個人信息安全標準化進路的反思

崔俊杰

傳播方式的變革促進了信息的高速流動，而與此同時，“支付寶年度賬單事件”“數據堂倒賣個人信息案件”“華住集團旗下酒店客戶信息泄露事件”等個人信息安全事件不斷挑動社會公眾的敏感神經，進而引發行政力量的迅速彈壓。實踐中，復雜的網絡生態和高速變化的技術環境需要具備技術屬性的監管制度予以回應。為此，互聯網監管機構將“安全保障、技術為基、標準先行”確定為網絡安全治理的框架性方案。〔1〕參見《構建網絡安全標準體系》，載中華人民共和國國家互聯網信息辦公室網站，http://www.cac.gov.cn/2016-12/26/c_1120189223.htm，2020 年2 月23 日訪問。在這一治理方案中，個人信息安全標準被置于十分重要的地位。它的定位在于為網絡安全設備和網絡專用產品建立統一的安全框架；指導具體產品的制定要求，為其提供共性層和基礎層；進而為涉及個人信息的社會活動提出可量化、可程序化的具體方案。不過，從理論上講，標準是一套與法律制度既有區別、又相聯系的規則體系。在全面法治的背景下，對這套規則體系的價值，在實施中存在的問題，與法律制度的契合方式等都需要進行理性的分析，以便發展與法治化要求相適應的技術治理。

一、技術制度：個人信息安全標準體系及其特征

標準化學界認為：標準是一種技術制度。〔2〕劉三江、劉輝：《中國標準化體制改革思路及路徑》，載《中國軟科學》2015 年第7 期，第2 頁。由此，個人信息安全標準也應當兼具技術和制度兩種屬性。盡管這一制度體系不論在制定主體、制定程序抑或實施方式、效力來源等方面都與法律體系有所不同，但我們仍然可以借助于分析法律體系的規范主義進路，來對個人信息安全標準體系進行分類和分級，進而提煉其特征。

（一）個人信息安全標準體系

根據“標準的級別”和“標準的功能”兩種不同的分類標準，可以大體勾勒出當前個人信息安全標準體系的基本框架：其一，從標準的級別上看，標準包括國家標準、行業標準、地方標準、團體標準和企業標準。其中，政府主導制定的國家標準、行業標準和地方標準屬于“政府標準”范疇，團體標準和企業標準屬于“市場標準”范疇。其二，從標準的功能上看，個人信息安全標準可以分為“基本要求類標準”“實施指南類標準”“檢測評估類標準”以及“行業應用類標準”。其中，“基本要求類標準”規定了針對個人信息安全的基本技術要求和基本管理要求，適用于指導個人信息安全建設和監督管理。“實施指南類標準”是對“基本要求類標準”的細化解釋，從而為達致有關個人信息安全要求提供指引。“檢測評估類標準”是為落實“基本要求”而設定的可執行、可重復、可度量的測試方法、驗收規范、審核規則、核查機制等。“行業應用類標準”則是有關標準在具體行業應用時的情景化規范。〔3〕嚴格來說，“行業應用類標準”也可以細分為安全要求、實施指南、檢測評估等類別。在本文中，單獨列出行業應用類標準的目的在于在個人信息安全政府標準內部進一步挖掘出通用的國家標準與行業標準。

由于統一的標準信息公開平臺建設相對滯后，以及團體標準等市場標準的相對非公開性，筆者基于全國信息安全標準化技術委員會（以下簡稱全國信安標委）網站的標準查詢專欄、中國知網標準庫等線上平臺的既有數據進行的不完全檢索，大體整合出當前個人信息安全標準的基本框架。〔4〕檢索方法為：在有關線上平臺鍵入“個人信息”這一關鍵詞，從而搜索直接包含“個人信息”的標準，進而對現行有效的標準進行進一步類型化。之所以稱為不完全檢索，主要有兩個方面的考慮：一是涉及個人信息安全的標準可能未必直接包含“個人信息”的關鍵詞，如一些網絡安全基礎框架類的標準就屬于這一類。二是從本領域而言，至少在目前，個人信息安全領域地方標準數量有限，代表性不強。而個人信息安全企業標準又主要是企業自我規制的產物，是作為提升企業市場競爭力的手段而存在的，其主要適用于本企業，并非作為社會治理意義上的通用“標準”而存在。因此，本研究在搭建個人信息安全標準框架體系的時候，將主要關注涉及個人信息安全的國家標準、行業標準和團體標準。

1.個人信息安全主要國家標準。在個人信息安全領域，現已制定4 部國家標準，另有多部國家標準正在研究制定中。〔5〕在統計正在研究制定的國家標準時，本文僅統計了標準立項名稱中包含“個人信息”四個字的標準。其中，在已經制定的國家標準中，屬于安全要求類標準的包括《信息安全技術 個人信息安全規范》（GB/T 35273-2020）、《信息安全技術 移動智能終端個人信息保護技術要求》（GB/T 34978-2017）和《信息安全技術 大數據服務安全能力要求》（GB/T 35274-2017）；屬于實施指南類標準的是《信息安全技術 個人信息去標識化指南》（GB/T 37964-2019）。正在研究制定的標準則包括屬于安全要求類標準的《信息安全技術 移動互聯網應用（App）收集個人信息基本規范》，屬于實施指南類標準的《信息安全技術 個人信息安全工程指南》《信息安全技術 個人信息告知同意指南》《信息安全技術 個人信息出境安全評估指南》，以及屬于檢測評估類標準的《信息安全技術 個人信息安全影響評估指南》等。

2.個人信息安全部分行業標準。個人信息安全行業標準以通信行業為主，但也涉及衛生、公共安全以及金融等其他行業。其中，公安行業的個人信息安全標準，如《信息安全技術 個人移動終端安全管理產品測評準則》（GA/T 1540-2018）、《居民身份證視讀個人信息排列格式》（GA 456-2004）等。衛生行業的個人信息安全標準，如《健康檔案共享文檔規范第14 部分：重性精神疾病患者個人信息登記》（WS/T 483.14-2016）、《基本信息基本數據集個人信息》（WS 371-2012）等。通信行業的個人信息安全標準數量最多，包括《移動智能終端上的個人信息保護技術要求》（YD/T 3082-2016）、《移動用戶個人信息管理業務總體技術要求》（YD/T 2129-2010）、《移動用戶個人信息管理業務終端技術要求》（YD/T 2132-2010）、《移動用戶個人信息管理業務總體技術要求》（YD/T 2129-2010）等。金融行業的個人信息安全標準包括《中國金融移動支付檢測規范第8 部分：個人信息保護》（JR/T 0098.8-2012）等。

