網(wǎng)絡(luò)平臺(tái)個(gè)人信息保護(hù)責(zé)任的法律經(jīng)濟(jì)學(xué)分析

陳宇照

一、引言

在個(gè)人信息日益數(shù)據(jù)化的數(shù)字經(jīng)濟(jì)時(shí)代，個(gè)人信息遭受侵犯的風(fēng)險(xiǎn)明顯加劇。根據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)截至2021年12月的統(tǒng)計(jì)，2021年下半年，在網(wǎng)民遇到的各類網(wǎng)絡(luò)安全問題中，遭遇個(gè)人信息泄露的網(wǎng)民比例最高，為22.1%。如何更好地保護(hù)個(gè)人信息，值得重視及思考。

網(wǎng)絡(luò)領(lǐng)域的個(gè)人信息安全，是決定個(gè)人信息保護(hù)成效的關(guān)鍵?！吨腥A人民共和國個(gè)人信息保護(hù)法》(以下簡稱《個(gè)人信息保護(hù)法》)第9條規(guī)定：“個(gè)人信息處理者應(yīng)當(dāng)對其個(gè)人信息處理活動(dòng)負(fù)責(zé)，并采取必要措施保障所處理的個(gè)人信息的安全?！痹摋l規(guī)定綜合考量負(fù)責(zé)與安全兩方面的內(nèi)容，將其總結(jié)提煉為一項(xiàng)具有我國個(gè)人信息處理特色的基本原則。這意味著，網(wǎng)絡(luò)平臺(tái)作為個(gè)人信息處理者須承擔(dān)個(gè)人信息保護(hù)責(zé)任，但同時(shí)網(wǎng)絡(luò)平臺(tái)個(gè)人信息保護(hù)責(zé)任的定性和邊界問題也亟待明確。否則，有可能出現(xiàn)網(wǎng)絡(luò)平臺(tái)“課予責(zé)任越重，實(shí)施效果越弱”，網(wǎng)絡(luò)平臺(tái)與網(wǎng)絡(luò)平臺(tái)內(nèi)產(chǎn)品或服務(wù)的提供者(以下簡稱商家)矛盾不斷，相互推諉扯皮，既浪費(fèi)法律資源又無法實(shí)現(xiàn)預(yù)期效果的情形。

在現(xiàn)有研究成果中，已有學(xué)者注意到網(wǎng)絡(luò)平臺(tái)個(gè)人信息保護(hù)責(zé)任的相關(guān)問題。張新寶認(rèn)為，要給予網(wǎng)絡(luò)平臺(tái)這一互聯(lián)網(wǎng)生態(tài)“守門人”設(shè)置個(gè)人信息保護(hù)方面的特別義務(wù)。吳偉光指出，平臺(tái)組織內(nèi)的個(gè)人信息保護(hù)問題，本質(zhì)上是網(wǎng)絡(luò)企業(yè)與網(wǎng)絡(luò)用戶在平臺(tái)組織內(nèi)的關(guān)系問題，并認(rèn)為直接依賴網(wǎng)絡(luò)用戶的私權(quán)利和政府公權(quán)力來保護(hù)個(gè)人信息都很難對抗網(wǎng)絡(luò)企業(yè)，需要將個(gè)人信息中的法益視為網(wǎng)絡(luò)用戶對網(wǎng)絡(luò)企業(yè)的信義利益予以應(yīng)對。武騰提出，履行給付型忠實(shí)義務(wù)的網(wǎng)絡(luò)平臺(tái)在處理個(gè)人信息時(shí)應(yīng)遵循最小必要原則。學(xué)者們在分析網(wǎng)絡(luò)平臺(tái)個(gè)人信息保護(hù)責(zé)任時(shí)，多將網(wǎng)絡(luò)平臺(tái)進(jìn)行同質(zhì)化看待，并以“網(wǎng)絡(luò)平臺(tái)—網(wǎng)絡(luò)用戶(消費(fèi)者)”二者的關(guān)系作為分析的基本形態(tài)。

上述研究成果仍存在可拓展的研究空間：一方面，從研究內(nèi)容上看，網(wǎng)絡(luò)平臺(tái)并非同質(zhì)的，而是分層的。網(wǎng)絡(luò)平臺(tái)個(gè)人信息保護(hù)責(zé)任所涉社會(huì)關(guān)系不限于網(wǎng)絡(luò)平臺(tái)和網(wǎng)絡(luò)用戶之間的外部關(guān)系，網(wǎng)絡(luò)平臺(tái)與商家之間的內(nèi)部關(guān)系對網(wǎng)絡(luò)平臺(tái)個(gè)人信息保護(hù)責(zé)任的實(shí)現(xiàn)和網(wǎng)絡(luò)用戶的個(gè)人信息安全同樣產(chǎn)生重大影響。另一方面，從研究視角來看，《個(gè)人信息保護(hù)法》的頒布實(shí)施意味著有關(guān)個(gè)人信息保護(hù)的研究邁入“解釋論”和“實(shí)施論”的新時(shí)代。不過，既有的研究多為法教義學(xué)意義上的解釋，法經(jīng)濟(jì)學(xué)意義上的闡釋并不多，無法完全揭示網(wǎng)絡(luò)平臺(tái)個(gè)人信息保護(hù)責(zé)任中不同主體利益變動(dòng)和影響的過程，致使對網(wǎng)絡(luò)平臺(tái)個(gè)人信息保護(hù)責(zé)任制度及其完善路徑缺乏客觀而充分的理解，影響《個(gè)人信息保護(hù)法》的實(shí)施成效。

