內(nèi)容提要 在加強個人信息保護的大背景下，借助法律規(guī)范推進數(shù)據(jù)平臺市場行為合規(guī)是必然選擇。相較于其他保護路徑，合規(guī)路徑更符合數(shù)據(jù)平臺自身的特征、法律的明確要求以及“守門人”的職責(zé)，所以該路徑應(yīng)當成為數(shù)據(jù)平臺個人信息保護義務(wù)不可或缺的構(gòu)成。數(shù)據(jù)平臺個人信息保護合規(guī)義務(wù)的落實，在法律依據(jù)上還存在一定的缺失，這些缺失可能會導(dǎo)致法律監(jiān)管的失靈、歸責(zé)原則的偏離以及責(zé)任承擔(dān)的過度延伸。因此，在保持法律監(jiān)管與適度介入的基礎(chǔ)上，應(yīng)當遵循過錯推定責(zé)任原則，輔以均衡的責(zé)任分配方案，加快風(fēng)險管理從意識到義務(wù)的轉(zhuǎn)換，拉齊個人信息保護水平標準；還應(yīng)推進通用標準的法律轉(zhuǎn)化，滿足判定法律責(zé)任承擔(dān)的技術(shù)基準的法治訴求。

關(guān)鍵詞 數(shù)據(jù)平臺 個人信息保護 合規(guī)義務(wù)

王鵬，淮南師范學(xué)院法學(xué)院副教授

本文為安徽省高校社會科學(xué)重點項目“公正與效率視角下認罪認罰從寬制度的實證研究”（2022AH051560）的階段性研究成果。

數(shù)據(jù)平臺鏈接著數(shù)字經(jīng)濟產(chǎn)業(yè)的上游與下游、商業(yè)用戶與終端用戶等交易主體，它不但肩負著信息安全高效流轉(zhuǎn)的職責(zé)，而且承擔(dān)著新型數(shù)據(jù)的權(quán)益分配功能。在《中華人民共和國民法典》（以下簡稱《民法典》）確認個人信息權(quán)益的人格權(quán)屬性后，個人信息法律保護成了一個被持續(xù)研究的課題。2021年8月通過的《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）第58條首次明確了數(shù)據(jù)平臺個人信息保護的合規(guī)義務(wù)，合規(guī)成為數(shù)據(jù)平臺落實《民法典》第111條和第1034條“個人信息受法律保護”要求的重要制度安排。目前，學(xué)界對數(shù)據(jù)平臺個人信息保護合規(guī)的研究，主要集中在合規(guī)業(yè)務(wù)類型與模式、合規(guī)指標與評估、合規(guī)風(fēng)險及其規(guī)制、合規(guī)組織和合規(guī)職能、法益保護與面向、刑責(zé)認定與追究、域外比較與借鑒、合規(guī)治理機制與體系構(gòu)建等方面[1]，整體而言缺少數(shù)據(jù)平臺個人信息保護合規(guī)義務(wù)的證成分析。此外，數(shù)據(jù)平臺通過信息技術(shù)實現(xiàn)對個人信息的“處理”，具有顯著的技術(shù)集成性和依附關(guān)系，這在客觀上導(dǎo)致數(shù)據(jù)平臺個人信息保護合規(guī)義務(wù)在法律監(jiān)管、歸責(zé)原則、責(zé)任承擔(dān)等適用方面出現(xiàn)了偏差和法律依據(jù)的缺失，亟須有針對性地開展研究。

數(shù)據(jù)平臺所具有的獨特功能決定了其較之個人信息的優(yōu)勢地位，此種優(yōu)勢地位容易形成對個人信息的擠壓狀態(tài)。為了應(yīng)對此種狀態(tài)，確立數(shù)據(jù)平臺“守門人”角色并課以其個人信息保護合規(guī)義務(wù)是一種較好的選擇。故此，本文將通過厘清數(shù)據(jù)平臺的獨特功能，分析數(shù)據(jù)平臺個人信息保護的“守門人”角色及其合規(guī)義務(wù)確立的邏輯，探討數(shù)據(jù)平臺個人信息保護合規(guī)義務(wù)面臨的法律依據(jù)缺失情形及合規(guī)義務(wù)完善路徑。

一、數(shù)據(jù)平臺的界定與功能：將數(shù)據(jù)轉(zhuǎn)換成信息價值

數(shù)據(jù)的價值主要體現(xiàn)在其自身的信息轉(zhuǎn)換。作為數(shù)據(jù)處理和獲得的主體，數(shù)據(jù)平臺擁有一般社會主體所不具備的“人為賦予”的技藝和能力，發(fā)揮著將數(shù)據(jù)轉(zhuǎn)換成信息價值的獨特功能。

1.數(shù)據(jù)平臺的界定

目前，學(xué)界關(guān)于數(shù)據(jù)平臺的界定主要有三種觀點：一是“無形場所論”，即數(shù)據(jù)平臺是一個通過互聯(lián)網(wǎng)技術(shù)向多個利用者提供服務(wù)的無形場所，利用者在此可以進行商品、服務(wù)、信息的交換[1]。二是“商業(yè)組織形態(tài)論”，即數(shù)據(jù)平臺是多個利用者通過互聯(lián)網(wǎng)技術(shù)，遵循特定規(guī)則來實現(xiàn)信息交互，并以此共同創(chuàng)造價值的商業(yè)組織形態(tài)[2]。三是“數(shù)據(jù)處理者論”，即數(shù)據(jù)平臺是通過利用數(shù)據(jù)營利的數(shù)據(jù)企業(yè)，以及在運營、組織交易過程中產(chǎn)生或者獲取數(shù)據(jù)的企事業(yè)單位[3]。

