韓 陽(yáng)

內(nèi)容提要:《個(gè)人信息保護(hù)法》第58條第1項(xiàng)規(guī)定超大型平臺(tái)企業(yè)應(yīng)成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)對(duì)個(gè)人信息保護(hù)情況進(jìn)行監(jiān)督，目前存在三種制度設(shè)計(jì)方案。第三方獨(dú)立機(jī)構(gòu)方案比較優(yōu)勢(shì)不明顯，不符合風(fēng)險(xiǎn)預(yù)防理念，難以承載監(jiān)督功能期待，因此應(yīng)當(dāng)被舍棄。管理監(jiān)督型獨(dú)立機(jī)構(gòu)方案屬于日常性合規(guī)管理模式，是董事會(huì)對(duì)經(jīng)理層的管理監(jiān)督，獨(dú)立機(jī)構(gòu)在董事會(huì)領(lǐng)導(dǎo)下開(kāi)展活動(dòng)，無(wú)法解決合規(guī)動(dòng)力問(wèn)題，難以厘清董事會(huì)與執(zhí)法機(jī)構(gòu)之間的緊張關(guān)系。決策監(jiān)督型獨(dú)立機(jī)構(gòu)方案屬于危機(jī)性合規(guī)整改模式，是執(zhí)法機(jī)構(gòu)對(duì)董事會(huì)的整改督導(dǎo)，組建董事會(huì)專門委員會(huì)，依托獨(dú)立董事進(jìn)行內(nèi)部控制，但獨(dú)立董事法律責(zé)任模糊，容易造成董事會(huì)負(fù)擔(dān)過(guò)重。兩種方案各有優(yōu)劣側(cè)重，應(yīng)當(dāng)區(qū)分問(wèn)題場(chǎng)景分別應(yīng)用，實(shí)現(xiàn)對(duì)公民個(gè)人信息的系統(tǒng)性和持續(xù)性保護(hù)。

一、問(wèn)題的提出

為加強(qiáng)超大型平臺(tái)監(jiān)管，我國(guó)《個(gè)人信息保護(hù)法》新增了獨(dú)立機(jī)構(gòu)這一制度要求。《個(gè)人信息保護(hù)法》第58條第1項(xiàng)規(guī)定，提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個(gè)人信息處理者，應(yīng)當(dāng)按照國(guó)家規(guī)定建立健全個(gè)人信息保護(hù)合規(guī)制度體系，成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)對(duì)個(gè)人信息保護(hù)情況進(jìn)行監(jiān)督。問(wèn)題隨之而來(lái)：獨(dú)立機(jī)構(gòu)的功能定位、人員構(gòu)成、權(quán)利義務(wù)和法律責(zé)任應(yīng)如何設(shè)計(jì)？怎樣保持該機(jī)構(gòu)的獨(dú)立性？如何實(shí)現(xiàn)有效監(jiān)督？本文嘗試對(duì)此進(jìn)行探索。

為什么要求超大型平臺(tái)成立獨(dú)立的監(jiān)督機(jī)構(gòu)？與個(gè)人信息保護(hù)負(fù)責(zé)人是什么關(guān)系？緣何獨(dú)立機(jī)構(gòu)主要由外部成員組成呢？對(duì)于這些問(wèn)題，立法資料顯示“有的部門、專家建議，強(qiáng)化超大型互聯(lián)網(wǎng)平臺(tái)的個(gè)人信息保護(hù)義務(wù)，并加強(qiáng)監(jiān)督”，全國(guó)人大憲法和法律委員會(huì)經(jīng)研究建議增加這一款。(1)參見(jiàn)《全國(guó)人民代表大會(huì)憲法和法律委員會(huì)關(guān)于〈中華人民共和國(guó)個(gè)人信息保護(hù)法(草案)〉修改情況的匯報(bào)》。2021年8月20日，經(jīng)過(guò)三次審議，十三屆全國(guó)人大常委會(huì)第三十次會(huì)議表決通過(guò)了《個(gè)人信息保護(hù)法》，全國(guó)人大常委會(huì)法工委經(jīng)濟(jì)法室副主任楊合慶對(duì)《個(gè)人信息保護(hù)法》進(jìn)行了解讀。他表示：“為了提高大型互聯(lián)網(wǎng)平臺(tái)經(jīng)營(yíng)業(yè)務(wù)的透明度，完善平臺(tái)治理，強(qiáng)化外部監(jiān)督，形成全社會(huì)共同參與的個(gè)人信息保護(hù)機(jī)制……個(gè)人信息保護(hù)法對(duì)這些大型互聯(lián)網(wǎng)平臺(tái)設(shè)定了特別的個(gè)人信息保護(hù)義務(wù)?！?2)朱寧寧：《8章74條，個(gè)人信息保護(hù)法來(lái)了！權(quán)威解讀十大亮點(diǎn)》，載https://mp.weixin.qq.com/s/Y-031EBzOsbbN2JAEcOGBQ，最后訪問(wèn)時(shí)間：2022年7月23日。由此可見(jiàn)，我國(guó)立法機(jī)關(guān)將獨(dú)立機(jī)構(gòu)的功能定位為外部監(jiān)督，通過(guò)多元主體參與構(gòu)建平臺(tái)治理的開(kāi)放式關(guān)系結(jié)構(gòu)。

從法律條文看，獨(dú)立和監(jiān)督是該機(jī)構(gòu)的兩個(gè)顯著特征，外部是對(duì)組成人員的要求。監(jiān)督是該機(jī)構(gòu)的功能定性，是設(shè)計(jì)這一機(jī)構(gòu)的出發(fā)點(diǎn)和落腳點(diǎn)。獨(dú)立性包含組織獨(dú)立、職權(quán)獨(dú)立和人員獨(dú)立三個(gè)方面。只有在監(jiān)督者和監(jiān)督對(duì)象都明確的前提下，是否獨(dú)立才能夠最終研判。如何實(shí)現(xiàn)獨(dú)立監(jiān)督呢？學(xué)界和實(shí)踐中存在三種方案，分別是第三方獨(dú)立機(jī)構(gòu)方案、管理監(jiān)督型獨(dú)立機(jī)構(gòu)方案和決策監(jiān)督型獨(dú)立機(jī)構(gòu)方案，以下分別進(jìn)行討論。部分方案內(nèi)容較少，本文嘗試進(jìn)行拓展并做利弊分析。

二、第三方獨(dú)立機(jī)構(gòu)方案

在《個(gè)人信息保護(hù)法》生效前，部分超大型平臺(tái)企業(yè)已經(jīng)進(jìn)行了初步嘗試。騰訊在2021年10月15日公開(kāi)招募外部成員，組建個(gè)人信息保護(hù)外部監(jiān)督委員會(huì)，文字表述為“第三方獨(dú)立監(jiān)督機(jī)構(gòu)”，職責(zé)包括獨(dú)立評(píng)議騰訊公司及各產(chǎn)品隱私保護(hù)相關(guān)工作、提出指導(dǎo)和修改建議等。“委員會(huì)首批成員為15個(gè)人左右，計(jì)劃包括法學(xué)專家、技術(shù)專家與行業(yè)協(xié)會(huì)等個(gè)人信息保護(hù)領(lǐng)域的專業(yè)人士，也將涵蓋律師、媒體等其他公眾。首批成員將通過(guò)公開(kāi)招募和定向邀請(qǐng)等方式產(chǎn)生?！?3)《這是一封來(lái)自鵝廠隱私官的邀請(qǐng)函，請(qǐng)查收！》，載https://mp.weixin.qq.com/s/2ZvcExeY_l-J3dfw02zTFg，最后訪問(wèn)時(shí)間：2022年7月23日。攜程在2021年10月25日發(fā)布公告，決定近期成立“個(gè)人信息保護(hù)外部監(jiān)督專家團(tuán)”，同樣表述為“第三方獨(dú)立機(jī)構(gòu)”。(4)參見(jiàn)《攜程“個(gè)人信息保護(hù)外部監(jiān)督專家團(tuán)”招募公告》，載https://view.inews.qq.com/a/20211025A093AW00，最后訪問(wèn)時(shí)間：2022年7月23日。在外部監(jiān)督的功能定位下，超大型平臺(tái)希望通過(guò)第三方獨(dú)立機(jī)構(gòu)的形式實(shí)現(xiàn)外部監(jiān)督效果，將獨(dú)立性理解為“外部獨(dú)立”，監(jiān)督機(jī)構(gòu)獨(dú)立于本平臺(tái)企業(yè)。但這種做法比較優(yōu)勢(shì)并不明顯，不符合風(fēng)險(xiǎn)預(yù)防的治理理念。

第一，《個(gè)人信息保護(hù)法》第六章專門規(guī)定了履行個(gè)人信息保護(hù)職責(zé)的部門，這些職能部門完全獨(dú)立于企業(yè)，屬于純粹外部監(jiān)督的國(guó)家機(jī)構(gòu)。無(wú)論立法目的追求的是“獨(dú)立性”或是“監(jiān)督性”，負(fù)有監(jiān)管職責(zé)的國(guó)家機(jī)關(guān)都是最佳主體，而不是所謂的第三方獨(dú)立機(jī)構(gòu)。近年來(lái)行政執(zhí)法強(qiáng)調(diào)柔性執(zhí)法和治理導(dǎo)向，存在許多企業(yè)發(fā)聲和公眾參與的合法渠道。反觀這些所謂的獨(dú)立機(jī)構(gòu)，實(shí)際上難以擺脫超大型平臺(tái)的干擾，平臺(tái)企業(yè)主導(dǎo)之下的民主參與和監(jiān)督強(qiáng)度都存在問(wèn)題。用戶代表或公眾代表的產(chǎn)生，專家學(xué)者的挑選，都有可能被超大型平臺(tái)把持，使所謂的獨(dú)立監(jiān)督機(jī)構(gòu)淪為平臺(tái)權(quán)力的裝飾。

