數據平臺下個人數據保護規則形態的優化
——從軟法對硬法的嵌入談起

鮑 坤

(1.上海交通大學凱原法學院，上海 200030；2.上海交通大學智慧法院研究院，上海 200030)

1 個人數據的法律保護困境

1.1 利益保護模式之困——既定規則與個案裁量矛盾

數字經濟的快速發展無法忽視對數據進行規則之治的呼聲。為了取得合法、真實、可信的數字利益，社會各界對數據的態度也從趨之若鶩逐漸回歸理性。正如科斯[1]提出權利的界定是市場交易的基本前提，基于多元利益訴求的各方主體迫切需要以確權的手段形成特定條件下對數據穩定、可預期的支配[2]。但從法律公平正義視角，權利界定不能單方面為市場服務，更應該在明確數據權利的同時嚴守公民個人數據的安全底線[3]。由此看出，圍繞個人數據這一基本生產要素，支撐、運營數據平臺的數據業者 (在各國法律中通常被稱為數據處理者或數據控制者)與個人數據主體之間的緊張關系成為數權立法時代面臨的主要矛盾[4]。中國處理該矛盾的做法并非在二者間直接界定產權，而是在私法層面通過 《民法典》明確個人信息作為 “利益”受法律保護，另在公法層面已通過 《數據安全法》 《個人信息保護法》規定數據處理者的義務與責任，形成圍繞數據 “合法利益”保護的公私法交叉格局 (為了區別于傳統人格權，且涵蓋數據作為生產要素的財產屬性，本文亦將個人信息稱為個人數據)。由于公法層面多涉及行政監管，個人在訴諸數據保護時多依賴侵權責任路徑。而侵權責任又區分權利保護模式和利益保護模式，二者區別在于，權利保護模式的過錯認定標準為權利受到侵害，不及于損害發生 (違法即過錯)；而利益保護模式的過錯認定標準為損失發生，需要法官在個案中進行利益平衡。由于個人數據并未被權利化保護，法院在審理此類糾紛時多采用利益保護路徑，法官只能依據概括式的條款內容進行自由裁量，難免出現規則適用標準的混亂，進而導致裁判效果的參差不齊。

從 《民法典》頒布后圍繞個人與企業之間數據糾紛的兩起典型案例談起。在王某訴騰訊微視隱私、個人信息網絡侵權案 (案號2020粵0305民初825，以下簡稱 “微視案”)以及凌某某訴北京微播視界科技有限公司侵權案 (案號2019京0491民初6694，以下簡稱 “抖音案”)中，法官都借助自由裁量對個人與企業之間的利益作出內心的衡量，認定企業的利益趨向性以及數據流通促成經濟發展能夠作為收集數據行為的正當理由 (裁判文書原文表達為 “存在一定合理性”)，再套用現有規則 (如 《民法典》1035條規定的合法、正當、必要原則)進行保護，認可企業就算未取得個人的知情同意，也可以依靠在后端采取妥善保護和合理處理獲得法律的承認，甚至無需對個人數據主體的其他權利作出回應。上述兩個案例較為典型地體現了數據利益保護模式的弊端，基于個案利益權衡的特殊性， “知情同意”等判斷數據收集處理行為的合法性要件難以避免淪落為利益平衡的對象，進一步導致判斷數據業者具備 “過錯”標準的模糊不清，數據全生命周期的合法邏輯也將發生斷裂。另外，法官在裁判過程中對數字領域的術語也存在誤用現象，如以數據的場景特殊性作為個案自由裁量的托辭，抖音案中法官主張在具體應用場景中考察個人信息的合理使用情形，實質是在具體個案中衡量個人信息的合理使用適用范圍。 “場景”一詞作為技術領域中的用語，應是對數據運行的時空情境作出的類型化歸納，與非 “場景”下的一般規范形成對比，反映數據運行模式并促進場景規范的形成，而個案自由裁量僅限于個案雙方當事人的利益衡量，很難具有規范上的可參照性 ( “抖音案”與 “微視案”中為了平衡個人利益和企業數據利益而突破既有規則的思路明顯屬于后者)，因為如果按此邏輯，數據業者都可以通過采取后端合理處理措施免除向數據主體征求同意的義務， “知情同意”制度的意義也將不復存在?？梢姡瑪祿募夹g領域話語在法律的適用過程中存在壁壘，加劇了利益保護模式中自由裁量的不確定性。加之國內公私法交叉的數據利益保護格局，即便在 《個保法》生效后，司法裁判當中援引的法律依然可能涵蓋 《民法典》 《數據安全法》 《消費者權益保護法》 《合同法》 《網絡安全法》等多部法律，不利于此類案件自由裁量的規范體系形成。

