个人数据保护的过程性监督

古文

（湖北大学，湖北 武汉 430061）

一、大数据时代个人数据保护面临的挑战

数据是以电子化方式存储的信息，个人数据即为具有个体识别能度的电子信息。随着信息技术的发展，数据成为数字经济发展和社会治理的重要基础。但随着信息技术和数据产业的深入发展，这种互利共赢的局面正在被更大的利益驱使所打破，个人数据保护面临着不容忽视的危险和挑战。首先，在数据收集阶段，私营或公共部门通过各种追踪技术，在用户不知情的背景下进行信息挖掘；其次，现行技术通过对人们的关联性数据足迹进行分析，挖掘出数据主体有意识隐藏的信息，构建起完整的“数字人”，并获取和分析个人在线上、线下的所有行为。最后，在利用分析结果进行决策的过程中，使用者可能进行信息交换、共享，甚至是交易，导致个人信息被披露的风险随之增加。

在大数据时代，如何强化个人数据保护已经成为制约现代社会经济持续稳定发展的重要因素。从欧盟、美国等国家的实践来看，过去所奉行的个人控制论已经呈现出不足之处：“告知-同意”产生的“全有全无”架构导致了低效率和高成本之间的不平衡；“匿名化”面对“再识别”和“去匿名化”的侵袭，已经无法兑现“隐私保护承诺”。因此，迫在探求一种新的解决路径。“过程性监督”的个人数据保护模式不失为一种新的有利尝试。本文试图借阐述大数据时代“个人控制论”的局限性，论述为什么要采用“过程性监督”的个人数据保护模式，并以我国现行立法和实践为基础，提出在此方面的完善路径。

二、“过程性监督”为个人数据保护提供新思路

过程性监督是从欧盟2018年正式实施的《一般数据保护条例》（以下简称GDPR）中提炼出的一种更具时代特征的个人数据保护模式。它针对个人数据从收集、分析到应用的各个环节可能出现的数据滥用情形，对相关主体进行统筹设计，以构建出一个具有全局性、高效率的数据监管机制。以下将从三个角度深入阐述应用该数据保护模式的必要性和可行性。

（一）外部动因：“个人控制论”难以应对数据保护挑战

在对个人数据的界定上，欧美国家普遍将个人数据界定为人格权进行保护，并在宪法中确立了个人信息自决权这一基础性权利。但由于该权利不具有绝对的排他属性，数据主体仍然只能依靠散见于其他部门法的宽泛原则和行为规范对自身数据进行维护。此前的数据保护模式是实行个人控制论，为数据主体规定一系列数据权利、在数据主体与收集者之间采取“告知-同意”框架是实现个人数据自我控制的主要途径。

但在实践中，数据主体的权利很难得到实现：被遗忘权、删除权与表达自由和知情权等基本权利产生冲突，在实操中尚缺乏一个跨学科的综合方法执行该权利；而数据可移植权对于不具有专业性和识别性的主体很难操作；“告知-同意”框架通常表现为用户对企业隐私政策的同意，其隐含的假设是只要“告知”充分地描述了企业的行为，阅读并理解它的用户就能对这些行为有足够的认识，进而做出自主决定，使企业的数据收集与利用行为合法化。但该框架的执行存在两个问题：一是在数字企业隐私政策不透明、消费者面临较高学习成本的情况下，企业难以有效告知；二是在用户缺乏相应的决策能力或过于依赖相关服务的情况下，难以做出有效同意。以上问题为新型数据保护模式的产生提出了现实需求。

（二）理论支持：欧盟GDPR 中“过程性监督”的合理性

面对信息产业的红利，美国倾向于以行业自律的方式为企业发展留足空间、相对弱化对个人数据的保护。与此相反，欧盟在吸取原来单轨制数据治理模式的弊端后，从法律、社会治理以及信息产业等维度构建起个人数据双轨保护制，并通过规范各领域相关主体的行为实现数据保护的过程性监督。

在法律结构上，GDPR的一般条款明确了其所涉及的主要事项与目标、适用范围、地域管辖范围等，为确立场景化和技术化的数据保护理念奠定基础；同时，GDPR 中的“合法性、合理性和透明性”原则、“目的限制”原则、“数据最小化”原则等七项原则为数据保护提供了基本的价值遵循。

在数据收集阶段，GDPR 赋予数据主体知情权、规定数据控制者有提供信息的义务，减少了授权主体决策失误的情形。在数据分析阶段，赋予数据主体访问权、修正权、限制处理权等，规定数据控制者有“委任数据保护官”等义务，实现个人数据的有限挖掘。在数据应用阶段，GDPR 对数据跨境传输、数据共享和二次使用等特殊情形制定了严格的行为规范。此外，行政监管机构的监督存在于数据利用全过程，其在特定情况下可进行权力集中，如“一站式的跨境监管”，这增加了法律适用的一致性和确定性，也减少了数据控制者与信息处理者的行政负担。

GDPR 引入了问责制，数据控制者若无法证明其信息处理是在遵守条例规定下进行的，监管机构可依法要求所涉机构对外承担连带责任。同时，如若数据主体自我察觉个人数据被侵犯，可向监管机构进行申诉并要求行政赔偿；对于行政救济无法解决的事由，或当侵权方是监管机构时，数据主体还可以向司法机构寻求救济。

