崔俊杰

傳播方式的變革促進(jìn)了信息的高速流動，而與此同時，“支付寶年度賬單事件”“數(shù)據(jù)堂倒賣個人信息案件”“華住集團(tuán)旗下酒店客戶信息泄露事件”等個人信息安全事件不斷挑動社會公眾的敏感神經(jīng)，進(jìn)而引發(fā)行政力量的迅速彈壓。實踐中，復(fù)雜的網(wǎng)絡(luò)生態(tài)和高速變化的技術(shù)環(huán)境需要具備技術(shù)屬性的監(jiān)管制度予以回應(yīng)。為此，互聯(lián)網(wǎng)監(jiān)管機構(gòu)將“安全保障、技術(shù)為基、標(biāo)準(zhǔn)先行”確定為網(wǎng)絡(luò)安全治理的框架性方案。〔1〕參見《構(gòu)建網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系》，載中華人民共和國國家互聯(lián)網(wǎng)信息辦公室網(wǎng)站，http://www.cac.gov.cn/2016-12/26/c_1120189223.htm，2020 年2 月23 日訪問。在這一治理方案中，個人信息安全標(biāo)準(zhǔn)被置于十分重要的地位。它的定位在于為網(wǎng)絡(luò)安全設(shè)備和網(wǎng)絡(luò)專用產(chǎn)品建立統(tǒng)一的安全框架；指導(dǎo)具體產(chǎn)品的制定要求，為其提供共性層和基礎(chǔ)層；進(jìn)而為涉及個人信息的社會活動提出可量化、可程序化的具體方案。不過，從理論上講，標(biāo)準(zhǔn)是一套與法律制度既有區(qū)別、又相聯(lián)系的規(guī)則體系。在全面法治的背景下，對這套規(guī)則體系的價值，在實施中存在的問題，與法律制度的契合方式等都需要進(jìn)行理性的分析，以便發(fā)展與法治化要求相適應(yīng)的技術(shù)治理。

一、技術(shù)制度：個人信息安全標(biāo)準(zhǔn)體系及其特征

標(biāo)準(zhǔn)化學(xué)界認(rèn)為：標(biāo)準(zhǔn)是一種技術(shù)制度。〔2〕劉三江、劉輝：《中國標(biāo)準(zhǔn)化體制改革思路及路徑》，載《中國軟科學(xué)》2015 年第7 期，第2 頁。由此，個人信息安全標(biāo)準(zhǔn)也應(yīng)當(dāng)兼具技術(shù)和制度兩種屬性。盡管這一制度體系不論在制定主體、制定程序抑或?qū)嵤┓绞?、效力來源等方面都與法律體系有所不同，但我們?nèi)匀豢梢越柚诜治龇审w系的規(guī)范主義進(jìn)路，來對個人信息安全標(biāo)準(zhǔn)體系進(jìn)行分類和分級，進(jìn)而提煉其特征。

（一）個人信息安全標(biāo)準(zhǔn)體系

根據(jù)“標(biāo)準(zhǔn)的級別”和“標(biāo)準(zhǔn)的功能”兩種不同的分類標(biāo)準(zhǔn)，可以大體勾勒出當(dāng)前個人信息安全標(biāo)準(zhǔn)體系的基本框架：其一，從標(biāo)準(zhǔn)的級別上看，標(biāo)準(zhǔn)包括國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)、地方標(biāo)準(zhǔn)、團(tuán)體標(biāo)準(zhǔn)和企業(yè)標(biāo)準(zhǔn)。其中，政府主導(dǎo)制定的國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)和地方標(biāo)準(zhǔn)屬于“政府標(biāo)準(zhǔn)”范疇，團(tuán)體標(biāo)準(zhǔn)和企業(yè)標(biāo)準(zhǔn)屬于“市場標(biāo)準(zhǔn)”范疇。其二，從標(biāo)準(zhǔn)的功能上看，個人信息安全標(biāo)準(zhǔn)可以分為“基本要求類標(biāo)準(zhǔn)”“實施指南類標(biāo)準(zhǔn)”“檢測評估類標(biāo)準(zhǔn)”以及“行業(yè)應(yīng)用類標(biāo)準(zhǔn)”。其中，“基本要求類標(biāo)準(zhǔn)”規(guī)定了針對個人信息安全的基本技術(shù)要求和基本管理要求，適用于指導(dǎo)個人信息安全建設(shè)和監(jiān)督管理。“實施指南類標(biāo)準(zhǔn)”是對“基本要求類標(biāo)準(zhǔn)”的細(xì)化解釋，從而為達(dá)致有關(guān)個人信息安全要求提供指引?！皺z測評估類標(biāo)準(zhǔn)”是為落實“基本要求”而設(shè)定的可執(zhí)行、可重復(fù)、可度量的測試方法、驗收規(guī)范、審核規(guī)則、核查機制等。“行業(yè)應(yīng)用類標(biāo)準(zhǔn)”則是有關(guān)標(biāo)準(zhǔn)在具體行業(yè)應(yīng)用時的情景化規(guī)范?！?〕嚴(yán)格來說，“行業(yè)應(yīng)用類標(biāo)準(zhǔn)”也可以細(xì)分為安全要求、實施指南、檢測評估等類別。在本文中，單獨列出行業(yè)應(yīng)用類標(biāo)準(zhǔn)的目的在于在個人信息安全政府標(biāo)準(zhǔn)內(nèi)部進(jìn)一步挖掘出通用的國家標(biāo)準(zhǔn)與行業(yè)標(biāo)準(zhǔn)。

由于統(tǒng)一的標(biāo)準(zhǔn)信息公開平臺建設(shè)相對滯后，以及團(tuán)體標(biāo)準(zhǔn)等市場標(biāo)準(zhǔn)的相對非公開性，筆者基于全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會（以下簡稱全國信安標(biāo)委）網(wǎng)站的標(biāo)準(zhǔn)查詢專欄、中國知網(wǎng)標(biāo)準(zhǔn)庫等線上平臺的既有數(shù)據(jù)進(jìn)行的不完全檢索，大體整合出當(dāng)前個人信息安全標(biāo)準(zhǔn)的基本框架?！?〕檢索方法為：在有關(guān)線上平臺鍵入“個人信息”這一關(guān)鍵詞，從而搜索直接包含“個人信息”的標(biāo)準(zhǔn)，進(jìn)而對現(xiàn)行有效的標(biāo)準(zhǔn)進(jìn)行進(jìn)一步類型化。之所以稱為不完全檢索，主要有兩個方面的考慮：一是涉及個人信息安全的標(biāo)準(zhǔn)可能未必直接包含“個人信息”的關(guān)鍵詞，如一些網(wǎng)絡(luò)安全基礎(chǔ)框架類的標(biāo)準(zhǔn)就屬于這一類。二是從本領(lǐng)域而言，至少在目前，個人信息安全領(lǐng)域地方標(biāo)準(zhǔn)數(shù)量有限，代表性不強。而個人信息安全企業(yè)標(biāo)準(zhǔn)又主要是企業(yè)自我規(guī)制的產(chǎn)物，是作為提升企業(yè)市場競爭力的手段而存在的，其主要適用于本企業(yè)，并非作為社會治理意義上的通用“標(biāo)準(zhǔn)”而存在。因此，本研究在搭建個人信息安全標(biāo)準(zhǔn)框架體系的時候，將主要關(guān)注涉及個人信息安全的國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)和團(tuán)體標(biāo)準(zhǔn)。

1.個人信息安全主要國家標(biāo)準(zhǔn)。在個人信息安全領(lǐng)域，現(xiàn)已制定4 部國家標(biāo)準(zhǔn)，另有多部國家標(biāo)準(zhǔn)正在研究制定中?！?〕在統(tǒng)計正在研究制定的國家標(biāo)準(zhǔn)時，本文僅統(tǒng)計了標(biāo)準(zhǔn)立項名稱中包含“個人信息”四個字的標(biāo)準(zhǔn)。其中，在已經(jīng)制定的國家標(biāo)準(zhǔn)中，屬于安全要求類標(biāo)準(zhǔn)的包括《信息安全技術(shù) 個人信息安全規(guī)范》（GB/T 35273-2020）、《信息安全技術(shù) 移動智能終端個人信息保護(hù)技術(shù)要求》（GB/T 34978-2017）和《信息安全技術(shù) 大數(shù)據(jù)服務(wù)安全能力要求》（GB/T 35274-2017）；屬于實施指南類標(biāo)準(zhǔn)的是《信息安全技術(shù) 個人信息去標(biāo)識化指南》（GB/T 37964-2019）。正在研究制定的標(biāo)準(zhǔn)則包括屬于安全要求類標(biāo)準(zhǔn)的《信息安全技術(shù) 移動互聯(lián)網(wǎng)應(yīng)用（App）收集個人信息基本規(guī)范》，屬于實施指南類標(biāo)準(zhǔn)的《信息安全技術(shù) 個人信息安全工程指南》《信息安全技術(shù) 個人信息告知同意指南》《信息安全技術(shù) 個人信息出境安全評估指南》，以及屬于檢測評估類標(biāo)準(zhǔn)的《信息安全技術(shù) 個人信息安全影響評估指南》等。

2.個人信息安全部分行業(yè)標(biāo)準(zhǔn)。個人信息安全行業(yè)標(biāo)準(zhǔn)以通信行業(yè)為主，但也涉及衛(wèi)生、公共安全以及金融等其他行業(yè)。其中，公安行業(yè)的個人信息安全標(biāo)準(zhǔn)，如《信息安全技術(shù) 個人移動終端安全管理產(chǎn)品測評準(zhǔn)則》（GA/T 1540-2018）、《居民身份證視讀個人信息排列格式》（GA 456-2004）等。衛(wèi)生行業(yè)的個人信息安全標(biāo)準(zhǔn)，如《健康檔案共享文檔規(guī)范第14 部分：重性精神疾病患者個人信息登記》（WS/T 483.14-2016）、《基本信息基本數(shù)據(jù)集個人信息》（WS 371-2012）等。通信行業(yè)的個人信息安全標(biāo)準(zhǔn)數(shù)量最多，包括《移動智能終端上的個人信息保護(hù)技術(shù)要求》（YD/T 3082-2016）、《移動用戶個人信息管理業(yè)務(wù)總體技術(shù)要求》（YD/T 2129-2010）、《移動用戶個人信息管理業(yè)務(wù)終端技術(shù)要求》（YD/T 2132-2010）、《移動用戶個人信息管理業(yè)務(wù)總體技術(shù)要求》（YD/T 2129-2010）等。金融行業(yè)的個人信息安全標(biāo)準(zhǔn)包括《中國金融移動支付檢測規(guī)范第8 部分：個人信息保護(hù)》（JR/T 0098.8-2012）等。

