張繼紅

一、行業(yè)自律的利弊之爭

作為一種有效的市場治理手段，行業(yè)自律在約束市場主體不良行為、維護市場正常運營秩序上有著自身獨有的調(diào)控空間，被視為一種補充政府監(jiān)管的治理路徑。行業(yè)協(xié)會作為自律組織進行自我管理擁有十分悠久的歷史，在很多領(lǐng)域的應(yīng)用都極為普遍。[注]以金融領(lǐng)域為例，最早的銀行業(yè)自律組織、始建于1875年的美國銀行家協(xié)會，1891年成立的加拿大銀行公會，1919年成立的英國銀行公會，1951年成立的德國銀行聯(lián)邦公會以及同期成立的法國銀行同業(yè)公會，1975年2月成立的巴塞爾銀行監(jiān)管委員會成為最具權(quán)威性的國際銀行業(yè)自律組織。參見劉張君：《金融管制放松條件下銀行業(yè)自律研究》，中國金融出版社2009年版，第82～83頁。從理論上分析，通過自律規(guī)范整頓并構(gòu)建合理的內(nèi)部秩序，能夠更好地實現(xiàn)市場有序化。相較于法律規(guī)定，自律規(guī)范更能建立“內(nèi)生機制”，有效降低國家管制成本，[注]參見魯籬：《行業(yè)協(xié)會經(jīng)濟自治權(quán)研究》，法律出版社2003年版，第190～193頁。對于個人信息安全的維護更具專業(yè)性、針對性和可操作性。特別是當法律制度供給匱乏時，自律規(guī)范更能夠靈活應(yīng)對大數(shù)據(jù)、云計算等新興技術(shù)帶來的沖擊和挑戰(zhàn)，及時為行業(yè)標準提供秩序控制指導(dǎo)，達到早期矯正的效果。細言之，自律規(guī)范在個人信息保護方面較之法律規(guī)范具有如下優(yōu)點：

(一)行業(yè)自律具有更強的制度彈性

行業(yè)自律的主要依據(jù)為自律規(guī)范。自律規(guī)范具有彈性特點，可以根據(jù)大數(shù)據(jù)時代的新特點及時進行安排，實時掌握企業(yè)及其他第三方信息收集、使用、分享的情況，進行動態(tài)跟蹤。不同行業(yè)對信息的收集和處理也不一樣，自律規(guī)范更具有針對性和科學(xué)性。更為重要的是，在科技創(chuàng)新日新月異的背景下，自律規(guī)范能夠及時跟進市場創(chuàng)新的進度，在制定法與科技進步之間構(gòu)建一張緩沖墊，通過信息保護的自覺性規(guī)范實現(xiàn)安全與效率的平衡。事實上，為了避免失去客戶，一些網(wǎng)絡(luò)經(jīng)營者開始積極采取措施保護使用者的信息安全。[注]See Jared Strauss & Kenneth S.Rogerson, Policies for Online Privacy in the United States and the European Union, Telematics and Informatics 19, 2002,p.173.而且，自律管理有更加靈活的結(jié)構(gòu)，更能適應(yīng)新技術(shù)帶來的變化，規(guī)則設(shè)定能夠及時根據(jù)實際需要進行調(diào)整和完善?！鞍褭?quán)力賦予自律組織進行自律性管理能夠消除認證帶來的官僚拖延，更有利于技術(shù)創(chuàng)新。”[注]See Christodoulos Stefanadis, Self-Regulation, Innovation and the Financial Industry, Journal of Regulatory Economics 23(1), 2003, pp.5～25.

(二)行業(yè)自律成本更低

行業(yè)自律需要制定自律規(guī)范，并對其進行有效執(zhí)行。相對于國家法律的制定及執(zhí)行來說，自律規(guī)范立法及執(zhí)法成本更低。傳統(tǒng)的立法過程冗長且?guī)в袉蜗蛐?，立法者并不完全知曉其所管理的行業(yè)，因此在某種程度上其所制定的管理規(guī)范并不具有實際應(yīng)用價值。而且，因為技術(shù)的快速發(fā)展和進步，政府規(guī)范不能及時進行相應(yīng)地調(diào)整和修改，遠遠滯后于現(xiàn)實發(fā)展，這將會進一步削弱信息的使用價值，增加企業(yè)的經(jīng)營成本，大大抑制數(shù)字創(chuàng)新。[注]See Dennis D.Hirsch, the Law and Policy of Online Privacy: Regulation, Self-regulation, or Co-regulation? Seattle U.L.Rev.34, 2011,p.439.相比之下，自律管理可以創(chuàng)設(shè)信息保護標準，同時避免立法的弊端，大大節(jié)約了企業(yè)合規(guī)成本。行業(yè)經(jīng)營者更熟悉其經(jīng)營規(guī)則，更有利于建構(gòu)有效的信息保護標準。相比政府，行業(yè)協(xié)會更接近市場，能夠在很大程度上克服信息傳遞失真問題，節(jié)約組織成員的信息收集成本，有效克服由于信息不對稱導(dǎo)致的逆向選擇和道德風險。[注]參見郭薇：《政府監(jiān)管與行業(yè)自律：論行業(yè)協(xié)會在市場治理中的功能與實現(xiàn)條件》，中國社會科學(xué)出版社2011年版，第161頁。

自律規(guī)范作為行業(yè)經(jīng)營者為了滿足發(fā)展需要而共同制定的行為規(guī)則，在制定初期就歷經(jīng)行業(yè)內(nèi)部多方利益代表充分交換意見，自律規(guī)范本身就是利益博弈與妥協(xié)的結(jié)果。對于行業(yè)經(jīng)營者而言，基于共同利益，更容易接受自己行業(yè)所建立的規(guī)則。[注]See Sunni Yuen, Exporting Trust with Data: Audited Self-regulation as a Solution to Cross-border Data Transfer Protection Concerns in the Offshore Outsouring Industry, Colum.Sci.& Tech.L.Rev.9, 2007,p.41.這種較高的參與度，必然提升行業(yè)經(jīng)營者對于自律規(guī)范的認可度和接受度，因此在具體執(zhí)行過程中，更容易發(fā)揮其作用。從公共政策角度看，行業(yè)自律比政府監(jiān)管更加迅速、有效，能夠利用積累的判斷力和經(jīng)驗解決政府較難處理的問題。[注]See Robert Pitofsky, Self-Regulation and Antirust, Prepared Remarks in the D.C.Bar Association Symposium, 1998.

(三)行業(yè)自律更能培育成員的誠信意識

來自于外部的政府監(jiān)督，依靠剛性地、具有強懲戒性的法律手段來確保其監(jiān)管規(guī)則得以執(zhí)行和遵守，但這種方式明顯呈現(xiàn)事后性、高成本、過于剛性等問題。反之，行業(yè)協(xié)會在培育成員企業(yè)的誠信意識方面具有天然優(yōu)勢。會員之間需要長期合作，而協(xié)會作為一種法律之外的溝通協(xié)調(diào)機制，采用集體懲戒的方式如設(shè)立行業(yè)內(nèi)誠信系統(tǒng)，并允許其他成員企業(yè)和消費者進行查詢，可以有效降低短期利益行為，增進會員企業(yè)之間的信任，形成具有正外部性的社會資本，進而促進信譽機制的形成。[注]參見前注〔6〕,郭薇書，第161頁。正如學(xué)者指出的那樣，“自律對商業(yè)活動的影響是極為深遠的，而政府的控制只是一時的”。[注]See Margot Priest, The Privatizaton of Regulation: Five Model of Self-Regulation, Ottawa Law Review 29, 1997,p.233.

