元監(jiān)管“次生風(fēng)險(xiǎn)”之先定規(guī)范機(jī)制研究-以歐盟GDPR數(shù)據(jù)控制者為例

摘要元監(jiān)管是一種能夠確保數(shù)據(jù)安全風(fēng)險(xiǎn)防范目的與手段相適應(yīng)的風(fēng)險(xiǎn)規(guī)制技術(shù)手段。本文以歐盟GDPR中的數(shù)據(jù)掌握者為樣本進(jìn)展?fàn)幷?，分析了元監(jiān)管的制度設(shè)計(jì)和治理效能，覺察元監(jiān)管必定導(dǎo)致 “次生風(fēng)險(xiǎn)”問題，并從其內(nèi)容、形式以及表現(xiàn)等維度，對該問題進(jìn)展提醒。爭論結(jié)論得出，運(yùn)用先定標(biāo)準(zhǔn)機(jī)制對數(shù)據(jù)掌握者的權(quán)力進(jìn)展限定，是解決該問題的路徑之一。引言歐盟在《通用數(shù)據(jù)保護(hù)條例》〔The General Data Regulation,GDPR〕中運(yùn)用元監(jiān)治理論，認(rèn)為元監(jiān)管可以保護(hù)數(shù)據(jù)安全和數(shù)據(jù)主體信息自由權(quán)，降低政府職能部門的監(jiān)管本錢、提高監(jiān)管效率。元監(jiān)管“次生風(fēng)險(xiǎn)”則指歐盟監(jiān)管機(jī)構(gòu)引導(dǎo)數(shù)據(jù)掌握者所建立起的一種內(nèi)部監(jiān)管機(jī)制，該機(jī)制造成數(shù)據(jù)掌握者侵害數(shù)據(jù)主體信息自由權(quán)〔包括個(gè)人數(shù)據(jù)隱私權(quán)和其他根本權(quán)利〕的風(fēng)險(xiǎn)不斷涌現(xiàn)。21世紀(jì)初，國外學(xué)術(shù)界就已開頭從社會學(xué)角度爭論風(fēng)險(xiǎn)規(guī)制理論，倫敦政治經(jīng)濟(jì)學(xué)院胡特(B.Hutter) 教授認(rèn)為，元監(jiān)管是政府對企業(yè)自我監(jiān)管的監(jiān)管；南威爾士大學(xué)法學(xué)院摩根 (B.Morgan) 教授提出，元監(jiān)管是一種對社會、個(gè)人進(jìn)展的間接且敏捷的監(jiān)管方式。國內(nèi)近些年才開頭爭論，計(jì)算機(jī)學(xué)領(lǐng)域的學(xué)者段澤孝認(rèn)為，元監(jiān)管是算法技術(shù)在法律實(shí)踐中的應(yīng)用，有助于實(shí)現(xiàn)保護(hù)個(gè)人人權(quán)和公共安全的雙重目標(biāo)；湘潭大學(xué)的肖冬梅教授等將歐盟 GDPR 評估制度和我國《數(shù)據(jù)安全技術(shù)個(gè)人數(shù)據(jù)安全標(biāo)準(zhǔn)》進(jìn)展了比較分析，提出應(yīng)當(dāng)進(jìn)一步細(xì)化評估流程；南京大學(xué)信息治理學(xué)院的博士后王錚等介紹了歐盟GDPR中的數(shù)據(jù)保護(hù)官制度，認(rèn)為我國數(shù)據(jù)保護(hù)人才培育應(yīng)當(dāng)抓住崗位設(shè)置、人才培育和專業(yè)建設(shè)三個(gè)要素。綜上，國內(nèi)學(xué)術(shù)界尚缺乏爭論元監(jiān)管應(yīng)用中消滅的 “次生風(fēng)險(xiǎn)”問題，并且無視了包括歐盟 GDPR 在內(nèi)的數(shù)據(jù)安全領(lǐng)域 “次生風(fēng)險(xiǎn)”問題爭論。鑒于此，本文將進(jìn)展?fàn)幷?。元監(jiān)治理論的制度設(shè)計(jì)和治理效能〔一〕制度設(shè)計(jì)元監(jiān)管是指外部監(jiān)管主體引導(dǎo)監(jiān)管客體建立的一種回應(yīng)公共問題的內(nèi)部自我監(jiān)管機(jī)制。