数据治理语境下公司社会责任的基本内涵和制度构建

周瑞珏

（北京航空航天大学 法学院，北京 100083）

一、问题的提出

在信息社会中，数据已然成为全行业的“战略资源”，大数据、云计算、人工智能等技术将“世界的真相”以数字的形式呈现于人们的眼前。然而，现有的社会运行模式难以完全承载技术跨越式的变革，社会因数据价值的解放而革新，也因数据的无序状态而被迫承担不同以往的监管难题。在实践中，数据引发的实践问题除了数据泄露、数据窃取、数据滥用等问题之外，因数据完整性、准确性引发的数据偏见等数据理论问题亦是需要学者们正视的“顽疾”。从数据安全到数据正义①英国数据正义研究室（Data Justice Lab）将“数据正义”解释为数据处理方式非扁平式的“社会分类”功能，创造了新的公民类别，引发了一系列社会正义和数据流动的问题。参见https://datajusticelab.org/ .，与数据相关的诸多法律议题虽形式或内容有所差别，但本质上共同指向一个问题——如何构建有关数据使用的法律秩序。这种法律秩序表现为网络空间中维持数据自由流动的同时，权利主体的利益得以被尊重和保护。数据法律制度的构建终究不是法律文本层面的“即兴创作”，产业实践发展的现状与需求才是制度构建的方向指引。

为了实现良性的数据治理格局，国内学者大多以个人数据安全为核心，以“个人信息自决”为基本原则，试图构建符合我国产业实践的数据权利体系。清晰的数据权利体系关系到数据主体、数据控制者之间法律关系的厘清以及名为“安全”的法律秩序形成，在此层面，数据安全的实现实际上就是数据权利的保护。关于数据权利的具体内容，学者们的观点大致可分为两种类型。一种观点是从客体论的角度分析数据的法律属性，并在此基础上创设新型的数据主体权利。或将“信息”视为“数据”的具体内容[1]，或将“信息”和“数据”两个概念视为同一讨论对象[2]，对“数据”或“信息”法律属性的不同认定，使得数据权利的创设分流于人格权和财产权两种路径。另一种观点则是以数据产业的发展为导向，以欧盟GDPR等国外制度经验为借鉴蓝本，创设不同于传统民事权利类型的新型数据权利，诸如访问权、反对权、限制处理权等。诚然，数据权利体系的构建能够打破现有数据使用规范不足的僵局，但过度强调数据权利本身难免会忽略权利实现过程中数据控制者的作用。从数据主体与数据控制者之间债的关系观之，债权的实现始终需要以债务人的行为为起点，数据控制者作为数据的实际“掌控者”，权利的实现仍离不开数据控制者相应的数据合规行为。此外，数据处理的实践中，个人数据往往会与其他类型的数据相互交织，在现有的研究中，对法律所保护的“数据”范围尚无定论，数据权利在形成数据流动的法律秩序的过程中作用着实优先。因而，不妨从权利义务匹配的思路中回到以“债务人为起点”的框架下，考虑是否存在其他实现数据治理目标的规范路径，既能够满足数据权利实践需求，又能够承载超越现有法律规则之外数据治理内容？

二、公司社会责任的理论基础和内涵延伸

数据治理的过程是以数据安全为基础，其目标是实现兼容数据自由流动和数据权益保护的法律秩序。数据治理不同于传统社会治理思路，数据处理行为的事前合规远比事后政府部门监管重要，数据泄露、数据窃取等安全问题不具有可逆性，复制成本低廉、传播速度快、违法行为隐蔽等特征使得数据主体难以通过事后救济的方式从根本上“回复”数据权益的原始状态。此时，作为数据处理行为起点的数据控制者理应视为数据治理的重要参与主体。无论是出于个人数据安全的保护，还是商业数据、敏感数据的保护，数据控制者承担着数据治理的“重要使命”，这种“社会责任”横跨法律和道德两个层面，与传统商法理论中的“公司社会责任”有着天然的契合性。并且，在网络空间成为当下社会越发依赖的“第五空间”之后，“公司社会责任”的内涵自然也有所延伸，非以现实社会为限，网络社会亦是以公司形式存在的数据控制者存在基础。

（一）公司社会责任的理论基础和制度价值

国内关于公司社会责任的研究中对概念界定虽有不同，但基本都认可其是对公司追求利润最大化的否定，在经营过程中应当兼顾诸如环境问题、产品责任问题、消费者保护等其他社会目标。对公司社会责任的规范性研究中，着重论证公司承担社会责任的正当性基础以及如何将公司的经济目标与社会目标进行统一。

