陳道富，王 剛

(國務(wù)院發(fā)展研究中心 金融研究所， 北京 100010)

數(shù)字經(jīng)濟(jì)時代下，合理保護(hù)用戶隱私，發(fā)展數(shù)據(jù)產(chǎn)業(yè)鏈，充分挖掘數(shù)據(jù)價值，是國家的核心競爭力。隱私保護(hù)的法律設(shè)計是影響數(shù)字經(jīng)濟(jì)發(fā)展的關(guān)鍵。美國作為全球數(shù)字經(jīng)濟(jì)的領(lǐng)先者，與其隱私保護(hù)法律標(biāo)準(zhǔn)相對寬松，給數(shù)字技術(shù)留下發(fā)展空間有相當(dāng)關(guān)系。歐洲沒有真正意義上的互聯(lián)網(wǎng)大數(shù)據(jù)公司，與其較嚴(yán)格的隱私保護(hù)有關(guān)。歐洲通用數(shù)據(jù)保護(hù)法規(guī)(GDPR)對于歐盟用戶嚴(yán)格的數(shù)據(jù)權(quán)益保護(hù)，一定程度上是出于產(chǎn)業(yè)競爭考量，限制中美大型互聯(lián)網(wǎng)創(chuàng)新公司。當(dāng)前，我國正加快推進(jìn)個人隱私保護(hù)基礎(chǔ)性立法，需準(zhǔn)確把握國際數(shù)字治理與隱私保護(hù)的最新動態(tài)，充分考慮我國的基本國情和社會習(xí)慣，尤其需要著眼國際數(shù)字產(chǎn)業(yè)競爭態(tài)勢，統(tǒng)籌考慮我國數(shù)字產(chǎn)業(yè)的未來發(fā)展，平衡好隱私保護(hù)與數(shù)據(jù)共享，合理設(shè)計法律和政策尺度。

一、數(shù)據(jù)共享是數(shù)字時代國家的核心競爭力

數(shù)據(jù)是數(shù)字時代的核心生產(chǎn)要素，但數(shù)據(jù)只有在使用中才能實現(xiàn)價值。在大數(shù)據(jù)時代，單個數(shù)據(jù)幾乎沒有使用價值，只有相互連接的大量單體數(shù)據(jù)，經(jīng)過合理的加工后才擁有價值。因此，數(shù)字經(jīng)濟(jì)時代國家層面的競爭，就是建立一套更合理有效的激勵約束機(jī)制和基礎(chǔ)設(shè)施，實現(xiàn)數(shù)據(jù)收集、加工處理、共享使用的數(shù)據(jù)產(chǎn)業(yè)鏈的社會化分工合作。凝聚信任，實現(xiàn)數(shù)據(jù)共享是其關(guān)鍵。有效的數(shù)據(jù)共享，就是數(shù)據(jù)主體、數(shù)據(jù)控制者(大部分也是數(shù)據(jù)采集者)和數(shù)據(jù)使用者三者間的利益平衡。其中，數(shù)據(jù)主體最關(guān)心的是隱私保護(hù)、數(shù)據(jù)控制者更關(guān)注數(shù)據(jù)安全，數(shù)據(jù)使用者則關(guān)心數(shù)據(jù)價值。

當(dāng)前，我國數(shù)據(jù)市場出現(xiàn)的以數(shù)據(jù)孤島為代表的亂象，與我國尚未建立合理有效的數(shù)據(jù)共享機(jī)制有關(guān)。數(shù)據(jù)控制者由于擔(dān)心數(shù)據(jù)泄漏無法獲得變現(xiàn)環(huán)節(jié)的合理回報，將數(shù)據(jù)加工處理環(huán)節(jié)內(nèi)部化，就出現(xiàn)了數(shù)據(jù)孤島現(xiàn)象。數(shù)據(jù)孤島現(xiàn)象表現(xiàn)為過度采集消費者數(shù)據(jù)，泄漏個人隱私，濫用數(shù)據(jù)侵害消費者權(quán)益，典型如大數(shù)據(jù)殺熟、暴力催收等。

二、發(fā)展隱私計算，以技術(shù)手段合理保護(hù)個人隱私，實現(xiàn)數(shù)據(jù)共享與合理利用

個人隱私保護(hù)可以通過以下3個方面來實現(xiàn)。一是法律保障。通過界定個人信息主體的權(quán)屬和相關(guān)人員的行為空間來保護(hù)個人隱私。二是技術(shù)實現(xiàn)。通過數(shù)據(jù)處理、計算方法和管理技術(shù)等確保個人隱私。三是利益平衡。通過市場交易，承擔(dān)一定的隱私泄漏風(fēng)險獲得更好的服務(wù)或收益。