此外，行業(yè)自律對于本領(lǐng)域的市場增長、降低替代威脅和生產(chǎn)成本，促進行業(yè)內(nèi)合作實現(xiàn)、增進消費者福祉等方面都有著積極意義。然而，從理論層面上分析，行業(yè)自律能否起到應(yīng)有的管理效果，尚存在爭議。反對者呼吁政府管理(government regulation)而非行業(yè)自律(self-regulation)，認為其主要缺點可以歸結(jié)為規(guī)制不足、摻雜私利、缺乏透明度等。

第一，從規(guī)則制定程序上看，行業(yè)自律規(guī)則不如法律那樣嚴謹、規(guī)范，缺乏應(yīng)有的透明度，消費者參與不夠充分，因而無法提升消費者對行業(yè)自律規(guī)范的認同，公共利益也難以得到有效保護。[注]See EURIM, The Role of Self-Regulation in Electronic Commerce, 1999.對于那些不參與行業(yè)自律的企業(yè)而言，甚至還存在搭便車的現(xiàn)象。加之，信息行業(yè)經(jīng)營者總是將個體利益凌駕于公共利益，自律管理規(guī)則不可避免地陷入寬松的怪圈。相比之下，政府管理對于信息主體權(quán)益的保護更加必要和有效。[注]See Jody Freeman, Collaborative Governance in the Administrative State, UCLA L.Rev.45, 1997,p.34.

第二，行業(yè)自律缺乏監(jiān)督和執(zhí)行，更缺少有效的救濟手段。自律規(guī)則的執(zhí)行者并無類似于政府那樣的處罰或者懲戒的權(quán)力，能否在本領(lǐng)域中實施自我管理的行業(yè)標準本身存在疑問。美國民主與科技中心顧問就曾指出，“行業(yè)自律明顯缺乏監(jiān)督和執(zhí)行”，“行業(yè)制定的政策幾乎沒有給消費者提供有意義的救濟和申訴機會”。[注]Deidre K.Mulligan, Janlori Goldman, The Limits and the Necessity of Self-Regulation: the Case for Both, at https://www.ntia.doc.gov/page/chapter-1-theory-markets-and-privacy, last visited on March 23, 2017.換言之，行業(yè)自律非但不能保護個人的信息，只會助長企業(yè)更肆無忌憚的收集、使用和轉(zhuǎn)移數(shù)據(jù)。目前大多數(shù)網(wǎng)站經(jīng)營者對于用戶信息的保護，主要來自于隱私政策，即在網(wǎng)站上張貼隱私保護政策書面文本，賦予個人相應(yīng)的選擇權(quán)。然而，企業(yè)的隱私保護政策通常冗長繁雜，專業(yè)術(shù)語多不易理解，用戶也沒有太多耐心仔細閱讀和研究。加之，個人同企業(yè)的交易過程中，往往處于弱勢地位，為了獲得相應(yīng)的產(chǎn)品或服務(wù)，他們不得不將自己的信息授權(quán)給企業(yè)使用。這里的所謂“選擇權(quán)”變成了不能選擇的“權(quán)利”。離開了外部監(jiān)管的行業(yè)自律，就相當于失去了保護的屏障，無法阻止企業(yè)利益最大化的行為。

行業(yè)自律管理的利弊之爭仍在繼續(xù)，孰是孰非，還需要深入個人信息保護實踐進行具體分析。

二、行業(yè)自律的實踐考察：以美國網(wǎng)絡(luò)隱私保護為例

與歐盟采用綜合性立法保護個人數(shù)據(jù)不同，美國采用行業(yè)自律模式保護私領(lǐng)域的個人隱私。在美國，除了個別領(lǐng)域的聯(lián)邦特定立法、州立法和普通法以外，民間機構(gòu)的行業(yè)規(guī)則、公司內(nèi)部規(guī)章等構(gòu)成個人信息保護的規(guī)范之一。[注]參見齊愛民：《大數(shù)據(jù)時代個人信息保護法國際比較研究》，法律出版社2015年版，第89頁。早在20世紀90年代，美國政府就鼓勵并積極建議通過非政府管制的手段來保護網(wǎng)絡(luò)隱私權(quán)。1997年，克林頓政府公布了《全球電子商務(wù)框架》，指出“為了繁榮電子商務(wù)，私人主體應(yīng)成為主導(dǎo)。聯(lián)邦政府應(yīng)當鼓勵行業(yè)自律。網(wǎng)絡(luò)應(yīng)當成為競爭的自由貿(mào)易區(qū)，對于消費者的保護，不是由政府進行監(jiān)管，而是由那些每天使用網(wǎng)絡(luò)的人”。[注]William J.Cliton & Abert Gore, Jr., A Framework for Global Electronic Commerce, the White House, 1997; Memorandum on Electronic Commerce, 2 Pub.July 1, 1997.美國聯(lián)邦貿(mào)易委員會指出，隨著網(wǎng)絡(luò)和計算機技術(shù)的快速發(fā)展，“自律規(guī)范是一種侵入性最少、效率最高的方式，以保護公平的信息慣例”。[注]Federal Trade Commission, Self-regulation and Privacy Online: a Report to Congress, 1999.也就是說，應(yīng)積極發(fā)揮市場的主導(dǎo)、能動作用，政府則盡可能減少干預(yù)以及實施不必要的管制措施。網(wǎng)絡(luò)隱私工作組(The Internet Privacy Working Group, IPWG)也認為，政策和技術(shù)是網(wǎng)絡(luò)個人隱私保護的兩大支柱。而網(wǎng)絡(luò)行業(yè)企業(yè)自律能夠有效建立隱私保護政策，并向網(wǎng)絡(luò)用戶提供隱私加強型技術(shù)，如網(wǎng)絡(luò)內(nèi)容選擇平臺(the Platform for Internet Content Selection, PICS)的引入可以大大增強用戶的隱私保護，使其自身能夠有效控制個人信息的流動。[注]See Deidre K.Mulligan, Janlori Goldman, The Limits and the Necessity of Self-Regulation: the Case for Both, at https://www.ntia.doc.gov/page/chapter-1-theory-markets-and-privacy, last visited on March 23, 2017.

(一)行業(yè)自律規(guī)范

1998年，美國聯(lián)邦貿(mào)易委員會要求互聯(lián)網(wǎng)公司建立自律規(guī)則以保護線上隱私問題。為了回應(yīng)政府對行業(yè)自律的號召，許多行業(yè)的經(jīng)營者都發(fā)布了指南和行業(yè)規(guī)范。[注]如銀行領(lǐng)域《銀行家圓桌會議隱私原則實施計劃》，建立了銀行業(yè)有關(guān)個人可識別信息的隱私保護基本原則；個人咨詢服務(wù)行業(yè)制定的《個人咨詢服務(wù)業(yè)原則》；直營協(xié)會制定的《線上營銷：隱私保護和指南》，確立了直接營銷商在收集、披露和使用個人可識別信息時所應(yīng)遵循的基本原則。See FEDERAL TRADE COMM’N, Privacy Online: A Report to Congress 3, 1998, at http://www.ftc.gov/reports/privacy3/toc.htm, last visited on July 8, 2018.在此背景下，“在線隱私聯(lián)盟”(the Online Privacy Alliance，OPA)成立，囊括了當時主要的互聯(lián)網(wǎng)公司，如AOL、IBM、Hewlett-Packard等，并制定了《在線隱私權(quán)政策指南》(Guideline for Online Privacy Policies)。該指南要求所有的OPA成員制定“隱私政策”，提供網(wǎng)絡(luò)用戶關(guān)于其個人信息的收集及使用的基本通知，允許使用者選擇退出(Opt-out)及更正錯誤信息，成員需采取必要措施以確保信息安全和具有可信賴性。[注]See Guidelines for Online Privacy Policies, Online Privacy Alliance, at http://www.privacyalliance.org/resources/ppguidelines.shtml, last visited on Nov.11, 2016.

