□ 高富平 尹臘梅

內(nèi)容提要 大數(shù)據(jù)時代，個人數(shù)據(jù)作為社會資源，承載著多重利益，不僅關(guān)系數(shù)據(jù)主體的個人利益和個人相關(guān)者利益，也關(guān)系不特定社會主體的社會利益和國家利益。要協(xié)調(diào)個人數(shù)據(jù)資源上個人保護和社會利用之間的矛盾，實現(xiàn)個人數(shù)據(jù)上的利益協(xié)同，應(yīng)構(gòu)建新的個人數(shù)據(jù)社會利用中的個人利益保護理論，并在調(diào)整范式上，從權(quán)利保護模式轉(zhuǎn)變?yōu)橐砸?guī)范個人信息處理行為為中心的行為規(guī)范模式，即數(shù)據(jù)治理范式。

“治理”（Governance）一詞的使用越來越泛化，可以適用于任何協(xié)調(diào)不同主體利益，有效配置資源（或調(diào)動積極性）共同實現(xiàn)某種目的行為。①以企業(yè)治理替代企業(yè)管理成為本世紀企業(yè)管理理論和制度最大的變革。之后，治理也應(yīng)用于社會或國家，社會治理、國家治理成為統(tǒng)治性術(shù)語。同樣地，數(shù)據(jù)治理（Data Governance）也廣泛應(yīng)用于涉及數(shù)據(jù)應(yīng)用各個領(lǐng)域和層面，甚至成為數(shù)據(jù)保護的代名詞。歐盟委員會認為，數(shù)據(jù)治理是指一套使用數(shù)據(jù)的規(guī)則和方式，例如通過共享機制、協(xié)議和技術(shù)標(biāo)準。②也正是基于這樣的認識，歐盟委員會于2020年11月25日通過的《數(shù)據(jù)治理條例（建議案）》（Data Governance Act）③，作為支撐歐盟新數(shù)據(jù)戰(zhàn)略的重要制度。該建議案旨在促進各部門和成員國之間的數(shù)據(jù)分享。而所謂的數(shù)據(jù)治理僅在于增加對數(shù)據(jù)分享（Data Sharing，即數(shù)據(jù)流通）的信任，加強提高數(shù)據(jù)可用性的機制，并克服數(shù)據(jù)重用（Data Re-use）方面的技術(shù)障礙。在這個意義上，數(shù)據(jù)治理也成為一個國家規(guī)范數(shù)據(jù)社會化利用，構(gòu)建數(shù)據(jù)資源利用秩序的概念。甚至愛爾蘭于2019年制定了《數(shù)據(jù)分享和治理法》（Data Sharingand Governance Act） 允許公共機構(gòu)之間共享個人數(shù)據(jù)，為公共機構(gòu)更高效、低成本履行公共職責(zé)，提供公共服務(wù)提供法律基礎(chǔ)。④數(shù)據(jù)治理正逐漸替代數(shù)據(jù)保護成為數(shù)據(jù)利用秩序?qū)崿F(xiàn)的主要機制。

數(shù)據(jù)治理應(yīng)用于數(shù)據(jù)利用的社會秩序建構(gòu)是非常契合的。因為數(shù)據(jù)上存在多重利益相關(guān)者，而所謂的數(shù)據(jù)保護問題，本質(zhì)上是協(xié)同保護數(shù)據(jù)上各方主體利益的問題，而不是確認數(shù)據(jù)歸屬某個主體并通過賦權(quán)維護其數(shù)據(jù)利益這么簡單。傳統(tǒng)的“賦權(quán)+限權(quán)”保護模式或者“數(shù)據(jù)主體權(quán)利+數(shù)據(jù)控制者義務(wù)”規(guī)范模式在數(shù)據(jù)保護上失靈，數(shù)據(jù)保護的本質(zhì)在協(xié)同沖突權(quán)益，因而治理理念和機制可以作為數(shù)據(jù)保護的新范式。

數(shù)據(jù)是現(xiàn)實社會的映射或描述，我們可以用數(shù)據(jù)認知社會主體或客體，數(shù)據(jù)成為人類認知客觀世界的工具。在機器學(xué)習(xí)等智能工具普遍應(yīng)用情形下，通過數(shù)據(jù)挖掘分析發(fā)現(xiàn)新知，預(yù)測未來，尋找規(guī)律已經(jīng)成為當(dāng)今現(xiàn)實。由此，人類進入以數(shù)據(jù)為社會資源的數(shù)據(jù)驅(qū)動時代或數(shù)據(jù)經(jīng)濟時代。在這樣的時代，每一個國家均面臨如何配置數(shù)據(jù)權(quán)利構(gòu)建數(shù)據(jù)利用秩序的任務(wù)。關(guān)于個人的數(shù)據(jù)，其也不單純承載個人利益，而是同時承載著使用者、社會、組織、國家等多方主體的利益。關(guān)于機器的數(shù)據(jù)亦可能涉及設(shè)計者、制造者、應(yīng)用者的財產(chǎn)利益，甚至還涉及應(yīng)用者或設(shè)備主人的人格（隱私）利益。我們只有確認各類數(shù)據(jù)上的多重利益，并協(xié)同保護各方利益，才能構(gòu)建數(shù)據(jù)社會化利用的秩序。

個人數(shù)據(jù)在整個數(shù)據(jù)體系中占有非常重要地位，而人的主體地位決定了人們對個人數(shù)據(jù)濫用對個人權(quán)益侵害的擔(dān)憂，于是在上個世紀誕生了個人數(shù)據(jù)保護法（個保法），來保護個人數(shù)據(jù)處理中的個人權(quán)利。但是，發(fā)端于歐美的個人數(shù)據(jù)保護制度似乎過度強調(diào)個人權(quán)利，尤其是在各國移植過程中普遍存在著“簡單粗暴” 甚至私法化的趨勢，這可能非常不利于大數(shù)據(jù)時代個人數(shù)據(jù)的社會化利用。在數(shù)據(jù)驅(qū)動或數(shù)據(jù)作為生產(chǎn)要素的背景下，數(shù)據(jù)已經(jīng)成為可為社會利用的資源。⑤但是，過度重視主體權(quán)利或者個人控制，會嚴重影響個人數(shù)據(jù)的社會化利用。本文試圖揭示個人數(shù)據(jù)上多重利益，試圖通過利用利益相關(guān)者理論（Stakeholder Theory）來探討個人數(shù)據(jù)上權(quán)利配置，協(xié)調(diào)個人數(shù)據(jù)資源上個人保護和社會利用之間的矛盾，構(gòu)建新的個人數(shù)據(jù)社會利用中的個人利益保護理論。

一、作為社會資源的個人數(shù)據(jù)

個人數(shù)據(jù)是指可識別具體個人（僅指自然人）的信息。凡是能夠識別特定個人的信息，無論是直接識別到還是間接識別到特定個人的信息，均為個人數(shù)據(jù)。⑥社會中存在兩類識別行為，一是識別主體的身份，二是識別主體的特征。這兩類識別均是社會運行不可或缺的因素。

