周瑞玨

（北京航空航天大學 法學院，北京 100083）

一、問題的提出

在信息社會中，數(shù)據(jù)已然成為全行業(yè)的“戰(zhàn)略資源”，大數(shù)據(jù)、云計算、人工智能等技術(shù)將“世界的真相”以數(shù)字的形式呈現(xiàn)于人們的眼前。然而，現(xiàn)有的社會運行模式難以完全承載技術(shù)跨越式的變革，社會因數(shù)據(jù)價值的解放而革新，也因數(shù)據(jù)的無序狀態(tài)而被迫承擔不同以往的監(jiān)管難題。在實踐中，數(shù)據(jù)引發(fā)的實踐問題除了數(shù)據(jù)泄露、數(shù)據(jù)竊取、數(shù)據(jù)濫用等問題之外，因數(shù)據(jù)完整性、準確性引發(fā)的數(shù)據(jù)偏見等數(shù)據(jù)理論問題亦是需要學者們正視的“頑疾”。從數(shù)據(jù)安全到數(shù)據(jù)正義①英國數(shù)據(jù)正義研究室（Data Justice Lab）將“數(shù)據(jù)正義”解釋為數(shù)據(jù)處理方式非扁平式的“社會分類”功能，創(chuàng)造了新的公民類別，引發(fā)了一系列社會正義和數(shù)據(jù)流動的問題。參見https://datajusticelab.org/ .，與數(shù)據(jù)相關的諸多法律議題雖形式或內(nèi)容有所差別，但本質(zhì)上共同指向一個問題——如何構(gòu)建有關數(shù)據(jù)使用的法律秩序。這種法律秩序表現(xiàn)為網(wǎng)絡空間中維持數(shù)據(jù)自由流動的同時，權(quán)利主體的利益得以被尊重和保護。數(shù)據(jù)法律制度的構(gòu)建終究不是法律文本層面的“即興創(chuàng)作”，產(chǎn)業(yè)實踐發(fā)展的現(xiàn)狀與需求才是制度構(gòu)建的方向指引。

為了實現(xiàn)良性的數(shù)據(jù)治理格局，國內(nèi)學者大多以個人數(shù)據(jù)安全為核心，以“個人信息自決”為基本原則，試圖構(gòu)建符合我國產(chǎn)業(yè)實踐的數(shù)據(jù)權(quán)利體系。清晰的數(shù)據(jù)權(quán)利體系關系到數(shù)據(jù)主體、數(shù)據(jù)控制者之間法律關系的厘清以及名為“安全”的法律秩序形成，在此層面，數(shù)據(jù)安全的實現(xiàn)實際上就是數(shù)據(jù)權(quán)利的保護。關于數(shù)據(jù)權(quán)利的具體內(nèi)容，學者們的觀點大致可分為兩種類型。一種觀點是從客體論的角度分析數(shù)據(jù)的法律屬性，并在此基礎上創(chuàng)設新型的數(shù)據(jù)主體權(quán)利?；?qū)ⅰ靶畔ⅰ币暈椤皵?shù)據(jù)”的具體內(nèi)容[1]，或?qū)ⅰ靶畔ⅰ焙汀皵?shù)據(jù)”兩個概念視為同一討論對象[2]，對“數(shù)據(jù)”或“信息”法律屬性的不同認定，使得數(shù)據(jù)權(quán)利的創(chuàng)設分流于人格權(quán)和財產(chǎn)權(quán)兩種路徑。另一種觀點則是以數(shù)據(jù)產(chǎn)業(yè)的發(fā)展為導向，以歐盟GDPR等國外制度經(jīng)驗為借鑒藍本，創(chuàng)設不同于傳統(tǒng)民事權(quán)利類型的新型數(shù)據(jù)權(quán)利，諸如訪問權(quán)、反對權(quán)、限制處理權(quán)等。誠然，數(shù)據(jù)權(quán)利體系的構(gòu)建能夠打破現(xiàn)有數(shù)據(jù)使用規(guī)范不足的僵局，但過度強調(diào)數(shù)據(jù)權(quán)利本身難免會忽略權(quán)利實現(xiàn)過程中數(shù)據(jù)控制者的作用。從數(shù)據(jù)主體與數(shù)據(jù)控制者之間債的關系觀之，債權(quán)的實現(xiàn)始終需要以債務人的行為為起點，數(shù)據(jù)控制者作為數(shù)據(jù)的實際“掌控者”，權(quán)利的實現(xiàn)仍離不開數(shù)據(jù)控制者相應的數(shù)據(jù)合規(guī)行為。此外，數(shù)據(jù)處理的實踐中，個人數(shù)據(jù)往往會與其他類型的數(shù)據(jù)相互交織，在現(xiàn)有的研究中，對法律所保護的“數(shù)據(jù)”范圍尚無定論，數(shù)據(jù)權(quán)利在形成數(shù)據(jù)流動的法律秩序的過程中作用著實優(yōu)先。因而，不妨從權(quán)利義務匹配的思路中回到以“債務人為起點”的框架下，考慮是否存在其他實現(xiàn)數(shù)據(jù)治理目標的規(guī)范路徑，既能夠滿足數(shù)據(jù)權(quán)利實踐需求，又能夠承載超越現(xiàn)有法律規(guī)則之外數(shù)據(jù)治理內(nèi)容？

二、公司社會責任的理論基礎和內(nèi)涵延伸

數(shù)據(jù)治理的過程是以數(shù)據(jù)安全為基礎，其目標是實現(xiàn)兼容數(shù)據(jù)自由流動和數(shù)據(jù)權(quán)益保護的法律秩序。數(shù)據(jù)治理不同于傳統(tǒng)社會治理思路，數(shù)據(jù)處理行為的事前合規(guī)遠比事后政府部門監(jiān)管重要，數(shù)據(jù)泄露、數(shù)據(jù)竊取等安全問題不具有可逆性，復制成本低廉、傳播速度快、違法行為隱蔽等特征使得數(shù)據(jù)主體難以通過事后救濟的方式從根本上“回復”數(shù)據(jù)權(quán)益的原始狀態(tài)。此時，作為數(shù)據(jù)處理行為起點的數(shù)據(jù)控制者理應視為數(shù)據(jù)治理的重要參與主體。無論是出于個人數(shù)據(jù)安全的保護，還是商業(yè)數(shù)據(jù)、敏感數(shù)據(jù)的保護，數(shù)據(jù)控制者承擔著數(shù)據(jù)治理的“重要使命”，這種“社會責任”橫跨法律和道德兩個層面，與傳統(tǒng)商法理論中的“公司社會責任”有著天然的契合性。并且，在網(wǎng)絡空間成為當下社會越發(fā)依賴的“第五空間”之后，“公司社會責任”的內(nèi)涵自然也有所延伸，非以現(xiàn)實社會為限，網(wǎng)絡社會亦是以公司形式存在的數(shù)據(jù)控制者存在基礎。

