一、GDPR的成績(jī)單

（一）歐盟數(shù)據(jù)保護(hù)委員會(huì)：協(xié)調(diào)執(zhí)法

作為歐盟層面的數(shù)據(jù)保護(hù)機(jī)構(gòu)，“歐盟數(shù)據(jù)保護(hù)委員會(huì)”（EDPB）的主要任務(wù)是保證歐盟整體數(shù)據(jù)保護(hù)規(guī)則的統(tǒng)一適用，以及促進(jìn)各成員國(guó)監(jiān)管機(jī)構(gòu)之間的合作，其主要政策工具包括出臺(tái)指南（Guidelines）、建議（Recommendations）、意見（Opinions）、有約束力的決定（Binding decisions）。迄今，歐盟數(shù)據(jù)保護(hù)委員會(huì)已發(fā)布六份指南（含征求意見稿），涉及GDPR適用地域、第42和43條下的認(rèn)證及其標(biāo)準(zhǔn)、行為準(zhǔn)則及其監(jiān)督、履行合同所必需的數(shù)據(jù)處理以及數(shù)據(jù)跨境的例外情形等。此外，歐盟數(shù)據(jù)保護(hù)委員會(huì)已經(jīng)或正在就有約束力的公司準(zhǔn)則、數(shù)據(jù)控制者與處理者間標(biāo)準(zhǔn)合同、進(jìn)行數(shù)據(jù)保護(hù)影響評(píng)估的國(guó)家名單、金融監(jiān)管機(jī)構(gòu)個(gè)人數(shù)據(jù)傳輸、GDPR與《隱私與電子通訊指令》的互動(dòng)等發(fā)布多份“一致性意見”（Consistency opinions）。

2018年5月25日，歐盟數(shù)據(jù)保護(hù)委員會(huì)舉行第一次全體會(huì)議。會(huì)上集中完成了設(shè)立委員會(huì)工作，并經(jīng)選舉產(chǎn)生了委員會(huì)主席和副主席；同時(shí)還完成了“第29條工作組”（WP29）與委員會(huì)的交接，批準(zhǔn)了16個(gè)第29條工作組做出的GDPR指南。2018年7月4日至5日，歐盟數(shù)據(jù)保護(hù)委員會(huì)舉行第二次全體會(huì)議，討論了一站式（One-Stop-Shop）合作機(jī)制、互聯(lián)網(wǎng)名稱與數(shù)字地址分配機(jī)構(gòu)（ICANN）、歐盟支付服務(wù)指令第二版（PSD2）、隱私盾等廣泛主題。根據(jù)委員會(huì)的常設(shè)秘書處——“歐洲數(shù)據(jù)保護(hù)專員公署”（EDPS）的工作設(shè)想，后續(xù)執(zhí)法要點(diǎn)包括：（1）GDPR實(shí)施工作的基本立場(chǎng)是遵循歐盟委員會(huì)有關(guān)數(shù)字單一市場(chǎng)的總體安排，保護(hù)歐盟公民和統(tǒng)一市場(chǎng)為直接目標(biāo)；（2）將里斯本條約確認(rèn)的基本人權(quán)——個(gè)人數(shù)據(jù)權(quán)作為貫徹落實(shí)GDPR的基點(diǎn)，設(shè)計(jì)出更具體的實(shí)施細(xì)則及合規(guī)指南；（3）GDPR主要憑借各成員國(guó)監(jiān)管機(jī)構(gòu)執(zhí)法，而在“一站式”模式下，針對(duì)特定執(zhí)法對(duì)象，應(yīng)由其主要營(yíng)業(yè)地所在國(guó)的監(jiān)管機(jī)構(gòu)履行監(jiān)管職能；（4）GDPR的總體執(zhí)法力度將類似于目前歐盟在反不正當(dāng)競(jìng)爭(zhēng)、反壟斷領(lǐng)域的執(zhí)法；（5）在國(guó)際沖突博弈方面，GDPR實(shí)施過程中會(huì)根據(jù)實(shí)際情況進(jìn)一步考慮彈性的執(zhí)法機(jī)制，例如充分發(fā)揮“公司準(zhǔn)則”(Rules of Corporation)和“標(biāo)準(zhǔn)條款”（Standard Clause）的軟法功能，以減少法定強(qiáng)制條款（例如充分性認(rèn)定機(jī)制）的適用。截至2019年5月，歐盟數(shù)據(jù)保護(hù)委員會(huì)已經(jīng)舉辦了10次全體會(huì)議。

2019年2月，歐盟數(shù)據(jù)保護(hù)委員會(huì)發(fā)布2019-2020年工作計(jì)劃，列舉出17項(xiàng)擬出臺(tái)的指南，囊括了車聯(lián)網(wǎng)、兒童數(shù)據(jù)、視頻監(jiān)控、數(shù)據(jù)控制者合法利益、政府機(jī)構(gòu)以合作管理為目的的跨境傳輸、經(jīng)由設(shè)計(jì)和默認(rèn)的數(shù)據(jù)保護(hù)以及對(duì)個(gè)人數(shù)據(jù)權(quán)利的限制，等等。

（二）歐盟各成員國(guó)：具體執(zhí)法

盡管GDPR可以直接適用于歐盟所有成員國(guó)，但它同樣要求各成員國(guó)將其轉(zhuǎn)化為國(guó)內(nèi)法。目前，除了希臘、斯洛文尼亞和葡萄牙，其余25個(gè)國(guó)家均通過不同形式將GDPR納入既有法律體系之中，并同時(shí)規(guī)定了本國(guó)數(shù)據(jù)保護(hù)局（DPA）的職權(quán)，包括但不限于：發(fā)出違規(guī)警告、開展審查、限期糾正、命令刪除數(shù)據(jù)、暫停向第三國(guó)傳輸數(shù)據(jù)、罰款。

根據(jù)歐盟數(shù)據(jù)保護(hù)委員會(huì)在2019年2月和5月發(fā)布的信息，歐盟各成員國(guó)的DPA處理案件28萬件，其中數(shù)據(jù)跨境案件446件，并收到至少14.4萬次個(gè)人投訴和89271次數(shù)據(jù)泄露通知，開出罰款高達(dá)5600萬歐元。各國(guó)具體執(zhí)法情況如下：

1. 愛爾蘭

愛爾蘭是多家大型科技、社交媒體公司等跨國(guó)公司的歐洲總部所在地，即“主營(yíng)業(yè)地”。在GDPR“一站式”執(zhí)法機(jī)制下，愛爾蘭“數(shù)據(jù)保護(hù)委員會(huì)”（DPC）對(duì)跨國(guó)公司的數(shù)據(jù)監(jiān)管發(fā)揮著重要作用。一年來，數(shù)據(jù)保護(hù)委員會(huì)收到6,624宗投訴，發(fā)現(xiàn)5,818個(gè)數(shù)據(jù)安全漏洞，開展了54項(xiàng)調(diào)查，其中35項(xiàng)是境內(nèi)調(diào)查，19項(xiàng)是對(duì)跨國(guó)科技公司及其對(duì)GDPR的遵守情況的跨境調(diào)查。

