杨 淦
(东华大学 人文学院,上海 200051)
《个人信息保护法》将个人信息处理者区分为“一般个人信息处理者”和“大型个人信息处理者”,①为行文方便,下文将《个人信息保护法》第五十八条规定的提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者统称为“大型个人信息处理者”。并为后者设定特殊的合规义务,其中包括定期发布个人信息保护社会责任报告以及接受社会监督。此前,《网络安全法》也有关于网络运营者承担社会责任的规定,①参见《网络安全法》第九条。其表述与《公司法》和《中华人民共和国民法典》(以下简称《民法典》)中的社会责任条款高度相似。②参见《公司法》第五条,《民法典》第八十六条。相较而言,《个人信息保护法》的规定有所不同:其一,在规范主体上,限缩了发布社会责任报告的义务主体;
其二,将规范内容的落脚点置于社会责任报告;
其三,在规范结构上未将社会责任条款单列,而是与其他法定义务同条规定。
传统理论认为,社会责任条款的倡导意义大于规范意义,很少将其视为一项法律规则进行规范分析。这导致商业实践中,社会责任常被视为公司对营利收入的社会化分配,以慈善捐赠为主要表现形式。司法实践中,法院因为社会责任含义的模糊不清而缺乏对其进行解释适用的动力。[1]于个人信息处理者而言,脱离产品设计和日常决策的社会责任无助于督促企业通过自我规制来保护用户个人信息,个人信息保护社会责任报告也很可能成为个人信息处理者的慈善广告。因此,进一步明确个人信息保护社会责任的法律内涵及其实现机制实有必要。这不仅有助于个人信息保护社会责任发挥其督促个人信息处理者自我规制的应有作用,也能推动《个人信息保护法》与《公司法》在个人信息保护问题上实现联动呼应。
本文首先阐明个人信息保护进入企业社会责任范畴的理论机理,其次从社会责任的一般内涵中析出个人信息保护社会责任的法律内涵,最后从裁判规范和合规治理两个角度探讨个人信息保护社会责任的实现机制。本文的初步结论为合规义务应向董事会与监事会双向下沉,尤其应重视监事会履行合规监督义务的专业性和积极性。为此,可以将《个人信息保护法》第五十八条第一款规定的个人信息保护监督机关嵌入监事会当中。
在展开论证之前,本文对相关概念的语境做如下限定:第一,实践中以互联网平台为代表的网络服务提供者和以国家机关为代表的公共机构都是用户数量巨大、业务类型复杂的个人信息处理者。但两者的法律地位和社会职能具有显著差异,保护个人信息的维度和路径也各有不同,本文仅探究网络平台所承担的个人信息保护社会责任。第二,虽然《民法典》第八十六条将社会责任的义务主体扩展至所有营利法人,但因公司制度在财产运作和风险隔离等方面具有不可替代的功能优势,[2]且公司依然是最具广泛性和吸引力的营利法人,加之实践中提供互联网服务的规模化平台也无一不是采纳公司制的组织形式,因此,在社会责任语境下,本文没有特别区分“企业”“公司”“营利法人”三个概念。
(一)网络平台权力话语在数字社会中的强化与滥用
信息技术革命给人类创造了“未来已来”的恢弘图景,[3]数字社会已经成为社会发展的必然形态。[4]在人类交往空间被分化和拓展的同时,信息技术不但嵌入、改变了个人与组织的行为模式,也重新塑造了权力话语的生产和分配机制。作为一种依靠武力和信仰去支配他人的社会现象,权力的享有主体从多元分散向国家垄断的演进过程随着近代以来民族国家的兴起而发生。然而权力垄断并非一成不变的事实,在数据被纳入生产要素的战略背景下,国家与其他社会主体分享权力的现象正在发生。
作为信息的符码化载体,数据最初只是国家权力中一种被收编的统计工具。[5]21在以技术服务和数据控制为核心的网络平台兴起以后,权力来源也随着数据分配和交换场域的分散变化呈现出“去中心化”的态势。平台通过数据先占和技术优势,重新塑造了与用户之间超越平等商事法律关系的私人秩序。这些以平台使用规则和管控措施为主要内容的新秩序,隐含着准立法权、准行政权和准司法权的权力话语。[6]44-45在某种意义上,权力的社会化过程成为了权力的数字化过程。[5]21
