肖冬梅，陈 晰

(湘潭大学 法学院，湖南 湘潭 411105)

一、人类社会规则的嬗变：从软规则到硬规则

冯象认为，智能社会的规则由算法制定，是硬性的[1]5。因为随着人类社会步入大数据与人工智能时代，若不遵守代码、算法构筑的硬性规则，往往不能执行下一步操作。事实上，人类社会正在从软规则时代走向硬规则时代，从时间维度来看，这是一个动态演进的历史过程。从夜不闭户、路不拾遗的古代社会的柴门插销，发展到近代社会的木门铜锁、现代社会的铁门、防盗门窗到当前的电子门禁、秘钥，在这个演进过程中，技术因素是其间的核心变量，而与技术创新相伴而行的是社会规则的变迁。何谓硬规则？硬规则有看得见的，也有看不见的，看得见的硬规则如路障、隔栏、紧闭的大门等物理设施，这些物理屏障即看得见的硬规则。数码时代的密钥则是典型的看不见的硬规则，我们现在取款、网购、订票、收发邮件等日常活动，无不受这类硬规则的约束，记不得密码我们取不到钱、无法在线支付进行消费、不能收发电子邮件和登录APP，而这些已经成了我们日常生活必须遵守、不能违背的基本规则。可以说，随着云计算、大数据、物联网、人工智能技术的发展及其在各个领域的深入渗透，我们正在步入的智能社会是由数码规则引领潮流、算法制定的硬规则世界。譬如置身于智慧校园，不管是到食堂吃饭、进图书馆借书、去教学楼上课、澡堂洗澡，都会遭遇门禁这种硬规则，若忘记带校园卡，就会上不了课、借不了书、吃不了饭、洗不了澡。

何谓软规则？法律、政策、伦理道德等都可归为软规则一类，与硬规则相比，软规则的遵守往往需要内心约束或自觉意识。相对于写在纸上或挂在墙上的法条、政策或伦理规范，人们显然更遵从“物理规则”。比如挡在入口处的路障、马路中央的隔栏，没有这些物理屏障(硬规则)，光是立一块牌子，贴一纸告示，往往不起作用。以十字路口的红绿灯信号与立交桥为例，前者是软规则，后者是硬规则，红绿灯显示禁止通行的信号经常会有人去闯，但即便是绕行，立交桥设计的路线人们往往都会遵循。数字化生存一代，已经习惯了高效的硬规则。硬规则的制定和实施往往由服务商或政府机构主导，多数用户的意见不会被重视，规则透明度低、没有多少选择空间，如用户拒绝接受往往会被排除在服务之外。越来越多的硬规则出自商家、机构的自决行为，无须走政治程序酝酿论辩、汇聚民意，也不靠用户的内心约束或法治意识得以实施，随着大数据、算法和人工智能的深度渗透，我们每天的选择越来越由代码传达的指令说了算。

二、硬规则背后的数据主义与数据自由

(一)数据主义是硬规则世界的新宗教

研究显示，过去几年中人类制造的数据占整个人类历史数据量的95%，换言之，大数据时代已经真正降临。大数据是基于海量历史行为与前人经验，对未来的一种洞察。人们往往更倾向于相信大多数人的选择，如出行时我们通常会选择导航给出的最佳路线，网上购物时我们通常会选择销量最好的商品等。人类逐渐放弃直觉和经验，选择相信大数据的决策和分析[2]13。数据、代码和算法正驰骋在解释万物的高速路上。而人类，在某些程度上，已然成为自我的“先知”。

“数据主义”被认为是21世纪的新宗教。有生命科学研究者认为，假设生物体都是算法，那么生命就是数据处理的过程，换言之，人是由“数据”构成的。数据主义者认为，宇宙是由数据组成，任何现象或实体的价值就在于对数据处理的贡献。有了更好的算法和数据，人类这种生物算法就会被自然淘汰，数据主义者信仰两条律令：一是要连接越来越多的媒介，产生和使用越来越多的信息，让数据流最大化；二是要把一切连接到系统，连那些不想连入的异端也不能例外。随着人类步入大数据时代，“数据主义”似乎将取代“人文主义”并成为一种新的世界观或宗教，对此人类应当警醒。尤瓦尔·赫拉利认为，“数据主义”不仅是“21世纪最大的科学挑战”、“最急迫的政治和经济议题”，还是最重要的人文精神挑战[3]352-353。

