數據上個人信息權益：從保護到治理的范式轉變

□ 高富平 尹臘梅

內容提要 大數據時代，個人數據作為社會資源，承載著多重利益，不僅關系數據主體的個人利益和個人相關者利益，也關系不特定社會主體的社會利益和國家利益。要協調個人數據資源上個人保護和社會利用之間的矛盾，實現個人數據上的利益協同，應構建新的個人數據社會利用中的個人利益保護理論，并在調整范式上，從權利保護模式轉變為以規范個人信息處理行為為中心的行為規范模式，即數據治理范式。

“治理”（Governance）一詞的使用越來越泛化，可以適用于任何協調不同主體利益，有效配置資源（或調動積極性）共同實現某種目的行為。①以企業治理替代企業管理成為本世紀企業管理理論和制度最大的變革。之后，治理也應用于社會或國家，社會治理、國家治理成為統治性術語。同樣地，數據治理（Data Governance）也廣泛應用于涉及數據應用各個領域和層面，甚至成為數據保護的代名詞。歐盟委員會認為，數據治理是指一套使用數據的規則和方式，例如通過共享機制、協議和技術標準。②也正是基于這樣的認識，歐盟委員會于2020年11月25日通過的《數據治理條例（建議案）》（Data Governance Act）③，作為支撐歐盟新數據戰略的重要制度。該建議案旨在促進各部門和成員國之間的數據分享。而所謂的數據治理僅在于增加對數據分享（Data Sharing，即數據流通）的信任，加強提高數據可用性的機制，并克服數據重用（Data Re-use）方面的技術障礙。在這個意義上，數據治理也成為一個國家規范數據社會化利用，構建數據資源利用秩序的概念。甚至愛爾蘭于2019年制定了《數據分享和治理法》（Data Sharingand Governance Act） 允許公共機構之間共享個人數據，為公共機構更高效、低成本履行公共職責，提供公共服務提供法律基礎。④數據治理正逐漸替代數據保護成為數據利用秩序實現的主要機制。

數據治理應用于數據利用的社會秩序建構是非常契合的。因為數據上存在多重利益相關者，而所謂的數據保護問題，本質上是協同保護數據上各方主體利益的問題，而不是確認數據歸屬某個主體并通過賦權維護其數據利益這么簡單。傳統的“賦權+限權”保護模式或者“數據主體權利+數據控制者義務”規范模式在數據保護上失靈，數據保護的本質在協同沖突權益，因而治理理念和機制可以作為數據保護的新范式。

數據是現實社會的映射或描述，我們可以用數據認知社會主體或客體，數據成為人類認知客觀世界的工具。在機器學習等智能工具普遍應用情形下，通過數據挖掘分析發現新知，預測未來，尋找規律已經成為當今現實。由此，人類進入以數據為社會資源的數據驅動時代或數據經濟時代。在這樣的時代，每一個國家均面臨如何配置數據權利構建數據利用秩序的任務。關于個人的數據，其也不單純承載個人利益，而是同時承載著使用者、社會、組織、國家等多方主體的利益。關于機器的數據亦可能涉及設計者、制造者、應用者的財產利益，甚至還涉及應用者或設備主人的人格（隱私）利益。我們只有確認各類數據上的多重利益，并協同保護各方利益，才能構建數據社會化利用的秩序。

個人數據在整個數據體系中占有非常重要地位，而人的主體地位決定了人們對個人數據濫用對個人權益侵害的擔憂，于是在上個世紀誕生了個人數據保護法（個保法），來保護個人數據處理中的個人權利。但是，發端于歐美的個人數據保護制度似乎過度強調個人權利，尤其是在各國移植過程中普遍存在著“簡單粗暴” 甚至私法化的趨勢，這可能非常不利于大數據時代個人數據的社會化利用。在數據驅動或數據作為生產要素的背景下，數據已經成為可為社會利用的資源。⑤但是，過度重視主體權利或者個人控制，會嚴重影響個人數據的社會化利用。本文試圖揭示個人數據上多重利益，試圖通過利用利益相關者理論（Stakeholder Theory）來探討個人數據上權利配置，協調個人數據資源上個人保護和社會利用之間的矛盾，構建新的個人數據社會利用中的個人利益保護理論。

一、作為社會資源的個人數據

個人數據是指可識別具體個人（僅指自然人）的信息。凡是能夠識別特定個人的信息，無論是直接識別到還是間接識別到特定個人的信息，均為個人數據。⑥社會中存在兩類識別行為，一是識別主體的身份，二是識別主體的特征。這兩類識別均是社會運行不可或缺的因素。

首先，身份識別關系社會交往安全。在正常的社會交往中，一般不需要識別人的身份。因為在社會交往、 商業交易等過程均要告訴對方你是誰或先要弄清對方是誰，因而正常的社會交往一般是依賴“自報家門”解決身份識別問題。真正的依賴與個人關聯信息來識別身份的需求發生在匿名行為或者行為人未暴露身份的情形下，典型的如匿名言論或違法犯罪行為等，這時就需要通過行為人留下的蛛絲馬跡來分析判斷行為人的身份，以達到追究其法律責任的目的。因此，一個社會需要建立個人身份識別體系，同時在匿名或不具名情形下，允許人們依法來搜集行為信息判斷行為身份，以確保每個人對自己的行為負責，確保社會交往安全。

