论行政监管在个人信息保护中的功能转型

张梦蝶

(中国政法大学 法学院， 北京 100088)

一、引 言

生活在当今社会中的每个个体，都能亲身感受到大数据发展所带来的便利和高效，无论是日常生活的方方面面，还是应急状态下的特殊处理，都能看到大数据技术应用的身影。但是，与高效便利的优势相伴而来的，则是实践中个人信息侵权事件的频繁发生。技术的进步总是走在前面，尤其是对于信息技术来说，其发展可谓是日新月异。但是与其他的技术有所不同，大数据等信息技术的发展，不仅仅影响了科技层面，更重要的是，它能够直接或间接地对整个社会以及社会中的个体，产生更广泛的及于经济、教育、文化等方面的深刻影响。因此，大数据的发展已经不能再简单地定位为纯技术领域的活动，而已经发展成为一项社会性的公共事业。大数据技术本身，只是一项极为客观的技术，并不会对个体权益或社会利益产生负面效应，但是当它成为牟利的工具而被广泛运用时，便很容易造成个体经济性或人格性的损害，甚至会引发社会性的信息安全问题。因此，立法者有必要通过法律来规范信息技术的应用与发展，防止信息技术被滥用，以保护个体的信息权益不受损害。

我国已于2021年4月向社会公开了《中华人民共和国个人信息保护法(草案二次审议稿)》。从二次审议稿的内容来看，主要仍是从私法保护的角度对个人信息的保护问题进行回应。而对于政府的行政监管保护，则规定得过于笼统和简单。随着个人信息保护实践的发展，实践中对于个人信息公法保护的需求在不断增加，特别是对于行政监管保护的需求不断增长，事实上，在很多的现实案件中，政府的行政监管活动客观上已经承担了主要的保护任务。但是，二次审议稿仅在第六章中用了六个条款的篇幅，对行政监管这一事实上的主要保护力量进行规定，试图将行政监管保护的所有问题都囊括在这仅有的六条规定之中。(1)参见《中华人民共和国个人信息保护法(草案二次审议稿)》，2021年4月公布。对于行政监管本身的许多问题，以及行政监管保护与私法保护之间的衔接问题等，二次审议稿都没有予以充分回应。此外，这六个条款的规定，依然延续的是传统的行政监管模式，而没有考虑到个人信息这一客体的特殊性，以及由此所引发的保护困境。因此，如果法律仅赋予政府以强有力的行政监管权，而并未配合设计相应的制度体系，那么一方面不仅很难实现个人信息保护的目标，另一方面也可能产生新的权力滥用问题。

如果要对个人信息保护中的行政监管问题予以系统性回应，并建立起一套完整的个人信息行政监管保护体系，就需要先明确行政监管在个人信息保护中所应当承担的功能角色是什么。但是，由于行政监管在个人信息保护的发展历程中，其功能地位一直在变动，因此想要真正理解当下保护结构中的行政监管功能定位，就必须先对其功能的变迁进行梳理和分析，从而才能正确认识行政监管在当下的个人信息保护结构中，应当具有何种地位，发挥何种功能，以及如何构建个人信息行政监管保护体系。

二、二元保护模式中的行政监管定位

(一)隐私保护阶段中的行政监管

个人信息保护最早源自于对隐私权的保护，而隐私权作为一种具有防御性特征的权利，其保护模式则是通过侵权法来进行救济。因此，在隐私权保护阶段，以行政监管为主体的公法保护力量并未介入其中，可以说，此时的隐私权保护是一种纯粹的二元式私法保护模式。

在法律史上，最早产生的并非个人信息权利这一概念，而是隐私权这一概念。隐私权的概念，最早是由美国学者沃伦与布兰代斯在《论隐私权》一文中提出的。在这篇文章中，沃伦和布兰代斯首次提出隐私权就是个人不受外界打扰以及个人得以独处的权利。(2)参见Samuel D. Warren，Louis D. Brandeis, “The Right to Privacy,”Harvard Law Review,4(5), 1890, pp.205-206.很快，这种观点获得了主流的认可，并借助实践中的侵权诉讼案件，逐步确立起了隐私权的侵权法保护规则。因此，在早期的隐私权保护阶段，美国主要是通过侵权法救济的方式来对个人隐私进行保护，这也成了国际上最主要的保护路径之一。另一种主要的保护路径来自于德国，德国并没有直接从隐私权切入，而是通过人格权私法化的方式，来对个人隐私进行保护。(3)参见丁晓东：《个人信息保护：原理与实践》，北京：法律出版社，2021年，第10页。

