摘 要： 對(duì)數(shù)據(jù)合規(guī)理念的正確認(rèn)識(shí)應(yīng)當(dāng)從規(guī)制史（福利國(guó)—規(guī)制國(guó)—后規(guī)制國(guó)）的角度切入：后規(guī)制國(guó)是對(duì)規(guī)制國(guó)的修正發(fā)展而非全盤否定，因此，“企業(yè)—政府”二元共治論才是全面詮釋數(shù)據(jù)合規(guī)基本性質(zhì)的理論路徑。從企業(yè)與政府的雙重視角，引入規(guī)制理論展開(kāi)分析企業(yè)與政府在規(guī)制資源的分配與規(guī)制空間的重構(gòu)問(wèn)題，以“元規(guī)制”的理論視角統(tǒng)合數(shù)據(jù)合規(guī)框架下的自我規(guī)制與政府規(guī)制，可以從三個(gè)角度展開(kāi)數(shù)據(jù)合規(guī)的制度構(gòu)造：在“受指引的自我規(guī)制”中，引入隱私設(shè)計(jì)理論，通過(guò)頒布技術(shù)標(biāo)準(zhǔn)引導(dǎo)企業(yè)在設(shè)計(jì)數(shù)據(jù)處理技術(shù)時(shí)貫徹隱私保護(hù)的價(jià)值理念；在“受監(jiān)督的自我規(guī)制”中，建立風(fēng)險(xiǎn)評(píng)估機(jī)制，要求企業(yè)對(duì)其數(shù)據(jù)合規(guī)制度體系下數(shù)據(jù)處理的各個(gè)階段進(jìn)行風(fēng)險(xiǎn)評(píng)估；在“受限制的自我規(guī)制”中，通過(guò)多元問(wèn)責(zé)方式，合理平衡企業(yè)與專家之間的責(zé)任分擔(dān)，以一種更為彈性的問(wèn)責(zé)方式在不同階段合理確定企業(yè)應(yīng)當(dāng)承擔(dān)的責(zé)任形式。

關(guān)鍵詞： 數(shù)據(jù)合規(guī)；二元共治；自我規(guī)制；政府規(guī)制；元規(guī)制

一、問(wèn)題的提出

數(shù)據(jù)合規(guī)是企業(yè)為預(yù)防在數(shù)據(jù)處理過(guò)程中所產(chǎn)生的各種法律風(fēng)險(xiǎn)而在內(nèi)部開(kāi)展的系列合規(guī)措施。近年來(lái)，由于受到國(guó)際浪潮的沖擊，中國(guó)陸續(xù)頒布了若干法律，逐漸形成了數(shù)據(jù)合規(guī)的基本法律體系：2017年正式施行的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》（以下簡(jiǎn)稱《網(wǎng)絡(luò)安全法》）第21條確立了針對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者的網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，其中的“制定內(nèi)部安全管理制度和操作規(guī)程”被學(xué)者認(rèn)為是“數(shù)據(jù)合規(guī)義務(wù)的法定化”^［1］。2021年頒布施行的《中華人民共和國(guó)數(shù)據(jù)安全法》（以下簡(jiǎn)稱《數(shù)據(jù)安全法》）第27條第1款規(guī)定了數(shù)據(jù)處理者的“建立健全全流程數(shù)據(jù)安全管理制度”義務(wù)，首次在立法上明確數(shù)據(jù)合規(guī)是企業(yè)在“數(shù)據(jù)全生命周期”的各個(gè)階段都需要開(kāi)展的工作。同年頒布施行的《中華人民共和國(guó)個(gè)人信息保護(hù)法》（以下簡(jiǎn)稱《個(gè)人信息保護(hù)法》）首次在法律文本中針對(duì)數(shù)據(jù)信息保護(hù)使用了“合規(guī)”的表述，如第54條、第58條第1項(xiàng)。由此，作為“三駕馬車”的《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》為企業(yè)開(kāi)展數(shù)據(jù)合規(guī)工作提供了基本的規(guī)范依據(jù)。

在學(xué)界，學(xué)者圍繞數(shù)據(jù)合規(guī)的域外考察、理論基礎(chǔ)、法律依據(jù)、實(shí)踐探索、體系建構(gòu)、合規(guī)流程、合規(guī)內(nèi)容、主要困境^［2～9］等問(wèn)題展開(kāi)研究，普遍持一種樂(lè)觀態(tài)度且希望國(guó)內(nèi)能盡快完善數(shù)據(jù)合規(guī)制度體系，從而推動(dòng)本土的跨國(guó)企業(yè)適應(yīng)國(guó)際的合規(guī)標(biāo)準(zhǔn)。然而，學(xué)界對(duì)數(shù)據(jù)合規(guī)本身缺乏必要的反思，即現(xiàn)有學(xué)界過(guò)于關(guān)注數(shù)據(jù)合規(guī)的適用問(wèn)題（方法論）而忽略了對(duì)數(shù)據(jù)合規(guī)本身性質(zhì)的認(rèn)識(shí)問(wèn)題（認(rèn)識(shí)論）。既有研究多將數(shù)據(jù)合規(guī)理解為“企業(yè)遵守與數(shù)據(jù)相關(guān)的法律法規(guī)”^［10］，對(duì)于數(shù)據(jù)合規(guī)的基本性質(zhì)，則多持有數(shù)據(jù)合規(guī)是公司治理方式或法律激勵(lì)措施兩種觀點(diǎn)：

其一，將數(shù)據(jù)合規(guī)視為一種公司治理方式，這是基于企業(yè)角度的理解路徑。數(shù)據(jù)合規(guī)是企業(yè)合規(guī)的一種，而企業(yè)合規(guī)則是公司治理的三個(gè)結(jié)構(gòu)之一^［11］。自20世紀(jì)80年代以來(lái)，企業(yè)合規(guī)在公司治理結(jié)構(gòu)中的占比逐漸增大，已經(jīng)成為現(xiàn)代公司治理的重要組成部分^［11］。數(shù)據(jù)合規(guī)作為一種公司治理方式，其目的主要在于防控與數(shù)據(jù)處理相關(guān)的法律風(fēng)險(xiǎn)，尤其是在Web3.0時(shí)代，大數(shù)據(jù)與算法的雙重加持讓數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)更加隱蔽與嚴(yán)重，這也對(duì)企業(yè)開(kāi)展對(duì)數(shù)據(jù)風(fēng)險(xiǎn)的識(shí)別、評(píng)估、監(jiān)測(cè)和應(yīng)對(duì)等合規(guī)工作提出了更高要求。

其二，將數(shù)據(jù)合規(guī)視為一種法律激勵(lì)措施，這是基于政府角度的理解路徑。在這種理解下，包含數(shù)據(jù)合規(guī)的企業(yè)合規(guī)往往被視為一種法律激勵(lì)措施，因?yàn)槠髽I(yè)是利益導(dǎo)向的，僅僅依靠自發(fā)的努力難以建立起一套行之有效的合規(guī)管理體系^［12］。在企業(yè)合規(guī)的發(fā)展史上，雖然也有學(xué)者主張企業(yè)合規(guī)存在內(nèi)發(fā)的道德性基礎(chǔ)^［13］，但各國(guó)都通過(guò)頒布法律法規(guī)與設(shè)立銜接制度對(duì)企業(yè)提出激勵(lì)性質(zhì)的合規(guī)要求^［14］，中國(guó)也逐漸探索出了本土化的“檢察導(dǎo)向”合規(guī)激勵(lì)機(jī)制^［15］。

以上兩種對(duì)數(shù)據(jù)合規(guī)的理解路徑都試圖超越“企業(yè)遵守與數(shù)據(jù)相關(guān)的法律法規(guī)”的形式化表述，從而嘗試從功能主義的視角對(duì)數(shù)據(jù)合規(guī)的基本性質(zhì)形成更為深入的理解。兩種理解路徑都具備一定合理性，但二者都局限于某一主體的視角：從企業(yè)出發(fā)探討作為公司治理方式的數(shù)據(jù)合規(guī)，忽視了政府對(duì)企業(yè)這種內(nèi)部治理方式的介入與影響；從政府角度出發(fā)探討作為法律激勵(lì)措施的數(shù)據(jù)合規(guī)，則忽視了企業(yè)在法律激勵(lì)之下的主觀能動(dòng)性。針對(duì)兩種理解路徑的理論盲點(diǎn)，如何為數(shù)據(jù)合規(guī)提供一種更為全面自洽的理解？這既涉及數(shù)據(jù)合規(guī)乃至企業(yè)合規(guī)理論層面的反思，也直接影響在該種理論指導(dǎo)下的數(shù)據(jù)合規(guī)制度體系的建設(shè)。基于此，本文將跳脫出某個(gè)孤立視角的局限，結(jié)合企業(yè)與政府的雙重視角，引入規(guī)制理論，嘗試為數(shù)據(jù)合規(guī)的基本性質(zhì)提供一種更為全面的二元式理解。此外，本文將不局限于理論建構(gòu)，在“企業(yè)—政府”二元共治論的基礎(chǔ)上，進(jìn)一步展開(kāi)數(shù)據(jù)合規(guī)的制度建構(gòu)，以期為理論界與實(shí)務(wù)界提供更具價(jià)值的參考。在文章結(jié)構(gòu)方面，本文首先梳理數(shù)據(jù)合規(guī)的制度溯源，指出單一視角（從政府規(guī)制到自我規(guī)制）的歷史基礎(chǔ)；其次，引入規(guī)制理論，構(gòu)建政府與企業(yè)的二元互動(dòng)框架，實(shí)現(xiàn)對(duì)單一視角的突破；在此基礎(chǔ)上，提出元規(guī)制理論描述政府規(guī)制與自我規(guī)制之間的互動(dòng)關(guān)系，從而展開(kāi)數(shù)據(jù)合規(guī)的全新制度設(shè)計(jì)。