公司社会责任的研究视角大致可分为三类：（1）从法律与道德的关系出发，试图论证“引道入法”的可行性与必要性。有学者指出，概念外延所包含的具体责任是以法律关系为基础，公司社会责任首先应当是法律责任，而公司责任集体化的法律总结在早期往往表现为道德责任，在文明演进过程中逐渐成为具有社会共同理性的规范内容，也就是所谓的“道德责任法律化”。[3]法律责任之后产生的道德责任随着社会变革也会成为新的法律责任，这种循环往复的过程恰是证明公司社会责任内容的二重性，即兼有法律属性和道德属性。（2）以公司法的角度出发，寻求在现代化公司治理的框架下构建公司社会责任理论，分析公司法和公司社会责任的关系。或以相关利益者理论为理论支撑，将对调整公司与股东及其他利益相关者的利益关系，维护利益结构的平衡纳入董事勤勉义务的范畴之中；[4]从公司法人否定的角度，对公司法人格否认诉求主体的范围提出质疑，认为主体范围还应当债权人以外的其他相关利益者，当为强化公司社会责任的最佳途径。[5]或从立法规范的角度，强调公司社会责任与《公司法》价值导向的相适性，在实施层面，将股东（大）会、董事会和监事会的主体职责作新的理解。[6]（3）以其他学科的研究范式为研究工具，试图在规范研究与实证研究之间构建理论桥梁。例如，以卡罗尔的公司社会责任四层次说为基础，结合法律规范效力的不同层级，提出公司基本社会责任（法律责任）、公司必要社会责任（经济责任）、更高层次的公司社会责任（狭义社会责任），并以强制性规范、任意性规范、促进性规范一一对应，设想公司社会责任的制度框架。①英国数据正义研究室（Data Justice Lab）将“数据正义”解释为数据处理方式非扁平式的“社会分类”功能，创造了新的公民类别，引发了一系列社会正义和数据流动的问题。参见https://datajusticelab.org/.

公司社会责任的理念兴起于工业化进程中的美国，从最初局限于慈善行为的狭隘理解到当下对公司“社会公民”主体身份的思考，美国的学者们似乎一直在为公司社会责任寻求理论支撑，这与概念本身复杂的学科交叉内容无不相关。目前的研究重心表现为架构最佳利益权衡方案，具体模式可分为“利益一致模式（constituency mode）”②“constituency”和“stakeholder”含义有所区别，前者强调的是共同利益，后者强调的是存在相关的利益。和“可持续性发展模式（sustainability model）”。

在“利益一致”模式中，公司被视为由不同利益需求的团体③这些利益主体包括高级管理人员、股东、雇员、债权人、消费者以及公司所在社区等。的集合体，但是彼此之间存在共同的利益。若按照严格的“股东利益最大化”理论，在“零和博弈”④“零和博弈”是博弈论的一个概念，属非合作博弈。零和博弈表示所有博弈方的利益之和为零或一个常数，即一方有所得，其他方必有所失。在零和博弈中，博弈各方是不合作的。条件下，势必会给非股东的利益一致团体增加成本，因此，该模式下对此加以否定，要求管理层需要放弃部分利益的追求，转向“最佳”利益的追求；同时，由于对“零和博弈”的默认，支持者拒绝以非股东群体自身的合同谈判能力作为利益调整“筹码”⑤这里的“筹码”是指不同主体根据自己与公司的联系程度来影响管理者作出何种决策。，坚持以道德责任解释管理者的职责。

在“可持续性发展”模式中，否认“零和博弈”的存在，转而接受了新的观点，即公司的长期可持续性在一定程度上取决于关键利益相关者的长期生存能力。[7]论证思路表现为虽然短期成本高昂，但是未来的长期投资回报恰能证明公司社会责任的目标。当这种短期成本投入是以成本效益模型为基础，可能无法达到公司社会责任的内在要求，对非股东利益的考量实质上仍以股东的长期利益为尺度。然而，该种模式下，股东可能会因为短时间内公司业绩不佳而减少投资，公司长期存在获利的目标可能仅是个“空头支票”。