其次，識別個體的特征是開展各項社會活動，建立各種社會關系的必要條件。在社會交往中除了需要知道是“誰”外，還需要知道是“什么樣的人”，而且后者往往決定人們是否要與你交往（或交易）或者開展怎樣的交往（交易）。這些個性特征識別需要借助某個人的行為記錄、 過往經歷等信息進行分析。過去，我們依賴道聽途說、訪問調查等方式搜集信息來了解潛在交往對象，而如今在萬物互聯的泛網絡時代，我們可以基于網絡用戶的行為記錄形成的用戶畫像（Profiling）來對個體特征進行分析。⑦只是在網絡環境下，各種數字ID（用戶名、設備ID 等）使我們可以在不知個體身份的情形下，圍繞各種ID 對個體進行識別分析（畫像）甚至通信（如信息推送），而在必要時（如交易或需要承擔責任）才進一步識別身份。因此在網絡環境下，識別個性特征既可以在知道身份前提下進行（如實名注冊情形），也可以不知道身份的情形下進行（如利用Cookies 識別）。但是，網絡或數字ID 均屬于可識別個人標識符（personal identifiable Identifier），大量識別分析是針對可識別個人標識符進行的。⑧基于網絡或數字ID 可以開展個體識別分析和基于識別分析通信給了商家分析了解和觸達潛在客戶的便捷工具，這便是數字化給社會的紅利⑨。

隨著物聯網的出現，可關聯分析個人的數據急劇增加，出現所謂的大數據（Big Data）。因數據具有識別分析個人特性進而觸達并影響個體意志或行為的功能，而且可以基于此作出快速精準的決策，大大提升社會的各種決策質量和效率。大數據給人們提供的巨大便利就是識別個體的便利性、精準性、全面性和及時性。現在所謂的個性化服務、私人定制、智能制造、機器學習等，都建立在個人數據的應用基礎上。這使人們將數據視為有價值的資源（比喻為石油等）或一種新的資產。⑩我國則是將數據視為區別于土地、勞動力、資本和技術之外的第五大生產要素。?這實際上導致人們將個人數據視為具有經濟價值的資源，但是傳統“個保法”的觀察視角并不是從資源的角度，而是從關系個人尊嚴、 自治或平等權益的角度設計數據主體權利的，并沒有從資源角度尤其是如何轉化為資源角度考慮數據控制者（使用者）的利益。綜上，本文認為，在大數據時代，我們應當從資源的角度，重新思考個人數據上的權利配置。

二、個人數據上多重利益主體

一切能夠關聯到某個體或分析某個體個性特征的數據都可以歸入個人數據范疇，個人數據的價值也在于對個體的識別分析，而這種識別分析會對個體產生影響。因而個人（數據主體）被認為是個人數據處理（應用）的首要利益相關者，但是個人數據不僅關系數據主體利益，也關系群體、社會和國家利益。

（一）個人數據上本人利益

從源頭上，“個保法” 也正是起源于對個人權利的關注。通過對個人數據處理行為規范來保護個人利益背后的邏輯是，個人是主體，對個人數據的處理不能像對待客體那樣隨意處理，而應尊重個人意愿或不侵害其尊嚴或隱私。個人因參與社會活動而產生了社會身份，因而個人有利益驅動保護其社會身份和自主性，不被隨意識別或處理。這些受保護的個人利益一般被解釋為尊嚴、自由/自治和平等（不歧視）利益，屬于人權意義上利益（也可被概括為數據主體權利）。?

問題的關鍵在于個人數據并不完全涉及主體權利，還涉及安全、隱私等各種利益。個人身份信息冒用可以給個人帶來人身或財產損害； 個人信息還可以用于各種違法犯罪行為，危害個人人身和財產安全； 有些個人信息具有私密性其本身存在隱私利益，而許多個人信息本身并不私密或敏感，但是匯聚大量信息可以揭示個人隱私。因此，個人數據上存在著復雜的個人利益群，這些利益的保護均通過其他專門的法律加以保護和調整。“個保法”僅僅從尊嚴、自治、平等的角度建立保護個人權利的規則。

（二）個人數據上個人相關者利益

人是一個社會存在，每個人都是特定社會群體的一員，是社會整體的組成部分。人的群體性、社會性決定了人與人之間存在相互影響、 相互作用的關系，一個人的生存發展脫離不開社會整體。不僅我們每個人有家庭和親屬，有工作還有各種社交，我們每天都在利用各種通信手段及線下的會談、會議、聚餐、文體等活動開展社會交往。而各種在線社交網絡、即時通信媒體、社群網絡等更是增加了人們之間的連接機會和密切程度。因而每個人的行為記錄都可能與其他人相關聯。于是，與個人關聯的信息當然與其相關聯的其他個體相關聯。?個人數據上的個人利益不僅在性質上相互依存，而且在存在上是相互關聯的。因此，我們必須承認個人數據并非完全關系某個體個人利益，而且也關系與其有關的其他個體的利益。對于個人數據處理中的個人保護，并不能僅僅關注直接關聯者（即數據主體），而且還要關注間接關聯者的利益。

（三）個人數據上的社會利益

個人數據上不僅關系與個人相關者利益，還涉及不特定社會主體的利益。這種不特定主體的利益，我們稱為社會利益。?

