數據平臺個人信息保護的合規義務與路徑實施

內容提要 在加強個人信息保護的大背景下，借助法律規范推進數據平臺市場行為合規是必然選擇。相較于其他保護路徑，合規路徑更符合數據平臺自身的特征、法律的明確要求以及“守門人”的職責，所以該路徑應當成為數據平臺個人信息保護義務不可或缺的構成。數據平臺個人信息保護合規義務的落實，在法律依據上還存在一定的缺失，這些缺失可能會導致法律監管的失靈、歸責原則的偏離以及責任承擔的過度延伸。因此，在保持法律監管與適度介入的基礎上，應當遵循過錯推定責任原則，輔以均衡的責任分配方案，加快風險管理從意識到義務的轉換，拉齊個人信息保護水平標準；還應推進通用標準的法律轉化，滿足判定法律責任承擔的技術基準的法治訴求。

關鍵詞 數據平臺 個人信息保護 合規義務

王鵬，淮南師范學院法學院副教授

本文為安徽省高校社會科學重點項目“公正與效率視角下認罪認罰從寬制度的實證研究”（2022AH051560）的階段性研究成果。

數據平臺鏈接著數字經濟產業的上游與下游、商業用戶與終端用戶等交易主體，它不但肩負著信息安全高效流轉的職責，而且承擔著新型數據的權益分配功能。在《中華人民共和國民法典》（以下簡稱《民法典》）確認個人信息權益的人格權屬性后，個人信息法律保護成了一個被持續研究的課題。2021年8月通過的《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）第58條首次明確了數據平臺個人信息保護的合規義務，合規成為數據平臺落實《民法典》第111條和第1034條“個人信息受法律保護”要求的重要制度安排。目前，學界對數據平臺個人信息保護合規的研究，主要集中在合規業務類型與模式、合規指標與評估、合規風險及其規制、合規組織和合規職能、法益保護與面向、刑責認定與追究、域外比較與借鑒、合規治理機制與體系構建等方面[1]，整體而言缺少數據平臺個人信息保護合規義務的證成分析。此外，數據平臺通過信息技術實現對個人信息的“處理”，具有顯著的技術集成性和依附關系，這在客觀上導致數據平臺個人信息保護合規義務在法律監管、歸責原則、責任承擔等適用方面出現了偏差和法律依據的缺失，亟須有針對性地開展研究。

數據平臺所具有的獨特功能決定了其較之個人信息的優勢地位，此種優勢地位容易形成對個人信息的擠壓狀態。為了應對此種狀態，確立數據平臺“守門人”角色并課以其個人信息保護合規義務是一種較好的選擇。故此，本文將通過厘清數據平臺的獨特功能，分析數據平臺個人信息保護的“守門人”角色及其合規義務確立的邏輯，探討數據平臺個人信息保護合規義務面臨的法律依據缺失情形及合規義務完善路徑。

一、數據平臺的界定與功能：將數據轉換成信息價值

數據的價值主要體現在其自身的信息轉換。作為數據處理和獲得的主體，數據平臺擁有一般社會主體所不具備的“人為賦予”的技藝和能力，發揮著將數據轉換成信息價值的獨特功能。

1.數據平臺的界定

目前，學界關于數據平臺的界定主要有三種觀點：一是“無形場所論”，即數據平臺是一個通過互聯網技術向多個利用者提供服務的無形場所，利用者在此可以進行商品、服務、信息的交換[1]。二是“商業組織形態論”，即數據平臺是多個利用者通過互聯網技術，遵循特定規則來實現信息交互，并以此共同創造價值的商業組織形態[2]。三是“數據處理者論”，即數據平臺是通過利用數據營利的數據企業，以及在運營、組織交易過程中產生或者獲取數據的企事業單位[3]。