作為蘋果、臉書、微軟、推特、愛彼迎、領(lǐng)英等科技巨頭的牽頭監(jiān)管機(jī)構(gòu)，數(shù)據(jù)保護(hù)委員會(huì)已發(fā)起多起涉及上述公司的法定調(diào)查，所涉問題包括臉書涉嫌利用外部鏈接從第三方軟件中轉(zhuǎn)移個(gè)人數(shù)據(jù)至臉書及其合作方、微軟利用Office產(chǎn)品收集并處理遙測(cè)數(shù)據(jù)、WhatsApp與臉書公司共享個(gè)人數(shù)據(jù)，等等。針對(duì)上述跨國(guó)科技公司，數(shù)據(jù)保護(hù)委員會(huì)還收到了16起來自其他歐盟監(jiān)管機(jī)構(gòu)的互助請(qǐng)求。

2. 法國(guó)

法國(guó)“國(guó)家信息與自由委員會(huì)”（CNIL）于2019年4月發(fā)布的活動(dòng)報(bào)告顯示，2018年其共收到11,077起投訴（相較于2017年上漲了32.5%），其中20%為一站式機(jī)制下來自其他監(jiān)管機(jī)構(gòu)的投訴。這些投訴主要涉及數(shù)據(jù)的互聯(lián)網(wǎng)傳播，尤其在線上聲譽(yù)、市場(chǎng)/商業(yè)、人力資源等領(lǐng)域中主張刪除個(gè)人數(shù)據(jù)。在調(diào)查方面，委員會(huì)在2018年共發(fā)起310起調(diào)查，并在2019年發(fā)布命令49項(xiàng)，主要集中在保險(xiǎn)領(lǐng)域和廣告定向推送領(lǐng)域，實(shí)施處罰11項(xiàng)，其中10項(xiàng)為罰款，以谷歌案最令人矚目。2019年1月21日，委員會(huì)對(duì)谷歌作出了GDPR下至今最高額的罰款處罰——5000萬歐元。其處罰決定理由主要基于兩方面，一是谷歌違反了GDPR第12和13條規(guī)定的透明性義務(wù)，二是谷歌以廣告定向投放為目的處理個(gè)人數(shù)據(jù)缺乏法律基礎(chǔ)，即未獲得數(shù)據(jù)主體的有效同意。

在規(guī)則制定層面，2018年12月28日，委員會(huì)基于GDPR同意和透明度原則，發(fā)布了“以直接營(yíng)銷目的向商業(yè)合作伙伴提供數(shù)據(jù)指南”。根據(jù)該指南，數(shù)據(jù)控制者向合作方提供個(gè)人數(shù)據(jù)時(shí)，應(yīng)告知數(shù)據(jù)接受者的名稱，并獲得用戶同意，該等同意是不可轉(zhuǎn)移的，這意味著合作方不得將數(shù)據(jù)披露給第三方。最后，數(shù)據(jù)接收者將數(shù)據(jù)處理的情形在一個(gè)月內(nèi)告知數(shù)據(jù)主體，并說明其如何行使權(quán)利，特別是反對(duì)權(quán)。

3. 英國(guó)

根據(jù)英國(guó)“信息專員辦公室”（ICO）的官方信息，該辦公室自GDPR生效以來共有59項(xiàng)執(zhí)法行動(dòng)，其中34項(xiàng)為罰款，15項(xiàng)為執(zhí)行通知。

2018年10月，信息專員辦公室向加拿大的Aggregate IQ數(shù)據(jù)服務(wù)有限公司（“AIQ”）發(fā)出執(zhí)行通知，要求其刪除所有與英國(guó)公民相關(guān)的個(gè)人數(shù)據(jù)，并稱若其不履行義務(wù)，將面臨最高2000萬歐元或上一年全球總營(yíng)業(yè)額4%的罰款。AIQ是一家利用個(gè)人數(shù)據(jù)在社交軟件上定向投放政治廣告的公司，其很多數(shù)據(jù)源于包括脫歐組織的政治團(tuán)體提供的個(gè)人數(shù)據(jù)。信息專員辦公室在執(zhí)行通知中指出AIQ違反了GDPR第5(1)條中的(a)至(c)款，與此同時(shí)，加拿大隱私監(jiān)管機(jī)構(gòu)也以濫用個(gè)人數(shù)據(jù)為由對(duì)AIQ進(jìn)行調(diào)查。在后續(xù)執(zhí)法行動(dòng)中，辦公室還對(duì)脫歐集團(tuán)有限公司（Leave.EU Group Limited）、投票脫歐有限公司（Vote Leave Limited）的非法利用數(shù)據(jù)和發(fā)送信息行為處以罰款。除了企業(yè)外，政府機(jī)構(gòu)同樣面臨著執(zhí)法威懾。2019年，英國(guó)稅務(wù)與海關(guān)總署被依法調(diào)查，信息專員辦公室認(rèn)為：前者在采集生物特征數(shù)據(jù)（具有識(shí)別性的聲紋）時(shí)，未征得個(gè)體同意，且沒有對(duì)數(shù)據(jù)保護(hù)做預(yù)案。

4. 比利時(shí)

無獨(dú)有偶，2019年5月28日，比利時(shí)數(shù)據(jù)保護(hù)局（DPA）發(fā)出首份GDPR罰單。在該案中，一位投訴人提出了對(duì)比利時(shí)市市長(zhǎng)的投訴，認(rèn)為市長(zhǎng)濫用投訴人的個(gè)人郵箱向其發(fā)送競(jìng)選信息。對(duì)此，數(shù)據(jù)保護(hù)局指出：GDPR適用于任何數(shù)據(jù)控制人，當(dāng)然也適用于市長(zhǎng)等公共權(quán)力擁有人。根據(jù)GDRP第5條第1款第（b）項(xiàng)和第6條第4款中“目的限定”原則，市長(zhǎng)獲得的電子郵件地址必須用于特定目的，不得以與該目的不相容的方式進(jìn)一步處理?；诖?，比利時(shí)市市長(zhǎng)使用數(shù)據(jù)主體個(gè)人電子郵件地址并發(fā)送競(jìng)選信息的行為，已經(jīng)超出個(gè)人當(dāng)時(shí)提交其郵件地址的目的，最終遭至2000歐元的處罰。

5. 其他國(guó)家

其他國(guó)家的監(jiān)管機(jī)構(gòu)也積極開展了執(zhí)法活動(dòng)，例如：德國(guó)“聯(lián)邦數(shù)據(jù)保護(hù)與信息自由委員會(huì)”（BfDI）基于數(shù)據(jù)泄露對(duì)一家社交媒體公司處以2萬歐元罰款；意大利“反壟斷監(jiān)管機(jī)構(gòu)競(jìng)爭(zhēng)和市場(chǎng)管理局”（Garante）就兩家公司車輛的定位監(jiān)控系統(tǒng)問題發(fā)出執(zhí)行通知要求其糾正違法行為；葡萄牙“國(guó)家信息保護(hù)委員會(huì)”（CNPD）認(rèn)定Barreiro醫(yī)院未區(qū)分臨床數(shù)據(jù)的訪問權(quán)限，并且個(gè)人資料管理系統(tǒng)存在缺陷，違反了GDPR第51(f)條的“完整性和保密性”原則與51(c)條的“數(shù)據(jù)最小化”原則，對(duì)其處罰40萬歐元；立陶宛“國(guó)家數(shù)據(jù)督查局”（SDPI）對(duì)一家互聯(lián)網(wǎng)支付公司處以61,500歐元罰款，理由包括不恰當(dāng)處理數(shù)據(jù)、泄露個(gè)人信息以及未向監(jiān)管機(jī)構(gòu)報(bào)告數(shù)據(jù)泄露事件。奧地利“數(shù)據(jù)保護(hù)局”（DSB）因企業(yè)在其建筑物周邊安裝閉路監(jiān)控設(shè)備監(jiān)控、記錄人行道人像數(shù)據(jù)等，而被認(rèn)為未履行GDPR有關(guān)數(shù)據(jù)處理透明度的要求，對(duì)其處罰4800歐元。

