对于“数字治理”，学界存在两种解释。其一是利用技术提升公共决策与行政自动化水平，即“数字赋能治理”；其二是通过法规标准构建将数字技术纳入法治轨道，即“治理数字技术”。两种解释共同揭示了数字治理的一体两面：“数字赋能治理”为发展目的，而“治理数字技术”为安全前提。数字技术必然伴生全新风险，需平衡发展与安全。由于“数字赋能治理”主要为企业技术创新所驱动，以商事关系为调整对象的商法，在“治理数字技术”方面具备协调发展与安全的比较优势。为此，本文拟深入探讨商法介入数字治理的适格性，并就商法提升“数字赋能治理”的原则校准与商法协助“治理数字技术”的制度衔接提出具体调适方案。

一、商法介入数字治理的适格性

商法是“调整有关商事关系的一系列法律规范”的总称，包含商事主体法（如公司法、合伙企业法等）与商事行为法（如证券法、信托法等）。商法介入数字治理的适格性源于其独特的价值取向与制度构造，这些特质使商法对数字治理的调整既明显区分于传统部门法，又能与之形成互补。

（一）财产关系的正确解构

不同于民法对静态财产关系的强调，商法对营运中财产关系的动态调整，合乎数据“流通即价值”的交易逻辑，更贴近数字治理的业务样态。在动态财产观念下，商法比民法更能实现物之价值增长与权利便捷转让。

其一，为实现物之价值增长，商法推崇“权利分离”的制度设计，不惜牺牲权利的“形式体面”以换取经营要素的最大增值，典型如公司所有权与经营权的分离、信托财产使用权与受益权的分离等。相较之下，民法调整的是静态财产关系，如物权规则尊重“一物一权”，即在一个物上仅能设定一个所有权，虽从自物权也可分离出他物权，但他物权的行使同样受到所有权的限制。数字治理以数据处理活动为基础，而数据要素的使用权和收益权必须从所有权中分离出来，否则将无法赋能经济活动。基于物权规则确定权利归属固然重要，但数据价值的合规有序释放，才是“数字赋能治理”和“治理数字技术”共同指向的终极目的。因此，以“权利分离”的商法范式框定数字治理的数据处理基底，在促进数据价值增益方面具有民法财产权制度难以比拟的优势。

其二，为便捷权利转让，商法允许权利与标的物相分离的交易规则，目的在于使标的物的转让自由程度最大化，典型如投资者权利的证券化、支付手段的票据化以及交易机会的期货化等。相较之下，民法上的权利转让通常伴随实物转让，而实物转让往往受到诸多限制。在数字治理中，数据要素必须通过流通使用才会产生价值，由此引发的数据权利转让既包括数据财产性权利的转让，还包括数据衍生权利（如发布权、许可权、传播权等）的转让。不唯如是，数据权属及其分配规则越来越需要借助“权利分割思想”以容纳“作为现代新兴权利客体的数据”。鉴于数据可复制且源源不断产生等特性，数据要素在事实上难以完成数据本体及其权利的“概括转让”，商法所允许的权利脱离于实物的分离模式显然更贴合数据要素的价值变现方式。

（二）调整逻辑的高度契合

区别于行政法外部监管与刑法事后威慑的“刚性矫正”，商法依赖内生规则与事中控制实现“柔性治理”，为多流程耦合的数据处理活动匹配阶梯式责任体系，更能兼顾数字正义与创新效率的衡平发展。在市场化调整逻辑的加持下，商法比行政法或刑法更能兑现环环相扣的过程调控。

其一，商法可通过弹性规则设计弥补行政法在数字治理中的适应性不足。行政法以公权力规范为抓手，经由行政许可、行政处罚等强制性手段维护公共秩序。但数字治理业务样态迭代极快，传统行政监管常因灵活性欠缺而陷入方法滞后与规制过载的双重困境。此时，行业内生的自律措施可自动递补为商法规则的重要法源，填补监管漏洞。折射至数字治理，区块链、Web3.0等去中心化技术风潮正自下而上地塑造公私主体协同治理的全新格局，商法对平台自治规则与行业内部标准的法律确认，可在充分尊重商事主体自主经营权的同时，借力声誉机制、信用评级等市场化约束达成动态治理目标。此种激励相容的规制路径，有效弥补了行政法在数字治理场景中刚性有余但灵活性不足的缺陷。还有学者指出，部分地区在治理绩效的评价和考核过程中对“数字赋能治理”的强调，“忽略了民众利益和民众获得感、幸福感和安全感”，如乡村数字治理中普遍存在“表面数字化”等形式主义现象，过度追求“数字留痕”而非解决实际需求。对此，商法可通过将数字乡村治理中体现实效的指标，转化为可量化的商事信用评价或权益凭证，引导数字治理工具从追求技术新颖性转向注重保障村民的实际权益，从而矫正价值理性与技术理性的背离。实证研究表明，乡村企业管理者的“数字素养”有助于新型农业经营主体的产业融合发展，未来可考虑围绕此类包容性指标构建商事信用评价体系，避免数字治理流于形式。