平台获得权力话语既是政府规制缺位之必然,也是平台维持稳定生产秩序之需要。然而,平台在数字社会中自发获得的权力有别于国家权力的公开性,它往往借助技术设计来影响人们的行为方式与价值观念,从而完成权威隐藏。它可能为那些被忽视的弱势声音提供扩散机会,也可能因训练数据的偏差而生产错误的“数据画像”,[7]或将用户困在算法歧视和干扰的漩涡之中。[8]这种不易被察觉的隐藏权威往往最为有效。[9]反映到个人信息处理过程中引发的现实风险在于,非法收集、买卖或使用信息;
通过算法技术进行社会分选、歧视对待;
通过人格画像将人格沦为客体并加以操控等方方面面。[10]面对这些侵害信息权益的重重风险,个体既无法独自抵抗,也不愿脱离信息流通的便利情景。[11]由于缺乏类似于现代法治国家民主责任机制的约束,[6]47-48这种隐藏的权威在背离道德底线产生消极影响时更不容易被外界察觉和规制,而且其往往披着自由契约的外衣。流于形式的“告知—同意”规则不但更改了契约订立中的磋商机制而未能到达保护信息主体权利的目的,[12]而且容易忽视个人信息的公共属性及其他主体的利益诉求,从而限制数字经济的发展,这也能够解释为什么传统私法对平台权力的规范十分有限。在大数据的快速发展深刻改变现有生产和生活方式并引发思维方式和社会形态变革的背景下,[13]迫切需要寻求一种驱动权力主体自律改善内在治理的调整策略。
(二)社会责任作为消解权力滥用的立法表达
从政治权力视角看,大数据创造了一种现代权力范式和权力叙事。[14]在面对数字经济驱动所引发的个人信息保护新问题时,以技术规制为重心的法律进路显得捉襟见肘。从技术规制的视角来看,技术风险源于科学也应求解于科学,应将技术治理作为归正道德失范的万能解药。[15]26这往往表现为将技术视为可以独立存在的人造物并归为某种法律客体,通过简单赋权设定新型权利,设定技术和质量标准,监管使用场景,通过用户协议进行契约规范,事后落实损害赔偿等方面。[16]完全依赖技术规范来有效约束道德失范的预设前提是,以技术标准为主要内容的大量管制规范可以预见或发现技术发展中的失德行为,但技术发展的路径不可能完全呈现为一种规律的“规范作业”。[17]资本力量的驱动为技术人员和技术产业释放私利留有空间,在应对以数字化平台为代表的一类颠覆传统生产组织方式的系统性问题时,规则导向的技术治理可能出现“只见树木,不见森林”的规制窘境。因此,从规则导向转向原则导向的“降维虚化”成为各国回应技术道德失范的趋同选择。[15]28
事实上,人类已经不是首次面对技术进步引起生产方式的变革。在信息革命以前,人类在应对农业革命、产业革命带来的新问题时,无一不是借助道德指引与法律规训的结合来顺利过渡。社会责任理论思潮的兴起正是社会对法律乏力的一种回应。[18]人们希望企业为股东谋求利益的同时承担更多的社会责任来消弭其权力扩张带来的不利影响。而企业也愿意主动通过关怀职工、捐赠社区等回报社会的方式来粉饰权力对社会的危害。[19]
无论是作为权力的控制手段还是作为权力的粉饰手段,从外在意义上看,社会责任入法是法律规则向承载着普适道德理念的概括性条款借力。从内在意义上看,社会责任入法不但可以使企业借助社会责任来表达一些被正式确认并且维持的企业价值理念,还可以作为促进守法内化、自律向善的警醒。
公司力量的壮大带来“权力—责任”模型的变革,公司社会责任因此成了边争论边实践的世纪工程。从“利益相关者理论”到“企业公民理论”再到“企业系统理论”等,①已有较多研究梳理了社会责任理论思潮的更迭,如沈洪涛、沈艺峰《前言》,载《公司社会责任思想起源与演变》,上海人民出版社2007年版;
施天涛《〈公司法〉第5条的理想与现实:公司社会责任何以实施》,载《清华法学》2019年第5期;
