【摘要】在個(gè)人信息保護(hù)領(lǐng)域,以“告知-同意”規(guī)則為核心的行為主義規(guī)制模式已經(jīng)取得顯著成效,但是對(duì)其能否適用于保護(hù)源于個(gè)人信息的數(shù)據(jù)這一問(wèn)題仍有待討論。考慮到行為主義規(guī)制路徑既無(wú)法整體評(píng)價(jià)行為結(jié)果的累積效果,也無(wú)法準(zhǔn)確界定可識(shí)別的規(guī)制對(duì)象,需要引入組織法規(guī)范予以補(bǔ)足。同時(shí),由于現(xiàn)有組織法規(guī)范樣例難以準(zhǔn)確反映實(shí)踐中組織形式的變化,也有必要對(duì)其進(jìn)行重構(gòu)。由此,建構(gòu)個(gè)人數(shù)據(jù)保護(hù)框架應(yīng)靈活配置行為法與組織法規(guī)范,以調(diào)試和修正單一類(lèi)型法律規(guī)范的不足。
【關(guān)鍵詞】行為法 規(guī)制 組織法 個(gè)人數(shù)據(jù)
【中圖分類(lèi)號(hào)】D922.16/D923 【文獻(xiàn)標(biāo)識(shí)碼】A
【DOI】10.16619/j.cnki.rmltxsqy.2024.16.012
【作者簡(jiǎn)介】中國(guó)人民大學(xué)法學(xué)院 孫濟(jì)民
《中華人民共和國(guó)個(gè)人信息保護(hù)法》(以下簡(jiǎn)稱(chēng)《個(gè)人信息保護(hù)法》)確立了以“告知-同意”為核心的個(gè)人信息處理規(guī)則,保障個(gè)人在個(gè)人信息處理活動(dòng)中的各項(xiàng)權(quán)利,強(qiáng)化個(gè)人信息處理者的義務(wù),明確個(gè)人信息保護(hù)的監(jiān)管職責(zé),并設(shè)置嚴(yán)格的法律責(zé)任。然而,隨著個(gè)人信息轉(zhuǎn)化為企業(yè)數(shù)據(jù),其分層和分類(lèi)保護(hù)成為關(guān)鍵問(wèn)題。大型數(shù)據(jù)平臺(tái)的出現(xiàn)使個(gè)人數(shù)據(jù)的持有、處理和控制變得復(fù)雜,特定規(guī)制目標(biāo)難以實(shí)現(xiàn)。同時(shí),學(xué)界對(duì)行為主義規(guī)制模式在個(gè)人數(shù)據(jù)保護(hù)領(lǐng)域的應(yīng)用及可行性尚未達(dá)成共識(shí)。因此,有必要討論以下三方面問(wèn)題:行為主義規(guī)制模式面臨的困難,現(xiàn)有法律規(guī)范適用個(gè)人數(shù)據(jù)保護(hù)問(wèn)題的可行性,以及如何制定新規(guī)并實(shí)現(xiàn)有效銜接。
行為主義規(guī)制模式的構(gòu)想與不足
作為一種方法論,行為主義旨在描述和解釋不同行動(dòng)主體在實(shí)施一特定行為時(shí)所依據(jù)的條件或情境。在法律領(lǐng)域中,行為主義方法重在理解不同行為主體在參與法律實(shí)踐時(shí)各類(lèi)行為的影響及意義,形成的法律規(guī)范則致力于針對(duì)具體行為調(diào)整不同主體間的關(guān)系。
盡管此種立法能夠有針對(duì)性地回應(yīng)實(shí)踐中的具體問(wèn)題,但是分析其理論構(gòu)造與實(shí)際效用便可以發(fā)現(xiàn),多元的行為主體和類(lèi)型使得行為法規(guī)范難以涵蓋個(gè)案評(píng)價(jià)的整體效果。例如,《個(gè)人信息保護(hù)法》所采用的“告知-同意”規(guī)則以行為主體具有獨(dú)立意志并能作出正確意思表示為基礎(chǔ),即立法僅以意思表示的自愿性和真實(shí)性作為標(biāo)準(zhǔn),這使得規(guī)范在處理個(gè)案沖突時(shí)具有優(yōu)勢(shì),而隨著數(shù)據(jù)處理者的影響不斷擴(kuò)大,其與數(shù)據(jù)主體之間的長(zhǎng)期關(guān)系可能會(huì)侵害數(shù)據(jù)主體的自決權(quán),面臨不能預(yù)見(jiàn)的新問(wèn)題,這表明關(guān)注離散主體的傳統(tǒng)理論難以準(zhǔn)確反映社會(huì)現(xiàn)實(shí)。
