平臺經濟數據隱私保護與合規之協調

摘要：作為數字經濟時代的基礎設施，平臺既是數據要素的加工者，同時也構成了支撐數據要素交互的多邊市場。在互聯網去中心化發展與技術外包盛行的雙重背景下，平臺業務的相互嵌套導致了傳統“縱向一體化”的規模實踐向超文本化運營范式的轉向，數據合規成為平臺穩健發展的硬性要求，使得數據隱私保護與數據合規逐漸處于失衡狀態。平臺數據合規可遵循“三步走”路徑：首先，以交互樣態為基礎協調平臺企業數據利用與個人數據保護之間的關系，其次，結合政策導向創新發展平臺經濟的數據監管機制，最后，深入企業治理層面構造多構面聯結的動態合規方案。

關鍵詞：平臺經濟 隱私保護 數據合規 數據要素 數字技術

中圖分類號：D922.294;F49;TP309 文獻標識碼：A 文章編號：1674-8557（2024）04-0029-14

一、問題的提出

2022年通過的《中共中央國務院關于構建數據基礎制度更好發揮數據要素作用的意見》（以下簡稱《數據二十條》），使數據要素安全治理上升為數據基礎制度的四大組成部分之一，貫穿于數據流通交易的各個環節，彰顯了國家大力促進數據要素流通、激發數據要素活動的堅定決心，標志著我國初步建成數據基礎制度體系。“平臺通過新興信息技術，重塑新型經濟樣態，從技術手段與模式革新、依托資本多方位滲透產業等多個領域，成為政府權力與市場權利之間的第三種力量。”^①平臺經濟的持續性發展離不開數字技術與社會經濟各板塊的深度融合。^②但《數據二十條》并未對平臺領域的數據利用與隱私保護問題進行明確，導致該領域的法律依舊存在空缺。現實中，平臺內經營者之間“贏家通吃”現象愈發明顯，不當的競爭行為日益增加，平臺經濟下的公共性事件頻發，由市場失靈、惡性競爭、道德風險引發的負面事件層出不窮，嚴重侵害消費者的合法隱私權益。

數據隱私是由數據承載的私密信息，數據隱私保護已成為數字經濟時代的最重要議題之一，【參見何治樂、黃道麗：《歐盟〈一般數據保護條例〉的出臺背景及影響》，載《信息安全與通信保密》2014年第10期。】個人信息的利用與保護之間的利益衡量則是議題的焦點。平臺領域的隱私政策在數據合規層面屬于相對特殊的存在。一般而言，隱私政策是指平臺內經營者針對特殊消費群體進行信息收集、存儲與利用的解釋性聲明。隱私政策若不合規，將直接導致企業的數據濫用行為，進而侵犯消費者隱私。經營者獲取海量的消費者數據，有針對性地提供產品和服務，從而提升自身競爭力，擴張市場，但極易引發侵犯他人數據權利的不當行為，威脅消費者的隱私安全，產生相關涉訴數據風險。【參見沈貴明、劉源：《數據抓取行為反不正當競爭法規制困境與對策》，載《中國流通經濟》2021年第1期。】平臺內經營者為了拓展消費群體，提升自身技術為消費者提供更加個性化的服務，收集并關聯了消費者多個賬號信息，侵犯了公民信息安全，引發個人信息泄露和隱私保護的問題，【參見王秀哲：《我國個人信息立法保護實證研究》，載《東方法學》2016年第3期。】平臺領域的數據隱私保護又有其特殊性，“擊穿了個人信息保護法兜底關系合同的靜態格局”【唐林垚：《關系合同視角下數據處理活動的技術流變與法律準備》，載《法學家》2023年第1期。】，需要在實踐當中予以關注。

我國已經形成較為完善的中國特色網絡法治體系，數據治理已然成型，數據處理活動及其安全監管逐漸步入法治軌道，但是平臺算法科技的力量變得強大，極易從自身利益出發，增加濫用數據的風險。【參見高嵐、高國柱：《基于領土性的數據主權理論證成及治理》，載《海峽法學》2023年第3期。】在民主責任機制約束不足的前提下，平臺濫用數據愈加肆無忌憚，市場自我調節和行業自律規范有效性存疑，與個人隱私和數據保護的時代需求相去甚遠。

（一）平臺的數據應用市場維度存在風險

平臺通過算法技術來實現數據資源的合理配置，算法與數據的深度結合形成了平臺的算法權力，社會運營要素的多元化和復雜化則借由算法權力表現出來，透過算法，可以將毫不相關的靜態信息重新整合為新型的數據資源。在平臺的數據隱私領域大規模建設前，面對相似或相異的受眾，智能應用被限制在相對封閉的環境內，算法間的“朝上競爭”推動具備較強競爭優勢的智能應用獲得更高市場份額，過度榨取消費者剩余價值的智能應用將面臨被淘汰或整改的命運。有學者認為，“數據合規因黑匣子理論可能使得算法趨同，導致朝上競爭向逐底競爭進行轉變”【唐林垚：《數據合規科技的風險規制及法理構建》，載《東方法學》2022年第1期。】。數據合規科技的進步可能使得傳統的智能應用被淘汰，替代的是數據質量不合格、算法透明度更低的智能應用。平臺的數據應用市場所需要關注的一個重要問題就是，如何避免智能應用的“逆向淘汰”。