首先，身份識別關(guān)系社會交往安全。在正常的社會交往中，一般不需要識別人的身份。因為在社會交往、 商業(yè)交易等過程均要告訴對方你是誰或先要弄清對方是誰，因而正常的社會交往一般是依賴“自報家門”解決身份識別問題。真正的依賴與個人關(guān)聯(lián)信息來識別身份的需求發(fā)生在匿名行為或者行為人未暴露身份的情形下，典型的如匿名言論或違法犯罪行為等，這時就需要通過行為人留下的蛛絲馬跡來分析判斷行為人的身份，以達到追究其法律責(zé)任的目的。因此，一個社會需要建立個人身份識別體系，同時在匿名或不具名情形下，允許人們依法來搜集行為信息判斷行為身份，以確保每個人對自己的行為負責(zé)，確保社會交往安全。

其次，識別個體的特征是開展各項社會活動，建立各種社會關(guān)系的必要條件。在社會交往中除了需要知道是“誰”外，還需要知道是“什么樣的人”，而且后者往往決定人們是否要與你交往（或交易）或者開展怎樣的交往（交易）。這些個性特征識別需要借助某個人的行為記錄、 過往經(jīng)歷等信息進行分析。過去，我們依賴道聽途說、訪問調(diào)查等方式搜集信息來了解潛在交往對象，而如今在萬物互聯(lián)的泛網(wǎng)絡(luò)時代，我們可以基于網(wǎng)絡(luò)用戶的行為記錄形成的用戶畫像（Profiling）來對個體特征進行分析。⑦只是在網(wǎng)絡(luò)環(huán)境下，各種數(shù)字ID（用戶名、設(shè)備ID 等）使我們可以在不知個體身份的情形下，圍繞各種ID 對個體進行識別分析（畫像）甚至通信（如信息推送），而在必要時（如交易或需要承擔(dān)責(zé)任）才進一步識別身份。因此在網(wǎng)絡(luò)環(huán)境下，識別個性特征既可以在知道身份前提下進行（如實名注冊情形），也可以不知道身份的情形下進行（如利用Cookies 識別）。但是，網(wǎng)絡(luò)或數(shù)字ID 均屬于可識別個人標(biāo)識符（personal identifiable Identifier），大量識別分析是針對可識別個人標(biāo)識符進行的。⑧基于網(wǎng)絡(luò)或數(shù)字ID 可以開展個體識別分析和基于識別分析通信給了商家分析了解和觸達潛在客戶的便捷工具，這便是數(shù)字化給社會的紅利⑨。

隨著物聯(lián)網(wǎng)的出現(xiàn)，可關(guān)聯(lián)分析個人的數(shù)據(jù)急劇增加，出現(xiàn)所謂的大數(shù)據(jù)（Big Data）。因數(shù)據(jù)具有識別分析個人特性進而觸達并影響個體意志或行為的功能，而且可以基于此作出快速精準的決策，大大提升社會的各種決策質(zhì)量和效率。大數(shù)據(jù)給人們提供的巨大便利就是識別個體的便利性、精準性、全面性和及時性?，F(xiàn)在所謂的個性化服務(wù)、私人定制、智能制造、機器學(xué)習(xí)等，都建立在個人數(shù)據(jù)的應(yīng)用基礎(chǔ)上。這使人們將數(shù)據(jù)視為有價值的資源（比喻為石油等）或一種新的資產(chǎn)。⑩我國則是將數(shù)據(jù)視為區(qū)別于土地、勞動力、資本和技術(shù)之外的第五大生產(chǎn)要素。?這實際上導(dǎo)致人們將個人數(shù)據(jù)視為具有經(jīng)濟價值的資源，但是傳統(tǒng)“個保法”的觀察視角并不是從資源的角度，而是從關(guān)系個人尊嚴、 自治或平等權(quán)益的角度設(shè)計數(shù)據(jù)主體權(quán)利的，并沒有從資源角度尤其是如何轉(zhuǎn)化為資源角度考慮數(shù)據(jù)控制者（使用者）的利益。綜上，本文認為，在大數(shù)據(jù)時代，我們應(yīng)當(dāng)從資源的角度，重新思考個人數(shù)據(jù)上的權(quán)利配置。

二、個人數(shù)據(jù)上多重利益主體

一切能夠關(guān)聯(lián)到某個體或分析某個體個性特征的數(shù)據(jù)都可以歸入個人數(shù)據(jù)范疇，個人數(shù)據(jù)的價值也在于對個體的識別分析，而這種識別分析會對個體產(chǎn)生影響。因而個人（數(shù)據(jù)主體）被認為是個人數(shù)據(jù)處理（應(yīng)用）的首要利益相關(guān)者，但是個人數(shù)據(jù)不僅關(guān)系數(shù)據(jù)主體利益，也關(guān)系群體、社會和國家利益。

（一）個人數(shù)據(jù)上本人利益

從源頭上，“個保法” 也正是起源于對個人權(quán)利的關(guān)注。通過對個人數(shù)據(jù)處理行為規(guī)范來保護個人利益背后的邏輯是，個人是主體，對個人數(shù)據(jù)的處理不能像對待客體那樣隨意處理，而應(yīng)尊重個人意愿或不侵害其尊嚴或隱私。個人因參與社會活動而產(chǎn)生了社會身份，因而個人有利益驅(qū)動保護其社會身份和自主性，不被隨意識別或處理。這些受保護的個人利益一般被解釋為尊嚴、自由/自治和平等（不歧視）利益，屬于人權(quán)意義上利益（也可被概括為數(shù)據(jù)主體權(quán)利）。?

問題的關(guān)鍵在于個人數(shù)據(jù)并不完全涉及主體權(quán)利，還涉及安全、隱私等各種利益。個人身份信息冒用可以給個人帶來人身或財產(chǎn)損害； 個人信息還可以用于各種違法犯罪行為，危害個人人身和財產(chǎn)安全； 有些個人信息具有私密性其本身存在隱私利益，而許多個人信息本身并不私密或敏感，但是匯聚大量信息可以揭示個人隱私。因此，個人數(shù)據(jù)上存在著復(fù)雜的個人利益群，這些利益的保護均通過其他專門的法律加以保護和調(diào)整?！皞€保法”僅僅從尊嚴、自治、平等的角度建立保護個人權(quán)利的規(guī)則。

（二）個人數(shù)據(jù)上個人相關(guān)者利益

人是一個社會存在，每個人都是特定社會群體的一員，是社會整體的組成部分。人的群體性、社會性決定了人與人之間存在相互影響、 相互作用的關(guān)系，一個人的生存發(fā)展脫離不開社會整體。不僅我們每個人有家庭和親屬，有工作還有各種社交，我們每天都在利用各種通信手段及線下的會談、會議、聚餐、文體等活動開展社會交往。而各種在線社交網(wǎng)絡(luò)、即時通信媒體、社群網(wǎng)絡(luò)等更是增加了人們之間的連接機會和密切程度。因而每個人的行為記錄都可能與其他人相關(guān)聯(lián)。于是，與個人關(guān)聯(lián)的信息當(dāng)然與其相關(guān)聯(lián)的其他個體相關(guān)聯(lián)。?個人數(shù)據(jù)上的個人利益不僅在性質(zhì)上相互依存，而且在存在上是相互關(guān)聯(lián)的。因此，我們必須承認個人數(shù)據(jù)并非完全關(guān)系某個體個人利益，而且也關(guān)系與其有關(guān)的其他個體的利益。對于個人數(shù)據(jù)處理中的個人保護，并不能僅僅關(guān)注直接關(guān)聯(lián)者（即數(shù)據(jù)主體），而且還要關(guān)注間接關(guān)聯(lián)者的利益。

（三）個人數(shù)據(jù)上的社會利益

個人數(shù)據(jù)上不僅關(guān)系與個人相關(guān)者利益，還涉及不特定社會主體的利益。這種不特定主體的利益，我們稱為社會利益。?