類(lèi)似的挑戰(zhàn)也曾出現(xiàn)在合同法這一典型的行為立法之中。為此,合同法學(xué)者提出了關(guān)系契約理論。[1]根據(jù)這一理論,出于有限理性,當(dāng)事人不可能對(duì)全部事項(xiàng)作出預(yù)判,故應(yīng)允許當(dāng)事人就基本的目標(biāo)和原則訂立合同并引入多種社會(huì)因素作為基本框架。[2]在該理論的指引下,合同在傳統(tǒng)社會(huì)中所發(fā)揮的增進(jìn)個(gè)人效益的工具價(jià)值被促進(jìn)社會(huì)整合的內(nèi)在價(jià)值所取代。但是,考慮到關(guān)系契約理論在維系關(guān)系義務(wù)方面存在局限,需要公權(quán)力干預(yù)形成行為主義規(guī)制模式。
行為主義規(guī)制模式承繼了規(guī)制理論的基本預(yù)設(shè),即行政機(jī)關(guān)有必要干預(yù)社會(huì)的自發(fā)行動(dòng),通過(guò)引入經(jīng)濟(jì)學(xué)和心理學(xué)的經(jīng)驗(yàn)研究進(jìn)行改進(jìn),利用人類(lèi)行為和決策規(guī)律設(shè)計(jì)有效的規(guī)制手段,以實(shí)現(xiàn)公共政策目標(biāo)。這要求規(guī)制機(jī)構(gòu)準(zhǔn)確識(shí)別場(chǎng)景特征,并正確理解該行為在該場(chǎng)景中的實(shí)質(zhì)意義。規(guī)制機(jī)構(gòu)還需要根據(jù)不斷變化的場(chǎng)景及時(shí)調(diào)整規(guī)制方法。
毫無(wú)疑問(wèn),該模式為大量創(chuàng)設(shè)合理的法律規(guī)范提供了可能,但是在適用時(shí)仍存在一些不足。具體而言,這一規(guī)制模式通常難以兼顧評(píng)判標(biāo)準(zhǔn)的正當(dāng)性基礎(chǔ)與行為結(jié)果的累積效應(yīng),從而導(dǎo)致對(duì)單個(gè)行為的規(guī)制往往只能基于特定場(chǎng)景形成個(gè)案,無(wú)法推及更多的未知情境。同時(shí),行為主義規(guī)制模式往往關(guān)注不同主體之間的互動(dòng)關(guān)系,這意味著不同主體之間的界限應(yīng)當(dāng)明晰且可識(shí)別,否則便難以找到規(guī)制的具體對(duì)象。因此,行為主義規(guī)制模式所映射的單一法律規(guī)范類(lèi)型仍存在不足,需要援引其他類(lèi)型的法律規(guī)范予以矯正和完善。
組織法規(guī)范的引入與基本框架
行為主義規(guī)制模式在適用于個(gè)人數(shù)據(jù)時(shí)面臨如下問(wèn)題:一方面,當(dāng)前實(shí)踐中出現(xiàn)了多種圍繞數(shù)據(jù)展開(kāi)的持有、處理或控制行為,但是其在具體場(chǎng)景中的意義仍需釋明;另一方面,由于數(shù)據(jù)處理的復(fù)雜程度較高,使得圍繞數(shù)據(jù)形成的各種關(guān)系缺乏收束中心。因此,現(xiàn)有行為法規(guī)范仍難以應(yīng)對(duì)數(shù)據(jù)語(yǔ)境中處于縱向關(guān)系中的不同主體間的沖突,既有法律規(guī)范在辨別不同規(guī)制場(chǎng)景時(shí)所采用的各項(xiàng)標(biāo)準(zhǔn)也難以通用。這表明,有必要引入組織法的思路,通過(guò)關(guān)注權(quán)力的分配過(guò)程來(lái)解決因多元的行為主體、類(lèi)型和結(jié)果而造成的問(wèn)題。
組織法規(guī)范著重關(guān)注組織內(nèi)部的機(jī)構(gòu)設(shè)置及成員關(guān)系,而長(zhǎng)期以來(lái)的法律實(shí)踐中出現(xiàn)了多種組織法范本??紤]到個(gè)人數(shù)據(jù)的收集和處理大多借助平臺(tái)展開(kāi),而公司法是私法領(lǐng)域中最為完善的組織法,因此,是否可以適用公司法規(guī)制平臺(tái),需要著重考察平臺(tái)的基本特征。
現(xiàn)有關(guān)于平臺(tái)的經(jīng)驗(yàn)研究表明,平臺(tái)常被視為公司業(yè)務(wù)的一部分,[3]這符合公司架構(gòu)轉(zhuǎn)變的趨勢(shì),此時(shí)組織法應(yīng)保持謙抑。將平臺(tái)視為公司有助于類(lèi)比監(jiān)管,但是尚不足以突破公司形式框架。除此之外,還有一部分研究認(rèn)為,平臺(tái)的去中心化特征使得傳統(tǒng)財(cái)產(chǎn)權(quán)體系無(wú)法得到適用,加之?dāng)?shù)據(jù)價(jià)值的釋放有賴(lài)于對(duì)其的持續(xù)利用,[4]平臺(tái)降低交易成本并削弱了公司內(nèi)部等級(jí)制度,通過(guò)算法加強(qiáng)了對(duì)勞動(dòng)者的控制,[5]故需區(qū)分處理平臺(tái)與公司。
