焦 娜

(中国人民公安大学法学院 北京 100038)

一直以来，欧盟通过构建和完善严格的规则制度，为数据安全提供高标准的保护。1995年的个人数据处理和数据保护指令95/46/EC(简称95/46/EC指令)，作为一种具有约束力的治理规则，对欧盟国家数据保护机构的运行机制进行了初步探索，但在欧盟国家没有产生预期的统一效果。随着互联网技术的进一步发展，大数据时代的到来，欧盟法律环境进行了深层次变革，2018年5月实施的《通用数据保护条例》(General Data Protection Regulation，简称GDPR)便是变革成效的重要体现[1]。GDPR被认为是最为严格的个人信息保护和数据监管条例，欧盟国家层面的数据保护机构(National Data Protection Authorities，简称DPAs)成为了数据保护领域的核心参与者[2]，对整个欧盟的数据保护发挥着举足轻重的作用。不仅如此，欧盟国家数据保护机构的运行机制也对其他国家和地区产生了较大的影响，成为全球关于个人数据保护的标杆。

互联网数据中心(IDC)2019年预测中国数据圈增速最为迅速，到2025年中国将成为全球最大的数据圈[3]。这将给我国数据保护机构的监管工作带来愈来愈大的挑战，如果监管不到位会影响我国的数据安全甚至是国家安全。截至2020年年底，中国互联网企业(境内外上市)的市值为17.8万亿元，数量为178家[4]，发展态势迅猛。数据已经成为我国重要的生产要素之一，数字经济正在蓬勃发展，是我国经济增长的重要力量，数据安全问题也受到了广泛关注，国家、社会、公民越来越重视对个人信息保护和网络数据安全。因此，通过研究欧盟国家数据保护机构的运行机制，为构建和完善我国的数据保护机构提供可借鉴的经验，合理优化监管方式，促使其有效发挥数据保护和监管职能。

1 DPAs的设置与职权演变

1.1DPAs的设置根据95/46/EC指令的要求，每个欧盟国家都应当建立一个DPA，欧盟国家按照本国实际情况通过立法形式将95/46/EC指令转化为国内法，国内法的作用是补充和细化95/46/EC指令的规定内容。欧盟国家根据国内法的相关规定分别设立了DPAs(见表1)，欧盟各国家的DPAs数量有所不同，大多数国家仅设立了一个DPA，而有些国家则设立了多个，例如德国。德国具有独特的DPAs系统，数据保护是德国联邦政府和州政府的共同责任。因此德国的16个州分别出台了数据保护法，并设有DPA，且每个DPA都有州管辖权[5]。虽然欧盟各成员国DPAs的名称不同，但其共同特点是DPAs都是公权力机关，具有执法职能，DPAs是“作为拥有相关监督权、调查权、干预权和诉讼权的独立监管机构。”[6]执行其任务和行使其权力时完全独立，不受任何直接或间接的外部影响，且不得寻求或接受任何人的指示，其工作人员在任职期间不得采取任何与其职责不符的行动。根据95/46/EC指令，DPAs在国家法律和欧盟法律之间具有混合的地位，DPAs既是欧盟各成员国的机构，也有欧盟的组成部分。GDPR第六章专门对DPAs的设置、责任、职权进行了规定，使DPAs变得更加“欧盟化”。

1.2DPAs的职权演变DPAs不仅要在国家法律框架内行使权力，同时也要执行欧盟的法律规定。从95/46/EC指令到GDPR，DPAs的职权经历了从模糊到明确，从差异到统一，且逐渐扩大。

1.2.1 95/46/EC指令对DPAs的职权划分较为模糊 根据95/46/EC指令第28条第(3)款规定，DPAs具有调查权、有效干预权和参与法律诉讼的权力，但对这些权力的具体内容规定却不甚明确[7]。随着实践的快速发展，DPAs在行使职权、充当权利守护者的过程中会面临执法困境。

