個人信息保護中的自律與監督

高志明

[摘 要]對個人信息利益、個人信息流轉的調整可分為國家層面與社會層面，國家層面包括個人信息相關立法，專門、專業的行政管理機構的監管，通過法的適用對侵害個人信息權利的行為追究法律責任；社會層面包括通過市場機制調節的個人信息契約行為，組織內部建立個人信息保護專員制度，相關行業制定行業自律規范，個人信息保護協會等社會組織、媒體輿論、社會公眾的監督等。個人信息保護中的行業自律機制是一種基于市場機制、基于市民社會內部的自覺自發、自下而上的機制，具有專業性、經濟性、相對靈活性等優點。行政部門對個人信息流轉的監管體現在對個人信息處理的事前審查與事后救濟兩方面，包括預先通知與預先審查制度、登記備案與許可制度、申訴與救濟制度等。

[關鍵詞]個人信息保護；自律；監督

[中圖分類號]D93/97 [文獻標識碼]A [文章編號]1671-8372（2016）03-0083-12

一、個人信息保護中的多元機制

學者吳嘉生認為，在信息社會中，我們期盼在信息科技基礎上，建立完整的三個規范層次：自律規范（倫理道德規范）、社會規范（介于道德與國家法律之間的規范）與法律規范；雖然這個三層次架構在不同國家、文化與社會環境中，會有不同的具體表現，但這種架構是不會改變的[1]156-157。實際上，從法理的角度來看，社會調整根據其作用于人們行為的方式與人們服從原因的不同，可分為內在調整（自律）與外在調整（他律）。內在調整使人們認識到從事某種行為是否正當，使外在的行為規則內化為自覺從事正當行為的一種習慣，是人的社會化過程的體現；外在調整則是通過外部規范的壓力，使人們遵守一定社會規范的過程[2]45。在個人信息法中規定一定的自律機制與監督機制，實現內在調整與外在調整的有機結合，對促進個人信息保護具有積極意義。對此，各國家或地區的相關立法多有體現。

對個人信息利益、個人信息流轉的調整可分為國家層面上的調整與社會層面上的調整，二者綜合構成一種多元機制。在國家層面上，通過立法活動制定出統一的規范個人信息利益的法律，通過專門的行政管理機構對個人信息流轉進行監管，通過法的適用對侵害個人信息權利的行為追究法律責任、施以法律制裁。在社會層面上，相關主體之間形成個人信息法律關系，個人信息交易等契約行為依市場機制進行調節，相關行業制定適用全行業的自律規范，個人信息保護協會等社會組織對個人信息流轉行為進行社會監督等。

圖1 個人信息保護的多元機制

多元機制能夠較為有效地防止個人信息保護中的法律失效、政府失靈、市場失靈等問題。在統一的個人信息法中，企業自律、行業自律機制，行政監管制度，以及社會監督機制，通常都體現為相應的原則性、引導性規范。國家層面對個人信息的立法規范與司法救濟，已經多有論述，本文探討個人信息保護中的企業自律、行業自律、行政監管及社會監督問題。

二、個人信息保護中的自律

自律即社會個體的自我約束、自我控制，使自我行為符合一定的道德規范。自律是與自由相伴的一個概念，法律保障人們的自由，但同時也需要倫理道德等規范約束人們的行為，這是一種內在的自我約束，旨在避免過分擴展甚至濫用個人權利自由而侵害他人的正當權益。

信息社會必須正視高科技帶來的副作用，因為信息科技的不當利用對社會造成的傷害，有時還超過該科技所帶來的便利；倫理道德是行為的指導準則，信息社會須構建相應的倫理道德，以規范人們的行為[3]3-12。

在個人信息保護問題上，自律指由相關公司企業或產業實體聯合制定該行業的行為規范或行為指引，在行業內部遵循的保護個人信息權利的機制[4]443。個人信息保護的自律規范通常是一套關于個人信息保護的完整的行為規范或道德準則，分為技術規范與社會規范兩類，前者指直接以技術標準作為規范，后者指人們在個人信息收集、處理、傳輸與利用等過程中形成的維系正常有序的個人信息法律關系所要求的規范[5]185。

個人信息保護中的自律包括企業自律與行業自律。

（一）個人信息保護中的企業自律

個人信息保護中的企業自律，是指相關企業在收集、處理、傳輸與利用個人信息過程中的自我約束。其中最主要的是設立企業內部的個人信息保護專員制度，該制度由德國首創，1977年德國數據保護法律就明確規定了這一制度。歐盟《個人數據保護與流通指令》采納了德國的做法，允許個人信息控制者依法任命個人信息保護專員，獨立負責確保個人信息保護法在控制者內部的適用，對控制者實施的個人信息處理行為進行登記，并確保個人信息處理不對個人信息本人的權利和自由造成不利影響①。德國、荷蘭、瑞典和盧森堡等國的個人信息法都規定了企業內部設立個人信息保護專員的制度。具有一定專業知識與經驗者才有資格成為個人信息保護專員，企業內部的個人信息保護專員須以書面形式任命，其職責主要是負責監督個人信息保護法律規范在企業的實施，監督企業內部的個人信息處理行為，避免企業侵害個人信息本人的權利。

由于企業內部個人信息保護專員是由具有專業知識和經驗者擔任，他們處在個人信息流轉諸環節的監督“前線”，能夠直接了解信息控制者實施的個人信息處理行為的具體情況，可以因地制宜地提出更可行的指導、意見和建議，因而能夠卓有成效地監督企業的個人信息處理行為[6]265。這是該制度的優勢所在。而該制度的缺點主要是這種個人信息保護的內部監督機制掣肘于相關企業內部的高層管理者及管理部門，可能存在失靈或虛設等問題。