（二）平臺易濫用數據侵犯隱私

科技是平臺發展最重要的內在驅動力，數據是平臺領域重要的驅動力來源，平臺對于數據的掌控力基于算法產生，數據則是重要的有價值資產。為追求數據效益最大化，平臺會利用自身數據領域的優勢地位，強迫用戶只有通過點擊“同意”才能享受服務或商品，進而可能會扭曲效率和正義的價值平衡，反映到用戶個體，就是個人信息和隱私的泄露和侵犯。在Web3.0的去中心化發展大趨勢下，部分平臺利用消費者的信息，建立了一種不受國家控制的“第四種”權威。【參見唐林垚：《Web 3.0治理：制度機理與本土構建》，載《華東政法大學學報》2023年第6期。】平臺通過算法獨有的分析信息優勢，為消費者提供個人畫像，繼而通過多種收集手段將數據集中，形成平臺獨有的“數據資本”。平臺利用資本的擴大，提升平臺權威，整個周期便是“數據收集—數據集中—平臺權威”的過程。由此可見，一旦缺乏有效的監管，伴隨平臺規模與影響力雙重擴大，在數據集中趨勢化愈加明顯的當下，個人隱私極有可能受到侵害，這就是平臺利用數據集中權威造成的結果。

（三）平臺領域內數據隱私法律保護途徑單一

我國正在加快多層級法律規范及配套制度建設，規制層面不可避免地受單一法律治理思維影響，最終演變成以事后性懲罰等行政處罰為主要手段，導致過度依靠外部性約束力量來推動平臺發展的結果。技術代碼的優勢被忽視，實踐中傳統線性的思維方式和治理模式已不能有效應對平臺數據隱私潛在風險。現在的監管方式主要是用行政處罰來對平臺進行外部威懾，讓平臺與內部經營者遵守數據合規的規則，但這無法從根本上解決平臺濫用數據、算法失控、數據壟斷等問題，更無力矯治迷失的算法權力。隨著算法技術的不斷進步，監管平臺的數據行為變得更加困難，政府和法律的公共管理資源會被日漸消耗，對平臺的數據行為的監管效果會邊際降低。【參見武西鋒、杜宴林：《區塊鏈視角下平臺經濟反壟斷監管模式創新》，載《經濟學家》2021年第8期。】

二、平臺主體之間的動態關系梳理

2015-2020年，我國超10億美元數字平臺總價值由7702億美元增長到35043億美元，年均復合增長率達35.4%，尤其是在2020年全球經濟低迷的背景下，實現了56.3%的超高速逆勢增長。據預測，2023年我國超10億美元數字平臺總價值將達59919億美元，我國超10億美元數字平臺將達279家。【參見阿里研究院、中商產業研究院：《2023年中國平臺經濟產業市場前景及投資研究報告》，https：//www.askci.com/news/chanye/20230315/160302267886736838602882_2.shtml.，2023年8月30日訪問。】當前學界對平臺主體關系尚未明晰，故在分析國內平臺數據隱私與合規困境成因之前，需要對平臺主體之間的動態關系進行厘清，才能更好把握深層次原理與機制存在的問題。

（一）以平臺為核心的基礎設施

平臺基于社會基礎設施的完備化背景誕生，是以互聯網、大數據等技術支撐的數字化組織，突破了傳統市場組織形式，為消費者交易提供場所，同時是連接商品與服務的網絡中間媒介。“平臺的外在形態多種多樣，本質依舊是商業底層架構，溝通交易信息以推動完成交易。”【胡凌：《從開放資源到基礎服務：平臺監管的新視角》，載《學術月刊》2019年第2期。】“去中心化的自動匹配算法，消除了傳統商業模式從生產到消費過程中的多層營銷體系，顯著降低了交易成本。”【江小涓：《高度聯通社會中的資源重組與服務業增長》，載《經濟研究》2017年第3期。】通過算法技術對數據采集、傳輸和處理系統重組勞動過程，提高交易效率，企業根據分析結果改善基礎設施與服務，平臺經濟的核心要素便由此產生。

現行法也肯定了平臺的市場組織者屬性。【《電子商務法》第9條規定：“本法所稱電子商務經營者，是指通過互聯網等信息網絡從事銷售商品或者提供服務的經營活動的自然人、法人和非法人組織，包括電子商務平臺、平臺內經營者以及通過自建網站、其他網絡服務銷售商品或者提供服務的電子商務經營者。本法所稱電子商務平臺，是指在電子商務中為交易雙方或者多方提供網絡經營場所、交易撮合、信息發布等服務，供交易雙方或者多方獨立開展交易活動的法人或者非法人組織。本法所稱平臺內經營者，是指通過電子商務平臺銷售商品或者提供服務的電子商務經營者。”】同時，平臺既是數據生產要素的加工者，也是數字經濟背景下的多邊市場。一方面，平臺提煉數據生產要素，從社會整體的運行角度來看，對數據的加工與提取更是一種社會控制的模式，將消費者的信息進行提取與加工，消費者間接成為生產資料，有學者將其稱為數字勞動；【See David Chandler and Christian Fuchs， eds.， Digital Objects， Digital Subjects： Interdisciplinary Perspectives on Capitalism， Labor and Politics in the Age of Big Data， University of Westminster Press， 2019， pp. 53-71.】另一方面，平臺通過提供數字技術接口的方式，多個服務集合在一個程序里面，實現多方資源的融合，提供網絡平臺、交易中介、信息發布等服務，幫助其他經營者和消費者進行交易，并對平臺內的經營者和行為進行規范。【參見馬更新：《平臺經營者“相應的責任”認定標準及具體化——對電子商務法第38條第2款的分析》，載《東方法學》2021年第2期。】首先，平臺的功能會伴隨場景變更而發生變化。根據不同的消費者類型，平臺所表現的功能亦有所區別：如果以商品為核心的類型模式，平臺上天然存在買方與賣方；如果作為一個傳播的載體，則平臺的一側是內容制造商，一側是觀眾。平臺和另外兩類消費者構成了一個完整的生態系統，平臺提供搜索、匹配等服務，幫助觀眾進行交易活動。其次，隨著“外部性”理論在平臺中的應用深入，選擇在平臺上交易的消費者越多，可能會對另一邊消費者的利益產生影響。實踐中一個平臺內經營者受消費者青睞，便會吸引經營者涌入此平臺。再次，梅特卡夫法則之網絡效應在平臺領域內愈加明顯，平臺上兩邊或是多邊的消費者可以通過一方的增加而吸引另一方消費者，當一側消費者對平臺形成穩定偏好之后，平臺將擁有自我增值和規模擴張的內在動力，進而形成“贏家通吃”的局面。【參見王先林：《平臺經濟領域反壟斷問題的復雜性與相關建議》，載《競爭法律與政策評論》第7卷，法律出版社2021年版，第16頁。】最后，平臺上的價格結構會伴隨戰略選擇進行調整，為了實現利益最大化，平臺向消費者提供補貼，而向商戶基于吸引雙邊消費者之目的收取費用。【參見李子文：《我國平臺經濟的發展現狀和規制問題》，載《中國經貿導刊》2018年第4期。】

