互聯(lián)網(wǎng)企業(yè)個人信息保護合規(guī)的行政監(jiān)管完善研究

幸珂嵐

摘?要：建立個人信息保護合規(guī)體系是互聯(lián)網(wǎng)企業(yè)規(guī)避相關(guān)法律風險的主要方式。當前，互聯(lián)網(wǎng)企業(yè)個人信息保護合規(guī)的行政監(jiān)管存在缺乏統(tǒng)一監(jiān)管主體、行政監(jiān)管措施乏力以及激勵機制供給不足等問題?；ヂ?lián)網(wǎng)企業(yè)個人信息保護合規(guī)的行政監(jiān)管需要走出傳統(tǒng)的“威懾”陷阱。通過建立統(tǒng)一的監(jiān)管機構(gòu)，完善政府合規(guī)管理制度和構(gòu)建行政合規(guī)激勵機制，從企業(yè)外部施加監(jiān)管壓力從而滿足保護公民個人信息、維護市場經(jīng)濟秩序的需求。

關(guān)鍵詞：互聯(lián)網(wǎng)企業(yè)；個人信息保護；企業(yè)合規(guī)；行政監(jiān)管

中圖分類號：D9?????文獻標識碼：A??????doi：10.19311/j.cnki.16723198.2024.01.065

隨著互聯(lián)網(wǎng)技術(shù)的迭代發(fā)展，互聯(lián)網(wǎng)企業(yè)在收集公民個人信息提供服務的同時，面臨泄露公民個人信息的法律風險不斷增大，《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）等相關(guān)法律的出臺，個人信息保護的重要性日益凸顯。建立個人信息保護合規(guī)體系是有效預防互聯(lián)網(wǎng)企業(yè)違法收集、存儲、使用公民個人信息的有效途徑，也是保護公民個人信息的新型治理方式。然而，企業(yè)一旦涉及犯罪，則將會面臨嚴峻刑罰，僅依靠企業(yè)內(nèi)部自行建立和運行個人信息保護合規(guī)體系并不能充分達到預防公民個人信息不受侵害的理想效果。一方面，公司內(nèi)部治理易受到主要管理人意志的影響，公司的高層領導意志和企業(yè)的逐利性難免會對合規(guī)體系的有效運行造成影響，易導致企業(yè)內(nèi)部合規(guī)計劃流于形式、難以落實；另一方面，有效的合規(guī)監(jiān)管體系需要對合規(guī)體系的運行形成全過程、全方位的監(jiān)督，這就需要具備一定權(quán)威性和專業(yè)性的角色參與完成對企業(yè)個人信息保護合規(guī)體系構(gòu)建的指導任務。通過將權(quán)威官方的外部監(jiān)管與細致貼切的內(nèi)部治理形成治理合力，才能夠進一步保障互聯(lián)網(wǎng)企業(yè)的合規(guī)體系運行不偏離軌道。當前相關(guān)的監(jiān)管制度不夠完善，監(jiān)管措施也不夠有力。本文旨在探討、分析當前互聯(lián)網(wǎng)企業(yè)個人信息保護合規(guī)行政監(jiān)管的現(xiàn)狀和存在的問題，從而提出相關(guān)完善建議，積極推動互聯(lián)網(wǎng)企業(yè)進行合規(guī)整改，實現(xiàn)可持續(xù)發(fā)展。

