亚洲综合图片20p,欧美一级黄片视频免费,天天干天天日天天干天天日天天日,亚洲av最新版本天堂在线,电影人妻和服诱惑之,日韩人妻一区二区三区不卡,97超碰大香蕉久久草,亚洲无码专区中文字幕专区,最近日韩av一区二区

摘要：在大數(shù)據(jù)時(shí)代，信息控制者對于個(gè)人信息有很強(qiáng)的利用激勵(lì)而缺乏同等程度的保護(hù)激勵(lì)。如果法律規(guī)則只是簡單施加各種禁止性或者強(qiáng)制性規(guī)定，勢必因?yàn)榧��?lì)不相容影響有效實(shí)施。盡管立法模式不同，不論歐盟還是美國，近年來都在探索建立激勵(lì)相容的個(gè)人數(shù)據(jù)治理體系。我國目前的個(gè)人信息保護(hù)相關(guān)立法存在法律要求與信息控制者內(nèi)部治理機(jī)制脫節(jié)、刑法制裁與其他法律手段脫節(jié)、責(zé)任規(guī)范與行為規(guī)范脫節(jié)等問題。個(gè)人信息保護(hù)法應(yīng)以培育信息控制者內(nèi)部治理機(jī)制為目標(biāo)，以構(gòu)筑有效的外部執(zhí)法威懾為保障，促使信息控制者積極履行法律責(zé)任，并對違法行為予以制裁。個(gè)人信息保護(hù)法應(yīng)確認(rèn)信息主體在公法上的個(gè)人信息控制權(quán)，不能也不應(yīng)該回避基本權(quán)利話語。個(gè)人信息保護(hù)法的實(shí)施，需要先從信息安全風(fēng)險(xiǎn)管理角度切入，由易到難，循序漸進(jìn)，推動激勵(lì)相容機(jī)制實(shí)現(xiàn)。

關(guān)鍵詞：激勵(lì)相容；個(gè)人信息保護(hù)法；個(gè)人信息控制權(quán)；信息安全風(fēng)險(xiǎn)；大數(shù)據(jù)時(shí)代

一以激勵(lì)相容為制度設(shè)計(jì)的核心

國內(nèi)外學(xué)術(shù)界對于中國改革開放基本經(jīng)驗(yàn)的主流總結(jié)，無外乎中央與地方關(guān)系上的縱向分權(quán)改革和政府與市場關(guān)系上放松管制的市場化改革�！拔覈�經(jīng)濟(jì)體制改革最核心的內(nèi)容就是實(shí)現(xiàn)由傳統(tǒng)的計(jì)劃經(jīng)濟(jì)向社會主義市場經(jīng)濟(jì)體制的轉(zhuǎn)軌”，國家通過分權(quán)與市場化改革，調(diào)動地方政府與市場主體的積極性與創(chuàng)造性，形成推動經(jīng)濟(jì)發(fā)展的巨大合力。不同的理論解釋，內(nèi)在邏輯均是強(qiáng)調(diào)通過激勵(lì)機(jī)制調(diào)整來調(diào)動各級政府或者市場主體的積極性與創(chuàng)造性，走出一條中國的大國發(fā)展道路。與經(jīng)濟(jì)發(fā)展相適應(yīng)，中國社會治理變遷的主要方向，也是“從一元治理到多元治理、從集權(quán)到分權(quán)、從人治到法治、從管制政府到服務(wù)政府、從黨內(nèi)民主到社會民主”。從管理到治理的轉(zhuǎn)變，蘊(yùn)含的是多元主體的互動、協(xié)商與合作，而不再僅僅依靠過去自上而下單方面的控制與命令。

中國發(fā)展道路選擇不僅符合本國國情，也與近年來國際上政府改革的普遍經(jīng)驗(yàn)契合。20世紀(jì)70年代末以來，全球范圍掀起了洶涌澎湃的行政改革浪潮，被稱為新公共管理運(yùn)動，其基本特征包括公民為本、市場化、結(jié)果導(dǎo)向、分權(quán)協(xié)作、民主參與、多中心自主治理等。新公共管理運(yùn)動的實(shí)質(zhì)是基于激勵(lì)約束機(jī)制，構(gòu)建多方合作治理的有效格局。學(xué)術(shù)界認(rèn)識到，“與高度復(fù)雜性和高度不確定性的時(shí)代相適應(yīng)的社會治理模式應(yīng)當(dāng)是一種合作行動模式，只有多元社會治理主體在合作的意愿下共同開展社會治理活動，才能解決已出現(xiàn)的各種各樣的社會問題，才能在社會治理方面取得優(yōu)異的業(yè)績”。

傳統(tǒng)法律理論認(rèn)為，法律是主權(quán)者的命令，是必須遵守的規(guī)范，令行禁止是其基本特征。因此，傳統(tǒng)立法規(guī)制方式通常是命令控制方式，表現(xiàn)為禁止性規(guī)范或者義務(wù)性規(guī)范，要求被管理對象不得或者必須為某些特定行為。這種規(guī)制方式有很多弊端，包括：要求很強(qiáng)的執(zhí)法能力，否則命令會被普遍漠視;由于信息不對稱，這種命令可能與市場規(guī)律脫節(jié)，遏制市場主體創(chuàng)新能力與守法誘因;執(zhí)法部門權(quán)力過大，可能會導(dǎo)致選擇性執(zhí)法或者“執(zhí)法捕獲”等問題。在全球行政改革浪潮中，傳統(tǒng)的命令控制式規(guī)制受到廣泛批評，激勵(lì)性監(jiān)管得到重視，人們發(fā)現(xiàn)規(guī)則如果能夠與被管理者激勵(lì)相容，會極大降低執(zhí)法成本，提高合規(guī)動力。因此，法律規(guī)則除了命令、禁止以外，還可以發(fā)揮引導(dǎo)作用，調(diào)動被管理者的守法誘因。如何設(shè)計(jì)這種激勵(lì)相容機(jī)制，是規(guī)范實(shí)施的成敗關(guān)鍵。

理論研究與國內(nèi)外實(shí)踐發(fā)展均表明，政策或者立法如果激勵(lì)不相容，會形成“管理型”立法，而不是“治理型”立法。這樣制定出來的政策或者法律，實(shí)踐中難以得到執(zhí)行，還可能導(dǎo)致執(zhí)行成本高、規(guī)制對象抵觸、執(zhí)行效果差、執(zhí)行權(quán)威受損、運(yùn)動式執(zhí)法、選擇性執(zhí)法甚至執(zhí)行部門造假等連鎖問題。在我們“所制定的法律、法規(guī)中，絕大多數(shù)事實(shí)上沒有被當(dāng)作法看待，沒有起到法所應(yīng)起的作用”，首要根源在于“立法違背科學(xué)，或立法技術(shù)存在問題，使法不能實(shí)行或難以實(shí)行”。

我國制定個(gè)人信息保護(hù)法，不能脫離大的制度背景，有必要從中國改革開放的基本經(jīng)驗(yàn)和全球行政改革的大趨勢中吸取養(yǎng)分，避免或者少走彎路。在大數(shù)據(jù)時(shí)代，由于數(shù)據(jù)本身的特性，信息控制者有很強(qiáng)的利用激勵(lì)而缺乏同等程度的保護(hù)激勵(lì)。如果法律規(guī)則不能因勢利導(dǎo)，只是簡單施加各種禁止性或者強(qiáng)制性規(guī)定，勢必因?yàn)榧��?lì)不相容影響有效實(shí)施。

隨著信息技術(shù)發(fā)展，數(shù)據(jù)傳輸、儲存、計(jì)算成本快速下降，數(shù)據(jù)開始成為資源。大數(shù)據(jù)不僅具有容量大、類型多、存取速度快等特點(diǎn)，還可以通過分析技術(shù)“使數(shù)字信息成為知識，支持智能決策”，產(chǎn)生新價(jià)值。這樣，大數(shù)據(jù)不僅給信息控制者帶來巨大經(jīng)濟(jì)收益，也給消費(fèi)者(包括信息主體)帶來免費(fèi)使用、高品質(zhì)服務(wù)、快速迭代創(chuàng)新等各種便利。凱文·凱利在對未來20年商業(yè)科技發(fā)展預(yù)測的一次講演中提出，在大數(shù)據(jù)時(shí)代，“所有生意都是數(shù)據(jù)生意”，“個(gè)人數(shù)據(jù)才是大未來”。舍恩伯格更明確指出，“大數(shù)據(jù)的核心就是預(yù)測”。在大數(shù)據(jù)時(shí)代，數(shù)據(jù)對于信息控制者而言，就是生產(chǎn)要素和行動指引。信息控制者必然會充分利用大數(shù)據(jù)揭示的相關(guān)性，提前預(yù)測信息主體和社會的各種需要，提供精準(zhǔn)的定制化產(chǎn)品或服務(wù)。對于國家而言，數(shù)據(jù)早已成為各國基礎(chǔ)性戰(zhàn)略資源，大數(shù)據(jù)發(fā)展成為國家戰(zhàn)略的一部分。

大數(shù)據(jù)由人、機(jī)器或者傳感器產(chǎn)生。其中，最基本、最有價(jià)值的是個(gè)人信息，由用戶活動產(chǎn)生，“收集和整理個(gè)人信息都是獲取權(quán)力的方式，通常以信息主體為代價(jià)”，因此需要在個(gè)人信息保護(hù)與大數(shù)據(jù)發(fā)展之間實(shí)現(xiàn)平衡。不同于其他生產(chǎn)要素，數(shù)據(jù)具有公共產(chǎn)品才具有的非排他性、非獨(dú)占性特點(diǎn)，可以反復(fù)使用、共享，這使信息控制者對個(gè)人數(shù)據(jù)保護(hù)遠(yuǎn)不如對其他私有財(cái)產(chǎn)保護(hù)重視，容易產(chǎn)生各種疏忽現(xiàn)象。在網(wǎng)絡(luò)環(huán)境下，數(shù)據(jù)具有隨時(shí)產(chǎn)生、多點(diǎn)存儲、多次開發(fā)、跨場景應(yīng)用、多人經(jīng)手、跨國界傳輸、收集與處理分離、生命周期短、孤立數(shù)據(jù)本身并不產(chǎn)生價(jià)值、需要技術(shù)解決方案等特點(diǎn)，若全部都加以保護(hù)，技術(shù)、經(jīng)濟(jì)上有很大難度，會產(chǎn)生很高的保護(hù)成本。并且，隱私與隱私之間也需要權(quán)衡，在一端加強(qiáng)對隱私的保護(hù)，會在另一端產(chǎn)生弱化對其保護(hù)的結(jié)果。數(shù)據(jù)發(fā)生泄露的情形非常復(fù)雜，個(gè)人數(shù)據(jù)濫用的受害者是信息主體，不是信息控制者。信息控制者很難有充分的激勵(lì)與能力保護(hù)個(gè)人數(shù)據(jù)，只是被動應(yīng)付法律要求。

