個人數(shù)據(jù)保護的合作治理模式研究

【摘要】數(shù)據(jù)經(jīng)濟的背后是信息處理、利用方式的革命。其中，個人信息的處理既可能提升社會合作的效率，也可能限制個人的發(fā)展、影響社會公平正義，需要建立兼顧各種價值的治理框架。由于越來越多的社會活動建立在對個人數(shù)據(jù)的處理之上，一方面，借助個人數(shù)據(jù)的治理規(guī)則，可以撬動大量社會問題的解決；另一方面，也導致個人數(shù)據(jù)治理規(guī)則面臨更為復雜的任務，需要平衡大量相互沖突的利益。因此，我們需要發(fā)展個人數(shù)據(jù)的合作治理模式，動員企業(yè)、產(chǎn)業(yè)組織、行業(yè)協(xié)會、學術機構等社會組織參與到規(guī)則制定和執(zhí)行過程中。特別需要重視行業(yè)行為準則、基于市場邏輯的技術標準和企業(yè)內部治理架構等方面的功能。

【關鍵詞】個人數(shù)據(jù)? 合作治理? 行業(yè)準則? 技術標準? 內部治理

【中圖分類號】D923? ? ? ? ? ? ? ? ? ? ? ? ? ? ?【文獻標識碼】A

【DOI】10.16619/j.cnki.rmltxsqy.2023.06.003

數(shù)據(jù)經(jīng)濟與個人數(shù)據(jù)保護

我們日漸進入一切都數(shù)據(jù)化的時代，越來越多活動開始以數(shù)據(jù)的處理為基礎而展開，數(shù)據(jù)經(jīng)濟因此蓬勃發(fā)展。數(shù)據(jù)的價值在于其承載的信息，正是因為數(shù)據(jù)化革命性地降低了信息獲取、復制、傳播、利用的成本，才形成了以數(shù)據(jù)處理為基礎來組織生產(chǎn)、流通、消費和社會服務管理的社會動力。由此，數(shù)據(jù)經(jīng)濟的背后是信息記錄、傳播、利用和解釋方式的革命性變化。

信息是人與人之間交互的基本介質，數(shù)據(jù)革命因而帶來了兩個方向上的深遠影響：一方面，推動數(shù)據(jù)流動利用的意義開始凸顯。由于對相關信息的可及性始終是生產(chǎn)、生活和社會治理有效開展的結構性條件，推動記載信息的數(shù)據(jù)有效流通利用，釋放價值紅利成為重要的政策目標；另一方面，信息的利用又有超越經(jīng)濟意義的維度需要考慮，例如，國家安全、社會的價值觀念等。這也帶來了完善治理體系，保障安全發(fā)展的需求。實際上，這也是近期《中共中央 國務院關于構建數(shù)據(jù)基礎制度更好發(fā)揮數(shù)據(jù)要素作用的意見》（以下簡稱《構建數(shù)據(jù)基礎制度意見》）的兩個基本關切。[1]

在諸多治理需求中，對承載個人信息的數(shù)據(jù)（以下簡稱“個人數(shù)據(jù)”）的治理具有重要地位，也是與人民群眾直接相關的議題。這些數(shù)據(jù)是個人身份在數(shù)字空間的投射，在個體的數(shù)字化生活與實體生活不斷嵌合、社會也越來越依賴數(shù)字空間進行交互的趨勢下，這些數(shù)據(jù)的處理會形成他人、社會對個體的定義?；谶@些定義的推薦商品服務、分配工作機會、推送新聞信息等活動，又會進一步影響個體的發(fā)展空間，塑造個體的認知、偏好、觀念。因此，個人數(shù)據(jù)保護的意義在于，在數(shù)字化生存中維護人的尊嚴。這種尊嚴的維護既是個體層面的自我實現(xiàn)的前提，也是確保整個社會公平正義的基礎。正因如此，建立健全個人數(shù)據(jù)的治理機制，規(guī)范個人信息處理活動，促進個人信息合理利用也是《構建數(shù)據(jù)基礎制度意見》重點關注的議題之一。[2]

與此同時，個人數(shù)據(jù)保護并非一味限制這些數(shù)據(jù)處理活動，其規(guī)則設計亦必須理解當下數(shù)據(jù)經(jīng)濟的邏輯。個人數(shù)據(jù)是“承載個人信息”的數(shù)據(jù)，而非“歸個人所有”的數(shù)據(jù)。而且，與個人隱私不同，個人信息是非常寬泛的，凡是與已識別或者可識別的自然人有關的各種信息都包括在內。對這些個人信息的利用，在很多情況下是人與人之間有效交往、合作的基本前提：企業(yè)雇傭員工、醫(yī)生開展治療、媒體進行報道、學校進行教育等活動都需要掌握相關主體的個人信息。數(shù)據(jù)經(jīng)濟的內在邏輯也是便利這種信息利用，從而支撐起基于這些信息的社會合作。[3]

由于個人數(shù)據(jù)的這些特點及其社會功能，個體無法也不應當享有對涉及其信息的數(shù)據(jù)的絕對化的控制。實際上，沒有人是一座孤島，人只有在與他人的交往中才能發(fā)現(xiàn)和實現(xiàn)自我，這種交往必然伴隨個人數(shù)據(jù)的流動。保護個體的自我實現(xiàn)也并非要求個體完全免于社會影響，我們每個人都被社會環(huán)境所塑造。

