探索激励相容的个人数据治理之道——中国个人信息保护法的立法方向

文/周汉华

以激励相容为制度设计的核心

国内外学术界对于中国改革开放基本经验的主流总结，内在逻辑均是强调通过激励机制调整来调动各级政府或者市场主体的积极性与创造性，走出一条中国的大国发展道路。中国发展道路选择不仅符合本国国情，也与近年来国际上政府改革的普遍经验契合。传统法律理论认为，法律是主权者的命令，是必须遵守的规范，令行禁止是其基本特征。因此，传统立法规制方式通常是命令控制方式，表现为禁止性规范或者义务性规范，要求被管理对象不得或者必须从事某些特定行为。这种规制方式有很多弊端，包括：要求很强的执法能力，否则命令会被普遍漠视；由于信息不对称，这种命令可能与市场规律脱节，遏制市场主体创新能力与守法诱因；执法部门权力过大，可能会导致选择性执法或者“执法捕获”等问题。在全球行政改革浪潮中，传统的命令控制式规制受到广泛批评，激励性监管得到重视，人们发现规则如果能够与被管理者激励相容，会极大降低执法成本，提高合规动力。因此，法律规则除了命令、禁止以外，还可以发挥引导作用，调动被管理者的守法诱因。如何设计这种激励相容机制，是规范实施的成败关键。

在大数据时代，由于数据本身的特性，信息控制者有很强的利用激励而缺乏同等程度的保护激励。如果立法缺乏科学性，只是简单施加各种强制性外部要求，忽视信息控制者内在激励机制设计，就不能消除失衡根源。只有外部要求与内生激励相容，才能够实现大数据利用与个人信息保护协调发展。因此，大数据时代的个人信息保护，真正的挑战在于，如何通过科学的立法与制度设计，理顺立法要求与信息控制者内在激励之间的关系，使个人信息保护成为信息控制者的内在需要。这是个人信息保护法制度设计的目标和最终评价标准。

准确理解欧美个人信息保护法的新发展

国内过去比较欧美个人信息保护法律，普遍缺乏对两种模式实际运行状况以及共性的研究，存在简单的扬美抑欧的现象。最新的国际实证比较研究成果表明，不管欧盟模式还是美国模式，不论法律多么严格，只有激励相容才会取得预期保护成效，不相容则难以得到执行，甚至会导致既阻碍创新又保护不了个人信息的双输结果。因此，成败的关键不在于法律规定的模式差别，而在于个人数据治理的制度设计是否科学。探索中国的个人数据治理之道，必须超越欧美两种模式的简单法规范对比，既要看到两种模式的差别，更要从两种模式中吸取有益的经验。只有这样，才能博采众长，走出一条符合我国国情的个人信息保护法治道路。

如果说美国一直在探讨如何构建有效的个人信息保护法律体系，欧盟则已经将制度建设付诸实施。从制定《个人数据保护指令》到出台《一般数据保护条例》，欧盟的立法行动体现了既保护个人信息决定权利又促进个人信息自由流动的双重价值。这种双重价值追求，既体现在《指令》《条例》的名称中，也体现在立法结构的整体安排上，更体现在《指令》《条例》的前言、基本原则与具体规定之中。当然，鉴于《指令》制定之时移动互联网与大数据尚未发展，其侧重点更多偏向个人信息保护；而《条例》的制定就必须同步考虑大数据发展的实际，为大数据发展提供法律依据，为欧盟数字经济发展留下空间。国内解读欧盟个人信息保护法律制度，往往只强调其权利保护的一面，看到严格执行的各种要求，却忽略了其促进发展的一面和制度设计中的各种平衡追求。相较于《个人数据保护指令》，《一般数据保护条例》的整体制度设计思路更清晰、规定更翔实，充分体现了通过更有效的内部治理、更强的外部威慑，促使信息控制者主动承担更多责任的立法意图，符合激励监管的基本原理。

如果说法律规定是外在的表现形式，那么追求法律的有效实施机制就是内在动力，两者之间是器与道、形与神的关系。后发国家如果只看到美欧法律规定的表面差别，看不到背后的作用机理，就很难从其经验与教训中获得任何有益的启示。

培育信息控制者的内部治理机制

发展中国家不同于欧美发达国家，制定个人信息保护法，首先要找到信息控制者最基本的激励点，并围绕核心激励设计相关的制度。对于所有信息控制者而言，最基本的需求肯定都是发展与安全。发展是目标，安全是实现目标的保障；缺乏安全保障，不可能有发展。由于技术水平的差距，发展中国家面临的安全挑战比发达国家要大得多。从安全防范角度切入，在发展中国家应该是最容易为信息控制者接受的解决方案。

