论个人信息保护的专责机关
关键词:个人信息保护 专责机关 行政组织类型化 统一规制 部门协调
一、问题的提出
全国人大常委会于2020年10月、2021年4月审议《中华人民共和国个人信息保护法(草案)》(以下分别简称《一审稿》和《二审稿》),并于2021年8月正式颁布(以下简称《个保法》)。《一审稿》第六章以“履行个人信息保护职责的部门”为名,确立履行个人信息保护职责的具体部门。其中,中央层面由国家网信部门负责统筹协调个人信息保护和相关监督管理工作,国务院有关部门在各自职权范围内负责个人信息保护和监督管理工作;地方层面则由县级以上地方人民政府有关部门履行个人信息保护和监督管理职责。根据《一审稿》第56条第3款之规定,上述部门虽统称为“履行个人信息保护职责的部门”,但在实践中如何厘清各部门之间的职责界限,仍有待进一步阐明。对此,有学者指出,未来的个人信息保护机构究竟是整合相关职能、独立设立的个人信息保护机构,还是由现有的机构作为个人信息保护机构其实并未明确,进而建议设置独立的个人信息保护机构。[i]实务界的诘问是规制权究竟应集中于中央抑或下放至地方,一个县级的工信部门是否有能力对一个大型互联网公司作出10亿元的罚款?[ii]《二审稿》第61条进一步明确了国家网信部门统筹协调的具体内涵,其他则萧规曹随;《个保法》在略作文字修改的基础上承继了先前的内容。那么,个人信息保护法应当采取何种模式来设置个人信息保护机关,又如何克减行政执法中“九龙治水”体制的弊端,[iii]均构成本文的问题意识。本文通过对域外个人信息保护专责机关(Specialized Agency)的特征、模式、功能加以剖析,寻求专责机关设置的行政组织法理,进而主张行政组织法必须回应行政任务的变迁,应针对行政任务的差异设立不同类型的行政组织并发挥其规制功能。基于此,提出中国设立专责机关的基本思路及相关问题,期冀讨论能够对立法完善及执法、司法的准确施行有所裨益。
二、个人信息保护专责机关的意旨、模式与职能
个人信息保护业已成为数字时代重要的公共政策议题之一,事关个人权利、国家与社会的关系以及全球秩序。1970年代以降,许多国家、地区和国际组织开始对个人信息处理予以立法。伴随科技不断推陈出新,近些年个人信息保护立法、修法热潮以及国际性的数据保护规制实践更是风起云涌。其中,最值得关注当属欧盟《通用数据保护条例》(GDPR),该法为提升政府对个人信息保护的力度,进一步强调了专责机关的重要性。[iv]此规定是对许多国家并无专责机关情形下个人信息保护不力的警示,有学者甚至认为专责机关是欧洲个人信息受到保护权利实现的三大支柱之一。[v]
(一)专责机关的意旨
是否应仿照欧盟由专责机关展开一致性执法,成为各个国家和地区在制定、修订个人信息保护法时的重要考量内容。
其一,便于统一规制个人信息保护法的施行。信息已渗透至社会生活的每个角落,行政机关掌握大量的个人信息,为防止弊端发生,有必要设置专责机关。对于非公务机关,虽可由各主管部门或地方行政机关加以监督,但因关于当事人请求删除、更正等纠纷处理程序,常涉及法律解释与适用,为避免各自为政,造成法律上执行宽严不一,以及个人信息安全体制建立时,标准、技术水准须求统一,实有必要设立专责机关。以日本为例,最初立法曾拟设置专责机关统一规制个人信息活动,但由于主管部门较为熟悉各业界实际处理个人信息的状况,由其自行监督较易达成实效,新设机关的作法与近年持续推动的行政改革、精简机关之目标相悖,因而赓续旧制。然而,随着个人信息保护问题愈发复杂,为统一标准、独立开展规制,日本最终通过修法设置专责机关。[vi]
其二,便于提升个人信息保护专业化水准。个人信息保护法的实施需要法律、管理与技术等高度专业知识配合,其中行政规制的作用不遑多让。[vii]如果将法律实施的调查权、裁罚权归由各主管部门负责,难免产生各主管部门的执法能力不足之忧。设置专责机关负责个人信息保护法的施行、规制,不仅可以适应数字社会的瞬息万变,而且可以在新技术发展与多元化风险的背景下,发挥专责机关事前防范、教育公民等作用,避免产生更多的实际损害。[viii]同时,在现代科技急遽发展的情形下,公民终难以对抗行政机关或企业,专责机关先行介入当事人纷争中调查、调解,对当事人救济较为有利且可锐减诉争。设置专责机关,负责各机关、企业有关个人信息问题的咨询,负责遵法宣导、信息安全、教育训练等事宜,更能主导、提升个人信息保护法的施行实效。
其三,便于国际交流与合作。个人信息全球流通势不可挡,在相关立法和政策建议中,设置与确保专责机关具备充分权限,并与境外相关机关展开合作成为各国和地区确保个人信息保护、消除数据流通不合理障碍的重要机制。在实践中,专责机关负责跨境数据流通案件,有效降低了跨境合作的难度,成为个人信息控制者或处理者的主要对话者,并协调与其他专责机关的交流以达成共识。以GDPR为例,其将专责机关的作用置于跨境数据流通领域,试图通过专责机关的国际交流为跨境数据流通以及个人信息保护形塑国际秩序。同时,绝大数国家和地区认为个人信息保护不仅事关国际贸易秩序,更涉及基本人权保障的课题,因而对之极为重视。目前,个人信息保护已经成为人权保障的重要标志之一,亚太、拉美等国家和地区亦纷纷仿效,使之成为对内的规制机关与对外的交流窗口、合作桥梁。[ix]
设置专责机关的三项理由昭示了该机关具备的三种特征:独立性、专业性以及国际性。独立性体现于其依法行使职权时,应保有不受外来直接或间接影响的自主性,并不得接受或寻求任何无关人员的指示。[x]欧盟极为重视专责机关的独立性,其在判断境外国家是否具备个人信息保护适足性而得将境内个人信息跨境传输至该境外国家时,对该国个人信息保护机关的独立性审查便是重要的考量因素。比如,欧盟认为阿根廷个人信息法虽然赋予个人信息保护机关首长独立行使职权,但因该机关“组织法上隶属于法务与人权部”,首长系部长提名,且得由部长予以免职,成员配置均由部长决定,故对该机关是否享有“完全独立性”存有疑虑,并呼吁阿根廷应在法制上加以调整。[xi]专业性体现在统一适用法律,发挥事前引导功能,协助、辅导公务机关与非公务机关妥善遵循与因应法律规范,并拥有一致性的标准执行行政检查与处罚的权力。规制范围的统一,使得专责机关专注个人信息保护的实务,既提升公众权利意识,又鼓励良好实践,能够从容应对科技带来的不确定性风险。专业性还体现为职责专门化与人员专业化。国际性特征则在于随着专责机关的增加,其交流合作趋于正规化,且国际层面的专责机关联盟亦不断增长。
(二)专责机关的设置模式
科技创新和个人信息商品化,数据共享社会规范不断变迁使得个人信息保护问题日趋复杂。从域外立法例来看,个人信息保护的立法模式大致可分为统合式(公私合并规制)、分离式(公私各自规范)、个别领域分别方式与综合方式(存在总体立法、专业性的分别立法)等类型,亦有学者将之简化为综合模式和分散模式。前者指公务机关和非公务机关适用一套统一的规则,并由专责机关实施适用。分散模式则缺乏统一立法,如美国联邦公务机关的隐私规则并不适用于非公务机关,市场解决方案占据主导地位,特定而敏感的行业则有专门的法律规定。[xii]基于立法例,个人信息保护机关设置主要有以下三种模式:
