数据上个人信息权益：从保护到治理的范式转变

□ 高富平 尹腊梅

内容提要 大数据时代，个人数据作为社会资源，承载着多重利益，不仅关系数据主体的个人利益和个人相关者利益，也关系不特定社会主体的社会利益和国家利益。要协调个人数据资源上个人保护和社会利用之间的矛盾，实现个人数据上的利益协同，应构建新的个人数据社会利用中的个人利益保护理论，并在调整范式上，从权利保护模式转变为以规范个人信息处理行为为中心的行为规范模式，即数据治理范式。

“治理”（Governance）一词的使用越来越泛化，可以适用于任何协调不同主体利益，有效配置资源（或调动积极性）共同实现某种目的行为。①以企业治理替代企业管理成为本世纪企业管理理论和制度最大的变革。之后，治理也应用于社会或国家，社会治理、国家治理成为统治性术语。同样地，数据治理（Data Governance）也广泛应用于涉及数据应用各个领域和层面，甚至成为数据保护的代名词。欧盟委员会认为，数据治理是指一套使用数据的规则和方式，例如通过共享机制、协议和技术标准。②也正是基于这样的认识，欧盟委员会于2020年11月25日通过的《数据治理条例（建议案）》（Data Governance Act）③，作为支撑欧盟新数据战略的重要制度。该建议案旨在促进各部门和成员国之间的数据分享。而所谓的数据治理仅在于增加对数据分享（Data Sharing，即数据流通）的信任，加强提高数据可用性的机制，并克服数据重用（Data Re-use）方面的技术障碍。在这个意义上，数据治理也成为一个国家规范数据社会化利用，构建数据资源利用秩序的概念。甚至爱尔兰于2019年制定了《数据分享和治理法》（Data Sharingand Governance Act） 允许公共机构之间共享个人数据，为公共机构更高效、低成本履行公共职责，提供公共服务提供法律基础。④数据治理正逐渐替代数据保护成为数据利用秩序实现的主要机制。

数据治理应用于数据利用的社会秩序建构是非常契合的。因为数据上存在多重利益相关者，而所谓的数据保护问题，本质上是协同保护数据上各方主体利益的问题，而不是确认数据归属某个主体并通过赋权维护其数据利益这么简单。传统的“赋权+限权”保护模式或者“数据主体权利+数据控制者义务”规范模式在数据保护上失灵，数据保护的本质在协同冲突权益，因而治理理念和机制可以作为数据保护的新范式。

数据是现实社会的映射或描述，我们可以用数据认知社会主体或客体，数据成为人类认知客观世界的工具。在机器学习等智能工具普遍应用情形下，通过数据挖掘分析发现新知，预测未来，寻找规律已经成为当今现实。由此，人类进入以数据为社会资源的数据驱动时代或数据经济时代。在这样的时代，每一个国家均面临如何配置数据权利构建数据利用秩序的任务。关于个人的数据，其也不单纯承载个人利益，而是同时承载着使用者、社会、组织、国家等多方主体的利益。关于机器的数据亦可能涉及设计者、制造者、应用者的财产利益，甚至还涉及应用者或设备主人的人格（隐私）利益。我们只有确认各类数据上的多重利益，并协同保护各方利益，才能构建数据社会化利用的秩序。

个人数据在整个数据体系中占有非常重要地位，而人的主体地位决定了人们对个人数据滥用对个人权益侵害的担忧，于是在上个世纪诞生了个人数据保护法（个保法），来保护个人数据处理中的个人权利。但是，发端于欧美的个人数据保护制度似乎过度强调个人权利，尤其是在各国移植过程中普遍存在着“简单粗暴” 甚至私法化的趋势，这可能非常不利于大数据时代个人数据的社会化利用。在数据驱动或数据作为生产要素的背景下，数据已经成为可为社会利用的资源。⑤但是，过度重视主体权利或者个人控制，会严重影响个人数据的社会化利用。本文试图揭示个人数据上多重利益，试图通过利用利益相关者理论（Stakeholder Theory）来探讨个人数据上权利配置，协调个人数据资源上个人保护和社会利用之间的矛盾，构建新的个人数据社会利用中的个人利益保护理论。

一、作为社会资源的个人数据

个人数据是指可识别具体个人（仅指自然人）的信息。凡是能够识别特定个人的信息，无论是直接识别到还是间接识别到特定个人的信息，均为个人数据。⑥社会中存在两类识别行为，一是识别主体的身份，二是识别主体的特征。这两类识别均是社会运行不可或缺的因素。

