摘 要:面对数据平台的认知优势,立法者通过重塑其组织结构,推动个人信息保护合规的内生化建构。外部行为规范给企业造成的负担是点状的,内部组织规范则是对企业理性的结构性重塑,意味着国家能够对企业产生持久深远的影响,现有理论欠缺足够的解释力。经典的比例原则建立在经验性预测基础之上,组织调控的复杂性和不稳定性导致比例原则的限制功能降低,应当利用一致性要求弥补被削弱的内容审查。立法者在风险进路基础之上对数据平台提出的组织结构要求不仅需要维护企业自身理性,还必须确保个人信息保护合规的有效性。与直接规制数据平台外部行为相比,通过规制其组织结构实现个人信息保护对立法者提出了更高要求。
关键词:企业组织;个人信息保护;比例原则;一致性要求
2021年11月1日起,《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)正式施行。《个人信息保护法》不仅明确了个人在个人信息处理活动中的各项权利,还规定个人信息处理者负有合规管理和保障个人信息安全等义务。为此,立法者要求处理个人信息量达到国家网信部门规定数量的个人信息处理者指定个人信息保护负责人(第五十二条)负责监督,对提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者(以下简称“数据平台”)课予特别义务,其中之一即为“按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督”(第五十八条第一项)。对于数据平台来说,构建个人信息保护合规制度体系的首要内容之一是按照立法者的上述要求建立科学合规的管理组织架构,从而保障个人信息保护合规管理的有效进行。
面对不确定性,风险行政法在规制模式上发生了转变:立法者不再局限于通过外部行为规范直接达到所期许的效果,而是利用公法组织性规定从微观层面上直接作用于制造风险的企业及其组织结构,促使企业在内部决策过程中关注和维护特定公共利益。《个人信息保护法》采用了同样的规制模式,对特定个人信息处理者的内部组织架构提出明确要求,以促进数据平台的个人信息保护合规。问题在于,立法者以个人信息保护为目的对数据平台组织结构的塑造是否正当?如何确保国家对企业内部组织结构的干预保持在理性范围之内?本文首先指出立法者对数据平台组织结构的重塑构成对企业经营自主权的干预,而非立法形成,基本权利教义学至今没有充分考虑到此种干预的特性所在。对经验性预测的依赖使得比例原则在审查组织规范时丧失了部分控制功能,必须利用其他标准进行补强。
一、数据平台组织结构的个人信息保护取向
随着数据处理技术的发展,当代公民的人格权愈发受到威胁,国家必须承担起保障公民个人信息权益的义务。国家保护义务的履行主要通过危险防御模式和风险预防模式。从危险防御角度上看,个人数据不构成危险,只形成危险源。披露和提供个人相关数据也仅为一种抽象危险,对个人权利的影响尚难以评估。如果信息接收者进行数据加工后作出对当事人不利的决定或导致不良后果,此时就构成具体危险。为了防止救济过晚、门槛过高造成不可消除的损害,国家降低了传统危险防御法的干预门槛。由此制定的个人信息保护法将干预时机和调整重心前置到准备阶段,即数据处理活动中。因此,在个人信息保护法律体系中,个人同意仅是风险控制的第一步,真正实现风险预防的则是行政监管和个人信息处理者的合规体系建设。面对传统“命令—控制”模式在风险领域内的“规制失灵”,越来越多的学者主张风险规制应当立足反身法理论,重视法律系统认知能力的有限性和其他社会子系统的独特运行逻辑,积极运用组织型规制策略影响企业行为。
(一)理论基础
对以数据为决策基础的审查,特别是风险管理措施的判断往往只能由专业人员通过耗时费力的程序来完成,建立更加专业的数据保护监管机构成为各国的共同选择。即便如此,风险决策的作出也并非易事:大数据时代的个人信息处理行为几乎都是大规模进行,数据平台收集的数据是海量的;建立在算法基础上的数据使用和加工具有隐匿性和随意性的特点。监管机构不仅没有足够的监管资源,也缺乏用于风险决策的充足知识。考虑到个人信息处理者更有能力及时评估数据处理行为对个人的潜在影响或事后损害,具有生成风险知识的优势,因此将承担个人信息保护责任的企业纳入数据处理系统监管活动,明确其负有合规管理义务,成为各国立法者一致选择的方案。