（二）平臺各主體之間的動態關系

平臺肩負著一定的公共職能，有力保障了平臺內經營者的權益，維護了網絡市場秩序。職是之故，需要厘清國家、平臺、平臺內經營者以及消費者四者之間的法律關系，從而探索彼此之間能夠形成的相對穩定的架構與體系。筆者在本部分重點闡述“國家與平臺”“平臺與平臺內經營者”“平臺內經營者與消費者”等三種關系，對作為隱私保護與數據合規之協調核心的“用戶—平臺”關系，將放在下一節中分析。

1.國家與平臺

伴隨著大數據的發展，數據的價值逐漸被認識，平臺利用數據的能力也在加強。含有隱私的數據可能會作為最有價值的生產要素被平臺不斷地挖掘利用，“收集和整理個人信息都是獲取權力的方式，通常以信息主體為代價”【A. Michael Froomkin， The Death of Privacy， 52 Stanford Law Review， 1461， 1462 （2000）.】，進而將數據隱私保護和平臺發展進行平衡。我國近些年逐步加強相關立法，以期完善基礎性制度建設，加強隱私保護力度。立法的技術將直接影響利用與保護之間的平衡，需要對外部要求與內生激勵進行協調，國家的法律制定越嚴格，平臺內部的規范應當更加適應此情形，抑或是國家的法律相對寬泛，平臺宜采取嚴格細化的內部界定，避免出現平臺內部治理機制與外部法律脫節。【參見周漢華：《探索激勵相容的個人數據治理之道——中國個人信息保護法的立法方向》，載《法學研究》2018年第2期。】

2.平臺與平臺內經營者

平臺與平臺內經營者通過簽訂的合作協議或服務協議確定彼此之間的權利義務，應確定與合作第三方機構的合作形式，明確約定雙方在交易中的責任，共同確保合規。換言之，在平臺進行交易的場合下，平臺內經營者作為互聯網服務的使用者，在借助平臺進行銷售活動時，應當在入駐平臺之初就與平臺訂立合作協議，明確權利義務關系，并在此后開展銷售活動的過程中，遵守法律法規及協議約定的內容，確保活動的內容與形式合法合規。隨著淘寶網的大眾評審機制等線上爭議解決機制的確立，相類似的線上爭議解決機制相繼在各平臺被確立起來，即使消費者對平臺的“不合理”行為并不認同，但考慮到未來利益受損、平臺通過制定規則使得管制更為嚴厲等多種原因，也極少會通過訴訟程序進行解決，最終導致平臺在實際上成為平臺內各類糾紛的終局裁決者。【參見劉權：《網絡平臺的公共性及其實現——以電商平臺的法律規制為視角》，載《法學研究》2020年第2期。】

3.平臺內經營者與消費者

大數據時代到來，平臺經濟的核心就在于對經濟生活進行離散，通過將人類經濟關系切割成多個網絡，將信息采集與交換進行數據匯總，發揮出較強的規模效應。數據商業化明顯，在平臺內的消費者越多，數據化的連接點越多，因此在雙邊市場或者多邊市場的情形下，個性化差異化的需求更容易被滿足。平臺內經營者試圖通過產品或者服務吸引消費者進入，通過消費者對產品或者服務的依賴性，企業廣泛收集消費者的信息，進行算法分析，形成消費者獨有的算法人像，并經由企業合作、并購、重組等形式共享消費者信息。“在信息化時代，平臺內經營者對數據的占有和控制力決定了平臺未來發展的競爭力。”【郭漸強、陳榮昌：《網絡平臺權力治理：法治困境與現實出路》，載《理論探索》2019年第4期。】數據交互、數據共享將商業邏輯關聯起來，將這種鏈接向橫向和縱向推進，從單一領域向跨界發展。平臺價值與個人數據保護之間極易發生失衡。經營者利用平臺并不只是收集與產品、服務運行直接相關的數據，還包括用戶身份、職業收入、社交群體等個人敏感信息，消費者以犧牲個人信息為代價享受著免費服務和產品，即便隱匿信息技術逐漸興起，算法依舊可以精準匹配，消費者已經基本喪失了個人信息隱私保護權，輕則引發財產受損、名譽下降、身份被冒充等風險，重則造成社會性死亡。