由此看來，現有利益保護的模式存在既定規則與個案裁量之間的緊張關系。如果社會公眾無法依據規則辨明數據行為的違法性邊界 (侵權責任中的過錯要件)，那么進一步明晰數據行為合法性、推進數據確權將無從談起。因此，有必要轉向以權利保護路徑調整數據業者與個人數據主體間的關系，探索數據權利保護的穩定可行路徑。

1.2 權利保護模式之困——義務規則的重要性及其瓶頸

是不是權利，這是個法技術問題，而不是一個僅由重要性決定的問題，更不是一個價值宣示的問題[5]。個人數據權利化的難點已為學界廣為探討，主要歸納如下：①傳統民事權利理論難以清晰有效地指涉數據這類缺少特定邊界、無法獨立且靜態地存在、財產價值不確定的對象[6]；②法理學角度下權利概念和本質都尚未形成占支配地位的理論體系，正如羅斯科·龐德[7]指出，在法律和法學文獻中沒有一個詞比權利更加含混不清，權利的證成在多元利益沖突下的現代社會成為一個復雜的命題。但以上難題并非不可解決，首先，需要借助技術化的語言將場景作為橫軸、全生命周期作為縱軸，類型化梳理數據的運行模式和活動范圍；其次，將利益作為現代權利的內核[8]，探討利益向權利的轉化，把妥當處理數據承載的不同利益、法益的生成條件以及法益平行保護問題作為數據權解決的主要目標[9]；明確 “利益”上升到法律維護的 “法益”所須具備的條件 (也即 “義務”)，形成 “法益—義務”的多方行為約束架構。義務的內容同樣作為侵權責任中過錯要件 (違法性)的認定標準，成為數據權受到侵害時提出救濟訴求的依據。相比起對個人數據進行非此即彼的單一化權屬劃分，這種架構顯然更符合數據活動的實踐情況。

為了使上述這種相對穩定的權利架構能夠實現，個人數據的權利架構將具備以下傳統的民事權利沒有的特征：①數據權的領域性、場景性。因為數據權對外的排他性建立在特定主體之間已形成穩定的 “法益—義務”架構前提之上，該架構的形成需要各主體在數據活動中實時表達自身的價值取向與意思表示，超過特定領域和場景，這些價值取向和意思的含義就可能發生改變；②數據權在穩定的架構下存在著動態性。基于數據總是呈現線性、閉環性的生命周期形態，數據權相對的穩定性架構應建立在多方主體在各個環節理性做出意思表示前提下，因此，需要在不同環節為利益相關方提供充足的信息渠道，減少他們之間的信息不對等；③技術性。數據權的穩定架構實現需要借助法律之外的話語體系，因為數據活動具有其自身的特征和規律，傳統民事法律話語體系往往不能精準描述，需要吸納數據活動中的技術用語，幫助各利益相關方在特定的條件下形成對數據的精確支配或控制，正如美國學者喬爾·雷登伯格指出，信息 (或數據)法的模式應采用技術或技術協議[10]，法律若沒有技術回應將難以發揮實效[11]，但這并不意味著數據權完全是技術管控的問題，技術用語將緊緊圍繞各方主體獲得數據法益的合法性與正當性，技術的用語同樣旨在達到 “法益—義務”相對應的權利內在狀態，形成具有法律約束效果的準則。由此來看， “數據”與 “權利”兩個概念結合衍生出權利的新型樣態，即一種具有生命周期特征、以特定場景下多方利益表達和義務履行作為內容和邊界、融合傳統法律語言和技術語言的新興權利，它并非是對傳統權利理論的徹底革新，而是依據現代權利理論衡量利益的內核，結合數據在事實層面的活動規律推導得出的權利樣態。

