

集刊 | 梅傲苏建维：欧盟数据最小化原则研究

跨境电商创业日记

2025-09-15

国别和区域研究集刊

《国别和区域研究》是一本由教育部主管，北京语言大学主办的研究国别和区域问题的综合性学术集刊。自2021年4月起，根据《中文社会科学引文索引来源期刊（集刊）遴选办法》《国别和区域研究》两度入选为CSSCI（2021-2022）（2023-2024）收录集刊；2023年3月，《国别和区域研究》连续两年被评定为中国人文社会科学集刊AMI综合评价核心集刊。

《国别和区域研究》是以区域国别学学科建设为牵引，研究国别和区域问题的综合性学术集刊；贯彻“理论性、思想性、战略性、综合性和现实性”的办刊方针。我们竭诚欢迎各学科、各领域的专家学者不吝赐稿，并对这九年来的无私支持表示深深的感谢。

【内容提要】数据最小化原则作为《通用数据保护条例》重要的数据处理原则之一，体现了欧盟以“保护个人数据权利”为中心的特色。欧洲作为保护个人数据的典范地区，数据最小化原则迎合了保护个人数据权利的风向，也填补了知情同意规则的效力缺失，但在实施过程中也不可避免地陷入实施困境，出现实际效果不佳、技术创新较慢以及合规成本较高的问题。究其原因：首先，模糊的义务边界削弱了其有效性；其次，严格执行数据最小化原则降低了技术创新的活力；最后，各方数据参与者之间数据权利的失衡提高了数据合规的成本。通过分析数据最小化原则在欧盟的实施困境，有助于寻求实现保护个人数据与促进数据流通之间的平衡的可能。

【关键词】GDPR 数据最小化原则数据权利数据合规个人数据保护

【作者简介】

梅傲西南政法大学区域国别学院研究员，主要研究方向为区域国别法。

苏建维西南政法大学区域国别学院助理研究员，主要研究方向为区域国别法。

一数据最小化原则的现实意义

自从《通用数据保护条例》（General Data Protection Regulation，GD-PR）规定了数据最小化原则后，数据最小化逐渐成为各国数据立法中不可缺少的组成部分。在大数据时代，数据最小化原则有其独特的存在意义和价值。一方面，数据最小化原则是知情同意规则的有效补充，数据最小化原则从原则层面要求数据控制者不能凭借效力弱化的“知情—同意”模式毫无节制地处理个人数据：另一方面，随着越来越多的个人信息在网络世界喷涌而出，由私域蔓延到公域，保护个人的数据权利日益成为各国数据立法的重要导向。

（一）知情同意规则的有效补充

“知情—同意”模式的有效性正受到极大的挑战。2019年1月，谷歌（Google）公司的个性化广告政策因违反了GDPR 的有关规定，被法国国家信息与自由委员会（Commission Nationale de l’Informatique et desLibertés，CNIL）罚款5000 万欧元，矛头直指用户同意政策。CNL指出.谷歌公司的用户政策并未遵守透明度和通知义务（transparency and notice requirements）。谷歌用户在注册账号的时候，谷歌公司会提供一份复杂冗长的用户协议，里面涵盖了包括个性化广告在内的各种数据处理规则，但是，重要的数据处理规则并未在开篇显示，谷歌用户在获取与个性化广告有关的数据处理规则前需要进行多步的点击。即便谷歌用户完成了上述复杂的操作，找到与个性化广告有关的用户政策，也难以读懂其晦涩的内容：即便谷歌用户能读懂用户政策的内容，其能否基于此作出深思熟虑的判断也是未知的：即便客户能作出判断，谷歌公司也并未提供其他选项让客户进行选择，用户只能选择同意或者退出。基于此，谷歌用户对于谷歌公司的个性化广告个人数据处理规则并未做到有效知情，在没有有效知情的情况下，自然无法做出有效的同意。诚然，“知情—同意”模式的弱化，部分原因在于谷歌公司等大型科技公司没有严格遵守包括GDPR在内的数据立法的规定，另一部分原因在于随着科技的迅猛发展，技术发展速度远远超过了立法速度。技术在给人们带来便利的同时，也对个人权利造成了极大的冲击。