與對網(wǎng)絡(luò)平臺(tái)和網(wǎng)絡(luò)用戶之間外部關(guān)系進(jìn)行純粹法教義學(xué)意義上的解釋相比，兼顧網(wǎng)絡(luò)平臺(tái)和商家之間內(nèi)部關(guān)系的法經(jīng)濟(jì)學(xué)闡釋更具有實(shí)踐價(jià)值。鑒于此，結(jié)合《個(gè)人信息保護(hù)法》文本，本文對網(wǎng)絡(luò)平臺(tái)個(gè)人信息保護(hù)責(zé)任進(jìn)行法律經(jīng)濟(jì)學(xué)分析，力圖清晰地界定網(wǎng)絡(luò)平臺(tái)和商家的個(gè)人信息保護(hù)責(zé)任邊界，指出相應(yīng)的規(guī)范適用，并對網(wǎng)絡(luò)平臺(tái)個(gè)人信息保護(hù)責(zé)任制度進(jìn)行相應(yīng)的分析和優(yōu)化。

二、“同意疲勞”與責(zé)任區(qū)分不明的網(wǎng)絡(luò)平臺(tái)個(gè)人信息保護(hù)現(xiàn)狀

(一)約束網(wǎng)絡(luò)平臺(tái)及其商家的程序性機(jī)制——告知同意機(jī)制日益流于形式

當(dāng)前，作為約束個(gè)人信息處理的程序性機(jī)制——告知同意機(jī)制被世界各國普遍采用。歐盟《一般數(shù)據(jù)保護(hù)條例》第7條較為詳細(xì)地規(guī)定了同意要件，要求應(yīng)當(dāng)以一種容易理解的形式、清晰平白的語言來設(shè)計(jì)，并設(shè)計(jì)撤回同意機(jī)制;第8條則針對兒童設(shè)定了較為嚴(yán)格的同意機(jī)制。美國《加利福尼亞州消費(fèi)者隱私法案》(CCPA)對于出售消費(fèi)者數(shù)據(jù)、用于財(cái)務(wù)激勵(lì)等數(shù)據(jù)處理的同意機(jī)制做了規(guī)定。中國在2012年《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》第2條規(guī)定了告知同意機(jī)制，要求“明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意”，之后的相關(guān)法律作了類似規(guī)定?！睹穹ǖ洹返?035條規(guī)定：“處理個(gè)人信息應(yīng)征得該自然人或者其監(jiān)護(hù)人同意，但是法律、行政法規(guī)另有規(guī)定的除外。”《個(gè)人信息保護(hù)法》在明確信息主體知情權(quán)的基礎(chǔ)上，第13條第1款第1項(xiàng)，更是以“取得個(gè)人同意”作為個(gè)人信息處理正當(dāng)性的首要合法性基礎(chǔ)。同時(shí)，第14條明確規(guī)定:“基于個(gè)人同意處理個(gè)人信息的，該同意應(yīng)當(dāng)由個(gè)人在充分知情的前提下自愿、明確作出?！北M管我國《個(gè)人信息保護(hù)法》第13條第1款第(2)至第(6)項(xiàng)規(guī)定了告知同意機(jī)制的例外情形，但這些情形似乎更多地是為相關(guān)公權(quán)力部門作為個(gè)人信息處理者量身打造的，是否能適用于網(wǎng)絡(luò)平臺(tái)尚待觀察。因此，告知同意機(jī)制仍是我國《個(gè)人信息保護(hù)法》的基本制度框架，也是約束網(wǎng)絡(luò)平臺(tái)及其商家最主要的私法保護(hù)機(jī)制。

告知同意機(jī)制建立在尊重信息主體意愿的基礎(chǔ)上，有利于在個(gè)人信息處理的實(shí)踐中貫徹信息主體的意圖，一定程度上有效避免了個(gè)人信息被濫用。不少網(wǎng)絡(luò)平臺(tái)為滿足告知同意機(jī)制的要求，經(jīng)常在其網(wǎng)站顯著位置公布隱私政策，以便用戶知情和同意。據(jù)粗略估算，若要用戶真正去閱讀其訪問網(wǎng)站的隱私政策，每年人均將花費(fèi)約250小時(shí)，既耗時(shí)又不便。更為重要的是，企業(yè)隱私政策冗長且充斥大量的專業(yè)術(shù)語，用戶并沒有被充分告知，許多個(gè)人信息都是在用戶不知不覺之間被企業(yè)共享或者出售給第三方主體的；同時(shí)，企業(yè)隱私政策的性質(zhì)也并不清晰，發(fā)生糾紛時(shí)難以約束企業(yè)。此外，值得注意的是，《個(gè)人信息保護(hù)法》第14條第2款規(guī)定：“個(gè)人信息的處理目的、處理方式和處理的個(gè)人信息種類發(fā)生變更的，應(yīng)當(dāng)重新取得個(gè)人同意。”這意味著，隨著場景的不同帶來個(gè)人信息處理目的、處理方式和處理個(gè)人信息種類的不同，需要反復(fù)利用告知同意機(jī)制，不僅會(huì)讓用戶陷入“同意疲勞”而疲于同意，也會(huì)增加網(wǎng)絡(luò)平臺(tái)等個(gè)人信息處理者的成本費(fèi)用。總的來說，由于個(gè)人和信息收集與處理者之間持續(xù)性信息不平等關(guān)系，網(wǎng)絡(luò)平臺(tái)會(huì)利用其自身各方面優(yōu)勢，逐漸掏空告知同意機(jī)制，讓其流于形式。