3.個人信息安全部分團(tuán)體標(biāo)準(zhǔn)。2017 年新修訂的《標(biāo)準(zhǔn)化法》確定了團(tuán)體標(biāo)準(zhǔn)的法律地位?？傮w來看，個人信息安全領(lǐng)域各類團(tuán)體標(biāo)準(zhǔn)的制定主體表現(xiàn)亦相對活躍。例如，2018 年，電信終端產(chǎn)業(yè)協(xié)會（TAF）協(xié)調(diào)相關(guān)市場主體共同啟動《移動智能終端與應(yīng)用軟件用戶個人信息保護(hù)實施指南》從總則部分到第8 部分的系列團(tuán)體標(biāo)準(zhǔn)的制定。內(nèi)容涉及個人信息分類、告知同意、權(quán)限管理、應(yīng)用軟件隱私政策等諸多重要內(nèi)容。

4.有關(guān)技術(shù)文件。個人信息安全領(lǐng)域的技術(shù)文件可以分為兩類：一類是國家標(biāo)準(zhǔn)化指導(dǎo)性技術(shù)文件。根據(jù)《國家標(biāo)準(zhǔn)化指導(dǎo)性技術(shù)文件管理規(guī)定》（以下簡稱“技術(shù)文件管理規(guī)定”）：“指導(dǎo)性技術(shù)文件，是為仍處于技術(shù)發(fā)展過程中（如變化快的技術(shù)領(lǐng)域）的標(biāo)準(zhǔn)化工作提供指南或信息，供科研、設(shè)計、生產(chǎn)、使用和管理等有關(guān)人員參考使用而制定的標(biāo)準(zhǔn)文件。”〔6〕原國家質(zhì)量技術(shù)監(jiān)督局下發(fā)的《國家標(biāo)準(zhǔn)化指導(dǎo)性技術(shù)文件管理規(guī)定》，質(zhì)技監(jiān)局標(biāo)發(fā)〔1998〕181 號，1998 年12 月24日發(fā)布。在個人信息安全領(lǐng)域，2012 年由全國信安標(biāo)委提出并歸口的《信息安全技術(shù) 公共及商品服務(wù)信息系統(tǒng)個人信息保護(hù)指南》（GB/Z 28828-2012，以下簡稱“《個人信息保護(hù)指南》國標(biāo)指導(dǎo)文件”）就屬于這類國家標(biāo)準(zhǔn)化指導(dǎo)性技術(shù)文件。另一類則可被稱為其他技術(shù)文件。如2019 年6 月1 日，全國信安標(biāo)委秘書處發(fā)布《網(wǎng)絡(luò)安全實踐指南——移動互聯(lián)網(wǎng)應(yīng)用基本業(yè)務(wù)功能必要信息規(guī)范》（TC260-PG-20191A，以下簡稱“業(yè)務(wù)功能規(guī)范”）。該規(guī)范前言就自我明示：《網(wǎng)絡(luò)安全實踐指南》是全國信安標(biāo)委發(fā)布的技術(shù)文件?！?〕《關(guān)于發(fā)布〈網(wǎng)絡(luò)安全實踐指南—移動互聯(lián)網(wǎng)應(yīng)用基本業(yè)務(wù)功能必要信息規(guī)范〉的通知》，載全國信安標(biāo)委網(wǎng)站，https://www.tc260.org.cn/front/postDetail.html?id=20190531230315，2020 年6 月25 日訪問。

值得注意的是，本領(lǐng)域還存在各類臨時性組織以各種形式發(fā)布的具備一定技術(shù)特征的其他制度文件。如2019 年1 月，中央網(wǎng)信辦、工信部、公安部、市場監(jiān)管總局等四部門聯(lián)合發(fā)布《關(guān)于開展APP 違法違規(guī)收集使用個人信息專項治理的公告》（以下簡稱“四部門公告”）。受四部門委托，全國信安標(biāo)委等四家非政府機構(gòu)成立了App 違法違規(guī)收集使用個人信息專項治理工作組，具體推動App違法違規(guī)收集使用個人信息評估工作。該工作組曾以自己的名義發(fā)布《App 違法違規(guī)收集使用個人信息自評估指南》。在行政法上，此類文件的法律屬性存疑，囿于篇幅所限，本文不做贅述，權(quán)且根據(jù)其內(nèi)容具備技術(shù)性特征而將其納入技術(shù)文件的范疇。

（二）個人信息安全標(biāo)準(zhǔn)體系的特征

1.功能上的支撐性。我國迄今尚未制定個人信息安全專門性法律。雖然部分法律、行政法規(guī)、部門規(guī)章先后就個人信息收集、使用、加工、傳輸?shù)拳h(huán)節(jié)如何保障個人信息安全進(jìn)行了規(guī)范，但個人信息安全的制度規(guī)范體系在總體上仍呈現(xiàn)出民事、行政規(guī)定整體供給不足、權(quán)利義務(wù)規(guī)定抽象的特征。與之相對，標(biāo)準(zhǔn)化活動則同步延展到與個人信息安全有關(guān)的服務(wù)、管理以及公權(quán)力領(lǐng)域，并在適用范圍、調(diào)整對象上與法律規(guī)范保持了相當(dāng)?shù)闹丿B性。《網(wǎng)絡(luò)安全法》第15 條明確規(guī)定：“建立和完善網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系。”《關(guān)于加強國家網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化工作的若干意見》同時指出：“構(gòu)建統(tǒng)一權(quán)威、科學(xué)高效的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系和標(biāo)準(zhǔn)化工作機制，支撐網(wǎng)絡(luò)安全和信息化發(fā)展?！薄?〕中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組辦公室、國家質(zhì)量監(jiān)督檢驗檢疫總局、國家標(biāo)準(zhǔn)化管理委員會下發(fā)的《關(guān)于加強國家網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化工作的若干意見》，中網(wǎng)辦發(fā)文〔2016〕5 號，2016 年8 月12 日發(fā)布?？梢姡瑯?biāo)準(zhǔn)在功能上具有十分明顯的支撐屬性。

2.內(nèi)容上的規(guī)范性。通過檢索發(fā)現(xiàn)，與一般技術(shù)標(biāo)準(zhǔn)在語言表述上有所不同的是，個人信息安全相關(guān)標(biāo)準(zhǔn)中存在一些比較明顯的類似法律規(guī)則中行為模式的用語。比如，在《信息安全技術(shù) 個人信息安全規(guī)范》（GB/T 35273—2020，以下簡稱“《個人信息安全規(guī)范》國家標(biāo)準(zhǔn)”）中，檢索到“應(yīng)”（156次），“不應(yīng)”（29 次），具體表述如“不應(yīng)以欺詐、誘騙、誤導(dǎo)的方式收集個人信息”“不應(yīng)隱瞞產(chǎn)品或服務(wù)所具有的收集個人信息的功能”“不應(yīng)從非法渠道獲取個人信息”等?！?〕國家市場監(jiān)督管理總局、中國國家標(biāo)準(zhǔn)化管理委員會《信息安全技術(shù) 個人信息安全規(guī)范》。在《信息安全技術(shù) 移動智能終端個人信息保護(hù)技術(shù)要求》（GB/T 34978—2017）中，檢索到“可以”（1 次），“應(yīng)”（23 次），“不應(yīng)”（3 次），具體表述如“持續(xù)收集個人信息時，應(yīng)允許移動智能終端用戶配置、調(diào)整或關(guān)閉個人信息收集功能”“移動智能終端系統(tǒng)和應(yīng)用程序不應(yīng)該采取隱蔽手段或以間接方式收集個人信息”等?！?0〕國家質(zhì)量技術(shù)監(jiān)督檢驗檢疫總局、中國國家標(biāo)準(zhǔn)化管理委員會《信息安全技術(shù) 移動智能終端個人信息保護(hù)技術(shù)要求》，GB/T 34978—2017，6.24；6.25?？梢?，個人信息安全標(biāo)準(zhǔn)不僅僅關(guān)注一般技術(shù)標(biāo)準(zhǔn)所關(guān)注的技術(shù)水平要求、技術(shù)路線選擇和技術(shù)指標(biāo)論證，也同樣關(guān)注個人信息安全相關(guān)主體的行為，從而呈現(xiàn)出規(guī)范性特征。我國在標(biāo)準(zhǔn)方面向來有技術(shù)標(biāo)準(zhǔn)、工作標(biāo)準(zhǔn)、管理標(biāo)準(zhǔn)之分。個人信息安全標(biāo)準(zhǔn)更多從屬于工作標(biāo)準(zhǔn)或管理標(biāo)準(zhǔn)的范疇。不過，承認(rèn)這一分類并不否定個人信息安全標(biāo)準(zhǔn)是技術(shù)制度的判斷。因此，標(biāo)準(zhǔn)仍應(yīng)當(dāng)主要立足于對技術(shù)細(xì)節(jié)的規(guī)范。從這個意義上講，個人信息安全標(biāo)準(zhǔn)是技術(shù)性和規(guī)范性的統(tǒng)一。

