2020年3月30日，中共中央、国务院发布了《关于构建更加完善的要素市场化配置体制机制的意见》（下称《意见》），提出土地、劳动力、资本、技术、数据五大生产要素。这是着眼于数字经济背景下的市场要素的新定位，具有非常重要的意义。不过，数字经济发展面临个人信息滥用和安全风险。我国自2012年开始移植域外的个人信息保护制度，并于去年颁布了《个人信息保护法》，11月1日正式生效实施。《个人信息保护法》的制定实施，有利于克服分散立法、规则不统一的弊端，更有助于建构我国的个人信息保护制度。但在《个人信息保护法》贯彻实施之中，个人保护与个人信息流通利用需求之间的冲突不可小觑。显然，在法律实施伊始就质疑立法太欠妥当。为此，笔者通过对我国立法有深度影响的《统一数据保护条例》（缩写GDPR，以下使用缩写）的分析，揭示个人信息保护法实施可能面临的问题。

个人信息保护制度源自于域外，GDPR就是在特定时代特定社会政治经济背景下产生的个保法不断演进的产物。但它既不能适应当今时代发展需要，更不应该是“放之四海”的准则。GDPR潜在的制度缺陷和对欧盟数字经济的掣肘正在显现。因而在GDPR生效不久，欧盟委员会即开始制定促进数据流通利用或分享的制度，以缓解或校正GDPR的缺陷。2020年11月25日，欧盟委员会曾向欧盟立法机构提出《数据治理条例建议案》，旨在促进各部门和成员国之间的数据分享，并将数据分享（data sharing）作为数据战略的一个关键支柱。这种新的数据治理方式将增加对数据分享的信任，加强提高数据可用性的机制，并克服数据重用（re-use）方面的技术障碍。2022年又提出《数据法建议案》以确保企业与企业之间（B2B）合法的数据分享（流通）和使用，以创建公平的数据经济。两个建议案有着共同的目标和内容，都是为了解决欧盟单一数字经济发展面临的制度障碍。

显然上世纪七八十年代形成的以保护个人权利为中心的个人信息保护规则已经不能适应数据资源化、生产要素化的需要，甚至与该要求相悖。在数据驱动发展背景下，包括欧盟在内的世界各国正在探讨新的解决路径。在这样的背景下，如何解释和适用《个人信息保护法》，避免继续坠入GDPR的困境，是我国应当警惕的。本文旨在剖析GDPR内在的缺陷和原因，并在此基础上提出《个人信息保护法》解释和适用的方向，以缓解个人信息保护与社会经济发展之间的冲突和矛盾。

欧盟各成员国是欧洲委员会的主体，在《公约》颁布前后，欧盟借着实施《公约》名义，制定《指令》，践行统一数据保护规则进而统一市场的使命。这使欧盟立法朝着不断强化个人权利保护的方向发展。经济目的的融入使欧盟的立法逐渐脱离欧洲委员会《公约》的目的和定位，使个人信息保护法具有了经济目标或经济秩序内容。欧盟委员会之所以要提出制定GDPR，就是因为希望“所有企业将以统一的个人信息保护规则向5亿欧盟人销售产品和提供服务……将欧盟个人信息保护标准塑造成全球标准。”时至今日，GDPR已经实施4年左右，是否实现了当初的经济目标，还没有充分证据佐证，但是GDPR所确立的个人信息保护标准，似乎正在成为全球标准。GDPR之所以有这么大影响力，主要是因为GDPR给其他国家一定的压力，加上将个人信息保护纳入公民基本权利有一定的“欺骗性”，增加了移植的盲目性。

GDPR的施行在全球范围内产生了巨大的影响，且这一影响还在继续。对全球立法而言，欧盟模式是可资借鉴的，还是必须扬弃的？问题可能不仅在于要不要借鉴，还在于到底欧洲基于特定历史背景产生的个人信息处理中的个人保护制度，是否适合于我国的社会经济文化；基于70年代IT技术产生的问题与大数据时代产生的问题是否一致，是否还能够用前网络时代的法律原则解决万物互联泛在网络（网络化、数字化、智能化）时代问题。对于此，目前似乎没有深入系统的研究。《个人信息保护法》规范思路和内容移植GDPR的成分占多数，除了用数据处理者替代数据控制者看似不一致外，约70%左右的内容相似。笔者认为，GDPR所遇到的困境也一定是全球的困境，我国也不例外。在《个人信息保护法》已经生效施行的情况下，我们应当从当今社会的真实问题和需要出发，为《个人信息保护法》的解释适用注入一些时代元素，体现中国推进数字经济的制度需求。