除了設立個人信息保護專員外，一般網絡企業特別是大型網絡企業都重視個人信息收集、處理、傳輸與利用中的自律，并做出了相應的在線個人信息隱私保護承諾或聲明。比如，新浪網規定了較為細致的個人信息隱私政策：第一，明確了站點收集的個人信息范圍，包括用戶的姓名、地址和電話號碼，用戶有權隨時決定不接受來自新浪網的任何信息；第二，采取適當的步驟保護用戶的個人信息隱私，每當用戶提供敏感信息時，新浪網將采取合理的步驟保護該敏感信息，采取合理的安全手段保護已存儲的個人信息，除非根據法律或政府的強制性規定，在未得到用戶的許可前，不把用戶的任何個人信息提供給無關的第三方；第三，規定了管理涉及隱私的個人信息的五項原則，包括明確詢問、說明用途、選擇拒絕、特殊披露、投訴舉報等；第四，說明了cookies的用途；第五，公布了更新提供給新浪網的個人信息的渠道①。搜狐、網易等大型門戶網站均有類似的個人信息隱私保護聲明，包括在收集、處理、傳輸與利用個人信息時均遵循用戶同意、知情、選擇等原則。特別值得一提的是，谷歌于2011年10月20日修改了隱私權政策（2012年3月1日生效），詳細地規定了收集哪些個人信息，收集的原因、方式，對收集的個人信息的使用方式，為用戶提供接受與拒絕收集的選擇，訪問和更新個人信息的方式等②。

（二）個人信息保護中的行業自律

在個人信息保護領域，單純依靠行政、司法等公權力，可能會存在成本過高、政府失靈、法律失靈等問題；而純粹采取自由交易的市場模式，個人在保護其個人信息權利時可能耗費很高的代價，也存在市場失靈的情況，導致個人無法以私力救濟方式保護其個人信息。行業自律規范往往為大多數企業所公認，在特定行業領域內具有廣泛的權威性并能夠得到自覺遵守，通過行業自律機制能夠較好地解決特定行業對個人信息特殊保護的問題[7]83-84。

1.行業自律的典型—美國

從各國家或地區現有的個人信息救濟制度來看，行業自律機制均受到普遍重視。特別是美國尤其強調行業自律在個人信息保護中的主導地位。自律觀念在美國整個社會受到推崇，在一定程度上，與其說自律機制在美國很發達，不如說自律在美國更是一種文化傳統或社會習慣。美國的立憲者相信人民的善行與自律，因而美國憲法主要規定了限制政府公權力和保障人民私權利的條款，只闡明了人民的權利，而并未提及人民的責任與義務[5]184-185。美國對個人信息保護的有限立法主要集中在公共領域，而諸多私人領域則采取各種行業自律機制。

1996年12月，美國政府發布了《全球電子商務政策框架》白皮書，闡明了保護個人信息隱私的重要性及相關內容，指出保護個人信息隱私對商務活動的重要意義，并提出消費者的個人信息隱私受到侵害應當得到補償。但美國政府對個人信息隱私采取的是行業自律為主導的模式。1997年7月1日，美國政府發布了《全球電子商務架構報告》，指出政府應避免對電子商務活動予以過多法律限制，而應采取市場主導的原則。這表明了美國政府對信息時代個人信息隱私保護所采取的基本立場。

個人信息隱私保護的行業自律主要有四種類型：

其一，技術性選擇保護（technical protection）。采取一定標準的個人信息隱私保護軟件，給用戶提供是否同意收集其個人信息的選擇，將選擇權交給用戶自己。最著名的技術性選擇保護個人信息軟件是“個人隱私偏好平臺”（Personal Privacy Preference Platform， “P3P”），用戶可以將其個人隱私偏好設定在該軟件的選項中，從而形成用戶與網絡服務商在個人信息收集問題上的一個電子協議。

其二，在線隱私（認證）標識計劃（online privacy seal program）。由網絡隱私認證機構對申請的從業者進行審查，對同意遵守機構制定的個人信息隱私保護規則的網站，授權掛出特定的在線隱私認證標識。在線隱私認證是跨行業的，其代表有TRUSTe③和BBBonline④等。

其三，建設性行業指引（suggestive industry guidelines）。由從事網絡業務的行業聯盟制定適用于行業內部的網上個人信息隱私保護的建設性指引，要求行業聯盟的成員發布與執行，而具體的個人信息隱私保護辦法由從業者自行制定。建設性行業指引不跨行業，其代表是“在線隱私聯盟”（Online Privacy Alliance）⑤指引。

其四，行業自律規范（industry self-regulations）。相關行業的聯盟或協會提出適用于本行業的自律規范，試圖通過同行業彼此良性競爭發揮自律規范的拘束作用，以取代統一的個人信息隱私規范可能無法顧及的專業上特別需求的缺陷，其代表是美國直銷協會配合聯邦貿易委員會提出的行業自律規范[8]185-186。

