个人信息安全标准化进路的反思

文/崔俊杰

复杂的网络生态和高速变化的技术环境需要具备技术属性的监管制度予以回应。在我国互联网监管机构所确立的网络安全治理框架中，个人信息安全标准被置于十分重要的地位。不过，在全面法治的背景下，对标准体系自身的价值、其在实施环节的异化、与法律制度的契合方式等问题都有待进一步分析论证，以便发展与法治化要求相适应的技术治理。

技术制度：个人信息安全标准体系及其特征

标准是一种技术制度，不仅具有技术属性，而且具有制度属性。为此，需要首先借助规范主义的方法，对个人信息安全标准体系进行分级分类，并提炼特征。

（一）个人信息安全标准体系

从标准的级别上看，个人信息安全标准包括国家标准、行业标准、地方标准、团体标准和企业标准。其中，政府主导制定的国家标准、行业标准和地方标准属于“政府标准”范畴，团体标准和企业标准属于“市场标准”范畴。从标准的功能上看，个人信息安全标准可以分为“基本要求类标准”“实施指南类标准”“检测评估类标准”以及“行业应用类标准”。

除此之外，本领域还存在一些标准化的技术文件，包括国家标准化指导性技术文件以及有关标准化组织发布的其他类型的技术文件。值得注意的是，部分临时性组织（如App违法违规收集使用个人信息专项治理工作组）也常以各种形式发布了一些具备一定技术特征的其他制度文件。在行政法上，此类文件的法律属性存疑，本文权且将其纳入技术文件的范畴。

（二）个人信息安全标准体系的特征

一是功能上的支撑性。《关于加强国家网络安全标准化工作的若干意见》要求，“构建统一权威、科学高效的网络安全标准体系和标准化工作机制，支撑网络安全和信息化发展”。虽然我国迄今尚未制定有关个人信息安全的专门性法律，但标准化活动已延展到与个人信息安全有关的服务、管理以及公权力领域，并在适用范围、调整对象上与现有单行法律规范保持了相当程度的重叠性。可见，标准在功能上具有十分明显的支撑属性。

二是内容上的规范性。与一般技术标准有所不同的是，个人信息安全标准中存在一些比较明显的类似法律规则中行为模式的用语。可见，个人信息安全标准不仅仅关注技术水平要求、技术路线选择和技术指标论证，也同样关注个人信息处理相关主体的行为，从而呈现出明显的规范性特征。

三是效力上的非强制性。总体而言，有关个人信息安全标准多数符合《标准化法》所谓“基础通用、与强制性国家标准配套、对各有关行业起引领作用等需要的技术要求”，从而选择制定了推荐性标准，因而在效力上具有非强制性特征。

四是体系结构上的模糊性。根据国家有关规定，指导性技术文件在管理上应强化其规划性、体系性和规范性，但反观个人信息安全领域，一些推荐性国家标准与指导性技术文件在制定过程中却出现了规划不清、反复转换的情形。这说明，个人信息安全相关标准文件在其内在体系结构方面还存在相当的模糊性。

标准先行：实施中的异化及其动因

标准的实施虽然可以通过标准化自身的举措来实现，但主要还是通过与法律规范发生关系而实施的。这便牵涉出标准化的体制，以及标准与法律规范之间的关系问题。

（一）个人信息安全标准实施环节的异化

一是标准先于法律规范对外部性的行为进行规制。一方面，个人信息安全标准中的不少规范性表述仍停留于相对抽象的层面。这些规定并未将法律规范中的行为要求全面分解成客观的、描述性的、程序性的要素，并未充分关注不同产品、服务和流程的属性及内容，也就并不一定能够完全契合标准在技术性、科学性、透明性、可达性以及相容性等方面的要求。另一方面，由于《网络安全法》对个人信息安全的表述过于原则，导致有关标准中相当的篇幅都用来容纳法律中未曾出现的针对各类新兴行为的规范性条款。通过标准本身相对灵活、简便的制修订活动，标准在事实上已经领先于法律规范实现了对现实变迁的制度回应。

二是推荐性标准在实施过程中的变相强制化。基于对有关行政执法案件的深度观察可以发现，在一些个人信息安全标准尚未实施的情况下，监管部门已经显露出将有关推荐性标准作为判断违法事实依据的端倪。而当这些标准实施以后，上述执法思路在实践中被隐性地坚持了下来。因此可以认为，个人信息安全推荐性标准在实施环节被变相强制化了。

三是团体标准在未经验证前即被行业标准采纳。新《标准化法》增加了团体标准作为法定标准的类型之一。根据有关规定，团体标准实施效果良好，且符合国家标准、行业标准或地方标准制定要求的，才可以申请转化为国家标准、行业标准或地方标准。然而，通过检索个人信息安全标准制定过程中的一系列公开信息，却发现一些正在制定的行业标准与同样处于制定状态中的团体标准，在文本上存在高度的雷同性。很显然，上述团体标准并未完成制定，自然也远未实施，显然不能构成“实施效果良好”。这说明，个人信息安全团体标准存在未经验证就被采标部门采纳为行业标准的情况。

