跨境數(shù)據(jù)觀察 | 歐盟GDPR的制度缺陷及其對(duì)我國《個(gè)人信息保護(hù)法》實(shí)施的警示【走出去智庫】-ESG跨境

走出去智庫觀察

5月10日，英國查爾斯王子代表伊麗莎白女王發(fā)表“女王議會(huì)演講”，演講包括有望在新的一年獲得通過的38部法案，其中之一是《數(shù)據(jù)改革法案》（Data Reform Bill）。該法案旨在指導(dǎo)英國偏離歐盟隱私立法，尋求簡化數(shù)據(jù)保護(hù)相關(guān)立法并減少繁文縟節(jié)，通過創(chuàng)建一種更靈活、以結(jié)果為中心的方法來減輕企業(yè)的負(fù)擔(dān)，同時(shí)還引入了更明確的個(gè)人數(shù)據(jù)使用規(guī)則。

走出去智庫（CGGT）觀察到，英國的數(shù)據(jù)保護(hù)法雖然借鑒了歐盟的《統(tǒng)一數(shù)據(jù)保護(hù)條例》（GDPR），但對(duì)GDPR監(jiān)管的復(fù)雜性有所修改。被譽(yù)為目前世界上最全面的數(shù)據(jù)隱私法的GDPR于2018年5月正式生效，其細(xì)致、頻繁的調(diào)查和嚴(yán)厲的處罰措施對(duì)全球的互聯(lián)網(wǎng)科技企業(yè)，尤其是臉書、亞馬遜、谷歌等科技巨頭公司的合規(guī)和隱私策略產(chǎn)生了重大影響，同時(shí)也令各國政策制定者和監(jiān)管機(jī)構(gòu)越來越意識(shí)到隱私對(duì)公民、企業(yè)和社會(huì)的重要性，啟發(fā)了各國的立法思路，進(jìn)而在多個(gè)維度上推動(dòng)全球隱私保護(hù)的治理格局產(chǎn)生變化。然而經(jīng)過多年實(shí)踐發(fā)現(xiàn)，GDPR雖然提高了個(gè)人數(shù)據(jù)保護(hù)的力度，但其實(shí)施卻屢陷爭議。

GDPR存在哪些問題？有何借鑒？今天，走出去智庫（CGGT）刊發(fā)華東政法大學(xué)數(shù)據(jù)法律研究中心主任高富平的文章，供關(guān)注數(shù)據(jù)合規(guī)管理的讀者參考。

要 點(diǎn)

CGGT，CHINA GOING GLOBAL THINKTANK

1、設(shè)置寬泛的合法性基礎(chǔ)并沒有給數(shù)據(jù)使用者以多少自由。這是GDPR制度設(shè)計(jì)內(nèi)在的最大缺陷。

2、由于數(shù)據(jù)處理存在于各種行業(yè)、領(lǐng)域和社會(huì)活動(dòng)（行為）之中，無邊界的數(shù)據(jù)處理行為，使個(gè)人信息處理一般原則可以被廣泛地適用，很難界定GDPR適用邊界。

3、個(gè)人信息最主要的功能是識(shí)別個(gè)人，因而個(gè)保立法多以識(shí)別來定義個(gè)人信息，它導(dǎo)致的結(jié)果是建立泛在的個(gè)人信息及泛在的個(gè)人信息處理，背離了個(gè)保法旨在防范個(gè)人信息處理可能引發(fā)的侵害個(gè)人權(quán)利的風(fēng)險(xiǎn)目的，最終導(dǎo)致法律對(duì)社會(huì)的過度干預(yù)，徒增社會(huì)運(yùn)行成本。

正 文

CGGT，CHINA GOING GLOBAL THINKTANK

文/高富平

華東政法大學(xué)教授

數(shù)據(jù)法律研究中心主任

2020年3月30日，中共中央、國務(wù)院發(fā)布了《關(guān)于構(gòu)建更加完善的要素市場(chǎng)化配置體制機(jī)制的意見》（下稱《意見》），提出土地、勞動(dòng)力、資本、技術(shù)、數(shù)據(jù)五大生產(chǎn)要素。這是著眼于數(shù)字經(jīng)濟(jì)背景下的市場(chǎng)要素的新定位，具有非常重要的意義。不過，數(shù)字經(jīng)濟(jì)發(fā)展面臨個(gè)人信息濫用和安全風(fēng)險(xiǎn)。我國自2012年開始移植域外的個(gè)人信息保護(hù)制度，并于去年頒布了《個(gè)人信息保護(hù)法》，11月1日正式生效實(shí)施?！秱€(gè)人信息保護(hù)法》的制定實(shí)施，有利于克服分散立法、規(guī)則不統(tǒng)一的弊端，更有助于建構(gòu)我國的個(gè)人信息保護(hù)制度。但在《個(gè)人信息保護(hù)法》貫徹實(shí)施之中，個(gè)人保護(hù)與個(gè)人信息流通利用需求之間的沖突不可小覷。顯然，在法律實(shí)施伊始就質(zhì)疑立法太欠妥當(dāng)。為此，筆者通過對(duì)我國立法有深度影響的《統(tǒng)一數(shù)據(jù)保護(hù)條例》（縮寫GDPR，以下使用縮寫）的分析，揭示個(gè)人信息保護(hù)法實(shí)施可能面臨的問題。

個(gè)人信息保護(hù)制度源自于域外，GDPR就是在特定時(shí)代特定社會(huì)政治經(jīng)濟(jì)背景下產(chǎn)生的個(gè)保法不斷演進(jìn)的產(chǎn)物。但它既不能適應(yīng)當(dāng)今時(shí)代發(fā)展需要，更不應(yīng)該是“放之四海”的準(zhǔn)則。GDPR潛在的制度缺陷和對(duì)歐盟數(shù)字經(jīng)濟(jì)的掣肘正在顯現(xiàn)。因而在GDPR生效不久，歐盟委員會(huì)即開始制定促進(jìn)數(shù)據(jù)流通利用或分享的制度，以緩解或校正GDPR的缺陷。2020年11月25日，歐盟委員會(huì)曾向歐盟立法機(jī)構(gòu)提出《數(shù)據(jù)治理?xiàng)l例建議案》，旨在促進(jìn)各部門和成員國之間的數(shù)據(jù)分享，并將數(shù)據(jù)分享（data sharing）作為數(shù)據(jù)戰(zhàn)略的一個(gè)關(guān)鍵支柱。這種新的數(shù)據(jù)治理方式將增加對(duì)數(shù)據(jù)分享的信任，加強(qiáng)提高數(shù)據(jù)可用性的機(jī)制，并克服數(shù)據(jù)重用（re-use）方面的技術(shù)障礙。2022年又提出《數(shù)據(jù)法建議案》以確保企業(yè)與企業(yè)之間（B2B）合法的數(shù)據(jù)分享（流通）和使用，以創(chuàng)建公平的數(shù)據(jù)經(jīng)濟(jì)。兩個(gè)建議案有著共同的目標(biāo)和內(nèi)容，都是為了解決歐盟單一數(shù)字經(jīng)濟(jì)發(fā)展面臨的制度障礙。

顯然上世紀(jì)七八十年代形成的以保護(hù)個(gè)人權(quán)利為中心的個(gè)人信息保護(hù)規(guī)則已經(jīng)不能適應(yīng)數(shù)據(jù)資源化、生產(chǎn)要素化的需要，甚至與該要求相悖。在數(shù)據(jù)驅(qū)動(dòng)發(fā)展背景下，包括歐盟在內(nèi)的世界各國正在探討新的解決路徑。在這樣的背景下，如何解釋和適用《個(gè)人信息保護(hù)法》，避免繼續(xù)墜入GDPR的困境，是我國應(yīng)當(dāng)警惕的。本文旨在剖析GDPR內(nèi)在的缺陷和原因，并在此基礎(chǔ)上提出《個(gè)人信息保護(hù)法》解釋和適用的方向，以緩解個(gè)人信息保護(hù)與社會(huì)經(jīng)濟(jì)發(fā)展之間的沖突和矛盾。

一、GDPR的基本定位

GDPR具有雙重目的：一方面是保護(hù)個(gè)人數(shù)據(jù)（個(gè)人信息，本文通用）處理和流通過程中所涉及到的自然人的基本權(quán)利與自由，尤其保護(hù)其個(gè)人信息保護(hù)權(quán)；另一方面是促進(jìn)個(gè)人信息在歐盟境內(nèi)的自由流通。這兩個(gè)目的所代表的價(jià)值追求是對(duì)立的，GDPR開出的處方是統(tǒng)一數(shù)據(jù)保護(hù)水平，強(qiáng)化個(gè)人信息保護(hù)權(quán)，增強(qiáng)公民信心從而實(shí)現(xiàn)個(gè)人信息的流動(dòng)利用。GDPR根本就沒有考慮個(gè)人信息的資源屬性，給予數(shù)據(jù)控制者以流動(dòng)數(shù)據(jù)的權(quán)利，實(shí)現(xiàn)數(shù)據(jù)流通利用。這樣的設(shè)想是美好的，但法律實(shí)施效果甚或人們的解讀并不是那么美好。

（一）GDPR是一部基本權(quán)利保護(hù)法

世界各國均將個(gè)人信息保護(hù)視為保護(hù)個(gè)人尊嚴(yán)或自由的一項(xiàng)基本人權(quán)（或基本權(quán)利），個(gè)保法是基本人權(quán)保護(hù)法。

