刁勝先，徐云燕

（重慶郵電大學 網(wǎng)絡(luò)空間安全與信息法學院，重慶 400065）

大數(shù)據(jù)時代將個人數(shù)據(jù)的價值推到了一個新高點，同時也暴露出了諸多個人數(shù)據(jù)安全問題。如何在保護個人數(shù)據(jù)和促進經(jīng)濟發(fā)展中尋求一個平衡點，成為一個難點。從總體上看，理論界對于個人信息的保護主要從三個方面研究。第一，從個人數(shù)據(jù)保護角度進行研究；第二，從歐盟《一般數(shù)據(jù)保護條例》（General Data Protection Regulation，以下簡稱GDPR或《條例》）整體進行宏觀研究；第三，從GDPR中各項權(quán)利進行研究。反對權(quán)并非是GDPR首創(chuàng)，而是沿用1995年《數(shù)據(jù)保護指令》（以下簡稱《95指令》）中第14條規(guī)定，并在此基礎(chǔ)上加以擴充。國外文獻大多研究自動化決策的相關(guān)問題，國內(nèi)也鮮有單獨研究反對權(quán)的文獻，而多為研究反自動化決策權(quán)。對GDPR反對權(quán)的權(quán)利屬性、法律保護基礎(chǔ)、權(quán)利構(gòu)造、實踐運行等進行分析考察，可為我國相關(guān)立法提供參考。

一、反對權(quán)內(nèi)涵解析

（一）反對權(quán)概念

根據(jù)歐盟于2018年5月25日正式施行的GDPR，反對權(quán)是指數(shù)據(jù)控制者或處理者在對個人數(shù)據(jù)進行某些特定處理時，該個人數(shù)據(jù)主體基于對自己個人數(shù)據(jù)的保護，可以隨時提出反對的權(quán)利。

設(shè)立反對權(quán)的目的在于給予數(shù)據(jù)主體控制權(quán)，它肯定了數(shù)據(jù)主體對個人數(shù)據(jù)的支配權(quán)，是一項高度人身性權(quán)利。目前信息技術(shù)的進步，使個人數(shù)據(jù)被廣泛而輕易地收集、提供、利用、儲存和傳輸，進而催生出“信息繭房”、大數(shù)據(jù)殺熟等現(xiàn)象，信息主體對個人數(shù)據(jù)的失控有增無減。正確地實施反對權(quán)，有利于保障個人數(shù)據(jù)權(quán)益，落實個人數(shù)據(jù)自決的理念。

反自動化決策權(quán)是反對權(quán)的一種特殊情況和行使方式，二者共同構(gòu)成GDPR第三章第四節(jié)。第一，從權(quán)利性質(zhì)與設(shè)立目的看，兩者都屬于數(shù)據(jù)主體的控制權(quán)，是一種私權(quán)利，都為保障個人信息利益不受損害而設(shè)立。第二，反對的處理范圍上，反自動化決策權(quán)針對的數(shù)據(jù)處理范圍為完全依靠自動化處理（包括用戶畫像）作出的對數(shù)據(jù)主體產(chǎn)生重大影響的決策，而反對權(quán)反對的個人數(shù)據(jù)進行處理范圍包括非自動化與自動化處理，可見后者包含前者。第三，行使方式上，兩者都是通過反對他人處理自己數(shù)據(jù)的方式來行使自己的權(quán)利。

（二）GDPR中反對權(quán)的權(quán)利構(gòu)造

1）反對權(quán)的權(quán)利主體是個人信息主體

GDPR序言第1條第（2）款和第14條規(guī)定GDPR保護主體是自然人，排除了企業(yè)和法人。其主要原因在于個人信息權(quán)主要保護個人人格利益，企業(yè)和法人并無私生活，也無精神痛苦，企業(yè)與法人還可通過商業(yè)秘密或財產(chǎn)權(quán)途徑來維權(quán)。同時，GDPR也對特殊群體有單獨規(guī)定，對特殊自然人適用特定程序，對死人不適用。

2）反對權(quán)的義務(wù)主體是不特定的多數(shù)人

根據(jù)GDPR第4條第（7）款與第（8）款規(guī)定，反對權(quán)的義務(wù)主體為數(shù)據(jù)的控制者與處理者，主要包括單獨或連同他人共同處理個人數(shù)據(jù)的主體。通常情況下有公共機構(gòu)、法人、自然人、代理機構(gòu)和其他組織，但具體的標準可由歐盟或其他成員國根據(jù)法律予以規(guī)定?！皵?shù)據(jù)控制者”的概念起源于《95指令》，之后便被廣泛使用。但處于大數(shù)據(jù)時代，通過行為目的和手段來判斷何為“數(shù)據(jù)控制者”較為困難。我國《民法典》已拋棄“控制者”這一稱謂，將進行個人信息處理的主體統(tǒng)一稱為個人信息處理者，該處理者對信息主體行使查閱權(quán)、復制權(quán)、異議并更正等必要措施采取權(quán)和刪除權(quán)時的配合義務(wù)，對個人信息安全承擔“安全保障義務(wù)”。

GDPR第22條規(guī)定，反對權(quán)主要適用于個人數(shù)據(jù)，包括用戶畫像在內(nèi)的自動化處理數(shù)據(jù)。單純的匿名化信息，或是已經(jīng)變?yōu)閿?shù)字化而不指向數(shù)據(jù)主體的信息，不屬于GDPR中個人數(shù)據(jù)范圍。但匿名化信息也存在漏洞，主要原因在于，匿名化并非完全不可能識別個人，收集匿名信息的平臺還存在識別的可能性。反對權(quán)是要求無論在任何時候，除了獲得數(shù)據(jù)主體的明確同意或者為了公共利益或官方履職前提下，其他主體不得私自對于數(shù)據(jù)主體的個人數(shù)據(jù)進行各種處理。網(wǎng)絡(luò)瀏覽痕跡是否屬于反對權(quán)客體，在學界爭議較多。有名的CooKie案中，一審二審對于瀏覽痕跡的認定區(qū)別較大，二審認定其未侵權(quán)的原因，主要在于瀏覽痕跡不具有識別性。