個人數據的應用關系著社會整體利益，這種關系在于個人數據應用是社會交往和活動開展必不可少的手段。通過對在網絡上大量產生的數據進行識別分析，并在分析基礎上進行科學、精準和快速的決策，提升社會治理、經濟效率和科技創新能力。而所有這些效率提升和創新最終會促進社會進步和福祉改善。以健康數據為例，每個人的健康可以說是社會公共健康的組成部分，每個個體的醫療數據都可以成為公共健康數據的元素。每個個體的醫療數據除了蘊含著直接關涉自身的健康醫療信息內容之外，也直接影響到了整個公共健康信息的完整性與科學性。因而匯聚個人醫療數據和健康數據形成可供各種醫學、 醫藥研究的醫療數據集/湖”，對于查詢各種疾病的成因，提前預防，實施精準診治均具有重要的價值。而醫療診斷、藥物的改進最終福蔭社會大眾。現在越來越多的學者認可集體隱私的存在，而不僅僅是個體存在隱私。美國的里根（Priscilla M.Regan）還指隱私不僅對個人有價值，而且在三個方面對社會整體也具有價值。?

為了實現個人數據上的社會利益，我們需要識別和確認社會利益的“代表人”——利益相關者（Stakeholder），通過保護這些利益相關者來實現社會利益。?在筆者看來，至少需要確立兩類主體來實現社會利益，一是個人數據使用者，二是公共利益的代表者。

（1）個人數據使用者。任何社會主體都應當擁有使用個人數據的權利，即個人數據使用者權。識別潛在社交或交易或行動（以下統稱為交往）對象是開展社會交往和活動的必要手段，因而各社會主體（包括自然人）均有識別交往對象的權利。一旦人們參加各種社會活動進入到具體社會關系，法律就應當保護公眾的“識別權”，而不是拒絕識別或拒絕“曝光”。放任或鼓勵人們隱藏身份或個人信息，會妨礙合作甚至鼓勵人們從事不負責任的社會行為。個人的確希望更多的“隱私”，有時甚至會刻意隱藏、掩飾或美化自己，但從社會公眾的角度，也應當保護社會公眾（尤其是與之打交道的人）的“識別權”。?這種識別權的承認就意味著，所有的社會主體對個人數據均具有使用權。也正是在這個意義上，個人數據是可以為社會主體使用的資源，而不是個人控制的資源。《通用數據保護條例》（以下簡稱GDPR）對第6 條第1 款（f）項的數據控制者的合法利益實際上就是承認每個社會主體具有合法正當地使用個人數據的權利。?正是通過這種正當使用個人數據的權利，我們的社會才能夠正常運行并不斷改進運營效率，提升社會發展水平。

（2）公共利益代表者。除了社會主體數據使用權外，個人數據具有達成各種公共利益目的，如科學文化、歷史研究、公共安全等公共利益。這種公共利益也需要通過具體主體來體現，通常政府機構以及非政府機構（NGO）可以視為公共利益“代言人”。我們需要給予政府在維護公共秩序、公共安全等方面使用個人數據的權利，也需要給各種非盈利性組織開展各項公益活動開辟綠色通道。例如在此次新冠疫情防控中，人們甚至認識到不僅需要疾病、 醫療信息共享以幫助當地政府做出明智的決策，甚至也需要全球醫療數據共享。?

（四）國家安全利益

國家安全利益是一種特殊的公共利益。隨著網絡空間被視為國家主權新領域，數據主權（Data Sovereignty）概念逐漸確認并進入國家法律。?數據主權是國家基于國家主權對其領土范圍上產生的數據的獨立控制權，目的在于保障本國數據不受他國侵害的安全性和穩定性。這既是數據上升為一種經濟資源或基礎戰略性資源的表現，同時也是數據關系政治安全的反映。數據主權實際上成為賦予國家對進出境數據進行管制的權利。各個主權國家對個人數據進出境的限制就突出體現了個人數據上的國家安全利益。此外，大數據已經成為國家的基礎戰略性資源，全面實施大數據應用，實施全面數字化轉型成為國家戰略，數據資源的爭奪成為國際政治內容，圍繞數據進出境的流動控制也迅速升級為國家之間的投資和貿易對話內容。由此，數據與國家利益直接掛鉤，國家安全成為國家之間較量的“正當”理由。