因此，個人數(shù)據(jù)保護的規(guī)則設計需要契合數(shù)據(jù)經(jīng)濟的內在邏輯。數(shù)字時代的個人數(shù)據(jù)治理需要尋求與傳統(tǒng)隱私保護不同的思路：后者是禁止特定信息的披露行為，截斷相應的信息流，讓個人的這部分信息在公共視野中模糊化，為個體創(chuàng)造一個隱秘的、無法被其他主體窺探的私密空間；而個人數(shù)據(jù)的治理并非旨在截斷信息流通，而是要求相關主體基于合法目的、公平地處理個人數(shù)據(jù)，確保處理活動是透明的和負責任的，確保受到影響的個體能夠參與到處理活動中來形成制衡。[4]在這個意義上，個人數(shù)據(jù)保護意在塑造一個能夠獲得社會成員信任的個人數(shù)據(jù)流通、利用環(huán)境，從而促進而非限制個人數(shù)據(jù)的合理利用，進而支撐數(shù)據(jù)經(jīng)濟的發(fā)展。

數(shù)字空間“所有事物之法”的機遇與挑戰(zhàn)

早在20世紀中期，伴隨信息通信技術的發(fā)展，強化個人數(shù)據(jù)保護便被提上日程。但是，在技術普及、演進的不同階段，技術對社會交往關系的影響、與既有社會生產(chǎn)機制的結合方式不盡相同，規(guī)則設計面對的問題亦有巨大的差異。[5]在早期，個人數(shù)據(jù)處理僅限于一些具體環(huán)節(jié)，是相對輔助、次要的。例如，無論是經(jīng)營活動還是政府管理，很早便開始對客戶（管理相對人）的基本信息進行電子記錄。然而，在當下，互聯(lián)網(wǎng)和數(shù)字技術深入嵌套進社會生活的方方面面、管理流程的各個環(huán)節(jié)，深刻改造了我們的生產(chǎn)生活環(huán)境，重塑了社會交互的場域。在此背景下，社會對個人數(shù)據(jù)的處理利用無論在規(guī)模上，還是在內在動力機制上，已經(jīng)完全不同。

由于互聯(lián)網(wǎng)和數(shù)字技術以數(shù)據(jù)的處理為基礎，我們已經(jīng)進入一個“一切都被數(shù)據(jù)化的時代”，各行各業(yè)的活動逐漸以數(shù)據(jù)處理為基本的決策基礎，其中，大量數(shù)據(jù)又是個人數(shù)據(jù)：在經(jīng)濟活動方面，基于個人行為數(shù)據(jù)的用戶畫像日漸普及，以期更有效率地組織生產(chǎn)，更精確地推薦商品、服務和信息，提升供需匹配的效率；在社會管理服務方面，數(shù)字政府建設已成國家戰(zhàn)略，以數(shù)據(jù)賦能決策和管理服務成為日漸強化的趨勢，[6]而以“數(shù)據(jù)多跑路，百姓少跑腿”為目標的一站式政務服務，其基礎就是體系性地處理管理和服務對象的個人數(shù)據(jù)。

這一趨勢背后有著深刻的經(jīng)濟邏輯，但也意味著個人數(shù)據(jù)保護規(guī)則的適用范圍越來越寬泛。個人數(shù)據(jù)保護的法律規(guī)則將影響極其廣泛的活動，面臨著成為數(shù)字空間“所有事物之法”（law of everything）的趨勢。[7]在此背景下，個人數(shù)據(jù)保護面臨前所未有的機遇。

個人數(shù)據(jù)保護被賦予越來越多的功能。由于越來越多的活動建立在個人數(shù)據(jù)處理基礎之上，以個人數(shù)據(jù)處理活動的規(guī)范為連接點，撬動起更多社會問題的解決，成為法律日漸關注的議題。由此，個人數(shù)據(jù)保護制度承載的功能日漸拓展。

在早期，個人數(shù)據(jù)保護的基本功能在于確保個體能夠參與到處理活動中來，使其能夠對掌握數(shù)據(jù)的處理者的“權力”形成制衡，從而維護自身的權利。而且，其保護的方法與思路也沒有脫離傳統(tǒng)隱私保護的窠臼，甚至，理論層面也有將其概括為信息隱私保護的觀點（informational privacy）[8]。

當下，技術環(huán)境、對個人數(shù)據(jù)利用的社會動力機制已經(jīng)發(fā)生革命性變化，個人數(shù)據(jù)保護承載的功能也就日漸復雜，越來越多的價值考量開始在個人數(shù)據(jù)保護中占據(jù)重要的位置。特別是，個人數(shù)據(jù)保護的功能已經(jīng)不局限于維護個體層面的權益，借助個人信息保護規(guī)則來維護整個社會經(jīng)濟權力平衡、文化多元和公共對話的有效性受到越來越多的關注。[9]例如，個人數(shù)據(jù)保護規(guī)則已經(jīng)被期待在遏制經(jīng)濟權力集中、防止壟斷方面發(fā)揮作用。[10]當下，少數(shù)大型數(shù)字平臺，可以憑借其占據(jù)的互聯(lián)網(wǎng)交互樞紐位置而獲得大量的用戶個人數(shù)據(jù)。借助這些數(shù)據(jù)，大型平臺得以更精確地了解用戶偏好從而持續(xù)性地改進產(chǎn)品和服務，也能夠幫助其商家更精準地投放廣告，還導致用戶遷移到其他服務提供者的轉換成本高昂，從而形成了數(shù)字經(jīng)濟中最巨大的市場壁壘。[11]因此，當下幾乎所有關于數(shù)字平臺權力來源的研究，都指出這種通過掌握個人數(shù)據(jù)而獲得經(jīng)濟權力的行為是競爭政策需要關注的焦點。[12]又如，當前理論界和實務界日漸關注人工智能和算法的法律規(guī)制，由于這些產(chǎn)品或者服務大多建立在對個人數(shù)據(jù)進行處理分析的基礎上，因此，不少國家和地區(qū)的政策制定者都在探討通過個人數(shù)據(jù)保護規(guī)則撬動這些領域的治理。[13]

