個人信息保護體系的政策網絡分析
——以個人信息保護法為分析對象

譚藝淵

一、 問題提出

“個體”的人正演變為數據化的“單體”。(1)參見[德]克里斯多夫·庫克里克：《微粒社會：數字化時代的社會模式》，黃昆、夏柯譯，中信出版集團2018年版，第7頁。“網上的個人信息全方位覆蓋了你從搖籃到墳墓的全部私人生活，慢慢地積累所有數據，甚至在計算機數據庫中形成一個‘人’。”(2)[英]約翰·帕克：《全民監控：大數據時代的安全與隱私困境》，關立深譯，金城出版社2015年版，第14頁。“你就是你的信息”，(3)[意]盧西亞諾·弗洛里迪：《第四次革命：人工智能如何重塑人類現實》，王文革譯，浙江人民出版社2016年版，第138頁。“自然人”生長出“信息人”的新面向。個人信息安全關涉公民權利保護，以及網絡強國、數字中國建設的國家數據安全。(4)民法典將個人信息保護納入民事權利范疇，屬于人格權的重要內容。《中共中央關于制定國民經濟和社會發展第十四個五年規劃和二〇三五年遠景目標的建議》提出“網絡強國、數字中國”建設目標和“保障國家數據安全，加強個人信息保護”建設任務，在發展理念中強調實現“更為安全的發展”。2021年11月1日起施行的個人信息保護法，是統攝個人信息保護的特別法規范。法律并不像福柯所主張的那樣是一種純粹的禁止性命令，即以懲罰相威脅要求作出某種行為，創設規范的權力關系規訓網絡必須與法律分立，法律在治理的視角內無足輕重。法律與治理之間并不能截然割裂、對立，法律是貫穿和分布于整個社會的建構力量，規定了行動者，生產出新的社會規范。(5)參見[英]馬克·尼奧克里爾斯：《管理市民社會：國家權力理論探討》，陳小文譯，商務印書館2008年版，第90-95頁。

互聯網的政策問題關涉政府、市場、社會、個人之間的復雜利益博弈，需要多種規制方式相結合而不能靠單一手段解決。(6)參見[美]勞倫斯·萊斯格：《代碼2.0：網絡空間中的法律》，李旭、沈偉偉譯，清華大學出版社2009年版，第243頁。由公權力主導的個人信息保護“政策之網”需要被充分展開。政策網絡是西方政策研究中的權威分析路徑。(7)參見朱亞鵬：《西方政策網絡分析：源流、發展與理論構建》，載《公共管理研究》2006年第4卷。網絡具有微觀(人際關系)、中觀(利益集團與政府之間的關系)、宏觀(國家與公民社會之間的關系)三重面向，產生了行為主義、結構主義、規則主義的研究分野。政策網絡對政策過程中的行動者互動、利益協調具有獨特的分析力和解釋力，也被看作官僚制、市場之外的第三種治理結構。(8)參見[英]R.A.W.羅茲：《理解治理：政策網絡、治理、反思與問責》，丁煌、丁方達譯，中國人民大學出版社2020年版，第50頁。結構、網絡與行動者之間的關系兼具本構性和被構性，網絡為行動者提供了進行討價還價的結構。結構既約束了行動者，行動者的協商行為也可以改變網絡、反塑結構。(9)參見前引⑧，羅茲書，第11頁。政策網絡分析可以提供“全網—子網”“結構—行動”的視角，全景式呈現個人信息保護法條文之下潛藏的多元行動者、互動關系及路徑通暢情況，找出法律所設計的個人信息保護“治理網絡”自身的“裂縫”，并可立足于更宏觀的視野，從跨制度網絡梳理個人信息保護法與現有其他法律之間的脫節問題，從跨國行動網絡探尋跨境監管的規則瑕疵問題，進而提出對策建議。

二、 個人信息保護體系的政策網絡結構

(一) 政策網絡理論的適用性

政策網絡理論主要開創者羅茲，以成員資格、相互依賴程度、資源分配關系為界分標準，將政策網絡這幅連續譜圖從緊密到松散區分為五種類型：政策共同體、專業網絡、政府間網絡、生產者網絡、議題網絡。(10)參見前引⑧，羅茲書，第33-34頁。政策網絡是一個連續統一體，政策共同體這端，利益集團互動頻繁、互動質量高，參與者共享基本的價值觀，認同政策結果的合法性，擁有資源，相互之間是資源交換的關系；議題網絡這端，利益集團接觸的頻率和強度變動不居，共識不足，部分參與者擁有資源但也很有限，基本關系是協商關系。(11)參見前引⑧，羅茲書，第38頁。

政策網絡連貫性統一體的框架邏輯，固然便于現實中的網絡在連續譜中找到相對符合自身性質的點位，讓系統化的、表面上邏輯自洽的分析框架構設成為可能。然而，羅茲的類型學構造，與現實往往不相吻合，存在政府間網絡與政策共同體之間關系模糊不清、難以分離等問題。(12)有學者指出，在我國，政府各職能部門間的網絡往往以跨部門領導小組的形式構成相對緊密的政策共同體；專業網絡也不是完全由專家團隊組成的純技術結構，而是處于政策共同體網絡結構中。參見趙德余：《政策科學方法論》，上海人民出版社2017年版，第149-150頁。值得注意的是，社會科學研究范式具有場景化特點，對西方政策網絡理論的借鑒并不意味著對羅茲類型學的直接套用，這既是對政策網絡內涵的狹隘理解，也不利于政策網絡的本土化發展。我國不少學者在運用政策網絡分析框架時，直接將本土語境下政策過程中各類行動者套入羅茲的五種網絡類型中，表現出一定的理論“拿來主義”痕跡。(13)參見朱春奎、沈萍：《行動者、資源與行動策略：怒江水電開發的政策網絡分析》，載《公共行政評論》2010年第4期；范永茂：《政策網絡視角下的網約車監管：政策困境與治理策略》，載《中國行政管理》2018年第6期；章昌平、錢楊楊：《中國科技政策網絡分析：行動者、網絡結構與網絡互動》，載《社會科學》2020年第2期；劉海峰、王魯剛：《新高考改革網絡中的利益博弈和治理策略》，載《中國教育學刊》2020年第9期。這在一定程度上固化了政策理論分析工具在我國場景中的運用模式。(14)與直接套用羅茲類型學的做法不同，有學者對羅茲的分類進行修正，以系統動力學網絡取代專業網絡，通過系統動力學模型對于政策系統因果關系的刻畫和分析，可以與現有的政策網絡進行類比及對照，從而有助于拓展政策網絡的分析功能。該學者還對政策網絡結構的系統動力學機制進行探討，認為系統動力學因果機制的差異造成了不同網絡行為及其績效差異。參見前引，趙德余書，第148-150頁；趙德余、沈磊：《政策網絡結構的系統動力學機制：居民健康自我管理的個案研究》，載《學海》2018年第5期。羅茲類型學的直接性套用，傾向于將同類型中的不同行動者化約為具有一致性的“塊狀”，遮蔽了內在差異性。同時由于我國并不存在西方國家分權化的多元決策結構，(15)參見胡偉、石凱：《理解公共政策：“政策網絡”的途徑》，載《上海交通大學學報》(哲學社會科學版)2006年第4期。特別是沒有出現英國國家空心化、政體差異化、中央核心行政部門弱化的情景，(16)參見前引⑧，羅茲書，第16-17頁。羅茲類型學的拿來式套用，使得不同的政策研究往往得出強化專家網絡、議題網絡影響力等同質化的對策建議。

