在大数据时代，信息控制者对于个人信息有很强的利用激励而缺乏同等程度的保护激励。如果法律规则只是简单施加各种禁止性或者强制性规定，势必因为激励不相容影响有效实施。为此，在《探索激励相容的个人数据治理之道——中国个人信息保护法的立法方向》一文中，中国社会科学院法学研究所周汉华研究员提出，个人信息保护法应以培育信息控制者内部治理机制为目标，以构筑有效的外部执法威慑为保障，由此循序渐进地推动激励相容机制的实现。

在大数据时代，由于数据本身的特性，信息控制者有很强的利用激励而缺乏同等程度的保护激励。如果法律规则不能因势利导，只是简单施加各种禁止性或者强制性规定，忽视信息控制者内在激励机制设计，势必因为各种激励之间的不相容而影响规则的有效实施。因此，大数据时代的个人信息保护应该通过科学的立法与制度设计，理顺立法要求与信息控制者内在激励之间的关系，使个人信息保护成为信息控制者的内在需要。

欧盟与美国个人信息保护法律路径不同，但最新国际实证比较研究成果表明，欧美两种模式实际上存在某些共同规律可循：欧美都在探索建立激励相容的个人数据治理体系。

有学者通过对德国、法国、意大利、英国四个欧盟成员国的隐私保护实证研究，发现四个国家隐私规制的共同趋势是将严格的政府执法、公共压力之下的行业自律和低水平的诉讼机制相结合，称之为“合作法治主义”模式。这虽然不同于美国以诉讼为主的模式，但其中明显有很多相似的机制，尤其是通过执法威慑和公共压力机制促使企业更多行业自律，实现他律与自律的结合。

不管哪种模式，不论法律多么严格，只有激励相容才会取得预期保护成效，不相容则难以得到执行，甚至会导致既阻碍创新又保护不了个人信息的双输结果。

制定个人信息保护法，首先要找到信息控制者最基本的激励，并围绕核心激励设计相关的制度。对于所有信息控制者而言，最基本的需求都是发展与安全。由于技术水平的差距，发展中国家面临的安全挑战比发达国家要大得多。从安全防范角度切入，在发展中国家应该是最容易为信息控制者接受的解决方案。

个人信息保护法应该借鉴近年来国际社会的实践经验与国内行业领先企业的有益探索，进行全面的制度设计。

首先，需要更新信息安全观念，把数据当做核心资产，确立用户个人信息至上的基本价值观，培育保护个人信息就是维护核心竞争力的意识，积极主动承担个人信息保护责任。尽管观念更新仅仅依靠立法不可能完全解决，但通过个人信息保护法明确相应的法律义务与要求，加大违法行为的责任承担，一定有助于改变长期积重难返的各种认识模糊问题。

其次，建立信息控制者积极主动作为的组织体系，将使得个人信息保护成为其内生机制的一部分。个人信息保护法应明确要求信息控制者指定或者设立专门机构或具有相应资质的专门人员(数据保护官)，负责本单位个人信息保护日常工作。当然，由于不同信息控制者的实际情况不一样，个人信息保护法不宜“一刀切”地介入信息控制者内部职能划分，但大方向上应从组织体系上实现个人信息保护与信息安全管理、安全管理与业务发展相互融合。

再次，从业务流程设计开始就将个人信息保护要求嵌入产品与服务之中，体现“设计即隐私”理念，实现个人信息保护全流程覆盖、全业务贯通的行为方式转变。个人信息保护法需要设计一些重要的制度，主要包括：(1)在网络安全法中明确将责任原则也确立为个人信息保护的一项基本原则。(2)信息控制者在采用涉及处理个人信息的新技术等之前，应进行个人信息影响风险评估，并采取相应的安全措施。(3)应鼓励个人信息控制者采用匿名化等方式处理个人信息，并明确规定经匿名化处理的信息不适用个人信息保护法。(4)应要求信息控制者定期主动对信息系统个人信息安全进行检测评估。(5)应平衡个人信息保护与大数据开发利用以及其他社会公共利益的关系，为信息控制者推动大数据开发利用提供法律接口。(6)对于跨境个人信息传输，除设计类似于欧盟的“充分性”认定机制，以国家为对象采取对等措施以外，还应设计多元的补充认定机制，包括经核准的标准个人信息保护合同条款、企业自我约束规则、行为规范，以及获得合法备案的个人信息保护可信标志或认证标志等。

在利用与保护个人数据激励失衡的大背景下，完全依靠信息控制者的自律并不能形成有效的激励约束。制定个人信息保护法的国家，一项重要的立法任务就是构建有效的外部执法威慑，促使信息控制者积极履行法律责任，并对违法处理个人信息的行为予以制裁。

首先，与培育内部治理机制相衔接，扩大责任原则的边界，通过行业领先者的标杆作用提升行业整体保护水平。个人信息保护法需要明确规定，信息控制者依法向第三方提供、转移、共享或者跨境传输其合法控制的个人信息的，应保证第三方能够履行同等个人信息保护法律义务，确保个人信息全流程安全，保证责任原则的全面实现。

其次，确立并贯彻落实透明原则，以公开透明促进内部治理结构发挥作用。个人信息保护法应明确规定，发生个人信息泄露的，信息控制者应当在知情后及时——最迟不超过72小时——向个人信息保护主管部门报告，除非泄露不会对信息主体的合法权利产生风险。不能在72小时内报告的，应说明理由。第三方发生个人信息泄露的，除向个人信息保护主管部门报告外，还应同时通知信息控制者。个人信息泄露可能对信息主体权利产生高风险的，信息控制者应以清晰、简洁的语言，尽快通知信息主体。

再次，明确信息控制者行为底线，完善行政执法手段和合作治理机制，及时发现违法行为。个人信息保护法应推动形成内外互动的职业共同体和多方交流平台，包括制定行业行为规范等，不断将外部压力传导到信息控制者内部。信息控制者违法进行个人信息处理的，政府个人信息保护主管部门应当有多种管理手段。

最后，借鉴消费者权益保护法修改经验，加大民事责任追究力度，解决个人信息被滥用后民事维权成本高、收益低问题，调动信息主体依法维权的积极性。

培育信息控制者内部治理机制与构筑有效的外部执法威慑，只是信息控制者与管理者两个主体之间的单维度关系，属于监管范畴的制度构建。要实现大数据利用与个人信息保护之间的协调发展，肯定不能遗漏信息主体及其权利行使，这就涉及信息主体、信息控制者、管理者三者之间的多维治理结构。

个人信息保护法在设计治理结构的同时，必须考虑实施环节的激励相容机制实现问题，使实施部门对立法目的和基本制度构造有非常清晰的整体认识，并处理好不同维度之间的关系。

首先，要通过立法在内的外部机制助推信息控制者组织架构变革，发育有效内生机制，形成内外互动合力，以有效预防绝大部分个人信息安全风险。在此基础上，根据国情、信息控制者接受度和公众偏好等因素，逐步探索提高价值定位。比如，对于信息控制者的不合规行为，在既有协商执行的余地又有强制手段的情况下，先协商执行效果可能要比简单强制好，更有利于调动信息控制者持续改进的积极性。

我国目前的个人信息保护相关立法存在不足，为此，应采用激励相容的制度设计，通过外部威慑促使信息控制者内生机制发挥作用，这种制度将有利于在实施环节推动形成多元互动的良好治理格局，从而实现保护个人信息的立法目标。