論超大型平臺獨立機構的功能構造
——以《個人信息保護法》第58條為中心

韓 陽

內容提要:《個人信息保護法》第58條第1項規(guī)定超大型平臺企業(yè)應成立主要由外部成員組成的獨立機構對個人信息保護情況進行監(jiān)督，目前存在三種制度設計方案。第三方獨立機構方案比較優(yōu)勢不明顯，不符合風險預防理念，難以承載監(jiān)督功能期待，因此應當被舍棄。管理監(jiān)督型獨立機構方案屬于日常性合規(guī)管理模式，是董事會對經(jīng)理層的管理監(jiān)督，獨立機構在董事會領導下開展活動，無法解決合規(guī)動力問題，難以厘清董事會與執(zhí)法機構之間的緊張關系。決策監(jiān)督型獨立機構方案屬于危機性合規(guī)整改模式，是執(zhí)法機構對董事會的整改督導，組建董事會專門委員會，依托獨立董事進行內部控制，但獨立董事法律責任模糊，容易造成董事會負擔過重。兩種方案各有優(yōu)劣側重，應當區(qū)分問題場景分別應用，實現(xiàn)對公民個人信息的系統(tǒng)性和持續(xù)性保護。

一、問題的提出

為加強超大型平臺監(jiān)管，我國《個人信息保護法》新增了獨立機構這一制度要求?！秱€人信息保護法》第58條第1項規(guī)定，提供重要互聯(lián)網(wǎng)平臺服務、用戶數(shù)量巨大、業(yè)務類型復雜的個人信息處理者，應當按照國家規(guī)定建立健全個人信息保護合規(guī)制度體系，成立主要由外部成員組成的獨立機構對個人信息保護情況進行監(jiān)督。問題隨之而來：獨立機構的功能定位、人員構成、權利義務和法律責任應如何設計？怎樣保持該機構的獨立性？如何實現(xiàn)有效監(jiān)督？本文嘗試對此進行探索。

為什么要求超大型平臺成立獨立的監(jiān)督機構？與個人信息保護負責人是什么關系？緣何獨立機構主要由外部成員組成呢？對于這些問題，立法資料顯示“有的部門、專家建議，強化超大型互聯(lián)網(wǎng)平臺的個人信息保護義務，并加強監(jiān)督”，全國人大憲法和法律委員會經(jīng)研究建議增加這一款。(1)參見《全國人民代表大會憲法和法律委員會關于〈中華人民共和國個人信息保護法(草案)〉修改情況的匯報》。2021年8月20日，經(jīng)過三次審議，十三屆全國人大常委會第三十次會議表決通過了《個人信息保護法》，全國人大常委會法工委經(jīng)濟法室副主任楊合慶對《個人信息保護法》進行了解讀。他表示：“為了提高大型互聯(lián)網(wǎng)平臺經(jīng)營業(yè)務的透明度，完善平臺治理，強化外部監(jiān)督，形成全社會共同參與的個人信息保護機制……個人信息保護法對這些大型互聯(lián)網(wǎng)平臺設定了特別的個人信息保護義務。”(2)朱寧寧：《8章74條，個人信息保護法來了！權威解讀十大亮點》，載https://mp.weixin.qq.com/s/Y-031EBzOsbbN2JAEcOGBQ，最后訪問時間：2022年7月23日。由此可見，我國立法機關將獨立機構的功能定位為外部監(jiān)督，通過多元主體參與構建平臺治理的開放式關系結構。

從法律條文看，獨立和監(jiān)督是該機構的兩個顯著特征，外部是對組成人員的要求。監(jiān)督是該機構的功能定性，是設計這一機構的出發(fā)點和落腳點。獨立性包含組織獨立、職權獨立和人員獨立三個方面。只有在監(jiān)督者和監(jiān)督對象都明確的前提下，是否獨立才能夠最終研判。如何實現(xiàn)獨立監(jiān)督呢？學界和實踐中存在三種方案，分別是第三方獨立機構方案、管理監(jiān)督型獨立機構方案和決策監(jiān)督型獨立機構方案，以下分別進行討論。部分方案內容較少，本文嘗試進行拓展并做利弊分析。

二、第三方獨立機構方案

在《個人信息保護法》生效前，部分超大型平臺企業(yè)已經(jīng)進行了初步嘗試。騰訊在2021年10月15日公開招募外部成員，組建個人信息保護外部監(jiān)督委員會，文字表述為“第三方獨立監(jiān)督機構”，職責包括獨立評議騰訊公司及各產(chǎn)品隱私保護相關工作、提出指導和修改建議等。“委員會首批成員為15個人左右，計劃包括法學專家、技術專家與行業(yè)協(xié)會等個人信息保護領域的專業(yè)人士，也將涵蓋律師、媒體等其他公眾。首批成員將通過公開招募和定向邀請等方式產(chǎn)生?！?3)《這是一封來自鵝廠隱私官的邀請函，請查收！》，載https://mp.weixin.qq.com/s/2ZvcExeY_l-J3dfw02zTFg，最后訪問時間：2022年7月23日。攜程在2021年10月25日發(fā)布公告，決定近期成立“個人信息保護外部監(jiān)督專家團”，同樣表述為“第三方獨立機構”。(4)參見《攜程“個人信息保護外部監(jiān)督專家團”招募公告》，載https://view.inews.qq.com/a/20211025A093AW00，最后訪問時間：2022年7月23日。在外部監(jiān)督的功能定位下，超大型平臺希望通過第三方獨立機構的形式實現(xiàn)外部監(jiān)督效果，將獨立性理解為“外部獨立”，監(jiān)督機構獨立于本平臺企業(yè)。但這種做法比較優(yōu)勢并不明顯，不符合風險預防的治理理念。

第一，《個人信息保護法》第六章專門規(guī)定了履行個人信息保護職責的部門，這些職能部門完全獨立于企業(yè)，屬于純粹外部監(jiān)督的國家機構。無論立法目的追求的是“獨立性”或是“監(jiān)督性”，負有監(jiān)管職責的國家機關都是最佳主體，而不是所謂的第三方獨立機構。近年來行政執(zhí)法強調柔性執(zhí)法和治理導向，存在許多企業(yè)發(fā)聲和公眾參與的合法渠道。反觀這些所謂的獨立機構，實際上難以擺脫超大型平臺的干擾，平臺企業(yè)主導之下的民主參與和監(jiān)督強度都存在問題。用戶代表或公眾代表的產(chǎn)生，專家學者的挑選，都有可能被超大型平臺把持，使所謂的獨立監(jiān)督機構淪為平臺權力的裝飾。

