邁向二元共治的數據合規(guī)

摘 要： 對數據合規(guī)理念的正確認識應當從規(guī)制史（福利國—規(guī)制國—后規(guī)制國）的角度切入：后規(guī)制國是對規(guī)制國的修正發(fā)展而非全盤否定，因此，“企業(yè)—政府”二元共治論才是全面詮釋數據合規(guī)基本性質的理論路徑。從企業(yè)與政府的雙重視角，引入規(guī)制理論展開分析企業(yè)與政府在規(guī)制資源的分配與規(guī)制空間的重構問題，以“元規(guī)制”的理論視角統(tǒng)合數據合規(guī)框架下的自我規(guī)制與政府規(guī)制，可以從三個角度展開數據合規(guī)的制度構造：在“受指引的自我規(guī)制”中，引入隱私設計理論，通過頒布技術標準引導企業(yè)在設計數據處理技術時貫徹隱私保護的價值理念；在“受監(jiān)督的自我規(guī)制”中，建立風險評估機制，要求企業(yè)對其數據合規(guī)制度體系下數據處理的各個階段進行風險評估；在“受限制的自我規(guī)制”中，通過多元問責方式，合理平衡企業(yè)與專家之間的責任分擔，以一種更為彈性的問責方式在不同階段合理確定企業(yè)應當承擔的責任形式。

關鍵詞： 數據合規(guī)；二元共治；自我規(guī)制；政府規(guī)制；元規(guī)制

一、問題的提出

數據合規(guī)是企業(yè)為預防在數據處理過程中所產生的各種法律風險而在內部開展的系列合規(guī)措施。近年來，由于受到國際浪潮的沖擊，中國陸續(xù)頒布了若干法律，逐漸形成了數據合規(guī)的基本法律體系：2017年正式施行的《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）第21條確立了針對網絡運營者的網絡安全等級保護制度，其中的“制定內部安全管理制度和操作規(guī)程”被學者認為是“數據合規(guī)義務的法定化”^［1］。2021年頒布施行的《中華人民共和國數據安全法》（以下簡稱《數據安全法》）第27條第1款規(guī)定了數據處理者的“建立健全全流程數據安全管理制度”義務，首次在立法上明確數據合規(guī)是企業(yè)在“數據全生命周期”的各個階段都需要開展的工作。同年頒布施行的《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）首次在法律文本中針對數據信息保護使用了“合規(guī)”的表述，如第54條、第58條第1項。由此，作為“三駕馬車”的《網絡安全法》《數據安全法》《個人信息保護法》為企業(yè)開展數據合規(guī)工作提供了基本的規(guī)范依據。

在學界，學者圍繞數據合規(guī)的域外考察、理論基礎、法律依據、實踐探索、體系建構、合規(guī)流程、合規(guī)內容、主要困境^［2～9］等問題展開研究，普遍持一種樂觀態(tài)度且希望國內能盡快完善數據合規(guī)制度體系，從而推動本土的跨國企業(yè)適應國際的合規(guī)標準。然而，學界對數據合規(guī)本身缺乏必要的反思，即現有學界過于關注數據合規(guī)的適用問題（方法論）而忽略了對數據合規(guī)本身性質的認識問題（認識論）。既有研究多將數據合規(guī)理解為“企業(yè)遵守與數據相關的法律法規(guī)”^［10］，對于數據合規(guī)的基本性質，則多持有數據合規(guī)是公司治理方式或法律激勵措施兩種觀點：

其一，將數據合規(guī)視為一種公司治理方式，這是基于企業(yè)角度的理解路徑。數據合規(guī)是企業(yè)合規(guī)的一種，而企業(yè)合規(guī)則是公司治理的三個結構之一^［11］。自20世紀80年代以來，企業(yè)合規(guī)在公司治理結構中的占比逐漸增大，已經成為現代公司治理的重要組成部分^［11］。數據合規(guī)作為一種公司治理方式，其目的主要在于防控與數據處理相關的法律風險，尤其是在Web3.0時代，大數據與算法的雙重加持讓數據合規(guī)風險更加隱蔽與嚴重，這也對企業(yè)開展對數據風險的識別、評估、監(jiān)測和應對等合規(guī)工作提出了更高要求。

其二，將數據合規(guī)視為一種法律激勵措施，這是基于政府角度的理解路徑。在這種理解下，包含數據合規(guī)的企業(yè)合規(guī)往往被視為一種法律激勵措施，因為企業(yè)是利益導向的，僅僅依靠自發(fā)的努力難以建立起一套行之有效的合規(guī)管理體系^［12］。在企業(yè)合規(guī)的發(fā)展史上，雖然也有學者主張企業(yè)合規(guī)存在內發(fā)的道德性基礎^［13］，但各國都通過頒布法律法規(guī)與設立銜接制度對企業(yè)提出激勵性質的合規(guī)要求^［14］，中國也逐漸探索出了本土化的“檢察導向”合規(guī)激勵機制^［15］。

以上兩種對數據合規(guī)的理解路徑都試圖超越“企業(yè)遵守與數據相關的法律法規(guī)”的形式化表述，從而嘗試從功能主義的視角對數據合規(guī)的基本性質形成更為深入的理解。兩種理解路徑都具備一定合理性，但二者都局限于某一主體的視角：從企業(yè)出發(fā)探討作為公司治理方式的數據合規(guī)，忽視了政府對企業(yè)這種內部治理方式的介入與影響；從政府角度出發(fā)探討作為法律激勵措施的數據合規(guī)，則忽視了企業(yè)在法律激勵之下的主觀能動性。針對兩種理解路徑的理論盲點，如何為數據合規(guī)提供一種更為全面自洽的理解？這既涉及數據合規(guī)乃至企業(yè)合規(guī)理論層面的反思，也直接影響在該種理論指導下的數據合規(guī)制度體系的建設?；诖?，本文將跳脫出某個孤立視角的局限，結合企業(yè)與政府的雙重視角，引入規(guī)制理論，嘗試為數據合規(guī)的基本性質提供一種更為全面的二元式理解。此外，本文將不局限于理論建構，在“企業(yè)—政府”二元共治論的基礎上，進一步展開數據合規(guī)的制度建構，以期為理論界與實務界提供更具價值的參考。在文章結構方面，本文首先梳理數據合規(guī)的制度溯源，指出單一視角（從政府規(guī)制到自我規(guī)制）的歷史基礎；其次，引入規(guī)制理論，構建政府與企業(yè)的二元互動框架，實現對單一視角的突破；在此基礎上，提出元規(guī)制理論描述政府規(guī)制與自我規(guī)制之間的互動關系，從而展開數據合規(guī)的全新制度設計。

二、數據合規(guī)的理念演進：一個規(guī)制史

本文試圖引入規(guī)制理論重塑數據合規(guī)的理論框架，故有必要從規(guī)制史的角度梳理數據合規(guī)的理念演進過程?，F有學界對于數據合規(guī)的理念已經形成基本共識，即數據合規(guī)是對傳統(tǒng)賦權型數據治理（以知情—同意機制為核心）的批判，從而導向一種平臺企業(yè)的自治模式^［16］。本文將從更加宏觀的規(guī)制史維度抽象出數據合規(guī)的自治理念：數據合規(guī)代表21世紀興起的“后規(guī)制國”模式，是對20世紀下半葉占主流地位的“規(guī)制國”模式的批判性發(fā)展，而“規(guī)制國”模式又是對二戰(zhàn)后形成的“福利國”模式的反思性改進。

