【摘要】数据经济的背后是信息处理、利用方式的革命。其中,个人信息的处理既可能提升社会合作的效率,也可能限制个人的发展、影响社会公平正义,需要建立兼顾各种价值的治理框架。由于越来越多的社会活动建立在对个人数据的处理之上,一方面,借助个人数据的治理规则,可以撬动大量社会问题的解决;另一方面,也导致个人数据治理规则面临更为复杂的任务,需要平衡大量相互冲突的利益。因此,我们需要发展个人数据的合作治理模式,动员企业、产业组织、行业协会、学术机构等社会组织参与到规则制定和执行过程中。特别需要重视行业行为准则、基于市场逻辑的技术标准和企业内部治理架构等方面的功能。
【关键词】个人数据 合作治理 行业准则 技术标准 内部治理
【中图分类号】D923 【文献标识码】A
【DOI】10.16619/j.cnki.rmltxsqy.2023.06.003
数据经济与个人数据保护
我们日渐进入一切都数据化的时代,越来越多活动开始以数据的处理为基础而展开,数据经济因此蓬勃发展。数据的价值在于其承载的信息,正是因为数据化革命性地降低了信息获取、复制、传播、利用的成本,才形成了以数据处理为基础来组织生产、流通、消费和社会服务管理的社会动力。由此,数据经济的背后是信息记录、传播、利用和解释方式的革命性变化。
信息是人与人之间交互的基本介质,数据革命因而带来了两个方向上的深远影响:一方面,推动数据流动利用的意义开始凸显。由于对相关信息的可及性始终是生产、生活和社会治理有效开展的结构性条件,推动记载信息的数据有效流通利用,释放价值红利成为重要的政策目标;另一方面,信息的利用又有超越经济意义的维度需要考虑,例如,国家安全、社会的价值观念等。这也带来了完善治理体系,保障安全发展的需求。实际上,这也是近期《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称《构建数据基础制度意见》)的两个基本关切。[1]
在诸多治理需求中,对承载个人信息的数据(以下简称“个人数据”)的治理具有重要地位,也是与人民群众直接相关的议题。这些数据是个人身份在数字空间的投射,在个体的数字化生活与实体生活不断嵌合、社会也越来越依赖数字空间进行交互的趋势下,这些数据的处理会形成他人、社会对个体的定义。基于这些定义的推荐商品服务、分配工作机会、推送新闻信息等活动,又会进一步影响个体的发展空间,塑造个体的认知、偏好、观念。因此,个人数据保护的意义在于,在数字化生存中维护人的尊严。这种尊严的维护既是个体层面的自我实现的前提,也是确保整个社会公平正义的基础。正因如此,建立健全个人数据的治理机制,规范个人信息处理活动,促进个人信息合理利用也是《构建数据基础制度意见》重点关注的议题之一。[2]
与此同时,个人数据保护并非一味限制这些数据处理活动,其规则设计亦必须理解当下数据经济的逻辑。个人数据是“承载个人信息”的数据,而非“归个人所有”的数据。而且,与个人隐私不同,个人信息是非常宽泛的,凡是与已识别或者可识别的自然人有关的各种信息都包括在内。对这些个人信息的利用,在很多情况下是人与人之间有效交往、合作的基本前提:企业雇佣员工、医生开展治疗、媒体进行报道、学校进行教育等活动都需要掌握相关主体的个人信息。数据经济的内在逻辑也是便利这种信息利用,从而支撑起基于这些信息的社会合作。[3]
由于个人数据的这些特点及其社会功能,个体无法也不应当享有对涉及其信息的数据的绝对化的控制。实际上,没有人是一座孤岛,人只有在与他人的交往中才能发现和实现自我,这种交往必然伴随个人数据的流动。保护个体的自我实现也并非要求个体完全免于社会影响,我们每个人都被社会环境所塑造。
因此,个人数据保护的规则设计需要契合数据经济的内在逻辑。数字时代的个人数据治理需要寻求与传统隐私保护不同的思路:后者是禁止特定信息的披露行为,截断相应的信息流,让个人的这部分信息在公共视野中模糊化,为个体创造一个隐秘的、无法被其他主体窥探的私密空间;而个人数据的治理并非旨在截断信息流通,而是要求相关主体基于合法目的、公平地处理个人数据,确保处理活动是透明的和负责任的,确保受到影响的个体能够参与到处理活动中来形成制衡。[4]在这个意义上,个人数据保护意在塑造一个能够获得社会成员信任的个人数据流通、利用环境,从而促进而非限制个人数据的合理利用,进而支撑数据经济的发展。
数字空间“所有事物之法”的机遇与挑战
