鲍 坤

(1.上海交通大学凯原法学院，上海 200030；2.上海交通大学智慧法院研究院，上海 200030)

1 个人数据的法律保护困境

1.1 利益保护模式之困——既定规则与个案裁量矛盾

数字经济的快速发展无法忽视对数据进行规则之治的呼声。为了取得合法、真实、可信的数字利益，社会各界对数据的态度也从趋之若鹜逐渐回归理性。正如科斯[1]提出权利的界定是市场交易的基本前提，基于多元利益诉求的各方主体迫切需要以确权的手段形成特定条件下对数据稳定、可预期的支配[2]。但从法律公平正义视角，权利界定不能单方面为市场服务，更应该在明确数据权利的同时严守公民个人数据的安全底线[3]。由此看出，围绕个人数据这一基本生产要素，支撑、运营数据平台的数据业者 (在各国法律中通常被称为数据处理者或数据控制者)与个人数据主体之间的紧张关系成为数权立法时代面临的主要矛盾[4]。中国处理该矛盾的做法并非在二者间直接界定产权，而是在私法层面通过 《民法典》明确个人信息作为 “利益”受法律保护，另在公法层面已通过 《数据安全法》 《个人信息保护法》规定数据处理者的义务与责任，形成围绕数据 “合法利益”保护的公私法交叉格局 (为了区别于传统人格权，且涵盖数据作为生产要素的财产属性，本文亦将个人信息称为个人数据)。由于公法层面多涉及行政监管，个人在诉诸数据保护时多依赖侵权责任路径。而侵权责任又区分权利保护模式和利益保护模式，二者区别在于，权利保护模式的过错认定标准为权利受到侵害，不及于损害发生 (违法即过错)；而利益保护模式的过错认定标准为损失发生，需要法官在个案中进行利益平衡。由于个人数据并未被权利化保护，法院在审理此类纠纷时多采用利益保护路径，法官只能依据概括式的条款内容进行自由裁量，难免出现规则适用标准的混乱，进而导致裁判效果的参差不齐。

从 《民法典》颁布后围绕个人与企业之间数据纠纷的两起典型案例谈起。在王某诉腾讯微视隐私、个人信息网络侵权案 (案号2020粤0305民初825，以下简称 “微视案”)以及凌某某诉北京微播视界科技有限公司侵权案 (案号2019京0491民初6694，以下简称 “抖音案”)中，法官都借助自由裁量对个人与企业之间的利益作出内心的衡量，认定企业的利益趋向性以及数据流通促成经济发展能够作为收集数据行为的正当理由 (裁判文书原文表达为 “存在一定合理性”)，再套用现有规则 (如 《民法典》1035条规定的合法、正当、必要原则)进行保护，认可企业就算未取得个人的知情同意，也可以依靠在后端采取妥善保护和合理处理获得法律的承认，甚至无需对个人数据主体的其他权利作出回应。上述两个案例较为典型地体现了数据利益保护模式的弊端，基于个案利益权衡的特殊性， “知情同意”等判断数据收集处理行为的合法性要件难以避免沦落为利益平衡的对象，进一步导致判断数据业者具备 “过错”标准的模糊不清，数据全生命周期的合法逻辑也将发生断裂。另外，法官在裁判过程中对数字领域的术语也存在误用现象，如以数据的场景特殊性作为个案自由裁量的托辞，抖音案中法官主张在具体应用场景中考察个人信息的合理使用情形，实质是在具体个案中衡量个人信息的合理使用适用范围。 “场景”一词作为技术领域中的用语，应是对数据运行的时空情境作出的类型化归纳，与非 “场景”下的一般规范形成对比，反映数据运行模式并促进场景规范的形成，而个案自由裁量仅限于个案双方当事人的利益衡量，很难具有规范上的可参照性 ( “抖音案”与 “微视案”中为了平衡个人利益和企业数据利益而突破既有规则的思路明显属于后者)，因为如果按此逻辑，数据业者都可以通过采取后端合理处理措施免除向数据主体征求同意的义务， “知情同意”制度的意义也将不复存在。可见，数据的技术领域话语在法律的适用过程中存在壁垒，加剧了利益保护模式中自由裁量的不确定性。加之国内公私法交叉的数据利益保护格局，即便在 《个保法》生效后，司法裁判当中援引的法律依然可能涵盖 《民法典》 《数据安全法》 《消费者权益保护法》 《合同法》 《网络安全法》等多部法律，不利于此类案件自由裁量的规范体系形成。