本文采取“數據處理者論”觀點，且所探討的“數據平臺”均指《個人信息保護法》第58條所定義的“提供重要互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者”，不包括不符合上述定義的中小數據平臺，做此限定是基于當前貫徹落實《個人信息保護法》的緊迫需求。本文試圖以法教義學的研究范式緊緊圍繞《個人信息保護法》相關條款進行分析，探討此類特定主體在責任層面與個人信息保護層面上相關的問題。由于以上類別的數據平臺對個人信息的影響更廣更深，且對其開展的相關規制更具有示范引領或標準確立的方法論價值，故本文不探究所有類別的個人信息處理者，僅探討《個人信息保護法》第58條界定的主體。

2.數據平臺的獨特功能

數據的信息轉換并非自發的或自運行的，需要“人為賦予”的行為才能得以實現，因為分散零亂的數據即使被存儲在“關系數據庫”中，其彼此之間也并無天然聯系，而只有“人為賦予”了數據之間的“關系”，才能把原本孤立的數據相互聯通、生成信息，并借助信息實現數據自身的價值與增值[4]。

數字經濟具有明顯的外部經濟性，分散零亂的個人數據與其他數據之間建立的“關系”越多越深，越能被轉化為高價值的信息資源并獲得更高的效用。但外部經濟性的實現，依賴于能夠大規模收集個人數據，有效“人為賦予”數據之間的關系進而將數據轉化為信息資源的載體，而執行“人為賦予”功能的載體須具有相當的經濟和技術條件。

在“數據處理者論”視角下，數據平臺擁有一般社會主體所不具備的“人為賦予”的技藝和能力，突出表現為借助諸如云計算、虛擬化技術、可擴展的存儲系統等對海量數據進行分布式數據挖掘的手段。因此，數據平臺具備大規模收集個人數據并將其轉化為信息資源所必需的經濟與技術條件，以及占有和使用個人數據、將個人數據轉換成信息價值的能力，這就使單純的個人數據進入了個人信息權益保護的范圍。正是數據平臺的這一能力，令個人作為數據生成主體時，其擁有的個人數據得以在分享和傳播中具有存在的意義，進而實現了個人數據從獨語表達到信息交流的價值轉換。

二、數據平臺對個人信息的保護：“守門人”角色與合規義務

個人數據從獨語表達轉換成信息價值，主要借助數據平臺在這一轉換過程中的獨特作用，然而，數據平臺也有可能因此在客觀上對個人信息構成一種擠壓。數據平臺對個人信息的此種擠壓，要求數據平臺承擔相比一般社會主體而言更為嚴格和特殊的責任，進而被依法設定為一種“守門人”的角色。相較于其他風險防控路徑，合規路徑因與數據平臺自身特征、“守門人”職責等吻合度更高，應成為數據平臺履行個人信息保護職責所不可或缺的義務。

1.數據平臺對個人信息的擠壓

數據平臺對個人信息的擠壓，首先體現為數據平臺的技術優勢。數據平臺過于優越的技術地位造成了以下局面：個人在進入網絡空間之時就已經被數據平臺的高超技術所劫持[1]，個人信息也就不可避免地被稀釋、凌駕或黑洞化。其次體現為個人為獲得某種優勢或便捷所做出的讓渡?！皵祿洕闹匾卣魇恰S多用戶使用的網絡服務要求用戶以讓渡個人敏感信息的方式信任公司”[2]，而數據平臺在被推向市場時所采取的“免費策略”，更加增強了個人讓渡信息的意愿。此種為了得到各種便捷訊息和服務所做出的讓渡，在某種程度上會使得對個人信息保護的需求退居次要位置。

2.“守門人”邏輯：數據平臺對個人信息的保護責任

“守門人”是指控制關鍵信息網絡技術、決定平臺運營環境、深度影響個人信息處理活動的互聯網營運者[3]。“守門人”概念源于歐盟《數字市場法提案》，并反映在《個人信息保護法》第58條之中。