(二)網(wǎng)絡(luò)平臺(tái)與商家個(gè)人信息保護(hù)責(zé)任區(qū)分不明

在我國眾多個(gè)人信息保護(hù)法律規(guī)范當(dāng)中，經(jīng)常使用“個(gè)人信息處理者”這一概念，并未明確區(qū)分網(wǎng)絡(luò)平臺(tái)和商家的個(gè)人信息保護(hù)責(zé)任?！秱€(gè)人信息保護(hù)法》第73條特別解釋了“個(gè)人信息處理者”的內(nèi)涵，即在個(gè)人信息處理活動(dòng)中自主決定處理目的、處理方式的組織與個(gè)人。該解釋指明個(gè)人信息處理者的核心特征在于“自主決定”。因此，網(wǎng)絡(luò)平臺(tái)和商家都可能成為個(gè)人信息處理者。然而，由于網(wǎng)絡(luò)平臺(tái)和商家之間的緊密聯(lián)系，二者在個(gè)人信息處理活動(dòng)中究竟呈現(xiàn)何種關(guān)系——商家是《個(gè)人信息保護(hù)法》第20條規(guī)定的“共同個(gè)人信息處理者”，還是《個(gè)人信息保護(hù)法》第21條規(guī)定的“委托個(gè)人信息處理者”，亦或是《個(gè)人信息保護(hù)法》第23條規(guī)定的“其他個(gè)人信息處理者”？如果屬于第23條規(guī)定的“其他個(gè)人信息處理者”，那么二者之間個(gè)人信息保護(hù)責(zé)任如何劃分？這些問題沒有明確的答案。此外，《個(gè)人信息保護(hù)法》第58條規(guī)定了提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個(gè)人信息處理者(以下簡稱“大型網(wǎng)絡(luò)平臺(tái)”)擁有制定平臺(tái)規(guī)則、明確商家個(gè)人信息處理規(guī)范和個(gè)人信息保護(hù)義務(wù)的特別義務(wù)，單純依靠這種大型網(wǎng)絡(luò)平臺(tái)對商家制定規(guī)則和明確義務(wù)的手段，在網(wǎng)絡(luò)平臺(tái)和商家之間形成一定意義上的管理關(guān)系過于簡單，極易導(dǎo)致以下結(jié)果：一是商家會(huì)利用特殊手段如行賄等來解決問題，進(jìn)而產(chǎn)生尋租成本；二是極易導(dǎo)致二者對立傾向，從而增加法律實(shí)施成本。

(三)個(gè)人信息保護(hù)手段的威懾力不足

《個(gè)人信息保護(hù)法》中高額罰款、信用懲戒、損害賠償中個(gè)人信息處理者過錯(cuò)推定、個(gè)人信息保護(hù)公益訴訟等制度，較好地提高了我國個(gè)人信息保護(hù)手段的威懾水平。但是，法律制裁越嚴(yán)厲并非意味著威懾水平效果就最優(yōu)，因?yàn)橐环矫孀顑?yōu)的威懾水平取決于邊際威懾水平，即法律制裁嚴(yán)厲度和法律制裁確定性的組合情況，另一方面法律制裁越嚴(yán)厲并不一定意味著違法行為的必然減少，而國家監(jiān)管資源的成本投入?yún)s不斷加大，兩相比較之下，法律制裁越嚴(yán)厲并非意味著最優(yōu)的威懾水平。審視我國《個(gè)人信息保護(hù)法》，可以發(fā)現(xiàn)一些制約個(gè)人信息保護(hù)手段威懾水平的因素。

一是損害賠償責(zé)任數(shù)額的確定較為模糊。《個(gè)人信息保護(hù)法》第66 條的立法方式，是將該法中所有個(gè)人信息處理的權(quán)利義務(wù)關(guān)系條款都納入行政處罰的制裁后果。這本質(zhì)上并不利于凸顯《個(gè)人信息保護(hù)法》對不同權(quán)利義務(wù)配置類型的差別度，對處罰機(jī)制設(shè)定的過度寬泛也將使個(gè)人信息處理者缺乏預(yù)見性從而承擔(dān)更大的合規(guī)成本?！爸亓P威懾”的處罰條款也為監(jiān)管部門留下了較大的執(zhí)法彈性，在構(gòu)成要件相對模糊的前提下，裁量幅度的寬泛授權(quán)具有兩面性。再加上監(jiān)管主體本身的多元結(jié)構(gòu)，需要警惕未來因?yàn)楸O(jiān)管職能的沖突而導(dǎo)致企業(yè)潛在的合規(guī)成本增加的風(fēng)險(xiǎn)。此外，《個(gè)人信息保護(hù)法》第69條第2款規(guī)定：“損害賠償責(zé)任按照個(gè)人因此受到的損失或者個(gè)人信息處理者因此獲得的利益確定；個(gè)人因此受到的損失和個(gè)人信息處理者因此獲得的利益難以確定的，根據(jù)實(shí)際情況確定賠償數(shù)額?！痹摋l款確定了侵害個(gè)人信息權(quán)益損害賠償額計(jì)算方法的第一順位是“個(gè)人受到的損失”或“個(gè)人信息處理者獲得的利益”，第二順位則是法院的裁量。究竟選取何種標(biāo)準(zhǔn)將對個(gè)人信息保護(hù)手段的威懾水平帶來直接影響。上述不確定性在一定程度上影響著個(gè)人信息保護(hù)手段的威懾水平。

