前沿 | 齐英程：数据公地悲剧的法理破解

大数据技术催生的个人数据外部性之泛在使得个人数据所承载的个体利益与整体利益呈现越来越明显的异质性特征，且其同质性结构也发生了明显变化。此种转变摧毁了个体主义个人数据规制模式的前提预设，通过保护个体权益以实现社会整体利益并对数据安全风险进行有效化解的解题思路已然难以为继，且诱发了“数据公地悲剧”这一社会结构性问题。大数据时代的个人数据规制模式应实现从个体主义向整体主义的转型：在本体论层面，整体主义个人数据规制模式应确立“个体利益+整体利益”的双重保护客体；在方法论层面，应构建起对个人数据承载之整体利益的有效保护机制，通过对个人数据承载的个体利益与整体利益作出有效整合，在社会层面塑造良好的个人数据处理秩序，使人类社会避免数据公地悲剧。

关键词：个人数据　个体利益　整体利益　数据公地悲剧

一、问题的提出：数据公地悲剧的具体表现

（一）个人数据保护层面的数据公地悲剧

（二）个人数据利用层面的数据公地悲剧

二、数据公地悲剧的形成根源：大数据时代个体主义个人数据规制模式的失效

（一）个体主义个人数据规制模式难以有效应对大数据技术诱发的风险

（二）个体主义个人数据规制模式引发个体利益与整体利益的对立

三、整体主义个人数据规制模式的确立基础：个体利益与整体利益的关系转变

四、数据公地悲剧的破解之道：整体主义个人数据规制模式的确立

（一）整体主义个人数据规制模式的内涵阐释

（二）整体主义进路下的个人数据规制规则之构建

结语

当哈丁于1968年提出著名的“公地悲剧理论”（tragedy of the commons）时，其问题意识仅聚焦于具有稀缺性的自然资源，而未曾预想到伴随着大数据技术的崛起，“数据公地”已然在人类社会的整体层面形成，并面临着独特且强烈的危机。大数据技术催化了个人数据的外部性，导致个人处置其数据的同时亦会对其他主体乃至社会整体产生影响，而立基于个体主义进路的传统个人数据规制模式过度强调个人数据的私有属性，忽视了对个体数据的处分行为在社会整体层面所产生之影响的关照，其制度设计存在将个体利益置于整体利益之上的取向，激励了分散、独立的数据主体基于对自身利益最大化的追求而采取不负责任的行动策略，进而诱发了大数据时代的数据公地悲剧。

在个人数据保护层面，数据公地悲剧主要体现为，大数据技术催生的个人数据外部性之泛在导致数据主体对其个人数据的处置不可避免地造成间接泄漏他人或特定群体信息的结果。而数据主体往往仅在意对自身利益的追求，罔顾其行为对他人和整体利益施加的负外部性，即使是那些“善良的撒马利亚人”，在大数据时代亦缺乏对其行为的负外部性进行预见和控制的能力。当前，大数据技术实现了对海量个人数据的有效分析处理。不同于强调阐释因果关系的传统信息分析技术，此种技术将数学算法运用于海量数据以识别其中蕴含的有效关联，从而通过对相关关系的发掘解释特定现象或事物间的潜在联系。大数据技术对个人数据间相关关系的敏锐洞察使得数据分析处理的结论不仅适用于作为信息来源的数据主体，同时亦适用于与其具有关联的其他自然人，这意味着个体对其个人数据的披露将同时泄漏关于他人的潜在信息，同样，即使个体拒绝分享其个人数据，数据处理者仍可基于对与之具有相关性的其他个体数据或其所属的特定群体数据的分析破解其意欲隐藏的秘密。个体间的决策分化造就了不同个体理性的彼此冲撞，从而削减了整体层面的个人数据保护效果。而单纯着眼于个体权益的制度设计难以有效化解此问题。