2.行業自律在其他國家的發展

日本的個人信息保護體制以立法規范為主導，制定了《個人情報保護法》，但對一定領域內的個人信息保護也采取了行業自律機制。日本政府認為，公務部門與非公務部門收集、利用個人信息的目的、方法不同，侵害個人信息隱私的樣態也不同，如果對所有領域的個人信息隱私保護都采用剛性的法律，則在有效防止公務部門侵害個人信息權利的同時，卻也大幅度地限制了非公務部門的自由經濟行為，這違背了日本行政改革與放松管制的潮流。同時，不同行業對個人信息收集、利用的情況也存在不同，對所有行業適用統一的法律規范客觀上也是不可能的。因而，日本政府首先確立了公務部門與非公務部門個人信息保護的一般規范，再就金融等特殊行業制定特殊法，還針對非公務部門的特點采取靈活的機制，鼓勵非公務部門進行自律[9]335。1998年，日本信息處理開發協會創設了“隱私標識”（Privacy Mark）認證①機制，向采取適當的個人信息保護措施的非公務部門頒發隱私標識，以督促其積極改善個人信息保護狀況，同時便于消費者判斷該部門的個人信息保護處于何種水平。后來，日本還將隱私認證標識納入日本工業標準管理體系，以《關于個人情報保護應遵守規則的要求事項》②作為通過隱私標識認證的要件。在日本，隱私標識認證機制所確立的標準至少等同于甚至略高于法律規范的要求，因而，凡是取得隱私標識認證的非公務部門就可以被認為達到了個人信息保護法律規范要求的保護水平[10]236。

其他很多國家對個人信息保護的行業自律一般也持肯定的態度，有些國家或有些國家的某些領域對個人信息保護的行業自律進行了一定的嘗試，在不同程度上采取了行業自律的做法。比如，加拿大標準協會于1996年制定了《保護個人信息標準守則》，對相關行業在處理個人信息中的行為加以規范。瑞典信息技術行業于1997年制定了瑞典《信息技術企業組織商業行為規則》，其中涉及個人信息的保護問題。荷蘭消費者協會、產業與雇工聯盟于1998年制定了《個人隱私行為守則》。韓國通信信息部要求從2005年10月起，任何通信服務組織和其他服務提供者都應當制定專門的內部管理辦法，以保護其在服務過程中對個人信息的保護，而設在信息通信部下的信息通信產業協會，則對那些在個人信息安全方面達到一定標準的網站授予“個人信息保護優秀網站認證標識”。

在中國，個人信息保護的行業自律也同樣受到重視。臺灣微軟2010年9月9日成立“微軟個資保護中心”，這是臺灣地區針對個人信息保護議題設立的專職機構，主要針對大中型企業客戶對個人信息保護的咨詢，包括診斷與風險評估，以及建立符合信息安全的IT環境③。大連市軟件行業協會于2007年開始主導實施個人信息保護評價④制度，被評價單位必須已經有個人信息保護體系的實踐并已經取得一定效果，才獲資格向大連市個人信息保護工作委員會申請個人信息保護體系評價；評價的程序包括資格審查、現場審核、公示、審批等[11]313-314。

中國大陸學者在各自的“個人信息保護法”（建議稿）中，都寫入了有關行業自律的規范。其中，齊愛民教授2005年的個人信息保護法“學者建議稿”第29條專門就“自律規范”的效力進行了擬定：“非國家機關依據本法制定的自律性規范，達到本法要求標準的，具有與本法同等的效力?！盵12]5這是一種“認可”的“立法”方式，等于認可了“自律規范”的法律效力。當然，究竟“自律規范”的效力能否與法律規范等量齊觀，進一步說，自律規范究竟達到何種標準才能與法律規范效力等同，筆者認為，這是一個值得商榷的問題，起碼還要涉及個人信息主管部門的審查、批準等機制。

周漢華教授在2006年的個人信息保護法“專家建議稿”中用一節兩個條文對“行業自律機制”進行了擬定。其中，第53條擬定了“行業自律組織”：“國家鼓勵其他個人信息處理者在資源的基礎上成立行業自律組織，并創造條件，逐步向行業自律組織轉移政府職能。行業自律組織的設立條件和要求，由國務院信息資源主管部門具體規定。行業自律組織成立后，應在政府信息資源主管部門進行登記，接受政府信息資源主管部門的指導和監督?！盵13]19第54條則擬定了“行業自律組織的職能”，包括制定本行業的行為準則，推廣本行業的執業可信度認證標志，協調本行業與政府信息資源主管部門的關系，接受信息主體的投訴，對信息主體與成員之間的爭議進行協調、處理，處理行業自律組織成員之間的關系等職能[13]19。這里的可取之處是對行業自律組織進行了全面的規范，但對行業自律規范以及行業自律與法律規范的關系缺少規定，同時此處的相關條文似乎略顯繁瑣。

3.行業自律的優勢與不足

行業自律是一種基于市場機制、基于市民社會內部的自覺自發、自下而上的機制，具有專業性、經濟性、相對靈活性等優勢。專業性，指的是行業自律往往由相關行業的協會或聯盟針對該行業的個人信息保護問題，專門制定相應的規范、標準或指引，能夠密切結合該行業的特點與專業性問題，這是一般的立法所難以做到的。經濟性，指的是行業自律節省了國家立法、行政、司法等公共資源，同時由于行業自律是行業自我監督，自治性較強，程序相對簡單，效率較高，執行成本較低。相對靈活性，指的是行業自律能夠針對相關行業的發展變化進行動態調整，能夠較為迅速地回應信息社會不斷出現的新情況、新問題，能夠針對行業內部的具體問題靈活適用，而不像個人信息法律規范那樣具有較強的原則性和剛硬性；但要注意的是，行業自律的靈活性只是相對于法律規范而言的，行業自律是行業內部的監督機制，也必然具有一定的原則性與強制性，否則就不成其為行業規范了。

對于自律規范及自律規范機構的優勢，英國學者曾論述道：第一，由于較之于獨立的公務機構，自律規范機構在相關領域一般能夠掌握更高程度的實務專長和技術知識以及具有更大的創新的可能性，因此，制定和解釋標準的信息成本相對較低；第二，基于相同理由，監督和執行成本也相應減少，而在互動很可能產生彼此信任的條件下，從業者與管理者打交道的成本也得以減少；第三，較之于公共規范制度，在自律規范機構的程序以及規則較為不正式的范圍內，修改標準的成本（包括導致延遲的因素）降低了；第四，這種制度的管理成本通常是在其規范的行業或活動內部承擔，而獨立的公務機構的管理成本通常由納稅人承擔[14]309-310。

