欧盟《一般数据保护条例》(General Data Protection Regulation,GDPR)作为兼具"经济性"与"行政性"的数据保护立法,将"经济性"作为制度设计的重点,对于数据处理主体采用了控制者与处理者的二元划分法。相比之下,我国2017年《个人信息保护法(草案)》中信息(数据)处理主体被划分为国家机关与非国家机关,侧重于"行政性"的制度架构,这样尽管强化了对国家机关数据处理行为的规制,然未能精准锁定数据保护立法的症结。而GDPR在引入民事法律规范参与规制的同时,更加符合当前数据保护立法的规制需求,更加适应互联网主导下的数据处理架构。引入并融合GDPR二元划分法形成纵横二元划分的立法模式,可以在保留我国制度优势的基础上,解决数据处理实践中的委托处理等现实问题。这一做法具有必要性也具有可能性。

• 单位
  复旦大学