二、GDPR執(zhí)法的評(píng)估

一年來，從歐盟數(shù)據(jù)保護(hù)委員會(huì)到各成員國(guó)的數(shù)據(jù)保護(hù)局，GDPR已經(jīng)顯示出巨大的威力。但法律好不好，“關(guān)鍵看療效”。我們有必要從法律、社會(huì)、經(jīng)濟(jì)各層面全面審視其實(shí)施效果。

（一）GDPR對(duì)民眾的影響

保護(hù)個(gè)人的基本權(quán)利是GDPR的初心。GDPR的實(shí)施讓歐盟民眾比之前更加關(guān)注他們的數(shù)據(jù)權(quán)利。調(diào)查顯示，2015年，大約只有20%的人知道政府保護(hù)個(gè)人數(shù)據(jù)，而現(xiàn)在有57%的人了解到國(guó)家專設(shè)了數(shù)據(jù)保護(hù)局，提供個(gè)人數(shù)據(jù)權(quán)的縝密保障，有67%的人聽說過GDPR這部法律。同時(shí)，向各成員國(guó)數(shù)據(jù)保護(hù)局咨詢GDPR和提出申訴的人日益增多，非營(yíng)利組織代表個(gè)人發(fā)起的申訴也開始出現(xiàn)。

（二）GDPR對(duì)企業(yè)的影響

合規(guī)成本的上升是GDPR對(duì)企業(yè)最為直接的影響?！皣?guó)際隱私專業(yè)人協(xié)會(huì)”（IAPP）的研究報(bào)告曾經(jīng)預(yù)言，GDPR生效后，僅歐洲和美國(guó)就需要至少2.8萬個(gè)數(shù)據(jù)保護(hù)官（DPO），而全球其他地方為滿足GDPR的要求，將創(chuàng)建多達(dá)7.5萬個(gè)職位。事實(shí)上，這一預(yù)計(jì)大大低估了GDPR的影響，截至目前，已有37.5萬家企業(yè)和其他組織設(shè)置了數(shù)據(jù)保護(hù)官，并且，還有50萬名尚待任命。顯然，企業(yè)不得不為此花費(fèi)不菲的資金。而有些雇主可能會(huì)將數(shù)據(jù)保護(hù)官的職責(zé)分配給在職員工，這極大增加了員工的工作量，可其福利卻未必會(huì)同步提升。

除上述人力成本外，在普華永道的調(diào)查中，受訪者表示，超過77%的美國(guó)公司計(jì)劃在GDPR準(zhǔn)備和合規(guī)工作上分配100萬美元或更多，其中68%的公司表示將投資100萬至1000萬美元，9%的公司預(yù)計(jì)花費(fèi)超過1000萬美元。在當(dāng)前的市場(chǎng)格局下，飆升的合規(guī)成本將必然削弱中美企業(yè)的競(jìng)爭(zhēng)優(yōu)勢(shì)。在極端的情況下，憑借GDPR，歐盟可以中美兩國(guó)公司數(shù)據(jù)保護(hù)欠缺為由，阻止其投資和收購(gòu)的步伐。而對(duì)于中小企業(yè)而言，GDPR的合規(guī)成本更加難以承受。德勤的調(diào)查顯示，在1000個(gè)受訪的中小企業(yè)中，絕大多數(shù)保持觀望態(tài)度。同時(shí)，作為面向未來的原則性法律監(jiān)管框架，GDPR存在大量模糊規(guī)定，有54%的中小企業(yè)對(duì)于GDPR規(guī)則極度困惑，甚至有人戲稱GDPR為“律師充分就業(yè)法”（Lawyer full employment law）。

（三）GDPR對(duì)歐盟境外的影響

GDPR的長(zhǎng)臂管轄權(quán)使其在歐盟境外也保持著強(qiáng)大威懾。德勤在GDPR實(shí)施半年后的調(diào)查證實(shí)了這一點(diǎn)。在歐盟地域內(nèi)，70%的被調(diào)查者增設(shè)了GDPR合規(guī)崗位，而歐盟境外的被調(diào)查者同樣不敢掉以輕心，其比例僅僅落后1到2個(gè)百分點(diǎn)。

受到影響的絕不限于企業(yè)。隨著GDPR的實(shí)施，歐盟以此為抓手向全球擴(kuò)張其制度理念，并為世界個(gè)人信息保護(hù)法豎立新的標(biāo)準(zhǔn)。歐盟數(shù)據(jù)保護(hù)委員會(huì)在5月份的報(bào)告中自豪宣稱：“GDPR的原則正在向歐盟之外輻射。從智利到日本，從巴西到韓國(guó)，從阿根廷到肯尼亞，我們看到新的隱私法正在浮現(xiàn)，它立基于更強(qiáng)保障、可執(zhí)行的個(gè)人權(quán)利和獨(dú)立監(jiān)管機(jī)構(gòu)之上?！闭鐐€(gè)人數(shù)據(jù)保護(hù)領(lǐng)域著名學(xué)者Graham Greenleaf所指出的，憑借GDPR第45條設(shè)定的“充分性認(rèn)定”條款和2018年5月18日歐洲委員會(huì)提出的“108號(hào)公約+”動(dòng)議（“Convention 108+”），歐盟將GDPR的標(biāo)準(zhǔn)向全世界推廣，意圖確立個(gè)人數(shù)據(jù)保護(hù)的“國(guó)際標(biāo)準(zhǔn)”。在GDPR的影響下，美國(guó)《2018加州消費(fèi)者隱私法》（The California ConsumerPrivacy Act of 2018）、印度《個(gè)人數(shù)據(jù)保護(hù)草案》（the 2018 PersonalData Protection Bill）相繼出臺(tái)，回應(yīng)了人們對(duì)數(shù)據(jù)透明度的期待，并賦予個(gè)人就其數(shù)據(jù)更多的控制權(quán)。其中，《2018加州消費(fèi)者隱私法》仿效GDPR，廣泛界定個(gè)人數(shù)據(jù)的范圍，為個(gè)人創(chuàng)造“刪除權(quán)”“可攜帶權(quán)”等新的權(quán)利類型，并強(qiáng)調(diào)提供明確的同意通知。

三、對(duì)GDPR實(shí)施的批評(píng)