至于与中国国情相类似的印度，出于国内经济的发展以及避免公司社会责任成为自身发展的束缚，近年来越发重视公司社会责任的研究。

印度的公司社会责任也经历了从传统慈善活动到与商业战略统合一致的发展历程⑥（1）第一阶段（1850～1914）公司社会责任活动主要是在公司正常业务之外进行的，包括向寺庙和其他基于社会和环境的福利事业捐款；（2）第二阶段（1914～1960）受到“托管理论”的影响，其目的是通过改革方案巩固和扩大社会发展，特别是废除贱民制度、赋予妇女权力和发展农村地区；（3）第三阶段（1960～1980）“混合经济”得到发展，在很大程度上采取了对商业活动进行法律监管和促进公共事业的形式来实现公司社会责任；（4）第四阶段（1980年～至今），既包含传统的慈善活动，也包含将公司社会责任与可持续商业战略目标一体化。参见Sharmila Raman,Corporate Social Responsibility - An Evaluation, 7 NUALS L.J. 112 (2013).，其特点是以当地社区发展为行动导向，在卫生和环境领域尤为突出，商业活动与民间社会组织缺乏互动。印度在《公司治理自愿性指引（2009）》中意图将社会责任融入商业目标中，确立六个核心要素。⑦六项核心要素：（1）关心所有利益相关者——包括股东、员工、客户、供应商、受项目影响的人、整个社会；（2）道德的功能；（3）尊重工人的权利和福利；（4）尊重人权；（5）尊重环境；（6）促进社会和包容性发展的活动。参见http://www.mca.gov.in/Ministry/latestnews/CG_Voluntary_Guidelines_2009_24dec2009.pdf Ministry of Corporate Affairs Government of India.随后，在2011年的《关于公司社会、环境和经济责任的国家自愿准则中确立九项基础原则⑧九项基本原则为：（1）公司应该以道德、透明度和问责制规范自己；（2）公司应提供安全的产品及服务，并在其生命周期内促进可持续发展；（3）公司应促进所有雇员的福祉；（4）公司应尊重所有利益相关者的利益，并对他们作出回应，特别是弱势、弱势及边缘化的利益相关者；（5）公司应尊重和促进人权；（6）公司应尊重、保护和努力恢复环境；（7）公司在影响公众及规管政策时，应以负责任的态度行事；（8）公司应支持包容性增长和公平发展；（9）公司应以负责任的态度与客户、消费者接触，并为他们提供相应的价值。参见http://www.mca.gov.in/Ministry/latestnews/National_Voluntary_Guidelines_2011_12jul2011.pdf Ministry of Corporate Affairs Government of India.，以引导性规范确立相关利益者利益在公司发展中的合法性地位。在2013年《公司法》第一百三十五条中①原文规定如下：（1）在任何财政年度内，公司的净资产达到500卢比及以上或营业额达到1000亿卢比及以上、或净利润达到5亿卢比及以上，应当设有三名或三名以上的董事组成的公司社会责任委员会，其中，至少应当有一名董事为独立董事。（2）第134条第（3）款下的董事会报告应披露公司社会责任委员会的组成。（3）公司社会责任委员会——（a）制订并向董事会建议公司社会责任政策，该政策应指明公司应按照附表七的规定进行的活动；（b）建议将用于第（a）款所述活动的开支数额和（c）实时监察公司的公司社会责任政策。（4）第（1）款所述公司的董事会应当：（a）在考虑公司社会责任委员会的建议后，批准公司的公司社会责任政策，并在其报告中披露该政策的内容，并以可能规定的方式将该政策放在公司网站（如果存在的话）；以及（b）确保公司的公司社会责任政策所包含的活动由公司进行。（5）第（1）款所提及的公司董事会，应确保公司在每一个财政年度内，按照其公司社会责任政策，至少将公司在前三个财政年度的平均净利润的2%用于以下方面：但公司应优先将指定用于公司社会责任活动的款项用于当地和其所在地区；此外，如果公司未支出该款项，董事会应在其根据第134条第（3）款第（o）款所作的报告中说明不支出该款项的理由。释义——本条中“平均净利润”应按照第198条的规定计算。参见http://www.mca.gov.in/Ministry/pdf/CompaniesAc2013.pdf.，以强行性规范明确公司必须承担社会责任，诸如部分公司需要将净利润的2%用于CSR，但缺乏相应的刑罚规定，容易被公司规避。此外，该法并未按照以往将“除了公司的利益和公司所要求的之外，有可能促进社会公益的行为”定义为公司社会责任，而是通过附录七列举具体的行为。究其原因，印度学界缺乏普遍接受的定义，同时也未能解释清楚CSR效益与公司盈利能力之间的关系。[8]然而，印度《公司法》中强制性规定将公司社会责任狭隘地理解为一种“支出”，利他性的制度改革必然会给公司自身带来不必要的制度成本。

（二）数据治理语境下公司社会责任内涵的延伸

回归公司社会责任的起源，早在工业时代，社会问题的尖锐化就已经促使学者们开始为公司社会责任寻找“安身立命”之处[9]，将公司与社会之间的关系拟构为某种特殊的契约关系。②有意思的是，公司社会责任的理论支撑“相关利益者理论”建立的基础正是股东利益至上的理论基础，即契约理论和产权理论。有学者总结道，相关利益者理论的支持者们矮化了股东价值最大化理论赖以为基础的委托代理关系，将其看成只是相关利益者代理关系的一个类别；而在产权理论方面，支持者们则认为产权的根本在于人权，股东的产权需受到人权的限制，同时，产权的定义不能是狭隘的，多元化的“分配正义”正好与公司相关利益者契合。参见沈洪涛，沈益峰. 公司社会责任思想起源与演变[M]. 上海：上海人民出版社，2007，179-182.这种契约关系更多地表现为经济利益关系，但却难以释明公司为何承担非经济内容的社会责任。因而，有学者借助团队生产理论，在“社群公司”的理论框架内解释公司社会责任，相较于契约主义者，他们强调了公司社会活动的广泛效应，公司不仅仅是私人合同的集合体，同样还具有强大的公共影响[9]，研究的重心转移到股东与非股东利益冲突的场所——社会。但是，作为理论基础的“团队生产理论”，研究对象是以“团队”为界限的小社群[10]，对于公司社会责任的解释还停留于雇主与雇员之间的关系。

