【摘要】數(shù)據(jù)經(jīng)濟(jì)的背后是信息處理、利用方式的革命。其中,個人信息的處理既可能提升社會合作的效率,也可能限制個人的發(fā)展、影響社會公平正義,需要建立兼顧各種價值的治理框架。由于越來越多的社會活動建立在對個人數(shù)據(jù)的處理之上,一方面,借助個人數(shù)據(jù)的治理規(guī)則,可以撬動大量社會問題的解決;另一方面,也導(dǎo)致個人數(shù)據(jù)治理規(guī)則面臨更為復(fù)雜的任務(wù),需要平衡大量相互沖突的利益。因此,我們需要發(fā)展個人數(shù)據(jù)的合作治理模式,動員企業(yè)、產(chǎn)業(yè)組織、行業(yè)協(xié)會、學(xué)術(shù)機(jī)構(gòu)等社會組織參與到規(guī)則制定和執(zhí)行過程中。特別需要重視行業(yè)行為準(zhǔn)則、基于市場邏輯的技術(shù)標(biāo)準(zhǔn)和企業(yè)內(nèi)部治理架構(gòu)等方面的功能。
【關(guān)鍵詞】個人數(shù)據(jù) 合作治理 行業(yè)準(zhǔn)則 技術(shù)標(biāo)準(zhǔn) 內(nèi)部治理
【中圖分類號】D923 【文獻(xiàn)標(biāo)識碼】A
【DOI】10.16619/j.cnki.rmltxsqy.2023.06.003
數(shù)據(jù)經(jīng)濟(jì)與個人數(shù)據(jù)保護(hù)
我們?nèi)諠u進(jìn)入一切都數(shù)據(jù)化的時代,越來越多活動開始以數(shù)據(jù)的處理為基礎(chǔ)而展開,數(shù)據(jù)經(jīng)濟(jì)因此蓬勃發(fā)展。數(shù)據(jù)的價值在于其承載的信息,正是因為數(shù)據(jù)化革命性地降低了信息獲取、復(fù)制、傳播、利用的成本,才形成了以數(shù)據(jù)處理為基礎(chǔ)來組織生產(chǎn)、流通、消費和社會服務(wù)管理的社會動力。由此,數(shù)據(jù)經(jīng)濟(jì)的背后是信息記錄、傳播、利用和解釋方式的革命性變化。
信息是人與人之間交互的基本介質(zhì),數(shù)據(jù)革命因而帶來了兩個方向上的深遠(yuǎn)影響:一方面,推動數(shù)據(jù)流動利用的意義開始凸顯。由于對相關(guān)信息的可及性始終是生產(chǎn)、生活和社會治理有效開展的結(jié)構(gòu)性條件,推動記載信息的數(shù)據(jù)有效流通利用,釋放價值紅利成為重要的政策目標(biāo);另一方面,信息的利用又有超越經(jīng)濟(jì)意義的維度需要考慮,例如,國家安全、社會的價值觀念等。這也帶來了完善治理體系,保障安全發(fā)展的需求。實際上,這也是近期《中共中央 國務(wù)院關(guān)于構(gòu)建數(shù)據(jù)基礎(chǔ)制度更好發(fā)揮數(shù)據(jù)要素作用的意見》(以下簡稱《構(gòu)建數(shù)據(jù)基礎(chǔ)制度意見》)的兩個基本關(guān)切。[1]
在諸多治理需求中,對承載個人信息的數(shù)據(jù)(以下簡稱“個人數(shù)據(jù)”)的治理具有重要地位,也是與人民群眾直接相關(guān)的議題。這些數(shù)據(jù)是個人身份在數(shù)字空間的投射,在個體的數(shù)字化生活與實體生活不斷嵌合、社會也越來越依賴數(shù)字空間進(jìn)行交互的趨勢下,這些數(shù)據(jù)的處理會形成他人、社會對個體的定義。基于這些定義的推薦商品服務(wù)、分配工作機(jī)會、推送新聞信息等活動,又會進(jìn)一步影響個體的發(fā)展空間,塑造個體的認(rèn)知、偏好、觀念。因此,個人數(shù)據(jù)保護(hù)的意義在于,在數(shù)字化生存中維護(hù)人的尊嚴(yán)。這種尊嚴(yán)的維護(hù)既是個體層面的自我實現(xiàn)的前提,也是確保整個社會公平正義的基礎(chǔ)。正因如此,建立健全個人數(shù)據(jù)的治理機(jī)制,規(guī)范個人信息處理活動,促進(jìn)個人信息合理利用也是《構(gòu)建數(shù)據(jù)基礎(chǔ)制度意見》重點關(guān)注的議題之一。[2]
與此同時,個人數(shù)據(jù)保護(hù)并非一味限制這些數(shù)據(jù)處理活動,其規(guī)則設(shè)計亦必須理解當(dāng)下數(shù)據(jù)經(jīng)濟(jì)的邏輯。個人數(shù)據(jù)是“承載個人信息”的數(shù)據(jù),而非“歸個人所有”的數(shù)據(jù)。而且,與個人隱私不同,個人信息是非常寬泛的,凡是與已識別或者可識別的自然人有關(guān)的各種信息都包括在內(nèi)。對這些個人信息的利用,在很多情況下是人與人之間有效交往、合作的基本前提:企業(yè)雇傭員工、醫(yī)生開展治療、媒體進(jìn)行報道、學(xué)校進(jìn)行教育等活動都需要掌握相關(guān)主體的個人信息。數(shù)據(jù)經(jīng)濟(jì)的內(nèi)在邏輯也是便利這種信息利用,從而支撐起基于這些信息的社會合作。[3]
由于個人數(shù)據(jù)的這些特點及其社會功能,個體無法也不應(yīng)當(dāng)享有對涉及其信息的數(shù)據(jù)的絕對化的控制。實際上,沒有人是一座孤島,人只有在與他人的交往中才能發(fā)現(xiàn)和實現(xiàn)自我,這種交往必然伴隨個人數(shù)據(jù)的流動。保護(hù)個體的自我實現(xiàn)也并非要求個體完全免于社會影響,我們每個人都被社會環(huán)境所塑造。
因此,個人數(shù)據(jù)保護(hù)的規(guī)則設(shè)計需要契合數(shù)據(jù)經(jīng)濟(jì)的內(nèi)在邏輯。數(shù)字時代的個人數(shù)據(jù)治理需要尋求與傳統(tǒng)隱私保護(hù)不同的思路:后者是禁止特定信息的披露行為,截斷相應(yīng)的信息流,讓個人的這部分信息在公共視野中模糊化,為個體創(chuàng)造一個隱秘的、無法被其他主體窺探的私密空間;而個人數(shù)據(jù)的治理并非旨在截斷信息流通,而是要求相關(guān)主體基于合法目的、公平地處理個人數(shù)據(jù),確保處理活動是透明的和負(fù)責(zé)任的,確保受到影響的個體能夠參與到處理活動中來形成制衡。[4]在這個意義上,個人數(shù)據(jù)保護(hù)意在塑造一個能夠獲得社會成員信任的個人數(shù)據(jù)流通、利用環(huán)境,從而促進(jìn)而非限制個人數(shù)據(jù)的合理利用,進(jìn)而支撐數(shù)據(jù)經(jīng)濟(jì)的發(fā)展。
