張懷嶺

一、問題的提出

2016年山東準(zhǔn)大學(xué)生徐玉玉學(xué)費(fèi)遭電信詐騙一案以極端的方式凸顯了信息網(wǎng)絡(luò)時(shí)代個(gè)人信息法律保護(hù)的必要性和迫切性。該案更深次的原因是目前猖獗的公民個(gè)人信息泄露、濫用的規(guī)制不力?！?〕“徐玉玉被電信詐騙致死案”主犯陳文輝等庭審交代，其以非常低的成本通過網(wǎng)絡(luò)購買學(xué)生個(gè)人信息，然后實(shí)施電信詐騙。而2013年支付寶數(shù)據(jù)泄露事件、網(wǎng)商京東接連大規(guī)模信息泄露事件、〔2〕2015年京東的用戶信息曾遭大規(guī)模泄露。2016年京東再次發(fā)生大規(guī)模信息泄露事件，有12G數(shù)據(jù)包外泄，涵蓋用戶名、密碼、郵箱、QQ號、電話號碼、身份證號等內(nèi)容，數(shù)據(jù)多達(dá)數(shù)千萬條。在最高人民檢察院最近發(fā)布的六起侵犯公民個(gè)人信息犯罪典型案例中，造成損害最大的都是“內(nèi)部人”的違法行為。雅虎30億用戶賬號信息被泄露事件、〔3〕See Yahoo now says all 3 billion of its accounts affected by massive hack，at http: //mashable.com/2017/10/03/yahoo－h(huán)ack－bigger/#Y6kUXV1Duaq2，last visited Nov.24，2017.谷歌安卓系統(tǒng)的手機(jī)和平板收集和分析用戶位置信息丑聞，〔4〕See Google collects Android users'locations even when location services are disabled，at https://qz.com/1131515/google－collects－android－users－locations－even－when－location－services－are－disabled/，last visited Nov.24，2017.以及人工智能 (AI)在人臉識別領(lǐng)域的巨大進(jìn)步等新發(fā)展顯示，〔5〕例如，中國新創(chuàng)公司商湯科技 (Sensetime)利用人工智能和大數(shù)據(jù)已經(jīng)可以實(shí)現(xiàn)對道路上過往行人人臉和車輛的遠(yuǎn)距離識別。大數(shù)據(jù)時(shí)代互聯(lián)網(wǎng)企業(yè)是個(gè)人信息“最貪婪”的收集者和利用者，而且其所掌握的海量個(gè)人數(shù)據(jù)信息使其成為對個(gè)人信息最嚴(yán)重、最廣泛侵害的“潛在源頭”?！?〕個(gè)人信息泄露已經(jīng)成為消費(fèi)者投訴中極為突出的問題。2017年11月Uber公司首次承認(rèn)其5000萬乘客和司機(jī)信息于一年前被盜，用戶個(gè)人信息范圍涵蓋姓名、郵件和電話信息。事件發(fā)生時(shí)，該公司既未告知受影響的用戶，也未向監(jiān)管部門報(bào)告，而是選擇向?qū)嵤┍I竊數(shù)據(jù)的黑客支付10萬美元，換取黑客銷毀泄露的信息。Uber r?umt Datendiebstahl ein，https://www.tagesschau.de/ausland/uber－datenklau－101.html，letzter Abruf am 28.11.2017。以數(shù)據(jù)為基礎(chǔ)的新經(jīng)濟(jì)模式在巨大經(jīng)濟(jì)利益的驅(qū)動(dòng)下，使得公民個(gè)人在現(xiàn)有法律框架下難以保護(hù)個(gè)人信息免于收集、傳播和再利用的風(fēng)險(xiǎn)?！?〕參見范為:“大數(shù)據(jù)時(shí)代個(gè)人信息保護(hù)的路徑重構(gòu)”，《環(huán)球法律評論》2016年第5期，第91頁。

基于“標(biāo)本兼治”的目的，本文將從比較公司治理的角度，系統(tǒng)梳理我國現(xiàn)行個(gè)人信息保護(hù)的規(guī)范體系，并指出我國現(xiàn)行個(gè)人信息保護(hù)規(guī)范體系和路徑選擇存在的缺陷。以此為基礎(chǔ)，將著重論證如何將 (外部)法定保護(hù)個(gè)人信息的義務(wù)“內(nèi)化”為公司董事、高級管理人員的勤勉義務(wù)，從而為個(gè)人信息保護(hù)構(gòu)建一個(gè)內(nèi)生性的、低成本的私法執(zhí)行機(jī)制，擺正私權(quán) (即個(gè)人信息權(quán))保護(hù)上民商事 (董事勤勉義務(wù))法律規(guī)范的基礎(chǔ)性地位和市場規(guī)制性、管理性法律規(guī)范以及刑事法律規(guī)范的補(bǔ)充地位，搭建外在的法定個(gè)人信息保護(hù)義務(wù)規(guī)范與商事主體內(nèi)在行為義務(wù)之間的聯(lián)動(dòng)機(jī)制。

二、我國現(xiàn)行法個(gè)人信息保護(hù)的路徑選擇及缺陷

(一)我國現(xiàn)行法對個(gè)人信息的保護(hù)路徑

近年來，為了應(yīng)對信息網(wǎng)絡(luò)技術(shù)的爆炸式發(fā)展對個(gè)人信息保護(hù)所帶來的挑戰(zhàn)，我國個(gè)人信息保護(hù)的法律、法規(guī)體系逐漸完善?；诠P者的考察，對于個(gè)人信息的法律保護(hù)，我國立法者主要從兩個(gè)基本維度來展開:(1)如何界定個(gè)人信息的法律屬性;(2)如何對侵害個(gè)人信息的不法行為予以規(guī)制?；ヂ?lián)網(wǎng)時(shí)代，這是各國立法者所共同面臨的重大問題。前者涉及個(gè)人信息的權(quán)利屬性、權(quán)利內(nèi)容。如同其他民事權(quán)利一樣，個(gè)人信息的“確權(quán)”應(yīng)首先是憲法性規(guī)范和民事法律規(guī)范 (個(gè)人信息、數(shù)據(jù)的權(quán)利屬性)的任務(wù)。〔8〕例如，《歐盟運(yùn)行條約》(AEUV)第16條第1款和《歐盟基本人權(quán)憲章》(EUGCh)第8條賦予個(gè)人數(shù)據(jù)以基本權(quán)利和自由的地位。歐盟《數(shù)據(jù)保護(hù)基本條例》(DS－GVO)第1條第2款也明確對自然人基本權(quán)利和基本自由，尤其是對個(gè)人數(shù)據(jù)享有的基本權(quán)利予以保護(hù)。而對于侵害個(gè)人信息不法行為的規(guī)制則是私法規(guī)范 (民商事法律法規(guī))、公法規(guī)范 (經(jīng)濟(jì)法、行政法規(guī)范)以及刑法規(guī)范的共同任務(wù)。針對實(shí)踐中極端猖獗的侵害公民個(gè)人信息的行為，我國新近頒布、修訂了相關(guān)法律、法規(guī)。

