论公私合作治理模式下个人信息保护机制建构

2022-01-20唐瑞芳

湖湘论坛 2022年1期

唐瑞芳

关键词：个人信息;公私合作;规范主义;功能主义;机制

中图分类号：D9 文献标志码：A 文章编号：1004-3160（2022）01-0099-12

一、引言

据第48次《中国互联网发展状况统计报告》统计，截至2021年6月，中国网民规模达10.11亿。随着公民、法人和其他组织广泛和深刻的参与，超级网络平台的不断壮大，网络社会出现了“权力多元化和社会化的趋向”[1]。与此同时，个人信息处理与保护已经成为一个普遍且突出的现实问题。由于主体多元、社会关系多样，无论“无形的手”抑或“有形的手”都难以独立回应错综复杂的个人信息保护难题。“市场失灵置换了市场万能观念，而政府失效又拒斥了国家的神话。”[2]近年来，个人信息保护越来越需要全社会的参与，逐渐突破公权力一家主导的个人信息保护模式，个人信息自决、企业主体责任、行业指导越来越被重视，从侧重“依法治网、依法办网、依法上网”的规范主义治网模式，逐渐转向“党委领导、政府管理、企业履责、社会监督、网民自律等多主体参与，经濟、法律、技术等多种手段相结合的综合治网格局”[3]，功能主义治网之道倾向愈加明显。刚刚通过不久的《个人信息保护法》第11条规定“推动形成政府、企业、相关社会组织、公众共同参与个人信息保护的良好环境”，与网络综合治理体系一脉相承，从公权力主导向多元社会主体借力，建构起平衡安全秩序法益与数字社会未来发展的理论与实践图景。

公私合作保护个人信息合理覆盖了个人信息保护的复杂场景，有利于在不同场景下实现个人信息保护的专业化和精准化，紧密契合个人信息保护的法治定位，积极探索信息控制与信息利用相互促进，成为越来越常见的路径。然而，在实践中，网络信息社会结构复杂化、信息利益诉求与社会关系复杂多变、线上行政规制权力分散化与社会化、权利（权力）与责任边界不清等现状影响了公私合作保护个人信息作用发挥，显现出一定的适应性障碍，并且对大数据技术发展与产业壮大也产生了一系列“并发症”。因此，如何平衡个人信息保护与未来社会数字化生存发展两者关系，已经成为当务之急。

二、个人信息保护公私合作的规范主义实践与困境

公私合作治理模式较好地发挥政府部门与民间主体各自的优势，以多元利益平衡为理念取向，用“行政任务履行”置换“行政权力行使”，不单纯依靠政府强制力的行政行为来完成特定行政任务、达成行政目的。

公私合作行政主要存在于基础设施与公共服务领域[4]，并逐步在科技、文化、社会管理、农业、林业等各领域公共事业中推广。而个人信息保护命题是伴随着社会信息化的发展、公共信息基础设施不断完善逐渐产生并日益丰富的。基于信息传输的基础性地位与作用，世界银行早就将“电信”归类在硬经济性基础设施[5]。《联合国国际贸易法委员会基础设施PPP立法指南》明确列举“通信部门的本地和长距离的电话通信和数据传输网络”为基础设施和公共服务[6]。我国一直将信息化发展纳入国家战略之中予以推进，特别在2018年中央经济工作会议首次提出“新基建”概念后，国家以及上海、广东、山东等大多数省区市都制定了信息化“新基建”的政策文件和行动方案，而这些政策文件无一例外要求培育社会需求、鼓励市场参与、强化公私合作。①

法治是当今社会的普遍价值追求与社会治理底色。网络虚拟社会是现实社会的延伸，在网络空间形成了传统社会有迹可循的特定关系，传统的规范主义模式也在不断复刻到网络空间之中，个人信息主要以信息网络为流通介质，从一开始借力于公权力管理来进行保护的现象就十分突出。在法制建设尚不完善，个人信息泄露、倒卖、不当利用较猖獗的时期，国家出于保护个人信息安全的需要，一般采用“重典治网”的规范主义路径，以尽快恢复网络信息领域良好秩序。早在2012年，全国人大常委会就制定了《关于加强网络信息保护的决定》，采用了强规制的举措打击个人信息侵害行为，赋予了有关主管部门强力监管职权，也规定了网络服务提供者和相关企业全面责任，通篇可见规范主义的理念与措施。