早在20世纪中期,伴随信息通信技术的发展,强化个人数据保护便被提上日程。但是,在技术普及、演进的不同阶段,技术对社会交往关系的影响、与既有社会生产机制的结合方式不尽相同,规则设计面对的问题亦有巨大的差异。[5]在早期,个人数据处理仅限于一些具体环节,是相对辅助、次要的。例如,无论是经营活动还是政府管理,很早便开始对客户(管理相对人)的基本信息进行电子记录。然而,在当下,互联网和数字技术深入嵌套进社会生活的方方面面、管理流程的各个环节,深刻改造了我们的生产生活环境,重塑了社会交互的场域。在此背景下,社会对个人数据的处理利用无论在规模上,还是在内在动力机制上,已经完全不同。
由于互联网和数字技术以数据的处理为基础,我们已经进入一个“一切都被数据化的时代”,各行各业的活动逐渐以数据处理为基本的决策基础,其中,大量数据又是个人数据:在经济活动方面,基于个人行为数据的用户画像日渐普及,以期更有效率地组织生产,更精确地推荐商品、服务和信息,提升供需匹配的效率;在社会管理服务方面,数字政府建设已成国家战略,以数据赋能决策和管理服务成为日渐强化的趋势,[6]而以“数据多跑路,百姓少跑腿”为目标的一站式政务服务,其基础就是体系性地处理管理和服务对象的个人数据。
这一趋势背后有着深刻的经济逻辑,但也意味着个人数据保护规则的适用范围越来越宽泛。个人数据保护的法律规则将影响极其广泛的活动,面临着成为数字空间“所有事物之法”(law of everything)的趋势。[7]在此背景下,个人数据保护面临前所未有的机遇。
个人数据保护被赋予越来越多的功能。由于越来越多的活动建立在个人数据处理基础之上,以个人数据处理活动的规范为连接点,撬动起更多社会问题的解决,成为法律日渐关注的议题。由此,个人数据保护制度承载的功能日渐拓展。
在早期,个人数据保护的基本功能在于确保个体能够参与到处理活动中来,使其能够对掌握数据的处理者的“权力”形成制衡,从而维护自身的权利。而且,其保护的方法与思路也没有脱离传统隐私保护的窠臼,甚至,理论层面也有将其概括为信息隐私保护的观点(informational privacy)[8]。
当下,技术环境、对个人数据利用的社会动力机制已经发生革命性变化,个人数据保护承载的功能也就日渐复杂,越来越多的价值考量开始在个人数据保护中占据重要的位置。特别是,个人数据保护的功能已经不局限于维护个体层面的权益,借助个人信息保护规则来维护整个社会经济权力平衡、文化多元和公共对话的有效性受到越来越多的关注。[9]例如,个人数据保护规则已经被期待在遏制经济权力集中、防止垄断方面发挥作用。[10]当下,少数大型数字平台,可以凭借其占据的互联网交互枢纽位置而获得大量的用户个人数据。借助这些数据,大型平台得以更精确地了解用户偏好从而持续性地改进产品和服务,也能够帮助其商家更精准地投放广告,还导致用户迁移到其他服务提供者的转换成本高昂,从而形成了数字经济中最巨大的市场壁垒。[11]因此,当下几乎所有关于数字平台权力来源的研究,都指出这种通过掌握个人数据而获得经济权力的行为是竞争政策需要关注的焦点。[12]又如,当前理论界和实务界日渐关注人工智能和算法的法律规制,由于这些产品或者服务大多建立在对个人数据进行处理分析的基础上,因此,不少国家和地区的政策制定者都在探讨通过个人数据保护规则撬动这些领域的治理。[13]
由此,个人数据保护法律规则发展的趋势是:不停留于个人数据保护本身,而是借助个人数据保护,将法律层面保护的诸多价值在数字空间中重申和强化。对此,一些域外学者提出,要理解个人数据保护的赋能功能(data protection's enabling function),即它对其他基本权利和自由等价值的意义。[14]实际上,《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)强调“根据宪法,制定本法”,本身也意味着立法者意识到个人数据保护对宪法诸多价值在数字空间实现具有重大意义。[15]
个人数据保护需要兼顾、平衡的利益增多。伴随着越来越多的社会生活领域被数字化,个人数据保护的规则覆盖到越来越多的社会活动,个人数据保护的价值也就会与该领域需要考虑的其他价值产生竞合甚至紧张。这就要求,个人数据保护规则的设计需要更加平衡,更广泛地思考个人数据保护对相关活动的影响,为具体情境下不同价值的协调提供空间。[16]例如,在自动驾驶的情况下,为了让算法更广泛地学习人类驾驶的习惯,也为了在发生事故时能够回溯事故原因并改进,可能客观上需要非常深入、系统地记录驾驶者的行为数据。此时,个人数据保护的规则就会适用于以前不会适用的场景。但是,在这种场景下,从自动驾驶技术的安全需求出发,可能需要尽可能多地记录驾驶者的个人数据,而从个人数据保护出发,则可能需要尽量限制这类数据的处理范围,这就会产生紧张。