刘俊海《论公司社会责任的制度创新》,载《比较法研究》2021年第4期。这些理论更迭推动着公司社会责任逐步超越理想蓝图而进入实在法。然而社会责任入法仍停留在浅表层面,援用社会责任条款作为依据的司法裁判付之阙如,其规范属性和规范内容的模糊是造成这一窘境的主要原因。《个人信息保护法》第五十八条将发布社会责任报告列入大型个人信息处理者的特别义务之中,意在强调通过提高透明度来督促义务主体履行社会责任。但从行为指引和司法适用的角度来看,同样面临上述问题。因此,有必要透过社会责任法律条款的核心内涵来明确个人信息保护社会责任的义务主体和规范内容。
(一)社会责任的法律内涵及规范解构
1.界定社会责任法律内涵的基本立场
社会责任的法律内涵取决于对其性质的界定,法律意义上的社会责任实为义务性责任已无争议,[20]但在法律义务与道德义务之间仍有诸多争论。②“一元论”将道德意蕴阻隔于社会责任的法律内涵之外,认为法律责任体现为公司负有维护社会公共利益的义务和侵害公共利益应承担的法律责任。参见赵万一、朱明月《伦理责任抑或法律责任——对公司社会责任制度的重新审视》,载《河南省政法管理干部学院学报》2009年第2期。多数观点认为社会责任既是法律义务,也是道德义务,社会责任的道德义务主要依靠市场、舆论、风俗、习惯等法律之外的非正式的制度安排。参见朱慈蕴《公司的社会责任:游走于法律责任和道德准则之间》,载《中外法学》2008年第1期。或体现为自觉遵守商业伦理中的道德规范,恪守公序良俗。参见刘俊海《关于公司社会责任的若干问题》,载《理论前沿》2007年第22期。将社会责任的法律内涵完全超脱于道德并不可行,因为具体法律制度的设计既会受到道德理念的影响,也会反作用于现实中的道德表现。[21]社会责任正是道德以动态形式进入法律的立法表达,其在法律与道德之间承载着重要的媒介和沟通功能,能够缓和因公司营利性的负外部性溢出而与其他社会主体之间的紧张关系。法律越是对约束企业权力的扩张感到无力,就越渴望借助道德来助推企业超越利润追求完成自我升华。这也意味着社会责任是一个“在本质上存在争议的概念”,①“本质上存在争议的概念”这一观点最早由语言哲学家加利(W.B.Gallie)提出,目的是为复杂概念的争议提供理性的秩序和框架。其形式标准具备五项:评价性特征、内在复杂性、多元解释性、开放性、竞争性。参见W.B.Gallie.Essentially Contested Concepts.Proceeding of the Aristotelian Society,vol.56,1956.转引自丁延龄《权力:一种“本质上争议的概念”还是“家族相似性概念”》,载《法制与社会发展》2013年第3期。这类概念的普遍特征在于糅合了复杂的价值因素而具有开放性,会随着环境的变化作出不可预测的修正。这也正是一个世纪以来公司社会责任思潮能够横贯各个领域而广受热议的重要原因。概念本质的争议性为界定社会责任内涵带来的启示在于:我们只能析出一些能够识别社会责任的核心要素,以便使公司和社会的关系在特定时间和背景下达到最佳。[22]回应它的法律也不是单一的立法条款,而是由不同立法目的、不同内容层次、不同约束强度的规范形式相互配合形成的一整套开放性法律制度体系。在此意义上,社会责任的法律内涵既包括以《公司法》和《民法典》为基础的共性内涵,也包括在某一特定法律制度下的个性内涵。对于后者的内容与效力,应在特定立法目的和规范体系之内通过解释来获得。
2.社会责任法律内涵的核心内容
关于社会责任规范内容的完整表述见于《民法典》第八十六条和《公司法》第五条。在坚守“民商合一”的背景下,虽然对于《民法典》总则编中有关“法人—营利法人”的一般规定能否全部取代现行《公司法》的总则内容有不同观点,但对于《民法典》第八十六条可以覆盖《公司法》第五条争议不大。两处规范都在社会责任中规定了道德内容。《公司法》第五条的道德范畴包括社会公德、商业道德和诚实守信,《民法典》第八十六条仅保留了商业道德。此外,增加了“维护交易安全”,删除了“遵守法律、行政法规”。
