数据保护的社会维度
——从美国、欧盟数据监管模式展开

戴艺晗

(华东政法大学 上海 201620)

当今世界上存在两种主流且相互竞争的数据监管模式，一是建立在“通知和选择”基础上的分散立法模式(美国)；二是建立在“个人数据保护”基础上的统一立法模式(欧盟)。这两种监管模式都从个体隐私的角度出发看待数据管理的社会成本问题，都关注个人利益而非集体利益[1]。本质区别在于美国数据监管模式以市场逻辑为基础，欧盟数据监管模式以人权逻辑为基础。美国的数据监管模式是部门性的，以市场为导向、以自律为基础；欧盟的数据监管模式是全面的、统一性的[2]，根植于以隐私权为主的人权。两者皆为了维护个人利益而建立，保护的客体是能够识别自然人的有关数据，没有充分考虑匿名数据处理所导致损害后果的可能性，也没有充分考虑被大数据算法分析归类为群体的权利和利益，同时也忽略了数据处理对整个社会存在的潜在影响。

1 数据监管的美欧模式：专注个人利益，忽视集体、社会利益

1.1欧盟数据监管模式欧盟的数据监管模式致力于保护数据主体的人权，例如《通用数据保护条例》(General Data Protection Regulation，以下简称GDPR)围绕数据主体构建，数据主体既是主要的保护对象，也是权利的持有者。欧盟GDPR于2018年5月正式生效，取代了《关于在处理个人数据和此类数据的自由流动方面保护个人的第95/46/EC号指令》(Directive 95/46/EC on the protection of individuals with regard to the processing of personal data and on the free movement of such data，以下简称95/46/EC号指令)，标志着欧盟统一个人数据保护机制的建立。欧盟以GDPR为核心的数据保护机制经常被描述为以“用户为中心” (user-centric)，其基本要素在于用户在获得服务时的选择自由和用户对自己在线活动行使控制的能力[3]。GDPR第4条(1)款将个人数据定义为“任何已识别或可识别的自然人(“数据主体”)相关的信息”，此定义表明GDPR的利益框架构建在人格权和隐私权的基础上[4]。

事实上，欧盟长期以来都主张隐私权是个人数据保护法所保护的首要权利，如95/46/EC号指令第7条明确其权利基础是保护个人权利和自由，特别是与数据处理有关的隐私权。欧盟官方立场认为个人数据保护权是一项独立的权利，同时与隐私权息息相关[5]。根据欧盟法院(Court of Justice of the European Union)在谷歌西班牙案中的判决，由于处理个人数据会对隐私权构成内在威胁这种风险的存在，因此只有在法律允许并决定数据使用方式的情况下方可进行数据处理[6]。隐私权和数据保护作为基本人权受到《欧盟基本权利宪章》(Charter of Fundamental Rights of the European Union)第7条和第8条的保护，欧盟数据监管模式正是基于这一前提。此外，将数据主体限定为自然人表明GDPR以个人权利为中心，当数据不能直接与“已识别或可识别”的自然人联系到一起时，GDPR就不发挥规制效力，此规定忽视了大数据具有的“同一性”悖论，即大数据试图以牺牲个人和集体身份为代价进行识别[7]，在个人数据利益和人聚合为一个群体的数据利益之间存在一个没有被GDPR涉及的空白地带。

1.2美国数据监管模式美国并未像欧盟一样制定一部包罗万象的统一数据保护法规，而是采取了部门分散立法模式，在联邦层面根据特定行业分别制定数据保护法律和法规，同时与州一级的立法相结合来保护公民的数据。美国规制数据利用和隐私义务的部门法(联邦一级)和州法律通常基于消费者保护模式[8]，体现在美国联邦贸易委员会(Federal Trade Commission，以下简称FTC)在数据监管中扮演的广泛角色，FTC肩负着保护消费者和促进竞争的双重使命，致力于促进消费者的利益，同时鼓励在充满活力的经济中创新和竞争，FTC已经成为美国主要的隐私执法机构之一。FTC在其报告中明确支持 “通知和选择”(Notice and Choice，有时也称为“通知和同意”(notice and consent))的方法，并为此方法的实施提供了指导方针[9]， 在美国其他以消费者为中心的隐私立法中得到了广泛认同，例如，通知和同意是构成美国某些重要州法律的关键要素，如2018年的《加州消费者隐私法》、2008年的《伊利诺斯州生物特征信息隐私法》等。因此，“通知和选择”成为美国当前确保企业在线数据收集和使用的实践和范例。“通知和选择”最早可追溯于“公平信息实践”(Fair Information Practices)原则，即1973年美国住房、教育和福利部(U.S. Department of Health Education and Welfare)在一份有影响力的报告中首次提出的一套保护信息隐私的原则[10]， 此套原则于1977年由原来的5项扩张为8项，即公开原则、个人访问原则、个人参与原则、收集限制原则、使用限制原则、披露限制原则、信息管理原则以及问责原则[11]。在欧洲，公平信息实践原则有很大的影响力，直接导致欧盟采取综合性的隐私保护，与之相对比的是，美国在规范消费者隐私方面采取了一种更为市场化的方式[12]。

