超大互聯網平臺中個人信息保護獨立監督機構的元規制論

劉紹宇

(中國社會科學院 法學研究所, 北京 100732)

一、問題的提出

2021年8月20日,十三屆全國人大常委會第三十次會議表決通過了《中華人民共和國個人信息保護法》(以下簡稱“個保法”),我國個人信息保護自此邁入了一個全新的時代。個保法的正式出臺不僅標志著我國個人信息保護制度框架的基本形成,而且為世界提供了一份個人信息保護的中國方案。其中不少規定具有顯著的獨創性和鮮明的本土性,尤其是第58條規定的監督個人信息保護情況的獨立機構(以下簡稱“獨立監督機構”),是世界范圍內首次在個人信息保護領域引入了私人規制機構,是個人信息保護法領域一次真正意義上的中國創新[1]。

2020年10月21日,《中華人民共和國個人信息保護法(草案)》公布并公開征求社會公眾意見,當時的法律文本并不包含關于獨立監督機構的內容。直到2021年4月29日,全國人大常委會公布《個人信息保護法(草案二審稿)》(以下簡稱“二審稿”),首次在第57條規定了獨立監督機構:提供基礎性互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者,應當履行下列義務:成立主要由外部人員組成的獨立機構,對個人信息處理活動進行監督。根據全國人民代表大會憲法和法律委員會《關于〈個人信息保護法〉(草案)》修改情況的匯報,相關部門和專家建議強化超大型互聯網平臺的個人信息保護義務,并加強監督,而憲法和法律委員會經研究,建議增加一條規定,即二審稿第57條。該條款不僅采納了相關部門和專家的建議規定了超大型互聯網平臺的個人信息保護義務,而且開創性地規定了獨立監督機構。

二審稿公布后,該制度作為一項全新機制引起了各界的高度關注和激烈討論。2021年8月20日,個保法正式通過。從最終的法律文本來看,盡管該制度在二審稿討論過程中備受爭議,但在最終稿審議過程中仍得以保留,只不過法條序號被調整為第58條,個別表述也被修改。“基礎性互聯網平臺服務”被修改為“重要互聯網平臺服務”,原第1款加入了“按照國家規定建立健全個人信息保護合規制度體系”。除此之外,獨立監督機構的任務從“對個人信息處理活動進行監督”改為“對個人信息保護情況進行監督”。

從整個立法過程來說,獨立監督機構機制的建立顯得較為突兀。個保法頒行之前,我國學界便對個人信息保護制度進行了全面深入的研究,但無論是相關論文、著述還是專家建議稿,均無法找到關于獨立監督機構的論述。此外,個保法中絕大多數制度均能在此前的國內外法律、法規、規章、案例和標準之中找到雛形,唯獨獨立監督機構是一個例外。即便把目光投向全球數據保護實踐,獨立監督機構也很難找到域外經驗。雖然不少學者在立法過程之中主張引入超大互聯網平臺的守門人機制[2],但獨立監督機構和守門人機制是兩種完全不同的制度,守門人機制僅是獨立監督機構的一部分,引入守門人機制并不一定意味著設置獨立監督機構。更為值得關注的是,獨立監督機構有向其他平臺治理領域拓展的趨勢,2022年3月14日國家互聯網信息辦公室發布的《未成年人網絡保護條例(征求意見稿)》第20條第3款規定了對未成年網絡保護情況進行監督的獨立機構。

由此可見,獨立監督機構的提出是一次名副其實的創新之舉,而這也給其實施帶來了極大困難。目前,國內外學術文獻和立法資料中關于獨立監督機構的論述十分少見。盡管個保法已經早已進入實施階段,但獨立監督機構在實踐中尚未真正落實,“普遍陷入停滯的局面”[3]。超大互聯網平臺如何判定?獨立監督機構的獨立性究竟如何保證?究竟由哪些人員組成?監督權限究竟包括哪些,又如何行使?如何對獨立監督機構的監督權限進行限制?就內部關系來看,其與個人信息保護負責又是何種關系?就外部關系來看,其與監管部門是何種關系?這些問題自個保法出臺時便一直困惑著實務界,而對此立法者并未給出確切的答復,學界也很少有研究可供參考[4-5]。基于此,全國信息安全標準化技術委員會在2022年3月向各界征集落實該條款的標準,試圖通過制定標準的形式為企業如何建立獨立監督機構提供指南。

本文的主要目的便在于解決上述問題,為獨立監督機構在實踐中的落地提供具有可操作性的方案和建議。為了達到這一目的,首先要在理論上厘定獨立監督機構的法律性質。本文擬在政府監管視角下理解獨立監督機構,認為其是監管鏈條之中至關重要之一環,并引入行政法中的元規制理論,提出獨立監督機構是私人參與公共任務的新形式——元規制機構,進而運用元規制的理論研究和實踐經驗指導獨立監督機構的運行,在此基礎之上提出建立獨立監督機構的可能路徑。

二、 獨立監督機構的法律性質

獨立監督機構的法律性質是本文所要討論的首要問題,是探討如何規范獨立監督機構的起點。近年來,對于獨立監督機構這一陌生事物,學界并不清楚其法律性質,因而只能類比我國法律體系中獨立董事等近似的制度。本文試圖從政府監管的視角理解獨立監督機構,認為其是數據保護監管鏈條中不可或缺的一環,在法律性質上屬于行政法中的元規制機構。

