張懷嶺

一、問(wèn)題的提出

2016年山東準(zhǔn)大學(xué)生徐玉玉學(xué)費(fèi)遭電信詐騙一案以極端的方式凸顯了信息網(wǎng)絡(luò)時(shí)代個(gè)人信息法律保護(hù)的必要性和迫切性。該案更深次的原因是目前猖獗的公民個(gè)人信息泄露、濫用的規(guī)制不力?！?〕“徐玉玉被電信詐騙致死案”主犯陳文輝等庭審交代，其以非常低的成本通過(guò)網(wǎng)絡(luò)購(gòu)買學(xué)生個(gè)人信息，然后實(shí)施電信詐騙。而2013年支付寶數(shù)據(jù)泄露事件、網(wǎng)商京東接連大規(guī)模信息泄露事件、〔2〕2015年京東的用戶信息曾遭大規(guī)模泄露。2016年京東再次發(fā)生大規(guī)模信息泄露事件，有12G數(shù)據(jù)包外泄，涵蓋用戶名、密碼、郵箱、QQ號(hào)、電話號(hào)碼、身份證號(hào)等內(nèi)容，數(shù)據(jù)多達(dá)數(shù)千萬(wàn)條。在最高人民檢察院最近發(fā)布的六起侵犯公民個(gè)人信息犯罪典型案例中，造成損害最大的都是“內(nèi)部人”的違法行為。雅虎30億用戶賬號(hào)信息被泄露事件、〔3〕See Yahoo now says all 3 billion of its accounts affected by massive hack，at http: //mashable.com/2017/10/03/yahoo－h(huán)ack－bigger/#Y6kUXV1Duaq2，last visited Nov.24，2017.谷歌安卓系統(tǒng)的手機(jī)和平板收集和分析用戶位置信息丑聞，〔4〕See Google collects Android users'locations even when location services are disabled，at https://qz.com/1131515/google－collects－android－users－locations－even－when－location－services－are－disabled/，last visited Nov.24，2017.以及人工智能 (AI)在人臉識(shí)別領(lǐng)域的巨大進(jìn)步等新發(fā)展顯示，〔5〕例如，中國(guó)新創(chuàng)公司商湯科技 (Sensetime)利用人工智能和大數(shù)據(jù)已經(jīng)可以實(shí)現(xiàn)對(duì)道路上過(guò)往行人人臉和車輛的遠(yuǎn)距離識(shí)別。大數(shù)據(jù)時(shí)代互聯(lián)網(wǎng)企業(yè)是個(gè)人信息“最貪婪”的收集者和利用者，而且其所掌握的海量個(gè)人數(shù)據(jù)信息使其成為對(duì)個(gè)人信息最嚴(yán)重、最廣泛侵害的“潛在源頭”?！?〕個(gè)人信息泄露已經(jīng)成為消費(fèi)者投訴中極為突出的問(wèn)題。2017年11月Uber公司首次承認(rèn)其5000萬(wàn)乘客和司機(jī)信息于一年前被盜，用戶個(gè)人信息范圍涵蓋姓名、郵件和電話信息。事件發(fā)生時(shí)，該公司既未告知受影響的用戶，也未向監(jiān)管部門報(bào)告，而是選擇向?qū)嵤┍I竊數(shù)據(jù)的黑客支付10萬(wàn)美元，換取黑客銷毀泄露的信息。Uber r?umt Datendiebstahl ein，https://www.tagesschau.de/ausland/uber－datenklau－101.html，letzter Abruf am 28.11.2017。以數(shù)據(jù)為基礎(chǔ)的新經(jīng)濟(jì)模式在巨大經(jīng)濟(jì)利益的驅(qū)動(dòng)下，使得公民個(gè)人在現(xiàn)有法律框架下難以保護(hù)個(gè)人信息免于收集、傳播和再利用的風(fēng)險(xiǎn)?！?〕參見范為:“大數(shù)據(jù)時(shí)代個(gè)人信息保護(hù)的路徑重構(gòu)”，《環(huán)球法律評(píng)論》2016年第5期，第91頁(yè)。

基于“標(biāo)本兼治”的目的，本文將從比較公司治理的角度，系統(tǒng)梳理我國(guó)現(xiàn)行個(gè)人信息保護(hù)的規(guī)范體系，并指出我國(guó)現(xiàn)行個(gè)人信息保護(hù)規(guī)范體系和路徑選擇存在的缺陷。以此為基礎(chǔ)，將著重論證如何將 (外部)法定保護(hù)個(gè)人信息的義務(wù)“內(nèi)化”為公司董事、高級(jí)管理人員的勤勉義務(wù)，從而為個(gè)人信息保護(hù)構(gòu)建一個(gè)內(nèi)生性的、低成本的私法執(zhí)行機(jī)制，擺正私權(quán) (即個(gè)人信息權(quán))保護(hù)上民商事 (董事勤勉義務(wù))法律規(guī)范的基礎(chǔ)性地位和市場(chǎng)規(guī)制性、管理性法律規(guī)范以及刑事法律規(guī)范的補(bǔ)充地位，搭建外在的法定個(gè)人信息保護(hù)義務(wù)規(guī)范與商事主體內(nèi)在行為義務(wù)之間的聯(lián)動(dòng)機(jī)制。

二、我國(guó)現(xiàn)行法個(gè)人信息保護(hù)的路徑選擇及缺陷

(一)我國(guó)現(xiàn)行法對(duì)個(gè)人信息的保護(hù)路徑

近年來(lái)，為了應(yīng)對(duì)信息網(wǎng)絡(luò)技術(shù)的爆炸式發(fā)展對(duì)個(gè)人信息保護(hù)所帶來(lái)的挑戰(zhàn)，我國(guó)個(gè)人信息保護(hù)的法律、法規(guī)體系逐漸完善?；诠P者的考察，對(duì)于個(gè)人信息的法律保護(hù)，我國(guó)立法者主要從兩個(gè)基本維度來(lái)展開:(1)如何界定個(gè)人信息的法律屬性;(2)如何對(duì)侵害個(gè)人信息的不法行為予以規(guī)制?；ヂ?lián)網(wǎng)時(shí)代，這是各國(guó)立法者所共同面臨的重大問(wèn)題。前者涉及個(gè)人信息的權(quán)利屬性、權(quán)利內(nèi)容。如同其他民事權(quán)利一樣，個(gè)人信息的“確權(quán)”應(yīng)首先是憲法性規(guī)范和民事法律規(guī)范 (個(gè)人信息、數(shù)據(jù)的權(quán)利屬性)的任務(wù)?！?〕例如，《歐盟運(yùn)行條約》(AEUV)第16條第1款和《歐盟基本人權(quán)憲章》(EUGCh)第8條賦予個(gè)人數(shù)據(jù)以基本權(quán)利和自由的地位。歐盟《數(shù)據(jù)保護(hù)基本條例》(DS－GVO)第1條第2款也明確對(duì)自然人基本權(quán)利和基本自由，尤其是對(duì)個(gè)人數(shù)據(jù)享有的基本權(quán)利予以保護(hù)。而對(duì)于侵害個(gè)人信息不法行為的規(guī)制則是私法規(guī)范 (民商事法律法規(guī))、公法規(guī)范 (經(jīng)濟(jì)法、行政法規(guī)范)以及刑法規(guī)范的共同任務(wù)。針對(duì)實(shí)踐中極端猖獗的侵害公民個(gè)人信息的行為，我國(guó)新近頒布、修訂了相關(guān)法律、法規(guī)。

