田廣蘭

人類的生活世界在計算機、互聯(lián)網、人工智能等新技術的合力驅動下進入了大數(shù)據(jù)時代。大數(shù)據(jù)給所有的個體和共同體帶來了新的福祉、自由和價值，釋放出前所未有的經濟價值與社會效應，人類的價值和權利列表上也增加了“數(shù)據(jù)主體權利”和“信息自由”等新的條目。但自“劍橋分析”事件之后，人們深刻地體驗到大數(shù)據(jù)技術已經對個體的隱私、自主性以及社會公正等權利和能力構成威脅。在如何保護數(shù)據(jù)主體權利問題上，歐盟走在世界的最前沿，2018年5月25日生效的《一般數(shù)據(jù)保護條例》(General Data Protection Regulation，以下簡稱GDPR)就是致力于保護數(shù)據(jù)主體權利和規(guī)制內部統(tǒng)一市場。本文以歐盟的GDPR為研究對象，闡釋大數(shù)據(jù)時代的數(shù)據(jù)主體應享有的數(shù)據(jù)權利，分析GDPR在數(shù)據(jù)權利主張中存在的一些未決問題，以期為中國的數(shù)據(jù)治理提供一定的學理基礎。

一、數(shù)據(jù)主體與數(shù)據(jù)主體權利

(一)什么是數(shù)據(jù)主體？

大數(shù)據(jù)技術賦予人類個體一個新的身份——數(shù)據(jù)主體。所謂數(shù)據(jù)就是以數(shù)字的方式對事物、現(xiàn)象或事件的記錄和描述，這些記錄和描述大多是關于對象的客觀、真實的反映，也可能存在一些偏差和錯誤。在互聯(lián)網、云計算、算法和人工智能等技術的支持下，世界萬物都快速實現(xiàn)了數(shù)據(jù)化，這些數(shù)據(jù)被收集、存儲、挖掘和分析，可以轉化為有價值的信息和資源，為個體或組織的決策與行動提供堅實可靠的依據(jù)。本文所討論的數(shù)據(jù)主體是指“一個可識別的自然人”，即“一個能夠被直接或間接識別的個體，特別是通過諸如姓名、身份編號、地址數(shù)據(jù)、網上標識或者自然人所特有的一項或多項的身體性、生理性、遺傳性、精神性、經濟性、文化性或社會性身份而識別的個體”(1)《一般數(shù)據(jù)保護條例》，參見http://wenku.baidu.com/view/cccdb 04615791711cc7931b765ce05087732 757e.html,2018-09-14。。每一個直接或間接與智能終端連接的自然人都是一個數(shù)據(jù)主體，數(shù)據(jù)記錄著他們的所言、所思和所行，記錄了他們的過去和現(xiàn)在，這些數(shù)據(jù)經過算法分析可以對數(shù)據(jù)主體進行分類并貼上相應的標簽，形成對數(shù)據(jù)主體的性格、偏好、能力等各種特質的認知判斷，為數(shù)據(jù)控制者的個性化、差異化數(shù)據(jù)服務提供依據(jù)。

數(shù)據(jù)主體既生活在實體的物理世界中，也生活在虛擬的數(shù)據(jù)世界中，物理世界中經歷的事件都可以轉化為數(shù)據(jù)，數(shù)據(jù)世界中的信息又可以轉化為物理世界中的決策和行動，數(shù)據(jù)主體在兩個世界中穿梭往返成為大數(shù)據(jù)時代的特有圖景。顯然，數(shù)據(jù)主體享有大數(shù)據(jù)帶來的便利、自由與福祉，生活的世界和視野突破了原先狹窄的時空范圍，擁有了更多、更快、更合理的選擇與機會。但是，與此同時，數(shù)據(jù)主體也感受到了隨之而來的風險和問題：(1)數(shù)據(jù)的永久記憶(儲存)替代遺忘成為常態(tài)；(2)數(shù)據(jù)的濫用將數(shù)據(jù)主體從目的性存在降格為資本增值的工具；(3)數(shù)據(jù)的泄露、盜取或其他不正當?shù)墨@取方式對數(shù)據(jù)主體的利益、隱私、自由、尊嚴等可能造成傷害；(4)大數(shù)據(jù)技術使得數(shù)據(jù)畫像成為可能，一個可能與實體自我相分離的數(shù)據(jù)自我成了個體隱私的最大威脅；(5)個性化算法中的偏見和歧視會造成某些數(shù)據(jù)主體遭遇不公正的對待。因此，在數(shù)據(jù)主體擁抱大數(shù)據(jù)、創(chuàng)造新價值的同時，如何保護數(shù)據(jù)主體的隱私、自主、尊嚴和平等等基本權利是大數(shù)據(jù)時代提出的新課題。

(二)數(shù)據(jù)主體權利

在世界范圍內，抵御和破解大數(shù)據(jù)風險的方式大致有三種：行業(yè)自律、法律規(guī)制和技術賦權(2)趙康：《數(shù)據(jù)泄露折射隱私保護問題》，載《中國社會科學報》，2018-11-08。，歐盟的GDPR是法律規(guī)制的典型代表。GDPR第一章第1條就明確規(guī)定了制定本條例的目的——保護自然人的基本權利與自由，特別是自然人享有的個人數(shù)據(jù)保護的權利，以及促進歐盟內部個人數(shù)據(jù)的自由流動。GDPR旨在訴諸數(shù)據(jù)主體權利來盡可能保護每一個數(shù)據(jù)主體的利益(如隱私、自決等)不受傷害。

GDPR所指稱的數(shù)據(jù)主體權利是大數(shù)據(jù)時代每一個直接或間接與互聯(lián)網連接的自然人為了保護自己的正當利益而對控制和處理其數(shù)據(jù)的機構或個人所主張的一種法律權利。這是人類權利清單上的新條目，主要是源自數(shù)據(jù)技術的發(fā)展對人的利益和權利的侵蝕與破壞，這種侵蝕和破壞可能會導致數(shù)據(jù)主體的身體和心靈的傷害、自主能力的弱化以及受到不公正的對待等。該權利的載體是歐盟范圍內所有的數(shù)據(jù)主體，該權利的應答者或責任者是所有為歐盟公民提供數(shù)據(jù)服務的機構和個人，包括數(shù)據(jù)的控制者、處理者、接受者和第三方。該權利主張的目的是保護數(shù)據(jù)主體的正當利益，保護的方式是剛性的法律保障，任何機構或個人若違反了GDPR的規(guī)定將面臨處罰。作為一種新的權利條目，GDPR框架內的數(shù)據(jù)主體權利有以下幾個方面的特征：

