個人信息保護社會責(zé)任的法律內(nèi)涵及其實現(xiàn)

楊 淦

（東華大學(xué) 人文學(xué)院，上海 200051）

一、問題的提出及語境限定

《個人信息保護法》將個人信息處理者區(qū)分為“一般個人信息處理者”和“大型個人信息處理者”，①為行文方便，下文將《個人信息保護法》第五十八條規(guī)定的提供重要互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個人信息處理者統(tǒng)稱為“大型個人信息處理者”。并為后者設(shè)定特殊的合規(guī)義務(wù)，其中包括定期發(fā)布個人信息保護社會責(zé)任報告以及接受社會監(jiān)督。此前，《網(wǎng)絡(luò)安全法》也有關(guān)于網(wǎng)絡(luò)運營者承擔(dān)社會責(zé)任的規(guī)定，①參見《網(wǎng)絡(luò)安全法》第九條。其表述與《公司法》和《中華人民共和國民法典》（以下簡稱《民法典》）中的社會責(zé)任條款高度相似。②參見《公司法》第五條，《民法典》第八十六條。相較而言，《個人信息保護法》的規(guī)定有所不同：其一，在規(guī)范主體上，限縮了發(fā)布社會責(zé)任報告的義務(wù)主體；其二，將規(guī)范內(nèi)容的落腳點置于社會責(zé)任報告；其三，在規(guī)范結(jié)構(gòu)上未將社會責(zé)任條款單列，而是與其他法定義務(wù)同條規(guī)定。

傳統(tǒng)理論認為，社會責(zé)任條款的倡導(dǎo)意義大于規(guī)范意義，很少將其視為一項法律規(guī)則進行規(guī)范分析。這導(dǎo)致商業(yè)實踐中，社會責(zé)任常被視為公司對營利收入的社會化分配，以慈善捐贈為主要表現(xiàn)形式。司法實踐中，法院因為社會責(zé)任含義的模糊不清而缺乏對其進行解釋適用的動力。［1］于個人信息處理者而言，脫離產(chǎn)品設(shè)計和日常決策的社會責(zé)任無助于督促企業(yè)通過自我規(guī)制來保護用戶個人信息，個人信息保護社會責(zé)任報告也很可能成為個人信息處理者的慈善廣告。因此，進一步明確個人信息保護社會責(zé)任的法律內(nèi)涵及其實現(xiàn)機制實有必要。這不僅有助于個人信息保護社會責(zé)任發(fā)揮其督促個人信息處理者自我規(guī)制的應(yīng)有作用，也能推動《個人信息保護法》與《公司法》在個人信息保護問題上實現(xiàn)聯(lián)動呼應(yīng)。

本文首先闡明個人信息保護進入企業(yè)社會責(zé)任范疇的理論機理，其次從社會責(zé)任的一般內(nèi)涵中析出個人信息保護社會責(zé)任的法律內(nèi)涵，最后從裁判規(guī)范和合規(guī)治理兩個角度探討個人信息保護社會責(zé)任的實現(xiàn)機制。本文的初步結(jié)論為合規(guī)義務(wù)應(yīng)向董事會與監(jiān)事會雙向下沉，尤其應(yīng)重視監(jiān)事會履行合規(guī)監(jiān)督義務(wù)的專業(yè)性和積極性。為此，可以將《個人信息保護法》第五十八條第一款規(guī)定的個人信息保護監(jiān)督機關(guān)嵌入監(jiān)事會當(dāng)中。

在展開論證之前，本文對相關(guān)概念的語境做如下限定：第一，實踐中以互聯(lián)網(wǎng)平臺為代表的網(wǎng)絡(luò)服務(wù)提供者和以國家機關(guān)為代表的公共機構(gòu)都是用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個人信息處理者。但兩者的法律地位和社會職能具有顯著差異，保護個人信息的維度和路徑也各有不同，本文僅探究網(wǎng)絡(luò)平臺所承擔(dān)的個人信息保護社會責(zé)任。第二，雖然《民法典》第八十六條將社會責(zé)任的義務(wù)主體擴展至所有營利法人，但因公司制度在財產(chǎn)運作和風(fēng)險隔離等方面具有不可替代的功能優(yōu)勢，［2］且公司依然是最具廣泛性和吸引力的營利法人，加之實踐中提供互聯(lián)網(wǎng)服務(wù)的規(guī)?；脚_也無一不是采納公司制的組織形式，因此，在社會責(zé)任語境下，本文沒有特別區(qū)分“企業(yè)”“公司”“營利法人”三個概念。

二、個人信息保護何以成為社會責(zé)任

（一）網(wǎng)絡(luò)平臺權(quán)力話語在數(shù)字社會中的強化與濫用

信息技術(shù)革命給人類創(chuàng)造了“未來已來”的恢弘圖景，［3］數(shù)字社會已經(jīng)成為社會發(fā)展的必然形態(tài)。［4］在人類交往空間被分化和拓展的同時，信息技術(shù)不但嵌入、改變了個人與組織的行為模式，也重新塑造了權(quán)力話語的生產(chǎn)和分配機制。作為一種依靠武力和信仰去支配他人的社會現(xiàn)象，權(quán)力的享有主體從多元分散向國家壟斷的演進過程隨著近代以來民族國家的興起而發(fā)生。然而權(quán)力壟斷并非一成不變的事實，在數(shù)據(jù)被納入生產(chǎn)要素的戰(zhàn)略背景下，國家與其他社會主體分享權(quán)力的現(xiàn)象正在發(fā)生。

