话剧《马叙伦》：一场穿越百年的对话

[19]归根结底，对纯属于大学内部的问题，应由大学自主、自律地判断，而不是法院司法审查的对象。

（四）销售收入无法计算的，按当地同类同等规模的生产经营单位的平均销售收入计算。在这一点上，没收违法所得具有与罚款一样的法律效果。

三是将违法收入扣除合理成本后的部分认定为违法所得。[30] 陈敏：《行政法总论》，自刊，2011年版，第696页。综上所述，从没收违法所得的法律作用来看，没收违法所得的功能并不是制裁，此外，在我国的刑事法律制度中，没收违法所得也并不属于财产刑。对于行政处罚与刑罚的关系，传统观点大多主张两者具有本质上的不同。随之而来的问题就是，这对于没收违法所得与行政处罚之间的关系有何影响呢？ （一）没收违法所得与行政处罚的关系现状 在我国现行的行政处罚制度下，没收违法所得属于行政处罚，与罚款同属于财产罚。

三、没收违法所得与行政处罚的关系重构 没收违法所得不属于行政处罚，而属于新的具体行政行为类型。不构成轻伤的，行为人则会被依照《治安管理处罚法》的规定受到行政处罚。消费者身份定位虽然对应一些可执行规范，但由于我国消费者权益保护法远没有美国那样发达和有力，因此也不宜模仿美国将消费者作为个人信息保护的基本身份定位。

欧盟看重个人数据处理过程的规制，美国则重点从消费者权益保护角度进行规制。消费者身份也一直是美国联邦层面统一隐私保护立法规划依赖的法律身份。其后公司加强了安全防护，但2017年又发生了雅虎30亿用户个人信息被盗。数据主体只是一种虚悬的法律拟制身份。

绝大部分数据都由几个大公司掌握和运用。鉴于目前我国已有的相关国家标准已经充分吸收欧盟GDPR的术语和权利体系，而且GDPR也确有一定先进性，未来《个人信息保护法》可以采用个人信息主体这类与数据处理监管关联紧密的法律用语。

欧盟也必须服从现有互联网的技术和产业规则。两家公司后续都对各自平台进行了相应整改。相较而言，在欧盟数据保护制度中数据主体基本上是一个被动的受益者。综合来看，现有法律规范中涉及隐私身份的术语大致有如下几种情况： 1.个人。

从实际情况看，数据主体人为拔高用户地位的做法的代价是明显的。数据主体概念暗含的自然人控制其个人数据的观念是难以落实的。由于自然人在大数据条件下缺乏单一网络主体身份，欧盟的信息隐私保护同样无法依赖信息自决和意思自治实现。FTC的执法范围已经覆盖到线下、线上以及移动端，执法对象更囊括了Google、Facebook、Twitter、Microsoft在内的知名企业。

宜在加强对企业监管的同时，综合利用消费者权益保护等机制提升大数据隐私的保护质效。最后，在大数据条件下用户提供的数据和其活动形成的新的数据并不归其所有，也不由其支配。

此类事件频发充分证明了数据高度集中的危害。文章来源：《浙江社会科学》2019年第12期。

相反，针对不同的服务和平台，用户每次都需要进行注册和验证。但用户却并非单一和持久的网络身份。个人信息与客观数据间的界限更加模糊，信息隐私的保护也更加困难。而且通过区块链技术创建的互联网身份具有难以篡改的优点，拥有区块链身份的主体能够有效管理自己的身份数据，只需选择必要的身份数据片段而不必一并提交给应用等优势。CCPA之所以引发全世界关注，除因作为全球第五大经济体加州具有重要地位外，还与其明显受欧盟GDPR影响有关，同样高扬数据权利的立场。第111条规定自然人的个人信息受法律保护。

但在大数据条件下，可识别本来就具有不确定性。[25] 陈晨、李思頔：个人信息的司法救济——以1383份‘App越界索权裁判文书为分析样本，《财经法学》2018年第6期。

正因为如此，GDPR将个人资料界定为任何与数据主体有关的信息。[8]数据主体对数据的控制主要通过一系列控制权得以实现，其中包括访问权、被遗忘权、数据可携带权、免于服从单纯自动化处理决定的权利等。

另外，在相关国家标准中用户是常见的技术术语。然而一旦公开承诺遵守这些原则的互联网公司公然违反法案提出的原则就将面临FTC提起的强制诉讼。

法律有两个选择：一是通过立法改变互联网的结构或者至少改变其运作的部分规则。只要互联网的基本架构不变就很难确立自然人的单一网络身份。这类规范对应可执行的隐私保护机制，而且能直接或间接地引发相应法律后果。我国学界和实务界越来越多地倾向于欧盟GDPR的统一立法模式和数据保护制度。

[13]无独有偶，2018年7月印度推出《2018 年个人数据保护法案》（The Personal Data Protection Bill）尽管没有采取欧盟Data subject的表达，而是采用了Data principal的表述，但其功能和界定都与欧盟数据主体如出一辙。（一）欧盟理想主义的数据主体模式 欧盟通过统一立法建构个人数据保护的精细规制框架，并且拟制了一个振奋人心的法律主体身份：数据主体。

毕竟可识别更多是一个技术和事实层面的问题，很难从规范上对其进行预先确认。原因是互联网是一个协议分层系统，不管上层应用有多么丰富多样，其底层却由数据和协议主导，身份问题并不重要。

尽管存在一些不足，但欧盟通过统一立法创设数据主体的先进性是毋庸置疑的。尤其是欧盟将自己的数据保护标准强加给他国的做法不仅有借权利之名设立数据贸易壁垒之嫌，而且缺乏坚实稳固的规范理由，容易引发国际法和公法方面的规范争议。

关键词:  个人信息 信息隐私 隐私保护 数据主体 消费者隐私 一、大数据隐私身份悖谬及原因分析 在大数据条件下隐私和身份间存在着明显的悖谬关系：用户在不断提供各种身份信息的同时却处于没有独立身份的被动地位。总体来说，美国做法更加务实和有效。但事实却并没有循此路线发展。大数据隐私的身份悖谬在第4条两项规定的对照中显得非常清晰。

仅以互联网监管来说，美国联邦贸易委员会（以下简称FTC）和美国联邦通讯委员会都有自己的管制领域。在CCPA中消费者被界定为作为加利福尼亚州居民的自然人。

柔是指继续加强国家标准等规范性文件的制订和适用，综合运用警示约谈、行政指导、劝导示范、行政检查、行政奖励等柔性执法方式保护信息隐私。其次，现有的人大及人大常委会制定的法律中确定的隐私身份主要有三种：个人、消费者、公民个人。

但这里存在规范层面的不确定性。而欧盟在推出一系列个人数据保护权后，隐私权实际上已经退居二线。