3.效力上的非強制性?？傮w而言，有關(guān)個人信息安全標(biāo)準(zhǔn)尚不滿足《標(biāo)準(zhǔn)化法》第10 條關(guān)于“保障人身健康和生命財產(chǎn)安全、國家安全、生態(tài)環(huán)境安全以及滿足經(jīng)濟社會管理基本需要”的要求。有關(guān)標(biāo)準(zhǔn)都符合《標(biāo)準(zhǔn)化法》第11 條所謂“基礎(chǔ)通用、與強制性國家標(biāo)準(zhǔn)配套、對各有關(guān)行業(yè)起引領(lǐng)作用等需要的技術(shù)要求”，從而選擇制定了推薦性標(biāo)準(zhǔn)。盡管本領(lǐng)域還存在一些因歷史原因制定了行業(yè)標(biāo)準(zhǔn)的強制性標(biāo)準(zhǔn)，但《標(biāo)準(zhǔn)化法》修訂以后，行業(yè)標(biāo)準(zhǔn)、地方標(biāo)準(zhǔn)都只能是推薦性標(biāo)準(zhǔn)，有關(guān)強制性標(biāo)準(zhǔn)應(yīng)當(dāng)完成轉(zhuǎn)化。故可以認(rèn)定，有關(guān)個人信息安全的政府標(biāo)準(zhǔn)均應(yīng)是推薦性標(biāo)準(zhǔn)，在效力上具有非強制性特征。

4.體系結(jié)構(gòu)上的模糊性。根據(jù)前述“技術(shù)文件管理規(guī)定”第3 條：“技術(shù)尚在發(fā)展中，需要有相應(yīng)的標(biāo)準(zhǔn)文件引導(dǎo)其發(fā)展或具有標(biāo)準(zhǔn)化價值，尚不能制定為標(biāo)準(zhǔn)的項目可以制定指導(dǎo)性技術(shù)文件?！卑凑赵摴芾硪?guī)定，指導(dǎo)性技術(shù)文件項目應(yīng)當(dāng)列入標(biāo)準(zhǔn)制修訂項目計劃，并在計劃中以指導(dǎo)性技術(shù)文件的特有標(biāo)號進(jìn)行標(biāo)明。盡管“技術(shù)文件管理規(guī)定”的適用范圍限于國家標(biāo)準(zhǔn)化指導(dǎo)性技術(shù)文件，但依舊對其他各類技術(shù)文件的規(guī)范化管理具備借鑒意義。反觀個人信息安全領(lǐng)域，卻隱約發(fā)現(xiàn)與從源頭上強化指導(dǎo)性技術(shù)文件的規(guī)劃性、體系性和規(guī)范性的精神不相符合的地方?！度珖畔踩珮?biāo)準(zhǔn)化技術(shù)委員會〈網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實踐指南〉管理辦法（暫行）》對技術(shù)文件的立項和編制程序規(guī)定相對靈活簡單，在嚴(yán)肅性方面表現(xiàn)不足。〔11〕《全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會〈網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實踐指南〉管理辦法（暫行）》，載全國信安標(biāo)委網(wǎng)站，https://www.tc260.org.cn/front/postDetail.html?id=20190902101324，2020 年6 月25 日訪問。比如，“四部門公告”發(fā)布以后，有關(guān)單位原本希望以推薦性國家標(biāo)準(zhǔn)的形式制定“四部門公告”中所提及的“大眾化應(yīng)用基本業(yè)務(wù)功能必要信息規(guī)范”。因制定過程中遭遇困難，后來被演變?yōu)橹贫ā皹I(yè)務(wù)功能規(guī)范”這一其他技術(shù)文件，但2020 年初，全國信安標(biāo)委又將《信息安全技術(shù) 移動互聯(lián)網(wǎng)應(yīng)用（App）收集個人信息基本規(guī)范》列入年度標(biāo)準(zhǔn)立項項目。這之間相對靈活而又反復(fù)的轉(zhuǎn)化至少說明，個人信息安全相關(guān)標(biāo)準(zhǔn)在內(nèi)在體系結(jié)構(gòu)方面還存在相當(dāng)?shù)哪：?。這與本行業(yè)發(fā)展不成熟、不穩(wěn)定有著直接的關(guān)系。

二、標(biāo)準(zhǔn)先行：實施中的異化及其動因

制定標(biāo)準(zhǔn)與實施標(biāo)準(zhǔn)是標(biāo)準(zhǔn)化的兩個維度。標(biāo)準(zhǔn)先行的前提是制定足夠多的、好的標(biāo)準(zhǔn)并加以實施，進(jìn)而實現(xiàn)支撐法律實施的目的。就標(biāo)準(zhǔn)的制定而言，《標(biāo)準(zhǔn)化法》的修改力圖改變多年來由政府幾乎作為標(biāo)準(zhǔn)唯一供給主體的局面，通過適度吸納、轉(zhuǎn)化市場標(biāo)準(zhǔn)，提升標(biāo)準(zhǔn)的總體供給能力。就標(biāo)準(zhǔn)的實施而言，標(biāo)準(zhǔn)的實施雖然可以通過標(biāo)準(zhǔn)化自身的舉措來實現(xiàn)（如基于標(biāo)準(zhǔn)的認(rèn)證），但主要還是通過與法律規(guī)范發(fā)生關(guān)系而實施的。這便牽涉出標(biāo)準(zhǔn)化的體制，以及標(biāo)準(zhǔn)與法律規(guī)范之間的關(guān)系問題。

（一）個人信息安全標(biāo)準(zhǔn)實施環(huán)節(jié)的異化

1.標(biāo)準(zhǔn)先于法律規(guī)范對外部性的行為進(jìn)行規(guī)制。當(dāng)具備規(guī)范性特征的個人信息安全標(biāo)準(zhǔn)與同樣具有規(guī)范性特征的法律規(guī)范在規(guī)制對象上相互重疊之時，通過比對兩類規(guī)范性文件的內(nèi)容，可以在一定程度上揣度標(biāo)準(zhǔn)實施中存在的問題。

第一，個人信息安全標(biāo)準(zhǔn)中不少具有規(guī)范性特征的語言，在表述上仍停留于相對抽象的層面。比如，標(biāo)準(zhǔn)中還存在諸如“隱蔽手段”“間接方式”等不確定法律概念，給標(biāo)準(zhǔn)實施留有相當(dāng)?shù)牟昧坑嗟?。這些規(guī)定并未將法律規(guī)范中的行為要求全面分解成客觀的、描述性的、程序性的要素，并未充分關(guān)注不同產(chǎn)品、服務(wù)和流程的屬性及內(nèi)容，也就并未完全契合標(biāo)準(zhǔn)在技術(shù)性、科學(xué)性、透明性、可達(dá)性以及相容性等方面要求。因此，有關(guān)標(biāo)準(zhǔn)的實施也未必能如人所愿地很好地起到支撐法律實施的作用，從而不可避免地在一些時刻與法律的實施形成平行狀態(tài)。

第二，部分標(biāo)準(zhǔn)并未僅僅局限于將有關(guān)法律的規(guī)定轉(zhuǎn)換為技術(shù)性的要求。由于《網(wǎng)絡(luò)安全法》對個人信息安全的表述過于原則，導(dǎo)致有關(guān)標(biāo)準(zhǔn)中相當(dāng)?shù)钠加脕砣菁{法律中未曾出現(xiàn)的針對互聯(lián)網(wǎng)領(lǐng)域新生業(yè)態(tài)的各類新興行為的規(guī)范性條款。通過標(biāo)準(zhǔn)本身相對靈活、簡便的制修訂活動，標(biāo)準(zhǔn)事實上領(lǐng)先于法律規(guī)范實現(xiàn)了對現(xiàn)實變遷的回應(yīng)。比如，“《個人信息保護(hù)指南》國標(biāo)指導(dǎo)文件”就在法律規(guī)范之前率先區(qū)分了一般個人信息和個人敏感信息，并設(shè)置了相應(yīng)的行為規(guī)則。〔12〕《〈信息安全技術(shù) 公共及商用服務(wù)信息系統(tǒng)個人信息保護(hù)指南〉已編制完成》，載中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心網(wǎng)站，http://www.isccc.gov.cn/xwdt/xwkx/04/584584.shtml，2020 年6 月25 日訪問。又比如，“《個人信息安全規(guī)范》國家標(biāo)準(zhǔn)”又在《網(wǎng)絡(luò)安全法》之外區(qū)分了“基本業(yè)務(wù)功能”和“擴展功能”，并新設(shè)了諸如“增強式告知”等行為規(guī)則?！?3〕同前注〔9〕。這些條款的實施，注定會影響產(chǎn)品和服務(wù)提供者、使用者的權(quán)利義務(wù)。

2.推薦性標(biāo)準(zhǔn)實施過程中的變相強制化。前述標(biāo)準(zhǔn)內(nèi)容的前瞻性并非一定是值得非議的。為應(yīng)對風(fēng)險社會挑戰(zhàn)，標(biāo)準(zhǔn)化越來越強調(diào)“事前引領(lǐng)”的功能，即由標(biāo)準(zhǔn)進(jìn)行面向未來的規(guī)劃、設(shè)計、創(chuàng)新和綜合，以解決未來問題或引領(lǐng)所在領(lǐng)域乃至跨領(lǐng)域的全面發(fā)展?！?4〕參見王艷林：《大標(biāo)準(zhǔn)化時代與〈標(biāo)準(zhǔn)化法〉之修改——以政府職能轉(zhuǎn)變?yōu)橹行牡挠懻摗罚d《河南財經(jīng)政法大學(xué)學(xué)報》2017 年第3 期，第3 頁。因此，還需要結(jié)合監(jiān)管部門在行政執(zhí)法活動中對待標(biāo)準(zhǔn)的態(tài)度來進(jìn)行進(jìn)一步的判斷。2017 年，國家網(wǎng)信辦等四部門牽頭《個人信息保護(hù)倡議》的起草工作，最終，包括京東、阿里等互聯(lián)網(wǎng)頭部企業(yè)簽署了這一倡議。倡議書中雖然只籠統(tǒng)地寫明“遵照國家相關(guān)標(biāo)準(zhǔn)要求，采取充分有效的技術(shù)和管理措施，防止個人信息泄露、毀損、丟失”，但2018 年1 月，國家網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)局在約談“支付寶年度賬單事件”當(dāng)事企業(yè)負(fù)責(zé)人時，仍指出其收集使用個人信息的方式“不符合剛剛發(fā)布的《個人信息安全規(guī)范》國家標(biāo)準(zhǔn)”“違背其前不久簽署的《個人信息保護(hù)倡議》”?！?5〕《個人信息安全規(guī)范國標(biāo)填補規(guī)則空白》，載中央網(wǎng)信辦網(wǎng)站，http://www.cac.gov.cn/2018-05/14/c_1122776896.htm，2020年6 月25 日訪問。