二是對個(gè)人信息保護(hù)公益訴訟提起主體的激勵(lì)尚待明確和提高。按照《個(gè)人信息保護(hù)法》第70條，有權(quán)提起公益訴訟的主體包括人民檢察院、法律規(guī)定的消費(fèi)者組織和由國家網(wǎng)信部門確定的組織。在此，且不說該條規(guī)定的簡單化、抽象化和模糊化問題，單就公益訴訟制度本身來談其中的問題。從法律經(jīng)濟(jì)學(xué)的視角來看，公益訴訟一般是激勵(lì)私人和特定國家機(jī)關(guān)訴訟實(shí)現(xiàn)公益目的的帶有“正外部性”色彩的訴訟類型，其發(fā)揮效果的關(guān)鍵在于對原告起訴的激勵(lì)程度大小。然而，公益訴訟因受原告資格及其發(fā)現(xiàn)違法信息、訴訟成本等因素所限，原告提起公益訴訟動(dòng)力不足，這導(dǎo)致違法者被起訴的概率不高，故降低了違法者承擔(dān)賠償責(zé)任的概率。另外，即使個(gè)別違法行為被提起公益賠償之訴對違法者具有一定的懲罰作用，但違法者仍可從多次違法中獲得好處。相應(yīng)地，如何進(jìn)一步優(yōu)化個(gè)人信息保護(hù)公益訴訟制度，是確定對網(wǎng)絡(luò)平臺(tái)侵犯個(gè)人信息行為最優(yōu)威懾水平的重要議題。

三、防范成本優(yōu)勢與公共物品主導(dǎo)屬性對個(gè)人信息保護(hù)責(zé)任配置的影響

(一)科斯定理與網(wǎng)絡(luò)平臺(tái)個(gè)人信息保護(hù)的主要責(zé)任承擔(dān)

按照《個(gè)人信息保護(hù)法》的相關(guān)規(guī)定，任何主體只要成為個(gè)人信息處理者就需承擔(dān)個(gè)人信息保護(hù)責(zé)任。與其單純地從法教義學(xué)的角度不斷厘清個(gè)人信息處理活動(dòng)及個(gè)人信息處理者的內(nèi)涵與外延以及對網(wǎng)絡(luò)平臺(tái)個(gè)人信息保護(hù)責(zé)任進(jìn)行法律定性，倒不如訴諸科斯定理來厘清網(wǎng)絡(luò)平臺(tái)個(gè)人信息保護(hù)責(zé)任的承擔(dān)機(jī)理?？扑怪赋?，一旦考慮到進(jìn)行市場交易的成本，合法權(quán)利的初始界定會(huì)對經(jīng)濟(jì)制度運(yùn)行的效率產(chǎn)生影響。在交易費(fèi)用大于零的現(xiàn)實(shí)世界，權(quán)利的不同界定會(huì)對資源配置產(chǎn)生影響。這意味著，交易成本成為法律制定和適用的重要考慮因素，清晰界定產(chǎn)權(quán)邊界成為法律的重要功能。進(jìn)一步推論，在雙方采取防范措施可以消除意外事故風(fēng)險(xiǎn)的情況下，理想狀態(tài)是讓能夠以最低的成本防范風(fēng)險(xiǎn)發(fā)生的一方單獨(dú)采取防范措施和承擔(dān)責(zé)任，因?yàn)檫@樣可以實(shí)現(xiàn)社會(huì)總成本最小化的社會(huì)目標(biāo)。誰承擔(dān)責(zé)任成本較低，就由誰來承擔(dān)責(zé)任。若以此視角審視，產(chǎn)權(quán)(責(zé)任)界定不明是網(wǎng)絡(luò)領(lǐng)域個(gè)人信息屢受侵犯的重要原因。按照科斯定理，由防范成本較低的一方即網(wǎng)絡(luò)平臺(tái)承擔(dān)個(gè)人信息保護(hù)的主要責(zé)任，是符合效率的選擇。

按照科斯定理的基本精神，盡量將產(chǎn)權(quán)賦予使用效率最高的主體。進(jìn)入數(shù)字經(jīng)濟(jì)時(shí)代，個(gè)人信息或數(shù)據(jù)的價(jià)值不再在于所有，而是在于分析和使用。相較于分散的商家，網(wǎng)絡(luò)平臺(tái)在個(gè)人信息控制規(guī)模性、技術(shù)發(fā)達(dá)性、資金充足性等方面占據(jù)巨大優(yōu)勢，并且能夠?qū)崿F(xiàn)效用最大化，讓網(wǎng)絡(luò)平臺(tái)承擔(dān)個(gè)人信息保護(hù)的主要責(zé)任，符合科斯定理的基本精神，能實(shí)現(xiàn)降低交易成本的目標(biāo)。

(二)個(gè)人信息的公共物品主導(dǎo)屬性與網(wǎng)絡(luò)平臺(tái)個(gè)人信息保護(hù)的主要責(zé)任承擔(dān)

近些年來，學(xué)者們對個(gè)人信息價(jià)值和保護(hù)必要性的認(rèn)知基本沒有爭議，但在個(gè)人信息是否權(quán)利化、權(quán)利的具體類型、權(quán)利的保護(hù)方法與手段等方面存在著分歧，有賦權(quán)說與行為主義規(guī)制說兩種不同觀點(diǎn)。前者認(rèn)為可以通過為個(gè)體賦權(quán)和豐富權(quán)利內(nèi)容的手段來保護(hù)個(gè)人信息，其中又分為個(gè)人信息人格權(quán)說、個(gè)人信息財(cái)產(chǎn)權(quán)說、個(gè)人信息綜合說等學(xué)術(shù)觀點(diǎn)；后者認(rèn)為，應(yīng)避免抽象賦權(quán)而要基于具體場景進(jìn)行行為主義規(guī)制。這些爭論根源于學(xué)者們對個(gè)人信息屬性的不同認(rèn)識(shí)。在大數(shù)據(jù)和數(shù)字經(jīng)濟(jì)時(shí)代，過分注重個(gè)人信息的個(gè)體屬性，顯然不符合事實(shí)和社會(huì)經(jīng)濟(jì)發(fā)展的客觀要求，這是因?yàn)閭€(gè)人絕對控制自身的個(gè)人信息，既不現(xiàn)實(shí)，也不合理。相反，個(gè)人信息日益具有強(qiáng)烈的公共屬性。信息不是由個(gè)體獨(dú)立創(chuàng)造的，信息產(chǎn)生于社會(huì)主體的互動(dòng)。正如有學(xué)者指出的那樣，個(gè)人信息兼具個(gè)體屬性與社會(huì)流通屬性。