反對權(quán)是指個人數(shù)據(jù)主體基于對自己個人數(shù)據(jù)的保護，對特定處理行為可以隨時提出反對的權(quán)利。GDPR第4條第（2）款中規(guī)定了“處理”的方式，由此可見，反對權(quán)的保護范圍不是單純的保護數(shù)據(jù)，而是保護整個數(shù)據(jù)的處理過程。這個概念繼承了《95指令》中第2條第（b）項的“處理”概念，不僅包括自動化處理，也包括手動處理。此外，當數(shù)據(jù)被包含或意圖包含于文檔系統(tǒng)，且文檔依托于特定標準建構(gòu)時，處理行為同樣受到GDPR的管轄。但是為了協(xié)調(diào)個人與公共利益之間的關(guān)系，GDPR同時也給予了數(shù)據(jù)控制者及處理者一定的緩沖余地，對個人數(shù)據(jù)反對權(quán)進行限制，這體現(xiàn)在反對權(quán)針對的三種處理情形中。

第一種，事先同意或反對。處理個人數(shù)據(jù)的目的是為了直接營銷，那么此時數(shù)據(jù)控制者或處理者在使用前，都需獲得個人數(shù)據(jù)主體的同意。若數(shù)據(jù)主體反對，那么數(shù)據(jù)控制者或處理者不得就同一個數(shù)據(jù)進行處理。不僅如此，即便數(shù)據(jù)主體在開始處理時沒有行使反對權(quán)，在此后的任何一個環(huán)節(jié)，數(shù)據(jù)主體都有權(quán)隨時反對這種處理，包括處理與之相關(guān)的用戶畫像。

第二種，事先不需同意、事中隨時反對。個人數(shù)據(jù)處理的目的是官方履行某項任務(wù)或者數(shù)據(jù)控制者或第三方追求正當利益，此類型數(shù)據(jù)控制者在使用該個人數(shù)據(jù)之前無須經(jīng)過數(shù)據(jù)主體的同意，數(shù)據(jù)主體可隨時行使其反對權(quán)。不過當數(shù)據(jù)控制者有合理的證據(jù)證明其處理行為的正當性可以凌駕于數(shù)據(jù)主體的利益、權(quán)利和自由之上，或者該處理行為是為了提起、行使或辯護法律主張時，數(shù)據(jù)主體的反對請求可能被拒絕。但是GDPR同時對于追求正當利益的情形進行了額外的特別限制。

第三種，公共利益必要外的反對。個人數(shù)據(jù)處理的目的是因科學、歷史研究或者統(tǒng)計目的時，數(shù)據(jù)主體的反對權(quán)是有限制的，只有在該處理對執(zhí)行公共利益的任務(wù)不是必要時才能行使反對權(quán)。

二、GDPR中反對權(quán)的實證考察

GDPR實施以來，截至2019年3月，來自27個歐洲經(jīng)濟區(qū)的數(shù)據(jù)保護機構(gòu)的統(tǒng)計數(shù)據(jù)顯示，共上報了281 088例案件；截至2021年7月28日，通過GDPR執(zhí)法追蹤器（https：//www.enforcementtracker.com/）查詢2018年5月25日—2021年7月28日罰款案例的結(jié)果顯示，遭受罰款的案例共有753例，其中涉及GDPR第21條反對權(quán)的處罰為35例，涉及GDPR第22條反自動化處理權(quán)的處罰為3例。根據(jù)GDPR的相關(guān)規(guī)定，結(jié)合統(tǒng)計學原理及相關(guān)法學理論，設(shè)置了處罰國家、處罰時間、被罰單位類型、罰款金額、觸犯條款、被處罰原因等6個變量。以實踐中反對權(quán)的處罰情況為主要分析點，厘清現(xiàn)有的理論與處罰之間的差距，為我國反對權(quán)的設(shè)立提供一些數(shù)據(jù)支持。

（一）反對權(quán)罰款案例數(shù)量逐年上升

樣本總體來看，在753個案例中，有11個案例未列明時間，有列明時間的案例為742例，其中2018年10例、2019年160例、2020年341例、2021年1月1日至7月28日231例，雖然今年的數(shù)據(jù)還未完全統(tǒng)計，但才半年時間已超過了去年數(shù)量的一半，由此可見，案件的總體數(shù)量是在逐年增多的。GDPR的21條與22條亦是如此，2019年7例、2020年16例、2021年1月1日至7月28日15例，整體案例數(shù)量逐年上升。案例數(shù)量增多可以從側(cè)面看出各國對于個人數(shù)據(jù)保護的日益重視。

（二）反對權(quán)罰款案件數(shù)量較少，但罰款總金額較高且各國間差異較大

753例案例中有14例案例未列明是否有處罰，8例案例列明只開罰單未罰款，罰款金額共計746 935 227歐元、平均值為1 010 738歐元、標準差為18 516 194.6歐元、罰款最高為500 000 000歐元，最低為0元。總體來看，GDPR罰款的數(shù)量占總的上報案例的數(shù)量偏低，通過標準差以及最高、最低值可知，各國罰款金額差異較大。