在个人数据利用层面，数据公地悲剧则表现为，个体基于最大化其信息隐私之目的所采取的行动往往导致个人数据这一具有重要公共价值和社会效用的物品无法达到社会所需的供给水平。在大数据时代，数据创造价值的机制从对因果关系的准确证实转向对相关关系的敏锐揭示，此种价值创造机制的转换对数据的体量提出了极高要求，只有在个人数据的体量达致一定规模时，其彼此间的结合才能催生出具有价值的相关性规律，且此种规律的准确性和深入性亦随着数据体量的扩张而呈非线性增长。当前的个人数据规制规则从个体层面着眼，将个人数据视为一种“私人物品”，赋予了数据主体根据自身意愿决定是否允许他人收集、使用其个人数据的权利。在此种权利的支持下，数据主体得以将其个人意志和选择凌驾于整体利益之上，从其自身利益最大化的角度出发，任意决定是否允许他人获取和使用与之相关的信息。即使在个人数据的规模化应用能够带来极为显著的公共价值和社会效益的场合，理性的个体依然面临着显著的集体行动困境，其原因在于，个人数据规模化应用给个体带来的效益往往是间接且有限的。个体受制于短视效应和有限理性的束缚，往往难以将此种长期、宏观的收益纳入其决策范畴。每个理性的个体均倾向于在尽可能隐匿自身数据的同时，充分攫取他人信息带来的便利，其结果导致人类社会难以形成充分规模的公共领域，进而阻碍在此基础上的经济发展与社会进步。

“数据公地悲剧”已然引发理论层面的关注。越来越多学者开始重视个人数据承载的整体利益与公共价值，提出应将信息隐私视作公共物品而非私人物品予以规制保护。甚至主张，在大数据时代，信息隐私应以“群体”而非“个体”为单位予以保护。同时，在数据利用层面，针对如何破解数据公地悲剧形成了截然不同的观点。一种观点主张，应通过赋予自然人对其个人数据享有财产权的方式，避免数据治理领域“公地悲剧”的发生，鼓励个人积极分享其数据。相反的立场则认为，解决公地悲剧并不只有产权制度一种方式，且数据确权极易引发“反公地悲剧”，极大提升数据流通使用成本。为确保数字经济的发展效率，应放弃将个人同意作为决定个人数据使用之核心机制的做法，实现个人数据从个人控制到社会控制的转变。数据公地悲剧的形成根源在于，传统的个体主义个人数据规制模式难以有效因应大数据时代个人数据承载之个体利益与整体利益的关系转变，并破解大数据技术在整体利益层面引发的风险。对此，沿用个体主义的赋权模式或者通过强化个人对其数据的控制以破解数据公地悲剧的尝试，难以取得理想的效果。本文试图提出一种新的解题思路，即通过构建一种整体主义的个人数据规制模式，以实现对整体层面数据利益的保护，并对个人数据所承载的个体利益与整体利益间的冲突予以化解，在有效回应大数据时代公民数据权益保护需求的同时，充分激发数据的规模效应与资源价值。

数据公地悲剧的形成主要是因为个体主义个人数据规制立法的制度安排与大数据时代社会风险及利益形态的发展演变产生了匹配失调。个体主义个人数据规制规则脱胎于前信息时代的社会背景，其制度安排立足于保护数据主体个体权益的一元化立法目标，将个体对其个人数据享有的私权利作为构建制度体系的核心。1973年美国“公平信息实践准则”（Fair Information Practice Principles，FIPP）和1980年经济合作与发展组织发布的《关于隐私保护与个人数据跨界流通的指导方针》率先确立了针对个人数据处理行为的“透明原则”和“个人参与原则”，要求收集个人数据的行为均在数据主体知情或同意的情况下以合法、公平的方式进行，并赋予数据主体以知情权、查询权、更正权等权利。在上述原则的指导下，欧盟立法进一步依托“个人数据自决权”这一概念逐步实现对数据主体的全面赋权，将个人对自身数据的控制视为人格尊严与主体性的内在要求，进而延伸出个人数据决定权、查询权、更正权、被遗忘权、可携带权等一系列权利；美国通过在司法判例中创设“信息隐私权”概念以支持数据主体对其个人数据的积极支配，以此强调个人对数据的控制对捍卫个人私域和自由具有的重要意义。上述规则赋予自然人对其个人数据的支配以一种基本道德权利属性，具有鲜明的个人主义权利理论色彩。其核心特征表现为：以个体为着眼点和分析对象，基于个人数据自决的原则性假设，将具备完全理性的数据主体在充分知情的情况下凭借私权配置对个人数据作出自主决定作为实现个人数据之充分保护与合理利用的关键机制。