個人數(shù)據(jù)的應(yīng)用關(guān)系著社會整體利益，這種關(guān)系在于個人數(shù)據(jù)應(yīng)用是社會交往和活動開展必不可少的手段。通過對在網(wǎng)絡(luò)上大量產(chǎn)生的數(shù)據(jù)進行識別分析，并在分析基礎(chǔ)上進行科學(xué)、精準和快速的決策，提升社會治理、經(jīng)濟效率和科技創(chuàng)新能力。而所有這些效率提升和創(chuàng)新最終會促進社會進步和福祉改善。以健康數(shù)據(jù)為例，每個人的健康可以說是社會公共健康的組成部分，每個個體的醫(yī)療數(shù)據(jù)都可以成為公共健康數(shù)據(jù)的元素。每個個體的醫(yī)療數(shù)據(jù)除了蘊含著直接關(guān)涉自身的健康醫(yī)療信息內(nèi)容之外，也直接影響到了整個公共健康信息的完整性與科學(xué)性。因而匯聚個人醫(yī)療數(shù)據(jù)和健康數(shù)據(jù)形成可供各種醫(yī)學(xué)、 醫(yī)藥研究的醫(yī)療數(shù)據(jù)集/湖”，對于查詢各種疾病的成因，提前預(yù)防，實施精準診治均具有重要的價值。而醫(yī)療診斷、藥物的改進最終福蔭社會大眾。現(xiàn)在越來越多的學(xué)者認可集體隱私的存在，而不僅僅是個體存在隱私。美國的里根（Priscilla M.Regan）還指隱私不僅對個人有價值，而且在三個方面對社會整體也具有價值。?

為了實現(xiàn)個人數(shù)據(jù)上的社會利益，我們需要識別和確認社會利益的“代表人”——利益相關(guān)者（Stakeholder），通過保護這些利益相關(guān)者來實現(xiàn)社會利益。?在筆者看來，至少需要確立兩類主體來實現(xiàn)社會利益，一是個人數(shù)據(jù)使用者，二是公共利益的代表者。

（1）個人數(shù)據(jù)使用者。任何社會主體都應(yīng)當(dāng)擁有使用個人數(shù)據(jù)的權(quán)利，即個人數(shù)據(jù)使用者權(quán)。識別潛在社交或交易或行動（以下統(tǒng)稱為交往）對象是開展社會交往和活動的必要手段，因而各社會主體（包括自然人）均有識別交往對象的權(quán)利。一旦人們參加各種社會活動進入到具體社會關(guān)系，法律就應(yīng)當(dāng)保護公眾的“識別權(quán)”，而不是拒絕識別或拒絕“曝光”。放任或鼓勵人們隱藏身份或個人信息，會妨礙合作甚至鼓勵人們從事不負責(zé)任的社會行為。個人的確希望更多的“隱私”，有時甚至?xí)桃怆[藏、掩飾或美化自己，但從社會公眾的角度，也應(yīng)當(dāng)保護社會公眾（尤其是與之打交道的人）的“識別權(quán)”。?這種識別權(quán)的承認就意味著，所有的社會主體對個人數(shù)據(jù)均具有使用權(quán)。也正是在這個意義上，個人數(shù)據(jù)是可以為社會主體使用的資源，而不是個人控制的資源?！锻ㄓ脭?shù)據(jù)保護條例》（以下簡稱GDPR）對第6 條第1 款（f）項的數(shù)據(jù)控制者的合法利益實際上就是承認每個社會主體具有合法正當(dāng)?shù)厥褂脗€人數(shù)據(jù)的權(quán)利。?正是通過這種正當(dāng)使用個人數(shù)據(jù)的權(quán)利，我們的社會才能夠正常運行并不斷改進運營效率，提升社會發(fā)展水平。

（2）公共利益代表者。除了社會主體數(shù)據(jù)使用權(quán)外，個人數(shù)據(jù)具有達成各種公共利益目的，如科學(xué)文化、歷史研究、公共安全等公共利益。這種公共利益也需要通過具體主體來體現(xiàn)，通常政府機構(gòu)以及非政府機構(gòu)（NGO）可以視為公共利益“代言人”。我們需要給予政府在維護公共秩序、公共安全等方面使用個人數(shù)據(jù)的權(quán)利，也需要給各種非盈利性組織開展各項公益活動開辟綠色通道。例如在此次新冠疫情防控中，人們甚至認識到不僅需要疾病、 醫(yī)療信息共享以幫助當(dāng)?shù)卣龀雒髦堑臎Q策，甚至也需要全球醫(yī)療數(shù)據(jù)共享。?

（四）國家安全利益

國家安全利益是一種特殊的公共利益。隨著網(wǎng)絡(luò)空間被視為國家主權(quán)新領(lǐng)域，數(shù)據(jù)主權(quán)（Data Sovereignty）概念逐漸確認并進入國家法律。?數(shù)據(jù)主權(quán)是國家基于國家主權(quán)對其領(lǐng)土范圍上產(chǎn)生的數(shù)據(jù)的獨立控制權(quán)，目的在于保障本國數(shù)據(jù)不受他國侵害的安全性和穩(wěn)定性。這既是數(shù)據(jù)上升為一種經(jīng)濟資源或基礎(chǔ)戰(zhàn)略性資源的表現(xiàn)，同時也是數(shù)據(jù)關(guān)系政治安全的反映。數(shù)據(jù)主權(quán)實際上成為賦予國家對進出境數(shù)據(jù)進行管制的權(quán)利。各個主權(quán)國家對個人數(shù)據(jù)進出境的限制就突出體現(xiàn)了個人數(shù)據(jù)上的國家安全利益。此外，大數(shù)據(jù)已經(jīng)成為國家的基礎(chǔ)戰(zhàn)略性資源，全面實施大數(shù)據(jù)應(yīng)用，實施全面數(shù)字化轉(zhuǎn)型成為國家戰(zhàn)略，數(shù)據(jù)資源的爭奪成為國際政治內(nèi)容，圍繞數(shù)據(jù)進出境的流動控制也迅速升級為國家之間的投資和貿(mào)易對話內(nèi)容。由此，數(shù)據(jù)與國家利益直接掛鉤，國家安全成為國家之間較量的“正當(dāng)”理由。