3.個人信息安全部分團體標準。2017 年新修訂的《標準化法》確定了團體標準的法律地位。總體來看，個人信息安全領域各類團體標準的制定主體表現亦相對活躍。例如，2018 年，電信終端產業協會（TAF）協調相關市場主體共同啟動《移動智能終端與應用軟件用戶個人信息保護實施指南》從總則部分到第8 部分的系列團體標準的制定。內容涉及個人信息分類、告知同意、權限管理、應用軟件隱私政策等諸多重要內容。

4.有關技術文件。個人信息安全領域的技術文件可以分為兩類：一類是國家標準化指導性技術文件。根據《國家標準化指導性技術文件管理規定》（以下簡稱“技術文件管理規定”）：“指導性技術文件，是為仍處于技術發展過程中（如變化快的技術領域）的標準化工作提供指南或信息，供科研、設計、生產、使用和管理等有關人員參考使用而制定的標準文件。”〔6〕原國家質量技術監督局下發的《國家標準化指導性技術文件管理規定》，質技監局標發〔1998〕181 號，1998 年12 月24日發布。在個人信息安全領域，2012 年由全國信安標委提出并歸口的《信息安全技術 公共及商品服務信息系統個人信息保護指南》（GB/Z 28828-2012，以下簡稱“《個人信息保護指南》國標指導文件”）就屬于這類國家標準化指導性技術文件。另一類則可被稱為其他技術文件。如2019 年6 月1 日，全國信安標委秘書處發布《網絡安全實踐指南——移動互聯網應用基本業務功能必要信息規范》（TC260-PG-20191A，以下簡稱“業務功能規范”）。該規范前言就自我明示：《網絡安全實踐指南》是全國信安標委發布的技術文件。〔7〕《關于發布〈網絡安全實踐指南—移動互聯網應用基本業務功能必要信息規范〉的通知》，載全國信安標委網站，https://www.tc260.org.cn/front/postDetail.html?id=20190531230315，2020 年6 月25 日訪問。

值得注意的是，本領域還存在各類臨時性組織以各種形式發布的具備一定技術特征的其他制度文件。如2019 年1 月，中央網信辦、工信部、公安部、市場監管總局等四部門聯合發布《關于開展APP 違法違規收集使用個人信息專項治理的公告》（以下簡稱“四部門公告”）。受四部門委托，全國信安標委等四家非政府機構成立了App 違法違規收集使用個人信息專項治理工作組，具體推動App違法違規收集使用個人信息評估工作。該工作組曾以自己的名義發布《App 違法違規收集使用個人信息自評估指南》。在行政法上，此類文件的法律屬性存疑，囿于篇幅所限，本文不做贅述，權且根據其內容具備技術性特征而將其納入技術文件的范疇。

（二）個人信息安全標準體系的特征

1.功能上的支撐性。我國迄今尚未制定個人信息安全專門性法律。雖然部分法律、行政法規、部門規章先后就個人信息收集、使用、加工、傳輸等環節如何保障個人信息安全進行了規范，但個人信息安全的制度規范體系在總體上仍呈現出民事、行政規定整體供給不足、權利義務規定抽象的特征。與之相對，標準化活動則同步延展到與個人信息安全有關的服務、管理以及公權力領域，并在適用范圍、調整對象上與法律規范保持了相當的重疊性。《網絡安全法》第15 條明確規定：“建立和完善網絡安全標準體系。”《關于加強國家網絡安全標準化工作的若干意見》同時指出：“構建統一權威、科學高效的網絡安全標準體系和標準化工作機制，支撐網絡安全和信息化發展。”〔8〕中央網絡安全和信息化領導小組辦公室、國家質量監督檢驗檢疫總局、國家標準化管理委員會下發的《關于加強國家網絡安全標準化工作的若干意見》，中網辦發文〔2016〕5 號，2016 年8 月12 日發布。可見，標準在功能上具有十分明顯的支撐屬性。

2.內容上的規范性。通過檢索發現，與一般技術標準在語言表述上有所不同的是，個人信息安全相關標準中存在一些比較明顯的類似法律規則中行為模式的用語。比如，在《信息安全技術 個人信息安全規范》（GB/T 35273—2020，以下簡稱“《個人信息安全規范》國家標準”）中，檢索到“應”（156次），“不應”（29 次），具體表述如“不應以欺詐、誘騙、誤導的方式收集個人信息”“不應隱瞞產品或服務所具有的收集個人信息的功能”“不應從非法渠道獲取個人信息”等。〔9〕國家市場監督管理總局、中國國家標準化管理委員會《信息安全技術 個人信息安全規范》。在《信息安全技術 移動智能終端個人信息保護技術要求》（GB/T 34978—2017）中，檢索到“可以”（1 次），“應”（23 次），“不應”（3 次），具體表述如“持續收集個人信息時，應允許移動智能終端用戶配置、調整或關閉個人信息收集功能”“移動智能終端系統和應用程序不應該采取隱蔽手段或以間接方式收集個人信息”等。〔10〕國家質量技術監督檢驗檢疫總局、中國國家標準化管理委員會《信息安全技術 移動智能終端個人信息保護技術要求》，GB/T 34978—2017，6.24；6.25。可見，個人信息安全標準不僅僅關注一般技術標準所關注的技術水平要求、技術路線選擇和技術指標論證，也同樣關注個人信息安全相關主體的行為，從而呈現出規范性特征。我國在標準方面向來有技術標準、工作標準、管理標準之分。個人信息安全標準更多從屬于工作標準或管理標準的范疇。不過，承認這一分類并不否定個人信息安全標準是技術制度的判斷。因此，標準仍應當主要立足于對技術細節的規范。從這個意義上講，個人信息安全標準是技術性和規范性的統一。