(一)行政法中的元規制機構

所謂元規制,是指“外部規制者有意促使規制對象本身針對公共問題,作出內部式的、自我規制性質的回應,而不包括外部規制者的無意而為”[6]。這一定義清晰地指出了元規制與自我規制之間的區別,即盡管元規制中也蘊含著自我規制,但這種自我規制是政府有意促使私人達到的。而政府究竟在多大程度上以及以何種方式促成私人自我規制,則決定了元規制的不同表現類型。元規制充分體現了規制與傳統行政法學的融合。在德國,元規制一般被稱為被規制的自我規制,是在20世紀90年代興起的行政法學變革背景下產生的,經過數十年的發展與討論,已成為一個公認的行政法學概念。在很多近年來出版或更新的行政法學教材和論著中,元規制都作為一個重要的教義學概念被討論(1)Schaefer,Die Umgestaltung des Verwaltungsrechts,2016,S.348 ff.Schr?der,Verwaltungsrechtsdogmatik im Wandel,2007,S.200 ff.。這一概念具有很強的規制色彩,在新行政法興起的大背景下進入行政法學教義學體系之中,生動地反映了規制與行政法學之間的密切關系。

目前,元規制被視為私人參與公共任務的新形勢(2)Thoma,Regulierte Selbstregulierung im Ordnungsverwaltungsrecht,2008,S.23-26.。阿斯曼教授專門在其《作為行政法體系建構要素的被規制的自我規制》一文中指出其與行政委托和行政助手等其他私人參與公共任務的形式,以及自主行政之間的差異(3)Schmidt-A?mann,Regulierte Selbstregulierung als Element verwaltungsrechtlicher Systembildung,VERW 2001,S.260 f.。在他看來,被規制的自我規制、行政委托和行政助手這3個概念處于一個行政與社會合作的光譜之中,光譜的兩個端點分別是命令式的政府完全規制和完全不受國家影響的自我規制,但自主行政并不位于這一光譜之中。在美國,元規制也受到行政法學界的廣泛關注,不少學者從傳統公法角度對其進行研究(4)Black Julia,Constitutionalising Self-Regulation,59 MOD.L.REV.24 (1996).,使其日益具備教義學屬性,弗里曼更是直接指出其是公共職能私人化的表現。在我國,元規制近年來在規制實踐中得到廣泛運用,越來越受到行政法學界的關注,不少學者更是從傳統行政法學角度對其予以探討[7]。

元規制這一形式之所以在現代社會,尤其是在如今互聯網大數據時代越來越受青睞,主要是因為其與政府規制相比具備諸多優勢。對于國家來說,其能夠引入私人的專業能力,制定更好的規則,優化法律執行,減輕國家負擔,回應全球化、國際化和價值多元化的趨勢,完成憲法要求和創造工作崗位等諸多優勢(5)Schaefer,Die Umgestaltung des Verwaltungsrechts,2016,S.348 ff.。對于私人來說,其能夠避免政府規制可能帶來的規制過度,降低企業的行政成本,并提升企業或行業的信譽度,進而促進企業自身的運行。

世界范圍內,元規制一直以來被廣泛運用于環境保護、產品安全、資本市場監管、網絡監管和數據保護等領域之中。在歐洲數據保護領域,元規制也得到廣泛運用, 數據保護官、個人信息保護、行為規則、個人信息跨境規則中的認證與BCR機制和數據保護審計均被認為是元規制在數據保護領域的表現形式(6)Stürmer,Regulierte Selbstregulierung im europ?ischen Datenschutzrecht,2022.。在我國,互聯網產業的興起使得網絡監管成為一個核心議題,而元規制在其中發揮了重要作用。在網絡安全、互聯網信息管理和網絡食品安全等領域,元規制至少在十幾部不同層級的法律中得到集中體現[8]。而在我國大力建構的個人信息保護機制之中,元規制更是被充分運用,較為典型的代表便是《個人信息保護法》第51條的企業內部管理制度、第52條規定的個人信息保護負責人、第55條和第56條規定的風險評估機制和本文所重點探討的第58條規定的獨立監督機構。在實踐中,元規制以行為機制或組織架構的形式表現,其中以機構為表現形式的元規制即是元規制機構。

元規制機構在比較法上也可找到雛形。德國在2017年出臺的《網絡執行法》規定了主要負責平臺內容治理的私人審查機構——被規制的自我規制機構(die Einrichtung der Regulierten Selbstregulierung)。根據該部法律的規定,該機構也被稱為自我控制機構,具有專業性和獨立性,專門負責平臺內容審查。該機構之所以被稱為被規制的自我規制機構主要是因為:一方面,其本質上是私人的自我規制,具有監管上的優先性(die Aufsichtsprivilegierung)。這意味著,這一非高權的私人自我控制機構所作出的決定在一定界限內也能夠拘束高權性的廣播電臺監管機構。如果廣播電臺監管機構作出的決定不同于自我控制機構,認為內容違反了《青少年媒體保護州際協議》的規定,那么該決定不能因此而優先于自我控制機構的決定(《青少年媒體保護州際協議》第20條第3款和第5款)(7)Thoma,Regulierte Selbstregulierung im Ordnungsverwaltungsrecht,2008,S.23-26.。另一方面,自我控制機構仍處于高權監管機構的監管之下。對于持續失靈的自我控制機構,監管機構可以撤銷對其的認可,進而結束其監管優先性(8)同上。。

(二)作為元規制機構的獨立監督機構

那么,獨立監督機構何以構成元規制機構呢?

