时间:2022-09-26 点击: 次 来源:网络 作者:魏苑 - 小 + 大
2021年11月1日,《个人信息保护法》正式生效,由此确定了个人信息保护的“公私协力、合作共治”的监管保护格局。政府作为监管者与传统的立法模式相比存在差异,鉴于此,有必要厘清个人信息保护中行政监管的历史沿革,从而明确个人信息保护的监管现状,为后续行政监管的完善助力。 一、个人信息保护中行政监管的历史沿革 个人信息保护最初起源于隐私权保护,隐私权这一概念最早由美国学者沃伦与布兰代斯在《论隐私权》中提出,沃伦与布兰代斯认为“隐私权是个人不受外界打扰以及个人能享受独处的权利”,该观点很快便得到了大多数人的认同,成为了主流观点。在此阶段,隐私权主要是作为一种消极防御的权利存在,主要通过侵权法救济,行政监管在此阶段并未介入,由此形成了私法保护的救济路径。随着科技的发展,隐私的概念已无法完全涵盖个人信息的范围,人们逐渐形成共识,个人信息不仅仅包括偏向防御的个人隐私,还应当具有社会流通功能的个人信息。由此人们对个人信息的保护也提出了新的要求。在这个阶段,行政监管初见端倪。 当下,已进入大数据时代,个人信息保护模式正经历着新一轮转变,近年发生的个人信息侵权案件都并非由信息主体自主发现而暴露。2021年的“3·15”晚会上,央视记者曝光多家知名商店所使用的摄像头都具有人脸识别功能,在到店客户不知情的情况下,这些商店通过摄像头私自对客户的人脸信息进行了收集。这些摄像头通过对收集的信息进行分析,很容易对客户的喜好、购物习惯等进行分类,若利用不当,很容易使得消费者处于市场中的不利地位。更加令人不安的是,到店的消费者很难意识到自己的信息竟已被堂而皇之的收集。由此可见,大数据时代传统二元模式容易被架空,有必要真正引入行政监管的力量。 事实上,行政监管在大数据时代中所展示的结构性保护作用已经凸显,2020年,圆通公司被曝光,其内部人员将数十万客户的个人信息非法泄露,上海市网信办等行政监管部门约谈圆通公司,要求其改进个人信息保护措施,履行个人信息保护义务。同时,针对快递业频发的个人信息侵权事件,国家邮政局在2021年1月推出了一系列强化行政监管措施,包括信用承诺制度、“互联网+监管”制度等措施,通过行政监管权的积极介入,促使快递企业加强其个人信息保护措施的建设,从而实现大数据时代中个人信息的保护目标。 在笔者看来,大数据时代,需由行政监管直接参与才有利于信息的保护,寄希望于信息主体对个人信息权益的维护缺乏合理性。在大数据时代之下,个人信息的主要特点就是流通性,个人几乎无法拒绝数据的流通。此时对个人信息的保护需求已转变为如何在大规模收集处理已不可逆的前提下来实现个人信息保护,随着大数据的发展已成为一种不可逆的趋势,源头控制的方式便不宜再成为保护的最佳途径,而应当将保护的重心转移至过程性行政监管上。在源头的授权控制之外,必须引入过程性行政监管,强调个人授权之后的事中事后行政监管,这样才能弥补赋权保护的不足,与私法保护模式形成优势互补,从而建立起完整的保护链条。 二、行政监管在个人信息保护中的现状分析 通过对个人信息保护行政监管必要性的论证,可以发现,无论个人信息在何种意义上被定义,行政监管保护的结构性介入都具有正当性和必要性,而现阶段我国行政监管仍存在如下问题: (一)较为分散的监管 现阶段,在我国个人信息保护分散立法保护的情况下,个人信息的监管部门亦较为分散,《个人信息保护法》第60条规定,国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。《网络安全法》第8条规定,国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。《消费者权益保护法》第32条规定,各级人民政府工商行政管理部门和其他有关行政部门应当依照法律、法规的规定,在各自的职责范围内,采取措施,保护消费者的合法权益。可以说,现行监管体系中,各职能部门按照行业监管原则进行分工,形成了较为分散的行政监管模式,具体参见下表1。 表1
