《个人信息安全规范》的效力与功能
许可
对外经济贸易大学数字经济与法律创新研究中心执行主任
作为我国个人信息保护的风向标,国家标准《信息安全技术——个人信息安全规范》(下称“《个人信息安全规范》”)在实施不足一年后的修订引人瞩目。日趋严格的个人信息保护条款,再次激起了人们对于《个人信息安全规范》的讨论:《个人信息安全规范》的效力究竟如何?我们应该怎样理解它的作用?
一、《个人信息安全规范》的效力
(一)《个人安全规范》不具有形式上的拘束力
首先,《个人安全规范》不属于《立法法》中的正式法源。我国立法法所确立的正式法源包括宪法、法律、行政法规、地方性法规、自治条例、单行条例及规章、国务院部门规章和地方政府规章,在形式上并不包括国家标准。不仅如此,从制定程序、发布方式、调整对象、规范结构上看,国家标准也与上述正式法源大相径庭。总体而言,国家标准的制定和发布相对宽松、简单,调整对象更为单一、具体,尤其是规范结构并不包括执行主体和法律后果。[1]因此,作为国家标准的《个人信息安全规范》并不属于我国正式的法律渊源。
(二)《个人安全规范》具有事实上的拘束力
1988年8月29日,在第七届全国人民代表大会常务委员会第三次会议上,国家技术监督局局长徐志坚在《关于(中华人民共和国标准化法(草案))的说明》中,特别指出:“标准本身具有严肃的法规性和统一性。标准是各项经济技术活动中有关方面共同遵守的准则和依据”。[2]正是由于“标准”要求“有关方面”“共同遵守”,因此对行政机关和私主体产生了事实上的拘束力。[3]放宽视野看,作为“软法”(softlaw)的组成部分,“标准”是“没有法律拘束力但有实际效力的行为规则”。但是,“标准”的事实效力并非整齐划一。根据拘束力的强弱,依次呈现出强制性国家标准、推荐性国家标准、团体性标准和完全自愿性标准的光谱。[4]而正如《个人信息安全规范》(GB/T35273-2017)中的“GB/T”所示,它是“推荐性国家标准”,在实际效力上居于“强制”和“自愿”之间,这种微妙的定位体现为如下方面:
1.《个人信息安全规范》对企业的法律效力
一方面,《个人信息安全规范》可因企业自愿遵守而产生约束力。根据《国务院办公厅关于印发国家标准化体系建设发展规划(2016-2020年)的通知》,国家标准体系建设遵循“强制性标准守底线、推荐性标准保基本、企业标准强质量”的原则。作为个人信息安全方面的基本通用规范,《个人信息安全规范》的遵守与否不但是国家是否给予政策优惠的标准,也将成为企业是否具有基本保障措施的试金石。在竞争压力和声誉机制下,企业将不得不自愿遵守。而根据原国家技术监督局《企业标准化管理办法》第17条第2款“推荐性标准,企业一经采用,应严格执行”之规定,一旦企业通过用户合同、隐私协议或其他类型的文件对《个人信息安全规范》作出承诺,则必须受其约束。另一方面,若法律、法规、规章、强制性标准,或者行政决定、法院判决援引了《个人信息安全规范》,那么也将产生与援引文件同等的约束力。
2.《个人信息安全规范》对行政机关的法律效力
首先,行政机关在《个人信息安全规范》所规范的范围内作出行政决定时,应当参照《个人信息安全规范》。
之所以强调“应当”参考,是因为:(1)作为国家推荐和倡导使用的标准,《个人信息安全规范》对行政相对人产生了积极影响,其可能会以此作为准则来安排自己的活动,指导自己的行为。如果行政机关不以公告的国家标准作为其行政的依据,将会损害行政相对人的信赖利益。(2)包括《个人信息安全规范》在内的国家标准是《网络安全法》的有机组成部分。信息技术的日新月异,凸显了此前个人信息保护法律法规的滞后、杂乱且矛盾,而系统规定个人信息保护的《网络安全法》亦过于粗疏,亟待通过国家标准的形式予以说明、解释和具体化。为此,《网络安全法》第15条特别将国家标准纳入其中。(3)行政机关将《个人信息安全规范》作为认定事实的标准并反复适用,保证了“相同情况相同处理”,确保了法律的平等适用和行政裁量权的自我拘束,有利于防止滥用裁量权和差别对待的现象,也有利于行政相对人利益的保护。反之,如果行政机关在处理个人信息保护事务时,“可以”自由决定是否参照《个人信息安全法》,恐难避免选择性执法的风险。
