焦 娜

(中國人民公安大學法學院 北京 100038)

一直以來，歐盟通過構建和完善嚴格的規(guī)則制度，為數據安全提供高標準的保護。1995年的個人數據處理和數據保護指令95/46/EC(簡稱95/46/EC指令)，作為一種具有約束力的治理規(guī)則，對歐盟國家數據保護機構的運行機制進行了初步探索，但在歐盟國家沒有產生預期的統一效果。隨著互聯網技術的進一步發(fā)展，大數據時代的到來，歐盟法律環(huán)境進行了深層次變革，2018年5月實施的《通用數據保護條例》(General Data Protection Regulation，簡稱GDPR)便是變革成效的重要體現[1]。GDPR被認為是最為嚴格的個人信息保護和數據監(jiān)管條例，歐盟國家層面的數據保護機構(National Data Protection Authorities，簡稱DPAs)成為了數據保護領域的核心參與者[2]，對整個歐盟的數據保護發(fā)揮著舉足輕重的作用。不僅如此，歐盟國家數據保護機構的運行機制也對其他國家和地區(qū)產生了較大的影響，成為全球關于個人數據保護的標桿。

互聯網數據中心(IDC)2019年預測中國數據圈增速最為迅速，到2025年中國將成為全球最大的數據圈[3]。這將給我國數據保護機構的監(jiān)管工作帶來愈來愈大的挑戰(zhàn)，如果監(jiān)管不到位會影響我國的數據安全甚至是國家安全。截至2020年年底，中國互聯網企業(yè)(境內外上市)的市值為17.8萬億元，數量為178家[4]，發(fā)展態(tài)勢迅猛。數據已經成為我國重要的生產要素之一，數字經濟正在蓬勃發(fā)展，是我國經濟增長的重要力量，數據安全問題也受到了廣泛關注，國家、社會、公民越來越重視對個人信息保護和網絡數據安全。因此，通過研究歐盟國家數據保護機構的運行機制，為構建和完善我國的數據保護機構提供可借鑒的經驗，合理優(yōu)化監(jiān)管方式，促使其有效發(fā)揮數據保護和監(jiān)管職能。

1 DPAs的設置與職權演變

1.1DPAs的設置根據95/46/EC指令的要求，每個歐盟國家都應當建立一個DPA，歐盟國家按照本國實際情況通過立法形式將95/46/EC指令轉化為國內法，國內法的作用是補充和細化95/46/EC指令的規(guī)定內容。歐盟國家根據國內法的相關規(guī)定分別設立了DPAs(見表1)，歐盟各國家的DPAs數量有所不同，大多數國家僅設立了一個DPA，而有些國家則設立了多個，例如德國。德國具有獨特的DPAs系統，數據保護是德國聯邦政府和州政府的共同責任。因此德國的16個州分別出臺了數據保護法，并設有DPA，且每個DPA都有州管轄權[5]。雖然歐盟各成員國DPAs的名稱不同，但其共同特點是DPAs都是公權力機關，具有執(zhí)法職能，DPAs是“作為擁有相關監(jiān)督權、調查權、干預權和訴訟權的獨立監(jiān)管機構?！盵6]執(zhí)行其任務和行使其權力時完全獨立，不受任何直接或間接的外部影響，且不得尋求或接受任何人的指示，其工作人員在任職期間不得采取任何與其職責不符的行動。根據95/46/EC指令，DPAs在國家法律和歐盟法律之間具有混合的地位，DPAs既是歐盟各成員國的機構，也有歐盟的組成部分。GDPR第六章專門對DPAs的設置、責任、職權進行了規(guī)定，使DPAs變得更加“歐盟化”。

1.2DPAs的職權演變DPAs不僅要在國家法律框架內行使權力，同時也要執(zhí)行歐盟的法律規(guī)定。從95/46/EC指令到GDPR，DPAs的職權經歷了從模糊到明確，從差異到統一，且逐漸擴大。

1.2.1 95/46/EC指令對DPAs的職權劃分較為模糊 根據95/46/EC指令第28條第(3)款規(guī)定，DPAs具有調查權、有效干預權和參與法律訴訟的權力，但對這些權力的具體內容規(guī)定卻不甚明確[7]。隨著實踐的快速發(fā)展，DPAs在行使職權、充當權利守護者的過程中會面臨執(zhí)法困境。