歐洲的個(gè)人信息保護(hù)立法源自于歐洲委員會(huì)在1981年制定的《個(gè)人信息自動(dòng)處理中的個(gè)人保護(hù)公約》（下稱《公約》），該《公約》是為了落實(shí)《歐洲人權(quán)公約》（縮寫ECHR，1953年9月生效）。ECHR中的第8條（尊重私人和家庭生活的權(quán)利）是《世界人權(quán)公約》第12條在歐洲法中的體現(xiàn)，《世界人權(quán)宣言》第12條和ECHR第8條中“家庭”和“通信”在世界許多國家憲法中均已確立并有相當(dāng)?shù)臍v史了，但“隱私”和“私人生活”則是新的。由此歐洲將個(gè)人尊嚴(yán)和家庭生活受尊重，視為公民最為重要的基本權(quán)利之一?！豆s》即是用來貫徹EUHR第8條，將個(gè)人信息保護(hù)視為“尊重私人生活”這一基本人權(quán)的重要內(nèi)容。

基于對(duì)私人生活的理解，歐洲人權(quán)法院將其分為三種類型（類型間可能有重疊）：（1）包括了身體的、精神的完整；（2）隱私；（3）身份和自主。而數(shù)據(jù)保護(hù)被囊括進(jìn)隱私類別之中，他們認(rèn)為，使用個(gè)人信息對(duì)個(gè)人進(jìn)行不可預(yù)測(cè)的分析可能對(duì)言論自由、隱私權(quán)和身份權(quán)（the right to privacy and identity），以及個(gè)人自決造成影響。因此，歐洲個(gè)保法制度源自基本人權(quán)保護(hù)，源自人權(quán)意義上的隱私權(quán)。

但是，之后歐盟落實(shí)《公約》過程中，將個(gè)人信息從隱私權(quán)中獨(dú)立出來成為一項(xiàng)獨(dú)立的基本權(quán)利——個(gè)人信息保護(hù)權(quán)。2000年《歐盟基本權(quán)利憲章》除了在第7條規(guī)定隱私權(quán)（與ECHR第8條同）之外，還規(guī)定了第8條，將個(gè)人信息保護(hù)上升為一種獨(dú)立的公民基本權(quán)利。2009年《歐盟運(yùn)行條約》（TFEU）的簽署使得憲章的規(guī)定具有了法律效力。TFEU第16條重申了個(gè)人信息保護(hù)權(quán)，為對(duì)各個(gè)領(lǐng)域的個(gè)人信息進(jìn)行全面保護(hù)提供了堅(jiān)實(shí)的法律基礎(chǔ)。GDPR也正是基于第16條制定的。

基本權(quán)利具有雙重屬性，人格權(quán)本質(zhì)上是源自對(duì)作為主體的人的保護(hù)，在普通法體系下人格權(quán)被納入隱私權(quán)之中，而在大陸法系人格權(quán)被分為憲法上的人格權(quán)和私法上人格權(quán)。實(shí)際上，二者都是以保護(hù)自治和人的尊嚴(yán)為目的。但是，至今并沒有國家在民法典中直接規(guī)定個(gè)人信息保護(hù)權(quán)。個(gè)人信息保護(hù)基本上是在公民基本權(quán)利層面進(jìn)行。

無論是否基于數(shù)據(jù)主體（信息主體，本文通用）的同意，依據(jù)GDPR數(shù)據(jù)主體可以通過隨時(shí)撤回同意、拒絕性權(quán)利（限制處理權(quán)、拒絕權(quán)、拒絕自動(dòng)分析約束權(quán)）、移轉(zhuǎn)權(quán)和刪除權(quán)“參與”到數(shù)據(jù)處理全過程，使數(shù)據(jù)主體在法律上（至少在法律形式上）能控制個(gè)人信息處理，防范個(gè)人信息濫用。這些權(quán)利是為了維護(hù)數(shù)據(jù)主體尊嚴(yán)，防范數(shù)據(jù)控制人的濫用行為的權(quán)利，本質(zhì)上屬于維護(hù)個(gè)人尊嚴(yán)，而非對(duì)數(shù)據(jù)的排他支配權(quán)。

我們一定要明確，GDPR是一部公民基本權(quán)利保護(hù)法，而不是一部私法或人格權(quán)法，我們不能將GDPR賦予的權(quán)利與私權(quán)直接劃等號(hào)。這樣做最大的好處是便于國際對(duì)抗和談判。因?yàn)槲覀兒茈y拿保護(hù)私權(quán)在國際事務(wù)中說事，而一旦保護(hù)公民基本權(quán)利時(shí)，大家就可以相對(duì)抗并取得共識(shí)。

（二）GDPR是一部歐洲市場(chǎng)統(tǒng)一法

歐洲議會(huì)和歐盟理事會(huì)1995年10月24日通過《有關(guān)個(gè)人數(shù)據(jù)處理中的個(gè)人保護(hù)和所涉數(shù)據(jù)自由流通的第95/46/EC/號(hào)指令》（下稱《指令》）。借助《指令》，歐盟成員國率先開啟了制定個(gè)人信息保護(hù)單行法的潮流，并對(duì)整個(gè)世界產(chǎn)生了影響。

1991年，歐洲一體化取得重大進(jìn)展，歐共體首腦會(huì)議當(dāng)年通過了《馬斯特里赫特條約》（1993年11月正式生效），宣告了歐盟的正式成立。歐盟的目標(biāo)是統(tǒng)一歐洲市場(chǎng)。本來公約已經(jīng)為數(shù)據(jù)保護(hù)建立了很好的法律框架。但有些成員國拖延實(shí)施公約，而實(shí)施公約的效果也不盡相同，甚至在一些情形給個(gè)人信息向他國流動(dòng)施加限制。為此，歐盟委員會(huì)非常擔(dān)心統(tǒng)一規(guī)則的缺失會(huì)妨礙內(nèi)部市場(chǎng)的發(fā)展，尤其是對(duì)個(gè)人信息處理在人力資源和服務(wù)自由流動(dòng)扮演重要角色的行業(yè)。1990年委員會(huì)即提出指令建議案，目的有二：一是保護(hù)個(gè)人信息權(quán)利，二是消除個(gè)人信息在共同體內(nèi)部自由流通的障礙。1993年，歐共體委員會(huì)發(fā)布白皮書《增長、競(jìng)爭力與就業(yè)——進(jìn)入21世紀(jì)的挑戰(zhàn)與道路》，強(qiáng)調(diào)信息時(shí)代的來臨不可阻擋，與建立統(tǒng)一的商品、服務(wù)、人力資源市場(chǎng)一樣，在歐洲建立一個(gè)統(tǒng)一的信息市場(chǎng)是提高歐洲全球競(jìng)爭力的必備條件，而統(tǒng)一的信息法律制度是建立統(tǒng)一信息市場(chǎng)的基石，也是充分保護(hù)個(gè)人權(quán)利的必然要求。之后，經(jīng)過反復(fù)爭論和調(diào)研，最終在1995年10月24日《指令》獲得通過。

《指令》有雙重目的：首先它要求成員國保護(hù)自然人基本權(quán)利和自由；其次它要求成員國不要基于保護(hù)而限制或禁止個(gè)人信息在成員國之間的流動(dòng)。這兩項(xiàng)目標(biāo)相互關(guān)聯(lián)，旨在使成員國達(dá)到相同的保護(hù)水平以實(shí)現(xiàn)內(nèi)部市場(chǎng)的平衡發(fā)展。這兩項(xiàng)目的可以從《指令》第1條立法目的規(guī)定看出，指令保護(hù)自然人的基本權(quán)利和自由，尤其是數(shù)據(jù)處理過程中的個(gè)人隱私權(quán)，但這不能成為各成員國限制或禁止數(shù)據(jù)在成員國之間合法流通的借口。《指令》雖然促成成員國更加一致化，但仍然不能提供完全一致的解決方案。這就導(dǎo)致GDPR的誕生。GDPR在形式上一改指令的指引規(guī)范，成為直接適用的歐盟法。之所以要上升為歐盟法律，是因?yàn)闅W盟不滿足于各成員國在立法和實(shí)施上的差異化保護(hù)，這妨礙商品、人員、服務(wù)和資本自由流動(dòng)，妨礙單一市場(chǎng)（The Single Market）建立。制定歐盟范圍內(nèi)統(tǒng)一的數(shù)據(jù)保護(hù)條例以取代分散立法的模式已成為歐盟實(shí)施“數(shù)字單一市場(chǎng)”戰(zhàn)略的重要籌碼。

筆者對(duì)GDPR簡要評(píng)價(jià)如下：GDPR通過調(diào)整個(gè)人信息處理行為來保護(hù)的對(duì)象是個(gè)人信息處理和流通過程中涉及的自然人基本權(quán)利與自由，促進(jìn)個(gè)人信息在歐盟境內(nèi)的自由流通，它是一部地地道道的以經(jīng)濟(jì)為目的的法。

二、GDPR：背離初衷的制度設(shè)計(jì)