作為信息的符碼化載體，數(shù)據(jù)最初只是國家權(quán)力中一種被收編的統(tǒng)計工具。［5］21在以技術(shù)服務(wù)和數(shù)據(jù)控制為核心的網(wǎng)絡(luò)平臺興起以后，權(quán)力來源也隨著數(shù)據(jù)分配和交換場域的分散變化呈現(xiàn)出“去中心化”的態(tài)勢。平臺通過數(shù)據(jù)先占和技術(shù)優(yōu)勢，重新塑造了與用戶之間超越平等商事法律關(guān)系的私人秩序。這些以平臺使用規(guī)則和管控措施為主要內(nèi)容的新秩序，隱含著準立法權(quán)、準行政權(quán)和準司法權(quán)的權(quán)力話語。［6］44-45在某種意義上，權(quán)力的社會化過程成為了權(quán)力的數(shù)字化過程。［5］21

平臺獲得權(quán)力話語既是政府規(guī)制缺位之必然，也是平臺維持穩(wěn)定生產(chǎn)秩序之需要。然而，平臺在數(shù)字社會中自發(fā)獲得的權(quán)力有別于國家權(quán)力的公開性，它往往借助技術(shù)設(shè)計來影響人們的行為方式與價值觀念，從而完成權(quán)威隱藏。它可能為那些被忽視的弱勢聲音提供擴散機會，也可能因訓(xùn)練數(shù)據(jù)的偏差而生產(chǎn)錯誤的“數(shù)據(jù)畫像”，［7］或?qū)⒂脩衾г谒惴ㄆ缫暫透蓴_的漩渦之中。［8］這種不易被察覺的隱藏權(quán)威往往最為有效。［9］反映到個人信息處理過程中引發(fā)的現(xiàn)實風(fēng)險在于，非法收集、買賣或使用信息；通過算法技術(shù)進行社會分選、歧視對待；通過人格畫像將人格淪為客體并加以操控等方方面面。［10］面對這些侵害信息權(quán)益的重重風(fēng)險，個體既無法獨自抵抗，也不愿脫離信息流通的便利情景。［11］由于缺乏類似于現(xiàn)代法治國家民主責(zé)任機制的約束，［6］47-48這種隱藏的權(quán)威在背離道德底線產(chǎn)生消極影響時更不容易被外界察覺和規(guī)制，而且其往往披著自由契約的外衣。流于形式的“告知—同意”規(guī)則不但更改了契約訂立中的磋商機制而未能到達保護信息主體權(quán)利的目的，［12］而且容易忽視個人信息的公共屬性及其他主體的利益訴求，從而限制數(shù)字經(jīng)濟的發(fā)展，這也能夠解釋為什么傳統(tǒng)私法對平臺權(quán)力的規(guī)范十分有限。在大數(shù)據(jù)的快速發(fā)展深刻改變現(xiàn)有生產(chǎn)和生活方式并引發(fā)思維方式和社會形態(tài)變革的背景下，［13］迫切需要尋求一種驅(qū)動權(quán)力主體自律改善內(nèi)在治理的調(diào)整策略。

（二）社會責(zé)任作為消解權(quán)力濫用的立法表達

從政治權(quán)力視角看，大數(shù)據(jù)創(chuàng)造了一種現(xiàn)代權(quán)力范式和權(quán)力敘事。［14］在面對數(shù)字經(jīng)濟驅(qū)動所引發(fā)的個人信息保護新問題時，以技術(shù)規(guī)制為重心的法律進路顯得捉襟見肘。從技術(shù)規(guī)制的視角來看，技術(shù)風(fēng)險源于科學(xué)也應(yīng)求解于科學(xué)，應(yīng)將技術(shù)治理作為歸正道德失范的萬能解藥。［15］26這往往表現(xiàn)為將技術(shù)視為可以獨立存在的人造物并歸為某種法律客體，通過簡單賦權(quán)設(shè)定新型權(quán)利，設(shè)定技術(shù)和質(zhì)量標準，監(jiān)管使用場景，通過用戶協(xié)議進行契約規(guī)范，事后落實損害賠償?shù)确矫?。?6］完全依賴技術(shù)規(guī)范來有效約束道德失范的預(yù)設(shè)前提是，以技術(shù)標準為主要內(nèi)容的大量管制規(guī)范可以預(yù)見或發(fā)現(xiàn)技術(shù)發(fā)展中的失德行為，但技術(shù)發(fā)展的路徑不可能完全呈現(xiàn)為一種規(guī)律的“規(guī)范作業(yè)”。［17］資本力量的驅(qū)動為技術(shù)人員和技術(shù)產(chǎn)業(yè)釋放私利留有空間，在應(yīng)對以數(shù)字化平臺為代表的一類顛覆傳統(tǒng)生產(chǎn)組織方式的系統(tǒng)性問題時，規(guī)則導(dǎo)向的技術(shù)治理可能出現(xiàn)“只見樹木，不見森林”的規(guī)制窘境。因此，從規(guī)則導(dǎo)向轉(zhuǎn)向原則導(dǎo)向的“降維虛化”成為各國回應(yīng)技術(shù)道德失范的趨同選擇。［15］28

事實上，人類已經(jīng)不是首次面對技術(shù)進步引起生產(chǎn)方式的變革。在信息革命以前，人類在應(yīng)對農(nóng)業(yè)革命、產(chǎn)業(yè)革命帶來的新問題時，無一不是借助道德指引與法律規(guī)訓(xùn)的結(jié)合來順利過渡。社會責(zé)任理論思潮的興起正是社會對法律乏力的一種回應(yīng)。［18］人們希望企業(yè)為股東謀求利益的同時承擔(dān)更多的社會責(zé)任來消弭其權(quán)力擴張帶來的不利影響。而企業(yè)也愿意主動通過關(guān)懷職工、捐贈社區(qū)等回報社會的方式來粉飾權(quán)力對社會的危害。［19］