政策網絡的客觀存在性、工具屬性、價值屬性不容否認。(17)參見孫柏瑛、李卓青：《政策網絡治理:公共治理的新途徑》，載《中國行政管理》2008年第5期。跳出羅茲類型學的線性化、簡單化搬用思路，政策網絡研究范式具有三方面功能：一是揭示出法律文本中潛藏的多元多層的公私部門行動者，包括不同層級、不同分支的政府部門，以及政策監管對象、政策保護對象、社會公眾等，為政策嵌入治理的基因；二是勾勒不同行動者之間的互動關系以及進一步改善的空間，強化資源交換、信任等聯結點；三是有助于發現并強化網絡中的利益協調機制，因為“政策網絡是利益集團調解的重要模式”。(18)參見前引⑧，羅茲書，第25頁。

(二) 個人信息保護體系的行動者和互動譜圖

圖1 互動關系

識別行動者是政策網絡分析的重要前提。根據個人信息保護法的內容，個人信息保護體系主要包括十種類型的行動者：① 具有個人信息權益的個人，見第1條至第3條、第13條至第31條、第44條至第50條等；② 個人信息處理者，見第9條、第13條至第37條、第44條至第59條等；③ 接受個人信息處理者提供信息的“其他個人信息處理者”，見第23條、第55條等；④ 受個人信息處理者委托處理個人信息的“受托人”，見第21條、第59條等；⑤ 履行個人信息保護職責的部門，見第53條、第57條，第60條至第65條等；⑥ 相關社會組織(專業機構)，見第11條、第38條、第64條等；⑦ 公眾，見第11條、第65條等；⑧ 人民法院，見第50條、第70條；⑨ 公益訴訟原告(人民檢察院、法律規定的消費者組織和由國家網信部門確定的組織)，見第70條；⑩ 公安部門(治安管理和刑事司法機構)，見第64條、第71條。

個人與個人信息處理者之間主要通過“告知—同意”的路徑進行互動。履行個人信息保護職責的部門通過執法對個人信息處理者進行監管、對個人信息進行保護。社會公眾通過舉報投訴機制參與進來。專業機構通過提供專業認證、合規審計等服務促進個人信息保護。檢察院等公益訴訟原告、法院、公安通過司法或治安管理路徑保護個人信息權利。各行動者之間的互動關系，見圖1所示。

(三) 個人信息保護法所表達的立法價值內涵

1. 立法目的：保護個人信息權益

價值觀是影響行動策略的重要因素，個人信息是否被認定為一種權利，牽涉立法(含行政立法)和執法司法的保護強度，以及個人保護意識、社會保護共識。《民法總則》第五章“民事權利”第111條規定“個人信息受法律保護”。學界對此主要有兩種觀點：一是法律未出現“個人信息權”的表述，依循字句，從嚴格的文義解釋視角，(19)參見葉金強：《〈民法總則〉“民事權利章”的得與失》，載《中外法學》2017年第3期。或從自然人對個人信息并不享有絕對權和支配權的理論視角來看，(20)參見程嘯：《民法典編纂視野下的個人信息保護》，載《中國法學》2019年第4期。個人信息僅是受法律保護的利益(法益)而非一項權利。二是從法律目的解釋和體系解釋角度看，個人信息是受法律保護的私權利而非法益。(21)參見王成：《個人信息民法保護的模式選擇》，載《中國社會科學》2019年第6期。基于尊重人格尊嚴和自由的理念、個人信息自我決定的理論視角，應將個人信息權定性為人格權。(22)參見呂炳斌：《個人信息權作為民事權利之證成：以知識產權為參照》，載《中國法學》2019年第4期。數字化時代，數據信息要素促發了個人權利變異，個人權利的內涵已經嵌入了數據信息法益，進而生成“數據權”這一新興權利。(23)參見馬長山：《智慧社會背景下的“第四代人權”及其保障》，載《中國法學》2019年第5期。民法典第五章“民事權利”第111條沿用了《民法通則》的表述，并在“人格權編”第六章“隱私權和個人信息保護”中作具體規定。雖然民法典未明確“個人信息權”，但透過其篇章布局及立法目的，可以確認個人信息是人格權范疇的一項私權。“個人信息保護的憲法基礎是國家所負有的保護義務。國家負有對公民人格尊嚴和隱私、安寧進行保護的義務；隨著信息時代的來臨，該種義務擴展到對個人信息相關權益的保護。”(24)參見王錫鋅：《個人信息國家保護義務及展開》，載《中國法學》2021年第1期。個人信息權利束的性質是公法上的工具性權利，其本質是國家在“保護法”理念下賦予個人的保護手段和工具，是國家履行積極保護義務、通過制度性保障對個人進行賦權的結果。(25)參見王錫鋅：《國家保護視野中的個人信息權利束》，載《中國社會科學》2021年第11期。個人信息保護法第1條將“保護個人信息權益”確定為首要立法目的，在單行法中注入并拓展了法典的精神蘊涵，確認個人信息的權利和利益雙重屬性。這因應了時代變遷和社會治理的現實需要，補強和更新了數字化時代個人權利內涵，有助于消弭個人信息保護場域多元行動者的認識分歧，構筑私法與公法雙管齊下的綜合性保護屏障。

