内容提要 在加强个人信息保护的大背景下，借助法律规范推进数据平台市场行为合规是必然选择。相较于其他保护路径，合规路径更符合数据平台自身的特征、法律的明确要求以及“守门人”的职责，所以该路径应当成为数据平台个人信息保護义务不可或缺的构成。数据平台个人信息保护合规义务的落实，在法律依据上还存在一定的缺失，这些缺失可能会导致法律监管的失灵、归责原则的偏离以及责任承担的过度延伸。因此，在保持法律监管与适度介入的基础上，应当遵循过错推定责任原则，辅以均衡的责任分配方案，加快风险管理从意识到义务的转换，拉齐个人信息保护水平标准；还应推进通用标准的法律转化，满足判定法律责任承担的技术基准的法治诉求。

关键词 数据平台 个人信息保护 合规义务

王鹏，淮南师范学院法学院副教授

本文为安徽省高校社会科学重点项目“公正与效率视角下认罪认罚从宽制度的实证研究”（2022AH051560）的阶段性研究成果。

数据平台链接着数字经济产业的上游与下游、商业用户与终端用户等交易主体，它不但肩负着信息安全高效流转的职责，而且承担着新型数据的权益分配功能。在《中华人民共和国民法典》（以下简称《民法典》）确认个人信息权益的人格权属性后，个人信息法律保护成了一个被持续研究的课题。2021年8月通过的《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）第58条首次明确了数据平台个人信息保护的合规义务，合规成为数据平台落实《民法典》第111条和第1034条“个人信息受法律保护”要求的重要制度安排。目前，学界对数据平台个人信息保护合规的研究，主要集中在合规业务类型与模式、合规指标与评估、合规风险及其规制、合规组织和合规职能、法益保护与面向、刑责认定与追究、域外比较与借鉴、合规治理机制与体系构建等方面[1]，整体而言缺少数据平台个人信息保护合规义务的证成分析。此外，数据平台通过信息技术实现对个人信息的“处理”，具有显著的技术集成性和依附关系，这在客观上导致数据平台个人信息保护合规义务在法律监管、归责原则、责任承担等适用方面出现了偏差和法律依据的缺失，亟须有针对性地开展研究。

数据平台所具有的独特功能决定了其较之个人信息的优势地位，此种优势地位容易形成对个人信息的挤压状态。为了应对此种状态，确立数据平台“守门人”角色并课以其个人信息保护合规义务是一种较好的选择。故此，本文将通过厘清数据平台的独特功能，分析数据平台个人信息保护的“守门人”角色及其合规义务确立的逻辑，探讨数据平台个人信息保护合规义务面临的法律依据缺失情形及合规义务完善路径。

一、数据平台的界定与功能：将数据转换成信息价值

数据的价值主要体现在其自身的信息转换。作为数据处理和获得的主体，数据平台拥有一般社会主体所不具备的“人为赋予”的技艺和能力，发挥着将数据转换成信息价值的独特功能。

1.数据平台的界定

目前，学界关于数据平台的界定主要有三种观点：一是“无形场所论”，即数据平台是一个通过互联网技术向多个利用者提供服务的无形场所，利用者在此可以进行商品、服务、信息的交换[1]。二是“商业组织形态论”，即数据平台是多个利用者通过互联网技术，遵循特定规则来实现信息交互，并以此共同创造价值的商业组织形态[2]。三是“数据处理者论”，即数据平台是通过利用数据营利的数据企业，以及在运营、组织交易过程中产生或者获取数据的企事业单位[3]。

本文采取“数据处理者论”观点，且所探讨的“数据平台”均指《个人信息保护法》第58条所定义的“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”，不包括不符合上述定义的中小数据平台，做此限定是基于当前贯彻落实《个人信息保护法》的紧迫需求。本文试图以法教义学的研究范式紧紧围绕《个人信息保护法》相关条款进行分析，探讨此类特定主体在责任层面与个人信息保护层面上相关的问题。由于以上类别的数据平台对个人信息的影响更广更深，且对其开展的相关规制更具有示范引领或标准确立的方法论价值，故本文不探究所有类别的个人信息处理者，仅探讨《个人信息保护法》第58条界定的主体。

2.数据平台的独特功能

数据的信息转换并非自发的或自运行的，需要“人为赋予”的行为才能得以实现，因为分散零乱的数据即使被存储在“关系数据库”中，其彼此之间也并无天然联系，而只有“人为赋予”了数据之间的“关系”，才能把原本孤立的数据相互联通、生成信息，并借助信息实现数据自身的价值与增值[4]。