在信息控制者利用激勵(lì)與保護(hù)激勵(lì)明顯失衡的結(jié)構(gòu)下，如果缺乏外部干預(yù)與政府監(jiān)管，勢必產(chǎn)生“叢林法則”和對個(gè)人信息的肆意濫用，這是各國普遍重視個(gè)人信息保護(hù)、個(gè)人信息保護(hù)法成為全球性立法趨勢的根本理由。我國近年來也明顯加強(qiáng)了立法與制度建設(shè)的步伐，從多方面加強(qiáng)對個(gè)人信息的保護(hù)力度。但是，在信息控制者激勵(lì)失衡的背景下，如果立法缺乏科學(xué)性，只是簡單施加各種強(qiáng)制性外部要求，忽視信息控制者內(nèi)在激勵(lì)機(jī)制設(shè)計(jì)，并不能消除失衡根源。從概率角度看，利用與保護(hù)之間失衡的可能性仍然很大，占四分之三的比例：外部監(jiān)管過于嚴(yán)格，抑制大數(shù)據(jù)開發(fā)利用;缺乏監(jiān)管或者監(jiān)管要求普遍不被遵守，大數(shù)據(jù)利用以犧牲個(gè)人信息保護(hù)為代價(jià);監(jiān)管游移不定，忽左忽右，陷入既沒有大數(shù)據(jù)利用也難以保護(hù)個(gè)人信息的雙輸格局。只有外部要求與內(nèi)生激勵(lì)相容，才能夠?qū)崿F(xiàn)大數(shù)據(jù)利用與個(gè)人信息保護(hù)協(xié)調(diào)發(fā)展，其概率只有四分之一。

在大數(shù)據(jù)時(shí)代來臨之前，個(gè)人數(shù)據(jù)實(shí)際處于未被利用的沉睡狀態(tài)，激勵(lì)失衡問題并未被激活。至大數(shù)據(jù)時(shí)代，隨著數(shù)據(jù)價(jià)值逐步被認(rèn)識，信息控制者利用數(shù)據(jù)的激勵(lì)越來越強(qiáng)烈，激勵(lì)失衡現(xiàn)象會愈發(fā)突出，法律實(shí)施遇到的挑戰(zhàn)也會越來越大。因此，大數(shù)據(jù)時(shí)代的個(gè)人信息保護(hù)，絕不僅僅是制定個(gè)人信息保護(hù)法那么簡單。真正的挑戰(zhàn)在于，如何通過科學(xué)的立法與制度設(shè)計(jì)，理順立法要求與信息控制者內(nèi)在激勵(lì)之間的關(guān)系，使個(gè)人信息保護(hù)成為信息控制者的內(nèi)在需要。這是個(gè)人信息保護(hù)法制度設(shè)計(jì)的目標(biāo)和最終評價(jià)標(biāo)準(zhǔn)。

二準(zhǔn)確理解歐美個(gè)人信息保護(hù)法的新發(fā)展

歐盟與美國個(gè)人信息保護(hù)法律路徑不同，兩種模式的差異是客觀的，也是明顯的。但是，國內(nèi)過去比較歐美個(gè)人信息保護(hù)法律，普遍缺乏對兩種模式實(shí)際運(yùn)行狀況以及共性的研究，存在簡單的揚(yáng)美抑歐現(xiàn)象。不少人認(rèn)為歐盟國家不重視大數(shù)據(jù)發(fā)展、美國不保護(hù)個(gè)人隱私，并將制定個(gè)人信息保護(hù)法與阻礙創(chuàng)新(歐盟模式)畫上等號，將不保護(hù)隱私與更有利于創(chuàng)新(美國模式)畫上等號，人為制造了隱私保護(hù)與創(chuàng)新不可兼得的兩難局面。這種貼標(biāo)簽式的研究方法，既限制了比較研究的深度和廣度，與現(xiàn)實(shí)情況存在很大出入，更改變不了美國經(jīng)驗(yàn)無法學(xué)、歐盟引發(fā)的國際立法趨勢無法逆轉(zhuǎn)的大格局。其實(shí)，大數(shù)據(jù)發(fā)展與個(gè)人信息保護(hù)的平衡作為這個(gè)時(shí)代的最大挑戰(zhàn)之一，歐盟與美國分別面臨各自的問題，都難言找到了完美的解決方案，對后發(fā)國家最重要的是要從歐美的經(jīng)驗(yàn)與教訓(xùn)中探索個(gè)人數(shù)據(jù)治理的成功之道。

隨著大數(shù)據(jù)時(shí)代來臨，從實(shí)證出發(fā)，探討個(gè)人信息保護(hù)的有效實(shí)施機(jī)制，而不僅僅是關(guān)注法律規(guī)定的差別，已經(jīng)成為近幾年國際上、尤其是美國隱私法律研究的新熱點(diǎn)。不論名稱叫新治理、合作規(guī)制、合作治理還是叫回應(yīng)性規(guī)制、激勵(lì)規(guī)制等，其背后的機(jī)理均在于發(fā)現(xiàn)有效的激勵(lì)機(jī)制，調(diào)動被管理對象參與治理的積極性，提高執(zhí)法效果。最新國際實(shí)證比較研究成果表明，歐美兩種模式實(shí)際上存在某些共同規(guī)律可循，而歐盟不同國家之間的差別也比過去想象的要大得多;不管哪種模式，不論法律多么嚴(yán)格，只有激勵(lì)相容才會取得預(yù)期保護(hù)成效，不相容則難以得到執(zhí)行，甚至?xí)��?dǎo)致既阻礙創(chuàng)新又保護(hù)不了個(gè)人信息的雙輸結(jié)果。因此，成敗的關(guān)鍵不在于法律規(guī)定的模式差別，而在于個(gè)人數(shù)據(jù)治理的制度設(shè)計(jì)是否科學(xué)。探索中國個(gè)人數(shù)據(jù)治理之道，必須超越歐美兩種模式的簡單法規(guī)范對比，既要看到兩種模式的差別，更要從兩種模式中吸取有益的經(jīng)驗(yàn)。只有這樣，才能博采眾長，走出一條符合我國國情的個(gè)人信息保護(hù)法治道路。

2010年，兩位美國學(xué)者發(fā)表《書本上與實(shí)踐中的隱私》一文，通過對行業(yè)公認(rèn)的首席隱私官的大量訪談，對美國企業(yè)過去15年間隱私政策的執(zhí)行狀況首次進(jìn)行實(shí)證研究。隨后，他們擴(kuò)大研究范圍，對四個(gè)歐盟國家(德國、法國、英國、西班牙)的企業(yè)隱私實(shí)踐進(jìn)行研究，大量訪談企業(yè)隱私官員、政府官員與學(xué)者，并于2015年出版《實(shí)踐中的隱私——推動美歐企業(yè)行為》，其中很多發(fā)現(xiàn)讓人耳目一新，獲得各界廣泛關(guān)注與好評。他們的重要結(jié)論包括：(1)美國與英國企業(yè)的隱私官員一般從避免給消費(fèi)者預(yù)期造成損害的風(fēng)險(xiǎn)管理角度看待隱私保護(hù)，其他三個(gè)歐洲大陸國家企業(yè)的隱私官員基本從人權(quán)角度看待隱私，回避采用風(fēng)險(xiǎn)和消費(fèi)者損害話語。(2)盡管在基本觀念、實(shí)體法律以及執(zhí)法機(jī)構(gòu)等方面存在很大差異，美國與德國的企業(yè)基本以相同的方式對待隱私管理。兩國隱私官員都將隱私保護(hù)當(dāng)作戰(zhàn)略問題，需要考慮的遠(yuǎn)遠(yuǎn)超出單純遵守特定的法律規(guī)則;都將隱私當(dāng)作不斷演變、面向未來和依賴語境變化的社會價(jià)值，而不僅僅是個(gè)人同意與控制;都有有權(quán)并且相對自主的職業(yè)隱私官員，能夠接觸企業(yè)高級管理層，參與企業(yè)重要決策，并與外部利益相關(guān)者密切互動;活動很多都涉及戰(zhàn)略性議題而不純粹是操作層面的議題，職能遠(yuǎn)超“合規(guī)”要求，因而使企業(yè)內(nèi)部的隱私?jīng)Q策能夠與企業(yè)的戰(zhàn)略決策、核心價(jià)值相互整合;作為企業(yè)高級雇員，隱私官員既能夠自上而下指揮，也能夠直接與董事會溝通;企業(yè)內(nèi)部都通過分布式網(wǎng)絡(luò)進(jìn)行隱私管理，由職業(yè)隱私官員和業(yè)務(wù)單位中經(jīng)過專門培訓(xùn)的雇員組成執(zhí)行網(wǎng)絡(luò)，從產(chǎn)品設(shè)計(jì)、業(yè)務(wù)開發(fā)的早期階段就將隱私保護(hù)與業(yè)務(wù)開發(fā)緊密相聯(lián)，實(shí)現(xiàn)雙向溝通。(3)美國與德國企業(yè)的做法截然不同于法國、西班牙與英國企業(yè)的做法。西班牙與法國的企業(yè)很大程度上將隱私職能作為遵守確定的法律命令，哪怕自己懷疑做不到也要嚴(yán)格執(zhí)行。英國企業(yè)也同樣重視法律，但對于執(zhí)行前景更為樂觀。英國的首席隱私官在企業(yè)中的地位比美國、德國的同行要低好幾個(gè)級別，能夠得到的資源和參與高層決策的機(jī)會都少得多，無法在企業(yè)內(nèi)部構(gòu)建有效的分布式執(zhí)行網(wǎng)絡(luò)。西班牙、法國企業(yè)的隱私官員大部分都單線歸屬于合規(guī)或者法務(wù)部門，主要工作是滿足數(shù)據(jù)登記、使用和報(bào)告等要求，隱私保護(hù)與產(chǎn)品、業(yè)務(wù)開發(fā)相互脫節(jié)，也缺乏執(zhí)行隱私保護(hù)的分布式網(wǎng)絡(luò)結(jié)構(gòu)。(4)從法律規(guī)則實(shí)施有效性方面評價(jià)，規(guī)則越原則，企業(yè)的隱私管理實(shí)踐越有效，德國與美國屬于此類;規(guī)則要求越具體，執(zhí)行權(quán)越集中，企業(yè)就越容易只是遵守合規(guī)要求，而不是將隱私保護(hù)內(nèi)化為行動，法國、西班牙屬于此類。(5)在變化的環(huán)境下，法律規(guī)則要促進(jìn)企業(yè)承擔(dān)更多責(zé)任，需要原則性立法和開放式監(jiān)管，并輔之以能動的監(jiān)管者和有效的外部利益相關(guān)方監(jiān)督;搭建跨界、包容的隱私保護(hù)共同體，使政府、企業(yè)和社會的隱私專業(yè)人員能夠密切互動，反過來鞏固企業(yè)隱私官員在公司的地位;充分曝光隱私保護(hù)失敗事例，包括數(shù)據(jù)泄露通知，加強(qiáng)媒體、非政府組織和公眾監(jiān)督，促使企業(yè)加大對隱私保護(hù)的重視和投入。兩位學(xué)者的上述發(fā)現(xiàn)與研究結(jié)論不僅在一定意義上打破了通常的美國與歐盟兩大模式的刻板劃分，也深化了對企業(yè)內(nèi)部隱私保護(hù)實(shí)施機(jī)制與個(gè)人信息保護(hù)法作用機(jī)理的認(rèn)識。