随着法治实践的深化和认识的提高，个人信息权利上升到公民基本权利的地位，个人信息保护制度的公私混合的法律属性十分明显[7]，各项处理与保护制度横跨公法、私法范畴，是一项独立的法律制度[8]，既调整行政机关因处理个人信息而形成的与自然人之间的行政管理关系，也适用于民事主体之间因处理个人信息而形成的平等主体之间的关系。从世界范围内来看，各国个人信息保护的实践中，都在不断鼓励私主体参与其中，充分利用各种资源与要素，实现多元主体利益的最大化，公私合作保护个人信息应用的广度和深度不断拓展，个人信息保护公私合作模式逐渐发展完善。美国《加州消费者隐私法案》（CCPA）构建了基于场景理念主导的个人信息保护机制，在动态保护过程中，引入全社会力量形成个人信息保护的合力。在我国，《网络安全法》坚持共同治理原则，要求采取措施鼓励全社会共同参与，政府部门、网络建设者、网络运营者、网络服务提供者、网络行业相关组织、高等院校、职业学校、社会公众等都应根据各自的角色参与网络安全治理工作。[9]《个人信息保护法》系统吸收了《网络安全法》第四章“网络信息安全”和《民法典·人格权编》第六章“隐私权和个人信息保护”之内容，既有管治关系，也有平等主体之间的权利义务分配，兼具权利保障和行政规制的双重色彩。

然而，在个人信息保护的场景中，因其主体、客体以及专业技术性等因素，运用规范主义模式加强个人信息公私合作治理保护，还存在一定的障碍。在传统公法学视野中，“行政之法律合法性源于行政之民主正当性，即通过民意机构制定的法律来完成这一转换，行政是否具有政治上的合法性，就是看行政是否与法律一致。”[10]一般通过以权力清单和责任清单的方式划定行政权力运行的边界与范围，以防止行政权力的无限扩张与扭曲变异。然而，随着网络社会管治领域和事项的加速裂变，特别是现实与网络社会的交叉叠加，“这种治理模式逐渐暴露出公平与效率的矛盾、政府机构膨胀问题、官僚主义问题、治理成本无限增长的问题、腐败问题等弊端。”[11]如果将这种拉单挂账式的治理方式复制适用于个人信息保护领域，走立法赋权、依法规制的老路，又陷入了政府膨胀与失灵的恶性循环，相关立法滞后、专门法授权私主体的条款稀缺，难以有效适应一日千里的个人信息保护形势。

此外，一些私主体比如信息处理者特别是超级网络平台的“权力”越来越膨胀，对个人信息处理的话语权极大，通过平台用户协议事实上对个人信息的处理与保护进行相应的管理规制。这样与个人信息主体处于平等地位的信息处理者事实上行使一些行政规制权能，不仅无法使个人信息主体安然接受，对于法教义学也是一种突破，对公权力“法无授权不可为”的法治理念进行了一定篡改。一些私主体规制权能来源无据、地位不清，一定程度上也限制了其合作功能的有效发挥。个人信息保护贯穿收集、存储、清洗、处理、使用等全环节，必然要求更多的私主体类型与数量参与到此过程中来，信息处理主体数量众多、分布广泛、权利分散，客观上增加了私主体行为失范的可能性，容易对个人信息主体的权利产生不良的影响。

从实践来看，信息处理者和政府本身具有重大的个人信息利益诉求，在个人信息处理与保护过程中却不能绕开回避，构成利益衡量的一个维度[12]。首先，信息处理者面临利与义的交锋。在欧美等公有营运主体十分微弱的情況下，互联网巨头甚至充当了个人信息处理的主要操盘手。在这一过程中，互联网巨头一方面实际控制了个人信息及其使用、监管，面对体量巨大、价值无限的个人信息，作为以营利为目的的市场主体，还能否厘清公益与私利的关系，实在是一个值得怀疑的命题。其次，政府面临安全与效率的拷问。政府在个人信息保护过程中同时具有了使用者和管理者的双重身份，实现个人信息安全可控视为“公益”，而滥用大量个人信息提升规制效能可视为“私利”。为了更好地为行政行为提供便利，完成公共管理和服务职能，政府会自觉不自觉地将目光望向了本应当严密控制的个人信息。如何划定安全与效率的边界，在公私合作治理场阈中也是一个重大而现实的使命。