但是，除了上述措施外，該指南并未禁止成員收集敏感信息，招致隱私專家Bob Gellman的批評。他認為指南所起的作用僅僅是“只要消費者不反對，互聯(lián)網(wǎng)企業(yè)就可以做任何事”。[注]Ashley Craddock, Pretty Poor Privacy, Wired, June 6, 1998, at http:// www.wired.com/politics/law/news/1998/06/13256, last visited on Nov.15, 2016.對于不遵守指南的OPA成員，也沒有什么強制性措施。事實上，僅僅有100家左右的公司加入了OPA，而一些重要的互聯(lián)網(wǎng)企業(yè)如Amazon.com、Lycos則自始不參與。因為互聯(lián)網(wǎng)公司的參與度比較低，很難說OPA的成立有效改善了互聯(lián)網(wǎng)的隱私保護環(huán)境。發(fā)展到最后，OPA也不復(fù)存在，其自身也承認自律管理的方法存在很大缺陷，開始支持線上隱私立法。[注]參見前注〔5〕,Dennis D.Hirsch文，第439頁。此時，美國聯(lián)邦貿(mào)易委員會對于隱私保護行業(yè)自治的態(tài)度發(fā)生了大逆轉(zhuǎn)，開始積極呼吁國會通過立法建立商業(yè)網(wǎng)站個人隱私保護的最低標準，規(guī)范企業(yè)的信息處理活動，并由專門機構(gòu)監(jiān)督法律施行，切實保障消費者的線上隱私問題。[注]See Federal Trade Commission, Privacy Online: Fair Information Practices in the Electronic Marketplace: a Report to Congress, 2000.

行業(yè)自律模式的另一個典型案例，就是隨后建立的美國網(wǎng)絡(luò)廣告促進會(the Network Advertising Initiative, NAI)。與OPA參與成員涉及互聯(lián)網(wǎng)各個領(lǐng)域不同，NAI則專注于網(wǎng)絡(luò)廣告行業(yè)，并于2000年制定了《網(wǎng)絡(luò)廣告者的線上市場營銷自律原則》(Self-Regulatory Principles for Online Preference Marketing by Network Advertisers，以下簡稱《自律原則》)。該《原則》對于非個人身份識別信息(Non-PII)如點擊量數(shù)據(jù)以及個人身份識別信息(PII)如線下購物數(shù)據(jù)，都進行了規(guī)定?！蹲月稍瓌t》要求互聯(lián)網(wǎng)廣告公司在合并公開前的點擊量數(shù)據(jù)與個人識別信息前，應(yīng)取得用戶明確的同意(opt-in)。而對于合并公開后的點擊量數(shù)據(jù)與個人識別信息，則僅需要通知后選出(opt-out)即可。而且，該《原則》并未限制用戶信息的二次利用，這也在實質(zhì)上削弱了個人用戶的隱私保護。雖然在表面上看，《自律原則》也滿足了“公平信息實踐慣例”的要求，即NAI成員需要向用戶提供信息如何收集、使用及分享給第三方的通知。但是美國聯(lián)邦貿(mào)易委員會的調(diào)查顯示，網(wǎng)絡(luò)用戶通常無法閱讀整篇隱私政策，即便閱讀了，也不能完全理解其中的涵義。[注]報告指出，雖然很多網(wǎng)站的隱私政策通常會聲明，其不會披露使用者的個人信息。但是，在隱私政策中存在諸多例外情形，導(dǎo)致個人信息實際上被經(jīng)營合伙人、出資者等第三方分享和使用。參見上注。也就是說，該《原則》并不能真正實現(xiàn)保護用戶隱私的效果。

加之，《自律原則》的最大問題是如何保障成員遵守并實施。雖然該《原則》指出，將通過第三方機構(gòu)的任意審計以及根據(jù)消費者投訴進行調(diào)查的方式監(jiān)督該《原則》的施行情況。如果發(fā)現(xiàn)有成員不遵守該《原則》，將會撤銷成員資格，并向社會公示。但事實上，NAI并未貫徹這一措施。截至2003年，該組織的成員從先前的12個減少到2個。TRUSTe作為第三方機構(gòu)履行執(zhí)行職責，一開始在其網(wǎng)站上還報告用戶的投訴數(shù)量、問題以及處理結(jié)果等。但在2003—2005年期間，僅僅報告用戶已經(jīng)得到解決的投訴數(shù)量，而不再報告投訴數(shù)量及投訴本身。在此期間，TRUSTe成為NAI的準會員，這也與一開始《原則》要求的獨立的第三方機構(gòu)的身份不符。[注]See Federal Trade Commission, FTC Report: Self-regulatory Principles for Online Behavioral Advertising, 2009.換言之，TRUSTe無法履行獨立和透明的監(jiān)督職責。意識到上述問題的存在，NAI公布了2008年版《原則》，雖然作了部分改進，將執(zhí)行職責交還給NAI本身，由他自己監(jiān)督成員是否遵守《自律原則》，但執(zhí)行問題仍然存在。[注]2008年版《自律原則》對于“敏感信息”提供了更為寬泛的界定，并不利于保護個人信息。See CTR, For Democracy and Tech., Response to the 2008 NAI Principles: the Network Advertising Initiative’s Self-regulatory Code of Conduct for Online Behavioral Advertising, 2008.

(二)網(wǎng)絡(luò)隱私認證

除了行業(yè)自律規(guī)則外，網(wǎng)絡(luò)隱私認證也是實現(xiàn)個人隱私保護的自律形式，其中以美國TRUSTe以及BBBonline最為典型。

成立于1997年6月的TRUSTe，是美國第一家民間網(wǎng)絡(luò)隱私認證機構(gòu)。其主要職責在于監(jiān)督會員采取的隱私保護措施，對取得會員資格的網(wǎng)站進行隱私政策評估和審查。任何行業(yè)的公司都可選擇自愿加入TRUSTe，并遵守客戶隱私保護基本原則。TRUSTe確保取得會員資格的企業(yè)在其網(wǎng)站上公布符合公平信息實踐的有效隱私政策。取得TRUSTe的標識成為會員，必須要在其網(wǎng)站上說明該公司是TRUSTe項目的被許可人，并發(fā)布隱私聲明。在隱私聲明中，會員必須公布其個人信息收集情況，包括：收集了哪些信息；誰在收集信息；信息是如何使用的；信息與誰分享；向網(wǎng)站訪問者提供有關(guān)其個人信息收集和使用的選擇權(quán)；保護個人信息的安全措施及程序；網(wǎng)站訪問者是否可以獲取及更正其個人信息。同時，當用戶信息的使用與收集目的不相關(guān)時，被許可企業(yè)必須向網(wǎng)站訪問者提供禁止向第三方轉(zhuǎn)移個人信息的權(quán)利。TRUSTe則采用每季度隨機抽查的方式檢驗其會員是否遵循已公布的隱私政策。如果有線上投訴，TRUSTe也會啟動審查程序。一旦發(fā)現(xiàn)會員違反其承諾的隱私政策，將會視情節(jié)輕重，或撤銷該項目的隱私認證，或提起違約合同之訴，或移送至相關(guān)的聯(lián)邦執(zhí)法機構(gòu)。

與TRUSTe相近似，美國商業(yè)促進局(the Better Business Bureau, BBB)于1999年3月發(fā)起成立“BBB線上隱私計劃”(BBB Online Privacy Program)。取得BBB線上隱私標識的企業(yè)，必須尊重隱私并實施張貼在其網(wǎng)站上的隱私政策。BBB線上隱私計劃要求企業(yè)必須告知消費者信息的收集和披露情況，包括信息收集者的身份，收集信息的類型，如何使用信息以及網(wǎng)站采取的保護個人信息安全、準確的相關(guān)措施和程序等內(nèi)容。同時，該計劃的參加企業(yè)必須確保其所收集的個人信息的準確性，以及個人的信息更正權(quán)。對于基于營銷目的向第三方傳輸個人信息，參與企業(yè)必須向用戶提供選擇權(quán)。BBB線上隱私計劃還專門設(shè)立了消費者信息糾紛解決機制。與TRUSTe類似，如果參與企業(yè)違反其隱私聲明，則面臨認證被撤銷或被移送至相關(guān)執(zhí)法機構(gòu)的懲罰措施。