數(shù)字空間“所有事物之法”的機(jī)遇與挑戰(zhàn)
早在20世紀(jì)中期,伴隨信息通信技術(shù)的發(fā)展,強(qiáng)化個人數(shù)據(jù)保護(hù)便被提上日程。但是,在技術(shù)普及、演進(jìn)的不同階段,技術(shù)對社會交往關(guān)系的影響、與既有社會生產(chǎn)機(jī)制的結(jié)合方式不盡相同,規(guī)則設(shè)計面對的問題亦有巨大的差異。[5]在早期,個人數(shù)據(jù)處理僅限于一些具體環(huán)節(jié),是相對輔助、次要的。例如,無論是經(jīng)營活動還是政府管理,很早便開始對客戶(管理相對人)的基本信息進(jìn)行電子記錄。然而,在當(dāng)下,互聯(lián)網(wǎng)和數(shù)字技術(shù)深入嵌套進(jìn)社會生活的方方面面、管理流程的各個環(huán)節(jié),深刻改造了我們的生產(chǎn)生活環(huán)境,重塑了社會交互的場域。在此背景下,社會對個人數(shù)據(jù)的處理利用無論在規(guī)模上,還是在內(nèi)在動力機(jī)制上,已經(jīng)完全不同。
由于互聯(lián)網(wǎng)和數(shù)字技術(shù)以數(shù)據(jù)的處理為基礎(chǔ),我們已經(jīng)進(jìn)入一個“一切都被數(shù)據(jù)化的時代”,各行各業(yè)的活動逐漸以數(shù)據(jù)處理為基本的決策基礎(chǔ),其中,大量數(shù)據(jù)又是個人數(shù)據(jù):在經(jīng)濟(jì)活動方面,基于個人行為數(shù)據(jù)的用戶畫像日漸普及,以期更有效率地組織生產(chǎn),更精確地推薦商品、服務(wù)和信息,提升供需匹配的效率;在社會管理服務(wù)方面,數(shù)字政府建設(shè)已成國家戰(zhàn)略,以數(shù)據(jù)賦能決策和管理服務(wù)成為日漸強(qiáng)化的趨勢,[6]而以“數(shù)據(jù)多跑路,百姓少跑腿”為目標(biāo)的一站式政務(wù)服務(wù),其基礎(chǔ)就是體系性地處理管理和服務(wù)對象的個人數(shù)據(jù)。
這一趨勢背后有著深刻的經(jīng)濟(jì)邏輯,但也意味著個人數(shù)據(jù)保護(hù)規(guī)則的適用范圍越來越寬泛。個人數(shù)據(jù)保護(hù)的法律規(guī)則將影響極其廣泛的活動,面臨著成為數(shù)字空間“所有事物之法”(law of everything)的趨勢。[7]在此背景下,個人數(shù)據(jù)保護(hù)面臨前所未有的機(jī)遇。
個人數(shù)據(jù)保護(hù)被賦予越來越多的功能。由于越來越多的活動建立在個人數(shù)據(jù)處理基礎(chǔ)之上,以個人數(shù)據(jù)處理活動的規(guī)范為連接點,撬動起更多社會問題的解決,成為法律日漸關(guān)注的議題。由此,個人數(shù)據(jù)保護(hù)制度承載的功能日漸拓展。
在早期,個人數(shù)據(jù)保護(hù)的基本功能在于確保個體能夠參與到處理活動中來,使其能夠?qū)φ莆諗?shù)據(jù)的處理者的“權(quán)力”形成制衡,從而維護(hù)自身的權(quán)利。而且,其保護(hù)的方法與思路也沒有脫離傳統(tǒng)隱私保護(hù)的窠臼,甚至,理論層面也有將其概括為信息隱私保護(hù)的觀點(informational privacy)[8]。
當(dāng)下,技術(shù)環(huán)境、對個人數(shù)據(jù)利用的社會動力機(jī)制已經(jīng)發(fā)生革命性變化,個人數(shù)據(jù)保護(hù)承載的功能也就日漸復(fù)雜,越來越多的價值考量開始在個人數(shù)據(jù)保護(hù)中占據(jù)重要的位置。特別是,個人數(shù)據(jù)保護(hù)的功能已經(jīng)不局限于維護(hù)個體層面的權(quán)益,借助個人信息保護(hù)規(guī)則來維護(hù)整個社會經(jīng)濟(jì)權(quán)力平衡、文化多元和公共對話的有效性受到越來越多的關(guān)注。[9]例如,個人數(shù)據(jù)保護(hù)規(guī)則已經(jīng)被期待在遏制經(jīng)濟(jì)權(quán)力集中、防止壟斷方面發(fā)揮作用。[10]當(dāng)下,少數(shù)大型數(shù)字平臺,可以憑借其占據(jù)的互聯(lián)網(wǎng)交互樞紐位置而獲得大量的用戶個人數(shù)據(jù)。借助這些數(shù)據(jù),大型平臺得以更精確地了解用戶偏好從而持續(xù)性地改進(jìn)產(chǎn)品和服務(wù),也能夠幫助其商家更精準(zhǔn)地投放廣告,還導(dǎo)致用戶遷移到其他服務(wù)提供者的轉(zhuǎn)換成本高昂,從而形成了數(shù)字經(jīng)濟(jì)中最巨大的市場壁壘。[11]因此,當(dāng)下幾乎所有關(guān)于數(shù)字平臺權(quán)力來源的研究,都指出這種通過掌握個人數(shù)據(jù)而獲得經(jīng)濟(jì)權(quán)力的行為是競爭政策需要關(guān)注的焦點。[12]又如,當(dāng)前理論界和實務(wù)界日漸關(guān)注人工智能和算法的法律規(guī)制,由于這些產(chǎn)品或者服務(wù)大多建立在對個人數(shù)據(jù)進(jìn)行處理分析的基礎(chǔ)上,因此,不少國家和地區(qū)的政策制定者都在探討通過個人數(shù)據(jù)保護(hù)規(guī)則撬動這些領(lǐng)域的治理。[13]
由此,個人數(shù)據(jù)保護(hù)法律規(guī)則發(fā)展的趨勢是:不停留于個人數(shù)據(jù)保護(hù)本身,而是借助個人數(shù)據(jù)保護(hù),將法律層面保護(hù)的諸多價值在數(shù)字空間中重申和強(qiáng)化。對此,一些域外學(xué)者提出,要理解個人數(shù)據(jù)保護(hù)的賦能功能(data protection's enabling function),即它對其他基本權(quán)利和自由等價值的意義。[14]實際上,《中華人民共和國個人信息保護(hù)法》(以下簡稱《個人信息保護(hù)法》)強(qiáng)調(diào)“根據(jù)憲法,制定本法”,本身也意味著立法者意識到個人數(shù)據(jù)保護(hù)對憲法諸多價值在數(shù)字空間實現(xiàn)具有重大意義。[15]