社会公德是指维护公共安全、稳定社会秩序等指向公共利益和维持共同生存所需底线道德的基本秩序。[23]从行为效力和权利行使来看,分别属于公序良俗和诚实信用的涵摄范围。商业道德有别于社会公德,前者突出在特定商事活动领域内符合市场逻辑,具有普遍认知并被接受的观念、准则和规范体系,认定时需参考行业惯例、行业自律组织制定的公约、技术规范等。②参见北京市高级人民法院《关于涉及网络知识产权案件的审理指南》第33条。在一些尚未形成公认商业道德的新兴市场或行业中,法官创制商业道德的做法也并不少见。[24]诚实守信既可以是遵守社会公德,也可以是遵守商业道德,[25]64在社会责任中不具有独立内涵。维护交易安全分别包括权利外观保护和经营者安全保障义务两个层面,但不同于商业活动所面临的风险内容及强度,在风险防范与化解风险的方式上均有不同,所以散见于侵权编、合同编、《公司法》等其他单行法规定中。
关于社会责任的内容应否包含遵守法律存在争议。支持者认为,守法是企业履行社会责任的基本义务,[25]64反对者认为,守法是社会主体的基本义务,[26]其作为社会责任内容并无特殊性。在关于社会责任是真是伪的早期争论中,普遍认为企业只要不违法作恶就算是承担了社会责任。①参见Friedman,M.,The Social Responsibility of Business Is to Increase Its Profits,The New York Times Magazine,September 13,1970。但守法是有人的自由意志参与其中的行为,在惩罚机制和利益机制的共同作用下,守法观念本就包含“外在的被动守法”和“内化的自律守法”两层观念。[27]后者是在“道德—法律—守法义务”三个支点构成的理论系统中形成的,在这一层面,道德摆脱了抽象静态的存在而处于动态的守法过程之中。这意味着守法不仅应保持对法的可谬性的警觉,[28]还应符合那些超越具体规则的法律原则和普世性道德理念。因此,在社会责任的法律内涵中强调守法义务至少具有两点意义:其一,在受信义务与其他法定义务之间建立起衔接机制,化解公司管理者在受信义务体系下遭遇“一仆多主”的逻辑难题;
[25]66其二,督促企业合规自律,以弥补成文法律规则和规则执行机制的空白。②当然,《民法典》第八条已经规定“民事主体从事民事活动,不得违反法律,不得违背公序良俗”。从规范体系自洽的角度考虑,《民法典》第八十六条剔除“遵守法律、行政法规”的表述并无不妥。
(二)个人信息保护社会责任的义务主体
根据《个人信息保护法》第五十八条所指向的义务主体,承担个人信息保护社会责任的主体为大型个人信息处理者,主要为大型网络平台经营者,其外在形态可以是硬件终端、操作系统、应用程序App、客户端、搜索引擎或网站。[29]实践认定中,应综合考虑信息处理者的营业总额和市值、用户数量、个人信息的采集能力、数据分析能力、涉及的个人数量、业务类型及所处的市场地位等要素。更具体的量化标准需由国家网信部门予以明确。但欧盟《数字市场法(草案)》中规定“持续更新名单并定期调整数量阈值”的做法也值得借鉴。[30]
除此以外,鉴于个人信息作为识别工具具有公共价值,[31]应当认为一般的个人信息处理者也应承担以个人信息保护为核心的社会责任,《网络安全法》第九条可以作为补强的法律依据。将个人信息保护社会责任的义务主体做扩大解释的意义在于,法院可以将法无明文规定,但又符合社会对一般个人信息处理者普遍期望的商业伦理上升为个人信息保护社会责任。③传统理论认为,社会责任的承担主体主要是大规模的公司。但较新研究表明,从事互联网行业的部分公司可能雇员人数不多,但其创造的营业值却较高,这类公司也应承担与其营利能力相匹配的社会责任。参见Christopher Wickert,“Political”Corporate Social Responsibility in Small-and Medium-Sized Enterprises:A ConceptualFramework,Business&Society,2014,p.1-33。但需注意的是,由于不同个人信息处理者在企业规模、技术能力、市场地位等方面存在客观差异,实践中对其承担个人信息保护社会责任的法律认定应有梯队区分。《个人信息保护法》第五十八条将定期发布社会责任报告的义务主体进行限定即是良好的立法例证,未来还应在合规治理的改进中做更多区分探索。