技术常常与技术增进人的自由相伴而行。习惯了数字化生存的这一代人，也习惯了硬规则，对于智能时代层出不穷的“便捷服务”习以为常，事实上，在我们身处的硬规则世界，日常生活中的每一次交易，都是数码信息的交换，用户都100%执行了硬规则指令：提交个人信息。做一个透明人，自愿或被迫交出隐私，供人牟利，业已是生活常态。个人行为信息支撑着精准投放广告、区别定价；指纹和刷脸，方便了身份识别与信用追踪；DNA信息则可帮助保险公司甄别投保人风险。网络平台和产业巨头，大大小小的网站、店家、服务商，日复一日、年复一年地依法获取加工隐私“原材料”。

大数据和普适计算催生了新的人机关系、人-数据关系，数据和算法不再只发挥工具的作用，它们会改变人们的生活习惯和行为方式，与人共同组成一个人机、人-数据融合的新世界。在这个新世界硬规则盛行，软规则退居其后；数据主义喧嚣而上，人文主义式微。人文主义呼吁“聆听自己内心的声音”，数据主义呼吁“聆听算法的意见”。数据技术对日常生活的影响日益广泛，推动人类社会从人文主义世界观向数据主义世界观转变。这种从“以人为中心”向“以数据为中心”的转变，并不只是一场停留于观念中的哲学革命，而是能“真真切切”影响人类日常生活诸方面的日常生活革命。它直接高举造福人类、给人类带来幸福快乐的旗帜，以人道的口号占领日常生活的每一领域、每一角落；它不仅给予人类幸福快乐健康长寿等承诺，而且还让每一个人越来越多地享受它所带来的益处，并越来越依赖于它。数据主义正是通过承诺满足这些人文主义愿望而得以传播，人类为了获得永生、幸福、快乐，愉快地将选择、决定权交给了算法。然而，“一旦权力从人类手中交给算法，人文主义议题就可能惨遭淘汰。只要我们放弃了以人为中心的世界观，而秉持以数据为中心的世界观，人类的健康和幸福看来也就不再那么重要”[3]356。

(二)硬规则运行的前提是数据自由

当数据主义成为现实，万事万物皆可作为海量数据的聚合体被解读和分析。尤瓦尔·赫拉利指出:“数据主义相信一切的善(包括经济增长)都来自信息自由。如果想要创造一个更美好的世界，关键就是要释放数据，给它们自由”。但数据获得了自由，人将失去自由，自由似乎遵循守恒定律，这也暗示自由与“善”存在某种冲突。数据主义有助于社会运行效率的提高，但可能对个人隐私造成伤害，导致人的齐一性、个人自由的丧失。在自由与“善”之间，数据主义极端地选择了所谓的“善”，忽略了人的自由。或者说，数据主义仅在数据这一点上统一了“善”和自由，因为对数据主义来说，信息自由就是最高的“善”[3]356。

在目前复杂的个人数据生态系统中，用户个体实际上已不可能提供有意义的、真正自愿的“同意”来进行数据共享和处理活动[4]509-514。网络平台和APP运营者在隐私政策中对其第三方授权名单往往也不予公布，这意味着用户知情权并未被尊重，用户个人数据在其注册的网络平台、APP及其合作伙伴之间自由流动，个人数据被肆意收割和过度利用。2018年3月美国纽约时报和英国卫报联袂深度报道一家名为“剑桥分析”(Cambridge Analytica)的公司，利用Facebook5000万用户及其好友共计8700万名个人用户的敏感数据，用于2016年美国总统选举中，针对目标受众推送信息，从而影响大选结果，就是一个建立在数据自由流动基础上实现大数据引导和操纵民意的典型案例。以当前最为常见、时时刻刻都在发生的网络购物场景为例，消费者通过货比三家，自以为做出了最佳选择，殊不知消费者看到的价格是购物网站通过对个人数据的收集和挖掘，针对消费者进行个性化定制的价格。这种“大数据杀熟”现象已变得越来越常见，这意味着消费者自以为是的自主决策其实是被操纵的选择，消费者在毫不知情的情况下其自主权遭到侵犯。以往消费者讨价还价的能力大有用武之地，到了大数据时代，遇上精准营销，这种自主判断和选择的能力已派不上用场，甚至这种能力正在慢慢丧失。

