個人推論數據是如何被藏匿的？

徐文

摘 要：作為“互聯網+算法”運行的產物，推論數據相較于原始數據，正處于被遺忘之地。通過分析經典判例YS·M系列案以及Nowak案可知，推論數據由提供數據與分析數據構成，不僅可通過主體性、獨特性、不變性的標準檢驗可識別性的存在，而且可通過馬賽克理論驗證數據主體對推論數據確應享有數據權利。但實證研究顯示，各數據收集者、數據控制者已將推論數據作為企業數據資產進行利用，不僅在數據收集環節存在提供數據被過度索取的現象，而且在數據處理環節存在分析數據上個人權利被忽視的現象。究其根源，在于立法導向的價值偏差以及既有路徑造成的錯覺效果。未來我國的個人信息保護立法應避免對歐盟立法的亦步亦趨，堅持“事前預防、多方合作”的數據治理文化，通過保障推論數據獲取權以搭建個人數據主體與數據控制者之間的溝通機制，以落實對個人數據權利的全過程動態保護，以真正達到對數據安全與數據流動的兼顧。

關鍵詞：推論數據;獲取權;數據治理文化;個人信息保護立法

中圖分類號：DF49 文獻標識碼：A 文章編號：0257-5833（2020）10-0107-12

作者簡介：徐 文，西南科技大學法學院副教授 （四川 綿陽 621010）

一、問題的提出：推論數據的被藏匿

推論數據是數據保護的盲區，也是數據處理的自留地。所謂推論數據，是指在“互聯網+算法”運行過程中的自然產物。數據收集者在獲得數據主體授權后，或直接獲得經由數據主體填寫的提供數據，或間接獲得經由傳感器上傳的分析數據，在通過算法將提供數據與分析數據進行分發、運算與整合后，數據處理者會獲得大量關于數據主體所處環境、工作表現、經濟狀況、健康程度、信用評級、興趣愛好、行為偏好的推論數據。例如，在我們日常使用計步軟件、睡眠監測軟件、智能家居、手提電腦、移動電話的過程中，基于每日步數、睡眠時長、家居設備、瀏覽記錄、社交頻率等原始數據會產生對每一個數據主體地理位置、健康狀況、家庭消費水平、消費偏好、社交傾向的推論數據。但問題在于，展示給數據主體的，只會是“每日步數第一名”、“睡眠質量欠佳”等直觀的數據處理結果，至于運算過程中的用戶畫像，諸如結合“日均步數高”、“睡眠質量差”、“幾乎無消費”得到“該數據主體職業類型為藍領，信用評級低”的推論數據，則只有數據控制者能夠獲得。

可見，數據保護原本旨在保障的數據主體對數據搜集、數據處理的各項權利內容在互聯網、算法、人工智能技術的緊密結合下幾乎形同虛設。其中，最為引人矚目的應屬個人對推論數據獲取權的被掩藏。若將個人數據知情權與個人數據獲取權相比較，可知：前者對應的數據類型是接收型數據，后者對應的數據類型是推論型數據;前者保障數據主體對數據處理開端與結果的了解，后者保障數據主體對數據處理過程與內容的查閱。但十分耐人尋味的是，既有研究成果幾乎都將重點放在了對接收型數據的保護上：或重點研究如何完善“知情—同意”機制;或重點設計App隱私保護政策中的“用戶同意”條款，對于數據主體推論數據獲取權的問題，似乎無意之間達成了噤聲的默契。但故作默契的視而不見無法消除問題本身：若放任數據控制者對推論數據的追求，不僅可能會產生數據收集最初用途的被虛置或被篡改，還可能會導致非敏感個人數據向敏感個人數據的轉化，更有甚者，可能會導致假名化處理的無效。

目前國內的法學領域關于推論數據的研究幾乎為空白，但圍繞推論數據的關聯概念倒是出現了不少有益成果，例如有學者從2017年便開始關注算法自動化決策可能產生的數據失控、結果歧視等算法妨害，并陸續對算法解釋權這一新興權利的內容及應用展開研究;其他學科領域則已出現直接相關的成果，例如新聞傳播領域對數據側寫和用戶畫像的關注、信息安全領域對數據側寫技術的關注、計算機科學領域對觀察數據因果關系的關注。就國外而言，既有研究已經敏銳的發現了數據側寫、用戶畫像過程中會大量產生數據企業為了回避風險、調整行為、控制成本、迷惑競爭對手的推論數據，但未從實證的視角，對推論數據的法律屬性及該類數據上的相關數據權利內容進行研究，本文的著力點正在于此，希望通過案例分析界定推論數據的內部構造、法律屬性，通過實證研究分析推論數據保護的困境，通過對規范文本的分析挖掘推論數據被忽視的根源，并通過對既有立法的評論提出對未來立法的期待。

