党团共建 普法宣传

[46]在转基因食品风险管理中，由于立法者授权行政机关进行风险规制，行政机关实际上并没有可以适用的具体规范。

《中华人民共和国行政处罚法》第十八条明确规定行政机关依照法律、法规或者规章的规定，可以在其法定权限内委托符合本法第十九条规定条件的组织实施行政处罚。一、该镇这种委托实施行政处罚及行政强制措施权的行为违法 该镇通过委托方式，将城市管理、人防、文化、国土、水务、民政、农机、教育、交通等9部门18个领域的行政执法权下放到某镇，组建了镇综合行政执法大队，行使583项行政处罚及行政强制措施权。

二是以镇属事业单位人员为基础，通过招聘、调动、公益岗安置等方式充实人员力量，组建了62人的执法队伍。否则，就是非法的、违法的。2017年某县在某镇开展乡镇综合行政执法体制改革试点，探索实行了5+综合行政执法模式。三是经县政府研究，由县国土、水务等职能部门刻制执法专用章，交某镇政府使用。如果没有法律、法规或者规章的规定，行政机关就不得随意将本机关的行政处罚权委托其他组织或者个人实施。

其所作出的行政处罚也是非法的、无效的。各地因招聘的社会人员、临时人员从事行政执法活动，发生粗暴执法、野蛮执法、违法执法的事件经常被新闻媒体曝光，引起了广大人民群众的不满。[46]这些机制设计，既弥补了一般充分性认定机制的不足，避免了《指令》实施可能导致的数据无法跨境传输窘境，也使不同企业都能找到符合自己情况的政策工具，调动其保护个人数据的积极性，带有典型的合作治理色彩。

二是国内强有力的执法机制，能够有效规范市场主体的行为。然后，各个企业行为规范需要经政府批准后才能实施，以避免纯粹的行业自律机制可能导致的力度不够、运动员与裁判员不分现象。不能在72小时内报告的，应说明理由。要破解前面提到的各种脱节现象，务必从组织体系上实现个人信息保护与信息安全管理、安全管理与业务发展相互融合。

[26]典型的对比结论，参见曹建峰:《论互联网创新与监管之关系——基于美欧日韩对比的视角》，《信息安全与通信保密》2017年第8期，第77页。在大数据时代来临之前，个人数据实际处于未被利用的沉睡状态，激励失衡问题并未被激活。

另外，《条例》废止了过去很多情况下数据处理者需要向数据保护局事先通知数据处理的要求，而这一要求是《指令》构筑的核心制度。[4]由过去那种以行政命令为核心的自上而下单向式的施政方式，逐渐向政府与公民对话沟通双向互动式的施政方式转变。在全球行政改革浪潮中，传统的命令控制式规制受到广泛批评，激励性监管得到重视，人们发现规则如果能够与被管理者激励相容，会极大降低执法成本，提高合规动力。大数据时代的个人信息保护是一个崭新的领域，个人信息权属于一项新的权利，权利的性质与边界都还不清晰，不宜简单用传统权利观念剪裁。

我国目前的个人信息保护相关立法存在法律要求与信息控制者内部治理机制脱节、刑法制裁与其他法律手段脱节、责任规范与行为规范脱节等问题。[58]这样，在传统的信息安全观念下，信息控制者长期考虑的只是计算机系统安全或者运行安全，[59]力图通过权限管理、病毒查杀、设立防火墙、VPN、入侵检测等管理与技术措施，防止系统被攻击和瘫痪，未能将个人信息保护纳入安全框架内一并予以考虑，导致信息安全管理与个人信息保护存在长期的相互脱节现象。信息控制者必然会充分利用大数据揭示的相关性，提前预测信息主体和社会的各种需要，提供精准的定制化产品或服务。二是保护个人信息安全，这是该法的附带任务。

[91]缺乏系统制度支撑的法律规定，口号再响亮，规范意义也会非常模糊，[92]在实践中更不可能产生影响。对于数据留存，《个人数据保护指令》只规定了两种方式:一是基于原始收集目的留存。

2013年修订的消费者权益保护法，明确将个人信息得到保护的权利列为消费者的一项基本权利，全面突出强调了消费者个人信息保护方面的内容。由于缺乏专门的个人信息保护法，我国个人信息保护相关立法目前普遍存在两个突出问题:一是规定过于原则，往往只是一个概念或者一个具体要求，通常是禁止性要求，[61]缺乏系统的整体制度设计，即使网络安全法对于个人信息保护也都只是一些非常原则性的规定。

[75]正因为国家安全与个人权利的这种性质与位阶差别，在各国立法与国际条约中，如《公民权利和政治权利国际公约》第4条、《欧洲人权公约》第15条等，均明确国家安全是更高价值，予以最高等级的保护。因此，个人信息保护法应该在近几年各项立法的基础上，借鉴国际社会成功经验，包括美国与欧盟的经验，以全面构建个人数据治理体系为原则，以防范个人信息安全风险为目标，明确引入公法意义上的个人信息控制权概念，[89]并在收集、使用、转移、存储、跨境传输、销毁、查询、更正等个人信息处理的全过程，明确信息主体的知情权、同意权、选择权、变更权、删除权、撤回权等各权项，使信息主体能够真正参与到个人信息保护之中。《个人数据保护指令》过去体现的是以事前登记、信息主体决定权为核心的控制思路，缺乏有效的事后威慑手段。都有有权并且相对自主的职业隐私官员，能够接触企业高级管理层，参与企业重要决策，并与外部利益相关者密切互动。[44]成员国法律中对于笔名化的规定，参见Christopher Kuner，European Data Protection Law:Corporate Compliance and Regulation，2d ed.，Oxford University Press，2007，p.65。这些不同主张基本停留在传统民法学概念体系内，与个人信息保护法制度建构关系不大，与国际上对于个人信息保护的讨论也相去甚远。