首先，算法的内容与运算逻辑较为复杂，难以被大众理解。在大数据时代，“样本数据接近总体数据”已经成为数据分析最重要的特征之随着技术的提升，海量的数据能在极短的时间内被搜集、分析和储存。通过复杂的算法运算，人工智能能从海量的数据中分析得出新的数据，而这些新的数据正是大数据的价值体现。如今的个性化广告就是一个典型的例子。商家通过分析购买同一种物品的大量买家的其他搜索、购买记录，便有极大可能在这之中分析出其他商品与该商品的相关性；在判定B类商品与A类商品具有购买上的关联趋势后，一旦有买家购买了 A商品，那么平台就会向该用户推荐B类商品。但是，用户并不能得知其中复杂的运算过程。一方面，作为非专业人士，大部分用户不会去了解算法运算的具体过程，而且算法具有机械学习的功能，不同数量和内容的训练数据（training data）都会对算法的运算表现和输出结果产生较大的影响，无法完全准确预测其输出结果。另一方面，完整的算法内容属于商业秘密，亦不可能完整披露。因此，算法的运算逻辑需要经过数据控制者和处理者的加工、处理和翻译，以用户能理解的方式呈现，才能符合GDPR的要求。

其次，“打包式”的同意方式无法涵盖多样化的个人数据。个人数据的范围正在不断地突破技术限制与认知传统，逐渐多样化。一方面，科技的发展使互联网出现了量化一切的趋势，而量化后的信息被转化成各式各样的数据。传统的个人数据受制于存储的途径，数据的类型较为固定，如个人的姓名、住址、身份证号码、工作单位、家庭关系、就医记录等，每条数据的信息量较为集中。而如今，各式各样的信息都有可能被转化为个人数据，除了位置信息、面部识别、搜索记录、购买趋势以及语音聊天内容等被数据化的信息外，个体的社交关系、情绪变化等都有可能被量化并记录下来，成为可二次利用的个人数据。此外，监测睡眠的电子手环、记录热量的营养App等，这也让越来越多的个人数据汇入大数据的海洋。大量的个人数据以各种形式被固定下来，极大提高了隐私风险。另一方面，可识别的个人数据与不可识别的个人数据的界限逐渐模糊。顾名思义，可识别的个人数据即仅通过该条数据便能判断出精确到个人的具体信息，而不可识别的个人数据则不然。但如今不可识别的个人数据可能会在某种情况下具有可识别性。如实名化的社交账号内的搜索记录便具有可识别性，与身份证信息绑定的电话号码也具有了可识别性。鉴于此，虽然数据界限逐渐模糊，但多样化的个人数据仍然应该被分门别类，分别获得数据主体的同意。

同意规则的效力弱化体现了数据主体与数据控制者之间地位的不平等需要数据最小化原则的效力补强。同意规则的效力弱化导致用户政策沦为一纸空文，凭借着用户政策，数据控制者大刀阔斧、毫无节制地收割用户的个人数据。同时，用户也不得不出卖自己的个人数据，以换取使用平台的机会因此有学者认为，应当越过知情同意环节，直接对数据处理环节进行规制。此观点虽然较为激进，但也表明了强调对数据主体的赋权，并不理所当然地对数据主体产生有效的保护。如今，线上社交已经成为最重要的社交模式之一，倘若用户选择不同意该平台的用户政策，则面临着被排除在现代生活之外的风险。要求数据控制者和处理者遵循严格的数据处理规则正是为了调整数据主体与数据控制者之间的不平等关系。

（二）保护个人数据权利的趋向

早在1980年，国际组织便关注到了个人信息的保护问题。经济合作与发展组织（Organization for Economic Co-operation and Development，OECD）为了加强跨境数据的隐私保护、规范个人数据的跨境流动、促进数据流转，制定了《隐私保护与个人数据跨境流动的指导方针》（Guidelines onthe Protection of Privacy and Transborder Flows of Personal Data），确立了个人隐私保护的八大原则。该指导方针是当时国际上达成合意的第一份关于个人隐私保护的法律文件，产生了较为深远的影响。此后，各国开始重视跨境数据以及个人隐私的保护问题。随后，欧洲发现了个人数据自动化处理带来的个人数据安全问题。1981年，欧洲理事会发布了《关于个人数据自动化处理的个人保护公约》（Convention for the Protection if Individuals with Regard to Automatic Processing of Personal Data，以下简称“108 号公约”）。“108 号公约”针对个人隐私信息以及个人数据保护问题创设了统一规则与国际标准，后来经过不断修改与更新，越来越多的国家和国际组织成为“108号公约”的缔约方。“108号公约”为当今欧洲的隐私数据与个人数据保护奠定了重要基础。1995年，欧盟率先针对个人数据的保护问题进行系统立法，颁布了《数据保护指令》（Data Protection Directive，以下简称《指令》）。《指令》对个人数据处理行为进行了全面的规制，而不仅仅局限于该数据处理行为是否为自动化处理。但是由于之后的电子商务发展过快，商业组织以及政府机构利用个人数据的手段日新月异，在现今的大数据时代，《指令》已经不再适用。因此，欧盟于2016年颁布了GDPR，以取代 1995 年的《指令》，对数据处理行为进行了更为严格的规制。自1980年始，保护个人数据的呼声就从未减弱，个人数据的保护问题一直以来都是各国关心关切的问题。