其二，商法有望完善贯穿数据全生命周期的过程控制体系，接续功能单一的刑事威慑。在数字治理领域，刑法通过设定禁止性规范对严重危害数据安全的行为施加刑事制裁，但事后惩戒机制无法应对数据滥用与算法歧视等持续性风险。商法则可相应补强刑事法律规范在事前和事中的规制盲维，实施更精准的风险控制。例如，数据采集阶段，可要求公司董事会在作出相关决议时就将个人信息保护纳入统筹安排；数据处理阶段，可运用信托法律关系为数据控制权与受益权的分离保驾护航；数据流转阶段，可活用证券化的交易结构促进数据价值的充分释放。已有研究从商法的组织法进路切入，深入探讨商业银行数据共享的治理之道。总之，商法的事前引导与事中控制同刑法的事后惩戒形成了梯次衔接，只有补齐此块拼图，数字治理的风险防控才称得上形成了规制的闭环。

（三）规制工具的精准适配

相较于经济法倚重市场准入、反不正当竞争等公权力干预机制维持市场秩序，商法体系中内嵌多类技术赋权型私法工具，与数字治理场域中公私主体能力互补、风险共担的协作需求深度契合。透过各类工具的交错适用，商法可辅助经济法实现切口更精准、效能更显著的秩序维持目标。

其一，统合于商事关系之下的主体制度与行为规则均具备适配数字化拓展的潜能。商事主体制度在数字治理领域的延展性体现为对数字经济组织形态虚拟化、行为模式数据化的适应。例如，公司集团的治理范式已平移于超大数字经济平台；公司法人人格制度具有平衡多元利益诉求、适应不同经济环境的规范功能，“意志独立”即“人格独立”的认定思路可推定适用于去中心化自治组织（DAO）等新型数字组织。商事行为规则在数字治理领域的包容性体现为对技术变革趋势下新型交易形态的充分回应。例如，针对算法自动化决策的法律定性问题，有研究立足于“商事代理”规则体系，建议引入算法透明度义务、人工干预保留等特别条款实现规则调适。在通常由经济法调整的部分领域，商法同样为数字治理提供了充足的工具选项。例如，在数据垄断规制中，商法通过数据信托、共票（Co-token）等制度创新，将数据控制权从排他性占有转向共享性利用，兼容竞争政策与创新激励；基于行业自治的发牌制度与声誉处罚，就反不正当竞争法力所不逮的机会主义试探行为补全了法律约束。此外，我国金融立法已进入系统性修订阶段，面对数字技术给金融法治带来的新挑战，金融立法必须“提升金融立法的包容性和匹配性”。这里的“包容”正是对新金融商业样态的包容，而“匹配”则是与相关商业规则的匹配；商法可通过将其久经检验的维护交易安全、注重社会责任与强化组织形式等核心理念，延伸适用于智能合约、去中心化金融等数字金融新范式，为金融立法提供稳定且富有弹性的底层框架借鉴。

其二，商法的私法内核叠加公法化倾向，既维系数字经济创新动能，又防范技术异化风险，可有效回应数字治理多元共治的实践需求。现代商法一般以私法规定为主，但为了确保私法规定的实现，又通常预留一定程度的强制干预措施，由此造就了商事法律的公法化倾向。前文指出，为弥补公共管理部门的技术劣势与数据匮乏，数字治理中的公私协作不可避免。但是，这种权力“外包”颠覆了传统的权力专属原则和正当程序原则，使部分获得准公权力的企业和平台横亘在政府与市场之间，致使公权力、私权力、准公权力和私权利之间的多方博弈愈演愈烈。在此背景下，单纯的私人协商或监管部门的强行干预，均无法起到恢复交易秩序的目的，而公私结合的商法却能有效应对多方法益的平衡诉求，为数字治理中不同主体的权责利分配划定边界，支撑数字生态中企业创新与政府监管的协同演进。