（一）從福利國到規(guī)制國

“規(guī)制國”是與“福利國”相對應的概念。在福利國中，由國家利用公共政策與公共設施直接提供服務和福利。相比之下，“規(guī)制國”的治理模式涉及對公共治理的一系列復雜變革從而實現將控制的重點從傳統(tǒng)科層制轉向規(guī)制工具^［17］。

“福利國”模式在英美兩國有不同的興起背景。英國工黨于二戰(zhàn)后迅速崛起，大力推動公共服務事業(yè)和主要工業(yè)的國有化，推動英國逐漸走上福利國家的道路^［18］。一般認為，美國的福利國家轉向始于經濟大蕭條和羅斯福新政^［19］。大蕭條帶來的大面積失業(yè)為政府規(guī)制的興起提供了巨大的動力，政府對市場所采取的各種類型的干預手段也被認為是正當的，這種政府規(guī)制模式的理論基礎在羅斯福的“第二權利法案”中得到了最高體現，即認為政府應運用公權力保護公民的法定權利。于是，總統(tǒng)權力的空前擴張與中央集權的科層體制（凌駕于各州州權的司法審查）變得不可避免，并且這種規(guī)制模式一直延續(xù)到了二戰(zhàn)后^［20］。

在這樣的背景下，20世紀70年代后，各國發(fā)起的去規(guī)制運動力圖進行各項改革，其中包括著名的民營化運動（privatization），即推動國有企業(yè)股份化和市場化改革。在英國，撒切爾夫人于1979年上臺后，為了讓國家擺脫“英國病”的困擾，開始拋棄凱恩斯主義政策，推動國營企業(yè)私有化，讓英國經濟重新恢復了活力。然而，英國雖然推動政府從重大經濟活動中退出，卻導致國家內規(guī)制權力走向集中化，政府傾向于對市場進行政策性的宏觀調控^［21］。20世紀六七十年代，美國爆發(fā)了大規(guī)模的民權運動，這場運動以羅斯福新政為基礎，卻轉變了新政的政策目標。具體而言，國家政策不再局限于對弱勢群體的救濟，而是涌現于眾多新領域，政府規(guī)制的目的從大蕭條時期的穩(wěn)定經濟轉變?yōu)榱吮Ｗo權利^［21］。

需要指出的是，去規(guī)制的目的并不是完全去除政府規(guī)制，而是對政府規(guī)制的方式進行改良，去除“福利國”的科層規(guī)制體制，從而導向一種“規(guī)制國”的功能性治理模式，但并沒有改變以政府規(guī)制為主導的社會治理模式。事實上，“規(guī)制國”的發(fā)展只是改變了公權力在經濟與社會生活中的運行方式。在人們普遍認識到僅靠市場調節(jié)無法應對復雜的社會關系以及潛在風險的情況下，國家對市場的管控不斷加強，并在規(guī)制范圍上不斷擴大以至于幾乎覆蓋了人們的整個日常生活，于是才有了那句耳熟能詳的感慨：“我們生活在一個‘監(jiān)管型國家’（regulatory state）的時代”^［22］。

（二）從規(guī)制國到后規(guī)制國

“規(guī)制國”主張采用控制型的行政規(guī)制工具，但這種政府規(guī)制也會出現失靈，即“規(guī)制萬能主義”只是無法實現的烏托邦?；诖?，不少學者對規(guī)制國概念提出了代表性的批評，如反對將規(guī)制重點放在國家行動而排斥非政府治理機構^［23］。進入21世紀后，基于對“規(guī)制國”現狀的不滿，逐漸出現了與其對應的“后規(guī)制國”概念。規(guī)制國是在工業(yè)社會背景下逐漸發(fā)展和成熟的，以政府規(guī)制為社會治理的主要模式；后規(guī)制國則是在信息社會背景下逐漸生成與興起的，其主張社會規(guī)制權力的去中心化與規(guī)制主體、規(guī)制方式的多元化。在信息社會背景下，多元化的社會主體開始出現，分散的規(guī)制資源被重新認識，非政府主體的規(guī)制能力被識別。在此背景下，世界各國紛紛在20世紀90年代對原有的規(guī)制國體制進行反思與改革，如美國試圖通過“重新塑造”（reinvention）來超越規(guī)制國^［24］，英國政府也漸漸從重大經濟活動中退出^［18］。

同樣需要注意的是，“后規(guī)制國”理論與“規(guī)制國”理論的關系并不是“非此即彼”或“取而代之”的，而應理解為前者在內涵上豐富與擴展了后者，如在規(guī)制主體上由單一的公共規(guī)制機構轉變?yōu)榘ㄋ饺艘?guī)制機構在內的多元規(guī)制機構，在規(guī)制方式上由單一的國家法擴展為包括軟法在內的多元法律秩序，并在規(guī)制模式上鮮明地主張自我規(guī)制模式。此外，“后規(guī)制國”理論與“規(guī)制國”理論在內容上也存在交叉之處，二者需要進行理論融合。如前所述，雖然“后規(guī)制國”理論發(fā)展了“規(guī)制國”理論的內涵，但若放任“后規(guī)制國”理論將自我規(guī)制模式無限放大，則可能導致規(guī)制含義的虛無或空幻。因此，“后規(guī)制國”理論仍然需要建立在“規(guī)制國”理論的基礎上，不可忽視政府規(guī)制的全局性與兜底性作用。

三、規(guī)制理論視角下的數據合規(guī)：企業(yè)與政府的二元互動

從規(guī)制史的角度抽象出數據合規(guī)的自我規(guī)制理念后，我們可以更加深入地理解既有研究對數據合規(guī)的局限理解。學界對數據合規(guī)的認識之所以限于企業(yè)或政府的單一主體視角，是因為沒有正確理解后規(guī)制國的內涵。如前所述，后規(guī)制國模式并不是對規(guī)制國模式的簡單取代，而是存在一種互動，即后規(guī)制國雖然強調通過自我規(guī)制來彌補政府規(guī)制的不足，但并沒有完全否定或徹底放棄政府規(guī)制，而是認為政府應該轉變原有的規(guī)制地位或規(guī)制模式，對自我規(guī)制形成一種兜底保障機制。在正確認識后規(guī)制國與規(guī)制國的互動關系的基礎上，本文將嘗試在數據合規(guī)中將政府與企業(yè)連接起來，探討雙方在規(guī)制理論框架下的二元互動關系。

