行业自律模式

第四节　行业自律模式

美国与德国在保护个人信息的基本立场、态度与保护模式上有很大差异。在美国与欧盟针对个人信息保护的谈判上，欧盟提出“No privacy，no trade”的贸易原则，强调以明确方式对个人信息提供法律保护，把个人信息之上的权利上升到人权的高度；美国坚持认为仓促立法将会限制电子商务的发展，对个人信息保护采取宽松态度，主张依靠商业机构自身的力量——由商业机构公布其隐私政策（比如在网站上），然后依靠隐私政策的实施，来保护消费者的个人信息。保护个人信息的行业自律机制，因美国政府和美国人的提倡而出名，被认为是法律外的个人信息保护的有效机制。

一、美国人的自律理念和机制

“自律”是与“自由”携手同行的一个概念，是自由的另一面，它要求个体应该自我约束并且尊重别人。在美国，与其说自律是一种机制，还不如说是一种文化和习惯。美国宪法主要是限制政府的权力和保障人民的自由，只阐明人民的权利，并未提及人民的责任和义务，原因是美国的立宪者采取了人性论，相信人民的善行和自律。人民主动遵守法律和为社会作贡献，也是出于“自律”，而不是“奉献”或者“做好事”。

自律规范是自律机制的核心，指由专业人员设计的，制定人自愿遵循的守则，其评判标准应高于法律、法规，起码应迎合法律、法规的最低要求。个人信息保护的自律规范通常为一套关于个人信息保护的完整的行为或道德准则，由作为信息管理者的行政机关或行业组织自己制定。无论是行政机关还是民事主体，通过自律机制制定的自律规范可以分为技术规范和社会规范两类。技术性规范是指直接以技术标准作为规范。社会规范主要指人们在个人信息处理过程中形成的维系一个合理有序的个人信息处理关系所要求的社会性规范，主要包括个人信息处理的习惯、制度、纪律、准则和道德价值观念。苏格拉底认为，能够自律，是人和牲畜的重要区别。自古以来，人们一直很强调自律的重要性。自律充斥着美国社会的所有角落充斥着整个社会，高校、政府、商业以及性，与其说美国的自律机制很发达，不如说在美国自律是一种人们接受的文化，是一种社会生活方式。因为美国人的自律，已经融入他们追求的自由之中。

在个人信息保护方面，无论信息管理者是国家机关还是商业机构，自律也是必不可少的。美国在个人信息保护方面主要是采取政策引导下的自律模式，国会立法处于辅助地位。在1995年7月，美国政府信息基础设施特别工作组（简称IITF）下设的保护隐私工作组，公布了一份题为《个人隐私和国家信息基础设施（NII）:个人信息的使用和提供原则》（以下简称美国隐私原则）的报告，虽然这份报告并无法律效力，但是正式提出了一整套关于个人信息的收集、处理和利用的原则，表明了美国政府保护个人隐私的基本立场。这个立场成为政府机关和商业机构制定个人信息自律规范的共同标准。

二、政府自律

政府自律是指国家机关在处理个人信息活动中为保护信息主体合法权益而建立的自我约束体系。世界各国在电子化政府建设过程中，都非常注重通过建立和完善政府机构的自律机制以保护信息主体的权利。政府自律机制包含两个层次的内容:①对工作人员的约束；②对机构自身的约束。国家机关从事个人信息处理的工作人员处于比较特殊、敏感的位置。其现实的拥有处理和利用政府掌控个人信息的方便。因此对行政机关工作人员来说，遵守自律规范非常重要。国家机关作为信息管理者，应该自我约束。对个体的约束和控制是重要和必需的，对自身的约束更为重要。

国家机关制定的自律规范分为技术规范和社会规范两类。

（1）信息安全的技术规范。电子政务中的个人信息问题一直困扰着电子政务的开展。各国政府往往要求行政机关，尤其是与个人信息处理密切相关的国防、公共安全、金融、税务、保密、医疗等部门采用相对安全的技术保护个人信息，并建立了相应的技术规范。这些技术规范的内容保护防火墙技术、隔离技术、加密技术、数字签名技术等技术的选择和使用，以达到保护个人信息的目的。

（2）信息安全的制度规范。社会规范是人们在生产和生活中创造出来的、调整人与人之间的社会关系，制约人们社会行为的准则和规则。广义的社会规范包括法律规范，而狭义的社会规范主要是指法律规范之外的社会规范。在没有特别说明的情况下，本书采用狭义的社会规范概念。为了保护个人信息，各国政府往往制定一整套完整和系统的个人信息处理制度，尤其强调个人信息数据库管理制度的建设。这些制度主要有:①存放个人信息数据库的机房要严格控制人员进入，进入人员应履行登记手续等。②不得擅自使用非制定软件。③明确规定信息处理人员、安全管理人员、系统开发人员和系统操作人员的职责范围和操作规程，等等。

