論個人信息侵權糾紛的行政裁決制度建構

沙 洲

一、問題的提出

基于對個人信息權益性質的不同理解，學界就個人信息的保護形成了兩種選擇，分別是民事救濟模式與行政監管介入模式。其中，民事救濟模式堅持一元化的個人信息權利保護路徑，通過民事侵權訴訟實現個人信息保護。行政監管介入模式在強調個人信息權利救濟中民事侵權訴訟救濟模式不可替代的同時，根據個人信息保護面臨問題的公共性、普遍性、風險性等方面的不同，①參見孔祥穩：《論個人信息保護的行政規制路徑》，載《行政法學研究》2022 年第1 期。區分侵害作為公法上工具性權利的個人信息權利還是民事實體權益，對權利救濟路徑中行政監管機制與民事侵權訴訟有所分工；①參見王錫鋅：《國家保護視野中的個人信息權利束》，載《中國社會科學》2021 年第11 期。或者對法院的功能定位進行改造，使其承擔裁判職能的同時兼具專業化監管職能，②參見丁曉東：《從個體救濟到公共治理：論侵害個人信息的司法應對》，載《國家檢察官學院學報》2022 年第5 期。從而使得行政監管參與到個人信息保護之中。

《個人信息保護法》將個人信息侵權糾紛分為兩種情形：一是因個人信息處理者侵害知情權、決定權、更正權、刪除權等個人信息權利束而產生的侵權糾紛；二是因個人信息處理者侵害個人信息權益造成實體權益損害而產生的損害賠償糾紛。個人信息保護的行政監管介入模式下，前一種侵權糾紛依托于監管機構的積極介入，運用多種行政手段對未滿足特定個人信息保護標準的處理行為展開糾偏，其淵源是歐盟《一般數據保護條例》（GDPR）所設定的行政監管和執法前置；③參見王錫鋅：《國家保護視野中的個人信息權利束》，載《中國社會科學》2021 年第11 期。后一種損害賠償糾紛的解決則回歸民事救濟框架，依托于民事侵權訴訟路徑。

無論民事救濟模式下民事侵權訴訟一元化，還是行政監管介入模式下行政監管與民事侵權訴訟相結合，個人信息保護的兩種路徑選擇均面臨著民事侵權訴訟應對個人信息侵權糾紛的諸多痛點：其一，個人信息侵權訴訟長久以來受困于維權成本高、因果關系證明困難、賠償數額低等痼疾。《個人信息保護法》出臺前的實證研究即顯示，相較于刑法保護，公民選擇民事訴訟途徑尋求個人信息保護的裁判案件數量寥寥。④參見張新寶：《〈民法總則〉個人信息保護條文研究》，載《中外法學》2019 年第1 期。《個人信息保護法》雖在多個方面作出了創新性規定以適應個人信息侵權案件的特點，回應社會的期待，但“案多人少”的法院系統能否承受住巨量個人信息侵權訴訟的涌入，將是不得不考慮的現實問題。其二，信息權益主體與個人信息處理者處于非對稱權力結構之中，這使得預設權利平等、貫徹契約自由理念的市場自我調節機制面臨嚴重挑戰。其三，系統性風險的化解無力。個人信息權益侵害事件極有可能發生不特定多數人的信息權益遭受侵害的系統性風險，危及公共利益。同時，個人信息侵權行為對于由處理個人信息合規義務所建構的法秩序的違反，同樣危及社會公共秩序。一方面，在保障信息自由流通、數字經濟快速發展的前提下，實現對個人信息侵害風險的有效規制，民事侵權訴訟所提供的個案式事后救濟顯得力有不逮。另一方面，如果“將違反處理規則的行為等同于民事侵權行為，進而將民事侵權訴訟置于保護手段的核心，這將抑制與擠壓正在構建的數據監管體系”⑤王錫鋅：《個人信息權益的三層構造及保護機制》，載《現代法學》2021 年第5 期。。其四，行政監管介入模式中兩種個人信息侵權糾紛的解決路徑均面臨行政監管啟動的不確定性，可能過度依賴投訴與舉報；個人信息權益主體維權與索賠之路被割裂，行政監管與民事訴訟之間缺乏銜接，嚴重影響個人信息權益的保護力度。

對于既有的個人信息侵權糾紛解決路徑理論構想與實踐所面臨的上述困境，侵權糾紛行政裁決制度可以有效化解，這是未來個人信息侵權糾紛解決制度的優化方向。本文嘗試對個人信息侵權糾紛行政介入的鏈條加以延伸，論證個人信息侵權糾紛行政裁決制度的正當性和必要性，最終對制度的主要內容進行探討。重新塑造的個人信息侵權糾紛行政監管介入模式將以行政裁決制度為核心，除了投訴舉報外，可由行政裁決喚起的行政監管依舊負責對個人信息侵害行為的矯正與處罰，行政裁決則負責實體權益損害的權利救濟，實現《個人信息保護法》《網絡安全法》《數據安全法》等法律構建的個人信息行政監管體系的激活與個人信息權益保障力度的提升。

