崔俊杰

傳播方式的變革促進了信息的高速流動，而與此同時，“支付寶年度賬單事件”“數(shù)據(jù)堂倒賣個人信息案件”“華住集團旗下酒店客戶信息泄露事件”等個人信息安全事件不斷挑動社會公眾的敏感神經(jīng)，進而引發(fā)行政力量的迅速彈壓。實踐中，復雜的網(wǎng)絡生態(tài)和高速變化的技術環(huán)境需要具備技術屬性的監(jiān)管制度予以回應。為此，互聯(lián)網(wǎng)監(jiān)管機構(gòu)將“安全保障、技術為基、標準先行”確定為網(wǎng)絡安全治理的框架性方案?！?〕參見《構(gòu)建網(wǎng)絡安全標準體系》，載中華人民共和國國家互聯(lián)網(wǎng)信息辦公室網(wǎng)站，http://www.cac.gov.cn/2016-12/26/c_1120189223.htm，2020 年2 月23 日訪問。在這一治理方案中，個人信息安全標準被置于十分重要的地位。它的定位在于為網(wǎng)絡安全設備和網(wǎng)絡專用產(chǎn)品建立統(tǒng)一的安全框架；指導具體產(chǎn)品的制定要求，為其提供共性層和基礎層；進而為涉及個人信息的社會活動提出可量化、可程序化的具體方案。不過，從理論上講，標準是一套與法律制度既有區(qū)別、又相聯(lián)系的規(guī)則體系。在全面法治的背景下，對這套規(guī)則體系的價值，在實施中存在的問題，與法律制度的契合方式等都需要進行理性的分析，以便發(fā)展與法治化要求相適應的技術治理。

一、技術制度：個人信息安全標準體系及其特征

標準化學界認為：標準是一種技術制度。〔2〕劉三江、劉輝：《中國標準化體制改革思路及路徑》，載《中國軟科學》2015 年第7 期，第2 頁。由此，個人信息安全標準也應當兼具技術和制度兩種屬性。盡管這一制度體系不論在制定主體、制定程序抑或?qū)嵤┓绞?、效力來源等方面都與法律體系有所不同，但我們?nèi)匀豢梢越柚诜治龇审w系的規(guī)范主義進路，來對個人信息安全標準體系進行分類和分級，進而提煉其特征。

（一）個人信息安全標準體系

根據(jù)“標準的級別”和“標準的功能”兩種不同的分類標準，可以大體勾勒出當前個人信息安全標準體系的基本框架：其一，從標準的級別上看，標準包括國家標準、行業(yè)標準、地方標準、團體標準和企業(yè)標準。其中，政府主導制定的國家標準、行業(yè)標準和地方標準屬于“政府標準”范疇，團體標準和企業(yè)標準屬于“市場標準”范疇。其二，從標準的功能上看，個人信息安全標準可以分為“基本要求類標準”“實施指南類標準”“檢測評估類標準”以及“行業(yè)應用類標準”。其中，“基本要求類標準”規(guī)定了針對個人信息安全的基本技術要求和基本管理要求，適用于指導個人信息安全建設和監(jiān)督管理。“實施指南類標準”是對“基本要求類標準”的細化解釋，從而為達致有關個人信息安全要求提供指引。“檢測評估類標準”是為落實“基本要求”而設定的可執(zhí)行、可重復、可度量的測試方法、驗收規(guī)范、審核規(guī)則、核查機制等?！靶袠I(yè)應用類標準”則是有關標準在具體行業(yè)應用時的情景化規(guī)范?！?〕嚴格來說，“行業(yè)應用類標準”也可以細分為安全要求、實施指南、檢測評估等類別。在本文中，單獨列出行業(yè)應用類標準的目的在于在個人信息安全政府標準內(nèi)部進一步挖掘出通用的國家標準與行業(yè)標準。

由于統(tǒng)一的標準信息公開平臺建設相對滯后，以及團體標準等市場標準的相對非公開性，筆者基于全國信息安全標準化技術委員會（以下簡稱全國信安標委）網(wǎng)站的標準查詢專欄、中國知網(wǎng)標準庫等線上平臺的既有數(shù)據(jù)進行的不完全檢索，大體整合出當前個人信息安全標準的基本框架。〔4〕檢索方法為：在有關線上平臺鍵入“個人信息”這一關鍵詞，從而搜索直接包含“個人信息”的標準，進而對現(xiàn)行有效的標準進行進一步類型化。之所以稱為不完全檢索，主要有兩個方面的考慮：一是涉及個人信息安全的標準可能未必直接包含“個人信息”的關鍵詞，如一些網(wǎng)絡安全基礎框架類的標準就屬于這一類。二是從本領域而言，至少在目前，個人信息安全領域地方標準數(shù)量有限，代表性不強。而個人信息安全企業(yè)標準又主要是企業(yè)自我規(guī)制的產(chǎn)物，是作為提升企業(yè)市場競爭力的手段而存在的，其主要適用于本企業(yè)，并非作為社會治理意義上的通用“標準”而存在。因此，本研究在搭建個人信息安全標準框架體系的時候，將主要關注涉及個人信息安全的國家標準、行業(yè)標準和團體標準。

1.個人信息安全主要國家標準。在個人信息安全領域，現(xiàn)已制定4 部國家標準，另有多部國家標準正在研究制定中?！?〕在統(tǒng)計正在研究制定的國家標準時，本文僅統(tǒng)計了標準立項名稱中包含“個人信息”四個字的標準。其中，在已經(jīng)制定的國家標準中，屬于安全要求類標準的包括《信息安全技術 個人信息安全規(guī)范》（GB/T 35273-2020）、《信息安全技術 移動智能終端個人信息保護技術要求》（GB/T 34978-2017）和《信息安全技術 大數(shù)據(jù)服務安全能力要求》（GB/T 35274-2017）；屬于實施指南類標準的是《信息安全技術 個人信息去標識化指南》（GB/T 37964-2019）。正在研究制定的標準則包括屬于安全要求類標準的《信息安全技術 移動互聯(lián)網(wǎng)應用（App）收集個人信息基本規(guī)范》，屬于實施指南類標準的《信息安全技術 個人信息安全工程指南》《信息安全技術 個人信息告知同意指南》《信息安全技術 個人信息出境安全評估指南》，以及屬于檢測評估類標準的《信息安全技術 個人信息安全影響評估指南》等。

2.個人信息安全部分行業(yè)標準。個人信息安全行業(yè)標準以通信行業(yè)為主，但也涉及衛(wèi)生、公共安全以及金融等其他行業(yè)。其中，公安行業(yè)的個人信息安全標準，如《信息安全技術 個人移動終端安全管理產(chǎn)品測評準則》（GA/T 1540-2018）、《居民身份證視讀個人信息排列格式》（GA 456-2004）等。衛(wèi)生行業(yè)的個人信息安全標準，如《健康檔案共享文檔規(guī)范第14 部分：重性精神疾病患者個人信息登記》（WS/T 483.14-2016）、《基本信息基本數(shù)據(jù)集個人信息》（WS 371-2012）等。通信行業(yè)的個人信息安全標準數(shù)量最多，包括《移動智能終端上的個人信息保護技術要求》（YD/T 3082-2016）、《移動用戶個人信息管理業(yè)務總體技術要求》（YD/T 2129-2010）、《移動用戶個人信息管理業(yè)務終端技術要求》（YD/T 2132-2010）、《移動用戶個人信息管理業(yè)務總體技術要求》（YD/T 2129-2010）等。金融行業(yè)的個人信息安全標準包括《中國金融移動支付檢測規(guī)范第8 部分：個人信息保護》（JR/T 0098.8-2012）等。

