刁胜先，徐云燕

（重庆邮电大学 网络空间安全与信息法学院，重庆 400065）

大数据时代将个人数据的价值推到了一个新高点，同时也暴露出了诸多个人数据安全问题。如何在保护个人数据和促进经济发展中寻求一个平衡点，成为一个难点。从总体上看，理论界对于个人信息的保护主要从三个方面研究。第一，从个人数据保护角度进行研究；第二，从欧盟《一般数据保护条例》（General Data Protection Regulation，以下简称GDPR或《条例》）整体进行宏观研究；第三，从GDPR中各项权利进行研究。反对权并非是GDPR首创，而是沿用1995年《数据保护指令》（以下简称《95指令》）中第14条规定，并在此基础上加以扩充。国外文献大多研究自动化决策的相关问题，国内也鲜有单独研究反对权的文献，而多为研究反自动化决策权。对GDPR反对权的权利属性、法律保护基础、权利构造、实践运行等进行分析考察，可为我国相关立法提供参考。

一、反对权内涵解析

（一）反对权概念

根据欧盟于2018年5月25日正式施行的GDPR，反对权是指数据控制者或处理者在对个人数据进行某些特定处理时，该个人数据主体基于对自己个人数据的保护，可以随时提出反对的权利。

设立反对权的目的在于给予数据主体控制权，它肯定了数据主体对个人数据的支配权，是一项高度人身性权利。目前信息技术的进步，使个人数据被广泛而轻易地收集、提供、利用、储存和传输，进而催生出“信息茧房”、大数据杀熟等现象，信息主体对个人数据的失控有增无减。正确地实施反对权，有利于保障个人数据权益，落实个人数据自决的理念。

反自动化决策权是反对权的一种特殊情况和行使方式，二者共同构成GDPR第三章第四节。第一，从权利性质与设立目的看，两者都属于数据主体的控制权，是一种私权利，都为保障个人信息利益不受损害而设立。第二，反对的处理范围上，反自动化决策权针对的数据处理范围为完全依靠自动化处理（包括用户画像）作出的对数据主体产生重大影响的决策，而反对权反对的个人数据进行处理范围包括非自动化与自动化处理，可见后者包含前者。第三，行使方式上，两者都是通过反对他人处理自己数据的方式来行使自己的权利。

（二）GDPR中反对权的权利构造

1）反对权的权利主体是个人信息主体

GDPR序言第1条第（2）款和第14条规定GDPR保护主体是自然人，排除了企业和法人。其主要原因在于个人信息权主要保护个人人格利益，企业和法人并无私生活，也无精神痛苦，企业与法人还可通过商业秘密或财产权途径来维权。同时，GDPR也对特殊群体有单独规定，对特殊自然人适用特定程序，对死人不适用。

2）反对权的义务主体是不特定的多数人

根据GDPR第4条第（7）款与第（8）款规定，反对权的义务主体为数据的控制者与处理者，主要包括单独或连同他人共同处理个人数据的主体。通常情况下有公共机构、法人、自然人、代理机构和其他组织，但具体的标准可由欧盟或其他成员国根据法律予以规定。“数据控制者”的概念起源于《95指令》，之后便被广泛使用。但处于大数据时代，通过行为目的和手段来判断何为“数据控制者”较为困难。我国《民法典》已抛弃“控制者”这一称谓，将进行个人信息处理的主体统一称为个人信息处理者，该处理者对信息主体行使查阅权、复制权、异议并更正等必要措施采取权和删除权时的配合义务，对个人信息安全承担“安全保障义务”。

GDPR第22条规定，反对权主要适用于个人数据，包括用户画像在内的自动化处理数据。单纯的匿名化信息，或是已经变为数字化而不指向数据主体的信息，不属于GDPR中个人数据范围。但匿名化信息也存在漏洞，主要原因在于，匿名化并非完全不可能识别个人，收集匿名信息的平台还存在识别的可能性。反对权是要求无论在任何时候，除了获得数据主体的明确同意或者为了公共利益或官方履职前提下，其他主体不得私自对于数据主体的个人数据进行各种处理。网络浏览痕迹是否属于反对权客体，在学界争议较多。有名的CooKie案中，一审二审对于浏览痕迹的认定区别较大，二审认定其未侵权的原因，主要在于浏览痕迹不具有识别性。