（一）GDPR執(zhí)法的不足

GDPR實(shí)施后，眾多監(jiān)管機(jī)構(gòu)實(shí)現(xiàn)了權(quán)力擴(kuò)張和身份轉(zhuǎn)變，與以往被動(dòng)的執(zhí)法模式不同，后GDPR時(shí)代的數(shù)據(jù)監(jiān)管機(jī)構(gòu)傾向于積極主動(dòng)的履行職能，監(jiān)督其管轄范圍內(nèi)機(jī)構(gòu)的數(shù)據(jù)保護(hù)情況，即便它們尚未出現(xiàn)數(shù)據(jù)泄露等安全隱患。這種執(zhí)法模式和“警告、申誡、要求數(shù)據(jù)控制者、處理者改正、要求對(duì)個(gè)人數(shù)據(jù)予以更正或刪除”等矯正權(quán)相結(jié)合，大大增加了政府介入企業(yè)經(jīng)營(yíng)的深度和廣度，從而引發(fā)人們的憂慮。

不僅如此，盡管GDPR列明了罰款的考量因素，實(shí)踐中也很難作出合理且有效的處罰。在歐盟開出的5600萬歐元罰單中，谷歌以5000萬歐元獨(dú)占90％，而絕大多數(shù)歐盟公司并未因違反GDPR而被處罰，即便處罰，其罰款也非常輕微。這種不均衡在不同國(guó)家間體現(xiàn)的更加鮮明。盡管有歐盟數(shù)據(jù)保護(hù)委員會(huì)的協(xié)調(diào)和監(jiān)督，但鑒于各國(guó)執(zhí)法路徑與社會(huì)文化的差異，各成員執(zhí)法水平參差不齊的現(xiàn)狀短期內(nèi)難以改善，最終導(dǎo)致GDPR“統(tǒng)一規(guī)則和執(zhí)法統(tǒng)一”淪為具文。法國(guó)國(guó)家信息與自由委員對(duì)谷歌的處罰案便是絕佳例證。

在該案中，盡管谷歌公司堅(jiān)持其愛爾蘭公司（Google Ireland Limited）是其主營(yíng)業(yè)地，在“一站式”管轄規(guī)則下，愛爾蘭數(shù)據(jù)保護(hù)局才是適格的監(jiān)管機(jī)關(guān)，而非法國(guó)。但是，國(guó)家信息與自由委員認(rèn)為，谷歌在歐盟內(nèi)沒有主營(yíng)業(yè)機(jī)構(gòu)，因?yàn)槊绹?guó)的谷歌總部（Google LLC）擁有對(duì)安卓及谷歌賬號(hào)相關(guān)數(shù)據(jù)的處理決策權(quán)。其進(jìn)一步指出：既然谷歌在歐盟境內(nèi)沒有主營(yíng)業(yè)機(jī)構(gòu)，那么歐盟境內(nèi)任一谷歌營(yíng)業(yè)機(jī)構(gòu)所在地的監(jiān)管機(jī)關(guān)，均對(duì)Google LLC擁有執(zhí)法管轄權(quán)。這種對(duì)“主營(yíng)業(yè)地”的狹義解釋可能架空了“一站式”執(zhí)法要求，因?yàn)閷?duì)總部不在歐盟的跨國(guó)企業(yè)來說，其決策權(quán)不太可能在歐盟境內(nèi)，因此不得不面對(duì)多個(gè)監(jiān)管機(jī)關(guān)的分散式執(zhí)法。

（二）GDPR實(shí)施未必有利于企業(yè)和用戶建立信任

信任是數(shù)字經(jīng)濟(jì)的貨幣，GDPR意圖建立一個(gè)強(qiáng)大且面向未來的監(jiān)管框架，以保證消費(fèi)者和企業(yè)增強(qiáng)信心和相互信任，從而為歐洲鋪平數(shù)字時(shí)代的道路。為此，GDPR大幅提升了數(shù)據(jù)主體對(duì)個(gè)人數(shù)據(jù)的控制力和權(quán)利認(rèn)知。而正如行為經(jīng)濟(jì)學(xué)的“稟賦理論”所指出的，一旦人們先入為主地認(rèn)定個(gè)人數(shù)據(jù)屬于自己，他們會(huì)為此賦予更高的價(jià)值。同時(shí)，由于每個(gè)人都厭惡損失，“避害”的威脅遠(yuǎn)大于“趨利”的考慮，因此，當(dāng)企業(yè)提出數(shù)據(jù)收集和使用要求時(shí)，人們往往更不愿意達(dá)成交易。在此背景下，數(shù)據(jù)與其權(quán)利人之間更有粘性，用經(jīng)濟(jì)學(xué)的話來說，初始的權(quán)利配置直接決定了最終的資源分配，結(jié)果，數(shù)據(jù)并不會(huì)流向更能創(chuàng)造價(jià)值的地方。須知，數(shù)據(jù)如流水，靜止的數(shù)據(jù)必然是一潭死水。

更嚴(yán)重的是，鑒于技術(shù)架構(gòu)下天然的信息不對(duì)稱，個(gè)人數(shù)據(jù)權(quán)利的增強(qiáng)可能加劇了用戶對(duì)企業(yè)的不信任。研究表明：有關(guān)個(gè)人數(shù)據(jù)泄露的丑聞以及企業(yè)不正當(dāng)?shù)厥褂?、出售個(gè)人數(shù)據(jù)的案件，將對(duì)消費(fèi)者普遍信任水平產(chǎn)生負(fù)面影響。由此，人們或者只信任大企業(yè)：GDPR生效后不久，谷歌成功增加了其在線廣告市場(chǎng)的份額，這是因?yàn)樗愿哂谕械乃俣全@得用戶對(duì)定向行為廣告的明確同意；或者人們對(duì)所有企業(yè)普遍不信任，特別是各成員國(guó)數(shù)據(jù)保護(hù)局對(duì)跨國(guó)科技公司頻頻處罰之后。不論結(jié)局如何，這對(duì)于數(shù)字經(jīng)濟(jì)絕非福音。

（三）GDPR實(shí)施對(duì)數(shù)字經(jīng)濟(jì)的不利后果

之前的研究已揭示出GDPR可能損及互聯(lián)網(wǎng)成熟業(yè)態(tài)、新興產(chǎn)業(yè)和經(jīng)濟(jì)創(chuàng)新，GDPR實(shí)施后，這一預(yù)測(cè)逐漸得以證實(shí)。2018年5月以來，許多廣告交易平臺(tái)及其他廣告發(fā)布商的歐洲廣告需求量下降了25%到40%，一些美國(guó)廣告發(fā)布商已暫停其歐洲網(wǎng)站上的所有程序化廣告。另?yè)?jù)路透社新聞研究所2018年8月發(fā)布的報(bào)告，GDPR實(shí)施后，一系列歐洲新聞網(wǎng)站上第三方提供內(nèi)容和cookie的普及程度下降。Strand Consult的報(bào)告也認(rèn)為，GDPR會(huì)對(duì)歐洲5G網(wǎng)絡(luò)開發(fā)和服務(wù)公司的價(jià)值鏈產(chǎn)生負(fù)面影響，使歐盟在移動(dòng)通信方面繼續(xù)落后于美國(guó)和中國(guó)。并且，GDPR嚴(yán)格的數(shù)據(jù)收集和使用限制，也可能會(huì)阻礙云計(jì)算、區(qū)塊鏈、人工智能（AI）等新興產(chǎn)業(yè)的發(fā)展。