因此，對數據權的認知已經不能停留在對數據主體進行靜態、單線式的賦權[12]，而應著眼數據權內部連接多方主體的 “義務—法益”框架。這其中，義務規則作為數據權架構現的重要前提，具有間接證成并實現權利的至關重要功能[13]。那是因為，義務規則能夠明確、動態指引相關主體的行為，減少市場不確定性，降低市場費用，優化價值規律實現的資源優化配置路徑[14]，是權利的重要實現方式。在權利的救濟層面，侵權責任法以義務的履行情況作為判斷 “違法性”過錯要件的重要依據。以上作用意味著，義務規則是過錯侵權責任認定的核心[15]，更是明晰權利邊界的重要基準。從 “抖音案”和 “微視案”的角度看，正是由于義務規則的不自洽和模糊性造成其指引功能的式微。義務規則的指引功能缺陷一方面來源于成文法自身的屬性，由于成文法的制定需要耗費高昂的人力物力與時間成本，無法避免形成與數據實踐狀況之間的落差；另一方面，成文法注重效力的一般性與普適性，其規則內容難以窮盡細節。立法者常以審慎的姿態對待尚未明確的概念，雖然從中國 《民法典》對數據保護的概括性立法到 《數據安全法》 《個保法》等規范的發展與細化中可以看到立法者完善規則體系及內容的努力，但面對技術高速發展帶來日益復雜的數據活動，成文法難以體現其全面性、有效性、及時性的規范功能。雖然有學者提出成文法義務規則對大規模、大體量、性質嚴重、易發現的侵犯個人數據行為具有較好的懲治效果[16]，但對作為生產要素的數據利益精細平衡效果有限。

另一個更重要的層面是從法經濟學的角度看，靜態體系化、重罰則的成文法在對義務規則進行細化時，雖然有助于明晰權利內容邊界，但會不斷增加數據平臺一方承擔的合規成本。正如Posner在侵權責任的積極經濟理論中的觀點，衡量義務履行的經濟效益不應僅著眼治理總成本與總收益之比，更應當考慮隨著治理水平提升過程中的邊際成本增量[17]，從相同假設下數據業者 (在圖1[18]、圖2[19]中以A表示)遵循義務規則的角度看，隨著數據業者為預防數據侵權而履行義務的水平 (自變量x)不斷攀升，由于數據合規體系愈加龐大、復雜，進一步提升履行義務的難度將越來越大，其內部治理的邊際成本會遞增，即圖1中呈增勢的A′ (x)曲線，預防成本量增速亦會因此不斷攀升，即圖2中陡然攀升的wx曲線。雖然發生違反義務規則侵犯個人數據權利的可能性p在降低，但由于每增加1個單位的義務規則履行成本所能避免的損害，即圖1中的邊際收益-p′ (x)D也在遞減，治理后仍會造成的整體損失的減少趨勢會漸漸趨于平緩，即圖2中漸趨平緩的p (x)A曲線。原則上，最優履行義務的水平應當在邊際收益與邊際成本相同時 (即x為x*時)，社會成本SC最小。此時數據業者A履行義務成本與可能發生的對個人數據侵權損害之和即wx+p (x)A處于最低狀態。如果義務規則履行的水準超過了x*，社會成本呈遞增趨勢，即圖2中x*之后的SC曲線段，此時進入整個治理體系的低效期，此階段無論義務規則如何增加、細化，無論數據業者如何盡全力去遵守義務規則，圍繞數據生產要素的治理體系都將耗損社會整體資源。換言之，就算依賴成文法不斷細化的義務規則內容，數據業者的治理也無法避免走向因邊際成本遞增、邊際收益遞減而形成的社會成本遞增的效益低谷。因此，如何在義務規則穩定數據權利架構的功能需求持續增加的前提下，盡可能減少效益低谷的負面影響，亦成為數據權利構建中亟需突破的瓶頸。

圖1 邊際成本和邊際收益最優模型

圖2 預防量與社會成本最優模型

綜上，雖然數據的權利保護模式比利益保護模式更加符合多方主體對數據保護的穩定預期，但在義務規則的立法技術和效益可持續性層面存在諸多難解之困。

2 義務規則何以訴諸技術軟法

為了克服個人數據權利保護的義務規則滯后屬性以及邊際成本遞增效應帶來的制度效益低谷，有必要重新思考義務規則的存在形式。正如哈耶克[20]有關 “社會乃一種自生自發的秩序”之論述，與其局限于立法者自上而下的視角局限性，不妨觀察那些盈利驅使下具備技術優勢、算力基礎、行業實踐經驗的數據業者對個人數據進行保護和利用的實踐做法。他們為了緩解成文法規則中的高昂合規成本問題以及內容及時性問題，嘗試以場景化、業務化思路尋找解決之道，進而形成了一種以市場化促成利益激勵機制，以領域化促成動態性、專業性行為準則的規范性探索——軟法形式的 “技術標準”。近年來，法學界已經逐漸意識到技術標準作為一種軟法將對傳統法律體系造成的重要影響，有學者提出軟法的發展是現代社會關系和事物多樣性、復雜性、變動性與國家立法認識能力的有限性的矛盾使然[21]。數據權保護在成文法當中的困境正反映了這種矛盾，也反映了技術軟法介入其中的必要。

