《一般數據保護條例》反對權考察及對我國之啟示

刁勝先，徐云燕

（重慶郵電大學 網絡空間安全與信息法學院，重慶 400065）

大數據時代將個人數據的價值推到了一個新高點，同時也暴露出了諸多個人數據安全問題。如何在保護個人數據和促進經濟發展中尋求一個平衡點，成為一個難點。從總體上看，理論界對于個人信息的保護主要從三個方面研究。第一，從個人數據保護角度進行研究；第二，從歐盟《一般數據保護條例》（General Data Protection Regulation，以下簡稱GDPR或《條例》）整體進行宏觀研究；第三，從GDPR中各項權利進行研究。反對權并非是GDPR首創，而是沿用1995年《數據保護指令》（以下簡稱《95指令》）中第14條規定，并在此基礎上加以擴充。國外文獻大多研究自動化決策的相關問題，國內也鮮有單獨研究反對權的文獻，而多為研究反自動化決策權。對GDPR反對權的權利屬性、法律保護基礎、權利構造、實踐運行等進行分析考察，可為我國相關立法提供參考。

一、反對權內涵解析

（一）反對權概念

根據歐盟于2018年5月25日正式施行的GDPR，反對權是指數據控制者或處理者在對個人數據進行某些特定處理時，該個人數據主體基于對自己個人數據的保護，可以隨時提出反對的權利。

設立反對權的目的在于給予數據主體控制權，它肯定了數據主體對個人數據的支配權，是一項高度人身性權利。目前信息技術的進步，使個人數據被廣泛而輕易地收集、提供、利用、儲存和傳輸，進而催生出“信息繭房”、大數據殺熟等現象，信息主體對個人數據的失控有增無減。正確地實施反對權，有利于保障個人數據權益，落實個人數據自決的理念。

反自動化決策權是反對權的一種特殊情況和行使方式，二者共同構成GDPR第三章第四節。第一，從權利性質與設立目的看，兩者都屬于數據主體的控制權，是一種私權利，都為保障個人信息利益不受損害而設立。第二，反對的處理范圍上，反自動化決策權針對的數據處理范圍為完全依靠自動化處理（包括用戶畫像）作出的對數據主體產生重大影響的決策，而反對權反對的個人數據進行處理范圍包括非自動化與自動化處理，可見后者包含前者。第三，行使方式上，兩者都是通過反對他人處理自己數據的方式來行使自己的權利。

（二）GDPR中反對權的權利構造

1）反對權的權利主體是個人信息主體

GDPR序言第1條第（2）款和第14條規定GDPR保護主體是自然人，排除了企業和法人。其主要原因在于個人信息權主要保護個人人格利益，企業和法人并無私生活，也無精神痛苦，企業與法人還可通過商業秘密或財產權途徑來維權。同時，GDPR也對特殊群體有單獨規定，對特殊自然人適用特定程序，對死人不適用。

2）反對權的義務主體是不特定的多數人

根據GDPR第4條第（7）款與第（8）款規定，反對權的義務主體為數據的控制者與處理者，主要包括單獨或連同他人共同處理個人數據的主體。通常情況下有公共機構、法人、自然人、代理機構和其他組織，但具體的標準可由歐盟或其他成員國根據法律予以規定?！皵祿刂普摺钡母拍钇鹪从凇?5指令》，之后便被廣泛使用。但處于大數據時代，通過行為目的和手段來判斷何為“數據控制者”較為困難。我國《民法典》已拋棄“控制者”這一稱謂，將進行個人信息處理的主體統一稱為個人信息處理者，該處理者對信息主體行使查閱權、復制權、異議并更正等必要措施采取權和刪除權時的配合義務，對個人信息安全承擔“安全保障義務”。

GDPR第22條規定，反對權主要適用于個人數據，包括用戶畫像在內的自動化處理數據。單純的匿名化信息，或是已經變為數字化而不指向數據主體的信息，不屬于GDPR中個人數據范圍。但匿名化信息也存在漏洞，主要原因在于，匿名化并非完全不可能識別個人，收集匿名信息的平臺還存在識別的可能性。反對權是要求無論在任何時候，除了獲得數據主體的明確同意或者為了公共利益或官方履職前提下，其他主體不得私自對于數據主體的個人數據進行各種處理。網絡瀏覽痕跡是否屬于反對權客體，在學界爭議較多。有名的CooKie案中，一審二審對于瀏覽痕跡的認定區別較大，二審認定其未侵權的原因，主要在于瀏覽痕跡不具有識別性。

