公私合作治理模式在個人信息保護中的應用

摘 要：公私合作治理模式作為一種前瞻性和創新性的治理方式，是國家治理從消極義務向積極義務的螺旋式升級的體現，特別是在智能社會治理中尤為體現其治理優勢。文章以智能社會治理中較為突出的個人信息保護領域為重點討論公私合作共治的法律問題。公私合作治理以行政委托、協商制定行政規則以及公私合作規制的方式促進公權力和私權力的深度合作，符合個人信息保護的效益原則。然而，在明確引入合作治理機制后，有必要厘清可能存在的法律風險，防止造成行政法向私法逃遁、引發私權力的濫用及腐敗、隱私政策的效力不清以及對第三方機構的監管不完善等問題。對于公私合作治理模式下的個人信息保護，還應關注私權力集中的平臺責任以及國家擔保責任的機制嬗變，為公私合作治理模式在個人信息保護上發揮作用掃清障礙。

關鍵詞：個人信息；公私合作共治；法律風險

中圖分類號：D 913 文獻標志碼：A 文章編號：2096-9783（2024）05?0046?10

一、問題的提出

無論是公共機構處理個人信息形成的“公權力”，還是私營機構處理個人信息形成的“私權力[1]”，大數據本身具備一種天然的“強權”，并帶有強烈的集中“控制力”。這種集中控制力必然決定大數據語境下的個人信息的治理要有整體的、積極的治理思維和治理模式，這也必然會讓行政法從防止政府過度干預私權的“不作為”走向主動保證大數據社會安定的“積極作為”，從“干涉行政”向“給付行政”轉變，從單一公權力治理走向多元化治理。正如有學者指出的那樣，行政法進入一種應對新問題所作出的回應型行政法學的階段。

回應型行政法學代表了行政轉型，從特征上分析，其呈現與諸多領域的結合，更凸顯與公私法的混合，兼容軟硬法，是社會化與綜合化的體現[2]。回應型行政法學，就是要對技術進步帶來的社會變化作出積極反應，而不是任由社會自行調整，由此，首先在發達國家開始討論因應新的社會變革而帶來的行政法的調整，也被稱為“新行政法”。新行政法與建立在公私分立、公私對立的傳統公共行政有著理論上的不同，這也是導致行政法任務出現變化的根本原因，引發實施路徑的變更。在傳統的“權力—服務模式”向“協商—合作模式”的演變過程中，傳統權限發生轉變，控權模式行政法不再占據主導地位，而將實現治理目標作為根本，強化對公權力與私權利的規范，構建“新行政法”[2]。新行政法的一個特點，即引入了合作治理的理念，強調多元共治，除政府外，企業、民間社團、社會組織等都可以參與社會公共事務的管理，在政府的監管方法和技術轉向市場時，私人行為者被廣泛用于履行政府職能。因此，探討公私合作治理模式在個人信息保護上的應用在當前智能社會治理背景下尤為重要。

二、公私合作治理模式的理念主張與規范內涵

公私合作治理模式，作為一種創新的治理結構，旨在將公權力與私權力的優勢相結合，以探索公共服務治理的新途徑。這種模式的核心目標是滿足個體對合法權益保護的迫切需求，并推動行政治理能力的提升。在這一模式下，公共部門與私營部門攜手合作，共同應對治理挑戰，實現資源的優化配置和治理效率的最大化。通過這種合作，可以充分發揮私營部門的靈活性和創新能力，同時借助公共部門的權威性和規范性，形成一種互補和協同的治理機制。

（一）公私合作治理模式的理念主張

傳統的公共行政和行政法建立在公私分立、公私對立的基礎上，政府行使公共職權以及提供“公共物品”（包括教育、醫療、郵政、水電氣等），嚴格依法行政，不得與私人機構單方接觸、討價還價，更不能委托私人機構代為行使公共職權。但是社會的發展、高科技的進步以及國家意志力下的大工業發展目標使得傳統公共行政和行政法開始發生變化，特別是社會城市化使居民對社會公共設施和生活環境產生了嚴重的依賴，這導致行政任務不斷拓展，國家須以更及時有效的決策速度應對各種風險，而由資本、新型經濟理念和運營模式、人工智能織成的全球性網絡更是對國家任務提出了新的挑戰。政府職能僵化、公共物品壟斷、管制效率下降、技術手段和資金不足等與日益增長的私營企業和人民對公共物品的需求以及其自主治理能力快速提升形成嚴重沖突。

大數據時代要求政府有更迅速的決策反應機制，摒棄僵化教條的“被動行政”，于是現代西方國家開始提出行政法改革的目標[3]，即從“傳統的權力—服從模式的行政管理（government）逐漸演變為協商—合作模式的公共治理（governance），傳統的限權、控權模式行政法逐步演變為實現治理目標為導向的同時規范公權力和私權力模式的‘新行政法’”[3]。這意味著，公權力與私權力之間的交互融合實現了新合作模式的突破，尤其體現在不同國家之間的行政法改革之中。

合作治理就是在這樣的背景下產生的。合作治理不再強調“公”“私”分明，而是強調“公”“私”合作，公中有私，私中有公。我國在公私合作治理方面已經有許多實踐，在電力電信、食品安全、學前教育、養老保險、治安協管機制等方面，都有許多私主體承擔著原來由政府或公共機構負責的事務。在政府數據開放中更體現出合作治理的趨勢。在社會信用體系建設中，政府將法院、金融、社保、交通等諸多方面的數據共享出來，建立每個人的信用數據庫。在智慧城市的建設中，將公私機構的數據共享進行智能分析，提供可靠、精準的城市化服務。在環境和公共健康領域也有合作治理的巨大空間。在上述這些領域中出現的國家、社會與私人之間的合作得到了社會的認同，也開始根據各自的特性從法律層面確立這類私行為的效力機制[4]。而個人信息保護作為數字化時代下涉及公權力與私權力相互交融的領域，將合作治理理念融貫進個人信息保護之中是順應新時代公私合作治理的必然之舉，同時也有助于更好地保障個人信息主體的合法權益，以及促進公共政策目標的實現。