3.個人信息安全部分團體標準。2017 年新修訂的《標準化法》確定了團體標準的法律地位?？傮w來看，個人信息安全領域各類團體標準的制定主體表現(xiàn)亦相對活躍。例如，2018 年，電信終端產(chǎn)業(yè)協(xié)會（TAF）協(xié)調(diào)相關市場主體共同啟動《移動智能終端與應用軟件用戶個人信息保護實施指南》從總則部分到第8 部分的系列團體標準的制定。內(nèi)容涉及個人信息分類、告知同意、權(quán)限管理、應用軟件隱私政策等諸多重要內(nèi)容。

4.有關技術文件。個人信息安全領域的技術文件可以分為兩類：一類是國家標準化指導性技術文件。根據(jù)《國家標準化指導性技術文件管理規(guī)定》（以下簡稱“技術文件管理規(guī)定”）：“指導性技術文件，是為仍處于技術發(fā)展過程中（如變化快的技術領域）的標準化工作提供指南或信息，供科研、設計、生產(chǎn)、使用和管理等有關人員參考使用而制定的標準文件。”〔6〕原國家質(zhì)量技術監(jiān)督局下發(fā)的《國家標準化指導性技術文件管理規(guī)定》，質(zhì)技監(jiān)局標發(fā)〔1998〕181 號，1998 年12 月24日發(fā)布。在個人信息安全領域，2012 年由全國信安標委提出并歸口的《信息安全技術 公共及商品服務信息系統(tǒng)個人信息保護指南》（GB/Z 28828-2012，以下簡稱“《個人信息保護指南》國標指導文件”）就屬于這類國家標準化指導性技術文件。另一類則可被稱為其他技術文件。如2019 年6 月1 日，全國信安標委秘書處發(fā)布《網(wǎng)絡安全實踐指南——移動互聯(lián)網(wǎng)應用基本業(yè)務功能必要信息規(guī)范》（TC260-PG-20191A，以下簡稱“業(yè)務功能規(guī)范”）。該規(guī)范前言就自我明示：《網(wǎng)絡安全實踐指南》是全國信安標委發(fā)布的技術文件?！?〕《關于發(fā)布〈網(wǎng)絡安全實踐指南—移動互聯(lián)網(wǎng)應用基本業(yè)務功能必要信息規(guī)范〉的通知》，載全國信安標委網(wǎng)站，https://www.tc260.org.cn/front/postDetail.html?id=20190531230315，2020 年6 月25 日訪問。

值得注意的是，本領域還存在各類臨時性組織以各種形式發(fā)布的具備一定技術特征的其他制度文件。如2019 年1 月，中央網(wǎng)信辦、工信部、公安部、市場監(jiān)管總局等四部門聯(lián)合發(fā)布《關于開展APP 違法違規(guī)收集使用個人信息專項治理的公告》（以下簡稱“四部門公告”）。受四部門委托，全國信安標委等四家非政府機構(gòu)成立了App 違法違規(guī)收集使用個人信息專項治理工作組，具體推動App違法違規(guī)收集使用個人信息評估工作。該工作組曾以自己的名義發(fā)布《App 違法違規(guī)收集使用個人信息自評估指南》。在行政法上，此類文件的法律屬性存疑，囿于篇幅所限，本文不做贅述，權(quán)且根據(jù)其內(nèi)容具備技術性特征而將其納入技術文件的范疇。

（二）個人信息安全標準體系的特征

1.功能上的支撐性。我國迄今尚未制定個人信息安全專門性法律。雖然部分法律、行政法規(guī)、部門規(guī)章先后就個人信息收集、使用、加工、傳輸?shù)拳h(huán)節(jié)如何保障個人信息安全進行了規(guī)范，但個人信息安全的制度規(guī)范體系在總體上仍呈現(xiàn)出民事、行政規(guī)定整體供給不足、權(quán)利義務規(guī)定抽象的特征。與之相對，標準化活動則同步延展到與個人信息安全有關的服務、管理以及公權(quán)力領域，并在適用范圍、調(diào)整對象上與法律規(guī)范保持了相當?shù)闹丿B性?！毒W(wǎng)絡安全法》第15 條明確規(guī)定：“建立和完善網(wǎng)絡安全標準體系?！薄蛾P于加強國家網(wǎng)絡安全標準化工作的若干意見》同時指出：“構(gòu)建統(tǒng)一權(quán)威、科學高效的網(wǎng)絡安全標準體系和標準化工作機制，支撐網(wǎng)絡安全和信息化發(fā)展?！薄?〕中央網(wǎng)絡安全和信息化領導小組辦公室、國家質(zhì)量監(jiān)督檢驗檢疫總局、國家標準化管理委員會下發(fā)的《關于加強國家網(wǎng)絡安全標準化工作的若干意見》，中網(wǎng)辦發(fā)文〔2016〕5 號，2016 年8 月12 日發(fā)布?？梢姡瑯藴试诠δ苌暇哂惺置黠@的支撐屬性。

2.內(nèi)容上的規(guī)范性。通過檢索發(fā)現(xiàn)，與一般技術標準在語言表述上有所不同的是，個人信息安全相關標準中存在一些比較明顯的類似法律規(guī)則中行為模式的用語。比如，在《信息安全技術 個人信息安全規(guī)范》（GB/T 35273—2020，以下簡稱“《個人信息安全規(guī)范》國家標準”）中，檢索到“應”（156次），“不應”（29 次），具體表述如“不應以欺詐、誘騙、誤導的方式收集個人信息”“不應隱瞞產(chǎn)品或服務所具有的收集個人信息的功能”“不應從非法渠道獲取個人信息”等?！?〕國家市場監(jiān)督管理總局、中國國家標準化管理委員會《信息安全技術 個人信息安全規(guī)范》。在《信息安全技術 移動智能終端個人信息保護技術要求》（GB/T 34978—2017）中，檢索到“可以”（1 次），“應”（23 次），“不應”（3 次），具體表述如“持續(xù)收集個人信息時，應允許移動智能終端用戶配置、調(diào)整或關閉個人信息收集功能”“移動智能終端系統(tǒng)和應用程序不應該采取隱蔽手段或以間接方式收集個人信息”等?！?0〕國家質(zhì)量技術監(jiān)督檢驗檢疫總局、中國國家標準化管理委員會《信息安全技術 移動智能終端個人信息保護技術要求》，GB/T 34978—2017，6.24；6.25。可見，個人信息安全標準不僅僅關注一般技術標準所關注的技術水平要求、技術路線選擇和技術指標論證，也同樣關注個人信息安全相關主體的行為，從而呈現(xiàn)出規(guī)范性特征。我國在標準方面向來有技術標準、工作標準、管理標準之分。個人信息安全標準更多從屬于工作標準或管理標準的范疇。不過，承認這一分類并不否定個人信息安全標準是技術制度的判斷。因此，標準仍應當主要立足于對技術細節(jié)的規(guī)范。從這個意義上講，個人信息安全標準是技術性和規(guī)范性的統(tǒng)一。

