個人信息保護監(jiān)管機構(gòu)，相關(guān)法律也對個人信息保護監(jiān)管進行了明確的規(guī)定．對這些國家和地區(qū)個人信息保護監(jiān)管的立法和實踐進行系統(tǒng)考察，能夠為我國個人信息保護監(jiān)管體系的完善提供有益的借鑒．

1歐盟的個人信息保護監(jiān)管

早在1995年《歐盟數(shù)據(jù)保護與流通指令》（簡稱《指令》）中，歐盟即要求各成員國成立公共機構(gòu)來確保《指令》的適用．為了正確地履行保護人們的數(shù)據(jù)權(quán)利和促進數(shù)據(jù)流通的職能，這些監(jiān)管機構(gòu)（supervisoryauthorities）應當獨立存在，并有權(quán)實施包括進行調(diào)查、干預以及介入訴訟等方式在內(nèi)的行政監(jiān)管措施（參見《指令》第28條）．在《指令》的要求下，歐盟還建立了咨詢機構(gòu)（第29條）和專門委員會（第31條），為保護個人數(shù)據(jù)和制定法律文件等事項提供意見［1］．2018年5月25日正式實施的《歐盟一般數(shù)據(jù)保護條例》（簡稱GDPR），被譽為“史上最嚴格的數(shù)據(jù)保護法案”．除了實現(xiàn)個人信息統(tǒng)一立法、確立廣泛的數(shù)據(jù)權(quán)利（比如增加“擦除權(quán)?被遺忘權(quán)”和“數(shù)據(jù)可攜帶權(quán)”等）外，GDPR所推行的對個人信息保護的強力監(jiān)管也頗為引人注目：1）根據(jù)“企業(yè)—成員國—歐盟”的不同層級，建立全覆蓋、多層次的監(jiān)管體系［2］．在成員國內(nèi)非政府機構(gòu)（主要是企業(yè)）的層面，GDPR要求在其內(nèi)部設(shè)立數(shù)據(jù)保護專員（dataprotectionofficer）．其次，在歐盟成員國層面，GDPR要求設(shè)立相應的監(jiān)管機構(gòu)來對政府領(lǐng)域與非政府領(lǐng)域的個人信息保護進行監(jiān)管（第51條）．最后，在歐盟的整體層面，除了進行個人信息保護全局的協(xié)調(diào)和領(lǐng)導外，歐盟數(shù)據(jù)保護委員會（EDPB）還負責對非政府領(lǐng)域的個人信息保護進行監(jiān)管［3］．2）細化對監(jiān)管機構(gòu)獨立性的具體要求．在歐盟各成員國中成立的監(jiān)管機構(gòu)必須具備完全的獨立性（completeindependence）．按照GDPR第52條的規(guī)定，監(jiān)管機構(gòu)不受到來自其他組織和個人的影響（外部干預），同時也在成員、技術(shù)、資金、基礎(chǔ)設(shè)施和財政預算等方面享有獨立性保障（內(nèi)部設(shè)置）．3）明確監(jiān)管機構(gòu)的監(jiān)管目標和職責范圍．根據(jù)GDPR的規(guī)定，監(jiān)管機構(gòu)的主要目標在于確保GDPR的實施（第57條）．在發(fā)生個人信息泄露時，數(shù)據(jù)控制者應當在72h內(nèi)無不當延遲地通知監(jiān)管機構(gòu)（第33條）．