刘 昶 金之玥

　　近年来，随着信息与传播技术的演进，社会生活领域里万物互联与交互的时代正在来临，媒体的信息传播力日益增强并朝向智能化、平台化、自动化和市场化发展，而随之爆发的数据革命对传播活动的规模、速度、方式、结构产生了极其重要的影响。例如，数据成为人工智能技术演进的催化剂，而人工智能或机器学习又被用来作为对复杂的、动态的、异构的大数据进行处理与分析的路径或工具。在此全新的智媒业态语境中，被提取分析的数据来自于广泛接入互联网的个人（包括其属性、行为、状态、关系等），保存在用户本地终端上的数据（cookies）等在线标识符、传感器等数据采集技术使个人信息被提取的种类与范围得以拓展，同时也使得个人信息泄露的风险程度陡然增加。基于大数据和人工智能技术的个人数据处理与利用，更常常对个人权益造成威胁。例如“剑桥分析事件”，特朗普竞选团队利用脸书泄露的8700万用户数据从事政治传播活动。

　　面对技术的快速发展和传播全球化给个人数据保护带来的挑战，各方都采取了措施，如2018年，我国以“个人信息”为保护对象的立法正式进入相关流程，2021年8月20日第十三届全国人大常委会第三十次会议审议通过《中华人民共和国个人信息保护法》，并于当年11月起生效。这无疑将有效地保护个人信息权益，规范个人信息处理活动，促进对个人信息的合理利用。又如，欧盟1995年就通过了《数据保护指令》（Data Protection Directive，简称“DPD”），2018年5月25日又通过了升级版的《通用数据保护条例》（General Data Protection Regulation，简称“GDPR”）。较之“DPD”，“GDPR”提高了个人数据保护的直接约束力和适用性，被称为“史上最严格的个人数据保护法案”。

　　在传播学的视阈中，从大数据与人工智能技术建构的新型传播生态对个人信息的影响出发，认真考察近年来欧洲的个人信息法律保护的演进与经验，尤其是比照为应对技术变迁而制定的“GDPR”的内容及其实施经验，或有助于更加深刻地认识我国立法保护个人信息的意义。

一、传播技术革新与个人信息增值

随着当今各种各样的传感器、智能设备将我们前所未有地接入数字化的虚拟世界之中，数字媒介与技术浸泡了我们的日常生活。媒介技术应用的普遍化与我们生活世界不断增加的“纠缠”，被一位德国学者视作“深度媒介化”。而先前尼葛洛庞蒂所谓的“数字化生存”已逐渐演变为可见的现实，尽管现实并不如其设想的那般乐观。无论是“深度媒介化”或是“数字化生存”，ABC（人工智能、大数据和云计算）在不断参与个人生活的同时，也深入个人信息/个人数据领域，从根本上变革了对个人隐私问题的传统认知。

（一）大数据与个人信息的价值化

人们对大数据的理解和描述是一不断全面和深化的过程：从起初的规模性、多样性和集合/生成/处理的快速性，逐渐扩展至表征低密度的价值性、非静止体系的动态性和可显性化展示的视觉性，以及尤为重要的采集和应用的合理性，亦即合法性等，这些区别于传统信息的特性也同样为接入互联网过程的个人数据所共有。因此，在大数据背景下，关涉个人隐私或个人敏感数据的公私域边界变得更不清晰。来自皮尤研究中心的一项调查显示，社交媒体用户普遍认为其使用的平台能够根据收集到的行为数据，确定用户的种族、爱好、政治取向、宗教信仰等关键特征。无论是欧洲的“GDPR”还是我国的《个人信息保护法》，确认信息或数据具有个人属性的要领在于“可识别性”，即通过相关标识、信息可以追溯何者为其归属的特性。换言之，虽然个人的某些隐私在数据的间接联系中变得模糊，但大数据、区块链等相关技术或能极大拓展间接识别的范畴，将传统意义上不可识别的信息转变为可识别的信息。因而，在时下的大数据语境中，扩大个人信息或数据保护的适用范围成为重心所在。除此之外，包括平台在内的私人主体在数据采集分析与大数据技术革新过程中的主导作用，也凸显了大数据的价值属性，给个人信息保护提出了新的难题。

　　互联网平台搜集的数据大致由五个部分构成：一是来自网络交易的内容，二是物体或身体等各个地方的传感器信息，三是政府和企业的数据库，四是私人和公共监控摄像头，五是用户在网络上留下的资料。这些数据在私人占有的前提下成为“数字资产”。哈佛商学院的肖莎娜·祖波夫（Shoshana Zuboff）教授认为，以“谷歌”为首的科技公司的收入依赖于其无处不在的自动化运营所占用的数据资产，这些资产吸引了大量投资。这已然成为大多数网络公司默认的商业模式，大数据是这个具有高度目的性和重要性的新积累逻辑的基础，数据则是这一过程所必需的原材料，祖波夫称之为“监控资本化”或“监控资本主义”（surveillance capitalism），其积累逻辑假定用数据换取服务的互惠性，但“没有建立有建设性的产品和对消费者的回报，而是吸引用户进入开展数据提取操作”④。在此框架下，传播活动过程中具有个人尊严意义的个人信息或数据被赋予工具性价值而脱离了个人的控制。