網(wǎng)絡(luò)隱私認證也存在同樣的困境。一是加入企業(yè)并不多，甚至有些企業(yè)不在網(wǎng)站上公布其隱私政策。[注]See Jonathan P.Cody, Protecting Privacy Over the Internet: Has the Time Come to Abandon Self-Regulation? Cath.U.L.Rev.48, 1999,p.1183.二是網(wǎng)絡(luò)隱私認證的客觀性受到嚴重質(zhì)疑，特別是與出資企業(yè)存在一定的經(jīng)濟利益也使得網(wǎng)絡(luò)隱私認證面臨諸多指責。TRUSTe和BBB線上隱私計劃都屬于民間非營利機構(gòu)，有其出資方，而這些資助機構(gòu)也是上述計劃的參與企業(yè)。例如，微軟就是TRUSTe項目的出資人，曾捐贈了10萬美元。有人投訴微軟在其Windows98系統(tǒng)中加載了認證碼，能夠在用戶不知情的情形下收集個人信息，但TRUSTe則認為微軟并未違反其隱私認證承諾。[注]See Jeri Clausing, On-Line Privacy Group Decides Not to Pursue Microsoft Case, N.Y.TIMES, Mar.23, 1999, at C5.

應(yīng)該說，面對收集、使用和銷售個人信息所帶來的巨大利潤，完全依賴行業(yè)自律實施個人信息保護存在較大的風險。正因為存在著嚴重的信息不對稱，經(jīng)營者自行制定的行業(yè)規(guī)范很大程度上反映了其本身的利益，容易侵害消費者的信息權(quán)利。而且，許多行業(yè)指南依賴企業(yè)自行實施，缺乏統(tǒng)一的強制性執(zhí)行標準。[注]參見前注〔26〕,Jonathan P.Cody文，第1183頁。美國隱私保護自律管理的實踐活動亦顯示，自律組織的參與度低、會員少，執(zhí)行力差，[注]See Mark E.Budnitz, Privacy Protection for Consumer Transactions in Electronic Commerce: Why Self-Regulation Is Inadequate, S.C.L.Rev.49, 1998，p.847.缺乏有效的監(jiān)督和處罰機制以及針對消費者的有效救濟途徑，企業(yè)嚴格遵守隱私保護自治規(guī)則的動力不足，其所在行業(yè)制定的隱私保護標準不可能充分且適當?shù)乇Ｗo消費者信息。[注]事實上，早在1997年歐共體的工作報告就指出，美國行業(yè)自律模式對于個人數(shù)據(jù)的保護是不充分的，因為行業(yè)自律排除了合同為基礎(chǔ)的隱私保護以及商業(yè)行為守則。See William L.Fishman, Should the United States Meet European Demands for Greater Protection of Personal Data?, LEGAL TIMES, Sept.15, 1997, at 29.甚至連美國聯(lián)邦貿(mào)易委員會也認為，缺乏有效的執(zhí)行措施顯著地削弱了行業(yè)自律規(guī)范在個人信息保護方面的施行效果。[注]參見前注〔18〕,FEDERAL TRADE COMM’N文。特別是美國次貸危機之后，學(xué)界、業(yè)界的主流訴求都是要加強政府監(jiān)管，人們對自律的信心喪失殆盡。世界隱私論壇更是明確指出，由各行業(yè)自發(fā)形成的個人數(shù)據(jù)保護自律規(guī)則最終被證明是失敗的。[注]See Robert Gellman & Pam Dixon, Many Failures: A Brief History of Privacy Self-Regulation, World Privacy Forum, October 14, 2011, at http://www.worldprivacyforum.org/2011/10/report-many-failures-a-brief-history-ofprivacy-self-regulation/, last visited on June 20, 2018.

多年的實證經(jīng)驗及教訓(xùn)顯示，行業(yè)自律僅僅是個人信息保護的必要條件而非充分條件，面對新興科技對現(xiàn)有法律制度體系的沖擊，僅依賴自律機制顯然捉襟見肘，只有自律機制與個人信息保護法制協(xié)同，特別是與政府監(jiān)管執(zhí)法密切配合，才有可能實現(xiàn)個人信息保護的最佳實踐。

三、個人信息的有效保護：政府適度監(jiān)管與行業(yè)自律的有機結(jié)合

應(yīng)該說，單純的行政監(jiān)管抑或自律管理都存在固有的弊端，必須將兩者的管理力量進行有機結(jié)合，才能使之在個人信息保護領(lǐng)域發(fā)揮最大效用。自19世紀末，市場萬能的神話破滅，讓國家干預(yù)理論大放異彩，即“有形之手”對“市場失靈”予以矯正，但國家對資源控制能力的增強必然伴隨著私主體對資源支配權(quán)的弱化。已有學(xué)者在實證研究的基礎(chǔ)上指出，完全國有化或私有化很難實現(xiàn)資源的優(yōu)化配置，賦予主體以自我組織自我約束的能力，有時更有利于公共資源的合理分配，而這種有別于國家和市場的解決路徑，或許將成為更有效率的制度安排。[注]參見毛壽龍、李梅：《有限政府的經(jīng)濟分析》，三聯(lián)書店2000年版，第171頁。信息監(jiān)管體系的有序發(fā)展，有賴于自律與他律的平衡。政府監(jiān)管權(quán)力過度擴張，必然擠占自律管理的空間，同時也會引發(fā)政府失靈問題。[注]當國家行動不能增進經(jīng)濟效率或當政府把收入分配給那些不恰當?shù)娜藭r，政府失靈(Government Failure)就發(fā)生了。政府失靈，就是在市場經(jīng)濟條件下，由于自身的局限性和外部約束因素的乏力，政府在行政管理過程中所出現(xiàn)的負面效應(yīng)。參見張建東、高建奕：“西方政府失靈理論綜述”，《云南行政學(xué)院學(xué)報》2006年第5期，第83～84頁。

無論是“市場失靈”還是“政府失靈”，均表明過度管制和完全放任都會導(dǎo)致整個市場的紊亂。事實上，政府適度監(jiān)管理念就是要避免政府過度干預(yù)市場，其責任在于順應(yīng)市場內(nèi)在規(guī)律，科學(xué)制定市場運行的大體框架和原則規(guī)則，而自律管理則是政府監(jiān)管之強制性立法的有益補充，能夠有效發(fā)揮自我監(jiān)督、自我管理的優(yōu)勢。隨著互聯(lián)網(wǎng)、大數(shù)據(jù)的迅猛發(fā)展，強調(diào)政府適度監(jiān)管下的自律管理成為新形勢下個人信息保護制度發(fā)展的一大趨勢，其中以歐盟的做法最為典型。

(一)歐盟《個人數(shù)據(jù)保護指令》及成員國法

1995年歐盟《個人數(shù)據(jù)保護指令》(以下簡稱《歐盟指令》)第五章專門規(guī)定“行為守則”(Codes of Conduct)。第27(1)條規(guī)定，考慮到不同行業(yè)的特殊性，成員國和歐盟委員會應(yīng)當鼓勵起草有助于正確施行國內(nèi)法的行為準則。換言之，行為守則的主要目的在于使得一般性數(shù)據(jù)保護立法更好地契合不同行業(yè)的特殊性。同時，如果行業(yè)協(xié)會或其他代表某一行業(yè)的數(shù)據(jù)控制人組織已經(jīng)制定了國內(nèi)行為守則草案，或者有意向修改或擴充現(xiàn)行的行為守則，成員國應(yīng)當要求上述組織將草案提交給國內(nèi)監(jiān)管機構(gòu)審查，由監(jiān)管機構(gòu)給出意見。監(jiān)管機構(gòu)應(yīng)當審查行為守則草案是否與國內(nèi)法律規(guī)定相一致。如果一致的話，監(jiān)管機構(gòu)應(yīng)當征詢數(shù)據(jù)主體或其代表的意見[第27(2)條]。