由此看来，现有利益保护的模式存在既定规则与个案裁量之间的紧张关系。如果社会公众无法依据规则辨明数据行为的违法性边界 (侵权责任中的过错要件)，那么进一步明晰数据行为合法性、推进数据确权将无从谈起。因此，有必要转向以权利保护路径调整数据业者与个人数据主体间的关系，探索数据权利保护的稳定可行路径。

1.2 权利保护模式之困——义务规则的重要性及其瓶颈

是不是权利，这是个法技术问题，而不是一个仅由重要性决定的问题，更不是一个价值宣示的问题[5]。个人数据权利化的难点已为学界广为探讨，主要归纳如下：①传统民事权利理论难以清晰有效地指涉数据这类缺少特定边界、无法独立且静态地存在、财产价值不确定的对象[6]；②法理学角度下权利概念和本质都尚未形成占支配地位的理论体系，正如罗斯科·庞德[7]指出，在法律和法学文献中没有一个词比权利更加含混不清，权利的证成在多元利益冲突下的现代社会成为一个复杂的命题。但以上难题并非不可解决，首先，需要借助技术化的语言将场景作为横轴、全生命周期作为纵轴，类型化梳理数据的运行模式和活动范围；其次，将利益作为现代权利的内核[8]，探讨利益向权利的转化，把妥当处理数据承载的不同利益、法益的生成条件以及法益平行保护问题作为数据权解决的主要目标[9]；明确 “利益”上升到法律维护的 “法益”所须具备的条件 (也即 “义务”)，形成 “法益—义务”的多方行为约束架构。义务的内容同样作为侵权责任中过错要件 (违法性)的认定标准，成为数据权受到侵害时提出救济诉求的依据。相比起对个人数据进行非此即彼的单一化权属划分，这种架构显然更符合数据活动的实践情况。

为了使上述这种相对稳定的权利架构能够实现，个人数据的权利架构将具备以下传统的民事权利没有的特征：①数据权的领域性、场景性。因为数据权对外的排他性建立在特定主体之间已形成稳定的 “法益—义务”架构前提之上，该架构的形成需要各主体在数据活动中实时表达自身的价值取向与意思表示，超过特定领域和场景，这些价值取向和意思的含义就可能发生改变；②数据权在稳定的架构下存在着动态性。基于数据总是呈现线性、闭环性的生命周期形态，数据权相对的稳定性架构应建立在多方主体在各个环节理性做出意思表示前提下，因此，需要在不同环节为利益相关方提供充足的信息渠道，减少他们之间的信息不对等；③技术性。数据权的稳定架构实现需要借助法律之外的话语体系，因为数据活动具有其自身的特征和规律，传统民事法律话语体系往往不能精准描述，需要吸纳数据活动中的技术用语，帮助各利益相关方在特定的条件下形成对数据的精确支配或控制，正如美国学者乔尔·雷登伯格指出，信息 (或数据)法的模式应采用技术或技术协议[10]，法律若没有技术回应将难以发挥实效[11]，但这并不意味着数据权完全是技术管控的问题，技术用语将紧紧围绕各方主体获得数据法益的合法性与正当性，技术的用语同样旨在达到 “法益—义务”相对应的权利内在状态，形成具有法律约束效果的准则。由此来看， “数据”与 “权利”两个概念结合衍生出权利的新型样态，即一种具有生命周期特征、以特定场景下多方利益表达和义务履行作为内容和边界、融合传统法律语言和技术语言的新兴权利，它并非是对传统权利理论的彻底革新，而是依据现代权利理论衡量利益的内核，结合数据在事实层面的活动规律推导得出的权利样态。