本文采取“數(shù)據(jù)處理者論”觀點，且所探討的“數(shù)據(jù)平臺”均指《個人信息保護法》第58條所定義的“提供重要互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個人信息處理者”，不包括不符合上述定義的中小數(shù)據(jù)平臺，做此限定是基于當前貫徹落實《個人信息保護法》的緊迫需求。本文試圖以法教義學(xué)的研究范式緊緊圍繞《個人信息保護法》相關(guān)條款進行分析，探討此類特定主體在責(zé)任層面與個人信息保護層面上相關(guān)的問題。由于以上類別的數(shù)據(jù)平臺對個人信息的影響更廣更深，且對其開展的相關(guān)規(guī)制更具有示范引領(lǐng)或標準確立的方法論價值，故本文不探究所有類別的個人信息處理者，僅探討《個人信息保護法》第58條界定的主體。

2.數(shù)據(jù)平臺的獨特功能

數(shù)據(jù)的信息轉(zhuǎn)換并非自發(fā)的或自運行的，需要“人為賦予”的行為才能得以實現(xiàn)，因為分散零亂的數(shù)據(jù)即使被存儲在“關(guān)系數(shù)據(jù)庫”中，其彼此之間也并無天然聯(lián)系，而只有“人為賦予”了數(shù)據(jù)之間的“關(guān)系”，才能把原本孤立的數(shù)據(jù)相互聯(lián)通、生成信息，并借助信息實現(xiàn)數(shù)據(jù)自身的價值與增值[4]。

數(shù)字經(jīng)濟具有明顯的外部經(jīng)濟性，分散零亂的個人數(shù)據(jù)與其他數(shù)據(jù)之間建立的“關(guān)系”越多越深，越能被轉(zhuǎn)化為高價值的信息資源并獲得更高的效用。但外部經(jīng)濟性的實現(xiàn)，依賴于能夠大規(guī)模收集個人數(shù)據(jù)，有效“人為賦予”數(shù)據(jù)之間的關(guān)系進而將數(shù)據(jù)轉(zhuǎn)化為信息資源的載體，而執(zhí)行“人為賦予”功能的載體須具有相當?shù)慕?jīng)濟和技術(shù)條件。

在“數(shù)據(jù)處理者論”視角下，數(shù)據(jù)平臺擁有一般社會主體所不具備的“人為賦予”的技藝和能力，突出表現(xiàn)為借助諸如云計算、虛擬化技術(shù)、可擴展的存儲系統(tǒng)等對海量數(shù)據(jù)進行分布式數(shù)據(jù)挖掘的手段。因此，數(shù)據(jù)平臺具備大規(guī)模收集個人數(shù)據(jù)并將其轉(zhuǎn)化為信息資源所必需的經(jīng)濟與技術(shù)條件，以及占有和使用個人數(shù)據(jù)、將個人數(shù)據(jù)轉(zhuǎn)換成信息價值的能力，這就使單純的個人數(shù)據(jù)進入了個人信息權(quán)益保護的范圍。正是數(shù)據(jù)平臺的這一能力，令個人作為數(shù)據(jù)生成主體時，其擁有的個人數(shù)據(jù)得以在分享和傳播中具有存在的意義，進而實現(xiàn)了個人數(shù)據(jù)從獨語表達到信息交流的價值轉(zhuǎn)換。

二、數(shù)據(jù)平臺對個人信息的保護：“守門人”角色與合規(guī)義務(wù)

個人數(shù)據(jù)從獨語表達轉(zhuǎn)換成信息價值，主要借助數(shù)據(jù)平臺在這一轉(zhuǎn)換過程中的獨特作用，然而，數(shù)據(jù)平臺也有可能因此在客觀上對個人信息構(gòu)成一種擠壓。數(shù)據(jù)平臺對個人信息的此種擠壓，要求數(shù)據(jù)平臺承擔(dān)相比一般社會主體而言更為嚴格和特殊的責(zé)任，進而被依法設(shè)定為一種“守門人”的角色。相較于其他風(fēng)險防控路徑，合規(guī)路徑因與數(shù)據(jù)平臺自身特征、“守門人”職責(zé)等吻合度更高，應(yīng)成為數(shù)據(jù)平臺履行個人信息保護職責(zé)所不可或缺的義務(wù)。

1.數(shù)據(jù)平臺對個人信息的擠壓

數(shù)據(jù)平臺對個人信息的擠壓，首先體現(xiàn)為數(shù)據(jù)平臺的技術(shù)優(yōu)勢。數(shù)據(jù)平臺過于優(yōu)越的技術(shù)地位造成了以下局面：個人在進入網(wǎng)絡(luò)空間之時就已經(jīng)被數(shù)據(jù)平臺的高超技術(shù)所劫持[1]，個人信息也就不可避免地被稀釋、凌駕或黑洞化。其次體現(xiàn)為個人為獲得某種優(yōu)勢或便捷所做出的讓渡。“數(shù)據(jù)經(jīng)濟的重要特征是‘許多用戶使用的網(wǎng)絡(luò)服務(wù)要求用戶以讓渡個人敏感信息的方式信任公司”[2]，而數(shù)據(jù)平臺在被推向市場時所采取的“免費策略”，更加增強了個人讓渡信息的意愿。此種為了得到各種便捷訊息和服務(wù)所做出的讓渡，在某種程度上會使得對個人信息保護的需求退居次要位置。

2.“守門人”邏輯：數(shù)據(jù)平臺對個人信息的保護責(zé)任

“守門人”是指控制關(guān)鍵信息網(wǎng)絡(luò)技術(shù)、決定平臺運營環(huán)境、深度影響個人信息處理活動的互聯(lián)網(wǎng)營運者[3]?！笆亻T人”概念源于歐盟《數(shù)字市場法提案》，并反映在《個人信息保護法》第58條之中。

