个人信息保护制度“个人控制”模式的立法选择

◇谢尧雯

一、问题的提出：“个人控制”模式的发展与选择

《公平信息实践规则》作为当代信息隐私保护制度基石，其创立的“个人控制”原则成为全球个人信息保护的制度核心。“个人控制”意指个人对个人信息的收集、存储、使用等数据处理行为享有控制权能。在数字社会中，“个人信息”具有三项核心特征，“个人控制”亦因这三项特征呈现三种制度价值。从实践发展来看，“个人控制”原则的立法发展，现已形成三种模式：倾斜“实现个人自决、发展自我”价值实现的欧盟模式；倾斜“维系与增进信任关系”价值实现的新加坡模式；倾斜“建构数据交易市场”价值实现的美国模式。

我国在数据治理的监管议程设置中，已经明晰了“个人信息”的三项核心特征，《民法典》将“隐私权和个人信息”置于“人格权编”，中共中央、国务院印发的《关于构建更加完善的要素市场化配置体制机制的意见》将数据作为数字经济发展重要的生产要素。尽管我国个人信息保护立法并未明示个人控制的核心价值，《个人信息保护法》对各项个人控制规则的设定较欧盟更为倾斜“人格尊严价值”实现的立法理念。“隐私”本质上是在探寻个体与外界的边界，因此，信息隐私制度理念与规则必然与一个社会的价值排序、信息技术的发展紧密相连。比较借鉴欧盟规则一直是我国个人信息保护制度设置的核心，这种借鉴是否考虑了信息隐私规则的区域差异性、是否回应了信息技术的发展,值得我们进一步探究。《个人信息保护法》的实施，仍需要出台系列实施细则，对个人控制制度予以细化。基于此，本文探讨“个人控制”三种模式发展的区域背景、信息技术回应性，探求个人信息保护法制度关于个人控制规则设置的完善方向。

二、“个人控制”模式的类型化发展

（一）基于人格尊严保障的“个人控制”

个人信息作为识别个体的工具，彰显一定的人格利益属性。出于对二战的反思，欧洲各国宪法与欧盟宪法性文件尤为重视人格尊严的保障。欧盟的个人信息保护制度中的“个人控制”规则设置目标，倾斜于实现以“个体自决与发展自我”为内核的人格尊严价值。欧盟《1995隐私保护指令》以成员国为规范对象，在OECD1980《公平信息实践规则》的基础上，发展以“个人控制”为核心的数据保护体系。里斯本条约生效后，《欧盟基本权利宪章》具有约束成员国的法律效力，而《宪章》第8条确立的“个人数据保护权”将信息隐私正式立基于宪法基本权利地位。

2018年《通用数据保护条例》（以下简称GDPR）以成员国公民为直接规范对象，在1995指令规则基础上，建构更为全面与严格的“保障个体人格尊严”数据保护体系。欧盟以实现“个体自决与发展自我价值”为核心的“个人控制”模式的具体规则体现为：

其一，数据主体对数据处理程序享有高度的控制权能。GDPR为数据主体设置选择权、同意撤回权、删除权、访问权、限制处理权、反对权、可携权、更正权、不受完全自动化决策约束权等一系列控制权利，数据主体据此对个人数据是否被处理以及如何处理享有高度的自主决策权能。GDPR对“通知-同意”的形式进行了严格的“选择-进入”规则，在作出同意交付数据后，数据主体有权撤回同意；请求更正个人数据与删除个人数据——根据第29工作小组的释义，更正与删除的个人数据包括用于分析个人画像的输入数据（数据主体主动提供的数据与数据控制者观测的数据）与输出数据（个人画像）；①Article 29 Working Party, ‘Guidelines on Automated individual decision-making’ (n 143) 17–18.请求携带数据至其他服务主体；限制数据控制者的处理程序。