無論是作為權(quán)力的控制手段還是作為權(quán)力的粉飾手段，從外在意義上看，社會責(zé)任入法是法律規(guī)則向承載著普適道德理念的概括性條款借力。從內(nèi)在意義上看，社會責(zé)任入法不但可以使企業(yè)借助社會責(zé)任來表達一些被正式確認并且維持的企業(yè)價值理念，還可以作為促進守法內(nèi)化、自律向善的警醒。

三、個人信息保護作為社會責(zé)任的基本構(gòu)造

公司力量的壯大帶來“權(quán)力—責(zé)任”模型的變革，公司社會責(zé)任因此成了邊爭論邊實踐的世紀工程。從“利益相關(guān)者理論”到“企業(yè)公民理論”再到“企業(yè)系統(tǒng)理論”等，①已有較多研究梳理了社會責(zé)任理論思潮的更迭，如沈洪濤、沈藝峰《前言》，載《公司社會責(zé)任思想起源與演變》，上海人民出版社2007年版；施天濤《〈公司法〉第5條的理想與現(xiàn)實：公司社會責(zé)任何以實施》，載《清華法學(xué)》2019年第5期；劉俊?！墩摴旧鐣?zé)任的制度創(chuàng)新》，載《比較法研究》2021年第4期。這些理論更迭推動著公司社會責(zé)任逐步超越理想藍圖而進入實在法。然而社會責(zé)任入法仍停留在淺表層面，援用社會責(zé)任條款作為依據(jù)的司法裁判付之闕如，其規(guī)范屬性和規(guī)范內(nèi)容的模糊是造成這一窘境的主要原因。《個人信息保護法》第五十八條將發(fā)布社會責(zé)任報告列入大型個人信息處理者的特別義務(wù)之中，意在強調(diào)通過提高透明度來督促義務(wù)主體履行社會責(zé)任。但從行為指引和司法適用的角度來看，同樣面臨上述問題。因此，有必要透過社會責(zé)任法律條款的核心內(nèi)涵來明確個人信息保護社會責(zé)任的義務(wù)主體和規(guī)范內(nèi)容。

（一）社會責(zé)任的法律內(nèi)涵及規(guī)范解構(gòu)

1.界定社會責(zé)任法律內(nèi)涵的基本立場

社會責(zé)任的法律內(nèi)涵取決于對其性質(zhì)的界定，法律意義上的社會責(zé)任實為義務(wù)性責(zé)任已無爭議，［20］但在法律義務(wù)與道德義務(wù)之間仍有諸多爭論。②“一元論”將道德意蘊阻隔于社會責(zé)任的法律內(nèi)涵之外，認為法律責(zé)任體現(xiàn)為公司負有維護社會公共利益的義務(wù)和侵害公共利益應(yīng)承擔(dān)的法律責(zé)任。參見趙萬一、朱明月《倫理責(zé)任抑或法律責(zé)任——對公司社會責(zé)任制度的重新審視》，載《河南省政法管理干部學(xué)院學(xué)報》2009年第2期。多數(shù)觀點認為社會責(zé)任既是法律義務(wù)，也是道德義務(wù)，社會責(zé)任的道德義務(wù)主要依靠市場、輿論、風(fēng)俗、習(xí)慣等法律之外的非正式的制度安排。參見朱慈蘊《公司的社會責(zé)任：游走于法律責(zé)任和道德準則之間》，載《中外法學(xué)》2008年第1期?；蝮w現(xiàn)為自覺遵守商業(yè)倫理中的道德規(guī)范，恪守公序良俗。參見劉俊?！蛾P(guān)于公司社會責(zé)任的若干問題》，載《理論前沿》2007年第22期。將社會責(zé)任的法律內(nèi)涵完全超脫于道德并不可行，因為具體法律制度的設(shè)計既會受到道德理念的影響，也會反作用于現(xiàn)實中的道德表現(xiàn)。［21］社會責(zé)任正是道德以動態(tài)形式進入法律的立法表達，其在法律與道德之間承載著重要的媒介和溝通功能，能夠緩和因公司營利性的負外部性溢出而與其他社會主體之間的緊張關(guān)系。法律越是對約束企業(yè)權(quán)力的擴張感到無力，就越渴望借助道德來助推企業(yè)超越利潤追求完成自我升華。這也意味著社會責(zé)任是一個“在本質(zhì)上存在爭議的概念”，①“本質(zhì)上存在爭議的概念”這一觀點最早由語言哲學(xué)家加利（W.B.Gallie）提出，目的是為復(fù)雜概念的爭議提供理性的秩序和框架。其形式標準具備五項：評價性特征、內(nèi)在復(fù)雜性、多元解釋性、開放性、競爭性。參見W.B.Gallie.Essentially Contested Concepts.Proceeding of the Aristotelian Society，vol.56，1956.轉(zhuǎn)引自丁延齡《權(quán)力：一種“本質(zhì)上爭議的概念”還是“家族相似性概念”》，載《法制與社會發(fā)展》2013年第3期。這類概念的普遍特征在于糅合了復(fù)雜的價值因素而具有開放性，會隨著環(huán)境的變化作出不可預(yù)測的修正。這也正是一個世紀以來公司社會責(zé)任思潮能夠橫貫各個領(lǐng)域而廣受熱議的重要原因。概念本質(zhì)的爭議性為界定社會責(zé)任內(nèi)涵帶來的啟示在于：我們只能析出一些能夠識別社會責(zé)任的核心要素，以便使公司和社會的關(guān)系在特定時間和背景下達到最佳。［22］回應(yīng)它的法律也不是單一的立法條款，而是由不同立法目的、不同內(nèi)容層次、不同約束強度的規(guī)范形式相互配合形成的一整套開放性法律制度體系。在此意義上，社會責(zé)任的法律內(nèi)涵既包括以《公司法》和《民法典》為基礎(chǔ)的共性內(nèi)涵，也包括在某一特定法律制度下的個性內(nèi)涵。對于后者的內(nèi)容與效力，應(yīng)在特定立法目的和規(guī)范體系之內(nèi)通過解釋來獲得。

