围绕数字平台公司风险的治理制度改革分析

2022-07-25 07:49赵泽睿
大数据 2022年4期
关键词:个人信息决策机制

赵泽睿

上海交通大学凯原法学院,上海 200030

0 引言

当下数字经济发展已形成新的“东升西降”和既有的“西强东弱”复杂交错的局势。美国虽然仍是全球数字经济规模最大的国家,但亚洲整体数字经济规模已超过美国,并有望成为引领未来全球数字经济发展的主要经济体。尤其在新型冠状病毒肺炎疫情全球性暴发后,大量的社会活动被迫从线下转为线上,由数字平台公司驱动的数字经济成为各国经济复苏和区域经济一体化发展的重要支撑。对此,我国在《中共中央关于制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议》中,专门强调了数字平台公司对我国今后的经济发展与产业转型等方面起到的重要作用[1]。2021年3月召开的中央财经委员会第九次会议强调,平台经济在我国经济社会发展全局中的地位和作用日益凸显,这将是我国加速产业数字化变革、国家治理智能化的重要机遇。

然而,这些万众瞩目的数字平台公司却频繁引发各类社会风险事件,使得围绕数字平台公司的风险治理成为各国政府与社会公众普遍关注的话题。涉及数字平台公司的网络安全、个人信息保护、网络公平交易和劳动权益保障等风险治理问题已经成为各国数字经济发展亟须克服的阻碍。

在此背景下,本文通过概念分析与理论溯源,探讨当下多国面临的数字平台公司风险治理困境,并梳理中国、日本和美国的制度改革实践,提炼出东亚及全球在数字平台公司风险治理方面的理念共识。最后,对比3个国家的治理制度改革差异,为数字经济在东亚及全球范围内进行区域性合作发展提供方向与参考。

1 数字平台公司风险的治理困境

1.1 现有公司风险治理理论的局限性

“风险”与“危险”的不同之处在于,“风险”是一种可以通过决策来控制的未来不确定损害,而“危险”则是指那些无法归咎于决策而只能认为是由环境引发的不确定损害[2]。因此,“风险治理”的目标便是通过合理的制度促使多元化的决策者共同做出恰当的风险决策,以此减小或消除未来的不确定损害[3]。在此基础上,公司的风险治理理论(以下简称公司治理理论)一直以来都关注于调整股东、董事、监事、高级管理者和职员等公司成员之间的权力、权利和义务,以促使各成员之间共同做出合理的风险决策,避免某个公司成员通过职位决策来损害其他公司成员、公司整体或债权人的利益[4]。例如,2015年日本金融厅与东京证券交易所联合发布了《公司治理准则》,将“公司治理”定义为“让公司能够站在股东、顾客、职工、社区等多元主体的立场上,透明、公开且迅速、果断地进行风险决策的机制”[5]。

在现有的公司治理理论中,政府与公司往往是一种治理与被治理的关系,并且治理的关注点往往是股东、潜在投资者、职工、债权人等公司内部成员之间的利益关系[4]。这些治理理论很少涉及公司与外部公众、国家政府之间的利益关系,也从未将公司看作社会治理的主体来讨论公司治理与国家治理之间的关联。这是因为现有的公司治理理论大多将公司的本质认定为一种治理客体的市场机制。自1937年罗纳德·科斯从经济学视角将公司的本质认定为一种通过合同结构给予资本家限定指挥权来调配生产要素的价格替代机制后,公司治理理论便难以绕开这项由经济学得出的基本前提[6]。虽然随着公司规模的不断扩大、涉及领域的不断延伸,许多学者围绕这项基本前提展开了争论,但后来的理论大多在这项基本前提的基础上对利益相关者的范围进行扩充。例如,在20世纪30年代,当垄断电力、石油、铁路等重要行业的大型公司压榨工人与消费者的问题曝光后,伯利与多德展开了争论,并提出公司不仅是一个追求利润最大化的企业,更是一个社会组织,公司管理者的决策不应当仅仅对股东的利益负责,更要对整个组织成员(包括职工)的利益负责;在20世纪60年代,大型公司引起的环境污染、产品安全等一系列社会问题再次引起了伯利与多德的争论,他们认为公司管理者的决策还应当对消费者和公共利益负责[7]。这种不断扩充公司利益相关者范围的趋势受到了许多学者的批评,最典型的便是弗里德曼在1970年提出的“公司管理者是股东的雇员,公司作为一种市场工具,应当为其所有者——股东的利益最大化而服务,而非用着股东的钱去服务社会,这只会破坏市场的自由秩序,所有的公司有且仅有一个社会责任,那就是在遵守程序和商业规则的前提下,尽可能地从事一切提高其利润的活动”[8]。在此之后,关于公司社会责任的实证研究便更多集中于社会责任与公司长期利益之间的关系探讨,这些研究实质上都默认将公司本质认作一种市场机制的经济学假设。

