對歐盟GDPR反對權的本土主義反思與建議

刁勝先　徐云燕

摘? ? 要：個人數據反對權是GDPR中的重要權利，在實踐中存在案件數量較少、適用情形比較單一、獨立適用反對權條款比例較低等情況。對此，在對其界定、要素、抗辯情形、行使與救濟途徑等進行分析的基礎上，結合我國立法情況，有必要從本土化思維轉向本土主義反思和探討。對于我國的“反對權”，不主張將GDPR反對權本土化以設為獨立的個人信息權利類型，而建議：明確其不是獨立的權利種類而是權利行使方式;明確“反對”是信息自決權的自力救濟方式，以阻止個人信息濫用;明確反對行為的客體既有個人信息處理過程也有處理結果及其運用;設置多層融匯的規范以實現“基本原則—權利義務規則—自力公力救濟—法律責任”的邏輯銜接。

關鍵詞：反對權;GDPR;本土主義;反思;權利義務規則

中圖分類號：D 913? ? ? ? ? 文獻標識碼：A? ? ? ? ? ? 文章編號：2096-9783（2021）05-0045-10

引 言

歐盟已實施的《一般數據保護條例》（General Data Protection Regulation，以下簡稱GDPR）不僅對個人數據1等相關概念進行規定和解釋，還在加強信息主體對自己個人數據自決自控的理念下構建了數據主體的權利[1]。其中，反對權就是重要的一項內容，并與訪問權、數據可攜帶權、刪除權、限制處理權等一起組成GDPR中數據主體的權利體系。我國《民法典》第1037條規定個人信息應受保護，內容包括查閱權、復制權、異議并請求及時更正等采取必要措施權、刪除權，但并未規定反對權。鑒于歐盟GDPR和我國《民法典》同時具有的立法地位與社會影響，對此差異，有必要從本土主義視角思考和研究個人信息反對權，以為我國后續的個人信息法律發展提供參考。

本土主義不同于本土化，因為其出發點與本位思想不同。個人信息保護的立法上，歐美一直在領跑世界，在歐盟1995年頒布的《數據保護指令》（以下簡稱《95指令》）基礎上升級的GDPR對世界的影響尤為重要。我國的一些研究和立法對此難免有借鑒和本土化思考[2]。此處“本土化”思維，是以歐美立法為本位，本土化的權利既來源于該法律權利譜系，既去向上又力求能銜接于該權利譜系的坐標而與之接軌。本土主義則立足于本土，從自身的立法變遷和社會需求出發，哪怕是借鑒和吸收外在的經驗，最終也是服務于自己的發展，而不刻意去迎合外在的坐標體系。可見，個人信息權利的“本土化”思維下，我國的立法難免總是在跟跑，但是“本土主義”視角下，我們則可能會領跑，或者堅持自主跑。比如在個人信息反對權上，我國《民法典》并未跟跑，而是基于本土主義的考量，并未將其作為權益內容加以確定。但是，這是否意味著我國就沒有關于反對權的立法內容呢？或者我國就徹底拋棄反對權呢？其實不然，我國只是脫離了移植、本土化等思維慣性，而是基于自身的國情與需求，表現出本土主義的中國特色的自主考量與規范選擇。

一、GDPR個人數據反對權概析

（一）反對權的界定

反對權是指數據控制者或處理者在對個人數據進行某些特定處理時，該個人數據主體基于對自己個人數據的保護，可以隨時提出反對的權利。

設立反對權的目的在于給予數據主體控制權，肯定和加強數據主體對個人數據的支配權，是一項高度人身性權利。目前信息技術的進步，使個人數據被廣泛而輕易地收集、提供、利用、儲存和傳輸等，同時催生出“信息繭房”[3]2、大數據殺熟等現象，信息主體對個人數據的失控有增無減。正確地實施反對權，可促進個人數據自決理念和權益保障的落實。

