【摘要】在个人信息保护领域,以“告知-同意”规则为核心的行为主义规制模式已经取得显著成效,但是对其能否适用于保护源于个人信息的数据这一问题仍有待讨论。考虑到行为主义规制路径既无法整体评价行为结果的累积效果,也无法准确界定可识别的规制对象,需要引入组织法规范予以补足。同时,由于现有组织法规范样例难以准确反映实践中组织形式的变化,也有必要对其进行重构。由此,建构个人数据保护框架应灵活配置行为法与组织法规范,以调试和修正单一类型法律规范的不足。
【关键词】行为法 规制 组织法 个人数据
【中图分类号】D922.16/D923 【文献标识码】A
【DOI】10.16619/j.cnki.rmltxsqy.2024.16.012
【作者简介】中国人民大学法学院 孙济民
《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)确立了以“告知-同意”为核心的个人信息处理规则,保障个人在个人信息处理活动中的各项权利,强化个人信息处理者的义务,明确个人信息保护的监管职责,并设置严格的法律责任。然而,随着个人信息转化为企业数据,其分层和分类保护成为关键问题。大型数据平台的出现使个人数据的持有、处理和控制变得复杂,特定规制目标难以实现。同时,学界对行为主义规制模式在个人数据保护领域的应用及可行性尚未达成共识。因此,有必要讨论以下三方面问题:行为主义规制模式面临的困难,现有法律规范适用个人数据保护问题的可行性,以及如何制定新规并实现有效衔接。
行为主义规制模式的构想与不足
作为一种方法论,行为主义旨在描述和解释不同行动主体在实施一特定行为时所依据的条件或情境。在法律领域中,行为主义方法重在理解不同行为主体在参与法律实践时各类行为的影响及意义,形成的法律规范则致力于针对具体行为调整不同主体间的关系。
尽管此种立法能够有针对性地回应实践中的具体问题,但是分析其理论构造与实际效用便可以发现,多元的行为主体和类型使得行为法规范难以涵盖个案评价的整体效果。例如,《个人信息保护法》所采用的“告知-同意”规则以行为主体具有独立意志并能作出正确意思表示为基础,即立法仅以意思表示的自愿性和真实性作为标准,这使得规范在处理个案冲突时具有优势,而随着数据处理者的影响不断扩大,其与数据主体之间的长期关系可能会侵害数据主体的自决权,面临不能预见的新问题,这表明关注离散主体的传统理论难以准确反映社会现实。
类似的挑战也曾出现在合同法这一典型的行为立法之中。为此,合同法学者提出了关系契约理论。[1]根据这一理论,出于有限理性,当事人不可能对全部事项作出预判,故应允许当事人就基本的目标和原则订立合同并引入多种社会因素作为基本框架。[2]在该理论的指引下,合同在传统社会中所发挥的增进个人效益的工具价值被促进社会整合的内在价值所取代。但是,考虑到关系契约理论在维系关系义务方面存在局限,需要公权力干预形成行为主义规制模式。
行为主义规制模式承继了规制理论的基本预设,即行政机关有必要干预社会的自发行动,通过引入经济学和心理学的经验研究进行改进,利用人类行为和决策规律设计有效的规制手段,以实现公共政策目标。这要求规制机构准确识别场景特征,并正确理解该行为在该场景中的实质意义。规制机构还需要根据不断变化的场景及时调整规制方法。
毫无疑问,该模式为大量创设合理的法律规范提供了可能,但是在适用时仍存在一些不足。具体而言,这一规制模式通常难以兼顾评判标准的正当性基础与行为结果的累积效应,从而导致对单个行为的规制往往只能基于特定场景形成个案,无法推及更多的未知情境。同时,行为主义规制模式往往关注不同主体之间的互动关系,这意味着不同主体之间的界限应当明晰且可识别,否则便难以找到规制的具体对象。因此,行为主义规制模式所映射的单一法律规范类型仍存在不足,需要援引其他类型的法律规范予以矫正和完善。
组织法规范的引入与基本框架
行为主义规制模式在适用于个人数据时面临如下问题:一方面,当前实践中出现了多种围绕数据展开的持有、处理或控制行为,但是其在具体场景中的意义仍需释明;另一方面,由于数据处理的复杂程度较高,使得围绕数据形成的各种关系缺乏收束中心。因此,现有行为法规范仍难以应对数据语境中处于纵向关系中的不同主体间的冲突,既有法律规范在辨别不同规制场景时所采用的各项标准也难以通用。这表明,有必要引入组织法的思路,通过关注权力的分配过程来解决因多元的行为主体、类型和结果而造成的问题。
组织法规范着重关注组织内部的机构设置及成员关系,而长期以来的法律实践中出现了多种组织法范本。考虑到个人数据的收集和处理大多借助平台展开,而公司法是私法领域中最为完善的组织法,因此,是否可以适用公司法规制平台,需要着重考察平台的基本特征。
现有关于平台的经验研究表明,平台常被视为公司业务的一部分,[3]这符合公司架构转变的趋势,此时组织法应保持谦抑。将平台视为公司有助于类比监管,但是尚不足以突破公司形式框架。除此之外,还有一部分研究认为,平台的去中心化特征使得传统财产权体系无法得到适用,加之数据价值的释放有赖于对其的持续利用,[4]平台降低交易成本并削弱了公司内部等级制度,通过算法加强了对劳动者的控制,[5]故需区分处理平台与公司。
由于缺乏对现有组织法范例的反思,多数研究或忽视了平台与公司之间的交错关系,或难以突破“平台以公司的形式外观作为主张采取自我规制的正当性基础”这一基本框架,[6]因此,有必要进一步重构组织法规范。
行为法与组织法相结合的个人数据保护框架
前述内容已经表明,无论是采用以行为法规范为主导的行为主义规制模式,还是依靠组织法规范来阐释数据处理关系中的多元主体,都存在着一些不足,因此,一种可能的解决方案是灵活配置两种类型的法律规范,使得相关立法保持一定韧性,以修正单一类型法律规范的不足。
现有平台相关研究揭示了描述和界定数据主体与控制者、处理者之间的复杂关系之本质所面临的困难,为推动提出可检验的命题,有必要采取截断式的框架性立法,在试错过程中逐步依据经验研究的成果予以修正。具体而言,对于个人数据保护,要整合零散的行为法规范以真正发挥约束效用,借鉴其他领域的规制研究,了解不同的组织法规范样例在实践中的利弊,为通过行为法规范的修正指明方向。在此基础上,可以提出改良和解构这两种基本思路。
