后設監管理論下平臺組織內信息信義義務的適用

文 / 魯斯齊

一、引言

個人信息被濫用的現象在網絡平臺關系中最為突出。近年來，圍繞著大型網絡平臺爆發了一系列事件：Facebook超5億用戶個人數據遭到泄露、亞馬遜因使用非公開獨立賣家數據被歐盟調查、Twitter承認允許廣告商訪問其用戶的個人數據以提高營銷活動的針對性、微信讀書軟件非法收集使用微信好友列表信息、抖音APP非法獲取通訊錄等個人信息等，在個人信息保護與數據共享效率多目標交疊綰合的復雜情境下，個人信息保護的路向問題頗需思考。2021年9月14日，中共中央辦公廳、國務院辦公廳印發了《關于加強網絡文明建設的意見》，其中明確提出要強化網絡平臺責任，落實行業自律，引導網絡平臺完善內部誠信規范與機制。《法治中國建設規劃（2020-2025年）》中也將網絡平臺作為對法治中國建設的重要組成部分。這都說明網絡平臺已經深深內嵌入當代經濟生活，網絡平臺中的個人信息保護問題首當其沖、刻不容緩。

數據信托被《麻省理工科技評論》譽為2021年“全球十大突破性技術”之一，其將信托法的理念和制度引入數據治理中，試圖打破資本監視主義帶來的不平衡權力結構。2016年耶魯大學法學院教授杰克·M·巴爾金在 《信息受托人與第一修正案》中提出了信息受托人概念，主張網絡企業應當向網絡用戶承擔信息信義義務。同年6月，劍橋大學機器學習研究專家尼爾·勞倫斯教授發表的《數據信托可以減輕我們對隱私的擔憂》中提出數據信托框架，主張由信托機構作為獨立第三方信托人管理監督數據1.本文不區分使用個人信息與數據兩者之概念。。此后，國內學界也陸續對該理論進行了討論，但是沒有引起足夠的重視，并以沒有英美法的制度基礎為由，對該項制度進行了天然的排斥。目前學界對于信息信義義務模式2.筆者將英國數據信托模式和美國信息受托人模式統稱為數據信托模式。兩種模式的區別在于受托人不同，由此帶來內外部利益沖突和應用場景也不同。但兩者都是擱置了數據獨立性問題，利用信托架構或類信托架構，讓數據公司或者第三方機構向數據主體承擔高于合同責任、侵權責任、消費者責任的信托責任。本文所指信息信義義務模式是以網絡企業為受托人，向網絡用戶承擔信義義務的模式。的研究主要集中在兩方面：第一，公共數據流通角度。丁鳳玲（2021）通過對個人治理、國家治理、集體治理三種模式進行對比，得出數據信托這種集體治理模式是解決用戶和企業之間不對等關系的最佳方案。3.丁鳳玲：《個人數據治理模式的選擇：個人、國家還是集體》，載《華中科技大學學報》2021年第1期，第64-76頁。冉從敬、唐心宇、何夢婷（2021）以管理學的視角，對構建數據信托產品及數據信托整體運行框架進行了系統性分析。4.冉從敬、唐心宇、何夢婷：《數據信托：個人數據交易與管理新機制》，載《圖書館論壇》2022年第3期，第56-68頁。翟志勇（2021）對英國數據信托模式和美國信息信義義務模式進行了介紹，并提倡應當在數據流通交易和公共數據管理方面借鑒英國數據信托模式。5.翟志勇：《論數據信托：一種數據治理的新方案》，載《東方法學》2021年第4期，第61-76頁。席月民（2021）立足于安全視角，系統地分析了數據交易流通“入托”和“出托”過程中信托的法律架構和具體運轉模式。6.席月民：《數據安全：數據信托目的及其實現機制》，載《法學雜志》2021年第9期，第29-41頁。第二，個人信息保護角度。吳泓（2018）對個人信息主體的困境以及與個人信息控制者之間的不對等關系進行了分析，并提出應當在“信賴”理念下賦予信息控制者信義義務。7.吳泓：《信賴理念下的個人信息使用與保護》，載《華東政法大學學報》2018年第1期，第22-36頁。張麗英、史沐慧（2019）最早將目光聚焦于平臺組織，對電子商務平臺與用戶關于隱私數據形成的法律關系性質屬于合同還是信托進行了探討，并認為我國可以在合同說的基礎上建立以信托說忠實義務為核心的原則性的隱私數據處理辦法。8.張麗英、史沐慧：《電商平臺對用戶隱私數據承擔的法律責任界定——以合同說、信托說為視角》，載《國際經濟法學刊》2019年第4期，第24-37頁。吳偉光（2021）提出平臺組織是新時代的新型基本社會組織，基于平臺組織的封閉性和變化性，個人信息的特性導致不適合作為私權保護對象以及政府監管能力和監管成本的約束條件，應當對平臺組織內的網絡企業課以信息信義義務。9.吳偉光：《平臺組織內網絡企業對個人信息保護的信義義務》，載《中國法學》2021年第6期，第45-60頁。馮果、薛亦颯（2020）提出在公法干預之前應當首先窮盡私法救濟，信息信義義務模式能夠重新平衡信息控制人與信息主體之間的利益與權力關系，解決傳統保護路徑之維權難問題，并對信息信義義務的法理基礎展開充分論證。10.馮果、薛亦颯：《從“權利規范模式”走向“行為控制模式”的數據信托——數據主體權利保護機制構建的另一種思路》，載《法學評論》2020年第3期，第70-83頁。顧敏康、白銀（2022）以彌補“知情-同意”框架的不足為出發點，對信息信義的引入路徑進行了具體介紹。11.顧敏康、白銀：《“大信用”背景下的信息隱私保護——以信義義務的引入為視角》，載《中南大學學報(社會科學版)》2022年第1期，第41-57頁。解正山（2020）以自動駕駛場景為切入點，提倡從數據主體的隱私自治擴展至數據控制者的自我約束，以信息信義義務增強后者問責性。12.解正山：《數據驅動時代的數據隱私保護——從個人控制到數據控制者信義義務》載《法商研究》2020年第2期，第71-84頁。此外，對引入信息信義義務模式持反對意見的有：邢會強（2021）提出信息信義義務理論的具體適用進行了詳細分析，認為在主體、客體、內容等方面都存在內在缺陷，沒有必要引入法定信息信義義務，并提倡公法救濟。13.邢會強：《數據控制者的信義義務理論質疑》，載《法制與社會發展》2021年第4期，第143-158頁。

綜而觀之，盡管學術界已經出現不少關于信息受托人制度的討論，但研究多集中于比較法上的制度介紹以及制度引進的學理論證，鮮于從監管視角探究將信息信義義務模式適用于個人信息的理論依據，缺乏對其本土化適用的可行性分析。本文選取個人信息侵權頻發的平臺組織作為研究對象，在深入分析既有規范下平臺組織關系中個人信息保護的困境下，以后設監管理論為理論依據探究信息信義義務模式與個人信息保護的適配性，并從主體、客體、內容、責任承擔四個方面對信息信義義務模式的本土化適用進行了可行性探析。