二、數(shù)據(jù)合規(guī)的理念演進(jìn)：一個(gè)規(guī)制史

本文試圖引入規(guī)制理論重塑數(shù)據(jù)合規(guī)的理論框架，故有必要從規(guī)制史的角度梳理數(shù)據(jù)合規(guī)的理念演進(jìn)過(guò)程?，F(xiàn)有學(xué)界對(duì)于數(shù)據(jù)合規(guī)的理念已經(jīng)形成基本共識(shí)，即數(shù)據(jù)合規(guī)是對(duì)傳統(tǒng)賦權(quán)型數(shù)據(jù)治理（以知情—同意機(jī)制為核心）的批判，從而導(dǎo)向一種平臺(tái)企業(yè)的自治模式^［16］。本文將從更加宏觀的規(guī)制史維度抽象出數(shù)據(jù)合規(guī)的自治理念：數(shù)據(jù)合規(guī)代表21世紀(jì)興起的“后規(guī)制國(guó)”模式，是對(duì)20世紀(jì)下半葉占主流地位的“規(guī)制國(guó)”模式的批判性發(fā)展，而“規(guī)制國(guó)”模式又是對(duì)二戰(zhàn)后形成的“福利國(guó)”模式的反思性改進(jìn)。

（一）從福利國(guó)到規(guī)制國(guó)

“規(guī)制國(guó)”是與“福利國(guó)”相對(duì)應(yīng)的概念。在福利國(guó)中，由國(guó)家利用公共政策與公共設(shè)施直接提供服務(wù)和福利。相比之下，“規(guī)制國(guó)”的治理模式涉及對(duì)公共治理的一系列復(fù)雜變革從而實(shí)現(xiàn)將控制的重點(diǎn)從傳統(tǒng)科層制轉(zhuǎn)向規(guī)制工具^［17］。

“福利國(guó)”模式在英美兩國(guó)有不同的興起背景。英國(guó)工黨于二戰(zhàn)后迅速崛起，大力推動(dòng)公共服務(wù)事業(yè)和主要工業(yè)的國(guó)有化，推動(dòng)英國(guó)逐漸走上福利國(guó)家的道路^［18］。一般認(rèn)為，美國(guó)的福利國(guó)家轉(zhuǎn)向始于經(jīng)濟(jì)大蕭條和羅斯福新政^［19］。大蕭條帶來(lái)的大面積失業(yè)為政府規(guī)制的興起提供了巨大的動(dòng)力，政府對(duì)市場(chǎng)所采取的各種類型的干預(yù)手段也被認(rèn)為是正當(dāng)?shù)?，這種政府規(guī)制模式的理論基礎(chǔ)在羅斯福的“第二權(quán)利法案”中得到了最高體現(xiàn)，即認(rèn)為政府應(yīng)運(yùn)用公權(quán)力保護(hù)公民的法定權(quán)利。于是，總統(tǒng)權(quán)力的空前擴(kuò)張與中央集權(quán)的科層體制（凌駕于各州州權(quán)的司法審查）變得不可避免，并且這種規(guī)制模式一直延續(xù)到了二戰(zhàn)后^［20］。

在這樣的背景下，20世紀(jì)70年代后，各國(guó)發(fā)起的去規(guī)制運(yùn)動(dòng)力圖進(jìn)行各項(xiàng)改革，其中包括著名的民營(yíng)化運(yùn)動(dòng)（privatization），即推動(dòng)國(guó)有企業(yè)股份化和市場(chǎng)化改革。在英國(guó)，撒切爾夫人于1979年上臺(tái)后，為了讓國(guó)家擺脫“英國(guó)病”的困擾，開(kāi)始拋棄凱恩斯主義政策，推動(dòng)國(guó)營(yíng)企業(yè)私有化，讓英國(guó)經(jīng)濟(jì)重新恢復(fù)了活力。然而，英國(guó)雖然推動(dòng)政府從重大經(jīng)濟(jì)活動(dòng)中退出，卻導(dǎo)致國(guó)家內(nèi)規(guī)制權(quán)力走向集中化，政府傾向于對(duì)市場(chǎng)進(jìn)行政策性的宏觀調(diào)控^［21］。20世紀(jì)六七十年代，美國(guó)爆發(fā)了大規(guī)模的民權(quán)運(yùn)動(dòng)，這場(chǎng)運(yùn)動(dòng)以羅斯福新政為基礎(chǔ)，卻轉(zhuǎn)變了新政的政策目標(biāo)。具體而言，國(guó)家政策不再局限于對(duì)弱勢(shì)群體的救濟(jì)，而是涌現(xiàn)于眾多新領(lǐng)域，政府規(guī)制的目的從大蕭條時(shí)期的穩(wěn)定經(jīng)濟(jì)轉(zhuǎn)變?yōu)榱吮Ｗo(hù)權(quán)利^［21］。

需要指出的是，去規(guī)制的目的并不是完全去除政府規(guī)制，而是對(duì)政府規(guī)制的方式進(jìn)行改良，去除“福利國(guó)”的科層規(guī)制體制，從而導(dǎo)向一種“規(guī)制國(guó)”的功能性治理模式，但并沒(méi)有改變以政府規(guī)制為主導(dǎo)的社會(huì)治理模式。事實(shí)上，“規(guī)制國(guó)”的發(fā)展只是改變了公權(quán)力在經(jīng)濟(jì)與社會(huì)生活中的運(yùn)行方式。在人們普遍認(rèn)識(shí)到僅靠市場(chǎng)調(diào)節(jié)無(wú)法應(yīng)對(duì)復(fù)雜的社會(huì)關(guān)系以及潛在風(fēng)險(xiǎn)的情況下，國(guó)家對(duì)市場(chǎng)的管控不斷加強(qiáng)，并在規(guī)制范圍上不斷擴(kuò)大以至于幾乎覆蓋了人們的整個(gè)日常生活，于是才有了那句耳熟能詳?shù)母锌骸拔覀兩钤谝粋€(gè)‘監(jiān)管型國(guó)家’（regulatory state）的時(shí)代”^［22］。

（二）從規(guī)制國(guó)到后規(guī)制國(guó)

“規(guī)制國(guó)”主張采用控制型的行政規(guī)制工具，但這種政府規(guī)制也會(huì)出現(xiàn)失靈，即“規(guī)制萬(wàn)能主義”只是無(wú)法實(shí)現(xiàn)的烏托邦?；诖耍簧賹W(xué)者對(duì)規(guī)制國(guó)概念提出了代表性的批評(píng)，如反對(duì)將規(guī)制重點(diǎn)放在國(guó)家行動(dòng)而排斥非政府治理機(jī)構(gòu)^［23］。進(jìn)入21世紀(jì)后，基于對(duì)“規(guī)制國(guó)”現(xiàn)狀的不滿，逐漸出現(xiàn)了與其對(duì)應(yīng)的“后規(guī)制國(guó)”概念。規(guī)制國(guó)是在工業(yè)社會(huì)背景下逐漸發(fā)展和成熟的，以政府規(guī)制為社會(huì)治理的主要模式；后規(guī)制國(guó)則是在信息社會(huì)背景下逐漸生成與興起的，其主張社會(huì)規(guī)制權(quán)力的去中心化與規(guī)制主體、規(guī)制方式的多元化。在信息社會(huì)背景下，多元化的社會(huì)主體開(kāi)始出現(xiàn)，分散的規(guī)制資源被重新認(rèn)識(shí)，非政府主體的規(guī)制能力被識(shí)別。在此背景下，世界各國(guó)紛紛在20世紀(jì)90年代對(duì)原有的規(guī)制國(guó)體制進(jìn)行反思與改革，如美國(guó)試圖通過(guò)“重新塑造”（reinvention）來(lái)超越規(guī)制國(guó)^［24］，英國(guó)政府也漸漸從重大經(jīng)濟(jì)活動(dòng)中退出^［18］。

同樣需要注意的是，“后規(guī)制國(guó)”理論與“規(guī)制國(guó)”理論的關(guān)系并不是“非此即彼”或“取而代之”的，而應(yīng)理解為前者在內(nèi)涵上豐富與擴(kuò)展了后者，如在規(guī)制主體上由單一的公共規(guī)制機(jī)構(gòu)轉(zhuǎn)變?yōu)榘ㄋ饺艘?guī)制機(jī)構(gòu)在內(nèi)的多元規(guī)制機(jī)構(gòu)，在規(guī)制方式上由單一的國(guó)家法擴(kuò)展為包括軟法在內(nèi)的多元法律秩序，并在規(guī)制模式上鮮明地主張自我規(guī)制模式。此外，“后規(guī)制國(guó)”理論與“規(guī)制國(guó)”理論在內(nèi)容上也存在交叉之處，二者需要進(jìn)行理論融合。如前所述，雖然“后規(guī)制國(guó)”理論發(fā)展了“規(guī)制國(guó)”理論的內(nèi)涵，但若放任“后規(guī)制國(guó)”理論將自我規(guī)制模式無(wú)限放大，則可能導(dǎo)致規(guī)制含義的虛無(wú)或空幻。因此，“后規(guī)制國(guó)”理論仍然需要建立在“規(guī)制國(guó)”理論的基礎(chǔ)上，不可忽視政府規(guī)制的全局性與兜底性作用。

三、規(guī)制理論視角下的數(shù)據(jù)合規(guī)：企業(yè)與政府的二元互動(dòng)

從規(guī)制史的角度抽象出數(shù)據(jù)合規(guī)的自我規(guī)制理念后，我們可以更加深入地理解既有研究對(duì)數(shù)據(jù)合規(guī)的局限理解。學(xué)界對(duì)數(shù)據(jù)合規(guī)的認(rèn)識(shí)之所以限于企業(yè)或政府的單一主體視角，是因?yàn)闆](méi)有正確理解后規(guī)制國(guó)的內(nèi)涵。如前所述，后規(guī)制國(guó)模式并不是對(duì)規(guī)制國(guó)模式的簡(jiǎn)單取代，而是存在一種互動(dòng)，即后規(guī)制國(guó)雖然強(qiáng)調(diào)通過(guò)自我規(guī)制來(lái)彌補(bǔ)政府規(guī)制的不足，但并沒(méi)有完全否定或徹底放棄政府規(guī)制，而是認(rèn)為政府應(yīng)該轉(zhuǎn)變?cè)械囊?guī)制地位或規(guī)制模式，對(duì)自我規(guī)制形成一種兜底保障機(jī)制。在正確認(rèn)識(shí)后規(guī)制國(guó)與規(guī)制國(guó)的互動(dòng)關(guān)系的基礎(chǔ)上，本文將嘗試在數(shù)據(jù)合規(guī)中將政府與企業(yè)連接起來(lái)，探討雙方在規(guī)制理論框架下的二元互動(dòng)關(guān)系。

