摘 要：公私合作治理模式作为一种前瞻性和创新性的治理方式，是国家治理从消极义务向积极义务的螺旋式升级的体现，特别是在智能社会治理中尤为体现其治理优势。文章以智能社会治理中较为突出的个人信息保护领域为重点讨论公私合作共治的法律问题。公私合作治理以行政委托、协商制定行政规则以及公私合作规制的方式促进公权力和私权力的深度合作，符合个人信息保护的效益原则。然而，在明确引入合作治理机制后，有必要厘清可能存在的法律风险，防止造成行政法向私法逃遁、引发私权力的滥用及腐败、隐私政策的效力不清以及对第三方机构的监管不完善等问题。对于公私合作治理模式下的个人信息保护，还应关注私权力集中的平台责任以及国家担保责任的机制嬗变，为公私合作治理模式在个人信息保护上发挥作用扫清障碍。

关键词：个人信息；公私合作共治；法律风险

中图分类号：D 913 文献标志码：A 文章编号：2096-9783（2024）05⁃0046⁃10

一、问题的提出

无论是公共机构处理个人信息形成的“公权力”，还是私营机构处理个人信息形成的“私权力[1]”，大数据本身具备一种天然的“强权”，并带有强烈的集中“控制力”。这种集中控制力必然决定大数据语境下的个人信息的治理要有整体的、积极的治理思维和治理模式，这也必然会让行政法从防止政府过度干预私权的“不作为”走向主动保证大数据社会安定的“积极作为”，从“干涉行政”向“给付行政”转变，从单一公权力治理走向多元化治理。正如有学者指出的那样，行政法进入一种应对新问题所作出的回应型行政法学的阶段。

回应型行政法学代表了行政转型，从特征上分析，其呈现与诸多领域的结合，更凸显与公私法的混合，兼容软硬法，是社会化与综合化的体现[2]。回应型行政法学，就是要对技术进步带来的社会变化作出积极反应，而不是任由社会自行调整，由此，首先在发达国家开始讨论因应新的社会变革而带来的行政法的调整，也被称为“新行政法”。新行政法与建立在公私分立、公私对立的传统公共行政有着理论上的不同，这也是导致行政法任务出现变化的根本原因，引发实施路径的变更。在传统的“权力—服务模式”向“协商—合作模式”的演变过程中，传统权限发生转变，控权模式行政法不再占据主导地位，而将实现治理目标作为根本，强化对公权力与私权利的规范，构建“新行政法”[2]。新行政法的一个特点，即引入了合作治理的理念，强调多元共治，除政府外，企业、民间社团、社会组织等都可以参与社会公共事务的管理，在政府的监管方法和技术转向市场时，私人行为者被广泛用于履行政府职能。因此，探讨公私合作治理模式在个人信息保护上的应用在当前智能社会治理背景下尤为重要。

二、公私合作治理模式的理念主张与规范内涵

公私合作治理模式，作为一种创新的治理结构，旨在将公权力与私权力的优势相结合，以探索公共服务治理的新途径。这种模式的核心目标是满足个体对合法权益保护的迫切需求，并推动行政治理能力的提升。在这一模式下，公共部门与私营部门携手合作，共同应对治理挑战，实现资源的优化配置和治理效率的最大化。通过这种合作，可以充分发挥私营部门的灵活性和创新能力，同时借助公共部门的权威性和规范性，形成一种互补和协同的治理机制。

（一）公私合作治理模式的理念主张

传统的公共行政和行政法建立在公私分立、公私对立的基础上，政府行使公共职权以及提供“公共物品”（包括教育、医疗、邮政、水电气等），严格依法行政，不得与私人机构单方接触、讨价还价，更不能委托私人机构代为行使公共职权。但是社会的发展、高科技的进步以及国家意志力下的大工业发展目标使得传统公共行政和行政法开始发生变化，特别是社会城市化使居民对社会公共设施和生活环境产生了严重的依赖，这导致行政任务不断拓展，国家须以更及时有效的决策速度应对各种风险，而由资本、新型经济理念和运营模式、人工智能织成的全球性网络更是对国家任务提出了新的挑战。政府职能僵化、公共物品垄断、管制效率下降、技术手段和资金不足等与日益增长的私营企业和人民对公共物品的需求以及其自主治理能力快速提升形成严重冲突。

大数据时代要求政府有更迅速的决策反应机制，摒弃僵化教条的“被动行政”，于是现代西方国家开始提出行政法改革的目标[3]，即从“传统的权力—服从模式的行政管理（government）逐渐演变为协商—合作模式的公共治理（governance），传统的限权、控权模式行政法逐步演变为实现治理目标为导向的同时规范公权力和私权力模式的‘新行政法’”[3]。这意味着，公权力与私权力之间的交互融合实现了新合作模式的突破，尤其体现在不同国家之间的行政法改革之中。

合作治理就是在这样的背景下产生的。合作治理不再强调“公”“私”分明，而是强调“公”“私”合作，公中有私，私中有公。我国在公私合作治理方面已经有许多实践，在电力电信、食品安全、学前教育、养老保险、治安协管机制等方面，都有许多私主体承担着原来由政府或公共机构负责的事务。在政府数据开放中更体现出合作治理的趋势。在社会信用体系建设中，政府将法院、金融、社保、交通等诸多方面的数据共享出来，建立每个人的信用数据库。在智慧城市的建设中，将公私机构的数据共享进行智能分析，提供可靠、精准的城市化服务。在环境和公共健康领域也有合作治理的巨大空间。在上述这些领域中出现的国家、社会与私人之间的合作得到了社会的认同，也开始根据各自的特性从法律层面确立这类私行为的效力机制[4]。而个人信息保护作为数字化时代下涉及公权力与私权力相互交融的领域，将合作治理理念融贯进个人信息保护之中是顺应新时代公私合作治理的必然之举，同时也有助于更好地保障个人信息主体的合法权益，以及促进公共政策目标的实现。