第二，即便追求平臺(tái)治理的多元參與，實(shí)際上也并無(wú)必要?，F(xiàn)實(shí)中已經(jīng)廣泛存在著第三方獨(dú)立機(jī)構(gòu)，各類行業(yè)協(xié)會(huì)、學(xué)會(huì)智庫(kù)和科研高校等等，如在APP專項(xiàng)整治活動(dòng)中發(fā)揮作用的中國(guó)網(wǎng)絡(luò)空間安全協(xié)會(huì)，每年發(fā)布個(gè)人信息保護(hù)測(cè)評(píng)報(bào)告的北京大學(xué)互聯(lián)網(wǎng)法律中心。這些機(jī)構(gòu)或獨(dú)立存在，或由政產(chǎn)學(xué)研媒一同發(fā)起成立，各大頭部平臺(tái)企業(yè)也參與其中。它們定期發(fā)布研究報(bào)告，組織企業(yè)調(diào)研、立法研討和獨(dú)立監(jiān)督，實(shí)際上已經(jīng)發(fā)揮了社會(huì)監(jiān)督的客觀作用。這些社會(huì)組織通過(guò)內(nèi)部章程對(duì)成員形成約束力，通過(guò)法律程序獲得登記備案，不需要專門立法予以合法性確認(rèn)。這些社會(huì)組織的經(jīng)費(fèi)人員更具有獨(dú)立性，它們通過(guò)聲譽(yù)機(jī)制和競(jìng)爭(zhēng)機(jī)制進(jìn)行自我監(jiān)督，相較企業(yè)自設(shè)機(jī)構(gòu)具有一定的制度優(yōu)勢(shì)。

第三，外部監(jiān)督無(wú)法實(shí)現(xiàn)事前事中監(jiān)管，難以有效影響超大型平臺(tái)企業(yè)決策。如果按照兩家企業(yè)的制度設(shè)想展開(kāi)，獨(dú)立機(jī)構(gòu)對(duì)超大型平臺(tái)進(jìn)行形式監(jiān)督，僅僅作出指導(dǎo)、提出建議和咨詢培訓(xùn)，那么獨(dú)立機(jī)構(gòu)極容易淪為裝飾企業(yè)形象的花瓶，監(jiān)督功能將被完全掏空。獨(dú)立機(jī)構(gòu)無(wú)法深入平臺(tái)企業(yè)內(nèi)部決策，否則就將與外部監(jiān)督的職能定位相沖突。超大型平臺(tái)企業(yè)的各種業(yè)務(wù)和不同流程都與個(gè)人信息有關(guān)，個(gè)人信息被濫用有時(shí)候只是一個(gè)最終結(jié)果，更多問(wèn)題可能出在事前決策和事中執(zhí)行。尤其是很多敏感個(gè)人信息，如生物識(shí)別信息，一旦被泄露濫用將會(huì)給自然人帶來(lái)不確定風(fēng)險(xiǎn)。有學(xué)者提出：“區(qū)別于傳統(tǒng)的‘危險(xiǎn)’，個(gè)人生物識(shí)別信息應(yīng)用風(fēng)險(xiǎn)具有不確定性與復(fù)雜性，因果關(guān)系具有模糊性與非線性，損害具有嚴(yán)重性與不可逆性，因此政府監(jiān)管理念應(yīng)當(dāng)從消極的‘危險(xiǎn)消除’向積極的‘風(fēng)險(xiǎn)預(yù)防’轉(zhuǎn)變?！?5)于洋：《論個(gè)人生物識(shí)別信息應(yīng)用風(fēng)險(xiǎn)的監(jiān)管構(gòu)造》，載《行政法學(xué)研究》2021年第6期，第111頁(yè)。

三、管理監(jiān)督型獨(dú)立機(jī)構(gòu)方案

該方案由張新寶教授提出，主張“作為企業(yè)內(nèi)部的‘獨(dú)立監(jiān)督機(jī)構(gòu)’，主要是指獨(dú)立于企業(yè)的日常經(jīng)營(yíng)管理機(jī)構(gòu)(如總經(jīng)理)、產(chǎn)品或者服務(wù)研發(fā)推廣機(jī)構(gòu)等業(yè)務(wù)部門，因?yàn)檫@些機(jī)構(gòu)和部門往往會(huì)以利潤(rùn)導(dǎo)向進(jìn)行管理和經(jīng)營(yíng)而忽視個(gè)人信息保護(hù)”(6)張新寶：《大型互聯(lián)網(wǎng)平臺(tái)企業(yè)個(gè)人信息保護(hù)獨(dú)立監(jiān)督機(jī)構(gòu)研究》，載《東方法學(xué)》2022年第4期，第44頁(yè)。。該方案下獨(dú)立機(jī)構(gòu)包含兩項(xiàng)具體職責(zé)：其一，監(jiān)督大型互聯(lián)網(wǎng)平臺(tái)企業(yè)自身的個(gè)人信息保護(hù)合規(guī)情況；其二，監(jiān)督大型互聯(lián)網(wǎng)企業(yè)對(duì)商業(yè)用戶的個(gè)人信息處理活動(dòng)予以規(guī)范的合規(guī)情況。(7)參見(jiàn)前引〔6〕，張新寶文。除此之外，獨(dú)立機(jī)構(gòu)在董事會(huì)的領(lǐng)導(dǎo)下，還有提出建議和合規(guī)指導(dǎo)的功能。超大型平臺(tái)的業(yè)務(wù)部門是該方案的預(yù)設(shè)監(jiān)督對(duì)象，本質(zhì)是董事會(huì)對(duì)經(jīng)理層的管理監(jiān)督。數(shù)據(jù)合規(guī)在我國(guó)仍處于發(fā)展初期，該方案有助于專家參與企業(yè)合規(guī)制度建立，同時(shí)制度上防范經(jīng)理層和業(yè)務(wù)部門的數(shù)據(jù)濫用行為，方案內(nèi)容豐富具有很強(qiáng)的操作性和執(zhí)行性。在討論獨(dú)立機(jī)構(gòu)與國(guó)家個(gè)人信息保護(hù)部門的關(guān)系時(shí)，張新寶教授主張：“獨(dú)立監(jiān)督機(jī)構(gòu)對(duì)企業(yè)個(gè)人信息保護(hù)事項(xiàng)作出的決定或者提出的鑒定意見(jiàn)，原則上將得到國(guó)家個(gè)人信息保護(hù)部門的認(rèn)可。在發(fā)現(xiàn)企業(yè)在個(gè)人信息保護(hù)方面存在重大隱患或者嚴(yán)重違法情形時(shí)，獨(dú)立監(jiān)督機(jī)構(gòu)應(yīng)當(dāng)及時(shí)向企業(yè)的權(quán)力機(jī)構(gòu)提出意見(jiàn)和建議。企業(yè)權(quán)力機(jī)構(gòu)拒絕接受的，經(jīng)獨(dú)立監(jiān)督機(jī)構(gòu)多數(shù)成員表決同意，應(yīng)將相關(guān)情況報(bào)告國(guó)家個(gè)人信息保護(hù)部門?！?8)前引〔6〕，張新寶文，第48頁(yè)。這一制度設(shè)計(jì)極大增強(qiáng)了獨(dú)立機(jī)構(gòu)的實(shí)際權(quán)力，仿佛達(dá)摩克利斯之劍一樣懸在超大型平臺(tái)企業(yè)頭頂。但是產(chǎn)生兩個(gè)問(wèn)題需要解釋：第一，如果獨(dú)立機(jī)構(gòu)受董事會(huì)領(lǐng)導(dǎo)，為什么決定和鑒定意見(jiàn)要征得監(jiān)管部門認(rèn)可，為什么可以越過(guò)董事會(huì)，直接向監(jiān)管部門報(bào)告；第二，如果獨(dú)立機(jī)構(gòu)照此運(yùn)行，會(huì)不會(huì)干擾企業(yè)的自主經(jīng)營(yíng)活動(dòng)。

在規(guī)制理論中，該方案屬于內(nèi)部管理型規(guī)制理論(management-based regulation)(9)也有學(xué)者將其翻譯為“以管理為基礎(chǔ)的規(guī)制”或“基于管理的規(guī)制”。參見(jiàn)洪延青：《“以管理為基礎(chǔ)的規(guī)制”——對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者安全保護(hù)義務(wù)的重構(gòu)》，載《環(huán)球法律評(píng)論》2016年第4期；高秦偉：《社會(huì)自我規(guī)制與行政法的任務(wù)》，載《中國(guó)法學(xué)》2015年第5期。的實(shí)際運(yùn)用，“實(shí)際上是行政權(quán)對(duì)企業(yè)內(nèi)部治理的介入，在實(shí)質(zhì)上構(gòu)成對(duì)企業(yè)經(jīng)營(yíng)自主權(quán)的限制”(10)孔祥穩(wěn)：《論個(gè)人信息保護(hù)的行政規(guī)制路徑》，載《行政法學(xué)研究》2022年第1期，第144頁(yè)。。對(duì)于內(nèi)部管理型規(guī)制，國(guó)外學(xué)者將生產(chǎn)流程劃分為規(guī)劃、執(zhí)行和產(chǎn)出三個(gè)部分，在不同階段采取的規(guī)制策略，被稱作內(nèi)部管理型規(guī)制、技術(shù)標(biāo)準(zhǔn)規(guī)制(technology-based regulation)和績(jī)效標(biāo)準(zhǔn)規(guī)制(outcome-based regulation)。根據(jù)內(nèi)部管理型規(guī)制，公司應(yīng)制定符合一般標(biāo)準(zhǔn)的計(jì)劃，以促進(jìn)有針對(duì)性的社會(huì)目標(biāo)。監(jiān)管標(biāo)準(zhǔn)規(guī)定了每個(gè)計(jì)劃應(yīng)該具備的要素，如危險(xiǎn)識(shí)別、風(fēng)險(xiǎn)防范措施、監(jiān)測(cè)糾正程序、員工培訓(xùn)政策，以及其他社會(huì)目標(biāo)評(píng)估和完善公司管理的具體措施。(11)See Cary Coglianese & David Lazer,Management-Based Regulation:Prescribing Private Management to Achieve Public Goals,37 Law & Society Review 694(2003)．“內(nèi)部管理型規(guī)制不規(guī)定特定的技術(shù)要求或績(jī)效結(jié)果，而是要求企業(yè)針對(duì)行政目標(biāo)，制定適合自身的內(nèi)部經(jīng)營(yíng)計(jì)劃、管理流程及決策規(guī)則，從而將社會(huì)價(jià)值內(nèi)部化?！?12)譚冰霖：《論政府對(duì)企業(yè)的內(nèi)部管理型規(guī)制》，載《法學(xué)家》2019年第6期，第75頁(yè)。這一規(guī)制類型屬于元規(guī)制(meta regulation)的典型類型，與自我規(guī)制具有高度關(guān)聯(lián)性。“元規(guī)制是指外部規(guī)制者有意促使規(guī)制對(duì)象本身針對(duì)公共問(wèn)題，作出內(nèi)部式的、自我規(guī)制性質(zhì)的回應(yīng)，來(lái)要求或塑造規(guī)制對(duì)象的自我規(guī)制?！?13)〔英〕羅伯特·鮑德溫、馬丁·凱夫、馬丁·洛奇：《牛津規(guī)制手冊(cè)》，宋華琳等譯，上海三聯(lián)書(shū)店2017年版，第167頁(yè)。

