鮑 坤

(1.上海交通大學(xué)凱原法學(xué)院，上海 200030；2.上海交通大學(xué)智慧法院研究院，上海 200030)

1 個(gè)人數(shù)據(jù)的法律保護(hù)困境

1.1 利益保護(hù)模式之困——既定規(guī)則與個(gè)案裁量矛盾

數(shù)字經(jīng)濟(jì)的快速發(fā)展無法忽視對(duì)數(shù)據(jù)進(jìn)行規(guī)則之治的呼聲。為了取得合法、真實(shí)、可信的數(shù)字利益，社會(huì)各界對(duì)數(shù)據(jù)的態(tài)度也從趨之若鶩逐漸回歸理性。正如科斯[1]提出權(quán)利的界定是市場交易的基本前提，基于多元利益訴求的各方主體迫切需要以確權(quán)的手段形成特定條件下對(duì)數(shù)據(jù)穩(wěn)定、可預(yù)期的支配[2]。但從法律公平正義視角，權(quán)利界定不能單方面為市場服務(wù)，更應(yīng)該在明確數(shù)據(jù)權(quán)利的同時(shí)嚴(yán)守公民個(gè)人數(shù)據(jù)的安全底線[3]。由此看出，圍繞個(gè)人數(shù)據(jù)這一基本生產(chǎn)要素，支撐、運(yùn)營數(shù)據(jù)平臺(tái)的數(shù)據(jù)業(yè)者 (在各國法律中通常被稱為數(shù)據(jù)處理者或數(shù)據(jù)控制者)與個(gè)人數(shù)據(jù)主體之間的緊張關(guān)系成為數(shù)權(quán)立法時(shí)代面臨的主要矛盾[4]。中國處理該矛盾的做法并非在二者間直接界定產(chǎn)權(quán)，而是在私法層面通過 《民法典》明確個(gè)人信息作為 “利益”受法律保護(hù)，另在公法層面已通過 《數(shù)據(jù)安全法》 《個(gè)人信息保護(hù)法》規(guī)定數(shù)據(jù)處理者的義務(wù)與責(zé)任，形成圍繞數(shù)據(jù) “合法利益”保護(hù)的公私法交叉格局 (為了區(qū)別于傳統(tǒng)人格權(quán)，且涵蓋數(shù)據(jù)作為生產(chǎn)要素的財(cái)產(chǎn)屬性，本文亦將個(gè)人信息稱為個(gè)人數(shù)據(jù))。由于公法層面多涉及行政監(jiān)管，個(gè)人在訴諸數(shù)據(jù)保護(hù)時(shí)多依賴侵權(quán)責(zé)任路徑。而侵權(quán)責(zé)任又區(qū)分權(quán)利保護(hù)模式和利益保護(hù)模式，二者區(qū)別在于，權(quán)利保護(hù)模式的過錯(cuò)認(rèn)定標(biāo)準(zhǔn)為權(quán)利受到侵害，不及于損害發(fā)生 (違法即過錯(cuò))；而利益保護(hù)模式的過錯(cuò)認(rèn)定標(biāo)準(zhǔn)為損失發(fā)生，需要法官在個(gè)案中進(jìn)行利益平衡。由于個(gè)人數(shù)據(jù)并未被權(quán)利化保護(hù)，法院在審理此類糾紛時(shí)多采用利益保護(hù)路徑，法官只能依據(jù)概括式的條款內(nèi)容進(jìn)行自由裁量，難免出現(xiàn)規(guī)則適用標(biāo)準(zhǔn)的混亂，進(jìn)而導(dǎo)致裁判效果的參差不齊。

從 《民法典》頒布后圍繞個(gè)人與企業(yè)之間數(shù)據(jù)糾紛的兩起典型案例談起。在王某訴騰訊微視隱私、個(gè)人信息網(wǎng)絡(luò)侵權(quán)案 (案號(hào)2020粵0305民初825，以下簡稱 “微視案”)以及凌某某訴北京微播視界科技有限公司侵權(quán)案 (案號(hào)2019京0491民初6694，以下簡稱 “抖音案”)中，法官都借助自由裁量對(duì)個(gè)人與企業(yè)之間的利益作出內(nèi)心的衡量，認(rèn)定企業(yè)的利益趨向性以及數(shù)據(jù)流通促成經(jīng)濟(jì)發(fā)展能夠作為收集數(shù)據(jù)行為的正當(dāng)理由 (裁判文書原文表達(dá)為 “存在一定合理性”)，再套用現(xiàn)有規(guī)則 (如 《民法典》1035條規(guī)定的合法、正當(dāng)、必要原則)進(jìn)行保護(hù)，認(rèn)可企業(yè)就算未取得個(gè)人的知情同意，也可以依靠在后端采取妥善保護(hù)和合理處理獲得法律的承認(rèn)，甚至無需對(duì)個(gè)人數(shù)據(jù)主體的其他權(quán)利作出回應(yīng)。上述兩個(gè)案例較為典型地體現(xiàn)了數(shù)據(jù)利益保護(hù)模式的弊端，基于個(gè)案利益權(quán)衡的特殊性， “知情同意”等判斷數(shù)據(jù)收集處理行為的合法性要件難以避免淪落為利益平衡的對(duì)象，進(jìn)一步導(dǎo)致判斷數(shù)據(jù)業(yè)者具備 “過錯(cuò)”標(biāo)準(zhǔn)的模糊不清，數(shù)據(jù)全生命周期的合法邏輯也將發(fā)生斷裂。另外，法官在裁判過程中對(duì)數(shù)字領(lǐng)域的術(shù)語也存在誤用現(xiàn)象，如以數(shù)據(jù)的場景特殊性作為個(gè)案自由裁量的托辭，抖音案中法官主張?jiān)诰唧w應(yīng)用場景中考察個(gè)人信息的合理使用情形，實(shí)質(zhì)是在具體個(gè)案中衡量個(gè)人信息的合理使用適用范圍。 “場景”一詞作為技術(shù)領(lǐng)域中的用語，應(yīng)是對(duì)數(shù)據(jù)運(yùn)行的時(shí)空情境作出的類型化歸納，與非 “場景”下的一般規(guī)范形成對(duì)比，反映數(shù)據(jù)運(yùn)行模式并促進(jìn)場景規(guī)范的形成，而個(gè)案自由裁量僅限于個(gè)案雙方當(dāng)事人的利益衡量，很難具有規(guī)范上的可參照性 ( “抖音案”與 “微視案”中為了平衡個(gè)人利益和企業(yè)數(shù)據(jù)利益而突破既有規(guī)則的思路明顯屬于后者)，因?yàn)槿绻创诉壿?，?shù)據(jù)業(yè)者都可以通過采取后端合理處理措施免除向數(shù)據(jù)主體征求同意的義務(wù)， “知情同意”制度的意義也將不復(fù)存在?？梢?，數(shù)據(jù)的技術(shù)領(lǐng)域話語在法律的適用過程中存在壁壘，加劇了利益保護(hù)模式中自由裁量的不確定性。加之國內(nèi)公私法交叉的數(shù)據(jù)利益保護(hù)格局，即便在 《個(gè)保法》生效后，司法裁判當(dāng)中援引的法律依然可能涵蓋 《民法典》 《數(shù)據(jù)安全法》 《消費(fèi)者權(quán)益保護(hù)法》 《合同法》 《網(wǎng)絡(luò)安全法》等多部法律，不利于此類案件自由裁量的規(guī)范體系形成。