二、問題的核心：推論數據屬于個人數據嗎？

若推論數據是個人數據，則數據主體應當對其享有各項數據權利，其中包括對推論數據的獲取權、更正權、刪除權等權利內容;若推論數據不是個人數據，則其應當落入數據控制者數據權利的范疇，數據主體無權涉足。因此，討論推論數據是否屬于個人數據，是論證數據主體對其是否應當享有權利的邏輯前提。以下將結合判決結果截然不同的兩個經典判例，論證推論數據的內部構造及其法律屬性。

（一）討論基礎：經典判例案情概覽

1. YS·M系列案

2009年1月13日，YS以外國人的身份依照荷蘭的庇護法提交了固定期限內在荷蘭居留的申請。申請提交后，荷蘭移民局于2009年6月9日作出了駁回申請的決定。2010年4月9日，該機構撤銷了該決定;但是2010年7月6日，該機構再次作出了駁回申請的決定。YS對移民局反復無常的決定感到困惑，于是在2010年9月10日向該機構提出了信息公開的申請，要求該機構向其披露在該決定作出過程中的全部推論數據，以證實該決定的公正性。同年9月24日，荷蘭移民局拒絕了YS關于信息披露的請求，僅向其發送了一份概要。概要中的信息包括個人數據來源、個人數據的披露對象，但對于YS想要獲取的推論數據，只字未提。收到概要后，YS再次向荷蘭移民局提出信息披露的申請，但該機構于2011年3月22日再次作出了拒絕披露的決定。無奈之下，YS將荷蘭移民局訴至米德爾堡地區法院，提出了披露推論數據的訴訟請求。無獨有偶，外國人M與S也經歷了與YS類似的遭遇。2009年10月28日，該二人向荷蘭移民局提出固定期限內居留的申請，亦遭到拒絕。在拒絕理由中，荷蘭移民局提到“對M與S所主張的推論數據的披露會涉及到對其他數據主體合法權利的侵害”。對于上述系列案件，法院持有如下觀點：涉案推論數據屬于分析過程產生的數據，是人類思維工作的結果，不屬于個人數據。

2. Nowak案

Nowak在參加會計師二級考試時，因為一門開卷考查的科目失利，未獲得會計師資格證。為調查該門科目失利的原因，Nowak于2009年9月向當地考試中心（CAI）提交了查閱答卷的申請;次年3月，考試中心駁回該申請。于是，2010年5月，Nowak根據《愛爾蘭數據保護法》相關規定，正式向考試中心提起申訴，要求考試中心對其披露所有與其相關的個人數據，包括答卷中考試官的批閱數據。同年6月，考試中心向Nowak發送了17份含有其個人數據的文件，但是仍拒絕披露考試答卷內容。在Nowak與考試中心數據保護官的多次溝通中，數據保護官多次強調其觀點：考試答卷不屬于考生個人數據;考生要求查閱答卷的權利不屬于數據保護法賦予給數據主體的合法權利。無奈之下，Nowak將該考試中心的數據保護官訴至法院，要求法院確認其答卷上的信息以及考試官對答卷做出的批閱數據均屬于個人數據。法院審理后認為：考卷上的考官批閱信息是與具體的自然人相聯系的、具有可識別性的推論數據，屬于個人數據。

（二）討論內容：推論數據內部構造

上述兩個判決結果截然不同的案例中，法官們的核心分歧點不在于具有明顯個人特征的直接的提供數據是否屬于個人數據，而在于通過機器或人類的計算或推理所得出的間接的分析數據是否屬于個人數據。