数字经济具有明显的外部经济性，分散零乱的个人数据与其他数据之间建立的“关系”越多越深，越能被转化为高价值的信息资源并获得更高的效用。但外部经济性的实现，依赖于能够大规模收集个人数据，有效“人为赋予”数据之间的关系进而将数据转化为信息资源的载体，而执行“人为赋予”功能的载体须具有相当的经济和技术条件。

在“数据处理者论”视角下，数据平台拥有一般社会主体所不具备的“人为赋予”的技艺和能力，突出表现为借助诸如云计算、虚拟化技术、可扩展的存储系统等对海量数据进行分布式数据挖掘的手段。因此，数据平台具备大规模收集个人数据并将其转化为信息资源所必需的经济与技术条件，以及占有和使用个人数据、将个人数据转换成信息价值的能力，这就使单纯的个人数据进入了个人信息权益保护的范围。正是数据平台的这一能力，令个人作为数据生成主体时，其拥有的个人数据得以在分享和传播中具有存在的意义，进而实现了个人数据从独语表达到信息交流的价值转换。

二、数据平台对个人信息的保护：“守门人”角色与合规义务

个人数据从独语表达转换成信息价值，主要借助数据平台在这一转换过程中的独特作用，然而，数据平台也有可能因此在客观上对个人信息构成一种挤压。数据平台对个人信息的此种挤压，要求数据平台承担相比一般社会主体而言更为严格和特殊的责任，进而被依法设定为一种“守门人”的角色。相较于其他风险防控路径，合规路径因与数据平台自身特征、“守门人”职责等吻合度更高，应成为数据平台履行个人信息保护职责所不可或缺的义务。

1.数据平台对个人信息的挤压

数据平台对个人信息的挤压，首先体现为数据平台的技术优势。数据平台过于优越的技术地位造成了以下局面：个人在进入网络空间之时就已经被数据平台的高超技术所劫持[1]，個人信息也就不可避免地被稀释、凌驾或黑洞化。其次体现为个人为获得某种优势或便捷所做出的让渡。“数据经济的重要特征是‘许多用户使用的网络服务要求用户以让渡个人敏感信息的方式信任公司”[2]，而数据平台在被推向市场时所采取的“免费策略”，更加增强了个人让渡信息的意愿。此种为了得到各种便捷讯息和服务所做出的让渡，在某种程度上会使得对个人信息保护的需求退居次要位置。

2.“守门人”逻辑：数据平台对个人信息的保护责任

“守门人”是指控制关键信息网络技术、决定平台运营环境、深度影响个人信息处理活动的互联网营运者[3]。“守门人”概念源于欧盟《数字市场法提案》，并反映在《个人信息保护法》第58条之中。

确立数据平台“守门人”角色进而实现对个人信息的保护，其法理在于“控制者义务理论”，即任何主体对其控制的场所等应负担一定的安全保障义务，而课以该主体一定的安全保障义务，体现了收益与风险相一致，与控制危险源能力相匹配的法治理念[4]。数据平台控制着个人信息处理系统的技术资源与运营环境，控制着个人信息处理活动的关键通道与容纳空间，控制着相关算力算法可触达个人信息的广度与深度，控制着个人依赖数据平台的习惯养成机制。故数据平台是个人信息处理的“控制者”，特别是《个人信息保护法》确立的个人信息保护义务明显建立在《数据安全法》的安全保障制度框架下，前者同样沿用了数据安全保障义务的保护逻辑，即个人信息的处理是以秘密状态进行的，严格限定在法定或约定的范围和场景[5]。因此，将数据平台设定为“守门人”角色并课以其相应的安全保障义务，符合法理和我国司法实践。例如，在“申瑾诉上海携程商务有限公司侵权责任纠纷案”中，法院认为，平台具备开启、参与社会交往服务和给他人权益带来潜在危险两项特征，故虚拟数字世界与现实世界中的安全保障义务主体，均应负有排除对其服务用户侵权以及对未来妨害进行审查和控制的义务[6]。

3.合规的内涵与合规义务的必要性

根据ISO 37301： 2021《合规管理体系要求及使用指南》第3.26条规定，合规的内涵是“满足组织的所有要求的合规义务”。按照上述定义，数据平台的“合规”是指数据平台处理个人信息的活动应当在“外规”与“内规”的限定与引导下进行。