表1 欧盟国家DPAs的设置

1.2.2 欧盟法院(CJEU)通过判例法进一步扩大了DPAs的权限范围 欧盟法院通过适用95/46/EC指令，在保护欧盟公民个人数据的权利方面发挥了积极作用，例如2015年10月6日欧盟法院发布了Schrems v Data Protection Commissioner (Case C-362/14)的最终判决，根据该判决，爱尔兰数据保护委员会应当尽职调查Schrems的投诉，通过调查发现如果美国没有对个人数据提供足够的保护，根据95/46/EC指令爱尔兰数据保护委员会在调查结束时有权决定暂停将Facebook在欧洲用户的数据转移到美国。该判例明确了DPAs在欧盟做出“充分性决定”时的职权内容：一是有权审查个人关于其他国家处理其个人信息的投诉；二是有权向国家法院提起诉讼，质疑“充分性决定”的有效性；三是有权在适当的时候暂停向其他国家传输个人信息[8]。

1.2.3 GDPR实施以后，DPAs的职权发生重大变化 GDPR第57条和第58条明确细化了DPAs的任务和职权，将其职权划分为3种类型：调查权、纠正权、授权和咨询权。调查权主要是指根据GDPR，DPAs可以以数据保护的审计形式进行调查，还可以从数据控制者或处理者那里获得对数据、对调查所需的场所、设备和信息进行访问的权力。在行使授权和咨询权时，DPAs可以向立法部门提供立法建议，向数据控制者和处理者提供相关建议，向需要事先授权从事某项工作的机构进行授权。但是，DPAs最为强大和最为核心的职权是行使纠正权，纠正权的行使范围从采取较温和的制裁措施到更严厉的制裁(例如删除数据、禁止处理数据或暂停数据流向第三方国家)。GDPR的这一规定给各成员国制定法律留下了很小的发挥空间，正如GDPR前言第129条所宣称的那样，“为了确保在整个欧盟范围内对本法规进行一致的监管和执行，监管机构在每个成员国应具有相同的任务和有效的权力”。

2 95/46/EC指令下DPAs的运行机制

95/46/EC指令的模糊性规定，促使DPAs 在实践发展中不断探索，从分散式执法逐步走向非正式合作，为GDPR下DPAs运行机制的构建奠定了基础。

2.1DPAs分散式执法由于95/46/EC指令是一项指令而非法规，欧盟国家对其在本国法律中的实施形式和方法具有较大的自由裁量权。每个欧盟国家都有自己的DPA，但在职权、功能等方面几乎没有一致性，95/46/EC指令的内容规定较为原则化，例如比例原则、公平正义等，这样直接导致27个欧盟国家的DPAs在数据保护执法方面具有明显的差异性。这种差异不仅体现在法律层面，也体现在每一个DPA的运行机制方面。例如，德国、斯堪的纳维亚及北欧国家的DPAs拥有较大的自主权，日常运行较为灵活；爱尔兰的DPA在运行过程中尽量为企业提供更为宽松的发展环境；斯洛伐克的DPA在日常监管中几乎不发挥作用，丹麦的DPA在运行中更加重视国内数据保护问题，忽视欧盟国家DPAs之间的合作，西班牙和法国等国家的DPAs任务繁重，需要承担全球云服务等重大问题[9]，相应的运行机制也较为复杂。

欧盟国家适用95/46/EC指令的差异性也延伸到处罚权的确立及其数额的设定，例如，在处罚措施方面，立陶宛是由司法机关处以刑事罚款；德国的司法机关可以决定采取拘留措施，DPA具有处以行政罚款的权力。在罚款数额方面，德国的最高限额为300 000欧元；瑞典为1 000 000克朗或大约105 000欧元；爱尔兰为100 000欧元；意大利为300 000欧元；荷兰为820 000欧元或营业额的10%；罗马尼亚为22,000欧元或营业额的2%；法国为3 000 000 欧元[10]。从中可以看出，欧盟国家DPAs的处罚严厉程度各不相同，有的DPAs采取严格的态度，而有的则采取相对宽容的态度。