1. 提供數據

在YS案中，提供數據主要有體現申請人個人特征的客觀數據，例如姓名、生日、國籍、性別、民族、宗教、語言、地址、申請理由、個人簽名等數據。在Nowak案中，提供數據主要有考試單上的姓名、考號，以及答卷中的考生作答信息。要判斷上述提供型數據是否屬于個人數據，關鍵在于判斷該類數據是否具有可識別性。參考《歐盟數據保護一般規定》的第2條、第4條第1款、第5條，可知在對“可識別性”的解釋上應當做擴大解釋：明顯能夠將其與具體自然人相關聯的數據具有可識別性（例如ID信息、地理位置、手機識別碼、醫療信息）;對已經去標識化、已經做加密處理、已經做假名化處理的數據進行反向操作后仍能夠指向具體自然人的數據也具有可識別性，也應當屬于個人數據。分析上文中兩個案例中的提供數據，可知：其一，YS案中的提供數據具有直接的可識別性，無論是姓名、生日，還是居住地址、個人簽名，均能夠將其與具體的自然人直接關聯;其二，Nowak案中的提供數據具有間接的可識別性，因為考試單封面上會有考生的姓名與考號，即便考官在閱卷過程中無法看到考生信息，無法將答卷信息與具體的自然人相關聯，那也是為了保證考試公平而作的可逆的去標識化處理，在閱卷完畢之后，通過去標識化的反向處理，能夠將答卷信息、答卷成績與具體的自然人相關聯。

2. 分析數據

在YS案中，分析數據主要包括荷蘭移民局對移民申請人綜合情況的評估過程。法院認為數據主體要求披露分析數據的出發點，在于希望能夠核對分析數據是否準確，在于希望能夠通過核對分析數據的準確性判斷于己不利的推論結果做出的過程是否公平、公正。因此，分析數據是否應當向數據主體進行披露的問題可以簡化為數據主體是否有權核對分析數據準確性的問題，進而，該問題可以細化為數據主體是否有權要求核對分析過程準確性的問題。法院由此認為：推論的過程屬于思維方法的運用，是理性判斷的過程;其中所蘊含的可識別性的指向對象不是申請人，而是荷蘭移民當局。因此，法院最終認為，該案中的分析數據不屬于申請人的個人數據。

在Nowak案中，分析數據主要是指考官對于考生作答情況的批閱記錄。法院在論證考官的批閱記錄是否屬于個人數據時，緊扣“可識別性”展開邏輯推理。首先，法院認為根據《愛爾蘭數據保護法案》第四條第六款，如果任何類型的測試或考試是為了反映測試參與人的知識、智力、技能或能力，則數據主體享有要求披露考試結果的權利;其次，案涉考試答卷中的信息反映了考生對相關領域知識的掌握，是對其智力水平、判斷能力、文字表述水平的檢驗;再者，載有姓名與考號的答卷與無記名問卷調查中的答卷不同，因為考官對答卷信息的評估將直接決定該考生的成功或失敗，并將進一步對其未來的個人工作、個人生活產生影響。因此，法院認為，考官對考生答卷的評閱信息當然屬于具有可識別性的考生的個人數據，既是因為評閱數據的產生是基于該考生提供的原始數據，也是因為評閱的目的是為了對該考生的能力與知識進行評估。

（三）討論結果：推論數據屬于個人數據

1.推論數據具有可識別性

所謂可識別性，是指通過個人數據直接或間接辨識具體自然人的可能性。其中，后一類辨識方法較難建立統一的標準，因為不同的主體可能因生活閱歷、知識積累、能力素質、技術手段、處理措施的各異而擁有不同的辨識能力。因此，在對推論數據進行可識別性判斷時，不應當單純依數據形式或數據表面信息進行判斷，也不應單純以辨識方的主觀意識或主觀能力為據，而應當通過對該個人數據與數據主體之間相關性強弱來進行綜合性判斷。

以下的判斷標準，或可供參考：主體性、獨特性、不變性。其中：主體性是從個人數據與數據主體的直接聯系上進行判斷，滿足此特征的個人數據通常能夠直接揭示數據主體的人格特征，例如姓名、肖像、聲音等數據類型;獨特性是從個人數據與數據主體的匹配程度上進行判斷，滿足此特征的個人數據與數據主體是一對一匹配的，例如社保號、身份證件號、學號、考號等數據類型;不變性是從個人數據與數據主體的分離程度上進行判斷，滿足此特征的個人數據通常不以數據主體的意思變化發生變動，例如聲音、指紋、基因等數據類型。若推論數據同時滿足以上三個特征，則具有可識別性，屬于個人數據。

