數(shù)據(jù)上個(gè)人信息權(quán)益：從保護(hù)到治理的范式轉(zhuǎn)變

□ 高富平 尹臘梅

內(nèi)容提要 大數(shù)據(jù)時(shí)代，個(gè)人數(shù)據(jù)作為社會(huì)資源，承載著多重利益，不僅關(guān)系數(shù)據(jù)主體的個(gè)人利益和個(gè)人相關(guān)者利益，也關(guān)系不特定社會(huì)主體的社會(huì)利益和國(guó)家利益。要協(xié)調(diào)個(gè)人數(shù)據(jù)資源上個(gè)人保護(hù)和社會(huì)利用之間的矛盾，實(shí)現(xiàn)個(gè)人數(shù)據(jù)上的利益協(xié)同，應(yīng)構(gòu)建新的個(gè)人數(shù)據(jù)社會(huì)利用中的個(gè)人利益保護(hù)理論，并在調(diào)整范式上，從權(quán)利保護(hù)模式轉(zhuǎn)變?yōu)橐砸?guī)范個(gè)人信息處理行為為中心的行為規(guī)范模式，即數(shù)據(jù)治理范式。

“治理”（Governance）一詞的使用越來(lái)越泛化，可以適用于任何協(xié)調(diào)不同主體利益，有效配置資源（或調(diào)動(dòng)積極性）共同實(shí)現(xiàn)某種目的行為。①以企業(yè)治理替代企業(yè)管理成為本世紀(jì)企業(yè)管理理論和制度最大的變革。之后，治理也應(yīng)用于社會(huì)或國(guó)家，社會(huì)治理、國(guó)家治理成為統(tǒng)治性術(shù)語(yǔ)。同樣地，數(shù)據(jù)治理（Data Governance）也廣泛應(yīng)用于涉及數(shù)據(jù)應(yīng)用各個(gè)領(lǐng)域和層面，甚至成為數(shù)據(jù)保護(hù)的代名詞。歐盟委員會(huì)認(rèn)為，數(shù)據(jù)治理是指一套使用數(shù)據(jù)的規(guī)則和方式，例如通過(guò)共享機(jī)制、協(xié)議和技術(shù)標(biāo)準(zhǔn)。②也正是基于這樣的認(rèn)識(shí)，歐盟委員會(huì)于2020年11月25日通過(guò)的《數(shù)據(jù)治理?xiàng)l例（建議案）》（Data Governance Act）③，作為支撐歐盟新數(shù)據(jù)戰(zhàn)略的重要制度。該建議案旨在促進(jìn)各部門和成員國(guó)之間的數(shù)據(jù)分享。而所謂的數(shù)據(jù)治理僅在于增加對(duì)數(shù)據(jù)分享（Data Sharing，即數(shù)據(jù)流通）的信任，加強(qiáng)提高數(shù)據(jù)可用性的機(jī)制，并克服數(shù)據(jù)重用（Data Re-use）方面的技術(shù)障礙。在這個(gè)意義上，數(shù)據(jù)治理也成為一個(gè)國(guó)家規(guī)范數(shù)據(jù)社會(huì)化利用，構(gòu)建數(shù)據(jù)資源利用秩序的概念。甚至愛(ài)爾蘭于2019年制定了《數(shù)據(jù)分享和治理法》（Data Sharingand Governance Act） 允許公共機(jī)構(gòu)之間共享個(gè)人數(shù)據(jù)，為公共機(jī)構(gòu)更高效、低成本履行公共職責(zé)，提供公共服務(wù)提供法律基礎(chǔ)。④數(shù)據(jù)治理正逐漸替代數(shù)據(jù)保護(hù)成為數(shù)據(jù)利用秩序?qū)崿F(xiàn)的主要機(jī)制。

數(shù)據(jù)治理應(yīng)用于數(shù)據(jù)利用的社會(huì)秩序建構(gòu)是非常契合的。因?yàn)閿?shù)據(jù)上存在多重利益相關(guān)者，而所謂的數(shù)據(jù)保護(hù)問(wèn)題，本質(zhì)上是協(xié)同保護(hù)數(shù)據(jù)上各方主體利益的問(wèn)題，而不是確認(rèn)數(shù)據(jù)歸屬某個(gè)主體并通過(guò)賦權(quán)維護(hù)其數(shù)據(jù)利益這么簡(jiǎn)單。傳統(tǒng)的“賦權(quán)+限權(quán)”保護(hù)模式或者“數(shù)據(jù)主體權(quán)利+數(shù)據(jù)控制者義務(wù)”規(guī)范模式在數(shù)據(jù)保護(hù)上失靈，數(shù)據(jù)保護(hù)的本質(zhì)在協(xié)同沖突權(quán)益，因而治理理念和機(jī)制可以作為數(shù)據(jù)保護(hù)的新范式。

數(shù)據(jù)是現(xiàn)實(shí)社會(huì)的映射或描述，我們可以用數(shù)據(jù)認(rèn)知社會(huì)主體或客體，數(shù)據(jù)成為人類認(rèn)知客觀世界的工具。在機(jī)器學(xué)習(xí)等智能工具普遍應(yīng)用情形下，通過(guò)數(shù)據(jù)挖掘分析發(fā)現(xiàn)新知，預(yù)測(cè)未來(lái)，尋找規(guī)律已經(jīng)成為當(dāng)今現(xiàn)實(shí)。由此，人類進(jìn)入以數(shù)據(jù)為社會(huì)資源的數(shù)據(jù)驅(qū)動(dòng)時(shí)代或數(shù)據(jù)經(jīng)濟(jì)時(shí)代。在這樣的時(shí)代，每一個(gè)國(guó)家均面臨如何配置數(shù)據(jù)權(quán)利構(gòu)建數(shù)據(jù)利用秩序的任務(wù)。關(guān)于個(gè)人的數(shù)據(jù)，其也不單純承載個(gè)人利益，而是同時(shí)承載著使用者、社會(huì)、組織、國(guó)家等多方主體的利益。關(guān)于機(jī)器的數(shù)據(jù)亦可能涉及設(shè)計(jì)者、制造者、應(yīng)用者的財(cái)產(chǎn)利益，甚至還涉及應(yīng)用者或設(shè)備主人的人格（隱私）利益。我們只有確認(rèn)各類數(shù)據(jù)上的多重利益，并協(xié)同保護(hù)各方利益，才能構(gòu)建數(shù)據(jù)社會(huì)化利用的秩序。

個(gè)人數(shù)據(jù)在整個(gè)數(shù)據(jù)體系中占有非常重要地位，而人的主體地位決定了人們對(duì)個(gè)人數(shù)據(jù)濫用對(duì)個(gè)人權(quán)益侵害的擔(dān)憂，于是在上個(gè)世紀(jì)誕生了個(gè)人數(shù)據(jù)保護(hù)法（個(gè)保法），來(lái)保護(hù)個(gè)人數(shù)據(jù)處理中的個(gè)人權(quán)利。但是，發(fā)端于歐美的個(gè)人數(shù)據(jù)保護(hù)制度似乎過(guò)度強(qiáng)調(diào)個(gè)人權(quán)利，尤其是在各國(guó)移植過(guò)程中普遍存在著“簡(jiǎn)單粗暴” 甚至私法化的趨勢(shì)，這可能非常不利于大數(shù)據(jù)時(shí)代個(gè)人數(shù)據(jù)的社會(huì)化利用。在數(shù)據(jù)驅(qū)動(dòng)或數(shù)據(jù)作為生產(chǎn)要素的背景下，數(shù)據(jù)已經(jīng)成為可為社會(huì)利用的資源。⑤但是，過(guò)度重視主體權(quán)利或者個(gè)人控制，會(huì)嚴(yán)重影響個(gè)人數(shù)據(jù)的社會(huì)化利用。本文試圖揭示個(gè)人數(shù)據(jù)上多重利益，試圖通過(guò)利用利益相關(guān)者理論（Stakeholder Theory）來(lái)探討個(gè)人數(shù)據(jù)上權(quán)利配置，協(xié)調(diào)個(gè)人數(shù)據(jù)資源上個(gè)人保護(hù)和社會(huì)利用之間的矛盾，構(gòu)建新的個(gè)人數(shù)據(jù)社會(huì)利用中的個(gè)人利益保護(hù)理論。

一、作為社會(huì)資源的個(gè)人數(shù)據(jù)

個(gè)人數(shù)據(jù)是指可識(shí)別具體個(gè)人（僅指自然人）的信息。凡是能夠識(shí)別特定個(gè)人的信息，無(wú)論是直接識(shí)別到還是間接識(shí)別到特定個(gè)人的信息，均為個(gè)人數(shù)據(jù)。⑥社會(huì)中存在兩類識(shí)別行為，一是識(shí)別主體的身份，二是識(shí)別主體的特征。這兩類識(shí)別均是社會(huì)運(yùn)行不可或缺的因素。