首先，身份识别关系社会交往安全。在正常的社会交往中，一般不需要识别人的身份。因为在社会交往、 商业交易等过程均要告诉对方你是谁或先要弄清对方是谁，因而正常的社会交往一般是依赖“自报家门”解决身份识别问题。真正的依赖与个人关联信息来识别身份的需求发生在匿名行为或者行为人未暴露身份的情形下，典型的如匿名言论或违法犯罪行为等，这时就需要通过行为人留下的蛛丝马迹来分析判断行为人的身份，以达到追究其法律责任的目的。因此，一个社会需要建立个人身份识别体系，同时在匿名或不具名情形下，允许人们依法来搜集行为信息判断行为身份，以确保每个人对自己的行为负责，确保社会交往安全。

其次，识别个体的特征是开展各项社会活动，建立各种社会关系的必要条件。在社会交往中除了需要知道是“谁”外，还需要知道是“什么样的人”，而且后者往往决定人们是否要与你交往（或交易）或者开展怎样的交往（交易）。这些个性特征识别需要借助某个人的行为记录、 过往经历等信息进行分析。过去，我们依赖道听途说、访问调查等方式搜集信息来了解潜在交往对象，而如今在万物互联的泛网络时代，我们可以基于网络用户的行为记录形成的用户画像（Profiling）来对个体特征进行分析。⑦只是在网络环境下，各种数字ID（用户名、设备ID 等）使我们可以在不知个体身份的情形下，围绕各种ID 对个体进行识别分析（画像）甚至通信（如信息推送），而在必要时（如交易或需要承担责任）才进一步识别身份。因此在网络环境下，识别个性特征既可以在知道身份前提下进行（如实名注册情形），也可以不知道身份的情形下进行（如利用Cookies 识别）。但是，网络或数字ID 均属于可识别个人标识符（personal identifiable Identifier），大量识别分析是针对可识别个人标识符进行的。⑧基于网络或数字ID 可以开展个体识别分析和基于识别分析通信给了商家分析了解和触达潜在客户的便捷工具，这便是数字化给社会的红利⑨。

随着物联网的出现，可关联分析个人的数据急剧增加，出现所谓的大数据（Big Data）。因数据具有识别分析个人特性进而触达并影响个体意志或行为的功能，而且可以基于此作出快速精准的决策，大大提升社会的各种决策质量和效率。大数据给人们提供的巨大便利就是识别个体的便利性、精准性、全面性和及时性。现在所谓的个性化服务、私人定制、智能制造、机器学习等，都建立在个人数据的应用基础上。这使人们将数据视为有价值的资源（比喻为石油等）或一种新的资产。⑩我国则是将数据视为区别于土地、劳动力、资本和技术之外的第五大生产要素。⑪这实际上导致人们将个人数据视为具有经济价值的资源，但是传统“个保法”的观察视角并不是从资源的角度，而是从关系个人尊严、 自治或平等权益的角度设计数据主体权利的，并没有从资源角度尤其是如何转化为资源角度考虑数据控制者（使用者）的利益。综上，本文认为，在大数据时代，我们应当从资源的角度，重新思考个人数据上的权利配置。

二、个人数据上多重利益主体

一切能够关联到某个体或分析某个体个性特征的数据都可以归入个人数据范畴，个人数据的价值也在于对个体的识别分析，而这种识别分析会对个体产生影响。因而个人（数据主体）被认为是个人数据处理（应用）的首要利益相关者，但是个人数据不仅关系数据主体利益，也关系群体、社会和国家利益。

（一）个人数据上本人利益

从源头上，“个保法” 也正是起源于对个人权利的关注。通过对个人数据处理行为规范来保护个人利益背后的逻辑是，个人是主体，对个人数据的处理不能像对待客体那样随意处理，而应尊重个人意愿或不侵害其尊严或隐私。个人因参与社会活动而产生了社会身份，因而个人有利益驱动保护其社会身份和自主性，不被随意识别或处理。这些受保护的个人利益一般被解释为尊严、自由/自治和平等（不歧视）利益，属于人权意义上利益（也可被概括为数据主体权利）。⑫

问题的关键在于个人数据并不完全涉及主体权利，还涉及安全、隐私等各种利益。个人身份信息冒用可以给个人带来人身或财产损害； 个人信息还可以用于各种违法犯罪行为，危害个人人身和财产安全； 有些个人信息具有私密性其本身存在隐私利益，而许多个人信息本身并不私密或敏感，但是汇聚大量信息可以揭示个人隐私。因此，个人数据上存在着复杂的个人利益群，这些利益的保护均通过其他专门的法律加以保护和调整。“个保法”仅仅从尊严、自治、平等的角度建立保护个人权利的规则。

（二）个人数据上个人相关者利益

人是一个社会存在，每个人都是特定社会群体的一员，是社会整体的组成部分。人的群体性、社会性决定了人与人之间存在相互影响、 相互作用的关系，一个人的生存发展脱离不开社会整体。不仅我们每个人有家庭和亲属，有工作还有各种社交，我们每天都在利用各种通信手段及线下的会谈、会议、聚餐、文体等活动开展社会交往。而各种在线社交网络、即时通信媒体、社群网络等更是增加了人们之间的连接机会和密切程度。因而每个人的行为记录都可能与其他人相关联。于是，与个人关联的信息当然与其相关联的其他个体相关联。⑬个人数据上的个人利益不仅在性质上相互依存，而且在存在上是相互关联的。因此，我们必须承认个人数据并非完全关系某个体个人利益，而且也关系与其有关的其他个体的利益。对于个人数据处理中的个人保护，并不能仅仅关注直接关联者（即数据主体），而且还要关注间接关联者的利益。