商法之所以能如此大程度地匹配数字治理的法治需求，是因为数字治理高度依赖的数据处理活动本就是典型的商事活动。数字治理具有明显“数据驱动”底色。数据要素化国策下，无论是助推传统产业转型升级，还是打造新产业新业态新模式，抑或是壮大经济发展引擎，均以充分挖掘数据商业价值并发挥此种价值对其他要素的倍增作用为先决条件。由此可见，数据处理活动的实施，原本就以营利和促进价值实现为目的。对于社会治理领域的数字治理实践，“数字赋能治理”的实质是通过数据处理落实风险评估先行的治理路径，亦即，根据数据挖掘的信息反馈微调监管重心，进而大幅削减监管成本。商法具备调整数据要素价值变现过程中相关法律关系的结构性安排，各类商事特别法中有关买卖商行为、辅助商行为、生产制造加工商行为、服务性商行为以及金融性商行为的相关规定，全方位涵盖了数据交易、处理、流通、授权、信托乃至确权中的法律关系，既能突破民法中物权法定原则的刚性束缚，又能比行政法、经济法等公法更好促进数据要素从静态确权向分层配置转变。

综上所述，政策制定者不可低估商法之于数字治理的规范意义。数字治理所不可或缺的商法调适可从两方面分别展开，一是商法基础原则的融贯性校准，二是具体商事制度的适切性衔接。

二、数字治理的商法原则校准

伴随数字治理的程度加深，传统社会管理模式正逐步转型以适应“线上线下高度融合、主体客体双向互动”的时代背景。部分商法原则对于效率的过度强调，可能诱导“数字赋能治理”偏离公共利益最大化的治理逻辑，使之从“治理数字技术”的规范框架中逃逸出来。由是，有必要缓解商法基础原则中效率对安全的过度抵消，具体可从以下三方面校准数字治理适用的商法基本原则。

（一）交易自由原则的限缩

交易自由原则是私法自治精神在商法中的体现，一般通过任意性规范落实：只要不违反公共政策或强行法规定，商业活动的参与者可自由决定其商业事务。例如，公司法允许公司股东通过公司章程自主安排公司治理结构，证券法允许投资人通过协议一致达成对上市公司的收购等。交易自由原则在数字治理中呈现为迄今为止所有数字应用均采用的知情同意框架——数据处理者须告知数据主体个人信息的采集目的、方式、范围和存储时间等，在征得数据主体的明确同意后，方可处理其个人信息。不过，知情同意框架本身存在缺陷：法律上判定当事人是否因“知情”而“同意”的审查标准，完全停留在服务提供方是否履行了最低限度的告知义务，“推定知情”与“事实知情”间存在鸿沟。有鉴于此，在数字治理场景中不加区辨地认可交易自由原则，便是以当事人在民事地位上的表面平等，去掩盖交易各方在技术、智识和认知上的事实不平等，反倒剥夺了弱势方的交易自由。数字治理中交易各方的自由可以体现为决定订立合同的自由、选择相对人的自由与选择合同形式的自由，但在决定合同内容等事项上，绝对的自由并不可取。一方面，数字治理主体可能以“当事人意思表示一致”免除自身责任、加重治理对象应承担的义务；另一方面，其所标榜的商业利益还可能对社会公共利益造成倾轧和排斥。解决症结的核心在于，应适度限缩交易自由原则在数字治理场景中的适用。由是，知情同意框架的相应改进，可从以下两方面展开。

其一，应区分数字治理的风险场景适用不同程度的告知义务。在美国《消费者隐私保护法》（CCPA）中，以应用场景区分风险级别被作为所有数据处理行为的前置合法性考量。有研究表明，知情同意框架的制度核心在于让个体对潜在危害“真实知情”。是故，我国立法者可根据不同数字治理手段可能给治理对象带来的影响程度，设置细粒度更高的告知义务，具体可参照《保险法》中保险人的“一般说明义务”和“特殊说明义务”之区分，就可能对治理对象的生活与经济状况造成较大影响的数字治理应用，服务提供方负有更高的告知和说明义务。此种告知和说明义务也可借鉴《证券法》钳制风险活动的常用方法，相应表达为服务提供方的信息披露义务，对于关涉敏感个人信息处理的数字治理场景，应结合敏感信息的风险程度实施差异化披露标准。

其二，应在数字治理中设置缺省的动态知情同意框架。数字技术日新月异，个体对知情的要求也处于时刻变化之中，治理对象只有确保获得与时偕行的“知情”，才可做出反映其真实意思表示的“同意”。强调知情与同意的动态匹配，本质上是通过技术赋能与规则创新重塑传统知情同意框架的僵化结构，构建适应数据高频流通、风险动态演变的弹性治理机制。该框架旨在将“静态授权”转化为“过程性控制”，通过分层化、场景化的规则设计，实现个人自主权与公共利益保护的动态平衡。对此，应要求数据处理者建立全生命周期的信息披露系统，取代传统的一次性告知模式；还应禁止借由用户协议获取治理对象的“一揽子授权”，且不得在任何情况下承认数据主体不设期限的对自身信息权益的全面授权。

