◇謝堯雯

一、問題的提出：“個(gè)人控制”模式的發(fā)展與選擇

《公平信息實(shí)踐規(guī)則》作為當(dāng)代信息隱私保護(hù)制度基石，其創(chuàng)立的“個(gè)人控制”原則成為全球個(gè)人信息保護(hù)的制度核心?！皞€(gè)人控制”意指?jìng)€(gè)人對(duì)個(gè)人信息的收集、存儲(chǔ)、使用等數(shù)據(jù)處理行為享有控制權(quán)能。在數(shù)字社會(huì)中，“個(gè)人信息”具有三項(xiàng)核心特征，“個(gè)人控制”亦因這三項(xiàng)特征呈現(xiàn)三種制度價(jià)值。從實(shí)踐發(fā)展來看，“個(gè)人控制”原則的立法發(fā)展，現(xiàn)已形成三種模式：傾斜“實(shí)現(xiàn)個(gè)人自決、發(fā)展自我”價(jià)值實(shí)現(xiàn)的歐盟模式；傾斜“維系與增進(jìn)信任關(guān)系”價(jià)值實(shí)現(xiàn)的新加坡模式；傾斜“建構(gòu)數(shù)據(jù)交易市場(chǎng)”價(jià)值實(shí)現(xiàn)的美國(guó)模式。

我國(guó)在數(shù)據(jù)治理的監(jiān)管議程設(shè)置中，已經(jīng)明晰了“個(gè)人信息”的三項(xiàng)核心特征，《民法典》將“隱私權(quán)和個(gè)人信息”置于“人格權(quán)編”，中共中央、國(guó)務(wù)院印發(fā)的《關(guān)于構(gòu)建更加完善的要素市場(chǎng)化配置體制機(jī)制的意見》將數(shù)據(jù)作為數(shù)字經(jīng)濟(jì)發(fā)展重要的生產(chǎn)要素。盡管我國(guó)個(gè)人信息保護(hù)立法并未明示個(gè)人控制的核心價(jià)值，《個(gè)人信息保護(hù)法》對(duì)各項(xiàng)個(gè)人控制規(guī)則的設(shè)定較歐盟更為傾斜“人格尊嚴(yán)價(jià)值”實(shí)現(xiàn)的立法理念?！半[私”本質(zhì)上是在探尋個(gè)體與外界的邊界，因此，信息隱私制度理念與規(guī)則必然與一個(gè)社會(huì)的價(jià)值排序、信息技術(shù)的發(fā)展緊密相連。比較借鑒歐盟規(guī)則一直是我國(guó)個(gè)人信息保護(hù)制度設(shè)置的核心，這種借鑒是否考慮了信息隱私規(guī)則的區(qū)域差異性、是否回應(yīng)了信息技術(shù)的發(fā)展,值得我們進(jìn)一步探究?！秱€(gè)人信息保護(hù)法》的實(shí)施，仍需要出臺(tái)系列實(shí)施細(xì)則，對(duì)個(gè)人控制制度予以細(xì)化?；诖耍疚奶接憽皞€(gè)人控制”三種模式發(fā)展的區(qū)域背景、信息技術(shù)回應(yīng)性，探求個(gè)人信息保護(hù)法制度關(guān)于個(gè)人控制規(guī)則設(shè)置的完善方向。

二、“個(gè)人控制”模式的類型化發(fā)展

（一）基于人格尊嚴(yán)保障的“個(gè)人控制”

個(gè)人信息作為識(shí)別個(gè)體的工具，彰顯一定的人格利益屬性。出于對(duì)二戰(zhàn)的反思，歐洲各國(guó)憲法與歐盟憲法性文件尤為重視人格尊嚴(yán)的保障。歐盟的個(gè)人信息保護(hù)制度中的“個(gè)人控制”規(guī)則設(shè)置目標(biāo)，傾斜于實(shí)現(xiàn)以“個(gè)體自決與發(fā)展自我”為內(nèi)核的人格尊嚴(yán)價(jià)值。歐盟《1995隱私保護(hù)指令》以成員國(guó)為規(guī)范對(duì)象，在OECD1980《公平信息實(shí)踐規(guī)則》的基礎(chǔ)上，發(fā)展以“個(gè)人控制”為核心的數(shù)據(jù)保護(hù)體系。里斯本條約生效后，《歐盟基本權(quán)利憲章》具有約束成員國(guó)的法律效力，而《憲章》第8條確立的“個(gè)人數(shù)據(jù)保護(hù)權(quán)”將信息隱私正式立基于憲法基本權(quán)利地位。

2018年《通用數(shù)據(jù)保護(hù)條例》（以下簡(jiǎn)稱GDPR）以成員國(guó)公民為直接規(guī)范對(duì)象，在1995指令規(guī)則基礎(chǔ)上，建構(gòu)更為全面與嚴(yán)格的“保障個(gè)體人格尊嚴(yán)”數(shù)據(jù)保護(hù)體系。歐盟以實(shí)現(xiàn)“個(gè)體自決與發(fā)展自我價(jià)值”為核心的“個(gè)人控制”模式的具體規(guī)則體現(xiàn)為：

其一，數(shù)據(jù)主體對(duì)數(shù)據(jù)處理程序享有高度的控制權(quán)能。GDPR為數(shù)據(jù)主體設(shè)置選擇權(quán)、同意撤回權(quán)、刪除權(quán)、訪問權(quán)、限制處理權(quán)、反對(duì)權(quán)、可攜權(quán)、更正權(quán)、不受完全自動(dòng)化決策約束權(quán)等一系列控制權(quán)利，數(shù)據(jù)主體據(jù)此對(duì)個(gè)人數(shù)據(jù)是否被處理以及如何處理享有高度的自主決策權(quán)能。GDPR對(duì)“通知-同意”的形式進(jìn)行了嚴(yán)格的“選擇-進(jìn)入”規(guī)則，在作出同意交付數(shù)據(jù)后，數(shù)據(jù)主體有權(quán)撤回同意；請(qǐng)求更正個(gè)人數(shù)據(jù)與刪除個(gè)人數(shù)據(jù)——根據(jù)第29工作小組的釋義，更正與刪除的個(gè)人數(shù)據(jù)包括用于分析個(gè)人畫像的輸入數(shù)據(jù)（數(shù)據(jù)主體主動(dòng)提供的數(shù)據(jù)與數(shù)據(jù)控制者觀測(cè)的數(shù)據(jù)）與輸出數(shù)據(jù)（個(gè)人畫像）；①Article 29 Working Party, ‘Guidelines on Automated individual decision-making’ (n 143) 17–18.請(qǐng)求攜帶數(shù)據(jù)至其他服務(wù)主體；限制數(shù)據(jù)控制者的處理程序。