個人數(shù)據(jù)保護(hù)需要兼顧、平衡的利益增多。伴隨著越來越多的社會生活領(lǐng)域被數(shù)字化,個人數(shù)據(jù)保護(hù)的規(guī)則覆蓋到越來越多的社會活動,個人數(shù)據(jù)保護(hù)的價值也就會與該領(lǐng)域需要考慮的其他價值產(chǎn)生競合甚至緊張。這就要求,個人數(shù)據(jù)保護(hù)規(guī)則的設(shè)計需要更加平衡,更廣泛地思考個人數(shù)據(jù)保護(hù)對相關(guān)活動的影響,為具體情境下不同價值的協(xié)調(diào)提供空間。[16]例如,在自動駕駛的情況下,為了讓算法更廣泛地學(xué)習(xí)人類駕駛的習(xí)慣,也為了在發(fā)生事故時能夠回溯事故原因并改進(jìn),可能客觀上需要非常深入、系統(tǒng)地記錄駕駛者的行為數(shù)據(jù)。此時,個人數(shù)據(jù)保護(hù)的規(guī)則就會適用于以前不會適用的場景。但是,在這種場景下,從自動駕駛技術(shù)的安全需求出發(fā),可能需要盡可能多地記錄駕駛者的個人數(shù)據(jù),而從個人數(shù)據(jù)保護(hù)出發(fā),則可能需要盡量限制這類數(shù)據(jù)的處理范圍,這就會產(chǎn)生緊張。
同樣的問題也出現(xiàn)在生物醫(yī)學(xué)研究領(lǐng)域。這一領(lǐng)域歷來需要廣泛地收集和研究受試者的個人數(shù)據(jù),其中還包括一些涉及極為敏感信息的數(shù)據(jù)。當(dāng)個人數(shù)據(jù)保護(hù)規(guī)則適用到這一領(lǐng)域時,也會產(chǎn)生大量相互調(diào)試的需求。例如,個人數(shù)據(jù)保護(hù)要遵守目的限制原則,即預(yù)先形成明確、合理的數(shù)據(jù)處理目的,并在與目的直接相關(guān)的范圍內(nèi)收集數(shù)據(jù)。問題在于,科學(xué)研究本身就是探索未知的過程,它可能需要在不確定是否有用的情況下預(yù)先收集相應(yīng)的數(shù)據(jù);一些新的發(fā)現(xiàn)還會導(dǎo)致對已經(jīng)收集的數(shù)據(jù)做目的外的利用。由于科學(xué)研究自由亦是我國憲法明確的基本權(quán)利,這意味著個人數(shù)據(jù)保護(hù)也需要與這一價值進(jìn)行平衡。[17]
上述問題的根源在于,在前數(shù)據(jù)化的時代,每個社會生活領(lǐng)域往往只需要考慮一些特定的社會價值和法律權(quán)益,法律規(guī)則也圍繞著這些價值和權(quán)益而設(shè)計。但是,當(dāng)一切都數(shù)據(jù)化之后,個人數(shù)據(jù)保護(hù)的規(guī)則也會滲透到這些領(lǐng)域,與既有的規(guī)則及其背后保護(hù)的價值、權(quán)益產(chǎn)生疊加。因此,個人數(shù)據(jù)的保護(hù)規(guī)則就必須能夠“公平平衡”各個方面的考慮,防止為了某個單一目的而侵犯其他價值和權(quán)益,這也增加了個人數(shù)據(jù)保護(hù)的規(guī)則設(shè)計的復(fù)雜性。
原則性的立法與合作治理的必要
上述發(fā)展給個人數(shù)據(jù)保護(hù)的規(guī)則設(shè)計帶來了前所未有的復(fù)雜性。一方面,個人數(shù)據(jù)保護(hù)功能的拓展要求對個人數(shù)據(jù)的處理設(shè)計更為實質(zhì)的約束。在早期單一功能下,保護(hù)的方法主要是賦予個體一些程序性的權(quán)利。例如,《全國人民代表大會常務(wù)委員會關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》《中華人民共和國網(wǎng)絡(luò)安全法》對個人信息的保護(hù)高度依賴對個體的告知并取得同意。[18]這些程序性的權(quán)利指向過度收集、使用不準(zhǔn)確的數(shù)據(jù)等,但并不表達(dá)關(guān)于社會爭議的實質(zhì)性標(biāo)準(zhǔn),即為了哪些目的、采取何種方式來處理數(shù)據(jù)是可接受的。[19]面對個人數(shù)據(jù)保護(hù)功能的增加,這種隱含而非直接的規(guī)制方式已經(jīng)越來越不可持續(xù),我們需要從更實質(zhì)的維度來定義何為公平的數(shù)據(jù)處理生態(tài),探索恰當(dāng)?shù)囊?guī)制方案,塑造相應(yīng)的秩序。另一方面,個人數(shù)據(jù)保護(hù)需要平衡的價值日漸增多,個人數(shù)據(jù)的處理活動的合法性也就越來越依賴于對具體場景的判斷。只有當(dāng)處理活動違反了社會關(guān)于特定場景下應(yīng)當(dāng)如何使用個人信息的倫理共識時,才是應(yīng)當(dāng)被干預(yù)的,對此,有學(xué)者將其概括為侵犯了場景正直(contextual integrity)。[20]由于這種判斷取決于具體行業(yè)、具體個案中的社會條件,這增加了從統(tǒng)一角度設(shè)計保護(hù)規(guī)則的難度。
為了回應(yīng)這種復(fù)雜性,我國《個人信息保護(hù)法》采取了一種原則主義的進(jìn)路。它雖然著眼于設(shè)計實質(zhì)性的要求,但大量的條款是原則性、甚至是愿景性的。例如,要求處理個人信息應(yīng)當(dāng)遵循合法、正當(dāng)、必要和誠信原則;[21]自動化決策應(yīng)當(dāng)保證決策的透明度和結(jié)果公平、公正。[22]如何滿足這些法律要求實際上是一個范圍和程度的問題,對于具體處理活動是否合法,法律本身難以提供一個是非分明的答案。
這種原則主義的規(guī)范方式有其合理性。因為,不過分強(qiáng)調(diào)規(guī)則的具體化,也就意味著不預(yù)設(shè)明確的結(jié)論,這為探索一些新興問題的解決方案提供了靈活性,也為具體情境中不同價值權(quán)衡提供一個更具包容性的平臺。[23]它意味著個人數(shù)據(jù)處理者可以根據(jù)具體的情境,特別衡量處理活動所追求合法利益與處理活動造成的風(fēng)險,從而校準(zhǔn)他們的法律義務(wù)。[24]這既有利于將個人數(shù)據(jù)保護(hù)覆蓋到一些新的議題,也有利于防止個人數(shù)據(jù)保護(hù)過于僵化而對數(shù)據(jù)經(jīng)濟(jì)的發(fā)展形成不必要的障礙。
