这里涉及前面提到的几个最高国家机关的关系问题。
这种进路的最终着眼点,在于国家共同体的存续,在于国家权力行使的高效能和理性化。这种思路,是一种简单二分法,缺乏对政制问题复杂性的深刻理解。
但是,由于这一制度未能最终落实法律解释权与个案审判权的直接关联,其效果尚无法令人满意。[107]这是从功能主义出发,在人员安排方面因应职权职权需要调整组织结构,保证人大常委会监督权的正确行使。我国宪法对民主集中制规定方式从一律到原则的改变,为国家权力配置的宪法原则开放了新的解释可能性,邓小平、彭真等宪法工程师将权力配置的实质标准确定为权力行使的正确性。以最适合做出决定的人员来承担国家职权,也是功能适当原则的基本要求。第三,使各个国家机关更好地分工合作、相互配合。
要享有这种自由,就必须建立一种政府,在它的统治下一个公民不惧怕另一个公民。与形式主义的分权理论不同,功能主义的进路在关注人民自由的保障同时,同样重视国家机关的创设和权力(功能)的配置。有学者通过对爱尔兰、美国两个国家行政执法部门2011年对Facebook的执法调查案例比较研究发现,尽管两个国家个人信息保护法律规定差别很大,但由于执法部门都采用了更为有效的回应性规制方法,通过执法协议要求企业持续改进其隐私保护实践,而未采用常规的对抗式处罚方式,因此使大洋两岸之间的明显差别难以区分。
其次,结构决定功能,观念明确以后,有效的组织结构就是基础。[47]对于Schrems案后,这些不同机制均可能遇到欧盟法院审查挑战以及判决执行方面会遇到的各种障碍,参见Christopher Kuner,Reality and Illusion in EU Data Transfer Regulation Post Schrems,18 German.L.J.881 (2017)。[45]对于加密技术在《一般数据保护条例》中法律地位不确定性的分析以及加密技术可以产生排除该条例适用效果 (促进云计算) 的论述,参见Gerald SpindlerPhilipp Schmechel,Personal Data and Encrytion in the European General Data Protection Regultion,7 J.Intell.Prop.Info.Tech.Elec.Com.L.163 (2016)。这样,既可以弥补网络安全法第42条对于脱敏信息的规定法律效果不明确的弊端,有利于推动大数据开发利用,也与欧盟及其他国家对于匿名化信息的规定保持一致。
大数据时代 一、以激励相容为制度设计的核心 国内外学术界对于中国改革开放基本经验的主流总结,无外乎中央与地方关系上的纵向分权改革和政府与市场关系上放松管制的市场化改革。最后,借鉴消费者权益保护法修改经验,加大民事责任追究力度,解决个人信息被滥用后民事维权成本高、收益低问题,[80]调动信息主体依法维权的积极性。
[22]数据发生泄露的情形非常复杂,[23]个人数据滥用的受害者是信息主体,不是信息控制者。对于财政分权理论的发展脉络与经验研究,参见张军:《分权与增长:中国的故事》,《经济学 (季刊) 》2008年第1期,第21页。《条例》很多新的要求都是《指令》所缺乏的,体现了立法观念上的明显进步。[9]对于不同领域激励相容机制设计的讨论国内外都不少见。
因此,个人信息保护法应该在近几年各项立法的基础上,借鉴国际社会成功经验,包括美国与欧盟的经验,以全面构建个人数据治理体系为原则,以防范个人信息安全风险为目标,明确引入公法意义上的个人信息控制权概念,[89]并在收集、使用、转移、存储、跨境传输、销毁、查询、更正等个人信息处理的全过程,明确信息主体的知情权、同意权、选择权、变更权、删除权、撤回权等各权项,使信息主体能够真正参与到个人信息保护之中。[71]See Ira S.Rubinstein,Regulating Privacy by Design,26 Berkeley Tech.L.J.1410 (2011) . [72]对于自律机制根本缺陷的分析,参见Paul M.Schwartz,Privacy and Democracy in Cyberspace,52 Vand.L.Rev.1681 (1999)。只有这样,才能调动信息控制者参与个人信息保护的积极性,促进正常国际经贸往来。[13] 我国制定个人信息保护法,不能脱离大的制度背景,有必要从中国改革开放的基本经验和全球行政改革的大趋势中吸取养分,避免或者少走弯路。
安永第19届《全球信息安全调查报告》采访了1735名首席管理人员、信息安全与IT高管或经理,他们代表了众多全球规模最大且最知名的企业。个人信息保护法要做的,就是针对上述各种脱节现象,借鉴近年来国际社会的实践经验与国内行业领先企业的有益探索,以培育信息控制者内部治理机制为目标,将个人信息保护要求嵌入整体信息安全防范体系中,明确各个环节的相关法律义务和组织要求,完善多元参与与互动机制,实现法律规范的外在要求与信息控制者的内在需要激励相容,达到既保护个人信息安全又强化信息控制者的安全防范能力的双赢结果。
美国联邦贸易委员会、各州总检察长、民事 (集团) 诉讼、国会监督与媒体监督及社会监督等机制丝毫不亚于欧盟国家个人信息管理局的执法力度。(3) 美国与德国企业的做法截然不同于法国、西班牙与英国企业的做法。
