GDPR數據主體同意制度剖析及應對策略

鄒珊 傅思宇 羅玨 馬韔

摘要：從理論根源和功能價值出發，GDPR數據主體同意制度以保護人格尊嚴為核心，以技術向善為導向，將“數據主體的同意”作為數字經濟企業收集和處理個人數據最重要的合法性基礎。數據主體的有效同意須由數據主體自由、特定、知情、明確作出。中國數字經濟企業須以CNIL vs. Google LLM等案為戒，積極承擔合規義務，同時設立數據保護專員，強化企業內部數據治理與監督機制，自主或者委托第三方開展數據治理與風險評估，對標GDPR完善企業隱私政策并通過技術設計充分保障數據主體同意權，防控企業法律風險。

關鍵詞：一般數據保護條例;數字經濟企業;個人數據

中圖分類號： F724.6文獻標志碼： A 文章編號：16720539（2020）01006107

一、引言

對于大數據時代的數據，無論其來源如何，都可被分為兩類：個人數據與非個人數據。數據的 “可識別性”（identifiable）是區分個人數據與非個人數據的關鍵標準。凡是單獨可以識別出特定自然人的數據或者與其他數據結合后能夠識別出自然人的數據，都是個人數據;反之，則為非個人數據[1]。個人數據于數字經濟企業而言具有商業價值，于數據主體而言具有人格利益。

個人數據是數字經濟企業的生命。根據2016年G20杭州峰會《二十國集團數字經濟發展與合作倡議》中對數字經濟的定義，數字經濟企業（Digital Economy Enterprise）是從事以數字化的知識和信息為關鍵生產要素、以現代信息網絡為重要載體、以信息通信技術的有效使用為效率提升和經濟結構優化的重要推動力的一系列經濟活動的企業，主要以互聯網企業為代表，還包括農業、工業等傳統領域以信息化為發展動力的企業。對于企業而言， 個人信息（1）是創新和營銷的資源， 構成其核心競爭力。個人信息是支撐個性化服務、個性化定制、智能化制造等的基礎， 是垂直經濟、平臺經濟、線上與線下融合經濟等商業創新的靈魂。因而個人信息被視為競爭資源、企業的新資產[2]。

保護個人數據是尊重人格利益的重要表現。隨著各國法學界對個人數據保護的關注度不斷提升，個人數據逐漸被納入到法律保護的范疇。例如德國對個人數據權的立法就經過了由基本法保護到專項立法、由地方州立法到聯邦立法、由一般人格權到具體人格權、由僅規制公權力到規制公私雙領域的歷程。德國對公、私領域信息行為的態度， 經過了“差別巨大——差異縮小——差距重新擴大”的過程， 德國個人信息保護法的發展， 是典型的“螺旋式上升， 波浪式前進”， 在否定之否定中不斷完善， 以適應現實需要的過程.[3]。

近年來，互聯網技術的創新、大數據的崛起、跨境電子商務的迅猛發展沖擊著1995年歐盟《關于涉及個人數據處理中的個人保護以及此類數據自由流動的第95/46/EC號指令》（Directive95/46/EC，以下簡稱“95指令”）。為營造良好的信息流動環境，歐盟制定了《一般數據保護條例》（General Data Protection Regulation，以下簡稱GDPR）。GDPR以“任何收集或處理涉及歐盟所有成員國內的個人數據的機構組織”為規制對象，適用“長臂管轄”原則（2），并伴有嚴格的監管制度與嚴厲的處罰措施（3），一經頒布即被稱為“史上最嚴數據保護法案”。2018年5月28日，臉書（Facebook）和谷歌（Google）等域外跨國數字經濟企業因被指控未經用戶有效同意收集和處理個人數據成為GDPR法案施行后的第一批被告，這應引起從事跨國業務的中國數字經濟企業的重視。

對中國數字經濟企業而言，歐盟意味著五億余人口的市場。中國數字經濟企業想要“走出去”，并在激烈的國際競爭中占據一席之地，必須重視并符合GDPR的規定，而獲取數據主體的有效同意是中國數字經濟企業合規的關鍵。

二、GDPR數據主體同意制度立法原意探析

GDPR數據主體同意制度可追溯到德國個人信息自決權理論。從制度功能價值的角度來看，GDPR數據主體同意制度將數據主體權利串聯起來形成完整的權利體系。一方面，該制度傾斜性保護數據主體，尊重人格利益，發揮著保護個人數據的重要作用。另一方面，該制度引導數字經濟企業合規發展，積極承擔社會責任，驅動科技向善發展。