二、既有規范下平臺組織關系中個人信息保護的困境

（一）賦權信息主體之局限性

互聯網時代，人們的日常生活已經由平臺組織深深滲透。網絡社會中平臺組織已經成為繼家庭、政府和企業之后的第四種基本社會組織。14.吳偉光：《平臺組織內網絡企業對個人信息保護的信義義務》，載《中國法學》2021年第6期，第45-60頁。個人信息在平臺組織興起的過程中，實現了輔助功能、信用評估功能、預測功能與個性化服務等三次功能上的轉變。第一階段15.這三種階段也可能在市場中同時存在，不同企業業務模式的區別決定了其所處于不同階段。，信息互聯互通時代。個人信息主要起輔助功能，實現平臺組織的中介功能，網絡企業與網絡用戶之間的關系屬于平等互惠關系。第一階段平臺組織通過互聯網這一新興方式，實現消費者和生產者、銷售者的連接、交換。在這一階段，網絡企業主要收集網絡用戶的身份證信息、卡號、密碼、電子賬戶、地理位置信息、訂單信息等基礎注冊、交易信息等平臺內交易所必需的信息。此時的平臺還是買方市場，平臺需要努力吸引網絡用戶來滿足自身運營需求。第二階段，大數據時代。個人信息主要起信用評估功能，網絡企業逐漸掌握了對網絡用戶的評估權和制裁權，權力關系漸漸向網絡企業傾斜。網絡企業意識到信息不僅是維持內在架構的必要條件，信息池的擴張還能引發新的業務增長點，也能在與其他企業進行競爭中保持優勢地位。16.胡凌：《互聯網“非法興起”2.0——以數據財產權為例》，載《地方立法研究》2021年第3期，第21-36頁。于是，網絡企業通過聚集第一階段收集的個人信息，依托“數據挖掘”、“云計算”等技術，形成信息網絡，能夠對交易雙方的信用狀況進行評估，并在此基礎上發展出實現企業和個人的借貸擔保等金融功能。第三階段，人工智能與算法時代。個人信息主要起預測功能與個性化服務功能，網絡用戶成為網絡企業的生產資料，雙方權力關系進一步失衡。網絡用戶在平臺中留下的一切足跡都成為網絡企業生產資料的來源。在信息繭房、算法歧視、大數據殺熟、自動化決策等技術壓迫下，網絡用戶面臨著內外部的信息決策困境、控制權失衡以及責任配置的錯位。17.吳泓：《信賴理念下的個人信息使用與保護》，載《華東政法大學學報》2018年第1期，第22-36頁。在這一階段 ，網絡用戶擁有生產者和消費者的雙重身份。互聯網對現實生活的滲透，讓網絡用戶完全喪失了議價權，網絡用戶選擇“不同意”要以喪失現實世界日常生活便利為代價。在這場“不同意便退出”的博弈里，網絡企業完成了對網絡用戶的剝削。

可見，在此過程中，網絡企業的權力不斷膨脹，與網絡用戶之間的權力關系不斷失衡。法律在這個過程中一邊面臨著對新型生產關系的確認18.胡凌：《互聯網“非法興起”2.0——以數據財產權為例》，載《地方立法研究》2021年第3期，第21-36頁。，一邊面臨著對新興權利保護的壓力。在第一、二階段，對侵犯個人信息的救濟主要通過侵權法實現，即僅對涉及侵犯隱私權和具體人格權，如姓名權、名譽權等具有切實損害結果和明確因果關系的行為進行規制。由于互聯網平臺上的侵權過程復雜而隱蔽、所涉主體繁多，傳統侵權法往往難以承擔起隱私保護的重任。19.丁曉東：《個人信息私法保護的困境與出路》，載《法學研究》2018年6期，第194-206頁。在平臺組織從第二階段邁向第三階段時，保護個人信息主要通過“知情-同意”框架來實現，延續了侵權法的賦權思路，賦予個人信息主體財產權或自決權等積極信息權利，為個人提供選擇或選擇拒絕企業收集個人信息的機會。但形式平等下的意思自治卻隱藏著實質不平等。就網絡用戶而言，理性的缺乏以及對風險的認識不足，可能導致其沒有足夠的時間20.Alessandro Acquisti&Jens Grossklags.,What Can Behavioral Economics Teach Us About Privacy, Digital Privacy:Theory,Technologies and Practices,Auerbach Publications, 2007,p.363.、精力21.Alessandro Acquisti&Jens Grossklags.,What Can Behavioral Economics Teach Us About Privacy, Digital Privacy:Theory,Technologies and Practices,Auerbach Publications, 2007,p.363.、興趣22.https://www.dslreports.com/shownews/Opting-Out-of-ATTs-Gigapower-Snooping-is-Comically-Expensive-.1 33132, 最后訪問日期：2022年3月24日。、對專業知識的理解能力23.Cranor Lorrie, Necessary But Not Sufficient: Standardized Mechanisms for Privacy Notice and Choice, 10 Journal on Telecommunications and High Technology Law Review 273, 273-308 (2012).、對風險的識別能力24.Richard Warner & Robert Sloan, Beyond Notice and Choice: Privacy, Norms, and Consent, 14 Journal on Telecommunications and High Technology Law Review 370, 7-32 (2014).，因而無法完全理解“知情-同意”協議內容。就網絡企業而言，合同框架還可能會增加其在框架內濫用個人信息的可能。單方面賦權給缺乏理性能力和自我保護能力不足的網絡用戶，極容易讓合同意思自治變成企業的單方私人立法。25.Mark A.Lemley, Terms of Use.91 Minnesota Law Review 459, 459-483 (2006).在第三階段，個人信息保護延續了第一階段的賦權思路和第二階段的信息披露思路，主要通過“告知-同意”框架的升級來實現。美國就以消費者權益保護理論作為支撐進行信息披露加強，試圖通過改變網絡用戶與網絡企業之間的信息傳遞方式和信息內容，來加強網絡用戶信息識別能力和理解能力，比如在協議中提倡平白樸素的語言，清晰明了的協議內容等等。但實證研究表明信息披露的加強對于信息保護的效果微乎其微。26.Omri Ben-Shahar&Adam Chilton, Simplification of Privacy Disclosures: An Experimental Test, University of Chicago Coase-Sandor Institute for Law & Economics Research Paper No.737, 541-567(2016).

此外，“國家保護義務論”27.王錫鋅：《個人信息國家保護義務及展開》，載《中國法學》2021年第1期，第145-166頁。下的憲法規制希望通過引入國家權力來矯正私主體之間的不對等關系。然而在個人信息遭受侵犯的具體場景中，憲法基本權利的確認只能作為個人工具性權利的法源，在私法消極保護力有不逮時進行兜底保護，對個人信息權益的積極利用期待無法做出回應。28.韓強、吳濤：《個人信息權的內涵、邏輯與體系建構》，載《北京航空航天大學學報(社會科學版)》2022年第2期，第34-44頁。在筆者看來，個人信息權益基本權利化的主要功能是為建構個人信息保護法律體系厘清源頭，構建憲法基礎，便于協調各層級各類型的法律規范，并填補法律空白，但對于個人信息的具體保護沒有太多助益。

通過分析可以得出上述法律保護都有以下共同特點：第一，都高估了網絡用戶的理性能力。第二，都是通過賦權網絡用戶一端試圖重新平衡平臺組織內部關系。第三，網絡用戶與網絡企業之間的實質平等并未實現。彌補網絡用戶在個人信息交易市場中的弱勢地位無法實現雙方關系的平衡，于是法律規制出現向約束信息處理者的轉向。

（二）向約束信息處理者的轉向

法律對信息處理者的約束主要表現在兩方面，一是通過反壟斷法中的消費者福利對網絡企業進行約束；二是“社會控制論”下通過公法由政府來監管網絡企業，從個人信息權屬保護轉向對行為人的行為規制上。

1.反壟斷法保護之局限性

反壟斷法對個人信息保護有附屬保護和獨立保護兩種模式。29.焦海濤：《個人信息的反壟斷法保護：從附屬保護到獨立保護》，載《法學》2021年第4期，第108-124頁。附屬保護問題在于，其通過“個人信息—質量—價格—消費者福利”的迂回路線而輾轉實現，過程過于曲折，和反壟斷法的關聯度較弱。獨立保護的問題在于將個人信息損害直接等同于信息壟斷行為，將個人信息保護直接等同于消費者福利會面臨理論缺陷、沖擊現有法律規則、法律保護范圍擴張帶來的立法重疊、部門職權不合理擴張帶來的執法沖突等問題。30.曾雄：《在數字時代以反壟斷制度保護個人信息的路徑與模式選擇》，載《國際經濟評論》2021年10月刊，第21頁。不論是附屬保護還是獨立保護，反壟斷局都會面臨繁重的執法壓力。在法院訴訟中也會面臨消費者主動起訴的舉證難、損益分析難等問題。31.張江莉、張鐳：《平臺經濟領域的消費者保護——基于反壟斷法理論和實踐的分析》，《電子政務》2021年第5期，第21-32頁。反壟斷法主要采用行為規制中的禁止模式，也不是嚴格意義上的權利保護法，看似保護私人利益，實則是在保護具有公共利益屬性的市場競爭32.焦海濤：《個人信息的反壟斷法保護：從附屬保護到獨立保護》，載《法學》2021年第4期，第108-124頁。，難以激發企業內在積極“向善”的動力。

