Abstract:The processor of personal information is the primary party responsible for personal information protection. In order to contribute to the implementation of this primary responsibility, the Personal Information Protection Law stipulates that data platforms shall appoint personal information protection officers, establish personal information protection compliance systems according to state regulations, and establish an independent body composed mainly of outside members to supervise personal information protection circumstances. The intervention of the state in the organizational structure of data platforms promotes the formation of a new regulatory model for personal information protection compliance, which has important research value in analyzing the theoretical basis and intervention limits of this regulatory model. The research first adopts normative analysis methods to categorize the reshaping of the organizational structure of data platform by the state, and then explores in an innovative manner the limits and logic of the organizational obligations by using the principles of proportionality and consistency derived from the empirical research results.Due to the fact that external behavioral norms cannot guarantee the utilisation, on the part of data platforms, of their cognitive advantages to achieve risk management in personal information protection, the state puts into practice the organizational norms to develop the internalization of corporate compliance with personal information protection. In the process of continuous intervention in the autonomy of data platform operations, private intervention obligations lack explanatory capacity as a consequence of the focus on the relationship of responsibility. This is mainly influenced by the fact that traditional state intervention is substantial and specific, while the reshaping of corporate rational structures by legislators is realised by impacting the decision-making process of enterprises in order to change their future decision-making logics. The classical principle of proportionality is developed on empirical predictions. By examining the shaping of the organizational structure of data platforms by legislators with the assistance of this traditional fundamental rights protection mechanism, it can be observed that it lacks the delicate regulatory power that once existed when state intervention was direct. In terms of legitimate purposes, the goals listed by legislators are very abstract. Since it is not yet clear how organizational norms work and to what extent they truly deliver public interest, it is difficult to measure in an accurate way the utility of intervention measures in promoting legitimate purposes. In order to better examine the obstructive effects caused by the state’s reshaping of corporate rational structures, content examination should start from the objective dimension of fundamental rights and strengthen it with the requirement of consistency. This means that the organizational structure requirements proposed by the state for data platforms on the basis of risk pathways must not only undermine the cognitive potential of enterprises, thereby hindering their own logic, but also ensure that the actions of enterprise organizations are guided by personal information protection. According to the requirement of consistency, it is advisable that lawmakers make supplementary provisions on the organizational obligations that data platforms should undertake in the Personal Information Protection Law. The transformation of the risk regulatory model presents challenges to the review tools of traditional administrative law, and contemporary administrative law should conduct more in-depth and all-inclusive research on the institutional arrangements for coordinating different participants with different behavioral logics. After all, compared with directly regulating external behaviors of enterprises, realizing the public interest by regulating their internal organizational structures places higher demands on legislators.
张冬阳. 论数据平台组织结构作为个人信息保护合规的工具[J]. 浙江大学学报(人文社会科学版), 2024, 54(6): 58-72.
Zhang Dongyang. Data Platform Organizational Structure as an Instrument to Personal Information Protection Compliance. JOURNAL OF ZHEJIANG UNIVERSITY, 2024, 54(6): 58-72.