然而,虽然经济学家一直主张经济学是一门纯粹的科学,他们在用客观、精密、严谨的数学与逻辑对社会现象进行中性的分析,他们经常用来分析现象的工具——市场也是中性的,即引入市场机制并不会影响事物本身[9]。但事实并非如此,看似纯粹科学的经济学背后实际上也暗含了隐性的价值判断,在不同的公司组织形式与治理方式背后,实际上蕴含了迥然相异的政治哲学思想。英国法学家F. W. 梅特兰[10]便从政治与法律哲学的角度揭示了德国与英国不同的公司组织和治理制度背后蕴含的不同政治思想,其认为“任何有关法人人格的独特理论或任何主张法人必须具有人格的观点都很可能起源于某种主权行为”。这一方面让人们看到了不同公司治理制度背后的政治基础,另一方面也提醒了人们国家与公司之间并非简单的治理者与被治理者关系,公司并不仅仅是一个市场替代机制,更是一种类似却又不同于国家政府的组织形式。而现有的公司治理理论大多局限于公司的市场替代机制属性,将公司当作一种国家政府的治理客体来对待,却忽略了公司的组织形式属性,未能关注公司作为治理主体应该如何保障其决策科学、民主,以及如何与同为治理主体的政府进行协调、沟通。

这种公司治理理论的局限性在政府与社会资本合作(p u b l i c-p r i v at e partnership,PPP)项目中得以凸显。由于城市规模的不断扩张,急剧增加的公共基础设施需求让政府开始寻求社会资本的协助,PPP项目开始大量涌现。但是,在这些PPP项目中,公司仅仅被当作政府的融资工具,而非共同决策、共担风险、共享成果的治理伙伴,导致公司参与的意愿不高,项目落地率极低[11]。例如,自2013年中国共产党第十八届中央委员会第三次全体会议提出“允许社会资本参与城市的基础设施投资和运营”后,截至2016年9月末,财政部的政企合作示范项目库中共入库了10 471个PPP项目,其中946个进入了执行阶段,但整体落地率仅为9%[12]。

1.2 数字平台公司兴起引发的风险治理困境

从20世纪末到21世纪初,随着互联网技术的发展与普及,全球各地开始涌现一批以追求信息交互便捷性与易读性为特点的互联网公司。它们既不生产商品也不提供具体服务,而是通过对信息的数据化处理来促进信息交换,进而实现价值交换。在这个数据化处理的过程中,它们不断积累数据与数据处理经验,渐渐成为市值规模远超传统产业公司的商业巨头,并基于日益成熟的数据处理技术成为线上平台的提供者与管理者(以下简称数字平台公司)[13]。

然而,随着这些数字平台公司不断推动社会的数字化转型,传统的公司治理理论与制度已无法解决与数字平台公司相关的风险问题,这主要体现为传统公司治理中的单一治理主体框架无法适应数字社会中政府风险管理能力的局限性与数字平台公司风险管理能力的扩张性。社交媒体平台公司、交通出行平台公司、电子商务平台公司已经成为政府治理网络信息内容生态风险、交通出行安全风险和网络交易风险等必不可少的合作伙伴[14]。在信息内容生态治理方面,面对数量庞大的网络用户可能引发的违法与不良信息侵权、舆论媚俗化和极端化等风险问题,政府很难独自对这些用户发布的信息内容进行监管,而脸书、微信等社交媒体平台公司可以通过模块化的网络架构、评价与举报机制等手段来有效管理这些风险问题[15]。在交通出行管理方面,不断增加的居民出行需求导致政府很难对交通运营车辆可能引发的黑车载客、司机侵权、出租车乱收费等风险问题进行有效管理,而优步(Uber)、滴滴等交通出行平台公司基于数据收集和分析建立的派单、定价和处罚机制能帮助政府有效治理上述风险[16]。在网络交易监管方面,政府的抽检巡查机制很难治理大量网络商户的产品与服务质量风险,而亚马逊、淘宝等电子商务平台公司利用用户评分构建的商户声誉系统能督促商户自主、积极地处理其产品与服务质量引发的风险问题。

在这种社会公私结构的变革趋势下,现有的公司治理制度未能提供支撑政府与数字平台公司共同管理风险的沟通渠道,导致数字平台公司容易滥用其不断扩张的风险管理能力[17]。例如,当脸书、微信等社交媒体平台公司拥有通过网络架构来过滤特定类型的信息内容的能力后,其可能为了追求商业利润向用户推送特定类型的信息内容,从而影响用户的行为选择[18]。优步、滴滴等交通出行平台公司虽然可以通过派单、定价和惩罚机制来治理司机可能引发的交通风险,但也可能利用这种机制剥削司机的劳动利益。亚马逊、淘宝等电子商务平台一方面可以利用用户评价和商户声誉来管理产品与服务的质量风险,另一方面也可能通过删除评价与伪造声誉从商户那里谋取利润。

具体来说,面对数字平台公司的兴起,现有公司治理理论与制度存在如下3个问题:①数字社会面临的风险问题不得不依赖数字平台公司的合理决策进行治理,但在现有的治理理论中,作为市场主体的公司往往以商业利益最大化为决策标准,这种商业决策很难满足数字社会的公共治理需求;②将公司视为治理对象而非治理主体的政府不得不依靠问责机制监督数字平台公司管理用户行为,但过于严苛的政府问责可能会降低数字平台公司自主治理社会风险的积极性;③被视为独立商业组织的数字平台公司因风险决策的封闭性,引发了数字社会的风险聚合、增幅效应,难以通过民主决策机制来分散和转换数字社会的风险,进而阻碍了数字经济的发展[19]。