英國標準協會 (簡稱 “BSI”)對 “標準”一詞的定義是 “標準本質上是既定的做事方式”，雖然與法律當中的 “義務”同樣是對 “應然性”的追求，但是標準顯然更注重以明確的指引打通主體間的信息渠道、塑造利益博弈空間，更加具有現實指引性。以國內的技術標準體系舉例之，近年來國內技術標準體系的搭建不乏創新之舉，例如 《金融數據安全 數據安全分級指南》 (JR/T 0197—2020)，其結合金融行業的實踐經驗和數據基礎，以數據影響的程度、影響對象、數據特征等維度構建起金融行業中的數據識別和分級分類管控機制，并使利益相關方能夠特定化，在領域內較完整地解決數據生產要素的定性與保護的問題；再如，為了響應 《民法典》個人信息的有關條款而在2020年再次修訂的 《信息安全技術 個人信息安全規范》 (GB/T 35273—2020) (以下簡稱 《個人信息規范》)，以數據全生命周期為軸線明確個人數據主體與控制者的行為準則，并針對當下存在捆綁授權下的知情同意架空、個性化推薦和生物識別、第三方數據接入管理等問題作出新的回應。其內容相比起 《民法典》當中相對概括性的規范表達更細致且體系化。但是，國內對技術標準保護個人數據的規范性的定位停留在法律之外的技術領域，認為技術標準僅是服務于行業利益的外部話語體系，一般不作為法律適用的依據，例如在 “微視案”當中針對社交關系是否屬于個人信息的案件爭議中，法院就作出了與 《個人信息規范》當中將社交關系納入個人信息保護范疇的規定完全相反的判決。究其原因，國內對技術軟法的應用仍然處于與現行法律脫節的尷尬境地，其適用性和指引性必然受限。

可見，技術軟法要發揮指引功能的優勢，幫助義務規則從立法技術層面實現 “義務—法益”的權利內容，瓶頸在于技術軟法本身的效力。針對技術軟法的效力問題，學界仍爭議不斷。有學者認為從法的形式要件來判斷，技術標準只有在滿足中國2018新 《標準化法》當中對標準制定主體、審批主體、特定流程等條件 (例如要求國務院批準)才可以成為強制性國家標準，并最終以一種特殊的行政規范性文件形式呈現[22]，但其本質仍接近硬法性質的成文法。但是，有學者[23]從法的實質性要件角度認為，就算不依賴國家強制力保障，而主要依靠成員自覺、共同體的制度約束、社會輿論、利益驅動也可以構成軟法的效力本源。法經濟學的主流觀點也提出，法律的引導和約束作用本質是建立在趨利避害的理性人假設之上的，因此除了制定法之外的利益導向機制也可以具備與法律平行的約束力，軟法與硬法應皆為現代法的基本表現形式[24]。

由于國內技術軟法體系并未明顯形成與成文法體系銜接的利益導向機制，導致其規范效果受限。但從比較法視野看，國外對于技術標準嵌入法律對數據的保護并形成利益導向的機制已具備規模且形成體系化的經驗，尤其是歐盟 《一般數據保護條例》 (以下簡稱 “GDPR”)、國際標準化組織 (以下簡稱 “ISO”)與國際電工委員會 (以下簡稱 “IEC”)制定的 《隱私信息管理要求與指南》 (Privacy information managment-Requirements and guildlines，ISO/IEC 27701，以下簡稱 “27701號標準”，該標準中的 “隱私信息Privacy information”與 “個人信息” “個人數據”內涵無異)[25]之間的嵌入式互動為探索成文法與技術軟法之間的關系提供典型實例，其典型性體現在3個層面。

(1)成文法層面，GDPR雖然在實施中面臨諸多爭議，但其作為數據集成式立法的典例具備體系完整性、要素豐富性和領域適應性，加之國內法學界思考數據權問題也傾向成文法的解決思路，這為本文提供了批判性思考的高價值樣本。

(2)技術標準層面，27701號標準作為國際通行的技術軟法，目的在于評估數據業者的組織載體是否具備個人數據管理 (這里廣義的 “管理”包含數據全生命周期的收集、處理、存儲、流轉、應用等數據行為)的資質，在內容上將個人數據安全從宏觀的信息安全、數據安全、系統安全等ISO系列其他技術標準已有規定的內容體系中獨立出來，創新性地將逐條有關個人數據保護的技術標準映射到GDPR的具體條文中 (原文附錄D)，并且該映射關系由GDPR的立法委員會成員參與制作，為數據保護研究跨域 “技術”與 “法律”兩個話語體系的互動提供具有立法權威性的實例。