表1 歐盟國家DPAs的設置

1.2.2 歐盟法院(CJEU)通過判例法進一步擴大了DPAs的權限范圍 歐盟法院通過適用95/46/EC指令，在保護歐盟公民個人數據的權利方面發(fā)揮了積極作用，例如2015年10月6日歐盟法院發(fā)布了Schrems v Data Protection Commissioner (Case C-362/14)的最終判決，根據該判決，愛爾蘭數據保護委員會應當盡職調查Schrems的投訴，通過調查發(fā)現如果美國沒有對個人數據提供足夠的保護，根據95/46/EC指令愛爾蘭數據保護委員會在調查結束時有權決定暫停將Facebook在歐洲用戶的數據轉移到美國。該判例明確了DPAs在歐盟做出“充分性決定”時的職權內容：一是有權審查個人關于其他國家處理其個人信息的投訴；二是有權向國家法院提起訴訟，質疑“充分性決定”的有效性；三是有權在適當的時候暫停向其他國家傳輸個人信息[8]。

1.2.3 GDPR實施以后，DPAs的職權發(fā)生重大變化 GDPR第57條和第58條明確細化了DPAs的任務和職權，將其職權劃分為3種類型：調查權、糾正權、授權和咨詢權。調查權主要是指根據GDPR，DPAs可以以數據保護的審計形式進行調查，還可以從數據控制者或處理者那里獲得對數據、對調查所需的場所、設備和信息進行訪問的權力。在行使授權和咨詢權時，DPAs可以向立法部門提供立法建議，向數據控制者和處理者提供相關建議，向需要事先授權從事某項工作的機構進行授權。但是，DPAs最為強大和最為核心的職權是行使糾正權，糾正權的行使范圍從采取較溫和的制裁措施到更嚴厲的制裁(例如刪除數據、禁止處理數據或暫停數據流向第三方國家)。GDPR的這一規(guī)定給各成員國制定法律留下了很小的發(fā)揮空間，正如GDPR前言第129條所宣稱的那樣，“為了確保在整個歐盟范圍內對本法規(guī)進行一致的監(jiān)管和執(zhí)行，監(jiān)管機構在每個成員國應具有相同的任務和有效的權力”。

2 95/46/EC指令下DPAs的運行機制

95/46/EC指令的模糊性規(guī)定，促使DPAs 在實踐發(fā)展中不斷探索，從分散式執(zhí)法逐步走向非正式合作，為GDPR下DPAs運行機制的構建奠定了基礎。

2.1DPAs分散式執(zhí)法由于95/46/EC指令是一項指令而非法規(guī)，歐盟國家對其在本國法律中的實施形式和方法具有較大的自由裁量權。每個歐盟國家都有自己的DPA，但在職權、功能等方面幾乎沒有一致性，95/46/EC指令的內容規(guī)定較為原則化，例如比例原則、公平正義等，這樣直接導致27個歐盟國家的DPAs在數據保護執(zhí)法方面具有明顯的差異性。這種差異不僅體現在法律層面，也體現在每一個DPA的運行機制方面。例如，德國、斯堪的納維亞及北歐國家的DPAs擁有較大的自主權，日常運行較為靈活；愛爾蘭的DPA在運行過程中盡量為企業(yè)提供更為寬松的發(fā)展環(huán)境；斯洛伐克的DPA在日常監(jiān)管中幾乎不發(fā)揮作用，丹麥的DPA在運行中更加重視國內數據保護問題，忽視歐盟國家DPAs之間的合作，西班牙和法國等國家的DPAs任務繁重，需要承擔全球云服務等重大問題[9]，相應的運行機制也較為復雜。

