探索激勵(lì)相容的個(gè)人數(shù)據(jù)治理之道
——中國(guó)個(gè)人信息保護(hù)法的立法方向

文/周漢華

以激勵(lì)相容為制度設(shè)計(jì)的核心

國(guó)內(nèi)外學(xué)術(shù)界對(duì)于中國(guó)改革開放基本經(jīng)驗(yàn)的主流總結(jié)，內(nèi)在邏輯均是強(qiáng)調(diào)通過激勵(lì)機(jī)制調(diào)整來調(diào)動(dòng)各級(jí)政府或者市場(chǎng)主體的積極性與創(chuàng)造性，走出一條中國(guó)的大國(guó)發(fā)展道路。中國(guó)發(fā)展道路選擇不僅符合本國(guó)國(guó)情，也與近年來國(guó)際上政府改革的普遍經(jīng)驗(yàn)契合。傳統(tǒng)法律理論認(rèn)為，法律是主權(quán)者的命令，是必須遵守的規(guī)范，令行禁止是其基本特征。因此，傳統(tǒng)立法規(guī)制方式通常是命令控制方式，表現(xiàn)為禁止性規(guī)范或者義務(wù)性規(guī)范，要求被管理對(duì)象不得或者必須從事某些特定行為。這種規(guī)制方式有很多弊端，包括：要求很強(qiáng)的執(zhí)法能力，否則命令會(huì)被普遍漠視；由于信息不對(duì)稱，這種命令可能與市場(chǎng)規(guī)律脫節(jié)，遏制市場(chǎng)主體創(chuàng)新能力與守法誘因；執(zhí)法部門權(quán)力過大，可能會(huì)導(dǎo)致選擇性執(zhí)法或者“執(zhí)法捕獲”等問題。在全球行政改革浪潮中，傳統(tǒng)的命令控制式規(guī)制受到廣泛批評(píng)，激勵(lì)性監(jiān)管得到重視，人們發(fā)現(xiàn)規(guī)則如果能夠與被管理者激勵(lì)相容，會(huì)極大降低執(zhí)法成本，提高合規(guī)動(dòng)力。因此，法律規(guī)則除了命令、禁止以外，還可以發(fā)揮引導(dǎo)作用，調(diào)動(dòng)被管理者的守法誘因。如何設(shè)計(jì)這種激勵(lì)相容機(jī)制，是規(guī)范實(shí)施的成敗關(guān)鍵。

在大數(shù)據(jù)時(shí)代，由于數(shù)據(jù)本身的特性，信息控制者有很強(qiáng)的利用激勵(lì)而缺乏同等程度的保護(hù)激勵(lì)。如果立法缺乏科學(xué)性，只是簡(jiǎn)單施加各種強(qiáng)制性外部要求，忽視信息控制者內(nèi)在激勵(lì)機(jī)制設(shè)計(jì)，就不能消除失衡根源。只有外部要求與內(nèi)生激勵(lì)相容，才能夠?qū)崿F(xiàn)大數(shù)據(jù)利用與個(gè)人信息保護(hù)協(xié)調(diào)發(fā)展。因此，大數(shù)據(jù)時(shí)代的個(gè)人信息保護(hù)，真正的挑戰(zhàn)在于，如何通過科學(xué)的立法與制度設(shè)計(jì)，理順立法要求與信息控制者內(nèi)在激勵(lì)之間的關(guān)系，使個(gè)人信息保護(hù)成為信息控制者的內(nèi)在需要。這是個(gè)人信息保護(hù)法制度設(shè)計(jì)的目標(biāo)和最終評(píng)價(jià)標(biāo)準(zhǔn)。

準(zhǔn)確理解歐美個(gè)人信息保護(hù)法的新發(fā)展

國(guó)內(nèi)過去比較歐美個(gè)人信息保護(hù)法律，普遍缺乏對(duì)兩種模式實(shí)際運(yùn)行狀況以及共性的研究，存在簡(jiǎn)單的揚(yáng)美抑歐的現(xiàn)象。最新的國(guó)際實(shí)證比較研究成果表明，不管歐盟模式還是美國(guó)模式，不論法律多么嚴(yán)格，只有激勵(lì)相容才會(huì)取得預(yù)期保護(hù)成效，不相容則難以得到執(zhí)行，甚至?xí)?dǎo)致既阻礙創(chuàng)新又保護(hù)不了個(gè)人信息的雙輸結(jié)果。因此，成敗的關(guān)鍵不在于法律規(guī)定的模式差別，而在于個(gè)人數(shù)據(jù)治理的制度設(shè)計(jì)是否科學(xué)。探索中國(guó)的個(gè)人數(shù)據(jù)治理之道，必須超越歐美兩種模式的簡(jiǎn)單法規(guī)范對(duì)比，既要看到兩種模式的差別，更要從兩種模式中吸取有益的經(jīng)驗(yàn)。只有這樣，才能博采眾長(zhǎng)，走出一條符合我國(guó)國(guó)情的個(gè)人信息保護(hù)法治道路。