其一,无专责机关模式,亦称主管部门模式。据统计,未设置专责机关的国家或地区并不多见,其通行作法系由现有主管部门监督,如美国联邦贸易委员会、证券交易委员会等在各自主管领域实施规制,并特别强调产业自我规制。美国于1970年代针对隐私立法之时,曾拟设立联邦隐私委员会作为监督机关,然而有人认为此举叠床架屋,导致官僚体制效率低下;额外增加的控制可能导致该机关成为超级规制者。[xiii]近年来学者提醒若无专责机关,各主管部门往往并不在意个人信息保护事务,为此建议设置专责机关。[xiv]应当看到,美国联邦未建立专责机关与其立法体例以及对产业自我规制的倚重有关。
其二,过渡或者统筹协调模式。所谓过渡,系指并无专责机关,但意识到其极为重要,开始探索成立类似组织或赋予某机关统筹协调职能。以中国台湾地区为例,其由“法务部”作为主管机关,对个人信息保护法作出解释,但限制跨境传输权、行政检查权、行政处罚权等,则属于各主管部门或地方政府的权责范围。此种模式意在减轻“法务部”负担,并尊重各主管部门或地方政府所辖事业的规制权限,然而却因相同事件的主管部门不同而有宽严不一的后果滋生。[xv]因此,作为满足境外数据流通需求以及未来修法之过渡,2018年7月“个人资料保护专案办公室”成立,以期整合各部门的个人信息保护事务。中国《个保法》并未明确规定专责机关,但规定国家网信部门负责负责统筹协调,未来实践中恐面临类似事件而不同机关有不同事实认定、不同法律适用之虞。
其三,专责机关模式。这种情形在世界范围成为主流,一般负责规制公务机关和非公务机关。比如,法国信息与自由委员会系该国设立的首个独立机关,并认为是对美国新政机关的效仿。自欧盟《数据保护指令》开始,欧盟及成员国便组建了专责机关。多数国家和地区均设置了一个统一的专责机关,仅有少数国家针对公务机关与非公务机关分别设立专责机关。根据专责机关与政府首长关系的差异,专责机关设置又可具体分为直属政府首长型与直属政府部门型。直属政府首长型较为多见,典型如英国、日本、印度、香港、澳门等国家和地区。直属政府部门型以新加坡为例,其个人信息保护委员会由通讯与信息部下设的信息通讯媒体发展管理局管辖。之所以将专责机关设置于政府部门之下,原因在于新加坡个人信息保护法仅拘束非公务机关。
域外立法例关于是否以及如何设置专责机关的经验,基本上是沿着上述无专责机关、过渡或统筹协调模式至设置专责机关的光谱而演进,有的还会涵盖多种模式的特征。韩国2011年立法时,原拟在政府总理下新增“个人信息保护委员会”,实施审核、异议及最后决定个人信息保护与推进等各项业务,进而再交行政安全部统筹,分别由各部、处等执行。行政安全部认为此举将扩张政府预算和编制,与小型政府理念相抵牾;将执行部分交由各部执行,易滋生争端。出于对权利保护的重视,该委员会仍得以组建,且由内阁层级提升为直属国家元首位阶、直接对总统负责。[xvi]如此安排显然是考量到个人信息保护的重要性,并克服政府内部制衡及消极不配合态度,以更充分且至上的角色定位,实现有效监督。由于并非实质意义的专责机关(仅具审议和调研职能),故执行权仍由各部施行。此种情形系第二种模式向专责机关模式的过渡。2020年8月韩国个人信息保护法得以修订,个人信息保护委员会被定位为直属政府总理的专责机关,行使执行监督、调查、处理纠纷以及处罚等职能。[xvii]
(三)专责机关的职能
域外专责机关的设置模式,与其所在国家或地区的政治体制、性质定位、对科技发展认知等密切相关。与其说是比较借鉴,毋宁理解为各自在民主法治观念下的理性探索更为恰当。随着个人信息保护日渐受到重视,各国和地区专责机关的职能在本质上呈现出多面向性,具有监察专员、审计专员、咨询专员、教育者、协调者、政策顾问和执行者等多种组合性的功能。[xviii]有学者指出,专责机关作为个人信息保护的预警系统,包括“监督、审计、监测、评估、发布专家知识、协商、提供争议解决方案,以及平衡各种竞争性利益”的职能。[xix]多功能面向的规制角色有益于发挥相互补充的法定作用。此外,多数国家和地区专责机关除负责实施个人信息保护法之外,还履行其他法定职责。[xx]专责机关的职能因国家和地区的差异而有所不同,亦因经济社会变迁而处于不断调适之中。就本质而言,可分为引导、核准、执法与申诉处理等。[xxi]
其一,引导职能。该职能既体现专责机关参与个人信息保护立法和政策制定的角色定位,又体现其监督法律实施、兼顾公共利益和个人权利平衡、提升公民权利意识、关注相关信息通讯和商业实务发展动态等层面的能力。此时,专责机关具有咨询者、教育者、协调者等多重身份。
其二,核准职能。该职能指专责机关应当负责核准个人信息收集者或受托者基于公共利益的高风险个人信息处理行为、跨境传输个人信息行为以及核准具有约束性的企业规则、产业规则、认证机制及相关标准等。
其三,执法职能。该职能主要是指专责机关依法对公务机关和非公务机关是否遵法进行监督并采取相应的行政措施。特别需要指出的是,面对大规模个人信息被侵害的情况,行政处罚及其高额度特征成为各国和地区个人信息保护立法、实践的共通特征与有力保障。
其四,申诉处理职能。该职能指专责机关依法受理公民就个人信息保护事件的申诉,并于调查后回复处理结果。很明显,这种职能主要吸纳了监察专员的职能,如英国信息专员具备咨询、调查、协调、教育、监察等功能。[xxii]目前,专责机关更为关注救济的实效性。[xxiii]
三、个人信息保护专责机关构建的法理分析
专责机关运作的独立性与专业性,显然与传统行政组织的法理有一定冲突,如何完善行政组织法特别是类型化研究成为重要的议题。行政法各构成部分中,最能清楚显示行政法学作为政策回应之学问视角者,当系行政组织法学。行政组织的建构不仅形成组织特定结构,更易促成行政任务的履行。这也是近年来学者们从宪法层面研讨组织和程序保障功能理论的意义。在传统科层式行政组织不能有效发挥作用时,行政法学必须思考替代性的组织形式与策略。[xxiv]个人信息保护专责机关的设置显然应于行政组织法及其发展的背景下展开研讨,阐释其在行政组织法中如何定位、运行以及对行政组织法体系的影响。
(一)分殊化的行政组织
传统行政组织法的基础在于行政组织并非目的,仅为行政权行使的“组织化工具”而已,组织形式、人员编制、专业分工、行政程序以及调控机制等构成的结构性工具与框架,目标均在于促进行政任务得以顺利实现。故而,行政组织的设计与运用不可避免地与行政任务的种类及特性具有“手段-目的”的关联性。[xxv]一般而言,行政组织的设置基于行政一体原则作出,以科层制行政机关为常态。行政一体原则是指行政必须作整体考量,无论如何分工,最终仍须归属最高行政首长统筹指挥监督,方能促进合作、提升效能。[xxvi]其既能保持对民主原则予以贯彻,又能形成责任机制。传统科层制虽具依法行政、层级监督、专业化等优点,但易忽视组织的动态性、专业分工难以适应新要求、层级节制减弱上级对下级的影响力等问题。[xxvii]尤其是科层制行政机关在解决新的、具有变动性及复杂问题时,相形见绌。近些年来,随着国家形态的变迁,行政组织改革不断推陈出新,分殊化改革正是重要举措。[xxviii]独立机关、行政法人、公私合作型组织等在行政实务中涌现并发挥实际功效,构成了新兴行政组织法的重要研究内容。