反對權是指個人數據主體基于對自己個人數據的保護，對特定處理行為可以隨時提出反對的權利。GDPR第4條第（2）款中規定了“處理”的方式，由此可見，反對權的保護范圍不是單純的保護數據，而是保護整個數據的處理過程。這個概念繼承了《95指令》中第2條第（b）項的“處理”概念，不僅包括自動化處理，也包括手動處理。此外，當數據被包含或意圖包含于文檔系統，且文檔依托于特定標準建構時，處理行為同樣受到GDPR的管轄。但是為了協調個人與公共利益之間的關系，GDPR同時也給予了數據控制者及處理者一定的緩沖余地，對個人數據反對權進行限制，這體現在反對權針對的三種處理情形中。

第一種，事先同意或反對。處理個人數據的目的是為了直接營銷，那么此時數據控制者或處理者在使用前，都需獲得個人數據主體的同意。若數據主體反對，那么數據控制者或處理者不得就同一個數據進行處理。不僅如此，即便數據主體在開始處理時沒有行使反對權，在此后的任何一個環節，數據主體都有權隨時反對這種處理，包括處理與之相關的用戶畫像。

第二種，事先不需同意、事中隨時反對。個人數據處理的目的是官方履行某項任務或者數據控制者或第三方追求正當利益，此類型數據控制者在使用該個人數據之前無須經過數據主體的同意，數據主體可隨時行使其反對權。不過當數據控制者有合理的證據證明其處理行為的正當性可以凌駕于數據主體的利益、權利和自由之上，或者該處理行為是為了提起、行使或辯護法律主張時，數據主體的反對請求可能被拒絕。但是GDPR同時對于追求正當利益的情形進行了額外的特別限制。

第三種，公共利益必要外的反對。個人數據處理的目的是因科學、歷史研究或者統計目的時，數據主體的反對權是有限制的，只有在該處理對執行公共利益的任務不是必要時才能行使反對權。

二、GDPR中反對權的實證考察

GDPR實施以來，截至2019年3月，來自27個歐洲經濟區的數據保護機構的統計數據顯示，共上報了281 088例案件；截至2021年7月28日，通過GDPR執法追蹤器（https：//www.enforcementtracker.com/）查詢2018年5月25日—2021年7月28日罰款案例的結果顯示，遭受罰款的案例共有753例，其中涉及GDPR第21條反對權的處罰為35例，涉及GDPR第22條反自動化處理權的處罰為3例。根據GDPR的相關規定，結合統計學原理及相關法學理論，設置了處罰國家、處罰時間、被罰單位類型、罰款金額、觸犯條款、被處罰原因等6個變量。以實踐中反對權的處罰情況為主要分析點，厘清現有的理論與處罰之間的差距，為我國反對權的設立提供一些數據支持。

（一）反對權罰款案例數量逐年上升

樣本總體來看，在753個案例中，有11個案例未列明時間，有列明時間的案例為742例，其中2018年10例、2019年160例、2020年341例、2021年1月1日至7月28日231例，雖然今年的數據還未完全統計，但才半年時間已超過了去年數量的一半，由此可見，案件的總體數量是在逐年增多的。GDPR的21條與22條亦是如此，2019年7例、2020年16例、2021年1月1日至7月28日15例，整體案例數量逐年上升。案例數量增多可以從側面看出各國對于個人數據保護的日益重視。

（二）反對權罰款案件數量較少，但罰款總金額較高且各國間差異較大

753例案例中有14例案例未列明是否有處罰，8例案例列明只開罰單未罰款，罰款金額共計746 935 227歐元、平均值為1 010 738歐元、標準差為18 516 194.6歐元、罰款最高為500 000 000歐元，最低為0元。總體來看，GDPR罰款的數量占總的上報案例的數量偏低，通過標準差以及最高、最低值可知，各國罰款金額差異較大。

以GDPR第21條進行懲處的案例有35例，以GDPR第22條進行懲處的案例有3例，兩者相加共計38例，僅占總數的5.0%，罰款金額中有3例金額未列明，其余35個案例金額共計64 818 428歐元，占總數的8.6%。平均值為1 851 955.08歐元、標準差為5 261 400.365歐元、最高為27 800 000歐元、最低為1 000歐元。通過以上數據可知，以GDPR21條、22條處罰的案例數量占總數的比例較少，但罰款金額偏高，平均值比總體罰款案例的平均值高841 217.08歐元。不過標準差較總體罰款案例的值較低，罰款金額比總體罰款金額更為集中。