當(dāng)然,這種基于原則的規(guī)制也意味著,個人數(shù)據(jù)的保護(hù)難以通過傳統(tǒng)自上而下的命令-控制體系來執(zhí)行,而需要發(fā)展出一套監(jiān)管部門與社會、行業(yè)、被監(jiān)管企業(yè)合作治理的模式。實際上,原則性的規(guī)定本身就意味著立法者是希望社會、行業(yè)、企業(yè)自行發(fā)現(xiàn)如何最好地執(zhí)行這些原則,這些規(guī)定也并非包含了所有的答案,不可能通過一個清單式樣的合規(guī)要求來保證完美的合規(guī)。無論是監(jiān)管者還是監(jiān)管對象都需要將個人數(shù)據(jù)保護(hù)理解為持續(xù)的風(fēng)險評估過程,進(jìn)而形成一種合作關(guān)系,來確定法律要求的實質(zhì)是什么以及如何執(zhí)行。這意味著監(jiān)管對象有一定的空間來試錯,[25]而監(jiān)管者需要更加關(guān)注監(jiān)管對象是否展現(xiàn)出執(zhí)行這些原則的負(fù)責(zé)任行動,而不是拘泥于一些細(xì)節(jié)問題。
實際上,學(xué)術(shù)界一直有呼吁,在政府規(guī)制任務(wù)日漸拓展的同時,我們需要超越傳統(tǒng)單方命令-控制體系,創(chuàng)造一種兼具強(qiáng)制與合作的方法,增強(qiáng)法律執(zhí)行的效果。[26]而信息時代的特殊環(huán)境,將這種改革的需求更加凸顯出來,行政規(guī)制變得更加非正式并更加依賴私人部門的投入。[27]正因如此,《構(gòu)建數(shù)據(jù)基礎(chǔ)制度意見》亦提出“構(gòu)建政府、企業(yè)、社會多方協(xié)同的治理模式”。在個人數(shù)據(jù)保護(hù)領(lǐng)域推動這種合作治理的必要性具體如下。
其一,在一些新興領(lǐng)域,需要社會、行業(yè)和企業(yè)的投入來探索法律的實質(zhì)內(nèi)涵。伴隨承載功能的增多,個人數(shù)據(jù)保護(hù)實際上將一些還處于理論爭議較多的前沿問題納入了規(guī)制視野。但是,這些活動要么是以前所未有的新型方式來影響法律所保護(hù)的權(quán)益;要么并不直接影響相關(guān)法律權(quán)益,而是對其得以展開的基礎(chǔ)環(huán)境產(chǎn)生影響。[28]在此背景下,法律難以提前設(shè)想所有可能的沖突,監(jiān)管部門也不可能根據(jù)既往的經(jīng)驗直接得出監(jiān)管方案。例如,基于個人數(shù)據(jù)的算法推薦新聞信息、商品和服務(wù)已經(jīng)引發(fā)了關(guān)于信息繭房、操縱個體認(rèn)知等潛在的擔(dān)憂。[29]但是,個性化推薦技術(shù)應(yīng)用亦有其深刻的經(jīng)濟(jì)邏輯。我們已經(jīng)經(jīng)歷了從組織式社會到網(wǎng)絡(luò)式社會的典范變遷,商品、服務(wù)和內(nèi)容的提供越來越分散,由于個體對信息的接納能力始終是有限的,注意力日漸成為一種稀缺的資源。[30]在此背景下,我們必須發(fā)展出相應(yīng)的技術(shù)系統(tǒng)和商業(yè)模式來減少信息定向的成本,提升供需匹配的效率。面對這種“兩難”,無論是實務(wù)界還是理論界,仍然在評價相關(guān)影響。因此,法律只能對相關(guān)個人數(shù)據(jù)提出了公平、公正等原則性要求,而如何在具體治理活動中平衡相互競爭的利益,顯然需要更加熟悉相關(guān)技術(shù)、產(chǎn)業(yè)生態(tài)的行業(yè)組織和被規(guī)制對象的參與和投入。
其二,個人數(shù)據(jù)保護(hù)的原則在不同領(lǐng)域的具體化,也需要行業(yè)和企業(yè)的參與,以確保治理方案契合事物的本質(zhì)。當(dāng)代社會,無論是技術(shù)的迭代還是社會交互方式的演進(jìn),其變化的速度已經(jīng)越來越快。因此,立法往往只能提供一種框架性的秩序安排。在這個意義上,借助寬泛的原則來表述立法意圖解決的問題,并不一定會產(chǎn)生相應(yīng)的不確定性。如果在相關(guān)執(zhí)法、司法和行業(yè)自我規(guī)范的實踐中,逐步形成對于相關(guān)立法含義的共識性理解的話,以這些原則為基礎(chǔ)就可以逐步發(fā)展出一套有操作性的規(guī)則體系。[31]但是,這樣的共識性理解更容易在一些具體的部門領(lǐng)域范圍內(nèi)形成。因為,正是在這些具體領(lǐng)域中,監(jiān)管者、被監(jiān)管者、行業(yè)性的組織、相關(guān)學(xué)術(shù)機(jī)構(gòu)等有機(jī)會形成有緊密連接的社區(qū),從而不斷累積共識。因此,如果我們期待個人數(shù)據(jù)保護(hù)原則逐步在新聞傳媒、商品和服務(wù)交易、金融科技等行業(yè)領(lǐng)域具體化,就需要動員出一套合作治理的架構(gòu)。因為,監(jiān)管的目的在于不斷形成符合社會期待的秩序,它必須考慮被規(guī)范的事物內(nèi)在的秩序結(jié)構(gòu),掌握充分信息,方能契合“事物的本質(zhì)”。[32]而在數(shù)字技術(shù)和數(shù)字生態(tài)都快速演化的領(lǐng)域,相關(guān)法律規(guī)則面臨劇烈變動,傳統(tǒng)的自上而下的命令-控制體系很難有效回應(yīng),需要思考動員社會力量合作治理的替代性治理策略。
其三,在社會越來越重視個人數(shù)據(jù)保護(hù)的文化氛圍下,被監(jiān)管的企業(yè)也有動力參與到這種合作治理中來。由于社會對個人數(shù)據(jù)保護(hù)關(guān)注度的提升,能夠滿足社會期待的企業(yè)更能夠獲得用戶的信任,從而獲得更多的商業(yè)機(jī)會。[33]因此,企業(yè)一般不會傾向于利用每個可能為其行為辯護(hù)的法律理由來探索監(jiān)管的邊界。相反,大量的企業(yè)也需要在消費者面前將其塑造為消費者個人數(shù)據(jù)的捍衛(wèi)者。在這個意義上,企業(yè)有擁抱行業(yè)最佳實踐的潛在動力。因此,監(jiān)管部門引入、鼓勵行業(yè)的自我規(guī)范,可以推動形成行業(yè)動力,引導(dǎo)企業(yè)在經(jīng)濟(jì)和社會因素考量下追求社會責(zé)任,而不僅僅是規(guī)避被法律懲罰的風(fēng)險。