独立机关(Agency),一般译为规制机关或独立机构,亦有学者译为行政署,[xxix]系指政府“部”之外具有相对独立地位的行政组织,履行任务不受层级上下指挥监督。相对于传统科层制行政机关,独立性和专业性是其核心特征。设置独立机关在于处理特别需要专业化、中立性或必须充分顾及政治与社会多元价值的公共事务,执行裁决性、规制性或调查性的事项,意在维系机关的专业性、中立性及价值多元性。独立机关一般分为三类:一是调查性、人权维护为主的委员会,如监察专员,主要针对现代专业性和民主政治发达社会之下,对于公民隐私、弱势群体,既有的行政机关难以充分监督之情形。二是对政治或经济利益容易入侵的领域展开规制,如美国的独立规制委员会。[xxx]美国独立机关的设立有时基于利益集团的压力,有时系国会或总统为了突出对某些问题的特别关注,有时为了解决部门权限争议。[xxxi]三是裁决性、以解决行政争议为主的裁判所、审议委员会等。分类虽然清晰,但是各国和地区基于政治体制、历史传统等原因,使得这类独立机关无论是名称、形态还是与传统科层制行政机关的关系均迥异其趣。许多国家在独立机关设置上,多持功能性考量,并非完全照搬美国等国家的做法。比如,英国“非部会性机关”(NDPD)的成立虽强调充分利用政府和公务员系统外的专业技能和知识,与政府和公务员保持适当的独立,[xxxii]但不同的是其自身为半官方性质的机关,很多机关的成员并非公务员,而系代表不同利益的普通公民。[xxxiii]英国信息专员办公室即为非部会性机关。
长期以来,行政规制的核心以行政行为为主,但事实上组织规制亦是行政规制的重要内容。组织规制可以通过计划、风险预防措施等发挥作用,还可以引入新的技术、私法上的程序设计以及协商体制代替制度化的规定。[xxxiv]为此,各国在精简组织、法人化、独立机关化、民营化、公私协力等层面作出了不懈努力。这些变化体现了行政组织法不仅强调组织形式具有选择自由,而且亦在根据行政任务寻求最适组织形态的趋势。[xxxv]如果说强调组织形式具有选择自由是为达成行政任务可以选择不同形式的行政组织方式的话,那么根据行政任务寻求最适组织形态的主张则将功能、组织、机关结构、行政任务等诸多因素关联在一起考量,使行政组织形态及其内部结构为实现行政任务而具备最妥当性。实务运作中,分殊化行政组织以独立机关和行政法人最为引人瞩目。两者相比,设置独立机关在于弥补传统行政机关无法充分考量各种行政任务的特性,使公共行政朝着集中化方向发展,而行政法人则使公共行政变得分散;独立机关与部之间的联系要比行政法人与部的联系更为紧密,实践中在通讯和信息领域、联结政府与公民关系、经济及商业领域等易建立独立机关。独立机关的任务多为技术性事务,而行政法人则不限于处理技术性事务。
然而,独立机关的运作亦引发质疑,特别是在独立性层面。批评者指出行政原则上具有一定程度的统合,即使存在分工,均受到最高行政首长的监督。独立机关破坏了行政一体性的要求。[xxxvi]回应者认为行政权必须符合依法行政原则,但亦要求行政能够作出最佳组织安排和适切决定。此时,独立机关亦系法治国的重要组成部分,宪法基本权利的组织与程序保障功能构成了独立机关存在的法理基础。[xxxvii]原则上议会经立法而由行政机关在行政一体性的体制下负责执行事务,从而保障民主原则的贯彻,但亦不排除例外情况。同时,重要的基本权利要求应视情形而在不同领域产生不同的行政组织模式,如许多国家因宪法言论自由与广播电视自由的规定,而形成了使相关行政组织免于其他权力干预的设计。[xxxviii]实证发现,事实上各国和地区独立机关的独立程度并不相同。由此看来,独立性并非绝对,虽然独立于各公务机关和非公务机关,但仍然要受到责任和行政一体原则的拘束。[xxxix]并且,独立机关采功能最适原则,成员多元化的组成反而提升了民主正当性的水准。为克服独立机关伴随的问题,域外一般都会建立控制机制,如人员多元化来源、任命程序、合议制等组织人事控制机制,或建立听证程序等事务内容上的控制机制。此问题的探讨对于中国的意义在于:行政组织类型化可为行政任务全面达成提供更多的选择,行政组织分殊化的法理为个人信息保护专责机关的建立提供了支撑,可使行政目标以合法、高效、合乎人权保障、可接受性等方式实现。就独立性方面似乎并不成争议,因为专责机关若系党政合署办公的组织,民主正当性一方面来源于民主原则以及成员多元化的安排,另一方面则来自于执政党本身。[xl]
(二)行政组织法的重新认知
在急剧变动的社会中,行政组织的构建至关重要,合理的形态可使其具备广阔的视野、整合性的政策规划能力。行政组织多样化、类型化的讨论代表了国家凭借行政组织上的分殊来回应社会环境复杂性的思路,因为行政组织本身亦构成一种规制手段,国家负有义务建构或选择最能促进行政决定与行为正确性的行政组织形态。当然,行政组织形式的选择,还应考量任务导向、基本权利保障、合法性原则、经济性原则、财政等因素。中国行政组织的专门性立法较少,但行政组织法学的讨论业已渐次展开。不过,这些研究未曾将行政组织加以类型化讨论,未能将其与事务特征、功能结构甚至救济实现等统一考量,加之历次机构改革均以实践回应为主,导致行政组织法类型化的思考极为匮乏。借助分殊化行政组织的建制范例,个人信息保护专责机关的设置可为一定的尝试。但仍然有不少的实际问题需要消解:是不是所有涉及基本权利的事项都要通过独立机关的方式加以保障?此问题取决于所保障的基本权利的重要性。是不是专业性强就要通过独立机关的方式加以保障?传统上,行政机关的分工本就以专业性为基础,单纯以专业性强难以作为设立独立机关的充分原因。但设立个人信息保护专责机关确实已经成为世界趋势,是中国对内保障个人信息、对外实现数据流通的重要桥梁。以上因素每一项均无法支持设置独立机关,但综合考量则实有必要。在这样的大背景下,需要重新认知行政组织法的作用。
其一,对行政一体原则的重新认知。一直以来,行政组织的设计,以专业化分工为前提,从而建立了科层制行政机关,以行政一体来实现民主原则。民主原则要求国家的权力作用,必须能够明确地证明源自人民,国家权力的行使,应与人民之间具有不中断连结。行政一体原则使得科层制行政机关成为最具民主正当性的组织形式,这也正是行政组织法在现代民主法治国家的意义:一是依法行政,确保行政行为的合法性;二是为民主正当性确保,确保行政权力均可回溯至人民的意志,多以法律保留加以实现。[xli]权力统一与分散是行政组织形态构建时考量的一个因素,过于统一则可能产生权力滥用,分散则有助于互相牵制、保障公民的权利和自由。中国历次机构改革以及行政组织法原理均极为重视这一原则。比如,在组建证券、银行、保险等规制机关时,极为强调对行政一体原则的遵循,使得此类机关与一般行政机关并无差异。显然,此种情形并未认知到行政一体原则亦有例外存在。在行政组织中,也有为确保其决定的独立性、公正性而设置的、具有独立性、自主性的部门,从而构成了行政组织中的分殊现象。[xlii]对此,中国行政组织法的研究应当予以关注,摆脱传统行政法仅在于描述行政组织法的静态特征,且无差异化设置行政组织的惯性思维。
其二,对行政组织设置标准的重新认知。行政组织应随行政任务需要而调整,从历史视角来看,行政组织经过一段时间发展必然会从整体上呈现任务与组织规模不断膨胀的现象。中国自改革开放起至2018年的机构改革基本上均可视为规模上的调整,目标在于精简机构。几十年的变革过程,与域外所探讨的政府组织改革,包括组织精简、设立行政法人与独立机关等举措,大致处于同一时期,但中国对相关问题缺乏深入讨论。行政组织形态的选择决定基于何种考量因素而作出,有无评估程序且得为最适行政组织,以及该行政组织能否迅速、正确作出决定并有效率执行而实现最佳效能呢?因此,有必要讨论行政组织的设置标准问题。一般情况下,行政组织的设立既取决于立法与行政的权力划分、中央与地方权限权限划分,也有来自某一领域业务的重要性、对人权的干预程度、对国家经济社会发展整体影响等因素的考量。设置标准的考量同时决定了行政组织的构成形态。2018年机构改革提出优化协同高效原则,主张一类事项原则上由一个部门统筹、一件事情原则上由一个部门负责,这一原则和思路在一定程度上改变了过去以业务领域为主设置行政组织的作法,朝着行政任务导向的组织法建构转变,对于未来行政组织设置标准的完善具有指导意义。