科林·斯科特（Colin Scott）對(duì)廣義規(guī)制概念進(jìn)行了經(jīng)典闡述：“規(guī)制作為一種當(dāng)代政策工具，其核心含義在于指導(dǎo)或調(diào)整行為活動(dòng)，以實(shí)現(xiàn)既定的公共政策目標(biāo)?！?sup>［17］根據(jù)這一界定，規(guī)制的核心在于“實(shí)現(xiàn)公共政策目標(biāo)”，但這一界定并未對(duì)實(shí)施規(guī)制的主體進(jìn)行限制。事實(shí)上，斯科特所主張的規(guī)制理論存在一個(gè)核心預(yù)設(shè)：有效規(guī)制依賴于規(guī)制資源，而規(guī)制資源總是不足的，因此需要被規(guī)制主體提供規(guī)制資源從而幫助實(shí)現(xiàn)規(guī)制目的。在這里我們可以看到，斯科特雖然認(rèn)識(shí)到了被規(guī)制主體的自治價(jià)值，卻也同樣沒(méi)有忽視規(guī)制主體的原有功能，即其正確認(rèn)識(shí)到了規(guī)制國(guó)與后規(guī)制國(guó)的互動(dòng)補(bǔ)充關(guān)系。因此，規(guī)制理論視角下的數(shù)據(jù)合規(guī)存在兩個(gè)維度：一方面，政府（規(guī)制主體）要求企業(yè)（被規(guī)制主體）開(kāi)展數(shù)據(jù)合規(guī)工作；另一方面，企業(yè)（被規(guī)制主體）運(yùn)用政府（規(guī)制主體）所不具有的自身資源實(shí)現(xiàn)規(guī)制目的。這便是數(shù)據(jù)合規(guī)背后所隱藏的“企業(yè)—政府”二元互動(dòng)關(guān)系。下文將基于規(guī)制理論的兩個(gè)核心概念——“規(guī)制資源”與“規(guī)制空間”——進(jìn)行深入闡述。

（一）數(shù)據(jù)合規(guī)的條件：規(guī)制資源的分配

傳統(tǒng)政府規(guī)制在實(shí)效上的局限性已為學(xué)界所詬病，其主要缺陷在于中心化的權(quán)力集中方式無(wú)法有效面對(duì)日益復(fù)雜的規(guī)制需求。對(duì)傳統(tǒng)規(guī)制理論的批判背后存在這樣的一個(gè)預(yù)設(shè)：規(guī)制資源并不僅僅掌握在代表國(guó)家權(quán)力的政府手中，而是分散于政府之外的各種非政府主體之間。顯然，這與后規(guī)制國(guó)對(duì)規(guī)制國(guó)的批判是一脈相承的。

規(guī)制資源與規(guī)制權(quán)力是兩個(gè)范疇的概念，后者體現(xiàn)的是規(guī)制的正當(dāng)性，前者則是規(guī)制有效性的指標(biāo)。一般認(rèn)為，最重要的規(guī)制資源是信息，尤其是被規(guī)制對(duì)象的信息。所謂“規(guī)制資源”，并不限于國(guó)家正式權(quán)力，還包括財(cái)富、信息等能力，而作為最富活力的市場(chǎng)單位的企業(yè)，往往具有很大的財(cái)富優(yōu)勢(shì)與信息優(yōu)勢(shì)。就財(cái)富優(yōu)勢(shì)而言，雖然企業(yè)的財(cái)力無(wú)法匹敵國(guó)家財(cái)政，但國(guó)家財(cái)政的使用往往存在很多限制，包括實(shí)體性限制與程序性限制，而企業(yè)對(duì)其財(cái)富的使用卻享有很大的自主性與靈活性；就信息優(yōu)勢(shì)而言，政府主要通過(guò)宏觀調(diào)控來(lái)影響市場(chǎng)，但其需要依據(jù)來(lái)源于市場(chǎng)的各種信息才能及時(shí)進(jìn)行政策調(diào)整，而企業(yè)由于更加接近市場(chǎng)，其信息渠道往往更為多樣化，能夠獲取更豐富的一手信息。

在Web3.0的大數(shù)據(jù)時(shí)代，數(shù)據(jù)洪流推動(dòng)著幾乎所有企業(yè)進(jìn)行著數(shù)字化轉(zhuǎn)型，在轉(zhuǎn)型過(guò)程中數(shù)據(jù)（尤其是大數(shù)據(jù)）的價(jià)值進(jìn)一步顯現(xiàn)，數(shù)據(jù)開(kāi)始作為一種資源登上市場(chǎng)舞臺(tái)，成為企業(yè)公認(rèn)的競(jìng)爭(zhēng)性優(yōu)勢(shì)^［25］。不止于此，數(shù)據(jù)同樣可以成為一種規(guī)制資源，政府可以依托公共數(shù)據(jù)實(shí)現(xiàn)數(shù)字化轉(zhuǎn)型，構(gòu)建“數(shù)字政府”，推動(dòng)治理的數(shù)字化轉(zhuǎn)型，加強(qiáng)其對(duì)企業(yè)的規(guī)制能力^［26］。然而，企業(yè)除了可以通過(guò)公共數(shù)據(jù)的開(kāi)放或者授權(quán)運(yùn)營(yíng)等方式使用公共數(shù)據(jù)以外，同樣享有豐富的數(shù)據(jù)資源與信息資源，這些規(guī)制資源使企業(yè)在某種程度上獲得了相當(dāng)大的非正式權(quán)力，這種非正式權(quán)力甚至能對(duì)正式權(quán)力秩序產(chǎn)生顯著的影響^［27］。以數(shù)據(jù)為基礎(chǔ)的規(guī)制權(quán)力具有獨(dú)特而有效的運(yùn)作邏輯：平臺(tái)企業(yè)作為一個(gè)數(shù)字基礎(chǔ)設(shè)施，吸引用戶享受平臺(tái)服務(wù)，但用戶在享受服務(wù)的同時(shí)也在不斷提供其個(gè)人的行為數(shù)據(jù)，這些個(gè)人數(shù)據(jù)全部匯聚在平臺(tái)上層，經(jīng)過(guò)智能算法系統(tǒng)的處理分析，形成不同的用戶畫(huà)像，進(jìn)而為每位用戶提供個(gè)性化服務(wù)，典型便是個(gè)性化信息推送服務(wù)（信息繭房）^［28］。這種規(guī)制模式迥異于傳統(tǒng)的政府規(guī)制，具備更高的靈活性與即時(shí)性，能夠更加有效地實(shí)現(xiàn)規(guī)制目標(biāo)。

在規(guī)制資源的分配格局發(fā)生轉(zhuǎn)變的情況下，作為一種新型規(guī)制方式的數(shù)據(jù)合規(guī)被提出，其主張依托企業(yè)自身所具有的規(guī)制資源，實(shí)現(xiàn)某種程度上的自我規(guī)制，從而彌補(bǔ)傳統(tǒng)政府規(guī)制的實(shí)效局限性。

（二）數(shù)據(jù)合規(guī)的結(jié)果：規(guī)制空間的重構(gòu)

面對(duì)規(guī)制資源的格局轉(zhuǎn)變，自我規(guī)制成為規(guī)制理論改弦更張的必然選擇，目的在于最大限度地動(dòng)用各方的規(guī)制資源，進(jìn)而實(shí)現(xiàn)更合理的規(guī)制效果。這種在各主體之間合理配置規(guī)制資源的主張，被稱為“規(guī)制空間”理論。

數(shù)據(jù)合規(guī)的政策邏輯如下：在大數(shù)據(jù)時(shí)代，企業(yè)掌握著豐富的數(shù)據(jù)、算力與算法等規(guī)制資源，因此具有很大的規(guī)制能力，可以且應(yīng)當(dāng)實(shí)現(xiàn)某種程度上的自我規(guī)制。而這種政策考量意味著對(duì)傳統(tǒng)政府規(guī)制視野下的“規(guī)制空間”進(jìn)行重構(gòu)，即規(guī)制資源不再僅僅掌握在政府手中，而應(yīng)當(dāng)承認(rèn)政府與其他非政府主體共同分享著規(guī)制資源，并且彼此之間相互依賴、相互支持、相互制衡。在這個(gè)意義上，數(shù)據(jù)合規(guī)代表的是一種規(guī)制改革理念，即“重構(gòu)規(guī)制空間”^［29］。

如何建構(gòu)一個(gè)科學(xué)的數(shù)據(jù)合規(guī)空間，還需要分析兩種規(guī)制手段：自我規(guī)制與政府規(guī)制。具體來(lái)說(shuō)，自我規(guī)制旨在鼓勵(lì)、引導(dǎo)企業(yè)自主針對(duì)其數(shù)據(jù)處理行為開(kāi)展公司內(nèi)部的合規(guī)建設(shè)從而符合相關(guān)規(guī)定。自我規(guī)制構(gòu)成了數(shù)據(jù)合規(guī)“規(guī)制空間”的主要部分，但需要特別指出的是，自我規(guī)制的提倡并不意味著徹底排斥或否定政府規(guī)制，因?yàn)槠髽I(yè)的自我規(guī)制并非“萬(wàn)能藥”，而更多只是為了適應(yīng)日益復(fù)雜的治理現(xiàn)狀，而自我規(guī)制本身同樣存在不足之處，即企業(yè)的市場(chǎng)導(dǎo)向?qū)傩耘c其所被賦予的公共規(guī)制職能之間的張力。具體而言，自我規(guī)制的理念為企業(yè)獲得事實(shí)上的規(guī)制權(quán)力提供了制度空間，但若不對(duì)這一“私權(quán)力”進(jìn)行有效的限制與把控，那么這種權(quán)力仍然會(huì)失控，甚至可能被企業(yè)用于謀取更多經(jīng)濟(jì)利益，從而導(dǎo)致“權(quán)錢結(jié)合”的嚴(yán)重后果。就此而言，在以自我規(guī)制為主導(dǎo)的數(shù)據(jù)合規(guī)下，仍然不能忽視政府的規(guī)制職能，只是應(yīng)當(dāng)適當(dāng)?shù)剞D(zhuǎn)變政府的規(guī)制角色，即從傳統(tǒng)的政府規(guī)制轉(zhuǎn)變?yōu)橐环N尊重企業(yè)自我規(guī)制的間接規(guī)制方式。