由此，個人數(shù)據(jù)保護法律規(guī)則發(fā)展的趨勢是：不停留于個人數(shù)據(jù)保護本身，而是借助個人數(shù)據(jù)保護，將法律層面保護的諸多價值在數(shù)字空間中重申和強化。對此，一些域外學者提出，要理解個人數(shù)據(jù)保護的賦能功能（data protection's enabling function），即它對其他基本權利和自由等價值的意義。[14]實際上，《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）強調“根據(jù)憲法，制定本法”，本身也意味著立法者意識到個人數(shù)據(jù)保護對憲法諸多價值在數(shù)字空間實現(xiàn)具有重大意義。[15]

個人數(shù)據(jù)保護需要兼顧、平衡的利益增多。伴隨著越來越多的社會生活領域被數(shù)字化，個人數(shù)據(jù)保護的規(guī)則覆蓋到越來越多的社會活動，個人數(shù)據(jù)保護的價值也就會與該領域需要考慮的其他價值產(chǎn)生競合甚至緊張。這就要求，個人數(shù)據(jù)保護規(guī)則的設計需要更加平衡，更廣泛地思考個人數(shù)據(jù)保護對相關活動的影響，為具體情境下不同價值的協(xié)調提供空間。[16]例如，在自動駕駛的情況下，為了讓算法更廣泛地學習人類駕駛的習慣，也為了在發(fā)生事故時能夠回溯事故原因并改進，可能客觀上需要非常深入、系統(tǒng)地記錄駕駛者的行為數(shù)據(jù)。此時，個人數(shù)據(jù)保護的規(guī)則就會適用于以前不會適用的場景。但是，在這種場景下，從自動駕駛技術的安全需求出發(fā)，可能需要盡可能多地記錄駕駛者的個人數(shù)據(jù)，而從個人數(shù)據(jù)保護出發(fā)，則可能需要盡量限制這類數(shù)據(jù)的處理范圍，這就會產(chǎn)生緊張。

同樣的問題也出現(xiàn)在生物醫(yī)學研究領域。這一領域歷來需要廣泛地收集和研究受試者的個人數(shù)據(jù)，其中還包括一些涉及極為敏感信息的數(shù)據(jù)。當個人數(shù)據(jù)保護規(guī)則適用到這一領域時，也會產(chǎn)生大量相互調試的需求。例如，個人數(shù)據(jù)保護要遵守目的限制原則，即預先形成明確、合理的數(shù)據(jù)處理目的，并在與目的直接相關的范圍內收集數(shù)據(jù)。問題在于，科學研究本身就是探索未知的過程，它可能需要在不確定是否有用的情況下預先收集相應的數(shù)據(jù)；一些新的發(fā)現(xiàn)還會導致對已經(jīng)收集的數(shù)據(jù)做目的外的利用。由于科學研究自由亦是我國憲法明確的基本權利，這意味著個人數(shù)據(jù)保護也需要與這一價值進行平衡。[17]

上述問題的根源在于，在前數(shù)據(jù)化的時代，每個社會生活領域往往只需要考慮一些特定的社會價值和法律權益，法律規(guī)則也圍繞著這些價值和權益而設計。但是，當一切都數(shù)據(jù)化之后，個人數(shù)據(jù)保護的規(guī)則也會滲透到這些領域，與既有的規(guī)則及其背后保護的價值、權益產(chǎn)生疊加。因此，個人數(shù)據(jù)的保護規(guī)則就必須能夠“公平平衡”各個方面的考慮，防止為了某個單一目的而侵犯其他價值和權益，這也增加了個人數(shù)據(jù)保護的規(guī)則設計的復雜性。

原則性的立法與合作治理的必要

上述發(fā)展給個人數(shù)據(jù)保護的規(guī)則設計帶來了前所未有的復雜性。一方面，個人數(shù)據(jù)保護功能的拓展要求對個人數(shù)據(jù)的處理設計更為實質的約束。在早期單一功能下，保護的方法主要是賦予個體一些程序性的權利。例如，《全國人民代表大會常務委員會關于加強網(wǎng)絡信息保護的決定》《中華人民共和國網(wǎng)絡安全法》對個人信息的保護高度依賴對個體的告知并取得同意。[18]這些程序性的權利指向過度收集、使用不準確的數(shù)據(jù)等，但并不表達關于社會爭議的實質性標準，即為了哪些目的、采取何種方式來處理數(shù)據(jù)是可接受的。[19]面對個人數(shù)據(jù)保護功能的增加，這種隱含而非直接的規(guī)制方式已經(jīng)越來越不可持續(xù)，我們需要從更實質的維度來定義何為公平的數(shù)據(jù)處理生態(tài)，探索恰當?shù)囊?guī)制方案，塑造相應的秩序。另一方面，個人數(shù)據(jù)保護需要平衡的價值日漸增多，個人數(shù)據(jù)的處理活動的合法性也就越來越依賴于對具體場景的判斷。只有當處理活動違反了社會關于特定場景下應當如何使用個人信息的倫理共識時，才是應當被干預的，對此，有學者將其概括為侵犯了場景正直（contextual integrity）。[20]由于這種判斷取決于具體行業(yè)、具體個案中的社會條件，這增加了從統(tǒng)一角度設計保護規(guī)則的難度。