合作治理的具體展開
數(shù)字經(jīng)濟(jì)形成了一個高度動態(tài)的經(jīng)濟(jì)環(huán)境,在這樣的環(huán)境下,對數(shù)據(jù)的處理、利用,無論是技術(shù)架構(gòu)、商業(yè)模式、社會生態(tài)都在不斷演進(jìn)、迭代中。傳統(tǒng)的行政監(jiān)管需要保障規(guī)制系統(tǒng)的穩(wěn)定性與可預(yù)測性,不免存在有限理性、認(rèn)知局限與監(jiān)管時滯等問題。[34]此背景下,監(jiān)管部門不能過度迷信傳統(tǒng)命令-控制體系的有效性,需要從依賴單方命令轉(zhuǎn)向以監(jiān)管為杠桿撬動社會集體行動。[35]具體而言,在個人數(shù)據(jù)保護(hù)領(lǐng)域發(fā)展這種合作治理,需要重點關(guān)注以下問題。
推動探索行業(yè)性的行為準(zhǔn)則。在將個人數(shù)據(jù)保護(hù)的原則性規(guī)定落地執(zhí)行的過程中,監(jiān)管部門需要承擔(dān)起與個人數(shù)據(jù)保護(hù)相關(guān)的風(fēng)險辨識與利益衡量任務(wù)。但是,如前所述,固有的信息差使得監(jiān)管難以敏銳感知動態(tài)、隱蔽的風(fēng)險流變,與產(chǎn)業(yè)實踐的分離也導(dǎo)致監(jiān)管難以辨識技術(shù)場景背后多元的利益訴求。因此,僅憑自身的能力,監(jiān)管部門無法充分認(rèn)識個人數(shù)據(jù)保護(hù)議題的復(fù)雜性,提出切中要害的具體治理方案。
相比之下,位于行業(yè)前沿的企業(yè)反而能夠更加熟練地作出判斷,甚至?xí)榱朔婪讹L(fēng)險,在法律尚未明確要求的情況下,去主動設(shè)計、創(chuàng)造治理方案;與此同時,為了維護(hù)行業(yè)的集體聲譽,相關(guān)產(chǎn)業(yè)組織、行業(yè)協(xié)會甚至學(xué)術(shù)機(jī)構(gòu)也有機(jī)會和動力將這些實踐轉(zhuǎn)化為自律性的規(guī)范或倡議。因此,個人數(shù)據(jù)的合作治理意味著在一定程度上將監(jiān)管職權(quán)授予給這些社會組織,激勵它們發(fā)展行業(yè)性的行為準(zhǔn)則,調(diào)動這些組織根據(jù)其掌握行業(yè)前沿的信息優(yōu)勢而進(jìn)行自我規(guī)制。而且,經(jīng)由行業(yè)準(zhǔn)則的橋接,這些探索性的治理經(jīng)驗可以為監(jiān)管設(shè)計具體的治理方案提供實驗方案和經(jīng)驗支撐。[36]
與此同時,這種傳導(dǎo)機(jī)制的運作也需要以明確的制度肯認(rèn)與充分的制度激勵為后盾。就制度肯認(rèn)而言,法律需要明確表達(dá)這些社會主體組織制定行業(yè)性的行為準(zhǔn)則的必要性與合理性,并指示其范圍、程度與企業(yè)參與的方式。實際上,在生物醫(yī)藥、金融監(jiān)管等領(lǐng)域,囿于專業(yè)性所限,監(jiān)管部門時常需要借助產(chǎn)業(yè)組織或者第三方力量來發(fā)展更為詳盡的實質(zhì)性規(guī)則;在電子商務(wù)等快速迭代的數(shù)字經(jīng)濟(jì)新生業(yè)態(tài)之下,行業(yè)準(zhǔn)則更是承載著維系原則框架時效性與生命力的關(guān)鍵作用。
就制度激勵而言,監(jiān)管需要明確行為準(zhǔn)則的規(guī)范地位。從整體上來看,行為準(zhǔn)則提供的是個體經(jīng)驗制度化的契機(jī),需要推動其形成某種“軟法”的約束。[37]一方面,它本身就是一種聲譽激勵,不同企業(yè)的個體實踐經(jīng)由產(chǎn)業(yè)組織、行業(yè)協(xié)會或?qū)W術(shù)機(jī)構(gòu)提煉后,可以形成規(guī)?;挠绊懥驼J(rèn)可度,對其遵守或者違背會獲得相應(yīng)的社會評價。另一方面,對于一些成熟的、能夠反映行業(yè)最佳實踐的行為準(zhǔn)則,監(jiān)管部門也可以推動其效力升級。例如,這些行為準(zhǔn)則可以扮演安全港的角色,企業(yè)對于準(zhǔn)則的遵從可以被視為無過錯的有力證明。此外,在某些情況下,行為準(zhǔn)則甚至可以通過監(jiān)管協(xié)議作為普遍執(zhí)行的法律的附件,產(chǎn)生更強(qiáng)的約束力。
當(dāng)然,在行為準(zhǔn)則的發(fā)展過程中也要兼顧效率和公平。從內(nèi)容構(gòu)成來看,行業(yè)性的行為準(zhǔn)則往往優(yōu)先考慮大型企業(yè)的合規(guī)體系與技術(shù)方案。值得肯定的是,這一遴選邏輯為企業(yè)的創(chuàng)造性合規(guī)提供了正向激勵,有助于形成“逐頂”而非“探底”的集體行動邏輯。但是,需要謹(jǐn)慎對待的是,這一基于效率的優(yōu)績主義邏輯可能為頭部企業(yè)加筑行業(yè)進(jìn)入的門檻。因為,企業(yè)合規(guī)探索需要建立在豐富的業(yè)務(wù)生態(tài)環(huán)境之上,而這一優(yōu)勢恰恰是與企業(yè)規(guī)模等經(jīng)濟(jì)性指標(biāo)緊密聯(lián)系的。部分企業(yè)可能利用其固有的規(guī)模,主導(dǎo)形成自利性的行為準(zhǔn)則,再以服務(wù)外包等形式將合規(guī)任務(wù)“業(yè)務(wù)化”“商品化”,以保持自身的市場控制。[38]因此,在行為準(zhǔn)則形成過程中需要強(qiáng)調(diào)遵守基礎(chǔ)性的正當(dāng)程序,顧及參與者的多樣性。
發(fā)展基于市場邏輯的技術(shù)標(biāo)準(zhǔn)。數(shù)字社會是高度技術(shù)化的社會,法律對社會的規(guī)制也應(yīng)當(dāng)發(fā)展具備技術(shù)屬性的制度回應(yīng)。技術(shù)標(biāo)準(zhǔn)作為一種技術(shù)性的規(guī)范工具,具備與法律制度協(xié)同、實現(xiàn)個人數(shù)據(jù)保護(hù)治理的優(yōu)勢。這種依托標(biāo)準(zhǔn)來實施法律的經(jīng)驗在國際上并不鮮見,我國《個人信息保護(hù)法》也要求個人信息處理者根據(jù)處理目的、處理方式、對個人權(quán)益的影響、可能存在的安全風(fēng)險等因素,將個人信息處理活動的法律要求“嵌入”到相關(guān)管理流程、技術(shù)架構(gòu)等方面。[39]這是一種“基于技術(shù)設(shè)計”的個人數(shù)據(jù)保護(hù)方案,必然需要發(fā)展出一套相應(yīng)的技術(shù)標(biāo)準(zhǔn)來落地。