所谓合规义务，在我国法律上体现为《个人信息保护法》第54条所明确的个人信息处理者的合规审查义务，以及第58条所列举的本文所探讨之“数据平台”的“守门人”义务。合规义务的必要性主要体现在以下两个方面：一方面，合规是社会主体实现自我监管、自我报告、自我披露和自我整改的有效路径，属于具有私法特征的内部自律行为，而个人信息保护的合规又体现出高技术性、强专业性等特征，客观上也更依赖数据平台的自身主动作为。政府等外部监管主体或者强制力量，由于缺乏内生性动力，缺乏常态性和融入数据平台日常经营监管的能力[1]，使得法秩序背后监管主体及其所代表的强制力量所能发挥的作用非常有限[2]，无法单独或者有效承担监管之责。不可否认，数据平台的违规能力与其开展合规建设的能力都是超乎寻常的，同时，社会主体为了应对行政或刑事制裁，具有通过合规将法律规定的相关注意义务转化为其内部治理的有机组成部分的诉求[3]。故由作为“守门人”的数据平台肩负着外部合规协调者、内部合规落实者的责任，构成数据平台的一种实然所需。另一方面，合规的效能尤为独特、突出，是法务、审计等风险防控路径所不具备的或较难替代的。特别是在可能引发行政处罚或刑事责任的场景中（如腐败、不正当竞争、网络安全、信息保护、利益冲突等），是否履行了合规义务是判断、斟酌行政或刑事责任高低的一项重要因素[4]。质言之，达到了合规要求，则成为某组织的自我声明，且该声明具有可追溯性。在此基础上，便可顺利开展认证并发放给相关组织认证证书，可方便政府机构精确匹配和实施科学合理的监管手段和措施，组织在承担不利法律后果时可获得司法机构不捕不诉不判等宽恕处罚[5]。

三、履行数据平台个人信息保护合规义务的法律困境

尽管《个人信息保护法》第58条规定了个人信息处理者应当履行建立健全相关合规制度体系的义务，但数据平台个人信息保护合规仍面临着多维度的挑战。其中，来自法律维度的挑战更显突出，主要表现在法律监管可能失灵、归责原则极易偏离以及责任承担过度延伸三个方面。

1.法律监管可能失灵

数据平台具有技术专业性、经济多边性以及数字经济客观强诉求性、累积性等特点。数据平台不受束缚的内在诉求与日俱增，将会导致数据非法交易等负面情况的发生，如跨行业、大规模的破除信息孤岛计划的实施，或许将会与个人信息保护的目标背道而驰。为了应对此等境况，我国加大了法律法规和国家标准中的合规植入，如2015年《中华人民共和国刑法修正案（九）》、2017年《中华人民共和国反不正当竞争法（修订草案）》等，借法律的规范性、强制性等功能促成社会主体行为的合规实践，同时也积极敦促这些主体承担更胜以往的被监管义务。但这种状态不太可能维持较久，因为“去中心的‘离散‘非均衡式创新”使得法律监管“难以对其有效涵盖”[6]，加之合规侧重内在的自律、自我的调整，如果在进行反思性立法时仍强调法律的惩罚震慑等外在的功能，则只会在法律的统治机器高速运转和社会成本急剧加大下反衬出市场行为的更多的不合规，并一次次地重复着“萨班斯法案式”[1]的失灵的轨迹[2]，最终使这些法律拟保护的免受侵扰者易位为法律予以规制的“侵扰实施者”。

另外，监管是否能够拉平与数据平台所掌握的信息技术等能力也是一个问题，这使得监管全面追踪数据平台变得较为困难；且行政监管在客观上较难超越数据平台自身的激励，遑论行政监管有能力对数据平台进行任何内在激励了。

2.归责原则极易偏离

在现行法律规定下，个人信息保护归责原则是过错推定责任。但是，对个人信息保护的持续强化可能会逐渐内化为数据平台的合规要求，在一定程度上导致数据平台注意义务的泛化模糊，易致归责原则偏离，从而导致“过错推定责任”异化为“有损害损失必有责任”的严格责任。目前，数据平台较之行政监管在信息技术专业方面具有更大的优势，而行政监管为了弥补这一劣势，可能会基于数据平台的违法行为来倒推数据平台的主观过错，以“确保”主客观相统一原则在网络领域中得到“真正贯彻”。

