田廣蘭

人類的生活世界在計(jì)算機(jī)、互聯(lián)網(wǎng)、人工智能等新技術(shù)的合力驅(qū)動(dòng)下進(jìn)入了大數(shù)據(jù)時(shí)代。大數(shù)據(jù)給所有的個(gè)體和共同體帶來(lái)了新的福祉、自由和價(jià)值，釋放出前所未有的經(jīng)濟(jì)價(jià)值與社會(huì)效應(yīng)，人類的價(jià)值和權(quán)利列表上也增加了“數(shù)據(jù)主體權(quán)利”和“信息自由”等新的條目。但自“劍橋分析”事件之后，人們深刻地體驗(yàn)到大數(shù)據(jù)技術(shù)已經(jīng)對(duì)個(gè)體的隱私、自主性以及社會(huì)公正等權(quán)利和能力構(gòu)成威脅。在如何保護(hù)數(shù)據(jù)主體權(quán)利問題上，歐盟走在世界的最前沿，2018年5月25日生效的《一般數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation，以下簡(jiǎn)稱GDPR)就是致力于保護(hù)數(shù)據(jù)主體權(quán)利和規(guī)制內(nèi)部統(tǒng)一市場(chǎng)。本文以歐盟的GDPR為研究對(duì)象，闡釋大數(shù)據(jù)時(shí)代的數(shù)據(jù)主體應(yīng)享有的數(shù)據(jù)權(quán)利，分析GDPR在數(shù)據(jù)權(quán)利主張中存在的一些未決問題，以期為中國(guó)的數(shù)據(jù)治理提供一定的學(xué)理基礎(chǔ)。

一、數(shù)據(jù)主體與數(shù)據(jù)主體權(quán)利

(一)什么是數(shù)據(jù)主體？

大數(shù)據(jù)技術(shù)賦予人類個(gè)體一個(gè)新的身份——數(shù)據(jù)主體。所謂數(shù)據(jù)就是以數(shù)字的方式對(duì)事物、現(xiàn)象或事件的記錄和描述，這些記錄和描述大多是關(guān)于對(duì)象的客觀、真實(shí)的反映，也可能存在一些偏差和錯(cuò)誤。在互聯(lián)網(wǎng)、云計(jì)算、算法和人工智能等技術(shù)的支持下，世界萬(wàn)物都快速實(shí)現(xiàn)了數(shù)據(jù)化，這些數(shù)據(jù)被收集、存儲(chǔ)、挖掘和分析，可以轉(zhuǎn)化為有價(jià)值的信息和資源，為個(gè)體或組織的決策與行動(dòng)提供堅(jiān)實(shí)可靠的依據(jù)。本文所討論的數(shù)據(jù)主體是指“一個(gè)可識(shí)別的自然人”，即“一個(gè)能夠被直接或間接識(shí)別的個(gè)體，特別是通過(guò)諸如姓名、身份編號(hào)、地址數(shù)據(jù)、網(wǎng)上標(biāo)識(shí)或者自然人所特有的一項(xiàng)或多項(xiàng)的身體性、生理性、遺傳性、精神性、經(jīng)濟(jì)性、文化性或社會(huì)性身份而識(shí)別的個(gè)體”(1)《一般數(shù)據(jù)保護(hù)條例》，參見http://wenku.baidu.com/view/cccdb 04615791711cc7931b765ce05087732 757e.html,2018-09-14。。每一個(gè)直接或間接與智能終端連接的自然人都是一個(gè)數(shù)據(jù)主體，數(shù)據(jù)記錄著他們的所言、所思和所行，記錄了他們的過(guò)去和現(xiàn)在，這些數(shù)據(jù)經(jīng)過(guò)算法分析可以對(duì)數(shù)據(jù)主體進(jìn)行分類并貼上相應(yīng)的標(biāo)簽，形成對(duì)數(shù)據(jù)主體的性格、偏好、能力等各種特質(zhì)的認(rèn)知判斷，為數(shù)據(jù)控制者的個(gè)性化、差異化數(shù)據(jù)服務(wù)提供依據(jù)。

數(shù)據(jù)主體既生活在實(shí)體的物理世界中，也生活在虛擬的數(shù)據(jù)世界中，物理世界中經(jīng)歷的事件都可以轉(zhuǎn)化為數(shù)據(jù)，數(shù)據(jù)世界中的信息又可以轉(zhuǎn)化為物理世界中的決策和行動(dòng)，數(shù)據(jù)主體在兩個(gè)世界中穿梭往返成為大數(shù)據(jù)時(shí)代的特有圖景。顯然，數(shù)據(jù)主體享有大數(shù)據(jù)帶來(lái)的便利、自由與福祉，生活的世界和視野突破了原先狹窄的時(shí)空范圍，擁有了更多、更快、更合理的選擇與機(jī)會(huì)。但是，與此同時(shí)，數(shù)據(jù)主體也感受到了隨之而來(lái)的風(fēng)險(xiǎn)和問題：(1)數(shù)據(jù)的永久記憶(儲(chǔ)存)替代遺忘成為常態(tài)；(2)數(shù)據(jù)的濫用將數(shù)據(jù)主體從目的性存在降格為資本增值的工具；(3)數(shù)據(jù)的泄露、盜取或其他不正當(dāng)?shù)墨@取方式對(duì)數(shù)據(jù)主體的利益、隱私、自由、尊嚴(yán)等可能造成傷害；(4)大數(shù)據(jù)技術(shù)使得數(shù)據(jù)畫像成為可能，一個(gè)可能與實(shí)體自我相分離的數(shù)據(jù)自我成了個(gè)體隱私的最大威脅；(5)個(gè)性化算法中的偏見和歧視會(huì)造成某些數(shù)據(jù)主體遭遇不公正的對(duì)待。因此，在數(shù)據(jù)主體擁抱大數(shù)據(jù)、創(chuàng)造新價(jià)值的同時(shí)，如何保護(hù)數(shù)據(jù)主體的隱私、自主、尊嚴(yán)和平等等基本權(quán)利是大數(shù)據(jù)時(shí)代提出的新課題。

(二)數(shù)據(jù)主體權(quán)利

在世界范圍內(nèi)，抵御和破解大數(shù)據(jù)風(fēng)險(xiǎn)的方式大致有三種：行業(yè)自律、法律規(guī)制和技術(shù)賦權(quán)(2)趙康：《數(shù)據(jù)泄露折射隱私保護(hù)問題》，載《中國(guó)社會(huì)科學(xué)報(bào)》，2018-11-08。，歐盟的GDPR是法律規(guī)制的典型代表。GDPR第一章第1條就明確規(guī)定了制定本條例的目的——保護(hù)自然人的基本權(quán)利與自由，特別是自然人享有的個(gè)人數(shù)據(jù)保護(hù)的權(quán)利，以及促進(jìn)歐盟內(nèi)部個(gè)人數(shù)據(jù)的自由流動(dòng)。GDPR旨在訴諸數(shù)據(jù)主體權(quán)利來(lái)盡可能保護(hù)每一個(gè)數(shù)據(jù)主體的利益(如隱私、自決等)不受傷害。

GDPR所指稱的數(shù)據(jù)主體權(quán)利是大數(shù)據(jù)時(shí)代每一個(gè)直接或間接與互聯(lián)網(wǎng)連接的自然人為了保護(hù)自己的正當(dāng)利益而對(duì)控制和處理其數(shù)據(jù)的機(jī)構(gòu)或個(gè)人所主張的一種法律權(quán)利。這是人類權(quán)利清單上的新條目，主要是源自數(shù)據(jù)技術(shù)的發(fā)展對(duì)人的利益和權(quán)利的侵蝕與破壞，這種侵蝕和破壞可能會(huì)導(dǎo)致數(shù)據(jù)主體的身體和心靈的傷害、自主能力的弱化以及受到不公正的對(duì)待等。該權(quán)利的載體是歐盟范圍內(nèi)所有的數(shù)據(jù)主體，該權(quán)利的應(yīng)答者或責(zé)任者是所有為歐盟公民提供數(shù)據(jù)服務(wù)的機(jī)構(gòu)和個(gè)人，包括數(shù)據(jù)的控制者、處理者、接受者和第三方。該權(quán)利主張的目的是保護(hù)數(shù)據(jù)主體的正當(dāng)利益，保護(hù)的方式是剛性的法律保障，任何機(jī)構(gòu)或個(gè)人若違反了GDPR的規(guī)定將面臨處罰。作為一種新的權(quán)利條目，GDPR框架內(nèi)的數(shù)據(jù)主體權(quán)利有以下幾個(gè)方面的特征：