由于數(shù)據(jù)主體存在固有的認(rèn)知偏見，為確保個(gè)體尊嚴(yán)與個(gè)人自決的充分實(shí)現(xiàn)，歐盟監(jiān)管部門為信息隱私設(shè)定“不可剝奪性規(guī)則”②See Paul M.Schwartz, Property, Privacy, and Personal Data,HARV.L.REV,Vol.117,No.7,2004.，對(duì)私人合意的信息處置行為進(jìn)行限制。GDPR中的“信息隱私不可剝奪性規(guī)則”主要體現(xiàn)在三個(gè)方面：一是對(duì)基于“合同”而進(jìn)行的個(gè)人數(shù)據(jù)處理活動(dòng)進(jìn)行限制，數(shù)據(jù)控制者不得通過“同意與合同履行”捆綁的方式，在合同履行必要之外收集個(gè)人數(shù)據(jù)。二是為數(shù)據(jù)控制者施加“數(shù)據(jù)最小化義務(wù)”，要求個(gè)人數(shù)據(jù)的處理對(duì)實(shí)現(xiàn)處理目的而言適當(dāng)、相關(guān)與必要。三是為數(shù)據(jù)控制者施加“限期存儲(chǔ)義務(wù)”，要求個(gè)人信息或數(shù)據(jù)的存儲(chǔ)時(shí)間不得超過實(shí)現(xiàn)其處理目的所必需的時(shí)間。

其二，以數(shù)據(jù)主體人格尊嚴(yán)實(shí)現(xiàn)為核心基石，確立“個(gè)人數(shù)據(jù)控制價(jià)值與數(shù)據(jù)流動(dòng)價(jià)值”的平衡標(biāo)準(zhǔn)。個(gè)人控制會(huì)構(gòu)成對(duì)數(shù)據(jù)自由流動(dòng)的限制，歐盟監(jiān)管部門權(quán)衡個(gè)人控制價(jià)值與數(shù)據(jù)流動(dòng)價(jià)值集中在兩個(gè)方面：一是在“通知-同意”規(guī)則外設(shè)置個(gè)人數(shù)據(jù)處理的其他合法性基礎(chǔ)。二是為“刪除權(quán)”的行使限定條件。由于“人格尊嚴(yán)價(jià)值”具備抽象、開放與主觀性特征，判定推動(dòng)數(shù)據(jù)流動(dòng)價(jià)值實(shí)現(xiàn)的數(shù)據(jù)處理行為對(duì)數(shù)據(jù)主體人格尊嚴(yán)減損程度存在高昂的制度成本。

根據(jù)GDPR第6條之規(guī)定，個(gè)人數(shù)據(jù)處理的其他合法性基礎(chǔ)包括：完成合同所必要，完成法定義務(wù)所必要，保護(hù)數(shù)據(jù)主體或第三方重大利益所必要，實(shí)現(xiàn)公共利益所必要，實(shí)現(xiàn)數(shù)據(jù)控制者或第三方合法利益所必要。其中，“合法利益必要”涉及到數(shù)據(jù)控制者的利益實(shí)現(xiàn)，相關(guān)的利益權(quán)衡機(jī)制尤為復(fù)雜。在選擇“合法利益”作為數(shù)據(jù)處理合法性基礎(chǔ)時(shí)，數(shù)據(jù)控制者需要進(jìn)行：目的測(cè)試，判定是否存在合法利益；必要性測(cè)試，處理數(shù)據(jù)對(duì)于實(shí)現(xiàn)目標(biāo)是否必要；平衡測(cè)試，合法利益是否高于數(shù)據(jù)主體的利益、基本權(quán)利與自由。盡管第29工作小組頒發(fā)指南，對(duì)“平衡測(cè)試”指引一系列的客觀化操作細(xì)則，包括考慮被處理數(shù)據(jù)的性質(zhì)、數(shù)據(jù)處理的方式、數(shù)據(jù)主體的合理期待、數(shù)據(jù)主體與數(shù)據(jù)控制者的博弈力量對(duì)比，以此指引數(shù)據(jù)控制者判斷數(shù)據(jù)處理對(duì)數(shù)據(jù)主體造成利益減損的概率以及利益減損的程度，但由于“人格尊嚴(yán)利益”的不確定性與主觀性特征，數(shù)據(jù)處理對(duì)數(shù)據(jù)主體造成的影響在實(shí)踐中難以判定，“平衡測(cè)試”的客觀可操作性不高。根據(jù)第29工作小組發(fā)布的指南，利益權(quán)衡應(yīng)當(dāng)將數(shù)據(jù)主體的所有利益都予以考慮，這些“利益”既包括可計(jì)量的經(jīng)濟(jì)損失，亦包括難以數(shù)量化的情感與認(rèn)知負(fù)面影響——破壞聲譽(yù)，削弱談判能力，削弱數(shù)據(jù)主體的自治權(quán)能，因缺失對(duì)個(gè)人數(shù)據(jù)的控制而帶來的刺激、恐懼、失望情緒，因感到被“監(jiān)控”而被扼制研究與表達(dá)。在基于“合法利益”處理數(shù)據(jù)后，數(shù)據(jù)主體有權(quán)反對(duì)數(shù)據(jù)處理程序，除非數(shù)據(jù)控制者對(duì)“合法利益高于數(shù)據(jù)主體利益、權(quán)利與自由”提出令人信服的理由，這更限縮了“合法利益”的實(shí)踐應(yīng)用。

刪除權(quán)的核心適用場(chǎng)景包括兩種：一是以“告知-同意”為基礎(chǔ)的數(shù)據(jù)處理行為，數(shù)據(jù)主體撤回同意；二是以“其他合法性基礎(chǔ)”的數(shù)據(jù)處理行為，數(shù)據(jù)主體申請(qǐng)刪除相關(guān)數(shù)據(jù)。在第一種場(chǎng)景中，GDPR賦予了數(shù)據(jù)主體壓倒式控制權(quán)能，即不論數(shù)據(jù)處理的公共利益如何，只要數(shù)據(jù)主體撤回同意，數(shù)據(jù)控制者應(yīng)當(dāng)刪除其留存的個(gè)人數(shù)據(jù)。第二種場(chǎng)景實(shí)踐主要應(yīng)用于原始網(wǎng)站與搜索引擎，對(duì)應(yīng)的復(fù)雜利益衡量公示分別為：對(duì)基本權(quán)利的侵犯(信息性質(zhì)/敏感度*擴(kuò)散范圍+個(gè)人成像風(fēng)險(xiǎn)) v.公眾獲得此信息的利益+網(wǎng)頁(yè)的言論自由；對(duì)基本權(quán)利的侵犯(信息性質(zhì)/敏感度*擴(kuò)散范圍+成像風(fēng)險(xiǎn)) v.公眾獲得此信息的利益。①蔡培如.被遺忘權(quán)制度的反思與再建構(gòu)[J].清華法學(xué),2019(5).