結(jié)合內(nèi)部規(guī)制理論，該方案具有三點(diǎn)積極意義：第一，針對(duì)個(gè)人信息風(fēng)險(xiǎn)，應(yīng)該采用風(fēng)險(xiǎn)預(yù)防的規(guī)制策略?！盎ヂ?lián)網(wǎng)的復(fù)雜結(jié)構(gòu)以及大數(shù)據(jù)處理過(guò)程隨機(jī)性、相對(duì)性和模糊性特征，表明數(shù)據(jù)主體基于個(gè)人信息與數(shù)據(jù)控制者建立的信息關(guān)系影響因素存在高度的不確定性。傳統(tǒng)規(guī)制模式以規(guī)則為規(guī)制工具，通過(guò)行為和結(jié)果的確定性聯(lián)系進(jìn)行危險(xiǎn)排除，并不符合數(shù)字時(shí)代信息分享的風(fēng)險(xiǎn)特征?！?14)謝堯雯：《基于數(shù)字信任維系的個(gè)人信息保護(hù)路徑》，載《浙江學(xué)刊》2021年第4期，第82頁(yè)。第二，當(dāng)風(fēng)險(xiǎn)不明、標(biāo)準(zhǔn)不清時(shí)，實(shí)際上難以判斷個(gè)人信息是否被濫用泄露，事后監(jiān)督難以挽回實(shí)際損失。需要深入平臺(tái)企業(yè)內(nèi)部，對(duì)個(gè)人信息管理體系進(jìn)行優(yōu)化改造，政府規(guī)制視角應(yīng)該由外入內(nèi)。第三，個(gè)人信息保護(hù)問(wèn)題異質(zhì)性強(qiáng)，平臺(tái)、部門和流程之間都不一樣，需要編制細(xì)密的行動(dòng)規(guī)范。但是，個(gè)人信息保護(hù)法律制度建立初期，諸多制度細(xì)節(jié)、技術(shù)標(biāo)準(zhǔn)和行業(yè)要求都需要進(jìn)一步明確。因此，應(yīng)將規(guī)則自由裁量權(quán)下放給企業(yè)，監(jiān)管機(jī)構(gòu)不宜采取硬標(biāo)準(zhǔn)強(qiáng)要求。

但是，運(yùn)用內(nèi)部規(guī)制理論分析建構(gòu)超大型平臺(tái)獨(dú)立機(jī)構(gòu)，存在固有缺陷難以克服。內(nèi)部管理型規(guī)制本質(zhì)上仍是一種外部監(jiān)督，無(wú)法解決合規(guī)動(dòng)機(jī)問(wèn)題。經(jīng)過(guò)與監(jiān)管機(jī)構(gòu)的溝通確認(rèn)，企業(yè)制定實(shí)施了各類內(nèi)部管理制度，既有可能出于提升公司績(jī)效考慮，也可能是為了應(yīng)付檢查粉飾門面。企業(yè)并非自發(fā)遵守合規(guī)計(jì)劃，而是考慮制度成本、外界壓力和管理層意見(jiàn)。制度運(yùn)行成本較低，契合企業(yè)盈利模式，得到管理層的支持，內(nèi)部管理制度可以有效運(yùn)行；但如果遇到任何一個(gè)障礙，內(nèi)部管理制度運(yùn)行就可能是“部分的、象征性和半心半意(half-heated)”。(15)See Christine Parker & Vibeke Lehmann Neelsen,Do Businesses Take Compliance Systems Seriously?An Empirical Study of Implementation of Trade Practices Compliance Systems in Australia,30 Melbourne University Law Review 441(2006).監(jiān)管者真正應(yīng)該關(guān)心的是企業(yè)管理的實(shí)際行動(dòng)，而不是浮于表面的規(guī)章制度，“管理遠(yuǎn)比管理體系重要”(16)前引〔13〕，羅伯特·鮑德溫、馬丁·凱夫、馬丁·洛奇書(shū)，第154頁(yè)。。對(duì)企業(yè)行為的規(guī)制，僅僅停留在管理制度上是不夠的，需要干預(yù)企業(yè)管理層或控股股東的合規(guī)動(dòng)機(jī)。在這個(gè)層面上獨(dú)立機(jī)構(gòu)的監(jiān)督職能或許更有意義。

2019年7月美國(guó)聯(lián)邦貿(mào)易委員會(huì)(FTC)對(duì)臉書(shū)(Facebook)達(dá)成新的和解令，以懲罰臉書(shū)違反2012年和解令中“禁止虛假陳述”的要求。除了開(kāi)具50億美元的天價(jià)罰單，2019年和解令還要求臉書(shū)改變其董事會(huì)構(gòu)成，設(shè)立專門獨(dú)立隱私委員會(huì)。它的所有成員都必須是獨(dú)立董事，由獨(dú)立提名委員會(huì)產(chǎn)生，每年至少召開(kāi)4次會(huì)議。有權(quán)任命或免職隱私合規(guī)官，每12個(gè)月審核隱私合規(guī)官提交的隱私計(jì)劃執(zhí)行情況書(shū)面說(shuō)明。有權(quán)任命或免職第三方隱私評(píng)估機(jī)構(gòu)，每季度應(yīng)在沒(méi)有管理層出席的情況下與其舉行會(huì)議。每季度審核管理層提交的簡(jiǎn)報(bào)，內(nèi)容涵蓋隱私計(jì)劃狀態(tài)、和解令執(zhí)行情況和存在重大風(fēng)險(xiǎn)情況等等。(17)See United States of America v.Facebook Inc,Case No.19-cv-2184(United States District Court for the District of Columbia.2019).美國(guó)聯(lián)邦貿(mào)易委員會(huì)的執(zhí)法意圖十分明確，約束限制管理層尤其是控股股東扎克伯格在隱私方面的權(quán)力。委員會(huì)委員羅希特·喬普拉(Rohit Chopra)發(fā)表聲明稱，臉書(shū)通過(guò)對(duì)外銷售用戶的行為數(shù)據(jù)換取廣告收入，有強(qiáng)烈的動(dòng)機(jī)獲取越來(lái)越多的用戶數(shù)據(jù)。只要廣告商愿意為用戶消費(fèi)特定內(nèi)容付費(fèi)，像臉書(shū)這樣的公司就有動(dòng)機(jī)以影響用戶的心理狀態(tài)和實(shí)時(shí)偏好的方式來(lái)管理內(nèi)容。作為一家上市公司，臉書(shū)需要與利潤(rùn)豐厚的第三方開(kāi)發(fā)者保持合作，實(shí)現(xiàn)公司利益的最大化。(18)See Rohit Chopra,Dissenting Statement of Commissioner Rohit Chopra,In re Facebook，Inc.Commission File No.1823109(July 24,2019),available at https://www.ftc.gov/system/files/documents/public_statements/1536911/chopra_dissenting_statement_on_facebook_7-24-19.pdf,last visited on Mar.3,2022.委員會(huì)主席喬·西蒙斯(Joe Simons)和委員諾亞·約書(shū)亞·菲利普斯(Noah Joshua Phillips)、克里斯汀·S·威爾遜(Christine S.Wilson)發(fā)布聲明稱，該命令消除了扎克伯格單方面做出隱私?jīng)Q策的能力，賦予業(yè)務(wù)部門、首席隱私官和隱私委員會(huì)相關(guān)責(zé)任。盡管沒(méi)有移除扎克伯格對(duì)董事會(huì)的全部控制權(quán)力，但明顯地削弱了他的權(quán)力，這是迄今為止世界上沒(méi)有哪個(gè)監(jiān)管機(jī)構(gòu)能做到的。(19)See Joe Simons,Noah Joshua Phillips & Christine S.Wilson,Statement of Chairman Joe Simons and Com-missioners Noah Joshua Phillips and Christine S.Wilson In re Facebook，Inc.(July 24,2019),available at https://www.ftc.gov/system/files/documents/public_statements/1536946/092_3184_facebook_majority_statement_7-24-19.pdf,last visited on Mar.3,2022.

通過(guò)分析臉書(shū)2012年和2019年兩宗案件可知，如果沒(méi)有觸及超大型平臺(tái)的盈利模式，以及管理層或控股股東對(duì)個(gè)人信息利用的絕對(duì)控制，單純對(duì)超大型平臺(tái)進(jìn)行事后監(jiān)管和流程改造，無(wú)法對(duì)平臺(tái)企業(yè)的合規(guī)動(dòng)機(jī)進(jìn)行根本影響。因此，需要監(jiān)督的對(duì)象實(shí)際是超大型平臺(tái)的管理層或控股股東。事實(shí)上，2012年和解令最終確定的4個(gè)月后，臉書(shū)就允許第三方開(kāi)發(fā)人員違規(guī)使用用戶個(gè)人信息。(20)See FTC Imposes＄5 Billion Penalty and Sweeping New Privacy Restrictions on Facebook,Federal Trade Commission(July.24,2019),available at https://www.ftc.gov/news-events/press-releases/2019/07/ftc-imposes-5-billion-penalty-sweeping-new-privacy-restrictions,last visited on Mar.3,2022.