由于数据主体存在固有的认知偏见，为确保个体尊严与个人自决的充分实现，欧盟监管部门为信息隐私设定“不可剥夺性规则”②See Paul M.Schwartz, Property, Privacy, and Personal Data,HARV.L.REV,Vol.117,No.7,2004.，对私人合意的信息处置行为进行限制。GDPR中的“信息隐私不可剥夺性规则”主要体现在三个方面：一是对基于“合同”而进行的个人数据处理活动进行限制，数据控制者不得通过“同意与合同履行”捆绑的方式，在合同履行必要之外收集个人数据。二是为数据控制者施加“数据最小化义务”，要求个人数据的处理对实现处理目的而言适当、相关与必要。三是为数据控制者施加“限期存储义务”，要求个人信息或数据的存储时间不得超过实现其处理目的所必需的时间。

其二，以数据主体人格尊严实现为核心基石，确立“个人数据控制价值与数据流动价值”的平衡标准。个人控制会构成对数据自由流动的限制，欧盟监管部门权衡个人控制价值与数据流动价值集中在两个方面：一是在“通知-同意”规则外设置个人数据处理的其他合法性基础。二是为“删除权”的行使限定条件。由于“人格尊严价值”具备抽象、开放与主观性特征，判定推动数据流动价值实现的数据处理行为对数据主体人格尊严减损程度存在高昂的制度成本。

根据GDPR第6条之规定，个人数据处理的其他合法性基础包括：完成合同所必要，完成法定义务所必要，保护数据主体或第三方重大利益所必要，实现公共利益所必要，实现数据控制者或第三方合法利益所必要。其中，“合法利益必要”涉及到数据控制者的利益实现，相关的利益权衡机制尤为复杂。在选择“合法利益”作为数据处理合法性基础时，数据控制者需要进行：目的测试，判定是否存在合法利益；必要性测试，处理数据对于实现目标是否必要；平衡测试，合法利益是否高于数据主体的利益、基本权利与自由。尽管第29工作小组颁发指南，对“平衡测试”指引一系列的客观化操作细则，包括考虑被处理数据的性质、数据处理的方式、数据主体的合理期待、数据主体与数据控制者的博弈力量对比，以此指引数据控制者判断数据处理对数据主体造成利益减损的概率以及利益减损的程度，但由于“人格尊严利益”的不确定性与主观性特征，数据处理对数据主体造成的影响在实践中难以判定，“平衡测试”的客观可操作性不高。根据第29工作小组发布的指南，利益权衡应当将数据主体的所有利益都予以考虑，这些“利益”既包括可计量的经济损失，亦包括难以数量化的情感与认知负面影响——破坏声誉，削弱谈判能力，削弱数据主体的自治权能，因缺失对个人数据的控制而带来的刺激、恐惧、失望情绪，因感到被“监控”而被扼制研究与表达。在基于“合法利益”处理数据后，数据主体有权反对数据处理程序，除非数据控制者对“合法利益高于数据主体利益、权利与自由”提出令人信服的理由，这更限缩了“合法利益”的实践应用。

删除权的核心适用场景包括两种：一是以“告知-同意”为基础的数据处理行为，数据主体撤回同意；二是以“其他合法性基础”的数据处理行为，数据主体申请删除相关数据。在第一种场景中，GDPR赋予了数据主体压倒式控制权能，即不论数据处理的公共利益如何，只要数据主体撤回同意，数据控制者应当删除其留存的个人数据。第二种场景实践主要应用于原始网站与搜索引擎，对应的复杂利益衡量公示分别为：对基本权利的侵犯(信息性质/敏感度*扩散范围+个人成像风险) v.公众获得此信息的利益+网页的言论自由；对基本权利的侵犯(信息性质/敏感度*扩散范围+成像风险) v.公众获得此信息的利益。①蔡培如.被遗忘权制度的反思与再建构[J].清华法学,2019(5).