以GDPR第21條進行懲處的案例有35例，以GDPR第22條進行懲處的案例有3例，兩者相加共計38例，僅占總數(shù)的5.0%，罰款金額中有3例金額未列明，其余35個案例金額共計64 818 428歐元，占總數(shù)的8.6%。平均值為1 851 955.08歐元、標準差為5 261 400.365歐元、最高為27 800 000歐元、最低為1 000歐元。通過以上數(shù)據(jù)可知，以GDPR21條、22條處罰的案例數(shù)量占總數(shù)的比例較少，但罰款金額偏高，平均值比總體罰款案例的平均值高841 217.08歐元。不過標準差較總體罰款案例的值較低，罰款金額比總體罰款金額更為集中。

GDPR第83條定義了兩種處罰標準。根據(jù)第5款規(guī)定可知，違反GDPR第21條和第22條，罰款金額可至2000萬歐元或是上一財務(wù)年度全球總營業(yè)額的4%，以金額較高者為準?？梢奊DPR第21條與第22條處罰的平均值1 851 955.08歐元接近最高罰款額，罰款金額偏高。

（三）反對權(quán)處罰的原因較為集中

GDPR第83條規(guī)定了行政罰款的一般條件，GDPR執(zhí)法案例追蹤器中將處罰的原因歸為了九類。分別為：數(shù)據(jù)處理的法律依據(jù)不足（35.8%）、確保信息安全的技術(shù)和組織措施不足（21.2%）、不遵守一般數(shù)據(jù)處理原則（19.4%）、數(shù)據(jù)主體的權(quán)利履行不足（10.1%）、信息義務(wù)履行不足（6%）、與監(jiān)管部門的合作不足（4.5%）、數(shù)據(jù)處理協(xié)議不足（0.5%）、缺乏數(shù)據(jù)保護官任命（0.5%）?？梢?，處罰的原因較為集中，以數(shù)據(jù)處理的法律依據(jù)不足、確保信息安全的技術(shù)和組織措施不足、不遵守一般數(shù)據(jù)處理原則三者為主，占據(jù)了76.4%。

GDPR第21條與第22條也是如此，數(shù)據(jù)處理的法律依據(jù)不足有14例、數(shù)據(jù)主體的權(quán)利履行不足有16例、不遵守一般數(shù)據(jù)處理原則有7例、確保信息安全的技術(shù)和組織措施不足有1例。在對這些案件進行細化分析后發(fā)現(xiàn)，受處罰的原因大部分為數(shù)據(jù)處理者在收到當事人反對通知后仍繼續(xù)使用數(shù)據(jù)主體的數(shù)據(jù)。

（四）適用反對權(quán)處罰的國家較少且罰款金額與罰款數(shù)量不一致

總體來看，罰款數(shù)量排名前十的國家為西班牙（32%）、意大利（11%）、羅馬尼亞（7.8%）、匈牙利（5%）、挪威（4%）、德國（4%）、波蘭（3.7%）、捷克共和國（3.3%）、比利時（3.2%）、瑞典（2.9%）?？梢?，罰款的國家是較為集中的，以西班牙和意大利、羅馬尼亞為主，但此三國的罰款金額并不高，平均值西班牙為121 609.17歐元，意大利為957 430.96歐元，羅馬尼亞為11 777.11歐元。罰款數(shù)額最高的為法國，平均值為31 681 956.25歐元，但其罰款數(shù)量僅16例，占所有案件數(shù)量的2.1%。

歐盟27個成員國中，僅12個國家對觸犯反對權(quán)的數(shù)據(jù)處理者進行了處罰，處罰國家較為比較集中。其中法國2例、德國2例、希臘2例、羅馬尼亞3例、意大利6例、西班牙12例、匈牙利1例、比利時3例、捷克共和國4例、挪威1例、芬蘭1例、荷蘭1例。與樣本總體情況類似，西班牙雖案例數(shù)最多，但罰款金額不高，平均值為687 464.16歐元，罰款金額較高的為意大利，為9 288 600.16歐元。

由此可見，罰款數(shù)量較多的國家其罰款的金額并不高，更多的是一種警告式的罰款，而一些國家罰款數(shù)量較少，但金額卻比較大，可以推斷，雖GDPR中規(guī)定了判罰金額，但各國之間懲治的方式不一致，某些國家以小懲量多為主，某些國家以大額罰款為主。

（五）同時依據(jù)其他條款一并處罰較多

從樣本總體來看，753個樣本中有251例是單獨依據(jù)1個條例處罰的，其中以第5條（85例）、第32條（68例）、第6條（64例）為主。

單獨依據(jù)21條進行處罰的案例共5例。其余都是同時觸犯了其他條款，其中第五條17次、第六條19次、第七條5次、第十二條7次、第十三條3次、第十四條2次、第十五條5次、第十六條4次、第十七條11次、第十八、十九、二十條各3次、第二十三條5次、第二十四條4次、第二十五條5次、第二十八條4次、第三十、三十一條各1次、第三十二條4次、第三十三條2次、第三十四條1次、第三十五條1次。

根據(jù)以上分析可知，觸犯21條與22條的同時，極易觸犯第五、六、十七條。分別對應(yīng)了數(shù)據(jù)處理的原則、合法性與被遺忘權(quán)。

三、對GDPR反對權(quán)的反思與分析

從考察可知，GDPR在立法上明確確立了個人數(shù)據(jù)反對權(quán)，并對權(quán)利內(nèi)容分出兩個層面，即一般反對權(quán)和反自動化決策權(quán)。圍繞權(quán)利的行使、限制和救濟，GDPR也做了較為立體和全面的設(shè)計。同時，GDPR反對權(quán)具有技術(shù)可行性而被實踐，但在實踐中存在罰款案件數(shù)量逐年上升，罰款總金額較高、處罰原因集中、罰款金額差別較大、同時依據(jù)其他條款一并處罰的多等。受處罰的原因大部分為數(shù)據(jù)處理者在收到當事人反對通知后仍繼續(xù)使用數(shù)據(jù)主體的數(shù)據(jù)等情形，這說明信息主體單獨依靠反對權(quán)、自行主張或行使反對權(quán)的效果較差，實踐運行中并非不可或缺或具有普遍性，而需要借“處罰”的公權(quán)力進行補救。對此，結(jié)合我國國情，該權(quán)利獨立存在的必要性、正當性及其性質(zhì)等，尚有堪疑和探討空間。