因此，对数据权的认知已经不能停留在对数据主体进行静态、单线式的赋权[12]，而应着眼数据权内部连接多方主体的 “义务—法益”框架。这其中，义务规则作为数据权架构现的重要前提，具有间接证成并实现权利的至关重要功能[13]。那是因为，义务规则能够明确、动态指引相关主体的行为，减少市场不确定性，降低市场费用，优化价值规律实现的资源优化配置路径[14]，是权利的重要实现方式。在权利的救济层面，侵权责任法以义务的履行情况作为判断 “违法性”过错要件的重要依据。以上作用意味着，义务规则是过错侵权责任认定的核心[15]，更是明晰权利边界的重要基准。从 “抖音案”和 “微视案”的角度看，正是由于义务规则的不自洽和模糊性造成其指引功能的式微。义务规则的指引功能缺陷一方面来源于成文法自身的属性，由于成文法的制定需要耗费高昂的人力物力与时间成本，无法避免形成与数据实践状况之间的落差；另一方面，成文法注重效力的一般性与普适性，其规则内容难以穷尽细节。立法者常以审慎的姿态对待尚未明确的概念，虽然从中国 《民法典》对数据保护的概括性立法到 《数据安全法》 《个保法》等规范的发展与细化中可以看到立法者完善规则体系及内容的努力，但面对技术高速发展带来日益复杂的数据活动，成文法难以体现其全面性、有效性、及时性的规范功能。虽然有学者提出成文法义务规则对大规模、大体量、性质严重、易发现的侵犯个人数据行为具有较好的惩治效果[16]，但对作为生产要素的数据利益精细平衡效果有限。

另一个更重要的层面是从法经济学的角度看，静态体系化、重罚则的成文法在对义务规则进行细化时，虽然有助于明晰权利内容边界，但会不断增加数据平台一方承担的合规成本。正如Posner在侵权责任的积极经济理论中的观点，衡量义务履行的经济效益不应仅着眼治理总成本与总收益之比，更应当考虑随着治理水平提升过程中的边际成本增量[17]，从相同假设下数据业者 (在图1[18]、图2[19]中以A表示)遵循义务规则的角度看，随着数据业者为预防数据侵权而履行义务的水平 (自变量x)不断攀升，由于数据合规体系愈加庞大、复杂，进一步提升履行义务的难度将越来越大，其内部治理的边际成本会递增，即图1中呈增势的A′ (x)曲线，预防成本量增速亦会因此不断攀升，即图2中陡然攀升的wx曲线。虽然发生违反义务规则侵犯个人数据权利的可能性p在降低，但由于每增加1个单位的义务规则履行成本所能避免的损害，即图1中的边际收益-p′ (x)D也在递减，治理后仍会造成的整体损失的减少趋势会渐渐趋于平缓，即图2中渐趋平缓的p (x)A曲线。原则上，最优履行义务的水平应当在边际收益与边际成本相同时 (即x为x*时)，社会成本SC最小。此时数据业者A履行义务成本与可能发生的对个人数据侵权损害之和即wx+p (x)A处于最低状态。如果义务规则履行的水准超过了x*，社会成本呈递增趋势，即图2中x*之后的SC曲线段，此时进入整个治理体系的低效期，此阶段无论义务规则如何增加、细化，无论数据业者如何尽全力去遵守义务规则，围绕数据生产要素的治理体系都将耗损社会整体资源。换言之，就算依赖成文法不断细化的义务规则内容，数据业者的治理也无法避免走向因边际成本递增、边际收益递减而形成的社会成本递增的效益低谷。因此，如何在义务规则稳定数据权利架构的功能需求持续增加的前提下，尽可能减少效益低谷的负面影响，亦成为数据权利构建中亟需突破的瓶颈。

图1 边际成本和边际收益最优模型

图2 预防量与社会成本最优模型

综上，虽然数据的权利保护模式比利益保护模式更加符合多方主体对数据保护的稳定预期，但在义务规则的立法技术和效益可持续性层面存在诸多难解之困。

2 义务规则何以诉诸技术软法

为了克服个人数据权利保护的义务规则滞后属性以及边际成本递增效应带来的制度效益低谷，有必要重新思考义务规则的存在形式。正如哈耶克[20]有关 “社会乃一种自生自发的秩序”之论述，与其局限于立法者自上而下的视角局限性，不妨观察那些盈利驱使下具备技术优势、算力基础、行业实践经验的数据业者对个人数据进行保护和利用的实践做法。他们为了缓解成文法规则中的高昂合规成本问题以及内容及时性问题，尝试以场景化、业务化思路寻找解决之道，进而形成了一种以市场化促成利益激励机制，以领域化促成动态性、专业性行为准则的规范性探索——软法形式的 “技术标准”。近年来，法学界已经逐渐意识到技术标准作为一种软法将对传统法律体系造成的重要影响，有学者提出软法的发展是现代社会关系和事物多样性、复杂性、变动性与国家立法认识能力的有限性的矛盾使然[21]。数据权保护在成文法当中的困境正反映了这种矛盾，也反映了技术软法介入其中的必要。