第二，即便追求平臺治理的多元參與，實際上也并無必要?，F(xiàn)實中已經(jīng)廣泛存在著第三方獨立機構，各類行業(yè)協(xié)會、學會智庫和科研高校等等，如在APP專項整治活動中發(fā)揮作用的中國網(wǎng)絡空間安全協(xié)會，每年發(fā)布個人信息保護測評報告的北京大學互聯(lián)網(wǎng)法律中心。這些機構或獨立存在，或由政產(chǎn)學研媒一同發(fā)起成立，各大頭部平臺企業(yè)也參與其中。它們定期發(fā)布研究報告，組織企業(yè)調研、立法研討和獨立監(jiān)督，實際上已經(jīng)發(fā)揮了社會監(jiān)督的客觀作用。這些社會組織通過內部章程對成員形成約束力，通過法律程序獲得登記備案，不需要專門立法予以合法性確認。這些社會組織的經(jīng)費人員更具有獨立性，它們通過聲譽機制和競爭機制進行自我監(jiān)督，相較企業(yè)自設機構具有一定的制度優(yōu)勢。

第三，外部監(jiān)督無法實現(xiàn)事前事中監(jiān)管，難以有效影響超大型平臺企業(yè)決策。如果按照兩家企業(yè)的制度設想展開，獨立機構對超大型平臺進行形式監(jiān)督，僅僅作出指導、提出建議和咨詢培訓，那么獨立機構極容易淪為裝飾企業(yè)形象的花瓶，監(jiān)督功能將被完全掏空。獨立機構無法深入平臺企業(yè)內部決策，否則就將與外部監(jiān)督的職能定位相沖突。超大型平臺企業(yè)的各種業(yè)務和不同流程都與個人信息有關，個人信息被濫用有時候只是一個最終結果，更多問題可能出在事前決策和事中執(zhí)行。尤其是很多敏感個人信息，如生物識別信息，一旦被泄露濫用將會給自然人帶來不確定風險。有學者提出：“區(qū)別于傳統(tǒng)的‘危險’，個人生物識別信息應用風險具有不確定性與復雜性，因果關系具有模糊性與非線性，損害具有嚴重性與不可逆性，因此政府監(jiān)管理念應當從消極的‘危險消除’向積極的‘風險預防’轉變?！?5)于洋：《論個人生物識別信息應用風險的監(jiān)管構造》，載《行政法學研究》2021年第6期，第111頁。

三、管理監(jiān)督型獨立機構方案

該方案由張新寶教授提出，主張“作為企業(yè)內部的‘獨立監(jiān)督機構’，主要是指獨立于企業(yè)的日常經(jīng)營管理機構(如總經(jīng)理)、產(chǎn)品或者服務研發(fā)推廣機構等業(yè)務部門，因為這些機構和部門往往會以利潤導向進行管理和經(jīng)營而忽視個人信息保護”(6)張新寶：《大型互聯(lián)網(wǎng)平臺企業(yè)個人信息保護獨立監(jiān)督機構研究》，載《東方法學》2022年第4期，第44頁。。該方案下獨立機構包含兩項具體職責：其一，監(jiān)督大型互聯(lián)網(wǎng)平臺企業(yè)自身的個人信息保護合規(guī)情況；其二，監(jiān)督大型互聯(lián)網(wǎng)企業(yè)對商業(yè)用戶的個人信息處理活動予以規(guī)范的合規(guī)情況。(7)參見前引〔6〕，張新寶文。除此之外，獨立機構在董事會的領導下，還有提出建議和合規(guī)指導的功能。超大型平臺的業(yè)務部門是該方案的預設監(jiān)督對象，本質是董事會對經(jīng)理層的管理監(jiān)督。數(shù)據(jù)合規(guī)在我國仍處于發(fā)展初期，該方案有助于專家參與企業(yè)合規(guī)制度建立，同時制度上防范經(jīng)理層和業(yè)務部門的數(shù)據(jù)濫用行為，方案內容豐富具有很強的操作性和執(zhí)行性。在討論獨立機構與國家個人信息保護部門的關系時，張新寶教授主張：“獨立監(jiān)督機構對企業(yè)個人信息保護事項作出的決定或者提出的鑒定意見，原則上將得到國家個人信息保護部門的認可。在發(fā)現(xiàn)企業(yè)在個人信息保護方面存在重大隱患或者嚴重違法情形時，獨立監(jiān)督機構應當及時向企業(yè)的權力機構提出意見和建議。企業(yè)權力機構拒絕接受的，經(jīng)獨立監(jiān)督機構多數(shù)成員表決同意，應將相關情況報告國家個人信息保護部門?！?8)前引〔6〕，張新寶文，第48頁。這一制度設計極大增強了獨立機構的實際權力，仿佛達摩克利斯之劍一樣懸在超大型平臺企業(yè)頭頂。但是產(chǎn)生兩個問題需要解釋：第一，如果獨立機構受董事會領導，為什么決定和鑒定意見要征得監(jiān)管部門認可，為什么可以越過董事會，直接向監(jiān)管部門報告；第二，如果獨立機構照此運行，會不會干擾企業(yè)的自主經(jīng)營活動。

在規(guī)制理論中，該方案屬于內部管理型規(guī)制理論(management-based regulation)(9)也有學者將其翻譯為“以管理為基礎的規(guī)制”或“基于管理的規(guī)制”。參見洪延青：《“以管理為基礎的規(guī)制”——對網(wǎng)絡運營者安全保護義務的重構》，載《環(huán)球法律評論》2016年第4期；高秦偉：《社會自我規(guī)制與行政法的任務》，載《中國法學》2015年第5期。的實際運用，“實際上是行政權對企業(yè)內部治理的介入，在實質上構成對企業(yè)經(jīng)營自主權的限制”(10)孔祥穩(wěn)：《論個人信息保護的行政規(guī)制路徑》，載《行政法學研究》2022年第1期，第144頁。。對于內部管理型規(guī)制，國外學者將生產(chǎn)流程劃分為規(guī)劃、執(zhí)行和產(chǎn)出三個部分，在不同階段采取的規(guī)制策略，被稱作內部管理型規(guī)制、技術標準規(guī)制(technology-based regulation)和績效標準規(guī)制(outcome-based regulation)。根據(jù)內部管理型規(guī)制，公司應制定符合一般標準的計劃，以促進有針對性的社會目標。監(jiān)管標準規(guī)定了每個計劃應該具備的要素，如危險識別、風險防范措施、監(jiān)測糾正程序、員工培訓政策，以及其他社會目標評估和完善公司管理的具體措施。(11)See Cary Coglianese & David Lazer,Management-Based Regulation:Prescribing Private Management to Achieve Public Goals,37 Law & Society Review 694(2003)．“內部管理型規(guī)制不規(guī)定特定的技術要求或績效結果，而是要求企業(yè)針對行政目標，制定適合自身的內部經(jīng)營計劃、管理流程及決策規(guī)則，從而將社會價值內部化。”(12)譚冰霖：《論政府對企業(yè)的內部管理型規(guī)制》，載《法學家》2019年第6期，第75頁。這一規(guī)制類型屬于元規(guī)制(meta regulation)的典型類型，與自我規(guī)制具有高度關聯(lián)性?！霸?guī)制是指外部規(guī)制者有意促使規(guī)制對象本身針對公共問題，作出內部式的、自我規(guī)制性質的回應，來要求或塑造規(guī)制對象的自我規(guī)制?！?13)〔英〕羅伯特·鮑德溫、馬丁·凱夫、馬丁·洛奇：《牛津規(guī)制手冊》，宋華琳等譯，上海三聯(lián)書店2017年版，第167頁。

