海外投资安全信息2022年第四十八期（总第一百零八期）

 欧盟GDPR的制度缺陷及其对我国《个人信息保护法》实施的警示

【2022096】

【预警保护伞】

一、GDPR的基本定位

GDPR具有双重目的：一方面是保护个人数据（个人信息，本文通用）处理和流通过程中所涉及到的自然人的基本权利与自由，尤其保护其个人信息保护权；另一方面是促进个人信息在欧盟境内的自由流通。这两个目的所代表的价值追求是对立的，GDPR开出的处方是统一数据保护水平，强化个人信息保护权，增强公民信心从而实现个人信息的流动利用。GDPR根本就没有考虑个人信息的资源属性，给予数据控制者以流动数据的权利，实现数据流通利用。这样的设想是美好的，但法律实施效果甚或人们的解读并不是那么美好。

（一）GDPR是一部基本权利保护法

世界各国均将个人信息保护视为保护个人尊严或自由的一项基本人权（或基本权利），个保法是基本人权保护法。欧洲的个人信息保护立法源自于欧洲委员会在1981年制定的《个人信息自动处理中的个人保护公约》（下称《公约》），该《公约》是为了落实《欧洲人权公约》（缩写ECHR，1953年9月生效）。ECHR中的第8条（尊重私人和家庭生活的权利）是《世界人权公约》第12条在欧洲法中的体现，《世界人权宣言》第12条和ECHR第8条中“家庭”和“通信”在世界许多国家宪法中均已确立并有相当的历史了，但“隐私”和“私人生活”则是新的。由此欧洲将个人尊严和家庭生活受尊重，视为公民最为重要的基本权利之一。《公约》即是用来贯彻EUHR第8条，将个人信息保护视为“尊重私人生活”这一基本人权的重要内容。

基本权利具有双重属性，人格权本质上是源自对作为主体的人的保护，在普通法体系下人格权被纳入隐私权之中，而在大陆法系人格权被分为宪法上的人格权和私法上人格权。实际上，二者都是以保护自治和人的尊严为目的。但是，至今并没有国家在民法典中直接规定个人信息保护权。个人信息保护基本上是在公民基本权利层面进行。无论是否基于数据主体（信息主体，本文通用）的同意，依据GDPR数据主体可以通过随时撤回同意、拒绝性权利（限制处理权、拒绝权、拒绝自动分析约束权）、移转权和删除权“参与”到数据处理全过程，使数据主体在法律上（至少在法律形式上）能控制个人信息处理，防范个人信息滥用。这些权利是为了维护数据主体尊严，防范数据控制人的滥用行为的权利，本质上属于维护个人尊严，而非对数据的排他支配权。

我们一定要明确，GDPR是一部公民基本权利保护法，而不是一部私法或人格权法，我们不能将GDPR赋予的权利与私权直接划等号。这样做最大的好处是便于国际对抗和谈判。因为我们很难拿保护私权在国际事务中说事，而一旦保护公民基本权利时，大家就可以相对抗并取得共识。

（二）GDPR是一部欧洲市场统一法

欧洲议会和欧盟理事会1995年10月24日通过《有关个人数据处理中的个人保护和所涉数据自由流通的第95/46/EC/号指令》（下称《指令》）。借助《指令》，欧盟成员国率先开启了制定个人信息保护单行法的潮流，并对整个世界产生了影响。

《指令》有双重目的：首先它要求成员国保护自然人基本权利和自由；其次它要求成员国不要基于保护而限制或禁止个人信息在成员国之间的流动。这两项目标相互关联，旨在使成员国达到相同的保护水平以实现内部市场的平衡发展。这两项目的可以从《指令》第1条立法目的规定看出，指令保护自然人的基本权利和自由，尤其是数据处理过程中的个人隐私权，但这不能成为各成员国限制或禁止数据在成员国之间合法流通的借口。《指令》虽然促成成员国更加一致化，但仍然不能提供完全一致的解决方案。这就导致GDPR的诞生。GDPR在形式上一改指令的指引规范，成为直接适用的欧盟法。之所以要上升为欧盟法律，是因为欧盟不满足于各成员国在立法和实施上的差异化保护，这妨碍商品、人员、服务和资本自由流动，妨碍单一市场（The Single Market）建立。制定欧盟范围内统一的数据保护条例以取代分散立法的模式已成为欧盟实施“数字单一市场”战略的重要筹码。