（二）标准实施中产生异化的动因

面对互联网信息领域复杂的技术和市场环境，监管部门不仅希望自己的行政规制，而且希望市场主体的自我规制，以及社会第三方的技术支持都能够通过相对制度化的载体发挥作用，从而实现技术治理的目标。具体而言，上述异化由两个方面的因素驱动。

一方面，风险预防有赖于开展行为控制。在互联网时代，大量分散的个体和小型企业借助数字平台参与经济活动。由于这些活动是对海量分散化信息的整合处理，以满足多样化、个性化的需求，因此，涉及个人信息的信息流的大小与有关产品和服务满足市场需求的能力和水平正相关，而与从业主体的规模大小没有直接关联。监管部门意识到个人信息安全的治理需要贯彻风险预防的理念，将执法的端口前移，从事后制裁拉回到事前事中控制上来。故而，通过标准为从业者设置行为规范，进行流程化管理就成为一个非常合适的选择。

另一方面，多元治理有赖于提高制度供给。首先，在数字经济时代，社会中存在的潜在违法量极大，行政执法力量与行政执法对象之间比例严重失调，执法成本极高。特别是囿于数字经济架构的复杂和技术的超高速迭代，个人信息控制者有能力利用复杂的技术架构来规避监管，使得本领域政府规制面临高强度“监管追赶”的压力，进而需要同样高强度、产出灵活的制度供给。其次，在政府规制以外，监管部门希望通过用一套相对便于识别、便于操作、便于评价的制度化供给来为从业主体开展合规审计、进行自我规制，以及便利社会公众有效参与提供参照和准据。再次，在本领域开展行政执法的技术门槛较高，往往需要借助社会第三方评估检测机构才能实施，因此也客观上提出了能够适应于第三方评估检测的技术性制度的供给需要。

对标法治：技治主义的隐性优势及其反思

依托标准来实施法律在国际上并不鲜见，但是现有学术观点更多注意到标准与法律相融合的现象，却没有在法治层面进一步探讨这一问题，更没有在公法所特有的思维框架中来具体分析这一问题。

（一）对标准实施中异化现象的解释：技治主义进路

虽然通过标准来支撑法律实施，是各国开展个人信息安全规制的通行做法，但在认同这种方式之前，还需要更为精确地回应标准化的本质特征。就此而言，监管部门的立场并未获得法理层面的充分论证。

首先，标准作为外在于法律的制度系统，其所反映的是一种市场需求与标准之间的供求关系。标准之所以能够获得实施，取决于标准与市场需求的契合度。因此，标准化的本质特征是自下而上的价值取向以及横向合作、协商共识的形成方式。这与以法律为代表的，体现国家意志、自上而下形成的纵向秩序规则是截然不同的。其次，标准虽然也具有规范效力，但其效力并非来自标准本身，而是来自法律的规定。即便是强制性国家标准，其效力也来自《标准化法》的规定，而不是标准本身。如果仅就推荐性标准而言，当事人的自愿选择构成标准发生法律效力的首要路径。再次，政府标准并不是政府主导制定的法律规则，它应当以市场标准作为基础。市场标准和政府标准之间虽然可以实现转化，但需要以实现市场标准之间的充分竞争为其前提。因此，当监管部门在缺乏对标准“自下而上”的本质认知之时，就一味强化技术理性“自上而下”的作用，这在无形中显露出技治主义的规制思路。

关于技术治理主义，其在理论层面主张“社会组织必须在发展的每一个阶段上，根据技术‘律令’的需要来适应技术的进步”。技治与法治之间并非毫无可比性。这是因为立法的过程高度复杂，各方面利益反复博弈，其经历的时间较长，不确定因素较大，在提供持续性的制度供给方面着实令人堪忧。不仅如此，在互联网条件下，传统立法规制方式所体现出来的“命令—控制”方式也难以回应技术爆炸环境的合规需求。不过，仅仅认识到技术治理的合理性是不够的，由于法治特别是其中的公法规则与政府权力直接相关，故而有必要结合公法特有的思维框架进行进一步的分析。

一方面，传统行政法中所体现出来的对行政权的高度不信任的态度，以及与之相对应的简单粗放式的立法控权方式，导致行政执法机关的权力能力大为受限。很显然，标准就在客观上为行政执法权的借力发挥提供了便利。另一方面，与各具体的行政行为法根据《立法法》所确立的法规范体系的层级，由上至下递减式地对公权力进行授权赋能不同，不同类型标准之间严格来说只有适用范围上的区别、强制适用和自愿适用的区别、于我有效和于我无效的区别，并没有效力大小的区别。即使是推荐性标准，也比一般的行政规范性文件更具备形式上的规范性，也更易于产生实质上的参照效应和执法威慑，且不像行政规范性文件一样将始终面临来自司法审查的压力。