英国标准协会 (简称 “BSI”)对 “标准”一词的定义是 “标准本质上是既定的做事方式”，虽然与法律当中的 “义务”同样是对 “应然性”的追求，但是标准显然更注重以明确的指引打通主体间的信息渠道、塑造利益博弈空间，更加具有现实指引性。以国内的技术标准体系举例之，近年来国内技术标准体系的搭建不乏创新之举，例如 《金融数据安全 数据安全分级指南》 (JR/T 0197—2020)，其结合金融行业的实践经验和数据基础，以数据影响的程度、影响对象、数据特征等维度构建起金融行业中的数据识别和分级分类管控机制，并使利益相关方能够特定化，在领域内较完整地解决数据生产要素的定性与保护的问题；再如，为了响应 《民法典》个人信息的有关条款而在2020年再次修订的 《信息安全技术 个人信息安全规范》 (GB/T 35273—2020) (以下简称 《个人信息规范》)，以数据全生命周期为轴线明确个人数据主体与控制者的行为准则，并针对当下存在捆绑授权下的知情同意架空、个性化推荐和生物识别、第三方数据接入管理等问题作出新的回应。其内容相比起 《民法典》当中相对概括性的规范表达更细致且体系化。但是，国内对技术标准保护个人数据的规范性的定位停留在法律之外的技术领域，认为技术标准仅是服务于行业利益的外部话语体系，一般不作为法律适用的依据，例如在 “微视案”当中针对社交关系是否属于个人信息的案件争议中，法院就作出了与 《个人信息规范》当中将社交关系纳入个人信息保护范畴的规定完全相反的判决。究其原因，国内对技术软法的应用仍然处于与现行法律脱节的尴尬境地，其适用性和指引性必然受限。

可见，技术软法要发挥指引功能的优势，帮助义务规则从立法技术层面实现 “义务—法益”的权利内容，瓶颈在于技术软法本身的效力。针对技术软法的效力问题，学界仍争议不断。有学者认为从法的形式要件来判断，技术标准只有在满足中国2018新 《标准化法》当中对标准制定主体、审批主体、特定流程等条件 (例如要求国务院批准)才可以成为强制性国家标准，并最终以一种特殊的行政规范性文件形式呈现[22]，但其本质仍接近硬法性质的成文法。但是，有学者[23]从法的实质性要件角度认为，就算不依赖国家强制力保障，而主要依靠成员自觉、共同体的制度约束、社会舆论、利益驱动也可以构成软法的效力本源。法经济学的主流观点也提出，法律的引导和约束作用本质是建立在趋利避害的理性人假设之上的，因此除了制定法之外的利益导向机制也可以具备与法律平行的约束力，软法与硬法应皆为现代法的基本表现形式[24]。

由于国内技术软法体系并未明显形成与成文法体系衔接的利益导向机制，导致其规范效果受限。但从比较法视野看，国外对于技术标准嵌入法律对数据的保护并形成利益导向的机制已具备规模且形成体系化的经验，尤其是欧盟 《一般数据保护条例》 (以下简称 “GDPR”)、国际标准化组织 (以下简称 “ISO”)与国际电工委员会 (以下简称 “IEC”)制定的 《隐私信息管理要求与指南》 (Privacy information managment-Requirements and guildlines，ISO/IEC 27701，以下简称 “27701号标准”，该标准中的 “隐私信息Privacy information”与 “个人信息” “个人数据”内涵无异)[25]之间的嵌入式互动为探索成文法与技术软法之间的关系提供典型实例，其典型性体现在3个层面。

(1)成文法层面，GDPR虽然在实施中面临诸多争议，但其作为数据集成式立法的典例具备体系完整性、要素丰富性和领域适应性，加之国内法学界思考数据权问题也倾向成文法的解决思路，这为本文提供了批判性思考的高价值样本。

(2)技术标准层面，27701号标准作为国际通行的技术软法，目的在于评估数据业者的组织载体是否具备个人数据管理 (这里广义的 “管理”包含数据全生命周期的收集、处理、存储、流转、应用等数据行为)的资质，在内容上将个人数据安全从宏观的信息安全、数据安全、系统安全等ISO系列其他技术标准已有规定的内容体系中独立出来，创新性地将逐条有关个人数据保护的技术标准映射到GDPR的具体条文中 (原文附录D)，并且该映射关系由GDPR的立法委员会成员参与制作，为数据保护研究跨域 “技术”与 “法律”两个话语体系的互动提供具有立法权威性的实例。