三、個人數(shù)據(jù)上多重利益協(xié)同：從個人保護到數(shù)據(jù)治理

個人數(shù)據(jù)上存在多重利益相關(guān)者，這些利益相關(guān)者的利益性質(zhì)不盡相同，這使得個人數(shù)據(jù)的利益協(xié)同變得異常復(fù)雜。在法律上，在利益發(fā)生沖突時，只有利益性質(zhì)相同時，我們才可以根據(jù)價值對利益優(yōu)先性進行排序。而當(dāng)利益屬于不同性質(zhì)時，則很難根據(jù)價值判斷作出優(yōu)先排序。而在個人數(shù)據(jù)上利益主體的性質(zhì)恰恰是不同的，我們很難對不同性質(zhì)的利益進行單向的排序，這決定了個人數(shù)據(jù)不能依賴傳統(tǒng)的“賦權(quán)+限權(quán)”模式來解決個人數(shù)據(jù)上利益協(xié)調(diào)問題，得用處理多重利益的治理體系。于是，數(shù)據(jù)治理被認是構(gòu)建數(shù)據(jù)利用秩序的最佳工具。

（一）從數(shù)據(jù)保護到數(shù)據(jù)治理

雖然數(shù)據(jù)治理被廣泛采用，但是對什么是數(shù)據(jù)治理可能不同人有不同的理解，有些觀點強調(diào)數(shù)據(jù)質(zhì)量，有些觀點強調(diào)數(shù)據(jù)安全，而有些觀點強調(diào)數(shù)據(jù)資產(chǎn)應(yīng)用或價值實現(xiàn)； 有些觀點在組織層面用數(shù)據(jù)治理，而有些則在社會或國家層面討論數(shù)據(jù)治理。在現(xiàn)階段，也許我們無法統(tǒng)一數(shù)據(jù)治理的內(nèi)涵或者限制其在各領(lǐng)域的應(yīng)用，但是我們需要遵循治理的根本目的或本質(zhì)，否則就喪失了對話基礎(chǔ)。

數(shù)據(jù)治理一般適用于特定組織，是現(xiàn)代企業(yè)治理（公司治理）在企業(yè)應(yīng)用數(shù)據(jù)資源的延伸。其核心是圍繞企業(yè)目標(biāo)形成可用數(shù)據(jù)資源（資產(chǎn)），賦能業(yè)務(wù)，提升企業(yè)競爭力或盈利能力。治理一般理解為“眾多參與者導(dǎo)致集體約束性決定的程序”，本質(zhì)是一種協(xié)同處理不同甚至沖突利益的策略、原則或方法。適用到數(shù)據(jù)經(jīng)濟領(lǐng)域的治理概念是，“決定兩方或多方主體管理數(shù)據(jù)、工具、方法和知識的取得（Ingress）、存儲、分析和提供（Egress）的自由（權(quán)利）、約束和激勵措施”。為此將企業(yè)治理定位于區(qū)別管理：治理是決定使命/目標(biāo)、制定戰(zhàn)略、配置資源和機制，而管理則是制定詳細制度規(guī)則、運營管理和監(jiān)督，實現(xiàn)既定目標(biāo)。數(shù)據(jù)具有資源價值，人們也試圖對數(shù)據(jù)治理與管理加以區(qū)分，認為數(shù)據(jù)治理是確保數(shù)據(jù)在整個生命周期內(nèi)的質(zhì)量的數(shù)據(jù)管理，而數(shù)據(jù)管理是將數(shù)據(jù)作為有價值資源進行處理的過程。DAMA 數(shù)據(jù)治理位于車輪圖的正中央，是數(shù)據(jù)架構(gòu)、建模和設(shè)計、存儲和操作、安全、數(shù)據(jù)集成和互操作、元數(shù)據(jù)管理、質(zhì)量、數(shù)據(jù)倉庫和商務(wù)智能、參考數(shù)據(jù)和主數(shù)據(jù)、文件和內(nèi)容管理管理10 大數(shù)據(jù)管理領(lǐng)域的總綱，為各項數(shù)據(jù)管理活動提供總體指導(dǎo)策略。因此，企業(yè)數(shù)據(jù)治理是集企業(yè)戰(zhàn)略、組織架構(gòu)、數(shù)據(jù)標(biāo)準、管理規(guī)范和技術(shù)工具為一體的復(fù)雜體系，是企業(yè)數(shù)字化轉(zhuǎn)型或數(shù)據(jù)驅(qū)動發(fā)展的管理戰(zhàn)略。

如果我們將不同利益的協(xié)調(diào)視為數(shù)據(jù)治理的根本，那么企業(yè)數(shù)據(jù)治理的關(guān)鍵是確認和保護數(shù)據(jù)上各種利益主體權(quán)益，在協(xié)同各方利益前提下，合法正當(dāng)?shù)乩脭?shù)據(jù)，服務(wù)于企業(yè)營業(yè)目的。如前所述，我們發(fā)現(xiàn)數(shù)據(jù)上存在著各種利益，而數(shù)據(jù)應(yīng)用也可能牽涉各種利益，這就是數(shù)據(jù)治理的核心難題所在。而改變當(dāng)今企業(yè)管理的利益相關(guān)者理論可以很好地應(yīng)用于企業(yè)數(shù)據(jù)治理。這樣，數(shù)據(jù)治理的一個重要內(nèi)容便是協(xié)同數(shù)據(jù)上利益相關(guān)者，使數(shù)據(jù)合法正當(dāng)?shù)胤?wù)企業(yè)經(jīng)營目的。雖然這時常被稱為合規(guī)，但是利益相關(guān)者理論的價值在于擴大解釋了“利益”的意涵，因而利益相關(guān)者呈不斷擴大趨勢，一個企業(yè)只有很好地“擺平”各方利益，才能行穩(wěn)走遠，最大化企業(yè)利益。由于數(shù)據(jù)上利益存在多樣性、多元性，數(shù)據(jù)的正當(dāng)利用需要處理和協(xié)同各方利益，在維護各利益主體利益前提下，才能使數(shù)據(jù)為企業(yè)所用，轉(zhuǎn)化為服務(wù)企業(yè)的目的。因此，利益相關(guān)者理論應(yīng)當(dāng)成為企業(yè)數(shù)據(jù)治理基礎(chǔ)理論，或者成為整個社會數(shù)據(jù)治理的“指導(dǎo)策略”。

如果我們將數(shù)據(jù)治理從組織移至社會，將之看作是“使用數(shù)據(jù)的規(guī)則和方式”，那么數(shù)據(jù)治理便等同于數(shù)據(jù)保護，或者“個人數(shù)據(jù)處理中個人保護規(guī)則”?，F(xiàn)有論述數(shù)據(jù)治理的文獻基本上關(guān)注企業(yè)或組織層面，而對于如何在社會/國家層運用或?qū)嵤?shù)據(jù)治理，并沒有什么論述。在國家層面，主宰世界各國的是 “個保法”，而不是 “數(shù)據(jù)治理（法）”。因此，我們首先需要弄清在國家層面的數(shù)據(jù)治理與既有的“個保法”制度是什么關(guān)系。