當然，任何制度或機制都不可能十全十美，行業自律亦不例外。行業自律的不足包括：規范性不足、執行力有限、合法性隱憂等。規范性不足，指的是很多個人信息保護的行業自律往往只是一種行業標準、認證或指引，缺乏法律規范那樣的具體明確的規范性。執行力有限，指的是由于行業自律并沒有強有力的執行機構，行業內部的企業組織往往只是出于自覺遵守，但如果出現不自覺遵守的情況，相關的制裁措施也很難奏效。合法性隱憂，指的是有些行業自律規范出于維護行業、企業自身利益的考量，其內容往往有利于維護本行業及其內部的企業組織的利益，這可能與統一的個人信息法律潛在一定沖突，可能對保護個人信息權利存在不利。

對于行業自律的不足，中國臺灣地區的熊愛卿博士曾指出：其實向來經驗與實證數據已經顯示，行業自律只是個人信息保護的必要條件之一，并非充分條件；面對信息科技所呈現的不確定與安全威脅，加上多年自律機制實證結果顯示，或許已經到了政府適當介入的時候了[7]99-100。

三、個人信息保護中的行政監管

（一）個人信息保護的行政監管機構及其職責

各國家或地區的個人信息行政監管機構（supervisory authority）與職責有所不同，具體情況如下：

1.歐盟指令框架

歐盟在1995年個人數據保護與流通指令框架下，設置了個人信息保護的監管機構、咨詢機構和專家委員會。

監管機構。歐盟設有歐盟數據（信息）保護專員機構①，監督歐盟機構與組織的個人信息處理。根據歐盟《個人數據保護與流通指令》第28條，歐盟各成員國應當設置一個或多個公共機構，監督本指令的有關規定在其境內的適用，成員國的法律法規中如果涉及個人信息保護，相關部門都應當咨詢該機構的意見，而且，該機構應當享有相應的調查權，以及依職權或者依有關當事人申請，有對相應的個人信息相關違法行為進行查處的權力、通過介入訴訟維護法律實施的權力等。根據該規定，歐盟成員國一般都設立了相應的個人數據（信息）監管機構。

咨詢機構。根據歐盟《個人數據保護與流通指令》第29條，歐盟設立了“涉及個人數據（信息）處理時保護個人的工作組”，也被稱為“第29條工作組”，具有咨詢地位且獨立行事。其成員由成員國數據（信息）監管機構或指定機構的代表等組成，每年召開數次會議。工作組的職能包括：檢查依照歐盟指令制定的國內法在適用過程中產生的任何問題，促進這些措施的統一適用；就共同體和第三國的數據（信息）保護水平向歐盟委員會提出意見；就歐盟指令修改、涉及個人信息處理時保護自然人權利和自由的任何附加措施或特殊措施等向歐盟委員會提出建議；就共同體層面草擬的行為守則提出意見。

專門委員會。根據歐盟《個人數據保護與流通指令》第31條，設立由歐盟成員國政府代表組成、由歐盟委員會的代表任主席的專門委員會來協助歐盟委員會工作，也被稱為“第31條委員會”。該委員會定期在布魯塞爾開會，對需要成員國同意的事項作出決定。該委員會不僅像“第29條工作組”那樣具有咨詢作用，而且對法律文件的通過具有重要作用，關于個人信息保護的許多重要措施的通過需要其批準。歐盟《個人數據保護與流通指令》第31條于2003年9月29日進行了修改，是整個指令實施以來唯一進行了修改的條款，旨在授予歐盟委員會根據《歐共體條約》提及的程序行使法律文件規定的執行權。

2.歐洲國家的兩種模式

歐盟成員國在歐盟《個人數據保護與流通指令》框架下，都建立了相應的個人數據（信息）行政管理機構，其中德國每個州還設置了數據（信息）保護機構。歐洲的數據（信息）保護機構在組織和作用上多有相似，但也存在差異，一些國家采取的是監察（ombudsman）模式，如芬蘭、匈牙利和瑞典的個人信息監管機構；另一些國家采取的是管制（regulation）模式，如法國、波蘭和西班牙的個人信息監管機構[15]15-16。監察模式的監管機構主要關注提出法律請求的特定個人的情況，如果認為存在違反信息保護法律的情況，會為個人尋求救濟，如要求對有關的個人信息進行修正，可能的話還要求給予賠償，但其自身并不廣泛地介入信息控制者的實踐活動；管制模式的監管機構關注法律的遵守，當收到投訴并判定違反信息保護規范的情況屬實時，考慮的不僅是個人的情況，而且包括決定采取何種可能行動的一系列因素，其主要關注的是確保遵守法律而非為投訴的個人提供救濟[15]16。歐洲國家專門的個人行政主管機構的詳細情況見表1。

3.美國的發展

英美法系國家或地區大都設置了“隱私專員公署”之類的個人信息（隱私）保護專門管理機構，但美國是個例外，美國采取的是以行業自律為主導的個人信息保護體制，沒有設置專門的個人信息（隱私）保護管理機構。據《華爾街日報》報道，2010年12月16日奧巴馬政府表示，需要設立隱私保護公署（Privacy Policy Office），幫助制定互聯網“隱私法”以保護美國公民的隱私權，并協調全球隱私保護問題②。