2.社會責(zé)任法律內(nèi)涵的核心內(nèi)容

關(guān)于社會責(zé)任規(guī)范內(nèi)容的完整表述見于《民法典》第八十六條和《公司法》第五條。在堅守“民商合一”的背景下，雖然對于《民法典》總則編中有關(guān)“法人—營利法人”的一般規(guī)定能否全部取代現(xiàn)行《公司法》的總則內(nèi)容有不同觀點，但對于《民法典》第八十六條可以覆蓋《公司法》第五條爭議不大。兩處規(guī)范都在社會責(zé)任中規(guī)定了道德內(nèi)容?！豆痉ā返谖鍡l的道德范疇包括社會公德、商業(yè)道德和誠實守信，《民法典》第八十六條僅保留了商業(yè)道德。此外，增加了“維護交易安全”，刪除了“遵守法律、行政法規(guī)”。

社會公德是指維護公共安全、穩(wěn)定社會秩序等指向公共利益和維持共同生存所需底線道德的基本秩序。［23］從行為效力和權(quán)利行使來看，分別屬于公序良俗和誠實信用的涵攝范圍。商業(yè)道德有別于社會公德，前者突出在特定商事活動領(lǐng)域內(nèi)符合市場邏輯，具有普遍認知并被接受的觀念、準則和規(guī)范體系，認定時需參考行業(yè)慣例、行業(yè)自律組織制定的公約、技術(shù)規(guī)范等。②參見北京市高級人民法院《關(guān)于涉及網(wǎng)絡(luò)知識產(chǎn)權(quán)案件的審理指南》第33條。在一些尚未形成公認商業(yè)道德的新興市場或行業(yè)中，法官創(chuàng)制商業(yè)道德的做法也并不少見。［24］誠實守信既可以是遵守社會公德，也可以是遵守商業(yè)道德，［25］64在社會責(zé)任中不具有獨立內(nèi)涵。維護交易安全分別包括權(quán)利外觀保護和經(jīng)營者安全保障義務(wù)兩個層面，但不同于商業(yè)活動所面臨的風(fēng)險內(nèi)容及強度，在風(fēng)險防范與化解風(fēng)險的方式上均有不同，所以散見于侵權(quán)編、合同編、《公司法》等其他單行法規(guī)定中。

關(guān)于社會責(zé)任的內(nèi)容應(yīng)否包含遵守法律存在爭議。支持者認為，守法是企業(yè)履行社會責(zé)任的基本義務(wù)，［25］64反對者認為，守法是社會主體的基本義務(wù)，［26］其作為社會責(zé)任內(nèi)容并無特殊性。在關(guān)于社會責(zé)任是真是偽的早期爭論中，普遍認為企業(yè)只要不違法作惡就算是承擔(dān)了社會責(zé)任。①參見Friedman，M.，The Social Responsibility of Business Is to Increase Its Profits，The New York Times Magazine，September 13，1970。但守法是有人的自由意志參與其中的行為，在懲罰機制和利益機制的共同作用下，守法觀念本就包含“外在的被動守法”和“內(nèi)化的自律守法”兩層觀念。［27］后者是在“道德—法律—守法義務(wù)”三個支點構(gòu)成的理論系統(tǒng)中形成的，在這一層面，道德擺脫了抽象靜態(tài)的存在而處于動態(tài)的守法過程之中。這意味著守法不僅應(yīng)保持對法的可謬性的警覺，［28］還應(yīng)符合那些超越具體規(guī)則的法律原則和普世性道德理念。因此，在社會責(zé)任的法律內(nèi)涵中強調(diào)守法義務(wù)至少具有兩點意義：其一，在受信義務(wù)與其他法定義務(wù)之間建立起銜接機制，化解公司管理者在受信義務(wù)體系下遭遇“一仆多主”的邏輯難題；［25］66其二，督促企業(yè)合規(guī)自律，以彌補成文法律規(guī)則和規(guī)則執(zhí)行機制的空白。②當(dāng)然，《民法典》第八條已經(jīng)規(guī)定“民事主體從事民事活動，不得違反法律，不得違背公序良俗”。從規(guī)范體系自洽的角度考慮，《民法典》第八十六條剔除“遵守法律、行政法規(guī)”的表述并無不妥。

（二）個人信息保護社會責(zé)任的義務(wù)主體

根據(jù)《個人信息保護法》第五十八條所指向的義務(wù)主體，承擔(dān)個人信息保護社會責(zé)任的主體為大型個人信息處理者，主要為大型網(wǎng)絡(luò)平臺經(jīng)營者，其外在形態(tài)可以是硬件終端、操作系統(tǒng)、應(yīng)用程序App、客戶端、搜索引擎或網(wǎng)站。［29］實踐認定中，應(yīng)綜合考慮信息處理者的營業(yè)總額和市值、用戶數(shù)量、個人信息的采集能力、數(shù)據(jù)分析能力、涉及的個人數(shù)量、業(yè)務(wù)類型及所處的市場地位等要素。更具體的量化標準需由國家網(wǎng)信部門予以明確。但歐盟《數(shù)字市場法（草案）》中規(guī)定“持續(xù)更新名單并定期調(diào)整數(shù)量閾值”的做法也值得借鑒。［30］