首先是一系列法律位階較高的基本法律得以頒布或修訂。其中，最為重要的確權(quán)性法律規(guī)范當(dāng)屬《民法總則》。作為我國未來《民法典》提綱挈領(lǐng)的部分，《民法總則》第五章對“民事權(quán)利”進(jìn)行了專門規(guī)定。其中，第111條規(guī)定:“自然人的個(gè)人信息受法律保護(hù)。任何組織和個(gè)人需要獲取他人個(gè)人信息的，應(yīng)當(dāng)依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個(gè)人信息，不得非法買賣、提供或者公開他人個(gè)人信息。”《民法總則》第111條中并未明確采用“個(gè)人信息權(quán)”這一表述，因此，學(xué)界對于其權(quán)利屬性尚有爭議 (憲法人權(quán)、一般人格權(quán)、新型權(quán)利、隱私權(quán)以及獨(dú)立人格權(quán)等)?！?〕多數(shù)觀點(diǎn)認(rèn)為，《民法總則》第111條沒有采用“個(gè)人信息權(quán)”的表述，但此條款同時(shí)具有宣示性規(guī)定和確權(quán)性規(guī)定的屬性。尤為值得注意的是，《民法總則》規(guī)定，個(gè)人信息保護(hù)的義務(wù)主體涵蓋了任何組織和個(gè)人，范圍非常廣泛。〔10〕其中，“任何組織和個(gè)人需要獲取他人個(gè)人信息的，應(yīng)當(dāng)依法取得并確保信息安全”這一規(guī)定是全國人大常委會(huì)法律委員會(huì)在《民法總則 (草案)》提交給全國人民代表大會(huì)第五次全體會(huì)議最后審議前，在原來三審稿基礎(chǔ)上增加的。參見陳甦主編:《民法總則評注》(下冊)，法律出版社2017年版，第785頁。

其次，針對消費(fèi)者這一特殊群體，根據(jù)《民法總則》 (2017年頒布)第128條的規(guī)定，《消費(fèi)者權(quán)益保護(hù)法》(2013年修訂，以下簡稱《消保法》)構(gòu)成特別法，具有優(yōu)先適用性。以規(guī)制消費(fèi)者和經(jīng)營者實(shí)質(zhì)不平等地位為出發(fā)點(diǎn)，《消保法》同時(shí)從“賦權(quán)利”和“設(shè)義務(wù)”兩個(gè)角度來保障消費(fèi)者的個(gè)人信息權(quán)。其一，就賦權(quán)利維度而言，第14條第1款規(guī)定:“消費(fèi)者在購買、使用商品和接受服務(wù)時(shí)，享有人格尊嚴(yán)、民族風(fēng)俗習(xí)慣得到尊重的權(quán)利，享有個(gè)人信息依法得到保護(hù)的權(quán)利?！逼涠摲ǖ?9條第1款規(guī)定:“經(jīng)營者收集、使用消費(fèi)者個(gè)人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，明示收集、使用信息的目的、方式和范圍，并經(jīng)消費(fèi)者同意?！钡?款規(guī)定: “經(jīng)營者及其工作人員對收集的消費(fèi)者個(gè)人信息必須嚴(yán)格保密，不得泄露、出售或者非法向他人提供。經(jīng)營者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保信息安全，防止消費(fèi)者個(gè)人信息泄露、丟失。在發(fā)生或者可能發(fā)生消息泄露、丟失的情況時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施?！钡?款規(guī)定:“經(jīng)營者未經(jīng)消費(fèi)者同意或者請求，或者消費(fèi)者明確表示拒絕的，不得向其發(fā)送商業(yè)性信息。”

作為侵害消費(fèi)者個(gè)人信息的法律后果，《消保法》第50條規(guī)定，經(jīng)營者應(yīng)當(dāng)停止侵害、恢復(fù)名譽(yù)、消除影響、賠禮道歉，并賠償損失。再者，《消保法》針對網(wǎng)絡(luò)交易平臺規(guī)定了特殊的信息義務(wù)。消費(fèi)者通過網(wǎng)絡(luò)交易平臺購買商品或接受服務(wù)，其合法權(quán)益受到損害的，網(wǎng)絡(luò)交易平臺不能提供銷售者或服務(wù)者真實(shí)名稱、地址和有效聯(lián)系方式的，應(yīng)當(dāng)對消費(fèi)者承擔(dān)賠償責(zé)任。此外，除了承擔(dān)民事責(zé)任之外，《消保法》第56條第1款第9項(xiàng)還規(guī)定了警告、沒收違法所得、1～10倍罰款、停業(yè)整頓及吊銷營業(yè)執(zhí)照等行政責(zé)任。

再次，針對互聯(lián)網(wǎng)上公民個(gè)人信息的保護(hù)問題，在《全國人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》(2012年)的基礎(chǔ)上，《網(wǎng)絡(luò)安全法》已于2017年6月1日生效?！毒W(wǎng)絡(luò)安全法》在附則中對個(gè)人信息進(jìn)行了立法定義，〔11〕《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》(2012年)以及工業(yè)與信息化部發(fā)布的《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》(2013)中均對“個(gè)人信息”進(jìn)行了界定。即是指“以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別自然人個(gè)人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證號碼、個(gè)人生物識別信息、地址、電話號碼等”。對于個(gè)人信息的保護(hù)而言，《網(wǎng)絡(luò)安全法》第40條規(guī)定:“網(wǎng)絡(luò)運(yùn)營者應(yīng)對其收集的用戶信息嚴(yán)格保密，并建立健全用戶信息保護(hù)制度?！痹摲ǖ?2條第1款規(guī)定:“網(wǎng)絡(luò)運(yùn)營者不得泄露、篡改、毀損其收集的個(gè)人信息;未經(jīng)被收集者同意，不得向他人提供個(gè)人信息。但是，經(jīng)過處理無法識別特定個(gè)人且不能復(fù)原的除外?！痹摋l第2款規(guī)定:“網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保其收集的個(gè)人信息安全，防止信息泄露、毀損、丟失。在發(fā)生或者可能發(fā)生個(gè)人信息泄露、毀損、丟失的情況時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施，按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門報(bào)告?！敝贫ㄖ械摹峨娮由虅?wù)法 (草案三次審議稿)》第23條通過概括性的條款規(guī)定了電子商務(wù)經(jīng)營者在收集、使用其用戶的個(gè)人信息時(shí)，應(yīng)當(dāng)遵守有關(guān)法律、行政法規(guī)規(guī)定的個(gè)人信息保護(hù)規(guī)則。