2.2DPAs非正式合作由于跨境数据流动在欧盟国家之间频繁发生，再加上欧盟法律碎片化，DPAs逐渐意识到了合作的重要作用。根据95/46/EC指令，DPAs之间的合作不是依据明确的规则和按照严格的时间限制展开，而是在相当非正式的层面上进行的。DPAs在履行职责时通过交换对彼此有用的信息，有时可能会被另一个国家的DPA要求行使其权力。具体而言，当一国的DPA需要根据另一成员国的法律实施处罚时，该DPA不能直接行使干预权，需要请求法律所属国的DPA。两国的DPAs通过协商一致，共同确定侵权行为，最终由该法律所属国的DPA作出处罚决定。非正式的合作属于“横向合作”模式，其特点是欧盟国家DPAs之间没有等级区分，共同分担责任，共同获取利益，靠着良好的信用和管理进行持续性合作。例如，在Facebook侵犯数据主体隐私权案件中，法国的DPA——国家信息和自由委员会(CNIL)联合比利时、西班牙、荷兰和德国汉堡地区的DPAs，共同指控Facebook未经非订阅用户同意收集数据以及未经数据主体明确同意收集敏感数据[11]。

2.3对95/46/EC指令下DPAs运行机制的评价DPAs分散式执法表现出的显著特征是DPAs的运行机制具有明显差异性，这种显著的差异符合当时欧盟及其成员国探索个人数据保护的发展历程，欧盟诞生两年后95/46/EC指令开始实施，欧盟国家各自成立的DPAs具体的运行机制还主要处于适应本国国情，解决国内问题的阶段，再加上95/46/EC指令的原则性规定，并不能明确指导欧盟国家的DPAs之间进行合作执法。之后，DPAs分散式执法逐渐暴露出一些缺陷。具体而言，一方面，DPAs分散式执法导致整个欧盟数据保护法律缺乏统一性。尤其是当发生欧盟范围内的数据侵权事件时，DPAs倾向于“各自为政”或者局部合作，使得问题不能得到及时有效的解决。例如有的DPAs在处理Facebook侵犯数据主体隐私权案件时，一开始并未考虑与其他DPAs合作，而是自行解决该问题。例如，比利时的DPA——国家隐私委员会以Facebook涉嫌违反比利时法律为由向比利时的法院起诉Facebook[11]。另一方面，DPAs分散式执法可能会损害欧盟数据保护的有效性。在跨境数据流动中，很多数据控制者为了“钻法律的空子”会选择一个DPA监管水平较低或者监管相对宽松的国家建立主要办事机构，远离受数据处理活动影响的个人所在的国家，致使由数据主体居住地所在国的DPA追究数据控制者法律责任时适用的法律和其权限范围出现冲突，不能较好实现惩戒和规范的目的。

为了弥补DPAs分散式执法带来的差异性后果，DPAs之间开始寻求合作，并且从非正式合作开始探索解决欧盟国家共同面临的问题。非正式合作在一定时间内发挥了积极作用，但是随着欧盟国家之间的交往越来越密切，非正式合作不能满足欧盟内外数据跨境流动的实际执法需要，已不能作为主要的执法合作方式。究其原因，DPAs同其他公共权力机构一样，面临人员配备不足和缺乏财政资源等窘境，这会导致DPAs无法有效完成所有任务安排。同时，由于DPAs是国家机构，应当首先保证其在本国领土范围内能够提供高水平的数据保护和监管。

3 GDPR下DPAs的运行机制

GDPR的实施代替了95/46/EC指令，并取代了大部分的国家数据保护法，更能适应互联网时代的发展，改变了欧盟法律碎片化和不确定性的状态，统一了欧盟数据保护的规则。DPAs负责监督和执行新的数据保护规则GDPR，可以更好地发挥欧盟数据保护守护者的作用。 GDPR引入了DPAs两种不同类型的权限，分别是“单一权限”和“协作权限”。“单一权限”是指在DPAs处理案件时主要基于属地原则。但是随着跨境数据流动的频繁发生，DPAs的运行机制更多体现为“协作权限”之内。具体而言，DPAs在遵守由欧盟数据保护委员会(European Data Protection Board, 简称EDPB)保障实施的、明确的且具有强制性的“一致性”原则之下，构建了多种合作机制，例如“一站式”(the One-Stop-Shop)结构化合作、互助(Mutual Assistance)以及联合行动(Joint Operations)(见图1)。

3.1明确且强制遵守的“一致性”原则“一致性”原则体现为GDPR在欧盟国家能够得到统一适用，防止同一案件被不同成员国的DPAs采取不同的处理方式，同时解决DPAs之间的执法冲突。