首先是一系列法律位階較高的基本法律得以頒布或修訂。其中，最為重要的確權(quán)性法律規(guī)范當(dāng)屬《民法總則》。作為我國(guó)未來(lái)《民法典》提綱挈領(lǐng)的部分，《民法總則》第五章對(duì)“民事權(quán)利”進(jìn)行了專門規(guī)定。其中，第111條規(guī)定:“自然人的個(gè)人信息受法律保護(hù)。任何組織和個(gè)人需要獲取他人個(gè)人信息的，應(yīng)當(dāng)依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個(gè)人信息，不得非法買賣、提供或者公開他人個(gè)人信息?！薄睹穹倓t》第111條中并未明確采用“個(gè)人信息權(quán)”這一表述，因此，學(xué)界對(duì)于其權(quán)利屬性尚有爭(zhēng)議 (憲法人權(quán)、一般人格權(quán)、新型權(quán)利、隱私權(quán)以及獨(dú)立人格權(quán)等)?！?〕多數(shù)觀點(diǎn)認(rèn)為，《民法總則》第111條沒(méi)有采用“個(gè)人信息權(quán)”的表述，但此條款同時(shí)具有宣示性規(guī)定和確權(quán)性規(guī)定的屬性。尤為值得注意的是，《民法總則》規(guī)定，個(gè)人信息保護(hù)的義務(wù)主體涵蓋了任何組織和個(gè)人，范圍非常廣泛。〔10〕其中，“任何組織和個(gè)人需要獲取他人個(gè)人信息的，應(yīng)當(dāng)依法取得并確保信息安全”這一規(guī)定是全國(guó)人大常委會(huì)法律委員會(huì)在《民法總則 (草案)》提交給全國(guó)人民代表大會(huì)第五次全體會(huì)議最后審議前，在原來(lái)三審稿基礎(chǔ)上增加的。參見陳甦主編:《民法總則評(píng)注》(下冊(cè))，法律出版社2017年版，第785頁(yè)。

其次，針對(duì)消費(fèi)者這一特殊群體，根據(jù)《民法總則》 (2017年頒布)第128條的規(guī)定，《消費(fèi)者權(quán)益保護(hù)法》(2013年修訂，以下簡(jiǎn)稱《消保法》)構(gòu)成特別法，具有優(yōu)先適用性。以規(guī)制消費(fèi)者和經(jīng)營(yíng)者實(shí)質(zhì)不平等地位為出發(fā)點(diǎn)，《消保法》同時(shí)從“賦權(quán)利”和“設(shè)義務(wù)”兩個(gè)角度來(lái)保障消費(fèi)者的個(gè)人信息權(quán)。其一，就賦權(quán)利維度而言，第14條第1款規(guī)定:“消費(fèi)者在購(gòu)買、使用商品和接受服務(wù)時(shí)，享有人格尊嚴(yán)、民族風(fēng)俗習(xí)慣得到尊重的權(quán)利，享有個(gè)人信息依法得到保護(hù)的權(quán)利?！逼涠?，該法第29條第1款規(guī)定:“經(jīng)營(yíng)者收集、使用消費(fèi)者個(gè)人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，明示收集、使用信息的目的、方式和范圍，并經(jīng)消費(fèi)者同意。”第2款規(guī)定: “經(jīng)營(yíng)者及其工作人員對(duì)收集的消費(fèi)者個(gè)人信息必須嚴(yán)格保密，不得泄露、出售或者非法向他人提供。經(jīng)營(yíng)者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保信息安全，防止消費(fèi)者個(gè)人信息泄露、丟失。在發(fā)生或者可能發(fā)生消息泄露、丟失的情況時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施。”第3款規(guī)定:“經(jīng)營(yíng)者未經(jīng)消費(fèi)者同意或者請(qǐng)求，或者消費(fèi)者明確表示拒絕的，不得向其發(fā)送商業(yè)性信息?！?/p>

作為侵害消費(fèi)者個(gè)人信息的法律后果，《消保法》第50條規(guī)定，經(jīng)營(yíng)者應(yīng)當(dāng)停止侵害、恢復(fù)名譽(yù)、消除影響、賠禮道歉，并賠償損失。再者，《消保法》針對(duì)網(wǎng)絡(luò)交易平臺(tái)規(guī)定了特殊的信息義務(wù)。消費(fèi)者通過(guò)網(wǎng)絡(luò)交易平臺(tái)購(gòu)買商品或接受服務(wù)，其合法權(quán)益受到損害的，網(wǎng)絡(luò)交易平臺(tái)不能提供銷售者或服務(wù)者真實(shí)名稱、地址和有效聯(lián)系方式的，應(yīng)當(dāng)對(duì)消費(fèi)者承擔(dān)賠償責(zé)任。此外，除了承擔(dān)民事責(zé)任之外，《消保法》第56條第1款第9項(xiàng)還規(guī)定了警告、沒(méi)收違法所得、1～10倍罰款、停業(yè)整頓及吊銷營(yíng)業(yè)執(zhí)照等行政責(zé)任。

再次，針對(duì)互聯(lián)網(wǎng)上公民個(gè)人信息的保護(hù)問(wèn)題，在《全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》(2012年)的基礎(chǔ)上，《網(wǎng)絡(luò)安全法》已于2017年6月1日生效。《網(wǎng)絡(luò)安全法》在附則中對(duì)個(gè)人信息進(jìn)行了立法定義，〔11〕《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》(2012年)以及工業(yè)與信息化部發(fā)布的《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》(2013)中均對(duì)“個(gè)人信息”進(jìn)行了界定。即是指“以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人個(gè)人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證號(hào)碼、個(gè)人生物識(shí)別信息、地址、電話號(hào)碼等”。對(duì)于個(gè)人信息的保護(hù)而言，《網(wǎng)絡(luò)安全法》第40條規(guī)定:“網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)對(duì)其收集的用戶信息嚴(yán)格保密，并建立健全用戶信息保護(hù)制度?！痹摲ǖ?2條第1款規(guī)定:“網(wǎng)絡(luò)運(yùn)營(yíng)者不得泄露、篡改、毀損其收集的個(gè)人信息;未經(jīng)被收集者同意，不得向他人提供個(gè)人信息。但是，經(jīng)過(guò)處理無(wú)法識(shí)別特定個(gè)人且不能復(fù)原的除外?！痹摋l第2款規(guī)定:“網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保其收集的個(gè)人信息安全，防止信息泄露、毀損、丟失。在發(fā)生或者可能發(fā)生個(gè)人信息泄露、毀損、丟失的情況時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施，按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門報(bào)告。”制定中的《電子商務(wù)法 (草案三次審議稿)》第23條通過(guò)概括性的條款規(guī)定了電子商務(wù)經(jīng)營(yíng)者在收集、使用其用戶的個(gè)人信息時(shí)，應(yīng)當(dāng)遵守有關(guān)法律、行政法規(guī)規(guī)定的個(gè)人信息保護(hù)規(guī)則。