首先，身份識(shí)別關(guān)系社會(huì)交往安全。在正常的社會(huì)交往中，一般不需要識(shí)別人的身份。因?yàn)樵谏鐣?huì)交往、 商業(yè)交易等過(guò)程均要告訴對(duì)方你是誰(shuí)或先要弄清對(duì)方是誰(shuí)，因而正常的社會(huì)交往一般是依賴“自報(bào)家門”解決身份識(shí)別問(wèn)題。真正的依賴與個(gè)人關(guān)聯(lián)信息來(lái)識(shí)別身份的需求發(fā)生在匿名行為或者行為人未暴露身份的情形下，典型的如匿名言論或違法犯罪行為等，這時(shí)就需要通過(guò)行為人留下的蛛絲馬跡來(lái)分析判斷行為人的身份，以達(dá)到追究其法律責(zé)任的目的。因此，一個(gè)社會(huì)需要建立個(gè)人身份識(shí)別體系，同時(shí)在匿名或不具名情形下，允許人們依法來(lái)搜集行為信息判斷行為身份，以確保每個(gè)人對(duì)自己的行為負(fù)責(zé)，確保社會(huì)交往安全。

其次，識(shí)別個(gè)體的特征是開展各項(xiàng)社會(huì)活動(dòng)，建立各種社會(huì)關(guān)系的必要條件。在社會(huì)交往中除了需要知道是“誰(shuí)”外，還需要知道是“什么樣的人”，而且后者往往決定人們是否要與你交往（或交易）或者開展怎樣的交往（交易）。這些個(gè)性特征識(shí)別需要借助某個(gè)人的行為記錄、 過(guò)往經(jīng)歷等信息進(jìn)行分析。過(guò)去，我們依賴道聽途說(shuō)、訪問(wèn)調(diào)查等方式搜集信息來(lái)了解潛在交往對(duì)象，而如今在萬(wàn)物互聯(lián)的泛網(wǎng)絡(luò)時(shí)代，我們可以基于網(wǎng)絡(luò)用戶的行為記錄形成的用戶畫像（Profiling）來(lái)對(duì)個(gè)體特征進(jìn)行分析。⑦只是在網(wǎng)絡(luò)環(huán)境下，各種數(shù)字ID（用戶名、設(shè)備ID 等）使我們可以在不知個(gè)體身份的情形下，圍繞各種ID 對(duì)個(gè)體進(jìn)行識(shí)別分析（畫像）甚至通信（如信息推送），而在必要時(shí)（如交易或需要承擔(dān)責(zé)任）才進(jìn)一步識(shí)別身份。因此在網(wǎng)絡(luò)環(huán)境下，識(shí)別個(gè)性特征既可以在知道身份前提下進(jìn)行（如實(shí)名注冊(cè)情形），也可以不知道身份的情形下進(jìn)行（如利用Cookies 識(shí)別）。但是，網(wǎng)絡(luò)或數(shù)字ID 均屬于可識(shí)別個(gè)人標(biāo)識(shí)符（personal identifiable Identifier），大量識(shí)別分析是針對(duì)可識(shí)別個(gè)人標(biāo)識(shí)符進(jìn)行的。⑧基于網(wǎng)絡(luò)或數(shù)字ID 可以開展個(gè)體識(shí)別分析和基于識(shí)別分析通信給了商家分析了解和觸達(dá)潛在客戶的便捷工具，這便是數(shù)字化給社會(huì)的紅利⑨。

隨著物聯(lián)網(wǎng)的出現(xiàn)，可關(guān)聯(lián)分析個(gè)人的數(shù)據(jù)急劇增加，出現(xiàn)所謂的大數(shù)據(jù)（Big Data）。因數(shù)據(jù)具有識(shí)別分析個(gè)人特性進(jìn)而觸達(dá)并影響個(gè)體意志或行為的功能，而且可以基于此作出快速精準(zhǔn)的決策，大大提升社會(huì)的各種決策質(zhì)量和效率。大數(shù)據(jù)給人們提供的巨大便利就是識(shí)別個(gè)體的便利性、精準(zhǔn)性、全面性和及時(shí)性?，F(xiàn)在所謂的個(gè)性化服務(wù)、私人定制、智能制造、機(jī)器學(xué)習(xí)等，都建立在個(gè)人數(shù)據(jù)的應(yīng)用基礎(chǔ)上。這使人們將數(shù)據(jù)視為有價(jià)值的資源（比喻為石油等）或一種新的資產(chǎn)。⑩我國(guó)則是將數(shù)據(jù)視為區(qū)別于土地、勞動(dòng)力、資本和技術(shù)之外的第五大生產(chǎn)要素。?這實(shí)際上導(dǎo)致人們將個(gè)人數(shù)據(jù)視為具有經(jīng)濟(jì)價(jià)值的資源，但是傳統(tǒng)“個(gè)保法”的觀察視角并不是從資源的角度，而是從關(guān)系個(gè)人尊嚴(yán)、 自治或平等權(quán)益的角度設(shè)計(jì)數(shù)據(jù)主體權(quán)利的，并沒(méi)有從資源角度尤其是如何轉(zhuǎn)化為資源角度考慮數(shù)據(jù)控制者（使用者）的利益。綜上，本文認(rèn)為，在大數(shù)據(jù)時(shí)代，我們應(yīng)當(dāng)從資源的角度，重新思考個(gè)人數(shù)據(jù)上的權(quán)利配置。

二、個(gè)人數(shù)據(jù)上多重利益主體

一切能夠關(guān)聯(lián)到某個(gè)體或分析某個(gè)體個(gè)性特征的數(shù)據(jù)都可以歸入個(gè)人數(shù)據(jù)范疇，個(gè)人數(shù)據(jù)的價(jià)值也在于對(duì)個(gè)體的識(shí)別分析，而這種識(shí)別分析會(huì)對(duì)個(gè)體產(chǎn)生影響。因而個(gè)人（數(shù)據(jù)主體）被認(rèn)為是個(gè)人數(shù)據(jù)處理（應(yīng)用）的首要利益相關(guān)者，但是個(gè)人數(shù)據(jù)不僅關(guān)系數(shù)據(jù)主體利益，也關(guān)系群體、社會(huì)和國(guó)家利益。

（一）個(gè)人數(shù)據(jù)上本人利益

從源頭上，“個(gè)保法” 也正是起源于對(duì)個(gè)人權(quán)利的關(guān)注。通過(guò)對(duì)個(gè)人數(shù)據(jù)處理行為規(guī)范來(lái)保護(hù)個(gè)人利益背后的邏輯是，個(gè)人是主體，對(duì)個(gè)人數(shù)據(jù)的處理不能像對(duì)待客體那樣隨意處理，而應(yīng)尊重個(gè)人意愿或不侵害其尊嚴(yán)或隱私。個(gè)人因參與社會(huì)活動(dòng)而產(chǎn)生了社會(huì)身份，因而個(gè)人有利益驅(qū)動(dòng)保護(hù)其社會(huì)身份和自主性，不被隨意識(shí)別或處理。這些受保護(hù)的個(gè)人利益一般被解釋為尊嚴(yán)、自由/自治和平等（不歧視）利益，屬于人權(quán)意義上利益（也可被概括為數(shù)據(jù)主體權(quán)利）。?

問(wèn)題的關(guān)鍵在于個(gè)人數(shù)據(jù)并不完全涉及主體權(quán)利，還涉及安全、隱私等各種利益。個(gè)人身份信息冒用可以給個(gè)人帶來(lái)人身或財(cái)產(chǎn)損害； 個(gè)人信息還可以用于各種違法犯罪行為，危害個(gè)人人身和財(cái)產(chǎn)安全； 有些個(gè)人信息具有私密性其本身存在隱私利益，而許多個(gè)人信息本身并不私密或敏感，但是匯聚大量信息可以揭示個(gè)人隱私。因此，個(gè)人數(shù)據(jù)上存在著復(fù)雜的個(gè)人利益群，這些利益的保護(hù)均通過(guò)其他專門的法律加以保護(hù)和調(diào)整。“個(gè)保法”僅僅從尊嚴(yán)、自治、平等的角度建立保護(hù)個(gè)人權(quán)利的規(guī)則。