（一）GDPR反對權(quán)的立法設(shè)計尚存不足

1）“僅采用自動化處理手段”與“人工干預”關(guān)系不清

GDPR第22條并未規(guī)定“采用自動化處理手段作出的決策”是指所有證據(jù)和判斷完全基于自動化手段進行的決策。歐盟第29條工作組的第4份指導意見——《關(guān)于自動化個人決策目的和識別分析目的準則》（以下簡稱《自動化準則》）中也認為“基于單獨地”自動化處理，意味著在決策制定過程中沒有人為干預；同時解釋表明實際標準為“是否產(chǎn)生了實質(zhì)的影響”，而并不是完全排除所有的人為痕跡。

2）“法律影響或類似重大影響”外延不明

反對自動化決策權(quán)行使的前提是自動化處理的行為產(chǎn)生了法律效力或是類似重大影響，但是對“法律效力與類似重大影響的界限”并無明確說明。GDPR在《95指令》的基礎(chǔ)上將“重大影響的法律決策”變?yōu)椤皩?shù)據(jù)主體產(chǎn)生了法律效力”。《自動化準則》認為法律效力是一種對某個人的法律權(quán)利會產(chǎn)生影響的處理活動，或是一些影響某個自然人法律地位的情況；對“類似的重大影響”理解為在決策制定過程未對某個人在法律上的權(quán)利產(chǎn)生影響，仍然可以適用反自動化決策權(quán)。GDPR中引用“近似”來推敲“重大影響”，這說明“重大影響”參照了“法律效力”強度，其適用并非無邊無際。GDPR也并未明確界定“重大”的范圍。其原因在于，同一件事針對不同群體影響不同，且標準很難統(tǒng)一，即使是網(wǎng)上銷售或價格歧視，在某些情況下也可被視為與第22條有關(guān)的重大影響。

反自動化決策權(quán)中，當數(shù)據(jù)控制者處理的個人數(shù)據(jù)屬于特殊敏感數(shù)據(jù)時，無論該處理是基于上述何種情況，數(shù)據(jù)主體都有權(quán)反對自動化決策?？梢娞厥饷舾袛?shù)據(jù)的保護較之一般數(shù)據(jù)更加嚴厲。GDPR第9條在《95指令》對敏感數(shù)據(jù)分類的基礎(chǔ)上，增加了唯一識別特定自然人的生物數(shù)據(jù)、基因數(shù)據(jù)和性取向數(shù)據(jù)。GDPR又將特殊類型的個人數(shù)據(jù)分為三類，并對敏感數(shù)據(jù)的保護是越來越嚴格。不僅如此，敏感數(shù)據(jù)不是單純地列舉信息，而是包括由一些數(shù)據(jù)推斷或轉(zhuǎn)化的特殊類型數(shù)據(jù)。GDPR中對于可被處理的敏感信息，僅限于兩種情況：一種是數(shù)據(jù)主體的明確同意；二是數(shù)據(jù)處理的必要性是建立在重大公共利益的原因基礎(chǔ)上，結(jié)合歐盟或成員國法律恰當追求的目標，尊重數(shù)據(jù)保護的權(quán)利的本質(zhì)，提供合適的和具體的措施以保障數(shù)據(jù)主體的基本權(quán)利和問題。

隨著人工智能的不斷發(fā)展，算法自動化決策被各領(lǐng)域廣泛利用。從個人信息獲取的角度來講，算法自動化決策在提升工作效率與節(jié)約時間的同時，會出現(xiàn)“算法殺熟”現(xiàn)象與“信息繭房”效應(yīng)，長此以往，還會進一步引發(fā)同質(zhì)化效應(yīng)與同聲室效應(yīng)。隱私泄露會發(fā)生在算法預測階段，因為之前未向網(wǎng)絡(luò)平臺披露過的個人信息經(jīng)過深度算法預測會被推測和披露出來。目前算法黑箱難以避免，其危害主要體現(xiàn)在兩個方面：一方面，算法存在來自機器偏差的“歧視”；另一方面，人工無法解釋算法決策。雖然GDPR在《95指令》基礎(chǔ)上，延展了數(shù)據(jù)主體對于控制者處理的個人數(shù)據(jù)的知情權(quán)及訪問權(quán)，在“免受自動化決策”基礎(chǔ)上提出“數(shù)據(jù)畫像”，增設(shè)數(shù)據(jù)遺忘權(quán)、訪問和攜帶數(shù)據(jù)權(quán)以及數(shù)據(jù)泄露的通知義務(wù)，但是基于算法模型的不透明性而沒有賦予數(shù)據(jù)主體解釋算法決策的個人權(quán)利。對于算法中存在的個人信息保護問題，反對權(quán)、反自動化決策是否能反對算法，是現(xiàn)階段理論界和實踐界需共同攻克的難題。