近年来，关于个人数据保护的立法在世界范围内掀起了一波热潮，各个国家的个人数据立法层出不穷。这体现了当今个人数据保护的两个趋势：一方面，个人数据的保护问题不能再依赖于行业的自觉与自治，而必须依赖强效的法律背书，让行业自治向行业法治转变;另一方面，对个人数据的保护也不能仅靠传统的赋权手段实现，必须另辟蹊径，法律层面上需要创设新型的数据处理义务以规制数据控制者和数据处理者。数据最小化原则正是在这样的时代背景下被提出来的，各国的数据立法也广泛采用了这一原则。

二数据最小化原则在欧盟的实施现状

如上所述，GDPR数据最小化原则的存在有其现实意义，技术的飞速发展引发了新的个人数据风险，数据最小化原则的出现响应了保护个人数据权利的呼声。但是，作为新型法律原则，数据最小化原则经过实践的检验，在欧盟地区的具体适用上出现了新的困境：第一，GDPR数据最小化原则的实际效果不佳，数据最小化原则的要求对现有的技术提出了较大的挑战；第二，GDPR数据最小化原则与技术创新并不相容，技术的创新发展需要依赖更多的数据作为技术基础；第三，数据最小化原则无疑提高了欧盟地区数据企业的合规成本，但在无形中也阻碍了欧盟地区以外的企业与欧盟地区国家展开合作。

（一）实际效果不佳

GDPR自面世以来颇受争议，面临挑战的除了GDPR的适用对象外也包括GDPR本身。数据技术的发展势头迅猛，而GDPR作为以规制“数据处理活动”为目的的法律，必然具有滞后性。数据最小化原则作为贯穿GDPR全文的重要原则，在实施的过程中也出现了意料之外的难题而GDPR实际效果不佳的原因，应该从GDPR本身去追根溯源，

首先，GDPR的制度执行机制存在着客观限制，从而制约了GDPR数据最小化原则的实施。GDPR 数据最小化原则对数据控制者所设置的严格义务实际上需要耗费较大的人力、物力以及财力去监管，同时GDPR又赋予了数据主体以较大的数据权利，导致欧盟地区的数据保护机构不堪重负。GDPR面世之际，行业参与者预测GDPR的数据监管机构可能会大刀阔斧地展开大规模的数据合规排查，但实际上欧盟各国的数据监管机构的调查进度却相对比较缓慢。要面对合规挑战的不仅有数据控制者，还包括需要根据GDPR进行执法活动的数据监管机构。

其次，对于数据最小化原则的理解也是数据最小化原则实施的难点数据最小化原则的表述较为笼统和模糊，作为统领GDPR的原则之一，其天然具有原则条款的模糊性，鉴于数据处理活动本身所具有的场景化特性，该原则也不宜过于具体、细致。GDPR本身并未在技术层面作出具体的指导，现有的模型是否符合GDPR数据最小化原则的相关性、充分性和必要性要求并不清晰明朗，技术人员要想切实、具体地采取措施以符合GDPR数据最小化原则也较为困难。在实际操作中，数据最小化的评估也同样具有场景化的特点，需要根据不同的处理目的、处理场景、个人数据的特征等进行个性化分析。大数据的价值不仅体现在数据的数量上，还体现在处理数据的速度上，而实现如此高速的分析需要依赖算法。对于数据最小化原则的具体实现，依赖人工逐个逐条筛选分析的可操作性不高，因而需要算法判断，即自动化合规（automating legal compliance）。要在不同的情境下自动分析哪些数据应该被剔除、被隐藏，实际上需要耗费极高的成本，这对于中小型数据企业的生存而言，是极具打击性的。就技术层面而言，当没有办法预测可能被潜在搜集的数据时，在算法设计阶段很难实现数据最小化原则。

