查看原文
其他

蒋红珍:《个人信息保护法》中的行政监管|中法评 · 专论

蒋红珍 中国法律评论 2022-10-05


蒋红珍

上海交通大学凯原法学院教授


《个人信息保护法》的出台,将使学界对该法的关注从立法论转向解释论。以行政监管为视角,梳理该法中的行政监管法律关系,从而为履行监管部门的法定职责和解决相关争议提供基础,显得尤为必要。


个人信息保护法中的行政监管有鲜明特点:一方面将监管者本身纳入监管,行政机关构成个人信息处理关系中的一方主体,具有法律适用的特殊性。另一方面,个人信息保护法既设置传统的个案式监管,实现执法监督与法律责任追究;也强调监管者的规制决策权和规制工具的多元性,体现监管模式的创新。


目次一、作为个人信息处理者的行政主体:将监管者纳入监管

(一)基本定位:确立“执法信息”的保护框架

(二)“告知同意规则”的适用及其例外 

(三)法律规范适用体系的特殊性

二、作为“规制者”的行政主体:决策型监管

(一)作为监管者的职能主体建构

(二)决策型监管职能的体现

(三)未来法律适用的跟进方向

三、执法监督与责任追究:个案式监管

(一)行政法律责任的设置和风险

(二)针对“将监管者纳入监管”的法律责任条款适用

四、结语


本文来源为《中国法律评论》2021年第5期专论(第48-58页),原文12000余字,为阅读方便,脚注从略。如需引用,可参阅原文。购刊请戳这里。




《个人信息保护法》于2021年8月正式出台,标志着我国在个人信息保护领域的法律框架基本确立。可以预见,接下来围绕着《个人信息保护法》的讨论,将从原先立法过程所关注的政策论面向,逐渐转向法律适用所关注的解释论面向。


这其中,以行政监管为视角进行行政法规范的梳理具有重要意义。


这一方面是因为,立法前期围绕着个人信息保护究竟应该采取“私法路径”还是“公法路径”的争论,已经明确被“公私协力、合作共治”的立法格局所采纳,政府作为“监管者”的角色在个人信息保护领域十分突出;但另一方面,与传统“监管法”的立法模式相比,《个人信息保护法》作为个人信息保护的一般法,带有一种“领域立法”的特质,这使政府在《个人信息保护法》中的法律地位,体现出与一般传统监管型立法的不同,面临着法律适用的特殊性。


厘清《个人信息保护法》中的政府监管,尤其是行政主体在《个人信息保护法》中可能涵盖的不同行政监管法律关系,从而有效应对未来可能的规范适用和纠纷解决,就显得较为迫切。


作为个人信息处理者的行政主体:将监管者纳入监管


《个人信息保护法》的特点之一,是监管者本身纳入监管。换言之,行政主体作为个人信息处理者,与自然人之间就个人信息处理所形成的法律关系(参见图1),纳入立法的调整范围。《个人信息保护法》第2条规定:“自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。”这里的“任何组织”,包含了国家公权力机关。


图1 作为“个人信息处理者”的监管主体


(一)基本定位:确立“执法信息”的保护框架


理论上,个人信息保护的法律框架是否应当包含公权力机关在执法过程中的个人信息处理,存在争论。有学者认为,起源于“公平信息实践”(fair information practice)的个人信息权利保护,应当专指“持续不平等信息关系”。


在数字时代,个人信息兼具个人与公共属性,不宜设定绝对性、排他性和无限性的“个人信息权”,因此,与传统隐私权“效力及于一切不特定的任何人”有所不同,个人信息保护不具有“对世权”。


只有把个人信息保护法的规范对象设定为具有专业性或商业性收集能力的主体,方能体现出法律对“持续不平等信息关系”进行特殊调整的必要性。由于公权力机关在执法中的个人信息处理,属于非持续性的信息关系,更加接近于传统“隐私侵权”中的个人与侵入者,只需要通过“合理预期”标准控制执法行为的合法性即可。因此,个人信息保护的法律框架应当排除“执法信息”。