最后，《刑法修正案 (九)》修訂和新增了涉及非法獲取、出售或提供公民個(gè)人信息的刑事責(zé)任，確立了全面保護(hù)公民個(gè)人信息的精神，〔12〕參見趙秉志:“公民個(gè)人信息刑法保護(hù)問題研究”，《華東政法大學(xué)學(xué)報(bào)》2014年第1期，第117～127頁。并對將在履行職責(zé)或者提供服務(wù)過程中獲得的公民個(gè)人信息進(jìn)行出售或提供給他人的予以從重處罰。兩高《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》對“個(gè)人信息”的法律含義以及具體涉及公民個(gè)人信息的犯罪行為的認(rèn)定和量刑進(jìn)行了規(guī)定。

(二)現(xiàn)行個(gè)人信息保護(hù)法律規(guī)范的缺陷

1.“多龍治水、眾法齊下”的體系化弊端

前述法律、法規(guī)著眼點(diǎn)不同，對個(gè)人信息提供的保護(hù)和救濟(jì)手段、方式也有顯著差異。這種“多龍治水”的局面，一方面是由于法律規(guī)范的位階不同以及一般法與特別法有機(jī)結(jié)合、體系化的要求，另一方面也是源于個(gè)人信息保護(hù)所涉及法律領(lǐng)域的復(fù)雜性。然而，“多龍治水”的最佳效果發(fā)揮依賴于法律規(guī)范以及實(shí)施機(jī)制之間的協(xié)調(diào)、統(tǒng)一。由于前述各種法律規(guī)范分屬不同的法律部門，在不同的時(shí)間由立法、司法 (兩高)或者行政主管部門頒布，在體系化上存在不協(xié)調(diào)，甚至沖突之處。例如，個(gè)人信息的“權(quán)利”為何，其與隱私權(quán)和名譽(yù)權(quán)等人格權(quán)的關(guān)系問題，〔13〕參見王利明:“論個(gè)人信息權(quán)的法律保護(hù)——以個(gè)人信息權(quán)與隱私權(quán)的界分為中心”，《現(xiàn)代法學(xué)》2013年第4期，第62～72頁。并未因《民法總則》的頒布和生效而最終得以解決?！?4〕參見前注〔10〕，陳甦書，第781～801頁。《網(wǎng)絡(luò)安全法》、《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》以及《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》等不同法律規(guī)范關(guān)于個(gè)人信息法律內(nèi)涵的界定及其外延也不統(tǒng)一。相比之下，已經(jīng)于2018年5月25日生效的歐盟《通用數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation)第4條第1項(xiàng)將“信息與特定或可特定的人相關(guān)聯(lián)”作為該條例適用 (個(gè)人數(shù)據(jù))的前提?！?5〕See REGULATION(EU)2016/679，at https://eur－lex.europa.eu/legal－content/EN/TXT/?uri=CELEX%3A32016R0679，last visited Aug.4，2018.不同于原歐盟《數(shù)據(jù)保護(hù)指令》的法律效力，〔16〕Datenschutz－Richtlinie 95/46/EG(DSRL) .歐盟法中的條例不需要成員國進(jìn)行“轉(zhuǎn)化”，而是在其全部范圍內(nèi)對于所有成員國具有直接的拘束力(《歐盟運(yùn)行條約》第288條第2款)?！?7〕Niedobitek M(Hrsg.)，Europarecht－Grundlagen der Union，De Gruyter，2014，§ 7 Rn.16.因此，歐盟成員國在個(gè)人數(shù)據(jù)的范圍上采用上述同一標(biāo)準(zhǔn)。而且，歐盟《通用數(shù)據(jù)保護(hù)條例》的適用地域范圍不限于歐盟內(nèi)部，而是采取所謂“市場地原則”，即對于歐盟外向歐盟境內(nèi)以有償或無償方式提供商品或服務(wù)的企業(yè)也具有拘束力(《通用數(shù)據(jù)保護(hù)條例》第3條第2款第a項(xiàng))。這一立法變化使得該條例具有域外適用效力，從而具備成為國際標(biāo)準(zhǔn)的潛力。〔18〕Schanz，Die Datenschutz－Grundverordnung－Beginn einer neuen Zeitrechnung im Datenschutzrecht，NJW，2016，1841.

2.現(xiàn)行法對侵害個(gè)人信息的行為規(guī)制“公法”色彩濃厚，民商事法律規(guī)范尚未發(fā)揮應(yīng)有的基礎(chǔ)性保障功能

盡管我國學(xué)界對于個(gè)人信息的具體權(quán)利屬性存在爭議，但其民事權(quán)利的屬性為我國學(xué)界主流觀點(diǎn)和立法(《民法總則》第111條)所認(rèn)可?，F(xiàn)代法治社會(huì)，民事權(quán)益即私權(quán)實(shí)現(xiàn)的核心在于私力救濟(jì)。民事法律在實(shí)現(xiàn)確權(quán)的同時(shí)，也為權(quán)利主體提供了權(quán)益受到侵害時(shí)的司法救濟(jì)途徑。德國法學(xué)家耶林在《為權(quán)利而斗爭》的演講中主張，“為權(quán)利而斗爭是權(quán)利人對自己的義務(wù)……抵抗不法是權(quán)利人對集體的義務(wù)”，“只要制定法不是無用的游戲和空洞的廢話，制定法就必須被維護(hù)，與受害人的權(quán)利一同隕落的是制定法本身”。〔19〕〔德〕魯?shù)婪颉ゑT·耶林:《為權(quán)利而斗爭》，鄭永流譯，法律出版社2012年版，第12～30頁。

然而，我國現(xiàn)行法律規(guī)范對于侵害個(gè)人信息不法行為的規(guī)制具有強(qiáng)烈的公法色彩。無論是體系上作為市場規(guī)制法的《消保法》，還是行政管理法色彩的《網(wǎng)絡(luò)安全法》以及《刑法》，其中公民個(gè)人信息保護(hù)的規(guī)范都體現(xiàn)了國家公權(quán)力強(qiáng)勢介入相關(guān)領(lǐng)域的特征。顯而易見，這些具有公法色彩的法律規(guī)范被立法者作為首要的規(guī)制工具來對待。公法規(guī)范與私法規(guī)范相比，在設(shè)定權(quán)利和義務(wù)上以不對等、向信息收集主體單方面施加法律義務(wù)為主要特征。盡管這在個(gè)人信息侵犯極為普遍的情況下，具有一定合理性和必要性，但是，內(nèi)在的私法保障機(jī)制相較于外在的公法保障機(jī)制更具有持續(xù)性和全面覆蓋的優(yōu)勢。因此，筆者認(rèn)為，對于私權(quán)的維護(hù)應(yīng)當(dāng)內(nèi)化外部法定義務(wù)，發(fā)揮私法實(shí)施機(jī)制的基礎(chǔ)性作用。

3.缺乏對企業(yè)內(nèi)部合規(guī)機(jī)制建構(gòu)的關(guān)注，導(dǎo)致保護(hù)個(gè)人信息規(guī)范實(shí)施的內(nèi)生性自律機(jī)制運(yùn)行不暢

