跨境數(shù)據(jù)觀察 | 歐盟GDPR的制度缺陷及其對我國《個人信息保護(hù)法》實施的警示【走出去智庫】-ESG跨境

走出去智庫觀察

5月10日，英國查爾斯王子代表伊麗莎白女王發(fā)表“女王議會演講”，演講包括有望在新的一年獲得通過的38部法案，其中之一是《數(shù)據(jù)改革法案》（Data Reform Bill）。該法案旨在指導(dǎo)英國偏離歐盟隱私立法，尋求簡化數(shù)據(jù)保護(hù)相關(guān)立法并減少繁文縟節(jié)，通過創(chuàng)建一種更靈活、以結(jié)果為中心的方法來減輕企業(yè)的負(fù)擔(dān)，同時還引入了更明確的個人數(shù)據(jù)使用規(guī)則。

走出去智庫（CGGT）觀察到，英國的數(shù)據(jù)保護(hù)法雖然借鑒了歐盟的《統(tǒng)一數(shù)據(jù)保護(hù)條例》（GDPR），但對GDPR監(jiān)管的復(fù)雜性有所修改。被譽為目前世界上最全面的數(shù)據(jù)隱私法的GDPR于2018年5月正式生效，其細(xì)致、頻繁的調(diào)查和嚴(yán)厲的處罰措施對全球的互聯(lián)網(wǎng)科技企業(yè)，尤其是臉書、亞馬遜、谷歌等科技巨頭公司的合規(guī)和隱私策略產(chǎn)生了重大影響，同時也令各國政策制定者和監(jiān)管機(jī)構(gòu)越來越意識到隱私對公民、企業(yè)和社會的重要性，啟發(fā)了各國的立法思路，進(jìn)而在多個維度上推動全球隱私保護(hù)的治理格局產(chǎn)生變化。然而經(jīng)過多年實踐發(fā)現(xiàn)，GDPR雖然提高了個人數(shù)據(jù)保護(hù)的力度，但其實施卻屢陷爭議。

GDPR存在哪些問題？有何借鑒？今天，走出去智庫（CGGT）刊發(fā)華東政法大學(xué)數(shù)據(jù)法律研究中心主任高富平的文章，供關(guān)注數(shù)據(jù)合規(guī)管理的讀者參考。

要 點

CGGT，CHINA GOING GLOBAL THINKTANK

1、設(shè)置寬泛的合法性基礎(chǔ)并沒有給數(shù)據(jù)使用者以多少自由。這是GDPR制度設(shè)計內(nèi)在的最大缺陷。

2、由于數(shù)據(jù)處理存在于各種行業(yè)、領(lǐng)域和社會活動（行為）之中，無邊界的數(shù)據(jù)處理行為，使個人信息處理一般原則可以被廣泛地適用，很難界定GDPR適用邊界。

3、個人信息最主要的功能是識別個人，因而個保立法多以識別來定義個人信息，它導(dǎo)致的結(jié)果是建立泛在的個人信息及泛在的個人信息處理，背離了個保法旨在防范個人信息處理可能引發(fā)的侵害個人權(quán)利的風(fēng)險目的，最終導(dǎo)致法律對社會的過度干預(yù)，徒增社會運行成本。

正 文

CGGT，CHINA GOING GLOBAL THINKTANK

文/高富平

華東政法大學(xué)教授

數(shù)據(jù)法律研究中心主任

2020年3月30日，中共中央、國務(wù)院發(fā)布了《關(guān)于構(gòu)建更加完善的要素市場化配置體制機(jī)制的意見》（下稱《意見》），提出土地、勞動力、資本、技術(shù)、數(shù)據(jù)五大生產(chǎn)要素。這是著眼于數(shù)字經(jīng)濟(jì)背景下的市場要素的新定位，具有非常重要的意義。不過，數(shù)字經(jīng)濟(jì)發(fā)展面臨個人信息濫用和安全風(fēng)險。我國自2012年開始移植域外的個人信息保護(hù)制度，并于去年頒布了《個人信息保護(hù)法》，11月1日正式生效實施?！秱€人信息保護(hù)法》的制定實施，有利于克服分散立法、規(guī)則不統(tǒng)一的弊端，更有助于建構(gòu)我國的個人信息保護(hù)制度。但在《個人信息保護(hù)法》貫徹實施之中，個人保護(hù)與個人信息流通利用需求之間的沖突不可小覷。顯然，在法律實施伊始就質(zhì)疑立法太欠妥當(dāng)。為此，筆者通過對我國立法有深度影響的《統(tǒng)一數(shù)據(jù)保護(hù)條例》（縮寫GDPR，以下使用縮寫）的分析，揭示個人信息保護(hù)法實施可能面臨的問題。

個人信息保護(hù)制度源自于域外，GDPR就是在特定時代特定社會政治經(jīng)濟(jì)背景下產(chǎn)生的個保法不斷演進(jìn)的產(chǎn)物。但它既不能適應(yīng)當(dāng)今時代發(fā)展需要，更不應(yīng)該是“放之四?！钡臏?zhǔn)則。GDPR潛在的制度缺陷和對歐盟數(shù)字經(jīng)濟(jì)的掣肘正在顯現(xiàn)。因而在GDPR生效不久，歐盟委員會即開始制定促進(jìn)數(shù)據(jù)流通利用或分享的制度，以緩解或校正GDPR的缺陷。2020年11月25日，歐盟委員會曾向歐盟立法機(jī)構(gòu)提出《數(shù)據(jù)治理條例建議案》，旨在促進(jìn)各部門和成員國之間的數(shù)據(jù)分享，并將數(shù)據(jù)分享（data sharing）作為數(shù)據(jù)戰(zhàn)略的一個關(guān)鍵支柱。這種新的數(shù)據(jù)治理方式將增加對數(shù)據(jù)分享的信任，加強提高數(shù)據(jù)可用性的機(jī)制，并克服數(shù)據(jù)重用（re-use）方面的技術(shù)障礙。2022年又提出《數(shù)據(jù)法建議案》以確保企業(yè)與企業(yè)之間（B2B）合法的數(shù)據(jù)分享（流通）和使用，以創(chuàng)建公平的數(shù)據(jù)經(jīng)濟(jì)。兩個建議案有著共同的目標(biāo)和內(nèi)容，都是為了解決歐盟單一數(shù)字經(jīng)濟(jì)發(fā)展面臨的制度障礙。

顯然上世紀(jì)七八十年代形成的以保護(hù)個人權(quán)利為中心的個人信息保護(hù)規(guī)則已經(jīng)不能適應(yīng)數(shù)據(jù)資源化、生產(chǎn)要素化的需要，甚至與該要求相悖。在數(shù)據(jù)驅(qū)動發(fā)展背景下，包括歐盟在內(nèi)的世界各國正在探討新的解決路徑。在這樣的背景下，如何解釋和適用《個人信息保護(hù)法》，避免繼續(xù)墜入GDPR的困境，是我國應(yīng)當(dāng)警惕的。本文旨在剖析GDPR內(nèi)在的缺陷和原因，并在此基礎(chǔ)上提出《個人信息保護(hù)法》解釋和適用的方向，以緩解個人信息保護(hù)與社會經(jīng)濟(jì)發(fā)展之間的沖突和矛盾。

一、GDPR的基本定位

GDPR具有雙重目的：一方面是保護(hù)個人數(shù)據(jù)（個人信息，本文通用）處理和流通過程中所涉及到的自然人的基本權(quán)利與自由，尤其保護(hù)其個人信息保護(hù)權(quán)；另一方面是促進(jìn)個人信息在歐盟境內(nèi)的自由流通。這兩個目的所代表的價值追求是對立的，GDPR開出的處方是統(tǒng)一數(shù)據(jù)保護(hù)水平，強化個人信息保護(hù)權(quán)，增強公民信心從而實現(xiàn)個人信息的流動利用。GDPR根本就沒有考慮個人信息的資源屬性，給予數(shù)據(jù)控制者以流動數(shù)據(jù)的權(quán)利，實現(xiàn)數(shù)據(jù)流通利用。這樣的設(shè)想是美好的，但法律實施效果甚或人們的解讀并不是那么美好。