《標(biāo)準(zhǔn)化法》第2 條規(guī)定：“國家鼓勵采用推薦性標(biāo)準(zhǔn)?！薄镀髽I(yè)標(biāo)準(zhǔn)化管理辦法》（原國家技術(shù)監(jiān)督局第13 號令）第17 條指出：“推薦性標(biāo)準(zhǔn)，企業(yè)一經(jīng)采用，應(yīng)嚴(yán)格執(zhí)行。”可見，推薦性標(biāo)準(zhǔn)獲得法律效力的方式是“企業(yè)采用”。這里便涉及兩個可資討論的問題：（1）何為“企業(yè)采用”?在前述行政執(zhí)法案件中，監(jiān)管機關(guān)顯然非常明確地將簽署倡議書等柔性社會治理手段也視同為企業(yè)采用推薦性國家標(biāo)準(zhǔn)的方式。與此同時，監(jiān)管機關(guān)又非常寬泛地解釋了倡議書中“有關(guān)國家標(biāo)準(zhǔn)”的內(nèi)涵。這樣一來，監(jiān)管機關(guān)就可以依據(jù)個人信息保護(hù)推薦性國家標(biāo)準(zhǔn)的要求來對監(jiān)管對象實施處理。（2）對于未簽署上述倡議書的絕大多數(shù)被監(jiān)管對象而言，基于推薦性標(biāo)準(zhǔn)的行政執(zhí)法是否難以實施呢？《個人信息安全規(guī)范》國家標(biāo)準(zhǔn)實施以后，雖然監(jiān)管機關(guān)的執(zhí)法文書通常簡單而直接地對應(yīng)違法行為與《網(wǎng)絡(luò)安全法》有關(guān)禁止性條款、義務(wù)性條款的關(guān)系，但有關(guān)個人信息安全的推薦性標(biāo)準(zhǔn)卻在事實上作為了評判互聯(lián)網(wǎng)從業(yè)者是否違法的直接準(zhǔn)據(jù)。在“《個人信息安全規(guī)范》國家標(biāo)準(zhǔn)”的適用范圍說明中就寫道：“本標(biāo)準(zhǔn)……適用于主管監(jiān)管部門、第三方評估機構(gòu)等組織對個人信息處理活動進(jìn)行監(jiān)督、管理和評估?！薄?6〕同前注〔9〕。而監(jiān)管機關(guān)負(fù)責(zé)人在《規(guī)范》發(fā)布時也明確指出，規(guī)范“為制定和實施個人信息保護(hù)相關(guān)法律法規(guī)奠定基礎(chǔ)，為國家主管部門、第三方測評機構(gòu)等開展個人信息安全管理、評估工作提供指導(dǎo)和依據(jù)”?！?7〕《國家標(biāo)準(zhǔn)〈信息安全技術(shù) 個人信息安全規(guī)范〉評析》，載全國信安標(biāo)委網(wǎng)站，https://www.tc260.org.cn/front/postDetail.html?id=20180201200746，2020 年2 月22 日訪問。

綜上，在“《個人信息安全規(guī)范》國家標(biāo)準(zhǔn)”尚未實施的情況下，監(jiān)管部門已經(jīng)顯露出將“《個人信息安全規(guī)范》國家標(biāo)準(zhǔn)”等推薦性標(biāo)準(zhǔn)作為判斷違法事實依據(jù)的端倪?！啊秱€人信息安全規(guī)范》國家標(biāo)準(zhǔn)”實施以后，這一思路在實踐中被隱性地堅持了下來。至此，推薦性標(biāo)準(zhǔn)在實施環(huán)節(jié)被變相強制化了。

3.團(tuán)體標(biāo)準(zhǔn)在未經(jīng)驗證前被行業(yè)標(biāo)準(zhǔn)吸納。新《標(biāo)準(zhǔn)化法》第18 條增加了團(tuán)體標(biāo)準(zhǔn)作為法定標(biāo)準(zhǔn)的類型之一，“鼓勵學(xué)會、協(xié)會、商會、聯(lián)合會、產(chǎn)業(yè)技術(shù)聯(lián)盟等社會團(tuán)體協(xié)調(diào)相關(guān)市場主體共同制定滿足市場和創(chuàng)新需要的團(tuán)體標(biāo)準(zhǔn)，由本團(tuán)體成員約定采用或者按照本團(tuán)體的規(guī)定供社會自愿采用”。關(guān)于團(tuán)體標(biāo)準(zhǔn)，《團(tuán)體標(biāo)準(zhǔn)管理規(guī)定（試行）》（以下簡稱“團(tuán)標(biāo)規(guī)定”）第25 條要求：“團(tuán)體標(biāo)準(zhǔn)實施效果良好，且符合國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)或地方標(biāo)準(zhǔn)制定要求的，團(tuán)體標(biāo)準(zhǔn)發(fā)布機構(gòu)可以申請轉(zhuǎn)化為國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)或地方標(biāo)準(zhǔn)?！薄?8〕《質(zhì)檢總局 國家標(biāo)準(zhǔn)委 民政部關(guān)于印發(fā)〈團(tuán)體標(biāo)準(zhǔn)管理規(guī)定（試行）〉的通知》，國質(zhì)檢標(biāo)聯(lián)〔2017〕536 號，2017 年12月15 日發(fā)布。然而，通過檢索個人信息安全標(biāo)準(zhǔn)制定過程中的一系列公開信息，卻可以發(fā)現(xiàn)一些不太符合“團(tuán)標(biāo)規(guī)定”要求的情形。比如，由工業(yè)和信息化部主管的中國通信標(biāo)準(zhǔn)化協(xié)會（CCSA）下屬網(wǎng)絡(luò)與信息安全技術(shù)工作委員會（TC8）無線網(wǎng)絡(luò)安全工作組（WG2）第58 次會議審議了作為研究項目的《移動應(yīng)用軟件個人信息保護(hù)要求和評估辦法》標(biāo)準(zhǔn)文稿V1.1 的文本?！?9〕《TC8WG2 第58 次會議》，載中國通信標(biāo)準(zhǔn)化協(xié)會網(wǎng)站，http://www.ccsa.org.cn/tc/meeting.php?meeting_id=6328，2020 年2 月22 日訪問。而在中國通信標(biāo)準(zhǔn)化協(xié)會主辦的通信行業(yè)標(biāo)準(zhǔn)線上查詢平臺上，可以查找到被列入通信行業(yè)標(biāo)準(zhǔn)項目進(jìn)展目錄的《移動應(yīng)用軟件個人信息保護(hù)要求和評估方法》，項目編號為2019-1132T-YD。〔20〕《通信標(biāo)準(zhǔn) 標(biāo)準(zhǔn)項目進(jìn)展 標(biāo)準(zhǔn)項目列表》，載通標(biāo)網(wǎng)，http://www.ptsn.net.cn/standard/project_list.php?PageNo=2，2020年2 月22 日訪問。如果將該平臺所公布的行業(yè)標(biāo)準(zhǔn)過程稿文本與前述電信終端產(chǎn)業(yè)協(xié)會（TAF）協(xié)調(diào)相關(guān)市場主體正在制定的《移動智能終端與應(yīng)用軟件用戶個人信息保護(hù)實施指南》系列團(tuán)體標(biāo)準(zhǔn)的過程稿文本進(jìn)行對比的話，就會發(fā)現(xiàn)兩類標(biāo)準(zhǔn)文本之間存在高度的重合性。問題是，TAF 相關(guān)團(tuán)體標(biāo)準(zhǔn)并未完成制定，也遠(yuǎn)未實施，顯然不能構(gòu)成“團(tuán)標(biāo)規(guī)定”所稱“實施效果良好”。二者之間在內(nèi)容方面的高度一致性表明，個人信息安全團(tuán)體標(biāo)準(zhǔn)存在未經(jīng)驗證就被采標(biāo)部門轉(zhuǎn)化吸納為行業(yè)標(biāo)準(zhǔn)的情況。

（二）標(biāo)準(zhǔn)實施中產(chǎn)生異化的動因

上述事實說明，不論是標(biāo)準(zhǔn)體系內(nèi)部的轉(zhuǎn)化吸納，還是借助于法律的強制效力來實施標(biāo)準(zhǔn)，都呈現(xiàn)出諸多與應(yīng)然狀態(tài)不相一致的情況。這當(dāng)然與個人信息安全熱點事件頻發(fā)和所吸引的公眾關(guān)注直接相關(guān)。肩負(fù)確保個人信息安全的監(jiān)管職責(zé)，面對互聯(lián)網(wǎng)信息領(lǐng)域復(fù)雜的技術(shù)和市場環(huán)境，監(jiān)管部門不僅希望自己的行政規(guī)制，而且希望市場主體的自我規(guī)制以及社會第三方的技術(shù)支持都能夠通過一個相對制度化的載體發(fā)揮作用，從而實現(xiàn)技術(shù)治理的目標(biāo)。具體而言，上述異化由兩個方面的因素所驅(qū)動。