无论是哪一种保护路径，在早期的个人隐私保护阶段，都具有一个共性，即都是通过私法保护框架来实现的。此时，法律认为，应当通过一方的个人权利对另一方的个人义务进行制约，从而达到个人隐私保护的目的。美国直接承认个人的隐私权，进而通过侵权诉讼的救济方式来实现对个人隐私的私法保护，而德国虽然没有选择美国式的路径，但通过人格权私法化的方式，同样是借助侵权诉讼的方式，来实现个人隐私保护的目的。此时，法律对于个人隐私，遵循的是这样一种保护思路：即法律试图通过个人的隐私权或者一般人格权，来对他人形成约束，促使他人履行隐私保护的义务，并借助侵权诉讼的方式，对该保护理念形成最终的司法保障，以实现法律对个人隐私的救济。在此阶段中，对个人隐私的保护均是在私法的范畴内展开，行政监管还尚未介入其中，所以，此时的隐私保护模式，是一种纯粹的私法保护模式，本质上就是传统的私法二元保护模式在隐私领域的运用。

当早期对于个人信息的理解，仅限于个人隐私这个范畴时，这种纯粹的私法保护模式是具有其合理性的。此阶段对于隐私权的讨论，更多集中在了对隐私的具体内涵以及其范围等方面，其目的就是为了明确隐私权的防御程度和防御范围。但如果抛开这个争议点，仅是从隐私权的功能性质来展开研究，那么还是比较容易达成一个共识：即无论此时的隐私权是在何种意义上被定义，从其功能性质来说，隐私权所表现出的都是一种防御性的功能。因此，沿用传统的权利—义务相制约的保护理念，就可以很好地实现对个人隐私的保护。由于此时信息的流通性价值尚未被发掘和广泛利用，所以人们所理解的隐私，只能是在防御性的意义上展开，因此对其法律保护的讨论，自然只能聚焦在侵权法保护模式内。与此相对应，社会流通需求的实际缺失，根本上导致了行政监管在这个阶段中既无介入的实际需求，亦无介入的正当性基础。

(二)“赋权+责任”型保护模式中的行政监管

随着社会和科技的发展，人们发现隐私保护的方式无法全面地覆盖个人信息保护的范围，从而认识到个人信息应当具有更广泛的含义，它不仅包括偏向防御性功能的个人隐私，还包括具有社会流通功能的个人信息。自此，人们对个人信息的理解不再拘泥于隐私的范畴，而是进入到了新的阶段，与之相对应的，人们对个人信息也提出了新的法律保护要求。美国通过拓宽隐私权内涵的方式，扩大了对个人信息的保护。美国学者威斯汀探讨了技术发展所导致的新的隐私问题，并提出应当扩大隐私的内涵，将隐私权定义为主体对其信息的控制权利。(4)参见Alan F. Westin, Privacy and Freedom, New York: Atheneum, 1970, pp.365-369.德国的转变则更加直接，德国联邦宪法法院在“人口普查案”中，首次明确提出了个人信息自决权这一权利，使得个人信息自决权独立于一般人格权，从而获得单独的法律保护。(5)参见张娟：《个人信息公法保护历程评述——以美国信息隐私权、德国信息自决权为中心》，《安徽大学法律评论》2013年第1辑。无论是扩大隐私权内涵的美国方式，还是直接承认个人信息自决权的德国式路径，本质上并无差别，都是通过肯定个人对其信息的控制权利，使得个人信息的内涵由隐私范畴扩展至更广义层面上的个人信息。同时，法律对于个人信息的保护，也从较窄的隐私侵权保护转向了更加全面的个人信息保护。

在这个阶段中，法律对于扩张后的个人信息的保护思路，就是赋予个人以信息控制权，同时规定处理者责任并限制其处理权限。此时，个人信息保护的重点，就落在了构建完善的赋权体系与处理者责任体系上。但是在后续的实践中，人们发现，这种“赋权+责任”型的保护模式，没有考虑到现实的需求，因此逐渐走向了形式主义而失去了应有的保护功能。为此，各国政府在实践中，通过行政监管的介入，试图推动“赋权+责任”型保护模式的改进，其中最有代表性的就是对“告知—同意”制度的改良。“告知—同意”制度存在的初衷，原是为了保护个人信息控制权中最为核心的两大控制权利，即知情权和同意权，并且在经过较长时间的实践后，它已经成为目前最重要的个人信息保护方式。但是随着实践中不断暴露出的问题，人们逐渐发现，繁琐且冗长的隐私规则实际架空了这一制度，使得“告知—同意”制度在大多数情况下，沦为了形式化的过程，反而失去了对信息主体知情权和同意权的实质性保障功能。(6)参见吕炳斌：《个人信息保护的“同意”困境及其出路》，《法商研究》2021年第2期。为了修补“告知—同意”制度的不足，避免其沦为形式主义的产物，各国政府试图引入行政监管来解决这一问题，以促使企业加强其隐私政策的可读性、简便性和透明性，最终强化“告知”的实质意义并使得信息主体的同意具有实质价值。(7)参见丁晓东：《个人信息保护：原理与实践》，第92-93页。