由此可見(jiàn)，超大型平臺(tái)獨(dú)立機(jī)構(gòu)的制度建構(gòu)，不僅需要引入政府規(guī)制理論，而且應(yīng)該引入公司治理視角。超大型平臺(tái)企業(yè)的迅速崛起只是近二十年的事情，不少創(chuàng)始人仍然牢牢掌控已經(jīng)上市的平臺(tái)企業(yè)，并未實(shí)現(xiàn)所有權(quán)與經(jīng)營(yíng)權(quán)的分離。臉書(shū)的公司結(jié)構(gòu)為B級(jí)股股東提供了“超級(jí)投票權(quán)”，扎克伯格的投票決定了董事選舉和其他需要股東投票的事項(xiàng)。(21)參見(jiàn)前引〔18〕，Rohit Chopra文?！澳槙?shū)股東厭倦了扎克伯格，但對(duì)他們無(wú)能為力?！?22)Michael Hiltzik,Facebook Shareholders are Getting Fed Up with Zuckerberg but Can’t Do Anything about Him,Los Angeles Times:Business(Apr.16,2019),available at https://www.latimes.com/business/hiltzik/la-fi-hiltzik-mark-zuckerberg-facebook-20190416-story.html,last visited on Mar.13,2022.我國(guó)存在類似的情況，“作為企業(yè)家的發(fā)起人或創(chuàng)始股東珍視控制權(quán)以實(shí)現(xiàn)自己的愿景和抱負(fù)，這種對(duì)控制權(quán)的珍視體現(xiàn)為對(duì)發(fā)起人或創(chuàng)始股東權(quán)利的特殊安排”，如B站的雙層股權(quán)結(jié)構(gòu)、京東的投票委托權(quán)和阿里巴巴的合伙人制度等等。(23)參見(jiàn)汪青松、宋朗：《合規(guī)義務(wù)進(jìn)入董事義務(wù)體系的公司法路徑》，載《北方法學(xué)》2021年第4期。相較于美國(guó)，中國(guó)互聯(lián)網(wǎng)企業(yè)模式創(chuàng)新有余而技術(shù)創(chuàng)新不足，更加依賴個(gè)人信息和人力資源投入。具有類似的公司結(jié)構(gòu)，承擔(dān)著巨大的利潤(rùn)壓力，依靠大量采集個(gè)人信息以維持商業(yè)運(yùn)轉(zhuǎn)，我國(guó)超級(jí)平臺(tái)管理層或控股股東的合規(guī)動(dòng)力更加匱乏。

四、決策監(jiān)督型獨(dú)立機(jī)構(gòu)方案

為加強(qiáng)對(duì)管理層或控股股東的控制，不少國(guó)家規(guī)定董事會(huì)負(fù)責(zé)內(nèi)控機(jī)制建設(shè)，賦予董事一定的法律義務(wù)。如日本《公司法》規(guī)定了董事構(gòu)建內(nèi)控機(jī)制的任務(wù)，《公司法實(shí)施規(guī)則》規(guī)定了構(gòu)建內(nèi)控機(jī)制的具體內(nèi)容。(24)參見(jiàn)梁爽：《內(nèi)部控制機(jī)制的法律化路徑——以日本法上董事內(nèi)部控制義務(wù)為視角》，載《金融法苑》2015年第1期。我國(guó)也有學(xué)者建議：“想讓外部的監(jiān)督發(fā)揮實(shí)效，就必須通過(guò)內(nèi)部的決策機(jī)構(gòu)。而內(nèi)部決策機(jī)構(gòu)最好的做法就是仿效獨(dú)立董事的相關(guān)制度——在董事會(huì)下面設(shè)立一個(gè)主要由獨(dú)立董事承擔(dān)監(jiān)督作用的個(gè)人信息保護(hù)專門委員會(huì)?！?25)隱私護(hù)衛(wèi)隊(duì)：《外部機(jī)構(gòu)如何監(jiān)督企業(yè)個(gè)人信息保護(hù)？許可：不能存在經(jīng)濟(jì)依附》，載https://www.sohu.com/a/509672335_121258695，最后訪問(wèn)時(shí)間：2022年7月23日。如果公司董事會(huì)全部由管理層組成，那么董事會(huì)的存在就沒(méi)有實(shí)際意義，董事會(huì)就變成了一個(gè)擁有高級(jí)頭銜的管理委員會(huì)了。決策監(jiān)督型獨(dú)立機(jī)構(gòu)方案下，我國(guó)不少學(xué)者建議將外部監(jiān)督成員理解為公司的獨(dú)立董事，獨(dú)立董事組成獨(dú)立機(jī)構(gòu)負(fù)責(zé)對(duì)企業(yè)的個(gè)人信息保護(hù)作出判斷和監(jiān)督。(26)參見(jiàn)張平主編：《中華人民共和國(guó)個(gè)人信息保護(hù)法理解適用與案例解讀》，中國(guó)法制出版社2021年版，第225頁(yè)；龍衛(wèi)球主編：《中華人民共和國(guó)個(gè)人信息保護(hù)法釋義》，中國(guó)法制出版社2021年版，第260頁(yè)。該方案如何展開(kāi)，具有哪些優(yōu)勢(shì)與弊端？現(xiàn)有文獻(xiàn)沒(méi)有對(duì)此進(jìn)行討論，本文嘗試進(jìn)行探索展開(kāi)。

(一)方案的理論淵源

該方案與公司治理中的內(nèi)部控制理論有關(guān)。內(nèi)部控制在會(huì)計(jì)學(xué)和審計(jì)學(xué)中較為常見(jiàn)，近年來(lái)隨著法學(xué)界對(duì)企業(yè)合規(guī)的關(guān)注，逐漸進(jìn)入法學(xué)視野?！皟?nèi)部控制起源于企業(yè)財(cái)務(wù)舞弊、財(cái)務(wù)失敗事件的不斷發(fā)生，內(nèi)部控制的發(fā)展與美國(guó)公司會(huì)計(jì)造假、破產(chǎn)倒閉事件周期性的發(fā)生有著密不可分的關(guān)系，每一輪的公司財(cái)務(wù)舞弊、破產(chǎn)倒閉事件都促進(jìn)了內(nèi)部控制理論的發(fā)展。”(27)李維安、戴文濤:《公司治理、內(nèi)部控制、風(fēng)險(xiǎn)管理的關(guān)系框架——基于戰(zhàn)略管理視角》，載《審計(jì)與經(jīng)濟(jì)研究》2013年第4期，第5頁(yè)。例如美國(guó)《反海外賄賂法》(FCPA)要求證券發(fā)行者必須設(shè)計(jì)和維持有效的內(nèi)部會(huì)計(jì)控制系統(tǒng)。(28)See The Foreign Corrupt Practices Act of 1977§15 U.S.C.§78dd-1，et seq.我國(guó)法律對(duì)內(nèi)部控制理論也有類似應(yīng)用，例如2021年6月中國(guó)人民銀行發(fā)布的《中華人民共和國(guó)反洗錢法(修訂草案公開(kāi)征求意見(jiàn)稿)》第3章“反洗錢義務(wù)”第27條第3款規(guī)定：“金融機(jī)構(gòu)應(yīng)當(dāng)通過(guò)內(nèi)部審計(jì)或者獨(dú)立審計(jì)等方式，監(jiān)督檢查反洗錢內(nèi)部控制制度的有效實(shí)施，金融機(jī)構(gòu)的負(fù)責(zé)人對(duì)反洗錢內(nèi)部控制制度的有效實(shí)施負(fù)責(zé)。”

個(gè)人信息保護(hù)與企業(yè)財(cái)務(wù)管理存在較大相似性，都涉及企業(yè)的不同環(huán)節(jié)和各個(gè)流程，與企業(yè)經(jīng)營(yíng)模式和利潤(rùn)收支息息相關(guān)，關(guān)乎企業(yè)的生死存亡。尤其在消費(fèi)者信息隱私意識(shí)覺(jué)醒的今天，對(duì)于超大型平臺(tái)企業(yè)而言，個(gè)人信息保護(hù)不僅應(yīng)是其努力控制的成本線，而且應(yīng)該是嚴(yán)格遵守的生命線。因此，類比財(cái)務(wù)風(fēng)險(xiǎn)管理，個(gè)人信息風(fēng)險(xiǎn)控制完全可以應(yīng)用內(nèi)部控制理論。正如學(xué)者所說(shuō)：“內(nèi)部控制發(fā)展到今天，已經(jīng)演變成一種過(guò)程，內(nèi)化于企業(yè)的各個(gè)流程、各個(gè)環(huán)節(jié)，和企業(yè)的各類人員相聯(lián)系，但從內(nèi)部控制的對(duì)象和目標(biāo)來(lái)看，其本質(zhì)并沒(méi)有發(fā)生變化，依然是一種風(fēng)險(xiǎn)控制活動(dòng)?！?29)前引〔27〕，李維安、戴文濤文，第6頁(yè)。內(nèi)部控制與風(fēng)險(xiǎn)管理屬于一體兩面，本質(zhì)上都是對(duì)風(fēng)險(xiǎn)的有意控制?！皟?nèi)部控制就是控制風(fēng)險(xiǎn)，控制風(fēng)險(xiǎn)就是風(fēng)險(xiǎn)管理?！薄皟?nèi)部控制主要是從風(fēng)險(xiǎn)控制的方式和手段說(shuō)明風(fēng)險(xiǎn)控制的，風(fēng)險(xiǎn)管理就是從風(fēng)險(xiǎn)控制的目的來(lái)說(shuō)明風(fēng)險(xiǎn)控制的?！?30)謝志華：《內(nèi)部控制、公司治理、風(fēng)險(xiǎn)管理:關(guān)系與整合》，載《會(huì)計(jì)研究》2007年第10期，第41頁(yè)。為強(qiáng)調(diào)對(duì)管理層和控股股東的力量制衡，避免風(fēng)險(xiǎn)管理和企業(yè)管理概念混淆，本文采用內(nèi)部控制的概念。