GDPR第83條定義了兩種處罰標準。根據第5款規定可知，違反GDPR第21條和第22條，罰款金額可至2000萬歐元或是上一財務年度全球總營業額的4%，以金額較高者為準。可見GDPR第21條與第22條處罰的平均值1 851 955.08歐元接近最高罰款額，罰款金額偏高。

（三）反對權處罰的原因較為集中

GDPR第83條規定了行政罰款的一般條件，GDPR執法案例追蹤器中將處罰的原因歸為了九類。分別為：數據處理的法律依據不足（35.8%）、確保信息安全的技術和組織措施不足（21.2%）、不遵守一般數據處理原則（19.4%）、數據主體的權利履行不足（10.1%）、信息義務履行不足（6%）、與監管部門的合作不足（4.5%）、數據處理協議不足（0.5%）、缺乏數據保護官任命（0.5%）。可見，處罰的原因較為集中，以數據處理的法律依據不足、確保信息安全的技術和組織措施不足、不遵守一般數據處理原則三者為主，占據了76.4%。

GDPR第21條與第22條也是如此，數據處理的法律依據不足有14例、數據主體的權利履行不足有16例、不遵守一般數據處理原則有7例、確保信息安全的技術和組織措施不足有1例。在對這些案件進行細化分析后發現，受處罰的原因大部分為數據處理者在收到當事人反對通知后仍繼續使用數據主體的數據。

（四）適用反對權處罰的國家較少且罰款金額與罰款數量不一致

總體來看，罰款數量排名前十的國家為西班牙（32%）、意大利（11%）、羅馬尼亞（7.8%）、匈牙利（5%）、挪威（4%）、德國（4%）、波蘭（3.7%）、捷克共和國（3.3%）、比利時（3.2%）、瑞典（2.9%）?？梢?，罰款的國家是較為集中的，以西班牙和意大利、羅馬尼亞為主，但此三國的罰款金額并不高，平均值西班牙為121 609.17歐元，意大利為957 430.96歐元，羅馬尼亞為11 777.11歐元。罰款數額最高的為法國，平均值為31 681 956.25歐元，但其罰款數量僅16例，占所有案件數量的2.1%。

歐盟27個成員國中，僅12個國家對觸犯反對權的數據處理者進行了處罰，處罰國家較為比較集中。其中法國2例、德國2例、希臘2例、羅馬尼亞3例、意大利6例、西班牙12例、匈牙利1例、比利時3例、捷克共和國4例、挪威1例、芬蘭1例、荷蘭1例。與樣本總體情況類似，西班牙雖案例數最多，但罰款金額不高，平均值為687 464.16歐元，罰款金額較高的為意大利，為9 288 600.16歐元。

由此可見，罰款數量較多的國家其罰款的金額并不高，更多的是一種警告式的罰款，而一些國家罰款數量較少，但金額卻比較大，可以推斷，雖GDPR中規定了判罰金額，但各國之間懲治的方式不一致，某些國家以小懲量多為主，某些國家以大額罰款為主。

（五）同時依據其他條款一并處罰較多

從樣本總體來看，753個樣本中有251例是單獨依據1個條例處罰的，其中以第5條（85例）、第32條（68例）、第6條（64例）為主。

單獨依據21條進行處罰的案例共5例。其余都是同時觸犯了其他條款，其中第五條17次、第六條19次、第七條5次、第十二條7次、第十三條3次、第十四條2次、第十五條5次、第十六條4次、第十七條11次、第十八、十九、二十條各3次、第二十三條5次、第二十四條4次、第二十五條5次、第二十八條4次、第三十、三十一條各1次、第三十二條4次、第三十三條2次、第三十四條1次、第三十五條1次。