確立數(shù)據(jù)平臺“守門人”角色進而實現(xiàn)對個人信息的保護，其法理在于“控制者義務(wù)理論”，即任何主體對其控制的場所等應(yīng)負擔(dān)一定的安全保障義務(wù)，而課以該主體一定的安全保障義務(wù)，體現(xiàn)了收益與風(fēng)險相一致，與控制危險源能力相匹配的法治理念[4]。數(shù)據(jù)平臺控制著個人信息處理系統(tǒng)的技術(shù)資源與運營環(huán)境，控制著個人信息處理活動的關(guān)鍵通道與容納空間，控制著相關(guān)算力算法可觸達個人信息的廣度與深度，控制著個人依賴數(shù)據(jù)平臺的習(xí)慣養(yǎng)成機制。故數(shù)據(jù)平臺是個人信息處理的“控制者”，特別是《個人信息保護法》確立的個人信息保護義務(wù)明顯建立在《數(shù)據(jù)安全法》的安全保障制度框架下，前者同樣沿用了數(shù)據(jù)安全保障義務(wù)的保護邏輯，即個人信息的處理是以秘密狀態(tài)進行的，嚴格限定在法定或約定的范圍和場景[5]。因此，將數(shù)據(jù)平臺設(shè)定為“守門人”角色并課以其相應(yīng)的安全保障義務(wù)，符合法理和我國司法實踐。例如，在“申瑾訴上海攜程商務(wù)有限公司侵權(quán)責(zé)任糾紛案”中，法院認為，平臺具備開啟、參與社會交往服務(wù)和給他人權(quán)益帶來潛在危險兩項特征，故虛擬數(shù)字世界與現(xiàn)實世界中的安全保障義務(wù)主體，均應(yīng)負有排除對其服務(wù)用戶侵權(quán)以及對未來妨害進行審查和控制的義務(wù)[6]。

3.合規(guī)的內(nèi)涵與合規(guī)義務(wù)的必要性

根據(jù)ISO 37301： 2021《合規(guī)管理體系要求及使用指南》第3.26條規(guī)定，合規(guī)的內(nèi)涵是“滿足組織的所有要求的合規(guī)義務(wù)”。按照上述定義，數(shù)據(jù)平臺的“合規(guī)”是指數(shù)據(jù)平臺處理個人信息的活動應(yīng)當在“外規(guī)”與“內(nèi)規(guī)”的限定與引導(dǎo)下進行。

所謂合規(guī)義務(wù)，在我國法律上體現(xiàn)為《個人信息保護法》第54條所明確的個人信息處理者的合規(guī)審查義務(wù)，以及第58條所列舉的本文所探討之“數(shù)據(jù)平臺”的“守門人”義務(wù)。合規(guī)義務(wù)的必要性主要體現(xiàn)在以下兩個方面：一方面，合規(guī)是社會主體實現(xiàn)自我監(jiān)管、自我報告、自我披露和自我整改的有效路徑，屬于具有私法特征的內(nèi)部自律行為，而個人信息保護的合規(guī)又體現(xiàn)出高技術(shù)性、強專業(yè)性等特征，客觀上也更依賴數(shù)據(jù)平臺的自身主動作為。政府等外部監(jiān)管主體或者強制力量，由于缺乏內(nèi)生性動力，缺乏常態(tài)性和融入數(shù)據(jù)平臺日常經(jīng)營監(jiān)管的能力[1]，使得法秩序背后監(jiān)管主體及其所代表的強制力量所能發(fā)揮的作用非常有限[2]，無法單獨或者有效承擔(dān)監(jiān)管之責(zé)。不可否認，數(shù)據(jù)平臺的違規(guī)能力與其開展合規(guī)建設(shè)的能力都是超乎尋常的，同時，社會主體為了應(yīng)對行政或刑事制裁，具有通過合規(guī)將法律規(guī)定的相關(guān)注意義務(wù)轉(zhuǎn)化為其內(nèi)部治理的有機組成部分的訴求[3]。故由作為“守門人”的數(shù)據(jù)平臺肩負著外部合規(guī)協(xié)調(diào)者、內(nèi)部合規(guī)落實者的責(zé)任，構(gòu)成數(shù)據(jù)平臺的一種實然所需。另一方面，合規(guī)的效能尤為獨特、突出，是法務(wù)、審計等風(fēng)險防控路徑所不具備的或較難替代的。特別是在可能引發(fā)行政處罰或刑事責(zé)任的場景中（如腐敗、不正當競爭、網(wǎng)絡(luò)安全、信息保護、利益沖突等），是否履行了合規(guī)義務(wù)是判斷、斟酌行政或刑事責(zé)任高低的一項重要因素[4]。質(zhì)言之，達到了合規(guī)要求，則成為某組織的自我聲明，且該聲明具有可追溯性。在此基礎(chǔ)上，便可順利開展認證并發(fā)放給相關(guān)組織認證證書，可方便政府機構(gòu)精確匹配和實施科學(xué)合理的監(jiān)管手段和措施，組織在承擔(dān)不利法律后果時可獲得司法機構(gòu)不捕不訴不判等寬恕處罰[5]。

三、履行數(shù)據(jù)平臺個人信息保護合規(guī)義務(wù)的法律困境

盡管《個人信息保護法》第58條規(guī)定了個人信息處理者應(yīng)當履行建立健全相關(guān)合規(guī)制度體系的義務(wù)，但數(shù)據(jù)平臺個人信息保護合規(guī)仍面臨著多維度的挑戰(zhàn)。其中，來自法律維度的挑戰(zhàn)更顯突出，主要表現(xiàn)在法律監(jiān)管可能失靈、歸責(zé)原則極易偏離以及責(zé)任承擔(dān)過度延伸三個方面。