2.“命令-控制”33.“命令-控制(Command and Control)”規制一詞主要應用在環境法領域中，主要指通過強制命令，通過設定技術或標準強制企業達到目標，否則予以懲罰的方式。這一規制方法政府監管發揮主要作用，社會力量和市場作用發揮空間有限，無法將外部社會成本內化到企業成本中。Omri Ben-Shahar, A.Michael Froomkin, Dennis D.Hirsch, Ian Samuel等學者對數據污染與環境污染進行了類比，并將政府依托權力對侵犯個人信息的行為進行直接監管的方式稱為命令-控制”規制。該種方法在減少數據污染的結果方面是有效的，但往往要付出巨大的代價。因為此種規制方法不僅減少了負外部性，也減少了正外部性，從而扼殺了創新。框架之局限性

“社會控制論”34.高富平：《個人信息保護: 從個人控制到社會控制》，載《法學研究》2018年第3期，第84-101頁。下的公法規制建立在個人信息為公共物品的基礎上，信息流通效率35.吳偉光：《大數據技術下個人數據信息私權保護論批判》，載 《政治與法律》2016 年第 7 期，第116-132頁。和公共安全36.梅夏英：《在分享和控制之間——數據保護的私法局限和公共秩序構建》，載《中外法學》2019 年第 4 期，第845-870頁。是社會本位論追求的主要價值。從立法目的來看，“有關立法目的應當是為了公共利益而促進個人信息的共享和使用，而不是直接為了保護個人私權”37.吳偉光：《大數據技術下個人數據信息私權保護論批判》，載 《政治與法律》2016年第7期，第116-132頁。。社會本位論以公法為主要保護手段，目的在于保護抽象的社會公共利益，個人只能反射性地獲得保護。然而，出于公共利益的保護主要是為個人信息的收集、使用、轉讓等正當流通過程增添了免責事由，通過個人信息的公共產品化來削弱私主體獨占大數據資源的壟斷現象。但這一方式對個人信息的私權保護并沒有得到加強或改善，網絡用戶和網絡企業之間的權力關系依舊失衡。從規制方法來看，主要方法有三種：數量限制、頒發許可證、技術要求。數量限制主要通過限制公司可以收集哪些信息、用于什么目的，或者如何存儲、共享或傳輸信息來識別風險并減少信息庫的有害影響。這種方式面臨的最大挑戰是如何確定提前確定哪些信息的使用對社會有害、應該加以限制。許可證在企業證明其使用的正當性并對受保護群體無害時才會頒發。但許可證監管會帶來過重的行政負擔、過度保護的傾向、落入形式主義任務陷阱等問題。技術要求法規可能會要求公司采用具有所需屬性的信息處理和安全技術，但容易造成“有標準、無監管”的執法困局，甚至有可能形成規制俘獲。因此，社會控制論”下的公法規制主要會面臨政府監管負擔增加、監管能力力有不逮，監管標準難以制定、行政監管難以實現個案正義等過問題。

總結以上公法監管手段，可以發現：第一，容易導致平臺組織和監管當局之間形成對抗性關系，限制企業創新。第二，在監管過程中容易面臨著監管信息來源有限和監管能力不足的問題。法律只是規制社會現象的工具，個人與社會的安定繁榮才法律最終想要實現的目標。平臺組織關系中個人信息處理、公共場所個人信息處理、自動化決策、個人信息的跨境提供等不同場景中，應當優先保護的法益、更適合的處理規則都不一樣。各類法律規范各有千秋，我們應當根據具體場景具體社會關系對癥下藥。采用后設監管有利于對抗性關系的化解，落實信義義務有利于實現原則性靈活性的標準。個人信息中的法益可以視為網絡用戶對網絡企業的信義利益，空泛的個人信息保護義務也可由信義義務進行填充。38.吳偉光：《平臺組織內網絡企業對個人信息保護的信義義務》，載《中國法學》2021年第6期，第45-60頁。下文將對后設監管理論下適用信息信義義務之合理性和可行性進行證成。

三、后設監管理論下適用信息信義義務之合理性

20世紀六七十年代，在西方國家對環境、健康、勞工、消費者權益等領域的擴張性政府監管與新自由主義運動之間的張力下，誕生了混合政府監管和非政府干預的回應性監管理論（responsive regulation）。該理論主要涉及兩個方面，一是縱向上監管策略的層次區分，也就是強制手段和監管策略的金字塔模型；二是橫向上不同監管主體間監管權的分配，包括三方主義、自我監管（self-regulation）、以及部分性行業干預。后設監管理論（meta-regulation）是回應性監管的衍生類型，也有學者稱為強化型自我監管（strength self-regulation）。39.自我監管和后設監管的區別在于所要實現的監管目標和監管者的一致性。自我監管強調其監管目標是來源于自我約束。后設監管強調其監管目標來源于外部監管機構的塑造。Cary Coglianese&Evan Mendelson, Meta-Regulation and Self-Regulation, University of Pennsylvania law school, Public Law Research Paper No.12-11, 1-36(2010).后設監管在本質上是外部監管者有意地誘導監管對象，使其發展其回應公共問題的內部自我監管機制的監管方式。40.Cary Coglianese&Evan Mendelson, Meta-Regulation and Self-Regulation, University of Pennsylvania law school, Public Law Research Paper No.12-11, 1-36(2010).該理論提倡政府把一定的監管權下放給被監管的企業，企業可根據自己的情況來制定規則，再對自身進行監督審查，政府保留對其規則制定的審批權和對企業內部監督執行的監督和裁判權。41.I.Ayers&J.Braithwaite, Responsive Regulation: Transcending the Deregulation Debate, Oxford University Press, 1992,p.123-138.面對日益復雜的社會生活環境，后設監管理論不再僅僅把被監管者抽象成逐利之上的“經濟人”，而是通過“軟法”調動被監管者的自身積極性，培養他們的責任感和使命感。從監管理論的角度看，現有個人信息保護框架保護不足的原因在于監管雙方之間信息不對稱、監管資源局限、對抗性關系形成，從而導致外部監管效果不明顯。而后設監管理論關注權力的運行過程、監管過程中監管者與被監管者之間的互動關系、公益和私益的非二元對立，以及多元監管主體之間的協同合作，能夠保障信息通暢、最大化利用企業自身監管資源、有效化解雙方對抗性關系。正如學者卡里·科格利安、埃文·門德爾森認為，當政府無法及時準確地獲得有關監管問題的信息和解決方案時，后設監管可能是最合適的監管策略，尤其是當面臨傳統監管形式不曾面臨復雜挑戰情形時。42.Cary Coglianese&Evan Mendelson, Meta-Regulation and Self-Regulation, University of Pennsylvania law school, Public Law Research Paper No.12-11, 1-36(2010).

