查看新版>>
我的位置: 上观号 > 上海市法学会 > 文章详情

赖鸣华|元规制模式中监管机构的三重功能定位与保障责任体系——以个人信息保护为切入点

转自:上海市法学会 2024-10-24 08:37:42

个人信息保护法中的多项规范依托于元规制的规制理念。然自实践以观之,监管机构对于其在元规制中有限却又关键的定位与责任缺乏清晰的认知。在个人信息保护领域存在反身性和分散性两种元规制类型。监管机构在其中分别扮演着反身性治理结构中的经济子系统外部环境以及分散化规制空间中的规制目标权威之角色。而处于自我规制与政府规制光谱中间的元规制同样存在行政任务由监管机构向私人主体的单向化转移的路径,监管机构也必然要扮演行政任务保障者的角色,进而最终形成了监管机关在元规制中的三重功能定位,同时也导致保障责任将取代履行责任成为监管机构在个人信息保护元规制中的主要责任类型。此等三重定位也塑造了以建立监管对话的准备责任、进行独立评估及行为调控的管控责任、开展递归学习调适的程序责任为内涵的保障责任体系。

一、问题的提出
在个人信息保护领域,“基于权利的方法”与“基于风险的方法”之间的保护模式之争引起了学界的广泛关注。而个人信息保护法的文本来看,立法者同时保留了这两种模式。鉴于“基于风险的方法”对自我规制与政府规制的融合与引导,学界普遍认为此种模式实质上可被归为一种元规制类型。我国个人信息保护法不仅为平台企业设定了风险评估、建立健全合规制度体系等自我规制义务,而且还为这些自我规制义务设定了合规审计、第三方认证等后设保障机制。这些基于风险的个人信息保护机制体现了元规制的理念。
在元规制模式中,规制目标的实现在具体实施层面主要依赖于企业自身的内部控制,而在更高层次的价值保障层面却需要监管机构发挥至关重要的引导与矫正作用。此时监管机构应当意识到其在元规制难以获取如同“命令—控制”的直接规制结果,也不应就此遁入放松规制的消极状态。其所能扮演的是一种有限却又关键的角色。而自实践以观之,监管机构对于其在元规制中的定位与责任却缺乏清晰的认知。一方面,在元规制模式中,监管机关将监管任务下放至被规制的企业,这在实践中使得监管机构的作用和能力变得模糊,进而掩盖了关键的问责机制。这能够避免监管机构对自己的政策偏好承担责任,并引发监管惰性。另一方面,即使监管机构采取了一定的元规制措施,掌握自我规制主导权的平台企业依旧可能对其个人信息保护要求无动于衷。而监管机构却迟迟难以从根源解决这一问题,以致诸多平台企业屡教不改。监管机构在个人信息保护元规制模式中未能发挥应有的效用,使得缺乏实质约束与激励的自我规制成为“一种自私自利的监管假象”,也进而严重影响个人信息保护中“基于风险的方法”之实效。
尽管有学者已经注意到监管机构在个人信息保护监管中面临的问题,但现有规范及研究尚未在元规制的语境下探究监管机构的定位与责任。本文认为,首先,在个人信息保护领域存在反身性和分散性两种元规制类型。基于这两种类型,监管机构分别扮演着反身性治理结构中的经济子系统外部环境以及分散化规制空间中的规制目标权威之角色。其次,由于元规制处于自我规制与政府规制的光谱中间,因此其中同样存在行政任务由监管机构向私人主体的单向化转移路径,监管机构也必然要扮演行政任务保障者的角色。这与前文两种角色共同形成了监管机关在元规制中的三重功能定位,同时也导致保障责任将取代履行责任成为监管机构在个人信息保护元规制中的主要责任类型。而监管机构在元规制中的三重定位也塑造了与强调“从国家到私人”单向维度的民营化大不相同的保障责任内涵。本文则致力于通过分析个人信息保护法的监管责任条款,建构能够回应现代社会中公与私展开的双向、多元互动态样的保障责任体系,以期为监管机构提供相关指引。
二、个人信息保护元规制模式的两种类型
随着平台算法权力的不断扩张,政府在个人信息保护的监管上面临诸多压力。首先,平台作为个人信息的首次处理者拥有监管机构不具备的灵活性、高效率等优势。其次,平台组织的封闭性使得政府对平台内部个人信息处理行为难以监管。在这些压力的共同作用下,个人信息保护走向了自我规制的道路。1998年美国联邦贸易委员会在递交国会的报告中首次明确表示,企业自我规制应是实现个人隐私保护的首要规制工具,其重要程度超过技术解决、消费者教育和政府规制等规制工具。我国个人信息保护领域也存在着大量的自我规制实践。但随着个人信息泄露事件的大量发生,人们也逐渐发现自我规制的缺陷所在。例如隐私政策往往存在流于形式、规避责任等情形,最终成为企业因应法律规定和现实情势而做出的面子工程。企业的合规体系也存在惩罚机制欠缺、透明度不高、执行不力等现实问题。这让人们不得不重新审视政府规制介入的必要性。各国的个人信息保护实践也逐渐将政府规制与自我规制相融合,形成了兼具二者优势的元规制模式。
元规制是一种外部规制者对企业的自我规制过程进行规制,并有意引导企业完善内部规制程序的规制策略。《通用数据保护条例》第36条和第41条表明欧盟数据保护立法正在向元规制模式转变。美国在个人信息保护领域的规制体制也具有元规制之特征。我国个人信息保护法不仅为平台企业设定了制定并公开平台规则、建立健全个人信息保护合规制度体系等自我规制义务,而且还为这些自我规制义务设定了行政处罚等后设保障机制,以引导企业完善自我规制,防止其因追求剩余价值而滥用个人信息。因此可以说个人信息保护法中的多项规范依托于元规制的规制理念,而这些元规制规范大致可以分为反身性元规制和分散性元规制两种类型。