(3)从法经济学角度观察的效力模式层面，27701号标准虽然没有公权力作为效力支撑，但有英国标准协会 (BSI)这类权威性的国际标准制定、认证组织将根据27701号标准的内容对特定的企业组织在进行某项业务时进行个人数据保护评估[26]，如符合标准则会颁发认证。该认证在标准协会的会员国之间具有较高权威性，数据业者也将获得可转化为经济利益的商业声誉和营商契机。可见，27701号标准的效力产生模式已经形成了典型的利益导向机制。这种利益导向机制正是解决Posner在侵权责任的积极经济理论中提到的制度边际成本递增、边际收益递减下社会成本递增困局的有效工具，因为该技术软法的利导机制可以在社会成本SC开始出现递增的奇点x*及之后的阶段，使增加边际成本的 “罚责”义务规则转变为 “获益”义务规则。具体而言，当数据业者每增加1个单位的履行义务量时，原本会因为数据合规的体系愈加复杂使边际成本递增，即A′ (x)曲线，但由于技术软法的利益导向机制介入，每增加1个单位的履行义务量时，数据业者将获得商业信誉和营商契机作为利益正反馈与边际成本发生抵消，使得边际成本上升的速率降低。如图3所示，软法介入的法律环境下数据业者在履行义务规则时的边际成本Soft A′ (x)曲线会比软法不介入的法律环境中A′ (x)曲线上升速度更慢，进而软法介入下的社会成本曲线 (在图4中以曲线 Soft SC表示)增减趋势也会变缓。进一步产生的影响是，边际成本等同于边际收益的社会成本最低点x*将往后推移 (在图3、图4中以Soft x*表示)，且社会总成本量在最低点x*后依然呈较低态势发展。因此从效力模式层面得出的结论是，软法介入环境下的数据业者能够履行更高更多的义务规则量、具备更高的义务规则履行水准，更有利于义务规则明晰数据权利边界的作用发挥。

图3 技术软法介入下的边际成本、收益情况

图4 技术软法介入下的社会成本最优情形对比

综上，反思中国立法现状中， 《民法典》有关个人信息的规定、 《数据安全法》 《个保法》虽然部分参考了GDPR对个人数据的保护方式，但并没有移植GDPR对技术标准的衔接模式 (具体见GDPR第4章第5节 “行为准则和认证”部分)，仅有中国 《个保法》宣示性规定国家参与积极参与，促进、并推动标准互认，没有明确认定技术标准的法律效力，也没有规定标准嵌入数据保护规范的具体方式和条件。进而也没有形成相应的利益导向机制，导致国内对个人数据保护仅依赖硬法。因此，围绕27701号标准与GDPR两者间的关系，观察映射较为集中的27701号标准第5章至第8章内容，分析其中能够为国内数据保护领域构建科学的技术软法架构提供可参考的结构和要素。

3 技术软法的规范要素细化——以注意义务为核心

27701号标准根基于事实层面上数据业者的组织运作方式和数据流动模式，以个人数据管理的资格考证为核心，结构化梳理了组织相关的其他主体、主体内部条件、分工主体关系、行为前置条件、反馈机制、全流程角度等行为要素，形成了个人数据管理活动中高颗粒度的行为标准。从内容上看，这套行为标准通过要素披露和流程化梳理方式为多方数据主体充分全面地提供有关利益和风险的信息，为多主体间理性博弈塑造空间，避免数据业者一方垄断信息优势的情形，促成个人数据主体形成合理的期待，其要素化的结构有利于软硬法之间的联系建立[27]。从法律对其内容的定性上看，这套标准对数据业者苛以注意义务，注意义务强调客观衡量标准的特征符合数据侵权认定宜采取客观过错标准的特点[28]，进而使过错认定过程体系清晰、逻辑严密，具有在侵权责任认定中的领域适应性。本文结合27701号标准的具体内容，将其总结为注意义务的主观认知层面、主体资质与能力层面、行为前置条件层面、面向个人数据主体的反馈层面、注意义务的全流程贯穿性层面、分工协作下的注意义务区分层面。