不过外部行为规范还不能确保数据平台将其认知优势用于实现个人信息保护的风险管理。首先,个人信息处理者缺乏生成风险知识的动力。风险知识是一项公共产品,数据平台致力于追求商业利益,不受公共利益的制约;风险知识是结构化程度较高的信息,企业必须为此投入精力进行综合提炼,往往在成本收益分析之后形成“理性的无知”。其次,企业在汇集高度分散的知识时经常遇到困难。在复杂企业组织中,等级制和专业化往往导致知识变形和封锁。组织分化使得组织内部产生了次级单位,最终导致组织内部的资源和信息转移变得更加困难。为了克服平台企业的有限理性,实现“受规制的自主性”,反身法理论主张,立法者应当设计出在经济系统内部系统性强化“反思结构”的法律规范,迫使经济系统将社会的外部纠纷“内部化”。托依布纳更加明确地提出,应当改变企业内部权力结构,强迫企业在决策过程中纳入企业活动的外部影响。合规制度也出现了由外部规制向内部治理转移的趋势,国家利用组织规范推动企业合规内生化建构。个人信息保护立法中,立法者则将个人信息保护“受体”通过组织规范植入企业促使企业不仅关注经济利益,同时维护公共利益。
(二)具体表现
从《欧盟一般数据保护条例》到我国《个人信息保护法》都有不少关于个人信息处理者组织结构方面的规定。根据国家对数据平台组织结构调整的维度差别,可以将其分为三类组织义务。
1. 设立特定机构的义务
《个人信息保护法》第五十二条第一款规定,大规模处理个人信息的企业应当指定个人信息保护负责人,由其对个人信息处理活动以及所采取的保护措施等进行监督。个人信息保护负责人的设立和履职是数据平台个人信息保护合规制度体系的核心。结合《个人信息保护法》第五十二条和现行《信息安全技术 个人信息安全规范》,个人信息保护负责人不仅承担对个人信息处理活动的合规性进行监督的职责(监督功能),还代表企业与监管部门和公众进行沟通(代表功能),以及培训企业员工并直接向组织主要负责人报告工作(信息功能)。立法者明确要求被监管者成立专门机构负责自我监督,以用于非经济目标(环境保护、药品安全、金融安全、个人信息保护等)的组织化实现。这种被称为内部管理专员的制度在风险行政领域内得到广泛应用。
除了借鉴欧盟立法引入负责企业自我监督的个人信息保护负责人制度,《个人信息保护法》第五十八条第一项还要求数据平台成立主要由外部成员组成的独立机构对个人信息保护情况进行监督,这“在其他国家的立法中是没有的” 。立法者之所以创新性地引入独立监督机构,原因在于“有的部门、专家建议强化超大型互联网平台的个人信息保护义务,并加强监督”。数据平台所成立的独立监督机构“应当独立于组织的经营管理机构以及监督机构,其职责是对个人信息处理者的个人信息保护情况进行监督,不承担个人信息保护具体事务”。对于数据平台独立监督机构的设置,目前存在多种制度设计方案 ,制度设计关系到其合规监督功能的发挥。
2. 涉及企业整个组织结构的义务
《个人信息保护法》第五十八条第一项规定,数据平台应当履行按照国家规定建立健全个人信息保护合规制度体系的义务。作为一项在三审稿中增加的义务,数据平台必须将规范要求落实为个人信息保护合规制度体系,据此开展对个人信息保护的合规管理活动,包括风险识别、合规审查、风险应对、责任追究、考核评价和合规培训等。个人信息保护合规制度体系的构建,一方面要求企业各个部门明确划分责任范围,构建更为完善的组织架构;另一方面也要求企业建立和维持以知识为中心的自我发展和自我调控的网络,通过打破系统竖井、实现知识互联互通以提升个人信息保护合规制度的有效性。
3. 机构组成的特别义务
《个人信息保护》第五十八条第一项在规定数据平台成立独立监督机构的同时还要求该机构“主要由外部成员组成”。按照立法设想,“外部成员”除了具备相应的专业知识、能力和经验,“应当是除在该组织担任个人信息保护监督职务以外不担任其他任何职务,且不存在其他可能影响其独立判断和执行职务的因素的人员,可类比上市公司的独立监事、外部董事”。法社会学家拉杜尔认为,通过合作所发展出的跨界知识网络能够增强集体知识的自我生产,使公共利益的感知变得可能。吸收个人信息处理者以外的专家加入独立监督机构,可促使企业组织和外部环境之间产生互动,形成跨界知识网络。考虑到个人信息处理者“一味地追求所谓的科技创新与经济效益”,多样化且主要由组织外部成员组成的独立监督机构通过审查个人信息处理者在研发和应用新技术中的科技伦理问题,“防止因为应用这些技术而侵害个人的权利和自由”。《个人信息保护法》第五十八条第一项为个人信息保护的敏感化提供了组织保障。
二、干预防御权保护机制的激活
数据平台负有的上述三项组织化保障义务被认为有助于从结构上完善个人信息处理者的组织体系,进而改变其认知和行为方式,使个人信息保护成为组织的内生机制。立法者试图通过内部组织规范设计企业自我规制体系,将企业考量作为整体规制过程的组成部分,构建“混合组织模式”以实现规制目标。而这种模式的构建不可避免地影响到企业的经营自主权。对于这种影响,基本权利教义学至今没有给予充分的关注。
(一)个人信息保护取向的组织规范:形成抑或干预?