首先，數(shù)據(jù)主體權利是一種基本的人權。GDPR規(guī)定數(shù)據(jù)主體權利包含知情權、訪問權、更正權、被遺忘權、反對權、限制處理權和數(shù)據(jù)可攜帶權，這些細分的權利條目主要是針對大數(shù)據(jù)的可能風險而做出的相應規(guī)定。所有這些權利都指向尊重數(shù)據(jù)主體的自主性和隱私權，或者說數(shù)據(jù)主體享有的諸權利是自主性和隱私權的具體化。對數(shù)據(jù)主體的自主和隱私的尊重則意味著對其尊嚴的承諾。尊嚴是一項基本的人權，這就詮釋了GDPR第一條——“本條例保護自然人的基本權利與自由”——所宣稱的宗旨。歐盟委員會前副主席芮丁(Viviane Reding)指出：“個人數(shù)據(jù)保護對于歐洲人而言是一項基本權利，歐洲一直將‘隱私視為一種建立在基本人權之上的政治要求?！?3)轉引自丁曉東：《什么是數(shù)據(jù)權利?——從歐洲〈一般數(shù)據(jù)保護條例〉看數(shù)據(jù)隱私的保護》，載《華東政法大學學報》，2018(4)。

其次，數(shù)據(jù)主體權利是一種普遍性的權利。數(shù)據(jù)主體權利并非囿于特定群體或個人基于特定理由而享有的權利，而是在大數(shù)據(jù)技術背景下生成的一種具有普遍性的基本權利。首先，大數(shù)據(jù)技術使得絕大部分人類個體都程度不同地與數(shù)據(jù)世界直接或間接相連，都是一個數(shù)據(jù)源，他(她)所有的日常生活都可以轉換成數(shù)據(jù)，通過智能終端與大數(shù)據(jù)連接而匯入數(shù)據(jù)的海洋。其次，更重要的是，個體作為數(shù)據(jù)主體并不以特別的能力和資源為條件，個體的存在、言說、交往、行動、經歷的事件甚至情緒等所有日常的生活狀態(tài)都可以自動轉化為數(shù)據(jù)被記錄下來。這兩個因素使得數(shù)據(jù)主體權利成為一種普遍性的權利，與生命權、自由權和財產權具有一定的相似性。

再次，數(shù)據(jù)主體權利是一種非絕對性的權利。在GDPR的框架中，數(shù)據(jù)主體權利只是相對于數(shù)據(jù)控制者、處理者或者第三方的利益有相對的價值優(yōu)先性。在具體的情境中，該權利的行使會受到來自他人的自然權利、信息自由、歐盟和各成員國的法律、公共利益等因素的約束，這集中體現(xiàn)在有關被遺忘權和反對權的規(guī)定中。另外，在美國和日本等國家，政府將保護和促進大數(shù)據(jù)技術發(fā)展和信息的自由流動放在優(yōu)先的地位，數(shù)據(jù)主體的權利(如隱私權)的維護主要是依靠行業(yè)自律或事后的法律救濟。所以，數(shù)據(jù)主體權利是一種可協(xié)商的非絕對性權利。

最后，數(shù)據(jù)主體權利是一種可擴展性的權利?，F(xiàn)代技術最大的特征就是不確定性。當下的數(shù)據(jù)主體權利只是基于當下的大數(shù)據(jù)技術與自然人的相關性所設定，然而技術的本質及其自主性決定了大數(shù)據(jù)技術正指向一個無限的、不確定的未來，未來會發(fā)生什么，未來的大數(shù)據(jù)與自然人之間會發(fā)生什么關系，產生哪些新的風險，對于現(xiàn)時代的我們而言是一個未知的“X”。這就決定了GDPR的法律條款會在時間流中不斷擴展和變化，會隨著大數(shù)據(jù)技術環(huán)境的變遷與開發(fā)利用的需求，不斷產生新的個人對其數(shù)據(jù)的處置與分配權利。

歐盟用法律規(guī)制的方式保護數(shù)據(jù)主體權利為其他區(qū)域和國家制定相關的法律提供了范例，同時激發(fā)了人們深入思考大數(shù)據(jù)的內在矛盾與可能風險，也讓技術精英與科技公司明白了一個道理：“能夠不等于可以”，在大數(shù)據(jù)技術的開發(fā)應用中應該“有所為有所不為”。技術在服膺于自身的邏輯和資本的驅使之前，首先必須接受“倫理審計”，在利用數(shù)據(jù)獲利的同時必須要顧及數(shù)據(jù)主體的權利。

二、數(shù)據(jù)主體擁有哪些權利？

日常生活的可數(shù)據(jù)化、數(shù)據(jù)的可還原性創(chuàng)造了難以估量的經濟價值和商業(yè)機會，數(shù)據(jù)成為價值和意義之源。斷開與數(shù)據(jù)世界的連接，個體的生命似乎就失去了意義。但是，人類個體的這種新的存在方式意味著個體失去了控制自身數(shù)據(jù)的能力和可能，意味著個體生活在數(shù)據(jù)技術的“凝視”甚至操控之下，個體的隱私、自由甚至尊嚴等我們所珍視的價值處在危險之中，直接造成人的“被工具化”。GDPR就是歐盟為了平衡數(shù)據(jù)自由和數(shù)據(jù)主體權利之間的沖突而設計的法律條例。

(一)GDPR框架內的數(shù)據(jù)主體權利

GDPR的第三章第13至第22條詳細規(guī)定了數(shù)據(jù)主體所擁有的權利，即知情權、訪問權、更正和刪除權(被遺忘權)、限制處理權、反對權、數(shù)據(jù)可攜帶權。各項數(shù)據(jù)主體的權利所對應的條款如下表所示：

數(shù)據(jù)主體權利GDPR的條款知情權第12、13、14條訪問權第15條更正、刪除權(“被遺忘權”)第16、17、19條限制處理權第18、19條反對權第21、23條數(shù)據(jù)可攜帶權第20條

具體的規(guī)定如下：

(1)知情權。GDPR第12、13、14條規(guī)定了數(shù)據(jù)主體對于關涉自我的數(shù)據(jù)被收集、處理、存儲或轉移等相關操作的知情權。第12條要求數(shù)據(jù)控制者應該以一種簡潔、透明、易懂和容易獲取的形式，以清晰、平白的語言向數(shù)據(jù)主體提供他(她)需要知悉的所有信息。第13條規(guī)定數(shù)據(jù)主體在數(shù)據(jù)采集時必須被告知數(shù)據(jù)控制者的詳細身份信息和聯(lián)系方式、數(shù)據(jù)采集的目的、存儲期限、數(shù)據(jù)處理的法律基礎和可能后果以及數(shù)據(jù)主體的所有權利。第14條則要求控制者在收集數(shù)據(jù)前要告知數(shù)據(jù)主體第13條所規(guī)定的所有信息。GDPR首先確保數(shù)據(jù)主體能夠知曉和理解關涉自身的數(shù)據(jù)是被誰收集、用于何種目的、是否合法、可能的后果、存儲多久等信息，然后再決定自己的數(shù)據(jù)是否允許被收集以換取來自數(shù)據(jù)控制者提供的服務。可以說知情權最大限度地尊重了數(shù)據(jù)主體的自主意志，支持數(shù)據(jù)主體經由自主的權衡、判斷、選擇，然后根據(jù)自己的意愿自由地做出決定。