反对权是指个人数据主体基于对自己个人数据的保护，对特定处理行为可以随时提出反对的权利。GDPR第4条第（2）款中规定了“处理”的方式，由此可见，反对权的保护范围不是单纯的保护数据，而是保护整个数据的处理过程。这个概念继承了《95指令》中第2条第（b）项的“处理”概念，不仅包括自动化处理，也包括手动处理。此外，当数据被包含或意图包含于文档系统，且文档依托于特定标准建构时，处理行为同样受到GDPR的管辖。但是为了协调个人与公共利益之间的关系，GDPR同时也给予了数据控制者及处理者一定的缓冲余地，对个人数据反对权进行限制，这体现在反对权针对的三种处理情形中。

第一种，事先同意或反对。处理个人数据的目的是为了直接营销，那么此时数据控制者或处理者在使用前，都需获得个人数据主体的同意。若数据主体反对，那么数据控制者或处理者不得就同一个数据进行处理。不仅如此，即便数据主体在开始处理时没有行使反对权，在此后的任何一个环节，数据主体都有权随时反对这种处理，包括处理与之相关的用户画像。

第二种，事先不需同意、事中随时反对。个人数据处理的目的是官方履行某项任务或者数据控制者或第三方追求正当利益，此类型数据控制者在使用该个人数据之前无须经过数据主体的同意，数据主体可随时行使其反对权。不过当数据控制者有合理的证据证明其处理行为的正当性可以凌驾于数据主体的利益、权利和自由之上，或者该处理行为是为了提起、行使或辩护法律主张时，数据主体的反对请求可能被拒绝。但是GDPR同时对于追求正当利益的情形进行了额外的特别限制。

第三种，公共利益必要外的反对。个人数据处理的目的是因科学、历史研究或者统计目的时，数据主体的反对权是有限制的，只有在该处理对执行公共利益的任务不是必要时才能行使反对权。

二、GDPR中反对权的实证考察

GDPR实施以来，截至2019年3月，来自27个欧洲经济区的数据保护机构的统计数据显示，共上报了281 088例案件；截至2021年7月28日，通过GDPR执法追踪器（https：//www.enforcementtracker.com/）查询2018年5月25日—2021年7月28日罚款案例的结果显示，遭受罚款的案例共有753例，其中涉及GDPR第21条反对权的处罚为35例，涉及GDPR第22条反自动化处理权的处罚为3例。根据GDPR的相关规定，结合统计学原理及相关法学理论，设置了处罚国家、处罚时间、被罚单位类型、罚款金额、触犯条款、被处罚原因等6个变量。以实践中反对权的处罚情况为主要分析点，厘清现有的理论与处罚之间的差距，为我国反对权的设立提供一些数据支持。

（一）反对权罚款案例数量逐年上升

样本总体来看，在753个案例中，有11个案例未列明时间，有列明时间的案例为742例，其中2018年10例、2019年160例、2020年341例、2021年1月1日至7月28日231例，虽然今年的数据还未完全统计，但才半年时间已超过了去年数量的一半，由此可见，案件的总体数量是在逐年增多的。GDPR的21条与22条亦是如此，2019年7例、2020年16例、2021年1月1日至7月28日15例，整体案例数量逐年上升。案例数量增多可以从侧面看出各国对于个人数据保护的日益重视。

（二）反对权罚款案件数量较少，但罚款总金额较高且各国间差异较大

753例案例中有14例案例未列明是否有处罚，8例案例列明只开罚单未罚款，罚款金额共计746 935 227欧元、平均值为1 010 738欧元、标准差为18 516 194.6欧元、罚款最高为500 000 000欧元，最低为0元。总体来看，GDPR罚款的数量占总的上报案例的数量偏低，通过标准差以及最高、最低值可知，各国罚款金额差异较大。

以GDPR第21条进行惩处的案例有35例，以GDPR第22条进行惩处的案例有3例，两者相加共计38例，仅占总数的5.0%，罚款金额中有3例金额未列明，其余35个案例金额共计64 818 428欧元，占总数的8.6%。平均值为1 851 955.08欧元、标准差为5 261 400.365欧元、最高为27 800 000欧元、最低为1 000欧元。通过以上数据可知，以GDPR21条、22条处罚的案例数量占总数的比例较少，但罚款金额偏高，平均值比总体罚款案例的平均值高841 217.08欧元。不过标准差较总体罚款案例的值较低，罚款金额比总体罚款金额更为集中。