（二）公私合作治理模式的规范内涵

合作治理是国家积极治理的螺旋式升级，是国家从消极义务[5]向积极义务转变的体现。从“警察国家”到“法治国家”再到“合作国家”[6]，国家的义务从积极的“强权”到消极的防止强权再到积极的制度给付，是一个从积极到消极再到积极的过程，是国家治理理念的螺旋式升级。合作国家的积极治理不同于警察国家的积极治理，其不仅要对公共机构和私营机构愈来愈膨胀的权力进行有效监督，也要对合作治理中的私营主体的责任进行担保与监管，使国家成为帮助和促进社会秩序以及人民幸福的积极力量。积极义务除了保护义务外，更多的是国家的制度给付义务。给付义务强调国家以积极态度投入公民服务中，为其提供利益的义务。这种给付更多地体现为法律程序，也可以是具体的服务行为[6]。

欧盟自1995年开始的数据保护指令直到2018年的《一般数据保护条例》（GDPR）的实施，反映的都是一种积极的治理理念。美国尽管是判例法国家，近年来也出台了大量互联网治理的法律和政策。特别是在对未成年人个人信息保护方面，明显体现出国家的积极治理理念。早在1998年，美国即通过了《儿童在线隐私保护法》，目的是防止儿童信息遭受商业网站侵害。之后，联邦贸易委员会又发布了该法的实施细则。该法对在线收集13岁以下儿童个人信息的行为给予严格的规定。要求互联网服务商必须设立专门的机制以向儿童家长验证索求同意收集未成年人的信息（actual notice），需要重视对儿童在线隐私的保护，保证信息安全性。在我国，《儿童个人信息网络保护规定》2019年通过，其主要对网络运营者行为进行约束，一旦涉及儿童个人信息，需要对行为进行告知，达到监护人的允许之后才可以使用。这些都属于对特定群体公共治理的积极行政。

在治理网络犯罪问题上，也呈现着积极治理的态势，我国《刑法修正案（九）》设立的“侵犯个人信息罪”即考虑到互联网犯罪的特点和危害性，提供积极治理的制度供给。在我国2015年的《法治政府建设实施纲要（2015—2020年）》中提出，需要重视提供公共服务，实现提供主体和提供方式多元化……实行政府和社会资本合作模式1。2019年发布的《关于开展 APP 违法违规收集使用个人信息专项治理的公告》《APP违法违规收集使用个人信息行为认定方法》《互联网个人信息安全保护指南》《儿童个人信息网络保护规定》等法规、政策中都涉及政府与民间合作治理个人信息保护的条款，可以看出公私合作模式将成为今后我国政府在互联网治理方面提供给付行政的主要方式。

三、合作治理在个人信息保护中的表现形式

学术界对公私合作治理的概念还处在讨论之中，“作为一个集合概念，其内涵和外延都具有模糊性”[7]，很难给出精准定义，但学术界也达成了基本共识：“公私合作”是一种关系，“治理”是一种公共行政改革的理论，本身就包含了公部门和私部门的合作内涵。合作治理模式与个人信息保护紧密契合，这集中体现在行政委托、协商制定行政规则以及公私合作规制之中。

（一）行政委托

合作治理中的行政委托“是指行政机关委托行政机关系统以外的私权利组织行使某种行政职能，办理某种行政事务”[8]，它是在“保留行政任务权限和行政任务责任的前提下，将行政任务的实际履行部分借助私人力量以达到完成目的”[7]。行政委托通常以行政合同的形式来实现。与法律法规授权不同，行政委托合同中的受托方（私主体）是以委托方（行政机关）的名义行使行政权，并由委托方对受托方的行为负责[8]。其后的法律责任也不由受托方承担而由委托方承担。在这类行政委托中涉及私主体代行政机关行使公权力，所以这类行政委托对受托方的要求比较严格。

而另一类仅涉及公共服务业务的行政委托就不存在公权力的行使，利用私主体的专业知识、技术实力和资金向社会提供公共服务，这种委托行政一般通过委托外包、公办民营的方式实现，而这种合作中，私主体是以自己的名义独立提供公共服务，所做出的行为后果完全由私主体自行承担。业务委托是典型的行政委托体现形式。在个人信息保护上，业务委托也是最被广泛应用的合作治理模式。对关键基础设施评估、重要数据跨境传输评估、企业个人信息政策合规认证等都有可能由行政机关委托给第三方机构办理，为行政机关分流一部分行政事务。引入智能技术进行合作监管更是个人信息合作治理的优势之处。通过人工智能技术对交通、治安进行有效管理。比如，交通管理部门委托第三方机构开发的“智能行人过街系统”，通过自动抓拍、人脸识别、数据采集等技术监控行人闯红灯行为；政府通过区块链技术进行版权溯源和打击盗版，准确定位权利人和侵权人的个人信息。面对这些大量收集、存贮的个人信息，政府相关部门没有能力进行技术维护和数据保存，多是通过购买第三方服务或是托管的方式来协助行政机关的公共服务。

