劉紹宇

(中國社會科學(xué)院 法學(xué)研究所, 北京 100732)

一、問題的提出

2021年8月20日,十三屆全國人大常委會第三十次會議表決通過了《中華人民共和國個人信息保護法》(以下簡稱“個保法”),我國個人信息保護自此邁入了一個全新的時代。個保法的正式出臺不僅標(biāo)志著我國個人信息保護制度框架的基本形成,而且為世界提供了一份個人信息保護的中國方案。其中不少規(guī)定具有顯著的獨創(chuàng)性和鮮明的本土性,尤其是第58條規(guī)定的監(jiān)督個人信息保護情況的獨立機構(gòu)(以下簡稱“獨立監(jiān)督機構(gòu)”),是世界范圍內(nèi)首次在個人信息保護領(lǐng)域引入了私人規(guī)制機構(gòu),是個人信息保護法領(lǐng)域一次真正意義上的中國創(chuàng)新[1]。

2020年10月21日,《中華人民共和國個人信息保護法(草案)》公布并公開征求社會公眾意見,當(dāng)時的法律文本并不包含關(guān)于獨立監(jiān)督機構(gòu)的內(nèi)容。直到2021年4月29日,全國人大常委會公布《個人信息保護法(草案二審稿)》(以下簡稱“二審稿”),首次在第57條規(guī)定了獨立監(jiān)督機構(gòu):提供基礎(chǔ)性互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個人信息處理者,應(yīng)當(dāng)履行下列義務(wù):成立主要由外部人員組成的獨立機構(gòu),對個人信息處理活動進行監(jiān)督。根據(jù)全國人民代表大會憲法和法律委員會《關(guān)于〈個人信息保護法〉(草案)》修改情況的匯報,相關(guān)部門和專家建議強化超大型互聯(lián)網(wǎng)平臺的個人信息保護義務(wù),并加強監(jiān)督,而憲法和法律委員會經(jīng)研究,建議增加一條規(guī)定,即二審稿第57條。該條款不僅采納了相關(guān)部門和專家的建議規(guī)定了超大型互聯(lián)網(wǎng)平臺的個人信息保護義務(wù),而且開創(chuàng)性地規(guī)定了獨立監(jiān)督機構(gòu)。

二審稿公布后,該制度作為一項全新機制引起了各界的高度關(guān)注和激烈討論。2021年8月20日,個保法正式通過。從最終的法律文本來看,盡管該制度在二審稿討論過程中備受爭議,但在最終稿審議過程中仍得以保留,只不過法條序號被調(diào)整為第58條,個別表述也被修改?！盎A(chǔ)性互聯(lián)網(wǎng)平臺服務(wù)”被修改為“重要互聯(lián)網(wǎng)平臺服務(wù)”,原第1款加入了“按照國家規(guī)定建立健全個人信息保護合規(guī)制度體系”。除此之外,獨立監(jiān)督機構(gòu)的任務(wù)從“對個人信息處理活動進行監(jiān)督”改為“對個人信息保護情況進行監(jiān)督”。

從整個立法過程來說,獨立監(jiān)督機構(gòu)機制的建立顯得較為突兀。個保法頒行之前,我國學(xué)界便對個人信息保護制度進行了全面深入的研究,但無論是相關(guān)論文、著述還是專家建議稿,均無法找到關(guān)于獨立監(jiān)督機構(gòu)的論述。此外,個保法中絕大多數(shù)制度均能在此前的國內(nèi)外法律、法規(guī)、規(guī)章、案例和標(biāo)準之中找到雛形,唯獨獨立監(jiān)督機構(gòu)是一個例外。即便把目光投向全球數(shù)據(jù)保護實踐,獨立監(jiān)督機構(gòu)也很難找到域外經(jīng)驗。雖然不少學(xué)者在立法過程之中主張引入超大互聯(lián)網(wǎng)平臺的守門人機制[2],但獨立監(jiān)督機構(gòu)和守門人機制是兩種完全不同的制度,守門人機制僅是獨立監(jiān)督機構(gòu)的一部分,引入守門人機制并不一定意味著設(shè)置獨立監(jiān)督機構(gòu)。更為值得關(guān)注的是,獨立監(jiān)督機構(gòu)有向其他平臺治理領(lǐng)域拓展的趨勢,2022年3月14日國家互聯(lián)網(wǎng)信息辦公室發(fā)布的《未成年人網(wǎng)絡(luò)保護條例(征求意見稿)》第20條第3款規(guī)定了對未成年網(wǎng)絡(luò)保護情況進行監(jiān)督的獨立機構(gòu)。

由此可見,獨立監(jiān)督機構(gòu)的提出是一次名副其實的創(chuàng)新之舉,而這也給其實施帶來了極大困難。目前,國內(nèi)外學(xué)術(shù)文獻和立法資料中關(guān)于獨立監(jiān)督機構(gòu)的論述十分少見。盡管個保法已經(jīng)早已進入實施階段,但獨立監(jiān)督機構(gòu)在實踐中尚未真正落實,“普遍陷入停滯的局面”[3]。超大互聯(lián)網(wǎng)平臺如何判定?獨立監(jiān)督機構(gòu)的獨立性究竟如何保證?究竟由哪些人員組成?監(jiān)督權(quán)限究竟包括哪些,又如何行使?如何對獨立監(jiān)督機構(gòu)的監(jiān)督權(quán)限進行限制?就內(nèi)部關(guān)系來看,其與個人信息保護負責(zé)又是何種關(guān)系?就外部關(guān)系來看,其與監(jiān)管部門是何種關(guān)系?這些問題自個保法出臺時便一直困惑著實務(wù)界,而對此立法者并未給出確切的答復(fù),學(xué)界也很少有研究可供參考[4-5]。基于此,全國信息安全標(biāo)準化技術(shù)委員會在2022年3月向各界征集落實該條款的標(biāo)準,試圖通過制定標(biāo)準的形式為企業(yè)如何建立獨立監(jiān)督機構(gòu)提供指南。

本文的主要目的便在于解決上述問題,為獨立監(jiān)督機構(gòu)在實踐中的落地提供具有可操作性的方案和建議。為了達到這一目的,首先要在理論上厘定獨立監(jiān)督機構(gòu)的法律性質(zhì)。本文擬在政府監(jiān)管視角下理解獨立監(jiān)督機構(gòu),認為其是監(jiān)管鏈條之中至關(guān)重要之一環(huán),并引入行政法中的元規(guī)制理論,提出獨立監(jiān)督機構(gòu)是私人參與公共任務(wù)的新形式——元規(guī)制機構(gòu),進而運用元規(guī)制的理論研究和實踐經(jīng)驗指導(dǎo)獨立監(jiān)督機構(gòu)的運行,在此基礎(chǔ)之上提出建立獨立監(jiān)督機構(gòu)的可能路徑。

二、 獨立監(jiān)督機構(gòu)的法律性質(zhì)

獨立監(jiān)督機構(gòu)的法律性質(zhì)是本文所要討論的首要問題,是探討如何規(guī)范獨立監(jiān)督機構(gòu)的起點。近年來,對于獨立監(jiān)督機構(gòu)這一陌生事物,學(xué)界并不清楚其法律性質(zhì),因而只能類比我國法律體系中獨立董事等近似的制度。本文試圖從政府監(jiān)管的視角理解獨立監(jiān)督機構(gòu),認為其是數(shù)據(jù)保護監(jiān)管鏈條中不可或缺的一環(huán),在法律性質(zhì)上屬于行政法中的元規(guī)制機構(gòu)。

(一)行政法中的元規(guī)制機構(gòu)