針對違反個人信息保護規(guī)定的行為，監(jiān)管機構(gòu)享有廣泛的調(diào)查、糾正處理與提出改進建議的權(quán)力，在必要時可以引入司法救濟（第58條）．如果數(shù)據(jù)控制者或處理者存在嚴重違規(guī)行為，監(jiān)管機構(gòu)有權(quán)處以2000萬歐元或其前一財年全球收入4％（取其高者）的罰款（第83條）．4）根據(jù)數(shù)據(jù)處理風險等級的不同，實行差異化監(jiān)管．GDPR沒有采用“一刀切”式的監(jiān)管模式，而是根據(jù)信息處理引發(fā)損害風險的大小進行差異化的監(jiān)管（第32條）［4］．尤其是對于那些可能引發(fā)高風險的行為，數(shù)據(jù)控制者和處理者將負擔更重的義務，這些義務包括事先進行信息保護評估（第35條），在發(fā)生個人信息泄露后及時通知監(jiān)管機構(gòu)（第33條），并與數(shù)據(jù)主體取得聯(lián)系（第34條）．在歐盟范圍來看，盡管在名稱和監(jiān)管模式上存在些許差異，但多數(shù)成員國都已經(jīng)建立了本國的個人信息保護監(jiān)管機構(gòu)［5］．英國、德國和法國的情況也大致相同：即便已經(jīng)啟動“脫歐”程序，個人信息保護仍被視為英國面臨的重要議題．根據(jù)2017年《英國數(shù)據(jù)保護法案》，作為監(jiān)管機構(gòu)的信息專員辦公室（InformationCommissionersOffice）將繼續(xù)保持其獨立性，并獲得更大權(quán)力來處理投訴、進行調(diào)查、罰款和刑事制裁［6］．在德國，根據(jù)2015年修訂的《聯(lián)邦數(shù)據(jù)保護法》，國家數(shù)據(jù)保護監(jiān)督機關(guān)（DataProtectionAuthorities）負責監(jiān)督和確保個人數(shù)據(jù)保護條款的執(zhí)行，可以在監(jiān)管目的之范圍內(nèi)對數(shù)據(jù)進行加工、使用或傳輸．對于違反數(shù)據(jù)保護的行為，監(jiān)管機構(gòu)可以告知數(shù)據(jù)主體報告或通知行業(yè)監(jiān)督機構(gòu)采取措施［7］．在法國，個人信息和數(shù)據(jù)保護的監(jiān)管機構(gòu)為國家信息與自由委員會（CNIL）．為了協(xié)調(diào)法國數(shù)據(jù)保護法與GDPR，法國政府與2018年12月12日以條例的形式通過了新的《法國數(shù)據(jù)保護法》．在所有歐盟國家中，法國對于個人信息的保護最為嚴厲．2019年1月22日，CNIL對谷歌處以5000萬歐元的罰款，原因是它沒有向用戶正確披露如何通過其搜索引擎、谷歌地圖和YouTube等服務收集數(shù)據(jù)，以展示個性化廣告［8］．此外，法國刑法還規(guī)定，若任何個人或者機構(gòu)阻礙CNIL的執(zhí)法活動，其將會面臨1年的監(jiān)禁和最高1．5萬歐元的罰款．值得注意的是，GDPR已經(jīng)正式生效，由于它是可以產(chǎn)生“直接效力”的歐盟法規(guī)，所有歐盟成員國都必須適用GDPR的規(guī)定．