（一）公司社會責任的理論基礎和制度價值

國內(nèi)關于公司社會責任的研究中對概念界定雖有不同，但基本都認可其是對公司追求利潤最大化的否定，在經(jīng)營過程中應當兼顧諸如環(huán)境問題、產(chǎn)品責任問題、消費者保護等其他社會目標。對公司社會責任的規(guī)范性研究中，著重論證公司承擔社會責任的正當性基礎以及如何將公司的經(jīng)濟目標與社會目標進行統(tǒng)一。

公司社會責任的研究視角大致可分為三類：（1）從法律與道德的關系出發(fā)，試圖論證“引道入法”的可行性與必要性。有學者指出，概念外延所包含的具體責任是以法律關系為基礎，公司社會責任首先應當是法律責任，而公司責任集體化的法律總結(jié)在早期往往表現(xiàn)為道德責任，在文明演進過程中逐漸成為具有社會共同理性的規(guī)范內(nèi)容，也就是所謂的“道德責任法律化”。[3]法律責任之后產(chǎn)生的道德責任隨著社會變革也會成為新的法律責任，這種循環(huán)往復的過程恰是證明公司社會責任內(nèi)容的二重性，即兼有法律屬性和道德屬性。（2）以公司法的角度出發(fā)，尋求在現(xiàn)代化公司治理的框架下構(gòu)建公司社會責任理論，分析公司法和公司社會責任的關系?；蛞韵嚓P利益者理論為理論支撐，將對調(diào)整公司與股東及其他利益相關者的利益關系，維護利益結(jié)構(gòu)的平衡納入董事勤勉義務的范疇之中；[4]從公司法人否定的角度，對公司法人格否認訴求主體的范圍提出質(zhì)疑，認為主體范圍還應當債權(quán)人以外的其他相關利益者，當為強化公司社會責任的最佳途徑。[5]或從立法規(guī)范的角度，強調(diào)公司社會責任與《公司法》價值導向的相適性，在實施層面，將股東（大）會、董事會和監(jiān)事會的主體職責作新的理解。[6]（3）以其他學科的研究范式為研究工具，試圖在規(guī)范研究與實證研究之間構(gòu)建理論橋梁。例如，以卡羅爾的公司社會責任四層次說為基礎，結(jié)合法律規(guī)范效力的不同層級，提出公司基本社會責任（法律責任）、公司必要社會責任（經(jīng)濟責任）、更高層次的公司社會責任（狹義社會責任），并以強制性規(guī)范、任意性規(guī)范、促進性規(guī)范一一對應，設想公司社會責任的制度框架。①英國數(shù)據(jù)正義研究室（Data Justice Lab）將“數(shù)據(jù)正義”解釋為數(shù)據(jù)處理方式非扁平式的“社會分類”功能，創(chuàng)造了新的公民類別，引發(fā)了一系列社會正義和數(shù)據(jù)流動的問題。參見https://datajusticelab.org/.

公司社會責任的理念興起于工業(yè)化進程中的美國，從最初局限于慈善行為的狹隘理解到當下對公司“社會公民”主體身份的思考，美國的學者們似乎一直在為公司社會責任尋求理論支撐，這與概念本身復雜的學科交叉內(nèi)容無不相關。目前的研究重心表現(xiàn)為架構(gòu)最佳利益權(quán)衡方案，具體模式可分為“利益一致模式（constituency mode）”②“constituency”和“stakeholder”含義有所區(qū)別，前者強調(diào)的是共同利益，后者強調(diào)的是存在相關的利益。和“可持續(xù)性發(fā)展模式（sustainability model）”。

在“利益一致”模式中，公司被視為由不同利益需求的團體③這些利益主體包括高級管理人員、股東、雇員、債權(quán)人、消費者以及公司所在社區(qū)等。的集合體，但是彼此之間存在共同的利益。若按照嚴格的“股東利益最大化”理論，在“零和博弈”④“零和博弈”是博弈論的一個概念，屬非合作博弈。零和博弈表示所有博弈方的利益之和為零或一個常數(shù)，即一方有所得，其他方必有所失。在零和博弈中，博弈各方是不合作的。條件下，勢必會給非股東的利益一致團體增加成本，因此，該模式下對此加以否定，要求管理層需要放棄部分利益的追求，轉(zhuǎn)向“最佳”利益的追求；同時，由于對“零和博弈”的默認，支持者拒絕以非股東群體自身的合同談判能力作為利益調(diào)整“籌碼”⑤這里的“籌碼”是指不同主體根據(jù)自己與公司的聯(lián)系程度來影響管理者作出何種決策。，堅持以道德責任解釋管理者的職責。

在“可持續(xù)性發(fā)展”模式中，否認“零和博弈”的存在，轉(zhuǎn)而接受了新的觀點，即公司的長期可持續(xù)性在一定程度上取決于關鍵利益相關者的長期生存能力。[7]論證思路表現(xiàn)為雖然短期成本高昂，但是未來的長期投資回報恰能證明公司社會責任的目標。當這種短期成本投入是以成本效益模型為基礎，可能無法達到公司社會責任的內(nèi)在要求，對非股東利益的考量實質(zhì)上仍以股東的長期利益為尺度。然而，該種模式下，股東可能會因為短時間內(nèi)公司業(yè)績不佳而減少投資，公司長期存在獲利的目標可能僅是個“空頭支票”。

至于與中國國情相類似的印度，出于國內(nèi)經(jīng)濟的發(fā)展以及避免公司社會責任成為自身發(fā)展的束縛，近年來越發(fā)重視公司社會責任的研究。

