走出去智庫觀察

5月10日，英國查爾斯王子代表伊麗莎白女王發表“女王議會演講”，演講包括有望在新的一年獲得通過的38部法案，其中之一是《數據改革法案》（Data Reform Bill）。該法案旨在指導英國偏離歐盟隱私立法，尋求簡化數據保護相關立法并減少繁文縟節，通過創建一種更靈活、以結果為中心的方法來減輕企業的負擔，同時還引入了更明確的個人數據使用規則。

走出去智庫（CGGT）觀察到，英國的數據保護法雖然借鑒了歐盟的《統一數據保護條例》（GDPR），但對GDPR監管的復雜性有所修改。被譽為目前世界上最全面的數據隱私法的GDPR于2018年5月正式生效，其細致、頻繁的調查和嚴厲的處罰措施對全球的互聯網科技企業，尤其是臉書、亞馬遜、谷歌等科技巨頭公司的合規和隱私策略產生了重大影響，同時也令各國政策制定者和監管機構越來越意識到隱私對公民、企業和社會的重要性，啟發了各國的立法思路，進而在多個維度上推動全球隱私保護的治理格局產生變化。然而經過多年實踐發現，GDPR雖然提高了個人數據保護的力度，但其實施卻屢陷爭議。

GDPR存在哪些問題？有何借鑒？今天，走出去智庫（CGGT）刊發華東政法大學數據法律研究中心主任高富平的文章，供關注數據合規管理的讀者參考。

要 點

CGGT，CHINA GOING GLOBAL THINKTANK

1、設置寬泛的合法性基礎并沒有給數據使用者以多少自由。這是GDPR制度設計內在的最大缺陷。

2、由于數據處理存在于各種行業、領域和社會活動（行為）之中，無邊界的數據處理行為，使個人信息處理一般原則可以被廣泛地適用，很難界定GDPR適用邊界。

3、個人信息最主要的功能是識別個人，因而個保立法多以識別來定義個人信息，它導致的結果是建立泛在的個人信息及泛在的個人信息處理，背離了個保法旨在防范個人信息處理可能引發的侵害個人權利的風險目的，最終導致法律對社會的過度干預，徒增社會運行成本。

正 文

CGGT，CHINA GOING GLOBAL THINKTANK

文/高富平

華東政法大學教授

數據法律研究中心主任

2020年3月30日，中共中央、國務院發布了《關于構建更加完善的要素市場化配置體制機制的意見》（下稱《意見》），提出土地、勞動力、資本、技術、數據五大生產要素。這是著眼于數字經濟背景下的市場要素的新定位，具有非常重要的意義。不過，數字經濟發展面臨個人信息濫用和安全風險。我國自2012年開始移植域外的個人信息保護制度，并于去年頒布了《個人信息保護法》，11月1日正式生效實施。《個人信息保護法》的制定實施，有利于克服分散立法、規則不統一的弊端，更有助于建構我國的個人信息保護制度。但在《個人信息保護法》貫徹實施之中，個人保護與個人信息流通利用需求之間的沖突不可小覷。顯然，在法律實施伊始就質疑立法太欠妥當。為此，筆者通過對我國立法有深度影響的《統一數據保護條例》（縮寫GDPR，以下使用縮寫）的分析，揭示個人信息保護法實施可能面臨的問題。

個人信息保護制度源自于域外，GDPR就是在特定時代特定社會政治經濟背景下產生的個保法不斷演進的產物。但它既不能適應當今時代發展需要，更不應該是“放之四海”的準則。GDPR潛在的制度缺陷和對歐盟數字經濟的掣肘正在顯現。因而在GDPR生效不久，歐盟委員會即開始制定促進數據流通利用或分享的制度，以緩解或校正GDPR的缺陷。2020年11月25日，歐盟委員會曾向歐盟立法機構提出《數據治理條例建議案》，旨在促進各部門和成員國之間的數據分享，并將數據分享（data sharing）作為數據戰略的一個關鍵支柱。這種新的數據治理方式將增加對數據分享的信任，加強提高數據可用性的機制，并克服數據重用（re-use）方面的技術障礙。2022年又提出《數據法建議案》以確保企業與企業之間（B2B）合法的數據分享（流通）和使用，以創建公平的數據經濟。兩個建議案有著共同的目標和內容，都是為了解決歐盟單一數字經濟發展面臨的制度障礙。

顯然上世紀七八十年代形成的以保護個人權利為中心的個人信息保護規則已經不能適應數據資源化、生產要素化的需要，甚至與該要求相悖。在數據驅動發展背景下，包括歐盟在內的世界各國正在探討新的解決路徑。在這樣的背景下，如何解釋和適用《個人信息保護法》，避免繼續墜入GDPR的困境，是我國應當警惕的。本文旨在剖析GDPR內在的缺陷和原因，并在此基礎上提出《個人信息保護法》解釋和適用的方向，以緩解個人信息保護與社會經濟發展之間的沖突和矛盾。

一、GDPR的基本定位

GDPR具有雙重目的：一方面是保護個人數據（個人信息，本文通用）處理和流通過程中所涉及到的自然人的基本權利與自由，尤其保護其個人信息保護權；另一方面是促進個人信息在歐盟境內的自由流通。這兩個目的所代表的價值追求是對立的，GDPR開出的處方是統一數據保護水平，強化個人信息保護權，增強公民信心從而實現個人信息的流動利用。GDPR根本就沒有考慮個人信息的資源屬性，給予數據控制者以流動數據的權利，實現數據流通利用。這樣的設想是美好的，但法律實施效果甚或人們的解讀并不是那么美好。

