邁向二元共治的數(shù)據(jù)合規(guī)

摘 要： 對數(shù)據(jù)合規(guī)理念的正確認(rèn)識應(yīng)當(dāng)從規(guī)制史（福利國—規(guī)制國—后規(guī)制國）的角度切入：后規(guī)制國是對規(guī)制國的修正發(fā)展而非全盤否定，因此，“企業(yè)—政府”二元共治論才是全面詮釋數(shù)據(jù)合規(guī)基本性質(zhì)的理論路徑。從企業(yè)與政府的雙重視角，引入規(guī)制理論展開分析企業(yè)與政府在規(guī)制資源的分配與規(guī)制空間的重構(gòu)問題，以“元規(guī)制”的理論視角統(tǒng)合數(shù)據(jù)合規(guī)框架下的自我規(guī)制與政府規(guī)制，可以從三個角度展開數(shù)據(jù)合規(guī)的制度構(gòu)造：在“受指引的自我規(guī)制”中，引入隱私設(shè)計理論，通過頒布技術(shù)標(biāo)準(zhǔn)引導(dǎo)企業(yè)在設(shè)計數(shù)據(jù)處理技術(shù)時貫徹隱私保護的價值理念；在“受監(jiān)督的自我規(guī)制”中，建立風(fēng)險評估機制，要求企業(yè)對其數(shù)據(jù)合規(guī)制度體系下數(shù)據(jù)處理的各個階段進行風(fēng)險評估；在“受限制的自我規(guī)制”中，通過多元問責(zé)方式，合理平衡企業(yè)與專家之間的責(zé)任分擔(dān)，以一種更為彈性的問責(zé)方式在不同階段合理確定企業(yè)應(yīng)當(dāng)承擔(dān)的責(zé)任形式。

關(guān)鍵詞： 數(shù)據(jù)合規(guī)；二元共治；自我規(guī)制；政府規(guī)制；元規(guī)制

一、問題的提出

數(shù)據(jù)合規(guī)是企業(yè)為預(yù)防在數(shù)據(jù)處理過程中所產(chǎn)生的各種法律風(fēng)險而在內(nèi)部開展的系列合規(guī)措施。近年來，由于受到國際浪潮的沖擊，中國陸續(xù)頒布了若干法律，逐漸形成了數(shù)據(jù)合規(guī)的基本法律體系：2017年正式施行的《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱《網(wǎng)絡(luò)安全法》）第21條確立了針對網(wǎng)絡(luò)運營者的網(wǎng)絡(luò)安全等級保護制度，其中的“制定內(nèi)部安全管理制度和操作規(guī)程”被學(xué)者認(rèn)為是“數(shù)據(jù)合規(guī)義務(wù)的法定化”^［1］。2021年頒布施行的《中華人民共和國數(shù)據(jù)安全法》（以下簡稱《數(shù)據(jù)安全法》）第27條第1款規(guī)定了數(shù)據(jù)處理者的“建立健全全流程數(shù)據(jù)安全管理制度”義務(wù)，首次在立法上明確數(shù)據(jù)合規(guī)是企業(yè)在“數(shù)據(jù)全生命周期”的各個階段都需要開展的工作。同年頒布施行的《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）首次在法律文本中針對數(shù)據(jù)信息保護使用了“合規(guī)”的表述，如第54條、第58條第1項。由此，作為“三駕馬車”的《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法》為企業(yè)開展數(shù)據(jù)合規(guī)工作提供了基本的規(guī)范依據(jù)。

在學(xué)界，學(xué)者圍繞數(shù)據(jù)合規(guī)的域外考察、理論基礎(chǔ)、法律依據(jù)、實踐探索、體系建構(gòu)、合規(guī)流程、合規(guī)內(nèi)容、主要困境^［2～9］等問題展開研究，普遍持一種樂觀態(tài)度且希望國內(nèi)能盡快完善數(shù)據(jù)合規(guī)制度體系，從而推動本土的跨國企業(yè)適應(yīng)國際的合規(guī)標(biāo)準(zhǔn)。然而，學(xué)界對數(shù)據(jù)合規(guī)本身缺乏必要的反思，即現(xiàn)有學(xué)界過于關(guān)注數(shù)據(jù)合規(guī)的適用問題（方法論）而忽略了對數(shù)據(jù)合規(guī)本身性質(zhì)的認(rèn)識問題（認(rèn)識論）。既有研究多將數(shù)據(jù)合規(guī)理解為“企業(yè)遵守與數(shù)據(jù)相關(guān)的法律法規(guī)”^［10］，對于數(shù)據(jù)合規(guī)的基本性質(zhì)，則多持有數(shù)據(jù)合規(guī)是公司治理方式或法律激勵措施兩種觀點：

其一，將數(shù)據(jù)合規(guī)視為一種公司治理方式，這是基于企業(yè)角度的理解路徑。數(shù)據(jù)合規(guī)是企業(yè)合規(guī)的一種，而企業(yè)合規(guī)則是公司治理的三個結(jié)構(gòu)之一^［11］。自20世紀(jì)80年代以來，企業(yè)合規(guī)在公司治理結(jié)構(gòu)中的占比逐漸增大，已經(jīng)成為現(xiàn)代公司治理的重要組成部分^［11］。數(shù)據(jù)合規(guī)作為一種公司治理方式，其目的主要在于防控與數(shù)據(jù)處理相關(guān)的法律風(fēng)險，尤其是在Web3.0時代，大數(shù)據(jù)與算法的雙重加持讓數(shù)據(jù)合規(guī)風(fēng)險更加隱蔽與嚴(yán)重，這也對企業(yè)開展對數(shù)據(jù)風(fēng)險的識別、評估、監(jiān)測和應(yīng)對等合規(guī)工作提出了更高要求。

其二，將數(shù)據(jù)合規(guī)視為一種法律激勵措施，這是基于政府角度的理解路徑。在這種理解下，包含數(shù)據(jù)合規(guī)的企業(yè)合規(guī)往往被視為一種法律激勵措施，因為企業(yè)是利益導(dǎo)向的，僅僅依靠自發(fā)的努力難以建立起一套行之有效的合規(guī)管理體系^［12］。在企業(yè)合規(guī)的發(fā)展史上，雖然也有學(xué)者主張企業(yè)合規(guī)存在內(nèi)發(fā)的道德性基礎(chǔ)^［13］，但各國都通過頒布法律法規(guī)與設(shè)立銜接制度對企業(yè)提出激勵性質(zhì)的合規(guī)要求^［14］，中國也逐漸探索出了本土化的“檢察導(dǎo)向”合規(guī)激勵機制^［15］。

以上兩種對數(shù)據(jù)合規(guī)的理解路徑都試圖超越“企業(yè)遵守與數(shù)據(jù)相關(guān)的法律法規(guī)”的形式化表述，從而嘗試從功能主義的視角對數(shù)據(jù)合規(guī)的基本性質(zhì)形成更為深入的理解。兩種理解路徑都具備一定合理性，但二者都局限于某一主體的視角：從企業(yè)出發(fā)探討作為公司治理方式的數(shù)據(jù)合規(guī)，忽視了政府對企業(yè)這種內(nèi)部治理方式的介入與影響；從政府角度出發(fā)探討作為法律激勵措施的數(shù)據(jù)合規(guī)，則忽視了企業(yè)在法律激勵之下的主觀能動性。針對兩種理解路徑的理論盲點，如何為數(shù)據(jù)合規(guī)提供一種更為全面自洽的理解？這既涉及數(shù)據(jù)合規(guī)乃至企業(yè)合規(guī)理論層面的反思，也直接影響在該種理論指導(dǎo)下的數(shù)據(jù)合規(guī)制度體系的建設(shè)?；诖?，本文將跳脫出某個孤立視角的局限，結(jié)合企業(yè)與政府的雙重視角，引入規(guī)制理論，嘗試為數(shù)據(jù)合規(guī)的基本性質(zhì)提供一種更為全面的二元式理解。此外，本文將不局限于理論建構(gòu)，在“企業(yè)—政府”二元共治論的基礎(chǔ)上，進一步展開數(shù)據(jù)合規(guī)的制度建構(gòu)，以期為理論界與實務(wù)界提供更具價值的參考。在文章結(jié)構(gòu)方面，本文首先梳理數(shù)據(jù)合規(guī)的制度溯源，指出單一視角（從政府規(guī)制到自我規(guī)制）的歷史基礎(chǔ)；其次，引入規(guī)制理論，構(gòu)建政府與企業(yè)的二元互動框架，實現(xiàn)對單一視角的突破；在此基礎(chǔ)上，提出元規(guī)制理論描述政府規(guī)制與自我規(guī)制之間的互動關(guān)系，從而展開數(shù)據(jù)合規(guī)的全新制度設(shè)計。