為了回應這種復雜性，我國《個人信息保護法》采取了一種原則主義的進路。它雖然著眼于設計實質性的要求，但大量的條款是原則性、甚至是愿景性的。例如，要求處理個人信息應當遵循合法、正當、必要和誠信原則；[21]自動化決策應當保證決策的透明度和結果公平、公正。[22]如何滿足這些法律要求實際上是一個范圍和程度的問題，對于具體處理活動是否合法，法律本身難以提供一個是非分明的答案。

這種原則主義的規(guī)范方式有其合理性。因為，不過分強調規(guī)則的具體化，也就意味著不預設明確的結論，這為探索一些新興問題的解決方案提供了靈活性，也為具體情境中不同價值權衡提供一個更具包容性的平臺。[23]它意味著個人數(shù)據(jù)處理者可以根據(jù)具體的情境，特別衡量處理活動所追求合法利益與處理活動造成的風險，從而校準他們的法律義務。[24]這既有利于將個人數(shù)據(jù)保護覆蓋到一些新的議題，也有利于防止個人數(shù)據(jù)保護過于僵化而對數(shù)據(jù)經(jīng)濟的發(fā)展形成不必要的障礙。

當然，這種基于原則的規(guī)制也意味著，個人數(shù)據(jù)的保護難以通過傳統(tǒng)自上而下的命令-控制體系來執(zhí)行，而需要發(fā)展出一套監(jiān)管部門與社會、行業(yè)、被監(jiān)管企業(yè)合作治理的模式。實際上，原則性的規(guī)定本身就意味著立法者是希望社會、行業(yè)、企業(yè)自行發(fā)現(xiàn)如何最好地執(zhí)行這些原則，這些規(guī)定也并非包含了所有的答案，不可能通過一個清單式樣的合規(guī)要求來保證完美的合規(guī)。無論是監(jiān)管者還是監(jiān)管對象都需要將個人數(shù)據(jù)保護理解為持續(xù)的風險評估過程，進而形成一種合作關系，來確定法律要求的實質是什么以及如何執(zhí)行。這意味著監(jiān)管對象有一定的空間來試錯，[25]而監(jiān)管者需要更加關注監(jiān)管對象是否展現(xiàn)出執(zhí)行這些原則的負責任行動，而不是拘泥于一些細節(jié)問題。

實際上，學術界一直有呼吁，在政府規(guī)制任務日漸拓展的同時，我們需要超越傳統(tǒng)單方命令-控制體系，創(chuàng)造一種兼具強制與合作的方法，增強法律執(zhí)行的效果。[26]而信息時代的特殊環(huán)境，將這種改革的需求更加凸顯出來，行政規(guī)制變得更加非正式并更加依賴私人部門的投入。[27]正因如此，《構建數(shù)據(jù)基礎制度意見》亦提出“構建政府、企業(yè)、社會多方協(xié)同的治理模式”。在個人數(shù)據(jù)保護領域推動這種合作治理的必要性具體如下。

其一，在一些新興領域，需要社會、行業(yè)和企業(yè)的投入來探索法律的實質內涵。伴隨承載功能的增多，個人數(shù)據(jù)保護實際上將一些還處于理論爭議較多的前沿問題納入了規(guī)制視野。但是，這些活動要么是以前所未有的新型方式來影響法律所保護的權益；要么并不直接影響相關法律權益，而是對其得以展開的基礎環(huán)境產(chǎn)生影響。[28]在此背景下，法律難以提前設想所有可能的沖突，監(jiān)管部門也不可能根據(jù)既往的經(jīng)驗直接得出監(jiān)管方案。例如，基于個人數(shù)據(jù)的算法推薦新聞信息、商品和服務已經(jīng)引發(fā)了關于信息繭房、操縱個體認知等潛在的擔憂。[29]但是，個性化推薦技術應用亦有其深刻的經(jīng)濟邏輯。我們已經(jīng)經(jīng)歷了從組織式社會到網(wǎng)絡式社會的典范變遷，商品、服務和內容的提供越來越分散，由于個體對信息的接納能力始終是有限的，注意力日漸成為一種稀缺的資源。[30]在此背景下，我們必須發(fā)展出相應的技術系統(tǒng)和商業(yè)模式來減少信息定向的成本，提升供需匹配的效率。面對這種“兩難”，無論是實務界還是理論界，仍然在評價相關影響。因此，法律只能對相關個人數(shù)據(jù)提出了公平、公正等原則性要求，而如何在具體治理活動中平衡相互競爭的利益，顯然需要更加熟悉相關技術、產(chǎn)業(yè)生態(tài)的行業(yè)組織和被規(guī)制對象的參與和投入。

其二，個人數(shù)據(jù)保護的原則在不同領域的具體化，也需要行業(yè)和企業(yè)的參與，以確保治理方案契合事物的本質。當代社會，無論是技術的迭代還是社會交互方式的演進，其變化的速度已經(jīng)越來越快。因此，立法往往只能提供一種框架性的秩序安排。在這個意義上，借助寬泛的原則來表述立法意圖解決的問題，并不一定會產(chǎn)生相應的不確定性。如果在相關執(zhí)法、司法和行業(yè)自我規(guī)范的實踐中，逐步形成對于相關立法含義的共識性理解的話，以這些原則為基礎就可以逐步發(fā)展出一套有操作性的規(guī)則體系。[31]但是，這樣的共識性理解更容易在一些具體的部門領域范圍內形成。因為，正是在這些具體領域中，監(jiān)管者、被監(jiān)管者、行業(yè)性的組織、相關學術機構等有機會形成有緊密連接的社區(qū)，從而不斷累積共識。因此，如果我們期待個人數(shù)據(jù)保護原則逐步在新聞傳媒、商品和服務交易、金融科技等行業(yè)領域具體化，就需要動員出一套合作治理的架構。因為，監(jiān)管的目的在于不斷形成符合社會期待的秩序，它必須考慮被規(guī)范的事物內在的秩序結構，掌握充分信息，方能契合“事物的本質”。[32]而在數(shù)字技術和數(shù)字生態(tài)都快速演化的領域，相關法律規(guī)則面臨劇烈變動，傳統(tǒng)的自上而下的命令-控制體系很難有效回應，需要思考動員社會力量合作治理的替代性治理策略。