所謂元規(guī)制,是指“外部規(guī)制者有意促使規(guī)制對象本身針對公共問題,作出內(nèi)部式的、自我規(guī)制性質(zhì)的回應(yīng),而不包括外部規(guī)制者的無意而為”[6]。這一定義清晰地指出了元規(guī)制與自我規(guī)制之間的區(qū)別,即盡管元規(guī)制中也蘊含著自我規(guī)制,但這種自我規(guī)制是政府有意促使私人達到的。而政府究竟在多大程度上以及以何種方式促成私人自我規(guī)制,則決定了元規(guī)制的不同表現(xiàn)類型。元規(guī)制充分體現(xiàn)了規(guī)制與傳統(tǒng)行政法學(xué)的融合。在德國,元規(guī)制一般被稱為被規(guī)制的自我規(guī)制,是在20世紀90年代興起的行政法學(xué)變革背景下產(chǎn)生的,經(jīng)過數(shù)十年的發(fā)展與討論,已成為一個公認的行政法學(xué)概念。在很多近年來出版或更新的行政法學(xué)教材和論著中,元規(guī)制都作為一個重要的教義學(xué)概念被討論(1)Schaefer,Die Umgestaltung des Verwaltungsrechts,2016,S.348 ff.Schr?der,Verwaltungsrechtsdogmatik im Wandel,2007,S.200 ff.。這一概念具有很強的規(guī)制色彩,在新行政法興起的大背景下進入行政法學(xué)教義學(xué)體系之中,生動地反映了規(guī)制與行政法學(xué)之間的密切關(guān)系。

目前,元規(guī)制被視為私人參與公共任務(wù)的新形勢(2)Thoma,Regulierte Selbstregulierung im Ordnungsverwaltungsrecht,2008,S.23-26.。阿斯曼教授專門在其《作為行政法體系建構(gòu)要素的被規(guī)制的自我規(guī)制》一文中指出其與行政委托和行政助手等其他私人參與公共任務(wù)的形式,以及自主行政之間的差異(3)Schmidt-A?mann,Regulierte Selbstregulierung als Element verwaltungsrechtlicher Systembildung,VERW 2001,S.260 f.。在他看來,被規(guī)制的自我規(guī)制、行政委托和行政助手這3個概念處于一個行政與社會合作的光譜之中,光譜的兩個端點分別是命令式的政府完全規(guī)制和完全不受國家影響的自我規(guī)制,但自主行政并不位于這一光譜之中。在美國,元規(guī)制也受到行政法學(xué)界的廣泛關(guān)注,不少學(xué)者從傳統(tǒng)公法角度對其進行研究(4)Black Julia,Constitutionalising Self-Regulation,59 MOD.L.REV.24 (1996).,使其日益具備教義學(xué)屬性,弗里曼更是直接指出其是公共職能私人化的表現(xiàn)。在我國,元規(guī)制近年來在規(guī)制實踐中得到廣泛運用,越來越受到行政法學(xué)界的關(guān)注,不少學(xué)者更是從傳統(tǒng)行政法學(xué)角度對其予以探討[7]。

元規(guī)制這一形式之所以在現(xiàn)代社會,尤其是在如今互聯(lián)網(wǎng)大數(shù)據(jù)時代越來越受青睞,主要是因為其與政府規(guī)制相比具備諸多優(yōu)勢。對于國家來說,其能夠引入私人的專業(yè)能力,制定更好的規(guī)則,優(yōu)化法律執(zhí)行,減輕國家負擔(dān),回應(yīng)全球化、國際化和價值多元化的趨勢,完成憲法要求和創(chuàng)造工作崗位等諸多優(yōu)勢(5)Schaefer,Die Umgestaltung des Verwaltungsrechts,2016,S.348 ff.。對于私人來說,其能夠避免政府規(guī)制可能帶來的規(guī)制過度,降低企業(yè)的行政成本,并提升企業(yè)或行業(yè)的信譽度,進而促進企業(yè)自身的運行。

世界范圍內(nèi),元規(guī)制一直以來被廣泛運用于環(huán)境保護、產(chǎn)品安全、資本市場監(jiān)管、網(wǎng)絡(luò)監(jiān)管和數(shù)據(jù)保護等領(lǐng)域之中。在歐洲數(shù)據(jù)保護領(lǐng)域,元規(guī)制也得到廣泛運用, 數(shù)據(jù)保護官、個人信息保護、行為規(guī)則、個人信息跨境規(guī)則中的認證與BCR機制和數(shù)據(jù)保護審計均被認為是元規(guī)制在數(shù)據(jù)保護領(lǐng)域的表現(xiàn)形式(6)Stürmer,Regulierte Selbstregulierung im europ?ischen Datenschutzrecht,2022.。在我國,互聯(lián)網(wǎng)產(chǎn)業(yè)的興起使得網(wǎng)絡(luò)監(jiān)管成為一個核心議題,而元規(guī)制在其中發(fā)揮了重要作用。在網(wǎng)絡(luò)安全、互聯(lián)網(wǎng)信息管理和網(wǎng)絡(luò)食品安全等領(lǐng)域,元規(guī)制至少在十幾部不同層級的法律中得到集中體現(xiàn)[8]。而在我國大力建構(gòu)的個人信息保護機制之中,元規(guī)制更是被充分運用,較為典型的代表便是《個人信息保護法》第51條的企業(yè)內(nèi)部管理制度、第52條規(guī)定的個人信息保護負責(zé)人、第55條和第56條規(guī)定的風(fēng)險評估機制和本文所重點探討的第58條規(guī)定的獨立監(jiān)督機構(gòu)。在實踐中,元規(guī)制以行為機制或組織架構(gòu)的形式表現(xiàn),其中以機構(gòu)為表現(xiàn)形式的元規(guī)制即是元規(guī)制機構(gòu)。

元規(guī)制機構(gòu)在比較法上也可找到雛形。德國在2017年出臺的《網(wǎng)絡(luò)執(zhí)行法》規(guī)定了主要負責(zé)平臺內(nèi)容治理的私人審查機構(gòu)——被規(guī)制的自我規(guī)制機構(gòu)(die Einrichtung der Regulierten Selbstregulierung)。根據(jù)該部法律的規(guī)定,該機構(gòu)也被稱為自我控制機構(gòu),具有專業(yè)性和獨立性,專門負責(zé)平臺內(nèi)容審查。該機構(gòu)之所以被稱為被規(guī)制的自我規(guī)制機構(gòu)主要是因為:一方面,其本質(zhì)上是私人的自我規(guī)制,具有監(jiān)管上的優(yōu)先性(die Aufsichtsprivilegierung)。這意味著,這一非高權(quán)的私人自我控制機構(gòu)所作出的決定在一定界限內(nèi)也能夠拘束高權(quán)性的廣播電臺監(jiān)管機構(gòu)。如果廣播電臺監(jiān)管機構(gòu)作出的決定不同于自我控制機構(gòu),認為內(nèi)容違反了《青少年媒體保護州際協(xié)議》的規(guī)定,那么該決定不能因此而優(yōu)先于自我控制機構(gòu)的決定(《青少年媒體保護州際協(xié)議》第20條第3款和第5款)(7)Thoma,Regulierte Selbstregulierung im Ordnungsverwaltungsrecht,2008,S.23-26.。另一方面,自我控制機構(gòu)仍處于高權(quán)監(jiān)管機構(gòu)的監(jiān)管之下。對于持續(xù)失靈的自我控制機構(gòu),監(jiān)管機構(gòu)可以撤銷對其的認可,進而結(jié)束其監(jiān)管優(yōu)先性(8)同上。。

(二)作為元規(guī)制機構(gòu)的獨立監(jiān)督機構(gòu)

那么,獨立監(jiān)督機構(gòu)何以構(gòu)成元規(guī)制機構(gòu)呢?