为了解决数字平台公司引发的治理困境,各国政府相继围绕数字平台公司展开了不同的治理制度改革。本文选取决中国、日本和美国3个国家进行梳理与对比。

2 三国应对数字平台公司治理困境的制度改革对比

2.1 中国数字平台公司面向政府与公众的治理生态开放机制

(1)改革理念

2021年4月13日,国家市场监督管理总局、中共中央网络安全和信息化委员会办公室(以下简称中央网信办)和国家税务总局联合召开互联网平台企业行政指导会,三部门明确要求我国数字平台公司应当做到“严防系统封闭,确保生态开放共享”。2021年4月20日,中央网信办进一步对数字平台公司的治理生态开放提出“督促网站平台完善社区规则、建立生态治理台账”的要求。开放数字平台公司的治理生态已经成为我国应对数字平台公司风险的主要治理方针,此方针的实施理念可以归纳为面向政府与公众的两个循环,如图1所示。

图1 面向政府与公众的数字平台公司治理生态开放机制

首先,为了确保数字平台公司的风险治理生态面向政府开放,我国的相关法律规定可以归纳为如下几个环节:①要求数字平台公司按照相关规定形成特定风险的管理规则;②要求数字平台公司设置专员/专岗来负责公司的特定风险管理;③要求数字平台公司在风险决策前进行风险评估,并保存风险评估报告,以供政府部门查阅或定期报送政府部门;④要求数字平台公司定期对其做出的风险决策进行合规审计并报送政府部门,在政府部门的指导下调整内部的风险管理规则。

其次,为了让公众参与到数字平台公司的风险决策中,我国还对数字平台公司的风险治理生态提出了民主、透明的要求。在2021年4月举行的“2021西湖论剑·网络安全大会”上,中央网信办副主任、国家互联网信息办公室副主任赵泽良明确指出,数字平台公司在制定风险管理规则时应当有一套民主、透明的程序,保障社会监督和民众参与。该要求在各项具体的法律制度中可以归纳为如下几项内容:①要求数字平台公司向用户公开涉及用户利益的风险管理规则与决策;②要求数字平台公司在制定风险管理规则时建立用户参与渠道,保障用户对这些风险管理规则的知情权与选择权;③要求数字平台公司定期披露其风险治理成果并开放社会监督渠道,以此让数字平台公司根据公众的反馈意见进行风险决策与规则优化。

(2)不同风险领域的具体政策

针对个人信息风险,为了面向政府开放数字平台公司应对个人信息风险的治理生态,《中华人民共和国网络安全法》(以下简称《网络安全法》)第40条要求数字平台公司建立健全用户个人信息保护制度,《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)第51条要求数字平台公司制定个人信息处理的内部管理制度和操作规程,对用户个人信息进行分类管理,确定员工对个人信息的处理权限,并制定和组织实施个人信息安全事件的应急预案。《个人信息保护法》第52条要求处理个人信息量级达到一定规模的数字平台公司应当指定个人信息保护负责人,并让其对公司的个人信息处理活动和采取的保护措施进行监督,公司要公开该负责人的联系方式,并将其报送至相关政府部门。《个人信息保护法》第55~57条要求数字平台公司在进行敏感个人信息处理、设计自动化决策、委托他人处理或向他人提供、公开个人信息、向境外提供个人信息等对个人权益具有重大影响的决策时,需要事先进行风险评估,评估内容包括处理目的与方式的合法性、正当性与必要性,以及相关决策对个人信息权益产生的影响与安全风险,评估报告和处理情况记录要保存3年以供有关部门查阅,并在发生个人信息泄露、篡改、丢失事件时通知有关部门。《个人信息保护法》第54条要求数字平台公司定期对其个人信息处理活动进行合规审计,以此来调整其制定的用户信息保护制度和个人信息处理的内部管理制度。而为了面向公众开放数字平台公司应对个人信息风险的治理生态,《网络安全法》第41条要求公司公开个人信息收集、使用规则,明示收集、使用信息的目的、方式和范围,并获得用户同意。《 个人信息保护法》第17条要求公司以显著、清晰易懂的方式向用户告知个人信息的处理者身份、处理目的、处理方式、处理的信息种类、保存期限,以及用户行使相关权利的方式和程序。若用户不理解这些公开规则,可以依照《个人信息保护法》第48条,要求公司对这些规则进行解释说明。《个人信息保护法》第24条要求公司在利用自动化决策做出对个人权益有重大影响的决定时,应向用户进行解释说明,并且用户有权拒绝。最后,《个人信息保护法》第58条要求提供重要互联网平台服务、用户数量巨大、业务类型复杂的公司,应当成立主要由外部成员组成的独立机构对公司的个人信息保护情况进行监督,并定期公布个人信息保护社会责任报告,接受社会监督。