然而，大数据技术对人类社会施加的风险主要体现在社会整体层面。此种技术并不针对某一特定个体，其目标在于通过在整体层面对加总后的数据进行处理以发掘统计上的相关性规律。大数据技术引发的风险和损害形态主要表现为基于数据分析处理产生的社会分选、歧视性决策、数据监控和关系操纵等。虽然亦涉及对个体权益的侵犯，但往往是由个体作为社会或特定群体成员的身份而间接导致的。针对此种风险和损害，关注个体权益保护的个体主义个人数据规制规则所提供的传统救济机制难以发挥理想的效果。一方面，大数据技术造成的上述损害形态并不符合个体主义个人数据规制规则对“损害”的界定，其并未对特定个体的人格或财产利益施加直接的负面影响，且其后果具有非直接性、不确定性、偶发性、累积性等特点，难以达到传统侵权法意义上的“实质性损害”门槛。另一方面，数据主体亦缺乏对此种损害及其形成的因果关系进行证明的能力，数据主体对个人数据权利的主张在司法实践中往往会因举证困难等因素而遭遇失败，即使幸运地获得成功，亦难以得到实质性补偿，显著的诉讼成本和时间成本使得理性的个体缺少主张权利救济的激励。

大数据技术对人类利用数据能力的显著提升使个人数据具有的社会效用和公共价值得以凸显。“在网络化、数据化、智能化的时代，全息化、多样化的大规模个人数据，不仅成为社会治理、企业管理创新和改善的资源，也成为科学文化艺术创新进步的资源池。”对个人数据进行分析挖掘，所获取的知识规律可以有效应用于更大范围的群体乃至整个社会，从而产生显著的整体效益，此种整体效益的发挥需要建立在对海量个人数据进行收集、分析、共享的基础上。

然而，个体主义的个人数据规制模式将个人数据的决定权配置给孤立的数据主体，赋予其自行决定是否允许他人利用其个人数据的权利，极大限制了数据处理者开发、利用个人数据的空间和效率，亦背离了大数据时代的客观发展需求。个体主义个人数据规制模式针对个人数据处理行为确立的诸种原则均从服务个体权益实现的角度出发，并未顾及大数据技术的应用及发展需要：必要性原则（或数据最小化原则）要求个人数据处理者仅对为实现特定目的所必要的数据进行处理；目的限制原则要求个人数据处理者应当基于特定的、明确的目的对个人数据进行处理，且不得以不符合此种目的的方式对个人数据进行次级处理。上述原则与大数据技术的运作机制存在本质上的抵牾。大数据技术的要义在于对尽可能多的数据进行开放性的处理以发掘任何可能存在的相关性规律，在此过程中，数据处理的目的往往并非预先设定，而是在处理过程中逐步清晰。基于保护个体权益之目的对个人数据处理行为施加的原则性限制必然抑制大数据技术潜能的发挥，延缓基于此种技术发展所推动的社会进步，从而造成社会整体福利的流失。

大数据技术诱发的一系列社会实践和结构变化是一种社会整体层面的现象，其对社会整体利益产生了新的威胁，同时亦创设了新的社会需求和利益形态。仅着眼于个体权益的传统个人数据规制模式缺乏应对此种社会变化的有效机制，既无法有效消解大数据技术给人类社会带来的风险，亦未能对其创造的利益和进步予以充分涵摄。对此，个人数据规制立法必须重新审视并界定大数据时代个体权益和整体利益的关系，并通过对二者的有效协调以达到在尊重每个个体的自由与权利的同时，促进社会整体良好运转的效果。

个人数据同时承载个体利益与整体利益。针对个体利益与整体利益间的关系存在两种不同的理论模型。其中，个体主义理论将个体视为社会中唯一的真实本体和各种价值的最终归宿，主张个体是社会、政治和经济生活中唯一积极主动的参与者，只有个体才有目标和利益。其对“整体”持有一种还原主义立场，否认由个体所组成之社会整体的实在性，认为整体并不包含个体独有的属性，整体不过是由个体组成的“虚构体”。相应地，并不存在独立于个体利益的整体利益或整体目的，整体利益仅是个体成员利益的线性叠加，由个体利益加总而成的整体利益自然可以通过对每个个体利益的保护得到实现。