GDPR的偉大之處在于將保護(hù)公民基本權(quán)利的法制變?yōu)橥苿?dòng)和保障歐盟數(shù)字經(jīng)濟(jì)發(fā)展的法律。其基本邏輯是既然個(gè)人信息與個(gè)人有關(guān)聯(lián)，而個(gè)人是主體，就不能像對(duì)待客體那樣隨意處理。為此建立個(gè)人信息保護(hù)權(quán)來保護(hù)公民基本權(quán)利不因個(gè)人信息處理受到侵害。只要遵循統(tǒng)一的法律，個(gè)人權(quán)利就能夠在歐盟范圍得到尊重和保護(hù)，促進(jìn)個(gè)人信息在全境自由流通，同時(shí)可以高筑防御國外數(shù)字經(jīng)濟(jì)競(jìng)爭的高墻。但是GDPR上述設(shè)想似乎是美好的理想，而這種理想是否能夠?qū)崿F(xiàn)還未得到充分的驗(yàn)證。這里僅從理論和邏輯的角度分析GDPR，我們發(fā)現(xiàn)其制度設(shè)計(jì)背離其初衷，不能實(shí)現(xiàn)個(gè)人信息流通利用的目的。

（一）寬泛合法性基礎(chǔ)未實(shí)現(xiàn)個(gè)人信息流通

GDPR設(shè)置寬泛的合法性基礎(chǔ)旨在給社會(huì)主體使用個(gè)人信息“授權(quán)”，以避免數(shù)據(jù)使用單一受主體意志（同意）左右，形成個(gè)人信息可以為滿足不同社會(huì)目的使用的局面。但其效果并非如此。

在數(shù)據(jù)主體權(quán)利被歐盟獨(dú)立為基本權(quán)利前提下，立法對(duì)主體權(quán)利的保護(hù)被置于社會(huì)利益或數(shù)據(jù)控制者利益之上。在筆者看來，數(shù)據(jù)控制者即個(gè)人信息的使用者體現(xiàn)社會(huì)利益，因此，數(shù)據(jù)控制者的合法利益恰恰體現(xiàn)為數(shù)據(jù)的社會(huì)價(jià)值（利益）。盡管立法者認(rèn)為需要平衡個(gè)人利益和社會(huì)利益、公共利益，但在法律設(shè)計(jì)中仍然給了數(shù)據(jù)主體權(quán)利以優(yōu)先保護(hù)。這體現(xiàn)在GDPR第6條的合法性基礎(chǔ)中，“數(shù)據(jù)控制者或第三人的合法利益”是六項(xiàng)合法性基礎(chǔ)之一，但是需要與數(shù)據(jù)主體利益相平衡，沖突時(shí)優(yōu)先保護(hù)主體權(quán)利。也就是說，GDPR并沒有真正將數(shù)據(jù)作為社會(huì)資源，給予數(shù)據(jù)使用者應(yīng)有的地位和權(quán)利。個(gè)人權(quán)利優(yōu)先，就意味著在模棱兩可的情形下，數(shù)據(jù)使用者征詢個(gè)人的同意是最保險(xiǎn)的做法。因此，雖然與其他五項(xiàng)并列，似乎數(shù)據(jù)使用者可以自由選擇合法性基礎(chǔ)，但實(shí)際上并沒有太多的自由。GDPR第6條看似給了數(shù)據(jù)使用者自主使用數(shù)據(jù)的權(quán)利（以“合法利益”作為合法基礎(chǔ)），但實(shí)際上適用相當(dāng)有限；同時(shí)即使訂立或履行合同可以作為合法基礎(chǔ)，但是考慮到其數(shù)據(jù)再利用或在初始目的之外使用，最便捷和安全的方式仍然是設(shè)置同意。這樣，GDPR縱然包含多樣的合法性基礎(chǔ)，最終仍然導(dǎo)致同意泛化。設(shè)置寬泛的合法性基礎(chǔ)并沒有給數(shù)據(jù)使用者以多少自由。這是GDPR制度設(shè)計(jì)內(nèi)在的最大缺陷。

（二）加強(qiáng)對(duì)主體保護(hù)未實(shí)現(xiàn)個(gè)人信息流通

歐盟對(duì)數(shù)據(jù)自由流通的促進(jìn)和保障并不是通過限制各國權(quán)力來實(shí)現(xiàn)的，而是通過提高保護(hù)水平實(shí)現(xiàn)的。其促進(jìn)個(gè)人信息自由流通的邏輯是：將個(gè)人信息保護(hù)權(quán)明確為獨(dú)立的基本權(quán)利有利于強(qiáng)化對(duì)個(gè)人的保護(hù)，在各國的保護(hù)規(guī)則和水平一致情形下，個(gè)人就可以增強(qiáng)個(gè)人信息受到保護(hù)的信心，有利于個(gè)人信息在歐盟境內(nèi)的流動(dòng)利用。

在將個(gè)人信息保護(hù)上升為公民基本權(quán)利的同時(shí)，GDPR強(qiáng)調(diào)該權(quán)利應(yīng)當(dāng)?shù)玫浇^對(duì)保護(hù)，也就是GDPR規(guī)定了數(shù)據(jù)主體權(quán)利是一“硬”標(biāo)準(zhǔn)，任何情形下均不能削弱對(duì)主體權(quán)利的保護(hù)。只有在數(shù)據(jù)控制合規(guī)和安全義務(wù)方面，可以根據(jù)數(shù)據(jù)處理者的規(guī)模、數(shù)據(jù)處理量、數(shù)據(jù)處理方式等的不同而有所變化。所有的數(shù)據(jù)處理必須以符合法律的方式進(jìn)行，只是在實(shí)現(xiàn)方式上可以更彈性。這也就是說，從指令到GDPR，所謂基于原則的規(guī)范是不徹底的，數(shù)據(jù)主體權(quán)利的絕對(duì)性和數(shù)據(jù)控制者可以基于風(fēng)險(xiǎn)進(jìn)行合規(guī)和安全管理是不對(duì)等的，這其實(shí)導(dǎo)致GDPR基于風(fēng)險(xiǎn)的合規(guī)管理也變得僵硬。

強(qiáng)化數(shù)據(jù)主體權(quán)利的做法，意味著必然擴(kuò)充數(shù)據(jù)控制者與處理者的義務(wù)，使得數(shù)據(jù)控制者和處理者要花費(fèi)更多人力和成本去履行更多義務(wù)與職責(zé)，同時(shí)意味著巨額的統(tǒng)一執(zhí)法成本。這使條例在是否能夠提升歐盟數(shù)字經(jīng)濟(jì)競(jìng)爭力方面越來越受到質(zhì)疑。也就是說，GDPR制定的最終目的是促進(jìn)個(gè)人信息在歐盟境內(nèi)的自由流通（促成數(shù)字單一市場(chǎng)），而實(shí)現(xiàn)這個(gè)目的的手段是強(qiáng)化公民的個(gè)人信息保護(hù)權(quán)（立法直接目的），實(shí)際結(jié)果可能事與愿違，背離其初衷。

GDPR不僅是立法替代之前的《指令》，而且是對(duì)《指令》內(nèi)容全面系統(tǒng)的更新。其政治目的是一貫的，體現(xiàn)了歐盟試圖通過簡化和統(tǒng)一數(shù)據(jù)保護(hù)法律規(guī)則來構(gòu)筑簡明的單一市場(chǎng)法律環(huán)境的野心。為應(yīng)對(duì)數(shù)字化挑戰(zhàn)，GDPR企圖建立與大數(shù)據(jù)應(yīng)用相匹配的數(shù)據(jù)保護(hù)和利用法律制度體系，來促進(jìn)個(gè)人信息在歐盟內(nèi)的自由流通和使用。立法者仍然選擇強(qiáng)化個(gè)人信息在歐盟內(nèi)的保護(hù)水平并建立統(tǒng)一執(zhí)法路徑，來加強(qiáng)個(gè)人信息流通和利用過程中所涉及各類主體之間的互信感，以給歐盟企業(yè)帶來制度紅利。但這樣的目的能否實(shí)現(xiàn)，尚需考證。

尤其需要指出的是，GDPR對(duì)自由流通的保護(hù)不具有普世性，而是限定在歐盟范圍之內(nèi)。將個(gè)人信息的自由流通限定在歐盟范圍內(nèi)，實(shí)際是揭示了GDPR制定的政治目的，即促進(jìn)歐盟數(shù)字化單一市場(chǎng)的形成和建立。

（三）未考慮個(gè)人信息流通路徑

在GDPR的框架下，個(gè)人信息自由流通優(yōu)于個(gè)人權(quán)利保護(hù)。但是在制度設(shè)計(jì)上并沒有考慮數(shù)據(jù)自由流通，表現(xiàn)為沒有給數(shù)據(jù)控制者流通個(gè)人信息的權(quán)利。GDPR給了數(shù)據(jù)控制者基于合法性基礎(chǔ)，在特定目的范圍內(nèi)使用數(shù)據(jù)的權(quán)利，但是對(duì)于個(gè)人信息的利用仍受制于數(shù)據(jù)主體的個(gè)人意志，個(gè)人可以隨時(shí)撤回同意，也享有在特定條件下拒絕處理、刪除等權(quán)利。

在GDPR框架下，數(shù)據(jù)控制者僅享有在特定目的范圍內(nèi)使用個(gè)人信息的權(quán)利，包括在目的相容或一致時(shí)將個(gè)人信息提供給他人使用。在某種意義上，GDPR給了數(shù)據(jù)控制者在初始目的范圍內(nèi)流通個(gè)人信息的權(quán)利，只是這樣的流通利用非常有限。之所以這樣就是因?yàn)镚DPR仍然嚴(yán)格堅(jiān)持目的限定原則，將個(gè)人信息的利用嚴(yán)格限定于初始收集時(shí)即確定特定目的范圍內(nèi)。其背后的邏輯是個(gè)人信息與個(gè)人有關(guān)，個(gè)人雖然不能控制（阻止）他人使用，但是無論基于同意還是非基于同意的使用，均應(yīng)當(dāng)限定在特定目的必要范圍內(nèi)，這樣就實(shí)現(xiàn)了個(gè)人信息利用的可控，而不任由數(shù)據(jù)控制者使用，成為其可自由使用的資源。在某種意義上，目的限定和必要性原則使個(gè)人信息利用符合數(shù)據(jù)主體利益，使數(shù)據(jù)主體仍然可以“控制”數(shù)據(jù)的使用。也就是說，目的限定和必要性原則背后的理念是個(gè)人控制。