(2)訪問權。數(shù)據(jù)主體應當有權從控制者那里得知，關于其個人數(shù)據(jù)是否正在被處理，如果正在被處理的話，其應當有權訪問個人數(shù)據(jù)和獲知與他的數(shù)據(jù)處理相關的所有信息。若數(shù)據(jù)主體有要求，控制者必須給他(她)免費提供一個備份。

(3)更正權和刪除權。GDPR認為，當數(shù)據(jù)主體的個人數(shù)據(jù)不準確時，有權要求控制者糾正這些數(shù)據(jù)，數(shù)據(jù)控制者不得拖延?？紤]到處理的目的，數(shù)據(jù)主體還有權要求使其不完整的個人數(shù)據(jù)變得完整化。

刪除權也被稱為“被遺忘權”，數(shù)據(jù)主體有權要求數(shù)據(jù)控制者刪除他們的個人數(shù)據(jù)，停止數(shù)據(jù)的進一步傳播，并有權利要求控制者通知第三方機構停止處理數(shù)據(jù)，刪除其個人數(shù)據(jù)。GDPR規(guī)定了刪除權行使的六種情形，如數(shù)據(jù)的目的不再必要、數(shù)據(jù)主體撤回先前的同意或行使反對權、數(shù)據(jù)被非法處理、為了遵守歐盟或成員國的法律而需要刪除等。GDPR同時也規(guī)定了限制這一權利的五種情形：為了信息自由或言論自由；為了遵守歐盟或成員國的法律；為了公共利益或被委托行使公權力時；為了公共衛(wèi)生領域的公共利益；出于公共利益的存檔目的、科學或歷史研究目的或統(tǒng)計目的。若刪除數(shù)據(jù)會導致這些目的無法實現(xiàn)或阻礙它們的實現(xiàn)，刪除權就會被限制或取消。

(4)限制處理權。GDPR規(guī)定了數(shù)據(jù)主體有權要求控制者對數(shù)據(jù)處理進行限制的四種情形，即數(shù)據(jù)主體對數(shù)據(jù)的準確性有疑義、非法的處理但數(shù)據(jù)主體不要求刪除、目的不再需要但為了數(shù)據(jù)主體的合法權利、在確認控制者的數(shù)據(jù)處理行為是否有優(yōu)先于數(shù)據(jù)主體的正當理由前。當數(shù)據(jù)處理受到限制時，除存儲之外不能再進行其他的處理行為，除非數(shù)據(jù)主體同意，或為設立、行使或捍衛(wèi)合法權利，或為保護其他自然人或法人的權利，或為了維護聯(lián)盟或成員國規(guī)定的重要公共利益而被處理。當數(shù)據(jù)處理的限制被取消時，控制者應當通知數(shù)據(jù)主體。

(5)反對權。數(shù)據(jù)主體隨時有權反對關乎其自身數(shù)據(jù)的處理，包括根據(jù)這些條款而進行的“用戶畫像”(4)GDPR指稱的“用戶畫像”，是指為了評估自然人的某些條件而對個人數(shù)據(jù)進行的任何自動化處理，特別是為了評估自然人的工作表現(xiàn)、經濟狀況、健康、個人偏好、興趣、可靠性、行為方式、位置或行蹤而進行的處理。。當數(shù)據(jù)主體行使反對權時，控制者須立即停止針對這部分個人數(shù)據(jù)的處理行為，除非控制者證明，相比數(shù)據(jù)主體的利益、權利和自由，具有壓倒性的正當理由需要進行處理。

(6)數(shù)據(jù)可攜帶權。這是歐盟賦予數(shù)據(jù)主體的一項新的權利，指的是在特定情形下，數(shù)據(jù)主體有權獲得其提供給控制者的相關個人數(shù)據(jù)，且其獲得的個人數(shù)據(jù)應當是經過整理的、普遍使用的和機器可讀的，數(shù)據(jù)主體有權無障礙地將此類數(shù)據(jù)從一個控制者傳輸給另一個控制者，條件是這樣做不會傷害公共利益或對其他人的權利和自由產生負面影響。數(shù)據(jù)可攜帶權在一定程度上支持了兩種自由：數(shù)據(jù)主體的自由權利和數(shù)據(jù)的自由流動。

在數(shù)據(jù)價值和數(shù)據(jù)主體權利之間，GDPR傾向于后者，選擇了有條件地優(yōu)先保護數(shù)據(jù)主體的權利。從GDPR對數(shù)據(jù)權利的規(guī)定及其相關約束條款中可以看出：首先，歐盟用法律的形式明確了數(shù)據(jù)主體擁有自我數(shù)據(jù)的控制權和所有權，這是對數(shù)據(jù)主體的自主性和自決權的尊重，或者說是在大數(shù)據(jù)時代將被技術褫奪的權利歸還給數(shù)據(jù)主體。其次，盡可能尊重數(shù)據(jù)主體的隱私。大數(shù)據(jù)對數(shù)據(jù)主體的隱私構成威脅，但數(shù)據(jù)本身潛在地具有巨大的價值。在隱私和價值之間，GDPR選擇了用法律去盡可能地保護個體的隱私。其中被遺忘權、反對權、反對用戶畫像和禁止處理敏感數(shù)據(jù)等規(guī)定都是保護個體隱私的條款，這些條款是大數(shù)據(jù)時代個體隱私的外殼，可以相對有效地阻抑個體的數(shù)據(jù)在互聯(lián)網上被任意傳播和任性挖掘，賦予個體一定的權利去阻止自己被異化為資本逐利的工具和他者圍觀的對象。再次，堅持公共利益優(yōu)先。在GDPR所列舉的可以超越數(shù)據(jù)主體權利的限制條件中，公共利益是一個重要的考量因素。公共利益可以在設置了恰當保護措施的前提下對數(shù)據(jù)主體的刪除權、反對權、可攜帶權、限制處理權等進行克減和限制。GDPR第89條明確規(guī)定：“對于為了實現(xiàn)公共利益、科學或歷史研究或統(tǒng)計目的處理，成員國的法律可以按照本條第1段所規(guī)定的情形與防護措施(匿名化——作者注)對第15、16、18、21條所規(guī)定的權利進行克減——如果此類權利可能徹底阻礙或嚴重阻礙實現(xiàn)上述目的，而此類克減對于實現(xiàn)上述目的是必要的?！?5)《一般數(shù)據(jù)保護條例》，參見http://wenku.baidu.com/view/cccdb 04615791711cc7931b765ce05087732 757e.html,2018-09-14。可見，GDPR主張合理的公共利益是數(shù)據(jù)主體權利的邊界。