在規(guī)制空間的重構(gòu)過(guò)程中，如果政府與企業(yè)各自掌握的規(guī)制資源發(fā)生變化，隨之形成的新規(guī)制空間的基本結(jié)構(gòu)也會(huì)發(fā)生改變。這在數(shù)據(jù)合規(guī)中體現(xiàn)得尤為明顯。隨著數(shù)字化轉(zhuǎn)型的逐漸深入，企業(yè)所擁有的數(shù)據(jù)資源愈加豐富，在豐富數(shù)據(jù)資源的支撐下進(jìn)一步形成了強(qiáng)大的算法能力，這種算法能力如果不受到約束，就可能成為一種“算法權(quán)力”或“算法利維坦”^［30］。因此，如何在數(shù)據(jù)合規(guī)中平衡好自我規(guī)制與政府規(guī)制成為重構(gòu)規(guī)制空間的關(guān)鍵。

四、數(shù)據(jù)合規(guī)的元規(guī)制路徑：在自我規(guī)制與政府規(guī)制之間

前文已述，在規(guī)制理論的框架下，數(shù)據(jù)合規(guī)背后存在一種“企業(yè)—政府”二元互動(dòng)關(guān)系。這一理論的實(shí)踐落實(shí)要點(diǎn)在于，實(shí)現(xiàn)自我規(guī)制與政府規(guī)制的有機(jī)結(jié)合。為了實(shí)現(xiàn)這一目標(biāo)，本文將繼續(xù)在規(guī)制理論的框架下提出“元規(guī)制”理論，嘗試通過(guò)自洽的邏輯統(tǒng)合自我規(guī)制與政府規(guī)制，從而更好地促進(jìn)數(shù)據(jù)合規(guī)在實(shí)踐層面的制度展開(kāi)。

（一）元規(guī)制理論

“元規(guī)制”（Meta-regulation）又稱“受規(guī)制的自我規(guī)制”（Regulated Self-regulation），是指公權(quán)力機(jī)構(gòu)對(duì)企業(yè)的自我規(guī)制施加外部監(jiān)督和限制的一種規(guī)制模式^［31］。對(duì)“元規(guī)制”的理解離不開(kāi)另外兩個(gè)概念：政府規(guī)制與自我規(guī)制。“元規(guī)制”介于政府規(guī)制與自我規(guī)制之間，是兩種規(guī)制的有機(jī)統(tǒng)一：一方面是企業(yè)的自我規(guī)制（內(nèi)部規(guī)制），另一方面是監(jiān)管部門對(duì)企業(yè)的自我規(guī)制展開(kāi)政府規(guī)制（外部規(guī)制）^［32］。從理論上看，元規(guī)制所具有的二元規(guī)制結(jié)構(gòu)非常完美地契合了數(shù)據(jù)合規(guī)的二元共治論。

在實(shí)踐層面，歐盟《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation， GDPR）已經(jīng)在數(shù)據(jù)合規(guī)中融合了一定程度的元規(guī)制理念，如GDPR第5條增加的透明度原則與問(wèn)責(zé)原則被認(rèn)為目的在于強(qiáng)化數(shù)據(jù)控制者的內(nèi)部治理機(jī)制^［33］，GDPR第35條所規(guī)定的數(shù)據(jù)保護(hù)影響評(píng)估義務(wù)被認(rèn)為在保留了自我規(guī)制之靈活性的基礎(chǔ)上施加了外部規(guī)制的壓力^［34］，反觀國(guó)內(nèi)規(guī)范，《個(gè)人信息保護(hù)法》第58條規(guī)定的“獨(dú)立監(jiān)督機(jī)構(gòu)”在很大程度上體現(xiàn)了元規(guī)制的基本理念^［35］。

元規(guī)制能否有效適用于數(shù)據(jù)合規(guī)的關(guān)鍵在于，如何確保企業(yè)在開(kāi)展數(shù)據(jù)合規(guī)工作中能夠合理運(yùn)用其基于自身規(guī)制資源所享有的事實(shí)上的規(guī)制權(quán)力而不至于濫用其權(quán)力損害個(gè)人利益與公共利益。政府規(guī)制與自我規(guī)制雖然能夠在理論上結(jié)合于元規(guī)制，但仍然需要通過(guò)具體的制度展開(kāi)予以落實(shí)。

（二）元規(guī)制視角下數(shù)據(jù)合規(guī)的制度展開(kāi)

如前所述，元規(guī)制是自我規(guī)制與政府規(guī)制的有機(jī)統(tǒng)一而非機(jī)械結(jié)合，因此在適用元規(guī)制理論時(shí)，不應(yīng)當(dāng)將元規(guī)制的自我規(guī)制部分與政府規(guī)制部分區(qū)分開(kāi)，而應(yīng)當(dāng)在具體制度中討論兩種規(guī)制模式的相互協(xié)調(diào)。具體而言，數(shù)據(jù)合規(guī)作為制度化的自我規(guī)制理念，其在保證企業(yè)自治的同時(shí)，需要受到政府的間接規(guī)制，在不同階段分別表現(xiàn)為“受指引的自我規(guī)制”“受監(jiān)督的自我規(guī)制”與“受限制的自我規(guī)制”，三者具體化為三種制度：隱私設(shè)計(jì)、風(fēng)險(xiǎn)評(píng)估與多元問(wèn)責(zé)。

1.受指引的自我規(guī)制：隱私設(shè)計(jì)

所謂“受指引的自我規(guī)制”，即雖然企業(yè)在開(kāi)展數(shù)據(jù)合規(guī)工作時(shí)享有很大的自主權(quán)，但這種自我規(guī)制模式是受到政府的規(guī)范性指引的。本文擬提出的對(duì)策是“隱私設(shè)計(jì)”（Privacy by Design，PbD），即要求企業(yè)在設(shè)計(jì)數(shù)據(jù)處理系統(tǒng)時(shí)融入隱私保護(hù)合規(guī)的價(jià)值理念^［36］。PbD已經(jīng)在歐盟GDPR第25條實(shí)現(xiàn)了法律化，該條款主張將匿名化、最小化等技術(shù)措施融入具體的數(shù)據(jù)處理操作。PbD的概念最早由加拿大渥太華省信息與隱私委員會(huì)前主席安·卡沃基安（Ann Cavoukian）女士于20世紀(jì)90年代提出。2010年左右，安女士正式提出PbD的七大原則：“主動(dòng)而非被動(dòng)，預(yù)防而不是補(bǔ)救”（Proactive not Reactive；Preventative not Remedial）、“默認(rèn)隱私”（Privacy as the Default Setting）、“隱私嵌入設(shè)計(jì)”（Privacy Embedded into Design）、“功能完整—正和而非零和”（Full Functionality-Positive-Sum，not Zero-Sum）、“端到端的安全—數(shù)據(jù)全生命周期保護(hù)”（End-to-End Security-Full Lifecycle Protection）、“可見(jiàn)性和透明性—保持開(kāi)放”（Visibility and Transparency-Keep it Open）、“尊重用戶隱私—以用戶為中心”（Respect for User Privacy-Keep it User-Centric）^［37］。

PbD意味著賦予企業(yè)很大的自主權(quán)，因?yàn)榧夹g(shù)不再被認(rèn)為是價(jià)值中立與價(jià)值無(wú)涉的，而是可以體現(xiàn)一定的價(jià)值理念。在這一認(rèn)識(shí)下，PbD在數(shù)據(jù)合規(guī)中的適用，意味著企業(yè)在開(kāi)展數(shù)據(jù)合規(guī)工作時(shí)，應(yīng)當(dāng)將隱私保護(hù)的合規(guī)要求作為技術(shù)設(shè)計(jì)的指引，從而在處理數(shù)據(jù)的技術(shù)系統(tǒng)中充分貫徹隱私保護(hù)的價(jià)值理念。毫無(wú)疑問(wèn)，PbD的理想圖景非常契合元規(guī)制的基本理念：企業(yè)在開(kāi)展數(shù)據(jù)合規(guī)工作時(shí)享有技術(shù)設(shè)計(jì)的自主權(quán)，體現(xiàn)自我規(guī)制的基本理念；企業(yè)在進(jìn)行技術(shù)設(shè)計(jì)時(shí)需要遵守隱私保護(hù)的法律法規(guī)，以合規(guī)的思維將法律規(guī)范對(duì)隱私保護(hù)的價(jià)值理念融入技術(shù)設(shè)計(jì)中，從而保障設(shè)計(jì)出的系統(tǒng)在處理數(shù)據(jù)時(shí)能夠滿足基本的隱私保護(hù)合規(guī)要求，這又體現(xiàn)出政府的間接規(guī)制。

在具體的方法論上，根據(jù)霍夫曼等人的總結(jié)，PbD的具體設(shè)計(jì)方法主要包括八種：最小化、隱藏、分離、聚合、通知、控制、執(zhí)行和展示^［38］。以《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》5.4.2.1的“數(shù)據(jù)生存周期安全過(guò)程域”為分析框架，由于合規(guī)側(cè)重點(diǎn)的差異，在數(shù)據(jù)全生命周期的各個(gè)階段所需要用到的設(shè)計(jì)方法各不相同，如數(shù)據(jù)采集階段的最小化技術(shù)、數(shù)據(jù)傳輸階段的加密技術(shù)、數(shù)據(jù)存儲(chǔ)階段的定期刪除技術(shù)、數(shù)據(jù)處理階段的分離與聚合技術(shù)、數(shù)據(jù)交換階段的控制技術(shù)、數(shù)據(jù)銷毀階段的不可逆刪除技術(shù)等。

