互聯網是工具，利用數據是創造人類福祉的手段，我們應該以符合人類社會價值觀的方式來使用數據。

文|財經E法 劉暢

加強個人信息保護早已是社會共識。從相關部門開展一系列專項治理，到擬建立數據分類分級保護制度、遏制數據使用亂象，再到要求相關企業建立個人信息保護“雙清單”……近年來，個人信息保護力度不斷加大，相關舉措成效亦可謂顯著。

事實上，個人信息已成爲社會運行鏈條中必不可少的環節——很多人認爲，它應當被視作社會資源，而非屬於個人的資源。

但這種思考也引發了爭議：個人信息上不僅附着了信息主體的人格尊嚴和自由利益，其使用者的利益和公共利益也是法律需要保護的重點。如何讓個人信息更加有序、公平、合理地被利用？個人意志是否能夠貫徹於個人信息處理活動全過程？其內核價值是否需要被重新審視？

帶着這些問題，財經E法專訪了華東政法大學互聯網法治研究院院長高富平。

01

GDPR是部過時的法律

財經E法：2018年5月，歐盟在數據方面的最重要立法之一——《通用數據保護條例》（GDPR）開始實施。四年時間過去，GDPR的評價可謂“譭譽參半”：它無疑提高了人們對隱私和數據保護的認識，併爲各國和各司法管轄區設定了標準；但另一方面，部分學者認爲，由於歐盟成員國之間缺乏協調統一，GDPR給市場主體造成了沉重成本、阻礙跨境投資、不完全兼容WTO規則等負面影響也在顯現。

在你看來，GDPR對數字經濟產生了哪些影響？

高富平：我對GDPR一直在跟蹤研究，我個人認爲，它是一部過時的法律。

爲什麼這樣說呢？

GDPR的誕生自然有其政治目的，那就是要實現歐盟範圍內數據的自由流通——尤其是個人信息的自由流通——這樣一個目標，促進算法的應用、人工智能及大數據經濟的發展；同時“一致對外”，向外構築一道高牆。

但四年過去了，我們不禁要問：歐盟內部是不是真的實現了立法者們所預期的“個人信息自由流動”呢？我覺得，目前沒有證據顯示他們做到了這一點。換句話說，這一理想沒能實現。

具體說，GDPR 的誕生具有雙重目的：一是保護個人數據處理和流通過程中所涉及到的自然人的基本權利與自由，尤其保護其個人信息權利；另一方面是促進個人信息在歐盟境內的自由流通。我們可以發現，這兩個目的的價值追求是對立的。

爲實現這兩個目的，GDPR 開出的藥方是：統一數據保護水平，強化個人信息保護權，增強公民信心從而實現個人信息的流動利用——它根本就沒有考慮個人信息的資源屬性，以及給予數據控制者以流動數據的權利，實現數據流通利用。

所以要我說，這樣的設想是美好的，但法律實施效果並不是那麼美好。

首先， GDPR的具體條文中縱然包含多樣的合法性基礎，但最終仍導致同意泛化，並沒有賦予數據使用者以多少自由，這是 GDPR 設計的最大缺陷。

其次，在將保護個人信息上升爲公民基本權利，GDPR 強調該權利應當得到絕對保護，也就是 GDPR 規定了數據主體權利是“硬”標準，任何情形下均不能被削弱。這種做法實際導致 GDPR 基於風險的合規管理變得僵硬，也意味花費更多人力和成本去履行更多義務與職責，並需付出鉅額的執法成本。

第三， GDPR在制度設計上並沒有考慮數據自由流通。這集中表現爲沒有給數據控制者流通個人信息的權利。GDPR 給了數據控制者合法地在特定範圍內使用數據的權利，但是對於個人信息的利用仍受制於數據主體意志，個人可以隨時撤回同意，也享有在特定條件下拒絕處理、刪除等權利。

可以這樣做總結：GDPR 更加重視行政保護，建立了以監管機構爲核心的保護機制，目的在於保證個人信息在成員國之間的自由流動，並在歐盟內對基本權利和自由權利更高水平的保護。但是，這種更高水平的保護並沒有創制個人信任，實現個人數據在歐盟境內的自由流通。至少這是我目前閱讀文獻的結論。

