超大互联网平台中个人信息保护独立监督机构的元规制论
2023-08-04刘绍宇
刘绍宇
(中国社会科学院 法学研究所, 北京 100732)
一、问题的提出
2021年8月20日,十三届全国人大常委会第三十次会议表决通过了《中华人民共和国个人信息保护法》(以下简称“个保法”),我国个人信息保护自此迈入了一个全新的时代。个保法的正式出台不仅标志着我国个人信息保护制度框架的基本形成,而且为世界提供了一份个人信息保护的中国方案。其中不少规定具有显著的独创性和鲜明的本土性,尤其是第58条规定的监督个人信息保护情况的独立机构(以下简称“独立监督机构”),是世界范围内首次在个人信息保护领域引入了私人规制机构,是个人信息保护法领域一次真正意义上的中国创新[1]。
2020年10月21日,《中华人民共和国个人信息保护法(草案)》公布并公开征求社会公众意见,当时的法律文本并不包含关于独立监督机构的内容。直到2021年4月29日,全国人大常委会公布《个人信息保护法(草案二审稿)》(以下简称“二审稿”),首次在第57条规定了独立监督机构:提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务:成立主要由外部人员组成的独立机构,对个人信息处理活动进行监督。根据全国人民代表大会宪法和法律委员会《关于〈个人信息保护法〉(草案)》修改情况的汇报,相关部门和专家建议强化超大型互联网平台的个人信息保护义务,并加强监督,而宪法和法律委员会经研究,建议增加一条规定,即二审稿第57条。该条款不仅采纳了相关部门和专家的建议规定了超大型互联网平台的个人信息保护义务,而且开创性地规定了独立监督机构。
二审稿公布后,该制度作为一项全新机制引起了各界的高度关注和激烈讨论。2021年8月20日,个保法正式通过。从最终的法律文本来看,尽管该制度在二审稿讨论过程中备受争议,但在最终稿审议过程中仍得以保留,只不过法条序号被调整为第58条,个别表述也被修改。“基础性互联网平台服务”被修改为“重要互联网平台服务”,原第1款加入了“按照国家规定建立健全个人信息保护合规制度体系”。除此之外,独立监督机构的任务从“对个人信息处理活动进行监督”改为“对个人信息保护情况进行监督”。
从整个立法过程来说,独立监督机构机制的建立显得较为突兀。个保法颁行之前,我国学界便对个人信息保护制度进行了全面深入的研究,但无论是相关论文、著述还是专家建议稿,均无法找到关于独立监督机构的论述。此外,个保法中绝大多数制度均能在此前的国内外法律、法规、规章、案例和标准之中找到雏形,唯独独立监督机构是一个例外。即便把目光投向全球数据保护实践,独立监督机构也很难找到域外经验。虽然不少学者在立法过程之中主张引入超大互联网平台的守门人机制[2],但独立监督机构和守门人机制是两种完全不同的制度,守门人机制仅是独立监督机构的一部分,引入守门人机制并不一定意味着设置独立监督机构。更为值得关注的是,独立监督机构有向其他平台治理领域拓展的趋势,2022年3月14日国家互联网信息办公室发布的《未成年人网络保护条例(征求意见稿)》第20条第3款规定了对未成年网络保护情况进行监督的独立机构。
由此可见,独立监督机构的提出是一次名副其实的创新之举,而这也给其实施带来了极大困难。目前,国内外学术文献和立法资料中关于独立监督机构的论述十分少见。尽管个保法已经早已进入实施阶段,但独立监督机构在实践中尚未真正落实,“普遍陷入停滞的局面”[3]。超大互联网平台如何判定?独立监督机构的独立性究竟如何保证?究竟由哪些人员组成?监督权限究竟包括哪些,又如何行使?如何对独立监督机构的监督权限进行限制?就内部关系来看,其与个人信息保护负责又是何种关系?就外部关系来看,其与监管部门是何种关系?这些问题自个保法出台时便一直困惑着实务界,而对此立法者并未给出确切的答复,学界也很少有研究可供参考[4-5]。基于此,全国信息安全标准化技术委员会在2022年3月向各界征集落实该条款的标准,试图通过制定标准的形式为企业如何建立独立监督机构提供指南。
本文的主要目的便在于解决上述问题,为独立监督机构在实践中的落地提供具有可操作性的方案和建议。为了达到这一目的,首先要在理论上厘定独立监督机构的法律性质。本文拟在政府监管视角下理解独立监督机构,认为其是监管链条之中至关重要之一环,并引入行政法中的元规制理论,提出独立监督机构是私人参与公共任务的新形式——元规制机构,进而运用元规制的理论研究和实践经验指导独立监督机构的运行,在此基础之上提出建立独立监督机构的可能路径。
二、 独立监督机构的法律性质
独立监督机构的法律性质是本文所要讨论的首要问题,是探讨如何规范独立监督机构的起点。近年来,对于独立监督机构这一陌生事物,学界并不清楚其法律性质,因而只能类比我国法律体系中独立董事等近似的制度。本文试图从政府监管的视角理解独立监督机构,认为其是数据保护监管链条中不可或缺的一环,在法律性质上属于行政法中的元规制机构。
(一)行政法中的元规制机构