（二）基于信息关系维系的“个人控制”

个人通过分享“个人信息”，与他人或社会群体建立不同亲密程度的社会关系，而“个人信息”被分享后存在被泄露与滥用进而减损个人经济利益、伤害个人情感的风险。个人通过分享信息建构社会关系的情感动机可比拟为“信任”。社会学意义中的“信任”是指在他人存在客观能力伤害自己的情形下，相信他人能够以自己利益行为。②Claire A.Hill&Erin Ann OʼHara,A Cognitive Theory of Trust,Wash.U.L.Rev.,Vol.84,No.7,2006.在此意义上，个人通过分享个人信息，与数据控制者形成一种以信任为基石的信息关系。

新加坡《个人数据保护法》于2012年颁布、2014年施行，以OECD《个人数据隐私和跨境流动保护指南》、APEC《亚太经合组织隐私框架》确立的公平信息实践原则为基本框架。自2017年以来，新加坡政府开始反思传统以个人绝对控制为核心的数据保护模式。基于公开发行的监管文件与征求意见，这种反思主要集中于三个方面：个人绝对控制是否能够给予个人充分保护、个人绝对控制是否客观可行、个人绝对控制是否促进数字经济的发展。③PDPC.Public Consultation for Approaches to Managing Personal Data in the Digital Economy,27 July 2017.在对这三个问题给予否定的情形下，新加坡数据保护委员会开始逐步弱化机构对个人控制合规的执法监督，加强对企业内部问责的监督指引，并以“维系与增进消费者对机构与监管部门信任，将新加坡建成为数据信任中心（Trusted Data Hub）”为目标，修订《个人数据保护法》。④Personal Data Protection Commission, Media Release-Personal Data Protection Commission Introduces Three Initiatives to Strengthen Accountability Among Organization and Encourage Data Innovation,22 May 2019.2021年2月施行的《个人数据保护法》，实现了“以保障人格尊严为目的的个人控制”向“以维系信息关系为目的的个人控制”之转向。

在“信息关系维系”中设置的“个人控制”规则之目标在于，通过对个体赋予信息控制权利、为机构施加信息处理义务，平衡双方不均衡的博弈力量，进而维系双方长远与健康的信息关系。在此基础上设置的“个人控制”，适度平衡个体信息利益与机构商业利益。相应规则体现在：

其一，削弱“个人控制”作为个人信息处理的绝对性作用，形成“个人相对控制”。

与欧盟相比，新加坡“个人相对控制”体系中，个人控制权利的权能幅度与权利种类更为限缩。

“告知-同意”并不是个人信息处理的核心基础，“信息处理”兼顾公共利益与机构商业利益：《个人数据保护法（2021）》增设“商业改善目的”作为数据使用的合法性基础，即机构可以在没有个人明确同意的情形下，为实现以下目的使用个人数据——改善、加强、发展新的商品或服务，改善、加强、发展机构提供服务的方式或程序，学习或理解个体的行为与偏好（包括以画像为标准进行的个人群体划分），进行个性化推荐；个人数据保护委员会颁发详细的行为指引，为适用“合法性利益”数据处理基础提供更清晰与客观的合规参考；“同意”的方式更加多元化，《个人数据保护法（2021）》增设“选择-退出”模式与“行为视为同意”模式——当数据使用不同于最初收集目的时，设置“选择-退出”的方式，对新使用目的进行告知、并给予个体一定期限的退出选择；为履行合同所必要，机构向第三方披露数据视为已经取得个人同意。

