劉 昶 金之玥

近年來，隨著信息與傳播技術的演進，社會生活領域里萬物互聯(lián)與交互的時代正在來臨，媒體的信息傳播力日益增強并朝向智能化、平臺化、自動化和市場化發(fā)展，而隨之爆發(fā)的數(shù)據(jù)革命對傳播活動的規(guī)模、速度、方式、結構產(chǎn)生了極其重要的影響。例如，數(shù)據(jù)成為人工智能技術演進的催化劑，而人工智能或機器學習又被用來作為對復雜的、動態(tài)的、異構的大數(shù)據(jù)進行處理與分析的路徑或工具。在此全新的智媒業(yè)態(tài)語境中，被提取分析的數(shù)據(jù)來自于廣泛接入互聯(lián)網(wǎng)的個人（包括其屬性、行為、狀態(tài)、關系等），保存在用戶本地終端上的數(shù)據(jù)（cookies）等在線標識符、傳感器等數(shù)據(jù)采集技術使個人信息被提取的種類與范圍得以拓展，同時也使得個人信息泄露的風險程度陡然增加?；诖髷?shù)據(jù)和人工智能技術的個人數(shù)據(jù)處理與利用，更常常對個人權益造成威脅。例如“劍橋分析事件”，特朗普競選團隊利用臉書泄露的8700萬用戶數(shù)據(jù)從事政治傳播活動。

面對技術的快速發(fā)展和傳播全球化給個人數(shù)據(jù)保護帶來的挑戰(zhàn)，各方都采取了措施，如2018年，我國以“個人信息”為保護對象的立法正式進入相關流程，2021年8月20日第十三屆全國人大常委會第三十次會議審議通過《中華人民共和國個人信息保護法》，并于當年11月起生效。這無疑將有效地保護個人信息權益，規(guī)范個人信息處理活動，促進對個人信息的合理利用。又如，歐盟1995年就通過了《數(shù)據(jù)保護指令》（Data Protection Directive，簡稱“DPD”），2018年5月25日又通過了升級版的《通用數(shù)據(jù)保護條例》（General Data Protection Regulation，簡稱“GDPR”）。較之“DPD”，“GDPR”提高了個人數(shù)據(jù)保護的直接約束力和適用性，被稱為“史上最嚴格的個人數(shù)據(jù)保護法案”。

在傳播學的視閾中，從大數(shù)據(jù)與人工智能技術建構的新型傳播生態(tài)對個人信息的影響出發(fā)，認真考察近年來歐洲的個人信息法律保護的演進與經(jīng)驗，尤其是比照為應對技術變遷而制定的“GDPR”的內(nèi)容及其實施經(jīng)驗，或有助于更加深刻地認識我國立法保護個人信息的意義。

一、傳播技術革新與個人信息增值

隨著當今各種各樣的傳感器、智能設備將我們前所未有地接入數(shù)字化的虛擬世界之中，數(shù)字媒介與技術浸泡了我們的日常生活。媒介技術應用的普遍化與我們生活世界不斷增加的“糾纏”，被一位德國學者視作“深度媒介化”。而先前尼葛洛龐蒂所謂的“數(shù)字化生存”已逐漸演變?yōu)榭梢姷默F(xiàn)實，盡管現(xiàn)實并不如其設想的那般樂觀。無論是“深度媒介化”或是“數(shù)字化生存”，ABC（人工智能、大數(shù)據(jù)和云計算）在不斷參與個人生活的同時，也深入個人信息/個人數(shù)據(jù)領域，從根本上變革了對個人隱私問題的傳統(tǒng)認知。

（一）大數(shù)據(jù)與個人信息的價值化

人們對大數(shù)據(jù)的理解和描述是一不斷全面和深化的過程：從起初的規(guī)模性、多樣性和集合/生成/處理的快速性，逐漸擴展至表征低密度的價值性、非靜止體系的動態(tài)性和可顯性化展示的視覺性，以及尤為重要的采集和應用的合理性，亦即合法性等，這些區(qū)別于傳統(tǒng)信息的特性也同樣為接入互聯(lián)網(wǎng)過程的個人數(shù)據(jù)所共有。因此，在大數(shù)據(jù)背景下，關涉?zhèn)€人隱私或個人敏感數(shù)據(jù)的公私域邊界變得更不清晰。來自皮尤研究中心的一項調(diào)查顯示，社交媒體用戶普遍認為其使用的平臺能夠根據(jù)收集到的行為數(shù)據(jù)，確定用戶的種族、愛好、政治取向、宗教信仰等關鍵特征。無論是歐洲的“GDPR”還是我國的《個人信息保護法》，確認信息或數(shù)據(jù)具有個人屬性的要領在于“可識別性”，即通過相關標識、信息可以追溯何者為其歸屬的特性。換言之，雖然個人的某些隱私在數(shù)據(jù)的間接聯(lián)系中變得模糊，但大數(shù)據(jù)、區(qū)塊鏈等相關技術或能極大拓展間接識別的范疇，將傳統(tǒng)意義上不可識別的信息轉變?yōu)榭勺R別的信息。因而，在時下的大數(shù)據(jù)語境中，擴大個人信息或數(shù)據(jù)保護的適用范圍成為重心所在。除此之外，包括平臺在內(nèi)的私人主體在數(shù)據(jù)采集分析與大數(shù)據(jù)技術革新過程中的主導作用，也凸顯了大數(shù)據(jù)的價值屬性，給個人信息保護提出了新的難題。

互聯(lián)網(wǎng)平臺搜集的數(shù)據(jù)大致由五個部分構成：一是來自網(wǎng)絡交易的內(nèi)容，二是物體或身體等各個地方的傳感器信息，三是政府和企業(yè)的數(shù)據(jù)庫，四是私人和公共監(jiān)控攝像頭，五是用戶在網(wǎng)絡上留下的資料。這些數(shù)據(jù)在私人占有的前提下成為“數(shù)字資產(chǎn)”。哈佛商學院的肖莎娜·祖波夫（Shoshana Zuboff）教授認為，以“谷歌”為首的科技公司的收入依賴于其無處不在的自動化運營所占用的數(shù)據(jù)資產(chǎn)，這些資產(chǎn)吸引了大量投資。這已然成為大多數(shù)網(wǎng)絡公司默認的商業(yè)模式，大數(shù)據(jù)是這個具有高度目的性和重要性的新積累邏輯的基礎，數(shù)據(jù)則是這一過程所必需的原材料，祖波夫稱之為“監(jiān)控資本化”或“監(jiān)控資本主義”（surveillance capitalism），其積累邏輯假定用數(shù)據(jù)換取服務的互惠性，但“沒有建立有建設性的產(chǎn)品和對消費者的回報，而是吸引用戶進入開展數(shù)據(jù)提取操作”④。在此框架下，傳播活動過程中具有個人尊嚴意義的個人信息或數(shù)據(jù)被賦予工具性價值而脫離了個人的控制。