二、行政介入個人信息侵權糾紛的正當性

（一）行政裁決制度的“分流閥”作用

行政裁決是指“行政機關依照法律規范的授權，對當事人之間發生的、與行政管理活動密切相關的、與合同無關的民事糾紛進行審查，并作出裁決的行政行為”①姜明安：《行政法與行政訴訟法》（第六版），高等教育出版社2015 年版，第248 頁。。在保障當事人的裁判請求權的原則之下，鼓勵當事人選擇行政裁決等替代訴訟的糾紛解決機制，符合當下各國民事司法改革的普遍趨勢。②參見劉敏：《論民事訴訟前置程序》，載《中國法學》2011 年第6 期。近年來，黨中央、國務院就行政機關介入民事糾紛，構建矛盾糾紛多元化解機制作出了一系列重要頂層設計，行政裁決制度便是其中的重要一環。2018 年，中共中央辦公廳、國務院辦公廳印發的《關于健全行政裁決制度加強行政裁決工作的意見》肯定了行政裁決制度所具備的效率高、成本低、專業性強、程序簡便等特點，有利于促成矛盾糾紛的快速解決，賦予其化解民事糾紛“分流閥”的定位。

對于當下行政裁決制度的實際運轉狀況，實務界與學界都有著清晰的認識。司法部負責人答記者問時就坦言：“近年來行政裁決適用情形有所減少、在人民群眾中的認知度逐漸降低、化解民事糾紛‘分流閥’的作用沒有得到充分發揮。”③《司法部負責人就〈關于健全行政裁決制度加強行政裁決工作的意見〉答記者問》，載中國政府網，http://www.gov.cn/zhengce/2019-06/02/content_5396933.htm。在有限政府的理念影響之下，很長一段時間以來的權力配置在立法層面上呈現出對行政機關收權，而對立法機關、司法機關更多地賦權的局面，從而抑制行政權濫用之可能。④參見楊建順：《新世紀中國行政法與行政法學發展分析——放權、分權和收權、集權的立法政策學視角》，載《河南省政法管理干部學院學報》2006 年第4 期。所以出現了自上世紀90 年代開始，行政裁決制度便在一系列法律的修訂過程中紛紛退場，尤其是直接責令賠償損失的權力授權被取消的情形。①如《治安管理處罰法》將原《治安管理處罰條例》中規定的公安機關對違反治安管理的行為造成的損失或者傷害可以裁決由違反治安管理的人賠償損失或者負擔醫療費用的規定取消；《道路交通安全法》將原《道路交通安全條例》中交通事故賠償的行政裁決降格為交通事故責任認定；行政裁決還在1999 年修訂《海洋環境保護法》、2000 年修正《專利法》以及修訂的《大氣污染防治法》、2001 年修訂《藥品管理法》以及修正《商標法》、2002 年修訂《草原法》的過程中被取消。行政裁決制度在我國適用領域的限縮，既存在有行政機關主動尋求免于因行使行政裁決權而成為行政訴訟被告的主觀原因，也在客觀上順應了避免公權過度干預私權領域、行政權過度擠壓司法空間的改革趨勢。②參見葉必豐、徐鍵、虞青松：《行政裁決：地方政府的制度推力》，載《上海交通大學學報（哲學社會科學版）》2012 年第2 期。

隨著社會主義法治建設的深入推進，在法治軌道上充分發揮行政權的功能，是國家治理體系和治理能力現代化建設的重要任務，也是黨和國家機構改革以及立法政策確定的關鍵考量因素。在此背景之下，健全與加強“分流閥”定位的行政裁決制度正當其時，從而為實現糾紛的實質性化解、法治社會與和諧社會的建設作出應有的貢獻。個人信息侵權糾紛行政裁決制度的建構，也將在客觀上發揮減輕法院審判壓力的作用，避免案件積壓所帶來的案多人少疲于應對的局面。與此同時，還能夠使得當事人免于陷入繁瑣的民事訴訟程序，在節約時間、費用、精力的情況下實現糾紛的實質性化解與損失的填補，從而獲得系爭之外的程序性利益。

（二）個人信息侵權糾紛與行政裁決的適配性

1.與行政管理活動直接相關。只有待裁決的糾紛事項與行政管理活動直接相關、行政機關擁有相應的執法權限與專業知識，行政裁決方才能夠具有專業性強、效率高等制度優勢。如若糾紛事項純粹圍繞平等主體雙方的民事合同，自無法發揮行政機關介入民事糾紛的制度優勢，該領域也便沒有設立行政裁決制度的正當性與必要性。《個人信息保護法》《網絡安全法》《數據安全法》等法律所構建的個人信息行政監管體系，賦予了由國家網信部門所統籌協調的、履行個人信息保護義務各部門在個人信息領域完備的監管執法手段。面對其中潛在的違反個人信息處理合規義務的行為，行政監管機關可采取諸多有力的行政措施，從而在完成證據收集、事實認定的基礎之上，對相關糾紛進行裁斷。所以，個人信息侵權糾紛作為與行政管理活動直接相關的非合同類的民事糾紛，行政裁決制度與之相適配。