二、數(shù)據(jù)合規(guī)的理念演進：一個規(guī)制史

本文試圖引入規(guī)制理論重塑數(shù)據(jù)合規(guī)的理論框架，故有必要從規(guī)制史的角度梳理數(shù)據(jù)合規(guī)的理念演進過程?，F(xiàn)有學(xué)界對于數(shù)據(jù)合規(guī)的理念已經(jīng)形成基本共識，即數(shù)據(jù)合規(guī)是對傳統(tǒng)賦權(quán)型數(shù)據(jù)治理（以知情—同意機制為核心）的批判，從而導(dǎo)向一種平臺企業(yè)的自治模式^［16］。本文將從更加宏觀的規(guī)制史維度抽象出數(shù)據(jù)合規(guī)的自治理念：數(shù)據(jù)合規(guī)代表21世紀(jì)興起的“后規(guī)制國”模式，是對20世紀(jì)下半葉占主流地位的“規(guī)制國”模式的批判性發(fā)展，而“規(guī)制國”模式又是對二戰(zhàn)后形成的“福利國”模式的反思性改進。

（一）從福利國到規(guī)制國

“規(guī)制國”是與“福利國”相對應(yīng)的概念。在福利國中，由國家利用公共政策與公共設(shè)施直接提供服務(wù)和福利。相比之下，“規(guī)制國”的治理模式涉及對公共治理的一系列復(fù)雜變革從而實現(xiàn)將控制的重點從傳統(tǒng)科層制轉(zhuǎn)向規(guī)制工具^［17］。

“福利國”模式在英美兩國有不同的興起背景。英國工黨于二戰(zhàn)后迅速崛起，大力推動公共服務(wù)事業(yè)和主要工業(yè)的國有化，推動英國逐漸走上福利國家的道路^［18］。一般認(rèn)為，美國的福利國家轉(zhuǎn)向始于經(jīng)濟大蕭條和羅斯福新政^［19］。大蕭條帶來的大面積失業(yè)為政府規(guī)制的興起提供了巨大的動力，政府對市場所采取的各種類型的干預(yù)手段也被認(rèn)為是正當(dāng)?shù)?，這種政府規(guī)制模式的理論基礎(chǔ)在羅斯福的“第二權(quán)利法案”中得到了最高體現(xiàn)，即認(rèn)為政府應(yīng)運用公權(quán)力保護公民的法定權(quán)利。于是，總統(tǒng)權(quán)力的空前擴張與中央集權(quán)的科層體制（凌駕于各州州權(quán)的司法審查）變得不可避免，并且這種規(guī)制模式一直延續(xù)到了二戰(zhàn)后^［20］。

在這樣的背景下，20世紀(jì)70年代后，各國發(fā)起的去規(guī)制運動力圖進行各項改革，其中包括著名的民營化運動（privatization），即推動國有企業(yè)股份化和市場化改革。在英國，撒切爾夫人于1979年上臺后，為了讓國家擺脫“英國病”的困擾，開始拋棄凱恩斯主義政策，推動國營企業(yè)私有化，讓英國經(jīng)濟重新恢復(fù)了活力。然而，英國雖然推動政府從重大經(jīng)濟活動中退出，卻導(dǎo)致國家內(nèi)規(guī)制權(quán)力走向集中化，政府傾向于對市場進行政策性的宏觀調(diào)控^［21］。20世紀(jì)六七十年代，美國爆發(fā)了大規(guī)模的民權(quán)運動，這場運動以羅斯福新政為基礎(chǔ)，卻轉(zhuǎn)變了新政的政策目標(biāo)。具體而言，國家政策不再局限于對弱勢群體的救濟，而是涌現(xiàn)于眾多新領(lǐng)域，政府規(guī)制的目的從大蕭條時期的穩(wěn)定經(jīng)濟轉(zhuǎn)變?yōu)榱吮Ｗo權(quán)利^［21］。

需要指出的是，去規(guī)制的目的并不是完全去除政府規(guī)制，而是對政府規(guī)制的方式進行改良，去除“福利國”的科層規(guī)制體制，從而導(dǎo)向一種“規(guī)制國”的功能性治理模式，但并沒有改變以政府規(guī)制為主導(dǎo)的社會治理模式。事實上，“規(guī)制國”的發(fā)展只是改變了公權(quán)力在經(jīng)濟與社會生活中的運行方式。在人們普遍認(rèn)識到僅靠市場調(diào)節(jié)無法應(yīng)對復(fù)雜的社會關(guān)系以及潛在風(fēng)險的情況下，國家對市場的管控不斷加強，并在規(guī)制范圍上不斷擴大以至于幾乎覆蓋了人們的整個日常生活，于是才有了那句耳熟能詳?shù)母锌骸拔覀兩钤谝粋€‘監(jiān)管型國家’（regulatory state）的時代”^［22］。

（二）從規(guī)制國到后規(guī)制國

“規(guī)制國”主張采用控制型的行政規(guī)制工具，但這種政府規(guī)制也會出現(xiàn)失靈，即“規(guī)制萬能主義”只是無法實現(xiàn)的烏托邦?；诖?，不少學(xué)者對規(guī)制國概念提出了代表性的批評，如反對將規(guī)制重點放在國家行動而排斥非政府治理機構(gòu)^［23］。進入21世紀(jì)后，基于對“規(guī)制國”現(xiàn)狀的不滿，逐漸出現(xiàn)了與其對應(yīng)的“后規(guī)制國”概念。規(guī)制國是在工業(yè)社會背景下逐漸發(fā)展和成熟的，以政府規(guī)制為社會治理的主要模式；后規(guī)制國則是在信息社會背景下逐漸生成與興起的，其主張社會規(guī)制權(quán)力的去中心化與規(guī)制主體、規(guī)制方式的多元化。在信息社會背景下，多元化的社會主體開始出現(xiàn)，分散的規(guī)制資源被重新認(rèn)識，非政府主體的規(guī)制能力被識別。在此背景下，世界各國紛紛在20世紀(jì)90年代對原有的規(guī)制國體制進行反思與改革，如美國試圖通過“重新塑造”（reinvention）來超越規(guī)制國^［24］，英國政府也漸漸從重大經(jīng)濟活動中退出^［18］。

同樣需要注意的是，“后規(guī)制國”理論與“規(guī)制國”理論的關(guān)系并不是“非此即彼”或“取而代之”的，而應(yīng)理解為前者在內(nèi)涵上豐富與擴展了后者，如在規(guī)制主體上由單一的公共規(guī)制機構(gòu)轉(zhuǎn)變?yōu)榘ㄋ饺艘?guī)制機構(gòu)在內(nèi)的多元規(guī)制機構(gòu)，在規(guī)制方式上由單一的國家法擴展為包括軟法在內(nèi)的多元法律秩序，并在規(guī)制模式上鮮明地主張自我規(guī)制模式。此外，“后規(guī)制國”理論與“規(guī)制國”理論在內(nèi)容上也存在交叉之處，二者需要進行理論融合。如前所述，雖然“后規(guī)制國”理論發(fā)展了“規(guī)制國”理論的內(nèi)涵，但若放任“后規(guī)制國”理論將自我規(guī)制模式無限放大，則可能導(dǎo)致規(guī)制含義的虛無或空幻。因此，“后規(guī)制國”理論仍然需要建立在“規(guī)制國”理論的基礎(chǔ)上，不可忽視政府規(guī)制的全局性與兜底性作用。

三、規(guī)制理論視角下的數(shù)據(jù)合規(guī)：企業(yè)與政府的二元互動

從規(guī)制史的角度抽象出數(shù)據(jù)合規(guī)的自我規(guī)制理念后，我們可以更加深入地理解既有研究對數(shù)據(jù)合規(guī)的局限理解。學(xué)界對數(shù)據(jù)合規(guī)的認(rèn)識之所以限于企業(yè)或政府的單一主體視角，是因為沒有正確理解后規(guī)制國的內(nèi)涵。如前所述，后規(guī)制國模式并不是對規(guī)制國模式的簡單取代，而是存在一種互動，即后規(guī)制國雖然強調(diào)通過自我規(guī)制來彌補政府規(guī)制的不足，但并沒有完全否定或徹底放棄政府規(guī)制，而是認(rèn)為政府應(yīng)該轉(zhuǎn)變原有的規(guī)制地位或規(guī)制模式，對自我規(guī)制形成一種兜底保障機制。在正確認(rèn)識后規(guī)制國與規(guī)制國的互動關(guān)系的基礎(chǔ)上，本文將嘗試在數(shù)據(jù)合規(guī)中將政府與企業(yè)連接起來，探討雙方在規(guī)制理論框架下的二元互動關(guān)系。

