论个人信息保护的行政规制路径

1、论个人信息保护的行政规制路径个人信息保护的“公法路径”与“私法路径99之争在我国个人信息保护法律制度构建的方 向上，一直存在着“公法保护”与“私法保 护”之争。有学者以个人信息权理论为核心， 主张将个人信息权视作私权，以民事救济来 提供保障。也有观点认为，个人信息保护法 是一种有关个人信息的管理法，是通过行政 许可、行政处分等手段来确保个人信息处理 者合法处理个人信息的法律制度。此类观点 多主张个人信息权是一种基本人权，需要由 国家建立有效的事前事中监管与行政执法制 度来提供保护。近年来，大数据技术的开展对个人信息 保护提出了新的挑战。信息公共性的增强和 所包含法益的复杂性使得绝对化的私权保护

2、 路径窒碍繁多。而互联网平台的扩张那么导致 平台与用户间的议价能力失衡，私权保护的 基础受到动摇。面对种种挑战，学界开始提 一现象与个人信息侵权责任的分配规那么有着 紧密联系。个人信息保护法第69条第2款规定， 处理个人信息侵害个人信息权益造成损害的, 损害赔偿责任按照个人因此受到的损失或者 个人信息处理者因此获得的利益确定；个人 因此受到的损失和个人信息处理者因此获得 的利益难以确定的，根据实际情况确定赔偿 数额。这一规那么在民法典第1182条和 2014年网络侵权司法解释第11条中已 有表达。网络侵权司法解释同时在第12 条规定，被侵权人为制止侵权行为所支付的 合理开支，如调查、取证的合理

3、费用、律师 费等可以被认定为财产损失。假设被侵权人因 人身权益受侵害造成的财产损失或者侵权人 因此获得的利益无法确定的，人民法院可以 根据具体案情在50万元以下的范围内确定 赔偿数额。上述规那么符合侵权法原理，但在实践中 却较难妥善适用。首先，就被侵权人的实际 损失而言，个人信息侵权较少导致显著、直 接的损害，其结果往往表达为外部风险和内 部焦虑。即便在特定情况下，个人信息侵权 的风险转化为了现实的物质性损害，也可能 是多种合力所致，追求明晰和单一化的因果 关系链条并不现实。例如，当平台疏于承当 平安保障义务导致个人信息泄露，引发后续 违法行为时，作为信息处理者的平台、利用 泄露信息从事非法活

4、动的第三人、甚至受害 者自身均对损害结果具有原因力。在“申某 案”中，原告申某主张二被告应当赔偿其被 诈骗所造成的经济损失11万余元。法院虽然 认定被告之一携程公司违反平安保障义务， 导致申某遭遇诈骗形成财产损失，但只判决 携程公司在5万元范围内承当补充责任。当具体物质损害难以认定时，网络侵 权司法解释第12条规定的合理开支费用成 为很多案件中原告唯一能够确证和法院唯一 支持的损失。在近来受到高度关注的“微信 读书案”中，原告向被告主张公证费用6660 元，得到了法院的支持，但该案并未涉及其他赔偿责任。须知，在个人信息侵权这种高 度技术性的复杂案件中，当事人为诉讼所付 出的时间、精力远超能够被

5、准确计量的诉讼 合理开支，这在诉讼激励上显然是不成比例 的。其次，在适用个人信息处理者因侵权而 获得利益这一标准时，计量难题也同样存在。 个人信息侵权案中，除了销售个人信息外， 信息处理者在大局部情况下没有具体获益。 如在未尽到平安保障义务、个人信息记载错 误等案件中，信息处理者不仅无获益，甚至 可能有损失。而在局部情况下，由于信息利 用的集合性，信息处理者虽有获益，但却无 法个别计算，如信息处理者未经“告知同意” 而收集个人信息时，侵权行为通常是以系统 性方式实施，其所获利益也是一种系统性侵 权的结果，无法具体分配到个人。在上述标准失灵的情况下，由法官在个 案中确定赔偿数额成为唯一选择。但从

6、实践 来看，法院所支持的赔偿数额总体偏低。在“抖音案”中，原告主张赔偿经济损失35769 元，精神损害抚慰金20000元，维权合理费 用4231元，共计60000元。由于“双方均未 提供原告因个人信息权益受到侵害所遭受的 财产损失或被告因此获得利益的相关证据”， 法院最终酌定赔偿的数额仅为1000元，同时 支持了公证费4231元。可以推测，赔偿金额 偏低的原因是损害的表现并不显著。此外，除了财产损害赔偿数额较低，个 人信息侵权的精神损害赔偿请求也较少得到 法院支持。按照民法典第1183条第1款 的规定，侵害自然人人身权益必须要造成严 重精神损害，被侵权人才有权请求精神损害 赔偿。要求精神损害的