（二）算法與個人信息的處理利用

在當代社會的數(shù)字化生存中，算法通過對個人信息或數(shù)據(jù)的處理與利用，滲透話語權力乃至操縱個人的日常生活。知識與權力新的不對稱關系建構了用數(shù)據(jù)換取服務的“互惠性”迷思。通過算法“黑箱”，數(shù)字資本將用戶的操作界面與后臺相隔離，從而在個體及其數(shù)據(jù)之中最大限度地榨取商業(yè)利益。

在個人與媒介的深度互動中，算法通過對信息進行分類、篩選、排序、推薦，展示人們的畫像、透露人們的需要、引導人們的行為。眾所周知，算法對社會和個人產(chǎn)生影響主要通過兩種方式：一是算法的設計行為，即設計者編寫算法決策代碼，并輸入數(shù)據(jù)使算法自主學習，從而優(yōu)化決策流程；二是算法的部署應用行為，即算法控制者在其平臺上通過部署算法應用來駕馭價值變現(xiàn)過程。而智能算法則通過另一路徑—算法的自主決策—發(fā)揮效力。歐洲的“GDPR”和我國的《個人信息保護法》均以“自動化決策”作為立法用語，恰恰言明了算法對個人行動的指導性意義。

而今，數(shù)以百萬計的虛擬服務器、預測分析的專業(yè)知識與技術，使得人們難以跨越物質與智力上的認知鴻溝，算法作為這方面的技術載體，也因自身的技術優(yōu)勢而獲得了日益擴張的權力。

為數(shù)據(jù)利用建立規(guī)則的是算法權力，而基于畫像的個性化推薦便是體現(xiàn)算法權力最常見的方式。通過海量用戶行為等數(shù)據(jù)建立個人配置文件，數(shù)據(jù)持有者、算法控制者擁有了相對于普通用戶的單向透明；個體面對的是針對個人的規(guī)則改變，作為消費者的用戶往往在不知情的情況下被挖掘消費能力；個性化的界面為用戶打造了一個又一個的“信息繭房”，作為傳播活動可能性前提的他者之在場與交流成為一種錯覺。

由此，算法中顯露的歧視屢見不鮮，包括設計意圖與已經(jīng)存在的社會偏見。例如，美國住房與城市發(fā)展部就曾指控臉書挖掘有關其用戶的大量數(shù)據(jù)，并根據(jù)這些用戶的種族、性別、國籍、家庭狀況或宗教等個人隱私信息提供帶有種族歧視色彩的定向住房廣告?！按髷?shù)據(jù)殺熟”是我國最為常見的價格歧視，攜程、美團、餓了么、滴滴等多家平臺均曾被報道存在此類現(xiàn)象。

由此可見，算法在處理和利用大數(shù)據(jù)過程中所掌握的權力，不但在某種程度上操縱著用戶的媒介化生活，而且算法一旦由數(shù)字資本控制，其積累邏輯還會侵害個人尊嚴與自由，影響社會公平正義。

（三）平臺權力與壟斷結構風險

算法權力雖以技術權力為表象，本質上卻是配置社會資源的權力，大數(shù)據(jù)也只是其展開行動的知識基礎。也有學者認為，算法權力本身也包含著數(shù)據(jù)的權力，其中算法是主權力，數(shù)據(jù)屬于附屬權力。不管怎么說，掌握這一權力的是擁有強大數(shù)據(jù)提取與分析能力的數(shù)字資本。無論是被貨幣化的個人數(shù)據(jù)，還是算法對個人決策的不合理控制，最終似乎都是數(shù)字資本積累邏輯的實踐。而當前，全球最具規(guī)模的數(shù)字資本采用了同一種經(jīng)營方式—平臺。

平臺作為一種私人主體，尤其是技術巨頭主導的、具有壟斷性質的超級平臺，已經(jīng)具備公共基礎設施的屬性，并對此產(chǎn)生某種自覺。一種觀點認為，平臺針對平臺上的其他主體（包括商戶和用戶）已經(jīng)享有至少三種可能被濫用的權力：市場準入權、資源調(diào)配權、實際規(guī)制權。其中，超級平臺的崛起取代了傳統(tǒng)組織對資源配置權和交易撮合權的壟斷。

超級平臺除在市場份額的結構意義上實現(xiàn)壟斷之外，還實施了諸如屏蔽外鏈等壟斷行為。頭部科技公司的技術革新已經(jīng)超出了政府的行政能力與制度極限。當互聯(lián)網(wǎng)超越了企業(yè)的邊界，成為社會和生活的基礎設施，而國家監(jiān)管能力極大地受到技術能力的約束之時，新的“公共俘獲”就會發(fā)生?！胺@”公共權力的數(shù)字資本完全能夠以此服務于自身的積累邏輯，進而損害社會利益，甚至危及國家利益，侵蝕國家治理能力與效能。

歐洲學界與個人數(shù)據(jù)保護立法者敏銳地察覺到超級平臺的危險性。荷蘭學者何塞·范·迪克（José van Dijck）將在地緣政治意義上主導全球網(wǎng)絡世界的平臺，分為中美兩個不同的生態(tài)系統(tǒng)，各自擁有五大巨頭，即百度、阿里巴巴、騰訊、京東和滴滴，Alphabet、臉書、亞馬遜、蘋果和微軟。美國平臺系統(tǒng)已經(jīng)在世界上大部分地區(qū)占據(jù)主導位置，而歐洲大陸幾乎沒有大型科技公司，因此在總體上，歐洲已然依賴于美國的平臺系統(tǒng)。

