蒋红珍​：个人信息保护需平衡政府多角色定位 | 学者评论

行政主体（政府）是最大的个人信息“处理者”，在履行法定职责时使用自然人的个人信息；经授权的部门也可以作为“规制者”，提前介入个人信息处理活动。从行政监管角度看，将监管重心从事后的“个案处理”前移到事先的“规则制定”，代表着现代政府的职能转型。比如按照《个保法》第32条规定，对于敏感个人信息处理，“如果法律、行政法规规定应当取得相关行政许可或者做出其他限制的，从其规定”，这里的行政许可，便发生在个人信息处理活动之前。更重要的是，《个保法》列有大量授权相关部门制定抽象规则和标准、组织和实施相关监管机制的具体规定。从狭义的行政监管角度看，这些规定赋予了行政主体在个人信息保护领域进行决策型监管的职能。

作为执法监督者的行政主体，往往是在个人信息处理活动的法律关系后端，展开个案式的执法监督和责任追究，完成调查、处理职责。这一方面固然突显立法目标，尤其是在民事诉讼领域暂未突破集体诉讼、而单个的侵权诉讼救济有限的前提下，《个保法》试图借助事后监管来实现“重罚威慑”的立法效果；但另一方面也要看到，“重罚威慑”的处罚条款也为监管部门留下较大的执法弹性，在构成要件相对模糊的前提下，裁量幅度的宽泛授权也因此成为一柄双刃剑。再加上监管主体本身的多元结构，需要警惕未来因为监管职能的重叠交叉引发多头处罚而导致企业潜在的合规成本增加的风险。

仅就行政法和政府监管的角度看，政府既是合法授权的规则制定者、管理者和裁判者，又是最大的个人信息处理者，如何平衡好个人与国家利益，也将考验未来《个保法》的执行和适用。

“将监管者纳入监管”的立法结构，虽然并非《个保法》所独有，但也绝非常见的立法模式。因此，《个保法》针对国家机关作为个人信息处理者时的规范体系，也与一般监管模式存在差异，并不仅仅拘束特定履行个人信息保护职责的部门，还应当包括在履行相应法定职责时进行个人信息处理的其他国家机关。这就对行政执法过程如何平衡好个人信息保护与履行法定职责之间的关系，提出了更高的要求。

现代个人数据（信息）治理的目标并非单一的政府监管，需要探索多元主体更深层次的合作治理精神，以此“推动形成政府、企业、相关社会组织、公众共同参与个人信息保护的良好环境”。涉及个人信息保护理念与技术变革的创新实践还在路上，期待《个保法》为数据时代的个人信息保护工作保驾护航。