《个人信息保护法》对数据平台组织结构的塑造不仅意味着企业在机构设立、流程设计和成员选择上空间受限,外部元素的引入还可能导致企业对自身知识掌控能力的下降。国家对数据平台以个人信息保护为取向的组织结构要求构成对其经营自主权的干预,而非单纯的立法形成。
1. 数据平台组织结构的保护需求
国家对数据平台以个人信息保护为取向的组织结构要求主要从两方面影响数据平台的经营活动。首先,企业的自我组织能力受到直接冲击。为了建立健全符合国家规定的个人信息保护合规制度体系,企业必须指定个人信息保护负责人,设置平台合规部门,成立独立监督机构。其次,企业的自我表达能力受到影响。尽管独立监督机构的职责定位主要是对数据平台企业的个人信息处理行为进行自我规制的再监督,但主流观点认为,独立监督机构在发现企业在个人信息保护方面存在重大隐患或者严重违法情形时,履行特定程序后“应将相关情况报告国家个人信息保护部门”。即便这种方案不被采纳,考虑到独立监督机构主要由外部成员组成,企业个人信息保护情况可能面临被泄露的风险,企业知识流动的外部化趋势也会对企业竞争力产生负面影响。而复杂的企业组织结构设计在提升风险管理水平的同时也增加了企业内部决策过程拖延的风险。如果个人信息保护负责人根据《信息安全技术 个人信息安全规范》必须“独立履行职责”,势必与企业其他部门产生冲突 。综上,由于国家对数据平台施加的组织结构要求,企业失去了对自身部分知识的控制力,这有可能对企业的经济利益产生不可低估的负面影响。立法者的上述要求因此影响到《中华人民共和国宪法》(以下简称《宪法》)第十六条和《行政诉讼法》第十二条第一款第七项赋予企业的经营自主权 。
2. 干预而非形成
企业的建立和发展是私法所调整的事项,基于公司法的规定,单个主体的合作行动才成为可能。立法者不仅通过代理和责任规定确保公司具有对外行动的法律能力,还通过影响公司内部意志的形成以确保其具备内在行动能力。这表明,企业的建立和发展虽然无须国家作为,基于一致的自由意志即可,“但只有当法律制度提供相应的可能性时,才能形成法律上的结社”。创办受基本权利所保护的企业首先依赖立法者对公司法律形式的形成。我国《宪法》第十四条明确规定,“国家……完善经济管理体制和企业经营管理制度,实行各种形式的社会主义责任制”,这项条款包含了要求立法形成企业经营管理制度的宪法委托。形成是立法者确定基本权利的保护范围,以确保法律生活中的私人自治,在正当化要求下,形成与缩减个人基本权利保护地位的干预存在着重要差别。由于企业经营自主权至少有一部分需要立法形成,《个人信息保护法》对数据平台组织结构的要求是形成还是干预?
通说认为,区分形成和干预的关键在于立法目的:如果法律规定服务于受基本权利所保护的自由的发展,它应当被认定为形成。反之,如果相关规定是为了实现公共利益,它就构成国家干预。以上述标准衡量,公司法组织规范的主要功能在于合理平衡公司内部相互冲突的私人利益,提升公司的行动能力。与之相比,《个人信息保护法》的组织规范并不服务于数据平台经济自由的发展,而是在公司法框架之外限制企业组织自由,使其注意到经济利益之外的公共利益问题,也即个人信息保护。因此,《个人信息保护法》对数据平台企业的组织结构要求构成了对平台企业经营自主权的干预。
3. 较低的干预强度?