（二）基于信息關(guān)系維系的“個(gè)人控制”

個(gè)人通過分享“個(gè)人信息”，與他人或社會(huì)群體建立不同親密程度的社會(huì)關(guān)系，而“個(gè)人信息”被分享后存在被泄露與濫用進(jìn)而減損個(gè)人經(jīng)濟(jì)利益、傷害個(gè)人情感的風(fēng)險(xiǎn)。個(gè)人通過分享信息建構(gòu)社會(huì)關(guān)系的情感動(dòng)機(jī)可比擬為“信任”。社會(huì)學(xué)意義中的“信任”是指在他人存在客觀能力傷害自己的情形下，相信他人能夠以自己利益行為。②Claire A.Hill&Erin Ann O?Hara,A Cognitive Theory of Trust,Wash.U.L.Rev.,Vol.84,No.7,2006.在此意義上，個(gè)人通過分享個(gè)人信息，與數(shù)據(jù)控制者形成一種以信任為基石的信息關(guān)系。

新加坡《個(gè)人數(shù)據(jù)保護(hù)法》于2012年頒布、2014年施行，以O(shè)ECD《個(gè)人數(shù)據(jù)隱私和跨境流動(dòng)保護(hù)指南》、APEC《亞太經(jīng)合組織隱私框架》確立的公平信息實(shí)踐原則為基本框架。自2017年以來，新加坡政府開始反思傳統(tǒng)以個(gè)人絕對(duì)控制為核心的數(shù)據(jù)保護(hù)模式?；诠_發(fā)行的監(jiān)管文件與征求意見，這種反思主要集中于三個(gè)方面：個(gè)人絕對(duì)控制是否能夠給予個(gè)人充分保護(hù)、個(gè)人絕對(duì)控制是否客觀可行、個(gè)人絕對(duì)控制是否促進(jìn)數(shù)字經(jīng)濟(jì)的發(fā)展。③PDPC.Public Consultation for Approaches to Managing Personal Data in the Digital Economy,27 July 2017.在對(duì)這三個(gè)問題給予否定的情形下，新加坡數(shù)據(jù)保護(hù)委員會(huì)開始逐步弱化機(jī)構(gòu)對(duì)個(gè)人控制合規(guī)的執(zhí)法監(jiān)督，加強(qiáng)對(duì)企業(yè)內(nèi)部問責(zé)的監(jiān)督指引，并以“維系與增進(jìn)消費(fèi)者對(duì)機(jī)構(gòu)與監(jiān)管部門信任，將新加坡建成為數(shù)據(jù)信任中心（Trusted Data Hub）”為目標(biāo)，修訂《個(gè)人數(shù)據(jù)保護(hù)法》。④Personal Data Protection Commission, Media Release-Personal Data Protection Commission Introduces Three Initiatives to Strengthen Accountability Among Organization and Encourage Data Innovation,22 May 2019.2021年2月施行的《個(gè)人數(shù)據(jù)保護(hù)法》，實(shí)現(xiàn)了“以保障人格尊嚴(yán)為目的的個(gè)人控制”向“以維系信息關(guān)系為目的的個(gè)人控制”之轉(zhuǎn)向。

在“信息關(guān)系維系”中設(shè)置的“個(gè)人控制”規(guī)則之目標(biāo)在于，通過對(duì)個(gè)體賦予信息控制權(quán)利、為機(jī)構(gòu)施加信息處理義務(wù)，平衡雙方不均衡的博弈力量，進(jìn)而維系雙方長(zhǎng)遠(yuǎn)與健康的信息關(guān)系。在此基礎(chǔ)上設(shè)置的“個(gè)人控制”，適度平衡個(gè)體信息利益與機(jī)構(gòu)商業(yè)利益。相應(yīng)規(guī)則體現(xiàn)在：

其一，削弱“個(gè)人控制”作為個(gè)人信息處理的絕對(duì)性作用，形成“個(gè)人相對(duì)控制”。

與歐盟相比，新加坡“個(gè)人相對(duì)控制”體系中，個(gè)人控制權(quán)利的權(quán)能幅度與權(quán)利種類更為限縮。

“告知-同意”并不是個(gè)人信息處理的核心基礎(chǔ)，“信息處理”兼顧公共利益與機(jī)構(gòu)商業(yè)利益：《個(gè)人數(shù)據(jù)保護(hù)法（2021）》增設(shè)“商業(yè)改善目的”作為數(shù)據(jù)使用的合法性基礎(chǔ)，即機(jī)構(gòu)可以在沒有個(gè)人明確同意的情形下，為實(shí)現(xiàn)以下目的使用個(gè)人數(shù)據(jù)——改善、加強(qiáng)、發(fā)展新的商品或服務(wù)，改善、加強(qiáng)、發(fā)展機(jī)構(gòu)提供服務(wù)的方式或程序，學(xué)習(xí)或理解個(gè)體的行為與偏好（包括以畫像為標(biāo)準(zhǔn)進(jìn)行的個(gè)人群體劃分），進(jìn)行個(gè)性化推薦；個(gè)人數(shù)據(jù)保護(hù)委員會(huì)頒發(fā)詳細(xì)的行為指引，為適用“合法性利益”數(shù)據(jù)處理基礎(chǔ)提供更清晰與客觀的合規(guī)參考；“同意”的方式更加多元化，《個(gè)人數(shù)據(jù)保護(hù)法（2021）》增設(shè)“選擇-退出”模式與“行為視為同意”模式——當(dāng)數(shù)據(jù)使用不同于最初收集目的時(shí)，設(shè)置“選擇-退出”的方式，對(duì)新使用目的進(jìn)行告知、并給予個(gè)體一定期限的退出選擇；為履行合同所必要，機(jī)構(gòu)向第三方披露數(shù)據(jù)視為已經(jīng)取得個(gè)人同意。

《個(gè)人數(shù)據(jù)保護(hù)法（2021）》對(duì)數(shù)據(jù)處理過程中的控制權(quán)僅規(guī)定撤回同意權(quán)、訪問權(quán)與更正權(quán)，而與GDPR彰顯的高強(qiáng)度個(gè)人控制權(quán)能相比，這三項(xiàng)權(quán)利行使亦受到數(shù)據(jù)控制者商業(yè)利益實(shí)現(xiàn)的限制。一者，個(gè)人“撤回同意”的效力只及于撤回同意后的數(shù)據(jù)處理行為，“撤回同意”前的數(shù)據(jù)處理行為有效且數(shù)據(jù)控制者無(wú)須對(duì)數(shù)據(jù)予以刪除。二者，如果數(shù)據(jù)訪問成本與收益不成比例或給商業(yè)機(jī)構(gòu)帶來較大執(zhí)行成本，商業(yè)機(jī)構(gòu)可拒絕個(gè)人的數(shù)據(jù)訪問。個(gè)人數(shù)據(jù)保護(hù)委員會(huì)列舉的基于“商業(yè)機(jī)構(gòu)利益考慮”拒絕訪問情形包括：多次反復(fù)請(qǐng)求不合理地干擾了機(jī)構(gòu)的正常工作開展，提供訪問的成本對(duì)于機(jī)構(gòu)來說是不合理的，提供訪問的成本與個(gè)人利益不相匹配，個(gè)人請(qǐng)求過于無(wú)聊或者纏擾，要求訪問的信息過于瑣碎，披露個(gè)人數(shù)據(jù)會(huì)泄露商業(yè)機(jī)密信息、減損機(jī)構(gòu)的競(jìng)爭(zhēng)優(yōu)勢(shì)。三者，相異于歐盟為數(shù)據(jù)主體設(shè)定針對(duì)所有類別個(gè)人數(shù)據(jù)（主動(dòng)提供類數(shù)據(jù)、觀測(cè)類數(shù)據(jù)、推測(cè)類數(shù)據(jù)）的更正權(quán)，新加坡設(shè)定的數(shù)據(jù)更正權(quán)范圍不及于用戶畫像、用戶評(píng)分等推測(cè)類數(shù)據(jù)。