（二）個(gè)人數(shù)據(jù)上個(gè)人相關(guān)者利益

人是一個(gè)社會(huì)存在，每個(gè)人都是特定社會(huì)群體的一員，是社會(huì)整體的組成部分。人的群體性、社會(huì)性決定了人與人之間存在相互影響、 相互作用的關(guān)系，一個(gè)人的生存發(fā)展脫離不開社會(huì)整體。不僅我們每個(gè)人有家庭和親屬，有工作還有各種社交，我們每天都在利用各種通信手段及線下的會(huì)談、會(huì)議、聚餐、文體等活動(dòng)開展社會(huì)交往。而各種在線社交網(wǎng)絡(luò)、即時(shí)通信媒體、社群網(wǎng)絡(luò)等更是增加了人們之間的連接機(jī)會(huì)和密切程度。因而每個(gè)人的行為記錄都可能與其他人相關(guān)聯(lián)。于是，與個(gè)人關(guān)聯(lián)的信息當(dāng)然與其相關(guān)聯(lián)的其他個(gè)體相關(guān)聯(lián)。?個(gè)人數(shù)據(jù)上的個(gè)人利益不僅在性質(zhì)上相互依存，而且在存在上是相互關(guān)聯(lián)的。因此，我們必須承認(rèn)個(gè)人數(shù)據(jù)并非完全關(guān)系某個(gè)體個(gè)人利益，而且也關(guān)系與其有關(guān)的其他個(gè)體的利益。對(duì)于個(gè)人數(shù)據(jù)處理中的個(gè)人保護(hù)，并不能僅僅關(guān)注直接關(guān)聯(lián)者（即數(shù)據(jù)主體），而且還要關(guān)注間接關(guān)聯(lián)者的利益。

（三）個(gè)人數(shù)據(jù)上的社會(huì)利益

個(gè)人數(shù)據(jù)上不僅關(guān)系與個(gè)人相關(guān)者利益，還涉及不特定社會(huì)主體的利益。這種不特定主體的利益，我們稱為社會(huì)利益。?

個(gè)人數(shù)據(jù)的應(yīng)用關(guān)系著社會(huì)整體利益，這種關(guān)系在于個(gè)人數(shù)據(jù)應(yīng)用是社會(huì)交往和活動(dòng)開展必不可少的手段。通過(guò)對(duì)在網(wǎng)絡(luò)上大量產(chǎn)生的數(shù)據(jù)進(jìn)行識(shí)別分析，并在分析基礎(chǔ)上進(jìn)行科學(xué)、精準(zhǔn)和快速的決策，提升社會(huì)治理、經(jīng)濟(jì)效率和科技創(chuàng)新能力。而所有這些效率提升和創(chuàng)新最終會(huì)促進(jìn)社會(huì)進(jìn)步和福祉改善。以健康數(shù)據(jù)為例，每個(gè)人的健康可以說(shuō)是社會(huì)公共健康的組成部分，每個(gè)個(gè)體的醫(yī)療數(shù)據(jù)都可以成為公共健康數(shù)據(jù)的元素。每個(gè)個(gè)體的醫(yī)療數(shù)據(jù)除了蘊(yùn)含著直接關(guān)涉自身的健康醫(yī)療信息內(nèi)容之外，也直接影響到了整個(gè)公共健康信息的完整性與科學(xué)性。因而匯聚個(gè)人醫(yī)療數(shù)據(jù)和健康數(shù)據(jù)形成可供各種醫(yī)學(xué)、 醫(yī)藥研究的醫(yī)療數(shù)據(jù)集/湖”，對(duì)于查詢各種疾病的成因，提前預(yù)防，實(shí)施精準(zhǔn)診治均具有重要的價(jià)值。而醫(yī)療診斷、藥物的改進(jìn)最終福蔭社會(huì)大眾?，F(xiàn)在越來(lái)越多的學(xué)者認(rèn)可集體隱私的存在，而不僅僅是個(gè)體存在隱私。美國(guó)的里根（Priscilla M.Regan）還指隱私不僅對(duì)個(gè)人有價(jià)值，而且在三個(gè)方面對(duì)社會(huì)整體也具有價(jià)值。?

為了實(shí)現(xiàn)個(gè)人數(shù)據(jù)上的社會(huì)利益，我們需要識(shí)別和確認(rèn)社會(huì)利益的“代表人”——利益相關(guān)者（Stakeholder），通過(guò)保護(hù)這些利益相關(guān)者來(lái)實(shí)現(xiàn)社會(huì)利益。?在筆者看來(lái)，至少需要確立兩類主體來(lái)實(shí)現(xiàn)社會(huì)利益，一是個(gè)人數(shù)據(jù)使用者，二是公共利益的代表者。

（1）個(gè)人數(shù)據(jù)使用者。任何社會(huì)主體都應(yīng)當(dāng)擁有使用個(gè)人數(shù)據(jù)的權(quán)利，即個(gè)人數(shù)據(jù)使用者權(quán)。識(shí)別潛在社交或交易或行動(dòng)（以下統(tǒng)稱為交往）對(duì)象是開展社會(huì)交往和活動(dòng)的必要手段，因而各社會(huì)主體（包括自然人）均有識(shí)別交往對(duì)象的權(quán)利。一旦人們參加各種社會(huì)活動(dòng)進(jìn)入到具體社會(huì)關(guān)系，法律就應(yīng)當(dāng)保護(hù)公眾的“識(shí)別權(quán)”，而不是拒絕識(shí)別或拒絕“曝光”。放任或鼓勵(lì)人們隱藏身份或個(gè)人信息，會(huì)妨礙合作甚至鼓勵(lì)人們從事不負(fù)責(zé)任的社會(huì)行為。個(gè)人的確希望更多的“隱私”，有時(shí)甚至?xí)桃怆[藏、掩飾或美化自己，但從社會(huì)公眾的角度，也應(yīng)當(dāng)保護(hù)社會(huì)公眾（尤其是與之打交道的人）的“識(shí)別權(quán)”。?這種識(shí)別權(quán)的承認(rèn)就意味著，所有的社會(huì)主體對(duì)個(gè)人數(shù)據(jù)均具有使用權(quán)。也正是在這個(gè)意義上，個(gè)人數(shù)據(jù)是可以為社會(huì)主體使用的資源，而不是個(gè)人控制的資源。《通用數(shù)據(jù)保護(hù)條例》（以下簡(jiǎn)稱GDPR）對(duì)第6 條第1 款（f）項(xiàng)的數(shù)據(jù)控制者的合法利益實(shí)際上就是承認(rèn)每個(gè)社會(huì)主體具有合法正當(dāng)?shù)厥褂脗€(gè)人數(shù)據(jù)的權(quán)利。?正是通過(guò)這種正當(dāng)使用個(gè)人數(shù)據(jù)的權(quán)利，我們的社會(huì)才能夠正常運(yùn)行并不斷改進(jìn)運(yùn)營(yíng)效率，提升社會(huì)發(fā)展水平。

（2）公共利益代表者。除了社會(huì)主體數(shù)據(jù)使用權(quán)外，個(gè)人數(shù)據(jù)具有達(dá)成各種公共利益目的，如科學(xué)文化、歷史研究、公共安全等公共利益。這種公共利益也需要通過(guò)具體主體來(lái)體現(xiàn)，通常政府機(jī)構(gòu)以及非政府機(jī)構(gòu)（NGO）可以視為公共利益“代言人”。我們需要給予政府在維護(hù)公共秩序、公共安全等方面使用個(gè)人數(shù)據(jù)的權(quán)利，也需要給各種非盈利性組織開展各項(xiàng)公益活動(dòng)開辟綠色通道。例如在此次新冠疫情防控中，人們甚至認(rèn)識(shí)到不僅需要疾病、 醫(yī)療信息共享以幫助當(dāng)?shù)卣龀雒髦堑臎Q策，甚至也需要全球醫(yī)療數(shù)據(jù)共享。?

（四）國(guó)家安全利益

國(guó)家安全利益是一種特殊的公共利益。隨著網(wǎng)絡(luò)空間被視為國(guó)家主權(quán)新領(lǐng)域，數(shù)據(jù)主權(quán)（Data Sovereignty）概念逐漸確認(rèn)并進(jìn)入國(guó)家法律。?數(shù)據(jù)主權(quán)是國(guó)家基于國(guó)家主權(quán)對(duì)其領(lǐng)土范圍上產(chǎn)生的數(shù)據(jù)的獨(dú)立控制權(quán)，目的在于保障本國(guó)數(shù)據(jù)不受他國(guó)侵害的安全性和穩(wěn)定性。這既是數(shù)據(jù)上升為一種經(jīng)濟(jì)資源或基礎(chǔ)戰(zhàn)略性資源的表現(xiàn)，同時(shí)也是數(shù)據(jù)關(guān)系政治安全的反映。數(shù)據(jù)主權(quán)實(shí)際上成為賦予國(guó)家對(duì)進(jìn)出境數(shù)據(jù)進(jìn)行管制的權(quán)利。各個(gè)主權(quán)國(guó)家對(duì)個(gè)人數(shù)據(jù)進(jìn)出境的限制就突出體現(xiàn)了個(gè)人數(shù)據(jù)上的國(guó)家安全利益。此外，大數(shù)據(jù)已經(jīng)成為國(guó)家的基礎(chǔ)戰(zhàn)略性資源，全面實(shí)施大數(shù)據(jù)應(yīng)用，實(shí)施全面數(shù)字化轉(zhuǎn)型成為國(guó)家戰(zhàn)略，數(shù)據(jù)資源的爭(zhēng)奪成為國(guó)際政治內(nèi)容，圍繞數(shù)據(jù)進(jìn)出境的流動(dòng)控制也迅速升級(jí)為國(guó)家之間的投資和貿(mào)易對(duì)話內(nèi)容。由此，數(shù)據(jù)與國(guó)家利益直接掛鉤，國(guó)家安全成為國(guó)家之間較量的“正當(dāng)”理由。