科林·斯科特（Colin Scott）對廣義規(guī)制概念進行了經典闡述：“規(guī)制作為一種當代政策工具，其核心含義在于指導或調整行為活動，以實現既定的公共政策目標。”^［17］根據這一界定，規(guī)制的核心在于“實現公共政策目標”，但這一界定并未對實施規(guī)制的主體進行限制。事實上，斯科特所主張的規(guī)制理論存在一個核心預設：有效規(guī)制依賴于規(guī)制資源，而規(guī)制資源總是不足的，因此需要被規(guī)制主體提供規(guī)制資源從而幫助實現規(guī)制目的。在這里我們可以看到，斯科特雖然認識到了被規(guī)制主體的自治價值，卻也同樣沒有忽視規(guī)制主體的原有功能，即其正確認識到了規(guī)制國與后規(guī)制國的互動補充關系。因此，規(guī)制理論視角下的數據合規(guī)存在兩個維度：一方面，政府（規(guī)制主體）要求企業(yè)（被規(guī)制主體）開展數據合規(guī)工作；另一方面，企業(yè)（被規(guī)制主體）運用政府（規(guī)制主體）所不具有的自身資源實現規(guī)制目的。這便是數據合規(guī)背后所隱藏的“企業(yè)—政府”二元互動關系。下文將基于規(guī)制理論的兩個核心概念——“規(guī)制資源”與“規(guī)制空間”——進行深入闡述。

（一）數據合規(guī)的條件：規(guī)制資源的分配

傳統(tǒng)政府規(guī)制在實效上的局限性已為學界所詬病，其主要缺陷在于中心化的權力集中方式無法有效面對日益復雜的規(guī)制需求。對傳統(tǒng)規(guī)制理論的批判背后存在這樣的一個預設：規(guī)制資源并不僅僅掌握在代表國家權力的政府手中，而是分散于政府之外的各種非政府主體之間。顯然，這與后規(guī)制國對規(guī)制國的批判是一脈相承的。

規(guī)制資源與規(guī)制權力是兩個范疇的概念，后者體現的是規(guī)制的正當性，前者則是規(guī)制有效性的指標。一般認為，最重要的規(guī)制資源是信息，尤其是被規(guī)制對象的信息。所謂“規(guī)制資源”，并不限于國家正式權力，還包括財富、信息等能力，而作為最富活力的市場單位的企業(yè)，往往具有很大的財富優(yōu)勢與信息優(yōu)勢。就財富優(yōu)勢而言，雖然企業(yè)的財力無法匹敵國家財政，但國家財政的使用往往存在很多限制，包括實體性限制與程序性限制，而企業(yè)對其財富的使用卻享有很大的自主性與靈活性；就信息優(yōu)勢而言，政府主要通過宏觀調控來影響市場，但其需要依據來源于市場的各種信息才能及時進行政策調整，而企業(yè)由于更加接近市場，其信息渠道往往更為多樣化，能夠獲取更豐富的一手信息。

在Web3.0的大數據時代，數據洪流推動著幾乎所有企業(yè)進行著數字化轉型，在轉型過程中數據（尤其是大數據）的價值進一步顯現，數據開始作為一種資源登上市場舞臺，成為企業(yè)公認的競爭性優(yōu)勢^［25］。不止于此，數據同樣可以成為一種規(guī)制資源，政府可以依托公共數據實現數字化轉型，構建“數字政府”，推動治理的數字化轉型，加強其對企業(yè)的規(guī)制能力^［26］。然而，企業(yè)除了可以通過公共數據的開放或者授權運營等方式使用公共數據以外，同樣享有豐富的數據資源與信息資源，這些規(guī)制資源使企業(yè)在某種程度上獲得了相當大的非正式權力，這種非正式權力甚至能對正式權力秩序產生顯著的影響^［27］。以數據為基礎的規(guī)制權力具有獨特而有效的運作邏輯：平臺企業(yè)作為一個數字基礎設施，吸引用戶享受平臺服務，但用戶在享受服務的同時也在不斷提供其個人的行為數據，這些個人數據全部匯聚在平臺上層，經過智能算法系統(tǒng)的處理分析，形成不同的用戶畫像，進而為每位用戶提供個性化服務，典型便是個性化信息推送服務（信息繭房）^［28］。這種規(guī)制模式迥異于傳統(tǒng)的政府規(guī)制，具備更高的靈活性與即時性，能夠更加有效地實現規(guī)制目標。

在規(guī)制資源的分配格局發(fā)生轉變的情況下，作為一種新型規(guī)制方式的數據合規(guī)被提出，其主張依托企業(yè)自身所具有的規(guī)制資源，實現某種程度上的自我規(guī)制，從而彌補傳統(tǒng)政府規(guī)制的實效局限性。

（二）數據合規(guī)的結果：規(guī)制空間的重構

面對規(guī)制資源的格局轉變，自我規(guī)制成為規(guī)制理論改弦更張的必然選擇，目的在于最大限度地動用各方的規(guī)制資源，進而實現更合理的規(guī)制效果。這種在各主體之間合理配置規(guī)制資源的主張，被稱為“規(guī)制空間”理論。

數據合規(guī)的政策邏輯如下：在大數據時代，企業(yè)掌握著豐富的數據、算力與算法等規(guī)制資源，因此具有很大的規(guī)制能力，可以且應當實現某種程度上的自我規(guī)制。而這種政策考量意味著對傳統(tǒng)政府規(guī)制視野下的“規(guī)制空間”進行重構，即規(guī)制資源不再僅僅掌握在政府手中，而應當承認政府與其他非政府主體共同分享著規(guī)制資源，并且彼此之間相互依賴、相互支持、相互制衡。在這個意義上，數據合規(guī)代表的是一種規(guī)制改革理念，即“重構規(guī)制空間”^［29］。

如何建構一個科學的數據合規(guī)空間，還需要分析兩種規(guī)制手段：自我規(guī)制與政府規(guī)制。具體來說，自我規(guī)制旨在鼓勵、引導企業(yè)自主針對其數據處理行為開展公司內部的合規(guī)建設從而符合相關規(guī)定。自我規(guī)制構成了數據合規(guī)“規(guī)制空間”的主要部分，但需要特別指出的是，自我規(guī)制的提倡并不意味著徹底排斥或否定政府規(guī)制，因為企業(yè)的自我規(guī)制并非“萬能藥”，而更多只是為了適應日益復雜的治理現狀，而自我規(guī)制本身同樣存在不足之處，即企業(yè)的市場導向屬性與其所被賦予的公共規(guī)制職能之間的張力。具體而言，自我規(guī)制的理念為企業(yè)獲得事實上的規(guī)制權力提供了制度空間，但若不對這一“私權力”進行有效的限制與把控，那么這種權力仍然會失控，甚至可能被企業(yè)用于謀取更多經濟利益，從而導致“權錢結合”的嚴重后果。就此而言，在以自我規(guī)制為主導的數據合規(guī)下，仍然不能忽視政府的規(guī)制職能，只是應當適當地轉變政府的規(guī)制角色，即從傳統(tǒng)的政府規(guī)制轉變?yōu)橐环N尊重企業(yè)自我規(guī)制的間接規(guī)制方式。