(三)个人信息保护社会责任的具体内容
将守法守德和维护交易安全作为社会责任的一般法律内涵置于《个人信息保护法》的规范体系之中,具体分析如下:
1.守法守德
《个人信息保护法》第五章以“技术措施+组织措施”的规范结构构建了个人信息处理者的义务体系,据此,普遍认为个人信息处理者负有“合规义务”。从国内少数可供观察的合规实践来看,①我国现行政策规章中已有一些针对特定行业或特殊类型公司建立合规管理体系的规范文件。如《证券公司和证券投资基金管理公司合规管理办法》《中央企业合规管理指引(试行)》。合规要求公司行为既遵守法律法规,也遵守行业准则、商业习惯、内部规章、国际条约以及伦理道德等“软法”,并建立风险防控、治理程式、企业文化等在内的一整套多维运作机制。《个人信息保护法》中的“合规义务”既包括一般的“合规管理义务”与“合规审计义务”,②比如要求一般个人信息处理者制定管理制度、操作规程、应急预案、评估影响,并设专人专机构负责处理和监督。参见《个人信息保护法》第五十一条至五十三条、五十五条、五十七条。也包括大型信息处理者的“合规治理义务”。这些义务可以被描述为“一套正式的行为准则、一个合规部门和官员以及一个面向员工的热线电话”。[32]
相较于合法义务,确立合规义务最直观的意义在于拓宽了规范法源并将自律治理嵌入其中,在此意义上,合规义务是个人信息保护社会责任的重要载体,但合规义务并不能完全覆盖社会责任。其一,实践中的合规义务不但难以摆脱技术规制的路径依赖,而且可能产生新的道德风险。比如,所有公司都采用相似制度,或借合规体系转移风险,导致责任承担的空心化,甚至出现新的“合规犯罪”。[33]其二,理想的合规即自律意义上的合规,需要以社会责任作为善治引导,从而从“守法公民”上升成为“良好公民”。在此意义上,以守法守德(商业道德)为核心的企业社会责任既是监管者、裁判者用来检验有效合规的重要依据,也为个人信息处理者探索建立适合自己的差异化合规体系提供解释空间。
2.维护交易安全
维护个人信息在被处理过程中的绝对安全是《个人信息保护法》立法的基本原则之一。③参见《个人信息保护法》第九条。个人信息处理者的安全保障义务不仅包括自己处理个人信息时应采取必要措施保障个人信息安全,④参见《个人信息保护法》第五十一条、第五十七条。还包括监督、处罚平台内其他违法处理个人信息的产品或服务。⑤参见《个人信息保护法》第五十八条第三款。维护交易安全在个人信息保护社会责任中并无超出前述内涵的其他内容。因此,对于维护交易安全的认定应首先通过《个人信息保护法》中关于个人信息处理者的义务规则来认定,出现法律漏洞或规则冲突时借助对安全原则的解释适用来完成漏洞填补和价值修正,而社会责任条款对安全处理个人信息的规范意义也仅限于最底线的道德层面。
3.接受政府和社会监督