3.效力上的非強制性。總體而言，有關個人信息安全標準尚不滿足《標準化法》第10 條關于“保障人身健康和生命財產安全、國家安全、生態環境安全以及滿足經濟社會管理基本需要”的要求。有關標準都符合《標準化法》第11 條所謂“基礎通用、與強制性國家標準配套、對各有關行業起引領作用等需要的技術要求”，從而選擇制定了推薦性標準。盡管本領域還存在一些因歷史原因制定了行業標準的強制性標準，但《標準化法》修訂以后，行業標準、地方標準都只能是推薦性標準，有關強制性標準應當完成轉化。故可以認定，有關個人信息安全的政府標準均應是推薦性標準，在效力上具有非強制性特征。

4.體系結構上的模糊性。根據前述“技術文件管理規定”第3 條：“技術尚在發展中，需要有相應的標準文件引導其發展或具有標準化價值，尚不能制定為標準的項目可以制定指導性技術文件。”按照該管理規定，指導性技術文件項目應當列入標準制修訂項目計劃，并在計劃中以指導性技術文件的特有標號進行標明。盡管“技術文件管理規定”的適用范圍限于國家標準化指導性技術文件，但依舊對其他各類技術文件的規范化管理具備借鑒意義。反觀個人信息安全領域，卻隱約發現與從源頭上強化指導性技術文件的規劃性、體系性和規范性的精神不相符合的地方。《全國信息安全標準化技術委員會〈網絡安全標準實踐指南〉管理辦法（暫行）》對技術文件的立項和編制程序規定相對靈活簡單，在嚴肅性方面表現不足。〔11〕《全國信息安全標準化技術委員會〈網絡安全標準實踐指南〉管理辦法（暫行）》，載全國信安標委網站，https://www.tc260.org.cn/front/postDetail.html?id=20190902101324，2020 年6 月25 日訪問。比如，“四部門公告”發布以后，有關單位原本希望以推薦性國家標準的形式制定“四部門公告”中所提及的“大眾化應用基本業務功能必要信息規范”。因制定過程中遭遇困難，后來被演變為制定“業務功能規范”這一其他技術文件，但2020 年初，全國信安標委又將《信息安全技術 移動互聯網應用（App）收集個人信息基本規范》列入年度標準立項項目。這之間相對靈活而又反復的轉化至少說明，個人信息安全相關標準在內在體系結構方面還存在相當的模糊性。這與本行業發展不成熟、不穩定有著直接的關系。

二、標準先行：實施中的異化及其動因

制定標準與實施標準是標準化的兩個維度。標準先行的前提是制定足夠多的、好的標準并加以實施，進而實現支撐法律實施的目的。就標準的制定而言，《標準化法》的修改力圖改變多年來由政府幾乎作為標準唯一供給主體的局面，通過適度吸納、轉化市場標準，提升標準的總體供給能力。就標準的實施而言，標準的實施雖然可以通過標準化自身的舉措來實現（如基于標準的認證），但主要還是通過與法律規范發生關系而實施的。這便牽涉出標準化的體制，以及標準與法律規范之間的關系問題。

（一）個人信息安全標準實施環節的異化

1.標準先于法律規范對外部性的行為進行規制。當具備規范性特征的個人信息安全標準與同樣具有規范性特征的法律規范在規制對象上相互重疊之時，通過比對兩類規范性文件的內容，可以在一定程度上揣度標準實施中存在的問題。

第一，個人信息安全標準中不少具有規范性特征的語言，在表述上仍停留于相對抽象的層面。比如，標準中還存在諸如“隱蔽手段”“間接方式”等不確定法律概念，給標準實施留有相當的裁量余地。這些規定并未將法律規范中的行為要求全面分解成客觀的、描述性的、程序性的要素，并未充分關注不同產品、服務和流程的屬性及內容，也就并未完全契合標準在技術性、科學性、透明性、可達性以及相容性等方面要求。因此，有關標準的實施也未必能如人所愿地很好地起到支撐法律實施的作用，從而不可避免地在一些時刻與法律的實施形成平行狀態。

第二，部分標準并未僅僅局限于將有關法律的規定轉換為技術性的要求。由于《網絡安全法》對個人信息安全的表述過于原則，導致有關標準中相當的篇幅都用來容納法律中未曾出現的針對互聯網領域新生業態的各類新興行為的規范性條款。通過標準本身相對靈活、簡便的制修訂活動，標準事實上領先于法律規范實現了對現實變遷的回應。比如，“《個人信息保護指南》國標指導文件”就在法律規范之前率先區分了一般個人信息和個人敏感信息，并設置了相應的行為規則。〔12〕《〈信息安全技術 公共及商用服務信息系統個人信息保護指南〉已編制完成》，載中國網絡安全審查技術與認證中心網站，http://www.isccc.gov.cn/xwdt/xwkx/04/584584.shtml，2020 年6 月25 日訪問。又比如，“《個人信息安全規范》國家標準”又在《網絡安全法》之外區分了“基本業務功能”和“擴展功能”，并新設了諸如“增強式告知”等行為規則。〔13〕同前注〔9〕。這些條款的實施，注定會影響產品和服務提供者、使用者的權利義務。

2.推薦性標準實施過程中的變相強制化。前述標準內容的前瞻性并非一定是值得非議的。為應對風險社會挑戰，標準化越來越強調“事前引領”的功能，即由標準進行面向未來的規劃、設計、創新和綜合，以解決未來問題或引領所在領域乃至跨領域的全面發展。〔14〕參見王艷林：《大標準化時代與〈標準化法〉之修改——以政府職能轉變為中心的討論》，載《河南財經政法大學學報》2017 年第3 期，第3 頁。因此，還需要結合監管部門在行政執法活動中對待標準的態度來進行進一步的判斷。2017 年，國家網信辦等四部門牽頭《個人信息保護倡議》的起草工作，最終，包括京東、阿里等互聯網頭部企業簽署了這一倡議。倡議書中雖然只籠統地寫明“遵照國家相關標準要求，采取充分有效的技術和管理措施，防止個人信息泄露、毀損、丟失”，但2018 年1 月，國家網信辦網絡安全協調局在約談“支付寶年度賬單事件”當事企業負責人時，仍指出其收集使用個人信息的方式“不符合剛剛發布的《個人信息安全規范》國家標準”“違背其前不久簽署的《個人信息保護倡議》”。〔15〕《個人信息安全規范國標填補規則空白》，載中央網信辦網站，http://www.cac.gov.cn/2018-05/14/c_1122776896.htm，2020年6 月25 日訪問。