印度的公司社會責任也經(jīng)歷了從傳統(tǒng)慈善活動到與商業(yè)戰(zhàn)略統(tǒng)合一致的發(fā)展歷程⑥（1）第一階段（1850～1914）公司社會責任活動主要是在公司正常業(yè)務之外進行的，包括向寺廟和其他基于社會和環(huán)境的福利事業(yè)捐款；（2）第二階段（1914～1960）受到“托管理論”的影響，其目的是通過改革方案鞏固和擴大社會發(fā)展，特別是廢除賤民制度、賦予婦女權(quán)力和發(fā)展農(nóng)村地區(qū)；（3）第三階段（1960～1980）“混合經(jīng)濟”得到發(fā)展，在很大程度上采取了對商業(yè)活動進行法律監(jiān)管和促進公共事業(yè)的形式來實現(xiàn)公司社會責任；（4）第四階段（1980年～至今），既包含傳統(tǒng)的慈善活動，也包含將公司社會責任與可持續(xù)商業(yè)戰(zhàn)略目標一體化。參見Sharmila Raman,Corporate Social Responsibility - An Evaluation, 7 NUALS L.J. 112 (2013).，其特點是以當?shù)厣鐓^(qū)發(fā)展為行動導向，在衛(wèi)生和環(huán)境領域尤為突出，商業(yè)活動與民間社會組織缺乏互動。印度在《公司治理自愿性指引（2009）》中意圖將社會責任融入商業(yè)目標中，確立六個核心要素。⑦六項核心要素：（1）關心所有利益相關者——包括股東、員工、客戶、供應商、受項目影響的人、整個社會；（2）道德的功能；（3）尊重工人的權(quán)利和福利；（4）尊重人權(quán)；（5）尊重環(huán)境；（6）促進社會和包容性發(fā)展的活動。參見http://www.mca.gov.in/Ministry/latestnews/CG_Voluntary_Guidelines_2009_24dec2009.pdf Ministry of Corporate Affairs Government of India.隨后，在2011年的《關于公司社會、環(huán)境和經(jīng)濟責任的國家自愿準則中確立九項基礎原則⑧九項基本原則為：（1）公司應該以道德、透明度和問責制規(guī)范自己；（2）公司應提供安全的產(chǎn)品及服務，并在其生命周期內(nèi)促進可持續(xù)發(fā)展；（3）公司應促進所有雇員的福祉；（4）公司應尊重所有利益相關者的利益，并對他們作出回應，特別是弱勢、弱勢及邊緣化的利益相關者；（5）公司應尊重和促進人權(quán)；（6）公司應尊重、保護和努力恢復環(huán)境；（7）公司在影響公眾及規(guī)管政策時，應以負責任的態(tài)度行事；（8）公司應支持包容性增長和公平發(fā)展；（9）公司應以負責任的態(tài)度與客戶、消費者接觸，并為他們提供相應的價值。參見http://www.mca.gov.in/Ministry/latestnews/National_Voluntary_Guidelines_2011_12jul2011.pdf Ministry of Corporate Affairs Government of India.，以引導性規(guī)范確立相關利益者利益在公司發(fā)展中的合法性地位。在2013年《公司法》第一百三十五條中①原文規(guī)定如下：（1）在任何財政年度內(nèi)，公司的凈資產(chǎn)達到500盧比及以上或營業(yè)額達到1000億盧比及以上、或凈利潤達到5億盧比及以上，應當設有三名或三名以上的董事組成的公司社會責任委員會，其中，至少應當有一名董事為獨立董事。（2）第134條第（3）款下的董事會報告應披露公司社會責任委員會的組成。（3）公司社會責任委員會——（a）制訂并向董事會建議公司社會責任政策，該政策應指明公司應按照附表七的規(guī)定進行的活動；（b）建議將用于第（a）款所述活動的開支數(shù)額和（c）實時監(jiān)察公司的公司社會責任政策。（4）第（1）款所述公司的董事會應當：（a）在考慮公司社會責任委員會的建議后，批準公司的公司社會責任政策，并在其報告中披露該政策的內(nèi)容，并以可能規(guī)定的方式將該政策放在公司網(wǎng)站（如果存在的話）；以及（b）確保公司的公司社會責任政策所包含的活動由公司進行。（5）第（1）款所提及的公司董事會，應確保公司在每一個財政年度內(nèi)，按照其公司社會責任政策，至少將公司在前三個財政年度的平均凈利潤的2%用于以下方面：但公司應優(yōu)先將指定用于公司社會責任活動的款項用于當?shù)睾推渌诘貐^(qū)；此外，如果公司未支出該款項，董事會應在其根據(jù)第134條第（3）款第（o）款所作的報告中說明不支出該款項的理由。釋義——本條中“平均凈利潤”應按照第198條的規(guī)定計算。參見http://www.mca.gov.in/Ministry/pdf/CompaniesAc2013.pdf.，以強行性規(guī)范明確公司必須承擔社會責任，諸如部分公司需要將凈利潤的2%用于CSR，但缺乏相應的刑罰規(guī)定，容易被公司規(guī)避。此外，該法并未按照以往將“除了公司的利益和公司所要求的之外，有可能促進社會公益的行為”定義為公司社會責任，而是通過附錄七列舉具體的行為。究其原因，印度學界缺乏普遍接受的定義，同時也未能解釋清楚CSR效益與公司盈利能力之間的關系。[8]然而，印度《公司法》中強制性規(guī)定將公司社會責任狹隘地理解為一種“支出”，利他性的制度改革必然會給公司自身帶來不必要的制度成本。

（二）數(shù)據(jù)治理語境下公司社會責任內(nèi)涵的延伸

回歸公司社會責任的起源，早在工業(yè)時代，社會問題的尖銳化就已經(jīng)促使學者們開始為公司社會責任尋找“安身立命”之處[9]，將公司與社會之間的關系擬構(gòu)為某種特殊的契約關系。②有意思的是，公司社會責任的理論支撐“相關利益者理論”建立的基礎正是股東利益至上的理論基礎，即契約理論和產(chǎn)權(quán)理論。有學者總結(jié)道，相關利益者理論的支持者們矮化了股東價值最大化理論賴以為基礎的委托代理關系，將其看成只是相關利益者代理關系的一個類別；而在產(chǎn)權(quán)理論方面，支持者們則認為產(chǎn)權(quán)的根本在于人權(quán)，股東的產(chǎn)權(quán)需受到人權(quán)的限制，同時，產(chǎn)權(quán)的定義不能是狹隘的，多元化的“分配正義”正好與公司相關利益者契合。參見沈洪濤，沈益峰. 公司社會責任思想起源與演變[M]. 上海：上海人民出版社，2007，179-182.這種契約關系更多地表現(xiàn)為經(jīng)濟利益關系，但卻難以釋明公司為何承擔非經(jīng)濟內(nèi)容的社會責任。因而，有學者借助團隊生產(chǎn)理論，在“社群公司”的理論框架內(nèi)解釋公司社會責任，相較于契約主義者，他們強調(diào)了公司社會活動的廣泛效應，公司不僅僅是私人合同的集合體，同樣還具有強大的公共影響[9]，研究的重心轉(zhuǎn)移到股東與非股東利益沖突的場所——社會。但是，作為理論基礎的“團隊生產(chǎn)理論”，研究對象是以“團隊”為界限的小社群[10]，對于公司社會責任的解釋還停留于雇主與雇員之間的關系。

當然，“社群公司”存在理論缺陷，但是，在解釋公司與社會關系時，“社群公司”既具有經(jīng)濟層面的活動，也具有政治和社會層面的活動，自然而然，也就為公司社會責任提供了理論支撐?！爱斊跫s主義在自由和競爭的價值觀中找到其合法性時，社群主義者則強調(diào)正義和合作”[11]，“契約公司”強調(diào)了實現(xiàn)公司獲取經(jīng)濟利益的管理手段，“社群公司”則突出了“責任”。