2. 規制架構：搭建個人信息保護治理型框架

現代社會相互依賴程度高，社會互動緊密交織成復雜網絡，互動鏈與互賴鏈交織延伸得越來越長，政治和法律過程包含無數個體與行動，需要大量社會調節和社會合作。(26)參見[德]哈特穆特·羅薩：《新異化的誕生：社會加速批判理論大綱》，鄭作彧譯，上海人民出版社2018年版，第99頁。傳統的科層體制、自上而下“命令—控制”式規制方法受到時代變遷的沖擊，富于彈性的“行政機構—利益相關者”網絡結構發展起來了，以便于創造性地解決規制問題。(27)參見[美]理查德·斯圖爾特：《走入21世紀的美國行政法》，田雷譯，載《南京大學法律評論》2003年第2期。政策網絡的多元化理路可以協調不同的參與者，連接公眾部門、私人部門和社會團體，導向更有效的關系管理。個人信息保護法帶有多種面向法律關系，超越“管理者—被管理者”的點狀結構，引入專業者(專業機構)、監督者(公眾)、輔助者(相關社會組織)等私人部門行動者參與個人信息保護，賦予私主體在合作法律關系中的法律地位，并通過構建評估認證服務供給機制、投訴舉報機制，發揮其在行業規范建設的專業促進及監督作用。在政策實施中，功能主義的治理手段可幫助行政主體進行情景化辨析，精準定位行政行為。在處罰、信用檔案記錄及公示等常規懲處方式外，(28)有學者認為，進入信用系統及公示曝光，屬于“變相的行政處罰”，即雖非行政處罰名義，但實質上具有行政處罰功能的行為。參見胡建淼：《論行政處罰的手段及其法治邏輯》，載《法治現代化研究》2022年第1期。個人信息保護法呈現了多元化行政行為樣態。例如，第38條、第40條針對個人信息處理者向境外提供個人信息的情形，設定了國家網信部門安全評估機制。第64條規定了在特定情況下，履行個人信息保護職責的部門有權約談個人信息處理者的法定代表人或主要負責人。(29)中央網信辦于2019年6月發布了《個人信息出境安全評估辦法(征求意見稿)》。中央網信辦于2015年出臺了《互聯網新聞信息服務單位約談工作規定》，并予以實施。例如，國家網信辦網絡安全協調局于2018年1月約談“支付寶年度賬單事件”當事企業負責人，2020年6月國家網信辦指導北京市網信辦就蔣某輿論事件約談新浪微博負責人。將“約談”工作機制納入法律規定，提高該機制的效力位階，個人信息保護相關職責部門均可予以適用。行政評估、行政約談等“未型式化”的“中性”行政手段運用，在行政行為內部結構體系構造上形成剛性行為、柔性行為和中性行為三維格局，(30)參見章志遠：《邁向公私合作型行政法》，載《法學研究》2019年第2期。為個人信息行政保護配置實用性更強的“工具箱”。

3. 監管體制：確立國家網信部門核心行動者地位

在個人信息保護法出臺之前，個人信息保護立法出現零散化、部門化、附帶化的現實局限，監管主體的設置和職權配置牽涉網信、工信、工商、公安、郵政、央行等以及模糊不清的“有關部門”多家機構，引致多頭監管、重復監管、監管短板、監管空白積弊叢生的窘境，(31)在一般消費領域，由工商行政部門和有關行政部門負責(消費者權益保護法第32條)，但“有關部門”尚不明確；在電信和互聯網領域，主要由國家網信部門、電信主管部門、公安部門和有關機關負責(《電信和互聯網用戶個人信息保護規定》第17條、網絡安全法第8條)，但“有關機關”尚不明確；在征信和郵政快遞領域，分別由中國人民銀行和國家郵政局負責。商業銀行法、執業醫師法和旅游法雖規定保護個人信息，但缺乏對監管主體、監管措施和法律責任的規定。參見鄧輝：《我國個人信息保護行政監管的立法選擇》，載《交大法學》2020年第2期。亟須制度頂層設計帶動個人信息保護監管體制革新。

個人信息保護法第60條第1款規定，“國家網信部門負責統籌協調個人信息保護工作和相關監督管理工作。國務院有關部門依照本法和有關法律、行政法規的規定，在各自職責范圍內負責個人信息保護和監督管理工作”。國家網信部門是指中央網絡安全和信息化領導小組辦公室、國家互聯網信息辦公室，是“兩塊牌子、一個機構”，列入中共中央直屬機構序列。有觀點認為，第一塊牌子在組織建制上僅是議事協調性、階段性工作機構，即便立法賦予其統籌協調職權，因專業性、獨立性、實體性的缺失，無力祛除個人信息保護領域的監管弊病。(32)參見前引，鄧輝文。然而，在黨政一體的復合型治理結構改革不斷深化的今天，該觀點有待商榷。執政黨深度融入政府體系，政治與行政“雙軌一體”化運作，產生了政治有力引領、深度統籌、有機融通行政的當代中國治理功能機制。跨黨政領導小組有效落實了黨對政府的集中統一領導，有效消解了政策執行梗阻，疏通了政策過程，補齊治理短板。(33)參見王浦劬、湯彬：《當代中國治理的黨政結構與功能機制分析》，載《中國社會科學》2019年第9期。政治環境對行政具有決定性的影響力，政治影響是導致治理行政結構與功能發生變化的主要因素。(34)參見[美]賈米爾·杰瑞薩特：《全球化與比較公共管理》，徐浩、付滿譯，江蘇人民出版社2018年版，第199頁。在黨政一體的復合型治理結構宏觀背景下，中央網信辦作為法定的統籌協調網絡安全工作和相關監督管理工作機構(網絡安全法第8條)，已建成實體性組織，下設網絡安全協調局、網絡應急管理和網絡輿情局等部門。個人信息保護是網絡安全的重要組成部分，不宜另起爐灶將其他機構設為法定的主管機構。且現實和立法處于相互投射的互動過程，個人信息保護法所設計的由中央網信辦統領、統分結合的個人信息保護監管體制，在實踐中已有所顯現。(35)2019年1月，中央網信辦、工業和信息化部、公安部、市場監管總局聯合發布《關于開展App違法違規收集使用個人信息專項治理的公告》；2020年4月，經中央領導批準，公安部與中央網信辦牽頭，建立打擊危害公民個人信息和數據安全違法犯罪長效機制，其他成員單位包括最高人民法院、最高人民檢察院、工業和信息化部、國家市場監督管理總局等。因此，立法賦予中央網信辦個人信息保護的統合職權，符合國家治理體系改革大邏輯、法律體系化構建邏輯以及實踐經驗邏輯，具有適配性。