其三,对行政组织作用的重新认知。与域外通过不同的组织形式实现其对民主、人权的关切不同,中国行政组织的设置往往持静态视角,过于强调行政作用法的功能,缺乏对各种具有弹性机制、公务自治等价值取向的关注,导致科层制行政机关面临着诸多的挑战。以个人信息保护为例,其面临国内外政治、经济高度动态变迁以及科技快速突破与发展,立法难以适用时代需求,不得已使用大量不确定法律概念与裁量之挑战,使得此等与国家发展以及产业、公民基本权利密切相关的领域,行政作用法显得独木难支。创设相对独立的机关出发点正在于弥补行政作用法的不足,发挥行政组织作为规制手段的功能。行政组织的规制功能不仅能够使其本身考虑诸多的合法性因素,更可以考量效率与效能、便民亲民问题,切实提升行政行为的质量。反对者认为维持现状更符合精简与效率要求,然而专责机关的意义不仅可以从整体上对公务机关和非公务机关进行监督,[xliii]而且可以更为有效地回应和昭显宪法层面对民主、权利的保障。专责机关与公务机关和非公务机关保持距离,专业而有效地作出判断,透明运作,加强与社会各界对话、利害关系人适度监督等作法,无疑可使行政组织的作用与行政行为相关联,更能考量不同情形、作出公民可以接受的结果。中国行政组织法一直未能很好地坚持法定原则,立法实践常以作用法或者其他法规范规定行政机关的组织建制,使得行政组织本身的规制功能难以得到重视。[xliv]
(三)中国现行个人信息保护机关的不足分析
近年来,面对仅仅依赖私法保护产生的困境,有学者认为基于公共利益而促进个人信息的共享和使用,在立法手段上应当由专门机关加以监督,因为相较于美国,中国企业自律性并不充足,公法介入更为有效。[xlv]但专门机关与专责机关的语境大相径庭,前者强调弥补私法、市场或者行业自律不足而设置行政机关,即使基于合作规制,[xlvi]亦仅仅是针对私法不足而诠释的笼统性设计;后者系立足公法,对是否需要构建统一的专责机关、专责机关与一般行政机关的关系如何等议题展开的体系性讨论。相关研究国内较为鲜见,既有观点较为肯认业已形成的规制分工。当然,国际做法不见得需要完全移植,域外亦存在美国的部门规制模式,运行效果未必乏善可陈。美国自我规制实践发达,联邦贸易委员会本身发挥着普通法发展法律的优势。[xlvii]不过,其虽然可在具体领域提供适切的规制措施,但统一解释和适用存在问题,恐有规范漏洞。或许唯有意识到这些内容,比较法才更具实质意义。况且,单纯仰赖市场机制与自我规制对于数字时代的隐私与个人信息保护,功效每况愈下,近年来美国学者亦强调政府介入的必要性。[xlviii]在州级层面已然设立专责机关之际,联邦层面统一立法的呼声更是此起彼伏。[xlix]基于法理分析,中国现行个人信息保护机关设置存在一定弊端,这构成建立专责机关的理由。
其一,个人信息保护与传统行政职能不同,渗透于公务活动和非公务活动的方方面面。中国目前确立的以行业或领域主管部门负责对本行业或领域经营、服务活动中个人信息保护问题进行规制的体制,具有针对性。然而,分散规制的模式导致主管部门各自为政,规制动力不足,规制标准和程序各异,缺乏协调一致;主管部门负责本行业或者本领域的规制,与行业之间难免存在利益纠葛,公正性值得怀疑。各法律规范之间的关联并不紧密、未形成体系,公民个人信息受到侵害,经常出现投诉无门之境。为此,现行法又以兜底规制作为补充。一是在本行业或领域中出现未规定情形时,该有关主管部门为兜底规制部门。二是在经营或者服务活动以外的场合,公安机关为兜底规制部门。[l]然而,大数据时代,信息传播突破了地域、时间等限制,与任何行业和领域紧密交错,主管部门固然熟悉本职业务,公安机关、刑事责任固然可在短期内发挥效用,但从推动全社会建立有序规范出发,实有必要设置专责机关。
其二,个人信息保护不仅需要事后救济,而且需要事前的风险规制。《个保法》的规定与政府精简机构的理念基本吻合,因为设立专责机关诚然有利全面履职,但涉及机构和人员编制的扩容,需要相应的工作条件和经费,由主管部门自行监督,既不增加编制又不突破现有体制。立法赋予国家网信部门负责统筹协调工作,然而此种统筹协调机制明显伴有诸多不足。相对于其他权利被侵害,个人信息被侵害的紧急性更高,且个人信息受到侵害后,难以恢复至原状,现行统筹协调机制多启动于事件发生之后。事后救济无法有效适应科技快速发展的需求,如许多表面看似无法识别的个人信息,均有可能经由算法追溯到个人,或推断出生活中的私密细节,让反匿名、重新识别均不再是难事;再利用等方式使大数据侵害隐私和个人信息的风险特性产生难以预料的变化。现行机制没有能够建立起各行政机关在处理个人信息时的事前监督机制,导致各主管部门无法统合性、风险预防地保障个人信息。就事后监督而言,因被侵害具有紧迫性,应当建立可以快速救济的机制来保障当事人权益。
其三,个人信息保护议题专业性强,争议较复杂,分散规制模式难以有效应对。科技日新月异,侵害个人信息的行为呈现出技术性和突发性的特点,由于受害人能力等限制,私法必须结合公法机制才能大有作为。行政规制综合全面,既有事前风险预防和教育,又有事中事后风险管理和交流,可提供多维度的保障。目前中国仍然是将传统规制职能向个人信息保护领域延续,此举在一定程度上符合个人信息保护与传统规制相互融合的发展趋势,但从个人权利充分保障的视角来讲,综合、专业化的专责任机关更能有效解决问题。此外,从国家网信部门的职能来看,其主要在于落实互联网信息传播方针政策和推动互联网信息传播法制建设,指导、协调、督促有关部门加强互联网信息内容管理等,职能侧重在网络安全和信息化建设工作,能否做好个人信息保护工作颇有疑问。[li]即使《网络安全法》颁行以来,国家网信部门的作用愈来愈重要,但专业性、独立性仍难保障。“即使立法赋予了‘网信办’进行统筹协调的职权,它也无法摆脱临时组织的性质和多头监管带来的弊端。这充分表明,分散式的监管主体缺乏统一性和独立性,无法有效地统领个人信息保护监管的大局。”[lii]
其四,个人信息保护关切公民基本权利,又勾联国家安全与国际贸易,现行模式仅关注本领域事务,难以有效推进国内、涉外法治协同发展。信息社会的发展对公民行使基本权利和自由产生巨大影响,有必要采取更加积极主动和系统的方法回应。[liii]许多国家专责机关、确保平等权实现的机关和监察专员等地位相同,均构成了国家人权保障的主要组织。[liv]基于当代科技发展的持续性,中国有义务采取适当的组织与程序保护措施,使个人信息免遭侵害,从而彰显国家对人权保障的关怀。国家有义务不断配合信息科技发展的步伐,采取随科技进步而升级的动态性的权利保护措施。如此,专责机关方能事先对个人信息的处理活动建立法制、技术、组织及程序上的各种机制,以确保所收集信息的安全与正当使用。在电子商务、跨境数据流通日益增长的情形,一旦侵害个人信息行为发生于境外时,亦可以迅速通过专责机关以国际合作方式实现救济。