另一方面,行政机关在适用《个人信息安全规范》时,其方式应为“参照”,而非“依照”。这里的“参照”字面含义是“参考并仿造”,强调的是弱效度意义上的援引,即政府机关在行为时具有一定的自由裁量权,可以斟酌适用《个人信息安全规范》的部分或全部。特别是,当《个人信息安全规范》与法律、法规、规章、规范性文件相矛盾时,行政机关有权不予适用。例如,在“山东百纳生物科技有限公司与中华人民共和国农业部不服药品管理没收处罚二审行政判决书”((2015)高行终字第2494号)中,北京市高级人民法院判定:农业部在《农业部办公厅关于开展农药产品质量专项监督抽查工作的通知》中对抽样做了规定,该规定与推荐性国家标准《商品农药采样方法》并不一致,农业部适用上述通知而非《商品农药采样方法》中的采样方法,不存在违反法定程序的问题。
其次,行政机关不得直接依据《个人信息安全规范》作出行政处罚或强制。中共中央、国务院印发《法治政府建设实施纲要(2015-2020年)》明确规定:“规范性文件不得设定行政许可、行政处罚、行政强制等事项,不得减损公民、法人和其他组织合法权益或者增加其义务。”按举重以明轻的原则,行政机关同样不能仅以企业违反《个人信息安全规范》为由,作出行政处罚或行政强制的决定。
最后,行政机关可以直接依据《个人信息安全规范》采取非正式监管措施。根据《个人信息安全规范》第1条第2款后段,《个人信息安全规范》适用于主管监管部门对个人信息处理活动的监督和管理。所以,尽管其不能直接用于行政处罚或行政强制,但行政机关仍可以《个人信息安全规范》为基础,采取警示约谈、行政检查、劝导示范、行政指导、行政奖励等非强制性手段。在2018年初“支付宝年度账单事件”中,国家网信办迅速约谈了支付宝和蚂蚁金服,并依据《个人信息安全规范》作出了通报,要求其切实采取有效措施,防止类似事件再次发生。
3.《个人信息安全规范》对法院的法律效力
法院不得直接依据《个人信息安全规范》作出判决。根据《最高人民法院关于裁判文书引用法律、法规等规范性法律文件的规定》第2条,法院在裁判文书中可引用的规范性法律文件限于:法律及法律解释、行政法规、地方性法规、自治条例或者单行条例、司法解释,并不包括规范性文件或国家标准。根据《行政诉讼法》第63条第3款:“人民法院审理行政案件,参照规章。”考虑到国家标准的法律位阶在规章之下,因此,法院在判决主文中既不能直接引用、也无需参照《个人信息安全规范》。
但是,法院可以援引《个人信息安全规范》作为裁判说理依据。根据《最高人民法院关于裁判文书引用法律、法规等规范性法律文件的规定》第6条,法院根据审理案件的需要,经审查认定《个人信息安全规范》在相关案件中合法有效,可以将其作为裁判说理的依据。司法“说理”旨在以道理服人,这里的道理并不限于法律规范之法理,还应包括纠纷的事理、社会的情理和科学的学理。作为一种特殊的准则和尺度,国家标准通常具有技术性、科学性、合理性及可实践性,而这正是其权威性和说服力的来源。在司法实践中,引用推荐性国家标准的案件屡见不鲜。例如,在“郸城县中英文学校诉被告宿迁宝乐文体玩具有限公司产品质量损害赔偿纠纷案”((2009)郸民初字第10045号)中,法院引用《中华人民共和国国家标准》(GB/T3328-1997)“家具(床类)主要尺寸”的要求,认定双层床产品质量存在缺陷。在“程浩与南京悦家超市有限公司、南京悦家超市有限公司长虹店产品责任纠纷案”( (2013)宁民终字第2393号),法院引用《中华人民共和国国家标准GB/T-19630-2005》,明确了有机产品的范围。
就《个人信息安全规范》的具体运用而言,是否遵守《个人信息安全规范》可以构成判断当事人是否履行法定义务以及是否存在过错的重要判断标准。[5]在刑事诉讼和行政诉讼中,鉴于《刑法》《网络安全法》对于网络运营者的安全管理义务规定不明,《个人信息安全规范》可视为相关法律义务的具体化。《个人信息安全规范》的执行情况,能够成为当事人是否构成“拒不履行信息网络安全管理罪”或承担相关行政责任的要件事实。在民事诉讼中,网络运营者的过错问题是关键性争点。作为行业内的基本通用标准,《个人信息安全规范》建立了一个负责任的“理性人”在相同情境中“行为模式”,可以成为法院判断过错存在的客观标准。当然,考虑到国家标准的实质内涵、设置宗旨、制定依据等并不能完全承载私法上安全价值的需求,遵守《个人信息安全规范》仅仅构成当事人的相对抗辩,其仍可以被其他事实推翻。[6]