以云計(jì)算為例，GDPR不當(dāng)介入到云計(jì)算客戶與云服務(wù)提供商（CSP）的合同關(guān)系中，限制了雙方的經(jīng)營(yíng)自由，云服務(wù)集成、轉(zhuǎn)售業(yè)態(tài)面臨著業(yè)務(wù)風(fēng)險(xiǎn)。2019年4月，歐盟數(shù)據(jù)保護(hù)委員會(huì)開始對(duì)歐盟機(jī)構(gòu)與微軟公司之間云服務(wù)合同的合規(guī)性進(jìn)行調(diào)查，以確保后者向境外傳輸數(shù)據(jù)符合GDPR的要求。以AI為例，美國(guó)數(shù)據(jù)創(chuàng)新中心（Center for Data Innovation）2018年發(fā)布《歐盟新數(shù)據(jù)保護(hù)條例對(duì)人工智能的影響》報(bào)告，從十個(gè)方面論述了GDPR 對(duì)AI產(chǎn)業(yè)的負(fù)面影響。例如，GDPR第22條規(guī)定數(shù)據(jù)控制者應(yīng)對(duì)特定自動(dòng)化決策加以人工干預(yù)和解釋的義務(wù)，在深度學(xué)習(xí)的算法架構(gòu)下，這幾乎是不可能完成的任務(wù)。再如，“被遺忘權(quán)”將損害破壞AI系統(tǒng)的完整性。最后，雖然GDPR規(guī)定了去標(biāo)識(shí)化數(shù)據(jù)的例外，但并未明確去標(biāo)識(shí)化的標(biāo)準(zhǔn)，在嚴(yán)峻的監(jiān)管規(guī)則面前，這削弱了企業(yè)采取技術(shù)措施對(duì)數(shù)據(jù)去標(biāo)識(shí)化的積極性，限制了數(shù)據(jù)合法使用范圍。2019年5月，美國(guó)數(shù)據(jù)創(chuàng)新中心再次發(fā)布研究報(bào)告，指出GDPR阻礙了AI在歐洲的開發(fā)和使用，使其處于競(jìng)爭(zhēng)劣勢(shì)。為此，數(shù)據(jù)創(chuàng)新中心主任Daniel Castro建議：“歐盟可以對(duì)GDPR進(jìn)行改革，以實(shí)現(xiàn)更多的數(shù)據(jù)共享和AI的使用，但不會(huì)削弱對(duì)人類尊嚴(yán)、合法利益和其他基本權(quán)利的保護(hù)。對(duì)GDPR有針對(duì)性的改變將使歐盟能夠?qū)崿F(xiàn)其成為算法經(jīng)濟(jì)領(lǐng)導(dǎo)者的愿景?！?/p>

其次，GDPR還將削弱網(wǎng)絡(luò)安全的防護(hù)能力。GDPR極致保護(hù)個(gè)人數(shù)據(jù)的鮮明立場(chǎng)，迫使大量域名注冊(cè)機(jī)構(gòu)清除用來查詢域名的IP及其所有者信息的Whois數(shù)據(jù)，致使無法及時(shí)發(fā)現(xiàn)惡意域名關(guān)聯(lián)的賬戶名、電話號(hào)碼、郵箱地址，亦無法即時(shí)封堵同一黑客注冊(cè)的多個(gè)惡意域名，加大了制止網(wǎng)絡(luò)釣魚、軟件勒索、版權(quán)保護(hù)及其他攻擊的難度。美國(guó)商務(wù)部負(fù)責(zé)通信和信息的助理部長(zhǎng)大衛(wèi)·雷德爾（David Redl）直言：這將極大危害互聯(lián)網(wǎng)的持續(xù)穩(wěn)定性和安全性。另一方面，實(shí)時(shí)在線的安全軟件以企業(yè)與用戶不間斷數(shù)據(jù)交換為基礎(chǔ)：對(duì)用戶而言，他們可以隨時(shí)連接到企業(yè)服務(wù)器上，以便下載具有網(wǎng)絡(luò)欺詐內(nèi)容和惡意軟件網(wǎng)站的最新黑名單列表，幫助其快速識(shí)別并清除新型木馬病毒以及釣魚、掛馬的惡意網(wǎng)頁(yè)；對(duì)企業(yè)而言，用戶終端里的大量數(shù)據(jù)也會(huì)上傳到云端，企業(yè)據(jù)此建立全面的軟件信息數(shù)據(jù)庫(kù)，發(fā)現(xiàn)可疑樣本，并改善數(shù)據(jù)安全服務(wù)。但在GDPR之下，這種數(shù)據(jù)共享變得困難。

最后，創(chuàng)新依賴于好的點(diǎn)子與資金的結(jié)合。2018年11月，美國(guó)國(guó)家經(jīng)濟(jì)研究局發(fā)布GDPR對(duì)科技創(chuàng)業(yè)投資短期影響的報(bào)告，指出GDPR將對(duì)風(fēng)險(xiǎn)投資交易數(shù)量、交易規(guī)模以及投資總額產(chǎn)生顯著負(fù)面影響，尤其是從天使投資轉(zhuǎn)向風(fēng)險(xiǎn)資本的新興企業(yè)可能受影響最大。根據(jù)該報(bào)告，從2017年7月至2018年9月，GDPR導(dǎo)致很多擔(dān)心法律風(fēng)險(xiǎn)的企業(yè)宣布停止歐洲服務(wù)，造成中小企業(yè)陷入融資困境，降低歐洲市場(chǎng)活躍度，交易數(shù)量和私募資金數(shù)量明顯下降（分別減少了17%和40%），在短期內(nèi)削弱了歐盟數(shù)字經(jīng)濟(jì)的競(jìng)爭(zhēng)力。

四、GDPR對(duì)中國(guó)的啟示

在我國(guó)制定《個(gè)人信息保護(hù)法》的關(guān)口，GDPR不啻于一枚寶貴的他山之石。相較于歐盟，我們有著鮮明的后發(fā)優(yōu)勢(shì)，完全可以也應(yīng)當(dāng)汲取GDPR實(shí)施的經(jīng)驗(yàn)與教訓(xùn)，擇其善者而從之，其不善者而改之。

（一）明確《個(gè)人信息保護(hù)法》的“通用性”和“一般性”

GDPR以“General”一詞作為其首要限定，彰顯了它的通用性與廣泛適用性。質(zhì)言之，無論是處理個(gè)人數(shù)據(jù)的私人組織，還是公權(quán)力機(jī)構(gòu)，皆應(yīng)一體遵循。這主要考慮到兩者在處理個(gè)人數(shù)據(jù)之時(shí)，均要具備正當(dāng)性依據(jù)，以判斷處理行為合法與否。就此而言，兩者對(duì)于個(gè)人所負(fù)義務(wù)并無實(shí)質(zhì)差異。尤其是，伴隨著政府的數(shù)字化轉(zhuǎn)型，國(guó)家不再單純以超然于企業(yè)與個(gè)人之間利益關(guān)系的治理者角色出現(xiàn)，而同時(shí)也是最大的個(gè)人數(shù)據(jù)處理者，理應(yīng)遵循個(gè)人信息保護(hù)的通用原則。近一年來，英國(guó)稅務(wù)與海關(guān)總署、比利時(shí)市長(zhǎng)紛紛因違反GDPR而遭受處罰，顯示出它的普遍強(qiáng)制力。