首先,從界定來看,獨立監(jiān)督機構(gòu)完全符合元規(guī)制的定義。對于元規(guī)制這一概念,盡管學(xué)界的表述不盡一致,但關(guān)鍵要點均在于國家通過誘導(dǎo)私人發(fā)揮自主的創(chuàng)意和行動,共同實現(xiàn)公共任務(wù)的完成(9)Schmidt-Preu?,Verwaltung und Verwaltungsrecht zwischen gesellschaftlicher Selbstregulierung und staatlicher Steurung,VVDStRL 1997,S.162-165.。仔細考察第58條不難發(fā)現(xiàn),其主要通過法律的形式強制要求超大互聯(lián)網(wǎng)平臺對個人信息保護情況進行監(jiān)督。公共任務(wù)是指立足于公共利益,而且能夠促進公共福祉實現(xiàn)的任務(wù),一般來說由政府負責(zé)。這里的監(jiān)督任務(wù)無疑屬于公共任務(wù),在以往主要也由政府來完成。對此,張新寶教授更是直截了當(dāng)?shù)刂赋?個人信息處理的治理本屬于行政機關(guān)的職責(zé)[5]。因此,第58條完全符合元規(guī)制的定義。

其次,從類型來看,獨立監(jiān)督機構(gòu)也能在元規(guī)制類型中找到對應(yīng)。從國內(nèi)外規(guī)制實踐來看,元規(guī)制表現(xiàn)為很多不同的形式,對此不少學(xué)者嘗試進行過總結(jié)。其中為具有代表性的是德國學(xué)者Udo Di Fabio的觀點,他將元規(guī)制分為八種類型:第一,將社會力量運用到行政程序中去(程序的私人化);第二,將事實澄清責(zé)任交給申請人或者社會力量,行政機關(guān)只從事可信賴的審查或抽檢;第三,自我監(jiān)督,國家審查自我監(jiān)督的記錄或抽檢;第四,基于被監(jiān)督者的委托,由第三方進行監(jiān)督;第五,合作式的法律的具體化;第六,取向于執(zhí)行公共事項的私法人組織結(jié)構(gòu),并賦予其執(zhí)行責(zé)任或確保公益的任務(wù);第七,通過非國家組織或者部分國家組織自主執(zhí)行法律;第八,在給付行政領(lǐng)域,補充性地執(zhí)行法律(10)Fabio,Verwaltung und Verwaltungsrecht zwischen gesellschaftlicher Selbstregulierung und staatlicher Steurung,VVDStRL 56/1997,S.238-240.。除此之外,受委托人(Beauftragte)作為一種元規(guī)制形式也越來越受到重視。所謂受委托人是指,一個自然人基于其自身特殊的專業(yè)知識,在一個十分專業(yè)的任務(wù)領(lǐng)域進行監(jiān)督活動,例如水域保護受委托人、企業(yè)受委托人、廢物受委托人和排放保護受委托人。

目前,盡管我國學(xué)界尚沒有根據(jù)我國規(guī)制實踐進行總結(jié),但上述分析具有很強的普適性,可以在我國運用。運用傳統(tǒng)物理世界的理論解決網(wǎng)絡(luò)世界的問題,在互聯(lián)網(wǎng)法學(xué)研究中也是一個常見的方法,例如學(xué)界廣泛運用公用事業(yè)理論、信托理論、行政法上的第三方義務(wù)理論、私人治理理論和民營化理論來解決平臺治理的公共性問題。通過分析不難發(fā)現(xiàn),第58條規(guī)定的獨立監(jiān)督機構(gòu)可以對應(yīng)于第6種類型,即取向于執(zhí)行公共事項的私法人組織結(jié)構(gòu),并賦予其執(zhí)行責(zé)任或確保公益的任務(wù)。這種元規(guī)制形式在德國很早便存在了,而在我國則并不多見,個人信息保護獨立監(jiān)督機構(gòu)即是這一規(guī)制形式的嘗試。個保法第52條規(guī)定的個人信息保護負責(zé)人是行政法中的受委托人,也是元規(guī)制的常見形式。因此,獨立監(jiān)督機構(gòu)和個人信息保護負責(zé)人在性質(zhì)上具有相似性,均是在企業(yè)內(nèi)部負有公共功能的組織構(gòu)造。根據(jù)個保法的規(guī)定,個人信息保護負責(zé)人適用于數(shù)據(jù)處理量具有一定規(guī)模的個人信息處理者,而獨立監(jiān)督機構(gòu)則適用于具有海量數(shù)據(jù)處理量的超大型個人信息處理者。

(三)關(guān)于獨立監(jiān)督機構(gòu)法律性質(zhì)的其他觀點

關(guān)于獨立監(jiān)督機構(gòu)的法律性質(zhì),學(xué)界存在較大爭議。絕大多數(shù)民法學(xué)界學(xué)者均從私法角度理解獨立監(jiān)督機構(gòu),認為其屬于獨立董事[9-10],或者由獨立董事組成的專門委員會[5]。張新寶教授則是從公法角度看待獨立監(jiān)督機構(gòu),盡管并未明確指出獨立監(jiān)督機構(gòu)的法律性質(zhì),但是在他看來,其“職責(zé)定位主要是對大型互聯(lián)網(wǎng)平臺企業(yè)的個人信息處理行為進行自我規(guī)制的再監(jiān)督”,并認為設(shè)置獨立監(jiān)督機構(gòu)體現(xiàn)了行政法上的第三方義務(wù)。元規(guī)制也被學(xué)界稱為被規(guī)制的自我規(guī)制,行政法上的第三方義務(wù)被認為是行政法學(xué)界對元規(guī)制的再闡釋[11]。因此,從一定程度上來說,本文傾向于支持張新寶教授的觀點。

本文認為,將獨立監(jiān)督機構(gòu)理解為獨立董事的觀點難以成立,不僅在法解釋上違反了立法者目的,而且在法政策上起不到效果。從法解釋學(xué)來說,如果獨立監(jiān)督機構(gòu)等同于獨立董事,那么立法者根本沒有必要創(chuàng)造獨立監(jiān)督機構(gòu)這一全新概念,該觀點明顯違反了立法者目的。進一步來說,獨立董事是公司法上防止控制股東及管理層的內(nèi)部控制,損害公司整體利益的機制,其功能主要包括提高公司決策的科學(xué)性、準確性、安全性與可行性,增強公司競爭力,預(yù)防內(nèi)部控制人鯨吞公司和公司利益,強化公司內(nèi)部民主機制,保護小股東和其他利益相關(guān)者[12]。比較這兩者的功能不難發(fā)現(xiàn),獨立監(jiān)督機構(gòu)的功能即監(jiān)督個人信息保護情況,是一種取向于公共利益的公共職能;而獨立董事的功能即完善公司治理,是一種取向于私人利益的私人職能,兩者的功能存在本質(zhì)不同。

從法政策上來說,獨立董事本身在我國一直以來被廣泛詬病,在實踐中表現(xiàn)出嚴重的水土不服[13]。王春暉教授甚至早在個保法草案中首次規(guī)定獨立監(jiān)督機構(gòu)時提出警惕,應(yīng)盡可能避免獨立監(jiān)督機構(gòu)陷入獨立董事那樣的制度失靈境地[14]。目前,在各界的高度呼吁下,我國獨立董事制度也進行了改革。2022年1月5日證監(jiān)會發(fā)布了《上市公司獨立董事規(guī)則》,為充分發(fā)揮獨立董事在上市公司治理中的作用、促進上市公司獨立董事盡責(zé)履職提供了制度依據(jù)。但改革究竟能否真正在實踐中解決獨立董事制度面臨的問題,還有待進一步的觀察。將獨立監(jiān)督機構(gòu)這一新興機制的未來寄托于問題重重和前景未明的獨立董事制度之上,至少從目前來說并不是一個較為科學(xué)合理的選擇。

三、元規(guī)制理論下獨立監(jiān)督機構(gòu)的法律構(gòu)造

(一)行政法元規(guī)制理論概述

與傳統(tǒng)命令控制型監(jiān)管相比,元規(guī)制具有很多優(yōu)勢,甚至是互聯(lián)網(wǎng)時代主要的規(guī)制形式。然而,和傳統(tǒng)規(guī)制形式一樣,元規(guī)制也面臨著監(jiān)管效能和權(quán)利保障雙重困境。一方面,元規(guī)制往往通過引入私人主體來實現(xiàn)公共任務(wù),但私人主體并沒有足夠的利益驅(qū)動去完成,中立性和獨立性也難以保證,這在很大程度上減損了監(jiān)管效能。另一方面,傳統(tǒng)公法僅解決了政府在管理活動中的公民權(quán)利保障,但在元規(guī)制形式之中,從事管理活動的是私人主體,如何在這個過程中保障公民權(quán)利成了難題。正是基于此,學(xué)界對在元規(guī)制形式中如何確保監(jiān)管效能和權(quán)利保障進行了深入研究。

1.監(jiān)管效能的要求

從監(jiān)管效能角度來看,根據(jù)元規(guī)制學(xué)術(shù)理論和實踐經(jīng)驗,元規(guī)制機構(gòu)應(yīng)符合下列法律原則的要求。