最后，《刑法修正案 (九)》修訂和新增了涉及非法獲取、出售或提供公民個(gè)人信息的刑事責(zé)任，確立了全面保護(hù)公民個(gè)人信息的精神，〔12〕參見趙秉志:“公民個(gè)人信息刑法保護(hù)問(wèn)題研究”，《華東政法大學(xué)學(xué)報(bào)》2014年第1期，第117～127頁(yè)。并對(duì)將在履行職責(zé)或者提供服務(wù)過(guò)程中獲得的公民個(gè)人信息進(jìn)行出售或提供給他人的予以從重處罰。兩高《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問(wèn)題的解釋》對(duì)“個(gè)人信息”的法律含義以及具體涉及公民個(gè)人信息的犯罪行為的認(rèn)定和量刑進(jìn)行了規(guī)定。

(二)現(xiàn)行個(gè)人信息保護(hù)法律規(guī)范的缺陷

1.“多龍治水、眾法齊下”的體系化弊端

前述法律、法規(guī)著眼點(diǎn)不同，對(duì)個(gè)人信息提供的保護(hù)和救濟(jì)手段、方式也有顯著差異。這種“多龍治水”的局面，一方面是由于法律規(guī)范的位階不同以及一般法與特別法有機(jī)結(jié)合、體系化的要求，另一方面也是源于個(gè)人信息保護(hù)所涉及法律領(lǐng)域的復(fù)雜性。然而，“多龍治水”的最佳效果發(fā)揮依賴于法律規(guī)范以及實(shí)施機(jī)制之間的協(xié)調(diào)、統(tǒng)一。由于前述各種法律規(guī)范分屬不同的法律部門，在不同的時(shí)間由立法、司法 (兩高)或者行政主管部門頒布，在體系化上存在不協(xié)調(diào)，甚至沖突之處。例如，個(gè)人信息的“權(quán)利”為何，其與隱私權(quán)和名譽(yù)權(quán)等人格權(quán)的關(guān)系問(wèn)題，〔13〕參見王利明:“論個(gè)人信息權(quán)的法律保護(hù)——以個(gè)人信息權(quán)與隱私權(quán)的界分為中心”，《現(xiàn)代法學(xué)》2013年第4期，第62～72頁(yè)。并未因《民法總則》的頒布和生效而最終得以解決。〔14〕參見前注〔10〕，陳甦書，第781～801頁(yè)?！毒W(wǎng)絡(luò)安全法》、《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》以及《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》等不同法律規(guī)范關(guān)于個(gè)人信息法律內(nèi)涵的界定及其外延也不統(tǒng)一。相比之下，已經(jīng)于2018年5月25日生效的歐盟《通用數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation)第4條第1項(xiàng)將“信息與特定或可特定的人相關(guān)聯(lián)”作為該條例適用 (個(gè)人數(shù)據(jù))的前提。〔15〕See REGULATION(EU)2016/679，at https://eur－lex.europa.eu/legal－content/EN/TXT/?uri=CELEX%3A32016R0679，last visited Aug.4，2018.不同于原歐盟《數(shù)據(jù)保護(hù)指令》的法律效力，〔16〕Datenschutz－Richtlinie 95/46/EG(DSRL) .歐盟法中的條例不需要成員國(guó)進(jìn)行“轉(zhuǎn)化”，而是在其全部范圍內(nèi)對(duì)于所有成員國(guó)具有直接的拘束力(《歐盟運(yùn)行條約》第288條第2款)?！?7〕Niedobitek M(Hrsg.)，Europarecht－Grundlagen der Union，De Gruyter，2014，§ 7 Rn.16.因此，歐盟成員國(guó)在個(gè)人數(shù)據(jù)的范圍上采用上述同一標(biāo)準(zhǔn)。而且，歐盟《通用數(shù)據(jù)保護(hù)條例》的適用地域范圍不限于歐盟內(nèi)部，而是采取所謂“市場(chǎng)地原則”，即對(duì)于歐盟外向歐盟境內(nèi)以有償或無(wú)償方式提供商品或服務(wù)的企業(yè)也具有拘束力(《通用數(shù)據(jù)保護(hù)條例》第3條第2款第a項(xiàng))。這一立法變化使得該條例具有域外適用效力，從而具備成為國(guó)際標(biāo)準(zhǔn)的潛力?！?8〕Schanz，Die Datenschutz－Grundverordnung－Beginn einer neuen Zeitrechnung im Datenschutzrecht，NJW，2016，1841.

2.現(xiàn)行法對(duì)侵害個(gè)人信息的行為規(guī)制“公法”色彩濃厚，民商事法律規(guī)范尚未發(fā)揮應(yīng)有的基礎(chǔ)性保障功能

盡管我國(guó)學(xué)界對(duì)于個(gè)人信息的具體權(quán)利屬性存在爭(zhēng)議，但其民事權(quán)利的屬性為我國(guó)學(xué)界主流觀點(diǎn)和立法(《民法總則》第111條)所認(rèn)可?，F(xiàn)代法治社會(huì)，民事權(quán)益即私權(quán)實(shí)現(xiàn)的核心在于私力救濟(jì)。民事法律在實(shí)現(xiàn)確權(quán)的同時(shí)，也為權(quán)利主體提供了權(quán)益受到侵害時(shí)的司法救濟(jì)途徑。德國(guó)法學(xué)家耶林在《為權(quán)利而斗爭(zhēng)》的演講中主張，“為權(quán)利而斗爭(zhēng)是權(quán)利人對(duì)自己的義務(wù)……抵抗不法是權(quán)利人對(duì)集體的義務(wù)”，“只要制定法不是無(wú)用的游戲和空洞的廢話，制定法就必須被維護(hù)，與受害人的權(quán)利一同隕落的是制定法本身”。〔19〕〔德〕魯?shù)婪颉ゑT·耶林:《為權(quán)利而斗爭(zhēng)》，鄭永流譯，法律出版社2012年版，第12～30頁(yè)。

然而，我國(guó)現(xiàn)行法律規(guī)范對(duì)于侵害個(gè)人信息不法行為的規(guī)制具有強(qiáng)烈的公法色彩。無(wú)論是體系上作為市場(chǎng)規(guī)制法的《消保法》，還是行政管理法色彩的《網(wǎng)絡(luò)安全法》以及《刑法》，其中公民個(gè)人信息保護(hù)的規(guī)范都體現(xiàn)了國(guó)家公權(quán)力強(qiáng)勢(shì)介入相關(guān)領(lǐng)域的特征。顯而易見，這些具有公法色彩的法律規(guī)范被立法者作為首要的規(guī)制工具來(lái)對(duì)待。公法規(guī)范與私法規(guī)范相比，在設(shè)定權(quán)利和義務(wù)上以不對(duì)等、向信息收集主體單方面施加法律義務(wù)為主要特征。盡管這在個(gè)人信息侵犯極為普遍的情況下，具有一定合理性和必要性，但是，內(nèi)在的私法保障機(jī)制相較于外在的公法保障機(jī)制更具有持續(xù)性和全面覆蓋的優(yōu)勢(shì)。因此，筆者認(rèn)為，對(duì)于私權(quán)的維護(hù)應(yīng)當(dāng)內(nèi)化外部法定義務(wù)，發(fā)揮私法實(shí)施機(jī)制的基礎(chǔ)性作用。

3.缺乏對(duì)企業(yè)內(nèi)部合規(guī)機(jī)制建構(gòu)的關(guān)注，導(dǎo)致保護(hù)個(gè)人信息規(guī)范實(shí)施的內(nèi)生性自律機(jī)制運(yùn)行不暢