2美國的隱私和個人信息保護監(jiān)管

面對大數(shù)據(jù)時代的隱私和個人信息保護問題，美國近年來陸續(xù)出臺了《白宮大數(shù)據(jù)白皮書》（TheWhiteHouseBigDataReport）和《消費者隱私權(quán)利法案》（ConsumerPrivacyBillofRights）等，以提高個人信息保護水平．對照來看，與歐盟采取嚴格監(jiān)管來實現(xiàn)事先預防的做法不同，美國更加強調(diào)個人信息的利用自由與事后救濟［9］，其個人信息保護監(jiān)管具備自己的特點．美國將隱私權(quán)作為個人信息保護的基礎(chǔ)，力圖平衡信息利用和權(quán)利保護之間的關(guān)系，落實市場主導和減少政府干預的原則，對事先立法和行政監(jiān)管并不十分依賴．從20世紀80年代起，美國政府根據(jù)不同行業(yè)的特點而單獨進行立法（主要集中在金融和通信領(lǐng)域），擴大了法律規(guī)制的范圍．為了避免更為嚴格的法律規(guī)定阻礙信息經(jīng)濟的未來發(fā)展，信息產(chǎn)業(yè)界及相關(guān)的從業(yè)者主動選擇明確規(guī)范自己在信息收集、儲存、利用和傳播等方面的權(quán)利和義務，以及制定相關(guān)的個人信息保護政策（隱私權(quán)政策）［10］．在此背景下，美國網(wǎng)絡(luò)信息行業(yè)陸續(xù)出臺以“建議性行業(yè)指引”（SuggestiveIndustryGuidelines）和“網(wǎng)絡(luò)隱私認證計劃”（OnlinePrivacySealProgram）為主要表現(xiàn)形式的行業(yè)自律規(guī)范，逐漸形成了以行業(yè)規(guī)制和企業(yè)自我管理為核心的“行業(yè)自律機制”［11］．迄今為止，美國尚未形成綜合性的個人信息保護法典或法律，也沒有統(tǒng)一的監(jiān)管機構(gòu)和執(zhí)法機構(gòu)．相關(guān)的聯(lián)邦立法僅規(guī)定了各領(lǐng)域或行業(yè)的主管機關(guān)，由其負責監(jiān)督和管理本行業(yè)內(nèi)個人信息（隱私）保護的實施情況：在一般商業(yè)領(lǐng)域，通過不斷擴展《聯(lián)邦貿(mào)易委員會法》（FTA）第5條“不公正或欺騙商業(yè)行為”規(guī)定的適用范圍，美國聯(lián)邦貿(mào)易委員會（FTC）承擔了大部分消費者個人信息保護的職能．在特殊商業(yè)領(lǐng)域，與征信和金融有關(guān)的個人信息保護監(jiān)管通常由消費者金融保護局（CFFB）來負責，而關(guān)于通信和醫(yī)療的個人信息保護則分別由聯(lián)邦通信委員會（FCC）與衛(wèi)生和公共服務部（HHS）進行監(jiān)管．在分散式監(jiān)管立法的框架下，美國更加重視個人信息保護的執(zhí)法實踐，并采取了靈活多樣的執(zhí)法手段．以美國聯(lián)邦貿(mào)易委員會為例，它不僅有權(quán)進行專項整改、刪除非法獲得的消費者信息、沒收非法所得以及其他行政處罰，還致力于通過制定規(guī)則、指南與舉辦培訓班（workshops）等方式來實現(xiàn)對消費者個人信息的嚴格保護．對于違反《兒童網(wǎng)絡(luò)隱私保護法》（ChildrensOnlinePrivacyProtectionAct）、《公平信用報告法》（FairCreditReportingAct）和《電話銷售規(guī)則》（Telemarket－ingSalesRule）等制定法的行為，F(xiàn)TC也可以進行罰款．有學者指出，聯(lián)邦貿(mào)易委員會的執(zhí)法實踐不僅直接對消費者的個人信息提供保護，還間接地塑造了美國的隱私法律制度［12］．截至2018年底，F(xiàn)TC已經(jīng)處理了數(shù)千起關(guān)于個人隱私和數(shù)據(jù)安全的案子，保護了上億消費者的個人信息權(quán)利［13］．

3日本和韓國的個人信息保護監(jiān)管

在日本，《個人信息保護法》（2015年修正）是目前公共部門和私人領(lǐng)域內(nèi)個人信息保護的總原則［14］．之前由中央主管大臣對各自領(lǐng)域負責的個人信息保護職權(quán)，統(tǒng)一收歸于由內(nèi)閣總理大臣直接管轄的“個人信息保護委員會”．該委員會下設(shè)事務局和臨時的專門委員會，分別負責日常事務的執(zhí)行和特別事項的調(diào)查［15］．此外，委員會成員在任期內(nèi)不得參加其他政黨或政治團體，不得參與政治運動，不得從事營利性活動，以保證委員會不受其他組織和個人干涉的獨立性．個人信息保護委員會有權(quán)要求數(shù)據(jù)處理從業(yè)者提交報告或資料，進行抽查（第15和16條），針對違法行為還可以進行處罰．截至2017年5月30日（日本《個人信息保護法》施行日），個人信息保護委員會不僅完成了組建，還協(xié)同金融廳和厚生勞動省等其他機關(guān)，針對金融和醫(yī)療等特殊行業(yè)了旨在強化個人信息保護的指南等具體規(guī)則［16］．2011年，韓國出臺了《個人信息保護法》，標志著韓國放棄了原來的個人信息二元化保護模式，從而將個人信息保護的范圍擴展到公共機關(guān)和私人部門［17］．在此之前，韓國內(nèi)政部（行政安全部）是事實上個人信息保護的監(jiān)管機構(gòu)．根據(jù)《韓國個人信息保護法》的規(guī)定，新設(shè)立的個人信息保護委員會作為個人信息保護監(jiān)管的專責機關(guān)，其行政層級由對內(nèi)閣負責提升為直接隸屬于總統(tǒng)的獨立部門，主要職責包括統(tǒng)籌個人信息保護政策、制定個人信息保護基本計劃和實施方案以及對有關(guān)個人信息保護的事項提出意見或建議［18］．