虽然社会责任条款将接受政府和社会的监督作为具体内容,但其实质是履行社会责任义务的法定方式。一般通过发布社会责任报告来增加透明度,也即《个人信息保护法》第五十八条第四款的规范内容。有待明确的是个人信息保护社会责任报告的披露形式及内容。在我国《证券法》信息披露的规范体系中,强制披露的内容限于与投资者投资盈亏密切关联的信息,社会责任目前尚属自愿披露的范畴。企业发布社会责任报告的外部力量主要源于监管部门或自律组织的指引性规范。而《个人信息保护法》将个人信息保护社会责任报告作为大型个人信息处理者的法定义务,因此,有必要在自愿披露与强制披露之间建立缓冲规则,以达到利用证券市场执法和司法资源来实现个人信息保护社会责任的目标。目前,广泛运用于公司治理指导中的“遵守或解释”原则可以作为借鉴方案,香港联合交易所也已有这方面的实践。根据其《环境、社会及管治报告指引》规定,所有上市公司必须披露社会责任年度报告,但披露内容分为“(半强制的)不披露即解释”以及“(任意)建议披露”。这样既满足了披露社会责任的强制要求,又为企业保留了自主决定的空间。
未来我国在实施个人信息保护社会责任强制报告时,可以运用强制、半强制与任意相结合的区分方法来分离披露指标。披露内容的细化分类应以贯彻《个人信息保护法》立法目的和基本原则为基本依据。具体来说,大型个人信息处理者应当发布《年度个人信息保护社会责任报告》;
发生突发大规模的个人信息非法收集、泄露或存在严重的算法歧视等事件或因此遭受重大处罚的应强制发布《临时报告》。在年度报告中,宜将与“个人信息保护风险合规管理体系的建立和运行、个人信息保护负责人的履职情况、①参见《个人信息保护法》第五十一至五十三条。个人信息保护影响评估、②参见《个人信息保护法》第五十五至五十六条。合规审计、③参见《个人信息保护法》第五十四条、第六十四条。公司商业伦理准则”等相关情况作为强制披露的内容。应将“公司治理结构的改进、促进个人信息保护的技术研发及计划”等作为遵守或解释的内容,毕竟构建个人信息保护合规制度体系的立法目标在于推动企业内在的自动化守约。
个人信息保护社会责任的践行不只是公司利润的社会化分配,而应由内而外、自始至终地贯穿由公司决策到产品输出的全过程。企业社会责任的落实大体遵循两种方案:以利益相关者保护为导向的合规治理优化和以增加透明度为核心的制度建设。根据《个人信息保护法》第五十八条的规定,建立健全个人信息保护合规体系既是优化大型个人信息处理者治理结构的基本方案,也是落实个人信息保护社会责任的重要途径。虽然合规义务的法定性和合规体系的强制性使内涵良善理想的社会责任看上去冰冷又生硬,但明确的合规义务和合规组织建设可以将边界模糊的社会责任内化为对公司行为的技术性约束。[34]除此以外,还应重视社会责任条款的规范属性,唤醒其裁判功能,使社会责任成为“有牙的老虎”。④语出蒋大兴教授。参见蒋大兴《公司社会责任如何成为“有牙的老虎”——董事会社会责任委员会之设计》,载《清华法学》2009年第3期。
(一)回应个人信息保护社会责任的合规体系
1.合规义务向董事会与监事会的双向下沉
公司作为组织体,对于合规义务的执行最终都要归结到能够集结公司力量的公司机构或个人身上。现有研究大致给出两种方案:一是在董事信义义务的内涵中增加“诚信”“善意”或“监督”的问责标准,①相关代表性论述参见朱羿锟《论董事问责标准的三元化》,载《商事法论集》2012年第1期;
王建文《论董事“善意”规则的演进及其对我国的借鉴意义》,载《比较法研究》2021年第1期。二是主张合规义务独立于信义义务。[35]本文认为,两种方案的区别在于对董事执行合规义务类型归属的划分不同,这种划分更多出于理论研究的归纳。就公司合规的基本要求而言,两种方案都承认董事在经营决策或执行职务时需将公司行为的合法合规作为重要考量因素,此外还负有建立并实施合规体系的组织、监督义务。否则,董事个人可能遭受来自民事、行政和刑事三方法律制度的问责。同时,违反合规义务(包括未督促建立完善的合规体系)也是董事对公司承担责任的法律依据。在合规问责机制上,董事也不再受到商业判断规则的庇护,公司董事是公司合规义务的重要执行主体。