然而，PbD的適用存在一個(gè)很大的缺陷，即如何跨越法律與技術(shù)之間的鴻溝？法律規(guī)范是一種可供理解的文本，人工智能等技術(shù)卻是通過(guò)代碼運(yùn)行的系統(tǒng)。應(yīng)當(dāng)承認(rèn)的是，PbD在很大程度上正是由于技術(shù)相對(duì)于人類的相對(duì)客觀性才備受青睞，但這也恰恰是其弱點(diǎn)，即遵從代碼運(yùn)行之形式邏輯的技術(shù)系統(tǒng)如何“轉(zhuǎn)譯”包含價(jià)值概念的法律文本？在現(xiàn)有技術(shù)下，實(shí)現(xiàn)“法律代碼化”的精確轉(zhuǎn)譯顯然是行不通的，且這也在某種程度上有違民主法治的基本精神^［39］。更進(jìn)一步而言，如果PbD的最終目的是實(shí)現(xiàn)國(guó)家制定的法律規(guī)范與企業(yè)設(shè)計(jì)的技術(shù)代碼的同一，那么這與傳統(tǒng)的政府規(guī)制就將毫無(wú)區(qū)別，即企業(yè)將不再享有自治空間，數(shù)據(jù)合規(guī)的自我規(guī)制理念也將不復(fù)存在。因此，更可取的做法是，通過(guò)制定技術(shù)標(biāo)準(zhǔn)或操作指南，從而實(shí)現(xiàn)PbD標(biāo)準(zhǔn)化。歐盟曾發(fā)布《關(guān)于第25條數(shù)據(jù)保護(hù)的指導(dǎo)方針》，列舉4項(xiàng)PbD設(shè)計(jì)標(biāo)準(zhǔn)：技術(shù)狀態(tài)、實(shí)施成本、處理行為的性質(zhì)及可能存在的風(fēng)險(xiǎn)。有學(xué)者建議，應(yīng)當(dāng)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)參照國(guó)際標(biāo)準(zhǔn)制定PbD設(shè)計(jì)指南^［40］。

本文認(rèn)為，有關(guān)PbD的技術(shù)標(biāo)準(zhǔn)在很大程度上屬于算法設(shè)計(jì)的范疇，因?yàn)镻bD所涉及的技術(shù)系統(tǒng)都是在數(shù)據(jù)全生命周期中處理數(shù)據(jù)的系統(tǒng)，這與數(shù)據(jù)的“引擎”——算法是密切相關(guān)的。此外，企業(yè)在Web3.0所享有的規(guī)制權(quán)力也在很大程度上是一種算法權(quán)力，因?yàn)樗惴軌蛘嬲龑⑵髽I(yè)所掌握的海量數(shù)據(jù)資源轉(zhuǎn)化為經(jīng)濟(jì)效益從而促進(jìn)數(shù)字經(jīng)濟(jì)的發(fā)展。因此，針對(duì)PbD的技術(shù)標(biāo)準(zhǔn)問(wèn)題可以轉(zhuǎn)化為對(duì)算法的規(guī)制問(wèn)題，這往往同時(shí)涉及程序性問(wèn)題與實(shí)質(zhì)性問(wèn)題，分別對(duì)應(yīng)于《個(gè)人信息保護(hù)法》第24條第1款關(guān)于自動(dòng)化決策的“透明度”與“結(jié)果公平、公正”。在程序性問(wèn)題方面，重點(diǎn)需要解決的是PbD的“算法黑箱”問(wèn)題，即有關(guān)技術(shù)標(biāo)準(zhǔn)的制定應(yīng)當(dāng)致力于導(dǎo)向“算法透明”。需要注意的是，“算法透明”并不僅僅意味著“算法公開(kāi)”，因?yàn)榛趯I(yè)壁壘，公開(kāi)算法的程序或代碼對(duì)于受算法自動(dòng)化決策影響的用戶而言并無(wú)太大意義，因此這就需要輔之以《個(gè)人信息保護(hù)法》第24條第3款的“算法解釋”，賦予用戶請(qǐng)求企業(yè)對(duì)算法進(jìn)行說(shuō)明的權(quán)利，如自動(dòng)化決策的依據(jù)、流程等。該條款的“對(duì)個(gè)人權(quán)益有重大影響的決定”的前置性條件留存了可解釋的空間，此處可以理解為規(guī)制理論框架下自我規(guī)制與政府規(guī)制的動(dòng)態(tài)性平衡關(guān)系：對(duì)于掌握較大數(shù)據(jù)資源的超大型平臺(tái)企業(yè)，由于其提供的服務(wù)覆蓋度廣、涉及面多，因此需要對(duì)其自我規(guī)制進(jìn)行較大的限制，算法解釋的前置性門檻應(yīng)當(dāng)相應(yīng)降低；對(duì)于掌握較少數(shù)據(jù)資源的一般型平臺(tái)企業(yè)，由于其仍處于發(fā)展階段，對(duì)用戶的影響較小，應(yīng)當(dāng)鼓勵(lì)其積極自我規(guī)制，算法解釋的前置性門檻應(yīng)當(dāng)相應(yīng)提高。由此看來(lái)，自我規(guī)制與政府規(guī)制的動(dòng)態(tài)平衡同時(shí)也是數(shù)字經(jīng)濟(jì)發(fā)展與數(shù)字權(quán)利保護(hù)之間的動(dòng)態(tài)平衡。

在實(shí)體性問(wèn)題方面，PbD的技術(shù)標(biāo)準(zhǔn)應(yīng)當(dāng)著眼于算法的輸出結(jié)果，即實(shí)現(xiàn)一種結(jié)果的“合理的一致性”。“一致性”的規(guī)范依據(jù)是《個(gè)人信息保護(hù)法》第24條第2款的“應(yīng)當(dāng)同時(shí)提供不針對(duì)其個(gè)人特征的選項(xiàng)，或者向個(gè)人提供便捷的拒絕方式”。具體而言，判斷PbD是否滿足技術(shù)標(biāo)準(zhǔn)的指標(biāo)在于，其自動(dòng)化決策輸出的結(jié)果是否存在一致性，即是否會(huì)根據(jù)用戶的個(gè)人特質(zhì)進(jìn)行不合理的差別性決策。此處之所以是“合理的一致性”，在于有些差別性決策是合理的，即每個(gè)用戶都有自己更為關(guān)注的信息，我們所要避免的只是違反意愿的“算法霸權(quán)”。因此，此處同樣可以輔之以“算法解釋”作為緩沖機(jī)制。

需要注意的是，由于客觀性風(fēng)險(xiǎn)（代碼如何精確表達(dá)數(shù)據(jù)合規(guī)要求）與主觀性風(fēng)險(xiǎn)（代碼可能滲入代碼編寫(xiě)人員的意志）的存在，隱私設(shè)計(jì)有可能引發(fā)平臺(tái)企業(yè)數(shù)字權(quán)力無(wú)限擴(kuò)張的風(fēng)險(xiǎn)^［41］。從這個(gè)角度看，政府規(guī)制對(duì)自我規(guī)制的限制始終是有必要的。

2.受監(jiān)督的自我規(guī)制：風(fēng)險(xiǎn)評(píng)估

PbD作為“受引導(dǎo)的自我規(guī)制”，顯然是不充分的，因?yàn)镻bD的技術(shù)標(biāo)準(zhǔn)屬于一種“軟法”，并不具有強(qiáng)制力，企業(yè)仍然享有很大的自主權(quán)，如果不通過(guò)其他制度進(jìn)行約束，那么將很有可能為企業(yè)通過(guò)PbD擴(kuò)張其數(shù)字化權(quán)力提供便利（算法利維坦）。因此，企業(yè)開(kāi)展數(shù)據(jù)合規(guī)工作不僅需要受到引導(dǎo)，還需要受到監(jiān)督，此即“受監(jiān)督的自我規(guī)制”。具體而言，在企業(yè)建立起基本的數(shù)據(jù)合規(guī)制度體系后，其需要對(duì)該合規(guī)制度體系下的數(shù)據(jù)處理流程進(jìn)行風(fēng)險(xiǎn)評(píng)估，即在某種程度上驗(yàn)證數(shù)據(jù)合規(guī)制度體系的成效。

歐盟GDPR第35條就規(guī)定了“數(shù)據(jù)保護(hù)影響評(píng)估”，要求數(shù)據(jù)控制者應(yīng)當(dāng)在數(shù)據(jù)歸集行為可能對(duì)自然人的自由權(quán)利造成高風(fēng)險(xiǎn)時(shí)，開(kāi)展“數(shù)據(jù)保護(hù)影響評(píng)估”，又稱“隱私影響評(píng)估”。近年來(lái)，隱私影響評(píng)估制度已經(jīng)獲得各國(guó)政府機(jī)構(gòu)、企業(yè)、隱私專家的高度認(rèn)同，歐盟、加拿大、美國(guó)等都在倡導(dǎo)這一制度，蘋果、微軟、惠普等互聯(lián)網(wǎng)巨頭也在踐行這一舉措^［42］。在隱私影響評(píng)估的實(shí)施步驟方面，英國(guó)信息委員會(huì)辦公室2014年發(fā)布的報(bào)告《執(zhí)行隱私影響評(píng)估的實(shí)踐代碼》進(jìn)行了總結(jié)：確定隱私評(píng)估的需求，描述數(shù)據(jù)流，識(shí)別隱私和相關(guān)風(fēng)險(xiǎn)，界定和評(píng)估隱私解決方案，簽署并記錄隱私影響評(píng)估的結(jié)果，將評(píng)估結(jié)果反饋到項(xiàng)目計(jì)劃中。在中國(guó)，有關(guān)個(gè)人信息保護(hù)的數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)評(píng)估機(jī)制的規(guī)范依據(jù)是《個(gè)人信息保護(hù)法》第55、56條所規(guī)定的“個(gè)人信息保護(hù)影響評(píng)估”。事實(shí)上，中國(guó)早在2017年發(fā)布的國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù) 個(gè)人信息安全規(guī)范》中就提出“個(gè)人信息安全影響評(píng)估”，并在2020年發(fā)布的《信息安全技術(shù) 個(gè)人信息安全影響評(píng)估指南》全面規(guī)定了個(gè)人信息安全影響評(píng)估的具體實(shí)施流程。