1?互聯(lián)網(wǎng)企業(yè)個人信息合規(guī)行政監(jiān)管模式考量

1.1?行政事前監(jiān)管

事前監(jiān)管，又稱為事前審批，是指在企業(yè)活動開展之前，相關(guān)監(jiān)管部門就該活動是否符合法律或者規(guī)章制度規(guī)定的各項條件所進行的監(jiān)督審查。目前我國監(jiān)管部門對企業(yè)提供互聯(lián)網(wǎng)信息服務采取的是雙軌制的事前審批模式。一是對于從事非經(jīng)營性互聯(lián)網(wǎng)信息服務的企業(yè)不需要獲得行政許可，僅需要到有關(guān)部門進行本案即可。二是對于從事經(jīng)營性互聯(lián)網(wǎng)信息服務的企業(yè)則必須辦理相關(guān)的經(jīng)營許可證，否則就會面臨觸犯非法經(jīng)營罪的風險，可能遭受強制關(guān)停、罰款等處罰措施?！秱€人信息保護法》中表明處理敏感個人信息可以通過法律、行政法規(guī)對有關(guān)行為設定行政許可或作出其他限制，這為監(jiān)管部門事前審批敏感個人信息處理行為提供了法律依據(jù)。同時，認證也屬于事前監(jiān)管的方式。在國家市場監(jiān)督管理總局和國家互聯(lián)網(wǎng)信息辦公室聯(lián)合發(fā)布的《個人信息保護認證實施規(guī)則》中，首次確立了個人信息保護認證制度，明確了個人信息保護認證的范圍、認證的流程以及認證后的持續(xù)監(jiān)督和認證責任。不過，該實施規(guī)則并沒有賦予個人信息處理者強制性的認證責任，而是采取倡導性的方式鼓勵個人信息處理者去認證。

1.2?行政事中監(jiān)管

事中監(jiān)管主要方式為行政約談，是指當行政相對人涉嫌違法犯罪時，行政部門通過“秘密”會談的形式警示行政相對人有關(guān)行為的違法風險，指明行政相對人從業(yè)活動中具體行為的違法性，同時，對行政相對人給予相應的警示教育和積極引導，從而使行政相對人規(guī)避違法風險的一種管理活動。例如，工信部信息通信管理局曾就侵犯用戶個人隱私的問題“秘密”會談了北京百度網(wǎng)訊科技有限公司、螞蟻金服集團公司，要求企業(yè)秉承充分保障用戶知情權(quán)益和選擇權(quán)益的原則進行合規(guī)整改，從而進一步規(guī)范企業(yè)對用戶個人信息的收集、處理和使用。

1.3?行政事后監(jiān)管

事后監(jiān)管是在違法行為發(fā)生后進行的監(jiān)管方式。當前我國對互聯(lián)網(wǎng)企業(yè)侵犯公民個人信息行為的主要事后監(jiān)管方式是行政處罰。當互聯(lián)網(wǎng)企業(yè)存在涉嫌侵犯公民個人信息行為時，行政機關(guān)可通過“認定—調(diào)查—懲罰”為基本構(gòu)成要件的執(zhí)法模式，對互聯(lián)網(wǎng)企業(yè)進行行政處罰。目前對互聯(lián)網(wǎng)企業(yè)侵犯公民個人信息實施的主要行政處罰方式有罰款、責令下架、關(guān)閉停業(yè)等。例如，2022年11月，國家網(wǎng)信辦將“超凡清理管家”等55款嚴重違反《個人信息保護法》等法律法規(guī)的App予以下架處理。

2?互聯(lián)網(wǎng)企業(yè)個人信息合規(guī)行政監(jiān)管面臨的運行困境

2.1?缺乏專一的監(jiān)管主體

在互聯(lián)網(wǎng)領域，依照相關(guān)條例規(guī)定，負責個人信息保護監(jiān)管工作的主要是國家網(wǎng)信部門、電信主管部門、公安部門和其他有關(guān)機關(guān)。而法律針對“有關(guān)機關(guān)”的表述意思含糊，并未指明是哪些具體行政機關(guān)立法也沒有進行明確地說明，在實踐監(jiān)管時，容易產(chǎn)生監(jiān)管主體不明的問題。同時，相關(guān)立法對互聯(lián)網(wǎng)領域的個人信息保護監(jiān)管主體并未作出明確規(guī)定，而是交由多個部門共同管理，這就可能導致兩種極端情況，一是負有管理義務的機關(guān)相互推諉、逃避職責，造成大家都不想管的局面。二是負有管理義務的機關(guān)爭相管理、重復管理，進而產(chǎn)生不必要的資源浪費，引發(fā)管理混亂。國家網(wǎng)信部門還承擔著維護網(wǎng)絡安全的任務，側(cè)重于國家安全層面，而公安部門承擔的社會監(jiān)管職責更為復雜，這在一定程度上削弱了其對于個人信息保護的職能。總之，當前行政監(jiān)管方式的監(jiān)管主體缺乏明確性和專一性，監(jiān)管主體責任的明確系完善統(tǒng)領個人信息保護監(jiān)管的重要前提。