(二)GDPR之外的其他主張

GDPR對歐盟的公民和為歐盟公民提供數(shù)據(jù)服務的公司具有有效性和約束力，但大數(shù)據(jù)的風險是一個世界性的問題，其他國家和地區(qū)對于這一問題也有較為清晰的認知和系統(tǒng)的研究，并試著應用技術、法律和行業(yè)自律等方法來保護數(shù)據(jù)主體的權利。然而，在數(shù)據(jù)價值和數(shù)據(jù)風險的關系問題上，以美國、日本、中國為代表的其他國家在價值立場上與歐盟存在一定的差異。

作為世界上大數(shù)據(jù)技術最先進的美國，2014年5月，總統(tǒng)執(zhí)行辦公室發(fā)布了2014年全球大數(shù)據(jù)白皮書——《大數(shù)據(jù)：把握機遇，守護價值》(Big Data：Seizing Opportunities,Preserving Values，以下簡稱《白皮書》)，這份報告是美國官方對大數(shù)據(jù)價值與大數(shù)據(jù)風險之間關系價值取向的一個全景呈現(xiàn)。美國作為掌握引領大數(shù)據(jù)技術的發(fā)達國家，深諳大數(shù)據(jù)的價值，同時也敏銳地意識到大數(shù)據(jù)對公民的隱私、自決和公正等基本價值構成威脅。一方面，《白皮書》指出：“大數(shù)據(jù)技術能夠將大量的數(shù)據(jù)集以從前不可能的方式分析出有價值的東西?！?6)Big Data: Seizing Opportunities,Preserving Values，https://wenku.baidu.com/view/28e5cd60453610661fd9f413.html,2020-10-20.“若使用得當，大數(shù)據(jù)分析能夠提高經濟生產率，改善客戶與政府服務體驗、挫敗恐怖分子并且拯救生命。”(7)Big Data: Seizing Opportunities,Preserving Values，https://wenku.baidu.com/view/28e5cd60453610661fd9f413.html,2020-10-20.另一方面，《白皮書》也詳細分析了大數(shù)據(jù)可能帶來的問題：“從技術角度講，這(采集盡可能多的數(shù)據(jù)——作者注)促使數(shù)據(jù)具有功能性上的永恒性和普及性，使我們留下的數(shù)字痕跡被采集、分析、組合，揭示出關乎我們自身與生活的數(shù)量驚人的事物。這些發(fā)展挑戰(zhàn)了人們長期以來的隱私觀念?！?8)Big Data: Seizing Opportunities,Preserving Values，https://wenku.baidu.com/view/28e5cd60453610661fd9f413.html,2020-10-20.不僅如此，“大數(shù)據(jù)技術能夠從意識形態(tài)或文化上把人隔離開來，就像泡沫過濾器一樣，有效地防止他們接觸到一些對他們的偏見與假設構成挑戰(zhàn)的信息”(9)Big Data:Seizing Opportunities,Preserving Values，https://wenku.baidu.com/view/28e5cd60453610661fd9f413.html,2020-10-20.。同時指出，即使在并非有意歧視的情況下，大數(shù)據(jù)的使用仍然可能導致有失公正的結果。在數(shù)據(jù)的價值與風險之間，美國政府更為看重大數(shù)據(jù)為經濟社會發(fā)展所帶來的創(chuàng)新動力，對于可能與隱私權或其他權利產生的沖突，則以解決問題的態(tài)度來處理。法律上訴諸《憲法第四修正案》《隱私法》《消費者隱私權法案》《公平信息實務法則》(10)《公平信息實務法則》規(guī)定個人有權知道他人收集了哪些關于他的信息以及這些信息是如何被使用的。進一步說，個人有權拒絕某些信息使用并更正不準確的信息，信息收集者有義務保證信息的可靠性并保護信息安全。，技術上訴諸個人身份信息的“模糊化”(de-identity)、“請勿追蹤”的隱私設置以及行業(yè)認證等對侵權行為進行預防和處理。但是，《白皮書》明確指出，“無論大數(shù)據(jù)所帶來的問題是多么嚴重與重要，政府依然會支持相關電子經濟的發(fā)展并提供免費的數(shù)據(jù)流來激發(fā)大數(shù)據(jù)的創(chuàng)造力”(11)Big Data:Seizing Opportunities,Preserving Values，https://wenku.baidu.com/view/28e5cd60453610661fd9f413.html,2020-10-20.，即旨在尋求“如何將風險最小化的同時，實現(xiàn)數(shù)據(jù)價值的最大化”(12)Big Data:Seizing Opportunities,Preserving Values，https://wenku.baidu.com/view/28e5cd60453610661fd9f413.html,2020-10-20.。總之，和歐盟不同，美國在數(shù)據(jù)價值和數(shù)據(jù)權利之間更偏向于前者。

日本和中國都選擇了主要應用法律規(guī)制來保護數(shù)據(jù)主體權益的方式。日本于2005年4月正式施行了《個人信息保護法》，隨著信息社會的高速發(fā)展，2015年進行了修訂，2017年5月30日，《個人信息保護法》的修訂稿全面實施。該法律一方面要規(guī)范個人數(shù)據(jù)的適當處理和有效利用，促進新興數(shù)據(jù)產業(yè)的發(fā)展，另一方面盡可能充分保護個人的合法權益，致力于實現(xiàn)數(shù)據(jù)的自由流動和數(shù)據(jù)主體的合法權益之間的平衡。和歐盟的GDPR不同的是，日本雖嚴格界定了個人數(shù)據(jù)保護的主體、范圍、責任、規(guī)則等，但并未賦予數(shù)據(jù)主體排他性的數(shù)據(jù)權利，而是側重于國家、地方公共團體和個人信息處理業(yè)者對個人信息的保護義務。