首先,效能原則。效能原則,即以最小的投入,得到最大的收獲,是我國公法領(lǐng)域的重要原則。我國《憲法》第27條規(guī)定,一切國家機關(guān)實行精簡的原則,實行工作責(zé)任制,實行工作人員的培訓(xùn)和考核制度,不斷提高工作質(zhì)量和工作效率,反對官僚主義。除此之外,《公務(wù)員法》《銀行業(yè)監(jiān)督管理法》和《城鄉(xiāng)規(guī)劃法》等法律也規(guī)定了效能原則。更為重要的是,2004 年國務(wù)院 《全面推進依法行政實施綱要》提出了依法行政基本原則,其中就包括高效便民。效能原則對于元規(guī)制來說至關(guān)重要,因為引入元規(guī)制本身主要就是基于行政效能的考量。具體來說,由于公共任務(wù)的不斷擴張,國家資源卻是有限的,此時只能引入私人力量來完成。不僅如此,對于不少領(lǐng)域,私人具有信息和專業(yè)優(yōu)勢,能夠更好地完成公共任務(wù)。如果元規(guī)制的運作難以滿足效能原則的要求,例如執(zhí)行效率太低或者根本無法執(zhí)行(這在自我規(guī)制情形下很容易發(fā)生),那么就有必要考慮對其予以撤銷。

其次,輔助性原則。輔助性原則是指私人或市場可以解決的事務(wù),由其自身承擔(dān);若不能解決,則由政府承擔(dān)。如果選擇元規(guī)制作為完成公共任務(wù)的方式,那么須確保的是,自我規(guī)制主體應(yīng)承擔(dān)主體責(zé)任,政府只有在其失敗時才能介入,這便是輔助性原則的要求。具體來說,政府被禁止直接影響元規(guī)制機構(gòu)成員的任命和運行規(guī)范,而由元規(guī)制機構(gòu)自行決定。輔助性原則是實現(xiàn)效能原則的重要條件,如果政府對于自我規(guī)制的介入過強,那么元規(guī)制的優(yōu)勢便會喪失,進而影響效能原則的實現(xiàn)。

再次,合作原則。元規(guī)制本質(zhì)上仍屬于政府與企業(yè)之間的合作治理,要實現(xiàn)監(jiān)管效能,有賴于政府與企業(yè)之間的密切合作,此時合作原則便成為不可或缺的法律原則。合作原則的關(guān)鍵在于合作主體之間應(yīng)真誠協(xié)作,相互信任,共同促成公共任務(wù)之達成。如果合作主體之間貌合神離,各懷鬼胎,那么就違背了合作原則的要求,這在規(guī)制實踐中并不鮮見。

最后,監(jiān)管中立原則。對于政府監(jiān)管來說,中立是一項核心要求,即政府應(yīng)一視同仁地展開監(jiān)管,不可偏私尋租。即便監(jiān)管任務(wù)交給了私人,中立性的要求也不可放棄,否則私人利益就會完全凌駕于公共利益之上,私人規(guī)制便失去意義。尤其是在元規(guī)制之中,私人規(guī)制者往往具有一定的執(zhí)法權(quán)限和裁量空間,若不加以規(guī)范,則會出于維護自身利益而消極執(zhí)法或者選擇性執(zhí)法。

2.權(quán)利保護的要求

從權(quán)利保障角度,根據(jù)元規(guī)制學(xué)術(shù)理論和實踐經(jīng)驗,元規(guī)制機構(gòu)應(yīng)符合下列法律原則的要求。

首先,法律確定性原則。明確性原則是對法律的一種一般性要求,也就是說,法律規(guī)范均應(yīng)明確。元規(guī)制的引入意味著把主要的治理任務(wù)交給私人去完成,實際上會使得法律執(zhí)行更加模糊,進而貶損了法律確定性。如果這種不確定性能夠更好地解決問題,那么其是可以被接受的。但仍應(yīng)盡量增強法律執(zhí)行的確定性,這主要可以通過標(biāo)準、公約和自治規(guī)定等軟法的形式實現(xiàn)。政府不應(yīng)通過立法的形式對自我規(guī)制的運行作出過于詳盡的制度安排,否則又會違反輔助原則,使得元規(guī)制失去了其制度優(yōu)勢。

其次,民主原則。人民主權(quán)原則是我國憲法的基本原則,我國《憲法》第2條明文規(guī)定:中華人民共和國的一切權(quán)力屬于人民。人民依照法律規(guī)定,通過各種途徑和形式,管理國家事務(wù),管理經(jīng)濟和文化事業(yè),管理社會事務(wù)。國家機關(guān)作為公法主體,通過人民代表大會制度和民主集中制等機制獲得其管理公共事務(wù)的民主正當(dāng)性。但將公共任務(wù)交給私人去完成時,元規(guī)制機構(gòu)并不具有這種民主正當(dāng)性,因而有必要從其他方面入手夯實,例如由法律明文規(guī)定元規(guī)制機構(gòu)權(quán)限、強化機構(gòu)成員的多元化、引入民主決策機制和公眾參與機制等。

再次,正當(dāng)程序原則。私人在參與公共任務(wù)時,尤其是任務(wù)具有高權(quán)屬性,也應(yīng)受到正當(dāng)程序原則的約束,這是基本權(quán)利保障的要求。“從基本權(quán)利的國家保護義務(wù)功能之中可推導(dǎo)出國家有責(zé)任在私人之間建構(gòu)出適當(dāng)?shù)某绦騺肀苊馑饺吮Ｗo的不足。為了建構(gòu)這樣的私程序法,有必要確保私人在程序中即時獲取信息、公平參與和表達意見等”(11)Hoffmann-Riem,Verfahrensprivatisierung als Modernisierung,DVBl 1996,S.231ff.,“基于基本權(quán)利的保護義務(wù),應(yīng)對在私人參與和進行的私程序進行適當(dāng)?shù)匾?guī)范”(12)Pietzcker,Verfahrensprivatisierung und staatliche Verfahrensverantwortung,in:HoffmannRiem/Jens-Peter Schneider (Hrsg.),Verfahrensprivatisierung im Umweltrecht,1.Aufl.1996,S.284.。具體來說,基于正當(dāng)程序原則,元規(guī)制機構(gòu)應(yīng)履行告知、說明理由、聽取和陳述申辯等基本的程序要求。

最后,基本權(quán)利保護原則。為了完成公共任務(wù),元規(guī)制機構(gòu)采取的手段可能對公民(具體來說是消費者)基本權(quán)利造成侵害,其也應(yīng)遵循基本的法治原則,例如民主原則、正當(dāng)程序原則和比例原則等,對此前文已經(jīng)有所論述,只不過這里是從基本權(quán)利的視角進行論述。元規(guī)制這一形式本身可能侵害企業(yè)的基本權(quán)利。元規(guī)制本質(zhì)上是國家將公共任務(wù)交給私人完成,為了完成公共任務(wù),企業(yè)須投入大量的人力、物力和財力。從本質(zhì)上來說,這構(gòu)成了對企業(yè)的一種私人納用(die Inpflichtnahme),對其包括營業(yè)自由、財產(chǎn)權(quán)和平等權(quán)等基本權(quán)利造成了限制(13)Lennart,Verfassungsrechtliche Grenzen der Indienstnahme Privater,DOV 2019,S.435.。當(dāng)然,這里討論的前提是元規(guī)制是強制性的,如果是企業(yè)自愿以元規(guī)制的形式參與公共任務(wù),那么就難以構(gòu)成對企業(yè)基本權(quán)利的限制。

(二)元規(guī)制理論下獨立監(jiān)督機構(gòu)的法律構(gòu)造

基于上述元規(guī)制的理論分析,即可推斷出獨立監(jiān)督機構(gòu)的法律構(gòu)造。本文認為,獨立監(jiān)督機構(gòu)應(yīng)在組織架構(gòu)、組織運行、組織程序、組織權(quán)限和權(quán)利救濟等方面滿足如下要求。

1.組織架構(gòu)