7、程度到达“严重”， 其原因在于非物质性损害本身就具有一定的 伸缩性，如果损害认定过于宽泛那么可能导致 侵权行为认定泛滥。而坚持“严重”的标准， 对原告而言具有较高的证明本钱。前述“庞 某案”“申某案” “抖音案”中，原告提出 了精神损害抚慰金的请求，但均未获得法院 支持。相较于民法典，个人信息保护法 第69条对个人信息侵权责任的规定有进步 之处：一是明确了损害赔偿的范围不再限定 于财产损失；二是取消了 50万元的赔偿限额。 但这一调整依然没有解决个人信息侵权损害 的不确定性问题，责任设定动辄得咎的两难 局面未得到化解。一方面，即便非财产损失 可赔，但假设坚持传统的损害认定方式，被侵 权人也很难

8、得到有效的司法救济。另一方面， 如通过向后延长因果关系链条来强化责任， 那么可能会出现责任分配上的不公，甚至导致 个人信息保护领域出现滥诉。一个现实的担 忧是，个人信息保护法第50条规定个人 信息处理者拒绝个人行使权利的请求的，个 人可以依法向人民法院提起诉讼。在这种举 证责任较轻的案件中，当事人的诉讼可能给 法院带来过大压力，甚至招致职业打假人的 蜂拥而至。（三）私权保护路径难以及时有效应对 系统性侵权大数据时代的个人信息处理行为几乎都 是大规模、系统化进行，这导致个人信息侵 权通常是一种规模性侵权。面对此类侵权， 分散的个体诉讼往往只能就特定个案提出主 张，无法撬动足够的社会资源，实现整体

9、性 治理。同时，鉴于司法程序本身的特质，较 为漫长的司法流程也难以形成及时、高效的 社会控制。首先，私权保护路径的个别性无法有效 回应系统性的侵权问题。从理性人假设出发， 只有提起诉讼的预期收益大于诉讼本钱时， 提起诉讼才是理性选择。在个人信息侵权案 件中，考虑到诉讼难度和诉讼回报，被侵权 人提起诉讼的积极性通常较低。这会导向两 种结果：一是选择接受并容忍侵权行为，“对 违规行为完全麻木，认为违规行为是进入市 场的实际必然”，从而陷入所谓的“数据泄 露疲劳”当中(data breach fat igue)；二 是抱持“搭便车”的心态等待观望其他受害 者率先提起诉讼，其结果往往是出现“集体 行动

10、的困境”。局部案件中，即便有被侵权 人提起诉讼，个人信息处理者也更倾向于以 非正式的方式解决，如支付相应费用、促成 调解和解等。此种情况下，被侵权者的权益 看似得到了局部实现，但普遍和持续性的侵 害依然可能发生，客观法秩序并未得到维护。 对大型互联网平台而言，即便在个案中付出 了较高额的和解或赔偿费用，也难以对其经 营策略构成实质性影响。其次，司法裁判本身的特质导致了其回 应问题的迟滞。一方面，司法裁判重在事后 课责，往往只能在损害已经发生、当事人提 起诉讼之后启动。对于尚未转化为现实“损 害”的风险而言，私法路径的反响相对缓慢 和被动，很可能造成损害结果的进一步扩大。 另一方面，在司法程序启

11、动之后，由于受案 量大、流程复杂、程序严格繁琐、人力资源 有限等因素，司法裁判的周期相对较长。这 进一步迟滞了私法路径对于严重社会问题的 回应，导致社会整体治理层面的低效。目前， 局部地方尝试通过公益诉讼来弥补私法诉讼 的个别化问题，个人信息保护法第70条 也设计了公益诉讼条款。但从其他领域公益 诉讼的推进情况来看，公益诉讼更多是作为 一种补充性的法律实施机制而存在，同时公 益诉讼也难以解决司法机制回应迟滞的问题。三、行政规制的法权基础与比拟优势（一）作为法权基础的基本权利国家保 护义务私法保护路径的主张者通常将个人信息 权视为纯粹的私权。但这种观点忽略了个人 信息保护作为数字经济时代的基础性

12、议题， 所展现出的跨越公私法的复杂属性：其一， 传统民事关系中的私权是个人化的、确定的 利益表达，基本不依赖于外部的公共关系。 但个人信息利益的公共性极强，其交互、动 态的属性与私权相对确定、静态的结构存在 着先天冲突，将个人信息完全作为民事权利 客体保护，会形成对民法既有概念体系的挑 战。其二，在当前的信息条件下，国家机关 和商业主体都可能成为个人信息的处理者， 但作为民事权利的个人信息权无法对抗国家, 也无法调整国家与信息主体的关系。因为国 家机构处理个人信息的正当性基础是其法定 职责，相应的行为规范、责任承当都与私法 关系存在本质区别。因此，个人信息权益绝 不可能、也不应该仅仅是一种纯粹