根據以上分析可知，觸犯21條與22條的同時，極易觸犯第五、六、十七條。分別對應了數據處理的原則、合法性與被遺忘權。

三、對GDPR反對權的反思與分析

從考察可知，GDPR在立法上明確確立了個人數據反對權，并對權利內容分出兩個層面，即一般反對權和反自動化決策權。圍繞權利的行使、限制和救濟，GDPR也做了較為立體和全面的設計。同時，GDPR反對權具有技術可行性而被實踐，但在實踐中存在罰款案件數量逐年上升，罰款總金額較高、處罰原因集中、罰款金額差別較大、同時依據其他條款一并處罰的多等。受處罰的原因大部分為數據處理者在收到當事人反對通知后仍繼續使用數據主體的數據等情形，這說明信息主體單獨依靠反對權、自行主張或行使反對權的效果較差，實踐運行中并非不可或缺或具有普遍性，而需要借“處罰”的公權力進行補救。對此，結合我國國情，該權利獨立存在的必要性、正當性及其性質等，尚有堪疑和探討空間。

（一）GDPR反對權的立法設計尚存不足

1）“僅采用自動化處理手段”與“人工干預”關系不清

GDPR第22條并未規定“采用自動化處理手段作出的決策”是指所有證據和判斷完全基于自動化手段進行的決策。歐盟第29條工作組的第4份指導意見——《關于自動化個人決策目的和識別分析目的準則》（以下簡稱《自動化準則》）中也認為“基于單獨地”自動化處理，意味著在決策制定過程中沒有人為干預；同時解釋表明實際標準為“是否產生了實質的影響”，而并不是完全排除所有的人為痕跡。

2）“法律影響或類似重大影響”外延不明

反對自動化決策權行使的前提是自動化處理的行為產生了法律效力或是類似重大影響，但是對“法律效力與類似重大影響的界限”并無明確說明。GDPR在《95指令》的基礎上將“重大影響的法律決策”變為“對數據主體產生了法律效力”?！蹲詣踊瘻蕜t》認為法律效力是一種對某個人的法律權利會產生影響的處理活動，或是一些影響某個自然人法律地位的情況；對“類似的重大影響”理解為在決策制定過程未對某個人在法律上的權利產生影響，仍然可以適用反自動化決策權。GDPR中引用“近似”來推敲“重大影響”，這說明“重大影響”參照了“法律效力”強度，其適用并非無邊無際。GDPR也并未明確界定“重大”的范圍。其原因在于，同一件事針對不同群體影響不同，且標準很難統一，即使是網上銷售或價格歧視，在某些情況下也可被視為與第22條有關的重大影響。

反自動化決策權中，當數據控制者處理的個人數據屬于特殊敏感數據時，無論該處理是基于上述何種情況，數據主體都有權反對自動化決策?？梢娞厥饷舾袛祿谋Ｗo較之一般數據更加嚴厲。GDPR第9條在《95指令》對敏感數據分類的基礎上，增加了唯一識別特定自然人的生物數據、基因數據和性取向數據。GDPR又將特殊類型的個人數據分為三類，并對敏感數據的保護是越來越嚴格。不僅如此，敏感數據不是單純地列舉信息，而是包括由一些數據推斷或轉化的特殊類型數據。GDPR中對于可被處理的敏感信息，僅限于兩種情況：一種是數據主體的明確同意；二是數據處理的必要性是建立在重大公共利益的原因基礎上，結合歐盟或成員國法律恰當追求的目標，尊重數據保護的權利的本質，提供合適的和具體的措施以保障數據主體的基本權利和問題。

隨著人工智能的不斷發展，算法自動化決策被各領域廣泛利用。從個人信息獲取的角度來講，算法自動化決策在提升工作效率與節約時間的同時，會出現“算法殺熟”現象與“信息繭房”效應，長此以往，還會進一步引發同質化效應與同聲室效應。隱私泄露會發生在算法預測階段，因為之前未向網絡平臺披露過的個人信息經過深度算法預測會被推測和披露出來。目前算法黑箱難以避免，其危害主要體現在兩個方面：一方面，算法存在來自機器偏差的“歧視”；另一方面，人工無法解釋算法決策。雖然GDPR在《95指令》基礎上，延展了數據主體對于控制者處理的個人數據的知情權及訪問權，在“免受自動化決策”基礎上提出“數據畫像”，增設數據遺忘權、訪問和攜帶數據權以及數據泄露的通知義務，但是基于算法模型的不透明性而沒有賦予數據主體解釋算法決策的個人權利。對于算法中存在的個人信息保護問題，反對權、反自動化決策是否能反對算法，是現階段理論界和實踐界需共同攻克的難題。