（一）清晰认知技术变迁对于个保法的挑战

GDPR根植欧洲特殊的政治和社会文化背景，形成于上世纪七八十年代。那时计算机刚刚开始应用，这个时期的个人信息保护针对的是个人向特定机构提供，主要防止特定机构存储后的滥用。如今个人信息主要来源于无所不在的网络和传感器自动收集的数据，无限多元数据给人类社会带来了无穷的潜在价值（数据红利），个人信息成为社会资源和生产要素。基于欧洲传统的个人信息保护制度建立在人作为主体的尊严、自由或自治的人权保护理念上，是保护个人信息处理中的个人。虽然GDPR一再强调该法旨在促进个人信息在欧盟境内的自由流动，但是，建立在个人控制理论基础上的规则，在为数据控制者设定繁杂而又模糊的条件和程序的同时，似乎并没有真正促进个人信息的流动。实际上，GDPR根本就不是在资源意义上看待个人信息，它根本就没有将个人信息的分享或流通利用作为一项目标，而这恰恰是个人信息资源化要解决的问题。

现在人类进入了万物互联的数字化时代，这相比上世纪70年代的技术环境发生了巨大变化。那个时期IT和计算机网络只是人们收集、存储、加工处理、传输甚或发布个人信息的工具，而今天的网络则已经直接产生（生产）可以分析使用的数据。在这个时代，个人信息的生产发生了巨大变化，这种变化导致个人控制越来越难。经过不断的通信技术发展和应用，人类已经进入到网络化、数字化、智能化时代，个人信息应用的场景、目的、方式、规模等已经发生了巨大变化。个人对个人信息的控制能力也随之越来越弱甚至不可能。在这种情形下，对于个人信息处理中主体权利保护相关规则的理解，应当从主体自身的防御规范转向更为适合的行为规范。

笔者以网络普及应用作为分界点，尤其是大数据概念出现为分界，将数据收集和使用的变化简述如下：

在时代发生变迁的情形下，个人对个人信息的控制对于个人尊严或自由的维护仍然有价值、有意义，但是，我们不能为了控制而控制，为社会主体施加繁重的合规任务，还不能有效地保护数据主体的权利，徒增社会成本。

因此必须在规则解释适用中寻找到切实有效的保护个人权利的路径和方法。笔者认为，我国《个人信息保护法》的解释适用，应当充分观照当今技术新发展应用的新需求，以实现“促进个人信息合理利用”的立法目的。这里的关键是在将个人信息视为社会资源视角上来整体理解《个人信息保护法》的所有规则。这就要求，将个人信息视为社会可利用的资源，而不是个人控制的资源，要求个保法基础理论不断更新。

（二）深刻把握个人信息是社会资源的基本定位

无论美国还是欧洲，个人信息保护的理论基础是基于主体自主意义上的个人控制论，认为个人应当对关于个人信息的处理予以一定程度的控制，以免个人信息的处理侵犯主体的尊严和自由。虽然欧盟的个人信息保护法仍然坚持个人信息是社会可用的资源，而不是属于个人资源，立法赋予个人对个人信息处理的防御性权利并没有被演绎为个人信息决定权。即使在理论上存在个人信息自决权，但仍然是宪法上的权利，而不是民法上的私权。不过，GDPR将个人控制贯穿于个人信息处理全生命周期，让个人参与到数据处理过程，防范处理行为对主体权利的侵害，其实是达到个人决定效果。

如前所述，GDPR贯穿了一条非常明显的主线，就是强化数据主体对于数据的控制以平衡双方能力之不平等，该法建立在“个人控制论”理论的基础上。欧洲个人信息保护的逻辑是：个人信息是人的延伸，而人应当独立自主（自治），因而个人信息亦应当由数据主体掌控，体现个人意志。GDPR没有将同意上升为一种权利，避免使个人信息的利用（处理）沦为个人决定（承认个人决定权），但是因同意最宜证明合规且可以实现更多的使用目的，同意被广泛使用。同意的价值在于让数据主体控制其信息的使用目的，使个人对数据使用具有可控性。同时，GDPR又给予个人许多权利（拒绝、删除等），使其可以参与到数据处理活动，防止有害于其主体尊严或自由的处理。在以个人控制论为基础的个人信息立法中，价值序列的最高层不是以个人行为自由为基础的信息收集、处理和利用自由，而是信息主体对自己的个人信息的控制。