首先,從界定來看,獨立監督機構完全符合元規制的定義。對于元規制這一概念,盡管學界的表述不盡一致,但關鍵要點均在于國家通過誘導私人發揮自主的創意和行動,共同實現公共任務的完成(9)Schmidt-Preu?,Verwaltung und Verwaltungsrecht zwischen gesellschaftlicher Selbstregulierung und staatlicher Steurung,VVDStRL 1997,S.162-165.。仔細考察第58條不難發現,其主要通過法律的形式強制要求超大互聯網平臺對個人信息保護情況進行監督。公共任務是指立足于公共利益,而且能夠促進公共福祉實現的任務,一般來說由政府負責。這里的監督任務無疑屬于公共任務,在以往主要也由政府來完成。對此,張新寶教授更是直截了當地指出,個人信息處理的治理本屬于行政機關的職責[5]。因此,第58條完全符合元規制的定義。

其次,從類型來看,獨立監督機構也能在元規制類型中找到對應。從國內外規制實踐來看,元規制表現為很多不同的形式,對此不少學者嘗試進行過總結。其中為具有代表性的是德國學者Udo Di Fabio的觀點,他將元規制分為八種類型:第一,將社會力量運用到行政程序中去(程序的私人化);第二,將事實澄清責任交給申請人或者社會力量,行政機關只從事可信賴的審查或抽檢;第三,自我監督,國家審查自我監督的記錄或抽檢;第四,基于被監督者的委托,由第三方進行監督;第五,合作式的法律的具體化;第六,取向于執行公共事項的私法人組織結構,并賦予其執行責任或確保公益的任務;第七,通過非國家組織或者部分國家組織自主執行法律;第八,在給付行政領域,補充性地執行法律(10)Fabio,Verwaltung und Verwaltungsrecht zwischen gesellschaftlicher Selbstregulierung und staatlicher Steurung,VVDStRL 56/1997,S.238-240.。除此之外,受委托人(Beauftragte)作為一種元規制形式也越來越受到重視。所謂受委托人是指,一個自然人基于其自身特殊的專業知識,在一個十分專業的任務領域進行監督活動,例如水域保護受委托人、企業受委托人、廢物受委托人和排放保護受委托人。

目前,盡管我國學界尚沒有根據我國規制實踐進行總結,但上述分析具有很強的普適性,可以在我國運用。運用傳統物理世界的理論解決網絡世界的問題,在互聯網法學研究中也是一個常見的方法,例如學界廣泛運用公用事業理論、信托理論、行政法上的第三方義務理論、私人治理理論和民營化理論來解決平臺治理的公共性問題。通過分析不難發現,第58條規定的獨立監督機構可以對應于第6種類型,即取向于執行公共事項的私法人組織結構,并賦予其執行責任或確保公益的任務。這種元規制形式在德國很早便存在了,而在我國則并不多見,個人信息保護獨立監督機構即是這一規制形式的嘗試。個保法第52條規定的個人信息保護負責人是行政法中的受委托人,也是元規制的常見形式。因此,獨立監督機構和個人信息保護負責人在性質上具有相似性,均是在企業內部負有公共功能的組織構造。根據個保法的規定,個人信息保護負責人適用于數據處理量具有一定規模的個人信息處理者,而獨立監督機構則適用于具有海量數據處理量的超大型個人信息處理者。

(三)關于獨立監督機構法律性質的其他觀點

關于獨立監督機構的法律性質,學界存在較大爭議。絕大多數民法學界學者均從私法角度理解獨立監督機構,認為其屬于獨立董事[9-10],或者由獨立董事組成的專門委員會[5]。張新寶教授則是從公法角度看待獨立監督機構,盡管并未明確指出獨立監督機構的法律性質,但是在他看來,其“職責定位主要是對大型互聯網平臺企業的個人信息處理行為進行自我規制的再監督”,并認為設置獨立監督機構體現了行政法上的第三方義務。元規制也被學界稱為被規制的自我規制,行政法上的第三方義務被認為是行政法學界對元規制的再闡釋[11]。因此,從一定程度上來說,本文傾向于支持張新寶教授的觀點。

本文認為,將獨立監督機構理解為獨立董事的觀點難以成立,不僅在法解釋上違反了立法者目的,而且在法政策上起不到效果。從法解釋學來說,如果獨立監督機構等同于獨立董事,那么立法者根本沒有必要創造獨立監督機構這一全新概念,該觀點明顯違反了立法者目的。進一步來說,獨立董事是公司法上防止控制股東及管理層的內部控制,損害公司整體利益的機制,其功能主要包括提高公司決策的科學性、準確性、安全性與可行性,增強公司競爭力,預防內部控制人鯨吞公司和公司利益,強化公司內部民主機制,保護小股東和其他利益相關者[12]。比較這兩者的功能不難發現,獨立監督機構的功能即監督個人信息保護情況,是一種取向于公共利益的公共職能;而獨立董事的功能即完善公司治理,是一種取向于私人利益的私人職能,兩者的功能存在本質不同。

從法政策上來說,獨立董事本身在我國一直以來被廣泛詬病,在實踐中表現出嚴重的水土不服[13]。王春暉教授甚至早在個保法草案中首次規定獨立監督機構時提出警惕,應盡可能避免獨立監督機構陷入獨立董事那樣的制度失靈境地[14]。目前,在各界的高度呼吁下,我國獨立董事制度也進行了改革。2022年1月5日證監會發布了《上市公司獨立董事規則》,為充分發揮獨立董事在上市公司治理中的作用、促進上市公司獨立董事盡責履職提供了制度依據。但改革究竟能否真正在實踐中解決獨立董事制度面臨的問題,還有待進一步的觀察。將獨立監督機構這一新興機制的未來寄托于問題重重和前景未明的獨立董事制度之上,至少從目前來說并不是一個較為科學合理的選擇。

三、元規制理論下獨立監督機構的法律構造

(一)行政法元規制理論概述

與傳統命令控制型監管相比,元規制具有很多優勢,甚至是互聯網時代主要的規制形式。然而,和傳統規制形式一樣,元規制也面臨著監管效能和權利保障雙重困境。一方面,元規制往往通過引入私人主體來實現公共任務,但私人主體并沒有足夠的利益驅動去完成,中立性和獨立性也難以保證,這在很大程度上減損了監管效能。另一方面,傳統公法僅解決了政府在管理活動中的公民權利保障,但在元規制形式之中,從事管理活動的是私人主體,如何在這個過程中保障公民權利成了難題。正是基于此,學界對在元規制形式中如何確保監管效能和權利保障進行了深入研究。