反觀我國(guó)，《網(wǎng)絡(luò)安全法》的主要規(guī)制對(duì)象和數(shù)據(jù)保護(hù)的主要義務(wù)承擔(dān)者是“網(wǎng)絡(luò)運(yùn)營(yíng)者”，即網(wǎng)絡(luò)的所有者、管理者和網(wǎng)絡(luò)服務(wù)提供者。從該法第9條“網(wǎng)絡(luò)運(yùn)營(yíng)者開展經(jīng)營(yíng)和服務(wù)活動(dòng)，必須遵守法律、行政法規(guī)，尊重社會(huì)公德，遵守商業(yè)道德，誠(chéng)實(shí)信用，履行網(wǎng)絡(luò)安全保護(hù)義務(wù)，接受政府和社會(huì)的監(jiān)督，承擔(dān)社會(huì)責(zé)任”的語義判斷，“網(wǎng)絡(luò)運(yùn)營(yíng)者”或不包括政府機(jī)關(guān)，由此可能引發(fā)的疑問是：收集大量個(gè)人信息的政府機(jī)關(guān)是否以及如何執(zhí)行《網(wǎng)絡(luò)安全法》第四章“網(wǎng)絡(luò)信息安全”的規(guī)定？特別是第41條確定的“個(gè)人信息收集和使用的合法、正當(dāng)、必要原則”。同時(shí)，能否基于第44條“任何個(gè)人和組織不得竊取或者以其他非法方式獲取個(gè)人信息，不得非法出售或者非法向他人提供個(gè)人信息”，將“網(wǎng)絡(luò)服務(wù)提供者”的義務(wù)一體適用至政府機(jī)關(guān)？目前尚未明確。顯然，這是一個(gè)法律漏洞，亟待通過《個(gè)人信息保護(hù)法》填補(bǔ)。

另一方面，“General”還表明GDPR作為一般法的定位。在萬物皆數(shù)的大數(shù)據(jù)時(shí)代，數(shù)據(jù)已經(jīng)成為企業(yè)運(yùn)營(yíng)的要素、市場(chǎng)競(jìng)爭(zhēng)的關(guān)鍵、用戶關(guān)切的核心、政府監(jiān)管的依托、國(guó)際博弈的抓手。正是由于個(gè)人數(shù)據(jù)在經(jīng)濟(jì)、政治和生活中的基礎(chǔ)地位，我國(guó)的《個(gè)人信息保護(hù)法》應(yīng)借鑒GDPR，定位于個(gè)人信息保護(hù)的一般法。在此基礎(chǔ)上，允許針對(duì)不同主體、不同事項(xiàng)制定因地制宜的特別法，以滿足多元多層次的社會(huì)需求。以主體特別法為例，GDPR就從事預(yù)防、調(diào)查、偵查、起訴刑事犯罪或執(zhí)行刑罰為目的的司法機(jī)關(guān)，明確適用刑事訴訟法等特別法。以事項(xiàng)特別法為例，美國(guó)在實(shí)用主義思路的指導(dǎo)下，樹立了基于細(xì)分領(lǐng)域的立法模式。通過《公平信用報(bào)告法》《財(cái)務(wù)隱私法》《有線通信信息法》《健康保險(xiǎn)攜帶和責(zé)任法》等法律，美國(guó)在金融、醫(yī)療、通信等不同領(lǐng)域制定行業(yè)個(gè)人數(shù)據(jù)保護(hù)法，輔以包括網(wǎng)絡(luò)隱私認(rèn)證、建議性行業(yè)指引等行業(yè)自律機(jī)制，形成了“部門立法+行業(yè)自律”的松散體制。

如前所述，GDPR與新興行業(yè)的抵牾恰恰說明，我們務(wù)必摒棄“一刀切”的個(gè)人信息保護(hù)思維，而應(yīng)在認(rèn)真評(píng)估個(gè)人數(shù)據(jù)風(fēng)險(xiǎn)以及規(guī)制成本收益的基礎(chǔ)上，制定AI、區(qū)塊鏈、云計(jì)算、網(wǎng)絡(luò)信貸等不同產(chǎn)業(yè)的特別規(guī)范，從而在數(shù)據(jù)保護(hù)與數(shù)據(jù)利用之間達(dá)至動(dòng)態(tài)平衡。

（二）靈活解釋個(gè)人信息保護(hù)中的“知情同意”

作為GDPR的基石，由信息自決權(quán)衍生出的“知情同意”原則，優(yōu)先于其他所有合法數(shù)據(jù)處理事由。根據(jù)GDPR第4.11條，“同意”必須是“通過明確的主動(dòng)式行為而給出的個(gè)人意愿的指示，指示應(yīng)當(dāng)具體、明確、在知情情況下作出”，這意味著GDPR下的“同意”限于“明示同意”。第29條工作組進(jìn)一步指出：如果數(shù)據(jù)處理存在多項(xiàng)目的，那么每一個(gè)收集行為均應(yīng)單獨(dú)取得同意，反過來說，多項(xiàng)同意不得在接受服務(wù)之初捆綁在一起。正是基于上述規(guī)則，谷歌被重罰。

法國(guó)國(guó)家信息與自由委員會(huì)認(rèn)為，谷歌沒有完全讓用戶“知情”，它向用戶提供的信息是“碎片化”的，過于分散在不同的文件中：在創(chuàng)建賬戶時(shí)會(huì)打開《隱私權(quán)政策與服務(wù)條款》，隨后是通過點(diǎn)擊文件中的鏈接打開《隱私權(quán)政策》和《服務(wù)條款》，而在這兩份文件中又有為獲得補(bǔ)充信息必須點(diǎn)擊激活的按鍵和鏈接。這種“擠牙膏”式的信息設(shè)置，使得用戶必須多次點(diǎn)擊后才能獲得必要信息。國(guó)家信息與自由委員會(huì)進(jìn)一步指出：面對(duì)要么接受所有收集行為，要么全部拒絕的困境，用戶往往缺乏真正的選擇，從而欠缺了GDPR所必需的“自由意志”。然而，谷歌恰恰違背了這一點(diǎn)。此前默認(rèn)情況下預(yù)先勾選了同意框，類似于“選擇退出”而不是“選擇加入”，這帶來了“勾選疲勞”的危險(xiǎn)。事實(shí)上，國(guó)家信息與自由委員會(huì)上述觀點(diǎn)早已與之。2018年10月，其在針對(duì)法國(guó)線上廣告商Vectaury作出限期整改決定時(shí)，就警告說：企業(yè)不能通過將多個(gè)用途捆綁在單個(gè)“我同意”按鈕上，來獲得對(duì)處理個(gè)人數(shù)據(jù)的同意。