歐盟GDPR將元監(jiān)管劃分為風(fēng)險(xiǎn)評估、保護(hù)措施影響評估和保護(hù)措施決策三個(gè)層次。首先數(shù)據(jù)掌握這科學(xué)調(diào)查并測量風(fēng)險(xiǎn)狀況，進(jìn)而對最初認(rèn)知的數(shù)據(jù)安全風(fēng)險(xiǎn)進(jìn)展風(fēng)險(xiǎn)評估，并基于結(jié)果做出高/低風(fēng)險(xiǎn)的推斷；其次，數(shù)據(jù)掌握著就擬實(shí)行的風(fēng)險(xiǎn)防范措施進(jìn)展數(shù)據(jù)保護(hù)影響力評估，推斷數(shù)據(jù)處理措施是否能夠?yàn)閿?shù)據(jù)主體信息自由權(quán)供給適當(dāng)?shù)谋Ｗo(hù)，進(jìn)而對風(fēng)險(xiǎn)防范措施以及其可能產(chǎn)生的風(fēng)險(xiǎn)進(jìn)展必要性、比例性以及正值性的價(jià)值推斷；最終，要求數(shù)據(jù)掌握者基于保護(hù)措施影響評估的結(jié)論，在不同的風(fēng)險(xiǎn)防范措施之間做出取舍，進(jìn)而做出是否實(shí)施風(fēng)險(xiǎn)防范措施、何時(shí)實(shí)施風(fēng)險(xiǎn)防范措施以及實(shí)施哪種風(fēng)險(xiǎn)防范措施的決策推斷?！捕持卫硇蹽DPR元監(jiān)管通過要求數(shù)據(jù)掌握者將擬實(shí)行的數(shù)據(jù)處理措施和可能產(chǎn)生的風(fēng)險(xiǎn)進(jìn)展本益分析，提高了歐盟法律對數(shù)據(jù)掌握者的可問責(zé)性，為數(shù)據(jù)保護(hù)改革的問責(zé)制轉(zhuǎn)型供給了途徑。另一方面，云監(jiān)管也為數(shù)據(jù)控制著權(quán)衡數(shù)據(jù)保護(hù)原則和數(shù)據(jù)保護(hù)程序供給了路徑。例如，GDPR第35條的數(shù)據(jù)保護(hù)影響評估，將程序、風(fēng)險(xiǎn)、責(zé)任作為其根本因素。元監(jiān)管“次生風(fēng)險(xiǎn)”的范疇及其緣由要求數(shù)據(jù)掌握者建立起一種內(nèi)部監(jiān)管機(jī)制，進(jìn)而保護(hù)數(shù)據(jù)主體信息自由權(quán)的元監(jiān)管可以說是目前數(shù)據(jù)保護(hù)司法實(shí)踐中最適當(dāng)?shù)谋O(jiān)管方法。但在實(shí)踐中卻面臨著“次生風(fēng)險(xiǎn)”帶來的消極后果。以下將從三個(gè)維度分析：〔一〕內(nèi)容維度監(jiān)管主體生硬地將風(fēng)險(xiǎn)規(guī)制替代傳統(tǒng)規(guī)制，從而盲目地向監(jiān)管客體授予自由裁量權(quán)，這是造成 “次生風(fēng)險(xiǎn)”的內(nèi)容維度。風(fēng)險(xiǎn)評估、保護(hù)措施影響評估和保護(hù)措施決策三個(gè)局部彼此相互連接，確立了GDPR 數(shù)據(jù)掌握者在其建立的內(nèi)部監(jiān)管機(jī)制中擁有確定權(quán)力，而這正是造成元監(jiān)管“次生風(fēng)險(xiǎn)”的問題根源所在。監(jiān)管客體會因過度關(guān)注自身利益而造成其濫用或棄用自由裁量權(quán)的 “次生風(fēng)險(xiǎn)”，并最終導(dǎo)致元監(jiān)管因流于形式，而缺乏實(shí)質(zhì)性的價(jià)值?！捕承问骄S度監(jiān)管客體作為建立并日常運(yùn)行內(nèi)部監(jiān)管系統(tǒng)的主體，對風(fēng)險(xiǎn)主客觀認(rèn)識的不統(tǒng)一，是導(dǎo)致數(shù)據(jù)掌握者實(shí)行不適當(dāng)處理措施的直接緣由，進(jìn)而造成“”的形式維度。