《个人数据保护法（2021）》对数据处理过程中的控制权仅规定撤回同意权、访问权与更正权，而与GDPR彰显的高强度个人控制权能相比，这三项权利行使亦受到数据控制者商业利益实现的限制。一者，个人“撤回同意”的效力只及于撤回同意后的数据处理行为，“撤回同意”前的数据处理行为有效且数据控制者无须对数据予以删除。二者，如果数据访问成本与收益不成比例或给商业机构带来较大执行成本，商业机构可拒绝个人的数据访问。个人数据保护委员会列举的基于“商业机构利益考虑”拒绝访问情形包括：多次反复请求不合理地干扰了机构的正常工作开展，提供访问的成本对于机构来说是不合理的，提供访问的成本与个人利益不相匹配，个人请求过于无聊或者缠扰，要求访问的信息过于琐碎，披露个人数据会泄露商业机密信息、减损机构的竞争优势。三者，相异于欧盟为数据主体设定针对所有类别个人数据（主动提供类数据、观测类数据、推测类数据）的更正权，新加坡设定的数据更正权范围不及于用户画像、用户评分等推测类数据。

在补足个体理性认知偏见方面，新加坡《个人数据保护法》通过“数据最小化”与“数据存储期限”限制私人合意的数据处理行为。相较于GDPR设定的“为实现目的所必要、相关与充分性”限定规则，新加坡的限制规则更为缓和，以“理性人合理认知为主”，即在具体场景中分析“一般理性人认为该数据处理目的是否合适”。

其二，以“矫正双方不均衡力量结构”为基石，权衡“个人控制价值”与“数据流动价值”。

在传统的“选择-进入”式同意之外，《个人数据保护法（2021）》通过设置多元化数据处理合法性基础与多样化同意形式，促进数据流动。其中，在适用“选择-退出”式规则与“合法性利益”数据处理基础时，数据控制者需要进行“个人控制价值”与“数据流动价值”权衡。相较于欧盟以“自尊与自我发展”为核心的“个人控制目标”，新加坡“个人控制价值”的判断与评估更为客观，价值权衡指引标准的可操作性更强。

当数据使用不同于最初收集目的时，数据控制者在开展评估与风险减缓措施、确保对个体不会产生负面影响后，可设置“选择-退出”同意形式；以实现合法利益为目标处理个人数据时，机构在开展评估与风险减缓措施、确保“合法利益高于对个人造成的负面影响”后，可豁免“通知-同意”程序进行数据处理。新加坡数据保护委员会为机构评估“是否会为个人带来负面影响”以及“合法利益是否高于负面影响”颁布了客观与主观评估指标，指引机构判定“数据处理对个人的负面影响程度”与“负面影响发生概率”。客观标准包括：个人数据的敏感性，数据处理的规模，是否与其他数据结合分析，机构采取的负面影响减缓措施（减少收集的数据、匿名化处理、及时删除数据、数据有限公开等）。主观标准以社会主流价值观为参照，评估“一般理性人”认为特定数据处理是否会给个人带来经济、社会与情感方面的负面影响。①PDPC.Advisory Guidelines on Key Concepts in the Personal Data Protection Act,1 February 2021.

（三）基于“市场交易秩序维系”的个人控制

在大数据、人工智能、物联网等信息技术发展的加持下，“数据间的结合与规模化集聚”彰显愈发重要的经济价值。尽管单个数据的经济价值难以计算，但“个人信息”的财产利益属性，已经成为“个人信息保护”制度设计难以回避的因素。再者，在互联网经济中，基于网络活动产生的信息成为个人信息重要的组成部分，且消费者无须支付金钱对价即可享受服务，有研究者将“个人信息与网络服务关系”比拟为消费者以个人信息作为给付对价接收网络服务。

美国监管层并未将个人信息明确界定为一种给付对价的财产，但基于联邦宪法权利设置与监管博弈，在美国联邦个人信息保护体系中，“通知-同意”实质上构成商家与消费者的“数据-服务”交易合同。以《公平信息实践》确立的基本原则基础，联邦个人信息保护体系形成了基于“维系市场交易秩序”的个人控制。