不过,《个人信息保护法》并没有遵循这种限定。


从文本看,仿效《民法典》第111条中的“任何组织”没有排除国家公权力机关,《个人信息保护法》第2条中“任何组织、个人不得侵害自然人的个人信息权益”,也包括对公权力机关行使职权的限制。更为重要的是,《个人信息保护法》在第二章中,用专节的方式设置了“国家机关处理个人信息的特别规定”,区分出国家机关作为个人信息处理者时的特别规范。


从实践角度看,近年来国家机关发生的个人信息泄露事件,尤其是新冠肺炎疫情防控背景下相关措施是否构成对个人信息的过度收集和不当使用的讨论,也凸显出确立起“把监管部门也纳入监管范围”这种防御性立场的必要性。


(二)“告知同意规则”的适用及其例外 


原则上,行政主体实施个人信息处理行为,需要遵守个人信息处理的一般规定。比如合法、正当、必要和诚信原则,公开、透明、禁止过度收集等原则。《个人信息保护法》中“个人在个人信息处理活动中的权利”和“个人信息处理者的义务”条款,同样适用于行政主体作为信息处理者时的法律关系。


当然,将监管者本身纳入监管,也存在特殊性。以《个人信息保护法》所确立的处理个人信息之核心基础的“告知同意规则”为例,便可见行政主体作为信息处理者时法律适用的特殊性。


《个人信息保护法》在第13条第1款第1项确立起“告知同意”的一般规则,但在第2款中排除了多项个人信息处理情境中“同意规则”的适用,这其中,便包含着行政主体作为信息处理者的情形。比如,为履行法定职责或者法定义务、为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需等情形,不需取得个人同意。


从立法形式论角度看,《个人信息保护法》第13条似乎有模糊“告知同意规则”作为核心规则的嫌疑,一方面它突破了《网络安全法》将“同意”作为处理个人信息唯一要件的限制,但另一方面又填补了《民法典》第1035条第1款例外规则的具体情形,确立起“告知同意”作为一般规则及其法定例外的规范结构。


不过,行政机关作为信息处理者适用“告知同意规则”,不仅需要结合例外条款,还要结合例外规则的特殊补充规则。按照《个人信息保护法》第35条的规定:“国家机关为履行法定职责处理个人信息,应当依照本法规定履行告知义务;有本法第十八条第一款规定的情形,或者告知将妨碍国家机关履行法定职责的除外。”


这样,以“告知”与“取得同意”两项具有独立法律效果的行为作为界分,行政主体作为个人信息处理者,便存在“告知+同意”、“告知+无须同意”和“无须告知+无须同意”三种可能的情形。


无须告知,即“告知之例外”。并且因为无须告知,也就无须取得同意,符合“无须告知+无须同意”的情形。结合第35条的规定看,适用“无须告知+无须同意”的情形主要有两类:一是援引第18条第1款的“法律、行政法规规定应当保密或者不需要告知”;二是“告知将妨碍国家机关履行法定职责”的情形。


这里,“法律、行政法规规定应当保密”并非指法律、行政法规规定国家机关对个人信息本身需要保密的情形,而是特指因保密需要所以不予告知个人信息被使用的情形。考虑到“告知将妨碍国家机关履行法定职责”在文义上具有较大的裁量空间,有必要比照“法律、行政法规规定应当保密”的严苛性,对此作限缩解释从而确保“告知之例外”适用的有限性。


无须同意,即“同意之例外”。由于《个人信息保护法》第35条第1句确立了一般性的告知义务,因此“同意之例外”意味着“告知+无须同意”的适用情形。《个人信息保护法》在第13条第2款排除同意规则适用的情形中,有多项符合行政机关职能行使的范畴,最典型的是“为履行法定职责所必需”。然而,《个人信息保护法》第13条所称的“履行法定职责”是否与第35条所称的“履行法定职责”完全同义,有待进一步验证。