1.反對權與反自動化決策權。反自動化決策權是指數據主體有權反對完全依靠自動化處理（包括用戶畫像）做出的對數據主體產生嚴重影響的決策。進一步講，反自動化決策權是反對權行使的一種特殊情況，二者共同構成GDPR第三章的第四節。第一，從權利性質與設立目的看，兩者都屬于數據主體的控制權，是一種私權利，都為保障個人信息利益不受損害而設立。第二，被反對的客體范圍上，反對權的反對范圍包括自動化與非自動化處理，而反自動化決策權僅針對為完全依靠自動化處理（包括用戶畫像）做出的對數據主體產生重大影響的決策[4]，可見前者包含后者[5]。第三，行使方式上，兩者都通過反對的意思表示來主張權利。

2.反對權與人格權。根據GDPR和我國《民法典》的界定，個人信息的實質要件是“識別特定自然人”，帶有很強的人身屬性。與此同時，數據產業的發展，使個人數據展現出很強的財產屬性，可以作為一種財產加以利用，因而兼有人身與財產雙重價值。反對權的屬性與個人信息權一致，對此理論界存在“人格權說”[6]“財產權說”[7]“人格權與財產權雙重屬性說”[8]三種觀點，三種學說以個人信息兼具人格利益與財產利益雙重屬性為共識基礎[9]。那么，在“人格權與財產權”二元體系下，個人信息權如何歸屬呢？其實，個人信息雖然兼具雙重利益的價值屬性，但是兩種利益價值的內在關系并未被大家認識，進而在權利歸屬上難以抉擇。個人信息的兩種價值中，人格利益是第一位的、原始性的價值，財產利益是第二位的、依附性的價值，沒有“識別特定自然人”這一人格價值，個人數據就難有財產價值，而只能作為不能識別的或匿名化的非個人數據，其價值范疇已與個人數據無關。因此，反對權針對個人數據的處理進行反對，應歸入人格權，這樣既表明個人信息兩種價值的關系，又不排斥對個人信息上財產利益的保護。我國《民法典》人格權編也體現了這種思想與路徑，其突出亮點之一就是保護人格權中的財產利益3。

（二）GDPR反對權的要素

1.反對權的權利主體是個人信息主體，簡稱信息主體。GDPR序言第1條第（2）款和第14條規定GDPR保護的主體是自然人，排除了企業、法人與死者。其主要原因在于個人信息權主要保護個人人格利益，企業、法人和死者并無私生活，也無精神痛苦。如果企業與法人信息被非法公開，可通過商業秘密或財產權途徑進行救濟[10]。同時， GDPR也對兒童進行特別規定：兒童處理自己的數據之前需由父母做一個提前判斷4。

2.反對權的義務主體是不特定的多數人，通常表現為個人信息控制者或處理者，可為單獨或共同處理者，通常有自然人、法人、公共機構、代理機構和其他組織。“數據控制者”的概念起源于歐盟的《95指令》，之后便被廣泛使用。但是，隨著大數據時代的到來，GDPR界定的控制者與處理者的區分較難把握，而實踐中控制與處理也通常聚合在同一主體上[11]5。我國《民法典》已拋棄“控制者”這一稱謂，將進行個人信息收集、存儲、使用、加工、傳輸、提供、公開等行為的主體，統一稱為個人信息處理者，該處理者對信息主體行使查閱權、復制權、異議并更正等必要措施采取權和刪除權時具有配合義務，對個人信息安全承擔“安全保障義務”。

3.反對權客體是特定數據處理行為與基于自動化處理的決策行為6。與一般反對權不同，反自動化決策權的客體不是自動化處理行為本身，而是基于該自動化處理而作出的決策行為;該決策行為是對自動化處理結果的一種應用，并且該應用會對數據主體產生法律影響或類似嚴重影響。

4.反對權內容是個人數據主體對特定處理行為可以隨時提出反對。GDPR第4條第2款規定的“處理”7概念繼承了《95指令》中第2條第b項的“處理”概念，包括自動化處理和手動處理[12]。可見，反對權不是單純地保護數據，而是保護整個數據的處理過程。并且也規定了“同意”的標準，但此標準存在“同意失靈”與“同意過度”的雙重擔憂[13]。根據GDPR第21-22條，反對權的內容有如下幾種情形：