所谓元规制,是指“外部规制者有意促使规制对象本身针对公共问题,作出内部式的、自我规制性质的回应,而不包括外部规制者的无意而为”[6]。这一定义清晰地指出了元规制与自我规制之间的区别,即尽管元规制中也蕴含着自我规制,但这种自我规制是政府有意促使私人达到的。而政府究竟在多大程度上以及以何种方式促成私人自我规制,则决定了元规制的不同表现类型。元规制充分体现了规制与传统行政法学的融合。在德国,元规制一般被称为被规制的自我规制,是在20世纪90年代兴起的行政法学变革背景下产生的,经过数十年的发展与讨论,已成为一个公认的行政法学概念。在很多近年来出版或更新的行政法学教材和论著中,元规制都作为一个重要的教义学概念被讨论(1)Schaefer,Die Umgestaltung des Verwaltungsrechts,2016,S.348 ff.Schröder,Verwaltungsrechtsdogmatik im Wandel,2007,S.200 ff.。这一概念具有很强的规制色彩,在新行政法兴起的大背景下进入行政法学教义学体系之中,生动地反映了规制与行政法学之间的密切关系。
目前,元规制被视为私人参与公共任务的新形势(2)Thoma,Regulierte Selbstregulierung im Ordnungsverwaltungsrecht,2008,S.23-26.。阿斯曼教授专门在其《作为行政法体系建构要素的被规制的自我规制》一文中指出其与行政委托和行政助手等其他私人参与公共任务的形式,以及自主行政之间的差异(3)Schmidt-Aßmann,Regulierte Selbstregulierung als Element verwaltungsrechtlicher Systembildung,VERW 2001,S.260 f.。在他看来,被规制的自我规制、行政委托和行政助手这3个概念处于一个行政与社会合作的光谱之中,光谱的两个端点分别是命令式的政府完全规制和完全不受国家影响的自我规制,但自主行政并不位于这一光谱之中。在美国,元规制也受到行政法学界的广泛关注,不少学者从传统公法角度对其进行研究(4)Black Julia,Constitutionalising Self-Regulation,59 MOD.L.REV.24 (1996).,使其日益具备教义学属性,弗里曼更是直接指出其是公共职能私人化的表现。在我国,元规制近年来在规制实践中得到广泛运用,越来越受到行政法学界的关注,不少学者更是从传统行政法学角度对其予以探讨[7]。
元规制这一形式之所以在现代社会,尤其是在如今互联网大数据时代越来越受青睐,主要是因为其与政府规制相比具备诸多优势。对于国家来说,其能够引入私人的专业能力,制定更好的规则,优化法律执行,减轻国家负担,回应全球化、国际化和价值多元化的趋势,完成宪法要求和创造工作岗位等诸多优势(5)Schaefer,Die Umgestaltung des Verwaltungsrechts,2016,S.348 ff.。对于私人来说,其能够避免政府规制可能带来的规制过度,降低企业的行政成本,并提升企业或行业的信誉度,进而促进企业自身的运行。
世界范围内,元规制一直以来被广泛运用于环境保护、产品安全、资本市场监管、网络监管和数据保护等领域之中。在欧洲数据保护领域,元规制也得到广泛运用, 数据保护官、个人信息保护、行为规则、个人信息跨境规则中的认证与BCR机制和数据保护审计均被认为是元规制在数据保护领域的表现形式(6)Stürmer,Regulierte Selbstregulierung im europäischen Datenschutzrecht,2022.。在我国,互联网产业的兴起使得网络监管成为一个核心议题,而元规制在其中发挥了重要作用。在网络安全、互联网信息管理和网络食品安全等领域,元规制至少在十几部不同层级的法律中得到集中体现[8]。而在我国大力建构的个人信息保护机制之中,元规制更是被充分运用,较为典型的代表便是《个人信息保护法》第51条的企业内部管理制度、第52条规定的个人信息保护负责人、第55条和第56条规定的风险评估机制和本文所重点探讨的第58条规定的独立监督机构。在实践中,元规制以行为机制或组织架构的形式表现,其中以机构为表现形式的元规制即是元规制机构。
元规制机构在比较法上也可找到雏形。德国在2017年出台的《网络执行法》规定了主要负责平台内容治理的私人审查机构——被规制的自我规制机构(die Einrichtung der Regulierten Selbstregulierung)。根据该部法律的规定,该机构也被称为自我控制机构,具有专业性和独立性,专门负责平台内容审查。该机构之所以被称为被规制的自我规制机构主要是因为:一方面,其本质上是私人的自我规制,具有监管上的优先性(die Aufsichtsprivilegierung)。这意味着,这一非高权的私人自我控制机构所作出的决定在一定界限内也能够拘束高权性的广播电台监管机构。如果广播电台监管机构作出的决定不同于自我控制机构,认为内容违反了《青少年媒体保护州际协议》的规定,那么该决定不能因此而优先于自我控制机构的决定(《青少年媒体保护州际协议》第20条第3款和第5款)(7)Thoma,Regulierte Selbstregulierung im Ordnungsverwaltungsrecht,2008,S.23-26.。另一方面,自我控制机构仍处于高权监管机构的监管之下。对于持续失灵的自我控制机构,监管机构可以撤销对其的认可,进而结束其监管优先性(8)同上。。
(二)作为元规制机构的独立监督机构
那么,独立监督机构何以构成元规制机构呢?