結合內部規(guī)制理論，該方案具有三點積極意義：第一，針對個人信息風險，應該采用風險預防的規(guī)制策略?！盎ヂ?lián)網(wǎng)的復雜結構以及大數(shù)據(jù)處理過程隨機性、相對性和模糊性特征，表明數(shù)據(jù)主體基于個人信息與數(shù)據(jù)控制者建立的信息關系影響因素存在高度的不確定性。傳統(tǒng)規(guī)制模式以規(guī)則為規(guī)制工具，通過行為和結果的確定性聯(lián)系進行危險排除，并不符合數(shù)字時代信息分享的風險特征?！?14)謝堯雯：《基于數(shù)字信任維系的個人信息保護路徑》，載《浙江學刊》2021年第4期，第82頁。第二，當風險不明、標準不清時，實際上難以判斷個人信息是否被濫用泄露，事后監(jiān)督難以挽回實際損失。需要深入平臺企業(yè)內部，對個人信息管理體系進行優(yōu)化改造，政府規(guī)制視角應該由外入內。第三，個人信息保護問題異質性強，平臺、部門和流程之間都不一樣，需要編制細密的行動規(guī)范。但是，個人信息保護法律制度建立初期，諸多制度細節(jié)、技術標準和行業(yè)要求都需要進一步明確。因此，應將規(guī)則自由裁量權下放給企業(yè)，監(jiān)管機構不宜采取硬標準強要求。

但是，運用內部規(guī)制理論分析建構超大型平臺獨立機構，存在固有缺陷難以克服。內部管理型規(guī)制本質上仍是一種外部監(jiān)督，無法解決合規(guī)動機問題。經(jīng)過與監(jiān)管機構的溝通確認，企業(yè)制定實施了各類內部管理制度，既有可能出于提升公司績效考慮，也可能是為了應付檢查粉飾門面。企業(yè)并非自發(fā)遵守合規(guī)計劃，而是考慮制度成本、外界壓力和管理層意見。制度運行成本較低，契合企業(yè)盈利模式，得到管理層的支持，內部管理制度可以有效運行；但如果遇到任何一個障礙，內部管理制度運行就可能是“部分的、象征性和半心半意(half-heated)”。(15)See Christine Parker & Vibeke Lehmann Neelsen,Do Businesses Take Compliance Systems Seriously?An Empirical Study of Implementation of Trade Practices Compliance Systems in Australia,30 Melbourne University Law Review 441(2006).監(jiān)管者真正應該關心的是企業(yè)管理的實際行動，而不是浮于表面的規(guī)章制度，“管理遠比管理體系重要”(16)前引〔13〕，羅伯特·鮑德溫、馬丁·凱夫、馬丁·洛奇書，第154頁。。對企業(yè)行為的規(guī)制，僅僅停留在管理制度上是不夠的，需要干預企業(yè)管理層或控股股東的合規(guī)動機。在這個層面上獨立機構的監(jiān)督職能或許更有意義。

2019年7月美國聯(lián)邦貿易委員會(FTC)對臉書(Facebook)達成新的和解令，以懲罰臉書違反2012年和解令中“禁止虛假陳述”的要求。除了開具50億美元的天價罰單，2019年和解令還要求臉書改變其董事會構成，設立專門獨立隱私委員會。它的所有成員都必須是獨立董事，由獨立提名委員會產(chǎn)生，每年至少召開4次會議。有權任命或免職隱私合規(guī)官，每12個月審核隱私合規(guī)官提交的隱私計劃執(zhí)行情況書面說明。有權任命或免職第三方隱私評估機構，每季度應在沒有管理層出席的情況下與其舉行會議。每季度審核管理層提交的簡報，內容涵蓋隱私計劃狀態(tài)、和解令執(zhí)行情況和存在重大風險情況等等。(17)See United States of America v.Facebook Inc,Case No.19-cv-2184(United States District Court for the District of Columbia.2019).美國聯(lián)邦貿易委員會的執(zhí)法意圖十分明確，約束限制管理層尤其是控股股東扎克伯格在隱私方面的權力。委員會委員羅希特·喬普拉(Rohit Chopra)發(fā)表聲明稱，臉書通過對外銷售用戶的行為數(shù)據(jù)換取廣告收入，有強烈的動機獲取越來越多的用戶數(shù)據(jù)。只要廣告商愿意為用戶消費特定內容付費，像臉書這樣的公司就有動機以影響用戶的心理狀態(tài)和實時偏好的方式來管理內容。作為一家上市公司，臉書需要與利潤豐厚的第三方開發(fā)者保持合作，實現(xiàn)公司利益的最大化。(18)See Rohit Chopra,Dissenting Statement of Commissioner Rohit Chopra,In re Facebook，Inc.Commission File No.1823109(July 24,2019),available at https://www.ftc.gov/system/files/documents/public_statements/1536911/chopra_dissenting_statement_on_facebook_7-24-19.pdf,last visited on Mar.3,2022.委員會主席喬·西蒙斯(Joe Simons)和委員諾亞·約書亞·菲利普斯(Noah Joshua Phillips)、克里斯汀·S·威爾遜(Christine S.Wilson)發(fā)布聲明稱，該命令消除了扎克伯格單方面做出隱私?jīng)Q策的能力，賦予業(yè)務部門、首席隱私官和隱私委員會相關責任。盡管沒有移除扎克伯格對董事會的全部控制權力，但明顯地削弱了他的權力，這是迄今為止世界上沒有哪個監(jiān)管機構能做到的。(19)See Joe Simons,Noah Joshua Phillips & Christine S.Wilson,Statement of Chairman Joe Simons and Com-missioners Noah Joshua Phillips and Christine S.Wilson In re Facebook，Inc.(July 24,2019),available at https://www.ftc.gov/system/files/documents/public_statements/1536946/092_3184_facebook_majority_statement_7-24-19.pdf,last visited on Mar.3,2022.

通過分析臉書2012年和2019年兩宗案件可知，如果沒有觸及超大型平臺的盈利模式，以及管理層或控股股東對個人信息利用的絕對控制，單純對超大型平臺進行事后監(jiān)管和流程改造，無法對平臺企業(yè)的合規(guī)動機進行根本影響。因此，需要監(jiān)督的對象實際是超大型平臺的管理層或控股股東。事實上，2012年和解令最終確定的4個月后，臉書就允許第三方開發(fā)人員違規(guī)使用用戶個人信息。(20)See FTC Imposes＄5 Billion Penalty and Sweeping New Privacy Restrictions on Facebook,Federal Trade Commission(July.24,2019),available at https://www.ftc.gov/news-events/press-releases/2019/07/ftc-imposes-5-billion-penalty-sweeping-new-privacy-restrictions,last visited on Mar.3,2022.