公私合作保护个人信息由于主体的混同性、利益的复合性和手段的非规制性大量存在，使得对传统行政行为的司法控制模式也提出了一定的挑战。私主体承担了本属于公共职能的履行，却又可能摆脱司法对公权力运用的严格审查，私人参与的责任性因而受到关注。[13]142同时，私人力量承担管治职责，对传统的只能民告官的行政诉讼模式也构成了挑战。“这种实现行政任务的私法行为还在游走于公、私法两域的边缘，成为公、私法都不能尽心照顾的‘流浪儿’”[14]。信息收集者、信息处理者在实现公共任务过程中的角色也是经常变幻的，有时开始是规制对象，有时又承担公共管理职能，还有的时候可能同时具有双重身份，因而精准界定其身份具有一定的困难。此外，公私主体参与个人信息保护情况纷繁复杂，要抽丝剥茧进行类型化分析十分困难，也对公私合作行为进行司法控制制度安排提出了挑战。更重要的是，私主体参与行政行为的体量是前所未有的，所产生的纠纷数量也是传统行政诉讼数量所不可比拟的，加上线上纠纷的确定主体难、立案难、取证难、执行难等特点，应用传统的行政诉讼模式简直是不可能完成的任务。

三、个人信息保护公私合作的功能主义转向与痛点

由于传统规制主义的显著弊病，个人信息保护像其他诸多领域一样，在实用主义法观念支配下，围绕着实现公法意图和公共利益，尝试着超越传统规范主义控权模式，逐步转而进行功能主义的探索。[15]85

从功能主义视角来看，私主体能参与公权力行使，其正当性就是能够促进公共利益的实现，否则公私合作的基础将不复存在，也因此公主体与私主体也将承担一系列违法行政的法律责任。公私合作契合了功能主义之社会协作的工具理性，有效回应了个人信息保护应用场景丰富、参与主体多样、保护路径绵长等特点，不再局限于公私主体原初法释义学上的地位与作用，而追求于各自功能的有效发挥。私人力量不再是纯粹的机械服从公共权力，个人主体数量庞大，与个人信息具有更加天然紧密的联系，对泄漏、不当使用个人信息会产生切肤之痛，将个人信息保护纳入“人民战争”汪洋大海之中，更能起到群防群控、共治共享的社会效果。从企业来说，作为个人信息处理的主要主体，产业界相对于政府部门，拥有更加专业化的技术能力，也具有更强的规则体系建设的驱动力[16]。从功能性与实用性的角度出发，私主体的参与较大幅度提升个人信息保护的专业化和精准性，特别是电信巨头、互联网巨头深度参与，行政权力一定程度上失去了绝对主导的地位，个人信息保护越来越有赖于私主体作用的发挥。各级政府在各类信息数字公共事业之中，大都与电信巨头、超级互联网企业合作，或者政府既希望深度主导个人信息保护，又想寻求技术专项支持与矛盾缓冲带，建立公用合资公司实现功能转换。比如，广东省提出以“政企合作、管运分离”的模式开展数字政府改革建设工作，成立数字广东网络建设有限公司，全面负责广东省数字政府改革建设[17]，对政务云平台上的用户信息处理与保护职能实现一定的剥离。