遵循“社群公司”的思路，如果將研究對象從“小社群”擴展至“大社群”是否能將外部主體與公司內(nèi)部聯(lián)系在一起，實現(xiàn)公司社會責任的自我證成？追根溯源，團隊生產(chǎn)理論的提出是為了回應“契約公司”理論中的論點缺陷，即將公司管理者視為公司資產(chǎn)的有效受托人是不準確的，因為股東很難實現(xiàn)對管理者的控制。[12]事實上，公司管理者關注的是廣泛成員（股東和非股東）權(quán)益，而不是簡單減少公司管理權(quán)與所有權(quán)的分離，這種行為的考量在于“與自由主義不同的是，如果社會秩序的模式不是基于效用的，那么它就需要建立在共同利益的概念之上”③Sandel教授講“共同利益（common good）”理解為道德倫理層面的共同追求，是對創(chuàng)造更好社會的共同追求，而非經(jīng)濟利益的一致性。參見Michael Sandel, "Introduction" in Michael Sandel, ed, Liberalism and its Critics (Oxford;Basil Blackwell, 1984).，簡言之，“社群公司”與“共同利益”內(nèi)在邏輯一致。在這個邏輯下，置于網(wǎng)絡社會的語境下，將研究視角從“小社群”拓展至“大社群”也合乎邏輯，因為“小社群”本身也是嵌套在“大社群”之中，或者說，在網(wǎng)絡社會，各個“社群”的邊界模糊化，形成一個名為“網(wǎng)絡社群”的共同體，“社群”在塑造理想社會的目標上具有一致性，不同的僅是理想社會所能給予的具體利益。此外，“社群”范圍的變化也實現(xiàn)了社群主義與其他理論的銜接。在特許經(jīng)營理論中，某些特殊行業(yè)公司的權(quán)利只能通過國家賦予，作為“公共權(quán)力”倉庫的公司天然地承擔社會責任，這里的“大社群”范疇則是國家。因此，在踏出公司所有權(quán)與控制權(quán)爭議的沼澤之后，法律與道德要素的概括性理解成為公司社會責任連通網(wǎng)絡社會的制度橋梁。

從現(xiàn)實社會到網(wǎng)絡社會，公司的“社會地位”的變化，以“數(shù)據(jù)”為媒介的社會關系促使公司必須正面回應其在網(wǎng)絡社會中的“社會角色”。公司獲得來自于網(wǎng)絡社會的數(shù)據(jù)，并轉(zhuǎn)化為公司經(jīng)濟效益的一部分，在這過程中，數(shù)據(jù)并未因公司的數(shù)據(jù)處理行為而完全擺脫其內(nèi)在的社會屬性。數(shù)據(jù)的社會屬性和私益屬性將數(shù)據(jù)治理劃分為兩層內(nèi)容，一是公司針對其擁有的數(shù)據(jù)設定商業(yè)價值挖掘和數(shù)據(jù)收集維度擴張的基準線，使得公司能夠?qū)崿F(xiàn)數(shù)據(jù)經(jīng)濟效益的最大化；二是公司設定有關數(shù)據(jù)收集、使用、存儲、刪除、流動等處理行為標準，盡可能降低出現(xiàn)數(shù)據(jù)安全風險，亦是公司經(jīng)濟效益的另一種表現(xiàn)形式。數(shù)據(jù)治理可以被理解為數(shù)據(jù)從混亂無序的狀態(tài)向有序狀態(tài)的優(yōu)化過程，公司通過技術(shù)將法律以及法律背后的社會價值觀鑲嵌到商業(yè)活動。這種包含經(jīng)濟效益和社會效益的數(shù)據(jù)治理需求與網(wǎng)絡空間中的公司社會責任具有天然的契合性，網(wǎng)絡社會所衍生的數(shù)據(jù)治理責任成為公司社會責任組成部分并不會缺乏正當性基礎。在實踐中，公司社會責任多以實體性的勞動者權(quán)益、環(huán)境保護、社會公益等內(nèi)容作為公司年度履行社會責任報告的重要指標，而在網(wǎng)絡社會中，公司社會責任的作用對象延伸至整個社會最底層的驅(qū)動力——數(shù)據(jù)。然而，數(shù)據(jù)真正的價值通過不同形式的關聯(lián)性得以真正顯現(xiàn)，數(shù)據(jù)本身是各方主體利益的混合物，對其進行類型化的完全分割不切實際，數(shù)據(jù)治理語境下的公司社會責任（為了表述簡潔，下文將此簡稱為“公司數(shù)據(jù)責任”）從來都不是單純的公司義務或者道德性內(nèi)容，而是兩者交叉重疊形成的“綜合體”。

三、公司數(shù)據(jù)責任的基本內(nèi)涵和功能化分類

（一）公司數(shù)據(jù)責任的基本內(nèi)涵

為了厘清公司社會責任的法律屬性和道德屬性，學者們在解釋公司社會責任的具體內(nèi)容時通常遵循著將法律義務與社會義務相互分離的思路，始終未能擺脫分類過程時標準模糊性的弊端，在法律與道德的關系范疇中來回“兜圈”。公司社會責任追根究底是公司作為社會成員所應當承擔的法律義務和社會義務，再精細化的劃分也無法徹底切斷兩類義務之間千絲萬縷的聯(lián)系，也無法解釋社會義務部分內(nèi)容在相關問題類型化之后轉(zhuǎn)化為法律義務的過程。既然傳統(tǒng)的類型劃分存在如此“頑癥”，倒不如從創(chuàng)設不同效力規(guī)范的道路上撤離，回歸公司社會責任的“誕生之地”——社會。在構(gòu)筑公司社會責任的基本內(nèi)涵時，首先需要考慮的不是對其進行層次性的效力劃分，而是以公司所處的社會環(huán)境為出發(fā)點，確定公司社會責任的基本內(nèi)涵。在承載數(shù)據(jù)治理內(nèi)容之后，公司社會責任具化為數(shù)據(jù)責任，該責任的確立是以公司在數(shù)據(jù)治理的基礎性地位為基礎，公司從網(wǎng)絡社會中獲取商業(yè)數(shù)據(jù)并成為數(shù)據(jù)控制者，理應有義務參與不同維度的數(shù)據(jù)治理。該種數(shù)據(jù)責任內(nèi)涵的解釋應當以公司所處網(wǎng)絡社群的法律權(quán)利和基本期望為邊界，若以公司的利益相關方劃分，公司數(shù)據(jù)責任的承擔需要考慮到用戶（消費者）和股東、數(shù)據(jù)行業(yè)相關方、網(wǎng)絡社會三類利主體的利益。

在傳統(tǒng)公司社會責任理論框架中，消費者和股東往往被視為利益沖突的兩類主體，原因在于公司管理層為了實現(xiàn)對消費者的社會責任通常會以支付額外成本為前提，未履行對股東的忠實義務。即便以公司的長期效益為解釋公司管理層的正當性，但卻難以適用于非理性的股東對于利潤的追求。造成這一問題的原因并不是股東與消費者的“天生對立”，而在于將公司社會責任置于純粹經(jīng)濟效益的框架之下，忽視了公司作為“社會公民”的法律義務。在網(wǎng)絡社會，用戶和股東的權(quán)益并非完全對立，而是在數(shù)據(jù)產(chǎn)品和服務的質(zhì)量上達成共存。數(shù)據(jù)安全已經(jīng)成為用戶進行產(chǎn)品和服務選擇的重要判斷標準，管理層在數(shù)據(jù)責任的額外支出會以間接的形式轉(zhuǎn)化為現(xiàn)有經(jīng)濟效益。