同样的问题也出现在生物医学研究领域。这一领域历来需要广泛地收集和研究受试者的个人数据,其中还包括一些涉及极为敏感信息的数据。当个人数据保护规则适用到这一领域时,也会产生大量相互调试的需求。例如,个人数据保护要遵守目的限制原则,即预先形成明确、合理的数据处理目的,并在与目的直接相关的范围内收集数据。问题在于,科学研究本身就是探索未知的过程,它可能需要在不确定是否有用的情况下预先收集相应的数据;一些新的发现还会导致对已经收集的数据做目的外的利用。由于科学研究自由亦是我国宪法明确的基本权利,这意味着个人数据保护也需要与这一价值进行平衡。[17]
上述问题的根源在于,在前数据化的时代,每个社会生活领域往往只需要考虑一些特定的社会价值和法律权益,法律规则也围绕着这些价值和权益而设计。但是,当一切都数据化之后,个人数据保护的规则也会渗透到这些领域,与既有的规则及其背后保护的价值、权益产生叠加。因此,个人数据的保护规则就必须能够“公平平衡”各个方面的考虑,防止为了某个单一目的而侵犯其他价值和权益,这也增加了个人数据保护的规则设计的复杂性。
原则性的立法与合作治理的必要
上述发展给个人数据保护的规则设计带来了前所未有的复杂性。一方面,个人数据保护功能的拓展要求对个人数据的处理设计更为实质的约束。在早期单一功能下,保护的方法主要是赋予个体一些程序性的权利。例如,《全国人民代表大会常务委员会关于加强网络信息保护的决定》《中华人民共和国网络安全法》对个人信息的保护高度依赖对个体的告知并取得同意。[18]这些程序性的权利指向过度收集、使用不准确的数据等,但并不表达关于社会争议的实质性标准,即为了哪些目的、采取何种方式来处理数据是可接受的。[19]面对个人数据保护功能的增加,这种隐含而非直接的规制方式已经越来越不可持续,我们需要从更实质的维度来定义何为公平的数据处理生态,探索恰当的规制方案,塑造相应的秩序。另一方面,个人数据保护需要平衡的价值日渐增多,个人数据的处理活动的合法性也就越来越依赖于对具体场景的判断。只有当处理活动违反了社会关于特定场景下应当如何使用个人信息的伦理共识时,才是应当被干预的,对此,有学者将其概括为侵犯了场景正直(contextual integrity)。[20]由于这种判断取决于具体行业、具体个案中的社会条件,这增加了从统一角度设计保护规则的难度。
为了回应这种复杂性,我国《个人信息保护法》采取了一种原则主义的进路。它虽然着眼于设计实质性的要求,但大量的条款是原则性、甚至是愿景性的。例如,要求处理个人信息应当遵循合法、正当、必要和诚信原则;[21]自动化决策应当保证决策的透明度和结果公平、公正。[22]如何满足这些法律要求实际上是一个范围和程度的问题,对于具体处理活动是否合法,法律本身难以提供一个是非分明的答案。
这种原则主义的规范方式有其合理性。因为,不过分强调规则的具体化,也就意味着不预设明确的结论,这为探索一些新兴问题的解决方案提供了灵活性,也为具体情境中不同价值权衡提供一个更具包容性的平台。[23]它意味着个人数据处理者可以根据具体的情境,特别衡量处理活动所追求合法利益与处理活动造成的风险,从而校准他们的法律义务。[24]这既有利于将个人数据保护覆盖到一些新的议题,也有利于防止个人数据保护过于僵化而对数据经济的发展形成不必要的障碍。
当然,这种基于原则的规制也意味着,个人数据的保护难以通过传统自上而下的命令-控制体系来执行,而需要发展出一套监管部门与社会、行业、被监管企业合作治理的模式。实际上,原则性的规定本身就意味着立法者是希望社会、行业、企业自行发现如何最好地执行这些原则,这些规定也并非包含了所有的答案,不可能通过一个清单式样的合规要求来保证完美的合规。无论是监管者还是监管对象都需要将个人数据保护理解为持续的风险评估过程,进而形成一种合作关系,来确定法律要求的实质是什么以及如何执行。这意味着监管对象有一定的空间来试错,[25]而监管者需要更加关注监管对象是否展现出执行这些原则的负责任行动,而不是拘泥于一些细节问题。