如前所述，在大數(shù)據(jù)、人工智能時(shí)代，相較于個(gè)體甚至公權(quán)力機(jī)關(guān)，對公民個(gè)人信息的收集、處理、傳播能力最強(qiáng)的是互聯(lián)網(wǎng)信息科技企業(yè)?！?0〕新創(chuàng)公司商湯科技 (sensetime)的人臉識別技術(shù)和物體識別技術(shù)便是典型代表。盡管這一人工技術(shù)可以發(fā)揮幫助抓捕逃犯等功能，但不容忽視的是其強(qiáng)大的個(gè)人生物信息的收集和利用能力。實(shí)踐中頻繁出現(xiàn)的大規(guī)模、惡性個(gè)人信息侵害事件的發(fā)生，多數(shù)與互聯(lián)網(wǎng)科技企業(yè)有關(guān)，抑或企業(yè)自身故意為之 (例如，谷歌安卓系統(tǒng)收集和利用用戶位置信息、人工智能監(jiān)控軟件對個(gè)人生物特征的收集)，抑或企業(yè)未能采取足夠的安全措施 (例如，雅虎公司的用戶數(shù)據(jù)泄露)，抑或是企業(yè)內(nèi)部人員所為 (例如，京東用戶數(shù)據(jù)泄露事件)。針對當(dāng)前對個(gè)人信息侵害肆意泛濫的現(xiàn)象，我國立法者和監(jiān)管者的規(guī)制路徑和工具具有強(qiáng)烈的公法色彩，具有一定的合理性。盡管我國學(xué)者已經(jīng)意識到將個(gè)人信息權(quán)界定為民事權(quán)利的重要性，倡導(dǎo)建立以私法保護(hù)為中心的個(gè)人信息保護(hù)體系，〔21〕參見前注〔13〕，王利明文，第62～72頁。并且也有學(xué)者基于比較法的考察主張針對網(wǎng)絡(luò)安全保護(hù)引入“以管理為基礎(chǔ)的規(guī)制”，〔22〕參見洪延青:“以管理為基礎(chǔ)的規(guī)制——對網(wǎng)絡(luò)運(yùn)營者安全保護(hù)義務(wù)的重構(gòu)”，《環(huán)球法律評論》2016年第4期，第20頁。但這均未能從公司治理的角度提出可行性法律對策。

不容忽視的是，缺乏從公司治理角度將外部的以公司為義務(wù)主體的法律義務(wù)內(nèi)化為公司董事、高級管理人員對公司承擔(dān)的勤勉義務(wù) (和忠實(shí)義務(wù))，導(dǎo)致企業(yè)自身自律、合規(guī)缺乏主動(dòng)性。相較于由公權(quán)力機(jī)關(guān)實(shí)施的外部監(jiān)管 (考慮到對利用大數(shù)據(jù)和人工智能的經(jīng)營活動(dòng)進(jìn)行監(jiān)管的難度和法律實(shí)施成本問題)，企業(yè)公司治理中的內(nèi)部監(jiān)督、自律機(jī)制 (即內(nèi)部利益主體之間的監(jiān)督機(jī)制)則能夠以較低的成本，〔23〕參見徐麗枝:“個(gè)人信息處理中同意原則適用的困境與破解思路”，《圖書情報(bào)知識》2017年第1期，第106頁。實(shí)現(xiàn)更加持續(xù)性的規(guī)制效果，也有利于鼓勵(lì)權(quán)利主體積極行使自己的權(quán)利?！?4〕參見前注〔13〕，王利明文，第62～72頁。

就此而言，歐盟以及德國的立法經(jīng)驗(yàn)和實(shí)踐具有啟示意義。德國《聯(lián)邦數(shù)據(jù)保護(hù)法》(BDSG)于第一章“一般條款與共同條款”中規(guī)定了個(gè)人數(shù)據(jù)收集、處理和利用主體的一般行為義務(wù)和組織義務(wù)。其中，第4f條規(guī)定了“數(shù)據(jù)保護(hù)監(jiān)察專員” (Beauftragter für den Datenschutz)制度，即“自動(dòng)化處理個(gè)人數(shù)據(jù)的公共主體以及非公主體應(yīng)當(dāng)以書面形式任命數(shù)據(jù)保護(hù)檢查專員”。于2016年4月27日頒布、2018年5月25日生效的歐盟《通用數(shù)據(jù)保護(hù)條例》除了對責(zé)任主體的采取技術(shù)措施的一般義務(wù)和組織義務(wù)進(jìn)行了規(guī)定之外，還首次在歐盟層面以法定義務(wù)的形式引入了“數(shù)據(jù)保護(hù)監(jiān)察專員”(Data Protection Officer)制度?！?5〕《通用數(shù)據(jù)保護(hù)條例》第37—39條。另外，歐盟《通用數(shù)據(jù)保護(hù)條例》也首次為建立自律機(jī)制 (行為規(guī)范)和認(rèn)證機(jī)制設(shè)立了法律框架?！?6〕《通用數(shù)據(jù)保護(hù)條例》第40—43條。前者類似于《公司治理準(zhǔn)則》，屬于軟法機(jī)制的范疇，后者類似于“數(shù)據(jù)保護(hù)審計(jì)”，由獨(dú)立第三方進(jìn)行。〔27〕參見前注〔18〕，Schanz文，第1842頁。

概言之，個(gè)人信息內(nèi)化機(jī)制的建立和完善不僅具有改善我國公司治理總體水平的一般意義，而且能夠?qū)€(gè)人信息保護(hù)的私法保障機(jī)制的建立發(fā)揮核心功能。以下將從公司治理的角度，對個(gè)人信息保護(hù)內(nèi)化為董事勤勉義務(wù)的邏輯起點(diǎn)、內(nèi)化機(jī)制構(gòu)建的重點(diǎn)和關(guān)鍵制度進(jìn)行詳細(xì)論述。

三、個(gè)人信息保護(hù)義務(wù)的法理定位是內(nèi)化機(jī)制構(gòu)建的起點(diǎn)

公司治理的語境下，個(gè)人信息保護(hù)內(nèi)化機(jī)制的構(gòu)建必須首先厘清的問題是: (1)前述不同法律規(guī)范所設(shè)定的個(gè)人信息保護(hù)義務(wù)是否以及如何內(nèi)化為公司〔28〕不同法律規(guī)范所采用的術(shù)語也不盡相同，例如: 《消保法》采用“經(jīng)營者、網(wǎng)絡(luò)交易平臺”，《民法總則》采用“任何組織和個(gè)人”，《網(wǎng)絡(luò)安全法》采用“網(wǎng)絡(luò)運(yùn)營者”，而《刑法》則完全以“行為標(biāo)準(zhǔn)”來判斷。(經(jīng)營者、網(wǎng)絡(luò)服務(wù)提供者等等)內(nèi)部特定主體的法律義務(wù)?以及 (2)可以內(nèi)化、轉(zhuǎn)換為何種法律義務(wù)?