三、数据主义与数据自由对隐私的挑战

(一)数据主义呼吁数据自由与分享经济

数据主义以产业发展与人类便利等“善”为由，呼吁数据自由与分享经济。但越来越多的事件表明不加控制的数据自由流动带来了严重的隐私安全隐患。正如狄更斯所言：这是最好的时代，也是最坏的时代。我们所处的这个时代之所以是一个最好的时代，因为我们遇见了前所未有的便利，我们所处的这个时代之所以是一个最坏的时代，因为我们在硬规则面前只能无奈地让渡隐私来换取便利，说“隐私为零”并不夸张。

现在数字信息产业价值链上成千上万的企业从任意一种线上行为收割数据，当今世界各类服务商正不断从任意一种线上行为收割数据，并且在线上和移动用户进入数字世界的36秒之内，就将目标内容触达用户[5]69-70。不仅是脸书，谷歌、苹果和亚马逊等网络巨头也都在收割我们的数据，用于任何我们可能想到的目的。例如，Acxiom公司或者甲骨文BlueKai运营的数据管理平台也拥有上百万用户的个人特点和社会心理档案。

如今服务商利用算法大规模收集数据行为所依赖的“通知同意”范式已经毫无意义。在算法控制下，用户沦为了生产链条上的一环，既需要作为生产者不断产生数据，又需要作为消费者不断反馈使用数据[6]87-99。实践中服务商通过Cookie、客户端程序等软件终端，从消费者终端和浏览行为中获取用户个性化数据，或自行获取，或与第三方合作，借助第三方的平台系统获取数据，如我国 “个推”公司与新浪微博、墨迹天气、飞猪、携程等数十个常用的APP合作，进行数据共享与精准推送。服务商则对用户行为进行画像、标签，或者其他技术处理，结合用户需要与企业服务向用户客户端投放推荐与搜索结果。

大数据便于挖掘和定位，易于对个体进行数据画像，建构关于个体的完整形象，从而使全方位全程监控个体成为可能。数据滥用等正是依托这样的计算平台和环境得以实现。因此，服务商以数据自由与分享经济为名，通过数据和算法轻而易举地监控和控制个体，使人机关系、人-数据关系发生了逆转。

(二)过度的数据自由与分享正在挤压隐私空间

(1)网络服务商通过格式化隐私政策控制用户数据

隐私政策被认为是嵌入到服务条款协议中的用以规范用户和服务商之间关系的文件。隐私政策原本可以起到告知用户其个人信息会被如何收集、使用和存储，用户享有何种权利，达到约束服务商的目的。但目前网络服务商利用其单方面发布的隐私政策，免除自身义务或者限制用户权利的情况十分普遍，对用户隐私权的保护造成极大的威胁。事实上越来越多的服务商的隐私政策化身为约束用户的硬规则，其被强加于用户协议条款中，而用户若要享受服务职能，就只能执行服务商的格式化指令：提交个人数据。服务商通过推出更有利于其自身的隐私政策，以达到控制数据，攫取数据上所蕴含的巨大经济价值的目的。

(2)过度的数据自由蕴含着高隐私风险

建立在个人数据过度收集与挖掘基础上的数据自由，事实上蕴含着严重的隐私风险。人们在复杂社会生活的方方面面的数据痕迹或数据足迹汇集成了海量数据。国家、企业和组织借助这些数据痕迹或足迹可以细致入微地洞察每个人的行为模式，进而从中透视人的心理与动机[7]92-100。互联网的本质是“数据的流动”，数据通过在组织、人、设备三者之间形成自由流动，将世界连接成一个整体。但过度的数据自由正在遭到公众对于隐私泄露的质疑，Facebook依旧没有脱离Cambridge Analytica的阴影，在其后另一家英国数据分析公司Crimson Hexagon也被封杀。谷歌因第三方电子邮件应用程序处理Gmail用户数据不当而遭到强烈抗议。