2.雙方處于非對稱權力結構。“行政介入的過程必須體現為對公共利益或者人民福祉的追求，體現為對市民、市場的補充性，體現為對諸多主體、諸多價值和諸多利益的均衡性。”③楊建順：《新世紀中國行政法與行政法學發展分析——放權、分權和收權、集權的立法政策學視角》，載《河南省政法管理干部學院學報》2006 年第4 期。如此，行政介入民事糾紛方才具備正當性與必要性。依《個人信息保護法》第72 條之規定，因個人或者家庭事務處理個人信息的自然人不屬于規制的對象，再加之個人信息處理者信息處理義務的設定，這些共同揭示出信息權益主體與個人信息處理者處于“非對稱權力結構”。①參見王錫鋅：《個人信息國家保護義務及展開》，載《中國法學》2021 年第1 期。雙方不僅在經濟實力與訴訟中可投入的資源方面存在巨大的差距，在證據收集的能力與便利程度方面也存在明顯的不對等，呈現明顯的證據分布不均衡現象。②參見王利明：《〈個人信息保護法〉的亮點與創新》，載《重慶郵電大學學報（社會科學版）》2021 年第6 期。所以，個人信息權益保護有賴于國家規制，在權利的救濟階段更離不開監管機構的參與，否則極易使權利淪為“紙面上的權利”。③參見張新寶：《我國個人信息保護法立法主要矛盾研討》，載《吉林大學社會科學學報》2018 年第5 期。此種狀況下，貫徹意思自治、契約自由理念的市場調節機制已不能有效實現個人信息權益保護，通過行政介入對市場進行補充便具有了正當性與必要性。

3.風險防范的工具價值。作為民事權利的個人信息權無法作為個人信息保護法律體系的核心概念，原因之一即在于其無法對抗所有的風險源。④參見王錫鋅、彭錞：《個人信息保護法律體系的憲法基礎》，載《清華法學》2021 年第3 期。個人信息法律保護體系建構中風險應對效用應作為重要考量，并應在個人信息保護制度的各環節加以貫徹。如有學者提議個人信息私法保護消費者法化，同時采取公法框架進行風險規制。⑤參見丁曉東：《個人信息私法保護的困境與出路》，載《法學研究》2018 年第6 期。既有民事侵權訴訟一元化或行政監管與民事侵權訴訟相結合的個人信息侵權糾紛解決路徑，在個人信息侵害風險防范上均存在著明顯弱點。一方面，民事侵權訴訟依托于司法機關，而法院對相關風險的規避與預防既不負有相應義務，也不具備專業預判與提前化解的能力；另一方面，既有模式下行政監管的喚起存在不確定性，“投訴無門”現象無法避免。而個人信息侵權糾紛行政裁決制度將顯著提升行政監管介入的確定性，在提供個人信息權益個案式救濟的同時，運用行政監管職權實現對相關系統性風險的預防與化解，具有顯著的風險防范工具價值。

（三）現行法規范下的可能性與域外立法示例

在兩種個人信息侵權糾紛中，純粹侵害知情權、決定權、更正權、刪除權等個人信息權利束而產生的侵權糾紛因為行政監管機關職權之所在，其已然獲得介入相關糾紛并作出裁決的法律授權，具備現行法規范下的可能。所以，僅需就個人信息損害賠償糾紛行政裁決之可能性加以探討。

運用法律解釋方法可以發現，《個人信息保護法》第69 條第2 款確立的侵害個人信息權益損害賠償規則已悄然為在行政裁決中適用預留了空間，這意味著個人信息侵權損害賠償糾紛行政裁決制度也能夠被現行法規范所容納。首先，運用文義解釋的方法。《個人信息保護法》第69 條第2 款的條文中并未限定規則適用主體，所以該條款除當然地適用于法院審理裁判之外，并不排除其他有關部門在調解中適用，⑥參見楊立新：《侵害個人信息權益損害賠償的規則與適用——〈個人信息保護法〉第69 條的關鍵詞釋評》，載《上海政法學院學報》2022 年第1 期。當然也不排除在行政裁決中適用。其次，運用體系解釋的方法。《民法典》第1182 條就侵害人身權益損害賠償作出了一般性規定，而《個人信息保護法》第69 條第2 款作為其特別法，①參見石佳友：《個人信息保護的私法維度——兼論〈民法典〉與〈個人信息保護法〉的關系》，載《比較法研究》2021 年第5 期。并未附加“向人民法院起訴”這樣的限定條件。可見，侵害個人信息權益損害賠償規則的運用場域并未被限定在人民法院。最后，運用歷史解釋的方法。《個人信息保護法》第69 條第2 款規定之內容在草案一審稿中規定于第65 條，具體表述為“個人因此受到的損失和個人信息處理者因此獲得的利益難以確定的，由人民法院根據實際情況確定賠償數額”。在草案二審稿中，條文的順序與表述有所調整與修改，“人民法院”作為規則適用主體的限定被刪除，往后的草案三審與頒布實施版本均延續了這樣的表述，未將適用主體限定于人民法院。“歷史解釋雖然要探究立法者的真意，但這種探究本身不是目的，而在于闡釋法律文本的含義。”②王利明：《法律解釋學導論——以民法為視角》，法律出版社2017 年版，第412-413 頁。通過對歷次草案審議稿中相關內容修改變化的梳理，運用歷史解釋方法可以得出該條并未有限定適用主體之規范內容的解釋結論。

