個人信息安全標準化進路的反思

文/崔俊杰

復雜的網絡生態和高速變化的技術環境需要具備技術屬性的監管制度予以回應。在我國互聯網監管機構所確立的網絡安全治理框架中，個人信息安全標準被置于十分重要的地位。不過，在全面法治的背景下，對標準體系自身的價值、其在實施環節的異化、與法律制度的契合方式等問題都有待進一步分析論證，以便發展與法治化要求相適應的技術治理。

技術制度：個人信息安全標準體系及其特征

標準是一種技術制度，不僅具有技術屬性，而且具有制度屬性。為此，需要首先借助規范主義的方法，對個人信息安全標準體系進行分級分類，并提煉特征。

（一）個人信息安全標準體系

從標準的級別上看，個人信息安全標準包括國家標準、行業標準、地方標準、團體標準和企業標準。其中，政府主導制定的國家標準、行業標準和地方標準屬于“政府標準”范疇，團體標準和企業標準屬于“市場標準”范疇。從標準的功能上看，個人信息安全標準可以分為“基本要求類標準”“實施指南類標準”“檢測評估類標準”以及“行業應用類標準”。

除此之外，本領域還存在一些標準化的技術文件，包括國家標準化指導性技術文件以及有關標準化組織發布的其他類型的技術文件。值得注意的是，部分臨時性組織（如App違法違規收集使用個人信息專項治理工作組）也常以各種形式發布了一些具備一定技術特征的其他制度文件。在行政法上，此類文件的法律屬性存疑，本文權且將其納入技術文件的范疇。

（二）個人信息安全標準體系的特征

一是功能上的支撐性。《關于加強國家網絡安全標準化工作的若干意見》要求，“構建統一權威、科學高效的網絡安全標準體系和標準化工作機制，支撐網絡安全和信息化發展”。雖然我國迄今尚未制定有關個人信息安全的專門性法律，但標準化活動已延展到與個人信息安全有關的服務、管理以及公權力領域，并在適用范圍、調整對象上與現有單行法律規范保持了相當程度的重疊性。可見，標準在功能上具有十分明顯的支撐屬性。

二是內容上的規范性。與一般技術標準有所不同的是，個人信息安全標準中存在一些比較明顯的類似法律規則中行為模式的用語。可見，個人信息安全標準不僅僅關注技術水平要求、技術路線選擇和技術指標論證，也同樣關注個人信息處理相關主體的行為，從而呈現出明顯的規范性特征。

三是效力上的非強制性。總體而言，有關個人信息安全標準多數符合《標準化法》所謂“基礎通用、與強制性國家標準配套、對各有關行業起引領作用等需要的技術要求”，從而選擇制定了推薦性標準，因而在效力上具有非強制性特征。

四是體系結構上的模糊性。根據國家有關規定，指導性技術文件在管理上應強化其規劃性、體系性和規范性，但反觀個人信息安全領域，一些推薦性國家標準與指導性技術文件在制定過程中卻出現了規劃不清、反復轉換的情形。這說明，個人信息安全相關標準文件在其內在體系結構方面還存在相當的模糊性。

標準先行：實施中的異化及其動因

標準的實施雖然可以通過標準化自身的舉措來實現，但主要還是通過與法律規范發生關系而實施的。這便牽涉出標準化的體制，以及標準與法律規范之間的關系問題。

（一）個人信息安全標準實施環節的異化

一是標準先于法律規范對外部性的行為進行規制。一方面，個人信息安全標準中的不少規范性表述仍停留于相對抽象的層面。這些規定并未將法律規范中的行為要求全面分解成客觀的、描述性的、程序性的要素，并未充分關注不同產品、服務和流程的屬性及內容，也就并不一定能夠完全契合標準在技術性、科學性、透明性、可達性以及相容性等方面的要求。另一方面，由于《網絡安全法》對個人信息安全的表述過于原則，導致有關標準中相當的篇幅都用來容納法律中未曾出現的針對各類新興行為的規范性條款。通過標準本身相對靈活、簡便的制修訂活動，標準在事實上已經領先于法律規范實現了對現實變遷的制度回應。

二是推薦性標準在實施過程中的變相強制化。基于對有關行政執法案件的深度觀察可以發現，在一些個人信息安全標準尚未實施的情況下，監管部門已經顯露出將有關推薦性標準作為判斷違法事實依據的端倪。而當這些標準實施以后，上述執法思路在實踐中被隱性地堅持了下來。因此可以認為，個人信息安全推薦性標準在實施環節被變相強制化了。

三是團體標準在未經驗證前即被行業標準采納。新《標準化法》增加了團體標準作為法定標準的類型之一。根據有關規定，團體標準實施效果良好，且符合國家標準、行業標準或地方標準制定要求的，才可以申請轉化為國家標準、行業標準或地方標準。然而，通過檢索個人信息安全標準制定過程中的一系列公開信息，卻發現一些正在制定的行業標準與同樣處于制定狀態中的團體標準，在文本上存在高度的雷同性。很顯然，上述團體標準并未完成制定，自然也遠未實施，顯然不能構成“實施效果良好”。這說明，個人信息安全團體標準存在未經驗證就被采標部門采納為行業標準的情況。