(3)從法經濟學角度觀察的效力模式層面，27701號標準雖然沒有公權力作為效力支撐，但有英國標準協會 (BSI)這類權威性的國際標準制定、認證組織將根據27701號標準的內容對特定的企業組織在進行某項業務時進行個人數據保護評估[26]，如符合標準則會頒發認證。該認證在標準協會的會員國之間具有較高權威性，數據業者也將獲得可轉化為經濟利益的商業聲譽和營商契機?？梢?，27701號標準的效力產生模式已經形成了典型的利益導向機制。這種利益導向機制正是解決Posner在侵權責任的積極經濟理論中提到的制度邊際成本遞增、邊際收益遞減下社會成本遞增困局的有效工具，因為該技術軟法的利導機制可以在社會成本SC開始出現遞增的奇點x*及之后的階段，使增加邊際成本的 “罰責”義務規則轉變為 “獲益”義務規則。具體而言，當數據業者每增加1個單位的履行義務量時，原本會因為數據合規的體系愈加復雜使邊際成本遞增，即A′ (x)曲線，但由于技術軟法的利益導向機制介入，每增加1個單位的履行義務量時，數據業者將獲得商業信譽和營商契機作為利益正反饋與邊際成本發生抵消，使得邊際成本上升的速率降低。如圖3所示，軟法介入的法律環境下數據業者在履行義務規則時的邊際成本Soft A′ (x)曲線會比軟法不介入的法律環境中A′ (x)曲線上升速度更慢，進而軟法介入下的社會成本曲線 (在圖4中以曲線 Soft SC表示)增減趨勢也會變緩。進一步產生的影響是，邊際成本等同于邊際收益的社會成本最低點x*將往后推移 (在圖3、圖4中以Soft x*表示)，且社會總成本量在最低點x*后依然呈較低態勢發展。因此從效力模式層面得出的結論是，軟法介入環境下的數據業者能夠履行更高更多的義務規則量、具備更高的義務規則履行水準，更有利于義務規則明晰數據權利邊界的作用發揮。

圖3 技術軟法介入下的邊際成本、收益情況

圖4 技術軟法介入下的社會成本最優情形對比

綜上，反思中國立法現狀中， 《民法典》有關個人信息的規定、 《數據安全法》 《個保法》雖然部分參考了GDPR對個人數據的保護方式，但并沒有移植GDPR對技術標準的銜接模式 (具體見GDPR第4章第5節 “行為準則和認證”部分)，僅有中國 《個保法》宣示性規定國家參與積極參與，促進、并推動標準互認，沒有明確認定技術標準的法律效力，也沒有規定標準嵌入數據保護規范的具體方式和條件。進而也沒有形成相應的利益導向機制，導致國內對個人數據保護僅依賴硬法。因此，圍繞27701號標準與GDPR兩者間的關系，觀察映射較為集中的27701號標準第5章至第8章內容，分析其中能夠為國內數據保護領域構建科學的技術軟法架構提供可參考的結構和要素。

3 技術軟法的規范要素細化——以注意義務為核心

27701號標準根基于事實層面上數據業者的組織運作方式和數據流動模式，以個人數據管理的資格考證為核心，結構化梳理了組織相關的其他主體、主體內部條件、分工主體關系、行為前置條件、反饋機制、全流程角度等行為要素，形成了個人數據管理活動中高顆粒度的行為標準。從內容上看，這套行為標準通過要素披露和流程化梳理方式為多方數據主體充分全面地提供有關利益和風險的信息，為多主體間理性博弈塑造空間，避免數據業者一方壟斷信息優勢的情形，促成個人數據主體形成合理的期待，其要素化的結構有利于軟硬法之間的聯系建立[27]。從法律對其內容的定性上看，這套標準對數據業者苛以注意義務，注意義務強調客觀衡量標準的特征符合數據侵權認定宜采取客觀過錯標準的特點[28]，進而使過錯認定過程體系清晰、邏輯嚴密，具有在侵權責任認定中的領域適應性。本文結合27701號標準的具體內容，將其總結為注意義務的主觀認知層面、主體資質與能力層面、行為前置條件層面、面向個人數據主體的反饋層面、注意義務的全流程貫穿性層面、分工協作下的注意義務區分層面。