“通知”是条款的表述，通常包含在隐私政策或使用条款协议中，目的是告知访问者使用服务时将被收集的数据类型、使用数据的目的以及与之共享的第三方等数据收集和使用的具体细节。美国法院将通知视为合同，如果访问者被给以足够的机会阅读和理解一个通知，并且该通知充分描述了企业的数据收集和使用惯例，访问者的同意将被视为知情[13]。“选择”是一个表示接受条款的动作，通常是点击“我同意”按钮，或者只是单纯使用网站。美国的“通知与选择”模式建立在“隐私自我管理”的基础上，人们可以自行衡量数据收集、使用或披露的成本和收益[14]，侧重于鼓励个人消费者表达其市场偏好。 “通知和选择”模式的内在逻辑是以个人为中心、以市场和行业自律为基础，其形成的总体意识形态基于以市场和个人为中心的经济自由主义，与欧盟GDPR一样，专注于个人利益，忽视了数据处理对集体、社会利益的影响。

2 数据处理对集体、社会利益的影响

当今社会，个人数据被获取的压力无处不在，数据处理的利益和风险不仅影响个人，还有可能影响集体甚至整个社会。

2.1数据处理对集体利益的影响搜索引擎通过浏览记录推断用户是女性，继而向其推送薪酬较低的职位；线上购物网站通过购买记录推断用户是老客户，继而就同一种产品向其收取更高的价钱；社交网站通过用户的关注了解其朋友圈，继而向其推荐“你可能认识的人”；保险公司通过用户所住的街区推断其收入状况，继而决定是否为其投保，所有这些之所以成为可能，并不是因为用户直接公开了自己的性别和财富等，而是其所披露的一些零碎信息，如上网轨迹、购买记录等，在与数百万其他人的数据进行整合和分析后，进而推断出关于该用户的这些事实。不论在公共场所还是私人领域，我们的数据和信息一直在被收集：每周去几次咖啡馆、一年花多少钱点外卖、采用什么交通工具上下班、最常去的商场、最喜欢的口红品牌、喜欢读纸质书还是电子书等等，这些反映个人生活习惯和偏好的数据和信息被收集后，通过编制整理、挖掘分析，将我们归结到不同的群组中，继而用于各种商业目的如产品推销。然而我们对数据在哪里被泄露、如何被处理一无所知。大数据环境下，网络服务提供者可以使用匿名数据创建群组配置文件，减少了个人采取行动反对自己在群体中的偏见表示或访问数据处理机制的机会，因为用于群体分析的匿名信息不具有可识别和已识别性、不能与特定个人直接联系起来。尽管如此，大数据分析使做出同时影响多个个体的决定成为可能，从这个意义上说，大数据处理的依据和主要目标不是单个数据主体，而是大数据采集者创造的数量庞大的未定义群体，也可以称为“特别小组”(ad hoc groups)[15]，因此，相关利益具有“超个人”性和集体维度，在现有的数据保护法律框架中未得到充分保护，因为规制隐私和个人数据保护的法律机制只有在处理与“可识别或已识别”相关的个人数据时才会触发(GDPR 第4(1)条)。此外，在数据分析的社会中，单个个体个人信息被披露会使得网络服务提供者借此推断出关于他人的新信息，从而给其他人带来影响[1]，如某个“特别小组”的其中一个成员未按时偿还贷款的行为会增加其未来贷款的难度，这些变化以及基于这些变化的决策(例如，把“特别小组”纳入贷款高风险组)会影响小组的所有成员，包括大数据分析系统尚未观察到的成员。