由于缺乏對(duì)現(xiàn)有組織法范例的反思,多數(shù)研究或忽視了平臺(tái)與公司之間的交錯(cuò)關(guān)系,或難以突破“平臺(tái)以公司的形式外觀作為主張采取自我規(guī)制的正當(dāng)性基礎(chǔ)”這一基本框架,[6]因此,有必要進(jìn)一步重構(gòu)組織法規(guī)范。
行為法與組織法相結(jié)合的個(gè)人數(shù)據(jù)保護(hù)框架
前述內(nèi)容已經(jīng)表明,無(wú)論是采用以行為法規(guī)范為主導(dǎo)的行為主義規(guī)制模式,還是依靠組織法規(guī)范來(lái)闡釋數(shù)據(jù)處理關(guān)系中的多元主體,都存在著一些不足,因此,一種可能的解決方案是靈活配置兩種類(lèi)型的法律規(guī)范,使得相關(guān)立法保持一定韌性,以修正單一類(lèi)型法律規(guī)范的不足。
現(xiàn)有平臺(tái)相關(guān)研究揭示了描述和界定數(shù)據(jù)主體與控制者、處理者之間的復(fù)雜關(guān)系之本質(zhì)所面臨的困難,為推動(dòng)提出可檢驗(yàn)的命題,有必要采取截?cái)嗍降目蚣苄粤⒎ǎ谠囧e(cuò)過(guò)程中逐步依據(jù)經(jīng)驗(yàn)研究的成果予以修正。具體而言,對(duì)于個(gè)人數(shù)據(jù)保護(hù),要整合零散的行為法規(guī)范以真正發(fā)揮約束效用,借鑒其他領(lǐng)域的規(guī)制研究,了解不同的組織法規(guī)范樣例在實(shí)踐中的利弊,為通過(guò)行為法規(guī)范的修正指明方向。在此基礎(chǔ)上,可以提出改良和解構(gòu)這兩種基本思路。
第一種方案是堅(jiān)持公司作為組織形式的存續(xù)價(jià)值,在此基礎(chǔ)上引入?yún)f(xié)調(diào)組織內(nèi)部不同主體之間的具體行為規(guī)范,以實(shí)現(xiàn)政策目標(biāo)。盡管現(xiàn)有相關(guān)數(shù)據(jù)立法尚不完善,但是在個(gè)人信息保護(hù)領(lǐng)域,現(xiàn)行的歐盟《一般數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation)有關(guān)數(shù)據(jù)保護(hù)專(zhuān)員的規(guī)定可以提供一定參考。[7]該法通過(guò)任命獨(dú)立數(shù)據(jù)保護(hù)專(zhuān)員,實(shí)現(xiàn)數(shù)據(jù)控制和處理的強(qiáng)制性組織結(jié)構(gòu)安排,從而突破了公司外觀的限制,拓寬了公司的社會(huì)功能。
第二種方案是廣泛借鑒反壟斷法的相關(guān)研究。將平臺(tái)視為基于網(wǎng)絡(luò)效應(yīng)形成的大型壟斷組織,對(duì)數(shù)據(jù)處理關(guān)系所涉各類(lèi)行為的合法性予以界定,對(duì)監(jiān)管對(duì)象和目標(biāo)進(jìn)行梳理,從而排除無(wú)需監(jiān)管的具體領(lǐng)域,實(shí)現(xiàn)對(duì)現(xiàn)有各類(lèi)樣例的重構(gòu)。同結(jié)構(gòu)主義反壟斷政策一樣,這種方案不僅關(guān)注公司的基本外觀,還考察了超越單個(gè)公司的隱形社會(huì)組織及其主體之間的關(guān)系。
解決數(shù)據(jù)處理關(guān)系的縱向整合問(wèn)題以及應(yīng)對(duì)處于市場(chǎng)支配地位的企業(yè)實(shí)施不正當(dāng)競(jìng)爭(zhēng)行為的方法包括:嚴(yán)格審查可能導(dǎo)致相關(guān)企業(yè)獲取價(jià)值較高的數(shù)據(jù)及跨行業(yè)使用數(shù)據(jù)的行為,預(yù)先禁止可能導(dǎo)致利益沖突的合并行為,等等。這實(shí)質(zhì)上默認(rèn)了以相似數(shù)據(jù)為連接點(diǎn)而形成的平臺(tái)是一種獨(dú)立且超越公司的特殊組織,且其正當(dāng)性需要通過(guò)檢驗(yàn)具體行為及實(shí)踐后果予以辨別。