此种不断累加的客观倒推主观，并不符合“过错推定责任”的基本精神，削弱了数据平台证明自身“无过错”的可能性，极大地拓展了数据平台的注意义务的范围。如《互联网用户公众账号信息服务管理规则》《互联网跟帖评论服务管理规定》等规定的监测管理、内容审核、应急处置、记录保存等义务，实则从“过错推定责任”转向了一种严格责任或无过错责任。这既违背了过错推定责任和主客观相统一的初衷，也违背了数据平台责任追究的正当性要求，还促使行政监管过度依赖事后监管，并催生一种懒政，背离了加强事前事中监管的新行政管理理念，同时进一步增加了数据平台的审查义务[3]、过度预防以及责任承担的不可预测性。

3.责任承担过度延伸

数据平台个人信息保护责任目前呈现一种比较明显的延伸趋势。

首先，合规承诺被赋予法律层面上的责任。合规承诺一旦做出，这种自愿选择遵守的要求，在法律维度上与合规要求并无二致，共同构成“合规义务”，接受法律的约束和检验。若在实践中背离或违反合规承诺，则应承担相应的法律责任。如果合规承诺过度，则追加承担的法律责任也就随之过度。而过度承担责任的压力必然会反馈至数据平台，使其因载重过多而步履蹒跚。

其次，政府监管逃逸后的留白需要由数据平台通过承担责任来弥补。相较于具有显著的信息与技术优势的数据平台，远离技术中心的政府监管机构确实难以得心应手地管控规模不断增大、类型不断细分的个人信息处理行为。这将使得政府监管逃逸成为一种选择或妥协。政府监管逃逸后必然留下空白，亟须另外的主体承担替代监管或类似监管功能。合规承诺属于自律性表达，且具有功用上的独特赋能，违反合规承诺也将同时承担法律责任，这正好填补了政府监管逃逸后的空白或缺憾。所以，“以网管网”不失为一种双赢策略。

2021年10月市场监管总局发布的《互联网平台落实主体责任指南（征求意见稿）》中关于“不断完善平台内部合规制度和合规机制，积极响应监管部门的监管要求”的内容，印证了网络空间的监管权正向网络平台转移的事实，但这实际上延伸了数据平台的法律责任。合规承诺及责任负担并不是锚定的，因为数据平台负担的合规承诺及责任，其理论基础在于其拥有信息和技术的优势，如果没有或超出此优势，则不应由数据平台负担合规承诺及责任[1]。

四、数据平台个人信息保护合规义务法律依据的完善

在强调个人信息保护的大背景下，借助法律规范推进数据平台市场行为合规是一种必然选择。立法者须理性保持法律监管与介入的适度性，采取“更符合商业合规选择偏好的‘软干预‘弱干预的范式”[2]，完善数据平台个人信息保护合规义务法律依据，适度控制法律管控的边界或力度。

1.完善过错推定责任的判断机制

归责原则决定了相关法律责任的构成要件，故确定归责原则是数据平台履行个人信息保护合规义务要面对的问题。但是，在司法实践中，判断数据平台是否有过错通常需要参照法律依据，即判断具体技术理性、合规设计与法律所试图保护的价值是否吻合。

首先，数据平台归责原则采取过错推定责任，但此种责任的判定往往需要综合多种因素才能实现，包括考量法律依据与法律判准之间的关系。具体而言，这种综合关系体现为作为法律依据的“技术”与作为法内依据的“责任”的有机结合。面对追责，数据平台通常以“技术中立”予以抗辩，即“自身无过错的抗辩”。但不可回避的是，无论是何种程度的代码化，代码本身仍是“遵从了设计者的技术理性”，只是技术理性偏离了法律的“制度理性”[3]，这才導致智能规则出现漏洞、偏离法治目标等问题[4]。换言之，“代码即是法律”的底层逻辑仍是设计者的主观存在，故数据平台仍须在不能证明自身无过错的前提下承担责任，这也符合制度理性和“科技向善”的要求。在“麒麟童公司诉斗鱼公司著作权侵权案”中，法院针对斗鱼公司提出的仅提供中立的技术服务而不构成侵权的抗辩理由，指出涉案技术行为本身就存在较大的侵权可能性，应在技术植入之时即采取相匹配的预防策略[5]。