两位学者的上述发现与研究结论不仅在一定意义上打破了通常的美国与欧盟两大模式的刻板划分，也深化了对企业内部隐私保护实施机制与个人信息保护法作用机理的认识。周光辉:《从管制转向服务:中国政府的管理革命——中国行政管理改革30年》，《吉林大学社会科学学报》2008年第3期，第24页。

[37]这样的友好型处理既能更灵活地适应技术变化带来的规制挑战，符合成本有效原则，也有利于提升真实世界的数据保护实践。信息控制者违法进行个人信息处理的，政府个人信息保护主管部门应当有多种方式的管理手段，包括责令限期改正，责令暂停个人信息处理，责令消除影响、赔礼道歉，责令停止使用个人信息文件、个人信息系统，责令提供个人信息，责令更正、停止使用、限制处理或者删除个人信息，责令销毁个人信息文件、个人信息系统，责令停止跨境信息传输，警告并发布风险提示，罚款，吊销个人信息处理登记证或许可证等。

真正的挑战在于，如何通过科学的立法与制度设计，理顺立法要求与信息控制者内在激励之间的关系，使个人信息保护成为信息控制者的内在需要。随着社会的发展，不论是私法性质还是公法性质的权利，权利的种类、范围等都在不断扩大之中，[83]个人信息保护法要顺应大数据发展历史潮流，承担推进个人信息保护的历史责任。

这种实施策略，既可以形成激励相容合力，调动信息控制者维护信息安全的积极性，降低规制成本，迅速实现基本安全目标，也有利于监管部门集中执法力量，聚焦核心环节，避免执法力量过于分散。[9] 理论研究与国内外实践发展均表明，政策或者立法如果激励不相容，会形成管理型立法，而不是治理型立法。对于信息控制者而言，从信息安全角度来保护个人信息，本应该是顺理成章的事，个别行业领先企业也已经自发在进行相关的内部治理机制探索。(9) 曾因侵犯公民个人信息受过刑事处罚或者2年内受过行政处罚，又非法获取、出售或者提供公民个人信息的。

See Eric BrynjolfssonAndrew McAfee，The Second Machine Age:Work，Progress，and Proserity in a Time of Brilliant Technologies，W.W.NortonCompany，2014，p.62. [21]对于数据特点的全面分析，参见前引[14]，MartinHilbert文，第135页以下。在大数据环境下，不从源头设计个人信息保护，无法真正防范信息安全风险，[71]这是推进组织融合的出发点和目的，也是行为方式转变的核心。

针对威慑不强这一突出问题，《一般数据保护条例》进行了全面改进，其主要措施包括:确立牵头数据管理局，加强各国执法合作，避免不同国家多头执法导致的执法标准不统一。参见周汉华:《中华人民共和国个人信息保护法 (专家建议稿) 及立法研究报告》，法律出版社2006年版。

摘 要：在大数据时代，信息控制者对于个人信息有很强的利用激励而缺乏同等程度的保护激励。来源：《法学研究 》2018年第2期 进入专题： 激励相容 个人信息保护法 个人信息控制权 。

刘德良:《个人信息的财产权保护》，《法学研究》2007年第3期，第80页。Helena UrsicBart Custers，Legal Barriers and Enablers to Big Data Reuse:A Critical Assessment of the Challenges for the EU Law，2 Eur.Data Prot.L.Rev.209 (2016) . [28]对于美国联邦贸易委员会隐私保护执法已经上升到形成普通法高度，以及欧盟、美国隐私法比较已经快速过时的论述，参见Daniel J.SoloveWoodrow Hartzog，The FTC and the New Common Law of Privacy，114 Colum.L.Rev.586 (2014)。实践中，企业集团或者关联企业内部跨境传输个人信息只要满足自我约束规则的要求，欧盟也认为符合充分性条件。相较于《个人数据保护指令》，《一般数据保护条例》的整体制度设计思路更清晰、规定更翔实，充分体现了通过更有效的内部治理、更强的外部威慑，促使信息控制者主动承担更多责任的立法意图，符合激励监管的基本原理。

See Verizon，2017Data Breach Investigations Report，38 (2017) . [24]具体事例参见[美]弗兰克?帕斯奎尔:《黑箱社会:控制金钱和信息的数据法则》，赵亚男译，中信出版集团2015年版，第二章。[85]中国信息通信研究院的一项实证调查也发现，近80%的用户认为隐私泄露严重，防不胜防。

[47]《条例》在上述几种机制之外，又增加了经批准的行为规范和第三方认证具有证明跨境信息传输合法性的效力，进一步丰富了合作治理的形式，属于典型的自律与规制结合的激励性监管方式，可以更为充分地调动信息控制者主动参与的积极性。至大数据时代，随着数据价值逐步被认识，信息控制者利用数据的激励越来越强烈，激励失衡现象会愈发突出，法律实施遇到的挑战也会越来越大。

[45] 《一般数据保护条例》构筑合作治理最为典型的领域，当属在跨境信息传输机制上的创新。王利明:《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》，《现代法学》2013年第4期，第62页。