由此可見，超大型平臺獨立機構的制度建構，不僅需要引入政府規(guī)制理論，而且應該引入公司治理視角。超大型平臺企業(yè)的迅速崛起只是近二十年的事情，不少創(chuàng)始人仍然牢牢掌控已經(jīng)上市的平臺企業(yè)，并未實現(xiàn)所有權與經(jīng)營權的分離。臉書的公司結構為B級股股東提供了“超級投票權”，扎克伯格的投票決定了董事選舉和其他需要股東投票的事項。(21)參見前引〔18〕，Rohit Chopra文?！澳槙蓶|厭倦了扎克伯格，但對他們無能為力?！?22)Michael Hiltzik,Facebook Shareholders are Getting Fed Up with Zuckerberg but Can’t Do Anything about Him,Los Angeles Times:Business(Apr.16,2019),available at https://www.latimes.com/business/hiltzik/la-fi-hiltzik-mark-zuckerberg-facebook-20190416-story.html,last visited on Mar.13,2022.我國存在類似的情況，“作為企業(yè)家的發(fā)起人或創(chuàng)始股東珍視控制權以實現(xiàn)自己的愿景和抱負，這種對控制權的珍視體現(xiàn)為對發(fā)起人或創(chuàng)始股東權利的特殊安排”，如B站的雙層股權結構、京東的投票委托權和阿里巴巴的合伙人制度等等。(23)參見汪青松、宋朗：《合規(guī)義務進入董事義務體系的公司法路徑》，載《北方法學》2021年第4期。相較于美國，中國互聯(lián)網(wǎng)企業(yè)模式創(chuàng)新有余而技術創(chuàng)新不足，更加依賴個人信息和人力資源投入。具有類似的公司結構，承擔著巨大的利潤壓力，依靠大量采集個人信息以維持商業(yè)運轉，我國超級平臺管理層或控股股東的合規(guī)動力更加匱乏。

四、決策監(jiān)督型獨立機構方案

為加強對管理層或控股股東的控制，不少國家規(guī)定董事會負責內控機制建設，賦予董事一定的法律義務。如日本《公司法》規(guī)定了董事構建內控機制的任務，《公司法實施規(guī)則》規(guī)定了構建內控機制的具體內容。(24)參見梁爽：《內部控制機制的法律化路徑——以日本法上董事內部控制義務為視角》，載《金融法苑》2015年第1期。我國也有學者建議：“想讓外部的監(jiān)督發(fā)揮實效，就必須通過內部的決策機構。而內部決策機構最好的做法就是仿效獨立董事的相關制度——在董事會下面設立一個主要由獨立董事承擔監(jiān)督作用的個人信息保護專門委員會?！?25)隱私護衛(wèi)隊：《外部機構如何監(jiān)督企業(yè)個人信息保護？許可：不能存在經(jīng)濟依附》，載https://www.sohu.com/a/509672335_121258695，最后訪問時間：2022年7月23日。如果公司董事會全部由管理層組成，那么董事會的存在就沒有實際意義，董事會就變成了一個擁有高級頭銜的管理委員會了。決策監(jiān)督型獨立機構方案下，我國不少學者建議將外部監(jiān)督成員理解為公司的獨立董事，獨立董事組成獨立機構負責對企業(yè)的個人信息保護作出判斷和監(jiān)督。(26)參見張平主編：《中華人民共和國個人信息保護法理解適用與案例解讀》，中國法制出版社2021年版，第225頁；龍衛(wèi)球主編：《中華人民共和國個人信息保護法釋義》，中國法制出版社2021年版，第260頁。該方案如何展開，具有哪些優(yōu)勢與弊端？現(xiàn)有文獻沒有對此進行討論，本文嘗試進行探索展開。

(一)方案的理論淵源

該方案與公司治理中的內部控制理論有關。內部控制在會計學和審計學中較為常見，近年來隨著法學界對企業(yè)合規(guī)的關注，逐漸進入法學視野。“內部控制起源于企業(yè)財務舞弊、財務失敗事件的不斷發(fā)生，內部控制的發(fā)展與美國公司會計造假、破產(chǎn)倒閉事件周期性的發(fā)生有著密不可分的關系，每一輪的公司財務舞弊、破產(chǎn)倒閉事件都促進了內部控制理論的發(fā)展?！?27)李維安、戴文濤:《公司治理、內部控制、風險管理的關系框架——基于戰(zhàn)略管理視角》，載《審計與經(jīng)濟研究》2013年第4期，第5頁。例如美國《反海外賄賂法》(FCPA)要求證券發(fā)行者必須設計和維持有效的內部會計控制系統(tǒng)。(28)See The Foreign Corrupt Practices Act of 1977§15 U.S.C.§78dd-1，et seq.我國法律對內部控制理論也有類似應用，例如2021年6月中國人民銀行發(fā)布的《中華人民共和國反洗錢法(修訂草案公開征求意見稿)》第3章“反洗錢義務”第27條第3款規(guī)定：“金融機構應當通過內部審計或者獨立審計等方式，監(jiān)督檢查反洗錢內部控制制度的有效實施，金融機構的負責人對反洗錢內部控制制度的有效實施負責。”

個人信息保護與企業(yè)財務管理存在較大相似性，都涉及企業(yè)的不同環(huán)節(jié)和各個流程，與企業(yè)經(jīng)營模式和利潤收支息息相關，關乎企業(yè)的生死存亡。尤其在消費者信息隱私意識覺醒的今天，對于超大型平臺企業(yè)而言，個人信息保護不僅應是其努力控制的成本線，而且應該是嚴格遵守的生命線。因此，類比財務風險管理，個人信息風險控制完全可以應用內部控制理論。正如學者所說：“內部控制發(fā)展到今天，已經(jīng)演變成一種過程，內化于企業(yè)的各個流程、各個環(huán)節(jié)，和企業(yè)的各類人員相聯(lián)系，但從內部控制的對象和目標來看，其本質并沒有發(fā)生變化，依然是一種風險控制活動?！?29)前引〔27〕，李維安、戴文濤文，第6頁。內部控制與風險管理屬于一體兩面，本質上都是對風險的有意控制。“內部控制就是控制風險，控制風險就是風險管理。”“內部控制主要是從風險控制的方式和手段說明風險控制的，風險管理就是從風險控制的目的來說明風險控制的?！?30)謝志華：《內部控制、公司治理、風險管理:關系與整合》，載《會計研究》2007年第10期，第41頁。為強調對管理層和控股股東的力量制衡，避免風險管理和企業(yè)管理概念混淆，本文采用內部控制的概念。