（三）个人数据上的社会利益

个人数据上不仅关系与个人相关者利益，还涉及不特定社会主体的利益。这种不特定主体的利益，我们称为社会利益。⑭

个人数据的应用关系着社会整体利益，这种关系在于个人数据应用是社会交往和活动开展必不可少的手段。通过对在网络上大量产生的数据进行识别分析，并在分析基础上进行科学、精准和快速的决策，提升社会治理、经济效率和科技创新能力。而所有这些效率提升和创新最终会促进社会进步和福祉改善。以健康数据为例，每个人的健康可以说是社会公共健康的组成部分，每个个体的医疗数据都可以成为公共健康数据的元素。每个个体的医疗数据除了蕴含着直接关涉自身的健康医疗信息内容之外，也直接影响到了整个公共健康信息的完整性与科学性。因而汇聚个人医疗数据和健康数据形成可供各种医学、 医药研究的医疗数据集/湖”，对于查询各种疾病的成因，提前预防，实施精准诊治均具有重要的价值。而医疗诊断、药物的改进最终福荫社会大众。现在越来越多的学者认可集体隐私的存在，而不仅仅是个体存在隐私。美国的里根（Priscilla M.Regan）还指隐私不仅对个人有价值，而且在三个方面对社会整体也具有价值。⑮

为了实现个人数据上的社会利益，我们需要识别和确认社会利益的“代表人”——利益相关者（Stakeholder），通过保护这些利益相关者来实现社会利益。⑯在笔者看来，至少需要确立两类主体来实现社会利益，一是个人数据使用者，二是公共利益的代表者。

（1）个人数据使用者。任何社会主体都应当拥有使用个人数据的权利，即个人数据使用者权。识别潜在社交或交易或行动（以下统称为交往）对象是开展社会交往和活动的必要手段，因而各社会主体（包括自然人）均有识别交往对象的权利。一旦人们参加各种社会活动进入到具体社会关系，法律就应当保护公众的“识别权”，而不是拒绝识别或拒绝“曝光”。放任或鼓励人们隐藏身份或个人信息，会妨碍合作甚至鼓励人们从事不负责任的社会行为。个人的确希望更多的“隐私”，有时甚至会刻意隐藏、掩饰或美化自己，但从社会公众的角度，也应当保护社会公众（尤其是与之打交道的人）的“识别权”。⑰这种识别权的承认就意味着，所有的社会主体对个人数据均具有使用权。也正是在这个意义上，个人数据是可以为社会主体使用的资源，而不是个人控制的资源。《通用数据保护条例》（以下简称GDPR）对第6 条第1 款（f）项的数据控制者的合法利益实际上就是承认每个社会主体具有合法正当地使用个人数据的权利。⑱正是通过这种正当使用个人数据的权利，我们的社会才能够正常运行并不断改进运营效率，提升社会发展水平。

（2）公共利益代表者。除了社会主体数据使用权外，个人数据具有达成各种公共利益目的，如科学文化、历史研究、公共安全等公共利益。这种公共利益也需要通过具体主体来体现，通常政府机构以及非政府机构（NGO）可以视为公共利益“代言人”。我们需要给予政府在维护公共秩序、公共安全等方面使用个人数据的权利，也需要给各种非盈利性组织开展各项公益活动开辟绿色通道。例如在此次新冠疫情防控中，人们甚至认识到不仅需要疾病、 医疗信息共享以帮助当地政府做出明智的决策，甚至也需要全球医疗数据共享。⑲

（四）国家安全利益

国家安全利益是一种特殊的公共利益。随着网络空间被视为国家主权新领域，数据主权（Data Sovereignty）概念逐渐确认并进入国家法律。⑳数据主权是国家基于国家主权对其领土范围上产生的数据的独立控制权，目的在于保障本国数据不受他国侵害的安全性和稳定性。这既是数据上升为一种经济资源或基础战略性资源的表现，同时也是数据关系政治安全的反映。数据主权实际上成为赋予国家对进出境数据进行管制的权利。各个主权国家对个人数据进出境的限制就突出体现了个人数据上的国家安全利益。此外，大数据已经成为国家的基础战略性资源，全面实施大数据应用，实施全面数字化转型成为国家战略，数据资源的争夺成为国际政治内容，围绕数据进出境的流动控制也迅速升级为国家之间的投资和贸易对话内容。由此，数据与国家利益直接挂钩，国家安全成为国家之间较量的“正当”理由。