2.數據主體對推論數據享有合理期待

在確認推論數據具有可識別性之后，需要回答的問題是：數據主體對推論數據是否享有合理期待？所謂“合理期待”，是指數據主體對個人數據之上的權利享有期待法律保護的利益。在回答“數據主體是否對推論數據享有合理期待”的問題上，或可運用“馬賽克理論”來解答。根據馬賽克理論（Mosaic Theory），當某類個人數據被暴露于公開場合或被置于他人可獲取的場所時，該類數據背后的數據主體是“隱名”的，此時，數據主體對該類個人數據不應享有合理期待。但當他人以有計劃的方式針對某類個人數據進行處理（或通過技術手段直接處理的方式，或通過將該個人數據與其他屬于該數據主體的個人數據相整合的方式）時，該類數據背后的數據主體會因為馬賽克被祛除而逐漸“顯名”，數據主體也將由此對所涉數據享有合理期待。

因此，在判斷推論數據上是否存在應受法律保護的個人數據權利的問題上，可以分情況討論。情況一：當存在于他人控制之下的推論數據的獨立性隱而不顯時，即他人未針對該推論數據進行單獨處理的情況下，數據主體處于“隱名”狀態，對該推論數據上的權利不享有合理期待，無權以保護數據權利為由限制他人對推論數據的處分。情況二：當存在于他人控制之下的推論數據的獨立性因他人的處分行為而彰顯時，數據主體處于“顯名”狀態，對該推論數據上的權利享有合理期待，有權以權利人的身份要求他人披露詳細信息。

三、問題的現狀：推論數據的無處容身

前文已證，理論層面上，推論數據屬于個人數據，并且數據主體基于合理期待享有推論數據上的各項權利。但在現實層面中，數據控制者卻將推論數據置于企業數據資產的范圍中，在數據權利救濟途徑上未留足空間。為了充分調研目前推論數據的受重視程度與受保護力度，課題組將健康型推論數據作為觀測點（不僅因為健康原始數據在獲取方式上包含提供數據與分析數據，而且因為對健康原始數據的推論會產生非敏感數據向敏感數據的轉化），選取了時下受眾范圍較廣的29個健康管理類App（參見表1），針對數據處理政策進行重點分析。

（一）提供型數據被過度索取

在對提供數據的收集上，筆者發現樣本幾乎都存在過度索取的現象，在29個樣本中僅有23個App（占比79.31%）對個人數據的收集目的和收集范圍做出了說明，余下樣本中：1個App未說明數據收集范圍，1個App未說明收集目的，4個App則對兩項內容均未說明。對數據收集目的與范圍的閃爍其詞或模糊不詳不僅會導致個人數據的過度收集，更會導致數據主體在不知情的前提下主動配合數據收集者提供與該App功能不相匹配的個人數據（其中，地理位置數據、手機通訊數據、個人交易數據、網絡瀏覽數據等已成為數據收集者覬覦的“重災區”）。在調研樣本中，僅有部分App（如“丁香醫生”）能明確將其收集的個人數據與其實現的產品功能相掛鉤，其他樣本App中，個人數據的收集范圍已經明顯超出了合理范圍，無形中增加了個人數據被侵害的風險。

（二）分析型數據上個人權利被忽視

一方面，部分數據控制者直接將分析數據視為無形資產，或將其用于商用，或將其用于交換。筆者發現：僅有34.5%的樣本App承諾其對收集的個人數據不用于商業用途，而高達65.5%的樣本App未進行承諾。在未作出“不用于商業用途承諾”的65.5%的樣本中：“趣走運動”、“丁香醫生”在數據處理政策中十分明確的表示其未來會將數據主體的個人數據用于商業用途，但十分模糊的回避了對具體商業用途、數據共享方身份、相應補償責任的表述;其他App則在數據處理政策中明確向數據主體表示，一旦數據收集方發生收購、兼并、重組等企業狀態變更的時候，會將置于其控制之下的個人數據一并轉讓。令人欣慰的是，在樣本App中尚有一例App體現了對原始數據與分析數據上數據主體權利的尊重，“小米運動”在其數據處理政策中表示，如果因為企業形態變更涉及對用戶個人數據的轉讓，將會以通知的方式告知數據主體，并為數據主體實現相關數據權利提供便利途徑。