個(gè)人信息不僅具有個(gè)體屬性，還具有公共物品屬性。公共物品是具有非競爭性和非排他性的物品。在個(gè)人信息的雙重屬性之中，公共物品屬性無疑占據(jù)了主導(dǎo)地位，這也意味著個(gè)人信息的處理會(huì)產(chǎn)生一定的外部性問題，比如個(gè)人信息泄露不僅有損個(gè)體的合法權(quán)益，還會(huì)帶來輿情影響、企業(yè)發(fā)展和產(chǎn)業(yè)發(fā)展等外部性問題，影響資源配置效率的提高。由于個(gè)人信息雙重屬性中公共物品屬性的主導(dǎo)性，商家作為商品買賣和服務(wù)提供中的完全私主體，不宜由其承擔(dān)主要責(zé)任，而應(yīng)由具有明顯公共性的私權(quán)力主體——網(wǎng)絡(luò)平臺(tái)承擔(dān)主要責(zé)任。我國《個(gè)人信息保護(hù)法》第58條在一定程度上體現(xiàn)了這一要求。進(jìn)入數(shù)字經(jīng)濟(jì)時(shí)代，包含個(gè)人信息在內(nèi)的數(shù)據(jù)成為數(shù)字經(jīng)濟(jì)的關(guān)鍵生產(chǎn)要素。平臺(tái)借助其數(shù)據(jù)集合體的地位與數(shù)據(jù)快速收集、處理的技術(shù)優(yōu)勢，通過有效的分析、決策數(shù)據(jù)的投入利用加之算法等的結(jié)合，將分析結(jié)果應(yīng)用于市場經(jīng)營策略，以取得一定市場影響或優(yōu)勢地位。當(dāng)平臺(tái)經(jīng)營者的力量越來越強(qiáng)大時(shí)，就容易濫用此種地位，對平臺(tái)內(nèi)經(jīng)營者課以不公平的義務(wù)。從網(wǎng)絡(luò)平臺(tái)數(shù)據(jù)反壟斷的角度來看，網(wǎng)絡(luò)平臺(tái)也有更多的責(zé)任與義務(wù)。

四、個(gè)人信息保護(hù)責(zé)任內(nèi)部化與共同個(gè)人信息處理者保護(hù)責(zé)任的確立

(一)個(gè)人信息保護(hù)責(zé)任應(yīng)成為網(wǎng)絡(luò)平臺(tái)和商家的共同責(zé)任

雖然網(wǎng)絡(luò)平臺(tái)應(yīng)承擔(dān)個(gè)人信息保護(hù)的首要責(zé)任，但個(gè)人信息安全的根本保障在于網(wǎng)絡(luò)平臺(tái)與商戶共同承擔(dān)個(gè)人信息保護(hù)責(zé)任，個(gè)人信息安全應(yīng)成為二者的共同目標(biāo)。根據(jù)“理性經(jīng)濟(jì)人”的基本假設(shè)，網(wǎng)絡(luò)平臺(tái)和商家都期望己方盡可能地承擔(dān)更少的成本，盡可能地獲得更多的收益，即實(shí)現(xiàn)成本收益差額(利潤)最大化。按照法律經(jīng)濟(jì)學(xué)的基本思路，法律責(zé)任設(shè)置的重要目的在于盡可能地降低私人間達(dá)成協(xié)議的成本，使施害人強(qiáng)加于他人的成本內(nèi)部化，實(shí)現(xiàn)社會(huì)成本最小化。相應(yīng)地，這種內(nèi)部化不限于侵害人和受害人之間，也包括(潛在)侵害人之間。即便網(wǎng)絡(luò)平臺(tái)承擔(dān)了個(gè)人信息保護(hù)的首要責(zé)任，也不應(yīng)割裂二者的共同目標(biāo)和共同責(zé)任，而應(yīng)該將個(gè)人信息安全作為二者的共同目標(biāo)，建立共同的個(gè)人信息保護(hù)意識(shí)和機(jī)制，使二者的個(gè)人信息保護(hù)責(zé)任內(nèi)部化。相較于國家對網(wǎng)絡(luò)平臺(tái)的監(jiān)管，商家是潛在侵害人，極少會(huì)在不考慮自身侵害收益小于侵害成本的情況下再行侵害行為。

(二)借鑒侵權(quán)法經(jīng)濟(jì)學(xué)模型分析網(wǎng)絡(luò)平臺(tái)和商家個(gè)人信息保護(hù)責(zé)任內(nèi)部化的必要性