在規(guī)制空間的重構過程中，如果政府與企業(yè)各自掌握的規(guī)制資源發(fā)生變化，隨之形成的新規(guī)制空間的基本結構也會發(fā)生改變。這在數據合規(guī)中體現得尤為明顯。隨著數字化轉型的逐漸深入，企業(yè)所擁有的數據資源愈加豐富，在豐富數據資源的支撐下進一步形成了強大的算法能力，這種算法能力如果不受到約束，就可能成為一種“算法權力”或“算法利維坦”^［30］。因此，如何在數據合規(guī)中平衡好自我規(guī)制與政府規(guī)制成為重構規(guī)制空間的關鍵。

四、數據合規(guī)的元規(guī)制路徑：在自我規(guī)制與政府規(guī)制之間

前文已述，在規(guī)制理論的框架下，數據合規(guī)背后存在一種“企業(yè)—政府”二元互動關系。這一理論的實踐落實要點在于，實現自我規(guī)制與政府規(guī)制的有機結合。為了實現這一目標，本文將繼續(xù)在規(guī)制理論的框架下提出“元規(guī)制”理論，嘗試通過自洽的邏輯統(tǒng)合自我規(guī)制與政府規(guī)制，從而更好地促進數據合規(guī)在實踐層面的制度展開。

（一）元規(guī)制理論

“元規(guī)制”（Meta-regulation）又稱“受規(guī)制的自我規(guī)制”（Regulated Self-regulation），是指公權力機構對企業(yè)的自我規(guī)制施加外部監(jiān)督和限制的一種規(guī)制模式^［31］。對“元規(guī)制”的理解離不開另外兩個概念：政府規(guī)制與自我規(guī)制?！霸?guī)制”介于政府規(guī)制與自我規(guī)制之間，是兩種規(guī)制的有機統(tǒng)一：一方面是企業(yè)的自我規(guī)制（內部規(guī)制），另一方面是監(jiān)管部門對企業(yè)的自我規(guī)制展開政府規(guī)制（外部規(guī)制）^［32］。從理論上看，元規(guī)制所具有的二元規(guī)制結構非常完美地契合了數據合規(guī)的二元共治論。

在實踐層面，歐盟《通用數據保護條例》（General Data Protection Regulation， GDPR）已經在數據合規(guī)中融合了一定程度的元規(guī)制理念，如GDPR第5條增加的透明度原則與問責原則被認為目的在于強化數據控制者的內部治理機制^［33］，GDPR第35條所規(guī)定的數據保護影響評估義務被認為在保留了自我規(guī)制之靈活性的基礎上施加了外部規(guī)制的壓力^［34］，反觀國內規(guī)范，《個人信息保護法》第58條規(guī)定的“獨立監(jiān)督機構”在很大程度上體現了元規(guī)制的基本理念^［35］。

元規(guī)制能否有效適用于數據合規(guī)的關鍵在于，如何確保企業(yè)在開展數據合規(guī)工作中能夠合理運用其基于自身規(guī)制資源所享有的事實上的規(guī)制權力而不至于濫用其權力損害個人利益與公共利益。政府規(guī)制與自我規(guī)制雖然能夠在理論上結合于元規(guī)制，但仍然需要通過具體的制度展開予以落實。

（二）元規(guī)制視角下數據合規(guī)的制度展開

如前所述，元規(guī)制是自我規(guī)制與政府規(guī)制的有機統(tǒng)一而非機械結合，因此在適用元規(guī)制理論時，不應當將元規(guī)制的自我規(guī)制部分與政府規(guī)制部分區(qū)分開，而應當在具體制度中討論兩種規(guī)制模式的相互協調。具體而言，數據合規(guī)作為制度化的自我規(guī)制理念，其在保證企業(yè)自治的同時，需要受到政府的間接規(guī)制，在不同階段分別表現為“受指引的自我規(guī)制”“受監(jiān)督的自我規(guī)制”與“受限制的自我規(guī)制”，三者具體化為三種制度：隱私設計、風險評估與多元問責。

1.受指引的自我規(guī)制：隱私設計

所謂“受指引的自我規(guī)制”，即雖然企業(yè)在開展數據合規(guī)工作時享有很大的自主權，但這種自我規(guī)制模式是受到政府的規(guī)范性指引的。本文擬提出的對策是“隱私設計”（Privacy by Design，PbD），即要求企業(yè)在設計數據處理系統(tǒng)時融入隱私保護合規(guī)的價值理念^［36］。PbD已經在歐盟GDPR第25條實現了法律化，該條款主張將匿名化、最小化等技術措施融入具體的數據處理操作。PbD的概念最早由加拿大渥太華省信息與隱私委員會前主席安·卡沃基安（Ann Cavoukian）女士于20世紀90年代提出。2010年左右，安女士正式提出PbD的七大原則：“主動而非被動，預防而不是補救”（Proactive not Reactive；Preventative not Remedial）、“默認隱私”（Privacy as the Default Setting）、“隱私嵌入設計”（Privacy Embedded into Design）、“功能完整—正和而非零和”（Full Functionality-Positive-Sum，not Zero-Sum）、“端到端的安全—數據全生命周期保護”（End-to-End Security-Full Lifecycle Protection）、“可見性和透明性—保持開放”（Visibility and Transparency-Keep it Open）、“尊重用戶隱私—以用戶為中心”（Respect for User Privacy-Keep it User-Centric）^［37］。

PbD意味著賦予企業(yè)很大的自主權，因為技術不再被認為是價值中立與價值無涉的，而是可以體現一定的價值理念。在這一認識下，PbD在數據合規(guī)中的適用，意味著企業(yè)在開展數據合規(guī)工作時，應當將隱私保護的合規(guī)要求作為技術設計的指引，從而在處理數據的技術系統(tǒng)中充分貫徹隱私保護的價值理念。毫無疑問，PbD的理想圖景非常契合元規(guī)制的基本理念：企業(yè)在開展數據合規(guī)工作時享有技術設計的自主權，體現自我規(guī)制的基本理念；企業(yè)在進行技術設計時需要遵守隱私保護的法律法規(guī)，以合規(guī)的思維將法律規(guī)范對隱私保護的價值理念融入技術設計中，從而保障設計出的系統(tǒng)在處理數據時能夠滿足基本的隱私保護合規(guī)要求，這又體現出政府的間接規(guī)制。

在具體的方法論上，根據霍夫曼等人的總結，PbD的具體設計方法主要包括八種：最小化、隱藏、分離、聚合、通知、控制、執(zhí)行和展示^［38］。以《信息安全技術 數據安全能力成熟度模型》5.4.2.1的“數據生存周期安全過程域”為分析框架，由于合規(guī)側重點的差異，在數據全生命周期的各個階段所需要用到的設計方法各不相同，如數據采集階段的最小化技術、數據傳輸階段的加密技術、數據存儲階段的定期刪除技術、數據處理階段的分離與聚合技術、數據交換階段的控制技術、數據銷毀階段的不可逆刪除技術等。