（二）协商制定行政规则

行政规则是绝对的公权领域，应该有绝对代表公共利益的行政机关来制定。但是在一些专业性较强的领域，政府部门缺少专业人员做出专业判断，进而进行合理的法律规制。由此引出像环境监测这类领域中的听证会制度，由公众、专家或者专业的私营机构代表共同参与制度建设，让行政相对人参与到从规则制度构建到实施的整个过程。

协商制定行政规则也被称为协商立法，曾经遭到持有传统行政法理论人士的强烈批判：与利害关系人就规则进行协商是对传统国家治理模式的诅咒[3]。这可能诱使行政机关放弃职责、利益集团讨价还价，最终公共利益受损。但是支持者也有充分的理由，协商行政立法并未取消对行政机关职责的外部制约，即对行政机关规则制定的司法审查从未取消。至于利害关系人在立法中夹以私利，尚有相对的利害关系人加以制约以及公开透明的听证会制度和协商立法过程予以保证。《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）在制定过程中就有私人主体的广泛参与，有代表性的互联网公司都提供过立法建议，属于协商立法的产物[9]。协商制定行政规则也体现在执法过程中的协商执法，美国FTC的行政和解制度就是在执法过程中通过与私人机构协商解决个人信息侵害问题，反过来这些和解协议也成为FTC的“判例法”规则，被称为FTC隐私法学。我国在《个人信息保护法》第六十五条中规定：“任何组织、个人有权对违法个人信息处理活动向履行个人信息保护职责的部门进行投诉、举报。”这也说明公众参与在个人信息保护中的重要作用。

（三）公私合作规制

规制是指政府为了达到或维持所希望的社会状态而对国民行动给予一定的制约。公私合作规制是国家将部分社会管制任务分配给私人或委托第三方履行，以减轻政府规制任务的负担。公私合作规制中的自我规制是最典型的合作规制做法。自我规制包括社会自我规制（如行业协会自律公约）和私人自我规制（如私人政策、宣言、协议等），在一定意义上达到了与政府共同分担社会规制任务的效果。较好的自我规制如能被公众所认可，甚至可以转化为国家的正式立法[10]，比如我国互联网协会早期的互联网企业自律公约后来都体现在行政法规或国家标准之中，2014年，我国50多家互联网公司联合签署《北京市移动互联网应用程序公众信息服务自律公约》和《维护APP信息服务秩序、发挥APP积极社会作用承诺书》，公约成员承诺保护个人信息。首都互联网协会将履行合作治理中私人主体的规制作用，“定期对公约成员进行评议，对违约者作出警告、行业谴责、列入黑名单、媒体曝光直至行业禁入处理”。2018年，中国互联网协会发布《网络数据和用户个人信息收集、使用自律公约》，23家电信和互联网企业签署了公约，就个人信息收集、使用行为进行了承诺2。这些行业协会自律公约属于社会自我规制的形式。个人信息保护中的企业隐私政策是典型的自我规制的形式，私营机构通过私法协议的形式将自己的隐私保护承诺公之于众，接受全社会的监督，而执法机关也是根据私营机构的隐私政策来进行法律合规。对于涉及互联网的大量纠纷，政府也在构建互联网平台多元纠纷调解机制，形成了社会治理的多元机制。

大数据时代的个人信息保护单靠政府的公权力进行保护和规制显然已经受到许多掣肘：一是数据处理规模之大之广，政府不可能及时监控每一环节；二是政府也不可能配备各种专业领域的公务人员对技术性很强的领域进行监管（比如金融、医疗领域），引入“合作治理”后，国家转为对大数据应用秩序和公民个人信息利用的社会和个人共同受益的担保角色更符合效益原则。

四、个人信息保护引入合作治理机制的风险厘清

《个人信息保护法》第十一条提出了“国家建立健全个人信息保护制度，预防和惩治侵害个人信息权益的行为，加强个人信息保护宣传教育，推动形成政府、企业、相关行业组织、社会公众共同参与个人信息保护的良好环境”。合作治理能够实现对民间活力的激发，强化行政效率的提升，降低行政成本。但也应考虑其不足的一面 [11]，以确保合作治理机制的有效运转。

（一）可能导致行政法向私法逃遁

合作治理的提出本身就是在“政府失灵”的情况下产生的，在私人主体承担一部分行政任务之后，行政机关并不是将全部的公权力都移交给私人机构，行政机关还要承担相应的监管责任，保证私人机构能够有效地履行提供公共产品的职责。但是，由于行政机构本身履职能力的限制，在引入私人参与行政任务之后“可能会导致行政法向私法逃遁，行政机关推诿责任现象”[7]，进而使得公共服务的履行无法实现最佳效果。

由于私人机构天然的逐利性和公共责任的淡漠，在与行政机构共享公权力的时候，更容易只要权力不要责任，甚至在发生行政任务不能履行时指责行政机构的管理缺陷，推卸自身责任，政府部门也容易以私人机构是行政任务的实际履行人而推诿、转嫁行政责任，特别是以委托行政发生的合作治理中，行政机构要求私人机构解除行政合同，承担违约责任，而对于本来属于行政相对人的利益则要求私人机构承担侵权或违约责任，完全转向了司法规则。这种情况，既不利于调动私人机构参与合作治理的积极性，也不利于公众权利的维护。为防止这种行政责任私法化倾向，必须在行政委托时就划分好行政机关和私人机构的责任，行政机关不能放弃公共服务最终供应者的社会责任，私营机构也要承担起私权力行使中的公共利益保障，将公共权益的保障列入合作治理实施的全过程。