（一）GDPR是一部基本權(quán)利保護(hù)法

世界各國均將個人信息保護(hù)視為保護(hù)個人尊嚴(yán)或自由的一項基本人權(quán)（或基本權(quán)利），個保法是基本人權(quán)保護(hù)法。

歐洲的個人信息保護(hù)立法源自于歐洲委員會在1981年制定的《個人信息自動處理中的個人保護(hù)公約》（下稱《公約》），該《公約》是為了落實《歐洲人權(quán)公約》（縮寫ECHR，1953年9月生效）。ECHR中的第8條（尊重私人和家庭生活的權(quán)利）是《世界人權(quán)公約》第12條在歐洲法中的體現(xiàn)，《世界人權(quán)宣言》第12條和ECHR第8條中“家庭”和“通信”在世界許多國家憲法中均已確立并有相當(dāng)?shù)臍v史了，但“隱私”和“私人生活”則是新的。由此歐洲將個人尊嚴(yán)和家庭生活受尊重，視為公民最為重要的基本權(quán)利之一?！豆s》即是用來貫徹EUHR第8條，將個人信息保護(hù)視為“尊重私人生活”這一基本人權(quán)的重要內(nèi)容。

基于對私人生活的理解，歐洲人權(quán)法院將其分為三種類型（類型間可能有重疊）：（1）包括了身體的、精神的完整；（2）隱私；（3）身份和自主。而數(shù)據(jù)保護(hù)被囊括進(jìn)隱私類別之中，他們認(rèn)為，使用個人信息對個人進(jìn)行不可預(yù)測的分析可能對言論自由、隱私權(quán)和身份權(quán)（the right to privacy and identity），以及個人自決造成影響。因此，歐洲個保法制度源自基本人權(quán)保護(hù)，源自人權(quán)意義上的隱私權(quán)。

但是，之后歐盟落實《公約》過程中，將個人信息從隱私權(quán)中獨立出來成為一項獨立的基本權(quán)利——個人信息保護(hù)權(quán)。2000年《歐盟基本權(quán)利憲章》除了在第7條規(guī)定隱私權(quán)（與ECHR第8條同）之外，還規(guī)定了第8條，將個人信息保護(hù)上升為一種獨立的公民基本權(quán)利。2009年《歐盟運行條約》（TFEU）的簽署使得憲章的規(guī)定具有了法律效力。TFEU第16條重申了個人信息保護(hù)權(quán)，為對各個領(lǐng)域的個人信息進(jìn)行全面保護(hù)提供了堅實的法律基礎(chǔ)。GDPR也正是基于第16條制定的。

基本權(quán)利具有雙重屬性，人格權(quán)本質(zhì)上是源自對作為主體的人的保護(hù)，在普通法體系下人格權(quán)被納入隱私權(quán)之中，而在大陸法系人格權(quán)被分為憲法上的人格權(quán)和私法上人格權(quán)。實際上，二者都是以保護(hù)自治和人的尊嚴(yán)為目的。但是，至今并沒有國家在民法典中直接規(guī)定個人信息保護(hù)權(quán)。個人信息保護(hù)基本上是在公民基本權(quán)利層面進(jìn)行。

無論是否基于數(shù)據(jù)主體（信息主體，本文通用）的同意，依據(jù)GDPR數(shù)據(jù)主體可以通過隨時撤回同意、拒絕性權(quán)利（限制處理權(quán)、拒絕權(quán)、拒絕自動分析約束權(quán)）、移轉(zhuǎn)權(quán)和刪除權(quán)“參與”到數(shù)據(jù)處理全過程，使數(shù)據(jù)主體在法律上（至少在法律形式上）能控制個人信息處理，防范個人信息濫用。這些權(quán)利是為了維護(hù)數(shù)據(jù)主體尊嚴(yán)，防范數(shù)據(jù)控制人的濫用行為的權(quán)利，本質(zhì)上屬于維護(hù)個人尊嚴(yán)，而非對數(shù)據(jù)的排他支配權(quán)。

我們一定要明確，GDPR是一部公民基本權(quán)利保護(hù)法，而不是一部私法或人格權(quán)法，我們不能將GDPR賦予的權(quán)利與私權(quán)直接劃等號。這樣做最大的好處是便于國際對抗和談判。因為我們很難拿保護(hù)私權(quán)在國際事務(wù)中說事，而一旦保護(hù)公民基本權(quán)利時，大家就可以相對抗并取得共識。

（二）GDPR是一部歐洲市場統(tǒng)一法

歐洲議會和歐盟理事會1995年10月24日通過《有關(guān)個人數(shù)據(jù)處理中的個人保護(hù)和所涉數(shù)據(jù)自由流通的第95/46/EC/號指令》（下稱《指令》）。借助《指令》，歐盟成員國率先開啟了制定個人信息保護(hù)單行法的潮流，并對整個世界產(chǎn)生了影響。

1991年，歐洲一體化取得重大進(jìn)展，歐共體首腦會議當(dāng)年通過了《馬斯特里赫特條約》（1993年11月正式生效），宣告了歐盟的正式成立。歐盟的目標(biāo)是統(tǒng)一歐洲市場。本來公約已經(jīng)為數(shù)據(jù)保護(hù)建立了很好的法律框架。但有些成員國拖延實施公約，而實施公約的效果也不盡相同，甚至在一些情形給個人信息向他國流動施加限制。為此，歐盟委員會非常擔(dān)心統(tǒng)一規(guī)則的缺失會妨礙內(nèi)部市場的發(fā)展，尤其是對個人信息處理在人力資源和服務(wù)自由流動扮演重要角色的行業(yè)。1990年委員會即提出指令建議案，目的有二：一是保護(hù)個人信息權(quán)利，二是消除個人信息在共同體內(nèi)部自由流通的障礙。1993年，歐共體委員會發(fā)布白皮書《增長、競爭力與就業(yè)——進(jìn)入21世紀(jì)的挑戰(zhàn)與道路》，強調(diào)信息時代的來臨不可阻擋，與建立統(tǒng)一的商品、服務(wù)、人力資源市場一樣，在歐洲建立一個統(tǒng)一的信息市場是提高歐洲全球競爭力的必備條件，而統(tǒng)一的信息法律制度是建立統(tǒng)一信息市場的基石，也是充分保護(hù)個人權(quán)利的必然要求。之后，經(jīng)過反復(fù)爭論和調(diào)研，最終在1995年10月24日《指令》獲得通過。

《指令》有雙重目的：首先它要求成員國保護(hù)自然人基本權(quán)利和自由；其次它要求成員國不要基于保護(hù)而限制或禁止個人信息在成員國之間的流動。這兩項目標(biāo)相互關(guān)聯(lián)，旨在使成員國達(dá)到相同的保護(hù)水平以實現(xiàn)內(nèi)部市場的平衡發(fā)展。這兩項目的可以從《指令》第1條立法目的規(guī)定看出，指令保護(hù)自然人的基本權(quán)利和自由，尤其是數(shù)據(jù)處理過程中的個人隱私權(quán)，但這不能成為各成員國限制或禁止數(shù)據(jù)在成員國之間合法流通的借口?！吨噶睢冯m然促成成員國更加一致化，但仍然不能提供完全一致的解決方案。這就導(dǎo)致GDPR的誕生。GDPR在形式上一改指令的指引規(guī)范，成為直接適用的歐盟法。之所以要上升為歐盟法律，是因為歐盟不滿足于各成員國在立法和實施上的差異化保護(hù)，這妨礙商品、人員、服務(wù)和資本自由流動，妨礙單一市場（The Single Market）建立。制定歐盟范圍內(nèi)統(tǒng)一的數(shù)據(jù)保護(hù)條例以取代分散立法的模式已成為歐盟實施“數(shù)字單一市場”戰(zhàn)略的重要籌碼。

筆者對GDPR簡要評價如下：GDPR通過調(diào)整個人信息處理行為來保護(hù)的對象是個人信息處理和流通過程中涉及的自然人基本權(quán)利與自由，促進(jìn)個人信息在歐盟境內(nèi)的自由流通，它是一部地地道道的以經(jīng)濟(jì)為目的的法。