此外，域外立法例也為個人信息侵權糾紛行政裁決制度提供了參照示范。在歐盟的相關實踐中，如個人認為數據處理者對其個人數據處理違反本條例規定的，一般首先經由投訴舉報機制向監管機構申訴，由監管機構作出滿足數據主體提出行使權利請求的裁決與執法。對監管機構的處理決定不服的，可提起行政訴訟進行救濟。③參見王錫鋅：《國家保護視野中的個人信息權利束》，載《中國社會科學》2021 年第11 期。歐盟《一般數據保護條例》第77 條規定“每個數據主體都有權在認為與其相關的個人數據處理違反本條例規定的情況下向監管機構申訴”；第58 條第2 款3 項規定各監管機構具備“命令控制者或者處理者滿足數據主體根據本條例的規定提出行使權利的請求”；第78 條規定了針對監管機構所作之決定、未作出決定或未在規定時限內作出決定的司法救濟。上述規定“相當于我國的行政裁決和行政訴訟制度”④李海平：《個人信息國家保護義務理論的反思與重塑》，載《法學研究》2023 年第1 期。。此即歐盟在GDPR模式下實行的行政監管先行型個人信息保護模式，也是實質上運行的個人信息侵權糾紛行政裁決制度。

三、個人信息侵權糾紛行政裁決制度的必要性

（一）行政裁決制度的專業與效率優勢

1.專業優勢。首先，在民事侵權訴訟兩造對抗的模式之下，雙方證據的采信與否以及證明標準達成與否對于侵權事實的認定而言至關重要。但如果想圓滿完成此任務，僅僅依靠法律的推理與論證并不足夠，有時對相關專業技術的熟稔同樣關鍵。對于涉及大量專業技術問題的個人信息侵權糾紛，由不具備相關專業知識的法官進行事實認定與糾紛裁斷，必然面臨專業性不足的質疑。同樣面臨這一困境的是知識產權領域審判實踐，在訴訟輔助人制度之外探索建立了技術調查官制度，從而增強法庭就案件相關技術事實認定的準確性與科學性。雖然可在個人信息侵權糾紛民事訴訟中進行制度的移植，但訴訟當事人與整體的司法資源投入也都將隨之增加，訴訟效率也會因此受到影響。個人信息侵權糾紛行政裁決制度下的侵權事實認定將得益于行政裁決機構組成人員的專業背景，其構成主要來自行政監管機關，具有的專業知識背景以及執法監督中積累的豐富經驗，都將為侵權事實的認定提供可靠支撐。其次，《個人信息保護法》第69 條采過錯推定原則，通過將舉證責任分配給個人信息處理者，從而在一定程度上減輕了個人信息權益主體的證明義務。但是，個人信息處理者掌握著個人信息處理相關的過程性信息并熟知系統運行的邏輯架構，一旦完成自身無過錯的舉證義務，既無信息又無技術的個人信息權益主體恐難以完成個人信息處理者行為與損害結果之間的因果關系證明。可見，過錯推定原則下民事訴訟途徑依舊面臨因果關系證明的困境。個人信息侵權糾紛的行政裁決制度下，行政監管與行政裁決的聯結將為相關證據的調取、侵權事實的認定提供諸多便利與保障。

2.效率優勢。眾所周知，目前法院面臨著“案多人少”的困難，其中民事審判領域尤為突出，再加之司法程序本就較為繁瑣，致使個人信息侵權糾紛民事訴訟路徑在效率層面上并無優勢可言。如引起社會各界廣泛關注的“人臉識別第一案”，從受理到最終宣判共歷時2 年之久。①參見郭兵訴杭州野生動物世界服務合同糾紛案，浙江省杭州市富陽區人民法院（2019）浙0111 民初6971 號民事判決書。其中雖有疫情原因中止審理延誤數月以及當時尚未出臺人臉信息保護相關法律等因素影響，但如此漫長的維權之路所耗費的精力投入顯然會讓部分個人信息權益主體望而卻步。反觀個人信息侵權糾紛的行政裁決制度，一方面是行政裁決制度自身所具有的效率高、程序便捷等特點；另一方面則是個人信息侵權糾紛行政裁決制度能夠實現行政監管與行政裁決的銜接，使得侵權糾紛與損害賠償糾紛一體解決，兩種糾紛的解決路徑不再被割裂。行政監管機關對相關侵權事實作出的認定，在行政裁決程序中均可被直接采認并依法作出損害賠償裁定。如若另經司法程序尋求損害賠償，必使得相關證據材料從立案到審判重新經歷審查、調取與質證。兩相對比，個人信息侵權糾紛行政裁決制度自然具有效率上的優勢。