對(duì)于內(nèi)部控制的定義，美國(guó)國(guó)家金融欺詐信息委員會(huì)(Treadway委員會(huì))下屬的“發(fā)起組織委員會(huì)”(COSO)(31)COSO英文全稱為Committee of Sponsoring Organizations of the Treadway Commission。COSO 在美國(guó)成立于 1985 年，旨在贊助國(guó)家金融欺詐信息委員會(huì)(Treadway委員會(huì))。Treadway 委員會(huì)最初由位于美國(guó)的以下五家主要專業(yè)會(huì)計(jì)協(xié)會(huì)和機(jī)構(gòu)發(fā)起和共同資助：美國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)(AICPA)、美國(guó)會(huì)計(jì)協(xié)會(huì)(AAA)、國(guó)際財(cái)務(wù)執(zhí)行官(FEI)、內(nèi)部協(xié)會(huì)審計(jì)師(IIA)和管理會(huì)計(jì)師協(xié)會(huì)(IMA)。發(fā)布的《COSO內(nèi)部控制—綜合框架(2013)》指出，內(nèi)部控制是一個(gè)由實(shí)體董事會(huì)、管理層和其他人員實(shí)施的過(guò)程，旨在為實(shí)現(xiàn)運(yùn)營(yíng)、報(bào)告和合規(guī)相關(guān)目標(biāo)提供合理保證。合規(guī)目標(biāo)與遵守實(shí)體法律法規(guī)有關(guān)。這一框架包含控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息交流和監(jiān)控活動(dòng)五個(gè)組成部分。(32)See The Committee of Sponsoring Organizations of the Treadway Commission(COSO)，COSO Internal Control-Integrated Framework(2013)(May 14,2013)，available at https://assets.kpmg/content/dam/kpmg/pdf/2016/05/2750-New-COSO-2013-Framework-WHITEPAPER-V4.pdf,last visited on Feb.13,2022.我國(guó)財(cái)政部、證監(jiān)會(huì)、銀監(jiān)會(huì)等五部委于2008年5月發(fā)布的《企業(yè)內(nèi)部控制基本規(guī)范》第3條規(guī)定：“本規(guī)范所稱內(nèi)部控制，是由企業(yè)董事會(huì)、監(jiān)事會(huì)、經(jīng)理層和全體員工實(shí)施的、旨在實(shí)現(xiàn)控制目標(biāo)的過(guò)程。內(nèi)部控制的目標(biāo)是合理保證企業(yè)經(jīng)營(yíng)管理合法合規(guī)、資產(chǎn)安全、財(cái)務(wù)報(bào)告及相關(guān)信息真實(shí)完整，提高經(jīng)營(yíng)效率和效果，促進(jìn)企業(yè)實(shí)現(xiàn)發(fā)展戰(zhàn)略?！逼髽I(yè)控制目標(biāo)的實(shí)現(xiàn)需要由股東會(huì)、董事會(huì)、監(jiān)事會(huì)和管理層等各個(gè)組織機(jī)構(gòu)共同完成。構(gòu)建合規(guī)制度體系是內(nèi)部控制目標(biāo)，無(wú)論由董事會(huì)或監(jiān)事會(huì)設(shè)置獨(dú)立機(jī)構(gòu)，它們開(kāi)展的內(nèi)部監(jiān)督活動(dòng)都屬于風(fēng)險(xiǎn)控制的內(nèi)部過(guò)程。

該理論強(qiáng)調(diào)應(yīng)發(fā)揮董事會(huì)內(nèi)部控制的主導(dǎo)作用，例如《上海證券交易所上市公司內(nèi)部控制指引》第4條規(guī)定：“公司董事會(huì)對(duì)公司內(nèi)控制度的建立健全、有效實(shí)施及其檢查監(jiān)督負(fù)責(zé)，董事會(huì)及其全體成員應(yīng)保證內(nèi)部控制相關(guān)信息披露內(nèi)容的真實(shí)、準(zhǔn)確、完整。”比較法上，韓國(guó)存在類似的“合規(guī)監(jiān)查人”制度?！昂弦?guī)監(jiān)查人通常從公司內(nèi)部的董事或業(yè)務(wù)執(zhí)行負(fù)責(zé)人中選任，其雖由董事會(huì)任命，但卻獨(dú)立履行職務(wù)，其業(yè)務(wù)活動(dòng)不受董事會(huì)或代表董事的干預(yù)。為了保障其獨(dú)立性地位，韓國(guó)《金融公司治理結(jié)構(gòu)法》第30條要求金融公司應(yīng)當(dāng)通過(guò)章程保障合規(guī)監(jiān)查人獨(dú)立履行職務(wù)，并為其履行職務(wù)提供必要的資料和信息；對(duì)合規(guī)監(jiān)視人的任免雖由公司自主決定，但須在作出決定之日起7天內(nèi)向金融委員會(huì)報(bào)告。公司未按規(guī)定設(shè)置合規(guī)監(jiān)視人或未按照合規(guī)要求進(jìn)行報(bào)批和運(yùn)營(yíng)的，根據(jù)該法第43條第16—22款的規(guī)定，可對(duì)其處以罰款?！?33)趙萬(wàn)一：《合規(guī)制度的公司法設(shè)計(jì)及其實(shí)現(xiàn)路徑》，載《中國(guó)法學(xué)》2020年第2期，第76頁(yè)。

美國(guó)學(xué)者提出了應(yīng)由董事會(huì)承擔(dān)內(nèi)部控制最終責(zé)任的兩點(diǎn)理由：第一，企業(yè)高管有可能扭曲信息流動(dòng)。解決信息不對(duì)稱問(wèn)題，創(chuàng)造競(jìng)爭(zhēng)性的信息來(lái)源。第二，存在管理機(jī)會(huì)主義問(wèn)題。管理層面臨業(yè)績(jī)壓力，任期薪酬與企業(yè)盈利高度相關(guān)。在一筆違反公司政策或法律規(guī)則的交易中，預(yù)期的利潤(rùn)通常是巨大、現(xiàn)實(shí)和生動(dòng)的。相比之下，從經(jīng)理的角度來(lái)看，違反公司政策或法律規(guī)則可能造成的損失往往微不足道、蒼白、非常遙遠(yuǎn)，尤其是考慮到發(fā)現(xiàn)的可能性極低時(shí)，情況更是如此。董事們不尋求晉升，通常不負(fù)責(zé)短期利潤(rùn)決策判斷，因而對(duì)于公司整體和長(zhǎng)遠(yuǎn)利益更加看重。(34)See Melvin A.Eisenberg,The Board of Directors and Internal Control,19 Cardozo Law Review 237,250(1997).臉書(shū)案件體現(xiàn)了該學(xué)者的公司治理思路，2019年和解令創(chuàng)造了加強(qiáng)臉書(shū)隱私監(jiān)管的四個(gè)信息流，建構(gòu)了一種重疊的合規(guī)監(jiān)督渠道(overlapping channels of compliance)，以提高風(fēng)險(xiǎn)防控效率。(35)參見(jiàn)前引〔19〕，Joe Simons、Noah Joshua Phillips、Christine S.Wilson文。為加強(qiáng)對(duì)某一重要事項(xiàng)的整體管理，董事會(huì)設(shè)置專門委員會(huì)的做法在實(shí)踐中已經(jīng)很常見(jiàn)。如很多上市公司在董事會(huì)設(shè)立社會(huì)責(zé)任專門委員會(huì)和環(huán)境保護(hù)專門委員會(huì)。(36)參見(jiàn)蔣大興：《公司社會(huì)責(zé)任如何成為“有牙的老虎”——董事會(huì)社會(huì)責(zé)任委員會(huì)之設(shè)計(jì)》，載《清華法學(xué)》2009年第4期。

(二)設(shè)在董事會(huì)下而不是監(jiān)事會(huì)下

內(nèi)部控制職責(zé)的權(quán)能配置，實(shí)際上與不同國(guó)家公司法規(guī)定的組織結(jié)構(gòu)有關(guān)。“英美法國(guó)家實(shí)行的主要是以外部董事為核心的監(jiān)督制度，它與我國(guó)的獨(dú)立董事制度相似。在以德國(guó)為代表的大陸法國(guó)家，實(shí)行的主要是以監(jiān)事會(huì)為核心的監(jiān)督制度?！?37)高旭軍：《對(duì)我國(guó)上市公司“雙核心監(jiān)督機(jī)制”的反思》，載《東方法學(xué)》2016年第2期，第58頁(yè)。我國(guó)《公司法》規(guī)定董事會(huì)和監(jiān)事會(huì)兩個(gè)組織機(jī)構(gòu)負(fù)責(zé)內(nèi)部監(jiān)督職能。有的學(xué)者認(rèn)為轉(zhuǎn)換到中國(guó)背景下監(jiān)事同樣負(fù)有內(nèi)部控制義務(wù)。(38)參見(jiàn)邢會(huì)強(qiáng)：《上市公司虛假陳述行政處罰內(nèi)部責(zé)任人認(rèn)定邏輯之改進(jìn)》，載《中國(guó)法學(xué)》2022年第1期。我國(guó)《公司法》雖然沒(méi)有明確規(guī)定外部監(jiān)事制度，但是部分企業(yè)早已開(kāi)始探索實(shí)施，如中國(guó)人民銀行2002年就曾發(fā)布《股份制商業(yè)銀行獨(dú)立董事和外部監(jiān)事制度指引》。有學(xué)者提出獨(dú)立董事的監(jiān)督是決策中的監(jiān)督，監(jiān)事會(huì)的監(jiān)督體現(xiàn)為事后監(jiān)督。(39)參見(jiàn)施天濤：《讓監(jiān)事會(huì)的腰桿硬起來(lái)——關(guān)于強(qiáng)化我國(guó)監(jiān)事會(huì)制度功能的隨想》，載《中國(guó)法律評(píng)論》2020年第3期。以上觀點(diǎn)和實(shí)踐都具有借鑒意義，存在兩個(gè)內(nèi)部監(jiān)督機(jī)關(guān)的情況下，董事會(huì)和監(jiān)事會(huì)都可以承擔(dān)個(gè)人信息保護(hù)的內(nèi)部控制職責(zé)。需要進(jìn)一步思考的是，為落地實(shí)施《個(gè)人信息保護(hù)法》，是否需要《公司法》相應(yīng)修改，董事會(huì)和監(jiān)事會(huì)哪一個(gè)組織更具有設(shè)置獨(dú)立機(jī)構(gòu)的制度潛力。

