互联网是工具，利用数据是创造人类福祉的手段，我们应该以符合人类社会价值观的方式来使用数据。

文|财经E法 刘畅

加强个人信息保护早已是社会共识。从相关部门开展一系列专项治理，到拟建立数据分类分级保护制度、遏制数据使用乱象，再到要求相关企业建立个人信息保护“双清单”……近年来，个人信息保护力度不断加大，相关举措成效亦可谓显著。

事实上，个人信息已成为社会运行链条中必不可少的环节——很多人认为，它应当被视作社会资源，而非属于个人的资源。

但这种思考也引发了争议：个人信息上不仅附着了信息主体的人格尊严和自由利益，其使用者的利益和公共利益也是法律需要保护的重点。如何让个人信息更加有序、公平、合理地被利用？个人意志是否能够贯彻于个人信息处理活动全过程？其内核价值是否需要被重新审视？

带着这些问题，财经E法专访了华东政法大学互联网法治研究院院长高富平。

01

GDPR是部过时的法律

财经E法：2018年5月，欧盟在数据方面的最重要立法之一——《通用数据保护条例》（GDPR）开始实施。四年时间过去，GDPR的评价可谓“毁誉参半”：它无疑提高了人们对隐私和数据保护的认识，并为各国和各司法管辖区设定了标准；但另一方面，部分学者认为，由于欧盟成员国之间缺乏协调统一，GDPR给市场主体造成了沉重成本、阻碍跨境投资、不完全兼容WTO规则等负面影响也在显现。

在你看来，GDPR对数字经济产生了哪些影响？

高富平：我对GDPR一直在跟踪研究，我个人认为，它是一部过时的法律。

为什么这样说呢？

GDPR的诞生自然有其政治目的，那就是要实现欧盟范围内数据的自由流通——尤其是个人信息的自由流通——这样一个目标，促进算法的应用、人工智能及大数据经济的发展；同时“一致对外”，向外构筑一道高墙。

但四年过去了，我们不禁要问：欧盟内部是不是真的实现了立法者们所预期的“个人信息自由流动”呢？我觉得，目前没有证据显示他们做到了这一点。换句话说，这一理想没能实现。

具体说，GDPR 的诞生具有双重目的：一是保护个人数据处理和流通过程中所涉及到的自然人的基本权利与自由，尤其保护其个人信息权利；另一方面是促进个人信息在欧盟境内的自由流通。我们可以发现，这两个目的的价值追求是对立的。

为实现这两个目的，GDPR 开出的药方是：统一数据保护水平，强化个人信息保护权，增强公民信心从而实现个人信息的流动利用——它根本就没有考虑个人信息的资源属性，以及给予数据控制者以流动数据的权利，实现数据流通利用。

所以要我说，这样的设想是美好的，但法律实施效果并不是那么美好。

首先， GDPR的具体条文中纵然包含多样的合法性基础，但最终仍导致同意泛化，并没有赋予数据使用者以多少自由，这是 GDPR 设计的最大缺陷。

其次，在将保护个人信息上升为公民基本权利，GDPR 强调该权利应当得到绝对保护，也就是 GDPR 规定了数据主体权利是“硬”标准，任何情形下均不能被削弱。这种做法实际导致 GDPR 基于风险的合规管理变得僵硬，也意味花费更多人力和成本去履行更多义务与职责，并需付出巨额的执法成本。

第三， GDPR在制度设计上并没有考虑数据自由流通。这集中表现为没有给数据控制者流通个人信息的权利。GDPR 给了数据控制者合法地在特定范围内使用数据的权利，但是对于个人信息的利用仍受制于数据主体意志，个人可以随时撤回同意，也享有在特定条件下拒绝处理、删除等权利。

可以这样做总结：GDPR 更加重视行政保护，建立了以监管机构为核心的保护机制，目的在于保证个人信息在成员国之间的自由流动，并在欧盟内对基本权利和自由权利更高水平的保护。但是，这种更高水平的保护并没有创制个人信任，实现个人数据在欧盟境内的自由流通。至少这是我目前阅读文献的结论。