1 刘俊臣:《关于〈中华人民共和国个人信息保护法(草案)〉的说明——2020年10月13日在第十三届全国人民代表大会常务委员会第二十二次会议上》,《中华人民共和国全国人民代表大会常务委员会公报》2021年第6期,第1125-1128页。 2 江必新、袁浙皓:《企业合规管理基本问题研究》,《法律适用》2023年第6期,第11-23页。 3 梅夏英:《社会风险控制抑或个人权益保护——理解个人信息保护法的两个维度》,《环球法律评论》2022年第1期,第5-20页。 4 谭冰霖:《环境规制的反身法路向》,《中外法学》2016年第6期,第1512-1535页。 5 孔祥稳:《论个人信息保护的行政规制路径》,《行政法学研究》2022年第1期,第131-145页。 6 Ladeur K. H., Das Umweltrecht der Wissensgesellschaft, Berlin: Duncker & Humblot, 1995. 7 Gawel E., “Reguliertes Wissen um Unwissen,” in Hart D. (Hrsg.), Privatrecht im “Risikostaat”, Baden-Baden: Nomos, 1997, S. 265-323. 8 Teubner G., “Reflexives Recht: Entwicklungsmodelle des Rechts in vergleichender Perspektive,” Archiv für Rechts- und Sozialphilosophie, Vol. 68, No. 1 (1982), S. 13-59. 9 Teubner G., “Unternehmensinteresse-das gesellschaftliche Interesse des Unternehmens an sich?” Zeitschrift für das Gesamte Handels- und Wirtschaftsrecht, Vol. 149, No. 4 (1985), S. 470-488. 10 陈熹:《“回应型”公司合规的治理结构和发展路径》,《企业经济》2023年第5期,第140-150页。 11 杨合庆主编:《中华人民共和国个人信息保护法释义》,北京:法律出版社,2022年。 12 江必新:《全国人民代表大会宪法和法律委员会关于〈中华人民共和国个人信息保护法(草案)〉修改情况的汇报——2021年4月16日在第十三届全国人民代表大会常务委员会第二十八次会议上》,《中华人民共和国全国人民代表大会常务委员会公报》2021年第6期,第1129-1130页。 13 高飞主编:《中华人民共和国个人信息保护法解读》,北京:中国法制出版社,2022年。 14 王文华、姚津笙:《重要互联网平台个人信息保护合规体系研究》,《人民检察》2022年第5期,第15-20页。 15 程啸:《个人信息保护法理解与适用》,北京:中国法制出版社,2021年。 16 王锡锌:《个人信息国家保护义务及展开》,《中国法学》2021年第1期,第145-166页。 17 英]科林·斯科特:《规制、治理与法律:前沿问题研究》,安永康译,北京:清华大学出版社,2018年。 18 张新宝:《大型互联网平台企业个人信息保护独立监督机构研究》,《东方法学》2022年第4期,第37-49页。 19 德]福尔克尔·埃平、塞巴斯蒂安·伦茨、菲利普·莱德克:《基本权利》(第8版),张冬阳译,北京:北京大学出版社,2023年。 20 王锴:《论立法在基本权利形成中的作用与限制——兼谈“公有制”的立法形成》,《法治研究》2017年第1期,第96-107页。 21 Vo? H., Unternehmenswissen als Regulierungsressource, Tübingen: Mohr Siebeck, 2019. 22 张亮:《论私人干预义务——网络时代的一种行政法学理更新》,上海:上海三联书店,2021年。 23 张凌寒:《平台“穿透式监管”的理据及限度》,《法律科学(西北政法大学学报)》2022年第1期,第106-114页。 24 Reiling K., “Wissensgenerierung bei Privaten,” in Münkler L. (Hrsg.), Dimensionen des Wissens im Recht, Tübingen: Mohr Siebeck, 2019, S. 175-200. 25 全国人民代表大会宪法和法律委员会:《关于〈中华人民共和国个人信息保护法(草案三次审议稿)〉修改意见的报告——2021年8月19日在第十三届全国人民代表大会常务委员会第三十次会议上》,《中华人民共和国全国人民代表大会常务委员会公报》2021年第6期,第1133-1134页。 26 蒋红珍:《论比例原则——政府规制工具选择的司法评价》,北京:法律出版社,2010年。 27 Simitis S., “Bundesdatenschutzgesetz: Ende der Diskussion oder Neubeginn?” Neue juristische Wochenschrift, Vol. 30, No. 17 (1977), S. 729-737. 28 Rehbinder E., “Andere Organe der Unternehmensverfassung- Die institutionalisierte Vertretung diffuser Interessen im Unternehmen unterhalb der Gesellschaftsorgane,” Zeitschrift für Unternehmens- und Gesellschaftsrecht, Vol. 18, No. 3 (1989), S. 305-368. 29 敬力嘉:《个人信息保护合规的体系构建》,《法学研究》2022年第4期,第152-167页。 30 何延哲:《个人信息保护标准实施对组织合规的影响》,《信息安全与通信保密》2018年第8期,第13-16页。 31 郑春燕:《必要性原则内涵之重构》,《政法论坛》2004年第6期,第116-122页。 