互聯網企業個人信息保護合規的行政監管完善研究

幸珂嵐

摘?要：建立個人信息保護合規體系是互聯網企業規避相關法律風險的主要方式。當前，互聯網企業個人信息保護合規的行政監管存在缺乏統一監管主體、行政監管措施乏力以及激勵機制供給不足等問題?；ヂ摼W企業個人信息保護合規的行政監管需要走出傳統的“威懾”陷阱。通過建立統一的監管機構，完善政府合規管理制度和構建行政合規激勵機制，從企業外部施加監管壓力從而滿足保護公民個人信息、維護市場經濟秩序的需求。

關鍵詞：互聯網企業；個人信息保護；企業合規；行政監管

中圖分類號：D9?????文獻標識碼：A??????doi：10.19311/j.cnki.16723198.2024.01.065

隨著互聯網技術的迭代發展，互聯網企業在收集公民個人信息提供服務的同時，面臨泄露公民個人信息的法律風險不斷增大，《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）等相關法律的出臺，個人信息保護的重要性日益凸顯。建立個人信息保護合規體系是有效預防互聯網企業違法收集、存儲、使用公民個人信息的有效途徑，也是保護公民個人信息的新型治理方式。然而，企業一旦涉及犯罪，則將會面臨嚴峻刑罰，僅依靠企業內部自行建立和運行個人信息保護合規體系并不能充分達到預防公民個人信息不受侵害的理想效果。一方面，公司內部治理易受到主要管理人意志的影響，公司的高層領導意志和企業的逐利性難免會對合規體系的有效運行造成影響，易導致企業內部合規計劃流于形式、難以落實；另一方面，有效的合規監管體系需要對合規體系的運行形成全過程、全方位的監督，這就需要具備一定權威性和專業性的角色參與完成對企業個人信息保護合規體系構建的指導任務。通過將權威官方的外部監管與細致貼切的內部治理形成治理合力，才能夠進一步保障互聯網企業的合規體系運行不偏離軌道。當前相關的監管制度不夠完善，監管措施也不夠有力。本文旨在探討、分析當前互聯網企業個人信息保護合規行政監管的現狀和存在的問題，從而提出相關完善建議，積極推動互聯網企業進行合規整改，實現可持續發展。

1?互聯網企業個人信息合規行政監管模式考量

1.1?行政事前監管

事前監管，又稱為事前審批，是指在企業活動開展之前，相關監管部門就該活動是否符合法律或者規章制度規定的各項條件所進行的監督審查。目前我國監管部門對企業提供互聯網信息服務采取的是雙軌制的事前審批模式。一是對于從事非經營性互聯網信息服務的企業不需要獲得行政許可，僅需要到有關部門進行本案即可。二是對于從事經營性互聯網信息服務的企業則必須辦理相關的經營許可證，否則就會面臨觸犯非法經營罪的風險，可能遭受強制關停、罰款等處罰措施?！秱€人信息保護法》中表明處理敏感個人信息可以通過法律、行政法規對有關行為設定行政許可或作出其他限制，這為監管部門事前審批敏感個人信息處理行為提供了法律依據。同時，認證也屬于事前監管的方式。在國家市場監督管理總局和國家互聯網信息辦公室聯合發布的《個人信息保護認證實施規則》中，首次確立了個人信息保護認證制度，明確了個人信息保護認證的范圍、認證的流程以及認證后的持續監督和認證責任。不過，該實施規則并沒有賦予個人信息處理者強制性的認證責任，而是采取倡導性的方式鼓勵個人信息處理者去認證。

1.2?行政事中監管

事中監管主要方式為行政約談，是指當行政相對人涉嫌違法犯罪時，行政部門通過“秘密”會談的形式警示行政相對人有關行為的違法風險，指明行政相對人從業活動中具體行為的違法性，同時，對行政相對人給予相應的警示教育和積極引導，從而使行政相對人規避違法風險的一種管理活動。例如，工信部信息通信管理局曾就侵犯用戶個人隱私的問題“秘密”會談了北京百度網訊科技有限公司、螞蟻金服集團公司，要求企業秉承充分保障用戶知情權益和選擇權益的原則進行合規整改，從而進一步規范企業對用戶個人信息的收集、處理和使用。