二、《个人信息安全规范》的功能
(一)《个人信息安全规范》的行为导向功能
在“行为规范”和“执法/裁判规范”二元框架下,《个人信息安全规范》首先属于前者,这意味着《个人信息安全规范》将“引导企业行为合规”放在首要位置上。由此,《个人信息安全规范》必须站在企业行为之时的立场上,在事前作出判断。在本次修订过程中,围绕着如何防范强制用户一揽子授权问题,出现了“通过自主行为逐一同意”以及“基本业务功能和扩展业务功能区分”两种不同的修改建议,尽管后者在操作上和理论上均具有合理性,但其在本质上是一种事后的、个案式、权衡性的规制手段,不便置于《个人信息安全规范》之中,最终写入不具有拘束力的“附录”中。此外,对行为的引导,既可以通过“应当”或“不得”的条款,命令企业“为”或“不为”,也可以提倡和诱导当事人采用特定行为模式。在本次修订中,《个人信息安全规范》针对“向个人信息主体提供业务功能的过程中使用个性化展示”,特别使用了“宜”一词,便是典型的例子。最后,为了发挥行为规范的效果,《个人信息安全规范》还应具体、明确的语言写成,将行为要求分解成客观的、描述性的、程序性的的要素,以便被企业所理解和遵守,这也契合了标准的“技术性”“透明性”“可达性”和“相容性”的要求。换言之,《个人信息安全规范》应更多地关注产品、服务、流程的属性和内容,而非抽象的要求。故而,关于个人信息保护的一般原则和模糊性规定,最好交由行政机关和法院在事后依法阐明。
(二)《个人信息安全规范》的信号功能
规范除了产生直接的后果外,还能就国家期望促成哪种行为向外界发出信号,从而透露出政府优先推出何种举措以及政策的未来走向。例如,为回应美国安然丑闻而出台的《萨班尼斯-奥克斯利法案》,就传递出一种面对金融犯罪的更为积极的政府立场,从而恢复了投资者信心。可事实上,该法不过原有法律的混杂,在既有的投资者保护体系中,它几乎未做任何改进。[1]与许多缺乏法律执行力的软法类似,《个人信息安全规范》亦发挥着重要的信号功能,释放出“中国竭力保护个人信息安全”的声音。正是洞察到了这一点,英国《金融时报》在《中国意外成为亚洲数据保护的先行者》一文中,特别指出:在欧盟《一般数据保护条例》的启发下,中国推出了非强制性的《个人信息安全规范》,走在亚洲前列。显然,这有助于打破“中国的公司和政府部门都在致力于收集个人数据,以便为每个人创建一个社会信用评分”的刻板印象。不过,只有信号足以信赖之时,信号机制才能发挥作用。Zahavi有关信号选择的理论认为对信号的投资越大,信号的可依赖程度越高,该理论解释了《个人信息安全规范》的发布者——全国信息安全标准化技术委员会多次开展“隐私条款专项工作”的原因。
一部行之有效的法律必须经受住时间和动态的不连续性的检验,但在经济社会急剧变化的时代,这几乎是不可能完成的任务。正因如此,《个人信息安全规范》的本次修订还肩负着投石问路的信号功能。我们不妨将其视为正在制定的《个人信息保护法》先行者,不但通过公众讨论来辨明分歧、凝聚共识,而且利用企业的积极参与,开展博弈和谈判,最终通过规则实施为后续立法积累经验,甚或是教训。
结论
关于《个人信息安全规范》效力和功能的讨论,充分揭示出我国个人信息保护的复杂性。在某种意义上,尽力将现有柔性的《个人信息安全规范》和未来刚性的《个人信息保护法》相协调,不失为平衡国家管制和行业自治,调和个人权益和企业利益的重要路径。
文章来自《中国信息安全》第4期
脚注:
[1]凌淑蓉、李兴魁、沈烨:《强制性行业标准的性质及审查》,《人民司法·案例》2016年第16期。
[2]《中华人民共和国全国人民代表大会常务委员会公报》1988年第8号,1988年12月31日出版。
[3]宋华琳:《论技术标准的法律性质》,《行政法学研究》2008年第期。
[4]于连超:《作为治理工具的自愿性标准理论:现状与未来》,《宏观质量研究》2015年第4期。
[5]何鹰:《强制性标准的法律地位——司法裁判中的表达》,《政法论坛》2010年第2期。
[6]谭启平:《符合强制性标准与侵权责任承担的关系》,《中国法学》2017年第4期。
[6]柯提斯·J.米尔霍普、卡塔琳娜·皮斯托:《法律与资本主义》,罗培新译,北京大学出版社2010年版,第40页。