財經E法：2022年5月16日，歐盟理事會正式批准《數據治理條例》，意在促進各部門和成員國之間的數據分享，並將其作爲數據戰略的一個關鍵支柱。從“個人權利爲中心”到強調“數據分享”，歐盟這種變化說明了什麼？

高富平：這說明，歐盟內部正在對GDPR進行反思。

數據分享這個詞，英文爲data sharing，這裏面的“sharing”，有人把它翻譯成“共享”，但我覺得翻成“分享”更合適。

當前，整個數據要素市場都建立在“分享”基礎上。這裏的“分享”指的是提供給他人使用，有兩層含義：一是數據本身是可以交換的，可以有對價的交易，亦可以是商業合作或共享；二是數據無償地給他人使用，“分享”涵蓋了數據開放。重要的是，不管怎樣的“分享”，都由數據持有者開啓，而不是無序利用。這意味着，每個人掌握和利用數據的能力都是有限的，所以需要獲取別人的數據，也要建立分享流通的機制。也就是說，“sharing”是數據實現價值的最主要方式。

可是，GDPR 最大的問題在於，它以“可識別個人”爲標準，建立了無邊界的個人信息概念及模糊的識別概念，同時建立了大包大攬式的數據處理模式。這樣一來，就使得 GDPR 的調整範圍漫無邊界，也給其實施和執行帶來很大不確定性。這樣的法律會造成對社會的過度干預，導致社會運行成本過高，而沒有任何積極的後果（保護數據主體權利）。

從歐盟近年來的相關立法看，個人數據保護已經被作爲一項公民的基本權利，並建立了公法和私法爲一體的救濟體系。歐盟似乎只有沿着這個方向繼續前行並強化數據主體權利，才更加有說服力。GDPR是它因循老路的巔峯。

我覺得，GDPR 通過賦予個人控制其數據的權利來賦予個人權利的理念看起來是虛幻的，因此，對於個人信息控制論的反思，將會是未來理論和實務界共同的方向，也是 GDPR 必須面對的理論挑戰。

財經E法：在你看來，GDPR實施以來的經驗，對中國有何啓示？

高富平：對立法者而言，需要考慮的是，歐洲基於特定歷史背景產生的個人信息保護制度，是否適合中國的社會經濟文化。還需要考慮， IT 技術時代產生的問題與大數據時代需要面對的問題是否一致，是否還要用前網絡時代的法律原則去解決萬物互聯（網絡化、數字化、智能化）時代的問題。

對於上述問題，我們目前似乎還沒有深入系統的研究。

現在中央提出“良法善治的法治中國”概念。我覺得，這裏的“良法”，指的就是規則明確、穩定和可實施的法。更深入來說，就是劃出行爲紅線，留出行爲自由空間，使違法者得到懲罰。

另外，制定法律時要做到規則明晰。法律規則起到引導人們行爲的作用。人們對做什麼會有什麼樣的法律後果，是有穩定預期的。如果法律條文模糊、寬泛或者不合理、不科學，就會讓正當的社會經濟行爲或創新行爲面臨不確定法律風險，進而扼制社會活動和創造力。

再有，需要重新定義數據價值。網絡也好，數據也好，都已滲透到整個社會運行中。我們不該把網絡看作是“另一個領域”，而應把它看作社會的組成部分；不該把數據看作成“有毒之樹”，而應把它看作社會運作內在的需求。要讓數據和網絡在符合社會價值觀和人類發展方向的基礎上運作發展，真正形成規範化的體系。還要真正弄清數據對個人、社會可能產生的利與弊——注意，這裏我想強調的是“真正弄清”。這就是說，不能人云亦云，主觀臆斷數據和互聯網的利與弊。

怎麼避免主觀臆斷呢？這要求我們對數字技術帶來的社會變革有深層次的認識，尤其是對其可能帶來的損害，要搞懂這個損害究竟是數據本身帶來的，還是數據和技術背後的人帶來的，或是數據使用行爲帶來的。