與羅茲筆下功能被分解弱化的中央政府部門不同，我國中央層面的部門作為核心行動者，不僅“可以為網絡行動設置參數”，(36)參見前引⑧，羅茲書，第51頁。還作為政策網絡中的支點，占據支配性地位，對網絡進行控制。中央網信辦通過整合中共中央的政治權威資源和國務院的行政執法資源，聚合自上而下的高位政治、行政一體化優勢和協同化能量，統領監管工作，參與國際規則制定、推進國際合作，有望打破當前監管割據的碎片化格局，架設起更加有力的個人信息保護行動網絡。

4. 利益協調機制：以公權機關為召集者、助成者促進利益平衡

透過“法學的顯微鏡”，“每一個法律命令都決定著一種利益沖突”，法律的目的所展現的是獲勝的利益。(37)參見[德]菲利普·黑克：《利益法學》，傅廣宇譯，商務印書館2016年版，第17-19頁。在利益沖突理論下，個人信息權利保護與其他權利保護一樣是有成本的，只要對權利進行保護的收益大于犧牲部分行為自由的代價，這種權利配置就值得追求。(38)參見[德]斯蒂芬·霍爾姆斯、凱斯·R·桑斯坦：《權利的成本》，畢競悅譯，北京大學出版社2011年版，第81-95頁。但“法律規范的具體內容，目的滿足的程度，卻取決于失敗的利益”，(39)參見前引，黑克書，第18頁。因而在法的利益平衡架構中，顯現出利益協調機制。在大數據時代早期，思維和技術最有價值，但“最終大部分的價值還是必須從數據本身挖掘”，“數據就像一個神奇的鉆石”，將成為未來時代的創新基石。(40)參見[英]維托克·邁爾-舍恩伯格、肯尼思·庫克耶：《大數據時代：生活、工作與思維的大變革》，盛楊燕、周濤譯，浙江人民出版社2013年版，第137、157頁。個人信息保護法第1條規定，“為了保護個人信息權益，規范個人信息處理活動，促進個人信息合理利用，根據憲法，制定本法”，預設了立法在個人權益、市場經營活動利益、公共利益三者之間架設協調機制的努力方向，并在具體條文中得以呈現。一是公權機關“是多方利益關系人協商的召集者與助成者”，(41)參見[美]朱迪·弗里曼：《合作治理與新行政法》，畢洪海、陳標沖譯，商務印書館2010年版，第35頁。為維護公共安全，可在公共場所安裝圖像采集、個人身份識別設備，所收集的個人圖像、個人身份特征信息用于維護公共安全目的(第26條)。二是經有關主管部門批準，個人信息處理者可向外國司法或者執法機構提供存儲于我國境內的個人信息(第41條)。三是因個人信息處理活動侵害個人信息權益的，個人因此受到的損失和個人信息處理者因此獲得的利益難以確定的，根據實際情況確定賠償數額(第69條)，亦預設了公權力在對立雙方之間的平衡作用。

三、 政策網絡視角下個人信息保護體系的問題與完善對策

(一) 網絡縱軸：完善中央—地方核心監管部門的連貫性

根據個人信息保護法第60條的規定，履行個人信息保護職責的部門包括中央網信辦(負責統籌協調和監督管理)、國務院有關部門、縣級以上地方人民政府有關部門。該類表述基本上沿襲了網絡安全法第8條的思路，但又比后者更加模糊，因為后者對國務院層面的部門規定為“國務院電信主管部門、公安部門和其他有關機關”。模糊性是法律的“本性”之一，是不可避免的，有時也是合乎情理的，(42)參見[法]安娜·瓦格納、[愛爾蘭]索菲·卡西圭蒂-法伊編：《法律中的晦澀與明晰》，蘇建華等譯，中國政法大學出版社2013年版，第21頁。“有關部門”“有關規定”等表述方式是立法中常用的一種細節性技巧，在國內外立法實踐中被廣泛運用，有助于法的穩定性和應對時代變遷的周延性。然而，法也具有預測功能，對公私兩部門行為具有指引作用。制度中關于職責部門的規定過于模糊，加上科層制政府體系內生性帶有的因“條塊”分割而生成的眾多“縫隙”“壁壘”，易于誘發“九龍治水”，推諉扯皮的“粗放治理”“無效治理”問題，難以應對高風險性、廣覆蓋性、弱邊界性的個人信息安全治理挑戰。履行個人信息保護職責的具體部門模糊不清，將給行動者造成行動方向不明、阻力叢生、動力不足的掣肘。個人信息保護法中規定的保護職責、舉報投訴等維護權利及監督的機制、懲處機制、個人信息處理者向職責部門報送材料的機制在現實中將難以有效落實，存在法律成為具文、立法成為“立法白條”的風險。