针对数据安全风险,《中华人民共和国数据安全法》(以下简称《数据安全法》)第27条第一款要求数字平台公司建立全流程的数据安全管理制度,并组织开展数据安全教育培训,采取相应的技术措施和其他必要措施。《数据安全法》第27条第二款要求处理重要数据的数字平台公司应指定数据安全负责人和管理机构。《数据安全法》第29条要求数字平台公司在进行数据处理活动时加强对数据安全缺陷、漏洞等风险的监测与评估,并在发生安全事件时向有关主管部门报告。《数据安全法》第30条要求处理重要数据的数字平台公司应定期对其数据处理活动展开风险评估,具体内容包括重要数据的种类、数量,以及面对数据安全风险的应对措施等,并向有关主管部门报送风险评估报告。

针对网络交易风险,面向政府,《中华人民共和国电子商务法》(以下简称《电子商务法》)第32条要求数字平台公司制定平台服务协议和交易规则,《网络交易监督管理办法》第29条要求数字平台公司对其平台上发布的商品或服务信息建立检查监控制度。《网络信息内容生态治理规定》第15条、第17条要求公司公开平台内容管理规则和用户公约,并公开网络信息内容生态治理工作年度报告,年度报告应当包括网络信息内容生态治理工作情况、网络信息内容生态治理负责人履职情况、社会评价情况等内容。《网络信息内容生态治理规定》第33条要求各级网信部门建立政府、公司、社会、网民等主体共同参与的监督评价机制,定期对本行政区域内的网络信息内容服务平台生态治理情况进行评估。面向公众,《电子商务法》第33条、《网络零售第三方平台交易规则制定程序规定(试行)》第6条、第9条要求公司在显著位置公示平台服务协议和交易规则,并在制定、修改和实施基本规则、责任及风险分担规则、知识产权保护规则、信用评价规则等相关平台规则时进行公示并备案。《电子商务法》第34条、《网络交易监督管理办法》第28条和《网络零售第三方平台交易规则制定程序规定(试行)》第7条要求公司在修改平台服务协议和交易规则时,应当在其首页显著位置公开征求意见,采取合理措施确保有关各方能够及时充分地表达意见,通过合理方式公开收到的意见并答复处理意见。《电子商务法》第36条和《网络交易监督管理办法》第30条还要求公司在对平台内经营者进行违规处罚时必须对处罚对象、处罚原因、处罚措施等信息进行公示,并接受公众监督。

针对平台垄断风险,面向政府,《国家市场监督管理总局行政指导书》第7条要求公司建立并有效执行反垄断合规制度,明确合规管理要求和流程,完善合规咨询、合规检查、合规汇报、合规考核等内部机制;第9条要求公司定期向反垄断监管部门报告公司合规情况;第13条要求公司建立各方面反映集中的竞争问题定期分析研判制度,加强与监管部门的沟通,并据此完善内部制度规则。面向公众,《国家市场监督管理总局行政指导书》第4条要求公司完善服务协议、平台运营、资源管理、流量分配等交易规则,切实提高平台治理规则的公开性和透明度;第6条要求公司建立消费者、平台用户、社会专家等对平台公司的外部评价机制,自觉接受社会监督,不断完善平台内部治理规则。

2.2 日本设立专门机构协调多元主体的风险决策机制

(1)改革理念

如何协调多元主体共同进行风险治理,日本对这一问题的讨论最早出现于对自然灾害治理的讨论之中。自然灾害引发的公共风险治理与社会数字化转型面临的风险治理具有一个共同之处,即风险决策的制定与执行必须依赖于多元化、多样化和多层级的主体之间协调配合,政府在这些风险中已不再是唯一的决策中心[20]。因此,如何在面对风险时汇集各方主体的风险信息,有效组织多主体统一决策并执行,便成为这两类风险治理亟须解决的问题。日本选择的方式是设立专门机构负责与各方主体沟通,并基于各方主体提供的风险信息统一做出风险决策,这个专门机构在灾害风险治理讨论中被称为“司令塔”[21]。这种风险决策机制的设计思路体现在日本政府正着力打造的“防灾体制4.0”升级版中,该体制致力于构建一个“行政(国家、都道府县、市町村)、经济界(公司)、地域(居民)等多种社会主体共同参与的‘自觉防灾社会’”[22]。而这种通过设立专门机构来与多元主体进行沟通并基于各方信息做出可信任决策的风险沟通机制也贯穿于日本应对数字平台公司引发的治理困境中。