三、國內平臺數據隱私與合規困境成因分析

（一）實現隱私政策之合規性難度大

隱私政策結構的完整性與合規性并不能等同。部分隱私政策雖然涵蓋了用戶數據收集、處理等方面的內容，但是，過于概括或模糊的條款術語并未具體說明收集信息的類型、處理信息的方式或者明確的信息保存期限等關鍵信息，這與法規要求不一致。在實際操作中，平臺內經營者獲得的同意往往是形式上的，【參見呂湛：《論隱私協議中同意條款的形式合規》，載《西安電子科技大學學報（社會科學版）》2021年第4期。】正常情況下隱私協議很難在表意明確的情況下兼顧提示突出和簡潔易懂的特點。如果平臺一味追求隱私協議的簡潔性，并通過提示突出的方式使得用戶加以注意，可能會起到反效果。在一篇隱私協議中，提示突出的部分占據了很大的篇幅時，用戶無法清晰得知重點條款位列何處，此時用戶的同意可能被認為是無效的；在篇幅方面，如果企業過度簡化其隱私政策，縮減隱私政策的長度，其中很多專業術語如果缺乏具備專業知識的專家指導，普通用戶將無法準確理解其內在含義，將會導致在某些情況下平臺隱瞞事實，對用戶構成欺詐，增加企業的運營成本和風險，最終帶來不必要的涉訴風險。因此，這樣的隱私協議不僅效果有限，而且與法律和慣例所要求的語言清晰、提示突出同樣存在不可調和的矛盾。“語言的極端精確常以內容意義的極端空洞作為代價”，在平臺經濟內涵日趨豐富的大趨勢下，完全依賴隱私政策的貼合性也并非最佳方案。【唐林垚：《公共衛生領域算法治理的實現途徑及法律保障》，載《法學評論》2021年第3期。】

（二）“用戶—平臺”之風險與收益無法平衡

中國消費者協會于2018年發布《100款App個人信息收集與隱私政策測評報告》顯示，九成以上的手機App涉嫌“越界”，過度收集用戶的個人隱私信息。【中國消費者協會：《100款App個人信息收集與隱私政策測評報告》，https：//www.cca.org.cn/#/Detail？catalogId=475803785949253amp;contentType=articleamp;contentId=526001654833221，2023年12月11日訪問。】“由于角色分工不同、獲取信息的能力差異等原因，用戶與平臺始終處于不平等的地位，換言之，平臺相對于用戶是強勢方。”【褚婧一：《“用戶—平臺”關系中告知同意規則修正的路徑選擇》，載《蘇州大學學報（法學版）》2023年第2期。】個人信息處理者之平臺具備組織、技術和資金優勢，而且實際開發、運行著內部的信息處理系統，成為特定區域空間之規則制定者，并形成以私人主體為核心的“信息權力”。以自然人為主體之用戶，不僅于技術和資金之間優勢不足，而且在信息處理活動中同樣主動性不足。2023年8月，中國國家互聯網信息辦公室起草了《個人信息保護合規審計管理辦法（征求意見稿）》，明確規定了處理一定體量個人信息的信息處理者的合規審計義務履行期間。【《個人信息保護合規審計管理辦法（征求意見稿）》第4條：處理超過100萬人個人信息的個人信息處理者，應當每年至少開展一次個人信息保護合規審計；其他個人信息處理者應當每二年至少開展一次個人信息保護合規審計。】同時，用戶的利益與福利無法等同，平臺在加工使用承載隱私的數據時，若實現依法合規，隱私程度的降低并不直接導致用戶福利的降低。

1.單方變更條款助長平臺之“權力”

針對此問題，以“平臺有權不時修改協議”條款較為典型。目前，法律法規隨著數字經濟的發展也在不斷跟進完善，平臺修改隱私協議的行為變得頻繁，【參見王紅霞、孫寒寧：《電子商務平臺單方變更合同的法律規制——兼論〈電子商務法〉第34條之局限》，載《湖南大學學報（社會科學版）》2019年第1期。】進一步增加了“同意制度”本就存在的不確定性。與個人信息有關的權利，無論是我國還是其他國家都給予了重視，通常要求只有在用戶明確同意的前提下，互聯網企業才能收集、處理個人信息。基于某些特定原因，需要再次收集、處理個人信息，一般發布修改后的同意條款就認為得到了用戶的同意。實際上，要求所有用戶再次確認之可行性不足，現實的事實行為與法律的規定存在矛盾，使得同意條款的效力更加不確定。許多平臺為了完成合規的信息披露，在網站首頁設置協議或以彈窗的形式征求用戶之同意，實際效果卻不盡如人意。平臺利用優勢地位，對披露的內容進行“價值選擇或判斷”，極易使用戶處于不利地位。在平臺發展過程中，為避免政府對其進行處罰，平臺一般會參照法律法規進行合規，就會導致他們的隱私協議呈現出趨同化的現象。即便是在不同相關領域的平臺隱私協議，其形式與實質依舊存在相似性，涵蓋了法律要求收集的個人信息、基于基礎功能收集的個人信息、基于擴展功能收集的個人信息、無需征求同意的豁免和隱私協議的變更。