（二）算法与个人信息的处理利用

在当代社会的数字化生存中，算法通过对个人信息或数据的处理与利用，渗透话语权力乃至操纵个人的日常生活。知识与权力新的不对称关系建构了用数据换取服务的“互惠性”迷思。通过算法“黑箱”，数字资本将用户的操作界面与后台相隔离，从而在个体及其数据之中最大限度地榨取商业利益。

　　在个人与媒介的深度互动中，算法通过对信息进行分类、筛选、排序、推荐，展示人们的画像、透露人们的需要、引导人们的行为。众所周知，算法对社会和个人产生影响主要通过两种方式：一是算法的设计行为，即设计者编写算法决策代码，并输入数据使算法自主学习，从而优化决策流程；二是算法的部署应用行为，即算法控制者在其平台上通过部署算法应用来驾驭价值变现过程。而智能算法则通过另一路径—算法的自主决策—发挥效力。欧洲的“GDPR”和我国的《个人信息保护法》均以“自动化决策”作为立法用语，恰恰言明了算法对个人行动的指导性意义。

　　而今，数以百万计的虚拟服务器、预测分析的专业知识与技术，使得人们难以跨越物质与智力上的认知鸿沟，算法作为这方面的技术载体，也因自身的技术优势而获得了日益扩张的权力。

　　为数据利用建立规则的是算法权力，而基于画像的个性化推荐便是体现算法权力最常见的方式。通过海量用户行为等数据建立个人配置文件，数据持有者、算法控制者拥有了相对于普通用户的单向透明；个体面对的是针对个人的规则改变，作为消费者的用户往往在不知情的情况下被挖掘消费能力；个性化的界面为用户打造了一个又一个的“信息茧房”，作为传播活动可能性前提的他者之在场与交流成为一种错觉。

　　由此，算法中显露的歧视屡见不鲜，包括设计意图与已经存在的社会偏见。例如，美国住房与城市发展部就曾指控脸书挖掘有关其用户的大量数据，并根据这些用户的种族、性别、国籍、家庭状况或宗教等个人隐私信息提供带有种族歧视色彩的定向住房广告。“大数据杀熟”是我国最为常见的价格歧视，携程、美团、饿了么、滴滴等多家平台均曾被报道存在此类现象。

　　由此可见，算法在处理和利用大数据过程中所掌握的权力，不但在某种程度上操纵着用户的媒介化生活，而且算法一旦由数字资本控制，其积累逻辑还会侵害个人尊严与自由，影响社会公平正义。

（三）平台权力与垄断结构风险

算法权力虽以技术权力为表象，本质上却是配置社会资源的权力，大数据也只是其展开行动的知识基础。也有学者认为，算法权力本身也包含着数据的权力，其中算法是主权力，数据属于附属权力。不管怎么说，掌握这一权力的是拥有强大数据提取与分析能力的数字资本。无论是被货币化的个人数据，还是算法对个人决策的不合理控制，最终似乎都是数字资本积累逻辑的实践。而当前，全球最具规模的数字资本采用了同一种经营方式—平台。

　　平台作为一种私人主体，尤其是技术巨头主导的、具有垄断性质的超级平台，已经具备公共基础设施的属性，并对此产生某种自觉。一种观点认为，平台针对平台上的其他主体（包括商户和用户）已经享有至少三种可能被滥用的权力：市场准入权、资源调配权、实际规制权。其中，超级平台的崛起取代了传统组织对资源配置权和交易撮合权的垄断。

　　超级平台除在市场份额的结构意义上实现垄断之外，还实施了诸如屏蔽外链等垄断行为。头部科技公司的技术革新已经超出了政府的行政能力与制度极限。当互联网超越了企业的边界，成为社会和生活的基础设施，而国家监管能力极大地受到技术能力的约束之时，新的“公共俘获”就会发生。“俘获”公共权力的数字资本完全能够以此服务于自身的积累逻辑，进而损害社会利益，甚至危及国家利益，侵蚀国家治理能力与效能。

　　欧洲学界与个人数据保护立法者敏锐地察觉到超级平台的危险性。荷兰学者何塞·范·迪克（José van Dijck）将在地缘政治意义上主导全球网络世界的平台，分为中美两个不同的生态系统，各自拥有五大巨头，即百度、阿里巴巴、腾讯、京东和滴滴，Alphabet、脸书、亚马逊、苹果和微软。美国平台系统已经在世界上大部分地区占据主导位置，而欧洲大陆几乎没有大型科技公司，因此在总体上，欧洲已然依赖于美国的平台系统。

　　在操作层面，西方强国凭借实力霸蛮打压其他国家数字信息产业的事件接二连三发生、发酵，似乎表明基于数字资本平台的“资本化监控”/“监控资本主义”或有转向“监控帝国主义”的可能。因此，欧洲倡导“技术主权”理念不仅意在制约美国超级平台权力，而且还有借对技术的掌控建构数据主权的考量。