(一)公司董事、高級管理人員應(yīng)當(dāng)是內(nèi)化后的義務(wù)主體

現(xiàn)代公司治理模式以所有權(quán)與控制權(quán)的分離為基本特征，公司治理中奉行“董事會(huì)中心主義”?！?9〕參見張維迎:《理解公司:產(chǎn)權(quán)、激勵(lì)與治理》，上海人民出版社2014年版，第184頁。股東在履行完出資義務(wù)之后，作為公司財(cái)產(chǎn) (即清理完債務(wù)后的剩余財(cái)產(chǎn))抽象意義上的所有者原則上并不直接參與公司經(jīng)營和管理?！?0〕Kraakman R.etc，The Anatomy of Corporate Law－A Comparative and Functional Approach，Oxford University Press，2009，p.28.公司作為法人，〔31〕即便是非法人組織形式的合伙企業(yè)也大體相同。其法定義務(wù)的履行需要經(jīng)過其組織機(jī)構(gòu)，即董事會(huì)、監(jiān)事會(huì)和經(jīng)理層來實(shí)現(xiàn)。鑒于我國公司治理模式中，監(jiān)事會(huì)抑或上市公司的獨(dú)立董事的核心功能在于監(jiān)督 (其他組織機(jī)構(gòu))職責(zé)的履行，因此，個(gè)人信息保護(hù)履行和實(shí)現(xiàn)的義務(wù)主體應(yīng)是負(fù)責(zé)公司經(jīng)營的董事和高級管理人員。

(二)勤勉義務(wù)應(yīng)為個(gè)人信息保護(hù)義務(wù)內(nèi)化的董事義務(wù)類型

比較公司法學(xué)者從功能主義的角度將企業(yè)法的功能總結(jié)為兩個(gè)方面:其一，制度供給，即為企業(yè)家、創(chuàng)業(yè)者提供具備特定組織結(jié)構(gòu)的法律形式;其二，控制和減少公司不同利益群體之間的利益沖突，即代理問題?！?2〕參見前注 〔30〕，Kraakman R.etc書，第28頁。其中，第二個(gè)方面的問題是公司治理的核心任務(wù)。而規(guī)制股東與公司管理層之間、股東與股東之間以及公司與第三人 (諸如，債權(quán)人、雇員等)之間利益沖突的核心法律工具是董事、高管的信義義務(wù) (fiduciary duties)。無論是在大陸法系國家還是普通法系國家，這一義務(wù)又可以被劃分為:注意義務(wù)(duty of care)和忠實(shí)義務(wù) (duty of loyalty)。忠實(shí)義務(wù)以董事高管與公司爭利的行為，諸如自我交易 (self－dealing)、篡奪公司機(jī)會(huì)、競業(yè)競爭為規(guī)制對象。相比之下，注意義務(wù) (我國《公司法》采用的是“勤勉義務(wù)”的表述〔33〕《公司法》并未對勤勉義務(wù)進(jìn)行立法定義，學(xué)界和司法實(shí)踐主流觀點(diǎn)認(rèn)為，勤勉義務(wù)與傳統(tǒng)民法上的“注意義務(wù)”含義一致。)強(qiáng)調(diào)的則是董事、高管應(yīng)當(dāng)盡職盡責(zé)，努力實(shí)現(xiàn)公司利益的最大化?！?4〕公司利益并不等同于 (大)股東利益。股東的利益可能與公司長期、穩(wěn)健的經(jīng)營利益相沖突。遺憾的是，我國 《公司法》〔35〕我國《公司法》第147條第1款規(guī)定:“董事、監(jiān)事、高級管理人員應(yīng)當(dāng)遵守法律、行政法規(guī)和公司章程，對公司負(fù)有忠實(shí)義務(wù)和勤勉義務(wù)。”不僅沒有給“勤勉義務(wù)”提供清晰的界定標(biāo)準(zhǔn)，而且也沒有以列舉的方式規(guī)定違反勤勉義務(wù)的典型行為類型。我國的司法實(shí)踐〔36〕例如，北京妙鼎礦泉水有限公司訴王東春損害公司利益賠償糾紛案，《北京市門頭溝區(qū)人民法院民事判決書》，(2009)門民字第4號;上海川流機(jī)電專用設(shè)備有限公司訴李鑫華案，《上海市閔行區(qū)人民法院民事判決書》，(2009)閔民二 (商)初字第1724號。則呈現(xiàn)出較為明顯的借鑒美國1984年版 《標(biāo)準(zhǔn)上市公司法》(MBCA)第8.30(a)(2)條規(guī)定的傾向?！?7〕由于我國民法法系的傳統(tǒng)，如何協(xié)調(diào)英美法信義義務(wù)基于信托法的特征與我國民法以委托代理理論來解釋董事與公司法律關(guān)系的問題還亟待解決。就履行個(gè)人信息保護(hù)法定義務(wù)而言，在學(xué)理上屬于公司董事、高管應(yīng)當(dāng)履行的勤勉義務(wù)，即公司管理者應(yīng)當(dāng)保障公司能夠切實(shí)履行法律規(guī)定的保護(hù)個(gè)人信息的義務(wù)，從而維護(hù)公司的利益，避免公司因義務(wù)不履行而遭受不利的法律后果，諸如，損害賠償、行政處罰，甚至刑事處罰。

四、勤勉義務(wù)具體化是個(gè)人信息保護(hù)義務(wù)內(nèi)化機(jī)制構(gòu)建的重點(diǎn)

(一)董事勤勉義務(wù)具體化的比較法經(jīng)驗(yàn)

1.“一般條款+具體行為規(guī)范”的規(guī)制模式

基于對兩大法系代表性國家制定法和判例規(guī)則的考察，〔38〕本文大陸法系考察限于潘德克吞法系的德國以及羅馬法系的法國以及歐盟層面的制定法，包括《歐洲股份公司條例》(SE－VO)和《歐洲私公司條例 (草案)》(SPE－VO));英美法系的考察范圍則限于英國法和美國的《標(biāo)準(zhǔn)商事公司法》。筆者發(fā)現(xiàn)勤勉義務(wù)在大陸法系的規(guī)定采用了“一般條款+具體行為規(guī)則”的規(guī)制模式。這一模式在2005年英國《公司法案》的修訂中也得到了典型體現(xiàn)。其中，一般條款中最為核心的是勤勉義務(wù)的判斷標(biāo)準(zhǔn)規(guī)則。諸如，《德國股份法》(AktG)第93條第1款、《德國有限責(zé)任公司法》(GmbHG)第43條第1款規(guī)定了公司董事在履行職責(zé)時(shí)應(yīng)當(dāng)盡到“謹(jǐn)慎、有序業(yè)務(wù)領(lǐng)導(dǎo)人的注意義務(wù)”(Sorgfaltsma?stab eines ordentlichen und gewissenhaften Gesch?ftsleiters)。除此之外，法律還規(guī)定了董事的一系列具體勤勉義務(wù)。諸如，申請進(jìn)行商事登記的義務(wù)、〔39〕參見《德國有限責(zé)任公司法》第7條第1款。遵守法律關(guān)于資本履行和資本維持的義務(wù)、〔40〕參見《德國有限責(zé)任公司法》第9a、19、30、31、33、43a、57iv條。對股東的信息義務(wù)、及時(shí)召集股東會(huì)議的義務(wù)以及公司危機(jī)情況下的特殊義務(wù) (尤其是，及時(shí)申請破產(chǎn)義務(wù))。勤勉義務(wù)最核心的要求為，公司管理者在法律、章程和股東決議的框架內(nèi)并在妥當(dāng)考慮公共利益的基礎(chǔ)上，追求和實(shí)現(xiàn)公司的利益，避免公司利益遭受損失?！?1〕OLG Zweibrücken NZG 1999，506，507.