科林·斯科特（Colin Scott）對廣義規(guī)制概念進行了經(jīng)典闡述：“規(guī)制作為一種當(dāng)代政策工具，其核心含義在于指導(dǎo)或調(diào)整行為活動，以實現(xiàn)既定的公共政策目標(biāo)。”^［17］根據(jù)這一界定，規(guī)制的核心在于“實現(xiàn)公共政策目標(biāo)”，但這一界定并未對實施規(guī)制的主體進行限制。事實上，斯科特所主張的規(guī)制理論存在一個核心預(yù)設(shè)：有效規(guī)制依賴于規(guī)制資源，而規(guī)制資源總是不足的，因此需要被規(guī)制主體提供規(guī)制資源從而幫助實現(xiàn)規(guī)制目的。在這里我們可以看到，斯科特雖然認(rèn)識到了被規(guī)制主體的自治價值，卻也同樣沒有忽視規(guī)制主體的原有功能，即其正確認(rèn)識到了規(guī)制國與后規(guī)制國的互動補充關(guān)系。因此，規(guī)制理論視角下的數(shù)據(jù)合規(guī)存在兩個維度：一方面，政府（規(guī)制主體）要求企業(yè)（被規(guī)制主體）開展數(shù)據(jù)合規(guī)工作；另一方面，企業(yè)（被規(guī)制主體）運用政府（規(guī)制主體）所不具有的自身資源實現(xiàn)規(guī)制目的。這便是數(shù)據(jù)合規(guī)背后所隱藏的“企業(yè)—政府”二元互動關(guān)系。下文將基于規(guī)制理論的兩個核心概念——“規(guī)制資源”與“規(guī)制空間”——進行深入闡述。

（一）數(shù)據(jù)合規(guī)的條件：規(guī)制資源的分配

傳統(tǒng)政府規(guī)制在實效上的局限性已為學(xué)界所詬病，其主要缺陷在于中心化的權(quán)力集中方式無法有效面對日益復(fù)雜的規(guī)制需求。對傳統(tǒng)規(guī)制理論的批判背后存在這樣的一個預(yù)設(shè)：規(guī)制資源并不僅僅掌握在代表國家權(quán)力的政府手中，而是分散于政府之外的各種非政府主體之間。顯然，這與后規(guī)制國對規(guī)制國的批判是一脈相承的。

規(guī)制資源與規(guī)制權(quán)力是兩個范疇的概念，后者體現(xiàn)的是規(guī)制的正當(dāng)性，前者則是規(guī)制有效性的指標(biāo)。一般認(rèn)為，最重要的規(guī)制資源是信息，尤其是被規(guī)制對象的信息。所謂“規(guī)制資源”，并不限于國家正式權(quán)力，還包括財富、信息等能力，而作為最富活力的市場單位的企業(yè)，往往具有很大的財富優(yōu)勢與信息優(yōu)勢。就財富優(yōu)勢而言，雖然企業(yè)的財力無法匹敵國家財政，但國家財政的使用往往存在很多限制，包括實體性限制與程序性限制，而企業(yè)對其財富的使用卻享有很大的自主性與靈活性；就信息優(yōu)勢而言，政府主要通過宏觀調(diào)控來影響市場，但其需要依據(jù)來源于市場的各種信息才能及時進行政策調(diào)整，而企業(yè)由于更加接近市場，其信息渠道往往更為多樣化，能夠獲取更豐富的一手信息。

在Web3.0的大數(shù)據(jù)時代，數(shù)據(jù)洪流推動著幾乎所有企業(yè)進行著數(shù)字化轉(zhuǎn)型，在轉(zhuǎn)型過程中數(shù)據(jù)（尤其是大數(shù)據(jù)）的價值進一步顯現(xiàn)，數(shù)據(jù)開始作為一種資源登上市場舞臺，成為企業(yè)公認(rèn)的競爭性優(yōu)勢^［25］。不止于此，數(shù)據(jù)同樣可以成為一種規(guī)制資源，政府可以依托公共數(shù)據(jù)實現(xiàn)數(shù)字化轉(zhuǎn)型，構(gòu)建“數(shù)字政府”，推動治理的數(shù)字化轉(zhuǎn)型，加強其對企業(yè)的規(guī)制能力^［26］。然而，企業(yè)除了可以通過公共數(shù)據(jù)的開放或者授權(quán)運營等方式使用公共數(shù)據(jù)以外，同樣享有豐富的數(shù)據(jù)資源與信息資源，這些規(guī)制資源使企業(yè)在某種程度上獲得了相當(dāng)大的非正式權(quán)力，這種非正式權(quán)力甚至能對正式權(quán)力秩序產(chǎn)生顯著的影響^［27］。以數(shù)據(jù)為基礎(chǔ)的規(guī)制權(quán)力具有獨特而有效的運作邏輯：平臺企業(yè)作為一個數(shù)字基礎(chǔ)設(shè)施，吸引用戶享受平臺服務(wù)，但用戶在享受服務(wù)的同時也在不斷提供其個人的行為數(shù)據(jù)，這些個人數(shù)據(jù)全部匯聚在平臺上層，經(jīng)過智能算法系統(tǒng)的處理分析，形成不同的用戶畫像，進而為每位用戶提供個性化服務(wù)，典型便是個性化信息推送服務(wù)（信息繭房）^［28］。這種規(guī)制模式迥異于傳統(tǒng)的政府規(guī)制，具備更高的靈活性與即時性，能夠更加有效地實現(xiàn)規(guī)制目標(biāo)。

在規(guī)制資源的分配格局發(fā)生轉(zhuǎn)變的情況下，作為一種新型規(guī)制方式的數(shù)據(jù)合規(guī)被提出，其主張依托企業(yè)自身所具有的規(guī)制資源，實現(xiàn)某種程度上的自我規(guī)制，從而彌補傳統(tǒng)政府規(guī)制的實效局限性。

（二）數(shù)據(jù)合規(guī)的結(jié)果：規(guī)制空間的重構(gòu)

面對規(guī)制資源的格局轉(zhuǎn)變，自我規(guī)制成為規(guī)制理論改弦更張的必然選擇，目的在于最大限度地動用各方的規(guī)制資源，進而實現(xiàn)更合理的規(guī)制效果。這種在各主體之間合理配置規(guī)制資源的主張，被稱為“規(guī)制空間”理論。

數(shù)據(jù)合規(guī)的政策邏輯如下：在大數(shù)據(jù)時代，企業(yè)掌握著豐富的數(shù)據(jù)、算力與算法等規(guī)制資源，因此具有很大的規(guī)制能力，可以且應(yīng)當(dāng)實現(xiàn)某種程度上的自我規(guī)制。而這種政策考量意味著對傳統(tǒng)政府規(guī)制視野下的“規(guī)制空間”進行重構(gòu)，即規(guī)制資源不再僅僅掌握在政府手中，而應(yīng)當(dāng)承認(rèn)政府與其他非政府主體共同分享著規(guī)制資源，并且彼此之間相互依賴、相互支持、相互制衡。在這個意義上，數(shù)據(jù)合規(guī)代表的是一種規(guī)制改革理念，即“重構(gòu)規(guī)制空間”^［29］。

如何建構(gòu)一個科學(xué)的數(shù)據(jù)合規(guī)空間，還需要分析兩種規(guī)制手段：自我規(guī)制與政府規(guī)制。具體來說，自我規(guī)制旨在鼓勵、引導(dǎo)企業(yè)自主針對其數(shù)據(jù)處理行為開展公司內(nèi)部的合規(guī)建設(shè)從而符合相關(guān)規(guī)定。自我規(guī)制構(gòu)成了數(shù)據(jù)合規(guī)“規(guī)制空間”的主要部分，但需要特別指出的是，自我規(guī)制的提倡并不意味著徹底排斥或否定政府規(guī)制，因為企業(yè)的自我規(guī)制并非“萬能藥”，而更多只是為了適應(yīng)日益復(fù)雜的治理現(xiàn)狀，而自我規(guī)制本身同樣存在不足之處，即企業(yè)的市場導(dǎo)向?qū)傩耘c其所被賦予的公共規(guī)制職能之間的張力。具體而言，自我規(guī)制的理念為企業(yè)獲得事實上的規(guī)制權(quán)力提供了制度空間，但若不對這一“私權(quán)力”進行有效的限制與把控，那么這種權(quán)力仍然會失控，甚至可能被企業(yè)用于謀取更多經(jīng)濟利益，從而導(dǎo)致“權(quán)錢結(jié)合”的嚴(yán)重后果。就此而言，在以自我規(guī)制為主導(dǎo)的數(shù)據(jù)合規(guī)下，仍然不能忽視政府的規(guī)制職能，只是應(yīng)當(dāng)適當(dāng)?shù)剞D(zhuǎn)變政府的規(guī)制角色，即從傳統(tǒng)的政府規(guī)制轉(zhuǎn)變?yōu)橐环N尊重企業(yè)自我規(guī)制的間接規(guī)制方式。

在規(guī)制空間的重構(gòu)過程中，如果政府與企業(yè)各自掌握的規(guī)制資源發(fā)生變化，隨之形成的新規(guī)制空間的基本結(jié)構(gòu)也會發(fā)生改變。這在數(shù)據(jù)合規(guī)中體現(xiàn)得尤為明顯。隨著數(shù)字化轉(zhuǎn)型的逐漸深入，企業(yè)所擁有的數(shù)據(jù)資源愈加豐富，在豐富數(shù)據(jù)資源的支撐下進一步形成了強大的算法能力，這種算法能力如果不受到約束，就可能成為一種“算法權(quán)力”或“算法利維坦”^［30］。因此，如何在數(shù)據(jù)合規(guī)中平衡好自我規(guī)制與政府規(guī)制成為重構(gòu)規(guī)制空間的關(guān)鍵。