4我國港澳臺地區(qū)的個人信息保護監(jiān)管

在我國香港地區(qū)，根據(jù)《個人資料（私隱）條例》（簡稱《私隱條例》）的規(guī)定，個人資料私隱專員（PrivacyCommissionerforPersonalData）負責《私隱條例》的實施和個人資料的保障，是一個永久和獨立的職位（第5條），在沒有獲得行政長官批準的情況下，不得擔任其他職務（第6條）．根據(jù)《私隱條例》第8條的規(guī)定，私隱專員享有以下權(quán)力：1）根據(jù)投訴或主動進行調(diào)查，協(xié)助受害人獲得賠償；2）對條例的遵守情況進行監(jiān)察和監(jiān)管；3）檢查公私部門的個人信息處理系統(tǒng)；4）制定相關(guān)的實務守則；5）審核可能對個人資料造成影響的法例；6）進行推廣和宣傳，促進社會參與；7）與其他機構(gòu)進行合作．此外，根據(jù)官方網(wǎng)站的說明，個人資料私隱專員公署還緊貼科技發(fā)展，密切關(guān)注國際發(fā)展趨勢與香港地區(qū)的社會期望，對個人資料的保護需求作出及時和有效的回應［19］．在我國澳門地區(qū)，按《個人資料保護法》（2005年制定）第28條和《民法典》第79條的規(guī)定，監(jiān)察個人資料的收集、儲存與使用的主管機構(gòu)為“公共當局”．不過，由于這樣的規(guī)定過于模糊，澳門特區(qū)政府在2007年設(shè)立了個人資料保護辦公室作為專責的監(jiān)管機構(gòu)．根據(jù)澳門特區(qū)政府第83?2007號行政長官批示，個人資料保護辦公室在行政長官監(jiān)督下獨立運作，負責監(jiān)察、協(xié)調(diào)對《個人資料保護法》的遵守和執(zhí)行，其基本職責范圍包括：1）監(jiān)督法律執(zhí)行；2）制定保密制度；3）處理投訴；4）進行宣傳教育；5）進行理論問題的分析研究．此外，按照《個人資料保護法》的規(guī)定，個人資料的自動化處理、特定情形下敏感信息的處理、跨境信息流通以及基于統(tǒng)計、科學研究等目的對個人資料進行的處理需要通知主管機關(guān)或取得主管機關(guān)的許可（第21～23條）．這些要求在一定程度上體現(xiàn)了政府介入，因而也被認為是屬于行政監(jiān)管的內(nèi)容．根據(jù)我國臺灣地區(qū)“個人資料保護法”（2015年修正）第22條和第25條的規(guī)定，“中央目的事業(yè)主管機關(guān)”或“直轄市、縣（市）政府”為個人資料保護的監(jiān)管機構(gòu)，具備進入（固定場所）檢查、要求配合（比如命令相關(guān)人員進行必要的說明或提供相關(guān)證明資料）、處以罰款、對個人資料進行處分（比如禁止搜集、處理或利用個人資料、命令刪除經(jīng)處理之個人資料檔案、沒收或命令銷毀違法搜集之個人資料）以及公布違法情形及相對人的姓名或名稱與負責人等職權(quán)（如表1所示）．