（二）維權與監管并聯：監管力量加強

現實中，不止個人信息侵權損害賠償的救濟面臨諸多困難，對個人信息侵權行為的行政監管同樣挑戰重重。一方面，個人信息處理者對個人信息的收集、處理等相關操作都極為隱蔽，操作指令等有痕信息以及處理后的數據存儲皆由其掌握，并且一般情況下無需向用戶、社會和監管機關公開，這使得民眾與監管機關均難以察覺相關侵權事實。另一方面，個人信息侵權事件頻發的當下，民眾迫切期望能夠加強個人信息保護的行政監管。正是在這樣的情況下，每一個疑似侵害個人信息的線索都不應被忽視。所以，如何能夠激發民眾的監督意識，妥善回應個人信息權益主體的維權訴求，應該是相關制度設計所應考慮的重點。行政裁決機制將權利救濟與行政監管相銜接，使得每一位維權發起者都可能是個人信息侵權事件的“吹哨人”。在個人信息權益主體尋求救濟之時觸發行政監管機關調查的啟動，一旦認定個人信息處理者違反個人信息保護相關法律法規，行政監管機關在裁斷個人信息侵權糾紛的同時，也應依法對個人信息處理者作出相應處罰。

與之相對的是，在既有民事侵權訴訟救濟模式或行政監管與民事侵權訴訟相結合的糾紛解決模式下，民事損害賠償糾紛的解決與行政監管的啟動并無必然的關聯。此種情況下，極可能存在民事損害賠償糾紛已經了結，而個人信息處理者的違規行為卻依舊我行我素，并不整改。尤其當民事侵權訴訟選擇以和解方式結案時，個人信息處理者的相關侵權事實甚至不會得到法院的調查與認定。現實中，處于非對稱權力結構中的個人信息權益主體，難有時間、精力與能力同個人信息處理者在法庭上展開對抗。如以理性人視角分析，一份足夠有誠意的和解協議極可能使當事人選擇和解結案，從而終結冗長的法律訴訟程序，盡快獲得損失的填補。個人信息處理者的疑似違規行為與侵權事實，也將隨著民事訴訟的案結事了而又得以隱匿乃至繼續。需要注意的是，大數據下的自動化決策與算法的執行總是針對龐大的用戶群體，因此個人信息侵權事件中受害主體往往并非某個人，極可能涉及公共利益。所以個人信息侵權糾紛的解決不應僅將個人損失的填補視作終點，而應當兼顧對侵權行為的糾偏與侵害風險的化解，這也對糾紛化解機制提出了更高要求。個人信息侵權糾紛行政裁決制度通過將侵權維權與行政監管相關聯，顯著豐富行政監管的線索來源，使得行政監管的觸發更為敏銳，實現及早發現、及時查處，在個人信息權益主體的損失得以彌補的同時，保護更廣大用戶群體的權益，維護社會公共利益。

（三）賠償與處罰并行：加重違法成本

依據《個人信息保護法》第69 條之規定，個人信息侵權損害賠償金額應首先按個人因此受到的損失或者個人信息處理者因此獲得的利益確定，如難以確定，則根據實際情況確定賠償數額。可見，損害賠償秉持的原則為損失填補或獲益退回。而個人信息侵權的一個重要特點即在于信息權益主體多數情況下所受損害不在于經濟損失，甚至沒有經濟損失。個人信息一旦被違規收集、處理甚至泄露，由此所帶來的個人行動軌跡曝光、社會評價受影響等后果關乎當事人的人格自由、人格尊嚴等人格權益，從而造成焦慮、恐懼等精神上的損害。所以，上述條款中“因此受到的損失”是否包含精神損害賠償至關重要。當下侵害個人信息權益精神損害賠償是否成立、損害如何認定以及數額如何認定等仍面臨較大困境。①參見彭誠信、許素敏：《侵害個人信息權益精神損害賠償的制度建構》，載《南京社會科學》2022 年第3 期。同時，作出侵害行為的個人信息處理者也并不必然能夠因此獲得收益，如僅是作為用戶注冊真實性驗證或便捷登錄等場景；一些情況下甚至同樣會因此遭受經濟損失，如信息網絡系統被黑客攻擊導致系統癱瘓或存儲的用戶數據被竊取，導致因無法正常提供服務或關乎商業秘密的數據被竊取而蒙受經濟損失。所以，民事侵權訴訟路徑所作出的個人信息侵權損害賠償，既可能無法實際填補當事人所受損害，也可能難以對個人信息處理者產生震懾效果。

個人信息侵權糾紛行政裁決制度的建構，實現行政監管機關在介入個人信息侵權糾紛以查清事實、定奪紛爭的同時，對個人信息處理者相關行為進行監管和審查。如確有違法違規行為的，行政監管機關自會行使行政處罰權，對個人信息處理者作出相應處罰。如此一來，行政監管的處罰決定與行政裁決的損害賠償裁定并行，將大大加重個人信息處理者侵權行為的違法成本，使其違規行為付出的代價將不再限于填補信息權益人損失或退回所獲收益。無獨有偶，當下歐美在個人信息領域治理手段也主要依靠的是行政監管而非個案式的民事侵權訴訟，如歐盟《一般數據保護條例》并未涉及任何私法救濟方式，主要依靠高額的罰款來實現對個人信息侵權違法行為的預防。②參見梅夏英：《在分享和控制之間，數據保護的司法局限和公共秩序構建》，載《中外法學》2019 年第4 期。所以，最為個人信息處理企業所忌憚的是監管機構頻頻開出的“天價罰單”。