三、行业自律

（一）基本概念

美国在个人信息保护方面，积极倡导行业自律。行业自律是指民事主体在个人信息处理活动中为保护信息主体权益而建立的自我约束体系。美国对信息隐私的保护分为两种方式:一种方式是立法方式，主要适用于公的领域，即政府机关收集、处理和利用个人信息的领域。另一种方式是行业自律，通过行业协会等行业组织或者由公司或者产业实体制定自律规范保护个人信息。此方式适用于私的领域。

（二）缘起

1995年IITF下设的保护隐私工作组，公布了美国隐私原则。1997年7月1日，白宫发布了《全球电子商务架构报告》，指出政府应避免对网上商业活动过多的法律限制，而应采取市场导向原则进行规范。这一指导电子商务发展的文件，赋予商业机构以领导地位，并将此作为促进电子商务发展的第一原则。并明确提出政府支持商业机构为建立一个自我规范为基础的、方便客户的隐私权有效保护的制度所做的努力。美国联邦贸易委员会（FTC）在其1999年7月13日公布的一份报告中也指出:“我们相信有效的行业自律机制，是网络上保护消费者隐私的最佳解决方案。”

可以看出，美国政府一直以来都是将鼓励自由竞争，发展行业自律作为自己的首选政策，以避免对市场造成不当的限制。当然，美国也通过了一系列保护隐私权的法律法规，但是就是在《网上儿童隐私保护法》这唯一的一部关于网络隐私的立法中，也没有放弃行业自律的政策。该法规定，网站运营商或者在线服务提供商自行制定的自律规范获得联邦贸易委员会的认可的，如果该网站运营商遵守了它的自律性规范，就被认为遵守法律的规定。

（三）历史社会原因分析

美国实施行业自律有其深远的历史原因和扎实的社会基础。与其说自由主义是美国近代市民社会的产物，不如说自由主义造就了成熟的美国市民社会。在美国，独立于国家权力的市民社会，奉行的是非政治化的经济，非道德化的政治，非宗教化的伦理，这些信条是其走上自由社会的根基。此外，美国得天独厚的有利于市民社会成长的自由传统和多元社会结构也是其选择自律机制保护个人信息的主要原因。

1.自由电子商务

美国建立行业自律机制是促进商业发展的需要。在商业发展和个人权利保护的平衡问题上，美国政府认为个人必须牺牲一些方面的隐私以换取经济的发展，而经济的发展最终会促进个人权利，而不是限制。美国政府更加相信，借由技术进步及相关保护程序的发明以及行业自律规范可以增强隐私权的保护。很多业界人士也认为自治规范对保护个人信息起着十分重要的作用。

美国在私的领域采取行业自律，通过行业制定信息伦理规范来实现对个人信息的保护，是其发展电子商务的一贯立场，唯有如此才能将政府的介入限于最小的范围之内，这样才不至于限制甚至是阻碍电子商务的发展。美国在个人信息保护领域采取的行业自律，是以民间组织为主导实现对个人信息的保护模式。行业自律模式并不是完全放任自流，其与政府也有着密切的关系，甚至严格说应该是政府引导下的行业自律模式。

2.私人化的宪政

从宪政角度看，美国信息隐私保护的行业自律机制是由其宪政模式决定的。美国被认为是奉行私人化模式的宪政主义，与德国的促进式模式不同。在德国促进式模式下，国家扮演着促进人的基本权利和自由实现的角色，自由并不被视为公与私的两极对立。美国的私人化宪政模式，认为在整个社会公领域与私领域是对立关系，将私的领域视为自由领域，国家是经过私领域的授权而存在。这种前提下的一个必然结论是，公领域的扩张意味着私领域的萎缩，因此，对信息隐私进行立法将会直接会导致对个人自由的限制。在管制的越少的政府就是越好的政府的理念下，实行行业自律机制保护信息隐私就十分容易理解了。