从广义角度看,除非主体层面的超越职权,所有行政作用方式都可以视为履行法定职权的表现。这样,从广义角度解释第35条,有助于确立起一般意义上的“告知规则”。但第13条规定中的“履行法定职责”,则与其他行政作用方式并列在一起,有作为列举“同意之例外”具体情形的外观。对此,是否应该解释为“履行特定的、包含有个人信息处理的法定职责”,即对“履行法定职责”采取狭义解释,更有利于贯通“告知同意”在行政主体作为个人信息处理者时的适用规则,有待未来执法和司法的进一步明确。


当然,如果法律法规有特别规定需要获得自然人同意的,应当遵其规定。并且,无须个人同意的处理行为在强制性程度上也依据国家机关类型和职能差异体现出差别性。


(三)法律规范适用体系的特殊性


将监管者在监管过程中的信息处理行为纳入《个人信息保护法》的调整范围,有其必要性。我国已有不少立法特别规定行政主体在监管过程中对个人信息所承担的保护义务。可以预见,《个人信息保护法》颁布之后,个人信息保护也将成为监管部门履行法定职责的合法性焦点之一。


在数据权力(data power)时代,“收集和整理个人信息都是获取权力的方式,但它通常以信息主体为代价”。换言之,信息对行政主体而言固然是资源,但对自然人而言,往往意味着权利的受限或者义务的负担。一方面,个人信息处理行为的合法性,在救济程序启动时往往面临着“行为法授权基础”的质疑,即信息处理行为是否具有实定法的授权基础。另一方面,行政主体处理信息行为还受制于机构、职能、权限、程序、法定责任等多方面的合法性拘束。


为此,《个人信息保护法》第34条规定的“国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度”,便是专门为“监管者纳入监管”所创设的特殊规则。


未来,对监管者处理个人信息所适用的规范,需要追溯对(信息处理)行政行为的一般性拘束,在法律适用中围绕着“履行法定职责”的部门法领域,关注其所包含的面向组织法、行为法、程序法以及救济法适用时的规范,它们将共同构成行政主体进行个人信息处理行为的合法性基础。


作为“规制者”的行政主体:决策型监管


行政主体可以作为“处理者”,与自然人形成个人信息处理的行政法律关系,也可以作为“规制者”,提前介入个人信息处理活动。比如按照《个人信息保护法》第32条,对于敏感个人信息处理,如果“法律、行政法规对处理敏感个人信息规定应当取得相关行政许可或者作出其他限制的,从其规定”,这里的行政许可,便发生在个人信息处理活动之前(参见图2)。更重要的是,《个人信息保护法》有大量授权相关部门制定抽象规则和标准、组织和实施相关监管机制的规范。


从狭义的行政监管角度看,它们赋予了行政主体在个人信息保护领域进行决策型监管的职能。


图2  作为“规制者”的监管主体


(一)作为监管者的职能主体建构


一直以来,中国个人信息保护领域的监管体系比较复杂,网信、市场监管、工信、公安以及教育、医疗、卫生、金融等相关领域的管理部门都有监管职能,导致实践中权责交叉、执法冲突的现象时有发生。多部门监管容易引发职责边界的模糊,从积极权限冲突角度看,多部门监管会增加被规制者的合规成本;从消极冲突角度看,职责边界的模糊可能导致责任推诿。


《个人信息保护法》的重要目标之一,是要明确个人信息保护的履职部门,解决行政规制系统所必需的体制设计和职权分配问题。


目前,《个人信息保护法》多主体的监管架构已经确立:一方面,国家网信部门对个人信息保护有统筹协调和监督管理的职能;另一方面,国务院有关部门、县级以上地方人民政府有关部门,在相应的职责范围内也负有监管职能。


这种监管职能建构的立法模式可能依然会存在争议,但也确实有其现实基础。信息化本身是一场“治理的革命”,将引发整个政府的业务流程再造和组织机构重组。


从阶段性角度看,目前我国的个人信息保护还保留着需要针对各自领域、深入具体行业进行“精准监管”的必要性,各个业务部门分头管理既是对现状的接纳和延续,也是监管精准化的体现;而由于个人信息样态和领域的多样性,通过设置超越相关具体职能部门的机构进行统筹协调,也是增强监管效率、防止部门利益化的需要。