根據(jù)GDPR第22條第（2）款和第（4）款的規(guī)定，數(shù)據(jù)控制者可使用數(shù)據(jù)主體的個人數(shù)據(jù)，但需采取適當?shù)拇胧┍Ｕ蠑?shù)據(jù)主體的權(quán)利、自由、合法利益。但哪些為適當措施，GDPR在正文中并未明確規(guī)定。在序言第71條中規(guī)定了適當保障，包括向數(shù)據(jù)主體提供具體信息、獲得人為干預的權(quán)利、表達數(shù)據(jù)主體的觀點、在評估后獲得決定解釋權(quán)并質(zhì)疑該決定等措施?！蹲詣踊瘻蕜t》強調(diào)，有效地保障措施還應(yīng)包括對其處理的數(shù)據(jù)進行頻繁的評估，以檢查任何的偏差，例如不正確的分類、不精確地預測、對個人的負面影響；在此基礎(chǔ)上開發(fā)解決任何有害因素的方法，包括對相關(guān)性的過度依賴，定期檢查評估結(jié)構(gòu)的準確性和相關(guān)性等。

《自動化準則》在附件1中提到的一份具體建議清單，是對第22條第（3）款下的實際保障措施。研究歐盟各成員國立法可發(fā)現(xiàn)，雖說GDPR中規(guī)定了各國要設(shè)立適當?shù)拇胧?，但各國情況仍不相同。導致這些差異的因素各有不同，一般包括：各國在隱私保護、網(wǎng)絡(luò)風險感知和技術(shù)監(jiān)管方面的文化史、法律史和經(jīng)濟背景不同；不同國家愿意向公民提供更多個人權(quán)利或施加更多義務(wù)不同；不同成員國執(zhí)行歐盟指令的一般標準不同?？梢?，大部分國家沒有規(guī)定具體的保障措施，現(xiàn)有保障措施也沒有完全涵蓋所有行為，在此項保障上還需進一步完善。

（二）各國對GDPR反對權(quán)的監(jiān)管與執(zhí)法水平不統(tǒng)一

目前，GDPR的實施對于個人數(shù)據(jù)保護起到了良好的宣傳作用，使歐盟民眾比以前更關(guān)注他們的數(shù)據(jù)權(quán)利。調(diào)查顯示，2015年，大多數(shù)西班牙人（57%）、羅馬尼亞人（52%）和匈牙利人（52%）不知道數(shù)據(jù)保護機構(gòu)的存在；大多數(shù)荷蘭人（57%）和瑞典人（54%）不知道該向誰投訴侵犯隱私；在法國、意大利和比利時，分別有55%、50%和47%的受訪者表示，從未聽說過GDPR。而現(xiàn)在有57%的人了解到國家專設(shè)了數(shù)據(jù)保護局，提供個人數(shù)據(jù)權(quán)的保障，有67%的人聽說過GDPR這部法律。

但是，GDPR的監(jiān)管沒有完全落實。一方面，面對GDPR對個人數(shù)據(jù)近乎嚴苛的保護，很多企業(yè)負擔重，保護措施尚未完善；另一方面，基于各國執(zhí)法路徑與社會文化差異，各個國家執(zhí)法水平參差不齊的現(xiàn)狀短期內(nèi)難以改善，也會導致GDPR“統(tǒng)一規(guī)則和執(zhí)法統(tǒng)一”淪為一紙空文。

四、GDPR反對權(quán)啟示下的我國選擇

（一）我國反對權(quán)現(xiàn)狀

立法上，我國2013年《消費者權(quán)益保護法》規(guī)定“經(jīng)營者未經(jīng)消費者同意或者請求，或者消費者明確表示拒絕的，不得向其發(fā)送商業(yè)性信息”，這最多可算我國反對權(quán)的一種近似表現(xiàn)，因為“發(fā)送商業(yè)性信息”與GDPR中“法律影響或類似重大影響”相去較遠。2013年《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》、2015年《刑法修正案（九）》、2020年《民法典》和2020年全國人大常委會審議的《中華人民共和國個人信息保護法（草案）》（以下簡稱《草案》），都未設(shè)立獨立的反對權(quán)。

2015年以來，我國相繼出臺多部法律法規(guī)，為人臉識別技術(shù)的應(yīng)用奠定了重要基礎(chǔ)。自動識別技術(shù)在帶來便利的同時，也存在著多種風險。普通方式下，用戶可以通過設(shè)置密碼、密?；蚴謾C驗證等方式來加強其個人信息的安全性，被盜還可以通過掛失、修改等手段及時阻止信息外流。而自動識別技術(shù)不需要多種驗證就可使用，這對個人信息、個人財產(chǎn)、人身安全方面都有巨大的隱患。如媒體報道浙江小學生用照片便可打開快遞柜案、四川偵破破壞支付寶系統(tǒng)案。自動識別技術(shù)往往使用生物信息，而生物信息具有100%的可識別性，一旦被泄露或是被不當利用，后果無法估量，因此對其利用出現(xiàn)許多質(zhì)疑聲音。被稱為“中國人臉識別第一案”的郭某訴某野生動物世界采集游客人臉信息案，“清華大學勞東燕教授拒絕小區(qū)人臉識別案”，可以認為是對人臉這一個人信息進行識別處理的一種反對，屬于GDPR中反對權(quán)范疇。

總體上，我國法律對反對權(quán)的立法還處于一個初級的摸索階段，目前對反對權(quán)的獨立權(quán)利地位及其概念與內(nèi)涵沒有明確；立法或草案存在一些反對權(quán)的實質(zhì)性內(nèi)容，但適用范圍較窄，未規(guī)定法律責任與救濟途徑。如《消費者權(quán)益保護法》規(guī)定“經(jīng)營者未經(jīng)消費者同意或者請求，或者消費者明確表示拒絕的，不得向其發(fā)送商業(yè)性信息”，該條只適用在消費者與經(jīng)銷商之間，并主要起提醒式作用，因為沒有規(guī)定懲罰方式與救濟途徑。