三、个人数据上多重利益协同：从个人保护到数据治理

个人数据上存在多重利益相关者，这些利益相关者的利益性质不尽相同，这使得个人数据的利益协同变得异常复杂。在法律上，在利益发生冲突时，只有利益性质相同时，我们才可以根据价值对利益优先性进行排序。而当利益属于不同性质时，则很难根据价值判断作出优先排序。而在个人数据上利益主体的性质恰恰是不同的，我们很难对不同性质的利益进行单向的排序，这决定了个人数据不能依赖传统的“赋权+限权”模式来解决个人数据上利益协调问题，得用处理多重利益的治理体系。于是，数据治理被认是构建数据利用秩序的最佳工具。

（一）从数据保护到数据治理

虽然数据治理被广泛采用，但是对什么是数据治理可能不同人有不同的理解，有些观点强调数据质量，有些观点强调数据安全，而有些观点强调数据资产应用或价值实现； 有些观点在组织层面用数据治理，而有些则在社会或国家层面讨论数据治理。在现阶段，也许我们无法统一数据治理的内涵或者限制其在各领域的应用，但是我们需要遵循治理的根本目的或本质，否则就丧失了对话基础。

数据治理一般适用于特定组织，是现代企业治理（公司治理）在企业应用数据资源的延伸。其核心是围绕企业目标形成可用数据资源（资产），赋能业务，提升企业竞争力或盈利能力。治理一般理解为“众多参与者导致集体约束性决定的程序”，本质是一种协同处理不同甚至冲突利益的策略、原则或方法。适用到数据经济领域的治理概念是，“决定两方或多方主体管理数据、工具、方法和知识的取得（Ingress）、存储、分析和提供（Egress）的自由（权利）、约束和激励措施”。为此将企业治理定位于区别管理：治理是决定使命/目标、制定战略、配置资源和机制，而管理则是制定详细制度规则、运营管理和监督，实现既定目标。数据具有资源价值，人们也试图对数据治理与管理加以区分，认为数据治理是确保数据在整个生命周期内的质量的数据管理，而数据管理是将数据作为有价值资源进行处理的过程。DAMA 数据治理位于车轮图的正中央，是数据架构、建模和设计、存储和操作、安全、数据集成和互操作、元数据管理、质量、数据仓库和商务智能、参考数据和主数据、文件和内容管理管理10 大数据管理领域的总纲，为各项数据管理活动提供总体指导策略。因此，企业数据治理是集企业战略、组织架构、数据标准、管理规范和技术工具为一体的复杂体系，是企业数字化转型或数据驱动发展的管理战略。

如果我们将不同利益的协调视为数据治理的根本，那么企业数据治理的关键是确认和保护数据上各种利益主体权益，在协同各方利益前提下，合法正当地利用数据，服务于企业营业目的。如前所述，我们发现数据上存在着各种利益，而数据应用也可能牵涉各种利益，这就是数据治理的核心难题所在。而改变当今企业管理的利益相关者理论可以很好地应用于企业数据治理。这样，数据治理的一个重要内容便是协同数据上利益相关者，使数据合法正当地服务企业经营目的。虽然这时常被称为合规，但是利益相关者理论的价值在于扩大解释了“利益”的意涵，因而利益相关者呈不断扩大趋势，一个企业只有很好地“摆平”各方利益，才能行稳走远，最大化企业利益。由于数据上利益存在多样性、多元性，数据的正当利用需要处理和协同各方利益，在维护各利益主体利益前提下，才能使数据为企业所用，转化为服务企业的目的。因此，利益相关者理论应当成为企业数据治理基础理论，或者成为整个社会数据治理的“指导策略”。

如果我们将数据治理从组织移至社会，将之看作是“使用数据的规则和方式”，那么数据治理便等同于数据保护，或者“个人数据处理中个人保护规则”。现有论述数据治理的文献基本上关注企业或组织层面，而对于如何在社会/国家层运用或实施数据治理，并没有什么论述。在国家层面，主宰世界各国的是 “个保法”，而不是 “数据治理（法）”。因此，我们首先需要弄清在国家层面的数据治理与既有的“个保法”制度是什么关系。