3.效力上的非強制性。總體而言，有關個人信息安全標準尚不滿足《標準化法》第10 條關于“保障人身健康和生命財產(chǎn)安全、國家安全、生態(tài)環(huán)境安全以及滿足經(jīng)濟社會管理基本需要”的要求。有關標準都符合《標準化法》第11 條所謂“基礎通用、與強制性國家標準配套、對各有關行業(yè)起引領作用等需要的技術要求”，從而選擇制定了推薦性標準。盡管本領域還存在一些因歷史原因制定了行業(yè)標準的強制性標準，但《標準化法》修訂以后，行業(yè)標準、地方標準都只能是推薦性標準，有關強制性標準應當完成轉(zhuǎn)化。故可以認定，有關個人信息安全的政府標準均應是推薦性標準，在效力上具有非強制性特征。

4.體系結(jié)構(gòu)上的模糊性。根據(jù)前述“技術文件管理規(guī)定”第3 條：“技術尚在發(fā)展中，需要有相應的標準文件引導其發(fā)展或具有標準化價值，尚不能制定為標準的項目可以制定指導性技術文件?！卑凑赵摴芾硪?guī)定，指導性技術文件項目應當列入標準制修訂項目計劃，并在計劃中以指導性技術文件的特有標號進行標明。盡管“技術文件管理規(guī)定”的適用范圍限于國家標準化指導性技術文件，但依舊對其他各類技術文件的規(guī)范化管理具備借鑒意義。反觀個人信息安全領域，卻隱約發(fā)現(xiàn)與從源頭上強化指導性技術文件的規(guī)劃性、體系性和規(guī)范性的精神不相符合的地方。《全國信息安全標準化技術委員會〈網(wǎng)絡安全標準實踐指南〉管理辦法（暫行）》對技術文件的立項和編制程序規(guī)定相對靈活簡單，在嚴肅性方面表現(xiàn)不足?！?1〕《全國信息安全標準化技術委員會〈網(wǎng)絡安全標準實踐指南〉管理辦法（暫行）》，載全國信安標委網(wǎng)站，https://www.tc260.org.cn/front/postDetail.html?id=20190902101324，2020 年6 月25 日訪問。比如，“四部門公告”發(fā)布以后，有關單位原本希望以推薦性國家標準的形式制定“四部門公告”中所提及的“大眾化應用基本業(yè)務功能必要信息規(guī)范”。因制定過程中遭遇困難，后來被演變?yōu)橹贫ā皹I(yè)務功能規(guī)范”這一其他技術文件，但2020 年初，全國信安標委又將《信息安全技術 移動互聯(lián)網(wǎng)應用（App）收集個人信息基本規(guī)范》列入年度標準立項項目。這之間相對靈活而又反復的轉(zhuǎn)化至少說明，個人信息安全相關標準在內(nèi)在體系結(jié)構(gòu)方面還存在相當?shù)哪：?。這與本行業(yè)發(fā)展不成熟、不穩(wěn)定有著直接的關系。

二、標準先行：實施中的異化及其動因

制定標準與實施標準是標準化的兩個維度。標準先行的前提是制定足夠多的、好的標準并加以實施，進而實現(xiàn)支撐法律實施的目的。就標準的制定而言，《標準化法》的修改力圖改變多年來由政府幾乎作為標準唯一供給主體的局面，通過適度吸納、轉(zhuǎn)化市場標準，提升標準的總體供給能力。就標準的實施而言，標準的實施雖然可以通過標準化自身的舉措來實現(xiàn)（如基于標準的認證），但主要還是通過與法律規(guī)范發(fā)生關系而實施的。這便牽涉出標準化的體制，以及標準與法律規(guī)范之間的關系問題。

（一）個人信息安全標準實施環(huán)節(jié)的異化

1.標準先于法律規(guī)范對外部性的行為進行規(guī)制。當具備規(guī)范性特征的個人信息安全標準與同樣具有規(guī)范性特征的法律規(guī)范在規(guī)制對象上相互重疊之時，通過比對兩類規(guī)范性文件的內(nèi)容，可以在一定程度上揣度標準實施中存在的問題。

第一，個人信息安全標準中不少具有規(guī)范性特征的語言，在表述上仍停留于相對抽象的層面。比如，標準中還存在諸如“隱蔽手段”“間接方式”等不確定法律概念，給標準實施留有相當?shù)牟昧坑嗟?。這些規(guī)定并未將法律規(guī)范中的行為要求全面分解成客觀的、描述性的、程序性的要素，并未充分關注不同產(chǎn)品、服務和流程的屬性及內(nèi)容，也就并未完全契合標準在技術性、科學性、透明性、可達性以及相容性等方面要求。因此，有關標準的實施也未必能如人所愿地很好地起到支撐法律實施的作用，從而不可避免地在一些時刻與法律的實施形成平行狀態(tài)。

第二，部分標準并未僅僅局限于將有關法律的規(guī)定轉(zhuǎn)換為技術性的要求。由于《網(wǎng)絡安全法》對個人信息安全的表述過于原則，導致有關標準中相當?shù)钠加脕砣菁{法律中未曾出現(xiàn)的針對互聯(lián)網(wǎng)領域新生業(yè)態(tài)的各類新興行為的規(guī)范性條款。通過標準本身相對靈活、簡便的制修訂活動，標準事實上領先于法律規(guī)范實現(xiàn)了對現(xiàn)實變遷的回應。比如，“《個人信息保護指南》國標指導文件”就在法律規(guī)范之前率先區(qū)分了一般個人信息和個人敏感信息，并設置了相應的行為規(guī)則?！?2〕《〈信息安全技術 公共及商用服務信息系統(tǒng)個人信息保護指南〉已編制完成》，載中國網(wǎng)絡安全審查技術與認證中心網(wǎng)站，http://www.isccc.gov.cn/xwdt/xwkx/04/584584.shtml，2020 年6 月25 日訪問。又比如，“《個人信息安全規(guī)范》國家標準”又在《網(wǎng)絡安全法》之外區(qū)分了“基本業(yè)務功能”和“擴展功能”，并新設了諸如“增強式告知”等行為規(guī)則?！?3〕同前注〔9〕。這些條款的實施，注定會影響產(chǎn)品和服務提供者、使用者的權(quán)利義務。

2.推薦性標準實施過程中的變相強制化。前述標準內(nèi)容的前瞻性并非一定是值得非議的。為應對風險社會挑戰(zhàn)，標準化越來越強調(diào)“事前引領”的功能，即由標準進行面向未來的規(guī)劃、設計、創(chuàng)新和綜合，以解決未來問題或引領所在領域乃至跨領域的全面發(fā)展。〔14〕參見王艷林：《大標準化時代與〈標準化法〉之修改——以政府職能轉(zhuǎn)變?yōu)橹行牡挠懻摗?，載《河南財經(jīng)政法大學學報》2017 年第3 期，第3 頁。因此，還需要結(jié)合監(jiān)管部門在行政執(zhí)法活動中對待標準的態(tài)度來進行進一步的判斷。2017 年，國家網(wǎng)信辦等四部門牽頭《個人信息保護倡議》的起草工作，最終，包括京東、阿里等互聯(lián)網(wǎng)頭部企業(yè)簽署了這一倡議。倡議書中雖然只籠統(tǒng)地寫明“遵照國家相關標準要求，采取充分有效的技術和管理措施，防止個人信息泄露、毀損、丟失”，但2018 年1 月，國家網(wǎng)信辦網(wǎng)絡安全協(xié)調(diào)局在約談“支付寶年度賬單事件”當事企業(yè)負責人時，仍指出其收集使用個人信息的方式“不符合剛剛發(fā)布的《個人信息安全規(guī)范》國家標準”“違背其前不久簽署的《個人信息保護倡議》”?！?5〕《個人信息安全規(guī)范國標填補規(guī)則空白》，載中央網(wǎng)信辦網(wǎng)站，http://www.cac.gov.cn/2018-05/14/c_1122776896.htm，2020年6 月25 日訪問。