隱私計算是隱私保護(hù)下數(shù)據(jù)共享的技術(shù)實現(xiàn)路徑。為了解決互不信任的多個機(jī)構(gòu)間數(shù)據(jù)共享和數(shù)據(jù)價值挖掘，國際上開發(fā)出了在不共享原始數(shù)據(jù)情況下實現(xiàn)數(shù)據(jù)價值挖掘和流轉(zhuǎn)，即隱私計算。隱私計算一般通過3個環(huán)節(jié)保證數(shù)據(jù)和模型隱私，實現(xiàn)數(shù)據(jù)“可用不可見”“可算不可識”和“可用不可擁”。一是原始數(shù)據(jù)的“去標(biāo)識化”。確保合作第三方不能通過數(shù)據(jù)反向逆推出數(shù)據(jù)主體，即不能識別出消費者的“自然人”身份，但又盡可能保留數(shù)據(jù)中的“信息”價值，做到共享信息的“可算不可識”。二是可信的執(zhí)行環(huán)境。通過硬件化、安全沙箱或通過訪問控制、數(shù)據(jù)脫敏、流轉(zhuǎn)管控、實時風(fēng)控和行為審計等管理實現(xiàn)，提升數(shù)據(jù)和模型計算環(huán)境的安全性，確保全程安全可控。三是能夠保護(hù)數(shù)據(jù)和模型隱私的智能計算技術(shù)，如多方安全計算、差分隱私、聯(lián)邦學(xué)習(xí)等。用戶的原始數(shù)據(jù)可以在不出域、不泄漏的前提下共享并提取數(shù)據(jù)價值，實現(xiàn)信息的“可用不可見”。

通過運用隱私計算技術(shù)，國內(nèi)外在大量實踐中取得成效，實現(xiàn)了隱私保護(hù)和數(shù)據(jù)價值流轉(zhuǎn)的平衡。在個人隱私計算技術(shù)下，“去標(biāo)識化”后的數(shù)據(jù)可以實現(xiàn)絕大部分個人隱私保護(hù)要求。隱私計算過程中，在經(jīng)過去標(biāo)識化和多方安全計算分片處理后，第三方已無法通過這些共享數(shù)據(jù)來反向逆推出數(shù)據(jù)主體的個人身份，不會出現(xiàn)個人隱私泄露情況。因而，并不需要在“去標(biāo)識化”數(shù)據(jù)加工處理過程中再獲得信息主體的確認(rèn)“授權(quán)”。

同時，還需要盡可能減少必須使用“匿名化”數(shù)據(jù)的場景?！叭?biāo)識化”數(shù)據(jù)在數(shù)據(jù)加工處理過程中，數(shù)據(jù)“可算不可識”，但保留了數(shù)據(jù)間除個人信息以外的關(guān)聯(lián)關(guān)系，可挖掘的信息價值較大，且僅在用戶“授權(quán)”的情況下可重新識別使用。匿名化處理后的數(shù)據(jù)，無法將同一個人在不同時間、不同空間產(chǎn)生的數(shù)據(jù)關(guān)聯(lián)起來，數(shù)據(jù)之間關(guān)聯(lián)性已被不可逆地破壞，從而無法有效進(jìn)行數(shù)據(jù)融合和數(shù)據(jù)價值提取，散亂為數(shù)據(jù)碎片，將喪失絕大部分信息價值。“匿名化”后的信息已不屬于個人信息范圍，在數(shù)據(jù)共享給第三方時雖無需再取得個人的單獨同意，但已沒有多大的使用價值。