1.法律監(jiān)管可能失靈

數(shù)據(jù)平臺具有技術(shù)專業(yè)性、經(jīng)濟多邊性以及數(shù)字經(jīng)濟客觀強訴求性、累積性等特點。數(shù)據(jù)平臺不受束縛的內(nèi)在訴求與日俱增，將會導(dǎo)致數(shù)據(jù)非法交易等負面情況的發(fā)生，如跨行業(yè)、大規(guī)模的破除信息孤島計劃的實施，或許將會與個人信息保護的目標背道而馳。為了應(yīng)對此等境況，我國加大了法律法規(guī)和國家標準中的合規(guī)植入，如2015年《中華人民共和國刑法修正案（九）》、2017年《中華人民共和國反不正當競爭法（修訂草案）》等，借法律的規(guī)范性、強制性等功能促成社會主體行為的合規(guī)實踐，同時也積極敦促這些主體承擔(dān)更勝以往的被監(jiān)管義務(wù)。但這種狀態(tài)不太可能維持較久，因為“去中心的‘離散‘非均衡式創(chuàng)新”使得法律監(jiān)管“難以對其有效涵蓋”[6]，加之合規(guī)側(cè)重內(nèi)在的自律、自我的調(diào)整，如果在進行反思性立法時仍強調(diào)法律的懲罰震懾等外在的功能，則只會在法律的統(tǒng)治機器高速運轉(zhuǎn)和社會成本急劇加大下反襯出市場行為的更多的不合規(guī)，并一次次地重復(fù)著“薩班斯法案式”[1]的失靈的軌跡[2]，最終使這些法律擬保護的免受侵擾者易位為法律予以規(guī)制的“侵擾實施者”。

另外，監(jiān)管是否能夠拉平與數(shù)據(jù)平臺所掌握的信息技術(shù)等能力也是一個問題，這使得監(jiān)管全面追蹤數(shù)據(jù)平臺變得較為困難；且行政監(jiān)管在客觀上較難超越數(shù)據(jù)平臺自身的激勵，遑論行政監(jiān)管有能力對數(shù)據(jù)平臺進行任何內(nèi)在激勵了。

2.歸責(zé)原則極易偏離

在現(xiàn)行法律規(guī)定下，個人信息保護歸責(zé)原則是過錯推定責(zé)任。但是，對個人信息保護的持續(xù)強化可能會逐漸內(nèi)化為數(shù)據(jù)平臺的合規(guī)要求，在一定程度上導(dǎo)致數(shù)據(jù)平臺注意義務(wù)的泛化模糊，易致歸責(zé)原則偏離，從而導(dǎo)致“過錯推定責(zé)任”異化為“有損害損失必有責(zé)任”的嚴格責(zé)任。目前，數(shù)據(jù)平臺較之行政監(jiān)管在信息技術(shù)專業(yè)方面具有更大的優(yōu)勢，而行政監(jiān)管為了彌補這一劣勢，可能會基于數(shù)據(jù)平臺的違法行為來倒推數(shù)據(jù)平臺的主觀過錯，以“確?！敝骺陀^相統(tǒng)一原則在網(wǎng)絡(luò)領(lǐng)域中得到“真正貫徹”。

此種不斷累加的客觀倒推主觀，并不符合“過錯推定責(zé)任”的基本精神，削弱了數(shù)據(jù)平臺證明自身“無過錯”的可能性，極大地拓展了數(shù)據(jù)平臺的注意義務(wù)的范圍。如《互聯(lián)網(wǎng)用戶公眾賬號信息服務(wù)管理規(guī)則》《互聯(lián)網(wǎng)跟帖評論服務(wù)管理規(guī)定》等規(guī)定的監(jiān)測管理、內(nèi)容審核、應(yīng)急處置、記錄保存等義務(wù)，實則從“過錯推定責(zé)任”轉(zhuǎn)向了一種嚴格責(zé)任或無過錯責(zé)任。這既違背了過錯推定責(zé)任和主客觀相統(tǒng)一的初衷，也違背了數(shù)據(jù)平臺責(zé)任追究的正當性要求，還促使行政監(jiān)管過度依賴事后監(jiān)管，并催生一種懶政，背離了加強事前事中監(jiān)管的新行政管理理念，同時進一步增加了數(shù)據(jù)平臺的審查義務(wù)[3]、過度預(yù)防以及責(zé)任承擔(dān)的不可預(yù)測性。

3.責(zé)任承擔(dān)過度延伸

數(shù)據(jù)平臺個人信息保護責(zé)任目前呈現(xiàn)一種比較明顯的延伸趨勢。

首先，合規(guī)承諾被賦予法律層面上的責(zé)任。合規(guī)承諾一旦做出，這種自愿選擇遵守的要求，在法律維度上與合規(guī)要求并無二致，共同構(gòu)成“合規(guī)義務(wù)”，接受法律的約束和檢驗。若在實踐中背離或違反合規(guī)承諾，則應(yīng)承擔(dān)相應(yīng)的法律責(zé)任。如果合規(guī)承諾過度，則追加承擔(dān)的法律責(zé)任也就隨之過度。而過度承擔(dān)責(zé)任的壓力必然會反饋至數(shù)據(jù)平臺，使其因載重過多而步履蹣跚。

其次，政府監(jiān)管逃逸后的留白需要由數(shù)據(jù)平臺通過承擔(dān)責(zé)任來彌補。相較于具有顯著的信息與技術(shù)優(yōu)勢的數(shù)據(jù)平臺，遠離技術(shù)中心的政府監(jiān)管機構(gòu)確實難以得心應(yīng)手地管控規(guī)模不斷增大、類型不斷細分的個人信息處理行為。這將使得政府監(jiān)管逃逸成為一種選擇或妥協(xié)。政府監(jiān)管逃逸后必然留下空白，亟須另外的主體承擔(dān)替代監(jiān)管或類似監(jiān)管功能。合規(guī)承諾屬于自律性表達，且具有功用上的獨特賦能，違反合規(guī)承諾也將同時承擔(dān)法律責(zé)任，這正好填補了政府監(jiān)管逃逸后的空白或缺憾。所以，“以網(wǎng)管網(wǎng)”不失為一種雙贏策略。