另外，功能主义模式具有较强灵活性与广泛适用性，为了实现个人信息保护的便利功能，更加注重个人信息保护法律制度既定的意图和目标，倾向采取工具主义的社会政策路径[12]，更能根据个人信息保护不同的法制定位面向，确立不同的应对策略，打造统合性的保护政策法规链条与体系，完善个人信息保护的周延性与闭合性。随着越来越多的私主体被赋予了行使个人信息监管的地位与权能，公私合作保护个人信息的类型越来越丰富。比如，欧盟《通用数据保护条例》（GDPR）规定了“数据保护官”制度，即在特定条件下各欧盟成员国的官方机构或企业都需要强制聘请一位数据保护官，可以是个人，也可以是专门从事数据保护的专业机构。[18]

个人信息控制和信息利用，一个注重私权利的有效保护，一个着眼于未来国家经济社会的发展进步，采用功能化的保护方式更加注重于利益平衡。从深层次来看，功能主义也提供了个人信息保护面临的权利义务纠葛的化解路径。公私合作治理通过授权者、委托者、辅助者、举发者、监督者、和解者等角色的引入，加强各信息主体在信息生产、处理、使用之间诉求的交流与调和，避免陷入规范主义“非黑即白”的二分法陷阱，在不同层次的合作法律关系中确定公私双方各自的法律地位，从而实现主体之间利益的调和。通过建立沟通协商机制，加强各主体的利益诉求协调，找到信息控制与信息利用的平衡点，共同探讨个人信息保护的实现方式，以实现共享利益、共担相应风险的目的，这也为公私合作模式的探索与完善提供了巨大的空间。

奉行实用与工具哲学的功能主义，从源头防止个人信息侵害、从全链条监管个人信息、从事后提供有效救济方面都展現了崭新的视角，在最近几年的立法与行政监管实践中广为采用，实际上也契合了个人信息保护“从政府管理向社会治理”[19]的转向。然而，功能主义哲学也有其固有的逻辑弊端，在实践中有待进一步深化完善。功能主义的主张都与集体主义、社会主义存在诸多关联[15]186-187，给予其有力支撑的理论基础主要是一种集体主义的社会本体论，以实现社会公共利益与数字化生存发展能力的最大化。而个人信息主体众多，利益表达集纳机制不畅，很多时候以利益覆盖信息主体的数量和价值上的大小来判断是否为公共利益，可能会过度地看重人数较多的公共利益而忽视看似较小的个人利益，从而忽视了应当加以保护的个人信息利益。有些私利在公共利益旗帜的庇护下摇身一变成为“公共利益”代表者，对公益、私利的价值平衡就不再是一个简单的问题了。

功能主义具有鲜明的目的导向与工具主义思维，倾向将法律看作政治机器的一部分，并为能动型国家的目标服务[20]。政府与一些大的网络平台同时兼具个人信息管理者和利用者的双重身份，个人信息产生、收集、使用、保护领域具有技术密集的特点，容易因数字技术过于集中而产生高度垄断市场。过分强调市场化与工具性，许多不法信息处理者为利益驱动可能滥用支配地位损害其他弱势信息主体的利益，从而抑制信息主体、数字产业的自由属性。如果没有国家规制支撑，扮演终极监管者和兜底者的角色，信息不对称必然会增加信息主体的防御成本和信息收集成本。[21]

此外，功能主义大行其道，个人信息保护立法层级较低，很多情况以政策文件应急替代法律法规，缺乏必要的民主性与科学性;另一方面，突出应用性与有效性，将个人信息保护纳入应急管理的体系，“头痛医头、脚痛医脚”，使得规制具有较明显的任意性。更为重要的是，当前个人信息保护的功能主义路径还没有明确回答公私主体角色与利益混同性的问题，信息处理者的权能和法律地位界定如何厘清还不十分明确，一些场合不及时进行行政事务回避，难免会给人以违反“自己不做自己的法官”基本法治理念的印象，这对于如何区分不同的主体责任以及如何适用不同的救济手段，仍然是挑战，从而容易导致以个人信息保护之名行侵害个人信息利益之实，一定程度会削弱公私合作保护个人信息的法理基础与信赖利益。