首先，要明晰治理網絡中核心監管部門的角色定位和重要作用。治理網絡通過增加治理的范圍，調動起私人資源，使不同主體共同形成和執行政策，進而改進政府的規制能力，但需要強調的是，治理網絡是對傳統政府規制的有益補充而非替代。(43)參見Jacob Torfing. Governance Networks，In David Levi-Faur Edited，Oxford Handbook of Governance. Oxford University Press，2012，p.103.“公私主體之間的相互依賴并不要求權力的平等”，(44)參見前引，弗里曼書，第486頁。公共治理之網并非完全扁平化的結構，各主體的權責存在較大差異，仍然需要權威的決策者和監管者，而不能將公權機關降格為純粹的協商型伙伴。個人信息保護領域需要構建起較為完備的核心監管行動者體系，在治理網絡中發揮支柱性作用。其次，要明確與自身職權相稱的核心監管部門。“欲使責任有效，責任就必須是明確且有限度的”，也須與責任主體的能力所及者相適應。(45)參見[英]弗里德利希·哈耶克：《自由秩序原理》，鄧正來譯，生活·讀書·新知三聯書店1997年版，第99頁。中央層面的職責部門，在中央網信辦之外，還應結合實踐情況，參照網絡安全法第8條的方式，將國務院電信主管部門、公安部門、市場監督管理部門列舉出來。關于地方層面的職責部門，則不宜在網絡安全法第8條的既有框架內因循。因為網絡安全法于2015年左右起草制定，當時部分地區的網信部門建制尚不成熟或缺失，模糊規定“相關部門”具有妥適性。在近年網信部門建設發展的基礎上，個人信息保護法應明確地方網信部門作為個人信息保護的地方性統籌協調機構，并規定縣級以上地方人民政府的電信主管部門、公安部門、市場監督管理部門和相關部門在各自職權范圍內履行個人信息保護職責。上級機關與下級之間具有持續性關系，(46)參見[美]肯尼斯·卡爾普·戴維斯：《裁量正義》，畢洪海譯，商務印書館2009年版，第163頁。搭建體系完備、職責清晰的“中央—地方”監管體制，依托各級網信部門譜寫出“合”與“分”的雙重變奏，使公權保護力量更有效地達致個人信息流動的各個角落。

(二) 網絡橫軸：強化多元行動者互動路徑的暢通性

時代變遷對公共治理提出了新的更高要求，“缺乏對話的獨白式建構思路”已不再合乎時宜，“通過民主程序或政治公共領域之交往網絡而發生的那種理解過程，體現了一種高層次主體間性”。(47)參見[德]哈貝馬斯：《在事實與規范之間：關于法律和民主法治國的商談理論》，童世駿譯，生活·讀書·新知三聯書店2003年版，第274、371頁。決策應該注入一種更為民主的參與表達方式，避免社會產生“一種對政府決策逐漸疏遠的感覺”。(48)參見[英]卡羅爾·哈洛、理查德·羅林斯：《法律與行政(上卷)》，楊偉東等譯，商務印書館2004年版，第223頁。行政法革新發展的重要任務就是要打破“行政主體—行政相對人”的單向線性結構，“探究如何使組織的存在形式能夠與擴大了的行政任務的形態相適應”，(49)參見[日]大橋洋一：《行政法學的結構性變革》，呂艷濱譯，中國人民大學出版社2018年版，第52頁。為合作治理鋪就理論基礎，推動不同主體共享、動員和聚合分散的資源，協調利益和行動，合作實現行政任務。政策參與者多元化、政策參與形式多層化、政策參與過程開放化，(50)參見[美]戴維·杜魯門：《政治過程——政治利益與公共輿論》，陳堯譯，天津人民出版社2005年版，第450頁。也是政策網絡理論的重要內容。

個人信息保護法設計個人信息保護合作治理型框架，在監管、監督、專業輔助等不同法律關系語境下安排了相應的法主體，構設了多層級的法主體身份體系。“當法律創設了一種程序，讓公眾在決定重要公共政策問題的過程中發揮作用時”，這些問題就不應在“行政機關緊閉的大門后”暗中處理。(51)參見[美]理查德·B.斯圖爾特：《美國行政法的重構》，沈巋譯，商務印書館2002年版，第120頁。原本封閉的規制空間已被治理之網撐開。數字時代新業態成為“信息環境、嵌入其中的信息能動者以及它們互動的本體論中一種根本的、史無前例的轉換”。(52)參見[英]盧恰諾·弗洛里迪：《信息倫理學》，薛平譯，上海譯文出版社2018年版，第339頁。“國家主導、行業自律與個人參與的”個人信息保護法治模式中，(53)參見張新寶：《從隱私到個人信息：利益再衡量的理論與制度安排》，載《中國法學》2015年第3期。各類行動者的互動路徑是否已經鋪設就緒，或者是否行得通？行動網絡的“基礎設施”質量十分重要。

其一，“告知—同意”互動路徑。告知同意是個人信息處理中對個人信息權益的基本保護模式。(54)參見萬方：《個人信息處理中的“同意”與“同意撤回”》，載《中國法學》2021年第1期。根據個人信息保護法第14條的規定，同意包括“個人單獨同意”和“書面同意”兩種類型，第二種類型的“同意”要求更高、更難獲得。個人信息保護應分層次，“最內核的隱私信息—通常意義上的敏感信息—大數據意義上的非敏感個人信息”，不同維度的個人信息組成放射狀扇形結構，保護機制應采用不同強度的保護標準。(55)參見周漢華：《探索激勵相容的個人數據治理之道——中國個人信息保護法的立法方向》，載《法學研究》2018年第2期。個人信息保護法設計的“敏感個人信息處理規則”中，采取的是“單獨同意”的標準(第29條)而不是“書面同意”，與普通的個人信息的“同意”標準要求無差別，未塑造出區別化保護的機制，宜作完善。關于信息泄露后是否通知個人，個人信息保護法第57條第2款賦予個人信息處理者“裁量權”，(56)創設裁量權的三種主要方法是立法機關的授權、立法機關采用模糊規定而由行政官員賦予其意義、公眾的默許。參見前引，戴維斯書，第247頁。即其“采取措施能夠有效避免信息泄露、篡改、丟失造成危害的”，可以不通知個人，監管部門認為“可能造成危害的”，有權要求其通知個人。按照亞當·斯密的推理，市場機制是以人們的自愛心而非愛他心為基礎，從來不會將廣泛的公共利益或他人利益作為決策依據。(57)參見[英]亞當·斯密：《國民財富的性質和原因的研究》，郭大力、王亞南譯，商務印書館2009年版，第11-12頁。對于信息泄露后是否造成損害的判斷，個人信息處理者自然傾向于以自身利益而非他人利益為基準作出“裁量”決策，難以保障受害個人的知情權和求償權。把知情權的行使寄托于監管部門的“兜底式”裁判，則要考量“機構俘獲”的問題。在“俘虜”劇本中，受管制企業對行政官員的影響如同“每天用機關槍掃射”一樣，行政機關受到系統化控制，有時則被收買了；企業對自己事務保持著決定性控制，而行政官員需依賴于其合作以實現其目標；與企業所擁有的資源相比，行政機關的人財物等資源有限，意味著不能始終以對立的姿態管制，否則行政機關的資源很快會消耗殆盡。(58)參見前引，斯圖爾特書，第24-26頁。因而，應強化信息泄露發生后相關個人的法定知情權，取消個人信息處理者的“裁量權”。