（二）公私合作治理模式的規范內涵

合作治理是國家積極治理的螺旋式升級，是國家從消極義務[5]向積極義務轉變的體現。從“警察國家”到“法治國家”再到“合作國家”[6]，國家的義務從積極的“強權”到消極的防止強權再到積極的制度給付，是一個從積極到消極再到積極的過程，是國家治理理念的螺旋式升級。合作國家的積極治理不同于警察國家的積極治理，其不僅要對公共機構和私營機構愈來愈膨脹的權力進行有效監督，也要對合作治理中的私營主體的責任進行擔保與監管，使國家成為幫助和促進社會秩序以及人民幸福的積極力量。積極義務除了保護義務外，更多的是國家的制度給付義務。給付義務強調國家以積極態度投入公民服務中，為其提供利益的義務。這種給付更多地體現為法律程序，也可以是具體的服務行為[6]。

歐盟自1995年開始的數據保護指令直到2018年的《一般數據保護條例》（GDPR）的實施，反映的都是一種積極的治理理念。美國盡管是判例法國家，近年來也出臺了大量互聯網治理的法律和政策。特別是在對未成年人個人信息保護方面，明顯體現出國家的積極治理理念。早在1998年，美國即通過了《兒童在線隱私保護法》，目的是防止兒童信息遭受商業網站侵害。之后，聯邦貿易委員會又發布了該法的實施細則。該法對在線收集13歲以下兒童個人信息的行為給予嚴格的規定。要求互聯網服務商必須設立專門的機制以向兒童家長驗證索求同意收集未成年人的信息（actual notice），需要重視對兒童在線隱私的保護，保證信息安全性。在我國，《兒童個人信息網絡保護規定》2019年通過，其主要對網絡運營者行為進行約束，一旦涉及兒童個人信息，需要對行為進行告知，達到監護人的允許之后才可以使用。這些都屬于對特定群體公共治理的積極行政。

在治理網絡犯罪問題上，也呈現著積極治理的態勢，我國《刑法修正案（九）》設立的“侵犯個人信息罪”即考慮到互聯網犯罪的特點和危害性，提供積極治理的制度供給。在我國2015年的《法治政府建設實施綱要（2015—2020年）》中提出，需要重視提供公共服務，實現提供主體和提供方式多元化……實行政府和社會資本合作模式1。2019年發布的《關于開展 APP 違法違規收集使用個人信息專項治理的公告》《APP違法違規收集使用個人信息行為認定方法》《互聯網個人信息安全保護指南》《兒童個人信息網絡保護規定》等法規、政策中都涉及政府與民間合作治理個人信息保護的條款，可以看出公私合作模式將成為今后我國政府在互聯網治理方面提供給付行政的主要方式。

三、合作治理在個人信息保護中的表現形式

學術界對公私合作治理的概念還處在討論之中，“作為一個集合概念，其內涵和外延都具有模糊性”[7]，很難給出精準定義，但學術界也達成了基本共識：“公私合作”是一種關系，“治理”是一種公共行政改革的理論，本身就包含了公部門和私部門的合作內涵。合作治理模式與個人信息保護緊密契合，這集中體現在行政委托、協商制定行政規則以及公私合作規制之中。

（一）行政委托

合作治理中的行政委托“是指行政機關委托行政機關系統以外的私權利組織行使某種行政職能，辦理某種行政事務”[8]，它是在“保留行政任務權限和行政任務責任的前提下，將行政任務的實際履行部分借助私人力量以達到完成目的”[7]。行政委托通常以行政合同的形式來實現。與法律法規授權不同，行政委托合同中的受托方（私主體）是以委托方（行政機關）的名義行使行政權，并由委托方對受托方的行為負責[8]。其后的法律責任也不由受托方承擔而由委托方承擔。在這類行政委托中涉及私主體代行政機關行使公權力，所以這類行政委托對受托方的要求比較嚴格。

而另一類僅涉及公共服務業務的行政委托就不存在公權力的行使，利用私主體的專業知識、技術實力和資金向社會提供公共服務，這種委托行政一般通過委托外包、公辦民營的方式實現，而這種合作中，私主體是以自己的名義獨立提供公共服務，所做出的行為后果完全由私主體自行承擔。業務委托是典型的行政委托體現形式。在個人信息保護上，業務委托也是最被廣泛應用的合作治理模式。對關鍵基礎設施評估、重要數據跨境傳輸評估、企業個人信息政策合規認證等都有可能由行政機關委托給第三方機構辦理，為行政機關分流一部分行政事務。引入智能技術進行合作監管更是個人信息合作治理的優勢之處。通過人工智能技術對交通、治安進行有效管理。比如，交通管理部門委托第三方機構開發的“智能行人過街系統”，通過自動抓拍、人臉識別、數據采集等技術監控行人闖紅燈行為；政府通過區塊鏈技術進行版權溯源和打擊盜版，準確定位權利人和侵權人的個人信息。面對這些大量收集、存貯的個人信息，政府相關部門沒有能力進行技術維護和數據保存，多是通過購買第三方服務或是托管的方式來協助行政機關的公共服務。

（二）協商制定行政規則

行政規則是絕對的公權領域，應該有絕對代表公共利益的行政機關來制定。但是在一些專業性較強的領域，政府部門缺少專業人員做出專業判斷，進而進行合理的法律規制。由此引出像環境監測這類領域中的聽證會制度，由公眾、專家或者專業的私營機構代表共同參與制度建設，讓行政相對人參與到從規則制度構建到實施的整個過程。