1.3?行政事后監管

事后監管是在違法行為發生后進行的監管方式。當前我國對互聯網企業侵犯公民個人信息行為的主要事后監管方式是行政處罰。當互聯網企業存在涉嫌侵犯公民個人信息行為時，行政機關可通過“認定—調查—懲罰”為基本構成要件的執法模式，對互聯網企業進行行政處罰。目前對互聯網企業侵犯公民個人信息實施的主要行政處罰方式有罰款、責令下架、關閉停業等。例如，2022年11月，國家網信辦將“超凡清理管家”等55款嚴重違反《個人信息保護法》等法律法規的App予以下架處理。

2?互聯網企業個人信息合規行政監管面臨的運行困境

2.1?缺乏專一的監管主體

在互聯網領域，依照相關條例規定，負責個人信息保護監管工作的主要是國家網信部門、電信主管部門、公安部門和其他有關機關。而法律針對“有關機關”的表述意思含糊，并未指明是哪些具體行政機關立法也沒有進行明確地說明，在實踐監管時，容易產生監管主體不明的問題。同時，相關立法對互聯網領域的個人信息保護監管主體并未作出明確規定，而是交由多個部門共同管理，這就可能導致兩種極端情況，一是負有管理義務的機關相互推諉、逃避職責，造成大家都不想管的局面。二是負有管理義務的機關爭相管理、重復管理，進而產生不必要的資源浪費，引發管理混亂。國家網信部門還承擔著維護網絡安全的任務，側重于國家安全層面，而公安部門承擔的社會監管職責更為復雜，這在一定程度上削弱了其對于個人信息保護的職能?？傊?，當前行政監管方式的監管主體缺乏明確性和專一性，監管主體責任的明確系完善統領個人信息保護監管的重要前提。

2.2?合規管理行政監管的制度供給不足

《個人信息保護法》為互聯網企業處理個人信息設立了一系列自我規制義務，在針對互聯網企業處理個人信息的自我規制模式之中，行政監管主體作為自我規制的規制者，就要針對互聯網企業的自我規制進行監督，以此確?；ヂ摼W企業在個人信息合理利用的軌道上正常運行?，F有行政監管制度存在供給不足的情況。首先，行政監管機關缺乏針對個人信息保護的專門性合規指引。一方面，通過發布個人信息保護合規指引，行政監管機關確定互聯網企業個人信息保護合規管理的基本原則，指導企業建立一套行之有效的合規管理運行和合規管理保障機制。在一定程度上，個人信息保護合規指引可以成為互聯網企業建立個人信息保護合規體系的基本指南和標準范本。另一方面，在互聯網企業出現侵害公民個人信息的違法行為時，個人信息保護合規指引可以成為行政監管機關查明互聯網企業個人信息保護合規體系有效性的參照和依據。此外，即使互聯網企業按照行政機關的指引構建了形式上的個人信息保護合規體系，但是其建立的個人信息保護體系在實際運行中是否得到有效遵守，也是行政監管面臨的一個重要問題，畢竟合規絕不能只能是“紙面上的合規”，建立合規體系的目的就是要預防企業違規，因此有必要對互聯網企業個人信息保護合規體系的運行進行監管。