有机理论将由个体组成的社群或社会视为一个独立的自治单位，认为社会整体利益属于一种不同层次上的独特利益，不能拆分为每个个体成员的利益并通过对成员利益的保护而得到自动实现。“不同于个人本位下独立、个别存在的个人利益，社会利益是作为具有实质意志、独立存在的有机整体的社会的利益，它是在社会互动的历史过程中形成的，独立于个体但又同时为处于该社会中的每一个个体成员所需求，并在一定程度上给予这些需求以满足的存在。”有机理论强调整体的结构属性，认为虽然整体只能通过个体而存在，但这不代表其能够完全还原为个体。相应地，亦不能简单地将对整体利益的追求与对每个个体利益的保护划等号，其必须通过对超个体层面的社会互动和社会关联进行必要的调整和规范，从而对个体利益进行整合协调，以最终实现社会整体的目标和福祉。

个体主义个人数据规制模式在个体利益与整体利益的关系上持有的是一种个体主义的视角和方法论，其将整体层面的数据利益视为每个个体数据利益的线性叠加，认为通过给予每个数据主体的个人数据权益保护即可自然达致保护社会整体利益的法律效果。其内含的前提假设是个人数据承载的个体利益与整体利益间存在高度的同质性和一致性。此种假设较为准确地反映了前信息时代的社会现实，在当时的社会条件下，个体私域界限的相对清晰和数据处理手段的相对有限使得个人数据的外部性并不明显，对个人数据的侵害主要表现为针对具体个人的少许个案。因此，通过赋予数据主体享有个人数据的决定权，可以较为有效地实现对侵权风险的预防和对个体私域安宁的守护，间接达致维护社会整体利益的效果。然而，大数据技术催生的个人数据相关性与外部性之泛在使得个人数据所承载的个体利益与整体利益呈现出越来越明显的异质性特征。其主要表现为：

第一，在某些场合下，个人数据所承载的个体利益与整体利益呈现悖离关系。大数据技术催生了个人数据的正外部性，对大量个体数据的分析处理能够揭示对国家管理、社会治理、科学研究、公共卫生、生产活动具有重要价值的信息和知识。个人数据产生的此种公共效益具有公共物品的特点，其供给往往需要以克减数据主体对个人数据的控制和对信息隐私的需求为代价。“公共物品以及体现于其上的公共利益在分享上的特性，意味着行为者为或不为的一定行为即使产生的利益总量大于成本，但因分享上的非排他性导致分享者众多，也往往使行为者分享的收益难以补偿其行为成本，以及在分享上的非竞争性可‘免费搭乘’，因而，如行为者有选择行为的自由，其往往不会从事虽然行为收益大于成本、但行为者自身可分享的收益小于其行为成本的创造性行为，公共物品及体现于其上的公共利益的供应就会枯竭。”对于数据主体而言，以牺牲自身数据安全和信息隐私为代价去谋取社会整体利益的增长并不符合个体理性，此时，无法指望自然人对个体权利的自由行使能够自动促成个人数据的公益性使用。

第二，个人数据承载的整体利益还可能体现为不同个体利益相互作用产生的整体效果，在此过程中，负外部性的存在使得个体数据权益的行使并不总能产生一加一大于二的效果。鉴于不同个体对数据隐私的需求和对个人数据的披露意愿存在分化，其彼此间行为的不一致可能导致互相暴露彼此信息的结果，由此造成整体层面数据隐私总量减少。

第三，即使个人数据承载的个体利益与整体利益具有同质性，二者的关系结构与前信息时代相比也发生了明显的变化。在前信息时代，针对数据利益的侵权风险主要源自个体层面，表现为对特定个体个人数据的不当收集与使用，此时，通过对个体数据利益的有效保护即可自然化解整个社会范围内的数据风险。大数据时代则全然不同。大数据技术的特质决定了其作用的标的是体量巨大、流转迅速、类型多样的数据集合而非少量、分散的个体数据，这决定了在大数据时代，针对数据利益的侵权风险主要源自整体层面。当下，世界各国面临的主要数据安全风险均表现为因大型企业或机构掌握的信息系统或数据库遭受非法攻击而导致海量个人数据泄漏并流入黑市，进而被非法利用。在上述场合下，数据泄漏的风险来源均是掌握海量个人数据的企业或机构，他们不负责任的行动可能对大量数据主体的信息安全和权益造成严重的负面影响，在此过程中，作为个体的数据主体只能被动承受，其权利行使无从谈起。大数据技术还在整体层面诱发了新的侵权形态和风险，包括基于对具有特定特征的“算法群体”进行画像并采取自动化决策导致该群体成员遭受到歧视性待遇。此外，大数据技术还促成了基于海量个人数据而开展的公众监视活动和群体行为分析，此类活动的对象是不特定的公众而非个别主体，单纯将其视为对特定个体数据权益的侵犯而对其进行规制可能错置了风险的主要来源。针对上述现象，仅着眼于对个体利益的保护可能使立法者忽视对更具一般性的社会问题和风险采取及时的应对措施。