13、的私权， 必须从统合公私法的更高维度出发，在宪法 层面寻求基础。主张在宪法层面保护个人信息需要确定 规范基础。这其中面临的最大问题是，个人 信息保护涉及多种不同的问题和法益，很难 用一项具体的权利进行概括和统合的表达。 滥觞于德国的“个人信息自决权”试图基于 “人的尊严”，诉诸“自决”这一概念来统 率个人信息保护涉及的各种法益，但由于其 绝对化的立场和对信息流动的阻滞，受到了 诸多批评。近来，有研究者提出了 “个人信 息受保护权”的概念，强调不以个人信息本 身为权利客体，而是关注个人在信息处理过 程中应当获得的保护。通过对个人信息处理活动的法律控制，在不限制个人信息自由流 动和利用的前提下，确

14、保个人信息处理不逾 越人格尊严的底线。相较于“个人信息自决 权”，“个人信息受保护权”所建构的教义 学体系应当是更加合理和可行的。然而需要注意的是，“个人信息受保护 权”的理论主张者认为，个人信息保护的核 心指向是“人格尊严这一法益。之所以强调个人信息应受保护，旨在“让每时每刻都 体地位，确保其个人信息以合乎人格尊严的 方式被处理。”但实际上，个人信息保护所 面对的是更为复杂的、栖身于不同宪法规范、 彼此之间又存在高度关联的多种法益。例如, 对隐私信息的披露、对人格图像的歪曲等可 能涉及宪法第38条人格尊严条款；对通讯信 息的侵犯可能涉及宪法第40条通信自由与 通信秘密条款；对个人生物信息、位

15、置信息 的侵犯可能涉及宪法第37条人身自由条款。 虽然上述法益似乎均可被纳入到“人的主体 地位”这一命题中，从而被“人格尊严”条 出重构个人信息保护法的主张，如主张将个 人信息保护“消费者法化”，并结合风险规 制的公法框架提供保护；或是主张以行业标 准为主导的个人信息保护路径。这些主张所 呈现的一个共同特征是，不再强调个人信息 保护是单纯的私法议题，而是试图以多元化 的方式解决私法保护的局限。在被处理的信息主体在此过程中拾主我国的个人信息保护实践也呈现出相似 的复杂性。侵权责任法、全国人民代 表大会常务委员会关于加强网络信息保护的 决定、最高人民法院关于审理利用信息 网络侵害人身权益民事纠纷案

16、件适用法律假设 干问题的规定（以下简称网络侵权司法 解释）以及民法典都为私法保护提供 了充分的规范基础。但实证研究却显示，相 较于刑事手段，自然人请求法院对其个人信 息权益提供司法保护的案件数量较少。民法 学者也提出，个人信息保护中的各种问题需 要依靠个人信息处理者的自律行为、监管者 的监管措施以及自然人针对信息处理者的民 事诉讼（及公益诉讼）共同加以解决，公法 款所涵摄，但这种简单的论证很难与我国宪 法的具体规范相契合。首当其冲的问题是， 我国宪法中的“人格尊严”条款是否具备此 种近似德国基本法上“人的尊严”条款的地 位，尚有不小争议。即便成认“人格尊严” 条款的这种地位，当宪法中存在更加具

17、体的 权利和规范时，也应当以具体权利而非概括 性权利作为保护基础。这一点也得到了立法过程的印证。对于 个人信息保护法三审时在第1条添加的 “根据宪法”这一立法依据，立法机关给出 的解释是“我国宪法规定，国家尊重和保障 人权，公民的人格尊严不受侵犯，公民的通 信自由和通信秘密受法律保护。制定实施本 法对于保障公民的人格尊严和其他权益具有 重要意义。”从这一解释中可以看出，个人 信息保护除了涉及人格尊严外，还涉及其他 基本权利。其中至少包含公民的通信自由和 通信秘密。从这个角度上说，个人信息保护 的宪法基础并不仅是“人格尊严”条款或宪法的某一其他条款，而是包含多种法益的一 个规范群。在宪法层面确立

18、个人信息保护的法权基 础，至少具有以下两方面功能：其一，基于 基本权利的主观权利属性，确立国家的消极 义务和公民的防御权，防止公权力机关违法 或不当收集、处理相对人信息，侵害相对人 信息权益。其二，基于基本权利的客观价值 秩序属性，确立国家的积极义务，确保国家 积极作为以促进个人基本权利的实现。一般 而言，国家对基本权利的积极义务包括了给 付义务、保护义务等多项内容。在个人信息 保护领域，通常不需要国家提供给付，国家 的积极义务主要表现为对个人信息的保护义 务。需要注意的是，国家如何行使基本权利 保护义务具有广泛的形成空间，可依据基本 权利的类型、受侵害的程度而采取不同的措 施予以保护。也即基