由于對風(fēng)險(xiǎn)的主觀生疏和客觀狀況存在偏差，監(jiān)管客體既簡潔高估風(fēng)險(xiǎn)而陷入風(fēng)險(xiǎn)防范過度的誤區(qū)，又簡潔低估風(fēng)險(xiǎn)而落入風(fēng)險(xiǎn)防范缺乏的陷阱，二者均會引發(fā)不適當(dāng)?shù)姆抢硇蕴幚泶胧罱K導(dǎo)致“次生風(fēng)險(xiǎn)”產(chǎn)生?！踩潮憩F(xiàn)維度元監(jiān)管的利益相關(guān)方對于風(fēng)險(xiǎn)的片面生疏，是造成其彼此之間過度關(guān)注自身利益而無視整體共同利益，進(jìn)而造成 “次生風(fēng)險(xiǎn)”的表現(xiàn)維度。各利益相關(guān)方較為全面的理解風(fēng)險(xiǎn)，是各方達(dá)成風(fēng)險(xiǎn)規(guī)制共識進(jìn)而防范“次生風(fēng)險(xiǎn)”的根底，但準(zhǔn)確理解風(fēng)險(xiǎn)含義格外困難。首先，基于風(fēng)險(xiǎn)的制度將風(fēng)險(xiǎn)作為權(quán)衡監(jiān)管機(jī)構(gòu)風(fēng)險(xiǎn)治理手段和風(fēng)險(xiǎn)評估等級的基準(zhǔn)點(diǎn)，而監(jiān)管機(jī)構(gòu)必需要經(jīng)過相關(guān)利益衡量后，才能對處理措施優(yōu)先次序予以確認(rèn)，從而在制衡風(fēng)險(xiǎn)方面發(fā)揮有效作用；其次，基于風(fēng)險(xiǎn)路徑則將風(fēng)險(xiǎn)作為平衡數(shù)據(jù)掌握者的風(fēng)險(xiǎn)等級評估和風(fēng)險(xiǎn)治理措施，進(jìn)而形成基準(zhǔn)，并且強(qiáng)調(diào)在風(fēng)險(xiǎn)治理之前必需進(jìn)展風(fēng)險(xiǎn)評估和做出具體預(yù)案；再次，風(fēng)險(xiǎn)治理將風(fēng)險(xiǎn)作為數(shù)據(jù)處理者實(shí)行處理措施治理的對象；最終，風(fēng)險(xiǎn)監(jiān)管通過風(fēng)險(xiǎn)來確定一個(gè)特定活動，并且從一開頭就確定其是否應(yīng)當(dāng)受到政府、法律或其他合法組織的監(jiān)管?！按紊L(fēng)險(xiǎn)”問題源于監(jiān)管主體、監(jiān)管客體和利益相關(guān)方，未從利益共同體動身對元監(jiān)管“次生風(fēng)險(xiǎn)”問題進(jìn)展全面生疏和權(quán)衡，就實(shí)行了不當(dāng)?shù)奶幚泶胧瑥亩斐娠L(fēng)險(xiǎn)由潛在可能轉(zhuǎn)變?yōu)楝F(xiàn)實(shí)。元監(jiān)管“次生風(fēng)險(xiǎn)”之先定標(biāo)準(zhǔn)假設(shè)想防范次生風(fēng)險(xiǎn)，應(yīng)通過事先預(yù)定的 “評估標(biāo)準(zhǔn)”對數(shù)據(jù)掌握者的自由裁量權(quán)予以限定，實(shí)現(xiàn)界限、原則、程序以及協(xié)商等 “四位一體”的防范元監(jiān)管“次生風(fēng)險(xiǎn)”問題機(jī)制，具體如下所述：〔一〕標(biāo)準(zhǔn)界限數(shù)據(jù)處理界限能夠?qū)⒒陲L(fēng)險(xiǎn)路徑的風(fēng)險(xiǎn)標(biāo)準(zhǔn)和傳統(tǒng)標(biāo)準(zhǔn)進(jìn)展有效區(qū)分。運(yùn)用元監(jiān)管完全取代傳統(tǒng)標(biāo)準(zhǔn)約束的生疏不僅是錯(cuò)誤的，而且會造成數(shù)據(jù)掌握者的權(quán)力濫用或棄用。只有那些具備不確定性、未知性、主觀性的風(fēng)險(xiǎn)活動，才適用元監(jiān)管方法去校正傳統(tǒng)標(biāo)準(zhǔn)。