二、GDPR：背离初衷的制度设计

GDPR的伟大之处在于将保护公民基本权利的法制变为推动和保障欧盟数字经济发展的法律。其基本逻辑是既然个人信息与个人有关联，而个人是主体，就不能像对待客体那样随意处理。为此建立个人信息保护权来保护公民基本权利不因个人信息处理受到侵害。只要遵循统一的法律，个人权利就能够在欧盟范围得到尊重和保护，促进个人信息在全境自由流通，同时可以高筑防御国外数字经济竞争的高墙。但是GDPR上述设想似乎是美好的理想，而这种理想是否能够实现还未得到充分的验证。这里仅从理论和逻辑的角度分析GDPR，我们发现其制度设计背离其初衷，不能实现个人信息流通利用的目的。

（一）宽泛合法性基础未实现个人信息流通

GDPR设置宽泛的合法性基础旨在给社会主体使用个人信息“授权”，以避免数据使用单一受主体意志（同意）左右，形成个人信息可以为满足不同社会目的使用的局面。但其效果并非如此。在数据主体权利被欧盟独立为基本权利前提下，立法对主体权利的保护被置于社会利益或数据控制者利益之上。在笔者看来，数据控制者即个人信息的使用者体现社会利益，因此，数据控制者的合法利益恰恰体现为数据的社会价值（利益）。尽管立法者认为需要平衡个人利益和社会利益、公共利益，但在法律设计中仍然给了数据主体权利以优先保护。这体现在GDPR第6条的合法性基础中，“数据控制者或第三人的合法利益”是六项合法性基础之一，但是需要与数据主体利益相平衡，冲突时优先保护主体权利。也就是说，GDPR并没有真正将数据作为社会资源，给予数据使用者应有的地位和权利。个人权利优先，就意味着在模棱两可的情形下，数据使用者征询个人的同意是最保险的做法。因此，虽然与其他五项并列，似乎数据使用者可以自由选择合法性基础，但实际上并没有太多的自由。GDPR第6条看似给了数据使用者自主使用数据的权利（以“合法利益”作为合法基础），但实际上适用相当有限；同时即使订立或履行合同可以作为合法基础，但是考虑到其数据再利用或在初始目的之外使用，最便捷和安全的方式仍然是设置同意。这样，GDPR纵然包含多样的合法性基础，最终仍然导致同意泛化。设置宽泛的合法性基础并没有给数据使用者以多少自由。这是GDPR制度设计内在的最大缺陷。

（二）加强对主体保护未实现个人信息流通

欧盟对数据自由流通的促进和保障并不是通过限制各国权力来实现的，而是通过提高保护水平实现的。其促进个人信息自由流通的逻辑是：将个人信息保护权明确为独立的基本权利有利于强化对个人的保护，在各国的保护规则和水平一致情形下，个人就可以增强个人信息受到保护的信心，有利于个人信息在欧盟境内的流动利用。在将个人信息保护上升为公民基本权利的同时，GDPR强调该权利应当得到绝对保护，也就是GDPR规定了数据主体权利是一“硬”标准，任何情形下均不能削弱对主体权利的保护。只有在数据控制合规和安全义务方面，可以根据数据处理者的规模、数据处理量、数据处理方式等的不同而有所变化。所有的数据处理必须以符合法律的方式进行，只是在实现方式上可以更弹性。这也就是说，从指令到GDPR，所谓基于原则的规范是不彻底的，数据主体权利的绝对性和数据控制者可以基于风险进行合规和安全管理是不对等的，这其实导致GDPR基于风险的合规管理也变得僵硬。强化数据主体权利的做法，意味着必然扩充数据控制者与处理者的义务，使得数据控制者和处理者要花费更多人力和成本去履行更多义务与职责，同时意味着巨额的统一执法成本。这使条例在是否能够提升欧盟数字经济竞争力方面越来越受到质疑。也就是说，GDPR制定的最终目的是促进个人信息在欧盟境内的自由流通（促成数字单一市场），而实现这个目的的手段是强化公民的个人信息保护权（立法直接目的），实际结果可能事与愿违，背离其初衷。

（三）未考虑个人信息流通路径

在GDPR的框架下，个人信息自由流通优于个人权利保护。但是在制度设计上并没有考虑数据自由流通，表现为没有给数据控制者流通个人信息的权利。GDPR给了数据控制者基于合法性基础，在特定目的范围内使用数据的权利，但是对于个人信息的利用仍受制于数据主体的个人意志，个人可以随时撤回同意，也享有在特定条件下拒绝处理、删除等权利。