三、隱私保護(hù)視角下全球數(shù)據(jù)治理的最新形勢

(一)美國：強(qiáng)化中美數(shù)據(jù)領(lǐng)域競爭

美中數(shù)字經(jīng)濟(jì)規(guī)模居全球前兩位，在5G和人工智能等領(lǐng)域互為最主要競爭對手。近來，美國強(qiáng)化了在數(shù)據(jù)領(lǐng)域?qū)ξ覈氖号c競爭。在數(shù)據(jù)主權(quán)與安全方面，美國以侵害敏感個人信息和危害國家安全之名行貿(mào)易保護(hù)之實。2020年以來，先后對Tiktok、微信、支付寶采取封禁措施，要求數(shù)據(jù)本地化成為常用的政策手段。在數(shù)據(jù)治理方面，美國認(rèn)為中國數(shù)據(jù)收集壁壘和數(shù)據(jù)標(biāo)注成本較低，更容易創(chuàng)建大型數(shù)據(jù)庫，因而對我采取明顯的“雙重標(biāo)準(zhǔn)”做法：一方面積極宣揚“中國政府可隨意獲取企業(yè)數(shù)據(jù)”“中國企業(yè)個人信息保護(hù)不力”等，向我施壓制定更強(qiáng)有力的個人信息保護(hù)法律，減少生產(chǎn)中的數(shù)據(jù)投入；而其自身無論現(xiàn)行的隱私法案CCPA還是計劃實施的CPRA，隱私保護(hù)標(biāo)準(zhǔn)相對歐盟的GDPR都較寬松。另一方面，在國際上繼續(xù)倡導(dǎo)全球數(shù)據(jù)自由流動，聯(lián)合盟友推動APEC數(shù)據(jù)跨境認(rèn)證體系，以利本國數(shù)據(jù)巨頭攫取更多數(shù)據(jù)資源。

(二)歐盟：開始反思GDPR過于嚴(yán)格的個人信息利用限制的弊端

歐盟憑借GDPR等高標(biāo)準(zhǔn)隱私保護(hù)規(guī)則占據(jù)了全球數(shù)據(jù)治理制度設(shè)計的制高點，其數(shù)據(jù)相關(guān)法律制度已成為各國立法和監(jiān)管政策借鑒的主要對象。在此基礎(chǔ)上，歐盟正積極尋求實現(xiàn)歐洲技術(shù)主權(quán)。一方面對跨國互聯(lián)網(wǎng)企業(yè)基于GDPR實施高額處罰，征收數(shù)字稅；另一方面試圖通過立法推動數(shù)據(jù)共享，加強(qiáng)對大型平臺企業(yè)監(jiān)管，促進(jìn)歐盟中小數(shù)字企業(yè)發(fā)展。采取上述立場的出發(fā)點是歐盟自身缺乏本土大型互聯(lián)網(wǎng)企業(yè)。當(dāng)前，其高額罰款、數(shù)字稅和數(shù)據(jù)共享的主要對象均為美國跨國數(shù)據(jù)巨頭，未來可能波及我國在歐企業(yè)。在借鑒歐盟制度規(guī)則時，要看到相關(guān)制度設(shè)計的產(chǎn)業(yè)背景和著重限制中美對歐盟居民隱私數(shù)據(jù)使用的出發(fā)點，應(yīng)堅持以我為主，根據(jù)自身產(chǎn)業(yè)特點和發(fā)展階段選擇適宜的規(guī)則。

值得關(guān)注的是，2020年以來歐盟在其發(fā)布的一系列數(shù)據(jù)戰(zhàn)略和政策中對基于GDPR的個人信息利用限制進(jìn)行了反思。在2020年2月發(fā)布的《歐洲數(shù)據(jù)戰(zhàn)略》中，歐盟認(rèn)識到當(dāng)越來越多的產(chǎn)業(yè)或公共數(shù)據(jù)來源于個人時，過于嚴(yán)格的個人信息利用限制可能導(dǎo)致產(chǎn)業(yè)或公共數(shù)據(jù)供給不足。尤其對于依賴于數(shù)據(jù)加工才能產(chǎn)生的產(chǎn)業(yè)或公共數(shù)據(jù)而言，個人信息的收集和適用始終是無法回避的關(guān)鍵問題。過于嚴(yán)苛而繁瑣的個人信息收集約束將極大影響產(chǎn)業(yè)或公共數(shù)據(jù)的數(shù)量和質(zhì)量，因而要建設(shè)歐盟統(tǒng)一數(shù)字市場就必須解決上述問題。為推動數(shù)據(jù)共享，2020年底歐盟發(fā)布了《數(shù)據(jù)治理法》(草案)。其要點：一是要求確保公共部門數(shù)據(jù)在受他人權(quán)利約束(如GDPR)的情況下，仍可重復(fù)使用；二是允許在個人數(shù)據(jù)共享中介機(jī)構(gòu)幫助下使用個人數(shù)據(jù)；三是允許出于“利他主義”使用數(shù)據(jù)。上述規(guī)定在一定程度上改變了歐盟既往對數(shù)據(jù)利用的刻板態(tài)度，但GDPR項下個人權(quán)利仍是數(shù)據(jù)利用不可逾越的紅線，也是《數(shù)據(jù)治理法》需要調(diào)整的最大障礙。

