唐要家

(浙江財經(jīng)大學(xué)經(jīng)濟(jì)學(xué)院，浙江 杭州 310018)

在數(shù)字經(jīng)濟(jì)背景下，信息主要是以數(shù)據(jù)的方式呈現(xiàn)，個人隱私信息也被稱為個人隱私數(shù)據(jù)，個人隱私信息保護(hù)則主要是保護(hù)個人的隱私數(shù)據(jù)安全。數(shù)字技術(shù)的發(fā)展使得企業(yè)可以收集、存儲、流轉(zhuǎn)和處理大量的消費(fèi)者用戶個人數(shù)據(jù)。由于很多情況下，消費(fèi)者對數(shù)字企業(yè)是否采集其個人數(shù)據(jù)、如何存儲和使用其個人數(shù)據(jù)、是否與第三方分享其個人數(shù)據(jù)等并不知情，再加上數(shù)字企業(yè)惡意收集甚至過度使用消費(fèi)者用戶隱私數(shù)據(jù)，以及個人隱私數(shù)據(jù)泄露事件頻繁發(fā)生，引發(fā)了消費(fèi)者對個人隱私安全的擔(dān)憂，這在一定程度上限制了數(shù)據(jù)要素的開放接入，阻礙了數(shù)字經(jīng)濟(jì)的創(chuàng)新發(fā)展。因此，如何保障個人隱私數(shù)據(jù)安全，成為影響數(shù)字經(jīng)濟(jì)發(fā)展的重大政策問題。目前，各國都在積極推進(jìn)個人隱私數(shù)據(jù)保護(hù)的立法和監(jiān)管政策設(shè)計，其中，歐盟同年也頒布實(shí)施了具有重大國際影響的《通用數(shù)據(jù)保護(hù)條例》(簡稱GDPR)、美國加利福尼亞州于2018年頒布了《加州消費(fèi)者隱私法》(簡稱CCPA)，我國于2020年10月公布了《個人信息保護(hù)法(草案)》。盡管如此，目前對個人隱私保護(hù)政策的基本理念和基本原則還存在很多爭議，造成政策具有較大的不確定性，因此迫切需要深入探討數(shù)字經(jīng)濟(jì)背景下個人隱私數(shù)據(jù)保護(hù)的理論基礎(chǔ)，并據(jù)此設(shè)計科學(xué)的政策體系。

一、數(shù)字經(jīng)濟(jì)中個人隱私保護(hù)的難題

在經(jīng)濟(jì)社會生活中，隱私權(quán)是重要的人格權(quán)?！吨腥A人民共和國個人信息保護(hù)法(草案)》第二條明確規(guī)定：“自然人的個人信息受法律保護(hù)，任何組織、個人不得侵害自然人的個人信息權(quán)益。”在傳統(tǒng)意義上，隱私被界定為個人不被打擾的權(quán)利，現(xiàn)代的隱私則通常被界定為“個人、群體或機(jī)構(gòu)決定自己何時、如何以及在何種程度上與他人溝通信息的權(quán)利”(1)Daniel J.Solove，A Taxonomy of Privacy，University of Pennsylvania Law Review，2005，154(3)：477-564.。據(jù)此可以理解為，隱私權(quán)的關(guān)鍵是對他人使用自己個人信息的控制能力，即個人信息自決權(quán)(2)Westin，A.F.Privacy and Freedom.New York：Atheneum，1967.。在傳統(tǒng)意義上，法律對隱私權(quán)的保護(hù)主要是構(gòu)建了私法保護(hù)體制，側(cè)重對個人人格利益的保護(hù)(3)張新寶：《從隱私到個人信息：利益再衡量的理論與制度安排》，《中國法學(xué)》2015年第3期。。隱私權(quán)私法保護(hù)起源于沃倫與布蘭代斯的《隱私權(quán)》一文，他們提出法院應(yīng)當(dāng)將侵犯個人隱私作為侵權(quán)行為加以追究(4)Warren and Brandeis，The Right to Privacy，Harvard Law Review，1890，4(5)：193-220.。在任何經(jīng)濟(jì)形態(tài)中，個人的隱私權(quán)都應(yīng)該受到尊重和保護(hù)，尤其是在數(shù)字經(jīng)濟(jì)中，數(shù)據(jù)已經(jīng)成為企業(yè)從事商業(yè)經(jīng)營的重要的資源和企業(yè)維持競爭優(yōu)勢的戰(zhàn)略資產(chǎn)，企業(yè)有非常強(qiáng)的激勵來過度采集和使用消費(fèi)者用戶的數(shù)據(jù)，同時大數(shù)據(jù)技術(shù)的實(shí)現(xiàn)和廣泛應(yīng)用給企業(yè)侵犯消費(fèi)者隱私提供了技術(shù)上的便利和更大的可能。因此，在數(shù)字經(jīng)濟(jì)背景下，個人隱私面臨更大的被侵犯的風(fēng)險，更需要全面加強(qiáng)數(shù)字經(jīng)濟(jì)中的個人隱私保護(hù)，以維護(hù)個人隱私數(shù)據(jù)安全。

在數(shù)字經(jīng)濟(jì)背景下，隱私不僅是一項(xiàng)重要的人格權(quán)，同時隱私數(shù)據(jù)也是一種重要的經(jīng)濟(jì)要素。數(shù)據(jù)是數(shù)字經(jīng)濟(jì)的第一生產(chǎn)要素，數(shù)據(jù)驅(qū)動的創(chuàng)新是數(shù)字經(jīng)濟(jì)發(fā)展的根本動力，也是實(shí)現(xiàn)良好社會治理的重要基礎(chǔ)。在數(shù)字經(jīng)濟(jì)中，數(shù)字企業(yè)持續(xù)地采集和開發(fā)利用消費(fèi)者在經(jīng)濟(jì)活動中產(chǎn)生的數(shù)據(jù)，這在一定程度上會持續(xù)優(yōu)化算法，有助于企業(yè)制定更科學(xué)的決策和實(shí)現(xiàn)數(shù)據(jù)驅(qū)動的創(chuàng)新，從而提高消費(fèi)者福利和社會總福利。通過對消費(fèi)者個人數(shù)據(jù)進(jìn)行開發(fā)，數(shù)字企業(yè)可以降低消費(fèi)者的搜尋成本，開發(fā)和提供更有針對性的個性化服務(wù)從而提高消費(fèi)者的消費(fèi)體驗(yàn)，并會促進(jìn)企業(yè)基于大數(shù)據(jù)的技術(shù)創(chuàng)新和商業(yè)模式創(chuàng)新。因此，在數(shù)字經(jīng)濟(jì)背景下，個人數(shù)據(jù)開放接入是數(shù)字經(jīng)濟(jì)創(chuàng)新發(fā)展的前提基礎(chǔ)，數(shù)字企業(yè)只有在充分采集和開發(fā)利用個人數(shù)據(jù)的前提下，才能充分釋放數(shù)據(jù)要素的增長潛能，以達(dá)到顯著提升消費(fèi)者福利和社會總福利的目的。