二、GDPR：背離初衷的制度設(shè)計

GDPR的偉大之處在于將保護(hù)公民基本權(quán)利的法制變?yōu)橥苿雍捅Ｕ蠚W盟數(shù)字經(jīng)濟(jì)發(fā)展的法律。其基本邏輯是既然個人信息與個人有關(guān)聯(lián)，而個人是主體，就不能像對待客體那樣隨意處理。為此建立個人信息保護(hù)權(quán)來保護(hù)公民基本權(quán)利不因個人信息處理受到侵害。只要遵循統(tǒng)一的法律，個人權(quán)利就能夠在歐盟范圍得到尊重和保護(hù)，促進(jìn)個人信息在全境自由流通，同時可以高筑防御國外數(shù)字經(jīng)濟(jì)競爭的高墻。但是GDPR上述設(shè)想似乎是美好的理想，而這種理想是否能夠?qū)崿F(xiàn)還未得到充分的驗證。這里僅從理論和邏輯的角度分析GDPR，我們發(fā)現(xiàn)其制度設(shè)計背離其初衷，不能實現(xiàn)個人信息流通利用的目的。

（一）寬泛合法性基礎(chǔ)未實現(xiàn)個人信息流通

GDPR設(shè)置寬泛的合法性基礎(chǔ)旨在給社會主體使用個人信息“授權(quán)”，以避免數(shù)據(jù)使用單一受主體意志（同意）左右，形成個人信息可以為滿足不同社會目的使用的局面。但其效果并非如此。

在數(shù)據(jù)主體權(quán)利被歐盟獨立為基本權(quán)利前提下，立法對主體權(quán)利的保護(hù)被置于社會利益或數(shù)據(jù)控制者利益之上。在筆者看來，數(shù)據(jù)控制者即個人信息的使用者體現(xiàn)社會利益，因此，數(shù)據(jù)控制者的合法利益恰恰體現(xiàn)為數(shù)據(jù)的社會價值（利益）。盡管立法者認(rèn)為需要平衡個人利益和社會利益、公共利益，但在法律設(shè)計中仍然給了數(shù)據(jù)主體權(quán)利以優(yōu)先保護(hù)。這體現(xiàn)在GDPR第6條的合法性基礎(chǔ)中，“數(shù)據(jù)控制者或第三人的合法利益”是六項合法性基礎(chǔ)之一，但是需要與數(shù)據(jù)主體利益相平衡，沖突時優(yōu)先保護(hù)主體權(quán)利。也就是說，GDPR并沒有真正將數(shù)據(jù)作為社會資源，給予數(shù)據(jù)使用者應(yīng)有的地位和權(quán)利。個人權(quán)利優(yōu)先，就意味著在模棱兩可的情形下，數(shù)據(jù)使用者征詢個人的同意是最保險的做法。因此，雖然與其他五項并列，似乎數(shù)據(jù)使用者可以自由選擇合法性基礎(chǔ)，但實際上并沒有太多的自由。GDPR第6條看似給了數(shù)據(jù)使用者自主使用數(shù)據(jù)的權(quán)利（以“合法利益”作為合法基礎(chǔ)），但實際上適用相當(dāng)有限；同時即使訂立或履行合同可以作為合法基礎(chǔ)，但是考慮到其數(shù)據(jù)再利用或在初始目的之外使用，最便捷和安全的方式仍然是設(shè)置同意。這樣，GDPR縱然包含多樣的合法性基礎(chǔ)，最終仍然導(dǎo)致同意泛化。設(shè)置寬泛的合法性基礎(chǔ)并沒有給數(shù)據(jù)使用者以多少自由。這是GDPR制度設(shè)計內(nèi)在的最大缺陷。

（二）加強對主體保護(hù)未實現(xiàn)個人信息流通

歐盟對數(shù)據(jù)自由流通的促進(jìn)和保障并不是通過限制各國權(quán)力來實現(xiàn)的，而是通過提高保護(hù)水平實現(xiàn)的。其促進(jìn)個人信息自由流通的邏輯是：將個人信息保護(hù)權(quán)明確為獨立的基本權(quán)利有利于強化對個人的保護(hù)，在各國的保護(hù)規(guī)則和水平一致情形下，個人就可以增強個人信息受到保護(hù)的信心，有利于個人信息在歐盟境內(nèi)的流動利用。

在將個人信息保護(hù)上升為公民基本權(quán)利的同時，GDPR強調(diào)該權(quán)利應(yīng)當(dāng)?shù)玫浇^對保護(hù)，也就是GDPR規(guī)定了數(shù)據(jù)主體權(quán)利是一“硬”標(biāo)準(zhǔn)，任何情形下均不能削弱對主體權(quán)利的保護(hù)。只有在數(shù)據(jù)控制合規(guī)和安全義務(wù)方面，可以根據(jù)數(shù)據(jù)處理者的規(guī)模、數(shù)據(jù)處理量、數(shù)據(jù)處理方式等的不同而有所變化。所有的數(shù)據(jù)處理必須以符合法律的方式進(jìn)行，只是在實現(xiàn)方式上可以更彈性。這也就是說，從指令到GDPR，所謂基于原則的規(guī)范是不徹底的，數(shù)據(jù)主體權(quán)利的絕對性和數(shù)據(jù)控制者可以基于風(fēng)險進(jìn)行合規(guī)和安全管理是不對等的，這其實導(dǎo)致GDPR基于風(fēng)險的合規(guī)管理也變得僵硬。

強化數(shù)據(jù)主體權(quán)利的做法，意味著必然擴(kuò)充數(shù)據(jù)控制者與處理者的義務(wù)，使得數(shù)據(jù)控制者和處理者要花費更多人力和成本去履行更多義務(wù)與職責(zé)，同時意味著巨額的統(tǒng)一執(zhí)法成本。這使條例在是否能夠提升歐盟數(shù)字經(jīng)濟(jì)競爭力方面越來越受到質(zhì)疑。也就是說，GDPR制定的最終目的是促進(jìn)個人信息在歐盟境內(nèi)的自由流通（促成數(shù)字單一市場），而實現(xiàn)這個目的的手段是強化公民的個人信息保護(hù)權(quán)（立法直接目的），實際結(jié)果可能事與愿違，背離其初衷。

GDPR不僅是立法替代之前的《指令》，而且是對《指令》內(nèi)容全面系統(tǒng)的更新。其政治目的是一貫的，體現(xiàn)了歐盟試圖通過簡化和統(tǒng)一數(shù)據(jù)保護(hù)法律規(guī)則來構(gòu)筑簡明的單一市場法律環(huán)境的野心。為應(yīng)對數(shù)字化挑戰(zhàn)，GDPR企圖建立與大數(shù)據(jù)應(yīng)用相匹配的數(shù)據(jù)保護(hù)和利用法律制度體系，來促進(jìn)個人信息在歐盟內(nèi)的自由流通和使用。立法者仍然選擇強化個人信息在歐盟內(nèi)的保護(hù)水平并建立統(tǒng)一執(zhí)法路徑，來加強個人信息流通和利用過程中所涉及各類主體之間的互信感，以給歐盟企業(yè)帶來制度紅利。但這樣的目的能否實現(xiàn)，尚需考證。

尤其需要指出的是，GDPR對自由流通的保護(hù)不具有普世性，而是限定在歐盟范圍之內(nèi)。將個人信息的自由流通限定在歐盟范圍內(nèi)，實際是揭示了GDPR制定的政治目的，即促進(jìn)歐盟數(shù)字化單一市場的形成和建立。

（三）未考慮個人信息流通路徑

在GDPR的框架下，個人信息自由流通優(yōu)于個人權(quán)利保護(hù)。但是在制度設(shè)計上并沒有考慮數(shù)據(jù)自由流通，表現(xiàn)為沒有給數(shù)據(jù)控制者流通個人信息的權(quán)利。GDPR給了數(shù)據(jù)控制者基于合法性基礎(chǔ)，在特定目的范圍內(nèi)使用數(shù)據(jù)的權(quán)利，但是對于個人信息的利用仍受制于數(shù)據(jù)主體的個人意志，個人可以隨時撤回同意，也享有在特定條件下拒絕處理、刪除等權(quán)利。