還有一點很重要的是，對於網絡和數據領域的執法，一定要考慮後果和典型性。如果缺乏清晰的邊界，過於嚴厲的執法可能過度干預社會經濟活動。那就應該反思法律規則本身是否有問題？是不是需要建立更明確的規則，以削減法律的不確定性和隨機性？這樣，才能夠形成立法、執法、司法的良性互動和循環。

02

數據的弊端源自“用它幹壞事的人”

財經E法：你曾提出一種觀點：個人信息是支撐個性化服務、智能製造等業態的基礎，是垂直經濟、平臺經濟、線上與線下融合經濟等商業創新的靈魂。由此，企業產生了對個人信息收集、利用和流通的需求。那麼，應當如何理解企業的這種需求，以及公衆對個人信息被濫用的擔憂？

高富平：我們現在提出的數據生產要素、數字化轉型驅動，國際社會則表述爲數據驅動或數據經濟，其實都是強調運用數據進行智能決策，應用於企業產品研發、精準營銷、業務流程再造等，還會應用於社會治理等層面。數字技術進步，不僅使人處理信息能力提升，而且使人類對數據利用超越人類識讀信息，走向機讀數據，因而賦能人類社會。

所謂的智能決策，就是通過機器學習，挖掘數據與數據之間的關聯，並透析數據背後的主體行爲或器物運行規律。數字經濟的運行邏輯，一定是建立在將數據作爲資源要素基礎上的，這是社會發展的必然。不管是生物科技，還是航天、海洋科技，當今社會的一切創新都是建立在對信息的全息掌握基礎之上——任何技術，它的底層都是數據。那麼，能說企業對數據的需求不是正當的嗎？

當然，對於個人信息和數據的不當使用，會帶來危害，比如個人信息泄露就會給個人帶來損害。因此，確保個人信息和數據受到完善的保護，是人們貢獻出個人數據的前提，也就能更有助於社會的運行。

我一直想呼籲的是，身處數字時代，作爲社會一員，我們應該建立起一種新的個人信息和數據的價值觀，或者說，重新定義個人信息的價值——數據本身一定是中性的，它可能造成的所有損害都源自其使用者，法律並非要約束數據本身，而是要約束其使用者。

財經E法：算法推薦是互聯網企業普遍應用的技術。在你看來，這一技術的好處和風險都有哪些？

高富平：首先要明晰算法推薦的一個基本概念——它是數字技術或者說網絡通信發展到今天的一種必然，是實現海量信息與個人時間或注意力匹配的技術。

作爲中立的技術，它讓個體進行信息檢索的成本大幅下降，但也造成了“信息繭房”效應。關於“信息繭房”，我最關注的是兩點：一是對青少年的危害——青少年畢竟缺乏對信息的識別能力；二是對政治的影響。

從平臺角度，算法推薦可以顯著降低獲客成本，也就是平臺與消費者溝通的成本，提升運作效率；但同時，它也可能侵害個人信息及隱私。

財經E法：算法推薦相關數據掌握和使用的邊界在哪裏？

高富平：我一直認爲，要把數據看作是實現人類各種活動的工具——我前面提到了，數據本身是無害的，至少是中立的。當你要利用數據時，首先要看這種行爲是不是爲法律所允許。換句話說，就是要看你用數據幹什麼？這個行爲是不是合法？是使用者使用數據所做事情有邊界，並非數據本身有邊界。

有了這樣的前提，我們再來看數據使用行爲邊界有哪些。

第一個邊界就是個人隱私。無論是個人信息保護法，還是網絡安全法，其中的邊界就是個人隱私。個人信息保護法主要是防範信息的可識別性帶來的危害。使用者可以用那些即使是敏感、私密的信息，但前提是不能可識別性使用，更不能泄露。因爲把那些不涉及隱私的碎片化信息拚接在一起，或將非敏感的數據進行算法推演，同樣也可能透露出個人隱私，所以不僅要關注數據的使用過程，更要看使用結果，從而判斷是否損害了個人權益。