(一)
反身性元规制

20世纪80年代以后,社会状况日益呈现出功能性高度分化的特征,很多领域自我治理体系逐步发展成熟起来,这使得人们逐渐认识到传统政府直接下达指令的“命令—控制”式监管无法适应复杂社会体系的需要。国家的内部和外部行为能力随着社会子系统自主性的加强而日益式微,国家调控能力也随之弱化。由于认识到传统政府规制形式在成本耗费和实效低下方面的不足,在一定程度上,人们转向了反身治理这种规制理念。
反身治理理念最早由托依布纳在对形式理性法实质化的回应中提出。托依布纳在回应型法的基础上,整合了卢曼的反身结构理论和哈贝马斯的商谈民主理论,提出了“反身法”模式。反身法的主要功能在于运用有效的内部控制结构,取代外在的干涉控制,使得法律体系并不直接介入其他的次级体系,而是通过提供程序上、组织上以及权限上的规范,促成其他社会体系实现民主的自我组织和自我规制。
沿袭反身治理理念的反身性元规制关注监管机构如何在被监管者中构建自我监管。其通常描述监管机构与被监管企业之间二元关系,其中监管机构将其注意力集中在企业的内部管理控制上,使用一个迭代的过程来改进这些系统,并利用企业的动机来实现预期的政策结果。相较于分散性元规制,反身性元规制可以说是一种更狭义上的、更为集中化的元规制,因为帕克在提出系统提出元规制这一理论模型之处就在强调“公司内部自律的法律元规制”。反身性元规制捕获了一种反思性地思考规制的欲望,与其直接规制社会和个人行动,不如转而使规制过程本身被规制。因此,这一版本的元规制侧重于一个被称为元监管者的外部监管者的能力。基于管理的规制是第一类元规制设计的典型代表。
基于管理的规制并没有具体规定用于实现治理目标的特定行为,也不需要在社会目标方面规定具体绩效。相反,基于管理的监管要求受规制者将预期的社会目标植入和内化到自己的制度建构中,并通过内部程序的严格执行来实现规制目的。与在产出阶段进行干预相比,基于管理的规制是在规划阶段进行干预,迫使受监管的组织改进其内部治理,以增加公共目标的实现。在以管理为基础的监管战略下,公司应制定符合旨在促进有针对性的社会目标的一般标准的计划。通过给予企业灵活性来创建自己的监管方法,以管理为基础的方法使企业能够试验和寻找更好、更创新的解决方案。
个人信息保护法中多处体现了反身性元规制的精神,其中以企业合法制度为代表。企业合法是指“行政机关强制或诱导企业建立内部合规管理体系,双方经由该内部管理体系合作规制企业生产经营活动的治理模式”。个人信息保护法第51条规定,个人信息处理者应当制定内部管理制度和操作规程以确保个人信息处理活动符合法律、行政法规的规定。该法在第58条还明确规定了平台企业的合规义务,其中最重要的内容在于要求平台企业建立外部独立监督机构,以强化对平台自我规制体系的塑造作用。此外,个人信息保护法还规定了合规审计等配套机制,以强化个人信息保护元规制的反身性。事实上,有学者指出监管机构总是依赖于公司的内部系统来确保合规:元规制只是将这种实际必要性提高到一个有意识的监管策略上。在这些反身性元规制策略的指引下,监管机构采取了多样的措施来引导、形塑平台企业的自我规制系统。2023年8月,全国信息安全标准化技术委员会发布国家标准《信息安全技术大型互联网企业内设个人信息保护监督机构要求》征求意见稿。这意味着个人信息保护法第58条中对大型互联网企业要求的“成立主要由外部成员组成的独立机构”有了具体的标准细则。其中还提出,监管机构将建立并发布个人信息保护合规审计专业机构推荐目录。这些都是个人信息保护法中反身性元规制的深化实践。