第一種，基于事先合法、但事中事后可隨時提出的反對。第6條第1款第（e）（f）項規定了合法處理事項8，但第21條又將其列為可以隨時反對的處理，這可以防止基于法定許可的合法性濫用凌駕于基于數據主體直接同意的合法性之上，所以授予數據主體以事中事后的反對權來修正與平衡。

第二種，基于事先未同意的反對。對于為了直接營銷目的而處理相關個人數據和此類直接營銷相關的用戶畫像，數據主體有權隨時反對。該類處理行為不屬于GDPR第6條“處理的合法性”所列舉范圍，其合法性取決于數據主體的同意。所以，數據主體事先未同意的該類處理，當然可以隨時反對。

第三種，基于公共利益非必要的特定情形下的科學、歷史研究或統計目的的反對9。根據第21條，除非處理對于實現公共利益的某項任務是必要的，在防護措施欠缺、匿名化等去識別的處理方式未優先或未被當然采取等特定情形下，數據主體有權反對處理關乎其權利自由的個人數據。

第四種，對自動化決策的反對，即反對完全依靠自動化處理—包括用戶畫像—對數據主體做出具有法律影響或類似嚴重影響的決策。

（三）針對反對權的抗辯情形

為了利益平衡，兼顧權益保護與信息自由，在GDPR對反對權的設計中，數據主體、數據控制者或第三人利益、公共利益等處于纏繞博弈的狀態。因此，GDPR確立反對權的同時，也對該權利進行限制，規定了抗辯情形，具體如下：

1.控制者成功履行正當性自證義務。根據第21條第1款，針對反對權的第一種權利內容，控制者證明自己具有壓倒性的正當理由而需要進行處理，或者處理是為了提起、行使或辯護法律性主張，那么，反對權被限制，以防止數據主體反對權的過界與濫用。但是，該處何為“壓倒性正當理由”，卻不見明確說明，太過模糊，這為實踐操作留下了困惑和彈性空間。

因此，針對該種反對與限制反對的客體，相關主體的權益博弈如表1：

2.對反對權的第三種行使情形，如果處理對于實現公共利益的某項任務是必要的，則反對權可被抗辯。

3.對于反對權的第四種特殊情形，其適用例外有：（1）決策是合同簽訂或履行所必要;（2）決策由歐盟或成員國法律所授權，控制者是決策主體且已經制定恰當措施保證數據主體權益;（3）決策建立在數據主體明確同意基礎上。對該三種例外情形，數據控制者可以實行自動化決策，但都應承擔采取適當措施以保障主體權益的義務。

該（1）（2）（3）三種例外所規定的決策的基礎不適用于第9（1）條所規定的特定類型的個人數據，即對敏感數據應當禁止處理。換句話，禁止處理的敏感信息，哪怕基于合同的必要、法律授權、明確同意等，都可以對其自動化決策加以反對。但是，禁止處理的情形只要具有第9（2）條（a）點或（g）點規定的條件之一，并且已經采取了保護數據主體權利、自由與正當利益的措施，則不再禁止處理。

（四）反對權的行使與救濟

1.向義務主體行使反對權。一般而言，數據主體可直接向數據控制者等義務主體發出反對的意思表示以行使反對權。根據GDPR第12條第3款、第4款，一般情況下，數據控制者在收到請求起不超過一個月內采取行動;當請求內容較為復雜時，可再延長兩個月。若未采取行動，也應于1個月內將原因通知數據主體。

2.救濟上，GDPR規定了不同情形與方式。首先，可向監管機構申訴，即數據主體主張權利后若數據控制者或處理者未在合理時間內實施有效措施，每個數據主體在不影響任何其他行政或司法救濟前提下有權向監管機構進行申訴。其次，可向法院尋求司法救濟，這包括針對監管機構主張司法救濟和針對控制者或處理者主張的司法救濟。再次，可請求損害賠償。