当然，“社群公司”存在理论缺陷，但是，在解释公司与社会关系时，“社群公司”既具有经济层面的活动，也具有政治和社会层面的活动，自然而然，也就为公司社会责任提供了理论支撑。“当契约主义在自由和竞争的价值观中找到其合法性时，社群主义者则强调正义和合作”[11]，“契约公司”强调了实现公司获取经济利益的管理手段，“社群公司”则突出了“责任”。

遵循“社群公司”的思路，如果将研究对象从“小社群”扩展至“大社群”是否能将外部主体与公司内部联系在一起，实现公司社会责任的自我证成？追根溯源，团队生产理论的提出是为了回应“契约公司”理论中的论点缺陷，即将公司管理者视为公司资产的有效受托人是不准确的，因为股东很难实现对管理者的控制。[12]事实上，公司管理者关注的是广泛成员（股东和非股东）权益，而不是简单减少公司管理权与所有权的分离，这种行为的考量在于“与自由主义不同的是，如果社会秩序的模式不是基于效用的，那么它就需要建立在共同利益的概念之上”③Sandel教授讲“共同利益（common good）”理解为道德伦理层面的共同追求，是对创造更好社会的共同追求，而非经济利益的一致性。参见Michael Sandel, "Introduction" in Michael Sandel, ed, Liberalism and its Critics (Oxford;Basil Blackwell, 1984).，简言之，“社群公司”与“共同利益”内在逻辑一致。在这个逻辑下，置于网络社会的语境下，将研究视角从“小社群”拓展至“大社群”也合乎逻辑，因为“小社群”本身也是嵌套在“大社群”之中，或者说，在网络社会，各个“社群”的边界模糊化，形成一个名为“网络社群”的共同体，“社群”在塑造理想社会的目标上具有一致性，不同的仅是理想社会所能给予的具体利益。此外，“社群”范围的变化也实现了社群主义与其他理论的衔接。在特许经营理论中，某些特殊行业公司的权利只能通过国家赋予，作为“公共权力”仓库的公司天然地承担社会责任，这里的“大社群”范畴则是国家。因此，在踏出公司所有权与控制权争议的沼泽之后，法律与道德要素的概括性理解成为公司社会责任连通网络社会的制度桥梁。

从现实社会到网络社会，公司的“社会地位”的变化，以“数据”为媒介的社会关系促使公司必须正面回应其在网络社会中的“社会角色”。公司获得来自于网络社会的数据，并转化为公司经济效益的一部分，在这过程中，数据并未因公司的数据处理行为而完全摆脱其内在的社会属性。数据的社会属性和私益属性将数据治理划分为两层内容，一是公司针对其拥有的数据设定商业价值挖掘和数据收集维度扩张的基准线，使得公司能够实现数据经济效益的最大化；二是公司设定有关数据收集、使用、存储、删除、流动等处理行为标准，尽可能降低出现数据安全风险，亦是公司经济效益的另一种表现形式。数据治理可以被理解为数据从混乱无序的状态向有序状态的优化过程，公司通过技术将法律以及法律背后的社会价值观镶嵌到商业活动。这种包含经济效益和社会效益的数据治理需求与网络空间中的公司社会责任具有天然的契合性，网络社会所衍生的数据治理责任成为公司社会责任组成部分并不会缺乏正当性基础。在实践中，公司社会责任多以实体性的劳动者权益、环境保护、社会公益等内容作为公司年度履行社会责任报告的重要指标，而在网络社会中，公司社会责任的作用对象延伸至整个社会最底层的驱动力——数据。然而，数据真正的价值通过不同形式的关联性得以真正显现，数据本身是各方主体利益的混合物，对其进行类型化的完全分割不切实际，数据治理语境下的公司社会责任（为了表述简洁，下文将此简称为“公司数据责任”）从来都不是单纯的公司义务或者道德性内容，而是两者交叉重叠形成的“综合体”。

三、公司数据责任的基本内涵和功能化分类

（一）公司数据责任的基本内涵

为了厘清公司社会责任的法律属性和道德属性，学者们在解释公司社会责任的具体内容时通常遵循着将法律义务与社会义务相互分离的思路，始终未能摆脱分类过程时标准模糊性的弊端，在法律与道德的关系范畴中来回“兜圈”。公司社会责任追根究底是公司作为社会成员所应当承担的法律义务和社会义务，再精细化的划分也无法彻底切断两类义务之间千丝万缕的联系，也无法解释社会义务部分内容在相关问题类型化之后转化为法律义务的过程。既然传统的类型划分存在如此“顽症”，倒不如从创设不同效力规范的道路上撤离，回归公司社会责任的“诞生之地”——社会。在构筑公司社会责任的基本内涵时，首先需要考虑的不是对其进行层次性的效力划分，而是以公司所处的社会环境为出发点，确定公司社会责任的基本内涵。在承载数据治理内容之后，公司社会责任具化为数据责任，该责任的确立是以公司在数据治理的基础性地位为基础，公司从网络社会中获取商业数据并成为数据控制者，理应有义务参与不同维度的数据治理。该种数据责任内涵的解释应当以公司所处网络社群的法律权利和基本期望为边界，若以公司的利益相关方划分，公司数据责任的承担需要考虑到用户（消费者）和股东、数据行业相关方、网络社会三类利主体的利益。