確立數據平臺“守門人”角色進而實現對個人信息的保護，其法理在于“控制者義務理論”，即任何主體對其控制的場所等應負擔一定的安全保障義務，而課以該主體一定的安全保障義務，體現了收益與風險相一致，與控制危險源能力相匹配的法治理念[4]。數據平臺控制著個人信息處理系統的技術資源與運營環境，控制著個人信息處理活動的關鍵通道與容納空間，控制著相關算力算法可觸達個人信息的廣度與深度，控制著個人依賴數據平臺的習慣養成機制。故數據平臺是個人信息處理的“控制者”，特別是《個人信息保護法》確立的個人信息保護義務明顯建立在《數據安全法》的安全保障制度框架下，前者同樣沿用了數據安全保障義務的保護邏輯，即個人信息的處理是以秘密狀態進行的，嚴格限定在法定或約定的范圍和場景[5]。因此，將數據平臺設定為“守門人”角色并課以其相應的安全保障義務，符合法理和我國司法實踐。例如，在“申瑾訴上海攜程商務有限公司侵權責任糾紛案”中，法院認為，平臺具備開啟、參與社會交往服務和給他人權益帶來潛在危險兩項特征，故虛擬數字世界與現實世界中的安全保障義務主體，均應負有排除對其服務用戶侵權以及對未來妨害進行審查和控制的義務[6]。

3.合規的內涵與合規義務的必要性

根據ISO 37301： 2021《合規管理體系要求及使用指南》第3.26條規定，合規的內涵是“滿足組織的所有要求的合規義務”。按照上述定義，數據平臺的“合規”是指數據平臺處理個人信息的活動應當在“外規”與“內規”的限定與引導下進行。

所謂合規義務，在我國法律上體現為《個人信息保護法》第54條所明確的個人信息處理者的合規審查義務，以及第58條所列舉的本文所探討之“數據平臺”的“守門人”義務。合規義務的必要性主要體現在以下兩個方面：一方面，合規是社會主體實現自我監管、自我報告、自我披露和自我整改的有效路徑，屬于具有私法特征的內部自律行為，而個人信息保護的合規又體現出高技術性、強專業性等特征，客觀上也更依賴數據平臺的自身主動作為。政府等外部監管主體或者強制力量，由于缺乏內生性動力，缺乏常態性和融入數據平臺日常經營監管的能力[1]，使得法秩序背后監管主體及其所代表的強制力量所能發揮的作用非常有限[2]，無法單獨或者有效承擔監管之責。不可否認，數據平臺的違規能力與其開展合規建設的能力都是超乎尋常的，同時，社會主體為了應對行政或刑事制裁，具有通過合規將法律規定的相關注意義務轉化為其內部治理的有機組成部分的訴求[3]。故由作為“守門人”的數據平臺肩負著外部合規協調者、內部合規落實者的責任，構成數據平臺的一種實然所需。另一方面，合規的效能尤為獨特、突出，是法務、審計等風險防控路徑所不具備的或較難替代的。特別是在可能引發行政處罰或刑事責任的場景中（如腐敗、不正當競爭、網絡安全、信息保護、利益沖突等），是否履行了合規義務是判斷、斟酌行政或刑事責任高低的一項重要因素[4]。質言之，達到了合規要求，則成為某組織的自我聲明，且該聲明具有可追溯性。在此基礎上，便可順利開展認證并發放給相關組織認證證書，可方便政府機構精確匹配和實施科學合理的監管手段和措施，組織在承擔不利法律后果時可獲得司法機構不捕不訴不判等寬恕處罰[5]。

三、履行數據平臺個人信息保護合規義務的法律困境

盡管《個人信息保護法》第58條規定了個人信息處理者應當履行建立健全相關合規制度體系的義務，但數據平臺個人信息保護合規仍面臨著多維度的挑戰。其中，來自法律維度的挑戰更顯突出，主要表現在法律監管可能失靈、歸責原則極易偏離以及責任承擔過度延伸三個方面。