GDPR第83条定义了两种处罚标准。根据第5款规定可知，违反GDPR第21条和第22条，罚款金额可至2000万欧元或是上一财务年度全球总营业额的4%，以金额较高者为准。可见GDPR第21条与第22条处罚的平均值1 851 955.08欧元接近最高罚款额，罚款金额偏高。

（三）反对权处罚的原因较为集中

GDPR第83条规定了行政罚款的一般条件，GDPR执法案例追踪器中将处罚的原因归为了九类。分别为：数据处理的法律依据不足（35.8%）、确保信息安全的技术和组织措施不足（21.2%）、不遵守一般数据处理原则（19.4%）、数据主体的权利履行不足（10.1%）、信息义务履行不足（6%）、与监管部门的合作不足（4.5%）、数据处理协议不足（0.5%）、缺乏数据保护官任命（0.5%）。可见，处罚的原因较为集中，以数据处理的法律依据不足、确保信息安全的技术和组织措施不足、不遵守一般数据处理原则三者为主，占据了76.4%。

GDPR第21条与第22条也是如此，数据处理的法律依据不足有14例、数据主体的权利履行不足有16例、不遵守一般数据处理原则有7例、确保信息安全的技术和组织措施不足有1例。在对这些案件进行细化分析后发现，受处罚的原因大部分为数据处理者在收到当事人反对通知后仍继续使用数据主体的数据。

（四）适用反对权处罚的国家较少且罚款金额与罚款数量不一致

总体来看，罚款数量排名前十的国家为西班牙（32%）、意大利（11%）、罗马尼亚（7.8%）、匈牙利（5%）、挪威（4%）、德国（4%）、波兰（3.7%）、捷克共和国（3.3%）、比利时（3.2%）、瑞典（2.9%）。可见，罚款的国家是较为集中的，以西班牙和意大利、罗马尼亚为主，但此三国的罚款金额并不高，平均值西班牙为121 609.17欧元，意大利为957 430.96欧元，罗马尼亚为11 777.11欧元。罚款数额最高的为法国，平均值为31 681 956.25欧元，但其罚款数量仅16例，占所有案件数量的2.1%。

欧盟27个成员国中，仅12个国家对触犯反对权的数据处理者进行了处罚，处罚国家较为比较集中。其中法国2例、德国2例、希腊2例、罗马尼亚3例、意大利6例、西班牙12例、匈牙利1例、比利时3例、捷克共和国4例、挪威1例、芬兰1例、荷兰1例。与样本总体情况类似，西班牙虽案例数最多，但罚款金额不高，平均值为687 464.16欧元，罚款金额较高的为意大利，为9 288 600.16欧元。

由此可见，罚款数量较多的国家其罚款的金额并不高，更多的是一种警告式的罚款，而一些国家罚款数量较少，但金额却比较大，可以推断，虽GDPR中规定了判罚金额，但各国之间惩治的方式不一致，某些国家以小惩量多为主，某些国家以大额罚款为主。

（五）同时依据其他条款一并处罚较多

从样本总体来看，753个样本中有251例是单独依据1个条例处罚的，其中以第5条（85例）、第32条（68例）、第6条（64例）为主。

单独依据21条进行处罚的案例共5例。其余都是同时触犯了其他条款，其中第五条17次、第六条19次、第七条5次、第十二条7次、第十三条3次、第十四条2次、第十五条5次、第十六条4次、第十七条11次、第十八、十九、二十条各3次、第二十三条5次、第二十四条4次、第二十五条5次、第二十八条4次、第三十、三十一条各1次、第三十二条4次、第三十三条2次、第三十四条1次、第三十五条1次。