如果說美國(guó)一直在探討如何構(gòu)建有效的個(gè)人信息保護(hù)法律體系，歐盟則已經(jīng)將制度建設(shè)付諸實(shí)施。從制定《個(gè)人數(shù)據(jù)保護(hù)指令》到出臺(tái)《一般數(shù)據(jù)保護(hù)條例》，歐盟的立法行動(dòng)體現(xiàn)了既保護(hù)個(gè)人信息決定權(quán)利又促進(jìn)個(gè)人信息自由流動(dòng)的雙重價(jià)值。這種雙重價(jià)值追求，既體現(xiàn)在《指令》《條例》的名稱中，也體現(xiàn)在立法結(jié)構(gòu)的整體安排上，更體現(xiàn)在《指令》《條例》的前言、基本原則與具體規(guī)定之中。當(dāng)然，鑒于《指令》制定之時(shí)移動(dòng)互聯(lián)網(wǎng)與大數(shù)據(jù)尚未發(fā)展，其側(cè)重點(diǎn)更多偏向個(gè)人信息保護(hù)；而《條例》的制定就必須同步考慮大數(shù)據(jù)發(fā)展的實(shí)際，為大數(shù)據(jù)發(fā)展提供法律依據(jù)，為歐盟數(shù)字經(jīng)濟(jì)發(fā)展留下空間。國(guó)內(nèi)解讀歐盟個(gè)人信息保護(hù)法律制度，往往只強(qiáng)調(diào)其權(quán)利保護(hù)的一面，看到嚴(yán)格執(zhí)行的各種要求，卻忽略了其促進(jìn)發(fā)展的一面和制度設(shè)計(jì)中的各種平衡追求。相較于《個(gè)人數(shù)據(jù)保護(hù)指令》，《一般數(shù)據(jù)保護(hù)條例》的整體制度設(shè)計(jì)思路更清晰、規(guī)定更翔實(shí)，充分體現(xiàn)了通過更有效的內(nèi)部治理、更強(qiáng)的外部威懾，促使信息控制者主動(dòng)承擔(dān)更多責(zé)任的立法意圖，符合激勵(lì)監(jiān)管的基本原理。

如果說法律規(guī)定是外在的表現(xiàn)形式，那么追求法律的有效實(shí)施機(jī)制就是內(nèi)在動(dòng)力，兩者之間是器與道、形與神的關(guān)系。后發(fā)國(guó)家如果只看到美歐法律規(guī)定的表面差別，看不到背后的作用機(jī)理，就很難從其經(jīng)驗(yàn)與教訓(xùn)中獲得任何有益的啟示。

培育信息控制者的內(nèi)部治理機(jī)制

發(fā)展中國(guó)家不同于歐美發(fā)達(dá)國(guó)家，制定個(gè)人信息保護(hù)法，首先要找到信息控制者最基本的激勵(lì)點(diǎn)，并圍繞核心激勵(lì)設(shè)計(jì)相關(guān)的制度。對(duì)于所有信息控制者而言，最基本的需求肯定都是發(fā)展與安全。發(fā)展是目標(biāo)，安全是實(shí)現(xiàn)目標(biāo)的保障；缺乏安全保障，不可能有發(fā)展。由于技術(shù)水平的差距，發(fā)展中國(guó)家面臨的安全挑戰(zhàn)比發(fā)達(dá)國(guó)家要大得多。從安全防范角度切入，在發(fā)展中國(guó)家應(yīng)該是最容易為信息控制者接受的解決方案。