《標準化法》第2 條規定：“國家鼓勵采用推薦性標準。”《企業標準化管理辦法》（原國家技術監督局第13 號令）第17 條指出：“推薦性標準，企業一經采用，應嚴格執行。”可見，推薦性標準獲得法律效力的方式是“企業采用”。這里便涉及兩個可資討論的問題：（1）何為“企業采用”?在前述行政執法案件中，監管機關顯然非常明確地將簽署倡議書等柔性社會治理手段也視同為企業采用推薦性國家標準的方式。與此同時，監管機關又非常寬泛地解釋了倡議書中“有關國家標準”的內涵。這樣一來，監管機關就可以依據個人信息保護推薦性國家標準的要求來對監管對象實施處理。（2）對于未簽署上述倡議書的絕大多數被監管對象而言，基于推薦性標準的行政執法是否難以實施呢？《個人信息安全規范》國家標準實施以后，雖然監管機關的執法文書通常簡單而直接地對應違法行為與《網絡安全法》有關禁止性條款、義務性條款的關系，但有關個人信息安全的推薦性標準卻在事實上作為了評判互聯網從業者是否違法的直接準據。在“《個人信息安全規范》國家標準”的適用范圍說明中就寫道：“本標準……適用于主管監管部門、第三方評估機構等組織對個人信息處理活動進行監督、管理和評估。”〔16〕同前注〔9〕。而監管機關負責人在《規范》發布時也明確指出，規范“為制定和實施個人信息保護相關法律法規奠定基礎，為國家主管部門、第三方測評機構等開展個人信息安全管理、評估工作提供指導和依據”。〔17〕《國家標準〈信息安全技術 個人信息安全規范〉評析》，載全國信安標委網站，https://www.tc260.org.cn/front/postDetail.html?id=20180201200746，2020 年2 月22 日訪問。

綜上，在“《個人信息安全規范》國家標準”尚未實施的情況下，監管部門已經顯露出將“《個人信息安全規范》國家標準”等推薦性標準作為判斷違法事實依據的端倪。“《個人信息安全規范》國家標準”實施以后，這一思路在實踐中被隱性地堅持了下來。至此，推薦性標準在實施環節被變相強制化了。

3.團體標準在未經驗證前被行業標準吸納。新《標準化法》第18 條增加了團體標準作為法定標準的類型之一，“鼓勵學會、協會、商會、聯合會、產業技術聯盟等社會團體協調相關市場主體共同制定滿足市場和創新需要的團體標準，由本團體成員約定采用或者按照本團體的規定供社會自愿采用”。關于團體標準，《團體標準管理規定（試行）》（以下簡稱“團標規定”）第25 條要求：“團體標準實施效果良好，且符合國家標準、行業標準或地方標準制定要求的，團體標準發布機構可以申請轉化為國家標準、行業標準或地方標準。”〔18〕《質檢總局 國家標準委 民政部關于印發〈團體標準管理規定（試行）〉的通知》，國質檢標聯〔2017〕536 號，2017 年12月15 日發布。然而，通過檢索個人信息安全標準制定過程中的一系列公開信息，卻可以發現一些不太符合“團標規定”要求的情形。比如，由工業和信息化部主管的中國通信標準化協會（CCSA）下屬網絡與信息安全技術工作委員會（TC8）無線網絡安全工作組（WG2）第58 次會議審議了作為研究項目的《移動應用軟件個人信息保護要求和評估辦法》標準文稿V1.1 的文本。〔19〕《TC8WG2 第58 次會議》，載中國通信標準化協會網站，http://www.ccsa.org.cn/tc/meeting.php?meeting_id=6328，2020 年2 月22 日訪問。而在中國通信標準化協會主辦的通信行業標準線上查詢平臺上，可以查找到被列入通信行業標準項目進展目錄的《移動應用軟件個人信息保護要求和評估方法》，項目編號為2019-1132T-YD。〔20〕《通信標準 標準項目進展 標準項目列表》，載通標網，http://www.ptsn.net.cn/standard/project_list.php?PageNo=2，2020年2 月22 日訪問。如果將該平臺所公布的行業標準過程稿文本與前述電信終端產業協會（TAF）協調相關市場主體正在制定的《移動智能終端與應用軟件用戶個人信息保護實施指南》系列團體標準的過程稿文本進行對比的話，就會發現兩類標準文本之間存在高度的重合性。問題是，TAF 相關團體標準并未完成制定，也遠未實施，顯然不能構成“團標規定”所稱“實施效果良好”。二者之間在內容方面的高度一致性表明，個人信息安全團體標準存在未經驗證就被采標部門轉化吸納為行業標準的情況。

（二）標準實施中產生異化的動因

上述事實說明，不論是標準體系內部的轉化吸納，還是借助于法律的強制效力來實施標準，都呈現出諸多與應然狀態不相一致的情況。這當然與個人信息安全熱點事件頻發和所吸引的公眾關注直接相關。肩負確保個人信息安全的監管職責，面對互聯網信息領域復雜的技術和市場環境，監管部門不僅希望自己的行政規制，而且希望市場主體的自我規制以及社會第三方的技術支持都能夠通過一個相對制度化的載體發揮作用，從而實現技術治理的目標。具體而言，上述異化由兩個方面的因素所驅動。