4.亞洲國家或地區的選擇

亞洲國家或地區的情況不盡相同。日本在個人信息保護法立法過程中認為，如果設置歐洲那樣對任何領域都擁有管理權限的個人信息保護行政機關，可能限制非公務部門本應進行的自由活動，這不合乎日本的國情，與行政改革和放寬管制的趨勢相左，所以日本傾向于設置事后救濟制度③。日本《個人情報保護法》中沒有規定專門的個人信息保護執法機構，但第49條規定了“主管大臣”制度：內閣總理大臣在認為必要時，可以將特定的大臣指定為主管大臣。韓國設置了公務部門和非公務部門個人信息處理的不同機構，國務總理下屬的個人信息保護審議委員會負責公務部門相關制度和政策的制定和完善，并對公務部門個人信息保護事項進行協調，行政自治部負責指導公務部門的個人信息保護；信息通信部負責對非公務部門的個人信息處理糾紛的救濟，該部設立了個人信息糾紛調停委員會④。泰國設置了政府信息管理委員會，負責政府對個人信息的保護等事務⑤。

中國香港地區設置了個人資料（信息）私隱專員公署⑥，主要職責包括：監督個人信息私隱專員的行政及管理工作；制訂行動方針及程序，以執行條例的規定；監察及監管各界遵守私隱條例的規定；行使核準及發出實務守則的權力，為遵守條例的規定提供實務性指引；加強各界對條例的認識和理解，以及促使各界遵守條例的規定；對認為可能影響個人信息私隱的建議中的任何法例（包括附屬法例）加以審核，以及向建議制定有關法例的人士報告審核結果；視察機構的個人信息系統，包括政府部門及法定團體的系統；在接獲信息當事人的投訴后，或是主動對涉嫌違反條例規定的情況做出調查；就可能對個人信息私隱有不利影響的個人信息處理方法及計算機科技進行研究，以及監察其發展情況；就互相關注并涉及個人信息私隱的事項，與香港以外任何地方擔任類似信息保障職能的人士保持聯絡及互相合作。

中國澳門地區設有個人資料（信息）保護辦公室⑦，主要職能包括：監察、協調對《個人資料保護法》的遵守和執行，接受個人信息處理的通知，并做出登記；審批許可申請和其他申請；訂定保密制度，監察該等制度的實施；接受、調查及處理有關個人信息保護方面的查詢、投訴或舉報，對違反《個人資料保護法》的行政違法行為做出處罰；向公眾宣傳《個人資料保護法》，令市民提升保護私隱的意識；對個人信息保護領域進行理論研究，不斷完善相關的制度和規定。

中國臺灣地區尚未設立專門的個人信息保護行政管理機構。不過，前面述及的“微軟個資保護中心”是臺灣針對個人信息保護議題設立的專職機構（社會機構）。

對于中國大陸法域而言，設立專門的全國個人信息管理機構是必要的，其理由為：第一，設立專門的全國個人信息管理機構符合大多數國家個人信息管理的慣例；第二，設立專門的全國個人信息管理機構有利于統一領導全國個人信息保護工作；第三，設立專門的全國個人信息管理機構有利于與其他國家或地區協調個人信息保護與跨境流通等問題。其職能可以包括：第一，統籌全國個人信息保護管理與執法工作；第二，制定全國個人信息保護指導方針、政策、規劃等；第三，領導各級個人信息管理部門與執法機構的工作；第四，監督全國日常的個人信息保護工作；第五，協調有關機構或組織的個人信息保護工作；第六，與國際溝通個人信息保護工作，加強個人信息保護的國際合作。

（二）個人信息保護的行政監管制度

行政主管部門對個人信息保護的監管體現在對個人信息收集、處理、傳輸與利用等行為的事前監督與事后監督兩方面，而為了避免行政力量對市場行為的過度干預，一般情況下不宜設置事中監督制度。

1.預先通知與預先審查制度

預先通知制度，是指個人信息本人以外的有關主體，在對個人信息進行全部或部分處理操作前，須向行政監管部門預先通知有關情況并公開處理操作的制度。預先通知制度有利于監管部門對個人信息處理行為的事前監督，也有利于個人信息本人預先了解個人信息處理的情況[6]261。預先審查制度，是指個人信息的行政監管部門在收到處理個人信息的預先通知后，隨即進行審查，從而決定是否允許其對個人信息進行處理或是否需要采取必要措施的制度。預先審查制度在一定程度上有利于預先防止個人信息處理者的非法和不當行為，有利于預先維護個人信息本人的正當權益[6]263。

從現有立法例來看，尚只有歐盟及其成員國個人信息法規定了個人信息處理的預先通知和預先審查制度。在歐盟，各成員國對通知制度存在不同的主張，有些成員國的個人信息法主張實施通知制度，有些成員國則主張盡量避免通知和預先審查的嚴格程序要求。歐盟《個人數據保護與流通指令》采取了折中的做法，原則上，各成員國個人信息法應當規定管理者或其代表在進行全部或部分自動處理操作前，必須通知個人信息行政監管機構。各成員國可以規定在例外情況下，簡化或免除通知的義務，這些情況包括：個人信息處理侵害個人信息本人權利的風險較低，而且處理者提供了有關個人信息處理的具體信息；個人信息控制者任命了個人信息內部保護專員，由其監督個人信息處理的具體實施，以避免侵害個人信息本人的權利；個人信息處理的目的是為公眾提供信息；個人信息處理屬于合法的敏感個人信息的處理[6]258。