2021年10月市場監(jiān)管總局發(fā)布的《互聯(lián)網(wǎng)平臺落實主體責(zé)任指南（征求意見稿）》中關(guān)于“不斷完善平臺內(nèi)部合規(guī)制度和合規(guī)機制，積極響應(yīng)監(jiān)管部門的監(jiān)管要求”的內(nèi)容，印證了網(wǎng)絡(luò)空間的監(jiān)管權(quán)正向網(wǎng)絡(luò)平臺轉(zhuǎn)移的事實，但這實際上延伸了數(shù)據(jù)平臺的法律責(zé)任。合規(guī)承諾及責(zé)任負擔(dān)并不是錨定的，因為數(shù)據(jù)平臺負擔(dān)的合規(guī)承諾及責(zé)任，其理論基礎(chǔ)在于其擁有信息和技術(shù)的優(yōu)勢，如果沒有或超出此優(yōu)勢，則不應(yīng)由數(shù)據(jù)平臺負擔(dān)合規(guī)承諾及責(zé)任[1]。

四、數(shù)據(jù)平臺個人信息保護合規(guī)義務(wù)法律依據(jù)的完善

在強調(diào)個人信息保護的大背景下，借助法律規(guī)范推進數(shù)據(jù)平臺市場行為合規(guī)是一種必然選擇。立法者須理性保持法律監(jiān)管與介入的適度性，采取“更符合商業(yè)合規(guī)選擇偏好的‘軟干預(yù)‘弱干預(yù)的范式”[2]，完善數(shù)據(jù)平臺個人信息保護合規(guī)義務(wù)法律依據(jù)，適度控制法律管控的邊界或力度。

1.完善過錯推定責(zé)任的判斷機制

歸責(zé)原則決定了相關(guān)法律責(zé)任的構(gòu)成要件，故確定歸責(zé)原則是數(shù)據(jù)平臺履行個人信息保護合規(guī)義務(wù)要面對的問題。但是，在司法實踐中，判斷數(shù)據(jù)平臺是否有過錯通常需要參照法律依據(jù)，即判斷具體技術(shù)理性、合規(guī)設(shè)計與法律所試圖保護的價值是否吻合。

首先，數(shù)據(jù)平臺歸責(zé)原則采取過錯推定責(zé)任，但此種責(zé)任的判定往往需要綜合多種因素才能實現(xiàn)，包括考量法律依據(jù)與法律判準之間的關(guān)系。具體而言，這種綜合關(guān)系體現(xiàn)為作為法律依據(jù)的“技術(shù)”與作為法內(nèi)依據(jù)的“責(zé)任”的有機結(jié)合。面對追責(zé)，數(shù)據(jù)平臺通常以“技術(shù)中立”予以抗辯，即“自身無過錯的抗辯”。但不可回避的是，無論是何種程度的代碼化，代碼本身仍是“遵從了設(shè)計者的技術(shù)理性”，只是技術(shù)理性偏離了法律的“制度理性”[3]，這才導(dǎo)致智能規(guī)則出現(xiàn)漏洞、偏離法治目標等問題[4]。換言之，“代碼即是法律”的底層邏輯仍是設(shè)計者的主觀存在，故數(shù)據(jù)平臺仍須在不能證明自身無過錯的前提下承擔(dān)責(zé)任，這也符合制度理性和“科技向善”的要求。在“麒麟童公司訴斗魚公司著作權(quán)侵權(quán)案”中，法院針對斗魚公司提出的僅提供中立的技術(shù)服務(wù)而不構(gòu)成侵權(quán)的抗辯理由，指出涉案技術(shù)行為本身就存在較大的侵權(quán)可能性，應(yīng)在技術(shù)植入之時即采取相匹配的預(yù)防策略[5]。

其次，具體過錯考量取決于數(shù)據(jù)平臺在技術(shù)設(shè)計時的主觀方面。換言之，數(shù)據(jù)平臺可以“從一開始就將個人信息保護的需求通過設(shè)計嵌入系統(tǒng)之中，成為系統(tǒng)核心功能的一部分，成為商業(yè)實踐的默認規(guī)則，給予個人信息全生命周期的保護”[6]。如果平臺無法證明自身對相關(guān)主觀要素進行了考量，忽略了個人信息保護層面的功能，則應(yīng)當推定其有過錯。在2021年“平臺違法處理公民個人信息案”中，拼多多本應(yīng)在設(shè)計經(jīng)由算法向內(nèi)置支付軟件付費通傳輸用戶信息時，滿足用戶單獨同意的合規(guī)要求，但該公司在設(shè)計具體技術(shù)時忽略了這一合規(guī)要求，主觀過錯明確，故承擔(dān)侵權(quán)責(zé)任[7]。

最后，適配的過錯責(zé)任須輔以均衡的責(zé)任分配方案而獲得實現(xiàn)。很顯然，如果數(shù)據(jù)平臺歸責(zé)原則不是要么過錯責(zé)任、要么嚴格責(zé)任那樣走極端，而是一種均衡的過錯推定責(zé)任，那么“如何確證自身沒有過錯”無疑將構(gòu)成責(zé)任分配均衡的關(guān)鍵。有關(guān)司法實踐已經(jīng)提供了較好的示范。在相關(guān)案件中，法院采用綜合考量相關(guān)要素、形成與責(zé)任能力對等的歸責(zé)體系，對“何謂過錯”這一問題進行了全面、均衡式的把握，值得借鑒。在一些案件中，法官采取的判決思路是，只要原告提出的證據(jù)能夠證明被告存在侵犯個人信息權(quán)利（例如隱私權(quán)）的高度可能性，而被告又不能舉證推翻此種證明，則可認定被告實施了相關(guān)侵權(quán)行為。此種“高度可能性”舉證規(guī)則弱化了被告的舉證責(zé)任，亦加強了原告的舉證責(zé)任，是對“過錯推定責(zé)任”的一種均衡修正。