2.跨App個人信息共享加大數據安全之風險

平臺經濟快速發展推動跨App個人信息共享的現象繁榮。2021年，工業和信息化部印發《關于開展信息通信服務感知提升行動的通知》，對企業與第三方建立共享個人信息清單進行明確要求。在App開發、運行過程中，使用第三方服務已經是一種常見的技術手段，社交媒體和影音娛樂平臺在電信運營商的支持下修改賬號密碼，則各銀行之服務推動支付寶、微信及其他支付方式之資金提取。2021年《個人信息保護法》正式施行，其目的并非禁止個人信息共享，而是在合規的前提下，確保并促進個人信息的合理利用，通過法律規定來促進合理利用個人信息的行為，同時實現個人信息的帕累托最優。【參見王煒炫：《跨App個人信息共享的法律規制》，載《南方金融》2022年第6期。】如果要求對單獨的個人信息處理者只能通過單獨同意之方式獲取信息，于企業而言，無疑是繁瑣的高額成本。所以，在隱私協議的條款中，企業就可以將共享對象進行披露，但是可操作性有待考量。利益在各商事主體間進行合作的過程中是起主導性的，“確定性原則”之實現存在困難，事先披露隱私協議中的共享對象與“商事合作”中的“游戲規則”不相符合。目前很多數據共享機構在享受共享數據帶來的好處的同時，并沒有履行確保數據安全的責任。由于法律法規尚未完備，數據共享方確保數據安全的責任通常只能通過共享協議進行規制，而且行業自律標準還未建立，共享方很有可能在法律規范之外游走。

四、域外隱私保護與數據合規立法動向

法律塑造平臺的實踐特性，平臺內經營者打造自己獨有的數據治理政策。關注消費者隱私，可以參考域外數據隱私保護的實踐操作，下文將對美國和歐盟的互聯網經濟政策和數據保護法進行梳理。

（一）以行業自我約束為顯著特征之美國

美國作為普通法國家，數據隱私保護以分散的法律規定和行業的自我約束為主要特征，并包含建立在憲法基礎上的一系列的判決。1970年，美國制定了第一部數據立法——《公平信用報告法》（Fair Credit Reporting Act），其中規定了查閱權、異議權、更正權、刪除權等“類似結構的權利組合”，賦予個人對信息處理者的特定性權利，以預防信息時代下帶給個人信息主體的諸多侵害，并于第602條（a）（4）規定，必須確保消費者報告機構在履行其職責之時是公平、公正的，尊重消費者的隱私權。【參見姚佳：《個人信息主體權利的實現困境及其保護救濟》，載《中國法律評論》2022年第6期。】伴隨著《總統的隱私藍圖》和《消費者隱私權人權法案》等文件的發布，美國政府似乎更加關注隱私政策與平臺經濟創新之深層次關系。【F.T.C.，Privacy Consumer Privacy in an Era of Rapid Change： A Proposed Framework for Businesses and Policymakers-Preliminary FTC Staff Report of 2010，http：//www.ftc.gov/os/2010/12/101201privacyreport. pdf.轉引自［美］達爾·尼夫：《數字經濟 2.0：引爆大數據生態紅利》，大數據文摘翻譯組譯，中國人民大學出版社2018年版，第206頁。】2012年，時任美國總統奧巴馬在《網絡環境下消費者數據隱私保護》工作報告中指出，基于信任，消費者才能放心互聯網企業處理個人數據，消費者可以自主選擇在互聯網上展示他們的活力、參與政治活動、建立和發展網絡友情和從事商業活動，并于《消費者隱私權利法案》將消費者隱私權利原則化，進一步推進執行細則。【參見周輝、孟兆平、敖重淼等：《網絡環境下消費者數據的隱私保護——在全球數字經濟背景下保護隱私和促進創新的政策框架》，載《網絡法律評論》2013年第1期。】20世紀90年代，公眾對個人信息的關注焦點逐年上升，承擔個人信息與隱私保護的行政職責便由聯邦貿易委員會來承擔。后者認為單憑自身能力不足以制定具體的隱私保護規則，且過度僵化的政府規制可能對網絡發展構成妨礙，因而在實踐中鼓勵企業自我規制，包括制定保護個人信息和隱私的政策，行政機關負責審查企業政策和監督執行。2012年，美國聯邦貿易委員會向國會提交了一份報告，要求企業制定的隱私政策必須明確、顯著，并建議在隱私政策之前制作一個簡明的摘要，被稱為“分層式告知”。

萬維網在2002年提出了一種隱私保護推薦標準P3P（Platform of Privacy Preferences Project），有人亦稱其為“隱私偏好平臺項目”，Web站點原則上向訪問者說明該站點收集的信息種類、信息會提供給誰、信息會保存多久以及信息的用途，將用戶的偏好融合進瀏覽器內，用戶只需要將與其偏好一致的平臺提供數據，用戶有權查看站點的隱私報告，然后決定是否同意cookie或是否使用該網站。這種構建思想比較符合大數據的發展需要，用戶對個人信息保護的選擇，變相給企業提供了更精確的個人信息分類范圍和更清晰的技術實施目標，有利于企業對數據的管理和為用戶提供更好的服務。