然而，PbD的適用存在一個很大的缺陷，即如何跨越法律與技術之間的鴻溝？法律規(guī)范是一種可供理解的文本，人工智能等技術卻是通過代碼運行的系統(tǒng)。應當承認的是，PbD在很大程度上正是由于技術相對于人類的相對客觀性才備受青睞，但這也恰恰是其弱點，即遵從代碼運行之形式邏輯的技術系統(tǒng)如何“轉譯”包含價值概念的法律文本？在現有技術下，實現“法律代碼化”的精確轉譯顯然是行不通的，且這也在某種程度上有違民主法治的基本精神^［39］。更進一步而言，如果PbD的最終目的是實現國家制定的法律規(guī)范與企業(yè)設計的技術代碼的同一，那么這與傳統(tǒng)的政府規(guī)制就將毫無區(qū)別，即企業(yè)將不再享有自治空間，數據合規(guī)的自我規(guī)制理念也將不復存在。因此，更可取的做法是，通過制定技術標準或操作指南，從而實現PbD標準化。歐盟曾發(fā)布《關于第25條數據保護的指導方針》，列舉4項PbD設計標準：技術狀態(tài)、實施成本、處理行為的性質及可能存在的風險。有學者建議，應當由全國信息安全標準化技術委員會參照國際標準制定PbD設計指南^［40］。

本文認為，有關PbD的技術標準在很大程度上屬于算法設計的范疇，因為PbD所涉及的技術系統(tǒng)都是在數據全生命周期中處理數據的系統(tǒng)，這與數據的“引擎”——算法是密切相關的。此外，企業(yè)在Web3.0所享有的規(guī)制權力也在很大程度上是一種算法權力，因為算法能夠真正將企業(yè)所掌握的海量數據資源轉化為經濟效益從而促進數字經濟的發(fā)展。因此，針對PbD的技術標準問題可以轉化為對算法的規(guī)制問題，這往往同時涉及程序性問題與實質性問題，分別對應于《個人信息保護法》第24條第1款關于自動化決策的“透明度”與“結果公平、公正”。在程序性問題方面，重點需要解決的是PbD的“算法黑箱”問題，即有關技術標準的制定應當致力于導向“算法透明”。需要注意的是，“算法透明”并不僅僅意味著“算法公開”，因為基于專業(yè)壁壘，公開算法的程序或代碼對于受算法自動化決策影響的用戶而言并無太大意義，因此這就需要輔之以《個人信息保護法》第24條第3款的“算法解釋”，賦予用戶請求企業(yè)對算法進行說明的權利，如自動化決策的依據、流程等。該條款的“對個人權益有重大影響的決定”的前置性條件留存了可解釋的空間，此處可以理解為規(guī)制理論框架下自我規(guī)制與政府規(guī)制的動態(tài)性平衡關系：對于掌握較大數據資源的超大型平臺企業(yè)，由于其提供的服務覆蓋度廣、涉及面多，因此需要對其自我規(guī)制進行較大的限制，算法解釋的前置性門檻應當相應降低；對于掌握較少數據資源的一般型平臺企業(yè)，由于其仍處于發(fā)展階段，對用戶的影響較小，應當鼓勵其積極自我規(guī)制，算法解釋的前置性門檻應當相應提高。由此看來，自我規(guī)制與政府規(guī)制的動態(tài)平衡同時也是數字經濟發(fā)展與數字權利保護之間的動態(tài)平衡。

在實體性問題方面，PbD的技術標準應當著眼于算法的輸出結果，即實現一種結果的“合理的一致性”。“一致性”的規(guī)范依據是《個人信息保護法》第24條第2款的“應當同時提供不針對其個人特征的選項，或者向個人提供便捷的拒絕方式”。具體而言，判斷PbD是否滿足技術標準的指標在于，其自動化決策輸出的結果是否存在一致性，即是否會根據用戶的個人特質進行不合理的差別性決策。此處之所以是“合理的一致性”，在于有些差別性決策是合理的，即每個用戶都有自己更為關注的信息，我們所要避免的只是違反意愿的“算法霸權”。因此，此處同樣可以輔之以“算法解釋”作為緩沖機制。

需要注意的是，由于客觀性風險（代碼如何精確表達數據合規(guī)要求）與主觀性風險（代碼可能滲入代碼編寫人員的意志）的存在，隱私設計有可能引發(fā)平臺企業(yè)數字權力無限擴張的風險^［41］。從這個角度看，政府規(guī)制對自我規(guī)制的限制始終是有必要的。

2.受監(jiān)督的自我規(guī)制：風險評估

PbD作為“受引導的自我規(guī)制”，顯然是不充分的，因為PbD的技術標準屬于一種“軟法”，并不具有強制力，企業(yè)仍然享有很大的自主權，如果不通過其他制度進行約束，那么將很有可能為企業(yè)通過PbD擴張其數字化權力提供便利（算法利維坦）。因此，企業(yè)開展數據合規(guī)工作不僅需要受到引導，還需要受到監(jiān)督，此即“受監(jiān)督的自我規(guī)制”。具體而言，在企業(yè)建立起基本的數據合規(guī)制度體系后，其需要對該合規(guī)制度體系下的數據處理流程進行風險評估，即在某種程度上驗證數據合規(guī)制度體系的成效。

歐盟GDPR第35條就規(guī)定了“數據保護影響評估”，要求數據控制者應當在數據歸集行為可能對自然人的自由權利造成高風險時，開展“數據保護影響評估”，又稱“隱私影響評估”。近年來，隱私影響評估制度已經獲得各國政府機構、企業(yè)、隱私專家的高度認同，歐盟、加拿大、美國等都在倡導這一制度，蘋果、微軟、惠普等互聯網巨頭也在踐行這一舉措^［42］。在隱私影響評估的實施步驟方面，英國信息委員會辦公室2014年發(fā)布的報告《執(zhí)行隱私影響評估的實踐代碼》進行了總結：確定隱私評估的需求，描述數據流，識別隱私和相關風險，界定和評估隱私解決方案，簽署并記錄隱私影響評估的結果，將評估結果反饋到項目計劃中。在中國，有關個人信息保護的數據合規(guī)風險評估機制的規(guī)范依據是《個人信息保護法》第55、56條所規(guī)定的“個人信息保護影響評估”。事實上，中國早在2017年發(fā)布的國家標準《信息安全技術 個人信息安全規(guī)范》中就提出“個人信息安全影響評估”，并在2020年發(fā)布的《信息安全技術 個人信息安全影響評估指南》全面規(guī)定了個人信息安全影響評估的具體實施流程。

本文認為，目前對數據合規(guī)風險評估機制的討論主要圍繞該機制的具體建構與實踐適用問題，缺乏對該機制效力的討論，即風險評估的結果有何法律效力？其如何與其他制度進行銜接？回到數據合規(guī)的基本原理，數據合規(guī)既是企業(yè)開展自我規(guī)制的形式，也是政府規(guī)制的激勵性手段體現。具體而言，數據合規(guī)風險評估機制可以與“涉案企業(yè)合規(guī)從寬”制度銜接起來。以《深圳市企業(yè)數據合規(guī)指引》第3條為例，數據合規(guī)風險評估結果可以作為該條第1款的“履行數據合規(guī)義務”的義務履行標準。數據合規(guī)風險評估結果良好的，應當在該條第3款的“有效性標準”中作為有效合規(guī)證明予以考量。此處需要說明的是，數據合規(guī)風險評估機制是基于數據全生命周期的風險評估，涉及數據采集、數據傳輸、數據存儲、數據處理、數據交換、數據銷毀等多個階段，因此相應的風險評估結果也應當是階段性的，即對數據合規(guī)風險評估結果的認定不應呈現為“一攬子”認定，而應當區(qū)分各個階段分別予以認定。