（一）制度溯源：個人信息自決權理論

“個人信息自決權”是一項沒有明文規定但經由德國法院判例發展和承認下來的特別人格權（4）。1983年“人口普查案”直接推動了德國個人信息保護立法理念的轉變——由借鑒美國的“隱私權保護”到植根于本土的“人格權保護”。德國憲法法院對個人信息自決權理論進行了闡述（5），即個人有權根據自己的想法自行決定何時以及在何種限度內披露有關其個人生活的事實。簡而言之，信息自決權就是指當事人擁有的對其自身相涉的數據自行決定披露與使用的終極掌控的權利。信息主體可以自由地決定其信息何時、何地、以何種方式被搜集、儲存和利用， 包括利用的主體是誰， 可以再轉給何人， 為了何種目的等內容[4]。

法律保護個人信息是為了維護個人的人格尊嚴和人格平等。確認個人對其信息的自主支配， 就是要維護個人的人格尊嚴[5]?？档绿岢觥叭耸悄康摹崩砟畋汴U述了人的主體地位——“在全部被造物之中，人所愿欲的和他能夠支配的一切東西都只能被用作手段;唯有人，以及與他一起，每一個理性的創造物，才是目的本身”[6]。人本身是目的， 人應該自治、自決， 凡是與人格形成、發展有關的情事， 本人有權自己決定， 并在此范圍內， 排除他決、他律或他治[7]。其中，知情同意就是信息權利人對個人信息支配權的具體體現， 此種支配是一種獨占性的支配[8]。

以維護人的尊嚴為出發點的個人信息自決權理論對歐盟個人數據保護的法律框架影響頗深。GDPR以強化數據主體對個人數據的控制為導向，在立法宗旨與目的中表明，“本法保護自然人的基本權利和自由，尤其是自然人的個人數據權”。在這一框架下，“數據主體的同意”成為允許他人收集和處理數據主體個人數據的重要條件。GDPR為數據控制者和處理者獲得收集和處理個人數據獲取用戶同意設置了嚴苛的條件——“同意由數據主體自由、特定、知情、明確作出”，讓數據主體在明晰的數據收集范圍和目的下自愿授權數據控制者和處理者收集和處理其個人數據，這充分尊重了數據主體的自決權。

（二）數據主體同意制度的功能價值

1.聯結數據主體權利，充當權利束紐帶

在GDPR的數據主體權利體系中，數據主體的同意將訪問權、更正權、刪除權（被遺忘權）、限制處理權、自動化處理決定權、拒絕權串聯在一起，構成個人數據權利束。在同意數據控制者收集其個人數據后，數據主體可通過行使訪問權了解數據控制者和處理者處理其個人數據的具體情況。若個人數據信息有誤或者已更新，數據主體可要求其盡快修改;若數據主體對數據控制者和處理者處理個人數據的行為提出質疑，則可暫時限制其個人數據的處理活動。數據主體決定撤回同意，則其個人數據應當被數據控制者和處理者遺忘。這一邏輯完整的數據主體權利體系從數據主體的同意開始到刪除權（被遺忘權）終止。

2.維護實質公平，保障數據主體權利

在合同締結過程中，數據主體大多通過接受數據控制者提供的格式條款（如隱私政策、隱私條款等）行使同意權。數據主體無法就合同中對其數據權利有實質性影響的條款與數據控制者進行協商，因而格式條款的適用限制了數據主體的自由意志。一旦授權數據控制者和處理者收集或處理其個人數據，數據主體就對其個人數據失去事實上的控制力，即無法獲取相關數據處理信息，也無法決定個人數據的處理過程，數據主體權利的實現很大程度上依賴于數據控制者和處理者。出于保護弱勢一方的公平價值取向，數據主體同意制度為數據主體對其個人數據擬制出法律上的控制力。

個人數據中最突出的是因“可識別性”而形成的人格屬性。個人數據權就其主要內容和特征而言， 在民事權利體系中， 應當屬于人格權的范疇[5]。人格權系以人格為內容的權利，人格指人的尊嚴及價值，即以體現人的尊嚴價值的精神利益（ideele interese）為其保護客體[9]。法律保護個人信息權， 雖然以禁止披露相關信息為其表現形式， 但背后突出反映了對個人控制其信息資料的充分尊重[5]。數據主體同意制度通過確保數據主體的數據安全，可以間接保障數據主體的人身和財產安全。