四、數(shù)據(jù)合規(guī)的元規(guī)制路徑：在自我規(guī)制與政府規(guī)制之間

前文已述，在規(guī)制理論的框架下，數(shù)據(jù)合規(guī)背后存在一種“企業(yè)—政府”二元互動關(guān)系。這一理論的實踐落實要點在于，實現(xiàn)自我規(guī)制與政府規(guī)制的有機結(jié)合。為了實現(xiàn)這一目標(biāo)，本文將繼續(xù)在規(guī)制理論的框架下提出“元規(guī)制”理論，嘗試通過自洽的邏輯統(tǒng)合自我規(guī)制與政府規(guī)制，從而更好地促進數(shù)據(jù)合規(guī)在實踐層面的制度展開。

（一）元規(guī)制理論

“元規(guī)制”（Meta-regulation）又稱“受規(guī)制的自我規(guī)制”（Regulated Self-regulation），是指公權(quán)力機構(gòu)對企業(yè)的自我規(guī)制施加外部監(jiān)督和限制的一種規(guī)制模式^［31］。對“元規(guī)制”的理解離不開另外兩個概念：政府規(guī)制與自我規(guī)制?！霸?guī)制”介于政府規(guī)制與自我規(guī)制之間，是兩種規(guī)制的有機統(tǒng)一：一方面是企業(yè)的自我規(guī)制（內(nèi)部規(guī)制），另一方面是監(jiān)管部門對企業(yè)的自我規(guī)制展開政府規(guī)制（外部規(guī)制）^［32］。從理論上看，元規(guī)制所具有的二元規(guī)制結(jié)構(gòu)非常完美地契合了數(shù)據(jù)合規(guī)的二元共治論。

在實踐層面，歐盟《通用數(shù)據(jù)保護條例》（General Data Protection Regulation， GDPR）已經(jīng)在數(shù)據(jù)合規(guī)中融合了一定程度的元規(guī)制理念，如GDPR第5條增加的透明度原則與問責(zé)原則被認(rèn)為目的在于強化數(shù)據(jù)控制者的內(nèi)部治理機制^［33］，GDPR第35條所規(guī)定的數(shù)據(jù)保護影響評估義務(wù)被認(rèn)為在保留了自我規(guī)制之靈活性的基礎(chǔ)上施加了外部規(guī)制的壓力^［34］，反觀國內(nèi)規(guī)范，《個人信息保護法》第58條規(guī)定的“獨立監(jiān)督機構(gòu)”在很大程度上體現(xiàn)了元規(guī)制的基本理念^［35］。

元規(guī)制能否有效適用于數(shù)據(jù)合規(guī)的關(guān)鍵在于，如何確保企業(yè)在開展數(shù)據(jù)合規(guī)工作中能夠合理運用其基于自身規(guī)制資源所享有的事實上的規(guī)制權(quán)力而不至于濫用其權(quán)力損害個人利益與公共利益。政府規(guī)制與自我規(guī)制雖然能夠在理論上結(jié)合于元規(guī)制，但仍然需要通過具體的制度展開予以落實。

（二）元規(guī)制視角下數(shù)據(jù)合規(guī)的制度展開

如前所述，元規(guī)制是自我規(guī)制與政府規(guī)制的有機統(tǒng)一而非機械結(jié)合，因此在適用元規(guī)制理論時，不應(yīng)當(dāng)將元規(guī)制的自我規(guī)制部分與政府規(guī)制部分區(qū)分開，而應(yīng)當(dāng)在具體制度中討論兩種規(guī)制模式的相互協(xié)調(diào)。具體而言，數(shù)據(jù)合規(guī)作為制度化的自我規(guī)制理念，其在保證企業(yè)自治的同時，需要受到政府的間接規(guī)制，在不同階段分別表現(xiàn)為“受指引的自我規(guī)制”“受監(jiān)督的自我規(guī)制”與“受限制的自我規(guī)制”，三者具體化為三種制度：隱私設(shè)計、風(fēng)險評估與多元問責(zé)。

1.受指引的自我規(guī)制：隱私設(shè)計

所謂“受指引的自我規(guī)制”，即雖然企業(yè)在開展數(shù)據(jù)合規(guī)工作時享有很大的自主權(quán)，但這種自我規(guī)制模式是受到政府的規(guī)范性指引的。本文擬提出的對策是“隱私設(shè)計”（Privacy by Design，PbD），即要求企業(yè)在設(shè)計數(shù)據(jù)處理系統(tǒng)時融入隱私保護合規(guī)的價值理念^［36］。PbD已經(jīng)在歐盟GDPR第25條實現(xiàn)了法律化，該條款主張將匿名化、最小化等技術(shù)措施融入具體的數(shù)據(jù)處理操作。PbD的概念最早由加拿大渥太華省信息與隱私委員會前主席安·卡沃基安（Ann Cavoukian）女士于20世紀(jì)90年代提出。2010年左右，安女士正式提出PbD的七大原則：“主動而非被動，預(yù)防而不是補救”（Proactive not Reactive；Preventative not Remedial）、“默認(rèn)隱私”（Privacy as the Default Setting）、“隱私嵌入設(shè)計”（Privacy Embedded into Design）、“功能完整—正和而非零和”（Full Functionality-Positive-Sum，not Zero-Sum）、“端到端的安全—數(shù)據(jù)全生命周期保護”（End-to-End Security-Full Lifecycle Protection）、“可見性和透明性—保持開放”（Visibility and Transparency-Keep it Open）、“尊重用戶隱私—以用戶為中心”（Respect for User Privacy-Keep it User-Centric）^［37］。

PbD意味著賦予企業(yè)很大的自主權(quán)，因為技術(shù)不再被認(rèn)為是價值中立與價值無涉的，而是可以體現(xiàn)一定的價值理念。在這一認(rèn)識下，PbD在數(shù)據(jù)合規(guī)中的適用，意味著企業(yè)在開展數(shù)據(jù)合規(guī)工作時，應(yīng)當(dāng)將隱私保護的合規(guī)要求作為技術(shù)設(shè)計的指引，從而在處理數(shù)據(jù)的技術(shù)系統(tǒng)中充分貫徹隱私保護的價值理念。毫無疑問，PbD的理想圖景非常契合元規(guī)制的基本理念：企業(yè)在開展數(shù)據(jù)合規(guī)工作時享有技術(shù)設(shè)計的自主權(quán)，體現(xiàn)自我規(guī)制的基本理念；企業(yè)在進行技術(shù)設(shè)計時需要遵守隱私保護的法律法規(guī)，以合規(guī)的思維將法律規(guī)范對隱私保護的價值理念融入技術(shù)設(shè)計中，從而保障設(shè)計出的系統(tǒng)在處理數(shù)據(jù)時能夠滿足基本的隱私保護合規(guī)要求，這又體現(xiàn)出政府的間接規(guī)制。

在具體的方法論上，根據(jù)霍夫曼等人的總結(jié)，PbD的具體設(shè)計方法主要包括八種：最小化、隱藏、分離、聚合、通知、控制、執(zhí)行和展示^［38］。以《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》5.4.2.1的“數(shù)據(jù)生存周期安全過程域”為分析框架，由于合規(guī)側(cè)重點的差異，在數(shù)據(jù)全生命周期的各個階段所需要用到的設(shè)計方法各不相同，如數(shù)據(jù)采集階段的最小化技術(shù)、數(shù)據(jù)傳輸階段的加密技術(shù)、數(shù)據(jù)存儲階段的定期刪除技術(shù)、數(shù)據(jù)處理階段的分離與聚合技術(shù)、數(shù)據(jù)交換階段的控制技術(shù)、數(shù)據(jù)銷毀階段的不可逆刪除技術(shù)等。