在法律的原則性框架下,技術(shù)標(biāo)準(zhǔn)的任務(wù)在于,基于不同產(chǎn)品、服務(wù)和流程的基本屬性,設(shè)計更加具體的技術(shù)方案,以支撐行為規(guī)范在經(jīng)營流程和技術(shù)環(huán)境中的內(nèi)嵌。[40]與此同時,技術(shù)標(biāo)準(zhǔn)要發(fā)揮這種功能,就需要充分尊重產(chǎn)業(yè)、技術(shù)發(fā)展的規(guī)律,將法律的要求與產(chǎn)業(yè)的自我邏輯嵌合起來。
然而,我國的標(biāo)準(zhǔn)化體系脫胎于計劃經(jīng)濟(jì)時代,近年來雖有不少改進(jìn),但在既有法律框架和制度環(huán)境中,技術(shù)標(biāo)準(zhǔn)的形成還難以擺脫傳統(tǒng)自上而下的模式。不論是那些直接體現(xiàn)行政權(quán)力的政府標(biāo)準(zhǔn),還是那些在政府影響下形成的團(tuán)體標(biāo)準(zhǔn),都體現(xiàn)著較為濃厚的監(jiān)管意志,彰顯著行政權(quán)力的作用。與法律命令-控制模式所可能遭遇的困境一樣,這些行政權(quán)力主導(dǎo)的技術(shù)標(biāo)準(zhǔn)并不能夠敏捷回應(yīng)數(shù)字化的社會變遷,也無法真實勾連起供應(yīng)鏈層面的技術(shù)治理要求。這非但不能達(dá)成有效的合作治理,還可能侵蝕標(biāo)準(zhǔn)形成的技術(shù)理性和市場邏輯。加之其并不具備立法過程在實體和程序方面的剛性約束,有可能造成對產(chǎn)業(yè)過度僵化的管制,無助于合作治理的實現(xiàn)。
因此,我們需要逐步地改變這種標(biāo)準(zhǔn)形成邏輯,動員市場參與者的力量,推動自下而上地形成技術(shù)標(biāo)準(zhǔn)體系。一方面,原則性框架提供了企業(yè)自下而上發(fā)展技術(shù)標(biāo)準(zhǔn)的制度空間,在此之下,各類市場主體具有體現(xiàn)技術(shù)最優(yōu)的行業(yè)實踐和經(jīng)驗積累,具備持續(xù)提煉和發(fā)展自身技術(shù)標(biāo)準(zhǔn)的內(nèi)生動力。這種技術(shù)標(biāo)準(zhǔn)將可能為市場主體帶來聲譽、效益方面的獲益。另一方面,自下而上的標(biāo)準(zhǔn)制定與認(rèn)證路徑也有助于緩解監(jiān)管部門系統(tǒng)性過載,進(jìn)而有利于增加標(biāo)準(zhǔn)體系本身的認(rèn)可度與執(zhí)行力。[41]一旦這些市場主體自下而上制定的技術(shù)標(biāo)準(zhǔn)獲得監(jiān)管部門的采納,將直接構(gòu)成監(jiān)管層面解釋相關(guān)原則性立法的定位和參照,從而為市場主體的合規(guī)發(fā)展提供更加明確、穩(wěn)定、可預(yù)期的制度指引。
撬動企業(yè)內(nèi)部治理架構(gòu)。在傳統(tǒng)意義上,監(jiān)管部門在法律授權(quán)范圍內(nèi)對監(jiān)管對象提出具體、清晰、可測量的行為準(zhǔn)則與結(jié)果要求。這種監(jiān)管模式要求監(jiān)管部門具備充分的信息,就復(fù)雜的數(shù)據(jù)經(jīng)濟(jì)而言,面臨不少的挑戰(zhàn)。當(dāng)下,平臺經(jīng)濟(jì)形成了復(fù)雜的生態(tài),大量分散的主體參與其中,商業(yè)模式和技術(shù)應(yīng)用不斷推陳出新。個人數(shù)據(jù)的處理可能帶來何種收益,需要監(jiān)管何種風(fēng)險具有高度的場景性與異質(zhì)性,而且,風(fēng)險由多個元素復(fù)雜交織促成并不斷演化。在此背景下,監(jiān)管部門缺乏信息優(yōu)勢,難以為企業(yè)設(shè)定具體的減緩風(fēng)險的方式與目標(biāo)。
因此,這種事前預(yù)設(shè)的監(jiān)管姿態(tài)已經(jīng)難以適應(yīng)數(shù)據(jù)經(jīng)濟(jì)下的技術(shù)發(fā)展。個人數(shù)據(jù)保護(hù)原則目標(biāo)的實現(xiàn),有賴于平臺企業(yè)在具體場景中進(jìn)行判斷、識別,并引入合乎比例的方法進(jìn)行風(fēng)險減緩,也依賴平臺企業(yè)精細(xì)地平衡、協(xié)調(diào)平臺生態(tài)內(nèi)多方主體的合法權(quán)益。在此背景下,我們需要通過監(jiān)管來撬動企業(yè)內(nèi)部治理架構(gòu)的完善。
這意味著,我們需要著重發(fā)展一些內(nèi)部管理型的監(jiān)管工具,即政府雖然對企業(yè)服務(wù)或者產(chǎn)品本身不設(shè)定具體的指標(biāo),但是要求相關(guān)企業(yè)按照法律標(biāo)準(zhǔn)建立內(nèi)部的組織架構(gòu),實施相應(yīng)的管理流程和決策規(guī)則來執(zhí)行相關(guān)的法律原則。[42]這種監(jiān)管工具的特殊性在于:一方面,它相對尊重企業(yè)的自主性,確保其擁有相對獨立的決策的空間對一些實質(zhì)問題進(jìn)行判斷;另一方面,監(jiān)管創(chuàng)造了一種強(qiáng)制的治理結(jié)構(gòu)和治理秩序,將其嵌入到企業(yè)內(nèi)部,能夠確保公共利益通過這種治理結(jié)構(gòu)和治理程序得到實現(xiàn)。實際上,近年來的立法已經(jīng)在進(jìn)行這樣的探索。例如,《個人信息保護(hù)法》規(guī)定了個人信息保護(hù)影響評估,要求在特定情況下,個人信息處理者應(yīng)當(dāng)事前進(jìn)行個人信息保護(hù)影響評估,并對處理情況進(jìn)行記錄;它還要求處理個人信息達(dá)到規(guī)定數(shù)量的企業(yè)設(shè)立個人信息保護(hù)負(fù)責(zé)人。