四、公私合作保护个人信息的理念进阶与实践出路

个人信息保护模式由规范主义向功能主义转向，并不是完全摒弃规范主义的思维与范式，而是兼顾实证、规范两个维度的具体方法。[22]当然，运用功能主义模式保护个人信息，不是走运用法律系统严格规制个人信息的收集处理的老路，而是“在于解释法律系统如何在一个本身并不听命于法律规则的环境下管理自己的再生产过程”[15]352-361，置于一种有控制的社会化努力保护个人信息之中。在涵盖个人信息保护的网络综合治理体系中，在加强外在有关社会与公私合作治理的基础上，依法治网仍是重要方面，甚至法律外的系统往往需要经过法规范系统来发挥作用，并且通过相互影响、相互配合，更好地发挥出公私合作保护个人信息的作用。

（一）多元利益再平衡

公私合作保护个人信息，首要的还是从制度架构上来明晰各主体的权利和义务，问题解决的关键仍然在于个人信息保护与利用的利益衡量。[12]]

从域外个人信息保护来看，无论是美国基于隐私权推演出个人信息控制理论，并成为美国个人信息保护的理论基础[23]，还是德国联邦宪法法院在“人口普查案”中确立“个人信息自决权”①，传统的个人信息保护理论建立在一种与公民个人紧密相关的法益之上，着重强调由个人信息主体进行告知同意授权，从而建立起整个个人信息保护的体系与制度。但是，个人信息不仅承载了个人利益，也与数字社会生存发展紧密相关，特别是进入大数据时代，个人信息被赋予了很多市场价值与公共属性，由信息主体绝对主导控制的模式出现了松动，有的学者就提倡个人信息保护的基本理论从个人本位到社会本位的转变或从个人控制到社会控制的转变。[23]对个人信息进行利益衡量显得尤为重要，个人信息承载公共利益，并不必然使个人信息控制跨越到社会本位的基本面向，个人信息承载的人格尊严与人身自由仍是不可随意转让或由社会剥夺的，需由信息主体个人以明示或默示的方式同意其他主体采集使用。只是在公共用途中，通过法律法规的规定或者多数人的同意，超越个人意愿，以实现社会整体“数字化生存”的便利与发展。

个人信息不仅体现了人格利益权利，也能创造出不斐的经济利益，有利益才有驱动力，使用个人信息也要有经济利益的回报，才能更大程度地激发公私各方主体参与到个人信息保护中来。在个人隐私保护和个人信息利用都亟待强化的需求格局下，可行的方案是以一定标准实现对个人信息的区别保护和利用，从而实现保护和利用的多赢。[12]首要和基础是对个人信息进行类型化分析，并确定什么样个人信息应当进入社会流通，什么信息应当最大化由个人控制保留，哪些个人信息收集后可以匿名化脱敏处理并进入流通使用。其次，关键是要建立“谁拥有、谁受益;谁使用、谁付费”的利益分配机制，明确各参与主体利益分配原则，信息处理者提供个人信息时，可以尝试与个人信息主体签署协议，规范个人信息的收集范围和受益方式等，只要个人信息是用来提供更好的公共服务的，不妨广泛扩大其免费使用，否则，应按正相关向信息主体说明使用范围和付费标准。

在公私合作治理模式下，要扩大公私利益攸关主体的参与，充分保证个人主体的知情权，加大信息处理者意见征集，扩大各主体的话语权与发言权，积极听取和认真考虑多元主体的观点与诉求。同时，创新完善公私合作治理机制来规范个人信息保护，通过公私合作的机制建设，进一步通过类型化的行为模式来明晰公私合作双方的权利义务，实现公权力主体与各类私主体之间的沟通、协商与合作，及其规范化权利义务分配模式。比如，在个人信息收集处理阶段，可以通过服务外包、管理外包、租赁、特许经营等合作模式，来发挥一些大型信息平台企业的专业性与技术性，从而更加畅通公私合作保护个人信息的体制和模式。

（二）监管机制再塑造

公私合作共同推进个人信息保护，在主体参与上具有全量性，在保护范围上具有全域性，在监管链条上具有全时性，重点在于对个人信息监管机制进行革新完善，将个人信息处理行为置于严密监测之中，发挥公私合作保护个人信息的最大功能。