然而，PbD的適用存在一個很大的缺陷，即如何跨越法律與技術(shù)之間的鴻溝？法律規(guī)范是一種可供理解的文本，人工智能等技術(shù)卻是通過代碼運行的系統(tǒng)。應(yīng)當(dāng)承認(rèn)的是，PbD在很大程度上正是由于技術(shù)相對于人類的相對客觀性才備受青睞，但這也恰恰是其弱點，即遵從代碼運行之形式邏輯的技術(shù)系統(tǒng)如何“轉(zhuǎn)譯”包含價值概念的法律文本？在現(xiàn)有技術(shù)下，實現(xiàn)“法律代碼化”的精確轉(zhuǎn)譯顯然是行不通的，且這也在某種程度上有違民主法治的基本精神^［39］。更進一步而言，如果PbD的最終目的是實現(xiàn)國家制定的法律規(guī)范與企業(yè)設(shè)計的技術(shù)代碼的同一，那么這與傳統(tǒng)的政府規(guī)制就將毫無區(qū)別，即企業(yè)將不再享有自治空間，數(shù)據(jù)合規(guī)的自我規(guī)制理念也將不復(fù)存在。因此，更可取的做法是，通過制定技術(shù)標(biāo)準(zhǔn)或操作指南，從而實現(xiàn)PbD標(biāo)準(zhǔn)化。歐盟曾發(fā)布《關(guān)于第25條數(shù)據(jù)保護的指導(dǎo)方針》，列舉4項PbD設(shè)計標(biāo)準(zhǔn)：技術(shù)狀態(tài)、實施成本、處理行為的性質(zhì)及可能存在的風(fēng)險。有學(xué)者建議，應(yīng)當(dāng)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會參照國際標(biāo)準(zhǔn)制定PbD設(shè)計指南^［40］。

本文認(rèn)為，有關(guān)PbD的技術(shù)標(biāo)準(zhǔn)在很大程度上屬于算法設(shè)計的范疇，因為PbD所涉及的技術(shù)系統(tǒng)都是在數(shù)據(jù)全生命周期中處理數(shù)據(jù)的系統(tǒng)，這與數(shù)據(jù)的“引擎”——算法是密切相關(guān)的。此外，企業(yè)在Web3.0所享有的規(guī)制權(quán)力也在很大程度上是一種算法權(quán)力，因為算法能夠真正將企業(yè)所掌握的海量數(shù)據(jù)資源轉(zhuǎn)化為經(jīng)濟效益從而促進數(shù)字經(jīng)濟的發(fā)展。因此，針對PbD的技術(shù)標(biāo)準(zhǔn)問題可以轉(zhuǎn)化為對算法的規(guī)制問題，這往往同時涉及程序性問題與實質(zhì)性問題，分別對應(yīng)于《個人信息保護法》第24條第1款關(guān)于自動化決策的“透明度”與“結(jié)果公平、公正”。在程序性問題方面，重點需要解決的是PbD的“算法黑箱”問題，即有關(guān)技術(shù)標(biāo)準(zhǔn)的制定應(yīng)當(dāng)致力于導(dǎo)向“算法透明”。需要注意的是，“算法透明”并不僅僅意味著“算法公開”，因為基于專業(yè)壁壘，公開算法的程序或代碼對于受算法自動化決策影響的用戶而言并無太大意義，因此這就需要輔之以《個人信息保護法》第24條第3款的“算法解釋”，賦予用戶請求企業(yè)對算法進行說明的權(quán)利，如自動化決策的依據(jù)、流程等。該條款的“對個人權(quán)益有重大影響的決定”的前置性條件留存了可解釋的空間，此處可以理解為規(guī)制理論框架下自我規(guī)制與政府規(guī)制的動態(tài)性平衡關(guān)系：對于掌握較大數(shù)據(jù)資源的超大型平臺企業(yè)，由于其提供的服務(wù)覆蓋度廣、涉及面多，因此需要對其自我規(guī)制進行較大的限制，算法解釋的前置性門檻應(yīng)當(dāng)相應(yīng)降低；對于掌握較少數(shù)據(jù)資源的一般型平臺企業(yè)，由于其仍處于發(fā)展階段，對用戶的影響較小，應(yīng)當(dāng)鼓勵其積極自我規(guī)制，算法解釋的前置性門檻應(yīng)當(dāng)相應(yīng)提高。由此看來，自我規(guī)制與政府規(guī)制的動態(tài)平衡同時也是數(shù)字經(jīng)濟發(fā)展與數(shù)字權(quán)利保護之間的動態(tài)平衡。

在實體性問題方面，PbD的技術(shù)標(biāo)準(zhǔn)應(yīng)當(dāng)著眼于算法的輸出結(jié)果，即實現(xiàn)一種結(jié)果的“合理的一致性”。“一致性”的規(guī)范依據(jù)是《個人信息保護法》第24條第2款的“應(yīng)當(dāng)同時提供不針對其個人特征的選項，或者向個人提供便捷的拒絕方式”。具體而言，判斷PbD是否滿足技術(shù)標(biāo)準(zhǔn)的指標(biāo)在于，其自動化決策輸出的結(jié)果是否存在一致性，即是否會根據(jù)用戶的個人特質(zhì)進行不合理的差別性決策。此處之所以是“合理的一致性”，在于有些差別性決策是合理的，即每個用戶都有自己更為關(guān)注的信息，我們所要避免的只是違反意愿的“算法霸權(quán)”。因此，此處同樣可以輔之以“算法解釋”作為緩沖機制。

需要注意的是，由于客觀性風(fēng)險（代碼如何精確表達數(shù)據(jù)合規(guī)要求）與主觀性風(fēng)險（代碼可能滲入代碼編寫人員的意志）的存在，隱私設(shè)計有可能引發(fā)平臺企業(yè)數(shù)字權(quán)力無限擴張的風(fēng)險^［41］。從這個角度看，政府規(guī)制對自我規(guī)制的限制始終是有必要的。

2.受監(jiān)督的自我規(guī)制：風(fēng)險評估

PbD作為“受引導(dǎo)的自我規(guī)制”，顯然是不充分的，因為PbD的技術(shù)標(biāo)準(zhǔn)屬于一種“軟法”，并不具有強制力，企業(yè)仍然享有很大的自主權(quán)，如果不通過其他制度進行約束，那么將很有可能為企業(yè)通過PbD擴張其數(shù)字化權(quán)力提供便利（算法利維坦）。因此，企業(yè)開展數(shù)據(jù)合規(guī)工作不僅需要受到引導(dǎo)，還需要受到監(jiān)督，此即“受監(jiān)督的自我規(guī)制”。具體而言，在企業(yè)建立起基本的數(shù)據(jù)合規(guī)制度體系后，其需要對該合規(guī)制度體系下的數(shù)據(jù)處理流程進行風(fēng)險評估，即在某種程度上驗證數(shù)據(jù)合規(guī)制度體系的成效。

歐盟GDPR第35條就規(guī)定了“數(shù)據(jù)保護影響評估”，要求數(shù)據(jù)控制者應(yīng)當(dāng)在數(shù)據(jù)歸集行為可能對自然人的自由權(quán)利造成高風(fēng)險時，開展“數(shù)據(jù)保護影響評估”，又稱“隱私影響評估”。近年來，隱私影響評估制度已經(jīng)獲得各國政府機構(gòu)、企業(yè)、隱私專家的高度認(rèn)同，歐盟、加拿大、美國等都在倡導(dǎo)這一制度，蘋果、微軟、惠普等互聯(lián)網(wǎng)巨頭也在踐行這一舉措^［42］。在隱私影響評估的實施步驟方面，英國信息委員會辦公室2014年發(fā)布的報告《執(zhí)行隱私影響評估的實踐代碼》進行了總結(jié)：確定隱私評估的需求，描述數(shù)據(jù)流，識別隱私和相關(guān)風(fēng)險，界定和評估隱私解決方案，簽署并記錄隱私影響評估的結(jié)果，將評估結(jié)果反饋到項目計劃中。在中國，有關(guān)個人信息保護的數(shù)據(jù)合規(guī)風(fēng)險評估機制的規(guī)范依據(jù)是《個人信息保護法》第55、56條所規(guī)定的“個人信息保護影響評估”。事實上，中國早在2017年發(fā)布的國家標(biāo)準(zhǔn)《信息安全技術(shù) 個人信息安全規(guī)范》中就提出“個人信息安全影響評估”，并在2020年發(fā)布的《信息安全技術(shù) 個人信息安全影響評估指南》全面規(guī)定了個人信息安全影響評估的具體實施流程。

本文認(rèn)為，目前對數(shù)據(jù)合規(guī)風(fēng)險評估機制的討論主要圍繞該機制的具體建構(gòu)與實踐適用問題，缺乏對該機制效力的討論，即風(fēng)險評估的結(jié)果有何法律效力？其如何與其他制度進行銜接？回到數(shù)據(jù)合規(guī)的基本原理，數(shù)據(jù)合規(guī)既是企業(yè)開展自我規(guī)制的形式，也是政府規(guī)制的激勵性手段體現(xiàn)。具體而言，數(shù)據(jù)合規(guī)風(fēng)險評估機制可以與“涉案企業(yè)合規(guī)從寬”制度銜接起來。以《深圳市企業(yè)數(shù)據(jù)合規(guī)指引》第3條為例，數(shù)據(jù)合規(guī)風(fēng)險評估結(jié)果可以作為該條第1款的“履行數(shù)據(jù)合規(guī)義務(wù)”的義務(wù)履行標(biāo)準(zhǔn)。數(shù)據(jù)合規(guī)風(fēng)險評估結(jié)果良好的，應(yīng)當(dāng)在該條第3款的“有效性標(biāo)準(zhǔn)”中作為有效合規(guī)證明予以考量。此處需要說明的是，數(shù)據(jù)合規(guī)風(fēng)險評估機制是基于數(shù)據(jù)全生命周期的風(fēng)險評估，涉及數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)處理、數(shù)據(jù)交換、數(shù)據(jù)銷毀等多個階段，因此相應(yīng)的風(fēng)險評估結(jié)果也應(yīng)當(dāng)是階段性的，即對數(shù)據(jù)合規(guī)風(fēng)險評估結(jié)果的認(rèn)定不應(yīng)呈現(xiàn)為“一攬子”認(rèn)定，而應(yīng)當(dāng)區(qū)分各個階段分別予以認(rèn)定。