根据以上分析可知，触犯21条与22条的同时，极易触犯第五、六、十七条。分别对应了数据处理的原则、合法性与被遗忘权。

三、对GDPR反对权的反思与分析

从考察可知，GDPR在立法上明确确立了个人数据反对权，并对权利内容分出两个层面，即一般反对权和反自动化决策权。围绕权利的行使、限制和救济，GDPR也做了较为立体和全面的设计。同时，GDPR反对权具有技术可行性而被实践，但在实践中存在罚款案件数量逐年上升，罚款总金额较高、处罚原因集中、罚款金额差别较大、同时依据其他条款一并处罚的多等。受处罚的原因大部分为数据处理者在收到当事人反对通知后仍继续使用数据主体的数据等情形，这说明信息主体单独依靠反对权、自行主张或行使反对权的效果较差，实践运行中并非不可或缺或具有普遍性，而需要借“处罚”的公权力进行补救。对此，结合我国国情，该权利独立存在的必要性、正当性及其性质等，尚有堪疑和探讨空间。

（一）GDPR反对权的立法设计尚存不足

1）“仅采用自动化处理手段”与“人工干预”关系不清

GDPR第22条并未规定“采用自动化处理手段作出的决策”是指所有证据和判断完全基于自动化手段进行的决策。欧盟第29条工作组的第4份指导意见——《关于自动化个人决策目的和识别分析目的准则》（以下简称《自动化准则》）中也认为“基于单独地”自动化处理，意味着在决策制定过程中没有人为干预；同时解释表明实际标准为“是否产生了实质的影响”，而并不是完全排除所有的人为痕迹。

2）“法律影响或类似重大影响”外延不明

反对自动化决策权行使的前提是自动化处理的行为产生了法律效力或是类似重大影响，但是对“法律效力与类似重大影响的界限”并无明确说明。GDPR在《95指令》的基础上将“重大影响的法律决策”变为“对数据主体产生了法律效力”。《自动化准则》认为法律效力是一种对某个人的法律权利会产生影响的处理活动，或是一些影响某个自然人法律地位的情况；对“类似的重大影响”理解为在决策制定过程未对某个人在法律上的权利产生影响，仍然可以适用反自动化决策权。GDPR中引用“近似”来推敲“重大影响”，这说明“重大影响”参照了“法律效力”强度，其适用并非无边无际。GDPR也并未明确界定“重大”的范围。其原因在于，同一件事针对不同群体影响不同，且标准很难统一，即使是网上销售或价格歧视，在某些情况下也可被视为与第22条有关的重大影响。

反自动化决策权中，当数据控制者处理的个人数据属于特殊敏感数据时，无论该处理是基于上述何种情况，数据主体都有权反对自动化决策。可见特殊敏感数据的保护较之一般数据更加严厉。GDPR第9条在《95指令》对敏感数据分类的基础上，增加了唯一识别特定自然人的生物数据、基因数据和性取向数据。GDPR又将特殊类型的个人数据分为三类，并对敏感数据的保护是越来越严格。不仅如此，敏感数据不是单纯地列举信息，而是包括由一些数据推断或转化的特殊类型数据。GDPR中对于可被处理的敏感信息，仅限于两种情况：一种是数据主体的明确同意；二是数据处理的必要性是建立在重大公共利益的原因基础上，结合欧盟或成员国法律恰当追求的目标，尊重数据保护的权利的本质，提供合适的和具体的措施以保障数据主体的基本权利和问题。

随着人工智能的不断发展，算法自动化决策被各领域广泛利用。从个人信息获取的角度来讲，算法自动化决策在提升工作效率与节约时间的同时，会出现“算法杀熟”现象与“信息茧房”效应，长此以往，还会进一步引发同质化效应与同声室效应。隐私泄露会发生在算法预测阶段，因为之前未向网络平台披露过的个人信息经过深度算法预测会被推测和披露出来。目前算法黑箱难以避免，其危害主要体现在两个方面：一方面，算法存在来自机器偏差的“歧视”；另一方面，人工无法解释算法决策。虽然GDPR在《95指令》基础上，延展了数据主体对于控制者处理的个人数据的知情权及访问权，在“免受自动化决策”基础上提出“数据画像”，增设数据遗忘权、访问和携带数据权以及数据泄露的通知义务，但是基于算法模型的不透明性而没有赋予数据主体解释算法决策的个人权利。对于算法中存在的个人信息保护问题，反对权、反自动化决策是否能反对算法，是现阶段理论界和实践界需共同攻克的难题。