從組織架構(gòu)上來說,基于民主原則之要求,獨立監(jiān)督機構(gòu)成員應(yīng)具備一定的多元性和代表性。與此同時,基于效能原則之要求,獨立監(jiān)督機構(gòu)成員也不宜過于冗雜,且須設(shè)置創(chuàng)設(shè)機構(gòu)維持正常運轉(zhuǎn)。具體來說,組成人員上應(yīng)有政府代表、企業(yè)代表、社會公眾代表和消費者代表。更為重要的是,獨立監(jiān)督機構(gòu)在運作時對專業(yè)知識有較高的要求,因此有必要引入專家代表,主要包括精通個人信息保護和數(shù)據(jù)安全領(lǐng)域的法律專家、管理專家、技術(shù)專家和審計專家等?；谥辛⑿砸?獨立監(jiān)督機構(gòu)應(yīng)盡可能與平臺企業(yè)之間保持一定獨立性,具體來說可以從職權(quán)獨立性、經(jīng)濟獨立性和人員獨立性這3個方面入手。首先,職權(quán)獨立性是指獨立監(jiān)督機構(gòu)的決策應(yīng)獨立于平臺企業(yè)和政府。獨立監(jiān)督機構(gòu)如何行使職權(quán)應(yīng)由其內(nèi)部規(guī)章詳細規(guī)定,其在決策時嚴格按照規(guī)章通過民主和科學(xué)的機制進行,平臺企業(yè)和政府一般情況下均不得干預(yù)。其次,經(jīng)濟獨立性是指獨立監(jiān)督機構(gòu)在財務(wù)上應(yīng)獨立于平臺企業(yè),進而杜絕規(guī)制俘獲的可能性。經(jīng)濟獨立性是獨立監(jiān)督機構(gòu)獨立性的關(guān)鍵組成部分。如果獨立監(jiān)督機構(gòu)的資金都直接來自平臺企業(yè),那么成員很容易形成為平臺企業(yè)服務(wù)的心理,進而在決策時偏袒平臺企業(yè)(14)Kate Klonick,The Facebook Oversight Board:Creating an Independent Institution to Adjudicate Online Free Expression,129 YALE L.J.2418 (2020).。最后,人員獨立性是指獨立監(jiān)督機構(gòu)的組成人員不能由平臺企業(yè)指派,也不能由平臺企業(yè)員工擔(dān)任,而應(yīng)從外部選派。第一,獨立監(jiān)督機構(gòu)成員除了接受一定的報酬之外,不應(yīng)從企業(yè)獲得任何額外的收入,要接受嚴格的審計;第二,獨立監(jiān)督機構(gòu)成員在任職期間不應(yīng)與平臺企業(yè)存在利益關(guān)系或利益沖突,例如若律師擔(dān)任獨立監(jiān)督機構(gòu)成員,則其所在律所不能與平臺企業(yè)存在任何業(yè)務(wù)往來;第三,為了避免成員與平臺企業(yè)之間形成過于密切的關(guān)系,可以采取輪崗制度;第四,政府可從高校、科研機構(gòu)、企業(yè)和律師事務(wù)所等選擇專業(yè)人士并建立獨立監(jiān)督機構(gòu)專家?guī)?在專業(yè)能力、道德品質(zhì)等方面嚴格設(shè)置專家型成員門檻,平臺企業(yè)隨機從專家?guī)熘羞x擇機構(gòu)成員。

2.組織運行

從組織運行上來說,基于法治原則、民主原則和效能原則等法律原則之要求,獨立監(jiān)督機構(gòu)應(yīng)建立依法決策、科學(xué)決策和民主決策機制。依法決策、科學(xué)決策和民主決策是行政機關(guān)作出行政決策必須遵循的基本原則,而元規(guī)制機構(gòu)被授權(quán)履行公共職能,同樣應(yīng)遵循這三項要求。具體到第58條的獨立監(jiān)督機構(gòu),其盡管表面看起來僅是一個監(jiān)督機構(gòu),但事實上擁有很大的決策權(quán)限。除了要進行個人信息保護合規(guī)情況的形式合法性審查外,獨立監(jiān)督機構(gòu)還須開展考察科技倫理狀況的實質(zhì)合理性審查。在具體決策時,獨立監(jiān)督機構(gòu)面臨著個人信息權(quán)益、表達自由、數(shù)據(jù)流通、企業(yè)財產(chǎn)權(quán)、營業(yè)自由和平等權(quán)等價值之間的綜合權(quán)衡與判斷,對公民和法人的基本權(quán)利與自由有極大的影響。建立依法決策、科學(xué)決策和民主決策機制對于獨立監(jiān)督機構(gòu)來說至關(guān)重要。就依法決策來說,獨立監(jiān)督機構(gòu)應(yīng)嚴格按照法律決策,依法履行法定程序,遵守法定權(quán)限,保證決策內(nèi)容符合法律的規(guī)定。因而法律專家在獨立監(jiān)督機構(gòu)中應(yīng)發(fā)揮重要作用。就科學(xué)決策來說,獨立監(jiān)督機構(gòu)應(yīng)秉持科學(xué)理性決策,決策前應(yīng)廣泛深入開展調(diào)查研究、全面準確掌握有關(guān)信息,組織公正、科學(xué)和客觀的專家論證,強化專家在決策過程中的地位。就民主決策機制來說,不僅要建立獨立監(jiān)督機構(gòu)成員的民主決策機制,還應(yīng)讓公民參與到?jīng)Q策之中,例如在獨立監(jiān)督機構(gòu)中引入公民代表,作出重大決定時公開聽證征求公眾意見(15)Sari Mazzurco,Democratizing Platform Privacy,31 FORDHAM INTELL.PROP.MEDIA &ENT.L.J.792 (2021).。除此之外,獨立監(jiān)督機構(gòu)組織運行應(yīng)嚴格遵循公開透明原則。具體來說,獨立監(jiān)督機構(gòu)的運行機制應(yīng)通過自治規(guī)范的形式明文規(guī)定,對用戶、商戶甚至社會公眾等利益相關(guān)者公布。

3.組織程序

從組織程序上來說,獨立監(jiān)督機構(gòu)在執(zhí)法時應(yīng)遵循正當(dāng)程序原則的要求。近年來,隨著互聯(lián)網(wǎng)平臺進行公共執(zhí)法的現(xiàn)象越來越多,國外不少法律文件開始明文規(guī)定了平臺執(zhí)法的程序要求。比較有代表性的有《馬尼拉原則》、歐盟《關(guān)于網(wǎng)絡(luò)中介的角色與責(zé)任的建議》(網(wǎng)上查詢?yōu)椤蛾P(guān)于網(wǎng)絡(luò)中介責(zé)任的建議》)和歐盟《線上、線下言論自由人權(quán)指南》。但這些法律文件均屬于國際法,在性質(zhì)上屬于軟法,在實踐中并未得到足夠的重視。目前,除了德國《網(wǎng)絡(luò)執(zhí)行法》外,很少有國內(nèi)法對平臺提出正當(dāng)程序的要求。在我國,目前,沒有任何一部法律對平臺提出正當(dāng)程序的要求。與此同時,很少有平臺自治規(guī)范規(guī)定用戶的程序性權(quán)利。甚至,不少平臺試圖排除用戶的程序性權(quán)利。例如在微信平臺中,《騰訊微信軟件許可及服務(wù)協(xié)議》第8.5條第1款規(guī)定:如果騰訊發(fā)現(xiàn)或收到他人舉報或投訴用戶違反本協(xié)議約定的,騰訊有權(quán)不經(jīng)通知隨時對相關(guān)內(nèi)容進行刪除、屏蔽,并視行為情節(jié)對違規(guī)帳號處以包括但不限于警告、限制或禁止使用部分或全部功能、帳號封禁直至注銷的處罰,并公告處理結(jié)果。這一規(guī)定不僅沒有賦予用戶程序權(quán)利,而且還刻意否定用戶程序權(quán)利。又如在知乎平臺中,《知乎社區(qū)管理規(guī)定》第3條規(guī)定:多數(shù)情況下社區(qū)中的其他用戶會優(yōu)先選擇對不當(dāng)行為做出勸誡、建議和引導(dǎo),知乎團隊也會先發(fā)出警告并給予違規(guī)用戶改正自己不當(dāng)行為的機會,但不表示知乎團隊在采取任何措施前必須首先發(fā)出警告。這一規(guī)定意味著盡管平臺在絕大多數(shù)情況下會通知用戶,但并不意味著這是用戶的權(quán)利,因而在一定程度上也是否定了用戶的程序性權(quán)利。今后在獨立監(jiān)督機構(gòu)的自治規(guī)范之中應(yīng)規(guī)定正當(dāng)程序條款,規(guī)定告知、說明理由、聽取和陳述申辯等基本程序,獨立監(jiān)督機構(gòu)在行使職權(quán)時應(yīng)嚴格遵循上述正當(dāng)程序原則的要求。尤其是在獨立監(jiān)督機構(gòu)對平臺內(nèi)商戶進行監(jiān)督時,應(yīng)嚴格遵守正當(dāng)程序原則,保障商戶營業(yè)自由。

