四、违规的涉企收费 规范违规涉企收费是落实减税降费、减轻企业负担、优化营商环境的关键环节，也是推进供给侧结构性改革、深化服务型政府建设的题中之意，更是发展实体经济、建设现代化经济体系的重要举措。

从司法解释来看，尽管由于其司法属性而与行政法规、地方性法规相比存在着特殊性，但在我国以人大为中心的基本政治制度安排中，全国人大及其常委会拥有宪法监督方面的最高决定权，司法解释与行政法规和地方性法规一样，都须受全国人大及其常委会的监督，遵循备案审查的制度逻辑。(一)明确司法解释备案审查的人权原则 从世界上具有代表性的宪法监督制度抑或合宪性审查制度来看，其基本目的都是保障宪法法律的实施，维护法制统一和保障人权。

全国人大常委会的具体审查机构是法制工作委员会，而法制工作委员会的每一个内设机构、工作班子则同时是全国人大宪法和法律委员会的工作班子。此后，第十三届全国人民代表大会常务委员会第四十四次委员长会议于2019年12月16日正式通过了《法规、司法解释备案审查工作办法》，进一步明确、细化了司法解释备案审查的基本程序、标准以及反馈等各个方面的规定，推动了司法解释备案审查工作的顺利进行。(20)从人权保障来看，尽管这类司法解释主要是出于保障某类特定主体的具体人权，但由于直接改变了法律的规定，因而事实上是违法解释。早在2003年底，时任最高人民法院院长的肖扬就提出，最高人民法院制定的司法解释要向全国人民代表大会常务委员会进行备案，主动接受全国人大及其常委会的监督。另一方面，则通过新型权利的创设，及时弥补法律中存在的漏洞，及时回应了社会生活中民众对权利保障的要求，②有效地发挥了人权保障的作用。

再如，针对法制工作委员会法规备案审查室提出的《关于审理劳动争议案件适用法律若干问题的解释(三)》(法释[2010]12号)与法律规定不一致，过度限制劳动者诉讼请求权的意见，尽管最高人民法院在情况说明中表示该解释第1条的内容与社会保险法第83条的规定存在冲突，准备予以修改，将所有社会保险争议纳入法院受案范围，(23)然而，在仲裁法和社会保险法的相关规定并未改变的情形下，最高人民法院并未在后续的司法解释中改变这一规定。尽管沿着历史发展的轨迹，可以看到，无论是德国的宪法法院还是法国的宪法委员会都经历了从注重法制统一到法制统一与人权保障并重的变迁，但人权保障无疑越来越具有中心的地位。(34) 第二，基于风险的方法在国家(地区)个人信息保护法律政策中的体现。

在个人信息保护领域，风险评估已经从传统的隐私影响评估发展成为数据保护影响评估或者个人信息保护影响评估，并且被视为是基于风险的方法在个人信息保护领域的集中体现。对此，从促进统一规制和部门协调的角度出发，应当设立个人信息保护专责机关，充分发挥行政组织在风险规制中的作用。2013年，经济合作与发展组织对1980年通过的《经合组织个人数据隐私保护和跨境流动准则》进行了修订，其中很多条款均是为了实施基于风险的方法。(29)See Andrew Haynes,The Effective Articulation of Risk-Based Compliance in Banks,Journal of Banking Regulation,Vol.6,2005,p.146-162. (30)参见[美]阿兰·斯密德：《冲突与合作——制度与行为经济学》，刘璨、吴水荣译，上海人民出版社2018年版，第29-30页。

从制度建构的角度看，笔者认为，还应当从以下几个方面对个人信息保护影响评估制度进行完善：首先，应当确定个人信息保护影响评估中影响的具体含义。(3)技术，组织应当确保所购买的硬件或者软件符合成本效益，有意义且有效用。

⑤我国《个人信息保护法》中的一些条款也体现了基于风险的方法，如预防个人信息侵害(第11条)、个人信息保护影响评估(第55-56条)等。第二，通过构建执法工具金字塔完善事中规制。因此，从这个意义上看，在基于风险的个人信息保护法律制度中，诉讼也可以发挥重要的规制作用。⑧ 在理论中，权利概念本身具有较大的模糊性，可以通过有关请求、选择、资格、利益或者纯粹的愿景的语言来表达，⑨这导致对基于权利的方法的理解也存在差异。

(3)社会损害，主要包括社会信任丧失、政府权力滥用等。⑥此外，大数据技术的使用不仅对传统以个人为主体的法律保护提出了挑战，而且还造成了难以克服的负担和实践问题。根据《联合国关于基于人权的发展合作和规划方法的共同谅解声明》，基于权利的方法具有以下核心要素：(1)促进义务承担者的问责制和透明度。⑩在基于权利的方法中，权利持有者占据核心地位，其有权享有权利、主张权利、追究义务承担者的责任，当然也有责任尊重他人的权利。

其次，在个人信息处理者的义务方面，《个人信息保护法》第55条和第56条规定了个人信息保护影响评估，并要求对处理情况进行记录。在个人信息保护领域中，围绕各类新兴技术的乌托邦式和反乌托邦式的言论甚嚣尘上，规制机构需要拨开盲目乐观和过度恐惧的迷雾，发现更为细致和微妙的变化，如此才能制定出符合技术发展规律的规制策略。