《標準化法》第2 條規(guī)定：“國家鼓勵采用推薦性標準?！薄镀髽I(yè)標準化管理辦法》（原國家技術監(jiān)督局第13 號令）第17 條指出：“推薦性標準，企業(yè)一經(jīng)采用，應嚴格執(zhí)行?！笨梢?，推薦性標準獲得法律效力的方式是“企業(yè)采用”。這里便涉及兩個可資討論的問題：（1）何為“企業(yè)采用”?在前述行政執(zhí)法案件中，監(jiān)管機關顯然非常明確地將簽署倡議書等柔性社會治理手段也視同為企業(yè)采用推薦性國家標準的方式。與此同時，監(jiān)管機關又非常寬泛地解釋了倡議書中“有關國家標準”的內(nèi)涵。這樣一來，監(jiān)管機關就可以依據(jù)個人信息保護推薦性國家標準的要求來對監(jiān)管對象實施處理。（2）對于未簽署上述倡議書的絕大多數(shù)被監(jiān)管對象而言，基于推薦性標準的行政執(zhí)法是否難以實施呢？《個人信息安全規(guī)范》國家標準實施以后，雖然監(jiān)管機關的執(zhí)法文書通常簡單而直接地對應違法行為與《網(wǎng)絡安全法》有關禁止性條款、義務性條款的關系，但有關個人信息安全的推薦性標準卻在事實上作為了評判互聯(lián)網(wǎng)從業(yè)者是否違法的直接準據(jù)。在“《個人信息安全規(guī)范》國家標準”的適用范圍說明中就寫道：“本標準……適用于主管監(jiān)管部門、第三方評估機構(gòu)等組織對個人信息處理活動進行監(jiān)督、管理和評估?！薄?6〕同前注〔9〕。而監(jiān)管機關負責人在《規(guī)范》發(fā)布時也明確指出，規(guī)范“為制定和實施個人信息保護相關法律法規(guī)奠定基礎，為國家主管部門、第三方測評機構(gòu)等開展個人信息安全管理、評估工作提供指導和依據(jù)”?！?7〕《國家標準〈信息安全技術 個人信息安全規(guī)范〉評析》，載全國信安標委網(wǎng)站，https://www.tc260.org.cn/front/postDetail.html?id=20180201200746，2020 年2 月22 日訪問。

綜上，在“《個人信息安全規(guī)范》國家標準”尚未實施的情況下，監(jiān)管部門已經(jīng)顯露出將“《個人信息安全規(guī)范》國家標準”等推薦性標準作為判斷違法事實依據(jù)的端倪?！啊秱€人信息安全規(guī)范》國家標準”實施以后，這一思路在實踐中被隱性地堅持了下來。至此，推薦性標準在實施環(huán)節(jié)被變相強制化了。

3.團體標準在未經(jīng)驗證前被行業(yè)標準吸納。新《標準化法》第18 條增加了團體標準作為法定標準的類型之一，“鼓勵學會、協(xié)會、商會、聯(lián)合會、產(chǎn)業(yè)技術聯(lián)盟等社會團體協(xié)調(diào)相關市場主體共同制定滿足市場和創(chuàng)新需要的團體標準，由本團體成員約定采用或者按照本團體的規(guī)定供社會自愿采用”。關于團體標準，《團體標準管理規(guī)定（試行）》（以下簡稱“團標規(guī)定”）第25 條要求：“團體標準實施效果良好，且符合國家標準、行業(yè)標準或地方標準制定要求的，團體標準發(fā)布機構(gòu)可以申請轉(zhuǎn)化為國家標準、行業(yè)標準或地方標準。”〔18〕《質(zhì)檢總局 國家標準委 民政部關于印發(fā)〈團體標準管理規(guī)定（試行）〉的通知》，國質(zhì)檢標聯(lián)〔2017〕536 號，2017 年12月15 日發(fā)布。然而，通過檢索個人信息安全標準制定過程中的一系列公開信息，卻可以發(fā)現(xiàn)一些不太符合“團標規(guī)定”要求的情形。比如，由工業(yè)和信息化部主管的中國通信標準化協(xié)會（CCSA）下屬網(wǎng)絡與信息安全技術工作委員會（TC8）無線網(wǎng)絡安全工作組（WG2）第58 次會議審議了作為研究項目的《移動應用軟件個人信息保護要求和評估辦法》標準文稿V1.1 的文本?！?9〕《TC8WG2 第58 次會議》，載中國通信標準化協(xié)會網(wǎng)站，http://www.ccsa.org.cn/tc/meeting.php?meeting_id=6328，2020 年2 月22 日訪問。而在中國通信標準化協(xié)會主辦的通信行業(yè)標準線上查詢平臺上，可以查找到被列入通信行業(yè)標準項目進展目錄的《移動應用軟件個人信息保護要求和評估方法》，項目編號為2019-1132T-YD。〔20〕《通信標準 標準項目進展 標準項目列表》，載通標網(wǎng)，http://www.ptsn.net.cn/standard/project_list.php?PageNo=2，2020年2 月22 日訪問。如果將該平臺所公布的行業(yè)標準過程稿文本與前述電信終端產(chǎn)業(yè)協(xié)會（TAF）協(xié)調(diào)相關市場主體正在制定的《移動智能終端與應用軟件用戶個人信息保護實施指南》系列團體標準的過程稿文本進行對比的話，就會發(fā)現(xiàn)兩類標準文本之間存在高度的重合性。問題是，TAF 相關團體標準并未完成制定，也遠未實施，顯然不能構(gòu)成“團標規(guī)定”所稱“實施效果良好”。二者之間在內(nèi)容方面的高度一致性表明，個人信息安全團體標準存在未經(jīng)驗證就被采標部門轉(zhuǎn)化吸納為行業(yè)標準的情況。

（二）標準實施中產(chǎn)生異化的動因

上述事實說明，不論是標準體系內(nèi)部的轉(zhuǎn)化吸納，還是借助于法律的強制效力來實施標準，都呈現(xiàn)出諸多與應然狀態(tài)不相一致的情況。這當然與個人信息安全熱點事件頻發(fā)和所吸引的公眾關注直接相關。肩負確保個人信息安全的監(jiān)管職責，面對互聯(lián)網(wǎng)信息領域復雜的技術和市場環(huán)境，監(jiān)管部門不僅希望自己的行政規(guī)制，而且希望市場主體的自我規(guī)制以及社會第三方的技術支持都能夠通過一個相對制度化的載體發(fā)揮作用，從而實現(xiàn)技術治理的目標。具體而言，上述異化由兩個方面的因素所驅(qū)動。