　　当大数据与人工智能革新了个人信息采集、处理的手段与用途时，作为数字资本的美国超级平台便成为全球主导性基础设施。在欧洲尚不拥有基于自身文化与价值设计的平台系统的现状下，欧盟的“GDPR”的生效与执行成为保护个人信息、维护个人尊严与权利、捍卫欧洲传统公共价值、制约垄断平台权力、维护数据主权的重要一步。

二、个人数据/信息保护的欧洲经验

相比美国与亚洲国家，欧洲惯常使用“个人数据”的表述，例如欧盟《数据保护指令》《通用数据保护条例》、德国《数据保护法》等。相较之下，“GDPR”中的“个人数据”对应我国《个人信息保护法》中“个人信息”概念，两者在立法定义上并无本质不同。

　　“GDPR”旨在保护个人数据权利与促进内部市场发展的双重性，通过协调“数据主体人格性的保护”与“数据控制者和处理者对数据权利的商业利用”之间的关系，试图同时保护数据主体对数据支配权、数据控制者和处理者对数据的使用权与收益权以及国家或联盟的数据主权。

　　在人工智能算法、大数据与云计算构建的全球超级平台系统的语境中，欧洲的个人数据保护从大数据资产下的个人数据控制权利，到算法权力下自动化决策的公正与透明，再到全球平台垄断下的内部市场与数据主权保护，具有私益保护和公益保护的双重指向。

（一）人格权与财产权的双轨制确认

欧盟将个人数据视为“流动的人格”进行全面保护。“GDPR”以个人数据处理的流程为基础，规定了八项数据主体的人格权益：知情权、访问权、更正权、删除权/被遗忘权、限制处理权、可携带权、反对权以及对自动化决策的拒绝权等。相比传统人格权保护把人格视为相对静止的存在，“GDPR”将保护个人数据视作保护数据主体“流动的人格”，原因在于大数据技术造成了个人数据内容与边界的模糊。

　　当日常生活接入互联网的时空前所未有地拓展，数据采集过程中可识别的信息种类、范围、规模迅速扩大。大数据的易变性所指涉的多层结构，就更意味着多变的形式与类型、不规则和模糊不清的特性。随着数据主体生命过程中社会交往的持续开展并日益依赖于互联网，进入大数据的个人数据不断增加、变化，其中所体现的人格权利也相应发生变化。

　　如果说信息与传播技术的突飞猛进和迅速普及，使得公众人物包括姓名、肖像、健康、名称、名誉、隐私等人格要素在内的个人信息日益被商业资本利用，那么在数字资本的新阶段，被接入互联网的每一个用户作为数据主体生产的个人数据，都兼具人格性与财产性。基于这样的现实，“GDPR”构建了人格权与财产权并行的双轨机制，契合了“人格权财产化”趋势。对个人数据人格权与财产权的确认与保护，有助于提高个人在数字资本将其数据大规模采集并价值化过程中对个人数据的控制力。因此也有来自美国的学者担忧，“用数据换取服务”的模式不太可能属于“GDPR”合同义务保护的合法利益类别，因此如果用户能够拒绝所有数据使用与分享，就会削弱科技公司货币化数据的能力。

　　在赋予数据主体对个人数据较高程度的控制水平的同时，“GDPR”第77条规定，数据主体均有权向监管当局提出投诉。这使得个人能够对大数据采集与利用全过程的个人数据侵权问题提出质疑。在“GDPR”实施后的近一年中，监管机构登记了超过14.4万次问询和投诉以及8.9万次以上的数据泄露；相比2017年，欧盟各国监管机构收到的相关问询与投诉都有所增加。

（二）自动化决策原则的确立及其局限

“GDPR”第22条将包括个人画像在内的自动化个人决策原则作为数据主体人格权益的组成部分，其规定对象为“仅基于自动化处理”，即决策制定过程中没有人为干预，因此也是制约作为大数据处理与利用手段的算法的针对性条款。

　　2016年，欧盟根据《数据保护指令》设立的数据保护工作组发布了《关于自动化个人决策和个人画像条例规定的指南》（Guidelines on Automated individual decisionmaking and Profiling for the purpose of Regulation，以下简称《指南》），对个人画像与自动化决策概念、一般规定、具体规定、儿童保护以及数据保护影响评估（DPIA）、数据保护官（DPO）等的应用作了详细阐释。

　　“GDPR”第22条明确表示，数据主体对数据处理者使用算法进行选择、判断和决策时，至少是在包括个人画像在内仅仅基于自动化处理的决策对数据主体产生法律上或有近似重大影响时，拥有拒绝的权利。《指南》进一步指出，所谓“近似重大影响”最极端的情况在于自动化决策导致的对个人的排斥或歧视，这确认了“算法歧视”的非法性。此外，《指南》还明确了“自动化决策导致的价格差异化也有可能产生重大影响”，这一表述似乎对应了“大数据杀熟”现象。