無獨(dú)有偶，在2019年初《關(guān)于開展App違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理的公告》中，中央網(wǎng)信辦、工業(yè)和信息化部、公安部、市場(chǎng)監(jiān)管總局重申對(duì)App強(qiáng)制授權(quán)、過度索權(quán)、超范圍收集個(gè)人信息的治理，要求收集個(gè)人信息時(shí)應(yīng)以通俗易懂、簡(jiǎn)單明了的方式展示個(gè)人信息收集使用規(guī)則，并經(jīng)個(gè)人信息主體自主選擇同意；不以默認(rèn)、捆綁、停止安裝使用等手段變相強(qiáng)迫用戶授權(quán)。顯然，與法國(guó)相似，個(gè)人信息收集的透明度和一攬子捆綁同意亦是我國(guó)監(jiān)管者關(guān)注的重點(diǎn)。

發(fā)現(xiàn)問題不難，難的是如何解決問題。在“知情同意”的架構(gòu)下，最徹底的根治手段莫過于在用戶首次登錄之時(shí)，巨細(xì)靡遺地列出所提供的不同服務(wù)、不同產(chǎn)品、不同業(yè)務(wù)功能及其相關(guān)的個(gè)人信息類型，并就各服務(wù)、產(chǎn)品、業(yè)務(wù)的信息處理規(guī)則（包括但不限于處理目的、方式、頻率、存放地域、存儲(chǔ)期限、對(duì)外共享、轉(zhuǎn)讓、披露的情形）一一告知用戶，同時(shí)，針對(duì)每一項(xiàng)服務(wù)、產(chǎn)品、業(yè)務(wù)，向用戶提供填寫、點(diǎn)擊或勾選的途徑，以便于用戶主動(dòng)進(jìn)入或退出。然而，這樣的解決方案一方面必然增加企業(yè)重新設(shè)計(jì)軟件和用戶界面的成本；另一方面，也必然大幅降低用戶的使用體驗(yàn)。在以打造生態(tài)為目標(biāo)的互聯(lián)網(wǎng)上，紛繁復(fù)雜的產(chǎn)品、服務(wù)、功能往往關(guān)聯(lián)到同一個(gè)賬戶。面對(duì)數(shù)以百計(jì)的勾選窗口，估計(jì)任何一個(gè)正常的用戶，都會(huì)選擇直接關(guān)閉頁(yè)面。正是考慮到這一點(diǎn)，谷歌才通過一攬子的方式取得授權(quán)，而只有用戶點(diǎn)擊“更多選項(xiàng)”后，才能單獨(dú)地選擇同意接受數(shù)據(jù)處理的子項(xiàng)。除了給企業(yè)和用戶帶來不便，這樣的全面披露甚至是“反人性的”。芝加哥大學(xué)教授歐姆瑞·本·沙哈爾在《過猶不及：強(qiáng)制披露的失敗》中充分揭示了信息披露的悖論。在監(jiān)管者看來，用戶會(huì)感激涕零地利用披露信息進(jìn)行審慎的決定，事實(shí)上，絕大多數(shù)人都是“決策厭惡”（decision averse）的：沒有人愿意去做陌生而復(fù)雜的決策，他們總是希望利用更少的信息、花更少心思去做選擇。所以，全面披露往往過猶不及。那么，有沒有更好的方案？

一方面，可以放松“知情”的要求，經(jīng)由合理設(shè)計(jì)的“明智披露”（smart disclosure），將數(shù)據(jù)控制者的“全面披露”義務(wù)，轉(zhuǎn)換為“概括披露”義務(wù)。簡(jiǎn)言之，允許它們將用戶首要使用目的和最主要需求的基本業(yè)務(wù)信息（包括所處理的個(gè)人信息類型及其規(guī)則），打包提供給用戶。同時(shí)，這些信息應(yīng)當(dāng)是標(biāo)準(zhǔn)化和簡(jiǎn)明的。而針對(duì)上述“基本業(yè)務(wù)”以外的“擴(kuò)展業(yè)務(wù)”，則應(yīng)通過交互界面或設(shè)計(jì)向用戶逐一告知并由其逐一選擇同意與否。顯然，基本功能的概括披露和擴(kuò)展功能的詳細(xì)披露，減少了信息數(shù)量，大幅降低了企業(yè)和用戶的負(fù)擔(dān)。

另一方面，可以放寬“同意”的解釋，將“默示同意”納入其中。盡管GDPR對(duì)“同意”做出嚴(yán)格限定，但GDPR第6條另外規(guī)定了“為履行合同所必要”“為履行數(shù)據(jù)控制者法定義務(wù)所必要”“為保護(hù)數(shù)據(jù)主體或其他自然人重大利益所必要”“為實(shí)施數(shù)據(jù)控制者職權(quán)之必要”“為履行涉及公共利益的職責(zé)所必要”“為追求合法利益目的所必要”等數(shù)據(jù)處理的正當(dāng)性基礎(chǔ)，以緩解“明示同意”的僵化。反觀我國(guó)，在《網(wǎng)絡(luò)安全法》下，用戶同意幾乎成為個(gè)人數(shù)據(jù)處理的唯一前提。若仿效GDPR對(duì)“同意”的界定，必然導(dǎo)致其承受不能承受之重。為此，不妨合我國(guó)《合同法》第22條，對(duì)“同意”作出更靈活、更豐富的解釋，使之涵蓋用戶通過特定行為作出的“默示同意”。當(dāng)然，這里的“行為”首先是有目的和有意義的積極行為，比如發(fā)送、點(diǎn)擊、登錄等，純粹的不作為不構(gòu)成同意。其次，蘊(yùn)含于特定行為內(nèi)的“內(nèi)在意思”應(yīng)結(jié)合交易習(xí)慣、服務(wù)類型、合同目的綜合判斷。為避免“默示同意”超出用戶真實(shí)意思，其應(yīng)限于前述“基本業(yè)務(wù)”，以反映社會(huì)一般公眾的認(rèn)知。

最后需要指出，“基本業(yè)務(wù)”和“擴(kuò)展業(yè)務(wù)”是不斷發(fā)展和相互轉(zhuǎn)化的，本質(zhì)上是市場(chǎng)競(jìng)爭(zhēng)和當(dāng)事人共同決定的結(jié)果。我們既要防范數(shù)據(jù)控制者利用自身優(yōu)勢(shì)，隨意劃定基本業(yè)務(wù)的范圍，重蹈一攬子授權(quán)捆綁同意的覆轍，也要防范監(jiān)管機(jī)構(gòu)事前以自身標(biāo)準(zhǔn)，取代市場(chǎng)選擇。因此，無論是國(guó)家執(zhí)法機(jī)關(guān)，還是司法機(jī)關(guān)，均應(yīng)采取事后的、個(gè)案式、權(quán)衡性的規(guī)制手段，從企業(yè)的市場(chǎng)推廣、商務(wù)定位、產(chǎn)品名稱以及一般用戶的理解與期待出發(fā)，加以綜合判斷。

（三）重新錨定個(gè)人信息保護(hù)的制度基點(diǎn)