(二)
分散性元规制

元规制的第二种办法较少侧重于规制自我管制的过程,而更多地侧重于将管制能力下放给包括非国家行为者在内的广泛行为者的范围。这种分散性的元规制涉及更广泛的监管权力授权和在监管空间内分担问责。
在元规制中,监管机构首先要求被规制的企业起草内部管理规则。其次,监管机构将赋予企业监测和执行其自我规则的能力。在这种情况下,企业被要求成立一个内部独立的合规小组,负责监督和执行其私人规则。然而,元规制并不总是意味着将所有的监管职能委托给被规制的企业。在某些情况下,监管职能可能被委托给一个单独的第三方,该第三方也独立于监管机构。这种更广泛版本的元规制产生了两个含义。首先,监管职能可以委托给一系列广泛的行为者,包括公共和私人行为者。除了国家(监管机构)和私人企业(被监管者)之外,还可能有第三个行为者,即公共利益团体(即消费者团体,工会,非政府组织等)参与监管制度。根据监管环境的不同,第三方主体可能具有部分或全部的监管职能。例如,公共利益团体可以与个人公司一起参与私人规则的设计;他们可以参与个人公司建立的内部监测系统;或者,在不遵守的情况下,它们可能具有执行职能。因此在分散性元规制中,可能会有三个不同的监管者沉浸在监管制度中:(1)私人监管机构,包括企业以及内部但独立于公司设立的内部合规小组;(2)第三方主体,如公共利益集团;(3)国家监管机构。虽然理论上所有三个行为体在组织上彼此独立,但在功能上却是相互依存的。
这一元规制类型的形成源于规制资源的分散化。在某些复杂领域开展规制必须倚赖一定的专业知识与能力,而这些知识与能力又并非由公共机关所掌握。越来越多的研究认为规制能力不仅存在于政府,还存在于如企业、非政府组织等非政府主体当中。在这一背景之下传统意义上的科层式规制在实效上具有明显局限性。为重新审视规制过程,并为制度设计与改革提供更加坚实的基础,汉彻和莫兰在1989年提出了“规制空间”(regulatory space)理论,指出此时规制的核心问题在于关键规制资源的分散化。其核心观点认为,要占有规制权并有能力实施规制,需要有相关的资源;而资源呈现分散化或碎片化的样态。这些资源不限于由立法或合同演化出的正式国家权力,还包括信息、财富和组织方面的能力。同时在规制空间之中,不仅存在规制者与被规制者,还存在很多扮演监管者角色的市场行为者和民间行为者等非政府主体,这些主体在不同程度上分享着规制资源。并且各主体之间横向存在着复杂、多变的关系,彼此相互依赖、相互协商。被规制企业可以结合其拥有的信息与组织方面的能力,获取相当大的非正式权力,这种权力甚至能对正式规则的形成或实施结果产生重大影响。例如第三方认证机构就能够凭借着对于专业信息规制资源的掌握进而成为规制空间中的关键参与者之一,可以同时对监管机构以及被监管的企业施加重要影响。社会力量还能在平台治理中与监管机构及平台企业形成稳定的三角结构。近年来,由于联邦立法改革的缓慢而乏味,美国的非政府组织已从关注公共政治和公共政治制度转向“私人治理”的资源,非政府组织在促使公司参与私人治理方面进而推动分散性元规制的运转上取得了显著的成功。
我国个人信息保护法的第62条则体现了鲜明的分散性元规制理念。根据这一条款,监管机构应当推进个人信息保护社会化服务体系建设,支持第三方主体开展个人信息保护评估、认证服务。国家网信办还发布了《个人信息保护认证实施规则》,着力推动分散性元规制中第三方主体与企业及监管机构之间协作与依存。
三、监管机构在元规制中的三重功能定位
个人信息保护中的元规制可以具体化为反身性元规制与分散性元规制两种类型,监管机构在不同类型的元规制类型中也将处于不同的规制结构中,并具有不同的功能定位。而在具体化之外,元规制还可以抽象化为合作规制的其中一种类型。因而在元规制中必然存在与其他合作规制类型类似的行政任务由监管机构到私人主体的单向化转移路径,这一路径奠定了监管机构在元规制中的行政任务保障者之基调定位。而结合个人信息保护中的两种元规制类型,可以观察到元规制并不仅仅是监管机构与被规制企业两个主体之间的单向性反身沟通进程,而且同时包括社会公众、第三方认证机构在内的多元规制资源主体之间的分散化交流过程。这种嵌套的结构塑造监管机构在个人信息保护元规制中的三重功能定位。

(一)
反身性治理结构中的经济子系统外部环境

反身性元规制模式的存在使得监管机构首先处于反身性治理结构之中。反身性治理结构是社会系统论关于现代规制治理的观察成果。社会系统论认为现代社会由功能分化的社会子系统组成。政治、法律、经济等社会子系统之间界限清晰,互为环境。各自凭借独有的二元运行符码在系统内部形成运作封闭的沟通循环网络。在系统论的语境中,法律规范是法律子系统的纲要,监管机构是政治子系统中的治理主体,而企业则是经济系统内的私主体。卢曼认为,功能分化社会中社会子系统之间的影响是以系统/环境的方式运行的。这种影响方式并非线性的输入/输出关系,而是因系统符码、纲要等结构限制而具有高度选择性。“来自法律的调控只能以激扰的方式对经济系统的运作产生影响”,并且系统边界的存在使得这种影响不可能单独具有决定意义。当然各社会子系统之间也并非决然隔离,系统认知的开放性保留了特定信息跨越系统间差异实现系统间共振的可能性。但出于维持功能分化的需要,系统总是倾向于在环境传达的多种激扰中选择那些有助于稳定和优化自身状态的信息,将其转译为有意义的内部信息,进而对系统内部的运作进行相应调整。如此独特而透彻的理论预设使得社会系统论将社会治理的主导模式由直接干预转向反身治理。
反身性治理结构的系统理性体现为其支撑社会系统的自主运行,促成它们的内部协商和外部协调,对它们固有的代码和纲要保持基本的尊重;其内在理性则体现为程序取向,不追求无矛盾、无漏洞的完美规则体系,也不致力于对社会行动强加目标设定和价值引导,而是运用组织规范、程序规范和职权规范,保障各社会领域持续展开自我反思。而反身性元规制使得监管机构处在社会系统论的反身性治理结构中。
反身治理结构解释了为何个人信息保护会陷入卢曼所说的“原则完全正确,但企业根本听不进去”的窘境。在个人信息保护的反身性元规制中,监管机构、平台企业都处于反身性的治理结构中,政治子系统中的监管机构与经济子系统中的滴滴等平台企业互为“环境”。监管机构对平台企业开展的个人信息保护约谈、通报等规制措施仅仅是在经济子系统的外部环境中产生了一定的激扰,而该激扰所包含的信息并不能直接导入经济子系统中的平台企业之内部,而还需要经济子系统自身进行转译。这就不免导致个人信息保护领域出现众多屡教不改的情形。
总而言之,监管机构在个人信息保护元规制的反身治理结构中仅仅扮演着经济子系统外部环境的有限角色。在反身治理结构中,监管机构应该通过对自身系统进行递归调适的方式来影响经济子系统中私主体的运作,进而发挥自身的效用。