第二個邊界，就是對數據權屬者的尊重。這裏的尊重，指的是“讓我知道你在用我的數據幹什麼”。否則，就無法有針對性地採取任何行動。我曾經寫過一篇文章，主題是“同意不等於授權”。這話怎麼理解？ 很多人都認爲，同意等於允許他人使用你的數據。但我認爲，同意等於“我知道了平臺要收集我的這些信息”，但這並不意味着授予平臺自由使用我的數據的權利。

第三個邊界就是國家安全，這是最大的邊界。個人信息絕不僅僅是孤立存在，尤其當數據量比較大時，就能夠通過信息透析一個國家某一個方面的運營狀況，這一點尤其要注意。

03

以符合社會價值觀的方式使用數據

財經E法：應當如何看待“個性化廣告”帶來的爭議？在商業化與用戶體驗之間，企業應該如何取得平衡？

高富平：個性化廣告就是算法推薦的一種應用，也是平臺利用個人信息的一種方式。在實踐中，平臺利用個人信息的關鍵，其實並不是要識別出“你是誰”。作爲個體來說，在互聯網上有N臺設備或數字ID，平臺對這個ID畫像後，這個個體的信用或者說偏好就體現出來了，然後平臺再根據這種偏好精確推送廣告。這樣，消費者的偏好和興趣成爲商家決策的依據。

但是有人會說，咱不就怕平臺做壞事嘛。

至於解決的辦法，我以人臉識別爲例：我堅決反對讓人們去“選擇”是否被識別，而是應該推行一種政策，允許使用人臉識別技術，但是不允許用人臉信息幹除識別身份以外的任何事情，幹了就是違法。個性化廣告也是同樣道理，個人無法事先控制商家基於數字ID的識別，但是應當有權拒絕推薦內容（提供關閉選項），從而拒絕完全基於自動決策的推送，制止可能揭示個人隱私的畫像行爲。

作爲個人，肯定不願意讓自己的個人信息被濫用，但從社會運行角度，也不能因噎廢食，就此不用數據了。這就要求我們在思考相關問題時既要兼顧個人利益，又要兼顧社會運行和商業邏輯。而商業邏輯，本來就是建立在對其客戶信息的理解基礎上。

還是那句話，個人信息的立法邏輯，在於防治數據利用中可能產生的風險，而非否定數據利用本身。

財經E法：近年來對個人信息有這樣一類討論：屬於個體的數據，保存權卻不在個體手中，個人也無法限制其使用範圍，這是數字時代對隱私權的巨大挑戰。對此觀點認爲，個體享有更多對個人信息的控制權，是平衡數據利用與個人信息保護的“最佳方案”。你認同嗎？

高富平：我不認同。

做壞事的人永遠有，但個人能控制的，要麼就是在網絡應用的選項裏不打勾，要麼就乾脆不使用——數字技術所帶來的危害，絕不是通過控制自身信息就能夠杜絕的。所以我才一直說，個人信息保護相關立法的關鍵，在於確保數據利用向善，在於確保數據使用者不會作惡，而並非給個人更多控制權。尤其是不能將對人格利益的保護（個人信息受保護權）直接轉化對數據使用（經濟價值）的控制。否則，就是給個人畫了一張喫不到的餅，還徒增社會成本。

我個人堅決同意賦予個人拒絕的權利——你給我推送你的內容，就必須給我設置一個退出鍵。我認爲我需要看，就接受，不需要，就拒絕。這個原則，應該是所有算法和通訊應用的基本原則。做到這一點，就做到了尊重個體的選擇。

其實，賦予個人拒絕權，本身就是控制權的一種。而這種控制權必須有效：我已經拒絕了，你再推送，就是對我的侵憂，我就能告你。而非乾脆不讓企業做推送——這實際上等於消滅了商業自由。

未來對於個人信息保護一些原則，需要思考其本質邏輯，要從社會運行和對個人危害根源的角度去想問題。還是那句話：要搞清楚危害究竟是數據造成的，還是使用數據的人造成的。

我始終覺得，互聯網是工具，利用數據是創造人類福祉的手段，我們應該以符合人類社會價值觀的方式來使用數據。這是我對互聯網及數據研究的基本宗旨。