綜上,隨著數(shù)據(jù)控制者和處理者對(duì)涉及個(gè)人信息的數(shù)據(jù)進(jìn)行深入處理,《個(gè)人信息保護(hù)法》等現(xiàn)有法律規(guī)范在適用中存在一定的不足。盡管行為法和組織法提供了應(yīng)對(duì)的方向,但明確的解決方案仍有待經(jīng)驗(yàn)研究調(diào)試和修正。
注釋
[1]I. R. MacNeil, “Relational Contract Theory: Challenges and Queries,“ Northwestern University Law Review, 2000, 94(3).
[2]劉承韙:《契約法理論的歷史嬗迭與現(xiàn)代發(fā)展:以英美契約法為核心的考察》,《中外法學(xué)》,2011年第4期。
[3]R. Gorwa, “What Is Platform Governance?“ Information, Communication & Society, 2019, 22(6).
[4]楊明:《平臺(tái)經(jīng)濟(jì)反壟斷的二元分析框架》,《中外法學(xué)》,2022年第2期。
[5]D. Ciepley, “Beyond Public and Private: Toward a Political Theory of the Corporation,“ American Political Science Review, 2013, 107(1).
[6]例如,公司股東和管理者可能難以在保護(hù)消費(fèi)者個(gè)人數(shù)據(jù)與追求公司營(yíng)利目標(biāo)之間作出得當(dāng)?shù)钠胶?。See L. M. Khan and D. E. Pozen, “A Skeptical View of Information Fiduciaries,“ Harvard Law Review, 2019, 133(2).
[7]M. Recio, “Data Protection Officer: The Key Figure to Ensure Eata Protection and Accountability,“ European Data Protection Law Review, 2017, 3(1).
Build a Personal Data Protection Framework Combining Behavior Law and Organization Law
Sun Jimin
Abstract: In the field of personal information protection, the behaviorist regulation model with the "notify-consent" rule as the core has achieved remarkable results, but whether it can be applied to the protection of data derived from personal information remains to be discussed. Considering that the behaviorist regulation path can neither evaluate the cumulative effect of behavior results as a whole nor accurately define identifiable regulation objects, it is necessary to introduce organic law norms to make up for it. At the same time, it is necessary to reconstruct the existing normative examples of organic law because it is difficult to accurately reflect the change of organic form in practice. Therefore, the construction of the personal data protection framework should flexibly configure the norms of behavior law and organization law to overcome the difficulties brought by a single type of legal norms.
Keywords: behavior law, regulation, organization law, personal data
責(zé) 編∕李思琪 美 編∕梁麗琛