綜上可知，在數(shù)字經(jīng)濟(jì)中，個人隱私保護(hù)的最大難題是如何平衡個人隱私權(quán)保護(hù)與促進(jìn)數(shù)據(jù)要素開發(fā)利用的關(guān)系。數(shù)字經(jīng)濟(jì)中的隱私保護(hù)不是追求絕對的個人信息隱藏或封閉，而是需要權(quán)衡個人隱私權(quán)保護(hù)與促進(jìn)數(shù)字經(jīng)濟(jì)創(chuàng)新發(fā)展的關(guān)系，即確定最優(yōu)的個人信息披露水平的隱私邊界。數(shù)字經(jīng)濟(jì)中的隱私保護(hù)問題，不僅是人格權(quán)意義上的隱私權(quán)保護(hù)法律設(shè)計問題，也是合理平衡多元主體的利益關(guān)系來實(shí)現(xiàn)諸如最優(yōu)的個人隱私保護(hù)、企業(yè)創(chuàng)新發(fā)展乃至促進(jìn)數(shù)字經(jīng)濟(jì)發(fā)展、實(shí)現(xiàn)良好公共治理等多重利益關(guān)系平衡問題。為此，個人隱私保護(hù)政策設(shè)計面臨較大的難度：一方面如果缺乏隱私保護(hù)或隱私保護(hù)不足，將會造成對個人隱私的過度侵犯，從而使消費(fèi)者的隱私權(quán)受到損害；另一方面如果過度隱私保護(hù)，在維護(hù)消費(fèi)者隱私的同時卻可能是以犧牲創(chuàng)新和公共利益為代價。為此，需要更科學(xué)、審慎地設(shè)計適度、平衡的隱私保護(hù)監(jiān)管體制。

二、個人隱私保護(hù)中的市場與政府

(一)隱私保護(hù)的市場失靈風(fēng)險

以Posner、Stigler為代表的學(xué)者將隱私保護(hù)看作是消費(fèi)者的理性經(jīng)濟(jì)決策問題，即理性消費(fèi)者基于對個人隱私信息的成本與收益進(jìn)行權(quán)衡，并通過與數(shù)字企業(yè)的談判交易以實(shí)現(xiàn)最優(yōu)的個人隱私信息公開邊界或程度(5)Posner，R.The Right of Privacy，Georgia Law Review，1978，12(3)：393-422；Stigler，G.J.An Introduction to Privacy in Economics and Politics，The Journal of Legal Studies，1980，9(4)：623-644.。因此，市場機(jī)制可以實(shí)現(xiàn)個人隱私的最佳保護(hù)和數(shù)據(jù)信息的最佳配置。在隱私保護(hù)市場模式下，隱私保護(hù)完全是通過不同主體之間的利益機(jī)制作用來實(shí)現(xiàn)。消費(fèi)者依據(jù)個人隱私價值偏好和企業(yè)的出價來決定隱私信息公開程度，企業(yè)根據(jù)數(shù)據(jù)的價值貢獻(xiàn)來決定出價，雙方的自由談判會達(dá)成最優(yōu)的保護(hù)和最優(yōu)的隱私數(shù)據(jù)利用。在市場能實(shí)現(xiàn)最佳個人信息披露或保護(hù)的情況下，個人隱私信息開放接入和市場交易會促進(jìn)市場高效率運(yùn)行和提升社會總福利，此時如果政府實(shí)施嚴(yán)苛的隱私保護(hù)政策，不僅會扭曲市場機(jī)制，還有可能惡化消費(fèi)者福利和社會總福利。正如Laudon所主張的，隱私保護(hù)應(yīng)采用市場化方法，即如果認(rèn)為隱私具有重要的社會公共價值，則解決方案應(yīng)該采取市場機(jī)制，因?yàn)槠涓辛η掖鷥r更低(6)Laudon，K.Markets and Privacy，Communication of The ACM，1996，39(9)：92-104.。但市場實(shí)現(xiàn)有效隱私保護(hù)的重要前提是市場機(jī)制的有效運(yùn)行，隱私市場不存在失靈問題，從而使得信息充分和談判力對稱的消費(fèi)者可以作出理性決策并進(jìn)行最優(yōu)的個人隱私信息披露、談判、交易，在實(shí)現(xiàn)個人效用最大化決策的同時也能實(shí)現(xiàn)數(shù)據(jù)要素的最優(yōu)開發(fā)利用。但是在現(xiàn)實(shí)中，由于存在隱私保護(hù)市場失靈，市場機(jī)制并不能充分實(shí)現(xiàn)最優(yōu)的隱私保護(hù)，以下幾個問題需要深入研究：

1.消費(fèi)者隱私信息決策是理性的嗎？在現(xiàn)實(shí)中，存在大量的“隱私悖論”現(xiàn)象，即消費(fèi)者主張自己很關(guān)心隱私問題，但是卻不愿意支付成本或采取措施來保護(hù)隱私，有時是一邊抱怨隱私問題而同時又向企業(yè)免費(fèi)提供隱私信息?！半[私悖論”的存在說明消費(fèi)者可能并不真正關(guān)心隱私信息保護(hù)或不愿意采取措施來保護(hù)個人隱私。2015年，歐盟委員會對21707個消費(fèi)者閱讀在線隱私政策的調(diào)查發(fā)現(xiàn)，只有18%的消費(fèi)者閱讀隱私政策、31%的消費(fèi)者完全不閱讀、49%的消費(fèi)者部分閱讀(7)European Commission，Data Protection Report 84，Special Eurobarometer 431，European Union，2015.。Fuller對谷歌用戶的調(diào)查發(fā)現(xiàn)，有82%的用戶不愿意為提升數(shù)字隱私保護(hù)水平而支付任何費(fèi)用(8)Caleb S Fuller，Is The Market for Digital Privacy a Failure?，Public Choice，2019，180(3-4)：353-381.。行為經(jīng)濟(jì)學(xué)對此行為進(jìn)行了研究，結(jié)果顯示消費(fèi)者隱私信息披露決策并不是嚴(yán)格的理性決策，消費(fèi)者的隱私?jīng)Q策具有很強(qiáng)的情景依存性，特別是對隱私價值的判斷存在非常大的個體差異性與不確定性，具有顯著的行為性決策偏差(9)Borgesius，Behavioural Sciences and the Regulation of Privacy in the Internet，Nudge and the Law，2015，9：179-208.。由此可以得出如下結(jié)論：消費(fèi)者的隱私?jīng)Q策并不是理性的決策。

2.消費(fèi)者隱私?jīng)Q策面臨嚴(yán)重的信息不對稱。數(shù)據(jù)市場具有顯著的信息不對稱問題，即隱私問題的透明度嚴(yán)重不足，消費(fèi)者通常對個人信息在什么時間、以何種方式和何種程度被數(shù)字企業(yè)收集和使用，以及是否被轉(zhuǎn)讓或與第三方共享并不知情。由于數(shù)據(jù)收集處理過程缺乏透明度或缺乏明確的告知程序，消費(fèi)者對于其隱私數(shù)據(jù)被采集和使用情況通常并不知情。在現(xiàn)實(shí)中，很多數(shù)字企業(yè)提供的隱私政策太長或者以用戶不太容易懂的方式描述或呈現(xiàn)，消費(fèi)者在沒有充分了解的情況下只能選擇同意其政策，甚至一些企業(yè)誘導(dǎo)消費(fèi)者作出同意選擇或設(shè)定默認(rèn)選擇程序。因此，由于數(shù)字企業(yè)隱私政策的不透明以及消費(fèi)者面臨較高的隱私政策學(xué)習(xí)成本，造成消費(fèi)者無法作出最優(yōu)的理性隱私?jīng)Q策，產(chǎn)生決策行為偏差，使得基于私人合約談判的隱私交易機(jī)制無法有效發(fā)揮作用，從而導(dǎo)致數(shù)字企業(yè)過度披露用戶隱私信息的隱私濫用問題產(chǎn)生。