虽然独立监管机构的模式未被《个人信息保护法》采纳,将国家网信部门作为统筹协调中心的方案也褒贬不一,但就目前规定看,业务部门分头管理的机制继续延续,国家网信办的主导和统筹地位则得到进一步强化。


(二)决策型监管职能的体现


从行政监管角度看,将监管重心从事后的“个案处理”前溯到事先的“规则制定”,代表着现代政府的职能转型。美国规制理论和实践发展,其中一个重要指征就是从聚焦于具体的个案处理(执行法律、适用规则)到依赖于抽象的规则制定(制定规则、形成决策)。


《个人信息保护法》具有突出这种通过规则制定实现规制目标的特点。比如其第62条规定,国家网信部门统筹协调有关部门依据本法推进以下个人信息保护工作:


(1)制定个人信息保护具体规则、标准;(2)针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用,制定专门的个人信息保护规则、标准;(3)支持研究开发和推广应用安全、方便的电子身份认证技术,推进网络身份认证公共服务建设;(4)推进个人信息保护社会化服务体系建设,支持有关机构开展个人信息保护评估、认证服务;(5)完善个人信息保护投诉、举报工作机制。


这一立法条款授权的范围非常广泛,其核心特点是这些职能并非针对事后的个案监管,而是典型地体现了通过创设规则进行规制的思路。比如“针对小型个人信息处理者,制定专门的个人信息保护规则、标准”,这是《个人信息保护法》相较于二审稿草案新增加的内容。


虽然第62条中只有“小型个人信息处理者”这短短的一行字,但在未来的监管规则形成时,如何界定“小型个人信息处理者”?针对这一特殊对象该形成怎样的规则和标准?如何体现个人信息保护与对新兴企业、小微平台进行扶持激励的平衡?这些都将涉及复杂的利益冲突与衡量。


该条规定中涉及的敏感个人信息、人脸识别、人工智能、电子身份认证,以及评估和认证服务体系、投诉和举报工作机制,围绕这些议题展开的规则、标准、服务和工作机制的确立,都涉及类似的决策型监管职能。


此类授权规范,还可以参见第45条中信息携带权的条件、第52条关于指定个人信息保护负责人可以处理的个人信息数量的标准、第58条守门人特别条款中合规制度体系建设的国家规定……《个人信息保护法》通过法律授权的方式,将相关细分领域的规则创设权授予更具专业性和技术性的监管部门,实际上是立法本身将“立法形成功能”授权给规制机关行使,代表着立法者对事前决策型的行政规制路径的认可。


除此之外,《个人信息保护法》授权的多项职能都有赖于整体机制的配套落实。比如第38条规定了个人信息进行跨境提供时的要件。其中,无论是第1款第1项的安全评估机制、第2项的专业机构认证机制,还是第3项的标准合同文本机制,都带有立法创设规制工具,从而将整体监管机制的设置潜在地授予监管部门的意图。换言之,这些规制工具本身并非进行单纯法律适用就可以实现,而是必须诉诸一整套机制的确立。


比如以“安全评估机制”为例,结合《个人信息保护法》第40条的规定,首先,境内收集和产生的个人信息在什么情况下存储在境内,需要确立标准(涉及处理个人信息的数量);其次,确需向境外提供个人信息时,应当通过由国家网信部门组织的安全评估(涉及安全评估机制的配套规定);进而根据法律、行政法规和国家网信部门的规定,可以不进行安全评估(涉及对例外情形的创设)。


可以看到,这是通过一个“法律概念”的立法创设试图为监管部门匹配一整套机制的规制思路。除了“安全评估机制”,这种思路也体现在其他规制工具创设中,它们未来有赖于监管部门的“组织”、“规定”或者“指定”。


(三)未来法律适用的跟进方向


就监管部门作为事前规制的决策者角度看,未来法律体系的适用有三个重点需要跟进的方向:


其一,因为《个人信息保护法》将大量决策型功能(包括规则和标准制定,评估和服务体系建立,各项细化的工作机制确定)通过立法方式授权给监管部门,但多数授权条款本身没有特别明确授权的目的、事项、范围、期限以及被授权机关实施授权决定应当遵循的原则。这一方面有助于为这些复杂的决策型监管保留制度的弹性空间,在一定程度体现对“激励相容”的个人数据治理模式的探索,也比较符合我国长期以来“试验性监管”或者“灰色监管”的经验;但同时也要看到,近乎“空白授权”的法律机制也容易面临合法性风险。