3.監管上，監管機構對反對權義務主體可進行行政處罰，包括罰款和矯正性權力的行使。其中，GDPR第83條要求監管機構進行的罰款應當是有效、成比例和勸誡性的，并列巨規定行政處罰應充分考慮的11種因素，其中至少有兩項與反對權有關：（1）違反處理的基本原則，比如違反同意的條件，這也是反對權行使的一種情形;（2）違反第12條至22條規定的數據主體的權利，其中第21-22條即是反對權的內容。

（五）GDPR反對權的實證考察

GDPR實施以來，截止到2019年3月，來自27個歐洲經濟區的數據保護機構的統計數據顯示，共上報281 088例案件[14];截止到2021年4月1日，遭受罰款的案例共有294件[15]10。其中，涉及GDPR第21條反對權的處罰為24件，以此為基礎進行實證考察和分析，可得出如下結論：

（1）反對權罰款案件數量較少，但罰款總金額較高。從2018年7月至2021年4月共罰款案例294件，罰款金額488 876 268歐元，其中，以GDPR第21條進行懲處的數量有24件，僅占總數的8.1%，但罰款金額54 825 478歐元，占罰款總金額的10.9%。

（2）處罰的反對權侵權情形以直接營銷目的為主。雖然GDPR規定反對權行使有四種情形，但是現有24件中16件案例，均是對用于直接營銷目的處理的反對。由此可見，反對權行使的其他三種情形，要么不常發生，要么發生后由于容易被義務主體限制和抗辯，因而較少出現。

（3）適用反對權處罰的國家較少且較為集中。截止到2021年4月1日，歐盟27個成員國中，僅7個國家對觸犯反對權的數據持有者進行了處罰。其中羅馬尼亞2例、西班牙8例、意大利3例、法國3例、希臘2例、德國1例、比利時5例。

（4）同時依據其他條款一并處罰的較多。在處罰的24例案例中，只有西班牙2020年7月2日的兩例和2020年7月31日的案例是單獨根據GDPR第21條給予處罰的，其余的同時觸犯其他條款，其中同時依據第7條的12次，第6條11次，第5條9次，第15條11次，第24條5次，第17條、第32條、第23條、第48條各3次，第13條、第14條、第16條與第25條、第28條各2次，第11條、第12條、第31條、第33條各1次。

（六）小結

綜上，GDPR在立法上明確確立了個人數據反對權，并對權利內容分出兩個層面，即一般反對權和反自動化決策權;圍繞權利的行使、限制和救濟，GDPR也做了較為立體和全面的設計。同時，該權利在實踐中也有運用，起到了一定的預期作用。但是，對于該權利的設立，仍有待進一步思考和論證。從實踐考察看，該權利的行使較少發生，適用情形比較單一;在案件數量、獨立適用反對權條款方面，比例也不算大。理論上，該權利獨立存在的必要性、正當性及其性質等，尚有堪疑和探討空間，在我國國情下尤其如此。

二、本土主義下我國個人信息反對權的立法現狀

（一）規范條文梳理

1.《民法典》

《民法典》關于個人信息的條款及與反對權的關聯情況，列表如表2：

綜上，我國《民法典》在賦權條款中沒有確立個人信息反對權，但是在個人信息權益保護的所有條款中，直接或間接地規定有與反對相關的內容，信息主體可以實施反對行為;但反對行為的實施基礎不是反對權，而是基于整體的個人信息權益保障所需，其性質、對象、效果等都有別于GDPR反對權。

2.《網絡安全法》

《網絡安全法》相關條款為《民法典》提供了基礎，該法第43條規定個人對網絡運營者具有刪除與更正請求權，但沒有反對權。第47-48條從管理義務的角度，要求義務主體主動停止相關個人信息處理行為，規定網絡運營者立即停止傳輸，電子信息發送服務提供者和應用軟件下載服務提供者應當履行安全管理義務、停止提供服務等情形。該義務規制的效果與GDPR反對權行使效果契合，但具有消極被動的防御性。