其二，監督互動路徑。組織間網絡的管理具有博弈的特征且需要根植于信任的策略。(59)參見前引⑧，羅茲書，第50頁。但信任不是內嵌的，而是通過習得和強化的，是不斷互動的產物。(60)參見Walter W. Powell. Trust-Based Forms of Governance，In R.M. Kramer and T.Tyler Edited，Trust in Organizations: Frontiers of Theory and Research. Sage Publications，1996，p.63.公民參與不僅有助于提高行政決定的質量，還可以增進對政府決策公正性的信任。(61)參見前引，斯圖爾特書，第130頁。監督是社會公眾參與行政管理決策事務的渠道之一，個人信息加害行為復雜隱蔽，更需要由公權力主體與私人力量共塑“國家—社會”法律執行合作格局，形成執法信息流的多元生產機制，改善對藏于“暗處”的違法行為信息的穿透和汲取能力。“同有組織的團體比起來，分散的成分總是處于不利地位。”(62)參見[英]約翰·斯圖爾特·密爾：《代議制政府》，汪瑄譯，商務印書館2018年版，第118頁。監督活動具有時間成本和擔心受到被監督者打擊報復的心理成本，且被監督對象握有個人信息，對個人而言具有潛在的被暴露或被精準“定位”的危險性。個人信息保護法第61條規定的投訴、舉報機制，應進一步明確中央網信辦及地方各級網信辦作為統一受理投訴舉報的機構，避免投訴舉報人被“踢皮球”，或因不知應向哪家單位提出投訴舉報而只好“作罷”。通過明確受理投訴舉報的職責部門，也可強化其處置應對的專業能力。網絡根植于資源交換，不同主體之間通過資源依賴而連接在一起。(63)參見前引⑧，羅茲書，第32-33頁。舉報投訴者向執法機關提供了信息資源，執法機關應向其提供與之相匹配的公權資源。建議個人信息保護法規定對舉報投訴者予以法律保護，對有重要貢獻者進行獎勵，形成制度激勵系統和良性的“信任”循環，提升該類行動者的參與積極性及有效性，充分發揮其信息生產機制、威懾機制的雙重制度角色，在個人信息保護領域中架設起“國家—社會”信息通道。(64)參見吳元元：《公共執法中的私人力量》，載《法學》2013年第9期。

其三，行業自律路徑。美國個人信息保護采取分散立法與行業自律相結合的機制，并以行業標準為主導。(65)參見劉曉春：《大數據時代個人信息保護的行業標準主導模式》，載《財經法學》2017年第2期。德國、法國、意大利、英國的個人隱私規制具有共同的趨勢特點，即嚴格的政府執法、高標準的行業自律、低頻率的訴訟機制多管齊下，構成“合作法治主義”模式。(66)參見Francesca Bignami.“Cooperative Legalism and the Non-Americanization of European Regulatory Styles: The Case of Data Privacy”，59 Am.J.Comp.L.412 (2011).網絡安全法第11條規定，“網絡相關行業組織按照章程，加強行業自律，制定網絡安全行為規范，指導會員加強網絡安全保護，提高網絡安全保護水平，促進行業健康發展”。個人信息保護法第11條規定，國家“推動形成政府、企業、相關社會組織、公眾共同參與個人信息保護的良好環境”，但未對行業組織的法律主體定位、功能作出描述，將造成個人信息相關行業組織在法律框架中的行動路徑缺失，不利于發揮其在合作治理體系中應有的作用。合作治理以解決問題為導向，需要擁有相關知識的各方共享信息。(67)參見前引，弗里曼書，第34頁。行業組織對本領域的技術信息、倫理信息、制度信息具有天然的整合能力，具有價值認識、利益和行動協調的機制性優勢，因而宜明確個人信息相關行業組織的法律關系主體身份和宏觀功能，為加強行業自律預留法律制度空間。

其四，公益訴訟路徑。個人信息保護法第70 條規定，“個人信息處理者違反本法規定處理個人信息，侵害眾多個人的權益的，人民檢察院、法律規定的消費者組織和由國家網信部門確定的組織可以依法向人民法院提起訴訟”。該條款以原則性、概括性的方式確立了個人信息保護公益訴訟制度。有學者認為，在適格主體順位上，各級檢察機關列于引領位置，而消費者組織僅能就與市場活動和消費行為相關的損害個人信息的行為提起公益訴訟，檢察機關提起的相關公益訴訟之實體有理由的范圍遠超前者。(68)參見張陳果：《個人信息保護民事公益訴訟的程序邏輯與規范解釋》，載《國家檢察官學院學報》2021年第6期。“由國家網信部門確定的組織”這一公益訴訟適格主體的規定則過于簡略，有待進一步細化。(69)參見張新寶、賴成宇：《個人信息保護公益訴訟制度的理解與適用》，載《國家檢察官學院學報》2021年第5期。因此，對于公益訴訟適格主體之“法律規定的消費者組織和由國家網信部門確定的組織”，有待司法解釋和行政解釋進一步細化具體的主體范圍及相應的認定標準。