大数据时代个体利益与整体利益间关系的转变摧毁了个体主义个人数据规制模式的前提预设，对个体权益进行有效保护，进而自然实现整体层面的数据利益和有效化解社会范围内的数据安全风险的解题思路已然难以为继。个人数据规制规则作为一种社会构造，其内容应反映特定的时代背景和社会结构，并随着其根植的时代背景与社会结构的变迁而逐步演化。在大数据时代，个人数据承载之个体利益与整体利益的非一致性决定了个人数据规制规则应当及时将整体利益纳入考量范畴，并立足整体视角和整体主义方法论对不同个体的利益诉求与行动进行协调，对个体利益与整体利益作出有效整合，从而在社会层面塑造良好的个人数据处理秩序。

因应个体主义个人数据规制模式的失效，近年来，各国立法均在一定程度上转向整体主义进路以寻求破解之道。比如，美国《消费者隐私权利法案（草案）》与欧盟《一般数据保护条例》均引入了“场景与风险导向”的新理念，通过规定数据处理安全方面的风险导向路径，引入结合具体场景和操作的数据保护影响评估机制，采纳“在相应场景中合理”的数据处理标准要求等举措，扭转以往以数据主体“知情同意”为主要合法性基础的个人数据规制模式，试图基于社会、行业的共同理解和共同利益需求塑造客观、整体性的个人数据保护与利用标准。此外，欧美立法均规定了较多基于公共利益或履行公共职能之目的对个人数据进行默认例外性处理的情形，其关注点从单纯确保数据主体对个人数据的控制转向对数据主体个体利益与公共利益的有效平衡。与之相似，《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）突破了此前个人数据规制规则将“征得数据主体同意”作为处理个人数据之一般性前提的做法，增加了“为履行法定职责或者法定义务所必需”等处理个人数据的合法性基础。其表明，我国个人数据规制规则的设计已开始向整体主义模式过渡。相比于个体主义个人数据规制模式，整体主义个人数据规制模式在本体论和方法论层面均有所转变：在本体论层面，整体主义个人数据规制模式下的立法规则应确立“个体利益+整体利益”的双重保护客体，并对二者进行有效协调与整合；在方法论层面，整体主义个人数据规制模式应构建起对个人数据承载的整体利益的有效保护机制，以实现对此种新的利益形态的有效保护。

1. 整体主义个人数据规制模式的保护客体

鉴于大数据技术会在整体层面诱发新的风险，且大数据技术赋予数据处理者的利刃使其时常能够刺透整体的屏障间接损及作为成员的个人，整体主义个人数据规制模式必须通过对“整体利益”这一新本体的识别和保护以实现对新风险的有效化解。不同于个体主义个人数据规制模式，整体主义的个人数据规制规则“不再拘泥于对某一个主体私人权利和私人生活安宁的保护，或者不再将后者作为信息法律关系构建的核心和关键”，其应更加强调对整体利益的保障，从而确保作为整体之成员的个体得以享受安全的数据环境，使个体能够从自我保护的沉重负担中获得解脱，进而更加积极地加入到社会交往和数据流通中，充分激发个人数据处理行为的正外部性。

在个人数据承载的个体利益与整体利益存在冲突或悖离的情况下，整体主义个人数据规制模式的主要目标即在二者间构建有效的利益协调机制。奥尔森在探讨制度的起源问题时指出，在特定情况下，不管个体如何精明地追逐自己的利益，符合社会整体利益和公共理性的结果均不会自发地产生，此时即需要借助适当的制度安排以实现对个体理性和公共理性、个体利益和整体利益的协调。在个人数据的规制方面，整体主义个人数据规制模式应构建起基于实现整体利益目标而对个体数据权益进行必要限制的制度规则，消除个体任性行使权利而向他人或群体施加的负外部性，避免对个体权益的保护成为阻滞社会发展和社会整体福利水平提升的障碍。