歐盟國家適用95/46/EC指令的差異性也延伸到處罰權的確立及其數額的設定，例如，在處罰措施方面，立陶宛是由司法機關處以刑事罰款；德國的司法機關可以決定采取拘留措施，DPA具有處以行政罰款的權力。在罰款數額方面，德國的最高限額為300 000歐元；瑞典為1 000 000克朗或大約105 000歐元；愛爾蘭為100 000歐元；意大利為300 000歐元；荷蘭為820 000歐元或營業(yè)額的10%；羅馬尼亞為22,000歐元或營業(yè)額的2%；法國為3 000 000 歐元[10]。從中可以看出，歐盟國家DPAs的處罰嚴厲程度各不相同，有的DPAs采取嚴格的態(tài)度，而有的則采取相對寬容的態(tài)度。

2.2DPAs非正式合作由于跨境數據流動在歐盟國家之間頻繁發(fā)生，再加上歐盟法律碎片化，DPAs逐漸意識到了合作的重要作用。根據95/46/EC指令，DPAs之間的合作不是依據明確的規(guī)則和按照嚴格的時間限制展開，而是在相當非正式的層面上進行的。DPAs在履行職責時通過交換對彼此有用的信息，有時可能會被另一個國家的DPA要求行使其權力。具體而言，當一國的DPA需要根據另一成員國的法律實施處罰時，該DPA不能直接行使干預權，需要請求法律所屬國的DPA。兩國的DPAs通過協商一致，共同確定侵權行為，最終由該法律所屬國的DPA作出處罰決定。非正式的合作屬于“橫向合作”模式，其特點是歐盟國家DPAs之間沒有等級區(qū)分，共同分擔責任，共同獲取利益，靠著良好的信用和管理進行持續(xù)性合作。例如，在Facebook侵犯數據主體隱私權案件中，法國的DPA——國家信息和自由委員會(CNIL)聯合比利時、西班牙、荷蘭和德國漢堡地區(qū)的DPAs，共同指控Facebook未經非訂閱用戶同意收集數據以及未經數據主體明確同意收集敏感數據[11]。

2.3對95/46/EC指令下DPAs運行機制的評價DPAs分散式執(zhí)法表現出的顯著特征是DPAs的運行機制具有明顯差異性，這種顯著的差異符合當時歐盟及其成員國探索個人數據保護的發(fā)展歷程，歐盟誕生兩年后95/46/EC指令開始實施，歐盟國家各自成立的DPAs具體的運行機制還主要處于適應本國國情，解決國內問題的階段，再加上95/46/EC指令的原則性規(guī)定，并不能明確指導歐盟國家的DPAs之間進行合作執(zhí)法。之后，DPAs分散式執(zhí)法逐漸暴露出一些缺陷。具體而言，一方面，DPAs分散式執(zhí)法導致整個歐盟數據保護法律缺乏統一性。尤其是當發(fā)生歐盟范圍內的數據侵權事件時，DPAs傾向于“各自為政”或者局部合作，使得問題不能得到及時有效的解決。例如有的DPAs在處理Facebook侵犯數據主體隱私權案件時，一開始并未考慮與其他DPAs合作，而是自行解決該問題。例如，比利時的DPA——國家隱私委員會以Facebook涉嫌違反比利時法律為由向比利時的法院起訴Facebook[11]。另一方面，DPAs分散式執(zhí)法可能會損害歐盟數據保護的有效性。在跨境數據流動中，很多數據控制者為了“鉆法律的空子”會選擇一個DPA監(jiān)管水平較低或者監(jiān)管相對寬松的國家建立主要辦事機構，遠離受數據處理活動影響的個人所在的國家，致使由數據主體居住地所在國的DPA追究數據控制者法律責任時適用的法律和其權限范圍出現沖突，不能較好實現懲戒和規(guī)范的目的。

為了彌補DPAs分散式執(zhí)法帶來的差異性后果，DPAs之間開始尋求合作，并且從非正式合作開始探索解決歐盟國家共同面臨的問題。非正式合作在一定時間內發(fā)揮了積極作用，但是隨著歐盟國家之間的交往越來越密切，非正式合作不能滿足歐盟內外數據跨境流動的實際執(zhí)法需要，已不能作為主要的執(zhí)法合作方式。究其原因，DPAs同其他公共權力機構一樣，面臨人員配備不足和缺乏財政資源等窘境，這會導致DPAs無法有效完成所有任務安排。同時，由于DPAs是國家機構，應當首先保證其在本國領土范圍內能夠提供高水平的數據保護和監(jiān)管。