對(duì)于個(gè)人信息保護(hù)權(quán)一定要有正確的理解。首先它并不是一項(xiàng)權(quán)利，而是一項(xiàng)制度、一項(xiàng)法律原則。其完整的含義是：在處理數(shù)據(jù)主體的個(gè)人信息時(shí)，應(yīng)當(dāng)保護(hù)數(shù)據(jù)主體在個(gè)人信息上的各種權(quán)利，而這些具體權(quán)利的實(shí)現(xiàn)最終旨在保護(hù)數(shù)據(jù)主體的人權(quán)，即“基本權(quán)利和自由”。因此，它仍然屬于基本人權(quán)范疇。其次，個(gè)人信息保護(hù)權(quán)并不完全等同于GDPR第3章“數(shù)據(jù)主體權(quán)利”所規(guī)定的權(quán)利，數(shù)據(jù)主體權(quán)利只是個(gè)人信息保護(hù)權(quán)利在一些場(chǎng)景下的明確，是個(gè)人可以行使的具體權(quán)利，但不是法律保障的全部。但是有一點(diǎn)可以肯定，GDPR賦予了數(shù)據(jù)主體一攬子權(quán)利，以防范數(shù)據(jù)控制者違法或不當(dāng)處理數(shù)據(jù)，數(shù)據(jù)主體的權(quán)利因違法的個(gè)人信息處理行為而遭受侵害時(shí)，數(shù)據(jù)主體有權(quán)向當(dāng)?shù)乇O(jiān)管機(jī)構(gòu)投訴，對(duì)違法行為予以查處、糾正；同時(shí)也有權(quán)直接尋求司法救濟(jì)，向該數(shù)據(jù)控制者或數(shù)據(jù)處理者營業(yè)地所在成員國的法院提出訴訟。相比較而言，GDPR更加重視行政保護(hù)，建立了以公權(quán)力監(jiān)管機(jī)構(gòu)為核心的數(shù)據(jù)行政保護(hù)機(jī)制，目的在于保證個(gè)人信息在成員國之間的自由流動(dòng)，并在歐盟的范圍內(nèi)保障給予基本權(quán)利和自由權(quán)利更高水平的保護(hù)。無論如何，這種更高水平的保護(hù)極大限制了數(shù)據(jù)的自由流通。

三、GDPR：內(nèi)在缺陷帶來的實(shí)施困境

GDPR最大的問題在于以可識(shí)別個(gè)人為標(biāo)準(zhǔn)建立了無邊界個(gè)人信息概念，建立了模糊的識(shí)別概念，同時(shí)以接觸個(gè)人信息為標(biāo)準(zhǔn)建立了無所不包的處理行為，這樣使GDPR的調(diào)整范圍漫無邊界，這也給GDPR的實(shí)施和執(zhí)行帶來很大的不確定性，成為最讓人詬病的地方。這樣的法律會(huì)造成對(duì)社會(huì)的過度干預(yù)，導(dǎo)致社會(huì)運(yùn)行成本過高，甚至是徒增成本，而沒有任何積極的后果（保護(hù)數(shù)據(jù)主體權(quán)利）。GDPR本身展示了兩個(gè)相沖突的效果：一方面它旨在簡化規(guī)制環(huán)境和統(tǒng)一法律標(biāo)準(zhǔn)，降低成本；另一方面也給歐盟的公司增加了額外的負(fù)擔(dān)和成本。

（一）無邊的個(gè)人信息

GDPR對(duì)于調(diào)整對(duì)象“個(gè)人信息處理”中的個(gè)人信息采取三分法，一般個(gè)人信息、特殊個(gè)人信息和非個(gè)人信息。因此，凡符合個(gè)人信息的則適用該法，若不屬于，則不適用。個(gè)人信息范圍（及處理活動(dòng)）關(guān)系著GDPR適用范圍問題。

GDPR第4條（1）對(duì)個(gè)人信息定義核心是“與自然人有關(guān)的任何信息”（any information relating to an natural person），而自然人又分為“已識(shí)別或可識(shí)別”（identified or identifiable）。兩個(gè)因素使個(gè)人信息沒有邊界：

其一，可識(shí)別的自然人。已經(jīng)識(shí)別是指知道被識(shí)別的主體是誰（知道姓名），而可識(shí)別的自然人，則是采取技術(shù)手段可以從數(shù)據(jù)中“挖掘”出某人。通常是有一個(gè)網(wǎng)絡(luò)ID或數(shù)字ID，然后再匹配更多數(shù)據(jù)進(jìn)行分析，來識(shí)別出數(shù)據(jù)主體是誰。

其二，與可識(shí)別自然人有關(guān)的任何信息。其范圍取決于識(shí)別分析技術(shù)和識(shí)別目的。如前所述，識(shí)別分識(shí)別個(gè)人身份和識(shí)別個(gè)性特征。定義后半段對(duì)個(gè)人信息進(jìn)行了不完全列舉，在這些列舉中包括了身份性信息如姓名、身份證號(hào)、定位數(shù)據(jù)、網(wǎng)絡(luò)標(biāo)識(shí)符等標(biāo)識(shí)符，也包括身體、心理、基因、精神狀態(tài)、經(jīng)濟(jì)、文化、社會(huì)等方面的個(gè)人屬性和特征信息。

在大數(shù)據(jù)分析背景下，任何數(shù)據(jù)都具有識(shí)別個(gè)人的能力，而且在很多情形下，很多身份性數(shù)據(jù)也可以分析個(gè)性特征，而個(gè)性特征方面的數(shù)據(jù)也可以分析身份。這樣，隨著分析技術(shù)的進(jìn)步具有識(shí)別性的數(shù)據(jù)就越來越多、越來越廣。

GDPR定義中關(guān)于“可識(shí)別的自然人”的任何信息，就演變?yōu)橐磺芯哂凶R(shí)別性的數(shù)據(jù)。區(qū)分個(gè)人信息與非個(gè)人信息的唯一標(biāo)準(zhǔn)就是看數(shù)據(jù)是否具有“識(shí)別性”或識(shí)別個(gè)人的能力。而數(shù)據(jù)的識(shí)別個(gè)人能力又取決于技術(shù)，這樣以識(shí)別性或識(shí)別能力為標(biāo)準(zhǔn)使得人們很難區(qū)分出個(gè)人信息與非個(gè)人信息。

荷蘭學(xué)者Nadezhda Purtova指出，29條工作組指南和歐洲法院（CJEU）的判例法促使我們判斷，在不遠(yuǎn)的將來任何事物都將包含個(gè)人信息，導(dǎo)致數(shù)據(jù)保護(hù)應(yīng)用于各種情形。當(dāng)數(shù)據(jù)驅(qū)動(dòng)機(jī)構(gòu)的超級(jí)互聯(lián)網(wǎng)絡(luò)生活到來時(shí)，嚴(yán)格遵守GDPR將使其成為“萬物之法”，這本意是好的，但不可能實(shí)現(xiàn)。

筆者認(rèn)為，個(gè)人能夠控制的只有身份信息和一些基本屬性信息；我們每個(gè)人能夠判斷的單個(gè)身份信息或包含身份信息的數(shù)據(jù)集是某個(gè)人的，而一旦脫離具體的場(chǎng)景，脫離身份信息，我們無法判斷某個(gè)信息是否屬于個(gè)人信息或者屬于哪個(gè)人。相對(duì)而言，身份信息（包括姓名、身份證、電話等社會(huì)身份和生物識(shí)別標(biāo)識(shí)符）則是有限的。實(shí)際上，個(gè)人能夠控制的限于這些標(biāo)識(shí)信息，而我們社會(huì)人能夠判斷的也只有這些信息。除此之外的識(shí)別性個(gè)人信息是無法事先識(shí)別為某人的，而當(dāng)無法識(shí)別時(shí)我們就不能給社會(huì)主體施加注意義務(wù)，比如要求取得同意或者告知等。因此，泛在的個(gè)人信息均適用同意是不可能的，最為可行的是只有事后處理行為有危害后果時(shí)，才能行使權(quán)利。因此預(yù)防式的保護(hù)應(yīng)當(dāng)是有限的。而目前無論我國還是GDPR均面臨泛在的個(gè)人信息如何適用法律規(guī)范的難題。

（二）模糊的個(gè)人識(shí)別

識(shí)別是個(gè)保法中的核心概念，但是沒有明確的定義。識(shí)別是廣泛存在于社會(huì)交往中的一種行為，基本含義為了解一個(gè)人的品質(zhì)、特性、潛力、信用等。這里有一個(gè)假設(shè)是，知道該人是誰。識(shí)別還有另外一層含義，是在不知道是誰的時(shí)候，還可以基于過去的事實(shí)（留下來的行為痕跡）來分析是誰做的，以便令其承擔(dān)責(zé)任。利用個(gè)人相關(guān)的數(shù)據(jù)進(jìn)行這兩類識(shí)別分析，自古至今均一直存在。個(gè)人信息的大量產(chǎn)生及其分析技術(shù)的進(jìn)步導(dǎo)致人類對(duì)個(gè)體的識(shí)別分析發(fā)生翻天覆地的變化。