就個人數(shù)據(jù)處理中個人保護制度起源而言，個人權(quán)利保護是出發(fā)點。在上世紀七十年代，個保法制度創(chuàng)始者們關(guān)注到計算機的應(yīng)用個人數(shù)據(jù)使得關(guān)于個人數(shù)據(jù)（信息）可以被大量收集、留存并分析使用，這給個人自由和隱私帶來前所未有的危害，它會影響個人對個人事務(wù)自主決定，最終影響到尊嚴、自由或平等利益。因此，他們提出要建立透明原則，讓個人進行必要的參與，明確個人信息處理者的責(zé)任以確保個人信息處理不會侵犯個人基本權(quán)利（被稱為隱私權(quán)或者個人數(shù)據(jù)保護權(quán)）。為此，國際社會尋求形成關(guān)于個人信息處理（使用）應(yīng)當(dāng)遵循的基本原則，以使各國對個人權(quán)利保護趨向一致或統(tǒng)一。統(tǒng)一個人信息處理原則的前提是，個人信息是社會可自由使用的，但是個人信息使用必須遵循社會共同認可的正當(dāng)規(guī)則，以防范個人信息不當(dāng)處理或濫用。盡管泛歐洲地區(qū)在歐州委員會（COE）的引領(lǐng)下將個人數(shù)據(jù)處理中的個人保護抽象為獨立的個人數(shù)據(jù)保護權(quán) （即Data Subject Right）并選擇了專門制定法來保護主體權(quán)利，但其無論COE 制定的108 公約，還是歐盟的個人數(shù)據(jù)保護指令（及之后GDPR），仍然堅持基于原則規(guī)范模式，且選擇的行為規(guī)范，而不是權(quán)利規(guī)范模式。以GDPR 為例，個人數(shù)據(jù)處理并非采取“個人決定+法定例外”賦權(quán)規(guī)范模式，而是采取非常復(fù)雜的“合法性基礎(chǔ)+處理行為合法”規(guī)范模式。也就是說，判斷個人數(shù)據(jù)處理是否合法并不是簡單地依據(jù)非經(jīng)同意即違法（或侵權(quán)）的賦權(quán)模式，而是采取多元的合法性基礎(chǔ)加上個人信息處理行為要符合法律規(guī)范（履行法律規(guī)定的保護數(shù)據(jù)主體權(quán)利和公共利益的義務(wù)），而在個人數(shù)據(jù)處理的合法性基礎(chǔ)方面，立法者至少考慮到了數(shù)據(jù)主體、數(shù)據(jù)控制者（及第三人）和社會整體利益或公共利益三類利益相關(guān)者利益。在這個意義上，GDPR 并不是賦權(quán)保護模式，而是行為規(guī)范模式，并在行為規(guī)范中保持基于原則的規(guī)范。

從實施來看，GDPR 面臨的最大問題有兩個：其一，GDPR 出發(fā)點僅僅從保護公民基本權(quán)利出發(fā)構(gòu)建個人數(shù)據(jù)保護規(guī)則，雖然它不認為數(shù)據(jù)主體權(quán)利不是絕對受保護的，需要與信息自由、社會福祉改進等其他人權(quán)平衡考慮，但是卻不承認數(shù)據(jù)控制者對數(shù)據(jù)的使用權(quán)，并置數(shù)據(jù)主體權(quán)利于優(yōu)越地位，使得數(shù)據(jù)主體保護具有了絕對性；其二，GDPR 一直將個人數(shù)據(jù)功能定位識別個人，而個人的社會身份或形象塑造應(yīng)當(dāng)自主，因而從個人數(shù)據(jù)關(guān)系人之主體地位和人格自主價值，并沒有考慮到數(shù)據(jù)識別分析的經(jīng)濟功能或價值（雖然承認個人數(shù)據(jù)自由使用有助于改進社會福利），從有效實現(xiàn)個人數(shù)據(jù)社會價值（社會化配置和利用的價值）角度，保護數(shù)據(jù)控制者（使用者）的權(quán)利。這最終導(dǎo)致GDPR 在總體框架是單向的“數(shù)據(jù)主體權(quán)與數(shù)據(jù)控制者義務(wù)”結(jié)構(gòu)，以行為規(guī)范模式實現(xiàn)“賦權(quán)+限權(quán)”模式效果。這也導(dǎo)致歐盟委員會在2020年建議制定《數(shù)據(jù)治理條例（建議案）》（Data Governance Act），以彌補GDPR 的制度設(shè)計重大缺陷?！稊?shù)據(jù)治理條例（建議案）》本質(zhì)上是將個人數(shù)據(jù)置于社會資源的地位，從如何有利于社會價值的角度構(gòu)建新的數(shù)據(jù)保護體制。這也就是說，個人數(shù)據(jù)保護的本質(zhì)不是單向地保護數(shù)據(jù)主體的權(quán)利，而應(yīng)當(dāng)遵循“數(shù)據(jù)利他主義”，協(xié)同數(shù)據(jù)使用過程中各利益相關(guān)者，形成個人數(shù)據(jù)利用（處理）權(quán)責(zé)利的制度安排，實現(xiàn)個人數(shù)據(jù)的社會價值（利益）。

（二）資源意義上個人數(shù)據(jù)治理理論：利益相關(guān)者理論的應(yīng)用

在資源視野下，個人數(shù)據(jù)具有經(jīng)濟價值，匯集、匹配、聚合一定規(guī)模的數(shù)據(jù)可以全面和精準分析個體的個性特征，預(yù)測行為規(guī)律或傾向等，用于商業(yè)、社會治理等領(lǐng)域決定；對于機器操作習(xí)慣的研究可以改進機器的性能或降低能耗； 對一定量病理樣本進行挖掘分析可以找出病因，提早防治，如此等等，與個人關(guān)聯(lián)的各種數(shù)據(jù)正被收集、處理、分析和應(yīng)用于決策，不僅促進技術(shù)創(chuàng)新，提升單個組織的經(jīng)濟效率，而且不斷改進社會資源的配置和社會分工體系，促進整個社會經(jīng)濟運行效率。在這樣背景下，個人數(shù)據(jù)社會價值的實現(xiàn)應(yīng)當(dāng)成為數(shù)據(jù)治理需要考量的首要因素，成為數(shù)據(jù)治理的基本目標(biāo)。