（二）GDPR反對權(quán)之于我國的反思與啟示

顯然，在歐盟立法體系里，GDPR反對權(quán)是個人信息自決權(quán)的一項獨立權(quán)利內(nèi)容，性質(zhì)屬于基本人權(quán)。但是，對于反對權(quán)的內(nèi)容與法益，我國是否應(yīng)該全盤移植，還是本土化改造后加以借鑒，再抑或是獲得啟示后全新設(shè)計，尚需要結(jié)合我國實際國情，深入全面地論證。首先，全盤移植絕不可取，因為前述表明，該權(quán)利立法上和實踐效果上都有不足，尚待進一步檢驗和完善。其次，個人信息保護的立法上，歐美一直在領(lǐng)跑世界，我國的一些研究和立法對此難免有借鑒和本土化思考。但“本土化”思維，是以歐美立法為本位，本土化的權(quán)利既來源于該法律權(quán)利譜系，去向上又力求能銜接于該權(quán)利譜系的坐標而與之接軌。這不符合我國法治的本土主義發(fā)展需求，即立足于本土，從自身的立法變遷和社會需求出發(fā)，哪怕是借鑒和吸收外在的經(jīng)驗，最終也是服務(wù)于自己的發(fā)展，而不刻意去迎合外在的坐標體系。因此，GDPR反對權(quán)對于我國存在一定啟示，但是我國的制度設(shè)計應(yīng)當采取全新設(shè)計的路徑。但毫無疑問，GDPR反對權(quán)的設(shè)立和實踐表明，在個人信息權(quán)益保護中，信息主體以反對的方式來維護權(quán)益、掌控個人信息等情況是不可或缺的手段，法條中也當有此內(nèi)容。

（三）對我國反對權(quán)內(nèi)容的立法選擇與建議

一項權(quán)利的獨立，需要具備較多條件，包括法益的獨立性、必要性，外延的明確性、可行性，理論、立法與司法的現(xiàn)實支撐等。我國《民法典》尚未確立個人信息權(quán)的獨立權(quán)利地位，正反映了上述問題在我國并未得到解決和統(tǒng)一，作為個人信息權(quán)內(nèi)容的反對權(quán)自然不例外。同時，GDPR反對權(quán)本身存在不足，我國對此應(yīng)加以避免和克服。因此，我國立法不宜將該權(quán)利定性為獨立權(quán)利；即便使用“反對權(quán)”表述，也屬于其他意義上使用，而非指權(quán)利類型。當然，這不影響、也不否認，我國立法、司法實踐中已經(jīng)或應(yīng)該存在相關(guān)內(nèi)容。對此，我們可以選擇其他方式加以處理。

1）明確“反對”是所有個人信息權(quán)益的權(quán)能行使方式

我國《民法典》《網(wǎng)絡(luò)安全法》并未將反對權(quán)明確為獨立的個人信息權(quán)利種類；《個人信息法（草案）》雖然在權(quán)利條款第44條使用了“有權(quán)限制或拒絕他人對其個人信息進行處理”的表述，但結(jié)合整個條文和整個規(guī)范來看，將此解釋為“知情決定權(quán)”消極權(quán)能之描述、而不是反對權(quán)的賦權(quán)條款，則更合理。因此，“個人信息反對權(quán)”不應(yīng)成為與訪問權(quán)、復制權(quán)、刪除權(quán)、更正權(quán)等并列的權(quán)利類型，而是作為抽象整體的個人信息自決權(quán)益具備的一項基本的消極權(quán)能，與訪問、修改、變更等正面自決的積極自決權(quán)能構(gòu)成一枚硬幣的兩面，是自決權(quán)能的反向保障，并貫穿在訪問權(quán)等不同的具體權(quán)利種類中。

2）以權(quán)益救濟方式明確得以反對的處理情形與例外

當個人信息被他人處理，信息主體的權(quán)益就處于危險之中。為此，信息主體以事前反對收集、事中事后反對處理等方式救濟個人信息自決權(quán)利，實有必要。其救濟的具體情形，可借鑒GDPR設(shè)定，作出適合我國國情的規(guī)定。比如，對一般數(shù)據(jù)適用默示同意規(guī)則，在此基礎(chǔ)上可將反對行為分為三類：第一類，事先同意或反對，此項可針對敏感數(shù)據(jù)或直接用于營銷的數(shù)據(jù)，包括與直接營銷有關(guān)的數(shù)據(jù)畫像，數(shù)據(jù)主體可在數(shù)據(jù)被收集時直接予以同意或反對。第二類，無須收集時事先同意，但事中數(shù)據(jù)主體可以隨時反對。此類反對權(quán)主要適用于一般數(shù)據(jù)。收集時事先可以不征得數(shù)據(jù)主體的同意，但當數(shù)據(jù)主體行使反對權(quán)時，數(shù)據(jù)處理者應(yīng)立即處理。第三類，公共利益必要外的反對。個人數(shù)據(jù)處理的目的是因科學、歷史研究或者統(tǒng)計目的時，數(shù)據(jù)主體的反對權(quán)是有限制的，只有在該處理對執(zhí)行公共利益的任務(wù)不是必要時才能行使反對權(quán)。