此外，除了與“涉案企業(yè)合規(guī)從寬”制度銜接，數(shù)據(jù)合規(guī)風(fēng)險評估機制還可以與《個人信息保護法》第54條的“合規(guī)審計”制度連接起來。2023年8月，國家互聯(lián)網(wǎng)信息辦公室發(fā)布了《個人信息保護合規(guī)審計管理辦法（征求意見稿）》及配套的《個人信息保護合規(guī)審計參考要點》，首次明確了個人信息保護合規(guī)審計的基本要求。與公權(quán)力導(dǎo)向的“涉案企業(yè)合規(guī)從寬”不同，合規(guī)審計是由企業(yè)內(nèi)部機構(gòu)（內(nèi)審）或第三方專業(yè)機構(gòu)（外審）為實施主體的，其目的在于對企業(yè)的個人信息處理活動是否遵守法律、行政法規(guī)的情況進行審查和評價，屬于私權(quán)力監(jiān)督模式。就此而言，元規(guī)制不僅僅意味著統(tǒng)合政府規(guī)制與自我規(guī)制，還主張規(guī)制主體的多元化，即在規(guī)制資源不斷分散的情況下，應(yīng)當(dāng)協(xié)調(diào)政府、企業(yè)、第三方等多元主體的規(guī)制權(quán)力，重新塑造更加節(jié)約規(guī)制成本的規(guī)制空間結(jié)構(gòu)。數(shù)據(jù)合規(guī)風(fēng)險評估機制嵌入這一規(guī)制格局的方式在于，企業(yè)自行開展風(fēng)險評估所得的數(shù)據(jù)合規(guī)風(fēng)險評估結(jié)果可以作為內(nèi)審或外審的參考，這也是內(nèi)部獨立監(jiān)督機構(gòu)與外部第三方專業(yè)機構(gòu)獲取被審計企業(yè)信息的重要方式，這既是基于成本收益分析的優(yōu)質(zhì)選擇，也避免了對企業(yè)自主開展數(shù)據(jù)合規(guī)風(fēng)險評估機制的積極性的打擊。概而言之，在個人信息保護合規(guī)審計中，基本框架仍然是“企業(yè)—政府”二元共治格局，即政府頒布法律要求企業(yè)對自身的數(shù)據(jù)合規(guī)工作開展合規(guī)評估，但開展合規(guī)審計的主體可以是內(nèi)部獨立監(jiān)督機構(gòu)或外部第三方專業(yè)機構(gòu)，這就進一步豐富了規(guī)制資源的分配格局，可以形成制衡各方規(guī)制權(quán)力的更佳規(guī)制空間結(jié)構(gòu)。

事實上，評估機制的法理基礎(chǔ)是平臺企業(yè)通過證明自己的數(shù)據(jù)風(fēng)險治理能力來獲得政府的信任，從而避免公權(quán)力對平臺企業(yè)經(jīng)濟活動的直接介入。但在一定程度上，評估機制也推動形成了一種競爭秩序。當(dāng)政府的公權(quán)力背書具備稀缺性時，平臺企業(yè)就有動力投入相應(yīng)的資源予以爭取^［43］。實踐中，這種競爭態(tài)勢逐漸演化為一種“錦標(biāo)賽理論”（tournament theory）^［44］的模型預(yù)設(shè)，這種模式在激勵平臺企業(yè)開展合規(guī)評估的同時，是否會為資本力量開通非正當(dāng)?shù)木G色通道，也是政府規(guī)制需要予以考量的地方。

3.受強制的自我規(guī)制：多元問責(zé)

作為“受監(jiān)督的自我規(guī)制”的風(fēng)險評估從事前預(yù)防的角度督促企業(yè)自主評估數(shù)據(jù)合規(guī)制度體系下的風(fēng)險，從而實現(xiàn)對企業(yè)自我規(guī)制的監(jiān)督；這一部分的多元問責(zé)則是從事后救濟的角度對企業(yè)自我規(guī)制施加的限制。與前兩個環(huán)節(jié)相比，作為“受強制的自我規(guī)制”的多元問責(zé)更多地體現(xiàn)了公權(quán)力介入的強制性，起到兜底保障的作用。

具體而言，對于因數(shù)據(jù)合規(guī)不達標(biāo)而存在侵犯信息數(shù)據(jù)等法律風(fēng)險的企業(yè)，應(yīng)當(dāng)建立相應(yīng)的問責(zé)機制。在規(guī)范層面，域外的GDPR第5條明確了對企業(yè)作為數(shù)據(jù)處理者的問責(zé)機制，國內(nèi)的《個人信息保護法》第51條要求個人信息處理者履行相應(yīng)的信息保護合規(guī)義務(wù)，如采用加密、去標(biāo)識化等安全技術(shù)措施，以及確定個人信息保護負(fù)責(zé)人、定期對從業(yè)人員進行安全教育和培訓(xùn)等組織措施。

本文主張的“多元問責(zé)”包括“責(zé)任主體多元”與“責(zé)任形式多元”。責(zé)任主體多元意味著企業(yè)并非唯一且必然的責(zé)任主體。結(jié)合GDPR序言第78條規(guī)定，經(jīng)設(shè)計的數(shù)據(jù)保護的義務(wù)主體不僅僅限于數(shù)據(jù)控制者，還延伸至“生產(chǎn)者”和“處理者”。國內(nèi)于2019年發(fā)布的《新一代人工智能治理原則》要求“人工智能研發(fā)者、使用者及其他相關(guān)方應(yīng)具有高度的社會責(zé)任感和自律意識，嚴(yán)格遵守法律法規(guī)、倫理道德和標(biāo)準(zhǔn)規(guī)范。建立人工智能問責(zé)機制，明確研發(fā)者、使用者和受用者等的責(zé)任”，已經(jīng)反映出擴張人工智能領(lǐng)域責(zé)任主體范圍的意圖。當(dāng)然，直接將設(shè)計者、開發(fā)者納入責(zé)任主體范疇，目前條件尚不成熟，對此可采取鼓勵性條款或自我承諾方式，對其責(zé)任承擔(dān)方式加以柔性化處理^［45］。以PbD為例，在因數(shù)據(jù)合規(guī)不達標(biāo)而產(chǎn)生法律風(fēng)險的情況下，如何分擔(dān)企業(yè)（委托方）與專家（被委托方）之間的法律責(zé)任？毫無疑問，企業(yè)是數(shù)據(jù)合規(guī)的法定義務(wù)人，其需要承擔(dān)主要的法律責(zé)任；然而，專家在PbD中扮演著重要角色，因為處理數(shù)據(jù)的技術(shù)系統(tǒng)是由專家設(shè)計的。PbD被廣為詬病的一點就在于，專家（代碼編寫人員）在某種程度上成為了事實上的立法者^［41］。此處可以聯(lián)系“受引導(dǎo)的自我規(guī)制”，即技術(shù)標(biāo)準(zhǔn)是企業(yè)運用PbD開展數(shù)據(jù)合規(guī)工作的指導(dǎo)，但技術(shù)標(biāo)準(zhǔn)究竟在多大程度上起到了引導(dǎo)作用，還有賴于企業(yè)的內(nèi)部合規(guī)制度體系建設(shè)。在責(zé)任承擔(dān)方面，如果企業(yè)參照技術(shù)標(biāo)準(zhǔn)形成了公司內(nèi)部的規(guī)章制度，并用以指導(dǎo)技術(shù)系統(tǒng)的設(shè)計，那么就可以認(rèn)為企業(yè)的過錯較小，其自我規(guī)制可以得到繼續(xù)肯定；反之，如果企業(yè)內(nèi)部沒有形成符合技術(shù)標(biāo)準(zhǔn)的規(guī)章制度，則可以初步認(rèn)定其沒有很好地接受政府規(guī)制的引導(dǎo)，應(yīng)當(dāng)承擔(dān)較大的責(zé)任。在專家方面，應(yīng)當(dāng)以企業(yè)與專家之間的委托合同合理確認(rèn)專家所應(yīng)當(dāng)承擔(dān)的責(zé)任范圍。在實踐考察中，應(yīng)當(dāng)重點關(guān)注企業(yè)是否有將相關(guān)的數(shù)據(jù)合規(guī)要求以便于理解的方式告知專家，且在技術(shù)系統(tǒng)成型后，企業(yè)應(yīng)當(dāng)進行產(chǎn)品驗收，即測試與評估該技術(shù)系統(tǒng)在處理數(shù)據(jù)的過程中是否存在侵犯信息數(shù)據(jù)的法律風(fēng)險，是否滿足了PbD關(guān)于保護個人隱私的基本價值理念，這又可以與“受監(jiān)督的自我規(guī)制”的風(fēng)險評估機制銜接起來。

