在大数据时代,信息控制者对于个人信息有很强的利用激励而缺乏同等程度的保护激励。如果法律规则只是简单施加各种禁止性或者强制性规定,势必因为激励不相容影响有效实施。尽管立法模式不同,不论欧盟还是美国,近年来都在探索建立激励相容的个人数据治理体系。我国目前的个人信息保护相关立法存在法律要求与信息控制者内部治理机制脱节、刑法制裁与其他法律手段脱节、责任规范与行为规范脱节等问题。个人信息保护法应以培育信息控制者内部治理机制为目标,以构筑有效的外部执法威慑为保障,促使信息控制者积极履行法律责任,并对违法行为予以制裁。个人信息保护法应确认信息主体在公法上的个人信息控制权,不能也不应该回避基本权利话语。个人信息保护法的实施,需要先从信息安全风险管理角度切入,由易到难,循序渐进,推动激励相容机制实现。