在数据平台治理思路从传统的“政府—市场”主体规制转向反身治理的过程中,反身法理论所宣称的反身治理仅为“软干预”或者“间接干预”,是公共利益取向的组织规范受到追捧的一个重要理由。在“受规制的自我规制”一词掩盖下,国家对企业内部组织结构的强制性要求给企业经营自主权所造成的干预强度被大大低估了。外部行为规范对企业造成的干预是点状的,不触及企业内部决策过程;而内部组织规范是对企业理性的结构性重塑,通过认知重塑进而使其能力发生变化,这也意味着国家能够对企业产生持续和深远的影响。因此,个人信息保护取向的组织规定在干预强度上并不亚于传统规制模式。
(二)传统制度解释力欠缺
数据平台的组织义务规定必须保持在法治框架之内,国家不能对私人能力和潜力进行无限制的“社会化”。合作治理时代,私主体越来越多地参与行政任务,传统行政法学早有关注的是私人干预义务,即国家课予特定私主体对他人实施干预行为的行政法义务。主流观点认为,只要私人职业活动和所承担义务之间存在“事务和责任密切性”,立法者就可以课予私人干预义务。在“事务和责任密切性”判断上起到决定性作用的是,国家本身能否以同样的方式提供所需的给付,或者私人是否比国家更有能力提供。对于德国立法者要求电信公司存储用户六个月内往来数据且没有任何补偿的法律规定,联邦宪法法院认为,企业自身承担由此所产生的费用在宪法上无可指摘:“企业被课予的义务与其所提供的服务密切相关,而且只能由其提供。(立法者)也没有在个案中对特定服务供应商施加特别牺牲的规定,而是以一般的形式规定了提供电信服务的框架条件。” 只有在例外情形中才给予企业相应的经济补偿。
如果以上述标准衡量,立法者对数据平台组织结构的干预无须更多审查。数据平台监管作为信息密集型监管领域,监管政策的制定与执法活动必须建立在充分的信息基础之上,平台企业比监管机关更有能力及时发现和处理个人信息权益相关的风险,其优越的认知潜力可以构成“事务和责任密切性”。然而,如果只是将审查重点放在责任关联性上,就很容易忽略上述所强调的内部组织规范的干预特性:私人干预义务中,立法者课予企业的义务是实体性且为点状的;而立法者对企业内部组织结构的重塑则是通过触及企业决策过程,以改变其未来的决策逻辑,由此给企业带来的负担与前者有着明显差别。因此,正当理由的论证分析不应当停留在国家“是否”可以干预企业组织结构,而是需要进一步追问国家能够在“多大程度上”采取干预措施。
对于国家干预大型企业内部组织结构的界限,德国联邦宪法法院在“劳工企业参决权案”中承认组织和程序性规定对基本权利产生实体性影响,但也只是要求组织性规定不能破坏企业的运转能力。除了空泛的企业运转能力维持要求,“劳工企业参决权案”所确立的标准无法用于解决数据平台组织所面临的基本权利保护问题。首先,“劳工企业参决权案”并不涉及国家和公民之间的纵向冲突,案件的重心是私人当事方,也即股东和员工之间的冲突。其次,法院采用的“明显性审查”承认了广泛的立法形成余地,相对于国家为了实现公共利益给企业造成的潜在妨碍来说,宽松的审查密度所提供的保护效力极弱。
三、比例原则作为数据平台组织义务的界限
鉴于行政法学所关注的私人干预义务对个人信息保护取向的组织规范所造成的负担并没有较强的感知度,故需要寻找其他的保护方案。实践中最重要的审查工具是比例原则,它发挥着传统权利保障的基本功能。具体到数据平台个人信息保护合规义务上,一致的观点认为,企业组织机构从组建到运行需要平台投入大量人力、财力和物力,很有可能导致平台不堪重负,立法者必须适度控制法律管控的边界或力度。但对于立法者如何理性地保持《个人信息保护法》介入数据平台组织结构的适度性,缺少更进一步的审查。根本原因可能在于,法律调控方式的转变造成比例原则可操作性的弱化。
(一)内部组织规范的比例性审查
1. 目的正当性
每一项国家行为都必须出于正当目的而采取,目的正当性构成后续审查的基础。法律规范的目的是通过解释确定的,应当首先利用“非规范文本”探寻立法者的主观意思。个人信息保护立法伊始就写入了个人信息保护负责人制度,但在《关于〈中华人民共和国个人信息保护法(草案)〉的说明》中无法得知立法者当时所欲追求的目的,唯一能确定的是该制度属于“个人信息保护处理者合规管理和保障个人信息安全等义务”之一。二审稿增加了数据平台成立独立监督机构的义务,因为“有的部门、专家建议强化超大型互联网平台的个人信息保护义务,并加强监督”。三审稿增加了数据平台建立健全个人信息保护合规制度体系的规定,立法者是为了“加强(平台)内部合规管理”。这些目的与《个人信息保护法》所列立法目的“保护个人信息权益”“规范个人信息处理活动”高度重合。
2. 适当性
如果法律规定至少能够促进其所追求目的的实现,那么它就是适当的。考虑到《个人信息保护法》课予数据平台的组织义务是服务于公共利益的,适当性审查强度上应当至少采用正向推论的方法,强调立法者所作决定必须出自“合乎事理并可以支持的判断”,要求证明手段对于目的的实现是可以被合理预期的。那么,数据平台企业所承担的组织义务具有可支持的理由吗?