在操作層面，西方強國憑借實力霸蠻打壓其他國家數(shù)字信息產(chǎn)業(yè)的事件接二連三發(fā)生、發(fā)酵，似乎表明基于數(shù)字資本平臺的“資本化監(jiān)控”/“監(jiān)控資本主義”或有轉向“監(jiān)控帝國主義”的可能。因此，歐洲倡導“技術主權”理念不僅意在制約美國超級平臺權力，而且還有借對技術的掌控建構數(shù)據(jù)主權的考量。

當大數(shù)據(jù)與人工智能革新了個人信息采集、處理的手段與用途時，作為數(shù)字資本的美國超級平臺便成為全球主導性基礎設施。在歐洲尚不擁有基于自身文化與價值設計的平臺系統(tǒng)的現(xiàn)狀下，歐盟的“GDPR”的生效與執(zhí)行成為保護個人信息、維護個人尊嚴與權利、捍衛(wèi)歐洲傳統(tǒng)公共價值、制約壟斷平臺權力、維護數(shù)據(jù)主權的重要一步。

二、個人數(shù)據(jù)/信息保護的歐洲經(jīng)驗

相比美國與亞洲國家，歐洲慣常使用“個人數(shù)據(jù)”的表述，例如歐盟《數(shù)據(jù)保護指令》《通用數(shù)據(jù)保護條例》、德國《數(shù)據(jù)保護法》等。相較之下，“GDPR”中的“個人數(shù)據(jù)”對應我國《個人信息保護法》中“個人信息”概念，兩者在立法定義上并無本質不同。

“GDPR”旨在保護個人數(shù)據(jù)權利與促進內(nèi)部市場發(fā)展的雙重性，通過協(xié)調(diào)“數(shù)據(jù)主體人格性的保護”與“數(shù)據(jù)控制者和處理者對數(shù)據(jù)權利的商業(yè)利用”之間的關系，試圖同時保護數(shù)據(jù)主體對數(shù)據(jù)支配權、數(shù)據(jù)控制者和處理者對數(shù)據(jù)的使用權與收益權以及國家或聯(lián)盟的數(shù)據(jù)主權。

在人工智能算法、大數(shù)據(jù)與云計算構建的全球超級平臺系統(tǒng)的語境中，歐洲的個人數(shù)據(jù)保護從大數(shù)據(jù)資產(chǎn)下的個人數(shù)據(jù)控制權利，到算法權力下自動化決策的公正與透明，再到全球平臺壟斷下的內(nèi)部市場與數(shù)據(jù)主權保護，具有私益保護和公益保護的雙重指向。

（一）人格權與財產(chǎn)權的雙軌制確認

歐盟將個人數(shù)據(jù)視為“流動的人格”進行全面保護?！癎DPR”以個人數(shù)據(jù)處理的流程為基礎，規(guī)定了八項數(shù)據(jù)主體的人格權益：知情權、訪問權、更正權、刪除權/被遺忘權、限制處理權、可攜帶權、反對權以及對自動化決策的拒絕權等。相比傳統(tǒng)人格權保護把人格視為相對靜止的存在，“GDPR”將保護個人數(shù)據(jù)視作保護數(shù)據(jù)主體“流動的人格”，原因在于大數(shù)據(jù)技術造成了個人數(shù)據(jù)內(nèi)容與邊界的模糊。

當日常生活接入互聯(lián)網(wǎng)的時空前所未有地拓展，數(shù)據(jù)采集過程中可識別的信息種類、范圍、規(guī)模迅速擴大。大數(shù)據(jù)的易變性所指涉的多層結構，就更意味著多變的形式與類型、不規(guī)則和模糊不清的特性。隨著數(shù)據(jù)主體生命過程中社會交往的持續(xù)開展并日益依賴于互聯(lián)網(wǎng)，進入大數(shù)據(jù)的個人數(shù)據(jù)不斷增加、變化，其中所體現(xiàn)的人格權利也相應發(fā)生變化。

如果說信息與傳播技術的突飛猛進和迅速普及，使得公眾人物包括姓名、肖像、健康、名稱、名譽、隱私等人格要素在內(nèi)的個人信息日益被商業(yè)資本利用，那么在數(shù)字資本的新階段，被接入互聯(lián)網(wǎng)的每一個用戶作為數(shù)據(jù)主體生產(chǎn)的個人數(shù)據(jù)，都兼具人格性與財產(chǎn)性。基于這樣的現(xiàn)實，“GDPR”構建了人格權與財產(chǎn)權并行的雙軌機制，契合了“人格權財產(chǎn)化”趨勢。對個人數(shù)據(jù)人格權與財產(chǎn)權的確認與保護，有助于提高個人在數(shù)字資本將其數(shù)據(jù)大規(guī)模采集并價值化過程中對個人數(shù)據(jù)的控制力。因此也有來自美國的學者擔憂，“用數(shù)據(jù)換取服務”的模式不太可能屬于“GDPR”合同義務保護的合法利益類別，因此如果用戶能夠拒絕所有數(shù)據(jù)使用與分享，就會削弱科技公司貨幣化數(shù)據(jù)的能力。

在賦予數(shù)據(jù)主體對個人數(shù)據(jù)較高程度的控制水平的同時，“GDPR”第77條規(guī)定，數(shù)據(jù)主體均有權向監(jiān)管當局提出投訴。這使得個人能夠對大數(shù)據(jù)采集與利用全過程的個人數(shù)據(jù)侵權問題提出質疑。在“GDPR”實施后的近一年中，監(jiān)管機構登記了超過14.4萬次問詢和投訴以及8.9萬次以上的數(shù)據(jù)泄露；相比2017年，歐盟各國監(jiān)管機構收到的相關問詢與投訴都有所增加。

（二）自動化決策原則的確立及其局限

“GDPR”第22條將包括個人畫像在內(nèi)的自動化個人決策原則作為數(shù)據(jù)主體人格權益的組成部分，其規(guī)定對象為“僅基于自動化處理”，即決策制定過程中沒有人為干預，因此也是制約作為大數(shù)據(jù)處理與利用手段的算法的針對性條款。