大数据算法分类中，个体成员的身份是通过对群体的认识来确定的[16]。大数据分析可以从大量的数据中推断出预测信息，从而进一步了解被分析的个人和群体，此外，分析通过定性属性和习惯( 如年龄超过35岁的IT人员、月收入超过一万块的职场妈妈、追求生活品质的白领 )将人们分组，并预测这些群体的未来行为。大数据分析使用数百个不同的变量来进行预测，在许多情况下，这些变量所关注的方面与分析所创建的最终概要并不明确相关，与此同时，用户通常不知道这些形式的数据分析以及信息可能会对他们自身或其他小组成员产生的影响[17]。最后，决策者利用大数据分析产生的结果做出影响个人和群体的决策，但不允许他们参与决策过程，作为自然人的单个数据主体也无法反对大数据使用匿名数据进行的分析、预测和使用，因为被用于分析的信息和数据不能识别到具体的个人。企业根据这些非识别数据进行精准营销、行为分析决策等，虽然没有侵犯隐私和数据保护权，但就整个社会而言，其影响并无任何改变。

随着数字经济的主体从个人数据作为基础和关键的大数据定向广告，转向全行业基于数据的智能管理和决策活动，匿名和汇总的数据正变得越来越重要。许多情况下，从事基于数据收集、分析和自动通信等商业活动的服务提供者实际上不需要知道用户的姓名、身份证号、家庭住址或其他任何个人信息，他们需要知道的是用户的行为方式和生活习惯等，因此这些服务提供者需要以某种方式跟踪其用户(例如，为用户的浏览器或设备分配一个唯一编码)。从法律上讲，这些服务提供者根本不愿意知道用户的身份，因为越不知道用户是谁，法律上的限制就越少，他们就有越大的权限分析挖掘用户的数据，将用户分类到不同的群组，定义甚至歧视这些数据被收集、分类、分析的用户。事实上，大数据算法分析带来的歧视和差异的影响越来越普遍：美国一项用于评估被告未来再次犯罪风险的系统技术被发现歧视黑人[18]；英国一种用于作出拘留决定的算法被发现歧视了收入较低的人[19]。网络提供者的不公平政策和控制形式针对的是被大数据分类的整个群组，这就是为什么基于“个人可识别和已识别”的数据规制方法不能完全匹配数据分析社会存在的潜在风险，在个人和社会利益最受威胁的情形下，基于隐私保护的数据监管机制可能不会被触发。一方面，与信息相关的个人行为存在外部效应，在披露一些个人数据时，也间接地披露了其他人的信息，虽然没有给其他人带来实际的伤害，但增加了潜在伤害的可能性，允许一家公司收集和研究某特定用户的信息，即使假设此用户完全清楚自己的数据将被如何处理，也会给其他人带来成本(或至少做出一个影响他人的决定)[1]。在大数据决策和分析中每个人都是整个拼图中的一小块，社交网站根据A的朋友圈推断出他可能认识的人B，B注册社交网站后再也没登陆过，但是也出现在了“你可能认识的人”列表中，根据A朋友圈关系的披露，B的朋友关系网络也被披露了。而在匿名状态下对他人和群体造成伤害的可能性是当前数据监管模式的盲点。

2.2数据处理对社会利益的影响数据的利用能提高决策效率、更好地为用户提供个性化服务，预测风险以及鼓励科技创新。要实现这些好处，就需要至少在某种程度上放弃对个人数据的控制，这种放弃有可能导致隐私的丧失。消费者愿意在多大程度上放弃隐私以获得数据处理的好处取决于对利益和风险的清晰衡量和认知。大数据的生命周期分为4个阶段：a.收集；b.编制整理；c.数据挖掘与分析；d.使用。大量(Volume)、高速(Velocity)、多样性(Variety)、价值性(Value)是大数据具有的四大特点[20]。大数据算法分析通过数字画像来描绘一个人的外在形象和内在偏好，把人们归入不同的群组中[21]。被束缚在信息茧房中的普罗大众，每天接收的信息都是经过算法过滤的，算法只会保留并推送他们感兴趣的信息，在日复一日的重复中，大众的偏见和偏好会固化，变得不再能够接受异质化的信息和不同的观点，从而进入了一个封闭的系统，在这个系统中，群体成员与外界的交流大大减少，群体成员的观点和间接趋同也大大减少，沉浸在自己的话语场中，最终导致群体极化和社会粘性的丧失[22]。此外，打着改进服务质量、提供个性化服务名号收集、分析和保留的数据可能被用于各种用途，如价格歧视，或评估个人是否有资格拥有信用卡、健康保险，是否能贷款等，进而影响商品和服务的公平分配，长期来看会影响整个社会的发展[13]。大数据分析对选民的筛选与广告投放还可能导致政治操纵，影响整个社会的民主进程，例如，美国总统大选中，为了确保获胜，两党都在使用大数据对选民进行微观目标定位，信息的高度精确使得总统候选者的幕僚能够通过强大且高度定制的信息来针对个人选民。曾参与特朗普2016年竞选活动的数据分析公司剑桥分析(Cambridge Analytica)及其关联公司战略通信实验室(Strategic Communications Laboratories)窃取了5000万脸书(Facebook)用户的数据，通过分析脸书用户的行为模式、个性特征、价值取向和成长经历后，有针对性地推送信息和竞选广告，影响了这些选民在美国总统大选中的投票[23]。