32 Article 29 Working Party, “Guidelines on Data Protection Officers,” 2017-04-05, https://ec.europa.eu/newsroom/article29/items/612048, 2024-04-25. 33 钱擘:《东航设立“数据保护官”》,《中国民航报》2018年6月7日,第1版。 34 Spindler G.,?Unternehmensorganisationspflichten: Zivilrechtliche und ?ffentlich-rechtliche Regelungskonzepte, G?ttingen: Universit?tsverlag G?ttingen, 2011. 35 Rast F., Unternehmerische Organisationsfreiheit und Gemeinwohlbelange, Tübingen: Mohr Siebeck, 2022. 36 赵丽梅:《个人信息保护的大门内再设一道“护栏”》,《中国青年报》2023年3月28日,第05版。 37 肖冬梅、成思雯:《欧盟数据保护官制度研究》,《图书情报工作》2019年第2期,第144-152页。 38 Lepperhoff N. & Müthlein T., Leitfaden zur Datenschutz-Grundverordnung, Zwickau: Datakontext, 2018. 39 Fabio U. D., “Verwaltung und Verwaltungsrecht zwischen gesellschaftlicher Selbstregulierung und staatlicher Steuerung,” in Vereinigung der Deutschen Staatsrechtslehrer (Hrsg.), Kontrolle der ausw?rtigen Gewalt, Berlin: De Gruyter, 1997, S. 235-273. 40 Eifert M., “Die geteilte Kontrolle-Die Beteiligung Privater an der Rechtsverwirklichung,” Die Verwaltung, Vol. 39, No. 3 (2006), S. 309-334. 41 Engel C., “Regulierung durch Organisation und Verfahren,” in Immenga U. (Hrsg.), Festschrift für Ernst-Joachim Mestm?cker, Baden-Baden: Nomos, 1996, S. 119-138. 42 Trute H. H., “Die Erosion des klassischen Polizeirechts durch die polizeiliche Informationsvorsorge,” in Erbguth W. et al. (Hrsg.), Rechtstheorie und Rechtsdogmatik im Austausch: Ged?chtnisschrift für Bernd Jeand’Heur, Berlin: Duncker & Humblot GmbH, 1999, S. 403-428. 43 Reimer P., “Verh?ltnism??igkeit im Verfassungsrecht,” in Jestaedt M. & Lepsius O. (Hrsg.), Verh?ltnism??igkeit: Zur Tragf?higkeit eines verfassungsrechtlichen Schlüsselkonzepts, Tübingen: Mohr Siebeck, 2015, S. 60-76. 44 Reiling K., Der Hybride, Tübingen: Mohr Siebeck, 2016. 45 Lepsius O., “Die Chancen und Grenzen des Grundsatzes der Verh?ltnism??igkeit,” in Jestaedt M. (Hrsg.), Verh?ltnism??igkeit: Zur Tragf?higkeit eines verfassungsrechtlichen Schlüsselkonzepts, Tübingen: Mohr Siebeck, 2015, S. 1-41. 46 王锴:《比例原则在宪法平等权分析中的运用》,《法学》2023年第2期,第32-46页。 47 黄茂荣:《论民法中的法理》,《北方法学》2018年第3期,第5-20页。 48 Lepsius O., “Anmerkung zu BVerfGE 122, 210,” Juristen Zeitung, Vol. 64, No. 5 (2009), S. 260-263. 49 Payandeh M., “Das Gebot der Folgerichtigkeit: Rationalit?tsgewinn Oder Irrweg der Grundrechtsdogmatik?” Archiv des ?ffentlichen Rechts, Vol. 136, No. 4 (2011), S. 578-615. 50 Bulla S., “Das Verfassungsprinzip der Folgerichtigkeit und seine Auswirkungen auf die Grundrechtsdogmatik,” Zeitschrift für das Juristische Studium, Vol. 1, No. 6 (2008), S. 585-596. 51 德]尼克拉斯·卢曼:《风险社会学》,孙一洲译,南宁:广西人民出版社,2020年。 52 Kirchhof P., “Kontrolle der Technik als staatliche und private Aufgabe,” Neue Zeitschrift für Verwaltungsrecht, Vol. 7, No. 2 (1988), S. 97-104. 53 刘绍宇:《超大互联网平台中个人信息保护独立监督机构的元规制论》,《重庆理工大学学报(社会科学)》2023年5期,第127-140页。