2016年，歐盟根據(jù)《數(shù)據(jù)保護指令》設立的數(shù)據(jù)保護工作組發(fā)布了《關于自動化個人決策和個人畫像條例規(guī)定的指南》（Guidelines on Automated individual decisionmaking and Profiling for the purpose of Regulation，以下簡稱《指南》），對個人畫像與自動化決策概念、一般規(guī)定、具體規(guī)定、兒童保護以及數(shù)據(jù)保護影響評估（DPIA）、數(shù)據(jù)保護官（DPO）等的應用作了詳細闡釋。

“GDPR”第22條明確表示，數(shù)據(jù)主體對數(shù)據(jù)處理者使用算法進行選擇、判斷和決策時，至少是在包括個人畫像在內(nèi)僅僅基于自動化處理的決策對數(shù)據(jù)主體產(chǎn)生法律上或有近似重大影響時，擁有拒絕的權利?！吨改稀愤M一步指出，所謂“近似重大影響”最極端的情況在于自動化決策導致的對個人的排斥或歧視，這確認了“算法歧視”的非法性。此外，《指南》還明確了“自動化決策導致的價格差異化也有可能產(chǎn)生重大影響”，這一表述似乎對應了“大數(shù)據(jù)殺熟”現(xiàn)象。

除此之外，個人數(shù)據(jù)保護中人格權的其他方面也對自動化決策作出了要求。涉及知情權和訪問權的相關條款規(guī)定了自動化決策的算法控制者必須提供以下信息：行為存在與否、關于算法邏輯有意義的信息、重要性、預期結果?！癎DPR”第22條第3款同時要求數(shù)據(jù)控制者采取適當?shù)拇胧员Ｕ蠑?shù)據(jù)主體的權利自由和合法利益，至少有獲得數(shù)據(jù)控制者人為干預、表達個人觀點并對決策提出異議的權利。

上述對算法的針對性規(guī)定，突出體現(xiàn)了個人數(shù)據(jù)保護應該合法、公平、透明的一般原則。這些針對性的規(guī)定在一定程度上打破了單向的透明，使得個人獲得介入算法展開決策過程的途徑，制約數(shù)字資本利用數(shù)字資產(chǎn)最大化利益時伴生的各類歧視。

“GDPR”也有包括數(shù)據(jù)主體明確同意等在內(nèi)的三種具有例外性的規(guī)定。要獲得“明確”的同意，數(shù)據(jù)控制者和處理者需要在常規(guī)性同意要求的基礎中做出額外的努力。有德國學者認為，“GDPR”遵循了將知情同意視為“數(shù)據(jù)保護法的基石”與“信息自決權的真實表達”的思路，甚至有時優(yōu)先于所有其他合法數(shù)據(jù)處理的理由，事實上給了用戶一種控制自己數(shù)據(jù)的錯覺：同意協(xié)議使公司向數(shù)據(jù)主體轉移了責任，而用戶又缺乏與公司談判的可能。雖然“GDPR”后需要用戶點擊“同意”的隱私政策的可讀性相對有所提高，從所需13年的教育年限降低至12年，但仍然高于用戶的平均閱讀能力。于是，當“同意”作為例外原則時，算法與個人之間在物質與智力上的巨大鴻溝，將阻礙人們檢視算法權力并防范歧視后果的產(chǎn)生，這在很大程度上破壞了真正的社會公平。

（三）內(nèi)部市場與數(shù)據(jù)主權保護

為了賦予數(shù)據(jù)主體對個人數(shù)據(jù)高度的控制力，歐盟設立了專門的監(jiān)管機構，并以數(shù)據(jù)保護影響評估（DPIA）作為有別于個人救濟的自上而下的治理措施，從而提高對歐盟內(nèi)部市場數(shù)據(jù)的管轄能力以維護數(shù)據(jù)主權。這也正是歐盟“GDPR”最具公法導向的目標，以期促進歐盟內(nèi)跨境數(shù)據(jù)的自由流動。

歐盟框架內(nèi)個人數(shù)據(jù)的自由流動，是整合歐盟內(nèi)部市場的基礎。因此，歐盟數(shù)據(jù)保護立法力度不斷加強，法律規(guī)則也從一般到特殊再到抽象，相關立法體系從碎片化過渡到一體化。面對《數(shù)據(jù)保護指令》的執(zhí)行與應用過程中因成員國個人數(shù)據(jù)保護程度上的差異或阻礙歐盟內(nèi)部個人數(shù)據(jù)自由流動的可能性，“GDPR”較強的法律效力和一體化的立法體系，為保護成員國自然人數(shù)據(jù)權利和自由的相等水平的愿望托底。

出于充分實現(xiàn)個人數(shù)據(jù)/信息和內(nèi)部市場保護的目標，“GDPR”的地域管轄具有明顯的擴張性，明確將境外企業(yè)對歐盟內(nèi)個體進行個人數(shù)據(jù)處理的行為納入管轄之中，包括三種情形：一是關涉歐盟境內(nèi)設立機構的情形；二是關涉未在歐盟境內(nèi)設立機構，但為歐盟境內(nèi)數(shù)據(jù)主體提供商品的情形；三是關涉服務或存在監(jiān)控行為，未在歐盟境內(nèi)設立機構，但依據(jù)國際公法應適用歐盟成員國法律的情形。域外效力的加強，對以“信息自由模式”建構的美國超級平臺在歐洲的主導性地位，同樣有一定的制約作用。在“GDPR”生效之日，兩個隱私權組織便提交了針對谷歌的投訴。2019年，法國數(shù)據(jù)監(jiān)管機構（CNIL）以缺乏知情權的透明度和對個性化廣告的同意為由，對谷歌處以5000萬歐元的罰款。2021年7月30日，盧森堡國家數(shù)據(jù)保護委員會根據(jù)“GDPR”的規(guī)定，對亞馬遜開出了“GDPR”生效以來的最高罰單，數(shù)額高達8.866億美元。