(二)
分散化规制空间中的规制目标权威

个人信息保护法中的分散性元规制规范将监管机构置于一个规制资源散布于不同组织之间的分散化规制空间中。这意味着规制者不存在对正式或者非正式权力的垄断。若某一主题占有一种或几种其他关键资源,如拥有信息、财富或组织能力,则常常意味着其享有非正式权威。这种权威散布于规制空间内各政府主体之间以及政府与非政府主体之间。政府主体以及被规制企业可以利用其对关键规制信息的占有,来决定在怎样的条件下才算满足遵守规制规则的基准。当社会主体拥有诸如营销、游说和专业咨询之类的组织资源时,也可以使得资源占有者在规则制定、规制执行或适用制裁过程中居于主导地位。此时,行政法的重心不再仅仅是国家以强力管制的方式来达成行政目的,而是应致力于促成国家与民间的合作与分工,以期在国家与社会主体之间构筑一种新型的伙伴关系。
分散化的规制权威使得元规制的外部压力不仅可以来自传统的政府威胁或者刺激。同时也可能源自竞争者、客户、社群、投资者或者雇工等非政府主体的行动。例如在GDPR元规制模式的要求下,个人信息处理者可以通过参与集体性第三方认证来证明其个体性自我规制符合GDPR的要求。联邦贸易委员会最初的法院命令要求Facebook雇佣第三方审计员来证明Facebook的合规性。在这种安排下,审计员可以通过拒绝在Facebook提交联邦贸易委员会的两年期报告上签字来实施主要制裁。美国的“责任关怀”项目则是一种通过公众认可而运作的私人性质的元规制。许多领域的学者已经表明,普通人的“专长”不是来自培训或参与专家群体,而是来自他们的日常生活。中央决策者出错的原因往往在于他们不熟悉执行政策的地方特点。散落在规制空间的普通公众则可以利用当地的知识,从而提高绩效,并产生更大的净社会效益。
正是由于分散化的社会主体逐渐掌握了一定的规制资源,元规制才得以在规制者缺少必要的资源或信息、无法设计合理的规则来限制规制对象的裁量权时,通过利用认证权威、公众信誉等社会主体的规制资源来引导、监督被规制企业的自我规制进程。申言之,社会演进过程中规制资源分散化的趋势为社会主体对企业的自我规制开展后设规制奠定了基础,进而也成为推动元规制理论的重要力量。
但在认可政府规制之外的规制者与规制空间中能够发挥积极作用的同时,也应当注意到其短板。诚然,自我规制者在专业信息与技术方面的优势明显,但是社会主体的规制动机复杂、规制机制不足,可能无法实现良好的规制效果,提供的规制信息质量也可能没有保障。私人所采取的措施及理性计算标准享有自主的弹性,并不一定与行政所认定的公益相契合。社会主体与国家机关之间的利益矛盾并没有消弭,公益与私益处于持续并行状态,这根源于国家机关与社会主体不同的行动理性。在这一背景之下,即便规制空间范式较少强调政府与规制机构、规制机构与企业之间关系的科层特征,并认为这些主体动态共享着规制空间的中心位置。但实际上,如果在规制空间内只有非科层式的关系,那么很可能根本不会存在狭义的规制。这驱使着我们进一步去思考监管机构在分散化规制空间中相较于社会主体所应有的地位与作用。
规制包含了不同权力主体之间复杂的博弈,规制空间中不同组织所处的文化环境、组织运作流程、组织可支配资源、互动的习惯等,都影响着规制空间中不同主体的相互作用。相较于社会主体,监管机构并不具备财富与信息上的优势,但其特有的功能任务,使得监管机构在分散化的规制空间中享有基本且独特的规制目标权威。规制目标通常由立法机关或者监管机构本身予以设定,并由监管机构贯彻落实。监管机构作为规制目标的设定与落实主体,在规制空间中占据了公共政策目标的执行与导向资源。当社会主体的不同利益发生冲突时,需要监管机构根据公共政策目标予以定夺。例如在个人信息保护中,信息的利用与保护、私人权利与企业效益之间的平衡在很大程度上都需要监管机构根据规制目标进行权衡。
监管机构的这一角色定位使得其能够在一定程度上对规制空间内碎片化的规制资源与权力产生统合作用。在包含公众在内的分散化规制空间中,监管机构虽然难言成为公共利益权威,但公共利益也需要凝结、提炼为公共政策目标方能落实。因此其也在事实上影响了公共利益的内涵。这驱使着监管机构在进行制度设计、承担保障责任时应当强调各类规制主体在规制目标的指引下充分发挥规制潜力。

