【摘要】在個人信息保護領域，以“告知-同意”規(guī)則為核心的行為主義規(guī)制模式已經取得顯著成效，但是對其能否適用于保護源于個人信息的數據這一問題仍有待討論。考慮到行為主義規(guī)制路徑既無法整體評價行為結果的累積效果，也無法準確界定可識別的規(guī)制對象，需要引入組織法規(guī)范予以補足。同時，由于現有組織法規(guī)范樣例難以準確反映實踐中組織形式的變化，也有必要對其進行重構。由此，建構個人數據保護框架應靈活配置行為法與組織法規(guī)范，以調試和修正單一類型法律規(guī)范的不足。

【關鍵詞】行為法 規(guī)制 組織法 個人數據

【中圖分類號】D922.16/D923 【文獻標識碼】A

【DOI】10.16619/j.cnki.rmltxsqy.2024.16.012

【作者簡介】中國人民大學法學院  孫濟民

《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）確立了以“告知-同意”為核心的個人信息處理規(guī)則，保障個人在個人信息處理活動中的各項權利，強化個人信息處理者的義務，明確個人信息保護的監(jiān)管職責，并設置嚴格的法律責任。然而，隨著個人信息轉化為企業(yè)數據，其分層和分類保護成為關鍵問題。大型數據平臺的出現使個人數據的持有、處理和控制變得復雜，特定規(guī)制目標難以實現。同時，學界對行為主義規(guī)制模式在個人數據保護領域的應用及可行性尚未達成共識。因此，有必要討論以下三方面問題：行為主義規(guī)制模式面臨的困難，現有法律規(guī)范適用個人數據保護問題的可行性，以及如何制定新規(guī)并實現有效銜接。

行為主義規(guī)制模式的構想與不足

作為一種方法論，行為主義旨在描述和解釋不同行動主體在實施一特定行為時所依據的條件或情境。在法律領域中，行為主義方法重在理解不同行為主體在參與法律實踐時各類行為的影響及意義，形成的法律規(guī)范則致力于針對具體行為調整不同主體間的關系。

盡管此種立法能夠有針對性地回應實踐中的具體問題，但是分析其理論構造與實際效用便可以發(fā)現，多元的行為主體和類型使得行為法規(guī)范難以涵蓋個案評價的整體效果。例如，《個人信息保護法》所采用的“告知-同意”規(guī)則以行為主體具有獨立意志并能作出正確意思表示為基礎，即立法僅以意思表示的自愿性和真實性作為標準，這使得規(guī)范在處理個案沖突時具有優(yōu)勢，而隨著數據處理者的影響不斷擴大，其與數據主體之間的長期關系可能會侵害數據主體的自決權，面臨不能預見的新問題，這表明關注離散主體的傳統(tǒng)理論難以準確反映社會現實。

類似的挑戰(zhàn)也曾出現在合同法這一典型的行為立法之中。為此，合同法學者提出了關系契約理論。[1]根據這一理論，出于有限理性，當事人不可能對全部事項作出預判，故應允許當事人就基本的目標和原則訂立合同并引入多種社會因素作為基本框架。[2]在該理論的指引下，合同在傳統(tǒng)社會中所發(fā)揮的增進個人效益的工具價值被促進社會整合的內在價值所取代。但是，考慮到關系契約理論在維系關系義務方面存在局限，需要公權力干預形成行為主義規(guī)制模式。

行為主義規(guī)制模式承繼了規(guī)制理論的基本預設，即行政機關有必要干預社會的自發(fā)行動，通過引入經濟學和心理學的經驗研究進行改進，利用人類行為和決策規(guī)律設計有效的規(guī)制手段，以實現公共政策目標。這要求規(guī)制機構準確識別場景特征，并正確理解該行為在該場景中的實質意義。規(guī)制機構還需要根據不斷變化的場景及時調整規(guī)制方法。

毫無疑問，該模式為大量創(chuàng)設合理的法律規(guī)范提供了可能，但是在適用時仍存在一些不足。具體而言，這一規(guī)制模式通常難以兼顧評判標準的正當性基礎與行為結果的累積效應，從而導致對單個行為的規(guī)制往往只能基于特定場景形成個案，無法推及更多的未知情境。同時，行為主義規(guī)制模式往往關注不同主體之間的互動關系，這意味著不同主體之間的界限應當明晰且可識別，否則便難以找到規(guī)制的具體對象。因此，行為主義規(guī)制模式所映射的單一法律規(guī)范類型仍存在不足，需要援引其他類型的法律規(guī)范予以矯正和完善。

組織法規(guī)范的引入與基本框架

行為主義規(guī)制模式在適用于個人數據時面臨如下問題：一方面，當前實踐中出現了多種圍繞數據展開的持有、處理或控制行為，但是其在具體場景中的意義仍需釋明；另一方面，由于數據處理的復雜程度較高，使得圍繞數據形成的各種關系缺乏收束中心。因此，現有行為法規(guī)范仍難以應對數據語境中處于縱向關系中的不同主體間的沖突，既有法律規(guī)范在辨別不同規(guī)制場景時所采用的各項標準也難以通用。這表明，有必要引入組織法的思路，通過關注權力的分配過程來解決因多元的行為主體、類型和結果而造成的問題。

組織法規(guī)范著重關注組織內部的機構設置及成員關系，而長期以來的法律實踐中出現了多種組織法范本?？紤]到個人數據的收集和處理大多借助平臺展開，而公司法是私法領域中最為完善的組織法，因此，是否可以適用公司法規(guī)制平臺，需要著重考察平臺的基本特征。