雖然在關于行政罰款的條款中，“GDPR”采用的是統(tǒng)一標準，并沒有體現(xiàn)出對全球超級平臺的特殊關注，但超級平臺的全球影響力仍然被納入“上年度全球營業(yè)額”的處罰標準以及侵權行為嚴重性、受影響數(shù)據(jù)主體數(shù)量和遭受損害程度的考量范疇。歐盟其他相關立法也有對超級平臺的重點要求。例如，歐盟《數(shù)字服務法》不僅十分重視大型在線平臺在傳播非法內(nèi)容和危害社會方面構成的特殊風險，對這些平臺提出17項新義務，這比普通在線平臺應盡義務多出了6項。又如，歐盟《數(shù)據(jù)市場法》建立了一套用于將大型在線平臺認定為所謂的“看門人”的客觀標準，嚴格規(guī)定“看門人”不得從事自我優(yōu)待、屏蔽外鏈、妨礙卸載程序等行為。

此外，由于美國的國家安全法律與歐盟個人數(shù)據(jù)保護法律之間存在明顯沖突，“GDPR”在歐盟與美國之間的隱私談判中也在發(fā)揮新的作用：2020年7月16日，歐盟法院宣布《歐盟—美國隱私盾決定》（the EU-US Privacy Shield，簡稱“隱私盾協(xié)議”）無效。雖然“隱私盾協(xié)議”在此四年前被用來取代《安全港協(xié)議》而使美國公司承擔的義務更多，數(shù)據(jù)保護標準也更加細嚴，但根據(jù)“GDPR”的相關標準，“隱私盾協(xié)議”并未對傳輸?shù)矫绹臍W盟個人數(shù)據(jù)提供充分保護以避免成為其情報獲取的目標。因此，在判定“隱私盾協(xié)議”無效時，歐盟成功地借助“GDPR”再一次挑戰(zhàn)了美國的數(shù)據(jù)保護法律，同時也助推歐盟委員會主席烏爾蘇拉·馮德萊恩所謂的“奪回技術主權”的努力。

在個人數(shù)據(jù)保護的范疇中，平臺傳播使得“技術主權”與“數(shù)據(jù)主權”相輔相成。然而，“GDPR”所設想的內(nèi)部市場與數(shù)據(jù)主權保護仍然舉步艱難。相關調(diào)查發(fā)現(xiàn)，“GDPR”的出臺反而讓谷歌在全球在線廣告市場獲得了更大的份額，臉書雖略有損失，但其損失也少于大多數(shù)較小的網(wǎng)絡技術公司。與此同時，歐洲初創(chuàng)企業(yè)每周平均收入相比“GDPR”生效前下降了40%。“GDPR”對數(shù)據(jù)保護的嚴格程度增加了數(shù)據(jù)處理者和控制者的企業(yè)合規(guī)成本，而超級平臺自身在處理合規(guī)問題上擁有大量資源，網(wǎng)站所有者可能更傾向于超級平臺，而非難以證明合規(guī)性的小型廣告商。

“GDPR”本意在于實現(xiàn)一個“自由、安全、正義的領域”，并建立一個經(jīng)濟聯(lián)盟以“促進經(jīng)濟和社會進步、內(nèi)部市場經(jīng)濟的加強與整合以及自然人的福祉”。誠然，大數(shù)據(jù)背景下建立人格權與財產(chǎn)權的雙軌機制，對自動化決策與個人畫像進行針對性制約，以維護內(nèi)部市場與數(shù)據(jù)主權，就這一維度而言，認定“GDPR”實現(xiàn)了從私益到公益的個人數(shù)據(jù)保護是現(xiàn)實而客觀的。然而，相對于通過大數(shù)據(jù)和人工智能算法已經(jīng)完成一輪數(shù)字資本積累的平臺，它與用戶之間巨大的知識與權力的不對稱性，仍然在基于同意的保護思路中繼續(xù)存在，并在適應新規(guī)則的同時維護其壟斷平臺的強勢地位。如何在提升歐盟及其成員國平臺治理能力的基礎上促進自身的平臺系統(tǒng)生長，并在其中構筑自己的公共價值體系，在傳播實踐中更為有效地保護個人信息/數(shù)據(jù)，仍是歐盟面臨的巨大挑戰(zhàn)。

三、個人信息保護的歐洲經(jīng)驗與中國方案

“GDPR”生效三周年之后，我國個人信息保護進入了新的階段，《個人信息保護法》與《數(shù)據(jù)安全法》《網(wǎng)絡安全法》《密碼法》協(xié)同構筑起中國個人信息保護的基本法律框架。

（一）基于人格權保護的意義

我國個人信息保護相關條款已經(jīng)寫入了2021年開始施行的《民法典》之“人格權編”（與隱私權合并列入第六章）。同時，《民法典》還明確區(qū)分了隱私權與個人信息權益所適用的法律法規(guī)：個人信息中的私密信息，適用有關隱私權的規(guī)定；沒有規(guī)定的，適用有關個人信息保護的規(guī)定?！秱€人信息保護法》則進一步完善了“自然人的個人信息受法律保護”的權利，稱之為“個人信息保護權益”，在《民法典》規(guī)定的知情權、訪問權、更正權、刪除權的基礎上，新增了反對權、限制處理權、可攜帶權以及對自動化決策的拒絕權，基本覆蓋了“GDPR”提出的八項人格權益。相關條款為日常新聞與傳播實踐活動中個人信息的保護提供了明晰的法理依據(jù)。

在大數(shù)據(jù)與人工智能時代，個人信息與人格權、個人信息與財產(chǎn)權、現(xiàn)實人格與數(shù)字人格在互聯(lián)網(wǎng)中展現(xiàn)的多種形態(tài)已經(jīng)超出了傳統(tǒng)個人主義權利理論的預設，需要根據(jù)不同形態(tài)賦予個人多項具體權能。歐盟設立人格權與財產(chǎn)權的雙軌機制，也是應對這一新變化的舉措。因為在個人數(shù)據(jù)被數(shù)字資本采集為大數(shù)據(jù)并展開價值化的語境中，有利于內(nèi)部市場整合的可攜帶權凸顯出個人數(shù)據(jù)的財產(chǎn)性，符合“GDPR”框架的雙重指向。美中不足的是，“GDPR”的雙軌機制與雙重指向導致其“既是一種基本權利政策，又是促進市場協(xié)調(diào)的監(jiān)管工具”，故而不符合基礎性法律依據(jù)。