四、中国个人信息保护专责机关的构建
中国目前并未设置独立的专责机关,立法采取了维持既有机关分散监督的模式,同时拟设立统筹协调机关,类似前述第二种过渡或统筹协调模式。如何统筹协调,尚需学理加以明确。《个保法》意在维持目前行政组织法的基本框架,让熟稔本领域业务的主管部门各司其职,且有利于节约行政成本。[lv]然而,此举忽视专责机关所具有的独特优势并缺乏对行政机关的监督。各行政机关之间会因规制权力不明导致规制效率低下、监督力度不足。在此情形下,一方面应当借法律实施之机,梳理个人信息保护的规制模式,分析利弊得失,从学理上深入讨论专责机关的建构及其法理支撑;另一方面国家应当意识到设置专责机关在于彰显国家对个人信息保护的决心,组建该机关并通过该机关的运行建立隐私生活权利保障及个人信息自由流通之间的平衡。如此,方能使中国把握数字经济发展的机遇,以独立与专业性、国际化视野引领全球个人信息保护的前沿实践。
(一)几种版本的比较
《一审稿》审议前,据统计尚存在三部建议稿,分别由周汉华、齐爱民和张新宝教授起草(以下简称“周版”“齐版”和“张版”)。“齐版”并无专门条款对监督或者专责机关作出规定,从立法体例来看,基本上秉持了行政机关依法在各自职责范围内负责个人信息保护和监督管理工作的思路。[lvi]“周版”建议“县级以上人民政府信息资源主管部门负责组织、指导、推动、监督”法律实施,并赋予其许可、登记、复议、检查、行政强制、行政处罚等权力。[lvii]同时,该版本为体现执法机构的独立性、专业性和权威性,提出未来应建立独立的信息委员会,“有条件的地方,政府信息资源主管部门可以吸收本部门之外的专家,组建独立的信息委员会,受理行政复议申请,做出行政复议决定,行使其他行政管理权力”。在处理专责机关与一般行政机关之间的关系时,该版本指出对于一般的行政机关而言,其在法定职权范围内收集个人信息,必须要有明确、合法和特定的使用目的;收集个人信息之前,应就有关事项向信息资源主管部门进行登记,履行登记义务且公告。“张版”确定的思路与《二审稿》思路类似,列举了国家网信部门统筹协调的职责,包括可单独或联合属地网信部门对信息业者个人信息保护工作进行监督检查;协调国务院各主管部门开展个人信息保护执法工作,定期或临时召开促进个人信息保护部际联席会议;代表国家与其他国家、国际组织开展个人信息保护国际合作。同时,建议国家网信部门设立个人信息保护专家咨询委员会,就个人信息保护相关重大问题开展咨询,促进个人信息保护与大数据利用工作的科学性。[lviii]
三版本各有千秋,基本彰显了学者对于个人信息保护机关设置的主要思路。或许是因为“周版”草拟者系公法学教授,因而更为强调组织设计的问题,且涉及救济职能;“张版”时间较近,观察到数字时代各主管部门业务均关涉个人信息保护,因而强调统筹协调职能的设计。个人信息保护确实需要加强统筹协调、执法的一致性、风险评估与规制,如此才能克减复杂性带来的负面影响;确实需要立法明确专责机关受理涉及个人信息的投诉以及对个人信息纠纷进行调解的权力。当前及未来,我们会生活于持续数字化的时代,新兴挑战或许需要更富想象力的创新来确保个人信息得到有效保护。
(二)专责机关构建的基本思路
《一审稿》公布前后,有关个人信息保护机关设置的讨论,可谓聚讼纷纭。至于具体构建思路,则详略不一,多数研究虽主张建立独立的机关,但性质定位仍然为传统行政机关,并未对其组织法功能、职责等展开讨论。代表性观点建议应成立专门的机关,如在国务院下设全国个人信息保护委员会,为事业性机构,层级可分为中央与省、自治区、直辖市两级。[lix]亦有立足现实,建议在国家网信部门中增设相对独立的个人信息保护机构,集中担负个人信息保护执法,为公民提供投诉、申诉等维权服务。而对于个人信息保护机关与其他主管部门的关系,拟议建立协同机制。[lx]或者有建议将信息公开监管职能与信息保护职能合二为一,成立“信息公开与个人信息保护机构”,对公共部门处理个人信息行为进行监督。[lxi]这些提议为构建个人信息保护专责机关蕴蓄了重要的素材,亦引发了许多争议。在设计制度之前,有必要对三个具体问题加以剖析:
其一,专责机关与中国行政组织法体系并不一致,如何定位存在疑虑。域外多将个人信息保护专责机关定位为独立机关,而所谓独立机关的概念目前仅系中国行政法学者研究的范畴而已。[lxii]需要特别指出的是,独立机关的设立确实突破了行政一体原则,但其具有的独立性在运行层面可理解为作用法意义上的独立,而非组织法意义上的独立,且专责机关作用的发挥会因人权保障和民主理念的深化而备受关注。
其二,关于专责机关职权过于宽泛,难以了解各行业或领域个人信息运作实际状况的疑虑。因科技发展,所有公务机关或非公务机关均涉及个人信息处理,且各有其不同的收集方法与处理、利用目的,似乎只有主管部门最为熟悉其收集、处理与利用个人信息的方法,进而展开有效规制。专责机关则未必能完全掌握业界全部的状况,能否切中要害进行调查或辅导业者解决问题,并非无困惑。这是从效能、制度等观点切入的省思,随之滋生的课题在于如何实现专责机关与一般机关之间的统筹协调。专责机关职能究竟如何?是否要承担申诉、争议解决功能,能否介入当事人间调解纷争,甚至代表当事人进行诉讼?这些疑问同样与行政组织法研究不够充分有关,强调行政组织与行政任务的匹配可称为积极探索,同时也应在设置组织时,考量与作用法、救济法的关联,如此才能全面实现规制目标。
其三,考虑到个人信息保护之规制需要高度公权力的行使,因此在目前中国的法律制度下,专责机关似不宜如同英国或者香港特区一般为半官方性质的机构。结合中国行政体制的独特性以及对行政效率的关切,专责机关应不宜仅具咨询功能。建议可仿效多数国家或地区将专责机关设为国务院直属,同时为发挥国家网信部门的专业与资源优势,将专责机关与其合署办公,同时从立法上规定专责机关不仅具备独立的组织、财政资源,而且在功能上能够依法独立行使职权,不受其他无关机关指挥监督。在组织架构层面,考虑到个人信息的处理涉及公务机关行政管理、私人企业经营利益等诸多问题,需要衡量多方意见反映各种不同的价值观,因此合议制最佳。委员的构成可以考量多元化来源,尽量遴选能代表社会各领域的专家及法律、信息技术的学者组成委员会。此处需要对《二审稿》第57条增设独立机构监督超大平台的作法加以回应,该机构由外部成员组成,对个人信息的运用加以监督,颇具独立、专业监督的取向,亦体现立法对组织规制功能的重视。但问题在于这一机构的地位、权威与效果似乎仍然依赖于行政体系,同时仅监督私人主体,未来毋宁以构建专责机关的方式整合监督所有主体的行为、凸显权威性与促进个人权益保障的有效性为更佳。
总之,个人信息保护专责机关的设置应立足国情,一方面在职能层面应包括起草个人信息保护法律规范;开展旨在提升公民个人信息保护意识的教育活动;受理个人信息保护有关的投诉以及处理;对个人信息保护法律规范作出解释性说明与指引;对侵害个人信息的违法行为展开调查取证,依法及时予以裁处等事项。专责机关要充分行使职权,包括事前风险防范,事中规制,事后跟踪;健全调查和裁处制度,建立和完善信息处理风险评估制度,培育企业与行业自律机制等。另一方面要处理好专责机关与国家网信部门、各主管部门之间的关系。专责机关与国家网信部门合署办公,如何保障其独立性、专业性问题需要深入讨论;亦需要进一步研讨如何对各主管部门提出有关个人信息保护政策、修法建议,如何行使统筹协调、监督权及听取报告并给予建议、命令改善等权力。专责机关还应积极参与个人信息保护和跨境数据流通规则制订,代表国家参加国际会议,探索建立个人信息保护执法的合作机制。
