構(gòu)建行為法與組織法相結(jié)合的個人數(shù)據(jù)保護(hù)框架

【摘要】在個人信息保護(hù)領(lǐng)域，以“告知-同意”規(guī)則為核心的行為主義規(guī)制模式已經(jīng)取得顯著成效，但是對其能否適用于保護(hù)源于個人信息的數(shù)據(jù)這一問題仍有待討論。考慮到行為主義規(guī)制路徑既無法整體評價行為結(jié)果的累積效果，也無法準(zhǔn)確界定可識別的規(guī)制對象，需要引入組織法規(guī)范予以補(bǔ)足。同時，由于現(xiàn)有組織法規(guī)范樣例難以準(zhǔn)確反映實踐中組織形式的變化，也有必要對其進(jìn)行重構(gòu)。由此，建構(gòu)個人數(shù)據(jù)保護(hù)框架應(yīng)靈活配置行為法與組織法規(guī)范，以調(diào)試和修正單一類型法律規(guī)范的不足。

【關(guān)鍵詞】行為法 規(guī)制 組織法 個人數(shù)據(jù)

【中圖分類號】D922.16/D923 【文獻(xiàn)標(biāo)識碼】A

【DOI】10.16619/j.cnki.rmltxsqy.2024.16.012

【作者簡介】中國人民大學(xué)法學(xué)院  孫濟(jì)民

《中華人民共和國個人信息保護(hù)法》（以下簡稱《個人信息保護(hù)法》）確立了以“告知-同意”為核心的個人信息處理規(guī)則，保障個人在個人信息處理活動中的各項權(quán)利，強(qiáng)化個人信息處理者的義務(wù)，明確個人信息保護(hù)的監(jiān)管職責(zé)，并設(shè)置嚴(yán)格的法律責(zé)任。然而，隨著個人信息轉(zhuǎn)化為企業(yè)數(shù)據(jù)，其分層和分類保護(hù)成為關(guān)鍵問題。大型數(shù)據(jù)平臺的出現(xiàn)使個人數(shù)據(jù)的持有、處理和控制變得復(fù)雜，特定規(guī)制目標(biāo)難以實現(xiàn)。同時，學(xué)界對行為主義規(guī)制模式在個人數(shù)據(jù)保護(hù)領(lǐng)域的應(yīng)用及可行性尚未達(dá)成共識。因此，有必要討論以下三方面問題：行為主義規(guī)制模式面臨的困難，現(xiàn)有法律規(guī)范適用個人數(shù)據(jù)保護(hù)問題的可行性，以及如何制定新規(guī)并實現(xiàn)有效銜接。

行為主義規(guī)制模式的構(gòu)想與不足

作為一種方法論，行為主義旨在描述和解釋不同行動主體在實施一特定行為時所依據(jù)的條件或情境。在法律領(lǐng)域中，行為主義方法重在理解不同行為主體在參與法律實踐時各類行為的影響及意義，形成的法律規(guī)范則致力于針對具體行為調(diào)整不同主體間的關(guān)系。

盡管此種立法能夠有針對性地回應(yīng)實踐中的具體問題，但是分析其理論構(gòu)造與實際效用便可以發(fā)現(xiàn)，多元的行為主體和類型使得行為法規(guī)范難以涵蓋個案評價的整體效果。例如，《個人信息保護(hù)法》所采用的“告知-同意”規(guī)則以行為主體具有獨(dú)立意志并能作出正確意思表示為基礎(chǔ)，即立法僅以意思表示的自愿性和真實性作為標(biāo)準(zhǔn)，這使得規(guī)范在處理個案沖突時具有優(yōu)勢，而隨著數(shù)據(jù)處理者的影響不斷擴(kuò)大，其與數(shù)據(jù)主體之間的長期關(guān)系可能會侵害數(shù)據(jù)主體的自決權(quán)，面臨不能預(yù)見的新問題，這表明關(guān)注離散主體的傳統(tǒng)理論難以準(zhǔn)確反映社會現(xiàn)實。

類似的挑戰(zhàn)也曾出現(xiàn)在合同法這一典型的行為立法之中。為此，合同法學(xué)者提出了關(guān)系契約理論。[1]根據(jù)這一理論，出于有限理性，當(dāng)事人不可能對全部事項作出預(yù)判，故應(yīng)允許當(dāng)事人就基本的目標(biāo)和原則訂立合同并引入多種社會因素作為基本框架。[2]在該理論的指引下，合同在傳統(tǒng)社會中所發(fā)揮的增進(jìn)個人效益的工具價值被促進(jìn)社會整合的內(nèi)在價值所取代。但是，考慮到關(guān)系契約理論在維系關(guān)系義務(wù)方面存在局限，需要公權(quán)力干預(yù)形成行為主義規(guī)制模式。

