幸珂岚

摘 要：建立个人信息保护合规体系是互联网企业规避相关法律风险的主要方式。当前，互联网企业个人信息保护合规的行政监管存在缺乏统一监管主体、行政监管措施乏力以及激励机制供给不足等问题。互联网企业个人信息保护合规的行政监管需要走出传统的“威慑”陷阱。通过建立统一的监管机构，完善政府合规管理制度和构建行政合规激励机制，从企业外部施加监管压力从而满足保护公民个人信息、维护市场经济秩序的需求。

关键词：互联网企业；个人信息保护；企业合规；行政监管

中图分类号：D9     文献标识码：A      doi：10.19311/j.cnki.16723198.2024.01.065

随着互联网技术的迭代发展，互联网企业在收集公民个人信息提供服务的同时，面临泄露公民个人信息的法律风险不断增大，《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）等相关法律的出台，个人信息保护的重要性日益凸显。建立个人信息保护合规体系是有效预防互联网企业违法收集、存储、使用公民个人信息的有效途径，也是保护公民个人信息的新型治理方式。然而，企业一旦涉及犯罪，则将会面临严峻刑罚，仅依靠企业内部自行建立和运行个人信息保护合规体系并不能充分达到预防公民个人信息不受侵害的理想效果。一方面，公司内部治理易受到主要管理人意志的影响，公司的高层领导意志和企业的逐利性难免会对合规体系的有效运行造成影响，易导致企业内部合规计划流于形式、难以落实；另一方面，有效的合规监管体系需要对合规体系的运行形成全过程、全方位的监督，这就需要具备一定权威性和专业性的角色参与完成对企业个人信息保护合规体系构建的指导任务。通过将权威官方的外部监管与细致贴切的内部治理形成治理合力，才能够进一步保障互联网企业的合规体系运行不偏离轨道。当前相关的监管制度不够完善，监管措施也不够有力。本文旨在探讨、分析当前互联网企业个人信息保护合规行政监管的现状和存在的问题，从而提出相关完善建议，积极推动互联网企业进行合规整改，实现可持续发展。

1 互联网企业个人信息合规行政监管模式考量

1.1 行政事前监管

事前监管，又称为事前审批，是指在企业活动开展之前，相关监管部门就该活动是否符合法律或者规章制度规定的各项条件所进行的监督审查。目前我国监管部门对企业提供互联网信息服务采取的是双轨制的事前审批模式。一是对于从事非经营性互联网信息服务的企业不需要获得行政许可，仅需要到有关部门进行本案即可。二是对于从事经营性互联网信息服务的企业则必须办理相关的经营许可证，否则就会面临触犯非法经营罪的风险，可能遭受强制关停、罚款等处罚措施。《个人信息保护法》中表明处理敏感个人信息可以通过法律、行政法规对有关行为设定行政许可或作出其他限制，这为监管部門事前审批敏感个人信息处理行为提供了法律依据。同时，认证也属于事前监管的方式。在国家市场监督管理总局和国家互联网信息办公室联合发布的《个人信息保护认证实施规则》中，首次确立了个人信息保护认证制度，明确了个人信息保护认证的范围、认证的流程以及认证后的持续监督和认证责任。不过，该实施规则并没有赋予个人信息处理者强制性的认证责任，而是采取倡导性的方式鼓励个人信息处理者去认证。

1.2 行政事中监管

事中监管主要方式为行政约谈，是指当行政相对人涉嫌违法犯罪时，行政部门通过“秘密”会谈的形式警示行政相对人有关行为的违法风险，指明行政相对人从业活动中具体行为的违法性，同时，对行政相对人给予相应的警示教育和积极引导，从而使行政相对人规避违法风险的一种管理活动。例如，工信部信息通信管理局曾就侵犯用户个人隐私的问题“秘密”会谈了北京百度网讯科技有限公司、蚂蚁金服集团公司，要求企业秉承充分保障用户知情权益和选择权益的原则进行合规整改，从而进一步规范企业对用户个人信息的收集、处理和使用。

1.3 行政事后监管

事后监管是在违法行为发生后进行的监管方式。当前我国对互联网企业侵犯公民个人信息行为的主要事后监管方式是行政处罚。当互联网企业存在涉嫌侵犯公民个人信息行为时，行政机关可通过“认定—调查—惩罚”为基本构成要件的执法模式，对互联网企业进行行政处罚。目前对互联网企业侵犯公民个人信息实施的主要行政处罚方式有罚款、责令下架、关闭停业等。例如，2022年11月，国家网信办将“超凡清理管家”等55款严重违反《个人信息保护法》等法律法规的App予以下架处理。