（二）強調“政府統一監管數據保護”之歐盟

與美國不同，歐盟傾向以統一立法的模式進行規制。2016年，歐洲議會通過了《一般數據保護條例》（General Data Protection Regulation， GDPR，以下簡稱《條例》），其中第9條、第22條表明，對涉及個人人格的數據應當嚴格把握，【《一般數據保護條例》第9條規定：“對于那些顯示種族或民族背景、政治觀念、宗教或哲學信仰或工會成員的個人數據、基因數據，為了特定識別自然人的計量生物學數據，以及和自然人健康、個人性生活或性取向相關的數據，應當禁止處理”；第22條第1段規定：“數據主體應當有權不被僅僅靠自動化處理——包括歸檔——來對其做出對數據主體產生法律影響或類似嚴重影響的決策”。參見丁曉東譯：《歐盟一般數據保護條例》，http：//www.sohu.com/a/232773245_455313，2023年12月8日訪問。】對個人有重大影響的政策不能僅僅依靠自動化處理，數據主體可以拒絕數據處理者的收集，并通過數據的訪問權、更正權、被遺忘權、限制處理權、數據攜帶權等加強數據主體對個人數據的控制。【參見丁曉東：《什么是數據權利？——從歐洲〈一般數據保護條例〉看數據隱私的保護》，載《華東政法大學學報》2018年第4期。】《條例》第12條提出基于數據處理的透明性原則，企業用“簡潔、透明、易懂和易于獲取”的書面形式，向數據主體發出通知，其中要披露數據控制者的身份和聯系方式、數據處理的方式、目的以及所依據的法律；基于特殊性之公司規則，賦予主體的數據權利，其規定可以視為有效服務協議的一部分，包括集團經濟主體與聯系方式、數據轉移之規定效力性問題、一般數據保護原則的適用、責任承擔和特殊情況、如何向數據主體提供公司規則、申訴程序、公司內部之監督方式，等等。【參見李延舜：《隱私政策在企業數據合規實踐中的功能定位》，載《江漢論壇》2020年第10期。】歐盟通過設立專門的數據保護官以實現監管職能的獨立化。《條例》第39條規定“數據保護官的任務”包括實踐中踐行企業和消費者之間的紐帶作用，得以證明可把消費者的隱私保護期望傳遞給不同的外部利益相關者。

盡管歐盟采取統一立法模式，但并不代表政府包攬大權，拒絕提供企業較多的合規裁量權，恰恰相反，政府也在減少使用命令控制型規制手段。愛爾蘭是歐洲互聯網企業最為密集的國家，雖然其規制機關有罰款等執法權力，但在執行過程中仍然十分重視企業自我規制，要求企業提高隱私政策的透明度和效力；合作性規制由行政機關與企業協商啟動，達到了良好的效果。可見，歐盟更強調將政府規制作為后盾，并且審查企業內部規范是否符合法律，是否嚴格執行內部規范，征求信息主體的意見要求企業進行整改，但是在司法實踐當中，歐盟正在由隱私與個人信息的二元論走向二者無法有效區分的“一元論”，與美國法當中的“隱私”逐漸趨同。

五、平臺經濟下數據隱私保護與合規建設的對策建議

（一）協調平臺企業數據利用與個人數據保護之間的關系

《數據安全法》與《個人信息保護法》均將數據保護與促進利用作為并行目標，但現已制定出臺的配套法規更側重數據保護，數據流通利用制度安排尚顯不足。在數字經濟時代，數據能夠創造巨大的商業價值，創造巨大的收益，對數據進行保護要遵循數字經濟的規律，企業需要合理劃分利用個人數據的界限，在協調企業數據利用和個人數據保護的關系中確立一種平衡標準。數據合規應當遵循平臺內經營者治理的自身規律，國家層面的法律制度愈加完備，平臺領域的供給側一端應當避免“上有政策，下有對策”的情形。一般來說，個體化數據的商業價值有限，蘊含于數據之內的財產價值在企業收集并分析大量數據集之時才會真正顯現。企業在收集個人信息后，應當將信息置于脫敏處理之中，并由專門的技術人員進行開發操作相應的系統，可能消耗大量的資金，以防止擴大使用范圍導致數據泄露，而企業對數據的使用范圍會受到用戶授權的范圍的限制，以及公共利益和信息自由的限制。“如若企業在收集整理個人數據之時違反原則性規定，或者將匿名、脫敏處理置若罔聞，或者超過個人數據授權范圍的，直至違背保護個人信息法律規范之規定。”【楊慧玲：《大數據時代企業數據保護的困境與路徑構建》，載《北方經貿》2021年第12期。】基于此，在保障監管利益的前提下，應當有效保護自然法下的個人隱私權利，保護與用戶密切相關個人數據權益，這樣才可以增強用戶對企業的信任。

（二）健全平臺經濟的數據監管機制

在數據的采集、存儲、整合、呈現與使用、分析與應用、歸檔和銷毀的全生命周期，每一個節點都會涉及數據合規的問題，涉及對法律法規、行業準則和企業內部規范的履行和遵守，以及對個人數據的保護的問題。數據隱私包含著安全與發展的協調、安全監管與秩序監管的協調、網絡監管部門與市場監管部門的協調。實踐中，在各平臺企業之間因數據產生的糾紛日益增加。【參見李揚、李曉宇：《大數據時代企業數據邊界的界定與澄清——兼談不同類型數據之間的分野與勾連》，載《福建論壇（人文社會科學版）》2019年第11期。】政府是第三方控制機制的重中之重，因此建立以政府監管為核心的平臺經濟的監管機制顯得尤為重要。平臺經濟層面的監管需要緊緊圍繞“平臺”與“數據”兩個關鍵詞展開。一要建立數據監管體系，數據監管的重點在于數據隱私、個人信息保護等方面，貫穿數據產權、數據要素流通和交易等重要環節，【參見程嘯：《論數據安全保護義務》，載《比較法研究》2023年第2期。】并用實證事實引領數據建設，避免“利益集團”的影響。【參見李志剛：《大數據：大價值、大機遇、大變革》，電子工業出版社2012年版，第53頁。】二要建立平臺監管體系。平臺“兼具市場和企業兩重性特點”，是科斯所言“企業（形式）取代市場（機制）”的縱向一體化，必須通過平臺監管實現對平臺競爭秩序的維護，促使大型及超大型平臺履責，切實保護消費者隱私。