首先，數(shù)據(jù)主體權(quán)利是一種基本的人權(quán)。GDPR規(guī)定數(shù)據(jù)主體權(quán)利包含知情權(quán)、訪問權(quán)、更正權(quán)、被遺忘權(quán)、反對(duì)權(quán)、限制處理權(quán)和數(shù)據(jù)可攜帶權(quán)，這些細(xì)分的權(quán)利條目主要是針對(duì)大數(shù)據(jù)的可能風(fēng)險(xiǎn)而做出的相應(yīng)規(guī)定。所有這些權(quán)利都指向尊重?cái)?shù)據(jù)主體的自主性和隱私權(quán)，或者說(shuō)數(shù)據(jù)主體享有的諸權(quán)利是自主性和隱私權(quán)的具體化。對(duì)數(shù)據(jù)主體的自主和隱私的尊重則意味著對(duì)其尊嚴(yán)的承諾。尊嚴(yán)是一項(xiàng)基本的人權(quán)，這就詮釋了GDPR第一條——“本條例保護(hù)自然人的基本權(quán)利與自由”——所宣稱的宗旨。歐盟委員會(huì)前副主席芮丁(Viviane Reding)指出：“個(gè)人數(shù)據(jù)保護(hù)對(duì)于歐洲人而言是一項(xiàng)基本權(quán)利，歐洲一直將‘隱私視為一種建立在基本人權(quán)之上的政治要求?！?3)轉(zhuǎn)引自丁曉東：《什么是數(shù)據(jù)權(quán)利?——從歐洲〈一般數(shù)據(jù)保護(hù)條例〉看數(shù)據(jù)隱私的保護(hù)》，載《華東政法大學(xué)學(xué)報(bào)》，2018(4)。

其次，數(shù)據(jù)主體權(quán)利是一種普遍性的權(quán)利。數(shù)據(jù)主體權(quán)利并非囿于特定群體或個(gè)人基于特定理由而享有的權(quán)利，而是在大數(shù)據(jù)技術(shù)背景下生成的一種具有普遍性的基本權(quán)利。首先，大數(shù)據(jù)技術(shù)使得絕大部分人類個(gè)體都程度不同地與數(shù)據(jù)世界直接或間接相連，都是一個(gè)數(shù)據(jù)源，他(她)所有的日常生活都可以轉(zhuǎn)換成數(shù)據(jù)，通過(guò)智能終端與大數(shù)據(jù)連接而匯入數(shù)據(jù)的海洋。其次，更重要的是，個(gè)體作為數(shù)據(jù)主體并不以特別的能力和資源為條件，個(gè)體的存在、言說(shuō)、交往、行動(dòng)、經(jīng)歷的事件甚至情緒等所有日常的生活狀態(tài)都可以自動(dòng)轉(zhuǎn)化為數(shù)據(jù)被記錄下來(lái)。這兩個(gè)因素使得數(shù)據(jù)主體權(quán)利成為一種普遍性的權(quán)利，與生命權(quán)、自由權(quán)和財(cái)產(chǎn)權(quán)具有一定的相似性。

再次，數(shù)據(jù)主體權(quán)利是一種非絕對(duì)性的權(quán)利。在GDPR的框架中，數(shù)據(jù)主體權(quán)利只是相對(duì)于數(shù)據(jù)控制者、處理者或者第三方的利益有相對(duì)的價(jià)值優(yōu)先性。在具體的情境中，該權(quán)利的行使會(huì)受到來(lái)自他人的自然權(quán)利、信息自由、歐盟和各成員國(guó)的法律、公共利益等因素的約束，這集中體現(xiàn)在有關(guān)被遺忘權(quán)和反對(duì)權(quán)的規(guī)定中。另外，在美國(guó)和日本等國(guó)家，政府將保護(hù)和促進(jìn)大數(shù)據(jù)技術(shù)發(fā)展和信息的自由流動(dòng)放在優(yōu)先的地位，數(shù)據(jù)主體的權(quán)利(如隱私權(quán))的維護(hù)主要是依靠行業(yè)自律或事后的法律救濟(jì)。所以，數(shù)據(jù)主體權(quán)利是一種可協(xié)商的非絕對(duì)性權(quán)利。

最后，數(shù)據(jù)主體權(quán)利是一種可擴(kuò)展性的權(quán)利?，F(xiàn)代技術(shù)最大的特征就是不確定性。當(dāng)下的數(shù)據(jù)主體權(quán)利只是基于當(dāng)下的大數(shù)據(jù)技術(shù)與自然人的相關(guān)性所設(shè)定，然而技術(shù)的本質(zhì)及其自主性決定了大數(shù)據(jù)技術(shù)正指向一個(gè)無(wú)限的、不確定的未來(lái)，未來(lái)會(huì)發(fā)生什么，未來(lái)的大數(shù)據(jù)與自然人之間會(huì)發(fā)生什么關(guān)系，產(chǎn)生哪些新的風(fēng)險(xiǎn)，對(duì)于現(xiàn)時(shí)代的我們而言是一個(gè)未知的“X”。這就決定了GDPR的法律條款會(huì)在時(shí)間流中不斷擴(kuò)展和變化，會(huì)隨著大數(shù)據(jù)技術(shù)環(huán)境的變遷與開發(fā)利用的需求，不斷產(chǎn)生新的個(gè)人對(duì)其數(shù)據(jù)的處置與分配權(quán)利。

歐盟用法律規(guī)制的方式保護(hù)數(shù)據(jù)主體權(quán)利為其他區(qū)域和國(guó)家制定相關(guān)的法律提供了范例，同時(shí)激發(fā)了人們深入思考大數(shù)據(jù)的內(nèi)在矛盾與可能風(fēng)險(xiǎn)，也讓技術(shù)精英與科技公司明白了一個(gè)道理：“能夠不等于可以”，在大數(shù)據(jù)技術(shù)的開發(fā)應(yīng)用中應(yīng)該“有所為有所不為”。技術(shù)在服膺于自身的邏輯和資本的驅(qū)使之前，首先必須接受“倫理審計(jì)”，在利用數(shù)據(jù)獲利的同時(shí)必須要顧及數(shù)據(jù)主體的權(quán)利。

二、數(shù)據(jù)主體擁有哪些權(quán)利？

日常生活的可數(shù)據(jù)化、數(shù)據(jù)的可還原性創(chuàng)造了難以估量的經(jīng)濟(jì)價(jià)值和商業(yè)機(jī)會(huì)，數(shù)據(jù)成為價(jià)值和意義之源。斷開與數(shù)據(jù)世界的連接，個(gè)體的生命似乎就失去了意義。但是，人類個(gè)體的這種新的存在方式意味著個(gè)體失去了控制自身數(shù)據(jù)的能力和可能，意味著個(gè)體生活在數(shù)據(jù)技術(shù)的“凝視”甚至操控之下，個(gè)體的隱私、自由甚至尊嚴(yán)等我們所珍視的價(jià)值處在危險(xiǎn)之中，直接造成人的“被工具化”。GDPR就是歐盟為了平衡數(shù)據(jù)自由和數(shù)據(jù)主體權(quán)利之間的沖突而設(shè)計(jì)的法律條例。

(一)GDPR框架內(nèi)的數(shù)據(jù)主體權(quán)利

GDPR的第三章第13至第22條詳細(xì)規(guī)定了數(shù)據(jù)主體所擁有的權(quán)利，即知情權(quán)、訪問權(quán)、更正和刪除權(quán)(被遺忘權(quán))、限制處理權(quán)、反對(duì)權(quán)、數(shù)據(jù)可攜帶權(quán)。各項(xiàng)數(shù)據(jù)主體的權(quán)利所對(duì)應(yīng)的條款如下表所示：

數(shù)據(jù)主體權(quán)利GDPR的條款知情權(quán)第12、13、14條訪問權(quán)第15條更正、刪除權(quán)(“被遺忘權(quán)”)第16、17、19條限制處理權(quán)第18、19條反對(duì)權(quán)第21、23條數(shù)據(jù)可攜帶權(quán)第20條