如前所述，在大數(shù)據(jù)、人工智能時(shí)代，相較于個(gè)體甚至公權(quán)力機(jī)關(guān)，對(duì)公民個(gè)人信息的收集、處理、傳播能力最強(qiáng)的是互聯(lián)網(wǎng)信息科技企業(yè)。〔20〕新創(chuàng)公司商湯科技 (sensetime)的人臉識(shí)別技術(shù)和物體識(shí)別技術(shù)便是典型代表。盡管這一人工技術(shù)可以發(fā)揮幫助抓捕逃犯等功能，但不容忽視的是其強(qiáng)大的個(gè)人生物信息的收集和利用能力。實(shí)踐中頻繁出現(xiàn)的大規(guī)模、惡性個(gè)人信息侵害事件的發(fā)生，多數(shù)與互聯(lián)網(wǎng)科技企業(yè)有關(guān)，抑或企業(yè)自身故意為之 (例如，谷歌安卓系統(tǒng)收集和利用用戶位置信息、人工智能監(jiān)控軟件對(duì)個(gè)人生物特征的收集)，抑或企業(yè)未能采取足夠的安全措施 (例如，雅虎公司的用戶數(shù)據(jù)泄露)，抑或是企業(yè)內(nèi)部人員所為 (例如，京東用戶數(shù)據(jù)泄露事件)。針對(duì)當(dāng)前對(duì)個(gè)人信息侵害肆意泛濫的現(xiàn)象，我國(guó)立法者和監(jiān)管者的規(guī)制路徑和工具具有強(qiáng)烈的公法色彩，具有一定的合理性。盡管我國(guó)學(xué)者已經(jīng)意識(shí)到將個(gè)人信息權(quán)界定為民事權(quán)利的重要性，倡導(dǎo)建立以私法保護(hù)為中心的個(gè)人信息保護(hù)體系，〔21〕參見前注〔13〕，王利明文，第62～72頁(yè)。并且也有學(xué)者基于比較法的考察主張針對(duì)網(wǎng)絡(luò)安全保護(hù)引入“以管理為基礎(chǔ)的規(guī)制”，〔22〕參見洪延青:“以管理為基礎(chǔ)的規(guī)制——對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者安全保護(hù)義務(wù)的重構(gòu)”，《環(huán)球法律評(píng)論》2016年第4期，第20頁(yè)。但這均未能從公司治理的角度提出可行性法律對(duì)策。

不容忽視的是，缺乏從公司治理角度將外部的以公司為義務(wù)主體的法律義務(wù)內(nèi)化為公司董事、高級(jí)管理人員對(duì)公司承擔(dān)的勤勉義務(wù) (和忠實(shí)義務(wù))，導(dǎo)致企業(yè)自身自律、合規(guī)缺乏主動(dòng)性。相較于由公權(quán)力機(jī)關(guān)實(shí)施的外部監(jiān)管 (考慮到對(duì)利用大數(shù)據(jù)和人工智能的經(jīng)營(yíng)活動(dòng)進(jìn)行監(jiān)管的難度和法律實(shí)施成本問(wèn)題)，企業(yè)公司治理中的內(nèi)部監(jiān)督、自律機(jī)制 (即內(nèi)部利益主體之間的監(jiān)督機(jī)制)則能夠以較低的成本，〔23〕參見徐麗枝:“個(gè)人信息處理中同意原則適用的困境與破解思路”，《圖書情報(bào)知識(shí)》2017年第1期，第106頁(yè)。實(shí)現(xiàn)更加持續(xù)性的規(guī)制效果，也有利于鼓勵(lì)權(quán)利主體積極行使自己的權(quán)利。〔24〕參見前注〔13〕，王利明文，第62～72頁(yè)。

就此而言，歐盟以及德國(guó)的立法經(jīng)驗(yàn)和實(shí)踐具有啟示意義。德國(guó)《聯(lián)邦數(shù)據(jù)保護(hù)法》(BDSG)于第一章“一般條款與共同條款”中規(guī)定了個(gè)人數(shù)據(jù)收集、處理和利用主體的一般行為義務(wù)和組織義務(wù)。其中，第4f條規(guī)定了“數(shù)據(jù)保護(hù)監(jiān)察專員” (Beauftragter für den Datenschutz)制度，即“自動(dòng)化處理個(gè)人數(shù)據(jù)的公共主體以及非公主體應(yīng)當(dāng)以書面形式任命數(shù)據(jù)保護(hù)檢查專員”。于2016年4月27日頒布、2018年5月25日生效的歐盟《通用數(shù)據(jù)保護(hù)條例》除了對(duì)責(zé)任主體的采取技術(shù)措施的一般義務(wù)和組織義務(wù)進(jìn)行了規(guī)定之外，還首次在歐盟層面以法定義務(wù)的形式引入了“數(shù)據(jù)保護(hù)監(jiān)察專員”(Data Protection Officer)制度?！?5〕《通用數(shù)據(jù)保護(hù)條例》第37—39條。另外，歐盟《通用數(shù)據(jù)保護(hù)條例》也首次為建立自律機(jī)制 (行為規(guī)范)和認(rèn)證機(jī)制設(shè)立了法律框架?！?6〕《通用數(shù)據(jù)保護(hù)條例》第40—43條。前者類似于《公司治理準(zhǔn)則》，屬于軟法機(jī)制的范疇，后者類似于“數(shù)據(jù)保護(hù)審計(jì)”，由獨(dú)立第三方進(jìn)行。〔27〕參見前注〔18〕，Schanz文，第1842頁(yè)。

概言之，個(gè)人信息內(nèi)化機(jī)制的建立和完善不僅具有改善我國(guó)公司治理總體水平的一般意義，而且能夠?qū)€(gè)人信息保護(hù)的私法保障機(jī)制的建立發(fā)揮核心功能。以下將從公司治理的角度，對(duì)個(gè)人信息保護(hù)內(nèi)化為董事勤勉義務(wù)的邏輯起點(diǎn)、內(nèi)化機(jī)制構(gòu)建的重點(diǎn)和關(guān)鍵制度進(jìn)行詳細(xì)論述。

三、個(gè)人信息保護(hù)義務(wù)的法理定位是內(nèi)化機(jī)制構(gòu)建的起點(diǎn)

公司治理的語(yǔ)境下，個(gè)人信息保護(hù)內(nèi)化機(jī)制的構(gòu)建必須首先厘清的問(wèn)題是: (1)前述不同法律規(guī)范所設(shè)定的個(gè)人信息保護(hù)義務(wù)是否以及如何內(nèi)化為公司〔28〕不同法律規(guī)范所采用的術(shù)語(yǔ)也不盡相同，例如: 《消保法》采用“經(jīng)營(yíng)者、網(wǎng)絡(luò)交易平臺(tái)”，《民法總則》采用“任何組織和個(gè)人”，《網(wǎng)絡(luò)安全法》采用“網(wǎng)絡(luò)運(yùn)營(yíng)者”，而《刑法》則完全以“行為標(biāo)準(zhǔn)”來(lái)判斷。(經(jīng)營(yíng)者、網(wǎng)絡(luò)服務(wù)提供者等等)內(nèi)部特定主體的法律義務(wù)?以及 (2)可以內(nèi)化、轉(zhuǎn)換為何種法律義務(wù)?