關(guān)注個人數(shù)據(jù)的社會價值，而不是個人價值，以社會價值實現(xiàn)作為出發(fā)點來設(shè)計數(shù)據(jù)的權(quán)利（力）結(jié)構(gòu)，構(gòu)建數(shù)據(jù)利用秩序是個人數(shù)據(jù)保護（數(shù)據(jù)治理）的重大變革。這意味著要個人數(shù)據(jù)治理從個人本位轉(zhuǎn)向社會本位，個人數(shù)據(jù)處理（使用）的權(quán)利（力）配置要轉(zhuǎn)向多元主體、協(xié)同各方權(quán)益，最優(yōu)實現(xiàn)個人數(shù)據(jù)的社會價值（利益）。這樣的數(shù)據(jù)治理是“影響或受數(shù)據(jù)訪問、控制、分享和使用方式影響的所有參與者之間的權(quán)力關(guān)系以及各種社會-技術(shù)安排以從數(shù)據(jù)中產(chǎn)生價值和分配這些價值”。數(shù)據(jù)治理的核心是對數(shù)據(jù)的決策權(quán)，而在新的治理理念下，所有受到數(shù)據(jù)治理方式和由此產(chǎn)生的價值的影響或能夠影響的個人、組織和團體，都是數(shù)據(jù)利益相關(guān)者，都應(yīng)當(dāng)參與到數(shù)據(jù)治理決策中，分享其價值或者使自己的利益得到保護。這樣的治理一定是在一定場景，通過不同數(shù)據(jù)利用模式來實現(xiàn)的，而在抽象法律規(guī)范上不可能實現(xiàn)。研究者已經(jīng)從現(xiàn)行個人數(shù)據(jù)實踐區(qū)別出四種數(shù)據(jù)治理模式：數(shù)據(jù)分享池（Data Sharing Pools ）、數(shù)據(jù)合作社（Data Cooperatives）、 公共數(shù)據(jù)信托 （Public Data Trusts）和個人數(shù)據(jù)主權(quán)（Personal Data Sovereignty）。但是，要支撐多樣化的數(shù)據(jù)治理制度安排，就需要在社會上對個人數(shù)據(jù)各利益相關(guān)者的價值或利益形成共識，而這樣的共識需要突破現(xiàn)行“個保法”的框架和理念。

如上所述，發(fā)端于上世紀70年代的“個保法”基本出發(fā)點是個人權(quán)利保護，而以歐洲為代表的制定法模式，又開啟了“數(shù)據(jù)主體權(quán)利+數(shù)據(jù)控制者義務(wù)”法律規(guī)制范式，逐漸為世界絕大多數(shù)國家所接受。在所有接受的過程中，并沒有深度思考個人數(shù)據(jù)保護社會文化基礎(chǔ)（甚至二戰(zhàn)背景），也沒有太多地考慮上世紀70年代（計算機剛剛應(yīng)用）形成的所謂保護個人利益規(guī)則在大數(shù)據(jù)時代的適應(yīng)性。反而存在簡單粗暴移植國際規(guī)則，強化數(shù)據(jù)主體（個人權(quán)利）保護的現(xiàn)象。比如，將歐洲的“個人數(shù)據(jù)處理中的個人保護” 簡單地等同于個人數(shù)據(jù)保護，似乎是保護個人數(shù)據(jù)本身，而不是保護個人數(shù)據(jù)上個人權(quán)利。形成了個人數(shù)據(jù)歸屬于個人，個人享有決定權(quán)“賦權(quán)”模式。在世界各國正在尋求個人數(shù)據(jù)治理（保護）重大變化時代，對于像中國這樣正制定個人信息保護法的國家，如何避免重蹈歐洲國家的覆轍，一開始就能夠站在時代的潮頭，從個人數(shù)據(jù)的社會價值出發(fā)，構(gòu)建個人數(shù)據(jù)治理的制度規(guī)則，是十分必要的。

在這方面，筆者認為，支撐企業(yè)管理轉(zhuǎn)向企業(yè)治理的利益相關(guān)者理論仍然應(yīng)當(dāng)成為個人數(shù)據(jù)治理的基本理論。自1984年弗里德曼（Ed Freeman）提出利益相關(guān)者理論之后，企業(yè)組織的利益相關(guān)者一直在擴大，甚至政府因稅收與企業(yè)相關(guān)亦成為利益相關(guān)者。利益相關(guān)者理論指導(dǎo)下的“企業(yè)管理”演變?yōu)閰f(xié)同相互競爭的價值/利益/目標(biāo)，均衡實現(xiàn)所有利益相關(guān)者的利益的藝術(shù)。因為利益相關(guān)者理論需要在特定的場景或組織中識別特定主體的特定利益，明確該利益相關(guān)者權(quán)利（參與決策權(quán)）或者地位，以便于按照特定的程序參與組織的決策或影響組織的決策。而這在國家規(guī)則制定、執(zhí)行的過程，除了民主參與規(guī)則制定外，似乎很難讓利益相關(guān)者參與到執(zhí)法決定（無論是行政決策，還是司法裁判）上來。這決定了利益相關(guān)者理論在國家層面并不能直接適用。但是，廣義地界定數(shù)據(jù)上價值、利益，明確利益相關(guān)者，在法律制度和規(guī)則的設(shè)計過程中，充分考慮這些利益相關(guān)者的利益，并以這些利益相關(guān)者的共同利益——社會利益——作為協(xié)調(diào)處理利益沖突的“準繩”則具有較大借鑒意義。因為利益相關(guān)者理論要求得各利益相關(guān)者損害最小、共同利益最大化的制度或結(jié)果。如果其偏向某一方利益或者不能促進共同利益的實現(xiàn)，那么是一種失衡的治理。

為了在新數(shù)據(jù)治理理念下實現(xiàn)治理目標(biāo)，筆者提出以下原則：

首先，應(yīng)當(dāng)以社會價值或社會利益作為個人數(shù)據(jù)治理的基本目標(biāo)，在個人價值（利益）與社會價值（利益）相沖突的情形下，個人應(yīng)當(dāng)讓位于社會。

其次，區(qū)分個人數(shù)據(jù)上的人格利益（包括人格尊嚴、自治等主體權(quán)利）與個人數(shù)據(jù)上的財產(chǎn)利益（或經(jīng)濟利益），個人數(shù)據(jù)上的財產(chǎn)利益（經(jīng)濟利益） 按照經(jīng)濟價值創(chuàng)造與成本及風(fēng)險責(zé)任的分擔(dān)的原理配置權(quán)利與義務(wù)、利益與責(zé)任。個人數(shù)據(jù)的使用以不侵害個人人格權(quán)益（主體權(quán)利）為前提，但是要區(qū)分數(shù)據(jù)上人格利益和數(shù)據(jù)處理中的人格利益，除非數(shù)據(jù)本身上人格利益需要給予個人以決定權(quán)外（防御性權(quán)利），而對于其他個人數(shù)據(jù)則僅有處理或使用之后損害其人格利益的，才給予停止侵害和損害賠償?shù)木葷鷻?quán)。

最后，只有相同性質(zhì)的利益才能進行效力排序或確定優(yōu)先順位，而當(dāng)個人數(shù)據(jù)上涉不同性質(zhì)利益時，并不能當(dāng)然地得出數(shù)據(jù)主體權(quán)利優(yōu)先于其他利益相關(guān)者的利益。在GDPR 中，將數(shù)據(jù)主體權(quán)利置于優(yōu)越于數(shù)據(jù)控制者或第三人合法利益本身是一種錯位利益排序。在人格利益情形下，只存在個人隱私與集體隱私熟先熟后的問題。當(dāng)然，在對抗公權(quán)利濫用方面，我們可以置個人基本權(quán)利（人權(quán)）的保護于優(yōu)先地位。因此，在“個保法”領(lǐng)域，我們并不能得出數(shù)據(jù)主體權(quán)利優(yōu)先保護結(jié)果。