当前的数据保护立法模式赋予数据主体决定如何管理自己数据的权利，这些权利主要通过给服务提供者设定通知、查阅及征得同意后收集、使用及披露个人数据等义务来实现。通过这种设定，人们可以自行决定如何衡量收集、使用或披露信息的成本和收益。“通知和选择”模式没有充分考虑整体的社会利益和群体利益，消费者对企业数据收集实践及随之而来的好处知之甚少，即使企业的通知里可能已经包含了所有相关信息，即使所有消费者都阅读和理解了通知，鉴于消费者做出这种知情和理性决定的实际能力与隐私自我管理所设想的愿景相距甚远[14]，“通知和选择”的效果最终难以让人满意。此外，作为数据主体的自然人的权利固然重要，但对数据主体权利的保护并不能使我们免受数据处理的其他社会成本和因素的影响。充分平衡利益和风险所需的信息涉及到在很长一段时间内展开对复杂的全社会后果的衡量，当我们转向复杂的现实问题时，信息缺乏问题变得尤为严重[13]。必须平衡数据处理和使用对整个社会的长期影响。正如詹姆斯·鲁尔(James Rule)所说的，要想在哪里以及如何与无休止的、渐进式的隐私侵蚀划清界限，需要一种整体的视角[24]。

欧盟数据保护框架根植于隐私意味着人们通常将信息隐私的丧失视为唯一的，或至少是最重要的风险。然而，由于事物是普遍联系的，这种“单一”风险包括各种具体后果。在工业社会中，隐私信息作为私人领域的一部分，通常不会被利用，因此隐私的目的是防止外界的不当利用；然而在信息社会，信息共享成为常态，隐私信息“溢出”到传统领域，进入非本地社区的“陌生人关系”领域[25]。对单个个体数据的处理可能造成的蝴蝶效应，只有通过群体行动、采用整体的观点看待问题，数据才能得到更好地保护。信息哲学家卢西亚诺·弗洛里迪(Luciano Floridi)提出数据保护的过程中有两种道德责任，即促进人权和改善人类福利，这两种道德责任需要相互协调[26]。改善人类福利关系到作为一个整体的整个社会的利益和秩序，数据的控制者和处理者有遵守法律规范确认的市场秩序以及维护社会公共利益的义务，这个义务没有指向特定的数据权利人，而是指向作为整体的社会。如果只关注个人数据和隐私权就可能忽视这部分由整个社会享有的秩序，因为数据不当利用和分析的影响不仅局限于个人，更是辐射到整个社会。

数据利用的成本和利益应该从整体和累积的角度来评估，而非仅仅从个人层面，换言之，数据的处理和使用不应该只关注隐私和数据保护，而应该把关注点放大到更宏观的数据分析、处理和使用所需要付出的社会成本。在许多情况下，隐私保护具有分配效应：对一些人有利，对另一些人有害，人们对自己隐私的决定影响社会，而非仅仅影响他们自己[27]。同样，数据的处理和使用不仅影响个人权利和个人利益，而且影响整个社会的质量。网络服务提供者在抓取数据的同时筛选出特定的个人属性、消费/使用习惯和服务偏好，这些数量巨大、包罗万象的直接和衍生个人数据推动了无数的政府和商业决策，决策的过程与数字身份的创造密不可分。由于大数据分析的预测性本质是帮助影响不同领域的多个个人的决策，我们还必须考虑与这种类型的分析相关的社会和道德影响[28]，以期回答当前和未来数据化社会所面临的问题。