3.《個人信息保護國家標準》

我國2020年新版《個人信息保護國家標準》（GB/T 35273-2020）已經實施，其中第7.4條規定用戶畫像的使用限制，對個人信息控制者作出三方面限制，包括用戶畫像中對個人信息主體的特征描述?、在業務運營或對外業務合作中使用用戶畫像?、授權目的必需之外去識別性使用等方面作出要求。該標準第7.7 條規定了信息系統自動決策機制的使用并明確其注意事項?。這表明，該國家標準不反對、不禁止對個人信息的自動化處理，不反對用戶畫像及其使用，但是同時預見到自動化決策機制和用戶畫像的使用會對個人信息主體和第三人合法權益、國家與社會公共利益造成侵害，因此作出相應的限制性規定。但是，限制性規定采取封閉式列舉方式，表明“自由使用為原則、限制使用為例外”的價值取向，以促進個人信息的自由使用與流動。

第8條列舉的個人信息主體權利有個人信息查詢、更正、刪除、撤回授權同意、注銷賬戶、獲取個人信息副本或傳輸給指定第三方、請求響應和投訴管理八項內容。其中，沒有直接規定反對權，但是“撤回授權同意”的權利意味著對自始同意、但事中事后撤回同意的處理，自然可以反對，但該反對本身不是一項權利，而是行使“撤回授權同意”權利的附隨行為或者應有效力。

4.《個人信息保護法（草案）》

2020年10月，我國審議的《個人信息保護法（草案）》（以下簡稱《草案》）第二章圍繞個人信息處理規則作出了規定。

第一節一般規定里，對自動化決策，要求個人信息處理者承擔保證、說明和提供義務?。同時，信息主體有拒絕權——拒絕個人信息處理者僅通過自動化決策的方式作出決定。此外，原則上不得公開其處理的個人信息，除非取得個人單獨同意或者法律、行政法規另有規定。但是，對于單獨同意和法律法規沖突時，該草案沒有明確何者優先。對于公共場所安裝圖像采集、個人身份識別設備所收集的個人圖像、個人身份特征信息只能用于維護公共安全目的，不得公開或者向他人提供;取得個人單獨同意或者法律、行政法規另有規定的除外。這里，“不得”之行為，也是信息主體得反對的處理行為，只有信息主體單獨同意或法律法規另有規定才構成抗辯。

第二節“敏感個人信息的處理規則”里，處理獲得的同意應為“個人單獨同意”;法律、行政法規規定應當取得書面同意的，從其規定;獲得處理敏感個人信息的“同意”具有附隨義務，即除了本法第18條的一般規定外，還應向個人告知必要性以及對個人的影響。

第三節對國家機關履行法定職責而處理個人信息作了特別規定，包括：依法處理、不超必須范圍與限度、取得個人同意[16]、不得公開或者向他人提供其處理的個人信息、境內存儲和境外提供前風險評估等。

可見，信息主體授權同意處理與法律、行政法規法定許可處理，構成個人信息合法處理的兩大基礎;缺失該基礎，則通常處于“不得”等禁止或反對范圍;對僅通過自動化決策的方式對信息主體做出決定的，尤其明確規定“有權拒絕”。

草案第四章圍繞信息處理活動中的個人權利，首先規定知情權、決定權、限制或拒絕處理權，并明確該權利客體是“個人信息處理”;隨后規定查閱、復制權，更正、補充權和刪除權三項實體權利，以及“對處理規則請求解釋說明的權利”與“行使權利申請獲得受理和處理的權利”兩項程序權利。此處需要討論的是，草案第44條確立了哪些權利？對此至少有兩種看法：一是一種權利，即知情決定權;二是兩種權利，即知情決定權、限制或拒絕處理權。筆者選擇第一種看法，該條僅僅確立了知情決定權，理由如下：（1）立法體例上，《草案》賦予的查閱復制權、更正補充權、刪除權等獨立權利，均通過單獨條款加以確立。（2）“知情”是決定的前提，所以知情權、決定權可以合為一個權利，即“知情決定權”。（3）“知情決定權”行使的正面結果是“完全同意他人對其個人信息進行處理”，該種情況一般不用在條文中特別列出;而“限制或者拒絕處理”是“知情”后作出的一種負面“決定”，包括有限同意處理即限制處理、完全不同意處理即拒絕處理。因此，第44條并沒有將“限制處理”或“拒絕處理”確立為一項獨立的權利，而只是知情決定權的一項權利內容或行使方式，也是該權利消極權能的體現，通常以明示或默示反對的意思表示來實現。《草案》因而沒有對“拒絕處理”單獨設立一個賦權條款，而是規定在“知情同意權”后面作為遞進補充。