1.風險預防有賴于開展行為控制。根據依法行政的要求，行政執法機關需要按照“過罰相當”的原則作出行政處理。因此，個人信息違法事件的社會危害后果與行政處理的幅度正相關。當還沒有發生個人信息安全事件，抑或發生了安全事件但危害后果不大時，行政執法的幅度就不會太大，執法的威懾力也就相對有限。與工業時代的法律主要針對大型企業和專業化的服務提供者而設計管制規范不同的是，在互聯網時代，大量分散的個體和小型企業借助數字平臺參與經濟活動。〔21〕參見趙鵬：《平臺、信息和個體：共享經濟的特征及其法律意涵》，載《環球法律評論》2018 年第4 期，第80 頁。由于這些活動的內在要求是對海量分散化信息的整合處理，以滿足多樣化、個性化的需求，因此，涉及個人信息的信息流的大小與有關產品和服務滿足市場需求的能力和水平正相關，而與從業主體的規模大小沒有直接關聯——一些來路于小型從業主體的產品或服務，因其內容受歡迎，反而可能吸附更大規模的個人信息。在這些產品或者服務身上一旦發生個人信息安全事件，波及面大，后果極為嚴重。因此，監管部門意識到個人信息安全的治理需要貫徹風險預防的理念，將執法的端口前移，從事后制裁拉回到事前事中控制上來。為從業者設置行為規范，進行流程管理就成為監管部門落實事前事中控制的一個非常合適的選擇。

2.多元治理有賴于提高制度供給。如前所述，由于大量分散的個體和小型企業借助數字平臺參與經濟活動，嚴重的執法效益難題必然催生監管機關、被規制者、社會第三方的多元治理。

第一，相較于大型平臺企業，這些分散個體、小型企業的個人信息安全風險防控意識更差、用于保障安全的硬件和軟件投入更少，因此社會上存在的潛在違法量極大。行政執法力量與行政執法對象之間比例嚴重失調，執法成本極高。特別是囿于數字經濟架構的復雜和技術的超高速迭代，個人信息控制者有能力利用復雜的技術架構來規避監管，使得本領域政府規制面臨高強度“監管追趕”的壓力，進而需要同樣高強度的、產出靈活的制度供給。

第二，在政府規制以外，行政機關不僅需要借助投訴舉報等公眾參與機制對涉個人信息違法行為進行精準對應，而且需要依靠從業主體的自我規制來實現降低潛在違法量的目的。監管部門希望個人信息安全標準為從業主體進行組織合規和內部制度建設提供現成素材；希望通過用一套相對便于識別、便于操作、便于評價的制度化供給來為從業主體開展合規審計、進行自我規制，以及便利社會公眾有效參與提供參照和準據。

第三，在本領域開展行政執法的技術門檻較高，往往需要借助社會第三方評估檢測機構才能實施。而行政機關常用的對外部行政相對人發揮作用的行政規范性文件并不能適應第三方評估檢測機構的技術需要，因此也客觀上提出了能夠適用于第三方評估檢測的技術性的制度供給需要。

三、對標法治：技治主義的隱性優勢及其反思

依托標準來實施法律，通過標準的技術規范或標準化工作機制來實現保障個人信息安全相關法律在實施中取得最佳效果，這其實在國際上并不鮮見。美國NIST 所做的“網絡安全框架”（Cybersecurity Framework）也是推薦性的。我國的個人信息安全監管機關及其智庫機構也常常以此來佐證其監管思路的正當性，并列舉了美國聯邦貿易委員會（FTC）、美國證券交易委員會（SEC）、美國國土安全部以及美國能源部的幾個案例來作為佐證，形成一種“有事實、有真相”的局面。〔22〕所引用的觀點和措施包括：美國聯邦貿易委員會在其網站的公開表態“網絡安全框架與FTC 堅持的以流程為基礎的監管方式是相一致的”（From the perspective of the staあ of the Federal Trade Commission, NIST’s Cybersecurity Framework is consistent with the process-based approach that the FTC has followed）；美國證券交易委員會明確要求其監管對象在考慮從何入手評估該采用什么網絡安全措施時，應當使用的工具之一即是網絡安全框架（In considering where to begin to assess a company’s possible cybersecurity measures, one conceptual roadmap boards should consider is the Framework for Improving Critical Infrastructure Cybersecurity, released by the National Institute of Standards and Technology）；以及美國國土安全部和美國能源部制定專門政策鼓勵其監管對象采用網絡安全框架。《如何理解〈網絡安全法〉與國家標準〈個人信息安全規范〉的關系》，載全國信安標委網站，https://www.tc260.org.cn/front/postDetail.html?id=20180201200942，2020 年2 月22 日訪問。實際上，在標準化學界，早已有學者以美國的標準化實踐為視角，分析了技術法規與自愿性標準的融合問題，〔23〕參見廖麗、程虹：《法律與標準的契合模式研究——基于硬法與軟法的視角及中國實踐》，載《中國軟科學》2013 年第 7 期，第165-168 頁。但是上述觀點可能僅僅注意到標準與法律相融合的現象，卻沒有在法治層面探討這一問題，更沒有在公法所特有的思維框架中來具體分析這一問題。

（一）對標準實施中異化現象的解釋：技治主義進路

雖然監管機關確立了“安全保障、技術為基、標準先行”的規制框架，但是這一框架卻并沒有從正當性層面得到充分的論證。固然，通過標準來支撐法律實施以實現規制目的，是西方國家開展個人信息安全規制所通行的做法，但在認同這種方式之前，還需要更為精確地回應標準化的本質特征。就此而言，監管部門的立場并未獲得法理層面的充分論證。

1.標準作為外在于法律的制度系統，其所反映的是一種市場需求與標準之間的供求關系。在這種供求關系中，市場是需求方，標準是供給方。對于標準本身而言，發表一個標準的價值可能是微小的，而付諸實施推廣和實現是重要的，標準化的作用取決于標準的實施。〔24〕參見于連超：《〈標準化法〉的新理念與新制度評析》，載《標準科學》2018 年第1 期，第12 頁。而標準之所以能夠獲得實施，取決于標準與市場需求的契合度。因此，標準化的本質特征是自下而上的價值取向和橫向合作、協商共識的形成方式。這與以法律規則為代表的，體現國家意志、自上而下形成的縱向秩序規則是截然不同的。

2.在規范的效力層面，標準并不具有法律規范所具有的權利義務內容，只具有科學技術上的合理性。標準雖然在法律上也具有規范的效力，但其規范效力并不是來自于標準本身，而是來自于法的規定。即便是強制性國家標準在現行法框架下似乎具有自上而下的法律效力，但其強制性效力也是來自《標準化法》的規定，而不是標準本身。〔25〕參見柳經緯：《標準的規范性與規范效力——基于標準著作權保護的視角》，載《法學》2014 年第 8 期，第101-102 頁。如果僅就推薦性標準而言，當事人的自愿選擇構成標準發生法律效力的首要路徑。