3 数据规制的应然选择

我国正在逐步完善数据规制体系，数据监管的设计要超越个人利益，将集体和社会利益考虑在内，并从个人利益和社会利益的角度分别出发，区分数据的披露和数据的使用。

3.1区分数据披露和数据使用个人数据的披露和个人数据的使用属于两种截然不同的社会现象，但在谈论隐私的过程中往往被混为一谈[1]。如我国《民法典》第1032条赋予自然人以隐私权，“任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人隐私权”。《民法典》第1033条规定除法律另有规定或者权利人明确同意外，任何组织或者个人不得处理他人的私密信息。《民法典》第1035条进一步补充说明：“处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等”。换言之，收集、存储、使用、加工、传输、提供、公开等方式处理他人的私密信息属于侵犯他人隐私范畴。然而，在隐私领域，个人数据的披露、公开和个人数据的其他处理，特别是数据的使用应该区别对待，隐私一词应该用来谈论前者，而后者应该成为数据管理的领域[1]。例如，A喜欢在网易云上听摇滚音乐，他不希望他的同事通过读取他的歌单从而了解他喜欢听摇滚音乐这一事实，与此同时，A很希望网易云给他推荐类似的音乐以丰富他的摇滚曲目歌单。又如，B在新浪微博上分享了一张自己的照片，B不介意他的朋友看到或者转发这张照片，也不介意新浪微博将这张照片公开或者披露给其他使用微博的所有用户，与此同时，B不希望新浪微博或其他任何人利用这张照片来开发人脸识别技术，或者作为机器学习的素材学习如何识别他的脸。A不希望其数据被公开和披露这一事实并不意味着其反对自己的数据被使用，反之亦然。用一个词“隐私”来指代这两个问题，会导致概念上的混乱[1]。

随着数字经济日益渗透到大多数经济关系中，对各种数据的访问、控制、利用决定了相关参与者的相对经济优势或劣势，这与隐私是完全不同的问题。隐私权主要与亲密性和保密性有关，信息的披露是个体权利的范围，数据匿名化之后的利用不会触发隐私权和数据保护机制。数据利用关系到整个社会的利益，不能把隐私和数据保护作为阻碍数据利用的理由，同时要对数据利用进行规制，规制要立足于社会利益，把改善人类福利放在首位。数据处理的社会维度主要关注数据的使用，而非信息的保密、信息的公开以及信息的披露。信息的披露和公开应当优先考虑个人利益，数据的其他处理尤其是数据的利用应当优先考虑社会和集体利益。企业的同意告知说明也应该区分数据的披露与数据的使用，分别通知，分别同意。

3.2从个人利益转向社会利益考量尽管数据经常被描述为21世纪的“新石油”，即21世纪的宝贵资源，但其“非竞争”和“不可替代”性使得它与 “石油”截然不同：“非竞争性”指的是数据可以被反复多次使用，而不会失去其固有价值，不像石油，一旦被使用，数量会减少，这意味着数据可以在数据处理者、数据使用者和数据所有者的控制下以最低的成本重复使用；“不可替代”性指的是一个数据不能被另一个数据替代，一罐油与另一罐油几乎一样，然而每一个数据的价值都是独一无二的[29]。这两种特性结合在一起，就形成了独特的数据经济学，即任何单一数据点的价值都可能是最小的，但它们一旦聚合起来会变得非常有价值，因此，企业潜在的驱动力总是收集尽可能多的数据，以便分析和提取尽可能多的价值，同时，在竞争条件下，也寻求排除其他人访问相同的数据集[29]。

相对于传统的物质产品，数据的规模经济意义深远且独一无二，从前认为数据无独立的价值，其价值性取决于信息的内容[30]，现在看来，数据的价值不仅取决于信息的内容，还取决于数据聚合的程度以及数据与数据之间的连接关系。单个数据对单个个人用户可能具有一定的价值性，比如家人的电话号码和通话记录，但对整个社会几乎毫无价值，只有对数据进行收集、整理、挖掘和分析，整个社会才能利用和宣称其价值，数据的力量和价值在于其聚合和组合的可能性，而非单个数据本身[29]。