三、個人數據上多重利益協同：從個人保護到數據治理

個人數據上存在多重利益相關者，這些利益相關者的利益性質不盡相同，這使得個人數據的利益協同變得異常復雜。在法律上，在利益發生沖突時，只有利益性質相同時，我們才可以根據價值對利益優先性進行排序。而當利益屬于不同性質時，則很難根據價值判斷作出優先排序。而在個人數據上利益主體的性質恰恰是不同的，我們很難對不同性質的利益進行單向的排序，這決定了個人數據不能依賴傳統的“賦權+限權”模式來解決個人數據上利益協調問題，得用處理多重利益的治理體系。于是，數據治理被認是構建數據利用秩序的最佳工具。

（一）從數據保護到數據治理

雖然數據治理被廣泛采用，但是對什么是數據治理可能不同人有不同的理解，有些觀點強調數據質量，有些觀點強調數據安全，而有些觀點強調數據資產應用或價值實現； 有些觀點在組織層面用數據治理，而有些則在社會或國家層面討論數據治理。在現階段，也許我們無法統一數據治理的內涵或者限制其在各領域的應用，但是我們需要遵循治理的根本目的或本質，否則就喪失了對話基礎。

數據治理一般適用于特定組織，是現代企業治理（公司治理）在企業應用數據資源的延伸。其核心是圍繞企業目標形成可用數據資源（資產），賦能業務，提升企業競爭力或盈利能力。治理一般理解為“眾多參與者導致集體約束性決定的程序”，本質是一種協同處理不同甚至沖突利益的策略、原則或方法。適用到數據經濟領域的治理概念是，“決定兩方或多方主體管理數據、工具、方法和知識的取得（Ingress）、存儲、分析和提供（Egress）的自由（權利）、約束和激勵措施”。為此將企業治理定位于區別管理：治理是決定使命/目標、制定戰略、配置資源和機制，而管理則是制定詳細制度規則、運營管理和監督，實現既定目標。數據具有資源價值，人們也試圖對數據治理與管理加以區分，認為數據治理是確保數據在整個生命周期內的質量的數據管理，而數據管理是將數據作為有價值資源進行處理的過程。DAMA 數據治理位于車輪圖的正中央，是數據架構、建模和設計、存儲和操作、安全、數據集成和互操作、元數據管理、質量、數據倉庫和商務智能、參考數據和主數據、文件和內容管理管理10 大數據管理領域的總綱，為各項數據管理活動提供總體指導策略。因此，企業數據治理是集企業戰略、組織架構、數據標準、管理規范和技術工具為一體的復雜體系，是企業數字化轉型或數據驅動發展的管理戰略。

如果我們將不同利益的協調視為數據治理的根本，那么企業數據治理的關鍵是確認和保護數據上各種利益主體權益，在協同各方利益前提下，合法正當地利用數據，服務于企業營業目的。如前所述，我們發現數據上存在著各種利益，而數據應用也可能牽涉各種利益，這就是數據治理的核心難題所在。而改變當今企業管理的利益相關者理論可以很好地應用于企業數據治理。這樣，數據治理的一個重要內容便是協同數據上利益相關者，使數據合法正當地服務企業經營目的。雖然這時常被稱為合規，但是利益相關者理論的價值在于擴大解釋了“利益”的意涵，因而利益相關者呈不斷擴大趨勢，一個企業只有很好地“擺平”各方利益，才能行穩走遠，最大化企業利益。由于數據上利益存在多樣性、多元性，數據的正當利用需要處理和協同各方利益，在維護各利益主體利益前提下，才能使數據為企業所用，轉化為服務企業的目的。因此，利益相關者理論應當成為企業數據治理基礎理論，或者成為整個社會數據治理的“指導策略”。

如果我們將數據治理從組織移至社會，將之看作是“使用數據的規則和方式”，那么數據治理便等同于數據保護，或者“個人數據處理中個人保護規則”。現有論述數據治理的文獻基本上關注企業或組織層面，而對于如何在社會/國家層運用或實施數據治理，并沒有什么論述。在國家層面，主宰世界各國的是 “個保法”，而不是 “數據治理（法）”。因此，我們首先需要弄清在國家層面的數據治理與既有的“個保法”制度是什么關系。