3.盡管標準中有政府標準和市場標準之分，且政府主導的標準有助于抵消市場標準的負效應，〔26〕關于標準競爭的問題，參見毛豐付：《標準競爭與競爭政策——以 ICT 產業為例》，上海三聯書店 2007 年版，第158-167 頁。但基于標準“自下而上”的本質，政府標準與市場標準的關系不是對立的——政府標準不是政府主導制定的法律規則，它應當以市場標準作為基礎，進而深深地植根于市場需求和社會自治之中。在多數國家，都為符合特定條件的市場標準通過特定程序轉化為國家標準預埋了管道，〔27〕比如，美國國家標準學會（ANSI）通過認可（ANSI Accreditation）標準制定組織（SDOs）并向其提供程序性文件來管理和協調美國國家標準的制定工作；英國《皇家特許》（Royal Charter）授權非營利的民間標準化機構，即英國標準協會（BSI）來對有關團體標準進行轉化，進而變成英國標準；德國政府同樣授權民間管理的德國標準化協會（DIN）來統一管理德國的標準。而德國的標準雖然也由國家標準、團體標準和企業標準組成，但所有標準均為自愿性標準。同前注〔2〕，劉三江、劉輝文，第4-5 頁。前述我國的“團標規定”也為團體標準的轉化創造了條件。不過，這一切制度設計的前提是在市場標準之間能夠形成充分競爭。也只有通過競爭，優秀的市場標準才可能脫穎而出，進而成為向政府標準轉化的“毛坯”。正因為如此，盡管美國十分重視通過采用標準來支撐法律的實施，但1998 年白宮預算與管理辦公室發布的《聯邦參與制定和采用自愿一致標準及合格評定活動行政通告》（（OMB）Circular No.A-119）就非常明確地指出：所有聯邦機構在采購和法規管理活動中必須采用自愿一致性標準。〔28〕See OMB，Circular No.A-119 Revised，http://www.whitehouse.gov/omb/circulars_a119/,last visit on Feb.22,2020.

綜上，當監管部門試圖用前述幾個美國事例來說明通過標準開展治理的正當性時，可能恰恰忽略了域外制度中最為重要的前提——那就是標準自下而上、自愿一致的屬性。前述美國FTC 的表態只不過肯定了標準規制與法律規制的融合性；SEC 的要求則僅僅將推薦性標準作為從業主體實施自我規制的合規參照；至于美國國土安全部和美國能源部的舉措則更加明確地佐證了標準當且僅當市場主體自愿采用時才會發生法律效力的觀點。

因此，在“行為規范”和“執法/裁判規范”二元框架下，個人信息安全領域的推薦性標準應當屬于前者，這意味著其應當將“引導企業行為合規”作為首要目的，而不是用作國家主管部門開展個人信息安全管理的依據。〔29〕參見許可：《〈個人信息安全規范〉的效力與功能》，載《中國信息安全》2019 年第3 期，第45 頁。例如，2017 年7 月，中央網信辦等四部門聯合開展隱私條款專項工作時，參加評審的十款網絡產品和服務就參照《個人信息安全規范（報批稿）》中的《附錄D：隱私政策模板》，對各自的隱私政策進行了相應的調整，而監管部門也對這樣的合規舉措進行了認可。這一事例大致符合“引導參照”的進路，即監管部門通過制定標準，站在企業行為之時的立場上，在事前給出合規的方案，但是一旦監管部門對待個人信息安全推薦性標準的態度稍稍滑出“行為規范”的框架，而變向地進入到“執法/裁判規范”的框架時，就意味著監管部門在將代表代議民主的現代法律作為執法和裁判的唯一依據之時，又另外肯定了代表技術理性的標準制度具有事實上同等的地位。特別是當行政監管部門在缺乏對標準化“自下而上”的本質特征的認知之時，就如此強化技術理性“自上而下”的作用，甚至將其奉為迎接法律落地的“階梯”，這在無形中顯露出一種技治主義的規制思路。

關于技治主義，其在理論層面主張“社會組織必須在發展的每一個階段上，根據技術‘律令’的需要來適應技術的進步”。〔30〕［美］安德魯·芬伯格：《技術批判理論》，韓連慶、曹觀法譯，北京大學出版社2005 年版，第173-174 頁。應當說，技治主義并非眾矢之的，在抽象的理論意義上，它是人們基于技術化社會進程的不可逆性，而對于理性化社會中科學技術、可靠性、高效率的意義和本體地位的哲學概括。〔31〕參見周千祝、曹志平：《技治主義的合法性辯護》，載《自然辯證法研究》2019 年第2 期，第30 頁。技治與法治之間并非毫無可比性——立法的過程高度復雜，是一個各方面利益反復博弈的政治過程。其經歷的時間較長，不確定因素較大，如果將立法作為規制個人信息安全的主渠道，其持續性的制度供給能力著實令人堪憂。不僅如此，傳統立法規制方式通常表現為“命令—控制”方式，集中體現為執行大量的禁止性規范或者義務性規范，要求被管理對象不得或者必須為某些特定的行為，有關法律條文的組成架構也被抽象為“前提條件+行為模式+法律后果”。在互聯網技術條件下，這樣的組成架構難以回應技術爆炸環境的合規需求。〔32〕參見趙鵬：《數字技術的廣泛應用與法律體系的變革》，載《中國科技論壇》2018 年第11 期，第21 頁。不過，僅僅認識到技術治理的合理性，而將技治主義作為一個解釋社會現象的工具是不夠的。一切社會行為都是有意義的，欲理解個人信息安全標準實施中的異化，有必要進一步解構監管技治主義進路背后的真正“意義”。相較于法治，技治還有什么隱蔽的功能呢？這就需要結合公法特有的思維框架進行分析。