我國《個(gè)人信息保護(hù)法》目前對個(gè)人信息保護(hù)主要采取個(gè)人權(quán)益保障路徑，與侵權(quán)法有著較多的相似性，這意味著可以借鑒侵權(quán)法經(jīng)濟(jì)學(xué)模型加以分析。借鑒侵權(quán)法經(jīng)濟(jì)學(xué)模型發(fā)現(xiàn)，隨著網(wǎng)絡(luò)平臺(tái)在個(gè)人信息保護(hù)責(zé)任履行方面承擔(dān)得更多，網(wǎng)絡(luò)平臺(tái)的責(zé)任承擔(dān)成本自然隨之增多，個(gè)人信息受侵犯的概率則會(huì)降低。這一原理同樣適用于商家。在這一模型下，商家一方面希望網(wǎng)絡(luò)平臺(tái)的個(gè)人信息保護(hù)責(zé)任承擔(dān)更多以減輕自己的責(zé)任，另一方面又擔(dān)憂網(wǎng)絡(luò)平臺(tái)制定規(guī)則太多，監(jiān)督過頻，影響自己實(shí)現(xiàn)利潤最大化的目標(biāo)。在此情況下，商家在某種程度上會(huì)對網(wǎng)絡(luò)平臺(tái)個(gè)人信息保護(hù)責(zé)任承擔(dān)成本“搭便車”。當(dāng)然，如果網(wǎng)絡(luò)平臺(tái)對商家監(jiān)管過于嚴(yán)苛，只要尋租帶來的收益足夠大，那么商家很有可能進(jìn)行尋租。

要解決上述矛盾，需要將網(wǎng)絡(luò)平臺(tái)和商家個(gè)人信息保護(hù)責(zé)任內(nèi)部化，使二者在一定程度上成為同一當(dāng)事人，“搭便車”問題和尋租問題就此得到解決。

(三)網(wǎng)絡(luò)平臺(tái)和商家成為共同個(gè)人信息處理者并利用數(shù)字化技術(shù)

由上述分析可知，網(wǎng)絡(luò)平臺(tái)和商家實(shí)現(xiàn)個(gè)人信息保護(hù)責(zé)任內(nèi)部化，便可消除“搭便車”現(xiàn)象和尋租現(xiàn)象。這意味著需要法律利用合理的法定責(zé)任分配機(jī)制、建立共同責(zé)任意識(shí)、通過有效的信息傳遞機(jī)制，盡可能地使二者行為一致，實(shí)現(xiàn)網(wǎng)絡(luò)平臺(tái)和商戶法律責(zé)任內(nèi)部化。雖然我國《個(gè)人信息保護(hù)法》第51條、第54條、第55條和第57條分別規(guī)定了個(gè)人信息處理者均需遵守的基本合規(guī)義務(wù)和定期個(gè)人信息保護(hù)影響評估的義務(wù)，第58條有特色地新增了對大型平臺(tái)的額外義務(wù)，但對于網(wǎng)絡(luò)平臺(tái)和商家的個(gè)人信息保護(hù)責(zé)任未加以明確區(qū)分，對二者究竟呈何種關(guān)系表述不詳。網(wǎng)絡(luò)平臺(tái)和商家建立共同責(zé)任意識(shí)有助于實(shí)現(xiàn)二者責(zé)任內(nèi)部化，因此網(wǎng)絡(luò)平臺(tái)和商家在個(gè)人信息保護(hù)責(zé)任履行上應(yīng)成為共同個(gè)人信息處理者，適用確認(rèn)了共同個(gè)人信息處理者必要連帶責(zé)任機(jī)制的《個(gè)人信息保護(hù)法》第20條。當(dāng)然，要防止不同地方差異化地出臺(tái)關(guān)于網(wǎng)絡(luò)平臺(tái)個(gè)人信息保護(hù)責(zé)任的一些規(guī)定而增加網(wǎng)絡(luò)平臺(tái)成本。

進(jìn)入數(shù)字經(jīng)濟(jì)時(shí)代，各種先進(jìn)科技可以充分為網(wǎng)絡(luò)平臺(tái)與商家個(gè)人信息保護(hù)責(zé)任內(nèi)部化進(jìn)行新賦能，比如網(wǎng)絡(luò)平臺(tái)可以有效地利用區(qū)塊鏈技術(shù)監(jiān)督商家個(gè)人信息保護(hù)責(zé)任的履行情況，因?yàn)閰^(qū)塊鏈技術(shù)不僅因其非對稱密碼機(jī)制可有效保護(hù)個(gè)人信息，還能夠存儲(chǔ)、保留所有信息，透明、可追溯、不可更改，有利于監(jiān)管者追溯、核查、驗(yàn)證信息。網(wǎng)絡(luò)平臺(tái)利用各類數(shù)字化技術(shù)對商家個(gè)人信息保護(hù)履行情況的記錄，不僅可以作為針對違法商家停止提供服務(wù)的依據(jù)，也可為撰寫個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告乃至可視化與可傳導(dǎo)的聲譽(yù)懲戒提供證據(jù)，加強(qiáng)正當(dāng)性支撐，更可以實(shí)現(xiàn)二者個(gè)人信息保護(hù)責(zé)任內(nèi)化，以更低成本維護(hù)個(gè)人信息安全。