从这个阶段开始，行政监管的身影才真正出现在了个人信息保护的实践和理论中。但是，此时行政监管的保护功能并不是独立存在的，它在此阶段的保护意义仅仅是为了促成个人信息赋权和处理者责任的实质化，最终实现对“赋权+责任”型二元保护模式的改良。因此，严格来讲，行政监管并未直接参与个人信息的保护。在“赋权+责任”型保护模式下，个人信息保护的思路仍然遵循的是权利制约义务(责任)的模式，虽然相较于早期的隐私权保护模式，个人信息权的范围得到了更大的扩张，但是从宏观的保护思路来看，并未脱离传统的权利—义务式保护思路。因此，我们虽然在实践中看到了行政监管的身影，但是此时行政监管介入的目的和功能，只是为了补充并增强个人信息权的实际拘束力，从而加强个人信息权利对处理者义务(责任)的约束效果，使得以“告知—同意”制度为核心的二元保护模式由形式保护转变为实质保护。所以，本质上，行政监管的介入只是为了强化个人信息权的私法约束力，而并未期望与处理者之间建立起公法上的直接约束力。所以，在此阶段，个人信息保护功能的最终实现，并不是由行政监管完成的，本质上还是权利与义务(责任)相制约这一保护思路的应用。因此，在这个阶段，行政监管权作为一种公权力，其本身并不是“赋权+责任”型保护模式的构成部分，只是这一模式得以改良的辅助力量而已，即使行政监管不介入，也并不影响这一保护模式的发挥。所以，此时的行政监管，虽然在形式上展现了公权力保护的价值，但是从整个保护体系的模式来说，其还尚未展现出功能性或结构性的保护价值来。因此，这个阶段的保护模式虽然相较于早期的隐私保护模式，有了更多行政监管参与的空间，但其模式仍然是传统的二元私法式的保护模式，从本质上来讲，“赋权+责任”型保护模式的保护思路和保护架构并未脱离早期的隐私保护思路。此时，由于行政监管的参与并不是功能性或结构性地参与，因此不能简单地认定此时的保护模式已经发展为公私法相结合的模式，这与大数据时代的行政监管有着本质上的不同。

三、三元保护模式中行政监管的结构性转型

(一)三元保护模式的产生

当下，随着大数据技术的发展和大规模的应用，个人信息保护模式正在经历着新一轮的转型。“赋权+责任”型的保护模式在大数据时代中，愈加显得捉襟见肘。最近几年来，绝大多数严重的个人信息侵权案件，都不是由被侵权的信息主体主动发现而暴露的。例如，2021年的“3·15”晚会上，央视记者曝光多家知名商店所使用的摄像头都具有人脸识别功能，在到店客户不知情的情况下，这些商店通过摄像头私自对客户的人脸信息进行了收集。而摄像头生产企业通过对收集到的信息进行分析和再处理，可以解读出客户的购物喜好、购物习惯等信息(8)参见张洁：《多家知名商店海量搜集人脸信息》，《新京报》2021年3月16日。，这些再加工的个人信息对于商家来说具有相当大的吸引力，如果利用得当，则可以提供更精准的服务，从而降低成本并提高效益，但是一旦利用不当，则会潜在地削弱消费者的地位，使得消费者在市场中处于更加弱势的地位。但是，令人担忧的是，所有到店的客户，都没有意识到自己的个人信息竟然在日常的购买活动中，如此轻易地就被违法收集，如果没有记者的私下调查和内部人员的透露，那么这些严重侵犯个人信息权的事件是很难被发现的。由此可见，虽然“赋权+责任”型保护模式具有强大的保护功能，但是在大数据时代，这样的二元保护模式在实践中很容易被架空，此时，信息主体已经很难完全通过个人信息控制权来获得保护。(9)参见范为：《大数据时代个人信息保护的路径重构》，《环球法律评论》2016年第5期。在大数据时代，大量的人脸信息已经被非法收集，并且很难获知其后续流向，因此，对于信息主体来说，其保护需求已经转变为如何通过其他更强的力量来制约处理者，以及如何在个人信息已经被收集的情况下获得保护。更令人担忧的是，这类事件并非孤例，当实践中已大量出现类似情形后，人们逐渐意识到，如果个人连是否受到侵权以及何时受到侵权都无法获知，那么即使赋予个人再多的信息控制权，也很难有效地去约束信息处理者，同时还会导致事后民事救济上的诸多困境。因此，个人信息保护模式的转型需求已经逐渐明确，在大数据时代中，很难再单纯地通过对“赋权+责任”型模式的简单改良，来满足新时期的个人信息保护需求，而有必要引入新的保护力量。