具體的規(guī)定如下：

(1)知情權(quán)。GDPR第12、13、14條規(guī)定了數(shù)據(jù)主體對(duì)于關(guān)涉自我的數(shù)據(jù)被收集、處理、存儲(chǔ)或轉(zhuǎn)移等相關(guān)操作的知情權(quán)。第12條要求數(shù)據(jù)控制者應(yīng)該以一種簡(jiǎn)潔、透明、易懂和容易獲取的形式，以清晰、平白的語(yǔ)言向數(shù)據(jù)主體提供他(她)需要知悉的所有信息。第13條規(guī)定數(shù)據(jù)主體在數(shù)據(jù)采集時(shí)必須被告知數(shù)據(jù)控制者的詳細(xì)身份信息和聯(lián)系方式、數(shù)據(jù)采集的目的、存儲(chǔ)期限、數(shù)據(jù)處理的法律基礎(chǔ)和可能后果以及數(shù)據(jù)主體的所有權(quán)利。第14條則要求控制者在收集數(shù)據(jù)前要告知數(shù)據(jù)主體第13條所規(guī)定的所有信息。GDPR首先確保數(shù)據(jù)主體能夠知曉和理解關(guān)涉自身的數(shù)據(jù)是被誰(shuí)收集、用于何種目的、是否合法、可能的后果、存儲(chǔ)多久等信息，然后再?zèng)Q定自己的數(shù)據(jù)是否允許被收集以換取來(lái)自數(shù)據(jù)控制者提供的服務(wù)?？梢哉f(shuō)知情權(quán)最大限度地尊重了數(shù)據(jù)主體的自主意志，支持?jǐn)?shù)據(jù)主體經(jīng)由自主的權(quán)衡、判斷、選擇，然后根據(jù)自己的意愿自由地做出決定。

(2)訪問權(quán)。數(shù)據(jù)主體應(yīng)當(dāng)有權(quán)從控制者那里得知，關(guān)于其個(gè)人數(shù)據(jù)是否正在被處理，如果正在被處理的話，其應(yīng)當(dāng)有權(quán)訪問個(gè)人數(shù)據(jù)和獲知與他的數(shù)據(jù)處理相關(guān)的所有信息。若數(shù)據(jù)主體有要求，控制者必須給他(她)免費(fèi)提供一個(gè)備份。

(3)更正權(quán)和刪除權(quán)。GDPR認(rèn)為，當(dāng)數(shù)據(jù)主體的個(gè)人數(shù)據(jù)不準(zhǔn)確時(shí)，有權(quán)要求控制者糾正這些數(shù)據(jù)，數(shù)據(jù)控制者不得拖延?？紤]到處理的目的，數(shù)據(jù)主體還有權(quán)要求使其不完整的個(gè)人數(shù)據(jù)變得完整化。

刪除權(quán)也被稱為“被遺忘權(quán)”，數(shù)據(jù)主體有權(quán)要求數(shù)據(jù)控制者刪除他們的個(gè)人數(shù)據(jù)，停止數(shù)據(jù)的進(jìn)一步傳播，并有權(quán)利要求控制者通知第三方機(jī)構(gòu)停止處理數(shù)據(jù)，刪除其個(gè)人數(shù)據(jù)。GDPR規(guī)定了刪除權(quán)行使的六種情形，如數(shù)據(jù)的目的不再必要、數(shù)據(jù)主體撤回先前的同意或行使反對(duì)權(quán)、數(shù)據(jù)被非法處理、為了遵守歐盟或成員國(guó)的法律而需要?jiǎng)h除等。GDPR同時(shí)也規(guī)定了限制這一權(quán)利的五種情形：為了信息自由或言論自由；為了遵守歐盟或成員國(guó)的法律；為了公共利益或被委托行使公權(quán)力時(shí)；為了公共衛(wèi)生領(lǐng)域的公共利益；出于公共利益的存檔目的、科學(xué)或歷史研究目的或統(tǒng)計(jì)目的。若刪除數(shù)據(jù)會(huì)導(dǎo)致這些目的無(wú)法實(shí)現(xiàn)或阻礙它們的實(shí)現(xiàn)，刪除權(quán)就會(huì)被限制或取消。

(4)限制處理權(quán)。GDPR規(guī)定了數(shù)據(jù)主體有權(quán)要求控制者對(duì)數(shù)據(jù)處理進(jìn)行限制的四種情形，即數(shù)據(jù)主體對(duì)數(shù)據(jù)的準(zhǔn)確性有疑義、非法的處理但數(shù)據(jù)主體不要求刪除、目的不再需要但為了數(shù)據(jù)主體的合法權(quán)利、在確認(rèn)控制者的數(shù)據(jù)處理行為是否有優(yōu)先于數(shù)據(jù)主體的正當(dāng)理由前。當(dāng)數(shù)據(jù)處理受到限制時(shí)，除存儲(chǔ)之外不能再進(jìn)行其他的處理行為，除非數(shù)據(jù)主體同意，或?yàn)樵O(shè)立、行使或捍衛(wèi)合法權(quán)利，或?yàn)楸Ｗo(hù)其他自然人或法人的權(quán)利，或?yàn)榱司S護(hù)聯(lián)盟或成員國(guó)規(guī)定的重要公共利益而被處理。當(dāng)數(shù)據(jù)處理的限制被取消時(shí)，控制者應(yīng)當(dāng)通知數(shù)據(jù)主體。

(5)反對(duì)權(quán)。數(shù)據(jù)主體隨時(shí)有權(quán)反對(duì)關(guān)乎其自身數(shù)據(jù)的處理，包括根據(jù)這些條款而進(jìn)行的“用戶畫像”(4)GDPR指稱的“用戶畫像”，是指為了評(píng)估自然人的某些條件而對(duì)個(gè)人數(shù)據(jù)進(jìn)行的任何自動(dòng)化處理，特別是為了評(píng)估自然人的工作表現(xiàn)、經(jīng)濟(jì)狀況、健康、個(gè)人偏好、興趣、可靠性、行為方式、位置或行蹤而進(jìn)行的處理。。當(dāng)數(shù)據(jù)主體行使反對(duì)權(quán)時(shí)，控制者須立即停止針對(duì)這部分個(gè)人數(shù)據(jù)的處理行為，除非控制者證明，相比數(shù)據(jù)主體的利益、權(quán)利和自由，具有壓倒性的正當(dāng)理由需要進(jìn)行處理。

(6)數(shù)據(jù)可攜帶權(quán)。這是歐盟賦予數(shù)據(jù)主體的一項(xiàng)新的權(quán)利，指的是在特定情形下，數(shù)據(jù)主體有權(quán)獲得其提供給控制者的相關(guān)個(gè)人數(shù)據(jù)，且其獲得的個(gè)人數(shù)據(jù)應(yīng)當(dāng)是經(jīng)過(guò)整理的、普遍使用的和機(jī)器可讀的，數(shù)據(jù)主體有權(quán)無(wú)障礙地將此類數(shù)據(jù)從一個(gè)控制者傳輸給另一個(gè)控制者，條件是這樣做不會(huì)傷害公共利益或?qū)ζ渌说臋?quán)利和自由產(chǎn)生負(fù)面影響。數(shù)據(jù)可攜帶權(quán)在一定程度上支持了兩種自由：數(shù)據(jù)主體的自由權(quán)利和數(shù)據(jù)的自由流動(dòng)。

在數(shù)據(jù)價(jià)值和數(shù)據(jù)主體權(quán)利之間，GDPR傾向于后者，選擇了有條件地優(yōu)先保護(hù)數(shù)據(jù)主體的權(quán)利。從GDPR對(duì)數(shù)據(jù)權(quán)利的規(guī)定及其相關(guān)約束條款中可以看出：首先，歐盟用法律的形式明確了數(shù)據(jù)主體擁有自我數(shù)據(jù)的控制權(quán)和所有權(quán)，這是對(duì)數(shù)據(jù)主體的自主性和自決權(quán)的尊重，或者說(shuō)是在大數(shù)據(jù)時(shí)代將被技術(shù)褫奪的權(quán)利歸還給數(shù)據(jù)主體。其次，盡可能尊重?cái)?shù)據(jù)主體的隱私。大數(shù)據(jù)對(duì)數(shù)據(jù)主體的隱私構(gòu)成威脅，但數(shù)據(jù)本身潛在地具有巨大的價(jià)值。在隱私和價(jià)值之間，GDPR選擇了用法律去盡可能地保護(hù)個(gè)體的隱私。其中被遺忘權(quán)、反對(duì)權(quán)、反對(duì)用戶畫像和禁止處理敏感數(shù)據(jù)等規(guī)定都是保護(hù)個(gè)體隱私的條款，這些條款是大數(shù)據(jù)時(shí)代個(gè)體隱私的外殼，可以相對(duì)有效地阻抑個(gè)體的數(shù)據(jù)在互聯(lián)網(wǎng)上被任意傳播和任性挖掘，賦予個(gè)體一定的權(quán)利去阻止自己被異化為資本逐利的工具和他者圍觀的對(duì)象。再次，堅(jiān)持公共利益優(yōu)先。在GDPR所列舉的可以超越數(shù)據(jù)主體權(quán)利的限制條件中，公共利益是一個(gè)重要的考量因素。公共利益可以在設(shè)置了恰當(dāng)保護(hù)措施的前提下對(duì)數(shù)據(jù)主體的刪除權(quán)、反對(duì)權(quán)、可攜帶權(quán)、限制處理權(quán)等進(jìn)行克減和限制。GDPR第89條明確規(guī)定：“對(duì)于為了實(shí)現(xiàn)公共利益、科學(xué)或歷史研究或統(tǒng)計(jì)目的處理，成員國(guó)的法律可以按照本條第1段所規(guī)定的情形與防護(hù)措施(匿名化——作者注)對(duì)第15、16、18、21條所規(guī)定的權(quán)利進(jìn)行克減——如果此類權(quán)利可能徹底阻礙或嚴(yán)重阻礙實(shí)現(xiàn)上述目的，而此類克減對(duì)于實(shí)現(xiàn)上述目的是必要的?！?5)《一般數(shù)據(jù)保護(hù)條例》，參見http://wenku.baidu.com/view/cccdb 04615791711cc7931b765ce05087732 757e.html,2018-09-14?？梢?，GDPR主張合理的公共利益是數(shù)據(jù)主體權(quán)利的邊界。