根據GDPR第22條第（2）款和第（4）款的規定，數據控制者可使用數據主體的個人數據，但需采取適當的措施保障數據主體的權利、自由、合法利益。但哪些為適當措施，GDPR在正文中并未明確規定。在序言第71條中規定了適當保障，包括向數據主體提供具體信息、獲得人為干預的權利、表達數據主體的觀點、在評估后獲得決定解釋權并質疑該決定等措施。《自動化準則》強調，有效地保障措施還應包括對其處理的數據進行頻繁的評估，以檢查任何的偏差，例如不正確的分類、不精確地預測、對個人的負面影響；在此基礎上開發解決任何有害因素的方法，包括對相關性的過度依賴，定期檢查評估結構的準確性和相關性等。

《自動化準則》在附件1中提到的一份具體建議清單，是對第22條第（3）款下的實際保障措施。研究歐盟各成員國立法可發現，雖說GDPR中規定了各國要設立適當的措施，但各國情況仍不相同。導致這些差異的因素各有不同，一般包括：各國在隱私保護、網絡風險感知和技術監管方面的文化史、法律史和經濟背景不同；不同國家愿意向公民提供更多個人權利或施加更多義務不同；不同成員國執行歐盟指令的一般標準不同?？梢姡蟛糠謬覜]有規定具體的保障措施，現有保障措施也沒有完全涵蓋所有行為，在此項保障上還需進一步完善。

（二）各國對GDPR反對權的監管與執法水平不統一

目前，GDPR的實施對于個人數據保護起到了良好的宣傳作用，使歐盟民眾比以前更關注他們的數據權利。調查顯示，2015年，大多數西班牙人（57%）、羅馬尼亞人（52%）和匈牙利人（52%）不知道數據保護機構的存在；大多數荷蘭人（57%）和瑞典人（54%）不知道該向誰投訴侵犯隱私；在法國、意大利和比利時，分別有55%、50%和47%的受訪者表示，從未聽說過GDPR。而現在有57%的人了解到國家專設了數據保護局，提供個人數據權的保障，有67%的人聽說過GDPR這部法律。

但是，GDPR的監管沒有完全落實。一方面，面對GDPR對個人數據近乎嚴苛的保護，很多企業負擔重，保護措施尚未完善；另一方面，基于各國執法路徑與社會文化差異，各個國家執法水平參差不齊的現狀短期內難以改善，也會導致GDPR“統一規則和執法統一”淪為一紙空文。

四、GDPR反對權啟示下的我國選擇

（一）我國反對權現狀

立法上，我國2013年《消費者權益保護法》規定“經營者未經消費者同意或者請求，或者消費者明確表示拒絕的，不得向其發送商業性信息”，這最多可算我國反對權的一種近似表現，因為“發送商業性信息”與GDPR中“法律影響或類似重大影響”相去較遠。2013年《電信和互聯網用戶個人信息保護規定》、2015年《刑法修正案（九）》、2020年《民法典》和2020年全國人大常委會審議的《中華人民共和國個人信息保護法（草案）》（以下簡稱《草案》），都未設立獨立的反對權。

2015年以來，我國相繼出臺多部法律法規，為人臉識別技術的應用奠定了重要基礎。自動識別技術在帶來便利的同時，也存在著多種風險。普通方式下，用戶可以通過設置密碼、密?；蚴謾C驗證等方式來加強其個人信息的安全性，被盜還可以通過掛失、修改等手段及時阻止信息外流。而自動識別技術不需要多種驗證就可使用，這對個人信息、個人財產、人身安全方面都有巨大的隱患。如媒體報道浙江小學生用照片便可打開快遞柜案、四川偵破破壞支付寶系統案。自動識別技術往往使用生物信息，而生物信息具有100%的可識別性，一旦被泄露或是被不當利用，后果無法估量，因此對其利用出現許多質疑聲音。被稱為“中國人臉識別第一案”的郭某訴某野生動物世界采集游客人臉信息案，“清華大學勞東燕教授拒絕小區人臉識別案”，可以認為是對人臉這一個人信息進行識別處理的一種反對，屬于GDPR中反對權范疇。

總體上，我國法律對反對權的立法還處于一個初級的摸索階段，目前對反對權的獨立權利地位及其概念與內涵沒有明確；立法或草案存在一些反對權的實質性內容，但適用范圍較窄，未規定法律責任與救濟途徑。如《消費者權益保護法》規定“經營者未經消費者同意或者請求，或者消費者明確表示拒絕的，不得向其發送商業性信息”，該條只適用在消費者與經銷商之間，并主要起提醒式作用，因為沒有規定懲罰方式與救濟途徑。