協商制定行政規則也被稱為協商立法，曾經遭到持有傳統行政法理論人士的強烈批判：與利害關系人就規則進行協商是對傳統國家治理模式的詛咒[3]。這可能誘使行政機關放棄職責、利益集團討價還價，最終公共利益受損。但是支持者也有充分的理由，協商行政立法并未取消對行政機關職責的外部制約，即對行政機關規則制定的司法審查從未取消。至于利害關系人在立法中夾以私利，尚有相對的利害關系人加以制約以及公開透明的聽證會制度和協商立法過程予以保證。《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）在制定過程中就有私人主體的廣泛參與，有代表性的互聯網公司都提供過立法建議，屬于協商立法的產物[9]。協商制定行政規則也體現在執法過程中的協商執法，美國FTC的行政和解制度就是在執法過程中通過與私人機構協商解決個人信息侵害問題，反過來這些和解協議也成為FTC的“判例法”規則，被稱為FTC隱私法學。我國在《個人信息保護法》第六十五條中規定：“任何組織、個人有權對違法個人信息處理活動向履行個人信息保護職責的部門進行投訴、舉報。”這也說明公眾參與在個人信息保護中的重要作用。

（三）公私合作規制

規制是指政府為了達到或維持所希望的社會狀態而對國民行動給予一定的制約。公私合作規制是國家將部分社會管制任務分配給私人或委托第三方履行，以減輕政府規制任務的負擔。公私合作規制中的自我規制是最典型的合作規制做法。自我規制包括社會自我規制（如行業協會自律公約）和私人自我規制（如私人政策、宣言、協議等），在一定意義上達到了與政府共同分擔社會規制任務的效果。較好的自我規制如能被公眾所認可，甚至可以轉化為國家的正式立法[10]，比如我國互聯網協會早期的互聯網企業自律公約后來都體現在行政法規或國家標準之中，2014年，我國50多家互聯網公司聯合簽署《北京市移動互聯網應用程序公眾信息服務自律公約》和《維護APP信息服務秩序、發揮APP積極社會作用承諾書》，公約成員承諾保護個人信息。首都互聯網協會將履行合作治理中私人主體的規制作用，“定期對公約成員進行評議，對違約者作出警告、行業譴責、列入黑名單、媒體曝光直至行業禁入處理”。2018年，中國互聯網協會發布《網絡數據和用戶個人信息收集、使用自律公約》，23家電信和互聯網企業簽署了公約，就個人信息收集、使用行為進行了承諾2。這些行業協會自律公約屬于社會自我規制的形式。個人信息保護中的企業隱私政策是典型的自我規制的形式，私營機構通過私法協議的形式將自己的隱私保護承諾公之于眾，接受全社會的監督，而執法機關也是根據私營機構的隱私政策來進行法律合規。對于涉及互聯網的大量糾紛，政府也在構建互聯網平臺多元糾紛調解機制，形成了社會治理的多元機制。

大數據時代的個人信息保護單靠政府的公權力進行保護和規制顯然已經受到許多掣肘：一是數據處理規模之大之廣，政府不可能及時監控每一環節；二是政府也不可能配備各種專業領域的公務人員對技術性很強的領域進行監管（比如金融、醫療領域），引入“合作治理”后，國家轉為對大數據應用秩序和公民個人信息利用的社會和個人共同受益的擔保角色更符合效益原則。

四、個人信息保護引入合作治理機制的風險厘清

《個人信息保護法》第十一條提出了“國家建立健全個人信息保護制度，預防和懲治侵害個人信息權益的行為，加強個人信息保護宣傳教育，推動形成政府、企業、相關行業組織、社會公眾共同參與個人信息保護的良好環境”。合作治理能夠實現對民間活力的激發，強化行政效率的提升，降低行政成本。但也應考慮其不足的一面 [11]，以確保合作治理機制的有效運轉。

（一）可能導致行政法向私法逃遁

合作治理的提出本身就是在“政府失靈”的情況下產生的，在私人主體承擔一部分行政任務之后，行政機關并不是將全部的公權力都移交給私人機構，行政機關還要承擔相應的監管責任，保證私人機構能夠有效地履行提供公共產品的職責。但是，由于行政機構本身履職能力的限制，在引入私人參與行政任務之后“可能會導致行政法向私法逃遁，行政機關推諉責任現象”[7]，進而使得公共服務的履行無法實現最佳效果。

由于私人機構天然的逐利性和公共責任的淡漠，在與行政機構共享公權力的時候，更容易只要權力不要責任，甚至在發生行政任務不能履行時指責行政機構的管理缺陷，推卸自身責任，政府部門也容易以私人機構是行政任務的實際履行人而推諉、轉嫁行政責任，特別是以委托行政發生的合作治理中，行政機構要求私人機構解除行政合同，承擔違約責任，而對于本來屬于行政相對人的利益則要求私人機構承擔侵權或違約責任，完全轉向了司法規則。這種情況，既不利于調動私人機構參與合作治理的積極性，也不利于公眾權利的維護。為防止這種行政責任私法化傾向，必須在行政委托時就劃分好行政機關和私人機構的責任，行政機關不能放棄公共服務最終供應者的社會責任，私營機構也要承擔起私權力行使中的公共利益保障，將公共權益的保障列入合作治理實施的全過程。