(三) 跨制度網絡：保障制度之間的銜接性

政策網絡研究途徑關注制度以及制度之間的聯系，通過制度的關聯將各種利益集合起來，生成治療制度碎片化、協調政策的一種戰略。(70)參見前引⑧，羅茲書，第12、144頁。個人信息保護法與網絡安全法、電子商務法、民法典、刑法、數據安全法等法律之間應避免部門法律與基本法律之間或者部門法律內部出現“排異效應”，保持法律之間的融貫性，形成協同效性，拉起一張融合民事、行政、刑事三股力量的“交叉制裁”網絡，(71)“交叉制裁”是指某一違法行為的出現，導致另一規制制度中的制裁措施自動適用于該行為。當兩個規制者具有共同目標，交叉制裁就會頗具吸引力。被規制者不得不權衡受到交叉制裁的風險。參見[英]科林·斯科特：《規制、治理與法律》，安永康譯，清華大學出版社2018年版，第50頁。以制度合力保護個人信息安全。法律之間的良好銜接也有助于明晰不同制裁手段的介入邊界。刑法第253條之一規定了“侵犯公民個人信息罪”，即“違反國家有關規定，向他人出售或者提供公民個人信息……”，“違反國家有關規定”是入罪的前提條件。個人信息保護法基于同意授權建立起的個人信息處理機制，經“同意”的個人信息出售行為也因之被正當化，權利人的“同意”構筑了刑法介入的司法邊界。(72)參見冀洋：《法益自決權與侵犯公民個人信息罪的司法邊界》，載《中國法學》2019年第4期。

關于“個人信息”的定義，個人信息保護法第4條第1款應與民法典第1034條第2款及網絡安全法第76條第5項所作的規定保持一致性。經比對發現，民法典與網絡安全法關于個人信息的定義核心內容基本一致，即“個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人(個人身份)的各種信息，包括(但不限于)……”。而個人信息保護法的定義則為，“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息”，與前述兩部法律的表述差異較大，且存在邏輯復雜、不同“斷句”方式有不同理解的困境。(73)“與已識別或者可識別的自然人有關的”這一表述，有兩種理解：① 從自然人角度出發，可為“與已識別或者可識別的自然人/有關的”；② 從與識別條件相關的角度，可為“與已識別或者可識別的/自然人有關的”。不同法律間相同的名詞術語所指稱的內容不一致，構成法律適用一致性的障礙，引致同案不同判和行政執法差異化，因而應立足法律體系的融貫性，關照各部門法對“個人信息”的定義進行協調，維護法秩序的統一性。

關于違法者法律責任銜接的問題。對于遏制大規模侵害個人信息，民事追責與刑事定罪均有局限；強化行政執法有必要性，其關鍵是實施高額罰款。(74)參見孫瑩：《大規模侵害個人信息高額罰款研究》，載《中國法學》2020年第5 期。個人信息保護法第66條第1款與網絡安全法第64條所規定的違法情節存在重合情形，但對應的法律責任存在較大差異。如對于違法情節嚴重的，個人信息保護法規定的財產罰幅度為：“沒收違法所得，并處五千萬元以下或者上一年度營業額百分之五以下罰款”，“對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款”。而網絡安全法對違法情形嚴重，未對單位及直接責任人的處罰規定相應的升格幅度，仍適用“沒收違法所得、處違法所得一倍以上十倍以下罰款，沒有違法所得的，處一百萬元以下罰款，對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款”的一般性規定。由此，將帶來法律規范競合的窘境，既會引發執法權力沖突時邊界糾纏不清的問題，亦會導致法律適用的實務難題。

法律規定了行動者，相同類型的行動者在不同的法律規范中，若對相同的法律事項具有差異較大的權利義務或權責，行動者將“鉆進”法律的“空子”，爭取利益最大化和責任最小化，形成利益博弈羈絆、多元沖突和執法司法變化多端的緊張局面。對于規范競合沖突問題，立法機關可在立法說明或法律文本“附則部分”中界分相關法律間的具體關系，(75)德國聯邦數據保護法、新加坡個人數據保護法、韓國個人信息保護法在法律文本中對本法與其他法律(條款)的關系作出規定，或對其他法律的現有條款進行修正。參見李愛君、蘇桂梅主編：《國際數據保護規則要覽》，法律出版社2018年版，第21、431、477-479頁。廓清法律的沖突糾纏迷霧。

(四) 跨國網絡：完善法律域外效力規則

隨著互聯網技術的迅猛迭代，特別是隨著云計算技術的應用和發展，網絡空間跨國界的“性格”更加突出，世界演變為了一個“信息圈”，“地球村”演變為“數據村莊”。面對信息跨境流動常態化、規模化、復雜化的現代場景，要建立起法治化、機制化的保護屏障。各國或區域性組織關于個人信息保護的立法，普遍設有“域外效力”的規則，如歐盟、美國、英國、荷蘭等。(76)參見齊愛民、王基巖：《大數據時代個人信息保護法的適用與域外效力》，載《社會科學家》2015年第11期。環顧全球立法實踐，個人信息保護法普遍具備域外效力。(77)參見前引，王成文。適度的國內法域外適用是我國履行國際社會治理公共產品供給責任、參與全球治理體系改革和建設的良好途徑。(78)參見廖詩評：《中國法域外適用法律體系：現狀、問題與完善》，載《中國法學》2019年第6期。在個人信息保護法中規定域外適用效力，既符合信息流動的特質和其他法域的主流做法，也符合我國當前涉外法治建設的基本趨向，具有重要現實意義及立法價值。(79)2019年10月31日黨的十九屆四中全會通過的《中共中央關于堅持和完善中國特色社會主義制度 推進國家治理體系和治理能力現代化若干重大問題的決定》，以及中共中央在2021年1月印發的《法治中國建設規劃(2020—2025年)》，均強調要加強涉外法治工作，加快我國法域外適用的法律體系建設。例如，在金融全球化時代，針對金融活動私主體海量信息通過各類智能化平臺出境的問題，行政主體可依據個人信息保護法的域外適用規則條款，對境外違法行為人予以規制。(80)參見譚藝淵：《智能投顧功能異化與司法治理》，載《中國外資》2021年第1期。