(三)新加坡：開辟個人信息保護(hù)第三條路徑

近年來，新加坡數(shù)字經(jīng)濟(jì)高速發(fā)展，數(shù)據(jù)資本化和跨境自由流動推動了新加坡企業(yè)的組織創(chuàng)新和經(jīng)濟(jì)競爭力的提升。技術(shù)正在改變數(shù)據(jù)收集的方式，物聯(lián)網(wǎng)設(shè)備、機(jī)器學(xué)習(xí)和人工智能的發(fā)展正導(dǎo)致整理和分析大量數(shù)據(jù)的能力不斷提高，這對“基于同意”的數(shù)據(jù)保護(hù)方法帶來重大挑戰(zhàn)：一是政府和企業(yè)越來越不可能在“授權(quán)同意”之時就預(yù)測到收集、使用或披露個人數(shù)據(jù)的目的。二是伴隨海量數(shù)據(jù)的無縫與即時收集，組織在每次收據(jù)收集中都尋求個人的明確同意并非總是切實可行，且對“知情同意”的依賴必然導(dǎo)致過度冗長或措辭寬泛的通知，并無法真正有效保護(hù)個人隱私。三是個人同意與否不一定考慮到對公眾更廣泛、系統(tǒng)的利益，也不一定會產(chǎn)生最理想的社會效果。

鑒于此，新加坡決定調(diào)整個人同意和企業(yè)責(zé)任之間的平衡，為適當(dāng)與合法目的利用數(shù)據(jù)提供便利。2020年5月，新加坡修訂《個人數(shù)據(jù)保護(hù)法》，對個人數(shù)據(jù)保護(hù)“知情同意”的基礎(chǔ)性規(guī)則引入兩個新的除外規(guī)定：一是合法利益。授權(quán)組織在符合其合法利益的情況下收集、使用或披露個人數(shù)據(jù)，但所實現(xiàn)的利益應(yīng)當(dāng)大于對個人的任何不利影響。二是業(yè)務(wù)改進(jìn)。授權(quán)組織在未經(jīng)同意的情況下，將個人數(shù)據(jù)用于如下業(yè)務(wù)改進(jìn)目的：運營效率和服務(wù)改進(jìn)；開發(fā)或增強(qiáng)產(chǎn)品/服務(wù)；了解組織的用戶需求。但限定基于業(yè)務(wù)改進(jìn)而收集、使用和披露必須是理性人在實際情況下認(rèn)為適當(dāng)?shù)模也坏糜糜谧龀鰧€人產(chǎn)生不利影響的決定。

總的來看，在強(qiáng)化數(shù)據(jù)保護(hù)問責(zé)機(jī)制和執(zhí)法有效性的同時，“企業(yè)賦權(quán)”是本次修訂的突出亮點。在歐盟GDPR和美國CCPA之外，新加坡的《個人數(shù)據(jù)保護(hù)法》提供了個人數(shù)據(jù)保護(hù)的“第三條道路”，建立了迄今最為平衡的個人數(shù)據(jù)保護(hù)框架。

四、完善我國隱私保護(hù)立法的基本原則與具體建議

中央財經(jīng)委員會第九次會議強(qiáng)調(diào)“從構(gòu)筑國家競爭新優(yōu)勢的戰(zhàn)略高度出發(fā)，建立健全平臺經(jīng)濟(jì)治理體系，維護(hù)好用戶數(shù)據(jù)權(quán)益及隱私權(quán)”[1]?！妒奈逡?guī)劃》要求“統(tǒng)籌數(shù)據(jù)開發(fā)利用、隱私保護(hù)和公共安全，加強(qiáng)涉及個人隱私的數(shù)據(jù)保護(hù)，加快推進(jìn)個人信息保護(hù)等領(lǐng)域基礎(chǔ)性立法”[2]。在中美數(shù)據(jù)競爭加劇、歐盟強(qiáng)調(diào)數(shù)據(jù)主權(quán)和數(shù)據(jù)本地化背景下，我國數(shù)據(jù)治理規(guī)則設(shè)定宜著眼國際競爭，通過合理設(shè)定政策尺度，完善技術(shù)手段，切實平衡好隱私保護(hù)和數(shù)據(jù)共享。