1.監管重點轉為加工數據的算法

監管全流程應當聚焦于加工數據的算法，算法的推衍促進了平臺的演進，平臺利用算法作為競爭工具成為共識。【See Matthew Hindman， The Internet Trap： How the Digital Economy Builds Monopolies and Undermines Democracy， Princeton University Press， 2018， p.43.】目前越來越多國家開始關注算法領域之問題。例如，2019年美國國會議員提交了《算法問責法案》，擬在100萬人以上的平臺公司的可控制范圍內對用戶進行算法審查。我國國家互聯網信息辦公室室務會議審議通過的《網絡信息內容生態治理規定》【《網絡信息內容生態治理規定》第12條規定：“網絡信息內容服務平臺采用個性化算法推薦技術推送信息的，應當設置符合本規定第10條、第11條規定要求的推薦模型，建立健全人工干預和用戶自主選擇機制。”】中要求平臺“優化個性化算法推薦技術”，同時應當確定一項原則，對除涉及安全、健康等較大公共風險領域以外的算法問題，可以通過審查的方式予以排除，其他領域原則上盡量不加以干涉，即便是必須要進行審查，也要注重效率，目的是在保護隱私的基礎上，促進平臺企業利用數據推動數字經濟發展。【參見王偉：《數字經濟治理體系的運行邏輯——以合作治理為視角的考察》，載《電子政務》2023年第10期。】

2.完善當前的法律監管體制

“國家層面尚未出臺專門的數據合規的立法文件，會導致當前企業的數據合規實踐無法得到系統性的指引，也會導致各地企業數據合規治理標準和水平不一。”【胡玲、馬忠法：《論我國企業數據合規體系的構建及其法律障礙》，載《科技與法律（中英文）》2023年第2期。】數據合規實踐是在不斷變化的，出臺專門的法律具有很高的難度，出臺行政法規或部門規章來對目前現有法律的模糊之處以及沖突之處予以明確是目前的可行之道，將數據合規業務、技術標準以及監管要求納入其中，加強現有法律的可操作性，還可協調各地出臺的數據合規條例。

我國并未設立專門的執法機構來對數據隱私保護進行監管，網信辦、工信部、市場監督管理局、公安機關等多部門都具有行政執法權。在2023年的國家機構改革中，我國組建了國家數據局來統籌推進數據制度建設與保護利用，因此可以由該局對數據合規的各項監管工作進行統領，明確各執法機構的工作目標和任務，不斷調整執法邊界，合理制定數據合規監管的總體方案。應當明確的是，數據合規監管不意味著一味從嚴監管，應當遵循必要性、均衡性原則，設計多層次的制度構建，包括事前準入制度、行內質量標準體系，事中的監管抽查，事后的刑事、行政責任以及侵權責任，合理評估監管措施的必要性，尋找合規監管和技術創新之間的平衡，處理好二者之間的矛盾，逐步提升合規監管的精度。【參見魏婷婷：《完善數據合規監管需實現“四個轉變”》，載《中國社會科學報》2023年5月31日，第5版。】

3.引入“信用”機制進行監管

作為平臺經濟的原材料，數據通過平臺算法的處理被轉化為自動化決策結果，并視為“數字產品”，在這一過程中，平臺有責任對“數字產品”可能產生的不利后果進行承擔。【參見張凌寒：《數據生產論下的平臺數據安全保障義務》，載《法學論壇》2021年第2期。】當前，我國正在構建信用監管為基礎的新型監管模式，這是實現有效治理的重要工具，平臺領域也依舊適用。2023年深圳數據交易所牽頭制定《數據交易動態合規指引》，初步引入“信用”機制，推動數據治理監管者更加理性，降低準入門檻與制度性成本，實行“事中”監測預警，“事后”信用激勵與獎懲并存的機制，打造數據交易的良好信用環境，使得數據資源得到更加科學高效配置。【參見王青蘭、王喆：《數據交易動態合規：理論框架、范式創新與實踐探索》，載《改革》2023年第8期。】在進行信用監管之前，需要將平臺企業劃分高風險、中風險、低風險等不同的風險等級，對于低風險平臺企業可以采取與其相匹配強度低的手段，而針對高風險平臺企業需要嚴格監管，加大資源傾斜程度，將違法失信企業列入違法失信名單，并要求該企業盡快整改，并將有關信息對外公開。在保障消費者的知情權的基礎上，建立強制信息披露制度，一方面向消費者披露可能對其選擇有影響的關鍵信息，另一方面向政府監管部門披露平臺企業通過算法利用數據的程序全流程，倒逼企業提升服務質量，緩和政府與企業之間的緊張局面，順應公權力與私權利的雙向秩序構建面向，真正做到不干涉守信企業，加強警示違法企業。

（三）制定內部機制聯結互動的動態合規方案

平臺在掌握大量的數據之時，選擇著手建立和提升數據合規能力體系是應有之義。【參見張玥萌、陸昊飏：《數字化轉型背景下企業數據合規研究》，載《科技創業月刊》2022年第10期。】基于法律的局限性和不完備性，在立法、司法和執法的過程中，不同的主體之間的利益沖突導致理解上的分歧，既需要監管者的法律法規的規范，也需要平臺內經營者在經營動態中完善規范，由此“動態合規”應運而生。目前有學者提出構建動態合規治理體系，“在不降低合規基本要求的前提下，通過提高合規評估機制的靈活度，實現場內外全流程數據交易動態治理”【王青蘭、王喆：《數據交易動態合規：理論框架、范式創新與實踐探索》，載《改革》2023年第8期。】，以及時準確地識別、防范、應對數據合規風險，并適應未來立法及行政監管要求。