1.法律監管可能失靈

數據平臺具有技術專業性、經濟多邊性以及數字經濟客觀強訴求性、累積性等特點。數據平臺不受束縛的內在訴求與日俱增，將會導致數據非法交易等負面情況的發生，如跨行業、大規模的破除信息孤島計劃的實施，或許將會與個人信息保護的目標背道而馳。為了應對此等境況，我國加大了法律法規和國家標準中的合規植入，如2015年《中華人民共和國刑法修正案（九）》、2017年《中華人民共和國反不正當競爭法（修訂草案）》等，借法律的規范性、強制性等功能促成社會主體行為的合規實踐，同時也積極敦促這些主體承擔更勝以往的被監管義務。但這種狀態不太可能維持較久，因為“去中心的‘離散‘非均衡式創新”使得法律監管“難以對其有效涵蓋”[6]，加之合規側重內在的自律、自我的調整，如果在進行反思性立法時仍強調法律的懲罰震懾等外在的功能，則只會在法律的統治機器高速運轉和社會成本急劇加大下反襯出市場行為的更多的不合規，并一次次地重復著“薩班斯法案式”[1]的失靈的軌跡[2]，最終使這些法律擬保護的免受侵擾者易位為法律予以規制的“侵擾實施者”。

另外，監管是否能夠拉平與數據平臺所掌握的信息技術等能力也是一個問題，這使得監管全面追蹤數據平臺變得較為困難；且行政監管在客觀上較難超越數據平臺自身的激勵，遑論行政監管有能力對數據平臺進行任何內在激勵了。

2.歸責原則極易偏離

在現行法律規定下，個人信息保護歸責原則是過錯推定責任。但是，對個人信息保護的持續強化可能會逐漸內化為數據平臺的合規要求，在一定程度上導致數據平臺注意義務的泛化模糊，易致歸責原則偏離，從而導致“過錯推定責任”異化為“有損害損失必有責任”的嚴格責任。目前，數據平臺較之行政監管在信息技術專業方面具有更大的優勢，而行政監管為了彌補這一劣勢，可能會基于數據平臺的違法行為來倒推數據平臺的主觀過錯，以“確保”主客觀相統一原則在網絡領域中得到“真正貫徹”。

此種不斷累加的客觀倒推主觀，并不符合“過錯推定責任”的基本精神，削弱了數據平臺證明自身“無過錯”的可能性，極大地拓展了數據平臺的注意義務的范圍。如《互聯網用戶公眾賬號信息服務管理規則》《互聯網跟帖評論服務管理規定》等規定的監測管理、內容審核、應急處置、記錄保存等義務，實則從“過錯推定責任”轉向了一種嚴格責任或無過錯責任。這既違背了過錯推定責任和主客觀相統一的初衷，也違背了數據平臺責任追究的正當性要求，還促使行政監管過度依賴事后監管，并催生一種懶政，背離了加強事前事中監管的新行政管理理念，同時進一步增加了數據平臺的審查義務[3]、過度預防以及責任承擔的不可預測性。

3.責任承擔過度延伸

數據平臺個人信息保護責任目前呈現一種比較明顯的延伸趨勢。

首先，合規承諾被賦予法律層面上的責任。合規承諾一旦做出，這種自愿選擇遵守的要求，在法律維度上與合規要求并無二致，共同構成“合規義務”，接受法律的約束和檢驗。若在實踐中背離或違反合規承諾，則應承擔相應的法律責任。如果合規承諾過度，則追加承擔的法律責任也就隨之過度。而過度承擔責任的壓力必然會反饋至數據平臺，使其因載重過多而步履蹣跚。

其次，政府監管逃逸后的留白需要由數據平臺通過承擔責任來彌補。相較于具有顯著的信息與技術優勢的數據平臺，遠離技術中心的政府監管機構確實難以得心應手地管控規模不斷增大、類型不斷細分的個人信息處理行為。這將使得政府監管逃逸成為一種選擇或妥協。政府監管逃逸后必然留下空白，亟須另外的主體承擔替代監管或類似監管功能。合規承諾屬于自律性表達，且具有功用上的獨特賦能，違反合規承諾也將同時承擔法律責任，這正好填補了政府監管逃逸后的空白或缺憾。所以，“以網管網”不失為一種雙贏策略。