在GDPR框架下，數(shù)據(jù)控制者僅享有在特定目的范圍內(nèi)使用個人信息的權(quán)利，包括在目的相容或一致時將個人信息提供給他人使用。在某種意義上，GDPR給了數(shù)據(jù)控制者在初始目的范圍內(nèi)流通個人信息的權(quán)利，只是這樣的流通利用非常有限。之所以這樣就是因為GDPR仍然嚴(yán)格堅持目的限定原則，將個人信息的利用嚴(yán)格限定于初始收集時即確定特定目的范圍內(nèi)。其背后的邏輯是個人信息與個人有關(guān)，個人雖然不能控制（阻止）他人使用，但是無論基于同意還是非基于同意的使用，均應(yīng)當(dāng)限定在特定目的必要范圍內(nèi)，這樣就實現(xiàn)了個人信息利用的可控，而不任由數(shù)據(jù)控制者使用，成為其可自由使用的資源。在某種意義上，目的限定和必要性原則使個人信息利用符合數(shù)據(jù)主體利益，使數(shù)據(jù)主體仍然可以“控制”數(shù)據(jù)的使用。也就是說，目的限定和必要性原則背后的理念是個人控制。

對于個人信息保護(hù)權(quán)一定要有正確的理解。首先它并不是一項權(quán)利，而是一項制度、一項法律原則。其完整的含義是：在處理數(shù)據(jù)主體的個人信息時，應(yīng)當(dāng)保護(hù)數(shù)據(jù)主體在個人信息上的各種權(quán)利，而這些具體權(quán)利的實現(xiàn)最終旨在保護(hù)數(shù)據(jù)主體的人權(quán)，即“基本權(quán)利和自由”。因此，它仍然屬于基本人權(quán)范疇。其次，個人信息保護(hù)權(quán)并不完全等同于GDPR第3章“數(shù)據(jù)主體權(quán)利”所規(guī)定的權(quán)利，數(shù)據(jù)主體權(quán)利只是個人信息保護(hù)權(quán)利在一些場景下的明確，是個人可以行使的具體權(quán)利，但不是法律保障的全部。但是有一點可以肯定，GDPR賦予了數(shù)據(jù)主體一攬子權(quán)利，以防范數(shù)據(jù)控制者違法或不當(dāng)處理數(shù)據(jù)，數(shù)據(jù)主體的權(quán)利因違法的個人信息處理行為而遭受侵害時，數(shù)據(jù)主體有權(quán)向當(dāng)?shù)乇O(jiān)管機(jī)構(gòu)投訴，對違法行為予以查處、糾正；同時也有權(quán)直接尋求司法救濟(jì)，向該數(shù)據(jù)控制者或數(shù)據(jù)處理者營業(yè)地所在成員國的法院提出訴訟。相比較而言，GDPR更加重視行政保護(hù)，建立了以公權(quán)力監(jiān)管機(jī)構(gòu)為核心的數(shù)據(jù)行政保護(hù)機(jī)制，目的在于保證個人信息在成員國之間的自由流動，并在歐盟的范圍內(nèi)保障給予基本權(quán)利和自由權(quán)利更高水平的保護(hù)。無論如何，這種更高水平的保護(hù)極大限制了數(shù)據(jù)的自由流通。

三、GDPR：內(nèi)在缺陷帶來的實施困境

GDPR最大的問題在于以可識別個人為標(biāo)準(zhǔn)建立了無邊界個人信息概念，建立了模糊的識別概念，同時以接觸個人信息為標(biāo)準(zhǔn)建立了無所不包的處理行為，這樣使GDPR的調(diào)整范圍漫無邊界，這也給GDPR的實施和執(zhí)行帶來很大的不確定性，成為最讓人詬病的地方。這樣的法律會造成對社會的過度干預(yù)，導(dǎo)致社會運行成本過高，甚至是徒增成本，而沒有任何積極的后果（保護(hù)數(shù)據(jù)主體權(quán)利）。GDPR本身展示了兩個相沖突的效果：一方面它旨在簡化規(guī)制環(huán)境和統(tǒng)一法律標(biāo)準(zhǔn)，降低成本；另一方面也給歐盟的公司增加了額外的負(fù)擔(dān)和成本。

（一）無邊的個人信息

GDPR對于調(diào)整對象“個人信息處理”中的個人信息采取三分法，一般個人信息、特殊個人信息和非個人信息。因此，凡符合個人信息的則適用該法，若不屬于，則不適用。個人信息范圍（及處理活動）關(guān)系著GDPR適用范圍問題。

GDPR第4條（1）對個人信息定義核心是“與自然人有關(guān)的任何信息”（any information relating to an natural person），而自然人又分為“已識別或可識別”（identified or identifiable）。兩個因素使個人信息沒有邊界：

其一，可識別的自然人。已經(jīng)識別是指知道被識別的主體是誰（知道姓名），而可識別的自然人，則是采取技術(shù)手段可以從數(shù)據(jù)中“挖掘”出某人。通常是有一個網(wǎng)絡(luò)ID或數(shù)字ID，然后再匹配更多數(shù)據(jù)進(jìn)行分析，來識別出數(shù)據(jù)主體是誰。

其二，與可識別自然人有關(guān)的任何信息。其范圍取決于識別分析技術(shù)和識別目的。如前所述，識別分識別個人身份和識別個性特征。定義后半段對個人信息進(jìn)行了不完全列舉，在這些列舉中包括了身份性信息如姓名、身份證號、定位數(shù)據(jù)、網(wǎng)絡(luò)標(biāo)識符等標(biāo)識符，也包括身體、心理、基因、精神狀態(tài)、經(jīng)濟(jì)、文化、社會等方面的個人屬性和特征信息。

在大數(shù)據(jù)分析背景下，任何數(shù)據(jù)都具有識別個人的能力，而且在很多情形下，很多身份性數(shù)據(jù)也可以分析個性特征，而個性特征方面的數(shù)據(jù)也可以分析身份。這樣，隨著分析技術(shù)的進(jìn)步具有識別性的數(shù)據(jù)就越來越多、越來越廣。

GDPR定義中關(guān)于“可識別的自然人”的任何信息，就演變?yōu)橐磺芯哂凶R別性的數(shù)據(jù)。區(qū)分個人信息與非個人信息的唯一標(biāo)準(zhǔn)就是看數(shù)據(jù)是否具有“識別性”或識別個人的能力。而數(shù)據(jù)的識別個人能力又取決于技術(shù)，這樣以識別性或識別能力為標(biāo)準(zhǔn)使得人們很難區(qū)分出個人信息與非個人信息。

荷蘭學(xué)者Nadezhda Purtova指出，29條工作組指南和歐洲法院（CJEU）的判例法促使我們判斷，在不遠(yuǎn)的將來任何事物都將包含個人信息，導(dǎo)致數(shù)據(jù)保護(hù)應(yīng)用于各種情形。當(dāng)數(shù)據(jù)驅(qū)動機(jī)構(gòu)的超級互聯(lián)網(wǎng)絡(luò)生活到來時，嚴(yán)格遵守GDPR將使其成為“萬物之法”，這本意是好的，但不可能實現(xiàn)。

筆者認(rèn)為，個人能夠控制的只有身份信息和一些基本屬性信息；我們每個人能夠判斷的單個身份信息或包含身份信息的數(shù)據(jù)集是某個人的，而一旦脫離具體的場景，脫離身份信息，我們無法判斷某個信息是否屬于個人信息或者屬于哪個人。相對而言，身份信息（包括姓名、身份證、電話等社會身份和生物識別標(biāo)識符）則是有限的。實際上，個人能夠控制的限于這些標(biāo)識信息，而我們社會人能夠判斷的也只有這些信息。除此之外的識別性個人信息是無法事先識別為某人的，而當(dāng)無法識別時我們就不能給社會主體施加注意義務(wù)，比如要求取得同意或者告知等。因此，泛在的個人信息均適用同意是不可能的，最為可行的是只有事后處理行為有危害后果時，才能行使權(quán)利。因此預(yù)防式的保護(hù)應(yīng)當(dāng)是有限的。而目前無論我國還是GDPR均面臨泛在的個人信息如何適用法律規(guī)范的難題。