（二）標準實施中產生異化的動因

面對互聯網信息領域復雜的技術和市場環境，監管部門不僅希望自己的行政規制，而且希望市場主體的自我規制，以及社會第三方的技術支持都能夠通過相對制度化的載體發揮作用，從而實現技術治理的目標。具體而言，上述異化由兩個方面的因素驅動。

一方面，風險預防有賴于開展行為控制。在互聯網時代，大量分散的個體和小型企業借助數字平臺參與經濟活動。由于這些活動是對海量分散化信息的整合處理，以滿足多樣化、個性化的需求，因此，涉及個人信息的信息流的大小與有關產品和服務滿足市場需求的能力和水平正相關，而與從業主體的規模大小沒有直接關聯。監管部門意識到個人信息安全的治理需要貫徹風險預防的理念，將執法的端口前移，從事后制裁拉回到事前事中控制上來。故而，通過標準為從業者設置行為規范，進行流程化管理就成為一個非常合適的選擇。

另一方面，多元治理有賴于提高制度供給。首先，在數字經濟時代，社會中存在的潛在違法量極大，行政執法力量與行政執法對象之間比例嚴重失調，執法成本極高。特別是囿于數字經濟架構的復雜和技術的超高速迭代，個人信息控制者有能力利用復雜的技術架構來規避監管，使得本領域政府規制面臨高強度“監管追趕”的壓力，進而需要同樣高強度、產出靈活的制度供給。其次，在政府規制以外，監管部門希望通過用一套相對便于識別、便于操作、便于評價的制度化供給來為從業主體開展合規審計、進行自我規制，以及便利社會公眾有效參與提供參照和準據。再次，在本領域開展行政執法的技術門檻較高，往往需要借助社會第三方評估檢測機構才能實施，因此也客觀上提出了能夠適應于第三方評估檢測的技術性制度的供給需要。

對標法治：技治主義的隱性優勢及其反思

依托標準來實施法律在國際上并不鮮見，但是現有學術觀點更多注意到標準與法律相融合的現象，卻沒有在法治層面進一步探討這一問題，更沒有在公法所特有的思維框架中來具體分析這一問題。

（一）對標準實施中異化現象的解釋：技治主義進路

雖然通過標準來支撐法律實施，是各國開展個人信息安全規制的通行做法，但在認同這種方式之前，還需要更為精確地回應標準化的本質特征。就此而言，監管部門的立場并未獲得法理層面的充分論證。

首先，標準作為外在于法律的制度系統，其所反映的是一種市場需求與標準之間的供求關系。標準之所以能夠獲得實施，取決于標準與市場需求的契合度。因此，標準化的本質特征是自下而上的價值取向以及橫向合作、協商共識的形成方式。這與以法律為代表的，體現國家意志、自上而下形成的縱向秩序規則是截然不同的。其次，標準雖然也具有規范效力，但其效力并非來自標準本身，而是來自法律的規定。即便是強制性國家標準，其效力也來自《標準化法》的規定，而不是標準本身。如果僅就推薦性標準而言，當事人的自愿選擇構成標準發生法律效力的首要路徑。再次，政府標準并不是政府主導制定的法律規則，它應當以市場標準作為基礎。市場標準和政府標準之間雖然可以實現轉化，但需要以實現市場標準之間的充分競爭為其前提。因此，當監管部門在缺乏對標準“自下而上”的本質認知之時，就一味強化技術理性“自上而下”的作用，這在無形中顯露出技治主義的規制思路。

關于技術治理主義，其在理論層面主張“社會組織必須在發展的每一個階段上，根據技術‘律令’的需要來適應技術的進步”。技治與法治之間并非毫無可比性。這是因為立法的過程高度復雜，各方面利益反復博弈，其經歷的時間較長，不確定因素較大，在提供持續性的制度供給方面著實令人堪憂。不僅如此，在互聯網條件下，傳統立法規制方式所體現出來的“命令—控制”方式也難以回應技術爆炸環境的合規需求。不過，僅僅認識到技術治理的合理性是不夠的，由于法治特別是其中的公法規則與政府權力直接相關，故而有必要結合公法特有的思維框架進行進一步的分析。

一方面，傳統行政法中所體現出來的對行政權的高度不信任的態度，以及與之相對應的簡單粗放式的立法控權方式，導致行政執法機關的權力能力大為受限。很顯然，標準就在客觀上為行政執法權的借力發揮提供了便利。另一方面，與各具體的行政行為法根據《立法法》所確立的法規范體系的層級，由上至下遞減式地對公權力進行授權賦能不同，不同類型標準之間嚴格來說只有適用范圍上的區別、強制適用和自愿適用的區別、于我有效和于我無效的區別，并沒有效力大小的區別。即使是推薦性標準，也比一般的行政規范性文件更具備形式上的規范性，也更易于產生實質上的參照效應和執法威懾，且不像行政規范性文件一樣將始終面臨來自司法審查的壓力。