其三，在社會越來越重視個人數(shù)據(jù)保護的文化氛圍下，被監(jiān)管的企業(yè)也有動力參與到這種合作治理中來。由于社會對個人數(shù)據(jù)保護關注度的提升，能夠滿足社會期待的企業(yè)更能夠獲得用戶的信任，從而獲得更多的商業(yè)機會。[33]因此，企業(yè)一般不會傾向于利用每個可能為其行為辯護的法律理由來探索監(jiān)管的邊界。相反，大量的企業(yè)也需要在消費者面前將其塑造為消費者個人數(shù)據(jù)的捍衛(wèi)者。在這個意義上，企業(yè)有擁抱行業(yè)最佳實踐的潛在動力。因此，監(jiān)管部門引入、鼓勵行業(yè)的自我規(guī)范，可以推動形成行業(yè)動力，引導企業(yè)在經(jīng)濟和社會因素考量下追求社會責任，而不僅僅是規(guī)避被法律懲罰的風險。

合作治理的具體展開

數(shù)字經(jīng)濟形成了一個高度動態(tài)的經(jīng)濟環(huán)境，在這樣的環(huán)境下，對數(shù)據(jù)的處理、利用，無論是技術架構、商業(yè)模式、社會生態(tài)都在不斷演進、迭代中。傳統(tǒng)的行政監(jiān)管需要保障規(guī)制系統(tǒng)的穩(wěn)定性與可預測性，不免存在有限理性、認知局限與監(jiān)管時滯等問題。[34]此背景下，監(jiān)管部門不能過度迷信傳統(tǒng)命令-控制體系的有效性，需要從依賴單方命令轉向以監(jiān)管為杠桿撬動社會集體行動。[35]具體而言，在個人數(shù)據(jù)保護領域發(fā)展這種合作治理，需要重點關注以下問題。

推動探索行業(yè)性的行為準則。在將個人數(shù)據(jù)保護的原則性規(guī)定落地執(zhí)行的過程中，監(jiān)管部門需要承擔起與個人數(shù)據(jù)保護相關的風險辨識與利益衡量任務。但是，如前所述，固有的信息差使得監(jiān)管難以敏銳感知動態(tài)、隱蔽的風險流變，與產(chǎn)業(yè)實踐的分離也導致監(jiān)管難以辨識技術場景背后多元的利益訴求。因此，僅憑自身的能力，監(jiān)管部門無法充分認識個人數(shù)據(jù)保護議題的復雜性，提出切中要害的具體治理方案。

相比之下，位于行業(yè)前沿的企業(yè)反而能夠更加熟練地作出判斷，甚至會為了防范風險，在法律尚未明確要求的情況下，去主動設計、創(chuàng)造治理方案；與此同時，為了維護行業(yè)的集體聲譽，相關產(chǎn)業(yè)組織、行業(yè)協(xié)會甚至學術機構也有機會和動力將這些實踐轉化為自律性的規(guī)范或倡議。因此，個人數(shù)據(jù)的合作治理意味著在一定程度上將監(jiān)管職權授予給這些社會組織，激勵它們發(fā)展行業(yè)性的行為準則，調動這些組織根據(jù)其掌握行業(yè)前沿的信息優(yōu)勢而進行自我規(guī)制。而且，經(jīng)由行業(yè)準則的橋接，這些探索性的治理經(jīng)驗可以為監(jiān)管設計具體的治理方案提供實驗方案和經(jīng)驗支撐。[36]

與此同時，這種傳導機制的運作也需要以明確的制度肯認與充分的制度激勵為后盾。就制度肯認而言，法律需要明確表達這些社會主體組織制定行業(yè)性的行為準則的必要性與合理性，并指示其范圍、程度與企業(yè)參與的方式。實際上，在生物醫(yī)藥、金融監(jiān)管等領域，囿于專業(yè)性所限，監(jiān)管部門時常需要借助產(chǎn)業(yè)組織或者第三方力量來發(fā)展更為詳盡的實質性規(guī)則；在電子商務等快速迭代的數(shù)字經(jīng)濟新生業(yè)態(tài)之下，行業(yè)準則更是承載著維系原則框架時效性與生命力的關鍵作用。

就制度激勵而言，監(jiān)管需要明確行為準則的規(guī)范地位。從整體上來看，行為準則提供的是個體經(jīng)驗制度化的契機，需要推動其形成某種“軟法”的約束。[37]一方面，它本身就是一種聲譽激勵，不同企業(yè)的個體實踐經(jīng)由產(chǎn)業(yè)組織、行業(yè)協(xié)會或學術機構提煉后，可以形成規(guī)?；挠绊懥驼J可度，對其遵守或者違背會獲得相應的社會評價。另一方面，對于一些成熟的、能夠反映行業(yè)最佳實踐的行為準則，監(jiān)管部門也可以推動其效力升級。例如，這些行為準則可以扮演安全港的角色，企業(yè)對于準則的遵從可以被視為無過錯的有力證明。此外，在某些情況下，行為準則甚至可以通過監(jiān)管協(xié)議作為普遍執(zhí)行的法律的附件，產(chǎn)生更強的約束力。

