山工机械818F推土机，用实力征服“老司机”

参见罗豪才、应松年主编：《行政诉讼法学》，中国政法大学出版社1990年版，第112页。

第四，申诉模式，即以专门的申诉机关代替司法机关成为发展权法律救济的主要部门。[44]民族自治地方的发展请求权，指的就是民族自治地方依法享有的向上级国家机关请求帮助发展的权利。

国内法上的发展权包含着发展权的终极价值，国际法上的发展权是国内法上的发展权实现的手段和保障。[39]当生存权获得满足后，发展权也具有这一最低标准。2016年，国务院新闻办公室在《发展权利宣言》通过30周年之际发布《发展权：中国的理念、实践与贡献》（白皮书）（以下简称：《白皮书》）指出：拥有平等的发展机会，共享发展成果，使每个人都得到全面发展，实现充分的发展权，是人类社会的理想追求。《国务院实施〈中华人民共和国民族区域自治法〉若干规定》阐述了各级人民政府帮助民族自治地方的职责，其内容与我国《民族区域自治法》的帮助条款基本一致，这也印证了政府是帮助职责的主要履行主体。[26]《彭真文选（1941-1990）》，人民出版社1991年版，第459页。

一直以来，人们都是将国家给予民族优惠政策往民族区域自治中生搬硬套，甚至将国家给予帮助视为我国民族区域自治的特色，没有将两者分离开来思考。文化发展权是指民族自治地方享有发展本民族特有文化的权利，具体包括精神、思想文化发展权、教育发展权和科技发展权等。2018 年9 月26日，美国联邦国家电信和信息管理局（NTIA）代表商务部公开征集发展消费者隐私管理办法的意见。

主导权仍然在企业或者服务提供商手中。这意味着个人即便销户也无法带走和删除与其相关的大量数据。数据主体概念暗含的自然人控制其个人数据的观念是难以落实的。[18]尽管至今美国联邦层面仍未出台正式和统一的信息隐私保护立法，但在2012年后提起的数次立法动议中都将消费者作为信息隐私的基本法律身份。

个人信息保护法应该是原则性的统一立法。首先是经济方面的代价。

CCPA设定的数据合规义务主体是各类企业，其监管对象是符合一定条件且对消费者隐私产生影响的企业经营行为。实践中，公民个人信息遭侵害后通过提起民事侵权诉讼维权的效果大多令人失望。尽管有人乐于宣称企业并不拥有个人数据，用户才拥有数据。原因是互联网是一个协议分层系统，不管上层应用有多么丰富多样，其底层却由数据和协议主导，身份问题并不重要。

关键在于个人信息保护立法应有意识地避免设立难于实现或有较大副作用的权利。鉴于目前我国已有的相关国家标准已经充分吸收欧盟GDPR的术语和权利体系，而且GDPR也确有一定先进性，未来《个人信息保护法》可以采用个人信息主体这类与数据处理监管关联紧密的法律用语。相比之下，欧盟设定数据主体的制度成本甚为巨大，严重影响了互联网经济的发展，也未能实现自主控制个人数据处理进程的目标。这是因为立法毕竟无法突破互联网架构和大数据模式造成的自然人与其数据间关系的不确定性。

欧盟秉持理想主义创设数据主体身份，并赋予其一系列权利，试图提升自然人对其个人数据的控制。但必须强调的是GDPR的数据携带权并不包括对数据主体个人行为进行事后分析而获得派生或推测数据。

我国未来立法也应尊重大数据的刚性架构，在充分借鉴欧美经验教训的基础上，探寻出化解信息隐私身份悖谬的规制路径。[5]更重要的是，数据主体能够携带的数据只是由其提供的个人数据。

数据挖掘却是以牺牲人格利益的方式进行的。这类规范对应可执行的隐私保护机制，而且能直接或间接地引发相应法律后果。尽管很多国家采取了前台自愿，后台实名的做法，然后台本质上是一种身份信息的一致性验证和备份。目前尚未出现任何改变互联网基本架构的趋势。[11]个人网络行为变化带来的高度隐私风险最终被转变为更沉重的企业责任。这是因为用户与互联网之间并没有独立的安全协议，其信息安全与隐私都由应用层决定。

消费者身份定位虽然对应一些可执行规范，但由于我国消费者权益保护法远没有美国那样发达和有力，因此也不宜模仿美国将消费者作为个人信息保护的基本身份定位。2018年12月19日，美国华盛顿哥伦比亚特区总检察长向特区高等法院提起诉讼，针对剑桥分析事件中Facebook违反《特区消费者保护程序法》起诉Facebook。

消费者身份对应于消费者保护机制，用户和个人信息主体则对应于互联网或相关行业监管机制。（二）信息隐私身份的法律实效性分析 我国现有各类信息隐私身份的法律实效性存在明显差异。

对某些违反隐私法令和规则的行为，FTC还可以直接主张获得民事罚款的支持。这些规定没有直接的法律强制性，互联网公司可以自愿选择是否采纳这些原则。

对此欧盟和美国分别选择了不同的路径。但大数据隐私保护却日渐紧迫。尽管存在一些不足，但欧盟通过统一立法创设数据主体的先进性是毋庸置疑的。无疑，印度和巴西延续了欧盟在个人数据保护领域的理想主义。

FTC的执法范围已经覆盖到线下、线上以及移动端，执法对象更囊括了Google、Facebook、Twitter、Microsoft在内的知名企业。数据主体只是一种虚悬的法律拟制身份。

二是不干预互联网自身发展，从既有法律规范中选取相应机制进行规范。自2013年实施的《信息安全技术公共及商用服务信息系统个人信息保护指南》（GBZ 28828-2012）使用个人信息主体这一表述后，其后推出的国家标准就更倾向于使用这一与GDPR数据主体非常接近的术语。

这种法律定位与实际地位的差异体现在监管逻辑上的双层结构。（二）大数据模式原因：身份即资源 数据是大数据时代的基本资源，与身份相关的数据价值更高。

大数据隐私的身份悖谬在第4条两项规定的对照中显得非常清晰。而普通用户对数据如何运用却毫不知情，也无法干预。但硬性拔高隐私身份定位付出的法律和经济代价也是沉重的。为实现这些功能，就需要遵守共同的规则，也就是协议（Protocol）。

美国消费者对互联网安全也比欧盟的数据主体更有信心。文章来源：《浙江社会科学》2019年第12期。

FTC有关消费者隐私权的执法重点虽然是美国本土消费者权益保护，但保护触角延展至全世界各地的消费者，避免他们遭受FTC管辖范围内企业不公平或欺诈行为的侵害。互联网发展至今，已形成强大的利益格局和制度惯性，任何结构性的改变都需要付出高昂代价。

进入信息时代后， FTC以消费者保护机制为核心建立起一套信息隐私保护的新普通法。最后，数据主体的实施质效有很大的不确定性。