国外“信息与隐私专员制度”如何运行

　　随着数字化进程日新月异，全球信息与隐私治理正处于快速变化且日趋复杂的动态变动中，日益成为各国关注的焦点问题之一。各国和国际组织积极采取立法、技术创新、国际合作、多方参与等方式，努力应对信息与隐私治理中的诸多挑战。

　　在此背景下，“信息与隐私专员制度”成为加拿大、英国、新西兰等国的重要选择，在数据管理、隐私保护和信息安全等方面逐步形成了相对成熟的体系，并取得一定的治理成效。何为“信息与隐私专员制度”？该制度实践脉络为何？运行中存在哪些问题？理想的信息与隐私治理如何开展？笔者立足国外访学的实地考察，借助新闻文本分析和网络调研，对相关实践进行系统性梳理，总结其中的创新点，辩证看待不足之处，以期为信息与隐私治理提供参考。

　　何为“信息与隐私专员制度”

　　“信息与隐私专员制度”是指设立独立的专员或专门机构，负责监督和管理信息公开、个人隐私保护等与数据治理相关的事务。通常包括两类，即信息专员和隐私专员。前者核心职能集中在信息公开，后者重点聚焦于个人隐私保护。

　　这一制度发端于20世纪下半叶，伴随信息技术发展、公众对信息透明度和个人隐私保护需求的增加，逐步建立和完善。总体而言，其发展历程可划分为3个阶段。

　　其一，背景与起源（20世纪60年代至70年代末）。国外“信息与隐私专员制度”相关实践源于信息公开的需求与隐私保护的兴起。一方面，20世纪60年代，随着民权运动不断扩大和经济社会发展进步，公众对政府透明度的要求不断提高，政府信息公开被视为民主的重要组成部分，以及防止权力滥用和预防腐败的有效手段。另一方面，随着计算机技术的兴起，个人信息收集和处理日益普遍，引发了公众对于隐私权的重视。1974年，美国实施隐私权法，此后信息与隐私保护的诉求在许多国家逐步得到重视，为该制度的设立作了重要铺垫。

　　其二，制度形成与发展（20世纪80年代至21世纪初）。这一时期，加拿大、英国和新西兰的做法较有代表性。

　　加拿大是较早实施独立专员制度的国家之一。1983年，加拿大通过了信息公开法，并设立信息专员负责监督和执行信息公开事务。同年，隐私法也在加拿大实施，规定设立隐私专员以监督个人信息的处理。这种双专员制度旨在确保信息公开与隐私保护的独立和平衡。

　　英国的信息专员制度始于1984年数据保护法。1998年，英国成立信息专员办公室（ICO），作为负责监督数据保护和信息公开的独立机构。2000年，信息自由法通过，进一步扩大了ICO的职能，使其在推动政府透明度和保护个人隐私方面发挥了关键作用。

　　新西兰于1993年通过隐私法，设立隐私专员，专门负责监督个人信息处理，并提供公众教育和指导。

　　其三，全球推广与影响（2010年至今）。欧盟的规定有力推动这一制度在欧洲的落地。2018年，欧盟通过通用数据保护条例，进一步推动全球隐私保护的标准化，不仅强化对个人数据的保护，还要求各成员国设置独立的数据保护机构。这一规定推动许多国家建立或加强其隐私专员制度，以应对条例实施带来的跨境影响。

　　不仅是欧洲，越来越多的亚非拉国家也开始建立信息与隐私专员制度，纷纷通过数据保护法律，设立专门的监督机构。如，巴西组建了数据保护局，南非成立了信息监管局等。这些制度设计参考了欧美国家的经验，体现了全球治理趋势的扩展。

　　运行中的制约因素

　　国外“信息与隐私专员制度”作为信息公开和隐私保护的重要机制，虽然在推动政府透明度、保护个人隐私方面取得了显著成效，但在实践中也存在不足之处，主要表现在独立性、执行力、公众参与3个方面。