（二）法治框架下技治主义进路的反思

在法治框架下，需要将对标准化活动的评价纳入现实的政治制度、社会条件、法治发展阶段之中。为此，应结合标准的宏观管理以及标准背后的政府权力以及职能配置的合法性、正当性等问题对技治主义进路进行反思。

首先，个人信息安全标准化不能忽视标准自身在民主、科学和确定性方面存在的不足。于民主性方面，有关技术要素并不能单独决定标准的设计过程和设计结果，社会要素将不可避免地参与到标准的设计过程中来。由于标准事实上是在设置市场壁垒，建立进入门槛，因此与立法相比，标准在制定中可能更容易受到来自利益集团的俘获。这即是说，尽管标准的形成体现竞争、强调合作，但标准的实施完全可能出现反竞争的后果。于科学性方面，面对信息时代的高风险挑战，专业化的科学知识已经不再具有传统科学观所主张的全整的理性，而是充满了知识结构和内容方面的不确定性。加之专家个人偏好的情境性以及政策的社会建构性等因素，将极大地降低科学理性的正当性，并进一步削弱了其介入标准等技术制度建构的有效性。于确定性方面，与纯粹技术标准强调数值确定有所不同的是，个人信息安全标准的一些内容及其表述方式都与法律规范相差无几，因此他们自身也难以完全逃脱法律规范的局限，如存在不确定概念和裁量余地等。

其次，个人信息安全标准化不能忽视因标准自身缺陷而对被规制者产生的影响。脱胎于工业时代的标准化可能未必适应数据高速流动、极化使用以及不确定性风险如影随形的数字时代。如果被规制者遵循了标准的有关行为和流程要求，是否意味着其可以获得法律责任的豁免?至少在目前的情况下，一旦发生个人信息安全事件，面对强大的政治压力和舆论压力，对标准自身缺陷的理性认知都会让位于结果导向的管制思路。而标准自身的缺陷、被规制者的质疑又都能够被标准规范中不确定的概念和裁量余地所吸收。就此而言，监管部门可能不当地忽略了标准化与法律责任之间的关系。

再次，个人信息安全标准化不能忽视与之相配套的制度建设。但凡规制者还抱持工具主义、结果导向的管制思路，就还没有从根本上意识到标准自身的实施机制与法律实施机制的不同，没有跳出“对违法行为实施事后制裁”的“命令——控制”规制进路，也就没有回到通过事前“合规审计”来确保标准实施的规制进路上来。更进一步讲，完善的认证制度是标准化的标配。认证制度不仅有对符合纸上的标准的认证，也有对符合要求的事实的认证，其所体现的信号功能、激励效应，才有助于促使市场主体自愿遵守标准，从而确保标准的有效实施。

最后，个人信息安全标准化不能掩盖标准背后的权力真相。就政府标准的产出而言，制定标准本身就是一种权力，体现了标准制定主体的权力能力。我国的标准化体制脱胎于计划经济，有关政府标准的制定在很大程度上体现为行政权的直接作用。从这个意义上讲，网络信息产业的成熟度、相关市场的稳定程度，以及过度标准化可能产生的技术壁垒、超大型平台企业可能因此形成的垄断等，都应当作为行政权力介入标准制定前需要考虑的因素。就市场标准的产出而言，新《标准化法》对团体标准的强调并不意味着强大的行政权力的自动退场。在现阶段，行业标准与团体标准的各自定位还未完全厘清，内在关联机制也没有很好建立，政府的行政权力对团体标准的制定还存在着非制度化的影响。因此，需要从行政组织法层面，对协会、学会等团体标准制定主体的资格和行为能力予以高度关注。如果只满足于形式上的团体标准，而忽视了社会组织、行业协会的角色充权，就意味着有关团体事实上成为了协助政府制定标准的工具。这样一来，广大市场主体所面对的，就可能不仅仅有叠床架屋的法律规范，而且是层层加码的标准。就标准的实施而言，标准的实施依赖于法律的规定。标准既然不能离开法律为自己赋权，也就更不能僭越乃至取代法律对其他主体赋权。所有作为政府部门执法的依据都必须通过法律法规进行授权，即使是强制性标准，也不能作为天然的依据。违反标准代表市场主体的行为和服务有缺陷，可以作为判断民事责任的依据，但是不应当天然作为政府执法的依据。

结论

标准看似是一个技术问题，但对相对人权利义务影响重大。也正因如此，标准的技术判断应当尽可能局限于技术细节。基本的价值权衡则必须交由民主的立法程序予以完成。一言以表，监管部门不应忽视标准“自下而上”的本质，应摒弃工具主义的管制思维。政府在利用标准开展个人信息安全治理时，应当更多地关注服务。