對于內部控制的定義，美國國家金融欺詐信息委員會(Treadway委員會)下屬的“發(fā)起組織委員會”(COSO)(31)COSO英文全稱為Committee of Sponsoring Organizations of the Treadway Commission。COSO 在美國成立于 1985 年，旨在贊助國家金融欺詐信息委員會(Treadway委員會)。Treadway 委員會最初由位于美國的以下五家主要專業(yè)會計協(xié)會和機構發(fā)起和共同資助：美國注冊會計師協(xié)會(AICPA)、美國會計協(xié)會(AAA)、國際財務執(zhí)行官(FEI)、內部協(xié)會審計師(IIA)和管理會計師協(xié)會(IMA)。發(fā)布的《COSO內部控制—綜合框架(2013)》指出，內部控制是一個由實體董事會、管理層和其他人員實施的過程，旨在為實現(xiàn)運營、報告和合規(guī)相關目標提供合理保證。合規(guī)目標與遵守實體法律法規(guī)有關。這一框架包含控制環(huán)境、風險評估、控制活動、信息交流和監(jiān)控活動五個組成部分。(32)See The Committee of Sponsoring Organizations of the Treadway Commission(COSO)，COSO Internal Control-Integrated Framework(2013)(May 14,2013)，available at https://assets.kpmg/content/dam/kpmg/pdf/2016/05/2750-New-COSO-2013-Framework-WHITEPAPER-V4.pdf,last visited on Feb.13,2022.我國財政部、證監(jiān)會、銀監(jiān)會等五部委于2008年5月發(fā)布的《企業(yè)內部控制基本規(guī)范》第3條規(guī)定：“本規(guī)范所稱內部控制，是由企業(yè)董事會、監(jiān)事會、經(jīng)理層和全體員工實施的、旨在實現(xiàn)控制目標的過程。內部控制的目標是合理保證企業(yè)經(jīng)營管理合法合規(guī)、資產(chǎn)安全、財務報告及相關信息真實完整，提高經(jīng)營效率和效果，促進企業(yè)實現(xiàn)發(fā)展戰(zhàn)略?！逼髽I(yè)控制目標的實現(xiàn)需要由股東會、董事會、監(jiān)事會和管理層等各個組織機構共同完成。構建合規(guī)制度體系是內部控制目標，無論由董事會或監(jiān)事會設置獨立機構，它們開展的內部監(jiān)督活動都屬于風險控制的內部過程。

該理論強調應發(fā)揮董事會內部控制的主導作用，例如《上海證券交易所上市公司內部控制指引》第4條規(guī)定：“公司董事會對公司內控制度的建立健全、有效實施及其檢查監(jiān)督負責，董事會及其全體成員應保證內部控制相關信息披露內容的真實、準確、完整?！北容^法上，韓國存在類似的“合規(guī)監(jiān)查人”制度?！昂弦?guī)監(jiān)查人通常從公司內部的董事或業(yè)務執(zhí)行負責人中選任，其雖由董事會任命，但卻獨立履行職務，其業(yè)務活動不受董事會或代表董事的干預。為了保障其獨立性地位，韓國《金融公司治理結構法》第30條要求金融公司應當通過章程保障合規(guī)監(jiān)查人獨立履行職務，并為其履行職務提供必要的資料和信息；對合規(guī)監(jiān)視人的任免雖由公司自主決定，但須在作出決定之日起7天內向金融委員會報告。公司未按規(guī)定設置合規(guī)監(jiān)視人或未按照合規(guī)要求進行報批和運營的，根據(jù)該法第43條第16—22款的規(guī)定，可對其處以罰款。”(33)趙萬一：《合規(guī)制度的公司法設計及其實現(xiàn)路徑》，載《中國法學》2020年第2期，第76頁。

美國學者提出了應由董事會承擔內部控制最終責任的兩點理由：第一，企業(yè)高管有可能扭曲信息流動。解決信息不對稱問題，創(chuàng)造競爭性的信息來源。第二，存在管理機會主義問題。管理層面臨業(yè)績壓力，任期薪酬與企業(yè)盈利高度相關。在一筆違反公司政策或法律規(guī)則的交易中，預期的利潤通常是巨大、現(xiàn)實和生動的。相比之下，從經(jīng)理的角度來看，違反公司政策或法律規(guī)則可能造成的損失往往微不足道、蒼白、非常遙遠，尤其是考慮到發(fā)現(xiàn)的可能性極低時，情況更是如此。董事們不尋求晉升，通常不負責短期利潤決策判斷，因而對于公司整體和長遠利益更加看重。(34)See Melvin A.Eisenberg,The Board of Directors and Internal Control,19 Cardozo Law Review 237,250(1997).臉書案件體現(xiàn)了該學者的公司治理思路，2019年和解令創(chuàng)造了加強臉書隱私監(jiān)管的四個信息流，建構了一種重疊的合規(guī)監(jiān)督渠道(overlapping channels of compliance)，以提高風險防控效率。(35)參見前引〔19〕，Joe Simons、Noah Joshua Phillips、Christine S.Wilson文。為加強對某一重要事項的整體管理，董事會設置專門委員會的做法在實踐中已經(jīng)很常見。如很多上市公司在董事會設立社會責任專門委員會和環(huán)境保護專門委員會。(36)參見蔣大興：《公司社會責任如何成為“有牙的老虎”——董事會社會責任委員會之設計》，載《清華法學》2009年第4期。

(二)設在董事會下而不是監(jiān)事會下

內部控制職責的權能配置，實際上與不同國家公司法規(guī)定的組織結構有關?！坝⒚婪▏覍嵭械闹饕且酝獠慷聻楹诵牡谋O(jiān)督制度，它與我國的獨立董事制度相似。在以德國為代表的大陸法國家，實行的主要是以監(jiān)事會為核心的監(jiān)督制度。”(37)高旭軍：《對我國上市公司“雙核心監(jiān)督機制”的反思》，載《東方法學》2016年第2期，第58頁。我國《公司法》規(guī)定董事會和監(jiān)事會兩個組織機構負責內部監(jiān)督職能。有的學者認為轉換到中國背景下監(jiān)事同樣負有內部控制義務。(38)參見邢會強：《上市公司虛假陳述行政處罰內部責任人認定邏輯之改進》，載《中國法學》2022年第1期。我國《公司法》雖然沒有明確規(guī)定外部監(jiān)事制度，但是部分企業(yè)早已開始探索實施，如中國人民銀行2002年就曾發(fā)布《股份制商業(yè)銀行獨立董事和外部監(jiān)事制度指引》。有學者提出獨立董事的監(jiān)督是決策中的監(jiān)督，監(jiān)事會的監(jiān)督體現(xiàn)為事后監(jiān)督。(39)參見施天濤：《讓監(jiān)事會的腰桿硬起來——關于強化我國監(jiān)事會制度功能的隨想》，載《中國法律評論》2020年第3期。以上觀點和實踐都具有借鑒意義，存在兩個內部監(jiān)督機關的情況下，董事會和監(jiān)事會都可以承擔個人信息保護的內部控制職責。需要進一步思考的是，為落地實施《個人信息保護法》，是否需要《公司法》相應修改，董事會和監(jiān)事會哪一個組織更具有設置獨立機構的制度潛力。