在過去，通常需要先接觸或知道姓名等身份信息，才能不斷收集有關(guān)于該人的信息，而且能夠關(guān)聯(lián)該個(gè)人的均是社會(huì)身份。隨著計(jì)算機(jī)的應(yīng)用，尤其在網(wǎng)絡(luò)環(huán)境下，每個(gè)計(jì)算機(jī)或網(wǎng)絡(luò)用戶注冊(cè)時(shí)一般為其分配獨(dú)一無二的標(biāo)識(shí)符（用戶ID），這樣基于網(wǎng)絡(luò)流量檢測(cè)工具就會(huì)形成關(guān)于該用戶的文檔，基于該文檔就可以對(duì)某個(gè)人的個(gè)性特征進(jìn)行分析。實(shí)際上，任何一個(gè)網(wǎng)絡(luò)和智能設(shè)備都有一個(gè)唯一性代碼，用來識(shí)別數(shù)據(jù)來源（統(tǒng)稱為用戶）。利用網(wǎng)絡(luò)用戶ID和設(shè)備ID對(duì)應(yīng)的數(shù)據(jù)（每個(gè)用戶都有獨(dú)立的用戶檔案被稱為profile），就可以對(duì)來源于該用戶的數(shù)據(jù)進(jìn)行個(gè)性識(shí)別分析（profiling）。

于是，為了適應(yīng)網(wǎng)絡(luò)環(huán)境出現(xiàn)了專門的用于識(shí)別個(gè)人的標(biāo)識(shí)符（identifier）概念。標(biāo)識(shí)符是指用來標(biāo)識(shí)某個(gè)實(shí)體的一個(gè)符號(hào)，在不同的應(yīng)用環(huán)境下有不同的含義。作為計(jì)算機(jī)語言的用語，標(biāo)識(shí)符一定是在一個(gè)處理域內(nèi)具有唯一性。標(biāo)識(shí)符也普遍地應(yīng)用于個(gè)人信息處理中，用來區(qū)分用戶或個(gè)體。標(biāo)識(shí)符屬于識(shí)別個(gè)人的信息。但并非所有識(shí)別個(gè)人的信息都可以作為標(biāo)識(shí)符。能夠唯一關(guān)聯(lián)到個(gè)人的社會(huì)身份信息、網(wǎng)絡(luò)設(shè)備ID（或數(shù)字身份）都可以成為標(biāo)識(shí)符。

在網(wǎng)絡(luò)時(shí)代，識(shí)別分析可以基于網(wǎng)絡(luò)用戶和設(shè)備ID等標(biāo)識(shí)符開展。這個(gè)時(shí)候的識(shí)別僅僅是對(duì)個(gè)體（而非群體）的識(shí)別還沒有到具體個(gè)人（識(shí)別是誰）。此時(shí)，利用網(wǎng)絡(luò)通信，也可以向該用戶聯(lián)絡(luò)，觸達(dá)該用戶。甚至在一些完全電子化的交易（合同締結(jié)和履行全部通過網(wǎng)絡(luò)進(jìn)行），識(shí)別用戶身份也是多余的。

歐盟立法者認(rèn)識(shí)到這樣的變化，將識(shí)別定義為識(shí)別個(gè)人而非識(shí)別身份。第29條工作組認(rèn)為“在互聯(lián)網(wǎng)中，網(wǎng)絡(luò)流量監(jiān)測(cè)工具的存在使得能夠容易地識(shí)別機(jī)器的行為以及機(jī)器背后的用戶”、“由于個(gè)人的接觸點(diǎn)（一臺(tái)電腦）在狹義上不再必須要求其身份的披露，在不需要詢問個(gè)人的名字和用戶的情況下，也能夠在其社會(huì)經(jīng)濟(jì)、生理、心理以及其他特征方面的屬性對(duì)其進(jìn)行分類并做出一定決定”。這實(shí)際上是對(duì)cookies為首的身份認(rèn)證技術(shù)的回應(yīng)，即認(rèn)為如此也是一種識(shí)別。本質(zhì)上cookies的存在是在匿名登錄下使用標(biāo)識(shí)符的一種“身份”認(rèn)證技術(shù)，此種身份是指互聯(lián)網(wǎng)個(gè)體標(biāo)簽，并不直接對(duì)應(yīng)社會(huì)身份。對(duì)于識(shí)別個(gè)人，GDPR明確了識(shí)別的路徑。但是值得注意的是，歐盟并沒有將標(biāo)識(shí)符作為唯一識(shí)別路徑，其還承認(rèn)了個(gè)人屬性與標(biāo)識(shí)符的并列地位，這意味著識(shí)別既可以僅憑標(biāo)識(shí)符或僅憑個(gè)人屬性（描述數(shù)據(jù)），或者二者結(jié)合。

因?yàn)閿?shù)據(jù)之間存在聯(lián)系，并存在結(jié)合的可能，已識(shí)別與可識(shí)別本質(zhì)上就是直接識(shí)別和間接識(shí)別的區(qū)分，而間接識(shí)別的確立使得個(gè)人信息的概念變得非常廣泛。但是從GDPR的鑒于條款中，還是為個(gè)人信息向非個(gè)人信息轉(zhuǎn)換預(yù)留了窗口，例如為了確定自然人是否是可識(shí)別的，應(yīng)當(dāng)考慮所有可能使用的合理手段，比如由數(shù)據(jù)控制者或其他人直接或者間接地識(shí)別出自然人的挑選行為。為了確定手段是否可能合理地用于識(shí)別自然人，應(yīng)考慮到所有的客觀因素，比如識(shí)別所需要的費(fèi)用和時(shí)間，同時(shí)考慮到當(dāng)時(shí)可用于數(shù)據(jù)處理的技術(shù)和技術(shù)的開發(fā)。

（三）泛在的信息處理

按照GDPR的定義，數(shù)據(jù)處理（processing）是指對(duì)個(gè)人信息進(jìn)行的任何操作或者一系列操作，無論其是否通過自動(dòng)化手段進(jìn)行，如數(shù)據(jù)收集、記錄、組織、建構(gòu)（structuring）、存儲(chǔ)、改編或修改，恢復(fù)、查詢、使用、通過傳播、分發(fā)（dissemination）方式進(jìn)行披露或者其他使個(gè)人信息可被他人獲得、排列或組合、限制、清除或銷毀（destruction）的操作。

從《指令》開始，數(shù)據(jù)處理即是貫穿于個(gè)人信息保護(hù)法的基石性概念。GDPR對(duì)數(shù)據(jù)處理的概念定義幾乎與《指令》一致，只是列舉行為中多了結(jié)構(gòu)化（structuring）。GDPR對(duì)數(shù)據(jù)處理采取抽象+列舉的方式，其列舉非常全面。實(shí)際上，所有這些行為都屬于使用個(gè)人信息的行為，技術(shù)手段是否對(duì)個(gè)人權(quán)利有影響，有多少影響？是否需要法律調(diào)整？立法者根本沒有考慮。

問題不僅僅在于全面列舉，還在于這些被列舉的行為幾乎沒有規(guī)范價(jià)值。也就是說，每一種列舉的行為對(duì)于主體權(quán)利產(chǎn)生哪些影響，因而需要針對(duì)該行為采取預(yù)防或消除這些影響的規(guī)范，都不明確。比如，存儲(chǔ)至銷毀技術(shù)手段，對(duì)個(gè)人權(quán)利不會(huì)產(chǎn)生直接影響，甚或是保護(hù)個(gè)人權(quán)利的措施。同時(shí)，引入使用和披露（提供、傳播、分發(fā)或移轉(zhuǎn)等）行為，對(duì)主體權(quán)利存在直接影響，而法律又沒有對(duì)這些具體行為作出規(guī)范。實(shí)際上，歐盟法律對(duì)數(shù)據(jù)處理的定義是碎片化的，根本就沒有打算形成數(shù)據(jù)處理種概念（子處理行為），建立具體行為規(guī)范，而是使用抽象無所不包的數(shù)據(jù)處理定義，支撐“一般+例外”的規(guī)范技術(shù)，確立了抽象的一般行為，建立個(gè)人信息處理的一般規(guī)范。結(jié)果是使社會(huì)生活的方方面面都面臨GDPR的調(diào)整，導(dǎo)致法律/國家對(duì)社會(huì)生活的過度干預(yù)，導(dǎo)致社會(huì)運(yùn)行成本上升。

GDPR對(duì)個(gè)人信息應(yīng)用最廣泛最基礎(chǔ)的處理行為——識(shí)別分析（profiling）作出定義，并對(duì)自動(dòng)的識(shí)別分析作出特殊規(guī)范。這使得GDPR反映了數(shù)字時(shí)代的個(gè)人信息處理的基本方式。但是，它并沒有把識(shí)別分析作為數(shù)據(jù)處理的核心，圍繞此揭示數(shù)據(jù)處理對(duì)個(gè)人帶來的風(fēng)險(xiǎn)，建立相應(yīng)的行為規(guī)范，只是賦予了數(shù)據(jù)主體不受自動(dòng)識(shí)別分析約束的權(quán)利。