未来在这些具有一般性规则的形成过程中,如何加强决策本身的合法性就需要成为重点。比如《个人信息保护法》固然是将网络平台尤其是大型在线企业作为重点监管对象,但正如“规制俘获理论”所揭示的那样,受制于技术、信息和能力的局限,再加上资本具有裹挟公共认知走向的巨大利益驱动和资源投入,如何在未来的决策型监管中体现对处于分散化的个体信息权利者的保护,如何能够兼顾到中小企业的创业和创新保护,这些都需要在决策过程中体现专家智识和商谈民主的平衡,在实体和程序的双重层面上增强决策型监管的合法性基础。


其二,《个人信息保护法》出台,意味着我国个人信息保护的法律结构基本确立,监管也应该迈入规范化。但由于大量具体规则尚未出台,而每一项细化性规则的出台,必然体现规则形成前后的适用差异,这就相当于是为《个人信息保护法》的法律适用,提供了差异化对待的基础。


在《个人信息保护法》已经生效,但相关具体规则尚未细化的情形下,是否会存在部分监管措施并不到位的情形?假设因为监管措施不到位而出现个人信息权益受损的情况,是否会面对“怠于履行(决策型规制)法定职责”或者“立法不作为”的质疑?再加上《个人信息保护法》本身授权有大量的决策型监管职能,监管部门几乎有不受范围和内容限制的规则制定权,这将会加剧《个人信息保护法》实施之后不同时期的差异化适用,形成一种实质上的“法律适用不平等”或者“执法不平等”。如何平衡《个人信息保护法》生效与细化规则出台之间的衔接问题,需要在法治轨道上予以考虑。


其三,早在《个人信息保护法》之前,相关监管部门通过制定行政规则、选择相关规制工具的执法实践即已开始。对于这些具有一般性适用特点的规则,有必要结合《个人信息保护法》出台的契机,加以进一步梳理。


比如,国家网信办2019年通过的《儿童个人信息网络保护规定》第17条规定“网络运营者向第三方转移儿童个人信息的,应当自行或者委托第三方机构进行安全评估”,这里的“自行安全评估”和“委托第三方安全评估”,与《个人信息保护法》规定的“安全评估机制”关系如何?在未成年人信息纳入个人敏感信息作为监管对象之后,是否需要严格儿童的个人信息网络保护,重新调整儿童信息第三方转移的监管工具?再如,2019年国家网信办、工业和信息化部、公安部、国家市场监管总局联合开展App违法违规收集使用个人信息专项治理工作,曾制定《App违法违规收集使用个人信息行为认定方法》,对多项个人信息处理违法行为的构成要件进行细化。


2021年,四部门又联合发布《常见类型移动互联网应用程序必要个人信息范围规定》,以39类常见App分类为前提,确定各自必要的个人信息范围。未来针对相关规则细化进行执法实践所展开的法律争议,除了围绕着个案处理,还有可能追溯到这些细化法律规则的规范性文件的附带审查机制。


执法监督与责任追究:个案式监管


从域外经验看,个人信息保护法的一项重要目的在于建构有效的外部执法机制,并借由制裁威胁和责任追究来监督信息处理者履行个人信息保护的法律责任。《个人信息保护法》虽然富有决策型监管的立法授权特色,但也通过专门条款来确立这种外部的执法威慑机制。作为执法监督者的行政主体,往往是在个人信息处理活动的法律关系后端,展开个案式的执法监督和责任追究,完成“调查、处理”职责(见图3)。


图3  作为“执法监督者”的监管主体


(一)行政法律责任的设置和风险


按照《个人信息保护法》的规定,个人信息保护涉及民事、行政和刑事的多重法律责任体系。其中,《个人信息保护法》主要通过第66条的一般处罚条款,确立起行政法律责任体系。该条款确立的行政处罚构成要件是“违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务”。