3.促使企業承擔社會責任，形成企業競爭優勢

流動的個人數據是數字經濟企業的關鍵生產要素，為數字經濟企業源源不斷創造商業價值。由于數字經濟企業從個人數據的利用中受益，其財富的積累也消耗了大量的社會資源，應當充分尊重數據主體的權利，承擔保障數據安全的社會責任，消除其發展過程中產生的負外部性。

企業承擔社會責任與營利性并非絕對對立，在良性互動的情況下，企業承擔社會責任也能夠與其營利目標相一致[10]。符合社會公眾利益的行為， 或者是引導顧客向著有益消費結構變化的行為， 會使企業因顧客的青睞而獲得豐厚的利潤[11]。雖然數據主體同意制度限制數字經濟企業收集和處理個人數據的行為，看似增加了企業經營成本，但數字經濟企業若采取積極合規行為，塑造科技向善的經營理念，無疑將獲得更高的商譽，實現潛在用戶市場的逐步擴張。因此，從長遠來看，符合數據主體同意制度的規定將提升企業的市場競爭力，實現長期性的盈利目的。

三、GDPR數據主體同意制度規制下Google存在的問題

（一）案件基本事實

2018年5月25日和28日，None of Your Business （以下簡稱NOYB）和La Quadrature du Net （以下簡稱LQDN）兩個非營利組織分別向法國國家數據保護機構（以下簡稱CNIL）投訴，稱Google在創建賬戶時向Android操作系統用戶提供的隱私政策中未履行充分告知義務，且Google將用戶個人數據進行分析和用于個性化廣告未征得用戶自由、知情、特定、明確的同意，缺乏收集和處理個人數據的有效法律依據。經調查，CNIL確認Google在處理用戶個人數據時存在缺乏透明度、用戶獲知信息不充分以及缺乏對個性化廣告的有效同意等問題，并于2019年1月21日，根據GDPR對Google處以5000萬歐元的罰款[12]。目前，Google宣布將在法國最高行政法院對該決定提出上訴（6）。

（二）爭議焦點之分析：“明確同意”與“明示同意”

Google辯稱其為提供個性化廣告服務所收集和處理的瀏覽記錄等個人數據不屬于敏感個人數據，不適用第9條第（2）項第（a）款中“明示同意”（explicit consent）要求，因此其收集用戶數據的行為符合GDPR的規定。CNIL未采納這一抗辯理由，認為其仍違反了第4條第（11）項中“明確同意”（unambiguous consent）要求。顯然，在本案中，Google對“明示同意”與“明確同意”產生了混淆。

以個人數據與隱私的關聯程度為標準，GDPR將個人數據分為一般個人數據和敏感個人數據（7）。數字經濟企業在收集和處理敏感個人數據時應當取得數據主體的“明示同意”，是對GDPR第4條第（11）項中“明確同意”要求的特殊規定。針對敏感個人數據與一般個人數據，立法者在“同意”前使用不同的限定詞（unambiguous與explicit），這是一個明確的語言指標，即兩者之間存在差異。在牛津高階詞典中，unambiguous是指意思清楚的、無歧義的，而explicit指明晰的、明確的?？梢姡珿DPR對敏感個人數據的保護高出一般個人數據的“明確同意”的要求。

敏感信息是指構成個人隱私的信息，一般信息是指通常狀態下不構成隱私的信息[13]。對于一般個人數據，同意須以明確的聲明或者明確肯定的積極行為作出，包括明示同意和默示同意?！懊鞔_同意”僅需要數據主體做出愿提供其個人數據的行為即可。盡管留下了通過解釋特定情境下用戶某些行為而確定同意的空間，但鑒于GDPR整體的嚴格保護傾向，可預見“非明示”同意的解釋空間不會擴展太大[14]。敏感個人數據與數據主體的隱私通常存在緊密關聯，其泄漏或不當處理將給數據主體的人身財產安全帶來極大威脅，因此數據主體僅可通過明示同意授權數字經濟企業收集和處理其敏感個人數據。“明示同意”既需要數據主體作出明確同意該聲明的行為（如勾選“我同意”的選擇框），又需要數據主體愿提供其特定個人數據的明確聲明。

