也能够直接与董事会沟通；企业内部都通过分布式网络进行隐私管理，由职业隐私官员和业务单位中经过专门培训的雇员组成执行网络，从产品设计、业务开发的早期阶段就将隐私保护与业务开发紧密相联，实现双向沟通。 (3) 美国与德国企业的做法截然不同于法国、西班牙与英国企业的做法。西班牙与法国的企业很大程度上将隐私职能作为遵守确定的法律命令，哪怕自己怀疑做不到也要严格执行。英国企业也同样重视法律，但对于执行前景更为乐观。英国的首席隐私官在企业中的地位比美国、德国的同行要低好几个级别，能够得到的资源和参与高层决策的机会都少得多，无法在企业内部构建有效的分布式执行网络。西班牙、法国企业的隐私官员大部分都单线归属于合规或者法务部门，主要工作是满足数据登记、使用和报告等要求，隐私保护与产品、业务开发相互脱节，也缺乏执行隐私保护的分布式网络结构。 (4) 从法律规则实施有效性方面评价，规则越原则，企业的隐私管理实践越有效，德国与美国属于此类；规则要求越具体，执行权越集中，企业就越容易只是遵守合规要求，而不是将隐私保护内化为行动，法国、西班牙属于此类。 (5) 在变化的环境下，法律规则要促进企业承担更多责任，需要原则性立法和开放式监管，并辅之以能动的监管者和有效的外部利益相关方监督；搭建跨界、包容的隐私保护共同体，使政府、企业和社会的隐私专业人员能够密切互动，反过来巩固企业隐私官员在公司的地位；充分曝光隐私保护失败事例，包括数据泄露通知，加强媒体、非政府组织和公众监督，促使企业加大对隐私保护的重视和投入。两位学者的上述发现与研究结论不仅在一定意义上打破了通常的美国与欧盟两大模式的刻板划分，也深化了对企业内部隐私保护实施机制与个人信息保护法作用机理的认识。

　　 另一项同样基于大量访谈的实证研究发现，荷兰作为欧盟国家，其二十多年的隐私法律实施并不是通常理解的单纯政府监管，而是体现了政府部门与业界的合作治理精神。荷兰制定隐私保护法律以后，其实施都是先由各个行业协会提出企业行为规范，先后有银行、保险、直接营销等二十多个行业提出了本行业的企业行为规范，以避免政府直接监管导致的信息不对称问题；然后，各个企业行为规范需要经政府批准后才能实施，以避免纯粹的行业自律机制可能导致的力度不够、运动员与裁判员不分现象。荷兰实践中的这些做法，正好是美国政府致力于推进隐私法律制度改革的方向，美国有大量的改革计划都与荷兰的经验相似。[36]这样，通常理解的美国、欧盟两大模式划分，其实掩盖了各国对于合作治理方式的共同探讨。更值得关注的是，美国致力于学习的荷兰经验，在欧盟《一般数据保护条例》 (下称《条例》) 中得到了重视，规定了“经批准的行为规范”具有证明跨境个人信息传输合法性的法律效力，这是欧盟《关于个人数据处理及其自由流动的个人保护第95/4 6/E C号指令》 (下称《个人数据保护指令》或《指令》) 所缺乏的内容，也是欧盟在推进合作治理方面的一个重大进步。

　　 有学者通过对爱尔兰、美国两个国家行政执法部门2011年对Facebook的执法调查案例比较研究发现，尽管两个国家个人信息保护法律规定差别很大，但由于执法部门都采用了更为有效的回应性规制方法，通过执法协议要求企业持续改进其隐私保护实践，而未采用常规的对抗式处罚方式，因此“使大洋两岸之间的明显差别难以区分”。[37]这样的友好型处理既能更灵活地适应技术变化带来的规制挑战，符合成本有效原则，也有利于提升真实世界的数据保护实践。

　　 还有学者通过对德国、法国、意大利、英国四个欧盟成员国的隐私保护实证研究，发现四个国家隐私规制的共同趋势是将严格的政府执法、公共压力之下的行业自律和低水平的诉讼机制相结合，称之为“合作法治主义”模式。[38]这虽然不同于美国以诉讼为主的模式，但其中明显有很多相似的机制，尤其是通过执法威慑和公共压力机制促使企业更多行业自律，实现他律与自律的结合。即使法国、意大利这样的对于业界参与决策过程一直持敌视态度的国家，也在政策制定过程中纳入更多自律机制。