从立法形式看,一方面它属于不完全法条,具体适用时必须援引其他条款;另一方面,调整范围非常广泛。对比《网络安全法》和《数据安全法》的法律责任部分,行政处罚条款一般会设定“不履行或者违反本法第几条”的形式,来区别化地匹配不同的法律责任后果,《个人信息保护法》第66条的立法方式,是将该法中所有个人信息处理的权利义务关系条款,都纳入行政处罚的制裁后果。


这本质上并不利于凸显《个人信息保护法》对不同权利义务配置类型的差别度,对处罚机制设定的过度宽泛也将使个人信息处理者缺乏预见性从而承担更大的合规成本。


从法律后果看,除了警告、罚款、没收和责令停产停业这些传统行政处罚类型,第66条引入“限制从业”,并且以上一年度营业额的5%作为基准,将使得对相关数据平台的罚款额度可能达至十亿甚至百亿级别。


这一方面固然凸显立法目标,尤其是在民事诉讼领域暂未突破集体诉讼,而单个的侵权诉讼救济有限的前提下,《个人信息保护法》试图借助事后监管来实现“重罚威慑”的立法效果;但另一方面也要看到,“重罚威慑”的处罚条款也为监管部门留下较大的执法弹性,在构成要件相对模糊的前提下,裁量幅度的宽泛授权也具有两面性。再加上监管主体本身的多元结构,需要警惕未来因为监管职能的积极冲突而导致企业潜在的合规成本增加的风险。


此外,除了高额罚款、高管禁业,记录征信也被《个人信息保护法》纳入惩戒性手段,这些都凸显出对相关违法行为认定和裁量权行使边界的合法性要求。


行政处罚条款固然核心地体现出个案监督时的惩戒效果,是典型的“命令控制型”立法规制模式的常见形态,但行政法对个案式监管的整体机制,还需要落实到对个案调查和相关监管措施的保障和约束。


《个人信息保护法》第63条确立了信息保护履职部门在履行职责过程中可以采取的措施,包括:询问和调查、查阅复制相关材料,实施现场检查和调查工作,检查相关设备和物品,必要时进行查封或者扣押。对于这些具体措施,《个人信息保护法》第63条的规定属于行为法依据,但是细化到具体行为类型上,还受制于行为单行法的拘束,比如其中的“查封和扣押”就是典型的行政强制措施,需要符合《行政强制法》的拘束。


此外,《个人信息保护法》第64条规定的“约谈”以及“合规审计”,体现出监管方式的创新性,也应该属于重要的执法措施。未来的相关争议也需要结合行政法领域的行为单行法和程序法来予以规范。


(二)针对“将监管者纳入监管”的法律责任条款适用


前文说到,《个人信息保护法》有将监管者纳入监管的特点,作为个人信息处理者的监管部门,在履行法定职责过程中的个人信息处理行为亦受该法调整,但其法律责任配置该如何体现,值得关注。


《个人信息保护法》第68条规定:“国家机关不履行本法规定的个人信息保护义务的,由其上级机关或者履行个人信息保护职责的部门责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分。履行个人信息保护职责的部门的工作人员玩忽职守、滥用职权、徇私舞弊,尚不构成犯罪的,依法给予处分。”这一条款是否拘束作为个人信息处理者的监管部门,需要进行一定的解释适用。


按照一般监管法的立法体系,国家机关的法律责任条款往往拘束特定的履职部门。从《网络安全法》和《数据安全法》看,“双安法”的立法模式都是在总则部分明确监管主体,在法律责任部分直接针对监管主体配置责任条款,但由于《个人信息保护法》有将监管者纳入监管的特点,因此第68条究竟是针对“特定的”履职部门,即履行个人信息保护职责的部门;还是针对广义的履职部门,即作为个人信息处理者的国家机关,抑或是两者兼顾适用?本文基本持第三种理解,即除了针对特殊的履行个人信息保护职责的部门,第68条还应当包括在履行相应法定职责时进行个人信息处理的其他国家机关。