1.監管效能的要求

從監管效能角度來看,根據元規制學術理論和實踐經驗,元規制機構應符合下列法律原則的要求。

首先,效能原則。效能原則,即以最小的投入,得到最大的收獲,是我國公法領域的重要原則。我國《憲法》第27條規定,一切國家機關實行精簡的原則,實行工作責任制,實行工作人員的培訓和考核制度,不斷提高工作質量和工作效率,反對官僚主義。除此之外,《公務員法》《銀行業監督管理法》和《城鄉規劃法》等法律也規定了效能原則。更為重要的是,2004 年國務院 《全面推進依法行政實施綱要》提出了依法行政基本原則,其中就包括高效便民。效能原則對于元規制來說至關重要,因為引入元規制本身主要就是基于行政效能的考量。具體來說,由于公共任務的不斷擴張,國家資源卻是有限的,此時只能引入私人力量來完成。不僅如此,對于不少領域,私人具有信息和專業優勢,能夠更好地完成公共任務。如果元規制的運作難以滿足效能原則的要求,例如執行效率太低或者根本無法執行(這在自我規制情形下很容易發生),那么就有必要考慮對其予以撤銷。

其次,輔助性原則。輔助性原則是指私人或市場可以解決的事務,由其自身承擔;若不能解決,則由政府承擔。如果選擇元規制作為完成公共任務的方式,那么須確保的是,自我規制主體應承擔主體責任,政府只有在其失敗時才能介入,這便是輔助性原則的要求。具體來說,政府被禁止直接影響元規制機構成員的任命和運行規范,而由元規制機構自行決定。輔助性原則是實現效能原則的重要條件,如果政府對于自我規制的介入過強,那么元規制的優勢便會喪失,進而影響效能原則的實現。

再次,合作原則。元規制本質上仍屬于政府與企業之間的合作治理,要實現監管效能,有賴于政府與企業之間的密切合作,此時合作原則便成為不可或缺的法律原則。合作原則的關鍵在于合作主體之間應真誠協作,相互信任,共同促成公共任務之達成。如果合作主體之間貌合神離,各懷鬼胎,那么就違背了合作原則的要求,這在規制實踐中并不鮮見。

最后,監管中立原則。對于政府監管來說,中立是一項核心要求,即政府應一視同仁地展開監管,不可偏私尋租。即便監管任務交給了私人,中立性的要求也不可放棄,否則私人利益就會完全凌駕于公共利益之上,私人規制便失去意義。尤其是在元規制之中,私人規制者往往具有一定的執法權限和裁量空間,若不加以規范,則會出于維護自身利益而消極執法或者選擇性執法。

2.權利保護的要求

從權利保障角度,根據元規制學術理論和實踐經驗,元規制機構應符合下列法律原則的要求。

首先,法律確定性原則。明確性原則是對法律的一種一般性要求,也就是說,法律規范均應明確。元規制的引入意味著把主要的治理任務交給私人去完成,實際上會使得法律執行更加模糊,進而貶損了法律確定性。如果這種不確定性能夠更好地解決問題,那么其是可以被接受的。但仍應盡量增強法律執行的確定性,這主要可以通過標準、公約和自治規定等軟法的形式實現。政府不應通過立法的形式對自我規制的運行作出過于詳盡的制度安排,否則又會違反輔助原則,使得元規制失去了其制度優勢。

其次,民主原則。人民主權原則是我國憲法的基本原則,我國《憲法》第2條明文規定:中華人民共和國的一切權力屬于人民。人民依照法律規定,通過各種途徑和形式,管理國家事務,管理經濟和文化事業,管理社會事務。國家機關作為公法主體,通過人民代表大會制度和民主集中制等機制獲得其管理公共事務的民主正當性。但將公共任務交給私人去完成時,元規制機構并不具有這種民主正當性,因而有必要從其他方面入手夯實,例如由法律明文規定元規制機構權限、強化機構成員的多元化、引入民主決策機制和公眾參與機制等。

再次,正當程序原則。私人在參與公共任務時,尤其是任務具有高權屬性,也應受到正當程序原則的約束,這是基本權利保障的要求。“從基本權利的國家保護義務功能之中可推導出國家有責任在私人之間建構出適當的程序來避免私人保護的不足。為了建構這樣的私程序法,有必要確保私人在程序中即時獲取信息、公平參與和表達意見等”(11)Hoffmann-Riem,Verfahrensprivatisierung als Modernisierung,DVBl 1996,S.231ff.,“基于基本權利的保護義務,應對在私人參與和進行的私程序進行適當地規范”(12)Pietzcker,Verfahrensprivatisierung und staatliche Verfahrensverantwortung,in:HoffmannRiem/Jens-Peter Schneider (Hrsg.),Verfahrensprivatisierung im Umweltrecht,1.Aufl.1996,S.284.。具體來說,基于正當程序原則,元規制機構應履行告知、說明理由、聽取和陳述申辯等基本的程序要求。

最后,基本權利保護原則。為了完成公共任務,元規制機構采取的手段可能對公民(具體來說是消費者)基本權利造成侵害,其也應遵循基本的法治原則,例如民主原則、正當程序原則和比例原則等,對此前文已經有所論述,只不過這里是從基本權利的視角進行論述。元規制這一形式本身可能侵害企業的基本權利。元規制本質上是國家將公共任務交給私人完成,為了完成公共任務,企業須投入大量的人力、物力和財力。從本質上來說,這構成了對企業的一種私人納用(die Inpflichtnahme),對其包括營業自由、財產權和平等權等基本權利造成了限制(13)Lennart,Verfassungsrechtliche Grenzen der Indienstnahme Privater,DOV 2019,S.435.。當然,這里討論的前提是元規制是強制性的,如果是企業自愿以元規制的形式參與公共任務,那么就難以構成對企業基本權利的限制。