2.兩大法系的規(guī)制模式和規(guī)則內(nèi)容上的相互靠近

一個(gè)非常值得關(guān)注的現(xiàn)象是，兩大法系董事勤勉義務(wù) (和忠實(shí)義務(wù))規(guī)則和規(guī)制模式 (制定法抑或判例規(guī)則)上從不同的出發(fā)點(diǎn)相互靠近。例如，在英國《公司法案》(Companies Act)修訂過程中，曾對是否以及在多大的范圍內(nèi)將關(guān)于董事信義義務(wù)的判例規(guī)則成文法化進(jìn)行討論。最終的結(jié)果是，判例法中大量能夠相對確定表述的董事信息義務(wù)規(guī)則被納入到英國現(xiàn)行《公司法案》(CA 2006)中?！?2〕參見英國《公司法案》(CA 2006)第173條及以下諸條。除此之外，尚有一些董事信義義務(wù)，諸如，董事對債權(quán)人的義務(wù)、法律義務(wù)以及商業(yè)判斷規(guī)則。即便在這些判例規(guī)則實(shí)現(xiàn)成文化之后，對于相關(guān)法律條款的解釋，依然應(yīng)當(dāng)參照相應(yīng)的判例規(guī)則?！?3〕See Davies P，Worthington S，Principles of Modern Company Law，Sweet ＆ Maxwell，2012，p.503.而作為典型大陸法系國家的德國則在制定法之外，借由法官法 (Richterecht)〔44〕這是德國法對于基于判例所形成的不成文判例規(guī)則的專門稱謂，并非組織法意義上的法官法。來對法典中董事義務(wù)的一般條款予以具體化。這一過程通常通過法律解釋，甚至法律的續(xù)造 (Rechtsfortbildung)來完成?！?5〕參見〔德〕卡爾·拉倫次: 《法學(xué)方法論》，陳愛娥譯，商務(wù)印書館2004年版，第249頁。例如，源自美國公司法的商業(yè)判斷規(guī)則，〔46〕參見〔美〕弗蘭克·伊斯特布魯克: 《公司法的經(jīng)濟(jì)結(jié)構(gòu)》 (第2版)，羅培新、張建偉譯，北京大學(xué)出版社2014年版，第93頁。最初通過德國的判例被司法實(shí)踐所繼受。此后又在逐漸成熟的基礎(chǔ)上，最終被法典化到《德國股份法》第93條中。當(dāng)然，這一制度對于其他法律形式，尤其是有限責(zé)任公司的可適用性依然是通過法律解釋來完成的?！?7〕Zhang H，Die Rechtspflichten der Leitungsorgane der geschlossenen Kapitalgesellschaften，Dr.Kovac Verlag，2017，60.可見，無論是大陸法系國家 (如德國)還是英美法系國家 (如英國)，判例規(guī)則對于董事勤勉義務(wù)的發(fā)展都具有核心意義。

3.勤勉義務(wù)具體化的比較法經(jīng)驗(yàn)

比較法的公司理論上，董事勤勉義務(wù)又被劃分為 (1)合法義務(wù)和 (2)狹義的勤勉義務(wù)?！?8〕同上，第71～72頁。合法義務(wù)是指遵守所有外部行為約束規(guī)范，來保障管理行為的合法性。這些約束性的規(guī)范不僅包括法律規(guī)定，還包括公司章程和股東決議等規(guī)范。而且，這些規(guī)范既可以公司本身作為義務(wù)主體 (諸如，網(wǎng)絡(luò)運(yùn)營者的個(gè)人信息保護(hù)義務(wù))，也可以直接以公司董事、高管為義務(wù)主體。合法義務(wù)不僅要求公司高管在經(jīng)營管理中考慮到企業(yè)經(jīng)營活動(dòng)應(yīng)當(dāng)遵循的法律、法規(guī)，而且還必須采取必要、妥當(dāng)?shù)拇胧┮员Ｕ掀髽I(yè)的行為符合法律的要求并及時(shí)識別和防范經(jīng)營過程中可能存在的法律風(fēng)險(xiǎn)。其中尤其包括相應(yīng)的組織措施 (如設(shè)立合規(guī)部門、配備相應(yīng)人員和資源)。

下面以在德國法上有重大影響的“西門子股份公司訴納伯格案”作為剖析樣本，具體地說明合法義務(wù)的適用邏輯?！?9〕參見張懷嶺:“德國法董事合規(guī)義務(wù)的司法適用邏輯——基于對‘西門子訴納伯格案’的分析”，《中德私法研究》2015年第2期，第238～258頁。該案以西門子公司長時(shí)間、大規(guī)模向海外政府官員以及個(gè)人行賄丑聞的爆發(fā)為背景。除了刑事處罰和德國、美國證券交易監(jiān)管機(jī)構(gòu)的處罰外，西門子公司還聘請了一家美國律師事務(wù)所來調(diào)查本公司內(nèi)部的行賄“黑金系統(tǒng)”，并為此支付了約1300萬歐元律師費(fèi)用。在西門子公司行賄丑聞發(fā)生后，西門子公司監(jiān)事會(huì)以違反勤勉義務(wù)為由要求所有前任董事會(huì)成員向公司承擔(dān)損害賠償責(zé)任，并對唯一一個(gè)拒絕承認(rèn)自己存在違反董事義務(wù)行為的董事納伯格 (負(fù)責(zé)財(cái)務(wù)管理、報(bào)告和法務(wù)部門的董事)提起1500萬歐元的損害賠償訴訟。西門子公司的訴訟請求獲得法院的全額支持。本案法院的司法適用邏輯在于，西門子公司的跨國商業(yè)賄賂行為不僅違反了商業(yè)道德，而且也違反了《國際商務(wù)交易活動(dòng)反對行賄外國公職人員公約》在締約國 (德國)國內(nèi)法上的規(guī)定，從而構(gòu)成違法行為。合法義務(wù)不僅要求董事不得從事違法行為，而且還要求董事負(fù)有對董事會(huì)其他成員和員工行為進(jìn)行監(jiān)督的義務(wù)。這種監(jiān)督義務(wù)被《德國股份法》具體化為一種組織義務(wù)，即董事會(huì)必須采取合適的措施，尤其是通過建立監(jiān)督體系來及時(shí)發(fā)現(xiàn)威脅企業(yè)存續(xù)的狀況。〔50〕LG München I，NZG 2014，345(346).因此，董事只有在企業(yè)內(nèi)部設(shè)立了相應(yīng)的預(yù)防損害和控制風(fēng)險(xiǎn)的“合規(guī)機(jī)構(gòu)”的情況下，才符合組織義務(wù) (合法義務(wù))的要求。