（二）模糊的個人識別

識別是個保法中的核心概念，但是沒有明確的定義。識別是廣泛存在于社會交往中的一種行為，基本含義為了解一個人的品質(zhì)、特性、潛力、信用等。這里有一個假設(shè)是，知道該人是誰。識別還有另外一層含義，是在不知道是誰的時候，還可以基于過去的事實（留下來的行為痕跡）來分析是誰做的，以便令其承擔(dān)責(zé)任。利用個人相關(guān)的數(shù)據(jù)進(jìn)行這兩類識別分析，自古至今均一直存在。個人信息的大量產(chǎn)生及其分析技術(shù)的進(jìn)步導(dǎo)致人類對個體的識別分析發(fā)生翻天覆地的變化。

在過去，通常需要先接觸或知道姓名等身份信息，才能不斷收集有關(guān)于該人的信息，而且能夠關(guān)聯(lián)該個人的均是社會身份。隨著計算機(jī)的應(yīng)用，尤其在網(wǎng)絡(luò)環(huán)境下，每個計算機(jī)或網(wǎng)絡(luò)用戶注冊時一般為其分配獨一無二的標(biāo)識符（用戶ID），這樣基于網(wǎng)絡(luò)流量檢測工具就會形成關(guān)于該用戶的文檔，基于該文檔就可以對某個人的個性特征進(jìn)行分析。實際上，任何一個網(wǎng)絡(luò)和智能設(shè)備都有一個唯一性代碼，用來識別數(shù)據(jù)來源（統(tǒng)稱為用戶）。利用網(wǎng)絡(luò)用戶ID和設(shè)備ID對應(yīng)的數(shù)據(jù)（每個用戶都有獨立的用戶檔案被稱為profile），就可以對來源于該用戶的數(shù)據(jù)進(jìn)行個性識別分析（profiling）。

于是，為了適應(yīng)網(wǎng)絡(luò)環(huán)境出現(xiàn)了專門的用于識別個人的標(biāo)識符（identifier）概念。標(biāo)識符是指用來標(biāo)識某個實體的一個符號，在不同的應(yīng)用環(huán)境下有不同的含義。作為計算機(jī)語言的用語，標(biāo)識符一定是在一個處理域內(nèi)具有唯一性。標(biāo)識符也普遍地應(yīng)用于個人信息處理中，用來區(qū)分用戶或個體。標(biāo)識符屬于識別個人的信息。但并非所有識別個人的信息都可以作為標(biāo)識符。能夠唯一關(guān)聯(lián)到個人的社會身份信息、網(wǎng)絡(luò)設(shè)備ID（或數(shù)字身份）都可以成為標(biāo)識符。

在網(wǎng)絡(luò)時代，識別分析可以基于網(wǎng)絡(luò)用戶和設(shè)備ID等標(biāo)識符開展。這個時候的識別僅僅是對個體（而非群體）的識別還沒有到具體個人（識別是誰）。此時，利用網(wǎng)絡(luò)通信，也可以向該用戶聯(lián)絡(luò)，觸達(dá)該用戶。甚至在一些完全電子化的交易（合同締結(jié)和履行全部通過網(wǎng)絡(luò)進(jìn)行），識別用戶身份也是多余的。

歐盟立法者認(rèn)識到這樣的變化，將識別定義為識別個人而非識別身份。第29條工作組認(rèn)為“在互聯(lián)網(wǎng)中，網(wǎng)絡(luò)流量監(jiān)測工具的存在使得能夠容易地識別機(jī)器的行為以及機(jī)器背后的用戶”、“由于個人的接觸點（一臺電腦）在狹義上不再必須要求其身份的披露，在不需要詢問個人的名字和用戶的情況下，也能夠在其社會經(jīng)濟(jì)、生理、心理以及其他特征方面的屬性對其進(jìn)行分類并做出一定決定”。這實際上是對cookies為首的身份認(rèn)證技術(shù)的回應(yīng)，即認(rèn)為如此也是一種識別。本質(zhì)上cookies的存在是在匿名登錄下使用標(biāo)識符的一種“身份”認(rèn)證技術(shù)，此種身份是指互聯(lián)網(wǎng)個體標(biāo)簽，并不直接對應(yīng)社會身份。對于識別個人，GDPR明確了識別的路徑。但是值得注意的是，歐盟并沒有將標(biāo)識符作為唯一識別路徑，其還承認(rèn)了個人屬性與標(biāo)識符的并列地位，這意味著識別既可以僅憑標(biāo)識符或僅憑個人屬性（描述數(shù)據(jù)），或者二者結(jié)合。

因為數(shù)據(jù)之間存在聯(lián)系，并存在結(jié)合的可能，已識別與可識別本質(zhì)上就是直接識別和間接識別的區(qū)分，而間接識別的確立使得個人信息的概念變得非常廣泛。但是從GDPR的鑒于條款中，還是為個人信息向非個人信息轉(zhuǎn)換預(yù)留了窗口，例如為了確定自然人是否是可識別的，應(yīng)當(dāng)考慮所有可能使用的合理手段，比如由數(shù)據(jù)控制者或其他人直接或者間接地識別出自然人的挑選行為。為了確定手段是否可能合理地用于識別自然人，應(yīng)考慮到所有的客觀因素，比如識別所需要的費用和時間，同時考慮到當(dāng)時可用于數(shù)據(jù)處理的技術(shù)和技術(shù)的開發(fā)。

（三）泛在的信息處理

按照GDPR的定義，數(shù)據(jù)處理（processing）是指對個人信息進(jìn)行的任何操作或者一系列操作，無論其是否通過自動化手段進(jìn)行，如數(shù)據(jù)收集、記錄、組織、建構(gòu)（structuring）、存儲、改編或修改，恢復(fù)、查詢、使用、通過傳播、分發(fā)（dissemination）方式進(jìn)行披露或者其他使個人信息可被他人獲得、排列或組合、限制、清除或銷毀（destruction）的操作。

從《指令》開始，數(shù)據(jù)處理即是貫穿于個人信息保護(hù)法的基石性概念。GDPR對數(shù)據(jù)處理的概念定義幾乎與《指令》一致，只是列舉行為中多了結(jié)構(gòu)化（structuring）。GDPR對數(shù)據(jù)處理采取抽象+列舉的方式，其列舉非常全面。實際上，所有這些行為都屬于使用個人信息的行為，技術(shù)手段是否對個人權(quán)利有影響，有多少影響？是否需要法律調(diào)整？立法者根本沒有考慮。

問題不僅僅在于全面列舉，還在于這些被列舉的行為幾乎沒有規(guī)范價值。也就是說，每一種列舉的行為對于主體權(quán)利產(chǎn)生哪些影響，因而需要針對該行為采取預(yù)防或消除這些影響的規(guī)范，都不明確。比如，存儲至銷毀技術(shù)手段，對個人權(quán)利不會產(chǎn)生直接影響，甚或是保護(hù)個人權(quán)利的措施。同時，引入使用和披露（提供、傳播、分發(fā)或移轉(zhuǎn)等）行為，對主體權(quán)利存在直接影響，而法律又沒有對這些具體行為作出規(guī)范。實際上，歐盟法律對數(shù)據(jù)處理的定義是碎片化的，根本就沒有打算形成數(shù)據(jù)處理種概念（子處理行為），建立具體行為規(guī)范，而是使用抽象無所不包的數(shù)據(jù)處理定義，支撐“一般+例外”的規(guī)范技術(shù)，確立了抽象的一般行為，建立個人信息處理的一般規(guī)范。結(jié)果是使社會生活的方方面面都面臨GDPR的調(diào)整，導(dǎo)致法律/國家對社會生活的過度干預(yù)，導(dǎo)致社會運行成本上升。