在補(bǔ)足個(gè)體理性認(rèn)知偏見方面，新加坡《個(gè)人數(shù)據(jù)保護(hù)法》通過“數(shù)據(jù)最小化”與“數(shù)據(jù)存儲(chǔ)期限”限制私人合意的數(shù)據(jù)處理行為。相較于GDPR設(shè)定的“為實(shí)現(xiàn)目的所必要、相關(guān)與充分性”限定規(guī)則，新加坡的限制規(guī)則更為緩和，以“理性人合理認(rèn)知為主”，即在具體場(chǎng)景中分析“一般理性人認(rèn)為該數(shù)據(jù)處理目的是否合適”。

其二，以“矯正雙方不均衡力量結(jié)構(gòu)”為基石，權(quán)衡“個(gè)人控制價(jià)值”與“數(shù)據(jù)流動(dòng)價(jià)值”。

在傳統(tǒng)的“選擇-進(jìn)入”式同意之外，《個(gè)人數(shù)據(jù)保護(hù)法（2021）》通過設(shè)置多元化數(shù)據(jù)處理合法性基礎(chǔ)與多樣化同意形式，促進(jìn)數(shù)據(jù)流動(dòng)。其中，在適用“選擇-退出”式規(guī)則與“合法性利益”數(shù)據(jù)處理基礎(chǔ)時(shí)，數(shù)據(jù)控制者需要進(jìn)行“個(gè)人控制價(jià)值”與“數(shù)據(jù)流動(dòng)價(jià)值”權(quán)衡。相較于歐盟以“自尊與自我發(fā)展”為核心的“個(gè)人控制目標(biāo)”，新加坡“個(gè)人控制價(jià)值”的判斷與評(píng)估更為客觀，價(jià)值權(quán)衡指引標(biāo)準(zhǔn)的可操作性更強(qiáng)。

當(dāng)數(shù)據(jù)使用不同于最初收集目的時(shí)，數(shù)據(jù)控制者在開展評(píng)估與風(fēng)險(xiǎn)減緩措施、確保對(duì)個(gè)體不會(huì)產(chǎn)生負(fù)面影響后，可設(shè)置“選擇-退出”同意形式；以實(shí)現(xiàn)合法利益為目標(biāo)處理個(gè)人數(shù)據(jù)時(shí)，機(jī)構(gòu)在開展評(píng)估與風(fēng)險(xiǎn)減緩措施、確保“合法利益高于對(duì)個(gè)人造成的負(fù)面影響”后，可豁免“通知-同意”程序進(jìn)行數(shù)據(jù)處理。新加坡數(shù)據(jù)保護(hù)委員會(huì)為機(jī)構(gòu)評(píng)估“是否會(huì)為個(gè)人帶來負(fù)面影響”以及“合法利益是否高于負(fù)面影響”頒布了客觀與主觀評(píng)估指標(biāo)，指引機(jī)構(gòu)判定“數(shù)據(jù)處理對(duì)個(gè)人的負(fù)面影響程度”與“負(fù)面影響發(fā)生概率”?？陀^標(biāo)準(zhǔn)包括：個(gè)人數(shù)據(jù)的敏感性，數(shù)據(jù)處理的規(guī)模，是否與其他數(shù)據(jù)結(jié)合分析，機(jī)構(gòu)采取的負(fù)面影響減緩措施（減少收集的數(shù)據(jù)、匿名化處理、及時(shí)刪除數(shù)據(jù)、數(shù)據(jù)有限公開等）。主觀標(biāo)準(zhǔn)以社會(huì)主流價(jià)值觀為參照，評(píng)估“一般理性人”認(rèn)為特定數(shù)據(jù)處理是否會(huì)給個(gè)人帶來經(jīng)濟(jì)、社會(huì)與情感方面的負(fù)面影響。①PDPC.Advisory Guidelines on Key Concepts in the Personal Data Protection Act,1 February 2021.

（三）基于“市場(chǎng)交易秩序維系”的個(gè)人控制

在大數(shù)據(jù)、人工智能、物聯(lián)網(wǎng)等信息技術(shù)發(fā)展的加持下，“數(shù)據(jù)間的結(jié)合與規(guī)?；邸闭蔑@愈發(fā)重要的經(jīng)濟(jì)價(jià)值。盡管單個(gè)數(shù)據(jù)的經(jīng)濟(jì)價(jià)值難以計(jì)算，但“個(gè)人信息”的財(cái)產(chǎn)利益屬性，已經(jīng)成為“個(gè)人信息保護(hù)”制度設(shè)計(jì)難以回避的因素。再者，在互聯(lián)網(wǎng)經(jīng)濟(jì)中，基于網(wǎng)絡(luò)活動(dòng)產(chǎn)生的信息成為個(gè)人信息重要的組成部分，且消費(fèi)者無(wú)須支付金錢對(duì)價(jià)即可享受服務(wù)，有研究者將“個(gè)人信息與網(wǎng)絡(luò)服務(wù)關(guān)系”比擬為消費(fèi)者以個(gè)人信息作為給付對(duì)價(jià)接收網(wǎng)絡(luò)服務(wù)。

美國(guó)監(jiān)管層并未將個(gè)人信息明確界定為一種給付對(duì)價(jià)的財(cái)產(chǎn)，但基于聯(lián)邦憲法權(quán)利設(shè)置與監(jiān)管博弈，在美國(guó)聯(lián)邦個(gè)人信息保護(hù)體系中，“通知-同意”實(shí)質(zhì)上構(gòu)成商家與消費(fèi)者的“數(shù)據(jù)-服務(wù)”交易合同。以《公平信息實(shí)踐》確立的基本原則基礎(chǔ)，聯(lián)邦個(gè)人信息保護(hù)體系形成了基于“維系市場(chǎng)交易秩序”的個(gè)人控制。