2.3?企業合規缺乏激勵機制

互聯網企業通過網絡科技損害公民個人信息的行為具有專業性、迅速性、累積性等特點。在實踐中，監管部門在辦理有關互聯網企業侵害公民個人信息的案件中，往往存在著辦案成本投入大、案件辦理難度大、辦案效率低下等問題。對于治理結構復雜的大型互聯網企業，行政監管部門依靠傳統的執法措施，一方面辦案人員缺乏相應經驗對企業行為是否構成違法難以判斷，另一方面難以對有關違法行為進行針對性的整改預防，這就導致了實踐中立案調查的標準不一，出現“選擇性執法”現象：對部分輕微違法互聯網企業納入違法調查中，而對于嚴重違法的互聯網企業卻沒有被立案偵查，沒有受到相應懲罰。如此一來，被立案調查的互聯網企業心存不甘，難以認識到自身的不足，而逃脫法律制裁的互聯網企業則更加無視法律權威。在推進建立企業合規改革制度過程中的實際案例表明，期望企業事前自發建立合規體系是難以實現的，就算企業事前建立了有關的合規體系，往往是為了讓合規制度成為自身規避法律風險的借口，難以真正落實到企業的日常經營中。企業合規作為公司風險規避的主要方式，需要通過有效激勵機制的建立，才能夠促使企業真正落實合規政策?；诖?，為了克服傳統監管方式所帶來的局限性，通過建立配套合規激勵機制的建立，讓互聯網企業自覺建立個人信息保護合規體系，從而有效地將內部監管與外部監管同步治理，在降低外部監管成本的同時，激發企業自我監管的認同感。

3?企業個人信息保護合規行政監管的完善建議

3.1?建立統一獨立的監管機構

監管主體的明晰是完善互聯網企業個人信息保護合規體系的前提，最理想的狀態是建立專門的監管機構，個人信息合規監管人員必須具備相應的專業知識。應當結束當前個人信息監管“九龍治水”的局面，建立統一獨立的個人信息監管機構。筆者認為，可以借鑒日本建立“國家個人信息保護委員會”的經驗。將“個人信息保護委員會”作為專職個人信息保護監管機構，這一機構首先應具有獨立性和權威性。需要在《個人信息保護法》中作出規定：公民個人信息保護的監督管理工作由國家個人信息保護委員會統一負責。國家個人信息保護委員會為國務院直屬機構，直接對國務院負責。其次，應當明確國家個人信息保護委員會相應的職權和功能。國家個人信息保護委員會可以行使以下權力：一是對互聯網企業個人信息保護合規體系進行后臺監測、數據管理和介入調查的權力；二是當互聯網企業個人信息處理面臨違法風險時，有及時發出警示或者提出糾正意見的權力，在互聯網企業行為已經違反法律時，可以采取必要手段暫?；ヂ摼W企業的違規操作；三是有權對互聯網企業個人信息處理案件進行調查，并對違法行為作出相應處罰。國家個人信息保護委員會也負有相應的責任，即負有互聯網企業個人信息保護合規的教育和宣傳，指導互聯網企業構建個人信息保護合規體系等責任。

3.2?建立行政監管制度全流程適用

針對互聯網企業個人信息保護合規體系的行政監管，要貫穿于互聯網企業從建立到運營的全流程。首先，監管機構要督促、引導互聯網企業建立個人信息保護合規體系。通過發布個人信息保護合規指引為互聯網企業提供基本的合規體系參照，督促互聯網企業按照其經營規模、組織架構建立相應的個人信息保護合規體系，并要求互聯網企業及時將合規政策、合規管理程序和合規指南等內部制度向個人信息監管機構報告。其次，推動互聯網企業個人信息保護合規承諾制度適用階段前移。當前合規承諾制度在實踐中的運用仍停留在事后承諾，往往是在違法行為被發現后再采取合規整改措施。隨著個人信息在現代社會重要性的提升，有必要將合規承諾制度逐步推前至互聯網企業的建立初期，并加強合規體系在日常經營活動中的作用。在互聯網企業進入市場前，合規承諾的對象主要是個人信息監管機構。隨著互聯網企業自身的發展而不斷補充修正合規體系，合規承諾的內容可相應作出調整。再次，為了防止互聯網企業的“紙面合規”，應當建立合規報告制度。合規報告制度包括以下幾個部分：一是定期向個人信息監管機構報送個人信息合規風險管理計劃和個人信息合規風險評估報告；二是發現重大違規事件后要及時向個人信息監管機構報告；三是合規負責人的任命、離職報告。建立合規報告制度有利于監管機構動態監管互聯網企業個人信息保護合規體系的運行。最后，可以效仿歐盟GDPR在互聯網企業內部設立數據保護專員這一做法。對于處理個人信息達到國家網信部門規定數量的、應當設立數據保護合規專員。數據保護合規專員一方面負責對互聯網企業個人信息處理活動以及采取的保護措施等進行監督，對互聯網企業建立個人信息保護合規體系提供建議和指導，另一方面數據保護合規專員充當監管機構和互聯網企業的中間人?；ヂ摼W企業必須將數據保護合規專員的聯系方式提供給監管機構和公眾，數據保護合規專員還必須直接回應監管機構向其提出的要求，并確保監管機構向互聯網企業提出的請求得到確認。如果監管機構要求數據保護合規專員與其合作，數據保護合規專員必須充分與之合作。如對監管機構向互聯網企業提出的合規整改建議，監督其執行進度。