（二）容易引发私权力的滥用及腐败

私人机构在获得与行政机关共享裁量权后，有可能使得在原来就具有强势的市场势力基础上更具有了控制力和垄断能力，私营机构可能通过获得的行政委托权力加剧其市场支配地位。同时，私营机构的权力寻租对公共权益的损害也会加剧。如引发私人主体的垄断行为、官商勾结、产品与服务质量降低、权钱交易等[12]问题更为突出。2018年曝光的美国脸书公司与英国剑桥公司在利用大数据干扰美国大选事件中，脸书公司就有与政府有关部门相互勾结、干预总统大选的嫌疑。有控制力的私人主体甚至可以超越国家的边界，成为世界规则的主导者。2019年，美国脸书公司发布了Libra数字货币白皮书3，其中表明：“Libra 的目标是构建金融基础设施，以简单与无国界为原则，能够为数十亿人服务。”之所以脸书公司具有构建全球货币的雄心，主要原因在于其庞大的用户群体所赋予的垄断地位，这种垄断地位足以让其任何想做的事情都能获得成功。一旦脸书的Libra数字货币计划实现，一切现有规则都将在脸书公司强大的金融势力下崩溃，脸书将有能力重写国际规则，届时，欧洲的GDPR根本没有可能处置脸书的个人信息保护不合规的问题。脸书的Libra数字货币将成为国家金融安全以及金融消费者个人信息安全的巨大黑洞。

除了私主体有滥用权力之嫌外，合作治理中的私人机构由于拥有了一定权力，也极易产生腐败问题，特别是处在公权和私权模糊的领域，私人机构受利益驱动，可能通过贿赂对行政部门进行“俘获”，以获得更多的行政裁量权。无论是私权力滥用还是私权力腐败都会再次导致“市场”和“政府”双向失灵，失去合作治理的意义。公权力与私权力之间的模糊边界不可避免地产生寻租空间，因此私权力的滥用及腐败问题也当然成为在个人信息保护下引入合作治理模式所可能导致的风险之一。

（三）隐私政策的效力不清

在合作治理中，公共机构和私人机构自行发布的隐私政策常常成为行政执法的依据。而如果一家机构违背其自己的承诺，或者在其中加进许多同意“陷阱”，此时的监管机构采用何种理由进行处罚？机构的隐私政策具有合同效力还是一厢情愿？

美国FTC一直监督着商业机构的隐私政策并作为其执法的主要依据，但民间对此有不同的观点，隐私保护组织认为隐私保护不在于制定什么样的政策而在于推行一个真正的隐私保护实践4，即注重隐私保护的实践以满足保护消费者隐私的真实需求。多数商业机构不完全遵守自己制定的隐私政策，隐私政策仅仅是在出现法律纠纷时的一种自证清白的说辞而已。当商业机构产品升级或发生公司变动时，隐私政策会发生变化，商业机构一般也不会进行所谓的增强性告知，而是选择将有利于自己的隐私政策塞给用户，骗得用户的同意，因此商业机构公开发布的隐私政策就是一个“华丽的外衣”，这样的隐私政策并不会真正促进公平的隐私保护实践[13]，以及用户个人信息合法权益的保护。

美国学者Daniel J. Solove教授认为，如果用户没有阅读隐私政策，为什么执法机构要强制执行这些政策？在人们接受互联网服务时，大多数人不会阅读隐私声明。至于其他类型的通知，如最终用户许可协议和合同样板条款也只有很少人阅读它们。在一些选择条款中，人们大多不会选择反对服务商收集、使用或披露他们的数据的条款，甚至都懒得去更改网站上默认的隐私设置。如果人们不阅读隐私政策，可能就视为接受了这些隐私条款，而这种接受是被动的，不知情的。那为什么FTC要求执行这样的隐私政策呢5？Solove教授指出，隐私政策通常难以让消费者理解，并且在制定政策可理解和提供足够的细节以解释个人数据被使用和保护的复杂方式之间存在权衡。人们对隐私的了解不够充分这一事实导致提供有意义的通知和提供简明的隐私政策是非常必要的，不仅有助于消费者快速明了其隐私保护政策，还有助于隐私倡导者和监管者的准确监督[14]。然而，FTC还是认可私营机构的隐私政策，如果商业机构没有遵循其隐私政策则以构成欺诈和不公平竞争为由进行处罚。正是通过对私营机构隐私政策的监督才扩展了FTC的影响力，获得对商业互联网的管辖权[13]，保障了用户的合法权益。

在我国个人信息保护的实践中，如果是通过民事途径，商业机构的隐私政策可视为格式合同，以违约处理，也可以侵权处理。如果追究刑事责任，这些隐私政策可以作为情节是否严重加以考量，而在行政执法中，这些隐私政策就是合规的对象，如果隐私政策不合规可以直接加以整改和处罚。对于公共机构来说，公开透明的个人信息政策也是处理个人信息合规的形式要件。为了让行政相对人在行政诉讼的个案中有清晰的个人信息保护依据，除了现行法律的明确规定外，公共机构也应当像私营机构那样制定公开、便于告知的个人信息政策。

公共机构收集个人信息原则上应当在事前向个人信息主体发出询问，不能在对方不知情的情况下向他人索要信息。防止公共机构运用技术手段隐蔽性的秘密收集，确保个人信息主体在收集信息全过程的知情权，信息主体也有向公共机构检索、访问、查询其个人信息记录的内容的权利，信息主体发现其存储的个人信息不正确、不完全或不新颖，可以请求公共机构变更、修改记录。