GDPR對個人信息應(yīng)用最廣泛最基礎(chǔ)的處理行為——識別分析（profiling）作出定義，并對自動的識別分析作出特殊規(guī)范。這使得GDPR反映了數(shù)字時代的個人信息處理的基本方式。但是，它并沒有把識別分析作為數(shù)據(jù)處理的核心，圍繞此揭示數(shù)據(jù)處理對個人帶來的風(fēng)險，建立相應(yīng)的行為規(guī)范，只是賦予了數(shù)據(jù)主體不受自動識別分析約束的權(quán)利。

基于歐洲傳統(tǒng)的數(shù)據(jù)處理概念存在巨大缺陷。首先，擴(kuò)大了個保法適用范圍。由于數(shù)據(jù)處理存在于各種行業(yè)、領(lǐng)域和社會活動（行為）之中，無邊界的數(shù)據(jù)處理行為，使個人信息處理一般原則可以被廣泛地適用，很難界定GDPR適用邊界。比如，某人未經(jīng)他人同意上傳他人的照片，或者轉(zhuǎn)發(fā)內(nèi)含可識別他人的個人信息，就被認(rèn)為構(gòu)成個人信息的使用。其次，降低了個人信息保護(hù)適用門檻，增加社會成本。一旦將數(shù)據(jù)處理擴(kuò)張為社會活動開展廣泛存在的個人信息利用行為，那么數(shù)據(jù)處理概念就覆蓋了整個社會的個人信息利用行為。筆者認(rèn)為，這樣無所不包的個人信息處理概念已經(jīng)背離了《公約》最初的立法目的和對數(shù)據(jù)處理的定義。最后，增加法律適用的不確定性。無邊界的個人信息及外延極大的數(shù)據(jù)處理概念導(dǎo)致GDPR適用范圍在無限擴(kuò)張的同時，也與其它眾多法律出現(xiàn)交叉進(jìn)而導(dǎo)致法律競合現(xiàn)象大量發(fā)生，數(shù)據(jù)主體可以利用這一現(xiàn)象，選擇有利于自己的請求權(quán)基礎(chǔ)，導(dǎo)致適用法律的混亂。

四、《個人信息保護(hù)法》解釋適用的時代元素和方向

歐盟各成員國是歐洲委員會的主體，在《公約》頒布前后，歐盟借著實施《公約》名義，制定《指令》，踐行統(tǒng)一數(shù)據(jù)保護(hù)規(guī)則進(jìn)而統(tǒng)一市場的使命。這使歐盟立法朝著不斷強化個人權(quán)利保護(hù)的方向發(fā)展。經(jīng)濟(jì)目的的融入使歐盟的立法逐漸脫離歐洲委員會《公約》的目的和定位，使個人信息保護(hù)法具有了經(jīng)濟(jì)目標(biāo)或經(jīng)濟(jì)秩序內(nèi)容。歐盟委員會之所以要提出制定GDPR，就是因為希望“所有企業(yè)將以統(tǒng)一的個人信息保護(hù)規(guī)則向5億歐盟人銷售產(chǎn)品和提供服務(wù)……將歐盟個人信息保護(hù)標(biāo)準(zhǔn)塑造成全球標(biāo)準(zhǔn)?！睍r至今日，GDPR已經(jīng)實施4年左右，是否實現(xiàn)了當(dāng)初的經(jīng)濟(jì)目標(biāo)，還沒有充分證據(jù)佐證，但是GDPR所確立的個人信息保護(hù)標(biāo)準(zhǔn)，似乎正在成為全球標(biāo)準(zhǔn)。GDPR之所以有這么大影響力，主要是因為GDPR給其他國家一定的壓力，加上將個人信息保護(hù)納入公民基本權(quán)利有一定的“欺騙性”，增加了移植的盲目性。

GDPR的施行在全球范圍內(nèi)產(chǎn)生了巨大的影響，且這一影響還在繼續(xù)。對全球立法而言，歐盟模式是可資借鑒的，還是必須揚棄的？問題可能不僅在于要不要借鑒，還在于到底歐洲基于特定歷史背景產(chǎn)生的個人信息處理中的個人保護(hù)制度，是否適合于我國的社會經(jīng)濟(jì)文化；基于70年代IT技術(shù)產(chǎn)生的問題與大數(shù)據(jù)時代產(chǎn)生的問題是否一致，是否還能夠用前網(wǎng)絡(luò)時代的法律原則解決萬物互聯(lián)泛在網(wǎng)絡(luò)（網(wǎng)絡(luò)化、數(shù)字化、智能化）時代問題。對于此，目前似乎沒有深入系統(tǒng)的研究。《個人信息保護(hù)法》規(guī)范思路和內(nèi)容移植GDPR的成分占多數(shù)，除了用數(shù)據(jù)處理者替代數(shù)據(jù)控制者看似不一致外，約70%左右的內(nèi)容相似。筆者認(rèn)為，GDPR所遇到的困境也一定是全球的困境，我國也不例外。在《個人信息保護(hù)法》已經(jīng)生效施行的情況下，我們應(yīng)當(dāng)從當(dāng)今社會的真實問題和需要出發(fā)，為《個人信息保護(hù)法》的解釋適用注入一些時代元素，體現(xiàn)中國推進(jìn)數(shù)字經(jīng)濟(jì)的制度需求。

（一）清晰認(rèn)知技術(shù)變遷對于個保法的挑戰(zhàn)

GDPR根植歐洲特殊的政治和社會文化背景，形成于上世紀(jì)七八十年代。那時計算機(jī)剛剛開始應(yīng)用，這個時期的個人信息保護(hù)針對的是個人向特定機(jī)構(gòu)提供，主要防止特定機(jī)構(gòu)存儲后的濫用。如今個人信息主要來源于無所不在的網(wǎng)絡(luò)和傳感器自動收集的數(shù)據(jù)，無限多元數(shù)據(jù)給人類社會帶來了無窮的潛在價值（數(shù)據(jù)紅利），個人信息成為社會資源和生產(chǎn)要素?；跉W洲傳統(tǒng)的個人信息保護(hù)制度建立在人作為主體的尊嚴(yán)、自由或自治的人權(quán)保護(hù)理念上，是保護(hù)個人信息處理中的個人。雖然GDPR一再強調(diào)該法旨在促進(jìn)個人信息在歐盟境內(nèi)的自由流動，但是，建立在個人控制理論基礎(chǔ)上的規(guī)則，在為數(shù)據(jù)控制者設(shè)定繁雜而又模糊的條件和程序的同時，似乎并沒有真正促進(jìn)個人信息的流動。實際上，GDPR根本就不是在資源意義上看待個人信息，它根本就沒有將個人信息的分享或流通利用作為一項目標(biāo)，而這恰恰是個人信息資源化要解決的問題。

現(xiàn)在人類進(jìn)入了萬物互聯(lián)的數(shù)字化時代，這相比上世紀(jì)70年代的技術(shù)環(huán)境發(fā)生了巨大變化。那個時期IT和計算機(jī)網(wǎng)絡(luò)只是人們收集、存儲、加工處理、傳輸甚或發(fā)布個人信息的工具，而今天的網(wǎng)絡(luò)則已經(jīng)直接產(chǎn)生（生產(chǎn)）可以分析使用的數(shù)據(jù)。在這個時代，個人信息的生產(chǎn)發(fā)生了巨大變化，這種變化導(dǎo)致個人控制越來越難。經(jīng)過不斷的通信技術(shù)發(fā)展和應(yīng)用，人類已經(jīng)進(jìn)入到網(wǎng)絡(luò)化、數(shù)字化、智能化時代，個人信息應(yīng)用的場景、目的、方式、規(guī)模等已經(jīng)發(fā)生了巨大變化。個人對個人信息的控制能力也隨之越來越弱甚至不可能。在這種情形下，對于個人信息處理中主體權(quán)利保護(hù)相關(guān)規(guī)則的理解，應(yīng)當(dāng)從主體自身的防御規(guī)范轉(zhuǎn)向更為適合的行為規(guī)范。

筆者以網(wǎng)絡(luò)普及應(yīng)用作為分界點，尤其是大數(shù)據(jù)概念出現(xiàn)為分界，將數(shù)據(jù)收集和使用的變化簡述如下：