其次，具体过错考量取决于数据平台在技术设计时的主观方面。换言之，数据平台可以“从一开始就将个人信息保护的需求通过设计嵌入系统之中，成为系统核心功能的一部分，成为商业实践的默认规则，给予个人信息全生命周期的保护”[6]。如果平台无法证明自身对相关主观要素进行了考量，忽略了个人信息保护层面的功能，则应当推定其有过错。在2021年“平台违法处理公民个人信息案”中，拼多多本应在设计经由算法向内置支付软件付费通传输用户信息时，满足用户单独同意的合规要求，但该公司在设计具体技术时忽略了这一合规要求，主观过错明确，故承担侵权责任[7]。

最后，适配的过错责任须辅以均衡的责任分配方案而获得实现。很显然，如果数据平台归责原则不是要么过错责任、要么严格责任那样走极端，而是一种均衡的过错推定责任，那么“如何确证自身没有过错”无疑将构成责任分配均衡的关键。有关司法实践已经提供了较好的示范。在相关案件中，法院采用综合考量相关要素、形成与责任能力对等的归责体系，对“何谓过错”这一问题进行了全面、均衡式的把握，值得借鉴。在一些案件中，法官采取的判决思路是，只要原告提出的证据能够证明被告存在侵犯个人信息权利（例如隐私权）的高度可能性，而被告又不能举证推翻此种证明，则可认定被告实施了相关侵权行为。此种“高度可能性”举证规则弱化了被告的举证责任，亦加强了原告的举证责任，是对“过错推定责任”的一种均衡修正。

2.明确风险管理的义务构成

应通过引入法律技术标准，明确数据平台法内风险管理义务构成。数据平台个人信息保护所面临的合规风险，可能使数据平台面对行政监管责任或刑事责任追究的风险。信息网络、大数据、人工智能等技术加持放大了风险社会的风险级别或者催生了新型风险。由计算机系统处理的信息可更便捷和精准地单独或与其他信息相结合识别到特定的个人信息[1]，如此一来，风险不再是信息的泄露，而是通过算法等底层技术获得极强的预知性，并以此预知来限制、禁止或选择性漠视个人的某些权利，或者怂恿、引诱、误导个人实施某些非法行为[2]。故此，数据平台个人信息保护合规风险，是能被强烈感知的一种较大损失的可能性，以及经由算法技术可预知、可主导实现的侵权。数据平台个人信息保护法律责任的衡量基准是对合规风险的管控及其程度控制，毕竟风险制造者和风险管理者更了解风险，也更善于管控风险。

例如，为了突出风险管理义务，德国法院将“避风港”原则由“通知—删除”调整为“通知—删除—扫描”，以达到预警、控制风险和保障个人信息安全的目的[3]。又如，在“付全贵与北京三快信息科技有限公司等网络侵权责任纠纷案”中，法院指出，作为交易模式和算法技术的设计者，三快科技公司应清楚知晓其采集信息的流向、范围及可能有泄露风险的环节，并通过完善相应的个人信息保护技术措施、数据信息经营模式等方式来分散风险，但其显然没有尽到相应的风险管理义务，故承担赔偿责任[4]。

因此，引入法律依据的目的是客观审视数据平台归责原则下的独有的责任来源，从而达到科学切割边界和体现比例的目的。就技术标准渊源而言，数据平台个人信息保护合规风险管理法律效果的考量内容是尽可能拉齐个人信息保护的标准，以削减实现数据快速流动诉求时可能会遭遇的摩擦。目前，拉齐标准可依赖的方法或路径是2009年11月ISO公布的首个风险管理国际标准，即ISO 31000：2009《风险管理——原则与指南》。该标准旨在制定管理流程，将其集成到现有的战略和管理计划中。ISO 31000：2009第2.2条将风险管理界定为“针对风险指挥和控制组织的协调活动”。修订后的版本ISO 31000：2018针对包括网络风险在内的日益频繁的风险，对管理流程进一步改进和优化，强调了风险迭代性质、领导者角色与责任以及利益攸关方参与等原则。特别是《个人信息保护法》中关于“守门人”的义务规定，使数据平台超越了市场经营者的单纯意义，被赋予了“一种重塑社会结构的新型规制者”的价值[5]。这种兼具“自律式”守门人和“监管式”守门人职责的数据平台[6]，更需要制定按图索骥式的风险管理流程，以合理削减平台可能承担的合规风险法律责任。ISO 31000：2018无疑为数据平台改进和完善个人信息保护合规的相关管理流程，提供了一个较为便利的公认范式。