在反身法理论的影响下,不少文献都对通过内部组织规范实现企业自我规制寄予厚望。但是,反身法所作的理论假设,即从外部对企业进行直接的行为调控存在认知难题和执行缺陷,继而应当通过影响其组织架构建立起自我管理机制才能真正发挥强化治理的作用。这一法社会学上的论断缺乏经验证据的支持 。相反,组织结构是企业行动的核心组成,干预企业组织结构的法律规范可能更容易导致企业内部发生冲突。而且仅仅通过改变企业组织结构就能使其活动方式更加符合公共利益是有疑问的,即使建立个人信息保护合规的组织结构后,企业仍有可能继续以自身经济利益为导向目标。
以个人信息保护负责人制度为例,1977年的《德国联邦数据保护法》首次出现数据保护官规定,对于企业数据保护官能否独立履行监督职责,一直缺乏较为充分的经验研究。德国个人信息保护法元老斯匹罗斯·司密提斯(Spiros Simitis)在法律实施初期就断言,数据保护官功能发挥完全取决于其对自身角色的定位。1980年,两名德国学者对150家企业数据保护情况进行调查,发现97%的数据保护官是兼职担任,其中22.8%的数据保护官本职工作是IT主管,且81.2%的数据保护官不认为自身的兼职地位会妨碍独立履职,这表明数据保护监督职能从一开始就以企业经济利益为标准。我国《个人信息保护法》实施以来,个人信息处理者组织内部任命的个人信息保护负责人多由合规部门负责人担任,后者在合规风险防控过程中不可避免地收集员工个人信息以开展合规调查,对此类活动的监督正好是个人信息保护负责人的工作,两项职务之间存在着利益冲突。
从个人信息保护负责人的角色冲突问题可以发现,企业组织结构规定过于抽象,导致规范实施效果与任职人员有着紧密关系。首先,在个人信息保护合规计划的具体执行中,个人信息保护负责人对个人信息保护这一非经济利益的认同和坚持,在很大程度上影响其监督功能的实际发挥效果。其次,企业内部机构设置、岗位聘任和任务分配都有赖于组织主要负责人的安排。个人信息保护合规工作开展得顺利与否直接取决于组织的负责人是否重视和是否提供了足够的资源保障。因此,立法者对内部组织规范的个人信息保护合规有效性不应当有过于理想的判断。
3. 必要性
如果没有其他更加温和且同样有效的手段能够实现正当目的,则使用特定手段进行干预是必要的。在温和手段的判断上,实践中可以细化为以下思路:以负担性措施代替禁止性措施,以指导性措施代替强制性措施,允许权利受损害的个人先行选择。相对于《个人信息保护法》强加给数据平台的三项组织义务,是否可以考虑交由企业自主决定如何构建组织机构,以实现个人信息保护?毕竟近年来越来越多的企业自行建立合规管理体系,以提升商业竞争力。欧盟原第29条个人数据保护工作组就认为:“数据保护官是问责制的基石,任命数据保护官有助于合规,还可以成为企业之间的竞争工具。”2018年5月,东航正式任命总法律顾问为公司数据保护官,全面负责企业的数据保护与合规运营工作,东航成为国内首家设立数据保护官的企业。腾讯在《个人信息保护法》生效之前公开招募外部成员,组建个人信息保护外部监督委员会,该委员会不仅包括法学专家、技术专家与行业协会专家等个人信息保护领域专业人士,也涵盖律师、媒体等其他公众。国家的强制性规定反而可能阻碍企业的自我调控过程。私人自治优先固然能够发挥企业的主观能动性,但可能无法解决公共利益问题在企业经济利益面前无法得到执行的难题,此种思路在“同等有效性”上面临缺陷。
与着力于企业内部组织结构相比,原则上企业外部行为应当成为政府规制的重心,毕竟企业在对外行事时更有可能直接危及公共利益和第三人利益。这意味着,公共利益受损的实际根源与企业组织设计的相关性越弱,对企业组织结构提出的要求就应当越少。只有当企业组织结构本身是公共利益受损的源头或者发挥重要作用时,立法者的干预才是必要的。由于个人信息保护的风险主要来自信息处理者的数据加工过程,且从企业外部不可见,而个人信息保护负责人可以从企业内部对个人信息处理活动以及采取的保护措施等进行监督,在理想状态下可能成为国家规制“有益的补充”,这使得立法者施加强制性义务成为必要。与之相比,独立监督机构承担着对个人信息保护情况进行外部监督的职责。在《个人信息保护法》已经规定了合规审计(第五十四条)和个人信息保护社会责任报告公开义务(第五十八条第四项)后,数据平台所负有的独立监督机构成立义务的必要性存疑。
4. 均衡性
均衡性原则要求基本权利干预和所追求的正当目的之间合乎比例。由于狭义比例原则需要考量的因素极多,认定和预测极为复杂,而且在其基础上进行的权衡又涉及价值评判,这里重点对内部组织规范的干预强度作出分析。