3.隱私談判具有顯著的談判力不對稱。隱私市場模式的一個重要前提是隱私信息雙方的合約談判是基于雙方談判力對等分配的基礎(chǔ)上，即任何一方都不可能多占有對方應(yīng)該占有的交易租金，對等談判的結(jié)果是雙方平均分配交易租金。但是在現(xiàn)實(shí)中，數(shù)字企業(yè)往往是居于市場支配地位的壟斷性數(shù)字平臺，這些數(shù)字平臺正成為經(jīng)濟(jì)活動的重要基礎(chǔ)設(shè)施和掌控社會信息流動與商業(yè)交易的“守門人”，具有非常強(qiáng)的市場勢力。由于談判勢力不對等，單個消費(fèi)者用戶要與壟斷平臺進(jìn)行談判的成本往往是高昂的。數(shù)字平臺企業(yè)的隱私合約往往是“要么接受、要么走人”的格式，消費(fèi)者如果不選擇同意將無法使用企業(yè)提供的服務(wù)。由于消費(fèi)者用戶往往缺乏對等談判的能力，因此私人合約談判無法達(dá)成最優(yōu)的隱私合約，“用腳投票”機(jī)制失效。

4.個人隱私數(shù)據(jù)市場運(yùn)行的制度障礙阻礙最優(yōu)配置結(jié)果的出現(xiàn)。由于個人隱私數(shù)據(jù)市場的運(yùn)行存在障礙，在現(xiàn)實(shí)中市場機(jī)制無法有效解決最優(yōu)的隱私保護(hù)問題。首先，單個個體數(shù)據(jù)的價值非常低。在數(shù)字經(jīng)濟(jì)中，單個數(shù)據(jù)通常是沒有價值的，只有足夠數(shù)量的數(shù)據(jù)匯總在一起并經(jīng)過深度挖掘才能產(chǎn)生有價值的信息或知識。其次，單個個體的數(shù)據(jù)交易可能面臨較高的交易成本。相對于單個數(shù)據(jù)的低價值，較高的單個數(shù)據(jù)交易成本可能會導(dǎo)致市場機(jī)制失靈。再次，即使個體數(shù)據(jù)交易是有效的，但是由于個體數(shù)據(jù)的價格形成機(jī)制主要是由使用價值所決定而非由成本所決定，在不同個體對數(shù)據(jù)價值偏好存在較大差別的情況下，個人數(shù)據(jù)信息交易價格機(jī)制很難形成。最后，法律條文比如歐盟《通用數(shù)據(jù)保護(hù)條例》等將隱私界定為一項(xiàng)基本人權(quán)，這在一定程度上排斥了將隱私數(shù)據(jù)作為一種可交易的商品，因?yàn)閺闹贫仍O(shè)計上來看，隱私信息是不可以通過金錢來進(jìn)行交易的。

(二)隱私數(shù)據(jù)保護(hù)的政府監(jiān)管失靈風(fēng)險

隱私保護(hù)監(jiān)管，是指政府實(shí)施強(qiáng)制的法律規(guī)制以禁止企業(yè)從事非法采集和濫用消費(fèi)者隱私信息的行為。在個人隱私保護(hù)體系中，政府主要采取設(shè)置事前的隱私保護(hù)標(biāo)準(zhǔn)以及進(jìn)行事后的處罰措施來實(shí)施監(jiān)管行為，重要的政策依據(jù)是政府監(jiān)管公共利益理論。在該理論中，政府監(jiān)管糾正市場失靈的重要前提假設(shè)是政府監(jiān)管機(jī)構(gòu)能夠?qū)崿F(xiàn)公共利益目標(biāo)，并且監(jiān)管行政成本和企業(yè)的合規(guī)成本不會過高。然而在數(shù)字經(jīng)濟(jì)中，上述條件很難得到滿足，政府監(jiān)管存在較高的監(jiān)管失靈風(fēng)險。首先，數(shù)字經(jīng)濟(jì)是一個快速創(chuàng)新發(fā)展的領(lǐng)域，在動態(tài)的經(jīng)濟(jì)環(huán)境中，政府監(jiān)管會面臨較大的政策過時風(fēng)險與失效風(fēng)險，不當(dāng)?shù)恼深A(yù)往往會扭曲市場競爭并阻礙技術(shù)創(chuàng)新，并且政府監(jiān)管機(jī)構(gòu)往往會因?yàn)槿狈Τ浞謱?shí)現(xiàn)公共利益目標(biāo)的政策工具而導(dǎo)致監(jiān)管失靈。其次，政府的隱私監(jiān)管仍然面臨嚴(yán)重的信息不對稱問題。隱私與普通商品的最大不同是消費(fèi)者的隱私偏好存在巨大的個體差異和動態(tài)變化特征，隱私監(jiān)管領(lǐng)域的信息不對稱更為嚴(yán)重。再次，不當(dāng)?shù)碾[私保護(hù)政策會扭曲數(shù)字經(jīng)濟(jì)商業(yè)模式，并不利于消費(fèi)者福利的提高。數(shù)字經(jīng)濟(jì)的核心運(yùn)作模式是由數(shù)字平臺企業(yè)通過向消費(fèi)者提供免費(fèi)服務(wù)來交換消費(fèi)者用戶數(shù)據(jù)，這是一種典型的雙向免費(fèi)數(shù)字商業(yè)模式。如果對消費(fèi)者個人數(shù)據(jù)實(shí)行嚴(yán)格的保護(hù)或者采取賦予消費(fèi)者個人數(shù)據(jù)產(chǎn)權(quán)，則數(shù)字企業(yè)采集消費(fèi)者數(shù)據(jù)需要支付更高的數(shù)據(jù)成本和談判交易成本，這勢必會改變多邊平臺市場免費(fèi)服務(wù)的商業(yè)模式，轉(zhuǎn)而向消費(fèi)者收費(fèi)來獲得盈利。最后，政府不當(dāng)?shù)碾[私監(jiān)管往往會給企業(yè)帶來過高的合規(guī)成本，阻礙創(chuàng)新和降低企業(yè)的國際競爭力，從而阻礙數(shù)字經(jīng)濟(jì)發(fā)展。

隱私保護(hù)的政府失靈說明，當(dāng)由于制度不完備造成個人隱私數(shù)據(jù)市場失靈時，政府是否采取嚴(yán)苛的行政監(jiān)管需要審慎。Posner就曾告誡指出，過度的隱私保護(hù)會帶來經(jīng)濟(jì)效率損失，即產(chǎn)生效率成本(10)Posner，The Economics of Privacy，American Economic Review，1981，71(2)：405-409.。德國反壟斷委員會于2015年發(fā)布的《競爭政策：數(shù)字市場的挑戰(zhàn)》報告也指出，過于嚴(yán)格的個人隱私保護(hù)會扭曲市場并降低經(jīng)濟(jì)效率(11)German Monopolies Commission，Competition Policy：The Challenge of Digital Markets，EC Report，2015.。因此，如何平衡私人隱私保護(hù)和個人數(shù)據(jù)信息披露的關(guān)系，如何處理好市場機(jī)制和政府監(jiān)管的關(guān)系，如何采取數(shù)字平臺企業(yè)合規(guī)成本最小的監(jiān)管政策等問題，就成為隱私數(shù)據(jù)保護(hù)政策需要解決的重要問題。