在GDPR框架下，数据控制者仅享有在特定目的范围内使用个人信息的权利，包括在目的相容或一致时将个人信息提供给他人使用。在某种意义上，GDPR给了数据控制者在初始目的范围内流通个人信息的权利，只是这样的流通利用非常有限。之所以这样就是因为GDPR仍然严格坚持目的限定原则，将个人信息的利用严格限定于初始收集时即确定特定目的范围内。其背后的逻辑是个人信息与个人有关，个人虽然不能控制（阻止）他人使用，但是无论基于同意还是非基于同意的使用，均应当限定在特定目的必要范围内，这样就实现了个人信息利用的可控，而不任由数据控制者使用，成为其可自由使用的资源。在某种意义上，目的限定和必要性原则使个人信息利用符合数据主体利益，使数据主体仍然可以“控制”数据的使用。也就是说，目的限定和必要性原则背后的理念是个人控制。

三、GDPR：内在缺陷带来的实施困境

GDPR最大的问题在于以可识别个人为标准建立了无边界个人信息概念，建立了模糊的识别概念，同时以接触个人信息为标准建立了无所不包的处理行为，这样使GDPR的调整范围漫无边界，这也给GDPR的实施和执行带来很大的不确定性，成为最让人诟病的地方。这样的法律会造成对社会的过度干预，导致社会运行成本过高，甚至是徒增成本，而没有任何积极的后果（保护数据主体权利）。GDPR本身展示了两个相冲突的效果：一方面它旨在简化规制环境和统一法律标准，降低成本；另一方面也给欧盟的公司增加了额外的负担和成本。

（一）无边的个人信息

GDPR对于调整对象“个人信息处理”中的个人信息采取三分法，一般个人信息、特殊个人信息和非个人信息。因此，凡符合个人信息的则适用该法，若不属于，则不适用。个人信息范围（及处理活动）关系着GDPR适用范围问题。GDPR第4条（1）对个人信息定义核心是“与自然人有关的任何信息”（any information relating to an natural person），而自然人又分为“已识别或可识别”（identified or identifiable）。两个因素使个人信息没有边界：其一，可识别的自然人。已经识别是指知道被识别的主体是谁（知道姓名），而可识别的自然人，则是采取技术手段可以从数据中“挖掘”出某人。通常是有一个网络ID或数字ID，然后再匹配更多数据进行分析，来识别出数据主体是谁。其二，与可识别自然人有关的任何信息。其范围取决于识别分析技术和识别目的。如前所述，识别分识别个人身份和识别个性特征。定义后半段对个人信息进行了不完全列举，在这些列举中包括了身份性信息如姓名、身份证号、定位数据、网络标识符等标识符，也包括身体、心理、基因、精神状态、经济、文化、社会等方面的个人属性和特征信息。在大数据分析背景下，任何数据都具有识别个人的能力，而且在很多情形下，很多身份性数据也可以分析个性特征，而个性特征方面的数据也可以分析身份。这样，随着分析技术的进步具有识别性的数据就越来越多、越来越广。

GDPR定义中关于“可识别的自然人”的任何信息，就演变为一切具有识别性的数据。区分个人信息与非个人信息的唯一标准就是看数据是否具有“识别性”或识别个人的能力。而数据的识别个人能力又取决于技术，这样以识别性或识别能力为标准使得人们很难区分出个人信息与非个人信息。

（二）模糊的个人识别

识别是个保法中的核心概念，但是没有明确的定义。识别是广泛存在于社会交往中的一种行为，基本含义为了解一个人的品质、特性、潜力、信用等。这里有一个假设是，知道该人是谁。识别还有另外一层含义，是在不知道是谁的时候，还可以基于过去的事实（留下来的行为痕迹）来分析是谁做的，以便令其承担责任。利用个人相关的数据进行这两类识别分析，自古至今均一直存在。个人信息的大量产生及其分析技术的进步导致人类对个体的识别分析发生翻天覆地的变化。在过去，通常需要先接触或知道姓名等身份信息，才能不断收集有关于该人的信息，而且能够关联该个人的均是社会身份。随着计算机的应用，尤其在网络环境下，每个计算机或网络用户注册时一般为其分配独一无二的标识符（用户ID），这样基于网络流量检测工具就会形成关于该用户的文档，基于该文档就可以对某个人的个性特征进行分析。实际上，任何一个网络和智能设备都有一个唯一性代码，用来识别数据来源（统称为用户）。利用网络用户ID和设备ID对应的数据（每个用户都有独立的用户档案被称为profile），就可以对来源于该用户的数据进行个性识别分析（profiling）。