首先,从界定来看,独立监督机构完全符合元规制的定义。对于元规制这一概念,尽管学界的表述不尽一致,但关键要点均在于国家通过诱导私人发挥自主的创意和行动,共同实现公共任务的完成(9)Schmidt-Preuß,Verwaltung und Verwaltungsrecht zwischen gesellschaftlicher Selbstregulierung und staatlicher Steurung,VVDStRL 1997,S.162-165.。仔细考察第58条不难发现,其主要通过法律的形式强制要求超大互联网平台对个人信息保护情况进行监督。公共任务是指立足于公共利益,而且能够促进公共福祉实现的任务,一般来说由政府负责。这里的监督任务无疑属于公共任务,在以往主要也由政府来完成。对此,张新宝教授更是直截了当地指出,个人信息处理的治理本属于行政机关的职责[5]。因此,第58条完全符合元规制的定义。
其次,从类型来看,独立监督机构也能在元规制类型中找到对应。从国内外规制实践来看,元规制表现为很多不同的形式,对此不少学者尝试进行过总结。其中为具有代表性的是德国学者Udo Di Fabio的观点,他将元规制分为八种类型:第一,将社会力量运用到行政程序中去(程序的私人化);第二,将事实澄清责任交给申请人或者社会力量,行政机关只从事可信赖的审查或抽检;第三,自我监督,国家审查自我监督的记录或抽检;第四,基于被监督者的委托,由第三方进行监督;第五,合作式的法律的具体化;第六,取向于执行公共事项的私法人组织结构,并赋予其执行责任或确保公益的任务;第七,通过非国家组织或者部分国家组织自主执行法律;第八,在给付行政领域,补充性地执行法律(10)Fabio,Verwaltung und Verwaltungsrecht zwischen gesellschaftlicher Selbstregulierung und staatlicher Steurung,VVDStRL 56/1997,S.238-240.。除此之外,受委托人(Beauftragte)作为一种元规制形式也越来越受到重视。所谓受委托人是指,一个自然人基于其自身特殊的专业知识,在一个十分专业的任务领域进行监督活动,例如水域保护受委托人、企业受委托人、废物受委托人和排放保护受委托人。
目前,尽管我国学界尚没有根据我国规制实践进行总结,但上述分析具有很强的普适性,可以在我国运用。运用传统物理世界的理论解决网络世界的问题,在互联网法学研究中也是一个常见的方法,例如学界广泛运用公用事业理论、信托理论、行政法上的第三方义务理论、私人治理理论和民营化理论来解决平台治理的公共性问题。通过分析不难发现,第58条规定的独立监督机构可以对应于第6种类型,即取向于执行公共事项的私法人组织结构,并赋予其执行责任或确保公益的任务。这种元规制形式在德国很早便存在了,而在我国则并不多见,个人信息保护独立监督机构即是这一规制形式的尝试。个保法第52条规定的个人信息保护负责人是行政法中的受委托人,也是元规制的常见形式。因此,独立监督机构和个人信息保护负责人在性质上具有相似性,均是在企业内部负有公共功能的组织构造。根据个保法的规定,个人信息保护负责人适用于数据处理量具有一定规模的个人信息处理者,而独立监督机构则适用于具有海量数据处理量的超大型个人信息处理者。
(三)关于独立监督机构法律性质的其他观点
关于独立监督机构的法律性质,学界存在较大争议。绝大多数民法学界学者均从私法角度理解独立监督机构,认为其属于独立董事[9-10],或者由独立董事组成的专门委员会[5]。张新宝教授则是从公法角度看待独立监督机构,尽管并未明确指出独立监督机构的法律性质,但是在他看来,其“职责定位主要是对大型互联网平台企业的个人信息处理行为进行自我规制的再监督”,并认为设置独立监督机构体现了行政法上的第三方义务。元规制也被学界称为被规制的自我规制,行政法上的第三方义务被认为是行政法学界对元规制的再阐释[11]。因此,从一定程度上来说,本文倾向于支持张新宝教授的观点。
本文认为,将独立监督机构理解为独立董事的观点难以成立,不仅在法解释上违反了立法者目的,而且在法政策上起不到效果。从法解释学来说,如果独立监督机构等同于独立董事,那么立法者根本没有必要创造独立监督机构这一全新概念,该观点明显违反了立法者目的。进一步来说,独立董事是公司法上防止控制股东及管理层的内部控制,损害公司整体利益的机制,其功能主要包括提高公司决策的科学性、准确性、安全性与可行性,增强公司竞争力,预防内部控制人鲸吞公司和公司利益,强化公司内部民主机制,保护小股东和其他利益相关者[12]。比较这两者的功能不难发现,独立监督机构的功能即监督个人信息保护情况,是一种取向于公共利益的公共职能;而独立董事的功能即完善公司治理,是一种取向于私人利益的私人职能,两者的功能存在本质不同。
从法政策上来说,独立董事本身在我国一直以来被广泛诟病,在实践中表现出严重的水土不服[13]。王春晖教授甚至早在个保法草案中首次规定独立监督机构时提出警惕,应尽可能避免独立监督机构陷入独立董事那样的制度失灵境地[14]。目前,在各界的高度呼吁下,我国独立董事制度也进行了改革。2022年1月5日证监会发布了《上市公司独立董事规则》,为充分发挥独立董事在上市公司治理中的作用、促进上市公司独立董事尽责履职提供了制度依据。但改革究竟能否真正在实践中解决独立董事制度面临的问题,还有待进一步的观察。将独立监督机构这一新兴机制的未来寄托于问题重重和前景未明的独立董事制度之上,至少从目前来说并不是一个较为科学合理的选择。