财经E法：2022年5月16日，欧盟理事会正式批准《数据治理条例》，意在促进各部门和成员国之间的数据分享，并将其作为数据战略的一个关键支柱。从“个人权利为中心”到强调“数据分享”，欧盟这种变化说明了什么？

高富平：这说明，欧盟内部正在对GDPR进行反思。

数据分享这个词，英文为data sharing，这里面的“sharing”，有人把它翻译成“共享”，但我觉得翻成“分享”更合适。

当前，整个数据要素市场都建立在“分享”基础上。这里的“分享”指的是提供给他人使用，有两层含义：一是数据本身是可以交换的，可以有对价的交易，亦可以是商业合作或共享；二是数据无偿地给他人使用，“分享”涵盖了数据开放。重要的是，不管怎样的“分享”，都由数据持有者开启，而不是无序利用。这意味着，每个人掌握和利用数据的能力都是有限的，所以需要获取别人的数据，也要建立分享流通的机制。也就是说，“sharing”是数据实现价值的最主要方式。

可是，GDPR 最大的问题在于，它以“可识别个人”为标准，建立了无边界的个人信息概念及模糊的识别概念，同时建立了大包大揽式的数据处理模式。这样一来，就使得 GDPR 的调整范围漫无边界，也给其实施和执行带来很大不确定性。这样的法律会造成对社会的过度干预，导致社会运行成本过高，而没有任何积极的后果（保护数据主体权利）。

从欧盟近年来的相关立法看，个人数据保护已经被作为一项公民的基本权利，并建立了公法和私法为一体的救济体系。欧盟似乎只有沿着这个方向继续前行并强化数据主体权利，才更加有说服力。GDPR是它因循老路的巅峰。

我觉得，GDPR 通过赋予个人控制其数据的权利来赋予个人权利的理念看起来是虚幻的，因此，对于个人信息控制论的反思，将会是未来理论和实务界共同的方向，也是 GDPR 必须面对的理论挑战。

财经E法：在你看来，GDPR实施以来的经验，对中国有何启示？

高富平：对立法者而言，需要考虑的是，欧洲基于特定历史背景产生的个人信息保护制度，是否适合中国的社会经济文化。还需要考虑， IT 技术时代产生的问题与大数据时代需要面对的问题是否一致，是否还要用前网络时代的法律原则去解决万物互联（网络化、数字化、智能化）时代的问题。

对于上述问题，我们目前似乎还没有深入系统的研究。

现在中央提出“良法善治的法治中国”概念。我觉得，这里的“良法”，指的就是规则明确、稳定和可实施的法。更深入来说，就是划出行为红线，留出行为自由空间，使违法者得到惩罚。

另外，制定法律时要做到规则明晰。法律规则起到引导人们行为的作用。人们对做什么会有什么样的法律后果，是有稳定预期的。如果法律条文模糊、宽泛或者不合理、不科学，就会让正当的社会经济行为或创新行为面临不确定法律风险，进而扼制社会活动和创造力。

再有，需要重新定义数据价值。网络也好，数据也好，都已渗透到整个社会运行中。我们不该把网络看作是“另一个领域”，而应把它看作社会的组成部分；不该把数据看作成“有毒之树”，而应把它看作社会运作内在的需求。要让数据和网络在符合社会价值观和人类发展方向的基础上运作发展，真正形成规范化的体系。还要真正弄清数据对个人、社会可能产生的利与弊——注意，这里我想强调的是“真正弄清”。这就是说，不能人云亦云，主观臆断数据和互联网的利与弊。

怎么避免主观臆断呢？这要求我们对数字技术带来的社会变革有深层次的认识，尤其是对其可能带来的损害，要搞懂这个损害究竟是数据本身带来的，还是数据和技术背后的人带来的，或是数据使用行为带来的。