責(zé)任形式多元主要是基于數(shù)據(jù)合規(guī)的基本性質(zhì)之考量。數(shù)據(jù)合規(guī)作為一種自我規(guī)制模式，其順利開展得益于法律的激勵措施，因此對數(shù)據(jù)合規(guī)的規(guī)制性問責(zé)也不宜帶有過于濃烈的強制性色彩（一刀切）。根據(jù)布雷思韋特的執(zhí)法金字塔（enforcement pyramid）理論，規(guī)制者應(yīng)當(dāng)情景化地思考，與被規(guī)制者進行結(jié)構(gòu)式的對話。具體而言，規(guī)制者應(yīng)首先盡量選用干預(yù)程度較低的規(guī)制措施（如教育、建議、勸導(dǎo)），如果這些措施失靈，規(guī)制者才逐步采取干預(yù)度更高的執(zhí)法措施（如警告、制裁）^［47］。因此，對數(shù)據(jù)合規(guī)的問責(zé)可以采用一種“執(zhí)法金字塔”思維，根據(jù)企業(yè)對待問責(zé)的態(tài)度與反應(yīng)決定與調(diào)整不同梯度的責(zé)任形式。依據(jù)一般的企業(yè)合規(guī)理論，國內(nèi)律師為律師提供的合規(guī)服務(wù)一般包括三部分：打造合規(guī)計劃、提供合規(guī)調(diào)查、應(yīng)對執(zhí)法調(diào)查^［48］。與之對應(yīng)，數(shù)據(jù)合規(guī)中的“企業(yè)—政府”二元互動關(guān)系可以在每個階段體現(xiàn)出來，從而確定企業(yè)在自我規(guī)制失范時所應(yīng)當(dāng)承擔(dān)的責(zé)任。在打造合規(guī)計劃階段，企業(yè)享有制定公司內(nèi)部規(guī)章制度的自主權(quán)，企業(yè)需要在法律法規(guī)與技術(shù)標(biāo)準(zhǔn)的指引下建立完善公司內(nèi)部的數(shù)據(jù)合規(guī)制度體系，若未達到形式上的基本合規(guī)要求（如紙面上的規(guī)章制度、組織架構(gòu)上的數(shù)據(jù)合規(guī)官等），有關(guān)監(jiān)管部門可以責(zé)令企業(yè)盡快完善內(nèi)部數(shù)據(jù)合規(guī)制度體系從而滿足法律法規(guī)的要求；在提供合規(guī)調(diào)查階段，在企業(yè)內(nèi)部的數(shù)據(jù)合規(guī)制度體系已經(jīng)基本建立起來的情況下，如果企業(yè)在數(shù)據(jù)處理活動中出現(xiàn)了法律風(fēng)險乃至已經(jīng)發(fā)生了違法違規(guī)行為，則需要在有關(guān)監(jiān)管部門的要求與指引下開展合規(guī)內(nèi)部調(diào)查，對企業(yè)的違規(guī)行為、違規(guī)人員、合規(guī)機制漏洞等問題展開獨立的調(diào)查活動，即所謂“以合規(guī)換取寬大處理”；在應(yīng)對執(zhí)法調(diào)查階段，如果企業(yè)的違法違規(guī)行為已經(jīng)案發(fā)，則需要應(yīng)對有關(guān)監(jiān)管部門的執(zhí)法調(diào)查，在監(jiān)管部門的要求下提供相應(yīng)的證據(jù)材料，如證明企業(yè)已經(jīng)履行了“三駕馬車”等法律法規(guī)所要求的網(wǎng)絡(luò)經(jīng)營企業(yè)應(yīng)當(dāng)承擔(dān)的網(wǎng)絡(luò)數(shù)據(jù)安全管理義務(wù)，包括建立全流程安全管理制度、設(shè)立數(shù)據(jù)安全負(fù)責(zé)人和管理機構(gòu)、建立定期風(fēng)險評估與專業(yè)審計等制度等，從而爭取獲得最大限度的寬大處理。概而言之，通過一種彈性的問責(zé)機制，區(qū)分不同階段要求企業(yè)承擔(dān)不同的法律責(zé)任，既照顧了企業(yè)的自我規(guī)制，又保障了政府規(guī)制的兜底性保障。

五、結(jié)語

在國家積極推動企業(yè)建立數(shù)據(jù)合規(guī)制度體系的浪潮下，數(shù)據(jù)合規(guī)本身的理論思考在很長一段時間內(nèi)遭到了學(xué)界的忽視，本文正是立足于這一熱潮下的冷思考，從而引入規(guī)制理論深入分析數(shù)據(jù)合規(guī)背后所隱藏的社會關(guān)系。概而言之，大數(shù)據(jù)時代下的企業(yè)掌握著豐富的數(shù)據(jù)資源從而獲得了一定的規(guī)制資源，享有了不同于傳統(tǒng)政府權(quán)力的規(guī)制權(quán)力，而政府也在這一規(guī)制資源分配格局發(fā)生轉(zhuǎn)變的情況下逐漸改變自己的規(guī)制角色，進而重新塑造了國家治理圖景下的規(guī)制空間。在這一理論視角下，單一的企業(yè)視角（公司治理方式）與政府視角（法律激勵措施）都無法全面地揭示數(shù)據(jù)合規(guī)的基本性質(zhì)。有鑒于此，本文提出的“企業(yè)—政府”二元共治論將是更具參考意義的理論工具。

在“企業(yè)—政府”二元共治論的理論基礎(chǔ)上，應(yīng)當(dāng)在實踐層面平衡好企業(yè)與政府之間的規(guī)制權(quán)力沖突，即自我規(guī)制與政府規(guī)制之間的張力。就此而言，規(guī)制理論框架下的“元規(guī)制”可以提供進一步的分析視角，即應(yīng)當(dāng)避免將自我規(guī)制與政府規(guī)制相互割裂，而應(yīng)當(dāng)將二者有機結(jié)合，并從制度建構(gòu)的角度探討二者的互動關(guān)系。本文擬提出三種相互關(guān)聯(lián)、循序漸進的互動方式：在“受指引的自我規(guī)制”中，引入隱私設(shè)計理論，通過頒布技術(shù)標(biāo)準(zhǔn)引導(dǎo)企業(yè)在設(shè)計數(shù)據(jù)處理技術(shù)時貫徹隱私保護的價值理念；在“受監(jiān)督的自我規(guī)制”中，建立風(fēng)險評估機制，要求企業(yè)對其數(shù)據(jù)合規(guī)制度體系下數(shù)據(jù)處理的各個階段進行風(fēng)險評估；在“受限制的自我規(guī)制”中，通過多元問責(zé)方式，合理平衡企業(yè)與專家之間的責(zé)任分擔(dān)，以一種更為彈性的問責(zé)方式在不同階段合理確定企業(yè)應(yīng)當(dāng)承擔(dān)的責(zé)任形式。

在Web3.0時代，數(shù)據(jù)合規(guī)代表著一種“規(guī)制多元主義”的治理理念，即傳統(tǒng)的“政府中心主義”規(guī)制理念已經(jīng)日漸捉襟見肘，各種非政府主體因掌握龐大的數(shù)據(jù)資源也成為了事實上的規(guī)制主體，享有不可忽視的規(guī)制權(quán)力。在這一規(guī)制圖景下，每個規(guī)制主體同時又是被規(guī)制主體，各主體在彼此限制、彼此制衡中共同重構(gòu)了新時代的規(guī)制空間。就此而言，本文所提出的數(shù)據(jù)合規(guī)“企業(yè)—政府”二元共治論只是“規(guī)制多元主義”下新規(guī)制空間的冰山一角，完整的圖景描繪還將留待進一步的理論洞察與審慎分析。

參考文獻：［1］

李勇.數(shù)據(jù)合規(guī)的模式變革——從權(quán)利人“知情同意”到使用者“預(yù)測算法”［J］.西南政法大學(xué)學(xué)報，2022（5）：117.

［2］陳兵.數(shù)字企業(yè)數(shù)據(jù)跨境流動合規(guī)治理法治化進路［J］.法治研究，2023（2）：35-37.

［3］楊力.論數(shù)據(jù)安全的等保合規(guī)范式轉(zhuǎn)型［J］.法學(xué)，2022（6）：24-26.

［4］李玉華，馮泳琦.數(shù)據(jù)合規(guī)的基本問題［J］.青少年犯罪問題，2021（3）：7-12.

［5］杜何陽，何騰蛟.數(shù)據(jù)合規(guī)流通制度的上海經(jīng)驗和探索［J］.中國外資，2020（20）：47-49.