在時代發(fā)生變遷的情形下，個人對個人信息的控制對于個人尊嚴(yán)或自由的維護(hù)仍然有價值、有意義，但是，我們不能為了控制而控制，為社會主體施加繁重的合規(guī)任務(wù)，還不能有效地保護(hù)數(shù)據(jù)主體的權(quán)利，徒增社會成本。

因此必須在規(guī)則解釋適用中尋找到切實有效的保護(hù)個人權(quán)利的路徑和方法。筆者認(rèn)為，我國《個人信息保護(hù)法》的解釋適用，應(yīng)當(dāng)充分觀照當(dāng)今技術(shù)新發(fā)展應(yīng)用的新需求，以實現(xiàn)“促進(jìn)個人信息合理利用”的立法目的。這里的關(guān)鍵是在將個人信息視為社會資源視角上來整體理解《個人信息保護(hù)法》的所有規(guī)則。這就要求，將個人信息視為社會可利用的資源，而不是個人控制的資源，要求個保法基礎(chǔ)理論不斷更新。

（二）深刻把握個人信息是社會資源的基本定位

無論美國還是歐洲，個人信息保護(hù)的理論基礎(chǔ)是基于主體自主意義上的個人控制論，認(rèn)為個人應(yīng)當(dāng)對關(guān)于個人信息的處理予以一定程度的控制，以免個人信息的處理侵犯主體的尊嚴(yán)和自由。雖然歐盟的個人信息保護(hù)法仍然堅持個人信息是社會可用的資源，而不是屬于個人資源，立法賦予個人對個人信息處理的防御性權(quán)利并沒有被演繹為個人信息決定權(quán)。即使在理論上存在個人信息自決權(quán)，但仍然是憲法上的權(quán)利，而不是民法上的私權(quán)。不過，GDPR將個人控制貫穿于個人信息處理全生命周期，讓個人參與到數(shù)據(jù)處理過程，防范處理行為對主體權(quán)利的侵害，其實是達(dá)到個人決定效果。

如前所述，GDPR貫穿了一條非常明顯的主線，就是強化數(shù)據(jù)主體對于數(shù)據(jù)的控制以平衡雙方能力之不平等，該法建立在“個人控制論”理論的基礎(chǔ)上。歐洲個人信息保護(hù)的邏輯是：個人信息是人的延伸，而人應(yīng)當(dāng)獨立自主（自治），因而個人信息亦應(yīng)當(dāng)由數(shù)據(jù)主體掌控，體現(xiàn)個人意志。GDPR沒有將同意上升為一種權(quán)利，避免使個人信息的利用（處理）淪為個人決定（承認(rèn)個人決定權(quán)），但是因同意最宜證明合規(guī)且可以實現(xiàn)更多的使用目的，同意被廣泛使用。同意的價值在于讓數(shù)據(jù)主體控制其信息的使用目的，使個人對數(shù)據(jù)使用具有可控性。同時，GDPR又給予個人許多權(quán)利（拒絕、刪除等），使其可以參與到數(shù)據(jù)處理活動，防止有害于其主體尊嚴(yán)或自由的處理。在以個人控制論為基礎(chǔ)的個人信息立法中，價值序列的最高層不是以個人行為自由為基礎(chǔ)的信息收集、處理和利用自由，而是信息主體對自己的個人信息的控制。

但是，有越來越多的學(xué)者開始質(zhì)疑絕對的個人信息控制論，認(rèn)為加強個人控制無法滿足社會經(jīng)濟(jì)和現(xiàn)實發(fā)展的需要。主體控制是建立在理性人假設(shè)基礎(chǔ)上，它假定人們可以憑借自己的意志很好地料理自己的事情，不需要國家來干涉。然而，在數(shù)據(jù)處理行為中，個人并不一定可以做出最有利于自身的選擇，建立在知情同意基礎(chǔ)之上的控制是無力的，其核心問題在于，個人無法對其數(shù)據(jù)進(jìn)行全面的、有意義的控制，在初次數(shù)據(jù)收集時，個人也不具備評估后續(xù)隱私風(fēng)險的能力。信息分享和利用是信息的本質(zhì)屬性，商業(yè)因信息的流通而發(fā)展，人類因信息的流通而構(gòu)建親密關(guān)系，知識因為信息的流通（分享）而惠及更多人。個人信息本質(zhì)上是可以為人所用的，不應(yīng)當(dāng)被個人控制，需要法律調(diào)控的是人利用和處理信息的行為，而不是個人信息本身。事實上，個人信息（數(shù)據(jù)）保護(hù)基本含義是保護(hù)個人主體權(quán)利不因信息處理受到侵害，而不是保護(hù)個人對個人信息的控制。

從《公約》到《指令》，再到各成員國立法，個人信息保護(hù)已經(jīng)被作為一項公民的基本權(quán)利加以保護(hù)，并建立了公法和私法救濟(jì)為一體的救濟(jì)體系。GDPR只有沿著這個方向繼續(xù)前行并強化數(shù)據(jù)主體權(quán)利，才更加有說服力。歐盟2012年提出制定GDPR試圖解決大數(shù)據(jù)時代個人信息面臨的新問題。于是，進(jìn)一步擴(kuò)張數(shù)據(jù)主體權(quán)利成為GDPR的唯一選擇。比如GDPR在進(jìn)一步確認(rèn)和完善個人既有的權(quán)利外，還增加了刪除權(quán)（被遺忘權(quán)）、持續(xù)控制權(quán)（又譯為數(shù)據(jù)便攜權(quán)）等權(quán)利，以給予個人對數(shù)據(jù)更有效地控制，進(jìn)一步保障數(shù)據(jù)主體的基本權(quán)利與自由。這樣，歐盟在個人控制道路上越走越遠(yuǎn)。

GDPR通過賦予個人控制其數(shù)據(jù)的權(quán)利來賦予個人權(quán)力的理念看起來是虛幻的，因此，對于個人信息控制論的反思，將會是未來理論和實務(wù)界共同的面向，也是GDPR成為全球數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)必須面對的理論挑戰(zhàn)。如果說受到歐洲政治文化傳統(tǒng)和早期立法束縛很難有所突破，那么世界其他國家應(yīng)當(dāng)有獨立的反思。在筆者看來，個人信息保護(hù)的目的是保護(hù)主體權(quán)利，而這樣的保護(hù)不是通過個人控制信息的使用實現(xiàn)的，而是通過法律規(guī)范個人信息的使用行為（處理）來實現(xiàn)的。

《意見》提出數(shù)據(jù)作為生產(chǎn)要素，顯然包括個人和非個人信息在內(nèi)的數(shù)據(jù)都應(yīng)當(dāng)成為社會利用的資源。因為數(shù)據(jù)作為生產(chǎn)要素要求數(shù)據(jù)能夠為各個組織在各個領(lǐng)域應(yīng)用，提升數(shù)據(jù)智能分析和智能決策能力，進(jìn)而改進(jìn)整個社會的運營績效和效率。個人信息作為生產(chǎn)要素并不意味著所有的個人信息都可以進(jìn)入市場，成為可交易的東西，凡是促進(jìn)數(shù)據(jù)社會化分享利用的都是在發(fā)揮數(shù)據(jù)要素的作用。在某種意義上，個人在參與社會活動，向交往相對人提供個人信息也是個人信息的分享利用，但這基本上是個人利益的維度的利用方式；而且傳統(tǒng)個保法的宗旨是個人信息利用的范圍僅限于個人同意或法定事由目的的必要范圍，超出該目的原則上就屬于違法使用。這樣做的目的是，使個人信息的利用維持在可控制范圍內(nèi)，以維護(hù)數(shù)據(jù)主體的尊嚴(yán)或自由。而數(shù)據(jù)作為生產(chǎn)要素（即作為資源）則要求關(guān)于個人的數(shù)據(jù)能夠為社會利益（社會發(fā)展和福祉改善）作出貢獻(xiàn)，能夠為社會主體可用。這是因為每個人都是社會的一個分子，每個人不是孤立的存在，個人的數(shù)據(jù)既有個體價值，也有社會整體價值。忽略社會整體價值，不承認(rèn)社會主體對個人信息的利用權(quán)是片面的、不完整的。因此，個人信息在法律屬性上應(yīng)當(dāng)定位于非完全由個人控制的可用的社會資源。