相比之下，中國方案別具特點：《民法典》對我國個人信息的基本權利及其保護做出了界定；而《個人信息保護法》在加強個人對個人信息的控制能力的同時，又對個人信息處理者鮮明的社會監(jiān)管傾向進行了定義，并對個人信息自由流動的目標保持了審慎的態(tài)度。中國方案的意義顯而易見：一方面，履行個人信息保護職責的部門除了要接受、處理與個人信息保護有關的投訴、舉報，還要組織個人信息保護情況測評、調(diào)查處理違法個人信息處理活動等；另一方面，不同于歐盟提高“個人數(shù)據(jù)自由流動”的理念，我國相關法律草案中原有的“保障個人信息依法有序自由流動”的表述在審議時被刪除，這一歐中反差體現(xiàn)了我國立法者對表述個人信息財產(chǎn)性可能產(chǎn)生的矛盾和問題的體認。相比之下，面對平臺大規(guī)模采集個人信息形成大數(shù)據(jù)并作為自己的數(shù)字資產(chǎn)使之價值化的過程，“GDPR”具有雙重指向的野心；但我國現(xiàn)階段立法仍從國情出發(fā)，堅持對人格尊嚴的強調(diào)，這與國家發(fā)改委就《市場準入負面清單（2021年版）》公開征求意見稿中有關非公有資本不得從事新聞采編播發(fā)業(yè)務等內(nèi)容形成了呼應關系。

（二）嚴格限制自動化決策的目的

受到歐盟經(jīng)驗的啟示，我國《個人信息保護法》也同樣單獨列出條款規(guī)范算法機制下的自動化決策，但限制比歐盟更為嚴格?！秱€人信息保護法》雖然沒有像“GDPR”一樣單獨指出“個人畫像”的規(guī)范，但禁止平臺為了最大化商業(yè)利益而通過算法進行畫像產(chǎn)生價格歧視的結果，同時也沒有像歐盟那樣設置基于同意的例外。換言之，個人即使同意處理個人信息，也必須保證“決策透明度和結果公平、公正”，不得“在交易價格等交易條件上實行不合理的差別待遇”（即俗稱的“大數(shù)據(jù)殺熟”），并提供“不針對其個人特征的選項”，說明“通過自動化決策方式作出對個人權益有重大影響的決定”。

尤其值得一提的是，中國方案的相關條款允許個人拒絕或選擇非個性化的方式，接受平臺通過算法“對個人進行信息推送、商業(yè)營銷”。這意味著個人在一定程度上擁有了是否走出“信息繭房”的選擇權，在此基礎上與他者的碰面和在“廣場上”相互理解的交流才有機會發(fā)生。此外，國家網(wǎng)信辦新近發(fā)布《互聯(lián)網(wǎng)信息服務算法推薦管理規(guī)定（征求意見稿）》，以期履行“指定個人信息保護具體規(guī)則、標準”的職責，以行政法規(guī)的形式進一步深化了與自動化決策密切關聯(lián)的算法相關規(guī)定。征求意見稿還對關于“流量造假、流量劫持”“屏蔽信息”“操縱榜單或者檢索結果排序”“控制熱搜或精選”等干預信息呈現(xiàn)、影響網(wǎng)絡輿論的行為做出了具體限制。可見，算法不僅被數(shù)字資本用于構建交往環(huán)境，還被用于操縱傳播行為。雖然相關規(guī)定在現(xiàn)階段仍旨在規(guī)制數(shù)字資本平臺在追求商業(yè)利益時造成的種種不公，但已然在其中確認了以實現(xiàn)公共性為目的的基本導向。

由此可見，我國在借鑒歐盟相關經(jīng)驗的同時，得益于針對長期以來平臺相關算法實踐中出現(xiàn)的問題所展開的公共討論，《個人信息保護法》以及相關法律法規(guī)以“結果公平、公正”為導向，對平臺算法使用制定了嚴格細致的規(guī)范。此外，超級平臺的公共基礎設施屬性使其對公共輿論場有著相當大的操控能力，加之算法在人們深度媒介化的日常生活中發(fā)揮的巨大作用，超級平臺成為現(xiàn)代化治理的重點也變得容易理解了。

（三）朝向維護平臺治理與數(shù)據(jù)主權的愿景

在全球傳播的格局之中，“GDPR”主要針對已然在歐洲占據(jù)主導地位的美國超級平臺。而在我國，本土超級平臺的“公共俘獲”與美國超級平臺的擴張意圖，共同構成了我國網(wǎng)絡數(shù)字平臺治理的難題。我國《個人信息保護法》第十二條規(guī)定，“國家積極參與個人信息保護國際規(guī)則的制定”，“推動與其他國家、地區(qū)、國際組織之間的個人信息保護規(guī)則、標準等互認”，這些表述體現(xiàn)了中國打破全球平臺傳播現(xiàn)有格局與秩序的規(guī)則性意義。

根據(jù)國際隱私保護專家協(xié)會（IAPP）發(fā)布的“GDPR”三周年回顧總結，自“GDPR”2018年生效以來，擁有隱私保護法律的國家/地區(qū)從127個增至144個，美國州層面的綜合性隱私保護提案數(shù)量從2個劇增至69個。另一項對全球數(shù)據(jù)市場的跟蹤調(diào)查發(fā)現(xiàn)，“GDPR”的影響已經(jīng)超越歐盟邊界，影響了全球范圍的網(wǎng)站和消費者。由于這一歐盟法規(guī)被認為是全球隱私監(jiān)管的最高標準與準則，加之域外效力的延伸，“GDPR”已然成為歐盟向其他國家或地區(qū)輸出的數(shù)據(jù)合規(guī)監(jiān)管工具。這一情況不僅對保護歐盟境內(nèi)的數(shù)據(jù)主權具有顯著益處，而且在相關領域國際話語權爭奪中也占據(jù)了主導地位，成為歐盟軟實力擴張的范例。歐盟在數(shù)據(jù)主權維護方面取得的成果，在一定程度對我國個人信息立法的目的給予了啟示。

參考“GDPR”的處罰規(guī)定，我國將罰款上限從“GDPR”規(guī)定的上一年度的4%提至5%。同時，《個人信息保護法》對超級平臺—“提供重要互聯(lián)網(wǎng)平臺服務、用戶數(shù)量巨大、業(yè)務類型復雜的個人信息處理者”—也設有單獨條款，增加保護義務，包括成立獨立監(jiān)督機構，遵循公開、公平、公正原則制定平臺規(guī)則，對平臺內(nèi)違法產(chǎn)品或服務提供者停止服務。與歐盟《數(shù)字市場法》針對的“守門人”的市場準入權不同，我國《個人信息保護法》第五十八條在公開、公正的基礎上，確認了對平臺“私主體”治理的實際規(guī)制權的監(jiān)管。