2 互联网企业个人信息合规行政监管面临的运行困境

2.1 缺乏专一的监管主体

在互联网领域，依照相关条例规定，负责个人信息保护监管工作的主要是国家网信部门、电信主管部门、公安部门和其他有关机关。而法律针对“有关机关”的表述意思含糊，并未指明是哪些具体行政机关立法也没有进行明确地说明，在实践监管时，容易产生监管主体不明的问题。同时，相关立法对互联网领域的个人信息保护监管主体并未作出明确规定，而是交由多个部门共同管理，这就可能导致两种极端情况，一是负有管理义务的机关相互推诿、逃避职责，造成大家都不想管的局面。二是负有管理义务的机关争相管理、重复管理，进而产生不必要的资源浪费，引发管理混乱。国家网信部门还承担着维护网络安全的任务，侧重于国家安全层面，而公安部门承担的社会监管职责更为复杂，这在一定程度上削弱了其对于个人信息保护的职能。总之，当前行政监管方式的监管主体缺乏明确性和专一性，监管主体责任的明确系完善统领个人信息保护监管的重要前提。

2.2 合规管理行政监管的制度供给不足

《个人信息保护法》为互联网企业处理个人信息设立了一系列自我规制义务，在针对互联网企业处理个人信息的自我规制模式之中，行政监管主体作为自我规制的规制者，就要针对互联网企业的自我规制进行监督，以此确保互联网企业在个人信息合理利用的轨道上正常运行。现有行政监管制度存在供给不足的情况。首先，行政监管机关缺乏针对个人信息保护的专门性合规指引。一方面，通过发布个人信息保护合规指引，行政监管机关确定互联网企业个人信息保护合规管理的基本原则，指导企业建立一套行之有效的合规管理运行和合规管理保障机制。在一定程度上，个人信息保护合规指引可以成为互联网企业建立个人信息保护合规体系的基本指南和标准范本。另一方面，在互联网企业出现侵害公民个人信息的违法行为时，个人信息保护合规指引可以成为行政监管机关查明互联网企业个人信息保护合规体系有效性的参照和依据。此外，即使互联网企业按照行政机关的指引构建了形式上的个人信息保护合规体系，但是其建立的个人信息保护体系在实际运行中是否得到有效遵守，也是行政监管面临的一个重要问题，毕竟合规绝不能只能是“纸面上的合规”，建立合规体系的目的就是要预防企业违规，因此有必要对互联网企业个人信息保护合规体系的运行进行监管。

2.3 企业合规缺乏激励机制

互联网企业通过网络科技损害公民个人信息的行为具有专业性、迅速性、累积性等特点。在实践中，监管部门在办理有关互联网企业侵害公民个人信息的案件中，往往存在着办案成本投入大、案件办理难度大、办案效率低下等问题。对于治理结构复杂的大型互联网企业，行政监管部门依靠传统的执法措施，一方面办案人员缺乏相应经验对企业行为是否构成违法难以判断，另一方面难以对有关违法行为进行针对性的整改预防，这就导致了实践中立案调查的标准不一，出现“选择性执法”现象：对部分轻微违法互联网企业纳入违法调查中，而对于严重违法的互联网企业却没有被立案侦查，没有受到相应惩罚。如此一来，被立案调查的互联网企业心存不甘，难以认识到自身的不足，而逃脱法律制裁的互联网企业则更加无视法律权威。在推进建立企业合规改革制度过程中的实际案例表明，期望企业事前自发建立合规体系是难以实现的，就算企业事前建立了有关的合规体系，往往是为了让合规制度成为自身规避法律风险的借口，难以真正落实到企业的日常经营中。企业合规作为公司风险规避的主要方式，需要通过有效激励机制的建立，才能够促使企业真正落实合规政策。基于此，为了克服传统监管方式所带来的局限性，通过建立配套合规激励机制的建立，让互联网企业自觉建立个人信息保护合规体系，从而有效地将内部监管与外部监管同步治理，在降低外部监管成本的同时，激发企业自我监管的认同感。

3 企业个人信息保护合规行政监管的完善建议

3.1 建立统一独立的监管机构

监管主体的明晰是完善互联网企业个人信息保护合规体系的前提，最理想的状态是建立专门的监管机构，个人信息合规监管人员必须具备相应的专业知识。应当结束当前个人信息监管“九龙治水”的局面，建立统一独立的个人信息监管机构。笔者认为，可以借鉴日本建立“国家个人信息保护委员会”的经验。将“个人信息保护委员会”作为专职个人信息保护监管机构，这一机构首先应具有独立性和权威性。需要在《个人信息保护法》中作出规定：公民个人信息保护的监督管理工作由国家个人信息保护委员会统一负责。国家个人信息保护委员会为国务院直属机构，直接对国务院负责。其次，应当明确国家个人信息保护委员会相应的职权和功能。国家个人信息保护委员会可以行使以下权力：一是对互联网企业个人信息保护合规体系进行后台监测、数据管理和介入调查的权力；二是当互联网企业个人信息处理面临违法风险时，有及时发出警示或者提出纠正意见的权力，在互联网企业行为已经违反法律时，可以采取必要手段暂停互联网企业的违规操作；三是有权对互联网企业个人信息处理案件进行调查，并对违法行为作出相应处罚。国家个人信息保护委员会也负有相应的责任，即负有互联网企业个人信息保护合规的教育和宣传，指导互联网企业构建个人信息保护合规体系等责任。