(二)GDPR之外的其他主張

GDPR對(duì)歐盟的公民和為歐盟公民提供數(shù)據(jù)服務(wù)的公司具有有效性和約束力，但大數(shù)據(jù)的風(fēng)險(xiǎn)是一個(gè)世界性的問題，其他國(guó)家和地區(qū)對(duì)于這一問題也有較為清晰的認(rèn)知和系統(tǒng)的研究，并試著應(yīng)用技術(shù)、法律和行業(yè)自律等方法來(lái)保護(hù)數(shù)據(jù)主體的權(quán)利。然而，在數(shù)據(jù)價(jià)值和數(shù)據(jù)風(fēng)險(xiǎn)的關(guān)系問題上，以美國(guó)、日本、中國(guó)為代表的其他國(guó)家在價(jià)值立場(chǎng)上與歐盟存在一定的差異。

作為世界上大數(shù)據(jù)技術(shù)最先進(jìn)的美國(guó)，2014年5月，總統(tǒng)執(zhí)行辦公室發(fā)布了2014年全球大數(shù)據(jù)白皮書——《大數(shù)據(jù)：把握機(jī)遇，守護(hù)價(jià)值》(Big Data：Seizing Opportunities,Preserving Values，以下簡(jiǎn)稱《白皮書》)，這份報(bào)告是美國(guó)官方對(duì)大數(shù)據(jù)價(jià)值與大數(shù)據(jù)風(fēng)險(xiǎn)之間關(guān)系價(jià)值取向的一個(gè)全景呈現(xiàn)。美國(guó)作為掌握引領(lǐng)大數(shù)據(jù)技術(shù)的發(fā)達(dá)國(guó)家，深諳大數(shù)據(jù)的價(jià)值，同時(shí)也敏銳地意識(shí)到大數(shù)據(jù)對(duì)公民的隱私、自決和公正等基本價(jià)值構(gòu)成威脅。一方面，《白皮書》指出：“大數(shù)據(jù)技術(shù)能夠?qū)⒋罅康臄?shù)據(jù)集以從前不可能的方式分析出有價(jià)值的東西。”(6)Big Data: Seizing Opportunities,Preserving Values，https://wenku.baidu.com/view/28e5cd60453610661fd9f413.html,2020-10-20.“若使用得當(dāng)，大數(shù)據(jù)分析能夠提高經(jīng)濟(jì)生產(chǎn)率，改善客戶與政府服務(wù)體驗(yàn)、挫敗恐怖分子并且拯救生命?！?7)Big Data: Seizing Opportunities,Preserving Values，https://wenku.baidu.com/view/28e5cd60453610661fd9f413.html,2020-10-20.另一方面，《白皮書》也詳細(xì)分析了大數(shù)據(jù)可能帶來(lái)的問題：“從技術(shù)角度講，這(采集盡可能多的數(shù)據(jù)——作者注)促使數(shù)據(jù)具有功能性上的永恒性和普及性，使我們留下的數(shù)字痕跡被采集、分析、組合，揭示出關(guān)乎我們自身與生活的數(shù)量驚人的事物。這些發(fā)展挑戰(zhàn)了人們長(zhǎng)期以來(lái)的隱私觀念?！?8)Big Data: Seizing Opportunities,Preserving Values，https://wenku.baidu.com/view/28e5cd60453610661fd9f413.html,2020-10-20.不僅如此，“大數(shù)據(jù)技術(shù)能夠從意識(shí)形態(tài)或文化上把人隔離開來(lái)，就像泡沫過(guò)濾器一樣，有效地防止他們接觸到一些對(duì)他們的偏見與假設(shè)構(gòu)成挑戰(zhàn)的信息”(9)Big Data:Seizing Opportunities,Preserving Values，https://wenku.baidu.com/view/28e5cd60453610661fd9f413.html,2020-10-20.。同時(shí)指出，即使在并非有意歧視的情況下，大數(shù)據(jù)的使用仍然可能導(dǎo)致有失公正的結(jié)果。在數(shù)據(jù)的價(jià)值與風(fēng)險(xiǎn)之間，美國(guó)政府更為看重大數(shù)據(jù)為經(jīng)濟(jì)社會(huì)發(fā)展所帶來(lái)的創(chuàng)新動(dòng)力，對(duì)于可能與隱私權(quán)或其他權(quán)利產(chǎn)生的沖突，則以解決問題的態(tài)度來(lái)處理。法律上訴諸《憲法第四修正案》《隱私法》《消費(fèi)者隱私權(quán)法案》《公平信息實(shí)務(wù)法則》(10)《公平信息實(shí)務(wù)法則》規(guī)定個(gè)人有權(quán)知道他人收集了哪些關(guān)于他的信息以及這些信息是如何被使用的。進(jìn)一步說(shuō)，個(gè)人有權(quán)拒絕某些信息使用并更正不準(zhǔn)確的信息，信息收集者有義務(wù)保證信息的可靠性并保護(hù)信息安全。，技術(shù)上訴諸個(gè)人身份信息的“模糊化”(de-identity)、“請(qǐng)勿追蹤”的隱私設(shè)置以及行業(yè)認(rèn)證等對(duì)侵權(quán)行為進(jìn)行預(yù)防和處理。但是，《白皮書》明確指出，“無(wú)論大數(shù)據(jù)所帶來(lái)的問題是多么嚴(yán)重與重要，政府依然會(huì)支持相關(guān)電子經(jīng)濟(jì)的發(fā)展并提供免費(fèi)的數(shù)據(jù)流來(lái)激發(fā)大數(shù)據(jù)的創(chuàng)造力”(11)Big Data:Seizing Opportunities,Preserving Values，https://wenku.baidu.com/view/28e5cd60453610661fd9f413.html,2020-10-20.，即旨在尋求“如何將風(fēng)險(xiǎn)最小化的同時(shí)，實(shí)現(xiàn)數(shù)據(jù)價(jià)值的最大化”(12)Big Data:Seizing Opportunities,Preserving Values，https://wenku.baidu.com/view/28e5cd60453610661fd9f413.html,2020-10-20.?？傊?，和歐盟不同，美國(guó)在數(shù)據(jù)價(jià)值和數(shù)據(jù)權(quán)利之間更偏向于前者。

日本和中國(guó)都選擇了主要應(yīng)用法律規(guī)制來(lái)保護(hù)數(shù)據(jù)主體權(quán)益的方式。日本于2005年4月正式施行了《個(gè)人信息保護(hù)法》，隨著信息社會(huì)的高速發(fā)展，2015年進(jìn)行了修訂，2017年5月30日，《個(gè)人信息保護(hù)法》的修訂稿全面實(shí)施。該法律一方面要規(guī)范個(gè)人數(shù)據(jù)的適當(dāng)處理和有效利用，促進(jìn)新興數(shù)據(jù)產(chǎn)業(yè)的發(fā)展，另一方面盡可能充分保護(hù)個(gè)人的合法權(quán)益，致力于實(shí)現(xiàn)數(shù)據(jù)的自由流動(dòng)和數(shù)據(jù)主體的合法權(quán)益之間的平衡。和歐盟的GDPR不同的是，日本雖嚴(yán)格界定了個(gè)人數(shù)據(jù)保護(hù)的主體、范圍、責(zé)任、規(guī)則等，但并未賦予數(shù)據(jù)主體排他性的數(shù)據(jù)權(quán)利，而是側(cè)重于國(guó)家、地方公共團(tuán)體和個(gè)人信息處理業(yè)者對(duì)個(gè)人信息的保護(hù)義務(wù)。