(二)個(gè)人信息保護(hù)內(nèi)化為董事合法義務(wù)的制度基礎(chǔ)

我國《公司法》第147條規(guī)定，董事、監(jiān)事、高級管理人員應(yīng)當(dāng)遵守法律、行政法規(guī)和公司章程，對公司負(fù)有忠實(shí)義務(wù)和勤勉義務(wù)。盡管學(xué)界對于“遵守法律、行政法規(guī)和公司章程”與“勤勉義務(wù)”的關(guān)系有爭議，〔51〕參見王軍:《中國公司法》，高等教育出版社2017年版，第389頁。但依據(jù)前述比較法的主流理論，遵守法律、法規(guī)和公司章程屬于“合法義務(wù)”范疇;而合法義務(wù)又屬于“勤勉義務(wù)”(注意義務(wù))的一種具體類型。合法義務(wù)要求董事、高管必須采取妥當(dāng)措施保障公司遵守法律的行為約束，避免因違法而使公司遭受損失。就個(gè)人信息保護(hù)而言，上述德國法中關(guān)于董事合法義務(wù)的司法適用邏輯不僅在法理上值得我國立法和司法實(shí)踐所借鑒，而且，隨著《民法總則》、《消保法》以及《網(wǎng)絡(luò)安全法》等法律的頒布或修訂，我國現(xiàn)行法已經(jīng)具備了相應(yīng)的制度基礎(chǔ)。

1.企業(yè)作為信息收集者，其法定組織義務(wù)已經(jīng)確立。《民法總則》第111條規(guī)定，任何組織和個(gè)人負(fù)有依法取得他人個(gè)人信息并確保信息安全的義務(wù)。對所收集信息的安全保障義務(wù)是所有收集主體的基本義務(wù)?！断７ā泛汀毒W(wǎng)絡(luò)完全法》對于信息安全保障義務(wù)做出了進(jìn)一步的規(guī)定。其中，《消保法》第40條規(guī)定，經(jīng)營者及其工作人員對收集的消費(fèi)者個(gè)人信息必須嚴(yán)格保密，不得泄露、出售或者非法向他人提供。經(jīng)營者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保信息安全，防止消費(fèi)者個(gè)人信息泄露、丟失。在發(fā)生或者可能發(fā)生信息泄露、丟失的情況時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施。《網(wǎng)絡(luò)安全法》第40條規(guī)定了網(wǎng)絡(luò)運(yùn)營者“建立健全用戶信息保護(hù)制度”的組織義務(wù)。該法第42條第2款中規(guī)定:“網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保其收集的個(gè)人信息的安全?！睆倪@些規(guī)定可以引申出，企業(yè)作為信息的 (合法)收集者時(shí)，為了履行法律所規(guī)定的信息保護(hù)義務(wù)，必須在企業(yè)內(nèi)部采取妥當(dāng)?shù)?、符合客觀必要安全標(biāo)準(zhǔn)的措施。為履行上述事前預(yù)防和事后補(bǔ)救義務(wù)，公司管理者自然應(yīng)當(dāng)設(shè)立相應(yīng)的信息安全保障部門，配備與其處理信息規(guī)模相適應(yīng)的專業(yè)人員。

2.鑒于實(shí)踐中大規(guī)模信息竊取、泄露、出賣等侵害個(gè)人信息的行為是源于“內(nèi)部人”，〔52〕例如，京東的用戶信息泄露事件。在最高人民檢察院最近發(fā)布的六起侵犯公民個(gè)人信息犯罪典型案例中，造成損害最大的都是“內(nèi)部人”的違法行為。董事、高管對公司所負(fù)的組織義務(wù)還涵蓋了建立內(nèi)部運(yùn)行良好的監(jiān)督機(jī)制。在“西門子訴納伯格”案中，法院認(rèn)定，盡管西門子公司設(shè)立了專門的合規(guī)部門并且配備了相關(guān)專業(yè)人員，但是這一合規(guī)監(jiān)督機(jī)制未能有效運(yùn)行，事前預(yù)防違法事件 (諸如，反復(fù)在集團(tuán)內(nèi)部出現(xiàn)向海外政府官員和個(gè)人行賄的事件)和事后處罰措施 (尤其是對相應(yīng)員工的人事處罰)都未能達(dá)到預(yù)期效果，從而違反了董事的合法義務(wù)?；谶@一法律適用邏輯，合法義務(wù)要求收集用戶個(gè)人信息的企業(yè)必須建立對內(nèi)部員工的培訓(xùn)和監(jiān)督制度。而且，如果在個(gè)案中表明該制度存在不足之處，必須及時(shí)采取補(bǔ)救措施。這也可以從我國《消保法》第40條 (補(bǔ)救措施的規(guī)定)和《網(wǎng)絡(luò)安全法》第42條第2款 (個(gè)人信息泄露、毀損、丟失的情況下應(yīng)采取補(bǔ)救措施并履行告知和報(bào)告義務(wù))中找到法律依據(jù)。以58同城數(shù)據(jù)泄露事件為例，該公司全國用戶個(gè)人簡歷遭到大規(guī)模泄露。無獨(dú)有偶，招聘網(wǎng)站普遍存在個(gè)人數(shù)據(jù)保障程度低下，安全漏洞眾多且長時(shí)間沒有得到修補(bǔ)，易于遭惡意爬蟲軟件利用平臺漏洞爬取信息的問題。根據(jù)對智聯(lián)招聘工作人員的采訪，該企業(yè)內(nèi)部信息保護(hù)制度不嚴(yán)格，即便權(quán)限較低的員工也可以輕易、無限制地獲取企業(yè)數(shù)據(jù)庫中的用戶個(gè)人信息?！?3〕該事件具體經(jīng)過參見 http://industry.caijing.com.cn/20170324/4251509.shtml，最后訪問時(shí)間:2017年11月27日。這也表明了以董事、高管合法義務(wù)為基礎(chǔ)，建立內(nèi)部完善合規(guī)制度的迫切性。

五、個(gè)人信息保護(hù)義務(wù)內(nèi)化機(jī)制構(gòu)建的關(guān)鍵環(huán)節(jié):舉證責(zé)任的分配與訴訟主體資格