　　除此之外，个人数据保护中人格权的其他方面也对自动化决策作出了要求。涉及知情权和访问权的相关条款规定了自动化决策的算法控制者必须提供以下信息：行为存在与否、关于算法逻辑有意义的信息、重要性、预期结果。“GDPR”第22条第3款同时要求数据控制者采取适当的措施，以保障数据主体的权利自由和合法利益，至少有获得数据控制者人为干预、表达个人观点并对决策提出异议的权利。

　　上述对算法的针对性规定，突出体现了个人数据保护应该合法、公平、透明的一般原则。这些针对性的规定在一定程度上打破了单向的透明，使得个人获得介入算法展开决策过程的途径，制约数字资本利用数字资产最大化利益时伴生的各类歧视。

　　“GDPR”也有包括数据主体明确同意等在内的三种具有例外性的规定。要获得“明确”的同意，数据控制者和处理者需要在常规性同意要求的基础中做出额外的努力。有德国学者认为，“GDPR”遵循了将知情同意视为“数据保护法的基石”与“信息自决权的真实表达”的思路，甚至有时优先于所有其他合法数据处理的理由，事实上给了用户一种控制自己数据的错觉：同意协议使公司向数据主体转移了责任，而用户又缺乏与公司谈判的可能。虽然“GDPR”后需要用户点击“同意”的隐私政策的可读性相对有所提高，从所需13年的教育年限降低至12年，但仍然高于用户的平均阅读能力。于是，当“同意”作为例外原则时，算法与个人之间在物质与智力上的巨大鸿沟，将阻碍人们检视算法权力并防范歧视后果的产生，这在很大程度上破坏了真正的社会公平。

（三）内部市场与数据主权保护

为了赋予数据主体对个人数据高度的控制力，欧盟设立了专门的监管机构，并以数据保护影响评估（DPIA）作为有别于个人救济的自上而下的治理措施，从而提高对欧盟内部市场数据的管辖能力以维护数据主权。这也正是欧盟“GDPR”最具公法导向的目标，以期促进欧盟内跨境数据的自由流动。

　　欧盟框架内个人数据的自由流动，是整合欧盟内部市场的基础。因此，欧盟数据保护立法力度不断加强，法律规则也从一般到特殊再到抽象，相关立法体系从碎片化过渡到一体化。面对《数据保护指令》的执行与应用过程中因成员国个人数据保护程度上的差异或阻碍欧盟内部个人数据自由流动的可能性，“GDPR”较强的法律效力和一体化的立法体系，为保护成员国自然人数据权利和自由的相等水平的愿望托底。

　　出于充分实现个人数据/信息和内部市场保护的目标，“GDPR”的地域管辖具有明显的扩张性，明确将境外企业对欧盟内个体进行个人数据处理的行为纳入管辖之中，包括三种情形：一是关涉欧盟境内设立机构的情形；二是关涉未在欧盟境内设立机构，但为欧盟境内数据主体提供商品的情形；三是关涉服务或存在监控行为，未在欧盟境内设立机构，但依据国际公法应适用欧盟成员国法律的情形。域外效力的加强，对以“信息自由模式”建构的美国超级平台在欧洲的主导性地位，同样有一定的制约作用。在“GDPR”生效之日，两个隐私权组织便提交了针对谷歌的投诉。2019年，法国数据监管机构（CNIL）以缺乏知情权的透明度和对个性化广告的同意为由，对谷歌处以5000万欧元的罚款。2021年7月30日，卢森堡国家数据保护委员会根据“GDPR”的规定，对亚马逊开出了“GDPR”生效以来的最高罚单，数额高达8.866亿美元。

　　虽然在关于行政罚款的条款中，“GDPR”采用的是统一标准，并没有体现出对全球超级平台的特殊关注，但超级平台的全球影响力仍然被纳入“上年度全球营业额”的处罚标准以及侵权行为严重性、受影响数据主体数量和遭受损害程度的考量范畴。欧盟其他相关立法也有对超级平台的重点要求。例如，欧盟《数字服务法》不仅十分重视大型在线平台在传播非法内容和危害社会方面构成的特殊风险，对这些平台提出17项新义务，这比普通在线平台应尽义务多出了6项。又如，欧盟《数据市场法》建立了一套用于将大型在线平台认定为所谓的“看门人”的客观标准，严格规定“看门人”不得从事自我优待、屏蔽外链、妨碍卸载程序等行为。

　　此外，由于美国的国家安全法律与欧盟个人数据保护法律之间存在明显冲突，“GDPR”在欧盟与美国之间的隐私谈判中也在发挥新的作用：2020年7月16日，欧盟法院宣布《欧盟—美国隐私盾决定》（the EU-US Privacy Shield，简称“隐私盾协议”）无效。虽然“隐私盾协议”在此四年前被用来取代《安全港协议》而使美国公司承担的义务更多，数据保护标准也更加细严，但根据“GDPR”的相关标准，“隐私盾协议”并未对传输到美国的欧盟个人数据提供充分保护以避免成为其情报获取的目标。因此，在判定“隐私盾协议”无效时，欧盟成功地借助“GDPR”再一次挑战了美国的数据保护法律，同时也助推欧盟委员会主席乌尔苏拉·冯德莱恩所谓的“夺回技术主权”的努力。