2.2?合規(guī)管理行政監(jiān)管的制度供給不足

《個人信息保護法》為互聯(lián)網(wǎng)企業(yè)處理個人信息設立了一系列自我規(guī)制義務，在針對互聯(lián)網(wǎng)企業(yè)處理個人信息的自我規(guī)制模式之中，行政監(jiān)管主體作為自我規(guī)制的規(guī)制者，就要針對互聯(lián)網(wǎng)企業(yè)的自我規(guī)制進行監(jiān)督，以此確?；ヂ?lián)網(wǎng)企業(yè)在個人信息合理利用的軌道上正常運行?，F(xiàn)有行政監(jiān)管制度存在供給不足的情況。首先，行政監(jiān)管機關(guān)缺乏針對個人信息保護的專門性合規(guī)指引。一方面，通過發(fā)布個人信息保護合規(guī)指引，行政監(jiān)管機關(guān)確定互聯(lián)網(wǎng)企業(yè)個人信息保護合規(guī)管理的基本原則，指導企業(yè)建立一套行之有效的合規(guī)管理運行和合規(guī)管理保障機制。在一定程度上，個人信息保護合規(guī)指引可以成為互聯(lián)網(wǎng)企業(yè)建立個人信息保護合規(guī)體系的基本指南和標準范本。另一方面，在互聯(lián)網(wǎng)企業(yè)出現(xiàn)侵害公民個人信息的違法行為時，個人信息保護合規(guī)指引可以成為行政監(jiān)管機關(guān)查明互聯(lián)網(wǎng)企業(yè)個人信息保護合規(guī)體系有效性的參照和依據(jù)。此外，即使互聯(lián)網(wǎng)企業(yè)按照行政機關(guān)的指引構(gòu)建了形式上的個人信息保護合規(guī)體系，但是其建立的個人信息保護體系在實際運行中是否得到有效遵守，也是行政監(jiān)管面臨的一個重要問題，畢竟合規(guī)絕不能只能是“紙面上的合規(guī)”，建立合規(guī)體系的目的就是要預防企業(yè)違規(guī)，因此有必要對互聯(lián)網(wǎng)企業(yè)個人信息保護合規(guī)體系的運行進行監(jiān)管。