然而,要確保這些規(guī)定真正發(fā)揮實效,還必須圍繞這些法律規(guī)則發(fā)展出一套體系化的監(jiān)管要求。例如,如果我們期待個人信息保護(hù)負(fù)責(zé)人發(fā)揮作用,就必須進(jìn)一步明確,他(她)不僅是公司的雇員,還是法律在企業(yè)內(nèi)部創(chuàng)造一種類似于任期制的特殊管理職位。圍繞這種定位,監(jiān)管部門就需要進(jìn)一步細(xì)化他(她)的責(zé)任:需要承擔(dān)超越對公司忠誠的法律義務(wù);應(yīng)當(dāng)依據(jù)法律要求從企業(yè)內(nèi)部來監(jiān)督企業(yè)執(zhí)行相關(guān)規(guī)范;同時還要作為監(jiān)管部門和被監(jiān)管部門之間的聯(lián)絡(luò)點,確保在發(fā)生重大合規(guī)問題或者在相關(guān)執(zhí)法活動中如實向監(jiān)管部門報告情況,等等。
與此同時,伴隨這些監(jiān)管工具的使用。監(jiān)管的重心也應(yīng)當(dāng)避免過度聚焦于一些細(xì)節(jié)問題,避免埋頭于處理一些投訴舉報和監(jiān)督檢查中發(fā)現(xiàn)的具體問題,而應(yīng)當(dāng)致力于評估是否存在系統(tǒng)性、結(jié)構(gòu)性的問題。也就是說,監(jiān)管精力應(yīng)當(dāng)集中在評價企業(yè)的整體管理架構(gòu)、整體治理機(jī)制是否在現(xiàn)有技術(shù)水平下盡到了最大努力;集中在持續(xù)推動企業(yè)自我規(guī)制架構(gòu)的完善,引導(dǎo)企業(yè)形成一種自我反思的流程和文化,督促企業(yè)通過具體場景的學(xué)習(xí)和反思,從而提升企業(yè)對法律義務(wù)的履行能力。
(本文系國家社會科學(xué)基金項目“科技倫理規(guī)制的行政法治建構(gòu)研究”的階段性成果,項目編號:22CFX055)
注釋
[1]參見《中共中央 國務(wù)院關(guān)于構(gòu)建數(shù)據(jù)基礎(chǔ)制度更好發(fā)揮數(shù)據(jù)要素作用的意見(2022年12月2日)》“工作原則”部分。
[2]參見《中共中央 國務(wù)院關(guān)于構(gòu)建數(shù)據(jù)基礎(chǔ)制度更好發(fā)揮數(shù)據(jù)要素作用的意見(2022年12月2日)》第二條第(六)項。
[3]概念本質(zhì)的差異也決定了治理進(jìn)路的差異,不同于隱私治理的零和思維,個人信息保護(hù)的初衷是建立一套允許信息收集和傳輸,并為數(shù)據(jù)主體提供適當(dāng)保障的規(guī)則體系。參見P. Palka, "Data Management Law for the 2020s: The Lost Origins and the New Needs," Buffalo Law Review, 2020, 68(2), pp. 559–640.
[4]有學(xué)者詳細(xì)論證防止兩者交叉產(chǎn)生適用沖突的必要性。參見周漢華:《平行還是交叉:個人信息保護(hù)與隱私權(quán)的關(guān)系》,《中外法學(xué)》,2021年第5期。
[5]技術(shù)對社會關(guān)系的實質(zhì)性影響,也是近期科技倫理問題開始受到關(guān)注的原因。參見趙鵬:《科技治理“倫理化”的法律意涵》,《中外法學(xué)》,2022年第5期。
[6]參見《國務(wù)院關(guān)于加強(qiáng)數(shù)字政府建設(shè)的指導(dǎo)意見》(國發(fā)〔2022〕14號)。
[7]N. Purtova, "The Law of Everything: Broad Concept of Personal Data and Future of EU Data Protection Law," Law, Innovation and Technology, 2018, 10(1), pp. 40–81.
[8]G. G. Fuster, “The Emergence of Personal Data Protection as a Fundamental Right of the EU,“ Springer Science & Business, 2014, vol. 16, p. 110.
[9]J. E. Cohen, "Turning Privacy Inside Out," Theoretical Inquiries in Law, 2019, 20(1), pp. 1–31.
[10]參見張占江:《個人信息保護(hù)的反壟斷法視角》,《中外法學(xué)》,2022年第3期。我國的反壟斷法也表達(dá)了對通過數(shù)據(jù)而獲得的經(jīng)濟(jì)權(quán)力的關(guān)注,參見《中華人民共和國反壟斷法》第9條、第22條。
[11]J. Furman; D. Coyle; A. Fletcher; P. Marsden and D. McAuley, "Unlocking Digital Competition: Report of the Digital Competition Expert Panel," UK Government Publication, HM Treasury, 2019, p. 33.
[12]F. Lancieri; P. M. Sakowski, "Competition in Digital Markets: A Review of Expert Reports," Stanford Journal of Law Business & Finance, 2021, 2(6), p. 65.
[13]European Commission, "White Paper on Artificial Intelligence: A European Approach to Excellence and Trust," 19 February 2020, pp. 16–19.
[14]M. Oostveen; I. Kristina, "The Golden Age of Personal Data: How to Regulate an Enabling Fundamental Right?" in Personal Data in Competition, Consumer Protection and Intellectual Property Law: Towards a Holistic Approach?, Heidelberg: Springer Berlin, 2018, pp. 7–26.