(2)不同风险领域的具体政策

针对个人信息保护风险,《日本个人信息保护法》规定了大量数字平台公司的法律义务以促进公司与利益相关者之间的风险沟通,例如公司在获取与使用个人信息时必须事先公布使用目的或通知本人,而且必须按照相关政府部门的规定设立个人信息安全管理规则,要求中小规模公司明确数据管理负责人、大公司必须按照政府法规设立各环节分工明确的责任监督机制等。但与中国不同的是,2015年修订的《日本个人信息保护法》专门设立了“个人信息保护委员会”来督促与监督数字平台公司与各主体之间的风险沟通,并统一进行日本个人信息跨境流通的风险决策。首先,在2015年修订《日本个人信息保护法》之前,不同种类的个人信息由不同的政府部门负责监督管理,如总务大臣负责监督互联网上的个人信息收集与处理,厚生劳动大臣负责监督个人医疗信息的收集与处理。但在个人信息保护委员会设立以后,由其统一负责监督公司的个人信息收集与处理,其将代表政府统一制定个人信息保护法的实施细则与基本方针,公司只需按照个人信息保护委员会的规则进行风险评估与合规审计,个人信息保护委员会也会对具有违法嫌疑的公司进行指导、提出建议或要求其出具风险评估报告。其次,个人信息保护委员会将设立专门的“指定个人信息保护团体”,由他们受理其管辖行业内的公民投诉,倾听公众的意见与要求,目前已有41个指定个人信息保护团体,其分别负责收集医疗、安保、证券等不同行业的公民投诉与意见。最后,个人信息保护委员会将根据其收集的相关风险信息统一进行日本个人信息跨境流动的风险决策。2015年修订的《日本个人信息保护法》规定,公司可以不经过数据主体同意而直接向国外第三方传输个人信息,但这里的国外第三方必须获得个人信息保护委员会的认证,而国外第三方想要获得个人信息保护委员会的认证,就必须向其提交相关信息来证明自己已经采取了与日本个人信息保护规则具有同等保护水平的必要机制[23]。总体来说,个人信息保护委员会的设立大幅减少了个人信息相关利益主体之间的风险沟通成本,无论是政府部门对公司的监督与指导、公众对公司的投诉与建议,还是国外第三方主体对数据主体与政府部门的征询同意,都将在个人信息委员会的统一协调下进行,并且基于该委员会在与各方主体沟通时获得的大量风险信息,其做出的风险决策具有较高的可信度,如图2所示。

图2 个人信息保护委员会统一协调下的风险决策机制

对于数字平台公司的隐私风险治理,2021年7月19日日本经济产业省和总务省联合发布的《DX时代企业隐私管理指南ver1.1》更加凸显了一致的风险沟通机制设计理念。该政策文件提到,为了让公司能够有效治理用户的隐私风险,公司必须整合各个部门的信息,并在不同部门的义务中发现隐私问题。对此,该文件建议公司内部专门设立一个隐私保护组织来完成风险信息的沟通,一方面该组织将收集与整理公司各部门所有的隐私风险信息,并将其报告给公司经营者指定的“隐私官”;另一方面该组织可以从公司外部的公众与专家处了解相关信息,并决定如何代表公司做出与隐私保护相关的回应。该政策文件对隐私官和隐私保护组织的具体职能进行了规定:隐私官由管理层成员担任(不同于《通用数据保护条例》中独立于公司管理层的数据保护官),其负责依据公司管理层赋予的权力和提出的隐私保护立场,制定公司具体的隐私保护政策,建立一套能够识别和评估隐私风险的系统,并确保公司内部的隐私治理政策与公司对外声明的一致;隐私保护组织则负责汇总公司各部门的相关隐私信息,发现隐私漏洞和风险而不泄露,与各公司部门合作进行多方面隐私保护审查,与外部的隐私保护专家(学者、律师等)交流隐私风险问题,向隐私官汇报公司的隐私保护状况和紧急情况,对外回应政府或公众提出的对公司隐私保护的质疑。在隐私官和隐私保护组织的统一协调下,数字平台公司的内部风险沟通与对外风险沟通将会更加高效快捷,这也打破了公司部门因跨部门权限不足、风险信息单一造成的决策局限,更让政府与公众能够全面、切实地理解公司对用户的隐私保护政策与措施,如图3所示。

图3 隐私保护组织统一协调下的风险决策机制

对于网络安全风险,日本依据2018年12月修订的《网络安全基本法》,专门设立了网络安全协议会,该协议会成员包括中央与地方政府、重要基础设施运营公司、大学及相关科研机构、网络安全领域公司等多元化主体,成员必须履行保密与信息共享义务,以便网络安全协议会整合网络安全风险信息,并据此做出相关风险决策。在此之前,日本虽然已有多项关于网络安全的信息共享机制,如网络安全情报共享系统AGIL(adaption goal attainment, integration, latency pattern maintenance)、民间公司间的信息技术信息共享与分析中心IT-ISAC(information technology-information sharing and analysis center)、金融信息共享与分析中心(financial information sharing and analysis center,FISAC)、日本电 力信息中心(Japan electric power information center)和日本网 络犯罪对策中心(Japan cybercrime countermeasures center,JC3)等,但这些信息共享机制并未将各个领域的公司与政府部门结合起来,导致网络安全信息的领域局限性,而网络安全协议会的设立便是致力于构建一套以内阁官房为枢纽的跨领域网络安全信息共享机制[24]。

对于网络交易风险,日本于2021年2月1日起正式实施《关于提高特定数字平台透明性及公平性的法律》。该法重点针对年商品销售额在3 000亿日元以上、年应用销售额在2 000亿日元以上的大型电商平台公司,要求电商平台公司作为网络交易中介促进电商服务提供者与电商服务利用者之间的风险沟通。由于在网络交易中,大型电商平台公司本身就是天然的统一协调机构,该法便将重点落在督促大型电商平台公司构建提供者与利用者之间的风险沟通渠道上,包括向提供者披露在平台上展开业务的具体流程信息、在提供者与利用者之间建立相互了解的信息渠道、建立利用者对商品/服务的投诉渠道、公开争议解决的程序与制度等。并且,该法还授权经济产业大臣监督与指导这些平台公司建立合规的风险沟通机制,经济产业大臣在发现这些平台公司未提供风险沟通机制或风险沟通机制不合规时,可以采取其他必要的处罚措施。