　　一是独立性受到掣肘。尽管该制度在许多国家被设计为独立机构来执行，但在实际操作中，机构的独立性常常受到政府的干预和限制，具体体现在预算控制、任命程序和专员权限设定上。如，加拿大隐私专员办公室发布的《主要评估事项表》指出，尽管其固定拨款增加了15%，另获得了为期两年的额外拨款，但仍然与具体需求存在非常大的差距，资金缺口导致许多隐私问题无法得到及时监管与解决。在所受理的违规行为报告中，仅有一小部分得到彻底审查。

　　其二，执行力与监管效果弱化。信息与隐私专员的执行力和监管效果在实际操作中常常面临挑战，不仅表现在法律框架内的局限性，也涉及专员机构的实际权力和影响力。通常体现为专员的建议或裁决不具备强制执行力，其作用被弱化。如，澳大利亚隐私专员在处理大型企业的数据泄露事件时，调查和处罚效果常常受到质疑。在几起著名的数据泄露事件中，尽管隐私专员对企业提出整改建议，但这些建议并未得到有效落实，企业数据泄露这一违规行为仍然存在，公众的隐私权未能得到充分保障。

　　其三，公众影响力与效能发挥有限。尽管信息与隐私专员制度大大提升了政府透明度，但公众对专员机构的信任度依然有限。如，虽然欧盟的数据保护专员在推动公众教育方面作出了努力，但由于法律条文的复杂性和执行过程的技术性，普通公众的参与度和理解度仍然较低，公众对专员机构的信任也有所保留。又如，虽然南非信息监管局在信息公开和隐私保护方面进行了积极推广和宣传，但由于对相关法律和专员职能了解有限，公众并不知道如何有效利用该制度，而这种公众参与度的不足又进一步限制了专员制度影响力和效能的发挥。

　　信息与隐私治理的要点

　　国外“信息与隐私专员制度”在信息公开和隐私保护方面取得了一定进展，但独立性、执行力、公众参与等方面的不足限制了其应对现代数据治理挑战的效能。上文对痛点的分析，让我们看到信息与隐私治理所内蕴的复杂性。其政策法规、组织结构、实施方式的差异，体现的是不同国家开展治理的策略选择。但异中有同，总体的立法框架和机构职能并无太大差异。

　　在法律框架和立法特色方面，国外“信息与隐私专员制度”多扎根于各国历史悠久、影响深远、专门设立的隐私保护法，如欧盟通用数据保护条例、加拿大个人信息保护和电子文件法案、澳大利亚隐私法等，这些法律为信息和隐私专员的设立、职责、权限以及独立性提供了明确的法律框架，确保个人数据在收集、处理和存储过程中的隐私权得到有效保护。

　　在组织结构与职能角色方面，国外信息与隐私专员办公室通常独立于政府行政部门，具备一定程度的独立调查权和执法权，有权作出处罚，并直接向议会或其他立法机构报告。监管内容上，尤其注重监督政府和企业对于个人数据的处理，对数据管理、开发与应用等关注不多。

　　在对国外“信息与隐私专员制度”实践经验进行批判性思考的同时，应深入思考如何更好开展信息与隐私治理的问题。数据安全不仅关乎私域，也是公共治理的重要资源。数字时代加强信息与隐私治理，可从3个方面推进。

　　其一，建立和完善数据治理监督机制与法律体系。不断完善网络安全和个人信息保护等方面的相关法律法规，明确具体的数据治理要求和标准，严格数据治理相关法律的执法程序和处罚措施，并对相关法律实施效果进行定期评估，根据评估结果进行修订完善，确保立法与时俱进。

　　其二，进一步明确数据和隐私保护的职能角色。在法律框架下，结合自身实际，进一步明确数据和隐私保护相关机构的职权，厘清其边界与交叉关系，既保证相关机构之间的协调配合，又使其在受监督的前提下具备足够的执行力和相对独立性。

　　其三，提升透明度和公众参与度。一方面，相关机构可以联合开展数据与隐私保护宣传教育，提高公众对数据隐私和安全的认识。另一方面，建立便捷的数据和隐私保护反馈渠道，及时对公众的意见和建议进行回应和处理，从而增强公众对于数据治理及相关机构角色的认同和支持。

　　原载于《中国档案报》2024年9月12日  总第4187期  第三版