（三）同意規范之展開

根據GDPR第4條第1款第（11）項， 數據控制者和處理者應確保數據主體的同意滿足“自由、特定、知情、明確”的要求（8）。縱觀CNIL vs. Google LLM案，Google違反的同意規范如下。

1.知情（informed）的同意

同意應當在數據主體知情的前提下作出，這要求數字經濟企業在收集和處理個人數據的全過程中承擔充分告知義務，即就數據處理活動向數據主體作出充分的說明。在獲取數據主體積極同意前，數字經濟企業應主動向其告知個人數據的相關信息（9）。數字經濟企業提供的信息應當是完整、易理解的，且須采取顯著方式引起數據主體的注意。

本案中，Google在隱私政策中缺乏對其服務的充分說明，使得用戶無法準確理解其處理個人數據的目的、范圍等重要信息。

一是廣告個性化服務的操作信息被分散到幾個文檔中，使得用戶無法知道這一操作涉及哪些服務、網站和應用程序，也不知道其中嵌入和組合的數據量。用戶在信息不對稱的情況下，對Google收集其個人數據的目的、范圍等重要事項易產生誤解，其同意缺乏真實的意思表示。同時，Google未向用戶提供其用于個性化廣告的個人數據來源（如Google賬戶，YouTube或第三方網站共享）的明確信息，使得用戶無法對Google數據處理活動進行有效監督。

二是Google在“信息如何保存”頁面使用了四項涉及期限的描述，包括“保留信息直至刪除”“超過期限的信息”“您刪除Google賬戶之前的信息”“由于特定原因，信息會長時間保存”。但上述規定十分模糊，沒有明確的保存時間或確定該期限的標準。

2.明確（unambiguous）的同意

不論是一般個人數據還是敏感個人數據，GDPR均排除了沉默、預先勾選對話框等以不作為方式作出的同意[15]。雖然在創建賬戶后，用戶可以通過單擊“更多選項”對廣告個性化選項進行修改，但Google已預先勾選了同意選項并誤導用戶在不知情的情況下作出同意。CNIL認為，Google關于個性化廣告的設置完全可以從“更多選項”中獨立出來。Google預先勾選選擇框的行為，使得用戶必須再次點擊“更多選項”來修改設置，因此用戶后續點擊“確認”并非通過積極行為同意將其數據用于個性化廣告的表示，不符合同意的“明確”要求。

3.特定（specific）的同意

GDPR第6條第（1）款第（a）項確認數據主體的同意必須與“一個或多個特定”目的相關，并且數據主體可以就每一個目的進行選擇[15]。數據主體的同意僅在依據特定目的被授予時才有效，即數字經濟企業收集的數據必須具有用于特定數據處理的目的，這也被稱為目的限制。

在創建賬戶之前，Google要求用戶勾選“我同意Google的服務條款”和“我同意如上所述處理我的信息，并在隱私政策中進一步說明”的選擇框才能完成創建，用戶只能選擇完全接受或者完全不接受Google實施的所有個人數據處理行為。通過捆綁的方式，Google將用戶創建賬戶的行為與授權同意對其個人數據進行處理的行為混合，并基于這一概括的同意將用戶個人數據用于個性化廣告。CNIL認為Google隱私政策中同意選項的設置沒有尊重GDPR，因為GDPR規定，只有在為每個目的明確給出同意時，數據主體的同意才是“特定”的，而這種概括同意的方式不符合同意的“特定”性質。

4.自由（freely given）的同意

數據主體在表示同意時，能否作出真實的意思表示而享有真正的選擇自由，可否自由拒絕和撤回其同意而免遭不利后果，是鑒別其同意是否“自由作出”的標準。

同意不能是簽訂服務協議的唯一先決條件。如果一項同意是被捆綁作為條款的一個不可協商的部分，則推定該同意不是自愿作出的[15]。在本案中，為了能夠訪問其Google賬戶，用戶必須同意Google提供的格式條款，包括同意Google收集和處理其個人數據，然后才能更改個性化廣告自定義選項的設置。該操作實為變相強制用戶同意Google的隱私政策，違反了同意“自由作出”的要求。