最后，数据最小化原则在适用过程中容易被其他数据处理原则吸收。数据处理活动的特点是复杂、交错及综合的，一个数据处理行为可能会触及多个处理原则，当数据处理违规行为存在重叠的违规性质时，一个原则就容易将另一个原则吸收。中兴通讯数据保护合规部与数据法盟联合发布了《GDPR 执法案例精选白皮书》，其中呈现了GDPR自施行以来的数十个典型案例，里面提及数据监管机构的执法重点就在于GDPR第5条所列明的七大数据处理基本原则，其中触犯频率最高的原则是完整性和保密性原则，其他原则的违反情况则相对较少。以捷克公司Nature Med Pharma-ceuticals被罚款一案为例，该公司是一家食品经销商，采用个性化广告的方式向用户推销产品，而用户的个人信息除了来源于本身在该公司消费过的老客户外，还包括了来自第三方数据库的外部客户信息。然而，大量用户投诉该公司的营销模式，原客户反映称已经修改过了自己的初始的用户同意，不应该还出现类似的个性化广告，而新客户则并不知情自己的信息已经被“卖”给了该公司，质疑该公司获得个人信息的途径是否合法。最终，捷克数据保护监管机构对该公司作出罚款决定。在此案中，利用用户的个人数据进行个性化广告推送，属于超出原有数据处理目的、非必要的个人数据处理，而非必要的个人数据处理行为需要获得用户的明确同意。原客户修改或者撤回用户同意后的个人数据处理活动，已经不符合数据最小化原则的必要性要求。但是，在此案中捷克的数据保护机构的处罚依据并不包含GDPR第5条（c）款的数据最小化原则。

（二）技术创新较慢

2020年6月，欧洲委员会发布了名为《数据保护是增强公民赋权和欧盟实现数字化转型的基础——GDPR实施两年》的内部评估报告，在GDPR实施的两周年，欧盟首次对GDPR 进行评估和审核，报告里面提及了GDPR对技术创新的影响。报告指出，GDPR颁布实施以来，对企业的技术创新所产生的影响是积极的。其强调，包括数据最小化原则在内的个人数据处理原则是保护个人数据的重要基础，同时对数据市场正常发展也发挥着至关重要的作用。欧洲委员会认为，GDPR并没有限制技术的发展，其所采取的是技术中立的措施（technologically-neutral approach），并且在新冠病毒大流行期间成功地在合规的情形下监测到了病毒的流行情况，同时也让企业重新思考了自身的个人数据保护的措施是否合法以及合理。

尽管欧盟的评估认为包括数据最小化原则在内的GDPR并没有损害技术创新的活力，反而对技术创新产生了正面的影响，但是在GDPR实施一周年之际，美国智库——信息技术和创新基金会（Information Technology and Innovation Foundation，ITIF）却发布了一篇名为《GDPR 实施一年以来的影响》的报告，并在报告中言辞犀利地指出GDPR所设立的数据处理原则损害了欧盟的数据企业。报告指出，从风险投资的数量、投资的金额、企业的交易数额等数据可以看出，GDPR的实施损害了处于起步阶段的科技企业（tech startups）的利益，同时也损害了数据广告市场的竞争力，不利于企业之间的良性竞争。在另一篇名为《欧盟新的数据保护法规对 AI的影响》的报告中，ITI再次指出GDPR抑制了人工智能技术的发展。报告中提及，GDPR严格限制了未经同意擅自修改数据处理目的的行为（repurposing data），极大地限制了数据的二次利用，大大减缓了人工智能技术的发展。

欧洲内部同样产生了负面的疑虑，认为数据最小化原则对人工智能技术的发展也产生了负面的影响。欧盟数据与市场联盟（Federation of European Data and Marketing）称，GDPR 对人工智能技术而言，属于“搬起石头砸自己的脚”数据最小化原则的相关性要求规定个人数据的处理行为必须与原先的数据处理目的有关联，这与人工智能技术的发展路径并不相容。人类之所以属于高级动物，最重要的特征便是人类大脑的思考功能，而人类对人工智能的开发便是希望赋予机器“思考”的功能，以祈求其获得如同人类一般的思考功能。与多见的基于机器学习的算法不同人工智能是基于深度学习（deep learning）的算法而逐步发展的，而算法深度学习的功能需要大量的数据进行训练，而这些数据的处理目的未必一开始便设置为为人工智能技术发展服务。2017年，英国便发生了类似的情况。伦敦皇家自由医院曾计划使用本院患者关于肾脏疾病的诊断数据，来测试诊断肾脏损伤的人工智能工具。但在进行的过程中，该医院才发现该行为与现有的数据保护规则并不吻合。基于治疗目的而进行的健康数据搜集行为与基于改进人工智能工具的医疗功能而进行的健康数据处理并不属于同一个数据处理目的，若医院方希望二次使用这些患者的医疗数据则需要重新征求患者的同意，否则，就属于超出了搜集数据之时所约定的最小限度。事实上，GDPR所引发的隐私恐慌也确实正在影响着某些医疗项目的持续研究，个人有权利要求医疗机构删除其医疗记录或者不允许二次利用其医疗数据，而且数据最小化原则也要求医疗机构需要征得患者的二次同意才能使用他们的医疗数据，这阻碍了很多医疗研究项目的开展除人工智能外，另一项重要的大数据技术——区块链技术，也因为GDPR的出现而岌岌可危。大量的个人数据支撑着区块链技术的发展，而区块链技术的发展也会提高个人数据的保护技术。GDPR数据最小化原则的出现可能会阻碍这一技术的发展。