當然，在行為準則的發(fā)展過程中也要兼顧效率和公平。從內容構成來看，行業(yè)性的行為準則往往優(yōu)先考慮大型企業(yè)的合規(guī)體系與技術方案。值得肯定的是，這一遴選邏輯為企業(yè)的創(chuàng)造性合規(guī)提供了正向激勵，有助于形成“逐頂”而非“探底”的集體行動邏輯。但是，需要謹慎對待的是，這一基于效率的優(yōu)績主義邏輯可能為頭部企業(yè)加筑行業(yè)進入的門檻。因為，企業(yè)合規(guī)探索需要建立在豐富的業(yè)務生態(tài)環(huán)境之上，而這一優(yōu)勢恰恰是與企業(yè)規(guī)模等經(jīng)濟性指標緊密聯(lián)系的。部分企業(yè)可能利用其固有的規(guī)模，主導形成自利性的行為準則，再以服務外包等形式將合規(guī)任務“業(yè)務化”“商品化”，以保持自身的市場控制。[38]因此，在行為準則形成過程中需要強調遵守基礎性的正當程序，顧及參與者的多樣性。

發(fā)展基于市場邏輯的技術標準。數(shù)字社會是高度技術化的社會，法律對社會的規(guī)制也應當發(fā)展具備技術屬性的制度回應。技術標準作為一種技術性的規(guī)范工具，具備與法律制度協(xié)同、實現(xiàn)個人數(shù)據(jù)保護治理的優(yōu)勢。這種依托標準來實施法律的經(jīng)驗在國際上并不鮮見，我國《個人信息保護法》也要求個人信息處理者根據(jù)處理目的、處理方式、對個人權益的影響、可能存在的安全風險等因素，將個人信息處理活動的法律要求“嵌入”到相關管理流程、技術架構等方面。[39]這是一種“基于技術設計”的個人數(shù)據(jù)保護方案，必然需要發(fā)展出一套相應的技術標準來落地。

在法律的原則性框架下，技術標準的任務在于，基于不同產(chǎn)品、服務和流程的基本屬性，設計更加具體的技術方案，以支撐行為規(guī)范在經(jīng)營流程和技術環(huán)境中的內嵌。[40]與此同時，技術標準要發(fā)揮這種功能，就需要充分尊重產(chǎn)業(yè)、技術發(fā)展的規(guī)律，將法律的要求與產(chǎn)業(yè)的自我邏輯嵌合起來。

然而，我國的標準化體系脫胎于計劃經(jīng)濟時代，近年來雖有不少改進，但在既有法律框架和制度環(huán)境中，技術標準的形成還難以擺脫傳統(tǒng)自上而下的模式。不論是那些直接體現(xiàn)行政權力的政府標準，還是那些在政府影響下形成的團體標準，都體現(xiàn)著較為濃厚的監(jiān)管意志，彰顯著行政權力的作用。與法律命令-控制模式所可能遭遇的困境一樣，這些行政權力主導的技術標準并不能夠敏捷回應數(shù)字化的社會變遷，也無法真實勾連起供應鏈層面的技術治理要求。這非但不能達成有效的合作治理，還可能侵蝕標準形成的技術理性和市場邏輯。加之其并不具備立法過程在實體和程序方面的剛性約束，有可能造成對產(chǎn)業(yè)過度僵化的管制，無助于合作治理的實現(xiàn)。

因此，我們需要逐步地改變這種標準形成邏輯，動員市場參與者的力量，推動自下而上地形成技術標準體系。一方面，原則性框架提供了企業(yè)自下而上發(fā)展技術標準的制度空間，在此之下，各類市場主體具有體現(xiàn)技術最優(yōu)的行業(yè)實踐和經(jīng)驗積累，具備持續(xù)提煉和發(fā)展自身技術標準的內生動力。這種技術標準將可能為市場主體帶來聲譽、效益方面的獲益。另一方面，自下而上的標準制定與認證路徑也有助于緩解監(jiān)管部門系統(tǒng)性過載，進而有利于增加標準體系本身的認可度與執(zhí)行力。[41]一旦這些市場主體自下而上制定的技術標準獲得監(jiān)管部門的采納，將直接構成監(jiān)管層面解釋相關原則性立法的定位和參照，從而為市場主體的合規(guī)發(fā)展提供更加明確、穩(wěn)定、可預期的制度指引。

撬動企業(yè)內部治理架構。在傳統(tǒng)意義上，監(jiān)管部門在法律授權范圍內對監(jiān)管對象提出具體、清晰、可測量的行為準則與結果要求。這種監(jiān)管模式要求監(jiān)管部門具備充分的信息，就復雜的數(shù)據(jù)經(jīng)濟而言，面臨不少的挑戰(zhàn)。當下，平臺經(jīng)濟形成了復雜的生態(tài)，大量分散的主體參與其中，商業(yè)模式和技術應用不斷推陳出新。個人數(shù)據(jù)的處理可能帶來何種收益，需要監(jiān)管何種風險具有高度的場景性與異質性，而且，風險由多個元素復雜交織促成并不斷演化。在此背景下，監(jiān)管部門缺乏信息優(yōu)勢，難以為企業(yè)設定具體的減緩風險的方式與目標。

因此，這種事前預設的監(jiān)管姿態(tài)已經(jīng)難以適應數(shù)據(jù)經(jīng)濟下的技術發(fā)展。個人數(shù)據(jù)保護原則目標的實現(xiàn)，有賴于平臺企業(yè)在具體場景中進行判斷、識別，并引入合乎比例的方法進行風險減緩，也依賴平臺企業(yè)精細地平衡、協(xié)調平臺生態(tài)內多方主體的合法權益。在此背景下，我們需要通過監(jiān)管來撬動企業(yè)內部治理架構的完善。