3）合理設(shè)置“同意”標準并與反對內(nèi)容銜接

反對發(fā)生的一大前提是數(shù)據(jù)主體未同意。因此，“同意”標準合理與否，直接影響反對的啟動和效果。如果標準過高，反對權(quán)啟動頻繁，會影響個人數(shù)據(jù)的處理利用；如果過低，反對權(quán)啟動較少，又不利于保護個人信息自決權(quán)。GDPR將“同意”規(guī)定為明示的同意，WP29條工作組對其進一步細化：如果數(shù)據(jù)處理存在多項目的，那么每一個收集行為均應(yīng)單獨取得同意，反過來說，多項同意不得在接受服務(wù)之初捆綁在一起?？梢姡珿DPR適用了較高的“同意”標準。同樣，我國于2019年初發(fā)布的《關(guān)于開展App違法違規(guī)收集使用個人信息專項治理的公告》規(guī)定了個人信息主體自主選擇同意，不以默認、捆綁、停止安裝使用等手段變相強迫用戶授權(quán)。顯然，“一攬子捆綁同意”仍然是我國個人信息保護規(guī)制的重點。但要完全分開同意，不僅會加大企業(yè)成本，還會使數(shù)據(jù)主體陷入一種“勾選疲勞”，降低使用舒適感。如何平衡好兩者的關(guān)系，在大數(shù)據(jù)時代極為重要。對于“同意”標準，進行分類和細化設(shè)計，并與反對權(quán)的行使相銜接，是一種可行的思路。

首先，“同意”與法律強行規(guī)定沖突時，何者優(yōu)先？一般情況下，本著意思自治原則，信息主體的同意應(yīng)得到尊重，未經(jīng)同意的處理可被反對。但同時，個人信息具有公共資源屬性，因為國家安全利益、必要的公共利益等需要，特定情形下法律強制規(guī)定可以優(yōu)先于信息主體的同意。其次，“同意”的內(nèi)容意味著可以被處理，但當撤回同意后，則因為處理不再具有授權(quán)而可被反對。再次，未經(jīng)同意的內(nèi)容，是否一定可以反對呢？按照權(quán)利推定原則，未經(jīng)明確同意、也未明確反對的數(shù)據(jù)處理內(nèi)容，應(yīng)當推定為不得進行處理，除非有法定的正當理由或依據(jù)。最后，完善“同意”的細化規(guī)則。現(xiàn)實中，同意機制一度失靈，因為信息主體與信息控制者的強弱不同，格式合同等剝奪了信息主體的真實意思。但是，隨著不同立法的重視和細化，對信息控制者作出相應(yīng)義務(wù)規(guī)定，為信息主體有效表達“同意”作出了保障。但是，隨著技術(shù)的發(fā)展，表達“同意”的場景隨之變化，所以立法也應(yīng)隨時跟進，對“同意”的規(guī)則不斷細化、修改和完善。只有明確了“同意”的真實性和有效性，后續(xù)對數(shù)據(jù)處理是否得以反對才能有效落實。

GDPR中的特殊主體僅限于兒童，這將不利于精神病人等限制民事行為能力人與無民事行為能力人的權(quán)利保護。我國可將特殊主體擴大為限制民事行為能力人與無民事行為能力人。無民事行為能力人與限制民事行為能力人的區(qū)分，可參考《民法典》規(guī)定，以8周歲和能否辯論自己行為為界。年滿16周歲不滿18周歲，以自己勞動收入為主要生活來源的，可視為完全民事行為能力人。

無民事行為能力人在行使反對權(quán)時，需要監(jiān)護人進行參與和指導，參與和指導的范圍根據(jù)WP29條小組建議采用比例法，以符合GDPR中規(guī)定的數(shù)據(jù)最小化原則。例如：可以通過銀行交易的方式要求父母或監(jiān)護人向控制者支付0.01歐元，在交易描述中做一個簡短確認，即該銀行賬戶持有者是對相關(guān)用戶負有監(jiān)護責任者。在適當情況下，還應(yīng)提供另一種核查方法，以防止對沒有銀行賬戶的人造成不適當?shù)钠缫暋Ｏ拗泼袷滦袨槟芰θ嗽趯嵤┓磳?quán)時，針對符合自己年齡與智力水平的可享有完全的反對權(quán)，不能辨認的部分參考無民事行為能力人。

GDPR反對權(quán)針對的特殊數(shù)據(jù)主要為敏感數(shù)據(jù)，而未包括匿名化數(shù)據(jù)。我國可將不同的匿名化數(shù)據(jù)按類型區(qū)分處理，以是否最終完全避免識別到個人為標準分為三類。第一類，針對直接匿名收集的數(shù)據(jù)，雖然在收集個人數(shù)據(jù)時是匿名的，但也可通過上網(wǎng)的IP，數(shù)據(jù)流量產(chǎn)生的地址來查詢到個人，此類數(shù)據(jù)主體得以反對。第二類，帶有很強生物特征的匿名數(shù)據(jù)，如人臉識別技術(shù)收集的個人數(shù)據(jù)。雖在收集時只是將人臉的生物信息數(shù)字化進行存儲識別。但此類技術(shù)人身屬性很強，不存在真正的“匿名”，也屬于個人數(shù)據(jù)的一種，其處理可在反對范圍。第三類，針對單純由算法處理產(chǎn)生的匿名數(shù)據(jù)。此類數(shù)據(jù)由算法加工得到，已經(jīng)失去其識別到個人的可能，數(shù)據(jù)主體不能據(jù)此行使反對。當然，由于特殊數(shù)據(jù)或特殊處理具有時代性和個別性等，需要特定時期的特別界定和規(guī)定，其分類也需要合理、科學和細化考量。本文僅限拋磚引玉，該問題尚需專門深入的研究。