歐盟各成員國的個人信息法堅持了歐盟《個人數據保護與流通指令》的預先通知原則，但對例外情況的規定有所不同。其中，荷蘭、瑞典、德國、法國等成員國的個人信息法規定，個人信息處理者通過任命內部的個人信息保護專員監督個人信息處理行為，可以不向個人信息保護機構通知。對于是否應當通知的個人信息處理的類別等具體情形，奧地利《聯邦個人數據保護法》規定，只有涉及公開性和間接性的個人信息處理行為不用通知①；而葡萄牙、比利時、丹麥的個人信息法則規定處理員工的薪酬、員工管理等信息可以適用簡化通知程序或免除通知義務。

預先通知的內容至少包括：管理者及其代表（如果有）的姓名和地址；操作的目的；個人信息本人及信息的類別，或與其相關信息類別的描述；可能向其公開信息的接收者或接收者的類別；擬議中向第三國進行的信息轉讓；為保障處理的安全性而采取的措施的適度性做基本的評估②。

關于預先審查制度，歐盟《個人數據保護與流通指令》要求各成員國應當確定對個人信息本人的權利和自由帶來特定風險的處理操作，并應當在操作開始前檢查這些操作過程是否受到了檢驗；監管部門應當在收到由于產生懷疑而必須向監管部門進行咨詢的管理者或個人信息保護官員的通知后進行預先檢查；各成員國也可以在國會所采取的措施或以這些立法措施為基礎而采取的措施的準備過程中進行檢查，以確定操作的性質并制定適當的保護方法③。

歐盟各成員國個人信息法都規定了預先審查制度，只是具體規定存在一定的不同。比如，葡萄牙規定國家數據（信息）保護委員會進行預先審查的是：處理敏感個人信息；處理涉及非法活動、犯罪和行政違法行為指控，以及適用刑法、安全措施、罰金與其他刑事決定的個人信息；處理涉及個人信用和破產的信息；對個人信息進行互聯；在收集個人信息目的外使用個人信息①。而法國規定國家信息與自由委員會預先審查的是：處理敏感個人信息；醫療人員和生物學家為了預防醫學、醫療診斷、護理或治療管理的目的，自動化處理基因信息；處理涉及犯罪、判決或安全措施的個人信息；如果法律無明確規定，自動化信息處理因其性質、重要性或目的可能剝奪個人的權利、服務或合同利益；對一個或多個涉及不同公共利益的信息庫進行互聯；個人信息處理涉及自然人的身份編號；自動化信息處理涉及個人社會問題的信息；自動化信息處理包含確定個人身份所必須的生物信息②。從歐盟《個人數據保護與流通指令》和歐盟成員國的立法可見，預先審查制度既包括形式審查，也包括實質審查。

2.登記備案與許可制度

個人信息處理的登記備案與許可制度目前主要是研究者的一種探討。比如，周漢華教授寫道：“其他個人信息處理者開始進行個人信息收集之前，須向政府信息資源管理主管部門進行登記。以個人信息處理為主要業務或通過個人信息處理營利的公民、法人或其他組織，在開始進行個人信息收集之前，須經政府信息資源主管部門行政許可?！雹坳P于登記制度的創設，楊麗華認為：首先，明確規定監督執行機構專門負責登記；其次，明確規定信息處理者收集個人信息前必須進行登記以及符合登記的形式要件；最后，明確規定對不履行登記手續的信息處理者，監督執行機構有采取行政措施的權力[16]38。

個人信息處理的許可制度，實際上是審查批準個人信息處理者的個人信息處理資格的一種批準制度，其規則與行政許可法的相應規則基本相同。關于行政許可制度的建立，楊麗華認為：個人信息處理許可制度要求其他個人信息處理者在進行個人信息收集之前，需向監督執行機構申請，監督執行機構針對其申請，分別進行形式審查和實質審查，判定其是否具有從事該個人信息收集的資格，決定其是否可以實施這種行為；并非所有信息處理者都要申請許可，個人信息行政許可制度應當只限于以信息處理為業務或者牟利的信息處理者；若信息處理者未經行政許可，擅自處理個人信息的，監督執行機構可以采取行政措施[16]38。

關于個人信息處理登記與許可申請應當載明的事項，周漢華教授認為應當包括：自然人的姓名、身份證號、住址、法人或其他組織的名稱、住所、法定代表人或主要負責人的姓名；個人信息文件的名稱；個人信息的使用目的；個人信息的主要內容；個人信息的收集方法；個人信息的保存期限；個人信息文件的主要使用者；個人信息文件的公開方式與地點；個人信息文件的安全保護措施；個人信息文件安全保護主要負責人姓名、身份證號、住址及簡歷；國務院信息資源主管部門要求的其他事項④。

3.申訴與救濟制度

申訴制度，是指個人信息本人因其個人信息權利遭受公務部門主體或公務部門以外主體的侵害，而向個人信息行政管理機構投訴的制度。個人信息行政管理機構根據個人信息本人的申訴，依法律、依職權對侵害個人信息權利的行為進行查處，此即個人信息遭受侵害的行政救濟制度。行政申訴制度與救濟制度的規則與行政法的相應規則基本一致，個人信息法一般只針對個人信息保護的特殊之處，制定相應的規范。

對于公務部門處理個人信息的行為而言，這是出于履行法定職責，進行行政管理的需要，構成行政法律關系；因而，個人信息本人的權利受到公務部門侵害的，除了采取個人信息法規定的司法救濟方式外，還可以通過行政復議、行政訴訟獲得行政救濟[16]36。依中國大陸法域現行法律，個人信息本人在要求公開、修改個人信息遭到公務部門拒絕的，可以就這一具體行政行為申請行政復議或提起行政訴訟；如果個人信息本人要求公開、修改個人信息，公務部門不予答復，個人信息本人可以依行政不作為申請行政復議或提起行政訴訟；而且個人信息本人對救濟的途徑有選擇權[16]37。日本于2005年施行的《信息公開及個人信息保護審查會設置法》規定，凡是與個人信息處理有關的行政復議案件，復議機關必須咨詢專門設立的“信息公開與個人信息保護審查委員會”的意見，該機構的委員具有較高的專業水平和獨立地位，復議機關一般比較尊重其提出的意見①。韓國行政自治部負責公務部門的個人信息保護，相關的爭議通過一般的行政復議或行政訴訟方式解決。