（二）GDPR反對權之于我國的反思與啟示

顯然，在歐盟立法體系里，GDPR反對權是個人信息自決權的一項獨立權利內容，性質屬于基本人權。但是，對于反對權的內容與法益，我國是否應該全盤移植，還是本土化改造后加以借鑒，再抑或是獲得啟示后全新設計，尚需要結合我國實際國情，深入全面地論證。首先，全盤移植絕不可取，因為前述表明，該權利立法上和實踐效果上都有不足，尚待進一步檢驗和完善。其次，個人信息保護的立法上，歐美一直在領跑世界，我國的一些研究和立法對此難免有借鑒和本土化思考。但“本土化”思維，是以歐美立法為本位，本土化的權利既來源于該法律權利譜系，去向上又力求能銜接于該權利譜系的坐標而與之接軌。這不符合我國法治的本土主義發展需求，即立足于本土，從自身的立法變遷和社會需求出發，哪怕是借鑒和吸收外在的經驗，最終也是服務于自己的發展，而不刻意去迎合外在的坐標體系。因此，GDPR反對權對于我國存在一定啟示，但是我國的制度設計應當采取全新設計的路徑。但毫無疑問，GDPR反對權的設立和實踐表明，在個人信息權益保護中，信息主體以反對的方式來維護權益、掌控個人信息等情況是不可或缺的手段，法條中也當有此內容。

（三）對我國反對權內容的立法選擇與建議

一項權利的獨立，需要具備較多條件，包括法益的獨立性、必要性，外延的明確性、可行性，理論、立法與司法的現實支撐等。我國《民法典》尚未確立個人信息權的獨立權利地位，正反映了上述問題在我國并未得到解決和統一，作為個人信息權內容的反對權自然不例外。同時，GDPR反對權本身存在不足，我國對此應加以避免和克服。因此，我國立法不宜將該權利定性為獨立權利；即便使用“反對權”表述，也屬于其他意義上使用，而非指權利類型。當然，這不影響、也不否認，我國立法、司法實踐中已經或應該存在相關內容。對此，我們可以選擇其他方式加以處理。

1）明確“反對”是所有個人信息權益的權能行使方式

我國《民法典》《網絡安全法》并未將反對權明確為獨立的個人信息權利種類；《個人信息法（草案）》雖然在權利條款第44條使用了“有權限制或拒絕他人對其個人信息進行處理”的表述，但結合整個條文和整個規范來看，將此解釋為“知情決定權”消極權能之描述、而不是反對權的賦權條款，則更合理。因此，“個人信息反對權”不應成為與訪問權、復制權、刪除權、更正權等并列的權利類型，而是作為抽象整體的個人信息自決權益具備的一項基本的消極權能，與訪問、修改、變更等正面自決的積極自決權能構成一枚硬幣的兩面，是自決權能的反向保障，并貫穿在訪問權等不同的具體權利種類中。

2）以權益救濟方式明確得以反對的處理情形與例外

當個人信息被他人處理，信息主體的權益就處于危險之中。為此，信息主體以事前反對收集、事中事后反對處理等方式救濟個人信息自決權利，實有必要。其救濟的具體情形，可借鑒GDPR設定，作出適合我國國情的規定。比如，對一般數據適用默示同意規則，在此基礎上可將反對行為分為三類：第一類，事先同意或反對，此項可針對敏感數據或直接用于營銷的數據，包括與直接營銷有關的數據畫像，數據主體可在數據被收集時直接予以同意或反對。第二類，無須收集時事先同意，但事中數據主體可以隨時反對。此類反對權主要適用于一般數據。收集時事先可以不征得數據主體的同意，但當數據主體行使反對權時，數據處理者應立即處理。第三類，公共利益必要外的反對。個人數據處理的目的是因科學、歷史研究或者統計目的時，數據主體的反對權是有限制的，只有在該處理對執行公共利益的任務不是必要時才能行使反對權。