(三)隱私數(shù)據(jù)保護(hù)中政府與市場的關(guān)系

需要明確的是，隱私保護(hù)的市場機(jī)制和政府監(jiān)管并不是替代關(guān)系，市場機(jī)制和政府監(jiān)管實(shí)際上是一種互補(bǔ)關(guān)系并且呈現(xiàn)出動態(tài)組合變化，政府監(jiān)管強(qiáng)度往往受到技術(shù)手段、市場發(fā)育程度(交易成本)、社會意識等因素的改變而調(diào)整。因此，個人隱私保護(hù)體系的建設(shè)完善需要實(shí)現(xiàn)市場機(jī)制與政府監(jiān)管的合理組合和動態(tài)優(yōu)化。政府監(jiān)管不應(yīng)取代或限制市場化的私人合約機(jī)制，而應(yīng)促進(jìn)市場機(jī)制發(fā)育和完善，引導(dǎo)市場機(jī)制發(fā)揮促進(jìn)個人最優(yōu)隱私信息披露的作用。通過研究大量的隱私侵犯行為可以發(fā)現(xiàn)，由于缺乏有效的制度安排，個人無法理性地作出隱私?jīng)Q策，從而限制了私人交易合約機(jī)制作用的發(fā)揮。因此，隱私保護(hù)政策設(shè)計的核心是消除隱私市場失靈。總體來說，政府一方面要完善隱私保護(hù)的相關(guān)法律制度，通過向消費(fèi)者進(jìn)行隱私政策宣傳、合理賦予消費(fèi)者隱私權(quán)和明確企業(yè)采集使用個人隱私數(shù)據(jù)的規(guī)則，以增強(qiáng)消費(fèi)者對個人隱私數(shù)據(jù)的自決權(quán)和控制力，來解決消費(fèi)者信息不對稱和談判力不對等的問題；另一方面還要積極培育發(fā)展數(shù)據(jù)要素市場，大力培育個人數(shù)據(jù)市場交易中介組織，降低個人與企業(yè)之間的交易成本，充分發(fā)揮市場機(jī)制在實(shí)現(xiàn)最佳隱私數(shù)據(jù)保護(hù)中的決定性作用。針對隱私市場的失靈情況，政府隱私保護(hù)監(jiān)管的實(shí)施政策重點(diǎn)各有不同，具有相應(yīng)的完善法律、教育服務(wù)、行政執(zhí)法和制度創(chuàng)新四項(xiàng)職能。

隱私保護(hù)政策應(yīng)以充分尊重和保護(hù)個人隱私自決權(quán)為前提。隱私保護(hù)政策的特殊性在于其保護(hù)對象屬于個人的私人權(quán)益，并且個人對隱私價值的判斷存在非常大的差異性和情景依存性。為此，隱私保護(hù)需要充分尊重消費(fèi)者的意愿，不僅數(shù)字企業(yè)不能剝奪消費(fèi)者的決策權(quán)和選擇權(quán)，政府也不能完全代替或取代個人的隱私自決權(quán)。因此，個人隱私保護(hù)應(yīng)充分尊重和保護(hù)個人自決權(quán)，在保證知情的情況下由個人自主決定其個人信息公開程度，這也是各國隱私保護(hù)法都將“告知-同意”作為隱私保護(hù)的最基礎(chǔ)規(guī)則并同時通過立法賦予消費(fèi)者必要隱私權(quán)的主要原因，即通過隱私主體自治以保護(hù)個人隱私(12)蔡培如、王錫鋅：《論個人信息保護(hù)中的人格保護(hù)與經(jīng)濟(jì)激勵機(jī)制》，《比較法研究》2020年第1期。。

隱私保護(hù)政策應(yīng)注重市場化在私人合約談判的基礎(chǔ)性作用。隱私問題主要是個人和數(shù)字企業(yè)之間的私人合約問題，個人隱私保護(hù)問題本質(zhì)上屬于私權(quán)保護(hù)。私人隱私信息合約談判有利于實(shí)現(xiàn)利益兼容的雙贏結(jié)果，完全取代私人合約談判的政府行政監(jiān)管會帶來“一方受益、一方受損”的零和博弈結(jié)果或利益雙損結(jié)果。因此，隱私保護(hù)政策應(yīng)該鼓勵市場主體之間的合約談判，隱私監(jiān)管政策不能完全采用行政手段來替代市場化的私人合約談判機(jī)制，應(yīng)該通過賦予消費(fèi)者知情權(quán)、決定權(quán)、退出權(quán)、數(shù)據(jù)可攜帶權(quán)等個人隱私權(quán)，來消除或降低消費(fèi)者非理性、信息不對稱、談判力不對稱等市場失靈，以更好地促進(jìn)私人合約談判，并采取針對性的政策設(shè)計來降低或消除市場失靈。

個人隱私保護(hù)要突出數(shù)字平臺自我監(jiān)管的主體作用。在數(shù)字經(jīng)濟(jì)中，政府監(jiān)管已經(jīng)由傳統(tǒng)的政府一元主體演變?yōu)椤罢?平臺”二元主體。在數(shù)字經(jīng)濟(jì)隱私保護(hù)體系中，數(shù)字平臺自我監(jiān)管比政府監(jiān)管具有更多的優(yōu)勢。數(shù)字平臺企業(yè)對隱私的保護(hù)措施和效果會對其贏得用戶信任和維護(hù)良好的聲譽(yù)產(chǎn)生重要影響，因此企業(yè)有激勵投資于用戶隱私保護(hù)，同時企業(yè)具有實(shí)行隱私保護(hù)的信息優(yōu)勢和自我監(jiān)管手段優(yōu)勢。當(dāng)然，由于數(shù)字平臺企業(yè)追求企業(yè)利益最大化，社會監(jiān)管并不保證一定會實(shí)現(xiàn)社會最優(yōu)的隱私保護(hù)水平。為此，應(yīng)該構(gòu)建以政府監(jiān)管為主體的社會監(jiān)管治理體系，形成政府監(jiān)管與平臺企業(yè)自我監(jiān)管協(xié)同的合作監(jiān)管體制。政府監(jiān)管應(yīng)重點(diǎn)強(qiáng)化數(shù)字平臺企業(yè)的主體責(zé)任，督促其完善隱私保護(hù)技術(shù)和組織保障，增強(qiáng)平臺企業(yè)隱私保護(hù)的可問責(zé)性。

政府隱私保護(hù)要始終堅持審慎監(jiān)管原則。政府隱私保護(hù)應(yīng)完善審慎監(jiān)管的制度保障，既要防止監(jiān)管不足，更要防止監(jiān)管過度。隱私保護(hù)要特別防止將強(qiáng)硬的行政性監(jiān)管看作是解決隱私保護(hù)問題的主要或唯一方式，避免對不同類型數(shù)字平臺企業(yè)或大數(shù)據(jù)行業(yè)采用一刀切的監(jiān)管政策，避免不當(dāng)?shù)谋O(jiān)管政策扭曲市場競爭和影響企業(yè)創(chuàng)新，并造成對消費(fèi)者福利和數(shù)字經(jīng)濟(jì)發(fā)展的損害。為此，需要建立和完善審慎監(jiān)管的個人隱私保護(hù)制度，既要合理保護(hù)個人隱私，也要促進(jìn)數(shù)字經(jīng)濟(jì)創(chuàng)新發(fā)展。