根據(jù)《歐盟指令》的上述規(guī)定，各成員國都在其國內(nèi)法中作了相應(yīng)的規(guī)定，[注]例如，荷蘭《個人數(shù)據(jù)保護法》第25(1)條規(guī)定，任何組織起草施行法律之行為準則應(yīng)當特別注意該行業(yè)的特殊性。盧森堡《與個人數(shù)據(jù)處理相關(guān)的個人保護法》第2(a)條規(guī)定，各部門應(yīng)制定行為守則以確保數(shù)據(jù)保護法的正確施行。葡萄牙《個人數(shù)據(jù)保護法》第32(1)條規(guī)定，國家數(shù)據(jù)保護委員會應(yīng)當鼓勵基于不同部門的特殊情形制定行為守則以促進本法的實施。并要求將各行業(yè)制定的行為守則提交監(jiān)管機構(gòu)進行審核，以檢驗其內(nèi)容是否與國內(nèi)數(shù)據(jù)保護規(guī)則相一致。[注]例如，葡萄牙《個人數(shù)據(jù)保護法》第32(2)條規(guī)定，代表數(shù)據(jù)控制者的工會或其他團體，應(yīng)當將已經(jīng)制定的行為守則草案提交國家數(shù)據(jù)保護委員會征求意見。同樣的，比利時《有關(guān)個人數(shù)據(jù)處理的隱私保護法》第44條規(guī)定，委員會應(yīng)當審查提交的行為守則草案是否與本法一致。德國《聯(lián)邦數(shù)據(jù)保護法》第38a(2)條規(guī)定，監(jiān)管機構(gòu)應(yīng)審查行為守則草案與數(shù)據(jù)保護法在數(shù)據(jù)保護方面的兼容性。盧森堡《與個人數(shù)據(jù)處理相關(guān)的個人保護法》第32(3)(g)條規(guī)定，監(jiān)管機構(gòu)認為行為守則符合法律規(guī)定，應(yīng)批準該守則。西班牙《個人數(shù)據(jù)保護法》第32(3)條規(guī)定，監(jiān)管當局應(yīng)評估行為守則是否與法律規(guī)定一致。法國《數(shù)據(jù)處理、數(shù)據(jù)文件和個人自由法》規(guī)定，監(jiān)管當局必須對行為守則的制定發(fā)表意見。愛爾蘭《數(shù)據(jù)保護法》規(guī)定，委員會必須評估行為守則是否符合法律規(guī)定。

然而，《歐盟指令》第27條對于“行為守則”規(guī)定之條款較為模糊，成員國國內(nèi)法對其解釋及適用仍存在一定的差異性。例如，“監(jiān)管機構(gòu)的意見”(Authority opinion)之法律地位。有些成員國認為，“監(jiān)管機構(gòu)的意見”類似于“指南”，并不具有法律約束力。[注]例如，丹麥《個人數(shù)據(jù)處理法》就規(guī)定，經(jīng)批準的行為守則旨在幫助數(shù)據(jù)保護規(guī)則正確得以實施。另一些成員國則認為“監(jiān)管機構(gòu)的意見”對于監(jiān)管機構(gòu)本身有約束力。[注]例如，西班牙《個人數(shù)據(jù)保護法》第32(3)條規(guī)定，一旦監(jiān)管機構(gòu)批準了行為守則，必須在普通數(shù)據(jù)保護登記簿中進行保存和錄入。如果監(jiān)管機構(gòu)認為行為守則不能準確表述本法，可以拒絕其進行登記，并要求申請者作必要的改變。盧森堡《與個人數(shù)據(jù)處理相關(guān)的個人保護法》第32(3)(g)條規(guī)定，監(jiān)管機構(gòu)應(yīng)當批準提交的行為守則；愛爾蘭《數(shù)據(jù)保護法》第302條規(guī)定，監(jiān)管當局的肯定性意見應(yīng)當視為《一般行政性條例法案》之決定的涵義；葡萄牙《個人數(shù)據(jù)保護法》第32(3)條規(guī)定，監(jiān)管當局應(yīng)宣布行為守則草案是否與法律規(guī)定相一致，監(jiān)管機構(gòu)以決議形式所做的宣告行為構(gòu)成“有約束力的行政性決定”。而一些成員國還建立一套機制，允許行為守則具有相應(yīng)的法律約束力，不僅約束監(jiān)管機構(gòu)本身，還對法院有約束力。[注]例如，意大利《個人數(shù)據(jù)保護法典》第186條規(guī)定，監(jiān)管當局必須在意大利官方雜志上公布已經(jīng)得到批準的行為守則。已公布的行為守則構(gòu)成針對某一行業(yè)數(shù)據(jù)控制者具有法律約束力的行為規(guī)范。同樣的，愛爾蘭《數(shù)據(jù)保護法》也規(guī)定，司法部可以將已經(jīng)獲得批準的行為守則提交給議會以獲得進一步許可。如果議會同意了該行為守則，相應(yīng)地，守則取得法律效力，類似于強制性法律規(guī)定，其規(guī)則條款也被視為與法律條款具有同等約束力。英國1998年《個人數(shù)據(jù)保護法》第52(3)條規(guī)定，專員應(yīng)向議會兩院分別提交行為守則。根據(jù)成員國給予各個行業(yè)制定行為守則的自由度和效力不同，又可以將其分為三種類型。[注]參見前注〔5〕，Dennis D.Hirsch文，第439頁。

第一類，行業(yè)主導(dǎo)。歸入此類型的國家之國內(nèi)法賦予行業(yè)在制定行為守則方面之完全的自由裁量權(quán)，突出了本行業(yè)數(shù)據(jù)控制者和數(shù)據(jù)主體的利益，相比之下監(jiān)管機構(gòu)的作用和影響較弱。例如，奧地利《個人數(shù)據(jù)保護法》第6(4)條規(guī)定，法律規(guī)定的利益代表、專業(yè)協(xié)會或其他類似機構(gòu)可制定該行業(yè)的行為守則。[注]同樣的，比利時《有關(guān)個人數(shù)據(jù)處理的隱私保護法》第44條、丹麥《個人數(shù)據(jù)處理法》第74條、芬蘭《個人數(shù)據(jù)法》第42條、德國《聯(lián)邦數(shù)據(jù)保護法》第38a條、荷蘭《個人數(shù)據(jù)保護法》第25(1)條，都授權(quán)行業(yè)組織制定行為守則。需要注意的是，此類型中雖然國內(nèi)數(shù)據(jù)保護法允許行業(yè)自行制定行為守則，但并不積極推動其必須制定相應(yīng)守則。如果該行業(yè)不制定行為守則，則應(yīng)遵守其國內(nèi)數(shù)據(jù)保護法的一般性規(guī)定。如果制定行為守則，監(jiān)管機構(gòu)必須審查其是否與國內(nèi)法相一致，并給出審查意見。同時，法院有權(quán)對監(jiān)管機構(gòu)的意見進行司法審查。換言之，行業(yè)協(xié)會、公司或公民團體都可以對監(jiān)管機構(gòu)有關(guān)行為守則是否符合法律規(guī)定尋求司法救濟。