本文認(rèn)為，目前對(duì)數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)評(píng)估機(jī)制的討論主要圍繞該機(jī)制的具體建構(gòu)與實(shí)踐適用問(wèn)題，缺乏對(duì)該機(jī)制效力的討論，即風(fēng)險(xiǎn)評(píng)估的結(jié)果有何法律效力？其如何與其他制度進(jìn)行銜接？回到數(shù)據(jù)合規(guī)的基本原理，數(shù)據(jù)合規(guī)既是企業(yè)開(kāi)展自我規(guī)制的形式，也是政府規(guī)制的激勵(lì)性手段體現(xiàn)。具體而言，數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)評(píng)估機(jī)制可以與“涉案企業(yè)合規(guī)從寬”制度銜接起來(lái)。以《深圳市企業(yè)數(shù)據(jù)合規(guī)指引》第3條為例，數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)評(píng)估結(jié)果可以作為該條第1款的“履行數(shù)據(jù)合規(guī)義務(wù)”的義務(wù)履行標(biāo)準(zhǔn)。數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)評(píng)估結(jié)果良好的，應(yīng)當(dāng)在該條第3款的“有效性標(biāo)準(zhǔn)”中作為有效合規(guī)證明予以考量。此處需要說(shuō)明的是，數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)評(píng)估機(jī)制是基于數(shù)據(jù)全生命周期的風(fēng)險(xiǎn)評(píng)估，涉及數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)處理、數(shù)據(jù)交換、數(shù)據(jù)銷毀等多個(gè)階段，因此相應(yīng)的風(fēng)險(xiǎn)評(píng)估結(jié)果也應(yīng)當(dāng)是階段性的，即對(duì)數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)評(píng)估結(jié)果的認(rèn)定不應(yīng)呈現(xiàn)為“一攬子”認(rèn)定，而應(yīng)當(dāng)區(qū)分各個(gè)階段分別予以認(rèn)定。

此外，除了與“涉案企業(yè)合規(guī)從寬”制度銜接，數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)評(píng)估機(jī)制還可以與《個(gè)人信息保護(hù)法》第54條的“合規(guī)審計(jì)”制度連接起來(lái)。2023年8月，國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布了《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法（征求意見(jiàn)稿）》及配套的《個(gè)人信息保護(hù)合規(guī)審計(jì)參考要點(diǎn)》，首次明確了個(gè)人信息保護(hù)合規(guī)審計(jì)的基本要求。與公權(quán)力導(dǎo)向的“涉案企業(yè)合規(guī)從寬”不同，合規(guī)審計(jì)是由企業(yè)內(nèi)部機(jī)構(gòu)（內(nèi)審）或第三方專業(yè)機(jī)構(gòu)（外審）為實(shí)施主體的，其目的在于對(duì)企業(yè)的個(gè)人信息處理活動(dòng)是否遵守法律、行政法規(guī)的情況進(jìn)行審查和評(píng)價(jià)，屬于私權(quán)力監(jiān)督模式。就此而言，元規(guī)制不僅僅意味著統(tǒng)合政府規(guī)制與自我規(guī)制，還主張規(guī)制主體的多元化，即在規(guī)制資源不斷分散的情況下，應(yīng)當(dāng)協(xié)調(diào)政府、企業(yè)、第三方等多元主體的規(guī)制權(quán)力，重新塑造更加節(jié)約規(guī)制成本的規(guī)制空間結(jié)構(gòu)。數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)評(píng)估機(jī)制嵌入這一規(guī)制格局的方式在于，企業(yè)自行開(kāi)展風(fēng)險(xiǎn)評(píng)估所得的數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)評(píng)估結(jié)果可以作為內(nèi)審或外審的參考，這也是內(nèi)部獨(dú)立監(jiān)督機(jī)構(gòu)與外部第三方專業(yè)機(jī)構(gòu)獲取被審計(jì)企業(yè)信息的重要方式，這既是基于成本收益分析的優(yōu)質(zhì)選擇，也避免了對(duì)企業(yè)自主開(kāi)展數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)評(píng)估機(jī)制的積極性的打擊。概而言之，在個(gè)人信息保護(hù)合規(guī)審計(jì)中，基本框架仍然是“企業(yè)—政府”二元共治格局，即政府頒布法律要求企業(yè)對(duì)自身的數(shù)據(jù)合規(guī)工作開(kāi)展合規(guī)評(píng)估，但開(kāi)展合規(guī)審計(jì)的主體可以是內(nèi)部獨(dú)立監(jiān)督機(jī)構(gòu)或外部第三方專業(yè)機(jī)構(gòu)，這就進(jìn)一步豐富了規(guī)制資源的分配格局，可以形成制衡各方規(guī)制權(quán)力的更佳規(guī)制空間結(jié)構(gòu)。

事實(shí)上，評(píng)估機(jī)制的法理基礎(chǔ)是平臺(tái)企業(yè)通過(guò)證明自己的數(shù)據(jù)風(fēng)險(xiǎn)治理能力來(lái)獲得政府的信任，從而避免公權(quán)力對(duì)平臺(tái)企業(yè)經(jīng)濟(jì)活動(dòng)的直接介入。但在一定程度上，評(píng)估機(jī)制也推動(dòng)形成了一種競(jìng)爭(zhēng)秩序。當(dāng)政府的公權(quán)力背書(shū)具備稀缺性時(shí)，平臺(tái)企業(yè)就有動(dòng)力投入相應(yīng)的資源予以爭(zhēng)取^［43］。實(shí)踐中，這種競(jìng)爭(zhēng)態(tài)勢(shì)逐漸演化為一種“錦標(biāo)賽理論”（tournament theory）^［44］的模型預(yù)設(shè)，這種模式在激勵(lì)平臺(tái)企業(yè)開(kāi)展合規(guī)評(píng)估的同時(shí)，是否會(huì)為資本力量開(kāi)通非正當(dāng)?shù)木G色通道，也是政府規(guī)制需要予以考量的地方。

3.受強(qiáng)制的自我規(guī)制：多元問(wèn)責(zé)

作為“受監(jiān)督的自我規(guī)制”的風(fēng)險(xiǎn)評(píng)估從事前預(yù)防的角度督促企業(yè)自主評(píng)估數(shù)據(jù)合規(guī)制度體系下的風(fēng)險(xiǎn)，從而實(shí)現(xiàn)對(duì)企業(yè)自我規(guī)制的監(jiān)督；這一部分的多元問(wèn)責(zé)則是從事后救濟(jì)的角度對(duì)企業(yè)自我規(guī)制施加的限制。與前兩個(gè)環(huán)節(jié)相比，作為“受強(qiáng)制的自我規(guī)制”的多元問(wèn)責(zé)更多地體現(xiàn)了公權(quán)力介入的強(qiáng)制性，起到兜底保障的作用。

具體而言，對(duì)于因數(shù)據(jù)合規(guī)不達(dá)標(biāo)而存在侵犯信息數(shù)據(jù)等法律風(fēng)險(xiǎn)的企業(yè)，應(yīng)當(dāng)建立相應(yīng)的問(wèn)責(zé)機(jī)制。在規(guī)范層面，域外的GDPR第5條明確了對(duì)企業(yè)作為數(shù)據(jù)處理者的問(wèn)責(zé)機(jī)制，國(guó)內(nèi)的《個(gè)人信息保護(hù)法》第51條要求個(gè)人信息處理者履行相應(yīng)的信息保護(hù)合規(guī)義務(wù)，如采用加密、去標(biāo)識(shí)化等安全技術(shù)措施，以及確定個(gè)人信息保護(hù)負(fù)責(zé)人、定期對(duì)從業(yè)人員進(jìn)行安全教育和培訓(xùn)等組織措施。

本文主張的“多元問(wèn)責(zé)”包括“責(zé)任主體多元”與“責(zé)任形式多元”。責(zé)任主體多元意味著企業(yè)并非唯一且必然的責(zé)任主體。結(jié)合GDPR序言第78條規(guī)定，經(jīng)設(shè)計(jì)的數(shù)據(jù)保護(hù)的義務(wù)主體不僅僅限于數(shù)據(jù)控制者，還延伸至“生產(chǎn)者”和“處理者”。國(guó)內(nèi)于2019年發(fā)布的《新一代人工智能治理原則》要求“人工智能研發(fā)者、使用者及其他相關(guān)方應(yīng)具有高度的社會(huì)責(zé)任感和自律意識(shí)，嚴(yán)格遵守法律法規(guī)、倫理道德和標(biāo)準(zhǔn)規(guī)范。建立人工智能問(wèn)責(zé)機(jī)制，明確研發(fā)者、使用者和受用者等的責(zé)任”，已經(jīng)反映出擴(kuò)張人工智能領(lǐng)域責(zé)任主體范圍的意圖。當(dāng)然，直接將設(shè)計(jì)者、開(kāi)發(fā)者納入責(zé)任主體范疇，目前條件尚不成熟，對(duì)此可采取鼓勵(lì)性條款或自我承諾方式，對(duì)其責(zé)任承擔(dān)方式加以柔性化處理^［45］。以PbD為例，在因數(shù)據(jù)合規(guī)不達(dá)標(biāo)而產(chǎn)生法律風(fēng)險(xiǎn)的情況下，如何分擔(dān)企業(yè)（委托方）與專家（被委托方）之間的法律責(zé)任？毫無(wú)疑問(wèn)，企業(yè)是數(shù)據(jù)合規(guī)的法定義務(wù)人，其需要承擔(dān)主要的法律責(zé)任；然而，專家在PbD中扮演著重要角色，因?yàn)樘幚頂?shù)據(jù)的技術(shù)系統(tǒng)是由專家設(shè)計(jì)的。PbD被廣為詬病的一點(diǎn)就在于，專家（代碼編寫(xiě)人員）在某種程度上成為了事實(shí)上的立法者^［41］。此處可以聯(lián)系“受引導(dǎo)的自我規(guī)制”，即技術(shù)標(biāo)準(zhǔn)是企業(yè)運(yùn)用PbD開(kāi)展數(shù)據(jù)合規(guī)工作的指導(dǎo)，但技術(shù)標(biāo)準(zhǔn)究竟在多大程度上起到了引導(dǎo)作用，還有賴于企業(yè)的內(nèi)部合規(guī)制度體系建設(shè)。在責(zé)任承擔(dān)方面，如果企業(yè)參照技術(shù)標(biāo)準(zhǔn)形成了公司內(nèi)部的規(guī)章制度，并用以指導(dǎo)技術(shù)系統(tǒng)的設(shè)計(jì)，那么就可以認(rèn)為企業(yè)的過(guò)錯(cuò)較小，其自我規(guī)制可以得到繼續(xù)肯定；反之，如果企業(yè)內(nèi)部沒(méi)有形成符合技術(shù)標(biāo)準(zhǔn)的規(guī)章制度，則可以初步認(rèn)定其沒(méi)有很好地接受政府規(guī)制的引導(dǎo)，應(yīng)當(dāng)承擔(dān)較大的責(zé)任。在專家方面，應(yīng)當(dāng)以企業(yè)與專家之間的委托合同合理確認(rèn)專家所應(yīng)當(dāng)承擔(dān)的責(zé)任范圍。在實(shí)踐考察中，應(yīng)當(dāng)重點(diǎn)關(guān)注企業(yè)是否有將相關(guān)的數(shù)據(jù)合規(guī)要求以便于理解的方式告知專家，且在技術(shù)系統(tǒng)成型后，企業(yè)應(yīng)當(dāng)進(jìn)行產(chǎn)品驗(yàn)收，即測(cè)試與評(píng)估該技術(shù)系統(tǒng)在處理數(shù)據(jù)的過(guò)程中是否存在侵犯信息數(shù)據(jù)的法律風(fēng)險(xiǎn)，是否滿足了PbD關(guān)于保護(hù)個(gè)人隱私的基本價(jià)值理念，這又可以與“受監(jiān)督的自我規(guī)制”的風(fēng)險(xiǎn)評(píng)估機(jī)制銜接起來(lái)。