（二）交易效率原则的弱化

交易效率原则旨在尽量简化交易程序以提高交易效率、降低交易成本，通过交易定型化和时效短期化两项立法技术帮助当事人抓住交易机会。数字治理并非常见的即时结清交易，会在相当长的期限内对个体生活产生影响，不可过度强调交易效率原则的适用。具体而言，应在数字治理场景中适度弱化交易定型化和时效短期化的举措与安排。

交易定型化，指事先将交易模式或交易标的予以定型化安排，使商事活动的参与者在任何时候发生同类型或同标的物的交易都可实现相同的法律效果，典型如票据、证券、期货、提单、保险等流程固定的交易。然而，数字治理的交易模式具有灵活多变等特征，若强行以类型化方式固定交易模式，便是以静态假设去规范动态行为，无异于削足适履。例如，以“治理科技”面貌出现的前沿技术，已深层次“改变了数据处理活动的业务样态”，“原本结构单一、目标明确、内涵简单的数据处理范式转变为多元的、以复杂方式连续发生且难以被区分为个别阶段的利益交换”。在商法思维中，高度定型化的交易安排不利于当事人结合客观情况维护自身权益。《个人信息保护法》明确了数据主体所享有的多项涵盖交易全流程的主动权利，包括但不限于知情权、撤销权、询问权、更正权、删除权等，第50条还明确要求数据处理者建立便捷数据主体“行使权利的申请受理和处理机制”。不难看出，此类交易原本就存在较多事项留待数据主体和数据处理者自主协商，各方之间的合同可能以多种方式履行并通过逐次谈判达成合意，自始将交易模式或交易标的完全固化只会平添交易相对方事后的履约风险。

时效短期化，指将交易行为所产生债权的时效期间进行人为缩短以便迅速确定行为效果的法律手段，典型如公司决议撤销权的60日行权期限、要约收购60日的公告上限、船舶债权人求偿权的一年限定等。但是，数字治理产生的诸多损害无法在事前预料且一时之间难以识辨，典型如算法负外部性扩张所引发的社会成本向普罗大众和弱势群体的不合理转嫁，这类情况在“数字赋能治理”的场景中尤其常见。从域外数字治理实践来看，公共管理部门普遍存在过度采集公众数字化身份、轨迹和数据的情况，且对此类信息的过度分析、归类和处理已经导致了极其严重的歧视与社会不公。例如，美国刑事司法系统中广泛使用的“矫正罪犯管理剖析替代性制裁算法”（COMPAS）在预测再犯风险时，将非洲裔被告标记为“高风险”的比例远高于白人被告，引发强烈社会舆论；密歇根州政府用于反失业欺诈的算法自动化系统出错率极高，超过3000名美国公民被错误指控存在失业欺诈行为，最终密歇根州政府支付了高额的调解费用。前述例子中，曾被公共管理部门信赖的数字治理系统的缺陷均是在现实损害已发生且积累至相当程度后才凸显出来，可见，在数字治理领域适用时效短期化的行权除斥期间，将使当事人陷于难以私力救济的境地。《民法典》第188条将请求保护民事权利的诉讼时效期间规定为3年，且自权利受到损害之日起超过20年的，人民法院便不予保护；随着数字治理逐步成为国家治理现代化的主要范式，人类终将步入数字技术“全息统御”的数智化社会。长远来看，第188条中的3年与20年期间未必能够就数字技术的侵权损害提供行之有效的救济。由是，民商事法律中的时间维度须结合数字治理的业务样态进行适当调整，才能避免“时代的一粒灰”异化为“个人头上的一座山”。

（三）交易安全原则的扩张

交易安全原则的核心是，不可只图交易便捷而忽略交易安全。交易安全原则呈现为商法规则中的强制主义、公示主义、外观主义和严格责任主义等。数字治理首先应当考虑的是安全而非便捷，因此，有必要扩张前述主义的适用范围。

强制主义是为维护社会公共利益与交易方合法权益而在私法中引入的、不依当事人意思表示一致就得以排除的措施和规定，也是公法属性在商事法律中的体现，如公司设立所适用的固定程序、股东出资加速到期条款以及商业活动禁止欺诈等缺省性规定。对于数字治理而言，应当相应补足的强制性规定有两类。一是数据处理主体的数据销毁义务。《个人信息保护法》第47条规定了数据主体的删除权，允许个人要求数据处理者在处理目的已实现或无法实现、产品服务终止、个人撤回同意以及违反法律法规等情形“主动删除个人信息”。但删除权只反映了“信息处理的合法性与必要性基础丧失”的结果，而“‘数据销毁’才是‘数据归于消灭’的处理流程末端”。在未来商事立法中，政策制定者应补充规定参与数字治理的公司的数据销毁义务，并明确销毁方式和范围，完成数据安全的“最终闭环”。二是数据主体的脱离自动化决策权。脱离自动化决策权为欧盟《通用数据保护条例》（GDPR）第22条首创，旨在使个体免受数字治理的过度限制，其核心在于赋权数据主体在特定情形中拒绝成为自动化决策的支配对象，避免个体因为技术漏洞或程序偏见陷入万劫不复之境。在不同的数字治理场景中，应允许数据主体以“脱离数据采集”“脱离用户侧写”“脱离平台交互”等方式，跳脱数字治理的负面影响。