另一項(xiàng)同樣基于大量訪談的實(shí)證研究發(fā)現(xiàn)，荷蘭作為歐盟國家，其二十多年的隱私法律實(shí)施并不是通常理解的單純政府監(jiān)管，而是體現(xiàn)了政府部門與業(yè)界的合作治理精神。荷蘭制定隱私保護(hù)法律以后，其實(shí)施都是先由各個(gè)行業(yè)協(xié)會提出企業(yè)行為規(guī)范，先后有銀行、保險(xiǎn)、直接營銷等二十多個(gè)行業(yè)提出了本行業(yè)的企業(yè)行為規(guī)范，以避免政府直接監(jiān)管導(dǎo)致的信息不對稱問題;然后，各個(gè)企業(yè)行為規(guī)范需要經(jīng)政府批準(zhǔn)后才能實(shí)施，以避免純粹的行業(yè)自律機(jī)制可能導(dǎo)致的力度不夠、運(yùn)動員與裁判員不分現(xiàn)象。荷蘭實(shí)踐中的這些做法，正好是美國政府致力于推進(jìn)隱私法律制度改革的方向，美國有大量的改革計(jì)劃都與荷蘭的經(jīng)驗(yàn)相似。這樣，通常理解的美國、歐盟兩大模式劃分，其實(shí)掩蓋了各國對于合作治理方式的共同探討。更值得關(guān)注的是，美國致力于學(xué)習(xí)的荷蘭經(jīng)驗(yàn)，在歐盟《一般數(shù)據(jù)保護(hù)條例》(下稱《條例》)中得到了重視，規(guī)定了“經(jīng)批準(zhǔn)的行為規(guī)范”具有證明跨境個(gè)人信息傳輸合法性的法律效力，這是歐盟《關(guān)于個(gè)人數(shù)據(jù)處理及其自由流動的個(gè)人保護(hù)第95/46/EC號指令》(下稱《個(gè)人數(shù)據(jù)保護(hù)指令》或《指令》)所缺乏的內(nèi)容，也是歐盟在推進(jìn)合作治理方面的一個(gè)重大進(jìn)步。

有學(xué)者通過對愛爾蘭、美國兩個(gè)國家行政執(zhí)法部門2011年對Facebook的執(zhí)法調(diào)查案例比較研究發(fā)現(xiàn)，盡管兩個(gè)國家個(gè)人信息保護(hù)法律規(guī)定差別很大，但由于執(zhí)法部門都采用了更為有效的回應(yīng)性規(guī)制方法，通過執(zhí)法協(xié)議要求企業(yè)持續(xù)改進(jìn)其隱私保護(hù)實(shí)踐，而未采用常規(guī)的對抗式處罰方式，因此“使大洋兩岸之間的明顯差別難以區(qū)分”。這樣的友好型處理既能更靈活地適應(yīng)技術(shù)變化帶來的規(guī)制挑戰(zhàn)，符合成本有效原則，也有利于提升真實(shí)世界的數(shù)據(jù)保護(hù)實(shí)踐。

還有學(xué)者通過對德國、法國、意大利、英國四個(gè)歐盟成員國的隱私保護(hù)實(shí)證研究，發(fā)現(xiàn)四個(gè)國家隱私規(guī)制的共同趨勢是將嚴(yán)格的政府執(zhí)法、公共壓力之下的行業(yè)自律和低水平的訴訟機(jī)制相結(jié)合，稱之為“合作法治主義”模式。這雖然不同于美國以訴訟為主的模式，但其中明顯有很多相似的機(jī)制，尤其是通過執(zhí)法威懾和公共壓力機(jī)制促使企業(yè)更多行業(yè)自律，實(shí)現(xiàn)他律與自律的結(jié)合。即使法國、意大利這樣的對于業(yè)界參與決策過程一直持?jǐn)骋晳B(tài)度的國家，也在政策制定過程中納入更多自律機(jī)制。

如果說美國一直在探討如何構(gòu)建有效的個(gè)人信息保護(hù)法律體系，歐盟則已經(jīng)將制度建設(shè)付諸實(shí)施。從《個(gè)人數(shù)據(jù)保護(hù)指令》制定到《一般數(shù)據(jù)保護(hù)條例》出臺，體現(xiàn)了既保護(hù)個(gè)人信息決定權(quán)利又促進(jìn)個(gè)人信息自由流動的雙重價(jià)值。這種雙重價(jià)值追求，既體現(xiàn)在《指令》《條例》的名稱中，也體現(xiàn)在立法結(jié)構(gòu)的整體安排上，更體現(xiàn)在《指令》《條例》的前言、基本原則與具體規(guī)定之中。當(dāng)然，鑒于《指令》制定之時(shí)移動互聯(lián)網(wǎng)與大數(shù)據(jù)尚未發(fā)展，其側(cè)重點(diǎn)更多偏向個(gè)人信息保護(hù);而《條例》的制定就必須同步考慮大數(shù)據(jù)發(fā)展的實(shí)際，為大數(shù)據(jù)發(fā)展提供法律依據(jù)，為歐盟數(shù)字經(jīng)濟(jì)發(fā)展留下空間。國內(nèi)解讀歐盟個(gè)人信息保護(hù)法律制度，往往只強(qiáng)調(diào)其權(quán)利保護(hù)的一面，看到嚴(yán)格執(zhí)行的各種要求，忽略了其促進(jìn)發(fā)展的一面和制度設(shè)計(jì)中的各種平衡追求。

從第三方獨(dú)立觀察的角度解讀，尤其與《個(gè)人數(shù)據(jù)保護(hù)指令》比較，《一般數(shù)據(jù)保護(hù)條例》在構(gòu)建多元主體參與合作治理、推動大數(shù)據(jù)發(fā)展方面的考慮，至少體現(xiàn)在如下三個(gè)方面：

首先，在加強(qiáng)對個(gè)人信息保護(hù)的同時(shí)，適應(yīng)大數(shù)據(jù)時(shí)代的現(xiàn)實(shí)，在個(gè)人信息使用目的限制、數(shù)據(jù)留存期限等方面，盡量為大數(shù)據(jù)開發(fā)利用開辟可能的路徑。比如，使用目的限制是歐盟法律的一項(xiàng)核心要求，《一般數(shù)據(jù)保護(hù)條例》也規(guī)定得非常嚴(yán)格，不允許信息控制者一攬子獲得一般性同意。但是，對《條例》進(jìn)行詳細(xì)的分析可以發(fā)現(xiàn)，立法者還是故意給數(shù)據(jù)用于新的目的留下了途徑。對于數(shù)據(jù)留存，《個(gè)人數(shù)據(jù)保護(hù)指令》只規(guī)定了兩種方式：一是基于原始收集目的留存;二是完全匿名之后可以留存�！稐l例》增加了一種新的方式，允許基于統(tǒng)計(jì)目的，并在符合成員國各自制定的保障措施的條件下留存數(shù)據(jù)。另外，《條例》廢止了過去很多情況下數(shù)據(jù)處理者需要向數(shù)據(jù)保護(hù)局“事先通知”數(shù)據(jù)處理的要求，而這一要求是《指令》構(gòu)筑的核心制度。兩位權(quán)威歐洲學(xué)者在比較了《條例》與《指令》在促進(jìn)大數(shù)據(jù)發(fā)展方面的差別后得出結(jié)論說，“《條例》雖然并未與過去決裂，但清楚地描繪了可以用更適應(yīng)大數(shù)據(jù)環(huán)境的基于使用機(jī)制來替代傳統(tǒng)數(shù)據(jù)保護(hù)核心機(jī)制的未來路徑”。

其次，相較于《個(gè)人數(shù)據(jù)保護(hù)指令》，《一般數(shù)據(jù)保護(hù)條例》更突出強(qiáng)調(diào)責(zé)任原則、透明原則的地位和作用，強(qiáng)化信息控制者內(nèi)部治理機(jī)制，調(diào)動信息控制者參與數(shù)據(jù)治理的積極性。根據(jù)《條例》要求，信息控制者需要建立有效的技術(shù)與管理措施，包括經(jīng)常進(jìn)行審計(jì)、貫徹“設(shè)計(jì)即隱私”理念、執(zhí)行隱私影響評估、任命數(shù)據(jù)保護(hù)官、采取與風(fēng)險(xiǎn)相適應(yīng)的安全防范技術(shù)措施，事先與數(shù)據(jù)管理局咨商等，并根據(jù)環(huán)境變化及時(shí)更新，不斷完善內(nèi)部數(shù)據(jù)治理體系�！稐l例》很多新的要求都是《指令》所缺乏的，體現(xiàn)了立法觀念上的明顯進(jìn)步。比如，《指令》第18條第2款并沒有強(qiáng)制要求信息控制者設(shè)置數(shù)據(jù)保護(hù)官一職，只是倡導(dǎo)性規(guī)定，盡管德國、法國在實(shí)踐中已經(jīng)采用了這種制度�！稐l例》修改引入了數(shù)據(jù)保護(hù)官要求，并以充分的篇幅對其地位、職能等做了較為完備的規(guī)定，被歐盟專家普遍認(rèn)為是完善信息控制者內(nèi)部治理機(jī)制的核心。《指令》并未規(guī)定筆名化概念或者措施，《條例》引入了筆名化制度，并對筆名化和匿名化兩種安全措施進(jìn)行了明確區(qū)分，對筆名化提出了明確的要求，規(guī)定《條例》不適用于匿名化信息， 目的是為了從源頭降低信息主體的安全風(fēng)險(xiǎn)，幫助信息控制者滿足法律要求， 促進(jìn)大數(shù)據(jù)發(fā)展。另外，《指令》未規(guī)定加密概念或措施，而《條例》明確將加密作為一項(xiàng)安全措施加以規(guī)定，這體現(xiàn)的也是“設(shè)計(jì)即隱私”的源頭治理思路，鼓勵(lì)企業(yè)從源頭采取防范措施，有利于推動云計(jì)算發(fā)展。