由此看來，現(xiàn)有利益保護(hù)的模式存在既定規(guī)則與個(gè)案裁量之間的緊張關(guān)系。如果社會(huì)公眾無法依據(jù)規(guī)則辨明數(shù)據(jù)行為的違法性邊界 (侵權(quán)責(zé)任中的過錯(cuò)要件)，那么進(jìn)一步明晰數(shù)據(jù)行為合法性、推進(jìn)數(shù)據(jù)確權(quán)將無從談起。因此，有必要轉(zhuǎn)向以權(quán)利保護(hù)路徑調(diào)整數(shù)據(jù)業(yè)者與個(gè)人數(shù)據(jù)主體間的關(guān)系，探索數(shù)據(jù)權(quán)利保護(hù)的穩(wěn)定可行路徑。

1.2 權(quán)利保護(hù)模式之困——義務(wù)規(guī)則的重要性及其瓶頸

是不是權(quán)利，這是個(gè)法技術(shù)問題，而不是一個(gè)僅由重要性決定的問題，更不是一個(gè)價(jià)值宣示的問題[5]。個(gè)人數(shù)據(jù)權(quán)利化的難點(diǎn)已為學(xué)界廣為探討，主要?dú)w納如下：①傳統(tǒng)民事權(quán)利理論難以清晰有效地指涉數(shù)據(jù)這類缺少特定邊界、無法獨(dú)立且靜態(tài)地存在、財(cái)產(chǎn)價(jià)值不確定的對(duì)象[6]；②法理學(xué)角度下權(quán)利概念和本質(zhì)都尚未形成占支配地位的理論體系，正如羅斯科·龐德[7]指出，在法律和法學(xué)文獻(xiàn)中沒有一個(gè)詞比權(quán)利更加含混不清，權(quán)利的證成在多元利益沖突下的現(xiàn)代社會(huì)成為一個(gè)復(fù)雜的命題。但以上難題并非不可解決，首先，需要借助技術(shù)化的語言將場景作為橫軸、全生命周期作為縱軸，類型化梳理數(shù)據(jù)的運(yùn)行模式和活動(dòng)范圍；其次，將利益作為現(xiàn)代權(quán)利的內(nèi)核[8]，探討利益向權(quán)利的轉(zhuǎn)化，把妥當(dāng)處理數(shù)據(jù)承載的不同利益、法益的生成條件以及法益平行保護(hù)問題作為數(shù)據(jù)權(quán)解決的主要目標(biāo)[9]；明確 “利益”上升到法律維護(hù)的 “法益”所須具備的條件 (也即 “義務(wù)”)，形成 “法益—義務(wù)”的多方行為約束架構(gòu)。義務(wù)的內(nèi)容同樣作為侵權(quán)責(zé)任中過錯(cuò)要件 (違法性)的認(rèn)定標(biāo)準(zhǔn)，成為數(shù)據(jù)權(quán)受到侵害時(shí)提出救濟(jì)訴求的依據(jù)。相比起對(duì)個(gè)人數(shù)據(jù)進(jìn)行非此即彼的單一化權(quán)屬劃分，這種架構(gòu)顯然更符合數(shù)據(jù)活動(dòng)的實(shí)踐情況。

為了使上述這種相對(duì)穩(wěn)定的權(quán)利架構(gòu)能夠?qū)崿F(xiàn)，個(gè)人數(shù)據(jù)的權(quán)利架構(gòu)將具備以下傳統(tǒng)的民事權(quán)利沒有的特征：①數(shù)據(jù)權(quán)的領(lǐng)域性、場景性。因?yàn)閿?shù)據(jù)權(quán)對(duì)外的排他性建立在特定主體之間已形成穩(wěn)定的 “法益—義務(wù)”架構(gòu)前提之上，該架構(gòu)的形成需要各主體在數(shù)據(jù)活動(dòng)中實(shí)時(shí)表達(dá)自身的價(jià)值取向與意思表示，超過特定領(lǐng)域和場景，這些價(jià)值取向和意思的含義就可能發(fā)生改變；②數(shù)據(jù)權(quán)在穩(wěn)定的架構(gòu)下存在著動(dòng)態(tài)性。基于數(shù)據(jù)總是呈現(xiàn)線性、閉環(huán)性的生命周期形態(tài)，數(shù)據(jù)權(quán)相對(duì)的穩(wěn)定性架構(gòu)應(yīng)建立在多方主體在各個(gè)環(huán)節(jié)理性做出意思表示前提下，因此，需要在不同環(huán)節(jié)為利益相關(guān)方提供充足的信息渠道，減少他們之間的信息不對(duì)等；③技術(shù)性。數(shù)據(jù)權(quán)的穩(wěn)定架構(gòu)實(shí)現(xiàn)需要借助法律之外的話語體系，因?yàn)閿?shù)據(jù)活動(dòng)具有其自身的特征和規(guī)律，傳統(tǒng)民事法律話語體系往往不能精準(zhǔn)描述，需要吸納數(shù)據(jù)活動(dòng)中的技術(shù)用語，幫助各利益相關(guān)方在特定的條件下形成對(duì)數(shù)據(jù)的精確支配或控制，正如美國學(xué)者喬爾·雷登伯格指出，信息 (或數(shù)據(jù))法的模式應(yīng)采用技術(shù)或技術(shù)協(xié)議[10]，法律若沒有技術(shù)回應(yīng)將難以發(fā)揮實(shí)效[11]，但這并不意味著數(shù)據(jù)權(quán)完全是技術(shù)管控的問題，技術(shù)用語將緊緊圍繞各方主體獲得數(shù)據(jù)法益的合法性與正當(dāng)性，技術(shù)的用語同樣旨在達(dá)到 “法益—義務(wù)”相對(duì)應(yīng)的權(quán)利內(nèi)在狀態(tài)，形成具有法律約束效果的準(zhǔn)則。由此來看， “數(shù)據(jù)”與 “權(quán)利”兩個(gè)概念結(jié)合衍生出權(quán)利的新型樣態(tài)，即一種具有生命周期特征、以特定場景下多方利益表達(dá)和義務(wù)履行作為內(nèi)容和邊界、融合傳統(tǒng)法律語言和技術(shù)語言的新興權(quán)利，它并非是對(duì)傳統(tǒng)權(quán)利理論的徹底革新，而是依據(jù)現(xiàn)代權(quán)利理論衡量利益的內(nèi)核，結(jié)合數(shù)據(jù)在事實(shí)層面的活動(dòng)規(guī)律推導(dǎo)得出的權(quán)利樣態(tài)。

因此，對(duì)數(shù)據(jù)權(quán)的認(rèn)知已經(jīng)不能停留在對(duì)數(shù)據(jù)主體進(jìn)行靜態(tài)、單線式的賦權(quán)[12]，而應(yīng)著眼數(shù)據(jù)權(quán)內(nèi)部連接多方主體的 “義務(wù)—法益”框架。這其中，義務(wù)規(guī)則作為數(shù)據(jù)權(quán)架構(gòu)現(xiàn)的重要前提，具有間接證成并實(shí)現(xiàn)權(quán)利的至關(guān)重要功能[13]。那是因?yàn)椋x務(wù)規(guī)則能夠明確、動(dòng)態(tài)指引相關(guān)主體的行為，減少市場不確定性，降低市場費(fèi)用，優(yōu)化價(jià)值規(guī)律實(shí)現(xiàn)的資源優(yōu)化配置路徑[14]，是權(quán)利的重要實(shí)現(xiàn)方式。在權(quán)利的救濟(jì)層面，侵權(quán)責(zé)任法以義務(wù)的履行情況作為判斷 “違法性”過錯(cuò)要件的重要依據(jù)。以上作用意味著，義務(wù)規(guī)則是過錯(cuò)侵權(quán)責(zé)任認(rèn)定的核心[15]，更是明晰權(quán)利邊界的重要基準(zhǔn)。從 “抖音案”和 “微視案”的角度看，正是由于義務(wù)規(guī)則的不自洽和模糊性造成其指引功能的式微。義務(wù)規(guī)則的指引功能缺陷一方面來源于成文法自身的屬性，由于成文法的制定需要耗費(fèi)高昂的人力物力與時(shí)間成本，無法避免形成與數(shù)據(jù)實(shí)踐狀況之間的落差；另一方面，成文法注重效力的一般性與普適性，其規(guī)則內(nèi)容難以窮盡細(xì)節(jié)。立法者常以審慎的姿態(tài)對(duì)待尚未明確的概念，雖然從中國 《民法典》對(duì)數(shù)據(jù)保護(hù)的概括性立法到 《數(shù)據(jù)安全法》 《個(gè)保法》等規(guī)范的發(fā)展與細(xì)化中可以看到立法者完善規(guī)則體系及內(nèi)容的努力，但面對(duì)技術(shù)高速發(fā)展帶來日益復(fù)雜的數(shù)據(jù)活動(dòng)，成文法難以體現(xiàn)其全面性、有效性、及時(shí)性的規(guī)范功能。雖然有學(xué)者提出成文法義務(wù)規(guī)則對(duì)大規(guī)模、大體量、性質(zhì)嚴(yán)重、易發(fā)現(xiàn)的侵犯個(gè)人數(shù)據(jù)行為具有較好的懲治效果[16]，但對(duì)作為生產(chǎn)要素的數(shù)據(jù)利益精細(xì)平衡效果有限。