三、個人隱私數(shù)據(jù)保護(hù)的制度模式

(一)歐盟人格權(quán)理念的個人隱私數(shù)據(jù)保護(hù)模式

歐盟隱私數(shù)據(jù)保護(hù)突出人格權(quán)理念，將隱私數(shù)據(jù)看作是自由或自決權(quán)的同義語，認(rèn)為隱私權(quán)是人權(quán)的重要組成部分，即個人有權(quán)控制關(guān)于自己的私人信息。嚴(yán)格說來，隱私權(quán)作為個人人格權(quán)的一部分，本身是不可轉(zhuǎn)讓的，不能適用于產(chǎn)權(quán)規(guī)則，因此創(chuàng)造一個可以交易的個人隱私數(shù)據(jù)市場應(yīng)該是被禁止的，司法和行政監(jiān)管就成為主要的隱私數(shù)據(jù)保護(hù)手段。隱私數(shù)據(jù)保護(hù)不僅涉及公共機(jī)構(gòu)對個人隱私的侵犯，也涉及私人商業(yè)企業(yè)對個人隱私的侵犯。歐盟隱私人格權(quán)理念最初來自于德國聯(lián)邦議會法院提出的公民個人隱私自決權(quán)，核心是通過行政強(qiáng)制權(quán)來收集個人敏感數(shù)據(jù)(13)Federal Constitutional Court(Bundesverfassungsgericht)，Judgement of 15 December 1983，1 BvR 209/83 and Others-Census，BVerfG 65，1.。依據(jù)《歐洲憲章》第8條保護(hù)個人數(shù)據(jù)的規(guī)定，歐盟《通用數(shù)據(jù)保護(hù)條例》明確指出，數(shù)據(jù)保護(hù)法保護(hù)的是數(shù)據(jù)所有人的“基本權(quán)利和自由”。

歐盟對隱私保護(hù)采取了以嚴(yán)格的政府行政監(jiān)管為核心的體制。歐盟《通用數(shù)據(jù)保護(hù)條例》對數(shù)據(jù)隱私保護(hù)基本原則、個人數(shù)據(jù)隱私權(quán)和具體的隱私監(jiān)管政策等作出了全面詳細(xì)的規(guī)定，并設(shè)立專門的監(jiān)管機(jī)構(gòu)來負(fù)責(zé)個人隱私保護(hù)監(jiān)管政策的實(shí)施，構(gòu)建了自上而下的行政監(jiān)管體制。GDPR試圖通過立法明確數(shù)據(jù)控制者的責(zé)任、明確個人權(quán)利組成等來保護(hù)個人數(shù)據(jù)隱私安全。GDPR確定的個人隱私保護(hù)的原則包括知情同意、最小必要性、有限目的、準(zhǔn)確性、存儲限制等。

盡管歐盟數(shù)據(jù)隱私保護(hù)提出嚴(yán)格的行政監(jiān)管，但從立法目的來說，GDPR不僅僅是保護(hù)個人隱私權(quán)，同時也是為了構(gòu)建一個統(tǒng)一、可信任的歐洲數(shù)據(jù)市場，促進(jìn)數(shù)字經(jīng)濟(jì)創(chuàng)新發(fā)展。但很多經(jīng)濟(jì)分析顯示，GDPR實(shí)施并沒有充分實(shí)現(xiàn)個人隱私保護(hù)和促進(jìn)數(shù)字經(jīng)濟(jì)發(fā)展之間的平衡，總體來說GDPR的實(shí)施對歐盟數(shù)字經(jīng)濟(jì)和商業(yè)發(fā)展的影響是負(fù)面的(14)Eline Chivot and Daniel Castro，What the Evidence Shows About the Impact of the GDPR After One Year，Center for Data Innovation，Working Paper，2019.。Jian Jia等學(xué)者的經(jīng)驗(yàn)分析發(fā)現(xiàn)，GDPR的實(shí)施限制了數(shù)字經(jīng)濟(jì)高技術(shù)風(fēng)險投資，對高技術(shù)創(chuàng)業(yè)企業(yè)的發(fā)展產(chǎn)生了顯著的不利影響，阻礙了歐盟的技術(shù)創(chuàng)新(15)Jian Jia，Ginger Zhe Jin，and Liad Wagman，The Short-run Effects of GDPR on Technology Venture Investment，NBER，Working Paper 25248.2018.。Gal and Aviv等學(xué)者的分析認(rèn)為，GDPR的實(shí)施限制了市場競爭，強(qiáng)化了大企業(yè)的市場支配地位，同時也阻礙了數(shù)據(jù)占有人之間的數(shù)據(jù)共享，從而不利于數(shù)字經(jīng)濟(jì)創(chuàng)新發(fā)展(16)Michal Gal and Oshrit Aviv，The Competitive Effects of the GDPR，Journal of Competition Law & Economics，2020，16(3)：349-391.。

(二)美國合約理念的個人隱私數(shù)據(jù)保護(hù)模式

美國個人隱私保護(hù)也是基于個人人格權(quán)保護(hù)，但同時強(qiáng)調(diào)個人隱私數(shù)據(jù)也是一種有價值的財產(chǎn)，應(yīng)采取基于私人合約理念的隱私保護(hù)體制。美國隱私保護(hù)合約理念強(qiáng)調(diào)利益相關(guān)方基于合約談判的隱私交易可以實(shí)現(xiàn)最佳的隱私信息保護(hù)。美國隱私保護(hù)采取了更少監(jiān)管負(fù)擔(dān)和更注重發(fā)揮微觀主體自我監(jiān)管基礎(chǔ)作用的自下而上的隱私保護(hù)監(jiān)管體制，政府主要是提供基本的原則性指導(dǎo)而非具體實(shí)施這些原則，注重通過發(fā)揮市場合約機(jī)制的基礎(chǔ)性作用來促進(jìn)數(shù)據(jù)開放共享，從而促進(jìn)數(shù)據(jù)驅(qū)動的創(chuàng)新和數(shù)字經(jīng)濟(jì)發(fā)展。

美國對個人隱私保護(hù)的綜合性法律規(guī)定是1974年的《隱私法案》，主要是規(guī)范政府機(jī)關(guān)處理個人信息行為，其中作為《隱私法案》重要組成部分的《公平信息實(shí)踐法則》成為個人隱私數(shù)據(jù)保護(hù)制度的基石。該法則規(guī)定個人有權(quán)知曉他人收集和使用關(guān)于自己的個人信息，個人有權(quán)拒絕個人信息的使用，個人有權(quán)更正不準(zhǔn)確的個人信息等權(quán)利。在克林頓政府時期，美國政府推行“我的大數(shù)據(jù)”計劃，對數(shù)據(jù)隱私問題確定了以企業(yè)“自我監(jiān)管”為主體的監(jiān)管體制。為此，克林頓政府制定了隱私保護(hù)的基本原則并強(qiáng)烈建議私人企業(yè)應(yīng)該將其作為自我監(jiān)管戰(zhàn)略的重要組成部分。在此情況下，美國聯(lián)邦貿(mào)易會倡議隱私保護(hù)應(yīng)遵循五個基本原則：告知/知曉、選擇/同意、接入/參與、一體化/安全、執(zhí)行/賠償(17)Federal Trade Commission Statement Before the Committee on Commerce，Science，and Transportation，Washington，DC，May 25，2000.。