2.3?企業(yè)合規(guī)缺乏激勵機制

互聯(lián)網(wǎng)企業(yè)通過網(wǎng)絡科技損害公民個人信息的行為具有專業(yè)性、迅速性、累積性等特點。在實踐中，監(jiān)管部門在辦理有關(guān)互聯(lián)網(wǎng)企業(yè)侵害公民個人信息的案件中，往往存在著辦案成本投入大、案件辦理難度大、辦案效率低下等問題。對于治理結(jié)構(gòu)復雜的大型互聯(lián)網(wǎng)企業(yè)，行政監(jiān)管部門依靠傳統(tǒng)的執(zhí)法措施，一方面辦案人員缺乏相應經(jīng)驗對企業(yè)行為是否構(gòu)成違法難以判斷，另一方面難以對有關(guān)違法行為進行針對性的整改預防，這就導致了實踐中立案調(diào)查的標準不一，出現(xiàn)“選擇性執(zhí)法”現(xiàn)象：對部分輕微違法互聯(lián)網(wǎng)企業(yè)納入違法調(diào)查中，而對于嚴重違法的互聯(lián)網(wǎng)企業(yè)卻沒有被立案偵查，沒有受到相應懲罰。如此一來，被立案調(diào)查的互聯(lián)網(wǎng)企業(yè)心存不甘，難以認識到自身的不足，而逃脫法律制裁的互聯(lián)網(wǎng)企業(yè)則更加無視法律權(quán)威。在推進建立企業(yè)合規(guī)改革制度過程中的實際案例表明，期望企業(yè)事前自發(fā)建立合規(guī)體系是難以實現(xiàn)的，就算企業(yè)事前建立了有關(guān)的合規(guī)體系，往往是為了讓合規(guī)制度成為自身規(guī)避法律風險的借口，難以真正落實到企業(yè)的日常經(jīng)營中。企業(yè)合規(guī)作為公司風險規(guī)避的主要方式，需要通過有效激勵機制的建立，才能夠促使企業(yè)真正落實合規(guī)政策?；诖?，為了克服傳統(tǒng)監(jiān)管方式所帶來的局限性，通過建立配套合規(guī)激勵機制的建立，讓互聯(lián)網(wǎng)企業(yè)自覺建立個人信息保護合規(guī)體系，從而有效地將內(nèi)部監(jiān)管與外部監(jiān)管同步治理，在降低外部監(jiān)管成本的同時，激發(fā)企業(yè)自我監(jiān)管的認同感。

3?企業(yè)個人信息保護合規(guī)行政監(jiān)管的完善建議

3.1?建立統(tǒng)一獨立的監(jiān)管機構(gòu)

監(jiān)管主體的明晰是完善互聯(lián)網(wǎng)企業(yè)個人信息保護合規(guī)體系的前提，最理想的狀態(tài)是建立專門的監(jiān)管機構(gòu)，個人信息合規(guī)監(jiān)管人員必須具備相應的專業(yè)知識。應當結(jié)束當前個人信息監(jiān)管“九龍治水”的局面，建立統(tǒng)一獨立的個人信息監(jiān)管機構(gòu)。筆者認為，可以借鑒日本建立“國家個人信息保護委員會”的經(jīng)驗。將“個人信息保護委員會”作為專職個人信息保護監(jiān)管機構(gòu)，這一機構(gòu)首先應具有獨立性和權(quán)威性。需要在《個人信息保護法》中作出規(guī)定：公民個人信息保護的監(jiān)督管理工作由國家個人信息保護委員會統(tǒng)一負責。國家個人信息保護委員會為國務院直屬機構(gòu)，直接對國務院負責。其次，應當明確國家個人信息保護委員會相應的職權(quán)和功能。國家個人信息保護委員會可以行使以下權(quán)力：一是對互聯(lián)網(wǎng)企業(yè)個人信息保護合規(guī)體系進行后臺監(jiān)測、數(shù)據(jù)管理和介入調(diào)查的權(quán)力；二是當互聯(lián)網(wǎng)企業(yè)個人信息處理面臨違法風險時，有及時發(fā)出警示或者提出糾正意見的權(quán)力，在互聯(lián)網(wǎng)企業(yè)行為已經(jīng)違反法律時，可以采取必要手段暫停互聯(lián)網(wǎng)企業(yè)的違規(guī)操作；三是有權(quán)對互聯(lián)網(wǎng)企業(yè)個人信息處理案件進行調(diào)查，并對違法行為作出相應處罰。國家個人信息保護委員會也負有相應的責任，即負有互聯(lián)網(wǎng)企業(yè)個人信息保護合規(guī)的教育和宣傳，指導互聯(lián)網(wǎng)企業(yè)構(gòu)建個人信息保護合規(guī)體系等責任。