（一）GDPR是一部基本權利保護法

世界各國均將個人信息保護視為保護個人尊嚴或自由的一項基本人權（或基本權利），個保法是基本人權保護法。

歐洲的個人信息保護立法源自于歐洲委員會在1981年制定的《個人信息自動處理中的個人保護公約》（下稱《公約》），該《公約》是為了落實《歐洲人權公約》（縮寫ECHR，1953年9月生效）。ECHR中的第8條（尊重私人和家庭生活的權利）是《世界人權公約》第12條在歐洲法中的體現，《世界人權宣言》第12條和ECHR第8條中“家庭”和“通信”在世界許多國家憲法中均已確立并有相當的歷史了，但“隱私”和“私人生活”則是新的。由此歐洲將個人尊嚴和家庭生活受尊重，視為公民最為重要的基本權利之一。《公約》即是用來貫徹EUHR第8條，將個人信息保護視為“尊重私人生活”這一基本人權的重要內容。

基于對私人生活的理解，歐洲人權法院將其分為三種類型（類型間可能有重疊）：（1）包括了身體的、精神的完整；（2）隱私；（3）身份和自主。而數據保護被囊括進隱私類別之中，他們認為，使用個人信息對個人進行不可預測的分析可能對言論自由、隱私權和身份權（the right to privacy and identity），以及個人自決造成影響。因此，歐洲個保法制度源自基本人權保護，源自人權意義上的隱私權。

但是，之后歐盟落實《公約》過程中，將個人信息從隱私權中獨立出來成為一項獨立的基本權利——個人信息保護權。2000年《歐盟基本權利憲章》除了在第7條規定隱私權（與ECHR第8條同）之外，還規定了第8條，將個人信息保護上升為一種獨立的公民基本權利。2009年《歐盟運行條約》（TFEU）的簽署使得憲章的規定具有了法律效力。TFEU第16條重申了個人信息保護權，為對各個領域的個人信息進行全面保護提供了堅實的法律基礎。GDPR也正是基于第16條制定的。

基本權利具有雙重屬性，人格權本質上是源自對作為主體的人的保護，在普通法體系下人格權被納入隱私權之中，而在大陸法系人格權被分為憲法上的人格權和私法上人格權。實際上，二者都是以保護自治和人的尊嚴為目的。但是，至今并沒有國家在民法典中直接規定個人信息保護權。個人信息保護基本上是在公民基本權利層面進行。

無論是否基于數據主體（信息主體，本文通用）的同意，依據GDPR數據主體可以通過隨時撤回同意、拒絕性權利（限制處理權、拒絕權、拒絕自動分析約束權）、移轉權和刪除權“參與”到數據處理全過程，使數據主體在法律上（至少在法律形式上）能控制個人信息處理，防范個人信息濫用。這些權利是為了維護數據主體尊嚴，防范數據控制人的濫用行為的權利，本質上屬于維護個人尊嚴，而非對數據的排他支配權。

我們一定要明確，GDPR是一部公民基本權利保護法，而不是一部私法或人格權法，我們不能將GDPR賦予的權利與私權直接劃等號。這樣做最大的好處是便于國際對抗和談判。因為我們很難拿保護私權在國際事務中說事，而一旦保護公民基本權利時，大家就可以相對抗并取得共識。

（二）GDPR是一部歐洲市場統一法

歐洲議會和歐盟理事會1995年10月24日通過《有關個人數據處理中的個人保護和所涉數據自由流通的第95/46/EC/號指令》（下稱《指令》）。借助《指令》，歐盟成員國率先開啟了制定個人信息保護單行法的潮流，并對整個世界產生了影響。

1991年，歐洲一體化取得重大進展，歐共體首腦會議當年通過了《馬斯特里赫特條約》（1993年11月正式生效），宣告了歐盟的正式成立。歐盟的目標是統一歐洲市場。本來公約已經為數據保護建立了很好的法律框架。但有些成員國拖延實施公約，而實施公約的效果也不盡相同，甚至在一些情形給個人信息向他國流動施加限制。為此，歐盟委員會非常擔心統一規則的缺失會妨礙內部市場的發展，尤其是對個人信息處理在人力資源和服務自由流動扮演重要角色的行業。1990年委員會即提出指令建議案，目的有二：一是保護個人信息權利，二是消除個人信息在共同體內部自由流通的障礙。1993年，歐共體委員會發布白皮書《增長、競爭力與就業——進入21世紀的挑戰與道路》，強調信息時代的來臨不可阻擋，與建立統一的商品、服務、人力資源市場一樣，在歐洲建立一個統一的信息市場是提高歐洲全球競爭力的必備條件，而統一的信息法律制度是建立統一信息市場的基石，也是充分保護個人權利的必然要求。之后，經過反復爭論和調研，最終在1995年10月24日《指令》獲得通過。

《指令》有雙重目的：首先它要求成員國保護自然人基本權利和自由；其次它要求成員國不要基于保護而限制或禁止個人信息在成員國之間的流動。這兩項目標相互關聯，旨在使成員國達到相同的保護水平以實現內部市場的平衡發展。這兩項目的可以從《指令》第1條立法目的規定看出，指令保護自然人的基本權利和自由，尤其是數據處理過程中的個人隱私權，但這不能成為各成員國限制或禁止數據在成員國之間合法流通的借口。《指令》雖然促成成員國更加一致化，但仍然不能提供完全一致的解決方案。這就導致GDPR的誕生。GDPR在形式上一改指令的指引規范，成為直接適用的歐盟法。之所以要上升為歐盟法律，是因為歐盟不滿足于各成員國在立法和實施上的差異化保護，這妨礙商品、人員、服務和資本自由流動，妨礙單一市場（The Single Market）建立。制定歐盟范圍內統一的數據保護條例以取代分散立法的模式已成為歐盟實施“數字單一市場”戰略的重要籌碼。

筆者對GDPR簡要評價如下：GDPR通過調整個人信息處理行為來保護的對象是個人信息處理和流通過程中涉及的自然人基本權利與自由，促進個人信息在歐盟境內的自由流通，它是一部地地道道的以經濟為目的的法。

