元监管“次生风险”之先定规范机制研究-以欧盟GDPR数据控制者为例

摘要元监管是一种能够确保数据安全风险防范目的与手段相适应的风险规制技术手段。本文以欧盟GDPR中的数据掌握者为样本进展争论，分析了元监管的制度设计和治理效能，觉察元监管必定导致 “次生风险”问题，并从其内容、形式以及表现等维度，对该问题进展提醒。争论结论得出，运用先定标准机制对数据掌握者的权力进展限定，是解决该问题的路径之一。引言欧盟在《通用数据保护条例》〔The General Data Regulation,GDPR〕中运用元监治理论，认为元监管可以保护数据安全和数据主体信息自由权，降低政府职能部门的监管本钱、提高监管效率。元监管“次生风险”则指欧盟监管机构引导数据掌握者所建立起的一种内部监管机制，该机制造成数据掌握者侵害数据主体信息自由权〔包括个人数据隐私权和其他根本权利〕的风险不断涌现。21世纪初，国外学术界就已开头从社会学角度争论风险规制理论，伦敦政治经济学院胡特(B.Hutter) 教授认为，元监管是政府对企业自我监管的监管；南威尔士大学法学院摩根 (B.Morgan) 教授提出，元监管是一种对社会、个人进展的间接且敏捷的监管方式。国内近些年才开头争论，计算机学领域的学者段泽孝认为，元监管是算法技术在法律实践中的应用，有助于实现保护个人人权和公共安全的双重目标；湘潭大学的肖冬梅教授等将欧盟 GDPR 评估制度和我国《数据安全技术个人数据安全标准》进展了比较分析，提出应当进一步细化评估流程；南京大学信息治理学院的博士后王铮等介绍了欧盟GDPR中的数据保护官制度，认为我国数据保护人才培育应当抓住岗位设置、人才培育和专业建设三个要素。综上，国内学术界尚缺乏争论元监管应用中消灭的 “次生风险”问题，并且无视了包括欧盟 GDPR 在内的数据安全领域 “次生风险”问题争论。鉴于此，本文将进展争论。元监治理论的制度设计和治理效能〔一〕制度设计元监管是指外部监管主体引导监管客体建立的一种回应公共问题的内部自我监管机制。欧盟GDPR将元监管划分为风险评估、保护措施影响评估和保护措施决策三个层次。首先数据掌握这科学调查并测量风险状况，进而对最初认知的数据安全风险进展风险评估，并基于结果做出高/低风险的推断；其次，数据掌握着就拟实行的风险防范措施进展数据保护影响力评估，推断数据处理措施是否能够为数据主体信息自由权供给适当的保护，进而对风险防范措施以及其可能产生的风险进展必要性、比例性以及正值性的价值推断；最终，要求数据掌握者基于保护措施影响评估的结论，在不同的风险防范措施之间做出取舍，进而做出是否实施风险防范措施、何时实施风险防范措施以及实施哪种风险防范措施的决策推断。〔二〕治理效能GDPR元监管通过要求数据掌握者将拟实行的数据处理措施和可能产生的风险进展本益分析，提高了欧盟法律对数据掌握者的可问责性，为数据保护改革的问责制转型供给了途径。另一方面，云监管也为数据控制着权衡数据保护原则和数据保护程序供给了路径。例如，GDPR第35条的数据保护影响评估，将程序、风险、责任作为其根本因素。元监管“次生风险”的范畴及其缘由要求数据掌握者建立起一种内部监管机制，进而保护数据主体信息自由权的元监管可以说是目前数据保护司法实践中最适当的监管方法。但在实践中却面临着“次生风险”带来的消极后果。以下将从三个维度分析：〔一〕内容维度监管主体生硬地将风险规制替代传统规制，从而盲目地向监管客体授予自由裁量权，这是造成 “次生风险”的内容维度。风险评估、保护措施影响评估和保护措施决策三个局部彼此相互连接，确立了GDPR 数据掌握者在其建立的内部监管机制中拥有确定权力，而这正是造成元监管“次生风险”的问题根源所在。监管客体会因过度关注自身利益而造成其滥用或弃用自由裁量权的 “次生风险”，并最终导致元监管因流于形式，而缺乏实质性的价值。〔二〕形式维度监管客体作为建立并日常运行内部监管系统的主体，对风险主客观认识的不统一，是导致数据掌握者实行不适当处理措施的直接缘由，进而造成“”的形式维度。由于对风险的主观生疏和客观状况存在偏差，监管客体既简洁高估风险而陷入风险防范过度的误区，又简洁低估风险而落入风险防范缺乏的陷阱，二者均会引发不适当的非理性处理措施，最终导致“次生风险”产生。〔三〕表现维度元监管的利益相关方对于风险的片面生疏，是造成其彼此之间过度关注自身利益而无视整体共同利益，进而造成 “次生风险”的表现维度。各利益相关方较为全面的理解风险，是各方达成风险规制共识进而防范“次生风险”的根底，但准确理解风险含义格外困难。首先，基于风险的制度将风险作为权衡监管机构风险治理手段和风险评估等级的基准点，而监管机构必需要经过相关利益衡量后，才能对处理措施优先次序予以确认，从而在制衡风险方面发挥有效作用；其次，基于风险路径则将风险作为平衡数据掌握者的风险等级评估和风险治理措施，进而形成基准，并且强调在风险治理之前必需进展风险评估和做出具体预案；再次，风险治理将风险作为数据处理者实行处理措施治理的对象；最终，风险监管通过风险来确定一个特定活动，并且从一开头就确定其是否应当受到政府、法律或其他合法组织的监管。