1.風險預防有賴于開展行為控制。根據(jù)依法行政的要求，行政執(zhí)法機關需要按照“過罰相當”的原則作出行政處理。因此，個人信息違法事件的社會危害后果與行政處理的幅度正相關。當還沒有發(fā)生個人信息安全事件，抑或發(fā)生了安全事件但危害后果不大時，行政執(zhí)法的幅度就不會太大，執(zhí)法的威懾力也就相對有限。與工業(yè)時代的法律主要針對大型企業(yè)和專業(yè)化的服務提供者而設計管制規(guī)范不同的是，在互聯(lián)網(wǎng)時代，大量分散的個體和小型企業(yè)借助數(shù)字平臺參與經(jīng)濟活動。〔21〕參見趙鵬：《平臺、信息和個體：共享經(jīng)濟的特征及其法律意涵》，載《環(huán)球法律評論》2018 年第4 期，第80 頁。由于這些活動的內(nèi)在要求是對海量分散化信息的整合處理，以滿足多樣化、個性化的需求，因此，涉及個人信息的信息流的大小與有關產(chǎn)品和服務滿足市場需求的能力和水平正相關，而與從業(yè)主體的規(guī)模大小沒有直接關聯(lián)——一些來路于小型從業(yè)主體的產(chǎn)品或服務，因其內(nèi)容受歡迎，反而可能吸附更大規(guī)模的個人信息。在這些產(chǎn)品或者服務身上一旦發(fā)生個人信息安全事件，波及面大，后果極為嚴重。因此，監(jiān)管部門意識到個人信息安全的治理需要貫徹風險預防的理念，將執(zhí)法的端口前移，從事后制裁拉回到事前事中控制上來。為從業(yè)者設置行為規(guī)范，進行流程管理就成為監(jiān)管部門落實事前事中控制的一個非常合適的選擇。

2.多元治理有賴于提高制度供給。如前所述，由于大量分散的個體和小型企業(yè)借助數(shù)字平臺參與經(jīng)濟活動，嚴重的執(zhí)法效益難題必然催生監(jiān)管機關、被規(guī)制者、社會第三方的多元治理。

第一，相較于大型平臺企業(yè)，這些分散個體、小型企業(yè)的個人信息安全風險防控意識更差、用于保障安全的硬件和軟件投入更少，因此社會上存在的潛在違法量極大。行政執(zhí)法力量與行政執(zhí)法對象之間比例嚴重失調(diào)，執(zhí)法成本極高。特別是囿于數(shù)字經(jīng)濟架構(gòu)的復雜和技術的超高速迭代，個人信息控制者有能力利用復雜的技術架構(gòu)來規(guī)避監(jiān)管，使得本領域政府規(guī)制面臨高強度“監(jiān)管追趕”的壓力，進而需要同樣高強度的、產(chǎn)出靈活的制度供給。

第二，在政府規(guī)制以外，行政機關不僅需要借助投訴舉報等公眾參與機制對涉?zhèn)€人信息違法行為進行精準對應，而且需要依靠從業(yè)主體的自我規(guī)制來實現(xiàn)降低潛在違法量的目的。監(jiān)管部門希望個人信息安全標準為從業(yè)主體進行組織合規(guī)和內(nèi)部制度建設提供現(xiàn)成素材；希望通過用一套相對便于識別、便于操作、便于評價的制度化供給來為從業(yè)主體開展合規(guī)審計、進行自我規(guī)制，以及便利社會公眾有效參與提供參照和準據(jù)。

第三，在本領域開展行政執(zhí)法的技術門檻較高，往往需要借助社會第三方評估檢測機構(gòu)才能實施。而行政機關常用的對外部行政相對人發(fā)揮作用的行政規(guī)范性文件并不能適應第三方評估檢測機構(gòu)的技術需要，因此也客觀上提出了能夠適用于第三方評估檢測的技術性的制度供給需要。

三、對標法治：技治主義的隱性優(yōu)勢及其反思

依托標準來實施法律，通過標準的技術規(guī)范或標準化工作機制來實現(xiàn)保障個人信息安全相關法律在實施中取得最佳效果，這其實在國際上并不鮮見。美國NIST 所做的“網(wǎng)絡安全框架”（Cybersecurity Framework）也是推薦性的。我國的個人信息安全監(jiān)管機關及其智庫機構(gòu)也常常以此來佐證其監(jiān)管思路的正當性，并列舉了美國聯(lián)邦貿(mào)易委員會（FTC）、美國證券交易委員會（SEC）、美國國土安全部以及美國能源部的幾個案例來作為佐證，形成一種“有事實、有真相”的局面?！?2〕所引用的觀點和措施包括：美國聯(lián)邦貿(mào)易委員會在其網(wǎng)站的公開表態(tài)“網(wǎng)絡安全框架與FTC 堅持的以流程為基礎的監(jiān)管方式是相一致的”（From the perspective of the staあ of the Federal Trade Commission, NIST’s Cybersecurity Framework is consistent with the process-based approach that the FTC has followed）；美國證券交易委員會明確要求其監(jiān)管對象在考慮從何入手評估該采用什么網(wǎng)絡安全措施時，應當使用的工具之一即是網(wǎng)絡安全框架（In considering where to begin to assess a company’s possible cybersecurity measures, one conceptual roadmap boards should consider is the Framework for Improving Critical Infrastructure Cybersecurity, released by the National Institute of Standards and Technology）；以及美國國土安全部和美國能源部制定專門政策鼓勵其監(jiān)管對象采用網(wǎng)絡安全框架?！度绾卫斫狻淳W(wǎng)絡安全法〉與國家標準〈個人信息安全規(guī)范〉的關系》，載全國信安標委網(wǎng)站，https://www.tc260.org.cn/front/postDetail.html?id=20180201200942，2020 年2 月22 日訪問。實際上，在標準化學界，早已有學者以美國的標準化實踐為視角，分析了技術法規(guī)與自愿性標準的融合問題，〔23〕參見廖麗、程虹：《法律與標準的契合模式研究——基于硬法與軟法的視角及中國實踐》，載《中國軟科學》2013 年第 7 期，第165-168 頁。但是上述觀點可能僅僅注意到標準與法律相融合的現(xiàn)象，卻沒有在法治層面探討這一問題，更沒有在公法所特有的思維框架中來具體分析這一問題。

（一）對標準實施中異化現(xiàn)象的解釋：技治主義進路

雖然監(jiān)管機關確立了“安全保障、技術為基、標準先行”的規(guī)制框架，但是這一框架卻并沒有從正當性層面得到充分的論證。固然，通過標準來支撐法律實施以實現(xiàn)規(guī)制目的，是西方國家開展個人信息安全規(guī)制所通行的做法，但在認同這種方式之前，還需要更為精確地回應標準化的本質(zhì)特征。就此而言，監(jiān)管部門的立場并未獲得法理層面的充分論證。

1.標準作為外在于法律的制度系統(tǒng)，其所反映的是一種市場需求與標準之間的供求關系。在這種供求關系中，市場是需求方，標準是供給方。對于標準本身而言，發(fā)表一個標準的價值可能是微小的，而付諸實施推廣和實現(xiàn)是重要的，標準化的作用取決于標準的實施?！?4〕參見于連超：《〈標準化法〉的新理念與新制度評析》，載《標準科學》2018 年第1 期，第12 頁。而標準之所以能夠獲得實施，取決于標準與市場需求的契合度。因此，標準化的本質(zhì)特征是自下而上的價值取向和橫向合作、協(xié)商共識的形成方式。這與以法律規(guī)則為代表的，體現(xiàn)國家意志、自上而下形成的縱向秩序規(guī)則是截然不同的。

2.在規(guī)范的效力層面，標準并不具有法律規(guī)范所具有的權(quán)利義務內(nèi)容，只具有科學技術上的合理性。標準雖然在法律上也具有規(guī)范的效力，但其規(guī)范效力并不是來自于標準本身，而是來自于法的規(guī)定。即便是強制性國家標準在現(xiàn)行法框架下似乎具有自上而下的法律效力，但其強制性效力也是來自《標準化法》的規(guī)定，而不是標準本身?！?5〕參見柳經(jīng)緯：《標準的規(guī)范性與規(guī)范效力——基于標準著作權(quán)保護的視角》，載《法學》2014 年第 8 期，第101-102 頁。如果僅就推薦性標準而言，當事人的自愿選擇構(gòu)成標準發(fā)生法律效力的首要路徑。