[15]參見江必新:《全國人民代表大會憲法和法律委員會關(guān)于〈中華人民共和國個人信息保護(hù)法(草案)〉審議結(jié)果的報告》,《全國人民代表大會常務(wù)委員會公報》2021年第6號。
[16]參見王錫鋅:《個人信息國家保護(hù)義務(wù)及展開》,《中國法學(xué)》,2021年第1期。
[17]相關(guān)研究可以參見李潤生:《論個人健康信息“利用友好型”保護(hù)模式的建構(gòu)》,《行政法學(xué)研究》,2021年第5期。
[18]《全國人民代表大會常務(wù)委員會關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》第3條,《網(wǎng)絡(luò)安全法》第22條。
[19]L. Bygrave, “Data Protection Law: Approaching Its Rationale, Logic and Limits,“ Information Polity, 2003, 8(1, 2), pp. 80–84.
[20]海倫·尼森鮑姆:《場景中的隱私——技術(shù)、政治和社會生活中的和諧》,王苑等譯,北京:法律出版社,2022年,第119~168頁。
[21]《個人信息保護(hù)法》第5條。
[22]《個人信息保護(hù)法》第24條。
[23]B. John, “Rules and Principles: A Theory of Legal Certainty,“ Australian Journal of Legal Philosophy, 2002, 2(7), pp. 47–82.
[24]R. Gellert, “Data Protection: A Risk Regulation? Between the Risk Management of Everything and the Precautionary Alternative,“ International Data Privacy Law, 2015, 5(1), pp. 3–19.
[25]M. E. Kaminski, "Binary Governance: Lessons from the GDPR's Approach to Algorithmic Accountability," Southern California Law Review, 2018, 92(6), p. 1529.
[26]參見宋華琳:《論政府規(guī)制中的合作治理》,《政治與法律》,2016年第8期。
[27]J. E. Cohen, "The Regulatory State in the Enformation Age," Theoretical Inquiries in Law, 2016, 17(2), pp. 369–414.
[28]K. Yeung; L. A. Bygrave, "Demystifying the Modernized European Data Protection Regime: Cross–disciplinary Insights from Legal and Regulatory Governance Scholarship," Regulation & Governance, 2022, 16(1), pp. 137–155.
[29]相關(guān)分析參見劉存地、徐煒:《能否讓算法定義社會——傳媒社會學(xué)視角下的新聞算法推薦系統(tǒng)》,《學(xué)術(shù)論壇》,2018年第4期。
[30]J. G. Webster, The Marketplace of Attention: How Audiences Take Shape in a Digital Age, MIT Press, 2014, pp. 17–22.
[31]J. Black, "Constructing and Contesting Legitimacy and Accountability in Polycentric Regulatory Regimes," Regulation & Governance, 2008, 2(2), pp. 137–164.
[32]法哲學(xué)對“事物的本質(zhì)”的討論及其在行政法上的意義,參見陳愛娥:《事物本質(zhì)在行政法上之適用》,《中國法律評論》,2019年第3期。
[33]關(guān)于監(jiān)管機(jī)構(gòu)、官方媒體和行業(yè)協(xié)會“點名批評(naming & shaming)”等聲譽罰機(jī)制對企業(yè)形象的貶損與傷害,參見A. H. Zhang, "Agility over Stability: China's Great Reversal in Regulating the Platform Economy," Harvard International Law Journal, 2022, 63(2), p. 457。
[34]參見季衛(wèi)東:《法律與概率——不確定的世界與決策風(fēng)險》,《地方立法研究》,2021年第6期。
[35]G. Stoker, “Designing Institutions for Governance in Complex Environments: Normative Rational Choice and Cultural Institutional Theories Explored and Contrasted,“ Economic and Social Research Council Fellowship Paper, 2004(1), p. 3, quoted from A. Chris; G. Alison, “Collaborative Governance in Theory and Practice,“ Journal of Public Administration Research & Theory, 2008, 18(4), pp. 543–571.
[36]例如,F(xiàn)TC曾在其發(fā)布的物聯(lián)網(wǎng)合規(guī)指南中對于Facebook、蘋果和谷歌所使用的隱私圖標(biāo)表露出積極支持與鼓推態(tài)度,參見“Internet of Things: Privacy & Security in a Connected World,“ 19 November 2013, FTC, https://www.ftc.gov/news-events/events/2013/11/internet-things-privacy-security-connected-world。
[37]關(guān)于軟法的討論,可參見羅豪才、宋功德:《認(rèn)真對待軟法——公域軟法的一般理論及其中國實踐》,《中國法學(xué)》,2006年第2期。
[38]微軟公司曾公開推銷合規(guī)服務(wù),相關(guān)報道參見T. Liam, “Struggling to Comply with GDPR? Microsoft 365 Rolls out New Privacy Dashboards,“ 30 January 2019, https://www.zdnet.com/article/struggling-to-comply-with-gdpr-microsoft-365-rolls-out-new-privacy-dashboards/。
[39]《個人信息保護(hù)法》第51條。
[40]I. Kamara, "Co–regulation in EU Personal Data Protection: The Case of Technical Standards and the Privacy by Design Standardisation 'Mandate'," European Journal of Law and Technology, 2017, 8(1), pp. 7–8.
[41]《個人信息保護(hù)法》第62條。
[42]譚冰霖:《論政府對企業(yè)的內(nèi)部管理型規(guī)制》,《法學(xué)家》,2019年第6期。
責(zé) 編∕張 曉
Study on Cooperative Governance Model for Personal Data Protection
Zhao Peng
Abstract: Behind the data economy is a revolution in the way information is processed and utilized. Among them, the processing of personal information may either enhance the efficiency of social cooperation or restrict the development of individuals and affect social equity and justice, which requires the establishment of a governance framework that takes into account various values. As more and more social activities are built on the processing of personal data, it is possible to resolve a large number of social issues by leveraging the governance rules of personal data on the one hand; on the other hand, it also leads to a more complex task for personal data governance rules, which requires balancing a large number of conflicting interests. Therefore, we need to develop a cooperative governance model for personal data and mobilize enterprises, industrial organizations, industry associations, academic institutions and other social organizations to participate in the process of rule making and implementation. In particular, attention needs to be paid to the functions of industry codes of conduct, market-based technical standards, and internal corporate governance structures.
Keywords: personal data, cooperative governance, industry codes of conduct, technical standards, internal governance
趙鵬,中國政法大學(xué)法治政府研究院院長、教授、博導(dǎo),中國法學(xué)會行政法學(xué)研究會政府規(guī)制專業(yè)委員會副主任。研究方向為行政法、網(wǎng)絡(luò)與數(shù)據(jù)法、科技法。主要著作有《風(fēng)險社會的行政法回應(yīng):以健康、環(huán)境風(fēng)險規(guī)制為中心》、《懲罰性賠償?shù)男姓ǚ此肌罚ㄕ撐模?、《科技治?ldquo;倫理化”的法律意涵》(論文)等。