首先，个人信息主体的全程参与。在个人信息保护相关法律法规还不十分完善的当下，个人信息主体提高保护意识、主动采用一定保护措施非常必要。要在全社会范围内普及个人信息保护的观念和知识，提高全民的安全意识，尽可能防止个人信息无意泄漏。当收集处理个人信息时，应当遵循合理必要、告知同意原则，未有法定理由和法定方式或程序获取个人信息时，个人可以拒绝同意。如果发现个人信息被泄露、被篡改或被非法使用时，应当及时通知、举报侵权方或信息处理者采取必要措施防止个人信息的侵害。造成损失的，采取协商、调解等方法解决，向有关主管部门举报，必要时可采取诉讼手段以恢复个人信息的受保护状态和赔偿相应的损失。

其次，信息处理者的主体监管。在多元主体的个人信息生态系统中，信息处理者中心地位日益凸显，逐步具有了公共平台权力的作用与地位，也是公私合作的基本参与者。基于信息处理者的重要地位和突出影响，其监管责任与义务应当进一步增强，以匹配信息社会生产流通中，其所负的特殊的安全保护职责。传统平台治理中，“红旗原则”即规定了信息平台对于重大信息侵权的主动监管义务，加强技术巡查和信息监管，采用删除、屏蔽、断开连接等必要措施，避免损失进一步扩大，不能以不知道、不了解、无能力处理来推脱责任。另外，信息处理者要为信息主体提供更为便捷的举报、投诉、申诉、监督方式，确保法律和政策得到切实实施。

第三，行业协会加强自律监管。在公私合作模式下，应该充分鼓励信息业者的行业协会实行自律管理，自律机制可以与国家法律的外在强制机制实现良性互动。具体而言，其一，信息业者行业协会可以根据个人信息保护法的原则性规定，结合自身的行业特点和实践经验，制定更具针对性更为细致的个人信息保护与利用准则，向信息主体加以提示和说明，为信息主体提供更为便利、充分、高水平的保护。其二，高速发展仍是信息社会的基本趋势，鼓励信息业者行业先行制定自律性规范，为个人信息主体提供一定保护，立法者在充分总结信息业者有益经验的基础上再适时制定法律加以规范，不失为避免盲目和超前立法扼杀技术创新活力的良策。其三，行业自律可有效缓解信息技术快速发展所引起的立法供給不足的问题，可有效避免政府规制缺位或者滥权的问题，同时为政府输出缓冲带，为信息主体提供避风港，进一步架起公私合作保护个人信息的桥梁。

第四，政府部门的规范监管。政府规范监管具有法定性和强制性的手段，一直是社会公益的最有效保护方式。政府监管首先是通过制定有效、具体的行政监管制度文件来提升个人信息保护的规范指引，构建一个严格的控制体系，明确个人信息主体、信息使用者和政府自身有关部门的权利和义务。此外，政府部门通过市场准入的设定，来明确个人信息进入流通环节，同时限定只有保护个人信息技术、设备、专业人才的企业才能从事个人信息收集、使用等行为，对信息处理者的相关资质进行审查，为个人信息保护提供一个安全有序、公平公正的环境。在事中监管方面，政府部门也可以建立日常巡查制度，不定期的对侵犯个人信息的行为进行主动干预与及时预警，第一时间防范损害的发生。在事后监管方面，政府可以制定相应的惩罚机制，通过惩罚侵犯公民个人信息的违法行为，达到威慑的目的。

（三）责任分配再优化

多元主体参与到个人信息保护中去，行为与责任出现一定的公私混同，要使责任分配明确，必须要确立各主体之间的地位，区分各主体的责任。

首先，以目的论来界定公私责任。公私合作保护个人信息跳出了传统的规范主义路径，更多地考虑维护信息社会秩序与个人利益保护，寻求更多社会主体与社会资源的投入，全方位实现个人信息的保护与有序处理利用。私主体在此过程中身份具有一定的混同，利与义具有一定的纠缠，确立私主体的公法责任是厘清公私主体责任的基础性工作。私主体承担公法责任的界定，从目的来看，公私合作是双方共同完成个人信息保护的公益目的，采用更灵活的手段来完成行政任务;从主体来看，公私合作必须由公权力机关、社会或个人等私主体共同参与，并且依托于公权力的行使;从行为来看，必须共同参与行政行为或者实现行政行为的效果，共同参与到个人信息的保护之中;从行为正当性来看，是由法律法规授权或者公权力主体与私主体达成契约的形式，来共同推进个人信息保护公共事业;从责任来看，公私主体共享利益、共担风险，并且由公权力机关最终承担行政失效的责任，从而为私主体的有关行为提供了一定的法理基础。