根据GDPR第22条第（2）款和第（4）款的规定，数据控制者可使用数据主体的个人数据，但需采取适当的措施保障数据主体的权利、自由、合法利益。但哪些为适当措施，GDPR在正文中并未明确规定。在序言第71条中规定了适当保障，包括向数据主体提供具体信息、获得人为干预的权利、表达数据主体的观点、在评估后获得决定解释权并质疑该决定等措施。《自动化准则》强调，有效地保障措施还应包括对其处理的数据进行频繁的评估，以检查任何的偏差，例如不正确的分类、不精确地预测、对个人的负面影响；在此基础上开发解决任何有害因素的方法，包括对相关性的过度依赖，定期检查评估结构的准确性和相关性等。

《自动化准则》在附件1中提到的一份具体建议清单，是对第22条第（3）款下的实际保障措施。研究欧盟各成员国立法可发现，虽说GDPR中规定了各国要设立适当的措施，但各国情况仍不相同。导致这些差异的因素各有不同，一般包括：各国在隐私保护、网络风险感知和技术监管方面的文化史、法律史和经济背景不同；不同国家愿意向公民提供更多个人权利或施加更多义务不同；不同成员国执行欧盟指令的一般标准不同。可见，大部分国家没有规定具体的保障措施，现有保障措施也没有完全涵盖所有行为，在此项保障上还需进一步完善。

（二）各国对GDPR反对权的监管与执法水平不统一

目前，GDPR的实施对于个人数据保护起到了良好的宣传作用，使欧盟民众比以前更关注他们的数据权利。调查显示，2015年，大多数西班牙人（57%）、罗马尼亚人（52%）和匈牙利人（52%）不知道数据保护机构的存在；大多数荷兰人（57%）和瑞典人（54%）不知道该向谁投诉侵犯隐私；在法国、意大利和比利时，分别有55%、50%和47%的受访者表示，从未听说过GDPR。而现在有57%的人了解到国家专设了数据保护局，提供个人数据权的保障，有67%的人听说过GDPR这部法律。

但是，GDPR的监管没有完全落实。一方面，面对GDPR对个人数据近乎严苛的保护，很多企业负担重，保护措施尚未完善；另一方面，基于各国执法路径与社会文化差异，各个国家执法水平参差不齐的现状短期内难以改善，也会导致GDPR“统一规则和执法统一”沦为一纸空文。

四、GDPR反对权启示下的我国选择

（一）我国反对权现状

立法上，我国2013年《消费者权益保护法》规定“经营者未经消费者同意或者请求，或者消费者明确表示拒绝的，不得向其发送商业性信息”，这最多可算我国反对权的一种近似表现，因为“发送商业性信息”与GDPR中“法律影响或类似重大影响”相去较远。2013年《电信和互联网用户个人信息保护规定》、2015年《刑法修正案（九）》、2020年《民法典》和2020年全国人大常委会审议的《中华人民共和国个人信息保护法（草案）》（以下简称《草案》），都未设立独立的反对权。

2015年以来，我国相继出台多部法律法规，为人脸识别技术的应用奠定了重要基础。自动识别技术在带来便利的同时，也存在着多种风险。普通方式下，用户可以通过设置密码、密保或手机验证等方式来加强其个人信息的安全性，被盗还可以通过挂失、修改等手段及时阻止信息外流。而自动识别技术不需要多种验证就可使用，这对个人信息、个人财产、人身安全方面都有巨大的隐患。如媒体报道浙江小学生用照片便可打开快递柜案、四川侦破破坏支付宝系统案。自动识别技术往往使用生物信息，而生物信息具有100%的可识别性，一旦被泄露或是被不当利用，后果无法估量，因此对其利用出现许多质疑声音。被称为“中国人脸识别第一案”的郭某诉某野生动物世界采集游客人脸信息案，“清华大学劳东燕教授拒绝小区人脸识别案”，可以认为是对人脸这一个人信息进行识别处理的一种反对，属于GDPR中反对权范畴。

总体上，我国法律对反对权的立法还处于一个初级的摸索阶段，目前对反对权的独立权利地位及其概念与内涵没有明确；立法或草案存在一些反对权的实质性内容，但适用范围较窄，未规定法律责任与救济途径。如《消费者权益保护法》规定“经营者未经消费者同意或者请求，或者消费者明确表示拒绝的，不得向其发送商业性信息”，该条只适用在消费者与经销商之间，并主要起提醒式作用，因为没有规定惩罚方式与救济途径。