对于信息控制者而言，从信息安全角度来保护个人信息，本应该是顺理成章的事，个别行业领先企业也已经自发在进行相关的内部治理机制探索。但是，过去对信息安全约定俗成的理解，并不包括个人信息安全或者隐私保护。基于这种背景，1994年制定的《计算机信息系统安全保护条例》，目的是为了保护计算机信息系统的安全，保障计算机及其相关的和配套的设备、设施（含网络）及其运行环境的安全，保障信息的安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全运行，但缺乏关于个人信息保护的规定，使个人信息保护一直游离于信息安全等级保护制度之外。这样，在传统的信息安全观念下，信息控制者长期考虑的只是计算机系统安全或者运行安全，力图通过权限管理、病毒查杀、设立防火墙、VPN、入侵检测等管理与技术措施，防止系统被攻击和瘫痪，未能将个人信息保护纳入安全框架内一并予以考虑，导致信息安全管理与个人信息保护长期存在相互脱节的现象。

近年来国家明显加快了个人信息保护的立法进程。2009年侵权责任法首次在法律中确立了隐私权的法律地位。同年，刑法修正案（七）设立了出售、非法提供公民个人信息罪与非法获取公民个人信息罪两个罪名。2012年《全国人民代表大会常务委员会关于加强网络信息保护的决定》，第一次从法律上界定了个人信息的内涵和范围，也是我国法律第一次对个人信息保护实体内容进行较为系统的规定。2013年修订的消费者权益保护法，明确将个人信息得到保护的权利列为消费者的一项基本权利，全面突出强调了消费者个人信息保护方面的内容。2015年刑法修正案（九）对刑法修正案（七）的规定予以进一步完善，将两个罪名合并为侵犯公民个人信息罪，还增设了拒不履行信息网络安全管理义务罪。2016年制定的网络安全法是迄今为止对个人信息保护规定最为全面的立法，它明确要求网络运营者建立健全用户信息保护制度。2017年民法总则第111条规定，自然人的个人信息受法律保护。

但是，由于缺乏专门的个人信息保护法，我国个人信息保护相关立法目前普遍存在两个突出问题：一是规定过于原则，往往只是一个概念或者一个具体要求，通常是禁止性要求，缺乏系统的整体制度设计，即使网络安全法对于个人信息保护也都只是一些非常原则性的规定；二是普遍重责任追究，尤其是刑事责任追究，轻过程规范，轻综合治理，只要发生不利结果，就责任很重，甚至可以直接刑罚制裁，而信息控制者究竟应该履行哪些法律义务则缺乏规定。比如，按照《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，对于侵犯公民个人信息罪“情节严重”采用了十种不同的判定标准，符合标准之一就可以定罪。这样，几乎所有侵犯公民个人信息行为都可能直接触发刑事责任，完全可以替代任何行政执法机制，更不需要内部治理机制配合。结果，近年来的密集立法不但未能解决信息控制者内部信息安全与个人信息保护脱节问题，还导致外部法律要求与信息控制者内部治理机制脱节、刑法制裁与其他法律手段脱节、责任规范与行为规范脱节等现象，呈现典型的命令控制式立法特点。刑事责任规定虽然看似严格，实际效果却非常有限。随着大数据发展，一些市场主体已经意识到个人信息保护的重要性，并进行相关的主动探索，但囿于内部体制分割，加之法律规定的各种脱节现象，导致始终无法破解“两张皮”“多张皮”的问题症结。

未来个人信息保护法要做的，就是针对上述各种脱节现象，借鉴近年来国际社会的实践经验与国内行业领先企业的有益探索，以培育信息控制者内部治理机制为目标，将个人信息保护要求嵌入整体信息安全防范体系中，明确各个环节的相关法律义务和组织要求，完善多元参与与互动机制，实现法律规范的外在要求与信息控制者的内在需要激励相容，达到既保护个人信息安全又强化信息控制者的安全防范能力的双赢结果。这就涉及观念更新、组织与流程再造、行为方式调整等各个方面，是一项系统工程，需要进行全面的制度设计。

构筑有效的外部执法威慑

培育激励相容的内生机制，核心在信息控制者的自律。但是，在利用与保护个人数据激励失衡的大背景下，不论是合作规制理论还是各国个人信息保护实践均证明，完全依靠自律机制并不能形成有效的激励约束。只要个人数据能够带来利益，这种现象就难以改变。制定个人信息保护法的国家，一项重要的立法任务就是构建有效的外部执法威慑，促使信息控制者积极履行法律责任，并对违法处理个人信息的行为予以制裁。

由于缺少统一的个人信息保护法，我国在外部执法威慑机制构建方面除了前述的刑法机制替代其他执法机制、信息控制者实体行为规范缺位以外，实践中还导致国家网络安全保护与个人信息保护错位现象，进一步加剧了规则适用的紊乱和系统性失灵。

在国家信息网络专项立法规划中，信息网络立法是分层规划、分层设计的，网络安全法与个人信息保护法是两部独立的立法，各自有其立法目的、原则、任务与制度。网络安全是国家安全的重要组成部分，事关国家根本利益，不容半点妥协，没有网络安全就没有国家安全。个人信息权是个人权利的组成部分，权利有相对性，需要依法行使，同时承担义务，权利与权利之间出现冲突需要协调，为了国家安全与公共利益可能还需要对权利进行必要的限制或克减。