3.盡管標準中有政府標準和市場標準之分，且政府主導的標準有助于抵消市場標準的負效應，〔26〕關于標準競爭的問題，參見毛豐付：《標準競爭與競爭政策——以 ICT 產(chǎn)業(yè)為例》，上海三聯(lián)書店 2007 年版，第158-167 頁。但基于標準“自下而上”的本質(zhì)，政府標準與市場標準的關系不是對立的——政府標準不是政府主導制定的法律規(guī)則，它應當以市場標準作為基礎，進而深深地植根于市場需求和社會自治之中。在多數(shù)國家，都為符合特定條件的市場標準通過特定程序轉(zhuǎn)化為國家標準預埋了管道，〔27〕比如，美國國家標準學會（ANSI）通過認可（ANSI Accreditation）標準制定組織（SDOs）并向其提供程序性文件來管理和協(xié)調(diào)美國國家標準的制定工作；英國《皇家特許》（Royal Charter）授權(quán)非營利的民間標準化機構(gòu)，即英國標準協(xié)會（BSI）來對有關團體標準進行轉(zhuǎn)化，進而變成英國標準；德國政府同樣授權(quán)民間管理的德國標準化協(xié)會（DIN）來統(tǒng)一管理德國的標準。而德國的標準雖然也由國家標準、團體標準和企業(yè)標準組成，但所有標準均為自愿性標準。同前注〔2〕，劉三江、劉輝文，第4-5 頁。前述我國的“團標規(guī)定”也為團體標準的轉(zhuǎn)化創(chuàng)造了條件。不過，這一切制度設計的前提是在市場標準之間能夠形成充分競爭。也只有通過競爭，優(yōu)秀的市場標準才可能脫穎而出，進而成為向政府標準轉(zhuǎn)化的“毛坯”。正因為如此，盡管美國十分重視通過采用標準來支撐法律的實施，但1998 年白宮預算與管理辦公室發(fā)布的《聯(lián)邦參與制定和采用自愿一致標準及合格評定活動行政通告》（（OMB）Circular No.A-119）就非常明確地指出：所有聯(lián)邦機構(gòu)在采購和法規(guī)管理活動中必須采用自愿一致性標準?！?8〕See OMB，Circular No.A-119 Revised，http://www.whitehouse.gov/omb/circulars_a119/,last visit on Feb.22,2020.

綜上，當監(jiān)管部門試圖用前述幾個美國事例來說明通過標準開展治理的正當性時，可能恰恰忽略了域外制度中最為重要的前提——那就是標準自下而上、自愿一致的屬性。前述美國FTC 的表態(tài)只不過肯定了標準規(guī)制與法律規(guī)制的融合性；SEC 的要求則僅僅將推薦性標準作為從業(yè)主體實施自我規(guī)制的合規(guī)參照；至于美國國土安全部和美國能源部的舉措則更加明確地佐證了標準當且僅當市場主體自愿采用時才會發(fā)生法律效力的觀點。

因此，在“行為規(guī)范”和“執(zhí)法/裁判規(guī)范”二元框架下，個人信息安全領域的推薦性標準應當屬于前者，這意味著其應當將“引導企業(yè)行為合規(guī)”作為首要目的，而不是用作國家主管部門開展個人信息安全管理的依據(jù)?！?9〕參見許可：《〈個人信息安全規(guī)范〉的效力與功能》，載《中國信息安全》2019 年第3 期，第45 頁。例如，2017 年7 月，中央網(wǎng)信辦等四部門聯(lián)合開展隱私條款專項工作時，參加評審的十款網(wǎng)絡產(chǎn)品和服務就參照《個人信息安全規(guī)范（報批稿）》中的《附錄D：隱私政策模板》，對各自的隱私政策進行了相應的調(diào)整，而監(jiān)管部門也對這樣的合規(guī)舉措進行了認可。這一事例大致符合“引導參照”的進路，即監(jiān)管部門通過制定標準，站在企業(yè)行為之時的立場上，在事前給出合規(guī)的方案，但是一旦監(jiān)管部門對待個人信息安全推薦性標準的態(tài)度稍稍滑出“行為規(guī)范”的框架，而變向地進入到“執(zhí)法/裁判規(guī)范”的框架時，就意味著監(jiān)管部門在將代表代議民主的現(xiàn)代法律作為執(zhí)法和裁判的唯一依據(jù)之時，又另外肯定了代表技術理性的標準制度具有事實上同等的地位。特別是當行政監(jiān)管部門在缺乏對標準化“自下而上”的本質(zhì)特征的認知之時，就如此強化技術理性“自上而下”的作用，甚至將其奉為迎接法律落地的“階梯”，這在無形中顯露出一種技治主義的規(guī)制思路。

關于技治主義，其在理論層面主張“社會組織必須在發(fā)展的每一個階段上，根據(jù)技術‘律令’的需要來適應技術的進步”?！?0〕［美］安德魯·芬伯格：《技術批判理論》，韓連慶、曹觀法譯，北京大學出版社2005 年版，第173-174 頁。應當說，技治主義并非眾矢之的，在抽象的理論意義上，它是人們基于技術化社會進程的不可逆性，而對于理性化社會中科學技術、可靠性、高效率的意義和本體地位的哲學概括。〔31〕參見周千祝、曹志平：《技治主義的合法性辯護》，載《自然辯證法研究》2019 年第2 期，第30 頁。技治與法治之間并非毫無可比性——立法的過程高度復雜，是一個各方面利益反復博弈的政治過程。其經(jīng)歷的時間較長，不確定因素較大，如果將立法作為規(guī)制個人信息安全的主渠道，其持續(xù)性的制度供給能力著實令人堪憂。不僅如此，傳統(tǒng)立法規(guī)制方式通常表現(xiàn)為“命令—控制”方式，集中體現(xiàn)為執(zhí)行大量的禁止性規(guī)范或者義務性規(guī)范，要求被管理對象不得或者必須為某些特定的行為，有關法律條文的組成架構(gòu)也被抽象為“前提條件+行為模式+法律后果”。在互聯(lián)網(wǎng)技術條件下，這樣的組成架構(gòu)難以回應技術爆炸環(huán)境的合規(guī)需求。〔32〕參見趙鵬：《數(shù)字技術的廣泛應用與法律體系的變革》，載《中國科技論壇》2018 年第11 期，第21 頁。不過，僅僅認識到技術治理的合理性，而將技治主義作為一個解釋社會現(xiàn)象的工具是不夠的。一切社會行為都是有意義的，欲理解個人信息安全標準實施中的異化，有必要進一步解構(gòu)監(jiān)管技治主義進路背后的真正“意義”。相較于法治，技治還有什么隱蔽的功能呢？這就需要結(jié)合公法特有的思維框架進行分析。