2.3 美国提高数字平台公司透明度的治理信息披露机制

(1)改革理念

相比中国和日本政府对数字平台公司风险决策的积极干预,美国政府并未设定一套统一的风险管理机制要求数字平台公司执行,也并未单独设立专门机构统一协调多方利益相关者的风险决策。面对数字平台公司的风险治理困境,美国政府认为它们需要做的只是通过强制性信息披露机制解决数字平台公司与公众之间的信息不对称问题,以充分发挥市场的调控作用,让市场竞争选择出最符合公众意愿的风险治理决策,如图4所示。

图4 美国针对数字平台公司的强制性信息披露机制

美国联邦贸易委员会是最早开始利用信息披露机制打破数字平台公司风险治理困境的政府机关,其将数十年来对特许经营权的监管经验应用到对数字平台公司的治理之中[25]。例如,在美国国家劳动关系委员会、劳工部和平等就业机会委员会面对优步引发的司机劳动剥削风险而无能为力时,美国联邦贸易委员会为优步设立向意图加入数字平台公司的司机公开所有其他司机的历史收入信息、终止原因、退出程序等一系列信息披露义务,利用市场调控的方式治理优步可能引发的劳动欺诈风险。此外,美国联邦贸易委员会通过调查发现,数字平台公司利用对派单、定价系统的信息优势或暗箱操作来压榨用户劳动权益是用户投诉举报的原因之一,例如TaskRabbit平台公司的派单、定价系统曾从由用户对消费者订单进行公开竞价的机制转变为通过评估算法自动进行匹配和定价的机制,引发了大量平台用户的不满与投诉,这是因为新的机制阻碍了他们在地理位置相近的地方寻找和获得更多报酬的选择空间,并使他们丧失了判断是否接单以及规划接单时间与接单内容的自主性。对此,美国联邦贸易委员会要求TaskRabbit平台必须披露该匹配与定价系统的基本原理、操作流程和匹配定价机制,并在定价机制变更前公示并征求意见[26]。在强制性信息披露机制的要求下,数字平台公司为了吸引并留住用户及投资者,便会积极听取公众意见,并创新符合多方利益相关者要求的风险管理模式。

(2)治理改革实践及影响

由于治理改革的理念不同,美国政府应对数字平台公司风险治理困境的实践更多体现为具体的案例诉讼以及公司自治实践。美国联邦贸易委员会为了应对数字平台公司引发的个人信息安全风险,要求数字平台公司向消费者披露其有关数据收集和使用的信息,并严厉打击数字平台公司在披露个人信息安全风险治理情况时的虚假陈述,以避免市场失灵。例如,美国联邦贸易委员会目前已对谷歌、推特、色拉布(Snapchat)、脸书、优兔等多家数字平台公司提起过有关治理信息披露的虚假陈述诉讼。在推特的案例中,美国联邦贸易委员会发现其在用户条款中对个人信息的安全保障披露做出了虚假陈述。对色拉布的诉讼涉及其对用户图像和视频收集与存储的信息披露进行虚假陈述。对谷歌和脸书的诉讼涉及数字平台公司未按其披露的用户隐私条款进行隐私保护。

美国联邦贸易委员会为数字平台公司设立治理信息披露义务的风险治理经验也为美国起草《信息中介责任和透明度法案》奠定了实践性基础。在这样的治理思路下,通过加强数字平台公司的信息披露义务来提高公司的透明度,已成为美国政府利用市场调控治理数字社会风险的主要举措。而美国的数字平台公司为了其商业利益也开始积极参与到各个领域的风险治理中。例如,为 了应对社交媒体平台上暴力、色情等违法信息传播引发的社会风险,脸书有专人审查违规内容,并以季度为周期发布内容治理透明度报告,向社会公众披露其管理网络信息内容生态的相关信息。而为了治理数字平台公司引发的社会极化风险,美国国会在关于修订《通信规范法》第230条的听证会上,表示要求数字平台公司披露信息内容删除的规则与原因,脸书、谷歌和推特的首席执行官均表示认同。

美国的治理实践为欧盟立法提供了思路。在《数字服务法》中,欧盟为数字平台公司设立了广泛的信息披露义务,包括广告来源、数据访问、推荐算法和内容治理等,并要求数字平台公司定期发布相关的透明度报告,以便第三方和社会公众具有获取相关信息的渠道。英国上议院在2019年《数字世界的监管》报告中提出了以“透明”和“开放”为原则的数字领域监管。德国发布的《改进社交网络中的法律执行的法案》第2条专门规定了社交平台公司的信息披露义务,要求凡是每年收到100起以上投诉的社交平台公司必须每半年向公众披露一次网络信息内容的治理报告。