（二）法治框架下技治主義進路的反思

在法治框架下，需要將對標準化活動的評價納入現實的政治制度、社會條件、法治發展階段之中。為此，應結合標準的宏觀管理以及標準背后的政府權力以及職能配置的合法性、正當性等問題對技治主義進路進行反思。

首先，個人信息安全標準化不能忽視標準自身在民主、科學和確定性方面存在的不足。于民主性方面，有關技術要素并不能單獨決定標準的設計過程和設計結果，社會要素將不可避免地參與到標準的設計過程中來。由于標準事實上是在設置市場壁壘，建立進入門檻，因此與立法相比，標準在制定中可能更容易受到來自利益集團的俘獲。這即是說，盡管標準的形成體現競爭、強調合作，但標準的實施完全可能出現反競爭的后果。于科學性方面，面對信息時代的高風險挑戰，專業化的科學知識已經不再具有傳統科學觀所主張的全整的理性，而是充滿了知識結構和內容方面的不確定性。加之專家個人偏好的情境性以及政策的社會建構性等因素，將極大地降低科學理性的正當性，并進一步削弱了其介入標準等技術制度建構的有效性。于確定性方面，與純粹技術標準強調數值確定有所不同的是，個人信息安全標準的一些內容及其表述方式都與法律規范相差無幾，因此他們自身也難以完全逃脫法律規范的局限，如存在不確定概念和裁量余地等。

其次，個人信息安全標準化不能忽視因標準自身缺陷而對被規制者產生的影響。脫胎于工業時代的標準化可能未必適應數據高速流動、極化使用以及不確定性風險如影隨形的數字時代。如果被規制者遵循了標準的有關行為和流程要求，是否意味著其可以獲得法律責任的豁免?至少在目前的情況下，一旦發生個人信息安全事件，面對強大的政治壓力和輿論壓力，對標準自身缺陷的理性認知都會讓位于結果導向的管制思路。而標準自身的缺陷、被規制者的質疑又都能夠被標準規范中不確定的概念和裁量余地所吸收。就此而言，監管部門可能不當地忽略了標準化與法律責任之間的關系。

再次，個人信息安全標準化不能忽視與之相配套的制度建設。但凡規制者還抱持工具主義、結果導向的管制思路，就還沒有從根本上意識到標準自身的實施機制與法律實施機制的不同，沒有跳出“對違法行為實施事后制裁”的“命令——控制”規制進路，也就沒有回到通過事前“合規審計”來確保標準實施的規制進路上來。更進一步講，完善的認證制度是標準化的標配。認證制度不僅有對符合紙上的標準的認證，也有對符合要求的事實的認證，其所體現的信號功能、激勵效應，才有助于促使市場主體自愿遵守標準，從而確保標準的有效實施。

最后，個人信息安全標準化不能掩蓋標準背后的權力真相。就政府標準的產出而言，制定標準本身就是一種權力，體現了標準制定主體的權力能力。我國的標準化體制脫胎于計劃經濟，有關政府標準的制定在很大程度上體現為行政權的直接作用。從這個意義上講，網絡信息產業的成熟度、相關市場的穩定程度，以及過度標準化可能產生的技術壁壘、超大型平臺企業可能因此形成的壟斷等，都應當作為行政權力介入標準制定前需要考慮的因素。就市場標準的產出而言，新《標準化法》對團體標準的強調并不意味著強大的行政權力的自動退場。在現階段，行業標準與團體標準的各自定位還未完全厘清，內在關聯機制也沒有很好建立，政府的行政權力對團體標準的制定還存在著非制度化的影響。因此，需要從行政組織法層面，對協會、學會等團體標準制定主體的資格和行為能力予以高度關注。如果只滿足于形式上的團體標準，而忽視了社會組織、行業協會的角色充權，就意味著有關團體事實上成為了協助政府制定標準的工具。這樣一來，廣大市場主體所面對的，就可能不僅僅有疊床架屋的法律規范，而且是層層加碼的標準。就標準的實施而言，標準的實施依賴于法律的規定。標準既然不能離開法律為自己賦權，也就更不能僭越乃至取代法律對其他主體賦權。所有作為政府部門執法的依據都必須通過法律法規進行授權，即使是強制性標準，也不能作為天然的依據。違反標準代表市場主體的行為和服務有缺陷，可以作為判斷民事責任的依據，但是不應當天然作為政府執法的依據。

結論

標準看似是一個技術問題，但對相對人權利義務影響重大。也正因如此，標準的技術判斷應當盡可能局限于技術細節。基本的價值權衡則必須交由民主的立法程序予以完成。一言以表，監管部門不應忽視標準“自下而上”的本質，應摒棄工具主義的管制思維。政府在利用標準開展個人信息安全治理時，應當更多地關注服務。