2021年10月市場監管總局發布的《互聯網平臺落實主體責任指南（征求意見稿）》中關于“不斷完善平臺內部合規制度和合規機制，積極響應監管部門的監管要求”的內容，印證了網絡空間的監管權正向網絡平臺轉移的事實，但這實際上延伸了數據平臺的法律責任。合規承諾及責任負擔并不是錨定的，因為數據平臺負擔的合規承諾及責任，其理論基礎在于其擁有信息和技術的優勢，如果沒有或超出此優勢，則不應由數據平臺負擔合規承諾及責任[1]。

四、數據平臺個人信息保護合規義務法律依據的完善

在強調個人信息保護的大背景下，借助法律規范推進數據平臺市場行為合規是一種必然選擇。立法者須理性保持法律監管與介入的適度性，采取“更符合商業合規選擇偏好的‘軟干預‘弱干預的范式”[2]，完善數據平臺個人信息保護合規義務法律依據，適度控制法律管控的邊界或力度。

1.完善過錯推定責任的判斷機制

歸責原則決定了相關法律責任的構成要件，故確定歸責原則是數據平臺履行個人信息保護合規義務要面對的問題。但是，在司法實踐中，判斷數據平臺是否有過錯通常需要參照法律依據，即判斷具體技術理性、合規設計與法律所試圖保護的價值是否吻合。

首先，數據平臺歸責原則采取過錯推定責任，但此種責任的判定往往需要綜合多種因素才能實現，包括考量法律依據與法律判準之間的關系。具體而言，這種綜合關系體現為作為法律依據的“技術”與作為法內依據的“責任”的有機結合。面對追責，數據平臺通常以“技術中立”予以抗辯，即“自身無過錯的抗辯”。但不可回避的是，無論是何種程度的代碼化，代碼本身仍是“遵從了設計者的技術理性”，只是技術理性偏離了法律的“制度理性”[3]，這才導致智能規則出現漏洞、偏離法治目標等問題[4]。換言之，“代碼即是法律”的底層邏輯仍是設計者的主觀存在，故數據平臺仍須在不能證明自身無過錯的前提下承擔責任，這也符合制度理性和“科技向善”的要求。在“麒麟童公司訴斗魚公司著作權侵權案”中，法院針對斗魚公司提出的僅提供中立的技術服務而不構成侵權的抗辯理由，指出涉案技術行為本身就存在較大的侵權可能性，應在技術植入之時即采取相匹配的預防策略[5]。

其次，具體過錯考量取決于數據平臺在技術設計時的主觀方面。換言之，數據平臺可以“從一開始就將個人信息保護的需求通過設計嵌入系統之中，成為系統核心功能的一部分，成為商業實踐的默認規則，給予個人信息全生命周期的保護”[6]。如果平臺無法證明自身對相關主觀要素進行了考量，忽略了個人信息保護層面的功能，則應當推定其有過錯。在2021年“平臺違法處理公民個人信息案”中，拼多多本應在設計經由算法向內置支付軟件付費通傳輸用戶信息時，滿足用戶單獨同意的合規要求，但該公司在設計具體技術時忽略了這一合規要求，主觀過錯明確，故承擔侵權責任[7]。

最后，適配的過錯責任須輔以均衡的責任分配方案而獲得實現。很顯然，如果數據平臺歸責原則不是要么過錯責任、要么嚴格責任那樣走極端，而是一種均衡的過錯推定責任，那么“如何確證自身沒有過錯”無疑將構成責任分配均衡的關鍵。有關司法實踐已經提供了較好的示范。在相關案件中，法院采用綜合考量相關要素、形成與責任能力對等的歸責體系，對“何謂過錯”這一問題進行了全面、均衡式的把握，值得借鑒。在一些案件中，法官采取的判決思路是，只要原告提出的證據能夠證明被告存在侵犯個人信息權利（例如隱私權）的高度可能性，而被告又不能舉證推翻此種證明，則可認定被告實施了相關侵權行為。此種“高度可能性”舉證規則弱化了被告的舉證責任，亦加強了原告的舉證責任，是對“過錯推定責任”的一種均衡修正。