綜上所述，Google公司違反了GDPR關于獲取數據主體同意“自由、特定、知情、明確”的規定，其收集和使用個人數據的行為不具有合法性，嚴重侵害了數據主體的個人數據權利。

四、應對GDPR數據主體同意制度的策略探討

CNIL vs. Google LLM案揭露了Google公司在個人數據保護中存在制度性缺陷，其高額的罰款和信譽的損失給數字經濟行業敲響了警鐘。根據GDPR“長臂管轄”原則，從事跨國業務的中國數字經濟企業一旦收集或處理歐盟境內居民的個人數據就會受其規制。為防范和化解今后在歐洲互聯網市場競爭中的法律風險，中國數字經濟企業應從Google案中汲取經驗教訓，積極承擔相應合規義務，做好下列工作。

（一）設立數據保護專員，強化企業內部數據治理與監督機制

首先，為了確保數據保護專員職責的有效履行，其應當具有獨立性。數據保護專員由獨立于企業并具備個人數據保護方面相關專業知識的專職人員擔任，數字經濟企業不得因為數據保護專員正常履職的行為對其解雇或者處罰。除此之外，數字經濟企業不僅應當為其提供培訓和交流的機會，還應當減輕或免除數據保護專員其他方面的工作職責，使其法定監督職能得以保障。

其次，數據經濟企業應當積極配合數據保護專員開展數據保護監督工作。數據保護專員日常監控用戶數據安全狀況，定期對用戶數據保護情況進行調查，并針對企業內部出現的用戶數據安全問題直接向高級管理層報告并提出建議，促進數字經濟企業積極落實數據保護義務。數字經濟企業須積極接受數據保護專員的監督，在個人數據收集和處理活動中嚴格遵守GDPR的規定，完善企業內部數據治理機制。

（二）通過技術設計充分保障數據主體同意權，防控企業法律風險

為了讓數據主體信任數字經濟企業的數據收集行為，確保收集到的個人數據不會被非法或歧視性使用，需要從技術層面加以攻克。

（1）數字經濟企業應當在企業和用戶之間建立溝通平臺。在訂立隱私政策的過程中，數據主體可通過該溝通平臺就隱私政策中對其個人數據權利有實質性影響的內容提出協商請求，數字經濟企業無正當理由不得拒絕。在依法完成個人數據的收集后，數字經濟企業可通過該溝通平臺定期向數據主體發布關于其個人數據處理活動的聲明和通知，數據主體也可以通過簡易方式行使訪問權、限制處理權和撤回同意，從而解決以往數字經濟企業單方通知，而數據主體被迫同意且無法提出異議的問題。

（2）數字經濟企業應當為企業內部的數據查詢系統設置安全權限，保留查詢、復制等操作的痕跡。如果有人通過系統對用戶個人數據進行批量復制下載，系統自動發出安全警告并向管理人員及時發送報告，以防企業內部有權讀取用戶數據的人員竊取用戶個人數據。

（3）數字經濟企業可在隱私政策頁面和提示窗口添加自動截圖功能，記錄用戶授權企業收集和處理其個人數據的全過程，根據日期建立證據庫。因數據主體同意權產生糾紛時，數字經濟企業應就其已獲取數據主體的有效同意承擔舉證責任，此舉有利于降低數字經濟企業在訴訟中的法律風險。

（三）自主或者委托第三方開展數據治理與風險評估

為實現人工智能系統在整個生命周期內對用戶隱私和數據進行有效治理，包括保障用戶最初提供的數據以及用戶在與系統交互過程中生成的關于用戶的數據安全[16]，數字經濟企業須自主或者委托第三方開展數據治理與風險評估。

（1）預先數據評估。為獲取數據主體的有效同意，數據評估工作是在數字經濟企業收集個人數據前必不可少的步驟。首先，數字經濟企業應當結合其業務范圍和服務類型，明確其所需個人數據的范圍，避免超出必要目的收集個人數據。其次，由于GDPR針對不同類型的數據（一般個人數據和敏感個人數據）規定了差異化的授權同意方式，數字經濟企業應預先評估其需要收集的個人數據類型，以便合理設計其隱私政策。再次，GDPR確立了數據保護影響評估制度（10）。該制度要求數據控制者在可能發生高風險的數據處理前，科學、客觀地評估處理引起風險的來源、性質、嚴重性，避免個人信息安全事故的發生和保護風險的現實化[14]。