3）合理設置“同意”標準并與反對內容銜接

反對發生的一大前提是數據主體未同意。因此，“同意”標準合理與否，直接影響反對的啟動和效果。如果標準過高，反對權啟動頻繁，會影響個人數據的處理利用；如果過低，反對權啟動較少，又不利于保護個人信息自決權。GDPR將“同意”規定為明示的同意，WP29條工作組對其進一步細化：如果數據處理存在多項目的，那么每一個收集行為均應單獨取得同意，反過來說，多項同意不得在接受服務之初捆綁在一起?？梢?，GDPR適用了較高的“同意”標準。同樣，我國于2019年初發布的《關于開展App違法違規收集使用個人信息專項治理的公告》規定了個人信息主體自主選擇同意，不以默認、捆綁、停止安裝使用等手段變相強迫用戶授權。顯然，“一攬子捆綁同意”仍然是我國個人信息保護規制的重點。但要完全分開同意，不僅會加大企業成本，還會使數據主體陷入一種“勾選疲勞”，降低使用舒適感。如何平衡好兩者的關系，在大數據時代極為重要。對于“同意”標準，進行分類和細化設計，并與反對權的行使相銜接，是一種可行的思路。

首先，“同意”與法律強行規定沖突時，何者優先？一般情況下，本著意思自治原則，信息主體的同意應得到尊重，未經同意的處理可被反對。但同時，個人信息具有公共資源屬性，因為國家安全利益、必要的公共利益等需要，特定情形下法律強制規定可以優先于信息主體的同意。其次，“同意”的內容意味著可以被處理，但當撤回同意后，則因為處理不再具有授權而可被反對。再次，未經同意的內容，是否一定可以反對呢？按照權利推定原則，未經明確同意、也未明確反對的數據處理內容，應當推定為不得進行處理，除非有法定的正當理由或依據。最后，完善“同意”的細化規則。現實中，同意機制一度失靈，因為信息主體與信息控制者的強弱不同，格式合同等剝奪了信息主體的真實意思。但是，隨著不同立法的重視和細化，對信息控制者作出相應義務規定，為信息主體有效表達“同意”作出了保障。但是，隨著技術的發展，表達“同意”的場景隨之變化，所以立法也應隨時跟進，對“同意”的規則不斷細化、修改和完善。只有明確了“同意”的真實性和有效性，后續對數據處理是否得以反對才能有效落實。

GDPR中的特殊主體僅限于兒童，這將不利于精神病人等限制民事行為能力人與無民事行為能力人的權利保護。我國可將特殊主體擴大為限制民事行為能力人與無民事行為能力人。無民事行為能力人與限制民事行為能力人的區分，可參考《民法典》規定，以8周歲和能否辯論自己行為為界。年滿16周歲不滿18周歲，以自己勞動收入為主要生活來源的，可視為完全民事行為能力人。

無民事行為能力人在行使反對權時，需要監護人進行參與和指導，參與和指導的范圍根據WP29條小組建議采用比例法，以符合GDPR中規定的數據最小化原則。例如：可以通過銀行交易的方式要求父母或監護人向控制者支付0.01歐元，在交易描述中做一個簡短確認，即該銀行賬戶持有者是對相關用戶負有監護責任者。在適當情況下，還應提供另一種核查方法，以防止對沒有銀行賬戶的人造成不適當的歧視。限制民事行為能力人在實施反對權時，針對符合自己年齡與智力水平的可享有完全的反對權，不能辨認的部分參考無民事行為能力人。

GDPR反對權針對的特殊數據主要為敏感數據，而未包括匿名化數據。我國可將不同的匿名化數據按類型區分處理，以是否最終完全避免識別到個人為標準分為三類。第一類，針對直接匿名收集的數據，雖然在收集個人數據時是匿名的，但也可通過上網的IP，數據流量產生的地址來查詢到個人，此類數據主體得以反對。第二類，帶有很強生物特征的匿名數據，如人臉識別技術收集的個人數據。雖在收集時只是將人臉的生物信息數字化進行存儲識別。但此類技術人身屬性很強，不存在真正的“匿名”，也屬于個人數據的一種，其處理可在反對范圍。第三類，針對單純由算法處理產生的匿名數據。此類數據由算法加工得到，已經失去其識別到個人的可能，數據主體不能據此行使反對。當然，由于特殊數據或特殊處理具有時代性和個別性等，需要特定時期的特別界定和規定，其分類也需要合理、科學和細化考量。本文僅限拋磚引玉，該問題尚需專門深入的研究。