本文認為在堅持現(xiàn)有公司法框架下，獨立機構更適合設置在董事會中，主要成員由獨立董事?lián)巍榱私鉀Q監(jiān)事會存在的問題，我國引入了獨立董事制度。公司監(jiān)事會作為專門監(jiān)督機構，普遍存在“監(jiān)事會地位低下、資源匱乏，職工監(jiān)事制度徒具其形，監(jiān)事缺乏適當?shù)目己撕图顧C制，與獨立董事關系不清、疊床架屋，受制于高管控股股東”等問題。(40)參見郭靂：《中國式監(jiān)事會：安于何處，去向何方？》，載《比較法研究》2016年第2期。不同學者總結的原因或有出入，但是監(jiān)事會孱弱無力確是現(xiàn)實，無力對抗控股股東實施有效監(jiān)督。我國《公司法》規(guī)定監(jiān)事會由股東代表和職工代表組成，職工代表的比例不得低于三分之一，意圖加強股東和雇員對公司的自我監(jiān)督。但股東代表產(chǎn)生受制于控股股東，職工代表履職遭雇傭關系掣肘。即便允許外部監(jiān)事加入，也難以改變監(jiān)事會的固有缺陷。獨立機構要求主要由外部成員組成，這與監(jiān)事會的人員比例要求也存在出入。董事會擁有解聘或聘任管理層和制定規(guī)章制度等事項的決定權，可以有效建構個人信息保護內控合規(guī)體系。但是監(jiān)事會僅具有建議、質詢和調查等權利，只能列席董事會會議，沒有投票表決權和否決權。我國超大型平臺企業(yè)多赴美股和港股上市，就個人信息保護問題對董事會進行改造，與英美公司法傳統(tǒng)不存在較大差異，更有利于企業(yè)降低合規(guī)成本。

(三)獨立董事需要平衡股東利益與公共利益

獨立機構由獨立董事構成，獨立董事實際開展監(jiān)督活動，但是獨立董事應該對誰負責，卻鮮有學者深入研究。有專家觀察到存在利益沖突的可能，有針對性地提出“如果認為獨立監(jiān)督機構對社會公眾負責，公司的發(fā)展利益或將不作為獨立監(jiān)督機構考慮的范疇，有可能導致公司發(fā)展利益受損”(41)虞偉：《個保法要求建外部獨立監(jiān)督機構，互聯(lián)網(wǎng)平臺為何按兵不動》，載https://xw.qq.com/cmsid/20211111A009I900，最后訪問時間：2022年7月23日。。這些觀察實際上點出了問題的實質，獨立董事應該對公共利益負責，還是對企業(yè)利益和股東利益負責？《上市公司獨立董事規(guī)則》第5條規(guī)定獨立董事應該維護公司整體利益，尤其要關注中小股東的合法權益不受損害。但是超大型平臺收集了大量的公民個人信息，即便個人信息處理者投入了汗水勞動，個人信息蘊含的人格利益仍然屬于公民或用戶個人。空泛地說，公司利益、股東利益與社會公共利益當然是一致的，企業(yè)違反法律規(guī)定侵犯公共利益受到法律制裁，也會損害企業(yè)利益和股東利益?！暗@個觀點其實只是體現(xiàn)了一種‘大家好才是真的好’的良善價值導向，在邏輯上就如同個體利益和群體利益可以兩全的論斷一樣脆弱，如果真的可以兩全就不會有損公肥私和犧牲小我完成大我的問題?！?42)前引〔23〕,汪青松、宋朗文，第81頁。事實上濫用公民個人信息的現(xiàn)象已經(jīng)如此普遍，大量的違法行為并沒有被發(fā)現(xiàn)懲處，有些人甚至懷疑是否還有繼續(xù)保護的必要。因此，實踐中公司利益、股東利益與公共利益廣泛存在著利益沖突。努力追求私人利益，既有可能成為創(chuàng)新創(chuàng)業(yè)的動力源泉，也有可能是公地悲劇的罪魁禍首。盲目樂觀與有意回避都不可取，在流通利用中個人信息才能發(fā)揮實際價值。真正值得思考的是，如何通過法律規(guī)則調整實現(xiàn)不同利益平衡。

傳統(tǒng)公司法理論認為董事僅對股東利益負責，追求股東利益最大化?；诠舅袡嗯c經(jīng)營權分離的現(xiàn)實情況，股東選舉產(chǎn)生董事負責實際經(jīng)營，股東與董事之間屬于委托代理關系，董事對股東負有信義義務，通說認為至少包含忠實義務和勤勉義務。盡管從19世紀30年代開始，美國學界開啟的企業(yè)社會責任討論一直延續(xù)至今，但是這一框架仍是公司法的基本理論模型。正如前美國特拉華州最高法院首席大法官小利奧·E·斯特林(Leo E.Strine,Jr.)所說，“這些公司的董事會認為，他們所管理的共和國應該對唯一公民忠誠，而這些公民被稱為股東。這些公司的董事會并不認為自己對其他選區(qū)有任何國家的忠誠度，他們認為自己是股權資本共和國的民選官員?！?43)Leo E.Strine Jr.,Corporate Power is Corporate Purpose II:An Encouragement for Future Consideration from Professors Johnson and Millon,74 Washington and Lee Law Review 1,13(2017).但是董事追求股東利益并非沒有限度，必須遵守法律的各項要求，意味著對于法律強制性規(guī)定事項，董事不能進行成本收益比較，這實際上在法律框架內限制了股東利益。伴隨著美國公司所有權與經(jīng)營權的分離，眾多學者提出應該考慮企業(yè)的社會責任，公司董事會不僅要對股東利益負責，而且要考慮消費者、社區(qū)、雇員、客戶和環(huán)境保護等非股東利益，由此產(chǎn)生了諸如利益相關者理論、公司公民理論、公司善治運動等理論思潮。(44)參見施天濤：《〈公司法〉第5條的理想與現(xiàn)實:公司社會責任何以實施？》，載《清華法學》2019年第5期。公司生產(chǎn)經(jīng)營會產(chǎn)生各種社會成本，污染環(huán)境、勞工、金融風險等問題都需要公司經(jīng)營者認真考慮。立法者希望通過成文立法解決這些問題，規(guī)定企業(yè)相應的法律義務，我國《個人信息保護法》也是如此。企業(yè)畢竟不是政府，企業(yè)存在的根本目的仍是追逐利潤。曾經(jīng)有人建議在公司董事會設立代表不同群體利益的公益董事，有學者評論說，即便全部董事追求公司利益最大化，都不一定可以實現(xiàn)意見統(tǒng)一。如果董事會充斥著目標不同相互競爭的支持者，那將是大多數(shù)管理者的噩夢。(45)See Alfred F.Conard,Reflections on Public Interest Directors,75 Michigan Law Review 941,950(1977).如果賦予企業(yè)過多的公共責任，可能會將企業(yè)經(jīng)營變成政治活動，董事之間的實質性利益沖突會導致公司無法經(jīng)營。由此可知，如同公司一樣，董事會既不可能徹底堅持“股東至上”，也無法完全替代政府追求公共利益，堅持維護股東利益兼帶平衡公共利益才是現(xiàn)實選擇。在個人信息保護問題上同樣如此，個人信息只有在聚合、加工和利用之后才能發(fā)揮最大價值，平臺企業(yè)的產(chǎn)品創(chuàng)新和商業(yè)開發(fā)在其中發(fā)揮了不可替代的作用，規(guī)范利用是最終目的，違規(guī)懲戒只是手段。因此，獨立機構作為董事會的下設機構，需要平衡股東利益和公共利益。部分學者認為它不對個人信息處理者負責、單純維護公共利益、應該保持中立性的觀點是錯誤的。