公示主义是当营业相关事项与交易相对方存在利害关系时，须经有效公告后才可发生法律效力的相关规定，如公司增资减资须公示且通知债权人、部分商业事项非经登记不发生效力以及公司需就自身财务和经营等情况向社会公示并向证券监督管理部门报告等。数字治理涉及个体重大权益，任一技术环节的微小改变都足以“牵一发而动全身”；但实践中数字治理的主导方或运营方仅须通过“近乎形同虚设”的知情同意框架，便可轻松主导与治理对象间关系和利益的实质性调整，个体的知情权、建议权和选择权并未得到有意义的保护，有损“数字赋能治理”的公正性和权威性。有鉴于此，任何可能对治理对象产生影响的事项，都应历经适当的公示与问询程序，以确保治理对象表达诉求的权利得到充分保障。公示主义的拓展还可能催生新兴权利，如允许个体就不公正数字待遇请求获得公平聆讯或行政复议的陈情权，该权利意在让政策制定者立足民众立场体察实际处境，推动更人性化法律政策的制定。

外观主义是以交易外观为准据来认定交易行为法律效果的规范模式，即为了保障交易安全而赋予交易行为外观上的优越性，如公司股东会对法定代表人代理权限的限制、合伙企业对合伙人执行合伙事务的限制均不得对抗善意第三人，以及票据行为中背书连续性的“不言自明”等。在数字治理中，智能合约通过哈希值时间戳固化履约过程、区块链存证透过可追溯特性实现全流程可验证约束等，可视为在一定程度上贯彻落实了商事外观主义的技术表达。但在更一般的情境中，适应数字治理的商事外观主义还须从两方面强化。一是技术使用者面向治理对象的技术宣传，尤其是对其技术先进性以及治理正外部性的宣传，均应被认定为向治理对象发出的、具有法律效力的要约条款，此种要约与民法要约的区别在于撤销权受限更多且更注重实际履行。故而，技术使用者所发布的各类白皮书、隐私政策等，虽未被冠以“协议”“合同”等字眼，但仍应作为合同对待。二是对于此类事实合同，其条款解释均应以其字面、直观的方式进行，即采取文义解释优于体系解释和目的解释的方法，且不得将“最终解释权”归于本就处于信息优势地位的合同提供方。

严格责任主义是在商业活动中使特定行为人承担更严格责任的法律规定，如合伙企业的普通合伙人始终对合伙债务承担无限连带责任，公司发起人对公司债务的无限连带责任，以及票据关系中出票人、承兑人、背书人等共同签章人的连带责任等。严格责任主义不同于作为归责原则的严格责任，其本质是在总体立法层面考虑交易风险的衡平方法。在数字治理的网状法律关系中，数据处理的层层委托经常演化为“层层甩锅”，致使责任主体虚化，简单但有效的应对策略是在数字治理中贯彻严格责任主义，明确主数据处理主体、从数据处理主体以及模型提供方的连带责任。如此，无论业务样态如何变化，数字治理中的责任关系始终确定且稳定，相对严格的责任分配也有助于提升数字治理各参与方的注意水平，减少监管套利空间。

三、数字治理的商事制度衔接

数字治理的业务样态毕竟不同于纯粹商业交易，且可能产生影响极其深远的负外部性。“治理数字技术”以强化数字治理各参与方的权益保护为目标，商法中的主体权益保障制度需同数字治理的业务样态精准衔接，才可有效消除具备时间属性的负外部性。对此，可从以下三方面切入。