除此以外，鑒于個人信息作為識別工具具有公共價值，［31］應(yīng)當(dāng)認為一般的個人信息處理者也應(yīng)承擔(dān)以個人信息保護為核心的社會責(zé)任，《網(wǎng)絡(luò)安全法》第九條可以作為補強的法律依據(jù)。將個人信息保護社會責(zé)任的義務(wù)主體做擴大解釋的意義在于，法院可以將法無明文規(guī)定，但又符合社會對一般個人信息處理者普遍期望的商業(yè)倫理上升為個人信息保護社會責(zé)任。③傳統(tǒng)理論認為，社會責(zé)任的承擔(dān)主體主要是大規(guī)模的公司。但較新研究表明，從事互聯(lián)網(wǎng)行業(yè)的部分公司可能雇員人數(shù)不多，但其創(chuàng)造的營業(yè)值卻較高，這類公司也應(yīng)承擔(dān)與其營利能力相匹配的社會責(zé)任。參見Christopher Wickert，“Political”Corporate Social Responsibility in Small-and Medium-Sized Enterprises:A ConceptualFramework，Business&Society，2014，p.1-33。但需注意的是，由于不同個人信息處理者在企業(yè)規(guī)模、技術(shù)能力、市場地位等方面存在客觀差異，實踐中對其承擔(dān)個人信息保護社會責(zé)任的法律認定應(yīng)有梯隊區(qū)分?！秱€人信息保護法》第五十八條將定期發(fā)布社會責(zé)任報告的義務(wù)主體進行限定即是良好的立法例證，未來還應(yīng)在合規(guī)治理的改進中做更多區(qū)分探索。

（三）個人信息保護社會責(zé)任的具體內(nèi)容

將守法守德和維護交易安全作為社會責(zé)任的一般法律內(nèi)涵置于《個人信息保護法》的規(guī)范體系之中，具體分析如下：

1.守法守德

《個人信息保護法》第五章以“技術(shù)措施+組織措施”的規(guī)范結(jié)構(gòu)構(gòu)建了個人信息處理者的義務(wù)體系，據(jù)此，普遍認為個人信息處理者負有“合規(guī)義務(wù)”。從國內(nèi)少數(shù)可供觀察的合規(guī)實踐來看，①我國現(xiàn)行政策規(guī)章中已有一些針對特定行業(yè)或特殊類型公司建立合規(guī)管理體系的規(guī)范文件。如《證券公司和證券投資基金管理公司合規(guī)管理辦法》《中央企業(yè)合規(guī)管理指引（試行）》。合規(guī)要求公司行為既遵守法律法規(guī)，也遵守行業(yè)準則、商業(yè)習(xí)慣、內(nèi)部規(guī)章、國際條約以及倫理道德等“軟法”，并建立風(fēng)險防控、治理程式、企業(yè)文化等在內(nèi)的一整套多維運作機制?！秱€人信息保護法》中的“合規(guī)義務(wù)”既包括一般的“合規(guī)管理義務(wù)”與“合規(guī)審計義務(wù)”，②比如要求一般個人信息處理者制定管理制度、操作規(guī)程、應(yīng)急預(yù)案、評估影響，并設(shè)專人專機構(gòu)負責(zé)處理和監(jiān)督。參見《個人信息保護法》第五十一條至五十三條、五十五條、五十七條。也包括大型信息處理者的“合規(guī)治理義務(wù)”。這些義務(wù)可以被描述為“一套正式的行為準則、一個合規(guī)部門和官員以及一個面向員工的熱線電話”。［32］

相較于合法義務(wù)，確立合規(guī)義務(wù)最直觀的意義在于拓寬了規(guī)范法源并將自律治理嵌入其中，在此意義上，合規(guī)義務(wù)是個人信息保護社會責(zé)任的重要載體，但合規(guī)義務(wù)并不能完全覆蓋社會責(zé)任。其一，實踐中的合規(guī)義務(wù)不但難以擺脫技術(shù)規(guī)制的路徑依賴，而且可能產(chǎn)生新的道德風(fēng)險。比如，所有公司都采用相似制度，或借合規(guī)體系轉(zhuǎn)移風(fēng)險，導(dǎo)致責(zé)任承擔(dān)的空心化，甚至出現(xiàn)新的“合規(guī)犯罪”。［33］其二，理想的合規(guī)即自律意義上的合規(guī)，需要以社會責(zé)任作為善治引導(dǎo)，從而從“守法公民”上升成為“良好公民”。在此意義上，以守法守德（商業(yè)道德）為核心的企業(yè)社會責(zé)任既是監(jiān)管者、裁判者用來檢驗有效合規(guī)的重要依據(jù)，也為個人信息處理者探索建立適合自己的差異化合規(guī)體系提供解釋空間。

2.維護交易安全

維護個人信息在被處理過程中的絕對安全是《個人信息保護法》立法的基本原則之一。③參見《個人信息保護法》第九條。個人信息處理者的安全保障義務(wù)不僅包括自己處理個人信息時應(yīng)采取必要措施保障個人信息安全，④參見《個人信息保護法》第五十一條、第五十七條。還包括監(jiān)督、處罰平臺內(nèi)其他違法處理個人信息的產(chǎn)品或服務(wù)。⑤參見《個人信息保護法》第五十八條第三款。維護交易安全在個人信息保護社會責(zé)任中并無超出前述內(nèi)涵的其他內(nèi)容。因此，對于維護交易安全的認定應(yīng)首先通過《個人信息保護法》中關(guān)于個人信息處理者的義務(wù)規(guī)則來認定，出現(xiàn)法律漏洞或規(guī)則沖突時借助對安全原則的解釋適用來完成漏洞填補和價值修正，而社會責(zé)任條款對安全處理個人信息的規(guī)范意義也僅限于最底線的道德層面。