美国联邦宪法第一修正案确立“言论自由基本权利”，“信息隐私权”不属于宪法基本权利，宪法关于隐私利益的保障仅仅局限于第四与第十四修正案——政府对公民的搜查需要遵循正当程序。因此，美国法律体系中，数据流动价值优于信息隐私价值，联邦政府并未颁发统一法律对私人机构的数据处理进行“权利-义务”式行为规范。以1973年《公平信息实践规则》为基础，FTC于2000年发布信息隐私保护指引，鼓励、指引私人机构设定隐私政策。私人机构通过发布隐私声明，对数据收集、使用、存储、披露等行为进行告知，消费者基于隐私声明决定是否同意机构处理个人信息。司法机关并未对以“通知-同意”为内核的信息隐私自我规制予以监督：“通知-同意”仅具备宣示性意义，不构成合同；消费者无法证明具体损害主张违约救济；消费者“同意”决策对“隐私声明”的依赖不强，不足以提请禁止反言诉讼。联邦贸易委员会将“通知-同意”拟制为“数据交易合同”，即消费者基于对隐私协议的评估决定出售自身数据，据此通过消费者权益保护中的“反误导与不公平交易监管职能”矫正数据交易中的市场失灵。②Daniel J.Solve&Woodrow Hartzog, The FTC and The New Common Law of Privacy, Columbia Law Review,Vol.114,No.3,2014.

相较于欧盟与新加坡，美国个人信息保护体系中的“个人控制”权能最为薄弱。其一，个人控制以非正式的“通知-同意”为核心。绝大多数商业机构在FTC的指引下颁发隐私声明，但由于法律并未对“同意”形式进行严格规范，机构为便捷获取数据一般设置“选择-退出”的同意形式。其二，数据处理中的个人控制权能由双方约定。FTC以“隐私声明”为基础：对商业机构不遵守隐私声明约定、对数据处理未进行充分告知、以欺骗方式诱导消费者交付数据等“误导”行为进行矫正；在“不公平交易行为”监管方面，FTC的着眼点在于通过为企业施加更多的数据安全保障义务，而非强制企业为消费者提供撤回同意、数据访问、数据更正权、数据处理反对等个人控制权能。

三、信息技术发展语境中“个人控制”的立法模式选择

梳理我国监管文件可发现，监管层明晰了“个人信息”的三项核心特征，尽管并未明示“个人控制”规则意欲实现的核心价值目标，但《个人信息保护法》设定了与GDPR如出一辙的高程度个人控制体系。这主要体现在：“通知-同意”在数据处理中发挥核心作用，且适用严格的“选择-进入”式规则；个人享有知情权、选择权、撤回同意权、删除权、访问权、解释权（自动化决策对个人权益有重大影响）、拒绝完全自动化决策、限制处理权、拒绝权、数据可携权、更正权；设定“目的必要与存储限制”的“信息隐私不可剥夺规则”。相较于GDPR，《个人信息保护法》设定的个人控制更为僵化甚至更高强度：《个人信息保护法》并未设定“合法性利益”作为个人信息处理的合法性基础，“通知-同意”在数据处理中享有更关键性的地位；《个人信息保护法》并未限定“限制处理权”与“拒绝权”的行使范围与条件，个人对数据处理程序的控制更为绝对。

这种规则设置体现了监管者在面临科技发展时对个体权益的深切关怀，但不同模式的选择关乎更多的可能是不同法域的文化、政治与历史传统。由此看来，评估不同个人控制模式是否与当下信息技术发展相匹配，应当成为我国在制度比较与模式选择中的核心议题。

（一）“个人控制”价值实现效果评估

“个人信息”具有“识别个体、建立信息关系、存在一定经济价值从而可作为服务对价”三项特征，个人对个人信息控制的法律规范意涵，亦因法律理念对这三项特征的不同侧重，而呈现不同的表现。基于前述分析，法律理念的不同侧重并非基于规范层面对各项特征的比重权衡，而在于各区域立法在实证层面历史、宪政、政治、经济背景。