实际上,学术界一直有呼吁,在政府规制任务日渐拓展的同时,我们需要超越传统单方命令-控制体系,创造一种兼具强制与合作的方法,增强法律执行的效果。[26]而信息时代的特殊环境,将这种改革的需求更加凸显出来,行政规制变得更加非正式并更加依赖私人部门的投入。[27]正因如此,《构建数据基础制度意见》亦提出“构建政府、企业、社会多方协同的治理模式”。在个人数据保护领域推动这种合作治理的必要性具体如下。
其一,在一些新兴领域,需要社会、行业和企业的投入来探索法律的实质内涵。伴随承载功能的增多,个人数据保护实际上将一些还处于理论争议较多的前沿问题纳入了规制视野。但是,这些活动要么是以前所未有的新型方式来影响法律所保护的权益;要么并不直接影响相关法律权益,而是对其得以展开的基础环境产生影响。[28]在此背景下,法律难以提前设想所有可能的冲突,监管部门也不可能根据既往的经验直接得出监管方案。例如,基于个人数据的算法推荐新闻信息、商品和服务已经引发了关于信息茧房、操纵个体认知等潜在的担忧。[29]但是,个性化推荐技术应用亦有其深刻的经济逻辑。我们已经经历了从组织式社会到网络式社会的典范变迁,商品、服务和内容的提供越来越分散,由于个体对信息的接纳能力始终是有限的,注意力日渐成为一种稀缺的资源。[30]在此背景下,我们必须发展出相应的技术系统和商业模式来减少信息定向的成本,提升供需匹配的效率。面对这种“两难”,无论是实务界还是理论界,仍然在评价相关影响。因此,法律只能对相关个人数据提出了公平、公正等原则性要求,而如何在具体治理活动中平衡相互竞争的利益,显然需要更加熟悉相关技术、产业生态的行业组织和被规制对象的参与和投入。
其二,个人数据保护的原则在不同领域的具体化,也需要行业和企业的参与,以确保治理方案契合事物的本质。当代社会,无论是技术的迭代还是社会交互方式的演进,其变化的速度已经越来越快。因此,立法往往只能提供一种框架性的秩序安排。在这个意义上,借助宽泛的原则来表述立法意图解决的问题,并不一定会产生相应的不确定性。如果在相关执法、司法和行业自我规范的实践中,逐步形成对于相关立法含义的共识性理解的话,以这些原则为基础就可以逐步发展出一套有操作性的规则体系。[31]但是,这样的共识性理解更容易在一些具体的部门领域范围内形成。因为,正是在这些具体领域中,监管者、被监管者、行业性的组织、相关学术机构等有机会形成有紧密连接的社区,从而不断累积共识。因此,如果我们期待个人数据保护原则逐步在新闻传媒、商品和服务交易、金融科技等行业领域具体化,就需要动员出一套合作治理的架构。因为,监管的目的在于不断形成符合社会期待的秩序,它必须考虑被规范的事物内在的秩序结构,掌握充分信息,方能契合“事物的本质”。[32]而在数字技术和数字生态都快速演化的领域,相关法律规则面临剧烈变动,传统的自上而下的命令-控制体系很难有效回应,需要思考动员社会力量合作治理的替代性治理策略。
其三,在社会越来越重视个人数据保护的文化氛围下,被监管的企业也有动力参与到这种合作治理中来。由于社会对个人数据保护关注度的提升,能够满足社会期待的企业更能够获得用户的信任,从而获得更多的商业机会。[33]因此,企业一般不会倾向于利用每个可能为其行为辩护的法律理由来探索监管的边界。相反,大量的企业也需要在消费者面前将其塑造为消费者个人数据的捍卫者。在这个意义上,企业有拥抱行业最佳实践的潜在动力。因此,监管部门引入、鼓励行业的自我规范,可以推动形成行业动力,引导企业在经济和社会因素考量下追求社会责任,而不仅仅是规避被法律惩罚的风险。
合作治理的具体展开
数字经济形成了一个高度动态的经济环境,在这样的环境下,对数据的处理、利用,无论是技术架构、商业模式、社会生态都在不断演进、迭代中。传统的行政监管需要保障规制系统的稳定性与可预测性,不免存在有限理性、认知局限与监管时滞等问题。[34]此背景下,监管部门不能过度迷信传统命令-控制体系的有效性,需要从依赖单方命令转向以监管为杠杆撬动社会集体行动。[35]具体而言,在个人数据保护领域发展这种合作治理,需要重点关注以下问题。
推动探索行业性的行为准则。在将个人数据保护的原则性规定落地执行的过程中,监管部门需要承担起与个人数据保护相关的风险辨识与利益衡量任务。但是,如前所述,固有的信息差使得监管难以敏锐感知动态、隐蔽的风险流变,与产业实践的分离也导致监管难以辨识技术场景背后多元的利益诉求。因此,仅凭自身的能力,监管部门无法充分认识个人数据保护议题的复杂性,提出切中要害的具体治理方案。