这种力量在实践中已崭露头角，那就是行政监管在大数据时代所展现的结构性保护作用。2020年，圆通公司被曝光，其内部人员将数十万客户的个人信息非法泄露，且其中大量涉及姓名、地址、身份证号等基本信息。新闻一经曝光，便引起广泛的关注，很快，上海市网信办等行政监管部门约谈圆通公司，要求其改进个人信息保护措施，履行个人信息保护义务。(10)参见《上海市网信办约谈圆通速递责令整改》，上海市互联网信息办公室官方微信公众号“网信上海”，2020年11月25日。同时，针对快递业频发的个人信息侵权事件，国家邮政局在2021年1月推出了一系列强化行政监管措施，包括信用承诺制度、“互联网+监管”制度等措施，通过行政监管权的积极介入，促使快递企业加强其个人信息保护措施的建设，从而实现大数据时代中个人信息的保护目标。(11)参见《国家邮政局发布2021年邮政快递业更贴近民生七件实事》，国家邮政局官方微信公众号“国家邮政局”，2021年1月14日。类似的案例还有许多，从这些案例可以看出，行政监管在当下的个人信息保护中，不仅仅是承担一种辅助性的补充或增强作用，而是直接参与到个人信息保护法律体系中，成为与个人信息赋权以及处理者责任等私法保护相当的保护力量。可以说，在大数据时代，行政监管在个人信息保护法律体系中，已经具有了结构性的保护地位，而不再是附属于二元保护模式的一种次生辅助力量。此时，行政监管存在的意义不再是为了补充或增强个人信息权对处理者的私法约束力，而是直接通过行政监管权与处理者形成公法上的实质约束。因此，此时的个人信息保护模式不再是二元的私法保护模式，而是以个人信息赋权、处理者责任以及行政监管制度这三者为核心的三元式公私法相结合的保护模式。

在笔者看来，之所以会出现由二元式私法保护模式向三元式公私法保护模式的转型，其直接原因在于大数据时代的到来。大数据技术的广泛应用，导致个人信息在社会流通性和利用价值上产生了质的变化，且这种变化具有不可逆性，即基于大数据的个人信息收集处理已经成为现实，很难再寄期望于信息主体通过拒绝授权的方式来维护其个人信息权益，因此以知情同意等赋权方式为核心的保护模式在实践中已经难以发挥其功能。此时的保护需求已经转变为如何在大规模收集处理已不可逆的前提下来实现个人信息保护的问题。因此，保护的重点已经从源头控制转变为过程性控制，而对于这种动态性的、过程性的保护需求，只有依靠行政监管才能够实现。从二元保护模式到三元保护模式的转变中，我们可以看出，行政监管在个人信息保护中的角色，由无到有，再到成为关键角色，本质上并不是行政监管权主动扩张的结果，它的变化其实只是对个人信息自身保护需求转变的一种被动回应，根本上是由于个人信息在大数据时代中的性质和功能发生了变化，从而引发了人们对个人信息保护的新需求，进而才确立起行政监管在当下的个人信息保护体系中的结构性保护地位。笔者将在下文中，对大数据所引发的个人信息保护需求的转变，以及由此所产生的行政监管功能的结构性转型原因与法理正当性基础，进行详细的分析论证。

(二)个人信息社会流通属性的发展

从保护功能的角度来考察个人信息控制权的产生，实质上反映的是人们对个人信息社会流通功能的发掘。控制权存在的前提和正当性在于，人们认识到个人信息是可以进行社会流动的，换言之，个人信息并不是静态地附着于信息主体身上，而是可以动态地在社会上进行流动，并且信息主体和处理者可以从这种动态流动中获得各自的收益。正是基于这样的共识，广义的个人信息权才具有了替代狭义隐私权的可能性，并由此建立起以个人信息控制权为基础的二元保护模式。之所以存在个人信息控制权，前提必然是默认了信息具有流动的正当性，换言之，只有认识到个人信息社会流通功能的正当性和必要性，个人信息控制权才有存在的意义，才可能进一步探讨由哪一主体来控制，控制的边界是什么。