一旦我們在法律上能夠平等地對待個人數(shù)據(jù)上各利益相關(guān)人的權(quán)益，并在相同性質(zhì)利益下，遵循個人利益讓位于集體或社會整體利益或公共利益，那么我們就能夠建立以社會價值（利益）為目標(biāo)數(shù)據(jù)治理規(guī)則和機制； 同時我們要區(qū)分人格利益和經(jīng)濟利益，而不籠統(tǒng)地賦予數(shù)據(jù)主體權(quán)利以優(yōu)先地位，更不隨意將基于主體權(quán)利的決定權(quán)當(dāng)然地解決的經(jīng)濟資源的決定權(quán)，那么我們在具體數(shù)據(jù)應(yīng)用場景或模式中就可以構(gòu)建協(xié)同各方利益的治理結(jié)構(gòu)。對此，本文不再做深入的闡述。

四、中國個人數(shù)據(jù)保護法：范式突破

個人信息是個人進入社會標(biāo)識自己和塑造個人人格的素材，也是社會了解個人的必要手段，個人信息的工具性決定了它應(yīng)當(dāng)處于可以為人使用的公共領(lǐng)域，而不是私人控制的客體。因此，個人數(shù)據(jù)具有較強的社會性、 公共性，是社會可用的“資源”。大多數(shù)“個保法”（包括GDPR）并沒有將“同意”上升為私法上個人數(shù)據(jù)使用決定權(quán)，更沒有將“同意”視為單一合法性基礎(chǔ)。但是，基本權(quán)利意義上“控制”極易被私法化為一種私人權(quán)利，演繹成個人信息支配權(quán)。這不僅表現(xiàn)在這一時期的研究個人信息學(xué)者幾乎簡單地將域外立法文件中對個人信息保護基本原則規(guī)定簡單地抽象為個人信息權(quán)且作為一種私權(quán)（具體人格權(quán)）來對待，而且也導(dǎo)致現(xiàn)行立法過度依賴個人同意來保護個人信息處理中的個人權(quán)益。

自2012年全國人大常委會頒布《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》，中國開始引入域外的個人數(shù)據(jù)（信息）保護制度，之后個人信息保護規(guī)則進入《消費者權(quán)益保護法》《網(wǎng)絡(luò)安全法》《民法總則》《電子商務(wù)法》等法律。所有這些法律對于個人信息使用的基本規(guī)則為，收集和使用個人信息應(yīng)遵循合法、正當(dāng)、必要原則，須經(jīng)被收集者同意并依法律或合同約定使用，未經(jīng)被收集者同意，不得向他人提供個人信息。因此，這些法律的基本核心是知情同意規(guī)則，使個人信息的使用限定于信息主體知悉和同意目的范圍之內(nèi)。雖然同意在實踐中被泛化，并作為個人信息收集和使用是否違法的主要依據(jù)，但是在民事上不能因此推出非經(jīng)同意使用個人信息即構(gòu)成侵權(quán)。

《民法典》以個人信息“處理”替代“收集和使用”，仍然堅持同意為前提條件，只是明確存在法定例外（第1035 條第1 款第1 項），并規(guī)定了免責(zé)的情形（第1036 條）。這樣的規(guī)定宜得出沒有法律的規(guī)定例外時，未經(jīng)同意的個人信息處理就是侵權(quán)結(jié)論，至少人們會有不同的理解。這不僅是由于法律規(guī)定的不清晰，還有實踐中存在將信息主體同意等同于授權(quán)的觀念或做法。例如，國家推薦標(biāo)準 《個人信息安全規(guī)范》（GB/T 35273—2020）第5.4 條“收集個人信息時的授權(quán)同意”a）收集個人信息，應(yīng)向個人信息主體告知收集、使用個人信息的目的、方式和范圍等規(guī)則，并獲得個人信息主體的授權(quán)同意。

2021年8月20日通過、2021年11月1日起施行的《中華人民共和國個人信息保護法》（下稱《個保法》），在個人信息保護方式方面基本上采納歐盟GDPR 的框架，尤其是采納個人信息處理合法性基礎(chǔ)規(guī)定，只是其合法性基礎(chǔ)（第13 條）是規(guī)定在“個人信息處理規(guī)則”一章，而不是總則的基本原則中。第13 條的內(nèi)容也大致相當(dāng)于GDPR 的第6 條個人數(shù)據(jù)處理的合法性的規(guī)定，主要差別是缺少“為信息處理者（GDPR 為數(shù)據(jù)控制者）合法利益而處理”這一合法性基礎(chǔ)。筆者認為，采納個人信息處理合法性基礎(chǔ)規(guī)定使我國個人信息的處理具有并行的法律依據(jù)，既避免《民法典》之前的分散立法將同意作為唯一合法性基礎(chǔ)，同時也避免了《民法典》第1035 條以同意為一般原則，以法律另有規(guī)定為例外的規(guī)定。不過，《個保法》仍然主要依賴同意保護個人權(quán)利。

自《網(wǎng)絡(luò)安全法》2017年6月生效后，國家網(wǎng)信辦等網(wǎng)安法執(zhí)法部門每年都會聯(lián)合進行執(zhí)法大檢查，在2018年《電子商務(wù)法》生效后，國家市場監(jiān)督管理總局每年開展 “網(wǎng)絡(luò)市場監(jiān)管專項行動”，尤其是今年圍繞平臺反壟斷開展連續(xù)的執(zhí)法活動。從目前的執(zhí)法情形來看，對于個人信息違法濫用行為的執(zhí)法主要圍繞兩個方面展開，一是是否存在有效的同意，二是否超范圍采集與超目的使用個人信息上（涉及必要性的判斷）。由于現(xiàn)行涉及個人信息使用的法律基本上是個人對個人控制（包括同意）為基調(diào)，法律僅有公共利益的限制，但沒有數(shù)據(jù)使用者合法利益保護和社會發(fā)展或社會整體利益相關(guān)規(guī)定，因而現(xiàn)有的涉?zhèn)€人信息保護的執(zhí)法也只能以法律規(guī)定為依據(jù)，以個人權(quán)利保護為目的。即使執(zhí)法出于地方經(jīng)濟發(fā)展或就業(yè)等考量，也屬于酌情之范疇，根本改變不了執(zhí)法基準線。

從立法到執(zhí)法基本現(xiàn)狀以及《個人信息保護法》內(nèi)容來看，我國個人信息保護仍然一頭倒，呈現(xiàn)單向保護個人權(quán)利范式，即保護信息主體權(quán)利并基于公共利益考量給予適當(dāng)限制。盡管數(shù)據(jù)治理概念在中國也得到普遍應(yīng)用，但是，在法律對個人信息的定位屬于個人人格利益，且僅僅通過限權(quán)來維護公共利益的情形下，不承認數(shù)據(jù)使用者或社會主體的利益的情形下，數(shù)據(jù)治理的理論和機制就無從實施。缺失個人信息上多元利益的承認，不明確個人信息的多方利益相關(guān)者的利益，任何數(shù)據(jù)治理，就仍然是借時髦治理概念行保護個人權(quán)益之實。

中國個人信息保護亟需范式的轉(zhuǎn)型，從單一保護個人權(quán)利轉(zhuǎn)向保護多利益相關(guān)者利益的數(shù)據(jù)治理范式。這需要認真研究在數(shù)字經(jīng)濟時代，數(shù)據(jù)成為驅(qū)動創(chuàng)新和社會經(jīng)濟發(fā)展資源的背景下，包括歐盟在內(nèi)的國家均在從過去的保護轉(zhuǎn)向治理，我們就沒有必要再重復(fù)保護范式，將來再走向多元治理范式。

注釋：

①Bevir，M.（2010）. 1 Governance as Theory，Practice，and Dilemma.