于是，为了适应网络环境出现了专门的用于识别个人的标识符（identifier）概念。标识符是指用来标识某个实体的一个符号，在不同的应用环境下有不同的含义。作为计算机语言的用语，标识符一定是在一个处理域内具有唯一性。标识符也普遍地应用于个人信息处理中，用来区分用户或个体。标识符属于识别个人的信息。但并非所有识别个人的信息都可以作为标识符。能够唯一关联到个人的社会身份信息、网络设备ID（或数字身份）都可以成为标识符。在网络时代，识别分析可以基于网络用户和设备ID等标识符开展。这个时候的识别仅仅是对个体（而非群体）的识别还没有到具体个人（识别是谁）。此时，利用网络通信，也可以向该用户联络，触达该用户。甚至在一些完全电子化的交易（合同缔结和履行全部通过网络进行），识别用户身份也是多余的。

欧盟立法者认识到这样的变化，将识别定义为识别个人而非识别身份。第29条工作组认为“在互联网中，网络流量监测工具的存在使得能够容易地识别机器的行为以及机器背后的用户”、“由于个人的接触点（一台电脑）在狭义上不再必须要求其身份的披露，在不需要询问个人的名字和用户的情况下，也能够在其社会经济、生理、心理以及其他特征方面的属性对其进行分类并做出一定决定”。这实际上是对cookies为首的身份认证技术的回应，即认为如此也是一种识别。本质上cookies的存在是在匿名登录下使用标识符的一种“身份”认证技术，此种身份是指互联网个体标签，并不直接对应社会身份。对于识别个人，GDPR明确了识别的路径。但是值得注意的是，欧盟并没有将标识符作为唯一识别路径，其还承认了个人属性与标识符的并列地位，这意味着识别既可以仅凭标识符或仅凭个人属性（描述数据），或者二者结合。

（三）泛在的信息处理

按照GDPR的定义，数据处理（processing）是指对个人信息进行的任何操作或者一系列操作，无论其是否通过自动化手段进行，如数据收集、记录、组织、建构（structuring）、存储、改编或修改，恢复、查询、使用、通过传播、分发（dissemination）方式进行披露或者其他使个人信息可被他人获得、排列或组合、限制、清除或销毁（destruction）的操作。从《指令》开始，数据处理即是贯穿于个人信息保护法的基石性概念。GDPR对数据处理的概念定义几乎与《指令》一致，只是列举行为中多了结构化（structuring）。GDPR对数据处理采取抽象+列举的方式，其列举非常全面。实际上，所有这些行为都属于使用个人信息的行为，技术手段是否对个人权利有影响，有多少影响？是否需要法律调整？立法者根本没有考虑。

问题不仅仅在于全面列举，还在于这些被列举的行为几乎没有规范价值。也就是说，每一种列举的行为对于主体权利产生哪些影响，因而需要针对该行为采取预防或消除这些影响的规范，都不明确。比如，存储至销毁技术手段，对个人权利不会产生直接影响，甚或是保护个人权利的措施。同时，引入使用和披露（提供、传播、分发或移转等）行为，对主体权利存在直接影响，而法律又没有对这些具体行为作出规范。实际上，欧盟法律对数据处理的定义是碎片化的，根本就没有打算形成数据处理种概念（子处理行为），建立具体行为规范，而是使用抽象无所不包的数据处理定义，支撑“一般+例外”的规范技术，确立了抽象的一般行为，建立个人信息处理的一般规范。结果是使社会生活的方方面面都面临GDPR的调整，导致法律/国家对社会生活的过度干预，导致社会运行成本上升。