(1)主體認知——組織有義務理解并認識到自己所處的環境。從組織的行為邏輯上看，環境就是組織受到哪些行為準則的約束，應當受到哪些主體的約束；從法律角度看，環境就是組織應當遵循何種行為規范，受到哪些主體的監督以及需要向哪些主體的訴求作出反饋，簡言之就是組織受到外部約束的來源。該部分的規范意義是：①基于數據所涉領域的復雜性，規則表現形式和效力來源也可能不同，明晰數據處理應當遵循行為準則的范圍，有利于解決義務規則依據不明的難題；②基于數據活動涉及利益主體的多樣性，從事實的角度明確組織在進行數據活動的過程中所涉主體，解決義務規則向誰履行的問題；③從過錯要件的主觀認知層面，組織達到這些標準意味著對自身應當遵循的規則和利益相關方主體具備充分的理解，組織無法以自己不知道規則來源或履行義務的對象為托辭逃避履行相應義務。該部分主要體現在27701號標準的第5章第2節、第4節中，具體映射到GDPR關于控制者、處理者義務的來源、法律之外的行為準則的效力以及數據業者受到數據監管者、數據監督主體等條款 (對應GDPR中24、25、28、40、41、42、31、32、35、36等條款)。

(2)主體資質與能力——組織有義務具備特定的 “硬件條件”或 “內部結構”作為個人數據保護的基礎。從組織的事實語境看，從事特定領域的活動須具備一定硬件資質，從事涉及個人數據的活動尤為如此。其中，安全設施、系統運行方案、外來訪問限制方案、加密措施等，至少在數據的正常存儲、受訪、傳輸等活動中保障其完整、安全性；基于數據活動的專業性以及保護個人數據所需的協同性，組織需具備能夠保護個人數據的內部組織架構，以數據保護專員 (DPO)為主要負責人，形成數據保護的決策層、聯系層、執行層架構，銜接組織有關數據活動的各個環節，同時以公開聯系方式、辦公地點等方式打開外界訴求進入的渠道。該部分的規范意義是：①傳統與信息安全、系統安全理念相關的硬件資質重在保護數據的完整、真實、安全 (銜接ISO系列其他標準)，是與 “數據安全意外事故 (泄露、污染、駭入等)”相對應的概念，屬于個人數據保護的必要不充分條件，其有必要成為數據業者義務的一部分。②專門的數據保護人員架構無論是對內防止數據安全事件、落實個人數據保護規則，還是對外承擔聯絡職責、獲取外部權利訴求、接受外部監督都是必不可少的，更是義務規則可問責性的基礎。該部分主要體現在27701號標準第6章，大量映射到GDPR的個人數據處理 “完整性、保密性原則”以及控制者義務、數據保護專員職責與地位等條款 (對應GDPR中5、24、25、27、32、33、37、38、29等條款)。

(3)行為的前置條件——在數據行為進行前審慎地做好準備。從組織的語境當中來說，組織內部治理的常用思路是哈佛商學院的安德魯斯提出的SWOT分析法[29]，核心思路是分別從組織內部、外部視角分析特定行為的優勢和短板，進而審慎作出行為決策。27701號標準也借鑒了該思路。首先，從外部視角避免合法性風險，需要從外部獲得并確定數據收集處理的目的，包括以書面化或其他特定的方式 (例如獲取未滿16周歲者的同意須經過監護人授權)獲得數據主體對目的的同意并告知其可以行使的權利，該目的的合法正當性主要來源于外部數據主體的明示同意以及法律規定的其他合法情形；其次，從發揮組織內部信息優勢的角度，以個人數據處理記錄制度記錄每一次數據的行為內容、行為目的、合法性來源等內容來體現組織對義務規則的履行情況，畢竟組織不能在對數據完全沒有統一記錄和管理的前提下展開進一步數據保護的措施；再次，以隱私、信息安全影響評估報告、向監管者的事前咨詢形成內外協同的風險預防機制。這些標準的法律規范意義在于，將組織的決策思路融入注意義務的履行標準中。該部分主要體現在27701號標準第7章第2節，主要映射到GDPR當中有關數據收集處理的合法性依據 (涵蓋了知情同意以及其他特定情形)、數據影響評估、事先咨詢制度、內部問責制度等條款 (對應GDPR中5、6、7、8、9、10、17、22、28、35、36等條款)。