法治特別是其中的公法規則與政府的權力直接相關。基于依法行政的要求，不同層級的法律規范對行政執法機關的賦權力度相差迥異。在傳統行政法中所體現出來的對行政權的高度不信任，以及與之對應的簡單粗放式的立法控權方式，導致行政執法機關的權力能力大為受限。越是基層越沒權，越是政府規制主體越被動，難以達致“命令—控制”方式所需要的強大執法能力。行政執法機關不得不想方設法地自我解套，以便“繞開束縛”來另尋執法權力借力發揮的載體。很顯然，標準客觀上為行政執法權的借力發揮提供了便利。標準體系不僅與法律體系共享規范性的特征，而且相較于法律體系則更有利于對接行政執法機關的現實需要——對于公權力而言，與各具體的行政行為法根據《立法法》所確立的法規范體系的層級，由上至下遞減式地對公權力進行授權賦能不同，不同類型標準之間嚴格來說只有適用范圍上的區別、強制和自愿的區別、于我有效和于我無效的區別，并沒有效力大小的區別。即使是推薦性標準，也比一般的行政規范性文件更具備形式上的規范性，也更易于產生實質上的參照效應和執法威懾，且不像行政規范性文件將始終面臨來自司法審查的壓力。可以預見，即使行政機關在執法文書中公開了對標準有關技術內容的引證，司法機關在很大程度上將對這種技術理性保持尊重，盡管仍保留有審查的職責。

（二）法治框架下技治主義進路的反思

作為一種技術制度，標準不僅僅具有技術屬性，而且具有制度屬性。制度屬性表明標準不僅僅表現為其在技術領域發揮對于法律實施的支撐作用，而且表現為其與政治制度、法律制度的互動關聯。在互聯網技術條件下，個人信息安全標準化具有技治主義意義上的合理性，也完全可以用作市場主體自我規制的參照，但在法治的框架下，不能被對個人信息安全標準制度的微觀管理和便利性優勢遮蔽雙眼，還要將對標準化活動的評價納入到現實的政治制度、社會條件、法治發展階段之中，要結合標準的宏觀管理以及標準背后的政府權力和職能配置的合法性、正當性等問題對技治主義進路進行反思。

1.個人信息安全標準化不能忽視對標準自身局限的認識。具體而言，標準在民主性、科學性和確定性三方面都可能存在不足。

第一，在民主性方面，盡管國家標準等政府標準制定流程的改革紅利正在釋放，標準的民主性已大為提升，〔33〕如增設了委員聯名申報功能，建立了公開征求意見平臺等，參見《國標制定流程進一步完善 增設委員聯名申報功能》，載中國政府網，http://www.gov.cn/xinwen/2019-05/14/content_5391274.htm，2020 年2 月22 日訪問。但與完整、嚴謹的立法程序相比，還存在很大的區別。事實上，只要標準還具有技術屬性，就不可能彌合二者之間的區別。相對而言，非政府的市場標準盡管也強調制定過程的公開透明，但在體現民主性方面可能遭遇更大的不確定。標準中的技術要求及對其的選擇“是‘待確定的’，對可選擇事物的最終決定歸根到底取決于它們與影響設計過程的不同社會集團和信仰之間的‘適應性’”。〔34〕［美］安德魯·芬伯格：《可選擇的現代性》，陸俊譯，中國社會科學出版社2003 年版，第4 頁。換言之，有關技術要素并不能單獨決定標準的設計過程和設計結果，社會要素將不可避免地參與到標準的設計過程中來。與立法相比，標準在制定中可能更容易受到來自利益集團的俘獲，這是因為標準事實上是在設置市場壁壘，建立進入門檻。標準要求的提高將直接增加市場參加者的競爭成本，不利于中小企業在市場中的競爭和發展，進而減少大企業所面臨的競爭威脅，最終降低市場的充分競爭程度。〔35〕魯籬：《標準化與反壟斷問題研究》，載《中國法學》2003 年第1 期，第172 頁。因此，需要警惕的是，盡管標準的產生體現競爭、強調合作，但標準的實施完全可能出現反競爭的后果。由此，對于有關市場標準的吸納和轉化，就必須建立在嚴格評判競爭的充分性和實施效果的優良程度之上。

第二，在科學性方面，即使在工業時代，知識有限的魔咒就一直存在。面對信息時代的高風險挑戰，專業化的科學知識已經不再具有傳統科學觀所主張的全整的理性，而是充滿了知識結構和內容的不確定性。加之專家個人偏好的情境性以及政策的社會建構性等因素，將極大地降低科學理性的正當性并進一步削弱了其介入標準等技術制度建構的有效性。例如，前述全國信安標委發布的技術文件“業務功能規范”對移動互聯網應用進行了類型化的區分，并“自上而下”地對不同類型移動互聯網應用的通用功能相關必要信息、業務功能相關必要信息進行劃定，進而限制個人信息的收集和使用。有關移動互聯網類型的區分、以及功能所需必要信息的框定都是基于標準制定之時的有限理性進行判斷的，這種封閉式的技術路線與標準開放性的要求南轅北轍，可能無法引領行業發展，如果其產生適用效力，可能制約市場創新。又比如，“《個人信息安全規范》國家標準”要求：“個人信息主體注銷賬戶，對個人信息控制者的要求包括……應及時刪除其個人信息或匿名化處理。”〔36〕同前注〔9〕。由于匿名化與去標識化并非同一概念，刪除或者匿名化以后，有關信息不可恢復，故退出后如需要再次返回，則需要對個性化展示需要的各種數據進行重新收集和重新畫像。該規定可能實質降低用戶體驗感、折損企業數據權益，存在有悖于大數據發展規律的現實可能性，因而在標準規范的科學性上存疑。如果對科學理性的限度視而不見，一旦存在認識上的局限，不盡合理的標準就可能對市場的創新產生擠出效應。

第三，在確定性方面，前文已述，個人信息安全諸多標準都具備規范性特征，屬于工作標準抑或管理標準。與純粹技術標準強調數值確定性不同的是，個人信息安全標準的影響像法律規范一樣涉及不特定的群體，他們的內容及其表述方式都與法律規范相差無幾。因此，他們自身也難以完全逃脫法律規范的局限，如存在不確定概念和裁量余地等。換言之，二者在局限性方面可能并沒有質上的區別，只有程度上的差異。在一個不確定性占據主導地位的時代，制定一部確定無虞的規范性的文件（不論是法律還是標準），都幾乎是不可能完成的任務。