3 GDPR下DPAs的運行機制

GDPR的實施代替了95/46/EC指令，并取代了大部分的國家數據保護法，更能適應互聯網時代的發(fā)展，改變了歐盟法律碎片化和不確定性的狀態(tài)，統一了歐盟數據保護的規(guī)則。DPAs負責監(jiān)督和執(zhí)行新的數據保護規(guī)則GDPR，可以更好地發(fā)揮歐盟數據保護守護者的作用。 GDPR引入了DPAs兩種不同類型的權限，分別是“單一權限”和“協作權限”?！皢我粰嘞蕖笔侵冈贒PAs處理案件時主要基于屬地原則。但是隨著跨境數據流動的頻繁發(fā)生，DPAs的運行機制更多體現為“協作權限”之內。具體而言，DPAs在遵守由歐盟數據保護委員會(European Data Protection Board, 簡稱EDPB)保障實施的、明確的且具有強制性的“一致性”原則之下，構建了多種合作機制，例如“一站式”(the One-Stop-Shop)結構化合作、互助(Mutual Assistance)以及聯合行動(Joint Operations)(見圖1)。

3.1明確且強制遵守的“一致性”原則“一致性”原則體現為GDPR在歐盟國家能夠得到統一適用，防止同一案件被不同成員國的DPAs采取不同的處理方式，同時解決DPAs之間的執(zhí)法沖突。

3.1.1 “一致性”原則的保障實施者——EDPB 根據GDPR第68條的規(guī)定在歐盟層面設立EDPB，EDPB成為歐盟數據保護的中心，為DPAs之間的合作奠定堅實的基礎。EDPB不僅發(fā)布關于如何解釋GDPR核心概念的指南，還針對跨境數據處理的爭議發(fā)布具有約束力的決定。EDPB在2020年1月1日至12月31日期間，共處理了628起跨境案件，其中461起源于投訴，而167起源于其他原因，例如調查、媒體報道等[12]。2021—2023戰(zhàn)略中提出，EDPB決心通過企業(yè)和公共機構(包括執(zhí)法機構)，向第三國傳輸歐盟關于國際數據保護的高標準。EDPB致力于加強與國際社會的溝通，從全球角度思考并提出具體建議和實用解決方案，為DPAs提供政策指導，以應對數據保護領域中出現的新的不可預見的挑戰(zhàn)，促進歐盟數據保護逐步發(fā)展成為全球模式，并確?？梢杂行ПＷo歐盟以外的個人數據[13]。GDPR通過為DPAs提供有效合作的方式來促進DPAs之間的合作，鼓勵DPAs接受這些變化并調整其運行機制，以便能夠滿足新的權利(力)和義務需要[14]。

圖1 GDPR下DPAs的運行機制

3.1.2 “一致性”原則的具體要求 EDPB以其獨立的法律人格和做出具有約束力決定的權力，使其在歐盟數據保護規(guī)則的執(zhí)行中成為一個更強大的參與者，進而保證了“一致性”原則在以下兩種情況中是明確的且具有強制性：第一，當數據處理操作的行為對多個成員國的大量數據主體產生了重大影響，DPAs計劃采取會產生法律效力的措施時，例如GDPR在第64(1)條中列出的一些明確的措施，DPAs必須向EDPB 提交決定草案，征求其事先的意見。在明確且強制遵守的情況下，“一致性”原則是這些措施合法性的先決條件。對于這些情況，GDPR沒有明確賦予EDPB直接的約束力，而是當DPA不遵循 EDPB的意見時，從而違背“一致性”原則并間接使EDPB擁有最終決定權。第二，根據GDPR 第65條第1款的規(guī)定，“一致性”原則發(fā)揮了解決爭議的作用，EDPB充當爭議解決機構。當相關的DPAs(the Concerned Supervisory Authorities，簡稱CSAs)無法在“一站式”結構化合作下達成協議，或當CSAs與發(fā)揮主導作用的DPA(the Lead Supervisory Authority ，簡稱LSA)存在沖突意見時，應當適用“一致性”原則，EDPB應當進行干預并做出具有約束力的決定?！耙恢滦浴痹瓌t除了在適用GDPR時能夠體現適當的協調性或統一性，還是為了解決DPAs的沖突，這樣使DPAs的合作將在日常活動中發(fā)揮越來越大的作用[15]。