另一個(gè)更重要的層面是從法經(jīng)濟(jì)學(xué)的角度看，靜態(tài)體系化、重罰則的成文法在對(duì)義務(wù)規(guī)則進(jìn)行細(xì)化時(shí)，雖然有助于明晰權(quán)利內(nèi)容邊界，但會(huì)不斷增加數(shù)據(jù)平臺(tái)一方承擔(dān)的合規(guī)成本。正如Posner在侵權(quán)責(zé)任的積極經(jīng)濟(jì)理論中的觀點(diǎn)，衡量義務(wù)履行的經(jīng)濟(jì)效益不應(yīng)僅著眼治理總成本與總收益之比，更應(yīng)當(dāng)考慮隨著治理水平提升過程中的邊際成本增量[17]，從相同假設(shè)下數(shù)據(jù)業(yè)者 (在圖1[18]、圖2[19]中以A表示)遵循義務(wù)規(guī)則的角度看，隨著數(shù)據(jù)業(yè)者為預(yù)防數(shù)據(jù)侵權(quán)而履行義務(wù)的水平 (自變量x)不斷攀升，由于數(shù)據(jù)合規(guī)體系愈加龐大、復(fù)雜，進(jìn)一步提升履行義務(wù)的難度將越來越大，其內(nèi)部治理的邊際成本會(huì)遞增，即圖1中呈增勢的A′ (x)曲線，預(yù)防成本量增速亦會(huì)因此不斷攀升，即圖2中陡然攀升的wx曲線。雖然發(fā)生違反義務(wù)規(guī)則侵犯個(gè)人數(shù)據(jù)權(quán)利的可能性p在降低，但由于每增加1個(gè)單位的義務(wù)規(guī)則履行成本所能避免的損害，即圖1中的邊際收益-p′ (x)D也在遞減，治理后仍會(huì)造成的整體損失的減少趨勢會(huì)漸漸趨于平緩，即圖2中漸趨平緩的p (x)A曲線。原則上，最優(yōu)履行義務(wù)的水平應(yīng)當(dāng)在邊際收益與邊際成本相同時(shí) (即x為x*時(shí))，社會(huì)成本SC最小。此時(shí)數(shù)據(jù)業(yè)者A履行義務(wù)成本與可能發(fā)生的對(duì)個(gè)人數(shù)據(jù)侵權(quán)損害之和即wx+p (x)A處于最低狀態(tài)。如果義務(wù)規(guī)則履行的水準(zhǔn)超過了x*，社會(huì)成本呈遞增趨勢，即圖2中x*之后的SC曲線段，此時(shí)進(jìn)入整個(gè)治理體系的低效期，此階段無論義務(wù)規(guī)則如何增加、細(xì)化，無論數(shù)據(jù)業(yè)者如何盡全力去遵守義務(wù)規(guī)則，圍繞數(shù)據(jù)生產(chǎn)要素的治理體系都將耗損社會(huì)整體資源。換言之，就算依賴成文法不斷細(xì)化的義務(wù)規(guī)則內(nèi)容，數(shù)據(jù)業(yè)者的治理也無法避免走向因邊際成本遞增、邊際收益遞減而形成的社會(huì)成本遞增的效益低谷。因此，如何在義務(wù)規(guī)則穩(wěn)定數(shù)據(jù)權(quán)利架構(gòu)的功能需求持續(xù)增加的前提下，盡可能減少效益低谷的負(fù)面影響，亦成為數(shù)據(jù)權(quán)利構(gòu)建中亟需突破的瓶頸。

圖1 邊際成本和邊際收益最優(yōu)模型

圖2 預(yù)防量與社會(huì)成本最優(yōu)模型

綜上，雖然數(shù)據(jù)的權(quán)利保護(hù)模式比利益保護(hù)模式更加符合多方主體對(duì)數(shù)據(jù)保護(hù)的穩(wěn)定預(yù)期，但在義務(wù)規(guī)則的立法技術(shù)和效益可持續(xù)性層面存在諸多難解之困。

2 義務(wù)規(guī)則何以訴諸技術(shù)軟法

為了克服個(gè)人數(shù)據(jù)權(quán)利保護(hù)的義務(wù)規(guī)則滯后屬性以及邊際成本遞增效應(yīng)帶來的制度效益低谷，有必要重新思考義務(wù)規(guī)則的存在形式。正如哈耶克[20]有關(guān) “社會(huì)乃一種自生自發(fā)的秩序”之論述，與其局限于立法者自上而下的視角局限性，不妨觀察那些盈利驅(qū)使下具備技術(shù)優(yōu)勢、算力基礎(chǔ)、行業(yè)實(shí)踐經(jīng)驗(yàn)的數(shù)據(jù)業(yè)者對(duì)個(gè)人數(shù)據(jù)進(jìn)行保護(hù)和利用的實(shí)踐做法。他們?yōu)榱司徑獬晌姆ㄒ?guī)則中的高昂合規(guī)成本問題以及內(nèi)容及時(shí)性問題，嘗試以場景化、業(yè)務(wù)化思路尋找解決之道，進(jìn)而形成了一種以市場化促成利益激勵(lì)機(jī)制，以領(lǐng)域化促成動(dòng)態(tài)性、專業(yè)性行為準(zhǔn)則的規(guī)范性探索——軟法形式的 “技術(shù)標(biāo)準(zhǔn)”。近年來，法學(xué)界已經(jīng)逐漸意識(shí)到技術(shù)標(biāo)準(zhǔn)作為一種軟法將對(duì)傳統(tǒng)法律體系造成的重要影響，有學(xué)者提出軟法的發(fā)展是現(xiàn)代社會(huì)關(guān)系和事物多樣性、復(fù)雜性、變動(dòng)性與國家立法認(rèn)識(shí)能力的有限性的矛盾使然[21]。數(shù)據(jù)權(quán)保護(hù)在成文法當(dāng)中的困境正反映了這種矛盾，也反映了技術(shù)軟法介入其中的必要。