對于用戶和股東而言，公司的數(shù)據(jù)責任內(nèi)涵表現(xiàn)為數(shù)據(jù)產(chǎn)品和服務的可靠性，即所提供的數(shù)據(jù)產(chǎn)品和服務能夠?qū)崿F(xiàn)基本的數(shù)據(jù)安全，不至于頻繁發(fā)生大規(guī)模的用戶個人數(shù)據(jù)泄露（針對金融類賬戶的要求可能更高）。與公司社會責任中消費者權(quán)益保護的內(nèi)容不同，公司對用戶的數(shù)據(jù)責任不單單僅限于產(chǎn)品和服務本身，還包括數(shù)據(jù)安全和數(shù)據(jù)倫理。新技術(shù)的外部性加劇的數(shù)據(jù)安全風險[13]，面對DOS攻擊、非法訪問、惡意數(shù)據(jù)抓取等復雜的網(wǎng)絡安全態(tài)勢，即便創(chuàng)設新型數(shù)據(jù)權(quán)利，用戶也難以在事前及時對潛伏隱蔽的網(wǎng)絡安全問題作出正確的“權(quán)利響應”。從數(shù)據(jù)權(quán)益的實施效果來看，公司的數(shù)據(jù)責任集中于事前的數(shù)據(jù)安全風險防范，將公司社會責任“嵌入”代碼設計過程中，實現(xiàn)用戶數(shù)據(jù)安全需求和股東效益需求的雙贏局面。

在數(shù)據(jù)行業(yè)方面，先前的數(shù)據(jù)保護多局限于公司與用戶之間，卻忽視對同行業(yè)數(shù)據(jù)控制者之間的數(shù)據(jù)業(yè)務聯(lián)系，在數(shù)據(jù)共享和數(shù)據(jù)流動環(huán)節(jié)中只關注自身范圍內(nèi)數(shù)據(jù)安全保障制度的構(gòu)建，未將數(shù)據(jù)接收方的數(shù)據(jù)安全級別納入考慮范圍之內(nèi)。所以，公司在數(shù)據(jù)行業(yè)的數(shù)據(jù)責任的內(nèi)涵可以理解為公司應當主動參與行業(yè)內(nèi)數(shù)據(jù)安全標準的擬定和遵守。數(shù)據(jù)安全之所以成為法律規(guī)制的難題之一就在于網(wǎng)絡社會的無邊界性，監(jiān)管者無法設立“監(jiān)管閘口”限制數(shù)據(jù)流動的數(shù)量和方向，其監(jiān)管制度的設計路徑之一應當以公司的數(shù)據(jù)處理行為標準化為重點。這種標準化意味著用戶、監(jiān)管者以及其他網(wǎng)絡社群主體得以通過公司數(shù)據(jù)處理行為是否與數(shù)據(jù)行業(yè)“通行做法”或“最佳實踐”是否一致來判斷公司是否履行公司數(shù)據(jù)責任。此外，數(shù)據(jù)處理商業(yè)模式的更迭對法律回應數(shù)據(jù)安全實踐問題提出了更高的要求，囿于固定的數(shù)據(jù)處理模式而創(chuàng)設的數(shù)據(jù)安全保護會成為數(shù)據(jù)流動的桎梏，數(shù)據(jù)行業(yè)責任的確定則能夠在新型商業(yè)模式成熟之前就對數(shù)據(jù)處理行為進行“事前調(diào)整”。

在網(wǎng)絡社會層面，公司數(shù)據(jù)責任則以數(shù)據(jù)的社會公共利益為內(nèi)容，即公司使用數(shù)據(jù)的商業(yè)模式應當能夠推動網(wǎng)絡空間中數(shù)據(jù)法律秩序的形成，即便數(shù)據(jù)主體不采取任何措施，各類型的數(shù)據(jù)依然能夠保持“安全狀態(tài)”?；仡欁源髷?shù)據(jù)、云計算、深度學習等技術(shù)成熟之后的數(shù)據(jù)行業(yè)發(fā)展，數(shù)據(jù)如何推動產(chǎn)業(yè)的發(fā)展成為數(shù)據(jù)治理的核心議題，公司的數(shù)據(jù)社會責任更多的表現(xiàn)為社會責任、道德責任。具體而言，公司收集數(shù)據(jù)的行為應當與使用數(shù)據(jù)的社會作用合乎比例，而非以“掠奪式”收集用戶數(shù)據(jù)和社會公共數(shù)據(jù)的同時，侵害社會公眾利益。

（二）公司數(shù)據(jù)責任的功能導向的類型化

公司社會責任承載數(shù)據(jù)治理除了自身性質(zhì)難以界定之外，低水平的可塑性亦為學者們所詬病。換言之，在確定公司社會責任基本內(nèi)涵之后，在具體適用過程中缺乏明確的配套制度，對于其中道德部分的內(nèi)容難以通過強行性規(guī)范予以確認，若以任意性規(guī)范的形式予以規(guī)定，其法律效力難以確保公司確實遵循該規(guī)范內(nèi)容。在我國《公司法》中，對于“公司社會責任”的規(guī)定也寥寥無幾，更遑論對具體適用的規(guī)定。在網(wǎng)絡社會中，“公司社會責任”的適用方式非以強行性規(guī)范為主，依其數(shù)據(jù)責任的內(nèi)涵，表現(xiàn)為法律原則與道德內(nèi)容的綜合體。公司的數(shù)據(jù)責任實際上是以數(shù)據(jù)治理原則的形式適用于包括數(shù)據(jù)收集、加工、分析、使用、共享、存儲、刪除等在內(nèi)的各個環(huán)節(jié)，這與后GDPR時代下“經(jīng)設計的數(shù)據(jù)保護”理念相類似。同時，為了適應數(shù)據(jù)產(chǎn)業(yè)商業(yè)模式的更新?lián)Q代，避免新型數(shù)據(jù)處理行為的監(jiān)管制度缺位，是否履行公司數(shù)據(jù)責任可以作為判斷公司行為合規(guī)性與否的重要依據(jù)，并援用相關數(shù)據(jù)保護條款，確定懲罰性法律后果。

公司社會責任因其最基本的社會屬性而具有強制性，亦因其道德屬性而以自愿履行為前提，諸如產(chǎn)品質(zhì)量責任、勞動者權(quán)益保護等，社會責任最底層的部分因其內(nèi)含的法律價值理念而在實踐中逐漸轉(zhuǎn)變?yōu)榫唧w的強行性規(guī)范，而法律和道德難以分離的部分則依舊停留于任意性規(guī)范的范圍之內(nèi)。在網(wǎng)絡社會中，公司數(shù)據(jù)責任依其基本內(nèi)涵與產(chǎn)品責任、消費者保護等社會責任存在內(nèi)容重疊的部分，但自身亦存在較為獨立的制度體系，從用戶數(shù)據(jù)責任、數(shù)據(jù)產(chǎn)業(yè)責任到數(shù)據(jù)社會責任，數(shù)據(jù)治理始終以數(shù)據(jù)產(chǎn)業(yè)為導向，數(shù)據(jù)正義等倫理內(nèi)容開始從純粹的道德向法律規(guī)范轉(zhuǎn)變，商業(yè)習慣、行業(yè)自律的作用越發(fā)凸顯，傳統(tǒng)的“硬法—軟法”式的效力層級劃分路徑難以解決網(wǎng)絡社會的現(xiàn)實問題。公司數(shù)據(jù)責任的基本內(nèi)涵并不局限于以數(shù)據(jù)治理為目標的抽象內(nèi)容，還將具體的數(shù)據(jù)處理行為規(guī)范納入其中，這些具體規(guī)范和抽象內(nèi)容的劃分是以具體的數(shù)據(jù)權(quán)利為邊界。觀之數(shù)據(jù)權(quán)利創(chuàng)設的過程，法律所認定的數(shù)據(jù)利益是公司履行數(shù)據(jù)責任的目的之一，而具體權(quán)利的實現(xiàn)必然意味著公司法律義務的承擔，公司數(shù)據(jù)責任表現(xiàn)為具體法律規(guī)則與抽象數(shù)據(jù)治理原則的二分性。