五、威懾理論與網(wǎng)絡(luò)平臺(tái)個(gè)人信息保護(hù)責(zé)任制度的優(yōu)化

波斯納認(rèn)為，判斷一個(gè)法律規(guī)則的效率，其正確的態(tài)度是向?qū)砜础催@種規(guī)則是否可以產(chǎn)生讓當(dāng)事人在將來有效率作為的激勵(lì)，合理而適度的威懾水平顯得尤為關(guān)鍵?，F(xiàn)代意義上的威懾理論由加里·貝克爾在《犯罪與刑罰：一種經(jīng)濟(jì)學(xué)進(jìn)路》一文中首次提出并系統(tǒng)性闡釋。他認(rèn)為，罪犯是理性的并且針對激勵(lì)改變自己的行為，就像那些不犯罪的人一樣，社會(huì)必須既考慮阻止犯罪發(fā)生的費(fèi)用，又考慮犯罪本身帶來的直接危害，以決定“概率”和“嚴(yán)厲性”的最佳總量，此類分析很像對侵權(quán)和意外傷害所做的分析。這意味著，威懾理論的應(yīng)用不限于刑法領(lǐng)域。波斯納認(rèn)為從經(jīng)濟(jì)學(xué)的觀點(diǎn)看，法律的基本功能是改變激勵(lì)，法律的經(jīng)濟(jì)理論是一種將法律看作威懾力的理論。因此，威懾理論具有廣泛的應(yīng)用空間。通過沙威、萊威特等學(xué)者的努力，威懾理論的應(yīng)用早就不再限于刑法領(lǐng)域，比如世界上大多數(shù)國家均以威懾理論為指導(dǎo)設(shè)定反壟斷法律責(zé)任制度。相應(yīng)地，威懾理論可以指導(dǎo)網(wǎng)絡(luò)平臺(tái)個(gè)人信息保護(hù)責(zé)任制度的優(yōu)化。

威懾理論的基本邏輯在于，各種不同水平的懲罰實(shí)際上確定了不同違法行為的“價(jià)格”，要實(shí)施各種違法行為必須付出相應(yīng)的“價(jià)格”，高于違法需求的價(jià)格將有效地抑制潛在違法行為者的違法需求。根據(jù)威懾理論，隨著威懾水平的提高，個(gè)人信息保護(hù)責(zé)任履行得越到位，個(gè)人信息受侵害帶來的社會(huì)凈損失就越小，同時(shí)社會(huì)凈損失的減少速度也會(huì)下降，即社會(huì)凈收益增加速度也在上升，不過，網(wǎng)絡(luò)平臺(tái)履行個(gè)人信息保護(hù)責(zé)任的預(yù)防成本也越高，最優(yōu)威懾水平使個(gè)人信息受侵犯帶來的社會(huì)凈損失和預(yù)防個(gè)人信息受侵犯的社會(huì)成本之和最小。據(jù)此，要實(shí)現(xiàn)對網(wǎng)絡(luò)平臺(tái)違法行為(此處特指違反《個(gè)人信息保護(hù)法》的行為，下同)制裁的最優(yōu)威懾水平，一方面需要適當(dāng)提高其預(yù)防成本，另一方面需要適當(dāng)降低個(gè)人信息受侵害帶來的社會(huì)凈損失，前者可以通過加強(qiáng)網(wǎng)絡(luò)平臺(tái)個(gè)人信息保護(hù)合規(guī)激勵(lì)機(jī)制的建設(shè)加以實(shí)現(xiàn)，后者可以通過提高對網(wǎng)絡(luò)平臺(tái)違法行為制裁的確定性加以實(shí)現(xiàn)。

(一)加強(qiáng)網(wǎng)絡(luò)平臺(tái)個(gè)人信息保護(hù)合規(guī)激勵(lì)機(jī)制的建設(shè)

威懾理論非常簡單地將從事違法侵權(quán)行為概括為違法侵權(quán)行為的預(yù)期收益超過其預(yù)期成本。由此可見“預(yù)期”在威懾理論中的重要地位。事實(shí)上，最優(yōu)威懾水平的實(shí)現(xiàn)不僅取決于外部制裁，更取決于內(nèi)部預(yù)期，因?yàn)橥獠恐撇眯Ч膶?shí)現(xiàn)還需要通過影響內(nèi)部預(yù)期的方式。內(nèi)部預(yù)期主要指向網(wǎng)絡(luò)平臺(tái)對個(gè)人信息保護(hù)責(zé)任認(rèn)知的主觀方面，比如網(wǎng)絡(luò)平臺(tái)對個(gè)人信息保護(hù)重要性和必要性的認(rèn)識(shí)、對商家個(gè)人信息保護(hù)責(zé)任監(jiān)督與否的態(tài)度、制裁可能性的判斷等。之所以考慮這點(diǎn)，主要是因?yàn)樵跀?shù)字經(jīng)濟(jì)和網(wǎng)絡(luò)時(shí)代，網(wǎng)絡(luò)個(gè)人信息安全問題傳播速度快、社會(huì)關(guān)注度高，網(wǎng)絡(luò)平臺(tái)內(nèi)部預(yù)期構(gòu)成某種無形的成本或收益。我國《個(gè)人信息保護(hù)法》第51條、第54條、第56條、第57條要求個(gè)人信息處理者加強(qiáng)內(nèi)部制度建設(shè)、進(jìn)行合規(guī)審計(jì)和個(gè)人信息保護(hù)影響評估，這樣可以有效提高作為個(gè)人信息處理者的網(wǎng)絡(luò)平臺(tái)和商家的內(nèi)部預(yù)期。提高網(wǎng)絡(luò)平臺(tái)內(nèi)部預(yù)期需要重點(diǎn)建設(shè)網(wǎng)絡(luò)平臺(tái)個(gè)人信息保護(hù)合規(guī)制度，因?yàn)閭€(gè)人信息保護(hù)合規(guī)制度是反映網(wǎng)絡(luò)平臺(tái)內(nèi)部預(yù)期的基礎(chǔ)和有效載體。