在传统公司社会责任理论框架中，消费者和股东往往被视为利益冲突的两类主体，原因在于公司管理层为了实现对消费者的社会责任通常会以支付额外成本为前提，未履行对股东的忠实义务。即便以公司的长期效益为解释公司管理层的正当性，但却难以适用于非理性的股东对于利润的追求。造成这一问题的原因并不是股东与消费者的“天生对立”，而在于将公司社会责任置于纯粹经济效益的框架之下，忽视了公司作为“社会公民”的法律义务。在网络社会，用户和股东的权益并非完全对立，而是在数据产品和服务的质量上达成共存。数据安全已经成为用户进行产品和服务选择的重要判断标准，管理层在数据责任的额外支出会以间接的形式转化为现有经济效益。

对于用户和股东而言，公司的数据责任内涵表现为数据产品和服务的可靠性，即所提供的数据产品和服务能够实现基本的数据安全，不至于频繁发生大规模的用户个人数据泄露（针对金融类账户的要求可能更高）。与公司社会责任中消费者权益保护的内容不同，公司对用户的数据责任不单单仅限于产品和服务本身，还包括数据安全和数据伦理。新技术的外部性加剧的数据安全风险[13]，面对DOS攻击、非法访问、恶意数据抓取等复杂的网络安全态势，即便创设新型数据权利，用户也难以在事前及时对潜伏隐蔽的网络安全问题作出正确的“权利响应”。从数据权益的实施效果来看，公司的数据责任集中于事前的数据安全风险防范，将公司社会责任“嵌入”代码设计过程中，实现用户数据安全需求和股东效益需求的双赢局面。

在数据行业方面，先前的数据保护多局限于公司与用户之间，却忽视对同行业数据控制者之间的数据业务联系，在数据共享和数据流动环节中只关注自身范围内数据安全保障制度的构建，未将数据接收方的数据安全级别纳入考虑范围之内。所以，公司在数据行业的数据责任的内涵可以理解为公司应当主动参与行业内数据安全标准的拟定和遵守。数据安全之所以成为法律规制的难题之一就在于网络社会的无边界性，监管者无法设立“监管闸口”限制数据流动的数量和方向，其监管制度的设计路径之一应当以公司的数据处理行为标准化为重点。这种标准化意味着用户、监管者以及其他网络社群主体得以通过公司数据处理行为是否与数据行业“通行做法”或“最佳实践”是否一致来判断公司是否履行公司数据责任。此外，数据处理商业模式的更迭对法律回应数据安全实践问题提出了更高的要求，囿于固定的数据处理模式而创设的数据安全保护会成为数据流动的桎梏，数据行业责任的确定则能够在新型商业模式成熟之前就对数据处理行为进行“事前调整”。

在网络社会层面，公司数据责任则以数据的社会公共利益为内容，即公司使用数据的商业模式应当能够推动网络空间中数据法律秩序的形成，即便数据主体不采取任何措施，各类型的数据依然能够保持“安全状态”。回顾自大数据、云计算、深度学习等技术成熟之后的数据行业发展，数据如何推动产业的发展成为数据治理的核心议题，公司的数据社会责任更多的表现为社会责任、道德责任。具体而言，公司收集数据的行为应当与使用数据的社会作用合乎比例，而非以“掠夺式”收集用户数据和社会公共数据的同时，侵害社会公众利益。

（二）公司数据责任的功能导向的类型化

公司社会责任承载数据治理除了自身性质难以界定之外，低水平的可塑性亦为学者们所诟病。换言之，在确定公司社会责任基本内涵之后，在具体适用过程中缺乏明确的配套制度，对于其中道德部分的内容难以通过强行性规范予以确认，若以任意性规范的形式予以规定，其法律效力难以确保公司确实遵循该规范内容。在我国《公司法》中，对于“公司社会责任”的规定也寥寥无几，更遑论对具体适用的规定。在网络社会中，“公司社会责任”的适用方式非以强行性规范为主，依其数据责任的内涵，表现为法律原则与道德内容的综合体。公司的数据责任实际上是以数据治理原则的形式适用于包括数据收集、加工、分析、使用、共享、存储、删除等在内的各个环节，这与后GDPR时代下“经设计的数据保护”理念相类似。同时，为了适应数据产业商业模式的更新换代，避免新型数据处理行为的监管制度缺位，是否履行公司数据责任可以作为判断公司行为合规性与否的重要依据，并援用相关数据保护条款，确定惩罚性法律后果。