個人信息保護法第3條第1款規定，組織、個人在我國境內處理自然人個人信息的活動，適用本法。第2款規定，在我國境外處理我國境內自然人個人信息的活動，“有下列情形之一的,也適用本法：(一) 以向境內自然人提供產品或者服務為目的；(二) 分析、評估境內自然人的行為；(三) 法律、行政法規規定的其他情形。”個人信息保護法第3條第2款借鑒了歐盟《一般數據保護條例》第3條第2款的表述方式，但又未能像《一般數據保護條例》第3條第1款與第2款那樣形成完整的閉環，(81)歐盟《一般數據保護條例》第3條第1款規定：“本條例適用于設立在歐盟內的控制者或處理者對個人數據的處理，無論其處理行為是否發生在歐盟內。”第2款規定：“本條例適用于以下情形對歐盟內的數據主體的個人數據的處理，即使控制者和處理者的設立地不在歐盟：(a)發生在向歐盟內的數據主體提供商品或服務的過程中，無論此項商品或服務是否需要數據主體支付對價；或者(b)是對數據主體發生在歐盟內的行為進行監控的。”參見前引，李愛君、蘇桂梅書，第343頁。而是在“境內”與“境外”之間產生了兩道“縫隙”。設立在歐盟境內的信息處理者在歐盟境外處理個人數據仍受該條例制約。然而根據個人信息保護法的表述，設立在我國境內的信息處理者，在境外處理個人數據，若不以向境內自然人提供產品或者服務為目的，也并非為了分析、評估境內自然人的行為，而僅僅是將信息予以儲存、公開或者分析生命特征，按目前的條款設置則可遁入法律“真空”地帶。此外，由于當前的互聯網技術可以實現遠程化的信息處理操作，若位于我國境外的組織或個人利用我國境內的設備(虛擬設備)處理境內自然人信息，按照嚴格的文義上解釋，亦超出了第3條的覆蓋范圍。1998年英國資料保護法第5條(1)b項就對此類情況予以列舉，納入法律適用的范圍之內，或可借鑒之。

全球經濟融合發展所帶來的一些問題超越了一國的國內規制能力，而政策網絡可以將經濟和政策開放、技術革新等多種全球化的驅動力結合在一起，創建和支持特殊的議程。合作可以獲得更多的信息和資源，賦予合法性。(82)參見[美]約翰·D.多納休、理查德·J.澤克豪澤：《合作：激變時代的合作治理》，徐維譯，中國政法大學出版社2015年版，第40頁。各國均面臨著個人信息保護的重要議題，合作所產生的“化學反應”可以緩解域外執法內生性帶有的沖突張力，克服長臂管轄碎片化、間接化的雙重困境。(83)參見肖永平：《“長臂管轄權”的法理分析與對策研究》，載《中國法學》2019年第6期。可在個人信息保護法第12條寬泛規定“國家”關于參與個人信息保護的國際規則制定、國際交流與合作等責任基礎上，進一步規定國家網信部門和國務院有關部門可與其他國家或者地區的個人信息保護監管機構建立合作機制，實施跨境監管。同時，國際合作是促進執法機構規制學習、反身治理的有效路徑。規制情景變動不居，當代規制治理具有雙向性、動態性特點，規制者也是一個學習者，在執行的過程中受到規制對象的影響，對規制本身產生影響和改變。反身治理和規制學習是“回應性法”的經典功能。(84)參見前引，斯科特書，第212-214頁。通過學習和反饋，對政策適時予以調適和修正，來實現從命令控制向規制治理的轉型。

四、 結 語

數據和算法等技術的結合令數據集聚者擁有了“上帝視角”，就如站在福柯筆下“環形監獄”(85)參見[法]米歇爾·福柯：《規訓與懲罰》，劉北成等譯，生活·讀書·新知三聯書店1999年版，第226頁。的瞭望塔上，占據單向透明的俯瞰地位和控制節點，具有擊穿羅爾斯筆下對特殊信息進行控制的“無知之幕”(86)參見[美]約翰·羅爾斯：《正義論》，何懷宏等譯，中國社會科學出版社1988年版，第139頁。的強大能量。信息已成為一種體系化新型權力的來源，個人權利內涵和保護邏輯應通過“法律之門”的正義供給而獲得重組及更新。個人信息保護專門立法將填平我國該領域的“規則洼地”，支起細致化、規范化、協同化之法治保護和治理“網絡”。“良好的治理應作為整個體系而不是鼓勵的單個組成部分來理解與分析。”(87)參見前引，杰瑞薩特書，第220頁。關于治理的研究，亦應進行跨學科“合作運動”，(88)參見[美]羅斯科·龐德：《通過法律的社會控制》，沈宗靈譯，商務印書館2019年版，第75頁。融匯法學、政策科學等研究視角，綜合考量“全網—子網”“結構—行動”的互動關系，找出個人信息保護法的“縫隙”和“裂痕”予以修正。個人信息保護法在立法目的確認個人信息權利屬性、搭建個人信息保護治理型框架、確立國家網信部門核心行動者地位、構設以公權機關為主導的利益協調機制等方面具有重要積極意義，并可在完善中央—地方核心監管部門的連貫性(網絡縱軸)、強化多元行動者互動路徑的暢通性(網絡橫軸)、保障制度之間的銜接性(跨制度網絡)、完善法律域外效力規則(跨國網絡)等方面作適當調整，降低規則體系的掣肘性和政策執行的失靈性風險。

“現代性是一個尚待完成的項目”，哈貝馬斯認為未來在于交往理性，吉登斯主張未來在于現代性的反思。(89)參見前引⑧，羅茲書，第170頁。數字時代呼喚一種體現多元行動者互動的、反思性的立法。當然，任何理想型的立法研究都不會悉數“轉錄”入正式法律文本中，但理想類型這個烏托邦的功用在于為現實的描述提供清晰的表達手段，也為確認現實離理想畫卷的距離提供丈量工具。(90)參見[德]馬克斯·韋伯：《社會科學方法論》，李秋零、田薇譯，中國人民大學出版社1999年版，第27頁。