(三)专责机关的发展与挑战
综上分析,可以看出个人信息保护立法有关个人信息保护机关的设计略显保守。有必要从行政组织法的层面探讨经济社会变迁下履行个人信息保护职责的部门应当如何建构,进而全面实现个人信息保护和数据流通的平衡。假若未来专责机关得以确立,仍然会遇到许多挑战。这是因为任何制度均非完美无瑕,欧盟专责机关在运行中亦存在问题,如多数公民并不知晓该机关;权力有限,导致遵从率较低;独立性较差,财政、人力不足等。[lxiii]或许还是要从民主法治的视角出发,探讨独立机关的问题,而非简单局限于行政事务的应对;探讨行政组织如何与行政作用、行政救济相协调,行政组织如何引入多元化解决方案、发挥所具备的规制功能。从行政组织法的发展程度来看,建构与行政任务相适应的行政组织类型,或许言之过早,但专责机关的发展将为学理讨论带来更多的契机,运行中以下几点值得关注:
其一,统筹协调功能的发展。有观点认为成立专责机关后便无需统筹协调职能,但事实上行政因部门分割使得统筹协调长期存在。此问题不仅中国存在,域外亦是如此。[lxiv]为此,英国提出“整体政府”理念,以应对公共服务的复杂性需求以及政府管理碎片化问题,具体包括设立部际委员会、成立专项任务小组以及独立机关等。[lxv]中国改革开放以来历经多次机构调整,目前确立了优化协同高效的基本原则,然而由于缺乏整体与协调相互动的理念,一方面即使不断整并部门,而部门权力割裂依然是影响部门责任和能动性的重要因素,许多事项经“部际联席会议”协调之后依然会产生完全不同的解决方案,反而可能使问题更加复杂;另一方面政府的整体监督功能无法正常发挥,现代政府依靠分工和专业化提升效率,进而满足服务的个性化要求,不过重要事项、宏观决策、个人权利保障等层面依然需要整体调控。当然,亦有反对者会认为建立专责机关会走上食品安全部门不断整合的老路,因为任何事项都会跨越部门界限甚至需要利用外部力量。但专责机关的意义在于整体控制、组织整合与统一规制;面对跨领域、部门以及重大事项时,专责机关亦需启动联合执法并发挥统筹协调作用,远比联席会议更加正式和有效。主管部门在个人信息保护层面的侧重点迥然相异,职权有重合或真空,专责机关利用职责的灵活性,实现统筹协调。为合理界定统筹协调职能,有建议根据个人信息保护涉及的规模、权利重要性、对公共利益影响程度等因素,专责机关的管辖权主要由中央与省级两个层级负责。[lxvi]此建议意在协调中央与地方权限,克减纵向执法权过于分散而滋生的弊端,值得关注。
其二,如何有效发挥专责机关的风险规制能力。基于风险的方式建构个人信息保护法框架并积极作出行动业已成为个人信息保护的重要路径。[lxvii]风险规制旨在探寻影响社会不良事件的可能性或程度。[lxviii]如个人信息保护影响评估、通过设计的个人信息保护、敏感信息的安全机制等,均为了预防风险而作出。为此要研究事前规制手段,特别强调以风险为基础的规制手段的应用,依照风险的高低而有不同的规制密度。具体方案包括事前咨询个人信息保护负责人、是否实施适当的技术和组织措施、风险评估等,当然要注意与以权利为基础的规制手段的协调问题。
其三,专责机关是否需要行使许可权,从而有效实现个人信息保护的目标。有人借鉴域外经验提出应构建个人信息处理许可制度,认为该制度不仅可以约束行政权力的任意扩张,又为其他个人信息处理者追求自身利益设置了必要的条件。通过该制度可以判定某行政机关是否具有从事该个人信息收集的资格,是否有权限进行处理个人信息,进而决定其是否可以实施处理和收集公民个人信息的行为。[lxix]这里涉及的问题在于非公务机关处理信息是否需要经过许可?与行政机关在处理个人信息时需要授权和许可不同,非公务机关如果完全强调行政许可的话,与目前规制缓和的总体思路并不一致,基于“放管服”的精神,个人信息保护立法并未规定个人信息收集等行为的许可或者登记制度。然而,从全面保护个人权利的视角,仍需按照个人信息不同类别加以研讨和设定,亦可以发挥产业、协会的作用,通过对话机制,促进探索使用新科技的组织与专责机关良性互动。
其四,专责机关的救济功能如何展开。具体可分为几种情形:一是当专责机关对非公务机关作出处罚后,救济功能体现为是否可以提出行政复议?这取决于行政复议制度的变革,但从专业性讲,毋宁让专责机关自行承担行政复议职能更易发挥其优势。二是专责机关认为行政机关违反个人信息保护法,决定是否具有执行性?如果有,如何执行并救济?这取决于行政诉讼制度的创新。同时,《个保法》第68条的约束性应得到进一步加强。三是受理公民个人对违法个人信息处理活动的投诉、举报,如何处理?这与域外专责机关的申诉处理功能相似,但又因中国并无监察专员制度而不完全相同。《个保法》第65条规定收到投诉、举报的部门应及时处理,并将结果告知当事人。实践中既需结合现有制度加以发展,又需关注信访制度的改革而予以及时回应。[lxx]
结语
随着网络信息技术的迅猛发展,公众越来越难以知晓“何人”正在收集个人信息,以及“何种”个人信息将“如何”在“何时”被“何人”处理与利用,抑或是个人信息储存的时间久长。基于此,域外多通过立法、修法以积极措施来防止侵害发生,避免适用传统消极方式而引发大量侵害事件。从立法例观察,成立专责机关业已成为国际趋势。对于个人信息保护问题,目前中国完成了统一立法,但是在规制机关设置层面依然采分散规制与统筹协调相结合的模式,既继受过往经验又具精简机构的考量,但从保护有效性以及国际合作层面出发,建立专责机关系实属必要。基于行政组织法的观察,独立机关的建置旨在处理特别需要专业化或必须充分顾及政治与社会多元价值的公共事务,确保行政权的行使系在专业、公正与中立的考量下完成。这一思路体现了行政组织应与行政任务相契合的观念,有利于充分发挥行政组织应有的规制功能。中国应当在完善行政组织法理论和框架下,将个人信息和隐私保护置于更高的战略地位,要统筹协调各主管部门作为发展国家级个人信息与隐私保护策略的能力,从而建立适合国情、具有专业、独立、国际化的个人信息保护专责机关,而这种尝试也为行政组织法的发展提供了契机。
注释:[i]参见周汉华:《未来个人信息保护机构设置要明确独立性》,http://iolaw.cssn.cn/xzxz/202007/t20200729_5162071.shtml,2020年11月25日最后访问。
[ii]邓志松、戴健民:《〈个人信息保护法(草案)〉实务解读――十大关键词与九大业务场景》,http://www.dachenglaw.com/cn/news/dachengNews/140052.html,2021年1月27日最后访问。
[iii]参见黄道丽、胡文华:《〈个人信息保护法(草案)〉的立法评析与完善思考》,载《信息安全与通信保密》2021年第2期。
[iv] GDPR与1995年欧盟《数据保护指令》有关专责机关规定的异同参见李媛:《大数据时代个人信息保护研究》,华中科技大学出版社2019年版,第129-131页。