4.組織權(quán)限

從組織權(quán)限上來說,獨立監(jiān)督機構(gòu)為了實現(xiàn)監(jiān)督個人信息處理活動的目標(biāo),應(yīng)具有足夠的權(quán)限。基于輔助性原則的要求,獨立監(jiān)督機構(gòu)應(yīng)被賦予足夠的權(quán)限來展開監(jiān)督活動,政府則僅承擔(dān)一個補充性的責(zé)任,在獨立監(jiān)督機構(gòu)徹底失靈時可以將其撤銷。但在一般情況下,政府應(yīng)尊重獨立監(jiān)督機構(gòu)作出的決定,這就是德國法上所謂的監(jiān)管優(yōu)先性原則。正基于此,獨立監(jiān)督機構(gòu)的監(jiān)督權(quán)限不僅包括建議式監(jiān)督,還應(yīng)包括命令式監(jiān)督,即擁有一定的執(zhí)法權(quán)限。否則,獨立監(jiān)督機構(gòu)很容易淪為擺設(shè)。當(dāng)然,這并不意味著政府完全退出,其有保障責(zé)任和兜底責(zé)任,在盡可能保持獨立監(jiān)督機構(gòu)自治的同時,應(yīng)確保自我規(guī)制有效運轉(zhuǎn),并在自我規(guī)制失敗時及時采取挽救措施。具體來說,獨立監(jiān)督機構(gòu)的自治規(guī)范不僅要征求社會公眾的意見,還應(yīng)通過政府的審查備案。政府在一般情況下尊重獨立監(jiān)督機構(gòu)的自治,通過審核自治規(guī)范的形式進行監(jiān)督,只有在獨立監(jiān)督機構(gòu)出現(xiàn)運行失敗的情況下才進行干預(yù)。同樣是基于輔助性原則,如果平臺企業(yè)內(nèi)部存在其他監(jiān)督機制,則其同樣優(yōu)先于獨立監(jiān)督機構(gòu)監(jiān)督。例如平臺企業(yè)的個人信息保護負責(zé)人同樣具有一定的監(jiān)督職能,此時其相較于獨立監(jiān)督機構(gòu)就具有一定的監(jiān)管優(yōu)先性。

5.權(quán)利保障

基于基本權(quán)利保護原則,獨立監(jiān)督機構(gòu)在行使監(jiān)督職權(quán)時,應(yīng)注重保護被監(jiān)督對象的基本權(quán)利,遵守比例原則,平衡各方主體的基本權(quán)利。在行使職能時,獨立監(jiān)督機構(gòu)須在用戶、商戶和自身的表達自由、營業(yè)自由、企業(yè)財產(chǎn)權(quán)、個人信息權(quán)利和數(shù)據(jù)流通價值等多項基礎(chǔ)價值之間進行權(quán)衡。尤其是在對平臺內(nèi)商戶進行監(jiān)督時,應(yīng)注重其營業(yè)自由和財產(chǎn)權(quán)的保障。更為重要的是,法律強制要求平臺企業(yè)成立獨立監(jiān)督機構(gòu)也構(gòu)成了對企業(yè)財產(chǎn)權(quán)、營業(yè)自由和平等權(quán)的限制,此時也應(yīng)受到一定的法律限制。例如,獨立監(jiān)督機構(gòu)的設(shè)置也要考慮企業(yè)成本,不可要求平臺企業(yè)投入過量成本建設(shè)獨立監(jiān)督機構(gòu),獨立監(jiān)督機構(gòu)規(guī)模應(yīng)與平臺企業(yè)的壟斷地位、營業(yè)收入和利潤等因素匹配。再如,對建立獨立監(jiān)督機構(gòu)的標(biāo)準應(yīng)盡可能科學(xué)合理,遵循同等情況同等對待的平等原則,否則便會侵害平臺企業(yè)的平等權(quán)和公平競爭權(quán)。在美國,臉書監(jiān)督委員會和谷歌咨詢委員會均是企業(yè)自愿成立(16)Kate Klonick,The Facebook Oversight Board:Creating an Independent Institution to Adjudicate Online Free Expression,129 YALE L.J.2418 (2020).,不少德國元規(guī)制機構(gòu)也是企業(yè)自愿設(shè)置。但值得注意的是,在域外規(guī)制實踐中經(jīng)常出現(xiàn)的情況是,政府通過獎罰機制誘導(dǎo)企業(yè)自我規(guī)制,此時如果這種誘導(dǎo)從實質(zhì)上構(gòu)成了壓迫或強制,那么其構(gòu)成了事實上的基本權(quán)利侵犯(17)Thoma,Regulierte Selbstregulierung im Ordnungsverwaltungsrecht,2008,S.23-26.。

四、獨立監(jiān)督機構(gòu)機制的實施路徑

獨立監(jiān)督機構(gòu)究竟在現(xiàn)實中如何落實是擺在超大互聯(lián)網(wǎng)平臺面前的首要難題。超大互聯(lián)網(wǎng)平臺如何判定?獨立監(jiān)督機構(gòu)的獨立性如何保障?其監(jiān)督權(quán)限究竟包括哪些?從外部關(guān)系來說,其與行政機關(guān)是何種關(guān)系?從內(nèi)部關(guān)系來說,其與個人信息保護負責(zé)人又是何種關(guān)系?本文基于上述元規(guī)制理論展開的分析對這些問題展開探討。

(一)超大互聯(lián)網(wǎng)平臺的認定

第58條所規(guī)定的個人信息保護義務(wù)并非是針對所有個人信息處理者,而是“提供基礎(chǔ)性互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個人信息處理者”,即所謂的超大互聯(lián)網(wǎng)平臺。那么究竟哪些平臺企業(yè)構(gòu)成這里的超大互聯(lián)網(wǎng)平臺呢?判斷標(biāo)準究竟是什么?前文已經(jīng)論及,超大互聯(lián)網(wǎng)平臺的認定至關(guān)重要,因為其關(guān)涉平臺企業(yè)的營業(yè)自由、平等權(quán)和公平競爭權(quán)。只有認定標(biāo)準和認定工作科學(xué)、合理和精細,才能確保平臺企業(yè)基本權(quán)利不被侵害。如果認定標(biāo)準不盡合理,會直接損害平臺企業(yè)的平等權(quán)和公平競爭權(quán)。根據(jù)第58條的規(guī)定,超大型平臺的認定主要包括兩個標(biāo)準,一是提供重要互聯(lián)網(wǎng)平臺服務(wù),二是用戶數(shù)量巨大和業(yè)務(wù)類型復(fù)雜。這里所謂的超大互聯(lián)網(wǎng)平臺實際上就是學(xué)理上的守門人,其處于互聯(lián)網(wǎng)生態(tài)處理個人信息的關(guān)鍵環(huán)節(jié),管控眾多的移動APP接入互聯(lián)網(wǎng)進行個人信息收集及后續(xù)處理的必要通道、空間和提供必要的技術(shù)資源[2]。提供基礎(chǔ)性互聯(lián)網(wǎng)平臺服務(wù)是超大互聯(lián)網(wǎng)平臺的實質(zhì),而用戶數(shù)量巨大和業(yè)務(wù)類型復(fù)雜只不過是其附帶特征。