就個人數據處理中個人保護制度起源而言，個人權利保護是出發點。在上世紀七十年代，個保法制度創始者們關注到計算機的應用個人數據使得關于個人數據（信息）可以被大量收集、留存并分析使用，這給個人自由和隱私帶來前所未有的危害，它會影響個人對個人事務自主決定，最終影響到尊嚴、自由或平等利益。因此，他們提出要建立透明原則，讓個人進行必要的參與，明確個人信息處理者的責任以確保個人信息處理不會侵犯個人基本權利（被稱為隱私權或者個人數據保護權）。為此，國際社會尋求形成關于個人信息處理（使用）應當遵循的基本原則，以使各國對個人權利保護趨向一致或統一。統一個人信息處理原則的前提是，個人信息是社會可自由使用的，但是個人信息使用必須遵循社會共同認可的正當規則，以防范個人信息不當處理或濫用。盡管泛歐洲地區在歐州委員會（COE）的引領下將個人數據處理中的個人保護抽象為獨立的個人數據保護權 （即Data Subject Right）并選擇了專門制定法來保護主體權利，但其無論COE 制定的108 公約，還是歐盟的個人數據保護指令（及之后GDPR），仍然堅持基于原則規范模式，且選擇的行為規范，而不是權利規范模式。以GDPR 為例，個人數據處理并非采取“個人決定+法定例外”賦權規范模式，而是采取非常復雜的“合法性基礎+處理行為合法”規范模式。也就是說，判斷個人數據處理是否合法并不是簡單地依據非經同意即違法（或侵權）的賦權模式，而是采取多元的合法性基礎加上個人信息處理行為要符合法律規范（履行法律規定的保護數據主體權利和公共利益的義務），而在個人數據處理的合法性基礎方面，立法者至少考慮到了數據主體、數據控制者（及第三人）和社會整體利益或公共利益三類利益相關者利益。在這個意義上，GDPR 并不是賦權保護模式，而是行為規范模式，并在行為規范中保持基于原則的規范。

從實施來看，GDPR 面臨的最大問題有兩個：其一，GDPR 出發點僅僅從保護公民基本權利出發構建個人數據保護規則，雖然它不認為數據主體權利不是絕對受保護的，需要與信息自由、社會福祉改進等其他人權平衡考慮，但是卻不承認數據控制者對數據的使用權，并置數據主體權利于優越地位，使得數據主體保護具有了絕對性；其二，GDPR 一直將個人數據功能定位識別個人，而個人的社會身份或形象塑造應當自主，因而從個人數據關系人之主體地位和人格自主價值，并沒有考慮到數據識別分析的經濟功能或價值（雖然承認個人數據自由使用有助于改進社會福利），從有效實現個人數據社會價值（社會化配置和利用的價值）角度，保護數據控制者（使用者）的權利。這最終導致GDPR 在總體框架是單向的“數據主體權與數據控制者義務”結構，以行為規范模式實現“賦權+限權”模式效果。這也導致歐盟委員會在2020年建議制定《數據治理條例（建議案）》（Data Governance Act），以彌補GDPR 的制度設計重大缺陷。《數據治理條例（建議案）》本質上是將個人數據置于社會資源的地位，從如何有利于社會價值的角度構建新的數據保護體制。這也就是說，個人數據保護的本質不是單向地保護數據主體的權利，而應當遵循“數據利他主義”，協同數據使用過程中各利益相關者，形成個人數據利用（處理）權責利的制度安排，實現個人數據的社會價值（利益）。

（二）資源意義上個人數據治理理論：利益相關者理論的應用

在資源視野下，個人數據具有經濟價值，匯集、匹配、聚合一定規模的數據可以全面和精準分析個體的個性特征，預測行為規律或傾向等，用于商業、社會治理等領域決定；對于機器操作習慣的研究可以改進機器的性能或降低能耗； 對一定量病理樣本進行挖掘分析可以找出病因，提早防治，如此等等，與個人關聯的各種數據正被收集、處理、分析和應用于決策，不僅促進技術創新，提升單個組織的經濟效率，而且不斷改進社會資源的配置和社會分工體系，促進整個社會經濟運行效率。在這樣背景下，個人數據社會價值的實現應當成為數據治理需要考量的首要因素，成為數據治理的基本目標。

關注個人數據的社會價值，而不是個人價值，以社會價值實現作為出發點來設計數據的權利（力）結構，構建數據利用秩序是個人數據保護（數據治理）的重大變革。這意味著要個人數據治理從個人本位轉向社會本位，個人數據處理（使用）的權利（力）配置要轉向多元主體、協同各方權益，最優實現個人數據的社會價值（利益）。這樣的數據治理是“影響或受數據訪問、控制、分享和使用方式影響的所有參與者之間的權力關系以及各種社會-技術安排以從數據中產生價值和分配這些價值”。數據治理的核心是對數據的決策權，而在新的治理理念下，所有受到數據治理方式和由此產生的價值的影響或能夠影響的個人、組織和團體，都是數據利益相關者，都應當參與到數據治理決策中，分享其價值或者使自己的利益得到保護。這樣的治理一定是在一定場景，通過不同數據利用模式來實現的，而在抽象法律規范上不可能實現。研究者已經從現行個人數據實踐區別出四種數據治理模式：數據分享池（Data Sharing Pools ）、數據合作社（Data Cooperatives）、 公共數據信托 （Public Data Trusts）和個人數據主權（Personal Data Sovereignty）。但是，要支撐多樣化的數據治理制度安排，就需要在社會上對個人數據各利益相關者的價值或利益形成共識，而這樣的共識需要突破現行“個保法”的框架和理念。