“GDPR”的推廣經(jīng)驗也佐證了在全球性平臺化傳播的語境中，具有域外適用效力的、高度一致且嚴格明確的國內(nèi)立法，既有利于在全球平臺競爭中維護本國公民的個人信息權益與國家數(shù)據(jù)主權，也有助于本國參與全球治理。進一步講，我國個人信息保護框架的進一步細化與完善以及相關法律法規(guī)的實施，也可為全球化平臺傳播的個人信息保護提供了新的經(jīng)驗與啟示。

四、個人信息保護與傳播博弈悖論

從某種意義上而言，新聞傳播學領域關于個人信息保護的理念可以上溯至18、19世紀歐美學界對保護隱私及私生活重要性的一些著述。幾個世紀以來，對隱私的界定亦見仁見智。個人信息保護的范疇亦由個人隱私權延展至表達自由權、公民人格權、公眾知情權等，這些權利間不斷出現(xiàn)的沖突亦一直在挑戰(zhàn)新聞傳播學界和業(yè)界。

就傳播學理層面而論，噪音是傳播活動無法回避的難題，因為沒有噪音，便沒有傳播。如果說個人信息泄露可以被視作傳播活動過程中的噪音現(xiàn)象的話，傳播技術的發(fā)展一直在通過增強信道、擴充容量等路徑來實現(xiàn)降噪，以求提升信息的高保真度。否則，噪音對信息傳播的干擾有可能令新聞報道的真相變得珍稀而直接影響傳播效能的最佳化。因此，若有意在法理層面保護個人信息的話，傳播活動就有必要降噪。

然而，在日常的傳播實踐中，一方面，個人信息保護需要竭力防止個人隱私泄露；另一方面，新聞傳播似乎又需要“揭秘”—揭露被某些組織和個人刻意隱瞞的信息，包括個人信息/數(shù)據(jù)在內(nèi)。例如，出于新聞職業(yè)行為的需要，調(diào)查性報道每每需要突破“百分之百的個人信息保護”，挖掘、披露一些個人信息。“潘多拉文件”（Pandora Papers）就是范例之一：2021年10月，由國際調(diào)查記者聯(lián)盟（ICIJ）發(fā)布的這份文件，披露了世界90多個國家和地區(qū)的330名政要和名流的大量秘密交易信息、隱藏海外的私人財產(chǎn)，以及包括普京在內(nèi)的政客和其他領域精英的私生活信息，數(shù)據(jù)總量達到2.94TB。對于大多數(shù)用戶而言，人們在日益注重個人信息保護的同時，為滿足好奇心而窺視他人隱私的傳統(tǒng)依舊，并在一定的社會意義上成為媒體揭秘的共謀。

屢屢出現(xiàn)帶有鮮明的公民人格權色彩的個人信息保護與享有表達自由權的新聞報道披露隱私之間的悖論，主要原因或在于信息/數(shù)據(jù)處理者同時還常常是“公共利益”的代言人，尤其是在所謂的“ABC時代”，信息/數(shù)據(jù)公開與個人信息保護的隱私悖論更加凸顯，諸多結構上的因素，如被操縱的公共領域與個人內(nèi)心領域的融合趨向、技術意識形態(tài)的滲透與公眾網(wǎng)絡社會的抗爭、不同文化價值的沖突等，都表征了數(shù)據(jù)共享與個人信息保護的考量。

除此之外，個人信息保護不僅是法理層面，同時也是倫理道德層面的難題。無管是歐盟的“GDPR”還是我國的《個人信息保護法》，所有法律體系包含的通常只是最基本的道德義務。英國法庭曾多次應政治、商業(yè)、文體、演藝等界名流的訴請，而對媒體下達不準報道名流相關隱私的禁令（super injunctions）。而當下，個人主動向媒體、向平臺讓渡私人信息似乎已成常態(tài)—“用數(shù)據(jù)換取服務”或是最為常見的表現(xiàn)形式之一。然而，這種讓渡方式“沒有建立有建設性的產(chǎn)品和對消費者的回報”。歐盟的“GDPR”與我國的《個人信息保護法》均未確認這一模式的合法性，而是規(guī)定了其他事項上對個人信息權益的克減。在“GDPR”框架內(nèi)，相關規(guī)定提及的事項包括以公共利益、科學或歷史研究以及統(tǒng)計為目的的數(shù)據(jù)處理，其中也有部分條款強調(diào)公共衛(wèi)生領域的公共利益；而《個人信息保護法》則明確在“為公共利益實施新聞報道、輿論監(jiān)督等行為”“對突發(fā)公共衛(wèi)生事件等緊急情況”等情形下，個人信息處理者可處理個人信息。換言之，要求數(shù)據(jù)主體讓渡部分個人數(shù)據(jù)權利或個人信息權益的是公共利益。

在傳播實踐中，歐盟和中國的相關法理表述與媒體新聞報道對侵犯個人隱私信息的抗辯事由之間的沖突，如果純粹出于商業(yè)性考量（增加發(fā)行量、拉升收聽/收視率、追求廣告收入或流量變現(xiàn)等），那就或多或少地關涉?zhèn)髅铰殬I(yè)倫理與記者個人道德的因素了，除非相關的個人信息來自開源渠道并獲當事人同意，或者所涉?zhèn)€人信息的主體是公眾人物，而相關報道既符合公共利益，又能滿足公眾知情權和公眾興趣。在此意義上，個人權利與公共利益的關系，是看待“隱私悖論”真正的矛盾所在。而“GDPR”與我國的《個人信息保護法》的相關規(guī)定，在展露出個人權利與公共利益邊界的流動狀態(tài)的同時，也在一定程度上體現(xiàn)了關于這一問題的社會共識。

總而言之，基于傳播學視角的歐洲經(jīng)驗，個人信息保護與平臺權力制約是個十分復雜的問題，二者既需要法理原則的保證，也離不開倫理道德向善共識的引導。

注釋

①HEPP A.Deep mediatization[M].Routledge,2020:3.