（二）容易引發私權力的濫用及腐敗

私人機構在獲得與行政機關共享裁量權后，有可能使得在原來就具有強勢的市場勢力基礎上更具有了控制力和壟斷能力，私營機構可能通過獲得的行政委托權力加劇其市場支配地位。同時，私營機構的權力尋租對公共權益的損害也會加劇。如引發私人主體的壟斷行為、官商勾結、產品與服務質量降低、權錢交易等[12]問題更為突出。2018年曝光的美國臉書公司與英國劍橋公司在利用大數據干擾美國大選事件中，臉書公司就有與政府有關部門相互勾結、干預總統大選的嫌疑。有控制力的私人主體甚至可以超越國家的邊界，成為世界規則的主導者。2019年，美國臉書公司發布了Libra數字貨幣白皮書3，其中表明：“Libra 的目標是構建金融基礎設施，以簡單與無國界為原則，能夠為數十億人服務。”之所以臉書公司具有構建全球貨幣的雄心，主要原因在于其龐大的用戶群體所賦予的壟斷地位，這種壟斷地位足以讓其任何想做的事情都能獲得成功。一旦臉書的Libra數字貨幣計劃實現，一切現有規則都將在臉書公司強大的金融勢力下崩潰，臉書將有能力重寫國際規則，屆時，歐洲的GDPR根本沒有可能處置臉書的個人信息保護不合規的問題。臉書的Libra數字貨幣將成為國家金融安全以及金融消費者個人信息安全的巨大黑洞。

除了私主體有濫用權力之嫌外，合作治理中的私人機構由于擁有了一定權力，也極易產生腐敗問題，特別是處在公權和私權模糊的領域，私人機構受利益驅動，可能通過賄賂對行政部門進行“俘獲”，以獲得更多的行政裁量權。無論是私權力濫用還是私權力腐敗都會再次導致“市場”和“政府”雙向失靈，失去合作治理的意義。公權力與私權力之間的模糊邊界不可避免地產生尋租空間，因此私權力的濫用及腐敗問題也當然成為在個人信息保護下引入合作治理模式所可能導致的風險之一。

（三）隱私政策的效力不清

在合作治理中，公共機構和私人機構自行發布的隱私政策常常成為行政執法的依據。而如果一家機構違背其自己的承諾，或者在其中加進許多同意“陷阱”，此時的監管機構采用何種理由進行處罰？機構的隱私政策具有合同效力還是一廂情愿？

美國FTC一直監督著商業機構的隱私政策并作為其執法的主要依據，但民間對此有不同的觀點，隱私保護組織認為隱私保護不在于制定什么樣的政策而在于推行一個真正的隱私保護實踐4，即注重隱私保護的實踐以滿足保護消費者隱私的真實需求。多數商業機構不完全遵守自己制定的隱私政策，隱私政策僅僅是在出現法律糾紛時的一種自證清白的說辭而已。當商業機構產品升級或發生公司變動時，隱私政策會發生變化，商業機構一般也不會進行所謂的增強性告知，而是選擇將有利于自己的隱私政策塞給用戶，騙得用戶的同意，因此商業機構公開發布的隱私政策就是一個“華麗的外衣”，這樣的隱私政策并不會真正促進公平的隱私保護實踐[13]，以及用戶個人信息合法權益的保護。

美國學者Daniel J. Solove教授認為，如果用戶沒有閱讀隱私政策，為什么執法機構要強制執行這些政策？在人們接受互聯網服務時，大多數人不會閱讀隱私聲明。至于其他類型的通知，如最終用戶許可協議和合同樣板條款也只有很少人閱讀它們。在一些選擇條款中，人們大多不會選擇反對服務商收集、使用或披露他們的數據的條款，甚至都懶得去更改網站上默認的隱私設置。如果人們不閱讀隱私政策，可能就視為接受了這些隱私條款，而這種接受是被動的，不知情的。那為什么FTC要求執行這樣的隱私政策呢5？Solove教授指出，隱私政策通常難以讓消費者理解，并且在制定政策可理解和提供足夠的細節以解釋個人數據被使用和保護的復雜方式之間存在權衡。人們對隱私的了解不夠充分這一事實導致提供有意義的通知和提供簡明的隱私政策是非常必要的，不僅有助于消費者快速明了其隱私保護政策，還有助于隱私倡導者和監管者的準確監督[14]。然而，FTC還是認可私營機構的隱私政策，如果商業機構沒有遵循其隱私政策則以構成欺詐和不公平競爭為由進行處罰。正是通過對私營機構隱私政策的監督才擴展了FTC的影響力，獲得對商業互聯網的管轄權[13]，保障了用戶的合法權益。

在我國個人信息保護的實踐中，如果是通過民事途徑，商業機構的隱私政策可視為格式合同，以違約處理，也可以侵權處理。如果追究刑事責任，這些隱私政策可以作為情節是否嚴重加以考量，而在行政執法中，這些隱私政策就是合規的對象，如果隱私政策不合規可以直接加以整改和處罰。對于公共機構來說，公開透明的個人信息政策也是處理個人信息合規的形式要件。為了讓行政相對人在行政訴訟的個案中有清晰的個人信息保護依據，除了現行法律的明確規定外，公共機構也應當像私營機構那樣制定公開、便于告知的個人信息政策。

公共機構收集個人信息原則上應當在事前向個人信息主體發出詢問，不能在對方不知情的情況下向他人索要信息。防止公共機構運用技術手段隱蔽性的秘密收集，確保個人信息主體在收集信息全過程的知情權，信息主體也有向公共機構檢索、訪問、查詢其個人信息記錄的內容的權利，信息主體發現其存儲的個人信息不正確、不完全或不新穎，可以請求公共機構變更、修改記錄。