三、元规制理论下独立监督机构的法律构造
(一)行政法元规制理论概述
与传统命令控制型监管相比,元规制具有很多优势,甚至是互联网时代主要的规制形式。然而,和传统规制形式一样,元规制也面临着监管效能和权利保障双重困境。一方面,元规制往往通过引入私人主体来实现公共任务,但私人主体并没有足够的利益驱动去完成,中立性和独立性也难以保证,这在很大程度上减损了监管效能。另一方面,传统公法仅解决了政府在管理活动中的公民权利保障,但在元规制形式之中,从事管理活动的是私人主体,如何在这个过程中保障公民权利成了难题。正是基于此,学界对在元规制形式中如何确保监管效能和权利保障进行了深入研究。
1.监管效能的要求
从监管效能角度来看,根据元规制学术理论和实践经验,元规制机构应符合下列法律原则的要求。
首先,效能原则。效能原则,即以最小的投入,得到最大的收获,是我国公法领域的重要原则。我国《宪法》第27条规定,一切国家机关实行精简的原则,实行工作责任制,实行工作人员的培训和考核制度,不断提高工作质量和工作效率,反对官僚主义。除此之外,《公务员法》《银行业监督管理法》和《城乡规划法》等法律也规定了效能原则。更为重要的是,2004 年国务院 《全面推进依法行政实施纲要》提出了依法行政基本原则,其中就包括高效便民。效能原则对于元规制来说至关重要,因为引入元规制本身主要就是基于行政效能的考量。具体来说,由于公共任务的不断扩张,国家资源却是有限的,此时只能引入私人力量来完成。不仅如此,对于不少领域,私人具有信息和专业优势,能够更好地完成公共任务。如果元规制的运作难以满足效能原则的要求,例如执行效率太低或者根本无法执行(这在自我规制情形下很容易发生),那么就有必要考虑对其予以撤销。
其次,辅助性原则。辅助性原则是指私人或市场可以解决的事务,由其自身承担;若不能解决,则由政府承担。如果选择元规制作为完成公共任务的方式,那么须确保的是,自我规制主体应承担主体责任,政府只有在其失败时才能介入,这便是辅助性原则的要求。具体来说,政府被禁止直接影响元规制机构成员的任命和运行规范,而由元规制机构自行决定。辅助性原则是实现效能原则的重要条件,如果政府对于自我规制的介入过强,那么元规制的优势便会丧失,进而影响效能原则的实现。
再次,合作原则。元规制本质上仍属于政府与企业之间的合作治理,要实现监管效能,有赖于政府与企业之间的密切合作,此时合作原则便成为不可或缺的法律原则。合作原则的关键在于合作主体之间应真诚协作,相互信任,共同促成公共任务之达成。如果合作主体之间貌合神离,各怀鬼胎,那么就违背了合作原则的要求,这在规制实践中并不鲜见。
最后,监管中立原则。对于政府监管来说,中立是一项核心要求,即政府应一视同仁地展开监管,不可偏私寻租。即便监管任务交给了私人,中立性的要求也不可放弃,否则私人利益就会完全凌驾于公共利益之上,私人规制便失去意义。尤其是在元规制之中,私人规制者往往具有一定的执法权限和裁量空间,若不加以规范,则会出于维护自身利益而消极执法或者选择性执法。
2.权利保护的要求
从权利保障角度,根据元规制学术理论和实践经验,元规制机构应符合下列法律原则的要求。
首先,法律确定性原则。明确性原则是对法律的一种一般性要求,也就是说,法律规范均应明确。元规制的引入意味着把主要的治理任务交给私人去完成,实际上会使得法律执行更加模糊,进而贬损了法律确定性。如果这种不确定性能够更好地解决问题,那么其是可以被接受的。但仍应尽量增强法律执行的确定性,这主要可以通过标准、公约和自治规定等软法的形式实现。政府不应通过立法的形式对自我规制的运行作出过于详尽的制度安排,否则又会违反辅助原则,使得元规制失去了其制度优势。
其次,民主原则。人民主权原则是我国宪法的基本原则,我国《宪法》第2条明文规定:中华人民共和国的一切权力属于人民。人民依照法律规定,通过各种途径和形式,管理国家事务,管理经济和文化事业,管理社会事务。国家机关作为公法主体,通过人民代表大会制度和民主集中制等机制获得其管理公共事务的民主正当性。但将公共任务交给私人去完成时,元规制机构并不具有这种民主正当性,因而有必要从其他方面入手夯实,例如由法律明文规定元规制机构权限、强化机构成员的多元化、引入民主决策机制和公众参与机制等。
再次,正当程序原则。私人在参与公共任务时,尤其是任务具有高权属性,也应受到正当程序原则的约束,这是基本权利保障的要求。“从基本权利的国家保护义务功能之中可推导出国家有责任在私人之间建构出适当的程序来避免私人保护的不足。为了建构这样的私程序法,有必要确保私人在程序中即时获取信息、公平参与和表达意见等”(11)Hoffmann-Riem,Verfahrensprivatisierung als Modernisierung,DVBl 1996,S.231ff.,“基于基本权利的保护义务,应对在私人参与和进行的私程序进行适当地规范”(12)Pietzcker,Verfahrensprivatisierung und staatliche Verfahrensverantwortung,in:HoffmannRiem/Jens-Peter Schneider (Hrsg.),Verfahrensprivatisierung im Umweltrecht,1.Aufl.1996,S.284.。具体来说,基于正当程序原则,元规制机构应履行告知、说明理由、听取和陈述申辩等基本的程序要求。