（二）GDPR反对权之于我国的反思与启示

显然，在欧盟立法体系里，GDPR反对权是个人信息自决权的一项独立权利内容，性质属于基本人权。但是，对于反对权的内容与法益，我国是否应该全盘移植，还是本土化改造后加以借鉴，再抑或是获得启示后全新设计，尚需要结合我国实际国情，深入全面地论证。首先，全盘移植绝不可取，因为前述表明，该权利立法上和实践效果上都有不足，尚待进一步检验和完善。其次，个人信息保护的立法上，欧美一直在领跑世界，我国的一些研究和立法对此难免有借鉴和本土化思考。但“本土化”思维，是以欧美立法为本位，本土化的权利既来源于该法律权利谱系，去向上又力求能衔接于该权利谱系的坐标而与之接轨。这不符合我国法治的本土主义发展需求，即立足于本土，从自身的立法变迁和社会需求出发，哪怕是借鉴和吸收外在的经验，最终也是服务于自己的发展，而不刻意去迎合外在的坐标体系。因此，GDPR反对权对于我国存在一定启示，但是我国的制度设计应当采取全新设计的路径。但毫无疑问，GDPR反对权的设立和实践表明，在个人信息权益保护中，信息主体以反对的方式来维护权益、掌控个人信息等情况是不可或缺的手段，法条中也当有此内容。

（三）对我国反对权内容的立法选择与建议

一项权利的独立，需要具备较多条件，包括法益的独立性、必要性，外延的明确性、可行性，理论、立法与司法的现实支撑等。我国《民法典》尚未确立个人信息权的独立权利地位，正反映了上述问题在我国并未得到解决和统一，作为个人信息权内容的反对权自然不例外。同时，GDPR反对权本身存在不足，我国对此应加以避免和克服。因此，我国立法不宜将该权利定性为独立权利；即便使用“反对权”表述，也属于其他意义上使用，而非指权利类型。当然，这不影响、也不否认，我国立法、司法实践中已经或应该存在相关内容。对此，我们可以选择其他方式加以处理。

1）明确“反对”是所有个人信息权益的权能行使方式

我国《民法典》《网络安全法》并未将反对权明确为独立的个人信息权利种类；《个人信息法（草案）》虽然在权利条款第44条使用了“有权限制或拒绝他人对其个人信息进行处理”的表述，但结合整个条文和整个规范来看，将此解释为“知情决定权”消极权能之描述、而不是反对权的赋权条款，则更合理。因此，“个人信息反对权”不应成为与访问权、复制权、删除权、更正权等并列的权利类型，而是作为抽象整体的个人信息自决权益具备的一项基本的消极权能，与访问、修改、变更等正面自决的积极自决权能构成一枚硬币的两面，是自决权能的反向保障，并贯穿在访问权等不同的具体权利种类中。

2）以权益救济方式明确得以反对的处理情形与例外

当个人信息被他人处理，信息主体的权益就处于危险之中。为此，信息主体以事前反对收集、事中事后反对处理等方式救济个人信息自决权利，实有必要。其救济的具体情形，可借鉴GDPR设定，作出适合我国国情的规定。比如，对一般数据适用默示同意规则，在此基础上可将反对行为分为三类：第一类，事先同意或反对，此项可针对敏感数据或直接用于营销的数据，包括与直接营销有关的数据画像，数据主体可在数据被收集时直接予以同意或反对。第二类，无须收集时事先同意，但事中数据主体可以随时反对。此类反对权主要适用于一般数据。收集时事先可以不征得数据主体的同意，但当数据主体行使反对权时，数据处理者应立即处理。第三类，公共利益必要外的反对。个人数据处理的目的是因科学、历史研究或者统计目的时，数据主体的反对权是有限制的，只有在该处理对执行公共利益的任务不是必要时才能行使反对权。