3.推进通用标准的法律转化

应当推进适宜的法律依据、通用标准的法律转化。数据利他主义是数字时代下“科技向善”的鲜明体现，而数据和信息实现充分共享是数字经济的关键。但信息的收集、传播、分享等既面临着各种识别的困扰，也面临着有效保障个人信息权利正常被行使的困扰，如精准及时响应数据主体访问、查询、同意、更正、删除、数据迁移等，就要求任一数据平台都要努力精准完成分类化查询、识别、界定、响应等工作。信息处理技术与支撑技术构成了数据平台个人信息保护双重合规的审视模块。

但上述努力都无法回避一个事实，即数据流通时对技术切口对接的处理。出于隐私安全和竞争等因素的限制，每个数据平台都使用不同的技术和开发、加密协议，且大多互不兼容。在技术切口不相容时，首先，各数据平台面临着技术转换的冲突问题，如命名冲突、格式冲突、结构冲突、类型冲突等，而任何技术转换均同时存在着信息外溢风险防控的合规问题。2018年，为达到欧盟《通用数据保护条例》（GDPR）第20条关于大型数据平台允许用户轻松地将数据转移到其他平台的相关要求，谷歌、Facebook（现Meta Platform）、微软和Twitter联合发布“数据转移项目”，以确立新的数据转移标准，提高平台之间数据迁移的方便性。该项目首先面临的是可移植性和互操作性的技术问题，即需要通过“数据适配器”和“身份适配器”等工具为不同平台的数据转换、读取、认证提供一个通用的标准格式，通过任务管理库对数据传输进行管理，并使用同一加密协议保证数据传输的安全[1]。其次是合规问题，2020年7月，欧洲法院因不信任美国数据保护体系而裁定欧盟和美国2016年达成的跨大西洋數据传输框架——《隐私之盾协议》（Privacy Shield）无效。此后，欧洲监管机构致力于欧洲数据跨越大西洋传输法规的重新制定，以进一步提高个人信息保护的力度。2013年至今，Facebook多次收到爱尔兰数据保护委员会的命令，委员会以个人信息未得到美国法律及惯例所声称的相应合规保护而致外泄等为由，要求Facebook停止将用户数据从欧盟转移到美国，并要求其标准合同条款也不能用于欧美的数据传输[2]。

如果说封闭数据平台内的信息保护合规花费是巨大的，那么，技术不相容时合规的花费无疑更大，技术协调的难度也更大，不可确定的风险更易出现。在数字时代的强信息监管诉求下，实现个人信息保护合规要求，可以通过建立通用型技术标准来减少数据平台自身以及多方数据平台查询、识别、界定、响应以及接口相容等费用。同时，为实现遵循适配过错责任、体现主客观相统一原则以及避免过度延伸数据平台的法律责任的法治目的，需要依赖通用型技术标准来衡量数据平台的主观过错及其程度，这是专业技术性较强的领域判定社会主体法律责任承担与否的不可或缺的衡量方式。在通用型技术标准成熟后，可在追求技术相容、节约成本、减免法律责任等目标的导向下，充分利用技术标准来提高个人信息保护合规的可能性。

2022年4月下发的《中共中央国务院关于加快建设全国统一大市场的意见》，明确提出了要加快培育统一的技术和数据市场，建立健全数据安全、权利保护、安全认证等基础制度和标准规范，推动数据资源开发和利用。因技术不对等，个人在数字经济时代享受数字便利的同时，无力制衡数据平台对数据信息的违规运用。正因如此合规才具有重要意义——它承接着外部制度与内部价值追求。而实现此种价值追求，不能仅仅依靠法律内部动因，也不能仅仅依靠行政监管。引入法律依据，可以完善法律责任判断机制、明确风险义务构成以及促进行业标准的法律转化。在法治“理性不及”的情况下，通过引入法律依据实现数据平台的合规化，是平衡科技发展与个人信息保护的重要路径，能够赋能数字经济、创新通用型技术规范，推动中国特色数字经济的实践。