(三)
单向化转移路径中的行政任务保障者

而在分析监管机构于元规制中的功能定位时,也不容忽视公私合作这一元规制的上位概念所具有的特征。在传统行政法学中,维持秩序与提供服务为行政任务的两个主轴。伴随着自反性现代化下风险社会的兴起,国家职能急速扩张并且人们对于国家依赖关系渐趋强化。现代国家也被塑造为“被要求的国家”。基于民主问责性的需求,在传统行政活动中政府应当事必躬亲地承担大量繁重的公共任务。但随着行政任务和社会事务不断增多和复杂化,行政机构不断膨胀,日益增长的财政支出、不断增加的任务履行要求以及市民对公共任务履行质量日渐苛刻的标准使得公共税收陷入沉重的负担。当国家的专业或财政能力再也无法满足瞬间强烈的课予国家过多之要求与任务时,其即开始思索并开辟新形态的任务履行途径。
在此背景下,20世纪80年代英美纷纷借用“新公共管理理论”和“公共选择理论”作为工具和理论基础,进行大规模的行政体制改革。德国的政治界也开始提倡“瘦身国家”之理念。行政的私化和规制缓和作为重要的改革措施已经展开,出现了由私人承担行政任务的倾向。政府把很多行政任务不断交由私人部门承担,和私人部门合作共同完成行政任务,公私合作继而兴起。公私合作是一个集合性的学理概念,泛指原由公共部门负责执行的行政任务转移给私部门的变更过程。在公私合作的理念之下,利用社会主体的自我规制已然成为政府在复杂多变社会下实现行政任务的重要方式之一。但社会自我规制可能会因为责任、透明度的缺失而影响其他利益相关人的权益,产生公共价值与私人主体利益之间的紧张,威胁行政任务转移的正当性。因此如何使政府规制与自我规制有效结合也逐渐成为现代规制理论的核心议题。为回应这一议题,有学者认为政府的角色应从高位监管转向鼓励受规制的企业在监管机构的监督下规制自己的行为,制定内部规则。“元规制”(metaregulation)的理念便在20世纪末与21世纪初之交孕育而生。
学界一般认为元规制是公私合作的典型形态之一,是学者们在思考如何实现行政任务转移需求时的产物。并且元规制是一种由行政任务转移需求激励而来,同时又为了保障这一转移过程的正当性而改进所得的公私合作形态。这种行政任务的转移,背后的内在逻辑是规制对象更为了解和掌握自身的客观情况,更有助于选择能够完成行政任务的标准体系和制度规范。因此在元规制模式中,监管机构必然处在行政任务的单向化转移结构中。
在行政任务的传统组织模式中,行政机关承担了行政任务的完全责任——履行责任和保障责任。履行责任要求行政机关亲力亲为地履行公共行政职能。保障责任意味着国家虽然不再自行承担某一公共行政任务,但仍然应当通过制定法规范、提供经济上诱因等方式,推动民间主体承担原本由国家履行的行政任务,并确保这一任务的履行符合公共利益的要求。而在行政任务的转移过程中,行政任务的履行责任大部分由行政机关转移至私人主体。但私人也仅仅是协助分担行政任务的履行责任,监管机构在承担保障责任的同时,依然是整个行政任务的责任者。也即在单向化的行政任务转移过程中,监管机构仍然负担行政任务的“执行责任”和“保障责任”。只不过一部分执行功能通过“委外”、公私协力等方式借助于私人的力量来完成而已。从行政程序的角度来看,私人主体在此过程中实质上是承担了行政程序中的部分环节。施密特·阿斯曼指出当行政在法律赋予的空间里为促进公共福祉而致力于将公共任务交由私人来承担时,即产生担保责任。它是由国家与社会共同将公共福祉加以实现的过程。“元规制”、“合作行政”则是与之高度相关的概念。
元规制是公私合作的典型形态,行政任务的转移过程在元规制中也得到了保留。因此总体而言,在元规制的行政任务转移过程中,私人主体分担了对企业内外行为进行规制的“履行责任”,但这并不意味着国家责任本身的放弃,监管机构对于行政任务适当完成所负有的“保障责任”仍保持不变。国家责任的重心将由直接承担“执行责任”转移到原则上仅仅担负“保障责任”上来。随着行政任务的不断转移,监管机构在元规制的单向化行政任务转移结构中的主要角色定位也从行政任务履行者转变为行政任务保障者。
这一角色的变更在个人信息保护法中也有显著体现。以平台企业为代表的个人信息处理者是个人信息保护的第一责任主体。个人信息保护法第51条规定个人信息处理者应当制定内部管理制度和操作规程、合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训。第52条规定,处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。包括诸如个人信息保护影响评估以及合规制度体系等规范机制都体现了私人主体对个人信息保护履行责任的承担,而监管机构则主要通过行政处罚威慑、支持评估认证服务以引导监督等方式来扮演个人信息保护行政任务保障者的角色。
四、监管机构在元规制中的保障责任体系
由于元规制处于自我规制与政府规制的光谱中间,行政任务由监管机构向私人主体的单向化转移路径是其最基础的底色,但这并不意味着监管机构在治理活动中消失或完全退隐。更确切地说,是监管机构治理角色和责任定位的变化。从个人信息保护法的监管机构责任条款可以看出,除了国家机关亲自处理个人信息的情形,监管机构几乎不再承担个人信息保护这一行政任务的履行责任,而是通过保障个人信息处理者切实履行个人信息保护义务的方式来实现保护个人信息权益、促进个人信息合理利用的规制目标。个人信息保护法第60条规定,国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。相较于本法第二章第三节“国家机关处理个人信息的特别规定”中的直接履行责任,“统筹协调”与“监督管理”带有浓厚的保障责任色彩。该法第六章“履行个人信息保护职责的部门”也基本是围绕着“统筹协调”与“监督管理”来列举监管机构的相应职责。诚然监管机构在元规制中必然仍将承担部分履行责任,但保障责任取代履行责任成为监管机构在个人信息保护元规制中的主要责任类型也已是不争的事实。为确保论证分析足够聚焦,本文仅讨论监管机构在个人信息保护元规制中的保障责任体系,以凝聚并系统化当前稍显松散的监管机构个人信息保护责任,为其切实履职提供指引。
然而关于国家保障责任具有哪些责任类型及其具体内涵,学界此前尚未达成一致意见。本文则主张,由于监管机构在元规制中同时处于单向化行政任务转移路径、反身性治理结构以及分散化规制空间之中,故而应当先借鉴传统行政任务转移后的保障责任类型以搭建起责任框架,再结合其在规制空间中的规制目标权威定位、作为经济子系统外部环境的有限影响以及其他社会主体对其产生的影响来填充与重构保障责任的内涵,进而建构起监管机构在元规制中的保障责任体系。