第二類，共同協(xié)商。歸入此類型的國家，其國內(nèi)法要求監(jiān)管當局鼓勵各行業(yè)制定行為準則，制定過程應(yīng)與監(jiān)管者進行協(xié)商。也就是說，監(jiān)管機構(gòu)與行業(yè)之間需要密切合作，以共同推動行為守則的出臺。例如，希臘《與個人數(shù)據(jù)處理相關(guān)的個人保護法》第19(1)條規(guī)定，監(jiān)管機構(gòu)應(yīng)鼓勵并幫助協(xié)會或其他組織制定行為守則。[注]與之相類似，意大利《個人數(shù)據(jù)保護法典》第12條規(guī)定，格然特應(yīng)鼓勵制定不同領(lǐng)域的行為守則和專業(yè)實踐，并驗證其是否符合法律和條例規(guī)定；葡萄牙《個人數(shù)據(jù)保護法》第32條規(guī)定，監(jiān)管當局應(yīng)鼓勵制定行為守則；馬耳他《數(shù)據(jù)保護法》第40(g)條規(guī)定，專員應(yīng)鼓勵各部門制定行為守則。通常情形下，此類型的成員國法允許行為守則上升為有約束力的法律規(guī)則。而且，監(jiān)管機構(gòu)會強烈建議行業(yè)制定數(shù)據(jù)保護標準更高的行為守則。[注]例如，1999年葡萄牙數(shù)據(jù)保護機構(gòu)通過了一個正式的決議，要求部門制定的行為守則應(yīng)有助于在各具體行業(yè)更嚴格地執(zhí)行數(shù)據(jù)保護法的相關(guān)規(guī)定。也就是說，行為守則的數(shù)據(jù)保護標準相比數(shù)據(jù)保護法更高。

第三類，政府主導(dǎo)。此類型的成員國監(jiān)管機構(gòu)會推動行業(yè)制定行為守則，如果協(xié)會不制定的話，則由監(jiān)管機構(gòu)來制定并施行于某一行業(yè)。例如，愛爾蘭《數(shù)據(jù)保護法》第8條規(guī)定，如果專員認為行為守則是有益的但行業(yè)沒有制定，則專員在咨詢相關(guān)協(xié)會和相關(guān)利益方之后可以自行制定行為守則。[注]同樣的，英國1998年《個人數(shù)據(jù)保護法》第51(3)條授權(quán)專員在與商會、數(shù)據(jù)主體或其認為適當?shù)哪軌虼頂?shù)據(jù)主體之組織進行協(xié)商后，準備并披露相關(guān)良好做法之行為守則。顯然，此種類型的成員國立法，監(jiān)管機構(gòu)在推動和制定行業(yè)守則的力度上是最大的。羅馬尼亞《與個人數(shù)據(jù)處理和數(shù)據(jù)自由移動有關(guān)的個人保護法》更為嚴厲，要求行業(yè)協(xié)會“有義務(wù)制定行為守則并提交監(jiān)管機構(gòu)以便其審查”[第28(1)條]。監(jiān)管機構(gòu)應(yīng)決定是否批準該守則，而不是僅僅發(fā)表相應(yīng)的意見。事實上，上述規(guī)定增加了監(jiān)管機構(gòu)的審核、評估義務(wù)，獲得批準的行為守則的約束力也較強。[注]參見前注〔5〕，Dennis D.Hirsch文，第439頁。

(二)《一般數(shù)據(jù)保護條例》(GDPR)的最新發(fā)展

2018年5月25日正式生效的GDPR在很大程度上克服了《歐盟指令》存在的缺陷，在歐盟成員國創(chuàng)設(shè)了相同水準的數(shù)據(jù)保護標準，被稱為史上最嚴格、保護水平最高的數(shù)據(jù)保護規(guī)則。與《歐盟指令》需要轉(zhuǎn)化適用不同，GDPR一旦生效，其約束力將突破成員國層面，立即構(gòu)成成員國國內(nèi)法律體系的一部分。在其第四章第5部分專門規(guī)定了“行為守則和認證”(Codes of Conduct and Certification)。第40條規(guī)定，各成員國、監(jiān)管機構(gòu)、數(shù)據(jù)保護理事會以及歐盟委員會應(yīng)鼓勵制定行為守則，以推動本條例更好的適用。行為守則的制定應(yīng)考慮不同行業(yè)數(shù)據(jù)處理者的特殊性，特別是微型、小型以及中型企業(yè)的需要。為了使本條例得以具體應(yīng)用，各協(xié)會及代表不同類型的數(shù)據(jù)控制者或處理者可以起草、修訂或擴充現(xiàn)有的行為守則，具體包括：公平透明的處理；具體行業(yè)數(shù)據(jù)控制者所追求的合法利益；個人數(shù)據(jù)的收集；個人數(shù)據(jù)的虛假信息；提供給公眾及數(shù)據(jù)主體的信息；數(shù)據(jù)主體權(quán)利行使；有關(guān)兒童的保護以及父母同意下的信息收集；數(shù)據(jù)安全措施；數(shù)據(jù)泄露后向監(jiān)管機構(gòu)和數(shù)據(jù)主體進行通知；個人數(shù)據(jù)傳輸?shù)降谌龂驀H組織；數(shù)據(jù)主體與控制者沖突解決的庭外程序等。

正是《歐盟指令》規(guī)定條款的模糊，導(dǎo)致各成員國在具體適用過程中對指令內(nèi)容的解釋不一?；诖耍珿DPR對監(jiān)管機構(gòu)與行業(yè)協(xié)會在制定守則的權(quán)力分配上作了明確規(guī)定，由行業(yè)協(xié)會或其他機構(gòu)制定、修改或擴充行為守則，提交至監(jiān)管機構(gòu)。監(jiān)管機構(gòu)針對該守則是否符合本條例發(fā)表意見；如果認為守則提供了充分、適當?shù)谋Ｗo，監(jiān)管機構(gòu)應(yīng)批準守則草案[第40(5)條]。獲批的行為守則，由監(jiān)管機構(gòu)進行登記和公告[第40(6)條]。

如果行為守則涉及其他成員國的數(shù)據(jù)處理活動，則監(jiān)管機構(gòu)在批準該守則之前，應(yīng)提交至數(shù)據(jù)保護理事會。理事會就行為守則是否符合本條例發(fā)表意見，如果認定其提供了適當?shù)谋Ｗo，理事會應(yīng)向歐盟委員會提交該意見，由歐盟委員會決定是否批準該守則。一旦批準，行為守則在歐盟境內(nèi)都有普遍約束力。理事會應(yīng)對已經(jīng)獲得批準的行為守則進行整理和登記，并采取適當?shù)姆绞竭M行信息公開[第40(7)(8)(9)(11)條]。

關(guān)于行為守則施行情況的監(jiān)督，則可由監(jiān)管機構(gòu)委托授權(quán)該領(lǐng)域具有相當水平的專業(yè)機構(gòu)開展監(jiān)督活動。該監(jiān)督機構(gòu)，應(yīng)當證明其在某個領(lǐng)域具有獨立性和專業(yè)性；建立適用守則之合格數(shù)據(jù)控制者和處理者的評估機制和程序；建立針對違反守則的控制者和處理者之投訴程序，并使該程序向數(shù)據(jù)主體和公眾進行公開；向監(jiān)管機構(gòu)證明其履行監(jiān)督職責不會產(chǎn)生利益沖突以及數(shù)據(jù)控制者或處理者違反守則可以采取的適當措施。監(jiān)管機構(gòu)發(fā)現(xiàn)監(jiān)督主體不再滿足上述條件，則可以撤銷其監(jiān)督授權(quán)(第41條)。