3.2?建立行政監(jiān)管制度全流程適用

針對互聯(lián)網(wǎng)企業(yè)個人信息保護合規(guī)體系的行政監(jiān)管，要貫穿于互聯(lián)網(wǎng)企業(yè)從建立到運營的全流程。首先，監(jiān)管機構(gòu)要督促、引導互聯(lián)網(wǎng)企業(yè)建立個人信息保護合規(guī)體系。通過發(fā)布個人信息保護合規(guī)指引為互聯(lián)網(wǎng)企業(yè)提供基本的合規(guī)體系參照，督促互聯(lián)網(wǎng)企業(yè)按照其經(jīng)營規(guī)模、組織架構(gòu)建立相應的個人信息保護合規(guī)體系，并要求互聯(lián)網(wǎng)企業(yè)及時將合規(guī)政策、合規(guī)管理程序和合規(guī)指南等內(nèi)部制度向個人信息監(jiān)管機構(gòu)報告。其次，推動互聯(lián)網(wǎng)企業(yè)個人信息保護合規(guī)承諾制度適用階段前移。當前合規(guī)承諾制度在實踐中的運用仍停留在事后承諾，往往是在違法行為被發(fā)現(xiàn)后再采取合規(guī)整改措施。隨著個人信息在現(xiàn)代社會重要性的提升，有必要將合規(guī)承諾制度逐步推前至互聯(lián)網(wǎng)企業(yè)的建立初期，并加強合規(guī)體系在日常經(jīng)營活動中的作用。在互聯(lián)網(wǎng)企業(yè)進入市場前，合規(guī)承諾的對象主要是個人信息監(jiān)管機構(gòu)。隨著互聯(lián)網(wǎng)企業(yè)自身的發(fā)展而不斷補充修正合規(guī)體系，合規(guī)承諾的內(nèi)容可相應作出調(diào)整。再次，為了防止互聯(lián)網(wǎng)企業(yè)的“紙面合規(guī)”，應當建立合規(guī)報告制度。合規(guī)報告制度包括以下幾個部分：一是定期向個人信息監(jiān)管機構(gòu)報送個人信息合規(guī)風險管理計劃和個人信息合規(guī)風險評估報告；二是發(fā)現(xiàn)重大違規(guī)事件后要及時向個人信息監(jiān)管機構(gòu)報告；三是合規(guī)負責人的任命、離職報告。建立合規(guī)報告制度有利于監(jiān)管機構(gòu)動態(tài)監(jiān)管互聯(lián)網(wǎng)企業(yè)個人信息保護合規(guī)體系的運行。最后，可以效仿歐盟GDPR在互聯(lián)網(wǎng)企業(yè)內(nèi)部設立數(shù)據(jù)保護專員這一做法。對于處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的、應當設立數(shù)據(jù)保護合規(guī)專員。數(shù)據(jù)保護合規(guī)專員一方面負責對互聯(lián)網(wǎng)企業(yè)個人信息處理活動以及采取的保護措施等進行監(jiān)督，對互聯(lián)網(wǎng)企業(yè)建立個人信息保護合規(guī)體系提供建議和指導，另一方面數(shù)據(jù)保護合規(guī)專員充當監(jiān)管機構(gòu)和互聯(lián)網(wǎng)企業(yè)的中間人?；ヂ?lián)網(wǎng)企業(yè)必須將數(shù)據(jù)保護合規(guī)專員的聯(lián)系方式提供給監(jiān)管機構(gòu)和公眾，數(shù)據(jù)保護合規(guī)專員還必須直接回應監(jiān)管機構(gòu)向其提出的要求，并確保監(jiān)管機構(gòu)向互聯(lián)網(wǎng)企業(yè)提出的請求得到確認。如果監(jiān)管機構(gòu)要求數(shù)據(jù)保護合規(guī)專員與其合作，數(shù)據(jù)保護合規(guī)專員必須充分與之合作。如對監(jiān)管機構(gòu)向互聯(lián)網(wǎng)企業(yè)提出的合規(guī)整改建議，監(jiān)督其執(zhí)行進度。