（二）小結

綜上，針對個人信息反對權，我國現有立法與GDPR都規定有相關內容，旨在賦予個人信息主體通過“反對”或“限制、拒絕”對其個人信息進行處理的方式，達到從源頭上控制自己個人信息的目的，進而實現信息自決自控的權利。但是，比較可見，中歐立法差異較大，明顯表現出我國已經擺脫“移植”“本土化”等依賴國外立法體系的思維方式，而是基于本土主義的需要和思考，做出了自主的立法設計。結合差異和我國的特有規范，提煉出相關的理論焦點，對此進行思考與分析，有利于確定本土主義下我國個人信息反對權的立法進路，從而有利于我國個人信息保護立法的深化和細化發展。

具言之，有關個人信息反對權的理論焦點有：性質上，個人信息反對權是獨立的權利種類還是僅為權利的行使方式;效力上，反對是對個人信息自決權的自力救濟還是阻卻個人信息處理上的濫用;內容上，反對的客體是個人信息處理過程還是對處理結果的運用;規范上，是單一歸置到權利條款，還是多層融匯在規范的不同部分。對此，在立法、司法和學理中，雖然用語上都可以使用“反對權”一詞，但是因對上述焦點問題的回應有所區別而具有不同內涵。

三、本土主義下我國個人信息“反對權”的立法建議

（一）明確個人信息“反對權”不是獨立的權利種類而是權利行使方式

毋庸置疑，GDPR 用專章專條確立了個人信息反對權的獨立權利地位，并將反自動化決策權作為該權利的一項特殊內容加以明確和細化，在權利主體、客體、內容、限制、救濟與法律責任等方面做出全面設計，這不失為一種創舉。但是，我國立法并未跟風，《民法典》《網絡安全法》并未將其明確為獨立的個人信息權利種類;《個人信息法（草案）》雖然在權利條款第44條使用了“有權限制或拒絕他人對其個人信息進行處理”的表述，但結合整個條文和整個規范來看，與其將此解釋為反對權的賦權條款，不如解釋為“知情決定權”消極權能之描述，正如我國定義物權為“權利人依法對特定的物享有直接支配和排他的權利”，所有權是“所有權人對自己的不動產或者動產，依法享有占有、使用、收益和處分的權利”。草案第44條的“限制或拒絕”就類似于此處的“排他”、“占有、使用、收益和處分”等表述，是對權利的權能加以明確，以指引權利的行使和實現。

筆者認為，我國立法更加符合權利法理。“個人信息反對權”不應成為與訪問權、復制權、刪除權、更正權等并列的權利類型，而是作為抽象整體的個人信息自決權益具備的一項基本的消極權能，與訪問、修改、變更等正面自決的積極自決權能構成一枚硬幣的兩面，是自決權能的反向保障，并貫穿在訪問權等不同的具體權利種類中。如果“訪問”“復制”“刪除”“更正”等是自決權能的正面體現，基于行為方式與保護法益不同而成為各自獨立的權利內容，那么“反對”“拒絕”就是自決權能的反面體現，是這些獨立權利共有的反面消極權能，其保護的法益存在于所有個人信息權利種類中，屬于“公因式權能”，為正面權能的“不同自由領地”起到“戍邊”的保障作用，恰如所有物權都具有的“排他”作用，因而不具獨立性。

（二）明確“反對”是信息自決權的自力救濟方式以阻止個人信息濫用

GDPR將反對權規定為個人信息自決權的一項子權利，與訪問權等并列，由權利主體主動啟動。結合我國相關規定，筆者認為，與其說反對權是獨立的權利類型，不如說是信息自決權的自主救濟方式。