但需指出的是,无论在学界还是实践当中,谈起公司治理,大家的关注焦点依然都集中于董事层面,对于以监事会为代表的监督治理机制关注甚少。这导致监事会本身与监事在履责中所面临的重重困境一起被忽略甚至遗忘。但事实上,合规是公司及其全员的合规义务,而非董事的专属义务,监事会在促进公司及董事合规方面也大有可为。监事会的监督重心并非关注董事在正面意义上为股东谋取多大利益,而是在于防止董事行为在负面意义上有损公司整体利益进而损害股东利益。此点与公司仅在造成相关方利益损害时承担社会责任的法律边界不谋而合。以德国《股份法》的相关规定为例,监事的合规义务不仅在于监督董事及公司行为是否合法合规,还需审查这些行为是否合经济性或符合公司长久发展的目标。[36]因此,合规义务的下沉不仅应使公司董事摆脱信义义务而回归法定义务,还应重视监事会履行合规监督义务的法定性和积极性。
当然,仅仅对监事会履行合规监督义务的重视并不能改变监事会地位孱弱的事实。按照我国现行《公司法》对监事会成员的法定要求来看,②参见《公司法》第五十一条第二款和第一百一十七条第二款。主要由股东代表和职工代表组成的监事会难以摆脱大股东的实质影响。而且监事会的运行经费其实是由被监督者(财务高管)来拨付。因此,促进监事会独立运行的改革方案应至少从监事身份的独立性和财务来源的独立性两方面着手。较为直观的方案即鼓励公司引入外部监事并设立专项监督基金。[37]外部监事与独立董事在监督权的行使方式上具有明显区别,前者作为监事身份仅限于列席董事会会议或进行事后监督,后者主要通过参加董事会会议发表咨询建议并通过行使表决权来履行监督职责。
2.合规治理重心强制外化
大型网络平台作为数字经济市场的看门人,承担着维护网络市场秩序的公共职能。[6]42与此同时,大型网络平台具备的控制力能确保平台超越传统企业在更大范围的社会市场中调配资源,实现稳定获益。[38]其经营决策不但涉及平台个人用户的隐私保护,也会影响平台上企业用户的价值取向,往往一个决策涉及整个用户个人信息保护的产业链条。围绕个人信息保护采取“私法路径”抑或“公法路径”的前期争论,我国《个人信息保护法》也已经明确采取“公私协力、合作共治”的立法格局,[39]在监管技术上引入第三方专业技术机构进行事前决策的规制路径。①如《个人信息保护法》第五十八条第一款规定:大型个人信息处理者应成立主要由外部成员组成的独立机构对个人信息保护情况进行监督。据此,大型信息处理者个人信息保护合规治理重心的强制外化已成事实。本文认为,将独立的个人信息保护监督机构定位为监事会中的专业委员会更为妥当。大型公司治理中有效的监督机制的构建需要兼顾专业性与职业性,由外部独立的专业人员组成的个人信息保护监事委员会正好可以弥补我国现行监事会成员非专业性的缺陷。其主要职责为独立对董事会决策中有损个人信息权益的内容进行自查监督,自查监督可以以独立报告的形式来体现,并有义务定期向监事会提交。另外,考虑到内部的监督建议容易遭遇“熟人和谐”的普遍难题,咨询建议和自查监督可通过会前沟通协商机制来实现。即相关议案提交董事会决策之前先征求个人信息保护监督委员会的意见,通过协商沟通统一认识,使得议案得到必要的修改与补充,为董事会的正式决策做好准备。这样既可突出其权威性和专业性,也不至于过度干涉董事会为股东谋利的商业决策,是填补公司治理技术缺失并平衡外部利益的有效方案。
(二)社会责任条款作为裁判规范的运用
公司社会责任的落实在很大程度上取决于司法救济的有效性,但社会责任内涵的模糊性和规范属性的迷惑性给裁判援引带来了不小的解释负担。在《民法典》吸收公司社会责任条款以前,该条置于《公司法》总则部分,因此,司法实践和理论研究均倾向于认为公司社会责任条款的规范属性为法律原则。这就意味着援引该条作为裁判依据时需要法官在穷尽规则或价值权衡之后,②一般认为,适用原则的逻辑前提主要有两种情形:一是有规则,但既有规则与原则冲突而被排除适用;
二是没有规则可以适用。基于拟援引的法律原则再固化要件、创设规则,这个从原则到规则过程实际上包含了立法行为,[40]对法官而言论证义务和解释负担较重。但《民法典》将社会责任条款置于“法人—营利法人”一章中,在此规范体系下社会责任条款并非基本原则,此时应对该条的规范属性做何定位?