四、《个人信息保护法》解释适用的时代元素和方向

欧盟各成员国是欧洲委员会的主体，在《公约》颁布前后，欧盟借着实施《公约》名义，制定《指令》，践行统一数据保护规则进而统一市场的使命。这使欧盟立法朝着不断强化个人权利保护的方向发展。经济目的的融入使欧盟的立法逐渐脱离欧洲委员会《公约》的目的和定位，使个人信息保护法具有了经济目标或经济秩序内容。欧盟委员会之所以要提出制定GDPR，就是因为希望“所有企业将以统一的个人信息保护规则向5亿欧盟人销售产品和提供服务……将欧盟个人信息保护标准塑造成全球标准。”时至今日，GDPR已经实施4年左右，是否实现了当初的经济目标，还没有充分证据佐证，但是GDPR所确立的个人信息保护标准，似乎正在成为全球标准。GDPR之所以有这么大影响力，主要是因为GDPR给其他国家一定的压力，加上将个人信息保护纳入公民基本权利有一定的“欺骗性”，增加了移植的盲目性。

GDPR的施行在全球范围内产生了巨大的影响，且这一影响还在继续。对全球立法而言，欧盟模式是可资借鉴的，还是必须扬弃的？问题可能不仅在于要不要借鉴，还在于到底欧洲基于特定历史背景产生的个人信息处理中的个人保护制度，是否适合于我国的社会经济文化；基于70年代IT技术产生的问题与大数据时代产生的问题是否一致，是否还能够用前网络时代的法律原则解决万物互联泛在网络（网络化、数字化、智能化）时代问题。对于此，目前似乎没有深入系统的研究。《个人信息保护法》规范思路和内容移植GDPR的成分占多数，除了用数据处理者替代数据控制者看似不一致外，约70%左右的内容相似。笔者认为，GDPR所遇到的困境也一定是全球的困境，我国也不例外。在《个人信息保护法》已经生效施行的情况下，我们应当从当今社会的真实问题和需要出发，为《个人信息保护法》的解释适用注入一些时代元素，体现中国推进数字经济的制度需求。

（一）清晰认知技术变迁对于个保法的挑战

GDPR根植欧洲特殊的政治和社会文化背景，形成于上世纪七八十年代。那时计算机刚刚开始应用，这个时期的个人信息保护针对的是个人向特定机构提供，主要防止特定机构存储后的滥用。如今个人信息主要来源于无所不在的网络和传感器自动收集的数据，无限多元数据给人类社会带来了无穷的潜在价值（数据红利），个人信息成为社会资源和生产要素。基于欧洲传统的个人信息保护制度建立在人作为主体的尊严、自由或自治的人权保护理念上，是保护个人信息处理中的个人。虽然GDPR一再强调该法旨在促进个人信息在欧盟境内的自由流动，但是，建立在个人控制理论基础上的规则，在为数据控制者设定繁杂而又模糊的条件和程序的同时，似乎并没有真正促进个人信息的流动。实际上，GDPR根本就不是在资源意义上看待个人信息，它根本就没有将个人信息的分享或流通利用作为一项目标，而这恰恰是个人信息资源化要解决的问题。

（二）深刻把握个人信息是社会资源的基本定位

无论美国还是欧洲，个人信息保护的理论基础是基于主体自主意义上的个人控制论，认为个人应当对关于个人信息的处理予以一定程度的控制，以免个人信息的处理侵犯主体的尊严和自由。虽然欧盟的个人信息保护法仍然坚持个人信息是社会可用的资源，而不是属于个人资源，立法赋予个人对个人信息处理的防御性权利并没有被演绎为个人信息决定权。即使在理论上存在个人信息自决权，但仍然是宪法上的权利，而不是民法上的私权。不过，GDPR将个人控制贯穿于个人信息处理全生命周期，让个人参与到数据处理过程，防范处理行为对主体权利的侵害，其实是达到个人决定效果。

个人信息是大数据的重要组成部分，也是重要的社会资源。实现数据要素市场化配置是《意见》提出的重要制度目标。数据作为生产要素，其价值在于能够通过智能分析发现新知识，而数据的市场化配置可以对数据进行社会化分析利用，以便数据分析使用者获取数据，支撑科学研究、社会治理和商业决策。但是，任何个人信息处理和应用均应当遵循《个人信息保护法》，保护信息主体权利，防范隐私和安全风险。平衡信息主体权利和社会价值是我国《个人信息保护法》具体制度解释适用的重要方向。