（一）平臺組織的特征決定了我們要適用后設監管理論

第一，監管主體與被監管對象的信息不對稱決定了平臺組織要適用后設監管理論。監管過程中的信息包括監管規范信息和監管事實信息。43.監管規范信息，指的是基于市場監管的一系列法律、法規、規章、標準等規范性文件以 及監管主體適用這些規范性文件而衍生出來的各類監管信息；監管事實信息，指的是監管對象在市場經營活動過程中所形成的各類信息。參見劉恒、李冠釗，《市場監管信息不對稱的法律規制》，載《行政法學研究》2017年01期，第22頁。一方面，現階段法律法規的重疊交叉、層級不清，法院判例的態度不一等現象，導致被監管對象在收集監管規范信息時存在信息不對稱；另一方面，監管主體內在知識能力與外在采集能力的有限性以及網絡企業的封閉性，導致監管主體在收集監管事實信息時存在信息不對稱。后者是導致監管雙方信息不對稱的主要原因。數字經濟時代，破壞式創新不斷涌現，由于監管主體知識的有限性，監管者對監管科技的探索也需要一個學習過程，具有一定的滯后性，而市場創新總是領先一步。對創新的監管呈現出“一管就死，一放就亂”的現象，要么放松監管，要么進行一刀切治理。與此同時，平臺組織呈現出封閉性的特點，內部組織性越強、安全性要求越高的平臺組織對網絡用戶的個人信息要求越多，平臺組織之間的排他性越強，外部監管獲取內部信息的成本越高。而監管主體的能力局限性與網絡平臺的封閉性進一步加劇了網絡企業的隱蔽行動和隱蔽信息。隱蔽行動是指網絡企業影響網絡用戶利益的行動難以為監管方所覺察或預測。知情同意的彈窗設計、用戶畫像、自動化決策、定向廣告等應用程序的運營框架都由網絡企業控制和設計，監管者需要付出高昂的技術成本、密集的關注成本等一系列監管成本才能準確判斷某項程序的更改是否侵害到了公民的個人信息。隱蔽信息是指判斷網絡企業行動合理與否所需的信息難以為監管方所獲得。一方面，監管主體隨著專業化分工越來越細致，信息時代的專業知識門檻不斷抬高，而相較于傳統的“命令——控制”式監管方式，后設監管能更加充分地利用監管對象對自身經營生產的知識，構建更科學的內部監管體系，更靈活地應對未知的數字經濟挑戰。

第二，平臺組織更迭換代快、平臺組織之間差異化大決定了平臺組織要適用后設監管理論。就平臺組織自身而言，其形態和功能處在不斷變化之中，復雜性和綜合性日益提高，平臺組織所需收集的個人信息的內容、種類和用途也在不斷變化。就平臺組織之間而言，各個平臺組織的目的、功能、形態都千差萬別，不同行業的技術監管需求、信息監管需求等都呈現出極大差異。如果要針對平臺組織制定統一的監管標準，在立法技術上難以實現，在立法效果上差強人意，在立法成本上如牛負重。在法治資源的約束下，監管主體對網絡企業實行間接監管，鼓勵其設立內部監管體制。這樣更能實現針對不同形態、不同階段的監管對象的個性化監管，有效填補監管漏洞，實現全面監管、動態監管，還能更好地平衡生產制度的效率需求與監管制度的安全需求。

總而言之，平臺組織的突出特征決定了我們要適用后設監管理論。后設監管的有效實施能夠幫助企業從封閉的組織形態轉變為開放的組織形態，有效地回應外界的公共價值和訴求，積極地與政府和公眾等利益相關方進行對話，更好地踐行企業社會責任。44.楊炳霖：《后設監管的中國探索:以落實生產經營單位安全生產主體責任為例》，載《華中師范大學學報（人文社會科學版）》2019年第5期，第71-84頁。

（二）信息信義義務模式能夠有效落實后設監管的動力機制

后設監管的建立和運行主要依靠三大動力機制：被監管主體能擁有監管自由、能獲得成本—收益的平衡或改進、以及能獲得社會認可的激勵。45.劉鵬、王力：《西方后設監管理論及其對中國監管改革的啟示》，載《新視野》2016年第6期，第83-89頁。后設監管之成效如何取決于其他非監管激勵措施和施加在企業身上的外部壓力。46.Cary Coglianese&Evan Mendelson, Meta-Regulation and Self-Regulation, University of Pennsylvania law school, Public Law Research Paper No.12-11, 1-36(2010).而信息信義義務可以實現以上目標。具體如下：

第一，信息信義義務的原則性和靈活性能夠滿足網絡企業的自治需求。無論網絡企業的形態、功能、目的如何演進，所需要的個人信息內容、種類、用戶如何變化，信息信義義務都既可以通過兜底性的規定來包容涵蓋未知的內容，體現其原則性；又可以根據個人信息保護的場景化需求，發展出具體的規則和義務，體現其靈活性。在信息信義義務的活動范圍內，網絡企業都可以按照自身意愿和利益需求建立內部的監管體系。換言之，網絡企業獲得了一定范圍內監管自由的正當性。這種正當監管權的獲取是網絡企業接受監管的動力之一。同時，信息信義義務模式的總體框架和價值取向，一方面能夠防止網絡企業的在制定自我監管體系時的偏私傾向，避免網絡企業利用監管者賦予其的自由裁量權將自己的偏好轉化為正當治理行為；另一方面，能夠防止網絡企業在我監管過程中的私人腐敗，被網絡商家等利益集團俘獲，在制定、執行規則、運營管理平臺時剝削網絡用戶的利益，發生不公平或者損害網絡用戶權益的現象。

第二，信息信義義務通過忠實義務設立了底線，只要在底線之上網絡企業可以自由制定個性化的成本收益改進方案。個人信息關于保護與流通、安全與效率、私益與公益的抉擇是擺在理論實務界面前的一道難題。相比于機械性和細節性的規則，信息信義義務通過兜底性的規定劃定紅線，反而賦予了網絡企業更大的自治空間。網絡企業可以結合自身業務形態和運營方式，根據具體的業務場景，制定出耦合監管與生產的個人信息保護方案，實現個人信息的動態保護。通過信心信義義務的循循善誘，網絡企業的營利需求有正當滿足的渠道，這樣既避免了網絡企業發生“創造性合規”47..M Doreen.&W.Christopher, The Elusive Spirit of the Law: Formalism and the Struggle for Legal Control", 54The Modern Law Review848,849 (1991).的現象，又能減少網絡企業對網絡用戶的惡意盤剝，實現公共價值對生產者利益減損的最小化，從而實現社會整體福利的帕累托改進。

第三，信息信義義務的履行能夠加強網絡用戶與網絡企業之間的信任關系，提高社會認可度。信任是信義關系的本質。社會認可度來源于網絡企業與網絡用戶之間的信任關系的形成。提升社會認可度除了產品優秀，更重要的是承擔了企業社會責任，實現了公共利益。一個企業需要通過樹立社會責任心、制定具體實現方法、將有效方法制度化等途徑，才能成為積極承擔社會責任的“企業公民”（corporate citizen）。48.Parker, The open Corporation: Effective Self-Regulation and Democracy, Cambridge University Press, 2002, p1-31.而具有原則性和靈活性的忠實義務和勤勉義務不僅是具有社會責任心的初衷，還是有效方法制度化的體現。網絡企業對社會認可度的需求能夠通過信息信義義務，落實到積極的法律義務之中，承擔起將企業社會責任。企業社會責任的承擔也能進一步加深網絡用戶對網絡企業的社會認同，從而形成一個正反饋循環。

第四，來自法律訴訟的外部壓力能夠保證后設監管之成效。如果外部力量來自一個其使命或利益更符合整體公共利益的組織，這應該會使自我監管的結果更接近整體公共利益。49.Cary Coglianese&Evan Mendelson, Meta-Regulation and Self-Regulation, University of Pennsylvania law school, Public Law Research Paper No.12-11, 1-36(2010).法院作為代表公共利益的組織，能建立起網絡用戶、網絡企業、監管主體之間的對話機制。一方面，信息信義義務的適用對于法院而言并不是一項難以完成的挑戰。過往的經驗表明，是司法而非立法在逐步推動數據財產權的保護，并與平臺企業的需求同步演進，因此法院對技術帶來的新問題的解決已經積累了足夠的經驗。50.胡凌，《互聯網“非法興起”2.0——以數據財產權為例》，載《地方立法研究》2021年第3期，第21-36頁。另一方面，信息信義義務模式還帶來許多優勢。舉證責任的倒置降低了網絡用戶的維權成本，信義法威懾性的懲罰能夠給被監管對象以警示。法院的判決能及時約束被告網絡企業的行為，控制侵害結果之范圍，予被侵害網絡用戶及時救濟。規范之治向個案分析的轉向，不僅有利于解決規范在實踐中被架空的難題，而且有利于防止對信息主體過度賦權給企業帶來大量的合規成本，有助于正向激勵企業保護用戶個人信息。51.王懷勇、常宇豪，《個人信息保護的理念嬗變與制度變革》載《法制與社會發展》2020第6期，第140-159頁。