大数据的发展虽然没有产生新的功能属性，但是却导致社会流通功能发生了质变。无论是从实践中的感受，还是理论上的研究，人们都意识到，个人信息的社会流通功能在大数据时代已具有了不可选择的特性。在早期阶段，计算机技术的应用还未对个人的生活产生绝对的影响力，因此个人信息的社会流通功能还只是一道选择题，如果个体拒绝其信息被收集利用，并不会必然地导致其生活水平下降。但是，一旦进入到大数据时代，个人信息的社会流通功能便成了一个事实上的必选项，小到日常生活中的购物、乘车等基本生活需求，大到应急状态下的救援需求，社会生活的方方面面几乎都难以脱离大数据应用的身影。如果个体拒绝其信息被收集处理，则不仅仅是影响其生活质量或工作效率，更重要的是可能导致其与社会相脱离。(12)参见程啸：《论大数据时代的个人数据权利》，《中国社会科学》2018年第3期。当社会流通功能已成为一个必选项时，信息控制权的保护意义也将大打折扣，因为一方面，信息控制权所依托的核心价值——选择价值在大多数情况下都已丧失了实际意义；另一方面，仅依靠信息控制权已无法回应新产生的保护问题，即如何在社会流通功能既定的前提下，来实现个人信息的保护。

选择价值的丧失，使得过程性行政监管成了新的保护关键。个人信息控制权的主要保护特点是，试图通过对信息源头的控制，来实现对整个个人信息处理过程的控制，这或许在信息流通需求不强烈的时代能够实现，但是在大数据时代则显得捉襟见肘。它假设只要信息主体在每一次重要的信息处理节点进行同意授权，则可以对后续的整个过程进行保护，在笔者看来，这种方式更适用于双方实力比较均衡且能够在后续的过程中实现相互制约的情况。但是，当双方的实力存在较大的差距而无法形成事后的制约时，一旦实力较强一方获得授权，同时缺乏一定的过程性监管，那么这种模式很可能逐渐异化或形式主义化。在大数据时代，由于选择价值已经在事实上受到极大限制，所以个人授权对处理者来说已很难形成实质性约束，同时，作为弱势一方的信息主体，在授权之后更难以对后续的处理过程形成监督，再加上个人信息利用需求与保护需求之间存在天然的矛盾(13)参见周汉华：《探索激励相容的个人数据治理之道——中国个人信息保护法的立法方向》，《法学研究》2018年第2期。，最终将难以阻止个人信息侵权事件的发生。随着大数据的发展已成为一种不可逆的趋势，源头控制的方式便不宜再成为保护的最佳途径，而应当将保护的重心转移至过程性行政监管上。在源头的授权控制之外，必须引入过程性行政监管，强调个人授权之后的事中事后行政监管，这样才能弥补赋权保护的不足，与私法保护模式形成优势互补，从而建立起完整的保护链条。

社会流通功能的发展，也使得保护目标由单一保护转向了多元平衡。法律在建构个人信息保护体系时，不能一味强调保护而忽视大数据发展的需求，事实上，在大数据时代，如果过于强调保护而限制合理的发展空间，反而会导致个体的信息权益受到损害。因此，不能再继续沿用单一保护的目标，而应当考虑如何在保证大数据合理发展的前提下来实现个人信息的保护，此时，原有的保护模式就需要转型，才能实现发展与保护平衡的目标。虽然，我们也可以通过“赋权+责任”型保护模式对个人权利或个人义务进行调整来促进这种平衡，但是由于行政监管可以直接从社会整体性的角度出发，更便于平衡个体与集体、个人利益与社会利益之间的冲突，因此由行政监管来承担平衡保护的任务，更具有可行性。而且，从行政监管自身的含义来看，它本身就蕴含着两层含义，其一为监督，其二为管理。监督功能使得它能够规范市场秩序，对处理者形成强有力的约束效果，从而实现个人信息保护的目标；而管理功能则赋予了行政监管权更多的灵活性，使得它可以通过合作规制、回应型规制等方式，给予大数据更多的发展空间。行政监管不仅自身兼具强制性和灵活性的特点，而且能够根据具体的情形对这两种特性进行选择适用。因此，当大数据时代的保护需求已经转型为多元利益平衡的需求时，行政监管的优势便发挥了出来，也因此使得二元保护模式向三元保护模式的转型具有了正当性和必要性。

总而言之，无论是从选择价值受限的角度出发，还是从保护与发展的平衡需求出发，其核心都是源于个人信息社会流通功能的新发展，进而使得新的保护需求具有了必要性和正当性，并因此赋予了行政监管在个人信息保护体系中的结构性保护地位。此时，无论个人信息在何种意义上被定义，行政监管保护的结构性介入都具有了正当性和必要性。