以遵守“一致性”原則之下的罰款為例，根據GDPR第83條規(guī)定，對違反GDPR核心合規(guī)義務罰款最高可達2 000萬歐元或者上一年度公司全球營業(yè)額的4%(以較高者為準)，對違反GDPR其他非核心合規(guī)義務的罰款最高可達1000萬歐元或者上一年度全球營業(yè)額的2%(以較高者為準)[16]。統一罰款數額范圍是一項可行的措施，因為可以確保所有歐盟國家實施相同級別的處罰。換言之，無論數據控制者在歐盟哪個國家建立主要機構，任何違反GDPR的行為都將受到相同的處罰，這樣會使在任一歐盟國家的數據控制者都將同樣認真對待數據保護[17]。

3.2“一站式”(theOne-Stop-Shop)結構化合作“一站式”結構化合作是指發(fā)揮主導作用的DPA(LSA)有權作為跨境數據處理的牽頭機構，與相關的DPAs(CSAs)進行協調，開展協作，共同對整個歐盟內該企業(yè)的所有數據處理活動進行監(jiān)督。根據95/46/EC指令，在多個歐盟國家同時設有機構的企業(yè)必須遵守由不同DPAs實施和解釋的國家規(guī)則，每個DPA都有權監(jiān)督該企業(yè)的數據處理活動。這種情況不僅對歐盟內的企業(yè)造成負擔，而且不利于數據主體的權利保護，容易導致DPAs在適用歐盟數據保護規(guī)則時缺乏一致性。然而根據GDPR第56(1)條規(guī)定，這樣的企業(yè)將與其中的一個DPA構建聯絡關系。如果一家企業(yè)在一個以上的歐盟國家開展業(yè)務，并且在歐盟國家內至少設有一家機構，則它必須與單一的DPA(LSA)進行聯絡，再由LSA與CSAs進行聯絡。一國的DPA是否能夠處于主導地位，取決于數據控制者或者處理者的建立地是否主要位于該國之內?！耙徽臼健苯Y構化合作作為一種復雜的合作方式，在遵守“一致性”原則的前提之下，EDPB有權做出最終的、具有約束力的決定[18]。

GDPR規(guī)定了采用“一站式”結構化合作，DPAs需要遵守明確的時間期限以及履行相應的責任?！耙徽臼健苯Y構化合作主要體現在跨境數據流動中，LSA必須在采取措施之前讓所有CSAs都參與進來，并傳達所有相關信息，提交采取措施的決定草案，CSAs可以在四個星期的時間內對決定草案提出反對意見。如果LSA同意CSAs提出的反對意見，則必須在兩周的較短時間內重新提交決定草案以征求意見。全部參與的DPAs達成一致意見后，由LSA將最終決定告知企業(yè)和CSAs，同時告知EDPB。如有必要的話，EDPB將會在考慮“一致性”的原則后做進一步的討論。GDPR還規(guī)定了對“一站式”結構化合作適用的例外情況，例如當LSA認為需要采取緊急行動以保護數據主體的權益時，可以設立緊急程序。

3.3互助(MutualAssistance)提供互助的義務適用于一個DPA請求另一個DPA協助履行其任務的任何情況。GDPR第61條規(guī)定了被請求DPA的義務以及違反這些義務的后果。互助不僅僅是發(fā)生在跨境數據流動的情況下。GDPR第61條允許DPA在具體問題/案件上請求對方的幫助，例如自愿協助參與調查，分享調查結果和相關信息[19]。從2018年至2020年DPAs啟動互助程序分別是397、2145、2504個(見表2)，2020年1月1日至2020年12月31日期間，DPAs共啟動了246個正式互助程序，2 258個非正式互助程序[12]。非正式互助+程序沒有法定期限的限制，正式互助程序中要求提供信息的DPA需要在一個月之內答復[20]?；ブ绦虿粌H適用于“一站式”結構化合作下的跨境案件，還適用于DPAs起草決定前收集必要信息的初步階段的案件，也適用于包含跨境因素的國內案件[21]。