（三）平臺組織的自治能力能夠履行信息信義義務并實現自我監管

平臺組織在我國承擔著國計民生的重任，充分地滲透到了平民百姓的日常生活之中。就被監管者自我監管的客觀能力而言，監管知識和自我監管實踐的缺乏是困擾我國落實后設監管的兩大主要障礙。52.劉鵬、王力，《西方后設監管理論及其對中國監管改革的啟示》，載《新視野》2016年第6期，第83-89頁。而平臺組織擁有多元的監管技術手段、豐富的監管知識以及充分的自我監管的實踐。這都極大地提高了后設監管方案成功的概率。

第一，平臺組織擁有多元的監管技術手段和豐富的監管知識，能及時有效地對不法現象作出回應。代碼就是網絡空間的“法律”。53.［美］勞倫斯·萊斯格：《代碼》，李旭、沈偉偉譯， 中信出版社 2004 年版，第7頁。很多時候代碼之治反而比傳統法律之治更加有效。當制裁網絡經營者或網絡用戶的違規之舉時，網絡企業能夠運用云計算、人工智能、大數據分析、區塊鏈等技術為自我監管賦能。例如，網絡企業能夠通過大數據跟蹤技術及時發現其違規行為，更全面準確地了解糾紛事實情況，通過數據留痕在搜證和取證上獲得第一手事實材料，還可以通過凍結賬戶、停止協議（如封號等）、信譽評價等手段對其進行直接制裁。

第二，平臺組織擁有充分的自我監管的實踐。在傳統的“命令—控制”型監管模式中，被監管對象與監管主體之間缺乏有關監管知識的溝通，監管雙方都扮演單一的角色。但在互聯網經濟興起的背景下，監管當局給市場較大的自由空間，在實踐中已然形成互聯網時代的“軟法之治”。54.馬長山：《互聯網+時代“軟法之治”的問題與對策》，載《現代法學》2016年第5期，第49-56頁。如阿里巴巴中國網站交易爭議處理規則、阿里巴巴國際站知識產權規則、微信公眾平臺知識產權規則、支付寶爭議處理規則、淘寶虛假交易認定與處罰規則、微博謠言與熱搜管理規則、微博社區公約等等，在互聯網各產業各業務方面積累的豐富的經驗，都能幫助平臺組織在個人信息領域通過信息信義義務模式向后設監管轉型。

四、信義義務適用于個人信息保護的可行性

以上我們分析了既有規范下平臺組織關系中個人信息保護的困境、平臺組織適用后設監管的原因，以及通過信息信義義務落實后設監管的合理性。下面將從主體、客體、內容、責任承擔等四個方面對信息信義義務的具體適用可行性進行分析。

（一）主體方面

信息信義義務的受信主體應為所有網絡企業，而包括具有壟斷地位的網絡企業和不具有壟斷地位的網絡企業。巴爾金在其論文中提出了信息受托人的定義：第一，當這些組織或個人通過向公眾展示其為尊重隱私的主體來贏得人們的信任時；第二，當這些組織或個人讓用戶有理由相信他們不會泄露或濫用用戶的個人信息時；第三，當受影響的個人合理地認為，這些組織或個人基于現有的合理行為的社會規范、現有的執業方式或合理證明其信任的其他客觀因素而不會泄露或濫用其個人信息時。55.Jack M.Balkin, Information Fiduciaries and the First Amendment, 49 University of California, Davis, Law Review1183,1183-1234 (2016).通過這三點可以得出，信息信義義務中的受信主體是所有的網絡企業，網絡企業須對網絡用戶承擔同一內涵的信義義務。全范圍適用的信息信義義務在整體上提高了個人信息私權保護框架的問責標準，有利于個人信息的全方位保護。此外，在對所有網絡企業全范圍課以信息信托義務的基礎之上，還可以根據網絡企業的不同重要程度，對網絡企業課以不同嚴格程度的信息受托義務。《個人信息保護法》中已經對提供重要互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者課以了更高的信息保護義務。因此，對個人信息利用程度更復雜、對網絡用戶利益的影響程度更大、網絡用戶信賴的合理性更高的重要網絡企業，課以更嚴格的信義義務也是法中應有之義。56.吳泓，《信賴理念下的個人信息使用與保護》，載《華東政法大學學報》2018年第1期，第22-36頁。

有觀點認為，信息信托義務的受信主體應當為巨頭壟斷地位的網絡企業。57.解正山，《數據驅動時代的數據隱私保護——從個人控制到數據控制者信義義務》載《法商研究》2020年第2期，第71-84頁。該觀點主要從個人信息利用行為對網絡用戶利益的影響程度來分析。網絡企業市場支配力大，網絡用戶對其的“合理預期”越高，更容易付出信任，再加上巨頭壟斷網絡企業嵌入普通公民生活的程度更高，也就容易形成程度更高的信賴關系。而筆者認為，網絡企業的市場支配力的大小對其能對網絡用戶利益施加的影響并無絕對關系。原因如下：第一，網絡用戶對所有網絡企業都一樣容易輕信。在面對繁復的用戶協議和隱私條款時, 用戶并不會關注協議相對方是大企業還是小企業。網絡用戶往往容易被新鮮的商業模式、優惠政策、產品介紹等因素吸引，點擊同意隱私保護協議僅僅為使用該軟件的一個步驟。此外，用戶對于新興網絡世界中存在的風險無法理性認知，而且會傾向重視已知的風險而對未知的風險預估不足，比如AI換臉軟件ZAO的風靡一時就是一項力證。在互聯網世界中，風險是逐步累積的，或許單次信息泄露可能不足以引起后患，而在大數據分析等技術的加持下，成千上萬次的不規范行為極有可能造成雪崩。第二，網絡企業規模大小與其個人信息利用行為對網絡用戶利益的影響程度無關。網絡企業對個人信息的利用程度主要取決于該企業的技術能力和用戶對該軟件的需求程度。任何一家小企業，只要能夠滿足客戶的產品需求，就能夠讓該用戶注冊該軟件并獲取其相關信息。第三，小型企業與網絡用戶之間也會存在控制權失衡，甚至失衡狀況更為嚴重。小企業對個人信息的保護程度更低，往往更容易侵害網絡用戶的權益。大型網絡企業出于維護自身聲譽、社會形象等目的，往往在信息數據泄露事件發生之后能夠更加妥善地處理。網絡用戶由于受信息不對稱、不完全理性等原因的影響，無法準確識別、比較、選擇更優質的個人信息保護協議，即使能夠識別，優質的個人信息保護協議也不構成網絡用戶選擇使用某個軟件的主要原因。故而，出于成本約束和逐利需求，小型網絡企業想要與大型網絡企業在博弈中取得競爭優勢，并不會選擇通過提高自身的個人信息保護政策來吸引用戶。

此外，還可以將網絡用戶和網絡企業列為共同受益人。我國《信托法》第43條規定，受托人可以是受益人，僅不得是同一信托的唯一受益人。網絡企業與網絡用戶分享利益并不會于法相悖。個人信息帶來的收益由網絡用戶與網絡企業一同分享，不僅可以繞過信息權屬問題，而且可以實現對網絡企業利用個人信息提高用戶福利的激勵，實現商業利益、個人利益、社會利益的三重平衡。