這意味著，我們需要著重發(fā)展一些內部管理型的監(jiān)管工具，即政府雖然對企業(yè)服務或者產(chǎn)品本身不設定具體的指標，但是要求相關企業(yè)按照法律標準建立內部的組織架構，實施相應的管理流程和決策規(guī)則來執(zhí)行相關的法律原則。[42]這種監(jiān)管工具的特殊性在于：一方面，它相對尊重企業(yè)的自主性，確保其擁有相對獨立的決策的空間對一些實質問題進行判斷；另一方面，監(jiān)管創(chuàng)造了一種強制的治理結構和治理秩序，將其嵌入到企業(yè)內部，能夠確保公共利益通過這種治理結構和治理程序得到實現(xiàn)。實際上，近年來的立法已經(jīng)在進行這樣的探索。例如，《個人信息保護法》規(guī)定了個人信息保護影響評估，要求在特定情況下，個人信息處理者應當事前進行個人信息保護影響評估，并對處理情況進行記錄；它還要求處理個人信息達到規(guī)定數(shù)量的企業(yè)設立個人信息保護負責人。

然而，要確保這些規(guī)定真正發(fā)揮實效，還必須圍繞這些法律規(guī)則發(fā)展出一套體系化的監(jiān)管要求。例如，如果我們期待個人信息保護負責人發(fā)揮作用，就必須進一步明確，他（她）不僅是公司的雇員，還是法律在企業(yè)內部創(chuàng)造一種類似于任期制的特殊管理職位。圍繞這種定位，監(jiān)管部門就需要進一步細化他（她）的責任：需要承擔超越對公司忠誠的法律義務；應當依據(jù)法律要求從企業(yè)內部來監(jiān)督企業(yè)執(zhí)行相關規(guī)范；同時還要作為監(jiān)管部門和被監(jiān)管部門之間的聯(lián)絡點，確保在發(fā)生重大合規(guī)問題或者在相關執(zhí)法活動中如實向監(jiān)管部門報告情況，等等。

與此同時，伴隨這些監(jiān)管工具的使用。監(jiān)管的重心也應當避免過度聚焦于一些細節(jié)問題，避免埋頭于處理一些投訴舉報和監(jiān)督檢查中發(fā)現(xiàn)的具體問題，而應當致力于評估是否存在系統(tǒng)性、結構性的問題。也就是說，監(jiān)管精力應當集中在評價企業(yè)的整體管理架構、整體治理機制是否在現(xiàn)有技術水平下盡到了最大努力；集中在持續(xù)推動企業(yè)自我規(guī)制架構的完善，引導企業(yè)形成一種自我反思的流程和文化，督促企業(yè)通過具體場景的學習和反思，從而提升企業(yè)對法律義務的履行能力。

（本文系國家社會科學基金項目“科技倫理規(guī)制的行政法治建構研究”的階段性成果，項目編號：22CFX055）

注釋

[1]參見《中共中央 國務院關于構建數(shù)據(jù)基礎制度更好發(fā)揮數(shù)據(jù)要素作用的意見（2022年12月2日）》“工作原則”部分。

[2]參見《中共中央 國務院關于構建數(shù)據(jù)基礎制度更好發(fā)揮數(shù)據(jù)要素作用的意見（2022年12月2日）》第二條第（六）項。

[3]概念本質的差異也決定了治理進路的差異，不同于隱私治理的零和思維，個人信息保護的初衷是建立一套允許信息收集和傳輸，并為數(shù)據(jù)主體提供適當保障的規(guī)則體系。參見P. Palka， "Data Management Law for the 2020s： The Lost Origins and the New Needs，" Buffalo Law Review， 2020， 68（2）， pp. 559–640.

[4]有學者詳細論證防止兩者交叉產(chǎn)生適用沖突的必要性。參見周漢華：《平行還是交叉：個人信息保護與隱私權的關系》，《中外法學》，2021年第5期。

[5]技術對社會關系的實質性影響，也是近期科技倫理問題開始受到關注的原因。參見趙鵬：《科技治理“倫理化”的法律意涵》，《中外法學》，2022年第5期。

[6]參見《國務院關于加強數(shù)字政府建設的指導意見》（國發(fā)〔2022〕14號）。

[7]N. Purtova， "The Law of Everything： Broad Concept of Personal Data and Future of EU Data Protection Law，" Law， Innovation and Technology， 2018， 10（1）， pp. 40–81.

[8]G. G. Fuster， “The Emergence of Personal Data Protection as a Fundamental Right of the EU，“ Springer Science & Business， 2014， vol. 16， p. 110.

[9]J. E. Cohen， "Turning Privacy Inside Out，" Theoretical Inquiries in Law， 2019， 20（1）， pp. 1–31.

[10]參見張占江：《個人信息保護的反壟斷法視角》，《中外法學》，2022年第3期。我國的反壟斷法也表達了對通過數(shù)據(jù)而獲得的經(jīng)濟權力的關注，參見《中華人民共和國反壟斷法》第9條、第22條。

[11]J. Furman; D. Coyle; A. Fletcher; P. Marsden and D. McAuley， "Unlocking Digital Competition： Report of the Digital Competition Expert Panel，" UK Government Publication， HM Treasury， 2019， p. 33.

[12]F. Lancieri; P. M. Sakowski， "Competition in Digital Markets： A Review of Expert Reports，" Stanford Journal of Law Business & Finance， 2021， 2（6）， p. 65.