英國標(biāo)準(zhǔn)協(xié)會(huì) (簡稱 “BSI”)對(duì) “標(biāo)準(zhǔn)”一詞的定義是 “標(biāo)準(zhǔn)本質(zhì)上是既定的做事方式”，雖然與法律當(dāng)中的 “義務(wù)”同樣是對(duì) “應(yīng)然性”的追求，但是標(biāo)準(zhǔn)顯然更注重以明確的指引打通主體間的信息渠道、塑造利益博弈空間，更加具有現(xiàn)實(shí)指引性。以國內(nèi)的技術(shù)標(biāo)準(zhǔn)體系舉例之，近年來國內(nèi)技術(shù)標(biāo)準(zhǔn)體系的搭建不乏創(chuàng)新之舉，例如 《金融數(shù)據(jù)安全 數(shù)據(jù)安全分級(jí)指南》 (JR/T 0197—2020)，其結(jié)合金融行業(yè)的實(shí)踐經(jīng)驗(yàn)和數(shù)據(jù)基礎(chǔ)，以數(shù)據(jù)影響的程度、影響對(duì)象、數(shù)據(jù)特征等維度構(gòu)建起金融行業(yè)中的數(shù)據(jù)識(shí)別和分級(jí)分類管控機(jī)制，并使利益相關(guān)方能夠特定化，在領(lǐng)域內(nèi)較完整地解決數(shù)據(jù)生產(chǎn)要素的定性與保護(hù)的問題；再如，為了響應(yīng) 《民法典》個(gè)人信息的有關(guān)條款而在2020年再次修訂的 《信息安全技術(shù) 個(gè)人信息安全規(guī)范》 (GB/T 35273—2020) (以下簡稱 《個(gè)人信息規(guī)范》)，以數(shù)據(jù)全生命周期為軸線明確個(gè)人數(shù)據(jù)主體與控制者的行為準(zhǔn)則，并針對(duì)當(dāng)下存在捆綁授權(quán)下的知情同意架空、個(gè)性化推薦和生物識(shí)別、第三方數(shù)據(jù)接入管理等問題作出新的回應(yīng)。其內(nèi)容相比起 《民法典》當(dāng)中相對(duì)概括性的規(guī)范表達(dá)更細(xì)致且體系化。但是，國內(nèi)對(duì)技術(shù)標(biāo)準(zhǔn)保護(hù)個(gè)人數(shù)據(jù)的規(guī)范性的定位停留在法律之外的技術(shù)領(lǐng)域，認(rèn)為技術(shù)標(biāo)準(zhǔn)僅是服務(wù)于行業(yè)利益的外部話語體系，一般不作為法律適用的依據(jù)，例如在 “微視案”當(dāng)中針對(duì)社交關(guān)系是否屬于個(gè)人信息的案件爭議中，法院就作出了與 《個(gè)人信息規(guī)范》當(dāng)中將社交關(guān)系納入個(gè)人信息保護(hù)范疇的規(guī)定完全相反的判決。究其原因，國內(nèi)對(duì)技術(shù)軟法的應(yīng)用仍然處于與現(xiàn)行法律脫節(jié)的尷尬境地，其適用性和指引性必然受限。

可見，技術(shù)軟法要發(fā)揮指引功能的優(yōu)勢，幫助義務(wù)規(guī)則從立法技術(shù)層面實(shí)現(xiàn) “義務(wù)—法益”的權(quán)利內(nèi)容，瓶頸在于技術(shù)軟法本身的效力。針對(duì)技術(shù)軟法的效力問題，學(xué)界仍爭議不斷。有學(xué)者認(rèn)為從法的形式要件來判斷，技術(shù)標(biāo)準(zhǔn)只有在滿足中國2018新 《標(biāo)準(zhǔn)化法》當(dāng)中對(duì)標(biāo)準(zhǔn)制定主體、審批主體、特定流程等條件 (例如要求國務(wù)院批準(zhǔn))才可以成為強(qiáng)制性國家標(biāo)準(zhǔn)，并最終以一種特殊的行政規(guī)范性文件形式呈現(xiàn)[22]，但其本質(zhì)仍接近硬法性質(zhì)的成文法。但是，有學(xué)者[23]從法的實(shí)質(zhì)性要件角度認(rèn)為，就算不依賴國家強(qiáng)制力保障，而主要依靠成員自覺、共同體的制度約束、社會(huì)輿論、利益驅(qū)動(dòng)也可以構(gòu)成軟法的效力本源。法經(jīng)濟(jì)學(xué)的主流觀點(diǎn)也提出，法律的引導(dǎo)和約束作用本質(zhì)是建立在趨利避害的理性人假設(shè)之上的，因此除了制定法之外的利益導(dǎo)向機(jī)制也可以具備與法律平行的約束力，軟法與硬法應(yīng)皆為現(xiàn)代法的基本表現(xiàn)形式[24]。

由于國內(nèi)技術(shù)軟法體系并未明顯形成與成文法體系銜接的利益導(dǎo)向機(jī)制，導(dǎo)致其規(guī)范效果受限。但從比較法視野看，國外對(duì)于技術(shù)標(biāo)準(zhǔn)嵌入法律對(duì)數(shù)據(jù)的保護(hù)并形成利益導(dǎo)向的機(jī)制已具備規(guī)模且形成體系化的經(jīng)驗(yàn)，尤其是歐盟 《一般數(shù)據(jù)保護(hù)條例》 (以下簡稱 “GDPR”)、國際標(biāo)準(zhǔn)化組織 (以下簡稱 “ISO”)與國際電工委員會(huì) (以下簡稱 “IEC”)制定的 《隱私信息管理要求與指南》 (Privacy information managment-Requirements and guildlines，ISO/IEC 27701，以下簡稱 “27701號(hào)標(biāo)準(zhǔn)”，該標(biāo)準(zhǔn)中的 “隱私信息Privacy information”與 “個(gè)人信息” “個(gè)人數(shù)據(jù)”內(nèi)涵無異)[25]之間的嵌入式互動(dòng)為探索成文法與技術(shù)軟法之間的關(guān)系提供典型實(shí)例，其典型性體現(xiàn)在3個(gè)層面。

(1)成文法層面，GDPR雖然在實(shí)施中面臨諸多爭議，但其作為數(shù)據(jù)集成式立法的典例具備體系完整性、要素豐富性和領(lǐng)域適應(yīng)性，加之國內(nèi)法學(xué)界思考數(shù)據(jù)權(quán)問題也傾向成文法的解決思路，這為本文提供了批判性思考的高價(jià)值樣本。

(2)技術(shù)標(biāo)準(zhǔn)層面，27701號(hào)標(biāo)準(zhǔn)作為國際通行的技術(shù)軟法，目的在于評(píng)估數(shù)據(jù)業(yè)者的組織載體是否具備個(gè)人數(shù)據(jù)管理 (這里廣義的 “管理”包含數(shù)據(jù)全生命周期的收集、處理、存儲(chǔ)、流轉(zhuǎn)、應(yīng)用等數(shù)據(jù)行為)的資質(zhì)，在內(nèi)容上將個(gè)人數(shù)據(jù)安全從宏觀的信息安全、數(shù)據(jù)安全、系統(tǒng)安全等ISO系列其他技術(shù)標(biāo)準(zhǔn)已有規(guī)定的內(nèi)容體系中獨(dú)立出來，創(chuàng)新性地將逐條有關(guān)個(gè)人數(shù)據(jù)保護(hù)的技術(shù)標(biāo)準(zhǔn)映射到GDPR的具體條文中 (原文附錄D)，并且該映射關(guān)系由GDPR的立法委員會(huì)成員參與制作，為數(shù)據(jù)保護(hù)研究跨域 “技術(shù)”與 “法律”兩個(gè)話語體系的互動(dòng)提供具有立法權(quán)威性的實(shí)例。