　　在个人数据保护的范畴中，平台传播使得“技术主权”与“数据主权”相辅相成。然而，“GDPR”所设想的内部市场与数据主权保护仍然举步艰难。相关调查发现，“GDPR”的出台反而让谷歌在全球在线广告市场获得了更大的份额，脸书虽略有损失，但其损失也少于大多数较小的网络技术公司。与此同时，欧洲初创企业每周平均收入相比“GDPR”生效前下降了40%。“GDPR”对数据保护的严格程度增加了数据处理者和控制者的企业合规成本，而超级平台自身在处理合规问题上拥有大量资源，网站所有者可能更倾向于超级平台，而非难以证明合规性的小型广告商。

　　“GDPR”本意在于实现一个“自由、安全、正义的领域”，并建立一个经济联盟以“促进经济和社会进步、内部市场经济的加强与整合以及自然人的福祉”。诚然，大数据背景下建立人格权与财产权的双轨机制，对自动化决策与个人画像进行针对性制约，以维护内部市场与数据主权，就这一维度而言，认定“GDPR”实现了从私益到公益的个人数据保护是现实而客观的。然而，相对于通过大数据和人工智能算法已经完成一轮数字资本积累的平台，它与用户之间巨大的知识与权力的不对称性，仍然在基于同意的保护思路中继续存在，并在适应新规则的同时维护其垄断平台的强势地位。如何在提升欧盟及其成员国平台治理能力的基础上促进自身的平台系统生长，并在其中构筑自己的公共价值体系，在传播实践中更为有效地保护个人信息/数据，仍是欧盟面临的巨大挑战。

三、个人信息保护的欧洲经验与中国方案

“GDPR”生效三周年之后，我国个人信息保护进入了新的阶段，《个人信息保护法》与《数据安全法》《网络安全法》《密码法》协同构筑起中国个人信息保护的基本法律框架。

（一）基于人格权保护的意义

我国个人信息保护相关条款已经写入了2021年开始施行的《民法典》之“人格权编”（与隐私权合并列入第六章）。同时，《民法典》还明确区分了隐私权与个人信息权益所适用的法律法规：个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。《个人信息保护法》则进一步完善了“自然人的个人信息受法律保护”的权利，称之为“个人信息保护权益”，在《民法典》规定的知情权、访问权、更正权、删除权的基础上，新增了反对权、限制处理权、可携带权以及对自动化决策的拒绝权，基本覆盖了“GDPR”提出的八项人格权益。相关条款为日常新闻与传播实践活动中个人信息的保护提供了明晰的法理依据。

　　在大数据与人工智能时代，个人信息与人格权、个人信息与财产权、现实人格与数字人格在互联网中展现的多种形态已经超出了传统个人主义权利理论的预设，需要根据不同形态赋予个人多项具体权能。欧盟设立人格权与财产权的双轨机制，也是应对这一新变化的举措。因为在个人数据被数字资本采集为大数据并展开价值化的语境中，有利于内部市场整合的可携带权凸显出个人数据的财产性，符合“GDPR”框架的双重指向。美中不足的是，“GDPR”的双轨机制与双重指向导致其“既是一种基本权利政策，又是促进市场协调的监管工具”，故而不符合基础性法律依据。

　　相比之下，中国方案别具特点：《民法典》对我国个人信息的基本权利及其保护做出了界定；而《个人信息保护法》在加强个人对个人信息的控制能力的同时，又对个人信息处理者鲜明的社会监管倾向进行了定义，并对个人信息自由流动的目标保持了审慎的态度。中国方案的意义显而易见：一方面，履行个人信息保护职责的部门除了要接受、处理与个人信息保护有关的投诉、举报，还要组织个人信息保护情况测评、调查处理违法个人信息处理活动等；另一方面，不同于欧盟提高“个人数据自由流动”的理念，我国相关法律草案中原有的“保障个人信息依法有序自由流动”的表述在审议时被删除，这一欧中反差体现了我国立法者对表述个人信息财产性可能产生的矛盾和问题的体认。相比之下，面对平台大规模采集个人信息形成大数据并作为自己的数字资产使之价值化的过程，“GDPR”具有双重指向的野心；但我国现阶段立法仍从国情出发，坚持对人格尊严的强调，这与国家发改委就《市场准入负面清单（2021年版）》公开征求意见稿中有关非公有资本不得从事新闻采编播发业务等内容形成了呼应关系。