雖然我國《個(gè)人信息保護(hù)法》第58條明確要求大型網(wǎng)絡(luò)平臺(tái)建立健全個(gè)人信息保護(hù)合規(guī)制度體系，但其難以得到全面且有效的實(shí)施，這是因?yàn)槲覈秱€(gè)人信息保護(hù)法》并未強(qiáng)制要求所有網(wǎng)絡(luò)平臺(tái)建立健全個(gè)人信息保護(hù)合規(guī)制度體系，而且個(gè)人信息保護(hù)合規(guī)制度體系的建設(shè)成本不菲。不過，這些原因并不能阻礙建立健全個(gè)人信息保護(hù)合規(guī)制度。按照法律經(jīng)濟(jì)學(xué)的思路，只要給予網(wǎng)絡(luò)平臺(tái)建立健全個(gè)人信息保護(hù)合規(guī)制度足夠的激勵(lì)，廣大網(wǎng)絡(luò)平臺(tái)即會(huì)自愿建立健全個(gè)人信息保護(hù)合規(guī)制度。通過對個(gè)人信息保護(hù)合規(guī)制度作類似激勵(lì)機(jī)制設(shè)計(jì)，可以有效提高網(wǎng)絡(luò)平臺(tái)切實(shí)履行個(gè)人信息保護(hù)責(zé)任的內(nèi)部預(yù)期，助力實(shí)現(xiàn)對網(wǎng)絡(luò)平臺(tái)違法行為制裁的最優(yōu)威懾水平，這也是我國網(wǎng)絡(luò)平臺(tái)個(gè)人信息保護(hù)責(zé)任制度重要的優(yōu)化方向。

(二)提高對網(wǎng)絡(luò)平臺(tái)違法行為制裁的確定性

按照社會(huì)水平確定最優(yōu)的威懾水平后，根據(jù)威懾理論，對違法行為的威懾主要是通過作用于預(yù)期制裁成本來實(shí)現(xiàn)，預(yù)期制裁的成本相當(dāng)于制裁嚴(yán)厲程度與制裁概率。確定對網(wǎng)絡(luò)平臺(tái)個(gè)人信息保護(hù)責(zé)任的最優(yōu)威懾水平，取決于《個(gè)人信息保護(hù)法》《電子商務(wù)法》《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全法》等法律規(guī)范中的法律責(zé)任配置、執(zhí)法概率、處罰強(qiáng)度等因素。在經(jīng)濟(jì)學(xué)的邏輯中，若對大規(guī)模侵害個(gè)人信息的行為罰款太少，例如遠(yuǎn)遠(yuǎn)低于其違法所得，那么將會(huì)進(jìn)一步助長違法行為，導(dǎo)致大規(guī)模侵害個(gè)人信息的案件頻繁發(fā)生?；诖?，我國《個(gè)人信息保護(hù)法》第七章規(guī)定了巨額罰款、信用懲戒、職業(yè)禁止等多種形式的法律責(zé)任，已然達(dá)到較為嚴(yán)厲的制裁程度。然而，一些經(jīng)驗(yàn)研究表明，懲罰的確定性比懲罰的嚴(yán)厲程度更加重要。這意味著，我國個(gè)人信息保護(hù)法在實(shí)施過程中，一方面要在我國《個(gè)人信息保護(hù)法》所建立的法律責(zé)任體的基礎(chǔ)上，進(jìn)一步細(xì)化分級(jí)別、分層次、重實(shí)效的處罰體系，尤其細(xì)化不同罰款數(shù)額和違法行為危害程度的對應(yīng)性，提高制裁適用的確定性；另一方面要鼓勵(lì)利用數(shù)字化技術(shù)、人工智能、5G等新型科技手段提高制裁實(shí)施(概率)的確定性。

六、結(jié)論

在數(shù)字經(jīng)濟(jì)時(shí)代，雖然《個(gè)人信息保護(hù)法》較為全面地規(guī)定了個(gè)人信息處理者的義務(wù)，但對于網(wǎng)絡(luò)平臺(tái)與商家就個(gè)人信息保護(hù)所形成的法律關(guān)系表述不詳，難以從根本上厘清二者個(gè)人信息保護(hù)責(zé)任的邊界。此外，約束網(wǎng)絡(luò)平臺(tái)個(gè)人信息處理的主要機(jī)制——告知同意機(jī)制日益流于形式、《個(gè)人信息保護(hù)法》規(guī)定的個(gè)人信息保護(hù)手段威懾力不足，不利于《個(gè)人信息保護(hù)法》的有效實(shí)施。根據(jù)科斯定理，網(wǎng)絡(luò)平臺(tái)因其能夠以相對較低的成本履行個(gè)人信息保護(hù)責(zé)任，宜成為個(gè)人信息保護(hù)責(zé)任的主要承擔(dān)者。不過，為防止網(wǎng)絡(luò)平臺(tái)和商家之間的推諉，借鑒侵權(quán)法經(jīng)濟(jì)學(xué)模型，網(wǎng)絡(luò)平臺(tái)和商家個(gè)人信息保護(hù)責(zé)任需要實(shí)現(xiàn)內(nèi)部化，共同承擔(dān)個(gè)人信息保護(hù)責(zé)任，并被視為共同個(gè)人信息處理者，適用《個(gè)人信息保護(hù)法》第20條的必要連帶責(zé)任規(guī)則?；谕乩碚摚覈W(wǎng)絡(luò)平臺(tái)個(gè)人信息保護(hù)責(zé)任制度一方面需要加強(qiáng)網(wǎng)絡(luò)平臺(tái)個(gè)人信息保護(hù)合規(guī)激勵(lì)機(jī)制的建設(shè)，另一方面則需提高對網(wǎng)絡(luò)平臺(tái)違法行為制裁的確定性，合力實(shí)現(xiàn)對網(wǎng)絡(luò)平臺(tái)違法行為的最優(yōu)威懾水平，進(jìn)一步構(gòu)建激勵(lì)相容的個(gè)人數(shù)據(jù)治理體系。