第一种方案是坚持公司作为组织形式的存续价值,在此基础上引入协调组织内部不同主体之间的具体行为规范,以实现政策目标。尽管现有相关数据立法尚不完善,但是在个人信息保护领域,现行的欧盟《一般数据保护条例》(General Data Protection Regulation)有关数据保护专员的规定可以提供一定参考。[7]该法通过任命独立数据保护专员,实现数据控制和处理的强制性组织结构安排,从而突破了公司外观的限制,拓宽了公司的社会功能。
第二种方案是广泛借鉴反垄断法的相关研究。将平台视为基于网络效应形成的大型垄断组织,对数据处理关系所涉各类行为的合法性予以界定,对监管对象和目标进行梳理,从而排除无需监管的具体领域,实现对现有各类样例的重构。同结构主义反垄断政策一样,这种方案不仅关注公司的基本外观,还考察了超越单个公司的隐形社会组织及其主体之间的关系。
解决数据处理关系的纵向整合问题以及应对处于市场支配地位的企业实施不正当竞争行为的方法包括:严格审查可能导致相关企业获取价值较高的数据及跨行业使用数据的行为,预先禁止可能导致利益冲突的合并行为,等等。这实质上默认了以相似数据为连接点而形成的平台是一种独立且超越公司的特殊组织,且其正当性需要通过检验具体行为及实践后果予以辨别。
综上,随着数据控制者和处理者对涉及个人信息的数据进行深入处理,《个人信息保护法》等现有法律规范在适用中存在一定的不足。尽管行为法和组织法提供了应对的方向,但明确的解决方案仍有待经验研究调试和修正。
注释
[1]I. R. MacNeil, “Relational Contract Theory: Challenges and Queries,“ Northwestern University Law Review, 2000, 94(3).
[2]刘承韪:《契约法理论的历史嬗迭与现代发展:以英美契约法为核心的考察》,《中外法学》,2011年第4期。
[3]R. Gorwa, “What Is Platform Governance?“ Information, Communication & Society, 2019, 22(6).
[4]杨明:《平台经济反垄断的二元分析框架》,《中外法学》,2022年第2期。
[5]D. Ciepley, “Beyond Public and Private: Toward a Political Theory of the Corporation,“ American Political Science Review, 2013, 107(1).
[6]例如,公司股东和管理者可能难以在保护消费者个人数据与追求公司营利目标之间作出得当的平衡。See L. M. Khan and D. E. Pozen, “A Skeptical View of Information Fiduciaries,“ Harvard Law Review, 2019, 133(2).
[7]M. Recio, “Data Protection Officer: The Key Figure to Ensure Eata Protection and Accountability,“ European Data Protection Law Review, 2017, 3(1).
Build a Personal Data Protection Framework Combining Behavior Law and Organization Law
Sun Jimin
Abstract: In the field of personal information protection, the behaviorist regulation model with the "notify-consent" rule as the core has achieved remarkable results, but whether it can be applied to the protection of data derived from personal information remains to be discussed. Considering that the behaviorist regulation path can neither evaluate the cumulative effect of behavior results as a whole nor accurately define identifiable regulation objects, it is necessary to introduce organic law norms to make up for it. At the same time, it is necessary to reconstruct the existing normative examples of organic law because it is difficult to accurately reflect the change of organic form in practice. Therefore, the construction of the personal data protection framework should flexibly configure the norms of behavior law and organization law to overcome the difficulties brought by a single type of legal norms.
Keywords: behavior law, regulation, organization law, personal data
责 编∕李思琪 美 编∕梁丽琛