3）合理设置“同意”标准并与反对内容衔接

反对发生的一大前提是数据主体未同意。因此，“同意”标准合理与否，直接影响反对的启动和效果。如果标准过高，反对权启动频繁，会影响个人数据的处理利用；如果过低，反对权启动较少，又不利于保护个人信息自决权。GDPR将“同意”规定为明示的同意，WP29条工作组对其进一步细化：如果数据处理存在多项目的，那么每一个收集行为均应单独取得同意，反过来说，多项同意不得在接受服务之初捆绑在一起。可见，GDPR适用了较高的“同意”标准。同样，我国于2019年初发布的《关于开展App违法违规收集使用个人信息专项治理的公告》规定了个人信息主体自主选择同意，不以默认、捆绑、停止安装使用等手段变相强迫用户授权。显然，“一揽子捆绑同意”仍然是我国个人信息保护规制的重点。但要完全分开同意，不仅会加大企业成本，还会使数据主体陷入一种“勾选疲劳”，降低使用舒适感。如何平衡好两者的关系，在大数据时代极为重要。对于“同意”标准，进行分类和细化设计，并与反对权的行使相衔接，是一种可行的思路。

首先，“同意”与法律强行规定冲突时，何者优先？一般情况下，本着意思自治原则，信息主体的同意应得到尊重，未经同意的处理可被反对。但同时，个人信息具有公共资源属性，因为国家安全利益、必要的公共利益等需要，特定情形下法律强制规定可以优先于信息主体的同意。其次，“同意”的内容意味着可以被处理，但当撤回同意后，则因为处理不再具有授权而可被反对。再次，未经同意的内容，是否一定可以反对呢？按照权利推定原则，未经明确同意、也未明确反对的数据处理内容，应当推定为不得进行处理，除非有法定的正当理由或依据。最后，完善“同意”的细化规则。现实中，同意机制一度失灵，因为信息主体与信息控制者的强弱不同，格式合同等剥夺了信息主体的真实意思。但是，随着不同立法的重视和细化，对信息控制者作出相应义务规定，为信息主体有效表达“同意”作出了保障。但是，随着技术的发展，表达“同意”的场景随之变化，所以立法也应随时跟进，对“同意”的规则不断细化、修改和完善。只有明确了“同意”的真实性和有效性，后续对数据处理是否得以反对才能有效落实。

GDPR中的特殊主体仅限于儿童，这将不利于精神病人等限制民事行为能力人与无民事行为能力人的权利保护。我国可将特殊主体扩大为限制民事行为能力人与无民事行为能力人。无民事行为能力人与限制民事行为能力人的区分，可参考《民法典》规定，以8周岁和能否辩论自己行为为界。年满16周岁不满18周岁，以自己劳动收入为主要生活来源的，可视为完全民事行为能力人。

无民事行为能力人在行使反对权时，需要监护人进行参与和指导，参与和指导的范围根据WP29条小组建议采用比例法，以符合GDPR中规定的数据最小化原则。例如：可以通过银行交易的方式要求父母或监护人向控制者支付0.01欧元，在交易描述中做一个简短确认，即该银行账户持有者是对相关用户负有监护责任者。在适当情况下，还应提供另一种核查方法，以防止对没有银行账户的人造成不适当的歧视。限制民事行为能力人在实施反对权时，针对符合自己年龄与智力水平的可享有完全的反对权，不能辨认的部分参考无民事行为能力人。

GDPR反对权针对的特殊数据主要为敏感数据，而未包括匿名化数据。我国可将不同的匿名化数据按类型区分处理，以是否最终完全避免识别到个人为标准分为三类。第一类，针对直接匿名收集的数据，虽然在收集个人数据时是匿名的，但也可通过上网的IP，数据流量产生的地址来查询到个人，此类数据主体得以反对。第二类，带有很强生物特征的匿名数据，如人脸识别技术收集的个人数据。虽在收集时只是将人脸的生物信息数字化进行存储识别。但此类技术人身属性很强，不存在真正的“匿名”，也属于个人数据的一种，其处理可在反对范围。第三类，针对单纯由算法处理产生的匿名数据。此类数据由算法加工得到，已经失去其识别到个人的可能，数据主体不能据此行使反对。当然，由于特殊数据或特殊处理具有时代性和个别性等，需要特定时期的特别界定和规定，其分类也需要合理、科学和细化考量。本文仅限抛砖引玉，该问题尚需专门深入的研究。