因此，切不可以個人控制其個人信息的理念來理解和解釋適用《個人信息保護(hù)法》的規(guī)則整體，應(yīng)時刻注意《個人信息保護(hù)法》的具體規(guī)則與“保護(hù)個人信息權(quán)益，規(guī)范個人信息處理活動，促進(jìn)個人信息合理利用”這一立法目的的價值一貫和體系統(tǒng)一。在社會資源意義上定位個人信息或個人信息對個保法理論基礎(chǔ)提出新要求，需要更新理論，以助力平衡個體利益（主體權(quán)利）和社會利益的目標(biāo)順利實現(xiàn)。

個人信息是大數(shù)據(jù)的重要組成部分，也是重要的社會資源。實現(xiàn)數(shù)據(jù)要素市場化配置是《意見》提出的重要制度目標(biāo)。數(shù)據(jù)作為生產(chǎn)要素，其價值在于能夠通過智能分析發(fā)現(xiàn)新知識，而數(shù)據(jù)的市場化配置可以對數(shù)據(jù)進(jìn)行社會化分析利用，以便數(shù)據(jù)分析使用者獲取數(shù)據(jù)，支撐科學(xué)研究、社會治理和商業(yè)決策。但是，任何個人信息處理和應(yīng)用均應(yīng)當(dāng)遵循《個人信息保護(hù)法》，保護(hù)信息主體權(quán)利，防范隱私和安全風(fēng)險。平衡信息主體權(quán)利和社會價值是我國《個人信息保護(hù)法》具體制度解釋適用的重要方向。

（三）準(zhǔn)確理解個人信息及處理等核心概念

個人信息最主要的功能是識別個人，因而個保立法多以識別來定義個人信息，它導(dǎo)致的結(jié)果是建立泛在的個人信息及泛在的個人信息處理，背離了個保法旨在防范個人信息處理可能引發(fā)的侵害個人權(quán)利的風(fēng)險目的，最終導(dǎo)致法律對社會的過度干預(yù)，徒增社會運行成本。

為避免這一弊端，在理解《個人信息保護(hù)法》第4條第1款的個人信息概念時，應(yīng)注意把握“關(guān)聯(lián)”這一核心要件，即個人信息是與特定自然人有關(guān)聯(lián)的信息?？膳c特定個人關(guān)聯(lián)的個人信息是有限的，可識別和可判斷的，以此為基礎(chǔ)設(shè)置社會主體禁止義務(wù)（建立非經(jīng)同意不得處理規(guī)則）是合理、正當(dāng)?shù)?，也是可操作的。而可以用于識別個人的信息廣袤無邊，讓信息主體參與到處理活動的每個環(huán)節(jié)，不具有實際意義（徒增合規(guī)成本）。

同時，在理解《個人信息保護(hù)法》第4條第2款的個人信息處理時，應(yīng)注意把握“識別分析”這一最關(guān)鍵的處理行為。識別分析是信息處理行為目的，對信息處理行為設(shè)定條件、程序、明確處理者義務(wù)以及侵害信息主體權(quán)益的責(zé)任是個保法核心。這樣就區(qū)分出個人信息控制和個人信息處理行為控制：在前者，個人可以實施控制（同意作為合法性基礎(chǔ)）；對于后者則主要由法律調(diào)控，明確處理者義務(wù)，維護(hù)個人權(quán)益（必要時設(shè)置信息主體的主動請求權(quán)利，如更正、拒絕或刪除）。與此相配套，個人信息處理概念應(yīng)當(dāng)圍繞識別分析。

（四）明確主張去標(biāo)識化信息可以利用規(guī)則

個人信息的價值在于識別，“經(jīng)過處理無法識別特定自然人”的數(shù)據(jù)（或數(shù)據(jù)集）即轉(zhuǎn)化為抽象信息或知識，不再擁有識別個人的價值，即使可以分享利用，那也不是數(shù)據(jù)資源社會化利用。實際上，在大數(shù)據(jù)環(huán)境下，識別一個人取決于你掌握多少數(shù)據(jù)和采取什么樣的算法。也就是說，處理數(shù)據(jù)使其無法識別是保障信息安全的措施，而不是阻止人們識別的辦法。

在個人信息是可用的社會資源背景下，《個人信息保護(hù)法》的精神中蘊含著既保護(hù)個人權(quán)益又促進(jìn)分享利用的制度規(guī)則，這便是去標(biāo)識數(shù)據(jù)的分享利用制度。當(dāng)一個數(shù)據(jù)集去除與個人關(guān)聯(lián)的信息（包括直接或間接關(guān)聯(lián)的信息，實踐稱為標(biāo)識符，廣義上的身份/ID信息）后，即可以防范個人信息處理對隱私的侵害，尤其減少處理中的信息泄露對個人安全的危害風(fēng)險。去標(biāo)識后的個人信息仍然可以用于識別分析，仍然適用《個人信息保護(hù)法》規(guī)定，只是應(yīng)區(qū)分應(yīng)用場景，適用不同規(guī)則：當(dāng)不需要識別身份時，則不需要同意；當(dāng)需要識別身份時，則需要取得主體同意。這樣就在個人權(quán)益受到尊重的前提下，使個人信息得到社會化利用，發(fā)揮其社會價值。

因此，應(yīng)當(dāng)深刻把握《個人信息保護(hù)法》第73條第3項對于去標(biāo)識化的定義，將去標(biāo)識理解為“是對數(shù)據(jù)集進(jìn)行處理，以減少數(shù)據(jù)集中與特定個人相關(guān)聯(lián)信息的風(fēng)險”，并在解釋適用中肯定去標(biāo)識數(shù)據(jù)集可分享利用的規(guī)則，即去標(biāo)識個人信息可不經(jīng)同意而對外提供，但使用去標(biāo)識個人信息須遵守個保法規(guī)定?！秱€人信息保護(hù)法》規(guī)定的匿名化系作為個人信息安全存管措施，而不是個人信息分享利用（對外提供）的規(guī)則。

五、結(jié)語

個人信息既承載個人利益（主體價值），也關(guān)系社會整體（各信息使用者）利益，每個個體的數(shù)據(jù)都成為社會共同體數(shù)據(jù)資源的組成部分。通過個人信息識別社會個體，是商業(yè)運營、公共服務(wù)、社會交往等活動開展的必要條件，因而個人信息是可用的社會資源，由此數(shù)據(jù)被視為生產(chǎn)要素。但是，個人信息的使用關(guān)涉?zhèn)€人隱私、尊嚴(yán)等主體權(quán)益，個人信息的收集和使用必須加以規(guī)范，從而確保個人主體權(quán)益不受侵犯。通過規(guī)范個人信息的處理行為，《個人信息保護(hù)法》是保護(hù)個人主體權(quán)益而不是保護(hù)個人信息本身，是防范濫用而不是由個人控制的使用。個人信息具有社會資源屬性，要確立個人信息可合法正當(dāng)使用原則。

我國《個人信息保護(hù)法》在立法過程中參考借鑒了GDPR的部分制度架構(gòu)和制度設(shè)計，因此在《個人信息保護(hù)法》解釋適用過程中參考借鑒GDPR也無法避免。但是要對GDPR的失敗之處有深刻洞察和清醒認(rèn)知。近來歐盟陸續(xù)提出《數(shù)據(jù)治理法》《數(shù)據(jù)法》等立法建議，即系試圖力挽狂瀾之舉，當(dāng)然效果如何有待觀察，但至少說明歐洲人自己也已經(jīng)意識到GDPR的困境所在。故在解釋適用我國《個人信息保護(hù)法》方面對GDPR必須采取批判性借鑒的態(tài)度，避免落入GDPR的陷阱。我們應(yīng)當(dāng)有制度自信，堅持個人信息可使用的總基調(diào)，保護(hù)數(shù)據(jù)處理者合法利益，為打造中國特色的數(shù)據(jù)要素市場奠定規(guī)范基礎(chǔ)。

特別聲明：以上文章內(nèi)容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。