(一)
责任框架

目前的多数观点首先将国家责任划分为履行责任、保障责任及承接责任等三大责任样态。履行责任与承接责任分列国家责任光谱的两端,而保障责任则在二者之间。履行责任与保障责任前文都有所提及,“承接责任”则是指在由私人部门完成履行公共任务的过程中,公共部门原则上并不参与或干涉,但每当出现私人部门履行公共任务存在瑕疵或不能履行时,国家都应接手,以保证该任务被无瑕疵地履行完毕。霍夫曼则将该责任称为“替代责任”。而其中国家保障责任最核心的类型包括监督责任和管制责任两种。关于这两种保障责任的具体内涵,目前尚无统一、明确的界定。由于二者的基本内涵都在于对私人主体承担行政任务的行为予以监督、管理、调控,故而本文将二者统称为管控责任。德国学者舒伯特则认为保障责任的类型还包括准备责任,其是指国家针对规制任务预先备置能够适当解决社会问题的框架条件之责任。总体而言,保障责任的行为方式大致包括设定法律框架、规制性监督、计划性形塑或自行给付等。具体框架则包括准备责任与管控责任两种类型。
但由于此前学界大多将国家保障责任置于民营化的场域之中予以探讨,而被纳入民营化过程中的公共任务大多属于为社会提供公共服务的给付行政任务,因此多数学者将确保给付不中断的承接责任视为保障责任的下属概念。在民营化进程中各方主体大多通过合同而非法律规范设计的方式明确各方的权利义务,因此学者们普遍将准备责任排除在保障责任的范围之外,进而将保障责任的内在范围划定为管控责任与承接责任。而元规制实际上是国家经由法律规定将规制企业日常运营过程这一秩序行政任务交由特定的社会主体履行,故而其保障责任框架将会与民营化保障责任框架有所不同。
首先,元规制采用的是法律规定而非民营化合同来明确,同时必然给社会主体带来特定成本而并不必然如民营化合同一般为社会主体带来明确的经济效益。因此与民营化不同,设置规制框架的准备责任在元规制中尤为重要。因为准备责任相当于保障国家的法律预备设置之功能,包含解决社会纠纷的适当法律规定、行为准则、可供选择与使用的冲突解决机制与原则。只有预先通过法律规范确定元规制中各主体的角色与责任,方能使企业自我规制与后设规制的嵌套结构有效持续运作。其次,由于私主体在元规制中所承担的行政任务即为对自身进行监管,因此监管机构在元规制承担承接责任的表现即为在私主体自我规制不力时对其予以后设规制,而这一行为与管控责任的内涵已有重合,其实际上同时实现了管控与承接的目的。最后,由于元规制的反身特性,监管机构在元规制中承担保障责任的程序必然不同于其此前在“命令—控制”型规制中的线性程序。反身性治理结构使得监管机构承担保障责任的程序毋宁是一种递归反复学习的过程。因此本文认为,监管机构在元规制中的保障责任框架应当包含准备责任、管控责任以及程序责任三种类型。

(二)
责任内涵

在元规制模式中,监管机构不再仅仅扮演像私人主体单向转移行政任务的角色,其作为分散化规制空间中的一个节点,同样也会受到包括被规制者在内的所有掌握规制资源的社会主体之影响。与此同时,监管机构在于规制空间中其他主体进行互动时不免会带上规制目标权威的烙印。因此监管机构应当承担的保障责任之内涵也将与此前其在纯单向性的民营化结构中所承担的保障责任有所区别。在任何一个规制体系中,标准制定、信息反馈、行为调控都是必不可少的三个要素,而这些要素大体也和保障责任的内涵相吻合。基于监管机构在元规制中的双重定位,本文尝试将规制理论的分析框架融入保障责任的内涵界定中,以更为综合地厘清监管机构在个人信息保护元规制中的保障责任内涵。
1.准备责任:建立监管对话




依照霍夫曼之见解,监管机构承担准备责任的过程并非通过警戒或给付直接介入社会活动中,而是着重于预先设定使私人主体能够实现公共政策目标的框架秩序与法规标准。在规制的语境中,监管机构承担准备责任的内涵即为制定规制标准。在任何一个规制体系中,规制标准的制定都是规制的中心议题之一。其是对被规制者的行为是否符合规制目标予以评估的重要指标。规制标准可以表现为多种形式,包括规则、原则或指南,并且在不同法域形态各异。通过传统的议会立法程序来制定规范设定规制标准,并将监督与执行权力授予其他主体是最为通用的做法。但是在高度分化与复杂的社会中,规制资源日趋分散,具备规制标准制定所需之信息及能力的主体也日趋多元化。基于规制空间理论的观察结果,不难得出规制标准的制定应当包含着极其广泛的协商过程之过程。私人主体与公共主体在规制空间中共同构成“混合规制体系”,并在一定程度上存在着互相观察与合作。
作为契合规制空间理论的规制模式,元规制的核心特征同样在于标准制定的公私协作性。尽管在实践中,监管者和被监管者通常经由反身机制各自形成各自的子单位,建构各自独立的现实,因此难以达成价值共识和理性行为。有学者指出,谈判桌上的声音越多,谈判一项法律措施就越困难和复杂,并可能导致一项更具争议性的政策。但这并不能否认监管机构在元规制中应当为建构多元主体之间的监管对话而努力。被规制者、能够发挥后设规制作用的社会主体都将对规制标准的制定产生影响作用。因此在元规制中,承担准备责任不再是监管机构的独角戏。在这种公私协作的关系中,元规制模式认为监管机构可以学习和适应,在使利益攸关方参与监管咨询和标准制定方面发挥重要作用。监管机构被认为能够确定正确的问题和利益相关者,以便促进和嵌入正确的价值和公共利益结果。有效的规制是规制空间内各主体所拥有的资源、价值观及之间关系相互作用的产物。制度设计或规制改革自然应当关注各个主体并发挥其潜力,来支持规章制度中公共政策目标的实现。因而肩负公共政策目标导向责任的监管机构应当在承担准备责任的过程中建构能够将这些分散化的影响作用予以统合的机制。
在大数据时代,个人信息保护问题不仅带有极强的技术性色彩,而且关涉公民基本权利的防御、给付和保护。因此个人信息保护标准及规则必然需要吸纳多元社会主体参与。个人信息保护法第62条规定,国家网信部门统筹协调有关部门依据本法推进下列个人信息保护工作:(一)制定个人信息保护具体规则、标准;(二)针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用,制定专门的个人信息保护规则、标准。这实质上便是表明了监管机构所应当承担的建立监管对话之保障责任。但法条中“有关部门”的表述模糊了其责任内涵。在规则与责任模糊化的元规制中,监管机构的工作重点应当是与受监管的公司和其他作为利益攸关方的非政府主体进行“广泛的监管对话”,以促进不同社会主体之间的沟通与理解,并在元规制参与者之间澄清监管的公共政策目标、以及在实现公共政策目标过程中各自的角色和责任。因此,对于建立监管对话的准备责任,应当强调个人信息保护监管机构通过制度化的方式建立组织性参与通道之职责,确保科技专家、法学专家、社会公众能够参与到监管决策制定、实施的过程中。
2.管控责任