“次生风险”问题源于监管主体、监管客体和利益相关方，未从利益共同体动身对元监管“次生风险”问题进展全面生疏和权衡，就实行了不当的处理措施，从而造成风险由潜在可能转变为现实。元监管“次生风险”之先定标准假设想防范次生风险，应通过事先预定的 “评估标准”对数据掌握者的自由裁量权予以限定，实现界限、原则、程序以及协商等 “四位一体”的防范元监管“次生风险”问题机制，具体如下所述：〔一〕标准界限数据处理界限能够将基于风险路径的风险标准和传统标准进展有效区分。运用元监管完全取代传统标准约束的生疏不仅是错误的，而且会造成数据掌握者的权力滥用或弃用。只有那些具备不确定性、未知性、主观性的风险活动，才适用元监管方法去校正传统标准。如 GDPR第24 条(1)款和第25 条(1)款规定，只有处理措施存在给数据自然人信息自由权造成潜在风险的状况下，或只有在风险标准领域，数据掌握者才应当实行措施。其一，就数据保护目标而言，数据掌握着必需明确保护数据主体信息自由权和保护数据本身安全的区分。据GDPR第1 〔1〕款〔2〕款，欧盟GDPR 制定的目标是保护与个人数据处理相关的自然人和其数据的自由流淌其二，通过敬重数据主体的主观意愿，数据掌握者能够在行使自由裁量权的过程中，有效地避开了侵害数据主体信息自由权。其三，关于其他例外状况，法律应当就高风险情景下，授予数据掌握者足以防范数据安全风险的自由裁量权，并预先做出必要的规制。〔二〕标准原则数据处理原则在数据安全领域中发挥着一般性指引作用，表达的是法律的抽象价值。虽然数据处理原则相比数据处理程序，仍旧给数据掌握者留下了较大的自由裁量空间，但是前者相比后者仍旧具有不行替代的指引和约束功能。GDPR其次章确定的数据处理原则，在防范元监管“次生风险”方面产生了格外有益的效果。主要表达在以下六个方面：公正沟通原则。数据掌握者在实行措施，防范数据主体信息自由权面临的风险之前，应充分和数据主体进展沟通、满足数据主体的合理利益诉求。目的限制原则。数据掌握者实行风险防范措施不得逾越保护数据主体信息自由权的目的。依法合规原则。数据掌握者依据自身以及第三者的合法权益，在处理数据时不得侵害数据主体信息自由权。操作透亮原则。数据掌握者在处理和共享数据时要确保数据主体对个人数据的掌握权，以防数据主体个人数据的泄露。权力平衡原则。数据掌握者应结合具体状况，在保护数据安全和数据主体信息自由权之间查找到平衡点。义务问责原则。数据掌握者应当担当和自由裁量权全都的法律义务，随着数据掌握者自由裁量权的扩大，其法律义务也随之增加。如据GDPR第13 条(1) 款，无论个人数据是否从数据主体处采集，数据掌握者都有向数据主体供给详尽信息的义务。〔三〕标准程序一般而言，数据处理程序不但表达在保证法律正常实施方面，而且其本身就要求程序上要合法，进而起到防范权力滥用或弃用的标准作用。数据处理程序通常包括数据主体权利和自由的评估机制、问责机制、解释机制三局部内容，可以较好规制数据掌握者的自由裁量权。评估机制数据掌握者必需严格依据数据处理程序的操作标准进展评估，一方面是确保数据处理手段的必要性，另一方面则是确保数据处理手段和保护数据主体信息自由权的适当性。问责机制数据掌握者必需对数据处理程序做出的风险治理决策予以负责。GDPR 规定，在必要时，监管机构有审查数据掌握者是否进展数据保护评估的义务，但目前包括 GDPR 在内的欧盟法律文件尚无就数据处理程序中关于数据掌握者的义务做出规制。解释机制数据掌握者必需能够就数据处理程序向监管机构做出合理解释。由于人类学问是有限的，规制出完善的数据处理程序是不现实的，所以要求数据掌握者就数据处理程序做出合理解释是一种理性选择。〔四〕标准协商GDPR第12 条(1)款规定，数据掌握者应当以一种简洁、透亮、易懂的形式，清楚、清楚、平白的语言和数据主体进展沟通。数据处理实质上一般包括数据主体协商、数据保护部门协商和监管机构协商三局部内容。数据主体权利和义务协商。据GDPR第15条(1)款，数据主体不但有权得悉数据掌握者是否正在处理数据主体的个人数据，而且有权得悉数据主体处理个人数据的目的、类型、来源等。数据保护部门协商。数据保护部门的主要作用之一，就是和数据主体、数据掌握者、监管机构以及其他利益相关群体进展沟通，并给出合理建议。据GDPＲ第39 条(1) 款，数据保护部门应当就数据处理原则、数据处理程序，向各利益相关方供给建议，应当在全部有关询问的事项中充当监管机构的桥梁。监管机关协商。监管机关的沟通协商应当具有强制性、单向性、指导性，由此才能够使数据掌握者通过元监管的方式保护数据主体信息自由权。否则数据处理协商一旦失去风险沟通内核，必定无法限制数据掌