[13]European Commission， "White Paper on Artificial Intelligence： A European Approach to Excellence and Trust，" 19 February 2020， pp. 16–19.

[14]M. Oostveen; I. Kristina， "The Golden Age of Personal Data： How to Regulate an Enabling Fundamental Right？" in Personal Data in Competition， Consumer Protection and Intellectual Property Law： Towards a Holistic Approach？， Heidelberg： Springer Berlin， 2018， pp. 7–26.

[15]參見江必新：《全國人民代表大會憲法和法律委員會關于〈中華人民共和國個人信息保護法（草案）〉審議結果的報告》，《全國人民代表大會常務委員會公報》2021年第6號。

[16]參見王錫鋅：《個人信息國家保護義務及展開》，《中國法學》，2021年第1期。

[17]相關研究可以參見李潤生：《論個人健康信息“利用友好型”保護模式的建構》，《行政法學研究》，2021年第5期。

[18]《全國人民代表大會常務委員會關于加強網(wǎng)絡信息保護的決定》第3條，《網(wǎng)絡安全法》第22條。

[19]L. Bygrave， “Data Protection Law： Approaching Its Rationale， Logic and Limits，“ Information Polity， 2003， 8（1， 2）， pp. 80–84.

[20]海倫·尼森鮑姆：《場景中的隱私——技術、政治和社會生活中的和諧》，王苑等譯，北京：法律出版社，2022年，第119～168頁。

[21]《個人信息保護法》第5條。

[22]《個人信息保護法》第24條。

[23]B. John， “Rules and Principles： A Theory of Legal Certainty，“ Australian Journal of Legal Philosophy， 2002， 2（7）， pp. 47–82.

[24]R. Gellert， “Data Protection： A Risk Regulation？ Between the Risk Management of Everything and the Precautionary Alternative，“ International Data Privacy Law， 2015， 5（1）， pp. 3–19.

[25]M. E. Kaminski， "Binary Governance： Lessons from the GDPR's Approach to Algorithmic Accountability，" Southern California Law Review， 2018， 92（6）， p. 1529.

[26]參見宋華琳：《論政府規(guī)制中的合作治理》，《政治與法律》，2016年第8期。

[27]J. E. Cohen， "The Regulatory State in the Enformation Age，" Theoretical Inquiries in Law， 2016， 17（2）， pp. 369–414.

[28]K. Yeung; L. A. Bygrave， "Demystifying the Modernized European Data Protection Regime： Cross–disciplinary Insights from Legal and Regulatory Governance Scholarship，" Regulation & Governance， 2022， 16（1）， pp. 137–155.

[29]相關分析參見劉存地、徐煒：《能否讓算法定義社會——傳媒社會學視角下的新聞算法推薦系統(tǒng)》，《學術論壇》，2018年第4期。

[30]J. G. Webster， The Marketplace of Attention： How Audiences Take Shape in a Digital Age， MIT Press， 2014， pp. 17–22.

[31]J. Black， "Constructing and Contesting Legitimacy and Accountability in Polycentric Regulatory Regimes，" Regulation & Governance， 2008， 2（2）， pp. 137–164.

[32]法哲學對“事物的本質”的討論及其在行政法上的意義，參見陳愛娥：《事物本質在行政法上之適用》，《中國法律評論》，2019年第3期。

[33]關于監(jiān)管機構、官方媒體和行業(yè)協(xié)會“點名批評（naming & shaming）”等聲譽罰機制對企業(yè)形象的貶損與傷害，參見A. H. Zhang， "Agility over Stability： China's Great Reversal in Regulating the Platform Economy，" Harvard International Law Journal， 2022， 63（2）， p. 457。

[34]參見季衛(wèi)東：《法律與概率——不確定的世界與決策風險》，《地方立法研究》，2021年第6期。

[35]G. Stoker， “Designing Institutions for Governance in Complex Environments： Normative Rational Choice and Cultural Institutional Theories Explored and Contrasted，“ Economic and Social Research Council Fellowship Paper， 2004（1）， p. 3， quoted from A. Chris; G. Alison， “Collaborative Governance in Theory and Practice，“ Journal of Public Administration Research & Theory， 2008， 18（4）， pp. 543–571.

[36]例如，F(xiàn)TC曾在其發(fā)布的物聯(lián)網(wǎng)合規(guī)指南中對于Facebook、蘋果和谷歌所使用的隱私圖標表露出積極支持與鼓推態(tài)度，參見“Internet of Things： Privacy & Security in a Connected World，“ 19 November 2013， FTC， https：//www.ftc.gov/news-events/events/2013/11/internet-things-privacy-security-connected-world。

[37]關于軟法的討論，可參見羅豪才、宋功德：《認真對待軟法——公域軟法的一般理論及其中國實踐》，《中國法學》，2006年第2期。

[38]微軟公司曾公開推銷合規(guī)服務，相關報道參見T. Liam， “Struggling to Comply with GDPR？ Microsoft 365 Rolls out New Privacy Dashboards，“ 30 January 2019， https：//www.zdnet.com/article/struggling-to-comply-with-gdpr-microsoft-365-rolls-out-new-privacy-dashboards/。

[39]《個人信息保護法》第51條。

[40]I. Kamara， "Co–regulation in EU Personal Data Protection： The Case of Technical Standards and the Privacy by Design Standardisation 'Mandate'，" European Journal of Law and Technology， 2017， 8（1）， pp. 7–8.

[41]《個人信息保護法》第62條。

[42]譚冰霖：《論政府對企業(yè)的內部管理型規(guī)制》，《法學家》，2019年第6期。

責 編∕張 曉