現有關于平臺的經驗研究表明，平臺常被視為公司業(yè)務的一部分，[3]這符合公司架構轉變的趨勢，此時組織法應保持謙抑。將平臺視為公司有助于類比監(jiān)管，但是尚不足以突破公司形式框架。除此之外，還有一部分研究認為，平臺的去中心化特征使得傳統(tǒng)財產權體系無法得到適用，加之數據價值的釋放有賴于對其的持續(xù)利用，[4]平臺降低交易成本并削弱了公司內部等級制度，通過算法加強了對勞動者的控制，[5]故需區(qū)分處理平臺與公司。

由于缺乏對現有組織法范例的反思，多數研究或忽視了平臺與公司之間的交錯關系，或難以突破“平臺以公司的形式外觀作為主張采取自我規(guī)制的正當性基礎”這一基本框架，[6]因此，有必要進一步重構組織法規(guī)范。

行為法與組織法相結合的個人數據保護框架

前述內容已經表明，無論是采用以行為法規(guī)范為主導的行為主義規(guī)制模式，還是依靠組織法規(guī)范來闡釋數據處理關系中的多元主體，都存在著一些不足，因此，一種可能的解決方案是靈活配置兩種類型的法律規(guī)范，使得相關立法保持一定韌性，以修正單一類型法律規(guī)范的不足。

現有平臺相關研究揭示了描述和界定數據主體與控制者、處理者之間的復雜關系之本質所面臨的困難，為推動提出可檢驗的命題，有必要采取截斷式的框架性立法，在試錯過程中逐步依據經驗研究的成果予以修正。具體而言，對于個人數據保護，要整合零散的行為法規(guī)范以真正發(fā)揮約束效用，借鑒其他領域的規(guī)制研究，了解不同的組織法規(guī)范樣例在實踐中的利弊，為通過行為法規(guī)范的修正指明方向。在此基礎上，可以提出改良和解構這兩種基本思路。

第一種方案是堅持公司作為組織形式的存續(xù)價值，在此基礎上引入協(xié)調組織內部不同主體之間的具體行為規(guī)范，以實現政策目標。盡管現有相關數據立法尚不完善，但是在個人信息保護領域，現行的歐盟《一般數據保護條例》（General Data Protection Regulation）有關數據保護專員的規(guī)定可以提供一定參考。[7]該法通過任命獨立數據保護專員，實現數據控制和處理的強制性組織結構安排，從而突破了公司外觀的限制，拓寬了公司的社會功能。

第二種方案是廣泛借鑒反壟斷法的相關研究。將平臺視為基于網絡效應形成的大型壟斷組織，對數據處理關系所涉各類行為的合法性予以界定，對監(jiān)管對象和目標進行梳理，從而排除無需監(jiān)管的具體領域，實現對現有各類樣例的重構。同結構主義反壟斷政策一樣，這種方案不僅關注公司的基本外觀，還考察了超越單個公司的隱形社會組織及其主體之間的關系。

解決數據處理關系的縱向整合問題以及應對處于市場支配地位的企業(yè)實施不正當競爭行為的方法包括：嚴格審查可能導致相關企業(yè)獲取價值較高的數據及跨行業(yè)使用數據的行為，預先禁止可能導致利益沖突的合并行為，等等。這實質上默認了以相似數據為連接點而形成的平臺是一種獨立且超越公司的特殊組織，且其正當性需要通過檢驗具體行為及實踐后果予以辨別。

綜上，隨著數據控制者和處理者對涉及個人信息的數據進行深入處理，《個人信息保護法》等現有法律規(guī)范在適用中存在一定的不足。盡管行為法和組織法提供了應對的方向，但明確的解決方案仍有待經驗研究調試和修正。

注釋

[1]I. R. MacNeil, “Relational Contract Theory: Challenges and Queries,“ Northwestern University Law Review, 2000, 94(3).

[2]劉承韙：《契約法理論的歷史嬗迭與現代發(fā)展：以英美契約法為核心的考察》，《中外法學》，2011年第4期。

[3]R. Gorwa, “What Is Platform Governance?“ Information, Communication & Society, 2019, 22(6).

[4]楊明：《平臺經濟反壟斷的二元分析框架》，《中外法學》，2022年第2期。

[5]D. Ciepley, “Beyond Public and Private: Toward a Political Theory of the Corporation,“ American Political Science Review, 2013, 107(1).

[6]例如，公司股東和管理者可能難以在保護消費者個人數據與追求公司營利目標之間作出得當的平衡。See L. M. Khan and D. E. Pozen, “A Skeptical View of Information Fiduciaries,“ Harvard Law Review, 2019, 133(2).

[7]M. Recio, “Data Protection Officer: The Key Figure to Ensure Eata Protection and Accountability,“ European Data Protection Law Review, 2017, 3(1).

Build a Personal Data Protection Framework Combining Behavior Law and Organization Law

Sun Jimin

Abstract: In the field of personal information protection, the behaviorist regulation model with the "notify-consent" rule as the core has achieved remarkable results, but whether it can be applied to the protection of data derived from personal information remains to be discussed. Considering that the behaviorist regulation path can neither evaluate the cumulative effect of behavior results as a whole nor accurately define identifiable regulation objects, it is necessary to introduce organic law norms to make up for it. At the same time, it is necessary to reconstruct the existing normative examples of organic law because it is difficult to accurately reflect the change of organic form in practice. Therefore, the construction of the personal data protection framework should flexibly configure the norms of behavior law and organization law to overcome the difficulties brought by a single type of legal norms.

Keywords: behavior law, regulation, organization law, personal data

責 編∕李思琪 美 編∕梁麗琛