最后,基本权利保护原则。为了完成公共任务,元规制机构采取的手段可能对公民(具体来说是消费者)基本权利造成侵害,其也应遵循基本的法治原则,例如民主原则、正当程序原则和比例原则等,对此前文已经有所论述,只不过这里是从基本权利的视角进行论述。元规制这一形式本身可能侵害企业的基本权利。元规制本质上是国家将公共任务交给私人完成,为了完成公共任务,企业须投入大量的人力、物力和财力。从本质上来说,这构成了对企业的一种私人纳用(die Inpflichtnahme),对其包括营业自由、财产权和平等权等基本权利造成了限制(13)Lennart,Verfassungsrechtliche Grenzen der Indienstnahme Privater,DOV 2019,S.435.。当然,这里讨论的前提是元规制是强制性的,如果是企业自愿以元规制的形式参与公共任务,那么就难以构成对企业基本权利的限制。
(二)元规制理论下独立监督机构的法律构造
基于上述元规制的理论分析,即可推断出独立监督机构的法律构造。本文认为,独立监督机构应在组织架构、组织运行、组织程序、组织权限和权利救济等方面满足如下要求。
1.组织架构
从组织架构上来说,基于民主原则之要求,独立监督机构成员应具备一定的多元性和代表性。与此同时,基于效能原则之要求,独立监督机构成员也不宜过于冗杂,且须设置创设机构维持正常运转。具体来说,组成人员上应有政府代表、企业代表、社会公众代表和消费者代表。更为重要的是,独立监督机构在运作时对专业知识有较高的要求,因此有必要引入专家代表,主要包括精通个人信息保护和数据安全领域的法律专家、管理专家、技术专家和审计专家等。基于中立性要求,独立监督机构应尽可能与平台企业之间保持一定独立性,具体来说可以从职权独立性、经济独立性和人员独立性这3个方面入手。首先,职权独立性是指独立监督机构的决策应独立于平台企业和政府。独立监督机构如何行使职权应由其内部规章详细规定,其在决策时严格按照规章通过民主和科学的机制进行,平台企业和政府一般情况下均不得干预。其次,经济独立性是指独立监督机构在财务上应独立于平台企业,进而杜绝规制俘获的可能性。经济独立性是独立监督机构独立性的关键组成部分。如果独立监督机构的资金都直接来自平台企业,那么成员很容易形成为平台企业服务的心理,进而在决策时偏袒平台企业(14)Kate Klonick,The Facebook Oversight Board:Creating an Independent Institution to Adjudicate Online Free Expression,129 YALE L.J.2418 (2020).。最后,人员独立性是指独立监督机构的组成人员不能由平台企业指派,也不能由平台企业员工担任,而应从外部选派。第一,独立监督机构成员除了接受一定的报酬之外,不应从企业获得任何额外的收入,要接受严格的审计;第二,独立监督机构成员在任职期间不应与平台企业存在利益关系或利益冲突,例如若律师担任独立监督机构成员,则其所在律所不能与平台企业存在任何业务往来;第三,为了避免成员与平台企业之间形成过于密切的关系,可以采取轮岗制度;第四,政府可从高校、科研机构、企业和律师事务所等选择专业人士并建立独立监督机构专家库,在专业能力、道德品质等方面严格设置专家型成员门槛,平台企业随机从专家库中选择机构成员。
2.组织运行
从组织运行上来说,基于法治原则、民主原则和效能原则等法律原则之要求,独立监督机构应建立依法决策、科学决策和民主决策机制。依法决策、科学决策和民主决策是行政机关作出行政决策必须遵循的基本原则,而元规制机构被授权履行公共职能,同样应遵循这三项要求。具体到第58条的独立监督机构,其尽管表面看起来仅是一个监督机构,但事实上拥有很大的决策权限。除了要进行个人信息保护合规情况的形式合法性审查外,独立监督机构还须开展考察科技伦理状况的实质合理性审查。在具体决策时,独立监督机构面临着个人信息权益、表达自由、数据流通、企业财产权、营业自由和平等权等价值之间的综合权衡与判断,对公民和法人的基本权利与自由有极大的影响。建立依法决策、科学决策和民主决策机制对于独立监督机构来说至关重要。就依法决策来说,独立监督机构应严格按照法律决策,依法履行法定程序,遵守法定权限,保证决策内容符合法律的规定。因而法律专家在独立监督机构中应发挥重要作用。就科学决策来说,独立监督机构应秉持科学理性决策,决策前应广泛深入开展调查研究、全面准确掌握有关信息,组织公正、科学和客观的专家论证,强化专家在决策过程中的地位。就民主决策机制来说,不仅要建立独立监督机构成员的民主决策机制,还应让公民参与到决策之中,例如在独立监督机构中引入公民代表,作出重大决定时公开听证征求公众意见(15)Sari Mazzurco,Democratizing Platform Privacy,31 FORDHAM INTELL.PROP.MEDIA &ENT.L.J.792 (2021).。除此之外,独立监督机构组织运行应严格遵循公开透明原则。具体来说,独立监督机构的运行机制应通过自治规范的形式明文规定,对用户、商户甚至社会公众等利益相关者公布。
3.组织程序