公共機構必須采取必要的安全措施保障收集到的個人信息的安全存儲，避免信息泄露、毀損、丟失的狀況發生，也要具備較強的防止黑客外部攻擊技術措施。對于內部的相關工作人員做好培訓和保密工作，嚴格工作流程。公共機構未采取必要的安全措施保護個人信息的，信息主體可以通過政務信息公開、行政復議或行政訴訟等渠道要求知情權，必要時可主張損害賠償。保證公共機構在處理個人信息全過程的政策透明度、公眾參與和問責制是關鍵環節[15]。

（四）對第三方機構的監管不完善

第三方機構是合作治理中的重要角色，充當一定公共秩序的維護者，也作為商業機構合規的鑒定者，尤其也作為政府執法證據的提供者，這就要求第三方機構要保持足夠的公平和中立。但即使目前在國際上比較權威的第三方認證機構TrustArc，其隱私評估也曾受到質疑。

2006年，哈佛大學經濟學研究員本杰明·埃德爾曼（Benjamin Edelman）發表了一份研究報告，顯示擁有TRUSTe認證證書的網站比未經認證的網站更有可能違反隱私政策。埃德爾曼稱，TRUSTe不足以懲罰違反規則的企業，也沒有及時撤銷違反隱私標準公司的認證標章。而從一般常識來看，一家營利性公司對其認證的公司是否能夠保證其中立性也是毋庸忽視的問題6。2014年11月在針對TRUSTe的一項投訴中，FTC稱，從2006年到2013年，TRUSTe在1 000多起案件中未能對其認證的公司進行年度隱私檢查。最終，FTC與TRUSTe達成和解，TRUSTe承認向消費者虛假陳述其再認證計劃，以及其作為非營利實體的地位，TRUSTe被判罰款20萬美元7。從這一案件看，在美國引入私人機構進入公共管理時，政府的監督不足，處罰也比較輕微，TRUSTe改名之后沒有受到太多影響，繼續占據著隱私認證的市場。對于這樣的評估認證機構如果在為中國企業提供的服務出現問題時，可能還是要中國企業自己承擔后續的責任，而對認證機構的監管也無法納入我國的行政監管范圍。這是未來在我國個人信息行政執法上應當引起重視的問題，而當國內發展出類似TRUSTe這樣的認證機構時，一方面可以承擔起第三方協助治理的任務，同時也面臨著對這類機構的有效監管。根據行政委托任務、第三方機構的性質、行政機關的監督能力可以選擇不同的監管模式，特別是公眾投訴機制的建立會彌補第三方機構執行行政任務失誤后的監督。

五、公私合作治理模式下個人信息保護責任機制的嬗變

公私合作治理在一些基礎設施、建筑項目、公共衛生方面已經實行了相當長的時間，在這些領域，國家不再親自執行公共任務，轉為借助私人機構完成。國家委托私主體代為行政，通過監管責任、違約責任來保證對公共利益的維護。在個人信息保護的治理上，既有基礎設施的公共服務，比如互聯網平臺的通訊服務、征信體系的構建；又有一般的公共服務，如居民水、火、電等生活收費和管理都開始民營化，在如此大面積引入合作治理后，面對的首要問題就是公私合作治理后的責任承擔問題。

（一）平臺責任

在行政法的改革中，已經出現了行政的私化，將行政權限授權給私人，由私人承擔某些公共事務的規制功能，互聯網平臺正是這類私人行政的踐行者之一。互聯網平臺已經成為“組織生產力的新型主體”[16]，在個人信息保護上具備處理個人信息全流程的功能，也成為大眾參與公共活動的重要場所。平臺一方面屬于私人設立，成為很好的經營手段和營利工具。同時也是通過制定規則，實際上行使本應由行政機關行使的監督、審查、維護平臺秩序職能，形成所謂的平臺“私權力”，平臺也就具有更高的“失范風險”，更需要政府從外部加以規范，以保障平臺內消費者的利益和平臺秩序的正常運行。

當平臺按照法律法規授權、行政機構委托、公共服務協議等要求對平臺內的商家或者用戶履行審查、監管義務時，從行為性質上看，平臺與商家或用戶就形成了某種行政法律關系，此過程中如果平臺與商家或用戶發生糾紛，通過怎樣的司法途徑來尋求救濟是引入“私人行政”必須考慮的問題。

目前有兩種學術觀點：第一種觀點是按照平臺承擔“公共行政任務”的性質與“行政相對人”（商家或者用戶）通過行政訴訟解決，這一觀點要突破現行《中華人民共和國行政訴訟法》（以下簡稱《行政訴訟法》）有關行政訴訟必要的適格主體的問題。有學者建議借鑒美國“公共職能”標準，以是否履行了“行政行為”為提起司法審查的要件，即“只要是私人主體行使傳統上屬于政府的行政職能，對外作出權利義務處分行為，不管是以法律法規或者規章授權組織的身份，還是行政委托的組織、行政合同當事人的身份，均可以對其進行司法審查。是否構成司法審查的對象，注重的不是行為主體是否為行政主體，而是行為主體的行為是否屬于履行公共職能。只要履行的是傳統意義上屬于政府行使的公共職能，不管是行政機關，還是私人組織，均可以成為司法審查的對象。[17]” 在此種主張下，我國行政訴訟的構成要件就只有“行政行為”要件，而不需要“行政主體”要件了。這在現行的《行政訴訟法》下還無法實現，必須進行公法救濟制度的重大改革。而如果依照“行政行為”標準，也可能對私人行政的私人主體施以更加嚴格的行政責任。