1.從內容上看，信息自決權的內容，根據不同的處理范圍而分為訪問權、更正權、數據可攜權、刪除權等子權利，而反對權的客體是違反所有權利要求的處理行為，對所有處理權都具有救濟意義。

2.從性質上看，訪問權、更正權、數據可攜權、刪除權等子權利是依靠信息自決權的積極權能、主動要求義務主體為一定積極行為才得以實現的正面內容，所以根據處理行為的性質不同而被劃分成不同的、各自獨立的權利種類。但是，反對權是為維護信息自決權而要求他人不得為處理行為的消極權能，是為確保信息自決權正面內容得以維護或實現的一種方式;當正面處理范圍被侵害后，信息主體得以實施“反對”行為加以矯正，使正面處理權回歸應有范圍，因而“反對”是為其他權利服務、阻止個人處理權利被濫用的救濟方式。

3.從客體上看，反對權反對的不是合法、有權的個人信息處理行為，而是不合法、無授權的處理行為。但是，個人信息自決權的客體是合法、有權的處理行為，是權利主體依該權利可以為或不為、可以授權他人為或不為一定處理行為的自由，該行為自由均在合法、有權的范圍內。可見，反對的客體不在信息自決權的正面范圍之內，而是在此外圍，以清除和防控不合法、無授權的處理，為權利“戍邊”以保駕護航。

（三）明確反對行為的客體既有個人信息處理過程也有處理結果及其運用

反對行為的實施，自然以符合反對的條件為前提。其中，對反對的客體特別需要加以明確。從GDPR規定看，一般反對權反對的是不合法、無授權的特定個人信息處理行為，而反自動化決策權并不反對自動化處理行為，而是在該自動化處理基礎上的決策行為，即對自動化處理得出特定結果并加以運用的行為。該規定反映出，反對的客體并非一刀切，而要根據具體情況具體決定。在我國將“反對”定性為權利行使的消極權能或自力救濟方式的建議下，反對行為的客體應當與得以反對的權利基礎一致，即被反對的個人信息處理違反了相應的權利范圍。至于反對的客體是處理行為本身，或是行為結果，亦或是行為結果的運用，也要在不同權利的不同行使情形中加以確定。

（四）設置多層融匯的規范以實現“基本原則—權利義務規則—自力公力救濟—法律責任”的邏輯銜接

個人信息權益的保障，需要綜合立體的法律規范體系和協調聯動的法律實施體系。為落實“反對權”的效果，也需在該理念指導下，設置多層融匯的規范，在“基本原則—權利義務規則—自力公力救濟—法律責任”的邏輯鏈條下，實現有機銜接和有效落地。

1.基本原則—權利義務規范—自主救濟。合法處理與授權同意處理的原則下，正面肯定信息主體的信息自決權，包括知情同意權、訪問權、復制權、更正權、刪除權等內容;同時從反面蘊含個人信息處理者的合法和有權處理義務，違反該義務，即沒有合法依據或無權處理則構成義務違反，權利主體可啟動反對方式以阻止相關處理，從而救濟和維護信息自決權的相關內容。

2.人格權禁令。當個人信息處理行為不合法或未取得授權，符合條件的?，可申請人格權禁令，以借助公權力表達反對的方式來救濟自己的權利。當然，這不影響信息主體可同時進行自力救濟，向行為人提出反對。

3.法律責任。直接反對或申請人格權禁令，即不論自力救濟還是公力救濟，都是以反對的方式及時止損、預防損失擴大，但其本身不能補償已經造成的損失，所以需要民事賠償責任來確保損失得到補償，并以行政處罰甚至刑罰來威懾和規范處理者的處理行為。法律責任的落實，是反對權行使效果的應有保障，可確保“基本原則—權利義務規則—自力公力救濟—法律責任”鏈條的完整銜接和實際落地。

結? 語

我國個人信息法律保護的立法是一個系統的工程和逐漸完善的過程，并且需要立法、司法和法理等方面協同支撐。就反對權而言，上述建議僅限于對我國是否應確立反對權、對反對權如何定位定性等方面做出的局部思考，其他內容還需學界進一步深入和全面地探討。

參考文獻：

[1] 京東法律研究院主編.<一般數據保護條例GDPR>評述及實務指引[M].北京：法律出版社，2018：58.