就个人数据处理中个人保护制度起源而言，个人权利保护是出发点。在上世纪七十年代，个保法制度创始者们关注到计算机的应用个人数据使得关于个人数据（信息）可以被大量收集、留存并分析使用，这给个人自由和隐私带来前所未有的危害，它会影响个人对个人事务自主决定，最终影响到尊严、自由或平等利益。因此，他们提出要建立透明原则，让个人进行必要的参与，明确个人信息处理者的责任以确保个人信息处理不会侵犯个人基本权利（被称为隐私权或者个人数据保护权）。为此，国际社会寻求形成关于个人信息处理（使用）应当遵循的基本原则，以使各国对个人权利保护趋向一致或统一。统一个人信息处理原则的前提是，个人信息是社会可自由使用的，但是个人信息使用必须遵循社会共同认可的正当规则，以防范个人信息不当处理或滥用。尽管泛欧洲地区在欧州委员会（COE）的引领下将个人数据处理中的个人保护抽象为独立的个人数据保护权 （即Data Subject Right）并选择了专门制定法来保护主体权利，但其无论COE 制定的108 公约，还是欧盟的个人数据保护指令（及之后GDPR），仍然坚持基于原则规范模式，且选择的行为规范，而不是权利规范模式。以GDPR 为例，个人数据处理并非采取“个人决定+法定例外”赋权规范模式，而是采取非常复杂的“合法性基础+处理行为合法”规范模式。也就是说，判断个人数据处理是否合法并不是简单地依据非经同意即违法（或侵权）的赋权模式，而是采取多元的合法性基础加上个人信息处理行为要符合法律规范（履行法律规定的保护数据主体权利和公共利益的义务），而在个人数据处理的合法性基础方面，立法者至少考虑到了数据主体、数据控制者（及第三人）和社会整体利益或公共利益三类利益相关者利益。在这个意义上，GDPR 并不是赋权保护模式，而是行为规范模式，并在行为规范中保持基于原则的规范。

从实施来看，GDPR 面临的最大问题有两个：其一，GDPR 出发点仅仅从保护公民基本权利出发构建个人数据保护规则，虽然它不认为数据主体权利不是绝对受保护的，需要与信息自由、社会福祉改进等其他人权平衡考虑，但是却不承认数据控制者对数据的使用权，并置数据主体权利于优越地位，使得数据主体保护具有了绝对性；其二，GDPR 一直将个人数据功能定位识别个人，而个人的社会身份或形象塑造应当自主，因而从个人数据关系人之主体地位和人格自主价值，并没有考虑到数据识别分析的经济功能或价值（虽然承认个人数据自由使用有助于改进社会福利），从有效实现个人数据社会价值（社会化配置和利用的价值）角度，保护数据控制者（使用者）的权利。这最终导致GDPR 在总体框架是单向的“数据主体权与数据控制者义务”结构，以行为规范模式实现“赋权+限权”模式效果。这也导致欧盟委员会在2020年建议制定《数据治理条例（建议案）》（Data Governance Act），以弥补GDPR 的制度设计重大缺陷。《数据治理条例（建议案）》本质上是将个人数据置于社会资源的地位，从如何有利于社会价值的角度构建新的数据保护体制。这也就是说，个人数据保护的本质不是单向地保护数据主体的权利，而应当遵循“数据利他主义”，协同数据使用过程中各利益相关者，形成个人数据利用（处理）权责利的制度安排，实现个人数据的社会价值（利益）。

（二）资源意义上个人数据治理理论：利益相关者理论的应用

在资源视野下，个人数据具有经济价值，汇集、匹配、聚合一定规模的数据可以全面和精准分析个体的个性特征，预测行为规律或倾向等，用于商业、社会治理等领域决定；对于机器操作习惯的研究可以改进机器的性能或降低能耗； 对一定量病理样本进行挖掘分析可以找出病因，提早防治，如此等等，与个人关联的各种数据正被收集、处理、分析和应用于决策，不仅促进技术创新，提升单个组织的经济效率，而且不断改进社会资源的配置和社会分工体系，促进整个社会经济运行效率。在这样背景下，个人数据社会价值的实现应当成为数据治理需要考量的首要因素，成为数据治理的基本目标。

关注个人数据的社会价值，而不是个人价值，以社会价值实现作为出发点来设计数据的权利（力）结构，构建数据利用秩序是个人数据保护（数据治理）的重大变革。这意味着要个人数据治理从个人本位转向社会本位，个人数据处理（使用）的权利（力）配置要转向多元主体、协同各方权益，最优实现个人数据的社会价值（利益）。这样的数据治理是“影响或受数据访问、控制、分享和使用方式影响的所有参与者之间的权力关系以及各种社会-技术安排以从数据中产生价值和分配这些价值”。数据治理的核心是对数据的决策权，而在新的治理理念下，所有受到数据治理方式和由此产生的价值的影响或能够影响的个人、组织和团体，都是数据利益相关者，都应当参与到数据治理决策中，分享其价值或者使自己的利益得到保护。这样的治理一定是在一定场景，通过不同数据利用模式来实现的，而在抽象法律规范上不可能实现。研究者已经从现行个人数据实践区别出四种数据治理模式：数据分享池（Data Sharing Pools ）、数据合作社（Data Cooperatives）、 公共数据信托 （Public Data Trusts）和个人数据主权（Personal Data Sovereignty）。但是，要支撑多样化的数据治理制度安排，就需要在社会上对个人数据各利益相关者的价值或利益形成共识，而这样的共识需要突破现行“个保法”的框架和理念。