美國(guó)聯(lián)邦憲法第一修正案確立“言論自由基本權(quán)利”，“信息隱私權(quán)”不屬于憲法基本權(quán)利，憲法關(guān)于隱私利益的保障僅僅局限于第四與第十四修正案——政府對(duì)公民的搜查需要遵循正當(dāng)程序。因此，美國(guó)法律體系中，數(shù)據(jù)流動(dòng)價(jià)值優(yōu)于信息隱私價(jià)值，聯(lián)邦政府并未頒發(fā)統(tǒng)一法律對(duì)私人機(jī)構(gòu)的數(shù)據(jù)處理進(jìn)行“權(quán)利-義務(wù)”式行為規(guī)范。以1973年《公平信息實(shí)踐規(guī)則》為基礎(chǔ)，F(xiàn)TC于2000年發(fā)布信息隱私保護(hù)指引，鼓勵(lì)、指引私人機(jī)構(gòu)設(shè)定隱私政策。私人機(jī)構(gòu)通過發(fā)布隱私聲明，對(duì)數(shù)據(jù)收集、使用、存儲(chǔ)、披露等行為進(jìn)行告知，消費(fèi)者基于隱私聲明決定是否同意機(jī)構(gòu)處理個(gè)人信息。司法機(jī)關(guān)并未對(duì)以“通知-同意”為內(nèi)核的信息隱私自我規(guī)制予以監(jiān)督：“通知-同意”僅具備宣示性意義，不構(gòu)成合同；消費(fèi)者無(wú)法證明具體損害主張違約救濟(jì)；消費(fèi)者“同意”決策對(duì)“隱私聲明”的依賴不強(qiáng)，不足以提請(qǐng)禁止反言訴訟。聯(lián)邦貿(mào)易委員會(huì)將“通知-同意”擬制為“數(shù)據(jù)交易合同”，即消費(fèi)者基于對(duì)隱私協(xié)議的評(píng)估決定出售自身數(shù)據(jù)，據(jù)此通過消費(fèi)者權(quán)益保護(hù)中的“反誤導(dǎo)與不公平交易監(jiān)管職能”矯正數(shù)據(jù)交易中的市場(chǎng)失靈。②Daniel J.Solve&Woodrow Hartzog, The FTC and The New Common Law of Privacy, Columbia Law Review,Vol.114,No.3,2014.

相較于歐盟與新加坡，美國(guó)個(gè)人信息保護(hù)體系中的“個(gè)人控制”權(quán)能最為薄弱。其一，個(gè)人控制以非正式的“通知-同意”為核心。絕大多數(shù)商業(yè)機(jī)構(gòu)在FTC的指引下頒發(fā)隱私聲明，但由于法律并未對(duì)“同意”形式進(jìn)行嚴(yán)格規(guī)范，機(jī)構(gòu)為便捷獲取數(shù)據(jù)一般設(shè)置“選擇-退出”的同意形式。其二，數(shù)據(jù)處理中的個(gè)人控制權(quán)能由雙方約定。FTC以“隱私聲明”為基礎(chǔ)：對(duì)商業(yè)機(jī)構(gòu)不遵守隱私聲明約定、對(duì)數(shù)據(jù)處理未進(jìn)行充分告知、以欺騙方式誘導(dǎo)消費(fèi)者交付數(shù)據(jù)等“誤導(dǎo)”行為進(jìn)行矯正；在“不公平交易行為”監(jiān)管方面，F(xiàn)TC的著眼點(diǎn)在于通過為企業(yè)施加更多的數(shù)據(jù)安全保障義務(wù)，而非強(qiáng)制企業(yè)為消費(fèi)者提供撤回同意、數(shù)據(jù)訪問、數(shù)據(jù)更正權(quán)、數(shù)據(jù)處理反對(duì)等個(gè)人控制權(quán)能。

三、信息技術(shù)發(fā)展語(yǔ)境中“個(gè)人控制”的立法模式選擇

梳理我國(guó)監(jiān)管文件可發(fā)現(xiàn)，監(jiān)管層明晰了“個(gè)人信息”的三項(xiàng)核心特征，盡管并未明示“個(gè)人控制”規(guī)則意欲實(shí)現(xiàn)的核心價(jià)值目標(biāo)，但《個(gè)人信息保護(hù)法》設(shè)定了與GDPR如出一轍的高程度個(gè)人控制體系。這主要體現(xiàn)在：“通知-同意”在數(shù)據(jù)處理中發(fā)揮核心作用，且適用嚴(yán)格的“選擇-進(jìn)入”式規(guī)則；個(gè)人享有知情權(quán)、選擇權(quán)、撤回同意權(quán)、刪除權(quán)、訪問權(quán)、解釋權(quán)（自動(dòng)化決策對(duì)個(gè)人權(quán)益有重大影響）、拒絕完全自動(dòng)化決策、限制處理權(quán)、拒絕權(quán)、數(shù)據(jù)可攜權(quán)、更正權(quán)；設(shè)定“目的必要與存儲(chǔ)限制”的“信息隱私不可剝奪規(guī)則”。相較于GDPR，《個(gè)人信息保護(hù)法》設(shè)定的個(gè)人控制更為僵化甚至更高強(qiáng)度：《個(gè)人信息保護(hù)法》并未設(shè)定“合法性利益”作為個(gè)人信息處理的合法性基礎(chǔ)，“通知-同意”在數(shù)據(jù)處理中享有更關(guān)鍵性的地位；《個(gè)人信息保護(hù)法》并未限定“限制處理權(quán)”與“拒絕權(quán)”的行使范圍與條件，個(gè)人對(duì)數(shù)據(jù)處理程序的控制更為絕對(duì)。

這種規(guī)則設(shè)置體現(xiàn)了監(jiān)管者在面臨科技發(fā)展時(shí)對(duì)個(gè)體權(quán)益的深切關(guān)懷，但不同模式的選擇關(guān)乎更多的可能是不同法域的文化、政治與歷史傳統(tǒng)。由此看來，評(píng)估不同個(gè)人控制模式是否與當(dāng)下信息技術(shù)發(fā)展相匹配，應(yīng)當(dāng)成為我國(guó)在制度比較與模式選擇中的核心議題。

（一）“個(gè)人控制”價(jià)值實(shí)現(xiàn)效果評(píng)估

“個(gè)人信息”具有“識(shí)別個(gè)體、建立信息關(guān)系、存在一定經(jīng)濟(jì)價(jià)值從而可作為服務(wù)對(duì)價(jià)”三項(xiàng)特征，個(gè)人對(duì)個(gè)人信息控制的法律規(guī)范意涵，亦因法律理念對(duì)這三項(xiàng)特征的不同側(cè)重，而呈現(xiàn)不同的表現(xiàn)?；谇笆龇治?，法律理念的不同側(cè)重并非基于規(guī)范層面對(duì)各項(xiàng)特征的比重權(quán)衡，而在于各區(qū)域立法在實(shí)證層面歷史、憲政、政治、經(jīng)濟(jì)背景。