獨立董事作為獨立機構的成員，應追求實現(xiàn)企業(yè)利益，我國《公司法》第147條和《上市公司獨立董事規(guī)則》第5條均有直接規(guī)定。與《公司法》立法目的不同，《個人信息保護法》不要求獨立董事關注中小股東的合法權益，而是強調他們對個人信息保護情況進行有效監(jiān)督，主要關注廣大力量分散的公民個人信息權益，本質上屬于一種利益相關者權益。這部分利益與中小股東利益風險偏好存在明顯不同，但是它們都依附在公司整體利益之上。無論是維護中小股東利益，還是為了公民個人信息權益，法律為分散的利益群體選派代表，都試圖打破控股股東的非對稱權利結構，努力干預影響公司決策。二者在規(guī)制思路上是相似的，這是嫁接獨立機構職能與獨立董事職責的基礎。股東利益、公司利益和公共利益，三者在合規(guī)層面是一致的。法律底線不容利益權衡，遵紀守法保障企業(yè)長遠。這解釋了為什么設置獨立機構是構建合規(guī)體系的一部分，為什么獨立機構與合規(guī)體系共同組成《個人信息保護法》第58條第1項。

(四)獨立董事承擔的法律義務之性質

結合我國《公司法》，獨立董事的這種內部控制行為屬于什么法律義務？我國《公司法》第147條規(guī)定董事對公司負有忠實和勤勉義務，《上市公司獨立董事規(guī)則》第5條規(guī)定獨立董事對上市公司及全體股東負有誠信與勤勉義務。這里出現(xiàn)了三種義務類型：忠實義務、誠信義務和勤勉義務，內部控制與三者是什么關系？法律義務這一概念本質要求主體行為符合法律規(guī)定，文字意義上所有部門法規(guī)定的各項法律義務都屬于“合規(guī)義務”，但是某一種“合規(guī)行為”能否成為獨立具體的法律義務就值得討論了。這些新增的合規(guī)義務是否屬于信義義務？或者它們可以成為一種新的“合規(guī)義務”？存在獨立的內部控制義務嗎？目前主要存在三種觀點：第一，內部控制行為屬于忠實義務或誠信義務的一種。誠信義務是否屬于一種單獨的信義義務類型，在美國公司法上存在著“三分法”和“二分法”的爭議。本文無意對此進行明確區(qū)分，故將忠實義務與誠信義務進行并列。有學者提出，美國法上在董事違反內部控制機制建構義務的案例中，如Caremark案以及Stone案，法院一般認為董事故意忽視自身職責，往往會判定董事違反忠實義務。(46)參見梁爽：《董事信義義務結構重組及對中國模式的反思——以美、日商業(yè)判斷規(guī)則的運用為借鑒》，載《中外法學》2016年第1期。第二，內部控制行為屬于勤勉義務或注意義務的一種。有學者提出：“就履行個人信息保護法定義務而言，在學理上屬于公司董事、高管應當履行的勤勉義務，即公司管理者應當保障公司能夠切實履行法律規(guī)定的保護個人信息的義務，從而維護公司的利益，避免公司因義務不履行而遭受不利的法律后果，諸如，損害賠償、行政處罰，甚至刑事處罰?！?47)張懷嶺：《公司治理視域下個人信息保護的實現(xiàn)路徑——以〈公司法〉第147條的具體化為中心》，載《財經(jīng)法學》2018年第5期，第28頁。有學者認為內部控制義務是董事勤勉義務的具體化和內在化，認為“對企業(yè)發(fā)生的重大事件或事故，即使是無需董事親自決策和具體實施的小事直接引起的，如果該重大事件或事故與內部控制的不健全有關聯(lián)，是和未能建立健全能盡早發(fā)現(xiàn)糾正違法違規(guī)事件的源頭原因，防止事件發(fā)生的公司內部控制有關聯(lián)，在一定條件下，也應認定董事違反了內部控制義務，董事應對公司承擔相應的損害賠償責任”(48)劉惠明、祁靖：《內部控制義務——董事勤勉義務的具體化與內在化》，載《東南大學學報(哲學社會科學版)》2012年第5期，第76頁。。還有學者分析德國公司法，論證從業(yè)務執(zhí)行機構的謹慎義務中引申出來的合法性管控義務可以成為合規(guī)組織義務的法律基礎。(49)參見王東光：《組織法視角下的公司合規(guī)：理論基礎與制度闡釋》，載《法治研究》2021年第6期。第三，內部控制屬于一種特殊的合規(guī)義務，與董事信義義務并列。有學者認為“董事信義義務的產(chǎn)生原因系董事與公司及股東間的委托代理關系和利益沖突，旨在減少公司治理中的代理成本。而董事的合規(guī)義務源于公司行為的合法性要求從組織層面向個體層面的下沉，旨在減少公司經(jīng)營中的社會成本”，兩種法律義務的產(chǎn)生原因存在根本不同，因此勢必產(chǎn)生張力與沖突。(50)參見前引〔23〕，汪青松、宋朗文。

客觀分析上述觀點學說都有其合理之處，內部控制并非一個法學概念，包括公司治理、風險管理和企業(yè)合規(guī)的各個流程，這決定了其行為本身可能屬于廣義信義義務其中的一種類型，需要將《個人信息保護法》第58條和信義義務的子義務做綜合理解，利用忠實義務、誠信義務和勤勉義務拓展個人信息保護義務的實質內容。應該避免法律義務的“大詞化”傾向，盡量提供一些充滿血肉的制度安排?！豆痉ā沸抻嗊^程中，部分學者建議將合規(guī)義務確立為公司和相關成員的基本義務，借此建構整個合規(guī)理論體系。(51)參見前引〔33〕，趙萬一文。但是加入合規(guī)義務可能導致本就抽象的信義義務更加混亂，增加無謂的概念重疊與指向沖突。因此，本文不建議將內部控制行為作為一種新型合規(guī)義務，借由合規(guī)義務與信義義務并列的方式在《公司法》上確立下來。正如學者所說：“一個連注意義務都沒有能力去具體界定的法律制度，如何去設定在此基礎上更復雜的合規(guī)？”(52)鄧峰：《公司合規(guī)的源流及中國的制度局限》，載《比較法研究》2020年第1期，第44頁。

(五)職能設計和人員構成

在職能設計上，獨立機構的監(jiān)督職能體現(xiàn)為兩方面：第一，監(jiān)督職能本質上是督導并舉而非狹義監(jiān)督，應該擴充獨立機構的實際職能。不同于外部監(jiān)督事后糾錯，獨立機構的監(jiān)督活動是對個人信息風險的內部控制活動，不僅局限于監(jiān)控活動，而且包括控制環(huán)境、風險評估、控制活動、信息交流四個環(huán)節(jié)。第二，監(jiān)督職能屬于系統(tǒng)監(jiān)督而非具體監(jiān)督，應該減輕獨立機構的職責負擔。超大型平臺企業(yè)規(guī)模巨大，包含各種業(yè)務類型，難以指望任職董事進行具體監(jiān)督?！岸仑撚袑咀鳛橐粋€運行良好的系統(tǒng)的‘設計者’和‘維護者’的職責，負有督導(monitor)的義務?！?53)鄧峰：《領導責任的法律分析——基于董事注意義務的視角》，載《中國社會科學》2006年第3期，第143-144頁。系統(tǒng)監(jiān)督與具體監(jiān)督的不同，是劃分獨立機構與個人信息保護負責人工作職責的重要標準。