3.4聯合行動(JointOperations)GDPR第62條規(guī)定了DPAs聯合行動的具體內容，包括聯合調查和聯合執(zhí)法措施。聯合行動是指兩個或兩個以上的DPAs聯合起來，朝著共同商定的目標行動。為了實現這一目標，DPAs提供相關的資源，包括技能、工作人員等。如果一個歐盟國家內的數據主體權利受到重大影響，即使數據控制者或者數據處理者沒有在該國內建立主要機構，該國的DPA有權請求參與聯合行動，被請求的DPA應當毫不遲延地對該請求作出回應。由請求國的DPA指派的參加聯合行動的工作人員只能在發(fā)起國DPA的授權下行使權力，并且應當遵守發(fā)起國的法律規(guī)定，由此發(fā)起國DPA對請求國DPA的工作人員的執(zhí)法活動承擔責任，包括對其執(zhí)法期間造成的任何損害承擔賠償責任。聯合行動同樣不限于跨境案件。2018年和2019年，DPAs之間沒有進行過聯合行動；2020年，DPAs之間僅進行過一次聯合行動(見表2)。

表2 “一致性”原則下DPAs的合作方式

3.5對GDPR下DPAs運行機制的評價GDPR實施以后的2018年至2020年，DPAs采用“一站式”結構化合作的頻率呈現成倍數的增長態(tài)勢，而且每年能夠做出最終決定的數量隨著合作次數的增多也明顯增多(見表2)。“一站式”結構化合作體現為LSA和CSAs之間的良好合作，LSA發(fā)揮領導調查作用，并致力于與CSAs之間達成共識的過程中發(fā)揮關鍵作用[12]。對于數據主體而言，“一站式”結構化合作提高了數據主體的地位，以平等的方式保護數據主體的權利而不受其居住國的影響，防止數據控制者和處理者優(yōu)先選擇被認為較為寬松的DPAs的管轄范圍，從而實施侵犯數據相關權利的行為?；ブ绦蚴荄PAs采用最具普遍性的合作方式，極大程度上提升了DPAs開展合作的便捷性。從某種程度上來講，聯合行動屬于“一站式”結構化合作的一部分，但是從DPAs之間的分工和配合方面分析，“一站式”結構化合作則更為體系化、制度化，是一種長效運行機制。

DPAs對GDPR的執(zhí)行和落實，保證實現對歐盟公民個人數據的保護，使歐盟朝著更好、更協調的數據保護執(zhí)法邁進，提高了GDPR對個人數據權利的保護水平。相應地，DPAs對處理歐盟公民數據相關的企業(yè)進行了規(guī)制，這類企業(yè)為了能夠在歐盟正常開展經營和發(fā)展，對數據處理活動必然遵守GDPR的嚴格規(guī)定。對于歐盟國家的DPAs而言，明確且強制遵守的“一致性”原則加強了歐盟國家DPAs之間的合作，進而提升了DPAs的執(zhí)法權威和執(zhí)法效果。DPAs負責監(jiān)管該國領域內的數據活動，包括將個人數據傳輸到歐盟以外。自GDPR實施以來，DPAs收到了很多關于個人數據保護的投訴。以法國為例，2018 年CNIL收到了創(chuàng)紀錄的11077起投訴(與2017年相比增加了32.5%)[22]。GDPR實施后DPAs的許多執(zhí)法行動主要涉及數據處理是否合法，以及根據GDPR第6條規(guī)定數據控制者是否有權處理個人數據。另外，DPAs對數據流動和數據處理的監(jiān)管活動逐漸增加，從2018年5月到2019年5月，所有DPAs做出的罰款決定不超過20次；然而從2019年5月到2020年3月，這一數字增加了5倍多[5]，2019年1月，法國CNIL首次做出罰款決定，對谷歌處以5 000萬歐元(5 400萬美元)的罰款，因為谷歌未能確保其個性化廣告合法處理用戶數據，這筆罰款是法國CNIL迄今為止最大的一筆罰款[5]。2021年9月愛爾蘭數據保護委員會以違反數據保護規(guī)則為由，對 WhatsApp愛爾蘭公司處以 2.25 億歐元的罰款，并勒令其采取一系列特定的補救措施以做到充分合規(guī)，這是愛爾蘭數據保護委員會自成立以來開出的最大罰款。由此可見DPAs的執(zhí)法能動性和執(zhí)法權威性在具體案件中逐漸增強。