我國(guó)關(guān)于保護(hù)數(shù)據(jù)主體權(quán)益的《個(gè)人信息保護(hù)法(草案)》(以下簡(jiǎn)稱《草案》)也已起草完成，第十三屆全國(guó)人大常委會(huì)第二十二次會(huì)議對(duì)《草案》進(jìn)行了審議，于2020年10月21日進(jìn)入了公開征求意見階段?！恫莅浮芬员Ｗo(hù)個(gè)人信息、維護(hù)網(wǎng)絡(luò)空間良好生態(tài)和促進(jìn)數(shù)字經(jīng)濟(jì)健康發(fā)展為目的，在個(gè)人信息保護(hù)方面，采納了GDPR為數(shù)據(jù)主體“賦權(quán)”的方式?！恫莅浮返谒恼旅鞔_規(guī)定除法律、行政法規(guī)另有規(guī)定外，個(gè)人對(duì)其個(gè)人信息的處理享有知情權(quán)、決定權(quán)，有權(quán)限制或者拒絕他人對(duì)其個(gè)人信息進(jìn)行處理(第44條)，另外個(gè)體還享有對(duì)個(gè)人信息的查閱、復(fù)制的權(quán)利(第45條)、更正、補(bǔ)充的權(quán)利(第46條)、刪除和限制處理的權(quán)利(第47條)。但是，對(duì)違法行為的處罰并沒有GDPR那么嚴(yán)厲?！恫莅浮泛罄m(xù)的完善、頒布和實(shí)施將切實(shí)規(guī)范我國(guó)個(gè)人信息的處理和利用，數(shù)據(jù)主體的利益、隱私、自主性和尊嚴(yán)將獲得明確的法律保護(hù)和支持。

和其他國(guó)家的相關(guān)法律法規(guī)相比，GDPR被稱為“史上最嚴(yán)的數(shù)據(jù)保護(hù)條例”，對(duì)大數(shù)據(jù)技術(shù)的研究和應(yīng)用給定了明確的法律邊界和價(jià)值立場(chǎng)。該條例生效后，世界各國(guó)為歐盟各成員國(guó)提供數(shù)據(jù)服務(wù)的科技公司積極調(diào)整他們的數(shù)據(jù)政策，英、法等國(guó)等對(duì)各科技公司開出的巨額罰單，都證明了GDPR的可操作性和歐盟保護(hù)數(shù)據(jù)主體權(quán)利的決心。即便如此，也不意味著GDPR成功化解了大數(shù)據(jù)的風(fēng)險(xiǎn)，仍然存在不少未決問題等待人們?nèi)ミM(jìn)一步思考和研究。

三、數(shù)據(jù)主體權(quán)利的未決問題

GDPR在推進(jìn)數(shù)據(jù)主體權(quán)利保護(hù)的立法方面卓有成效，它的高額罰款設(shè)定促使所有為歐盟各國(guó)公民提供數(shù)據(jù)服務(wù)的公司或者關(guān)閉服務(wù)，或者轉(zhuǎn)變數(shù)據(jù)收集和處理的方式。然而，這種運(yùn)用法律規(guī)制大數(shù)據(jù)技術(shù)的方法在很多技術(shù)精英看來(lái)很可能是無(wú)效的舉措，或者即使有效也是微乎其微，因?yàn)楸孔竞蜏蟮姆蓷l文根本無(wú)法跟上并前瞻性地規(guī)制快如閃電的技術(shù)迭代。大數(shù)據(jù)專家維克托·邁爾-舍恩伯格認(rèn)為，為保障個(gè)人的信息安全而建立的龐大的規(guī)則體系都是無(wú)用的馬其諾防線而已。(13)維克托·邁爾·舍恩伯格：《大數(shù)據(jù)時(shí)代》，21頁(yè)，杭州，浙江人民出版社，2013?！吨悄軙r(shí)代》的作者吳軍說(shuō)：“既然我們不能指望我們的隱私靠一些公司的善意來(lái)保護(hù)，那么是否有希望通過(guò)立法的手段來(lái)解決保護(hù)隱私的問題，答案基本上是否定的。”(14)吳軍：《 智能時(shí)代》，334頁(yè)，北京，中信出版集團(tuán)，2016。尤瓦爾·赫拉利也認(rèn)為：“等到笨重的政府終于下定決心進(jìn)行網(wǎng)絡(luò)監(jiān)管，互聯(lián)網(wǎng)早已又演進(jìn)了10次。政府這只烏龜，永遠(yuǎn)追不上科技這只野兔，就這樣被數(shù)據(jù)壓得無(wú)法動(dòng)彈?！?15)尤瓦爾·赫拉利：《未來(lái)簡(jiǎn)史》，339、346-347頁(yè)，北京，中信出版集團(tuán)，2017。也許這些表述有些過(guò)分低估了政府和法律的效用，但明確傳遞出的信號(hào)就是通過(guò)法律規(guī)制來(lái)保護(hù)大數(shù)據(jù)時(shí)代的數(shù)據(jù)主體的權(quán)利可能是不充分的，對(duì)GDPR的未決問題的探究將會(huì)有益于法律的完善和權(quán)利的保護(hù)。

(一)數(shù)據(jù)權(quán)利還是信息自由？

GDPR第17條關(guān)于數(shù)據(jù)主體的刪除權(quán)(被遺忘權(quán))規(guī)定，數(shù)據(jù)主體有要求控制者刪除關(guān)于其個(gè)人數(shù)據(jù)的權(quán)利。如果控制者已經(jīng)公開個(gè)人數(shù)據(jù)，他應(yīng)該告知其他正在處理個(gè)人數(shù)據(jù)的控制者們，數(shù)據(jù)主體已經(jīng)要求他們擦除那些和個(gè)人數(shù)據(jù)相關(guān)的鏈接、備份或復(fù)制。被遺忘權(quán)是GDPR新增的數(shù)據(jù)權(quán)利，體現(xiàn)了對(duì)數(shù)據(jù)主體的自主性和隱私的充分尊重。但是，被遺忘權(quán)并非絕對(duì)權(quán)利，有些特定情形能夠限制該權(quán)利的行使，第17條第3款(a)——“為了行使表達(dá)自由和信息自由的權(quán)利”就是一個(gè)重要的限制因素。在歐洲，個(gè)體隱私和信息自由是兩項(xiàng)同等重要的權(quán)利，在具體的訴訟案件中，它們可以視具體情形互相反對(duì)，而并非簡(jiǎn)單地后者壓倒前者。因此，GDPR的第一個(gè)未決問題就是如何處理數(shù)據(jù)權(quán)利和信息自由的關(guān)系。

《歐洲聯(lián)盟基本權(quán)利憲章》第11條詮釋了表達(dá)與信息自由，主張人人享有自由表達(dá)的權(quán)利。此項(xiàng)權(quán)利包括持有意見的自由、接受和傳播信息與思想的自由，而不受公共權(quán)力機(jī)構(gòu)和地域的限制。信息自由是公民自由權(quán)的一個(gè)重要組成部分，歐盟規(guī)定該權(quán)利包括表達(dá)的自由、接受信息的自由和傳播信息的自由，只有當(dāng)該權(quán)利的行使可能會(huì)危害到公共的安全、利益、健康、道德、司法公正或者他人的名譽(yù)與權(quán)利時(shí)才會(huì)受到限制。信息自由和數(shù)據(jù)主體的權(quán)利(特別是被遺忘權(quán))之間的沖突在大數(shù)據(jù)的技術(shù)背景下開始突顯出來(lái)。一方面，如果沒有信息自由，大數(shù)據(jù)技術(shù)、人工智能等現(xiàn)代技術(shù)根本不可能發(fā)展起來(lái)，公民的自由權(quán)利也會(huì)受到傷害。甚至在數(shù)據(jù)主義者看來(lái)，“信息自由就是最高的善”，“一切的善(包括經(jīng)濟(jì)增長(zhǎng))都來(lái)自信息自由……如果想要?jiǎng)?chuàng)造一個(gè)更美好的世界，關(guān)鍵就是要釋放數(shù)據(jù)，給它們自由”(16)尤瓦爾·赫拉利：《未來(lái)簡(jiǎn)史》，339、346-347頁(yè)，北京，中信出版集團(tuán)，2017。。另一方面，如果不尊重和保護(hù)數(shù)據(jù)主體的被遺忘權(quán)，信息的濫用則可能會(huì)對(duì)數(shù)據(jù)主體的名譽(yù)、身體、心靈和生活構(gòu)成持久的傷害，甚至?xí)笥疑鐣?huì)的政治、經(jīng)濟(jì)和輿論的方向。