相比之下,位于行业前沿的企业反而能够更加熟练地作出判断,甚至会为了防范风险,在法律尚未明确要求的情况下,去主动设计、创造治理方案;与此同时,为了维护行业的集体声誉,相关产业组织、行业协会甚至学术机构也有机会和动力将这些实践转化为自律性的规范或倡议。因此,个人数据的合作治理意味着在一定程度上将监管职权授予给这些社会组织,激励它们发展行业性的行为准则,调动这些组织根据其掌握行业前沿的信息优势而进行自我规制。而且,经由行业准则的桥接,这些探索性的治理经验可以为监管设计具体的治理方案提供实验方案和经验支撑。[36]
与此同时,这种传导机制的运作也需要以明确的制度肯认与充分的制度激励为后盾。就制度肯认而言,法律需要明确表达这些社会主体组织制定行业性的行为准则的必要性与合理性,并指示其范围、程度与企业参与的方式。实际上,在生物医药、金融监管等领域,囿于专业性所限,监管部门时常需要借助产业组织或者第三方力量来发展更为详尽的实质性规则;在电子商务等快速迭代的数字经济新生业态之下,行业准则更是承载着维系原则框架时效性与生命力的关键作用。
就制度激励而言,监管需要明确行为准则的规范地位。从整体上来看,行为准则提供的是个体经验制度化的契机,需要推动其形成某种“软法”的约束。[37]一方面,它本身就是一种声誉激励,不同企业的个体实践经由产业组织、行业协会或学术机构提炼后,可以形成规模化的影响力和认可度,对其遵守或者违背会获得相应的社会评价。另一方面,对于一些成熟的、能够反映行业最佳实践的行为准则,监管部门也可以推动其效力升级。例如,这些行为准则可以扮演安全港的角色,企业对于准则的遵从可以被视为无过错的有力证明。此外,在某些情况下,行为准则甚至可以通过监管协议作为普遍执行的法律的附件,产生更强的约束力。
当然,在行为准则的发展过程中也要兼顾效率和公平。从内容构成来看,行业性的行为准则往往优先考虑大型企业的合规体系与技术方案。值得肯定的是,这一遴选逻辑为企业的创造性合规提供了正向激励,有助于形成“逐顶”而非“探底”的集体行动逻辑。但是,需要谨慎对待的是,这一基于效率的优绩主义逻辑可能为头部企业加筑行业进入的门槛。因为,企业合规探索需要建立在丰富的业务生态环境之上,而这一优势恰恰是与企业规模等经济性指标紧密联系的。部分企业可能利用其固有的规模,主导形成自利性的行为准则,再以服务外包等形式将合规任务“业务化”“商品化”,以保持自身的市场控制。[38]因此,在行为准则形成过程中需要强调遵守基础性的正当程序,顾及参与者的多样性。
发展基于市场逻辑的技术标准。数字社会是高度技术化的社会,法律对社会的规制也应当发展具备技术属性的制度回应。技术标准作为一种技术性的规范工具,具备与法律制度协同、实现个人数据保护治理的优势。这种依托标准来实施法律的经验在国际上并不鲜见,我国《个人信息保护法》也要求个人信息处理者根据处理目的、处理方式、对个人权益的影响、可能存在的安全风险等因素,将个人信息处理活动的法律要求“嵌入”到相关管理流程、技术架构等方面。[39]这是一种“基于技术设计”的个人数据保护方案,必然需要发展出一套相应的技术标准来落地。
在法律的原则性框架下,技术标准的任务在于,基于不同产品、服务和流程的基本属性,设计更加具体的技术方案,以支撑行为规范在经营流程和技术环境中的内嵌。[40]与此同时,技术标准要发挥这种功能,就需要充分尊重产业、技术发展的规律,将法律的要求与产业的自我逻辑嵌合起来。
然而,我国的标准化体系脱胎于计划经济时代,近年来虽有不少改进,但在既有法律框架和制度环境中,技术标准的形成还难以摆脱传统自上而下的模式。不论是那些直接体现行政权力的政府标准,还是那些在政府影响下形成的团体标准,都体现着较为浓厚的监管意志,彰显着行政权力的作用。与法律命令-控制模式所可能遭遇的困境一样,这些行政权力主导的技术标准并不能够敏捷回应数字化的社会变迁,也无法真实勾连起供应链层面的技术治理要求。这非但不能达成有效的合作治理,还可能侵蚀标准形成的技术理性和市场逻辑。加之其并不具备立法过程在实体和程序方面的刚性约束,有可能造成对产业过度僵化的管制,无助于合作治理的实现。