(二)元規制理論下獨立監督機構的法律構造

基于上述元規制的理論分析,即可推斷出獨立監督機構的法律構造。本文認為,獨立監督機構應在組織架構、組織運行、組織程序、組織權限和權利救濟等方面滿足如下要求。

1.組織架構

從組織架構上來說,基于民主原則之要求,獨立監督機構成員應具備一定的多元性和代表性。與此同時,基于效能原則之要求,獨立監督機構成員也不宜過于冗雜,且須設置創設機構維持正常運轉。具體來說,組成人員上應有政府代表、企業代表、社會公眾代表和消費者代表。更為重要的是,獨立監督機構在運作時對專業知識有較高的要求,因此有必要引入專家代表,主要包括精通個人信息保護和數據安全領域的法律專家、管理專家、技術專家和審計專家等。基于中立性要求,獨立監督機構應盡可能與平臺企業之間保持一定獨立性,具體來說可以從職權獨立性、經濟獨立性和人員獨立性這3個方面入手。首先,職權獨立性是指獨立監督機構的決策應獨立于平臺企業和政府。獨立監督機構如何行使職權應由其內部規章詳細規定,其在決策時嚴格按照規章通過民主和科學的機制進行,平臺企業和政府一般情況下均不得干預。其次,經濟獨立性是指獨立監督機構在財務上應獨立于平臺企業,進而杜絕規制俘獲的可能性。經濟獨立性是獨立監督機構獨立性的關鍵組成部分。如果獨立監督機構的資金都直接來自平臺企業,那么成員很容易形成為平臺企業服務的心理,進而在決策時偏袒平臺企業(14)Kate Klonick,The Facebook Oversight Board:Creating an Independent Institution to Adjudicate Online Free Expression,129 YALE L.J.2418 (2020).。最后,人員獨立性是指獨立監督機構的組成人員不能由平臺企業指派,也不能由平臺企業員工擔任,而應從外部選派。第一,獨立監督機構成員除了接受一定的報酬之外,不應從企業獲得任何額外的收入,要接受嚴格的審計;第二,獨立監督機構成員在任職期間不應與平臺企業存在利益關系或利益沖突,例如若律師擔任獨立監督機構成員,則其所在律所不能與平臺企業存在任何業務往來;第三,為了避免成員與平臺企業之間形成過于密切的關系,可以采取輪崗制度;第四,政府可從高校、科研機構、企業和律師事務所等選擇專業人士并建立獨立監督機構專家庫,在專業能力、道德品質等方面嚴格設置專家型成員門檻,平臺企業隨機從專家庫中選擇機構成員。

2.組織運行

從組織運行上來說,基于法治原則、民主原則和效能原則等法律原則之要求,獨立監督機構應建立依法決策、科學決策和民主決策機制。依法決策、科學決策和民主決策是行政機關作出行政決策必須遵循的基本原則,而元規制機構被授權履行公共職能,同樣應遵循這三項要求。具體到第58條的獨立監督機構,其盡管表面看起來僅是一個監督機構,但事實上擁有很大的決策權限。除了要進行個人信息保護合規情況的形式合法性審查外,獨立監督機構還須開展考察科技倫理狀況的實質合理性審查。在具體決策時,獨立監督機構面臨著個人信息權益、表達自由、數據流通、企業財產權、營業自由和平等權等價值之間的綜合權衡與判斷,對公民和法人的基本權利與自由有極大的影響。建立依法決策、科學決策和民主決策機制對于獨立監督機構來說至關重要。就依法決策來說,獨立監督機構應嚴格按照法律決策,依法履行法定程序,遵守法定權限,保證決策內容符合法律的規定。因而法律專家在獨立監督機構中應發揮重要作用。就科學決策來說,獨立監督機構應秉持科學理性決策,決策前應廣泛深入開展調查研究、全面準確掌握有關信息,組織公正、科學和客觀的專家論證,強化專家在決策過程中的地位。就民主決策機制來說,不僅要建立獨立監督機構成員的民主決策機制,還應讓公民參與到決策之中,例如在獨立監督機構中引入公民代表,作出重大決定時公開聽證征求公眾意見(15)Sari Mazzurco,Democratizing Platform Privacy,31 FORDHAM INTELL.PROP.MEDIA &ENT.L.J.792 (2021).。除此之外,獨立監督機構組織運行應嚴格遵循公開透明原則。具體來說,獨立監督機構的運行機制應通過自治規范的形式明文規定,對用戶、商戶甚至社會公眾等利益相關者公布。