(3)從法經(jīng)濟(jì)學(xué)角度觀察的效力模式層面，27701號(hào)標(biāo)準(zhǔn)雖然沒有公權(quán)力作為效力支撐，但有英國標(biāo)準(zhǔn)協(xié)會(huì) (BSI)這類權(quán)威性的國際標(biāo)準(zhǔn)制定、認(rèn)證組織將根據(jù)27701號(hào)標(biāo)準(zhǔn)的內(nèi)容對(duì)特定的企業(yè)組織在進(jìn)行某項(xiàng)業(yè)務(wù)時(shí)進(jìn)行個(gè)人數(shù)據(jù)保護(hù)評(píng)估[26]，如符合標(biāo)準(zhǔn)則會(huì)頒發(fā)認(rèn)證。該認(rèn)證在標(biāo)準(zhǔn)協(xié)會(huì)的會(huì)員國之間具有較高權(quán)威性，數(shù)據(jù)業(yè)者也將獲得可轉(zhuǎn)化為經(jīng)濟(jì)利益的商業(yè)聲譽(yù)和營商契機(jī)?？梢姡?7701號(hào)標(biāo)準(zhǔn)的效力產(chǎn)生模式已經(jīng)形成了典型的利益導(dǎo)向機(jī)制。這種利益導(dǎo)向機(jī)制正是解決Posner在侵權(quán)責(zé)任的積極經(jīng)濟(jì)理論中提到的制度邊際成本遞增、邊際收益遞減下社會(huì)成本遞增困局的有效工具，因?yàn)樵摷夹g(shù)軟法的利導(dǎo)機(jī)制可以在社會(huì)成本SC開始出現(xiàn)遞增的奇點(diǎn)x*及之后的階段，使增加邊際成本的 “罰責(zé)”義務(wù)規(guī)則轉(zhuǎn)變?yōu)?“獲益”義務(wù)規(guī)則。具體而言，當(dāng)數(shù)據(jù)業(yè)者每增加1個(gè)單位的履行義務(wù)量時(shí)，原本會(huì)因?yàn)閿?shù)據(jù)合規(guī)的體系愈加復(fù)雜使邊際成本遞增，即A′ (x)曲線，但由于技術(shù)軟法的利益導(dǎo)向機(jī)制介入，每增加1個(gè)單位的履行義務(wù)量時(shí)，數(shù)據(jù)業(yè)者將獲得商業(yè)信譽(yù)和營商契機(jī)作為利益正反饋與邊際成本發(fā)生抵消，使得邊際成本上升的速率降低。如圖3所示，軟法介入的法律環(huán)境下數(shù)據(jù)業(yè)者在履行義務(wù)規(guī)則時(shí)的邊際成本Soft A′ (x)曲線會(huì)比軟法不介入的法律環(huán)境中A′ (x)曲線上升速度更慢，進(jìn)而軟法介入下的社會(huì)成本曲線 (在圖4中以曲線 Soft SC表示)增減趨勢也會(huì)變緩。進(jìn)一步產(chǎn)生的影響是，邊際成本等同于邊際收益的社會(huì)成本最低點(diǎn)x*將往后推移 (在圖3、圖4中以Soft x*表示)，且社會(huì)總成本量在最低點(diǎn)x*后依然呈較低態(tài)勢發(fā)展。因此從效力模式層面得出的結(jié)論是，軟法介入環(huán)境下的數(shù)據(jù)業(yè)者能夠履行更高更多的義務(wù)規(guī)則量、具備更高的義務(wù)規(guī)則履行水準(zhǔn)，更有利于義務(wù)規(guī)則明晰數(shù)據(jù)權(quán)利邊界的作用發(fā)揮。

圖3 技術(shù)軟法介入下的邊際成本、收益情況

圖4 技術(shù)軟法介入下的社會(huì)成本最優(yōu)情形對(duì)比

綜上，反思中國立法現(xiàn)狀中， 《民法典》有關(guān)個(gè)人信息的規(guī)定、 《數(shù)據(jù)安全法》 《個(gè)保法》雖然部分參考了GDPR對(duì)個(gè)人數(shù)據(jù)的保護(hù)方式，但并沒有移植GDPR對(duì)技術(shù)標(biāo)準(zhǔn)的銜接模式 (具體見GDPR第4章第5節(jié) “行為準(zhǔn)則和認(rèn)證”部分)，僅有中國 《個(gè)保法》宣示性規(guī)定國家參與積極參與，促進(jìn)、并推動(dòng)標(biāo)準(zhǔn)互認(rèn)，沒有明確認(rèn)定技術(shù)標(biāo)準(zhǔn)的法律效力，也沒有規(guī)定標(biāo)準(zhǔn)嵌入數(shù)據(jù)保護(hù)規(guī)范的具體方式和條件。進(jìn)而也沒有形成相應(yīng)的利益導(dǎo)向機(jī)制，導(dǎo)致國內(nèi)對(duì)個(gè)人數(shù)據(jù)保護(hù)僅依賴硬法。因此，圍繞27701號(hào)標(biāo)準(zhǔn)與GDPR兩者間的關(guān)系，觀察映射較為集中的27701號(hào)標(biāo)準(zhǔn)第5章至第8章內(nèi)容，分析其中能夠?yàn)閲鴥?nèi)數(shù)據(jù)保護(hù)領(lǐng)域構(gòu)建科學(xué)的技術(shù)軟法架構(gòu)提供可參考的結(jié)構(gòu)和要素。

3 技術(shù)軟法的規(guī)范要素細(xì)化——以注意義務(wù)為核心

27701號(hào)標(biāo)準(zhǔn)根基于事實(shí)層面上數(shù)據(jù)業(yè)者的組織運(yùn)作方式和數(shù)據(jù)流動(dòng)模式，以個(gè)人數(shù)據(jù)管理的資格考證為核心，結(jié)構(gòu)化梳理了組織相關(guān)的其他主體、主體內(nèi)部條件、分工主體關(guān)系、行為前置條件、反饋機(jī)制、全流程角度等行為要素，形成了個(gè)人數(shù)據(jù)管理活動(dòng)中高顆粒度的行為標(biāo)準(zhǔn)。從內(nèi)容上看，這套行為標(biāo)準(zhǔn)通過要素披露和流程化梳理方式為多方數(shù)據(jù)主體充分全面地提供有關(guān)利益和風(fēng)險(xiǎn)的信息，為多主體間理性博弈塑造空間，避免數(shù)據(jù)業(yè)者一方壟斷信息優(yōu)勢的情形，促成個(gè)人數(shù)據(jù)主體形成合理的期待，其要素化的結(jié)構(gòu)有利于軟硬法之間的聯(lián)系建立[27]。從法律對(duì)其內(nèi)容的定性上看，這套標(biāo)準(zhǔn)對(duì)數(shù)據(jù)業(yè)者苛以注意義務(wù)，注意義務(wù)強(qiáng)調(diào)客觀衡量標(biāo)準(zhǔn)的特征符合數(shù)據(jù)侵權(quán)認(rèn)定宜采取客觀過錯(cuò)標(biāo)準(zhǔn)的特點(diǎn)[28]，進(jìn)而使過錯(cuò)認(rèn)定過程體系清晰、邏輯嚴(yán)密，具有在侵權(quán)責(zé)任認(rèn)定中的領(lǐng)域適應(yīng)性。本文結(jié)合27701號(hào)標(biāo)準(zhǔn)的具體內(nèi)容，將其總結(jié)為注意義務(wù)的主觀認(rèn)知層面、主體資質(zhì)與能力層面、行為前置條件層面、面向個(gè)人數(shù)據(jù)主體的反饋層面、注意義務(wù)的全流程貫穿性層面、分工協(xié)作下的注意義務(wù)區(qū)分層面。