（一）信义义务的转介与适用

马克思曾鞭辟入里地指出“人们的社会存在决定人们的意识”。将唯物主义观带入治理关系的产生，可推知一切治理关系的物质基础均系生产关系的权力投射。技术赋能的数字治理关系中，个体所面临的权力结构性失衡风险显著高于传统治理关系。商法应对权力失衡的基础性制度是信义义务。信义义务因适用场景不同，可区分为公司法意义上的信义义务与信托法意义上的信义义务。公司法意义上的信义义务为公司治理关系中公司董事、监事、高级管理人员对公司所负有的义务，主要包括遵纪守法、积极履行职务、维护公司利益、不利用职权和地位谋取私利等。我国《公司法》第180条将信义义务二分为勤勉义务和忠实义务，“前者应对董事的懈怠无能，后者化解董事的谋私本性”。信托法意义上的信义义务为受托关系下受托人对委托人所负有的义务，主要内容包括善良管理、亲自处理、诚信对待、专业服务等。我国《信托法》第25条要求受托人遵守信托文件规定“为受益人的最大利益处理信托事务”，且必须“恪尽职守，履行诚实、信用、谨慎、有效管理的义务”。

在数字治理领域，域外学者最早提出“信息受托人”（Information Fiduciaries）的概念，主张将收集、分析、使用、出售和分发个人信息的在线服务提供商视为对其客户和最终用户负责的信息受托人，国内学者也意识到将信义义务引入数据处理活动的必要性，主张数据处理者以“受托人身份管理或处分其占有的个人数据”。无论是何种路径，从数字治理牵涉的法律关系来看，数字治理主体和治理对象的关系更贴近信托法意义上的信义义务。其一，公司法中的信义义务围绕公司内部法律关系展开，数字治理虽然也包含“治理”，但此“治理”不同于公司治理中的“治理”，信义义务的产生源于委托人和受托人在专业和智识上的不对等，而非减少组织代理成本的需要。其二，公司法逻辑下的信义义务指向公司财产的积极增值，而数字治理所需的信义义务更多是避免信义义务对象的权利贬损，此种目的导向与信托法逻辑下信义义务指向信托财产的消极保值更类似。

进一步分析可知，在规则构造上，应要求数字治理主体无论在何种情况下都必须为治理对象的最佳利益行事，此间的委托代理关系并非要求数字治理主体为被治理主体谋取经济收益，更多是要求其坚守“积极的消极立场”，避免治理对象合法利益遭受侵害。在数字治理关系中，治理主体和治理对象不可能从一开始就将尚未发生的所有情形以列举的方式在用户协议或服务政策中进行约定；信义义务旨在保护治理对象的“可期待性利益”得到重视，数字治理主体应时刻为保全治理对象的此种利益而审慎行使职权。相互信任是数字治理的根基，个体只有在信任数字治理主体的前提下才会心甘情愿地将自身纳入“知情同意”的关系中，因此，数字治理中的信义义务同样指向了以值得信赖的方式形塑治理关系。

虽然信息不对称、“搭便车”等情形常使个体怠于行使权利，但过度透支信任亦会导致治理对象的反击。例如，在数据处理活动中，数据主体可以通过访问权限的管理，主动减少向数据处理者提供的个人数据当量，甚至撤回数据处理的同意，长此以往，数据主体其实是以行胜于言的方式脱离了自动化决策的影响范围。因高度依赖数据驱动，治理对象“用脚投票”若大行其道，数字治理的效果势必会大打折扣。

从立法文本来看，无论是《公司法》第180条还是《信托法》第25条，立法者对信义义务的规定都是概括而笼统的，这是为了最大限度提升信义义务的适用余地。就信义义务在数字治理中的转介与适用，在总括性规定之外，有四类规则须在行业规章或相关指引性文件中进一步明确。一是禁止利益取得规则，数字治理主体不可将自身商业利益置于治理对象的合法利益之上，不可因治理权限扩大或治理模式变革趁机监管套利，而应在数字治理全流程禁止自我交易。二是利益分享规则，数字治理主体应尽量实现治理效用增量的“雨露均沾”，在收益巨大的情况下，治理主体应同治理对象适度分享部分经济收益，或将收益用于提升治理对象的用户体验。三是合理怀疑规则，数字治理主体应对新兴、复杂、疑难技术的使用保持审慎和合理怀疑，在必须使用此类技术时，数字治理主体必须对各类新兴技术做到“力所能及地理解”，并对潜在风险做到“不遗余力地避免”。四是禁止套牢规则。法经济学文献常以“套牢”（Hold-up）之表述描述商业活动中一方因资产专用性投入过高而给予另一方获利契机的情形。在数字治理中，治理对象的数据供给及其对特定权利的让渡虽不是严格财产权意义上的资产专用性投入，但因其可能关涉治理对象的人格权益，同样可能产生“套牢”的效果。禁止套牢规则可以在法律上表达为即便数字治理因数据的积累或技术的变革产生了显著信息优势，数字治理主体亦不得对治理对象的弱点或软肋进行不受控制的战略性滥用，更不能通过胁迫、诱导等方式攫取不成比例的利润。