公共机构必须采取必要的安全措施保障收集到的个人信息的安全存储，避免信息泄露、毁损、丢失的状况发生，也要具备较强的防止黑客外部攻击技术措施。对于内部的相关工作人员做好培训和保密工作，严格工作流程。公共机构未采取必要的安全措施保护个人信息的，信息主体可以通过政务信息公开、行政复议或行政诉讼等渠道要求知情权，必要时可主张损害赔偿。保证公共机构在处理个人信息全过程的政策透明度、公众参与和问责制是关键环节[15]。

（四）对第三方机构的监管不完善

第三方机构是合作治理中的重要角色，充当一定公共秩序的维护者，也作为商业机构合规的鉴定者，尤其也作为政府执法证据的提供者，这就要求第三方机构要保持足够的公平和中立。但即使目前在国际上比较权威的第三方认证机构TrustArc，其隐私评估也曾受到质疑。

2006年，哈佛大学经济学研究员本杰明·埃德尔曼（Benjamin Edelman）发表了一份研究报告，显示拥有TRUSTe认证证书的网站比未经认证的网站更有可能违反隐私政策。埃德尔曼称，TRUSTe不足以惩罚违反规则的企业，也没有及时撤销违反隐私标准公司的认证标章。而从一般常识来看，一家营利性公司对其认证的公司是否能够保证其中立性也是毋庸忽视的问题6。2014年11月在针对TRUSTe的一项投诉中，FTC称，从2006年到2013年，TRUSTe在1 000多起案件中未能对其认证的公司进行年度隐私检查。最终，FTC与TRUSTe达成和解，TRUSTe承认向消费者虚假陈述其再认证计划，以及其作为非营利实体的地位，TRUSTe被判罚款20万美元7。从这一案件看，在美国引入私人机构进入公共管理时，政府的监督不足，处罚也比较轻微，TRUSTe改名之后没有受到太多影响，继续占据着隐私认证的市场。对于这样的评估认证机构如果在为中国企业提供的服务出现问题时，可能还是要中国企业自己承担后续的责任，而对认证机构的监管也无法纳入我国的行政监管范围。这是未来在我国个人信息行政执法上应当引起重视的问题，而当国内发展出类似TRUSTe这样的认证机构时，一方面可以承担起第三方协助治理的任务，同时也面临着对这类机构的有效监管。根据行政委托任务、第三方机构的性质、行政机关的监督能力可以选择不同的监管模式，特别是公众投诉机制的建立会弥补第三方机构执行行政任务失误后的监督。

五、公私合作治理模式下个人信息保护责任机制的嬗变

公私合作治理在一些基础设施、建筑项目、公共卫生方面已经实行了相当长的时间，在这些领域，国家不再亲自执行公共任务，转为借助私人机构完成。国家委托私主体代为行政，通过监管责任、违约责任来保证对公共利益的维护。在个人信息保护的治理上，既有基础设施的公共服务，比如互联网平台的通讯服务、征信体系的构建；又有一般的公共服务，如居民水、火、电等生活收费和管理都开始民营化，在如此大面积引入合作治理后，面对的首要问题就是公私合作治理后的责任承担问题。

（一）平台责任

在行政法的改革中，已经出现了行政的私化，将行政权限授权给私人，由私人承担某些公共事务的规制功能，互联网平台正是这类私人行政的践行者之一。互联网平台已经成为“组织生产力的新型主体”[16]，在个人信息保护上具备处理个人信息全流程的功能，也成为大众参与公共活动的重要场所。平台一方面属于私人设立，成为很好的经营手段和营利工具。同时也是通过制定规则，实际上行使本应由行政机关行使的监督、审查、维护平台秩序职能，形成所谓的平台“私权力”，平台也就具有更高的“失范风险”，更需要政府从外部加以规范，以保障平台内消费者的利益和平台秩序的正常运行。

当平台按照法律法规授权、行政机构委托、公共服务协议等要求对平台内的商家或者用户履行审查、监管义务时，从行为性质上看，平台与商家或用户就形成了某种行政法律关系，此过程中如果平台与商家或用户发生纠纷，通过怎样的司法途径来寻求救济是引入“私人行政”必须考虑的问题。

目前有两种学术观点：第一种观点是按照平台承担“公共行政任务”的性质与“行政相对人”（商家或者用户）通过行政诉讼解决，这一观点要突破现行《中华人民共和国行政诉讼法》（以下简称《行政诉讼法》）有关行政诉讼必要的适格主体的问题。有学者建议借鉴美国“公共职能”标准，以是否履行了“行政行为”为提起司法审查的要件，即“只要是私人主体行使传统上属于政府的行政职能，对外作出权利义务处分行为，不管是以法律法规或者规章授权组织的身份，还是行政委托的组织、行政合同当事人的身份，均可以对其进行司法审查。是否构成司法审查的对象，注重的不是行为主体是否为行政主体，而是行为主体的行为是否属于履行公共职能。只要履行的是传统意义上属于政府行使的公共职能，不管是行政机关，还是私人组织，均可以成为司法审查的对象。[17]” 在此种主张下，我国行政诉讼的构成要件就只有“行政行为”要件，而不需要“行政主体”要件了。这在现行的《行政诉讼法》下还无法实现，必须进行公法救济制度的重大改革。而如果依照“行政行为”标准，也可能对私人行政的私人主体施以更加严格的行政责任。

另一种观点则认为，私人行政中的“私人”也是一种民事主体，与平台内的商家或用户属于平等的民事关系，他们之间可依《中华人民共和国民事诉讼法》解决其纠纷，而平台在没有尽职履行好“行政任务”时，有关行政部门可以追究其行政处罚责任。由于互联网平台没有尽到的“行政义务”还应该由国家进行补充履行。“当市场失灵或万一私人无法履行其法定公共任务时，国家基于‘补充责任’的法理要求，必须确保结果上，公共任务仍被持续履行，所以国家即有接管、取回或撤回之选择权利”[18]，而“行政相对人”亦有要求国家承担担保责任的救济渠道。