三、個(gè)人數(shù)據(jù)上多重利益協(xié)同：從個(gè)人保護(hù)到數(shù)據(jù)治理

個(gè)人數(shù)據(jù)上存在多重利益相關(guān)者，這些利益相關(guān)者的利益性質(zhì)不盡相同，這使得個(gè)人數(shù)據(jù)的利益協(xié)同變得異常復(fù)雜。在法律上，在利益發(fā)生沖突時(shí)，只有利益性質(zhì)相同時(shí)，我們才可以根據(jù)價(jià)值對(duì)利益優(yōu)先性進(jìn)行排序。而當(dāng)利益屬于不同性質(zhì)時(shí)，則很難根據(jù)價(jià)值判斷作出優(yōu)先排序。而在個(gè)人數(shù)據(jù)上利益主體的性質(zhì)恰恰是不同的，我們很難對(duì)不同性質(zhì)的利益進(jìn)行單向的排序，這決定了個(gè)人數(shù)據(jù)不能依賴傳統(tǒng)的“賦權(quán)+限權(quán)”模式來(lái)解決個(gè)人數(shù)據(jù)上利益協(xié)調(diào)問(wèn)題，得用處理多重利益的治理體系。于是，數(shù)據(jù)治理被認(rèn)是構(gòu)建數(shù)據(jù)利用秩序的最佳工具。

（一）從數(shù)據(jù)保護(hù)到數(shù)據(jù)治理

雖然數(shù)據(jù)治理被廣泛采用，但是對(duì)什么是數(shù)據(jù)治理可能不同人有不同的理解，有些觀點(diǎn)強(qiáng)調(diào)數(shù)據(jù)質(zhì)量，有些觀點(diǎn)強(qiáng)調(diào)數(shù)據(jù)安全，而有些觀點(diǎn)強(qiáng)調(diào)數(shù)據(jù)資產(chǎn)應(yīng)用或價(jià)值實(shí)現(xiàn)； 有些觀點(diǎn)在組織層面用數(shù)據(jù)治理，而有些則在社會(huì)或國(guó)家層面討論數(shù)據(jù)治理。在現(xiàn)階段，也許我們無(wú)法統(tǒng)一數(shù)據(jù)治理的內(nèi)涵或者限制其在各領(lǐng)域的應(yīng)用，但是我們需要遵循治理的根本目的或本質(zhì)，否則就喪失了對(duì)話基礎(chǔ)。

數(shù)據(jù)治理一般適用于特定組織，是現(xiàn)代企業(yè)治理（公司治理）在企業(yè)應(yīng)用數(shù)據(jù)資源的延伸。其核心是圍繞企業(yè)目標(biāo)形成可用數(shù)據(jù)資源（資產(chǎn)），賦能業(yè)務(wù)，提升企業(yè)競(jìng)爭(zhēng)力或盈利能力。治理一般理解為“眾多參與者導(dǎo)致集體約束性決定的程序”，本質(zhì)是一種協(xié)同處理不同甚至沖突利益的策略、原則或方法。適用到數(shù)據(jù)經(jīng)濟(jì)領(lǐng)域的治理概念是，“決定兩方或多方主體管理數(shù)據(jù)、工具、方法和知識(shí)的取得（Ingress）、存儲(chǔ)、分析和提供（Egress）的自由（權(quán)利）、約束和激勵(lì)措施”。為此將企業(yè)治理定位于區(qū)別管理：治理是決定使命/目標(biāo)、制定戰(zhàn)略、配置資源和機(jī)制，而管理則是制定詳細(xì)制度規(guī)則、運(yùn)營(yíng)管理和監(jiān)督，實(shí)現(xiàn)既定目標(biāo)。數(shù)據(jù)具有資源價(jià)值，人們也試圖對(duì)數(shù)據(jù)治理與管理加以區(qū)分，認(rèn)為數(shù)據(jù)治理是確保數(shù)據(jù)在整個(gè)生命周期內(nèi)的質(zhì)量的數(shù)據(jù)管理，而數(shù)據(jù)管理是將數(shù)據(jù)作為有價(jià)值資源進(jìn)行處理的過(guò)程。DAMA 數(shù)據(jù)治理位于車輪圖的正中央，是數(shù)據(jù)架構(gòu)、建模和設(shè)計(jì)、存儲(chǔ)和操作、安全、數(shù)據(jù)集成和互操作、元數(shù)據(jù)管理、質(zhì)量、數(shù)據(jù)倉(cāng)庫(kù)和商務(wù)智能、參考數(shù)據(jù)和主數(shù)據(jù)、文件和內(nèi)容管理管理10 大數(shù)據(jù)管理領(lǐng)域的總綱，為各項(xiàng)數(shù)據(jù)管理活動(dòng)提供總體指導(dǎo)策略。因此，企業(yè)數(shù)據(jù)治理是集企業(yè)戰(zhàn)略、組織架構(gòu)、數(shù)據(jù)標(biāo)準(zhǔn)、管理規(guī)范和技術(shù)工具為一體的復(fù)雜體系，是企業(yè)數(shù)字化轉(zhuǎn)型或數(shù)據(jù)驅(qū)動(dòng)發(fā)展的管理戰(zhàn)略。

如果我們將不同利益的協(xié)調(diào)視為數(shù)據(jù)治理的根本，那么企業(yè)數(shù)據(jù)治理的關(guān)鍵是確認(rèn)和保護(hù)數(shù)據(jù)上各種利益主體權(quán)益，在協(xié)同各方利益前提下，合法正當(dāng)?shù)乩脭?shù)據(jù)，服務(wù)于企業(yè)營(yíng)業(yè)目的。如前所述，我們發(fā)現(xiàn)數(shù)據(jù)上存在著各種利益，而數(shù)據(jù)應(yīng)用也可能牽涉各種利益，這就是數(shù)據(jù)治理的核心難題所在。而改變當(dāng)今企業(yè)管理的利益相關(guān)者理論可以很好地應(yīng)用于企業(yè)數(shù)據(jù)治理。這樣，數(shù)據(jù)治理的一個(gè)重要內(nèi)容便是協(xié)同數(shù)據(jù)上利益相關(guān)者，使數(shù)據(jù)合法正當(dāng)?shù)胤?wù)企業(yè)經(jīng)營(yíng)目的。雖然這時(shí)常被稱為合規(guī)，但是利益相關(guān)者理論的價(jià)值在于擴(kuò)大解釋了“利益”的意涵，因而利益相關(guān)者呈不斷擴(kuò)大趨勢(shì)，一個(gè)企業(yè)只有很好地“擺平”各方利益，才能行穩(wěn)走遠(yuǎn)，最大化企業(yè)利益。由于數(shù)據(jù)上利益存在多樣性、多元性，數(shù)據(jù)的正當(dāng)利用需要處理和協(xié)同各方利益，在維護(hù)各利益主體利益前提下，才能使數(shù)據(jù)為企業(yè)所用，轉(zhuǎn)化為服務(wù)企業(yè)的目的。因此，利益相關(guān)者理論應(yīng)當(dāng)成為企業(yè)數(shù)據(jù)治理基礎(chǔ)理論，或者成為整個(gè)社會(huì)數(shù)據(jù)治理的“指導(dǎo)策略”。

如果我們將數(shù)據(jù)治理從組織移至社會(huì)，將之看作是“使用數(shù)據(jù)的規(guī)則和方式”，那么數(shù)據(jù)治理便等同于數(shù)據(jù)保護(hù)，或者“個(gè)人數(shù)據(jù)處理中個(gè)人保護(hù)規(guī)則”?，F(xiàn)有論述數(shù)據(jù)治理的文獻(xiàn)基本上關(guān)注企業(yè)或組織層面，而對(duì)于如何在社會(huì)/國(guó)家層運(yùn)用或?qū)嵤?shù)據(jù)治理，并沒(méi)有什么論述。在國(guó)家層面，主宰世界各國(guó)的是 “個(gè)保法”，而不是 “數(shù)據(jù)治理（法）”。因此，我們首先需要弄清在國(guó)家層面的數(shù)據(jù)治理與既有的“個(gè)保法”制度是什么關(guān)系。