3.1.1 “一致性”原则的保障实施者——EDPB 根据GDPR第68条的规定在欧盟层面设立EDPB，EDPB成为欧盟数据保护的中心，为DPAs之间的合作奠定坚实的基础。EDPB不仅发布关于如何解释GDPR核心概念的指南，还针对跨境数据处理的争议发布具有约束力的决定。EDPB在2020年1月1日至12月31日期间，共处理了628起跨境案件，其中461起源于投诉，而167起源于其他原因，例如调查、媒体报道等[12]。2021—2023战略中提出，EDPB决心通过企业和公共机构(包括执法机构)，向第三国传输欧盟关于国际数据保护的高标准。EDPB致力于加强与国际社会的沟通，从全球角度思考并提出具体建议和实用解决方案，为DPAs提供政策指导，以应对数据保护领域中出现的新的不可预见的挑战，促进欧盟数据保护逐步发展成为全球模式，并确保可以有效保护欧盟以外的个人数据[13]。GDPR通过为DPAs提供有效合作的方式来促进DPAs之间的合作，鼓励DPAs接受这些变化并调整其运行机制，以便能够满足新的权利(力)和义务需要[14]。

图1 GDPR下DPAs的运行机制

3.1.2 “一致性”原则的具体要求 EDPB以其独立的法律人格和做出具有约束力决定的权力，使其在欧盟数据保护规则的执行中成为一个更强大的参与者，进而保证了“一致性”原则在以下两种情况中是明确的且具有强制性：第一，当数据处理操作的行为对多个成员国的大量数据主体产生了重大影响，DPAs计划采取会产生法律效力的措施时，例如GDPR在第64(1)条中列出的一些明确的措施，DPAs必须向EDPB 提交决定草案，征求其事先的意见。在明确且强制遵守的情况下，“一致性”原则是这些措施合法性的先决条件。对于这些情况，GDPR没有明确赋予EDPB直接的约束力，而是当DPA不遵循 EDPB的意见时，从而违背“一致性”原则并间接使EDPB拥有最终决定权。第二，根据GDPR 第65条第1款的规定，“一致性”原则发挥了解决争议的作用，EDPB充当争议解决机构。当相关的DPAs(the Concerned Supervisory Authorities，简称CSAs)无法在“一站式”结构化合作下达成协议，或当CSAs与发挥主导作用的DPA(the Lead Supervisory Authority ，简称LSA)存在冲突意见时，应当适用“一致性”原则，EDPB应当进行干预并做出具有约束力的决定。“一致性”原则除了在适用GDPR时能够体现适当的协调性或统一性，还是为了解决DPAs的冲突，这样使DPAs的合作将在日常活动中发挥越来越大的作用[15]。

以遵守“一致性”原则之下的罚款为例，根据GDPR第83条规定，对违反GDPR核心合规义务罚款最高可达2 000万欧元或者上一年度公司全球营业额的4%(以较高者为准)，对违反GDPR其他非核心合规义务的罚款最高可达1000万欧元或者上一年度全球营业额的2%(以较高者为准)[16]。统一罚款数额范围是一项可行的措施，因为可以确保所有欧盟国家实施相同级别的处罚。换言之，无论数据控制者在欧盟哪个国家建立主要机构，任何违反GDPR的行为都将受到相同的处罚，这样会使在任一欧盟国家的数据控制者都将同样认真对待数据保护[17]。

3.2“一站式”(theOne-Stop-Shop)结构化合作“一站式”结构化合作是指发挥主导作用的DPA(LSA)有权作为跨境数据处理的牵头机构，与相关的DPAs(CSAs)进行协调，开展协作，共同对整个欧盟内该企业的所有数据处理活动进行监督。根据95/46/EC指令，在多个欧盟国家同时设有机构的企业必须遵守由不同DPAs实施和解释的国家规则，每个DPA都有权监督该企业的数据处理活动。这种情况不仅对欧盟内的企业造成负担，而且不利于数据主体的权利保护，容易导致DPAs在适用欧盟数据保护规则时缺乏一致性。然而根据GDPR第56(1)条规定，这样的企业将与其中的一个DPA构建联络关系。如果一家企业在一个以上的欧盟国家开展业务，并且在欧盟国家内至少设有一家机构，则它必须与单一的DPA(LSA)进行联络，再由LSA与CSAs进行联络。一国的DPA是否能够处于主导地位，取决于数据控制者或者处理者的建立地是否主要位于该国之内。“一站式”结构化合作作为一种复杂的合作方式，在遵守“一致性”原则的前提之下，EDPB有权做出最终的、具有约束力的决定[18]。