其次，借鉴意思自治来分解共同责任。公私合作治理在基础设施与公共服务领域已形成行政委托、行政协议、特许经营、政府采购、股权合作等多种合作模式，不同模式之间在参与主体、项目确定、预算控制、付费机制、产权归属、风险分配、责任分担等方面各有不同，各种模式之间的责任分担更是相差甚远。应当在不同层次的合作法律关系中确定公私双方各自的法律地位与责任分担，特别是要着重考虑公私双方协商成果，充分吸收参与主体间意思自治基础来分解个人信息保护的连带责任或按份责任，如可按出资比例承担个人信息保护相对等的民事责任;又如在特许经营场合，双方可以约定相应的监管处罚方式与额度来分担个人信息保护不力的风险，进一步加强各主体间的责任意识，力争在公私合作场景下也能做到权责明确、形成分工协作的良好局面。

再次，引入国家保留明确政府兜底责任。公私合作保护个人信息，并不当然减轻政府的责任，相反公私合作的兴起，多元私主体均参与到个人信息保护中来，对这些主体是否符合法律规定、遵守行政协议等行为要进行进一步的底线监管。特别是在信息处理越来越集中在互联网超级平台之上，网络平台已然具有了准公共空间、“第二政府”地位、普通信息主体再难与之抗衡的情况下，政府主体要更加承担起监管责任。强化个人信息保护领域的公私合作，一方面要放大市场交易机制的功能，另一方面，要引进国家行政管制或甚至刑事制裁[24]，加速个人信息保护领域自治条件与环境的形成与完善。引入“国家保留”的理念，明确“政府在基本公共服务中承担兜底职能”[25]，凸显政府在合作治理模式下的“担保责任”和“兜底责任”，防止政府责任的转嫁和逃逸，为个人信息保护构筑起最后的监管防线，并以此引导其他主体积极参与到个人信息保护之中。

（四）救济手段再升级

个人信息保护的线上线下责任本来就极具复杂性，再加上公私主体与行为相互缠绕，使得通过传统的司法救济途径更显得捉襟见肘，探索新的救济手段尤为必要。

党的十八届四中全会提出“健全社会矛盾纠纷预防化解机制，完善多元化纠纷解决机制”。多元纠纷解决机制从理念、规则都对公私合作保护个人信息作了较好的回应。完善多元化纠纷解决机制保护个人信息，鼓励行政机关、各行业自治组织、民间社会团体和个人参与纠纷化解，为当事人提供灵活多样、方便有效、富有人性关怀的纠纷解决渠道，引导当事人选择适当的方式解决纠纷，解决好群众最关心最直接最现实的利益问题，推进依法治网建设。完善多元化纠纷解决机制，引导当事人选择适当的方式解决纠纷，鼓励各类民间组织和个人参与个人信息纠纷化解，动员和组织人民依法保护个人信息，使公民了解法律、熟悉法律、信任法律最后达至信仰法律。

互联网信息传播速度快、网络平台众多，如果个人信息保护救济链条过长，就会降低反应速度与执行效率，这就需要协同和平衡好层级化管理与扁平化管理，提升执行效率。“根據‘互联网+’战略要求，推广现代信息技术在多元化纠纷解决机制中的运用。”我国先后建立的几家互联网法院作出了有益尝试。通过建立起开放的解纷途径、即时的交流沟通、便捷的在线场景、灵活的适用规则、高效的处置程序，推进多元化纠纷解决机制在线化、集成化、平台化、开放化，推进在线纠纷解决平台的建设和整合，实现异地网上化解纠纷，从而进一步提高案件审判效率。推动建立在线调解、在线立案、在线司法确认、在线审判、电子督促程序、电子送达等于一体的信息平台，实现纠纷解决的案件预判、信息共享、资源整合、数据分析等功能，促进多元化纠纷解决机制的信息化发展，进一步契合线上审判特性，提高技术性与专业性，较好回应线上案件井喷之势的现实需要。