公司數(shù)據(jù)責任的類型化是為了提供不同層次的適用路徑，傳統(tǒng)的效力層次劃分未能從實踐層面解決如何區(qū)分公司社會責任各層次的內(nèi)容，為避免按照傳統(tǒng)公司社會責任類型化導致的不具操作性、缺乏強制性等弊端，倒不如從功能性的角度出發(fā)，將公司數(shù)據(jù)責任劃分為數(shù)據(jù)治理原則、數(shù)據(jù)治理法律義務、數(shù)據(jù)行業(yè)習慣。①有學者主張規(guī)則導向下的企業(yè)社會責任劃分，將企業(yè)社會責任劃分為遵守法律條文的企業(yè)社會責任、遵守法律原則的企業(yè)社會責任、超越法律的企業(yè)社會責任，以此強化公司社會責任的可操作性。參見華憶昕. 企業(yè)社會責任的責任性質(zhì)與立法選擇[J]. 南京師大學報（社會科學版）, 2018,（6）: 115.此種“原則—義務（具體規(guī)則）—行業(yè)習慣（道德層面）”的階梯式劃分能夠提供不同維度的規(guī)范性指引。對于公司經(jīng)營者而言，“數(shù)據(jù)治理原則”是公司從事有關數(shù)據(jù)行業(yè)經(jīng)營活動的價值判斷準則，公司經(jīng)營者應當將其“嵌入”具體的經(jīng)濟策略之中，無論是運營業(yè)已成熟的商業(yè)模式，還是開發(fā)摸索新興的數(shù)據(jù)產(chǎn)品或服務；“數(shù)據(jù)治理法律義務”則是指在現(xiàn)行數(shù)據(jù)保護制度框架下公司所應當履行的強制性法律義務，對該義務的違背將直接導致公司承擔不利益的后果；“數(shù)據(jù)行業(yè)習慣”則是公司在現(xiàn)行法律規(guī)范未能及時響應數(shù)據(jù)產(chǎn)業(yè)創(chuàng)新時的行為準則，通過自律性質(zhì)的行業(yè)習慣引導公司自覺參與數(shù)據(jù)治理活動。對于監(jiān)管者而言，“數(shù)據(jù)治理法律義務”是具體的監(jiān)管規(guī)范，“數(shù)據(jù)治理原則”是基本的監(jiān)管策略，而“數(shù)據(jù)行業(yè)習慣”則是在難以對公司有關數(shù)據(jù)經(jīng)營活動進行定性時的參考依據(jù)。由此可見，這種功能性導向的劃分方式在一定程度上確實能夠構(gòu)建公司參與數(shù)據(jù)治理活動的基本制度框架，此外，各層面的責任內(nèi)容也確實增加了“公司社會責任”的可操作性。

具體而言，數(shù)據(jù)治理原則是由數(shù)據(jù)的透明性、完整性、時效性三個維度構(gòu)成，旨在為公司提供從事數(shù)據(jù)產(chǎn)業(yè)經(jīng)營活動時應當遵循的基本概念。所謂的“數(shù)據(jù)透明性原則”是指在數(shù)據(jù)處理的完整生命周期中，應當保證相關權(quán)利主體可以知悉數(shù)據(jù)所處狀態(tài)，包括數(shù)據(jù)的存儲期間、共享對象、基本用途等內(nèi)容，換言之，作為數(shù)據(jù)控制者的公司應當建立不同主體獲知數(shù)據(jù)動態(tài)的訪問渠道，此乃行使各類數(shù)據(jù)權(quán)利的起點和前提?！皵?shù)據(jù)完整性原則”則主要針對因數(shù)據(jù)的不完整性、不準確性可能造成的損害后果，公司應當確保用于進行商業(yè)活動的“數(shù)據(jù)原料”完整準確，避免因輸入端數(shù)據(jù)質(zhì)量問題而導致輸出端結(jié)果的不公正。此外，數(shù)據(jù)的商業(yè)價值和社會價值來源于數(shù)據(jù)質(zhì)量，既包括數(shù)據(jù)內(nèi)容的完整性，也包含數(shù)據(jù)的時效性，不同期間內(nèi)的數(shù)據(jù)內(nèi)容將直接影響到數(shù)據(jù)決策結(jié)果，這也是“數(shù)據(jù)時效性原則”所要解決的難題之一。除此之外，時效性原則還適用于數(shù)據(jù)存儲和刪除，對于超過使用期限的數(shù)據(jù)，公司應當確保存在徹底刪除該類數(shù)據(jù)的制度，在經(jīng)權(quán)利主體同意后及時刪除。

至于數(shù)據(jù)治理法律義務，則以法律規(guī)則的形式存在，雖未必與數(shù)據(jù)主體權(quán)利一一對應，但在數(shù)據(jù)治理內(nèi)容上具有同一性。由于數(shù)據(jù)處理行為的專業(yè)性、高效性以及法律權(quán)利本身的主動觸發(fā)性，數(shù)據(jù)主體難以及時對公司的數(shù)據(jù)處理行為作出反應。因而，將部分公司數(shù)據(jù)責任轉(zhuǎn)化為法律義務，一方面是為了明確履行公司社會責任的基準線，另一方面，將作為數(shù)據(jù)治理內(nèi)核的個人數(shù)據(jù)保護“啟動方式”由權(quán)利人自行選擇轉(zhuǎn)變?yōu)楣局鲃舆M行，避免數(shù)據(jù)主體主張權(quán)利的“滯后性”。

在法律原則和法律義務層面之外，數(shù)據(jù)行業(yè)習慣是公司履行社會責任的重要方式。從最初一鍵式注冊到如今的包含個人數(shù)據(jù)安全、隱私保護等內(nèi)容在內(nèi)的用戶協(xié)議，行業(yè)習慣的引導作用不可忽視。數(shù)據(jù)行業(yè)習慣的形成可以視為公司主動參與數(shù)據(jù)治理的過程，是社會責任道德內(nèi)容的承載體。雖然數(shù)據(jù)行業(yè)習慣不具有法律效力，但是網(wǎng)絡社會所促成的良性數(shù)據(jù)行業(yè)習慣能夠否認與之相悖的數(shù)據(jù)處理行為，公司拒絕承擔社會責任的“后果”以社會否認性評價的形式而存在。