(一)基本原則

一是數(shù)據(jù)治理與隱私保護(hù)應(yīng)統(tǒng)籌考慮數(shù)字經(jīng)濟(jì)的國內(nèi)監(jiān)管與國際競爭。我國已是全球第二互聯(lián)網(wǎng)大國，人工智能、區(qū)塊鏈、大數(shù)據(jù)等領(lǐng)域發(fā)展迅速。當(dāng)前,中美數(shù)據(jù)領(lǐng)域的博弈日益激烈，歐盟也在反思GDPR對數(shù)字產(chǎn)業(yè)發(fā)展和信息技術(shù)創(chuàng)新的阻礙并著手修正規(guī)則。因此,構(gòu)建數(shù)據(jù)治理體系和個人信息保護(hù)法律制度應(yīng)在國際競爭中高度綜合平衡，應(yīng)將激活數(shù)據(jù)要素潛能、促進(jìn)大數(shù)據(jù)產(chǎn)業(yè)可持續(xù)發(fā)展、增強(qiáng)國際競爭力作為重要目標(biāo)之一，以提高法律規(guī)定的前瞻性、靈活性和包容性，為我國數(shù)字經(jīng)濟(jì)健康發(fā)展預(yù)留充分空間。

二是數(shù)據(jù)要素市場培育宜更深入探究數(shù)據(jù)要素利用和個人信息保護(hù)的關(guān)系。個人信息包括基本個人信息(姓名、性別、聯(lián)系方式等)、伴生個人信息(財產(chǎn)信息、賬戶信息、信用信息等)和預(yù)測個人信息(大數(shù)據(jù)畫像)三類，后兩類又稱為衍生信息。在保護(hù)個人隱私前提下，使衍生個人信息有序流動和利用是激活數(shù)據(jù)要素潛能、推動數(shù)字產(chǎn)業(yè)發(fā)展的關(guān)鍵。歐盟在近期的反思中認(rèn)識到過于嚴(yán)苛和繁瑣的個人信息收集約束阻礙了統(tǒng)一數(shù)字市場的形成。新加坡則在《個人數(shù)據(jù)保護(hù)法》以創(chuàng)新性規(guī)定重置個人同意和企業(yè)責(zé)任之間的平衡，便利依據(jù)適當(dāng)和合法目的利用數(shù)據(jù)。上述反思與立法實踐為我國完善個人信息保護(hù)立法提供了有益的借鑒。

三是促進(jìn)數(shù)據(jù)利用與個人信息保護(hù)的平衡，需要規(guī)則和技術(shù)兩方面保障。規(guī)則上，保護(hù)個人隱私是數(shù)據(jù)利用的前提和基礎(chǔ)，但該前提的真正實現(xiàn)需要適應(yīng)技術(shù)發(fā)展趨勢的科學(xué)制度設(shè)計來保障，重點關(guān)注個人能真正行使其權(quán)利，且在權(quán)利受到損害后可得到及時救濟(jì)。實踐證明，設(shè)置過多的事前同意環(huán)節(jié)并不能真正達(dá)到保護(hù)個人信息的目的，重點應(yīng)放在事中的風(fēng)險管理和事后的權(quán)利救濟(jì)上。技術(shù)上，隱私計算技術(shù)的發(fā)展提供了保護(hù)個人信息基礎(chǔ)上促進(jìn)數(shù)據(jù)利用的有效方案，成為近期的主要發(fā)展方向。通過隱私計算實現(xiàn)數(shù)據(jù)的“可用不可見”“可算不可識”已成為全球業(yè)界共識。隱私計算的探索與創(chuàng)新將成為促進(jìn)數(shù)據(jù)要素利用和流通的重要保障，但需要在法律技術(shù)規(guī)則層面保障其順利應(yīng)用。

(二)對《個人信息保護(hù)法》(草案)的修改建議

2020年10月，《個人信息報告法》(草案)(以下簡稱《草案》)首次提交全國人大常委會審議，并已列入2021年人大常委會審議重點?？偟膩砜?，草案具有比較明顯的GDPR印記，對個人信息的全生命周期均設(shè)定了比較全面的保護(hù)義務(wù)與監(jiān)管責(zé)任，具有較強(qiáng)的保護(hù)力度。但在如下幾個方面有待修改完善：