另一方面，分析數據在裝置與裝置的數據交互中、在應用程序與應用程序的數據流動中極易被數據交互方獲取;對于數據主體而言，因為不存在信息的交互與數據的交流渠道，反而成為最不可能獲取分析數據的一方。顯見，數據主體在數據處理階段的控制失能以及分析數據的過度曝光已經使數據主體對個人數據的控制權“名存實亡”，被迫精簡到只能在數據收集環節進行控制的干癟權利了，遑論在分析數據受到侵害時的救濟。筆者在調研中發現，65.5%的樣本App沒有設計任何關于分析數據被泄露或被侵害后的救濟方案。更令人瞠目的是，其中大部分App不僅沒有規定救濟方面的條款，反而花大量筆墨以列舉的方式細數數據處理方的免責事由，完全未體現出對數據處理過程中所產生的分析數據的保護，典型者如“咕咚”。

四、問題的背后：推論數據緣何被掩藏？

前文已證，推論數據屬于個人數據，不屬于數據處理者的數據資產。為何推論數據的保護如此困難？下文以《歐盟數據保護一般規定》（以下簡稱GDPR）為樣本進行分析。

（一）立法導向的價值偏差

首先，GDPR的立法目的可被歸納為：數據流動、措施透明。其中，“數據流動”意在促進正當數據分享，“措施透明”意在明確侵權責任分配。可見，在該立法目的中，個人數據保護不是一級目的，而是服務于經濟發展與社會穩定的措施。若關注其基本原則體系，可知GDPR的基本原則在內容上為數據主體所感知的程度較低，普遍需要通過保障數據主體對推論數據的獲取權或賦予數據主體手動抹去個人數據權來進行補足（詳見表2）。

第一，合法公平透明原則。該原則意在避免的是因為數據處理者“因人設策”而導致不同的數據主體受到區別對待。就該原則的實施效果而言，可以通過評估數據收集者、數據處理者有無數據保護政策，以及評估數據保護政策的內容進行考量。在該原則下，雙方之間無溝通可能，是單向聯系，系數據收集方向個人數據主體的信息輸出。

第二，目的限制與目的窮盡原則。該原則意在避免的是數據主體因為數據收集者與數據處理者的惡意串通而遭受侵害。就該原則的實施效果而言，除非賦予數據主體對推論數據的獲取權，否則無法考量收集目的與處理目的是否保持一致。在該原則下，雙方之間無溝通可能，是單向聯系，系數據收集方向個人數據主體的信息輸出。

第三，數據最小化原則。該原則意在避免的是數據收集者以某一個理由為切口獲取具體自然人的多種個人數據類型。就該原則的實施效果而言，除非賦予數據主體對推論數據的獲取權，否則無法考量數據收集的實際范圍是否超過承諾范圍。在該原則下，雙方之間無溝通可能，是單向聯系，系數據收集方向個人數據主體的信息輸出。

第四，準確性原則。該原則意在避免的是控制者在對數據主體進行推論時采用不合理的、不平等的、不公正的算法或技術，從而產生推論數據不準確的風險。就該原則的實施效果而言，除非為數據主體提供從開始到結束的數據處理全過程的數據獲取權，否則無法考量個人數據的內容是否存在謬誤。在該原則下，雙方之間存在溝通的可能，可以成為雙向聯系。

第五，存儲限制原則。該原則意在避免的是數據控制者在告知義務的履行上“一勞永逸”或“偷工減料”。就該原則的實施效果而言，除非賦予數據主體在約定期限屆滿之后手動抹去個人數據的途徑（而非請求抹去的權利），否則無法考量數據控制者是否存在超期保留個人數據的情況。在該原則下，雙方之間存在溝通的可能，可以成為雙向聯系。

第六，完整與保密原則。該原則意在避免的是個人數據因未被假名化、匿名化處理，或在被處理的過程中因技術缺陷而受侵害。就該原則的實施效果而言，只有當同類型個人數據發生大面積泄露時才能歸責于具體的數據處理者。在該原則下，雙方之間無溝通的可能，是單向聯系，系數據處理者向數據主體的單方承諾。

（二）既有路徑的錯覺效果

在GDPR的既有框架中，雖權利多樣，但適用范圍具有局限性。例如，雖然數據主體享有拒絕權，但該權利在追蹤數據推論過程中利益相關者的主觀過錯、處理過程與處理結果的因果關系等要素上，有心無力。又如，雖然數據主體享有脫離自動化決策權，但該權利在半自動化決策或存在雙方合意的情況下，鮮有空間，以下詳細分析。