四、嵌入式公司社會責任：以數(shù)據(jù)生命周期為坐標

在厘清公司社會責任內(nèi)涵與數(shù)據(jù)治理的關系之后，另一亟需解決的問題是如何增強公司社會責任在實踐過程中的可塑性，亦即創(chuàng)設何種制度保證數(shù)據(jù)責任嵌入公司的經(jīng)營活動中。在傳統(tǒng)公司社會責任的實施過程中，為了追求公司主動承擔社會責任的目標，學者嘗試通過與實際的經(jīng)濟效益掛鉤推動公司的積極性，這與公司社會責任的“社會出身”背向而行。在網(wǎng)絡社會中，公司承擔數(shù)據(jù)責任的基本路徑適宜借道“技術(shù)+法律”導向作為最終目的的實際經(jīng)濟效益，公司社會責任不能簡單與經(jīng)濟效益劃等號。唯有如此，公司真正主動參與數(shù)據(jù)治理之后，形成社會認可的數(shù)據(jù)處理商業(yè)模式，阻礙數(shù)據(jù)流動的籬墻才會被推倒，公司的經(jīng)濟利益需求也得到滿足。此外，

（一）國外制度實踐

立法不足以指導企業(yè)在數(shù)據(jù)產(chǎn)業(yè)所有領域的經(jīng)營活動，數(shù)據(jù)治理不單純是一個法學議題，用公司社會責任承載數(shù)據(jù)治理能夠?qū)⒎梢?guī)范與社會責任聯(lián)系在一起，這并非紙上談兵，國外已經(jīng)開始嘗試企業(yè)承擔數(shù)據(jù)責任的方式。東芝公司早在2014年的CSR報告中將個人數(shù)據(jù)保護和信息安全管理列為公司社會責任的重要內(nèi)容，將例如消費者信息、管理信息等在內(nèi)的所有信息視為公司的重要資產(chǎn)，并列入公司合規(guī)項目的最高級別。[14]東芝公司采取的信息安全措施包括四類：（1）構(gòu)建信息保護組織結(jié)構(gòu)和規(guī)章，并定期進行審查和修改；（2）確保公司員工遵守信息安全規(guī)章；（3）通過物理安全輔助信息安全規(guī)章實施（包括敏感信息的封鎖、設備訪問權(quán)限限制等）；（4）通過技術(shù)輔助信息安全規(guī)章實施。而在個人數(shù)據(jù)保護方面，東芝公司將消費者、員工、合同簽訂方的個人數(shù)據(jù)納入保護范圍，由風險管理部門總經(jīng)理作為首席隱私官，領導集團公司內(nèi)部個人數(shù)據(jù)保護體系。在發(fā)生個人數(shù)據(jù)泄露事件時，風險管理部門根據(jù)各部門的事件報告信息評估可能搏擊到的權(quán)利和利益。同樣地，在思科2015年的CSR報告中指出公司承諾每年編寫兩次數(shù)據(jù)透明度報告，包括從世界各地執(zhí)法機關和國家安全機構(gòu)收到的數(shù)據(jù)訪問請求，以此提高數(shù)據(jù)安全和隱私保護的透明度。[15]報告還提出“經(jīng)設計的數(shù)據(jù)安全”理念，將數(shù)據(jù)安全作為產(chǎn)品、服務和系統(tǒng)開發(fā)的核心組件，產(chǎn)品安全開發(fā)周期（設計、規(guī)劃、來源、使用、質(zhì)量、傳輸、維持、終止）[16]是可重復且可測量的流程，旨在提升產(chǎn)品遭受網(wǎng)絡攻擊時的彈性和可信賴性。國外有學者指出公司社會責任承載數(shù)據(jù)治理的正當性在于事前價值規(guī)劃是最有效的數(shù)據(jù)保護模式，公司在設計信息系統(tǒng)、應用程序和基礎設施之處就將數(shù)據(jù)治理的基本內(nèi)涵嵌入其中，以最小的經(jīng)濟成本實現(xiàn)最大效率地數(shù)據(jù)保護。[17]在美國，數(shù)據(jù)保護成為公司社會責任內(nèi)容的討論最初是從客戶隱私開始，卡羅爾曾指出網(wǎng)絡隱私權(quán)的保護是法律落后于倫理思想以及道德調(diào)整作用的領域[18]，之后隨著“企業(yè)公民”理論的興起，作為道德責任的信息隱私成為公司社會責任的新問題[19]，部分學者將消費者數(shù)據(jù)保護視為企業(yè)社會責任在信息領域的延伸，即便在企業(yè)社會責任的國際標準中（ISO26000）。[20]還有學者從實證角度的分析公司是否應當將信息隱私視為新型社會責任，指明部分公司將信息隱私認定為企業(yè)社會責任的道德動機，尋求用戶隱私利益保護和商業(yè)利益之間的平衡，部分信息隱私保護措施是為了履行法律責任，而不是道德責任。[21]總結(jié)而言，公司社會責任承載數(shù)據(jù)治理并非是立法者自上而下強加于公司，而是公司自發(fā)促成的趨勢，因為對于消費者而言，數(shù)據(jù)產(chǎn)品或服務的安全性已經(jīng)成為重要指標，公司的商業(yè)利益與數(shù)據(jù)治理捆綁在一起?！皵?shù)據(jù)”本身兼具經(jīng)濟屬性和社會屬性，關鍵數(shù)據(jù)成為公司的“隱形資產(chǎn)”，數(shù)據(jù)的完整性決定了公司的利潤和損失，公司的商譽或者受處罰結(jié)果取決于如何處理公司存儲的數(shù)據(jù)[22]，在此層面，數(shù)據(jù)保護與數(shù)據(jù)效益的一致性成為公司承擔法律層面和道德層面社會責任的動機。

比較國外有關數(shù)據(jù)治理的公司社會責任履行方式，大多都以用戶個人數(shù)據(jù)權(quán)利的保護為核心，但有關本行業(yè)的數(shù)據(jù)治理問題少有論述，忽視了公司社會責任的社會屬性。究其原因，拘泥于個人數(shù)據(jù)保護的法律義務，未能全面理解數(shù)據(jù)治理的內(nèi)容。網(wǎng)絡社會不存在絕對安全的保護措施，個人數(shù)據(jù)的保護統(tǒng)攝于網(wǎng)絡社群參與的數(shù)據(jù)治理之下。近年來，國外有關“經(jīng)設計的數(shù)據(jù)保護”（DPbB，Data Protection by Design）、“經(jīng)設計的隱私（DbP，Privacy by Design）”的討論實際上暗含了的基本思路是將人類的關鍵價值觀和法律規(guī)范嵌入到信息系統(tǒng)[23]13-17，這種“嵌套”實際上可以理解為將數(shù)據(jù)治理理念貫穿于數(shù)據(jù)生命周期的各個環(huán)節(jié)。不過，這些概念因其自身的模糊性而遭受質(zhì)疑，即便有學者將之闡述為某種實踐措施[24]，但仍要面臨這些概念如何寫入原生性代碼之中。在信息系統(tǒng)編寫設計過程中，算法和數(shù)字邏輯建構(gòu)的代碼需要清晰的語義，“經(jīng)設計的數(shù)據(jù)保護”等概念的嵌入似乎難以實現(xiàn)預期目標。如果將這種“嵌入式”理念移植于公司數(shù)據(jù)責任，借助數(shù)據(jù)治理原則、數(shù)據(jù)治理法律義務、數(shù)據(jù)行業(yè)習慣的規(guī)則導向，能夠?qū)⒊橄蟮囊?guī)范內(nèi)容具化為行為方式指引，在一定程度上強化公司社會責任自身的實用價值。