从今日头条的个性化推送到蚂蚁金服的芝麻信用评分，从京东的“奶爸当家指数”到某旅游网站用大数据“杀熟”，个人数据自动化分析已深嵌人类日常生活之中。通过自动化的数据处理，评估、分析及预测个人的工作表现、经济状况、位置、健康状况、个人偏好、可信赖度或行为表现，进而利用这种“数据画像”，在不同的业务场景中做出有关数据主体的各项决定。

大数据时代，我们不过是一部部会行走的事件记录器。用生物传感器去捕捉数据，用算法去处理数据，就能实现跟踪任何生命指标的能力。美国技术哲学家刘易斯·芒福德指出，现代技术尤其是单一技术造就了一种高度权力化的复杂的大型机器——“巨机器”。在这个巨机器中，人无异于一颗颗螺丝钉，服从机械的铁律[8]281-291。现代社会是一个基于技术的空间，大数据技术是现代单一技术的典范，如果不对大数据技术的使用进行合理的规范，人类就可能面临 “数据巨机器”的灾难性后果。大数据技术和普适计算成了数据巨机器出现的物质基础。数据巨机器由数据和算法铸成。数据是原材料，算法是加工厂。数据来源于离散的个体，算法由具有单一性的机构决定。数据通过算法的加工，铸成了数据巨机器。

安全和隐私是一枚硬币的两面。中消协2018年11月底发布了《100款App个人信息收集与隐私政策测评报告》，对中国消费者常用的App分类进行了隐私专项测评。其中报告显示新闻阅读、网上购物和交易支付等类型App为总平均分相对较高的App类别，而金融理财类App得分相对较低，仅为28.91分。隐私问题的极化可能导致数据巨机器的出现，进而导致人与数据关系的破裂、人的自由的丧失。隐私问题只是数据滥用的后果之一，数据巨机器的形成和人的自由的丧失才是数据滥用最严重的后果。尤瓦尔·赫拉利认为，信仰数据主义意味着：放弃隐私、自主性和个别性。数据主义不在乎我们的主观需求，对人类产生了威胁[3]352-353。

四、硬规则世界隐私边界的守护窘境与突围路径

(一)隐私边界的守护价值与现实窘境

隐私作为具有道德价值的利益，是人格尊严的先决条件，也是社会组织、道德伦理、法律问责机制的一块基石。我们所知的人类社会及其道德伦理制度，都包含了对隐私和自由意志的不同程度的认可。“隐”,是指需要隔绝于公的私的领域；“私”指有别于群体/社会之公的个体。社会承认并尊重个人享有一定的隐私权益，并且或多或少，限制他人(包括政府、企业、团体)对个人信息的索取和使用。相应地，社会要求个人为享有隐私，或他人的不知情、不得干预而付出代价，即为自己的选择和言行负责。

没有隐私，就没有自由意志。有了隐私，人才能培育道德自我意识，即充分意识到自己与行为后果的联系，从而能够自觉承担后果责任，才产生了对行动的自主选择的心理需求，自由意志得以培育。隐私所要求的社会认可及保护，其实是以自由意志，即人对他人和社会负责的能力为代价的。换言之，消灭隐私，就是消灭人类个体负责的能力。隐私的存在，不仅是自由意志生成和行使的条件，也是个体接受社会评价、承担社会义务的前提。反之，若无隐私，自我意识与自由意志就失去了植根的土壤，社会评价和个体责任就无所依托。