因此,我们需要逐步地改变这种标准形成逻辑,动员市场参与者的力量,推动自下而上地形成技术标准体系。一方面,原则性框架提供了企业自下而上发展技术标准的制度空间,在此之下,各类市场主体具有体现技术最优的行业实践和经验积累,具备持续提炼和发展自身技术标准的内生动力。这种技术标准将可能为市场主体带来声誉、效益方面的获益。另一方面,自下而上的标准制定与认证路径也有助于缓解监管部门系统性过载,进而有利于增加标准体系本身的认可度与执行力。[41]一旦这些市场主体自下而上制定的技术标准获得监管部门的采纳,将直接构成监管层面解释相关原则性立法的定位和参照,从而为市场主体的合规发展提供更加明确、稳定、可预期的制度指引。
撬动企业内部治理架构。在传统意义上,监管部门在法律授权范围内对监管对象提出具体、清晰、可测量的行为准则与结果要求。这种监管模式要求监管部门具备充分的信息,就复杂的数据经济而言,面临不少的挑战。当下,平台经济形成了复杂的生态,大量分散的主体参与其中,商业模式和技术应用不断推陈出新。个人数据的处理可能带来何种收益,需要监管何种风险具有高度的场景性与异质性,而且,风险由多个元素复杂交织促成并不断演化。在此背景下,监管部门缺乏信息优势,难以为企业设定具体的减缓风险的方式与目标。
因此,这种事前预设的监管姿态已经难以适应数据经济下的技术发展。个人数据保护原则目标的实现,有赖于平台企业在具体场景中进行判断、识别,并引入合乎比例的方法进行风险减缓,也依赖平台企业精细地平衡、协调平台生态内多方主体的合法权益。在此背景下,我们需要通过监管来撬动企业内部治理架构的完善。
这意味着,我们需要着重发展一些内部管理型的监管工具,即政府虽然对企业服务或者产品本身不设定具体的指标,但是要求相关企业按照法律标准建立内部的组织架构,实施相应的管理流程和决策规则来执行相关的法律原则。[42]这种监管工具的特殊性在于:一方面,它相对尊重企业的自主性,确保其拥有相对独立的决策的空间对一些实质问题进行判断;另一方面,监管创造了一种强制的治理结构和治理秩序,将其嵌入到企业内部,能够确保公共利益通过这种治理结构和治理程序得到实现。实际上,近年来的立法已经在进行这样的探索。例如,《个人信息保护法》规定了个人信息保护影响评估,要求在特定情况下,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录;它还要求处理个人信息达到规定数量的企业设立个人信息保护负责人。
然而,要确保这些规定真正发挥实效,还必须围绕这些法律规则发展出一套体系化的监管要求。例如,如果我们期待个人信息保护负责人发挥作用,就必须进一步明确,他(她)不仅是公司的雇员,还是法律在企业内部创造一种类似于任期制的特殊管理职位。围绕这种定位,监管部门就需要进一步细化他(她)的责任:需要承担超越对公司忠诚的法律义务;应当依据法律要求从企业内部来监督企业执行相关规范;同时还要作为监管部门和被监管部门之间的联络点,确保在发生重大合规问题或者在相关执法活动中如实向监管部门报告情况,等等。
与此同时,伴随这些监管工具的使用。监管的重心也应当避免过度聚焦于一些细节问题,避免埋头于处理一些投诉举报和监督检查中发现的具体问题,而应当致力于评估是否存在系统性、结构性的问题。也就是说,监管精力应当集中在评价企业的整体管理架构、整体治理机制是否在现有技术水平下尽到了最大努力;集中在持续推动企业自我规制架构的完善,引导企业形成一种自我反思的流程和文化,督促企业通过具体场景的学习和反思,从而提升企业对法律义务的履行能力。
(本文系国家社会科学基金项目“科技伦理规制的行政法治建构研究”的阶段性成果,项目编号:22CFX055)
注释
[1]参见《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见(2022年12月2日)》“工作原则”部分。
[2]参见《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见(2022年12月2日)》第二条第(六)项。
[3]概念本质的差异也决定了治理进路的差异,不同于隐私治理的零和思维,个人信息保护的初衷是建立一套允许信息收集和传输,并为数据主体提供适当保障的规则体系。参见P. Palka, "Data Management Law for the 2020s: The Lost Origins and the New Needs," Buffalo Law Review, 2020, 68(2), pp. 559–640.