《一般數(shù)據(jù)保護(hù)條例》構(gòu)筑合作治理最為典型的領(lǐng)域，當(dāng)屬在跨境信息傳輸機(jī)制上的創(chuàng)新。《個(gè)人數(shù)據(jù)保護(hù)指令》第25條規(guī)定向歐盟之外的第三國傳輸個(gè)人數(shù)據(jù)需要滿足充分性要求(由歐盟委員會認(rèn)定)，否則不得傳輸。除此之外，《指令》第26條第2款還設(shè)計(jì)了變通性質(zhì)的“合適合同條款” 機(jī)制。一個(gè)國家雖然沒有得到歐盟委員會的充分性認(rèn)定，但該國之內(nèi)的企業(yè)只要能簽署符合歐盟要求的模范合同條款，承諾遵守保護(hù)個(gè)人數(shù)據(jù)，就可以進(jìn)行跨境信息傳輸。實(shí)踐中，企業(yè)集團(tuán)或者關(guān)聯(lián)企業(yè)內(nèi)部跨境傳輸個(gè)人信息只要滿足自我約束規(guī)則的要求，歐盟也認(rèn)為符合充分性條件。對于美國企業(yè)，歐盟還有單獨(dú)的《安全港協(xié)議》機(jī)制，美國企業(yè)只要承諾遵守相應(yīng)規(guī)定， 即可獲得從歐盟傳輸個(gè)人數(shù)據(jù)的資格。這些機(jī)制設(shè)計(jì)，既彌補(bǔ)了一般充分性認(rèn)定機(jī)制的不足，避免了《指令》實(shí)施可能導(dǎo)致的數(shù)據(jù)無法跨境傳輸窘境，也使不同企業(yè)都能找到符合自己情況的政策工具，調(diào)動其保護(hù)個(gè)人數(shù)據(jù)的積極性，帶有典型的合作治理色彩。《條例》在上述幾種機(jī)制之外，又增加了經(jīng)批準(zhǔn)的行為規(guī)范和第三方認(rèn)證具有證明跨境信息傳輸合法性的效力，進(jìn)一步豐富了合作治理的形式，屬于典型的自律與規(guī)制結(jié)合的激勵(lì)性監(jiān)管方式，可以更為充分地調(diào)動信息控制者主動參與的積極性。

再次，通過設(shè)計(jì)強(qiáng)有力的外部執(zhí)法威懾機(jī)制，促使信息控制者主動承擔(dān)法律責(zé)任�！秱�(gè)人數(shù)據(jù)保護(hù)指令》過去體現(xiàn)的是以事前登記、信息主體決定權(quán)為核心的控制思路，缺乏有效的事后威懾手段。比如，《指令》沒有明確執(zhí)法協(xié)調(diào)機(jī)制，導(dǎo)致實(shí)踐中執(zhí)法標(biāo)準(zhǔn)不統(tǒng)一、執(zhí)法管轄權(quán)模糊，增加了信息控制者的守法難度;缺乏罰款標(biāo)準(zhǔn)，將規(guī)則制定權(quán)交由各國行使，各國執(zhí)行起來差別很大，普遍力度不夠;沒有規(guī)定個(gè)人數(shù)據(jù)泄露的通知要求，難以通過公開與社會監(jiān)督機(jī)制形成有效壓力。正因?yàn)槿绱耍�《指令》雖然事前要求很多，但一旦信息控制者違反規(guī)定，后果可能并不嚴(yán)重甚至流于形式，這影響了《指令》的權(quán)威性和有效性。針對威懾不強(qiáng)這一突出問題，《一般數(shù)據(jù)保護(hù)條例》進(jìn)行了全面改進(jìn)，其主要措施包括：確立牽頭數(shù)據(jù)管理局，加強(qiáng)各國執(zhí)法合作，避免不同國家多頭執(zhí)法導(dǎo)致的執(zhí)法標(biāo)準(zhǔn)不統(tǒng)一;統(tǒng)一設(shè)立最高罰款上限為2000萬歐元或者信息控制者上一年度全球營業(yè)額4%的罰款標(biāo)準(zhǔn)，大幅提高罰款的幅度;增加個(gè)人信息泄露后分別通知數(shù)據(jù)管理局和信息主體的義務(wù)，建立有效外部威懾機(jī)制�！稐l例》的這些新措施，明顯與美國的很多執(zhí)法威懾機(jī)制類似，既消弭了歐美過去的很多制度設(shè)計(jì)差異，也有利于通過強(qiáng)有力的外部威懾機(jī)制促使信息控制者更好承擔(dān)數(shù)據(jù)治理責(zé)任。

相較于《個(gè)人數(shù)據(jù)保護(hù)指令》，《一般數(shù)據(jù)保護(hù)條例》的整體制度設(shè)計(jì)思路更清晰、規(guī)定更翔實(shí)，充分體現(xiàn)了通過更有效的內(nèi)部治理、更強(qiáng)的外部威懾，促使信息控制者主動承擔(dān)更多責(zé)任的立法意圖，符合激勵(lì)監(jiān)管的基本原理。如果說法律規(guī)定是外在的表現(xiàn)形式，那么追求法律的有效實(shí)施機(jī)制就是內(nèi)在動力，兩者之間是器與道、形與神的關(guān)系。后發(fā)國家如果只看到美歐法律規(guī)定的表面差別，看不到背后的作用機(jī)理，就很難從其經(jīng)驗(yàn)與教訓(xùn)中獲得任何有益的啟示。

三培育信息控制者的內(nèi)部治理機(jī)制

發(fā)展中國家不同于歐美發(fā)達(dá)國家，不論是基本權(quán)利保護(hù)還是消費(fèi)者預(yù)期保護(hù)，在信息控制者的行為序列中可能都還難以達(dá)到同樣的高度。制定個(gè)人信息保護(hù)法，首先要找到信息控制者最基本的激勵(lì)，并圍繞核心激勵(lì)設(shè)計(jì)相關(guān)的制度。對于所有信息控制者而言，最基本的需求肯定都是發(fā)展與安全。發(fā)展是目標(biāo)，安全是實(shí)現(xiàn)目標(biāo)的保障;缺乏安全保障，不可能有發(fā)展。由于技術(shù)水平的差距，發(fā)展中國家面臨的安全挑戰(zhàn)比發(fā)達(dá)國家要大得多。從安全防范角度切入，在發(fā)展中國家應(yīng)該是最容易為信息控制者接受的解決方案。

安永第19屆《全球信息安全調(diào)查報(bào)告》采訪了1735名首席管理人員、信息安全與IT高管或經(jīng)理，他們代表了眾多全球規(guī)模最大且最知名的企業(yè)。2017年9月發(fā)布的調(diào)查報(bào)告顯示，在過去兩年中，87%的公司董事會成員和企業(yè)高管都表示對其公司層面的網(wǎng)絡(luò)安全缺乏信心;44%的企業(yè)沒有安全運(yùn)營中心，64%的企業(yè)沒有或只有非正規(guī)的威脅情報(bào)計(jì)劃，55%的企業(yè)沒有或只有非正規(guī)的漏洞識別能力;62%的企業(yè)在經(jīng)歷了看似無害的安全事件后，并不會增加其網(wǎng)絡(luò)安全支出;部分企業(yè)懷疑自身是否有能力繼續(xù)識別網(wǎng)絡(luò)中的可疑流量(49%)、追蹤數(shù)據(jù)的訪問者(44%)或發(fā)現(xiàn)潛藏的未知“零日漏洞 攻擊(40%);89%的企業(yè)不去評估每次重大事件所帶來的財(cái)務(wù)影響，而在2016年遭受過網(wǎng)絡(luò)安全事件的企業(yè)中，有近半數(shù)(49%)對該網(wǎng)絡(luò)事件造成或可能帶來的經(jīng)濟(jì)損失并不了解。據(jù)針對13個(gè)國家與地區(qū)419家公司的調(diào)研，2017年每家公司數(shù)據(jù)泄露的平均成本為362萬美元，每人次個(gè)人數(shù)據(jù)泄露的平均成本為141美元;諸如南非、印度等發(fā)展中國家，在未來24個(gè)月內(nèi)最有可能發(fā)生人次超過1萬以上的實(shí)質(zhì)性數(shù)據(jù)泄露事件，而德國、加拿大發(fā)生這種事件的概率最低。

從國內(nèi)外近年來屢屢發(fā)生的各種數(shù)據(jù)泄露案例來看，信息控制者面臨的安全挑戰(zhàn)壓力是現(xiàn)實(shí)的，也是巨大的。個(gè)人數(shù)據(jù)泄露會造成聲譽(yù)、法律責(zé)任承擔(dān)與客戶流失等影響，而隨著競爭加劇，“隱私成為品牌”，有效保護(hù)個(gè)人信息會成為市場主體的核心競爭力，價(jià)值會逐步外溢，成為無形資產(chǎn)。

對于信息控制者而言，從信息安全角度來保護(hù)個(gè)人信息，本應(yīng)該是順理成章的事，個(gè)別行業(yè)領(lǐng)先企業(yè)也已經(jīng)自發(fā)在進(jìn)行相關(guān)的內(nèi)部治理機(jī)制探索。但是，過去對信息安全約定俗成的理解，并不包括個(gè)人信息安全或者隱私保護(hù)�；�于這種背景，1994年制定的《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》，目的是為了保護(hù)計(jì)算機(jī)信息系統(tǒng)的安全，保障計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))及其運(yùn)行環(huán)境的安全，保障信息的安全，保障計(jì)算機(jī)功能的正常發(fā)揮，以維護(hù)計(jì)算機(jī)信息系統(tǒng)的安全運(yùn)行。2004年公安部、國家保密局、國家密碼管理委員會辦公室、國務(wù)院信息化工作辦公室印發(fā)《關(guān)于信息安全等級保護(hù)工作的實(shí)施意見》，2007年四部門又印發(fā)《信息安全等級保護(hù)管理辦法》，完整建立了我國的信息安全等級保護(hù)制度。隨后，國家通過陸續(xù)制定統(tǒng)一的信息安全等級保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，對信息系統(tǒng)分等級實(shí)行安全保護(hù)。在信息安全等級保護(hù)制度中，保護(hù)的對象主要是重要信息和信息系統(tǒng)，在上述文件和《信息安全技術(shù)·信息系統(tǒng)安全等級保護(hù)基本要求》(GB/T22239-2008)以及該國家標(biāo)準(zhǔn)所指引的“共同構(gòu)成了信息系統(tǒng)安全等級保護(hù)的相關(guān)配套標(biāo)準(zhǔn)”中，均缺乏關(guān)于個(gè)人信息保護(hù)的規(guī)定，使個(gè)人信息保護(hù)一直游離于信息安全等級保護(hù)制度之外。這樣，在傳統(tǒng)的信息安全觀念下，信息控制者長期考慮的只是計(jì)算機(jī)系統(tǒng)安全或者運(yùn)行安全，力圖通過權(quán)限管理、病毒查殺、設(shè)立防火墻、VPN、入侵檢測等管理與技術(shù)措施，防止系統(tǒng)被攻擊和癱瘓，未能將個(gè)人信息保護(hù)納入安全框架內(nèi)一并予以考慮，導(dǎo)致信息安全管理與個(gè)人信息保護(hù)存在長期的相互脫節(jié)現(xiàn)象。