［6］陳瑞華.大數(shù)據(jù)公司的合規(guī)管理問題［J］.中國律師，2020（1）：88.

［7］張旭，田園.算法治理視閾下的企業(yè)合規(guī)：困境、邏輯與進路［J］.蘭州大學(xué)學(xué)報（社會科學(xué)版），2022（2）：95-96.

［8］王倩，顧雪瑩.GDPR下涉歐企業(yè)的員工個人數(shù)據(jù)合規(guī)管理［J］.德國研究，2021（2）：125-136.

［9］何航.企業(yè)數(shù)據(jù)安全合規(guī)治理的關(guān)鍵問題與紓解［J］.貴州社會科學(xué)，2022（10）：127.

［10］胡玲，馬忠法.論中國企業(yè)數(shù)據(jù)合規(guī)體系的構(gòu)建及其法律障礙［J］.科技與法律，2023（2）：42.

［11］陳瑞華.企業(yè)合規(guī)的基本問題［J］.中國法律評論，2020（1）：180，183-184.

［12］尹云霞，莊燕君，李曉霞.企業(yè)能動性與反腐敗“輻射型執(zhí)法效應(yīng)”［J］.交大法學(xué)，2016（2）：28-41.

［13］陳瑞華.論企業(yè)合規(guī)的基本價值［J］.法學(xué)論壇，2021（6）：7.

［14］崔永東.從法律激勵視角看企業(yè)合規(guī)［J］.法治研究，2023（1）：124.

［15］李本燦.企業(yè)合規(guī)程序激勵的中國模式［J］.法律科學(xué)，2022（4）：149.

［16］鄢浩宇.企業(yè)數(shù)據(jù)合規(guī)的困境紓解與體系構(gòu)建［J］.華中科技大學(xué)學(xué)報（社會科學(xué)版），2024（4）：36.

［17］科林·斯科特.規(guī)制、治理與法律：前沿問題研究［M］.安永康，譯.北京：清華大學(xué)出版社，2018：115-116.

［18］倪洪濤.論西方行政法治的主要類型［J］.法律科學(xué)（西北政法大學(xué)學(xué)報），2022（3）：114，116.

［19］Edwin Amenta. Bold Relief： Institutional Politics and the Origins of Modern American Social Policy［M］. Princeton： Princeton University Press，1998：200.

［20］桑斯坦.權(quán)利革命之后：重塑規(guī)制國［M］.鐘瑞華，譯.北京：中國人民大學(xué)出版社，2008：24-25.

［21］陳明.認(rèn)真對待規(guī)制——評《規(guī)制、治理與法律：前沿問題研究》［J］.公法研究，2021（1）：396-417.

［22］克里斯托弗·胡德等.監(jiān)管政府：節(jié)儉、優(yōu)質(zhì)與廉政體制設(shè)置［M］.陳偉，譯.上海：三聯(lián)書店出版社，2009：12.

［23］Peter Grabosky. Using Non-Governmental Resources to Foster Regulatory Compliance［J］. Governance，1995（8）：527.

［24］Richard Pildes， Cass Sunstein. Reinventing the Regulatory State［J］. The University of Chicago Law Review，1995（1）：62.

［25］何敏，馬詩雅.互聯(lián)網(wǎng)企業(yè)數(shù)據(jù)不正當(dāng)競爭一般條款適用邏輯之辨［J］.科技與法律，2022（2）：54-62.

［26］沈費偉，諸靖文.數(shù)據(jù)賦能：數(shù)字政府治理的運作機理與創(chuàng)新路徑［J］.政治學(xué)研究，2021（1）：104-115.

［27］孫笑俠.數(shù)字權(quán)力如何塑造法治？——關(guān)于數(shù)字法治的邏輯與使命［J］.法制與社會發(fā)展，2024（2）：67-69.

［28］胡凌.平臺發(fā)包制：當(dāng)代中國平臺治理的內(nèi)在邏輯［J］.文化縱橫，2023（4）：18-27.

［29］Michael Clarke. Regulation： The Social Control of Business Between Law and Politics［M］. London：Palgrave Macmillan，2000：25-26.

［30］季衛(wèi)東.主權(quán)的嬗變——數(shù)字化“魔獸世界”與法律秩序創(chuàng)新［J］.交大法學(xué)，2023（5）：8-13.

［31］羅伯特·鮑德溫，馬丁·凱夫，馬丁·洛奇.牛津規(guī)制手冊［M］.宋華琳，李鸻，安永康，等，譯，上海：三聯(lián)書店出版社，2017：167.

［32］韓新華.平臺時代網(wǎng)絡(luò)內(nèi)容治理的元規(guī)制模式［J］.中國出版，2022（5）：51.

［33］周漢華.探索激勵相容的個人數(shù)據(jù)治理之道——中國個人信息保護法的立法方向［J］.法學(xué)研究，2018（2）：3-23.

［34］Macenaite. The Riskification of European Data Protection Law Through a Two-fold Shift［J］. European Journal of Risk Regulation，2017（3）：506-540．

［35］劉紹宇.超大互聯(lián)網(wǎng)平臺中個人信息保護獨立監(jiān)督機構(gòu)的元規(guī)制論［J］.重慶理工大學(xué)學(xué)報（社會科學(xué)），2023（5）：127.

［36］占南.重大疫情防控中的個人信息保護研究——基于隱私保護設(shè)計理論［J］.現(xiàn)代情報，2021（1），104-105.

［37］張濤.個人數(shù)據(jù)保護中“通過設(shè)計保護隱私”的基本原理與制度建構(gòu)［J］.華東理工大學(xué)學(xué)報（社會科學(xué)版），2020（6）：133-135.

［38］Jaap-Henk Hoepman. Privacy Design Strategies［M］. Berlin： Springer，2014：51-52.

［39］阿圖爾·考夫曼.法律哲學(xué)［M］.劉幸義，等，譯.北京：法律出版社，2011：143.

［40］張濤.大數(shù)據(jù)時代“通過設(shè)計保護數(shù)據(jù)”的元規(guī)制［J］.大連理工大學(xué)學(xué)報（社會科學(xué)版），2021（2）：86.

［41］段俊熙，徐亞文.隱私設(shè)計的數(shù)字權(quán)力風(fēng)險與多元優(yōu)化路徑［J］.長江論壇，2024（6）：78.

［42］鄭志峰.人工智能時代的隱私保護［J］.法律科學(xué)，2019（2）：57.

［43］段俊熙.重構(gòu)人工智能風(fēng)險治理：從內(nèi)部視角到外部視角［J］.西安電子科技大學(xué)學(xué)報（社會科學(xué)版），2024（2）：68-69.

［44］周黎安.中國地方官員的晉升錦標(biāo)賽模式研究［J］.經(jīng)濟研究，2007（7）：38.

［45］張繼紅.經(jīng)設(shè)計的個人信息保護機制研究［J］.法律科學(xué)，2022（3）：42.

［46］Demetrius Klitou. Liberty and Security in the 21st Century［M］. Berlin：Springer，2014：282-283.

［47］lan Ayres，John Braithwaite. Responsive Regulation： Transcending the Deregulation Debate［M］. London： Oxford University Press，1992：35.

［48］陳瑞華.企業(yè)合規(guī)基本理論［M］.北京：法律出版社，2022：495.

Towards Dual Co-governance for Data Compliance：

From the Perspective of Regulatory Theory

DUAN Junxi，XU Yawen

Abstract： A correct understanding of the concept of data compliance should start from the perspective of the history of regulation （welfare state-regulatory state-post-regulatory state）： the post-regulatory state is a corrective development of the regulatory state rather than a total rejection of the regulatory state， and therefore， the theory of “business-government” dualism is the theoretical path to comprehensively interpret the basic nature of data compliance. Combining the dual perspectives of the enterprise and the government， the theory of regulation is introduced to analyze the allocation of regulatory resources and the reconfiguration of regulatory space between the enterprise and the government. On this basis， the theoretical perspective of “meta-regulation” is used to unify self-regulation and government regulation under the framework of data compliance， and the institutional structure of data compliance can be developed from three perspectives： in “guided self-regulation”， privacy design theory is introduced to guide enterprises in the design of data processing through the issuance of In “guided self-regulation”， the theory of privacy design is introduced， and enterprises are guided to implement the value concept of privacy protection in the design of data processing technology through the promulgation of technical standards; in “supervised self-regulation”， a risk assessment mechanism is established， requiring enterprises to assess the risk of each stage of data processing under the system of their data compliance system; in “restricted self-regulation”， multiple accountability mechanisms are established to ensure that enterprises are able to fulfill their obligations under the system of data compliance. In “restricted self-regulation”， a reasonable balance is struck between the sharing of responsibilities between enterprises and experts through multiple accountability methods， so as to reasonably determine the forms of responsibility that enterprises should assume at different stages in a more flexible manner.

Key words： data compliance; dual co-governance; self-regulation; government regulation; meta-regulation

（責(zé)任編輯：葉光雄）