学界的主流观点认为,保障责任的主要内容即在于对私主体承担履行责任的行为施加直接影响的管控责任。如前文所言,其具体内涵在学界颇有争议,但其基本精神便在于对私人主体承担行政任务的行为予以持续的监督、管理、调控,保障其在社会能够承受的范围内合秩序地、合品质地、高水准地执行行政任务。因此,本文结合规制体系中的信息反馈与纠正措施要素,将管控责任凝练成为独立评估责任与行为调控责任。
(1)独立评估
监管机构应当具备获知规制标准在何种程度上得到遵守的信息反馈机制也是规制体系中不可缺少的因素。这是发现违规行为或者确认合规的一项基本要求。最直接的信息反馈机制之一当属授权监管机构进行评估及监督,大部分公共规制体系都会存在相关条款。去中心化的规制进路还发现其他主体可能也具备监督能力。元规制模式则强调规制对象自我监控的重要性以及纳入多元监控主体的重要性。这也是充分发挥规制空间中社会主体所具有的信息与财富资源之内在要求。
但这并不意味着监管机构在元规制中可以对被规制企业的自我监控以及第三方评估结果产生依赖。次贷危机的一个重要警示便在于企业可能无法识别或认识到它们所产生和面临的风险。银行纯粹为了监管机构的利益而构建了大量虚构的模型。因此许多学者都主张监管机构在元规制中应当开展独立评估。元规制“取决于监管者独立评估和挑战监管者产生的关于其绩效的信息的有效性的能力”。元规制监管机构应当促使被规制者进行严格的自我评估和投资,为寻找监管问题的适当解决方案。然后,监管机构需要能够评估组织提供给它们的信息的有效性,组装和分析这些信息,并得出有效的结论。甚至还有学者认为监管机构在元规制中负有亲自收集监管数据的责任,并在进行评估后向政府、利益相关者和行业报告相关数据,同时利用这些信息和反馈来调整监管策略和目标。强调监管机构独立研究、收集利益相关者反馈和观察监管机构实践的元规制可能更为准确,但毋庸置疑也需要付出更为昂贵的监管成本。
在规制空间理论的分析框架下,监管机构在信息收集方面并不具备充分的规制资源。因此文章认为监管机构在元规制中所开展的独立评估并不是指从信息收集到得出结论的全流程“独立”,而应当是在利用社会主体所反馈的信息基础之上,对企业的自我规制进程是否与公共政策目标相契合作出独立判断。个人信息保护法第61条规定,监管机构组织对应用程序等个人信息保护情况进行测评。此处的“测评”便应当理解为基于平台企业所收集的信息开展的独立评估。这也构成了监管机构管控责任的重要组成部分。
当然,以社会主体所反馈的信息作为基础不免会因为信息收集方式、取样范围的选择性而使监管机构陷入“信息茧房”。为了确保能够从社会主体产生的关于被规制者表现的信息中获益,监管机构首先需要引导社会主体进行稳健的自我评估,然后能够评估结果信息的有效性。元规制成功的关键也在于监管机构质疑被监管者所产生的关于其表现的信息的有效性,并对其是否契合公共政策目标予以独立评估的能力。
(2)行为调控
规制体系所应对的第三重挑战是调整规制对象的行为,以符合规制规则的要求。传统上将该挑战视为规制执行中的问题,即规制机构应当如何执行规则,以在最大程度上实现合规。总体而言,监管机构在元规制中的行为调控措施应当包括对于消极结果的制裁性措施以及对于积极结果的激励性措施两类。例如,个人信息保护法中的行政处罚条款以及倡导性支持条款。
制裁性措施在不同的阶段发挥着不同的行为调控功效。当被规制者在正常地承担行政任务执行责任时,潜在的制裁性措施将发挥警示作用,以提醒被规制者与公共政策目标保持一致。美国学者指出,监管机构应当扮演“橱柜里的猩猩”的角色,以提供一种如果自我规制组织不去处理,那么监管机构就会介入的潜在威胁,进而去推动自愿性的自我规制努力。而当被规制者在完成行政任务的过程中偏离公共政策目标时,制裁性措施则将同时发挥纠正与承接的作用。制裁性措施的纠正作用在此不过多赘述,其能同时发挥承接作用的原因则在于元规制中所转移的行政任务具有特殊性。传统的民营化进程转移的行政任务多为向社会主体提供某项服务,而民主原则又要求监管机构依旧应当保留着对任务履行的保障责任,以便监管机构在行政任务外包的情况下承担起对议会的法律及专业上的监管责任。因此在传统的民营化进程中,当出现行政任务履行失位时,监管机构既要采取制裁性措施,又要顶替社会主体重新承担起行政任务的履行责任,提供相应的给付,如此方能满足保障责任的全部要求。正是承接责任的存在使得保障责任一方面既能利用私法的灵活形式以及私人的资金,另一方面又能够通过高权主体持续的积极参与而维持国家的影响力。而在元规制中,被转移至被规制者的行政任务是对其自身的规制行为或体系开展监督,制裁性措施同时也是开展监督的一种方式,因此监管机构在企业自我规制出现消极结果时对其实施制裁性措施的行为既是一种惩戒,也是履行原有行政任务的行为,同时承担起了管控与承接的责任。