在人工智能时代，为我们生活带来极大便利的美团、饿了么、京东、淘宝、网易云音乐、抖音等，都在广泛使用自动化决策。该技术在促进数据的高速流通、节约时间成本方面有极大的优势。自动化处理已不单单是基于数据库编码的计算机自动化，而逐渐演变为基于神经网络的超级自动化。现在的自动化技术已可根据现有信息推断出更为广阔的信息领域，数据画像便是其中一种，其便捷与风险并存，尤其是算法歧视很难通过人类来发现。我国《个人信息保护法（草案）》对自动化决策规定了事前风险评估制度，明确了公共事业领域自动化决策活动应当遵循的原则。但事先风险评估中未明确何为风险评估，风险评估的等级、适用范围也较窄，不好适用。对于自动化决策，可参考GDPR中的反对权，分不同情况进行设置，同时注意明确权利主体的行使条件，确保数据主体对敏感数据反对权的有效行使，加强把控算法自动化决策风险。

①“个人数据”“个人信息”两个名词，当前在学界引起了很多争议，有些学者专门针对这两者提出区分，这也许存在理论上的价值，但就具体立法而言，只要符合语言习惯即可，不必深究。本文不对个人信息、个人数据做严格区分，将两者等同使用。

②“信息茧房”最早由哈佛大学法学院桑斯坦教授提出，意指公众在海量信息传播中，因非对信息存有全方位需求，而只关注自己选择的或能使自己愉悦的讯息，长此以往，将自己束缚在如蚕织就的信息“茧房”中的现象。

③GDPR第22条第1款规定：反自动化决策权是指数据主体有权反对完全依靠自动化处理（包括用户画像）作出的对数据主体产生严重影响的决策。

④江苏省南京市中级人民法院（2014）宁民终字第5028号民事判决书。

⑤“处理”的方式是包括收集、记录、组织、建构、存储、修改、检索、咨询、使用、披露、传播或其他方式利用、排列或组合、限制、删除或销毁等任何一项或一组操作所作的个人数据的集合。

⑥GDPR第6条第1款（f）中规定：该限制是指，若此时需要通过对于个人数据的保护来实现对于数据主体的优先性利益或者是基本权利与自由的保护，特别是对于儿童的优先性利益或者基本权利与自由的保护，则为了数据控制者或者第三方追求的正当利益而必不可少的数据处理行为则不被允许。

⑦本文数据是通过GDPR执法追踪器上面的公示案例查出，由于该网站的数据每日都在更新，数据的时间范围为2018年5月25日—2021年7月28日，共计753例，详情参见：https：//www.enforcementtracker.com/访问时间：2021年7月28日。

⑧第一，对于“政治、宗教信仰、哲学信仰、工会成员资格等个人信息”，原则上可以进行处理，与一般个人数据处理的前提条件一致，只是强调处理过程中不得以揭示该种类型的个人数据为目的；第二，对于“个人基因数据、生物特征数据”，原则上也可以处理，但对目的进行限定，即不得以识别自然人身份为目的；第三，对于“健康数据、性生活、性取向等相关数据”，原则上禁止处理。

⑨例如在新冠肺炎疫情防控期间，武汉市民及从武汉返乡人员几乎等同于新冠肺炎病毒高危人群，其家庭住址、身份证号码等被各个方面用于隔离、劝勉等目的。此时，其家庭住址、身份证号码等在GDPR中就会被当成与健康相关的信息，而“升格”为特殊类型数据。

⑩机器偏差又可以分为两类：“认知偏差”和“统计偏差”。认知偏差源于算法设计人员的“偏差输入”或对现实情况的理解偏差，是由于数据收集中的常规缺陷，导致数据收集错误并对现实的描述不准确时出现的偏差。统计偏差倾向于通过对大数据的统计分析来找到模式和模型，但是当在某个领域存在不平衡时，模式本身就会产生偏差。例如在统计时便对性别有歧视，那么统计出来的数据自然也存在歧视的情况。

⑪这份清单包括：针对歧视和不公平待遇的定期质量保证检查、有独立的第三方算法审计、第三方算法的合同保证、数据最小化措施、匿名化措施、容许资料当事人表达其意见及对决定提出异议的方法、在自动决策过程中人为干预的结构化机制。额外的保障措施可能是：认证机制、行为准则和道德审查委员会。

⑫具体有：《关于银行业金融机构远程开立人民币账户的指导意见征求意见稿》、《安全防范视频监控人脸识别系统技术要求》《信息安全技术网络人脸识别认证系统安全技术要求》《促进新一代人工智能产业发展三年行动计划（2018年－2020年）》。

⑬可参考案号：（2019）浙0111民初6971号。