GDPR正確認(rèn)識(shí)到“信任”對(duì)于數(shù)字經(jīng)濟(jì)的重要意義，但它卻試圖通過賦予個(gè)人數(shù)據(jù)的高度控制權(quán)來促進(jìn)它，但結(jié)果卻事倍功半，甚至是南轅北轍。其原因一言以蔽之，在個(gè)人信息上根本無法成立由個(gè)人支配和控制的絕對(duì)權(quán)利。正如德國(guó)學(xué)者多反思的，信息是人類行動(dòng)的產(chǎn)物和前提，是現(xiàn)實(shí)世界的精神模式，在法律上制造個(gè)人信息的稀缺性，無疑于禁錮思想，阻嚇交流，如果在個(gè)人信息上承認(rèn)一種近似于所有權(quán)的支配權(quán)，其結(jié)果只能是對(duì)他人行為的支配，而不僅僅是對(duì)自己個(gè)人信息的支配。其次，在信息爆炸的數(shù)字時(shí)代，個(gè)人在事實(shí)上也不可能完全控制自己的信息。在生活中，由于缺乏資源、學(xué)習(xí)時(shí)間有限和專業(yè)知識(shí)的缺乏等因素，個(gè)人常常會(huì)以無知的狀態(tài)作出決定。所以，與其說我們主張對(duì)個(gè)人信息處理?yè)碛凶罱K決定權(quán)，不如說追求發(fā)言權(quán)。最后，個(gè)人信息彌散在人類所有社會(huì)交往和日常交易空間，法律要根據(jù)不同的生活場(chǎng)景和商業(yè)領(lǐng)域，隨物附形地予以調(diào)整。個(gè)人信息絕對(duì)化的權(quán)利定位，喪失了應(yīng)有的靈活性，使得后續(xù)的權(quán)利限制和克減困難重重。

信任至關(guān)重要，但信任始終是雙方的事業(yè)。GDPR試圖通過“用戶賦權(quán)—企業(yè)擔(dān)責(zé)”的單向路徑實(shí)現(xiàn)信任，忽略了在激烈市場(chǎng)競(jìng)爭(zhēng)下用戶和企業(yè)共贏的可能性。正如管理學(xué)大師德魯克所言：“關(guān)于企業(yè)的目的，唯一正確而有效的定義就是創(chuàng)造客戶?！鲍@得客戶的信任同樣是企業(yè)念茲在茲的目標(biāo)。因此，如何從正面激勵(lì)企業(yè)尊重用戶對(duì)個(gè)人信息的權(quán)益，將“零和博弈”轉(zhuǎn)向“正和博弈”，才是《個(gè)人信息保護(hù)法》的出發(fā)點(diǎn)。

這一思路轉(zhuǎn)換的重點(diǎn)在于同時(shí)承認(rèn)用戶和企業(yè)的利益，但企業(yè)必須將其利益的實(shí)現(xiàn)建立在用戶利益實(shí)現(xiàn)的基礎(chǔ)之上，這意味著企業(yè)應(yīng)當(dāng)成為用戶的“受托人”（fiduciary），一個(gè)為用戶利益行事，對(duì)用戶負(fù)有信賴、忠實(shí)、善意以及誠(chéng)實(shí)義務(wù)的人。作為一個(gè)高度靈活性的概念，信義規(guī)則（fiduciary rule）不但內(nèi)在于羅馬法以降的大陸法之中，而且被陸續(xù)運(yùn)用到18世紀(jì)的英美代理法、合伙法和19世紀(jì)末的公司法中。20世紀(jì)以來，從“醫(yī)生與病人”、“藥劑師與顧客”到“銀行與存款人”，再到“特許人與被特許人”、“許可（license）的授予者與受領(lǐng)者”，其范圍不斷拓展。在信息時(shí)代，包括書店、搜索引擎、電子郵件提供商、云存儲(chǔ)服務(wù)、物理和流媒體提供商，以及在處理我們數(shù)據(jù)時(shí)的網(wǎng)站和社交網(wǎng)絡(luò)，都可以成為“信息受托人”（information fiduciary）。這一觀念絕非理論想象。從英國(guó)政府“數(shù)據(jù)信托”（data trust）的提出，到美國(guó)統(tǒng)一州法委員會(huì)《受托人訪問數(shù)字資產(chǎn)統(tǒng)一法案（2015年修正）》（Revised Uniform Fiduciary Access to Digital Assets Act），相關(guān)制度實(shí)踐已經(jīng)浮現(xiàn)。

個(gè)人信息的信義規(guī)則不但能塑造個(gè)人與企業(yè)的信任，更深刻改變了他們的權(quán)利、義務(wù)和期待。作為受托人，企業(yè)對(duì)個(gè)人信息擁有開放性權(quán)力，由此從GDPR嚴(yán)格規(guī)范、“動(dòng)輒得咎”的境地中解脫出來，得以在不侵害用戶利益的前提下，最大化個(gè)人信息的價(jià)值。當(dāng)然，這絕不意味著企業(yè)可以恣意妄為，通過事后責(zé)任追究而非事前行為禁止的機(jī)制，監(jiān)督其勤勉、忠實(shí)地對(duì)待用戶。作為委托人，用戶固然失去了部分的信息控制權(quán)，但仍保留了查詢、審查和撤銷授權(quán)的權(quán)利。借用英國(guó)哲學(xué)家密爾的名言，“用戶的確是信息的主人，但他需要一個(gè)好的仆人。”而受托人就是這樣的仆人。只有在企業(yè)付出人力、物力、財(cái)力，努力記錄、存儲(chǔ)、分析、匯聚個(gè)人信息之后，個(gè)人信息才真正變?yōu)橛脩艨筛锌捎玫馁Y產(chǎn)。就此而言，用戶經(jīng)歷了從權(quán)利到福利的提升與轉(zhuǎn)變。

結(jié)語

從經(jīng)合組織1980年《關(guān)于隱私保護(hù)與個(gè)人數(shù)據(jù)跨境流通指引》（the Guidelines on the Protection of Privacy and Transborder Flow of Personal Data）到GDPR，個(gè)人信息保護(hù)制度已經(jīng)走過三代。毋庸諱言，GDPR凝聚了歐盟智識(shí)、彰顯出歐洲價(jià)值，其在歐盟以外的影響力亦與日俱增。但任何一部法律都是“地方性”的，總有其自身的背景、歷史和關(guān)切。GDPR近一年的實(shí)踐進(jìn)一步證明：它在個(gè)人數(shù)據(jù)權(quán)利和數(shù)字經(jīng)濟(jì)發(fā)展的平衡方面并不成功。作為擁有網(wǎng)民最多、數(shù)字經(jīng)濟(jì)位居世界前列的國(guó)家，中國(guó)理應(yīng)成為全球個(gè)人信息保護(hù)制度的關(guān)鍵塑造者。為此，我國(guó)《個(gè)人信息保護(hù)法》當(dāng)以GDPR為鏡鑒，以超邁他國(guó)的勇氣，為數(shù)字時(shí)代貢獻(xiàn)偉大的中國(guó)智慧。（為便于讀者閱讀，已略去注釋。原文載于《電子知識(shí)產(chǎn)權(quán)》2019年第6期。本文源自微信公眾號(hào)“數(shù)字經(jīng)濟(jì)與社會(huì)”，