基于歐洲傳統(tǒng)的數(shù)據(jù)處理概念存在巨大缺陷。首先，擴(kuò)大了個(gè)保法適用范圍。由于數(shù)據(jù)處理存在于各種行業(yè)、領(lǐng)域和社會(huì)活動(dòng)（行為）之中，無邊界的數(shù)據(jù)處理行為，使個(gè)人信息處理一般原則可以被廣泛地適用，很難界定GDPR適用邊界。比如，某人未經(jīng)他人同意上傳他人的照片，或者轉(zhuǎn)發(fā)內(nèi)含可識(shí)別他人的個(gè)人信息，就被認(rèn)為構(gòu)成個(gè)人信息的使用。其次，降低了個(gè)人信息保護(hù)適用門檻，增加社會(huì)成本。一旦將數(shù)據(jù)處理擴(kuò)張為社會(huì)活動(dòng)開展廣泛存在的個(gè)人信息利用行為，那么數(shù)據(jù)處理概念就覆蓋了整個(gè)社會(huì)的個(gè)人信息利用行為。筆者認(rèn)為，這樣無所不包的個(gè)人信息處理概念已經(jīng)背離了《公約》最初的立法目的和對(duì)數(shù)據(jù)處理的定義。最后，增加法律適用的不確定性。無邊界的個(gè)人信息及外延極大的數(shù)據(jù)處理概念導(dǎo)致GDPR適用范圍在無限擴(kuò)張的同時(shí)，也與其它眾多法律出現(xiàn)交叉進(jìn)而導(dǎo)致法律競(jìng)合現(xiàn)象大量發(fā)生，數(shù)據(jù)主體可以利用這一現(xiàn)象，選擇有利于自己的請(qǐng)求權(quán)基礎(chǔ)，導(dǎo)致適用法律的混亂。

四、《個(gè)人信息保護(hù)法》解釋適用的時(shí)代元素和方向

歐盟各成員國是歐洲委員會(huì)的主體，在《公約》頒布前后，歐盟借著實(shí)施《公約》名義，制定《指令》，踐行統(tǒng)一數(shù)據(jù)保護(hù)規(guī)則進(jìn)而統(tǒng)一市場(chǎng)的使命。這使歐盟立法朝著不斷強(qiáng)化個(gè)人權(quán)利保護(hù)的方向發(fā)展。經(jīng)濟(jì)目的的融入使歐盟的立法逐漸脫離歐洲委員會(huì)《公約》的目的和定位，使個(gè)人信息保護(hù)法具有了經(jīng)濟(jì)目標(biāo)或經(jīng)濟(jì)秩序內(nèi)容。歐盟委員會(huì)之所以要提出制定GDPR，就是因?yàn)橄Ｍ八衅髽I(yè)將以統(tǒng)一的個(gè)人信息保護(hù)規(guī)則向5億歐盟人銷售產(chǎn)品和提供服務(wù)……將歐盟個(gè)人信息保護(hù)標(biāo)準(zhǔn)塑造成全球標(biāo)準(zhǔn)?！睍r(shí)至今日，GDPR已經(jīng)實(shí)施4年左右，是否實(shí)現(xiàn)了當(dāng)初的經(jīng)濟(jì)目標(biāo)，還沒有充分證據(jù)佐證，但是GDPR所確立的個(gè)人信息保護(hù)標(biāo)準(zhǔn)，似乎正在成為全球標(biāo)準(zhǔn)。GDPR之所以有這么大影響力，主要是因?yàn)镚DPR給其他國家一定的壓力，加上將個(gè)人信息保護(hù)納入公民基本權(quán)利有一定的“欺騙性”，增加了移植的盲目性。

GDPR的施行在全球范圍內(nèi)產(chǎn)生了巨大的影響，且這一影響還在繼續(xù)。對(duì)全球立法而言，歐盟模式是可資借鑒的，還是必須揚(yáng)棄的？問題可能不僅在于要不要借鑒，還在于到底歐洲基于特定歷史背景產(chǎn)生的個(gè)人信息處理中的個(gè)人保護(hù)制度，是否適合于我國的社會(huì)經(jīng)濟(jì)文化；基于70年代IT技術(shù)產(chǎn)生的問題與大數(shù)據(jù)時(shí)代產(chǎn)生的問題是否一致，是否還能夠用前網(wǎng)絡(luò)時(shí)代的法律原則解決萬物互聯(lián)泛在網(wǎng)絡(luò)（網(wǎng)絡(luò)化、數(shù)字化、智能化）時(shí)代問題。對(duì)于此，目前似乎沒有深入系統(tǒng)的研究。《個(gè)人信息保護(hù)法》規(guī)范思路和內(nèi)容移植GDPR的成分占多數(shù)，除了用數(shù)據(jù)處理者替代數(shù)據(jù)控制者看似不一致外，約70%左右的內(nèi)容相似。筆者認(rèn)為，GDPR所遇到的困境也一定是全球的困境，我國也不例外。在《個(gè)人信息保護(hù)法》已經(jīng)生效施行的情況下，我們應(yīng)當(dāng)從當(dāng)今社會(huì)的真實(shí)問題和需要出發(fā)，為《個(gè)人信息保護(hù)法》的解釋適用注入一些時(shí)代元素，體現(xiàn)中國推進(jìn)數(shù)字經(jīng)濟(jì)的制度需求。

（一）清晰認(rèn)知技術(shù)變遷對(duì)于個(gè)保法的挑戰(zhàn)

GDPR根植歐洲特殊的政治和社會(huì)文化背景，形成于上世紀(jì)七八十年代。那時(shí)計(jì)算機(jī)剛剛開始應(yīng)用，這個(gè)時(shí)期的個(gè)人信息保護(hù)針對(duì)的是個(gè)人向特定機(jī)構(gòu)提供，主要防止特定機(jī)構(gòu)存儲(chǔ)后的濫用。如今個(gè)人信息主要來源于無所不在的網(wǎng)絡(luò)和傳感器自動(dòng)收集的數(shù)據(jù)，無限多元數(shù)據(jù)給人類社會(huì)帶來了無窮的潛在價(jià)值（數(shù)據(jù)紅利），個(gè)人信息成為社會(huì)資源和生產(chǎn)要素?；跉W洲傳統(tǒng)的個(gè)人信息保護(hù)制度建立在人作為主體的尊嚴(yán)、自由或自治的人權(quán)保護(hù)理念上，是保護(hù)個(gè)人信息處理中的個(gè)人。雖然GDPR一再強(qiáng)調(diào)該法旨在促進(jìn)個(gè)人信息在歐盟境內(nèi)的自由流動(dòng)，但是，建立在個(gè)人控制理論基礎(chǔ)上的規(guī)則，在為數(shù)據(jù)控制者設(shè)定繁雜而又模糊的條件和程序的同時(shí)，似乎并沒有真正促進(jìn)個(gè)人信息的流動(dòng)。實(shí)際上，GDPR根本就不是在資源意義上看待個(gè)人信息，它根本就沒有將個(gè)人信息的分享或流通利用作為一項(xiàng)目標(biāo)，而這恰恰是個(gè)人信息資源化要解決的問題。

現(xiàn)在人類進(jìn)入了萬物互聯(lián)的數(shù)字化時(shí)代，這相比上世紀(jì)70年代的技術(shù)環(huán)境發(fā)生了巨大變化。那個(gè)時(shí)期IT和計(jì)算機(jī)網(wǎng)絡(luò)只是人們收集、存儲(chǔ)、加工處理、傳輸甚或發(fā)布個(gè)人信息的工具，而今天的網(wǎng)絡(luò)則已經(jīng)直接產(chǎn)生（生產(chǎn)）可以分析使用的數(shù)據(jù)。在這個(gè)時(shí)代，個(gè)人信息的生產(chǎn)發(fā)生了巨大變化，這種變化導(dǎo)致個(gè)人控制越來越難。經(jīng)過不斷的通信技術(shù)發(fā)展和應(yīng)用，人類已經(jīng)進(jìn)入到網(wǎng)絡(luò)化、數(shù)字化、智能化時(shí)代，個(gè)人信息應(yīng)用的場(chǎng)景、目的、方式、規(guī)模等已經(jīng)發(fā)生了巨大變化。個(gè)人對(duì)個(gè)人信息的控制能力也隨之越來越弱甚至不可能。在這種情形下，對(duì)于個(gè)人信息處理中主體權(quán)利保護(hù)相關(guān)規(guī)則的理解，應(yīng)當(dāng)從主體自身的防御規(guī)范轉(zhuǎn)向更為適合的行為規(guī)范。

筆者以網(wǎng)絡(luò)普及應(yīng)用作為分界點(diǎn)，尤其是大數(shù)據(jù)概念出現(xiàn)為分界，將數(shù)據(jù)收集和使用的變化簡述如下：

在時(shí)代發(fā)生變遷的情形下，個(gè)人對(duì)個(gè)人信息的控制對(duì)于個(gè)人尊嚴(yán)或自由的維護(hù)仍然有價(jià)值、有意義，但是，我們不能為了控制而控制，為社會(huì)主體施加繁重的合規(guī)任務(wù)，還不能有效地保護(hù)數(shù)據(jù)主體的權(quán)利，徒增社會(huì)成本。

因此必須在規(guī)則解釋適用中尋找到切實(shí)有效的保護(hù)個(gè)人權(quán)利的路徑和方法。筆者認(rèn)為，我國《個(gè)人信息保護(hù)法》的解釋適用，應(yīng)當(dāng)充分觀照當(dāng)今技術(shù)新發(fā)展應(yīng)用的新需求，以實(shí)現(xiàn)“促進(jìn)個(gè)人信息合理利用”的立法目的。這里的關(guān)鍵是在將個(gè)人信息視為社會(huì)資源視角上來整體理解《個(gè)人信息保護(hù)法》的所有規(guī)則。這就要求，將個(gè)人信息視為社會(huì)可利用的資源，而不是個(gè)人控制的資源，要求個(gè)保法基礎(chǔ)理論不斷更新。