(1)主體認(rèn)知——組織有義務(wù)理解并認(rèn)識(shí)到自己所處的環(huán)境。從組織的行為邏輯上看，環(huán)境就是組織受到哪些行為準(zhǔn)則的約束，應(yīng)當(dāng)受到哪些主體的約束；從法律角度看，環(huán)境就是組織應(yīng)當(dāng)遵循何種行為規(guī)范，受到哪些主體的監(jiān)督以及需要向哪些主體的訴求作出反饋，簡言之就是組織受到外部約束的來源。該部分的規(guī)范意義是：①基于數(shù)據(jù)所涉領(lǐng)域的復(fù)雜性，規(guī)則表現(xiàn)形式和效力來源也可能不同，明晰數(shù)據(jù)處理應(yīng)當(dāng)遵循行為準(zhǔn)則的范圍，有利于解決義務(wù)規(guī)則依據(jù)不明的難題；②基于數(shù)據(jù)活動(dòng)涉及利益主體的多樣性，從事實(shí)的角度明確組織在進(jìn)行數(shù)據(jù)活動(dòng)的過程中所涉主體，解決義務(wù)規(guī)則向誰履行的問題；③從過錯(cuò)要件的主觀認(rèn)知層面，組織達(dá)到這些標(biāo)準(zhǔn)意味著對(duì)自身應(yīng)當(dāng)遵循的規(guī)則和利益相關(guān)方主體具備充分的理解，組織無法以自己不知道規(guī)則來源或履行義務(wù)的對(duì)象為托辭逃避履行相應(yīng)義務(wù)。該部分主要體現(xiàn)在27701號(hào)標(biāo)準(zhǔn)的第5章第2節(jié)、第4節(jié)中，具體映射到GDPR關(guān)于控制者、處理者義務(wù)的來源、法律之外的行為準(zhǔn)則的效力以及數(shù)據(jù)業(yè)者受到數(shù)據(jù)監(jiān)管者、數(shù)據(jù)監(jiān)督主體等條款 (對(duì)應(yīng)GDPR中24、25、28、40、41、42、31、32、35、36等條款)。

(2)主體資質(zhì)與能力——組織有義務(wù)具備特定的 “硬件條件”或 “內(nèi)部結(jié)構(gòu)”作為個(gè)人數(shù)據(jù)保護(hù)的基礎(chǔ)。從組織的事實(shí)語境看，從事特定領(lǐng)域的活動(dòng)須具備一定硬件資質(zhì)，從事涉及個(gè)人數(shù)據(jù)的活動(dòng)尤為如此。其中，安全設(shè)施、系統(tǒng)運(yùn)行方案、外來訪問限制方案、加密措施等，至少在數(shù)據(jù)的正常存儲(chǔ)、受訪、傳輸?shù)然顒?dòng)中保障其完整、安全性；基于數(shù)據(jù)活動(dòng)的專業(yè)性以及保護(hù)個(gè)人數(shù)據(jù)所需的協(xié)同性，組織需具備能夠保護(hù)個(gè)人數(shù)據(jù)的內(nèi)部組織架構(gòu)，以數(shù)據(jù)保護(hù)專員 (DPO)為主要負(fù)責(zé)人，形成數(shù)據(jù)保護(hù)的決策層、聯(lián)系層、執(zhí)行層架構(gòu)，銜接組織有關(guān)數(shù)據(jù)活動(dòng)的各個(gè)環(huán)節(jié)，同時(shí)以公開聯(lián)系方式、辦公地點(diǎn)等方式打開外界訴求進(jìn)入的渠道。該部分的規(guī)范意義是：①傳統(tǒng)與信息安全、系統(tǒng)安全理念相關(guān)的硬件資質(zhì)重在保護(hù)數(shù)據(jù)的完整、真實(shí)、安全 (銜接ISO系列其他標(biāo)準(zhǔn))，是與 “數(shù)據(jù)安全意外事故 (泄露、污染、駭入等)”相對(duì)應(yīng)的概念，屬于個(gè)人數(shù)據(jù)保護(hù)的必要不充分條件，其有必要成為數(shù)據(jù)業(yè)者義務(wù)的一部分。②專門的數(shù)據(jù)保護(hù)人員架構(gòu)無論是對(duì)內(nèi)防止數(shù)據(jù)安全事件、落實(shí)個(gè)人數(shù)據(jù)保護(hù)規(guī)則，還是對(duì)外承擔(dān)聯(lián)絡(luò)職責(zé)、獲取外部權(quán)利訴求、接受外部監(jiān)督都是必不可少的，更是義務(wù)規(guī)則可問責(zé)性的基礎(chǔ)。該部分主要體現(xiàn)在27701號(hào)標(biāo)準(zhǔn)第6章，大量映射到GDPR的個(gè)人數(shù)據(jù)處理 “完整性、保密性原則”以及控制者義務(wù)、數(shù)據(jù)保護(hù)專員職責(zé)與地位等條款 (對(duì)應(yīng)GDPR中5、24、25、27、32、33、37、38、29等條款)。

(3)行為的前置條件——在數(shù)據(jù)行為進(jìn)行前審慎地做好準(zhǔn)備。從組織的語境當(dāng)中來說，組織內(nèi)部治理的常用思路是哈佛商學(xué)院的安德魯斯提出的SWOT分析法[29]，核心思路是分別從組織內(nèi)部、外部視角分析特定行為的優(yōu)勢和短板，進(jìn)而審慎作出行為決策。27701號(hào)標(biāo)準(zhǔn)也借鑒了該思路。首先，從外部視角避免合法性風(fēng)險(xiǎn)，需要從外部獲得并確定數(shù)據(jù)收集處理的目的，包括以書面化或其他特定的方式 (例如獲取未滿16周歲者的同意須經(jīng)過監(jiān)護(hù)人授權(quán))獲得數(shù)據(jù)主體對(duì)目的的同意并告知其可以行使的權(quán)利，該目的的合法正當(dāng)性主要來源于外部數(shù)據(jù)主體的明示同意以及法律規(guī)定的其他合法情形；其次，從發(fā)揮組織內(nèi)部信息優(yōu)勢的角度，以個(gè)人數(shù)據(jù)處理記錄制度記錄每一次數(shù)據(jù)的行為內(nèi)容、行為目的、合法性來源等內(nèi)容來體現(xiàn)組織對(duì)義務(wù)規(guī)則的履行情況，畢竟組織不能在對(duì)數(shù)據(jù)完全沒有統(tǒng)一記錄和管理的前提下展開進(jìn)一步數(shù)據(jù)保護(hù)的措施；再次，以隱私、信息安全影響評(píng)估報(bào)告、向監(jiān)管者的事前咨詢形成內(nèi)外協(xié)同的風(fēng)險(xiǎn)預(yù)防機(jī)制。這些標(biāo)準(zhǔn)的法律規(guī)范意義在于，將組織的決策思路融入注意義務(wù)的履行標(biāo)準(zhǔn)中。該部分主要體現(xiàn)在27701號(hào)標(biāo)準(zhǔn)第7章第2節(jié)，主要映射到GDPR當(dāng)中有關(guān)數(shù)據(jù)收集處理的合法性依據(jù) (涵蓋了知情同意以及其他特定情形)、數(shù)據(jù)影響評(píng)估、事先咨詢制度、內(nèi)部問責(zé)制度等條款 (對(duì)應(yīng)GDPR中5、6、7、8、9、10、17、22、28、35、36等條款)。