應(yīng)該說，在行為守則的制定上，GDPR更傾向于行業(yè)主導(dǎo)、監(jiān)管機構(gòu)適度干預(yù)的理念。對于行為守則實際執(zhí)行情況，各成員國監(jiān)管機構(gòu)也不直接作為監(jiān)督者和管理者，而是可以委托授權(quán)獨立的第三方機構(gòu)施行監(jiān)督權(quán)，更加強調(diào)和突出市場自我管理的重要性，監(jiān)管機構(gòu)則可以將精力集中于自身的數(shù)據(jù)保護職責，充分平衡了政府和市場的監(jiān)督力量。換言之，歐盟為代表的個人信息保護路徑，不僅強調(diào)成員國數(shù)據(jù)保護機構(gòu)積極鼓勵行業(yè)協(xié)會制定行為守則，還主動促進形成適用于歐盟市場的某一行業(yè)統(tǒng)一的自治規(guī)范，政府在宏觀層面調(diào)控和設(shè)計個人信息保護基本原則及規(guī)則，而市場則從微觀層面積極發(fā)揮自我管理之基礎(chǔ)性功能，充分調(diào)動其主觀能動性。在大數(shù)據(jù)、移動互聯(lián)網(wǎng)等技術(shù)手段的不斷推進下，政府與市場則遵循技術(shù)中立原則，鼓勵研發(fā)和推廣信息保護型的處理技術(shù)。

GDPR另一個突出貢獻，就是正式引入原來完全處于自發(fā)狀態(tài)的數(shù)據(jù)標識和認證制度。第42條規(guī)定，考慮到微型、小型及中型企業(yè)的特殊需要，應(yīng)鼓勵建立數(shù)據(jù)保護認證機制與數(shù)據(jù)印章、標識制度，以證明數(shù)據(jù)控制者和處理者的數(shù)據(jù)處理活動遵守本條例的規(guī)定。這種認證應(yīng)當是自愿的，且程序是透明的。頒發(fā)給數(shù)據(jù)控制者或處理者的認證時效，最長不超過3年，可以申請續(xù)展。如果認證機構(gòu)認為其不再符合相關(guān)條件時，該認證將被撤回。數(shù)據(jù)保護理事會整理所有的認證機制和數(shù)據(jù)保護印章及標識，并予以登記和公告。第43條規(guī)定了認證機構(gòu)的具體要求。認證機構(gòu)應(yīng)當具有在數(shù)據(jù)保護方面的專業(yè)知識和經(jīng)驗。認證機構(gòu)應(yīng)由監(jiān)管機構(gòu)或符合歐盟第765/2008號規(guī)定的國內(nèi)授權(quán)主體委托授權(quán)，從事頒發(fā)認證標志以及認證續(xù)展的相關(guān)活動。與行為守則的監(jiān)督機構(gòu)相類似，認證機構(gòu)也需要符合一定條件(諸如證明其在認證方面具有獨立性和專業(yè)性，認證標準得到監(jiān)管機構(gòu)或理事會的批準，建立了頒發(fā)認證標識、定期審核和撤銷認證標識等的程序，建立了數(shù)據(jù)控制者或處理者因違反認證的投訴程序以及證明其履行認證職責不會導(dǎo)致利益沖突等)，才能獲得認證授權(quán)。這種認證授權(quán)的最長期限是5年，屆滿并符合條件可以申請續(xù)展。歐盟委員會可以制定有關(guān)認證或數(shù)據(jù)保護標識之技術(shù)標準。

雖然認證制度在一定程度上存在著運營成本，需要建立獨立的、不產(chǎn)生利益沖突的認證機構(gòu)，監(jiān)管機構(gòu)還要對其進行委托授權(quán)；為了取得認證標識，企業(yè)需向認證機構(gòu)繳納一定的認證費用；認證機構(gòu)也需要深入企業(yè)內(nèi)部進行數(shù)據(jù)保護方面的評估，以評判其是否符合頒發(fā)認證標識的條件等，均有相應(yīng)的人力、物力以及技術(shù)投入。但是，這種認證和標識制度充分調(diào)動了市場監(jiān)督力量，大大節(jié)約了監(jiān)管機構(gòu)的外部監(jiān)督成本，對于消費者而言更容易辨識提供相同或近似產(chǎn)品或服務(wù)的企業(yè)在數(shù)據(jù)保護方面存在的差異。取得數(shù)據(jù)保護認證標識的企業(yè)，意味著其在數(shù)據(jù)保護領(lǐng)域符合現(xiàn)行法律規(guī)定，個人數(shù)據(jù)保護水平較高，從而大大增加了客戶的認同度。特別是對于那些小微企業(yè)，取得認證在很大程度上代表著在市場中能夠更容易獲取客戶的信任和支持。相反，那些沒有取得認證或者認證失效或被撤銷的企業(yè)，消費者可以選擇用腳投票，由此形成源自市場的有效監(jiān)督，督促作為數(shù)據(jù)控制者或處理者的企業(yè)提升自身的數(shù)據(jù)保護水平。

四、我國個人信息保護的自律管理現(xiàn)狀及模式選擇

我國目前尚無個人信息保護的專門法律，主要采用部門立法的方式分領(lǐng)域來保護個人信息；行業(yè)自律管理也僅處于初創(chuàng)階段，涉及個人信息保護的自律規(guī)則并不多見。

互聯(lián)網(wǎng)領(lǐng)域，中國互聯(lián)網(wǎng)協(xié)會發(fā)布《中國互聯(lián)網(wǎng)行業(yè)自律公約》(2004)、《博客服務(wù)自律公約》(2007)等，對互聯(lián)網(wǎng)信息服務(wù)自律作了規(guī)定，但其主要規(guī)范網(wǎng)絡(luò)信息內(nèi)容是否合法、健康，有無侵害知識產(chǎn)權(quán)等，并未涉及個人信息保護。僅在《互聯(lián)網(wǎng)搜索引擎服務(wù)自律公約》(2012)第10條規(guī)定，搜索引擎服務(wù)提供者有義務(wù)協(xié)助保護用戶隱私和個人信息安全，收到權(quán)利人符合法律規(guī)定的通知后，應(yīng)及時刪除、斷開侵權(quán)內(nèi)容鏈接。

金融領(lǐng)域，筆者檢索了中國證券業(yè)協(xié)會、中國保險業(yè)協(xié)會以及中國銀行業(yè)協(xié)會公布的自律公約及其他自律規(guī)則，并未發(fā)現(xiàn)投資者、投保人和被保險人以及銀行客戶信息保護方面的具體規(guī)范和措施。中國銀行業(yè)協(xié)會在2012年3月16日發(fā)布了一個“敦促會員銀行進一步加強客戶信息安全管理”的公告，起因也是源于中央電視臺“315”晚會報道個別銀行泄露客戶信息，因而銀行業(yè)協(xié)會督促相關(guān)會員銀行進行核實，并要求會員銀行進一步加強對客戶信息的管理和保護，以強化內(nèi)控合規(guī)管理。

作為全國性互聯(lián)網(wǎng)金融行業(yè)自律組織——中國互聯(lián)網(wǎng)金融協(xié)會，于2016年3月公布《中國互聯(lián)網(wǎng)金融協(xié)會會員自律公約》(以下簡稱《自律公約》)，共四章22條，第7條專門就會員應(yīng)履行的金融消費者權(quán)益保護義務(wù)作了規(guī)范，其中明確了互聯(lián)網(wǎng)金融企業(yè)會員“應(yīng)當保證客戶信息安全，防止信息的滅失、毀損與泄露，不得利用客戶信息從事與客戶約定事項外的活動”。

從上述行業(yè)協(xié)會的自律規(guī)范內(nèi)容看，應(yīng)該說，我國通過行業(yè)自律規(guī)范實施個人信息保護的總體水平較低，目前仍處于起步階段，尚未作為行業(yè)自律規(guī)范的一項主要內(nèi)容。僅有的規(guī)定，也異常簡單、籠統(tǒng)，并未有具體實施細則和保護措施，與歐美等國相比明顯滯后。