因此,在認定超大互聯(lián)網(wǎng)平臺時,應(yīng)以實質(zhì)標(biāo)準為主,形式標(biāo)準為輔,牢牢把握守門人的核心特征,即控制處理個人信息的通道。正是由于其具有守門人地位,超大互聯(lián)網(wǎng)平臺往往被賦予一定的公共職能權(quán)限、擁有一定的壟斷地位、對消費者和商戶具有不對等的平臺權(quán)力,這些都是重要的表征。至于用戶數(shù)量巨大和業(yè)務(wù)類型復(fù)雜等形式標(biāo)準主要是為實質(zhì)標(biāo)準認定提供參考指南,并不具有決定意義。因此,超大型互聯(lián)網(wǎng)平臺的認定是一項具有較強專業(yè)性的工作,加上對平臺企業(yè)基本權(quán)利也有較大影響,有必要采取嚴格的依民主決策和科學(xué)決策程序。具體來說,可以考慮采取公開聽證、專家論證和公眾參與的形式。與此同時,還應(yīng)不斷細化認定標(biāo)準,充分參考我國《互聯(lián)網(wǎng)平臺落實主體責(zé)任指南(征求意見稿)》《互聯(lián)網(wǎng)平臺分類分級指南(征求意見稿)》《國家網(wǎng)絡(luò)安全檢查操作指南》和《信息安全技術(shù)個人信息安全規(guī)范》中對需要設(shè)置個人信息保護專職人員和工作機構(gòu)的平臺進行的量化規(guī)定,同時借鑒歐盟《數(shù)字服務(wù)法》提出的標(biāo)準,為實質(zhì)認定提供指引。目前全國信息安全標(biāo)準化技術(shù)委員會正在起草的《信息安全技術(shù) 大型互聯(lián)網(wǎng)企業(yè)內(nèi)設(shè)個人信息保護監(jiān)督機構(gòu)要求》可對這一問題作出詳細規(guī)定。

(二)機構(gòu)獨立性的保障

前文已論述,為了實現(xiàn)監(jiān)管效能,滿足效能原則、中立原則的要求,必須保證獨立監(jiān)督機構(gòu)的獨立運作。如果獨立監(jiān)督機構(gòu)不獨立,那么元規(guī)制的優(yōu)勢根本無從發(fā)揮。而獨立監(jiān)督機構(gòu)的獨立性是我國各界對該機制的最大擔(dān)憂。在個人信息保護法立法過程中,就有學(xué)者擔(dān)憂可能會出現(xiàn)既不獨立也不監(jiān)督的情形[14],不少人為此對該制度持悲觀態(tài)度,認為獨立監(jiān)督機構(gòu)很難保持獨立,在我國很可能像獨立董事制度那樣無法發(fā)揮預(yù)期的功能。前文已指出,獨立監(jiān)督機構(gòu)獨立性的關(guān)鍵在于職權(quán)獨立性、經(jīng)濟獨立性和人員獨立性。若將獨立監(jiān)督機構(gòu)設(shè)置于平臺企業(yè)內(nèi)部,則其在職權(quán)、經(jīng)濟和人員上無法真正做到獨立。對于獨立監(jiān)督機構(gòu)的設(shè)置問題,目前存在3種方案:一是設(shè)置在平臺企業(yè)內(nèi)部,與企業(yè)的日常管理部門隔離,作為企業(yè)內(nèi)部的個人信息保護監(jiān)督機構(gòu);二是設(shè)置在平臺企業(yè)外部,作為社會化的個人信息保護監(jiān)督機構(gòu);三是作為國家監(jiān)督機構(gòu)。本文認為,第三種觀點完全違反了第58條的文義,且不符合其立法目的,可以首先排除。而第一種方案和第二種方案中,第一種方案更符合第58條文義,第二種方案在文義射程范圍內(nèi)。

對于第一種方案,獨立監(jiān)督機構(gòu)僅能通過前述的種種機制實現(xiàn)相對獨立。本文認為,第二種方案也可以考慮和行業(yè)協(xié)會監(jiān)管結(jié)合,在行業(yè)協(xié)會中設(shè)置獨立監(jiān)督機構(gòu),由行業(yè)協(xié)會來主導(dǎo)獨立監(jiān)督機構(gòu)運作,這在德國已有較為成熟的實踐。在德國,被規(guī)制的自我規(guī)制機構(gòu)在實踐中是一個名為“自愿性自我監(jiān)控多媒體服務(wù)提供商”(Die Freiwillige Selbstkontrolle Multimedia-Diensteanbieter,簡稱FSM)的行業(yè)協(xié)會。其自2004年起基于《青少年媒體保護州際協(xié)議》的授權(quán)開始對網(wǎng)絡(luò)媒體中傷害青少年的內(nèi)容進行監(jiān)督。為此,FSM設(shè)有一個投訴辦公室,任何人都可以舉報對年輕人有害的在線內(nèi)容。與此同時,為了實現(xiàn)經(jīng)濟獨立性,平臺企業(yè)可在行業(yè)協(xié)會中設(shè)置專項基金,由該基金維持獨立監(jiān)督機構(gòu)的日常運轉(zhuǎn)。由于目前獨立監(jiān)督機構(gòu)機制如何實施法律尚未明確,可以考慮通過試點的方式嘗試上述兩種方案,允許企業(yè)在目前的法律框架之內(nèi)采取不同的嘗試方案。

(三)獨立監(jiān)督機構(gòu)的監(jiān)督權(quán)限

根據(jù)第58條的規(guī)定,獨立監(jiān)督機構(gòu)的主要職責(zé)是監(jiān)督個人信息處理活動。那么,究竟什么是監(jiān)督個人信息處理活動呢?這也有待進一步明確。

從監(jiān)督權(quán)限事項上來說,獨立監(jiān)督機構(gòu)監(jiān)督職責(zé)不僅包括對其自身個人信息處理活動的監(jiān)督,還包括對其提供通道服務(wù)對象的個人信息處理活動的監(jiān)督。根據(jù)第58條第2款的表述,超大型平臺有權(quán)力對嚴重違反法律、行政法規(guī)處理個人信息的平臺內(nèi)的產(chǎn)品或者服務(wù)提供者停止提供服務(wù)。本文認為,該權(quán)力也應(yīng)該交給獨立監(jiān)督機構(gòu)來行使。處理平臺內(nèi)產(chǎn)品這一職權(quán)也具有高度的公權(quán)性,應(yīng)由具有一定獨立性和中立性的獨立監(jiān)督機構(gòu)來行使。正是由于獨立監(jiān)督機構(gòu)被賦予了高權(quán)性的權(quán)限,其必須受到公法的約束。例如,其監(jiān)督手段必須具有一定的梯度,除了采取下架、停止提供服務(wù)等措施之外,還應(yīng)有警告、整改意見等程度較輕的措施,嚴格遵循比例原則的要求,在進行監(jiān)督時還應(yīng)遵循正當(dāng)程序原則,對此獨立監(jiān)督機構(gòu)規(guī)章都應(yīng)具體規(guī)定。

從監(jiān)督權(quán)限內(nèi)容上來說,獨立監(jiān)督機構(gòu)的監(jiān)督權(quán)限不應(yīng)僅擁有建議權(quán),還應(yīng)同時包括決策權(quán),否則其很可能淪為虛設(shè)。為了使獨立監(jiān)督機構(gòu)能獲取決策權(quán)限,必須將其融入公司治理體系。許可教授提出了一個切實可行的建議,即獨立監(jiān)督機構(gòu)由獨立董事構(gòu)成的個人信息保護專門委員會和個人信息保護專家委員會組成,而前者下設(shè)于公司董事會,能夠直接參與公司決策。如此,個人信息保護專家委員可以將外部專家的意見反饋至內(nèi)部決策機構(gòu),再促進該意見得到有效落實。除了決策權(quán)之外,獨立監(jiān)督機構(gòu)還應(yīng)有爭議解決權(quán)限?；诨緳?quán)利保護原則,平臺企業(yè)應(yīng)建立內(nèi)部爭議解決機制。尤其是在平臺企業(yè)下架平臺內(nèi)產(chǎn)品或服務(wù)和用戶向平臺企業(yè)申請個人信息權(quán)利被拒絕這兩種場景下,應(yīng)允許商戶或用戶向平臺企業(yè)申訴主張自身權(quán)利。爭議解決權(quán)限也具有較強的公共職能屬性,因而也宜由獨立監(jiān)督機構(gòu)承擔(dān)。