1.風(fēng)險預(yù)防有賴于開展行為控制。根據(jù)依法行政的要求，行政執(zhí)法機關(guān)需要按照“過罰相當(dāng)”的原則作出行政處理。因此，個人信息違法事件的社會危害后果與行政處理的幅度正相關(guān)。當(dāng)還沒有發(fā)生個人信息安全事件，抑或發(fā)生了安全事件但危害后果不大時，行政執(zhí)法的幅度就不會太大，執(zhí)法的威懾力也就相對有限。與工業(yè)時代的法律主要針對大型企業(yè)和專業(yè)化的服務(wù)提供者而設(shè)計管制規(guī)范不同的是，在互聯(lián)網(wǎng)時代，大量分散的個體和小型企業(yè)借助數(shù)字平臺參與經(jīng)濟活動?！?1〕參見趙鵬：《平臺、信息和個體：共享經(jīng)濟的特征及其法律意涵》，載《環(huán)球法律評論》2018 年第4 期，第80 頁。由于這些活動的內(nèi)在要求是對海量分散化信息的整合處理，以滿足多樣化、個性化的需求，因此，涉及個人信息的信息流的大小與有關(guān)產(chǎn)品和服務(wù)滿足市場需求的能力和水平正相關(guān)，而與從業(yè)主體的規(guī)模大小沒有直接關(guān)聯(lián)——一些來路于小型從業(yè)主體的產(chǎn)品或服務(wù)，因其內(nèi)容受歡迎，反而可能吸附更大規(guī)模的個人信息。在這些產(chǎn)品或者服務(wù)身上一旦發(fā)生個人信息安全事件，波及面大，后果極為嚴(yán)重。因此，監(jiān)管部門意識到個人信息安全的治理需要貫徹風(fēng)險預(yù)防的理念，將執(zhí)法的端口前移，從事后制裁拉回到事前事中控制上來。為從業(yè)者設(shè)置行為規(guī)范，進(jìn)行流程管理就成為監(jiān)管部門落實事前事中控制的一個非常合適的選擇。

2.多元治理有賴于提高制度供給。如前所述，由于大量分散的個體和小型企業(yè)借助數(shù)字平臺參與經(jīng)濟活動，嚴(yán)重的執(zhí)法效益難題必然催生監(jiān)管機關(guān)、被規(guī)制者、社會第三方的多元治理。

第一，相較于大型平臺企業(yè)，這些分散個體、小型企業(yè)的個人信息安全風(fēng)險防控意識更差、用于保障安全的硬件和軟件投入更少，因此社會上存在的潛在違法量極大。行政執(zhí)法力量與行政執(zhí)法對象之間比例嚴(yán)重失調(diào)，執(zhí)法成本極高。特別是囿于數(shù)字經(jīng)濟架構(gòu)的復(fù)雜和技術(shù)的超高速迭代，個人信息控制者有能力利用復(fù)雜的技術(shù)架構(gòu)來規(guī)避監(jiān)管，使得本領(lǐng)域政府規(guī)制面臨高強度“監(jiān)管追趕”的壓力，進(jìn)而需要同樣高強度的、產(chǎn)出靈活的制度供給。

第二，在政府規(guī)制以外，行政機關(guān)不僅需要借助投訴舉報等公眾參與機制對涉?zhèn)€人信息違法行為進(jìn)行精準(zhǔn)對應(yīng)，而且需要依靠從業(yè)主體的自我規(guī)制來實現(xiàn)降低潛在違法量的目的。監(jiān)管部門希望個人信息安全標(biāo)準(zhǔn)為從業(yè)主體進(jìn)行組織合規(guī)和內(nèi)部制度建設(shè)提供現(xiàn)成素材；希望通過用一套相對便于識別、便于操作、便于評價的制度化供給來為從業(yè)主體開展合規(guī)審計、進(jìn)行自我規(guī)制，以及便利社會公眾有效參與提供參照和準(zhǔn)據(jù)。

第三，在本領(lǐng)域開展行政執(zhí)法的技術(shù)門檻較高，往往需要借助社會第三方評估檢測機構(gòu)才能實施。而行政機關(guān)常用的對外部行政相對人發(fā)揮作用的行政規(guī)范性文件并不能適應(yīng)第三方評估檢測機構(gòu)的技術(shù)需要，因此也客觀上提出了能夠適用于第三方評估檢測的技術(shù)性的制度供給需要。

三、對標(biāo)法治：技治主義的隱性優(yōu)勢及其反思

依托標(biāo)準(zhǔn)來實施法律，通過標(biāo)準(zhǔn)的技術(shù)規(guī)范或標(biāo)準(zhǔn)化工作機制來實現(xiàn)保障個人信息安全相關(guān)法律在實施中取得最佳效果，這其實在國際上并不鮮見。美國NIST 所做的“網(wǎng)絡(luò)安全框架”（Cybersecurity Framework）也是推薦性的。我國的個人信息安全監(jiān)管機關(guān)及其智庫機構(gòu)也常常以此來佐證其監(jiān)管思路的正當(dāng)性，并列舉了美國聯(lián)邦貿(mào)易委員會（FTC）、美國證券交易委員會（SEC）、美國國土安全部以及美國能源部的幾個案例來作為佐證，形成一種“有事實、有真相”的局面。〔22〕所引用的觀點和措施包括：美國聯(lián)邦貿(mào)易委員會在其網(wǎng)站的公開表態(tài)“網(wǎng)絡(luò)安全框架與FTC 堅持的以流程為基礎(chǔ)的監(jiān)管方式是相一致的”（From the perspective of the staあ of the Federal Trade Commission, NIST’s Cybersecurity Framework is consistent with the process-based approach that the FTC has followed）；美國證券交易委員會明確要求其監(jiān)管對象在考慮從何入手評估該采用什么網(wǎng)絡(luò)安全措施時，應(yīng)當(dāng)使用的工具之一即是網(wǎng)絡(luò)安全框架（In considering where to begin to assess a company’s possible cybersecurity measures, one conceptual roadmap boards should consider is the Framework for Improving Critical Infrastructure Cybersecurity, released by the National Institute of Standards and Technology）；以及美國國土安全部和美國能源部制定專門政策鼓勵其監(jiān)管對象采用網(wǎng)絡(luò)安全框架?！度绾卫斫狻淳W(wǎng)絡(luò)安全法〉與國家標(biāo)準(zhǔn)〈個人信息安全規(guī)范〉的關(guān)系》，載全國信安標(biāo)委網(wǎng)站，https://www.tc260.org.cn/front/postDetail.html?id=20180201200942，2020 年2 月22 日訪問。實際上，在標(biāo)準(zhǔn)化學(xué)界，早已有學(xué)者以美國的標(biāo)準(zhǔn)化實踐為視角，分析了技術(shù)法規(guī)與自愿性標(biāo)準(zhǔn)的融合問題，〔23〕參見廖麗、程虹：《法律與標(biāo)準(zhǔn)的契合模式研究——基于硬法與軟法的視角及中國實踐》，載《中國軟科學(xué)》2013 年第 7 期，第165-168 頁。但是上述觀點可能僅僅注意到標(biāo)準(zhǔn)與法律相融合的現(xiàn)象，卻沒有在法治層面探討這一問題，更沒有在公法所特有的思維框架中來具體分析這一問題。

（一）對標(biāo)準(zhǔn)實施中異化現(xiàn)象的解釋：技治主義進(jìn)路

雖然監(jiān)管機關(guān)確立了“安全保障、技術(shù)為基、標(biāo)準(zhǔn)先行”的規(guī)制框架，但是這一框架卻并沒有從正當(dāng)性層面得到充分的論證。固然，通過標(biāo)準(zhǔn)來支撐法律實施以實現(xiàn)規(guī)制目的，是西方國家開展個人信息安全規(guī)制所通行的做法，但在認(rèn)同這種方式之前，還需要更為精確地回應(yīng)標(biāo)準(zhǔn)化的本質(zhì)特征。就此而言，監(jiān)管部門的立場并未獲得法理層面的充分論證。

1.標(biāo)準(zhǔn)作為外在于法律的制度系統(tǒng)，其所反映的是一種市場需求與標(biāo)準(zhǔn)之間的供求關(guān)系。在這種供求關(guān)系中，市場是需求方，標(biāo)準(zhǔn)是供給方。對于標(biāo)準(zhǔn)本身而言，發(fā)表一個標(biāo)準(zhǔn)的價值可能是微小的，而付諸實施推廣和實現(xiàn)是重要的，標(biāo)準(zhǔn)化的作用取決于標(biāo)準(zhǔn)的實施?！?4〕參見于連超：《〈標(biāo)準(zhǔn)化法〉的新理念與新制度評析》，載《標(biāo)準(zhǔn)科學(xué)》2018 年第1 期，第12 頁。而標(biāo)準(zhǔn)之所以能夠獲得實施，取決于標(biāo)準(zhǔn)與市場需求的契合度。因此，標(biāo)準(zhǔn)化的本質(zhì)特征是自下而上的價值取向和橫向合作、協(xié)商共識的形成方式。這與以法律規(guī)則為代表的，體現(xiàn)國家意志、自上而下形成的縱向秩序規(guī)則是截然不同的。

2.在規(guī)范的效力層面，標(biāo)準(zhǔn)并不具有法律規(guī)范所具有的權(quán)利義務(wù)內(nèi)容，只具有科學(xué)技術(shù)上的合理性。標(biāo)準(zhǔn)雖然在法律上也具有規(guī)范的效力，但其規(guī)范效力并不是來自于標(biāo)準(zhǔn)本身，而是來自于法的規(guī)定。即便是強制性國家標(biāo)準(zhǔn)在現(xiàn)行法框架下似乎具有自上而下的法律效力，但其強制性效力也是來自《標(biāo)準(zhǔn)化法》的規(guī)定，而不是標(biāo)準(zhǔn)本身?！?5〕參見柳經(jīng)緯：《標(biāo)準(zhǔn)的規(guī)范性與規(guī)范效力——基于標(biāo)準(zhǔn)著作權(quán)保護(hù)的視角》，載《法學(xué)》2014 年第 8 期，第101-102 頁。如果僅就推薦性標(biāo)準(zhǔn)而言，當(dāng)事人的自愿選擇構(gòu)成標(biāo)準(zhǔn)發(fā)生法律效力的首要路徑。