如上所述，发端于上世纪70年代的“个保法”基本出发点是个人权利保护，而以欧洲为代表的制定法模式，又开启了“数据主体权利+数据控制者义务”法律规制范式，逐渐为世界绝大多数国家所接受。在所有接受的过程中，并没有深度思考个人数据保护社会文化基础（甚至二战背景），也没有太多地考虑上世纪70年代（计算机刚刚应用）形成的所谓保护个人利益规则在大数据时代的适应性。反而存在简单粗暴移植国际规则，强化数据主体（个人权利）保护的现象。比如，将欧洲的“个人数据处理中的个人保护” 简单地等同于个人数据保护，似乎是保护个人数据本身，而不是保护个人数据上个人权利。形成了个人数据归属于个人，个人享有决定权“赋权”模式。在世界各国正在寻求个人数据治理（保护）重大变化时代，对于像中国这样正制定个人信息保护法的国家，如何避免重蹈欧洲国家的覆辙，一开始就能够站在时代的潮头，从个人数据的社会价值出发，构建个人数据治理的制度规则，是十分必要的。

在这方面，笔者认为，支撑企业管理转向企业治理的利益相关者理论仍然应当成为个人数据治理的基本理论。自1984年弗里德曼（Ed Freeman）提出利益相关者理论之后，企业组织的利益相关者一直在扩大，甚至政府因税收与企业相关亦成为利益相关者。利益相关者理论指导下的“企业管理”演变为协同相互竞争的价值/利益/目标，均衡实现所有利益相关者的利益的艺术。因为利益相关者理论需要在特定的场景或组织中识别特定主体的特定利益，明确该利益相关者权利（参与决策权）或者地位，以便于按照特定的程序参与组织的决策或影响组织的决策。而这在国家规则制定、执行的过程，除了民主参与规则制定外，似乎很难让利益相关者参与到执法决定（无论是行政决策，还是司法裁判）上来。这决定了利益相关者理论在国家层面并不能直接适用。但是，广义地界定数据上价值、利益，明确利益相关者，在法律制度和规则的设计过程中，充分考虑这些利益相关者的利益，并以这些利益相关者的共同利益——社会利益——作为协调处理利益冲突的“准绳”则具有较大借鉴意义。因为利益相关者理论要求得各利益相关者损害最小、共同利益最大化的制度或结果。如果其偏向某一方利益或者不能促进共同利益的实现，那么是一种失衡的治理。

为了在新数据治理理念下实现治理目标，笔者提出以下原则：

首先，应当以社会价值或社会利益作为个人数据治理的基本目标，在个人价值（利益）与社会价值（利益）相冲突的情形下，个人应当让位于社会。

其次，区分个人数据上的人格利益（包括人格尊严、自治等主体权利）与个人数据上的财产利益（或经济利益），个人数据上的财产利益（经济利益） 按照经济价值创造与成本及风险责任的分担的原理配置权利与义务、利益与责任。个人数据的使用以不侵害个人人格权益（主体权利）为前提，但是要区分数据上人格利益和数据处理中的人格利益，除非数据本身上人格利益需要给予个人以决定权外（防御性权利），而对于其他个人数据则仅有处理或使用之后损害其人格利益的，才给予停止侵害和损害赔偿的救济权。

最后，只有相同性质的利益才能进行效力排序或确定优先顺位，而当个人数据上涉不同性质利益时，并不能当然地得出数据主体权利优先于其他利益相关者的利益。在GDPR 中，将数据主体权利置于优越于数据控制者或第三人合法利益本身是一种错位利益排序。在人格利益情形下，只存在个人隐私与集体隐私熟先熟后的问题。当然，在对抗公权利滥用方面，我们可以置个人基本权利（人权）的保护于优先地位。因此，在“个保法”领域，我们并不能得出数据主体权利优先保护结果。

一旦我们在法律上能够平等地对待个人数据上各利益相关人的权益，并在相同性质利益下，遵循个人利益让位于集体或社会整体利益或公共利益，那么我们就能够建立以社会价值（利益）为目标数据治理规则和机制； 同时我们要区分人格利益和经济利益，而不笼统地赋予数据主体权利以优先地位，更不随意将基于主体权利的决定权当然地解决的经济资源的决定权，那么我们在具体数据应用场景或模式中就可以构建协同各方利益的治理结构。对此，本文不再做深入的阐述。

四、中国个人数据保护法：范式突破

个人信息是个人进入社会标识自己和塑造个人人格的素材，也是社会了解个人的必要手段，个人信息的工具性决定了它应当处于可以为人使用的公共领域，而不是私人控制的客体。因此，个人数据具有较强的社会性、 公共性，是社会可用的“资源”。大多数“个保法”（包括GDPR）并没有将“同意”上升为私法上个人数据使用决定权，更没有将“同意”视为单一合法性基础。但是，基本权利意义上“控制”极易被私法化为一种私人权利，演绎成个人信息支配权。这不仅表现在这一时期的研究个人信息学者几乎简单地将域外立法文件中对个人信息保护基本原则规定简单地抽象为个人信息权且作为一种私权（具体人格权）来对待，而且也导致现行立法过度依赖个人同意来保护个人信息处理中的个人权益。