3.完善的自律机制

美国行业组织发达而且制度完善。从规范体系看，以自律规范为主调整私领域是美国的惯例。美国一贯支持在商业领域实行行业自律（self-regulation）机制。美国政府也认为，自律规范非政府规范，但其不等于非规范。美国的民间组织尤其是行业组织发达，很多企业尤其是著名的大型企业几乎都参加一定的行业协会和行业组织。这些行业协会和行业组织在人们心目中也享有相当的威望。行业组织的自律规范是由该组织中既具有相当的业务和法律知识，又熟知该专业领域独特的情况和面临的专门问题的专业人士制定的，因此，这些自律规范往往具有很好的针对性和可操作性。成员的加入是自愿的，所以成员对自律规范的遵从具有更强的内在动力。美国在私领域实施的自律规范做法，影响了越来越多的国家。

（四）现状

在美国政府的鼓励和督促下，行业自律已经成为美国网络隐私（个人信息）保护的主要方式之一。美国行业自律的主要表现形式有:

1.技术保护

对网上个人信息的保护和收集一样，都有赖于实施的技术手段。在“OPT-OUT”技术规范下，只要用户不反对，网站可以径行收集和使用其个人信息；而在“OPT-IN”技术规范下，必须得到用户的明确许可才可以收集和利用其个人信息。但无论那种情况下，主动权都操于网站之手，因为个人只有单一选择权，或同意或反对。后来，美国互联网协会推出了一种新标准——“个人隐私选择平台”（personal privacy preference platform，简称“P3P”）给个人提供了积极的选择空间，在一定程度上弥补了上述缺陷。

2.行业指引（Suggestive Industry Guidelines）

这是由从事网上业务的行业联盟发布的整个行业适用的“网上隐私保护自律规范”。这些自律规范以美国隐私原则为核心，要求其成员必须采纳、张贴和执行规范。行业指引仅限于行业内部，而不能跨行业适用。

3.在线隐私认证（Online Privacy Program）

美国存在多个网络隐私认证组织，它们授权那些同意遵守他们制定的隐私保护规则的网站，张贴其特定的隐私认证标志，以便于网络用户识别。与行业指引不同，在线隐私认证是跨行业的，其功能和作用类似于传统的商业认证。

四、自律模式的优势

美国联邦贸易委员会主张采取行业自律模式保护个人信息，因为该模式具有以下优势。

（一）内生的机制

自律模式被认为是内生的保护机制，它是自发的机制，而不是来自其他权力机关的外在约束。行业自律机制是由下而上（bottom-up）的机制，通过行业内部制定行为规范的方式保护个人的信息隐私，而不是由上而下（up-bottom）的模式，即由立法对个人隐私进行统一保护。而内生的规范，更容易得到遵守。

美国在个人信息保护领域实施自律规范深受业界的影响。一种监视软件的发明人查德·伊顿（Richard Eaton）认为他发明的监视软件不存在合法性问题，但是他承认可能存在道德问题。^[18]在保护个人信息方面，信息伦理也是一种重要的行为规范。伦理是一个社会的道德规范体系，赋予人们在动机或行为上的是非善恶判断的基准。信息伦理是一种规则、标准、规范或原则，它能够为个人信息处理行为提供合乎道德的正常行为准则和特殊环境下的指导原则。在企业中专门从事信息处理的员工或称之为信息人员，如信息处理设备使用者、信息产品（包括软件和硬件开发者）、系统分析人员以及信息政策的制定者等，在涉及信息的处理工作完成方面需要专业的伦理理念——信息伦理（information ethic）。发展一套信息伦理守则，对于个人信息保护而言无疑十分重要。从专业信息人员角度看，它可以为专业人员处理个人信息时对具有“道德模糊”情况下的行为做出判断时提供指导，另一方面，也可以为监督信息人员的工作提供标准。一般而言，信息专业伦理守则应具有以下目标:①激励（inspirational），通过鼓励奖励等措施激励信息人员的行为更加符合信息伦理守则；②敏感（sensitivity），提高信息人员在个人信息处理工作中的敏感性，树立新的道德观念；③纪律（disciplinary），通过严明的工作程序和制度强化信息人员的工作纪律；④引导（advising），提供信息人员面临“道德模糊”情况时的行为指引。⑤警觉（awareness），使得信息人员察觉在工作中行为的限度，自觉判断“可为”和“不可为”的界限。目前，世界五大信息专业组织均制定了自己的信息伦理守则。美国计算机学会（Association for Computing Machinery，缩写ACM）建立于1947年，是世界上历史悠久、规模最宏大的计算机科学与教育组织之一。ACM制定了一整套信息行为规范，其对违反信息规范的单位，给予终止会员资格的最高处罚。资料处理管理协会（The Data Processing Management Association，缩写DPMA）创立于1951年，其地理范围跨越美国、加拿大以及其他35个国家和地区。虽然DPMA对信息处理提供了一套自己的信息规范，但却没有对违反规范的行为进行处罚的相关规定。美国计算机专业人员认证学会（The Institute for Certification of Computer Professionals，缩写ICCP）创立于1973年，是美国目前唯一在信息领域中提供资格证明的组织。与ACM相似，ICCP对违反信息规范的处罚是“终止证明”。在美国，还有很多行业和专门的保护组织致力于信息伦理规范的制定工作。美国在线隐私联盟（Online Privacy Alliances，OPA）是美国的一个产业联盟，其于1998年发布了一个指引，该指引适用于所有从网上直接收集可识别的个人信息的行为。根据该指引，其本身并不监督联盟成员的遵守情况，也不制裁违反指引的行为，它的作用仅在于为个人信息的保护提供一个广为接受的范本。美国的网络隐私认证计划（online privacy）是一个私人行业实体致力于实现网络隐私保护的自律形式。该计划是通过对遵守特定的信息收集规则并服从一定形式的监督管理的实体颁发认证标志的形式，督促产业实体加强对个人信息的保护。它给予的最高处罚是取消认证。^[19]