②PEW RESEARCH CENTER.Facebook algorithms and personal data[EB/O L].(2019-01-16)[2021-10-21].https://www.pewresearch.org/internet/2019/01/16/facebook-algorithms-and-personal-data.

③④? ZUBOFF S.Big other:surveillance capitalism and the prospects of an information civilization[J].Journal of information technology,2015,30(1):75-89.

⑤ 張凌寒.算法權力的興起、異化及法律規(guī)制[J].法商研究,2019(4):63-75.

⑥ 許天穎,顧理平.人工智能時代算法權力的滲透與個人信息的監(jiān)控[J].現(xiàn)代傳播(中國傳媒大學學報),2020(11):78-82.

⑦ 陳本皓.大數(shù)據(jù)與監(jiān)視型資本主義[J].開放時代,2020(1):176-189+9.

⑧ U.S.charges Facebook with racial discrimination in targeted housing ads[EB/OL].(2019-03-28)[2021-10-21].https://www.reuters.com/article/usfacebook-advertisers-idUSKCN1R91E8.

⑨ 陳鵬.算法的權力和權力的算法[J].探索,2019(4):182-192.

⑩ 劉晗.平臺權力的發(fā)生學—網(wǎng)絡社會的再中心化機制[J].文化縱橫,2021(1):31-39+158.

? 陳永偉.什么是互聯(lián)網(wǎng)平臺壟斷？[J].文化縱橫,2021(1):56-64.

? 樊鵬,李妍.馴服技術巨頭：反壟斷行動的國家邏輯[J].文化縱橫,2021(1):20-30+158.

? 方興東,鐘祥銘.互聯(lián)網(wǎng)平臺反壟斷的本質與對策[J].現(xiàn)代出版,2021(2):37-45.

? VAN D J.Platform,power,public counter-power:Governing platformization in Europe[EB/OL].(2021-09-25)[2021-10-21].http://www.pass.va/content/scienzesociali/en/publications/studiaselecta/changing_media/van_dijck.html.

??? 金晶.歐盟《一般數(shù)據(jù)保護條例》:演進、要點與疑義[J].歐洲研究,2018(4):1-26.

? 林凌,李昭熠.個人信息保護雙軌機制：歐盟《通用數(shù)據(jù)保護條例》的立法啟示[J].新聞大學,2019(12):1-15+118.

? 大數(shù)據(jù)戰(zhàn)略重點實驗室.大數(shù)據(jù)概念與發(fā)展[J].中國科技術語,2017(4):43-50.

? HOUSER K A,VOSS W G.“GDPR”:The end of Google and Facebook or a new paradigm in data privacy[J].Social Science Electronic Publishing,2018,25:1.

? EDPB.1 year“GDPR”-taking stock[EB/OL].(2019-05-22)[2021-10-21].https://edpb.europa.eu/news/news/2019/1-year-“GDPR”-takingstock_en.

? VEIL W.The“GDPR”:The Emperor’s new clothes-on the structural shortcomings of both the old and the new data protection law[J].Neue Zeitschrift für Verwaltungsrecht,2018(10):686-696.

? BECHER S I,BENOLIEL U.Law in books and law in action:The readability of privacy policies and the“GDPR”[M]//Consumer Law and Economics.Cham:Springer,2021:179-204.

? 雷婉璐.我國個人信息權的立法保護—對美國和歐盟個人信息保護最新進展的比較分析[J].人民論壇·學術前沿,2018(23):108-111.

? France fines Google $57 million for European privacy rule breach[EB/OL].(2019-01-22)[2021-10-21].https://www.reuters.com/article/us-googleprivacy-france-idUSKCN1PF208.

? Amazon hit with $886m fine for alleged data law breach[EB/OL].(2021-07-30)[2021-10-21].https://www.bbc.com/news/business-58024116.

? EUROPEAN COMMISSION.The Digital Services Act:Ensuring a safe and accountable online environment[EB/OL].(2021-09-25)[2021-10-21].https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digitalage/digital-services-act-ensuring-safe-and-accountable-onlineenvironment_en.

? EUROPEAN COMMISSION.The Digital Markets Act:Ensuring fair and open digital markets[EB/OL].(2021-09-25)[2021-10-21].https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/digital-markets-actensuring-fair-and-open-digital-markets_en.

? 曹杰,王晶.跨境數(shù)據(jù)流動規(guī)則分析—以歐美隱私盾協(xié)議為視角[J].國際經(jīng)貿(mào)探索,2017(4):107-116.

? URSULA v d L.Shaping Europe’s digital future[EB/OL].(2020-02-21)[2021-10-21].https://moderndiplomacy.eu/2020/02/21/shaping-europesdigital-future.

?? PEUKERT C,BECHTOLD S,BATIKAS M,et al.European privacy law and global markets for data[J].Center for Law &Economics Working Paper Series,2020(1).

? CLIAZ G.Study:Google is the biggest beneficiary of the“GDPR”[EB/OL].(2018-10-10)[2021-10-21].https://cliqz.com/en/magazine/study-google-isthe-biggest-beneficiary-of-the-“GDPR”.

? JIA J,JIN G Z,WAGMAN L.The short-run effects of“GDPR”on technology venture investment[R].National Bureau of Economic Research,2018.

? 程關松.個人信息保護的中國權利話語[J].法學家,2019(5):17-30+191-192.

? IAPP.“GDPR”at three[EB/OL].(2021-05)[2021-10-20].https://iapp.org/resources/article/“GDPR”-at-three.

? 寧宣鳳,吳涵,蔣科.個人信息保護立法效果、理念及價值平衡—歐盟“GDPR”生效實施三周年比較與前瞻[EB/OL].(2021-05-25)[2021-10-21].https://mp.weixin.qq.com/s/psTpfYgXd6cF18OuH2ca2Q.

? ICIJ.About the Pandora Papers[EB/OL].[2021-10-03].https://www.icij.org/investigations/pandora-papers/about-pandora-papers-investigation.

? 田新玲,黃芝曉.“公共數(shù)據(jù)開放”與“個人隱私保護”的悖論[J].新聞大學,2014(6):55-61.