美國隱私數(shù)據(jù)保護(hù)立法的基點(diǎn)是確保個人對其數(shù)據(jù)的使用、存儲和分享能以與其利益一致的方式來進(jìn)行，從而保持充分的信任。美國加州2018年頒布的《加州消費(fèi)者隱私法》確立了個人隱私數(shù)據(jù)保護(hù)的統(tǒng)一規(guī)則框架，并重點(diǎn)強(qiáng)調(diào)企業(yè)保護(hù)隱私信息安全的主體責(zé)任。與歐盟GDPR明顯不同的是，CCPA鼓勵企業(yè)采用經(jīng)濟(jì)手段來平衡個人隱私保護(hù)與數(shù)字經(jīng)濟(jì)發(fā)展，即鼓勵企業(yè)通過向消費(fèi)者支付合理的價格來換取或購買消費(fèi)者隱私信息。為保證公正透明，CCPA還特別要求企業(yè)向消費(fèi)者支付的價格需要本著善意來估算并要給出相應(yīng)的估值方法，尤其是在存在價格差別時更應(yīng)提供具體的說明。此外，CCPA明確消費(fèi)者用戶的訴訟權(quán)和獲得賠償權(quán)，突出對消費(fèi)者個人經(jīng)濟(jì)性損害賠償在約束數(shù)據(jù)濫用和保護(hù)消費(fèi)者權(quán)益中的主導(dǎo)作用。

(三)中國個人隱私數(shù)據(jù)保護(hù)的模式選擇

歐盟隱私保護(hù)體制具有較強(qiáng)的政府干預(yù)特征，強(qiáng)調(diào)通過政府強(qiáng)有力的隱私保護(hù)監(jiān)管來保護(hù)數(shù)據(jù)主體的權(quán)益，但相對忽視微觀主體之間基于經(jīng)濟(jì)利益的私人合約談判機(jī)制和數(shù)據(jù)的價值創(chuàng)造問題。歐盟隱私保護(hù)監(jiān)管體制偏重人格權(quán)保護(hù)而忽視數(shù)據(jù)要素最大化利用的效率目標(biāo)，隱私人格權(quán)理念監(jiān)管模式具有明顯的政府主導(dǎo)和自上而下的行政命令控制體制特征，隱私保護(hù)監(jiān)管的重心是事前規(guī)則明確和事后監(jiān)管問責(zé)。歐盟隱私保護(hù)監(jiān)管體制的主要弊端是具有較高的企業(yè)合規(guī)成本，不利于數(shù)字經(jīng)濟(jì)市場競爭和創(chuàng)新發(fā)展，特別是不利于中小企業(yè)的市場進(jìn)入和創(chuàng)新化轉(zhuǎn)型。美國隱私保護(hù)體制具有較強(qiáng)的自由市場體制特征，尊重微觀主體的自由決策權(quán)并鼓勵經(jīng)濟(jì)手段的運(yùn)用和重視釋放數(shù)據(jù)要素的價值創(chuàng)造潛能。美國隱私保護(hù)監(jiān)管體制主要是突出企業(yè)自我監(jiān)管并偏重于事后糾偏，但相對忽視了事前監(jiān)管的預(yù)防作用，導(dǎo)致諸如Facebook隱私泄露等嚴(yán)重隱私侵犯事件的發(fā)生。

由于個人隱私數(shù)據(jù)具有人格尊嚴(yán)、商業(yè)價值和公共管理等多重價值(18)程嘯：《論大數(shù)據(jù)時代的個人數(shù)據(jù)權(quán)利》，《中國社會科學(xué)》2018年第3期。，因此數(shù)據(jù)隱私保護(hù)制度的構(gòu)建和完善需要系統(tǒng)地權(quán)衡多種目標(biāo)訴求。由于個人數(shù)據(jù)收集行為主要發(fā)生在消費(fèi)者用戶和商家之間，并且消費(fèi)者并不是追求絕對的隱私保護(hù)，而是尋求數(shù)據(jù)分享帶來的收益和可能的預(yù)期風(fēng)險之間的平衡的適度隱私保護(hù)。為此，采取歐盟和美國的中間模式可能是更好的選擇，即在個人隱私權(quán)保護(hù)基礎(chǔ)上促進(jìn)私人主體之間的合約談判，將事前監(jiān)管、事后問責(zé)和全流程監(jiān)督結(jié)合起來。這種混合模式能在合理保護(hù)個人隱私數(shù)據(jù)基礎(chǔ)上實(shí)現(xiàn)最優(yōu)的數(shù)據(jù)開發(fā)利用，既能有效鼓勵數(shù)據(jù)使用的價值創(chuàng)造，也能充分維護(hù)不同數(shù)據(jù)權(quán)利主體的利益，從而實(shí)現(xiàn)個人隱私保護(hù)與促進(jìn)數(shù)字經(jīng)濟(jì)創(chuàng)新發(fā)展的平衡。

四、中國個人隱私數(shù)據(jù)保護(hù)政策的重點(diǎn)

鑒于隱私數(shù)據(jù)保護(hù)能夠有效地維護(hù)消費(fèi)者隱私權(quán)以及增強(qiáng)其參與數(shù)字經(jīng)濟(jì)活動的信心，并且能夠更好地促進(jìn)數(shù)據(jù)市場的發(fā)展以及激發(fā)數(shù)據(jù)驅(qū)動的創(chuàng)新，我國需要盡快完善個人隱私數(shù)據(jù)保護(hù)立法，明確消費(fèi)者隱私保護(hù)基本原則、消費(fèi)者隱私權(quán)益、數(shù)據(jù)處理者隱私保護(hù)責(zé)任、政府?dāng)?shù)據(jù)隱私保護(hù)體制等問題。

(一)隱私數(shù)據(jù)保護(hù)政策的基本導(dǎo)向

1.隱私數(shù)據(jù)保護(hù)需要合理權(quán)衡多維目標(biāo)。隱私數(shù)據(jù)保護(hù)要在合法性基礎(chǔ)上實(shí)現(xiàn)對個人數(shù)據(jù)的合理開發(fā)利用，即在充分保護(hù)個人隱私權(quán)益的基礎(chǔ)上，促進(jìn)數(shù)據(jù)信息有控制的開發(fā)利用和流轉(zhuǎn)，實(shí)現(xiàn)隱私數(shù)據(jù)保護(hù)和數(shù)字經(jīng)濟(jì)發(fā)展的平衡。首先，個人隱私數(shù)據(jù)既具有私人利益，也具有公共利益。隱私數(shù)據(jù)保護(hù)需要協(xié)調(diào)私人利益與公共利益，在特定領(lǐng)域，應(yīng)該秉持國家利益和公共利益優(yōu)先的原則，需要立法明確在對個人隱私保護(hù)的同時對涉及公共安全等重大公共利益的個人數(shù)據(jù)處理實(shí)行豁免。其次，隱私數(shù)據(jù)保護(hù)既要充分保護(hù)個人隱私數(shù)據(jù)的人格權(quán)，也要充分釋放數(shù)據(jù)促進(jìn)數(shù)字經(jīng)濟(jì)創(chuàng)新發(fā)展的巨大價值，合理平衡個人、數(shù)據(jù)處理企業(yè)和社會的利益關(guān)系。