(三)个人信息风险防控理念的转变

大数据技术的快速发展，不仅触发了个人信息流通的深度和广度，同时也意味着个人信息的风险防控难度急剧增加。个人信息作为一种比较特殊的法律客体，虽然学界对其性质的界定还存在诸多的争议，但是不可否认的是，个人信息侵权所带来的危害，不仅会及于经济损失，还往往涉及个体的人格尊严。对于人格性伤害来说，事后的经济救济并非是最佳的救济方式，特别是对于敏感信息来说，事后再多的经济补偿也很难弥补人格尊严的损害。因此，与事后救济相比，预防个人信息侵权损害的发生反而应成为保护的重点。然而，在二元保护模式之下，预防风险的压力实际上是由个人来承担的，个体依据其自身的理性对个人信息所可能产生的风险进行判断，再通过“告知—同意”等制度来选择是否承担该风险。这种制度设计延续了传统私法保护的理念，即法律在赋予个体权利的同时，便默认了个体应当为保护自己的权利不受侵犯而付出努力，因此个体应当自行承担风险防控的任务，并依据各自的风险判断来决定是否行使以及如何行使个人信息权利。

但是，这种自我风险防控的理念很难与大数据飞速发展的现实相融合。一方面，大数据的应用需求急剧扩张，并激发了个人信息处理技术的快速发展，使得个人信息的收集和处理过程具有极高的技术性特征，对于不具备专业知识的普通人来说，便很难理解处理过程中所可能存在的风险，自然也难以作出合乎理性的选择。同时，由于绝大多数的个人信息处理过程都是在幕后完成的，再加上大数据所带来的流通需求的激增，使得幕后的处理过程更加复杂和不透明，个体实际上已经很难追踪其信息的处理流向，客观上已经部分丧失了个人信息权利所赋予的控制力，更难以承担自我风险防控的任务。在面对系统性和复杂性的个人信息风险时，期望个体对其信息所可能产生的风险进行合理的预判已经不现实(14)参见丁晓东：《个人信息私法保护的困境与出路》，《法学研究》2018年第6期。，自我风险防控的保护理念已不合时宜，因而有必要通过行政监管来承担风险防控的任务。另一方面，在大数据时代，个人信息风险实际上已经成了一种社会性风险。有学者提出，从社会风险防范的角度切入，更有助于全面地理解个人信息保护的目标。(15)参见梅夏英：《在分享和控制之间——数据保护的私法局限和公共秩序构建》，《中外法学》2019年第4期。事实上，在早期的隐私保护阶段，个人信息侵权案件相互之间并没有直接联系，此时的风险是一种点状的分布。随着计算机和互联网技术的发展，侵权案件之间开始产生联系，往往是由于同一侵权主体而导致一批次的信息泄露案件发生，此时的风险便呈现出线状的趋势。到了大数据时代，由于信息的流通性呈现倍数增长的趋势，在整个处理过程中，某一个人信息往往经历过诸多不同的处理主体。因此，此阶段的个人信息侵权案件往往涉及多个侵权主体，每一主体又涉及数量可观的个人信息，此时的风险便体现为多条线的叠加，从而表现为一种面状的风险模式。风险模式由点至面的变化，使得我们难以将个人信息风险单独置于独立的个体之上，而不得不面对这样的事实，即大数据时代的个人信息风险已经发展成一种社会性风险，没有哪一个个体能够完全独立于这种社会风险之外，更不可能期待某一个体能够独自防范如此广泛的社会性风险，这已远远超出了个人的能力范围。因此，立法者不宜将个人信息风险防控的任务交由个体来承担，而应当肯定其公共属性，从社会整体性的角度出发，由行政监管来承担个人信息的风险防控任务。

四、三元保护模式中行政监管的再定位

(一)行政监管保护与私法保护的关系

行政监管之所以成为保护模式中的核心一环，本质上是因为大数据时代的个人信息保护需求发生根本变化，即由原本的单一只强调保护，转变为在保护与发展之间寻求平衡，由事后救济转变为强调事前与事中的防控和监管。许多人诟病授权型的私法保护模式在大数据时代所暴露的问题，但是这并不意味着私法保护模式应当被舍弃，这种保护模式在现实中之所以遇到极大的障碍，并不是因为其保护模式本身需要转型，而是因为它的适用范围被不合理扩大了。在笔者看来，每一种保护模式都有它所适用的有限范围和合理空间，而不可能对所有的问题都予以适用，当它的适用范围已经远远超出它的保护能力范围时，就会出现功能性的保护缺失。授权型的私法保护模式本身并非不适用于对个人信息的保护，它之所以在实践中出现形式主义化的问题，是因为人们对它的期待过高，试图通过单一的私法保护模式来解决所有的个人信息保护问题，这就使得它承担了过多不应承担的保护任务，已经远远超出它本身所能保护的范围。因此，对于私法保护模式来说，重要的是对它的保护范围进行重新划分，只是这种划分，不应当再完全依赖于私法上对于个人信息的定义和规范要求，而是要在公法和私法的共同基础上，来界定个人信息的内涵和外延，以及划定各自的保护边界。