[4]有学者详细论证防止两者交叉产生适用冲突的必要性。参见周汉华:《平行还是交叉:个人信息保护与隐私权的关系》,《中外法学》,2021年第5期。
[5]技术对社会关系的实质性影响,也是近期科技伦理问题开始受到关注的原因。参见赵鹏:《科技治理“伦理化”的法律意涵》,《中外法学》,2022年第5期。
[6]参见《国务院关于加强数字政府建设的指导意见》(国发〔2022〕14号)。
[7]N. Purtova, "The Law of Everything: Broad Concept of Personal Data and Future of EU Data Protection Law," Law, Innovation and Technology, 2018, 10(1), pp. 40–81.
[8]G. G. Fuster, “The Emergence of Personal Data Protection as a Fundamental Right of the EU,“ Springer Science & Business, 2014, vol. 16, p. 110.
[9]J. E. Cohen, "Turning Privacy Inside Out," Theoretical Inquiries in Law, 2019, 20(1), pp. 1–31.
[10]参见张占江:《个人信息保护的反垄断法视角》,《中外法学》,2022年第3期。我国的反垄断法也表达了对通过数据而获得的经济权力的关注,参见《中华人民共和国反垄断法》第9条、第22条。
[11]J. Furman; D. Coyle; A. Fletcher; P. Marsden and D. McAuley, "Unlocking Digital Competition: Report of the Digital Competition Expert Panel," UK Government Publication, HM Treasury, 2019, p. 33.
[12]F. Lancieri; P. M. Sakowski, "Competition in Digital Markets: A Review of Expert Reports," Stanford Journal of Law Business & Finance, 2021, 2(6), p. 65.
[13]European Commission, "White Paper on Artificial Intelligence: A European Approach to Excellence and Trust," 19 February 2020, pp. 16–19.
[14]M. Oostveen; I. Kristina, "The Golden Age of Personal Data: How to Regulate an Enabling Fundamental Right?" in Personal Data in Competition, Consumer Protection and Intellectual Property Law: Towards a Holistic Approach?, Heidelberg: Springer Berlin, 2018, pp. 7–26.
[15]参见江必新:《全国人民代表大会宪法和法律委员会关于〈中华人民共和国个人信息保护法(草案)〉审议结果的报告》,《全国人民代表大会常务委员会公报》2021年第6号。
[16]参见王锡锌:《个人信息国家保护义务及展开》,《中国法学》,2021年第1期。
[17]相关研究可以参见李润生:《论个人健康信息“利用友好型”保护模式的建构》,《行政法学研究》,2021年第5期。
[18]《全国人民代表大会常务委员会关于加强网络信息保护的决定》第3条,《网络安全法》第22条。
[19]L. Bygrave, “Data Protection Law: Approaching Its Rationale, Logic and Limits,“ Information Polity, 2003, 8(1, 2), pp. 80–84.
[20]海伦·尼森鲍姆:《场景中的隐私——技术、政治和社会生活中的和谐》,王苑等译,北京:法律出版社,2022年,第119~168页。
[21]《个人信息保护法》第5条。
[22]《个人信息保护法》第24条。
[23]B. John, “Rules and Principles: A Theory of Legal Certainty,“ Australian Journal of Legal Philosophy, 2002, 2(7), pp. 47–82.
[24]R. Gellert, “Data Protection: A Risk Regulation? Between the Risk Management of Everything and the Precautionary Alternative,“ International Data Privacy Law, 2015, 5(1), pp. 3–19.
[25]M. E. Kaminski, "Binary Governance: Lessons from the GDPR's Approach to Algorithmic Accountability," Southern California Law Review, 2018, 92(6), p. 1529.