美国的行业组织非常发达，著名的网络服务商均参加某种形式的行业组织，这些行业组织同政府之间的互动非常明显，而由此发展出许多的行业自律形式。^[20]西方行业协会是随着市场经济的产生和发展而产生和发展起来的，它最主要的作用就是制定自律规范实施行业自律。在美国的影响下，越来越多的国家，如新加坡和澳大利亚等国都选择了自律保护模式。

（二）利益驱动的机制

自律模式符合行业的利益，行业有保护个人信息的内在动因。保护个人信息不仅使本人受益，而且也间接使信息处理行业受益。对于这些行业而言，消费者的信心是发展的保证。有效保护个人信息，是提高消费者信心的一个重要指标。因此，加强个人信息的保护对涉及个人信息处理的行业也有益处。因而他们会自动采取有关的措施来保护个人信息，联邦贸易委员会的任务是对这些行业进行指引，而无需立法规制。

（三）“柔软”的机制

网络的快速发展性与立法的稳定性将形成矛盾。法律具有一定的稳定性，而网络的发展可谓日新月异，面对网络的发展变化，制定法显得十分僵硬，无法跟上技术的步伐，而难以适用。自律机制可以避免国家过早立法限制信息科技在社会的应用，也可以避免国家选择某种技术作标准导致立法的偏差，因此可以称为一种柔软而有效的机制。

（四）“量体裁衣”的机制

不同的行业收集与处理个人信息的情况是不同的，行业自律可以增强个人信息保护的针对性，做到有的放矢。美国联邦贸易委员会认为，在现有的条件下，对所有涉及处理个人信息的行业划定一个统一的标准是不可行的。而行业却可以为不同行业的个人信息保护量体裁衣，根据行业特点制定适合于自己的个人信息保护政策。

（五）执法成本低廉的机制

行业组织在相关领域具有高度的实务专长和业务知识，制定和解释规范的成本相会较低。并且，基于相同的原因，监督和执行的成本也相对较低。另外，自律规范与法律相比修改的成本也相对较低。并且还有一个令美国公众支持自律规范的理由就是上述所有成本在自律规范而言都是由行业承担，在法律而言，很大的一部分可能要纳税人承担。

五、自律模式的弊端

尽管自律模式在个人信息保护方面发挥了巨大的作用，但这并不能遮盖其本身固有的缺陷，比如说投诉和争端解决机制不完善、缺乏强制力、普遍性不足而很多企业游离于自律之外、实效不理想等。主要的弊端如下:

（一）技术规范的非主导性

自律规范不能成为保护个人信息的主导性规范。无论是技术规范还是社会规范都不能成为保护个人信息的主导性规范。早期的个人信息保护，以技术规范为主导。网络技术规范保护方式最大的可取之处在于它立足个人信息处理的技术特征这一实际情况，并现实地发挥了实效。但是，由于技术规范本身的弊端，注定使它不能成为个人信息保护的主导性规范。无论技术发展到了什么时代，也无论技术规范多么成熟和有效，技术规范都不可能取代社会规范的地位，更不要说取代法律规范的主导地位。一定的革命性的技术必然直接影响法律制度，新的技术必然衍生新的技术规范和新的法律。人类为了摆脱无序，建立和维护人类的生存规范，必然使社会规范和法律规范带有人类社会的道德维度，这是技术规范无法取代社会规范和法律的根本原因。一般来说，技术规范是以技术为着眼点的。但社会规范和法律规范不同，它们不仅以在新技术下人们如何交往为着眼点，而且体现了人类的社会理性和追求。从实效看，技术规范也并不能起到建立个人信息处理的合理秩序的目的，它在一定程度上反而刺激了技术强权行为——以技术突破技术显示和验证自身的技术能力，黑客是这种行为的典型。黑客可谓强者中的天外天，黑客行为一再告诫我们，保护和保密技术是被用来攻破的。而从合法性角度看，技术规范的合法性值得怀疑。技术规范是一种“单方”决定的标准，这一标准的好坏依赖于“技术专家”，而不是大众的智力。