所以，即使大数据导致了保护需求的转型，但是行政监管保护和原有的“赋权+责任”型的私法保护并非相互替代的关系，而是有机合作的关系。大数据时代的到来，产生了新的保护需求，并因此触发了三元保护模式的产生，但是在这个公私法结合的模式中，并不存在行政监管保护逐渐取代私法保护，或私法保护逐渐取代行政监管保护的问题。从保护目标来说，两者在最终目标上是一致的，都是为了促进个人信息在保护需求与发展需求之间的平衡。但是另一方面，在最终目标之下，两者在各自的具体保护目标上又存在不同的侧重，私法保护更加侧重于对个体信息权益的救济和修补，因此多立足于对既定损害的侵权救济，在整个救济流程中处于后端环节；而行政监管保护则更加侧重于对集体信息权益的救济和秩序建构，因此多立足于风险防控和过程性行政监管，因而在救济流程中处于相对前端和中端的位置。这就意味着，行政监管保护与私法保护，在整个保护模式中，既要强调明确的分工，更要强调在分工保护的基础上进行有机结合，共同建立从个人到社会、从微观到宏观、从事前防控到事后救济的一体化保护体系。因此，行政监管保护与私法保护的关系，不是一个逐渐替代的关系，而是两者并存，各有分工，但又有机结合的关系。

对于行政监管保护与私法保护来说，它们各自领域中的具体体系建构当然是极为重要的，但在三元保护模式下，还需要特别重视的一点就是，如何保证两种模式的有机配合，以便共同实现最终的保护目标，这就需要对各自的保护边界和权限进行合理的设置。由于个人信息本身来自于信息主体，但是其更大的价值则产生于社会流通的过程之中，同时在大数据时代，保护目标已由单一保护转向多元利益平衡，这就导致了公共性特征和私权性特征在个人信息这一客体上表现得格外复杂和特殊，进而也就导致行政监管保护和私法保护这两种模式在划分保护边界和权限时的复杂性。对此，我们有必要对行政监管与处理者以及行政监管与信息主体之间的相互关系进行探讨。

(二)行政监管与处理者的关系

在二元保护模式下，行政监管介入的目的是为了补充并增强个人信息权对处理者的私法约束力，根本上是为了纠正二元保护结构逐渐形式主义化的问题。但是，到了三元保护模式时期，行政监管便不再作为私法保护模式的附属力量，而是直接通过行政监管权与处理者形成新的公法约束力，此时行政监管介入的目的已不再是为了弥补私法约束力的不足，而是为了建立起新的公法上的约束关系，最终与个人信息权所形成的私法约束力一起，共同对处理者形成制约。此时，行政监管与处理者所形成的行政监管法律关系，是以集体信息利益与社会性信息风险为正当性基础而存在的，并非以私法保护关系的成立与否为正当性基础，因此它是完全独立于私法保护之外的一种公法保护关系。由于这种独立性地位，行政监管在决定是否介入以及何时介入时，所依据的应当仅是集体信息利益是否受损或者是否存在社会性信息风险。因此，三元保护模式中行政监管对处理者的规范与调整，相对于二元保护阶段来看，将更加主动和直接。同时与二元保护模式相比，行政监管对处理者的调整程度，也将远超过个人信息权利对处理者的制约深度。这是行政监管的正当性基础所赋予的，由于行政监管是为了集体信息权益和社会性信息风险而介入保护，因此它所面临的保护对象和保护利益具有公共属性，如果政府行使行政监管权时未被赋予更强的手段和更深的调整力度，那么行政监管将难以胜任个人信息社会保护的任务。而行政监管的个人信息社会保护功能，根本上又是源于大数据发展的不可逆趋势，由此决定了行政监管对处理者形成更加深入、直接和广泛的调整，存在客观的社会基础。