（二）严格限制自动化决策的目的

受到欧盟经验的启示，我国《个人信息保护法》也同样单独列出条款规范算法机制下的自动化决策，但限制比欧盟更为严格。《个人信息保护法》虽然没有像“GDPR”一样单独指出“个人画像”的规范，但禁止平台为了最大化商业利益而通过算法进行画像产生价格歧视的结果，同时也没有像欧盟那样设置基于同意的例外。换言之，个人即使同意处理个人信息，也必须保证“决策透明度和结果公平、公正”，不得“在交易价格等交易条件上实行不合理的差别待遇”（即俗称的“大数据杀熟”），并提供“不针对其个人特征的选项”，说明“通过自动化决策方式作出对个人权益有重大影响的决定”。

　　尤其值得一提的是，中国方案的相关条款允许个人拒绝或选择非个性化的方式，接受平台通过算法“对个人进行信息推送、商业营销”。这意味着个人在一定程度上拥有了是否走出“信息茧房”的选择权，在此基础上与他者的碰面和在“广场上”相互理解的交流才有机会发生。此外，国家网信办新近发布《互联网信息服务算法推荐管理规定（征求意见稿）》，以期履行“指定个人信息保护具体规则、标准”的职责，以行政法规的形式进一步深化了与自动化决策密切关联的算法相关规定。征求意见稿还对关于“流量造假、流量劫持”“屏蔽信息”“操纵榜单或者检索结果排序”“控制热搜或精选”等干预信息呈现、影响网络舆论的行为做出了具体限制。可见，算法不仅被数字资本用于构建交往环境，还被用于操纵传播行为。虽然相关规定在现阶段仍旨在规制数字资本平台在追求商业利益时造成的种种不公，但已然在其中确认了以实现公共性为目的的基本导向。

　　由此可见，我国在借鉴欧盟相关经验的同时，得益于针对长期以来平台相关算法实践中出现的问题所展开的公共讨论，《个人信息保护法》以及相关法律法规以“结果公平、公正”为导向，对平台算法使用制定了严格细致的规范。此外，超级平台的公共基础设施属性使其对公共舆论场有着相当大的操控能力，加之算法在人们深度媒介化的日常生活中发挥的巨大作用，超级平台成为现代化治理的重点也变得容易理解了。

（三）朝向维护平台治理与数据主权的愿景

在全球传播的格局之中，“GDPR”主要针对已然在欧洲占据主导地位的美国超级平台。而在我国，本土超级平台的“公共俘获”与美国超级平台的扩张意图，共同构成了我国网络数字平台治理的难题。我国《个人信息保护法》第十二条规定，“国家积极参与个人信息保护国际规则的制定”，“推动与其他国家、地区、国际组织之间的个人信息保护规则、标准等互认”，这些表述体现了中国打破全球平台传播现有格局与秩序的规则性意义。

　　根据国际隐私保护专家协会（IAPP）发布的“GDPR”三周年回顾总结，自“GDPR”2018年生效以来，拥有隐私保护法律的国家/地区从127个增至144个，美国州层面的综合性隐私保护提案数量从2个剧增至69个。另一项对全球数据市场的跟踪调查发现，“GDPR”的影响已经超越欧盟边界，影响了全球范围的网站和消费者。由于这一欧盟法规被认为是全球隐私监管的最高标准与准则，加之域外效力的延伸，“GDPR”已然成为欧盟向其他国家或地区输出的数据合规监管工具。这一情况不仅对保护欧盟境内的数据主权具有显著益处，而且在相关领域国际话语权争夺中也占据了主导地位，成为欧盟软实力扩张的范例。欧盟在数据主权维护方面取得的成果，在一定程度对我国个人信息立法的目的给予了启示。

　　参考“GDPR”的处罚规定，我国将罚款上限从“GDPR”规定的上一年度的4%提至5%。同时，《个人信息保护法》对超级平台—“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”—也设有单独条款，增加保护义务，包括成立独立监督机构，遵循公开、公平、公正原则制定平台规则，对平台内违法产品或服务提供者停止服务。与欧盟《数字市场法》针对的“守门人”的市场准入权不同，我国《个人信息保护法》第五十八条在公开、公正的基础上，确认了对平台“私主体”治理的实际规制权的监管。

　　“GDPR”的推广经验也佐证了在全球性平台化传播的语境中，具有域外适用效力的、高度一致且严格明确的国内立法，既有利于在全球平台竞争中维护本国公民的个人信息权益与国家数据主权，也有助于本国参与全球治理。进一步讲，我国个人信息保护框架的进一步细化与完善以及相关法律法规的实施，也可为全球化平台传播的个人信息保护提供了新的经验与启示。

四、个人信息保护与传播博弈悖论

从某种意义上而言，新闻传播学领域关于个人信息保护的理念可以上溯至18、19世纪欧美学界对保护隐私及私生活重要性的一些著述。几个世纪以来，对隐私的界定亦见仁见智。个人信息保护的范畴亦由个人隐私权延展至表达自由权、公民人格权、公众知情权等，这些权利间不断出现的冲突亦一直在挑战新闻传播学界和业界。