隐私边界的失守将导致社会偏见与歧视滋生。目前我们被数据所记载、所表达、所模拟、所处理、所预测，致使现实空间的歧视加剧。从求职歧视、消费歧视到司法歧视，数据歧视前所未有地制度化和系统化。算法暗箱显现了用户数据权利与机构数据权力的失衡现象。数据是用户的，算法是机构的。数据的收集和使用，对消费者个人而言是被动的，对机构而言则是主动的。机构设计的算法是其意志的模型化，算法赋予机构巨大的数据权力，主动权总是掌握在机构手中。对机构而言，数据是透明的，哪里有数据，如何收集和挖掘数据，机构都知道。数据是用户的，但用户并不知道自己的数据如何安放和被使用。个体数据权利和机构数据权力的不对称，使得个体的隐私边界近乎失守。对于机构，这似乎可以让他们获得更高利润、减少自身的风险；但对于零隐私的个体来说，或许会因此遭受偏见或歧视导致不公平。因为个人数据被收集、行迹被跟踪、隐私被监控，各类掌握数据和算法的机构能精准掌握个体的工作表现、发展潜力、偿债能力、需求偏好、健康状况等特征，据此进行数据画像并做出各种取舍和决定。算法自动化决策被广泛适用于政策制定、招聘筛选、贷款额度确定甚至司法辅助量刑等，有些个体将因此失去获得新资源的机会，例如获得投资、贷款、工作机会等。

隐私权的设立与发展，极大地加强了人们的隐私意识。隐私成了公民的基本权益，享有隐私是现代社会理所当然的一项个人自由；保护隐私，即保护人的尊严，保护我们唯一的生活世界，然而其边界正受到全方位的挑战。我们的一举一动，甚至一个闪念都处于监控之下，不啻一个个透明人。有史以来第一次，隐私成了商品被大规模地买卖。而隐私一旦商品化，不同社会阶层和集团便生出相互冲突的利益诉求，关于隐私的社会共识就名存实亡了。

(二)守护好隐私边界的路径：构建与硬规则共舞的软规则体系

大数据时代，掌握海量数据的政府部门与互联网企业巨头成为数据权力主体。这些深谙数据权力法则并能娴熟驾驭这类新型权力的主体成为人类社会秩序重构的支配与控制主体。缺乏有力约束的数据自由流动，使得数据权力正在野蛮生长。数据权力治理与隐私边界的守护，亟需规制数据权力的法治因应之策。一方面，要从规范数据收集、处理、存储以及跨境传输、司法管辖等方面夯实数据主权，并加强数据监管，对义务主体问责，以权力制约权力。另一方面，通过设置新型权利赋予数据主体，以权利稀释权力。除此以外，数据权力主体的自律与数据权利主体的自治也十分重要。通过探索公法与私法齐上的综合规制，推动多方联动，建构与智能硬规则世界相适应的软规则体系，方能守护好隐私边界。

(1)公法路径：明确数据主权与监管权来规制野蛮生长的数据权力

我国《国家安全法》(2015)、《网络安全法》(2016)对网络安全保障与网络空间权力治理具有挈领之意义。随着我国于2018年将《个人信息保护法》、《数据安全法》纳入立法计划,该领域开启紧锣密鼓的密集立法，这体现了我国在网络安全、数据保护方面的迫切需要与高度共识，若能快速推进《个人信息保护法》、《数据安全法》出台，我们有望从网络法治的宏大叙事困境突围，从宏观走向中观，最终走向现实操作层面，实现对数据权力的有效治理。通过国内法对外国数据权力主体的行为进行规制，直接关乎国家数据主权，这也是当前各国的通行做法，如GDPR及欧盟成员国国内法确立的长臂管辖权,GDPR第3条“地域范围”规定了三种可能的情形：一是设立在欧盟内的控制者或处理者对个人数据的处理，无论其处理行为是否发生在欧盟内；二是对欧盟内的数据主体的个人数据处理，即使控制者和处理者未设在欧盟内，只要其处理行为满足以下两个条件之一：a.发生在向欧盟内的数据主体提供商品或服务的过程中，无论此项商品或服务是否需要数据主体支付对价；b.对数据主体发生在欧盟内的行为进行的监控；三是适用于设立在欧盟之外，但依据国际公法欧盟成员国法律可适用地的控制者对个人数据的处理[9]1。