1.將動態合規融入公司治理

“不計代價獲取盡可能高的利潤”的經營理念應當被扭轉，轉向樹立“依法依規經營”的理念，強化相關業務的合規審查。【參見陳瑞華：《企業有效合規整改的基本思路》，載《政法論壇》2022年第1期。】隱私保護領域動態合規的戰略地應當是依托數據交易所，交易所應對數據的隱私保護動態合規進行多方動態監管。我國應當推行統一的數據交易規則，對數據要素標準化、數據要素定價、數據要素交易規則等內容達成國內行業規范，確保依法開展數據交易，保障個人信息的安全性。【參見姚若楠：《數據流通交易法律治理的現實困局、涉外體系與破解進路》，載《海峽法學》2023年第3期。】在深圳市發展和改革委員會、深圳市司法局等的指導下，深圳數據交易所聯合深圳市福田區司法局、深圳市北鵬前沿科技法律研究院、深圳市標準技術研究院，立足深圳數據要素市場化特點，牽頭制定地方標準《數據交易標的合規評估規范》，在全國首創“3×4”數據交易合規評估體系，從3個環節（主體、標的、流通）與4個維度（合法、安全、誠信、權益保障）對數據交易合規評估進行實操指導，規定了各類組織交易數據標的應遵循的合規要求，在全國范圍內起到了示范效應。【深圳市人民政府國有資產監督管理委員會：《深圳創新打造全國性數據交易平臺》，http：//gzw.sz.gov.cn/zwgk/qt/pcgz/content/post_10550087.html，2023年11月22日訪問。】深圳數據交易所運用動態合規的理論基礎，改變因平臺合規評估所帶來的平臺內經營者“不入場”數據交易的強化，提高數據合規效率，強化“入場”數據交易行為，并通過與監管部門協作進行動態化監管，讓平臺內經營者明晰數據保護隱私不合規的后果遠比合規本身成本高得多。

數據隱私保護是數字平臺企業治理的重要面向。隱私政策應當與平臺企業的核心價值體系相一致，上至企業的高級管理人員，下至企業的直接負責員工，都應當高度關注數據隱私保護問題。20世紀90年代，經濟合作與發展組織提出的“從設計著手隱私”新理念，意味著“只有從一開始就按照隱私保護的需求設計和開發數據處理產品、程序和技術，才能使數據保護更加容易實施”【［英］維克托·邁爾－舍恩伯格、肯尼思·庫克耶：《大數據時代：生活、工作與思維的大變革》，盛楊燕、周濤譯，浙江人民出版社2013年版，第42頁。】。實踐中，“從企業內部由股東大會、董事會、高級管理層、監事會等組成的公司治理結構中引入合規部門的做法并不統一，共有四種模式，分別是合規管理委員會、首席合規官、合規部和企業所有的部門，以及分公司、子公司等分支機構內都要設置合規部門”【陳瑞華：《企業合規的基本問題》，載《中國法律評論》2020年第1期。】。企業內部有關民商事的法律問題由法務部門負責，有關合規性的問題由數據合規部門審查，出具審查報告，對未經審查通過的業務，實行責任切割機制。平臺內經營者的合規部門中的數據保護官應當提前參與企業的戰略決策，體現對用戶隱私的重視，以獲得用戶信任，占據更多的市場份額。伴隨動態合規在現實個人信息和隱私保護中的運用，動態合規的實效逐漸擴大，吸引平臺內經營者主動開展合規評估，真正將動態合規融入公司治理當中。

2.提高動態數據合規風險識別能力

在動態數據合規逐漸落實的過程中，數據隱私保護理念應當成為社會共識。這一目標大致可分三個階段來實現。第一階段，應當在數據交易場所運營機構、監管部門等法律人的行業內部建立共識。在“新浪訴脈脈”“大眾點評訴百度”“HiQ訴LinkedIn”“頭騰案”“淘寶生意參謀”等案件中，平臺均扮演數據控制者的角色，在保障數據安全時效性的前提下，利用這一身份保護數據免受他人非法入侵。【參見安柯穎：《個人數據安全的法律保護模式——從數據確權的視角切入》，載《法學論壇》2021年第2期。】平臺應在數據保護官等第三方專業人員和專業機構的幫助下，對企業內部涉數據業務資質、制度和流程進行調查，對數據進行分級分類，即對數據進行分類管理，對不同的數據制定相應的合規流程，同時對合作的第三方的數據合規管理情況進行盡職調查。從數據安全、個人信息安全方面，結合法律法規，進行合規分析，全方位識別合規風險和合規差距，并結合公司現狀、違法后果、執法現狀等因素，進行整改。此外，還應定期開展數據合規審計，開展數據合規審計可以全面了解自身的合規情況，及時發現并解決問題，在發生合規風險時亦可作為證明材料證明自身的合規程度。第二階段應當加強數據交易主體的日常管理，以日常交易的特定活動形成標的，進而引領實現垂直行業領域的合規共識，平臺內經營者應當嚴格履行對個人數據負有“合理使用原則”的保護義務。第三階段則要提高數據來源主體自身的隱私安全保護意識，營造平臺領域內數據交易法治化、營商環境健康化的良好氛圍。“為確保新規范的有效性，具體規則設計還需與時偕行，維持法律瑕疵補正和技術風險趨勢間的合比例匹配”【唐林垚：《共同富裕視野下算法決策的范式升維》，載《國家檢察官學院學報》2022年第6期。】。

（責任編輯：蘇 婷）