但是，有越来越多的学者开始质疑绝对的个人信息控制论，认为加强个人控制无法满足社会经济和现实发展的需要。主体控制是建立在理性人假设基础上，它假定人们可以凭借自己的意志很好地料理自己的事情，不需要国家来干涉。然而，在数据处理行为中，个人并不一定可以做出最有利于自身的选择，建立在知情同意基础之上的控制是无力的，其核心问题在于，个人无法对其数据进行全面的、有意义的控制，在初次数据收集时，个人也不具备评估后续隐私风险的能力。信息分享和利用是信息的本质属性，商业因信息的流通而发展，人类因信息的流通而构建亲密关系，知识因为信息的流通（分享）而惠及更多人。个人信息本质上是可以为人所用的，不应当被个人控制，需要法律调控的是人利用和处理信息的行为，而不是个人信息本身。事实上，个人信息（数据）保护基本含义是保护个人主体权利不因信息处理受到侵害，而不是保护个人对个人信息的控制。

从《公约》到《指令》，再到各成员国立法，个人信息保护已经被作为一项公民的基本权利加以保护，并建立了公法和私法救济为一体的救济体系。GDPR只有沿着这个方向继续前行并强化数据主体权利，才更加有说服力。欧盟2012年提出制定GDPR试图解决大数据时代个人信息面临的新问题。于是，进一步扩张数据主体权利成为GDPR的唯一选择。比如GDPR在进一步确认和完善个人既有的权利外，还增加了删除权（被遗忘权）、持续控制权（又译为数据便携权）等权利，以给予个人对数据更有效地控制，进一步保障数据主体的基本权利与自由。这样，欧盟在个人控制道路上越走越远。

GDPR通过赋予个人控制其数据的权利来赋予个人权力的理念看起来是虚幻的，因此，对于个人信息控制论的反思，将会是未来理论和实务界共同的面向，也是GDPR成为全球数据保护标准必须面对的理论挑战。如果说受到欧洲政治文化传统和早期立法束缚很难有所突破，那么世界其他国家应当有独立的反思。在笔者看来，个人信息保护的目的是保护主体权利，而这样的保护不是通过个人控制信息的使用实现的，而是通过法律规范个人信息的使用行为（处理）来实现的。

《意见》提出数据作为生产要素，显然包括个人和非个人信息在内的数据都应当成为社会利用的资源。因为数据作为生产要素要求数据能够为各个组织在各个领域应用，提升数据智能分析和智能决策能力，进而改进整个社会的运营绩效和效率。个人信息作为生产要素并不意味着所有的个人信息都可以进入市场，成为可交易的东西，凡是促进数据社会化分享利用的都是在发挥数据要素的作用。在某种意义上，个人在参与社会活动，向交往相对人提供个人信息也是个人信息的分享利用，但这基本上是个人利益的维度的利用方式；而且传统个保法的宗旨是个人信息利用的范围仅限于个人同意或法定事由目的的必要范围，超出该目的原则上就属于违法使用。这样做的目的是，使个人信息的利用维持在可控制范围内，以维护数据主体的尊严或自由。而数据作为生产要素（即作为资源）则要求关于个人的数据能够为社会利益（社会发展和福祉改善）作出贡献，能够为社会主体可用。这是因为每个人都是社会的一个分子，每个人不是孤立的存在，个人的数据既有个体价值，也有社会整体价值。忽略社会整体价值，不承认社会主体对个人信息的利用权是片面的、不完整的。因此，个人信息在法律属性上应当定位于非完全由个人控制的可用的社会资源。

因此，切不可以个人控制其个人信息的理念来理解和解释适用《个人信息保护法》的规则整体，应时刻注意《个人信息保护法》的具体规则与“保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用”这一立法目的的价值一贯和体系统一。在社会资源意义上定位个人信息或个人信息对个保法理论基础提出新要求，需要更新理论，以助力平衡个体利益（主体权利）和社会利益的目标顺利实现。

个人信息是大数据的重要组成部分，也是重要的社会资源。实现数据要素市场化配置是《意见》提出的重要制度目标。数据作为生产要素，其价值在于能够通过智能分析发现新知识，而数据的市场化配置可以对数据进行社会化分析利用，以便数据分析使用者获取数据，支撑科学研究、社会治理和商业决策。但是，任何个人信息处理和应用均应当遵循《个人信息保护法》，保护信息主体权利，防范隐私和安全风险。平衡信息主体权利和社会价值是我国《个人信息保护法》具体制度解释适用的重要方向。