在人員構成上，專門委員會人員數(shù)量應保持單數(shù)，由三名或三名以上成員組成?？筛鶕?jù)實際情況，由董事會提名委員會動態(tài)調整。獨立董事應至少占全部人員三分之二及以上。其余三分之一，控股股東和負責個人信息保護的高級管理人員不得擔任。為不干擾企業(yè)正常經(jīng)營，在日常性管理中獨立董事由超大型平臺企業(yè)自行選任，平臺企業(yè)應及時向主管部門備案公示。在合規(guī)整改時，為保證整改措施及時到位，可由主管部門指定獨立董事人選。獨立董事的任職條件，除了符合《上市公司獨立董事規(guī)則》的各項要求外，還應該強調專業(yè)性與多樣性。鼓勵企業(yè)聘請具有一定個人信息保護專業(yè)知識的法律、計算機、企業(yè)管理等領域專家進入專門委員會。考慮到承擔系統(tǒng)監(jiān)督的工作職責，專門委員會成員理應從平臺企業(yè)領取適當報酬。

(六)方案存在的弊端

決策監(jiān)督型獨立機構方案將獨立機構設置在董事會內部，由獨立董事具體履行監(jiān)督職責，獨立于董事經(jīng)理等高級管理人員，具有一定的合理之處。同時也存在諸多弊端：第一，各種獨立董事組成的專業(yè)委員會過多，容易造成董事會負擔過重。機構人員臃腫效率低下。環(huán)境保護委員會、合規(guī)委員會、勞工權益委員會、可持續(xù)發(fā)展委員會、社會責任專門委員會等各種委員會都多少已經(jīng)存在，有些是法律強制規(guī)定的，有些是企業(yè)根據(jù)自身情況設立的，不同委員會之間存在職能重疊，很容易造成獨立董事身兼多職負擔過重。第二，獨立董事平衡股東利益、利益相關者利益和公共利益，雖然理論上可以抽象證成，但實際操作存在困難。加之獨立董事職能責任眾多，很難周全各種利益訴求。第三，獨立董事法律責任不明，容易挫傷獨立董事的積極性。2021年11月12日廣州市中級人民法院判決康美藥業(yè)五名獨立董事因違反勤勉義務承擔連帶責任，合計賠償金額最高約3.69億元。此案引發(fā)了有關獨立董事法律責任的爭論。我國獨立董事多為兼職擔任，無論是信息來源、時間精力，還是對企業(yè)業(yè)務的了解程度，實際上都無法與公司董監(jiān)高相比，在客觀條件受限的情況下倡導提高獨立董事法律責任存在一定問題。我國《公司法》欠缺對勤勉或注意義務的制度化建構，二者本身是一個不確定法律概念，內涵外延都有待明確?！秱€人信息保護法》雖然已頒布實施，但是為時尚短仍需實踐，不少具體規(guī)則也仍在探索之中，極有可能造成權責畸輕畸重。

五、結語：合規(guī)監(jiān)督的模式選擇

根據(jù)上文分析可知，第三方獨立機構方案欠缺獨立性，不具有比較優(yōu)勢，無法承載《個人信息保護法》第58條第1項的功能期待，因此該方案應該被否定舍棄。管理監(jiān)督型獨立機構方案可以實現(xiàn)對經(jīng)理層和業(yè)務部門的日常監(jiān)督，但無法解決獨立機構對誰負責的問題，由于難以介入董事會決策，始終面臨企業(yè)合規(guī)動力不足的問題。決策監(jiān)督型獨立機構方案，雖然實現(xiàn)了對企業(yè)管理層的全面監(jiān)督，但是容易發(fā)生利益沖突，日常情況下難以區(qū)分不同利益訴求，受制于法律義務規(guī)定模糊，容易承擔過重的法律責任。由此可見，無論是管理監(jiān)督型獨立機構方案，還是決策監(jiān)督型獨立機構方案，都存在合理之處與固有弊端。能否通過制度安排揚長避短呢？超大型平臺侵犯個人信息具有隱蔽性，宏觀決策、中觀執(zhí)行和微觀操作都需要進行有效合規(guī)和必要監(jiān)督。兩種監(jiān)督方案都屬于合規(guī)監(jiān)督的具體類型，只能在各自的制度場景下合理運行，無法通過一種模式解決所有問題，需要明確兩種方案所屬的合規(guī)監(jiān)督模式。

根據(jù)已有文獻研究，管理監(jiān)督型獨立機構方案應屬于“日常性合規(guī)管理模式”的具體展開，該模式是指“企業(yè)在沒有違法、違規(guī)或者犯罪的情況下，根據(jù)常態(tài)化的合規(guī)風險評估結果，為防范企業(yè)潛在的合規(guī)風險，開展合規(guī)管理體系建設”(54)陳瑞華：《有效合規(guī)管理的兩種模式》，載《法制與社會發(fā)展》2022年第2期，第6頁。。這種合規(guī)監(jiān)督模式關注日常管理和風險預防，獨立機構主要監(jiān)督業(yè)務部門實際運作和搭建完整合規(guī)體系，在企業(yè)沒有出現(xiàn)重大安全風險和受到法律制裁時，只需對董事會負責即可，顯然無需任何決定和認定都向主管部門報告。決策監(jiān)督型獨立機構方案應屬于“危機性合規(guī)整改模式”，該模式是指“企業(yè)在面臨行政執(zhí)法調查、刑事追訴或者國際組織制裁的情況下，針對自身在經(jīng)營模式、管理方式、決策機制等方面存在的漏洞和隱患，進行有針對性的制度修復和錯誤糾正”(55)前引〔54〕，陳瑞華文，第6頁。。在此種模式下，該方案的問題可迎刃而解。為指導涉事企業(yè)有針對性進行合規(guī)整改，執(zhí)法機構可選派政府工作人員或法律專家擔任企業(yè)獨立董事，此時仍處于危機應對階段，因此各方利益訴求相對清晰，實現(xiàn)企業(yè)合規(guī)和恢復正常經(jīng)營是多方主體的最大利益公約數(shù)。根據(jù)執(zhí)法機構出具的合規(guī)整改意見，獨立董事的監(jiān)督義務明確，由此承擔不合比例法律責任的情形很難出現(xiàn)。同時，獨立機構的監(jiān)督對象是整個企業(yè)管理層，外部監(jiān)督直接介入企業(yè)運行，此時獨立董事向主管部門匯報整改情況，在法律上也并不存在解釋障礙。綜上所述，管理監(jiān)督型獨立機構方案適用于日常性合規(guī)管理模式，決策監(jiān)督型獨立機構方案適用于危機性合規(guī)整改模式。在區(qū)分日常管理和危機應對兩種合規(guī)監(jiān)督場景下，兩種方案的制度優(yōu)勢可以最大程度發(fā)揮，而制度劣勢可以相對減弱。