3.組織程序

從組織程序上來說,獨立監督機構在執法時應遵循正當程序原則的要求。近年來,隨著互聯網平臺進行公共執法的現象越來越多,國外不少法律文件開始明文規定了平臺執法的程序要求。比較有代表性的有《馬尼拉原則》、歐盟《關于網絡中介的角色與責任的建議》(網上查詢為《關于網絡中介責任的建議》)和歐盟《線上、線下言論自由人權指南》。但這些法律文件均屬于國際法,在性質上屬于軟法,在實踐中并未得到足夠的重視。目前,除了德國《網絡執行法》外,很少有國內法對平臺提出正當程序的要求。在我國,目前,沒有任何一部法律對平臺提出正當程序的要求。與此同時,很少有平臺自治規范規定用戶的程序性權利。甚至,不少平臺試圖排除用戶的程序性權利。例如在微信平臺中,《騰訊微信軟件許可及服務協議》第8.5條第1款規定:如果騰訊發現或收到他人舉報或投訴用戶違反本協議約定的,騰訊有權不經通知隨時對相關內容進行刪除、屏蔽,并視行為情節對違規帳號處以包括但不限于警告、限制或禁止使用部分或全部功能、帳號封禁直至注銷的處罰,并公告處理結果。這一規定不僅沒有賦予用戶程序權利,而且還刻意否定用戶程序權利。又如在知乎平臺中,《知乎社區管理規定》第3條規定:多數情況下社區中的其他用戶會優先選擇對不當行為做出勸誡、建議和引導,知乎團隊也會先發出警告并給予違規用戶改正自己不當行為的機會,但不表示知乎團隊在采取任何措施前必須首先發出警告。這一規定意味著盡管平臺在絕大多數情況下會通知用戶,但并不意味著這是用戶的權利,因而在一定程度上也是否定了用戶的程序性權利。今后在獨立監督機構的自治規范之中應規定正當程序條款,規定告知、說明理由、聽取和陳述申辯等基本程序,獨立監督機構在行使職權時應嚴格遵循上述正當程序原則的要求。尤其是在獨立監督機構對平臺內商戶進行監督時,應嚴格遵守正當程序原則,保障商戶營業自由。

4.組織權限

從組織權限上來說,獨立監督機構為了實現監督個人信息處理活動的目標,應具有足夠的權限。基于輔助性原則的要求,獨立監督機構應被賦予足夠的權限來展開監督活動,政府則僅承擔一個補充性的責任,在獨立監督機構徹底失靈時可以將其撤銷。但在一般情況下,政府應尊重獨立監督機構作出的決定,這就是德國法上所謂的監管優先性原則。正基于此,獨立監督機構的監督權限不僅包括建議式監督,還應包括命令式監督,即擁有一定的執法權限。否則,獨立監督機構很容易淪為擺設。當然,這并不意味著政府完全退出,其有保障責任和兜底責任,在盡可能保持獨立監督機構自治的同時,應確保自我規制有效運轉,并在自我規制失敗時及時采取挽救措施。具體來說,獨立監督機構的自治規范不僅要征求社會公眾的意見,還應通過政府的審查備案。政府在一般情況下尊重獨立監督機構的自治,通過審核自治規范的形式進行監督,只有在獨立監督機構出現運行失敗的情況下才進行干預。同樣是基于輔助性原則,如果平臺企業內部存在其他監督機制,則其同樣優先于獨立監督機構監督。例如平臺企業的個人信息保護負責人同樣具有一定的監督職能,此時其相較于獨立監督機構就具有一定的監管優先性。

5.權利保障

基于基本權利保護原則,獨立監督機構在行使監督職權時,應注重保護被監督對象的基本權利,遵守比例原則,平衡各方主體的基本權利。在行使職能時,獨立監督機構須在用戶、商戶和自身的表達自由、營業自由、企業財產權、個人信息權利和數據流通價值等多項基礎價值之間進行權衡。尤其是在對平臺內商戶進行監督時,應注重其營業自由和財產權的保障。更為重要的是,法律強制要求平臺企業成立獨立監督機構也構成了對企業財產權、營業自由和平等權的限制,此時也應受到一定的法律限制。例如,獨立監督機構的設置也要考慮企業成本,不可要求平臺企業投入過量成本建設獨立監督機構,獨立監督機構規模應與平臺企業的壟斷地位、營業收入和利潤等因素匹配。再如,對建立獨立監督機構的標準應盡可能科學合理,遵循同等情況同等對待的平等原則,否則便會侵害平臺企業的平等權和公平競爭權。在美國,臉書監督委員會和谷歌咨詢委員會均是企業自愿成立(16)Kate Klonick,The Facebook Oversight Board:Creating an Independent Institution to Adjudicate Online Free Expression,129 YALE L.J.2418 (2020).,不少德國元規制機構也是企業自愿設置。但值得注意的是,在域外規制實踐中經常出現的情況是,政府通過獎罰機制誘導企業自我規制,此時如果這種誘導從實質上構成了壓迫或強制,那么其構成了事實上的基本權利侵犯(17)Thoma,Regulierte Selbstregulierung im Ordnungsverwaltungsrecht,2008,S.23-26.。

四、獨立監督機構機制的實施路徑

獨立監督機構究竟在現實中如何落實是擺在超大互聯網平臺面前的首要難題。超大互聯網平臺如何判定?獨立監督機構的獨立性如何保障?其監督權限究竟包括哪些?從外部關系來說,其與行政機關是何種關系?從內部關系來說,其與個人信息保護負責人又是何種關系?本文基于上述元規制理論展開的分析對這些問題展開探討。

(一)超大互聯網平臺的認定

第58條所規定的個人信息保護義務并非是針對所有個人信息處理者,而是“提供基礎性互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者”,即所謂的超大互聯網平臺。那么究竟哪些平臺企業構成這里的超大互聯網平臺呢?判斷標準究竟是什么?前文已經論及,超大互聯網平臺的認定至關重要,因為其關涉平臺企業的營業自由、平等權和公平競爭權。只有認定標準和認定工作科學、合理和精細,才能確保平臺企業基本權利不被侵害。如果認定標準不盡合理,會直接損害平臺企業的平等權和公平競爭權。根據第58條的規定,超大型平臺的認定主要包括兩個標準,一是提供重要互聯網平臺服務,二是用戶數量巨大和業務類型復雜。這里所謂的超大互聯網平臺實際上就是學理上的守門人,其處于互聯網生態處理個人信息的關鍵環節,管控眾多的移動APP接入互聯網進行個人信息收集及后續處理的必要通道、空間和提供必要的技術資源[2]。提供基礎性互聯網平臺服務是超大互聯網平臺的實質,而用戶數量巨大和業務類型復雜只不過是其附帶特征。