在内部组织规范干预强度的判断上,核心标准是企业组织结构被国家干预的广度和深度。原则上,内部组织规范越是具有开放性和灵活性,企业自主构建空间越大,规范的干预强度就越弱;相反,如果立法者没有预留例外或者构建可能性,规范的干预强度就会提升。对于以个人信息保护为取向的组织规定来说,明确要求数据平台指定个人信息保护负责人比个人信息保护合规制度体系建立义务的干预强度更高,后者开放性的表达为数据平台协调公共利益和企业利益提供了更多空间。而《个人信息保护法》对独立监督机构人员组成的明确要求则提升了干预的强度,因为独立监督机构必须吸收外部成员,给企业商业秘密保护带来隐患。
个人信息保护负责人制度虽然对数据平台的组织自由构成干预,但考虑到我国数据平台拓展欧洲市场时必然涉及对欧盟公民个人数据的收集和处理,也必须严格遵守《欧盟一般数据保护条例》关于数据保护官的规定,这在一定程度上减弱了《个人信息保护法》第五十二条的干预强度。而如果承认独立监督机构或者个人信息保护负责人在重大隐患或者严重违法情形没有得到消除改正时,有报告国家个人信息保护部门的权限,那么企业内部机构就成为监管机关“延长的臂膀”,此时企业经营自主权所受干预强度更大。
干预强度的判断还必须考虑到内部组织规范影响的持续性:立法者微妙且渐进式的干预不仅给企业组织结构带来永久性的变化,还将影响企业未来的决策理性。这种持续性提升了内部组织规范的干预强度。此外,多项组织义务可能形成“监督不合乎比例的累积”,也在一定程度上提升了干预强度。
(二)比例原则审查能力的下降
从上述对个人信息保护取向的组织规范的比例审查来看,经验证据的缺乏使得无法得出《个人信息保护法》中所列组织义务是否合乎比例的结论。根本原因在于,只有在对效果关联有充分确定的知识时,比例原则才能够实现国家干预正当化的功能。而以个人信息保护为取向的组织规范所追求的目的过于抽象,经验效果又过于不确定,因此对其合比例性无法作出明确的判断。
1. 目的设定过于宽泛
比例原则有着“目的手段结构”:它假定行为者有一个固定的目的,并根据这个目的审查手段的选择。运用比例原则审查立法者的决定时,首先必须尽可能地明确国家行为所追求的目的,且不能简单地依赖宽泛的立法目的条款,而需要寻找到更为具体的规制目标。在比例原则发端的警察法中,具体危险和危险防御之间有着紧密关联,明确目的并不困难。相比之下,立法者规制企业内部组织结构所追求的正当目标就“非常抽象”。从“保障个人信息安全”“加强监督”到“加强(平台)内部合规管理”,个人信息保护取向的组织规范所追求的目的如此宽泛,以至于“不择手段”。
之所以出现如此宽泛的目的,主要原因在于内部组织规范只是间接性地作用于无法具体把握的风险因素。由于对具体潜在风险的识别和管理是数据平台自身的内部事务,立法者也就只能抽象地列举与个人信息保护风险活动相关的正当目的,这使得组织规范所追求的目的与某一特定情境的关联性并不高。比例性审查从一开始就被一个模糊宽泛的目的设定所困扰。
2. 经验上的不确定性
判断一项措施是否适当和必要,以对该措施的经验性预测为前提。面对组织性风险规制工具,这种预测有双重不确定性。首先,风险的不确定性使得审查主体无法准确衡量组织性风险规制工具的有效性 。传统的危险防御措施建立在特定损害或者明确可被界定的危险基础之上,对于危险发生之前的风险则缺乏稳固的知识。“无知”的后果就是每一项组织义务的引入都在某种程度上促进实现环境保护、药品安全等公共利益,而又不能绝对地排除相反情况。就个人信息保护而言,由于风险的不确定性,无法判断一项组织义务在多大程度上有助于个人信息保护合规和保障个人信息安全。其次,使用内部组织规范作为风险规制工具时,缺乏清晰可辨的效果关联。内部组织规范只是为企业利用自身理性开展活动设定了框架,而现实中的组织调控复杂、不稳定,以至于没有任何理论能够给出全面解释,或者只能抓住企业现实的一个方面。超脱单个行为的组织调控在实际运作中往往伴随着复杂的、难以预测的组织效果关联。鉴于组织效果关联的情境依赖性,很难抽象地对内部组织规范的有效性作出确凿判断。这造成在必要性审查框架内无法进行制度工具的对比。