（二）深刻把握個(gè)人信息是社會(huì)資源的基本定位

無論美國還是歐洲，個(gè)人信息保護(hù)的理論基礎(chǔ)是基于主體自主意義上的個(gè)人控制論，認(rèn)為個(gè)人應(yīng)當(dāng)對(duì)關(guān)于個(gè)人信息的處理予以一定程度的控制，以免個(gè)人信息的處理侵犯主體的尊嚴(yán)和自由。雖然歐盟的個(gè)人信息保護(hù)法仍然堅(jiān)持個(gè)人信息是社會(huì)可用的資源，而不是屬于個(gè)人資源，立法賦予個(gè)人對(duì)個(gè)人信息處理的防御性權(quán)利并沒有被演繹為個(gè)人信息決定權(quán)。即使在理論上存在個(gè)人信息自決權(quán)，但仍然是憲法上的權(quán)利，而不是民法上的私權(quán)。不過，GDPR將個(gè)人控制貫穿于個(gè)人信息處理全生命周期，讓個(gè)人參與到數(shù)據(jù)處理過程，防范處理行為對(duì)主體權(quán)利的侵害，其實(shí)是達(dá)到個(gè)人決定效果。

如前所述，GDPR貫穿了一條非常明顯的主線，就是強(qiáng)化數(shù)據(jù)主體對(duì)于數(shù)據(jù)的控制以平衡雙方能力之不平等，該法建立在“個(gè)人控制論”理論的基礎(chǔ)上。歐洲個(gè)人信息保護(hù)的邏輯是：個(gè)人信息是人的延伸，而人應(yīng)當(dāng)獨(dú)立自主（自治），因而個(gè)人信息亦應(yīng)當(dāng)由數(shù)據(jù)主體掌控，體現(xiàn)個(gè)人意志。GDPR沒有將同意上升為一種權(quán)利，避免使個(gè)人信息的利用（處理）淪為個(gè)人決定（承認(rèn)個(gè)人決定權(quán)），但是因同意最宜證明合規(guī)且可以實(shí)現(xiàn)更多的使用目的，同意被廣泛使用。同意的價(jià)值在于讓數(shù)據(jù)主體控制其信息的使用目的，使個(gè)人對(duì)數(shù)據(jù)使用具有可控性。同時(shí)，GDPR又給予個(gè)人許多權(quán)利（拒絕、刪除等），使其可以參與到數(shù)據(jù)處理活動(dòng)，防止有害于其主體尊嚴(yán)或自由的處理。在以個(gè)人控制論為基礎(chǔ)的個(gè)人信息立法中，價(jià)值序列的最高層不是以個(gè)人行為自由為基礎(chǔ)的信息收集、處理和利用自由，而是信息主體對(duì)自己的個(gè)人信息的控制。

但是，有越來越多的學(xué)者開始質(zhì)疑絕對(duì)的個(gè)人信息控制論，認(rèn)為加強(qiáng)個(gè)人控制無法滿足社會(huì)經(jīng)濟(jì)和現(xiàn)實(shí)發(fā)展的需要。主體控制是建立在理性人假設(shè)基礎(chǔ)上，它假定人們可以憑借自己的意志很好地料理自己的事情，不需要國家來干涉。然而，在數(shù)據(jù)處理行為中，個(gè)人并不一定可以做出最有利于自身的選擇，建立在知情同意基礎(chǔ)之上的控制是無力的，其核心問題在于，個(gè)人無法對(duì)其數(shù)據(jù)進(jìn)行全面的、有意義的控制，在初次數(shù)據(jù)收集時(shí)，個(gè)人也不具備評(píng)估后續(xù)隱私風(fēng)險(xiǎn)的能力。信息分享和利用是信息的本質(zhì)屬性，商業(yè)因信息的流通而發(fā)展，人類因信息的流通而構(gòu)建親密關(guān)系，知識(shí)因?yàn)樾畔⒌牧魍ǎǚ窒恚┒菁案嗳?。個(gè)人信息本質(zhì)上是可以為人所用的，不應(yīng)當(dāng)被個(gè)人控制，需要法律調(diào)控的是人利用和處理信息的行為，而不是個(gè)人信息本身。事實(shí)上，個(gè)人信息（數(shù)據(jù)）保護(hù)基本含義是保護(hù)個(gè)人主體權(quán)利不因信息處理受到侵害，而不是保護(hù)個(gè)人對(duì)個(gè)人信息的控制。

從《公約》到《指令》，再到各成員國立法，個(gè)人信息保護(hù)已經(jīng)被作為一項(xiàng)公民的基本權(quán)利加以保護(hù)，并建立了公法和私法救濟(jì)為一體的救濟(jì)體系。GDPR只有沿著這個(gè)方向繼續(xù)前行并強(qiáng)化數(shù)據(jù)主體權(quán)利，才更加有說服力。歐盟2012年提出制定GDPR試圖解決大數(shù)據(jù)時(shí)代個(gè)人信息面臨的新問題。于是，進(jìn)一步擴(kuò)張數(shù)據(jù)主體權(quán)利成為GDPR的唯一選擇。比如GDPR在進(jìn)一步確認(rèn)和完善個(gè)人既有的權(quán)利外，還增加了刪除權(quán)（被遺忘權(quán)）、持續(xù)控制權(quán)（又譯為數(shù)據(jù)便攜權(quán)）等權(quán)利，以給予個(gè)人對(duì)數(shù)據(jù)更有效地控制，進(jìn)一步保障數(shù)據(jù)主體的基本權(quán)利與自由。這樣，歐盟在個(gè)人控制道路上越走越遠(yuǎn)。

GDPR通過賦予個(gè)人控制其數(shù)據(jù)的權(quán)利來賦予個(gè)人權(quán)力的理念看起來是虛幻的，因此，對(duì)于個(gè)人信息控制論的反思，將會(huì)是未來理論和實(shí)務(wù)界共同的面向，也是GDPR成為全球數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)必須面對(duì)的理論挑戰(zhàn)。如果說受到歐洲政治文化傳統(tǒng)和早期立法束縛很難有所突破，那么世界其他國家應(yīng)當(dāng)有獨(dú)立的反思。在筆者看來，個(gè)人信息保護(hù)的目的是保護(hù)主體權(quán)利，而這樣的保護(hù)不是通過個(gè)人控制信息的使用實(shí)現(xiàn)的，而是通過法律規(guī)范個(gè)人信息的使用行為（處理）來實(shí)現(xiàn)的。

《意見》提出數(shù)據(jù)作為生產(chǎn)要素，顯然包括個(gè)人和非個(gè)人信息在內(nèi)的數(shù)據(jù)都應(yīng)當(dāng)成為社會(huì)利用的資源。因?yàn)閿?shù)據(jù)作為生產(chǎn)要素要求數(shù)據(jù)能夠?yàn)楦鱾€(gè)組織在各個(gè)領(lǐng)域應(yīng)用，提升數(shù)據(jù)智能分析和智能決策能力，進(jìn)而改進(jìn)整個(gè)社會(huì)的運(yùn)營績效和效率。個(gè)人信息作為生產(chǎn)要素并不意味著所有的個(gè)人信息都可以進(jìn)入市場(chǎng)，成為可交易的東西，凡是促進(jìn)數(shù)據(jù)社會(huì)化分享利用的都是在發(fā)揮數(shù)據(jù)要素的作用。在某種意義上，個(gè)人在參與社會(huì)活動(dòng)，向交往相對(duì)人提供個(gè)人信息也是個(gè)人信息的分享利用，但這基本上是個(gè)人利益的維度的利用方式；而且傳統(tǒng)個(gè)保法的宗旨是個(gè)人信息利用的范圍僅限于個(gè)人同意或法定事由目的的必要范圍，超出該目的原則上就屬于違法使用。這樣做的目的是，使個(gè)人信息的利用維持在可控制范圍內(nèi)，以維護(hù)數(shù)據(jù)主體的尊嚴(yán)或自由。而數(shù)據(jù)作為生產(chǎn)要素（即作為資源）則要求關(guān)于個(gè)人的數(shù)據(jù)能夠?yàn)樯鐣?huì)利益（社會(huì)發(fā)展和福祉改善）作出貢獻(xiàn)，能夠?yàn)樯鐣?huì)主體可用。這是因?yàn)槊總€(gè)人都是社會(huì)的一個(gè)分子，每個(gè)人不是孤立的存在，個(gè)人的數(shù)據(jù)既有個(gè)體價(jià)值，也有社會(huì)整體價(jià)值。忽略社會(huì)整體價(jià)值，不承認(rèn)社會(huì)主體對(duì)個(gè)人信息的利用權(quán)是片面的、不完整的。因此，個(gè)人信息在法律屬性上應(yīng)當(dāng)定位于非完全由個(gè)人控制的可用的社會(huì)資源。

因此，切不可以個(gè)人控制其個(gè)人信息的理念來理解和解釋適用《個(gè)人信息保護(hù)法》的規(guī)則整體，應(yīng)時(shí)刻注意《個(gè)人信息保護(hù)法》的具體規(guī)則與“保護(hù)個(gè)人信息權(quán)益，規(guī)范個(gè)人信息處理活動(dòng)，促進(jìn)個(gè)人信息合理利用”這一立法目的的價(jià)值一貫和體系統(tǒng)一。在社會(huì)資源意義上定位個(gè)人信息或個(gè)人信息對(duì)個(gè)保法理論基礎(chǔ)提出新要求，需要更新理論，以助力平衡個(gè)體利益（主體權(quán)利）和社會(huì)利益的目標(biāo)順利實(shí)現(xiàn)。