GDPR對(duì)數(shù)據(jù)權(quán)利和信息自由之間的緊張關(guān)系的處理原則較為簡(jiǎn)單，只是表明信息自由是數(shù)據(jù)主體權(quán)利的一個(gè)制約因素，對(duì)于當(dāng)二者發(fā)生沖突時(shí)究竟應(yīng)該如何抉擇，并沒有給出可操作性的意見。實(shí)際上，歐洲法院在審理這類相關(guān)案件時(shí)，遵循的是具體案例具體分析(case-by-case)的原則。該原則在2012年的德國(guó)斯普林格(Springer)案(17)在漢堡高院2006年審理的(Sachen Springer Verlag)案件中，某位在電視劇中飾演警局局長(zhǎng)的演員，在慕尼黑啤酒節(jié)上被拍到吸食和攜帶可卡因，媒體對(duì)其指名道姓地進(jìn)行了圖文報(bào)道，稱其曾有攜帶麻醉品之違法行為的前科，并報(bào)道其受審情況，漢堡法院以涉及人格權(quán)侵權(quán)為由禁止該期報(bào)紙出版。此案最終提交到歐洲人權(quán)法院，后者于2012年2月7日對(duì)此案做出判決，判定該禁令不應(yīng)適用，因?yàn)樵谠撗輪T的拘捕和審判一事上存在公眾的信息利益，媒體獲取信息的方式與渠道完全合法。和2014年的岡薩雷斯訴西班牙Google案(18)2010年2月，西班牙公民岡薩雷斯(González)向西班牙數(shù)據(jù)保護(hù)局(Spanish Data Protection Agency)提出對(duì)西班牙報(bào)紙發(fā)行商La Vanguardia以及谷歌公司及其西班牙分支機(jī)構(gòu)(Google Spain SL)的申訴。申請(qǐng)人的房產(chǎn)因進(jìn)入追繳社保欠費(fèi)的扣押程序曾被公告要強(qiáng)制拍賣，該公告刊載于1998年1月和3月發(fā)行商發(fā)行的報(bào)紙上，且因此為谷歌搜索引擎所收錄。申請(qǐng)人認(rèn)為上述扣押程序早在很多年前已被徹底解決，要求發(fā)行商刪除該處或修改有關(guān)頁(yè)面，使與他有關(guān)的個(gè)人資料不再出現(xiàn)，或者使用任何可能改變搜索結(jié)果的辦法以保護(hù)其隱私，并要求谷歌公司及谷歌西班牙刪除或屏蔽與之有關(guān)的個(gè)人信息，以便這些資料不再出現(xiàn)在搜索結(jié)果之中。2014年5月13日，歐洲法院做出裁決，確認(rèn)數(shù)據(jù)主體享有被遺忘權(quán)，互聯(lián)網(wǎng)搜索服務(wù)提供商有義務(wù)刪除過(guò)時(shí)的、不相關(guān)的信息。中得到了體現(xiàn)。前者歐洲人權(quán)法院支持了新聞報(bào)道的信息自由權(quán)和公眾的知情權(quán)，后者歐洲法院則支持了岡薩雷斯的被遺忘權(quán)和隱私權(quán)。這兩個(gè)案子若想要在GDPR中尋找答案可能是徒勞的，但這一問題是大數(shù)據(jù)時(shí)代會(huì)頻繁遭遇的難題，也是GDPR在數(shù)據(jù)主體權(quán)利方面的第一個(gè)未決問題。

(二)永久性刪除抑或是技術(shù)性隔離？

數(shù)據(jù)技術(shù)徹底改變了人類記憶與遺忘的曲線。曾經(jīng)遺忘是人性的缺陷，為了對(duì)抗遺忘，“人類不斷嘗試用本能、語(yǔ)言、繪畫、文本、媒體、介質(zhì)來(lái)記住我們的知識(shí)。千百年以來(lái)，遺忘始終比記憶更簡(jiǎn)單，成本也更低”(19)維克托·邁爾-舍恩伯格：《 刪除——大數(shù)據(jù)取舍之道》，23、9頁(yè)，杭州，浙江人民出版社，2013。。但是，大數(shù)據(jù)技術(shù)使得巨量數(shù)據(jù)的永久記憶成為可能，遺忘成了例外。人與智能終端共在的在線生活模式?jīng)Q定了幾乎所有的生活內(nèi)容都可以用0和1的數(shù)字方式進(jìn)行記錄與還原?！皵?shù)字技術(shù)已經(jīng)讓社會(huì)喪失了遺忘的能力，取而代之的則是完善的記憶。”(20)維克托·邁爾-舍恩伯格：《 刪除——大數(shù)據(jù)取舍之道》，23、9頁(yè)，杭州，浙江人民出版社，2013。然而，對(duì)于人而言，有些過(guò)去他希望永久被記憶，而有些過(guò)去則希望盡快被遺忘，這些希望盡快為他人和社會(huì)所遺忘的記憶是那些令他不愉快、痛苦、憤怒、尷尬、羞愧甚至屈辱的事件或任何可能會(huì)對(duì)當(dāng)下和未來(lái)的生活造成困擾的事件。但是，數(shù)字技術(shù)無(wú)差別地記錄和存儲(chǔ)著你的信息，人們想記住的和想遺忘的信息都被完整記錄、永久保存和經(jīng)常被處理。記憶的常態(tài)化和遺忘成為例外的數(shù)據(jù)時(shí)代徹底顛覆了記憶與遺忘的自然特征。沒有人能夠預(yù)測(cè)哪些數(shù)據(jù)可能會(huì)給未來(lái)生活投下陰影或成為障礙。在永久記憶成為可能的當(dāng)下，遺忘從缺陷變成了美德。

GDPR第17條賦予數(shù)據(jù)主體的刪除權(quán)(被遺忘權(quán))，就是為了保障個(gè)體的數(shù)據(jù)可以根據(jù)數(shù)據(jù)主體的愿望被保留或刪除，該權(quán)利將刪除數(shù)據(jù)的主動(dòng)權(quán)賦予數(shù)據(jù)主體，數(shù)據(jù)主體可以根據(jù)自己的愿望要求數(shù)據(jù)控制者刪除自己想要?jiǎng)h除的關(guān)涉自身的數(shù)據(jù)，只要不違背GDPR第17條第3款的規(guī)定就可以。這一規(guī)定確實(shí)在一定程度上尊重了數(shù)據(jù)主體的自決權(quán)和自主性，保護(hù)了數(shù)據(jù)主體的權(quán)利。但是，數(shù)據(jù)的刪除意味著破壞了數(shù)據(jù)的完整性。隨著數(shù)據(jù)主體權(quán)利意識(shí)的覺醒，若出現(xiàn)大量刪除數(shù)據(jù)的要求則會(huì)導(dǎo)致數(shù)據(jù)的殘缺和不完整。大數(shù)據(jù)的特征是“全樣本”，殘缺的數(shù)據(jù)可能造成計(jì)算結(jié)果的偏差，依賴大數(shù)據(jù)進(jìn)行決策的主體則可能做出錯(cuò)誤的判斷與選擇，造成不可預(yù)測(cè)的行動(dòng)后果。大數(shù)據(jù)時(shí)代人們的行動(dòng)對(duì)算法和數(shù)據(jù)的依賴決定了數(shù)據(jù)的不完整有著不可預(yù)知的風(fēng)險(xiǎn)。

更重要的是，數(shù)據(jù)的價(jià)值并不僅僅限于特定的用途，它可以為了同一目的而被多次使用，也可以用于其他目的。舍恩伯格說(shuō)：“數(shù)據(jù)就像一個(gè)神奇的鉆石礦，當(dāng)它的首要價(jià)值被發(fā)掘后仍能不斷給予，它的真實(shí)價(jià)值就像漂浮在海洋中的冰山，第一眼只能看到冰山的一角，而絕大部分都隱藏在表面之下?！?21)維克托·邁爾-舍恩伯格：《 大數(shù)據(jù)時(shí)代》，127頁(yè)，杭州，浙江人民出版社，2013。如谷歌公司就曾在2008年利用檢索的詞條獲得了甲型H1NI流感爆發(fā)的非常有價(jià)值的數(shù)據(jù)信息。若大量的數(shù)據(jù)被刪除，數(shù)據(jù)的價(jià)值就會(huì)打折扣。GDPR第17條第1款(a)規(guī)定，若個(gè)人數(shù)據(jù)對(duì)于實(shí)現(xiàn)其被收集和處理的相關(guān)目的不再必要，控制者有責(zé)任及時(shí)刪除個(gè)人數(shù)據(jù)。這意味著GDPR只允許將被收集的個(gè)人數(shù)據(jù)用于特定目的，目的實(shí)現(xiàn)就必須刪除，這必然會(huì)阻礙數(shù)據(jù)其他潛在價(jià)值的實(shí)現(xiàn)。被收集的數(shù)據(jù)可以在哪些方面有價(jià)值，數(shù)據(jù)的相關(guān)性信息并不會(huì)向擁有者全部打開，而是一個(gè)逐步“敞現(xiàn)”的過(guò)程，數(shù)據(jù)的刪除則會(huì)阻抑其價(jià)值的“敞現(xiàn)”。