法治特別是其中的公法規(guī)則與政府的權(quán)力直接相關。基于依法行政的要求，不同層級的法律規(guī)范對行政執(zhí)法機關的賦權(quán)力度相差迥異。在傳統(tǒng)行政法中所體現(xiàn)出來的對行政權(quán)的高度不信任，以及與之對應的簡單粗放式的立法控權(quán)方式，導致行政執(zhí)法機關的權(quán)力能力大為受限。越是基層越?jīng)]權(quán)，越是政府規(guī)制主體越被動，難以達致“命令—控制”方式所需要的強大執(zhí)法能力。行政執(zhí)法機關不得不想方設法地自我解套，以便“繞開束縛”來另尋執(zhí)法權(quán)力借力發(fā)揮的載體。很顯然，標準客觀上為行政執(zhí)法權(quán)的借力發(fā)揮提供了便利。標準體系不僅與法律體系共享規(guī)范性的特征，而且相較于法律體系則更有利于對接行政執(zhí)法機關的現(xiàn)實需要——對于公權(quán)力而言，與各具體的行政行為法根據(jù)《立法法》所確立的法規(guī)范體系的層級，由上至下遞減式地對公權(quán)力進行授權(quán)賦能不同，不同類型標準之間嚴格來說只有適用范圍上的區(qū)別、強制和自愿的區(qū)別、于我有效和于我無效的區(qū)別，并沒有效力大小的區(qū)別。即使是推薦性標準，也比一般的行政規(guī)范性文件更具備形式上的規(guī)范性，也更易于產(chǎn)生實質(zhì)上的參照效應和執(zhí)法威懾，且不像行政規(guī)范性文件將始終面臨來自司法審查的壓力?？梢灶A見，即使行政機關在執(zhí)法文書中公開了對標準有關技術內(nèi)容的引證，司法機關在很大程度上將對這種技術理性保持尊重，盡管仍保留有審查的職責。

（二）法治框架下技治主義進路的反思

作為一種技術制度，標準不僅僅具有技術屬性，而且具有制度屬性。制度屬性表明標準不僅僅表現(xiàn)為其在技術領域發(fā)揮對于法律實施的支撐作用，而且表現(xiàn)為其與政治制度、法律制度的互動關聯(lián)。在互聯(lián)網(wǎng)技術條件下，個人信息安全標準化具有技治主義意義上的合理性，也完全可以用作市場主體自我規(guī)制的參照，但在法治的框架下，不能被對個人信息安全標準制度的微觀管理和便利性優(yōu)勢遮蔽雙眼，還要將對標準化活動的評價納入到現(xiàn)實的政治制度、社會條件、法治發(fā)展階段之中，要結(jié)合標準的宏觀管理以及標準背后的政府權(quán)力和職能配置的合法性、正當性等問題對技治主義進路進行反思。

1.個人信息安全標準化不能忽視對標準自身局限的認識。具體而言，標準在民主性、科學性和確定性三方面都可能存在不足。

第一，在民主性方面，盡管國家標準等政府標準制定流程的改革紅利正在釋放，標準的民主性已大為提升，〔33〕如增設了委員聯(lián)名申報功能，建立了公開征求意見平臺等，參見《國標制定流程進一步完善 增設委員聯(lián)名申報功能》，載中國政府網(wǎng)，http://www.gov.cn/xinwen/2019-05/14/content_5391274.htm，2020 年2 月22 日訪問。但與完整、嚴謹?shù)牧⒎ǔ绦蛳啾龋€存在很大的區(qū)別。事實上，只要標準還具有技術屬性，就不可能彌合二者之間的區(qū)別。相對而言，非政府的市場標準盡管也強調(diào)制定過程的公開透明，但在體現(xiàn)民主性方面可能遭遇更大的不確定。標準中的技術要求及對其的選擇“是‘待確定的’，對可選擇事物的最終決定歸根到底取決于它們與影響設計過程的不同社會集團和信仰之間的‘適應性’”。〔34〕［美］安德魯·芬伯格：《可選擇的現(xiàn)代性》，陸俊譯，中國社會科學出版社2003 年版，第4 頁。換言之，有關技術要素并不能單獨決定標準的設計過程和設計結(jié)果，社會要素將不可避免地參與到標準的設計過程中來。與立法相比，標準在制定中可能更容易受到來自利益集團的俘獲，這是因為標準事實上是在設置市場壁壘，建立進入門檻。標準要求的提高將直接增加市場參加者的競爭成本，不利于中小企業(yè)在市場中的競爭和發(fā)展，進而減少大企業(yè)所面臨的競爭威脅，最終降低市場的充分競爭程度?！?5〕魯籬：《標準化與反壟斷問題研究》，載《中國法學》2003 年第1 期，第172 頁。因此，需要警惕的是，盡管標準的產(chǎn)生體現(xiàn)競爭、強調(diào)合作，但標準的實施完全可能出現(xiàn)反競爭的后果。由此，對于有關市場標準的吸納和轉(zhuǎn)化，就必須建立在嚴格評判競爭的充分性和實施效果的優(yōu)良程度之上。

第二，在科學性方面，即使在工業(yè)時代，知識有限的魔咒就一直存在。面對信息時代的高風險挑戰(zhàn)，專業(yè)化的科學知識已經(jīng)不再具有傳統(tǒng)科學觀所主張的全整的理性，而是充滿了知識結(jié)構(gòu)和內(nèi)容的不確定性。加之專家個人偏好的情境性以及政策的社會建構(gòu)性等因素，將極大地降低科學理性的正當性并進一步削弱了其介入標準等技術制度建構(gòu)的有效性。例如，前述全國信安標委發(fā)布的技術文件“業(yè)務功能規(guī)范”對移動互聯(lián)網(wǎng)應用進行了類型化的區(qū)分，并“自上而下”地對不同類型移動互聯(lián)網(wǎng)應用的通用功能相關必要信息、業(yè)務功能相關必要信息進行劃定，進而限制個人信息的收集和使用。有關移動互聯(lián)網(wǎng)類型的區(qū)分、以及功能所需必要信息的框定都是基于標準制定之時的有限理性進行判斷的，這種封閉式的技術路線與標準開放性的要求南轅北轍，可能無法引領行業(yè)發(fā)展，如果其產(chǎn)生適用效力，可能制約市場創(chuàng)新。又比如，“《個人信息安全規(guī)范》國家標準”要求：“個人信息主體注銷賬戶，對個人信息控制者的要求包括……應及時刪除其個人信息或匿名化處理?！薄?6〕同前注〔9〕。由于匿名化與去標識化并非同一概念，刪除或者匿名化以后，有關信息不可恢復，故退出后如需要再次返回，則需要對個性化展示需要的各種數(shù)據(jù)進行重新收集和重新畫像。該規(guī)定可能實質(zhì)降低用戶體驗感、折損企業(yè)數(shù)據(jù)權(quán)益，存在有悖于大數(shù)據(jù)發(fā)展規(guī)律的現(xiàn)實可能性，因而在標準規(guī)范的科學性上存疑。如果對科學理性的限度視而不見，一旦存在認識上的局限，不盡合理的標準就可能對市場的創(chuàng)新產(chǎn)生擠出效應。

第三，在確定性方面，前文已述，個人信息安全諸多標準都具備規(guī)范性特征，屬于工作標準抑或管理標準。與純粹技術標準強調(diào)數(shù)值確定性不同的是，個人信息安全標準的影響像法律規(guī)范一樣涉及不特定的群體，他們的內(nèi)容及其表述方式都與法律規(guī)范相差無幾。因此，他們自身也難以完全逃脫法律規(guī)范的局限，如存在不確定概念和裁量余地等。換言之，二者在局限性方面可能并沒有質(zhì)上的區(qū)別，只有程度上的差異。在一個不確定性占據(jù)主導地位的時代，制定一部確定無虞的規(guī)范性的文件（不論是法律還是標準），都幾乎是不可能完成的任務。