我国可通过《个人信息保护法》与《数据安全法》确立或进一步明确数据控制者义务、监管机构权力和责任、数据跨境传输的禁止或限制规则，而且在全球场域中确立关键信息基础设施、数据资源和网络行为的最终权力，这些举措应该都属于数据主权具体展开的形式。为加强数据跨境流动以及数据资源的域外控制能力，应将网络空间主权落实到国家数据主权。无论数据权力新贵是国家还是非国家实体，或是个人或组织等，一旦涉及危害国家安全时，即可主张国家数据主权。

在我国，政府监管在数据保护领域的缺位或不到位已成为各界的共识，虽然近两年随着数据泄露事件爆发常有监管机构约谈涉事企业，也有监管部门主动对APP的隐私政策进行评估并将评估结果向社会公布，但相较于隐私保护的需求，可谓杯水车薪。目前我国数据监管可谓九龙治水，存在多头管理、职权交叉、权限不明的弊端。因此，明确数据监管权的归属主体、权力类型、权力内容以及权力边界，应是正在制定中的《个人信息保护法》、《数据安全法》的重要组成部分。事实上，有关数据监管体系的构建及数据监管权力构造的条款，也是欧盟GDPR的一个重要创新与贡献。

加强数据领域的行政监管十分必要，一方面，因为就个体而言，新型权利的设置尚不足以防范其个人数据与信息遭受的侵犯，因为个人数据与信息价值计算不易，受损价值举证更难，个人数据权难免沦为“写在纸上挂在墙上的权利”。而行政监管可以做到以预防为主，并可对监管对象进行全程控制[10]3-23。另一方面，《民法总则》无法规制群体性的数据侵权，因为《民法总则》是从禁止侵害的角度来保护个人信息的。数据的采集、处理、储存、利用，往往涉及诸多机构和单位，民法无法规范社会群体性行为。且刑事、民事监管手段都存在滞后性，行政监管则可以事先预防数据侵权。譬如谷歌因数据融合在2012-2014年变更隐私政策，增加数据融合的描述“我们利用从所有服务中收集的信息来提供、维护、保护和改进这些服务，同时开发新的服务并保护谷歌以及用户。我们还会使用此类信息为您提供定制内容，例如向您提供相关程度更高的搜索结果和广告”，引起了欧盟29条工作组和多国数据监管机构的调查，并要求其修改该变更内容[11]，充分发挥了行政监管的主动性和效率优势。

(2)私法路径：通过设置新型权利来稀释数据权力

个人主体行使私权往往有正外部性，即个体在实现数据权利的过程中，能在一定程度上阻滞数据的融合，从而实现对数据权力的形成造成事实上的约束与限制，这便是以权利稀释权力。Richards N.E.(2013)的大数据三大悖论之首即透明化悖论，是指信息透明化要求与搜集信息秘密进行之间的悖论[12]66。大数据以“透明化”、“全样本”为取胜根本，若能通过目前已纳入立法计划的《个人信息保护法》，以数据法益为内核配置数据拒绝权、数据限制处理权等数据权利，随着数据主体对自己新型权利的主张，目前的数据收集与滥用乱象可望得到有效治理，数据融合由此受到约束，数据的“全样本”断难实现，数据画像和精准预测将面临无本之木、无源之水之困，其结果是切实地保护了隐私。因此，不宜因传统私权在大数据技术下无法有效地保护个人信息或数据，就全部否定以私权保护个人数据或信息的进路，而将“数据(或信息)作为公共物品来规制”[13]116-132。

欧美虽然在个人数据保护路径、监管体系与力度、大数据产业政策方面差异颇大，但二者在保护个人对数据的控制权方面却近乎一致。欧盟GDPR以列举的方式逐一规定了数据主体的访问权、被遗忘权、更正权，可携带权等，作为迄今为止数据保护领域影响最为深远的一部立法，它高扬权利保护的旗帜，开创性地赋予数据主体一系列的新型权利。美国曾根据其1996年《健康保险可携带和责任法》，颁布了《个人可识别医疗信息隐私标准》，针对个人医疗信息进行隐私保护与控制。2019年的《加州消费者隐私权法》则明确指出，加州消费者应当能够就其个人信息行使控制权。