在人工智能時代，為我們生活帶來極大便利的美團、餓了么、京東、淘寶、網(wǎng)易云音樂、抖音等，都在廣泛使用自動化決策。該技術(shù)在促進數(shù)據(jù)的高速流通、節(jié)約時間成本方面有極大的優(yōu)勢。自動化處理已不單單是基于數(shù)據(jù)庫編碼的計算機自動化，而逐漸演變?yōu)榛谏窠?jīng)網(wǎng)絡(luò)的超級自動化?，F(xiàn)在的自動化技術(shù)已可根據(jù)現(xiàn)有信息推斷出更為廣闊的信息領(lǐng)域，數(shù)據(jù)畫像便是其中一種，其便捷與風險并存，尤其是算法歧視很難通過人類來發(fā)現(xiàn)。我國《個人信息保護法（草案）》對自動化決策規(guī)定了事前風險評估制度，明確了公共事業(yè)領(lǐng)域自動化決策活動應(yīng)當遵循的原則。但事先風險評估中未明確何為風險評估，風險評估的等級、適用范圍也較窄，不好適用。對于自動化決策，可參考GDPR中的反對權(quán)，分不同情況進行設(shè)置，同時注意明確權(quán)利主體的行使條件，確保數(shù)據(jù)主體對敏感數(shù)據(jù)反對權(quán)的有效行使，加強把控算法自動化決策風險。

①“個人數(shù)據(jù)”“個人信息”兩個名詞，當前在學界引起了很多爭議，有些學者專門針對這兩者提出區(qū)分，這也許存在理論上的價值，但就具體立法而言，只要符合語言習慣即可，不必深究。本文不對個人信息、個人數(shù)據(jù)做嚴格區(qū)分，將兩者等同使用。

②“信息繭房”最早由哈佛大學法學院桑斯坦教授提出，意指公眾在海量信息傳播中，因非對信息存有全方位需求，而只關(guān)注自己選擇的或能使自己愉悅的訊息，長此以往，將自己束縛在如蠶織就的信息“繭房”中的現(xiàn)象。

③GDPR第22條第1款規(guī)定：反自動化決策權(quán)是指數(shù)據(jù)主體有權(quán)反對完全依靠自動化處理（包括用戶畫像）作出的對數(shù)據(jù)主體產(chǎn)生嚴重影響的決策。

④江蘇省南京市中級人民法院（2014）寧民終字第5028號民事判決書。

⑤“處理”的方式是包括收集、記錄、組織、建構(gòu)、存儲、修改、檢索、咨詢、使用、披露、傳播或其他方式利用、排列或組合、限制、刪除或銷毀等任何一項或一組操作所作的個人數(shù)據(jù)的集合。

⑥GDPR第6條第1款（f）中規(guī)定：該限制是指，若此時需要通過對于個人數(shù)據(jù)的保護來實現(xiàn)對于數(shù)據(jù)主體的優(yōu)先性利益或者是基本權(quán)利與自由的保護，特別是對于兒童的優(yōu)先性利益或者基本權(quán)利與自由的保護，則為了數(shù)據(jù)控制者或者第三方追求的正當利益而必不可少的數(shù)據(jù)處理行為則不被允許。

⑦本文數(shù)據(jù)是通過GDPR執(zhí)法追蹤器上面的公示案例查出，由于該網(wǎng)站的數(shù)據(jù)每日都在更新，數(shù)據(jù)的時間范圍為2018年5月25日—2021年7月28日，共計753例，詳情參見：https：//www.enforcementtracker.com/訪問時間：2021年7月28日。

⑧第一，對于“政治、宗教信仰、哲學信仰、工會成員資格等個人信息”，原則上可以進行處理，與一般個人數(shù)據(jù)處理的前提條件一致，只是強調(diào)處理過程中不得以揭示該種類型的個人數(shù)據(jù)為目的；第二，對于“個人基因數(shù)據(jù)、生物特征數(shù)據(jù)”，原則上也可以處理，但對目的進行限定，即不得以識別自然人身份為目的；第三，對于“健康數(shù)據(jù)、性生活、性取向等相關(guān)數(shù)據(jù)”，原則上禁止處理。

⑨例如在新冠肺炎疫情防控期間，武漢市民及從武漢返鄉(xiāng)人員幾乎等同于新冠肺炎病毒高危人群，其家庭住址、身份證號碼等被各個方面用于隔離、勸勉等目的。此時，其家庭住址、身份證號碼等在GDPR中就會被當成與健康相關(guān)的信息，而“升格”為特殊類型數(shù)據(jù)。

⑩機器偏差又可以分為兩類：“認知偏差”和“統(tǒng)計偏差”。認知偏差源于算法設(shè)計人員的“偏差輸入”或?qū)ΜF(xiàn)實情況的理解偏差，是由于數(shù)據(jù)收集中的常規(guī)缺陷，導致數(shù)據(jù)收集錯誤并對現(xiàn)實的描述不準確時出現(xiàn)的偏差。統(tǒng)計偏差傾向于通過對大數(shù)據(jù)的統(tǒng)計分析來找到模式和模型，但是當在某個領(lǐng)域存在不平衡時，模式本身就會產(chǎn)生偏差。例如在統(tǒng)計時便對性別有歧視，那么統(tǒng)計出來的數(shù)據(jù)自然也存在歧視的情況。

?這份清單包括：針對歧視和不公平待遇的定期質(zhì)量保證檢查、有獨立的第三方算法審計、第三方算法的合同保證、數(shù)據(jù)最小化措施、匿名化措施、容許資料當事人表達其意見及對決定提出異議的方法、在自動決策過程中人為干預的結(jié)構(gòu)化機制。額外的保障措施可能是：認證機制、行為準則和道德審查委員會。

?具體有：《關(guān)于銀行業(yè)金融機構(gòu)遠程開立人民幣賬戶的指導意見征求意見稿》、《安全防范視頻監(jiān)控人臉識別系統(tǒng)技術(shù)要求》《信息安全技術(shù)網(wǎng)絡(luò)人臉識別認證系統(tǒng)安全技術(shù)要求》《促進新一代人工智能產(chǎn)業(yè)發(fā)展三年行動計劃（2018年－2020年）》。

?可參考案號：（2019）浙0111民初6971號。