近年來國家明顯加大了個(gè)人信息保護(hù)的立法進(jìn)程，2009年侵權(quán)責(zé)任法首次在法律中確立了隱私權(quán)的法律地位。同年，刑法修正案(七)設(shè)立了出售、非法提供公民個(gè)人信息罪與非法獲取公民個(gè)人信息罪兩個(gè)罪名。2012年《全國人民代表大會常務(wù)委員會關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》，第一次從法律上界定了個(gè)人信息的內(nèi)涵和范圍，也是我國法律第一次對個(gè)人信息保護(hù)實(shí)體內(nèi)容進(jìn)行較為系統(tǒng)的規(guī)定。2013年修訂的消費(fèi)者權(quán)益保護(hù)法，明確將個(gè)人信息得到保護(hù)的權(quán)利列為消費(fèi)者的一項(xiàng)基本權(quán)利，全面突出強(qiáng)調(diào)了消費(fèi)者個(gè)人信息保護(hù)方面的內(nèi)容。2015年刑法修正案(九)對刑法修正案(七)的規(guī)定予以進(jìn)一步完善，將兩個(gè)罪名合并為侵犯公民個(gè)人信息罪一個(gè)罪名，還增設(shè)了拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪。2016年制定的網(wǎng)絡(luò)安全法是迄今為止對個(gè)人信息保護(hù)規(guī)定最為全面的立法，它明確要求網(wǎng)絡(luò)運(yùn)營者建立健全用戶信息保護(hù)制度。2017年民法總則第111條規(guī)定，自然人的個(gè)人信息受法律保護(hù)。

由于缺乏專門的個(gè)人信息保護(hù)法，我國個(gè)人信息保護(hù)相關(guān)立法目前普遍存在兩個(gè)突出問題：一是規(guī)定過于原則，往往只是一個(gè)概念或者一個(gè)具體要求，通常是禁止性要求，缺乏系統(tǒng)的整體制度設(shè)計(jì)，即使網(wǎng)絡(luò)安全法對于個(gè)人信息保護(hù)也都只是一些非常原則性的規(guī)定;二是普遍重責(zé)任追究，尤其是刑事責(zé)任追究，輕過程規(guī)范，輕綜合治理。只要發(fā)生不利結(jié)果，就責(zé)任很重，甚至可以直接刑罰制裁，而信息控制者究竟應(yīng)該履行哪些法律義務(wù)則缺乏規(guī)定。比如，按照《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》，對于侵犯公民個(gè)人信息罪“情節(jié)嚴(yán)重”采用了十種不同的判定標(biāo)準(zhǔn)，符合標(biāo)準(zhǔn)之一就可以定罪。這樣，幾乎所有侵犯公民個(gè)人信息行為都可能直接觸發(fā)刑事責(zé)任，完全可以替代任何行政執(zhí)法機(jī)制，更不需要內(nèi)部治理機(jī)制配合。結(jié)果，近年來的密集立法不但未能解決信息控制者內(nèi)部信息安全與個(gè)人信息保護(hù)脫節(jié)問題，還導(dǎo)致外部法律要求與信息控制者內(nèi)部治理機(jī)制脫節(jié)、刑法制裁與其他法律手段脫節(jié)、責(zé)任規(guī)范與行為規(guī)范脫節(jié)等現(xiàn)象，呈現(xiàn)典型的命令控制式立法特點(diǎn)。刑事責(zé)任規(guī)定雖然看似嚴(yán)格，實(shí)際效果卻非常有限。隨著大數(shù)據(jù)發(fā)展，一些市場主體已經(jīng)意識到個(gè)人信息保護(hù)的重要性，并進(jìn)行相關(guān)的主動探索，但囿于內(nèi)部體制分割，加之法律規(guī)定導(dǎo)致的各種脫節(jié)現(xiàn)象，始終無法破解“兩張皮”“多張皮”問題癥結(jié)。

個(gè)人信息保護(hù)法要做的，就是針對上述各種脫節(jié)現(xiàn)象，借鑒近年來國際社會的實(shí)踐經(jīng)驗(yàn)與國內(nèi)行業(yè)領(lǐng)先企業(yè)的有益探索，以培育信息控制者內(nèi)部治理機(jī)制為目標(biāo)，將個(gè)人信息保護(hù)要求嵌入整體信息安全防范體系中，明確各個(gè)環(huán)節(jié)的相關(guān)法律義務(wù)和組織要求，完善多元參與與互動機(jī)制，實(shí)現(xiàn)法律規(guī)范的外在要求與信息控制者的內(nèi)在需要激勵(lì)相容，達(dá)到既保護(hù)個(gè)人信息安全又強(qiáng)化信息控制者的安全防范能力的雙贏結(jié)果。這就涉及觀念更新、組織與流程再造、行為方式調(diào)整等各個(gè)方面，是一項(xiàng)系統(tǒng)工程，需要進(jìn)行全面的制度設(shè)計(jì)。

首先，需要更新信息安全觀念，走出傳統(tǒng)的運(yùn)行安全、系統(tǒng)安全的純技術(shù)路徑依賴，適應(yīng)大數(shù)據(jù)時(shí)代的特點(diǎn)，確立數(shù)據(jù)安全觀念，把數(shù)據(jù)當(dāng)做核心資產(chǎn)，確立用戶個(gè)人信息至上的基本價(jià)值觀，培育保護(hù)個(gè)人信息就是維護(hù)核心競爭力的意識，積極主動承擔(dān)個(gè)人信息保護(hù)責(zé)任。盡管觀念更新僅僅依靠立法不可能完全解決，但通過個(gè)人信息保護(hù)法明確相應(yīng)的法律義務(wù)與要求，加大違法行為的責(zé)任承擔(dān)，一定有助于改變長期積重難返的各種認(rèn)識模糊問題。

其次，結(jié)構(gòu)決定功能，觀念明確以后，有效的組織結(jié)構(gòu)就是基礎(chǔ)。如果能夠從結(jié)構(gòu)上構(gòu)筑信息控制者積極主動作為的組織體系，就完全有可能改變其行為方式，使個(gè)人信息保護(hù)成為其內(nèi)生機(jī)制的一部分。個(gè)人信息保護(hù)法應(yīng)明確要求信息控制者指定或者設(shè)立專門機(jī)構(gòu)或具有相應(yīng)資質(zhì)的專門人員(數(shù)據(jù)保護(hù)官)，負(fù)責(zé)本單位個(gè)人信息保護(hù)日常工作，包括參與涉及個(gè)人信息保護(hù)所有重大決策的個(gè)人信息影響風(fēng)險(xiǎn)評估、負(fù)責(zé)擬定個(gè)人信息保護(hù)政策、與相關(guān)個(gè)人信息保護(hù)主管部門或行業(yè)自律組織聯(lián)絡(luò)、組織個(gè)人信息保護(hù)安全培訓(xùn)、接受信息主體的投訴等。數(shù)據(jù)保護(hù)官應(yīng)獨(dú)立履行職責(zé)，享有任職保障，并直接向本單位最高管理層負(fù)責(zé)，使最高決策層能夠直接過問個(gè)人信息保護(hù)問題。要破解前面提到的各種脫節(jié)現(xiàn)象，務(wù)必從組織體系上實(shí)現(xiàn)個(gè)人信息保護(hù)與信息安全管理、安全管理與業(yè)務(wù)發(fā)展相互融合。安全管理一定要能夠分布式延伸到每一條業(yè)務(wù)線，與業(yè)務(wù)團(tuán)隊(duì)實(shí)現(xiàn)無縫對接，既實(shí)現(xiàn)安全管理政策的有效觸達(dá)，又全方位為業(yè)務(wù)發(fā)展保駕護(hù)航，有效解決“兩張皮”“多張皮”現(xiàn)象。從國內(nèi)行業(yè)領(lǐng)先企業(yè)的探索實(shí)踐看，尤其在制度建設(shè)的過渡階段，由于安全部門的地位更受重視，與業(yè)務(wù)線融合更好，由安全部門從企業(yè)數(shù)據(jù)安全角度負(fù)責(zé)個(gè)人信息保護(hù)，可能比法務(wù)部門從合規(guī)角度負(fù)責(zé)個(gè)人信息保護(hù)更為有效，更有利于迅速推進(jìn)各種融合。當(dāng)然，由于不同信息控制者的實(shí)際情況不一樣，個(gè)人信息保護(hù)法不宜“一刀切”地介入信息控制者內(nèi)部職能劃分，但推進(jìn)融合的大方向顯然是非常明確的。不同的信息控制者應(yīng)該根據(jù)本身實(shí)際情況，采取最有效的推進(jìn)融合的組織形式。