数据最小化原则的本意在于保护个人数据，乃至保护个人的安全与自由，但是过于严苛地执行数据最小化原则反倒会拖慢技术的发展进程。如今的人工智能技术已经渗透到社会的各个领域，不仅包括生活的衣食住行方面，还包括医疗、法律等领域。如此看来，对个人数据的过分保护反倒造成了影响医疗等重要民生领域的技术发展的不良后果。

（三）合规成本较高

2018 年5月 11 日，法律新闻网站Above the Law发表时评，指出GPDR正在瓦解互联网。同时，该网站指出，“Ragnarok Online” “Unroll. me” “SMNC” “Tunngle” “SteelRoot”等网站由于飘忽不定的合规标准以及过高的合规成本，已经终止向欧盟用户提供网络服务，以求及时止损。法律作为强效的社会规则，任何的变动都有可能对社会、对市场造成冲击，为了适应法律的调整，社会主体必须不断地改变以求符合法律的要求。数据合规的成本比想象中要高出许多，在GDPR所设置的复杂、严苛的数据处理规则之下，欧盟数据企业的数据合规成本较为高昂。数据最小化原则的算法依赖性以及模糊性，无形中也提高了企业的合规成本与违规风险主要体现在以下几个方面。

第一，对算法的开发与干预提高合规成本。要充分满足数据最小化原则的要求，需要对算法进行更新、修正，以期达到自动化合规的效果。而算法的开发需要投入大量的人力物力与财力。对于大型的数据企业而言其尚有较充足的合规预算与开发预算，而对于中小型企业而言，则可能无法完成对新算法的开发或对旧算法的修改。GDPR所针对的并不一定是数据企业，而是主要针对个人数据的处理行为，但有的企业并没有开发或修改算法的能力。同时，数据最小化原则的相关性、充足性以及必要性的判定具有较为明显的场景化特征，尽管对底层算法的修改可能会使对个人数据的使用更加贴近GDPR的要求，但仍可能无法避免地需要大量的人工干预，而要求数据控制者手动审查算法决策无疑会大大增加运营的成本。算法的主要特征就是可以快速、大量地处理人类无法处理的数据，而数据最小化原则对数据控制者所提出的要求将会显著地提高合规成本，且会降低工作效率。

第二，企业的人事调整提高合规成本。要想满足GDPR所规定的要求，不仅要对企业内部的管理进行大量的调整、增加个人数据保护专员还要加大对算法更新的投入，而如此高额的投入并不能得到市场的直接反馈，只能维持继续存活于市场的资格。基于此，不少境外主体选择直接退出欧洲市场，而不再花费高昂的成本来进行数据合规。高昂的合规成本对中小型的数据企业造成致命的打击，而数据巨头企业则因为有较高的合规预算、充足的人员配备从而能继续在市场上生存，并逐渐占据更大的市场份额。GDPR数据最小化原则作为GDPR的限制性原则之一，也应为这人为的“马太效应”负责。数据最小化原则一方面强化了数据控制者的义务，要求数据控制者不能超范围处理个人数据，且需要配合GDPR赋予数据主体的新型数据权利来作出各种调整；另一方面数据最小化原则也限制了某些以大数据为基底的技术创新，从而进一步打击了中小企业的市场生存能力。因此，对于数据市场而言，GDPR强化了数据巨头在市场中的支配地位，又挤压了中小企业的生存环境，变相恶化了数据企业的竞争环境，更毋谈培养有利于中小企业良性发展的友好营商环境。网络市场集中度的提高，是GDPR高昂的合规成本所带来的不可预料但是又不可避免的结果。

第三，违规产生的罚款成本与应诉成本。除了上述的主动合规而产生的合规成本以外，因违反数据最小化原则而产生的被动合规成本也不容小觑。GDPR的规则非常复杂，稍有不慎便会触碰到规则的边界，而较为糊的数据处理原则也赋予了执法主体较大的解释空间，数据控制者将长期处于随时可能违规的被动状态，这对于被执法主体即数据控制者而言是非常不利的。面对较高数额的处罚结果，被处罚主体往往对处罚结果不服，从而寻求救济途径。如CNIL和Google一案中，谷歌公司对CNIL，的处罚结果不服，提出上诉。在上诉过程中，必然会附随着高昂的应诉成本。