2.個人信息安全標準化不能忽視因標準自身缺陷而對被規制者產生的影響。由于標準存在上述民主性、科學性和規范性的局限，標準并不是一個神話般的存在。監管部門在推進個人信息安全標準化的同時，可能忽略了標準化與法律責任之間的關系。脫胎于工業時代的標準化在強調其整齊劃一的制度優勢之時，可能未必適應數據高速流動、極化使用以及不確定性風險如影隨形的數字時代。如果被規制者遵循了標準的有關行為和流程要求，是否意味著其可以獲得法律責任的豁免? 至少在現在的情況下，一旦發生個人信息安全事件，面對強大的政治壓力和輿論壓力，對標準自身缺陷的理性認知都會讓位于結果導向的管制思路。而標準自身的缺陷、被規制者的質疑又都能夠被標準規范中不確定的概念和裁量余地所吸收。

3.個人信息安全標準化不能忽視與之相配套的制度建設。之所以存在前述因忽視標準自身缺陷而對被規制者權利義務產生影響的情況，并不一定意味著規制者有意對二者之間張力的視而不見，相反，這與和標準化相配套的認證制度不健全以及實施不有力有著直接的關系。事實上，但凡規制者還抱持工具主義、結果導向的管制思路，就還沒有從根本上意識到標準自身的實施機制與法律實施機制的不同，沒有跳出“對違法行為實施事后制裁”的法律規制進路，也就沒有回到通過事前“合規審計”來確保標準實施的規制進路上來。更進一步講，認證制度不僅有對符合紙上的標準的認證，也有對符合要求的事實的認證。例如，如果平臺當前的業務實踐不完全符合有關個人信息安全推薦性標準的規定，但該平臺可以證明該業務實踐能夠滿足《網絡安全法》或其他法律法規的要求，則應當認為該平臺不會有明顯的法律合規風險。這一規定的實施在很大程度上將有賴于認證制度的落實，否則，一旦發生安全事件，在結果導向的管制思路下，仍可能招致法律的制裁。盡管認證制度也不排斥對違反標準的行為進行事后制裁，但認證制度的信號功能、激勵效應，也有助于促使市場主體遵守標準，從而確保標準的有效實施。

4.個人信息安全標準化不能掩蓋標準背后的權力真相。為此，可以分別從政府標準的產出以及市場標準的產出、標準的實施三個方面來進行論證。

第一，就政府標準的產出而言，制定標準本身就是一種權力，體現了標準制定主體的權力能力。我國的標準化體制脫胎于計劃經濟，有關政府標準的制定在很大程度上體現為行政權的直接作用。因此，標準化體制改革的成效在很大程度上可以折射政府職能轉變的成效。行政權力應當是有限的，因此行政權力介入標準化活動也應當是有限度的。從這個意義上講，網絡信息產業的成熟度、相關市場的穩定程度，以及過度標準化可能產生的技術壁壘、超大型平臺企業可能因此形成的壟斷等，都應當作為行政權力介入個人信息安全標準制定之前需要考慮的因素。

第二，就市場標準的產出而言，《標準化法》修改以后，法律對團體標準等市場標準的強調并不意味著強大行政權力的自動退場。研究《標準化法》的學者認為，在保留推薦性行業標準的前提下培育發展團體標準，體現出漸進式推進標準化體制改革的思路。這是一種注重增量而非存量的改革，遵循“帕累托改進”，希望通過體現市場需求的團體標準的增量變化來最終帶動體現行政權力的政府標準存量的調整變化。〔37〕參見前注〔2〕，劉三江、劉輝文，第8 頁。因此，既保留行業標準又培育團體標準可能是一種過渡形態，體現了政府主導和發揮“市場在資源配置中的決定性作用”之間的艱難變奏。在過渡階段，行業標準與團體標準的各自定位還未完全厘清，行業標準與團體標準的內在關聯機制還沒有很好建立，政府的行政權力對團體標準的制定存在著非制度化的影響。因此，主張培育團體標準，發揮各類學會、協會的專業作用，就不僅是對協會、學會等團體標準制定主體在類型和名稱方面的關注，更是對組織法意義上此類標準制定主體的資格和權利能力的關注。如果只滿足于形式上的團體標準，而不存在社會組織、行業協會的團體自治，就意味著行政權力仍將實質影響團體標準的產出。如果行政權力可以變相影響團體制定標準，甚至未經市場驗證就對團體標準實施轉化，這意味著有關團體事實上成為了協助政府制定標準的工具。這樣一來，“自下而上的標準”就將被“自上而下的標準”所取代。而廣大市場主體所面對的，就可能不僅僅有疊床架屋的法律規范，而且是層層加碼的標準。

第三，就標準的實施而言，標準的實施依賴于法律的規定。標準既然不能離開法律為自己賦權，也就更不能僭越乃至取代法律對其他主體賦權。所有作為政府部門執法的依據都必須通過法律法規以及規章授權，因此政府在執法時依據標準是有問題的。即使是強制性標準，也不能作為天然的依據，而必須有轉致的條款。〔38〕關于轉致條款，參見宋亞輝：《食品安全標準的私法效力及其矯正》，載《清華法學》2017 年第2 期，第158 頁。《網絡安全法》雖然要求市場主體提供的服務、產品符合個人信息安全標準，但并未直接授權政府執行。違反標準代表市場主體的行為和服務有缺陷，可以作為判斷民事責任的依據，但是不應當天然作為政府執法的依據。

四、結論

標準看似是一個技術問題，但實際上對當事人權利義務影響重大。也正因如此，標準的技術判斷應當限于技術細節，基本的價值權衡則必須由民主的立法程序完成。就此，需要進行反思的是，標準尤其是規范性特征較為明顯的工作標準和管理標準，究竟能夠在多大程度上貢獻簡化、協調、統一、最優的治理方案？如何通過法律制度的構造，讓標準發揮減少市場主體交易成本的作用？如何對接“放管服”改革和政府職能轉變，引導市場主體主動科學推標？一言以表，監管部門不應忽視標準“自下而上”的本質，從而摒棄工具主義的管制思維。政府在利用標準開展個人信息安全治理時，應當更多地關注服務，而不是執法。