整体主义个人数据规制模式的制度设计亦不应秉持完全的功利主义立场而要求个人权益无条件地为整体利益让路。个体利益和整体利益间并非完全对立的关系，而是内在地相互支持与彼此成就。整体作为个体按照一定的方式、结构而组成的系统，无法脱离个体而存在，“排斥个人的社会，不成其为社会；同样，排斥个体利益的社会整体利益，也只是虚无缥缈的空中楼阁……整体利益存在于每个个体中”，因此，即使基于实现整体利益的目的，亦不能完全无视对个人数据权益的保护。例如，在疫情防控过程中，为实现对疫情发展的全面监控和对公众进行风险提示，政府授权相关组织开展“大数据+网格化”的个人数据登记工作，在此过程中，许多组织及其工作人员超越授权范围不当发布、公开其掌握的个人数据，对所涉人员的正常生活造成了严重困扰，亦显著增加了其个人数据被非法利用的风险系数。对疫情相关数据进行发布有助于实现对疫情风险的防控，但其应当采取尽可能不侵犯相关个体数据权益的方式，如对个人数据进行去标识化处理以在尽可能不揭示数据主体真实身份的情况下做出风险提示，从而尽可能对个人数据承载的个体利益和整体利益进行平衡。

2. 整体主义个人数据规制模式的规制手段

不同于个体数据权益，实践中缺乏能够作为整体层面数据利益之代表以主张保护的相应主体。有学者主张，应赋予受到特定数据决策影响的不特定个体所组成的群体权利主体身份，使其能够获得积极主张共同权益的法定地位。然而，此种构想在现阶段并不具备充分的实现可能。赋予受到特定数据决策影响的群体以权利主体身份要求此种群体至少具有自我意识和能动性。在整体利益遭受损害的场合，如数据库或信息系统遭受攻击导致海量个人数据泄漏，或是基于歧视性算法进行“群体画像”而对具有特定特征的群体作出自动决策的场合，受到影响的个体具有非特定性，虽然其可能在事后基于对同一事故受害者真实身份的了解而形成一定的“群体认知”，但其彼此间亦缺乏进行交流和采取集体行动的有效途径，仅能分别对自身遭受的损害主张救济，即使诉诸民事诉讼法上的“代表人诉讼”机制以提升诉讼效率、节约诉讼成本，但其群体身份并未为其带来在调查举证方面的明显优势，此种安排缺乏充分的必要性。

因此，现阶段仍应将整体数据利益作为一种消极利益为其构建专门的保护和救济机制，此种机制的发动应主要依赖公权力机关。数据主体在面对数据处理者时暴露出的有限的认知能力、突出的信息劣势和低概率的维权可能决定了诉诸个体意思的传统救济途径难以充分实现对数据主体的充分保护和对数据风险的有效化解。对此，必须借助公权力机关的积极干预以实现对整体层面数据风险的有效化解，并通过构建对整体数据利益的有效救济机制弥补个体理性在应对数据安全风险上的不足，校正数据主体与数据处理者间的权力失衡，促进二者间实质正义的实现。

基于整体主义个人数据规制模式在本体论与方法论层面的上述特点，未来，我国个人数据规制规则应着力在如下方面构建：一是构建整体数据利益的有效保护机制；二是构建个人数据承载个体利益与整体利益的平衡机制，通过上述调整将整体层面的数据利益纳入个人数据规制体系，以实现对个体利益和整体利益的有效协调，为数据公地悲剧的彻底消解提供制度资源和对策支持。