而被规制者在元规制中是否会产出积极结果则在很大程度上取决于进行自我规制的过程中私主体利益能否与公共政策目标保持同向。在传统的行政任务转移过程中,私主体大多能够在完成相应行政任务的同时,取得及时的私人利润,例如电信与交通运输服务。如果私人主体强化以公共目标为导向的自我规制活动能够与其私人收益之间存在互补性——例如旨在预防污染的管理措施能够降低投入成本,或者提高工人生产率——那么元规制就足以改变一个企业的成本——收益分析曲线,企业就会选择投入更多资金用于自我规制,同时实现公共收益和私人回报。但在更多情况下,元规制中企业的自我规制进程并不存在上述这种互补性。在元规制的规制空间中,私主体所承担的任务是评估并监控自我规制的过程。这带有明显的正外部性,即成本由企业承担,而收益则主要由社会公众享受,企业难以从其中获取短期且直接的经济回报。私人和监管机构的不同理性之间的矛盾无法在私主体履行行政任务的过程中自动地消弭,私人部门的逐利本性与国家代表的公共利益之间的冲突日益加剧。因此只有国家作出相应的调整,才能使不同的理性成就自由社会的行为动机。而当国家提供的激励不足以促使企业去搜寻双赢的机会时,监管机构的调控措施对于元规制的促进作用将收效甚微。因而在元规制中,监管机构应当尤其关注激励调控措施的运用,在直接的高权制裁手段之外通过给符合国家定义的公共福祉目标而进行的自我规制活动提供财政调控和信息引导等方式来弥补监管机构与规制主体之间的利益隔阂,使私人主体得以超越自身利益以外实现国家所预设地对公共政策目标的追求。
3.程序责任:递归学习调适
尽管监管机构在元规制中的保障责任框架、导向、内涵都在一定程度上得到了厘清,但这并不意味着这一保障责任体系就是一成不变的。元规制并不以监管机构要求被规制者对其自我规制的改进负责而结束。即便保障责任体系能够稳定运行,监管机构也应该有意识地了解这些行业和他们正在试图管理的问题,通过规制空间内被规制者以及其他社会主体反馈的信息及元规制提供的循环架构开展递归学习,评估其保障责任的影响,并相应地不断调适保障责任的具体内涵。这也是个人信息保护法第58条的内在要求。
在以往的保障责任承担场景中,监管机构通常处于仅有行政任务转出与转入者两个主体的单向线性结构中。而元规制则将监管机构承担保障责任的情形引入了一个主体多元化、分散化的规制空间中。在这一规制空间中,元规制为监管机构与被规制者提供了一条双向的沟通管道,这一信息交流管道完成了两种体系间的信息的动态、双向交换。而规制空间中享有规制资源的其他社会主体在对被规制者开展后设规制时,也能够为监管机构提供相应的信息。这为监管机构的学习与调适奠定了基础。
在架构上,则正如Sharon Gilad所解释的那样,大多数自我规制都涉及“双循环学习”:第一层循环为企业识别风险并设计内部控制系统,第二层循环为企业不断评估这些内部系统的有效性,并根据这种评估逐步改进它们。元规制则引入了第三层循环,它要求监管机构(负责让组织对其自我监管系统负责的人)有意识地参与了解他们试图管理的问题和他们所关注的行业,并评估和改进他们的监管策略,进而形成了一个递归学习架构。
在信息与架构的加持下,元规制的本质或许正是在于由“规范制定、信息反馈和行为纠正”三元素组成的规制体系内促进组织之间的协商与学习机制。监管机构将不得不根据企业自我监管的经验和评估信息,在递归学习架构中不断地修改和改进他们的规制策略。如果被规制者的自我规制机制不再被认为是足够的,而且对公共利益产生了严重偏离,监管机构就必须进行干预并制定被规制者必须遵守的新标准。这种对渐进式学习的关注使元规制的效能得到提升。因为尽管监管者知道他们试图实现的结果,但元规制并没有规定特定的监管工具。监管机构应根据学习的结果选择一种或多种合适的方法,并致力于实现让被规制者对其内部合规系统负责的目标。反映到监管机构承担保障责任的场景中来,便在于监管机构应当对被规制者以及其他社会主体所反馈的自我规制信息开展递归学习,并根据学习的结果评估及调适现有的保障责任内涵。这一过程实质上是将重点从决策者的威望转移到决策过程的严密性上,以确保公共政策目标的实现。
结语
尽管通过元规制模式减轻监管机构责任的设想很美好,但现实或许偏偏相反。通过分析个人信息保护法中的相关规范,可以发现其中存在反身性元规制和分散性元规制两种类型。这两种类型与元规制的合作规制本质塑造了监管机构在元规制中的三重功能定位。这种交错内嵌的功能定位使得监管机构在元规制中需要承担复杂的保障责任,并且还应当通过递归学习实时调适责任具体内容。这在某种程度上深化了监管机构的相关责任。而在保障责任之外,监管机构在元规制模式中无疑还需要承担适量的履行责任。其与保障责任之间的关系则仍有有待深入研究的课题。

往期精彩回顾

徐克|人工智能时代自动化行政的实践困境与优化路径

傅京桂|工业用地的法律体系和规划法治——以广州市为例

目录|《智慧法治》集刊2024年第2卷

孙剑锋|人工智能对刑事规范的挑战与展望——以自动驾驶系统为例

张轩铭|弥合责任缺口:生成式AI技术谬用风险中提供者的刑事归责

郑东|生成式人工智能服务的软法之治

上海市法学会官网

http://www.sls.org.cn