(一)公司董事、高級(jí)管理人員應(yīng)當(dāng)是內(nèi)化后的義務(wù)主體

現(xiàn)代公司治理模式以所有權(quán)與控制權(quán)的分離為基本特征，公司治理中奉行“董事會(huì)中心主義”?！?9〕參見張維迎:《理解公司:產(chǎn)權(quán)、激勵(lì)與治理》，上海人民出版社2014年版，第184頁(yè)。股東在履行完出資義務(wù)之后，作為公司財(cái)產(chǎn) (即清理完債務(wù)后的剩余財(cái)產(chǎn))抽象意義上的所有者原則上并不直接參與公司經(jīng)營(yíng)和管理。〔30〕Kraakman R.etc，The Anatomy of Corporate Law－A Comparative and Functional Approach，Oxford University Press，2009，p.28.公司作為法人，〔31〕即便是非法人組織形式的合伙企業(yè)也大體相同。其法定義務(wù)的履行需要經(jīng)過(guò)其組織機(jī)構(gòu)，即董事會(huì)、監(jiān)事會(huì)和經(jīng)理層來(lái)實(shí)現(xiàn)。鑒于我國(guó)公司治理模式中，監(jiān)事會(huì)抑或上市公司的獨(dú)立董事的核心功能在于監(jiān)督 (其他組織機(jī)構(gòu))職責(zé)的履行，因此，個(gè)人信息保護(hù)履行和實(shí)現(xiàn)的義務(wù)主體應(yīng)是負(fù)責(zé)公司經(jīng)營(yíng)的董事和高級(jí)管理人員。

(二)勤勉義務(wù)應(yīng)為個(gè)人信息保護(hù)義務(wù)內(nèi)化的董事義務(wù)類型

比較公司法學(xué)者從功能主義的角度將企業(yè)法的功能總結(jié)為兩個(gè)方面:其一，制度供給，即為企業(yè)家、創(chuàng)業(yè)者提供具備特定組織結(jié)構(gòu)的法律形式;其二，控制和減少公司不同利益群體之間的利益沖突，即代理問(wèn)題?！?2〕參見前注 〔30〕，Kraakman R.etc書，第28頁(yè)。其中，第二個(gè)方面的問(wèn)題是公司治理的核心任務(wù)。而規(guī)制股東與公司管理層之間、股東與股東之間以及公司與第三人 (諸如，債權(quán)人、雇員等)之間利益沖突的核心法律工具是董事、高管的信義義務(wù) (fiduciary duties)。無(wú)論是在大陸法系國(guó)家還是普通法系國(guó)家，這一義務(wù)又可以被劃分為:注意義務(wù)(duty of care)和忠實(shí)義務(wù) (duty of loyalty)。忠實(shí)義務(wù)以董事高管與公司爭(zhēng)利的行為，諸如自我交易 (self－dealing)、篡奪公司機(jī)會(huì)、競(jìng)業(yè)競(jìng)爭(zhēng)為規(guī)制對(duì)象。相比之下，注意義務(wù) (我國(guó)《公司法》采用的是“勤勉義務(wù)”的表述〔33〕《公司法》并未對(duì)勤勉義務(wù)進(jìn)行立法定義，學(xué)界和司法實(shí)踐主流觀點(diǎn)認(rèn)為，勤勉義務(wù)與傳統(tǒng)民法上的“注意義務(wù)”含義一致。)強(qiáng)調(diào)的則是董事、高管應(yīng)當(dāng)盡職盡責(zé)，努力實(shí)現(xiàn)公司利益的最大化?！?4〕公司利益并不等同于 (大)股東利益。股東的利益可能與公司長(zhǎng)期、穩(wěn)健的經(jīng)營(yíng)利益相沖突。遺憾的是，我國(guó) 《公司法》〔35〕我國(guó)《公司法》第147條第1款規(guī)定:“董事、監(jiān)事、高級(jí)管理人員應(yīng)當(dāng)遵守法律、行政法規(guī)和公司章程，對(duì)公司負(fù)有忠實(shí)義務(wù)和勤勉義務(wù)?！辈粌H沒(méi)有給“勤勉義務(wù)”提供清晰的界定標(biāo)準(zhǔn)，而且也沒(méi)有以列舉的方式規(guī)定違反勤勉義務(wù)的典型行為類型。我國(guó)的司法實(shí)踐〔36〕例如，北京妙鼎礦泉水有限公司訴王東春損害公司利益賠償糾紛案，《北京市門頭溝區(qū)人民法院民事判決書》，(2009)門民字第4號(hào);上海川流機(jī)電專用設(shè)備有限公司訴李鑫華案，《上海市閔行區(qū)人民法院民事判決書》，(2009)閔民二 (商)初字第1724號(hào)。則呈現(xiàn)出較為明顯的借鑒美國(guó)1984年版 《標(biāo)準(zhǔn)上市公司法》(MBCA)第8.30(a)(2)條規(guī)定的傾向。〔37〕由于我國(guó)民法法系的傳統(tǒng)，如何協(xié)調(diào)英美法信義義務(wù)基于信托法的特征與我國(guó)民法以委托代理理論來(lái)解釋董事與公司法律關(guān)系的問(wèn)題還亟待解決。就履行個(gè)人信息保護(hù)法定義務(wù)而言，在學(xué)理上屬于公司董事、高管應(yīng)當(dāng)履行的勤勉義務(wù)，即公司管理者應(yīng)當(dāng)保障公司能夠切實(shí)履行法律規(guī)定的保護(hù)個(gè)人信息的義務(wù)，從而維護(hù)公司的利益，避免公司因義務(wù)不履行而遭受不利的法律后果，諸如，損害賠償、行政處罰，甚至刑事處罰。

四、勤勉義務(wù)具體化是個(gè)人信息保護(hù)義務(wù)內(nèi)化機(jī)制構(gòu)建的重點(diǎn)

(一)董事勤勉義務(wù)具體化的比較法經(jīng)驗(yàn)

1.“一般條款+具體行為規(guī)范”的規(guī)制模式

基于對(duì)兩大法系代表性國(guó)家制定法和判例規(guī)則的考察，〔38〕本文大陸法系考察限于潘德克吞法系的德國(guó)以及羅馬法系的法國(guó)以及歐盟層面的制定法，包括《歐洲股份公司條例》(SE－VO)和《歐洲私公司條例 (草案)》(SPE－VO));英美法系的考察范圍則限于英國(guó)法和美國(guó)的《標(biāo)準(zhǔn)商事公司法》。筆者發(fā)現(xiàn)勤勉義務(wù)在大陸法系的規(guī)定采用了“一般條款+具體行為規(guī)則”的規(guī)制模式。這一模式在2005年英國(guó)《公司法案》的修訂中也得到了典型體現(xiàn)。其中，一般條款中最為核心的是勤勉義務(wù)的判斷標(biāo)準(zhǔn)規(guī)則。諸如，《德國(guó)股份法》(AktG)第93條第1款、《德國(guó)有限責(zé)任公司法》(GmbHG)第43條第1款規(guī)定了公司董事在履行職責(zé)時(shí)應(yīng)當(dāng)盡到“謹(jǐn)慎、有序業(yè)務(wù)領(lǐng)導(dǎo)人的注意義務(wù)”(Sorgfaltsma?stab eines ordentlichen und gewissenhaften Gesch?ftsleiters)。除此之外，法律還規(guī)定了董事的一系列具體勤勉義務(wù)。諸如，申請(qǐng)進(jìn)行商事登記的義務(wù)、〔39〕參見《德國(guó)有限責(zé)任公司法》第7條第1款。遵守法律關(guān)于資本履行和資本維持的義務(wù)、〔40〕參見《德國(guó)有限責(zé)任公司法》第9a、19、30、31、33、43a、57iv條。對(duì)股東的信息義務(wù)、及時(shí)召集股東會(huì)議的義務(wù)以及公司危機(jī)情況下的特殊義務(wù) (尤其是，及時(shí)申請(qǐng)破產(chǎn)義務(wù))。勤勉義務(wù)最核心的要求為，公司管理者在法律、章程和股東決議的框架內(nèi)并在妥當(dāng)考慮公共利益的基礎(chǔ)上，追求和實(shí)現(xiàn)公司的利益，避免公司利益遭受損失。〔41〕OLG Zweibrücken NZG 1999，506，507.