从组织程序上来说,独立监督机构在执法时应遵循正当程序原则的要求。近年来,随着互联网平台进行公共执法的现象越来越多,国外不少法律文件开始明文规定了平台执法的程序要求。比较有代表性的有《马尼拉原则》、欧盟《关于网络中介的角色与责任的建议》(网上查询为《关于网络中介责任的建议》)和欧盟《线上、线下言论自由人权指南》。但这些法律文件均属于国际法,在性质上属于软法,在实践中并未得到足够的重视。目前,除了德国《网络执行法》外,很少有国内法对平台提出正当程序的要求。在我国,目前,没有任何一部法律对平台提出正当程序的要求。与此同时,很少有平台自治规范规定用户的程序性权利。甚至,不少平台试图排除用户的程序性权利。例如在微信平台中,《腾讯微信软件许可及服务协议》第8.5条第1款规定:如果腾讯发现或收到他人举报或投诉用户违反本协议约定的,腾讯有权不经通知随时对相关内容进行删除、屏蔽,并视行为情节对违规帐号处以包括但不限于警告、限制或禁止使用部分或全部功能、帐号封禁直至注销的处罚,并公告处理结果。这一规定不仅没有赋予用户程序权利,而且还刻意否定用户程序权利。又如在知乎平台中,《知乎社区管理规定》第3条规定:多数情况下社区中的其他用户会优先选择对不当行为做出劝诫、建议和引导,知乎团队也会先发出警告并给予违规用户改正自己不当行为的机会,但不表示知乎团队在采取任何措施前必须首先发出警告。这一规定意味着尽管平台在绝大多数情况下会通知用户,但并不意味着这是用户的权利,因而在一定程度上也是否定了用户的程序性权利。今后在独立监督机构的自治规范之中应规定正当程序条款,规定告知、说明理由、听取和陈述申辩等基本程序,独立监督机构在行使职权时应严格遵循上述正当程序原则的要求。尤其是在独立监督机构对平台内商户进行监督时,应严格遵守正当程序原则,保障商户营业自由。
4.组织权限
从组织权限上来说,独立监督机构为了实现监督个人信息处理活动的目标,应具有足够的权限。基于辅助性原则的要求,独立监督机构应被赋予足够的权限来展开监督活动,政府则仅承担一个补充性的责任,在独立监督机构彻底失灵时可以将其撤销。但在一般情况下,政府应尊重独立监督机构作出的决定,这就是德国法上所谓的监管优先性原则。正基于此,独立监督机构的监督权限不仅包括建议式监督,还应包括命令式监督,即拥有一定的执法权限。否则,独立监督机构很容易沦为摆设。当然,这并不意味着政府完全退出,其有保障责任和兜底责任,在尽可能保持独立监督机构自治的同时,应确保自我规制有效运转,并在自我规制失败时及时采取挽救措施。具体来说,独立监督机构的自治规范不仅要征求社会公众的意见,还应通过政府的审查备案。政府在一般情况下尊重独立监督机构的自治,通过审核自治规范的形式进行监督,只有在独立监督机构出现运行失败的情况下才进行干预。同样是基于辅助性原则,如果平台企业内部存在其他监督机制,则其同样优先于独立监督机构监督。例如平台企业的个人信息保护负责人同样具有一定的监督职能,此时其相较于独立监督机构就具有一定的监管优先性。
5.权利保障
基于基本权利保护原则,独立监督机构在行使监督职权时,应注重保护被监督对象的基本权利,遵守比例原则,平衡各方主体的基本权利。在行使职能时,独立监督机构须在用户、商户和自身的表达自由、营业自由、企业财产权、个人信息权利和数据流通价值等多项基础价值之间进行权衡。尤其是在对平台内商户进行监督时,应注重其营业自由和财产权的保障。更为重要的是,法律强制要求平台企业成立独立监督机构也构成了对企业财产权、营业自由和平等权的限制,此时也应受到一定的法律限制。例如,独立监督机构的设置也要考虑企业成本,不可要求平台企业投入过量成本建设独立监督机构,独立监督机构规模应与平台企业的垄断地位、营业收入和利润等因素匹配。再如,对建立独立监督机构的标准应尽可能科学合理,遵循同等情况同等对待的平等原则,否则便会侵害平台企业的平等权和公平竞争权。在美国,脸书监督委员会和谷歌咨询委员会均是企业自愿成立(16)Kate Klonick,The Facebook Oversight Board:Creating an Independent Institution to Adjudicate Online Free Expression,129 YALE L.J.2418 (2020).,不少德国元规制机构也是企业自愿设置。但值得注意的是,在域外规制实践中经常出现的情况是,政府通过奖罚机制诱导企业自我规制,此时如果这种诱导从实质上构成了压迫或强制,那么其构成了事实上的基本权利侵犯(17)Thoma,Regulierte Selbstregulierung im Ordnungsverwaltungsrecht,2008,S.23-26.。
四、独立监督机构机制的实施路径
独立监督机构究竟在现实中如何落实是摆在超大互联网平台面前的首要难题。超大互联网平台如何判定?独立监督机构的独立性如何保障?其监督权限究竟包括哪些?从外部关系来说,其与行政机关是何种关系?从内部关系来说,其与个人信息保护负责人又是何种关系?本文基于上述元规制理论展开的分析对这些问题展开探讨。
(一)超大互联网平台的认定
第58条所规定的个人信息保护义务并非是针对所有个人信息处理者,而是“提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”,即所谓的超大互联网平台。那么究竟哪些平台企业构成这里的超大互联网平台呢?判断标准究竟是什么?前文已经论及,超大互联网平台的认定至关重要,因为其关涉平台企业的营业自由、平等权和公平竞争权。只有认定标准和认定工作科学、合理和精细,才能确保平台企业基本权利不被侵害。如果认定标准不尽合理,会直接损害平台企业的平等权和公平竞争权。根据第58条的规定,超大型平台的认定主要包括两个标准,一是提供重要互联网平台服务,二是用户数量巨大和业务类型复杂。这里所谓的超大互联网平台实际上就是学理上的守门人,其处于互联网生态处理个人信息的关键环节,管控众多的移动APP接入互联网进行个人信息收集及后续处理的必要通道、空间和提供必要的技术资源[2]。提供基础性互联网平台服务是超大互联网平台的实质,而用户数量巨大和业务类型复杂只不过是其附带特征。