對(duì)于信息控制者而言，從信息安全角度來保護(hù)個(gè)人信息，本應(yīng)該是順理成章的事，個(gè)別行業(yè)領(lǐng)先企業(yè)也已經(jīng)自發(fā)在進(jìn)行相關(guān)的內(nèi)部治理機(jī)制探索。但是，過去對(duì)信息安全約定俗成的理解，并不包括個(gè)人信息安全或者隱私保護(hù)。基于這種背景，1994年制定的《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》，目的是為了保護(hù)計(jì)算機(jī)信息系統(tǒng)的安全，保障計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）及其運(yùn)行環(huán)境的安全，保障信息的安全，保障計(jì)算機(jī)功能的正常發(fā)揮，以維護(hù)計(jì)算機(jī)信息系統(tǒng)的安全運(yùn)行，但缺乏關(guān)于個(gè)人信息保護(hù)的規(guī)定，使個(gè)人信息保護(hù)一直游離于信息安全等級(jí)保護(hù)制度之外。這樣，在傳統(tǒng)的信息安全觀念下，信息控制者長(zhǎng)期考慮的只是計(jì)算機(jī)系統(tǒng)安全或者運(yùn)行安全，力圖通過權(quán)限管理、病毒查殺、設(shè)立防火墻、VPN、入侵檢測(cè)等管理與技術(shù)措施，防止系統(tǒng)被攻擊和癱瘓，未能將個(gè)人信息保護(hù)納入安全框架內(nèi)一并予以考慮，導(dǎo)致信息安全管理與個(gè)人信息保護(hù)長(zhǎng)期存在相互脫節(jié)的現(xiàn)象。

近年來國(guó)家明顯加快了個(gè)人信息保護(hù)的立法進(jìn)程。2009年侵權(quán)責(zé)任法首次在法律中確立了隱私權(quán)的法律地位。同年，刑法修正案（七）設(shè)立了出售、非法提供公民個(gè)人信息罪與非法獲取公民個(gè)人信息罪兩個(gè)罪名。2012年《全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》，第一次從法律上界定了個(gè)人信息的內(nèi)涵和范圍，也是我國(guó)法律第一次對(duì)個(gè)人信息保護(hù)實(shí)體內(nèi)容進(jìn)行較為系統(tǒng)的規(guī)定。2013年修訂的消費(fèi)者權(quán)益保護(hù)法，明確將個(gè)人信息得到保護(hù)的權(quán)利列為消費(fèi)者的一項(xiàng)基本權(quán)利，全面突出強(qiáng)調(diào)了消費(fèi)者個(gè)人信息保護(hù)方面的內(nèi)容。2015年刑法修正案（九）對(duì)刑法修正案（七）的規(guī)定予以進(jìn)一步完善，將兩個(gè)罪名合并為侵犯公民個(gè)人信息罪，還增設(shè)了拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪。2016年制定的網(wǎng)絡(luò)安全法是迄今為止對(duì)個(gè)人信息保護(hù)規(guī)定最為全面的立法，它明確要求網(wǎng)絡(luò)運(yùn)營(yíng)者建立健全用戶信息保護(hù)制度。2017年民法總則第111條規(guī)定，自然人的個(gè)人信息受法律保護(hù)。

但是，由于缺乏專門的個(gè)人信息保護(hù)法，我國(guó)個(gè)人信息保護(hù)相關(guān)立法目前普遍存在兩個(gè)突出問題：一是規(guī)定過于原則，往往只是一個(gè)概念或者一個(gè)具體要求，通常是禁止性要求，缺乏系統(tǒng)的整體制度設(shè)計(jì)，即使網(wǎng)絡(luò)安全法對(duì)于個(gè)人信息保護(hù)也都只是一些非常原則性的規(guī)定；二是普遍重責(zé)任追究，尤其是刑事責(zé)任追究，輕過程規(guī)范，輕綜合治理，只要發(fā)生不利結(jié)果，就責(zé)任很重，甚至可以直接刑罰制裁，而信息控制者究竟應(yīng)該履行哪些法律義務(wù)則缺乏規(guī)定。比如，按照《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》，對(duì)于侵犯公民個(gè)人信息罪“情節(jié)嚴(yán)重”采用了十種不同的判定標(biāo)準(zhǔn)，符合標(biāo)準(zhǔn)之一就可以定罪。這樣，幾乎所有侵犯公民個(gè)人信息行為都可能直接觸發(fā)刑事責(zé)任，完全可以替代任何行政執(zhí)法機(jī)制，更不需要內(nèi)部治理機(jī)制配合。結(jié)果，近年來的密集立法不但未能解決信息控制者內(nèi)部信息安全與個(gè)人信息保護(hù)脫節(jié)問題，還導(dǎo)致外部法律要求與信息控制者內(nèi)部治理機(jī)制脫節(jié)、刑法制裁與其他法律手段脫節(jié)、責(zé)任規(guī)范與行為規(guī)范脫節(jié)等現(xiàn)象，呈現(xiàn)典型的命令控制式立法特點(diǎn)。刑事責(zé)任規(guī)定雖然看似嚴(yán)格，實(shí)際效果卻非常有限。隨著大數(shù)據(jù)發(fā)展，一些市場(chǎng)主體已經(jīng)意識(shí)到個(gè)人信息保護(hù)的重要性，并進(jìn)行相關(guān)的主動(dòng)探索，但囿于內(nèi)部體制分割，加之法律規(guī)定的各種脫節(jié)現(xiàn)象，導(dǎo)致始終無法破解“兩張皮”“多張皮”的問題癥結(jié)。