再次，改變過去合規(guī)與業(yè)務(wù)流程設(shè)計(jì)相互分離、就合規(guī)談合規(guī)的傳統(tǒng)做法，從業(yè)務(wù)流程設(shè)計(jì)開始就將個(gè)人信息保護(hù)要求嵌入產(chǎn)品與服務(wù)之中，體現(xiàn)“設(shè)計(jì)即隱私”理念，實(shí)現(xiàn)個(gè)人信息保護(hù)全流程覆蓋、全業(yè)務(wù)貫通的行為方式轉(zhuǎn)變。在大數(shù)據(jù)環(huán)境下，不從源頭設(shè)計(jì)個(gè)人信息保護(hù)，無法真正防范信息安全風(fēng)險(xiǎn)，這是推進(jìn)組織融合的出發(fā)點(diǎn)和目的，也是行為方式轉(zhuǎn)變的核心。為此，個(gè)人信息保護(hù)法需要設(shè)計(jì)一些重要的制度，主要包括：(1)在網(wǎng)絡(luò)安全法確立的合法、正當(dāng)、必要原則之外，明確將責(zé)任原則也確立為個(gè)人信息保護(hù)的一項(xiàng)基本原則，促使信息控制者積極履行責(zé)任，防范風(fēng)險(xiǎn)發(fā)生。(2)信息控制者在采用涉及處理個(gè)人信息的新措施、新技術(shù)、新應(yīng)用之前，應(yīng)進(jìn)行個(gè)人信息影響風(fēng)險(xiǎn)評估，并采取相應(yīng)的安全措施，預(yù)防風(fēng)險(xiǎn)發(fā)生。評估可能存在高風(fēng)險(xiǎn)，技術(shù)上或者經(jīng)濟(jì)上無法有效化解這種風(fēng)險(xiǎn)的，應(yīng)事先咨詢個(gè)人信息保護(hù)主管部門的意見，建立有效的咨詢協(xié)商機(jī)制，共同解決問題。(3)應(yīng)鼓勵(lì)個(gè)人信息控制者采用筆名化、加密保護(hù)、匿名化等方式處理個(gè)人信息，從源頭防范個(gè)人信息泄露、被濫用等風(fēng)險(xiǎn)，并明確規(guī)定經(jīng)匿名化處理的信息不適用個(gè)人信息保護(hù)法。這樣，既可以彌補(bǔ)網(wǎng)絡(luò)安全法第42條對于脫敏信息的規(guī)定法律效果不明確的弊端，有利于推動大數(shù)據(jù)開發(fā)利用，也與歐盟及其他國家對于匿名化信息的規(guī)定保持一致。(4)應(yīng)要求信息控制者定期主動對信息系統(tǒng)個(gè)人信息安全進(jìn)行檢測評估，提高風(fēng)險(xiǎn)防范能力和安全事件應(yīng)急處置能力。(5)應(yīng)平衡個(gè)人信息保護(hù)與大數(shù)據(jù)開發(fā)利用以及其他社會公共利益的關(guān)系，明確將為統(tǒng)計(jì)分析、檔案管理與新聞報(bào)道、學(xué)術(shù)研究、藝術(shù)表達(dá)、文學(xué)創(chuàng)作等目的處理個(gè)人信息的活動，根據(jù)具體情況豁免或者克減適用個(gè)人信息保護(hù)法的某些規(guī)定，具體辦法由國務(wù)院個(gè)人信息保護(hù)主管部門會同相關(guān)部門制定，為信息控制者推動大數(shù)據(jù)開發(fā)利用提供法律接口。(6)對于跨境個(gè)人信息傳輸，除設(shè)計(jì)類似于歐盟的“充分性”認(rèn)定機(jī)制，以國家為對象采取對等措施以外，還應(yīng)設(shè)計(jì)多元的補(bǔ)充認(rèn)定機(jī)制，包括經(jīng)核準(zhǔn)的標(biāo)準(zhǔn)個(gè)人信息保護(hù)合同條款、企業(yè)自我約束規(guī)則、行為規(guī)范，以及獲得合法備案的個(gè)人信息保護(hù)可信標(biāo)志或認(rèn)證標(biāo)志等。以信息控制者為適用對象，分別適用于不同的場景，解決不同的實(shí)際問題。只有這樣，才能調(diào)動信息控制者參與個(gè)人信息保護(hù)的積極性，促進(jìn)正常國際經(jīng)貿(mào)往來。

近年來國內(nèi)外發(fā)生的各種個(gè)人信息安全事件，如CSDN遭受攻擊、12306網(wǎng)站信息泄露、徐玉玉被詐騙致死案、支付寶年度賬單事件、Yahoo郵箱泄露案、Equifax征信信息竊取案等，根源大多是信息控制者內(nèi)部安全防范環(huán)節(jié)出現(xiàn)了問題，尤其是疏于防范、遭黑客攻擊、內(nèi)部人非法提供、新業(yè)務(wù)開發(fā)與安全保護(hù)脫節(jié)等。只要能夠構(gòu)建有效運(yùn)轉(zhuǎn)的內(nèi)部治理機(jī)制，將個(gè)人數(shù)據(jù)安全納入整體安全防范體系，絕大部分類似事件都應(yīng)該能預(yù)防、避免。

四構(gòu)筑有效的外部執(zhí)法威懾

發(fā)育激勵(lì)相容的內(nèi)生機(jī)制，核心在信息控制者的自律。但是，在利用與保護(hù)個(gè)人數(shù)據(jù)激勵(lì)失衡的大背景下，不論是合作規(guī)制理論還是各國個(gè)人信息保護(hù)實(shí)踐均證明，完全依靠自律機(jī)制并不能形成有效的激勵(lì)約束。只要個(gè)人數(shù)據(jù)能夠帶來利益，這種現(xiàn)象就難以改變。制定個(gè)人信息保護(hù)法的國家，一項(xiàng)重要的立法任務(wù)就是構(gòu)建有效的外部執(zhí)法威懾，促使信息控制者積極履行法律責(zé)任，并對違法處理個(gè)人信息的行為予以制裁。美國雖然沒有制定統(tǒng)一的個(gè)人信息保護(hù)法，但有著其他國家無法比擬的強(qiáng)大的外部執(zhí)法威懾機(jī)制，能夠約束信息控制者的行為。美國憲法、聯(lián)邦法律、州法對于個(gè)人信息都有相應(yīng)的保護(hù)規(guī)定，只是聯(lián)邦層面缺乏一部統(tǒng)一的適用于市場主體的個(gè)人信息保護(hù)法。美國聯(lián)邦貿(mào)易委員會、各州總檢察長、民事(集團(tuán))訴訟、國會監(jiān)督與媒體監(jiān)督及社會監(jiān)督等機(jī)制絲毫不亞于歐盟國家個(gè)人信息管理局的執(zhí)法力度。對于某些特殊領(lǐng)域個(gè)人信息的保護(hù)，如征信信息、未成年人信息、金融信息、健康信息、電子通訊等，美國還有專門聯(lián)邦立法及相應(yīng)的執(zhí)法機(jī)制，保護(hù)力度更大。以美國經(jīng)驗(yàn)說明后發(fā)國家不需要制定個(gè)人信息保護(hù)法，沒有任何說服力。

由于缺少統(tǒng)一的個(gè)人信息保護(hù)法，我國在外部執(zhí)法威懾機(jī)制構(gòu)建方面除了前述的刑法機(jī)制替代其他執(zhí)法機(jī)制、信息控制者實(shí)體行為規(guī)范缺位以外，實(shí)踐中還導(dǎo)致國家網(wǎng)絡(luò)安全保護(hù)與個(gè)人信息保護(hù)錯(cuò)位現(xiàn)象，進(jìn)一步加劇規(guī)則適用的紊亂和系統(tǒng)性失靈。

在國家信息網(wǎng)絡(luò)專項(xiàng)立法規(guī)劃中，信息網(wǎng)絡(luò)立法是分層規(guī)劃、分層設(shè)計(jì)的，網(wǎng)絡(luò)安全法與個(gè)人信息保護(hù)法是兩部獨(dú)立的立法，各自有其立法目的、原則、任務(wù)與制度。網(wǎng)絡(luò)安全是國家安全的重要組成部分，事關(guān)國家根本利益，不容半點(diǎn)妥協(xié)，沒有網(wǎng)絡(luò)安全就沒有國家安全。個(gè)人信息權(quán)是個(gè)人權(quán)利的組成部分，權(quán)利有相對性，需要依法行使，同時(shí)承擔(dān)義務(wù)，權(quán)利與權(quán)利之間出現(xiàn)沖突需要協(xié)調(diào)，為了國家安全與公共利益可能還需要對權(quán)利進(jìn)行必要的限制或克減。正因?yàn)閲�家安全與個(gè)人權(quán)利的這種性質(zhì)與位階差別，在各國立法與國際條約中，如《公民權(quán)利和政治權(quán)利國際公約》第4條、《歐洲人權(quán)公約》第15條等，均明確國家安全是更高價(jià)值，予以最高等級的保護(hù);而個(gè)人信息權(quán)利的行使不但要以法律的規(guī)定為前提，還要受到國家安全與公共利益的限制。

由于網(wǎng)絡(luò)安全法制定的時(shí)候，個(gè)人信息保護(hù)法尚未被納入國家正式立法計(jì)劃，因此該法自然承擔(dān)了部分個(gè)人信息保護(hù)法的立法任務(wù)，集中反映在第四章的相關(guān)規(guī)定中。用立法工作部門的話來說，該法“進(jìn)一步完善了個(gè)人信息保護(hù)規(guī)范，這些規(guī)范與國際通行規(guī)則是基本一致的”。也就是說，網(wǎng)絡(luò)安全法同時(shí)承擔(dān)了雙重任務(wù)：一是保護(hù)國家網(wǎng)絡(luò)安全，這是該法的主要任務(wù);二是保護(hù)個(gè)人信息安全，這是該法的附帶任務(wù)。如果能夠把握法律關(guān)系的本質(zhì)，分別適用不同的判斷標(biāo)準(zhǔn)與制度，本來應(yīng)該不會出現(xiàn)不同任務(wù)之間的錯(cuò)位問題。

但是，由于個(gè)人信息保護(hù)法缺位，加之其他各種復(fù)雜的原因，實(shí)踐中已經(jīng)出現(xiàn)的問題是，執(zhí)法部門有時(shí)候會將雙重任務(wù)混合，就高不就低，將保護(hù)國家網(wǎng)絡(luò)安全的標(biāo)準(zhǔn)適用到個(gè)人信息保護(hù)領(lǐng)域，導(dǎo)致法律關(guān)系出現(xiàn)錯(cuò)位和紊亂。最為典型的事例當(dāng)屬數(shù)據(jù)本地化要求。在網(wǎng)絡(luò)安全法中，由于關(guān)鍵信息基礎(chǔ)設(shè)施的特殊地位，運(yùn)營者掌握的個(gè)人信息和重要數(shù)據(jù)直接事關(guān)國家安全，必須以本地化為原則，確需出境的，依法進(jìn)行國家安全評估后才能出境。相反，對于一般網(wǎng)絡(luò)運(yùn)營者或者信息控制者而言，其個(gè)人信息出境只涉及個(gè)人權(quán)利保護(hù)，數(shù)據(jù)出境可以有多種制度安排，如基于信息主體的同意、第三國滿足充分性認(rèn)定要求、維護(hù)第三人的重要利益、滿足其他替代認(rèn)定機(jī)制等。一個(gè)非常重要的差別是，國家安全評估的對象是相關(guān)個(gè)人信息和重要數(shù)據(jù)是否涉及國家安全、是否適合出境，而跨境個(gè)人信息傳輸?shù)脑u估對象是接受個(gè)人信息的第三方是否能夠有效保護(hù)個(gè)人信息，評估的對象與標(biāo)準(zhǔn)都截然不同。如果將國家網(wǎng)絡(luò)安全標(biāo)準(zhǔn)適用于個(gè)人信息保護(hù)，勢必混淆評估對象和法律關(guān)系，抬高保護(hù)門檻，不利于正常的國際經(jīng)貿(mào)交流。已經(jīng)發(fā)布的《信息安全技術(shù)·個(gè)人信息安全規(guī)范》(GB/T35273-2017)8.7(個(gè)人信息跨境傳輸要求)規(guī)定，“在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的個(gè)人信息向境外提供的，個(gè)人信息控制者應(yīng)當(dāng)按照國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定的辦法和相關(guān)標(biāo)準(zhǔn)進(jìn)行安全評估，并符合其要求”。這一規(guī)定是典型的以國家安全評估代替?zhèn)�人信息跨境傳輸保護(hù)水平評估，混淆了兩項(xiàng)根本不同的制度，強(qiáng)制推行會導(dǎo)致各種意想不到的嚴(yán)重后果，也不利于真正保護(hù)國家網(wǎng)絡(luò)安全。