二、GDPR：背離初衷的制度設計

GDPR的偉大之處在于將保護公民基本權利的法制變為推動和保障歐盟數字經濟發展的法律。其基本邏輯是既然個人信息與個人有關聯，而個人是主體，就不能像對待客體那樣隨意處理。為此建立個人信息保護權來保護公民基本權利不因個人信息處理受到侵害。只要遵循統一的法律，個人權利就能夠在歐盟范圍得到尊重和保護，促進個人信息在全境自由流通，同時可以高筑防御國外數字經濟競爭的高墻。但是GDPR上述設想似乎是美好的理想，而這種理想是否能夠實現還未得到充分的驗證。這里僅從理論和邏輯的角度分析GDPR，我們發現其制度設計背離其初衷，不能實現個人信息流通利用的目的。

（一）寬泛合法性基礎未實現個人信息流通

GDPR設置寬泛的合法性基礎旨在給社會主體使用個人信息“授權”，以避免數據使用單一受主體意志（同意）左右，形成個人信息可以為滿足不同社會目的使用的局面。但其效果并非如此。

在數據主體權利被歐盟獨立為基本權利前提下，立法對主體權利的保護被置于社會利益或數據控制者利益之上。在筆者看來，數據控制者即個人信息的使用者體現社會利益，因此，數據控制者的合法利益恰恰體現為數據的社會價值（利益）。盡管立法者認為需要平衡個人利益和社會利益、公共利益，但在法律設計中仍然給了數據主體權利以優先保護。這體現在GDPR第6條的合法性基礎中，“數據控制者或第三人的合法利益”是六項合法性基礎之一，但是需要與數據主體利益相平衡，沖突時優先保護主體權利。也就是說，GDPR并沒有真正將數據作為社會資源，給予數據使用者應有的地位和權利。個人權利優先，就意味著在模棱兩可的情形下，數據使用者征詢個人的同意是最保險的做法。因此，雖然與其他五項并列，似乎數據使用者可以自由選擇合法性基礎，但實際上并沒有太多的自由。GDPR第6條看似給了數據使用者自主使用數據的權利（以“合法利益”作為合法基礎），但實際上適用相當有限；同時即使訂立或履行合同可以作為合法基礎，但是考慮到其數據再利用或在初始目的之外使用，最便捷和安全的方式仍然是設置同意。這樣，GDPR縱然包含多樣的合法性基礎，最終仍然導致同意泛化。設置寬泛的合法性基礎并沒有給數據使用者以多少自由。這是GDPR制度設計內在的最大缺陷。

（二）加強對主體保護未實現個人信息流通

歐盟對數據自由流通的促進和保障并不是通過限制各國權力來實現的，而是通過提高保護水平實現的。其促進個人信息自由流通的邏輯是：將個人信息保護權明確為獨立的基本權利有利于強化對個人的保護，在各國的保護規則和水平一致情形下，個人就可以增強個人信息受到保護的信心，有利于個人信息在歐盟境內的流動利用。

在將個人信息保護上升為公民基本權利的同時，GDPR強調該權利應當得到絕對保護，也就是GDPR規定了數據主體權利是一“硬”標準，任何情形下均不能削弱對主體權利的保護。只有在數據控制合規和安全義務方面，可以根據數據處理者的規模、數據處理量、數據處理方式等的不同而有所變化。所有的數據處理必須以符合法律的方式進行，只是在實現方式上可以更彈性。這也就是說，從指令到GDPR，所謂基于原則的規范是不徹底的，數據主體權利的絕對性和數據控制者可以基于風險進行合規和安全管理是不對等的，這其實導致GDPR基于風險的合規管理也變得僵硬。

強化數據主體權利的做法，意味著必然擴充數據控制者與處理者的義務，使得數據控制者和處理者要花費更多人力和成本去履行更多義務與職責，同時意味著巨額的統一執法成本。這使條例在是否能夠提升歐盟數字經濟競爭力方面越來越受到質疑。也就是說，GDPR制定的最終目的是促進個人信息在歐盟境內的自由流通（促成數字單一市場），而實現這個目的的手段是強化公民的個人信息保護權（立法直接目的），實際結果可能事與愿違，背離其初衷。

GDPR不僅是立法替代之前的《指令》，而且是對《指令》內容全面系統的更新。其政治目的是一貫的，體現了歐盟試圖通過簡化和統一數據保護法律規則來構筑簡明的單一市場法律環境的野心。為應對數字化挑戰，GDPR企圖建立與大數據應用相匹配的數據保護和利用法律制度體系，來促進個人信息在歐盟內的自由流通和使用。立法者仍然選擇強化個人信息在歐盟內的保護水平并建立統一執法路徑，來加強個人信息流通和利用過程中所涉及各類主體之間的互信感，以給歐盟企業帶來制度紅利。但這樣的目的能否實現，尚需考證。

尤其需要指出的是，GDPR對自由流通的保護不具有普世性，而是限定在歐盟范圍之內。將個人信息的自由流通限定在歐盟范圍內，實際是揭示了GDPR制定的政治目的，即促進歐盟數字化單一市場的形成和建立。

（三）未考慮個人信息流通路徑

在GDPR的框架下，個人信息自由流通優于個人權利保護。但是在制度設計上并沒有考慮數據自由流通，表現為沒有給數據控制者流通個人信息的權利。GDPR給了數據控制者基于合法性基礎，在特定目的范圍內使用數據的權利，但是對于個人信息的利用仍受制于數據主體的個人意志，個人可以隨時撤回同意，也享有在特定條件下拒絕處理、刪除等權利。