如 GDPR第24 條(1)款和第25 條(1)款規(guī)定，只有處理措施存在給數(shù)據(jù)自然人信息自由權(quán)造成潛在風(fēng)險(xiǎn)的狀況下，或只有在風(fēng)險(xiǎn)標(biāo)準(zhǔn)領(lǐng)域，數(shù)據(jù)掌握者才應(yīng)當(dāng)實(shí)行措施。其一，就數(shù)據(jù)保護(hù)目標(biāo)而言，數(shù)據(jù)掌握著必需明確保護(hù)數(shù)據(jù)主體信息自由權(quán)和保護(hù)數(shù)據(jù)本身安全的區(qū)分。據(jù)GDPR第1 〔1〕款〔2〕款，歐盟GDPR 制定的目標(biāo)是保護(hù)與個(gè)人數(shù)據(jù)處理相關(guān)的自然人和其數(shù)據(jù)的自由流淌其二，通過敬重?cái)?shù)據(jù)主體的主觀意愿，數(shù)據(jù)掌握者能夠在行使自由裁量權(quán)的過程中，有效地避開了侵害數(shù)據(jù)主體信息自由權(quán)。其三，關(guān)于其他例外狀況，法律應(yīng)當(dāng)就高風(fēng)險(xiǎn)情景下，授予數(shù)據(jù)掌握者足以防范數(shù)據(jù)安全風(fēng)險(xiǎn)的自由裁量權(quán)，并預(yù)先做出必要的規(guī)制?！捕硺?biāo)準(zhǔn)原則數(shù)據(jù)處理原則在數(shù)據(jù)安全領(lǐng)域中發(fā)揮著一般性指引作用，表達(dá)的是法律的抽象價(jià)值。雖然數(shù)據(jù)處理原則相比數(shù)據(jù)處理程序，仍舊給數(shù)據(jù)掌握者留下了較大的自由裁量空間，但是前者相比后者仍舊具有不行替代的指引和約束功能。GDPR其次章確定的數(shù)據(jù)處理原則，在防范元監(jiān)管“次生風(fēng)險(xiǎn)”方面產(chǎn)生了格外有益的效果。主要表達(dá)在以下六個(gè)方面：公正溝通原則。數(shù)據(jù)掌握者在實(shí)行措施，防范數(shù)據(jù)主體信息自由權(quán)面臨的風(fēng)險(xiǎn)之前，應(yīng)充分和數(shù)據(jù)主體進(jìn)展溝通、滿足數(shù)據(jù)主體的合理利益訴求。目的限制原則。數(shù)據(jù)掌握者實(shí)行風(fēng)險(xiǎn)防范措施不得逾越保護(hù)數(shù)據(jù)主體信息自由權(quán)的目的。依法合規(guī)原則。數(shù)據(jù)掌握者依據(jù)自身以及第三者的合法權(quán)益，在處理數(shù)據(jù)時(shí)不得侵害數(shù)據(jù)主體信息自由權(quán)。操作透亮原則。數(shù)據(jù)掌握者在處理和共享數(shù)據(jù)時(shí)要確保數(shù)據(jù)主體對個(gè)人數(shù)據(jù)的掌握權(quán)，以防數(shù)據(jù)主體個(gè)人數(shù)據(jù)的泄露。權(quán)力平衡原則。數(shù)據(jù)掌握者應(yīng)結(jié)合具體狀況，在保護(hù)數(shù)據(jù)安全和數(shù)據(jù)主體信息自由權(quán)之間查找到平衡點(diǎn)。義務(wù)問責(zé)原則。數(shù)據(jù)掌握者應(yīng)當(dāng)擔(dān)當(dāng)和自由裁量權(quán)全都的法律義務(wù)，隨著數(shù)據(jù)掌握者自由裁量權(quán)的擴(kuò)大，其法律義務(wù)也隨之增加。如據(jù)GDPR第13 條(1) 款，無論個(gè)人數(shù)據(jù)是否從數(shù)據(jù)主體處采集，數(shù)據(jù)掌握者都有向數(shù)據(jù)主體供給詳盡信息的義務(wù)?！踩硺?biāo)準(zhǔn)程序一般而言，數(shù)據(jù)處理程序不但表達(dá)在保證法律正常實(shí)施方面，而且其本身就要求程序上要合法，進(jìn)而起到防范權(quán)力濫用或棄用的標(biāo)準(zhǔn)作用。