2.隱私數(shù)據(jù)保護(hù)應(yīng)是相對的適度保護(hù)。隱私數(shù)據(jù)保護(hù)立法的重點(diǎn)是通過明確個人對數(shù)據(jù)信息擁有必要的權(quán)益，從而增強(qiáng)個人對數(shù)字企業(yè)采集和處理其個人數(shù)據(jù)的控制能力，在實(shí)現(xiàn)對個人隱私合理保護(hù)基礎(chǔ)上更好地促進(jìn)數(shù)據(jù)自由流動和大范圍的開發(fā)利用，從而使數(shù)據(jù)能夠?yàn)樯鐣?chuàng)造更大價值。因此，隱私數(shù)據(jù)保護(hù)實(shí)際上是多重目標(biāo)權(quán)衡下的相對保護(hù)或適度保護(hù)，是個人隱私數(shù)據(jù)在開發(fā)利用中的保護(hù)、在合理保護(hù)基礎(chǔ)上的開發(fā)利用，即通過向消費(fèi)者賦權(quán)使其能夠?qū)?shù)字企業(yè)采集利用其個人數(shù)據(jù)實(shí)行有效控制，確保企業(yè)在合法性基礎(chǔ)上采集和利用個人數(shù)據(jù)，并鼓勵個人與數(shù)字企業(yè)之間通過付費(fèi)或經(jīng)濟(jì)補(bǔ)償?shù)姆绞絹磉_(dá)成個人數(shù)據(jù)的開放接入。

3.對不同類型數(shù)據(jù)實(shí)行差別化的隱私保護(hù)政策。不同類型個人數(shù)據(jù)對數(shù)據(jù)主體的利益影響不同，并且不同類型數(shù)據(jù)在不同應(yīng)用場景的隱私侵害風(fēng)險程度也存在較大的差別，因此，應(yīng)采取差別化的保護(hù)政策并實(shí)行差別化的監(jiān)管強(qiáng)度。首先，應(yīng)區(qū)分敏感信息與非敏感信息。由于敏感信息對個人的人身財產(chǎn)安全影響最大，因此是個人隱私數(shù)據(jù)保護(hù)的重點(diǎn)，應(yīng)實(shí)行高強(qiáng)度監(jiān)管，明確為企業(yè)不能違犯的紅線；對于已經(jīng)經(jīng)過處理無法識別自然人的非個人化數(shù)據(jù)或匿名化數(shù)據(jù)，數(shù)據(jù)的使用不會帶來對特定自然人的識別并造成對其權(quán)益的侵害，應(yīng)重在鼓勵數(shù)據(jù)開發(fā)利用，實(shí)行相對寬松的監(jiān)管政策。其次，應(yīng)區(qū)分行業(yè)差異。由于存在較大的行業(yè)差異，應(yīng)實(shí)行通用性個人隱私保護(hù)監(jiān)管與行業(yè)監(jiān)管的結(jié)合，對金融、醫(yī)療等特定行業(yè)和兒童隱私信息、生物信息等領(lǐng)域，通過制定專門的法律實(shí)行有針對性的行業(yè)監(jiān)管。

4.隱私數(shù)據(jù)保護(hù)應(yīng)重點(diǎn)針對支配性數(shù)字平臺企業(yè)。支配性數(shù)字平臺企業(yè)擁有大量多維度數(shù)據(jù)，更容易帶來對個人隱私的嚴(yán)重侵犯并造成巨大的社會性危害。因此，壟斷平臺應(yīng)是隱私數(shù)據(jù)保護(hù)監(jiān)管的重點(diǎn)對象，隱私數(shù)據(jù)保護(hù)政策應(yīng)對壟斷平臺提出更高的責(zé)任要求，實(shí)行不對稱監(jiān)管。同時，由于小規(guī)模企業(yè)個人信息泄露的危害程度較小，以及為避免通用隱私數(shù)據(jù)保護(hù)政策給小企業(yè)帶來過高的合規(guī)成本并影響其有效參與市場競爭，隱私數(shù)據(jù)保護(hù)政策應(yīng)建立“避風(fēng)港”制度，對小企業(yè)實(shí)行豁免或降低數(shù)據(jù)安全義務(wù)要求。歐盟委員會發(fā)布的GDPR影響評估報告也指出，GDPR的一些法律義務(wù)將不適用于小企業(yè)(19)Commission Staff Working Paper，Impact Assessment Accompanying the GDPR，SEC(2012)72 final，25 Jan-uary 2012.。美國《加州消費(fèi)者隱私法》明確指出，隱私保護(hù)法律規(guī)定僅適用于年收入2500萬美元以上的小規(guī)模企業(yè)。近年來，歐盟和美國的隱私監(jiān)管行政執(zhí)法也主要是針對Facebook、谷歌等數(shù)字經(jīng)濟(jì)巨頭企業(yè)的過度采集用戶數(shù)據(jù)以及未經(jīng)授權(quán)的用戶信息轉(zhuǎn)讓和共享行為等。

(二)隱私數(shù)據(jù)保護(hù)的監(jiān)管政策

1.科學(xué)完整地明確個人數(shù)據(jù)隱私權(quán)。個人數(shù)據(jù)隱私保護(hù)監(jiān)管首先需要確保個體的隱私權(quán)，重點(diǎn)強(qiáng)化個人對數(shù)據(jù)信息的控制力。從國際比較來看，各國對于個人隱私權(quán)的界定有一定的差異。歐盟《通用數(shù)據(jù)保護(hù)條例》確定的個人隱私權(quán)包括知情權(quán)、接入權(quán)、更正權(quán)、刪除權(quán)、限制處理權(quán)、反對處理權(quán)、可攜帶權(quán)。美國《加州消費(fèi)者隱私法》賦予消費(fèi)者的隱私權(quán)包括知情權(quán)、刪除權(quán)、拒絕銷售權(quán)、接入權(quán)、非歧視權(quán)、退出權(quán)(20)根據(jù)《加州消費(fèi)者隱私法》，個人退出權(quán)僅適用于個人數(shù)據(jù)信息的銷售和分享環(huán)節(jié)，不適用于個人數(shù)據(jù)信息采集環(huán)節(jié)。在個人退出后，數(shù)據(jù)的交易和共享必須獲得個人的再授權(quán)。。中國《個人信息保護(hù)法(草案)》規(guī)定的個人信息權(quán)包括知情權(quán)、決定權(quán)、查閱權(quán)、復(fù)制權(quán)、更正權(quán)、刪除權(quán)、解釋權(quán)。從基本目標(biāo)來說，個人數(shù)據(jù)隱私權(quán)的設(shè)立是要充分實(shí)現(xiàn)對個人人格權(quán)保護(hù)與對數(shù)據(jù)要素的最大化利用，《個人信息保護(hù)法(草案)》規(guī)定的個人隱私權(quán)仍然有待完善。從國際經(jīng)驗(yàn)來說，特別需要增加個人數(shù)據(jù)可攜帶權(quán)，以有效打破數(shù)字平臺的數(shù)據(jù)壟斷和對消費(fèi)者的鎖定，通過降低個人數(shù)據(jù)跨平臺轉(zhuǎn)換成本來促進(jìn)市場競爭和增強(qiáng)消費(fèi)者談判力，并促進(jìn)數(shù)據(jù)自由流動和廣泛開發(fā)利用。