由于网络安全法制定的时候，个人信息保护法尚未被纳入国家正式立法计划，因此该法自然承担了部分个人信息保护法的立法任务，集中反映在第四章的相关规定中。也就是说，网络安全法同时承担了双重任务：一是保护国家网络安全，这是该法的主要任务；二是保护个人信息安全，这是该法的附带任务。如果能够把握法律关系的本质，分别适用不同的判断标准与制度，本来应该不会出现不同任务之间的错位问题。但是，由于个人信息保护法缺位，加之其他各种复杂的原因，实践中已经出现的问题是，执法部门有时候会将双重任务混合，就高不就低，将保护国家网络安全的标准适用到个人信息保护领域，导致法律关系出现错位和紊乱。

可见，加快出台个人信息保护法，科学厘清不同制度的边界，不仅能解决刑法规范替代其他执法机制、信息控制者行为规范缺失等问题，也能理顺个人信息保护法与网络安全法的关系，解决好外部执法威慑机制越位、缺位与错位并存的三大现实问题，形成有效的立法结构，推动大数据利用与个人信息保护的协调发展。

构筑有效的外部执法威慑，并不是为了执法而执法，更不是为了增加信息控制者的负担，而是为了推动信息控制者形成有效的内生治理机制。为此，个人信息保护法应从明确行为规范、加大违法成本、增强信息披露、提高违法行为被发现的可能性、完善行政处罚与刑事责任的衔接、推进合作治理等多角度，构筑有效威慑机制，构筑“胡萝卜+大棒”的激励约束格局，促使个人信息保护要求能够真正被信息控制者严格执行。

把握循序渐进的推进节奏

培育信息控制者内部治理机制与构筑有效的外部执法威慑，只是信息控制者与管理者两个主体之间的单维度关系，属于监管范畴的制度构建。要实现大数据利用与个人信息保护之间的协调发展，肯定不能遗漏信息主体及其权利行使，这就涉及信息主体、信息控制者、管理者三者之间的多维治理结构。缺乏信息主体参与，缺乏完整的治理结构支撑，不可能出现激励相容的结果，大数据发展与个人信息保护不可能实现持久平衡。当然，一旦引入多维视角，问题就会复杂得多。美欧两种模式之间的真正差别，其实在于究竟是在多维还是在单维中考虑个人信息保护。

我国制定个人信息保护法，不能够也不应该回避权利话语。个人信息保护法应该在近几年各项立法的基础上，借鉴国际社会成功经验，包括美国与欧盟的经验，以全面构建个人数据治理体系为原则，以防范个人信息安全风险为目标，明确引入公法意义上的个人信息控制权概念，并在收集、使用、转移、存储、跨境传输、销毁、查询、更正等个人信息处理的全过程中，明确信息主体的知情权、同意权、选择权、变更权、删除权、撤回权等各权项，使信息主体能够真正参与到个人信息保护之中。

大数据时代的个人信息保护是一个崭新的领域，个人信息权属于一项新的权利，权利的性质与边界都还不清晰，不宜简单用传统权利观念剪裁。简单照搬传统权利理论，可能会陷入无休止的理论争论之中，耗费大量精力。各国实践已经证明，即使立法技术科学，权利体系设计严密，仅仅依靠个人同意权等传统隐私权保护机制，无法应对大数据快速发展背景下的个人信息保护问题，告知同意机制完全可能流于形式，信息主体只能选择同意。

这就表明，个人信息保护法在设计治理结构的同时，必须考虑实施环节的激励相容机制实现问题，使实施部门对立法目的和基本制度构造有非常清晰的整体认识，并处理好不同维度之间的关系。个人信息保护法的实施需要循序渐进、突出重点、把握主线，以风险管理与防控为共同切入点，寻求法律实施的最大公约数，梯度递进。首先要通过立法在内的外部机制助推信息控制者组织架构变革，培育有效内生机制，形成内外互动合力，以有效预防绝大部分个人信息安全风险。在此基础上，根据国情、信息控制者接受度和公众偏好等因素，逐步探索提高价值定位，如合规、权利实现等。这种实施策略，既可以形成激励相容合力，调动信息控制者维护信息安全的积极性，降低规制成本，迅速实现基本安全目标，也有利于监管部门集中执法力量，聚焦核心环节，避免执法力量过于分散。也就是说，个人信息保护法的制定只是完成了一半任务，另一半任务在于实施中的策略选择和具体部署，如何实施法律决定了最初立法目标能否真正实现。

如果打破上述次序，不是先从信息安全风险管理角度切入，由易到难，而是反其道而行之，一下子全部铺开，势必加大内生机制的形成难度，相互牵制、抵消，欲速则不达，事与愿违。中国40年成功的渐进改革经验对个人信息保护法的实施路径选择有很强的参考意义，需要时时借鉴。