1.“個人信息”定義過于泛化，且與現(xiàn)行法律不一致

“個人信息”的定義是《個人信息保護(hù)法》的起點和最核心的概念?！恫莅浮返?條將“個人信息”定義為“以電子或其他方式記錄的與已識別或可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息”。在“識別說”基礎(chǔ)上增加了關(guān)聯(lián)性考慮，涵蓋“與已識別或者可識別的自然人有關(guān)的各種信息”，極大擴(kuò)展了個人信息范圍。而且與民法典及《網(wǎng)絡(luò)安全法》等現(xiàn)行立法對個人信息的定義不一致，將顯著增加企業(yè)使用數(shù)據(jù)的限制與合規(guī)壓力。 “可識別”與“匿名化”相結(jié)合，隨著技術(shù)的不斷發(fā)展，實際上很難實現(xiàn)對“匿名化”信息的真正排除。

建議與民法典對個人信息的定義保持一致，修改為“以電子或其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人的各種信息，不包括匿名化處理后的信息”。

2.未對“去標(biāo)識化”信息予以明確界定

草案個人信息定義中對“匿名化”處理的信息予以排除，這是值得肯定的巨大進(jìn)步。但一方面?zhèn)€人信息的匿名化處理無法確保達(dá)到“無法識別且不能復(fù)原”的絕對匿名化標(biāo)準(zhǔn)，另一方面為達(dá)到完全的匿名化會極大損害數(shù)據(jù)的價值性與可用性。

與“匿名化”相比，“去標(biāo)識化”更可能實現(xiàn)隱私保護(hù)與數(shù)據(jù)利用的平衡。個人信息去標(biāo)識化是處理者去除收集到的個人信息中可識別的隱私因子并進(jìn)行加工、分析、處理與分級和多層利用的過程。通過技術(shù)處理已經(jīng)將侵權(quán)風(fēng)險控制在適度范圍內(nèi)，既能有效排除個人信息的流通障礙，又能最大限度發(fā)揮數(shù)據(jù)效用。

建議在草案中增加“去標(biāo)識化”制度的規(guī)定。鑒于個人信息具有相對性，經(jīng)“去標(biāo)識化”處理且第三方不具有識別能力的信息，對于第三方而言不屬于個人信息。建議將提供此類信息作為告知的例外。具體而言，在《草案》第24條第一款增加“個人信息處理者向第三方提供去標(biāo)識化信息且第三方無法識別個人身份的除外”，同時將第24條第二款修改為“個人信息處理者向第三方提供去標(biāo)識化信息的，第三方不得利用技術(shù)等手段重新識別個人身份”。

3.民事責(zé)任設(shè)定規(guī)則未體現(xiàn)對合規(guī)的正向激勵

《草案》第21條規(guī)定共同信息處理者承擔(dān)連帶責(zé)任，第65條規(guī)定因個人信息處理活動侵害個人信息權(quán)益的，如果“個人信息處理者能夠證明自己沒有過錯的，可以減輕或者免除責(zé)任”。分析前述規(guī)定的文義，個人信息侵權(quán)責(zé)任的歸責(zé)原則傾向于無過錯責(zé)任原則，即無論個人信息處理者是否有過錯，都應(yīng)當(dāng)承擔(dān)責(zé)任。個人信息處理者沒有過錯的，不必然減輕或免除其責(zé)任。上述規(guī)定體現(xiàn)了對被侵權(quán)人的傾斜保護(hù)，但過度保護(hù)可能帶來職業(yè)維權(quán)、濫訴等新問題。同時，上述規(guī)定與民法典確定的責(zé)任體系存在矛盾。民法典對無過錯責(zé)任的表述是“行為人造成他人民事權(quán)益損害，不論行為人有無過錯，法律規(guī)定應(yīng)當(dāng)承擔(dān)侵權(quán)責(zé)任的，依照其規(guī)定”。目前，《民法典》實際規(guī)定的無過錯責(zé)任僅包括8種情形。個人信息侵權(quán)作為數(shù)字經(jīng)濟(jì)時代新興的侵權(quán)責(zé)任類型，是否達(dá)到無過錯責(zé)任的程度在法理上仍存爭議。海外立法則普遍對承擔(dān)民事責(zé)任設(shè)定了鼓勵合規(guī)的激勵制度。

建議《草案》從正向激勵個人信息處理者主動提高合規(guī)程度的考量出發(fā)，遵循《民法典》人格權(quán)編和侵權(quán)責(zé)任法的基本規(guī)則，以過錯責(zé)任為歸責(zé)原則，或明確個人信息處理者的免責(zé)事由。如此處理既可以協(xié)調(diào)各數(shù)據(jù)主體間的利益，促進(jìn)數(shù)字經(jīng)濟(jì)有序發(fā)展，也可避免可能的職業(yè)維權(quán)等權(quán)利濫用。