(1)主体认知——组织有义务理解并认识到自己所处的环境。从组织的行为逻辑上看，环境就是组织受到哪些行为准则的约束，应当受到哪些主体的约束；从法律角度看，环境就是组织应当遵循何种行为规范，受到哪些主体的监督以及需要向哪些主体的诉求作出反馈，简言之就是组织受到外部约束的来源。该部分的规范意义是：①基于数据所涉领域的复杂性，规则表现形式和效力来源也可能不同，明晰数据处理应当遵循行为准则的范围，有利于解决义务规则依据不明的难题；②基于数据活动涉及利益主体的多样性，从事实的角度明确组织在进行数据活动的过程中所涉主体，解决义务规则向谁履行的问题；③从过错要件的主观认知层面，组织达到这些标准意味着对自身应当遵循的规则和利益相关方主体具备充分的理解，组织无法以自己不知道规则来源或履行义务的对象为托辞逃避履行相应义务。该部分主要体现在27701号标准的第5章第2节、第4节中，具体映射到GDPR关于控制者、处理者义务的来源、法律之外的行为准则的效力以及数据业者受到数据监管者、数据监督主体等条款 (对应GDPR中24、25、28、40、41、42、31、32、35、36等条款)。

(2)主体资质与能力——组织有义务具备特定的 “硬件条件”或 “内部结构”作为个人数据保护的基础。从组织的事实语境看，从事特定领域的活动须具备一定硬件资质，从事涉及个人数据的活动尤为如此。其中，安全设施、系统运行方案、外来访问限制方案、加密措施等，至少在数据的正常存储、受访、传输等活动中保障其完整、安全性；基于数据活动的专业性以及保护个人数据所需的协同性，组织需具备能够保护个人数据的内部组织架构，以数据保护专员 (DPO)为主要负责人，形成数据保护的决策层、联系层、执行层架构，衔接组织有关数据活动的各个环节，同时以公开联系方式、办公地点等方式打开外界诉求进入的渠道。该部分的规范意义是：①传统与信息安全、系统安全理念相关的硬件资质重在保护数据的完整、真实、安全 (衔接ISO系列其他标准)，是与 “数据安全意外事故 (泄露、污染、骇入等)”相对应的概念，属于个人数据保护的必要不充分条件，其有必要成为数据业者义务的一部分。②专门的数据保护人员架构无论是对内防止数据安全事件、落实个人数据保护规则，还是对外承担联络职责、获取外部权利诉求、接受外部监督都是必不可少的，更是义务规则可问责性的基础。该部分主要体现在27701号标准第6章，大量映射到GDPR的个人数据处理 “完整性、保密性原则”以及控制者义务、数据保护专员职责与地位等条款 (对应GDPR中5、24、25、27、32、33、37、38、29等条款)。

(3)行为的前置条件——在数据行为进行前审慎地做好准备。从组织的语境当中来说，组织内部治理的常用思路是哈佛商学院的安德鲁斯提出的SWOT分析法[29]，核心思路是分别从组织内部、外部视角分析特定行为的优势和短板，进而审慎作出行为决策。27701号标准也借鉴了该思路。首先，从外部视角避免合法性风险，需要从外部获得并确定数据收集处理的目的，包括以书面化或其他特定的方式 (例如获取未满16周岁者的同意须经过监护人授权)获得数据主体对目的的同意并告知其可以行使的权利，该目的的合法正当性主要来源于外部数据主体的明示同意以及法律规定的其他合法情形；其次，从发挥组织内部信息优势的角度，以个人数据处理记录制度记录每一次数据的行为内容、行为目的、合法性来源等内容来体现组织对义务规则的履行情况，毕竟组织不能在对数据完全没有统一记录和管理的前提下展开进一步数据保护的措施；再次，以隐私、信息安全影响评估报告、向监管者的事前咨询形成内外协同的风险预防机制。这些标准的法律规范意义在于，将组织的决策思路融入注意义务的履行标准中。该部分主要体现在27701号标准第7章第2节，主要映射到GDPR当中有关数据收集处理的合法性依据 (涵盖了知情同意以及其他特定情形)、数据影响评估、事先咨询制度、内部问责制度等条款 (对应GDPR中5、6、7、8、9、10、17、22、28、35、36等条款)。