3.3?形成企業合規激勵機制

企業合規制度作為公司治理的一種方式，能否有效建立和實施是能否發揮其作用的關鍵。除了在制度制定和執行方面的努力外，還需要有相應的外部激勵機制。這種激勵機制意味著企業已經建立了合規管理體系，并得到了有效的實施。發生違法行為時，行政機關可以從寬處理?；ヂ摼W企業出現侵害公民個人信息的違法違規行為時，如果互聯網企業能夠證明其已經建立了有效的個人信息保護合規體系，就表明了互聯網企業對侵害公民個人信息違法行為的反對態度，其可罰性程度理應減弱?？梢栽凇吨腥A人民共和國行政處罰法》第三十二條將企業合規制度的建設情況作為對企業從輕、減輕或免除行政處罰的情形?；ヂ摼W企業如果建立了有效的個人信息保護合規體系，就可以實現互聯網企業和直接責任人員的責任分離，使互聯網企業從輕、減輕或免除行政處罰，而只追究直接責任人員的責任。即使互聯網企業事前沒有建立有效的個人信息保護合規體系，也可以通過與監管機構達成行政和解協議的方式進行合規整改。監管機構與互聯網企業約定合規考察期、指派合規監管人，以監督和指導互聯網企業的合規整改活動，并對合規整改效果組織考察驗收。然后根據互聯網企業的合規整改情況，作出從輕、減輕或者免除行政處罰的決定。也有學者提出，對案發前沒有建立合規管理體系的涉案企業，仍然可以提出適用行政和解的申請，只是相較于案發前已經建立合規管理體系的企業，應當有所區別對待。另外，行政處罰的從寬力度應當考慮合規制度建設的不同階段，通常而言，對于已經建立個人信息保護合規制度的企業，對其行政處罰的從寬力度應當最大，對于事先未建立個人信息保護合規制度且未構成犯罪的互聯網企業從寬力度應當次之，而當互聯網企業涉及犯罪時，對其行政處罰的從寬力度應當最輕。監管機構根據合規制度的階段性，劃分出不同的從寬區間范圍有利于激勵互聯網企業在事前建立個人信息保護合規體系，符合責任相稱原則的要求。

參考文獻

[1]陳堅.企業合規改革研究[M].北京：法律出版社，2022.

[2]鄧輝.我國個人信息保護行政監管的立法選擇[J].交大法學.2020.

[3]袁博.大數據時代個人信息保護的行政監管立場及其智慧化轉型[J].西南民族大學學報（人文社會科學版），2022.

[4]劉艷紅.企業合規中國化的民行刑體系性立法[M].北京：法律出版社，2022.

[5]陳瑞華.企業合規基本理論[M].北京：法律出版社，2022.

[6]黃衛東.網絡平臺的行政規制：基于行政合規治理路徑的分析[J].電子政務，2022.

[7]夏金萊、許聰.企業行政合規制度構建研究[J].政法學刊，2022.

[8]陳瑞華.論企業合規在行政和解中的適用問題[J].國家檢察官學院學報，2022.