　　就传播学理层面而论，噪音是传播活动无法回避的难题，因为没有噪音，便没有传播。如果说个人信息泄露可以被视作传播活动过程中的噪音现象的话，传播技术的发展一直在通过增强信道、扩充容量等路径来实现降噪，以求提升信息的高保真度。否则，噪音对信息传播的干扰有可能令新闻报道的真相变得珍稀而直接影响传播效能的最佳化。因此，若有意在法理层面保护个人信息的话，传播活动就有必要降噪。

　　然而，在日常的传播实践中，一方面，个人信息保护需要竭力防止个人隐私泄露；另一方面，新闻传播似乎又需要“揭秘”—揭露被某些组织和个人刻意隐瞒的信息，包括个人信息/数据在内。例如，出于新闻职业行为的需要，调查性报道每每需要突破“百分之百的个人信息保护”，挖掘、披露一些个人信息。“潘多拉文件”（Pandora Papers）就是范例之一：2021年10月，由国际调查记者联盟（ICIJ）发布的这份文件，披露了世界90多个国家和地区的330名政要和名流的大量秘密交易信息、隐藏海外的私人财产，以及包括普京在内的政客和其他领域精英的私生活信息，数据总量达到2.94TB。对于大多数用户而言，人们在日益注重个人信息保护的同时，为满足好奇心而窥视他人隐私的传统依旧，并在一定的社会意义上成为媒体揭秘的共谋。

　　屡屡出现带有鲜明的公民人格权色彩的个人信息保护与享有表达自由权的新闻报道披露隐私之间的悖论，主要原因或在于信息/数据处理者同时还常常是“公共利益”的代言人，尤其是在所谓的“ABC时代”，信息/数据公开与个人信息保护的隐私悖论更加凸显，诸多结构上的因素，如被操纵的公共领域与个人内心领域的融合趋向、技术意识形态的渗透与公众网络社会的抗争、不同文化价值的冲突等，都表征了数据共享与个人信息保护的考量。

　　除此之外，个人信息保护不仅是法理层面，同时也是伦理道德层面的难题。无管是欧盟的“GDPR”还是我国的《个人信息保护法》，所有法律体系包含的通常只是最基本的道德义务。英国法庭曾多次应政治、商业、文体、演艺等界名流的诉请，而对媒体下达不准报道名流相关隐私的禁令（super injunctions）。而当下，个人主动向媒体、向平台让渡私人信息似乎已成常态—“用数据换取服务”或是最为常见的表现形式之一。然而，这种让渡方式“没有建立有建设性的产品和对消费者的回报”。欧盟的“GDPR”与我国的《个人信息保护法》均未确认这一模式的合法性，而是规定了其他事项上对个人信息权益的克减。在“GDPR”框架内，相关规定提及的事项包括以公共利益、科学或历史研究以及统计为目的的数据处理，其中也有部分条款强调公共卫生领域的公共利益；而《个人信息保护法》则明确在“为公共利益实施新闻报道、舆论监督等行为”“对突发公共卫生事件等紧急情况”等情形下，个人信息处理者可处理个人信息。换言之，要求数据主体让渡部分个人数据权利或个人信息权益的是公共利益。

　　在传播实践中，欧盟和中国的相关法理表述与媒体新闻报道对侵犯个人隐私信息的抗辩事由之间的冲突，如果纯粹出于商业性考量（增加发行量、拉升收听/收视率、追求广告收入或流量变现等），那就或多或少地关涉传媒职业伦理与记者个人道德的因素了，除非相关的个人信息来自开源渠道并获当事人同意，或者所涉个人信息的主体是公众人物，而相关报道既符合公共利益，又能满足公众知情权和公众兴趣。在此意义上，个人权利与公共利益的关系，是看待“隐私悖论”真正的矛盾所在。而“GDPR”与我国的《个人信息保护法》的相关规定，在展露出个人权利与公共利益边界的流动状态的同时，也在一定程度上体现了关于这一问题的社会共识。

　　总而言之，基于传播学视角的欧洲经验，个人信息保护与平台权力制约是个十分复杂的问题，二者既需要法理原则的保证，也离不开伦理道德向善共识的引导。

　　注释

　　①HEPP A.Deep mediatization[M].Routledge,2020:3.

　　②PEW RESEARCH CENTER.Facebook algorithms and personal data[EB/O L].(2019-01-16)[2021-10-21].https://www.pewresearch.org/internet/2019/01/16/facebook-algorithms-and-personal-data.

　　③④? ZUBOFF S.Big other:surveillance capitalism and the prospects of an information civilization[J].Journal of information technology,2015,30(1):75-89.

　　⑤ 张凌寒.算法权力的兴起、异化及法律规制[J].法商研究,2019(4):63-75.

　　⑥ 许天颖,顾理平.人工智能时代算法权力的渗透与个人信息的监控[J].现代传播(中国传媒大学学报),2020(11):78-82.

　　⑦ 陈本皓.大数据与监视型资本主义[J].开放时代,2020(1):176-189+9.

　　⑧ U.S.charges Facebook with racial discrimination in targeted housing ads[EB/OL].(2019-03-28)[2021-10-21].https://www.reuters.com/article/usfacebook-advertisers-idUSKCN1R91E8.