(4)面向个人数据主体的反馈——梳理出组织对数据主体应履行的义务内容，并能够对数据主体提出的合法权利诉求 (包括获得告知的权利、撤回同意的权利、数据访问权利、数据纠正和删除的权利、拒绝和自主决定的权利等)进行反馈。从组织的语境来说，一是需要根据现有环境制作对数据主体的义务清单作为履行义务和搭建相关反馈机制的基础；二是为了响应外部主体的合法诉求，必须形成相应的对接管理机制、系统、负责人，甚至开发专门的在线应用产品为外部主体行使权利提供便利。从法律规范的意义来说，数据业者的义务来源于GDPR赋予数据主体的权利，因信息地位不对等造成个人数据保护的个体沉默和监管失灵效应，形成权利主体向数据控制者、处理者主张权利的壁垒，遂应当由占据信息优势地位的数据业者作出减少信息成本的努力，并以可外化的形式，即管理机制、内部政策、应用系统等证明之。该部分主要体现在27701号标准第7章第3节，映射GDPR中有关数据主体权利的条款 (对应GDPR中11、13、14、15至22等条款)。

(5)贯穿数据全生命周期的注意义务——数据方案的设计应保障个人数据保护的价值贯穿其始终。具体而言，因为每当数据进入一个新的生命周期，都有可能经过迭代产生新的数据属性、价值，数据的结构、内容也可能发生变化，新的数据属性可能产生新的数据用途，更有可能使数据处理超出原有的数据目的，因此有必要在每一个阶段对数据行为进行合目的性判断，保证行为始终以实现目的为限，不得对个人数据造成目的范畴之外的损害，具体而言，不仅在收集、处理阶段保证涵盖数据的最小体量，还需要在数据传输时准确传达初始目的、完成处理后及时删除与目的不相关的数据，定期清理因处理个人数据而创建的临时文件等。从法律规范的意义看，目的与行为一致虽然在法律的话语中的意义简单明了，但是落实在数据的全生命周期中难度极大。除了因数据迭代变化发生的诸多不可控因素外，还因为每个数据处理行为的模式都有所区别。这些因素导致目的与行为一致性的审查标准在每一个阶段都有可能不同。这不可避免造成数据活动的效率下降，降低数据流动积极性，进而形成数据孤岛效应。为了解决这一问题，当下出现了诸多既能够有效控制数据运行过程中延展性和多变性，又能保障数据处理行为目的能够实现的隐私保护计算技术，例如安全多方计算 (SMPC)、联邦学习 (FL)、差分隐私 (DP)等，这些技术融合了多领域交叉的跨学科技术体系，重点提供了数据计算过程和数据计算结果的隐私安全保护能力，在不识别到具体个人的前提下实现数据的共同计算，有利于解决数据孤岛和隐私风险难题。如果数据业者将这类隐私技术纳入内部管理机制中，有助于形成数据开放应用的合法性。因此，特定隐私保护技术的利用情况也应成为衡量数据业者对全生命周期数据尽到注意义务的标准。该部分主要体现在27701号标准的第7章第4节，映射GDPR当中有关目的限制性、数据最小化、数据存储限制、安全保密、数据准确性等条款 (对应GDPR中5、6、13、14、25、32等条款)。

(6)数据分工协作场合下的注意义务分配——数据控制者与数据处理者间的关系明确。与国内仅规定数据处理者的做法不同，ISO/IEC 27701中的数据控制者指的是决定了数据处理的目的与方法的主体，而数据处理者则是受到数据控制的委托代为处理数据的服务供应商。数据控制者作为数据活动的主导者需要承担更大的隐私保护责任，但是数据处理者也承担着必要的注意义务，包括二者签订的合同内容中必须包含注意义务分工履行的内容、未取得数据主体同意不得单独向其推送广告或用于他途，以及数据处理者辅助数据控制者完成数据保护的其他义务。该部分体现在27701号标准的第8章，映射到GDPR的有关数据控制者、处理者义务以及数据处理过程安全性的条款 (对应GDPR中5、7、28、29、32、30、44、46等条款)。

4 规范的落脚点——软法与硬法的衔接

通过国内外技术软法在数据权利保护中的规范作用分析，可以看出软法虽然在数据权利保护的领域中比硬法更具有场景适应性、规范灵活性，但其与硬法的衔接程度决定了形成更广泛规范效力的潜力，甚至反向促进硬法自身的完善。本文从27701号标准与GDPR的实例看，认为具有科学利益导向作用的技术软法形成，需要权威性强、体系性完整、要素丰富的硬法环境。另外，技术软法也应该在司法层面发挥裁量依据的作用，尤其在数据保护的侵权责任案件审理中，对技术标准的履行状况应当成为责任判定的重要考量因素。