（四）事前與事后同步：解決預防并重

“個人信息保護之目的并非保護個人對其個人信息的控制性權益，而是為了規制個人信息處理風險，防范與救濟個人數據處理與利用活動可能產生的侵害后果。”③王錫鋅：《個人信息權益的三層構造及保護機制》，載《現代法學》2021 年第5 期。個人信息侵權糾紛行政裁決制度在提供權益救濟的同時，能夠對相關風險加以應對，從而實現風險的防范與侵害的救濟相統一。

首先，司法機關在個人信息侵權糾紛民事侵權訴訟路徑中，對于相關糾紛只能采取不告不理的保守態度并恪守中立。如想在個人信息侵權糾紛中有所主動作為，其更多地只能通過普法宣傳提升公民的維權意識與個人信息處理者的守法意識；或者寄希望于相關裁判觀點、司法解釋等產生外溢效應以影響社會實踐。反觀個人信息侵權糾紛行政裁決路徑中的行政裁決機構，雖然同樣具有被動性的特征，但其所依托的行政監管機關負有保護公民個人信息權益免受侵害之職責以及相應的法定職權，而理應在個人信息侵權事件中積極作為，以維護公民權益與社會秩序。與此同時，行政監管機關還可就日常監管過程中發現的侵權線索、認定的違法事實以及查處的典型個案向社會進行公布，并對受侵權主體發出維權提示，從而一定程度上實現主動化解糾紛、保護公民個人信息權益的效果。

其次，判決結果的社會效益當然屬于法院審理裁判所應考量的因素之一，但其側重點更多在于實現定分止爭。案件有通過調解或和解結案之可能，法院自然會鼓勵雙方當事人進行嘗試，如若最終順利達成調解或和解協議，則司法程序便宣告終結，于法院而言任務自然已經完成。法院斷不會也不能為追求裁判文書的社會效益，強行推進司法進程來以判決作為終點。即使法院得以通過宣告判決而結案，并在裁判文書中就侵權事實與損害賠償金額作出認定，這種單一個案式的司法裁判所產生的規制效果恐難以同行政規制手段相提并論。特別是在個人信息產業這類新興且快速發展的領域，“人臉識別第一案”判決所產生的社會治理效果以及對相關行業個人信息處理行為的規制作用與效率，可能遠不及行政監管機關或行業協會發布的指令性文件。承擔著社會管理職能的行政監管機關，對于個人信息侵權風險主動預防負有責任，并擁有告誡、指導、制定一般性規則等豐富的行政規制手段，其借助個人信息侵權糾紛行政裁決的建構，能夠實現監管空白彌補，運用行政規制手段實現利益調整與政策形成等功能，最終達致糾紛實質性化解與系統性風險防范的多重效用。

四、個人信息侵權糾紛行政裁決制度的主要內容

符合中國國情的個人信息侵權糾紛行政裁決制度具備獨有的優勢，并且具有正當性與必要性，但其具體建構還面臨著以下主要問題：首先是制度如何確立的問題，這涉及行政裁決的設定是否應堅持法律保留原則；其次需要結合個人信息監管機構的職權以合理設定行政裁決受理主體；再次，如何科學地劃定受理范圍，從而厘清個人信息侵權糾紛的雙方主體；最后，如何對行政裁決的結果進行監督，尤其是目前行政裁決司法審查的訴訟形式在實踐中仍不統一的背景下。對上述問題的回答，即構成個人信息侵權糾紛行政裁決制度的主要內容。

（一）行政裁決的確立

在我國既有法律體系中，法律、行政法規及規章均設定有行政裁決。由法律設定的，如《專利法》設定的專利強制許可使用費糾紛以及申請注冊的藥品相關專利權糾紛行政裁決制度；由行政法規設定的，如《中藥品種保護條例》設定的經批準仿制的中藥保護品種仿制使用費糾紛行政裁決制度、《集成電路布圖設計保護條例》設定的使用布圖設計非自愿許可的報酬糾紛行政裁決制度；由規章設定的，如《民間糾紛處理辦法》設定的民間糾紛行政裁決制度。

關于行政裁決的設定是否需要嚴格遵守法律保留原則，當下學界的觀點并不統一，有學者認為行政裁決只能由法律設定，因為其關乎國家職能的分配與調整，所以只能由最高國家權力機關加以規定，并且國外行政裁決也普遍由議會立法設定；①參見王小紅：《行政裁決制度研究》，知識產權出版社2010 年版，第56-57 頁。有學者則認為只要民事糾紛的最終裁決權在法院，行政裁決的設定并不會導致行政權干擾司法權，所以法理與現實都支持法規擁有設定行政裁決的權限，只需保證設定行政裁決的法規與更高位階的法律不相抵觸即可。②參見陸平輝：《行政裁決訴訟的不確定性及其解決》，載《現代法學》2005 年第6 期。本文贊同后一種理論觀點，并且實踐現狀也肯認了該觀點，如中共中央辦公廳、國務院辦公廳印發的《關于健全行政裁決制度加強行政裁決工作的意見》即提出“要適時推進行政裁決統一立法，以法律或者行政法規的形式對行政裁決制度進行規范”。司法部也提出“認真開展規章清理……對于沒有法律法規依據的行政裁決事項，要盡快推動上升為法律法規”③《司法部負責人就〈關于健全行政裁決制度加強行政裁決工作的意見〉答記者問》，載中國政府網，http://www.gov.cn/zhengce/2019-06/02/content_5396933.htm。。所以個人信息侵權糾紛行政裁決的設定可以通過以下三種方式實現：一是由全國人大常委會修改《個人信息保護法》，增加個人信息侵權糾紛行政裁決機制；二是在未來制定行政裁決統一立法《行政裁決法》時，將個人信息侵權糾紛類型案件列入行政裁決的受理范圍；三是由國務院制定《個人信息侵權糾紛行政裁決條例》，以行政法規的形式予以確立。