2.明確風(fēng)險管理的義務(wù)構(gòu)成

應(yīng)通過引入法律技術(shù)標準，明確數(shù)據(jù)平臺法內(nèi)風(fēng)險管理義務(wù)構(gòu)成。數(shù)據(jù)平臺個人信息保護所面臨的合規(guī)風(fēng)險，可能使數(shù)據(jù)平臺面對行政監(jiān)管責(zé)任或刑事責(zé)任追究的風(fēng)險。信息網(wǎng)絡(luò)、大數(shù)據(jù)、人工智能等技術(shù)加持放大了風(fēng)險社會的風(fēng)險級別或者催生了新型風(fēng)險。由計算機系統(tǒng)處理的信息可更便捷和精準地單獨或與其他信息相結(jié)合識別到特定的個人信息[1]，如此一來，風(fēng)險不再是信息的泄露，而是通過算法等底層技術(shù)獲得極強的預(yù)知性，并以此預(yù)知來限制、禁止或選擇性漠視個人的某些權(quán)利，或者慫恿、引誘、誤導(dǎo)個人實施某些非法行為[2]。故此，數(shù)據(jù)平臺個人信息保護合規(guī)風(fēng)險，是能被強烈感知的一種較大損失的可能性，以及經(jīng)由算法技術(shù)可預(yù)知、可主導(dǎo)實現(xiàn)的侵權(quán)。數(shù)據(jù)平臺個人信息保護法律責(zé)任的衡量基準是對合規(guī)風(fēng)險的管控及其程度控制，畢竟風(fēng)險制造者和風(fēng)險管理者更了解風(fēng)險，也更善于管控風(fēng)險。

例如，為了突出風(fēng)險管理義務(wù)，德國法院將“避風(fēng)港”原則由“通知—刪除”調(diào)整為“通知—刪除—掃描”，以達到預(yù)警、控制風(fēng)險和保障個人信息安全的目的[3]。又如，在“付全貴與北京三快信息科技有限公司等網(wǎng)絡(luò)侵權(quán)責(zé)任糾紛案”中，法院指出，作為交易模式和算法技術(shù)的設(shè)計者，三快科技公司應(yīng)清楚知曉其采集信息的流向、范圍及可能有泄露風(fēng)險的環(huán)節(jié)，并通過完善相應(yīng)的個人信息保護技術(shù)措施、數(shù)據(jù)信息經(jīng)營模式等方式來分散風(fēng)險，但其顯然沒有盡到相應(yīng)的風(fēng)險管理義務(wù)，故承擔(dān)賠償責(zé)任[4]。

因此，引入法律依據(jù)的目的是客觀審視數(shù)據(jù)平臺歸責(zé)原則下的獨有的責(zé)任來源，從而達到科學(xué)切割邊界和體現(xiàn)比例的目的。就技術(shù)標準淵源而言，數(shù)據(jù)平臺個人信息保護合規(guī)風(fēng)險管理法律效果的考量內(nèi)容是盡可能拉齊個人信息保護的標準，以削減實現(xiàn)數(shù)據(jù)快速流動訴求時可能會遭遇的摩擦。目前，拉齊標準可依賴的方法或路徑是2009年11月ISO公布的首個風(fēng)險管理國際標準，即ISO 31000：2009《風(fēng)險管理——原則與指南》。該標準旨在制定管理流程，將其集成到現(xiàn)有的戰(zhàn)略和管理計劃中。ISO 31000：2009第2.2條將風(fēng)險管理界定為“針對風(fēng)險指揮和控制組織的協(xié)調(diào)活動”。修訂后的版本ISO 31000：2018針對包括網(wǎng)絡(luò)風(fēng)險在內(nèi)的日益頻繁的風(fēng)險，對管理流程進一步改進和優(yōu)化，強調(diào)了風(fēng)險迭代性質(zhì)、領(lǐng)導(dǎo)者角色與責(zé)任以及利益攸關(guān)方參與等原則。特別是《個人信息保護法》中關(guān)于“守門人”的義務(wù)規(guī)定，使數(shù)據(jù)平臺超越了市場經(jīng)營者的單純意義，被賦予了“一種重塑社會結(jié)構(gòu)的新型規(guī)制者”的價值[5]。這種兼具“自律式”守門人和“監(jiān)管式”守門人職責(zé)的數(shù)據(jù)平臺[6]，更需要制定按圖索驥式的風(fēng)險管理流程，以合理削減平臺可能承擔(dān)的合規(guī)風(fēng)險法律責(zé)任。ISO 31000：2018無疑為數(shù)據(jù)平臺改進和完善個人信息保護合規(guī)的相關(guān)管理流程，提供了一個較為便利的公認范式。

3.推進通用標準的法律轉(zhuǎn)化

應(yīng)當推進適宜的法律依據(jù)、通用標準的法律轉(zhuǎn)化。數(shù)據(jù)利他主義是數(shù)字時代下“科技向善”的鮮明體現(xiàn)，而數(shù)據(jù)和信息實現(xiàn)充分共享是數(shù)字經(jīng)濟的關(guān)鍵。但信息的收集、傳播、分享等既面臨著各種識別的困擾，也面臨著有效保障個人信息權(quán)利正常被行使的困擾，如精準及時響應(yīng)數(shù)據(jù)主體訪問、查詢、同意、更正、刪除、數(shù)據(jù)遷移等，就要求任一數(shù)據(jù)平臺都要努力精準完成分類化查詢、識別、界定、響應(yīng)等工作。信息處理技術(shù)與支撐技術(shù)構(gòu)成了數(shù)據(jù)平臺個人信息保護雙重合規(guī)的審視模塊。