4 啟 示

歐盟國家數據保護機構的運行機制體現了數據監(jiān)管的專業(yè)和高效，增強了DPAs執(zhí)法的威懾力和權威性，保障了數據安全、自由流動。借鑒歐盟國家數據保護機構的運行機制的有益經驗，應當結合我國的實際情況。我國不適宜設立獨立的數據保護機構，可以嘗試構建和完善“1+X”的數據保護機構體系；我國可以借鑒“一致性”原則之下，DPAs之間開展“一站式”結構化合作的經驗，改良目前“九龍治水”的監(jiān)管格局和監(jiān)管方式；借鑒歐盟及其成員國重視公民投訴，以此來獲取大量案件信息，我國可以創(chuàng)新監(jiān)管方式，暢通公民進行權利救濟的渠道，重視社會公眾的參與度。

4.1構建和完善“1+X”的數據保護機構體系根據95/46/EC指令和GDPR的規(guī)定，DPAs是獨立的國家機構，具有獨立的法律地位，享有完全獨立的職權。我國也有學者在研究數據跨境監(jiān)管機構時，提出新設獨立的機構——全國數據保護委員會，該機構享有相應的“行政調查權、建議權、登記備案權、處罰權以及提起公益訴訟等權限”[23]。筆者認為新設獨立的數據保護機構缺乏考慮我國的政治、經濟、文化等制度發(fā)展和現實情況，具體而言：一方面，在我國一般由政府部門的內設機構承擔監(jiān)管職責，而這些機構同時也要承擔行政管理職責，這兩種職責在執(zhí)法中并沒有得到明確區(qū)分[24]。這些機構在各自的職責范圍承擔個人信息保護和網絡數據安全的職責已能滿足實際需要，而且我國行政體制改革進入了“推進國家治理體系和治理能力現代化的新時代”[25]，精簡設置政府部門及內設機構，推行扁平化管理成為趨勢。因此，在我國設立獨立的數據保護機構不具有必要性。另一方面，由國家網信部門作為主導部門已在我國相關法律中得到明確規(guī)定?！毒W絡安全法》規(guī)定了“國家網信部門負責統籌協調網絡安全工作和相關監(jiān)督管理工作”，同時規(guī)定了國務院電信主管部門、公安部門和其他有關機關在其各自職責范圍內發(fā)揮監(jiān)管作用?！稊祿踩ā芬?guī)定了“國家網信部門負責統籌協調網絡數據安全和相關監(jiān)管工作”?！秱€人信息保護法》規(guī)定了“國家網信部門負責統籌協調個人信息保護工作和相關監(jiān)督管理工作?！惫使P者提出在我國構建和完善“1+X”的數據保護機構體系，即由國家網信部門與其他監(jiān)管部門形成有效的協同配合監(jiān)管體系[26]。“1+X”的數據保護機構體系體現了統一與分散相結合，綜合與專業(yè)相結合，全方位與多主體相結合[27]，是具有中國特色的數據保護機構體系。