個人信息遭受侵害者向個人信息管理機構提起申訴后，個人信息管理機構應當根據申訴的事項范圍，決定是否受理。在歐盟，各成員國對應當受理的事項范圍的規定存在不同，西班牙、葡萄牙、丹麥、法國等國家的立法規定，只要申訴的事項與個人信息處理有關，個人信息管理機構就有權受理。但芬蘭、奧地利等國的立法則規定，個人信息本人申訴的事項只能是涉及查閱和修改個人信息等權利行使的事項。

個人信息管理部門在受理了個人信息本人的申訴后，將根據具體情況決定是否展開調查。而調查的對象是除個人信息本人外的其他相關個人信息控制者的個人信息處理行為。經過調查后，個人信息管理機構確定相關的個人信息控制者是否違法，決定是否采取行政強制措施，決定解決糾紛的具體方式。解決糾紛的方式包括行政調解、行政裁決、行政處罰等。比如，奧地利《聯邦個人數據保護法》規定：在獲知個人信息本人的請求并未涉及立法或司法行為所需的信息使用范圍，數據（信息）保護委員會應當對個人信息所有人主張的，由數據應用程序的管理員對其享有的知情權造成的侵害做出裁決；當處理相關申訴時，如存在緊急情況，在涉及信息準確性的爭議情況時，數據（信息）保護委員會可以完全或部分禁止對個人信息進一步的使用，命令管理員對該爭議點做出標記②。

四、個人信息保護中的社會監督

社會監督是個人信息保護中國家機關、行業內部以外的第三種監督力量，也是最為廣泛的監督力量，并日益成為一種強有力的監督力量，對個人信息保護有不可忽視的作用。個人信息保護的社會監督包括個人信息保護團體的監督，媒體輿論的監督以及社會公眾的監督等。個人信息法對社會監督機制一般應當設置相應的指引性規范，以保證社會監督有序進行并發揮積極的作用。

（一）個人信息保護中的社會團體監督

個人信息保護團體主要是指專業、專門針對個人信息保護進行社會監督的團體，傳統的消費者利益保護團體、工會等有時也會涉足個人信息保護領域，但后者一般只是起到輔助、補充的作用。在社會管理創新思想引導下，社會團體介入個人信息保護領域，往往能發揮著比政府直接介入該領域更有成效的作用。社會團體作為一種公益性組織，是維護個人信息權利，監督企業、行業等對個人信息的收集、處理、傳輸與利用行為的重要社會力量。比如，位于紐約的個人信息隱私保護的民間團體“隱私國際”③針對谷歌的隱私保護狀況，曾提出批評，認為沒有一家互聯網企業的隱私政策像谷歌那樣“對用戶隱私有如此大的威脅”，谷歌對此做出了積極回應，并努力改進在線隱私政策④。

在個人信息保護社會團體的監督方面，日本《個人情報保護法》采取了認可、支持與引導的國家政策，該法第4章第2節“由民間團體推動的個人信息保護”對民間團體在個人信息保護中涉及的事項進行了全面規定。其中，第37條、第38條規定了成立個人信息保護團體須向主管大臣申請，并要有符合法定條件的成員；第39條規定了認定個人信息保護團體的標準；第40條規定了個人信息保護團體申報廢止的程序；第41條、第42條規定了個人信息保護團體的業務范圍、處理爭議的程序；第43條規定個人信息保護團體須依該法制定個人信息保護指導方針；第44條、第45條對個人信息保護團體名稱的使用進行了限制，禁止目的外使用，禁止未經認定的團體使用；第46至49條對主管大臣監督個人信息保護團體業務等事項進行了規定。

中國臺灣地區于2008年成立了社團法人臺灣個人資料（信息）保護協會⑤，其宗旨是以保護個人信息免于不當搜集（收集）、處理及利用過程所產生的風險，并促進個人信息的合理利用。其任務包括：接受個人或團體相關信息遭受國家或私人的不當搜集（收集）、使用、交換的案件申訴；監督并督促政府個人信息保護主管機關的政策推動與法令執行；向社會大眾推廣隱私權及個人信息保護的觀念；刊行會志、會報及相關的各類書籍；與國內外相關團體暨學術研究機構舉辦交流活動及學術聯系；推動個人信息保護專門教學與研究機構的設立；其他促進個人信息保護發展的相關活動。

（二）個人信息保護中的媒體輿論監督

媒體輿論監督是通過紙質報刊、廣播電視、網絡新媒體等信息平臺對個人信息保護中的違法、不當行為的監督、批評與指正。尤其是網絡新媒體，已經成為一種強大的監督平臺，日益成為及時高效地對侵害個人信息權利的行為進行輿論監督的重要媒介。媒體輿論的監督包括新聞報道、編讀往來、舉報平臺、專家評論等多種方式。比如，針對大學生求職中存在的個人信息泄露問題，媒體進行了報道，指出大學生在求職期間，把自己的電子郵箱和手機號等個人信息公布在網上，結果遭到人才服務機構的非法、不當收集，使求職者即使在找到工作后，仍然會遭到不定期的垃圾廣告郵件、手機群發短信的騷擾[17]。