（三）准确理解个人信息及处理等核心概念

个人信息最主要的功能是识别个人，因而个保立法多以识别来定义个人信息，它导致的结果是建立泛在的个人信息及泛在的个人信息处理，背离了个保法旨在防范个人信息处理可能引发的侵害个人权利的风险目的，最终导致法律对社会的过度干预，徒增社会运行成本。为避免这一弊端，在理解《个人信息保护法》第4条第1款的个人信息概念时，应注意把握“关联”这一核心要件，即个人信息是与特定自然人有关联的信息。可与特定个人关联的个人信息是有限的，可识别和可判断的，以此为基础设置社会主体禁止义务（建立非经同意不得处理规则）是合理、正当的，也是可操作的。而可以用于识别个人的信息广袤无边，让信息主体参与到处理活动的每个环节，不具有实际意义（徒增合规成本）。

同时，在理解《个人信息保护法》第4条第2款的个人信息处理时，应注意把握“识别分析”这一最关键的处理行为。识别分析是信息处理行为目的，对信息处理行为设定条件、程序、明确处理者义务以及侵害信息主体权益的责任是个保法核心。这样就区分出个人信息控制和个人信息处理行为控制：在前者，个人可以实施控制（同意作为合法性基础）；对于后者则主要由法律调控，明确处理者义务，维护个人权益（必要时设置信息主体的主动请求权利，如更正、拒绝或删除）。与此相配套，个人信息处理概念应当围绕识别分析。

（四）明确主张去标识化信息可以利用规则

个人信息的价值在于识别，“经过处理无法识别特定自然人”的数据（或数据集）即转化为抽象信息或知识，不再拥有识别个人的价值，即使可以分享利用，那也不是数据资源社会化利用。实际上，在大数据环境下，识别一个人取决于你掌握多少数据和采取什么样的算法。也就是说，处理数据使其无法识别是保障信息安全的措施，而不是阻止人们识别的办法。在个人信息是可用的社会资源背景下，《个人信息保护法》的精神中蕴含着既保护个人权益又促进分享利用的制度规则，这便是去标识数据的分享利用制度。当一个数据集去除与个人关联的信息（包括直接或间接关联的信息，实践称为标识符，广义上的身份/ID信息）后，即可以防范个人信息处理对隐私的侵害，尤其减少处理中的信息泄露对个人安全的危害风险。去标识后的个人信息仍然可以用于识别分析，仍然适用《个人信息保护法》规定，只是应区分应用场景，适用不同规则：当不需要识别身份时，则不需要同意；当需要识别身份时，则需要取得主体同意。这样就在个人权益受到尊重的前提下，使个人信息得到社会化利用，发挥其社会价值。

因此，应当深刻把握《个人信息保护法》第73条第3项对于去标识化的定义，将去标识理解为“是对数据集进行处理，以减少数据集中与特定个人相关联信息的风险”，并在解释适用中肯定去标识数据集可分享利用的规则，即去标识个人信息可不经同意而对外提供，但使用去标识个人信息须遵守个保法规定。《个人信息保护法》规定的匿名化系作为个人信息安全存管措施，而不是个人信息分享利用（对外提供）的规则。

五、结语

个人信息既承载个人利益（主体价值），也关系社会整体（各信息使用者）利益，每个个体的数据都成为社会共同体数据资源的组成部分。通过个人信息识别社会个体，是商业运营、公共服务、社会交往等活动开展的必要条件，因而个人信息是可用的社会资源，由此数据被视为生产要素。但是，个人信息的使用关涉个人隐私、尊严等主体权益，个人信息的收集和使用必须加以规范，从而确保个人主体权益不受侵犯。通过规范个人信息的处理行为，《个人信息保护法》是保护个人主体权益而不是保护个人信息本身，是防范滥用而不是由个人控制的使用。个人信息具有社会资源属性，要确立个人信息可合法正当使用原则。

我国《个人信息保护法》在立法过程中参考借鉴了GDPR的部分制度架构和制度设计，因此在《个人信息保护法》解释适用过程中参考借鉴GDPR也无法避免。但是要对GDPR的失败之处有深刻洞察和清醒认知。近来欧盟陆续提出《数据治理法》《数据法》等立法建议，即系试图力挽狂澜之举，当然效果如何有待观察，但至少说明欧洲人自己也已经意识到GDPR的困境所在。故在解释适用我国《个人信息保护法》方面对GDPR必须采取批判性借鉴的态度，避免落入GDPR的陷阱。我们应当有制度自信，坚持个人信息可使用的总基调，保护数据处理者合法利益，为打造中国特色的数据要素市场奠定规范基础。