因此,在認定超大互聯網平臺時,應以實質標準為主,形式標準為輔,牢牢把握守門人的核心特征,即控制處理個人信息的通道。正是由于其具有守門人地位,超大互聯網平臺往往被賦予一定的公共職能權限、擁有一定的壟斷地位、對消費者和商戶具有不對等的平臺權力,這些都是重要的表征。至于用戶數量巨大和業務類型復雜等形式標準主要是為實質標準認定提供參考指南,并不具有決定意義。因此,超大型互聯網平臺的認定是一項具有較強專業性的工作,加上對平臺企業基本權利也有較大影響,有必要采取嚴格的依民主決策和科學決策程序。具體來說,可以考慮采取公開聽證、專家論證和公眾參與的形式。與此同時,還應不斷細化認定標準,充分參考我國《互聯網平臺落實主體責任指南(征求意見稿)》《互聯網平臺分類分級指南(征求意見稿)》《國家網絡安全檢查操作指南》和《信息安全技術個人信息安全規范》中對需要設置個人信息保護專職人員和工作機構的平臺進行的量化規定,同時借鑒歐盟《數字服務法》提出的標準,為實質認定提供指引。目前全國信息安全標準化技術委員會正在起草的《信息安全技術 大型互聯網企業內設個人信息保護監督機構要求》可對這一問題作出詳細規定。

(二)機構獨立性的保障

前文已論述,為了實現監管效能,滿足效能原則、中立原則的要求,必須保證獨立監督機構的獨立運作。如果獨立監督機構不獨立,那么元規制的優勢根本無從發揮。而獨立監督機構的獨立性是我國各界對該機制的最大擔憂。在個人信息保護法立法過程中,就有學者擔憂可能會出現既不獨立也不監督的情形[14],不少人為此對該制度持悲觀態度,認為獨立監督機構很難保持獨立,在我國很可能像獨立董事制度那樣無法發揮預期的功能。前文已指出,獨立監督機構獨立性的關鍵在于職權獨立性、經濟獨立性和人員獨立性。若將獨立監督機構設置于平臺企業內部,則其在職權、經濟和人員上無法真正做到獨立。對于獨立監督機構的設置問題,目前存在3種方案:一是設置在平臺企業內部,與企業的日常管理部門隔離,作為企業內部的個人信息保護監督機構;二是設置在平臺企業外部,作為社會化的個人信息保護監督機構;三是作為國家監督機構。本文認為,第三種觀點完全違反了第58條的文義,且不符合其立法目的,可以首先排除。而第一種方案和第二種方案中,第一種方案更符合第58條文義,第二種方案在文義射程范圍內。

對于第一種方案,獨立監督機構僅能通過前述的種種機制實現相對獨立。本文認為,第二種方案也可以考慮和行業協會監管結合,在行業協會中設置獨立監督機構,由行業協會來主導獨立監督機構運作,這在德國已有較為成熟的實踐。在德國,被規制的自我規制機構在實踐中是一個名為“自愿性自我監控多媒體服務提供商”(Die Freiwillige Selbstkontrolle Multimedia-Diensteanbieter,簡稱FSM)的行業協會。其自2004年起基于《青少年媒體保護州際協議》的授權開始對網絡媒體中傷害青少年的內容進行監督。為此,FSM設有一個投訴辦公室,任何人都可以舉報對年輕人有害的在線內容。與此同時,為了實現經濟獨立性,平臺企業可在行業協會中設置專項基金,由該基金維持獨立監督機構的日常運轉。由于目前獨立監督機構機制如何實施法律尚未明確,可以考慮通過試點的方式嘗試上述兩種方案,允許企業在目前的法律框架之內采取不同的嘗試方案。

(三)獨立監督機構的監督權限

根據第58條的規定,獨立監督機構的主要職責是監督個人信息處理活動。那么,究竟什么是監督個人信息處理活動呢?這也有待進一步明確。

從監督權限事項上來說,獨立監督機構監督職責不僅包括對其自身個人信息處理活動的監督,還包括對其提供通道服務對象的個人信息處理活動的監督。根據第58條第2款的表述,超大型平臺有權力對嚴重違反法律、行政法規處理個人信息的平臺內的產品或者服務提供者停止提供服務。本文認為,該權力也應該交給獨立監督機構來行使。處理平臺內產品這一職權也具有高度的公權性,應由具有一定獨立性和中立性的獨立監督機構來行使。正是由于獨立監督機構被賦予了高權性的權限,其必須受到公法的約束。例如,其監督手段必須具有一定的梯度,除了采取下架、停止提供服務等措施之外,還應有警告、整改意見等程度較輕的措施,嚴格遵循比例原則的要求,在進行監督時還應遵循正當程序原則,對此獨立監督機構規章都應具體規定。

從監督權限內容上來說,獨立監督機構的監督權限不應僅擁有建議權,還應同時包括決策權,否則其很可能淪為虛設。為了使獨立監督機構能獲取決策權限,必須將其融入公司治理體系。許可教授提出了一個切實可行的建議,即獨立監督機構由獨立董事構成的個人信息保護專門委員會和個人信息保護專家委員會組成,而前者下設于公司董事會,能夠直接參與公司決策。如此,個人信息保護專家委員可以將外部專家的意見反饋至內部決策機構,再促進該意見得到有效落實。除了決策權之外,獨立監督機構還應有爭議解決權限。基于基本權利保護原則,平臺企業應建立內部爭議解決機制。尤其是在平臺企業下架平臺內產品或服務和用戶向平臺企業申請個人信息權利被拒絕這兩種場景下,應允許商戶或用戶向平臺企業申訴主張自身權利。爭議解決權限也具有較強的公共職能屬性,因而也宜由獨立監督機構承擔。