另一種觀點則認為，私人行政中的“私人”也是一種民事主體，與平臺內的商家或用戶屬于平等的民事關系，他們之間可依《中華人民共和國民事訴訟法》解決其糾紛，而平臺在沒有盡職履行好“行政任務”時，有關行政部門可以追究其行政處罰責任。由于互聯網平臺沒有盡到的“行政義務”還應該由國家進行補充履行。“當市場失靈或萬一私人無法履行其法定公共任務時，國家基于‘補充責任’的法理要求，必須確保結果上，公共任務仍被持續履行，所以國家即有接管、取回或撤回之選擇權利”[18]，而“行政相對人”亦有要求國家承擔擔保責任的救濟渠道。

實際上，平臺也是一種“私人行政”實踐。特別是那些主宰互聯網的“帝國企業”，在這些巨頭公司經營的互聯網業務平臺上已經自成一個小社會體系，國家治理互聯網的責任也就從原來的“身體力行”的給付執行轉變為擔保行政，委托互聯網平臺服務商代為執行國家的給付義務。在對平臺上的商家及用戶的監管上，政府可以放開由平臺商履行監管職責，比如在產品質量監管上，平臺方可以對進入平臺的商家進行嚴格的資質審查，對產品不合格的商家加大懲罰力度，還可以利用先進技術對商家的產品進行溯源跟蹤，這樣就可以讓平臺方分擔一部分互聯網平臺上的公共事務。但是，基于平臺方的規模和業務模式，也不可能要求所有的互聯網平臺都能夠充當代為政府“執法”的角色，特別是對平臺自身的監管，還是要由政府行使監管責任，做到“政府管平臺、平臺管用戶”的監管理念。

在互聯網運行的過程中，國家也不應過度依賴平臺，放棄國家責任。國家對互聯網平臺的監管責任應當越來越嚴格，特別對平臺上的金融活動、內容發布、敏感個人信息保護上，應要求平臺盡到積極的注意義務，主動審查和清除違法信息，依法依規進行平臺經營。

（二）國家擔保責任

當私人主體提供公共服務中遇到障礙，誘發供給中斷與不穩定性，這需要政府以公共目的與公共服務為導向進行干預，并積極采取補救措施，抑或進行工作的承接[19]。而這不免導致國家責任的轉變，對于重要基礎設施這一類的公共服務由私人主體承擔時，國家應當承擔擔保責任。

在合作治理或者公共任務民營化的改革中，引入民間機構參與公共事務的管理，必然會引起許多擔憂，私主體參與公共行政有時并不完全讓公眾知曉或者得到社會的充分討論，可能是某一行政機構自行的主張。于是，便會出現私主體如果服務不到位的話責任由誰承擔的問題，是由下達行政任務的公共機構承擔國家賠償責任還是由私主體承擔違約責任或者侵權責任。有學者提出利用“擔保國家理論”[20]可以解決這些擔憂。依據擔保國家理論，由國家提供制度供給保證私人主體參與公共事務管理的公平性和公益性，擔保公民能夠獲得普適的、便宜的公共產品和服務，其提倡適度的小而美的擔保[21]。在民營化之后，國家的責任出現變化，不再是自由主義時期的責任極小化范疇，也突破給付國家階段的極大化責任，而是處于二者中間位置，以此確保國家擔保責任的實現。擔保行政或擔保行政法最基本的內容就是國家要履行最基本的“監督責任”“管制責任”與“接管責任”，創設私人參與公共任務履行時的法律框架[20]。這一框架的基本內容根據德國法體系包括五個方面：“確保私人提供給付之品質及結果；選擇私人合作伙伴之程序；保護競爭第三人及使用者或消費者；建立必要的評估及相互學習機制；設計國家有效接管或撤回選擇權”[20]。在實施國家擔保機制的時候，必須有一個擔保行政法依據，否則，即使像美國發生金融危機以及中國的毒奶粉事件，也無法追究美國政府對金融秩序和中國政府對食品質量監督失職的責任。所以擔保國家理論亦是在法治國家的基礎之上，要有法可依。

在美國法系下，不贊成國家過度干預，針對公私合作行政出現的問題提出了所謂的“管制機制責任制”[3]。私主體本身面臨諸多的約束措施，不宜用傳統方式要求私主體承擔類似公權力的責任，而應當根據公私主體合作分工機制分配責任，重在事前制定的管制程序等[22]，以確保責任的公平分配。

國家擔保責任中重要的是管制責任。多數情況下私主體參與公共服務是通過政府合同形式獲得授權，政府在選擇私主體的時候也是遵循市場競爭規律，通過市場鑒別，選擇最合適的私主體承擔公共事務的供給責任，這也要求政府必須具備合同管理能力，要求監管服務的生產者履行服務義務，依托強制公開方式，明確服務標準，在緊急情況下保證接管方式可行性，維護持續性的公共服務[19]。政府通過合同實施全過程管理能夠有效保證公共服務的品質，而一旦私主體無法達到預期供給的時候，國家就會依托公共利益條款、持續供應條款等對私人主體進行公法約束。盡管合同本身具有自治性，但是，政府合同的公共性更加顯著。政府借助合同實現公共服務的外包，同時以公共目的為切入點，通過合同方式使得私法主體涵蓋了諸多公法義務[19]。政府在這一過程當中應當保證最佳的管制效果，降低合作風險[23]，以確保合作內容的順利實現。

合作行政的管制責任主要體現在以下四個方面：首先，倚重市場的力量，遵循運行規律，設置市場運行機制，能夠實現對被規制者精準管控打擊；其次，設計合同與自愿兩種模式，與柔性行政要求相吻合，負面效應降低；再次，組織形式以公司與協會為主，資源渠道廣泛，能夠獲得有力的資源支持；第四，充分發揮行業優勢，行業內部也具有較強的執行力[24]。但是，政府很難實現行政任務的全面民營化，更多處于“單純組織私法化”和“任務完全民營化”之間，集中體現為公權力委托、行政協助、特許經營等模式[25]。在這樣的合作治理模式中，私營機構也通過承擔嚴格的合同義務或違約責任來保障公共服務的品質。