未來個(gè)人信息保護(hù)法要做的，就是針對(duì)上述各種脫節(jié)現(xiàn)象，借鑒近年來國(guó)際社會(huì)的實(shí)踐經(jīng)驗(yàn)與國(guó)內(nèi)行業(yè)領(lǐng)先企業(yè)的有益探索，以培育信息控制者內(nèi)部治理機(jī)制為目標(biāo)，將個(gè)人信息保護(hù)要求嵌入整體信息安全防范體系中，明確各個(gè)環(huán)節(jié)的相關(guān)法律義務(wù)和組織要求，完善多元參與與互動(dòng)機(jī)制，實(shí)現(xiàn)法律規(guī)范的外在要求與信息控制者的內(nèi)在需要激勵(lì)相容，達(dá)到既保護(hù)個(gè)人信息安全又強(qiáng)化信息控制者的安全防范能力的雙贏結(jié)果。這就涉及觀念更新、組織與流程再造、行為方式調(diào)整等各個(gè)方面，是一項(xiàng)系統(tǒng)工程，需要進(jìn)行全面的制度設(shè)計(jì)。

構(gòu)筑有效的外部執(zhí)法威懾

培育激勵(lì)相容的內(nèi)生機(jī)制，核心在信息控制者的自律。但是，在利用與保護(hù)個(gè)人數(shù)據(jù)激勵(lì)失衡的大背景下，不論是合作規(guī)制理論還是各國(guó)個(gè)人信息保護(hù)實(shí)踐均證明，完全依靠自律機(jī)制并不能形成有效的激勵(lì)約束。只要個(gè)人數(shù)據(jù)能夠帶來利益，這種現(xiàn)象就難以改變。制定個(gè)人信息保護(hù)法的國(guó)家，一項(xiàng)重要的立法任務(wù)就是構(gòu)建有效的外部執(zhí)法威懾，促使信息控制者積極履行法律責(zé)任，并對(duì)違法處理個(gè)人信息的行為予以制裁。

由于缺少統(tǒng)一的個(gè)人信息保護(hù)法，我國(guó)在外部執(zhí)法威懾機(jī)制構(gòu)建方面除了前述的刑法機(jī)制替代其他執(zhí)法機(jī)制、信息控制者實(shí)體行為規(guī)范缺位以外，實(shí)踐中還導(dǎo)致國(guó)家網(wǎng)絡(luò)安全保護(hù)與個(gè)人信息保護(hù)錯(cuò)位現(xiàn)象，進(jìn)一步加劇了規(guī)則適用的紊亂和系統(tǒng)性失靈。

在國(guó)家信息網(wǎng)絡(luò)專項(xiàng)立法規(guī)劃中，信息網(wǎng)絡(luò)立法是分層規(guī)劃、分層設(shè)計(jì)的，網(wǎng)絡(luò)安全法與個(gè)人信息保護(hù)法是兩部獨(dú)立的立法，各自有其立法目的、原則、任務(wù)與制度。網(wǎng)絡(luò)安全是國(guó)家安全的重要組成部分，事關(guān)國(guó)家根本利益，不容半點(diǎn)妥協(xié)，沒有網(wǎng)絡(luò)安全就沒有國(guó)家安全。個(gè)人信息權(quán)是個(gè)人權(quán)利的組成部分，權(quán)利有相對(duì)性，需要依法行使，同時(shí)承擔(dān)義務(wù)，權(quán)利與權(quán)利之間出現(xiàn)沖突需要協(xié)調(diào)，為了國(guó)家安全與公共利益可能還需要對(duì)權(quán)利進(jìn)行必要的限制或克減。