2.個人信息安全標準化不能忽視因標準自身缺陷而對被規(guī)制者產(chǎn)生的影響。由于標準存在上述民主性、科學性和規(guī)范性的局限，標準并不是一個神話般的存在。監(jiān)管部門在推進個人信息安全標準化的同時，可能忽略了標準化與法律責任之間的關系。脫胎于工業(yè)時代的標準化在強調(diào)其整齊劃一的制度優(yōu)勢之時，可能未必適應數(shù)據(jù)高速流動、極化使用以及不確定性風險如影隨形的數(shù)字時代。如果被規(guī)制者遵循了標準的有關行為和流程要求，是否意味著其可以獲得法律責任的豁免? 至少在現(xiàn)在的情況下，一旦發(fā)生個人信息安全事件，面對強大的政治壓力和輿論壓力，對標準自身缺陷的理性認知都會讓位于結(jié)果導向的管制思路。而標準自身的缺陷、被規(guī)制者的質(zhì)疑又都能夠被標準規(guī)范中不確定的概念和裁量余地所吸收。

3.個人信息安全標準化不能忽視與之相配套的制度建設。之所以存在前述因忽視標準自身缺陷而對被規(guī)制者權(quán)利義務產(chǎn)生影響的情況，并不一定意味著規(guī)制者有意對二者之間張力的視而不見，相反，這與和標準化相配套的認證制度不健全以及實施不有力有著直接的關系。事實上，但凡規(guī)制者還抱持工具主義、結(jié)果導向的管制思路，就還沒有從根本上意識到標準自身的實施機制與法律實施機制的不同，沒有跳出“對違法行為實施事后制裁”的法律規(guī)制進路，也就沒有回到通過事前“合規(guī)審計”來確保標準實施的規(guī)制進路上來。更進一步講，認證制度不僅有對符合紙上的標準的認證，也有對符合要求的事實的認證。例如，如果平臺當前的業(yè)務實踐不完全符合有關個人信息安全推薦性標準的規(guī)定，但該平臺可以證明該業(yè)務實踐能夠滿足《網(wǎng)絡安全法》或其他法律法規(guī)的要求，則應當認為該平臺不會有明顯的法律合規(guī)風險。這一規(guī)定的實施在很大程度上將有賴于認證制度的落實，否則，一旦發(fā)生安全事件，在結(jié)果導向的管制思路下，仍可能招致法律的制裁。盡管認證制度也不排斥對違反標準的行為進行事后制裁，但認證制度的信號功能、激勵效應，也有助于促使市場主體遵守標準，從而確保標準的有效實施。

4.個人信息安全標準化不能掩蓋標準背后的權(quán)力真相。為此，可以分別從政府標準的產(chǎn)出以及市場標準的產(chǎn)出、標準的實施三個方面來進行論證。

第一，就政府標準的產(chǎn)出而言，制定標準本身就是一種權(quán)力，體現(xiàn)了標準制定主體的權(quán)力能力。我國的標準化體制脫胎于計劃經(jīng)濟，有關政府標準的制定在很大程度上體現(xiàn)為行政權(quán)的直接作用。因此，標準化體制改革的成效在很大程度上可以折射政府職能轉(zhuǎn)變的成效。行政權(quán)力應當是有限的，因此行政權(quán)力介入標準化活動也應當是有限度的。從這個意義上講，網(wǎng)絡信息產(chǎn)業(yè)的成熟度、相關市場的穩(wěn)定程度，以及過度標準化可能產(chǎn)生的技術壁壘、超大型平臺企業(yè)可能因此形成的壟斷等，都應當作為行政權(quán)力介入個人信息安全標準制定之前需要考慮的因素。

第二，就市場標準的產(chǎn)出而言，《標準化法》修改以后，法律對團體標準等市場標準的強調(diào)并不意味著強大行政權(quán)力的自動退場。研究《標準化法》的學者認為，在保留推薦性行業(yè)標準的前提下培育發(fā)展團體標準，體現(xiàn)出漸進式推進標準化體制改革的思路。這是一種注重增量而非存量的改革，遵循“帕累托改進”，希望通過體現(xiàn)市場需求的團體標準的增量變化來最終帶動體現(xiàn)行政權(quán)力的政府標準存量的調(diào)整變化?！?7〕參見前注〔2〕，劉三江、劉輝文，第8 頁。因此，既保留行業(yè)標準又培育團體標準可能是一種過渡形態(tài)，體現(xiàn)了政府主導和發(fā)揮“市場在資源配置中的決定性作用”之間的艱難變奏。在過渡階段，行業(yè)標準與團體標準的各自定位還未完全厘清，行業(yè)標準與團體標準的內(nèi)在關聯(lián)機制還沒有很好建立，政府的行政權(quán)力對團體標準的制定存在著非制度化的影響。因此，主張培育團體標準，發(fā)揮各類學會、協(xié)會的專業(yè)作用，就不僅是對協(xié)會、學會等團體標準制定主體在類型和名稱方面的關注，更是對組織法意義上此類標準制定主體的資格和權(quán)利能力的關注。如果只滿足于形式上的團體標準，而不存在社會組織、行業(yè)協(xié)會的團體自治，就意味著行政權(quán)力仍將實質(zhì)影響團體標準的產(chǎn)出。如果行政權(quán)力可以變相影響團體制定標準，甚至未經(jīng)市場驗證就對團體標準實施轉(zhuǎn)化，這意味著有關團體事實上成為了協(xié)助政府制定標準的工具。這樣一來，“自下而上的標準”就將被“自上而下的標準”所取代。而廣大市場主體所面對的，就可能不僅僅有疊床架屋的法律規(guī)范，而且是層層加碼的標準。

第三，就標準的實施而言，標準的實施依賴于法律的規(guī)定。標準既然不能離開法律為自己賦權(quán)，也就更不能僭越乃至取代法律對其他主體賦權(quán)。所有作為政府部門執(zhí)法的依據(jù)都必須通過法律法規(guī)以及規(guī)章授權(quán)，因此政府在執(zhí)法時依據(jù)標準是有問題的。即使是強制性標準，也不能作為天然的依據(jù)，而必須有轉(zhuǎn)致的條款?！?8〕關于轉(zhuǎn)致條款，參見宋亞輝：《食品安全標準的私法效力及其矯正》，載《清華法學》2017 年第2 期，第158 頁?！毒W(wǎng)絡安全法》雖然要求市場主體提供的服務、產(chǎn)品符合個人信息安全標準，但并未直接授權(quán)政府執(zhí)行。違反標準代表市場主體的行為和服務有缺陷，可以作為判斷民事責任的依據(jù)，但是不應當天然作為政府執(zhí)法的依據(jù)。

四、結(jié)論

標準看似是一個技術問題，但實際上對當事人權(quán)利義務影響重大。也正因如此，標準的技術判斷應當限于技術細節(jié)，基本的價值權(quán)衡則必須由民主的立法程序完成。就此，需要進行反思的是，標準尤其是規(guī)范性特征較為明顯的工作標準和管理標準，究竟能夠在多大程度上貢獻簡化、協(xié)調(diào)、統(tǒng)一、最優(yōu)的治理方案？如何通過法律制度的構(gòu)造，讓標準發(fā)揮減少市場主體交易成本的作用？如何對接“放管服”改革和政府職能轉(zhuǎn)變，引導市場主體主動科學推標？一言以表，監(jiān)管部門不應忽視標準“自下而上”的本質(zhì)，從而摒棄工具主義的管制思維。政府在利用標準開展個人信息安全治理時，應當更多地關注服務，而不是執(zhí)法。