个人信息保护的社会规范，是指政府针对个人信息处理而制定的维系一个合理有序的个人信息处理关系的规范，主要包括个人信息处理的习惯、制度、纪律、准则和道德价值观念。随着个人信息处理的日益频繁，政府逐渐认识到制定完备的社会规范保护个人信息的重要性。这种社会现象再次证明了恩格斯所言，“秩序不是外源于社会，而是内生于社会”的基本原理。自从有了人类就有了社会规范，它是人类社会自身发展的最早行为规则。因此，在个人信息保护的早期，自发形成的社会规范起到了主要的调节作用。然而，社会规范在调整人们的行为方面也存在着较大的缺陷。社会规范与法律规范相比较，其弊端在于:一是社会规范达不到法律规范的规范性与明确性；二是缺乏有力的执行机制。

（二）冗长费解，难有实效

在美国的一些隐私自律规范冗长费解，并且充斥着晦涩的法律术语，令普通消费者无法理解和掌握。其结果很可能令消费者望而却步，这样非但没有达到促进电子商务发展的效果，反而阻碍和误导了消费者。

从自律机制的整体效果看，自律规范并不能给个人信息带来一个安全的环境。美国很多企业无论是防护措施还是管理制度都十分欠缺。一份由Ernst＆Young公司与InformationWeek Magazine所共同进行的一项最新的研究调查报告指出，企业在使用计算机科技处理资料的同时，在信息安全管理上所下的工夫太少。^[21]

（三）强制力缺乏

自律规范缺乏国家强制力的直接保障，也没有最终的司法救济机制，而司法部门也难以将行业规范作为裁判的依据。另外，投诉和争端解决机制也不完善，缺乏明确的纠纷解决程序。

（四）普遍性不足

首先，在政府自律方面，不是每一个行政机关都积极设计自律规范；在行业自律方面，尽管许多著名的大企业都参与了行业自律，然而，从美国十数万的信息企业来看，所占比例凤毛麟角。由于行业自律是以企业的自愿为前提，很多企业“自由”在自律规范之外。

（五）对信息主体保护不利

在政府自律机制下，侵害个人信息的后果往往是信息管理者受到处罚，而不是对于信息主体的赔偿。而行业自律机制下，情况也是如此。对信息管理者的最高处罚往往是取消资格的规定，也不是针对受到损害的当事人的补偿规定，受害人的金钱赔偿要求不能得到满足。

（六）合法性质疑

行业制定的自律规范往往第一位的是保障行业对其保有信息的“财产权”（property rights），而不是个人信息涉及的隐私权。这些机构主张信息资源就是它们的财产，它们有权以自己认为合适的方式对其财产进行处。而个人的这些信息权利与机构团体的“信息财产所有权”（information property rights）明显相左。^[22]由此产生的自律规范的合法性问题十分突出。

六、结 论

中华民族有五千年的文明，但是它并不会亦步亦趋地自动跟进我们的生活。进入现代社会，我们突然发现，它在路上停了下来，不见了。于是出现了可怕的孤寂和混乱。我们往往无法很好地理解欧洲法律，因为它根植于深远的欧洲文化。同欧洲相比，美国可谓暴发户，没有历史就没有文化。这种状态和丢失了文明的我们类似，于是我们推崇美国。然而，行业自律这种在美国占主导地位的法律外保护机制，并不适合中国，我们不能像美国一样，以自律机制为主导保护个人信息。因为我国缺乏自律传统和观念，民间组织发育不全，社会自治能力也较弱。若采取自律机制，非但不能在保护个人信息方面发挥监督和保护作用，反而有可能沦为国内外企业争相掠夺的个人信息的帮凶或者冷酷的沉默者。

但是，自律机制和法律机制并无矛盾，它们可以共生于一个社会，因此，笔者主张在统一立法的前提下，政府应鼓励行业自律，发挥民间的保护作用。