（三）准确理解个人信息及处理等核心概念

个人信息最主要的功能是识别个人，因而个保立法多以识别来定义个人信息，它导致的结果是建立泛在的个人信息及泛在的个人信息处理，背离了个保法旨在防范个人信息处理可能引发的侵害个人权利的风险目的，最终导致法律对社会的过度干预，徒增社会运行成本。

为避免这一弊端，在理解《个人信息保护法》第4条第1款的个人信息概念时，应注意把握“关联”这一核心要件，即个人信息是与特定自然人有关联的信息。可与特定个人关联的个人信息是有限的，可识别和可判断的，以此为基础设置社会主体禁止义务（建立非经同意不得处理规则）是合理、正当的，也是可操作的。而可以用于识别个人的信息广袤无边，让信息主体参与到处理活动的每个环节，不具有实际意义（徒增合规成本）。

同时，在理解《个人信息保护法》第4条第2款的个人信息处理时，应注意把握“识别分析”这一最关键的处理行为。识别分析是信息处理行为目的，对信息处理行为设定条件、程序、明确处理者义务以及侵害信息主体权益的责任是个保法核心。这样就区分出个人信息控制和个人信息处理行为控制：在前者，个人可以实施控制（同意作为合法性基础）；对于后者则主要由法律调控，明确处理者义务，维护个人权益（必要时设置信息主体的主动请求权利，如更正、拒绝或删除）。与此相配套，个人信息处理概念应当围绕识别分析。

（四）明确主张去标识化信息可以利用规则

个人信息的价值在于识别，“经过处理无法识别特定自然人”的数据（或数据集）即转化为抽象信息或知识，不再拥有识别个人的价值，即使可以分享利用，那也不是数据资源社会化利用。实际上，在大数据环境下，识别一个人取决于你掌握多少数据和采取什么样的算法。也就是说，处理数据使其无法识别是保障信息安全的措施，而不是阻止人们识别的办法。

在个人信息是可用的社会资源背景下，《个人信息保护法》的精神中蕴含着既保护个人权益又促进分享利用的制度规则，这便是去标识数据的分享利用制度。当一个数据集去除与个人关联的信息（包括直接或间接关联的信息，实践称为标识符，广义上的身份/ID信息）后，即可以防范个人信息处理对隐私的侵害，尤其减少处理中的信息泄露对个人安全的危害风险。去标识后的个人信息仍然可以用于识别分析，仍然适用《个人信息保护法》规定，只是应区分应用场景，适用不同规则：当不需要识别身份时，则不需要同意；当需要识别身份时，则需要取得主体同意。这样就在个人权益受到尊重的前提下，使个人信息得到社会化利用，发挥其社会价值。

因此，应当深刻把握《个人信息保护法》第73条第3项对于去标识化的定义，将去标识理解为“是对数据集进行处理，以减少数据集中与特定个人相关联信息的风险”，并在解释适用中肯定去标识数据集可分享利用的规则，即去标识个人信息可不经同意而对外提供，但使用去标识个人信息须遵守个保法规定。《个人信息保护法》规定的匿名化系作为个人信息安全存管措施，而不是个人信息分享利用（对外提供）的规则。

个人信息既承载个人利益（主体价值），也关系社会整体（各信息使用者）利益，每个个体的数据都成为社会共同体数据资源的组成部分。通过个人信息识别社会个体，是商业运营、公共服务、社会交往等活动开展的必要条件，因而个人信息是可用的社会资源，由此数据被视为生产要素。但是，个人信息的使用关涉个人隐私、尊严等主体权益，个人信息的收集和使用必须加以规范，从而确保个人主体权益不受侵犯。通过规范个人信息的处理行为，《个人信息保护法》是保护个人主体权益而不是保护个人信息本身，是防范滥用而不是由个人控制的使用。个人信息具有社会资源属性，要确立个人信息可合法正当使用原则。

我国《个人信息保护法》在立法过程中参考借鉴了GDPR的部分制度架构和制度设计，因此在《个人信息保护法》解释适用过程中参考借鉴GDPR也无法避免。但是要对GDPR的失败之处有深刻洞察和清醒认知。近来欧盟陆续提出《数据治理法》《数据法》等立法建议，即系试图力挽狂澜之举，当然效果如何有待观察，但至少说明欧洲人自己也已经意识到GDPR的困境所在。故在解释适用我国《个人信息保护法》方面对GDPR必须采取批判性借鉴的态度，避免落入GDPR的陷阱。我们应当有制度自信，坚持个人信息可使用的总基调，保护数据处理者合法利益，为打造中国特色的数据要素市场奠定规范基础。

来源：数字经济与社会（原文刊载于《法治研究》2022年第3期）