　　 如果说美国一直在探讨如何构建有效的个人信息保护法律体系，欧盟则已经将制度建设付诸实施。从《个人数据保护指令》制定到《一般数据保护条例》出台，体现了既保护个人信息决定权利又促进个人信息自由流动的双重价值。这种双重价值追求，既体现在《指令》《条例》的名称中，也体现在立法结构的整体安排上，更体现在《指令》《条例》的前言、基本原则与具体规定之中。当然，鉴于《指令》制定之时移动互联网与大数据尚未发展，其侧重点更多偏向个人信息保护；而《条例》的制定就必须同步考虑大数据发展的实际，为大数据发展提供法律依据，为欧盟数字经济发展留下空间。[39]国内解读欧盟个人信息保护法律制度，往往只强调其权利保护的一面，看到严格执行的各种要求，忽略了其促进发展的一面和制度设计中的各种平衡追求。[40]

　　 从第三方独立观察的角度解读，尤其与《个人数据保护指令》比较，《一般数据保护条例》在构建多元主体参与合作治理、推动大数据发展方面的考虑，至少体现在如下三个方面:

　　 首先，在加强对个人信息保护的同时，适应大数据时代的现实，在个人信息使用目的限制、数据留存期限等方面，尽量为大数据开发利用开辟可能的路径。比如，使用目的限制是欧盟法律的一项核心要求，《一般数据保护条例》也规定得非常严格，不允许信息控制者一揽子获得一般性同意。但是，对《条例》进行详细的分析可以发现，立法者还是故意给数据用于新的目的留下了途径。对于数据留存，《个人数据保护指令》只规定了两种方式:一是基于原始收集目的留存；二是完全匿名之后可以留存。《条例》增加了一种新的方式，允许基于统计目的，并在符合成员国各自制定的保障措施的条件下留存数据。另外，《条例》废止了过去很多情况下数据处理者需要向数据保护局“事先通知”数据处理的要求，而这一要求是《指令》构筑的核心制度。两位权威欧洲学者在比较了《条例》与《指令》在促进大数据发展方面的差别后得出结论说，“《条例》虽然并未与过去决裂，但清楚地描绘了可以用更适应大数据环境的基于使用机制来替代传统数据保护核心机制的未来路径”。[41]

　　 其次，相较于《个人数据保护指令》，《一般数据保护条例》更突出强调责任原则、透明原则的地位和作用，强化信息控制者内部治理机制，调动信息控制者参与数据治理的积极性。[42]根据《条例》要求，信息控制者需要建立有效的技术与管理措施，包括经常进行审计、贯彻“设计即隐私”理念、执行隐私影响评估、任命数据保护官、采取与风险相适应的安全防范技术措施，事先与数据管理局咨商等，并根据环境变化及时更新，不断完善内部数据治理体系。《条例》很多新的要求都是《指令》所缺乏的，体现了立法观念上的明显进步。比如，《指令》第18条第2款并没有强制要求信息控制者设置数据保护官一职，只是倡导性规定，尽管德国、法国在实践中已经采用了这种制度。《条例》修改引入了数据保护官要求，并以充分的篇幅对其地位、职能等做了较为完备的规定，被欧盟专家普遍认为是完善信息控制者内部治理机制的核心。[43]《指令》并未规定笔名化概念或者措施，[44]《条例》引入了笔名化制度，并对笔名化和匿名化两种安全措施进行了明确区分，对笔名化提出了明确的要求，规定《条例》不适用于匿名化信息，目的是为了从源头降低信息主体的安全风险，帮助信息控制者满足法律要求，促进大数据发展。另外，《指令》未规定加密概念或措施，而《条例》明确将加密作为一项安全措施加以规定，这体现的也是“设计即隐私”的源头治理思路，鼓励企业从源头采取防范措施，有利于推动云计算发展。[45]