由于網(wǎng)絡(luò)安全法制定的時(shí)候，個(gè)人信息保護(hù)法尚未被納入國(guó)家正式立法計(jì)劃，因此該法自然承擔(dān)了部分個(gè)人信息保護(hù)法的立法任務(wù)，集中反映在第四章的相關(guān)規(guī)定中。也就是說，網(wǎng)絡(luò)安全法同時(shí)承擔(dān)了雙重任務(wù)：一是保護(hù)國(guó)家網(wǎng)絡(luò)安全，這是該法的主要任務(wù)；二是保護(hù)個(gè)人信息安全，這是該法的附帶任務(wù)。如果能夠把握法律關(guān)系的本質(zhì)，分別適用不同的判斷標(biāo)準(zhǔn)與制度，本來應(yīng)該不會(huì)出現(xiàn)不同任務(wù)之間的錯(cuò)位問題。但是，由于個(gè)人信息保護(hù)法缺位，加之其他各種復(fù)雜的原因，實(shí)踐中已經(jīng)出現(xiàn)的問題是，執(zhí)法部門有時(shí)候會(huì)將雙重任務(wù)混合，就高不就低，將保護(hù)國(guó)家網(wǎng)絡(luò)安全的標(biāo)準(zhǔn)適用到個(gè)人信息保護(hù)領(lǐng)域，導(dǎo)致法律關(guān)系出現(xiàn)錯(cuò)位和紊亂。

可見，加快出臺(tái)個(gè)人信息保護(hù)法，科學(xué)厘清不同制度的邊界，不僅能解決刑法規(guī)范替代其他執(zhí)法機(jī)制、信息控制者行為規(guī)范缺失等問題，也能理順個(gè)人信息保護(hù)法與網(wǎng)絡(luò)安全法的關(guān)系，解決好外部執(zhí)法威懾機(jī)制越位、缺位與錯(cuò)位并存的三大現(xiàn)實(shí)問題，形成有效的立法結(jié)構(gòu)，推動(dòng)大數(shù)據(jù)利用與個(gè)人信息保護(hù)的協(xié)調(diào)發(fā)展。

構(gòu)筑有效的外部執(zhí)法威懾，并不是為了執(zhí)法而執(zhí)法，更不是為了增加信息控制者的負(fù)擔(dān)，而是為了推動(dòng)信息控制者形成有效的內(nèi)生治理機(jī)制。為此，個(gè)人信息保護(hù)法應(yīng)從明確行為規(guī)范、加大違法成本、增強(qiáng)信息披露、提高違法行為被發(fā)現(xiàn)的可能性、完善行政處罰與刑事責(zé)任的銜接、推進(jìn)合作治理等多角度，構(gòu)筑有效威懾機(jī)制，構(gòu)筑“胡蘿卜+大棒”的激勵(lì)約束格局，促使個(gè)人信息保護(hù)要求能夠真正被信息控制者嚴(yán)格執(zhí)行。

把握循序漸進(jìn)的推進(jìn)節(jié)奏

培育信息控制者內(nèi)部治理機(jī)制與構(gòu)筑有效的外部執(zhí)法威懾，只是信息控制者與管理者兩個(gè)主體之間的單維度關(guān)系，屬于監(jiān)管范疇的制度構(gòu)建。要實(shí)現(xiàn)大數(shù)據(jù)利用與個(gè)人信息保護(hù)之間的協(xié)調(diào)發(fā)展，肯定不能遺漏信息主體及其權(quán)利行使，這就涉及信息主體、信息控制者、管理者三者之間的多維治理結(jié)構(gòu)。缺乏信息主體參與，缺乏完整的治理結(jié)構(gòu)支撐，不可能出現(xiàn)激勵(lì)相容的結(jié)果，大數(shù)據(jù)發(fā)展與個(gè)人信息保護(hù)不可能實(shí)現(xiàn)持久平衡。當(dāng)然，一旦引入多維視角，問題就會(huì)復(fù)雜得多。美歐兩種模式之間的真正差別，其實(shí)在于究竟是在多維還是在單維中考慮個(gè)人信息保護(hù)。