还有一点很重要的是，对于网络和数据领域的执法，一定要考虑后果和典型性。如果缺乏清晰的边界，过于严厉的执法可能过度干预社会经济活动。那就应该反思法律规则本身是否有问题？是不是需要建立更明确的规则，以削减法律的不确定性和随机性？这样，才能够形成立法、执法、司法的良性互动和循环。

02

数据的弊端源自“用它干坏事的人”

财经E法：你曾提出一种观点：个人信息是支撑个性化服务、智能制造等业态的基础，是垂直经济、平台经济、线上与线下融合经济等商业创新的灵魂。由此，企业产生了对个人信息收集、利用和流通的需求。那么，应当如何理解企业的这种需求，以及公众对个人信息被滥用的担忧？

高富平：我们现在提出的数据生产要素、数字化转型驱动，国际社会则表述为数据驱动或数据经济，其实都是强调运用数据进行智能决策，应用于企业产品研发、精准营销、业务流程再造等，还会应用于社会治理等层面。数字技术进步，不仅使人处理信息能力提升，而且使人类对数据利用超越人类识读信息，走向机读数据，因而赋能人类社会。

所谓的智能决策，就是通过机器学习，挖掘数据与数据之间的关联，并透析数据背后的主体行为或器物运行规律。数字经济的运行逻辑，一定是建立在将数据作为资源要素基础上的，这是社会发展的必然。不管是生物科技，还是航天、海洋科技，当今社会的一切创新都是建立在对信息的全息掌握基础之上——任何技术，它的底层都是数据。那么，能说企业对数据的需求不是正当的吗？

当然，对于个人信息和数据的不当使用，会带来危害，比如个人信息泄露就会给个人带来损害。因此，确保个人信息和数据受到完善的保护，是人们贡献出个人数据的前提，也就能更有助于社会的运行。

我一直想呼吁的是，身处数字时代，作为社会一员，我们应该建立起一种新的个人信息和数据的价值观，或者说，重新定义个人信息的价值——数据本身一定是中性的，它可能造成的所有损害都源自其使用者，法律并非要约束数据本身，而是要约束其使用者。

财经E法：算法推荐是互联网企业普遍应用的技术。在你看来，这一技术的好处和风险都有哪些？

高富平：首先要明晰算法推荐的一个基本概念——它是数字技术或者说网络通信发展到今天的一种必然，是实现海量信息与个人时间或注意力匹配的技术。

作为中立的技术，它让个体进行信息检索的成本大幅下降，但也造成了“信息茧房”效应。关于“信息茧房”，我最关注的是两点：一是对青少年的危害——青少年毕竟缺乏对信息的识别能力；二是对政治的影响。

从平台角度，算法推荐可以显著降低获客成本，也就是平台与消费者沟通的成本，提升运作效率；但同时，它也可能侵害个人信息及隐私。

财经E法：算法推荐相关数据掌握和使用的边界在哪里？

高富平：我一直认为，要把数据看作是实现人类各种活动的工具——我前面提到了，数据本身是无害的，至少是中立的。当你要利用数据时，首先要看这种行为是不是为法律所允许。换句话说，就是要看你用数据干什么？这个行为是不是合法？是使用者使用数据所做事情有边界，并非数据本身有边界。

有了这样的前提，我们再来看数据使用行为边界有哪些。

第一个边界就是个人隐私。无论是个人信息保护法，还是网络安全法，其中的边界就是个人隐私。个人信息保护法主要是防范信息的可识别性带来的危害。使用者可以用那些即使是敏感、私密的信息，但前提是不能可识别性使用，更不能泄露。因为把那些不涉及隐私的碎片化信息拚接在一起，或将非敏感的数据进行算法推演，同样也可能透露出个人隐私，所以不仅要关注数据的使用过程，更要看使用结果，从而判断是否损害了个人权益。