GDPR规定了采用“一站式”结构化合作，DPAs需要遵守明确的时间期限以及履行相应的责任。“一站式”结构化合作主要体现在跨境数据流动中，LSA必须在采取措施之前让所有CSAs都参与进来，并传达所有相关信息，提交采取措施的决定草案，CSAs可以在四个星期的时间内对决定草案提出反对意见。如果LSA同意CSAs提出的反对意见，则必须在两周的较短时间内重新提交决定草案以征求意见。全部参与的DPAs达成一致意见后，由LSA将最终决定告知企业和CSAs，同时告知EDPB。如有必要的话，EDPB将会在考虑“一致性”的原则后做进一步的讨论。GDPR还规定了对“一站式”结构化合作适用的例外情况，例如当LSA认为需要采取紧急行动以保护数据主体的权益时，可以设立紧急程序。

3.3互助(MutualAssistance)提供互助的义务适用于一个DPA请求另一个DPA协助履行其任务的任何情况。GDPR第61条规定了被请求DPA的义务以及违反这些义务的后果。互助不仅仅是发生在跨境数据流动的情况下。GDPR第61条允许DPA在具体问题/案件上请求对方的帮助，例如自愿协助参与调查，分享调查结果和相关信息[19]。从2018年至2020年DPAs启动互助程序分别是397、2145、2504个(见表2)，2020年1月1日至2020年12月31日期间，DPAs共启动了246个正式互助程序，2 258个非正式互助程序[12]。非正式互助+程序没有法定期限的限制，正式互助程序中要求提供信息的DPA需要在一个月之内答复[20]。互助程序不仅适用于“一站式”结构化合作下的跨境案件，还适用于DPAs起草决定前收集必要信息的初步阶段的案件，也适用于包含跨境因素的国内案件[21]。

3.4联合行动(JointOperations)GDPR第62条规定了DPAs联合行动的具体内容，包括联合调查和联合执法措施。联合行动是指两个或两个以上的DPAs联合起来，朝着共同商定的目标行动。为了实现这一目标，DPAs提供相关的资源，包括技能、工作人员等。如果一个欧盟国家内的数据主体权利受到重大影响，即使数据控制者或者数据处理者没有在该国内建立主要机构，该国的DPA有权请求参与联合行动，被请求的DPA应当毫不迟延地对该请求作出回应。由请求国的DPA指派的参加联合行动的工作人员只能在发起国DPA的授权下行使权力，并且应当遵守发起国的法律规定，由此发起国DPA对请求国DPA的工作人员的执法活动承担责任，包括对其执法期间造成的任何损害承担赔偿责任。联合行动同样不限于跨境案件。2018年和2019年，DPAs之间没有进行过联合行动；2020年，DPAs之间仅进行过一次联合行动(见表2)。

表2 “一致性”原则下DPAs的合作方式

3.5对GDPR下DPAs运行机制的评价GDPR实施以后的2018年至2020年，DPAs采用“一站式”结构化合作的频率呈现成倍数的增长态势，而且每年能够做出最终决定的数量随着合作次数的增多也明显增多(见表2)。“一站式”结构化合作体现为LSA和CSAs之间的良好合作，LSA发挥领导调查作用，并致力于与CSAs之间达成共识的过程中发挥关键作用[12]。对于数据主体而言，“一站式”结构化合作提高了数据主体的地位，以平等的方式保护数据主体的权利而不受其居住国的影响，防止数据控制者和处理者优先选择被认为较为宽松的DPAs的管辖范围，从而实施侵犯数据相关权利的行为。互助程序是DPAs采用最具普遍性的合作方式，极大程度上提升了DPAs开展合作的便捷性。从某种程度上来讲，联合行动属于“一站式”结构化合作的一部分，但是从DPAs之间的分工和配合方面分析，“一站式”结构化合作则更为体系化、制度化，是一种长效运行机制。