　　⑨ 陈鹏.算法的权力和权力的算法[J].探索,2019(4):182-192.

　　⑩ 刘晗.平台权力的发生学—网络社会的再中心化机制[J].文化纵横,2021(1):31-39+158.

　　? 陈永伟.什么是互联网平台垄断？[J].文化纵横,2021(1):56-64.

　　? 樊鹏,李妍.驯服技术巨头：反垄断行动的国家逻辑[J].文化纵横,2021(1):20-30+158.

　　? 方兴东,钟祥铭.互联网平台反垄断的本质与对策[J].现代出版,2021(2):37-45.

　　? VAN D J.Platform,power,public counter-power:Governing platformization in Europe[EB/OL].(2021-09-25)[2021-10-21].http://www.pass.va/content/scienzesociali/en/publications/studiaselecta/changing_media/van_dijck.html.

　　??? 金晶.欧盟《一般数据保护条例》:演进、要点与疑义[J].欧洲研究,2018(4):1-26.

　　? 林凌,李昭熠.个人信息保护双轨机制：欧盟《通用数据保护条例》的立法启示[J].新闻大学,2019(12):1-15+118.

　　? 大数据战略重点实验室.大数据概念与发展[J].中国科技术语,2017(4):43-50.

　　? HOUSER K A,VOSS W G.“GDPR”:The end of Google and Facebook or a new paradigm in data privacy[J].Social Science Electronic Publishing,2018,25:1.

　　? EDPB.1 year“GDPR”-taking stock[EB/OL].(2019-05-22)[2021-10-21].https://edpb.europa.eu/news/news/2019/1-year-“GDPR”-takingstock_en.

　　? VEIL W.The“GDPR”:The Emperor’s new clothes-on the structural shortcomings of both the old and the new data protection law[J].Neue Zeitschrift für Verwaltungsrecht,2018(10):686-696.

　　? BECHER S I,BENOLIEL U.Law in books and law in action:The readability of privacy policies and the“GDPR”[M]//Consumer Law and Economics.Cham:Springer,2021:179-204.

　　? 雷婉璐.我国个人信息权的立法保护—对美国和欧盟个人信息保护最新进展的比较分析[J].人民论坛·学术前沿,2018(23):108-111.

　　? France fines Google $57 million for European privacy rule breach[EB/OL].(2019-01-22)[2021-10-21].https://www.reuters.com/article/us-googleprivacy-france-idUSKCN1PF208.

　　? Amazon hit with $886m fine for alleged data law breach[EB/OL].(2021-07-30)[2021-10-21].https://www.bbc.com/news/business-58024116.

　　? EUROPEAN COMMISSION.The Digital Services Act:Ensuring a safe and accountable online environment[EB/OL].(2021-09-25)[2021-10-21].https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digitalage/digital-services-act-ensuring-safe-and-accountable-onlineenvironment_en.

　　? EUROPEAN COMMISSION.The Digital Markets Act:Ensuring fair and open digital markets[EB/OL].(2021-09-25)[2021-10-21].https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/digital-markets-actensuring-fair-and-open-digital-markets_en.

　　? 曹杰,王晶.跨境数据流动规则分析—以欧美隐私盾协议为视角[J].国际经贸探索,2017(4):107-116.

　　? URSULA v d L.Shaping Europe’s digital future[EB/OL].(2020-02-21)[2021-10-21].https://moderndiplomacy.eu/2020/02/21/shaping-europesdigital-future.

　　?? PEUKERT C,BECHTOLD S,BATIKAS M,et al.European privacy law and global markets for data[J].Center for Law &Economics Working Paper Series,2020(1).

　　? CLIAZ G.Study:Google is the biggest beneficiary of the“GDPR”[EB/OL].(2018-10-10)[2021-10-21].https://cliqz.com/en/magazine/study-google-isthe-biggest-beneficiary-of-the-“GDPR”.

　　? JIA J,JIN G Z,WAGMAN L.The short-run effects of“GDPR”on technology venture investment[R].National Bureau of Economic Research,2018.

　　? 程关松.个人信息保护的中国权利话语[J].法学家,2019(5):17-30+191-192.

　　? IAPP.“GDPR”at three[EB/OL].(2021-05)[2021-10-20].https://iapp.org/resources/article/“GDPR”-at-three.

　　? 宁宣凤,吴涵,蒋科.个人信息保护立法效果、理念及价值平衡—欧盟“GDPR”生效实施三周年比较与前瞻[EB/OL].(2021-05-25)[2021-10-21].https://mp.weixin.qq.com/s/psTpfYgXd6cF18OuH2ca2Q.

　　? ICIJ.About the Pandora Papers[EB/OL].[2021-10-03].https://www.icij.org/investigations/pandora-papers/about-pandora-papers-investigation.

　　? 田新玲,黄芝晓.“公共数据开放”与“个人隐私保护”的悖论[J].新闻大学,2014(6):55-61.