3.3?形成企業(yè)合規(guī)激勵機制

企業(yè)合規(guī)制度作為公司治理的一種方式，能否有效建立和實施是能否發(fā)揮其作用的關(guān)鍵。除了在制度制定和執(zhí)行方面的努力外，還需要有相應的外部激勵機制。這種激勵機制意味著企業(yè)已經(jīng)建立了合規(guī)管理體系，并得到了有效的實施。發(fā)生違法行為時，行政機關(guān)可以從寬處理?；ヂ?lián)網(wǎng)企業(yè)出現(xiàn)侵害公民個人信息的違法違規(guī)行為時，如果互聯(lián)網(wǎng)企業(yè)能夠證明其已經(jīng)建立了有效的個人信息保護合規(guī)體系，就表明了互聯(lián)網(wǎng)企業(yè)對侵害公民個人信息違法行為的反對態(tài)度，其可罰性程度理應減弱?？梢栽凇吨腥A人民共和國行政處罰法》第三十二條將企業(yè)合規(guī)制度的建設情況作為對企業(yè)從輕、減輕或免除行政處罰的情形?；ヂ?lián)網(wǎng)企業(yè)如果建立了有效的個人信息保護合規(guī)體系，就可以實現(xiàn)互聯(lián)網(wǎng)企業(yè)和直接責任人員的責任分離，使互聯(lián)網(wǎng)企業(yè)從輕、減輕或免除行政處罰，而只追究直接責任人員的責任。即使互聯(lián)網(wǎng)企業(yè)事前沒有建立有效的個人信息保護合規(guī)體系，也可以通過與監(jiān)管機構(gòu)達成行政和解協(xié)議的方式進行合規(guī)整改。監(jiān)管機構(gòu)與互聯(lián)網(wǎng)企業(yè)約定合規(guī)考察期、指派合規(guī)監(jiān)管人，以監(jiān)督和指導互聯(lián)網(wǎng)企業(yè)的合規(guī)整改活動，并對合規(guī)整改效果組織考察驗收。然后根據(jù)互聯(lián)網(wǎng)企業(yè)的合規(guī)整改情況，作出從輕、減輕或者免除行政處罰的決定。也有學者提出，對案發(fā)前沒有建立合規(guī)管理體系的涉案企業(yè)，仍然可以提出適用行政和解的申請，只是相較于案發(fā)前已經(jīng)建立合規(guī)管理體系的企業(yè)，應當有所區(qū)別對待。另外，行政處罰的從寬力度應當考慮合規(guī)制度建設的不同階段，通常而言，對于已經(jīng)建立個人信息保護合規(guī)制度的企業(yè)，對其行政處罰的從寬力度應當最大，對于事先未建立個人信息保護合規(guī)制度且未構(gòu)成犯罪的互聯(lián)網(wǎng)企業(yè)從寬力度應當次之，而當互聯(lián)網(wǎng)企業(yè)涉及犯罪時，對其行政處罰的從寬力度應當最輕。監(jiān)管機構(gòu)根據(jù)合規(guī)制度的階段性，劃分出不同的從寬區(qū)間范圍有利于激勵互聯(lián)網(wǎng)企業(yè)在事前建立個人信息保護合規(guī)體系，符合責任相稱原則的要求。

參考文獻

[1]陳堅.企業(yè)合規(guī)改革研究[M].北京：法律出版社，2022.

[2]鄧輝.我國個人信息保護行政監(jiān)管的立法選擇[J].交大法學.2020.

[3]袁博.大數(shù)據(jù)時代個人信息保護的行政監(jiān)管立場及其智慧化轉(zhuǎn)型[J].西南民族大學學報（人文社會科學版），2022.

[4]劉艷紅.企業(yè)合規(guī)中國化的民行刑體系性立法[M].北京：法律出版社，2022.

[5]陳瑞華.企業(yè)合規(guī)基本理論[M].北京：法律出版社，2022.

[6]黃衛(wèi)東.網(wǎng)絡平臺的行政規(guī)制：基于行政合規(guī)治理路徑的分析[J].電子政務，2022.

[7]夏金萊、許聰.企業(yè)行政合規(guī)制度構(gòu)建研究[J].政法學刊，2022.

[8]陳瑞華.論企業(yè)合規(guī)在行政和解中的適用問題[J].國家檢察官學院學報，2022.