1.脫離自動化決策權的適用受限

第一，條件之“無人為干預的自動化決策”限制脫離自動化決策權的適用范圍。一方面，在摻雜人為因素的數據處理中，該權利毫無用武之地。因為根據GDPR備忘錄第71條，自動化決策是指沒有人為因素干預的情況下，完全通過機器學習或算法運行得出的數據結果。另一方面，即便絲毫沒有人為干預，完全自動化數據處理的結果是否構成“決策”也耐人尋味，畢竟在多數情況下，數據處理的結果本身不是決策，而是供決策者或決策機制使用的參數。

第二，條件之“產生法律影響或重大影響”同樣限制了脫離自動化決策權的適用范圍，尤其是在數據主體是以群體成員的身份獲得數據處理結果的情形。所謂“法律影響”，通常從公法與私法兩個層面上進行考察：就前者而言，通常表現為對當事人的公民身份、基本權利、基本義務等方面的影響;就后者而言，通常表現為對當事人的人格尊嚴、人格獨立、人身自由、財產保有、財產處分等方面產生影響。而“重大影響”則通常結合情節、范圍、后果等要素進行綜合考量。以下通過兩個案例簡單分析“法律影響或重大影響”的難以界定。

在案例A中，Sweeney難以證明自己遭受了法律影響或重大影響：其一，她在公法上的法律身份或基本權利沒有受到侵害，與此同時，她在私法上的人身權與財產權也未受到損害;其二，雖然谷歌的確將某一種族群體作為有犯罪傾向的受眾進行廣告自動投放、構成不良影響，但鑒于用戶既可以選擇不點擊廣告進行閱讀，也可以選擇使用谷歌自帶的小工具進行廣告屏蔽，因此用戶很難證明該影響達到了“重大”的程度。在案例B中，猶太籍用戶同樣難以證明自己因谷歌的搜索算法遭遇法律影響或重大影響：其一，谷歌搜索引擎未故意針對搜索者的身份定向改變搜索排行結果的順序;其二，谷歌搜索引擎未必能夠識別進行搜索的用戶的身份，當搜索用戶不是猶太人時，未必會認為自己受到歧視。

2. 算法解釋請求權的難以實現

第一，權利語義上的詞不達意。權利與義務最大的不同在于：前者具有利己性，后者具有利他性。若據此類推，“算法解釋權”的權利主體應是擁有算法的主體，應是該主體對其所享有的算法進行解釋的權利。但部分學者提出“算法解釋權”的權利主體是個人數據主體，是指數據主體所享有的要求數據控制者進行解釋并更新、更改錯誤數據的權利。若依照該權利內容，或許將“算法解釋權”譯為“算法解釋請求權”會更貼切，不僅可將其順利歸入請求權體系，而且能使其與傳統權利緊密相連。

第二，實現路徑上的模糊不清。算法解釋請求權的目標在于減少或避免算法歧視，在于使數據控制者應數據主體的請求而對算法邏輯、算法價值、算法內容進行釋明。但仔細分析，可知該權利存在目標明確、路徑缺失的困境。首先，“歧視與否”并非絕對，幾乎不可能存在價值完全中立的算法，只有當算法與具體數據主體的數據變量相結合的時候，才能夠判斷是否構成算法歧視。然而，數據變量是無法通過釋明算法邏輯、算法價值等要素而得到的，只有通過行使推論數據獲取權請求數據控制者披露算法運行過程中所產生的數據方能獲取，進而才能對“該算法是否存在歧視”的問題做出回答。

第三，行使效果上的事倍功半。算法解釋請求權實難兼顧程式解釋與內容解釋，并且還會涉及權利沖突：一方面，算法解釋請求權雖能保障數據主體對算法運行規則的知情，但無法制衡數據控制者利用算法推論數據所作出的于己不利的決策;另一方面，解釋算法的前提是披露算法內容或算法規則，因而數據主體所享有的算法解釋請求權與數據控制者所享有的算法財產權勢必存在權利沖突，需要在實際案例中通過價值位階的排序來解決。

因此，推論數據獲取權或是算法解釋請求權之外更實際的路徑選擇：不僅可通過獲取全自動化數據處理過程、半自動化數據處理過程、非自動化數據處理過程中的個人數據以全面落實“有意義的信息（meaningful information）”的豐富意蘊;而且不會與數據控制者所享有的商業秘密、知識產權等權利相沖突。