经过多年探索和完善，我国公益诉讼制度在环境保护、消费者权益保护等方面取得较明显的成效。刚通过不久的《个人信息保护法》中进一步规定了个人信息保护公益诉讼制度。①个人信息保护案件涉及范围广，牵涉人数多，公益诉讼具有延伸性的社会治理张力，是一条成本较低、效果较好的个人信息保护途径。因应公私合作保护个人信息的需要，调动公私各方力量，协同政府多个部门，对侵害众多个人权益的，由人民检察院、履行个人信息保护职责的部门和国家网信部门确定的组织依法向人民法院提起诉讼，切实维护信息主体的合法权益，降低个人信息的维权成本，保护公私合作参与主体的共同利益。当然，个人信息保护公益诉讼也是一种公私合作的重要机制，国家有关部门、行业协会、信息主体相互协作，共同形成“公益诉讼+协作机制”的保护闭环，切实维护公民的合法信息权益。

五、小结

在合作行政兴起的个人信息保护领域，伴随着行政任务的复杂化和专业化，严格的“立法授权—行政实施—司法审查”的传统规制模式日渐“失灵”。[26]政府规制需要法律授权、机构人员配备、技术手段配套等规范性建设，“远水”救不了日益凸显的个人信息保护“近渴”。“传统的权力—服从模式的行政管理逐步演变为协商—合作模式的公共治理”[13]5。追求功能主义的公私合作保护个人信息，并不是绝对地排斥规范主义的适用，相反越是往深度推进，两者之间更加联系紧密，公权力更需要转变职能。

个人信息保护的进程中，公私各方主体纷纷介入，形成了错综复杂的平等主体之间、不平等主体之间的法律关系，这也是暗合了个人信息保护法公私混合法的性质。精确的计算和严格的功能性程序使得功能主义发展出一种与正在兴起的技术导向、相互依存和功能有序的社会相兼容的法律风格。[20]综合运用合规范与合目的手段来调节各项个人信息保护社会关系，前提还是要大量实证分析各主体的法律地位与角色，梳理出主体类型、利益类型、法律关系类型等各种范式，将各类社会化现象运用规范化思维来定性、定量分析，将规范主义与功能主义有机结合起来，进一步发挥公私合作保护个人信息的积极效应，织密个人信息保护之网，又不抑制信息主体、数字产业的自由属性，从而构建起一个安定有序、充满活力的数字化生存发展空间。

参考文献：

[1]郭道晖.权力的多元化与社会化[J].法学研究，2001（1）：3-17.

[2] [法]莫里斯·奥里乌.行政法与公法精要：上册[M].龚觅，等，译.沈阳：辽海出版社，1999：1.

[3]中共中央党史和文献研究院.习近平关于网络强国论述摘编[M].北京：中央文献出版社，2021：56-57.

[4]杨靖文.公私合作与行政法的回应[D].重庆：西南政法大学，2017：41.

[5]世界银行.世界银行发展报告：为发展提供基础设施[M].毛小威，等，译.北京：中国财政经济出版社，1994：2.

[6]何春丽.基础设施公私合作的法律保障[M].北京：法律出版社，2015：2.

[7]齐爱民.论个人信息保护法的地位与性质[J].中国流通经济，2009（1）：65-67.

[8]周汉华.个人信息保护的法律定位[J].法商研究，2020（3）：44-56.

[9]中国网信网.《网络安全法》解读[EB/OL].（2016-11-07）[2021-08-01].http：//www.cac.gov.cn/2016-11/07/c_1119866583.htm.

[10]谭宗泽，杨靖文.行政法结构的失衡与行政诉讼功能的重构[J].西南政法大学学报，2011（5）：31-37.

[11]谭英俊.公共事务合作治理模式：反思与探索[J].贵州社会科学，2009（3）：14-18.