就個(gè)人數(shù)據(jù)處理中個(gè)人保護(hù)制度起源而言，個(gè)人權(quán)利保護(hù)是出發(fā)點(diǎn)。在上世紀(jì)七十年代，個(gè)保法制度創(chuàng)始者們關(guān)注到計(jì)算機(jī)的應(yīng)用個(gè)人數(shù)據(jù)使得關(guān)于個(gè)人數(shù)據(jù)（信息）可以被大量收集、留存并分析使用，這給個(gè)人自由和隱私帶來(lái)前所未有的危害，它會(huì)影響個(gè)人對(duì)個(gè)人事務(wù)自主決定，最終影響到尊嚴(yán)、自由或平等利益。因此，他們提出要建立透明原則，讓個(gè)人進(jìn)行必要的參與，明確個(gè)人信息處理者的責(zé)任以確保個(gè)人信息處理不會(huì)侵犯?jìng)€(gè)人基本權(quán)利（被稱為隱私權(quán)或者個(gè)人數(shù)據(jù)保護(hù)權(quán)）。為此，國(guó)際社會(huì)尋求形成關(guān)于個(gè)人信息處理（使用）應(yīng)當(dāng)遵循的基本原則，以使各國(guó)對(duì)個(gè)人權(quán)利保護(hù)趨向一致或統(tǒng)一。統(tǒng)一個(gè)人信息處理原則的前提是，個(gè)人信息是社會(huì)可自由使用的，但是個(gè)人信息使用必須遵循社會(huì)共同認(rèn)可的正當(dāng)規(guī)則，以防范個(gè)人信息不當(dāng)處理或?yàn)E用。盡管泛歐洲地區(qū)在歐州委員會(huì)（COE）的引領(lǐng)下將個(gè)人數(shù)據(jù)處理中的個(gè)人保護(hù)抽象為獨(dú)立的個(gè)人數(shù)據(jù)保護(hù)權(quán) （即Data Subject Right）并選擇了專門制定法來(lái)保護(hù)主體權(quán)利，但其無(wú)論COE 制定的108 公約，還是歐盟的個(gè)人數(shù)據(jù)保護(hù)指令（及之后GDPR），仍然堅(jiān)持基于原則規(guī)范模式，且選擇的行為規(guī)范，而不是權(quán)利規(guī)范模式。以GDPR 為例，個(gè)人數(shù)據(jù)處理并非采取“個(gè)人決定+法定例外”賦權(quán)規(guī)范模式，而是采取非常復(fù)雜的“合法性基礎(chǔ)+處理行為合法”規(guī)范模式。也就是說(shuō)，判斷個(gè)人數(shù)據(jù)處理是否合法并不是簡(jiǎn)單地依據(jù)非經(jīng)同意即違法（或侵權(quán)）的賦權(quán)模式，而是采取多元的合法性基礎(chǔ)加上個(gè)人信息處理行為要符合法律規(guī)范（履行法律規(guī)定的保護(hù)數(shù)據(jù)主體權(quán)利和公共利益的義務(wù)），而在個(gè)人數(shù)據(jù)處理的合法性基礎(chǔ)方面，立法者至少考慮到了數(shù)據(jù)主體、數(shù)據(jù)控制者（及第三人）和社會(huì)整體利益或公共利益三類利益相關(guān)者利益。在這個(gè)意義上，GDPR 并不是賦權(quán)保護(hù)模式，而是行為規(guī)范模式，并在行為規(guī)范中保持基于原則的規(guī)范。

從實(shí)施來(lái)看，GDPR 面臨的最大問(wèn)題有兩個(gè)：其一，GDPR 出發(fā)點(diǎn)僅僅從保護(hù)公民基本權(quán)利出發(fā)構(gòu)建個(gè)人數(shù)據(jù)保護(hù)規(guī)則，雖然它不認(rèn)為數(shù)據(jù)主體權(quán)利不是絕對(duì)受保護(hù)的，需要與信息自由、社會(huì)福祉改進(jìn)等其他人權(quán)平衡考慮，但是卻不承認(rèn)數(shù)據(jù)控制者對(duì)數(shù)據(jù)的使用權(quán)，并置數(shù)據(jù)主體權(quán)利于優(yōu)越地位，使得數(shù)據(jù)主體保護(hù)具有了絕對(duì)性；其二，GDPR 一直將個(gè)人數(shù)據(jù)功能定位識(shí)別個(gè)人，而個(gè)人的社會(huì)身份或形象塑造應(yīng)當(dāng)自主，因而從個(gè)人數(shù)據(jù)關(guān)系人之主體地位和人格自主價(jià)值，并沒(méi)有考慮到數(shù)據(jù)識(shí)別分析的經(jīng)濟(jì)功能或價(jià)值（雖然承認(rèn)個(gè)人數(shù)據(jù)自由使用有助于改進(jìn)社會(huì)福利），從有效實(shí)現(xiàn)個(gè)人數(shù)據(jù)社會(huì)價(jià)值（社會(huì)化配置和利用的價(jià)值）角度，保護(hù)數(shù)據(jù)控制者（使用者）的權(quán)利。這最終導(dǎo)致GDPR 在總體框架是單向的“數(shù)據(jù)主體權(quán)與數(shù)據(jù)控制者義務(wù)”結(jié)構(gòu)，以行為規(guī)范模式實(shí)現(xiàn)“賦權(quán)+限權(quán)”模式效果。這也導(dǎo)致歐盟委員會(huì)在2020年建議制定《數(shù)據(jù)治理?xiàng)l例（建議案）》（Data Governance Act），以彌補(bǔ)GDPR 的制度設(shè)計(jì)重大缺陷?！稊?shù)據(jù)治理?xiàng)l例（建議案）》本質(zhì)上是將個(gè)人數(shù)據(jù)置于社會(huì)資源的地位，從如何有利于社會(huì)價(jià)值的角度構(gòu)建新的數(shù)據(jù)保護(hù)體制。這也就是說(shuō)，個(gè)人數(shù)據(jù)保護(hù)的本質(zhì)不是單向地保護(hù)數(shù)據(jù)主體的權(quán)利，而應(yīng)當(dāng)遵循“數(shù)據(jù)利他主義”，協(xié)同數(shù)據(jù)使用過(guò)程中各利益相關(guān)者，形成個(gè)人數(shù)據(jù)利用（處理）權(quán)責(zé)利的制度安排，實(shí)現(xiàn)個(gè)人數(shù)據(jù)的社會(huì)價(jià)值（利益）。

（二）資源意義上個(gè)人數(shù)據(jù)治理理論：利益相關(guān)者理論的應(yīng)用

在資源視野下，個(gè)人數(shù)據(jù)具有經(jīng)濟(jì)價(jià)值，匯集、匹配、聚合一定規(guī)模的數(shù)據(jù)可以全面和精準(zhǔn)分析個(gè)體的個(gè)性特征，預(yù)測(cè)行為規(guī)律或傾向等，用于商業(yè)、社會(huì)治理等領(lǐng)域決定；對(duì)于機(jī)器操作習(xí)慣的研究可以改進(jìn)機(jī)器的性能或降低能耗； 對(duì)一定量病理樣本進(jìn)行挖掘分析可以找出病因，提早防治，如此等等，與個(gè)人關(guān)聯(lián)的各種數(shù)據(jù)正被收集、處理、分析和應(yīng)用于決策，不僅促進(jìn)技術(shù)創(chuàng)新，提升單個(gè)組織的經(jīng)濟(jì)效率，而且不斷改進(jìn)社會(huì)資源的配置和社會(huì)分工體系，促進(jìn)整個(gè)社會(huì)經(jīng)濟(jì)運(yùn)行效率。在這樣背景下，個(gè)人數(shù)據(jù)社會(huì)價(jià)值的實(shí)現(xiàn)應(yīng)當(dāng)成為數(shù)據(jù)治理需要考量的首要因素，成為數(shù)據(jù)治理的基本目標(biāo)。