在GDPR框架下，數據控制者僅享有在特定目的范圍內使用個人信息的權利，包括在目的相容或一致時將個人信息提供給他人使用。在某種意義上，GDPR給了數據控制者在初始目的范圍內流通個人信息的權利，只是這樣的流通利用非常有限。之所以這樣就是因為GDPR仍然嚴格堅持目的限定原則，將個人信息的利用嚴格限定于初始收集時即確定特定目的范圍內。其背后的邏輯是個人信息與個人有關，個人雖然不能控制（阻止）他人使用，但是無論基于同意還是非基于同意的使用，均應當限定在特定目的必要范圍內，這樣就實現了個人信息利用的可控，而不任由數據控制者使用，成為其可自由使用的資源。在某種意義上，目的限定和必要性原則使個人信息利用符合數據主體利益，使數據主體仍然可以“控制”數據的使用。也就是說，目的限定和必要性原則背后的理念是個人控制。

對于個人信息保護權一定要有正確的理解。首先它并不是一項權利，而是一項制度、一項法律原則。其完整的含義是：在處理數據主體的個人信息時，應當保護數據主體在個人信息上的各種權利，而這些具體權利的實現最終旨在保護數據主體的人權，即“基本權利和自由”。因此，它仍然屬于基本人權范疇。其次，個人信息保護權并不完全等同于GDPR第3章“數據主體權利”所規定的權利，數據主體權利只是個人信息保護權利在一些場景下的明確，是個人可以行使的具體權利，但不是法律保障的全部。但是有一點可以肯定，GDPR賦予了數據主體一攬子權利，以防范數據控制者違法或不當處理數據，數據主體的權利因違法的個人信息處理行為而遭受侵害時，數據主體有權向當地監管機構投訴，對違法行為予以查處、糾正；同時也有權直接尋求司法救濟，向該數據控制者或數據處理者營業地所在成員國的法院提出訴訟。相比較而言，GDPR更加重視行政保護，建立了以公權力監管機構為核心的數據行政保護機制，目的在于保證個人信息在成員國之間的自由流動，并在歐盟的范圍內保障給予基本權利和自由權利更高水平的保護。無論如何，這種更高水平的保護極大限制了數據的自由流通。

三、GDPR：內在缺陷帶來的實施困境

GDPR最大的問題在于以可識別個人為標準建立了無邊界個人信息概念，建立了模糊的識別概念，同時以接觸個人信息為標準建立了無所不包的處理行為，這樣使GDPR的調整范圍漫無邊界，這也給GDPR的實施和執行帶來很大的不確定性，成為最讓人詬病的地方。這樣的法律會造成對社會的過度干預，導致社會運行成本過高，甚至是徒增成本，而沒有任何積極的后果（保護數據主體權利）。GDPR本身展示了兩個相沖突的效果：一方面它旨在簡化規制環境和統一法律標準，降低成本；另一方面也給歐盟的公司增加了額外的負擔和成本。

（一）無邊的個人信息

GDPR對于調整對象“個人信息處理”中的個人信息采取三分法，一般個人信息、特殊個人信息和非個人信息。因此，凡符合個人信息的則適用該法，若不屬于，則不適用。個人信息范圍（及處理活動）關系著GDPR適用范圍問題。

GDPR第4條（1）對個人信息定義核心是“與自然人有關的任何信息”（any information relating to an natural person），而自然人又分為“已識別或可識別”（identified or identifiable）。兩個因素使個人信息沒有邊界：

其一，可識別的自然人。已經識別是指知道被識別的主體是誰（知道姓名），而可識別的自然人，則是采取技術手段可以從數據中“挖掘”出某人。通常是有一個網絡ID或數字ID，然后再匹配更多數據進行分析，來識別出數據主體是誰。

其二，與可識別自然人有關的任何信息。其范圍取決于識別分析技術和識別目的。如前所述，識別分識別個人身份和識別個性特征。定義后半段對個人信息進行了不完全列舉，在這些列舉中包括了身份性信息如姓名、身份證號、定位數據、網絡標識符等標識符，也包括身體、心理、基因、精神狀態、經濟、文化、社會等方面的個人屬性和特征信息。

在大數據分析背景下，任何數據都具有識別個人的能力，而且在很多情形下，很多身份性數據也可以分析個性特征，而個性特征方面的數據也可以分析身份。這樣，隨著分析技術的進步具有識別性的數據就越來越多、越來越廣。

GDPR定義中關于“可識別的自然人”的任何信息，就演變為一切具有識別性的數據。區分個人信息與非個人信息的唯一標準就是看數據是否具有“識別性”或識別個人的能力。而數據的識別個人能力又取決于技術，這樣以識別性或識別能力為標準使得人們很難區分出個人信息與非個人信息。

荷蘭學者Nadezhda Purtova指出，29條工作組指南和歐洲法院（CJEU）的判例法促使我們判斷，在不遠的將來任何事物都將包含個人信息，導致數據保護應用于各種情形。當數據驅動機構的超級互聯網絡生活到來時，嚴格遵守GDPR將使其成為“萬物之法”，這本意是好的，但不可能實現。

筆者認為，個人能夠控制的只有身份信息和一些基本屬性信息；我們每個人能夠判斷的單個身份信息或包含身份信息的數據集是某個人的，而一旦脫離具體的場景，脫離身份信息，我們無法判斷某個信息是否屬于個人信息或者屬于哪個人。相對而言，身份信息（包括姓名、身份證、電話等社會身份和生物識別標識符）則是有限的。實際上，個人能夠控制的限于這些標識信息，而我們社會人能夠判斷的也只有這些信息。除此之外的識別性個人信息是無法事先識別為某人的，而當無法識別時我們就不能給社會主體施加注意義務，比如要求取得同意或者告知等。因此，泛在的個人信息均適用同意是不可能的，最為可行的是只有事后處理行為有危害后果時，才能行使權利。因此預防式的保護應當是有限的。而目前無論我國還是GDPR均面臨泛在的個人信息如何適用法律規范的難題。