[26]参见宋华琳:《论政府规制中的合作治理》,《政治与法律》,2016年第8期。
[27]J. E. Cohen, "The Regulatory State in the Enformation Age," Theoretical Inquiries in Law, 2016, 17(2), pp. 369–414.
[28]K. Yeung; L. A. Bygrave, "Demystifying the Modernized European Data Protection Regime: Cross–disciplinary Insights from Legal and Regulatory Governance Scholarship," Regulation & Governance, 2022, 16(1), pp. 137–155.
[29]相关分析参见刘存地、徐炜:《能否让算法定义社会——传媒社会学视角下的新闻算法推荐系统》,《学术论坛》,2018年第4期。
[30]J. G. Webster, The Marketplace of Attention: How Audiences Take Shape in a Digital Age, MIT Press, 2014, pp. 17–22.
[31]J. Black, "Constructing and Contesting Legitimacy and Accountability in Polycentric Regulatory Regimes," Regulation & Governance, 2008, 2(2), pp. 137–164.
[32]法哲学对“事物的本质”的讨论及其在行政法上的意义,参见陈爱娥:《事物本质在行政法上之适用》,《中国法律评论》,2019年第3期。
[33]关于监管机构、官方媒体和行业协会“点名批评(naming & shaming)”等声誉罚机制对企业形象的贬损与伤害,参见A. H. Zhang, "Agility over Stability: China's Great Reversal in Regulating the Platform Economy," Harvard International Law Journal, 2022, 63(2), p. 457。
[34]参见季卫东:《法律与概率——不确定的世界与决策风险》,《地方立法研究》,2021年第6期。
[35]G. Stoker, “Designing Institutions for Governance in Complex Environments: Normative Rational Choice and Cultural Institutional Theories Explored and Contrasted,“ Economic and Social Research Council Fellowship Paper, 2004(1), p. 3, quoted from A. Chris; G. Alison, “Collaborative Governance in Theory and Practice,“ Journal of Public Administration Research & Theory, 2008, 18(4), pp. 543–571.
[36]例如,FTC曾在其发布的物联网合规指南中对于Facebook、苹果和谷歌所使用的隐私图标表露出积极支持与鼓推态度,参见“Internet of Things: Privacy & Security in a Connected World,“ 19 November 2013, FTC, https://www.ftc.gov/news-events/events/2013/11/internet-things-privacy-security-connected-world。
[37]关于软法的讨论,可参见罗豪才、宋功德:《认真对待软法——公域软法的一般理论及其中国实践》,《中国法学》,2006年第2期。
[38]微软公司曾公开推销合规服务,相关报道参见T. Liam, “Struggling to Comply with GDPR? Microsoft 365 Rolls out New Privacy Dashboards,“ 30 January 2019, https://www.zdnet.com/article/struggling-to-comply-with-gdpr-microsoft-365-rolls-out-new-privacy-dashboards/。
[39]《个人信息保护法》第51条。
[40]I. Kamara, "Co–regulation in EU Personal Data Protection: The Case of Technical Standards and the Privacy by Design Standardisation 'Mandate'," European Journal of Law and Technology, 2017, 8(1), pp. 7–8.
[41]《个人信息保护法》第62条。
[42]谭冰霖:《论政府对企业的内部管理型规制》,《法学家》,2019年第6期。
责 编∕张 晓
Study on Cooperative Governance Model for Personal Data Protection
Zhao Peng
Abstract: Behind the data economy is a revolution in the way information is processed and utilized. Among them, the processing of personal information may either enhance the efficiency of social cooperation or restrict the development of individuals and affect social equity and justice, which requires the establishment of a governance framework that takes into account various values. As more and more social activities are built on the processing of personal data, it is possible to resolve a large number of social issues by leveraging the governance rules of personal data on the one hand; on the other hand, it also leads to a more complex task for personal data governance rules, which requires balancing a large number of conflicting interests. Therefore, we need to develop a cooperative governance model for personal data and mobilize enterprises, industrial organizations, industry associations, academic institutions and other social organizations to participate in the process of rule making and implementation. In particular, attention needs to be paid to the functions of industry codes of conduct, market-based technical standards, and internal corporate governance structures.
Keywords: personal data, cooperative governance, industry codes of conduct, technical standards, internal governance
赵鹏,中国政法大学法治政府研究院院长、教授、博导,中国法学会行政法学研究会政府规制专业委员会副主任。研究方向为行政法、网络与数据法、科技法。主要著作有《风险社会的行政法回应:以健康、环境风险规制为中心》、《惩罚性赔偿的行政法反思》(论文)、《科技治理“伦理化”的法律意涵》(论文)等。