（二）行政裁決的主體

《個人信息保護法》與《網絡安全法》《數據安全法》共同構筑起我國個人信息保護領域的法律規制框架，并形成了多部門共同參與的個人信息保護監管執法體系。在互聯網平臺檢索個人信息保護專項行動的相關報道可以發現，涉及到的主體僅中央層面就包括中央網信辦（國家互聯網信息辦公室）、公安部、工信部、銀保監會、國家郵政局、國家標準委等部門。這其中處于核心地位的當屬國家網信部門，其在《個人信息保護法》中也被明確賦予統籌協調個人信息保護工作和相關監督管理工作的重要職責。國家網信部門在個人信息保護領域所具備的獨立性與專業性，是世界各國行政裁決機構最為顯著的特征，同時也是我國目前運轉良好的行政裁決機構——專利復審委員會和商標裁決委員會所具備的特點。所以，個人信息侵權糾紛行政裁決的受理主體無可爭議地應由國家網信部門擔任或主要由其產生。

面對涉及各相關專業領域的個人信息侵權糾紛案件，網信部門應發揮統籌協調職能，吸收各相關行業監管機構加入行政裁決機構。學界一直有聲音希望效仿英國行政裁判所或美國獨立管制委員會的模式，以保證裁決機構及人員的職業化、中立性與獨立性，并設想在專業性較強的領域首先設立獨立裁決機構，最終實現按地域區分的層階式行政裁決機構體系。④參見周佑勇、尹建國：《我國行政裁決制度的改革和完善》，載《上海政法學院學報》2006 第5 期。但也有學者認為英美的行政裁決機構模式與我國既有體制并不相符，且其提升裁決機構獨立性、中立性的代價是使得裁決機構的專業性優勢被大幅消解。①參見梅揚：《行政裁決制度的性質定位與困局破解》，載《華中科技大學學報（社會科學版）》2021 年第5 期。本文認為直接脫離行政機關建立專門、獨立的個人信息侵權糾紛行政裁決機構目前尚不適宜，當下可在網信部門內部設立相對獨立的個人信息侵權糾紛行政裁決機構，統籌協調各相關職能部門參與裁決隊伍的遴選與組成。這樣更能保障個人信息侵權糾紛行政裁決機構的專業性、權威性以及與行政監管機關的順暢聯結，從而確保制度的實效運行。

（三）行政裁決的范圍

行政權伴隨著政府承擔的社會職能日漸繁雜而隨之擴張，開始廣泛介入金融、貿易、產品責任、勞資關系、環境保護等眾多領域。憲法傳統理念也因此發生了改變，形式主義與功能主義理念不斷進行碰撞，立法權、行政權與司法權之間不再涇渭分明。“在這樣一個公民積極參與的社會中，公共官員扮演的角色越來越不是服務的直接供給者，而是調停者、中介人甚或裁判員。”②丁煌：《西方公共行政管理理論精要》，中國人民大學出版社2005 年版，第428 頁。個人信息侵權糾紛行政裁決制度即代表著行政權介入民事自治領域，其正當性與必要性的關鍵之處即在于與行政監管活動直接相關，這要求裁決的范圍不能脫離行政監管的范圍。《個人信息保護法》第72 條之規定將自然人因個人或者家庭事務處理個人信息的情形排除出個人信息行政監管范圍，同時也為個人信息侵權糾紛行政裁決制度的受理范圍劃定了邊界，即處于非對稱權力結構中的個人信息侵權糾紛與損害賠償糾紛。

在法律關系上，《個人信息保護法》中的私法規范是《民法典》的特別法，所以其所作出的特別規定應優先適用，沒有規定的事項則應適用《民法典》相關規則。③參見石佳友：《個人信息保護的私法維度——兼論〈民法典〉與〈個人信息保護法〉的關系》，載《比較法研究》2021 年第5 期。“個人信息保護法旨在防范對人格和財產的抽象加害危險，構成人格利益和財產利益的前置保護性規范，因此，其和侵權行為法對人格權（尤其是隱私權和名譽權）的保護不相排斥，而是互相結合。”④楊芳：《個人信息保護法保護客體之辨——兼論個人信息保護法和民法適用上之關系》，載《比較法研究》2017 年第5 期。所以，正如《個人信息保護法》并非《民法典》個人信息保護規定的完全替代，個人信息侵權糾紛行政裁決制度同樣并非民事侵權訴訟路徑的完全替代。《個人信息保護法》規制范圍之外的普通個人信息處理行為造成的損害則落入《民法典》關于人格權的保護范圍，相關糾紛即依民事侵權訴訟路徑運用侵權行為法的規定解決。此種情況下，因脫離行政監管的范圍，不僅行政裁決不再具備正當性，其原本所具有的相較民事侵權訴訟路徑的專業與效率優勢也將喪失，并將額外增加行政機關負擔，造成行政資源的浪費。