本文認(rèn)為在堅(jiān)持現(xiàn)有公司法框架下，獨(dú)立機(jī)構(gòu)更適合設(shè)置在董事會(huì)中，主要成員由獨(dú)立董事?lián)?。為了解決監(jiān)事會(huì)存在的問(wèn)題，我國(guó)引入了獨(dú)立董事制度。公司監(jiān)事會(huì)作為專門監(jiān)督機(jī)構(gòu)，普遍存在“監(jiān)事會(huì)地位低下、資源匱乏，職工監(jiān)事制度徒具其形，監(jiān)事缺乏適當(dāng)?shù)目己撕图?lì)機(jī)制，與獨(dú)立董事關(guān)系不清、疊床架屋，受制于高管控股股東”等問(wèn)題。(40)參見(jiàn)郭靂：《中國(guó)式監(jiān)事會(huì)：安于何處，去向何方？》，載《比較法研究》2016年第2期。不同學(xué)者總結(jié)的原因或有出入，但是監(jiān)事會(huì)孱弱無(wú)力確是現(xiàn)實(shí)，無(wú)力對(duì)抗控股股東實(shí)施有效監(jiān)督。我國(guó)《公司法》規(guī)定監(jiān)事會(huì)由股東代表和職工代表組成，職工代表的比例不得低于三分之一，意圖加強(qiáng)股東和雇員對(duì)公司的自我監(jiān)督。但股東代表產(chǎn)生受制于控股股東，職工代表履職遭雇傭關(guān)系掣肘。即便允許外部監(jiān)事加入，也難以改變監(jiān)事會(huì)的固有缺陷。獨(dú)立機(jī)構(gòu)要求主要由外部成員組成，這與監(jiān)事會(huì)的人員比例要求也存在出入。董事會(huì)擁有解聘或聘任管理層和制定規(guī)章制度等事項(xiàng)的決定權(quán)，可以有效建構(gòu)個(gè)人信息保護(hù)內(nèi)控合規(guī)體系。但是監(jiān)事會(huì)僅具有建議、質(zhì)詢和調(diào)查等權(quán)利，只能列席董事會(huì)會(huì)議，沒(méi)有投票表決權(quán)和否決權(quán)。我國(guó)超大型平臺(tái)企業(yè)多赴美股和港股上市，就個(gè)人信息保護(hù)問(wèn)題對(duì)董事會(huì)進(jìn)行改造，與英美公司法傳統(tǒng)不存在較大差異，更有利于企業(yè)降低合規(guī)成本。

(三)獨(dú)立董事需要平衡股東利益與公共利益

獨(dú)立機(jī)構(gòu)由獨(dú)立董事構(gòu)成，獨(dú)立董事實(shí)際開(kāi)展監(jiān)督活動(dòng)，但是獨(dú)立董事應(yīng)該對(duì)誰(shuí)負(fù)責(zé)，卻鮮有學(xué)者深入研究。有專家觀察到存在利益沖突的可能，有針對(duì)性地提出“如果認(rèn)為獨(dú)立監(jiān)督機(jī)構(gòu)對(duì)社會(huì)公眾負(fù)責(zé)，公司的發(fā)展利益或?qū)⒉蛔鳛楠?dú)立監(jiān)督機(jī)構(gòu)考慮的范疇，有可能導(dǎo)致公司發(fā)展利益受損”(41)虞偉：《個(gè)保法要求建外部獨(dú)立監(jiān)督機(jī)構(gòu)，互聯(lián)網(wǎng)平臺(tái)為何按兵不動(dòng)》，載https://xw.qq.com/cmsid/20211111A009I900，最后訪問(wèn)時(shí)間：2022年7月23日。。這些觀察實(shí)際上點(diǎn)出了問(wèn)題的實(shí)質(zhì)，獨(dú)立董事應(yīng)該對(duì)公共利益負(fù)責(zé)，還是對(duì)企業(yè)利益和股東利益負(fù)責(zé)？《上市公司獨(dú)立董事規(guī)則》第5條規(guī)定獨(dú)立董事應(yīng)該維護(hù)公司整體利益，尤其要關(guān)注中小股東的合法權(quán)益不受損害。但是超大型平臺(tái)收集了大量的公民個(gè)人信息，即便個(gè)人信息處理者投入了汗水勞動(dòng)，個(gè)人信息蘊(yùn)含的人格利益仍然屬于公民或用戶個(gè)人?？辗旱卣f(shuō)，公司利益、股東利益與社會(huì)公共利益當(dāng)然是一致的，企業(yè)違反法律規(guī)定侵犯公共利益受到法律制裁，也會(huì)損害企業(yè)利益和股東利益?！暗@個(gè)觀點(diǎn)其實(shí)只是體現(xiàn)了一種‘大家好才是真的好’的良善價(jià)值導(dǎo)向，在邏輯上就如同個(gè)體利益和群體利益可以兩全的論斷一樣脆弱，如果真的可以兩全就不會(huì)有損公肥私和犧牲小我完成大我的問(wèn)題。”(42)前引〔23〕,汪青松、宋朗文，第81頁(yè)。事實(shí)上濫用公民個(gè)人信息的現(xiàn)象已經(jīng)如此普遍，大量的違法行為并沒(méi)有被發(fā)現(xiàn)懲處，有些人甚至懷疑是否還有繼續(xù)保護(hù)的必要。因此，實(shí)踐中公司利益、股東利益與公共利益廣泛存在著利益沖突。努力追求私人利益，既有可能成為創(chuàng)新創(chuàng)業(yè)的動(dòng)力源泉，也有可能是公地悲劇的罪魁禍?zhǔn)?。盲目?lè)觀與有意回避都不可取，在流通利用中個(gè)人信息才能發(fā)揮實(shí)際價(jià)值。真正值得思考的是，如何通過(guò)法律規(guī)則調(diào)整實(shí)現(xiàn)不同利益平衡。

傳統(tǒng)公司法理論認(rèn)為董事僅對(duì)股東利益負(fù)責(zé)，追求股東利益最大化。基于公司所有權(quán)與經(jīng)營(yíng)權(quán)分離的現(xiàn)實(shí)情況，股東選舉產(chǎn)生董事負(fù)責(zé)實(shí)際經(jīng)營(yíng)，股東與董事之間屬于委托代理關(guān)系，董事對(duì)股東負(fù)有信義義務(wù)，通說(shuō)認(rèn)為至少包含忠實(shí)義務(wù)和勤勉義務(wù)。盡管從19世紀(jì)30年代開(kāi)始，美國(guó)學(xué)界開(kāi)啟的企業(yè)社會(huì)責(zé)任討論一直延續(xù)至今，但是這一框架仍是公司法的基本理論模型。正如前美國(guó)特拉華州最高法院首席大法官小利奧·E·斯特林(Leo E.Strine,Jr.)所說(shuō)，“這些公司的董事會(huì)認(rèn)為，他們所管理的共和國(guó)應(yīng)該對(duì)唯一公民忠誠(chéng)，而這些公民被稱為股東。這些公司的董事會(huì)并不認(rèn)為自己對(duì)其他選區(qū)有任何國(guó)家的忠誠(chéng)度，他們認(rèn)為自己是股權(quán)資本共和國(guó)的民選官員?！?43)Leo E.Strine Jr.,Corporate Power is Corporate Purpose II:An Encouragement for Future Consideration from Professors Johnson and Millon,74 Washington and Lee Law Review 1,13(2017).但是董事追求股東利益并非沒(méi)有限度，必須遵守法律的各項(xiàng)要求，意味著對(duì)于法律強(qiáng)制性規(guī)定事項(xiàng)，董事不能進(jìn)行成本收益比較，這實(shí)際上在法律框架內(nèi)限制了股東利益。伴隨著美國(guó)公司所有權(quán)與經(jīng)營(yíng)權(quán)的分離，眾多學(xué)者提出應(yīng)該考慮企業(yè)的社會(huì)責(zé)任，公司董事會(huì)不僅要對(duì)股東利益負(fù)責(zé)，而且要考慮消費(fèi)者、社區(qū)、雇員、客戶和環(huán)境保護(hù)等非股東利益，由此產(chǎn)生了諸如利益相關(guān)者理論、公司公民理論、公司善治運(yùn)動(dòng)等理論思潮。(44)參見(jiàn)施天濤：《〈公司法〉第5條的理想與現(xiàn)實(shí):公司社會(huì)責(zé)任何以實(shí)施？》，載《清華法學(xué)》2019年第5期。公司生產(chǎn)經(jīng)營(yíng)會(huì)產(chǎn)生各種社會(huì)成本，污染環(huán)境、勞工、金融風(fēng)險(xiǎn)等問(wèn)題都需要公司經(jīng)營(yíng)者認(rèn)真考慮。立法者希望通過(guò)成文立法解決這些問(wèn)題，規(guī)定企業(yè)相應(yīng)的法律義務(wù)，我國(guó)《個(gè)人信息保護(hù)法》也是如此。企業(yè)畢竟不是政府，企業(yè)存在的根本目的仍是追逐利潤(rùn)。曾經(jīng)有人建議在公司董事會(huì)設(shè)立代表不同群體利益的公益董事，有學(xué)者評(píng)論說(shuō)，即便全部董事追求公司利益最大化，都不一定可以實(shí)現(xiàn)意見(jiàn)統(tǒng)一。如果董事會(huì)充斥著目標(biāo)不同相互競(jìng)爭(zhēng)的支持者，那將是大多數(shù)管理者的噩夢(mèng)。(45)See Alfred F.Conard,Reflections on Public Interest Directors,75 Michigan Law Review 941,950(1977).如果賦予企業(yè)過(guò)多的公共責(zé)任，可能會(huì)將企業(yè)經(jīng)營(yíng)變成政治活動(dòng)，董事之間的實(shí)質(zhì)性利益沖突會(huì)導(dǎo)致公司無(wú)法經(jīng)營(yíng)。由此可知，如同公司一樣，董事會(huì)既不可能徹底堅(jiān)持“股東至上”，也無(wú)法完全替代政府追求公共利益，堅(jiān)持維護(hù)股東利益兼帶平衡公共利益才是現(xiàn)實(shí)選擇。在個(gè)人信息保護(hù)問(wèn)題上同樣如此，個(gè)人信息只有在聚合、加工和利用之后才能發(fā)揮最大價(jià)值，平臺(tái)企業(yè)的產(chǎn)品創(chuàng)新和商業(yè)開(kāi)發(fā)在其中發(fā)揮了不可替代的作用，規(guī)范利用是最終目的，違規(guī)懲戒只是手段。因此，獨(dú)立機(jī)構(gòu)作為董事會(huì)的下設(shè)機(jī)構(gòu)，需要平衡股東利益和公共利益。部分學(xué)者認(rèn)為它不對(duì)個(gè)人信息處理者負(fù)責(zé)、單純維護(hù)公共利益、應(yīng)該保持中立性的觀點(diǎn)是錯(cuò)誤的。