公司社会责任因其最基本的社会属性而具有强制性，亦因其道德属性而以自愿履行为前提，诸如产品质量责任、劳动者权益保护等，社会责任最底层的部分因其内含的法律价值理念而在实践中逐渐转变为具体的强行性规范，而法律和道德难以分离的部分则依旧停留于任意性规范的范围之内。在网络社会中，公司数据责任依其基本内涵与产品责任、消费者保护等社会责任存在内容重叠的部分，但自身亦存在较为独立的制度体系，从用户数据责任、数据产业责任到数据社会责任，数据治理始终以数据产业为导向，数据正义等伦理内容开始从纯粹的道德向法律规范转变，商业习惯、行业自律的作用越发凸显，传统的“硬法—软法”式的效力层级划分路径难以解决网络社会的现实问题。公司数据责任的基本内涵并不局限于以数据治理为目标的抽象内容，还将具体的数据处理行为规范纳入其中，这些具体规范和抽象内容的划分是以具体的数据权利为边界。观之数据权利创设的过程，法律所认定的数据利益是公司履行数据责任的目的之一，而具体权利的实现必然意味着公司法律义务的承担，公司数据责任表现为具体法律规则与抽象数据治理原则的二分性。

公司数据责任的类型化是为了提供不同层次的适用路径，传统的效力层次划分未能从实践层面解决如何区分公司社会责任各层次的内容，为避免按照传统公司社会责任类型化导致的不具操作性、缺乏强制性等弊端，倒不如从功能性的角度出发，将公司数据责任划分为数据治理原则、数据治理法律义务、数据行业习惯。①有学者主张规则导向下的企业社会责任划分，将企业社会责任划分为遵守法律条文的企业社会责任、遵守法律原则的企业社会责任、超越法律的企业社会责任，以此强化公司社会责任的可操作性。参见华忆昕. 企业社会责任的责任性质与立法选择[J]. 南京师大学报（社会科学版）, 2018,（6）: 115.此种“原则—义务（具体规则）—行业习惯（道德层面）”的阶梯式划分能够提供不同维度的规范性指引。对于公司经营者而言，“数据治理原则”是公司从事有关数据行业经营活动的价值判断准则，公司经营者应当将其“嵌入”具体的经济策略之中，无论是运营业已成熟的商业模式，还是开发摸索新兴的数据产品或服务；“数据治理法律义务”则是指在现行数据保护制度框架下公司所应当履行的强制性法律义务，对该义务的违背将直接导致公司承担不利益的后果；“数据行业习惯”则是公司在现行法律规范未能及时响应数据产业创新时的行为准则，通过自律性质的行业习惯引导公司自觉参与数据治理活动。对于监管者而言，“数据治理法律义务”是具体的监管规范，“数据治理原则”是基本的监管策略，而“数据行业习惯”则是在难以对公司有关数据经营活动进行定性时的参考依据。由此可见，这种功能性导向的划分方式在一定程度上确实能够构建公司参与数据治理活动的基本制度框架，此外，各层面的责任内容也确实增加了“公司社会责任”的可操作性。

具体而言，数据治理原则是由数据的透明性、完整性、时效性三个维度构成，旨在为公司提供从事数据产业经营活动时应当遵循的基本概念。所谓的“数据透明性原则”是指在数据处理的完整生命周期中，应当保证相关权利主体可以知悉数据所处状态，包括数据的存储期间、共享对象、基本用途等内容，换言之，作为数据控制者的公司应当建立不同主体获知数据动态的访问渠道，此乃行使各类数据权利的起点和前提。“数据完整性原则”则主要针对因数据的不完整性、不准确性可能造成的损害后果，公司应当确保用于进行商业活动的“数据原料”完整准确，避免因输入端数据质量问题而导致输出端结果的不公正。此外，数据的商业价值和社会价值来源于数据质量，既包括数据内容的完整性，也包含数据的时效性，不同期间内的数据内容将直接影响到数据决策结果，这也是“数据时效性原则”所要解决的难题之一。除此之外，时效性原则还适用于数据存储和删除，对于超过使用期限的数据，公司应当确保存在彻底删除该类数据的制度，在经权利主体同意后及时删除。

至于数据治理法律义务，则以法律规则的形式存在，虽未必与数据主体权利一一对应，但在数据治理内容上具有同一性。由于数据处理行为的专业性、高效性以及法律权利本身的主动触发性，数据主体难以及时对公司的数据处理行为作出反应。因而，将部分公司数据责任转化为法律义务，一方面是为了明确履行公司社会责任的基准线，另一方面，将作为数据治理内核的个人数据保护“启动方式”由权利人自行选择转变为公司主动进行，避免数据主体主张权利的“滞后性”。