關(guān)注個(gè)人數(shù)據(jù)的社會(huì)價(jià)值，而不是個(gè)人價(jià)值，以社會(huì)價(jià)值實(shí)現(xiàn)作為出發(fā)點(diǎn)來(lái)設(shè)計(jì)數(shù)據(jù)的權(quán)利（力）結(jié)構(gòu)，構(gòu)建數(shù)據(jù)利用秩序是個(gè)人數(shù)據(jù)保護(hù)（數(shù)據(jù)治理）的重大變革。這意味著要個(gè)人數(shù)據(jù)治理從個(gè)人本位轉(zhuǎn)向社會(huì)本位，個(gè)人數(shù)據(jù)處理（使用）的權(quán)利（力）配置要轉(zhuǎn)向多元主體、協(xié)同各方權(quán)益，最優(yōu)實(shí)現(xiàn)個(gè)人數(shù)據(jù)的社會(huì)價(jià)值（利益）。這樣的數(shù)據(jù)治理是“影響或受數(shù)據(jù)訪問(wèn)、控制、分享和使用方式影響的所有參與者之間的權(quán)力關(guān)系以及各種社會(huì)-技術(shù)安排以從數(shù)據(jù)中產(chǎn)生價(jià)值和分配這些價(jià)值”。數(shù)據(jù)治理的核心是對(duì)數(shù)據(jù)的決策權(quán)，而在新的治理理念下，所有受到數(shù)據(jù)治理方式和由此產(chǎn)生的價(jià)值的影響或能夠影響的個(gè)人、組織和團(tuán)體，都是數(shù)據(jù)利益相關(guān)者，都應(yīng)當(dāng)參與到數(shù)據(jù)治理決策中，分享其價(jià)值或者使自己的利益得到保護(hù)。這樣的治理一定是在一定場(chǎng)景，通過(guò)不同數(shù)據(jù)利用模式來(lái)實(shí)現(xiàn)的，而在抽象法律規(guī)范上不可能實(shí)現(xiàn)。研究者已經(jīng)從現(xiàn)行個(gè)人數(shù)據(jù)實(shí)踐區(qū)別出四種數(shù)據(jù)治理模式：數(shù)據(jù)分享池（Data Sharing Pools ）、數(shù)據(jù)合作社（Data Cooperatives）、 公共數(shù)據(jù)信托 （Public Data Trusts）和個(gè)人數(shù)據(jù)主權(quán)（Personal Data Sovereignty）。但是，要支撐多樣化的數(shù)據(jù)治理制度安排，就需要在社會(huì)上對(duì)個(gè)人數(shù)據(jù)各利益相關(guān)者的價(jià)值或利益形成共識(shí)，而這樣的共識(shí)需要突破現(xiàn)行“個(gè)保法”的框架和理念。

如上所述，發(fā)端于上世紀(jì)70年代的“個(gè)保法”基本出發(fā)點(diǎn)是個(gè)人權(quán)利保護(hù)，而以歐洲為代表的制定法模式，又開啟了“數(shù)據(jù)主體權(quán)利+數(shù)據(jù)控制者義務(wù)”法律規(guī)制范式，逐漸為世界絕大多數(shù)國(guó)家所接受。在所有接受的過(guò)程中，并沒(méi)有深度思考個(gè)人數(shù)據(jù)保護(hù)社會(huì)文化基礎(chǔ)（甚至二戰(zhàn)背景），也沒(méi)有太多地考慮上世紀(jì)70年代（計(jì)算機(jī)剛剛應(yīng)用）形成的所謂保護(hù)個(gè)人利益規(guī)則在大數(shù)據(jù)時(shí)代的適應(yīng)性。反而存在簡(jiǎn)單粗暴移植國(guó)際規(guī)則，強(qiáng)化數(shù)據(jù)主體（個(gè)人權(quán)利）保護(hù)的現(xiàn)象。比如，將歐洲的“個(gè)人數(shù)據(jù)處理中的個(gè)人保護(hù)” 簡(jiǎn)單地等同于個(gè)人數(shù)據(jù)保護(hù)，似乎是保護(hù)個(gè)人數(shù)據(jù)本身，而不是保護(hù)個(gè)人數(shù)據(jù)上個(gè)人權(quán)利。形成了個(gè)人數(shù)據(jù)歸屬于個(gè)人，個(gè)人享有決定權(quán)“賦權(quán)”模式。在世界各國(guó)正在尋求個(gè)人數(shù)據(jù)治理（保護(hù)）重大變化時(shí)代，對(duì)于像中國(guó)這樣正制定個(gè)人信息保護(hù)法的國(guó)家，如何避免重蹈歐洲國(guó)家的覆轍，一開始就能夠站在時(shí)代的潮頭，從個(gè)人數(shù)據(jù)的社會(huì)價(jià)值出發(fā)，構(gòu)建個(gè)人數(shù)據(jù)治理的制度規(guī)則，是十分必要的。

在這方面，筆者認(rèn)為，支撐企業(yè)管理轉(zhuǎn)向企業(yè)治理的利益相關(guān)者理論仍然應(yīng)當(dāng)成為個(gè)人數(shù)據(jù)治理的基本理論。自1984年弗里德曼（Ed Freeman）提出利益相關(guān)者理論之后，企業(yè)組織的利益相關(guān)者一直在擴(kuò)大，甚至政府因稅收與企業(yè)相關(guān)亦成為利益相關(guān)者。利益相關(guān)者理論指導(dǎo)下的“企業(yè)管理”演變?yōu)閰f(xié)同相互競(jìng)爭(zhēng)的價(jià)值/利益/目標(biāo)，均衡實(shí)現(xiàn)所有利益相關(guān)者的利益的藝術(shù)。因?yàn)槔嫦嚓P(guān)者理論需要在特定的場(chǎng)景或組織中識(shí)別特定主體的特定利益，明確該利益相關(guān)者權(quán)利（參與決策權(quán)）或者地位，以便于按照特定的程序參與組織的決策或影響組織的決策。而這在國(guó)家規(guī)則制定、執(zhí)行的過(guò)程，除了民主參與規(guī)則制定外，似乎很難讓利益相關(guān)者參與到執(zhí)法決定（無(wú)論是行政決策，還是司法裁判）上來(lái)。這決定了利益相關(guān)者理論在國(guó)家層面并不能直接適用。但是，廣義地界定數(shù)據(jù)上價(jià)值、利益，明確利益相關(guān)者，在法律制度和規(guī)則的設(shè)計(jì)過(guò)程中，充分考慮這些利益相關(guān)者的利益，并以這些利益相關(guān)者的共同利益——社會(huì)利益——作為協(xié)調(diào)處理利益沖突的“準(zhǔn)繩”則具有較大借鑒意義。因?yàn)槔嫦嚓P(guān)者理論要求得各利益相關(guān)者損害最小、共同利益最大化的制度或結(jié)果。如果其偏向某一方利益或者不能促進(jìn)共同利益的實(shí)現(xiàn)，那么是一種失衡的治理。

為了在新數(shù)據(jù)治理理念下實(shí)現(xiàn)治理目標(biāo)，筆者提出以下原則：

首先，應(yīng)當(dāng)以社會(huì)價(jià)值或社會(huì)利益作為個(gè)人數(shù)據(jù)治理的基本目標(biāo)，在個(gè)人價(jià)值（利益）與社會(huì)價(jià)值（利益）相沖突的情形下，個(gè)人應(yīng)當(dāng)讓位于社會(huì)。

其次，區(qū)分個(gè)人數(shù)據(jù)上的人格利益（包括人格尊嚴(yán)、自治等主體權(quán)利）與個(gè)人數(shù)據(jù)上的財(cái)產(chǎn)利益（或經(jīng)濟(jì)利益），個(gè)人數(shù)據(jù)上的財(cái)產(chǎn)利益（經(jīng)濟(jì)利益） 按照經(jīng)濟(jì)價(jià)值創(chuàng)造與成本及風(fēng)險(xiǎn)責(zé)任的分擔(dān)的原理配置權(quán)利與義務(wù)、利益與責(zé)任。個(gè)人數(shù)據(jù)的使用以不侵害個(gè)人人格權(quán)益（主體權(quán)利）為前提，但是要區(qū)分?jǐn)?shù)據(jù)上人格利益和數(shù)據(jù)處理中的人格利益，除非數(shù)據(jù)本身上人格利益需要給予個(gè)人以決定權(quán)外（防御性權(quán)利），而對(duì)于其他個(gè)人數(shù)據(jù)則僅有處理或使用之后損害其人格利益的，才給予停止侵害和損害賠償?shù)木葷?jì)權(quán)。

最后，只有相同性質(zhì)的利益才能進(jìn)行效力排序或確定優(yōu)先順位，而當(dāng)個(gè)人數(shù)據(jù)上涉不同性質(zhì)利益時(shí)，并不能當(dāng)然地得出數(shù)據(jù)主體權(quán)利優(yōu)先于其他利益相關(guān)者的利益。在GDPR 中，將數(shù)據(jù)主體權(quán)利置于優(yōu)越于數(shù)據(jù)控制者或第三人合法利益本身是一種錯(cuò)位利益排序。在人格利益情形下，只存在個(gè)人隱私與集體隱私熟先熟后的問(wèn)題。當(dāng)然，在對(duì)抗公權(quán)利濫用方面，我們可以置個(gè)人基本權(quán)利（人權(quán)）的保護(hù)于優(yōu)先地位。因此，在“個(gè)保法”領(lǐng)域，我們并不能得出數(shù)據(jù)主體權(quán)利優(yōu)先保護(hù)結(jié)果。