獨立監督機構對于優化平臺治理生態來說還具有巨大的潛力,應用范圍可擴大到信息內容管理、信用治理、交易監管、科技倫理審查和勞動者保護等諸多平臺監管領域。近年來,該趨勢已經出現。2022年3月14日國家互聯網信息辦公室發布的《未成年人網絡保護條例(征求意見稿)》第20條第3款規定了對未成年網絡保護情況進行監督的獨立機構。盡管國家尚未出臺法律要求獨立監督機構承擔上述職責,但平臺企業可以考慮嘗試,由獨立監督機構承擔信息內容管理、信用治理、交易監管、科技倫理、未成年人保護和勞動者保護等事項的監督工作。除此之外,隨著數字技術的不斷發展,法律無法及時跟進監管需求,此時企業內部的科技倫理審查能夠發揮關鍵作用[15]。

(四)與行政機關之間的關系

元規制機構和行政機關之間的關系如何處理,是國外規制實踐中出現的一個難題。在德國,元規制機構擁有監管上的優先性,政府必須承認其作出決定的效力。政府只有在元規制機構存在系統性的功能失靈時才能撤銷該機構,且沒有在個案中否定元規制機構決定效力的權力。在美國,臉書監督委員會和政府的關系如何處理也成為一個難題。Kate Klonick認為,解決這一問題有3種方案:一是政府直接無視監督委員會;二是政府承認監督委員會的決定具有優先效力;三是政府讓監督委員會直接解決法院受理的案件(18)Kate Klonick,The Facebook Oversight Board:Creating an Independent Institution to Adjudicate Online Free Expression,129 YALE L.J.2418 (2020).。就目前來說,法院不太可能承認其決定具有優先效力,而是認為其具有說服力,類似于法院對私人替代性爭議解決方案的承認。

本文認為,我國應承認獨立監督機構在監管上的優先性。一般情況下,行政機關要尊重獨立監督機構的決定,因為這種元規制形式是法律強制規定的,獨立監督機構監督個人信息保護情況的職權得到了法律的授權,應被行政機關尊重。只有在獨立監督機構存在違法或不作為時,行政機關才能介入。整體來說,行政機關發揮的作用是對自我規制的再監管,首先應尊重平臺企業的自我規制,而這種再監管主要應通過參與獨立監督機構的決策、與獨立監督機構保持合作、審查獨立監督機構自治規范等形式來實現。對此,張新寶教授也指出,盡管大型互聯網平臺企業設置的個人信息保護獨立監督機構屬于企業的內部機構,但是其引入了外部成員而且擔負著法律規定的特殊職責,因此其設立、運行等應受到國家個人信息保護部門的指導和監督[5]。在獨立監督機構出現系統性失靈時,行政機關可以直接撤銷其獨立監督機構的資質。

(五)與個人信息保護負責人之間的關系

根據《個人信息保護法》第52條的規定,處理個人信息達到國家網信部門規定數量的個人信息處理者應當指定個人信息保護負責人,負責對個人信息處理活動以及采取的保護措施等進行監督。第58條規定的超大互聯網平臺肯定達到上述要求,因而必須指定個人信息保護負責人。然而,個人信息保護負責人和獨立監督機構均具有監督個人信息保護情況的職能。正基于此,個人信息保護負責人和獨立監督機構的職能存在重疊[16]。

前文已經指出,個人信息保護負責人和獨立監督機構實際上都是元規制,只不過前者屬于以個體為表現形式的被委托人,后者屬于以組織為表現形式的元規制機構,兩者在功能上并不存在嚴格意義上的區分。如果是在中小企業,那么是由個人信息保護負責人全權負責監督個人信息保護情況;而在超大互聯網平臺企業,監督個人信息保護情況的工作具有較強的公共職能屬性,同時工作量和復雜程度也更高,個人信息負責人已無法滿足監督需求,因而有必要和獨立監督機構共同完成。基于輔助性原則,平臺企業個人信息保護監督的日常工作應交給個人信息保護負責人來完成。個人信息保護負責人作為企業員工比獨立監督機構更加了解業務經營狀況和個人信息保護情況,還可以作為獨立監督機構中的企業代表組織獨立監督機構的設置和運作工作,以及向獨立監督機構提供履行監督職權所需要的信息。

五、研究結論與展望

從《個人信息保護法》條文來看,第58條規定的獨立監督機構可以說是此次立法中的最大創新之一,其他機制基本可以從國外立法中找到雛形。但這一創新并非無源之水無本之木,而是立足于我國平臺主體責任理念的正確確立,產生于近期對互聯網平臺加強經濟監管的大背景之下。近年來,域外平臺治理之中私人治理機構的大量產生也為其提供了一定的域外經驗,但這些機構基本不負責個人信息保護。而唯一和個人信息保護相關的谷歌咨詢委員會,其權限也僅局限于被遺忘權執行。因此,獨立監督機構是世界范圍內首次在個人信息保護領域作為元規制表現形式的私人治理機構,如果成功運轉,能夠為其他國家提供個人信息保護的中國經驗。

該制度對于優化平臺治理生態來說還具有巨大的潛力,應用范圍可擴大到信息管理、信用治理、交易監管乃至勞動者保護等諸多平臺監管領域。未來可以考慮進一步拓展其功能,建立全面負責平臺治理的獨立監督機構。目前,該趨勢已經出現,《未成年人網絡保護條例(征求意見稿)》第20條第3款規定了對未成年網絡保護情況進行監督的獨立機構。因此,第58條所規定的獨立監督機構,也可以視為一種法律試驗,是通過私人治理機構進行平臺治理的先行制度。可以想象的是,這一制度在我國的運轉面臨諸多挑戰,只有不斷試錯才能走向完善,進而拓展其功能。基于此,第58條的規定也不宜過于精細,應保證足夠的試錯空間。