被遺忘權(quán)的實(shí)踐首先在具體操作上比較困難，其次也不符合大數(shù)據(jù)可再利用和價(jià)值多維的特征。美國(guó)、日本等國(guó)所主張的對(duì)數(shù)據(jù)進(jìn)行“匿名化”“模糊化”的技術(shù)處理以限制數(shù)據(jù)的用戶識(shí)別是一個(gè)可以考慮的替代性策略。但是，《白皮書》告訴我們：“對(duì)數(shù)據(jù)進(jìn)行加密、刪除獨(dú)特標(biāo)識(shí)符、打亂數(shù)據(jù)使其無(wú)法識(shí)別個(gè)人，或者在其個(gè)人資料的控制上給予使用者更多的權(quán)限，是目前采用的幾種技術(shù)解決方案。但是，有目的的模糊化處理可能使數(shù)據(jù)喪失其實(shí)用性與確保其出處及相應(yīng)責(zé)任的能力?！?22)Big Data: Seizing Opportunities,Preserving Values，https://wenku.baidu.com/view/28e5cd60453610661fd9f413.html,2020-10-20.實(shí)際上，數(shù)據(jù)整合技術(shù)仍然可以把經(jīng)過(guò)模糊化處理的碎片化的鏈接復(fù)原，并重新確定相應(yīng)的個(gè)人或設(shè)備信息。所以，模糊化或匿名化對(duì)于數(shù)據(jù)主體權(quán)利也只是一種有限的保護(hù)。采用技術(shù)性隔離以祛除數(shù)據(jù)的可獲得性，同時(shí)保持?jǐn)?shù)據(jù)的完整性，也許是另一條可以考慮的路徑。一旦數(shù)據(jù)被技術(shù)性隔離，則無(wú)法在互聯(lián)網(wǎng)上被直接獲取，祛除了其公共性。當(dāng)公共利益、科學(xué)研究或者法律要求等需要使用且使用具有正當(dāng)性和必要性時(shí)，數(shù)據(jù)控制者或第三方可以通過(guò)申請(qǐng)、評(píng)估且經(jīng)由數(shù)據(jù)主體同意后可重新利用，這樣，既可以保護(hù)數(shù)據(jù)主體的信息不被輕易地公開獲取，有效保護(hù)了數(shù)據(jù)主體的隱私權(quán)，又不會(huì)妨礙數(shù)據(jù)的完整性和重復(fù)利用。這是GDPR在數(shù)據(jù)主體權(quán)利方面第二個(gè)需要進(jìn)一步考慮的未決問題。

(三)原生數(shù)據(jù)的保護(hù)與衍生數(shù)據(jù)的無(wú)為

GDPR所指稱的“個(gè)人數(shù)據(jù)”，是指“任何已識(shí)別或可識(shí)別的與自然人(數(shù)據(jù)主體)相關(guān)的信息”，這些信息包括姓名、身份、地址、網(wǎng)上標(biāo)識(shí)或者自然人所特有的一項(xiàng)或多項(xiàng)的身體性、生理性、遺傳性、精神性、經(jīng)濟(jì)性、文化性或社會(huì)性身份等。數(shù)據(jù)控制者和處理者可以利用這些數(shù)據(jù)根據(jù)特定目的進(jìn)行運(yùn)算和挖掘，然后輸出結(jié)果。我們將處理前的數(shù)據(jù)稱為原生數(shù)據(jù)，將運(yùn)算和處理后的數(shù)據(jù)稱為衍生數(shù)據(jù)。GDPR所保護(hù)的顯然是原生數(shù)據(jù)，數(shù)據(jù)主體對(duì)原生數(shù)據(jù)和相關(guān)的處理?yè)碛兄闄?quán)、訪問權(quán)、反對(duì)權(quán)、限制處理權(quán)、刪除權(quán)等權(quán)利。但我們不能簡(jiǎn)單地認(rèn)為掌握了原生數(shù)據(jù)也就控制了衍生數(shù)據(jù)。雖然原生數(shù)據(jù)的保護(hù)確實(shí)會(huì)影響衍生數(shù)據(jù)的生成，但這種影響是有限的。GDPR第13條第2款(c)點(diǎn)規(guī)定：當(dāng)處理是根據(jù)第6(1)條或第9(2)條的(a)點(diǎn)而進(jìn)行的，數(shù)據(jù)主體擁有可以隨時(shí)撤回——這種撤回不會(huì)影響撤回之前根據(jù)同意而進(jìn)行處理的合法性——同意的權(quán)利。(23)《一般數(shù)據(jù)保護(hù)條例》，參見http://wenku.baidu.com/view/cccdb04615791711cc7931b765ce05087732 757e.html,2018-09-14.這意味著GDPR并不干預(yù)撤回之前基于個(gè)體數(shù)據(jù)的處理而生成的衍生數(shù)據(jù)。即使數(shù)據(jù)主體刪除了原生數(shù)據(jù)，但衍生數(shù)據(jù)依然保留在數(shù)據(jù)系統(tǒng)中，前述的“再識(shí)別技術(shù)”可以進(jìn)行數(shù)據(jù)還原而重新確定相應(yīng)的數(shù)據(jù)主體，為其推送個(gè)性化的數(shù)據(jù)服務(wù)或?yàn)槠渌麄€(gè)體和組織所利用。GDPR在衍生數(shù)據(jù)方面并沒有做出具體的規(guī)定。

個(gè)體要獲得大數(shù)據(jù)服務(wù)的便利和好處，一般都需要以自身的數(shù)據(jù)去交換，個(gè)體自身的數(shù)據(jù)為數(shù)據(jù)的個(gè)性化服務(wù)提供了標(biāo)簽或索引。智能算法會(huì)根據(jù)個(gè)體數(shù)據(jù)的特征和類別為其進(jìn)行信息推送，這種類型化、個(gè)性化的信息推送(如廣告、新聞、音樂、視頻、文章等)會(huì)窄化和固化個(gè)體的信息接收，強(qiáng)化個(gè)體在某一個(gè)方面或某一個(gè)視角的認(rèn)知?！叭绻^‘事實(shí)’就是滿足了‘恰當(dāng)證據(jù)’的事務(wù)，而恰當(dāng)證據(jù)的標(biāo)準(zhǔn)又是視角所創(chuàng)立的，那么‘沒有獨(dú)立于視角的真實(shí)世界’意味著‘事實(shí)’，在一定意義上是視角所制造的?！?24)劉擎：《共享視角的瓦解與后真相政治的困境》，載《探索與爭(zhēng)鳴》，2017(04)。信息的個(gè)性化服務(wù)實(shí)際上為數(shù)據(jù)主體創(chuàng)設(shè)了一個(gè)特定的個(gè)性化視角，雖然滿足了個(gè)體不為大量無(wú)用信息干擾的需求，但事實(shí)上限制了個(gè)體的信息完整性，形成了衍生信息的“繭房效應(yīng)”。同類型的信息鋪滿個(gè)體的生命時(shí)間和生活空間，若個(gè)體沒有意識(shí)到這一點(diǎn)，則很難突破信息的包裹。但是，如果你主動(dòng)轉(zhuǎn)換了所關(guān)注的信息主題，智能算法又即刻用同類相關(guān)信息重新包圍你。最終大數(shù)據(jù)時(shí)代的個(gè)體生活要么沉溺在一個(gè)信息繭房中，要么在不同的信息繭房中輾轉(zhuǎn)，永遠(yuǎn)不能突圍。

可以看出，數(shù)據(jù)世界的開放性與個(gè)體信息獲取相對(duì)的封閉性之間并不矛盾。數(shù)據(jù)技術(shù)使得每一個(gè)體都被包裹在一個(gè)信息場(chǎng)中，這決定了個(gè)體可能將偏差性的觀點(diǎn)當(dāng)成真理，最終的后果是人與人之間的疏離和孤立，從而撕裂和分離我們共同的生活世界。2016年的美國(guó)大選和英國(guó)退歐公投就是明證。GDPR雖然規(guī)定了數(shù)據(jù)處理的原則，但并未涉及衍生數(shù)據(jù)的治理，這些由原生數(shù)據(jù)派生的數(shù)據(jù)可能會(huì)對(duì)主體的自主性和自決權(quán)構(gòu)成傷害。因此，GDPR對(duì)數(shù)據(jù)權(quán)利的保護(hù)是有限的，并不能充分抵御大數(shù)據(jù)對(duì)人的生活世界的重新建構(gòu)和對(duì)人的道德權(quán)利的侵蝕。這是GDPR在數(shù)據(jù)主體權(quán)利方面面臨的第三個(gè)未決問題。