“个人信息”的这三项核心特征都以“在个体与社会互动过程中划定个人空间与公共空间边界”为背景而呈现。“信息技术”改变个体与社会的互动方式，进而改变个人空间与公共空间的边界样态。关于信息隐私保护的核心理念与规则因应信息技术的发展而发展。19世纪晚期主导的“独处”理念以回应摄影摄像技术对个人空间的侵犯风险为前提，强调个体有权享有不被外界干扰的独处空间；20世纪60年代兴起的“个人控制”理念以回应电子存储技术对个人空间的侵犯风险为前提，强调个人有权对所存储信息的种类、收集方式、信息准确与完整性享有控制权能。大数据、人工智能、物联网等信息技术的发展，革命性地转变了个人与社会的互动方式。在新兴信息技术发展背景下，“个人控制”所体现的实现个人自决与自我发展的人格尊严价值、维系与数据控制者的信息关系价值、形成与数据控制者的数据交易合同价值，在客观上是否具有实现的客观条件以及如何作用于信息技术发展，成为我们在进行“个人控制”立法模式选择时应当反思的核心议题。

在新兴信息技术发展的背景下，个人自决与自我发展的价值实现存在技术客观阻碍，且会引发数字经济发展的“反公地悲剧”。其一，与20世纪60年代电子存储系统对个人信息的静态化存储不同，新兴信息技术场景中的个人信息处于高度动态流动性状态，“信息”分享后的排他性与竞争性使用成本高昂。因此，个人对“个人信息”的控制往往局限于信息分享一刻的偏好表达以及针对直接分享者的同意撤回、信息更正、信息处理的反对，而对分享后流转至其他处理者的数据处理缺乏控制能力。其二，信息技术发展增强了信息分享的负外部性。机构可通过分析碎片化信息或者数据画像池中与个人相似群体的信息，推断出个人未分享或拒绝分享的个人信息，拒绝分享决策会给分享信息者带来更大的隐私侵犯威胁。其三，欧盟设置的高强度的个人控制权能，增大了数据聚合成本，且人格尊严利益的开放性、抽象性与主观性特征使得企业在权衡个人控制价值与数据流动价值时限于高度的合规不确定桎梏，造成数据价值实现与挖掘不足的“反公地悲剧”困境。

在新兴信息技术发展的背景下，“数据交易市场秩序”模式会带来对消费者的保护不足，无法实现假定的数据资源最优配置目标。其一，信息技术极大地复杂化了“消费者—机构”数据交易的履约环境。数据挖掘与数据分析技术的大规模应用，使得数据处理链集合数据控制者、广告联盟、数据中介商等多方参与主体，数据的聚合价值凸显，数据的流动度与二次使用率高。在这一履约环境中，消费者在立约前无法识别潜在的所有交易对象、数据的价值、数据处理形式，在立约后难以识别违约行为方、难以通过终止协议的方式遏制损害扩大。因此，根据威廉姆森的组织经济学理论，由于交易成本过于高昂，基于“通知-同意”个人控制无法发展为一个有秩序的数据交易市场。①Williamson,O.E,The Theory of the Firm as Governance Structure:From Choice to Contract, Journal of Economic Literature,Vol.38,No.3,2000.其二，由于“个人控制”是市场自律规则而非法定行为规范，机构公开“隐私协议”更多出于经济激励而非消费者保护动机，公示“隐私协议”形成“通知-同意”程序的模式化与标准化，对于商家确保获取、处理信息的法律稳定性至关重要。①Paul M.Schwartz&Karl Nikolaus Peifer.Transatlantic Data Privacy Law, The Georgetown Law Journal,Vol.106,No.1,2017.因此，绝大多数机构并不会在“隐私协议”中为消费者设定数据控制权利，消费者的控制多限于“行为拟制同意（在阅读隐私协议后继续使用网络服务即为表达同意）”与“选择-退出”式同意（设置默示同意并为消费者提供退出选项）。根据行为经济学的相关研究，个体存在“安于现状”的认知偏见，在没有“明确同意”选项指引情况下，个体一般会依据系统默认模式开展行为。