19、本权利的保护义务并不 天然要求国家建立强有力的行政规制系统。 之所以主张个人信息保护应当强化行政规制, 是因为行政规制能够更加理性、高效地实现个人信息保护目标，这也是基本权利保护义 务中“功能适当”原那么的表达。（二）行政规制在个人信息保护中的比较优势L专业和信息优势“风险社会”的到来进一步强化了行政 国家的建构。由国家设立专业的行政规制机 构，通过各种工具来识别、评估、预防和控 制风险已经成为普遍趋势。专业规制机构所 承当的工作相对聚焦，日常任务相近，从业 人员多具有相关专业知识背景或实践经验， 与相关领域的专家联系也更加紧密，“足以 和真正的专家来交流，并确证出谁是更好的 专家”。同时，行

20、政机关还可以通过建立专 门的技术岗位、设立专业技术机构、外聘技 术专家等多种形式强化专业技术优势。个人 信息保护法本身就是为了回应数字技术开展 进步带来的挑战而诞生，具有鲜明的技术化 特征。尤其是在大数据时代，个人信息保护 和信息利用之间的张力持续凸显，规制主体 不仅需要具备技术专长，还需要了解产业发 展趋势，从而在纷繁复杂的利益冲突中权衡 规制措施的合理性，这些都对规制主体的专 业能力提出了较高要求。相较而言，司法系统更擅长于解释和运 用法律，但并不具备专业技术上的认知优势。 技术问题并不是从“事实”到“法律”的推 理，而可能涉及复杂的专业术语、模型和统 计。美国法体系中对司法系统回应技术变

21、化 的能力也颇有微词，波斯纳将英美司法体系 中的法官称为“日益专业化的政府和社会中 的最后一批通才”，并认为法院对于医疗事 故、产品设计缺陷、药品、专利等技术问题 的回应通常不够理想。从我国当前的司法实 践来看，在涉及复杂互联网技术的个人信息 保护案件中，不仅诉讼两造需要通过聘请专 家辅助人的方式来说明意见，法院也需要借 助专门的技术调查官来辅助审判，这虽然在 一定程度上弥补了法官专业知识上的欠缺，但同时也使得诉讼本钱大幅增加，影响了诉 讼效率。与此同时，行政规制还具有明显的信息 优势。一般认为，就社会问题的治理而言， 私法路径具有信息上的优势，因为行政机关 启动正式调查程序、获取相应信息需要

22、付出 一定的公共本钱，同时还可能要面对被规制 者规避规制、隐藏信息等问题。而在私法机 制中，诉讼当事人距离信息源更近，也更愿 意主动向法院提供信息，无需付出额外的公 共本钱。但这一判断的前提条件是，被侵权 人能够清楚、准确地识别加害者，并获取诉 讼所需的信息。如果私人获取信息的难度较 高，尤其是一些信息的获取可能需要运用超 越私主体能力的强制性力量时，情况就有所 不同。在个人信息保护法律关系中，面对大 型互联网平台的封闭结构，信息主体获取信 息的难度极高，取证本钱高昂。法院受限于 其中立角色，也无法在所有案件中依职权全 面调取证据。相反，行政机关可以基于法定的调查权主动获取相应信息，在收集、分

23、析、 研判信息上比司法机关具有更大的优势。.预防和处理系统性侵权的效率优势选择基于行政规制体系来实现事前事中 的过程性控制，抑或是选择经由司法裁判的 事后威慑来实现公共治理的目的，需要考虑 事后威慑的有效性和可能发生的损害之特点。 如果违法行为可能导致即刻且不可逆转的严 重损害，事后威慑的效果又较为有限，那么应 当强化行政规制，以充分发挥行政规制在风 险防范上的效率优势。这也是为何绝大多数 国家要在食品、药品领域建立与一般消费品 不同的强监管机制的原因。在个人信息保护 领域，通过司法裁判提供救济的方式效率较 低，难以及时有效制止系统性侵权。但个人 信息侵权在短时间内就可造成极大影响，且 事后难

24、以实现有效补救。如对敏感信息的泄 露或滥用可能导致当事人的人格利益严重受 损，在互联网时代的传播条件下，相关信息 很容易二次扩散，造成不可逆转的长期损害。面对此类问题，行政规制具有显著优势。 首先，行政规制系统并非是由于特定损害发 生才被激活，而是处于持续运行状态。行政 规制机关无需依托特定主体的请求启动程序, 也不需要等待风险的具象化，而是可基于对 风险的自主研判而及时启动相应程序。其次， 行政规制机关能够以发布一般性规那么的方式 对同类问题进行整体规制，发挥“规模优势”， 以解决私法诉讼“一事一议”可能存在的低 效问题。.形塑一般性规那么的功能优势大数据时代，对个人信息的利用多为集 合性利

25、用，其所引发的侵权并非是多个分散 私权的简单叠加，而可能存在公共面向。长 期未得到有效治理的个人信息侵权完全有可 能超出私人利益范畴，形成一种系统性的社 会风险。“对个人信息权利侵犯严重到一定 程度时，就构成了对公共秩序的违反。“这 反映出，个人信息保护法律制度的设计除了解决个案争议之外，也需要一般性地塑造良 好行业规那么，解决社会共性问题。私权保护路径的被动性决定了其通常只 能围绕争讼个案，就原告的诉讼请求进行裁 判，难以积极地塑造个人信息保护规那么，为 企业和消费者提供更加明确的行为指引。例 如，在“微信读书案”中，针对原告提出的 读书软件中与微信好友的互动是否应当默认 关闭这一问题，法院