3 应对数字平台公司治理困境的制度改革分析

3.1 构建风险沟通机制的治理改革共识

基于上述梳理可以发现,中国、日本和美国的制度改革均通过在数字平台公司、政府与公众之间构建风险沟通机制,解决数字社会的治理困境。风险沟通机制具有两个层面的功能:①从实用主义角度来看,风险沟通机制是指风险决策者通过向利益相关者传播关于特定危险的信息来获得受众态度认可与行为配合的过程与手段;②从建构主义角度来看,风险沟通机制通过在风险决策者与利益相关者之间构建信任与秩序的过程,让分散的利益相关者组织成一个风险承担的共同体[27]。放到数字社会的风险治理语境下,这些围绕数字平台公司构建风险沟通机制的制度改革均希望起到如下3项基本作用:①通过向政府、用户等利益相关者传播有关特定危险的信息并获得各方反馈,数字平台公司面对风险时的决策从原有追求利益最大化的商业决策转变为各方认同的公共决策;②政府明确了未来损害的责任分配机制,公司需要对其传播虚假或不充分的决策信息负责,用户需要对违反数字平台公司风险决策的违规行为负责,政府则需要为那些进行了充分风险沟通并做出合理风险决策的数字平台公司设立责任豁免机制来促进数字经济发展;③通过风险沟通机制,政府、数字平台公司和用户之间产生了有关风险决策的信任,并有序组成了一个有机的风险治理组织,从而社会数字化转型的风险被合理地分散到各个利益相关者之上。

3.2 中、日、美三国针对数字平台公司的治理制度改革差异

概括而言,中国、日本和美国针对数字平台公司治理制度改革的差异主要体现在政府的参与方式上,具体见表1。

表1 中、日、美三国政府对数字平台公司风险决策的参与程度

从风险沟通机制的实用主义功能来看,中国侧重于要求数字平台公司向政府相关部门报送事前的风险评估与事后的合规审计来达到政企沟通的目的,这既能让公司在做出风险决策时充分考虑公共利益与政策法规,又能让政府信任并支持公司做出的风险决策。对于公司与公众之间的风险沟通,中国将重点放在公司决策的信息公开上,希望通过为公司设立相应的信息披露义务,让公众了解与其权益相关的公司决策,并可以通过相关渠道来反馈自己的意见,从而让公众对公司决策产生信任。而日本为了打破多主体、多部门、多层级之间的信息壁垒,通过设立专门机构来整合各方主体的风险信息,并起到风险沟通的枢纽作用。美国则在风险信息对称的情况下,通过市场机制调节不同数字平台公司的风险决策,政府起到打击数字平台公司在信息披露时的虚假陈述,保障多方主体获得全面、准确的风险信息的作用。从功能来看,中国现有的风险沟通机制虽然更加高效、统一,但未来需要进一步打破多元主体之间的信息壁垒,公司(尤其是大型数字平台公司)内部各部门之间、政府各个机构之间、政府与公众之间的风险信息需要构建共享渠道,以此提升风险决策的精准性。此外,需要构建更多的风验渠道来促进政府与公众对风险决策的参与,让政府与公众不仅仅是风险决策的监督者,更是参与者。日本通过设立专门机构来统一协调参与决策的风险沟通机制在信息整合与风险分散方面具有更好的效果,但这也导致专门机构对公司决策与发展的限制较大。并且,为了实现决策高效,该专门机构的具体权限、运作流程和协商方式等都需要专门设计与规定,这对于政策制定者来说是一个挑战,容易导致风险防控的效率低下。美国的风险沟通机制则过于强调自由市场的作用,这虽然能为数字平台公司的治理创新提供较大的激励与发展的空间,但如果数字平台公司对公共治理方式拥有过大的主导权,则极易引发权力滥用,甚至导致资本对政治的过强干涉。

从风险沟通机制的建构主义角度来看,中国政府在社会数字化转型的风险治理共同体中承但了引领作用,其对构建中国的风险治理秩序负有更高的责任与积极性。由于中国公众在风险治理中对政府具有较强的信任与依赖,因此中国在构建数字社会的风险治理秩序时,数字平台公司往往在政府的引领统合下进行风险决策与实践,政府也会根据实践结果来最终决定哪些决策是合理、正当的,将合理、正当的决策纳入制度中。中国的风险沟通机制在这个层面上有利于政府对数字经济的发展方向与风险治理的领导与把控,但需要警惕数字平台公司可能为了规避责任而拒绝决策或逃避决策的治理困境,一些公司可能以合规性为唯一目标,不愿主动创新风险管理机制。如何保障公司的自主治理积极性和治理创新空间将会是中国未来面临的重要问题。日本的风险沟通机制在建构主义视角下,更加注重官民合作秩序的构建。一方面,日本政府在设立应对特定风险的专门机构时,往往会利用机构成员的多元化、信息来源的多样化,通过构建与公众的直接沟通渠道等方式来消除公司与公众对公权力的警惕,让多方主体对专门机构的决策产生信任。另一方面,日本政府往往在风险沟通机制中起到枢纽而非主导的作用,它们往往通过信息共享、信息披露、组织协商等方式来督促专门机构做出风险决策。这对于构建数字社会的风险治理秩序来说,有利于多主体的共同参与和责任分散,但也会让治理体系更加复杂与烦琐,这是因为专门机构的组织运营方式、责任承担方式等都将带来新的风险治理问题。在美国的风险沟通机制中,数字平台公司明显处于主导地位,政府只起到解决风险信息不对称问题的作用,具体的风险治理机制仍然依靠数字平台公司自行探索。在这种机制下,数字平台公司的自治主导将会引发治理方式的多元化,这一方面有利于数字社会的治理方式创新,另一方面不利于不同的数字平台公司进行共同治理,因为它们的治理机制往往会被当作一种商业秘密而受到保护。如何统筹协调不同公司之间进行共同治理将是美国风险沟通机制需要面临的问题。