(4)面向個(gè)人數(shù)據(jù)主體的反饋——梳理出組織對(duì)數(shù)據(jù)主體應(yīng)履行的義務(wù)內(nèi)容，并能夠?qū)?shù)據(jù)主體提出的合法權(quán)利訴求 (包括獲得告知的權(quán)利、撤回同意的權(quán)利、數(shù)據(jù)訪問權(quán)利、數(shù)據(jù)糾正和刪除的權(quán)利、拒絕和自主決定的權(quán)利等)進(jìn)行反饋。從組織的語境來說，一是需要根據(jù)現(xiàn)有環(huán)境制作對(duì)數(shù)據(jù)主體的義務(wù)清單作為履行義務(wù)和搭建相關(guān)反饋機(jī)制的基礎(chǔ)；二是為了響應(yīng)外部主體的合法訴求，必須形成相應(yīng)的對(duì)接管理機(jī)制、系統(tǒng)、負(fù)責(zé)人，甚至開發(fā)專門的在線應(yīng)用產(chǎn)品為外部主體行使權(quán)利提供便利。從法律規(guī)范的意義來說，數(shù)據(jù)業(yè)者的義務(wù)來源于GDPR賦予數(shù)據(jù)主體的權(quán)利，因信息地位不對(duì)等造成個(gè)人數(shù)據(jù)保護(hù)的個(gè)體沉默和監(jiān)管失靈效應(yīng)，形成權(quán)利主體向數(shù)據(jù)控制者、處理者主張權(quán)利的壁壘，遂應(yīng)當(dāng)由占據(jù)信息優(yōu)勢地位的數(shù)據(jù)業(yè)者作出減少信息成本的努力，并以可外化的形式，即管理機(jī)制、內(nèi)部政策、應(yīng)用系統(tǒng)等證明之。該部分主要體現(xiàn)在27701號(hào)標(biāo)準(zhǔn)第7章第3節(jié)，映射GDPR中有關(guān)數(shù)據(jù)主體權(quán)利的條款 (對(duì)應(yīng)GDPR中11、13、14、15至22等條款)。

(5)貫穿數(shù)據(jù)全生命周期的注意義務(wù)——數(shù)據(jù)方案的設(shè)計(jì)應(yīng)保障個(gè)人數(shù)據(jù)保護(hù)的價(jià)值貫穿其始終。具體而言，因?yàn)槊慨?dāng)數(shù)據(jù)進(jìn)入一個(gè)新的生命周期，都有可能經(jīng)過迭代產(chǎn)生新的數(shù)據(jù)屬性、價(jià)值，數(shù)據(jù)的結(jié)構(gòu)、內(nèi)容也可能發(fā)生變化，新的數(shù)據(jù)屬性可能產(chǎn)生新的數(shù)據(jù)用途，更有可能使數(shù)據(jù)處理超出原有的數(shù)據(jù)目的，因此有必要在每一個(gè)階段對(duì)數(shù)據(jù)行為進(jìn)行合目的性判斷，保證行為始終以實(shí)現(xiàn)目的為限，不得對(duì)個(gè)人數(shù)據(jù)造成目的范疇之外的損害，具體而言，不僅在收集、處理階段保證涵蓋數(shù)據(jù)的最小體量，還需要在數(shù)據(jù)傳輸時(shí)準(zhǔn)確傳達(dá)初始目的、完成處理后及時(shí)刪除與目的不相關(guān)的數(shù)據(jù)，定期清理因處理個(gè)人數(shù)據(jù)而創(chuàng)建的臨時(shí)文件等。從法律規(guī)范的意義看，目的與行為一致雖然在法律的話語中的意義簡單明了，但是落實(shí)在數(shù)據(jù)的全生命周期中難度極大。除了因數(shù)據(jù)迭代變化發(fā)生的諸多不可控因素外，還因?yàn)槊總€(gè)數(shù)據(jù)處理行為的模式都有所區(qū)別。這些因素導(dǎo)致目的與行為一致性的審查標(biāo)準(zhǔn)在每一個(gè)階段都有可能不同。這不可避免造成數(shù)據(jù)活動(dòng)的效率下降，降低數(shù)據(jù)流動(dòng)積極性，進(jìn)而形成數(shù)據(jù)孤島效應(yīng)。為了解決這一問題，當(dāng)下出現(xiàn)了諸多既能夠有效控制數(shù)據(jù)運(yùn)行過程中延展性和多變性，又能保障數(shù)據(jù)處理行為目的能夠?qū)崿F(xiàn)的隱私保護(hù)計(jì)算技術(shù)，例如安全多方計(jì)算 (SMPC)、聯(lián)邦學(xué)習(xí) (FL)、差分隱私 (DP)等，這些技術(shù)融合了多領(lǐng)域交叉的跨學(xué)科技術(shù)體系，重點(diǎn)提供了數(shù)據(jù)計(jì)算過程和數(shù)據(jù)計(jì)算結(jié)果的隱私安全保護(hù)能力，在不識(shí)別到具體個(gè)人的前提下實(shí)現(xiàn)數(shù)據(jù)的共同計(jì)算，有利于解決數(shù)據(jù)孤島和隱私風(fēng)險(xiǎn)難題。如果數(shù)據(jù)業(yè)者將這類隱私技術(shù)納入內(nèi)部管理機(jī)制中，有助于形成數(shù)據(jù)開放應(yīng)用的合法性。因此，特定隱私保護(hù)技術(shù)的利用情況也應(yīng)成為衡量數(shù)據(jù)業(yè)者對(duì)全生命周期數(shù)據(jù)盡到注意義務(wù)的標(biāo)準(zhǔn)。該部分主要體現(xiàn)在27701號(hào)標(biāo)準(zhǔn)的第7章第4節(jié)，映射GDPR當(dāng)中有關(guān)目的限制性、數(shù)據(jù)最小化、數(shù)據(jù)存儲(chǔ)限制、安全保密、數(shù)據(jù)準(zhǔn)確性等條款 (對(duì)應(yīng)GDPR中5、6、13、14、25、32等條款)。

(6)數(shù)據(jù)分工協(xié)作場合下的注意義務(wù)分配——數(shù)據(jù)控制者與數(shù)據(jù)處理者間的關(guān)系明確。與國內(nèi)僅規(guī)定數(shù)據(jù)處理者的做法不同，ISO/IEC 27701中的數(shù)據(jù)控制者指的是決定了數(shù)據(jù)處理的目的與方法的主體，而數(shù)據(jù)處理者則是受到數(shù)據(jù)控制的委托代為處理數(shù)據(jù)的服務(wù)供應(yīng)商。數(shù)據(jù)控制者作為數(shù)據(jù)活動(dòng)的主導(dǎo)者需要承擔(dān)更大的隱私保護(hù)責(zé)任，但是數(shù)據(jù)處理者也承擔(dān)著必要的注意義務(wù)，包括二者簽訂的合同內(nèi)容中必須包含注意義務(wù)分工履行的內(nèi)容、未取得數(shù)據(jù)主體同意不得單獨(dú)向其推送廣告或用于他途，以及數(shù)據(jù)處理者輔助數(shù)據(jù)控制者完成數(shù)據(jù)保護(hù)的其他義務(wù)。該部分體現(xiàn)在27701號(hào)標(biāo)準(zhǔn)的第8章，映射到GDPR的有關(guān)數(shù)據(jù)控制者、處理者義務(wù)以及數(shù)據(jù)處理過程安全性的條款 (對(duì)應(yīng)GDPR中5、7、28、29、32、30、44、46等條款)。

4 規(guī)范的落腳點(diǎn)——軟法與硬法的銜接

通過國內(nèi)外技術(shù)軟法在數(shù)據(jù)權(quán)利保護(hù)中的規(guī)范作用分析，可以看出軟法雖然在數(shù)據(jù)權(quán)利保護(hù)的領(lǐng)域中比硬法更具有場景適應(yīng)性、規(guī)范靈活性，但其與硬法的銜接程度決定了形成更廣泛規(guī)范效力的潛力，甚至反向促進(jìn)硬法自身的完善。本文從27701號(hào)標(biāo)準(zhǔn)與GDPR的實(shí)例看，認(rèn)為具有科學(xué)利益導(dǎo)向作用的技術(shù)軟法形成，需要權(quán)威性強(qiáng)、體系性完整、要素豐富的硬法環(huán)境。另外，技術(shù)軟法也應(yīng)該在司法層面發(fā)揮裁量依據(jù)的作用，尤其在數(shù)據(jù)保護(hù)的侵權(quán)責(zé)任案件審理中，對(duì)技術(shù)標(biāo)準(zhǔn)的履行狀況應(yīng)當(dāng)成為責(zé)任判定的重要考量因素。