26、明确提出，从该案的证 据来看，腾讯公司并未违反法律的规定。至 于何种规那么才是更加合理的，“司法不宜超 过个案诉争范围过度干预。”事实上，个人 信息保护作为数字时代的基础性问题，具有 复杂的经济社会面向，这意味着治理措施需 要广泛考虑经济社会开展情况、行业特点和 社会诉求，立足个案却又能够超越个案设定 一般性的规那么。在这方面，行政机关具有更 为宽泛的法政策形成空间，而法院通常受限 于特定个案的事实，难以进行更广泛和全面 的考量。从个人信息保护立法的特点来看，由于 需要对技术变化和产业开展保持可容纳性， 数字经济领域的立法通常带有较多的原那么性 规范，其有效实施有赖于进一步的解释。例 如，荷兰

27、个人信息保护实践中大量的行业规 那么就是出于澄清其数据保护法的原那么性 规定，增加法律确实定性而出台。我国网 络平安法和个人信息保护法也在一定 程度上表达出这一特征。在司法裁判中，法 官对法律负责，不存在科层制的命令系统， 不同司法判决在对待同类事项时可能存在差 异。而由统一的行政规制机关来执行规那么， 可以形成相对确定的解释方案，提高法律规 那么的明确性，这对于数字经济行业的开展尤 为重要。（三）行政规制的局限与公私法的调和行政规制虽然在处理特定问题上存在优 势，但也并非毫无瑕疵。一般来说，相较于 私人诉讼，行政规制可能存在不经济、过度 干预市场、被俘获、诱发权力寻租等问题。就个人信息保护而

28、言，行政规制的局限主要 表达在本钱、灵活性和救济效果三个方面。首先，在本钱方面，开展有效的行政规 制必须依托强有力的规制机关和执法队伍， 这需要组织、人员层面的大量投入。行政机 关的日常监管、调查取证、集体讨论、作出 决定等执法程序也将耗费大量的公共资源， 而这些都必须由公共财政予以保障。当前我 国已经开展的个人信息保护行政执法更多是 以“专项整治”的运动方式开展。在媒体和 公众的高度关注下，执法机关将个人信息保 护问题视作执法议程中的重点，在短时间内 调动了大量资源。但当执法常态化后，如何 保证监管资源的有效供给和高效利用就成为 必须要面对的话题。其次，在灵活性上，行政规制要求基于 统一的规

29、那么形成相对稳定的执法实践。这虽 然可以提供稳定、可预期的规制环境，但却 可能难以妥当处理特殊个案。同时，在技术 变革较快的互联网领域，规那么的僵化可能影保护与私法保护在个人信息保护中都具有重 要作用，都是不可或缺的。但对于公法机制 与私法机制的所长所短、相互关系，学界的 讨论还有进一步深入的空间。2021年8月通过的个人信息保护法 被认为确立了较有力的行政执法机制。事实 上，在个人信息保护法出台之前，我国 已经依据网络平安法和相关单行立法开 展了大量个人信息保护行政执法。这类执法 活动在取得一定收效的同时，也引发了一些 合法性争论。这促使从学理层面思考个人信 息保护行政执法模式的重要性日益凸

30、显。本 文将从上述讨论出发，对以司法诉讼为中心 的私权保护机制所固有的局限展开分析，提 出行政规制在个人信息保护上的比拟优势， 并就私法保护路径和行政规制路径的相互关 系进行适当展开。同时，本文将结合个人 信息保护法相关规范的解释与实施，对我 国个人信息保护行政规制体系的完善提出建 议。响其容纳新事物开展变化的能力，损及治理 的灵活性。这带来了行政规制的一个困境： 如果法规范过于原那么，那么解释和执行本钱过 高；如果法规范过于具体，那么难以适应特殊 个案和技术的开展变化。当前我国个人信息 保护行政执法中，非强制性的个人信息保护 标准发挥了极大作用，其中一个核心原因即 是由于制定法规范过于原那么

31、，不得不依托技 术标准实现具体化。个人信息保护的技术标 准在这一意义上也已经超出了其“技术”属 性，而发挥了解释法律的功能，承当了连接 制定法和行政裁量权的作用。此外，行政规制也无法为受到损害的当 事人提供物质上的救济。行政法律责任中所 涉及的高额罚金需要上缴国库，而不能用于 填平和弥补当事人所受损害。尽管局部立法 曾规定由执法机关责令退还违法所得、赔偿 当事人的制度，但学界一般认为，责令退赔 制度”不仅致使案件处置环节烦琐，案件办 理期限变长，影响执法效率，增大执法本钱， 而且在保护广大消费者、其他经营者合法利益的功能上也并不理想。”个人信息保护 法中也并未规定类似机制。在上述问题上，私法诉