〔责任编辑：吴玲〕

[1]敬力嘉：《个人信息保护合规的体系构建》，《法学研究》2022年第4期。

[1]高重迎、李晔：《数据平台价格歧视行为的反垄断规制问题分析》，《中国价格监管与反垄断》2020年第7期。

[2]张志昌、陈志：《从平台经济特性入手促进产业规范健康持续发展》，《科技日报》2022年8月3日。

[3]余筱兰、刘道云：《大数据平台商业使用个人数据的法律边界》，《法治论坛》2021年第1期。

[4]庄子银：《数据的经济价值及其合理参与分配的建议》，《国家治理》2020年第16期。

[1]蔡川子：《数据抓取行为的竞争法规制》，《比较法研究》2021年第4期。

[2]莉娜·坎、大卫·博森、林少伟、林斯韦：《信息信义义务理论之批判》，《交大法学》2021年第1期。

[3]张新宝：《互联网生态“守门人”个人信息保护特别义务设置研究》，《比较法研究》2021年第3期。

[4]赵超、周泉泉、孙鹏程：《电子商务平台民事责任的司法实践和探索》，《上海法学研究》集刊2022年第4卷。

[5]赵精武：《从保密到安全：数据销毁义务的理论逻辑与制度建构》，《交大法学》2022年第2期。

[6]参见北京市朝阳区人民法院〔2018〕京0105民初36658号民事判决书。

[1]王文华、魏祎远：《互联网平台企业反腐败、反洗钱合规机制构建初探——以G20为视角》，《中国应用法学》2022年第1期。

[2]马克斯·韦伯：《经济行动与社会团体》，康乐、简惠美译，广西师范大学出版社2004年版，第226页。

[3]钟晓雯：《算法推荐网络服务提供者的权力异化及法律规制》，《中国海商法研究》2022年第4期。

[4]陈瑞华：《论企业合规的性质》，《浙江工商大学学报》2021年第1期。

[5]叶良芳：《美国法人审前转处协议制度的发展》，《中国刑事法杂志》2014年第3期。

[6]唐林垚：《数据合规科技的风险规制及法理构建》，《东方法学》2022年第1期。

[1]《萨班斯法案》全称为《2002年公众公司会计改革和投资者保护法案》，该法案对在美国上市的公司提出了公司治理、会计职业监管、证券市场监管等方面的合规性要求。

[2]罗培新：《科学化与非政治化：美国公司治理规则研究述评——以对〈萨班尼斯-奥克斯莱法案〉的反思为视角》，《中国社会科学》2008年第6期。

[3]赵鹏：《私人审查的界限——论网络交易平台对用户内容的行政责任》，《清华法学》2016年第6期。

[1]宋亚辉：《厘清网络平台协同监管义务》，《中国社会科学报》2022年3月23日。

[2]杨力：《寻找商业目标与公司合规之间的最大公约数》，《政法论丛》2020年第2期。

[3]袁康：《金融科技的技术风险及其法律治理》，《法学评论》2021年第1期。

[4]季金华：《智慧时代司法发展的技术动力、价值基础和价值机理》，《中国海商法研究》2022年第3期。

[5]参见北京互联网法院〔2019〕京0491民初28731号民事判决书。

[6]邢会强：《大数据时代个人金融信息的保护与利用》，《东方法学》2021年第1期。

[7]参见杭州互联网法院〔2021〕浙0192民初2929号民事判决书和杭州市中级人民法院〔2021〕浙01民终12780号民事判决书。

[1]随着数据相关性研究和数据挖掘技术的发展，一个单一的、不重要的信息可能也会识别到个人。参见Renee M. P.， "Redefining Privacy in the Face of New Technologies： Data Mining and the Threat to the Inviolate Personality"， Canadian Crim. L. Rev， 2005（9）， pp.273-287。

[2]鲁传颖、张璐瑶：《人工智能的安全风险及治理模式探索》，《国家安全研究》2022年第4期。

[3]馮辉、张洁、华晗：《互联网平台在保障网络信息安全中的警示义务——互联网信息安全与法制建设研究》，《中国信息安全》2015年第10期。

[4]参见北京互联网法院〔2018〕京0491民初1905号民事判决书。

[5]单勇：《数字看门人与超大平台的犯罪治理》，《法律科学》2022年第2期。

[6]侯利阳：《论互联网平台的法律主体地位》，《中外法学》2022年第2期。

[1]戴龙：《论数字贸易背景下的个人隐私权保护》，《当代法学》2020年第1期。

[2]宫云牧：《数字时代主权概念的回归与欧盟数字治理》，《欧洲研究》2022年第3期。