（二）客體方面

弗蘭科（Tamar Frankel）教授看來，所有關于信義法律關系定義的三個要素包括：財產或權力的委托、委托人對受托人的信任和委托人承受風險。58.Tamar Frankel, Fiduciary Law, Oxford University Press, 2011, p5.目前，學界均認同網絡企業與網絡用戶之間滿足后兩點要素看法，但對于是屬于財產的委托還是權力的委托持不同觀點，主要分為以下兩種：第一，信息信托客體權力說。59.吳泓，《信賴理念下的個人信息使用與保護》，載《華東政法大學學報》2018年第1期，第22-36頁。60.吳偉光，《平臺組織內網絡企業對個人信息保護的信義義務》，載《中國法學》2021年第6期，第45-60頁。61.Jack M.Balkin, Information Fiduciaries and the First Amendment, 49 University of California, Davis, Law Review1183,1183-1234 (2016).該觀點主張網絡用戶、信息受托人之間成立以權力委托為特點的信義法律關系，這種關系類似于律師與客戶、醫生與病人之間的信義關系。故該觀點未對信托客體的確定性、獨立性、同一性進行過多討論，主要圍繞信息主體與信息受托人之間的不平等權利關系展開論證。第二，信息信托客體財產說。該觀點62.翟志勇，《論數據信托：一種數據治理的新方案》，載《東方法學》2021年第4期，第61-76頁。63.席月民，《數據安全：數據信托目的及其實現機制》，載《法學雜志》2021年第9期，第29-41頁。64.冉從敬、唐心宇、何夢婷，《數據信托：個人數據交易與管理新機制》，載《圖書館論壇》2021年10月刊，第56-68頁。主張信息主體、信息受托人之間成立信托法律關系，即符合財產的委托的信義法律關系。該觀點認為信息信托的客體是信息財產權益而不是信息本身。這種關系類似于金融機構與客戶之間的信義關系。有觀點認為信息所有權與經營管理權的分離符合英美法上的雙重所有權構造65.馮果、薛亦颯，《從“權利規范模式”走向“行為控制模式”的數據信托——數據主體權利保護機制構建的另一種思路》，載《法學評論》2020年第3期，第70-83頁。。還有觀點認為，無論按照英美法還是大陸法的規定，信息的屬性都無法滿足信托財產客體應當具備的確定性、獨立性。66.邢會強，《數據控制者的信義義務理論質疑》，載《法制與社會發展》2021年第4期，第143-158頁。兩種學說的差異主要在于對個人信息性質的理解不同。前者傾向于個人信息的人格權屬性，強調維持或恢復人格權的完滿狀態；后者傾向于個人信息的財產權屬性，強調實現交易流通和資產的保值增值。筆者認同信息信托客體財產說。目前，互聯網聚合信息產生的巨大經濟利益已經不容忽視。承認信息的財產權屬性有利于信息的流動與共享，從而在流動中獲得多元、多維的開發。具體到信息信托模式中，筆者認為其符合信托財產客體的內涵和特點。具體原因如下：

第一，信息信托客體為信息財產權益67.席月民，《數據安全：數據信托目的及其實現機制》，載《法學雜志》2021年第9期，第29-41頁。，信息權利能作為財產利益由受托人持有。68.本文在廣義上使用個人信息這一概念，包括具有識別性的個人信息和不具有識別性的個人數據。信息財產價值并非來源于信息財產本身，而是來源于當事人的控制行為，這體現為信息主體的信息財產權益。69.參見高富平：《信息財產——數字內容產業的法律基礎》，法律出版社 2009 年版，第10-23頁。我國《信托法》第14條第三款和第四款分別規定“法律、行政法規禁止流通的財產，不得作為信托財產”、“法律、行政法規限制流通的財產，依法經有關主管部門批準后，可以作為信托財產”。也就是說法律沒有禁止或限制流通的所有財產都可以作為信托財產，不受形式的限制。目前，全國已經設立8個數據交易中心，上海已設立數據交易所，都說明我國在實踐中已經認可了個人信息財產權益可以成為流通交易的客體。其中，信息信托客體包括原始信息財產權益和衍生信息財產權益。衍生信息類似孳息，包括經過算法加工處理后有新的使用價值的信息和僅因數聚合產生不具備新的使用價值的信息。我國《信托法》第14條規定受托人因承諾信托而取得的財產是信托財產。受托人因信托財產的管理運用、處分或者其他情形而取得的財產，也歸入信托財產。說明信托財產中并不區分孳息和原物，都屬于信托財產。

第二，可以通過單獨訪問權限的技術設置讓信息財產在性質上滿足獨立性要求。英美法上的獨立性是指在雙重所有權背景下獨立于受托人的自有財產；大陸法上的獨立性是指在一物一權背景下信托財產產生“閉鎖效應”，獨立于委托人、受托人，不得強制執行等。70.何寶玉，《信托法原理研究》，中國政法大學出版社2005年版，第205-217頁。在數字時代，信息財產的獨立性應當解釋為是否具備單獨的訪問權限。網絡企業可以將采集到的信息放入不同的信息庫中，需要進行大數據分析時進行調取、運營、管理，通過技術設置，信息財產能夠實現獨立于三方當事人，不會形成受托財產與固有財產的混同。

第三，可以通過設置除外條件讓信息財產權益在范圍上滿足確定性和同一性要求。傳統信托法要求信托財產有確定性和同一性的原因，是因為要確定自己的受托范圍，為了避免日后的財產糾紛。為了實現這個區分目的，可以從反面對信息財產權益作出除外規定：1.跟其他企業所屬的信息財產權益相區分，其他企業收集的信息不屬于自身的信托財產2.跟個人所屬的信息財產權益相區分，企業無權訪問的信息不屬于自身的信托財產。受托人實施信托的過程中，因管理、運用、處分信托財產或者信托財產滅失、損毀等原因，即使原始信托財產在已先后轉化為各種不同的形態、分別具有不同價值，但不管形態、價值如何變化，由此產生的代位物均應屬于信托財產。71.何寶玉，《信托法原理研究》，中國政法大學出版社2005年版，第205-217頁。也就是說，除上述兩項反面條件之外，其余所有用戶在該平臺活動所必需的個人信息、所產生行為軌跡、經算法加工聚合產生的衍生信息、不具有新的使用價值的衍生信息等，都屬于信息信托客體，網絡企業都要負擔信義義務。

（四）內容方面

網絡企業的信義義務以“忠實義務”和“注意義務”為核心：忠實義務通過一系列的禁止性消極義務防止網絡企業侵害網絡用戶的利益，是禁止網絡企業作惡的剛性底線；注意義務通過一系列的積極義務鼓勵網絡企業向善，在具體的場景中通過“比例原則”與“動態系統論”將注意義務付諸實踐。下文以網絡企業的實際運營為主線，梳理了網絡企業在收集、適用、儲存管理、分享四個主要場景中的信義義務。具體如下圖所示：

表1 個人信息信義義務中的忠實義務與注意義務

1.忠實義務

根據信托法權威米勒（PaulB.Miller）教授的觀點，忠實義務可以分為兩類禁止規則：第一，利益沖突禁止規則，即禁止受托人出于自身利益行使受托權；第二，義務沖突禁止規則，即禁止受托人在相互沖突的授權下為第三方的利益行使受托權。72.Paul B.Miller, Justifying Fiduciary Duties, 58McGillLawJourna970, 970-1023(2013).在平臺組織關系中，網絡企業是受托人，網絡用戶是委托人，包括網絡經營商與網絡消費者。利益沖突表現在網絡企業為自身的公司利益而不顧委托人的利益。既表現為網絡企業作為自營賣家濫用競爭優勢侵害其他網絡經營商的利益，如歐盟的亞馬遜案73.第三方賣家的實時交易數據被反饋到亞馬遜零售業務算法，亞馬遜據以決策推出何種新產品、如何定價，以及如何管理存貨、選定最優供貨商，以此提升自身的競爭優勢。這種既當平臺又當賣家的雙重角色顯然存在利益沖突的風險，進而損害市場公平競爭。，又表現為網絡企業對網絡消費者實施“大數據殺熟”等行為。義務沖突表現為雙邊市場中網絡企業同時服務于網絡消費者與網絡經營商，有可能出現網絡經營商為付費方（廣告收入、精準營銷服務收入等）而對網絡消費者的利益進行剝削的現象。但筆者認為，網絡企業和網絡用戶之間雖然存在著利益沖突和義務沖突的現象，但并不絕對違反信義法中的禁止規則。