(一)舉證責(zé)任分配

司法實(shí)踐中，實(shí)體權(quán)利在多大程度上以及以何種成本可以得到維護(hù)和實(shí)現(xiàn)，主要依賴于舉證責(zé)任的分配。比較法上的公司治理中，董事的經(jīng)營活動(dòng)受到商業(yè)判斷規(guī)則(Business Judgment Rules)的保護(hù)。而商業(yè)判斷規(guī)則則是通過實(shí)體法的形式確定舉證責(zé)任的分擔(dān)?；谶@一比較法經(jīng)驗(yàn)，個(gè)人信息保護(hù)糾紛中的舉證責(zé)任分配應(yīng)當(dāng)通過實(shí)體法的規(guī)范予以特殊規(guī)定，從而實(shí)現(xiàn)利益保護(hù)的平衡。具體而言，針對發(fā)生的個(gè)人信息侵害糾紛，例如，信息的泄露、不當(dāng)使用等情形，只要信息的權(quán)利人舉證證明發(fā)生了其權(quán)利受到侵害的后果，就由對個(gè)人信息負(fù)有保護(hù)義務(wù)的主體對其履行了法定的信息保護(hù)義務(wù)或者特定損害后果即便在其合法履行義務(wù)的情況下依然會(huì)發(fā)生 (因果關(guān)系)承擔(dān)舉證責(zé)任。

比較法上的考察表明，為了避免司法機(jī)關(guān)對于商事決策采取事后審查從而不正當(dāng)?shù)匾种平?jīng)營者從事具有一定風(fēng)險(xiǎn)的商業(yè)活動(dòng)的積極性，引入商業(yè)判斷規(guī)則是必然之舉。德國法的制度沿革便佐證了這一點(diǎn)。20世紀(jì)90年代，德國聯(lián)邦最高法院的判例規(guī)則主張，〔54〕BGH v.26.11.1990－II ZR 223/89，GmbHR 1991，101 ff;BGH v.21.03.1994－II ZR 260/92，GmbHR 1994，459 ff.公司應(yīng)當(dāng)對董事違反注意義務(wù)的客觀要件承擔(dān)說明與舉證責(zé)任 (Darlegungs－und Beweislast)，而董事則僅對其不具有主觀過錯(cuò)承擔(dān)舉證責(zé)任。這就意味著，在例外情形下，諸如公司財(cái)產(chǎn)由于相關(guān)董事未能履行職責(zé)的原因 (收銀數(shù)額不足、存貨短缺)而無法確定時(shí)，公司的權(quán)利可能就無法實(shí)現(xiàn)。但是，如今聯(lián)邦最高法院已經(jīng)通過一系列新的判決極大地以有利于公司提起訴訟的方式進(jìn)行了改革?！?5〕諸如 BGH v.04.11.2002－II ZR 224/00=GmbHR 2003，113～117。公司作為原告，僅需要證明其在多大范圍內(nèi)由于董事義務(wù)范圍內(nèi)的行為而遭受了損害?！?6〕參見前注 〔47〕，Zhang H.書，第66頁。這很大程度上是基于對《股份法》和《合作社法》相關(guān)規(guī)范的類推適用。例如，通過移植美國法的制度，《德國股份法》首先在第93條第1款第1句規(guī)定了董事會(huì)成員應(yīng)當(dāng)負(fù)有注意義務(wù)的標(biāo)準(zhǔn);其次，第93條第1款第2句規(guī)定:“如果董事會(huì)成員在進(jìn)行商業(yè)決策時(shí)，基于妥當(dāng)?shù)男畔⒒A(chǔ)可以合理地相信其行為有利于公司的利益，則不構(gòu)成注意義務(wù)的違反?！鄙虡I(yè)判斷規(guī)則的引入既降低了公司作為原告的舉證責(zé)任，同時(shí)也為董事對商業(yè)決策所享有的自由裁量提供了制度保障。這也可以為我國《公司法》以及司法實(shí)踐所借鑒，從而實(shí)現(xiàn)董事在商業(yè)決策上的自由裁量權(quán)與履行法定個(gè)人信息保護(hù)義務(wù)的良好平衡。因?yàn)楣炯捌涠隆熬嚯x”證據(jù)最近，其承擔(dān)自身已經(jīng)履行組織義務(wù)的舉證責(zé)任并非是不成比例的風(fēng)險(xiǎn)負(fù)擔(dān)。

就個(gè)人數(shù)據(jù)保護(hù)而言，德國《數(shù)據(jù)保護(hù)法》的立法例可供借鑒。該法第7條第1款規(guī)定了企業(yè)違反法律規(guī)定，因其信息收集、處理或利用行為給用戶造成損害的應(yīng)當(dāng)承擔(dān)賠償責(zé)任。但是，該條第2款又規(guī)定: “企業(yè)盡到根據(jù)具體情形所必要的注意義務(wù)的，不承擔(dān)損害賠償責(zé)任?！狈审w系上，該規(guī)范被作為德國《股份法》(AktG)第93條第1款、《有限責(zé)任公司法》(GmbHG)第43條第1款抑或《合作社法》(GenG)第34條第1款的特殊規(guī)范。這意味著由信息處理者對其自身已經(jīng)履行了法律規(guī)定應(yīng)盡的注意義務(wù)承擔(dān)舉證責(zé)任，從而大幅降低了用戶等主體提起訴訟的舉證責(zé)任和風(fēng)險(xiǎn)?！?7〕例如，奧地利法律人和活動(dòng)人士馬克斯 .史萊姆絲 (Max Schrems)曾通過投訴和訴訟的方式迫使Facebook公布其賬戶的用戶信息以及在歐洲關(guān)閉其臉部識別功能。以歐盟新條例的通過為契機(jī)，他作為創(chuàng)始人新近成立了非政府機(jī)構(gòu)Noyb，旨在針對企業(yè)違反信息保護(hù)義務(wù)的行為向監(jiān)管機(jī)構(gòu)進(jìn)行投訴以及向法院提起訴訟。

(二)訴訟主體資格

就訴訟主體資格而言，與德國現(xiàn)行法類似，歐盟《通用數(shù)據(jù)保護(hù)條例》第80條第1款規(guī)定了“集體訴訟”條款，允許非政府組織代表個(gè)人信息受到損害的個(gè)人向監(jiān)管機(jī)構(gòu)采取法律行動(dòng)。該條第2款進(jìn)一步授權(quán)成員國可以就“集體訴訟權(quán)”進(jìn)行規(guī)定。尤其值得注意的是，該條例第82條第1款明確規(guī)定損害賠償?shù)姆秶w“精神損害賠償”。在損害賠償額度的計(jì)算上，歐盟法院 (EuGH)判例依據(jù)“有效性原則”，〔58〕EuGH，EuZW 2016，183 Rn.44－Arjona Camacho.認(rèn)為損害賠償額應(yīng)當(dāng)具有“威懾性”?！?9〕參見前注 〔18〕，Schanz文，第1847頁。這將大幅增強(qiáng)私法執(zhí)行機(jī)制在個(gè)人數(shù)據(jù)保護(hù)方面的有效性。我國《消保法》已經(jīng)引入了懲罰性的損害賠償制度，盡管該法本身具有“規(guī)制法”的色彩?；诮档退綑?quán)利行使成本，鼓勵(lì)權(quán)利保護(hù)的目的，可以擴(kuò)大懲罰性損害賠償?shù)倪m用范圍。