尽管均衡性本质上是一个价值判断,但也必须以经验方面的审查为前提,因为对手段有效性及其负担程度的初步澄清构成了后续权衡的基础。如果试图论证以公共利益为取向的组织规范在多大程度上导致企业正常运转发生障碍,同样遭遇组织效果关联上的预测难题。正如均衡性审查所展现的,对内部组织规范干预强度的判断不仅需要考察企业组织结构的改变,更要关注新设机构的职责权限。个人信息保护合规体系建构中,立法者对数据平台提出了多项组织要求,企业负担并不一定是其中一项要求所造成的,更可能是共同作用的结果。例如,数据平台的合规职能部门、个人信息保护负责人和独立监督机构之间的职责交叉导致企业内部发生冲突。组织规范是企业运转的基础,关涉整个企业的活动,不能孤立地分析其影响,这使得对效果关联的判断更加困难。
在被促进的目的和被妨碍的程度都不能被精准得到确定的情况下,预防措施的合比例性也就难以得到判断。如果已经造成巨大损害,如个人信息安全事件,立法者的选择就会占据上风,就更容易无视企业的权利地位,同时也意味着放弃了比例原则在具体权衡后所承担的论证和说理责任。
四、一致性要求作为补强审查标准
对于个人信息保护取向的组织规范,比例原则失去了其限制性功能:一方面,组织规则背后有着复杂的效果关联,难以澄清因果关系;另一方面,立法者所追求的目的过于宽泛,使得多数手段都能够被解释为实现目的,比例原则消融在对手段利弊进行一般且概括性的权衡之中。为了弥补比例原则在细腻调控能力上的不足,必须启用其他规范标准,如一致性要求。
(一)一致性要求
一致性要求亦称为一贯性要求,最初是从一般平等权条款中发展而来的,随后在税法领域得到重视,强调法律对课税客体所作的负担决定能否前后一致地转化实施(体系公正性);立法者如果作出例外规定,就必须具备实质性理由。在2008年“非吸烟者保护案”中,德国联邦宪法法院(重新)采用一致性要求,认为:“如果立法机关基于自身所拥有的余地决定对潜在危险进行评估,在此基础上对相关利益进行批判并选择一个规制方案,其也就应当前后一致地继续遵循该决定。如果相同的危害在同一部法律中被赋予不同的权重,那么危害评估就不具有说服力。” 国家行使公权力应当尽可能地稳定公民预期,使其能够开展合作,从而建立社会秩序。我国《宪法》第三十三条第二款的平等权条款也蕴含着对法律规范一致性的要求。只要立法者作出价值判断,便必须将该价值判断贯彻到底,以符合正义所要求的平等原则,使法律规范的存在状态具备一致性。
“非吸烟者保护案”中,德国联邦宪法法院将一致性要求融入对自由权干预的狭义比例原则审查。不过一致性要求与均衡性原则并不相同:均衡性考察干预手段与目的之间的价值关系,而一致性则指涉手段与目的之间的工具关系。一致性要求不涉及目的是否值得干预的问题,而是关注手段是否以前后一致的方式服务于目的的实现。因此一致性要求可以被视为一种严肃性审查:立法者当然可以使用所选择的手段追求设定的目的,但不能以不一致的方式实现,从而违背自身所设定的目的。一致性要求是对适当性原则的强化,因为它要求措施不能只是以某种方式促进假定的目的,还必须以无矛盾的方式促进。
通过对立法者判断的间接审查,一致性要求限缩了立法形成的余地,对法律规范的理性提出更高要求,继而受到了“固化法律规定、侵蚀立法者权限” 的批评。不过这种批评并不成立:首先,只要一般法的内部一致性得到保持,立法者仍然可以自由更改其规制理念。其次,法律规定一致性的缺乏并不直接产生法律后果,而只会使得立法者所追求的目的在权衡过程中失去较高的权重。一致性要求主要发挥纪律化的功能:立法者应当关注到已有价值判断和基础决定,对规制框架进行协调一致的构建;如果意欲打破现有的基础理念,就必须作出全面的评估并说明理由。如果立法上不作为,没有从法律上进行框架构建,导致实现所设定目标变得不可想象,也构成对一致性要求的违反。利用一致性要求审视《个人信息保护法》中的数据平台组织义务意味着,立法者对数据平台组织结构的塑造不得与其规制目的相矛盾,而是应当构建基本框架,保障制度工具的实际运行效果。
(二)对不确定情境的一致性指向
我国《个人信息保护法》借鉴了《欧盟一般数据保护条例》的大量规则,总体上遵循了风险与控制力度相一致的做法,规制理念的一致性实施则要求其始终面向不确定的情境。个人信息处理活动越是具有不确定的风险关联性,个人信息处理者就越应当建立更为完善的风险管理架构。不可否认的是,不确定性程度也无法得到精准的评估,特别是新的认知可能揭示出新的不确定性。但对个人信息保护来说,个人信息处理活动的规模、复杂度和多样性都可以成为判断不确定性程度的重要指标。个人信息处理活动规模越大,国家干预的理由就越充分;相反,业务活动越是传统和易于管理,就越没有理由要求其进行复杂的风险管理。《个人信息保护法》第五十二条中关于个人信息保护负责人的设置遵循了基于风险的进路,只有“处理个人信息达到国家网信部门规定数量的个人信息处理者”才负有此项义务。《个人信息保护法》第五十八条数据平台的特别义务也以用户规模、服务与业务类型为标准,通过一致性地指向个人信息处理者特有的风险境地确保国家干预合乎比例性。