[v] See Andra Giurgiu & Tine A. Larsen, Roles and Powers of National Data Protection Authorities - Moving from Directive 95/46/EC to the GDPR: Stronger and More “European” DPAs as Guardians of Consistency?,2 European Data Protection Law Review 342,342(2016); European Union Agency for Fundamental Rights and Council of Europe, Handbook on European Data Protection Law, Publications Office of the European Union,2018, p.189.
[vi]参见西村洋:《日本个人信息保护制度及其对中国的启示》,载《网络法律评论》2016年第1期。
[vii] See Abraham L. Newman, Protectors of Privacy: Regulating Personal Data in the Global Economy, Cornell University Press,2008, p.9.
[viii] See Milda Macenaite, The Riskification of European Data Protection Law through a Two-Fold Shift,8 Eur. J. Risk Reg.506(2017); Rapha�l Gellert, The Risk-Based Approach to Data Protection, Oxford University Press,2020.
[ix] See Christopher Kuner, Transborder Data Flows and Data Privacy Law, Oxford University Press,2013, p.34.
[x] See European Union Agency for Fundamental Rights, Data Protection in the European Union: The Role of National Data Protection Authorities, Strengthening the Fundamental Rights Architecture in the EU II, Publications Office of the European Union,2010, p.19.
[xi] Article 29 Data Protection Working Party (2002), Opinion 4/2002 on the level of protection of personal data in Argentina, WP63, Brussels,3 October 2002, p.14.
[xii] See Orla Lynskey, The Foundations of EU Data Protection Law, Oxford University Press,2015, p.15.
[xiii] See Nadezhda Purtova, Property Rights in Personal Data: A European Perspective, Kluwer Law International,2011, p.109.
[xiv] See Paul M. Schwartz & Daniel J. Solove, Information Privacy Law, Wolters Kluwer,2009, p.119.
[xv]参见熊爱卿:《台湾个人资料保护法要述》,载《山东科技大学学报(社会科学版)》2011年第2期。
[xvi]参见个人信息保护课题组:《个人信息保护国际比较研究》,中国金融出版社2017年版,第93页。
[xvii] Republic of Korea, Personal Information Protection Act, Article 7, http://www.pipc.go.kr/cmt/english/news/selectBoardArticle.do, last visited Jan.31,2021.
[xviii] See Colin J. Bennett & Charles D. Raab, The Governance of Privacy: Policy Instruments in Global Perspective, Ashgate,2003, p.109.
[xix] See David H. Flaherty, Controlling Surveillance: Can Privacy Protection Be Made Effective?, in Philp E. Agre & Marc Rotenberg eds, Technology and Privacy: The New Landscape, MIT Press,1997, p.175.
[xx]比如,有机关承担着政府数据利用或者信息公开法所赋予的职责,有机关主管网络安全执法工作等。See International Conference of Data Protection & Privacy Commissioners, Counting on Commissioners: High Level Results of the ICDPPC Census 2017, p.14, https://globalprivacyassembly.org/wp-content/uploads/2017/09/ICDPPC-Census-Report-1.pdf, last visited Dec.6,2020.
[xxi] See Centre for Information Policy Leadership (CIPL), Regulating for Results: Strategies and Priorities for Leadership and Engagement Discussion Paper, Hunton & Williams LLP,2017, Annex A�CDPA Functions Under GDPR.
[xxii] See Colin J. Bennett, Regulating Privacy: Data Protection and Public Policy in Europe and the United States, Cornell University Press,1992, pp.179-85.
[xxiii] See Blair Stewart, A Comparative Survey of Data Protection Authorities- Part 2: Independence and Functions, http://www.austlii.edu.au/au/journals/PLPR/2004/39.html, last visited Feb.22,2020.