实际上，平台也是一种“私人行政”实践。特别是那些主宰互联网的“帝国企业”，在这些巨头公司经营的互联网业务平台上已经自成一个小社会体系，国家治理互联网的责任也就从原来的“身体力行”的给付执行转变为担保行政，委托互联网平台服务商代为执行国家的给付义务。在对平台上的商家及用户的监管上，政府可以放开由平台商履行监管职责，比如在产品质量监管上，平台方可以对进入平台的商家进行严格的资质审查，对产品不合格的商家加大惩罚力度，还可以利用先进技术对商家的产品进行溯源跟踪，这样就可以让平台方分担一部分互联网平台上的公共事务。但是，基于平台方的规模和业务模式，也不可能要求所有的互联网平台都能够充当代为政府“执法”的角色，特别是对平台自身的监管，还是要由政府行使监管责任，做到“政府管平台、平台管用户”的监管理念。

在互联网运行的过程中，国家也不应过度依赖平台，放弃国家责任。国家对互联网平台的监管责任应当越来越严格，特别对平台上的金融活动、内容发布、敏感个人信息保护上，应要求平台尽到积极的注意义务，主动审查和清除违法信息，依法依规进行平台经营。

（二）国家担保责任

当私人主体提供公共服务中遇到障碍，诱发供给中断与不稳定性，这需要政府以公共目的与公共服务为导向进行干预，并积极采取补救措施，抑或进行工作的承接[19]。而这不免导致国家责任的转变，对于重要基础设施这一类的公共服务由私人主体承担时，国家应当承担担保责任。

在合作治理或者公共任务民营化的改革中，引入民间机构参与公共事务的管理，必然会引起许多担忧，私主体参与公共行政有时并不完全让公众知晓或者得到社会的充分讨论，可能是某一行政机构自行的主张。于是，便会出现私主体如果服务不到位的话责任由谁承担的问题，是由下达行政任务的公共机构承担国家赔偿责任还是由私主体承担违约责任或者侵权责任。有学者提出利用“担保国家理论”[20]可以解决这些担忧。依据担保国家理论，由国家提供制度供给保证私人主体参与公共事务管理的公平性和公益性，担保公民能够获得普适的、便宜的公共产品和服务，其提倡适度的小而美的担保[21]。在民营化之后，国家的责任出现变化，不再是自由主义时期的责任极小化范畴，也突破给付国家阶段的极大化责任，而是处于二者中间位置，以此确保国家担保责任的实现。担保行政或担保行政法最基本的内容就是国家要履行最基本的“监督责任”“管制责任”与“接管责任”，创设私人参与公共任务履行时的法律框架[20]。这一框架的基本内容根据德国法体系包括五个方面：“确保私人提供给付之品质及结果；选择私人合作伙伴之程序；保护竞争第三人及使用者或消费者；建立必要的评估及相互学习机制；设计国家有效接管或撤回选择权”[20]。在实施国家担保机制的时候，必须有一个担保行政法依据，否则，即使像美国发生金融危机以及中国的毒奶粉事件，也无法追究美国政府对金融秩序和中国政府对食品质量监督失职的责任。所以担保国家理论亦是在法治国家的基础之上，要有法可依。

在美国法系下，不赞成国家过度干预，针对公私合作行政出现的问题提出了所谓的“管制机制责任制”[3]。私主体本身面临诸多的约束措施，不宜用传统方式要求私主体承担类似公权力的责任，而应当根据公私主体合作分工机制分配责任，重在事前制定的管制程序等[22]，以确保责任的公平分配。

国家担保责任中重要的是管制责任。多数情况下私主体参与公共服务是通过政府合同形式获得授权，政府在选择私主体的时候也是遵循市场竞争规律，通过市场鉴别，选择最合适的私主体承担公共事务的供给责任，这也要求政府必须具备合同管理能力，要求监管服务的生产者履行服务义务，依托强制公开方式，明确服务标准，在紧急情况下保证接管方式可行性，维护持续性的公共服务[19]。政府通过合同实施全过程管理能够有效保证公共服务的品质，而一旦私主体无法达到预期供给的时候，国家就会依托公共利益条款、持续供应条款等对私人主体进行公法约束。尽管合同本身具有自治性，但是，政府合同的公共性更加显著。政府借助合同实现公共服务的外包，同时以公共目的为切入点，通过合同方式使得私法主体涵盖了诸多公法义务[19]。政府在这一过程当中应当保证最佳的管制效果，降低合作风险[23]，以确保合作内容的顺利实现。

合作行政的管制责任主要体现在以下四个方面：首先，倚重市场的力量，遵循运行规律，设置市场运行机制，能够实现对被规制者精准管控打击；其次，设计合同与自愿两种模式，与柔性行政要求相吻合，负面效应降低；再次，组织形式以公司与协会为主，资源渠道广泛，能够获得有力的资源支持；第四，充分发挥行业优势，行业内部也具有较强的执行力[24]。但是，政府很难实现行政任务的全面民营化，更多处于“单纯组织私法化”和“任务完全民营化”之间，集中体现为公权力委托、行政协助、特许经营等模式[25]。在这样的合作治理模式中，私营机构也通过承担严格的合同义务或违约责任来保障公共服务的品质。