2.明確風險管理的義務構成

應通過引入法律技術標準，明確數據平臺法內風險管理義務構成。數據平臺個人信息保護所面臨的合規風險，可能使數據平臺面對行政監管責任或刑事責任追究的風險。信息網絡、大數據、人工智能等技術加持放大了風險社會的風險級別或者催生了新型風險。由計算機系統處理的信息可更便捷和精準地單獨或與其他信息相結合識別到特定的個人信息[1]，如此一來，風險不再是信息的泄露，而是通過算法等底層技術獲得極強的預知性，并以此預知來限制、禁止或選擇性漠視個人的某些權利，或者慫恿、引誘、誤導個人實施某些非法行為[2]。故此，數據平臺個人信息保護合規風險，是能被強烈感知的一種較大損失的可能性，以及經由算法技術可預知、可主導實現的侵權。數據平臺個人信息保護法律責任的衡量基準是對合規風險的管控及其程度控制，畢竟風險制造者和風險管理者更了解風險，也更善于管控風險。

例如，為了突出風險管理義務，德國法院將“避風港”原則由“通知—刪除”調整為“通知—刪除—掃描”，以達到預警、控制風險和保障個人信息安全的目的[3]。又如，在“付全貴與北京三快信息科技有限公司等網絡侵權責任糾紛案”中，法院指出，作為交易模式和算法技術的設計者，三快科技公司應清楚知曉其采集信息的流向、范圍及可能有泄露風險的環節，并通過完善相應的個人信息保護技術措施、數據信息經營模式等方式來分散風險，但其顯然沒有盡到相應的風險管理義務，故承擔賠償責任[4]。

因此，引入法律依據的目的是客觀審視數據平臺歸責原則下的獨有的責任來源，從而達到科學切割邊界和體現比例的目的。就技術標準淵源而言，數據平臺個人信息保護合規風險管理法律效果的考量內容是盡可能拉齊個人信息保護的標準，以削減實現數據快速流動訴求時可能會遭遇的摩擦。目前，拉齊標準可依賴的方法或路徑是2009年11月ISO公布的首個風險管理國際標準，即ISO 31000：2009《風險管理——原則與指南》。該標準旨在制定管理流程，將其集成到現有的戰略和管理計劃中。ISO 31000：2009第2.2條將風險管理界定為“針對風險指揮和控制組織的協調活動”。修訂后的版本ISO 31000：2018針對包括網絡風險在內的日益頻繁的風險，對管理流程進一步改進和優化，強調了風險迭代性質、領導者角色與責任以及利益攸關方參與等原則。特別是《個人信息保護法》中關于“守門人”的義務規定，使數據平臺超越了市場經營者的單純意義，被賦予了“一種重塑社會結構的新型規制者”的價值[5]。這種兼具“自律式”守門人和“監管式”守門人職責的數據平臺[6]，更需要制定按圖索驥式的風險管理流程，以合理削減平臺可能承擔的合規風險法律責任。ISO 31000：2018無疑為數據平臺改進和完善個人信息保護合規的相關管理流程，提供了一個較為便利的公認范式。

3.推進通用標準的法律轉化

應當推進適宜的法律依據、通用標準的法律轉化。數據利他主義是數字時代下“科技向善”的鮮明體現，而數據和信息實現充分共享是數字經濟的關鍵。但信息的收集、傳播、分享等既面臨著各種識別的困擾，也面臨著有效保障個人信息權利正常被行使的困擾，如精準及時響應數據主體訪問、查詢、同意、更正、刪除、數據遷移等，就要求任一數據平臺都要努力精準完成分類化查詢、識別、界定、響應等工作。信息處理技術與支撐技術構成了數據平臺個人信息保護雙重合規的審視模塊。