我國(guó)制定個(gè)人信息保護(hù)法，不能夠也不應(yīng)該回避權(quán)利話語。個(gè)人信息保護(hù)法應(yīng)該在近幾年各項(xiàng)立法的基礎(chǔ)上，借鑒國(guó)際社會(huì)成功經(jīng)驗(yàn)，包括美國(guó)與歐盟的經(jīng)驗(yàn)，以全面構(gòu)建個(gè)人數(shù)據(jù)治理體系為原則，以防范個(gè)人信息安全風(fēng)險(xiǎn)為目標(biāo)，明確引入公法意義上的個(gè)人信息控制權(quán)概念，并在收集、使用、轉(zhuǎn)移、存儲(chǔ)、跨境傳輸、銷毀、查詢、更正等個(gè)人信息處理的全過程中，明確信息主體的知情權(quán)、同意權(quán)、選擇權(quán)、變更權(quán)、刪除權(quán)、撤回權(quán)等各權(quán)項(xiàng)，使信息主體能夠真正參與到個(gè)人信息保護(hù)之中。

大數(shù)據(jù)時(shí)代的個(gè)人信息保護(hù)是一個(gè)嶄新的領(lǐng)域，個(gè)人信息權(quán)屬于一項(xiàng)新的權(quán)利，權(quán)利的性質(zhì)與邊界都還不清晰，不宜簡(jiǎn)單用傳統(tǒng)權(quán)利觀念剪裁。簡(jiǎn)單照搬傳統(tǒng)權(quán)利理論，可能會(huì)陷入無休止的理論爭(zhēng)論之中，耗費(fèi)大量精力。各國(guó)實(shí)踐已經(jīng)證明，即使立法技術(shù)科學(xué)，權(quán)利體系設(shè)計(jì)嚴(yán)密，僅僅依靠個(gè)人同意權(quán)等傳統(tǒng)隱私權(quán)保護(hù)機(jī)制，無法應(yīng)對(duì)大數(shù)據(jù)快速發(fā)展背景下的個(gè)人信息保護(hù)問題，告知同意機(jī)制完全可能流于形式，信息主體只能選擇同意。

這就表明，個(gè)人信息保護(hù)法在設(shè)計(jì)治理結(jié)構(gòu)的同時(shí)，必須考慮實(shí)施環(huán)節(jié)的激勵(lì)相容機(jī)制實(shí)現(xiàn)問題，使實(shí)施部門對(duì)立法目的和基本制度構(gòu)造有非常清晰的整體認(rèn)識(shí)，并處理好不同維度之間的關(guān)系。個(gè)人信息保護(hù)法的實(shí)施需要循序漸進(jìn)、突出重點(diǎn)、把握主線，以風(fēng)險(xiǎn)管理與防控為共同切入點(diǎn)，尋求法律實(shí)施的最大公約數(shù)，梯度遞進(jìn)。首先要通過立法在內(nèi)的外部機(jī)制助推信息控制者組織架構(gòu)變革，培育有效內(nèi)生機(jī)制，形成內(nèi)外互動(dòng)合力，以有效預(yù)防絕大部分個(gè)人信息安全風(fēng)險(xiǎn)。在此基礎(chǔ)上，根據(jù)國(guó)情、信息控制者接受度和公眾偏好等因素，逐步探索提高價(jià)值定位，如合規(guī)、權(quán)利實(shí)現(xiàn)等。這種實(shí)施策略，既可以形成激勵(lì)相容合力，調(diào)動(dòng)信息控制者維護(hù)信息安全的積極性，降低規(guī)制成本，迅速實(shí)現(xiàn)基本安全目標(biāo)，也有利于監(jiān)管部門集中執(zhí)法力量，聚焦核心環(huán)節(jié)，避免執(zhí)法力量過于分散。也就是說，個(gè)人信息保護(hù)法的制定只是完成了一半任務(wù)，另一半任務(wù)在于實(shí)施中的策略選擇和具體部署，如何實(shí)施法律決定了最初立法目標(biāo)能否真正實(shí)現(xiàn)。

如果打破上述次序，不是先從信息安全風(fēng)險(xiǎn)管理角度切入，由易到難，而是反其道而行之，一下子全部鋪開，勢(shì)必加大內(nèi)生機(jī)制的形成難度，相互牽制、抵消，欲速則不達(dá)，事與愿違。中國(guó)40年成功的漸進(jìn)改革經(jīng)驗(yàn)對(duì)個(gè)人信息保護(hù)法的實(shí)施路徑選擇有很強(qiáng)的參考意義，需要時(shí)時(shí)借鑒。