②European Commission，Regulation on data governance-Questions and Answers，https：//ec.europa.eu/commission/presscorner/detail/en/QANDA_20_2103?cookies=disabled

③Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on European data governance （Data Governance Act），COM（2020） 767 final 2020/0340（COD）

④the Data Sharing and Governance Act 2019，http：//www.irishstatutebook.ie/eli/2019/act/5/enacted/en/html

⑤Nathan Eagle，Engineering a Common Good： Fair Use of Aggregated，Anonymized Behavioral Data.

⑥《個人信息保護法》第四條第一款規(guī)定，個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。

⑦在計算機網(wǎng)絡(luò)應(yīng)用之前，這些信息除了少數(shù)部分被口耳相傳（傳聞）得以傳播或被檔案或傳記記載外，基本上不留痕跡，無據(jù)可查。而今天，人們的一切行為軌跡幾乎都可以被記錄下來，成為人們可以查詢和分析個人的消費偏好、健康狀況、資信狀況和信用能力等的依據(jù)。

⑧Garfinkel，S.（2015），De-Identification of Personal Information，NIST Interagency/Internal Report （NISTIR），National Institute of Standards and Technology，Gaithersburg，MD，[online]，https：//doi.org/10.6028/NIST.IR.8053

⑨在網(wǎng)絡(luò)環(huán)境下，我們可以通過了解一個人的個人屬性（如職業(yè)、經(jīng)歷等）、網(wǎng)絡(luò)瀏覽記錄等數(shù)據(jù)來認識某個人的個性特征，然后將個性特征聯(lián)系到某個具體個人。個人提供給社會的信息豐富了，不僅能夠精確地識別一個人的特征，而且很容易識別一個人的身份?；诖耍F(xiàn)在識別個體，甚至不需要識別個體身份（知道你是誰），而僅僅識別特定的抽象的個體。我們在網(wǎng)絡(luò)環(huán)境中有許多身份標(biāo)識符，典型的如用戶名甚至IP 地址、 硬件識別號 （如手機IMEI 號），均可以視為一個個體。這樣的個體實際上是“人格面具”（persona）。至于這個個體是誰，對應(yīng)到現(xiàn)實中哪個具體的個人，則需要進行身份識別，即將具有某些特征的個體與具體的個人聯(lián)系起來。識別并不必然要識別身份，更不必然跟一個人通信或聯(lián)系。因此，在網(wǎng)絡(luò)社會中，識別的基本含義就是通過分析關(guān)聯(lián)數(shù)據(jù)以識別某個用戶的個性特征（至于能否識別用戶的身份，則取決于所掌握的數(shù)據(jù)是否匹配到某個人）。

⑩WORLD ECONOMIC FORUM，PERSONAL DATA：THE EMERGENCE OF A NEW ASSET CLASS 7 （Jan.2011）.p5.

?2020年3月，國務(wù)院發(fā)布《中共中央國務(wù)院關(guān)于構(gòu)建更加完善的要素市場化配置體制機制的意見》 提出土地、勞動、資本、技術(shù)、數(shù)據(jù)五個要素領(lǐng)域的改革方向。其中針對數(shù)據(jù)要素，第一次此明確了加快培育要素市場的發(fā)展方向，要求加強數(shù)據(jù)資源整合和安全保護。探索建立統(tǒng)一規(guī)范的數(shù)據(jù)管理制度，提高數(shù)據(jù)質(zhì)量和規(guī)范性，豐富數(shù)據(jù)產(chǎn)品。研究根據(jù)數(shù)據(jù)性質(zhì)完善產(chǎn)權(quán)性質(zhì)。

?高富平：《論個人信息保護的目的——以個人信息保護法益區(qū)分為核心》，《法商研究》2019年第36 期。

?Yvonne McDermott，Conceptualising the right to data protection in an era of Big Data，Big Data&Society，January-June 2017，p4.

?王利明：《民法上的利益位階及其考量》，《法學(xué)家》2014年第1 期。

?首先，隱私具有共同價值，因為所有個人對隱私會有某種評價，有某些共同看法。此外，隱私不僅對個人（作為個人或者所有共同體的成員）具有價值，對民主體制也具有價值。最后，隱私具有集體價值（collective value），技術(shù)和市場力量正在使個人信息保護相互聯(lián)系在一起，在所有人沒有相同的最低隱私保護水平的前提下，某個人很難享有隱私。參見Priscilla M.Regan，Legislating Privacy： Technology，Social Values and Public Policy，Chapel Hill，NC：University of North Carolina Press，1995.

?Alessandro Mantelero & Giuseppe Vaciago，Data protection in a big society. Ideas for a future regulation，Digital Investigation 15（2015），p.108.

?參見高富平：《個人信息保護：從個人控制到社會控制》《法學(xué)研究》2018年第5 期。

?GDPR 定義的數(shù)據(jù)控制者為： 是指單獨或與他人共同決定個人數(shù)據(jù)處理的目的和方式的自然人、法人、公共權(quán)力機關(guān)、代理機構(gòu)或其他機構(gòu)。數(shù)據(jù)控制者或第三方基本上可以涵蓋所有的社會主體。GDPR 第5 條第（f）項完整條文為：（f）數(shù)據(jù)控制者或第三方為追求合法利益目的而進行的必要數(shù)據(jù)處理，但當(dāng)該利益與要求對個人數(shù)據(jù)進行保護的數(shù)據(jù)主體的利益或基本權(quán)利和自由相沖突時，尤其是當(dāng)該數(shù)據(jù)主體為兒童時，則不得進行數(shù)據(jù)處理。

?《南財快評：新冠肺炎疫情會推動醫(yī)療數(shù)據(jù)全球共享嗎？》，載21 財經(jīng)，https：//m.21jingji.com/article/20200214/herald/209333f86aab705ff55f27e8c7a28b66.html（2020年3月30日訪問）

?我國在《中國互聯(lián)網(wǎng)狀況》（中華人民共和國國務(wù)院新聞辦公室，2010年） 中提出了我國境內(nèi)的互聯(lián)網(wǎng)屬于中國主權(quán)管轄范圍的觀點。2015年在《國家安全法》首次規(guī)定了“網(wǎng)絡(luò)空間主權(quán)”。2021年6月《中華人民共和國數(shù)據(jù)安全法》第一條明確“為了規(guī)范數(shù)據(jù)處理活動，保障數(shù)據(jù)安全，促進數(shù)據(jù)開發(fā)利用，保護個人、組織的合法權(quán)益，維護國家主權(quán)、安全和發(fā)展利益，制定本法?！睂?shù)據(jù)安全與國家主權(quán)聯(lián)系在一起。