（1）信息信義義務模式不違反“利益沖突”禁止規則

作為信息信義義務模式的主要反對者，Lilian Khan教授認為董事將面臨雙重信義義務困境，另一方面用戶利益優先會與企業的自利需求沖突，這都導致被寄予厚望的信息信義義務化為空談。74.Lina M.Khan&David E.Pozen, A Skeptical View of Information Fiduciaries, 133 Harvard Law Review497，497-541(2019).但筆者認為信息信義義務模式不違反“利益沖突”禁止規則。具體原因如下：

第一，董事沒有面臨雙重信義義務困境。其一，公司法本身沒有對董事課以雙重信義義務。公司法上的董事信義義務所施加義務的對象是董事，而不是公司，即董事要對股東至上主義的公司負責。信義法上的信息信義義務所施加的對象是公司75.Jack M.alkin, Information Fiduciaries and the First Amendment, 49 University of California, Davis, Law Review1183,1183-1234 (2016).，而不是董事，即公司對用戶利益負責。也就是說，公司需要同時滿足股東利益和用戶利益，董事本身并沒有被以雙重信義義務要求，董事行事時的復雜考量來自要在信息信義義務模式下遵守公司法中對股東的信義義務。其二，公司法賦予了董事基于多重利益行事的可能。公司以股東至上為圭臬，并不意味著董事高管不能為非股東利益考量。充分考慮用戶或員工的利益有利于最大化長期股東利益。股東價值具有多元性，公司法不僅保護短期股東利益，而且保護潛在股東的利益，也就是公司長期利益。從長期來看，網絡企業的股東利益和客戶利益是一致的。所以董事可以同時基于股東利益與客戶利益行事。其三，當信息信義義務變成一種法定義務，合規需求下實現用戶利益便是公司實現股東利益最大化的應有之義。正如特拉華州衡平法院曾指出，“一個人無法通過使公司違反實在法的方式來履行作為董事的忠實義務。76.Metro Commc'n Corp.BVI v.Advanced Mobilecomm Techs.Inc., 854 A.2d 121, 131 (Del.Ch.2004).受托人不得選擇以非法方式管理實體，即使受托人認為非法活動將為實體帶來利潤。77.Metro Commc'n Corp.BVI v.Advanced Mobilecomm Techs.Inc., 653 n.71.(Del.Ch.2004).”當公司有義務為用戶利益服務時，股東利益與用戶利益實現了統一。信息信義義務中的問責機制還能激勵董事更好地基于用戶利益行事。

第二，信息信義義務模式可以與網絡企業強大的自身逐利需求兼容。Lilian Khan教授認為，企業有強大的自利傾向（如侵略性廣告、致癮性行為等）去違背用戶利益，以至于不能承擔好信息受托人的角色；如果要承擔好信息受托人的角色，不得不對企業商業模式進行根本性的改變。78.Lina M.Khan and David E.Pozen, A Skeptical View of Information Fiduciaries, 133 Harvard Law Review497,497-541(2019).具體理由如下：其一，受托人存在自利激勵正是需要用信義義務規制的原因，而不是受托人無法承擔信托責任的原因。比如，公司內部本身面臨著很多和信義義務有關的利益沖突，如高管薪酬、公司內部部門之間的沖突、公司董事之間的沖突、公司服務客戶之間的沖突等等。資產管理行業也面臨著強大的經濟激勵和投機機會，同時企業對客戶負有信托責任，而這些自利激勵并沒有阻礙信義義務的承擔。正由于社交媒體公司可能從用戶的信息分享行為和致癮性行為中獲得更多的利益，所以需要信息信義義務防止網絡企業犧牲用戶的利益。其二，信息信義義務并不一定需要對網絡企業的商業模式做根本性改變。一般來說，受托責任越嚴格，范圍越廣，對組織模式的壓力就越大。但信息信義義務模式中對利益沖突的禁止并不意味著絕對的禁止，有些義務可以通過知情同意的方式排除。網絡企業可以通過取得用戶對沖突的知情同意，或以其他方式來限制違反信托義務的風險，同時實現維護用戶利益和滿足自身盈利需求。

（2）信息信義義務模式不違反“義務沖突”禁止規則

第一，網絡消費者與網絡經營商之間可能存在義務沖突現象，但并不代表兩者的利益一定會受到損害，并非所有的沖突都要被絕對禁止。信義法作為預防性規則，在禁止沖突方面應當充分衡量監管的成本與收益，成本包括受托人個人損失、因受托人怠于創新給社會帶來的損失等，收益包括委托人的收益、受托人未濫用權力帶來的收益等。79.Tamar Frankel, Fiduciary Law, Oxford University Press, 2011,p152.互聯網企業對社會生活經濟等各方面的提升已經充分證明了信息聚集帶來的巨大收益。網絡企業在雙重授權的情況下，往往能為客戶提供更具有消費者福利的產品或服務。平臺組織中，網絡企業同時服務于兩類客戶能夠帶來跨邊網絡效應，讓規模效應同時作用于供給端與需求端。對于網絡消費者，網絡經營商的增加使得消費者的選擇豐富度提升，消費者效用得到提升。對于網絡經銷商，消費者的增加可以提升其銷量，從而提升其收益。對于平臺而言，其固定成本得到攤薄，生產者和消費者對平臺的需求也在提升。因而形成平臺、網絡消費者、網絡經營商相互促進的良性循環。

第二，禁止受托人為有沖突的委托人服務，并不是保護委托人利益的唯一途徑。相比通過禁止受托人為其服務從而防止沖突，我們更應該考慮如何設置機制管理沖突。有學者認為義務沖突有兩種類型，一種是受托人一開始就在固有實際沖突的情況下行事，一種是受托人通過采取行動將潛在沖突發展為實際沖突，對于前者可以采用預先授權來豁免沖突責任。80.Yip, Man and Low, Kelvin F.K., Reconceptualising Fiduciary Regulation in Actual Conflicts, 45Melbourne University Law Review1, 1-39(2021).在Re Colorado Products Pty Ltd案中，被告是多家公司的董事、實際控制者等多重角色，原告認為被告由于義務沖突違反了信義義務，法官認為被告多重身份的安排是建立在當事方已對其業務進行了結構化的情況下，屬于固有的利益沖突，只要當事人預先進行了知情同意授權，并在此基礎上訂立了相關合同，則不成立義務沖突。平臺組織中，網絡消費者與網絡經營商都對平臺組織的雙邊市場結構有充分的了解，兩者之間的沖突屬于一開始就有的固有實際沖突，可以在“知情-同意”服務協議中對平臺組織對雙方委托人的披露范圍作出預先約定。此外，澳大利亞《公司法》也規定了在義務沖突時賦予某一方“優先考慮權”，如第961J條規定，零售客戶的財務顧問有義務在其知道或理應知道其客戶的利益與提供商、金融服務被許可人、授權代表或其關聯人的利益之間存在沖突的情況下，在提供建議時優先考慮零售客戶的利益。當網絡消費者與網絡經營商之間面臨義務沖突時，可以通過法律賦予平臺針對網絡消費者利益的優先考慮權。

2.注意義務

注意義務的模糊性和靈活性剛好與瞬息萬變的網絡經濟發展趨勢相契合。對網絡企業踐行積極的注意義務的要求，能夠激勵網絡企業不斷自我調整、積極向善。可以從“尺度”出發，通過比例原則確定網絡企業在具體受托場景中是否盡到了應盡的注意；同時，從“要素”出發，通過動態系統論確定網絡企業在履行受托義務時應當考量的基本要素或指標，進而能在由這些要素組成的體系中進行綜合評價。81.徐化耿，《信義義務的一般理論及其在中國法上的展開》，2020年第6期，第1573-1595頁。具體而言：