3.3 治理制度改革差异引发的区域性合作困境

为了让数字经济成为亚洲经济一体化发展的重要支撑,数字平台在亚洲各国之间的互联互通、开放共享是亚洲各国进行区域合作的共同目标。这就要求相关人员关注各国在社会数字化转型的风险沟通机制衔接方面开展的工作。由于各国风险沟通机制的差异,数字平台公司进行跨国发展时需要面临大量的双向审核成本,甚至为了满足不同国家的风险沟通机制要求,数字平台公司要在每个国家重新设计整个平台的网络架构,这导致数字平台跨国的互联互通与开放共享难以实现。最简单的例子就是个人数据的跨境流动给数字平台公司跨国发展带来巨大阻碍[28]。尤其在棱镜计划(PRISM)曝光后,各国之间很难再信任国外数字平台公司针对国家与公民的信息安全做出的风险决策。目前,一些国家虽然开始尝试为数字平台公司的跨国发展构建信任基础,但具体的实践更多聚焦于解决数据跨境的双重审核困境,例如日本和新加坡都开始建立个人信息匿名化或假名化后的自由流通规则,两国之间也共同签订了数据跨境使用的豁免协议[29]。而这对于实现数字平台在亚洲地区的互联互通与开放共享目标而言还远远不够,因此应当在风险沟通机制的衔接方面展开更多研究与实践,以带动各国数字经济的协同发展。具体来说,未来对于风险沟通机制的衔接研究与实践至少要包含如下几项内容:首先是他国风险治理水平的认可机制,这一点日本已经体现在个人信息保护委员会提出的数据跨境流动白名单机制中,其他国家的数字平台公司可以向日本的个人信息保护委员会提供该国的个人信息保护体系与日本处于同一水平的相关信息来获得无须数据主体同意与委员会审核的跨境流动授权。中国的《数据出境安全评估办法》也提出了“同等安全”的安全评估原则,以此为风险治理体系的求同存异开辟了道路。其次是数字平台公司风险信息的跨国共享机制,为了能让各国政府信任他国对社会数字化转型的风险治理,需要让各国政府能够共享数字平台公司的风险信息,这样各国政府才能在不同领域的风险治理措施方面达成共识并相互认可。最后,针对数字经济风险治理的跨国协商平台,若数字平台公司在亚洲地区实现了互联互通和开放共享,许多风险的利益相关者将会涉及多个国家,若各国之间缺乏跨国风险治理与责任追究的沟通机制与协商平台,这些风险引发的后果将会阻碍数字经济的区域性合作发展。

4 结束语

数字平台公司的风险治理正逐步成为影响全球数字经济发展的重要议题。本文基于公司治理理论的发展脉络,指出了现有公司治理理论的局限性和数字平台公司风险的治理困境。并以中国、日本和美国近几年针对这种风险治理困境做出的制度改革实践为基础,对比分析了3个国家应对数字社会风险的治理制度改革理念,主要结论如下。第一,现有的公司治理理论虽然在不断地扩大公司决策时需要考虑的利益相关者范围,但将公司本质认定为治理客体的理论前提导致现有的公司治理理论具有很大的局限性。第二,数字平台公司带来的风险治理机遇与困境并存,数字平台的兴起虽然为社会治理的数字化、精准化、多元化提供了技术支撑,但同时也让数字平台公司的公司内部风险上升为国家整体风险,政府对数字社会的治理不得不依赖于数字平台公司的风险决策,但又缺乏政企共治的治理理论和制度。第三,面对数字平台公司的风险治理困境,中国以开放数字平台公司的风险治理生态为目标,建立了面向政府与公众的风险决策机制,日本通过设立专门机构来统一协调多元主体的风险决策,美国则强调通过数字平台公司的信息披露义务来解决多元主体间的风险信息不对称问题。第四,对比3个国家的制度改革可以发现,围绕数字平台公司构建风险沟通机制将是数字社会风险治理制度的国际共识,但不同国家在治理制度改革方面的差异可能会阻碍数字经济在全球范围内的区域性合作发展。

猜你喜欢
个人信息决策机制
个人信息保护进入“法时代”
敏感个人信息保护:我国《个人信息保护法》的重要内容
主题语境九:个人信息(1)
民法典应进一步完善侵害个人信息责任规定
创新完善机制 做实做优考核
决策大数据
决策大数据
自制力是一种很好的筛选机制
决策大数据
建立激励相容机制保护数据安全