4.1 立法层面——塑造有利于技术软法生成的硬法环境

ISO/IEC 27701中的组织的义务要素的硬法依据是GDPR。由于欧盟立法环境与国内区别明显，中国如果要鼓励形成ISO/IEC 27701这类技术软法，需实际考虑中国的硬法环境。为此，将27701号标准形成的相对完整的义务要素逐个对应到国内被适用于数据保护案例中来观察国内的硬法环境，见表1。可以看出，中国针对数据保护的立法结构较分散， 《民法典》 《数据安全法》 《个人信息保护法》甚至是个案中出现的 《消费者权益保护法》 《网络安全法》等，都可以直接或者间接成为数据权利侵害纠纷解决的依据。其中每一部法律的功能与侧重点都不同， 《民法典》的规定虽然较概括，但以数据主体权利和数据处理者义务的规范模式奠定个人信息保护的基本框架； 《数据安全法》与 《网安法》虽然具备一定的义务要素结构，但是这两部法律着眼于偏宏观的网络安全与数据安全，与 “数据权利保护”存在概念上的错位，难以直接作为硬法来映射。 《消费者权益保护法》则多围绕消费者的权利，但是缺少对数据业者的行为准则基本要素。这些法律当中围绕数据保护的义务要素较齐全是 《个保法》，但是该法也没有对数据活动分工时的义务分配以及对行业标准、技术规范的效力模式作出回应。从整体上看，国内在数据保护的主体资质与能力、权利响应机制层面的硬法依据虽初具规模，但是在数据处理者与数据控制者的义务与责任分配部分鲜有硬法规定。另外，国内近年来也不乏试图建构数据保护体系的地方性立法，本文以深圳、上海两地的地方立法方案做对比，主要因为二者皆为国内数字化转型和立法探索的前沿地带，其立法模式具有创新性和典型性。从地方立法部分看，上海与深圳虽然存在一定立法区别，但是在数据要素的开放流通促进兼顾权益保护的价值理念，尤其是在个人数据保护层面具有相似性，皆针对监管者、处理者资质、数据行为前置条件、全周期注意义务等方面做出了成文立法探索，对国内技术软法的生成具有指引意义。综合国内整体的硬法来看，如果需要借助软法发挥其数据保护领域当中的独特功能，中国尚需形成体系更为完整的数据保护法律，否则没有明确硬法映射的技术软法也将失去其规范优势，见表1。

表1 技术标准形成的国内硬法环境对比分析

4.2 司法层面——技术软法的法律适用方式

技术标准在司法层面的适用方式应区分法律适用与事实认定两个视角。在法律适用层面又分为在法律为空白时的间接适用功能、法律不确定时的解释补充功能；在事实认定层面，技术标准也可以作为书证[30]。在中国的司法实践中，技术软法影响司法审判已不鲜见，例如在甘肃高院发布的2017年度十大案件之一 “郑震、杨莉等侵犯公民个人信息罪案”中，被告雀巢公司通过遵守有效的合规标准，将单位责任和员工个人责任进行了切割，并援引公司在个人信息保护中的内部管理标准作为无罪抗辩的充足证据，避免了刑事责任的承担。国外也早已有将技术标准引入实质审理的先例，例如美国早在2009年就有 《数据责任和信任法案》 (Data Accountability and Trust Act of 2009)，明确在其Section 3 (f) (2) (A)& (B)条中规定法院应通过咨询等方式，根据行业协会、消费者组织、专家制定的技术标准来判断数据业者是否已经将数据进行法律要求下的加密处理，判断结果将直接影响数据侵权行为的认定与否。因此，在认定数据业者存在数据侵权责任的司法裁判当中，技术标准可以在法律规定的义务内容、过错认定条件较模糊导致自由裁量空间过大时，作为规则的补充释明，尤其在根据过错责任程度进行赔偿金计算时，应当避免国内案例中经常出现的酌定方式判定赔偿金方法，在充分考虑数据业者履行义务中的各要素齐全度，对于义务履行质量较高的主体，应当减轻其赔偿额度。另外，如果数据业者具备权威性的行业协会对标准的认证，那么该认证与技术标准本身可以作为一种书面证据，用以证明数据业者在事实层面具备个人数据处理的资质且体系化地履行了现有法律规定的注意义务。