“個(gè)人信息”的這三項(xiàng)核心特征都以“在個(gè)體與社會(huì)互動(dòng)過程中劃定個(gè)人空間與公共空間邊界”為背景而呈現(xiàn)?！靶畔⒓夹g(shù)”改變個(gè)體與社會(huì)的互動(dòng)方式，進(jìn)而改變個(gè)人空間與公共空間的邊界樣態(tài)。關(guān)于信息隱私保護(hù)的核心理念與規(guī)則因應(yīng)信息技術(shù)的發(fā)展而發(fā)展。19世紀(jì)晚期主導(dǎo)的“獨(dú)處”理念以回應(yīng)攝影攝像技術(shù)對(duì)個(gè)人空間的侵犯風(fēng)險(xiǎn)為前提，強(qiáng)調(diào)個(gè)體有權(quán)享有不被外界干擾的獨(dú)處空間；20世紀(jì)60年代興起的“個(gè)人控制”理念以回應(yīng)電子存儲(chǔ)技術(shù)對(duì)個(gè)人空間的侵犯風(fēng)險(xiǎn)為前提，強(qiáng)調(diào)個(gè)人有權(quán)對(duì)所存儲(chǔ)信息的種類、收集方式、信息準(zhǔn)確與完整性享有控制權(quán)能。大數(shù)據(jù)、人工智能、物聯(lián)網(wǎng)等信息技術(shù)的發(fā)展，革命性地轉(zhuǎn)變了個(gè)人與社會(huì)的互動(dòng)方式。在新興信息技術(shù)發(fā)展背景下，“個(gè)人控制”所體現(xiàn)的實(shí)現(xiàn)個(gè)人自決與自我發(fā)展的人格尊嚴(yán)價(jià)值、維系與數(shù)據(jù)控制者的信息關(guān)系價(jià)值、形成與數(shù)據(jù)控制者的數(shù)據(jù)交易合同價(jià)值，在客觀上是否具有實(shí)現(xiàn)的客觀條件以及如何作用于信息技術(shù)發(fā)展，成為我們?cè)谶M(jìn)行“個(gè)人控制”立法模式選擇時(shí)應(yīng)當(dāng)反思的核心議題。

在新興信息技術(shù)發(fā)展的背景下，個(gè)人自決與自我發(fā)展的價(jià)值實(shí)現(xiàn)存在技術(shù)客觀阻礙，且會(huì)引發(fā)數(shù)字經(jīng)濟(jì)發(fā)展的“反公地悲劇”。其一，與20世紀(jì)60年代電子存儲(chǔ)系統(tǒng)對(duì)個(gè)人信息的靜態(tài)化存儲(chǔ)不同，新興信息技術(shù)場(chǎng)景中的個(gè)人信息處于高度動(dòng)態(tài)流動(dòng)性狀態(tài)，“信息”分享后的排他性與競(jìng)爭(zhēng)性使用成本高昂。因此，個(gè)人對(duì)“個(gè)人信息”的控制往往局限于信息分享一刻的偏好表達(dá)以及針對(duì)直接分享者的同意撤回、信息更正、信息處理的反對(duì)，而對(duì)分享后流轉(zhuǎn)至其他處理者的數(shù)據(jù)處理缺乏控制能力。其二，信息技術(shù)發(fā)展增強(qiáng)了信息分享的負(fù)外部性。機(jī)構(gòu)可通過分析碎片化信息或者數(shù)據(jù)畫像池中與個(gè)人相似群體的信息，推斷出個(gè)人未分享或拒絕分享的個(gè)人信息，拒絕分享決策會(huì)給分享信息者帶來更大的隱私侵犯威脅。其三，歐盟設(shè)置的高強(qiáng)度的個(gè)人控制權(quán)能，增大了數(shù)據(jù)聚合成本，且人格尊嚴(yán)利益的開放性、抽象性與主觀性特征使得企業(yè)在權(quán)衡個(gè)人控制價(jià)值與數(shù)據(jù)流動(dòng)價(jià)值時(shí)限于高度的合規(guī)不確定桎梏，造成數(shù)據(jù)價(jià)值實(shí)現(xiàn)與挖掘不足的“反公地悲劇”困境。

在新興信息技術(shù)發(fā)展的背景下，“數(shù)據(jù)交易市場(chǎng)秩序”模式會(huì)帶來對(duì)消費(fèi)者的保護(hù)不足，無(wú)法實(shí)現(xiàn)假定的數(shù)據(jù)資源最優(yōu)配置目標(biāo)。其一，信息技術(shù)極大地復(fù)雜化了“消費(fèi)者—機(jī)構(gòu)”數(shù)據(jù)交易的履約環(huán)境。數(shù)據(jù)挖掘與數(shù)據(jù)分析技術(shù)的大規(guī)模應(yīng)用，使得數(shù)據(jù)處理鏈集合數(shù)據(jù)控制者、廣告聯(lián)盟、數(shù)據(jù)中介商等多方參與主體，數(shù)據(jù)的聚合價(jià)值凸顯，數(shù)據(jù)的流動(dòng)度與二次使用率高。在這一履約環(huán)境中，消費(fèi)者在立約前無(wú)法識(shí)別潛在的所有交易對(duì)象、數(shù)據(jù)的價(jià)值、數(shù)據(jù)處理形式，在立約后難以識(shí)別違約行為方、難以通過終止協(xié)議的方式遏制損害擴(kuò)大。因此，根據(jù)威廉姆森的組織經(jīng)濟(jì)學(xué)理論，由于交易成本過于高昂，基于“通知-同意”個(gè)人控制無(wú)法發(fā)展為一個(gè)有秩序的數(shù)據(jù)交易市場(chǎng)。①Williamson,O.E,The Theory of the Firm as Governance Structure:From Choice to Contract, Journal of Economic Literature,Vol.38,No.3,2000.其二，由于“個(gè)人控制”是市場(chǎng)自律規(guī)則而非法定行為規(guī)范，機(jī)構(gòu)公開“隱私協(xié)議”更多出于經(jīng)濟(jì)激勵(lì)而非消費(fèi)者保護(hù)動(dòng)機(jī)，公示“隱私協(xié)議”形成“通知-同意”程序的模式化與標(biāo)準(zhǔn)化，對(duì)于商家確保獲取、處理信息的法律穩(wěn)定性至關(guān)重要。①Paul M.Schwartz&Karl Nikolaus Peifer.Transatlantic Data Privacy Law, The Georgetown Law Journal,Vol.106,No.1,2017.因此，絕大多數(shù)機(jī)構(gòu)并不會(huì)在“隱私協(xié)議”中為消費(fèi)者設(shè)定數(shù)據(jù)控制權(quán)利，消費(fèi)者的控制多限于“行為擬制同意（在閱讀隱私協(xié)議后繼續(xù)使用網(wǎng)絡(luò)服務(wù)即為表達(dá)同意）”與“選擇-退出”式同意（設(shè)置默示同意并為消費(fèi)者提供退出選項(xiàng)）。根據(jù)行為經(jīng)濟(jì)學(xué)的相關(guān)研究，個(gè)體存在“安于現(xiàn)狀”的認(rèn)知偏見，在沒有“明確同意”選項(xiàng)指引情況下，個(gè)體一般會(huì)依據(jù)系統(tǒng)默認(rèn)模式開展行為。