（二）模糊的個人識別

識別是個保法中的核心概念，但是沒有明確的定義。識別是廣泛存在于社會交往中的一種行為，基本含義為了解一個人的品質、特性、潛力、信用等。這里有一個假設是，知道該人是誰。識別還有另外一層含義，是在不知道是誰的時候，還可以基于過去的事實（留下來的行為痕跡）來分析是誰做的，以便令其承擔責任。利用個人相關的數據進行這兩類識別分析，自古至今均一直存在。個人信息的大量產生及其分析技術的進步導致人類對個體的識別分析發生翻天覆地的變化。

在過去，通常需要先接觸或知道姓名等身份信息，才能不斷收集有關于該人的信息，而且能夠關聯該個人的均是社會身份。隨著計算機的應用，尤其在網絡環境下，每個計算機或網絡用戶注冊時一般為其分配獨一無二的標識符（用戶ID），這樣基于網絡流量檢測工具就會形成關于該用戶的文檔，基于該文檔就可以對某個人的個性特征進行分析。實際上，任何一個網絡和智能設備都有一個唯一性代碼，用來識別數據來源（統稱為用戶）。利用網絡用戶ID和設備ID對應的數據（每個用戶都有獨立的用戶檔案被稱為profile），就可以對來源于該用戶的數據進行個性識別分析（profiling）。

于是，為了適應網絡環境出現了專門的用于識別個人的標識符（identifier）概念。標識符是指用來標識某個實體的一個符號，在不同的應用環境下有不同的含義。作為計算機語言的用語，標識符一定是在一個處理域內具有唯一性。標識符也普遍地應用于個人信息處理中，用來區分用戶或個體。標識符屬于識別個人的信息。但并非所有識別個人的信息都可以作為標識符。能夠唯一關聯到個人的社會身份信息、網絡設備ID（或數字身份）都可以成為標識符。

在網絡時代，識別分析可以基于網絡用戶和設備ID等標識符開展。這個時候的識別僅僅是對個體（而非群體）的識別還沒有到具體個人（識別是誰）。此時，利用網絡通信，也可以向該用戶聯絡，觸達該用戶。甚至在一些完全電子化的交易（合同締結和履行全部通過網絡進行），識別用戶身份也是多余的。

歐盟立法者認識到這樣的變化，將識別定義為識別個人而非識別身份。第29條工作組認為“在互聯網中，網絡流量監測工具的存在使得能夠容易地識別機器的行為以及機器背后的用戶”、“由于個人的接觸點（一臺電腦）在狹義上不再必須要求其身份的披露，在不需要詢問個人的名字和用戶的情況下，也能夠在其社會經濟、生理、心理以及其他特征方面的屬性對其進行分類并做出一定決定”。這實際上是對cookies為首的身份認證技術的回應，即認為如此也是一種識別。本質上cookies的存在是在匿名登錄下使用標識符的一種“身份”認證技術，此種身份是指互聯網個體標簽，并不直接對應社會身份。對于識別個人，GDPR明確了識別的路徑。但是值得注意的是，歐盟并沒有將標識符作為唯一識別路徑，其還承認了個人屬性與標識符的并列地位，這意味著識別既可以僅憑標識符或僅憑個人屬性（描述數據），或者二者結合。

因為數據之間存在聯系，并存在結合的可能，已識別與可識別本質上就是直接識別和間接識別的區分，而間接識別的確立使得個人信息的概念變得非常廣泛。但是從GDPR的鑒于條款中，還是為個人信息向非個人信息轉換預留了窗口，例如為了確定自然人是否是可識別的，應當考慮所有可能使用的合理手段，比如由數據控制者或其他人直接或者間接地識別出自然人的挑選行為。為了確定手段是否可能合理地用于識別自然人，應考慮到所有的客觀因素，比如識別所需要的費用和時間，同時考慮到當時可用于數據處理的技術和技術的開發。

（三）泛在的信息處理

按照GDPR的定義，數據處理（processing）是指對個人信息進行的任何操作或者一系列操作，無論其是否通過自動化手段進行，如數據收集、記錄、組織、建構（structuring）、存儲、改編或修改，恢復、查詢、使用、通過傳播、分發（dissemination）方式進行披露或者其他使個人信息可被他人獲得、排列或組合、限制、清除或銷毀（destruction）的操作。

從《指令》開始，數據處理即是貫穿于個人信息保護法的基石性概念。GDPR對數據處理的概念定義幾乎與《指令》一致，只是列舉行為中多了結構化（structuring）。GDPR對數據處理采取抽象+列舉的方式，其列舉非常全面。實際上，所有這些行為都屬于使用個人信息的行為，技術手段是否對個人權利有影響，有多少影響？是否需要法律調整？立法者根本沒有考慮。

問題不僅僅在于全面列舉，還在于這些被列舉的行為幾乎沒有規范價值。也就是說，每一種列舉的行為對于主體權利產生哪些影響，因而需要針對該行為采取預防或消除這些影響的規范，都不明確。比如，存儲至銷毀技術手段，對個人權利不會產生直接影響，甚或是保護個人權利的措施。同時，引入使用和披露（提供、傳播、分發或移轉等）行為，對主體權利存在直接影響，而法律又沒有對這些具體行為作出規范。實際上，歐盟法律對數據處理的定義是碎片化的，根本就沒有打算形成數據處理種概念（子處理行為），建立具體行為規范，而是使用抽象無所不包的數據處理定義，支撐“一般+例外”的規范技術，確立了抽象的一般行為，建立個人信息處理的一般規范。結果是使社會生活的方方面面都面臨GDPR的調整，導致法律/國家對社會生活的過度干預，導致社會運行成本上升。