（2）提供新服務時的數據評估。為符合“特定同意”的要求，至遲在收集個人數據前，數字經濟企業應在隱私政策中明確特定目的作為其收集和處理個人數據的自我約束條件。當數字經濟企業推出新業務時，應當將擬收集的數據范圍與原范圍進行比較，并審查數據的收集和處理是否符合原有目的，便于其針對不同情況決定是否向用戶發送補充條款，避免因違反目的限定原則帶來的不利后果。

（3）定期數據風險評估。為了避免訴訟風險和高額處罰，數字經濟企業應當定期評估數據風險。首先，數字經濟企業應審查企業內部用戶數據庫，辨別其收集和處理的個人數據是否獲得了用戶的有效同意。其次，數字經濟企業還應當審查其與第三方共享的用戶數據，確保數據共享得到了用戶的有效授權。如若在上述過程中，數字經濟企業審查發現相關數據未得到數據主體授權，應當及時刪除并向數據主體作出賠償。

（4）探索建立良性互動機制。監管部門熟知GDPR相關規定，是企業合規性行為最佳的指導者和監督者。因此，在數據評估過程中，數字經濟企業應當加強與監管部門溝通交流，積極尋求監管部門的指導意見，及時改正不恰當的數據收集和處理行為，防患于未然。

（四）對標GDPR完善企業隱私政策

為了防控法律風險，中國數字經濟企業應當參照GDPR的規定，基于數據評估結果，進一步完善隱私政策，具體如下。

（1）明確數據收集和處理的目的。數字經濟企業應該事先具體明確地說明其收集和處理個人數據的目的，避免使用“出于正當商業目的”“根據法律要求”“為了提供更好的服務”等抽象性說明。個人數據的處理應當始終與原目的一致，數字經濟企業在目的范圍之外的領域不能對個人數據進行處理，除非法律另有規定或者再次獲取數據主體的有效同意。

（2）積極履行提示說明義務。數字經濟企業應當單獨制定隱私政策。數字經濟企業應在隱私政策中使用通俗易懂的語言為用戶說明該企業對用戶數據收集和處理的內容、方式、范圍等重要信息，且對出現的專業術語進行解釋說明，保證用戶在對隱私政策充分了解的前提下作出授權同意，防止因數據主體知情權受到妨害產生的法律糾紛。

（3）合規設置同意選項。首先，不得設置默認同意。數字經濟企業在隱私政策中預先勾選同意選項，不能充分表明數據主體與數字經濟企業簽訂合同的真實意思，使數字經濟企業收集和處理用戶個人數據喪失正當性基礎。同時，默認同意也不符合同意應當“自由”和“特定”的要求。其次，不得設置概括性同意?；跀底纸洕髽I對個人數據處理活動進行的清晰說明，數據主體有選擇部分同意、部分不同意的權利。數字經濟企業應按照不同的數據處理目的在隱私政策的概括同意選項下分出多個子項以供數據主體自由選擇。

五、結語

GDPR數據主體同意制度的設計充分體現了對數據主體人格利益的尊重和對數字經濟企業技術向善的引導，具有保護個人數據權利、強化企業社會責任的價值取向。在GDPR數據主體同意制度框架下，中國數字經濟企業應當積極承擔合規義務，設立數據保護專員，強化企業內部數據治理與監督機制，通過技術設計充分保障數據主體同意權，防控企業法律風險、自主或者委托第三方開展數據治理與風險評估并對標對表GDPR完善企業隱私政策，以形成長效競爭優勢。

注釋：

（1）本文對“個人信息”和“個人數據”之間的細微差別不作區分， 而是根據具體語境交替使用兩者。

（2）適用于向歐盟數據主體提供產品、服務或者監控相關行為，或處理和持有居住在歐盟境內的數據主體的個人數據的任何組織機構。

（3）對違法企業的罰金最高可達2000萬歐元（約合1.5億元人民幣）或者其全球營業額的4%，以高者為準。

（4）案例為BGHZ 13，334： Leserbrief-Urteil.

（5）案例為15BGH NJW 1954，1404，1404.