　　 《一般数据保护条例》构筑合作治理最为典型的领域，当属在跨境信息传输机制上的创新。《个人数据保护指令》第25条规定向欧盟之外的第三国传输个人数据需要满足充分性要求 (由欧盟委员会认定) ，否则不得传输。除此之外，《指令》第26条第2款还设计了变通性质的“合适合同条款”机制。一个国家虽然没有得到欧盟委员会的充分性认定，但该国之内的企业只要能签署符合欧盟要求的模范合同条款，承诺遵守保护个人数据，就可以进行跨境信息传输。实践中，企业集团或者关联企业内部跨境传输个人信息只要满足自我约束规则的要求，欧盟也认为符合充分性条件。对于美国企业，欧盟还有单独的《安全港协议》机制，美国企业只要承诺遵守相应规定，即可获得从欧盟传输个人数据的资格。[46]这些机制设计，既弥补了一般充分性认定机制的不足，避免了《指令》实施可能导致的数据无法跨境传输窘境，也使不同企业都能找到符合自己情况的政策工具，调动其保护个人数据的积极性，带有典型的合作治理色彩。[47]《条例》在上述几种机制之外，又增加了经批准的行为规范和第三方认证具有证明跨境信息传输合法性的效力，进一步丰富了合作治理的形式，属于典型的自律与规制结合的激励性监管方式，可以更为充分地调动信息控制者主动参与的积极性。[48]

　　 再次，通过设计强有力的外部执法威慑机制，促使信息控制者主动承担法律责任。《个人数据保护指令》过去体现的是以事前登记、信息主体决定权为核心的控制思路，缺乏有效的事后威慑手段。比如，《指令》没有明确执法协调机制，导致实践中执法标准不统一、执法管辖权模糊，增加了信息控制者的守法难度；缺乏罚款标准，将规则制定权交由各国行使，各国执行起来差别很大，普遍力度不够；[49]没有规定个人数据泄露的通知要求，难以通过公开与社会监督机制形成有效压力。正因为如此，《指令》虽然事前要求很多，但一旦信息控制者违反规定，后果可能并不严重甚至流于形式，这影响了《指令》的权威性和有效性。针对威慑不强这一突出问题，《一般数据保护条例》进行了全面改进，其主要措施包括:确立牵头数据管理局，加强各国执法合作，避免不同国家多头执法导致的执法标准不统一；[50]统一设立最高罚款上限为2000万欧元或者信息控制者上一年度全球营业额4%的罚款标准，大幅提高罚款的幅度；增加个人信息泄露后分别通知数据管理局和信息主体的义务，建立有效外部威慑机制。[51]《条例》的这些新措施，明显与美国的很多执法威慑机制类似，既消弭了欧美过去的很多制度设计差异，也有利于通过强有力的外部威慑机制促使信息控制者更好承担数据治理责任。

　　 相较于《个人数据保护指令》，《一般数据保护条例》的整体制度设计思路更清晰、规定更翔实，充分体现了通过更有效的内部治理、更强的外部威慑，促使信息控制者主动承担更多责任的立法意图，符合激励监管的基本原理。如果说法律规定是外在的表现形式，那么追求法律的有效实施机制就是内在动力，两者之间是器与道、形与神的关系。后发国家如果只看到美欧法律规定的表面差别，看不到背后的作用机理，就很难从其经验与教训中获得任何有益的启示。

　　

三、培育信息控制者的内部治理机制

　　 发展中国家不同于欧美发达国家，不论是基本权利保护还是消费者预期保护，在信息控制者的行为序列中可能都还难以达到同样的高度。制定个人信息保护法，首先要找到信息控制者最基本的激励，并围绕核心激励设计相关的制度。对于所有信息控制者而言，最基本的需求肯定都是发展与安全。发展是目标，安全是实现目标的保障；缺乏安全保障，不可能有发展。由于技术水平的差距，发展中国家面临的安全挑战比发达国家要大得多。从安全防范角度切入，在发展中国家应该是最容易为信息控制者接受的解决方案。

安永第19届《全球信息安全调查报告》采访了1735名首席管理人员、信息安全与IT高管或经理，他们代表了众多全球规模最大且最知名的企业。2017年9月发布的调查报告显示，(点击此处阅读下一页)