在法律原则和法律义务层面之外，数据行业习惯是公司履行社会责任的重要方式。从最初一键式注册到如今的包含个人数据安全、隐私保护等内容在内的用户协议，行业习惯的引导作用不可忽视。数据行业习惯的形成可以视为公司主动参与数据治理的过程，是社会责任道德内容的承载体。虽然数据行业习惯不具有法律效力，但是网络社会所促成的良性数据行业习惯能够否认与之相悖的数据处理行为，公司拒绝承担社会责任的“后果”以社会否认性评价的形式而存在。

四、嵌入式公司社会责任：以数据生命周期为坐标

在厘清公司社会责任内涵与数据治理的关系之后，另一亟需解决的问题是如何增强公司社会责任在实践过程中的可塑性，亦即创设何种制度保证数据责任嵌入公司的经营活动中。在传统公司社会责任的实施过程中，为了追求公司主动承担社会责任的目标，学者尝试通过与实际的经济效益挂钩推动公司的积极性，这与公司社会责任的“社会出身”背向而行。在网络社会中，公司承担数据责任的基本路径适宜借道“技术+法律”导向作为最终目的的实际经济效益，公司社会责任不能简单与经济效益划等号。唯有如此，公司真正主动参与数据治理之后，形成社会认可的数据处理商业模式，阻碍数据流动的篱墙才会被推倒，公司的经济利益需求也得到满足。此外，

（一）国外制度实践

立法不足以指导企业在数据产业所有领域的经营活动，数据治理不单纯是一个法学议题，用公司社会责任承载数据治理能够将法律规范与社会责任联系在一起，这并非纸上谈兵，国外已经开始尝试企业承担数据责任的方式。东芝公司早在2014年的CSR报告中将个人数据保护和信息安全管理列为公司社会责任的重要内容，将例如消费者信息、管理信息等在内的所有信息视为公司的重要资产，并列入公司合规项目的最高级别。[14]东芝公司采取的信息安全措施包括四类：（1）构建信息保护组织结构和规章，并定期进行审查和修改；（2）确保公司员工遵守信息安全规章；（3）通过物理安全辅助信息安全规章实施（包括敏感信息的封锁、设备访问权限限制等）；（4）通过技术辅助信息安全规章实施。而在个人数据保护方面，东芝公司将消费者、员工、合同签订方的个人数据纳入保护范围，由风险管理部门总经理作为首席隐私官，领导集团公司内部个人数据保护体系。在发生个人数据泄露事件时，风险管理部门根据各部门的事件报告信息评估可能搏击到的权利和利益。同样地，在思科2015年的CSR报告中指出公司承诺每年编写两次数据透明度报告，包括从世界各地执法机关和国家安全机构收到的数据访问请求，以此提高数据安全和隐私保护的透明度。[15]报告还提出“经设计的数据安全”理念，将数据安全作为产品、服务和系统开发的核心组件，产品安全开发周期（设计、规划、来源、使用、质量、传输、维持、终止）[16]是可重复且可测量的流程，旨在提升产品遭受网络攻击时的弹性和可信赖性。国外有学者指出公司社会责任承载数据治理的正当性在于事前价值规划是最有效的数据保护模式，公司在设计信息系统、应用程序和基础设施之处就将数据治理的基本内涵嵌入其中，以最小的经济成本实现最大效率地数据保护。[17]在美国，数据保护成为公司社会责任内容的讨论最初是从客户隐私开始，卡罗尔曾指出网络隐私权的保护是法律落后于伦理思想以及道德调整作用的领域[18]，之后随着“企业公民”理论的兴起，作为道德责任的信息隐私成为公司社会责任的新问题[19]，部分学者将消费者数据保护视为企业社会责任在信息领域的延伸，即便在企业社会责任的国际标准中（ISO26000）。[20]还有学者从实证角度的分析公司是否应当将信息隐私视为新型社会责任，指明部分公司将信息隐私认定为企业社会责任的道德动机，寻求用户隐私利益保护和商业利益之间的平衡，部分信息隐私保护措施是为了履行法律责任，而不是道德责任。[21]总结而言，公司社会责任承载数据治理并非是立法者自上而下强加于公司，而是公司自发促成的趋势，因为对于消费者而言，数据产品或服务的安全性已经成为重要指标，公司的商业利益与数据治理捆绑在一起。“数据”本身兼具经济属性和社会属性，关键数据成为公司的“隐形资产”，数据的完整性决定了公司的利润和损失，公司的商誉或者受处罚结果取决于如何处理公司存储的数据[22]，在此层面，数据保护与数据效益的一致性成为公司承担法律层面和道德层面社会责任的动机。