（6）因為ICO vs.Facebook Ireland案件中某些事件發生在GDPR生效前，英國信息專員辦公室（簡稱ICO）必須根據舊法“1998年數據保護法”作出處罰決定，因此本文僅就 CNIL vs. Google LLM.案展開分析。2013年，Facebook允許亞歷山大·科根（Alexander Kogan）在其平臺上發布一款性格測試應用“This is your digital life”，并通過隨機發放紅包的方式大力推廣，獲得了30萬用戶的個人數據。而且因當時Facebook允許用戶授權該應用獲取社交關系及其好友數據，導致亞歷山大·科根間接獲得額外近5000萬人的數據。此后，亞歷山大·科根將該數據的一部分與其他組織共享，其中包括劍橋分析公司的母公司SCL集團，后者利用該數據影響了美國的政治競選活動。ICO發現，至少有一百萬英國用戶的個人數據屬于被非法收集的數據。基于自2017年5月開展的調查結果，ICO對Facebook愛爾蘭公司作出50萬英鎊的罰款決定。

（7）GDPR第9條第（1）款規定，特殊種類的個人數據即敏感個人數據包括揭示種族或民族出身、政治觀點、宗教或哲學信仰、工會成員的個人數據、唯一識別自然人為目的的基因數據、生物特征數據、健康、自然人的性生活或性取向的數據。

（8）GDPR第4條第1款（11）項：數據主體的“同意”是指數據主體依照其意愿自愿作出的、特定的、知情的及明確的確認意思表示。其聲明或明確肯定的行為作出的這種意思表示，表明其同意對其相關的個人數據進行處理。

（9）包括個人數據類型、數據主體權利、控制者和處理者身份和聯系方式、控制者和處理者的義務及責任、數據保護影響評估結果、個人數據處理目的、向第三方傳輸數據情況、數據接收方、個人數據儲存期限等。

（10）GDPR第35條第（1）款：處理，尤其是運用新技術進行處理，考慮到處理的性質、范圍、背景和目的，可能對自然人的權利和自由產生較高風險，因此，在進行數據處理前，控制者應對擬進行的處理操作進行個人數據保護影響評估。存在類似較高風險的一系列類似處理操作可統一進行一次評估。

參考文獻：

[1]程嘯.論大數據時代的個人數據權利[J].中國社會科學，2018，（3）：107.

[2]高富平.個人信息使用的合法性基礎——數據上利益分析視角[J].比較法研究，2019，（2）：77.

[3]蔣舸.個人信息保護法立法模式的選擇——以德國經驗為視角[J].法律科學（西北政法大學學報），2011，29（2）：118.

[4]甘紹平.信息自決權的兩個維度[J].哲學研究，2019，（3）：117.

[5]王利明.論個人信息權在人格權法中的地位[J].蘇州大學學報（哲學社會科學版），2012，33（6）：71-71.

[6]康德.實踐理性批判[M].韓水法，譯.北京：商務印書館，2003：95.

[7]齊愛民.個人信息保護法研究[J].河北法學，2008，（4）：17.

[8]王利明.數據共享與個人信息保護[J].現代法學，2019，41（1）：49.

[9]王澤鑒.人格權保護的課題與展望——人格權的性質及構造：精神利益與財產利益的保護[J].人大法律評論，2009，（1）：51.

[10]史際春，肖竹，馮輝.論公司社會責任：法律義務、道德責任及其他[J].首都師范大學學報（社會科學版），2008，（2）：44.

[11]李炳毅，李東紅.企業社會責任論[J].經濟問題，1998，（8）：36.

[12]CNIL.Deliberation of the Restricted Committee SAN-2019-001 of 21 January 2019 pronouncing a financial sanction against GOOGLE LLC.[EB/OL].（2019-02-21）[2019-11-14].https：//www.cnil.fr/en/cnils-restricted-committee-imposes-financial-penalty-50-million-euros-against-google-llc.

[13]葉名怡.論個人信息權的基本范疇[J].清華法學，2018，（5）：144.

[14]京東法律研究社.歐盟數據憲章：《一般數據保護條例》（GDPR）評述及實務指引[M].北京：法律出版社，2018.

[15]Article 29 Working Party. Guidelines on consent under Regulation 2016/679[EB/OL].（2018-04-10）[2019-11-14].https：//ec.europa.eu/newsroom/article29/document.cfm？action=display&doc_id=51030.

[16]High-Level Expert Group on Artificial Intelligence.Ethics guidelines for trustworthy ai[EB/OL].（2019-04-08）[2019-11-14].https：//ec.europa.eu/futurium/en/ai-alliance-consultation.