3.盡管標(biāo)準(zhǔn)中有政府標(biāo)準(zhǔn)和市場標(biāo)準(zhǔn)之分，且政府主導(dǎo)的標(biāo)準(zhǔn)有助于抵消市場標(biāo)準(zhǔn)的負(fù)效應(yīng)，〔26〕關(guān)于標(biāo)準(zhǔn)競爭的問題，參見毛豐付：《標(biāo)準(zhǔn)競爭與競爭政策——以 ICT 產(chǎn)業(yè)為例》，上海三聯(lián)書店 2007 年版，第158-167 頁。但基于標(biāo)準(zhǔn)“自下而上”的本質(zhì)，政府標(biāo)準(zhǔn)與市場標(biāo)準(zhǔn)的關(guān)系不是對立的——政府標(biāo)準(zhǔn)不是政府主導(dǎo)制定的法律規(guī)則，它應(yīng)當(dāng)以市場標(biāo)準(zhǔn)作為基礎(chǔ)，進(jìn)而深深地植根于市場需求和社會自治之中。在多數(shù)國家，都為符合特定條件的市場標(biāo)準(zhǔn)通過特定程序轉(zhuǎn)化為國家標(biāo)準(zhǔn)預(yù)埋了管道，〔27〕比如，美國國家標(biāo)準(zhǔn)學(xué)會（ANSI）通過認(rèn)可（ANSI Accreditation）標(biāo)準(zhǔn)制定組織（SDOs）并向其提供程序性文件來管理和協(xié)調(diào)美國國家標(biāo)準(zhǔn)的制定工作；英國《皇家特許》（Royal Charter）授權(quán)非營利的民間標(biāo)準(zhǔn)化機構(gòu)，即英國標(biāo)準(zhǔn)協(xié)會（BSI）來對有關(guān)團(tuán)體標(biāo)準(zhǔn)進(jìn)行轉(zhuǎn)化，進(jìn)而變成英國標(biāo)準(zhǔn)；德國政府同樣授權(quán)民間管理的德國標(biāo)準(zhǔn)化協(xié)會（DIN）來統(tǒng)一管理德國的標(biāo)準(zhǔn)。而德國的標(biāo)準(zhǔn)雖然也由國家標(biāo)準(zhǔn)、團(tuán)體標(biāo)準(zhǔn)和企業(yè)標(biāo)準(zhǔn)組成，但所有標(biāo)準(zhǔn)均為自愿性標(biāo)準(zhǔn)。同前注〔2〕，劉三江、劉輝文，第4-5 頁。前述我國的“團(tuán)標(biāo)規(guī)定”也為團(tuán)體標(biāo)準(zhǔn)的轉(zhuǎn)化創(chuàng)造了條件。不過，這一切制度設(shè)計的前提是在市場標(biāo)準(zhǔn)之間能夠形成充分競爭。也只有通過競爭，優(yōu)秀的市場標(biāo)準(zhǔn)才可能脫穎而出，進(jìn)而成為向政府標(biāo)準(zhǔn)轉(zhuǎn)化的“毛坯”。正因為如此，盡管美國十分重視通過采用標(biāo)準(zhǔn)來支撐法律的實施，但1998 年白宮預(yù)算與管理辦公室發(fā)布的《聯(lián)邦參與制定和采用自愿一致標(biāo)準(zhǔn)及合格評定活動行政通告》（（OMB）Circular No.A-119）就非常明確地指出：所有聯(lián)邦機構(gòu)在采購和法規(guī)管理活動中必須采用自愿一致性標(biāo)準(zhǔn)?！?8〕See OMB，Circular No.A-119 Revised，http://www.whitehouse.gov/omb/circulars_a119/,last visit on Feb.22,2020.

綜上，當(dāng)監(jiān)管部門試圖用前述幾個美國事例來說明通過標(biāo)準(zhǔn)開展治理的正當(dāng)性時，可能恰恰忽略了域外制度中最為重要的前提——那就是標(biāo)準(zhǔn)自下而上、自愿一致的屬性。前述美國FTC 的表態(tài)只不過肯定了標(biāo)準(zhǔn)規(guī)制與法律規(guī)制的融合性；SEC 的要求則僅僅將推薦性標(biāo)準(zhǔn)作為從業(yè)主體實施自我規(guī)制的合規(guī)參照；至于美國國土安全部和美國能源部的舉措則更加明確地佐證了標(biāo)準(zhǔn)當(dāng)且僅當(dāng)市場主體自愿采用時才會發(fā)生法律效力的觀點。

因此，在“行為規(guī)范”和“執(zhí)法/裁判規(guī)范”二元框架下，個人信息安全領(lǐng)域的推薦性標(biāo)準(zhǔn)應(yīng)當(dāng)屬于前者，這意味著其應(yīng)當(dāng)將“引導(dǎo)企業(yè)行為合規(guī)”作為首要目的，而不是用作國家主管部門開展個人信息安全管理的依據(jù)?！?9〕參見許可：《〈個人信息安全規(guī)范〉的效力與功能》，載《中國信息安全》2019 年第3 期，第45 頁。例如，2017 年7 月，中央網(wǎng)信辦等四部門聯(lián)合開展隱私條款專項工作時，參加評審的十款網(wǎng)絡(luò)產(chǎn)品和服務(wù)就參照《個人信息安全規(guī)范（報批稿）》中的《附錄D：隱私政策模板》，對各自的隱私政策進(jìn)行了相應(yīng)的調(diào)整，而監(jiān)管部門也對這樣的合規(guī)舉措進(jìn)行了認(rèn)可。這一事例大致符合“引導(dǎo)參照”的進(jìn)路，即監(jiān)管部門通過制定標(biāo)準(zhǔn)，站在企業(yè)行為之時的立場上，在事前給出合規(guī)的方案，但是一旦監(jiān)管部門對待個人信息安全推薦性標(biāo)準(zhǔn)的態(tài)度稍稍滑出“行為規(guī)范”的框架，而變向地進(jìn)入到“執(zhí)法/裁判規(guī)范”的框架時，就意味著監(jiān)管部門在將代表代議民主的現(xiàn)代法律作為執(zhí)法和裁判的唯一依據(jù)之時，又另外肯定了代表技術(shù)理性的標(biāo)準(zhǔn)制度具有事實上同等的地位。特別是當(dāng)行政監(jiān)管部門在缺乏對標(biāo)準(zhǔn)化“自下而上”的本質(zhì)特征的認(rèn)知之時，就如此強化技術(shù)理性“自上而下”的作用，甚至將其奉為迎接法律落地的“階梯”，這在無形中顯露出一種技治主義的規(guī)制思路。

關(guān)于技治主義，其在理論層面主張“社會組織必須在發(fā)展的每一個階段上，根據(jù)技術(shù)‘律令’的需要來適應(yīng)技術(shù)的進(jìn)步”?！?0〕［美］安德魯·芬伯格：《技術(shù)批判理論》，韓連慶、曹觀法譯，北京大學(xué)出版社2005 年版，第173-174 頁。應(yīng)當(dāng)說，技治主義并非眾矢之的，在抽象的理論意義上，它是人們基于技術(shù)化社會進(jìn)程的不可逆性，而對于理性化社會中科學(xué)技術(shù)、可靠性、高效率的意義和本體地位的哲學(xué)概括。〔31〕參見周千祝、曹志平：《技治主義的合法性辯護(hù)》，載《自然辯證法研究》2019 年第2 期，第30 頁。技治與法治之間并非毫無可比性——立法的過程高度復(fù)雜，是一個各方面利益反復(fù)博弈的政治過程。其經(jīng)歷的時間較長，不確定因素較大，如果將立法作為規(guī)制個人信息安全的主渠道，其持續(xù)性的制度供給能力著實令人堪憂。不僅如此，傳統(tǒng)立法規(guī)制方式通常表現(xiàn)為“命令—控制”方式，集中體現(xiàn)為執(zhí)行大量的禁止性規(guī)范或者義務(wù)性規(guī)范，要求被管理對象不得或者必須為某些特定的行為，有關(guān)法律條文的組成架構(gòu)也被抽象為“前提條件+行為模式+法律后果”。在互聯(lián)網(wǎng)技術(shù)條件下，這樣的組成架構(gòu)難以回應(yīng)技術(shù)爆炸環(huán)境的合規(guī)需求?！?2〕參見趙鵬：《數(shù)字技術(shù)的廣泛應(yīng)用與法律體系的變革》，載《中國科技論壇》2018 年第11 期，第21 頁。不過，僅僅認(rèn)識到技術(shù)治理的合理性，而將技治主義作為一個解釋社會現(xiàn)象的工具是不夠的。一切社會行為都是有意義的，欲理解個人信息安全標(biāo)準(zhǔn)實施中的異化，有必要進(jìn)一步解構(gòu)監(jiān)管技治主義進(jìn)路背后的真正“意義”。相較于法治，技治還有什么隱蔽的功能呢？這就需要結(jié)合公法特有的思維框架進(jìn)行分析。

法治特別是其中的公法規(guī)則與政府的權(quán)力直接相關(guān)?；谝婪ㄐ姓囊?，不同層級的法律規(guī)范對行政執(zhí)法機關(guān)的賦權(quán)力度相差迥異。在傳統(tǒng)行政法中所體現(xiàn)出來的對行政權(quán)的高度不信任，以及與之對應(yīng)的簡單粗放式的立法控權(quán)方式，導(dǎo)致行政執(zhí)法機關(guān)的權(quán)力能力大為受限。越是基層越?jīng)]權(quán)，越是政府規(guī)制主體越被動，難以達(dá)致“命令—控制”方式所需要的強大執(zhí)法能力。行政執(zhí)法機關(guān)不得不想方設(shè)法地自我解套，以便“繞開束縛”來另尋執(zhí)法權(quán)力借力發(fā)揮的載體。很顯然，標(biāo)準(zhǔn)客觀上為行政執(zhí)法權(quán)的借力發(fā)揮提供了便利。標(biāo)準(zhǔn)體系不僅與法律體系共享規(guī)范性的特征，而且相較于法律體系則更有利于對接行政執(zhí)法機關(guān)的現(xiàn)實需要——對于公權(quán)力而言，與各具體的行政行為法根據(jù)《立法法》所確立的法規(guī)范體系的層級，由上至下遞減式地對公權(quán)力進(jìn)行授權(quán)賦能不同，不同類型標(biāo)準(zhǔn)之間嚴(yán)格來說只有適用范圍上的區(qū)別、強制和自愿的區(qū)別、于我有效和于我無效的區(qū)別，并沒有效力大小的區(qū)別。即使是推薦性標(biāo)準(zhǔn)，也比一般的行政規(guī)范性文件更具備形式上的規(guī)范性，也更易于產(chǎn)生實質(zhì)上的參照效應(yīng)和執(zhí)法威懾，且不像行政規(guī)范性文件將始終面臨來自司法審查的壓力?？梢灶A(yù)見，即使行政機關(guān)在執(zhí)法文書中公開了對標(biāo)準(zhǔn)有關(guān)技術(shù)內(nèi)容的引證，司法機關(guān)在很大程度上將對這種技術(shù)理性保持尊重，盡管仍保留有審查的職責(zé)。