GDPR對個人信息應用最廣泛最基礎的處理行為——識別分析（profiling）作出定義，并對自動的識別分析作出特殊規范。這使得GDPR反映了數字時代的個人信息處理的基本方式。但是，它并沒有把識別分析作為數據處理的核心，圍繞此揭示數據處理對個人帶來的風險，建立相應的行為規范，只是賦予了數據主體不受自動識別分析約束的權利。

基于歐洲傳統的數據處理概念存在巨大缺陷。首先，擴大了個保法適用范圍。由于數據處理存在于各種行業、領域和社會活動（行為）之中，無邊界的數據處理行為，使個人信息處理一般原則可以被廣泛地適用，很難界定GDPR適用邊界。比如，某人未經他人同意上傳他人的照片，或者轉發內含可識別他人的個人信息，就被認為構成個人信息的使用。其次，降低了個人信息保護適用門檻，增加社會成本。一旦將數據處理擴張為社會活動開展廣泛存在的個人信息利用行為，那么數據處理概念就覆蓋了整個社會的個人信息利用行為。筆者認為，這樣無所不包的個人信息處理概念已經背離了《公約》最初的立法目的和對數據處理的定義。最后，增加法律適用的不確定性。無邊界的個人信息及外延極大的數據處理概念導致GDPR適用范圍在無限擴張的同時，也與其它眾多法律出現交叉進而導致法律競合現象大量發生，數據主體可以利用這一現象，選擇有利于自己的請求權基礎，導致適用法律的混亂。

四、《個人信息保護法》解釋適用的時代元素和方向

歐盟各成員國是歐洲委員會的主體，在《公約》頒布前后，歐盟借著實施《公約》名義，制定《指令》，踐行統一數據保護規則進而統一市場的使命。這使歐盟立法朝著不斷強化個人權利保護的方向發展。經濟目的的融入使歐盟的立法逐漸脫離歐洲委員會《公約》的目的和定位，使個人信息保護法具有了經濟目標或經濟秩序內容。歐盟委員會之所以要提出制定GDPR，就是因為希望“所有企業將以統一的個人信息保護規則向5億歐盟人銷售產品和提供服務……將歐盟個人信息保護標準塑造成全球標準。”時至今日，GDPR已經實施4年左右，是否實現了當初的經濟目標，還沒有充分證據佐證，但是GDPR所確立的個人信息保護標準，似乎正在成為全球標準。GDPR之所以有這么大影響力，主要是因為GDPR給其他國家一定的壓力，加上將個人信息保護納入公民基本權利有一定的“欺騙性”，增加了移植的盲目性。

GDPR的施行在全球范圍內產生了巨大的影響，且這一影響還在繼續。對全球立法而言，歐盟模式是可資借鑒的，還是必須揚棄的？問題可能不僅在于要不要借鑒，還在于到底歐洲基于特定歷史背景產生的個人信息處理中的個人保護制度，是否適合于我國的社會經濟文化；基于70年代IT技術產生的問題與大數據時代產生的問題是否一致，是否還能夠用前網絡時代的法律原則解決萬物互聯泛在網絡（網絡化、數字化、智能化）時代問題。對于此，目前似乎沒有深入系統的研究。《個人信息保護法》規范思路和內容移植GDPR的成分占多數，除了用數據處理者替代數據控制者看似不一致外，約70%左右的內容相似。筆者認為，GDPR所遇到的困境也一定是全球的困境，我國也不例外。在《個人信息保護法》已經生效施行的情況下，我們應當從當今社會的真實問題和需要出發，為《個人信息保護法》的解釋適用注入一些時代元素，體現中國推進數字經濟的制度需求。

（一）清晰認知技術變遷對于個保法的挑戰

GDPR根植歐洲特殊的政治和社會文化背景，形成于上世紀七八十年代。那時計算機剛剛開始應用，這個時期的個人信息保護針對的是個人向特定機構提供，主要防止特定機構存儲后的濫用。如今個人信息主要來源于無所不在的網絡和傳感器自動收集的數據，無限多元數據給人類社會帶來了無窮的潛在價值（數據紅利），個人信息成為社會資源和生產要素。基于歐洲傳統的個人信息保護制度建立在人作為主體的尊嚴、自由或自治的人權保護理念上，是保護個人信息處理中的個人。雖然GDPR一再強調該法旨在促進個人信息在歐盟境內的自由流動，但是，建立在個人控制理論基礎上的規則，在為數據控制者設定繁雜而又模糊的條件和程序的同時，似乎并沒有真正促進個人信息的流動。實際上，GDPR根本就不是在資源意義上看待個人信息，它根本就沒有將個人信息的分享或流通利用作為一項目標，而這恰恰是個人信息資源化要解決的問題。

現在人類進入了萬物互聯的數字化時代，這相比上世紀70年代的技術環境發生了巨大變化。那個時期IT和計算機網絡只是人們收集、存儲、加工處理、傳輸甚或發布個人信息的工具，而今天的網絡則已經直接產生（生產）可以分析使用的數據。在這個時代，個人信息的生產發生了巨大變化，這種變化導致個人控制越來越難。經過不斷的通信技術發展和應用，人類已經進入到網絡化、數字化、智能化時代，個人信息應用的場景、目的、方式、規模等已經發生了巨大變化。個人對個人信息的控制能力也隨之越來越弱甚至不可能。在這種情形下，對于個人信息處理中主體權利保護相關規則的理解，應當從主體自身的防御規范轉向更為適合的行為規范。

筆者以網絡普及應用作為分界點，尤其是大數據概念出現為分界，將數據收集和使用的變化簡述如下：

在時代發生變遷的情形下，個人對個人信息的控制對于個人尊嚴或自由的維護仍然有價值、有意義，但是，我們不能為了控制而控制，為社會主體施加繁重的合規任務，還不能有效地保護數據主體的權利，徒增社會成本。