一旦我們?cè)诜缮夏軌蚱降鹊貙?duì)待個(gè)人數(shù)據(jù)上各利益相關(guān)人的權(quán)益，并在相同性質(zhì)利益下，遵循個(gè)人利益讓位于集體或社會(huì)整體利益或公共利益，那么我們就能夠建立以社會(huì)價(jià)值（利益）為目標(biāo)數(shù)據(jù)治理規(guī)則和機(jī)制； 同時(shí)我們要區(qū)分人格利益和經(jīng)濟(jì)利益，而不籠統(tǒng)地賦予數(shù)據(jù)主體權(quán)利以優(yōu)先地位，更不隨意將基于主體權(quán)利的決定權(quán)當(dāng)然地解決的經(jīng)濟(jì)資源的決定權(quán)，那么我們?cè)诰唧w數(shù)據(jù)應(yīng)用場(chǎng)景或模式中就可以構(gòu)建協(xié)同各方利益的治理結(jié)構(gòu)。對(duì)此，本文不再做深入的闡述。

四、中國(guó)個(gè)人數(shù)據(jù)保護(hù)法：范式突破

個(gè)人信息是個(gè)人進(jìn)入社會(huì)標(biāo)識(shí)自己和塑造個(gè)人人格的素材，也是社會(huì)了解個(gè)人的必要手段，個(gè)人信息的工具性決定了它應(yīng)當(dāng)處于可以為人使用的公共領(lǐng)域，而不是私人控制的客體。因此，個(gè)人數(shù)據(jù)具有較強(qiáng)的社會(huì)性、 公共性，是社會(huì)可用的“資源”。大多數(shù)“個(gè)保法”（包括GDPR）并沒(méi)有將“同意”上升為私法上個(gè)人數(shù)據(jù)使用決定權(quán)，更沒(méi)有將“同意”視為單一合法性基礎(chǔ)。但是，基本權(quán)利意義上“控制”極易被私法化為一種私人權(quán)利，演繹成個(gè)人信息支配權(quán)。這不僅表現(xiàn)在這一時(shí)期的研究個(gè)人信息學(xué)者幾乎簡(jiǎn)單地將域外立法文件中對(duì)個(gè)人信息保護(hù)基本原則規(guī)定簡(jiǎn)單地抽象為個(gè)人信息權(quán)且作為一種私權(quán)（具體人格權(quán)）來(lái)對(duì)待，而且也導(dǎo)致現(xiàn)行立法過(guò)度依賴個(gè)人同意來(lái)保護(hù)個(gè)人信息處理中的個(gè)人權(quán)益。

自2012年全國(guó)人大常委會(huì)頒布《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》，中國(guó)開始引入域外的個(gè)人數(shù)據(jù)（信息）保護(hù)制度，之后個(gè)人信息保護(hù)規(guī)則進(jìn)入《消費(fèi)者權(quán)益保護(hù)法》《網(wǎng)絡(luò)安全法》《民法總則》《電子商務(wù)法》等法律。所有這些法律對(duì)于個(gè)人信息使用的基本規(guī)則為，收集和使用個(gè)人信息應(yīng)遵循合法、正當(dāng)、必要原則，須經(jīng)被收集者同意并依法律或合同約定使用，未經(jīng)被收集者同意，不得向他人提供個(gè)人信息。因此，這些法律的基本核心是知情同意規(guī)則，使個(gè)人信息的使用限定于信息主體知悉和同意目的范圍之內(nèi)。雖然同意在實(shí)踐中被泛化，并作為個(gè)人信息收集和使用是否違法的主要依據(jù)，但是在民事上不能因此推出非經(jīng)同意使用個(gè)人信息即構(gòu)成侵權(quán)。

《民法典》以個(gè)人信息“處理”替代“收集和使用”，仍然堅(jiān)持同意為前提條件，只是明確存在法定例外（第1035 條第1 款第1 項(xiàng)），并規(guī)定了免責(zé)的情形（第1036 條）。這樣的規(guī)定宜得出沒(méi)有法律的規(guī)定例外時(shí)，未經(jīng)同意的個(gè)人信息處理就是侵權(quán)結(jié)論，至少人們會(huì)有不同的理解。這不僅是由于法律規(guī)定的不清晰，還有實(shí)踐中存在將信息主體同意等同于授權(quán)的觀念或做法。例如，國(guó)家推薦標(biāo)準(zhǔn) 《個(gè)人信息安全規(guī)范》（GB/T 35273—2020）第5.4 條“收集個(gè)人信息時(shí)的授權(quán)同意”a）收集個(gè)人信息，應(yīng)向個(gè)人信息主體告知收集、使用個(gè)人信息的目的、方式和范圍等規(guī)則，并獲得個(gè)人信息主體的授權(quán)同意。

2021年8月20日通過(guò)、2021年11月1日起施行的《中華人民共和國(guó)個(gè)人信息保護(hù)法》（下稱《個(gè)保法》），在個(gè)人信息保護(hù)方式方面基本上采納歐盟GDPR 的框架，尤其是采納個(gè)人信息處理合法性基礎(chǔ)規(guī)定，只是其合法性基礎(chǔ)（第13 條）是規(guī)定在“個(gè)人信息處理規(guī)則”一章，而不是總則的基本原則中。第13 條的內(nèi)容也大致相當(dāng)于GDPR 的第6 條個(gè)人數(shù)據(jù)處理的合法性的規(guī)定，主要差別是缺少“為信息處理者（GDPR 為數(shù)據(jù)控制者）合法利益而處理”這一合法性基礎(chǔ)。筆者認(rèn)為，采納個(gè)人信息處理合法性基礎(chǔ)規(guī)定使我國(guó)個(gè)人信息的處理具有并行的法律依據(jù)，既避免《民法典》之前的分散立法將同意作為唯一合法性基礎(chǔ)，同時(shí)也避免了《民法典》第1035 條以同意為一般原則，以法律另有規(guī)定為例外的規(guī)定。不過(guò)，《個(gè)保法》仍然主要依賴同意保護(hù)個(gè)人權(quán)利。

自《網(wǎng)絡(luò)安全法》2017年6月生效后，國(guó)家網(wǎng)信辦等網(wǎng)安法執(zhí)法部門每年都會(huì)聯(lián)合進(jìn)行執(zhí)法大檢查，在2018年《電子商務(wù)法》生效后，國(guó)家市場(chǎng)監(jiān)督管理總局每年開展 “網(wǎng)絡(luò)市場(chǎng)監(jiān)管專項(xiàng)行動(dòng)”，尤其是今年圍繞平臺(tái)反壟斷開展連續(xù)的執(zhí)法活動(dòng)。從目前的執(zhí)法情形來(lái)看，對(duì)于個(gè)人信息違法濫用行為的執(zhí)法主要圍繞兩個(gè)方面展開，一是是否存在有效的同意，二是否超范圍采集與超目的使用個(gè)人信息上（涉及必要性的判斷）。由于現(xiàn)行涉及個(gè)人信息使用的法律基本上是個(gè)人對(duì)個(gè)人控制（包括同意）為基調(diào)，法律僅有公共利益的限制，但沒(méi)有數(shù)據(jù)使用者合法利益保護(hù)和社會(huì)發(fā)展或社會(huì)整體利益相關(guān)規(guī)定，因而現(xiàn)有的涉?zhèn)€人信息保護(hù)的執(zhí)法也只能以法律規(guī)定為依據(jù)，以個(gè)人權(quán)利保護(hù)為目的。即使執(zhí)法出于地方經(jīng)濟(jì)發(fā)展或就業(yè)等考量，也屬于酌情之范疇，根本改變不了執(zhí)法基準(zhǔn)線。

從立法到執(zhí)法基本現(xiàn)狀以及《個(gè)人信息保護(hù)法》內(nèi)容來(lái)看，我國(guó)個(gè)人信息保護(hù)仍然一頭倒，呈現(xiàn)單向保護(hù)個(gè)人權(quán)利范式，即保護(hù)信息主體權(quán)利并基于公共利益考量給予適當(dāng)限制。盡管數(shù)據(jù)治理概念在中國(guó)也得到普遍應(yīng)用，但是，在法律對(duì)個(gè)人信息的定位屬于個(gè)人人格利益，且僅僅通過(guò)限權(quán)來(lái)維護(hù)公共利益的情形下，不承認(rèn)數(shù)據(jù)使用者或社會(huì)主體的利益的情形下，數(shù)據(jù)治理的理論和機(jī)制就無(wú)從實(shí)施。缺失個(gè)人信息上多元利益的承認(rèn)，不明確個(gè)人信息的多方利益相關(guān)者的利益，任何數(shù)據(jù)治理，就仍然是借時(shí)髦治理概念行保護(hù)個(gè)人權(quán)益之實(shí)。

中國(guó)個(gè)人信息保護(hù)亟需范式的轉(zhuǎn)型，從單一保護(hù)個(gè)人權(quán)利轉(zhuǎn)向保護(hù)多利益相關(guān)者利益的數(shù)據(jù)治理范式。這需要認(rèn)真研究在數(shù)字經(jīng)濟(jì)時(shí)代，數(shù)據(jù)成為驅(qū)動(dòng)創(chuàng)新和社會(huì)經(jīng)濟(jì)發(fā)展資源的背景下，包括歐盟在內(nèi)的國(guó)家均在從過(guò)去的保護(hù)轉(zhuǎn)向治理，我們就沒(méi)有必要再重復(fù)保護(hù)范式，將來(lái)再走向多元治理范式。

注釋：

①Bevir，M.（2010）. 1 Governance as Theory，Practice，and Dilemma.