管制責任也可以通過審批制和備案制兩種方案實施，在審批制中，要求規制者結合自身實際經驗，以預先審批方式對企業進行行政指導，目的是實現對信息赤字現象的彌補[26]。備案制不注重事先的審查而注重事后的行政檢查，特別是考慮政府資源緊張的情形時，較多采用備案制[27]。從理論上看，國家擔保責任的實現主要依托管制、監督以及接管模式實現[21]，基本權利保護義務理論、輔助性理論和合作理論是國家擔保理論的基礎。從內容上看，擔保責任囊括兩個方面：一是要保證公共服務競爭的有序性；二是保證服務供給的連續性與適宜性[19]。這體現了國家對民間機構參與公平競爭而提供的擔保義務。

按照國家擔保理論中的“國家管制責任、國家監督責任和國家接管責任”，對于行政相對人來說，重要的是能夠繼續保證公共事務的延續。“行政任務民營化后，國家并非全身而退。為了避免公共設施之利用人的權益因為民間機構利潤追求而受到損害，國家仍應負擔起公益維系義務，透過相關的管制與監督措施，保障人民在現代生活中獲得符合人性尊嚴的最低限度照料。此乃基本權益保護義務、社會國家下人民生存照料確保義務所形成的憲法上要求，不因采取公私協力之方式而有所松動”[18]。所以，首先國家要承擔起接管責任或者轉委托有能力繼續履行行政義務的私人主體保證公共事務的提供。對于“私人行政”授權的行政監管機構則可以視行政相對人的損失情況采取包括行政復議、行政訴訟、行政賠償等在內的公法救濟。對于沒有重大損失的情形可以通過行政調解來解決。在私人機構介入行政服務中，也有可能對授權的私主體造成經濟上的損害，此時，私主體完全可以以普通的公法救濟途徑尋求救濟。

委托或指定私營機構承擔原本持有中立立場的政府職責還必須有透明機制的保證，否則也會妨礙公平的市場競爭。一方面，這類機構享有一般私人機構所沒有的各種保護和優惠，享受“免稅、補助金、政府資金貸款及債務保證等優惠”[28]，有日本學者稱其為“特殊性行政組織”（類似于我國的一部分事業單位）；另一方面，這些機構在資質上的特殊地位，具有天然的壟斷地位，比如指定國家考試機構、環境檢測機構、數據安全測評機構等原本都屬于一般民間法人，其職員本身也不是公務員，但是其職責是“行政權限”的行使，對于這類機構政府必須有指導性的法律約束和監督機制，同時也應當接受政府信息公開制度的約束。

六、結語

智能時代的個人信息合作治理是一個新命題，這一治理模式不僅體現在治理對象、治理范圍、治理手段方面，更在于治理理念和治理思維方面的創新。智能治理應當融入多元、合作、開放、創新的互聯網精神，發揮網絡平臺天然的技術優勢，讓公權力的監管在網絡空間延伸，更加有效地建設和治理智能社會的秩序。與傳統的行政方式相比，公私合作治理模式展現出強大的發展潛力，不僅能夠為國家行政節約成本、提高效率，還能有效避免行政訴訟的風險。這種模式的興起，是對傳統治理方式的一種補充和超越，它強調利用網絡平臺的天然優勢，通過技術手段實現對個人信息的高效治理。在這一過程中，治理者需要具備前瞻性的思維，不斷探索和創新治理方法，以適應智能時代發展的需求。同時，也要注重保護個人信息的安全和隱私，確保治理過程的合法性和合理性，構建一個更加健康、有序的智能環境，為個人信息的安全提供更加堅實的保障。

參考文獻：

[1] 周輝. 變革與選擇：私權力視角下的網絡治理[M]. 北京：北京大學出版社， 2016：45?53.

[2] 江國華. 行政轉型與行政法學的回應型變遷[J]. 中國社會科學， 2016（11）：130?143.

[3] 朱迪·弗里曼， 合作治理與新行政法[M]. 畢洪海，等譯. 北京：商務圖書館， 2010：11.

[4] 唐清利. 公私權模糊領域的合作治理研究[M]. 北京：法律出版社，2017：164.

[5] 張翔. 基本權利的受益權功能與國家的給付義務——從基本權利分析框架的革新開始[J]. 中國法學， 2006（1）：21?36.

[6] 趙宏. 合作國家——對國家與經濟關系的考察[J]. 華東政法大學學報， 2016（4）：5?18.

[7] 陳軍. 變化與回應：公私合作的行政法研究[D]. 蘇州： 蘇州大學，2010.

[8] 姜明安. 行政法與行政訴訟法[M]. 北京：北京大學出版社，高等教育出版社，2011：121.

[9] 方禹.干貨詳解！個人信息保護法治方案的制定歷程[J/OL]. 中國網信雜志， （2020-12-11）[2024-06-25]. https：//mp.weixin.qq.com/s？__biz=MzA5OTA2OTU5Mg==&mid=2651517128&idx=1&sn=5c625d1c53bef08b8e29328da40b2d89&chksm=8b79ab3fbc0e222970ce268fea1001ca1c59f6fa8307c7c72143b25027c9cdc52e30d99dafc3#rd.

[10] 李洪雷. 論互聯網的規制體制——在政府規制與自我規制之間[J]. 環球法律評論，2014（1）：129.

[11] 楊彬權. 論國家擔保責任：主要內涵、理論依據及類型化[J]. 西部法學評論， 2016（2）：49.

[12] 趙鵬. 私人審查的界限——論網絡交易平臺對用戶內容的行政責任[J].清華法學， 2016（6）：131.