總體而言，雖然我國逐步擴大了各領(lǐng)域行業(yè)自律組織進行自我管理和約束的權(quán)限，但并未根本性改變其受來自政府、行政監(jiān)管當局管控的本質(zhì)，獨立性被嚴重弱化。行業(yè)協(xié)會的行政色彩濃厚，不僅行業(yè)協(xié)會是由政府及監(jiān)管者推動形成，而且其代表政府意愿的程度遠遠高于代表其行業(yè)內(nèi)部成員，自律管理 “公權(quán)化”現(xiàn)象十分突出。[注]以中國互聯(lián)網(wǎng)金融協(xié)會為例。2015年7月18日，中國人民銀行等十部委聯(lián)合印發(fā)了《關(guān)于促進互聯(lián)網(wǎng)金融健康發(fā)展的指導(dǎo)意見》(銀發(fā)[2015]221號)，明確提出“人民銀行會同有關(guān)部門，組建中國互聯(lián)網(wǎng)金融協(xié)會”。隨后，人民銀行牽頭，各金融監(jiān)管部門參與，中國互聯(lián)網(wǎng)金融協(xié)會正式掛牌成立。中國互聯(lián)網(wǎng)金融協(xié)會在其章程和自律公約中都反復(fù)強調(diào)在“中國人民銀行的指導(dǎo)下”，將發(fā)揮行業(yè)自律機制在規(guī)范互聯(lián)網(wǎng)金融企業(yè)的市場行為、維護市場秩序、防范系統(tǒng)性風險以及保護金融消費者等方面的積極作用。換言之，我國行業(yè)協(xié)會承載的多種角色——政府的輔助者、成員利益的代表者、行業(yè)自律管理者，特別是充當政府監(jiān)管機構(gòu)在各個行業(yè)施行行政權(quán)力的某種“代理機構(gòu)”，使其與其他角色產(chǎn)生一定的沖突。正是角色沖突，導(dǎo)致自律管理的獨立性嚴重缺失，無法實現(xiàn)對成員利益和行業(yè)利益的維護，在一定程度上降低了行業(yè)協(xié)會在本領(lǐng)域內(nèi)的公信力。

自律組織就其法律屬性而言，可歸為社會團體法人，屬于私主體范疇的民間機構(gòu)。目前，我們更需要進一步完善和強化的就是使其回歸本位、角色矯正。也就是說，應(yīng)當確保行業(yè)協(xié)會之獨立性且不被異化，政府應(yīng)作適當干預(yù)，而非取而代之，有效發(fā)揮其自我管理的積極作用。如何在個人信息保護領(lǐng)域劃分自律管理與政府監(jiān)管之權(quán)力邊界，不僅將影響個人信息保護的實效，同時也直接決定著自律組織的生存環(huán)境和發(fā)展空間。

倘若政府監(jiān)管力度過強、范圍過廣，必然擠壓并抑制行業(yè)自律管理的發(fā)展，無法充分體現(xiàn)其獨立的話語權(quán)。而我國一直貫徹“政府主導(dǎo)型”的監(jiān)管理念，包括各行業(yè)經(jīng)濟改革的主要推動力量仍然來自強大的政府，“大到游戲規(guī)則的制定，小到市場準入的審批、公司市場行為與行政運作、機構(gòu)負責人的任免甚至日常教化、知識培訓(xùn)等都不遺余力地被承攬下來”。[注]廖志敏：“糾纏于行政與司法——中國股市監(jiān)管的現(xiàn)狀與未來”，載《金融法苑》(2003年第1期)，法律出版社2003年版，第68頁。而且，我國的經(jīng)濟發(fā)展道路也與西方國家存在明顯差異，特別在自律管理方面缺乏經(jīng)驗，更重要的是市民社會自治精神缺失。行業(yè)協(xié)會作為市民社會的基礎(chǔ)性力量，有助于克服市場失靈，也是社會制約權(quán)力的重要力量。[注]參見魯籬：“行業(yè)協(xié)會社會責任與行業(yè)自治的沖突與衡平”，《政法論壇》2008年第2期，第95頁。

政府的權(quán)力擴張，雖然在一定程度上確實能夠快速培育相關(guān)市場并建立秩序基礎(chǔ)，但也使得市場參與主體不能完全獨立運營，特別是無法培養(yǎng)成熟、理性的從業(yè)者。政府不僅需要承擔本應(yīng)由市場主體自行承擔的經(jīng)營風險和責任，還可能遏制市場的創(chuàng)新活力。事實上，行業(yè)自律是個人信息保護不可或缺的重要組成部分，雖然其作用的發(fā)揮有賴于多種外部條件和環(huán)境的制約。行業(yè)協(xié)會在建立之后，政府可以對其自律活動進行指導(dǎo)，但不能干預(yù)過度。要想使自律機制真正發(fā)揮作用，必須處理好政府與協(xié)會之間的關(guān)系。

應(yīng)該說，任何一種市場治理主體都有其優(yōu)勢和局限性，單獨依賴任何一方都是不夠的。而現(xiàn)階段政府如何放權(quán)于市場，將自律管理權(quán)力還給自律組織，將是改變行業(yè)協(xié)會自律管理“公權(quán)化”問題的關(guān)鍵。在此基礎(chǔ)上，各領(lǐng)域的行業(yè)協(xié)會可以根據(jù)不同企業(yè)的實際經(jīng)營情況，制定相應(yīng)的“消費者或客戶信息保護指引”以具體指導(dǎo)會員機構(gòu)強化并完善個人信息保護的內(nèi)控制度，將信息安全理念進一步融入其日常經(jīng)營活動，切實發(fā)揮自律管理實效。同時，鑒于行業(yè)協(xié)會所代表的會員利益可能與公共利益之間存在著一定偏差，對行業(yè)實施監(jiān)督又是政府監(jiān)管機構(gòu)所必須履行的職責，應(yīng)由政府監(jiān)管機構(gòu)從外部對行業(yè)進行獎懲激勵，確保其監(jiān)管措施的威懾力，以強制性矯正行業(yè)協(xié)會不自律或自律不足的行為。

結(jié)語

在技術(shù)創(chuàng)新不斷的信息領(lǐng)域，政府監(jiān)管具有一定的剛性和信息滯后性，但行業(yè)自律亦存在問題。雖然在市場信息的獲取方面，行業(yè)協(xié)會較監(jiān)管機構(gòu)更為及時和充分，但自律規(guī)范不可避免地帶有“私利性”，甚至有些規(guī)范偏離了個人信息保護的初衷，需要政府監(jiān)管予以矯正。來自歐美的經(jīng)驗及教訓(xùn)表明，上述兩種管理手段需相互促進、互為補充，特別是在個人信息保護的目標驅(qū)動下，才能發(fā)揮更大作用。

反觀我國，自治精神嚴重缺位，個人信息保護法律基礎(chǔ)十分薄弱，絕大多數(shù)領(lǐng)域的行業(yè)協(xié)會都在政府扶持下建立，而非“自下而上”在行業(yè)自身客觀需求的基礎(chǔ)上自發(fā)產(chǎn)生。不僅有關(guān)信息保護的自治規(guī)范少之又少且難以細化，亦缺乏行業(yè)內(nèi)部推動實施的內(nèi)在動力，更無有效的信息糾紛解決機制。而且，企業(yè)和個人的信息保護意識欠缺。有鑒于此，現(xiàn)階段試圖以行業(yè)自律為主導(dǎo)實施個人信息保護明顯力有不逮。目前還需從立法層面強化對個人信息的保護，制定專項法律并設(shè)立統(tǒng)一的信息監(jiān)管機構(gòu)，而非現(xiàn)在的多頭監(jiān)管、九龍治水。同時，以成文法為基礎(chǔ)，鼓勵各行業(yè)協(xié)會積極參與個人信息保護行為規(guī)范的制定和執(zhí)行，輔之以政府指導(dǎo)，從而逐步提升個人信息保護的實效性。