在互联网时代，信息隐私保护的对象和方法发生了很大的变化。从对象的角度看，信息隐私保护的重点不再是现有的个人信息，而是数据主体享受互联网服务过程中产生的大量数据以及由企业和政府挖掘处理后仍然带有个人特征的数据；信息隐私保护的重点已不再是保密或不公开，而是全面保护数据主体在数据自由流动和合理利用中的权益，传统的隐私权和人格权无力应对这些变化[5]。无论在中国还是西方，在以权利为代表的个人主义思想下，法律权利都是个人权利。也就是说，法律权利是个人(自然人或组织)的权利和私人的权利，都是为了维护私人利益[30]。然而社会的发展不仅需要保护从人类个体出发的私人利益，也需要保护从社会出发的公共利益，个体私利以权利的形式得到了法律的确认，社会公共利益也应以权利的形式得到法律的保护[31]。在互联网时代，信息立法和规制的重点应当从立足于个体隐私权的保护转变为数据利用和处理过程中对集体(例如，被大数据类型化区分的一个群体)甚至整体社会利益的维护。数据利用和处理过程中产生的很多对社会影响的情形和因素都与隐私和数据的披露无关，有可能发生数据利用对其他个体、集体和社会造成了损害，但是以“可识别和已识别”数据为保护对象的数据保护规则未被触发的情形。大数据不当利用直接侵犯的是集体的权利而非个体的权利。长远看来，大数据分析造成的数据茧房、歧视问题对整个社会的影响不容小觑。

权利的不平等使得相对于个人而言，监管当局能更好的将集体和社会利益考虑在内。首先，信息处理技术的快速发展催生了新的商业模式，美国的“注意和选择”方法不能通过强迫使用服务来应对变化，有必要制定新的规范。适当的信息规范管理在线数据的收集和使用时，应该既确保访问者自由且知情地同意这些做法，又能在保护隐私和处理信息的好处之间做出可接受的整体权衡。其次，国家监管机构在某些情况下采用的许可模式是评估与特定技术或商业模式有关的风险和防止威慑不足的一种可能的解决办法，可以引入数据影响评价制度，将数据利用设定为公共评估、法律以及管制干预的明确主题，包括对现有数据可识别性、入侵和披露程度的积极公开监控和评估，以及对决策和结果的数据驱动选择，如行为的调整[32]。这样，公众会拥有一个更大的集体意识，即他们的剩余隐私哪些具体方面会进一步受到个人和集体的损害，以确保特定新技术和服务的承诺利益。[32]

基于匿名数据处理的大数据歧视、数据茧房、数据分化等成本在概念上有别于“隐私”问题，在当代隐私法中没有被计算在内。智能联网设备的广泛使用使得服务提供商能够持续不断地收集数百万用户的数据；机器学习等数据分析技术使公司能够从庞大的数据库中发现群体的行为和爱好等模式，并从中推断出新的知识，预测未来行为；人们对在线交流的依赖，使得公司有可能进行自动化、个性化的交流并根据交流中获取的知识采取行动。对个人信息的收集会对其他人产生影响，数据立法的关注点不能只放在私人利益上，而是要立足于集体和社会利益。除隐私和数据保护之外，对促进个人生活更便利和更安全的需求也应该成为决定数据使用和监管方向的一股重要决定力量。隐私、数据保护和改善人类福利之间的关系需要重新衡量。数据和信息法律体系旨在促进政府和商业机构对个人数据和信息的访问和使用，例如，在传染病大流行期间，倘若多个个体分别提供其生物特征数据就可以找到疾病的新疗法，疗法对个人所属的社会是有益的，那么社会利益应该摆在个人利益之前。我们是社会的成员，确保社会利益是实现个人利益的前提，个人利益要服从集体利益。特殊情况下，数据收集和使用的决定者应该是整个社会，而非个人，社会应该对这些行为的限度有发言权。此外，当一个服务在社会生活中占有特殊位置且很难被取代，使得公众非常依赖它时，我们就可以假定该服务与公共利益的实现有着非常直接的关系，以此衡量，与数据有关的很多服务如搜索引擎就具有显著的公共性[33]。包括百度、谷歌在内的科技公司每年从用户身上获得的数万亿千兆字节的数据，大部分由这些公司私人持有，而非用于公共利益。需要国家加强对大型科技公司的监管，让宝贵的数据资产得以共享和开源使用，更好的为社会利益服务。

4 结 论

美国与欧盟的个人数据监管模式皆专注个人权利，忽视集体和社会利益。数据监管不应该只关注个人隐私或数据保护，而应该把镜头拉远一点，把关注点放在更宏观的维护社会利益以及改善人民福利上。这就需要将数据的披露与使用区分开来，从保护个人权利出发规制数据披露，从维护社会利益和改善人民福利角度出发考虑数据利用。数据规制的出发点应该从个人利益考量逐渐转向社会利益考量，将社会整体利益摆在个人利益之前，让数据更好地为维护整个社会的利益和秩序而服务。