我國關于保護數(shù)據(jù)主體權益的《個人信息保護法(草案)》(以下簡稱《草案》)也已起草完成，第十三屆全國人大常委會第二十二次會議對《草案》進行了審議，于2020年10月21日進入了公開征求意見階段?！恫莅浮芬员Ｗo個人信息、維護網絡空間良好生態(tài)和促進數(shù)字經濟健康發(fā)展為目的，在個人信息保護方面，采納了GDPR為數(shù)據(jù)主體“賦權”的方式。《草案》第四章明確規(guī)定除法律、行政法規(guī)另有規(guī)定外，個人對其個人信息的處理享有知情權、決定權，有權限制或者拒絕他人對其個人信息進行處理(第44條)，另外個體還享有對個人信息的查閱、復制的權利(第45條)、更正、補充的權利(第46條)、刪除和限制處理的權利(第47條)。但是，對違法行為的處罰并沒有GDPR那么嚴厲?！恫莅浮泛罄m(xù)的完善、頒布和實施將切實規(guī)范我國個人信息的處理和利用，數(shù)據(jù)主體的利益、隱私、自主性和尊嚴將獲得明確的法律保護和支持。

和其他國家的相關法律法規(guī)相比，GDPR被稱為“史上最嚴的數(shù)據(jù)保護條例”，對大數(shù)據(jù)技術的研究和應用給定了明確的法律邊界和價值立場。該條例生效后，世界各國為歐盟各成員國提供數(shù)據(jù)服務的科技公司積極調整他們的數(shù)據(jù)政策，英、法等國等對各科技公司開出的巨額罰單，都證明了GDPR的可操作性和歐盟保護數(shù)據(jù)主體權利的決心。即便如此，也不意味著GDPR成功化解了大數(shù)據(jù)的風險，仍然存在不少未決問題等待人們去進一步思考和研究。

三、數(shù)據(jù)主體權利的未決問題

GDPR在推進數(shù)據(jù)主體權利保護的立法方面卓有成效，它的高額罰款設定促使所有為歐盟各國公民提供數(shù)據(jù)服務的公司或者關閉服務，或者轉變數(shù)據(jù)收集和處理的方式。然而，這種運用法律規(guī)制大數(shù)據(jù)技術的方法在很多技術精英看來很可能是無效的舉措，或者即使有效也是微乎其微，因為笨拙和滯后的法律條文根本無法跟上并前瞻性地規(guī)制快如閃電的技術迭代。大數(shù)據(jù)專家維克托·邁爾-舍恩伯格認為，為保障個人的信息安全而建立的龐大的規(guī)則體系都是無用的馬其諾防線而已。(13)維克托·邁爾·舍恩伯格：《大數(shù)據(jù)時代》，21頁，杭州，浙江人民出版社，2013?！吨悄軙r代》的作者吳軍說：“既然我們不能指望我們的隱私靠一些公司的善意來保護，那么是否有希望通過立法的手段來解決保護隱私的問題，答案基本上是否定的?！?14)吳軍：《 智能時代》，334頁，北京，中信出版集團，2016。尤瓦爾·赫拉利也認為：“等到笨重的政府終于下定決心進行網絡監(jiān)管，互聯(lián)網早已又演進了10次。政府這只烏龜，永遠追不上科技這只野兔，就這樣被數(shù)據(jù)壓得無法動彈?！?15)尤瓦爾·赫拉利：《未來簡史》，339、346-347頁，北京，中信出版集團，2017。也許這些表述有些過分低估了政府和法律的效用，但明確傳遞出的信號就是通過法律規(guī)制來保護大數(shù)據(jù)時代的數(shù)據(jù)主體的權利可能是不充分的，對GDPR的未決問題的探究將會有益于法律的完善和權利的保護。

(一)數(shù)據(jù)權利還是信息自由？

GDPR第17條關于數(shù)據(jù)主體的刪除權(被遺忘權)規(guī)定，數(shù)據(jù)主體有要求控制者刪除關于其個人數(shù)據(jù)的權利。如果控制者已經公開個人數(shù)據(jù)，他應該告知其他正在處理個人數(shù)據(jù)的控制者們，數(shù)據(jù)主體已經要求他們擦除那些和個人數(shù)據(jù)相關的鏈接、備份或復制。被遺忘權是GDPR新增的數(shù)據(jù)權利，體現(xiàn)了對數(shù)據(jù)主體的自主性和隱私的充分尊重。但是，被遺忘權并非絕對權利，有些特定情形能夠限制該權利的行使，第17條第3款(a)——“為了行使表達自由和信息自由的權利”就是一個重要的限制因素。在歐洲，個體隱私和信息自由是兩項同等重要的權利，在具體的訴訟案件中，它們可以視具體情形互相反對，而并非簡單地后者壓倒前者。因此，GDPR的第一個未決問題就是如何處理數(shù)據(jù)權利和信息自由的關系。

《歐洲聯(lián)盟基本權利憲章》第11條詮釋了表達與信息自由，主張人人享有自由表達的權利。此項權利包括持有意見的自由、接受和傳播信息與思想的自由，而不受公共權力機構和地域的限制。信息自由是公民自由權的一個重要組成部分，歐盟規(guī)定該權利包括表達的自由、接受信息的自由和傳播信息的自由，只有當該權利的行使可能會危害到公共的安全、利益、健康、道德、司法公正或者他人的名譽與權利時才會受到限制。信息自由和數(shù)據(jù)主體的權利(特別是被遺忘權)之間的沖突在大數(shù)據(jù)的技術背景下開始突顯出來。一方面，如果沒有信息自由，大數(shù)據(jù)技術、人工智能等現(xiàn)代技術根本不可能發(fā)展起來，公民的自由權利也會受到傷害。甚至在數(shù)據(jù)主義者看來，“信息自由就是最高的善”，“一切的善(包括經濟增長)都來自信息自由……如果想要創(chuàng)造一個更美好的世界，關鍵就是要釋放數(shù)據(jù)，給它們自由”(16)尤瓦爾·赫拉利：《未來簡史》，339、346-347頁，北京，中信出版集團，2017。。另一方面，如果不尊重和保護數(shù)據(jù)主體的被遺忘權，信息的濫用則可能會對數(shù)據(jù)主體的名譽、身體、心靈和生活構成持久的傷害，甚至會左右社會的政治、經濟和輿論的方向。