(3)数据权力主体的自律：以数据合规为核心

根据Richards N.E.(2013)的大数据三大悖论之权力悖论，即大数据是改造社会的强大力量，但这种力量的发挥是以牺牲个人权利为代价，而让各大权力实体(服务商或政府)独享特权，大数据利益的天平倾向于对个人数据拥有控制权的机构[12]66。对于平台方和消费者个体而言，要达成长期的平衡格局，信任至关重要。平台方切不可目光短浅，平衡一经被打破，平台方一旦失去消费者的信任，往往会无法回头。“科技向善，信任重建”不能仅仅辄止于口头，数据合规对于平台方就是生命线。

“科技向善”比较容易感知，譬如利用海量用户数据，谷歌地图很好的解决了路痴迷路的问题，可以通过VPS的视觉定位系统，借助AI呈现实景街道，给步行用户提供精准简便的导航。目前AI可帮助特殊群体实现语言功能，通过摩斯密码的输入来正常说话。“信任重建”却需要假以时日，目前绝大多数APP都有隐含的协议，默认商家对个人信息进行采集和利用。搜索软件、购物软件、社交软件、地图软件、听歌软件，我们在接受便利的时候，事实上就已经选择了放弃隐私。虽然有些放弃是我们愿意的，有些放弃是被迫的，还有些是不知不觉的。后两种情形下商家显然将面临失去用户信任的风险。除了通过单个APP内数据的采集信息的方式，还有一种是基于设备的采集方式。该种方式采集的数据通过一定的人工智能、机器学习、算法加工等，就能进行精准的用户画像。譬如我们新买的手机往往已经被设备商预装了各种各样的App,多数情况下用户并不知情。这无疑也在商家与消费者之间埋下了信任隐患。

欧盟29条工作组曾在调查谷歌隐私政策修改时对谷歌提出过合规性建议，其中关于具体需要衡量的因素包括：(1)提供信息的充分性。(2)处理的合法性基础，即获得用户的明确同意。(3)提供给用户便捷有效的退出数据融合的选项。(4)保证符合数据最小化原则、目的限制原则以及Privacy by Design等要求，且对不同的数据融合行为所收集的数据进行隔离和区别。(5)数据融合的数据保留期限，应当与目的实现相一致[14]。

事实上，该建议对于所有数据平台方或数据控制者都是适用的，这是数据合规所必须达到的标准。2019年1月，法国数据监管机构CNIL因谷歌违反GDPR的透明性原则、提供充分信息以及针对个性化广告缺乏数据处理的合法性基础，而对谷歌处以5000万欧元的高额罚款。CNIL作为29条工作组任命的主要调查机构，其处罚决定书里对谷歌提出的合规性建议与29条工作组的建议高度一致。

(4)数据权利主体的自治

正如警察不可能制止所有的偷盗行为一样，每个个体的防范意识对于安全而言意义重大。事实上，不论是平台方还是政府监管机构，都不可能完全解决窃取个人信息的威胁，需要每个数据主体提高安全意识，防范于未然。斯蒂法诺·昆达利尼主张每一个人都应该保持自己对线上资讯的控制，这些线上资讯可以在不同的门户网站之间轻松地转移[2]。如果我们决定不再喜欢脸书，我们应该能够转移至一个类似的网站，比如脸书的竞争对手，并且不会丢掉依然使用脸书的那些联系人信息。

结语

我们应当加大力度治理数据隐私问题，同时应当积极建构人与技术、人与数据的自由关系。通过夯实数据主权、强化行政监管对算法权力、数据权力进行规制，以权力制约权力；通过设置数据主体新型权利，以权利稀释权力；强化数据控制者、用户的隐私数据保护意识，加强数据权力主体的自律和数据权利主体的自治。采用“技术+管理+法律”多种救济措施，使软规则与硬规制共舞，守护好隐私边界，最终达到数据善治的目标。