（二）“個(gè)人控制”模式選擇

在“個(gè)人自決與自我發(fā)展。信息關(guān)系維系。數(shù)據(jù)交易秩序”這三項(xiàng)價(jià)值序列中，個(gè)人控制程度依次遞減。如前所述，處于極端點(diǎn)的最高度個(gè)人控制與最低度個(gè)人控制，無(wú)法實(shí)現(xiàn)與新興信息技術(shù)的發(fā)展匹配，制度弊端在數(shù)字經(jīng)濟(jì)發(fā)展中已經(jīng)顯現(xiàn)。根據(jù)相關(guān)的實(shí)證研究，GDPR為企業(yè)帶來了繁重的合規(guī)負(fù)擔(dān)，導(dǎo)致大量中小型科技公司退出歐洲市場(chǎng)。②Jian Jia, Ginger Zhe Jin and Liad Wagman，The Short-Run Effects of GDPR on Technology Venture Investment,No 25248, NBER Working Papers.美國(guó)也逐步在擴(kuò)充個(gè)人控制權(quán)能方面施行監(jiān)管改革，如《加州消費(fèi)者隱私保護(hù)法案》。處于中間控制程度的“信息關(guān)系維系”彌合了兩個(gè)極端制度的制度缺陷，值得進(jìn)一步地探求。

信息技術(shù)發(fā)展帶來的個(gè)人與社會(huì)間關(guān)系的變革主要體現(xiàn)在兩個(gè)方面。其一，個(gè)人與社會(huì)互動(dòng)方式的變化?；ヂ?lián)網(wǎng)經(jīng)濟(jì)的發(fā)展促使大量線下活動(dòng)移轉(zhuǎn)至線上，個(gè)人信息多產(chǎn)生于個(gè)體參與線上活動(dòng)的過程，個(gè)人生活高度嵌入互聯(lián)網(wǎng)經(jīng)濟(jì)進(jìn)而發(fā)展為公私融合的信息隱私背景。其二，信息的聚合價(jià)值凸顯，數(shù)字經(jīng)濟(jì)的進(jìn)一步發(fā)展客觀上需要在更高程度的公私融合中進(jìn)行數(shù)據(jù)的挖掘與分析。由此看來，維系與增進(jìn)消費(fèi)者的信任，構(gòu)建健康的信息關(guān)系，能夠最大化實(shí)現(xiàn)數(shù)字經(jīng)濟(jì)發(fā)展中消費(fèi)者與商業(yè)機(jī)構(gòu)間的合作博弈。

四、個(gè)人信息保護(hù)法制度“個(gè)人控制”規(guī)則設(shè)置完善

《個(gè)人信息保護(hù)法》以GDPR為制度藍(lán)本，設(shè)置了嚴(yán)密的個(gè)人控制規(guī)則，這體現(xiàn)了監(jiān)管者在面臨新技術(shù)發(fā)展時(shí)對(duì)個(gè)人權(quán)利的深切關(guān)懷。但我們也應(yīng)當(dāng)認(rèn)識(shí)到，歐盟監(jiān)管傾斜“人格尊嚴(yán)利益價(jià)值”實(shí)現(xiàn)的個(gè)人控制發(fā)展，具有其深厚的政治因素考量，而這種高強(qiáng)度的控制理念無(wú)法匹配新興信息技術(shù)的發(fā)展步伐。選擇更符合新興信息技術(shù)特征的“信任信息關(guān)系”維系模式，應(yīng)當(dāng)成為《個(gè)人信息保護(hù)法》實(shí)施細(xì)則的發(fā)展方向。

明晰“信息關(guān)系”中“信任”的特征，成為監(jiān)管規(guī)則設(shè)置的基本前提。一者，對(duì)于個(gè)體而言，“信任”是一種計(jì)算性信任而非主觀熱情式信任，個(gè)人會(huì)依據(jù)監(jiān)管部門的數(shù)據(jù)保護(hù)執(zhí)法與機(jī)構(gòu)的數(shù)據(jù)保護(hù)方案，策略性地判斷信息分享后可能發(fā)生的損害程度與發(fā)生損害的概率。二者，對(duì)于機(jī)構(gòu)而言，“信任”是一種組織信任而非雙邊信任。數(shù)字經(jīng)濟(jì)發(fā)展對(duì)數(shù)據(jù)的依賴遠(yuǎn)甚于前數(shù)字時(shí)代，而信息技術(shù)的發(fā)展打破了數(shù)據(jù)流動(dòng)壁壘，機(jī)構(gòu)商業(yè)模式發(fā)展與利益增長(zhǎng)依賴于存在一定水平的數(shù)字信任環(huán)境?！靶湃巍庇谏虡I(yè)機(jī)構(gòu)而言，是數(shù)字經(jīng)濟(jì)中的“公地資源”，機(jī)構(gòu)的數(shù)據(jù)保護(hù)義務(wù)實(shí)質(zhì)是一套“信任公地資源”的利用規(guī)則。

就此而言，以側(cè)重“維系信任信息關(guān)系”價(jià)值實(shí)現(xiàn)的“個(gè)人控制”規(guī)則，具有兩個(gè)設(shè)定基礎(chǔ)：以新興信息技術(shù)發(fā)展的客觀現(xiàn)實(shí)為基礎(chǔ)；“個(gè)人控制”與“機(jī)構(gòu)問責(zé)”并重，通過透明化、差異化與精細(xì)化的數(shù)據(jù)保護(hù)方案，維系與增進(jìn)信任。

（一）以新興信息技術(shù)發(fā)展的客觀現(xiàn)實(shí)為基礎(chǔ)設(shè)置“個(gè)人控制”

個(gè)人在信息關(guān)系中的計(jì)算性信任，關(guān)注個(gè)體內(nèi)心能夠感知的控制權(quán)能。事實(shí)上，在歐盟高強(qiáng)度個(gè)人控制規(guī)則設(shè)置中，由于“人格尊嚴(yán)利益”具有模糊性、抽象性與主觀性特征，數(shù)據(jù)控制者的合規(guī)操作缺乏客觀化標(biāo)準(zhǔn)，高強(qiáng)度的個(gè)人控制并未創(chuàng)造更多的用戶信任。③Roslyn Layton,The 10 Problems of the GDPR The US can learn from the EU?s mistakes and leapfrog its policy,Layton Testimony1.pdf (senate.gov).因此，應(yīng)當(dāng)在確保個(gè)人控制與利益衡平規(guī)則的透明化、可操作性前提下，以新興信息技術(shù)發(fā)展實(shí)踐為基礎(chǔ)，權(quán)衡個(gè)人控制價(jià)值與數(shù)據(jù)流動(dòng)價(jià)值。

