随着国家任务的扩展,世界各国政府的职责也在不断扩张。为更加充分地回应这一客观事实,实现权责统一,行政机关探索并试验性地采取了一系列全新的规制工具(regulatory tools)。之所以称之为“试验性”,一方面是因为相较于许可、处罚以及行政命令,这些规制工具的强制性程度相对较低,并在有效性上具有迥异的规制逻辑。行政机关是在不具有充分完备信息的情况下展开试验和选择的,有着鲜明的“规制试验主义”进路特征;①另一方面,则是因为基于“依法行政”等行政法基本原理对这些规制工具展开评价的路径尚未澄清,就合法性而言,学界仍在寻找适恰和可能的分析框架。②这些规制工具种类繁多,类型化程度较低,可谓现代行政国家给传统行政法学带来的持续挑战。 在这些规制工具中,规制对象的自我评估(self-evaluation)极为典型。顾名思义,自我评估是规制对象对自身活动的检视、评价,并评判其是否符合特定法律规范的要求。而行政机关对自身活动或辖区特定事项的评估,以及对企业等经济或社会组织的评估,基于评估主体差异,则不属于本文讨论的对象。③当前,行政机关对自我评估多有使用,相当程度上替代或局部替代了传统手段,并能够有效实现规制目标。但是,自我评估的内涵和外延远未清晰,在行政法世界中的位置更是模糊,这与其在现实中适用的深度和广度形成鲜明对比。有鉴于此,本文将在梳理现有法律规范的基础上,依次回答如下问题:首先,自我评估是如何成为一种规制工具的?其次,与自我评估看似具有亲缘性的自我规制理论,能否解释现有的自我评估实践?再次,自我评估如何在法治规范的世界中找寻自己的定位,并面临哪些法治挑战?最后,在面对不同类型的自我评估时,应当如何塑造其法治规范? 一、作为规制工具的自我评估 自我评估原本只是企业等规制对象纯粹内部的监测和评价活动,是自行观察和考察其行为与法律要求之间一致性的手段,与行政机关通过规制活动促使规制对象遵守法律规定并无关联。随着行政机关规制“工具箱”的发展,尤其是大量非“命令—控制”型规制工具的出现,自我评估的功能被重新认识,呈现出“规制化”特征。 (一)自我评估的“规制化” 根据学界常引用的一个经典定义,规制是“公共机构对社会公众重视的事项所实施的持续集中控制”。④这便将一个经济或社会组织的内部控制活动与基于外部规范框架所施加的影响乃至控制活动区分开来。前者是企业等经济或社会组织的自我管理,旨在实现自身特定的经济或社会活动目标,典型如企业的降本增效目标,适用的是此类组织的内部章程等,负责监督实施的则是其内设机构。后者是行政机关等公共机构对经济或社会组织施加的外部影响和控制,目标通常是实现既有的法律规定及其背后的公共利益。一般而论,规制议题是围绕后者展开的,作为规制主体,行政机关等公共机构首先需要与经济或社会组织拉开一定距离,即在法律上,彼此保持相对独立的活动空间,进而才能形成规制。反之,若规制主体与规制对象具有组织上的同一性、行为上的计划指令性,则无现代意义的规制活动可言。这与行政法学对“行政”的界定逻辑基本一致,即将“行政”分为“公行政”和“私行政”,后者是企业、社会团体等经济或社会组织的执行、管理活动,唯有前者才是行政法学的研究对象。⑤ 有观点尝试扩充规制的概念,最主要的扩充方向便是将企业等经济或社会组织的内部控制活动以及规范这些活动的规则制定纳入其中,既包括强形态的设定此类组织制定、实施内部管理规则的义务,也包括弱形态的加以引导和激励。⑥诚然,在规制的理论世界里,行政机关等公共机构不是唯一的规制主体,原本属于规制对象的企业等经济或社会组织也有可能在规制的混合主体中占据一席之地,但若要将它们与公共利益完全无关的活动纳入规制的概念,无疑将抹平公共与私人的一切界线,摧毁现有的规制体系。英国学者斯科特(Colin Scott)认为这种理解的风险在于规制“可能会囊括所有塑造行为的事物”。⑦企业等经济或社会组织的自我评估是其经营、服务等日常活动的常规手段,按照斯科特对规制体系理解的三要素,其“规制化”体现为如下三个方面: 首先是融入规制规则的制定。自我评估不再局限于规制对象内部,而是进入到外部的国家法律等规制规则当中,成为规制规则倡导或者要求的行为活动。例如,《数据安全法》建立了重要数据处理者的定期风险评估制度,要求其“应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告”。在这里,风险评估便不再只是重要数据处理者的自我评估,而成为规制规则的要求,要求其完成风险评估后,按规定向规制主体报送。 其次,自我评估从完全的内部监督走向外部监督。行政机关等规制主体开始监督企业等经济或社会组织的自我评估活动,不仅审视其真实性,而且还检视其合法性,即是否符合其内部规则和既有的法律规定。仍以数据处理为例,《数据出境安全评估办法》规定,数据出境安全评估坚持“风险自评估与安全评估相结合”,数据处理者应当先完成数据出境风险自评估,再申报数据出境安全评估,随后根据该办法第10条的规定,由国家网信部门“根据申报情况组织国务院有关部门、省级网信部门、专门机构等进行安全评估”。据此,后置的安全评估构成对前序风险自评估的审查,以确保其符合国家法律要求。此外,外部监督还可能体现为开放投诉、举报渠道,允许社会公众提出对自我评估真实性和合法性的质疑,进而启动规制主体的监督程序。 最后,自我评估活动被纳入可执行的对象。根据法律的授权,行政机关等公共机构可以通过现有的执行机制,无论是倡导性的柔性措施,还是传统强制性的处罚手段,促使自我评估活动的开展和有效实施。倡导性的柔性措施包括劝导、分级分类、向社会公开等,借助社会声誉机制来落实自我评估活动,并实现特定的规制目标。更加具有强制色彩的手段则表现为明确将自我评估作为规制对象的义务,甚至以处罚作为后盾,要求规制对象完成自我评估。如《中国人民银行金融消费者权益保护实施办法》规定,围绕金融消费者权益保护义务,银行、支付机构应当进行自评估,并报送自评估报告。该办法第62条进一步规定,不配合主管部门“开展金融消费者权益保护领域相关工作,或者未按照规定报送相关资料的”,应当“单处或者并处警告、处以五千元以上三万元以下罚款”。