[2] 文銘，易永豪.論被遺忘權的本土化移植[J].重慶郵電大學學報（社會科學版），2020（6）：79.

[3] 許竹.微博的“信息繭房”效應及其思考[N].新聞愛好者，2018（2）：55-58.

[4] 唐林垚.“脫離算法自動化決策”的虛幻承諾[J].東方法學，2020（6）：21.

[5] 張建文，李錦華.歐盟個人數據保護法上的反自動化決策權研究[J].重慶郵電大學學報（社會科學版），2019（2）：27.

[6] 于向花.被遺忘權研究[D].吉林：吉林大學，2018.

[7] 劉德良.個人信息的財產權保護[J].法學研究，2007（3）：80.

[8] 張濤.個人信息權的界定及其民法保護——基于利益衡量之展開[D].吉林：吉林大學，2012.

[9] 王鵬鵬.論個人信用信息公開的私法規制[J].北京理工大學學報（社會科學版），2020（3）：144.

[10] 王澤鑒.人格權法：法釋義學、比較法、案例研究[M].北京：北京大學出版社，2013：229.

[11] 劉學濤，張翱鵬.被遺忘權的制度缺失、發展困境與中國構建路徑[J].重慶郵電大學學報（社會科學版）， 2019（3）：50.

[12] 金晶.歐盟<一般數據保護條例>：演進、要點與疑義[J].歐洲研究，2018（4）：17.

[13] 翟相娟.個人信息保護立法中“同意規則”之檢視[J].科技與法律，2019（3）：58.

[14] 中興通訊.GDPR 執法案例精選白皮書（2018.5-2019.5）[EB/OL].（2019-9-15）[2021-04-06] https：//www.vzkoo.com/doc/6111.html？a=3.

[15] 中興通訊.GDPR 執法案例精選白皮書（2019.5-2020.5）[EB/OL].（2020-9-17）[2021-04-06] https：//www.doc88.com/p-37439707051450.html？r=ref-https%3A%2F%2Fwww.baidu.com%2Flink%3Furl%3DO7UKcDz5 FZBeee29yNMxmzw583GO6rmEiEGCvPb1o_KumIOGjN hIGNlEz2KzSaESl8jibM30aghgHMAsb_Blcq%26wd%3D% 26eqid%3Dbcc0c93c0000fa1300000006606c1fbb.

[16] 趙龍.個人信息權法益確證及其場景化實踐規則[J].北京理工大學學報社會科學版，2021（1）：13.

The Nativist Reflection and Suggestions on the Right to Object in EU GDPR

Diao Shengxian， Xu Yunyan

（School of Cyberspace Security and Information Law， Chongqing University of Posts and Telecommunications， Chongqing 400065， China）

Abstract： The right to object to personal data is an important right in GDPR. In practice， the number of related cases is small， the application situation is relatively single， and the proportion of independent application of objection clauses is low. In this regard， based on the analysis of its definitions， elements， defenses， exercise and remedies， and combined with our country's legislation， it is necessary for our country to shift from localized thinking to nativist reflection and discussion. Regarding China's "right to object"， it is not advisable to localize the right to object in GDPR as an independent type of personal information rights. Instead， it is recommended that we should clarify that right to object is not an independent type of right but the way to exercise the right; clarify that "objection" is the self-relief method of information self-determination to prevent the abuse of personal information; clarify that the object of the "objection" includes both the personal information processing process and the processing results and its application; and set up multi-level convergent norms to realize the logical connection of "basic principles-rules of rights and obligations-self remedy and public remedy- legal responsibility".

Key words： right to object; GDPR; nativism; reflection; rules of rights and obligations