行為主義規(guī)制模式承繼了規(guī)制理論的基本預(yù)設(shè)，即行政機(jī)關(guān)有必要干預(yù)社會的自發(fā)行動，通過引入經(jīng)濟(jì)學(xué)和心理學(xué)的經(jīng)驗研究進(jìn)行改進(jìn)，利用人類行為和決策規(guī)律設(shè)計有效的規(guī)制手段，以實現(xiàn)公共政策目標(biāo)。這要求規(guī)制機(jī)構(gòu)準(zhǔn)確識別場景特征，并正確理解該行為在該場景中的實質(zhì)意義。規(guī)制機(jī)構(gòu)還需要根據(jù)不斷變化的場景及時調(diào)整規(guī)制方法。

毫無疑問，該模式為大量創(chuàng)設(shè)合理的法律規(guī)范提供了可能，但是在適用時仍存在一些不足。具體而言，這一規(guī)制模式通常難以兼顧評判標(biāo)準(zhǔn)的正當(dāng)性基礎(chǔ)與行為結(jié)果的累積效應(yīng)，從而導(dǎo)致對單個行為的規(guī)制往往只能基于特定場景形成個案，無法推及更多的未知情境。同時，行為主義規(guī)制模式往往關(guān)注不同主體之間的互動關(guān)系，這意味著不同主體之間的界限應(yīng)當(dāng)明晰且可識別，否則便難以找到規(guī)制的具體對象。因此，行為主義規(guī)制模式所映射的單一法律規(guī)范類型仍存在不足，需要援引其他類型的法律規(guī)范予以矯正和完善。

組織法規(guī)范的引入與基本框架

行為主義規(guī)制模式在適用于個人數(shù)據(jù)時面臨如下問題：一方面，當(dāng)前實踐中出現(xiàn)了多種圍繞數(shù)據(jù)展開的持有、處理或控制行為，但是其在具體場景中的意義仍需釋明；另一方面，由于數(shù)據(jù)處理的復(fù)雜程度較高，使得圍繞數(shù)據(jù)形成的各種關(guān)系缺乏收束中心。因此，現(xiàn)有行為法規(guī)范仍難以應(yīng)對數(shù)據(jù)語境中處于縱向關(guān)系中的不同主體間的沖突，既有法律規(guī)范在辨別不同規(guī)制場景時所采用的各項標(biāo)準(zhǔn)也難以通用。這表明，有必要引入組織法的思路，通過關(guān)注權(quán)力的分配過程來解決因多元的行為主體、類型和結(jié)果而造成的問題。

組織法規(guī)范著重關(guān)注組織內(nèi)部的機(jī)構(gòu)設(shè)置及成員關(guān)系，而長期以來的法律實踐中出現(xiàn)了多種組織法范本。考慮到個人數(shù)據(jù)的收集和處理大多借助平臺展開，而公司法是私法領(lǐng)域中最為完善的組織法，因此，是否可以適用公司法規(guī)制平臺，需要著重考察平臺的基本特征。

現(xiàn)有關(guān)于平臺的經(jīng)驗研究表明，平臺常被視為公司業(yè)務(wù)的一部分，[3]這符合公司架構(gòu)轉(zhuǎn)變的趨勢，此時組織法應(yīng)保持謙抑。將平臺視為公司有助于類比監(jiān)管，但是尚不足以突破公司形式框架。除此之外，還有一部分研究認(rèn)為，平臺的去中心化特征使得傳統(tǒng)財產(chǎn)權(quán)體系無法得到適用，加之?dāng)?shù)據(jù)價值的釋放有賴于對其的持續(xù)利用，[4]平臺降低交易成本并削弱了公司內(nèi)部等級制度，通過算法加強(qiáng)了對勞動者的控制，[5]故需區(qū)分處理平臺與公司。

由于缺乏對現(xiàn)有組織法范例的反思，多數(shù)研究或忽視了平臺與公司之間的交錯關(guān)系，或難以突破“平臺以公司的形式外觀作為主張采取自我規(guī)制的正當(dāng)性基礎(chǔ)”這一基本框架，[6]因此，有必要進(jìn)一步重構(gòu)組織法規(guī)范。

行為法與組織法相結(jié)合的個人數(shù)據(jù)保護(hù)框架

前述內(nèi)容已經(jīng)表明，無論是采用以行為法規(guī)范為主導(dǎo)的行為主義規(guī)制模式，還是依靠組織法規(guī)范來闡釋數(shù)據(jù)處理關(guān)系中的多元主體，都存在著一些不足，因此，一種可能的解決方案是靈活配置兩種類型的法律規(guī)范，使得相關(guān)立法保持一定韌性，以修正單一類型法律規(guī)范的不足。

現(xiàn)有平臺相關(guān)研究揭示了描述和界定數(shù)據(jù)主體與控制者、處理者之間的復(fù)雜關(guān)系之本質(zhì)所面臨的困難，為推動提出可檢驗的命題，有必要采取截斷式的框架性立法，在試錯過程中逐步依據(jù)經(jīng)驗研究的成果予以修正。具體而言，對于個人數(shù)據(jù)保護(hù)，要整合零散的行為法規(guī)范以真正發(fā)揮約束效用，借鑒其他領(lǐng)域的規(guī)制研究，了解不同的組織法規(guī)范樣例在實踐中的利弊，為通過行為法規(guī)范的修正指明方向。在此基礎(chǔ)上，可以提出改良和解構(gòu)這兩種基本思路。