第二个边界，就是对数据权属者的尊重。这里的尊重，指的是“让我知道你在用我的数据干什么”。否则，就无法有针对性地采取任何行动。我曾经写过一篇文章，主题是“同意不等于授权”。这话怎么理解？ 很多人都认为，同意等于允许他人使用你的数据。但我认为，同意等于“我知道了平台要收集我的这些信息”，但这并不意味着授予平台自由使用我的数据的权利。

第三个边界就是国家安全，这是最大的边界。个人信息绝不仅仅是孤立存在，尤其当数据量比较大时，就能够通过信息透析一个国家某一个方面的运营状况，这一点尤其要注意。

03

以符合社会价值观的方式使用数据

财经E法：应当如何看待“个性化广告”带来的争议？在商业化与用户体验之间，企业应该如何取得平衡？

高富平：个性化广告就是算法推荐的一种应用，也是平台利用个人信息的一种方式。在实践中，平台利用个人信息的关键，其实并不是要识别出“你是谁”。作为个体来说，在互联网上有N台设备或数字ID，平台对这个ID画像后，这个个体的信用或者说偏好就体现出来了，然后平台再根据这种偏好精确推送广告。这样，消费者的偏好和兴趣成为商家决策的依据。

但是有人会说，咱不就怕平台做坏事嘛。

至于解决的办法，我以人脸识别为例：我坚决反对让人们去“选择”是否被识别，而是应该推行一种政策，允许使用人脸识别技术，但是不允许用人脸信息干除识别身份以外的任何事情，干了就是违法。个性化广告也是同样道理，个人无法事先控制商家基于数字ID的识别，但是应当有权拒绝推荐内容（提供关闭选项），从而拒绝完全基于自动决策的推送，制止可能揭示个人隐私的画像行为。

作为个人，肯定不愿意让自己的个人信息被滥用，但从社会运行角度，也不能因噎废食，就此不用数据了。这就要求我们在思考相关问题时既要兼顾个人利益，又要兼顾社会运行和商业逻辑。而商业逻辑，本来就是建立在对其客户信息的理解基础上。

还是那句话，个人信息的立法逻辑，在于防治数据利用中可能产生的风险，而非否定数据利用本身。

财经E法：近年来对个人信息有这样一类讨论：属于个体的数据，保存权却不在个体手中，个人也无法限制其使用范围，这是数字时代对隐私权的巨大挑战。对此观点认为，个体享有更多对个人信息的控制权，是平衡数据利用与个人信息保护的“最佳方案”。你认同吗？

高富平：我不认同。

做坏事的人永远有，但个人能控制的，要么就是在网络应用的选项里不打勾，要么就干脆不使用——数字技术所带来的危害，绝不是通过控制自身信息就能够杜绝的。所以我才一直说，个人信息保护相关立法的关键，在于确保数据利用向善，在于确保数据使用者不会作恶，而并非给个人更多控制权。尤其是不能将对人格利益的保护（个人信息受保护权）直接转化对数据使用（经济价值）的控制。否则，就是给个人画了一张吃不到的饼，还徒增社会成本。

我个人坚决同意赋予个人拒绝的权利——你给我推送你的内容，就必须给我设置一个退出键。我认为我需要看，就接受，不需要，就拒绝。这个原则，应该是所有算法和通讯应用的基本原则。做到这一点，就做到了尊重个体的选择。

其实，赋予个人拒绝权，本身就是控制权的一种。而这种控制权必须有效：我已经拒绝了，你再推送，就是对我的侵忧，我就能告你。而非干脆不让企业做推送——这实际上等于消灭了商业自由。

未来对于个人信息保护一些原则，需要思考其本质逻辑，要从社会运行和对个人危害根源的角度去想问题。还是那句话：要搞清楚危害究竟是数据造成的，还是使用数据的人造成的。

我始终觉得，互联网是工具，利用数据是创造人类福祉的手段，我们应该以符合人类社会价值观的方式来使用数据。这是我对互联网及数据研究的基本宗旨。