GDPR對數(shù)據(jù)權利和信息自由之間的緊張關系的處理原則較為簡單，只是表明信息自由是數(shù)據(jù)主體權利的一個制約因素，對于當二者發(fā)生沖突時究竟應該如何抉擇，并沒有給出可操作性的意見。實際上，歐洲法院在審理這類相關案件時，遵循的是具體案例具體分析(case-by-case)的原則。該原則在2012年的德國斯普林格(Springer)案(17)在漢堡高院2006年審理的(Sachen Springer Verlag)案件中，某位在電視劇中飾演警局局長的演員，在慕尼黑啤酒節(jié)上被拍到吸食和攜帶可卡因，媒體對其指名道姓地進行了圖文報道，稱其曾有攜帶麻醉品之違法行為的前科，并報道其受審情況，漢堡法院以涉及人格權侵權為由禁止該期報紙出版。此案最終提交到歐洲人權法院，后者于2012年2月7日對此案做出判決，判定該禁令不應適用，因為在該演員的拘捕和審判一事上存在公眾的信息利益，媒體獲取信息的方式與渠道完全合法。和2014年的岡薩雷斯訴西班牙Google案(18)2010年2月，西班牙公民岡薩雷斯(González)向西班牙數(shù)據(jù)保護局(Spanish Data Protection Agency)提出對西班牙報紙發(fā)行商La Vanguardia以及谷歌公司及其西班牙分支機構(Google Spain SL)的申訴。申請人的房產因進入追繳社保欠費的扣押程序曾被公告要強制拍賣，該公告刊載于1998年1月和3月發(fā)行商發(fā)行的報紙上，且因此為谷歌搜索引擎所收錄。申請人認為上述扣押程序早在很多年前已被徹底解決，要求發(fā)行商刪除該處或修改有關頁面，使與他有關的個人資料不再出現(xiàn)，或者使用任何可能改變搜索結果的辦法以保護其隱私，并要求谷歌公司及谷歌西班牙刪除或屏蔽與之有關的個人信息，以便這些資料不再出現(xiàn)在搜索結果之中。2014年5月13日，歐洲法院做出裁決，確認數(shù)據(jù)主體享有被遺忘權，互聯(lián)網搜索服務提供商有義務刪除過時的、不相關的信息。中得到了體現(xiàn)。前者歐洲人權法院支持了新聞報道的信息自由權和公眾的知情權，后者歐洲法院則支持了岡薩雷斯的被遺忘權和隱私權。這兩個案子若想要在GDPR中尋找答案可能是徒勞的，但這一問題是大數(shù)據(jù)時代會頻繁遭遇的難題，也是GDPR在數(shù)據(jù)主體權利方面的第一個未決問題。

(二)永久性刪除抑或是技術性隔離？

數(shù)據(jù)技術徹底改變了人類記憶與遺忘的曲線。曾經遺忘是人性的缺陷，為了對抗遺忘，“人類不斷嘗試用本能、語言、繪畫、文本、媒體、介質來記住我們的知識。千百年以來，遺忘始終比記憶更簡單，成本也更低”(19)維克托·邁爾-舍恩伯格：《 刪除——大數(shù)據(jù)取舍之道》，23、9頁，杭州，浙江人民出版社，2013。。但是，大數(shù)據(jù)技術使得巨量數(shù)據(jù)的永久記憶成為可能，遺忘成了例外。人與智能終端共在的在線生活模式決定了幾乎所有的生活內容都可以用0和1的數(shù)字方式進行記錄與還原。“數(shù)字技術已經讓社會喪失了遺忘的能力，取而代之的則是完善的記憶?！?20)維克托·邁爾-舍恩伯格：《 刪除——大數(shù)據(jù)取舍之道》，23、9頁，杭州，浙江人民出版社，2013。然而，對于人而言，有些過去他希望永久被記憶，而有些過去則希望盡快被遺忘，這些希望盡快為他人和社會所遺忘的記憶是那些令他不愉快、痛苦、憤怒、尷尬、羞愧甚至屈辱的事件或任何可能會對當下和未來的生活造成困擾的事件。但是，數(shù)字技術無差別地記錄和存儲著你的信息，人們想記住的和想遺忘的信息都被完整記錄、永久保存和經常被處理。記憶的常態(tài)化和遺忘成為例外的數(shù)據(jù)時代徹底顛覆了記憶與遺忘的自然特征。沒有人能夠預測哪些數(shù)據(jù)可能會給未來生活投下陰影或成為障礙。在永久記憶成為可能的當下，遺忘從缺陷變成了美德。

GDPR第17條賦予數(shù)據(jù)主體的刪除權(被遺忘權)，就是為了保障個體的數(shù)據(jù)可以根據(jù)數(shù)據(jù)主體的愿望被保留或刪除，該權利將刪除數(shù)據(jù)的主動權賦予數(shù)據(jù)主體，數(shù)據(jù)主體可以根據(jù)自己的愿望要求數(shù)據(jù)控制者刪除自己想要刪除的關涉自身的數(shù)據(jù)，只要不違背GDPR第17條第3款的規(guī)定就可以。這一規(guī)定確實在一定程度上尊重了數(shù)據(jù)主體的自決權和自主性，保護了數(shù)據(jù)主體的權利。但是，數(shù)據(jù)的刪除意味著破壞了數(shù)據(jù)的完整性。隨著數(shù)據(jù)主體權利意識的覺醒，若出現(xiàn)大量刪除數(shù)據(jù)的要求則會導致數(shù)據(jù)的殘缺和不完整。大數(shù)據(jù)的特征是“全樣本”，殘缺的數(shù)據(jù)可能造成計算結果的偏差，依賴大數(shù)據(jù)進行決策的主體則可能做出錯誤的判斷與選擇，造成不可預測的行動后果。大數(shù)據(jù)時代人們的行動對算法和數(shù)據(jù)的依賴決定了數(shù)據(jù)的不完整有著不可預知的風險。

更重要的是，數(shù)據(jù)的價值并不僅僅限于特定的用途，它可以為了同一目的而被多次使用，也可以用于其他目的。舍恩伯格說：“數(shù)據(jù)就像一個神奇的鉆石礦，當它的首要價值被發(fā)掘后仍能不斷給予，它的真實價值就像漂浮在海洋中的冰山，第一眼只能看到冰山的一角，而絕大部分都隱藏在表面之下?！?21)維克托·邁爾-舍恩伯格：《 大數(shù)據(jù)時代》，127頁，杭州，浙江人民出版社，2013。如谷歌公司就曾在2008年利用檢索的詞條獲得了甲型H1NI流感爆發(fā)的非常有價值的數(shù)據(jù)信息。若大量的數(shù)據(jù)被刪除，數(shù)據(jù)的價值就會打折扣。GDPR第17條第1款(a)規(guī)定，若個人數(shù)據(jù)對于實現(xiàn)其被收集和處理的相關目的不再必要，控制者有責任及時刪除個人數(shù)據(jù)。這意味著GDPR只允許將被收集的個人數(shù)據(jù)用于特定目的，目的實現(xiàn)就必須刪除，這必然會阻礙數(shù)據(jù)其他潛在價值的實現(xiàn)。被收集的數(shù)據(jù)可以在哪些方面有價值，數(shù)據(jù)的相關性信息并不會向擁有者全部打開，而是一個逐步“敞現(xiàn)”的過程，數(shù)據(jù)的刪除則會阻抑其價值的“敞現(xiàn)”。

