在制度架构层面，GDPR设计了一系列原则，包括透明度原则、合法原则、公平原则以及目的限制原则等控制个人数据处理；赋予个人数据主体访问权、更正权、被遗忘权、限制处理权、数据可携带权、反对权以保证个人对数据的控制；从数据的初始收集上要求数据收集者必须经个人同意才可进行收集行为。但是GDPR并未明确数据的权利归属，也未明确数据赋权的标准，只是规定了一个富有弹性的问责制：谁控制，谁负责。数据从产生到使用包括数据抽取与集成、数据分析、数据解释三个流程^[30]，虽然三个阶段的控制主体会出现重合，但是在更多情形下会出现分离，导致侵害个人数据的行为与数据控制行为相悖，个人信息安全的救济就没法进入规范设置的场域。

中国现有的个人数据保护规范（《中华人民共和国网络安全法》《互联网个人信息安全保护指南》以及2019年10月1日实施的《贵州省大数据安全保障条例》）对个人数据安全保障做出的努力大都是技术方面的要求，技术上的监管虽然可以在一定程度上和在一定阶段中实现个人隐私保护的目的，但是同样在制度建构上对大数据权利的归属采取了回避态度。

1.信息不对称架空“知情—同意”规则

在大数据与个人信息保护的冲突的命题上，GDPR区分了已经被收集的数据和即将收集的数据类型。针对即将被收集的数据，从权利客体上建构的努力大多都是以数据主体享有隐私权作为实现个人数据的保护制度架构，将隐私权保护客体扩张至信息。^[31]但是无论权利客体如何扩张，隐私权理论既不能解释本人主动将个人数据授予他人利用的现象，同时又难以为其他主体合理利用个人数据提供依据。^[32]对个人隐私保护关键的理念是数据主体的知情权与选择权，意图使得数据主体在明确个人数据被收集的目的后，自由选择是否将数据交由收集者。但在数据收集者与数据主体的信息存在不平等的前提下，制度建构试图以数据主体自由选择是否将数据交由他人利用以防止隐私泄露并没有成功将理想中绘制的蓝图变成现实。(www.daowen.com)

数据主体面对收集者提供说明的协议长达几百个甚至上千个字符。造成协议条款数量多的原因是针对直接从数据主体处收集信息现有的规范而制定，其中要求数据控制者说明自己的身份、联系方式、处理的目的、法律依据等收集信息和明示数据主体享有的各种权利及救济方式等信息^[33]。数据主体会为了追求生活的便利而选择使用特定的软件，不可能每一个数据主体都逐一阅读数据授权使用的条文。即使数据主体秉持严谨的态度逐一阅读数据授权使用协议，数据主体也很有可能会迷失在专业的术语中，形式的阅读并不能使数据主体明白授权他人使用的含义。数据收集者在市场中占强势地位，数据主体即使对数据即将应用的场景有明确的认识，但只要其认为数据授权利用会威胁到个人隐私安全，不同意数据收集者收集使用自己的相关信息，相关的软件或者应用程序就不能够使用。在数据收集与移动设备连通后，使用者要么接受数据授权使用协议，要么选择离开。在信息化时代，生活在“信息孤岛”的社会个体的活动空间将极大地被压缩。在要么接受数据授权使用协议，要么离开该应用提供的服务的情形下，数据主体不接受数据授权使用协议等同于应用提供者拒绝提供相应的服务。

2.无法被“遗忘”的个人数据

GDPR设置了被遗忘权，针对已经被收集的个人数据提供数据主体保护自我隐私的权利，数据主体有权要求控制者及时删除其个人数据。^[34]GDPR力图使数据主体对数据收集的目的和事后相对绝对的数据删除进行对个人数据的完全控制知情来实现隐私权保护的目的，该条例强调个人数据的绝对保护，除了公共利益的限制，数据收集者针对数据主体要求的删除没有可以抗拒的理由。在个人数据范围不断扩张的情形下，意味着数据主体对可以完全控制的数据范围也在扩张，“数据主体却未必对数据本身的价值以及数据集和利用的价值进行清晰的评估，数据主体对对其影响不大的数据处理予以反对、撤回同意或者设置法律规定的合法障碍，对技术产业发展会产生严重的阻碍。”^[35]被遗忘权的创设增加了企业的运行成本，会对创新起消极作用。^[36]有的观点认为，“被遗忘权所针对的信息则是在合法的基础上收集、使用、加工、传输的已过时、不相干、有害和不准确的信息。”^[37]权利针对的对象如果被限缩成一些已过时、不相干、有害和不准确的信息，虽然在一定程度上可以消解企业运行成本，但是与GDPR采取对个人数据绝对保护的态度存在差异，GDPR没有限定数据主体行使被遗忘权所针对的个体数据的具体对象，更没有设定相对的标准区分个体数据的种类，已过时、不相干、有害和不准确的信息则只能针对数据主体的标准作为区分标准。大数据的运行建立在大型的数据库作为设备支撑的基础上，数据主体行使被遗忘权的通信效率成为通过制度架构保护个人隐私不得不面对的困境^[38]。被遗忘权建构的预设前提是个人数据已经被授权使用，其行使的对象只能是个人数据，如果数据控制者控制的不是GDPR定义的个人数据，则相关数据被收集者没有权利要求被遗忘，“正在进行详细研究的数据库并不一定包含个人数据，但并不因此与预测目的无关”。^[39]数据控制者使用数据是为了进行相关性分析，其运行逻辑并不是因果关系分析，所以即使没有个人数据，也可借助其他相关数据，预测特定主体的特定行为，侵犯个人隐私。