但上述努力都無法回避一個事實，即數據流通時對技術切口對接的處理。出于隱私安全和競爭等因素的限制，每個數據平臺都使用不同的技術和開發、加密協議，且大多互不兼容。在技術切口不相容時，首先，各數據平臺面臨著技術轉換的沖突問題，如命名沖突、格式沖突、結構沖突、類型沖突等，而任何技術轉換均同時存在著信息外溢風險防控的合規問題。2018年，為達到歐盟《通用數據保護條例》（GDPR）第20條關于大型數據平臺允許用戶輕松地將數據轉移到其他平臺的相關要求，谷歌、Facebook（現Meta Platform）、微軟和Twitter聯合發布“數據轉移項目”，以確立新的數據轉移標準，提高平臺之間數據遷移的方便性。該項目首先面臨的是可移植性和互操作性的技術問題，即需要通過“數據適配器”和“身份適配器”等工具為不同平臺的數據轉換、讀取、認證提供一個通用的標準格式，通過任務管理庫對數據傳輸進行管理，并使用同一加密協議保證數據傳輸的安全[1]。其次是合規問題，2020年7月，歐洲法院因不信任美國數據保護體系而裁定歐盟和美國2016年達成的跨大西洋數據傳輸框架——《隱私之盾協議》（Privacy Shield）無效。此后，歐洲監管機構致力于歐洲數據跨越大西洋傳輸法規的重新制定，以進一步提高個人信息保護的力度。2013年至今，Facebook多次收到愛爾蘭數據保護委員會的命令，委員會以個人信息未得到美國法律及慣例所聲稱的相應合規保護而致外泄等為由，要求Facebook停止將用戶數據從歐盟轉移到美國，并要求其標準合同條款也不能用于歐美的數據傳輸[2]。

如果說封閉數據平臺內的信息保護合規花費是巨大的，那么，技術不相容時合規的花費無疑更大，技術協調的難度也更大，不可確定的風險更易出現。在數字時代的強信息監管訴求下，實現個人信息保護合規要求，可以通過建立通用型技術標準來減少數據平臺自身以及多方數據平臺查詢、識別、界定、響應以及接口相容等費用。同時，為實現遵循適配過錯責任、體現主客觀相統一原則以及避免過度延伸數據平臺的法律責任的法治目的，需要依賴通用型技術標準來衡量數據平臺的主觀過錯及其程度，這是專業技術性較強的領域判定社會主體法律責任承擔與否的不可或缺的衡量方式。在通用型技術標準成熟后，可在追求技術相容、節約成本、減免法律責任等目標的導向下，充分利用技術標準來提高個人信息保護合規的可能性。

2022年4月下發的《中共中央國務院關于加快建設全國統一大市場的意見》，明確提出了要加快培育統一的技術和數據市場，建立健全數據安全、權利保護、安全認證等基礎制度和標準規范，推動數據資源開發和利用。因技術不對等，個人在數字經濟時代享受數字便利的同時，無力制衡數據平臺對數據信息的違規運用。正因如此合規才具有重要意義——它承接著外部制度與內部價值追求。而實現此種價值追求，不能僅僅依靠法律內部動因，也不能僅僅依靠行政監管。引入法律依據，可以完善法律責任判斷機制、明確風險義務構成以及促進行業標準的法律轉化。在法治“理性不及”的情況下，通過引入法律依據實現數據平臺的合規化，是平衡科技發展與個人信息保護的重要路徑，能夠賦能數字經濟、創新通用型技術規范，推動中國特色數字經濟的實踐。

