GDPR建立的个人数据保护框架都是以数据主体权利为中心试图扩张数据主体的权利范围实现个人数据的保护，但是如前所述，数据主体基于市场的经济地位、信息获取能力以及数据分析并不需要个人数据仍能对个体进行预测，以数据主体为中心建构的个人数据保护制度框架只能发挥极为有限的作用。以数据主体权利构筑的个人数据保护体系，相对地只能规制基于个人数据本身实施的侵害行为，而不能对进行关联分析后仍可实现预测目的的非个人数据进行相应的规制。在将大数据区分为个人数据与非个人数据的前提下，对大数据进行统一的赋权，将统合个人数据与非个人数据的保护数据主体的义务。对大数据进行赋权，以法律关系的客体作为规制对象以保护数据主体免于基于大数据预测带来的损害，可以避免区分个人数据与非个人数据的困难，也可以避免出现没有规范约束基于非个人数据进行预测的行为。在明确以数据主体为中心的制度架构通过影响数据主体与数据收集者行为并不能完全实现个人数据保护的前提下，应该将制度框架架构的重心转移至数据本身。

开明商业群体认为数据如同货币，自由流动才能创造最大的价值。个人数据的保护的关注点应该是数据的使用，而不是数据的收集。但正如消费者与隐私权倡导者所担忧的，限制数据使用不足以保护隐私。数据的相关性分析会使得预测的结果与实际行为出现偏差，出于研究目的购买油炸煎锅的购买记录，可能会预测购买者有不良的饮食习惯。^[40]个人数据的保护不仅要面向数据的使用，也需要面向数据的收集。数据授权许可使用涉及特定的主体：数据主体、数据控制者以及数据处理者。法律并未明确数据的权利归属，权利的确定不仅意味着利益在法律上得到肯认，权利同时也被充当作补偿机制，在权利赋予的同时将具体的义务施加于权利享有者。通过大数据权利这一工具实现对数据控制者行为予以调整，调整的范围既包括数据的收集也保护数据的使用。只有以大数据本身作为规制的对象，才能连接数据主体、数据控制者、数据处理者，同时实现数据收集与处理的规制。(www.daowen.com)

对大数据赋权造成实质性障碍的是，个人数据的权利归属于数据主体具有直觉性的说服力。应当明确的是，个人数据并不是人身性的权利，其可以实现流转，只是基于其具有的标识作用，在数据被授权使用后，其仍然可以实现强力的控制。