（四）行政裁決的監督

關于行政裁決的監督方式，一是行政機關內部監督的行政復議；二是可提請司法審查。關于行政裁決的司法審查，1932 年美國聯邦最高法院在克羅威爾訴本森案件中發展了司法權力委任理論，并形成“司法最終”標準，即“只要行政機關對私權利爭端的裁決最終仍接受司法審查，行政機關根據法律的委任行使司法權就不違背憲法的分權原則”①周佑勇、尹建國：《我國行政裁決制度的改革和完善》，載《上海政法學院學報》2006 第5 期。。而我國人民代表大會制度下，行政介入民事糾紛的正當性并不依賴于糾紛的最終裁決權由法院享有，所以行政裁決制度的司法審查并無權力分立模式之要求。但我國目前司法實踐中行政裁決的司法審查模式尚不統一，存在著行政訴訟與民事訴訟混用的情形。這是個人信息侵權糾紛行政裁決的監督部分應探明的問題。

最高人民法院于2009 年頒布的《關于建立健全訴訟與非訴訟相銜接的矛盾糾紛解決機制的若干意見》第8 條規定，當事人不服行政機關對平等主體之間的裁決結果，以對方當事人為被告就原糾紛向人民法院起訴的，人民法院按民事案件受理，法律或司法解釋明確規定作為行政案件受理的除外。在這樣的制度設計下，行政機關便不會因介入民事糾紛行使行政裁決權而成為被告，其后顧之憂得以解除。《行政訴訟法》第61 條規定在涉及行政機關對民事爭議所作的裁決的行政訴訟中，當事人可以申請一并解決相關民事糾紛。2018 年發布的《最高人民法院關于適用〈中華人民共和國行政訴訟法〉的解釋》第140 條細化了上述條款所涉及的行政訴訟一并審理民事糾紛的具體規則。所以現行法規范下，只有法律或司法解釋明確規定個人信息侵權糾紛行政裁決作為行政案件受理，方才適用行政訴訟裁判。如不對行政裁決的司法審查方式進行限定，一方當事人以對方當事人為被告提起民事訴訟的情況下，法院將就原糾紛重新進行審理。從結果上看，一方面，導致行政與司法資源的浪費；另一方面，可能導致出現結果不同的行政裁決和司法判決。從過程中看，如果在民事訴訟中對行政機關的行政裁決行為的合法性進行司法審查，不合乎行政權與審判權的關系以及法律的規定；反之，如果不對其進行合法性審查，則一定程度上使得行政權脫離司法監督。②參見陸平輝：《行政裁決訴訟的不確定性及其解決》，載《現代法學》2005 年第6 期。所以，行政裁決適用民事訴訟進行司法審查的監督模式面臨多重困境。

個人信息侵權糾紛行政裁決制度屬于個人信息的“權力保護”模式，其裁決機構與組成人員依托于行政監管機關，其裁決權來源于行政機關之公權，其裁決結果具有公定力。所以，個人信息侵權糾紛行政裁決的司法審查應采行政訴訟路徑。在確立個人信息侵權糾紛行政裁決制度時，應明確對裁決結果不服的可以向人民法院提起行政訴訟，法院在對行政裁決進行司法審查的同時，對相關民事糾紛一并解決。

結 語

互聯網產業與數字經濟快速發展的當下，民眾對個人信息保護有著強烈訴求。《個人信息保護法》的出臺完善了個人信息保護法律規范體系，對于個人信息權利遭受侵害的救濟作出了詳盡規定。其中就個人信息損害賠償所確立的過錯推定原則，發揮著減輕受害人舉證負擔、調和雙方強弱關系、平衡利益關系的作用。①參見楊立新：《侵害個人信息權益損害賠償的規則與適用——〈個人信息保護法〉第69 條的關鍵詞釋評》，載《上海政法學院學報（法治論叢）》2022 年第1 期。侵權損害賠償數額標準較既有法律規范，也更加適應信息處理者與權益主體之間非對稱權力結構下個人信息侵權的新特點。以“全程在線”為基本原則的互聯網法院試點雖為民事侵權訴訟帶來了創新與變革，實現從案件受理到宣判全程網絡化，便利了當事人參與訴訟，顯著降低了訴訟成本，但并非個人信息權益救濟當然的唯一答案或最優解。個人信息侵權糾紛行政裁決制度的建構，可扭轉既有民事救濟模式下行政監管喚起的不確定性，填補原有行政監管介入模式所缺失的損害賠償糾紛解決能力。其制度正當性的根基在于彌補市場自我調節機制的不足，維護公共利益與社會秩序，而其必要性則在于能夠實現風險的防范以及侵權糾紛的高效化解。基于對民事主體自主選擇權的尊重，行政裁決一般由當事人自主申請，行政機關并不能強行介入。是否在個人信息侵權糾紛中將行政裁決設定為訴訟的前置程序，是一個值得思考的問題，有待學界繼續討論。