自2012年全国人大常委会颁布《关于加强网络信息保护的决定》，中国开始引入域外的个人数据（信息）保护制度，之后个人信息保护规则进入《消费者权益保护法》《网络安全法》《民法总则》《电子商务法》等法律。所有这些法律对于个人信息使用的基本规则为，收集和使用个人信息应遵循合法、正当、必要原则，须经被收集者同意并依法律或合同约定使用，未经被收集者同意，不得向他人提供个人信息。因此，这些法律的基本核心是知情同意规则，使个人信息的使用限定于信息主体知悉和同意目的范围之内。虽然同意在实践中被泛化，并作为个人信息收集和使用是否违法的主要依据，但是在民事上不能因此推出非经同意使用个人信息即构成侵权。

《民法典》以个人信息“处理”替代“收集和使用”，仍然坚持同意为前提条件，只是明确存在法定例外（第1035 条第1 款第1 项），并规定了免责的情形（第1036 条）。这样的规定宜得出没有法律的规定例外时，未经同意的个人信息处理就是侵权结论，至少人们会有不同的理解。这不仅是由于法律规定的不清晰，还有实践中存在将信息主体同意等同于授权的观念或做法。例如，国家推荐标准 《个人信息安全规范》（GB/T 35273—2020）第5.4 条“收集个人信息时的授权同意”a）收集个人信息，应向个人信息主体告知收集、使用个人信息的目的、方式和范围等规则，并获得个人信息主体的授权同意。

2021年8月20日通过、2021年11月1日起施行的《中华人民共和国个人信息保护法》（下称《个保法》），在个人信息保护方式方面基本上采纳欧盟GDPR 的框架，尤其是采纳个人信息处理合法性基础规定，只是其合法性基础（第13 条）是规定在“个人信息处理规则”一章，而不是总则的基本原则中。第13 条的内容也大致相当于GDPR 的第6 条个人数据处理的合法性的规定，主要差别是缺少“为信息处理者（GDPR 为数据控制者）合法利益而处理”这一合法性基础。笔者认为，采纳个人信息处理合法性基础规定使我国个人信息的处理具有并行的法律依据，既避免《民法典》之前的分散立法将同意作为唯一合法性基础，同时也避免了《民法典》第1035 条以同意为一般原则，以法律另有规定为例外的规定。不过，《个保法》仍然主要依赖同意保护个人权利。

自《网络安全法》2017年6月生效后，国家网信办等网安法执法部门每年都会联合进行执法大检查，在2018年《电子商务法》生效后，国家市场监督管理总局每年开展 “网络市场监管专项行动”，尤其是今年围绕平台反垄断开展连续的执法活动。从目前的执法情形来看，对于个人信息违法滥用行为的执法主要围绕两个方面展开，一是是否存在有效的同意，二是否超范围采集与超目的使用个人信息上（涉及必要性的判断）。由于现行涉及个人信息使用的法律基本上是个人对个人控制（包括同意）为基调，法律仅有公共利益的限制，但没有数据使用者合法利益保护和社会发展或社会整体利益相关规定，因而现有的涉个人信息保护的执法也只能以法律规定为依据，以个人权利保护为目的。即使执法出于地方经济发展或就业等考量，也属于酌情之范畴，根本改变不了执法基准线。

从立法到执法基本现状以及《个人信息保护法》内容来看，我国个人信息保护仍然一头倒，呈现单向保护个人权利范式，即保护信息主体权利并基于公共利益考量给予适当限制。尽管数据治理概念在中国也得到普遍应用，但是，在法律对个人信息的定位属于个人人格利益，且仅仅通过限权来维护公共利益的情形下，不承认数据使用者或社会主体的利益的情形下，数据治理的理论和机制就无从实施。缺失个人信息上多元利益的承认，不明确个人信息的多方利益相关者的利益，任何数据治理，就仍然是借时髦治理概念行保护个人权益之实。

中国个人信息保护亟需范式的转型，从单一保护个人权利转向保护多利益相关者利益的数据治理范式。这需要认真研究在数字经济时代，数据成为驱动创新和社会经济发展资源的背景下，包括欧盟在内的国家均在从过去的保护转向治理，我们就没有必要再重复保护范式，将来再走向多元治理范式。

注释：

①Bevir，M.（2010）. 1 Governance as Theory，Practice，and Dilemma.

②European Commission，Regulation on data governance-Questions and Answers，https：//ec.europa.eu/commission/presscorner/detail/en/QANDA_20_2103?cookies=disabled

③Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on European data governance （Data Governance Act），COM（2020） 767 final 2020/0340（COD）

④the Data Sharing and Governance Act 2019，http：//www.irishstatutebook.ie/eli/2019/act/5/enacted/en/html

⑤Nathan Eagle，Engineering a Common Good： Fair Use of Aggregated，Anonymized Behavioral Data.