[xxiv]参见陈爱娥:《行政法学作为调控科学――以行政组织与行政程序为观察重心》,载台湾行政法学会主编:《行政法学作为调控科学》,台湾元照出版有限公司2018年版,第4页。
[xxv]参见李建良等:《行政法入门》,台湾元照出版有限公司2006年版,第204页。
[xxvi]参见翁岳生编:《行政法》(上册),中国法制出版社2002年版,第328-334页。
[xxvii]参见应松年主编:《当代中国行政法》(第2卷),人民出版社2018年版,第563-564页。
[xxviii]参见经济合作与发展组织:《分散化的公共治理――代理机构、权力主体和其他政府实体》,中信出版社2004年版,第1-18页。
[xxix]参见李洪雷:《行政法释义学――行政法学理的更新》,中国人民大学出版社2014年版,第209页。
[xxx] See Alan B. Morrison, How Independent Are Independent Regulatory Agencies?,1988 Duke L. J.252(1988); Paul Verkuil, The Purposes and Limits of Independent Agencies,1988 Duke L. J.257,259-261(1988).
[xxxi]参见应松年、王龙江主编:《美英德法日行政体制与组织法研究》,法律出版社2014年版,第16页。
[xxxii] See Mark Elliott & Robert Thomas, Public Law, Oxford University Press,2017, pp.135-138.
[xxxiii] See OECD: Distributed Public Governance: Agencies, Authorities and Other Government Bodies,2002, p.228.
[xxxiv]参见[德]施密特・阿斯曼:《秩序理念下的行政法体系建构》,林明锵等译,北京大学出版社2012年版,第230页。
[xxxv]参见詹镇荣:《变迁中之行政组织法――从“组织形式选择自由”到“组织最适诫命”》,载台湾行政法学会主编:《行政组织与人事行政法制之新发展》,台湾元照出版有限公司2010年版,第25页。
[xxxvi] See Neal Devins, Political Will and the Unitary Executive: What Makes an Independent Agency Independent?,15 Cardozo L. Rev.273(1993).
[xxxvii]参见许宗力:《独立机关――我国台湾地区行政组织法的难题》,载《行政法学研究》2015年第3期。
[xxxviii]参见黄锦堂:《行政组织法论》,台湾翰芦出版有限公司2005年版,第20-21页。
[xxxix]参见[英]威廉・韦德、克里斯托弗・福赛:《行政法》(第10版),骆梅英等译,中国人民大学出版社2018年版,第36页。
[xl]参见陈征:《党政机关合并合署与行政活动的合法化水平》,载《法学评论》2019年第3期。
[xli]法治国家责任清楚及效率之要求,与民主正当性之要求汇集于组织法。
[xlii] See Peter L. Strauss, The Place of Agencies in Government: Separation of Powers and the Fourth Branch,84 Colum. L. Rev.573,583(1984).
[xliii] See Hielke Hijmans, The European Union as Guardian of Internet Privacy: The Story of Art 16 TFEU, Springer,2016, p.332.
[xliv]参见叶必丰:《行政组织法功能的行为法机制》,载《中国社会科学》2017年第7期。
[xlv]参见吴伟光:《大数据技术下个人数据信息私权保护论批判》,载《政治与法律》2016年第7期。
[xlvi]参见高秦伟:《个人信息保护中的企业隐私政策及政府规制》,载《法商研究》2019年第2期。
[xlvii] See Daniel J. Solove & Woodrow Hartzog, The FTC and the New Common Law of Privacy,114 Colum. L. Rev.583(2014).
[xlviii] See Dennis D. Hirsch, The Law and Policy of Online Privacy: Regulation, Self-Regulation, or Co-Regulation?,34 Seattle U. L. Rev.,439,458-59(2011).
[xlix] See Sahara Williams, CCPA Tipping the Scales: Balancing Individual Privacy with Corporate Innovation for a Comprehensive Federal Data Protection Law,53 Ind. L. Rev.217(2020); Carol Li, A Repeated Call for Omnibus Federal Cybersecurity Law,94 Notre Dame L. Rev.2211(2019).
[l]参见《中华人民共和国消费者权益保护法》第56条;《中华人民共和国网络安全法》第44条、第64条第2款。
[li]参见蒋都都、杨解君:《大数据时代的信息公益诉讼探讨――以公众的个人信息保护为聚焦》,载《广西社会科学》2019年第5期。
[lii]邓辉:《我国个人信息保护行政监管的立法选择》,载《交大法学》2020年第2期。
[liii] See Peter J. Hustinx,(Future) Interaction Between Data Protection Authorities and National Human Rights Institutions, in Jan Wouters & Katrien Meuwissen eds., National Human Rights Institutions in Europe: Comparative, European and International Perspectives, Cambridge University Press,2013, pp.157-172.
[liv] See Graham Greenleaf, Independence of Data Privacy Authorities (Part II): Asia-Pacific Experience,28 Computer L.& Security Rev.121,128(2012).
[lv]参见周汉华:《〈个人信息保护法(草案)〉――立足国情与借鉴国际经验的有益探索》,载《探索与争鸣》2020年第11期。
[lvi]参见齐爱民:《中华人民共和国个人信息保护法学者建议稿》,载《河北法学》2019年第1期。
[lvii]参见周汉华:《中华人民共和国个人信息保护法(专家建议稿)及立法研究报告》,法律出版社2006年版,第1-27页。
[lviii]参见张新宝、葛鑫:《个人信息保护法(专家建议稿)及立法理由书》,中国人民大学出版社2021年版。
[lix]参见黄勇:《论个人信息保护执法机构的设置及其职能》,载《山西煤炭管理干部学院学报》2010年第1期。
[lx]参见京东法律研究院:《欧盟数据宪章――〈一般数据保护条例〉GDPR评述及实务指引》,法律出版社2018年版,第158页。
[lxi]参见张娟:《试论我国个人信息隐私权的公法保护》,载《科技与法律》2007年第6期。
[lxii]个人信息保护专责机关与中国先前对于规制机关设置及其独立于相关产业的讨论重点并不一致,个人信息保护专责机关既需要监督公务机关又需监督业者。参见马英娟:《中国政府监管机构构建中的缺失与前瞻性思考――兼议政府监管领域“大部门体制”的改革方向》,载《河北法学》2008年第6期。
[lxiii] See FRA, Data Protection in the European Union: The Role of National Data Protection Authorities (Strengthening the Fundamental Rights Architecture in the EU II), http://fra.europa.eu/en/publication/2012/data-protection-european-union-role-national-data-protection-authorities, last visited Dec.20,2020.
[lxiv] See Catherine M. Sharkey, Agency Coordination in Consumer Protection,2013 U. Chi. Legal F.329,333(2013).
[lxv]参见孙迎春:《发达国家整体政府跨部门协同机制研究》,国家行政学院出版社2014年版,第74-78页。
[lxvi]参见孙莹:《大规模侵害个人信息高额罚款研究》,载《中国法学》2020年第5期。
[lxvii] Article 29 Data Protection Working Party, Statement on the Role of a Risk-based Approach in Data Protection Legal Frameworks, WP218, Brussels,30 May 2014, p.2.
[lxviii] See Christopher Hood, Henry Rothstein, and Robert Baldwin, The Governance of Risk: Understanding Risk Regulation Regimes, Oxford University Press,2004, p.3.
[lxix]参见郭志雷:《论个人信息的行政法保护》,载《湖北经济学报(人文社会科学版)》2010年第8期。
[lxx]参见高秦伟:《法治政府建设中的利益表达机制及其完善》,载《治理研究》2020年第4期。 作者简介:高秦伟,法学博士,中山大学法学院教授。 文章来源:《法学评论》2021年第6期。 发布时间:2021/12/22