第一種方案是堅持公司作為組織形式的存續(xù)價值，在此基礎(chǔ)上引入?yún)f(xié)調(diào)組織內(nèi)部不同主體之間的具體行為規(guī)范，以實現(xiàn)政策目標(biāo)。盡管現(xiàn)有相關(guān)數(shù)據(jù)立法尚不完善，但是在個人信息保護(hù)領(lǐng)域，現(xiàn)行的歐盟《一般數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation）有關(guān)數(shù)據(jù)保護(hù)專員的規(guī)定可以提供一定參考。[7]該法通過任命獨(dú)立數(shù)據(jù)保護(hù)專員，實現(xiàn)數(shù)據(jù)控制和處理的強(qiáng)制性組織結(jié)構(gòu)安排，從而突破了公司外觀的限制，拓寬了公司的社會功能。

第二種方案是廣泛借鑒反壟斷法的相關(guān)研究。將平臺視為基于網(wǎng)絡(luò)效應(yīng)形成的大型壟斷組織，對數(shù)據(jù)處理關(guān)系所涉各類行為的合法性予以界定，對監(jiān)管對象和目標(biāo)進(jìn)行梳理，從而排除無需監(jiān)管的具體領(lǐng)域，實現(xiàn)對現(xiàn)有各類樣例的重構(gòu)。同結(jié)構(gòu)主義反壟斷政策一樣，這種方案不僅關(guān)注公司的基本外觀，還考察了超越單個公司的隱形社會組織及其主體之間的關(guān)系。

解決數(shù)據(jù)處理關(guān)系的縱向整合問題以及應(yīng)對處于市場支配地位的企業(yè)實施不正當(dāng)競爭行為的方法包括：嚴(yán)格審查可能導(dǎo)致相關(guān)企業(yè)獲取價值較高的數(shù)據(jù)及跨行業(yè)使用數(shù)據(jù)的行為，預(yù)先禁止可能導(dǎo)致利益沖突的合并行為，等等。這實質(zhì)上默認(rèn)了以相似數(shù)據(jù)為連接點(diǎn)而形成的平臺是一種獨(dú)立且超越公司的特殊組織，且其正當(dāng)性需要通過檢驗具體行為及實踐后果予以辨別。

綜上，隨著數(shù)據(jù)控制者和處理者對涉及個人信息的數(shù)據(jù)進(jìn)行深入處理，《個人信息保護(hù)法》等現(xiàn)有法律規(guī)范在適用中存在一定的不足。盡管行為法和組織法提供了應(yīng)對的方向，但明確的解決方案仍有待經(jīng)驗研究調(diào)試和修正。

注釋

[1]I. R. MacNeil, “Relational Contract Theory: Challenges and Queries,“ Northwestern University Law Review, 2000, 94(3).

[2]劉承韙：《契約法理論的歷史嬗迭與現(xiàn)代發(fā)展：以英美契約法為核心的考察》，《中外法學(xué)》，2011年第4期。

[3]R. Gorwa, “What Is Platform Governance?“ Information, Communication & Society, 2019, 22(6).

[4]楊明：《平臺經(jīng)濟(jì)反壟斷的二元分析框架》，《中外法學(xué)》，2022年第2期。

[5]D. Ciepley, “Beyond Public and Private: Toward a Political Theory of the Corporation,“ American Political Science Review, 2013, 107(1).

[6]例如，公司股東和管理者可能難以在保護(hù)消費(fèi)者個人數(shù)據(jù)與追求公司營利目標(biāo)之間作出得當(dāng)?shù)钠胶?。See L. M. Khan and D. E. Pozen, “A Skeptical View of Information Fiduciaries,“ Harvard Law Review, 2019, 133(2).

[7]M. Recio, “Data Protection Officer: The Key Figure to Ensure Eata Protection and Accountability,“ European Data Protection Law Review, 2017, 3(1).

Build a Personal Data Protection Framework Combining Behavior Law and Organization Law

Sun Jimin

Abstract: In the field of personal information protection, the behaviorist regulation model with the "notify-consent" rule as the core has achieved remarkable results, but whether it can be applied to the protection of data derived from personal information remains to be discussed. Considering that the behaviorist regulation path can neither evaluate the cumulative effect of behavior results as a whole nor accurately define identifiable regulation objects, it is necessary to introduce organic law norms to make up for it. At the same time, it is necessary to reconstruct the existing normative examples of organic law because it is difficult to accurately reflect the change of organic form in practice. Therefore, the construction of the personal data protection framework should flexibly configure the norms of behavior law and organization law to overcome the difficulties brought by a single type of legal norms.

Keywords: behavior law, regulation, organization law, personal data

責(zé) 編∕李思琪 美 編∕梁麗琛