媒體輿論往往對侵害個人信息權利者造成強大的心理壓力，有時發揮著比法律手段更有效的作用，促進侵害個人信息權利者及時對其行為進行改正或采取補救措施。比如，以Web方式登錄谷歌郵箱后網頁出現的有針對性投放的廣告信息，被認為與對個人郵件內的文字、文檔內容進行分析的結果有關，涉嫌侵害個人信息，對此谷歌進行了說明，指出谷歌只會通過掃描谷歌郵箱中的消息來展示相關性廣告，而不會掃描用戶存儲在谷歌文檔中的內容①；與此同時，谷歌也在不斷地積極改進個人信息保護機制，特別是2012年3月實行了對保護個人信息隱私更有利的新的隱私權政策。

當然，媒體輿論監督必須在遵守媒體倫理、職業道德，遵守媒體法律的框架下進行，避免利用媒體輿論造成對有關主體正當權利的侵害。比如，在涉及個人隱私的新聞報道中要進行匿名處理，不能直接披露被報道對象真實的姓名、明確的身份等個人信息。在涉及司法的新聞報道領域，英國、加拿大的法官有權禁止發表可能導致“司法程序受到嚴重阻礙或損害重大風險”的信息，從嫌疑人被捕或被起訴到被判決，新聞工作者可以旁聽審判，但限制其報道的內容；在另一些國家，民法和刑法均有條款對可報道或不可報道的信息類別予以規定，一般限制內容涉及犯罪受害者的姓名、離婚案或兒童監護案中的家庭詳情，或者被告過去犯罪記錄等；而在瑞典等一些沒有此類規定的國家，新聞工作者的職業操守要求，除“有公共利益上的明顯需要”，否則不得將被告身份公開②。

（三）個人信息保護中的社會公眾監督

社會公眾是最廣泛的社會監督主體，社會公眾的監督是無處不在的廣泛監督力量。社會公眾對侵害個人信息權利行為的監督方式很多，包括網上文字披露、批評，直接投訴或申訴，提起公益訴訟等。比如，2005年底，以“搜人”為服務內容的網站—優庫網（ucloo.com）推出，在其網站上可以搜索到海量個人信息，并有償提供個人信息內容服務，由于其服務涉嫌大量泄露個人信息，遭到社會公眾的猛烈抨擊而在壓力下被迫進行了整改③。而個人博客、網絡社區、微博等網絡應用，也已然成為公眾進行社會監督包括對侵害個人信息權利行為進行監督的重要平臺。

當然，對于社會公眾監督，也必須堅持個人信息法的引導，要防止出現不負責任甚至制造虛假信息的情況，在保障社會公眾監督權利的同時，應當保證社會公眾監督的秩序，而不是造成一種無序、噪雜的狀態。值得一提的是，網上投訴平臺是一種既能方便社會公眾監督，又能保證社會公眾監督秩序的平臺。因而，開通相關的平臺，并對投訴信息進行及時處理，對涉及的問題進行及時解決，對于發揮公眾監督的作用具有重要意義。在這方面，歐洲很多國家均建立了公眾針對個人信息問題的網上投訴通道。比如，斯洛伐克信息保護專員機構的官方網站上就開通了一個接受公眾投訴、反饋的在線提交平臺，公眾可以提交關于個人信息監管中的批評、建議和問題④。在中國，搜索引擎“百度”設立了包括網頁投訴中心、貼吧投訴中心、推廣投訴中心等的大型網上投訴平臺⑤，用戶對在百度發現的不良信息、侵權信息均可直接通過該平臺進行投訴，百度投訴中心的工作人員承諾一般在24小時內將投訴的處理結果反饋給投訴者。

[參考文獻]

吳嘉生.資訊倫理與法律[M].臺北：國立空中大學，1997.

朱景文.法理學[M].北京：中國人民大學出版社，2008.

詹炳耀，任文瑗，郭秋田，張裕敏.資訊倫理與法律[M].臺北：臺北旗標出版有限股份有限公司，2006.

蔣坡.國際信息政策法律比較[M].北京：法律出版社，2001.

齊愛民.拯救信息社會中的人格：個人信息保護法總論[M].北京：北京大學出版社，2009.

孔令杰.個人資料隱私的法律保護[M].武漢：武漢大學出版社，2009.

熊愛卿.網際網路個人資料保護研究[D].臺北：臺灣大學法律學研究所，2000.

洪海林.個人信息的民法保護研究[M].北京：法律出版社，2010.

王麗萍，步雷，等.信息時代隱私權保護研究[M].濟南：山東人民出版社，2008.

呂艷濱.信息法治政府治理新視角[M].北京：社會科學文獻出版社，2009.

郎慶斌，孫鵬.大連個人信息保護評價體系[M]//李林.中國法治發展報告.北京：社會科學文獻出版社，2010.

齊愛民.中華人民共和國個人信息保護法示范法草案學者建議稿[J].河北法學，2005（6）：2-5.

周漢華.中華人民共和國個人信息保護法（專家建議稿）及立法研究報告[R].北京：法律出版社，2006.

戴恩·羅蘭德，伊莉莎白·麥克唐納.信息技術法[M].宋連斌，等，譯.2版.武漢：武漢大學出版社，2004.

庫勒.歐洲數據保護法：公司遵守與管制[M].曠野，楊會永，等，譯.2版.北京：法律出版社，2008.

楊麗華.行政法視野中的個人信息保護—從兩則案例引發的思考[D].蘭州：蘭州大學，2009.

霍仟，來揚.大學生求職須謹防個人信息泄露[N].中國青年報，2011-05-30（7）.

[責任編輯 張桂霞]