4.2強化國家網信部門統籌協調，其他部門和機構協同配合《數據安全法》第6條詳細列舉了具有數據安全監(jiān)管職責的多個部門和機構，對數據的監(jiān)管實施分行業(yè)、分領域，這樣的規(guī)定使不同的數據保護機構在各自領域內發(fā)揮專業(yè)性的監(jiān)管作用，能夠最快識別個人數據存在的隱患和風險，體現數據安全監(jiān)管的高效性。然而，目前我國的實踐中暴露出分行業(yè)、分領域進行數據監(jiān)管的界限模糊問題，這樣容易導致數據監(jiān)管機構在執(zhí)法過程中出現重復監(jiān)管、多重監(jiān)管、監(jiān)管盲區(qū)、監(jiān)管失靈等后果[23]。因此，我國數據監(jiān)管機構的運行機制可以借鑒歐盟在明確的且具有強制性的“一致性”原則之下，最為推崇的DPAs之間的合作機制——“一站式”結構化合作，并結合我國的立法和執(zhí)法情況，構建由國家網信部門統籌協調，相關職責部門和機構協同配合的改良版“九龍治水”監(jiān)管格局。2018年通過的《中共中央關于深化黨和國家機構改革的決定》中提出“堅持一類事項原則上由一個部門統籌、一件事情原則上由一個部門負責”，這為數據監(jiān)管中存在的問題提供了方向性的解決思路，體現了在一個監(jiān)管事項中，不同部門之間除了有職責范圍的區(qū)分外，還在協同配合過程中發(fā)揮著程度不同的作用。例如，2020年4月15日，公安部和中央網信辦牽頭，聯合最高人民法院、最高人民檢察院、工業(yè)和信息化部、國家市場監(jiān)督管理總局等建立跨部委打擊危害公民個人信息和數據安全違法犯罪長效機制，從源頭消除危害公民個人信息和數據安全的隱患[28]。2020年7月中央網信辦、工業(yè)和信息化部、公安部、國家市場監(jiān)管總局四部門聯合啟動App違法違規(guī)收集使用個人信息治理工作，啟動會上提出對違法違規(guī)收集使用個人信息行為加大發(fā)現力度、曝光力度、處罰力度。由不同部門對同一事情聯合監(jiān)管，集中解決某一項存在數據安全隱患的問題，這樣可以統一不同部門的監(jiān)管方式和監(jiān)管標準，加強不同數據監(jiān)管機構之間的信息共享，形成專項執(zhí)法的監(jiān)管合力；另一方面也有利于企業(yè)采取有效措施進行整改，減輕企業(yè)開展數據合規(guī)的負擔。

4.3創(chuàng)新監(jiān)管方式，提高企業(yè)和公眾參與度GDPR實施以后，DPAs最主要的監(jiān)管方式是對數據控制者或處理者采取嚴厲程度不同的制裁措施，我國也有類似的制裁措施。數據監(jiān)管部門通過約談涉事企業(yè)，根據改正情況及情節(jié)、造成的后果等，依法依規(guī)對企業(yè)或者相關責任人員予以警告、罰款，甚至暫停相關業(yè)務、停業(yè)整頓、關閉網站、吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照，構成犯罪的，依法追究刑事責任。在事后處罰的基礎上，我國逐步重視“事前審查+事后處罰”的監(jiān)管方式，事前審查即為數據控制者或者數據處理者主動向監(jiān)管部門報送數據管理情況。例如2021年10月1日起施行的《汽車數據安全管理若干規(guī)定(試行)》第13、14條分別規(guī)定了汽車數據處理者開展重要的數據處理活動，應當每年向監(jiān)管部門主動報送數據管理情況，若要向境外提供重要數據，還應當主動報送其他補充情況。發(fā)揮“事前審查+事后處罰”的聯動作用，通過運用大數據分析等技術手段，數據監(jiān)管機構不定期的對互聯網平臺企業(yè)、小微企業(yè)就個人信息保護、數據安全等工作進行審查，對存在數據風險的企業(yè)盡快主動進行約談，并要求企業(yè)做出實質性的整改方案，在規(guī)定的期限內按照整改方案的要求，積極完成整改，并接受監(jiān)管機構的核驗。如果不能有效整改，則依法予以處置。在此過程中，企業(yè)應當主動報送數據，做好數據合規(guī)管理，發(fā)現存在數據安全隱患時積極主動采取有效整改措施。另外，無救濟則無權利，投訴是公民進行法律救濟的手段之一。上文提到歐盟及其成員國處理與數據相關案件的來源主要是接受投訴，公民重視個人數據權利保護的意識越來越強，在我國部分地區(qū)亦是如此。我國數據監(jiān)管機構在創(chuàng)新監(jiān)管方式時，應當注重提高企業(yè)和公眾參與程度，暢通參與平臺，提高監(jiān)管水平，改善監(jiān)管效果，將數據監(jiān)管的關注點放在維護個人信息數據權利和社會公共利益方面[29]。