5對我國個人信息保護監(jiān)管的啟示

在大數(shù)據(jù)時代，個人信息的價值日益凸顯，對個人信息的收集、儲存、處理和傳播缺乏有效的制度約束，尤其是市場領(lǐng)域中的個人信息侵害日益頻發(fā)，已經(jīng)發(fā)展為一般性的社會問題．究其原因，乃是在現(xiàn)代社會中幾乎人人都被貼上了消費者的標簽，而個人信息侵害亦大多發(fā)生于商業(yè)化利用的過程中，侵權(quán)行為人主要是擁有技術(shù)和經(jīng)濟優(yōu)勢的互聯(lián)網(wǎng)企業(yè)和大數(shù)據(jù)公司等市場主體，處于相對弱勢地位的受害人往往難以依靠自身力量獲得賠償．這意味著，只在水平層面上不斷完善（自然人的）個人信息權(quán)利和（信息從業(yè)者的）個人信息保護義務是遠遠不夠的，立法還應當在縱向?qū)用嫔辖⑵鸷侠砗透咝У男姓O(jiān)管制度，施加足夠的外部壓力促使個人信息保護制度內(nèi)生性的轉(zhuǎn)變，確保法律和行政法規(guī)關(guān)于權(quán)利保護、義務遵守和救濟提供的規(guī)定能夠落到實處．因此，在這個意義上，我國個人信息保護立法應及時轉(zhuǎn)換思維，重視個人信息保護縱向行政監(jiān)管體制的建立和完善，從而構(gòu)建橫向保護和縱向監(jiān)管相結(jié)合的綜合保護體系．筆者認為，我國個人信息保護監(jiān)管制度的構(gòu)建應當從主體、目標、措施和程序4個方面入手，以充分應對大數(shù)據(jù)技術(shù)和商業(yè)發(fā)展所帶來的挑戰(zhàn)：首先，建立統(tǒng)一和獨立的監(jiān)管機構(gòu)．總結(jié)來看，域外的個人信息保護監(jiān)管大致存在2種選擇：一是采取歐盟式的統(tǒng)一監(jiān)管，即統(tǒng)一立法、集中監(jiān)管，建立個人信息保護監(jiān)管的專責機關(guān)，并逐步強化監(jiān)管機構(gòu)的權(quán)力；二是采取美國式的分散監(jiān)管，即分散立法、部門監(jiān)管，由不同行業(yè)的主管部門負責各自領(lǐng)域中的個人信息保護監(jiān)管，輔之以高度發(fā)達的行業(yè)準則．目前，在我國分散立法的背景下，相關(guān)的個人信息保護規(guī)定依附于不同的部門法，電信、網(wǎng)絡(luò)、征信和郵政快遞等行業(yè)都已經(jīng)存在相應的主管機關(guān)，其監(jiān)管實踐更類似于美國模式．但是，從長遠來看，建立統(tǒng)一和獨立的監(jiān)管主體是未來的發(fā)展趨勢，它可以避免多頭監(jiān)管和不當干預的弊端，同時促進監(jiān)管工作的統(tǒng)一領(lǐng)導與國際合作，從而有利于我國個人信息保護水平的進一步提高．其次，明確個人信息保護監(jiān)管的基本目標．在個人信息成為一種重要社會資源的背景下，只有以表彰私權(quán)屬性為基礎(chǔ)，才能夠在現(xiàn)實和未來的層面上對個人信息進行有效的規(guī)制和保護．《中華人民共和國民法總則》第111條確立了個人信息的權(quán)利保護模式．相應地，個人信息保護監(jiān)管應當以“強化私權(quán)保護”為基本目標，以扭轉(zhuǎn)我國長期以來重利用、輕保護的個人信息實踐現(xiàn)狀，促進尊敬個人信息權(quán)利保護和信息商業(yè)化利用齊頭并進的優(yōu)良商業(yè)環(huán)境的生成．再次，細化個人信息保護的監(jiān)管措施．由于企業(yè)內(nèi)部或信息行業(yè)規(guī)范的自覺發(fā)展尚不充分，信息（數(shù)據(jù)）控制者或處理者往往無視法律法規(guī)而實施侵害個人信息的行為．與此同時，行業(yè)自律機制同樣也離不開行政監(jiān)管的外部壓力．在這個意義上，行政監(jiān)管需要而且應當包括行之有效的具體措施，以全方位地覆蓋個人信息保護的不同階段，具體而言，包括嚴格事前防范，加強事中監(jiān)督，進行事后的追蹤觀察，建立和完善信息處理風險評估制度、完善監(jiān)督檢查措施、健全調(diào)查處理制度、明確行政處罰的種類、重視政策制定和法規(guī)宣傳等在內(nèi)的制度和措施．最后，協(xié)調(diào)不同保護程序之間的關(guān)系．在現(xiàn)代信息社會中，侵害個人信息的行為日益呈現(xiàn)出技術(shù)性和突發(fā)性的特點，由于受害人本身的能力和精力等方面的限制，私力救濟的適用空間被不斷壓縮，而以行政監(jiān)管與司法救濟為代表的公力救濟手段獲得了較大的發(fā)展．在未來的個人信息保護立法中，應當著力處理好不同保護程序之間的關(guān)系，協(xié)調(diào)個人信息保護監(jiān)管與行政申訴、民事訴訟、行政處罰和刑事處罰之間的關(guān)系，并明確因同一行為承擔不同責任時的處理規(guī)則．

作者:鄧輝 單位:北京大學法學院