獨立監(jiān)督機構(gòu)對于優(yōu)化平臺治理生態(tài)來說還具有巨大的潛力,應(yīng)用范圍可擴大到信息內(nèi)容管理、信用治理、交易監(jiān)管、科技倫理審查和勞動者保護等諸多平臺監(jiān)管領(lǐng)域。近年來,該趨勢已經(jīng)出現(xiàn)。2022年3月14日國家互聯(lián)網(wǎng)信息辦公室發(fā)布的《未成年人網(wǎng)絡(luò)保護條例(征求意見稿)》第20條第3款規(guī)定了對未成年網(wǎng)絡(luò)保護情況進行監(jiān)督的獨立機構(gòu)。盡管國家尚未出臺法律要求獨立監(jiān)督機構(gòu)承擔(dān)上述職責(zé),但平臺企業(yè)可以考慮嘗試,由獨立監(jiān)督機構(gòu)承擔(dān)信息內(nèi)容管理、信用治理、交易監(jiān)管、科技倫理、未成年人保護和勞動者保護等事項的監(jiān)督工作。除此之外,隨著數(shù)字技術(shù)的不斷發(fā)展,法律無法及時跟進監(jiān)管需求,此時企業(yè)內(nèi)部的科技倫理審查能夠發(fā)揮關(guān)鍵作用[15]。

(四)與行政機關(guān)之間的關(guān)系

元規(guī)制機構(gòu)和行政機關(guān)之間的關(guān)系如何處理,是國外規(guī)制實踐中出現(xiàn)的一個難題。在德國,元規(guī)制機構(gòu)擁有監(jiān)管上的優(yōu)先性,政府必須承認其作出決定的效力。政府只有在元規(guī)制機構(gòu)存在系統(tǒng)性的功能失靈時才能撤銷該機構(gòu),且沒有在個案中否定元規(guī)制機構(gòu)決定效力的權(quán)力。在美國,臉書監(jiān)督委員會和政府的關(guān)系如何處理也成為一個難題。Kate Klonick認為,解決這一問題有3種方案:一是政府直接無視監(jiān)督委員會;二是政府承認監(jiān)督委員會的決定具有優(yōu)先效力;三是政府讓監(jiān)督委員會直接解決法院受理的案件(18)Kate Klonick,The Facebook Oversight Board:Creating an Independent Institution to Adjudicate Online Free Expression,129 YALE L.J.2418 (2020).。就目前來說,法院不太可能承認其決定具有優(yōu)先效力,而是認為其具有說服力,類似于法院對私人替代性爭議解決方案的承認。

本文認為,我國應(yīng)承認獨立監(jiān)督機構(gòu)在監(jiān)管上的優(yōu)先性。一般情況下,行政機關(guān)要尊重獨立監(jiān)督機構(gòu)的決定,因為這種元規(guī)制形式是法律強制規(guī)定的,獨立監(jiān)督機構(gòu)監(jiān)督個人信息保護情況的職權(quán)得到了法律的授權(quán),應(yīng)被行政機關(guān)尊重。只有在獨立監(jiān)督機構(gòu)存在違法或不作為時,行政機關(guān)才能介入。整體來說,行政機關(guān)發(fā)揮的作用是對自我規(guī)制的再監(jiān)管,首先應(yīng)尊重平臺企業(yè)的自我規(guī)制,而這種再監(jiān)管主要應(yīng)通過參與獨立監(jiān)督機構(gòu)的決策、與獨立監(jiān)督機構(gòu)保持合作、審查獨立監(jiān)督機構(gòu)自治規(guī)范等形式來實現(xiàn)。對此,張新寶教授也指出,盡管大型互聯(lián)網(wǎng)平臺企業(yè)設(shè)置的個人信息保護獨立監(jiān)督機構(gòu)屬于企業(yè)的內(nèi)部機構(gòu),但是其引入了外部成員而且擔(dān)負著法律規(guī)定的特殊職責(zé),因此其設(shè)立、運行等應(yīng)受到國家個人信息保護部門的指導(dǎo)和監(jiān)督[5]。在獨立監(jiān)督機構(gòu)出現(xiàn)系統(tǒng)性失靈時,行政機關(guān)可以直接撤銷其獨立監(jiān)督機構(gòu)的資質(zhì)。

(五)與個人信息保護負責(zé)人之間的關(guān)系

根據(jù)《個人信息保護法》第52條的規(guī)定,處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者應(yīng)當(dāng)指定個人信息保護負責(zé)人,負責(zé)對個人信息處理活動以及采取的保護措施等進行監(jiān)督。第58條規(guī)定的超大互聯(lián)網(wǎng)平臺肯定達到上述要求,因而必須指定個人信息保護負責(zé)人。然而,個人信息保護負責(zé)人和獨立監(jiān)督機構(gòu)均具有監(jiān)督個人信息保護情況的職能。正基于此,個人信息保護負責(zé)人和獨立監(jiān)督機構(gòu)的職能存在重疊[16]。

前文已經(jīng)指出,個人信息保護負責(zé)人和獨立監(jiān)督機構(gòu)實際上都是元規(guī)制,只不過前者屬于以個體為表現(xiàn)形式的被委托人,后者屬于以組織為表現(xiàn)形式的元規(guī)制機構(gòu),兩者在功能上并不存在嚴格意義上的區(qū)分。如果是在中小企業(yè),那么是由個人信息保護負責(zé)人全權(quán)負責(zé)監(jiān)督個人信息保護情況;而在超大互聯(lián)網(wǎng)平臺企業(yè),監(jiān)督個人信息保護情況的工作具有較強的公共職能屬性,同時工作量和復(fù)雜程度也更高,個人信息負責(zé)人已無法滿足監(jiān)督需求,因而有必要和獨立監(jiān)督機構(gòu)共同完成?；谳o助性原則,平臺企業(yè)個人信息保護監(jiān)督的日常工作應(yīng)交給個人信息保護負責(zé)人來完成。個人信息保護負責(zé)人作為企業(yè)員工比獨立監(jiān)督機構(gòu)更加了解業(yè)務(wù)經(jīng)營狀況和個人信息保護情況,還可以作為獨立監(jiān)督機構(gòu)中的企業(yè)代表組織獨立監(jiān)督機構(gòu)的設(shè)置和運作工作,以及向獨立監(jiān)督機構(gòu)提供履行監(jiān)督職權(quán)所需要的信息。

五、研究結(jié)論與展望

從《個人信息保護法》條文來看,第58條規(guī)定的獨立監(jiān)督機構(gòu)可以說是此次立法中的最大創(chuàng)新之一,其他機制基本可以從國外立法中找到雛形。但這一創(chuàng)新并非無源之水無本之木,而是立足于我國平臺主體責(zé)任理念的正確確立,產(chǎn)生于近期對互聯(lián)網(wǎng)平臺加強經(jīng)濟監(jiān)管的大背景之下。近年來,域外平臺治理之中私人治理機構(gòu)的大量產(chǎn)生也為其提供了一定的域外經(jīng)驗,但這些機構(gòu)基本不負責(zé)個人信息保護。而唯一和個人信息保護相關(guān)的谷歌咨詢委員會,其權(quán)限也僅局限于被遺忘權(quán)執(zhí)行。因此,獨立監(jiān)督機構(gòu)是世界范圍內(nèi)首次在個人信息保護領(lǐng)域作為元規(guī)制表現(xiàn)形式的私人治理機構(gòu),如果成功運轉(zhuǎn),能夠為其他國家提供個人信息保護的中國經(jīng)驗。

該制度對于優(yōu)化平臺治理生態(tài)來說還具有巨大的潛力,應(yīng)用范圍可擴大到信息管理、信用治理、交易監(jiān)管乃至勞動者保護等諸多平臺監(jiān)管領(lǐng)域。未來可以考慮進一步拓展其功能,建立全面負責(zé)平臺治理的獨立監(jiān)督機構(gòu)。目前,該趨勢已經(jīng)出現(xiàn),《未成年人網(wǎng)絡(luò)保護條例(征求意見稿)》第20條第3款規(guī)定了對未成年網(wǎng)絡(luò)保護情況進行監(jiān)督的獨立機構(gòu)。因此,第58條所規(guī)定的獨立監(jiān)督機構(gòu),也可以視為一種法律試驗,是通過私人治理機構(gòu)進行平臺治理的先行制度。可以想象的是,這一制度在我國的運轉(zhuǎn)面臨諸多挑戰(zhàn),只有不斷試錯才能走向完善,進而拓展其功能?；诖?第58條的規(guī)定也不宜過于精細,應(yīng)保證足夠的試錯空間。