3.2 建立行政监管制度全流程适用

针对互联网企业个人信息保护合规体系的行政监管，要贯穿于互联网企业从建立到运营的全流程。首先，监管机构要督促、引导互联网企业建立个人信息保护合规体系。通过发布个人信息保护合规指引为互联网企业提供基本的合规体系参照，督促互联网企业按照其经营规模、组织架构建立相应的个人信息保护合规体系，并要求互联网企业及时将合规政策、合规管理程序和合规指南等内部制度向个人信息监管机构报告。其次，推动互联网企业个人信息保护合规承诺制度适用阶段前移。当前合规承诺制度在实践中的运用仍停留在事后承诺，往往是在违法行为被发现后再采取合规整改措施。随着个人信息在现代社会重要性的提升，有必要将合规承诺制度逐步推前至互联网企业的建立初期，并加强合规体系在日常经营活动中的作用。在互联网企业进入市场前，合规承诺的对象主要是个人信息监管机构。随着互联网企业自身的发展而不断补充修正合规体系，合规承诺的内容可相应作出调整。再次，为了防止互联网企业的“纸面合规”，应当建立合规报告制度。合规报告制度包括以下几个部分：一是定期向个人信息监管机构报送个人信息合规风险管理计划和个人信息合规风险评估报告；二是发现重大违规事件后要及时向个人信息监管机构报告；三是合规负责人的任命、离职报告。建立合规报告制度有利于监管机构动态监管互联网企业个人信息保护合规体系的运行。最后，可以效仿欧盟GDPR在互联网企业内部设立数据保护专员这一做法。对于处理个人信息达到国家网信部门规定数量的、应当设立数据保护合规专员。数据保护合规专员一方面负责对互联网企业个人信息处理活动以及采取的保护措施等进行监督，对互联网企业建立个人信息保护合规体系提供建议和指导，另一方面数据保护合规专员充当监管机构和互联网企业的中间人。互联网企业必须将数据保护合规专员的联系方式提供给监管机构和公众，数据保护合规专员还必须直接回应监管机构向其提出的要求，并确保监管机构向互联网企业提出的请求得到确认。如果监管机构要求数据保护合规专员与其合作，数据保护合规专员必须充分与之合作。如对监管机构向互联网企业提出的合规整改建议，监督其执行进度。

3.3 形成企业合规激励机制

企业合规制度作为公司治理的一种方式，能否有效建立和实施是能否发挥其作用的关键。除了在制度制定和执行方面的努力外，还需要有相应的外部激励机制。这种激励机制意味着企业已经建立了合规管理体系，并得到了有效的实施。发生违法行为时，行政机关可以从宽处理。互联网企业出现侵害公民个人信息的违法违规行为时，如果互联网企业能够证明其已经建立了有效的个人信息保护合规体系，就表明了互联网企业对侵害公民个人信息违法行为的反对态度，其可罚性程度理应减弱。可以在《中华人民共和国行政处罚法》第三十二条将企业合规制度的建设情况作为对企业从轻、减轻或免除行政处罚的情形。互联网企业如果建立了有效的个人信息保护合规体系，就可以实现互联网企业和直接责任人员的责任分离，使互联网企业从轻、减轻或免除行政处罚，而只追究直接责任人员的责任。即使互联网企业事前没有建立有效的个人信息保护合规体系，也可以通过与监管机构达成行政和解协议的方式进行合规整改。监管机构与互联网企业约定合规考察期、指派合规监管人，以监督和指导互联网企业的合规整改活动，并對合规整改效果组织考察验收。然后根据互联网企业的合规整改情况，作出从轻、减轻或者免除行政处罚的决定。也有学者提出，对案发前没有建立合规管理体系的涉案企业，仍然可以提出适用行政和解的申请，只是相较于案发前已经建立合规管理体系的企业，应当有所区别对待。另外，行政处罚的从宽力度应当考虑合规制度建设的不同阶段，通常而言，对于已经建立个人信息保护合规制度的企业，对其行政处罚的从宽力度应当最大，对于事先未建立个人信息保护合规制度且未构成犯罪的互联网企业从宽力度应当次之，而当互联网企业涉及犯罪时，对其行政处罚的从宽力度应当最轻。监管机构根据合规制度的阶段性，划分出不同的从宽区间范围有利于激励互联网企业在事前建立个人信息保护合规体系，符合责任相称原则的要求。

参考文献

[1]陈坚.企业合规改革研究[M].北京：法律出版社，2022.

[2]邓辉.我国个人信息保护行政监管的立法选择[J].交大法学.2020.

[3]袁博.大数据时代个人信息保护的行政监管立场及其智慧化转型[J].西南民族大学学报（人文社会科学版），2022.

[4]刘艳红.企业合规中国化的民行刑体系性立法[M].北京：法律出版社，2022.

[5]陈瑞华.企业合规基本理论[M].北京：法律出版社，2022.

[6]黄卫东.网络平台的行政规制：基于行政合规治理路径的分析[J].电子政务，2022.

[7]夏金莱、许聪.企业行政合规制度构建研究[J].政法学刊，2022.

[8]陈瑞华.论企业合规在行政和解中的适用问题[J].国家检察官学院学报，2022.