在面临损害赔偿责任时，前述信义义务不因义务人不具备主观故意而得以免除。数字治理主体本就是以行家里手的身份方才获得治理对象的个人数据与权利让渡，故而，对于数字技术可能给治理对象带来的潜在危害，可推定其“应当知道”；针对潜在风险的实现可能，数字治理主体应主动、积极履行事前安全保障义务、事中风险评估义务和事后损害消除义务，此三类义务是由其所肩负的信义义务的核心内涵——避免治理对象的合法利益受到侵害所决定的。

（二）企业社会责任的革新

信义义务是数字治理主体对其治理对象所直接负有的、保障其合法权益的概括性义务。直接治理对象之外，数字治理同样可能对社会普罗大众造成间接损害。例如，网约车服务系统的宕机或延迟可能给乘客带来直接损失，而网约车服务对应召车服务的替代还可能给不会使用智能手机的技术边缘化群体带来不便。在此，有必要在学理上作“受众”和“涉众”的区分。受众是直接受数字治理影响的个体，即数字治理服务或交易的相对方，受众与数字治理主体间是直接的合同关系，由明确的知情同意框架拘束。涉众范围宽于受众，囊括一切在当下或未来同数字治理息息相关的主体，亦即间接受技术影响的群体。涉众虽与数字治理主体不存在合同关系，但不可避免地被数字治理的影响所辐射。

由于不具备合同相对性，前述信义义务对数字治理的涉众侵害问题力所不逮。不同于民法意义上的“侵权行为”，此种涉众侵害对应着英美法中已精确界定的“公众妨害”（Public Nuisance）。历史上，法律对于公众妨害的钳制可追溯至Attorney General v PYA Quarries案，英国法院确定了“影响女王臣民正常生活”的公众妨害区别于一般侵权行为的三大突出特征：一是侵害范围广；二是侵害属于对群体的无差别侵害；三是个体难以独自应对。英美法中的公共妨害既不同于我国《刑法》中所界定的交通肇事罪、以危险方法危害公共安全罪等明显妨害公共安全的罪行，也有别于《治安管理处罚法》中扰乱公共秩序的行为，本质是民事主体间并不必然上升至公法介入的、个体损害不明显的群体损害行为。典型的公众妨害例子是露天音乐会影响社区宁静生活、林场割木噪音导致动物园水貂烦躁、剧院门口排长队干扰周边店铺生意等。公众妨害与数字治理的涉众侵害具有“同源性”，即妨害并不源于合同相对性，而是源于行为效果的间接传递性。公众妨害通常仅能通过集体诉讼得以解决，法院一般是通过比较诉讼两造竞争性利益的张力大小来确定损害赔偿额度。然而，在数字治理所引发的公众妨害中，原告方必然面临举证难等问题——鉴于技术黑箱的存在，原告方难以自证看似中立的数字治理和自身权益受损之间具有直接关联。况且，很多需要未来才可证实或证伪的事项在当下根本无从评判。此外，集体诉讼成本及风险双高，受理条件又相对严苛，普罗大众未必愿意置身其中；即便获得集体诉讼的胜诉利益，那也仅是损害发生后的事后补偿而已。就此而论，事前防范比事后救济更为重要。

鉴于侵权救济的上述局限，从商法视角对数字治理主体施加更高的企业社会责任，是事前消弭公共妨害的不二之选。在我国法律语境中，“尊重和保护利益相关者与倡导公司承担社会责任通常被看成是一回事”。2023年12月《公司法》修订首次引入了利益相关者条款，第20条将公司社会责任具体化为充分考虑“公司职工、消费者等利益相关者的利益”以及“生态环境保护等社会公共利益”。需要指出的是，社会责任不仅仅是《公司法》中才有的特别责任类型，几乎所有的商事主体法对之都有相应规定，例如，《合伙企业法》第7条要求合伙企业及其合伙人必须“遵守社会公德、商业道德，承担社会责任”，《外商投资法》第6条也要求在中国境内进行投资活动的外国投资者、外商投资企业不得“损害社会公共利益”。因此，无论数字治理主体采用何种组织形式，都能在实体法中找到对其施以社会责任的法律依据。对于数字治理而言，可将数字治理主体的社会责任具体化为“职工、消费者、用户等利益相关者的利益”以及“业务生态环境、行业环境等社会公共利益”；前者保护受众权益，后者保护涉众利益。强调数字治理主体的社会责任，有助于遏制数字负外部性的不合理扩散，并把企业从监管对象转变为秩序的共同维护者、将公共治理成本分摊至各市场主体，最终形成各方协力的治理局面。企业也可通过保护涉众的社会责任实践，在行业内形成示范效应，使公共风险防控成为企业核心竞争力的组成部分。此外，经由企业社会责任使涉众群体免受公共妨害之虞，具备制度方面的可行性。评判服务提供方是否履行社会责任的标准非常直观——当某一数字治理主体长期、普遍、持续地出现违法违规事件或面临公众质疑时，便可直接推定其未认真履行社会责任，进而触发赔偿或强制合规等处罚。