三数据最小化原则在欧盟实施困境的成因

上述GDPR数据最小化原则所带来的困境，有其现实的成因。首先模糊的义务边界阻碍其有效实施：其次，过于严苛的执行标准导致技术创新的活力较低；最后，数据主体与数据控制者的地位失衡，提高了合规成本，阻碍了中小企业的发展。

（一）模糊的义务边界削弱其有效性

GDPR数据最小化原则给数据控制者设置了一条处理个人数据的边界，即以数据处理目的为限度履行其作为数据控制者的义务。而行义务的效果除了依赖于数据控制者所采取的措施外，也取决于数据最小化原则的解释是否足够清晰。一方面，数据最小化原则的内容指向并不明确，在处理的过程中，数据的性质是多变的，何种数据应该被“最小化”、在数据处理链条中哪个环节应该被“最小化”等问题给数据最小化原则的实施造成一定的阻碍;另一方面，数据最小化原则的目的指向也缺乏规制数据最小化原则以数据处理目的为边界，但是数据处理目的并不是一成不变的，且处理目的可能有多个，因此也会造成数据最小化原则的范围指向不明确。

1. 数据最小化原则内容指向不明

GDPR数据最小化原则一般被理解为，最小化的应该是数据的总量，但是，若从最小化的结果去做延伸理解，最小化的要求可能还包括对个人数据的特殊处理以及在不同阶段对数据的不同处理强度。一方面，数据最小化原则在实施时要厘清哪些数据应该被隐去。GD-PR 数据最小化原则的侧重点其实在于个人数据，而非个人隐私。最典型的例子便是人名。在一般情况下，人的名字是经过行政登记的公开信息人在一般情况下也不会刻意隐瞒自己的真实姓名，但是在数据最小化原则的要求下，倘若在匿名化处理的情况下也能得出在搜集、使用、处理用户姓名情况下的同样的处理结果，那么此时搜集、使用和处理个人姓名的行为便违反了数据最小化原则的要求。这意味着，即便某些数据可能并不属于纯粹的个人隐私范畴，但也仍然在数据最小化原则所设定的合规范围内。因此，要判断哪一种类的数据应该被隐去是存在极大不确定性的，这需要综合判断处理目的以及豁免的情形。

敏感数据是数据最小化原则的关注重点，作为个性化广告、用户画像分析的重要原料，用户的明确同意是处理敏感数据重要的合法性基础。而如今“知情—同意”模式的效力岌岌可危，敏感数据使用的合法与否已经成为未知数。如今，大量的敏感数据在未经处理的情况下得以使用，一旦用户协议被判定为无效，数据控制者就将面临巨大的责任与风险。在用户协议效力待定的情形下，敏感数据是否应该大规模隐去也是未知数，因为敏感数据所指向的个性化广告、用户画像分析等是商业主体重要的利益来源，大量的数据控制者正是依赖于这种反作用于特定数据主体的个人数据来获取较大的商业利益的。

另一方面，也需要分清数据处理链条中的所有环节是否应该统一适用数据最小化原则。数据处理遵循“搜集”一“处理”一“输出”一“储存”的处理链条，而要求数据控制者在数据处理的所有环节都严格遵守数据最小化原则是较为不现实的。如上所述，不同的处理目的所覆盖的个人数据种类有可能是重合的，这就会造成在几个处理目的重叠的情况下,搜集的个人数据范围会非常广阔，甚至出现搜集了所有类型的个人数据的情况。而单纯减少搜集的数量并不能真正实现数据最小化原则所预设的“不影响技术创新”前提下的结果。

2. 数据最小化原则范围根据不同使用目的而变动频繁

法律层面与技术层面的断层，为GDPR数据最小化原则带来了挑战。GDPR数据最小化原则是围绕数据处理目的展开的，这就要求数据控制者在进行数据处理前需要预先设定处理目的，换句话说，即需要准确地预测算法的运算。但是，不同的用户在使用同一个平台的时候其使用目的未必相同。这就要求，数据控制者必须分别根据不同的使用目的的限制去搜集不同的个人数据。但是，不同目的所涵盖的个人数据范围有可能交叉、重合，甚至可能会出现搜集了所有的个人数据视情况而使用的情形。而要在极短的时间内对不同的用户需求实行“具体问题具体分析”的措施来判断不同的目的搜集的个人数据的范围到底有多大，需要较为成熟、复杂和精细的算法运算。数据最小化原则在很大程度上依赖于底层算法，而算法的具体表现又依赖于输入的数据。复杂的算法模型不仅需要有昂贵的设备、专业的人才作为技术支撑，还需要大量的训练数据用以训练算法。此时，大量的个人数据会成为算法的训练数据。如果更大、更复杂的算法模型授予数据处理器搜集更多数据的权利，那么能够负担得起昂贵基础设施的科技公司是否能够合法地搜集更多的个人数据？在大量的个人数据都成了训练数据的时候，就难以判断哪些个人数据应当被“最小化”，因为被排除在外的某项个人数据也有可能是训练数据之一。因此，针对单个用户实行数据最小化也有可能会影响到整个数据最小化算法的运作。