如上所述，發端于上世紀70年代的“個保法”基本出發點是個人權利保護，而以歐洲為代表的制定法模式，又開啟了“數據主體權利+數據控制者義務”法律規制范式，逐漸為世界絕大多數國家所接受。在所有接受的過程中，并沒有深度思考個人數據保護社會文化基礎（甚至二戰背景），也沒有太多地考慮上世紀70年代（計算機剛剛應用）形成的所謂保護個人利益規則在大數據時代的適應性。反而存在簡單粗暴移植國際規則，強化數據主體（個人權利）保護的現象。比如，將歐洲的“個人數據處理中的個人保護” 簡單地等同于個人數據保護，似乎是保護個人數據本身，而不是保護個人數據上個人權利。形成了個人數據歸屬于個人，個人享有決定權“賦權”模式。在世界各國正在尋求個人數據治理（保護）重大變化時代，對于像中國這樣正制定個人信息保護法的國家，如何避免重蹈歐洲國家的覆轍，一開始就能夠站在時代的潮頭，從個人數據的社會價值出發，構建個人數據治理的制度規則，是十分必要的。

在這方面，筆者認為，支撐企業管理轉向企業治理的利益相關者理論仍然應當成為個人數據治理的基本理論。自1984年弗里德曼（Ed Freeman）提出利益相關者理論之后，企業組織的利益相關者一直在擴大，甚至政府因稅收與企業相關亦成為利益相關者。利益相關者理論指導下的“企業管理”演變為協同相互競爭的價值/利益/目標，均衡實現所有利益相關者的利益的藝術。因為利益相關者理論需要在特定的場景或組織中識別特定主體的特定利益，明確該利益相關者權利（參與決策權）或者地位，以便于按照特定的程序參與組織的決策或影響組織的決策。而這在國家規則制定、執行的過程，除了民主參與規則制定外，似乎很難讓利益相關者參與到執法決定（無論是行政決策，還是司法裁判）上來。這決定了利益相關者理論在國家層面并不能直接適用。但是，廣義地界定數據上價值、利益，明確利益相關者，在法律制度和規則的設計過程中，充分考慮這些利益相關者的利益，并以這些利益相關者的共同利益——社會利益——作為協調處理利益沖突的“準繩”則具有較大借鑒意義。因為利益相關者理論要求得各利益相關者損害最小、共同利益最大化的制度或結果。如果其偏向某一方利益或者不能促進共同利益的實現，那么是一種失衡的治理。

為了在新數據治理理念下實現治理目標，筆者提出以下原則：

首先，應當以社會價值或社會利益作為個人數據治理的基本目標，在個人價值（利益）與社會價值（利益）相沖突的情形下，個人應當讓位于社會。

其次，區分個人數據上的人格利益（包括人格尊嚴、自治等主體權利）與個人數據上的財產利益（或經濟利益），個人數據上的財產利益（經濟利益） 按照經濟價值創造與成本及風險責任的分擔的原理配置權利與義務、利益與責任。個人數據的使用以不侵害個人人格權益（主體權利）為前提，但是要區分數據上人格利益和數據處理中的人格利益，除非數據本身上人格利益需要給予個人以決定權外（防御性權利），而對于其他個人數據則僅有處理或使用之后損害其人格利益的，才給予停止侵害和損害賠償的救濟權。

最后，只有相同性質的利益才能進行效力排序或確定優先順位，而當個人數據上涉不同性質利益時，并不能當然地得出數據主體權利優先于其他利益相關者的利益。在GDPR 中，將數據主體權利置于優越于數據控制者或第三人合法利益本身是一種錯位利益排序。在人格利益情形下，只存在個人隱私與集體隱私熟先熟后的問題。當然，在對抗公權利濫用方面，我們可以置個人基本權利（人權）的保護于優先地位。因此，在“個保法”領域，我們并不能得出數據主體權利優先保護結果。

一旦我們在法律上能夠平等地對待個人數據上各利益相關人的權益，并在相同性質利益下，遵循個人利益讓位于集體或社會整體利益或公共利益，那么我們就能夠建立以社會價值（利益）為目標數據治理規則和機制； 同時我們要區分人格利益和經濟利益，而不籠統地賦予數據主體權利以優先地位，更不隨意將基于主體權利的決定權當然地解決的經濟資源的決定權，那么我們在具體數據應用場景或模式中就可以構建協同各方利益的治理結構。對此，本文不再做深入的闡述。

四、中國個人數據保護法：范式突破

個人信息是個人進入社會標識自己和塑造個人人格的素材，也是社會了解個人的必要手段，個人信息的工具性決定了它應當處于可以為人使用的公共領域，而不是私人控制的客體。因此，個人數據具有較強的社會性、 公共性，是社會可用的“資源”。大多數“個保法”（包括GDPR）并沒有將“同意”上升為私法上個人數據使用決定權，更沒有將“同意”視為單一合法性基礎。但是，基本權利意義上“控制”極易被私法化為一種私人權利，演繹成個人信息支配權。這不僅表現在這一時期的研究個人信息學者幾乎簡單地將域外立法文件中對個人信息保護基本原則規定簡單地抽象為個人信息權且作為一種私權（具體人格權）來對待，而且也導致現行立法過度依賴個人同意來保護個人信息處理中的個人權益。