被遺忘權的實踐首先在具體操作上比較困難，其次也不符合大數(shù)據(jù)可再利用和價值多維的特征。美國、日本等國所主張的對數(shù)據(jù)進行“匿名化”“模糊化”的技術處理以限制數(shù)據(jù)的用戶識別是一個可以考慮的替代性策略。但是，《白皮書》告訴我們：“對數(shù)據(jù)進行加密、刪除獨特標識符、打亂數(shù)據(jù)使其無法識別個人，或者在其個人資料的控制上給予使用者更多的權限，是目前采用的幾種技術解決方案。但是，有目的的模糊化處理可能使數(shù)據(jù)喪失其實用性與確保其出處及相應責任的能力?！?22)Big Data: Seizing Opportunities,Preserving Values，https://wenku.baidu.com/view/28e5cd60453610661fd9f413.html,2020-10-20.實際上，數(shù)據(jù)整合技術仍然可以把經過模糊化處理的碎片化的鏈接復原，并重新確定相應的個人或設備信息。所以，模糊化或匿名化對于數(shù)據(jù)主體權利也只是一種有限的保護。采用技術性隔離以祛除數(shù)據(jù)的可獲得性，同時保持數(shù)據(jù)的完整性，也許是另一條可以考慮的路徑。一旦數(shù)據(jù)被技術性隔離，則無法在互聯(lián)網上被直接獲取，祛除了其公共性。當公共利益、科學研究或者法律要求等需要使用且使用具有正當性和必要性時，數(shù)據(jù)控制者或第三方可以通過申請、評估且經由數(shù)據(jù)主體同意后可重新利用，這樣，既可以保護數(shù)據(jù)主體的信息不被輕易地公開獲取，有效保護了數(shù)據(jù)主體的隱私權，又不會妨礙數(shù)據(jù)的完整性和重復利用。這是GDPR在數(shù)據(jù)主體權利方面第二個需要進一步考慮的未決問題。

(三)原生數(shù)據(jù)的保護與衍生數(shù)據(jù)的無為

GDPR所指稱的“個人數(shù)據(jù)”，是指“任何已識別或可識別的與自然人(數(shù)據(jù)主體)相關的信息”，這些信息包括姓名、身份、地址、網上標識或者自然人所特有的一項或多項的身體性、生理性、遺傳性、精神性、經濟性、文化性或社會性身份等。數(shù)據(jù)控制者和處理者可以利用這些數(shù)據(jù)根據(jù)特定目的進行運算和挖掘，然后輸出結果。我們將處理前的數(shù)據(jù)稱為原生數(shù)據(jù)，將運算和處理后的數(shù)據(jù)稱為衍生數(shù)據(jù)。GDPR所保護的顯然是原生數(shù)據(jù)，數(shù)據(jù)主體對原生數(shù)據(jù)和相關的處理擁有知情權、訪問權、反對權、限制處理權、刪除權等權利。但我們不能簡單地認為掌握了原生數(shù)據(jù)也就控制了衍生數(shù)據(jù)。雖然原生數(shù)據(jù)的保護確實會影響衍生數(shù)據(jù)的生成，但這種影響是有限的。GDPR第13條第2款(c)點規(guī)定：當處理是根據(jù)第6(1)條或第9(2)條的(a)點而進行的，數(shù)據(jù)主體擁有可以隨時撤回——這種撤回不會影響撤回之前根據(jù)同意而進行處理的合法性——同意的權利。(23)《一般數(shù)據(jù)保護條例》，參見http://wenku.baidu.com/view/cccdb04615791711cc7931b765ce05087732 757e.html,2018-09-14.這意味著GDPR并不干預撤回之前基于個體數(shù)據(jù)的處理而生成的衍生數(shù)據(jù)。即使數(shù)據(jù)主體刪除了原生數(shù)據(jù)，但衍生數(shù)據(jù)依然保留在數(shù)據(jù)系統(tǒng)中，前述的“再識別技術”可以進行數(shù)據(jù)還原而重新確定相應的數(shù)據(jù)主體，為其推送個性化的數(shù)據(jù)服務或為其他個體和組織所利用。GDPR在衍生數(shù)據(jù)方面并沒有做出具體的規(guī)定。

個體要獲得大數(shù)據(jù)服務的便利和好處，一般都需要以自身的數(shù)據(jù)去交換，個體自身的數(shù)據(jù)為數(shù)據(jù)的個性化服務提供了標簽或索引。智能算法會根據(jù)個體數(shù)據(jù)的特征和類別為其進行信息推送，這種類型化、個性化的信息推送(如廣告、新聞、音樂、視頻、文章等)會窄化和固化個體的信息接收，強化個體在某一個方面或某一個視角的認知?！叭绻^‘事實’就是滿足了‘恰當證據(jù)’的事務，而恰當證據(jù)的標準又是視角所創(chuàng)立的，那么‘沒有獨立于視角的真實世界’意味著‘事實’，在一定意義上是視角所制造的?！?24)劉擎：《共享視角的瓦解與后真相政治的困境》，載《探索與爭鳴》，2017(04)。信息的個性化服務實際上為數(shù)據(jù)主體創(chuàng)設了一個特定的個性化視角，雖然滿足了個體不為大量無用信息干擾的需求，但事實上限制了個體的信息完整性，形成了衍生信息的“繭房效應”。同類型的信息鋪滿個體的生命時間和生活空間，若個體沒有意識到這一點，則很難突破信息的包裹。但是，如果你主動轉換了所關注的信息主題，智能算法又即刻用同類相關信息重新包圍你。最終大數(shù)據(jù)時代的個體生活要么沉溺在一個信息繭房中，要么在不同的信息繭房中輾轉，永遠不能突圍。

可以看出，數(shù)據(jù)世界的開放性與個體信息獲取相對的封閉性之間并不矛盾。數(shù)據(jù)技術使得每一個體都被包裹在一個信息場中，這決定了個體可能將偏差性的觀點當成真理，最終的后果是人與人之間的疏離和孤立，從而撕裂和分離我們共同的生活世界。2016年的美國大選和英國退歐公投就是明證。GDPR雖然規(guī)定了數(shù)據(jù)處理的原則，但并未涉及衍生數(shù)據(jù)的治理，這些由原生數(shù)據(jù)派生的數(shù)據(jù)可能會對主體的自主性和自決權構成傷害。因此，GDPR對數(shù)據(jù)權利的保護是有限的，并不能充分抵御大數(shù)據(jù)對人的生活世界的重新建構和對人的道德權利的侵蝕。這是GDPR在數(shù)據(jù)主體權利方面面臨的第三個未決問題。