對(duì)比新加坡規(guī)則與歐盟規(guī)則可發(fā)現(xiàn)，在“個(gè)人控制”設(shè)置中，“信息關(guān)系維系模式”與“人格尊嚴(yán)保障模式”的核心區(qū)別點(diǎn)在于：個(gè)人控制權(quán)的范圍（新加坡并未設(shè)定“刪除權(quán)、限制處理權(quán)、反對(duì)權(quán)、可攜帶權(quán)、對(duì)自動(dòng)化處理的解釋說明權(quán)、對(duì)完全自動(dòng)化決策的反對(duì)權(quán)”）；“通知-同意”的作用（新加坡多一項(xiàng)“商業(yè)改善目的”豁免“通知-同意”程序，較之歐盟，“合法性利益”標(biāo)準(zhǔn)的判定更為客觀，實(shí)踐適用更為廣泛）；“通知-同意”的形式（歐盟設(shè)定嚴(yán)格的“選擇-進(jìn)入”式規(guī)則，而新加坡對(duì)于履行合同必要而分享數(shù)據(jù)界定為“視為同意”、在初始收集目的之外進(jìn)行數(shù)據(jù)處理適用“選擇-退出”式規(guī)則）；“個(gè)人控制利益”與“數(shù)據(jù)流動(dòng)利益”權(quán)衡的指標(biāo)要素（在判定數(shù)據(jù)處理對(duì)個(gè)體利益影響時(shí)，歐盟與新加坡都采用了主客觀標(biāo)準(zhǔn)；就主觀標(biāo)準(zhǔn)而言，歐盟以具體個(gè)人主觀感受為標(biāo)準(zhǔn)判定個(gè)人對(duì)數(shù)據(jù)失去控制后主觀情感傷害，新加坡以一般理性人標(biāo)準(zhǔn)判定數(shù)據(jù)處理目的是否合適）；個(gè)人控制權(quán)的行使限制是否需要考慮到機(jī)構(gòu)商業(yè)利益（新加坡訪問權(quán)、更正權(quán)的設(shè)置，考慮到了機(jī)構(gòu)的更正成本與個(gè)人利益是否成比例）。在新興信息技術(shù)影響下，數(shù)據(jù)的聚合價(jià)值與二次使用價(jià)值凸顯，因此，在現(xiàn)有的個(gè)人控制權(quán)能范圍基礎(chǔ)上，《個(gè)人信息保護(hù)法》的具體完善規(guī)則可包括：適度削弱“通知-同意”作為數(shù)據(jù)處理基礎(chǔ)的作用，增設(shè)“合法利益”作為數(shù)據(jù)處理基礎(chǔ)；增設(shè)“選擇-退出”式“通知-同意”方式，適用于“改變初始收集目的與獲取明確同意成本高昂”的場(chǎng)景，同時(shí)確保“通知”的內(nèi)容詳細(xì)、呈現(xiàn)方式顯著，確?！巴顺觥毙惺沟暮侠砥谙蓿幌薅ā跋拗铺幚頇?quán)”與“反對(duì)權(quán)”的權(quán)利行使范圍；監(jiān)管部門公示“個(gè)人控制價(jià)值與數(shù)據(jù)流動(dòng)價(jià)值”的衡平指引，增強(qiáng)數(shù)據(jù)類別、安全保障措施、個(gè)人身份等客觀標(biāo)準(zhǔn)的權(quán)重，削弱個(gè)人主觀情感感知標(biāo)準(zhǔn)權(quán)重。

（二）“個(gè)人控制”與“機(jī)構(gòu)問責(zé)”并重

在新興信息技術(shù)的影響下，個(gè)人因分享數(shù)據(jù)而遭受損害風(fēng)險(xiǎn)集中在數(shù)據(jù)使用與披露階段。數(shù)據(jù)處理過程具有不確定性特征，應(yīng)當(dāng)轉(zhuǎn)變傳統(tǒng)以“規(guī)則”為基礎(chǔ)的監(jiān)管路徑，通過強(qiáng)化數(shù)據(jù)控制者的機(jī)構(gòu)責(zé)任，要求其在信息處理過程中建立符合機(jī)構(gòu)特征的數(shù)據(jù)保護(hù)方案。在“個(gè)人控制”體系外，兼顧與強(qiáng)化“機(jī)構(gòu)問責(zé)”實(shí)質(zhì)上是全球個(gè)人信息保護(hù)制度發(fā)展的重要方向。有必要在明晰個(gè)人信息立法核心價(jià)值取向的基礎(chǔ)上，進(jìn)行制度結(jié)構(gòu)設(shè)置。

《個(gè)人信息保護(hù)法》第五章為機(jī)構(gòu)設(shè)置了諸多的數(shù)據(jù)保護(hù)義務(wù)，而目前以保護(hù)個(gè)體人格尊嚴(yán)實(shí)現(xiàn)為核心價(jià)值取向，以嚴(yán)密的責(zé)任機(jī)制威懾機(jī)構(gòu)合規(guī)，可能會(huì)引發(fā)與歐盟類似的制度弊端——中小企業(yè)合規(guī)負(fù)擔(dān)過重而退出市場(chǎng)，人格尊嚴(yán)利益過于模糊而流于保護(hù)的形式。監(jiān)管部門可以結(jié)合責(zé)任威懾與行為激勵(lì)機(jī)制，針對(duì)不同的數(shù)據(jù)風(fēng)險(xiǎn)，設(shè)置不同的合規(guī)需求，并結(jié)合“信息關(guān)系”中的計(jì)算性信任特征，設(shè)置透明化、差異化與精細(xì)化的機(jī)構(gòu)合規(guī)指引。具體來說：對(duì)于數(shù)據(jù)安全風(fēng)險(xiǎn)，以責(zé)任威懾設(shè)置合規(guī)義務(wù)；對(duì)于隱私期待利益與主觀因素相關(guān)的部分，以處罰減免、第三方認(rèn)證的方式激勵(lì)機(jī)構(gòu)積極尋求用戶的隱私期待；引入“一般理性人標(biāo)準(zhǔn)”，為機(jī)構(gòu)設(shè)定不同場(chǎng)景中的合理數(shù)據(jù)處理行為指引，提高數(shù)據(jù)保護(hù)工作的可操性；公開監(jiān)管機(jī)構(gòu)合規(guī)指引與機(jī)構(gòu)數(shù)據(jù)保護(hù)方案，提升用戶感知信任。

五、結(jié)語(yǔ)

在“個(gè)人控制”立法模式選擇中，個(gè)人信息的三項(xiàng)核心特征所彰顯的個(gè)人控制價(jià)值，并非相互排斥與取舍，而是在權(quán)衡基礎(chǔ)上，進(jìn)行價(jià)值傾斜。這種價(jià)值的傾斜，需要考慮到區(qū)域的價(jià)值排序與信息技術(shù)的客觀發(fā)展。對(duì)于現(xiàn)階段我國(guó)個(gè)人信息保護(hù)立法設(shè)置來說，“信息技術(shù)發(fā)展”更應(yīng)該成為“個(gè)人控制”模式選擇的基本立足點(diǎn)。以矯正個(gè)體與機(jī)構(gòu)不均衡博弈結(jié)構(gòu)為目的，在個(gè)人控制規(guī)則設(shè)置中，平衡個(gè)體利益、機(jī)構(gòu)利益與公共利益，以透明化與差異化的數(shù)據(jù)保護(hù)方案，維系與增進(jìn)個(gè)體對(duì)數(shù)字經(jīng)濟(jì)發(fā)展的持續(xù)信任。