（二）法治框架下技治主義進(jìn)路的反思

作為一種技術(shù)制度，標(biāo)準(zhǔn)不僅僅具有技術(shù)屬性，而且具有制度屬性。制度屬性表明標(biāo)準(zhǔn)不僅僅表現(xiàn)為其在技術(shù)領(lǐng)域發(fā)揮對于法律實施的支撐作用，而且表現(xiàn)為其與政治制度、法律制度的互動關(guān)聯(lián)。在互聯(lián)網(wǎng)技術(shù)條件下，個人信息安全標(biāo)準(zhǔn)化具有技治主義意義上的合理性，也完全可以用作市場主體自我規(guī)制的參照，但在法治的框架下，不能被對個人信息安全標(biāo)準(zhǔn)制度的微觀管理和便利性優(yōu)勢遮蔽雙眼，還要將對標(biāo)準(zhǔn)化活動的評價納入到現(xiàn)實的政治制度、社會條件、法治發(fā)展階段之中，要結(jié)合標(biāo)準(zhǔn)的宏觀管理以及標(biāo)準(zhǔn)背后的政府權(quán)力和職能配置的合法性、正當(dāng)性等問題對技治主義進(jìn)路進(jìn)行反思。

1.個人信息安全標(biāo)準(zhǔn)化不能忽視對標(biāo)準(zhǔn)自身局限的認(rèn)識。具體而言，標(biāo)準(zhǔn)在民主性、科學(xué)性和確定性三方面都可能存在不足。

第一，在民主性方面，盡管國家標(biāo)準(zhǔn)等政府標(biāo)準(zhǔn)制定流程的改革紅利正在釋放，標(biāo)準(zhǔn)的民主性已大為提升，〔33〕如增設(shè)了委員聯(lián)名申報功能，建立了公開征求意見平臺等，參見《國標(biāo)制定流程進(jìn)一步完善 增設(shè)委員聯(lián)名申報功能》，載中國政府網(wǎng)，http://www.gov.cn/xinwen/2019-05/14/content_5391274.htm，2020 年2 月22 日訪問。但與完整、嚴(yán)謹(jǐn)?shù)牧⒎ǔ绦蛳啾?，還存在很大的區(qū)別。事實上，只要標(biāo)準(zhǔn)還具有技術(shù)屬性，就不可能彌合二者之間的區(qū)別。相對而言，非政府的市場標(biāo)準(zhǔn)盡管也強調(diào)制定過程的公開透明，但在體現(xiàn)民主性方面可能遭遇更大的不確定。標(biāo)準(zhǔn)中的技術(shù)要求及對其的選擇“是‘待確定的’，對可選擇事物的最終決定歸根到底取決于它們與影響設(shè)計過程的不同社會集團(tuán)和信仰之間的‘適應(yīng)性’”?！?4〕［美］安德魯·芬伯格：《可選擇的現(xiàn)代性》，陸俊譯，中國社會科學(xué)出版社2003 年版，第4 頁。換言之，有關(guān)技術(shù)要素并不能單獨決定標(biāo)準(zhǔn)的設(shè)計過程和設(shè)計結(jié)果，社會要素將不可避免地參與到標(biāo)準(zhǔn)的設(shè)計過程中來。與立法相比，標(biāo)準(zhǔn)在制定中可能更容易受到來自利益集團(tuán)的俘獲，這是因為標(biāo)準(zhǔn)事實上是在設(shè)置市場壁壘，建立進(jìn)入門檻。標(biāo)準(zhǔn)要求的提高將直接增加市場參加者的競爭成本，不利于中小企業(yè)在市場中的競爭和發(fā)展，進(jìn)而減少大企業(yè)所面臨的競爭威脅，最終降低市場的充分競爭程度?！?5〕魯籬：《標(biāo)準(zhǔn)化與反壟斷問題研究》，載《中國法學(xué)》2003 年第1 期，第172 頁。因此，需要警惕的是，盡管標(biāo)準(zhǔn)的產(chǎn)生體現(xiàn)競爭、強調(diào)合作，但標(biāo)準(zhǔn)的實施完全可能出現(xiàn)反競爭的后果。由此，對于有關(guān)市場標(biāo)準(zhǔn)的吸納和轉(zhuǎn)化，就必須建立在嚴(yán)格評判競爭的充分性和實施效果的優(yōu)良程度之上。

第二，在科學(xué)性方面，即使在工業(yè)時代，知識有限的魔咒就一直存在。面對信息時代的高風(fēng)險挑戰(zhàn)，專業(yè)化的科學(xué)知識已經(jīng)不再具有傳統(tǒng)科學(xué)觀所主張的全整的理性，而是充滿了知識結(jié)構(gòu)和內(nèi)容的不確定性。加之專家個人偏好的情境性以及政策的社會建構(gòu)性等因素，將極大地降低科學(xué)理性的正當(dāng)性并進(jìn)一步削弱了其介入標(biāo)準(zhǔn)等技術(shù)制度建構(gòu)的有效性。例如，前述全國信安標(biāo)委發(fā)布的技術(shù)文件“業(yè)務(wù)功能規(guī)范”對移動互聯(lián)網(wǎng)應(yīng)用進(jìn)行了類型化的區(qū)分，并“自上而下”地對不同類型移動互聯(lián)網(wǎng)應(yīng)用的通用功能相關(guān)必要信息、業(yè)務(wù)功能相關(guān)必要信息進(jìn)行劃定，進(jìn)而限制個人信息的收集和使用。有關(guān)移動互聯(lián)網(wǎng)類型的區(qū)分、以及功能所需必要信息的框定都是基于標(biāo)準(zhǔn)制定之時的有限理性進(jìn)行判斷的，這種封閉式的技術(shù)路線與標(biāo)準(zhǔn)開放性的要求南轅北轍，可能無法引領(lǐng)行業(yè)發(fā)展，如果其產(chǎn)生適用效力，可能制約市場創(chuàng)新。又比如，“《個人信息安全規(guī)范》國家標(biāo)準(zhǔn)”要求：“個人信息主體注銷賬戶，對個人信息控制者的要求包括……應(yīng)及時刪除其個人信息或匿名化處理。”〔36〕同前注〔9〕。由于匿名化與去標(biāo)識化并非同一概念，刪除或者匿名化以后，有關(guān)信息不可恢復(fù)，故退出后如需要再次返回，則需要對個性化展示需要的各種數(shù)據(jù)進(jìn)行重新收集和重新畫像。該規(guī)定可能實質(zhì)降低用戶體驗感、折損企業(yè)數(shù)據(jù)權(quán)益，存在有悖于大數(shù)據(jù)發(fā)展規(guī)律的現(xiàn)實可能性，因而在標(biāo)準(zhǔn)規(guī)范的科學(xué)性上存疑。如果對科學(xué)理性的限度視而不見，一旦存在認(rèn)識上的局限，不盡合理的標(biāo)準(zhǔn)就可能對市場的創(chuàng)新產(chǎn)生擠出效應(yīng)。

第三，在確定性方面，前文已述，個人信息安全諸多標(biāo)準(zhǔn)都具備規(guī)范性特征，屬于工作標(biāo)準(zhǔn)抑或管理標(biāo)準(zhǔn)。與純粹技術(shù)標(biāo)準(zhǔn)強調(diào)數(shù)值確定性不同的是，個人信息安全標(biāo)準(zhǔn)的影響像法律規(guī)范一樣涉及不特定的群體，他們的內(nèi)容及其表述方式都與法律規(guī)范相差無幾。因此，他們自身也難以完全逃脫法律規(guī)范的局限，如存在不確定概念和裁量余地等。換言之，二者在局限性方面可能并沒有質(zhì)上的區(qū)別，只有程度上的差異。在一個不確定性占據(jù)主導(dǎo)地位的時代，制定一部確定無虞的規(guī)范性的文件（不論是法律還是標(biāo)準(zhǔn)），都幾乎是不可能完成的任務(wù)。

2.個人信息安全標(biāo)準(zhǔn)化不能忽視因標(biāo)準(zhǔn)自身缺陷而對被規(guī)制者產(chǎn)生的影響。由于標(biāo)準(zhǔn)存在上述民主性、科學(xué)性和規(guī)范性的局限，標(biāo)準(zhǔn)并不是一個神話般的存在。監(jiān)管部門在推進(jìn)個人信息安全標(biāo)準(zhǔn)化的同時，可能忽略了標(biāo)準(zhǔn)化與法律責(zé)任之間的關(guān)系。脫胎于工業(yè)時代的標(biāo)準(zhǔn)化在強調(diào)其整齊劃一的制度優(yōu)勢之時，可能未必適應(yīng)數(shù)據(jù)高速流動、極化使用以及不確定性風(fēng)險如影隨形的數(shù)字時代。如果被規(guī)制者遵循了標(biāo)準(zhǔn)的有關(guān)行為和流程要求，是否意味著其可以獲得法律責(zé)任的豁免? 至少在現(xiàn)在的情況下，一旦發(fā)生個人信息安全事件，面對強大的政治壓力和輿論壓力，對標(biāo)準(zhǔn)自身缺陷的理性認(rèn)知都會讓位于結(jié)果導(dǎo)向的管制思路。而標(biāo)準(zhǔn)自身的缺陷、被規(guī)制者的質(zhì)疑又都能夠被標(biāo)準(zhǔn)規(guī)范中不確定的概念和裁量余地所吸收。

