在没收违法所得与行政处罚的关系上，应构建以罚款为主的行政处罚制度，而将没收违法所得作为行政处罚制度的补充。

[17]因此，区域发展权是针对地区发展不平衡而提出的一个学理概念。[21]这一实际情况是确立民族自治地方发展权理论的前提条件和现实基础。

民族自治地方的发展权，要求上级国家机关承担最低限度义务、积极考虑义务、选择改善义务以及消极的不侵犯义务。[22]参见前注[15]，关今华书，第157页。学界对民族区域自治的研究带有强烈的政治诉求和意识形态判断，[1]实践中民族问题、宗教问题多被简单地等同于政治问题，民族自治地方的发展多依赖于上级国家机关的政策倾斜，政策手段优先于法律手段已是不争的事实。前述向上级国家机关的请求权制度，是一种内部解决制度，可以尽量实现上下级政府之间的沟通并解决问题，节约制度成本。[45]民族自治地方的单行条例及自治县的自治条例中几乎未见向上级国家机关请求帮助的条款，零星有向国家请求减税的规定。

1949年后民族区域自治制度作为我国的一项基本政治制度，受到宪法和法律的保护。1939年 1月，林伯渠在《陕甘宁边区政府对边区第一届参议会的工作报告》中总结了在经济方面帮助少数民族的成功经验，边区政府不但减轻了蒙古族的税务负担，并且给他们营业以保证，使他们不受任何损失，同时在粮食与日用品方面给他们以极大的经济帮助。尤其是不公平和欺诈本身就是有意设置的宽松表述方式。

相比之下，欧盟设定数据主体的制度成本甚为巨大，严重影响了互联网经济的发展，也未能实现自主控制个人数据处理进程的目标。参见程啸：论大数据时代的个人数据权利，《中国社会科学》2018年第3期。数据主体概念暗含的自然人控制其个人数据的观念是难以落实的。设定个人信息主体身份未必就会产生欧盟数据主体权利导致的负面后果。

考虑到欧盟、印度和巴西共有人口20多亿，不能不说数据主体是一个非常成功的法律概念。包括我国在内的很多国家在隐私保护规则制订方面都深受欧盟影响。

柔是指继续加强国家标准等规范性文件的制订和适用，综合运用警示约谈、行政指导、劝导示范、行政检查、行政奖励等柔性执法方式保护信息隐私。个人信息保护法应该是原则性的统一立法。我国信息隐私主体的现有法律定位模糊。但从运行实效看，数据主体在大数据条件下难以行使控制权，因而仍是虚悬的主体身份，且过于强调权利也易造成较大的经济和法律成本。

高标准和比较僵化的合规条件导致欧盟区域内的互联网企业创业和运营成本都比较高。从表层来看，欧盟似乎高举信息自决的旗帜，数据主体通过行使权利对数据处理过程进行自主控制，进而实现信息隐私保护目标。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。[11]个人网络行为变化带来的高度隐私风险最终被转变为更沉重的企业责任。

但在大数据条件下，可识别本来就具有不确定性。庞理鹏诉中国东方航空股份有限公司案（2017）京01民终509号、北京趣拿信息技术有限公司隐私权纠纷案（2015）海民初字第10634号等。

[15]但正如前文分析得那样，大数据经济中个人的实际地位是被动和卑微的，大企业和政府才是真正的主角。个人身份定位过于泛泛，不能适应个人信息保护的规范需要。

其次，现有的人大及人大常委会制定的法律中确定的隐私身份主要有三种：个人、消费者、公民个人。为实现这些功能，就需要遵守共同的规则，也就是协议（Protocol）。但这并没有解决大数据隐私保护的身份难题。[16] FTC保护信息隐私的规范基础主要是《联邦贸易委员会法》第5条的规定。这种界定非常宽泛，并没有像欧盟那样新增法律身份，为通过消费者范畴扩展隐私保护奠定了基础。相较而言，在欧盟数据保护制度中数据主体基本上是一个被动的受益者。

实际上，由于互联网的基本架构并非由欧盟主导建成。还可以向企业和消费者宣传法律规定，在有关消费者隐私的领域提出立法建议或监管方案，组织召开相关研究和研讨，开展全球隐私保护的国际合作等。

甚至认为此种联合势必突破旧制度框架，为人类提供更自由的规范体系。[4] Ali Muneeb, Trust-to-Trust Design of a New Internet, Princeton University Doctoral Dissertations, 2017, p.60. [5] 关于DTS项目的详细情况，可参见Data Transfer Project, Data Transfer Project Overview and Fundamentals, https://datatransferproject.dev/dtp-overview.pdf, 2019年1月2日访问。

在互联网基本架构稳定的前提下，身份是个人信息构成和保护的关键要素，在隐私保护领域，只有能识别出身份的信息才是个人信息。从效果来看，在美国隐私法中，消费者几乎是与自然人相同的概念，只不过更强调了自然人在商业活动中相对弱势地位而需要被保护的特征。

然而一旦公开承诺遵守这些原则的互联网公司公然违反法案提出的原则就将面临FTC提起的强制诉讼。更关注政策和市场的研究者更重视企业间的数据分享和再利用以及自动化生成的匿名化数据的财产属性等较为紧迫的实际问题。作为世界最大的互联网经济体，借鉴欧美的经验需要慎之又慎，尤其是欧盟的互联网法律规制方法在经济领域造成的负面效果是不容忽视的。两国在信息隐私身份设定方面都明显受到欧盟数据主体概念的影响。

互联网发展至今，已形成强大的利益格局和制度惯性，任何结构性的改变都需要付出高昂代价。消费者身份对应于消费者保护机制，用户和个人信息主体则对应于互联网或相关行业监管机制。

我国个人信息立法既要总结过往经验，也应该面向未来。我国完全可以利用后发优势，对欧盟相关权利的运行效果做出综合研判，在此基础上，结合国情和需要谨慎务实地设计相关权利体系。

另外，在相关国家标准中用户是常见的技术术语。而集中则意味着攻击目标明确和系统性的危险。

自然人在传统空间拥有单一的主体身份，并据此从事各种活动、获得财产、建立人际关系，进而发展自身个性和人格。注册用户、 非注册用户、 被动用户[1]。参与构建互联网的技术精英以及富于前瞻性的观察家都将互联网视为自由人的自由联合。以上这些都充分说明消费者身份在美国隐私法中具有根深蒂固的地位。

数据挖掘的目标和方式都不太明确，所以在数据处理前往往无法预先询问相关权利人并获得许可。自然人应该能自由调取这些数据，决定是否以及提供哪些数据给相应的服务平台或企业，而且有权在终止服务后彻底销毁因享受服务产生的相关数据。

[6]但无论基于财产权、所有权、知识产权等传统法律路径中的任何一条都难以证明自然人对其数据的拥有。[3] [加]唐塔普斯科特、亚历克斯·塔普斯科特：《区块链革命——比特币底层技术如何改变货币、商业和世界》，凯尔等译，中信出版集团股份有限公司2016年版，第39-41页。

2017年日本个人信息保护法基本上就是循此逻辑立法的。同样规范网络运营者义务的第40条和第41条，前者使用的是用户，后者使用了个人。