②European Commission，Regulation on data governance-Questions and Answers，https：//ec.europa.eu/commission/presscorner/detail/en/QANDA_20_2103?cookies=disabled

③Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on European data governance （Data Governance Act），COM（2020） 767 final 2020/0340（COD）

④the Data Sharing and Governance Act 2019，http：//www.irishstatutebook.ie/eli/2019/act/5/enacted/en/html

⑤Nathan Eagle，Engineering a Common Good： Fair Use of Aggregated，Anonymized Behavioral Data.

⑥《個(gè)人信息保護(hù)法》第四條第一款規(guī)定，個(gè)人信息是以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。

⑦在計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用之前，這些信息除了少數(shù)部分被口耳相傳（傳聞）得以傳播或被檔案或傳記記載外，基本上不留痕跡，無(wú)據(jù)可查。而今天，人們的一切行為軌跡幾乎都可以被記錄下來(lái)，成為人們可以查詢和分析個(gè)人的消費(fèi)偏好、健康狀況、資信狀況和信用能力等的依據(jù)。

⑧Garfinkel，S.（2015），De-Identification of Personal Information，NIST Interagency/Internal Report （NISTIR），National Institute of Standards and Technology，Gaithersburg，MD，[online]，https：//doi.org/10.6028/NIST.IR.8053

⑨在網(wǎng)絡(luò)環(huán)境下，我們可以通過(guò)了解一個(gè)人的個(gè)人屬性（如職業(yè)、經(jīng)歷等）、網(wǎng)絡(luò)瀏覽記錄等數(shù)據(jù)來(lái)認(rèn)識(shí)某個(gè)人的個(gè)性特征，然后將個(gè)性特征聯(lián)系到某個(gè)具體個(gè)人。個(gè)人提供給社會(huì)的信息豐富了，不僅能夠精確地識(shí)別一個(gè)人的特征，而且很容易識(shí)別一個(gè)人的身份。基于此，現(xiàn)在識(shí)別個(gè)體，甚至不需要識(shí)別個(gè)體身份（知道你是誰(shuí)），而僅僅識(shí)別特定的抽象的個(gè)體。我們?cè)诰W(wǎng)絡(luò)環(huán)境中有許多身份標(biāo)識(shí)符，典型的如用戶名甚至IP 地址、 硬件識(shí)別號(hào) （如手機(jī)IMEI 號(hào)），均可以視為一個(gè)個(gè)體。這樣的個(gè)體實(shí)際上是“人格面具”（persona）。至于這個(gè)個(gè)體是誰(shuí)，對(duì)應(yīng)到現(xiàn)實(shí)中哪個(gè)具體的個(gè)人，則需要進(jìn)行身份識(shí)別，即將具有某些特征的個(gè)體與具體的個(gè)人聯(lián)系起來(lái)。識(shí)別并不必然要識(shí)別身份，更不必然跟一個(gè)人通信或聯(lián)系。因此，在網(wǎng)絡(luò)社會(huì)中，識(shí)別的基本含義就是通過(guò)分析關(guān)聯(lián)數(shù)據(jù)以識(shí)別某個(gè)用戶的個(gè)性特征（至于能否識(shí)別用戶的身份，則取決于所掌握的數(shù)據(jù)是否匹配到某個(gè)人）。

⑩WORLD ECONOMIC FORUM，PERSONAL DATA：THE EMERGENCE OF A NEW ASSET CLASS 7 （Jan.2011）.p5.

?2020年3月，國(guó)務(wù)院發(fā)布《中共中央國(guó)務(wù)院關(guān)于構(gòu)建更加完善的要素市場(chǎng)化配置體制機(jī)制的意見》 提出土地、勞動(dòng)、資本、技術(shù)、數(shù)據(jù)五個(gè)要素領(lǐng)域的改革方向。其中針對(duì)數(shù)據(jù)要素，第一次此明確了加快培育要素市場(chǎng)的發(fā)展方向，要求加強(qiáng)數(shù)據(jù)資源整合和安全保護(hù)。探索建立統(tǒng)一規(guī)范的數(shù)據(jù)管理制度，提高數(shù)據(jù)質(zhì)量和規(guī)范性，豐富數(shù)據(jù)產(chǎn)品。研究根據(jù)數(shù)據(jù)性質(zhì)完善產(chǎn)權(quán)性質(zhì)。

?高富平：《論個(gè)人信息保護(hù)的目的——以個(gè)人信息保護(hù)法益區(qū)分為核心》，《法商研究》2019年第36 期。

?Yvonne McDermott，Conceptualising the right to data protection in an era of Big Data，Big Data&Society，January-June 2017，p4.

?王利明：《民法上的利益位階及其考量》，《法學(xué)家》2014年第1 期。

?首先，隱私具有共同價(jià)值，因?yàn)樗袀€(gè)人對(duì)隱私會(huì)有某種評(píng)價(jià)，有某些共同看法。此外，隱私不僅對(duì)個(gè)人（作為個(gè)人或者所有共同體的成員）具有價(jià)值，對(duì)民主體制也具有價(jià)值。最后，隱私具有集體價(jià)值（collective value），技術(shù)和市場(chǎng)力量正在使個(gè)人信息保護(hù)相互聯(lián)系在一起，在所有人沒(méi)有相同的最低隱私保護(hù)水平的前提下，某個(gè)人很難享有隱私。參見Priscilla M.Regan，Legislating Privacy： Technology，Social Values and Public Policy，Chapel Hill，NC：University of North Carolina Press，1995.

?Alessandro Mantelero & Giuseppe Vaciago，Data protection in a big society. Ideas for a future regulation，Digital Investigation 15（2015），p.108.

?參見高富平：《個(gè)人信息保護(hù)：從個(gè)人控制到社會(huì)控制》《法學(xué)研究》2018年第5 期。

?GDPR 定義的數(shù)據(jù)控制者為： 是指單獨(dú)或與他人共同決定個(gè)人數(shù)據(jù)處理的目的和方式的自然人、法人、公共權(quán)力機(jī)關(guān)、代理機(jī)構(gòu)或其他機(jī)構(gòu)。數(shù)據(jù)控制者或第三方基本上可以涵蓋所有的社會(huì)主體。GDPR 第5 條第（f）項(xiàng)完整條文為：（f）數(shù)據(jù)控制者或第三方為追求合法利益目的而進(jìn)行的必要數(shù)據(jù)處理，但當(dāng)該利益與要求對(duì)個(gè)人數(shù)據(jù)進(jìn)行保護(hù)的數(shù)據(jù)主體的利益或基本權(quán)利和自由相沖突時(shí)，尤其是當(dāng)該數(shù)據(jù)主體為兒童時(shí)，則不得進(jìn)行數(shù)據(jù)處理。

?《南財(cái)快評(píng)：新冠肺炎疫情會(huì)推動(dòng)醫(yī)療數(shù)據(jù)全球共享嗎？》，載21 財(cái)經(jīng)，https：//m.21jingji.com/article/20200214/herald/209333f86aab705ff55f27e8c7a28b66.html（2020年3月30日訪問(wèn)）

?我國(guó)在《中國(guó)互聯(lián)網(wǎng)狀況》（中華人民共和國(guó)國(guó)務(wù)院新聞辦公室，2010年） 中提出了我國(guó)境內(nèi)的互聯(lián)網(wǎng)屬于中國(guó)主權(quán)管轄范圍的觀點(diǎn)。2015年在《國(guó)家安全法》首次規(guī)定了“網(wǎng)絡(luò)空間主權(quán)”。2021年6月《中華人民共和國(guó)數(shù)據(jù)安全法》第一條明確“為了規(guī)范數(shù)據(jù)處理活動(dòng)，保障數(shù)據(jù)安全，促進(jìn)數(shù)據(jù)開發(fā)利用，保護(hù)個(gè)人、組織的合法權(quán)益，維護(hù)國(guó)家主權(quán)、安全和發(fā)展利益，制定本法?！睂?shù)據(jù)安全與國(guó)家主權(quán)聯(lián)系在一起。