個(gè)人信息是大數(shù)據(jù)的重要組成部分，也是重要的社會(huì)資源。實(shí)現(xiàn)數(shù)據(jù)要素市場(chǎng)化配置是《意見》提出的重要制度目標(biāo)。數(shù)據(jù)作為生產(chǎn)要素，其價(jià)值在于能夠通過智能分析發(fā)現(xiàn)新知識(shí)，而數(shù)據(jù)的市場(chǎng)化配置可以對(duì)數(shù)據(jù)進(jìn)行社會(huì)化分析利用，以便數(shù)據(jù)分析使用者獲取數(shù)據(jù)，支撐科學(xué)研究、社會(huì)治理和商業(yè)決策。但是，任何個(gè)人信息處理和應(yīng)用均應(yīng)當(dāng)遵循《個(gè)人信息保護(hù)法》，保護(hù)信息主體權(quán)利，防范隱私和安全風(fēng)險(xiǎn)。平衡信息主體權(quán)利和社會(huì)價(jià)值是我國《個(gè)人信息保護(hù)法》具體制度解釋適用的重要方向。

（三）準(zhǔn)確理解個(gè)人信息及處理等核心概念

個(gè)人信息最主要的功能是識(shí)別個(gè)人，因而個(gè)保立法多以識(shí)別來定義個(gè)人信息，它導(dǎo)致的結(jié)果是建立泛在的個(gè)人信息及泛在的個(gè)人信息處理，背離了個(gè)保法旨在防范個(gè)人信息處理可能引發(fā)的侵害個(gè)人權(quán)利的風(fēng)險(xiǎn)目的，最終導(dǎo)致法律對(duì)社會(huì)的過度干預(yù)，徒增社會(huì)運(yùn)行成本。

為避免這一弊端，在理解《個(gè)人信息保護(hù)法》第4條第1款的個(gè)人信息概念時(shí)，應(yīng)注意把握“關(guān)聯(lián)”這一核心要件，即個(gè)人信息是與特定自然人有關(guān)聯(lián)的信息?？膳c特定個(gè)人關(guān)聯(lián)的個(gè)人信息是有限的，可識(shí)別和可判斷的，以此為基礎(chǔ)設(shè)置社會(huì)主體禁止義務(wù)（建立非經(jīng)同意不得處理規(guī)則）是合理、正當(dāng)?shù)?，也是可操作的。而可以用于識(shí)別個(gè)人的信息廣袤無邊，讓信息主體參與到處理活動(dòng)的每個(gè)環(huán)節(jié)，不具有實(shí)際意義（徒增合規(guī)成本）。

同時(shí)，在理解《個(gè)人信息保護(hù)法》第4條第2款的個(gè)人信息處理時(shí)，應(yīng)注意把握“識(shí)別分析”這一最關(guān)鍵的處理行為。識(shí)別分析是信息處理行為目的，對(duì)信息處理行為設(shè)定條件、程序、明確處理者義務(wù)以及侵害信息主體權(quán)益的責(zé)任是個(gè)保法核心。這樣就區(qū)分出個(gè)人信息控制和個(gè)人信息處理行為控制：在前者，個(gè)人可以實(shí)施控制（同意作為合法性基礎(chǔ)）；對(duì)于后者則主要由法律調(diào)控，明確處理者義務(wù)，維護(hù)個(gè)人權(quán)益（必要時(shí)設(shè)置信息主體的主動(dòng)請(qǐng)求權(quán)利，如更正、拒絕或刪除）。與此相配套，個(gè)人信息處理概念應(yīng)當(dāng)圍繞識(shí)別分析。

（四）明確主張去標(biāo)識(shí)化信息可以利用規(guī)則

個(gè)人信息的價(jià)值在于識(shí)別，“經(jīng)過處理無法識(shí)別特定自然人”的數(shù)據(jù)（或數(shù)據(jù)集）即轉(zhuǎn)化為抽象信息或知識(shí)，不再擁有識(shí)別個(gè)人的價(jià)值，即使可以分享利用，那也不是數(shù)據(jù)資源社會(huì)化利用。實(shí)際上，在大數(shù)據(jù)環(huán)境下，識(shí)別一個(gè)人取決于你掌握多少數(shù)據(jù)和采取什么樣的算法。也就是說，處理數(shù)據(jù)使其無法識(shí)別是保障信息安全的措施，而不是阻止人們識(shí)別的辦法。

在個(gè)人信息是可用的社會(huì)資源背景下，《個(gè)人信息保護(hù)法》的精神中蘊(yùn)含著既保護(hù)個(gè)人權(quán)益又促進(jìn)分享利用的制度規(guī)則，這便是去標(biāo)識(shí)數(shù)據(jù)的分享利用制度。當(dāng)一個(gè)數(shù)據(jù)集去除與個(gè)人關(guān)聯(lián)的信息（包括直接或間接關(guān)聯(lián)的信息，實(shí)踐稱為標(biāo)識(shí)符，廣義上的身份/ID信息）后，即可以防范個(gè)人信息處理對(duì)隱私的侵害，尤其減少處理中的信息泄露對(duì)個(gè)人安全的危害風(fēng)險(xiǎn)。去標(biāo)識(shí)后的個(gè)人信息仍然可以用于識(shí)別分析，仍然適用《個(gè)人信息保護(hù)法》規(guī)定，只是應(yīng)區(qū)分應(yīng)用場(chǎng)景，適用不同規(guī)則：當(dāng)不需要識(shí)別身份時(shí)，則不需要同意；當(dāng)需要識(shí)別身份時(shí)，則需要取得主體同意。這樣就在個(gè)人權(quán)益受到尊重的前提下，使個(gè)人信息得到社會(huì)化利用，發(fā)揮其社會(huì)價(jià)值。

因此，應(yīng)當(dāng)深刻把握《個(gè)人信息保護(hù)法》第73條第3項(xiàng)對(duì)于去標(biāo)識(shí)化的定義，將去標(biāo)識(shí)理解為“是對(duì)數(shù)據(jù)集進(jìn)行處理，以減少數(shù)據(jù)集中與特定個(gè)人相關(guān)聯(lián)信息的風(fēng)險(xiǎn)”，并在解釋適用中肯定去標(biāo)識(shí)數(shù)據(jù)集可分享利用的規(guī)則，即去標(biāo)識(shí)個(gè)人信息可不經(jīng)同意而對(duì)外提供，但使用去標(biāo)識(shí)個(gè)人信息須遵守個(gè)保法規(guī)定?！秱€(gè)人信息保護(hù)法》規(guī)定的匿名化系作為個(gè)人信息安全存管措施，而不是個(gè)人信息分享利用（對(duì)外提供）的規(guī)則。

五、結(jié)語

個(gè)人信息既承載個(gè)人利益（主體價(jià)值），也關(guān)系社會(huì)整體（各信息使用者）利益，每個(gè)個(gè)體的數(shù)據(jù)都成為社會(huì)共同體數(shù)據(jù)資源的組成部分。通過個(gè)人信息識(shí)別社會(huì)個(gè)體，是商業(yè)運(yùn)營、公共服務(wù)、社會(huì)交往等活動(dòng)開展的必要條件，因而個(gè)人信息是可用的社會(huì)資源，由此數(shù)據(jù)被視為生產(chǎn)要素。但是，個(gè)人信息的使用關(guān)涉?zhèn)€人隱私、尊嚴(yán)等主體權(quán)益，個(gè)人信息的收集和使用必須加以規(guī)范，從而確保個(gè)人主體權(quán)益不受侵犯。通過規(guī)范個(gè)人信息的處理行為，《個(gè)人信息保護(hù)法》是保護(hù)個(gè)人主體權(quán)益而不是保護(hù)個(gè)人信息本身，是防范濫用而不是由個(gè)人控制的使用。個(gè)人信息具有社會(huì)資源屬性，要確立個(gè)人信息可合法正當(dāng)使用原則。

我國《個(gè)人信息保護(hù)法》在立法過程中參考借鑒了GDPR的部分制度架構(gòu)和制度設(shè)計(jì)，因此在《個(gè)人信息保護(hù)法》解釋適用過程中參考借鑒GDPR也無法避免。但是要對(duì)GDPR的失敗之處有深刻洞察和清醒認(rèn)知。近來歐盟陸續(xù)提出《數(shù)據(jù)治理法》《數(shù)據(jù)法》等立法建議，即系試圖力挽狂瀾之舉，當(dāng)然效果如何有待觀察，但至少說明歐洲人自己也已經(jīng)意識(shí)到GDPR的困境所在。故在解釋適用我國《個(gè)人信息保護(hù)法》方面對(duì)GDPR必須采取批判性借鑒的態(tài)度，避免落入GDPR的陷阱。我們應(yīng)當(dāng)有制度自信，堅(jiān)持個(gè)人信息可使用的總基調(diào)，保護(hù)數(shù)據(jù)處理者合法利益，為打造中國特色的數(shù)據(jù)要素市場(chǎng)奠定規(guī)范基礎(chǔ)。

特別聲明：以上文章內(nèi)容僅代表作者本人觀點(diǎn)，不代表ESG跨境電商觀點(diǎn)或立場(chǎng)。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請(qǐng)于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。