獨(dú)立董事作為獨(dú)立機(jī)構(gòu)的成員，應(yīng)追求實(shí)現(xiàn)企業(yè)利益，我國(guó)《公司法》第147條和《上市公司獨(dú)立董事規(guī)則》第5條均有直接規(guī)定。與《公司法》立法目的不同，《個(gè)人信息保護(hù)法》不要求獨(dú)立董事關(guān)注中小股東的合法權(quán)益，而是強(qiáng)調(diào)他們對(duì)個(gè)人信息保護(hù)情況進(jìn)行有效監(jiān)督，主要關(guān)注廣大力量分散的公民個(gè)人信息權(quán)益，本質(zhì)上屬于一種利益相關(guān)者權(quán)益。這部分利益與中小股東利益風(fēng)險(xiǎn)偏好存在明顯不同，但是它們都依附在公司整體利益之上。無(wú)論是維護(hù)中小股東利益，還是為了公民個(gè)人信息權(quán)益，法律為分散的利益群體選派代表，都試圖打破控股股東的非對(duì)稱權(quán)利結(jié)構(gòu)，努力干預(yù)影響公司決策。二者在規(guī)制思路上是相似的，這是嫁接獨(dú)立機(jī)構(gòu)職能與獨(dú)立董事職責(zé)的基礎(chǔ)。股東利益、公司利益和公共利益，三者在合規(guī)層面是一致的。法律底線不容利益權(quán)衡，遵紀(jì)守法保障企業(yè)長(zhǎng)遠(yuǎn)。這解釋了為什么設(shè)置獨(dú)立機(jī)構(gòu)是構(gòu)建合規(guī)體系的一部分，為什么獨(dú)立機(jī)構(gòu)與合規(guī)體系共同組成《個(gè)人信息保護(hù)法》第58條第1項(xiàng)。

(四)獨(dú)立董事承擔(dān)的法律義務(wù)之性質(zhì)

結(jié)合我國(guó)《公司法》，獨(dú)立董事的這種內(nèi)部控制行為屬于什么法律義務(wù)？我國(guó)《公司法》第147條規(guī)定董事對(duì)公司負(fù)有忠實(shí)和勤勉義務(wù)，《上市公司獨(dú)立董事規(guī)則》第5條規(guī)定獨(dú)立董事對(duì)上市公司及全體股東負(fù)有誠(chéng)信與勤勉義務(wù)。這里出現(xiàn)了三種義務(wù)類型：忠實(shí)義務(wù)、誠(chéng)信義務(wù)和勤勉義務(wù)，內(nèi)部控制與三者是什么關(guān)系？法律義務(wù)這一概念本質(zhì)要求主體行為符合法律規(guī)定，文字意義上所有部門法規(guī)定的各項(xiàng)法律義務(wù)都屬于“合規(guī)義務(wù)”，但是某一種“合規(guī)行為”能否成為獨(dú)立具體的法律義務(wù)就值得討論了。這些新增的合規(guī)義務(wù)是否屬于信義義務(wù)？或者它們可以成為一種新的“合規(guī)義務(wù)”？存在獨(dú)立的內(nèi)部控制義務(wù)嗎？目前主要存在三種觀點(diǎn)：第一，內(nèi)部控制行為屬于忠實(shí)義務(wù)或誠(chéng)信義務(wù)的一種。誠(chéng)信義務(wù)是否屬于一種單獨(dú)的信義義務(wù)類型，在美國(guó)公司法上存在著“三分法”和“二分法”的爭(zhēng)議。本文無(wú)意對(duì)此進(jìn)行明確區(qū)分，故將忠實(shí)義務(wù)與誠(chéng)信義務(wù)進(jìn)行并列。有學(xué)者提出，美國(guó)法上在董事違反內(nèi)部控制機(jī)制建構(gòu)義務(wù)的案例中，如Caremark案以及Stone案，法院一般認(rèn)為董事故意忽視自身職責(zé)，往往會(huì)判定董事違反忠實(shí)義務(wù)。(46)參見(jiàn)梁爽：《董事信義義務(wù)結(jié)構(gòu)重組及對(duì)中國(guó)模式的反思——以美、日商業(yè)判斷規(guī)則的運(yùn)用為借鑒》，載《中外法學(xué)》2016年第1期。第二，內(nèi)部控制行為屬于勤勉義務(wù)或注意義務(wù)的一種。有學(xué)者提出：“就履行個(gè)人信息保護(hù)法定義務(wù)而言，在學(xué)理上屬于公司董事、高管應(yīng)當(dāng)履行的勤勉義務(wù)，即公司管理者應(yīng)當(dāng)保障公司能夠切實(shí)履行法律規(guī)定的保護(hù)個(gè)人信息的義務(wù)，從而維護(hù)公司的利益，避免公司因義務(wù)不履行而遭受不利的法律后果，諸如，損害賠償、行政處罰，甚至刑事處罰。”(47)張懷嶺：《公司治理視域下個(gè)人信息保護(hù)的實(shí)現(xiàn)路徑——以〈公司法〉第147條的具體化為中心》，載《財(cái)經(jīng)法學(xué)》2018年第5期，第28頁(yè)。有學(xué)者認(rèn)為內(nèi)部控制義務(wù)是董事勤勉義務(wù)的具體化和內(nèi)在化，認(rèn)為“對(duì)企業(yè)發(fā)生的重大事件或事故，即使是無(wú)需董事親自決策和具體實(shí)施的小事直接引起的，如果該重大事件或事故與內(nèi)部控制的不健全有關(guān)聯(lián)，是和未能建立健全能盡早發(fā)現(xiàn)糾正違法違規(guī)事件的源頭原因，防止事件發(fā)生的公司內(nèi)部控制有關(guān)聯(lián)，在一定條件下，也應(yīng)認(rèn)定董事違反了內(nèi)部控制義務(wù)，董事應(yīng)對(duì)公司承擔(dān)相應(yīng)的損害賠償責(zé)任”(48)劉惠明、祁靖：《內(nèi)部控制義務(wù)——董事勤勉義務(wù)的具體化與內(nèi)在化》，載《東南大學(xué)學(xué)報(bào)(哲學(xué)社會(huì)科學(xué)版)》2012年第5期，第76頁(yè)。。還有學(xué)者分析德國(guó)公司法，論證從業(yè)務(wù)執(zhí)行機(jī)構(gòu)的謹(jǐn)慎義務(wù)中引申出來(lái)的合法性管控義務(wù)可以成為合規(guī)組織義務(wù)的法律基礎(chǔ)。(49)參見(jiàn)王東光：《組織法視角下的公司合規(guī)：理論基礎(chǔ)與制度闡釋》，載《法治研究》2021年第6期。第三，內(nèi)部控制屬于一種特殊的合規(guī)義務(wù)，與董事信義義務(wù)并列。有學(xué)者認(rèn)為“董事信義義務(wù)的產(chǎn)生原因系董事與公司及股東間的委托代理關(guān)系和利益沖突，旨在減少公司治理中的代理成本。而董事的合規(guī)義務(wù)源于公司行為的合法性要求從組織層面向個(gè)體層面的下沉，旨在減少公司經(jīng)營(yíng)中的社會(huì)成本”，兩種法律義務(wù)的產(chǎn)生原因存在根本不同，因此勢(shì)必產(chǎn)生張力與沖突。(50)參見(jiàn)前引〔23〕，汪青松、宋朗文。

客觀分析上述觀點(diǎn)學(xué)說(shuō)都有其合理之處，內(nèi)部控制并非一個(gè)法學(xué)概念，包括公司治理、風(fēng)險(xiǎn)管理和企業(yè)合規(guī)的各個(gè)流程，這決定了其行為本身可能屬于廣義信義義務(wù)其中的一種類型，需要將《個(gè)人信息保護(hù)法》第58條和信義義務(wù)的子義務(wù)做綜合理解，利用忠實(shí)義務(wù)、誠(chéng)信義務(wù)和勤勉義務(wù)拓展個(gè)人信息保護(hù)義務(wù)的實(shí)質(zhì)內(nèi)容。應(yīng)該避免法律義務(wù)的“大詞化”傾向，盡量提供一些充滿血肉的制度安排。《公司法》修訂過(guò)程中，部分學(xué)者建議將合規(guī)義務(wù)確立為公司和相關(guān)成員的基本義務(wù)，借此建構(gòu)整個(gè)合規(guī)理論體系。(51)參見(jiàn)前引〔33〕，趙萬(wàn)一文。但是加入合規(guī)義務(wù)可能導(dǎo)致本就抽象的信義義務(wù)更加混亂，增加無(wú)謂的概念重疊與指向沖突。因此，本文不建議將內(nèi)部控制行為作為一種新型合規(guī)義務(wù)，借由合規(guī)義務(wù)與信義義務(wù)并列的方式在《公司法》上確立下來(lái)。正如學(xué)者所說(shuō)：“一個(gè)連注意義務(wù)都沒(méi)有能力去具體界定的法律制度，如何去設(shè)定在此基礎(chǔ)上更復(fù)雜的合規(guī)？”(52)鄧峰：《公司合規(guī)的源流及中國(guó)的制度局限》，載《比較法研究》2020年第1期，第44頁(yè)。

(五)職能設(shè)計(jì)和人員構(gòu)成

在職能設(shè)計(jì)上，獨(dú)立機(jī)構(gòu)的監(jiān)督職能體現(xiàn)為兩方面：第一，監(jiān)督職能本質(zhì)上是督導(dǎo)并舉而非狹義監(jiān)督，應(yīng)該擴(kuò)充獨(dú)立機(jī)構(gòu)的實(shí)際職能。不同于外部監(jiān)督事后糾錯(cuò)，獨(dú)立機(jī)構(gòu)的監(jiān)督活動(dòng)是對(duì)個(gè)人信息風(fēng)險(xiǎn)的內(nèi)部控制活動(dòng)，不僅局限于監(jiān)控活動(dòng)，而且包括控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息交流四個(gè)環(huán)節(jié)。第二，監(jiān)督職能屬于系統(tǒng)監(jiān)督而非具體監(jiān)督，應(yīng)該減輕獨(dú)立機(jī)構(gòu)的職責(zé)負(fù)擔(dān)。超大型平臺(tái)企業(yè)規(guī)模巨大，包含各種業(yè)務(wù)類型，難以指望任職董事進(jìn)行具體監(jiān)督?！岸仑?fù)有對(duì)公司作為一個(gè)運(yùn)行良好的系統(tǒng)的‘設(shè)計(jì)者’和‘維護(hù)者’的職責(zé)，負(fù)有督導(dǎo)(monitor)的義務(wù)?！?53)鄧峰：《領(lǐng)導(dǎo)責(zé)任的法律分析——基于董事注意義務(wù)的視角》，載《中國(guó)社會(huì)科學(xué)》2006年第3期，第143-144頁(yè)。系統(tǒng)監(jiān)督與具體監(jiān)督的不同，是劃分獨(dú)立機(jī)構(gòu)與個(gè)人信息保護(hù)負(fù)責(zé)人工作職責(zé)的重要標(biāo)準(zhǔn)。