由于立法上缺乏对监管机构的统一规定,我国个人信息保护的实践已经受到严重影响。例如,部分领域的立法完全没有规定监管主体。《商业银行法》《执业医师法》和《旅游法》确立了金融、医疗和旅游领域中个人信息受保护的规定,但是,由于缺乏对监管主体、监管措施和法律责任的规定,基本等同于没有相应的监管机构来履行监管职责。又如,即便根据法律规定,也难以确定具体的监管机构。在消费者和网络个人信息保护的领域,对于所谓“有关行政部门”(《消费者权益保护法》第32条)以及“有关机关”(《网络安全法》第8条第1款)究竟是指哪一具体的行政部门或机关,立法并没有进行明确的说明,可能导致负有监管义务的机关相互推诿、逃避职责。 (二)行政主体亦是被监管者 《个人信息保护法》第2条规定,自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。这里的任何组织亦包含了国家公权力机关。将国家公权力机关纳入《个人信息保护法》的调整范围有其必要性。在未来,个人信息保护亦将成为行政监管部门履行法定职责的依据之一。事实上,在大数据时代,信息可以帮助行政主体进行更高效的决策,但对于信息主体而言,可能意味着更大的负担。为此,《个人信息保护法》第34条规定的“国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度”,便是专门为“监管者纳入监管”所创设的特殊规则。 三、行政监管在个人信息保护中的现状分析及路径规制 未来,建议可从以下三个方面对个人信息保护中的行政监管进行完善: 第一,鉴于《个人信息保护法》将大量的决策性功能,例如规则和标准制定,评估和服务体系建立,各项细化的工作机制确定都授权于监管部门,但上述授权条款大多都为提纲挈领式的规定,本身没有特别明确授权的目的、事项、范围、期限等。这主要是为这些复杂性监管保留制度的弹性空间,但在未来,如何加强行政机关决策的合法性将成为重点,也即如何在分散化的个体信息权利者的保护中兼顾到中小企业的创业和创新保护。 第二,由于现阶段《个人信息保护法》的相关配套法律尚未出台,而在未来随着每一项细化性规则的出台,必然体现规则形成前后的适用差异,如何有效衔接亦是行政主体需要考量的重点。 第三,如前所示,在《个人信息保护法》出台之前,已有大量的涉及个人信息保护法的法律出台,例如,《儿童个人信息网络保护规定》第17条规定“网络运营者向第三方转移儿童个人信息的,应当自行或者委托第三方机构进行安全评估”,该条款所称“自行安全评估”和“委托第三方安全评估”,与《个人信息保护法》规定的“安全评估机制”关系如何?未来针对相关规则细化进行执法实践所展开的法律争议,仍有待行政机关予以解决。 参考文献: [1]蒋红珍.《个人信息保护法》中的行政监管[J].中国法律评论,2021(05):48-58. [2]邓辉.我国个人信息保护行政监管的立法选择[J].交大法学,2020(02):140-152.DOI:10.19375/j.cnki.31-2075/d.2020.02.008. [3]张梦蝶.论行政监管在个人信息保护中的功能转型[J].南京大学学报(哲学·人文科学·社会科学),2021,58(03):148-157. [4]朱方彬,宋宗宇.大数据时代个人信息权保护的法制构建[J].山东社会科学,2020(07):43-47.DOI:10.14112/j.cnki.37-1053/c.2020.07.008. [5]杨立新.个人信息:法益抑或民事权利——对《民法总则》第111条规定的“个人信息”之解读[J].法学论坛,2018,33(01):34-45. https://lawyers.66law.cn/s2e20112994858_i1217759.aspx |