因此必須在規則解釋適用中尋找到切實有效的保護個人權利的路徑和方法。筆者認為，我國《個人信息保護法》的解釋適用，應當充分觀照當今技術新發展應用的新需求，以實現“促進個人信息合理利用”的立法目的。這里的關鍵是在將個人信息視為社會資源視角上來整體理解《個人信息保護法》的所有規則。這就要求，將個人信息視為社會可利用的資源，而不是個人控制的資源，要求個保法基礎理論不斷更新。

（二）深刻把握個人信息是社會資源的基本定位

無論美國還是歐洲，個人信息保護的理論基礎是基于主體自主意義上的個人控制論，認為個人應當對關于個人信息的處理予以一定程度的控制，以免個人信息的處理侵犯主體的尊嚴和自由。雖然歐盟的個人信息保護法仍然堅持個人信息是社會可用的資源，而不是屬于個人資源，立法賦予個人對個人信息處理的防御性權利并沒有被演繹為個人信息決定權。即使在理論上存在個人信息自決權，但仍然是憲法上的權利，而不是民法上的私權。不過，GDPR將個人控制貫穿于個人信息處理全生命周期，讓個人參與到數據處理過程，防范處理行為對主體權利的侵害，其實是達到個人決定效果。

如前所述，GDPR貫穿了一條非常明顯的主線，就是強化數據主體對于數據的控制以平衡雙方能力之不平等，該法建立在“個人控制論”理論的基礎上。歐洲個人信息保護的邏輯是：個人信息是人的延伸，而人應當獨立自主（自治），因而個人信息亦應當由數據主體掌控，體現個人意志。GDPR沒有將同意上升為一種權利，避免使個人信息的利用（處理）淪為個人決定（承認個人決定權），但是因同意最宜證明合規且可以實現更多的使用目的，同意被廣泛使用。同意的價值在于讓數據主體控制其信息的使用目的，使個人對數據使用具有可控性。同時，GDPR又給予個人許多權利（拒絕、刪除等），使其可以參與到數據處理活動，防止有害于其主體尊嚴或自由的處理。在以個人控制論為基礎的個人信息立法中，價值序列的最高層不是以個人行為自由為基礎的信息收集、處理和利用自由，而是信息主體對自己的個人信息的控制。

但是，有越來越多的學者開始質疑絕對的個人信息控制論，認為加強個人控制無法滿足社會經濟和現實發展的需要。主體控制是建立在理性人假設基礎上，它假定人們可以憑借自己的意志很好地料理自己的事情，不需要國家來干涉。然而，在數據處理行為中，個人并不一定可以做出最有利于自身的選擇，建立在知情同意基礎之上的控制是無力的，其核心問題在于，個人無法對其數據進行全面的、有意義的控制，在初次數據收集時，個人也不具備評估后續隱私風險的能力。信息分享和利用是信息的本質屬性，商業因信息的流通而發展，人類因信息的流通而構建親密關系，知識因為信息的流通（分享）而惠及更多人。個人信息本質上是可以為人所用的，不應當被個人控制，需要法律調控的是人利用和處理信息的行為，而不是個人信息本身。事實上，個人信息（數據）保護基本含義是保護個人主體權利不因信息處理受到侵害，而不是保護個人對個人信息的控制。

從《公約》到《指令》，再到各成員國立法，個人信息保護已經被作為一項公民的基本權利加以保護，并建立了公法和私法救濟為一體的救濟體系。GDPR只有沿著這個方向繼續前行并強化數據主體權利，才更加有說服力。歐盟2012年提出制定GDPR試圖解決大數據時代個人信息面臨的新問題。于是，進一步擴張數據主體權利成為GDPR的唯一選擇。比如GDPR在進一步確認和完善個人既有的權利外，還增加了刪除權（被遺忘權）、持續控制權（又譯為數據便攜權）等權利，以給予個人對數據更有效地控制，進一步保障數據主體的基本權利與自由。這樣，歐盟在個人控制道路上越走越遠。

GDPR通過賦予個人控制其數據的權利來賦予個人權力的理念看起來是虛幻的，因此，對于個人信息控制論的反思，將會是未來理論和實務界共同的面向，也是GDPR成為全球數據保護標準必須面對的理論挑戰。如果說受到歐洲政治文化傳統和早期立法束縛很難有所突破，那么世界其他國家應當有獨立的反思。在筆者看來，個人信息保護的目的是保護主體權利，而這樣的保護不是通過個人控制信息的使用實現的，而是通過法律規范個人信息的使用行為（處理）來實現的。

《意見》提出數據作為生產要素，顯然包括個人和非個人信息在內的數據都應當成為社會利用的資源。因為數據作為生產要素要求數據能夠為各個組織在各個領域應用，提升數據智能分析和智能決策能力，進而改進整個社會的運營績效和效率。個人信息作為生產要素并不意味著所有的個人信息都可以進入市場，成為可交易的東西，凡是促進數據社會化分享利用的都是在發揮數據要素的作用。在某種意義上，個人在參與社會活動，向交往相對人提供個人信息也是個人信息的分享利用，但這基本上是個人利益的維度的利用方式；而且傳統個保法的宗旨是個人信息利用的范圍僅限于個人同意或法定事由目的的必要范圍，超出該目的原則上就屬于違法使用。這樣做的目的是，使個人信息的利用維持在可控制范圍內，以維護數據主體的尊嚴或自由。而數據作為生產要素（即作為資源）則要求關于個人的數據能夠為社會利益（社會發展和福祉改善）作出貢獻，能夠為社會主體可用。這是因為每個人都是社會的一個分子，每個人不是孤立的存在，個人的數據既有個體價值，也有社會整體價值。忽略社會整體價值，不承認社會主體對個人信息的利用權是片面的、不完整的。因此，個人信息在法律屬性上應當定位于非完全由個人控制的可用的社會資源。