第一，比例原則的適用。網絡企業的注意義務應當與其所擁有的專業知識與技能保持均衡，法官對違反注意義務應當進行合理裁量。在法官形式自由裁量權時，至少有三種不同層次的注意義務可供參考，由低到高的排序為：第一層次的為普通用戶的注意水平；第二層次為一般網絡企業在其行業中的最低注意水平，即一般的個人信息處理者的一般義務；第三層次為一般網絡企業在其行業中的最優注意水平；第三層次為重要網絡企業應盡的最低注意水平，此處的重要網絡企業對應的是《個人信息保護法》中規定的重要個人信息處理者。《印度個人信息保護法草案》也對數據受托人進行了二級劃分，引入了“重要數據受托人”概念，并依據處理的個人信息量、敏感性、數據受托人的營業額、數據處理所造成的個人損害風險、進行數據處理所使用的新技術以及其他因素，認定并告知某些數據受托人或幾類數據受托人為重要數據受托人。我國《個人信息保護法》并未對重要網絡企業進行定義，可以參考借鑒印度的區分標準。第四層次為重要網絡企業在其行業中的最高注意水平。在具體場景中，第一步看網絡企業是否達到普通用戶的注意水平，若未達到則無須適用信義義務，直接以顯著過失為由進行一般侵權追責；第二步區分網絡企業是否為重要網絡企業；第三步在該類型的網絡企業所對應的行業最低注意水平與行業最高注意水平之間滑動，確立一個合理的注意水平。

第二，動態系統論的適用。網絡用戶對網絡企業的信賴建立在受托人的信息處理能力、市場份額、企業聲譽、旗下app對日常生活的滲透度等因素之上。可以從主觀和客觀兩方面對注意義務所涉要素進行劃分。其一，客觀要素，又可分為內部客觀要素和外部客觀要素。前者包括網絡企業經營范圍、網絡企業信息收集范圍、信息收集目的、收集使用程序等要素；后者包括監管政策、市場風險、行業受益、信息披露等要素。82.徐化耿，《信義義務的一般理論及其在中國法上的展開》，2020年第6期，第1573-1595頁。其二，主觀要素，包括企業信息捕捉、分析、處理能力，企業對個人信息保護的經驗的要素。法官在行使自由裁量權時，應綜合主客觀因素綜合衡量，并著重關注主觀要素。

（四）責任承擔方面

第一，忠實義務所特有的舉證責任倒置有利于網絡用戶進行維權，解決原告的舉證難題，平衡雙方權力失衡的困境。按照現有規定，網絡用戶必須收集證據證明自己遭受到實際性的損害結果，且該損害結果與網絡企業的侵權行為之間具有因果關系。網絡用戶由于自身在收集證據、固定證據等舉證環節上能力不足，往往因此敗訴。據統計，2015年至2020年的個人信息泄露典型案件中有73.7%的案件都以信息主體維權失敗而告終。83.張夢霞，《數據信托的淵源、價值與適用》，載《當代金融研究》2021年第6期，第40-48頁。而在信義法規則下的舉證責任倒置中，只要存在對法定義務的違反事實，則推定網絡企業存在過失，網絡用戶只需初步舉證，網絡企業對自身存在法定豁免事由或未違反法定義務負有實質性舉證責任。雖然我國《信托法》沒有引入英美法系的信托舉證責任倒置制度，但2019年《全國法院民商事審判工作會議紀要》第94條規定了資管行業中受托人的舉證責任倒置規定。這說明我國司法實踐在信托領域適用舉證責任倒置規則。讓網絡企業承擔舉證責任有利于倒逼其在源頭上規范自身行為，促進網絡企業在技術安全保障上做好自查，在行為動機上進行自我約束，在信息披露上盡量保持透明，在告知同意規則上做到實質性通知等，從而改善與網絡用戶之間的關系。

第二，追責主體泛化并不能成為信息信義義務無法適用的理由。有觀點認為，信息信義義務會導致追責主體泛化，該觀點主要對兩種情況下通過信息信義義務追責進行了討論。84.邢會強，《數據控制者的信義義務理論質疑》，載《法制與社會發展》2021年第4期，第143-158頁。第一種情況是同一網絡用戶的某份信息被數個app收集，即使確定了信息信義義務也無法確定信息泄露主體，也無法確定信息受托人，因此信息信義義務沒有價值。筆者認為，在該種情況下，收集信息的app均單獨作為信息受托人，不承擔連帶責任。由于信息具有可復制性，不能簡單地等同于物，故網絡用戶使用每一個app時進行的信息授權，都視為單獨的一份信息，而不是同一份信息在不同app之間的流轉。因此數個app都與網絡用戶形成了信賴關系，單獨承擔受托責任，根據不同網絡企業的重要程度、主客觀要素不同，所承擔的信息信義義務的嚴格程度不同。第二種情況是同一網絡用戶的同一份信息在網絡企業進行信息流轉過程中，在某一個環節泄露。此種情況下，接觸到信息但并沒有做好信息安全保障義務和保密義務的網絡企業，彼此之間承擔連帶責任。由于信息和網絡世界的特殊性，不論對網絡企業課以合同責任、侵權責任，抑或信義責任，對信息泄露案件進行追責時都會面臨技術上的難題和追責主體不確定和范圍廣的問題。這并不能說明信息信義義務的適用就是沒有正當性和合理性的。相反，通過信息信義義務全方位地提高問責力度，還可以對信息侵權行為起到威懾作用。

第三，作為共同受托人的網絡企業負有相互監督的義務，有利于相互檢舉揭發，更好地維護網絡用戶的權益。一般來說，共同受托人之間應當相互監督，某一受托人知道其他受托人有損害信托利益的行為，不僅有義務予以反對和制止，而且應當采取適當行動保全信托利益。共同受托人之一知道其他共同受托人的不正當行為，卻未采取適當行動予以干預的，也應當承擔責任。85.何寶玉，《信托法原理研究》，中國政法大學出版社2005年版。在信息信義義務模式下，某共同受托人單獨違規收集、適用、儲存、分享或沒有盡到信息安全保障義務而導致信息泄露的，該共同受托人應當單獨承擔信義義務。其他受托人知道并未采取適當行動進行干預的，也應承擔責任。

第四，可以設立以信托法為基礎的歸入權，通過“利潤剝奪”對網絡企業實現懲罰與威懾。信義法禁止受信人被通過非法占有受托財產而獲得利益，任何因違反信義義務而產生的利益應當歸于委托人。網絡企業非法收集利用個人信息屬于非法占有受托財產，網絡企業對這些利益不享有權利，所產生的利益應當歸于網絡用戶，可按照約定在網絡用戶之間進行分配。對網絡企業的懲罰應以其獲得的利潤為基礎，而不僅僅是填平損失。這樣既可以避免每個網絡用戶的損失難以界定的問題，又可以防止網絡企業在收集利用個人信息上濫用受托人權力。

五、結語

網絡社會也離不開信任，個人信息保護也應該置于群體關系之中思考。適用信息信義義務模式能夠有效地化解網絡企業與網絡用戶之間的對抗性關系，激勵強勢一方獲取弱勢群體的信任，減輕政府的監管成本，合理發揮網絡企業的自治能力和創新能力，充分保證網絡用戶的個人信息權益。從信任出發調整不平等關系，通過信息信義義務模式，個人信息保護法益能通過信息信義義務模式夠落到實處，在本土適用也并不存在絕對障礙。在數字經濟來勢洶洶、平臺組織深入滲透日常生活的今天，不妨采用信息信義義務模式重新實現網絡企業和網絡用戶之間的平衡，更好地保障數字經濟時代中弱勢群體的利益。