因此,在认定超大互联网平台时,应以实质标准为主,形式标准为辅,牢牢把握守门人的核心特征,即控制处理个人信息的通道。正是由于其具有守门人地位,超大互联网平台往往被赋予一定的公共职能权限、拥有一定的垄断地位、对消费者和商户具有不对等的平台权力,这些都是重要的表征。至于用户数量巨大和业务类型复杂等形式标准主要是为实质标准认定提供参考指南,并不具有决定意义。因此,超大型互联网平台的认定是一项具有较强专业性的工作,加上对平台企业基本权利也有较大影响,有必要采取严格的依民主决策和科学决策程序。具体来说,可以考虑采取公开听证、专家论证和公众参与的形式。与此同时,还应不断细化认定标准,充分参考我国《互联网平台落实主体责任指南(征求意见稿)》《互联网平台分类分级指南(征求意见稿)》《国家网络安全检查操作指南》和《信息安全技术个人信息安全规范》中对需要设置个人信息保护专职人员和工作机构的平台进行的量化规定,同时借鉴欧盟《数字服务法》提出的标准,为实质认定提供指引。目前全国信息安全标准化技术委员会正在起草的《信息安全技术 大型互联网企业内设个人信息保护监督机构要求》可对这一问题作出详细规定。
(二)机构独立性的保障
前文已论述,为了实现监管效能,满足效能原则、中立原则的要求,必须保证独立监督机构的独立运作。如果独立监督机构不独立,那么元规制的优势根本无从发挥。而独立监督机构的独立性是我国各界对该机制的最大担忧。在个人信息保护法立法过程中,就有学者担忧可能会出现既不独立也不监督的情形[14],不少人为此对该制度持悲观态度,认为独立监督机构很难保持独立,在我国很可能像独立董事制度那样无法发挥预期的功能。前文已指出,独立监督机构独立性的关键在于职权独立性、经济独立性和人员独立性。若将独立监督机构设置于平台企业内部,则其在职权、经济和人员上无法真正做到独立。对于独立监督机构的设置问题,目前存在3种方案:一是设置在平台企业内部,与企业的日常管理部门隔离,作为企业内部的个人信息保护监督机构;二是设置在平台企业外部,作为社会化的个人信息保护监督机构;三是作为国家监督机构。本文认为,第三种观点完全违反了第58条的文义,且不符合其立法目的,可以首先排除。而第一种方案和第二种方案中,第一种方案更符合第58条文义,第二种方案在文义射程范围内。
对于第一种方案,独立监督机构仅能通过前述的种种机制实现相对独立。本文认为,第二种方案也可以考虑和行业协会监管结合,在行业协会中设置独立监督机构,由行业协会来主导独立监督机构运作,这在德国已有较为成熟的实践。在德国,被规制的自我规制机构在实践中是一个名为“自愿性自我监控多媒体服务提供商”(Die Freiwillige Selbstkontrolle Multimedia-Diensteanbieter,简称FSM)的行业协会。其自2004年起基于《青少年媒体保护州际协议》的授权开始对网络媒体中伤害青少年的内容进行监督。为此,FSM设有一个投诉办公室,任何人都可以举报对年轻人有害的在线内容。与此同时,为了实现经济独立性,平台企业可在行业协会中设置专项基金,由该基金维持独立监督机构的日常运转。由于目前独立监督机构机制如何实施法律尚未明确,可以考虑通过试点的方式尝试上述两种方案,允许企业在目前的法律框架之内采取不同的尝试方案。
(三)独立监督机构的监督权限
根据第58条的规定,独立监督机构的主要职责是监督个人信息处理活动。那么,究竟什么是监督个人信息处理活动呢?这也有待进一步明确。
从监督权限事项上来说,独立监督机构监督职责不仅包括对其自身个人信息处理活动的监督,还包括对其提供通道服务对象的个人信息处理活动的监督。根据第58条第2款的表述,超大型平台有权力对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者停止提供服务。本文认为,该权力也应该交给独立监督机构来行使。处理平台内产品这一职权也具有高度的公权性,应由具有一定独立性和中立性的独立监督机构来行使。正是由于独立监督机构被赋予了高权性的权限,其必须受到公法的约束。例如,其监督手段必须具有一定的梯度,除了采取下架、停止提供服务等措施之外,还应有警告、整改意见等程度较轻的措施,严格遵循比例原则的要求,在进行监督时还应遵循正当程序原则,对此独立监督机构规章都应具体规定。
从监督权限内容上来说,独立监督机构的监督权限不应仅拥有建议权,还应同时包括决策权,否则其很可能沦为虚设。为了使独立监督机构能获取决策权限,必须将其融入公司治理体系。许可教授提出了一个切实可行的建议,即独立监督机构由独立董事构成的个人信息保护专门委员会和个人信息保护专家委员会组成,而前者下设于公司董事会,能够直接参与公司决策。如此,个人信息保护专家委员可以将外部专家的意见反馈至内部决策机构,再促进该意见得到有效落实。除了决策权之外,独立监督机构还应有争议解决权限。基于基本权利保护原则,平台企业应建立内部争议解决机制。尤其是在平台企业下架平台内产品或服务和用户向平台企业申请个人信息权利被拒绝这两种场景下,应允许商户或用户向平台企业申诉主张自身权利。争议解决权限也具有较强的公共职能属性,因而也宜由独立监督机构承担。