責(zé)任形式多元主要是基于數(shù)據(jù)合規(guī)的基本性質(zhì)之考量。數(shù)據(jù)合規(guī)作為一種自我規(guī)制模式，其順利開(kāi)展得益于法律的激勵(lì)措施，因此對(duì)數(shù)據(jù)合規(guī)的規(guī)制性問(wèn)責(zé)也不宜帶有過(guò)于濃烈的強(qiáng)制性色彩（一刀切）。根據(jù)布雷思韋特的執(zhí)法金字塔（enforcement pyramid）理論，規(guī)制者應(yīng)當(dāng)情景化地思考，與被規(guī)制者進(jìn)行結(jié)構(gòu)式的對(duì)話。具體而言，規(guī)制者應(yīng)首先盡量選用干預(yù)程度較低的規(guī)制措施（如教育、建議、勸導(dǎo)），如果這些措施失靈，規(guī)制者才逐步采取干預(yù)度更高的執(zhí)法措施（如警告、制裁）^［47］。因此，對(duì)數(shù)據(jù)合規(guī)的問(wèn)責(zé)可以采用一種“執(zhí)法金字塔”思維，根據(jù)企業(yè)對(duì)待問(wèn)責(zé)的態(tài)度與反應(yīng)決定與調(diào)整不同梯度的責(zé)任形式。依據(jù)一般的企業(yè)合規(guī)理論，國(guó)內(nèi)律師為律師提供的合規(guī)服務(wù)一般包括三部分：打造合規(guī)計(jì)劃、提供合規(guī)調(diào)查、應(yīng)對(duì)執(zhí)法調(diào)查^［48］。與之對(duì)應(yīng)，數(shù)據(jù)合規(guī)中的“企業(yè)—政府”二元互動(dòng)關(guān)系可以在每個(gè)階段體現(xiàn)出來(lái)，從而確定企業(yè)在自我規(guī)制失范時(shí)所應(yīng)當(dāng)承擔(dān)的責(zé)任。在打造合規(guī)計(jì)劃階段，企業(yè)享有制定公司內(nèi)部規(guī)章制度的自主權(quán)，企業(yè)需要在法律法規(guī)與技術(shù)標(biāo)準(zhǔn)的指引下建立完善公司內(nèi)部的數(shù)據(jù)合規(guī)制度體系，若未達(dá)到形式上的基本合規(guī)要求（如紙面上的規(guī)章制度、組織架構(gòu)上的數(shù)據(jù)合規(guī)官等），有關(guān)監(jiān)管部門可以責(zé)令企業(yè)盡快完善內(nèi)部數(shù)據(jù)合規(guī)制度體系從而滿足法律法規(guī)的要求；在提供合規(guī)調(diào)查階段，在企業(yè)內(nèi)部的數(shù)據(jù)合規(guī)制度體系已經(jīng)基本建立起來(lái)的情況下，如果企業(yè)在數(shù)據(jù)處理活動(dòng)中出現(xiàn)了法律風(fēng)險(xiǎn)乃至已經(jīng)發(fā)生了違法違規(guī)行為，則需要在有關(guān)監(jiān)管部門的要求與指引下開(kāi)展合規(guī)內(nèi)部調(diào)查，對(duì)企業(yè)的違規(guī)行為、違規(guī)人員、合規(guī)機(jī)制漏洞等問(wèn)題展開(kāi)獨(dú)立的調(diào)查活動(dòng)，即所謂“以合規(guī)換取寬大處理”；在應(yīng)對(duì)執(zhí)法調(diào)查階段，如果企業(yè)的違法違規(guī)行為已經(jīng)案發(fā)，則需要應(yīng)對(duì)有關(guān)監(jiān)管部門的執(zhí)法調(diào)查，在監(jiān)管部門的要求下提供相應(yīng)的證據(jù)材料，如證明企業(yè)已經(jīng)履行了“三駕馬車”等法律法規(guī)所要求的網(wǎng)絡(luò)經(jīng)營(yíng)企業(yè)應(yīng)當(dāng)承擔(dān)的網(wǎng)絡(luò)數(shù)據(jù)安全管理義務(wù)，包括建立全流程安全管理制度、設(shè)立數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)、建立定期風(fēng)險(xiǎn)評(píng)估與專業(yè)審計(jì)等制度等，從而爭(zhēng)取獲得最大限度的寬大處理。概而言之，通過(guò)一種彈性的問(wèn)責(zé)機(jī)制，區(qū)分不同階段要求企業(yè)承擔(dān)不同的法律責(zé)任，既照顧了企業(yè)的自我規(guī)制，又保障了政府規(guī)制的兜底性保障。

五、結(jié)語(yǔ)

在國(guó)家積極推動(dòng)企業(yè)建立數(shù)據(jù)合規(guī)制度體系的浪潮下，數(shù)據(jù)合規(guī)本身的理論思考在很長(zhǎng)一段時(shí)間內(nèi)遭到了學(xué)界的忽視，本文正是立足于這一熱潮下的冷思考，從而引入規(guī)制理論深入分析數(shù)據(jù)合規(guī)背后所隱藏的社會(huì)關(guān)系。概而言之，大數(shù)據(jù)時(shí)代下的企業(yè)掌握著豐富的數(shù)據(jù)資源從而獲得了一定的規(guī)制資源，享有了不同于傳統(tǒng)政府權(quán)力的規(guī)制權(quán)力，而政府也在這一規(guī)制資源分配格局發(fā)生轉(zhuǎn)變的情況下逐漸改變自己的規(guī)制角色，進(jìn)而重新塑造了國(guó)家治理圖景下的規(guī)制空間。在這一理論視角下，單一的企業(yè)視角（公司治理方式）與政府視角（法律激勵(lì)措施）都無(wú)法全面地揭示數(shù)據(jù)合規(guī)的基本性質(zhì)。有鑒于此，本文提出的“企業(yè)—政府”二元共治論將是更具參考意義的理論工具。

在“企業(yè)—政府”二元共治論的理論基礎(chǔ)上，應(yīng)當(dāng)在實(shí)踐層面平衡好企業(yè)與政府之間的規(guī)制權(quán)力沖突，即自我規(guī)制與政府規(guī)制之間的張力。就此而言，規(guī)制理論框架下的“元規(guī)制”可以提供進(jìn)一步的分析視角，即應(yīng)當(dāng)避免將自我規(guī)制與政府規(guī)制相互割裂，而應(yīng)當(dāng)將二者有機(jī)結(jié)合，并從制度建構(gòu)的角度探討二者的互動(dòng)關(guān)系。本文擬提出三種相互關(guān)聯(lián)、循序漸進(jìn)的互動(dòng)方式：在“受指引的自我規(guī)制”中，引入隱私設(shè)計(jì)理論，通過(guò)頒布技術(shù)標(biāo)準(zhǔn)引導(dǎo)企業(yè)在設(shè)計(jì)數(shù)據(jù)處理技術(shù)時(shí)貫徹隱私保護(hù)的價(jià)值理念；在“受監(jiān)督的自我規(guī)制”中，建立風(fēng)險(xiǎn)評(píng)估機(jī)制，要求企業(yè)對(duì)其數(shù)據(jù)合規(guī)制度體系下數(shù)據(jù)處理的各個(gè)階段進(jìn)行風(fēng)險(xiǎn)評(píng)估；在“受限制的自我規(guī)制”中，通過(guò)多元問(wèn)責(zé)方式，合理平衡企業(yè)與專家之間的責(zé)任分擔(dān)，以一種更為彈性的問(wèn)責(zé)方式在不同階段合理確定企業(yè)應(yīng)當(dāng)承擔(dān)的責(zé)任形式。

在Web3.0時(shí)代，數(shù)據(jù)合規(guī)代表著一種“規(guī)制多元主義”的治理理念，即傳統(tǒng)的“政府中心主義”規(guī)制理念已經(jīng)日漸捉襟見(jiàn)肘，各種非政府主體因掌握龐大的數(shù)據(jù)資源也成為了事實(shí)上的規(guī)制主體，享有不可忽視的規(guī)制權(quán)力。在這一規(guī)制圖景下，每個(gè)規(guī)制主體同時(shí)又是被規(guī)制主體，各主體在彼此限制、彼此制衡中共同重構(gòu)了新時(shí)代的規(guī)制空間。就此而言，本文所提出的數(shù)據(jù)合規(guī)“企業(yè)—政府”二元共治論只是“規(guī)制多元主義”下新規(guī)制空間的冰山一角，完整的圖景描繪還將留待進(jìn)一步的理論洞察與審慎分析。

參考文獻(xiàn)：［1］

李勇.數(shù)據(jù)合規(guī)的模式變革——從權(quán)利人“知情同意”到使用者“預(yù)測(cè)算法”［J］.西南政法大學(xué)學(xué)報(bào)，2022（5）：117.