五、我國未來個人信息立法的應為之道

目前在我國相關立法文件中，雖然都強調要保護公民的合法權益，但囿于立法目的側重不一，在如何保護公民的合法權益方面，存在著重目標、輕路徑、重事后救濟、輕事前預防的共性，以下詳細評論。

（一）既有立法評論

1. 權利路徑的模糊

就2017年6月施行的《中華人民共和國網絡安全法》而言，該法對于數據收集環節、數據存儲環節、數據使用環節中個人信息的保護頗為重視，不僅專門通過第40條至第42條明確了數據收集者、數據控制者的嚴格保密義務、收集告知義務、妥善保管義務，而且還通過第43條明確規定數據主體享有要求刪除個人信息、要求更正錯誤個人信息的權利。但仔細分析這四個條文所搭建的權利譜系，可以得出如下結論：數據收集者、數據使用者、數據控制者的義務雖多，但在是否履行義務、是否完全履行義務的層面上只能依靠自我約束;數據主體雖享有刪除權與更正權，但在如何發現需要更正的個人信息上，存在路徑脫鉤的狀態。換言之，該法中缺乏能夠使數據主體有效制衡數據控制者的具體路徑，若能以個人推論數據獲取權進行銜接，使數據主體通過獲取權的行使驗證個人信息的準確性與真實性，或可達到立法者的預期效果。

就2017年公布的《中華人民共和國個人信息保護法（草案）》而言，不僅在基本原則上體現出了對歐盟立法的亦步亦趨，而且在價值取向上亦與GDPR的設定如出一轍，均將個人數據的保護視為促進經濟社會發展、促進數據有序利用與流動的必要途徑。正是基于該立法價值取向，該草案十分簡略的僅用了八個條文來搭建個人信息權的權利內容，并將基礎權利設定為信息決定權。此舉意在強調個人數據主體在是否授權上的權重，意在凸顯個人數據主體在程序上的控制權。但問題在于，在八項權利中，沒有任何一項權利有“獲取”的權能。唯一與之相近的是第14條規定的信息訪問權，但“訪問”與“獲取”不可簡單相等同，后者的外延大于前者：前者是指數據控制者應當提供數據主體可以訪問個人數據的途徑，例如用戶可以在網站上隨時自查個人信息;后者是指數據主體享有要求數據控制者披露、解釋相關數據的權利，例如用戶可以要求數據控制者發送與自己相關的全部數據。可見，目前該草案提供的權利途徑僅能保障數據主體在“開端”和“結束”時間點上的控制權，無法使數據主體對個人數據的控制權覆蓋數據收集、處理、使用的全過程。若能在該草案中明確規定獲取權，或可更有利于實現數據主體對個人權利被侵害的主動探查、事前預防。

2. 數據主體的被動

就2019年1月施行的《中華人民共和國電子商務法》而言，首先，該法通過第23條明確排除了對電子商務活動數據處理環節中個人信息的保護，將該法中消費者的個人信息相關權利限定為收集、使用環節。其次，在該法既有的權利譜系中，對數據主體主動性的保障略顯單薄。雖然明確了消費者享有對商品或服務的知情權（第17條）、對用戶信息的獲取權（第24條），但此處的知情權與獲取權均服務于電子商務活動的合法透明。再者，該法將如何對消費者的個人數據進行保護的決策權一體交由電子商務平臺通過擬定平臺協議自主決定（第32條），忽略了數據主體的主動性與參與性。

就2020年7月公布的《中華人民共和國數據安全法（草案）》而言，值得關注的是該草案第四章“數據安全保護義務”。該章作為數據安全的風險評估、風險監測、事前預警、事后補救的專章，未從數據主體與數據控制者相互牽制的視角進行條文擬定，而是通章從政府監管的視角進行謀篇布局。既未充分調動數據主體敦促數據控制者全面履行妥善保管、保密、告知等義務的主動性與積極性，也給監管機構造成較大的行政負擔（第25條、第27條、第28條）。與該《草案》類似的是《個人信息保護法（草案）》第28條第1款，該款僅將個人數據的來源、個人數據的接受者、個人數據記錄作為數據主體訪問權的行使內容，未將數據處理內容、數據處理結果列入其中，若繼續堅持該規定，恐將使數據主體對個人數據的控制權縮水為對數據處理流程的知情權，使控制權流于形式。

