構(gòu)建行為法與組織法相結(jié)合的個(gè)人數(shù)據(jù)保護(hù)框架

【摘要】在個(gè)人信息保護(hù)領(lǐng)域，以“告知-同意”規(guī)則為核心的行為主義規(guī)制模式已經(jīng)取得顯著成效，但是對其能否適用于保護(hù)源于個(gè)人信息的數(shù)據(jù)這一問題仍有待討論?？紤]到行為主義規(guī)制路徑既無法整體評價(jià)行為結(jié)果的累積效果，也無法準(zhǔn)確界定可識別的規(guī)制對象，需要引入組織法規(guī)范予以補(bǔ)足。同時(shí)，由于現(xiàn)有組織法規(guī)范樣例難以準(zhǔn)確反映實(shí)踐中組織形式的變化，也有必要對其進(jìn)行重構(gòu)。由此，建構(gòu)個(gè)人數(shù)據(jù)保護(hù)框架應(yīng)靈活配置行為法與組織法規(guī)范，以調(diào)試和修正單一類型法律規(guī)范的不足。

【關(guān)鍵詞】行為法 規(guī)制 組織法 個(gè)人數(shù)據(jù)

【中圖分類號】D922.16/D923 【文獻(xiàn)標(biāo)識碼】A

【DOI】10.16619/j.cnki.rmltxsqy.2024.16.012

《中華人民共和國個(gè)人信息保護(hù)法》（以下簡稱《個(gè)人信息保護(hù)法》）確立了以“告知-同意”為核心的個(gè)人信息處理規(guī)則，保障個(gè)人在個(gè)人信息處理活動中的各項(xiàng)權(quán)利，強(qiáng)化個(gè)人信息處理者的義務(wù)，明確個(gè)人信息保護(hù)的監(jiān)管職責(zé)，并設(shè)置嚴(yán)格的法律責(zé)任。然而，隨著個(gè)人信息轉(zhuǎn)化為企業(yè)數(shù)據(jù)，其分層和分類保護(hù)成為關(guān)鍵問題。大型數(shù)據(jù)平臺的出現(xiàn)使個(gè)人數(shù)據(jù)的持有、處理和控制變得復(fù)雜，特定規(guī)制目標(biāo)難以實(shí)現(xiàn)。同時(shí)，學(xué)界對行為主義規(guī)制模式在個(gè)人數(shù)據(jù)保護(hù)領(lǐng)域的應(yīng)用及可行性尚未達(dá)成共識。因此，有必要討論以下三方面問題：行為主義規(guī)制模式面臨的困難，現(xiàn)有法律規(guī)范適用個(gè)人數(shù)據(jù)保護(hù)問題的可行性，以及如何制定新規(guī)并實(shí)現(xiàn)有效銜接。

行為主義規(guī)制模式的構(gòu)想與不足

作為一種方法論，行為主義旨在描述和解釋不同行動主體在實(shí)施一特定行為時(shí)所依據(jù)的條件或情境。在法律領(lǐng)域中，行為主義方法重在理解不同行為主體在參與法律實(shí)踐時(shí)各類行為的影響及意義，形成的法律規(guī)范則致力于針對具體行為調(diào)整不同主體間的關(guān)系。

盡管此種立法能夠有針對性地回應(yīng)實(shí)踐中的具體問題，但是分析其理論構(gòu)造與實(shí)際效用便可以發(fā)現(xiàn)，多元的行為主體和類型使得行為法規(guī)范難以涵蓋個(gè)案評價(jià)的整體效果。例如，《個(gè)人信息保護(hù)法》所采用的“告知-同意”規(guī)則以行為主體具有獨(dú)立意志并能作出正確意思表示為基礎(chǔ)，即立法僅以意思表示的自愿性和真實(shí)性作為標(biāo)準(zhǔn)，這使得規(guī)范在處理個(gè)案沖突時(shí)具有優(yōu)勢，而隨著數(shù)據(jù)處理者的影響不斷擴(kuò)大，其與數(shù)據(jù)主體之間的長期關(guān)系可能會侵害數(shù)據(jù)主體的自決權(quán)，面臨不能預(yù)見的新問題，這表明關(guān)注離散主體的傳統(tǒng)理論難以準(zhǔn)確反映社會現(xiàn)實(shí)。

類似的挑戰(zhàn)也曾出現(xiàn)在合同法這一典型的行為立法之中。為此，合同法學(xué)者提出了關(guān)系契約理論。[1]根據(jù)這一理論，出于有限理性，當(dāng)事人不可能對全部事項(xiàng)作出預(yù)判，故應(yīng)允許當(dāng)事人就基本的目標(biāo)和原則訂立合同并引入多種社會因素作為基本框架。[2]在該理論的指引下，合同在傳統(tǒng)社會中所發(fā)揮的增進(jìn)個(gè)人效益的工具價(jià)值被促進(jìn)社會整合的內(nèi)在價(jià)值所取代。但是，考慮到關(guān)系契約理論在維系關(guān)系義務(wù)方面存在局限，需要公權(quán)力干預(yù)形成行為主義規(guī)制模式。