(4)面向個人數據主體的反饋——梳理出組織對數據主體應履行的義務內容，并能夠對數據主體提出的合法權利訴求 (包括獲得告知的權利、撤回同意的權利、數據訪問權利、數據糾正和刪除的權利、拒絕和自主決定的權利等)進行反饋。從組織的語境來說，一是需要根據現有環境制作對數據主體的義務清單作為履行義務和搭建相關反饋機制的基礎；二是為了響應外部主體的合法訴求，必須形成相應的對接管理機制、系統、負責人，甚至開發專門的在線應用產品為外部主體行使權利提供便利。從法律規范的意義來說，數據業者的義務來源于GDPR賦予數據主體的權利，因信息地位不對等造成個人數據保護的個體沉默和監管失靈效應，形成權利主體向數據控制者、處理者主張權利的壁壘，遂應當由占據信息優勢地位的數據業者作出減少信息成本的努力，并以可外化的形式，即管理機制、內部政策、應用系統等證明之。該部分主要體現在27701號標準第7章第3節，映射GDPR中有關數據主體權利的條款 (對應GDPR中11、13、14、15至22等條款)。

(5)貫穿數據全生命周期的注意義務——數據方案的設計應保障個人數據保護的價值貫穿其始終。具體而言，因為每當數據進入一個新的生命周期，都有可能經過迭代產生新的數據屬性、價值，數據的結構、內容也可能發生變化，新的數據屬性可能產生新的數據用途，更有可能使數據處理超出原有的數據目的，因此有必要在每一個階段對數據行為進行合目的性判斷，保證行為始終以實現目的為限，不得對個人數據造成目的范疇之外的損害，具體而言，不僅在收集、處理階段保證涵蓋數據的最小體量，還需要在數據傳輸時準確傳達初始目的、完成處理后及時刪除與目的不相關的數據，定期清理因處理個人數據而創建的臨時文件等。從法律規范的意義看，目的與行為一致雖然在法律的話語中的意義簡單明了，但是落實在數據的全生命周期中難度極大。除了因數據迭代變化發生的諸多不可控因素外，還因為每個數據處理行為的模式都有所區別。這些因素導致目的與行為一致性的審查標準在每一個階段都有可能不同。這不可避免造成數據活動的效率下降，降低數據流動積極性，進而形成數據孤島效應。為了解決這一問題，當下出現了諸多既能夠有效控制數據運行過程中延展性和多變性，又能保障數據處理行為目的能夠實現的隱私保護計算技術，例如安全多方計算 (SMPC)、聯邦學習 (FL)、差分隱私 (DP)等，這些技術融合了多領域交叉的跨學科技術體系，重點提供了數據計算過程和數據計算結果的隱私安全保護能力，在不識別到具體個人的前提下實現數據的共同計算，有利于解決數據孤島和隱私風險難題。如果數據業者將這類隱私技術納入內部管理機制中，有助于形成數據開放應用的合法性。因此，特定隱私保護技術的利用情況也應成為衡量數據業者對全生命周期數據盡到注意義務的標準。該部分主要體現在27701號標準的第7章第4節，映射GDPR當中有關目的限制性、數據最小化、數據存儲限制、安全保密、數據準確性等條款 (對應GDPR中5、6、13、14、25、32等條款)。

(6)數據分工協作場合下的注意義務分配——數據控制者與數據處理者間的關系明確。與國內僅規定數據處理者的做法不同，ISO/IEC 27701中的數據控制者指的是決定了數據處理的目的與方法的主體，而數據處理者則是受到數據控制的委托代為處理數據的服務供應商。數據控制者作為數據活動的主導者需要承擔更大的隱私保護責任，但是數據處理者也承擔著必要的注意義務，包括二者簽訂的合同內容中必須包含注意義務分工履行的內容、未取得數據主體同意不得單獨向其推送廣告或用于他途，以及數據處理者輔助數據控制者完成數據保護的其他義務。該部分體現在27701號標準的第8章，映射到GDPR的有關數據控制者、處理者義務以及數據處理過程安全性的條款 (對應GDPR中5、7、28、29、32、30、44、46等條款)。

4 規范的落腳點——軟法與硬法的銜接

通過國內外技術軟法在數據權利保護中的規范作用分析，可以看出軟法雖然在數據權利保護的領域中比硬法更具有場景適應性、規范靈活性，但其與硬法的銜接程度決定了形成更廣泛規范效力的潛力，甚至反向促進硬法自身的完善。本文從27701號標準與GDPR的實例看，認為具有科學利益導向作用的技術軟法形成，需要權威性強、體系性完整、要素豐富的硬法環境。另外，技術軟法也應該在司法層面發揮裁量依據的作用，尤其在數據保護的侵權責任案件審理中，對技術標準的履行狀況應當成為責任判定的重要考量因素。