在人工智能時代，為我們生活帶來極大便利的美團、餓了么、京東、淘寶、網易云音樂、抖音等，都在廣泛使用自動化決策。該技術在促進數據的高速流通、節約時間成本方面有極大的優勢。自動化處理已不單單是基于數據庫編碼的計算機自動化，而逐漸演變為基于神經網絡的超級自動化?，F在的自動化技術已可根據現有信息推斷出更為廣闊的信息領域，數據畫像便是其中一種，其便捷與風險并存，尤其是算法歧視很難通過人類來發現。我國《個人信息保護法（草案）》對自動化決策規定了事前風險評估制度，明確了公共事業領域自動化決策活動應當遵循的原則。但事先風險評估中未明確何為風險評估，風險評估的等級、適用范圍也較窄，不好適用。對于自動化決策，可參考GDPR中的反對權，分不同情況進行設置，同時注意明確權利主體的行使條件，確保數據主體對敏感數據反對權的有效行使，加強把控算法自動化決策風險。

①“個人數據”“個人信息”兩個名詞，當前在學界引起了很多爭議，有些學者專門針對這兩者提出區分，這也許存在理論上的價值，但就具體立法而言，只要符合語言習慣即可，不必深究。本文不對個人信息、個人數據做嚴格區分，將兩者等同使用。

②“信息繭房”最早由哈佛大學法學院桑斯坦教授提出，意指公眾在海量信息傳播中，因非對信息存有全方位需求，而只關注自己選擇的或能使自己愉悅的訊息，長此以往，將自己束縛在如蠶織就的信息“繭房”中的現象。

③GDPR第22條第1款規定：反自動化決策權是指數據主體有權反對完全依靠自動化處理（包括用戶畫像）作出的對數據主體產生嚴重影響的決策。

④江蘇省南京市中級人民法院（2014）寧民終字第5028號民事判決書。

⑤“處理”的方式是包括收集、記錄、組織、建構、存儲、修改、檢索、咨詢、使用、披露、傳播或其他方式利用、排列或組合、限制、刪除或銷毀等任何一項或一組操作所作的個人數據的集合。

⑥GDPR第6條第1款（f）中規定：該限制是指，若此時需要通過對于個人數據的保護來實現對于數據主體的優先性利益或者是基本權利與自由的保護，特別是對于兒童的優先性利益或者基本權利與自由的保護，則為了數據控制者或者第三方追求的正當利益而必不可少的數據處理行為則不被允許。

⑦本文數據是通過GDPR執法追蹤器上面的公示案例查出，由于該網站的數據每日都在更新，數據的時間范圍為2018年5月25日—2021年7月28日，共計753例，詳情參見：https：//www.enforcementtracker.com/訪問時間：2021年7月28日。

⑧第一，對于“政治、宗教信仰、哲學信仰、工會成員資格等個人信息”，原則上可以進行處理，與一般個人數據處理的前提條件一致，只是強調處理過程中不得以揭示該種類型的個人數據為目的；第二，對于“個人基因數據、生物特征數據”，原則上也可以處理，但對目的進行限定，即不得以識別自然人身份為目的；第三，對于“健康數據、性生活、性取向等相關數據”，原則上禁止處理。

⑨例如在新冠肺炎疫情防控期間，武漢市民及從武漢返鄉人員幾乎等同于新冠肺炎病毒高危人群，其家庭住址、身份證號碼等被各個方面用于隔離、勸勉等目的。此時，其家庭住址、身份證號碼等在GDPR中就會被當成與健康相關的信息，而“升格”為特殊類型數據。

⑩機器偏差又可以分為兩類：“認知偏差”和“統計偏差”。認知偏差源于算法設計人員的“偏差輸入”或對現實情況的理解偏差，是由于數據收集中的常規缺陷，導致數據收集錯誤并對現實的描述不準確時出現的偏差。統計偏差傾向于通過對大數據的統計分析來找到模式和模型，但是當在某個領域存在不平衡時，模式本身就會產生偏差。例如在統計時便對性別有歧視，那么統計出來的數據自然也存在歧視的情況。

?這份清單包括：針對歧視和不公平待遇的定期質量保證檢查、有獨立的第三方算法審計、第三方算法的合同保證、數據最小化措施、匿名化措施、容許資料當事人表達其意見及對決定提出異議的方法、在自動決策過程中人為干預的結構化機制。額外的保障措施可能是：認證機制、行為準則和道德審查委員會。

?具體有：《關于銀行業金融機構遠程開立人民幣賬戶的指導意見征求意見稿》、《安全防范視頻監控人臉識別系統技術要求》《信息安全技術網絡人臉識別認證系統安全技術要求》《促進新一代人工智能產業發展三年行動計劃（2018年－2020年）》。

?可參考案號：（2019）浙0111民初6971號。