此外，用户所授权的数据处理目的也有可能随时变更。如地图软件等应用软件，会搜集用户的实时地理数据用以提供导航服务，但是用户们可以选择是否在使用期间允许地图软件搜集实时地理位置数据。由于软件每次的使用目的不同，地图软件的用户所授权的范围也有所不同，因此该软件应遵守的最小数据原则也会依据不同使用目的而变动。

（二）严苛的最小数据钳制技术创新

规则被创建的意义在于执行，具体的实施标准、重点环节、执法力度甚至执法频率等都会对规制对象产生极大的影响。大数据就像是一个深不见底的钻石矿，大数据的价值需要不断地被挖掘、被发现。在挖掘的过程中，并不能得知大数据的所有价值，也无法得知何时才能挖掘到大数据的其余价值。过去，数据的存在意义较为单一，一旦数据完成了其首要的价值，便失去了保存的价值。而如今，数据的真正价值往往在二次开发，即数据的再利用中体现。因此，在大数据时代，依赖于大数据的技术创新总是出乎人们意料的，而已有的技术也许只是大数据价值的冰山一角。

数据的二次利用体现了大数据的真正价值。如谷歌公司曾经重复使用搜索关键词来预测流感的传播。在甲型H1N1流感暴发前的几周，谷歌公司的工程师们便精准地预测出了流感的存在，具体到特定的地区。而谷歌公司之所以能做到对流感暴发的预判，是因为谷歌公司把与流感有关的搜索词条的信息与流感的流行趋势结合在一起，通过庞大的数据资源、强大的数据处理能力以及先进的统计技术，将用户们搜索最频繁的词条与疾控中心过去所统计的流感数据做对比，从而判断出二者之间的关联关系，并通过这一发现来预测未来的流感趋势。谷歌公司的此种预测方法难以复制，最主要的原因便在于谷歌公司拥有极其庞大的数据资源，通过对那些看似无用的搜索词条进行创造性的二次分析与比较，谷歌实现了预测流感的功能。与谷歌公司预测流感的例子相似的，还有丹麦癌症协会证明使用手机与脑癌无关的例子。丹麦癌症协会通过分析手机号码以及国家癌症登记处的信息，对 30多万名丹麦手机用户的个人信息进行了分析。通过手机号码以及社会安全号码所记录的公民癌症信息可知，使用手机与脑癌并没有相关关系。上述两则例子都证明了在某些时候，这些处理信息的方法并不是任何一方数据处理参与者在搜集信息时就预期到的，而是对已搜集的个人数据的创新性再利用。

严苛地执行数据最小化原则会限制数据的二次利用。在上述例子中，在没有预设数据处理目的情况下，二次利用个人数据的研究可能会不符合GDPR数据最小化原则的要求。谷歌公司若想利用几千万个谷歌用户的搜索词条数据，则必须单独地向几千万个用户发放新的用户许可同意书，以征得他们的同意。这不仅极大地提高了数据利用的成本，同时研究的效率也会大打折扣，减损了此项研究最重要的特征——时效性。在大数据时代，技术创新体现为对数据的利用技术创新以及以数据为研发基础的科技创新，而数据的使用量级以及使用时效都在其中占据重要的地位，发挥着无可替代的作用。过于强调数据的个体主义，导致我们忽略了个人数据的公共性质。GDPR数据最小化原则提高了数据再利用的门槛，过于严苛的合规责任将导致二次利用数据变得非常困难，抑制了数据领域的创新活力，这既不合理，也不现实。以往数据的二次利用并未有专门的限制性规定，而如今包括数据最小化原则在内的限制性数据处理原则将会限制企业在欧盟开发或利用人工智能改善和创新其服务功能的能力和速度，阻碍数据发挥集合效益和规模化效应。