（二）嵌入式公司數(shù)據(jù)責任的構(gòu)建

在數(shù)據(jù)治理語境探討公司社會責任適用方式和適用方式時，需要以類型化的數(shù)據(jù)責任為基礎，盡管我國《公司法》尚未對公司社會責任的內(nèi)涵和適用方式作出細致規(guī)定，但不妨礙在數(shù)據(jù)治理領域，通過數(shù)據(jù)治理原則、數(shù)據(jù)治理法律義務以及數(shù)據(jù)行業(yè)習慣來解釋公司數(shù)據(jù)責任的適用問題。法律原則的抽象性并不直接適用于具體的數(shù)據(jù)處理行為，而是引導公司選擇合適的商業(yè)模式；作為強行性規(guī)范的法律義務是公司承擔社會責任最基礎的內(nèi)容，數(shù)據(jù)治理法律義務的存在既是數(shù)據(jù)主體行使權(quán)利的必然要求，也是公司獲取社會公共數(shù)據(jù)和個人數(shù)據(jù)所支付的“對價”；而數(shù)據(jù)行業(yè)習慣強調(diào)了公司承擔數(shù)據(jù)責任時需要關注數(shù)據(jù)行業(yè)和網(wǎng)絡社會運作，避免公司形成對數(shù)據(jù)責任片面的認知，將數(shù)據(jù)治理的社會要素與公司內(nèi)部數(shù)據(jù)保護的商業(yè)利益割裂開來。

不同于從公司與用戶對數(shù)據(jù)權(quán)屬爭議等研究視角，嵌入式公司社會責任制度更側(cè)重于通過對公司商事經(jīng)營活動的“規(guī)范性引導”來實現(xiàn)“事前的數(shù)據(jù)治理”。換言之，將公司社會責任以“數(shù)據(jù)治理理念”的形式融入公司商業(yè)數(shù)據(jù)處理活動中。具體而言，可以將數(shù)據(jù)處理的生命周期作為分界線，適用于數(shù)據(jù)收集、處理、刪除或存儲等各個環(huán)節(jié)。（1）在數(shù)據(jù)收集階段，“經(jīng)設計的數(shù)據(jù)保護”成為數(shù)據(jù)治理的主流趨勢，既涵蓋公司的產(chǎn)品研發(fā)環(huán)節(jié)，也包括向用戶收集數(shù)據(jù)的環(huán)節(jié)。一方面，雖然法律不能直接調(diào)整公司產(chǎn)品開發(fā)行為，但公司社會責任能夠?qū)Ξa(chǎn)品開發(fā)的方式予以干預，數(shù)據(jù)治理法律原則是公司從事數(shù)據(jù)產(chǎn)業(yè)的底線，技術(shù)中立并不能成為公司規(guī)避數(shù)據(jù)責任的借口，數(shù)據(jù)處理技術(shù)的應用始終離不開公司員工在設計階段的人為干預，這亦是公司承擔相應法律責任的依據(jù)。例如，算法歧視問題的出現(xiàn)很大程度上并不是算法不透明性導致，而是歸咎于算法代碼設計之初的“偏見”，公司忽視了設計階段所應當承擔的社會責任?，F(xiàn)實社會的數(shù)字化僅僅只是一個參考，而非完全真實地展現(xiàn)實踐情況，“經(jīng)設計的數(shù)據(jù)保護”的提出將數(shù)據(jù)產(chǎn)業(yè)的起點重新納入法律調(diào)整范圍。另一方面，互聯(lián)網(wǎng)公司往往在用戶協(xié)議以及用戶填寫相關信息時載明數(shù)據(jù)的使用目的和共享范圍，但這種格式條款通常并沒有為數(shù)據(jù)主體提供選擇的空間，不規(guī)范不合理的數(shù)據(jù)收集行為正是數(shù)據(jù)泄露等問題的濫觴之地。在公司社會責任的制度下，數(shù)據(jù)透明性成為公司進行用戶協(xié)議內(nèi)容擬定的參考標準，協(xié)議內(nèi)容的精細化、功能化是公司主動承擔社會責任的重要標志。（2）在數(shù)據(jù)處理階段，刪除權(quán)、更正權(quán)等數(shù)據(jù)主體權(quán)利對公司的數(shù)據(jù)加工、分析、共享等行為提出明確的要求，此時的公司承擔社會責任的方式則是建立數(shù)據(jù)主體提出權(quán)利請求的機制。例如，歐盟在GDPR中規(guī)定了訪問權(quán)，要求境內(nèi)公司要為用戶提供主張權(quán)利的便利渠道。此外，由于商業(yè)模式的創(chuàng)新，行業(yè)習慣是公司參與數(shù)據(jù)治理的重要方式之一，這關系到整個數(shù)據(jù)產(chǎn)業(yè)的發(fā)展方向。

結(jié)語

在扁平化的網(wǎng)絡社群結(jié)構(gòu)中，公司既從網(wǎng)絡社會中獲取海量數(shù)據(jù)，亦向網(wǎng)絡社會提供諸多個性化服務，數(shù)據(jù)已經(jīng)成為公司“實體資產(chǎn)”般的存在。與此同時，公司數(shù)據(jù)處理行為的偏差也增加了數(shù)據(jù)安全等問題的發(fā)生，不僅包括公司內(nèi)部的數(shù)據(jù)泄露，還包括公司與其他利益攸關方、數(shù)據(jù)產(chǎn)業(yè)之間的數(shù)據(jù)“隔閡”。無可否認的是，創(chuàng)設新型數(shù)據(jù)主體權(quán)利不失為一種“對癥下藥”的問題解決方式，但法律法規(guī)不可能解決所有數(shù)據(jù)產(chǎn)業(yè)領域的問題。倘若以公司社會責任承載數(shù)據(jù)治理，正當性基礎在于公司在網(wǎng)絡社會的“社會身份”決定了從網(wǎng)絡社群獲取數(shù)據(jù)的同時，作為數(shù)據(jù)收集、處理的重要節(jié)點，理應主動參與數(shù)據(jù)治理進程中。至于承載的基本路徑則以公司數(shù)據(jù)責任的類型化為基礎，將“數(shù)據(jù)”的完整性、透明性、時效作為起點，在法律原則、法律規(guī)則和行業(yè)習慣三個層面構(gòu)建公司承擔社會責任的方式。