4.1 立法層面——塑造有利于技術(shù)軟法生成的硬法環(huán)境

ISO/IEC 27701中的組織的義務(wù)要素的硬法依據(jù)是GDPR。由于歐盟立法環(huán)境與國內(nèi)區(qū)別明顯，中國如果要鼓勵(lì)形成ISO/IEC 27701這類技術(shù)軟法，需實(shí)際考慮中國的硬法環(huán)境。為此，將27701號(hào)標(biāo)準(zhǔn)形成的相對(duì)完整的義務(wù)要素逐個(gè)對(duì)應(yīng)到國內(nèi)被適用于數(shù)據(jù)保護(hù)案例中來觀察國內(nèi)的硬法環(huán)境，見表1。可以看出，中國針對(duì)數(shù)據(jù)保護(hù)的立法結(jié)構(gòu)較分散， 《民法典》 《數(shù)據(jù)安全法》 《個(gè)人信息保護(hù)法》甚至是個(gè)案中出現(xiàn)的 《消費(fèi)者權(quán)益保護(hù)法》 《網(wǎng)絡(luò)安全法》等，都可以直接或者間接成為數(shù)據(jù)權(quán)利侵害糾紛解決的依據(jù)。其中每一部法律的功能與側(cè)重點(diǎn)都不同， 《民法典》的規(guī)定雖然較概括，但以數(shù)據(jù)主體權(quán)利和數(shù)據(jù)處理者義務(wù)的規(guī)范模式奠定個(gè)人信息保護(hù)的基本框架； 《數(shù)據(jù)安全法》與 《網(wǎng)安法》雖然具備一定的義務(wù)要素結(jié)構(gòu)，但是這兩部法律著眼于偏宏觀的網(wǎng)絡(luò)安全與數(shù)據(jù)安全，與 “數(shù)據(jù)權(quán)利保護(hù)”存在概念上的錯(cuò)位，難以直接作為硬法來映射。 《消費(fèi)者權(quán)益保護(hù)法》則多圍繞消費(fèi)者的權(quán)利，但是缺少對(duì)數(shù)據(jù)業(yè)者的行為準(zhǔn)則基本要素。這些法律當(dāng)中圍繞數(shù)據(jù)保護(hù)的義務(wù)要素較齊全是 《個(gè)保法》，但是該法也沒有對(duì)數(shù)據(jù)活動(dòng)分工時(shí)的義務(wù)分配以及對(duì)行業(yè)標(biāo)準(zhǔn)、技術(shù)規(guī)范的效力模式作出回應(yīng)。從整體上看，國內(nèi)在數(shù)據(jù)保護(hù)的主體資質(zhì)與能力、權(quán)利響應(yīng)機(jī)制層面的硬法依據(jù)雖初具規(guī)模，但是在數(shù)據(jù)處理者與數(shù)據(jù)控制者的義務(wù)與責(zé)任分配部分鮮有硬法規(guī)定。另外，國內(nèi)近年來也不乏試圖建構(gòu)數(shù)據(jù)保護(hù)體系的地方性立法，本文以深圳、上海兩地的地方立法方案做對(duì)比，主要因?yàn)槎呓詾閲鴥?nèi)數(shù)字化轉(zhuǎn)型和立法探索的前沿地帶，其立法模式具有創(chuàng)新性和典型性。從地方立法部分看，上海與深圳雖然存在一定立法區(qū)別，但是在數(shù)據(jù)要素的開放流通促進(jìn)兼顧權(quán)益保護(hù)的價(jià)值理念，尤其是在個(gè)人數(shù)據(jù)保護(hù)層面具有相似性，皆針對(duì)監(jiān)管者、處理者資質(zhì)、數(shù)據(jù)行為前置條件、全周期注意義務(wù)等方面做出了成文立法探索，對(duì)國內(nèi)技術(shù)軟法的生成具有指引意義。綜合國內(nèi)整體的硬法來看，如果需要借助軟法發(fā)揮其數(shù)據(jù)保護(hù)領(lǐng)域當(dāng)中的獨(dú)特功能，中國尚需形成體系更為完整的數(shù)據(jù)保護(hù)法律，否則沒有明確硬法映射的技術(shù)軟法也將失去其規(guī)范優(yōu)勢，見表1。

表1 技術(shù)標(biāo)準(zhǔn)形成的國內(nèi)硬法環(huán)境對(duì)比分析

4.2 司法層面——技術(shù)軟法的法律適用方式

技術(shù)標(biāo)準(zhǔn)在司法層面的適用方式應(yīng)區(qū)分法律適用與事實(shí)認(rèn)定兩個(gè)視角。在法律適用層面又分為在法律為空白時(shí)的間接適用功能、法律不確定時(shí)的解釋補(bǔ)充功能；在事實(shí)認(rèn)定層面，技術(shù)標(biāo)準(zhǔn)也可以作為書證[30]。在中國的司法實(shí)踐中，技術(shù)軟法影響司法審判已不鮮見，例如在甘肅高院發(fā)布的2017年度十大案件之一 “鄭震、楊莉等侵犯公民個(gè)人信息罪案”中，被告雀巢公司通過遵守有效的合規(guī)標(biāo)準(zhǔn)，將單位責(zé)任和員工個(gè)人責(zé)任進(jìn)行了切割，并援引公司在個(gè)人信息保護(hù)中的內(nèi)部管理標(biāo)準(zhǔn)作為無罪抗辯的充足證據(jù)，避免了刑事責(zé)任的承擔(dān)。國外也早已有將技術(shù)標(biāo)準(zhǔn)引入實(shí)質(zhì)審理的先例，例如美國早在2009年就有 《數(shù)據(jù)責(zé)任和信任法案》 (Data Accountability and Trust Act of 2009)，明確在其Section 3 (f) (2) (A)& (B)條中規(guī)定法院應(yīng)通過咨詢等方式，根據(jù)行業(yè)協(xié)會(huì)、消費(fèi)者組織、專家制定的技術(shù)標(biāo)準(zhǔn)來判斷數(shù)據(jù)業(yè)者是否已經(jīng)將數(shù)據(jù)進(jìn)行法律要求下的加密處理，判斷結(jié)果將直接影響數(shù)據(jù)侵權(quán)行為的認(rèn)定與否。因此，在認(rèn)定數(shù)據(jù)業(yè)者存在數(shù)據(jù)侵權(quán)責(zé)任的司法裁判當(dāng)中，技術(shù)標(biāo)準(zhǔn)可以在法律規(guī)定的義務(wù)內(nèi)容、過錯(cuò)認(rèn)定條件較模糊導(dǎo)致自由裁量空間過大時(shí)，作為規(guī)則的補(bǔ)充釋明，尤其在根據(jù)過錯(cuò)責(zé)任程度進(jìn)行賠償金計(jì)算時(shí)，應(yīng)當(dāng)避免國內(nèi)案例中經(jīng)常出現(xiàn)的酌定方式判定賠償金方法，在充分考慮數(shù)據(jù)業(yè)者履行義務(wù)中的各要素齊全度，對(duì)于義務(wù)履行質(zhì)量較高的主體，應(yīng)當(dāng)減輕其賠償額度。另外，如果數(shù)據(jù)業(yè)者具備權(quán)威性的行業(yè)協(xié)會(huì)對(duì)標(biāo)準(zhǔn)的認(rèn)證，那么該認(rèn)證與技術(shù)標(biāo)準(zhǔn)本身可以作為一種書面證據(jù)，用以證明數(shù)據(jù)業(yè)者在事實(shí)層面具備個(gè)人數(shù)據(jù)處理的資質(zhì)且體系化地履行了現(xiàn)有法律規(guī)定的注意義務(wù)。