3.接受政府和社會監(jiān)督

雖然社會責(zé)任條款將接受政府和社會的監(jiān)督作為具體內(nèi)容，但其實質(zhì)是履行社會責(zé)任義務(wù)的法定方式。一般通過發(fā)布社會責(zé)任報告來增加透明度，也即《個人信息保護法》第五十八條第四款的規(guī)范內(nèi)容。有待明確的是個人信息保護社會責(zé)任報告的披露形式及內(nèi)容。在我國《證券法》信息披露的規(guī)范體系中，強制披露的內(nèi)容限于與投資者投資盈虧密切關(guān)聯(lián)的信息，社會責(zé)任目前尚屬自愿披露的范疇。企業(yè)發(fā)布社會責(zé)任報告的外部力量主要源于監(jiān)管部門或自律組織的指引性規(guī)范。而《個人信息保護法》將個人信息保護社會責(zé)任報告作為大型個人信息處理者的法定義務(wù)，因此，有必要在自愿披露與強制披露之間建立緩沖規(guī)則，以達到利用證券市場執(zhí)法和司法資源來實現(xiàn)個人信息保護社會責(zé)任的目標。目前，廣泛運用于公司治理指導(dǎo)中的“遵守或解釋”原則可以作為借鑒方案，香港聯(lián)合交易所也已有這方面的實踐。根據(jù)其《環(huán)境、社會及管治報告指引》規(guī)定，所有上市公司必須披露社會責(zé)任年度報告，但披露內(nèi)容分為“（半強制的）不披露即解釋”以及“（任意）建議披露”。這樣既滿足了披露社會責(zé)任的強制要求，又為企業(yè)保留了自主決定的空間。

未來我國在實施個人信息保護社會責(zé)任強制報告時，可以運用強制、半強制與任意相結(jié)合的區(qū)分方法來分離披露指標。披露內(nèi)容的細化分類應(yīng)以貫徹《個人信息保護法》立法目的和基本原則為基本依據(jù)。具體來說，大型個人信息處理者應(yīng)當(dāng)發(fā)布《年度個人信息保護社會責(zé)任報告》；發(fā)生突發(fā)大規(guī)模的個人信息非法收集、泄露或存在嚴重的算法歧視等事件或因此遭受重大處罰的應(yīng)強制發(fā)布《臨時報告》。在年度報告中，宜將與“個人信息保護風(fēng)險合規(guī)管理體系的建立和運行、個人信息保護負責(zé)人的履職情況、①參見《個人信息保護法》第五十一至五十三條。個人信息保護影響評估、②參見《個人信息保護法》第五十五至五十六條。合規(guī)審計、③參見《個人信息保護法》第五十四條、第六十四條。公司商業(yè)倫理準則”等相關(guān)情況作為強制披露的內(nèi)容。應(yīng)將“公司治理結(jié)構(gòu)的改進、促進個人信息保護的技術(shù)研發(fā)及計劃”等作為遵守或解釋的內(nèi)容，畢竟構(gòu)建個人信息保護合規(guī)制度體系的立法目標在于推動企業(yè)內(nèi)在的自動化守約。

四、個人信息保護社會責(zé)任的實現(xiàn)路徑

個人信息保護社會責(zé)任的踐行不只是公司利潤的社會化分配，而應(yīng)由內(nèi)而外、自始至終地貫穿由公司決策到產(chǎn)品輸出的全過程。企業(yè)社會責(zé)任的落實大體遵循兩種方案：以利益相關(guān)者保護為導(dǎo)向的合規(guī)治理優(yōu)化和以增加透明度為核心的制度建設(shè)。根據(jù)《個人信息保護法》第五十八條的規(guī)定，建立健全個人信息保護合規(guī)體系既是優(yōu)化大型個人信息處理者治理結(jié)構(gòu)的基本方案，也是落實個人信息保護社會責(zé)任的重要途徑。雖然合規(guī)義務(wù)的法定性和合規(guī)體系的強制性使內(nèi)涵良善理想的社會責(zé)任看上去冰冷又生硬，但明確的合規(guī)義務(wù)和合規(guī)組織建設(shè)可以將邊界模糊的社會責(zé)任內(nèi)化為對公司行為的技術(shù)性約束。［34］除此以外，還應(yīng)重視社會責(zé)任條款的規(guī)范屬性，喚醒其裁判功能，使社會責(zé)任成為“有牙的老虎”。④語出蔣大興教授。參見蔣大興《公司社會責(zé)任如何成為“有牙的老虎”——董事會社會責(zé)任委員會之設(shè)計》，載《清華法學(xué)》2009年第3期。

（一）回應(yīng)個人信息保護社會責(zé)任的合規(guī)體系

1.合規(guī)義務(wù)向董事會與監(jiān)事會的雙向下沉

公司作為組織體，對于合規(guī)義務(wù)的執(zhí)行最終都要歸結(jié)到能夠集結(jié)公司力量的公司機構(gòu)或個人身上?，F(xiàn)有研究大致給出兩種方案：一是在董事信義義務(wù)的內(nèi)涵中增加“誠信”“善意”或“監(jiān)督”的問責(zé)標準，①相關(guān)代表性論述參見朱羿錕《論董事問責(zé)標準的三元化》，載《商事法論集》2012年第1期；王建文《論董事“善意”規(guī)則的演進及其對我國的借鑒意義》，載《比較法研究》2021年第1期。二是主張合規(guī)義務(wù)獨立于信義義務(wù)。［35］本文認為，兩種方案的區(qū)別在于對董事執(zhí)行合規(guī)義務(wù)類型歸屬的劃分不同，這種劃分更多出于理論研究的歸納。就公司合規(guī)的基本要求而言，兩種方案都承認董事在經(jīng)營決策或執(zhí)行職務(wù)時需將公司行為的合法合規(guī)作為重要考量因素，此外還負有建立并實施合規(guī)體系的組織、監(jiān)督義務(wù)。否則，董事個人可能遭受來自民事、行政和刑事三方法律制度的問責(zé)。同時，違反合規(guī)義務(wù)（包括未督促建立完善的合規(guī)體系）也是董事對公司承擔(dān)責(zé)任的法律依據(jù)。在合規(guī)問責(zé)機制上，董事也不再受到商業(yè)判斷規(guī)則的庇護，公司董事是公司合規(guī)義務(wù)的重要執(zhí)行主體。