［2］陳兵.數(shù)字企業(yè)數(shù)據(jù)跨境流動(dòng)合規(guī)治理法治化進(jìn)路［J］.法治研究，2023（2）：35-37.

［3］楊力.論數(shù)據(jù)安全的等保合規(guī)范式轉(zhuǎn)型［J］.法學(xué)，2022（6）：24-26.

［4］李玉華，馮泳琦.數(shù)據(jù)合規(guī)的基本問(wèn)題［J］.青少年犯罪問(wèn)題，2021（3）：7-12.

［5］杜何陽(yáng)，何騰蛟.數(shù)據(jù)合規(guī)流通制度的上海經(jīng)驗(yàn)和探索［J］.中國(guó)外資，2020（20）：47-49.

［6］陳瑞華.大數(shù)據(jù)公司的合規(guī)管理問(wèn)題［J］.中國(guó)律師，2020（1）：88.

［7］張旭，田園.算法治理視閾下的企業(yè)合規(guī)：困境、邏輯與進(jìn)路［J］.蘭州大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版），2022（2）：95-96.

［8］王倩，顧雪瑩.GDPR下涉歐企業(yè)的員工個(gè)人數(shù)據(jù)合規(guī)管理［J］.德國(guó)研究，2021（2）：125-136.

［9］何航.企業(yè)數(shù)據(jù)安全合規(guī)治理的關(guān)鍵問(wèn)題與紓解［J］.貴州社會(huì)科學(xué)，2022（10）：127.

［10］胡玲，馬忠法.論中國(guó)企業(yè)數(shù)據(jù)合規(guī)體系的構(gòu)建及其法律障礙［J］.科技與法律，2023（2）：42.

［11］陳瑞華.企業(yè)合規(guī)的基本問(wèn)題［J］.中國(guó)法律評(píng)論，2020（1）：180，183-184.

［12］尹云霞，莊燕君，李曉霞.企業(yè)能動(dòng)性與反腐敗“輻射型執(zhí)法效應(yīng)”［J］.交大法學(xué)，2016（2）：28-41.

［13］陳瑞華.論企業(yè)合規(guī)的基本價(jià)值［J］.法學(xué)論壇，2021（6）：7.

［14］崔永東.從法律激勵(lì)視角看企業(yè)合規(guī)［J］.法治研究，2023（1）：124.

［15］李本燦.企業(yè)合規(guī)程序激勵(lì)的中國(guó)模式［J］.法律科學(xué)，2022（4）：149.

［16］鄢浩宇.企業(yè)數(shù)據(jù)合規(guī)的困境紓解與體系構(gòu)建［J］.華中科技大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版），2024（4）：36.

［17］科林·斯科特.規(guī)制、治理與法律：前沿問(wèn)題研究［M］.安永康，譯.北京：清華大學(xué)出版社，2018：115-116.

［18］倪洪濤.論西方行政法治的主要類型［J］.法律科學(xué)（西北政法大學(xué)學(xué)報(bào)），2022（3）：114，116.

［19］Edwin Amenta. Bold Relief： Institutional Politics and the Origins of Modern American Social Policy［M］. Princeton： Princeton University Press，1998：200.

［20］桑斯坦.權(quán)利革命之后：重塑規(guī)制國(guó)［M］.鐘瑞華，譯.北京：中國(guó)人民大學(xué)出版社，2008：24-25.

［21］陳明.認(rèn)真對(duì)待規(guī)制——評(píng)《規(guī)制、治理與法律：前沿問(wèn)題研究》［J］.公法研究，2021（1）：396-417.

［22］克里斯托弗·胡德等.監(jiān)管政府：節(jié)儉、優(yōu)質(zhì)與廉政體制設(shè)置［M］.陳偉，譯.上海：三聯(lián)書(shū)店出版社，2009：12.

［23］Peter Grabosky. Using Non-Governmental Resources to Foster Regulatory Compliance［J］. Governance，1995（8）：527.

［24］Richard Pildes， Cass Sunstein. Reinventing the Regulatory State［J］. The University of Chicago Law Review，1995（1）：62.

［25］何敏，馬詩(shī)雅.互聯(lián)網(wǎng)企業(yè)數(shù)據(jù)不正當(dāng)競(jìng)爭(zhēng)一般條款適用邏輯之辨［J］.科技與法律，2022（2）：54-62.

［26］沈費(fèi)偉，諸靖文.數(shù)據(jù)賦能：數(shù)字政府治理的運(yùn)作機(jī)理與創(chuàng)新路徑［J］.政治學(xué)研究，2021（1）：104-115.

［27］孫笑俠.數(shù)字權(quán)力如何塑造法治？——關(guān)于數(shù)字法治的邏輯與使命［J］.法制與社會(huì)發(fā)展，2024（2）：67-69.

［28］胡凌.平臺(tái)發(fā)包制：當(dāng)代中國(guó)平臺(tái)治理的內(nèi)在邏輯［J］.文化縱橫，2023（4）：18-27.

［29］Michael Clarke. Regulation： The Social Control of Business Between Law and Politics［M］. London：Palgrave Macmillan，2000：25-26.

［30］季衛(wèi)東.主權(quán)的嬗變——數(shù)字化“魔獸世界”與法律秩序創(chuàng)新［J］.交大法學(xué)，2023（5）：8-13.

［31］羅伯特·鮑德溫，馬丁·凱夫，馬丁·洛奇.牛津規(guī)制手冊(cè)［M］.宋華琳，李鸻，安永康，等，譯，上海：三聯(lián)書(shū)店出版社，2017：167.

［32］韓新華.平臺(tái)時(shí)代網(wǎng)絡(luò)內(nèi)容治理的元規(guī)制模式［J］.中國(guó)出版，2022（5）：51.

［33］周漢華.探索激勵(lì)相容的個(gè)人數(shù)據(jù)治理之道——中國(guó)個(gè)人信息保護(hù)法的立法方向［J］.法學(xué)研究，2018（2）：3-23.

［34］Macenaite. The Riskification of European Data Protection Law Through a Two-fold Shift［J］. European Journal of Risk Regulation，2017（3）：506-540．

［35］劉紹宇.超大互聯(lián)網(wǎng)平臺(tái)中個(gè)人信息保護(hù)獨(dú)立監(jiān)督機(jī)構(gòu)的元規(guī)制論［J］.重慶理工大學(xué)學(xué)報(bào)（社會(huì)科學(xué)），2023（5）：127.

［36］占南.重大疫情防控中的個(gè)人信息保護(hù)研究——基于隱私保護(hù)設(shè)計(jì)理論［J］.現(xiàn)代情報(bào)，2021（1），104-105.

［37］張濤.個(gè)人數(shù)據(jù)保護(hù)中“通過(guò)設(shè)計(jì)保護(hù)隱私”的基本原理與制度建構(gòu)［J］.華東理工大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版），2020（6）：133-135.

［38］Jaap-Henk Hoepman. Privacy Design Strategies［M］. Berlin： Springer，2014：51-52.

［39］阿圖爾·考夫曼.法律哲學(xué)［M］.劉幸義，等，譯.北京：法律出版社，2011：143.

［40］張濤.大數(shù)據(jù)時(shí)代“通過(guò)設(shè)計(jì)保護(hù)數(shù)據(jù)”的元規(guī)制［J］.大連理工大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版），2021（2）：86.

［41］段俊熙，徐亞文.隱私設(shè)計(jì)的數(shù)字權(quán)力風(fēng)險(xiǎn)與多元優(yōu)化路徑［J］.長(zhǎng)江論壇，2024（6）：78.

［42］鄭志峰.人工智能時(shí)代的隱私保護(hù)［J］.法律科學(xué)，2019（2）：57.

［43］段俊熙.重構(gòu)人工智能風(fēng)險(xiǎn)治理：從內(nèi)部視角到外部視角［J］.西安電子科技大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版），2024（2）：68-69.

［44］周黎安.中國(guó)地方官員的晉升錦標(biāo)賽模式研究［J］.經(jīng)濟(jì)研究，2007（7）：38.

［45］張繼紅.經(jīng)設(shè)計(jì)的個(gè)人信息保護(hù)機(jī)制研究［J］.法律科學(xué)，2022（3）：42.

［46］Demetrius Klitou. Liberty and Security in the 21st Century［M］. Berlin：Springer，2014：282-283.

［47］lan Ayres，John Braithwaite. Responsive Regulation： Transcending the Deregulation Debate［M］. London： Oxford University Press，1992：35.

［48］陳瑞華.企業(yè)合規(guī)基本理論［M］.北京：法律出版社，2022：495.

Towards Dual Co-governance for Data Compliance：

From the Perspective of Regulatory Theory

DUAN Junxi，XU Yawen

Abstract： A correct understanding of the concept of data compliance should start from the perspective of the history of regulation （welfare state-regulatory state-post-regulatory state）： the post-regulatory state is a corrective development of the regulatory state rather than a total rejection of the regulatory state， and therefore， the theory of “business-government” dualism is the theoretical path to comprehensively interpret the basic nature of data compliance. Combining the dual perspectives of the enterprise and the government， the theory of regulation is introduced to analyze the allocation of regulatory resources and the reconfiguration of regulatory space between the enterprise and the government. On this basis， the theoretical perspective of “meta-regulation” is used to unify self-regulation and government regulation under the framework of data compliance， and the institutional structure of data compliance can be developed from three perspectives： in “guided self-regulation”， privacy design theory is introduced to guide enterprises in the design of data processing through the issuance of In “guided self-regulation”， the theory of privacy design is introduced， and enterprises are guided to implement the value concept of privacy protection in the design of data processing technology through the promulgation of technical standards; in “supervised self-regulation”， a risk assessment mechanism is established， requiring enterprises to assess the risk of each stage of data processing under the system of their data compliance system; in “restricted self-regulation”， multiple accountability mechanisms are established to ensure that enterprises are able to fulfill their obligations under the system of data compliance. In “restricted self-regulation”， a reasonable balance is struck between the sharing of responsibilities between enterprises and experts through multiple accountability methods， so as to reasonably determine the forms of responsibility that enterprises should assume at different stages in a more flexible manner.

Key words： data compliance; dual co-governance; self-regulation; government regulation; meta-regulation

（責(zé)任編輯：葉光雄）