1. 构建整体数据利益的保护机制

鉴于大数据时代针对数据利益的侵权风险主要源自整体层面，且此种风险无法通过对个人数据权益的保护自动化解，个人数据规制规则必须增设针对整体数据利益的独特保护和救济机制。个人数据承载的整体利益具有“扩散性利益”的特质，其表现为一种“事先没有任何的关系而只是基于特定的事实原因才产生联系的人共同拥有的一种超越个人的不可分的利益”，此种利益“属于社会上的每一个人”而非特定的个人，因而具有社会公共利益的性质。在整体数据利益遭受侵害的场合，受到影响的个体间往往缺乏有效的沟通渠道，甚至并未意识到其利益间的关联，因此无法自发形成一致行动或选举代表以主张共同利益。单纯借助私益诉讼分别主张民事救济又可能面临极为高昂的诉讼成本和显著的举证困难，并且在基于群体数据进行自动化决策的场合，作为被纳入特定“算法群体”遭受歧视性待遇的个体甚至很难证明此种操作对其个人数据权益造成何种侵犯。这决定了个体主义个人数据规制模式下的私力救济途径很难有效维护和救济此种整体层面的利益。

针对产品质量缺陷、环境污染等场合下“扩散性利益”的保护障碍，各国立法往往通过设立相应的公益诉讼制度对其进行化解，即通过赋予特定第三方提起公益诉讼的资格破解“扩散性利益”所面临的集体行动困局，降低由分散个体在此类场合下分别提起诉讼可能涉及的成本和面临的诉讼门槛。在个人数据保护层面，目前许多国家均已确立针对个人数据的公益诉讼制度。近年来，我国司法实践中也开始出现针对侵害个人数据权益行为的民事公益诉讼和行政公益诉讼。“公益诉讼是指特定的主体根据法律的授权就侵犯社会公共利益的行为向法院提起的现代型诉讼。”其关注的是作为一种“社会公共利益”的整体数据利益，此种救济机制能够借助国家机关或专业组织在发现违法行为线索和专业技术方面的优势，弥合数据侵权场合下数据主体察觉、证明侵权行为的能力不足，矫正孤立的数据主体与个人数据处理者双方在技术能力、经济实力等方面的差距，提高维权成功率，并造成广泛的社会影响和示范效应，达到有效震慑违法个人数据处理者的法律效果，是一种较具经济效率和现实可行性的救济机制。然而，其缺乏诉讼激励：公益诉讼的原告并非自身权益受到损害之人，其是否提起公益诉讼具有一定的任意性，因此，单纯依赖公益诉讼尚难以完全实现对整体数据利益的充分保障。

为了弥补公益诉讼机制因发起人保护整体数据利益的激励不足所导致的监管缺失，还应设置专门的个人数据保护机构并赋予其保护个人数据的法定职责。近年来，各国为实现对个人数据处理行为的有效规制，均设置了独立的个人数据监管机构，如韩国的个人信息安全委员会、欧盟的数据监管机构，美国则授权联邦贸易委员会承担个人数据监管执法的主要职责。相比于借助发起公益诉讼实现对整体数据利益的事后救济，设置专门的个人数据监管机构有助于实现对个人数据处理行为的“事前—事中—事后”全流程监控，更好地识别、发现数据违法行为，并从整体层面实现对数据违法行为的威慑和规制。对司法裁判数据的分析揭示出，当前由公诉机关发起刑事诉讼是我国规制数据违法行为的主要手段。但是，主要倚赖刑事诉讼之事后救济的方式仅能在数据违法行为发生后起到一定的补救效果，无法恢复数据利益至未受损害的状态。而专门的个人数据监管机构能够对数据违法行为进行事前监督和事中审查。现阶段，我国《个人信息保护法》仍沿用了“多头监管”的个人数据监管保护体制，导致实践中权责交叉、执法冲突时有发生，“多部门监管容易引发职责边界的模糊，从积极权限冲突角度看，多部门监管会增加被规制者的合规成本；从消极冲突角度看，职责边界的模糊可能导致责任推诿”。未来，我国可以考虑进一步建立专门的个人信息监管机构，统一负责个人数据的监督管理，以实现个人数据监管执法标准的统一，并避免多头执法所造成的执法真空或管辖重叠。