自2012年全國人大常委會頒布《關于加強網絡信息保護的決定》，中國開始引入域外的個人數據（信息）保護制度，之后個人信息保護規則進入《消費者權益保護法》《網絡安全法》《民法總則》《電子商務法》等法律。所有這些法律對于個人信息使用的基本規則為，收集和使用個人信息應遵循合法、正當、必要原則，須經被收集者同意并依法律或合同約定使用，未經被收集者同意，不得向他人提供個人信息。因此，這些法律的基本核心是知情同意規則，使個人信息的使用限定于信息主體知悉和同意目的范圍之內。雖然同意在實踐中被泛化，并作為個人信息收集和使用是否違法的主要依據，但是在民事上不能因此推出非經同意使用個人信息即構成侵權。

《民法典》以個人信息“處理”替代“收集和使用”，仍然堅持同意為前提條件，只是明確存在法定例外（第1035 條第1 款第1 項），并規定了免責的情形（第1036 條）。這樣的規定宜得出沒有法律的規定例外時，未經同意的個人信息處理就是侵權結論，至少人們會有不同的理解。這不僅是由于法律規定的不清晰，還有實踐中存在將信息主體同意等同于授權的觀念或做法。例如，國家推薦標準 《個人信息安全規范》（GB/T 35273—2020）第5.4 條“收集個人信息時的授權同意”a）收集個人信息，應向個人信息主體告知收集、使用個人信息的目的、方式和范圍等規則，并獲得個人信息主體的授權同意。

2021年8月20日通過、2021年11月1日起施行的《中華人民共和國個人信息保護法》（下稱《個保法》），在個人信息保護方式方面基本上采納歐盟GDPR 的框架，尤其是采納個人信息處理合法性基礎規定，只是其合法性基礎（第13 條）是規定在“個人信息處理規則”一章，而不是總則的基本原則中。第13 條的內容也大致相當于GDPR 的第6 條個人數據處理的合法性的規定，主要差別是缺少“為信息處理者（GDPR 為數據控制者）合法利益而處理”這一合法性基礎。筆者認為，采納個人信息處理合法性基礎規定使我國個人信息的處理具有并行的法律依據，既避免《民法典》之前的分散立法將同意作為唯一合法性基礎，同時也避免了《民法典》第1035 條以同意為一般原則，以法律另有規定為例外的規定。不過，《個保法》仍然主要依賴同意保護個人權利。

自《網絡安全法》2017年6月生效后，國家網信辦等網安法執法部門每年都會聯合進行執法大檢查，在2018年《電子商務法》生效后，國家市場監督管理總局每年開展 “網絡市場監管專項行動”，尤其是今年圍繞平臺反壟斷開展連續的執法活動。從目前的執法情形來看，對于個人信息違法濫用行為的執法主要圍繞兩個方面展開，一是是否存在有效的同意，二是否超范圍采集與超目的使用個人信息上（涉及必要性的判斷）。由于現行涉及個人信息使用的法律基本上是個人對個人控制（包括同意）為基調，法律僅有公共利益的限制，但沒有數據使用者合法利益保護和社會發展或社會整體利益相關規定，因而現有的涉個人信息保護的執法也只能以法律規定為依據，以個人權利保護為目的。即使執法出于地方經濟發展或就業等考量，也屬于酌情之范疇，根本改變不了執法基準線。

從立法到執法基本現狀以及《個人信息保護法》內容來看，我國個人信息保護仍然一頭倒，呈現單向保護個人權利范式，即保護信息主體權利并基于公共利益考量給予適當限制。盡管數據治理概念在中國也得到普遍應用，但是，在法律對個人信息的定位屬于個人人格利益，且僅僅通過限權來維護公共利益的情形下，不承認數據使用者或社會主體的利益的情形下，數據治理的理論和機制就無從實施。缺失個人信息上多元利益的承認，不明確個人信息的多方利益相關者的利益，任何數據治理，就仍然是借時髦治理概念行保護個人權益之實。

中國個人信息保護亟需范式的轉型，從單一保護個人權利轉向保護多利益相關者利益的數據治理范式。這需要認真研究在數字經濟時代，數據成為驅動創新和社會經濟發展資源的背景下，包括歐盟在內的國家均在從過去的保護轉向治理，我們就沒有必要再重復保護范式，將來再走向多元治理范式。

注釋：

①Bevir，M.（2010）. 1 Governance as Theory，Practice，and Dilemma.

②European Commission，Regulation on data governance-Questions and Answers，https：//ec.europa.eu/commission/presscorner/detail/en/QANDA_20_2103?cookies=disabled

③Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on European data governance （Data Governance Act），COM（2020） 767 final 2020/0340（COD）

④the Data Sharing and Governance Act 2019，http：//www.irishstatutebook.ie/eli/2019/act/5/enacted/en/html

⑤Nathan Eagle，Engineering a Common Good： Fair Use of Aggregated，Anonymized Behavioral Data.