⑥《个人信息保护法》第四条第一款规定，个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

⑦在计算机网络应用之前，这些信息除了少数部分被口耳相传（传闻）得以传播或被档案或传记记载外，基本上不留痕迹，无据可查。而今天，人们的一切行为轨迹几乎都可以被记录下来，成为人们可以查询和分析个人的消费偏好、健康状况、资信状况和信用能力等的依据。

⑧Garfinkel，S.（2015），De-Identification of Personal Information，NIST Interagency/Internal Report （NISTIR），National Institute of Standards and Technology，Gaithersburg，MD，[online]，https：//doi.org/10.6028/NIST.IR.8053

⑨在网络环境下，我们可以通过了解一个人的个人属性（如职业、经历等）、网络浏览记录等数据来认识某个人的个性特征，然后将个性特征联系到某个具体个人。个人提供给社会的信息丰富了，不仅能够精确地识别一个人的特征，而且很容易识别一个人的身份。基于此，现在识别个体，甚至不需要识别个体身份（知道你是谁），而仅仅识别特定的抽象的个体。我们在网络环境中有许多身份标识符，典型的如用户名甚至IP 地址、 硬件识别号 （如手机IMEI 号），均可以视为一个个体。这样的个体实际上是“人格面具”（persona）。至于这个个体是谁，对应到现实中哪个具体的个人，则需要进行身份识别，即将具有某些特征的个体与具体的个人联系起来。识别并不必然要识别身份，更不必然跟一个人通信或联系。因此，在网络社会中，识别的基本含义就是通过分析关联数据以识别某个用户的个性特征（至于能否识别用户的身份，则取决于所掌握的数据是否匹配到某个人）。

⑩WORLD ECONOMIC FORUM，PERSONAL DATA：THE EMERGENCE OF A NEW ASSET CLASS 7 （Jan.2011）.p5.

⑪2020年3月，国务院发布《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》 提出土地、劳动、资本、技术、数据五个要素领域的改革方向。其中针对数据要素，第一次此明确了加快培育要素市场的发展方向，要求加强数据资源整合和安全保护。探索建立统一规范的数据管理制度，提高数据质量和规范性，丰富数据产品。研究根据数据性质完善产权性质。

⑫高富平：《论个人信息保护的目的——以个人信息保护法益区分为核心》，《法商研究》2019年第36 期。

⑬Yvonne McDermott，Conceptualising the right to data protection in an era of Big Data，Big Data&Society，January-June 2017，p4.

⑭王利明：《民法上的利益位阶及其考量》，《法学家》2014年第1 期。

⑮首先，隐私具有共同价值，因为所有个人对隐私会有某种评价，有某些共同看法。此外，隐私不仅对个人（作为个人或者所有共同体的成员）具有价值，对民主体制也具有价值。最后，隐私具有集体价值（collective value），技术和市场力量正在使个人信息保护相互联系在一起，在所有人没有相同的最低隐私保护水平的前提下，某个人很难享有隐私。参见Priscilla M.Regan，Legislating Privacy： Technology，Social Values and Public Policy，Chapel Hill，NC：University of North Carolina Press，1995.

⑯Alessandro Mantelero & Giuseppe Vaciago，Data protection in a big society. Ideas for a future regulation，Digital Investigation 15（2015），p.108.

⑰参见高富平：《个人信息保护：从个人控制到社会控制》《法学研究》2018年第5 期。

⑱GDPR 定义的数据控制者为： 是指单独或与他人共同决定个人数据处理的目的和方式的自然人、法人、公共权力机关、代理机构或其他机构。数据控制者或第三方基本上可以涵盖所有的社会主体。GDPR 第5 条第（f）项完整条文为：（f）数据控制者或第三方为追求合法利益目的而进行的必要数据处理，但当该利益与要求对个人数据进行保护的数据主体的利益或基本权利和自由相冲突时，尤其是当该数据主体为儿童时，则不得进行数据处理。

⑲《南财快评：新冠肺炎疫情会推动医疗数据全球共享吗？》，载21 财经，https：//m.21jingji.com/article/20200214/herald/209333f86aab705ff55f27e8c7a28b66.html（2020年3月30日访问）

⑳我国在《中国互联网状况》（中华人民共和国国务院新闻办公室，2010年） 中提出了我国境内的互联网属于中国主权管辖范围的观点。2015年在《国家安全法》首次规定了“网络空间主权”。2021年6月《中华人民共和国数据安全法》第一条明确“为了规范数据处理活动，保障数据安全，促进数据开发利用，保护个人、组织的合法权益，维护国家主权、安全和发展利益，制定本法。”将数据安全与国家主权联系在一起。