3.個人信息安全標(biāo)準(zhǔn)化不能忽視與之相配套的制度建設(shè)。之所以存在前述因忽視標(biāo)準(zhǔn)自身缺陷而對被規(guī)制者權(quán)利義務(wù)產(chǎn)生影響的情況，并不一定意味著規(guī)制者有意對二者之間張力的視而不見，相反，這與和標(biāo)準(zhǔn)化相配套的認(rèn)證制度不健全以及實施不有力有著直接的關(guān)系。事實上，但凡規(guī)制者還抱持工具主義、結(jié)果導(dǎo)向的管制思路，就還沒有從根本上意識到標(biāo)準(zhǔn)自身的實施機制與法律實施機制的不同，沒有跳出“對違法行為實施事后制裁”的法律規(guī)制進(jìn)路，也就沒有回到通過事前“合規(guī)審計”來確保標(biāo)準(zhǔn)實施的規(guī)制進(jìn)路上來。更進(jìn)一步講，認(rèn)證制度不僅有對符合紙上的標(biāo)準(zhǔn)的認(rèn)證，也有對符合要求的事實的認(rèn)證。例如，如果平臺當(dāng)前的業(yè)務(wù)實踐不完全符合有關(guān)個人信息安全推薦性標(biāo)準(zhǔn)的規(guī)定，但該平臺可以證明該業(yè)務(wù)實踐能夠滿足《網(wǎng)絡(luò)安全法》或其他法律法規(guī)的要求，則應(yīng)當(dāng)認(rèn)為該平臺不會有明顯的法律合規(guī)風(fēng)險。這一規(guī)定的實施在很大程度上將有賴于認(rèn)證制度的落實，否則，一旦發(fā)生安全事件，在結(jié)果導(dǎo)向的管制思路下，仍可能招致法律的制裁。盡管認(rèn)證制度也不排斥對違反標(biāo)準(zhǔn)的行為進(jìn)行事后制裁，但認(rèn)證制度的信號功能、激勵效應(yīng)，也有助于促使市場主體遵守標(biāo)準(zhǔn)，從而確保標(biāo)準(zhǔn)的有效實施。

4.個人信息安全標(biāo)準(zhǔn)化不能掩蓋標(biāo)準(zhǔn)背后的權(quán)力真相。為此，可以分別從政府標(biāo)準(zhǔn)的產(chǎn)出以及市場標(biāo)準(zhǔn)的產(chǎn)出、標(biāo)準(zhǔn)的實施三個方面來進(jìn)行論證。

第一，就政府標(biāo)準(zhǔn)的產(chǎn)出而言，制定標(biāo)準(zhǔn)本身就是一種權(quán)力，體現(xiàn)了標(biāo)準(zhǔn)制定主體的權(quán)力能力。我國的標(biāo)準(zhǔn)化體制脫胎于計劃經(jīng)濟，有關(guān)政府標(biāo)準(zhǔn)的制定在很大程度上體現(xiàn)為行政權(quán)的直接作用。因此，標(biāo)準(zhǔn)化體制改革的成效在很大程度上可以折射政府職能轉(zhuǎn)變的成效。行政權(quán)力應(yīng)當(dāng)是有限的，因此行政權(quán)力介入標(biāo)準(zhǔn)化活動也應(yīng)當(dāng)是有限度的。從這個意義上講，網(wǎng)絡(luò)信息產(chǎn)業(yè)的成熟度、相關(guān)市場的穩(wěn)定程度，以及過度標(biāo)準(zhǔn)化可能產(chǎn)生的技術(shù)壁壘、超大型平臺企業(yè)可能因此形成的壟斷等，都應(yīng)當(dāng)作為行政權(quán)力介入個人信息安全標(biāo)準(zhǔn)制定之前需要考慮的因素。

第二，就市場標(biāo)準(zhǔn)的產(chǎn)出而言，《標(biāo)準(zhǔn)化法》修改以后，法律對團(tuán)體標(biāo)準(zhǔn)等市場標(biāo)準(zhǔn)的強調(diào)并不意味著強大行政權(quán)力的自動退場。研究《標(biāo)準(zhǔn)化法》的學(xué)者認(rèn)為，在保留推薦性行業(yè)標(biāo)準(zhǔn)的前提下培育發(fā)展團(tuán)體標(biāo)準(zhǔn)，體現(xiàn)出漸進(jìn)式推進(jìn)標(biāo)準(zhǔn)化體制改革的思路。這是一種注重增量而非存量的改革，遵循“帕累托改進(jìn)”，希望通過體現(xiàn)市場需求的團(tuán)體標(biāo)準(zhǔn)的增量變化來最終帶動體現(xiàn)行政權(quán)力的政府標(biāo)準(zhǔn)存量的調(diào)整變化?！?7〕參見前注〔2〕，劉三江、劉輝文，第8 頁。因此，既保留行業(yè)標(biāo)準(zhǔn)又培育團(tuán)體標(biāo)準(zhǔn)可能是一種過渡形態(tài)，體現(xiàn)了政府主導(dǎo)和發(fā)揮“市場在資源配置中的決定性作用”之間的艱難變奏。在過渡階段，行業(yè)標(biāo)準(zhǔn)與團(tuán)體標(biāo)準(zhǔn)的各自定位還未完全厘清，行業(yè)標(biāo)準(zhǔn)與團(tuán)體標(biāo)準(zhǔn)的內(nèi)在關(guān)聯(lián)機制還沒有很好建立，政府的行政權(quán)力對團(tuán)體標(biāo)準(zhǔn)的制定存在著非制度化的影響。因此，主張培育團(tuán)體標(biāo)準(zhǔn)，發(fā)揮各類學(xué)會、協(xié)會的專業(yè)作用，就不僅是對協(xié)會、學(xué)會等團(tuán)體標(biāo)準(zhǔn)制定主體在類型和名稱方面的關(guān)注，更是對組織法意義上此類標(biāo)準(zhǔn)制定主體的資格和權(quán)利能力的關(guān)注。如果只滿足于形式上的團(tuán)體標(biāo)準(zhǔn)，而不存在社會組織、行業(yè)協(xié)會的團(tuán)體自治，就意味著行政權(quán)力仍將實質(zhì)影響團(tuán)體標(biāo)準(zhǔn)的產(chǎn)出。如果行政權(quán)力可以變相影響團(tuán)體制定標(biāo)準(zhǔn)，甚至未經(jīng)市場驗證就對團(tuán)體標(biāo)準(zhǔn)實施轉(zhuǎn)化，這意味著有關(guān)團(tuán)體事實上成為了協(xié)助政府制定標(biāo)準(zhǔn)的工具。這樣一來，“自下而上的標(biāo)準(zhǔn)”就將被“自上而下的標(biāo)準(zhǔn)”所取代。而廣大市場主體所面對的，就可能不僅僅有疊床架屋的法律規(guī)范，而且是層層加碼的標(biāo)準(zhǔn)。

第三，就標(biāo)準(zhǔn)的實施而言，標(biāo)準(zhǔn)的實施依賴于法律的規(guī)定。標(biāo)準(zhǔn)既然不能離開法律為自己賦權(quán)，也就更不能僭越乃至取代法律對其他主體賦權(quán)。所有作為政府部門執(zhí)法的依據(jù)都必須通過法律法規(guī)以及規(guī)章授權(quán)，因此政府在執(zhí)法時依據(jù)標(biāo)準(zhǔn)是有問題的。即使是強制性標(biāo)準(zhǔn)，也不能作為天然的依據(jù)，而必須有轉(zhuǎn)致的條款?！?8〕關(guān)于轉(zhuǎn)致條款，參見宋亞輝：《食品安全標(biāo)準(zhǔn)的私法效力及其矯正》，載《清華法學(xué)》2017 年第2 期，第158 頁?！毒W(wǎng)絡(luò)安全法》雖然要求市場主體提供的服務(wù)、產(chǎn)品符合個人信息安全標(biāo)準(zhǔn)，但并未直接授權(quán)政府執(zhí)行。違反標(biāo)準(zhǔn)代表市場主體的行為和服務(wù)有缺陷，可以作為判斷民事責(zé)任的依據(jù)，但是不應(yīng)當(dāng)天然作為政府執(zhí)法的依據(jù)。

四、結(jié)論

標(biāo)準(zhǔn)看似是一個技術(shù)問題，但實際上對當(dāng)事人權(quán)利義務(wù)影響重大。也正因如此，標(biāo)準(zhǔn)的技術(shù)判斷應(yīng)當(dāng)限于技術(shù)細(xì)節(jié)，基本的價值權(quán)衡則必須由民主的立法程序完成。就此，需要進(jìn)行反思的是，標(biāo)準(zhǔn)尤其是規(guī)范性特征較為明顯的工作標(biāo)準(zhǔn)和管理標(biāo)準(zhǔn)，究竟能夠在多大程度上貢獻(xiàn)簡化、協(xié)調(diào)、統(tǒng)一、最優(yōu)的治理方案？如何通過法律制度的構(gòu)造，讓標(biāo)準(zhǔn)發(fā)揮減少市場主體交易成本的作用？如何對接“放管服”改革和政府職能轉(zhuǎn)變，引導(dǎo)市場主體主動科學(xué)推標(biāo)？一言以表，監(jiān)管部門不應(yīng)忽視標(biāo)準(zhǔn)“自下而上”的本質(zhì)，從而摒棄工具主義的管制思維。政府在利用標(biāo)準(zhǔn)開展個人信息安全治理時，應(yīng)當(dāng)更多地關(guān)注服務(wù)，而不是執(zhí)法。