⑥《個人信息保護法》第四條第一款規定，個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息。

⑦在計算機網絡應用之前，這些信息除了少數部分被口耳相傳（傳聞）得以傳播或被檔案或傳記記載外，基本上不留痕跡，無據可查。而今天，人們的一切行為軌跡幾乎都可以被記錄下來，成為人們可以查詢和分析個人的消費偏好、健康狀況、資信狀況和信用能力等的依據。

⑧Garfinkel，S.（2015），De-Identification of Personal Information，NIST Interagency/Internal Report （NISTIR），National Institute of Standards and Technology，Gaithersburg，MD，[online]，https：//doi.org/10.6028/NIST.IR.8053

⑨在網絡環境下，我們可以通過了解一個人的個人屬性（如職業、經歷等）、網絡瀏覽記錄等數據來認識某個人的個性特征，然后將個性特征聯系到某個具體個人。個人提供給社會的信息豐富了，不僅能夠精確地識別一個人的特征，而且很容易識別一個人的身份。基于此，現在識別個體，甚至不需要識別個體身份（知道你是誰），而僅僅識別特定的抽象的個體。我們在網絡環境中有許多身份標識符，典型的如用戶名甚至IP 地址、 硬件識別號 （如手機IMEI 號），均可以視為一個個體。這樣的個體實際上是“人格面具”（persona）。至于這個個體是誰，對應到現實中哪個具體的個人，則需要進行身份識別，即將具有某些特征的個體與具體的個人聯系起來。識別并不必然要識別身份，更不必然跟一個人通信或聯系。因此，在網絡社會中，識別的基本含義就是通過分析關聯數據以識別某個用戶的個性特征（至于能否識別用戶的身份，則取決于所掌握的數據是否匹配到某個人）。

⑩WORLD ECONOMIC FORUM，PERSONAL DATA：THE EMERGENCE OF A NEW ASSET CLASS 7 （Jan.2011）.p5.

?2020年3月，國務院發布《中共中央國務院關于構建更加完善的要素市場化配置體制機制的意見》 提出土地、勞動、資本、技術、數據五個要素領域的改革方向。其中針對數據要素，第一次此明確了加快培育要素市場的發展方向，要求加強數據資源整合和安全保護。探索建立統一規范的數據管理制度，提高數據質量和規范性，豐富數據產品。研究根據數據性質完善產權性質。

?高富平：《論個人信息保護的目的——以個人信息保護法益區分為核心》，《法商研究》2019年第36 期。

?Yvonne McDermott，Conceptualising the right to data protection in an era of Big Data，Big Data&Society，January-June 2017，p4.

?王利明：《民法上的利益位階及其考量》，《法學家》2014年第1 期。

?首先，隱私具有共同價值，因為所有個人對隱私會有某種評價，有某些共同看法。此外，隱私不僅對個人（作為個人或者所有共同體的成員）具有價值，對民主體制也具有價值。最后，隱私具有集體價值（collective value），技術和市場力量正在使個人信息保護相互聯系在一起，在所有人沒有相同的最低隱私保護水平的前提下，某個人很難享有隱私。參見Priscilla M.Regan，Legislating Privacy： Technology，Social Values and Public Policy，Chapel Hill，NC：University of North Carolina Press，1995.

?Alessandro Mantelero & Giuseppe Vaciago，Data protection in a big society. Ideas for a future regulation，Digital Investigation 15（2015），p.108.

?參見高富平：《個人信息保護：從個人控制到社會控制》《法學研究》2018年第5 期。

?GDPR 定義的數據控制者為： 是指單獨或與他人共同決定個人數據處理的目的和方式的自然人、法人、公共權力機關、代理機構或其他機構。數據控制者或第三方基本上可以涵蓋所有的社會主體。GDPR 第5 條第（f）項完整條文為：（f）數據控制者或第三方為追求合法利益目的而進行的必要數據處理，但當該利益與要求對個人數據進行保護的數據主體的利益或基本權利和自由相沖突時，尤其是當該數據主體為兒童時，則不得進行數據處理。

?《南財快評：新冠肺炎疫情會推動醫療數據全球共享嗎？》，載21 財經，https：//m.21jingji.com/article/20200214/herald/209333f86aab705ff55f27e8c7a28b66.html（2020年3月30日訪問）

?我國在《中國互聯網狀況》（中華人民共和國國務院新聞辦公室，2010年） 中提出了我國境內的互聯網屬于中國主權管轄范圍的觀點。2015年在《國家安全法》首次規定了“網絡空間主權”。2021年6月《中華人民共和國數據安全法》第一條明確“為了規范數據處理活動，保障數據安全，促進數據開發利用，保護個人、組織的合法權益，維護國家主權、安全和發展利益，制定本法。”將數據安全與國家主權聯系在一起。