32、讼机制恰恰是具 有优势的。本钱方面，在私主体发起的诉讼 中，私人承当了收集证据、出庭应诉等一系 列工作，实现社会目标的本钱被分摊到了各 个私主体头上，除消耗局部司法资源外，并 未增加额外的公共本钱。在灵活性方面，私 法机制可根据技术开展的最新变化和个案情 况，经由诉讼两造的对抗来实现更为灵活的 权衡。在救济方面，尽管实际效果不尽如人 意，但侵权诉讼终究能够为受害者提供一定 的抚慰。因此，尽管私法机制存在多方面的 局限，但其作用也是极为重要和不可替代的。综上，在个人信息保护领域强化行政规 制，并非是要由行政规制全面代替私法机制， 而是应当着眼于二者的制度特点，推进二者 的协调和互补：行政监管机制

33、应当更多关注 系统性、规模性、普遍性、高风险的个人信 息保护问题，例如大规模信息泄露、普遍发生的人脸识别滥用等，以提高执法的针对性。 私法诉讼机制那么应当侧重关注具体性、个别 性的个人信息保护问题，就公共性较低、排 他性权利特征较强的问题进行处理。在个 人信息保护法落地实施的过程中，二者的 衔接和配套机制还需要进一步完善。个人信息保护行政规制路径的完善从比拟法经验来看，行政规制始终是个 人信息保护的重要机制。个人信息保护法 实施过程中，一方面应当正确评估行政规制 的功能与作用，处理好行政规制和私法救济 的关系；另一方面也应结合我国实际情况， 进一步优化行政规制的制度设计，提升规制 质量。（一）

34、明确个人信息保护的行政规制体基本权利的国家保护义务要求国家为基 本权利的实现提供组织上的保障，而行政规 制组织的建立首先要解决体制设计和职权分 配问题。我国相关立法对个人信息保护执法 体制的规定一直不够明确，引发较大争议。 2012年全国人民代表大会常务委员会关于 加强网络信息保护的决定仅在第10条明确 “有关主管部门应当在各自职权范围内依法 履行职责”，而没有明确具体的规制主体。网络平安法虽被视为网络平安领域的基 础性立法，但也只是沿袭决定的立法策 略，规定由“有关主管部门“实施监管。从 体系解释的角度出发，按照网络平安法 第8条规定的网络平安事务管理体制，网信 部门、电信部门、公安部门以及

35、“其他有关 机关”都可能基于各自职责而享有监管权， 但上述各机关之间的权限如何分配、关系如 何调处，“其他有关机关”的范畴为何，均 不清晰。由于规范意旨含混，实践中权责交 叉、执法冲突的现象较为常见。学术界对这 种分散执法的机制提出了较多批评，指出目 前个人信息的执法体制呈现“九龙治水”的 分散状态，这可能导致执法责任边界不清， 出现推卸责任的后果。个人信息保护法第60条在确立国家 网信部门“统筹协调”地位的基础上，沿用 了各部门“依照本法和有关法律、行政法规 的规定，在各自职责范围内负责个人信息保 护和监督管理工作”的立法模式，同时在第 62条规定了由国家网信部门统筹协调的具体 事项。相较于

36、旧有立法，个人信息保护法 的规定有两个进步之处：一是明确了国家网 信部门“统筹协调”的地位，凸显其在个人 信息保护执法中的特殊性；二是在第62条规 定了由国家网信部门统筹协调有关部门制定 个人信息保护具体规那么、标准，这有利于解 决个人信息保护规那么“政出多门”的问题。 但是，该规定依然未能解决执法权归属的争 议：其一，国家网信部门的地位为“统筹协 调而非统一负责”，但何为“统筹协调” 仍然具有较大的解释空间；其二，按照个 人信息保护法第60条的规定，除个人信 息保护法外，“有关法律、行政法规”也 可赋予相关部门监管职责，但这种由具体领 域的行为法来确定法定职责的形式可能导致职责过于分散。同时

37、，各具体领域的立法多 由行业主管部门起草，难免带有部门主义色 彩，从而导致执法权的冲突。面对上述问题，学界多主张进一步建立 集中、统一的规制体制，以独立的个人信息 保护机构来强化执法的公正、权威和独立性。 局部研究者提出应由“更具独立性和全局视 野”的网信部门集中统一执法。参见张新宝： 我国个人信息保护法立法主要矛盾研讨， 载吉林大学社会科学学报2018年第5期， 第51页。从近年来的实践来看，网信部门依 托网络平安法等法律法规赋予的权限， 深度参与了互联网治理规那么的塑造，形成了 一定的执法威慑力。从满足规制机关应当具 备的权威性、专业性等要求来看，网信部门 确实是较为适当的选择。然而，由网