〔責任編輯：吳玲〕

[1]敬力嘉：《個人信息保護合規的體系構建》，《法學研究》2022年第4期。

[1]高重迎、李曄：《數據平臺價格歧視行為的反壟斷規制問題分析》，《中國價格監管與反壟斷》2020年第7期。

[2]張志昌、陳志：《從平臺經濟特性入手促進產業規范健康持續發展》，《科技日報》2022年8月3日。

[3]余筱蘭、劉道云：《大數據平臺商業使用個人數據的法律邊界》，《法治論壇》2021年第1期。

[4]莊子銀：《數據的經濟價值及其合理參與分配的建議》，《國家治理》2020年第16期。

[1]蔡川子：《數據抓取行為的競爭法規制》，《比較法研究》2021年第4期。

[2]莉娜·坎、大衛·博森、林少偉、林斯韋：《信息信義義務理論之批判》，《交大法學》2021年第1期。

[3]張新寶：《互聯網生態“守門人”個人信息保護特別義務設置研究》，《比較法研究》2021年第3期。

[4]趙超、周泉泉、孫鵬程：《電子商務平臺民事責任的司法實踐和探索》，《上海法學研究》集刊2022年第4卷。

[5]趙精武：《從保密到安全：數據銷毀義務的理論邏輯與制度建構》，《交大法學》2022年第2期。

[6]參見北京市朝陽區人民法院〔2018〕京0105民初36658號民事判決書。

[1]王文華、魏祎遠：《互聯網平臺企業反腐敗、反洗錢合規機制構建初探——以G20為視角》，《中國應用法學》2022年第1期。

[2]馬克斯·韋伯：《經濟行動與社會團體》，康樂、簡惠美譯，廣西師范大學出版社2004年版，第226頁。

[3]鐘曉雯：《算法推薦網絡服務提供者的權力異化及法律規制》，《中國海商法研究》2022年第4期。

[4]陳瑞華：《論企業合規的性質》，《浙江工商大學學報》2021年第1期。

[5]葉良芳：《美國法人審前轉處協議制度的發展》，《中國刑事法雜志》2014年第3期。

[6]唐林垚：《數據合規科技的風險規制及法理構建》，《東方法學》2022年第1期。

[1]《薩班斯法案》全稱為《2002年公眾公司會計改革和投資者保護法案》，該法案對在美國上市的公司提出了公司治理、會計職業監管、證券市場監管等方面的合規性要求。

[2]羅培新：《科學化與非政治化：美國公司治理規則研究述評——以對〈薩班尼斯-奧克斯萊法案〉的反思為視角》，《中國社會科學》2008年第6期。

[3]趙鵬：《私人審查的界限——論網絡交易平臺對用戶內容的行政責任》，《清華法學》2016年第6期。

[1]宋亞輝：《厘清網絡平臺協同監管義務》，《中國社會科學報》2022年3月23日。

[2]楊力：《尋找商業目標與公司合規之間的最大公約數》，《政法論叢》2020年第2期。

[3]袁康：《金融科技的技術風險及其法律治理》，《法學評論》2021年第1期。

[4]季金華：《智慧時代司法發展的技術動力、價值基礎和價值機理》，《中國海商法研究》2022年第3期。

[5]參見北京互聯網法院〔2019〕京0491民初28731號民事判決書。

[6]邢會強：《大數據時代個人金融信息的保護與利用》，《東方法學》2021年第1期。

[7]參見杭州互聯網法院〔2021〕浙0192民初2929號民事判決書和杭州市中級人民法院〔2021〕浙01民終12780號民事判決書。

[1]隨著數據相關性研究和數據挖掘技術的發展，一個單一的、不重要的信息可能也會識別到個人。參見Renee M. P.， "Redefining Privacy in the Face of New Technologies： Data Mining and the Threat to the Inviolate Personality"， Canadian Crim. L. Rev， 2005（9）， pp.273-287。

[2]魯傳穎、張璐瑤：《人工智能的安全風險及治理模式探索》，《國家安全研究》2022年第4期。

[3]馮輝、張潔、華晗：《互聯網平臺在保障網絡信息安全中的警示義務——互聯網信息安全與法制建設研究》，《中國信息安全》2015年第10期。

[4]參見北京互聯網法院〔2018〕京0491民初1905號民事判決書。

[5]單勇：《數字看門人與超大平臺的犯罪治理》，《法律科學》2022年第2期。

[6]侯利陽：《論互聯網平臺的法律主體地位》，《中外法學》2022年第2期。

[1]戴龍：《論數字貿易背景下的個人隱私權保護》，《當代法學》2020年第1期。

[2]宮云牧：《數字時代主權概念的回歸與歐盟數字治理》，《歐洲研究》2022年第3期。