行為主義規(guī)制模式承繼了規(guī)制理論的基本預(yù)設(shè)，即行政機(jī)關(guān)有必要干預(yù)社會的自發(fā)行動，通過引入經(jīng)濟(jì)學(xué)和心理學(xué)的經(jīng)驗(yàn)研究進(jìn)行改進(jìn)，利用人類行為和決策規(guī)律設(shè)計(jì)有效的規(guī)制手段，以實(shí)現(xiàn)公共政策目標(biāo)。這要求規(guī)制機(jī)構(gòu)準(zhǔn)確識別場景特征，并正確理解該行為在該場景中的實(shí)質(zhì)意義。規(guī)制機(jī)構(gòu)還需要根據(jù)不斷變化的場景及時(shí)調(diào)整規(guī)制方法。

毫無疑問，該模式為大量創(chuàng)設(shè)合理的法律規(guī)范提供了可能，但是在適用時(shí)仍存在一些不足。具體而言，這一規(guī)制模式通常難以兼顧評判標(biāo)準(zhǔn)的正當(dāng)性基礎(chǔ)與行為結(jié)果的累積效應(yīng)，從而導(dǎo)致對單個(gè)行為的規(guī)制往往只能基于特定場景形成個(gè)案，無法推及更多的未知情境。同時(shí)，行為主義規(guī)制模式往往關(guān)注不同主體之間的互動關(guān)系，這意味著不同主體之間的界限應(yīng)當(dāng)明晰且可識別，否則便難以找到規(guī)制的具體對象。因此，行為主義規(guī)制模式所映射的單一法律規(guī)范類型仍存在不足，需要援引其他類型的法律規(guī)范予以矯正和完善。

組織法規(guī)范的引入與基本框架

行為主義規(guī)制模式在適用于個(gè)人數(shù)據(jù)時(shí)面臨如下問題：一方面，當(dāng)前實(shí)踐中出現(xiàn)了多種圍繞數(shù)據(jù)展開的持有、處理或控制行為，但是其在具體場景中的意義仍需釋明；另一方面，由于數(shù)據(jù)處理的復(fù)雜程度較高，使得圍繞數(shù)據(jù)形成的各種關(guān)系缺乏收束中心。因此，現(xiàn)有行為法規(guī)范仍難以應(yīng)對數(shù)據(jù)語境中處于縱向關(guān)系中的不同主體間的沖突，既有法律規(guī)范在辨別不同規(guī)制場景時(shí)所采用的各項(xiàng)標(biāo)準(zhǔn)也難以通用。這表明，有必要引入組織法的思路，通過關(guān)注權(quán)力的分配過程來解決因多元的行為主體、類型和結(jié)果而造成的問題。

組織法規(guī)范著重關(guān)注組織內(nèi)部的機(jī)構(gòu)設(shè)置及成員關(guān)系，而長期以來的法律實(shí)踐中出現(xiàn)了多種組織法范本?？紤]到個(gè)人數(shù)據(jù)的收集和處理大多借助平臺展開，而公司法是私法領(lǐng)域中最為完善的組織法，因此，是否可以適用公司法規(guī)制平臺，需要著重考察平臺的基本特征。

現(xiàn)有關(guān)于平臺的經(jīng)驗(yàn)研究表明，平臺常被視為公司業(yè)務(wù)的一部分，[3]這符合公司架構(gòu)轉(zhuǎn)變的趨勢，此時(shí)組織法應(yīng)保持謙抑。將平臺視為公司有助于類比監(jiān)管，但是尚不足以突破公司形式框架。除此之外，還有一部分研究認(rèn)為，平臺的去中心化特征使得傳統(tǒng)財(cái)產(chǎn)權(quán)體系無法得到適用，加之?dāng)?shù)據(jù)價(jià)值的釋放有賴于對其的持續(xù)利用，[4]平臺降低交易成本并削弱了公司內(nèi)部等級制度，通過算法加強(qiáng)了對勞動者的控制，[5]故需區(qū)分處理平臺與公司。

由于缺乏對現(xiàn)有組織法范例的反思，多數(shù)研究或忽視了平臺與公司之間的交錯關(guān)系，或難以突破“平臺以公司的形式外觀作為主張采取自我規(guī)制的正當(dāng)性基礎(chǔ)”這一基本框架，[6]因此，有必要進(jìn)一步重構(gòu)組織法規(guī)范。

行為法與組織法相結(jié)合的個(gè)人數(shù)據(jù)保護(hù)框架

前述內(nèi)容已經(jīng)表明，無論是采用以行為法規(guī)范為主導(dǎo)的行為主義規(guī)制模式，還是依靠組織法規(guī)范來闡釋數(shù)據(jù)處理關(guān)系中的多元主體，都存在著一些不足，因此，一種可能的解決方案是靈活配置兩種類型的法律規(guī)范，使得相關(guān)立法保持一定韌性，以修正單一類型法律規(guī)范的不足。