(四)算法歧視的陰影與公正權(quán)利的訴求

大數(shù)據(jù)的核心價(jià)值是預(yù)測(cè)功能，其具體的工作原理為：“首先使用歷史數(shù)據(jù)(或稱訓(xùn)練集)歸納出某個(gè)類別(或稱之為特征，不管是用分類還是聚類的方法)，然后針對(duì)一個(gè)新來(lái)的對(duì)象，按照已知的數(shù)據(jù)特征，將其歸屬于‘最像’它的那個(gè)類中，如果這個(gè)類還有其他已知的特征，那么就預(yù)測(cè)這個(gè)對(duì)象也具有這種特征，這樣就完成了預(yù)測(cè)功能。”(25)張玉宏、秦志光、肖樂：《大數(shù)據(jù)算法的歧視本質(zhì)》，載《自然辯證法研究》，2017(5)。大數(shù)據(jù)的本質(zhì)是人類生活的鏡像，歸根到底是對(duì)人類過(guò)往的認(rèn)知、判斷和價(jià)值立場(chǎng)的數(shù)字化呈現(xiàn)，并將之分析歸類，進(jìn)而從原先離散的數(shù)據(jù)中抽離出共同的規(guī)律，應(yīng)用于新對(duì)象的預(yù)測(cè)和判斷，以之作為對(duì)該對(duì)象采取進(jìn)一步行動(dòng)的依據(jù)?！胺彩沁^(guò)去，皆為序曲?！贝髷?shù)據(jù)會(huì)如實(shí)再現(xiàn)過(guò)去人類在相關(guān)問題上的價(jià)值立場(chǎng)，公正性的或歧視性的、公正的或偏見的。因此，大數(shù)據(jù)算法是否能夠公正平等地對(duì)待數(shù)據(jù)主體就成為一個(gè)必須考慮的問題。

數(shù)據(jù)和算法所包含的歧視或偏見可能來(lái)自兩個(gè)方面：一是隱藏在數(shù)據(jù)中的人類自身的歧視或偏見；二是算法程序設(shè)計(jì)者的初始偏見。數(shù)據(jù)是對(duì)世界的表達(dá)與再現(xiàn)，二者之間是異質(zhì)同構(gòu)的關(guān)系，在人類過(guò)去和當(dāng)下的生活世界中，這樣或那樣的偏見和歧視一直在場(chǎng)，數(shù)據(jù)算法會(huì)進(jìn)一步延續(xù)和固化這些偏見和歧視。亞馬孫的人工智能程序通過(guò)學(xué)習(xí)10年來(lái)公司篩選簡(jiǎn)歷的模式來(lái)審查應(yīng)聘者，并給求職者打分，結(jié)果導(dǎo)致了“性別歧視”，若求職者被標(biāo)識(shí)為女性，就會(huì)被自動(dòng)降級(jí)。Google將年薪20萬(wàn)美元以上的工作崗位推薦給男性的次數(shù)是推薦給女性的數(shù)倍。2016年微軟在Twitter上測(cè)試聊天機(jī)器人Tay，然后僅不到24小時(shí)，這個(gè)聊天機(jī)器人就開始發(fā)布一些嚴(yán)重的“種族歧視”言論。大數(shù)據(jù)算法是從歷史數(shù)據(jù)中訓(xùn)練而獲得數(shù)據(jù)的特征，一旦整個(gè)社會(huì)對(duì)特定人群存在結(jié)構(gòu)性的歧視或偏見，那么這一傾向就會(huì)反映到數(shù)據(jù)上，算法會(huì)“如實(shí)”地歸納出這些有偏性。不僅如此，每一個(gè)算法程序設(shè)計(jì)師都是一個(gè)擁有特定視角和立場(chǎng)的個(gè)體，他們?cè)谠O(shè)計(jì)算法程序的時(shí)候會(huì)自覺或不自覺地將自己的偏好和立場(chǎng)嵌入算法程序中，或者將市場(chǎng)、資本或權(quán)力的邏輯置放其中，從而選擇性地過(guò)濾數(shù)據(jù)，抑或賦予特定數(shù)據(jù)更大或更小的權(quán)重，這樣也會(huì)導(dǎo)致偏差性結(jié)果。大數(shù)據(jù)技術(shù)的復(fù)雜性已經(jīng)超出了我們的認(rèn)知理解能力，大數(shù)據(jù)的預(yù)測(cè)、運(yùn)算和數(shù)據(jù)庫(kù)正在演變?yōu)闊o(wú)法打開的黑箱，人類的決策和行動(dòng)又越來(lái)越依賴大數(shù)據(jù)，面對(duì)結(jié)果的偏差，人類個(gè)體的調(diào)節(jié)能力在逐漸弱化，這都進(jìn)一步加劇或固化了算法歧視。

然而，這些歧視和偏見并非數(shù)據(jù)主體應(yīng)得的。羅爾斯在批判功利主義時(shí)指出：“每個(gè)人都擁有一種基于正義的不可侵犯性，這種不可侵犯性即使以社會(huì)整體利益之名也不能逾越。”(26)約翰·羅爾斯：《正義論》，1頁(yè)，北京，中國(guó)社會(huì)科學(xué)出版社，2001。德沃金說(shuō)：“自由主義平等概念支配下的每一位公民都有一種受到平等關(guān)心和尊重的權(quán)利，這一抽象的權(quán)利可以包括兩種不同的權(quán)利。第一種權(quán)利是受到平等對(duì)待的權(quán)利……第二種權(quán)利是作為平等的人受到對(duì)待的權(quán)利?！?27)羅納德·德沃金：《認(rèn)真對(duì)待權(quán)利》，357-358頁(yè)，北京，中國(guó)大百科全書出版社，1998。公正和平等是個(gè)體的德性，更是個(gè)體的權(quán)利。過(guò)去，個(gè)體遭遇的不公正和不平等主要來(lái)自處于優(yōu)勢(shì)或強(qiáng)勢(shì)地位的人或組織，進(jìn)入大數(shù)據(jù)時(shí)代，數(shù)據(jù)和算法則可能會(huì)成為新的不公正和不平等之源，這是對(duì)數(shù)據(jù)主體的基本價(jià)值和權(quán)利的現(xiàn)實(shí)挑戰(zhàn)。然而，GDPR并沒有針對(duì)這一問題的具體條款，對(duì)該問題進(jìn)行有效的預(yù)警、阻抑和規(guī)約，數(shù)據(jù)主體的公正權(quán)利已經(jīng)并將還會(huì)持續(xù)遭遇算法歧視或偏見的威脅。這是GDPR在數(shù)據(jù)主體權(quán)利方面的第四個(gè)未決問題。

歐盟的數(shù)據(jù)立法確實(shí)在保護(hù)數(shù)據(jù)主體的隱私、尊嚴(yán)和自主等方面進(jìn)行了有益的探索，在數(shù)據(jù)主體權(quán)利與大數(shù)據(jù)價(jià)值之間明確承諾前者的價(jià)值優(yōu)先性，并且設(shè)計(jì)了較為可行和完備的措施來(lái)保護(hù)和尊重?cái)?shù)據(jù)主體的權(quán)利。但大數(shù)據(jù)的問題和風(fēng)險(xiǎn)是如此復(fù)雜和深遠(yuǎn)，還有待從法律、技術(shù)和哲學(xué)等多維視角做進(jìn)一步的研究和探索。

GDPR基于人本主義的立場(chǎng)，在大數(shù)據(jù)背景下通過(guò)法律條例保護(hù)數(shù)據(jù)主體的權(quán)利，保護(hù)人的尊嚴(yán)、平等與自主等根本性的價(jià)值訴求，是數(shù)據(jù)治理的法律規(guī)制路徑的典范，為其他國(guó)家的數(shù)據(jù)立法提供了先例和借鑒。但是，GDPR的未決問題也清晰地昭示了這一路徑的有限性，它告訴我們，只有進(jìn)一步完善法律規(guī)定，并尋求其他的治理方法與之配合，數(shù)據(jù)主體的權(quán)利才可能得到尊重與保護(hù)。中國(guó)是互聯(lián)網(wǎng)大國(guó)，在線的網(wǎng)民人數(shù)世界第一，數(shù)據(jù)技術(shù)的更新迭代與世界同步甚至在某些領(lǐng)域遙遙領(lǐng)先，歐盟在數(shù)據(jù)治理方面面臨的問題也是中國(guó)的問題，對(duì)GDPR的研究不能僅限于中國(guó)互聯(lián)網(wǎng)企業(yè)如何應(yīng)對(duì)歐盟的新規(guī)，更要興利除弊，以發(fā)展出適合中國(guó)國(guó)情的數(shù)據(jù)治理模式。