理由如下:从文义角度看,《个人信息保护法》在第六章、尤其是第60条第3款明确提出“履行个人信息保护职责的部门”这一统称之后,个人信息保护的特别履职部门就此被确定,但《个人信息保护法》第68条第1款直接以“国家机关”为规范主体,突显出对特别履职部门的忽略,遵循文义和体系解释,应当将此条款对照《个人信息保护法》第二章第三节的规定,回应“将监管者纳入监管”的整体立法特点。


从立法例角度看,对照同样是“将监管者纳入监管”之典型的《反垄断法》,可以发现,在政府机关和市场主体一并作为法律规范对象的前提下,外部行政处罚决定往往只针对“市场经营者”,而对政府机关的法律责任则需要另设机制。


比如《反垄断法》第51条规定:“行政机关和法律、法规授权的具有管理公共事务职能的组织滥用行政权力,实施排除、限制竞争行为的,由上级机关责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分。反垄断执法机构可以向有关上级机关提出依法处理的建议。”


可见这种与行政处罚作为外部责任追究机制相并列的内部责任追究机制,包括责令改正、予以处分等,体现出独特的内部行政责任追究机制确立的立法意图。从这个角度看,应当对“不履行本法规定的个人信息保护义务”做宽泛解释,既包含了特定履职部门的个人信息保护义务,也包含了一般履职部门的个人信息保护义务。


当然,尽管《个人信息保护法》没有设置专门针对“监管者纳入监管”的外部行政责任条款,但并不排除其他部门法的另行规定。比如《居民身份证法》第19条对“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员泄露在履行职责或者提供服务过程中获得的居民身份证记载的公民个人信息”的行为,设置了治安管理处罚。


结语


《个人信息保护法》的出台对于确立我国个人信息保护的法律制度,被誉为具有“鲜明的时代意义”。


从立法结构看,《个人信息保护法》力图体现“激励相容”的个人数据治理理念,既有刚性的监管机制落实和重罚威慑效果的立法意图,同时预留出大量的监管性授权,为后续整体制度运行提供必要的缓冲和调整空间。


《个人信息保护法》也体现出对相关部门法及其法律适用机制的高度融合和开放立场,尤其是民法和行政法体系的混合运行特点十分鲜明,这一方面固然凸显护航个人信息保护这一新时代议题的重要性,但也可能形成公私法执行机制中的相关困扰。仅就行政法和政府监管的角度看,政府既是合法授权的规则制定者、管理者和裁判者,又是最大的个人信息处理者,如何平衡好个人与国家的利益,也将考验着未来《个人信息保护法》的执行和适用。


当然本文仅仅是基于行政监管视角对《个人信息保护法》若干法律适用进行的有限观察,现代个人数据治理的目标并非单一的政府监管,而是需要探索多元主体更深层次的合作治理精神,“推动形成政府、企业、相关社会组织、公众共同参与个人信息保护的良好环境”。 涉及理念和技术变革的相关机制正不停地进行创新实践,期待着《个人信息保护法》为新时代的个人信息保护更为妥贴地保驾护航。




《中国法律评论》

2021年第5期(总第41期)


《中国法律评论》

基 本 信 息

定价:408.00元

出版:法律出版社

期刊号:CN10-1210/D

出版时间:2022年

册数:全年6册装


点击上图即可购买

2022年《中国法律评论》(全六册)



点击阅读原文,即可购刊包邮~


中国法律评论

我刊由中华人民共和国司法部主管、法律出版社有限公司主办。国家A类学术期刊,中文社科引文索引(CSSCI)来源期刊,人大复印报刊资料重要转载来源期刊。我刊秉持“思想之库府,策略之机枢”之理念,立足于大中华,聚焦中国社会的法治问题,检视法治缺失与冲突,阐释法律思想,弘扬法律精神,凝聚法律智慧,研拟治理策略,为建设法治中国服务,为提升法治效能服务,为繁荣法学服务。


《中国法律评论》唯一投稿邮箱:

chinalawreview@lawpress.com.cn

中法评微信公众号投稿邮箱:

stonetung@qq.com


刊号:CN10-1210/D.

订刊电话:010-83938198

订刊传真:010-83938216


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存