此外，除了與“涉案企業(yè)合規(guī)從寬”制度銜接，數據合規(guī)風險評估機制還可以與《個人信息保護法》第54條的“合規(guī)審計”制度連接起來。2023年8月，國家互聯網信息辦公室發(fā)布了《個人信息保護合規(guī)審計管理辦法（征求意見稿）》及配套的《個人信息保護合規(guī)審計參考要點》，首次明確了個人信息保護合規(guī)審計的基本要求。與公權力導向的“涉案企業(yè)合規(guī)從寬”不同，合規(guī)審計是由企業(yè)內部機構（內審）或第三方專業(yè)機構（外審）為實施主體的，其目的在于對企業(yè)的個人信息處理活動是否遵守法律、行政法規(guī)的情況進行審查和評價，屬于私權力監(jiān)督模式。就此而言，元規(guī)制不僅僅意味著統(tǒng)合政府規(guī)制與自我規(guī)制，還主張規(guī)制主體的多元化，即在規(guī)制資源不斷分散的情況下，應當協調政府、企業(yè)、第三方等多元主體的規(guī)制權力，重新塑造更加節(jié)約規(guī)制成本的規(guī)制空間結構。數據合規(guī)風險評估機制嵌入這一規(guī)制格局的方式在于，企業(yè)自行開展風險評估所得的數據合規(guī)風險評估結果可以作為內審或外審的參考，這也是內部獨立監(jiān)督機構與外部第三方專業(yè)機構獲取被審計企業(yè)信息的重要方式，這既是基于成本收益分析的優(yōu)質選擇，也避免了對企業(yè)自主開展數據合規(guī)風險評估機制的積極性的打擊。概而言之，在個人信息保護合規(guī)審計中，基本框架仍然是“企業(yè)—政府”二元共治格局，即政府頒布法律要求企業(yè)對自身的數據合規(guī)工作開展合規(guī)評估，但開展合規(guī)審計的主體可以是內部獨立監(jiān)督機構或外部第三方專業(yè)機構，這就進一步豐富了規(guī)制資源的分配格局，可以形成制衡各方規(guī)制權力的更佳規(guī)制空間結構。

事實上，評估機制的法理基礎是平臺企業(yè)通過證明自己的數據風險治理能力來獲得政府的信任，從而避免公權力對平臺企業(yè)經濟活動的直接介入。但在一定程度上，評估機制也推動形成了一種競爭秩序。當政府的公權力背書具備稀缺性時，平臺企業(yè)就有動力投入相應的資源予以爭取^［43］。實踐中，這種競爭態(tài)勢逐漸演化為一種“錦標賽理論”（tournament theory）^［44］的模型預設，這種模式在激勵平臺企業(yè)開展合規(guī)評估的同時，是否會為資本力量開通非正當的綠色通道，也是政府規(guī)制需要予以考量的地方。

3.受強制的自我規(guī)制：多元問責

作為“受監(jiān)督的自我規(guī)制”的風險評估從事前預防的角度督促企業(yè)自主評估數據合規(guī)制度體系下的風險，從而實現對企業(yè)自我規(guī)制的監(jiān)督；這一部分的多元問責則是從事后救濟的角度對企業(yè)自我規(guī)制施加的限制。與前兩個環(huán)節(jié)相比，作為“受強制的自我規(guī)制”的多元問責更多地體現了公權力介入的強制性，起到兜底保障的作用。

具體而言，對于因數據合規(guī)不達標而存在侵犯信息數據等法律風險的企業(yè)，應當建立相應的問責機制。在規(guī)范層面，域外的GDPR第5條明確了對企業(yè)作為數據處理者的問責機制，國內的《個人信息保護法》第51條要求個人信息處理者履行相應的信息保護合規(guī)義務，如采用加密、去標識化等安全技術措施，以及確定個人信息保護負責人、定期對從業(yè)人員進行安全教育和培訓等組織措施。

本文主張的“多元問責”包括“責任主體多元”與“責任形式多元”。責任主體多元意味著企業(yè)并非唯一且必然的責任主體。結合GDPR序言第78條規(guī)定，經設計的數據保護的義務主體不僅僅限于數據控制者，還延伸至“生產者”和“處理者”。國內于2019年發(fā)布的《新一代人工智能治理原則》要求“人工智能研發(fā)者、使用者及其他相關方應具有高度的社會責任感和自律意識，嚴格遵守法律法規(guī)、倫理道德和標準規(guī)范。建立人工智能問責機制，明確研發(fā)者、使用者和受用者等的責任”，已經反映出擴張人工智能領域責任主體范圍的意圖。當然，直接將設計者、開發(fā)者納入責任主體范疇，目前條件尚不成熟，對此可采取鼓勵性條款或自我承諾方式，對其責任承擔方式加以柔性化處理^［45］。以PbD為例，在因數據合規(guī)不達標而產生法律風險的情況下，如何分擔企業(yè)（委托方）與專家（被委托方）之間的法律責任？毫無疑問，企業(yè)是數據合規(guī)的法定義務人，其需要承擔主要的法律責任；然而，專家在PbD中扮演著重要角色，因為處理數據的技術系統(tǒng)是由專家設計的。PbD被廣為詬病的一點就在于，專家（代碼編寫人員）在某種程度上成為了事實上的立法者^［41］。此處可以聯系“受引導的自我規(guī)制”，即技術標準是企業(yè)運用PbD開展數據合規(guī)工作的指導，但技術標準究竟在多大程度上起到了引導作用，還有賴于企業(yè)的內部合規(guī)制度體系建設。在責任承擔方面，如果企業(yè)參照技術標準形成了公司內部的規(guī)章制度，并用以指導技術系統(tǒng)的設計，那么就可以認為企業(yè)的過錯較小，其自我規(guī)制可以得到繼續(xù)肯定；反之，如果企業(yè)內部沒有形成符合技術標準的規(guī)章制度，則可以初步認定其沒有很好地接受政府規(guī)制的引導，應當承擔較大的責任。在專家方面，應當以企業(yè)與專家之間的委托合同合理確認專家所應當承擔的責任范圍。在實踐考察中，應當重點關注企業(yè)是否有將相關的數據合規(guī)要求以便于理解的方式告知專家，且在技術系統(tǒng)成型后，企業(yè)應當進行產品驗收，即測試與評估該技術系統(tǒng)在處理數據的過程中是否存在侵犯信息數據的法律風險，是否滿足了PbD關于保護個人隱私的基本價值理念，這又可以與“受監(jiān)督的自我規(guī)制”的風險評估機制銜接起來。