（二）“个人控制”模式选择

在“个人自决与自我发展。信息关系维系。数据交易秩序”这三项价值序列中，个人控制程度依次递减。如前所述，处于极端点的最高度个人控制与最低度个人控制，无法实现与新兴信息技术的发展匹配，制度弊端在数字经济发展中已经显现。根据相关的实证研究，GDPR为企业带来了繁重的合规负担，导致大量中小型科技公司退出欧洲市场。②Jian Jia, Ginger Zhe Jin and Liad Wagman，The Short-Run Effects of GDPR on Technology Venture Investment,No 25248, NBER Working Papers.美国也逐步在扩充个人控制权能方面施行监管改革，如《加州消费者隐私保护法案》。处于中间控制程度的“信息关系维系”弥合了两个极端制度的制度缺陷，值得进一步地探求。

信息技术发展带来的个人与社会间关系的变革主要体现在两个方面。其一，个人与社会互动方式的变化。互联网经济的发展促使大量线下活动移转至线上，个人信息多产生于个体参与线上活动的过程，个人生活高度嵌入互联网经济进而发展为公私融合的信息隐私背景。其二，信息的聚合价值凸显，数字经济的进一步发展客观上需要在更高程度的公私融合中进行数据的挖掘与分析。由此看来，维系与增进消费者的信任，构建健康的信息关系，能够最大化实现数字经济发展中消费者与商业机构间的合作博弈。

四、个人信息保护法制度“个人控制”规则设置完善

《个人信息保护法》以GDPR为制度蓝本，设置了严密的个人控制规则，这体现了监管者在面临新技术发展时对个人权利的深切关怀。但我们也应当认识到，欧盟监管倾斜“人格尊严利益价值”实现的个人控制发展，具有其深厚的政治因素考量，而这种高强度的控制理念无法匹配新兴信息技术的发展步伐。选择更符合新兴信息技术特征的“信任信息关系”维系模式，应当成为《个人信息保护法》实施细则的发展方向。

明晰“信息关系”中“信任”的特征，成为监管规则设置的基本前提。一者，对于个体而言，“信任”是一种计算性信任而非主观热情式信任，个人会依据监管部门的数据保护执法与机构的数据保护方案，策略性地判断信息分享后可能发生的损害程度与发生损害的概率。二者，对于机构而言，“信任”是一种组织信任而非双边信任。数字经济发展对数据的依赖远甚于前数字时代，而信息技术的发展打破了数据流动壁垒，机构商业模式发展与利益增长依赖于存在一定水平的数字信任环境。“信任”于商业机构而言，是数字经济中的“公地资源”，机构的数据保护义务实质是一套“信任公地资源”的利用规则。

就此而言，以侧重“维系信任信息关系”价值实现的“个人控制”规则，具有两个设定基础：以新兴信息技术发展的客观现实为基础；“个人控制”与“机构问责”并重，通过透明化、差异化与精细化的数据保护方案，维系与增进信任。

（一）以新兴信息技术发展的客观现实为基础设置“个人控制”

个人在信息关系中的计算性信任，关注个体内心能够感知的控制权能。事实上，在欧盟高强度个人控制规则设置中，由于“人格尊严利益”具有模糊性、抽象性与主观性特征，数据控制者的合规操作缺乏客观化标准，高强度的个人控制并未创造更多的用户信任。③Roslyn Layton,The 10 Problems of the GDPR The US can learn from the EUʼs mistakes and leapfrog its policy,Layton Testimony1.pdf (senate.gov).因此，应当在确保个人控制与利益衡平规则的透明化、可操作性前提下，以新兴信息技术发展实践为基础，权衡个人控制价值与数据流动价值。