比较国外有关数据治理的公司社会责任履行方式，大多都以用户个人数据权利的保护为核心，但有关本行业的数据治理问题少有论述，忽视了公司社会责任的社会属性。究其原因，拘泥于个人数据保护的法律义务，未能全面理解数据治理的内容。网络社会不存在绝对安全的保护措施，个人数据的保护统摄于网络社群参与的数据治理之下。近年来，国外有关“经设计的数据保护”（DPbB，Data Protection by Design）、“经设计的隐私（DbP，Privacy by Design）”的讨论实际上暗含了的基本思路是将人类的关键价值观和法律规范嵌入到信息系统[23]13-17，这种“嵌套”实际上可以理解为将数据治理理念贯穿于数据生命周期的各个环节。不过，这些概念因其自身的模糊性而遭受质疑，即便有学者将之阐述为某种实践措施[24]，但仍要面临这些概念如何写入原生性代码之中。在信息系统编写设计过程中，算法和数字逻辑建构的代码需要清晰的语义，“经设计的数据保护”等概念的嵌入似乎难以实现预期目标。如果将这种“嵌入式”理念移植于公司数据责任，借助数据治理原则、数据治理法律义务、数据行业习惯的规则导向，能够将抽象的规范内容具化为行为方式指引，在一定程度上强化公司社会责任自身的实用价值。

（二）嵌入式公司数据责任的构建

在数据治理语境探讨公司社会责任适用方式和适用方式时，需要以类型化的数据责任为基础，尽管我国《公司法》尚未对公司社会责任的内涵和适用方式作出细致规定，但不妨碍在数据治理领域，通过数据治理原则、数据治理法律义务以及数据行业习惯来解释公司数据责任的适用问题。法律原则的抽象性并不直接适用于具体的数据处理行为，而是引导公司选择合适的商业模式；作为强行性规范的法律义务是公司承担社会责任最基础的内容，数据治理法律义务的存在既是数据主体行使权利的必然要求，也是公司获取社会公共数据和个人数据所支付的“对价”；而数据行业习惯强调了公司承担数据责任时需要关注数据行业和网络社会运作，避免公司形成对数据责任片面的认知，将数据治理的社会要素与公司内部数据保护的商业利益割裂开来。

不同于从公司与用户对数据权属争议等研究视角，嵌入式公司社会责任制度更侧重于通过对公司商事经营活动的“规范性引导”来实现“事前的数据治理”。换言之，将公司社会责任以“数据治理理念”的形式融入公司商业数据处理活动中。具体而言，可以将数据处理的生命周期作为分界线，适用于数据收集、处理、删除或存储等各个环节。（1）在数据收集阶段，“经设计的数据保护”成为数据治理的主流趋势，既涵盖公司的产品研发环节，也包括向用户收集数据的环节。一方面，虽然法律不能直接调整公司产品开发行为，但公司社会责任能够对产品开发的方式予以干预，数据治理法律原则是公司从事数据产业的底线，技术中立并不能成为公司规避数据责任的借口，数据处理技术的应用始终离不开公司员工在设计阶段的人为干预，这亦是公司承担相应法律责任的依据。例如，算法歧视问题的出现很大程度上并不是算法不透明性导致，而是归咎于算法代码设计之初的“偏见”，公司忽视了设计阶段所应当承担的社会责任。现实社会的数字化仅仅只是一个参考，而非完全真实地展现实践情况，“经设计的数据保护”的提出将数据产业的起点重新纳入法律调整范围。另一方面，互联网公司往往在用户协议以及用户填写相关信息时载明数据的使用目的和共享范围，但这种格式条款通常并没有为数据主体提供选择的空间，不规范不合理的数据收集行为正是数据泄露等问题的滥觞之地。在公司社会责任的制度下，数据透明性成为公司进行用户协议内容拟定的参考标准，协议内容的精细化、功能化是公司主动承担社会责任的重要标志。（2）在数据处理阶段，删除权、更正权等数据主体权利对公司的数据加工、分析、共享等行为提出明确的要求，此时的公司承担社会责任的方式则是建立数据主体提出权利请求的机制。例如，欧盟在GDPR中规定了访问权，要求境内公司要为用户提供主张权利的便利渠道。此外，由于商业模式的创新，行业习惯是公司参与数据治理的重要方式之一，这关系到整个数据产业的发展方向。

结语

在扁平化的网络社群结构中，公司既从网络社会中获取海量数据，亦向网络社会提供诸多个性化服务，数据已经成为公司“实体资产”般的存在。与此同时，公司数据处理行为的偏差也增加了数据安全等问题的发生，不仅包括公司内部的数据泄露，还包括公司与其他利益攸关方、数据产业之间的数据“隔阂”。无可否认的是，创设新型数据主体权利不失为一种“对症下药”的问题解决方式，但法律法规不可能解决所有数据产业领域的问题。倘若以公司社会责任承载数据治理，正当性基础在于公司在网络社会的“社会身份”决定了从网络社群获取数据的同时，作为数据收集、处理的重要节点，理应主动参与数据治理进程中。至于承载的基本路径则以公司数据责任的类型化为基础，将“数据”的完整性、透明性、时效作为起点，在法律原则、法律规则和行业习惯三个层面构建公司承担社会责任的方式。