管制责任也可以通过审批制和备案制两种方案实施，在审批制中，要求规制者结合自身实际经验，以预先审批方式对企业进行行政指导，目的是实现对信息赤字现象的弥补[26]。备案制不注重事先的审查而注重事后的行政检查，特别是考虑政府资源紧张的情形时，较多采用备案制[27]。从理论上看，国家担保责任的实现主要依托管制、监督以及接管模式实现[21]，基本权利保护义务理论、辅助性理论和合作理论是国家担保理论的基础。从内容上看，担保责任囊括两个方面：一是要保证公共服务竞争的有序性；二是保证服务供给的连续性与适宜性[19]。这体现了国家对民间机构参与公平竞争而提供的担保义务。

按照国家担保理论中的“国家管制责任、国家监督责任和国家接管责任”，对于行政相对人来说，重要的是能够继续保证公共事务的延续。“行政任务民营化后，国家并非全身而退。为了避免公共设施之利用人的权益因为民间机构利润追求而受到损害，国家仍应负担起公益维系义务，透过相关的管制与监督措施，保障人民在现代生活中获得符合人性尊严的最低限度照料。此乃基本权益保护义务、社会国家下人民生存照料确保义务所形成的宪法上要求，不因采取公私协力之方式而有所松动”[18]。所以，首先国家要承担起接管责任或者转委托有能力继续履行行政义务的私人主体保证公共事务的提供。对于“私人行政”授权的行政监管机构则可以视行政相对人的损失情况采取包括行政复议、行政诉讼、行政赔偿等在内的公法救济。对于没有重大损失的情形可以通过行政调解来解决。在私人机构介入行政服务中，也有可能对授权的私主体造成经济上的损害，此时，私主体完全可以以普通的公法救济途径寻求救济。

委托或指定私营机构承担原本持有中立立场的政府职责还必须有透明机制的保证，否则也会妨碍公平的市场竞争。一方面，这类机构享有一般私人机构所没有的各种保护和优惠，享受“免税、补助金、政府资金贷款及债务保证等优惠”[28]，有日本学者称其为“特殊性行政组织”（类似于我国的一部分事业单位）；另一方面，这些机构在资质上的特殊地位，具有天然的垄断地位，比如指定国家考试机构、环境检测机构、数据安全测评机构等原本都属于一般民间法人，其职员本身也不是公务员，但是其职责是“行政权限”的行使，对于这类机构政府必须有指导性的法律约束和监督机制，同时也应当接受政府信息公开制度的约束。

六、结语

智能时代的个人信息合作治理是一个新命题，这一治理模式不仅体现在治理对象、治理范围、治理手段方面，更在于治理理念和治理思维方面的创新。智能治理应当融入多元、合作、开放、创新的互联网精神，发挥网络平台天然的技术优势，让公权力的监管在网络空间延伸，更加有效地建设和治理智能社会的秩序。与传统的行政方式相比，公私合作治理模式展现出强大的发展潜力，不仅能够为国家行政节约成本、提高效率，还能有效避免行政诉讼的风险。这种模式的兴起，是对传统治理方式的一种补充和超越，它强调利用网络平台的天然优势，通过技术手段实现对个人信息的高效治理。在这一过程中，治理者需要具备前瞻性的思维，不断探索和创新治理方法，以适应智能时代发展的需求。同时，也要注重保护个人信息的安全和隐私，确保治理过程的合法性和合理性，构建一个更加健康、有序的智能环境，为个人信息的安全提供更加坚实的保障。

参考文献：

[1] 周辉. 变革与选择：私权力视角下的网络治理[M]. 北京：北京大学出版社， 2016：45⁃53.

[2] 江国华. 行政转型与行政法学的回应型变迁[J]. 中国社会科学， 2016（11）：130⁃143.

[3] 朱迪·弗里曼， 合作治理与新行政法[M]. 毕洪海，等译. 北京：商务图书馆， 2010：11.

[4] 唐清利. 公私权模糊领域的合作治理研究[M]. 北京：法律出版社，2017：164.

[5] 张翔. 基本权利的受益权功能与国家的给付义务——从基本权利分析框架的革新开始[J]. 中国法学， 2006（1）：21⁃36.

[6] 赵宏. 合作国家——对国家与经济关系的考察[J]. 华东政法大学学报， 2016（4）：5⁃18.

[7] 陈军. 变化与回应：公私合作的行政法研究[D]. 苏州： 苏州大学，2010.

[8] 姜明安. 行政法与行政诉讼法[M]. 北京：北京大学出版社，高等教育出版社，2011：121.

[9] 方禹.干货详解！个人信息保护法治方案的制定历程[J/OL]. 中国网信杂志， （2020-12-11）[2024-06-25]. https：//mp.weixin.qq.com/s？__biz=MzA5OTA2OTU5Mg==&mid=2651517128&idx=1&sn=5c625d1c53bef08b8e29328da40b2d89&chksm=8b79ab3fbc0e222970ce268fea1001ca1c59f6fa8307c7c72143b25027c9cdc52e30d99dafc3#rd.

[10] 李洪雷. 论互联网的规制体制——在政府规制与自我规制之间[J]. 环球法律评论，2014（1）：129.

[11] 杨彬权. 论国家担保责任：主要内涵、理论依据及类型化[J]. 西部法学评论， 2016（2）：49.

[12] 赵鹏. 私人审查的界限——论网络交易平台对用户内容的行政责任[J].清华法学， 2016（6）：131.

[13] SOLOVE D J， SCHWARTZ P M. Information privacy law[M]. Fifth Edition. New York： Wolters Kluwer， 2015：665.