综上，GDPR 在明确其适用范围和数据保护原则的基础之上，通过设定数据主体权利、数据控制者的责任与义务、数据监管机构、行政处罚等内容，为个人数据收集、分析、应用的全过程构建起完整的监督框架。

（三）逻辑自洽性：“过程性监督”的价值分析

在个人控制论框架下，数据主体的同意是决定数据收集和使用具备正当性的重要砝码，但该方法具有相当的局限性。过程性监督具有全局性，即使企业通过非法手段获得了个人数据，但在此后的数据分析和应用阶段其仍然要受到相关技术标准的内在规制和行政监管机构的外在监督；其次，过程性监督体系具备有序性；美国学者乔尔·雷登伯格认为，个人数据保护是由政治模式、经济模式和技术模式共同完成的。在过程性监督体系中，表现为三方面：行政监管机构统筹法律的实施、数据控制者与数据主体之间遵循“告知-同意”的市场规则；数据处理者遵循行业内部的技术处理规范。此外，过程性监督体系还具备有效性；对相关主体及其权利、义务、责任进行勾勒是面，而在微观层面建立缜密的数据处理标准则是点，点面结合可以促使数据保护无懈可击。

三、“过程性监督”模式下我国个人数据保护规则的完善路径

（一）我国个人数据保护规则的不足之处

我国对个人数据的保护模式已呈现出“过程性监督”的雏形，但有关的数据保护规范散见于各类法律法规及相关文件中，如《民法典》《信息安全技术个人信息安全规范》等，专门的《个人信息保护法》还处于立法阶段。因此，有必要对当下的个人数据保护现状作出一定的反思和总结，以期在数据保护专门立法中对相关问题做出有效应对。

数据主体是数据收集过程的直接参与者，明确哪些数据是法律保护的对象直接影响到数据主体地位的界定。但我国在立法上缺少对各类数据的明确定义，导致数据主体模糊不明。其次，我国《个人信息保护法(草案)》尚未规定数据可携带权，导致数据主体无法获取与转移个人数据、引发数字平台的数据垄断和对消费者的锁定。此外，监管机构设置不完备；我国的个人数据保护主要由国家网信办和相关行业部门负责。但国家网信办主要以国家数据安全保护为工作中心，缺乏对大量普通消费者个人隐私数据的监管；而行业组织的自我监管缺乏法律的强制性，可能流于形式。最后，义务主体的责任不够具体和协调；企业和行政监管机构均是数据保护的义务主体，但现行立法对两者义务的规定过于原则，没有具体到操作规程和行为的合规性标准，并且二者在数据治理中各自为政，致使治理体系层次不清、治理效果甚微。

数据的动态利用使得数据流动过程中的权责难以分辨，因此需要在流通环节中设定相应的权利保障机制，但我国法律在此方面还存在如下问题：第一，数据收集阶段，传统收集公开原则和安全保障原则过于泛化，无法实现对个人数据的安全保护；第二，数据分析阶段，未明确企业的风险评估责任；第三，数据应用阶段，对数据共享和数据跨境传输没有制定详细的规则；第四，事后监督阶段，缺乏因政府行为而遭受数据侵害的公民进行赔偿的制度。

综上，我国的数据安全意识正在觉醒，相关法律法规及数据治理主体已经开展了一定的数据保护工作。但目前仍是点状的数据安全和个人隐私保护体系，各级数据治理主体之间的策略、措施存在较大差异，某些关键的数据治理规则存在缺漏，个人数据安全依旧存在风险。

（二）完善个人数据保护的“过程性监督”

专门性立法是数据治理的根基，我国应立法，从适用范围、数据保护原则、数据主体权利、控制者的义务等方面确立个人数据保护的法律框架。

政府、企业和个人要在整合现有规范的基础上进行合理分工、减少矛盾与缺漏，实现数据治理效能最大化。首先，我国应明确数据保护范围不包括匿名数据，这是界定数据主体的基础。明确数据主体享有的数据权利，如数据可携带权、反对权等，使数据的市场化流动受个人权利的控制，促进市场竞争和消费者的自主选择。其次，我国应该加强国家网信办对个人数据的监管职能；明确数据监管机构的主要职能是对隐私政策、信息保护影响性评定的合法性审核；最后，企业内部要建立完善的数据处理规则：1.选派专人执行数据合规工作，加强对内部员工的培训；2.完善数据处理流程；及时检测并建立个人数据泄露应急机制。3.不具备数据合规测评能力的机构，可通过第三方企业进行合规分析和漏洞检测。

行政救济层面，完善数据主体投诉、受理及处理的行政救济措施，对违反行政监管措施的数据违法收集和滥用行为进行罚款。司法救济层面，对个人寻求损害赔偿的救济程序、赔偿额的确定等问题做进一步的细化。

综上，在数据保护面临严峻困境的情况下，过程性监督的数据保护模式通过赋予各类数据主体不同的数据保护义务，实现对信息收集、分析和应用全过程的监督和引导，而非仅将重心聚焦在是否通过正常途径采集信息的行为上，可以促进数据保护的全局性、有序性和有效性。我国在个人数据保护的专门立法当中，应该融入此种理念，完善数据保护的框架体系和权利保障机制。