在人員構(gòu)成上，專門委員會(huì)人員數(shù)量應(yīng)保持單數(shù)，由三名或三名以上成員組成?？筛鶕?jù)實(shí)際情況，由董事會(huì)提名委員會(huì)動(dòng)態(tài)調(diào)整。獨(dú)立董事應(yīng)至少占全部人員三分之二及以上。其余三分之一，控股股東和負(fù)責(zé)個(gè)人信息保護(hù)的高級(jí)管理人員不得擔(dān)任。為不干擾企業(yè)正常經(jīng)營(yíng)，在日常性管理中獨(dú)立董事由超大型平臺(tái)企業(yè)自行選任，平臺(tái)企業(yè)應(yīng)及時(shí)向主管部門備案公示。在合規(guī)整改時(shí)，為保證整改措施及時(shí)到位，可由主管部門指定獨(dú)立董事人選。獨(dú)立董事的任職條件，除了符合《上市公司獨(dú)立董事規(guī)則》的各項(xiàng)要求外，還應(yīng)該強(qiáng)調(diào)專業(yè)性與多樣性。鼓勵(lì)企業(yè)聘請(qǐng)具有一定個(gè)人信息保護(hù)專業(yè)知識(shí)的法律、計(jì)算機(jī)、企業(yè)管理等領(lǐng)域?qū)＜疫M(jìn)入專門委員會(huì)。考慮到承擔(dān)系統(tǒng)監(jiān)督的工作職責(zé)，專門委員會(huì)成員理應(yīng)從平臺(tái)企業(yè)領(lǐng)取適當(dāng)報(bào)酬。

(六)方案存在的弊端

決策監(jiān)督型獨(dú)立機(jī)構(gòu)方案將獨(dú)立機(jī)構(gòu)設(shè)置在董事會(huì)內(nèi)部，由獨(dú)立董事具體履行監(jiān)督職責(zé)，獨(dú)立于董事經(jīng)理等高級(jí)管理人員，具有一定的合理之處。同時(shí)也存在諸多弊端：第一，各種獨(dú)立董事組成的專業(yè)委員會(huì)過(guò)多，容易造成董事會(huì)負(fù)擔(dān)過(guò)重。機(jī)構(gòu)人員臃腫效率低下。環(huán)境保護(hù)委員會(huì)、合規(guī)委員會(huì)、勞工權(quán)益委員會(huì)、可持續(xù)發(fā)展委員會(huì)、社會(huì)責(zé)任專門委員會(huì)等各種委員會(huì)都多少已經(jīng)存在，有些是法律強(qiáng)制規(guī)定的，有些是企業(yè)根據(jù)自身情況設(shè)立的，不同委員會(huì)之間存在職能重疊，很容易造成獨(dú)立董事身兼多職負(fù)擔(dān)過(guò)重。第二，獨(dú)立董事平衡股東利益、利益相關(guān)者利益和公共利益，雖然理論上可以抽象證成，但實(shí)際操作存在困難。加之獨(dú)立董事職能責(zé)任眾多，很難周全各種利益訴求。第三，獨(dú)立董事法律責(zé)任不明，容易挫傷獨(dú)立董事的積極性。2021年11月12日廣州市中級(jí)人民法院判決康美藥業(yè)五名獨(dú)立董事因違反勤勉義務(wù)承擔(dān)連帶責(zé)任，合計(jì)賠償金額最高約3.69億元。此案引發(fā)了有關(guān)獨(dú)立董事法律責(zé)任的爭(zhēng)論。我國(guó)獨(dú)立董事多為兼職擔(dān)任，無(wú)論是信息來(lái)源、時(shí)間精力，還是對(duì)企業(yè)業(yè)務(wù)的了解程度，實(shí)際上都無(wú)法與公司董監(jiān)高相比，在客觀條件受限的情況下倡導(dǎo)提高獨(dú)立董事法律責(zé)任存在一定問(wèn)題。我國(guó)《公司法》欠缺對(duì)勤勉或注意義務(wù)的制度化建構(gòu)，二者本身是一個(gè)不確定法律概念，內(nèi)涵外延都有待明確?！秱€(gè)人信息保護(hù)法》雖然已頒布實(shí)施，但是為時(shí)尚短仍需實(shí)踐，不少具體規(guī)則也仍在探索之中，極有可能造成權(quán)責(zé)畸輕畸重。

五、結(jié)語(yǔ)：合規(guī)監(jiān)督的模式選擇

根據(jù)上文分析可知，第三方獨(dú)立機(jī)構(gòu)方案欠缺獨(dú)立性，不具有比較優(yōu)勢(shì)，無(wú)法承載《個(gè)人信息保護(hù)法》第58條第1項(xiàng)的功能期待，因此該方案應(yīng)該被否定舍棄。管理監(jiān)督型獨(dú)立機(jī)構(gòu)方案可以實(shí)現(xiàn)對(duì)經(jīng)理層和業(yè)務(wù)部門的日常監(jiān)督，但無(wú)法解決獨(dú)立機(jī)構(gòu)對(duì)誰(shuí)負(fù)責(zé)的問(wèn)題，由于難以介入董事會(huì)決策，始終面臨企業(yè)合規(guī)動(dòng)力不足的問(wèn)題。決策監(jiān)督型獨(dú)立機(jī)構(gòu)方案，雖然實(shí)現(xiàn)了對(duì)企業(yè)管理層的全面監(jiān)督，但是容易發(fā)生利益沖突，日常情況下難以區(qū)分不同利益訴求，受制于法律義務(wù)規(guī)定模糊，容易承擔(dān)過(guò)重的法律責(zé)任。由此可見(jiàn)，無(wú)論是管理監(jiān)督型獨(dú)立機(jī)構(gòu)方案，還是決策監(jiān)督型獨(dú)立機(jī)構(gòu)方案，都存在合理之處與固有弊端。能否通過(guò)制度安排揚(yáng)長(zhǎng)避短呢？超大型平臺(tái)侵犯?jìng)€(gè)人信息具有隱蔽性，宏觀決策、中觀執(zhí)行和微觀操作都需要進(jìn)行有效合規(guī)和必要監(jiān)督。兩種監(jiān)督方案都屬于合規(guī)監(jiān)督的具體類型，只能在各自的制度場(chǎng)景下合理運(yùn)行，無(wú)法通過(guò)一種模式解決所有問(wèn)題，需要明確兩種方案所屬的合規(guī)監(jiān)督模式。

根據(jù)已有文獻(xiàn)研究，管理監(jiān)督型獨(dú)立機(jī)構(gòu)方案應(yīng)屬于“日常性合規(guī)管理模式”的具體展開(kāi)，該模式是指“企業(yè)在沒(méi)有違法、違規(guī)或者犯罪的情況下，根據(jù)常態(tài)化的合規(guī)風(fēng)險(xiǎn)評(píng)估結(jié)果，為防范企業(yè)潛在的合規(guī)風(fēng)險(xiǎn)，開(kāi)展合規(guī)管理體系建設(shè)”(54)陳瑞華：《有效合規(guī)管理的兩種模式》，載《法制與社會(huì)發(fā)展》2022年第2期，第6頁(yè)。。這種合規(guī)監(jiān)督模式關(guān)注日常管理和風(fēng)險(xiǎn)預(yù)防，獨(dú)立機(jī)構(gòu)主要監(jiān)督業(yè)務(wù)部門實(shí)際運(yùn)作和搭建完整合規(guī)體系，在企業(yè)沒(méi)有出現(xiàn)重大安全風(fēng)險(xiǎn)和受到法律制裁時(shí)，只需對(duì)董事會(huì)負(fù)責(zé)即可，顯然無(wú)需任何決定和認(rèn)定都向主管部門報(bào)告。決策監(jiān)督型獨(dú)立機(jī)構(gòu)方案應(yīng)屬于“危機(jī)性合規(guī)整改模式”，該模式是指“企業(yè)在面臨行政執(zhí)法調(diào)查、刑事追訴或者國(guó)際組織制裁的情況下，針對(duì)自身在經(jīng)營(yíng)模式、管理方式、決策機(jī)制等方面存在的漏洞和隱患，進(jìn)行有針對(duì)性的制度修復(fù)和錯(cuò)誤糾正”(55)前引〔54〕，陳瑞華文，第6頁(yè)。。在此種模式下，該方案的問(wèn)題可迎刃而解。為指導(dǎo)涉事企業(yè)有針對(duì)性進(jìn)行合規(guī)整改，執(zhí)法機(jī)構(gòu)可選派政府工作人員或法律專家擔(dān)任企業(yè)獨(dú)立董事，此時(shí)仍處于危機(jī)應(yīng)對(duì)階段，因此各方利益訴求相對(duì)清晰，實(shí)現(xiàn)企業(yè)合規(guī)和恢復(fù)正常經(jīng)營(yíng)是多方主體的最大利益公約數(shù)。根據(jù)執(zhí)法機(jī)構(gòu)出具的合規(guī)整改意見(jiàn)，獨(dú)立董事的監(jiān)督義務(wù)明確，由此承擔(dān)不合比例法律責(zé)任的情形很難出現(xiàn)。同時(shí)，獨(dú)立機(jī)構(gòu)的監(jiān)督對(duì)象是整個(gè)企業(yè)管理層，外部監(jiān)督直接介入企業(yè)運(yùn)行，此時(shí)獨(dú)立董事向主管部門匯報(bào)整改情況，在法律上也并不存在解釋障礙。綜上所述，管理監(jiān)督型獨(dú)立機(jī)構(gòu)方案適用于日常性合規(guī)管理模式，決策監(jiān)督型獨(dú)立機(jī)構(gòu)方案適用于危機(jī)性合規(guī)整改模式。在區(qū)分日常管理和危機(jī)應(yīng)對(duì)兩種合規(guī)監(jiān)督場(chǎng)景下，兩種方案的制度優(yōu)勢(shì)可以最大程度發(fā)揮，而制度劣勢(shì)可以相對(duì)減弱。