(四)算法歧視的陰影與公正權利的訴求

大數(shù)據(jù)的核心價值是預測功能，其具體的工作原理為：“首先使用歷史數(shù)據(jù)(或稱訓練集)歸納出某個類別(或稱之為特征，不管是用分類還是聚類的方法)，然后針對一個新來的對象，按照已知的數(shù)據(jù)特征，將其歸屬于‘最像’它的那個類中，如果這個類還有其他已知的特征，那么就預測這個對象也具有這種特征，這樣就完成了預測功能?！?25)張玉宏、秦志光、肖樂：《大數(shù)據(jù)算法的歧視本質》，載《自然辯證法研究》，2017(5)。大數(shù)據(jù)的本質是人類生活的鏡像，歸根到底是對人類過往的認知、判斷和價值立場的數(shù)字化呈現(xiàn)，并將之分析歸類，進而從原先離散的數(shù)據(jù)中抽離出共同的規(guī)律，應用于新對象的預測和判斷，以之作為對該對象采取進一步行動的依據(jù)?！胺彩沁^去，皆為序曲?！贝髷?shù)據(jù)會如實再現(xiàn)過去人類在相關問題上的價值立場，公正性的或歧視性的、公正的或偏見的。因此，大數(shù)據(jù)算法是否能夠公正平等地對待數(shù)據(jù)主體就成為一個必須考慮的問題。

數(shù)據(jù)和算法所包含的歧視或偏見可能來自兩個方面：一是隱藏在數(shù)據(jù)中的人類自身的歧視或偏見；二是算法程序設計者的初始偏見。數(shù)據(jù)是對世界的表達與再現(xiàn)，二者之間是異質同構的關系，在人類過去和當下的生活世界中，這樣或那樣的偏見和歧視一直在場，數(shù)據(jù)算法會進一步延續(xù)和固化這些偏見和歧視。亞馬孫的人工智能程序通過學習10年來公司篩選簡歷的模式來審查應聘者，并給求職者打分，結果導致了“性別歧視”，若求職者被標識為女性，就會被自動降級。Google將年薪20萬美元以上的工作崗位推薦給男性的次數(shù)是推薦給女性的數(shù)倍。2016年微軟在Twitter上測試聊天機器人Tay，然后僅不到24小時，這個聊天機器人就開始發(fā)布一些嚴重的“種族歧視”言論。大數(shù)據(jù)算法是從歷史數(shù)據(jù)中訓練而獲得數(shù)據(jù)的特征，一旦整個社會對特定人群存在結構性的歧視或偏見，那么這一傾向就會反映到數(shù)據(jù)上，算法會“如實”地歸納出這些有偏性。不僅如此，每一個算法程序設計師都是一個擁有特定視角和立場的個體，他們在設計算法程序的時候會自覺或不自覺地將自己的偏好和立場嵌入算法程序中，或者將市場、資本或權力的邏輯置放其中，從而選擇性地過濾數(shù)據(jù)，抑或賦予特定數(shù)據(jù)更大或更小的權重，這樣也會導致偏差性結果。大數(shù)據(jù)技術的復雜性已經超出了我們的認知理解能力，大數(shù)據(jù)的預測、運算和數(shù)據(jù)庫正在演變?yōu)闊o法打開的黑箱，人類的決策和行動又越來越依賴大數(shù)據(jù)，面對結果的偏差，人類個體的調節(jié)能力在逐漸弱化，這都進一步加劇或固化了算法歧視。

然而，這些歧視和偏見并非數(shù)據(jù)主體應得的。羅爾斯在批判功利主義時指出：“每個人都擁有一種基于正義的不可侵犯性，這種不可侵犯性即使以社會整體利益之名也不能逾越?！?26)約翰·羅爾斯：《正義論》，1頁，北京，中國社會科學出版社，2001。德沃金說：“自由主義平等概念支配下的每一位公民都有一種受到平等關心和尊重的權利，這一抽象的權利可以包括兩種不同的權利。第一種權利是受到平等對待的權利……第二種權利是作為平等的人受到對待的權利?！?27)羅納德·德沃金：《認真對待權利》，357-358頁，北京，中國大百科全書出版社，1998。公正和平等是個體的德性，更是個體的權利。過去，個體遭遇的不公正和不平等主要來自處于優(yōu)勢或強勢地位的人或組織，進入大數(shù)據(jù)時代，數(shù)據(jù)和算法則可能會成為新的不公正和不平等之源，這是對數(shù)據(jù)主體的基本價值和權利的現(xiàn)實挑戰(zhàn)。然而，GDPR并沒有針對這一問題的具體條款，對該問題進行有效的預警、阻抑和規(guī)約，數(shù)據(jù)主體的公正權利已經并將還會持續(xù)遭遇算法歧視或偏見的威脅。這是GDPR在數(shù)據(jù)主體權利方面的第四個未決問題。

歐盟的數(shù)據(jù)立法確實在保護數(shù)據(jù)主體的隱私、尊嚴和自主等方面進行了有益的探索，在數(shù)據(jù)主體權利與大數(shù)據(jù)價值之間明確承諾前者的價值優(yōu)先性，并且設計了較為可行和完備的措施來保護和尊重數(shù)據(jù)主體的權利。但大數(shù)據(jù)的問題和風險是如此復雜和深遠，還有待從法律、技術和哲學等多維視角做進一步的研究和探索。

GDPR基于人本主義的立場，在大數(shù)據(jù)背景下通過法律條例保護數(shù)據(jù)主體的權利，保護人的尊嚴、平等與自主等根本性的價值訴求，是數(shù)據(jù)治理的法律規(guī)制路徑的典范，為其他國家的數(shù)據(jù)立法提供了先例和借鑒。但是，GDPR的未決問題也清晰地昭示了這一路徑的有限性，它告訴我們，只有進一步完善法律規(guī)定，并尋求其他的治理方法與之配合，數(shù)據(jù)主體的權利才可能得到尊重與保護。中國是互聯(lián)網大國，在線的網民人數(shù)世界第一，數(shù)據(jù)技術的更新迭代與世界同步甚至在某些領域遙遙領先，歐盟在數(shù)據(jù)治理方面面臨的問題也是中國的問題，對GDPR的研究不能僅限于中國互聯(lián)網企業(yè)如何應對歐盟的新規(guī)，更要興利除弊，以發(fā)展出適合中國國情的數(shù)據(jù)治理模式。