但上述努力都無法回避一個事實，即數(shù)據(jù)流通時對技術(shù)切口對接的處理。出于隱私安全和競爭等因素的限制，每個數(shù)據(jù)平臺都使用不同的技術(shù)和開發(fā)、加密協(xié)議，且大多互不兼容。在技術(shù)切口不相容時，首先，各數(shù)據(jù)平臺面臨著技術(shù)轉(zhuǎn)換的沖突問題，如命名沖突、格式?jīng)_突、結(jié)構(gòu)沖突、類型沖突等，而任何技術(shù)轉(zhuǎn)換均同時存在著信息外溢風(fēng)險防控的合規(guī)問題。2018年，為達到歐盟《通用數(shù)據(jù)保護條例》（GDPR）第20條關(guān)于大型數(shù)據(jù)平臺允許用戶輕松地將數(shù)據(jù)轉(zhuǎn)移到其他平臺的相關(guān)要求，谷歌、Facebook（現(xiàn)Meta Platform）、微軟和Twitter聯(lián)合發(fā)布“數(shù)據(jù)轉(zhuǎn)移項目”，以確立新的數(shù)據(jù)轉(zhuǎn)移標準，提高平臺之間數(shù)據(jù)遷移的方便性。該項目首先面臨的是可移植性和互操作性的技術(shù)問題，即需要通過“數(shù)據(jù)適配器”和“身份適配器”等工具為不同平臺的數(shù)據(jù)轉(zhuǎn)換、讀取、認證提供一個通用的標準格式，通過任務(wù)管理庫對數(shù)據(jù)傳輸進行管理，并使用同一加密協(xié)議保證數(shù)據(jù)傳輸?shù)陌踩玔1]。其次是合規(guī)問題，2020年7月，歐洲法院因不信任美國數(shù)據(jù)保護體系而裁定歐盟和美國2016年達成的跨大西洋數(shù)據(jù)傳輸框架——《隱私之盾協(xié)議》（Privacy Shield）無效。此后，歐洲監(jiān)管機構(gòu)致力于歐洲數(shù)據(jù)跨越大西洋傳輸法規(guī)的重新制定，以進一步提高個人信息保護的力度。2013年至今，F(xiàn)acebook多次收到愛爾蘭數(shù)據(jù)保護委員會的命令，委員會以個人信息未得到美國法律及慣例所聲稱的相應(yīng)合規(guī)保護而致外泄等為由，要求Facebook停止將用戶數(shù)據(jù)從歐盟轉(zhuǎn)移到美國，并要求其標準合同條款也不能用于歐美的數(shù)據(jù)傳輸[2]。

如果說封閉數(shù)據(jù)平臺內(nèi)的信息保護合規(guī)花費是巨大的，那么，技術(shù)不相容時合規(guī)的花費無疑更大，技術(shù)協(xié)調(diào)的難度也更大，不可確定的風(fēng)險更易出現(xiàn)。在數(shù)字時代的強信息監(jiān)管訴求下，實現(xiàn)個人信息保護合規(guī)要求，可以通過建立通用型技術(shù)標準來減少數(shù)據(jù)平臺自身以及多方數(shù)據(jù)平臺查詢、識別、界定、響應(yīng)以及接口相容等費用。同時，為實現(xiàn)遵循適配過錯責(zé)任、體現(xiàn)主客觀相統(tǒng)一原則以及避免過度延伸數(shù)據(jù)平臺的法律責(zé)任的法治目的，需要依賴通用型技術(shù)標準來衡量數(shù)據(jù)平臺的主觀過錯及其程度，這是專業(yè)技術(shù)性較強的領(lǐng)域判定社會主體法律責(zé)任承擔(dān)與否的不可或缺的衡量方式。在通用型技術(shù)標準成熟后，可在追求技術(shù)相容、節(jié)約成本、減免法律責(zé)任等目標的導(dǎo)向下，充分利用技術(shù)標準來提高個人信息保護合規(guī)的可能性。

2022年4月下發(fā)的《中共中央國務(wù)院關(guān)于加快建設(shè)全國統(tǒng)一大市場的意見》，明確提出了要加快培育統(tǒng)一的技術(shù)和數(shù)據(jù)市場，建立健全數(shù)據(jù)安全、權(quán)利保護、安全認證等基礎(chǔ)制度和標準規(guī)范，推動數(shù)據(jù)資源開發(fā)和利用。因技術(shù)不對等，個人在數(shù)字經(jīng)濟時代享受數(shù)字便利的同時，無力制衡數(shù)據(jù)平臺對數(shù)據(jù)信息的違規(guī)運用。正因如此合規(guī)才具有重要意義——它承接著外部制度與內(nèi)部價值追求。而實現(xiàn)此種價值追求，不能僅僅依靠法律內(nèi)部動因，也不能僅僅依靠行政監(jiān)管。引入法律依據(jù)，可以完善法律責(zé)任判斷機制、明確風(fēng)險義務(wù)構(gòu)成以及促進行業(yè)標準的法律轉(zhuǎn)化。在法治“理性不及”的情況下，通過引入法律依據(jù)實現(xiàn)數(shù)據(jù)平臺的合規(guī)化，是平衡科技發(fā)展與個人信息保護的重要路徑，能夠賦能數(shù)字經(jīng)濟、創(chuàng)新通用型技術(shù)規(guī)范，推動中國特色數(shù)字經(jīng)濟的實踐。