《个人信息保护法》第58条要求按照国家规定建立健全个人信息保护合规制度体系，不过其义务承担者主要限于提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者。一方面，对个人信息处理者而言，风险已经广泛融入个人信息保护合规体系中，形成了基于风险的合规。

个人信息保护影响评估可以由组织内部或者外部的其他人来完成，但是信息处理者必须对该任务负最终责任。(3)风险架构和塑造了规制组织和规制程序。在我国当前的规制实践中，无论是双随机，一公开还是基于信用的监管机制，均充分体现了回应性规制的核心主张。在个人信息保护规范体系中，一些国际组织制定的指南或者规则一直占据着重要地位。第二，强调风险预防，而不是损害填补。因此，一些规制学者指出，应当采取一种混合方法，即所谓的回应性规制，其核心主张是：规制要对行业结构做出回应，因为不同的结构将有利于不同程度和形式的规制。

(51)See Daniel J.Solove,Danielle Keats Citron,Risk and Anxiety:A Theory of Data-Breach Harms,Texas Law Review,Vol.96,No.4,2018,p.774-775. (52)See Paul Bernal,Internet Privacy Rights:Rights to Protect Autonomy,Cambridge University Press,2014,p.12. (53)参见张守文：《经济法责任理论之拓补》，载《中国法学》2003年第4期，第15页。在风险规制中，技术标准一直发挥着重要作用，它不仅可以发挥行为规范作用，而且能在规制机构与规制对象之间提供一个对话空间。

(三)司法救济：将风险作为一种可补偿的损害 从广义上看，诉讼和行政规制均属于规制体系的组成部分，前者主要由私人民事诉讼在事后触发，由法院主导整个过程。笔者认为，从保护个人信息和确保合规的角度看，所有的个人信息处理者均应当建立健全个人信息保护合规制度体系，并将基于风险的方法融入其中，形成基于风险的合规。

对信息处理者而言，其收集、处理、存储和使用的个人信息可能涉及众多信息主体，这意味着个人信息侵害行为造成的损害通常涉及广泛且异质的信息主体。为了在个人信息保护中实施基于风险的方法，在自我规制层面，信息处理者应当将基于风险的方法融入个人信息保护合规制度体系中，形成基于风险的合规。

第四，在效果上，基于风险的方法并非全面改变已有的权利义务内容或者建构一个基于合规的规范性框架，而是更关注纸面上的权利义务如何更为实际地体现在个人信息保护实践中，并根据所涉及的风险对信息处理者的义务进行微调。(41)我国《个人信息保护法》第62条规定，国家网信部门统筹协调有关部门制定个人信息保护具体规则、标准。2.在《个人信息保护法》的保护原则中体现了基于风险的方法。规制机构应当对规制对象的不同动机做出调整。

在司法救济层面，法院可以通过建立风险性损害的识别和评估机制，革新侵权损害概念，形成基于风险的损害。(4)可以利用执法工具进行有效干预的违法行为。

其次，应当完善个人信息保护影响评估的基本程序。在理论上，我们可以将风险性损害分为个人信息暴露导致的风险升高、预防风险的支出和风险引发的焦虑，(50)为司法裁判提供指引。

在司法实践中，法院之所以对风险作为损害这类观点持保守态度，可能主要有以下两点顾虑：一方面，法院担心难以对风险进行可操作的量化评估。换言之，新的个人信息保护范式必须从寻求促进个人对个人信息处理的自我控制，转向授权政府部门对个人信息处理活动是否符合个人利益及社会价值做出选择。

信息不对称不仅是市场失灵的重要原因，而且是规制失灵的关键诱因，因此，信息收集是所有规制体系的核心，尤其是在以风险的可能性和严重性为关注重点的风险规制中。技术更新迭代较快，且不同行业之间存在异质性，规制问题也比较复杂。之所以要让个人信息处理者承担更多的信息安全风险，主要理由包括以下几点：第一，信息安全风险主要源于个人信息处理活动，信息处理者是风险的根源。(43)张涛：《大数据时代通过设计保护数据的元规制》，载《大连理工大学学报(社会科学版)》2021年第2期，第79页。

美国学者丹尼尔·索罗夫认为，一些认知问题破坏了隐私自我管理，导致个人无法作出知情且理性的选择，而由于一些结构问题的存在，导致即使是知情且理性的个人也无法适当地自我管理其隐私。(45)对此，笔者认为，可以借鉴环境影响评估制度的经验，要求信息处理者必须将个人信息保护影响评估结果提交给规制机构，形成强制性自我规制。

由此可知，个人信息风险管理事实上与公法中的比例原则密切相关，其主要目标是依据不同的风险等级采取适当的保护措施，并非一刀切地实现零风险。⑥Bart van der Sloot Sascha van Schendel,Procedural Law for the Data-Driven Society,Information Communications Technology Law,Vol.30,No.3,2021,p.324. ⑦参见[美]加里·B.赫伯特：《权利哲学史》，黄涛、王涛译，华东师范大学出版社2020年版，第121-122页。

3.健全个人信息保护风险规制中的行为调节机制。(一)基于权利的方法的核心要素 基于权利的方法主要植根于现代权利理论的基本理念与主张。