（三）数据权利的失衡提高合规成本

过高的数据合规成本，归根到底是各方数据参与者之间数据权利的不平衡所导致的。这不仅体现在数据主体与数据控制者之间，还体现在大型数据控制者与小型数据控制者之间。

第一，数据主体与数据控制者之间的权利并不平衡。GDPR赋予了数据主体较大的信息自决权，并创造性地规定了许多新型数据权利--被遗忘权、数据携带权、删除权、修正权等。新型的数据权利相对增强了数据主体与其自身所产生的个人数据之间的黏性，个体对个人数据的控制能力在GDPR的授权下有所提高，这不仅仅包括个人隐私数据、健康数据等敏感数据，还包括搜索记录等“数据废气”。与之相对的，数据控制者则被施加了更大的数据处理限制以及更高的惩戒成本。数据最小化原则作为目的限制原则的延伸原则，其最小化范围与处理目的密不可分，用户的许可是数据处理最重要的合法性基础。若要严格执行数据最小化原则，在进行不同的数据处理行为的时候就需要不断地取得个人同意，将新的数据处理行为置于用户同意的合法性基础之下。即便在没有技术障碍的情况下，要想实现此种大规模的同意，要花费的成本也是不可估量的。数据最小化原则尊重每个个体的数据自决权、保护个体人格尊严不受侵犯，但这并不意味着个人对其所产生的个人数据拥有绝对的支配性权利。数据最小化原则所体现的是对个体合法数据权益的保护，但不能与个体能控制信息本身画上等号。如今，对个人信息的保护颇有演变成个人对信息的绝对控制的趋势，而这样的趋势与权利倾斜在无形中提高了处理个人数据的主体的合规成本。

第二，大型数据控制者与小型数据控制者之间的合规能力具有较大的差异。大型的数据企业在应对数据合规的时候，具有更高的合规预算、更多的专业人员以及更丰富的行业资讯，比起小型的数据企业而言，具备更显著的抗风险能力。尽管在法律意义上二者的权利义务是平等的，但是在事实层面，较大的实力差距造成了“强者越强，弱者越弱”的局面。由于技术的发展，数据的存储以及处理成本大幅下降，在一定的范围内，数据巨头与小型数据企业所能掌控的数据量级是可以重合的。但是相同量级的数据所带来的合规成本对于不同公司而言，所带来的冲击却是不同的要完全符合数据最小化原则的要求，需要耗费极大的人力、物力和财力，如前所述，大企业有较高的合规预算，而小企业却难以应对这较高的合规成本。数据最小化原则的初衷在于限制拥有大量社会资源的数据企业过分挖掘公民的个人信息，但是现在仿佛成了为大型数据企业扫清市场竞争对手的“工具”。

第三，合规成本的不均，还体现为上游数据控制者与下游数据控制者间的成本转移。在数据市场，数据的搜集并不一定采取“数据主体一数据控制者”的采集模式，中间可能会产生“数据控制者1—数据控制者2—数据控制者3”的数据传输模式。处于下游的数据控制者可以从接近数据主体的上游数据控制者处获得数据。如谷歌公司可以向医疗机构提供用户的医疗搜索记录、电子通信公司可以向地图软件提供用户的位置信息以呈现实时的交通情况、购物平台可以向下游公司提供用户的购买信息等。在数据最小化原则的限制下，上游公司为了降低合规风险，可能会暂停此类数据的转移或出售，而位于下游的企业则会因此损失大量数据原料。对于中小企业而言，数据原料可能是其赖以生存的重要资源。

结语

如今，数据经济已经成了全球化竞争中的利器，无论是国家、社会还是企业和个人，在如今的信息化社会中都或多或少地获益于数据经济而GDPR数据最小化原则的出现必然产生不可忽视的实际影响。毋庸置疑的是，在当今时代，数据经济的发展势如破竹，无法阻挡，未来也必然继续高歌猛进，但个人数据保护同样不应被忽视。数据最小化原则确实存在诸多适用上的困难，但这种困难不应成为摒弃数据最小化原则的理由，而应成为人们更好地利用数据最小化原则规制数据经济、令其有序发展的突破口。

《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》等一系列法律法规的正式出台，也意味着我国在快步进入数据治理时代。随着世界走向数据化、数据走向全球化，中国作为世界大国，其拥有的数据体量以及数据价值是不可估量的。认真理解、对待数据最小化原则，吸取欧盟的数据治理经验，寻求可行的本土化路径，以求实现维护保护个人数据与促进数据流通之间的平衡，对我国数据治理的可持续发展也大有裨益。

由于篇幅过长，故省去文章注释及表格

如有需要，可关注订阅《国别和区域研究》集刊

来源：《国别和区域研究》（2024年第1期，总第23期）

排版：白若煊