可見，加快出臺個(gè)人信息保護(hù)法，科學(xué)厘清不同制度的邊界，不僅能解決刑法規(guī)范替代其他執(zhí)法機(jī)制、信息控制者行為規(guī)范缺失等問題，也能理順個(gè)人信息保護(hù)法與網(wǎng)絡(luò)安全法的關(guān)系，解決好外部執(zhí)法威懾機(jī)制越位、缺位與錯(cuò)位并存的三大現(xiàn)實(shí)問題，形成有效的立法結(jié)構(gòu)，推動大數(shù)據(jù)利用與個(gè)人信息保護(hù)的協(xié)調(diào)發(fā)展。

構(gòu)筑有效的外部執(zhí)法威懾，并不是為了執(zhí)法而執(zhí)法，更不是為了增加信息控制者的負(fù)擔(dān)，而是為了推動信息控制者形成有效的內(nèi)生治理機(jī)制。為此，個(gè)人信息保護(hù)法應(yīng)從明確行為規(guī)范、加大違法成本、增強(qiáng)信息披露、提高違法行為被發(fā)現(xiàn)的可能性、完善行政處罰與刑事責(zé)任的銜接、推進(jìn)合作治理等多角度，構(gòu)筑有效威懾機(jī)制，構(gòu)筑“胡蘿卜+大棒”的激勵(lì)約束格局，促使個(gè)人信息保護(hù)要求能夠真正被信息控制者嚴(yán)格執(zhí)行。如下幾個(gè)方面的制度設(shè)計(jì)不可或缺：

首先，與培育內(nèi)部治理機(jī)制相銜接，擴(kuò)大責(zé)任原則的邊界，通過行業(yè)領(lǐng)先者的標(biāo)桿作用提升行業(yè)整體保護(hù)水平。個(gè)人信息保護(hù)法需要明確規(guī)定，信息控制者依法向第三方提供、轉(zhuǎn)移、共享或者跨境傳輸其合法控制的個(gè)人信息的，應(yīng)保證第三方能夠履行同等個(gè)人信息保護(hù)法律義務(wù)，確保個(gè)人信息全流程安全，保證責(zé)任原則的全面實(shí)現(xiàn)。這將有利于提升行業(yè)整體保護(hù)水平，避免木桶效應(yīng)，改變違法成本低、守法成本高的逆向選擇問題。

其次，確立并貫徹落實(shí)透明原則，以公開透明促內(nèi)部治理結(jié)構(gòu)發(fā)揮作用。個(gè)人信息處理過程公開透明，是信息控制者形成內(nèi)生機(jī)制的重要外部條件和運(yùn)行保障，能有效彌補(bǔ)合法、正當(dāng)、必要等原則的不足。個(gè)人信息保護(hù)法應(yīng)明確規(guī)定，發(fā)生個(gè)人信息泄露的，信息控制者應(yīng)當(dāng)在知情后及時(shí)——最遲不超過72小時(shí)——向個(gè)人信息保護(hù)主管部門報(bào)告，除非泄露不會對信息主體的合法權(quán)利產(chǎn)生風(fēng)險(xiǎn)。不能在72小時(shí)內(nèi)報(bào)告的，應(yīng)說明理由。第三方發(fā)生個(gè)人信息泄露的，除向個(gè)人信息保護(hù)主管部門報(bào)告外，還應(yīng)同時(shí)通知信息控制者。個(gè)人信息泄露可能對信息主體權(quán)利產(chǎn)生高風(fēng)險(xiǎn)的，信息控制者應(yīng)以清晰、簡潔的語言，盡快通知信息主體。

再次，明確信息控制者行為底線，完善行政執(zhí)法手段和合作治理機(jī)制，及時(shí)發(fā)現(xiàn)違法行為。個(gè)人信息保護(hù)法應(yīng)明確規(guī)定：信息控制者不得以不公平條件或者“一攬子協(xié)議”方式，強(qiáng)制或者變相強(qiáng)制信息主體授權(quán)對個(gè)人信息的收集;對于特殊類型個(gè)人信息(如基因、生物、健康、種族、信仰、征信等)，實(shí)行特殊保護(hù)，禁止或者限制信息控制者采集，構(gòu)筑個(gè)人信息安全防控底線;信息控制者采用預(yù)測性識別技術(shù)，應(yīng)采用公平的數(shù)學(xué)或統(tǒng)計(jì)學(xué)方法，禁止基于種族、民族、政治觀點(diǎn)、宗教或者信仰、基因或者健康狀態(tài)等差別對信息主體進(jìn)行歧視;處理基因數(shù)據(jù)、生物數(shù)據(jù)、健康狀況數(shù)據(jù)等敏感數(shù)據(jù)，以個(gè)人信息處理為主要業(yè)務(wù)，處理個(gè)人征信數(shù)據(jù)或者處理刑事裁判數(shù)據(jù)等，須經(jīng)政府個(gè)人信息保護(hù)主管部門行政許可。個(gè)人信息保護(hù)法應(yīng)推動形成內(nèi)外互動的職業(yè)共同體和多方交流平臺，包括制定行業(yè)行為規(guī)范等，不斷將外部壓力傳導(dǎo)到信息控制者內(nèi)部。個(gè)人信息保護(hù)法應(yīng)著力完善行政執(zhí)法手段，規(guī)定個(gè)人信息保護(hù)主管部門可以約談信息控制者的高級管理人員，要求就個(gè)人信息保護(hù)重大事項(xiàng)作出說明，提示個(gè)人信息保護(hù)面臨的風(fēng)險(xiǎn)，要求及時(shí)進(jìn)行相應(yīng)整改，加強(qiáng)過程監(jiān)管和協(xié)商治理。信息控制者違法進(jìn)行個(gè)人信息處理的，政府個(gè)人信息保護(hù)主管部門應(yīng)當(dāng)有多種方式的管理手段，包括責(zé)令限期改正，責(zé)令暫停個(gè)人信息處理，責(zé)令消除影響、賠禮道歉，責(zé)令停止使用個(gè)人信息文件、個(gè)人信息系統(tǒng)，責(zé)令提供個(gè)人信息，責(zé)令更正、停止使用、限制處理或者刪除個(gè)人信息，責(zé)令銷毀個(gè)人信息文件、個(gè)人信息系統(tǒng)，責(zé)令停止跨境信息傳輸，警告并發(fā)布風(fēng)險(xiǎn)提示，罰款，吊銷個(gè)人信息處理登記證或許可證等。對于嚴(yán)重違法行為，個(gè)人信息保護(hù)法應(yīng)提高行政處罰標(biāo)準(zhǔn)，引入累犯加罰，按照違法處理個(gè)人信息條數(shù)處以罰款等。

最后，借鑒消費(fèi)者權(quán)益保護(hù)法修改經(jīng)驗(yàn)，加大民事責(zé)任追究力度，解決個(gè)人信息被濫用后民事維權(quán)成本高、收益低問題，調(diào)動信息主體依法維權(quán)的積極性。個(gè)人信息保護(hù)法應(yīng)規(guī)定：信息主體認(rèn)為信息控制者的個(gè)人信息處理行為違反法律的規(guī)定，侵犯其合法權(quán)益導(dǎo)致其人身、財(cái)產(chǎn)或者精神損害的，可以依法直接向人民法院提起民事訴訟，要求停止侵害，消除影響，賠償損失，包括精神損害賠償;具備條件的社會組織，就損害信息主體合法權(quán)益的行為，支持受損害的信息主體提起訴訟或者依法提起訴訟;信息控制者的信息處理行為違反法律的規(guī)定，給信息主體的人身、財(cái)產(chǎn)或者精神合法權(quán)益造成損害的，應(yīng)依法承擔(dān)賠償責(zé)任;賠償?shù)慕痤~不足500元的，為500元;法律另有規(guī)定的，依照其規(guī)定。

五把握循序漸進(jìn)的推進(jìn)節(jié)奏

培育信息控制者內(nèi)部治理機(jī)制與構(gòu)筑有效的外部執(zhí)法威懾，只是信息控制者與管理者兩個(gè)主體之間的單維度關(guān)系，屬于監(jiān)管范疇的制度構(gòu)建。要實(shí)現(xiàn)大數(shù)據(jù)利用與個(gè)人信息保護(hù)之間的協(xié)調(diào)發(fā)展，肯定不能遺漏信息主體及其權(quán)利行使，這就涉及信息主體、信息控制者、管理者三者之間的多維治理結(jié)構(gòu)。缺乏信息主體參與，缺乏完整的治理結(jié)構(gòu)支撐，不可能出現(xiàn)激勵(lì)相容的結(jié)果，大數(shù)據(jù)發(fā)展與個(gè)人信息保護(hù)不可能實(shí)現(xiàn)持久平衡。當(dāng)然，一旦引入多維視角，問題就會復(fù)雜得多。美歐兩種模式之間的真正差別，其實(shí)在于究竟是在多維還是在單維中考慮個(gè)人信息保護(hù)。歐盟從一開始就需要處理好基本權(quán)利保護(hù)與信息自由流動不同價(jià)值之間的關(guān)系，注定了要在多維視角中解決問題，因此一直面臨很大的平衡壓力。但在長期努力之下，其基本理念與制度已經(jīng)被其他國家普遍接納。美國一直回避基本權(quán)利話語，僅從消費(fèi)者風(fēng)險(xiǎn)防范單維度考慮個(gè)人信息安全，處理起來更為簡單。美國在國際上能夠特立獨(dú)行，一是因?yàn)槊绹�商界對于�?chuàng)新的重視和對政府監(jiān)管的懷疑;二是國內(nèi)強(qiáng)有力的執(zhí)法機(jī)制，能夠有效規(guī)范市場主體的行為;三是在國際上具有霸權(quán)地位，可以靠實(shí)力推行自己的一套價(jià)值觀。美國所具有的這些條件其他國家大多難以完全具備，其做法也難以為其他國家所照搬。但是，隨著大數(shù)據(jù)帶來的個(gè)人信息安全關(guān)切日益上升，美國也一直面臨越來越大的國內(nèi)外壓力，要求更重視消費(fèi)者權(quán)利，讓消費(fèi)者有權(quán)控制自己的信息。奧巴馬政府2012年首次發(fā)布消費(fèi)者隱私權(quán)利法案白皮書，2015年直接以法案形式提出完整的立法建議，都是希望以消費(fèi)者控制為核心理念來完善制度，賦予消費(fèi)者控制哪些個(gè)人信息可以被收集以及這些信息如何使用的權(quán)利。盡管這些建議尚未能付諸實(shí)踐，但已經(jīng)反映了制度構(gòu)建上多維視角的重要性，歐盟長期面臨的雙重價(jià)值平衡問題遲早也會在美國出現(xiàn)。

