首页
□蒋红珍
去年8月,《个人信息保护法》(以下简称《个保法》)正式出台,标志着我国在个人信息保护领域的法律框架基本确立,个人信息保护这一触动广泛关切的公共话题,逐渐转向对法律实施的关注。这其中,厘清《个保法》中政府角色的定位与平衡,尤其是行政主体在《个保法》中可能涵盖作为“个人信息处理者”“规制者”和“执法监督者”的不同法律关系,从而有效应对未来可能的规范适用和纠纷解决,就显得尤为迫切。
行政主体(政府)是最大的个人信息“处理者”,在履行法定职责时使用自然人的个人信息;经授权的部门也可以作为“规制者”,提前介入个人信息处理活动。从行政监管角度看,将监管重心从事后的“个案处理”前移到事先的“规则制定”,代表着现代政府的职能转型。比如按照《个保法》第32条规定,对于敏感个人信息处理,“如果法律、行政法规规定应当取得相关行政许可或者做出其他限制的,从其规定”,这里的行政许可,便发生在个人信息处理活动之前。更重要的是,《个保法》列有大量授权相关部门制定抽象规则和标准、组织和实施相关监管机制的具体规定。从狭义的行政监管角度看,这些规定赋予了行政主体在个人信息保护领域进行决策型监管的职能。
作为执法监督者的行政主体,往往是在个人信息处理活动的法律关系后端,展开个案式的执法监督和责任追究,完成调查、处理职责。这一方面固然突显立法目标,尤其是在民事诉讼领域暂未突破集体诉讼、而单个的侵权诉讼救济有限的前提下,《个保法》试图借助事后监管来实现“重罚威慑”的立法效果;但另一方面也要看到,“重罚威慑”的处罚条款也为监管部门留下较大的执法弹性,在构成要件相对模糊的前提下,裁量幅度的宽泛授权也因此成为一柄双刃剑。再加上监管主体本身的多元结构,需要警惕未来因为监管职能的重叠交叉引发多头处罚而导致企业潜在的合规成本增加的风险。
仅就行政法和政府监管的角度看,政府既是合法授权的规则制定者、管理者和裁判者,又是最大的个人信息处理者,如何平衡好个人与国家利益,也将考验未来《个保法》的执行和适用。
需要特别提示的是,《个保法》明确将行政机关在执法过程中对自然人个人信息的处理行为,纳入了受法律调整和监管的范围之中。其中第2条规定:“自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。”这里的“任何组织”,包含国家公权力机关。在《个保法》第二章中,用专节的方式设置了“国家机关处理个人信息的特别规定”,单列出国家机关作为个人信息处理者时的特别规范。
当然,将监管者纳入监管,存在特殊性。以《个保法》所确立的处理个人信息之核心基础的“告知同意规则”为例,便可发现行政主体作为信息处理者时法律适用的例外情况。《个保法》在第13条第1款第1项确立了“告知同意”的一般规则:“取得个人的同意,个人信息处理者方可处理个人信息”,但又在第2款中排除多项个人信息处理情境中“同意规则”的适用,这其中便包含着行政主体作为信息处理者的情形。比如,为履行法定职责或者法定义务、为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需等情形,不需取得个人同意,社会公众对此要有清晰认知。
“将监管者纳入监管”的立法结构,虽然并非《个保法》所独有,但也绝非常见的立法模式。因此,《个保法》针对国家机关作为个人信息处理者时的规范体系,也与一般监管模式存在差异,并不仅仅拘束特定履行个人信息保护职责的部门,还应当包括在履行相应法定职责时进行个人信息处理的其他国家机关。这就对行政执法过程如何平衡好个人信息保护与履行法定职责之间的关系,提出了更高的要求。
现代个人数据(信息)治理的目标并非单一的政府监管,需要探索多元主体更深层次的合作治理精神,以此“推动形成政府、企业、相关社会组织、公众共同参与个人信息保护的良好环境”。涉及个人信息保护理念与技术变革的创新实践还在路上,期待《个保法》为数据时代的个人信息保护工作保驾护航。
(作者系上海交通大学凯原法学院副院长、教授、博导)
SourcePh" style="display:none">
放大
上一版