責任形式多元主要是基于數據合規(guī)的基本性質之考量。數據合規(guī)作為一種自我規(guī)制模式，其順利開展得益于法律的激勵措施，因此對數據合規(guī)的規(guī)制性問責也不宜帶有過于濃烈的強制性色彩（一刀切）。根據布雷思韋特的執(zhí)法金字塔（enforcement pyramid）理論，規(guī)制者應當情景化地思考，與被規(guī)制者進行結構式的對話。具體而言，規(guī)制者應首先盡量選用干預程度較低的規(guī)制措施（如教育、建議、勸導），如果這些措施失靈，規(guī)制者才逐步采取干預度更高的執(zhí)法措施（如警告、制裁）^［47］。因此，對數據合規(guī)的問責可以采用一種“執(zhí)法金字塔”思維，根據企業(yè)對待問責的態(tài)度與反應決定與調整不同梯度的責任形式。依據一般的企業(yè)合規(guī)理論，國內律師為律師提供的合規(guī)服務一般包括三部分：打造合規(guī)計劃、提供合規(guī)調查、應對執(zhí)法調查^［48］。與之對應，數據合規(guī)中的“企業(yè)—政府”二元互動關系可以在每個階段體現出來，從而確定企業(yè)在自我規(guī)制失范時所應當承擔的責任。在打造合規(guī)計劃階段，企業(yè)享有制定公司內部規(guī)章制度的自主權，企業(yè)需要在法律法規(guī)與技術標準的指引下建立完善公司內部的數據合規(guī)制度體系，若未達到形式上的基本合規(guī)要求（如紙面上的規(guī)章制度、組織架構上的數據合規(guī)官等），有關監(jiān)管部門可以責令企業(yè)盡快完善內部數據合規(guī)制度體系從而滿足法律法規(guī)的要求；在提供合規(guī)調查階段，在企業(yè)內部的數據合規(guī)制度體系已經基本建立起來的情況下，如果企業(yè)在數據處理活動中出現了法律風險乃至已經發(fā)生了違法違規(guī)行為，則需要在有關監(jiān)管部門的要求與指引下開展合規(guī)內部調查，對企業(yè)的違規(guī)行為、違規(guī)人員、合規(guī)機制漏洞等問題展開獨立的調查活動，即所謂“以合規(guī)換取寬大處理”；在應對執(zhí)法調查階段，如果企業(yè)的違法違規(guī)行為已經案發(fā)，則需要應對有關監(jiān)管部門的執(zhí)法調查，在監(jiān)管部門的要求下提供相應的證據材料，如證明企業(yè)已經履行了“三駕馬車”等法律法規(guī)所要求的網絡經營企業(yè)應當承擔的網絡數據安全管理義務，包括建立全流程安全管理制度、設立數據安全負責人和管理機構、建立定期風險評估與專業(yè)審計等制度等，從而爭取獲得最大限度的寬大處理。概而言之，通過一種彈性的問責機制，區(qū)分不同階段要求企業(yè)承擔不同的法律責任，既照顧了企業(yè)的自我規(guī)制，又保障了政府規(guī)制的兜底性保障。

五、結語

在國家積極推動企業(yè)建立數據合規(guī)制度體系的浪潮下，數據合規(guī)本身的理論思考在很長一段時間內遭到了學界的忽視，本文正是立足于這一熱潮下的冷思考，從而引入規(guī)制理論深入分析數據合規(guī)背后所隱藏的社會關系。概而言之，大數據時代下的企業(yè)掌握著豐富的數據資源從而獲得了一定的規(guī)制資源，享有了不同于傳統(tǒng)政府權力的規(guī)制權力，而政府也在這一規(guī)制資源分配格局發(fā)生轉變的情況下逐漸改變自己的規(guī)制角色，進而重新塑造了國家治理圖景下的規(guī)制空間。在這一理論視角下，單一的企業(yè)視角（公司治理方式）與政府視角（法律激勵措施）都無法全面地揭示數據合規(guī)的基本性質。有鑒于此，本文提出的“企業(yè)—政府”二元共治論將是更具參考意義的理論工具。

在“企業(yè)—政府”二元共治論的理論基礎上，應當在實踐層面平衡好企業(yè)與政府之間的規(guī)制權力沖突，即自我規(guī)制與政府規(guī)制之間的張力。就此而言，規(guī)制理論框架下的“元規(guī)制”可以提供進一步的分析視角，即應當避免將自我規(guī)制與政府規(guī)制相互割裂，而應當將二者有機結合，并從制度建構的角度探討二者的互動關系。本文擬提出三種相互關聯、循序漸進的互動方式：在“受指引的自我規(guī)制”中，引入隱私設計理論，通過頒布技術標準引導企業(yè)在設計數據處理技術時貫徹隱私保護的價值理念；在“受監(jiān)督的自我規(guī)制”中，建立風險評估機制，要求企業(yè)對其數據合規(guī)制度體系下數據處理的各個階段進行風險評估；在“受限制的自我規(guī)制”中，通過多元問責方式，合理平衡企業(yè)與專家之間的責任分擔，以一種更為彈性的問責方式在不同階段合理確定企業(yè)應當承擔的責任形式。

在Web3.0時代，數據合規(guī)代表著一種“規(guī)制多元主義”的治理理念，即傳統(tǒng)的“政府中心主義”規(guī)制理念已經日漸捉襟見肘，各種非政府主體因掌握龐大的數據資源也成為了事實上的規(guī)制主體，享有不可忽視的規(guī)制權力。在這一規(guī)制圖景下，每個規(guī)制主體同時又是被規(guī)制主體，各主體在彼此限制、彼此制衡中共同重構了新時代的規(guī)制空間。就此而言，本文所提出的數據合規(guī)“企業(yè)—政府”二元共治論只是“規(guī)制多元主義”下新規(guī)制空間的冰山一角，完整的圖景描繪還將留待進一步的理論洞察與審慎分析。

參考文獻：［1］

李勇.數據合規(guī)的模式變革——從權利人“知情同意”到使用者“預測算法”［J］.西南政法大學學報，2022（5）：117.

［2］陳兵.數字企業(yè)數據跨境流動合規(guī)治理法治化進路［J］.法治研究，2023（2）：35-37.

［3］楊力.論數據安全的等保合規(guī)范式轉型［J］.法學，2022（6）：24-26.

［4］李玉華，馮泳琦.數據合規(guī)的基本問題［J］.青少年犯罪問題，2021（3）：7-12.

［5］杜何陽，何騰蛟.數據合規(guī)流通制度的上海經驗和探索［J］.中國外資，2020（20）：47-49.

［6］陳瑞華.大數據公司的合規(guī)管理問題［J］.中國律師，2020（1）：88.

［7］張旭，田園.算法治理視閾下的企業(yè)合規(guī)：困境、邏輯與進路［J］.蘭州大學學報（社會科學版），2022（2）：95-96.

［8］王倩，顧雪瑩.GDPR下涉歐企業(yè)的員工個人數據合規(guī)管理［J］.德國研究，2021（2）：125-136.

［9］何航.企業(yè)數據安全合規(guī)治理的關鍵問題與紓解［J］.貴州社會科學，2022（10）：127.

［10］胡玲，馬忠法.論中國企業(yè)數據合規(guī)體系的構建及其法律障礙［J］.科技與法律，2023（2）：42.

［11］陳瑞華.企業(yè)合規(guī)的基本問題［J］.中國法律評論，2020（1）：180，183-184.