2.兩大法系的規(guī)制模式和規(guī)則內(nèi)容上的相互靠近

一個(gè)非常值得關(guān)注的現(xiàn)象是，兩大法系董事勤勉義務(wù) (和忠實(shí)義務(wù))規(guī)則和規(guī)制模式 (制定法抑或判例規(guī)則)上從不同的出發(fā)點(diǎn)相互靠近。例如，在英國(guó)《公司法案》(Companies Act)修訂過(guò)程中，曾對(duì)是否以及在多大的范圍內(nèi)將關(guān)于董事信義義務(wù)的判例規(guī)則成文法化進(jìn)行討論。最終的結(jié)果是，判例法中大量能夠相對(duì)確定表述的董事信息義務(wù)規(guī)則被納入到英國(guó)現(xiàn)行《公司法案》(CA 2006)中?！?2〕參見英國(guó)《公司法案》(CA 2006)第173條及以下諸條。除此之外，尚有一些董事信義義務(wù)，諸如，董事對(duì)債權(quán)人的義務(wù)、法律義務(wù)以及商業(yè)判斷規(guī)則。即便在這些判例規(guī)則實(shí)現(xiàn)成文化之后，對(duì)于相關(guān)法律條款的解釋，依然應(yīng)當(dāng)參照相應(yīng)的判例規(guī)則?！?3〕See Davies P，Worthington S，Principles of Modern Company Law，Sweet ＆ Maxwell，2012，p.503.而作為典型大陸法系國(guó)家的德國(guó)則在制定法之外，借由法官法 (Richterecht)〔44〕這是德國(guó)法對(duì)于基于判例所形成的不成文判例規(guī)則的專門稱謂，并非組織法意義上的法官法。來(lái)對(duì)法典中董事義務(wù)的一般條款予以具體化。這一過(guò)程通常通過(guò)法律解釋，甚至法律的續(xù)造 (Rechtsfortbildung)來(lái)完成?！?5〕參見〔德〕卡爾·拉倫次: 《法學(xué)方法論》，陳愛娥譯，商務(wù)印書館2004年版，第249頁(yè)。例如，源自美國(guó)公司法的商業(yè)判斷規(guī)則，〔46〕參見〔美〕弗蘭克·伊斯特布魯克: 《公司法的經(jīng)濟(jì)結(jié)構(gòu)》 (第2版)，羅培新、張建偉譯，北京大學(xué)出版社2014年版，第93頁(yè)。最初通過(guò)德國(guó)的判例被司法實(shí)踐所繼受。此后又在逐漸成熟的基礎(chǔ)上，最終被法典化到《德國(guó)股份法》第93條中。當(dāng)然，這一制度對(duì)于其他法律形式，尤其是有限責(zé)任公司的可適用性依然是通過(guò)法律解釋來(lái)完成的?！?7〕Zhang H，Die Rechtspflichten der Leitungsorgane der geschlossenen Kapitalgesellschaften，Dr.Kovac Verlag，2017，60.可見，無(wú)論是大陸法系國(guó)家 (如德國(guó))還是英美法系國(guó)家 (如英國(guó))，判例規(guī)則對(duì)于董事勤勉義務(wù)的發(fā)展都具有核心意義。

3.勤勉義務(wù)具體化的比較法經(jīng)驗(yàn)

比較法的公司理論上，董事勤勉義務(wù)又被劃分為 (1)合法義務(wù)和 (2)狹義的勤勉義務(wù)?！?8〕同上，第71～72頁(yè)。合法義務(wù)是指遵守所有外部行為約束規(guī)范，來(lái)保障管理行為的合法性。這些約束性的規(guī)范不僅包括法律規(guī)定，還包括公司章程和股東決議等規(guī)范。而且，這些規(guī)范既可以公司本身作為義務(wù)主體 (諸如，網(wǎng)絡(luò)運(yùn)營(yíng)者的個(gè)人信息保護(hù)義務(wù))，也可以直接以公司董事、高管為義務(wù)主體。合法義務(wù)不僅要求公司高管在經(jīng)營(yíng)管理中考慮到企業(yè)經(jīng)營(yíng)活動(dòng)應(yīng)當(dāng)遵循的法律、法規(guī)，而且還必須采取必要、妥當(dāng)?shù)拇胧┮员Ｕ掀髽I(yè)的行為符合法律的要求并及時(shí)識(shí)別和防范經(jīng)營(yíng)過(guò)程中可能存在的法律風(fēng)險(xiǎn)。其中尤其包括相應(yīng)的組織措施 (如設(shè)立合規(guī)部門、配備相應(yīng)人員和資源)。

下面以在德國(guó)法上有重大影響的“西門子股份公司訴納伯格案”作為剖析樣本，具體地說(shuō)明合法義務(wù)的適用邏輯?！?9〕參見張懷嶺:“德國(guó)法董事合規(guī)義務(wù)的司法適用邏輯——基于對(duì)‘西門子訴納伯格案’的分析”，《中德私法研究》2015年第2期，第238～258頁(yè)。該案以西門子公司長(zhǎng)時(shí)間、大規(guī)模向海外政府官員以及個(gè)人行賄丑聞的爆發(fā)為背景。除了刑事處罰和德國(guó)、美國(guó)證券交易監(jiān)管機(jī)構(gòu)的處罰外，西門子公司還聘請(qǐng)了一家美國(guó)律師事務(wù)所來(lái)調(diào)查本公司內(nèi)部的行賄“黑金系統(tǒng)”，并為此支付了約1300萬(wàn)歐元律師費(fèi)用。在西門子公司行賄丑聞發(fā)生后，西門子公司監(jiān)事會(huì)以違反勤勉義務(wù)為由要求所有前任董事會(huì)成員向公司承擔(dān)損害賠償責(zé)任，并對(duì)唯一一個(gè)拒絕承認(rèn)自己存在違反董事義務(wù)行為的董事納伯格 (負(fù)責(zé)財(cái)務(wù)管理、報(bào)告和法務(wù)部門的董事)提起1500萬(wàn)歐元的損害賠償訴訟。西門子公司的訴訟請(qǐng)求獲得法院的全額支持。本案法院的司法適用邏輯在于，西門子公司的跨國(guó)商業(yè)賄賂行為不僅違反了商業(yè)道德，而且也違反了《國(guó)際商務(wù)交易活動(dòng)反對(duì)行賄外國(guó)公職人員公約》在締約國(guó) (德國(guó))國(guó)內(nèi)法上的規(guī)定，從而構(gòu)成違法行為。合法義務(wù)不僅要求董事不得從事違法行為，而且還要求董事負(fù)有對(duì)董事會(huì)其他成員和員工行為進(jìn)行監(jiān)督的義務(wù)。這種監(jiān)督義務(wù)被《德國(guó)股份法》具體化為一種組織義務(wù)，即董事會(huì)必須采取合適的措施，尤其是通過(guò)建立監(jiān)督體系來(lái)及時(shí)發(fā)現(xiàn)威脅企業(yè)存續(xù)的狀況?！?0〕LG München I，NZG 2014，345(346).因此，董事只有在企業(yè)內(nèi)部設(shè)立了相應(yīng)的預(yù)防損害和控制風(fēng)險(xiǎn)的“合規(guī)機(jī)構(gòu)”的情況下，才符合組織義務(wù) (合法義務(wù))的要求。