2.明確采集和使用個人數(shù)據(jù)應(yīng)當(dāng)遵循的核心原則。數(shù)字平臺企業(yè)采集和使用個人隱私數(shù)據(jù)應(yīng)該遵循的基本原則至少包括：一是告知同意原則。主要是解決隱私采集處理過程中消費(fèi)者面臨的嚴(yán)重信息不對稱問題，它要求數(shù)字平臺企業(yè)收集和使用消費(fèi)者個人信息需要事前以明確方式告知并獲得消費(fèi)者明確表達(dá)的授權(quán)同意。二是目的限制與最小必要性原則。個人隱私數(shù)據(jù)采集必須是為了特定、合法的目的，而且采集處理的個人數(shù)據(jù)必須與實(shí)現(xiàn)該特定目的充分相關(guān)且僅限于該目的。三是透明性原則。數(shù)字平臺企業(yè)應(yīng)詳細(xì)披露如何收集和使用消費(fèi)者的個人隱私數(shù)據(jù)，向消費(fèi)者提供其可以接入企業(yè)收集的相關(guān)信息，并且向監(jiān)管機(jī)構(gòu)開放企業(yè)持有的數(shù)據(jù)庫以便對其進(jìn)行審查。四是可問責(zé)性原則。數(shù)字平臺企業(yè)有責(zé)任履行保護(hù)用戶個人隱私數(shù)據(jù)安全的義務(wù)，通過內(nèi)部組織治理制度和技術(shù)措施來保證其充分履行用戶個人隱私保護(hù)和保證數(shù)據(jù)安全的義務(wù)，當(dāng)出現(xiàn)隱私侵害后其要承擔(dān)相應(yīng)的責(zé)任。

3.落實(shí)數(shù)字平臺企業(yè)保護(hù)用戶隱私安全的主體責(zé)任。數(shù)字平臺企業(yè)是用戶隱私保護(hù)的第一責(zé)任人，個人隱私數(shù)據(jù)保護(hù)監(jiān)管重在落實(shí)企業(yè)的主體責(zé)任。強(qiáng)化數(shù)字平臺企業(yè)保護(hù)用戶隱私數(shù)據(jù)安全的主體責(zé)任，督促其建立完善個人數(shù)據(jù)隱私保護(hù)的內(nèi)部治理機(jī)制和技術(shù)保障，落實(shí)公開、透明、可問責(zé)的數(shù)據(jù)采集、加工處理、使用和流轉(zhuǎn)交易規(guī)則。首先，企業(yè)需要采取有效的技術(shù)措施來保護(hù)用戶隱私安全。重點(diǎn)通過事前的技術(shù)設(shè)計來保護(hù)用戶的數(shù)據(jù)隱私，在企業(yè)研發(fā)產(chǎn)品(服務(wù))或系統(tǒng)設(shè)計時就應(yīng)該一并考慮進(jìn)來。其次，強(qiáng)化企業(yè)遵守法律和保護(hù)隱私數(shù)據(jù)安全的組織保障，確保在整個產(chǎn)品生命周期都有全面的數(shù)據(jù)管理程序。嚴(yán)密的組織保障一般包括：數(shù)據(jù)收集和使用必須事前告知消費(fèi)者并獲得明確的同意；建立消費(fèi)者請求處理的程序或機(jī)制，并保留相關(guān)記錄；在數(shù)據(jù)侵權(quán)違法發(fā)生時及時告知監(jiān)管機(jī)構(gòu)和數(shù)據(jù)主體；設(shè)立數(shù)據(jù)安全管理負(fù)責(zé)人。再次，為保證企業(yè)充分履行用戶隱私安全保障義務(wù)，要強(qiáng)化透明度和問責(zé)機(jī)制建設(shè)，實(shí)施有效的內(nèi)部評價和外部評價，并建立消費(fèi)者用戶投訴處理機(jī)制。

4.建立和完善個人隱私數(shù)據(jù)保護(hù)監(jiān)管體制以保證法律的有效實(shí)施。首先，建立實(shí)施有力的隱私數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)與體制。目前，中國數(shù)據(jù)信息保護(hù)主要是由國家網(wǎng)信辦負(fù)責(zé)并由相關(guān)行業(yè)部門負(fù)責(zé)行業(yè)監(jiān)管的“1+X”體制。由于國家網(wǎng)信辦主要以國家數(shù)據(jù)安全保護(hù)為工作中心，因此需要增強(qiáng)針對大量普通消費(fèi)者個人隱私數(shù)據(jù)保護(hù)事務(wù)的監(jiān)管職能和服務(wù)能力。由于隱私數(shù)據(jù)保護(hù)的行業(yè)差異性，需要與行業(yè)監(jiān)管機(jī)構(gòu)形成有效的協(xié)同監(jiān)管體制，以及政府監(jiān)管機(jī)構(gòu)與行業(yè)組織私人監(jiān)管密切合作的合作監(jiān)管體制。其次，完善審慎監(jiān)管的制度保障。隱私數(shù)據(jù)保護(hù)監(jiān)管應(yīng)建立動態(tài)的風(fēng)險評估機(jī)制，增強(qiáng)監(jiān)管政策的針對性和精準(zhǔn)性，并重點(diǎn)建立隱私保護(hù)政策影響評價制度，特別是強(qiáng)化隱私數(shù)據(jù)保護(hù)政策制定的成本收益分析，防止隱私監(jiān)管政策給企業(yè)帶來過高的合規(guī)成本，阻礙數(shù)字經(jīng)濟(jì)創(chuàng)新發(fā)展。再次，隱私數(shù)據(jù)保護(hù)監(jiān)管應(yīng)減少強(qiáng)硬的行政性命令——控制政策、一刀切的政策制定和運(yùn)動式執(zhí)法。隱私數(shù)據(jù)保護(hù)應(yīng)綜合運(yùn)用市場機(jī)制、平臺自我監(jiān)管、技術(shù)性解決方案等多種政策機(jī)制，特別應(yīng)突出隱私數(shù)據(jù)增強(qiáng)技術(shù)(PET)等技術(shù)性解決方案在隱私數(shù)據(jù)保護(hù)中的突出作用，通過各種政策手段的合理組合和協(xié)同作用來實(shí)現(xiàn)最佳的政策效果。最后，由于個人隱私數(shù)據(jù)保護(hù)主要涉及私權(quán)保護(hù)，為此需要完善隱私數(shù)據(jù)侵害的民事賠償制度?！秱€人信息保護(hù)法(草案)》第65條規(guī)定了個人信息侵權(quán)的民事賠償并且個人主要通過司法訴訟來尋求損害賠償，然而對政府機(jī)關(guān)侵害個人信息行為，個人是否能尋求損害賠償尚不明確。因此，需要對個人尋求損害賠償?shù)木葷?jì)程序、賠償額確定的考量因素等問題作進(jìn)一步的細(xì)化說明。