在三元保护模式下，则更倾向于双向合作的关系。由于行政监管的任务更加多元，不仅要立足于保护信息主体的权益，更要兼顾大数据合理发展的需求，因此，行政监管与处理者之间，就不能再简单地定位为单方强制的关系，而应该发展为一种合作行政监管的关系。在整个个人信息保护过程中，最关键的主体应当是信息处理者，只要信息处理者能够充分履行个人信息保护义务，遵守信息处理规则，那么就可以在最大程度上避免个人信息侵权事件的发生。但是，对于处理者来说，个人信息侵权所造成的损害主体是信息主体，并非处理者本身，而处理者如果要加强保护措施则意味着更多成本的投入，因此处理者很难主动地去提高自身的保护措施，反而极易演变为应付法律的规定(16)参见周汉华：《探索激励相容的个人数据治理之道——中国个人信息保护法的立法方向》，《法学研究》2018年第2期。，最终，落到实践中，就会导致法律规定与保护现状的脱节。所以，为了激发处理者内在的保护需求，就不能再采取单方强制的行政监管手段，而需要建立起回应型或合作式的行政监管模式，通过合作行政监管机制以及执法手段的动态选择机制，来有效促成处理者自发地履行个人信息保护义务，同时立足于对信息社会中各方利益的整体性调整，最终实现个人信息保护与大数据发展之间的平衡。(17)参见郭春镇、马磊：《大数据时代个人信息问题的回应型治理》，《法制与社会发展》2020年第2期。

(三)行政监管与信息主体的关系

在三元保护模式中，行政监管只与处理者形成直接的行政监管法律关系，而不会与信息主体形成直接的保护关系，但是，这并不意味着，信息主体与行政监管之间没有任何联系。个人信息保护模式虽然在不断发展演变，但是其根本目的并未改变，都是为了更好地对个体的信息进行保护，只是因为不同时期个人信息遇到的挑战不同，因而需要采取不同的保护模式。在大数据时代，虽然个人信息保护的难题已经演变为如何防控社会性的信息风险，以及如何在个体保护与大数据发展之间寻找平衡，但是其保护本质并未脱离最先的保护目标，即最终都是为了保证每个个体的信息权益不受侵犯。行政监管之所以在当下能够占据如此重要的保护地位，表面上是因为它能够有效地防控社会性信息风险，并实现集体信息利益，但根本上则是因为通过它对集体信息利益的平衡以及风险的防控，能够有效地解决个体在大数据时代无法承担的自我救济任务，从而在最大程度上保证每个个体的信息权益受到保护。所以，无论是二元私法保护模式，还是三元公私法结合的保护模式，最终都是为了实现个体的信息权益，只是两者的实现路径有所差异，前者通过权利义务的设定得以直接实现，而后者通过行政监管与个人信息授权的结合，从社会风险防控和保护利益平衡的角度出发，间接地促成个体信息权益的实现。

因此，信息主体应当对行政监管权的行使产生某种约束力，这主要体现在三个方面：其一，当行政监管部门对处理者采取行政监管措施时，不能仅考虑处理者的情况，还要对信息主体的保护需求形成回应，所采取的行政监管措施要以个人信息权利的最终实现为目标，换言之，要能够通过行政监管权的行使，最终实现个体信息权益的保护或救济。其二，对于已经采取的个人信息行政监管保护措施，信息主体应当享有相应的知情权和监督权，以保证信息主体不会因为行政监管措施的施行而受到间接损害。其三，如果行政监管权的行使，已经对个体的信息权益造成实际损害，那么就应当赋予其诉讼资格。虽然信息主体作为第三方，并未直接成为行政监管法律关系的主体，但是当行政监管措施的施行已经实际影响到其个人信息权益的实现时，便应当认定该信息主体为有利害关系的第三人，并赋予其诉讼资格，以保障个体的信息权益能够获得完整的救济。

五、结 语

大数据的发展引发了个人信息社会流通功能以及风险防控需求的转变，而为了回应这种变化，便需要改变原有的二元私法保护模式，强化行政监管的结构性保护作用，建立起三元公私法相结合的个人信息保护模式。因此，只有将行政监管置于其所调整的社会进行考察，才能探求其真实的功能意义，而不能脱离当下的社会背景对其进行制度设计。当个人信息保护需求发生转变时，行政监管制度应当应时而变，及时调整自身的功能定位和规范模式。如果行政监管依然固守于传统的规范模式，而忽视大数据时代个人信息保护的特殊性，那么反而会因无法回应现实而制约社会的发展。因此，法律在设计个人信息保护中的行政监管体系时，不能忽视大数据发展所引发的个人信息保护的转型需求，而应当立足于这一核心变化，构建更加灵活和柔性的行政监管体系，积极发挥行政监管在平衡多元价值以及防控社会风险上的优势，同时协调好行政监管保护与私法保护的关系，最终共同建立起完善的个人信息保护法律体系。