而《条例》的制定就必须同步考虑大数据发展的实际,为大数据发展提供法律依据,为欧盟数字经济发展留下空间。[81]对于美国法律难以保护消费者隐私以及借鉴欧盟经验改革的论述,参见Michael D.Simpson,All Your Data are Belong to Us:Consumer Data Breach Rights and Remedies in an Electronic Exchange Economy,87 U.Colo.L.Rev.669 (2016)。可见,加快出台个人信息保护法,科学厘清不同制度的边界,不仅能解决刑法规范替代其他执法机制、信息控制者行为规范缺失等问题,也能理顺个人信息保护法与网络安全法的关系,解决好外部执法威慑机制越位、缺位与错位并存的三大现实问题,形成有效的立法结构,推动大数据利用与个人信息保护的协调发展。评估可能存在高风险,技术上或者经济上无法有效化解这种风险的,应事先咨询个人信息保护主管部门的意见,建立有效的咨询协商机制,共同解决问题。[53]See Ponemon Institute,2017 Cost of Data Breach Study:Global Overview,1 (June 2017) . [54]同上引报告,第5页。个人信息保护法应以培育信息控制者内部治理机制为目标,以构筑有效的外部执法威慑为保障,促使信息控制者积极履行法律责任,并对违法行为予以制裁。
(2) 信息控制者在采用涉及处理个人信息的新措施、新技术、新应用之前,应进行个人信息影响风险评估,并采取相应的安全措施,预防风险发生。[64]这样,几乎所有侵犯公民个人信息行为都可能直接触发刑事责任,完全可以替代任何行政执法机制,[65]更不需要内部治理机制配合。
要实现大数据利用与个人信息保护之间的协调发展,肯定不能遗漏信息主体及其权利行使,这就涉及信息主体、信息控制者、管理者三者之间的多维治理结构。(5) 在变化的环境下,法律规则要促进企业承担更多责任,需要原则性立法和开放式监管,并辅之以能动的监管者和有效的外部利益相关方监督。
实践中,企业集团或者关联企业内部跨境传输个人信息只要满足自我约束规则的要求,欧盟也认为符合充分性条件。[17][英]维克托?迈尔-舍恩伯格、肯尼思?库克耶:《大数据时代:生活、工作与思维的大变革》,盛杨燕、周涛译,浙江人民出版社2013年版,第16页。
首先要通过立法在内的外部机制助推信息控制者组织架构变革,发育有效内生机制,形成内外互动合力,以有效预防绝大部分个人信息安全风险。在信息控制者利用激励与保护激励明显失衡的结构下,如果缺乏外部干预与政府监管,势必产生丛林法则和对个人信息的肆意滥用,[24]这是各国普遍重视个人信息保护、个人信息保护法成为全球性立法趋势的根本理由。[75]正因为国家安全与个人权利的这种性质与位阶差别,在各国立法与国际条约中,如《公民权利和政治权利国际公约》第4条、《欧洲人权公约》第15条等,均明确国家安全是更高价值,予以最高等级的保护。Ian AyresMatthew Funk,Marketing Privacy,20 Yale J.on Reg.77 (2003) . [10]有学者指出,过去的许多立法更多地体现了管理甚至管制的思想,对政府权力强调过多,而对市场主体的权利关注不够。
由于信息不对称,这种命令可能与市场规律脱节,遏制市场主体创新能力与守法诱因。[80]对于典型民事诉讼案件中原告胜诉难以及经济损失证明难的介绍,参见中国青年政治学院互联网法治研究中心、封面智库:《中国个人信息安全和隐私保护报告》 (2016年11月) ,第26页。
西班牙与法国的企业很大程度上将隐私职能作为遵守确定的法律命令,哪怕自己怀疑做不到也要严格执行。在大数据时代来临之前,个人数据实际处于未被利用的沉睡状态,激励失衡问题并未被激活。
又如,信息主体权利的实现是一个过程,个人信息保护法中规定的不同权项不可能一步同时到位,执行中必然也需要有所区分,根据不同场景设计不同制度。[62]二是普遍重责任追究,尤其是刑事责任追究,轻过程规范,轻综合治理。
(3) 应鼓励个人信息控制者采用笔名化、加密保护、匿名化等方式处理个人信息,从源头防范个人信息泄露、被滥用等风险,并明确规定经匿名化处理的信息不适用个人信息保护法。在全球行政改革浪潮中,传统的命令控制式规制受到广泛批评,激励性监管得到重视,人们发现规则如果能够与被管理者激励相容,会极大降低执法成本,提高合规动力。王世伟、曹磊、罗天雨:《再论信息安全、网络安全、网络空间安全》,《中国图书馆学报》2016年第5期,第4页。2017年3月,国家互联网信息办公室政策法规局委托笔者牵头研究并提供一份个人信息保护法建议稿。
[22]See David E.Pozen,Privacy-Privacy Tradeoffs,83 U.Chi.L.Rev.246 (2016) . [23]美国Verizon公司的研究报告将数据泄露的情形分为九种,分别是犯罪软件、网络间谍、拒绝服务、内部人以及特权滥用、其他错误、支付卡读卡器、销售点入侵、物理盗窃与损失、网络应用供给。不同于其他生产要素,数据具有公共产品才具有的非排他性、非独占性特点,可以反复使用、共享,[20]这使信息控制者对个人数据保护远不如对其他私有财产保护重视,容易产生各种疏忽现象。
[8]因此,法律规则除了命令、禁止以外,还可以发挥引导作用,调动被管理者的守法诱因。在网络安全法中,由于关键信息基础设施的特殊地位,运营者掌握的个人信息和重要数据直接事关国家安全,必须以本地化为原则,确需出境的,依法进行国家安全评估后才能出境。
以信息控制者为适用对象,分别适用于不同的场景,解决不同的实际问题。制定个人信息保护法的国家,一项重要的立法任务就是构建有效的外部执法威慑,促使信息控制者积极履行法律责任,并对违法处理个人信息的行为予以制裁。