（三）持续信息公开的深化

信息公开是商事行为法中的通行制度。例如，对于经济价值较高的商业活动，证券法通过强制信息公开实现保护投资者的目的。证券法领域的信息公开，主要是上市公司或证券发行人根据法律法规将涉及公司运营的规定事项和重大事项等，向证券监督管理部门以及社会公众投资者公告的要式行为，目的在于使投资者和监管者能够对发行公司的财务状况、利润分配、运营实情以及发展前景作出有依据的评估。对于必然产生较大经济价值的数字治理，信息公开义务虽遵循证券法“真实、准确、完整、及时”的基本要求，但信息公开的主体、对象、内容、频次和目的均不同于证券法所框定的对象。主体层面，应当履行信息公开义务的主体并不局限于作为服务提供方的上市公司或证券发行人，而是主导数字治理以及为之提供技术支撑的所有商业主体，包括但不限于主数据处理者、从数据处理者以及模型提供方等。对象层面，数字治理信息公开的对象并不局限于投资者和监管者，而是面向社会公众，即同时向受众和涉众公开。数字治理的“技术束”组成了简化因果关系和弱化责任归属的黑箱，将错综复杂的价值判断和法律关系藏于其后。治理对象只能观察到简单的数据输入与输出，却难以理解技术机制背后的原理和运营方式。因此，内容层面，数字治理的信息公开旨在纾解技术优势方同劣势方之间的天然势差，核心在于数字治理的运算、逻辑和分析过程而非底层代码本身。数字治理主体应清晰且直观地披露以下三类信息。一是个人数据的来源、特征与分类方式；二是数字评价体系的运作原理、代码逻辑和预期效果；三是潜在的系统偏差、运行故障与矫正机制。信息公开的频次上，不同于证券法要求上市公司进行中期报告、年度报告和临时报告等，鉴于数字治理的持续性及其深远影响，数字治理的信息公开应采取不定期、无终止、按需且持续的信息公开模式。目的层面，持续信息公开旨在使受众和涉众均能对数字治理的客观影响、潜在风险和可能的负外部性做到“与时偕行的知情”，以便在自身权益受到威胁时能够有效决定采取何种法律手段保护自身权益。

当前，国内外主流环境、社会和公司治理（ESG）信息披露标准已在一定程度上契合了数字治理的发展要求，体现为将科技伦理和风险管理纳入企业信息披露要求。无论各ESG信息披露体系与数字治理的持续信息公开能否“等效互换”，此类信息披露都具有较高的技术性，且难以进行第三方鉴证。有鉴于此，须引入辅助科技类公司完善持续信息公开的专门委员会，例如，在香港的上市公司中就广泛存在着协理公司董事会履行ESG信息披露的“可持续管理委员会”。还有学者提出了建立“社会责任委员会”的建议，但无论是“可持续管理委员会”还是“社会责任委员会”，均须突破现行《公司法》的诸多限制。旨在辅助董事会进行持续信息公开的专门委员会，显然不应由公司董事构成，否则将导致“自己辅导自己”的尴尬局面。《公司法》第121条允许公司依照公司章程在董事会中设置“其他委员会”，但既有条款仅对由董事组成的“审计委员会”作出了相应规定，有必要根据不同的数字治理模式，适度放宽公司章程所允许的“其他委员会”的类型，并不再缺省性地要求委员会必须由董事会成员组成。法理上，“其他委员会”只须下辖于董事会，便可较好履行辅助董事会持续信息公开的专业职能；委员会和董事会在人员上的不重合，还有助于适当免除董事会在技术实现决策方面的勤勉义务，但辅助董事会履行信息公开义务的委员会须满足专业性、独立性和决断性的要求。相应地，可赋予其相对独立的履责权限，避免沦为董事会的“橡皮图章”。

结  语

“数字法治是‘数’‘理’的内在结合、相得益彰，数字服务于法理，法理统率着数字，不但要法治数字化，而且要数字法治化”。法治数字化即“数字赋能治理”，数字法治化则是“治理数字技术”，二者的相得益彰可以通过商事法律规则的因应性调适予以落实。为此，本文论证了数字治理领域商法基本原则的校准与具体制度的衔接。作为系统化构建的技术理性规范体系，商法在数字治理中的结构性嵌入，能够以法治的确定性回应技术的不确定性，为数字治理补强既鼓励创新又保障正义的制度生态，最终推动数字治理从效率优势向制度优势跃迁。