38、信部门集中统一行使执法权 存在着三方面的障碍。第一，网信部门的组 织法地位尚不清晰。尽管网络平安法和 个人信息保护法都采用了 “网信部门”的概念，但对于各级网信办是否属于政府组 成部门还存在不同看法，这导致网信部门的 实际权力不清，可问责性不明。第二，网信 部门的法定任务繁多，执法资源和执法能力 有限，在当前各行业各领域均涉及个人信息 保护问题的情况下，由网信部门集中执法可 能超出其实际执法能力。有观点就指出，“网 络行政管理机关事务繁多，需要负责网络安 全的各个方面，在资源有限的情况下，行政 机关往往侧重于国家和社会重大平安网络事 件的监管，而相对次要的个人信息保护那么容 易疏于监管。”第三

39、，金融、医疗健康等各 个具体领域的个人信息保护问题存在一定差 异性，作为互联网综合管理机构的网信部门 难以全面掌握各行业的特性，并基于此制定 更为精明的监管方案。从这个角度来看，个人信息保护法 之所以仍然沿用了一直被诟病的“各部门在 各自职责范围内负责个人信息保护和监督管 理工作”这一立法模式，或许是现实条件制 约下一种“不得不”的选择。在个人信息保护法未来实施的过程中，需要进一步解 释和细化第61条、第62条和第63条的规范 要求，在兼顾执法统一性和灵活性的前提下, 明确网信部门和其他各部门执法权限划分。 具体而言，应由网信部门负责牵头制定个人 信息保护领域的基础性规那么和通用标准，确 立个

40、人信息保护行政执法的基本制度；其他 各部门可依据个人信息保护法第61条和 其他单行法律、行政法规的规定，结合本行 业内的具体情况，开展各具体领域的行政执 法工作。网信部门可为各部门的行政执法提 供指导支持，并保存兜底性的执法权。对于 可能出现的执法冲突，应由国家网信部门统 筹协调，通过建立部门联席会议、推进联合 执法等机制解决。（二）构建多元化的行政规制机制对于个人信息保护的公法路径，曾经存 在着一种片面认知，即公法保护必然导致严 格的事前审批，从而对产业开展形成窒碍。 这实际上是对行政规制的误解。现代行政规制理论的开展已经提供了丰富的规制工具， 个人信息保护的行政规制机制必然是多元化 和综合

41、性的。其一，规制主体可采用传统的行政执法 模式，即以行政处分为代表的“命令一控制” 式规制系统。个人信息保护法第66条参 照域外经验，大幅提高了严重违法行为的罚 款上限。从理论上说，高额处分有其必要性， 因为当处分数额少于违法所得的利益时，很 难产生足够的威慑功能。但是，对裁量权的 控制同样是设定罚款数额时应当考虑的因素。 个人信息保护法对情节严重的违法行为 采用了区间数值式和区间倍率式并用的处分 方式，设定了 “五千万元以下”或“上一年 度营业额百分之五以下”的罚款额度，但却 并未明确在何种情况下适用前者，何种情况 下适用后者，失之于笼统。未来还需要进一 步细化“情节严重”的要件解释，如违法

42、者 的主观状态、违法行为的性质、危害后果等； 同时还应进一步明确选择适用“五千万元以 下”或“上一年度营业额百分之五”标准的条件。此外，由于互联网平台多为股权结构 复杂的集团化企业，在适用“上一年度营业 额百分之五”标准时，需要准确认定被处分 对象。其二，个人信息保护应当充分视自我规制的展开。行政法上的“自我规制”在广 义上既包括团体的自我规制 (group self-regulation),也包括个体的自我规制(individual self-regulation) o 团体的 自我规制主要指行业协会自治或多个企业间 的联合规制，如通过制定实施行业标准、通 用规范等实现行业内部的普遍秩序。个

43、体自 我规制是指私人主体基于社会责任、市场声 誉、竞争力等多方因素的考量，自主规范和 约束其行为。自我规制是美国个人信息保护 法律制度的突出特征，其对于降低规制本钱、 提高规制的系统性发挥着重要作用。我国个人信息保护领域也存在着大量的自我规制实 践：由相关企业参与制定的推荐性标准发挥着要作用，企业隐私政策也是重要的个人信息保护机制。个人信息保护法的实施二、个人信息私法保护机制的局限在私法层面，当个人信息权利受到损害 时，受害人在理论上既可以选择违约之诉， 也可选择侵权之诉。但由于违约之诉举证责 任较重，救济效果有限，所以并未成为主要 渠道。在侵权之诉中，信息不对称、激励不 均衡等问题都影响着私

44、法效用的发挥。（一）信息处理者与信息主体的地位失衡导致维权难度高个人信息保护法主要调整系统收集、利 用个人信息的个人信息处理者与信息主体之 间的法律关系。在移动互联网时代，个人信 息处理者多为具有专业性或商业性信息收集 特征的主体，其中最主要的是大型互联网平 台。从形式上看，大型互联网平台与用户之 间是平等的民事主体关系，但基于平台经济 在“双边效应”和“头部效应”下的先天扩 张属性，大型互联网平台的规模日渐增长， 面对分散的用户展现出了技术上和资源上的需要更加重视行政规制与自我规制的结合。一方面，要更好发挥自我规制的自主性优势, 如充分发挥推荐性标准、行业良好实践等行业自律性规范的作用，业自