[14] SOLOVE D J. Privacy self-management and the consent dilemma[J]. 126 Harv. L. Rev， 2013：1880.

[15] ZUIDERVEEN B F， VAN E M， GRAY J. Open data， privacy， and fair information principles： towards a balancing framework[J]. Social Science Electronic Publishing.2015， 30（3）： 2073⁃2131

[16] 刘权. 网络平台的公共性及其实现——以电商平台的法律规制为视角[J]. 法学研究， 2020（2）： 17-18.

[17] 李年清：私人行政司法审查受案标准的美国经验，法制与社会发展[EB/OL]. （2020-08-29）[2024-07-01]. http：//fzzfyjy.cupl.edu.cn/info/1038/1555.html.

[18] 杨彬权. 论担保行政与担保行政法——以担保国家理论为视角[J]. 法治研究， 2015（4）：130⁃145.

[19] 李蕊. 公共服务供给权责配置研究[J]. 中国法学（文摘），2019（4）：128 .

[20] 林明镪. 担保国家与担保行政法——从2008年金融风暴与毒奶粉事件谈国家的角色[C]//吴庚教授七轶华诞祝寿论文集 政治思潮与国家法律.台北：原照出版公司，2010：595.

[21] 杨彬权. 论国家担保责任——担保内容、理论基础与类型化[J]. 行政法学研究， 2017（1）：75.

[22] AMAN A C， DUGAN J C. The human side of public-private partnerships： from new deal regulation to administrative law management[J]. Social Acience Electronic Publishing， 2017（3）： 102.

[23] 罗豪才， 毕洪海. 通过软法的治理[J]. 法学家， 2006（1）：1⁃11.

[24] 自胡斌. 私人规制的行政法治逻辑：理念与路径[J]. 法制与社会发展， 2017（1）：158⁃179.

[25] 邹焕聪. 论公私协力的公法救济模式及体系现代化——以担保国家理论为视角[J]. 政治与法律2014（10）：62⁃74.

[26] 谭冰霖. 论政府对企业的内部管理型规制[J].法学家，2019（6）：74⁃86.

[27] LAZER C D. Management-based regulation： prescribing private management to achieve public goals[J]. Law & Society Review， 2003， 37（4）： 691⁃730.

[28] 米丸恒治. 私人行政——法的统制的比较研究[M]. 洪英， 等译. 北京：中国人民大学出版社， 2010：274.

Application of Public-Private Partnership Governance Modelin Personal Information Protection

Wang Xinyang

（Office of the Principal ， Peking University， Beijin 100871， China）

Abstract： As a forward-looking and innovative governance mode， the public-private partnership governance mode is the embodiment of the spiral upgrading of national governance from negative obligation to positive obligation， especially in its governance advantages in the intelligent social governance. This paper focuses on the prominent field of personal information protection and discusses the legal issues of public-private partnership co-governance. Public-private partnership governance promotes the deep cooperation between public power and private power in the way of administrative entrustment， negotiated formulation of administrative rules and public-private partnership regulation， which is in line with the benefit principle of personal information protection. However， after the clear introduction of the cooperative governance mechanism， it is necessary to clarify the possible legal risks to prevent the evasion of administrative law to private law， the abuse and corruption of private power， the unclear effectiveness of privacy policies and the imperfect supervision of third-party institutions. For the protection of personal information under the public-private cooperative governance mode， we should also pay attention to the platform responsibility of private power concentration and the evolution of the national guarantee responsibility mechanism， so as to clear the obstacles for the public-private cooperative governance mode to play a role in the protection of personal information.

Keywords： personal information; public-private cooperation; legal risk

作者简介：王心阳（1992—），女，山东诸城人，法学博士，校办助理研究员，研究方向：宪法与行政法学。

1 2015年12月，中共中央、国务院联合发布《法治政府建设实施纲要（2015—2020年）》。

2 人民网报道：中国互联网协会发布《个人信息保护倡议书》， http：//it.people.com.cn/n1/2018/0914/c1009-30293640.html。

3 Facebook数字货币Libra白皮书（中文版），http：//www.taola.com/home/201906/27940.html， 2019-01-10。

4 隐私的机构认为，目前商业机构的隐私政策不是他们理想的隐私准则。他们认为商业机构的隐私政策通常不会被用户阅读。它们用法律语言书写，即使人们阅读了隐私政策，也不会理解其中隐含的权利义务关系。Daniel J： Solove， Privacy Self-Management and the Consent Dilemma， 126 Harv. L. Rev. 2013：1880.

5 Most people do not read privacy notices on a regular basis. As for other types of notices， such as end-user license agreements and contract boilerplate terms， studies show only a miniscule percentage of people read them. Moreover， few people opt out of the collection， use， or disclosure of their data when presented with the choice to do so. Most people do not even bother to change the default privacy settings on websites. Daniel J： Solove， Privacy Self-Management and the Consent Dilemma， 126 Harv. L. Rev. 2013：1880.

6 Researcher takes TRUSTe to task，“A controversial survey of more than a half million Web sites released on Monday found that sites are twice as likely to be rated as bad actors if they have been certified by the TRUSTe non-profit industry group”by Benjamin Edelman. https：//www.securityfocus.com/brief/313，2019-08-01.

7 FTC Approves Final Order In TRUSTe Privacy Case，FTC Approves Final Order In TRUSTe Privacy Case，https：//search.usa.gov/search？affiliate=ftc_prod&page=9&query=FTC+++TRUSTe&submit.x=0&submit.y=0&submit=Search，2020-02-25.