［12］尹云霞，莊燕君，李曉霞.企業(yè)能動性與反腐敗“輻射型執(zhí)法效應”［J］.交大法學，2016（2）：28-41.

［13］陳瑞華.論企業(yè)合規(guī)的基本價值［J］.法學論壇，2021（6）：7.

［14］崔永東.從法律激勵視角看企業(yè)合規(guī)［J］.法治研究，2023（1）：124.

［15］李本燦.企業(yè)合規(guī)程序激勵的中國模式［J］.法律科學，2022（4）：149.

［16］鄢浩宇.企業(yè)數據合規(guī)的困境紓解與體系構建［J］.華中科技大學學報（社會科學版），2024（4）：36.

［17］科林·斯科特.規(guī)制、治理與法律：前沿問題研究［M］.安永康，譯.北京：清華大學出版社，2018：115-116.

［18］倪洪濤.論西方行政法治的主要類型［J］.法律科學（西北政法大學學報），2022（3）：114，116.

［19］Edwin Amenta. Bold Relief： Institutional Politics and the Origins of Modern American Social Policy［M］. Princeton： Princeton University Press，1998：200.

［20］桑斯坦.權利革命之后：重塑規(guī)制國［M］.鐘瑞華，譯.北京：中國人民大學出版社，2008：24-25.

［21］陳明.認真對待規(guī)制——評《規(guī)制、治理與法律：前沿問題研究》［J］.公法研究，2021（1）：396-417.

［22］克里斯托弗·胡德等.監(jiān)管政府：節(jié)儉、優(yōu)質與廉政體制設置［M］.陳偉，譯.上海：三聯書店出版社，2009：12.

［23］Peter Grabosky. Using Non-Governmental Resources to Foster Regulatory Compliance［J］. Governance，1995（8）：527.

［24］Richard Pildes， Cass Sunstein. Reinventing the Regulatory State［J］. The University of Chicago Law Review，1995（1）：62.

［25］何敏，馬詩雅.互聯網企業(yè)數據不正當競爭一般條款適用邏輯之辨［J］.科技與法律，2022（2）：54-62.

［26］沈費偉，諸靖文.數據賦能：數字政府治理的運作機理與創(chuàng)新路徑［J］.政治學研究，2021（1）：104-115.

［27］孫笑俠.數字權力如何塑造法治？——關于數字法治的邏輯與使命［J］.法制與社會發(fā)展，2024（2）：67-69.

［28］胡凌.平臺發(fā)包制：當代中國平臺治理的內在邏輯［J］.文化縱橫，2023（4）：18-27.

［29］Michael Clarke. Regulation： The Social Control of Business Between Law and Politics［M］. London：Palgrave Macmillan，2000：25-26.

［30］季衛(wèi)東.主權的嬗變——數字化“魔獸世界”與法律秩序創(chuàng)新［J］.交大法學，2023（5）：8-13.

［31］羅伯特·鮑德溫，馬丁·凱夫，馬丁·洛奇.牛津規(guī)制手冊［M］.宋華琳，李鸻，安永康，等，譯，上海：三聯書店出版社，2017：167.

［32］韓新華.平臺時代網絡內容治理的元規(guī)制模式［J］.中國出版，2022（5）：51.

［33］周漢華.探索激勵相容的個人數據治理之道——中國個人信息保護法的立法方向［J］.法學研究，2018（2）：3-23.

［34］Macenaite. The Riskification of European Data Protection Law Through a Two-fold Shift［J］. European Journal of Risk Regulation，2017（3）：506-540．

［35］劉紹宇.超大互聯網平臺中個人信息保護獨立監(jiān)督機構的元規(guī)制論［J］.重慶理工大學學報（社會科學），2023（5）：127.

［36］占南.重大疫情防控中的個人信息保護研究——基于隱私保護設計理論［J］.現代情報，2021（1），104-105.

［37］張濤.個人數據保護中“通過設計保護隱私”的基本原理與制度建構［J］.華東理工大學學報（社會科學版），2020（6）：133-135.

［38］Jaap-Henk Hoepman. Privacy Design Strategies［M］. Berlin： Springer，2014：51-52.

［39］阿圖爾·考夫曼.法律哲學［M］.劉幸義，等，譯.北京：法律出版社，2011：143.

［40］張濤.大數據時代“通過設計保護數據”的元規(guī)制［J］.大連理工大學學報（社會科學版），2021（2）：86.

［41］段俊熙，徐亞文.隱私設計的數字權力風險與多元優(yōu)化路徑［J］.長江論壇，2024（6）：78.

［42］鄭志峰.人工智能時代的隱私保護［J］.法律科學，2019（2）：57.

［43］段俊熙.重構人工智能風險治理：從內部視角到外部視角［J］.西安電子科技大學學報（社會科學版），2024（2）：68-69.

［44］周黎安.中國地方官員的晉升錦標賽模式研究［J］.經濟研究，2007（7）：38.

［45］張繼紅.經設計的個人信息保護機制研究［J］.法律科學，2022（3）：42.

［46］Demetrius Klitou. Liberty and Security in the 21st Century［M］. Berlin：Springer，2014：282-283.

［47］lan Ayres，John Braithwaite. Responsive Regulation： Transcending the Deregulation Debate［M］. London： Oxford University Press，1992：35.

［48］陳瑞華.企業(yè)合規(guī)基本理論［M］.北京：法律出版社，2022：495.

Towards Dual Co-governance for Data Compliance：

From the Perspective of Regulatory Theory

DUAN Junxi，XU Yawen

Abstract： A correct understanding of the concept of data compliance should start from the perspective of the history of regulation （welfare state-regulatory state-post-regulatory state）： the post-regulatory state is a corrective development of the regulatory state rather than a total rejection of the regulatory state， and therefore， the theory of “business-government” dualism is the theoretical path to comprehensively interpret the basic nature of data compliance. Combining the dual perspectives of the enterprise and the government， the theory of regulation is introduced to analyze the allocation of regulatory resources and the reconfiguration of regulatory space between the enterprise and the government. On this basis， the theoretical perspective of “meta-regulation” is used to unify self-regulation and government regulation under the framework of data compliance， and the institutional structure of data compliance can be developed from three perspectives： in “guided self-regulation”， privacy design theory is introduced to guide enterprises in the design of data processing through the issuance of In “guided self-regulation”， the theory of privacy design is introduced， and enterprises are guided to implement the value concept of privacy protection in the design of data processing technology through the promulgation of technical standards; in “supervised self-regulation”， a risk assessment mechanism is established， requiring enterprises to assess the risk of each stage of data processing under the system of their data compliance system; in “restricted self-regulation”， multiple accountability mechanisms are established to ensure that enterprises are able to fulfill their obligations under the system of data compliance. In “restricted self-regulation”， a reasonable balance is struck between the sharing of responsibilities between enterprises and experts through multiple accountability methods， so as to reasonably determine the forms of responsibility that enterprises should assume at different stages in a more flexible manner.

Key words： data compliance; dual co-governance; self-regulation; government regulation; meta-regulation

（責任編輯：葉光雄）