但需指出的是，無論在學(xué)界還是實踐當(dāng)中，談起公司治理，大家的關(guān)注焦點依然都集中于董事層面，對于以監(jiān)事會為代表的監(jiān)督治理機制關(guān)注甚少。這導(dǎo)致監(jiān)事會本身與監(jiān)事在履責(zé)中所面臨的重重困境一起被忽略甚至遺忘。但事實上，合規(guī)是公司及其全員的合規(guī)義務(wù)，而非董事的專屬義務(wù)，監(jiān)事會在促進公司及董事合規(guī)方面也大有可為。監(jiān)事會的監(jiān)督重心并非關(guān)注董事在正面意義上為股東謀取多大利益，而是在于防止董事行為在負面意義上有損公司整體利益進而損害股東利益。此點與公司僅在造成相關(guān)方利益損害時承擔(dān)社會責(zé)任的法律邊界不謀而合。以德國《股份法》的相關(guān)規(guī)定為例，監(jiān)事的合規(guī)義務(wù)不僅在于監(jiān)督董事及公司行為是否合法合規(guī)，還需審查這些行為是否合經(jīng)濟性或符合公司長久發(fā)展的目標。［36］因此，合規(guī)義務(wù)的下沉不僅應(yīng)使公司董事擺脫信義義務(wù)而回歸法定義務(wù)，還應(yīng)重視監(jiān)事會履行合規(guī)監(jiān)督義務(wù)的法定性和積極性。

當(dāng)然，僅僅對監(jiān)事會履行合規(guī)監(jiān)督義務(wù)的重視并不能改變監(jiān)事會地位孱弱的事實。按照我國現(xiàn)行《公司法》對監(jiān)事會成員的法定要求來看，②參見《公司法》第五十一條第二款和第一百一十七條第二款。主要由股東代表和職工代表組成的監(jiān)事會難以擺脫大股東的實質(zhì)影響。而且監(jiān)事會的運行經(jīng)費其實是由被監(jiān)督者（財務(wù)高管）來撥付。因此，促進監(jiān)事會獨立運行的改革方案應(yīng)至少從監(jiān)事身份的獨立性和財務(wù)來源的獨立性兩方面著手。較為直觀的方案即鼓勵公司引入外部監(jiān)事并設(shè)立專項監(jiān)督基金。［37］外部監(jiān)事與獨立董事在監(jiān)督權(quán)的行使方式上具有明顯區(qū)別，前者作為監(jiān)事身份僅限于列席董事會會議或進行事后監(jiān)督，后者主要通過參加董事會會議發(fā)表咨詢建議并通過行使表決權(quán)來履行監(jiān)督職責(zé)。

2.合規(guī)治理重心強制外化

大型網(wǎng)絡(luò)平臺作為數(shù)字經(jīng)濟市場的看門人，承擔(dān)著維護網(wǎng)絡(luò)市場秩序的公共職能。［6］42與此同時，大型網(wǎng)絡(luò)平臺具備的控制力能確保平臺超越傳統(tǒng)企業(yè)在更大范圍的社會市場中調(diào)配資源，實現(xiàn)穩(wěn)定獲益。［38］其經(jīng)營決策不但涉及平臺個人用戶的隱私保護，也會影響平臺上企業(yè)用戶的價值取向，往往一個決策涉及整個用戶個人信息保護的產(chǎn)業(yè)鏈條。圍繞個人信息保護采取“私法路徑”抑或“公法路徑”的前期爭論，我國《個人信息保護法》也已經(jīng)明確采取“公私協(xié)力、合作共治”的立法格局，［39］在監(jiān)管技術(shù)上引入第三方專業(yè)技術(shù)機構(gòu)進行事前決策的規(guī)制路徑。①如《個人信息保護法》第五十八條第一款規(guī)定：大型個人信息處理者應(yīng)成立主要由外部成員組成的獨立機構(gòu)對個人信息保護情況進行監(jiān)督。據(jù)此，大型信息處理者個人信息保護合規(guī)治理重心的強制外化已成事實。本文認為，將獨立的個人信息保護監(jiān)督機構(gòu)定位為監(jiān)事會中的專業(yè)委員會更為妥當(dāng)。大型公司治理中有效的監(jiān)督機制的構(gòu)建需要兼顧專業(yè)性與職業(yè)性，由外部獨立的專業(yè)人員組成的個人信息保護監(jiān)事委員會正好可以彌補我國現(xiàn)行監(jiān)事會成員非專業(yè)性的缺陷。其主要職責(zé)為獨立對董事會決策中有損個人信息權(quán)益的內(nèi)容進行自查監(jiān)督，自查監(jiān)督可以以獨立報告的形式來體現(xiàn)，并有義務(wù)定期向監(jiān)事會提交。另外，考慮到內(nèi)部的監(jiān)督建議容易遭遇“熟人和諧”的普遍難題，咨詢建議和自查監(jiān)督可通過會前溝通協(xié)商機制來實現(xiàn)。即相關(guān)議案提交董事會決策之前先征求個人信息保護監(jiān)督委員會的意見，通過協(xié)商溝通統(tǒng)一認識，使得議案得到必要的修改與補充，為董事會的正式?jīng)Q策做好準備。這樣既可突出其權(quán)威性和專業(yè)性，也不至于過度干涉董事會為股東謀利的商業(yè)決策，是填補公司治理技術(shù)缺失并平衡外部利益的有效方案。