2. 基于整体利益对个人数据自决权作出必要限制

当个人数据处理行为可能产生极强的正外部性或负外部性时，基于对整体利益的考虑即应对个体数据权益的行使作出必要限制。具体而言，当对个人数据的处理能够产生显著的社会效益和公共价值时，立法应规定此种处理无须必然征得数据主体的同意，以免数据主体基于对自身利益的片面考虑而遏制具有公共价值的数据处理行为。目前，欧盟《一般数据保护条例》规定了当个人数据处理行为是“为了执行与公共利益相关的任务或行使公务职权所必需”的情况下，无须征得数据主体的同意即可获得合法性。此外，《一般数据保护条例》还规定基于公共利益、科学、历史研究或统计目的对个人数据进行处理的，免受《一般数据保护条例》关于存储期间最小化要求的限制，且欧盟或成员国立法可对此类场合下数据主体访问权、更正权、限制处理权、拒绝权的行使予以必要克减。但数据处理者仍须遵循数据最小化原则，并应提供适当、具体的措施来保障数据主体的基本权利和利益。上述规定体现了对个人数据所承载的个体利益和整体利益予以适度平衡的理念。

相比之下，《个人信息保护法》仅规定了“为履行法定职责或者法定义务所必需”“为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需”“为公共利益实施新闻报道、舆论监督等行为”等情况下处理个人数据无须征得数据主体同意，其范围列举较为有限。上述规定未对上述情况下个人数据处理者是否应当遵循其他关于个人数据权益保护的要求予以明确，仅说明在“为公共利益实施新闻报道、舆论监督等行为”而处理个人数据时，需要在合理范围内进行。根据文义解释似可推导出在其他几种情形下对个人数据进行处理无须受此限制，由此造成个体权益和整体利益间的另一种失衡。基于实现整体利益而对个体数据权益作出限制并不意味着从根本上否定保护个人数据权益的必要，因此，此种数据处理行为在可能限度内仍应受制于个人数据保护立法设定的约束条件，并履行相应的个人数据保护义务，只是数据处理者在此场合下无须受到数据主体部分个人数据权利请求（如决定权、限制权、拒绝权）的约束。

在个人数据处理可能引发显著负外部性的场合，无论数据主体的个人意愿如何，均应禁止相关的个人数据处理行为。个人数据的外部性和关联性决定了数据主体对其个人数据的处分将对他人和社会整体福利产生间接影响。比如，部分个体对其基因数据的披露可能会被国外研究机构用于进行针对整个种族乃至国家公民健康情况的分析。其中，涉及公民宗教信仰、种族、性取向、健康状况等内容的数据因与自然人的人格尊严具有较为密切的关联而格外敏感，如果允许个体任意决定对此类数据的处分则可能对他人的人格尊严等利益产生严重威胁。对此，欧盟《一般数据保护条例》中明确规定：“对揭示种族或民族出身，政治观点、宗教或哲学信仰，工会成员的个人数据，以及以识别自然人为唯一目的的基因数据、生物特征数据，健康数据，自然人的性生活或性取向的数据的处理应当被禁止。”相比之下，《个人信息保护法》中仅规定，对于种族、民族、宗教信仰、个人生物特征、医疗健康等敏感个人数据，数据处理者在对其进行处理时应当取得个人的单独同意，仍将敏感数据全然视为数据主体个人权益支配的对象，未意识到其对整体利益的潜在影响。个体的自由和权利以他人所合法拥有的自由为边界。为防止个别数据主体对此类数据的处分可能对他人产生不利后果，未来个人数据规制规则体系应当增设针对特定敏感个人数据的“禁易规则”。规定禁易规则的必要性即在于对特定法益的自由处分将会降低其具有的整体价值。就特定的敏感个人数据而言，应当禁止数据处理者将其用于对群体进行画像，从而就招聘、授信等重要问题作出自动化决策，即使此种处理经过作为信息来源的个体同意。

在一个社会中，当个体利益与整体利益存在不一致时，个体对其私利的理性追求即可能引致整体层面非理性的结果。个人数据的本质是一种公共物品，对于此种公共物品的供给和分配应基于整体主义的视角在整体层面进行设计和规制，而非鼓励个体基于对自身利益的考虑任意决定个人数据的命运。个体主义个人数据规制规则诱发了数据公地悲剧这一社会结构性问题。我国《个人信息保护法》虽已在一定程度上意识到对个人数据承载的整体利益进行保护的必要，但其制度设计仍主要延续了个体主义的立法思路，难以充分实现对个体利益与整体利益的有效协调。未来的个人数据规制模式应实现个体主义向整体主义的转型，及时对整体数据利益这一新的利益形态进行识别与保护，并对个体与整体的目标与利益进行整合，从而使人类社会避免数据公地悲剧。