45、律性规范的作用，重视和尊重市场主体“由下而上”的规那么提炼；另一方面也要强 化对自我规制的“再规制”，如对隐私政策 的制定和执行进行适当的监督等。其三，个人信息保护可将“内部管理型 规制”作为重要抓手，通过综合性的激励手 段，培养信息处理者的内部治理机制。内部 管理型规制的重点在于要求企业针对行政目 标，制定适合自身的内部经营计划、管理流 程及决策规那么，从而将社会价值内部化，其 本质是通过整肃和控制组织内部的管理制度, 来增强企业的合规遵从。考虑到个人信息侵 权的隐蔽性、系统性、结果风险化等特征， 个人信息保护必须重视对信息处理过程的管 控，尤其应当重视对大型互联网平台企业内 部的治理结构、

46、管理流程进行规制，从而防 范信息处理中的风险、营造数字经济中的组 织信任环境。个人信息保护法第52条所设计的个人信息保护负责人制度和第58规 定的大型互联网平台的特殊义务均表达了内 部管理型规制的思路。但需要注意的是，内 部管理型规制实际上是行政权对企业内部治 理的介入，在实质上构成对企业经营自主权 的限制，故而在进行制度设计时需要更加妥 善地处理各种利益之间的冲突。如个人信 息保护法第58条规定，大型互联网平台应 当成立主要由外部成员组成的独立机构对个 人信息保护情况进行监督，这存在着外部监 督与商业秘密保护之间的张力，需要通过精 细的配套机制来化解。其四，个人信息保护可引入第三方认证 等市

47、场化的规制机制。第三方认证是指由独 立于被规制者的第三方机构通过调查、取证、 检验等程序，对被规制者的合规情况进行评 价，以促进合规遵从的活动。在市场规模较 大、需要开展专业化的检验检测工作的领域， 行政监管通常难以实现全面、有效的覆盖。 借助第三方的审核、认证，一方面可以充分 利用私人组织的专业和资源优势，另一方面 也能够降低政府的本钱，将监管投入从分散 的市场主体转移到相对集中的第三方认证机 构之上oOECD改进规制效率的报告就曾指出， 各国政府应当投入资源，通过信息披露、认 证机制、评级机制等强化规制遵从。只要能 够确保可信度，此类措施能够对经营者形成 守法激励，推动市场整体合规程度的提

48、高。个人信息保护法第62条规定了国家 网信部门有权统筹协调有关部门“支持有关 机构开展个人信息保护评估、认证服务”， 但对于个人信息保护评估、认证的法律效力 及其开展方式未作具体规定。通常来说，第 三方认证通常可分为强制性认证和自愿性认 证两种。个人信息保护领域的认证应当以自 愿认证为原那么，由市场主体自愿申请，对其 信息处理行为的合规性进行认证。认证结果 可以作为企业个人信息保护的合规依据，证 明企业的个人信息保护政策符合法律规定， 从而增进消费者对企业的信任度。规制主体 也可采信局部认证成果，将其作为分配执法资源、开展调查的依据，但认证结果不具备 在特定个案中证明企业特定行为合规的效力。结

49、语:迈向合作的个人信息保护本文前述论证旨在说明，以侵权诉讼为 核心的私法机制在解决个人信息保护问题上 存在局限，个人信息保护必须重视以行政规 制为代表的公法机制。行政规制机关的介入 能够有效缓解信息处理者与信息主体力量失 衡的局面，从而实现有效治理。当然，政府 亦会“失灵”。尤其是受执法资源、执法意 愿等一系列因素的影响，过度依赖行政规制 也未必能够取得良好的效果。理想的个人信 息保护模式一定是一个融贯公私法，调和行 政规制与民事诉讼乃至刑事责任的综合性法 律框架。在行政规制的内部，也必须实现行 政监管、第三方监管、行业自我规制的有效 融通。面对复杂的个人信息保护问题，不断 强化跨部门、跨领域的法律合作，才能找到 最适当的回应方案。绝对优势。平台对其业务生态内的信息有着 极强的掌控力，被侵权人缺乏足够的专业技 术和条件去收集、固定证据。这导致基于平 等主体关系而设定的侵权法规那么难以发挥预 期功能。个人信息保护法第69条第1款规定， 处理个人信息侵害个人信息权益造成损害， 个人信息处理者不能证明自己没有过错的， 应当承当损害赔偿等侵权责任。这实际上是 采取了过错推定的立场。但在这一原那么下， 受害人完成举证责任至少存在着三个方面的 困难。首先，在侵权行为和损害结果的认定上, 个人信息侵权呈现出高度隐蔽化和技术化的 特