(三)对个人信息保护的一致性指向
根据《个人信息保护法》的制度设计,个人信息保护负责人在个人信息处理者内部对个人信息处理活动的合规性进行监督,而独立监督机构则负责对个人信息保护情况进行外部监督。立法者希冀通过内部监督和外部监督的有机融合更好地保障个人信息安全,与该规制理念相一致的转化实施则要求其始终面向个人信息保护。
监督是指从无关者的角度对一个过程进行审验和指摘,因此监督不仅要求监督人具备足够的专业知识,还应当具有一定程度的独立性。对于个人信息保护负责人制度,我国立法者虽然认为“个人信息保护负责人应当具有独立性”,但《个人信息保护法》并没有明确规定。由于个人信息保护负责人被嵌入数据平台组织,其在企业组织的级别排序、任务分配都与独立履职息息相关,而个人信息保护负责人被期待的功能与企业追求经济利益的目的相冲突,在作用保障条款缺位的情况下,其无法独立履行合规监督职责,不能真正起到维护个人信息权益的作用。关于独立监督机构的功能和构造,尽管立法者对其组成和履职有所明确,但这项全新的制度在《个人信息保护法》正式施行两年后,仍然缺乏统一的行业标准。独立监督机构建设标准的缺位不仅导致规范实施在不同数据平台呈现出不一致性,有违平等原则,更使得个人信息保护外部监督的独立性和有效性无从谈起。国家网信办2023年8月发布的《个人信息保护合规审计管理办法(征求意见稿)》所附个人信息保护合规审计参考要点在一定程度上明确了个人信息保护负责人和独立监督机构设立和履职保障,但由于《个人信息保护法》第五十四条所确定的审计基准是个人信息处理活动“遵守法律、行政法规的情况”,审计基准边界的不清晰给法律适用带来不安定性。
(四)对企业自身理性的一致性保护
《个人信息保护法》的三项组织义务要求数据平台以个人信息保护为导向进行自我担责的风险管理,企业经济自由的行使被工具化:个人信息处理活动不能再仅以经济利益为导向,数据平台必须将个人信息保护纳入企业决策。而国家所利用的企业认知优势正是企业经济自由的产物,只有在追求经济利益的过程中,企业才有能力创造国家所需要的知识。因此,立法者对企业组织结构的重塑不能以国家理性取代私人理性,只有在尊重企业发展内在规律的前提下,公共利益才具备实现的可能性 。这要求国家对数据平台组织结构的重塑必须适当尊重企业的行为理性,促使其将经济理性与公共利益有机结合。
《个人信息保护法》第五十八条第一项所规定的个人信息保护合规制度体系建立义务体现了对数据平台自身理性的保护:企业自我担责地构建内部个人信息保护合规体系,国家只是提供框架性规定以便主管机关开展事后理解式监管。对于个人信息保护负责人和独立监督机构的履职,立法者也必须充分权衡企业组织自主权、组织内部关系和谐以及维护公共利益之间的紧张关系,在保障监督功能有效发挥的同时尊重企业行为理性,例如要求机构成员承担保密义务。
五、结语
大数据时代的个人信息处理活动不仅给数据主体的个人信息权益带来风险,也对个人信息保护规制带来挑战。为了克服传统外部行为调控存在的认知难题和执行缺陷,从根源上实现风险规制的目标,立法者通过内部组织规范介入数据平台的组织体系,促使其以个人信息保护为导向管理风险。利用比例原则审查立法者对数据平台组织结构的塑造可以发现,这一传统基本权利保护机制失去了审查国家直接干预时所具有的细腻调控力。在正当目的上,立法者所列目标非常抽象;由于尚不清楚组织规范如何发挥作用以及在多大程度上真正实现公共利益,无法准确衡量干预措施对正当目的的促进效用。为更好地审视国家对企业组织结构重塑所造成的妨碍效果,应当从基本权利的客观维度出发,利用一致性要求补强比例原则审查。这意味着国家在风险进路基础之上对数据平台提出的组织结构要求一方面不能损害企业的认知潜力,从而妨碍其自身逻辑;另一方面还必须确保企业组织的行动以个人信息保护为导向。因此,立法者仍需在《个人信息保护法》中对数据平台承担的组织义务作出补充性规定。
在不确定条件下,立法者通过促进公私合作,整合去中心化知识,激发社会解决问题的潜力以实现公共利益,制度工具之一就是利用组织规范介入企业组织结构,促使企业以公共利益为导向管理风险。这种新型规制控模式对传统行政法的审查工具提出了挑战,当代行政法学应当对协调拥有不同行为逻辑的参与者之间合作的制度安排进行更为深入的研究。毕竟与直接规制企业外部行为相比,通过规制其内部组织结构实现公共利益对立法者提出了更高的要求。