現(xiàn)有平臺相關(guān)研究揭示了描述和界定數(shù)據(jù)主體與控制者、處理者之間的復(fù)雜關(guān)系之本質(zhì)所面臨的困難，為推動提出可檢驗(yàn)的命題，有必要采取截?cái)嗍降目蚣苄粤⒎?，在試錯過程中逐步依據(jù)經(jīng)驗(yàn)研究的成果予以修正。具體而言，對于個(gè)人數(shù)據(jù)保護(hù)，要整合零散的行為法規(guī)范以真正發(fā)揮約束效用，借鑒其他領(lǐng)域的規(guī)制研究，了解不同的組織法規(guī)范樣例在實(shí)踐中的利弊，為通過行為法規(guī)范的修正指明方向。在此基礎(chǔ)上，可以提出改良和解構(gòu)這兩種基本思路。

第一種方案是堅(jiān)持公司作為組織形式的存續(xù)價(jià)值，在此基礎(chǔ)上引入?yún)f(xié)調(diào)組織內(nèi)部不同主體之間的具體行為規(guī)范，以實(shí)現(xiàn)政策目標(biāo)。盡管現(xiàn)有相關(guān)數(shù)據(jù)立法尚不完善，但是在個(gè)人信息保護(hù)領(lǐng)域，現(xiàn)行的歐盟《一般數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation）有關(guān)數(shù)據(jù)保護(hù)專員的規(guī)定可以提供一定參考。[7]該法通過任命獨(dú)立數(shù)據(jù)保護(hù)專員，實(shí)現(xiàn)數(shù)據(jù)控制和處理的強(qiáng)制性組織結(jié)構(gòu)安排，從而突破了公司外觀的限制，拓寬了公司的社會功能。

第二種方案是廣泛借鑒反壟斷法的相關(guān)研究。將平臺視為基于網(wǎng)絡(luò)效應(yīng)形成的大型壟斷組織，對數(shù)據(jù)處理關(guān)系所涉各類行為的合法性予以界定，對監(jiān)管對象和目標(biāo)進(jìn)行梳理，從而排除無需監(jiān)管的具體領(lǐng)域，實(shí)現(xiàn)對現(xiàn)有各類樣例的重構(gòu)。同結(jié)構(gòu)主義反壟斷政策一樣，這種方案不僅關(guān)注公司的基本外觀，還考察了超越單個(gè)公司的隱形社會組織及其主體之間的關(guān)系。

解決數(shù)據(jù)處理關(guān)系的縱向整合問題以及應(yīng)對處于市場支配地位的企業(yè)實(shí)施不正當(dāng)競爭行為的方法包括：嚴(yán)格審查可能導(dǎo)致相關(guān)企業(yè)獲取價(jià)值較高的數(shù)據(jù)及跨行業(yè)使用數(shù)據(jù)的行為，預(yù)先禁止可能導(dǎo)致利益沖突的合并行為，等等。這實(shí)質(zhì)上默認(rèn)了以相似數(shù)據(jù)為連接點(diǎn)而形成的平臺是一種獨(dú)立且超越公司的特殊組織，且其正當(dāng)性需要通過檢驗(yàn)具體行為及實(shí)踐后果予以辨別。

綜上，隨著數(shù)據(jù)控制者和處理者對涉及個(gè)人信息的數(shù)據(jù)進(jìn)行深入處理，《個(gè)人信息保護(hù)法》等現(xiàn)有法律規(guī)范在適用中存在一定的不足。盡管行為法和組織法提供了應(yīng)對的方向，但明確的解決方案仍有待經(jīng)驗(yàn)研究調(diào)試和修正。

注釋

[1]I. R. MacNeil， “Relational Contract Theory： Challenges and Queries，“ Northwestern University Law Review， 2000， 94（3）.

[2]劉承韙：《契約法理論的歷史嬗迭與現(xiàn)代發(fā)展：以英美契約法為核心的考察》，《中外法學(xué)》，2011年第4期。

[3]R. Gorwa， “What Is Platform Governance？“ Information， Communication & Society， 2019， 22（6）.

[4]楊明：《平臺經(jīng)濟(jì)反壟斷的二元分析框架》，《中外法學(xué)》，2022年第2期。

[5]D. Ciepley， “Beyond Public and Private： Toward a Political Theory of the Corporation，“ American Political Science Review， 2013， 107（1）.

[6]例如，公司股東和管理者可能難以在保護(hù)消費(fèi)者個(gè)人數(shù)據(jù)與追求公司營利目標(biāo)之間作出得當(dāng)?shù)钠胶狻ee L. M. Khan and D. E. Pozen， “A Skeptical View of Information Fiduciaries，“ Harvard Law Review， 2019， 133（2）.

[7]M. Recio， “Data Protection Officer： The Key Figure to Ensure Eata Protection and Accountability，“ European Data Protection Law Review， 2017， 3（1）.

責(zé) 編∕李思琪 美 編∕梁麗琛