（二）社會責(zé)任條款作為裁判規(guī)范的運用

公司社會責(zé)任的落實在很大程度上取決于司法救濟的有效性，但社會責(zé)任內(nèi)涵的模糊性和規(guī)范屬性的迷惑性給裁判援引帶來了不小的解釋負擔(dān)。在《民法典》吸收公司社會責(zé)任條款以前，該條置于《公司法》總則部分，因此，司法實踐和理論研究均傾向于認為公司社會責(zé)任條款的規(guī)范屬性為法律原則。這就意味著援引該條作為裁判依據(jù)時需要法官在窮盡規(guī)則或價值權(quán)衡之后，②一般認為，適用原則的邏輯前提主要有兩種情形：一是有規(guī)則，但既有規(guī)則與原則沖突而被排除適用；二是沒有規(guī)則可以適用?；跀M援引的法律原則再固化要件、創(chuàng)設(shè)規(guī)則，這個從原則到規(guī)則過程實際上包含了立法行為，［40］對法官而言論證義務(wù)和解釋負擔(dān)較重。但《民法典》將社會責(zé)任條款置于“法人—營利法人”一章中，在此規(guī)范體系下社會責(zé)任條款并非基本原則，此時應(yīng)對該條的規(guī)范屬性做何定位？

已有研究表明，法律規(guī)則中有一類概括性條款，這類條款有特定的適用范圍、行為模式和法律效果，其與一般法律規(guī)則的區(qū)別在于，前者僅設(shè)立了一般準則，它包含了一些帶有評價性的、需要予以補充的、具有不確定性的法律概念，這些不確定的法律概念無法通過法律解釋的手段予以適用，需由法院在個案評價中來完成。概括性法律規(guī)則的實質(zhì)在于，它是為避免要件列舉存在遺漏而采用的一種立法技術(shù)。在適用邏輯上，概括性條款與一般法律規(guī)則相同，在滿足適用要件時，確定發(fā)生法律規(guī)則的全部效果。適用中的重要任務(wù)在于，于要件認定過程中補充確定法律概念，這一過程也包含結(jié)合個案的權(quán)衡考量。但這種權(quán)衡考量并不影響法律效果的全部發(fā)生，也即，在適用與不適用之間不存在部分適用的中間狀態(tài)，此點區(qū)別于法律原則。［41］具體到社會責(zé)任條款，雖然條款本身所提供的行為模式不如一般性的法律規(guī)則那般明確，公司可以選擇具體承擔(dān)社會責(zé)任的形式和強度，但公司的自主選擇應(yīng)接受合法性、合道德性（商業(yè)道德）以及交易安全的評價和檢驗。如果通過檢驗，即發(fā)生相應(yīng)的法律效果；否則應(yīng)受到法律的否定性評價并適用于侵權(quán)編或合同編的具體責(zé)任規(guī)定。

明確社會責(zé)任條款屬于概括性條款，不僅可以簡化其適用方法從而減輕法官的論證負擔(dān)，而且可以更靈活地適用類推、擴張或限縮等解釋方法，較之于法律原則的操作性更強。在此意義上，社會責(zé)任條款即是內(nèi)涵道德引導(dǎo)的行為規(guī)范，也是裁判性規(guī)范。

五、結(jié)論

數(shù)字社會改寫了權(quán)力機制的來源和形態(tài)，大型網(wǎng)絡(luò)平臺在數(shù)字社會中獲得了強大而隱蔽的權(quán)力話語。在其主導(dǎo)的權(quán)力體系內(nèi)，個人信息乃至人格尊嚴都面臨遭受侵害的風(fēng)險，大數(shù)據(jù)時代的個人信息搜集范圍、搜集手段、處理方式等仍處于變化之中，［42］而承載了道德歸正的社會責(zé)任正是消解其權(quán)力濫用的立法表達。我們無法對社會責(zé)任的本質(zhì)概念進行定義，但可以析出守法守德（商業(yè)道德）與維護交易安全的法律內(nèi)涵。在《個人信息保護法》的規(guī)范體系中，維護交易安全的社會責(zé)任不再具有特別規(guī)范之意義，但守法守德既可以彌補合規(guī)義務(wù)的法律漏洞，也是檢查有效合規(guī)的重要依據(jù)。個人信息保護社會責(zé)任的實現(xiàn)有賴于合規(guī)治理的優(yōu)化改進和以增加透明度為核心的制度建設(shè)，這其中包括將合規(guī)義務(wù)向董事會與監(jiān)事會雙向下沉，在監(jiān)事會中嵌入由外部專業(yè)人員組成的個人信息保護監(jiān)督委員會，以遵守或解釋的方法細化、區(qū)分個人信息保護社會責(zé)任報告的披露指標。此外，明確社會責(zé)任條款作為概括性條款的屬性也有助于喚醒其發(fā)揮裁判功能。必須承認的是，個人信息保護社會責(zé)任的構(gòu)建是一項系統(tǒng)工程；一方面，社會責(zé)任入法正在從法律向道德借力轉(zhuǎn)向相關(guān)法律體系內(nèi)實現(xiàn)制度自洽；另一方面，個人信息保護的法律規(guī)范也正在實現(xiàn)多個法律部門的體系合力。［43］隨著個人信息保護現(xiàn)實需求的不斷更新與社會責(zé)任法理認知的持續(xù)擴張，個人信息保護社會責(zé)任的法律體系、合規(guī)實踐及理論研究也將繼續(xù)深入和完善。