數(shù)據(jù)處理程序通常包括數(shù)據(jù)主體權(quán)利和自由的評估機(jī)制、問責(zé)機(jī)制、解釋機(jī)制三局部內(nèi)容，可以較好規(guī)制數(shù)據(jù)掌握者的自由裁量權(quán)。評估機(jī)制數(shù)據(jù)掌握者必需嚴(yán)格依據(jù)數(shù)據(jù)處理程序的操作標(biāo)準(zhǔn)進(jìn)展評估，一方面是確保數(shù)據(jù)處理手段的必要性，另一方面則是確保數(shù)據(jù)處理手段和保護(hù)數(shù)據(jù)主體信息自由權(quán)的適當(dāng)性。問責(zé)機(jī)制數(shù)據(jù)掌握者必需對數(shù)據(jù)處理程序做出的風(fēng)險(xiǎn)治理決策予以負(fù)責(zé)。GDPR 規(guī)定，在必要時(shí)，監(jiān)管機(jī)構(gòu)有審查數(shù)據(jù)掌握者是否進(jìn)展數(shù)據(jù)保護(hù)評估的義務(wù)，但目前包括 GDPR 在內(nèi)的歐盟法律文件尚無就數(shù)據(jù)處理程序中關(guān)于數(shù)據(jù)掌握者的義務(wù)做出規(guī)制。解釋機(jī)制數(shù)據(jù)掌握者必需能夠就數(shù)據(jù)處理程序向監(jiān)管機(jī)構(gòu)做出合理解釋。由于人類學(xué)問是有限的，規(guī)制出完善的數(shù)據(jù)處理程序是不現(xiàn)實(shí)的，所以要求數(shù)據(jù)掌握者就數(shù)據(jù)處理程序做出合理解釋是一種理性選擇?！菜摹硺?biāo)準(zhǔn)協(xié)商GDPR第12 條(1)款規(guī)定，數(shù)據(jù)掌握者應(yīng)當(dāng)以一種簡潔、透亮、易懂的形式，清楚、清楚、平白的語言和數(shù)據(jù)主體進(jìn)展溝通。數(shù)據(jù)處理實(shí)質(zhì)上一般包括數(shù)據(jù)主體協(xié)商、數(shù)據(jù)保護(hù)部門協(xié)商和監(jiān)管機(jī)構(gòu)協(xié)商三局部內(nèi)容。數(shù)據(jù)主體權(quán)利和義務(wù)協(xié)商。據(jù)GDPR第15條(1)款，數(shù)據(jù)主體不但有權(quán)得悉數(shù)據(jù)掌握者是否正在處理數(shù)據(jù)主體的個(gè)人數(shù)據(jù)，而且有權(quán)得悉數(shù)據(jù)主體處理個(gè)人數(shù)據(jù)的目的、類型、來源等。數(shù)據(jù)保護(hù)部門協(xié)商。數(shù)據(jù)保護(hù)部門的主要作用之一，就是和數(shù)據(jù)主體、數(shù)據(jù)掌握者、監(jiān)管機(jī)構(gòu)以及其他利益相關(guān)群體進(jìn)展溝通，并給出合理建議。據(jù)GDPＲ第39 條(1) 款，數(shù)據(jù)保護(hù)部門應(yīng)當(dāng)就數(shù)據(jù)處理原則、數(shù)據(jù)處理程序，向各利益相關(guān)方供給建議，應(yīng)當(dāng)在全部有關(guān)詢問的事項(xiàng)中充當(dāng)監(jiān)管機(jī)構(gòu)的橋梁。監(jiān)管機(jī)關(guān)協(xié)商。監(jiān)管機(jī)關(guān)的溝通協(xié)商應(yīng)當(dāng)具有強(qiáng)制性、單向性、指導(dǎo)性，由此才能夠使數(shù)據(jù)掌握者通過元監(jiān)管的方式保護(hù)數(shù)據(jù)主體信息自由權(quán)。否則數(shù)據(jù)處理協(xié)商一旦失去風(fēng)險(xiǎn)溝通內(nèi)核，必定無法限制數(shù)據(jù)掌