独立监督机构对于优化平台治理生态来说还具有巨大的潜力,应用范围可扩大到信息内容管理、信用治理、交易监管、科技伦理审查和劳动者保护等诸多平台监管领域。近年来,该趋势已经出现。2022年3月14日国家互联网信息办公室发布的《未成年人网络保护条例(征求意见稿)》第20条第3款规定了对未成年网络保护情况进行监督的独立机构。尽管国家尚未出台法律要求独立监督机构承担上述职责,但平台企业可以考虑尝试,由独立监督机构承担信息内容管理、信用治理、交易监管、科技伦理、未成年人保护和劳动者保护等事项的监督工作。除此之外,随着数字技术的不断发展,法律无法及时跟进监管需求,此时企业内部的科技伦理审查能够发挥关键作用[15]。
(四)与行政机关之间的关系
元规制机构和行政机关之间的关系如何处理,是国外规制实践中出现的一个难题。在德国,元规制机构拥有监管上的优先性,政府必须承认其作出决定的效力。政府只有在元规制机构存在系统性的功能失灵时才能撤销该机构,且没有在个案中否定元规制机构决定效力的权力。在美国,脸书监督委员会和政府的关系如何处理也成为一个难题。Kate Klonick认为,解决这一问题有3种方案:一是政府直接无视监督委员会;二是政府承认监督委员会的决定具有优先效力;三是政府让监督委员会直接解决法院受理的案件(18)Kate Klonick,The Facebook Oversight Board:Creating an Independent Institution to Adjudicate Online Free Expression,129 YALE L.J.2418 (2020).。就目前来说,法院不太可能承认其决定具有优先效力,而是认为其具有说服力,类似于法院对私人替代性争议解决方案的承认。
本文认为,我国应承认独立监督机构在监管上的优先性。一般情况下,行政机关要尊重独立监督机构的决定,因为这种元规制形式是法律强制规定的,独立监督机构监督个人信息保护情况的职权得到了法律的授权,应被行政机关尊重。只有在独立监督机构存在违法或不作为时,行政机关才能介入。整体来说,行政机关发挥的作用是对自我规制的再监管,首先应尊重平台企业的自我规制,而这种再监管主要应通过参与独立监督机构的决策、与独立监督机构保持合作、审查独立监督机构自治规范等形式来实现。对此,张新宝教授也指出,尽管大型互联网平台企业设置的个人信息保护独立监督机构属于企业的内部机构,但是其引入了外部成员而且担负着法律规定的特殊职责,因此其设立、运行等应受到国家个人信息保护部门的指导和监督[5]。在独立监督机构出现系统性失灵时,行政机关可以直接撤销其独立监督机构的资质。
(五)与个人信息保护负责人之间的关系
根据《个人信息保护法》第52条的规定,处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。第58条规定的超大互联网平台肯定达到上述要求,因而必须指定个人信息保护负责人。然而,个人信息保护负责人和独立监督机构均具有监督个人信息保护情况的职能。正基于此,个人信息保护负责人和独立监督机构的职能存在重叠[16]。
前文已经指出,个人信息保护负责人和独立监督机构实际上都是元规制,只不过前者属于以个体为表现形式的被委托人,后者属于以组织为表现形式的元规制机构,两者在功能上并不存在严格意义上的区分。如果是在中小企业,那么是由个人信息保护负责人全权负责监督个人信息保护情况;而在超大互联网平台企业,监督个人信息保护情况的工作具有较强的公共职能属性,同时工作量和复杂程度也更高,个人信息负责人已无法满足监督需求,因而有必要和独立监督机构共同完成。基于辅助性原则,平台企业个人信息保护监督的日常工作应交给个人信息保护负责人来完成。个人信息保护负责人作为企业员工比独立监督机构更加了解业务经营状况和个人信息保护情况,还可以作为独立监督机构中的企业代表组织独立监督机构的设置和运作工作,以及向独立监督机构提供履行监督职权所需要的信息。
五、研究结论与展望
从《个人信息保护法》条文来看,第58条规定的独立监督机构可以说是此次立法中的最大创新之一,其他机制基本可以从国外立法中找到雏形。但这一创新并非无源之水无本之木,而是立足于我国平台主体责任理念的正确确立,产生于近期对互联网平台加强经济监管的大背景之下。近年来,域外平台治理之中私人治理机构的大量产生也为其提供了一定的域外经验,但这些机构基本不负责个人信息保护。而唯一和个人信息保护相关的谷歌咨询委员会,其权限也仅局限于被遗忘权执行。因此,独立监督机构是世界范围内首次在个人信息保护领域作为元规制表现形式的私人治理机构,如果成功运转,能够为其他国家提供个人信息保护的中国经验。
该制度对于优化平台治理生态来说还具有巨大的潜力,应用范围可扩大到信息管理、信用治理、交易监管乃至劳动者保护等诸多平台监管领域。未来可以考虑进一步拓展其功能,建立全面负责平台治理的独立监督机构。目前,该趋势已经出现,《未成年人网络保护条例(征求意见稿)》第20条第3款规定了对未成年网络保护情况进行监督的独立机构。因此,第58条所规定的独立监督机构,也可以视为一种法律试验,是通过私人治理机构进行平台治理的先行制度。可以想象的是,这一制度在我国的运转面临诸多挑战,只有不断试错才能走向完善,进而拓展其功能。基于此,第58条的规定也不宜过于精细,应保证足够的试错空间。