对比新加坡规则与欧盟规则可发现，在“个人控制”设置中，“信息关系维系模式”与“人格尊严保障模式”的核心区别点在于：个人控制权的范围（新加坡并未设定“删除权、限制处理权、反对权、可携带权、对自动化处理的解释说明权、对完全自动化决策的反对权”）；“通知-同意”的作用（新加坡多一项“商业改善目的”豁免“通知-同意”程序，较之欧盟，“合法性利益”标准的判定更为客观，实践适用更为广泛）；“通知-同意”的形式（欧盟设定严格的“选择-进入”式规则，而新加坡对于履行合同必要而分享数据界定为“视为同意”、在初始收集目的之外进行数据处理适用“选择-退出”式规则）；“个人控制利益”与“数据流动利益”权衡的指标要素（在判定数据处理对个体利益影响时，欧盟与新加坡都采用了主客观标准；就主观标准而言，欧盟以具体个人主观感受为标准判定个人对数据失去控制后主观情感伤害，新加坡以一般理性人标准判定数据处理目的是否合适）；个人控制权的行使限制是否需要考虑到机构商业利益（新加坡访问权、更正权的设置，考虑到了机构的更正成本与个人利益是否成比例）。在新兴信息技术影响下，数据的聚合价值与二次使用价值凸显，因此，在现有的个人控制权能范围基础上，《个人信息保护法》的具体完善规则可包括：适度削弱“通知-同意”作为数据处理基础的作用，增设“合法利益”作为数据处理基础；增设“选择-退出”式“通知-同意”方式，适用于“改变初始收集目的与获取明确同意成本高昂”的场景，同时确保“通知”的内容详细、呈现方式显著，确保“退出”行使的合理期限；限定“限制处理权”与“反对权”的权利行使范围；监管部门公示“个人控制价值与数据流动价值”的衡平指引，增强数据类别、安全保障措施、个人身份等客观标准的权重，削弱个人主观情感感知标准权重。

（二）“个人控制”与“机构问责”并重

在新兴信息技术的影响下，个人因分享数据而遭受损害风险集中在数据使用与披露阶段。数据处理过程具有不确定性特征，应当转变传统以“规则”为基础的监管路径，通过强化数据控制者的机构责任，要求其在信息处理过程中建立符合机构特征的数据保护方案。在“个人控制”体系外，兼顾与强化“机构问责”实质上是全球个人信息保护制度发展的重要方向。有必要在明晰个人信息立法核心价值取向的基础上，进行制度结构设置。

《个人信息保护法》第五章为机构设置了诸多的数据保护义务，而目前以保护个体人格尊严实现为核心价值取向，以严密的责任机制威慑机构合规，可能会引发与欧盟类似的制度弊端——中小企业合规负担过重而退出市场，人格尊严利益过于模糊而流于保护的形式。监管部门可以结合责任威慑与行为激励机制，针对不同的数据风险，设置不同的合规需求，并结合“信息关系”中的计算性信任特征，设置透明化、差异化与精细化的机构合规指引。具体来说：对于数据安全风险，以责任威慑设置合规义务；对于隐私期待利益与主观因素相关的部分，以处罚减免、第三方认证的方式激励机构积极寻求用户的隐私期待；引入“一般理性人标准”，为机构设定不同场景中的合理数据处理行为指引，提高数据保护工作的可操性；公开监管机构合规指引与机构数据保护方案，提升用户感知信任。

五、结语

在“个人控制”立法模式选择中，个人信息的三项核心特征所彰显的个人控制价值，并非相互排斥与取舍，而是在权衡基础上，进行价值倾斜。这种价值的倾斜，需要考虑到区域的价值排序与信息技术的客观发展。对于现阶段我国个人信息保护立法设置来说，“信息技术发展”更应该成为“个人控制”模式选择的基本立足点。以矫正个体与机构不均衡博弈结构为目的，在个人控制规则设置中，平衡个体利益、机构利益与公共利益，以透明化与差异化的数据保护方案，维系与增进个体对数字经济发展的持续信任。