4.1 立法層面——塑造有利于技術軟法生成的硬法環境

ISO/IEC 27701中的組織的義務要素的硬法依據是GDPR。由于歐盟立法環境與國內區別明顯，中國如果要鼓勵形成ISO/IEC 27701這類技術軟法，需實際考慮中國的硬法環境。為此，將27701號標準形成的相對完整的義務要素逐個對應到國內被適用于數據保護案例中來觀察國內的硬法環境，見表1?？梢钥闯觯袊槍祿Ｗo的立法結構較分散， 《民法典》 《數據安全法》 《個人信息保護法》甚至是個案中出現的 《消費者權益保護法》 《網絡安全法》等，都可以直接或者間接成為數據權利侵害糾紛解決的依據。其中每一部法律的功能與側重點都不同， 《民法典》的規定雖然較概括，但以數據主體權利和數據處理者義務的規范模式奠定個人信息保護的基本框架； 《數據安全法》與 《網安法》雖然具備一定的義務要素結構，但是這兩部法律著眼于偏宏觀的網絡安全與數據安全，與 “數據權利保護”存在概念上的錯位，難以直接作為硬法來映射。 《消費者權益保護法》則多圍繞消費者的權利，但是缺少對數據業者的行為準則基本要素。這些法律當中圍繞數據保護的義務要素較齊全是 《個保法》，但是該法也沒有對數據活動分工時的義務分配以及對行業標準、技術規范的效力模式作出回應。從整體上看，國內在數據保護的主體資質與能力、權利響應機制層面的硬法依據雖初具規模，但是在數據處理者與數據控制者的義務與責任分配部分鮮有硬法規定。另外，國內近年來也不乏試圖建構數據保護體系的地方性立法，本文以深圳、上海兩地的地方立法方案做對比，主要因為二者皆為國內數字化轉型和立法探索的前沿地帶，其立法模式具有創新性和典型性。從地方立法部分看，上海與深圳雖然存在一定立法區別，但是在數據要素的開放流通促進兼顧權益保護的價值理念，尤其是在個人數據保護層面具有相似性，皆針對監管者、處理者資質、數據行為前置條件、全周期注意義務等方面做出了成文立法探索，對國內技術軟法的生成具有指引意義。綜合國內整體的硬法來看，如果需要借助軟法發揮其數據保護領域當中的獨特功能，中國尚需形成體系更為完整的數據保護法律，否則沒有明確硬法映射的技術軟法也將失去其規范優勢，見表1。

表1 技術標準形成的國內硬法環境對比分析

4.2 司法層面——技術軟法的法律適用方式

技術標準在司法層面的適用方式應區分法律適用與事實認定兩個視角。在法律適用層面又分為在法律為空白時的間接適用功能、法律不確定時的解釋補充功能；在事實認定層面，技術標準也可以作為書證[30]。在中國的司法實踐中，技術軟法影響司法審判已不鮮見，例如在甘肅高院發布的2017年度十大案件之一 “鄭震、楊莉等侵犯公民個人信息罪案”中，被告雀巢公司通過遵守有效的合規標準，將單位責任和員工個人責任進行了切割，并援引公司在個人信息保護中的內部管理標準作為無罪抗辯的充足證據，避免了刑事責任的承擔。國外也早已有將技術標準引入實質審理的先例，例如美國早在2009年就有 《數據責任和信任法案》 (Data Accountability and Trust Act of 2009)，明確在其Section 3 (f) (2) (A)& (B)條中規定法院應通過咨詢等方式，根據行業協會、消費者組織、專家制定的技術標準來判斷數據業者是否已經將數據進行法律要求下的加密處理，判斷結果將直接影響數據侵權行為的認定與否。因此，在認定數據業者存在數據侵權責任的司法裁判當中，技術標準可以在法律規定的義務內容、過錯認定條件較模糊導致自由裁量空間過大時，作為規則的補充釋明，尤其在根據過錯責任程度進行賠償金計算時，應當避免國內案例中經常出現的酌定方式判定賠償金方法，在充分考慮數據業者履行義務中的各要素齊全度，對于義務履行質量較高的主體，應當減輕其賠償額度。另外，如果數據業者具備權威性的行業協會對標準的認證，那么該認證與技術標準本身可以作為一種書面證據，用以證明數據業者在事實層面具備個人數據處理的資質且體系化地履行了現有法律規定的注意義務。