已有研究表明,法律规则中有一类概括性条款,这类条款有特定的适用范围、行为模式和法律效果,其与一般法律规则的区别在于,前者仅设立了一般准则,它包含了一些带有评价性的、需要予以补充的、具有不确定性的法律概念,这些不确定的法律概念无法通过法律解释的手段予以适用,需由法院在个案评价中来完成。概括性法律规则的实质在于,它是为避免要件列举存在遗漏而采用的一种立法技术。在适用逻辑上,概括性条款与一般法律规则相同,在满足适用要件时,确定发生法律规则的全部效果。适用中的重要任务在于,于要件认定过程中补充确定法律概念,这一过程也包含结合个案的权衡考量。但这种权衡考量并不影响法律效果的全部发生,也即,在适用与不适用之间不存在部分适用的中间状态,此点区别于法律原则。[41]具体到社会责任条款,虽然条款本身所提供的行为模式不如一般性的法律规则那般明确,公司可以选择具体承担社会责任的形式和强度,但公司的自主选择应接受合法性、合道德性(商业道德)以及交易安全的评价和检验。如果通过检验,即发生相应的法律效果;
否则应受到法律的否定性评价并适用于侵权编或合同编的具体责任规定。
明确社会责任条款属于概括性条款,不仅可以简化其适用方法从而减轻法官的论证负担,而且可以更灵活地适用类推、扩张或限缩等解释方法,较之于法律原则的操作性更强。在此意义上,社会责任条款即是内涵道德引导的行为规范,也是裁判性规范。
数字社会改写了权力机制的来源和形态,大型网络平台在数字社会中获得了强大而隐蔽的权力话语。在其主导的权力体系内,个人信息乃至人格尊严都面临遭受侵害的风险,大数据时代的个人信息搜集范围、搜集手段、处理方式等仍处于变化之中,[42]而承载了道德归正的社会责任正是消解其权力滥用的立法表达。我们无法对社会责任的本质概念进行定义,但可以析出守法守德(商业道德)与维护交易安全的法律内涵。在《个人信息保护法》的规范体系中,维护交易安全的社会责任不再具有特别规范之意义,但守法守德既可以弥补合规义务的法律漏洞,也是检查有效合规的重要依据。个人信息保护社会责任的实现有赖于合规治理的优化改进和以增加透明度为核心的制度建设,这其中包括将合规义务向董事会与监事会双向下沉,在监事会中嵌入由外部专业人员组成的个人信息保护监督委员会,以遵守或解释的方法细化、区分个人信息保护社会责任报告的披露指标。此外,明确社会责任条款作为概括性条款的属性也有助于唤醒其发挥裁判功能。必须承认的是,个人信息保护社会责任的构建是一项系统工程;
一方面,社会责任入法正在从法律向道德借力转向相关法律体系内实现制度自洽;
另一方面,个人信息保护的法律规范也正在实现多个法律部门的体系合力。[43]随着个人信息保护现实需求的不断更新与社会责任法理认知的持续扩张,个人信息保护社会责任的法律体系、合规实践及理论研究也将继续深入和完善。