我國制定個(gè)人信息保護(hù)法，不能夠也不應(yīng)該回避權(quán)利話語。這主要是因?yàn)椋菏紫龋�要繼續(xù)參與國際經(jīng)貿(mào)交往，我們只能構(gòu)建國際通行的多維話語體系與個(gè)人信息保護(hù)法律制度，否則很有可能被排斥在國際規(guī)則體系之外。其次，近年來的國內(nèi)相關(guān)立法已經(jīng)在個(gè)人信息權(quán)利保護(hù)上邁出重要的步伐，包括民法總則第111條在民事權(quán)利部分明確規(guī)定保護(hù)個(gè)人信息，2013年消費(fèi)者權(quán)益保護(hù)法修改后納入了后悔權(quán)和個(gè)人信息權(quán)等新類型權(quán)利，《征信業(yè)管理?xiàng)l例》系統(tǒng)構(gòu)建了信息主體對于個(gè)人征信信息的控制制度，網(wǎng)絡(luò)安全法在回避使用權(quán)利概念的同時(shí)實(shí)際上部分確立了包括被遺忘權(quán)在內(nèi)的新型權(quán)利的法律地位。隨著社會的發(fā)展，不論是私法性質(zhì)還是公法性質(zhì)的權(quán)利，權(quán)利的種類、范圍等都在不斷擴(kuò)大之中，個(gè)人信息保護(hù)法要順應(yīng)大數(shù)據(jù)發(fā)展歷史潮流，承擔(dān)推進(jìn)個(gè)人信息保護(hù)的歷史責(zé)任。最后，其實(shí)也是最重要的理由在于，隨著大數(shù)據(jù)廣泛使用，個(gè)人信息面臨的威脅也同步加大，公眾對于個(gè)人信息安全的需求和意識會越來越強(qiáng)烈，法律必須予以回應(yīng)。

2014年，中國消費(fèi)者協(xié)會的個(gè)人信息保護(hù)狀況調(diào)查發(fā)現(xiàn)，約三分之二受訪者在過去一年內(nèi)個(gè)人信息曾被泄露或竊取。受訪者中，認(rèn)為“服務(wù)商未經(jīng)本人同意，暗自收集個(gè)人信息”是消費(fèi)者個(gè)人信息泄露的最主要途徑，占比達(dá)64.08%。中國信息通信研究院的一項(xiàng)實(shí)證調(diào)查也發(fā)現(xiàn)，近80%的用戶認(rèn)為隱私泄露嚴(yán)重，防不勝防;并且，用戶維權(quán)意識提升，認(rèn)為企業(yè)“不告知收集”和“非法買賣個(gè)人信息”是突出問題。另一項(xiàng)權(quán)威數(shù)據(jù)顯示，2016年遭遇過網(wǎng)絡(luò)安全事件的用戶占比達(dá)到整體網(wǎng)民的70.5%，其中網(wǎng)上詐騙是網(wǎng)民遇到的首要網(wǎng)絡(luò)安全問題，39.1%的網(wǎng)民曾遇到過這類安全事件。公安部刑偵局有關(guān)負(fù)責(zé)人幾年前就表示，侵害公民個(gè)人信息犯罪是多種下游犯罪的源頭，社會危害巨大，除引發(fā)電信、網(wǎng)絡(luò)詐騙等各種新型犯罪外，還與綁架、敲詐勒索、暴力追債等黑惡犯罪合流。2016年底徐玉玉案之后，公民個(gè)人信息泄露導(dǎo)致的生命財(cái)產(chǎn)威脅引起社會各界廣泛關(guān)注。在個(gè)人信息面臨各種嚴(yán)峻挑戰(zhàn)、公眾信息安全意識逐步提升的大背景下，個(gè)人信息保護(hù)法如果不確立公眾維護(hù)自己權(quán)利的制度，不能滿足公眾的最基本安全需求，公眾一定會用實(shí)際行動(包括用腳投票)來維護(hù)自己的信息安全，動搖大數(shù)據(jù)發(fā)展的基石，結(jié)果只會導(dǎo)致信息控制者、管理者、信息主體的雙輸或者多輸結(jié)果。

因此，個(gè)人信息保護(hù)法應(yīng)該在近幾年各項(xiàng)立法的基礎(chǔ)上，借鑒國際社會成功經(jīng)驗(yàn)，包括美國與歐盟的經(jīng)驗(yàn)，以全面構(gòu)建個(gè)人數(shù)據(jù)治理體系為原則，以防范個(gè)人信息安全風(fēng)險(xiǎn)為目標(biāo)，明確引入公法意義上的個(gè)人信息控制權(quán)概念，并在收集、使用、轉(zhuǎn)移、存儲、跨境傳輸、銷毀、查詢、更正等個(gè)人信息處理的全過程，明確信息主體的知情權(quán)、同意權(quán)、選擇權(quán)、變更權(quán)、刪除權(quán)、撤回權(quán)等各權(quán)項(xiàng)，使信息主體能夠真正參與到個(gè)人信息保護(hù)之中。

大數(shù)據(jù)時(shí)代的個(gè)人信息保護(hù)是一個(gè)嶄新的領(lǐng)域，個(gè)人信息權(quán)屬于一項(xiàng)新的權(quán)利，權(quán)利的性質(zhì)與邊界都還不清晰，不宜簡單用傳統(tǒng)權(quán)利觀念剪裁。簡單照搬傳統(tǒng)權(quán)利理論，可能會陷入無休止的理論爭論之中，耗費(fèi)大量精力。缺乏系統(tǒng)制度支撐的法律規(guī)定，口號再響亮，規(guī)范意義也會非常模糊，在實(shí)踐中更不可能產(chǎn)生影響。各國實(shí)踐已經(jīng)證明，即使立法技術(shù)科學(xué)，權(quán)利體系設(shè)計(jì)嚴(yán)密，僅僅依靠個(gè)人同意權(quán)等傳統(tǒng)隱私權(quán)保護(hù)機(jī)制，無法應(yīng)對大數(shù)據(jù)快速發(fā)展背景下的個(gè)人信息保護(hù)問題，告知同意機(jī)制完全可能流于形式，信息主體只能選擇同意。正因?yàn)槿绱�，才有歐盟、美國對激勵(lì)相容機(jī)制的共同探索。

這就表明，個(gè)人信息保護(hù)法在設(shè)計(jì)治理結(jié)構(gòu)的同時(shí)，必須考慮實(shí)施環(huán)節(jié)的激勵(lì)相容機(jī)制實(shí)現(xiàn)問題，使實(shí)施部門對立法目的和基本制度構(gòu)造有非常清晰的整體認(rèn)識，并處理好不同維度之間的關(guān)系。個(gè)人信息保護(hù)法的實(shí)施需要循序漸進(jìn)、突出重點(diǎn)、把握主線，以風(fēng)險(xiǎn)管理與防控為共同切入點(diǎn)，尋求法律實(shí)施的最大公約數(shù)，梯度遞進(jìn)。首先要通過立法在內(nèi)的外部機(jī)制助推信息控制者組織架構(gòu)變革，發(fā)育有效內(nèi)生機(jī)制，形成內(nèi)外互動合力，以有效預(yù)防絕大部分個(gè)人信息安全風(fēng)險(xiǎn)。在此基礎(chǔ)上，根據(jù)國情、信息控制者接受度和公眾偏好等因素，逐步探索提高價(jià)值定位，如合規(guī)、權(quán)利實(shí)現(xiàn)等。這種實(shí)施策略，既可以形成激勵(lì)相容合力，調(diào)動信息控制者維護(hù)信息安全的積極性，降低規(guī)制成本，迅速實(shí)現(xiàn)基本安全目標(biāo)，也有利于監(jiān)管部門集中執(zhí)法力量，聚焦核心環(huán)節(jié)，避免執(zhí)法力量過于分散。比如，對于信息控制者的不合規(guī)行為，在既有協(xié)商執(zhí)行的余地又有強(qiáng)制手段的情況下，先協(xié)商執(zhí)行效果可能要比簡單強(qiáng)制好，更有利于調(diào)動信息控制者持續(xù)改進(jìn)的積極性，而不是一罰了事。再如，個(gè)人信息從最內(nèi)核的隱私信息到通常理解的敏感信息再到最外圍的大數(shù)據(jù)意義上的非敏感個(gè)人信息，呈現(xiàn)一個(gè)放射狀扇形結(jié)構(gòu)。對于不同的個(gè)人信息，執(zhí)行機(jī)制就要進(jìn)行區(qū)分，采用不同強(qiáng)度的保護(hù)標(biāo)準(zhǔn)，界定信息控制者不同的責(zé)任。又如，信息主體權(quán)利的實(shí)現(xiàn)是一個(gè)過程，個(gè)人信息保護(hù)法中規(guī)定的不同權(quán)項(xiàng)不可能一步同時(shí)到位，執(zhí)行中必然也需要有所區(qū)分，根據(jù)不同場景設(shè)計(jì)不同制度。也就是說，個(gè)人信息保護(hù)法的制定只是完成了一半任務(wù)，另一半任務(wù)在于實(shí)施中的策略選擇和具體部署，如何實(shí)施法律決定了最初立法目標(biāo)能否真正實(shí)現(xiàn)。

如果打破上述次序，不是先從信息安全風(fēng)險(xiǎn)管理角度切入，由易到難，而是反其道而行之，一下子全部鋪開，勢必加大內(nèi)生機(jī)制的形成難度，相互牽制、抵消，欲速則不達(dá)，事與愿違。中國四十年成功的漸進(jìn)改革經(jīng)驗(yàn)對個(gè)人信息保護(hù)法的實(shí)施路徑選擇有很強(qiáng)的參考意義，需要時(shí)時(shí)借鑒。實(shí)際上，激勵(lì)相容的制度設(shè)計(jì)，通過外部威懾促使信息控制者內(nèi)生機(jī)制發(fā)揮作用，而不是“一刀切”式的命令控制立法，正是為了在實(shí)施環(huán)節(jié)推動形成多元互動的良好治理格局，以實(shí)現(xiàn)立法目標(biāo)。