(二)個(gè)人信息保護(hù)內(nèi)化為董事合法義務(wù)的制度基礎(chǔ)

我國(guó)《公司法》第147條規(guī)定，董事、監(jiān)事、高級(jí)管理人員應(yīng)當(dāng)遵守法律、行政法規(guī)和公司章程，對(duì)公司負(fù)有忠實(shí)義務(wù)和勤勉義務(wù)。盡管學(xué)界對(duì)于“遵守法律、行政法規(guī)和公司章程”與“勤勉義務(wù)”的關(guān)系有爭(zhēng)議，〔51〕參見王軍:《中國(guó)公司法》，高等教育出版社2017年版，第389頁(yè)。但依據(jù)前述比較法的主流理論，遵守法律、法規(guī)和公司章程屬于“合法義務(wù)”范疇;而合法義務(wù)又屬于“勤勉義務(wù)”(注意義務(wù))的一種具體類型。合法義務(wù)要求董事、高管必須采取妥當(dāng)措施保障公司遵守法律的行為約束，避免因違法而使公司遭受損失。就個(gè)人信息保護(hù)而言，上述德國(guó)法中關(guān)于董事合法義務(wù)的司法適用邏輯不僅在法理上值得我國(guó)立法和司法實(shí)踐所借鑒，而且，隨著《民法總則》、《消保法》以及《網(wǎng)絡(luò)安全法》等法律的頒布或修訂，我國(guó)現(xiàn)行法已經(jīng)具備了相應(yīng)的制度基礎(chǔ)。

1.企業(yè)作為信息收集者，其法定組織義務(wù)已經(jīng)確立。《民法總則》第111條規(guī)定，任何組織和個(gè)人負(fù)有依法取得他人個(gè)人信息并確保信息安全的義務(wù)。對(duì)所收集信息的安全保障義務(wù)是所有收集主體的基本義務(wù)。《消保法》和《網(wǎng)絡(luò)完全法》對(duì)于信息安全保障義務(wù)做出了進(jìn)一步的規(guī)定。其中，《消保法》第40條規(guī)定，經(jīng)營(yíng)者及其工作人員對(duì)收集的消費(fèi)者個(gè)人信息必須嚴(yán)格保密，不得泄露、出售或者非法向他人提供。經(jīng)營(yíng)者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保信息安全，防止消費(fèi)者個(gè)人信息泄露、丟失。在發(fā)生或者可能發(fā)生信息泄露、丟失的情況時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施。《網(wǎng)絡(luò)安全法》第40條規(guī)定了網(wǎng)絡(luò)運(yùn)營(yíng)者“建立健全用戶信息保護(hù)制度”的組織義務(wù)。該法第42條第2款中規(guī)定:“網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保其收集的個(gè)人信息的安全?！睆倪@些規(guī)定可以引申出，企業(yè)作為信息的 (合法)收集者時(shí)，為了履行法律所規(guī)定的信息保護(hù)義務(wù)，必須在企業(yè)內(nèi)部采取妥當(dāng)?shù)摹⒎峡陀^必要安全標(biāo)準(zhǔn)的措施。為履行上述事前預(yù)防和事后補(bǔ)救義務(wù)，公司管理者自然應(yīng)當(dāng)設(shè)立相應(yīng)的信息安全保障部門，配備與其處理信息規(guī)模相適應(yīng)的專業(yè)人員。

2.鑒于實(shí)踐中大規(guī)模信息竊取、泄露、出賣等侵害個(gè)人信息的行為是源于“內(nèi)部人”，〔52〕例如，京東的用戶信息泄露事件。在最高人民檢察院最近發(fā)布的六起侵犯公民個(gè)人信息犯罪典型案例中，造成損害最大的都是“內(nèi)部人”的違法行為。董事、高管對(duì)公司所負(fù)的組織義務(wù)還涵蓋了建立內(nèi)部運(yùn)行良好的監(jiān)督機(jī)制。在“西門子訴納伯格”案中，法院認(rèn)定，盡管西門子公司設(shè)立了專門的合規(guī)部門并且配備了相關(guān)專業(yè)人員，但是這一合規(guī)監(jiān)督機(jī)制未能有效運(yùn)行，事前預(yù)防違法事件 (諸如，反復(fù)在集團(tuán)內(nèi)部出現(xiàn)向海外政府官員和個(gè)人行賄的事件)和事后處罰措施 (尤其是對(duì)相應(yīng)員工的人事處罰)都未能達(dá)到預(yù)期效果，從而違反了董事的合法義務(wù)?；谶@一法律適用邏輯，合法義務(wù)要求收集用戶個(gè)人信息的企業(yè)必須建立對(duì)內(nèi)部員工的培訓(xùn)和監(jiān)督制度。而且，如果在個(gè)案中表明該制度存在不足之處，必須及時(shí)采取補(bǔ)救措施。這也可以從我國(guó)《消保法》第40條 (補(bǔ)救措施的規(guī)定)和《網(wǎng)絡(luò)安全法》第42條第2款 (個(gè)人信息泄露、毀損、丟失的情況下應(yīng)采取補(bǔ)救措施并履行告知和報(bào)告義務(wù))中找到法律依據(jù)。以58同城數(shù)據(jù)泄露事件為例，該公司全國(guó)用戶個(gè)人簡(jiǎn)歷遭到大規(guī)模泄露。無(wú)獨(dú)有偶，招聘網(wǎng)站普遍存在個(gè)人數(shù)據(jù)保障程度低下，安全漏洞眾多且長(zhǎng)時(shí)間沒(méi)有得到修補(bǔ)，易于遭惡意爬蟲軟件利用平臺(tái)漏洞爬取信息的問(wèn)題。根據(jù)對(duì)智聯(lián)招聘工作人員的采訪，該企業(yè)內(nèi)部信息保護(hù)制度不嚴(yán)格，即便權(quán)限較低的員工也可以輕易、無(wú)限制地獲取企業(yè)數(shù)據(jù)庫(kù)中的用戶個(gè)人信息。〔53〕該事件具體經(jīng)過(guò)參見 http://industry.caijing.com.cn/20170324/4251509.shtml，最后訪問(wèn)時(shí)間:2017年11月27日。這也表明了以董事、高管合法義務(wù)為基礎(chǔ)，建立內(nèi)部完善合規(guī)制度的迫切性。

五、個(gè)人信息保護(hù)義務(wù)內(nèi)化機(jī)制構(gòu)建的關(guān)鍵環(huán)節(jié):舉證責(zé)任的分配與訴訟主體資格