〔責(zé)任編輯：吳玲〕

[1]敬力嘉：《個人信息保護合規(guī)的體系構(gòu)建》，《法學(xué)研究》2022年第4期。

[1]高重迎、李曄：《數(shù)據(jù)平臺價格歧視行為的反壟斷規(guī)制問題分析》，《中國價格監(jiān)管與反壟斷》2020年第7期。

[2]張志昌、陳志：《從平臺經(jīng)濟特性入手促進產(chǎn)業(yè)規(guī)范健康持續(xù)發(fā)展》，《科技日報》2022年8月3日。

[3]余筱蘭、劉道云：《大數(shù)據(jù)平臺商業(yè)使用個人數(shù)據(jù)的法律邊界》，《法治論壇》2021年第1期。

[4]莊子銀：《數(shù)據(jù)的經(jīng)濟價值及其合理參與分配的建議》，《國家治理》2020年第16期。

[1]蔡川子：《數(shù)據(jù)抓取行為的競爭法規(guī)制》，《比較法研究》2021年第4期。

[2]莉娜·坎、大衛(wèi)·博森、林少偉、林斯韋：《信息信義義務(wù)理論之批判》，《交大法學(xué)》2021年第1期。

[3]張新寶：《互聯(lián)網(wǎng)生態(tài)“守門人”個人信息保護特別義務(wù)設(shè)置研究》，《比較法研究》2021年第3期。

[4]趙超、周泉泉、孫鵬程：《電子商務(wù)平臺民事責(zé)任的司法實踐和探索》，《上海法學(xué)研究》集刊2022年第4卷。

[5]趙精武：《從保密到安全：數(shù)據(jù)銷毀義務(wù)的理論邏輯與制度建構(gòu)》，《交大法學(xué)》2022年第2期。

[6]參見北京市朝陽區(qū)人民法院〔2018〕京0105民初36658號民事判決書。

[1]王文華、魏祎遠：《互聯(lián)網(wǎng)平臺企業(yè)反腐敗、反洗錢合規(guī)機制構(gòu)建初探——以G20為視角》，《中國應(yīng)用法學(xué)》2022年第1期。

[2]馬克斯·韋伯：《經(jīng)濟行動與社會團體》，康樂、簡惠美譯，廣西師范大學(xué)出版社2004年版，第226頁。

[3]鐘曉雯：《算法推薦網(wǎng)絡(luò)服務(wù)提供者的權(quán)力異化及法律規(guī)制》，《中國海商法研究》2022年第4期。

[4]陳瑞華：《論企業(yè)合規(guī)的性質(zhì)》，《浙江工商大學(xué)學(xué)報》2021年第1期。

[5]葉良芳：《美國法人審前轉(zhuǎn)處協(xié)議制度的發(fā)展》，《中國刑事法雜志》2014年第3期。

[6]唐林垚：《數(shù)據(jù)合規(guī)科技的風(fēng)險規(guī)制及法理構(gòu)建》，《東方法學(xué)》2022年第1期。

[1]《薩班斯法案》全稱為《2002年公眾公司會計改革和投資者保護法案》，該法案對在美國上市的公司提出了公司治理、會計職業(yè)監(jiān)管、證券市場監(jiān)管等方面的合規(guī)性要求。

[2]羅培新：《科學(xué)化與非政治化：美國公司治理規(guī)則研究述評——以對〈薩班尼斯-奧克斯萊法案〉的反思為視角》，《中國社會科學(xué)》2008年第6期。

[3]趙鵬：《私人審查的界限——論網(wǎng)絡(luò)交易平臺對用戶內(nèi)容的行政責(zé)任》，《清華法學(xué)》2016年第6期。

[1]宋亞輝：《厘清網(wǎng)絡(luò)平臺協(xié)同監(jiān)管義務(wù)》，《中國社會科學(xué)報》2022年3月23日。

[2]楊力：《尋找商業(yè)目標與公司合規(guī)之間的最大公約數(shù)》，《政法論叢》2020年第2期。

[3]袁康：《金融科技的技術(shù)風(fēng)險及其法律治理》，《法學(xué)評論》2021年第1期。

[4]季金華：《智慧時代司法發(fā)展的技術(shù)動力、價值基礎(chǔ)和價值機理》，《中國海商法研究》2022年第3期。

[5]參見北京互聯(lián)網(wǎng)法院〔2019〕京0491民初28731號民事判決書。

[6]邢會強：《大數(shù)據(jù)時代個人金融信息的保護與利用》，《東方法學(xué)》2021年第1期。

[7]參見杭州互聯(lián)網(wǎng)法院〔2021〕浙0192民初2929號民事判決書和杭州市中級人民法院〔2021〕浙01民終12780號民事判決書。

[1]隨著數(shù)據(jù)相關(guān)性研究和數(shù)據(jù)挖掘技術(shù)的發(fā)展，一個單一的、不重要的信息可能也會識別到個人。參見Renee M. P.， "Redefining Privacy in the Face of New Technologies： Data Mining and the Threat to the Inviolate Personality"， Canadian Crim. L. Rev， 2005（9）， pp.273-287。

[2]魯傳穎、張璐瑤：《人工智能的安全風(fēng)險及治理模式探索》，《國家安全研究》2022年第4期。

[3]馮輝、張潔、華晗：《互聯(lián)網(wǎng)平臺在保障網(wǎng)絡(luò)信息安全中的警示義務(wù)——互聯(lián)網(wǎng)信息安全與法制建設(shè)研究》，《中國信息安全》2015年第10期。

[4]參見北京互聯(lián)網(wǎng)法院〔2018〕京0491民初1905號民事判決書。

[5]單勇：《數(shù)字看門人與超大平臺的犯罪治理》，《法律科學(xué)》2022年第2期。

[6]侯利陽：《論互聯(lián)網(wǎng)平臺的法律主體地位》，《中外法學(xué)》2022年第2期。

[1]戴龍：《論數(shù)字貿(mào)易背景下的個人隱私權(quán)保護》，《當代法學(xué)》2020年第1期。

[2]宮云牧：《數(shù)字時代主權(quán)概念的回歸與歐盟數(shù)字治理》，《歐洲研究》2022年第3期。