（二）未來立法方向

1.利用推論數據獲取權形成內部牽制力

以規制主體與規制措施為標準，治理模式可被分為兩類：由外至內的外力威懾與由內至外的內力牽制。觀察既有立法文件，在對數據收集者、數據控制者侵害個人權益、公眾利益行為的規制上，存在倚重外力威懾、輕視內力牽制的傾向。例如，《數據安全法（草案）》第六章“法律責任”一共有八個條文，幾乎每一條都建立在外部監管（第41條、第45條、第46條、第47條）與行政制裁的基礎之上（第42條、第43條、第44條）。又如，《個人信息保護法（草案）》第四章“非國家機關信息處理主體對個人信息的收集、利用、處理”中，幾乎都是對數據收集者、數據使用者、數據處理者信息主動披露義務的強調（第36條），鮮見從權利實現途徑的視角對數據主體相關數據權利的描述。以上兩例，不過冰山一角。立法者希望通過樹立規則、建立服從，更加希望能夠通過外部監管與義務細化來形成對不當數據處理行為的威懾。但問題在于：當本應作為規制效果的“服從”變成了規制目標的時候，可能會難以避免出現數據控制者為了表征“服從”而進行數據造假的現象。因此，與其期待用外部監管形成的“威懾力”來達到規制目的，不如期待用內部調整形成的“牽制力”來實現，既使權利途徑直通權利目的，又充分調動數據主體的主動性。

具體而微：在既有立法賦予給個人數據主體的各項權利中，獲取權與知情權應當并列成為基礎權利;在其之上，將更正權、抹去權、限制處理權作為核心權利，將便攜權與反對權作為延伸權利。只有在確保數據獲取權能夠行使的基礎之上，數據主體才能避免信息劣勢，才能在發現數據失真、數據存偽、數據濫用的情況下提出更正、抹去等權利主張，也才能夠通過主動行使權利對數據控制者在數據收集、數據使用、數據處理各環節的行為形成有效牽制。若硬生生的將數據獲取權（the right of access）直接等同于知情權（the right to notice），那將會使核心權利與延伸權利幻化為水中花、鏡中月。不僅使數據主體喪失主動權、成為被告知相關信息的對象，使知曉權能被局限在對“是否被收集、是否被處理、哪些被收集、哪些被處理”等程式性、靜態型信息的了解上;而且使數據主體所享有的對推論數據的“接觸、查閱、使用”權能被掩藏，對“如何被處理、處理得怎樣”等實質性、動態型信息不僅無從了解，而且無從索取。

2.利用推論數據獲取權促成合作為主的治理文化

當思考數據治理的目的時，我們應當自問如下兩個問題：是想對已經發生的行為進行評判和懲罰，還是希望對未來的行為模式進行引導和調整？是想將所有參與者變成治理的對立方，還是使所有參與者變成治理的合作方？對于第一個問題，可能的答案是：法律的目的在于調整社會關系，有效的治理應當重在引導與調整;事后救濟難以對行為模式產生影響，事前預防更有利于改變行為走向。對于第二個問題，可能的答案是：治理參與者之間的對立關系會妨礙治理機制的運行、減損治理模式的效果;治理參與者之間的合作關系不僅有利于培育信任感，更有利于在彼此理解的基礎之上達成對公平理念感知、公平規則制定、公平規則運用的共識。對個人推論數據獲取權的保障正是對前述兩個回答的落實：該權利可在數據控制者與數據主體之間建立溝通交流機制，不僅有利于及時發現問題、排查漏洞、防范風險、調整行為，使事前預防與事后救濟并重;而且有利于使數據主體主動參與到數據治理過程中，通過權利的行使對數據控制者形成內部牽制，適當減輕數據監管機構處理投訴的負擔，形成有效的共建共治。

綜上所述，推論數據屬于個人數據，不應成為數據處理的自留地，更不應成為數據保護的盲區。對推論數據的保護不僅關涉自動化決策過程中的數據權利，更加關涉到半自動化決策，以及純人工決策過程中的數據權利。在拒絕權、脫離自動化決策權、算法解釋請求權鞭長莫及的空間，應有推論數據獲取權的一席之地。該權利的運用能夠鞏固算法解釋請求權，能夠治愈數據權利與實現途徑“脫鉤”的困境，更加能夠有助于避免對歐盟立法的亦步亦趨，打通數據保護與數據治理的“任督二脈”，形成具有特色的“事前預防、多方參與”的數據治理文化。而關于推論數據獲取權的權利譜系、保障機制，囿于篇幅限制，留待另文探討。

（責任編輯：李林華）