(一)舉證責(zé)任分配

司法實(shí)踐中，實(shí)體權(quán)利在多大程度上以及以何種成本可以得到維護(hù)和實(shí)現(xiàn)，主要依賴于舉證責(zé)任的分配。比較法上的公司治理中，董事的經(jīng)營(yíng)活動(dòng)受到商業(yè)判斷規(guī)則(Business Judgment Rules)的保護(hù)。而商業(yè)判斷規(guī)則則是通過(guò)實(shí)體法的形式確定舉證責(zé)任的分擔(dān)?；谶@一比較法經(jīng)驗(yàn)，個(gè)人信息保護(hù)糾紛中的舉證責(zé)任分配應(yīng)當(dāng)通過(guò)實(shí)體法的規(guī)范予以特殊規(guī)定，從而實(shí)現(xiàn)利益保護(hù)的平衡。具體而言，針對(duì)發(fā)生的個(gè)人信息侵害糾紛，例如，信息的泄露、不當(dāng)使用等情形，只要信息的權(quán)利人舉證證明發(fā)生了其權(quán)利受到侵害的后果，就由對(duì)個(gè)人信息負(fù)有保護(hù)義務(wù)的主體對(duì)其履行了法定的信息保護(hù)義務(wù)或者特定損害后果即便在其合法履行義務(wù)的情況下依然會(huì)發(fā)生 (因果關(guān)系)承擔(dān)舉證責(zé)任。

比較法上的考察表明，為了避免司法機(jī)關(guān)對(duì)于商事決策采取事后審查從而不正當(dāng)?shù)匾种平?jīng)營(yíng)者從事具有一定風(fēng)險(xiǎn)的商業(yè)活動(dòng)的積極性，引入商業(yè)判斷規(guī)則是必然之舉。德國(guó)法的制度沿革便佐證了這一點(diǎn)。20世紀(jì)90年代，德國(guó)聯(lián)邦最高法院的判例規(guī)則主張，〔54〕BGH v.26.11.1990－II ZR 223/89，GmbHR 1991，101 ff;BGH v.21.03.1994－II ZR 260/92，GmbHR 1994，459 ff.公司應(yīng)當(dāng)對(duì)董事違反注意義務(wù)的客觀要件承擔(dān)說(shuō)明與舉證責(zé)任 (Darlegungs－und Beweislast)，而董事則僅對(duì)其不具有主觀過(guò)錯(cuò)承擔(dān)舉證責(zé)任。這就意味著，在例外情形下，諸如公司財(cái)產(chǎn)由于相關(guān)董事未能履行職責(zé)的原因 (收銀數(shù)額不足、存貨短缺)而無(wú)法確定時(shí)，公司的權(quán)利可能就無(wú)法實(shí)現(xiàn)。但是，如今聯(lián)邦最高法院已經(jīng)通過(guò)一系列新的判決極大地以有利于公司提起訴訟的方式進(jìn)行了改革?！?5〕諸如 BGH v.04.11.2002－II ZR 224/00=GmbHR 2003，113～117。公司作為原告，僅需要證明其在多大范圍內(nèi)由于董事義務(wù)范圍內(nèi)的行為而遭受了損害?！?6〕參見前注 〔47〕，Zhang H.書，第66頁(yè)。這很大程度上是基于對(duì)《股份法》和《合作社法》相關(guān)規(guī)范的類推適用。例如，通過(guò)移植美國(guó)法的制度，《德國(guó)股份法》首先在第93條第1款第1句規(guī)定了董事會(huì)成員應(yīng)當(dāng)負(fù)有注意義務(wù)的標(biāo)準(zhǔn);其次，第93條第1款第2句規(guī)定:“如果董事會(huì)成員在進(jìn)行商業(yè)決策時(shí)，基于妥當(dāng)?shù)男畔⒒A(chǔ)可以合理地相信其行為有利于公司的利益，則不構(gòu)成注意義務(wù)的違反?！鄙虡I(yè)判斷規(guī)則的引入既降低了公司作為原告的舉證責(zé)任，同時(shí)也為董事對(duì)商業(yè)決策所享有的自由裁量提供了制度保障。這也可以為我國(guó)《公司法》以及司法實(shí)踐所借鑒，從而實(shí)現(xiàn)董事在商業(yè)決策上的自由裁量權(quán)與履行法定個(gè)人信息保護(hù)義務(wù)的良好平衡。因?yàn)楣炯捌涠隆熬嚯x”證據(jù)最近，其承擔(dān)自身已經(jīng)履行組織義務(wù)的舉證責(zé)任并非是不成比例的風(fēng)險(xiǎn)負(fù)擔(dān)。

就個(gè)人數(shù)據(jù)保護(hù)而言，德國(guó)《數(shù)據(jù)保護(hù)法》的立法例可供借鑒。該法第7條第1款規(guī)定了企業(yè)違反法律規(guī)定，因其信息收集、處理或利用行為給用戶造成損害的應(yīng)當(dāng)承擔(dān)賠償責(zé)任。但是，該條第2款又規(guī)定: “企業(yè)盡到根據(jù)具體情形所必要的注意義務(wù)的，不承擔(dān)損害賠償責(zé)任?！狈审w系上，該規(guī)范被作為德國(guó)《股份法》(AktG)第93條第1款、《有限責(zé)任公司法》(GmbHG)第43條第1款抑或《合作社法》(GenG)第34條第1款的特殊規(guī)范。這意味著由信息處理者對(duì)其自身已經(jīng)履行了法律規(guī)定應(yīng)盡的注意義務(wù)承擔(dān)舉證責(zé)任，從而大幅降低了用戶等主體提起訴訟的舉證責(zé)任和風(fēng)險(xiǎn)。〔57〕例如，奧地利法律人和活動(dòng)人士馬克斯 .史萊姆絲 (Max Schrems)曾通過(guò)投訴和訴訟的方式迫使Facebook公布其賬戶的用戶信息以及在歐洲關(guān)閉其臉部識(shí)別功能。以歐盟新條例的通過(guò)為契機(jī)，他作為創(chuàng)始人新近成立了非政府機(jī)構(gòu)Noyb，旨在針對(duì)企業(yè)違反信息保護(hù)義務(wù)的行為向監(jiān)管機(jī)構(gòu)進(jìn)行投訴以及向法院提起訴訟。

(二)訴訟主體資格

就訴訟主體資格而言，與德國(guó)現(xiàn)行法類似，歐盟《通用數(shù)據(jù)保護(hù)條例》第80條第1款規(guī)定了“集體訴訟”條款，允許非政府組織代表個(gè)人信息受到損害的個(gè)人向監(jiān)管機(jī)構(gòu)采取法律行動(dòng)。該條第2款進(jìn)一步授權(quán)成員國(guó)可以就“集體訴訟權(quán)”進(jìn)行規(guī)定。尤其值得注意的是，該條例第82條第1款明確規(guī)定損害賠償?shù)姆秶w“精神損害賠償”。在損害賠償額度的計(jì)算上，歐盟法院 (EuGH)判例依據(jù)“有效性原則”，〔58〕EuGH，EuZW 2016，183 Rn.44－Arjona Camacho.認(rèn)為損害賠償額應(yīng)當(dāng)具有“威懾性”?！?9〕參見前注 〔18〕，Schanz文，第1847頁(yè)。這將大幅增強(qiáng)私法執(zhí)行機(jī)制在個(gè)人數(shù)據(jù)保護(hù)方面的有效性。我國(guó)《消保法》已經(jīng)引入了懲罰性的損害賠償制度，盡管該法本身具有“規(guī)制法”的色彩?；诮档退綑?quán)利行使成本，鼓勵(lì)權(quán)利保護(hù)的目的，可以擴(kuò)大懲罰性損害賠償?shù)倪m用范圍。