[13] SOLOVE D J， SCHWARTZ P M. Information privacy law[M]. Fifth Edition. New York： Wolters Kluwer， 2015：665.

[14] SOLOVE D J. Privacy self-management and the consent dilemma[J]. 126 Harv. L. Rev， 2013：1880.

[15] ZUIDERVEEN B F， VAN E M， GRAY J. Open data， privacy， and fair information principles： towards a balancing framework[J]. Social Science Electronic Publishing.2015， 30（3）： 2073?2131

[16] 劉權. 網絡平臺的公共性及其實現——以電商平臺的法律規制為視角[J]. 法學研究， 2020（2）： 17-18.

[17] 李年清：私人行政司法審查受案標準的美國經驗，法制與社會發展[EB/OL]. （2020-08-29）[2024-07-01]. http：//fzzfyjy.cupl.edu.cn/info/1038/1555.html.

[18] 楊彬權. 論擔保行政與擔保行政法——以擔保國家理論為視角[J]. 法治研究， 2015（4）：130?145.

[19] 李蕊. 公共服務供給權責配置研究[J]. 中國法學（文摘），2019（4）：128 .

[20] 林明鏹. 擔保國家與擔保行政法——從2008年金融風暴與毒奶粉事件談國家的角色[C]//吳庚教授七軼華誕祝壽論文集 政治思潮與國家法律.臺北：原照出版公司，2010：595.

[21] 楊彬權. 論國家擔保責任——擔保內容、理論基礎與類型化[J]. 行政法學研究， 2017（1）：75.

[22] AMAN A C， DUGAN J C. The human side of public-private partnerships： from new deal regulation to administrative law management[J]. Social Acience Electronic Publishing， 2017（3）： 102.

[23] 羅豪才， 畢洪海. 通過軟法的治理[J]. 法學家， 2006（1）：1?11.

[24] 自胡斌. 私人規制的行政法治邏輯：理念與路徑[J]. 法制與社會發展， 2017（1）：158?179.

[25] 鄒煥聰. 論公私協力的公法救濟模式及體系現代化——以擔保國家理論為視角[J]. 政治與法律2014（10）：62?74.

[26] 譚冰霖. 論政府對企業的內部管理型規制[J].法學家，2019（6）：74?86.

[27] LAZER C D. Management-based regulation： prescribing private management to achieve public goals[J]. Law & Society Review， 2003， 37（4）： 691?730.

[28] 米丸恒治. 私人行政——法的統制的比較研究[M]. 洪英， 等譯. 北京：中國人民大學出版社， 2010：274.

Application of Public-Private Partnership Governance Modelin Personal Information Protection

Wang Xinyang

（Office of the Principal ， Peking University， Beijin 100871， China）

Abstract： As a forward-looking and innovative governance mode， the public-private partnership governance mode is the embodiment of the spiral upgrading of national governance from negative obligation to positive obligation， especially in its governance advantages in the intelligent social governance. This paper focuses on the prominent field of personal information protection and discusses the legal issues of public-private partnership co-governance. Public-private partnership governance promotes the deep cooperation between public power and private power in the way of administrative entrustment， negotiated formulation of administrative rules and public-private partnership regulation， which is in line with the benefit principle of personal information protection. However， after the clear introduction of the cooperative governance mechanism， it is necessary to clarify the possible legal risks to prevent the evasion of administrative law to private law， the abuse and corruption of private power， the unclear effectiveness of privacy policies and the imperfect supervision of third-party institutions. For the protection of personal information under the public-private cooperative governance mode， we should also pay attention to the platform responsibility of private power concentration and the evolution of the national guarantee responsibility mechanism， so as to clear the obstacles for the public-private cooperative governance mode to play a role in the protection of personal information.

Keywords： personal information; public-private cooperation; legal risk

作者簡介：王心陽（1992—），女，山東諸城人，法學博士，校辦助理研究員，研究方向：憲法與行政法學。

1 2015年12月，中共中央、國務院聯合發布《法治政府建設實施綱要（2015—2020年）》。

2 人民網報道：中國互聯網協會發布《個人信息保護倡議書》， http：//it.people.com.cn/n1/2018/0914/c1009-30293640.html。

3 Facebook數字貨幣Libra白皮書（中文版），http：//www.taola.com/home/201906/27940.html， 2019-01-10。

4 隱私的機構認為，目前商業機構的隱私政策不是他們理想的隱私準則。他們認為商業機構的隱私政策通常不會被用戶閱讀。它們用法律語言書寫，即使人們閱讀了隱私政策，也不會理解其中隱含的權利義務關系。Daniel J： Solove， Privacy Self-Management and the Consent Dilemma， 126 Harv. L. Rev. 2013：1880.

5 Most people do not read privacy notices on a regular basis. As for other types of notices， such as end-user license agreements and contract boilerplate terms， studies show only a miniscule percentage of people read them. Moreover， few people opt out of the collection， use， or disclosure of their data when presented with the choice to do so. Most people do not even bother to change the default privacy settings on websites. Daniel J： Solove， Privacy Self-Management and the Consent Dilemma， 126 Harv. L. Rev. 2013：1880.

6 Researcher takes TRUSTe to task，“A controversial survey of more than a half million Web sites released on Monday found that sites are twice as likely to be rated as bad actors if they have been certified by the TRUSTe non-profit industry group”by Benjamin Edelman. https：//www.securityfocus.com/brief/313，2019-08-01.

7 FTC Approves Final Order In TRUSTe Privacy Case，FTC Approves Final Order In TRUSTe Privacy Case，https：//search.usa.gov/search？affiliate=ftc_prod&page=9&query=FTC+++TRUSTe&submit.x=0&submit.y=0&submit=Search，2020-02-25.