因此，切不可以個人控制其個人信息的理念來理解和解釋適用《個人信息保護法》的規則整體，應時刻注意《個人信息保護法》的具體規則與“保護個人信息權益，規范個人信息處理活動，促進個人信息合理利用”這一立法目的的價值一貫和體系統一。在社會資源意義上定位個人信息或個人信息對個保法理論基礎提出新要求，需要更新理論，以助力平衡個體利益（主體權利）和社會利益的目標順利實現。

個人信息是大數據的重要組成部分，也是重要的社會資源。實現數據要素市場化配置是《意見》提出的重要制度目標。數據作為生產要素，其價值在于能夠通過智能分析發現新知識，而數據的市場化配置可以對數據進行社會化分析利用，以便數據分析使用者獲取數據，支撐科學研究、社會治理和商業決策。但是，任何個人信息處理和應用均應當遵循《個人信息保護法》，保護信息主體權利，防范隱私和安全風險。平衡信息主體權利和社會價值是我國《個人信息保護法》具體制度解釋適用的重要方向。

（三）準確理解個人信息及處理等核心概念

個人信息最主要的功能是識別個人，因而個保立法多以識別來定義個人信息，它導致的結果是建立泛在的個人信息及泛在的個人信息處理，背離了個保法旨在防范個人信息處理可能引發的侵害個人權利的風險目的，最終導致法律對社會的過度干預，徒增社會運行成本。

為避免這一弊端，在理解《個人信息保護法》第4條第1款的個人信息概念時，應注意把握“關聯”這一核心要件，即個人信息是與特定自然人有關聯的信息。可與特定個人關聯的個人信息是有限的，可識別和可判斷的，以此為基礎設置社會主體禁止義務（建立非經同意不得處理規則）是合理、正當的，也是可操作的。而可以用于識別個人的信息廣袤無邊，讓信息主體參與到處理活動的每個環節，不具有實際意義（徒增合規成本）。

同時，在理解《個人信息保護法》第4條第2款的個人信息處理時，應注意把握“識別分析”這一最關鍵的處理行為。識別分析是信息處理行為目的，對信息處理行為設定條件、程序、明確處理者義務以及侵害信息主體權益的責任是個保法核心。這樣就區分出個人信息控制和個人信息處理行為控制：在前者，個人可以實施控制（同意作為合法性基礎）；對于后者則主要由法律調控，明確處理者義務，維護個人權益（必要時設置信息主體的主動請求權利，如更正、拒絕或刪除）。與此相配套，個人信息處理概念應當圍繞識別分析。

（四）明確主張去標識化信息可以利用規則

個人信息的價值在于識別，“經過處理無法識別特定自然人”的數據（或數據集）即轉化為抽象信息或知識，不再擁有識別個人的價值，即使可以分享利用，那也不是數據資源社會化利用。實際上，在大數據環境下，識別一個人取決于你掌握多少數據和采取什么樣的算法。也就是說，處理數據使其無法識別是保障信息安全的措施，而不是阻止人們識別的辦法。

在個人信息是可用的社會資源背景下，《個人信息保護法》的精神中蘊含著既保護個人權益又促進分享利用的制度規則，這便是去標識數據的分享利用制度。當一個數據集去除與個人關聯的信息（包括直接或間接關聯的信息，實踐稱為標識符，廣義上的身份/ID信息）后，即可以防范個人信息處理對隱私的侵害，尤其減少處理中的信息泄露對個人安全的危害風險。去標識后的個人信息仍然可以用于識別分析，仍然適用《個人信息保護法》規定，只是應區分應用場景，適用不同規則：當不需要識別身份時，則不需要同意；當需要識別身份時，則需要取得主體同意。這樣就在個人權益受到尊重的前提下，使個人信息得到社會化利用，發揮其社會價值。

因此，應當深刻把握《個人信息保護法》第73條第3項對于去標識化的定義，將去標識理解為“是對數據集進行處理，以減少數據集中與特定個人相關聯信息的風險”，并在解釋適用中肯定去標識數據集可分享利用的規則，即去標識個人信息可不經同意而對外提供，但使用去標識個人信息須遵守個保法規定。《個人信息保護法》規定的匿名化系作為個人信息安全存管措施，而不是個人信息分享利用（對外提供）的規則。

五、結語

個人信息既承載個人利益（主體價值），也關系社會整體（各信息使用者）利益，每個個體的數據都成為社會共同體數據資源的組成部分。通過個人信息識別社會個體，是商業運營、公共服務、社會交往等活動開展的必要條件，因而個人信息是可用的社會資源，由此數據被視為生產要素。但是，個人信息的使用關涉個人隱私、尊嚴等主體權益，個人信息的收集和使用必須加以規范，從而確保個人主體權益不受侵犯。通過規范個人信息的處理行為，《個人信息保護法》是保護個人主體權益而不是保護個人信息本身，是防范濫用而不是由個人控制的使用。個人信息具有社會資源屬性，要確立個人信息可合法正當使用原則。

我國《個人信息保護法》在立法過程中參考借鑒了GDPR的部分制度架構和制度設計，因此在《個人信息保護法》解釋適用過程中參考借鑒GDPR也無法避免。但是要對GDPR的失敗之處有深刻洞察和清醒認知。近來歐盟陸續提出《數據治理法》《數據法》等立法建議，即系試圖力挽狂瀾之舉，當然效果如何有待觀察，但至少說明歐洲人自己也已經意識到GDPR的困境所在。故在解釋適用我國《個人信息保護法》方面對GDPR必須采取批判性借鑒的態度，避免落入GDPR的陷阱。我們應當有制度自信，堅持個人信息可使用的總基調，保護數據處理者合法利益，為打造中國特色的數據要素市場奠定規范基礎。

特別聲明：以上文章內容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關于作品內容、版權或其它問題請于作品發表后的30日內與ESG跨境電商聯系。