DPAs对GDPR的执行和落实，保证实现对欧盟公民个人数据的保护，使欧盟朝着更好、更协调的数据保护执法迈进，提高了GDPR对个人数据权利的保护水平。相应地，DPAs对处理欧盟公民数据相关的企业进行了规制，这类企业为了能够在欧盟正常开展经营和发展，对数据处理活动必然遵守GDPR的严格规定。对于欧盟国家的DPAs而言，明确且强制遵守的“一致性”原则加强了欧盟国家DPAs之间的合作，进而提升了DPAs的执法权威和执法效果。DPAs负责监管该国领域内的数据活动，包括将个人数据传输到欧盟以外。自GDPR实施以来，DPAs收到了很多关于个人数据保护的投诉。以法国为例，2018 年CNIL收到了创纪录的11077起投诉(与2017年相比增加了32.5%)[22]。GDPR实施后DPAs的许多执法行动主要涉及数据处理是否合法，以及根据GDPR第6条规定数据控制者是否有权处理个人数据。另外，DPAs对数据流动和数据处理的监管活动逐渐增加，从2018年5月到2019年5月，所有DPAs做出的罚款决定不超过20次；然而从2019年5月到2020年3月，这一数字增加了5倍多[5]，2019年1月，法国CNIL首次做出罚款决定，对谷歌处以5 000万欧元(5 400万美元)的罚款，因为谷歌未能确保其个性化广告合法处理用户数据，这笔罚款是法国CNIL迄今为止最大的一笔罚款[5]。2021年9月爱尔兰数据保护委员会以违反数据保护规则为由，对 WhatsApp爱尔兰公司处以 2.25 亿欧元的罚款，并勒令其采取一系列特定的补救措施以做到充分合规，这是爱尔兰数据保护委员会自成立以来开出的最大罚款。由此可见DPAs的执法能动性和执法权威性在具体案件中逐渐增强。

4 启 示

欧盟国家数据保护机构的运行机制体现了数据监管的专业和高效，增强了DPAs执法的威慑力和权威性，保障了数据安全、自由流动。借鉴欧盟国家数据保护机构的运行机制的有益经验，应当结合我国的实际情况。我国不适宜设立独立的数据保护机构，可以尝试构建和完善“1+X”的数据保护机构体系；我国可以借鉴“一致性”原则之下，DPAs之间开展“一站式”结构化合作的经验，改良目前“九龙治水”的监管格局和监管方式；借鉴欧盟及其成员国重视公民投诉，以此来获取大量案件信息，我国可以创新监管方式，畅通公民进行权利救济的渠道，重视社会公众的参与度。

4.1构建和完善“1+X”的数据保护机构体系根据95/46/EC指令和GDPR的规定，DPAs是独立的国家机构，具有独立的法律地位，享有完全独立的职权。我国也有学者在研究数据跨境监管机构时，提出新设独立的机构——全国数据保护委员会，该机构享有相应的“行政调查权、建议权、登记备案权、处罚权以及提起公益诉讼等权限”[23]。笔者认为新设独立的数据保护机构缺乏考虑我国的政治、经济、文化等制度发展和现实情况，具体而言：一方面，在我国一般由政府部门的内设机构承担监管职责，而这些机构同时也要承担行政管理职责，这两种职责在执法中并没有得到明确区分[24]。这些机构在各自的职责范围承担个人信息保护和网络数据安全的职责已能满足实际需要，而且我国行政体制改革进入了“推进国家治理体系和治理能力现代化的新时代”[25]，精简设置政府部门及内设机构，推行扁平化管理成为趋势。因此，在我国设立独立的数据保护机构不具有必要性。另一方面，由国家网信部门作为主导部门已在我国相关法律中得到明确规定。《网络安全法》规定了“国家网信部门负责统筹协调网络安全工作和相关监督管理工作”，同时规定了国务院电信主管部门、公安部门和其他有关机关在其各自职责范围内发挥监管作用。《数据安全法》规定了“国家网信部门负责统筹协调网络数据安全和相关监管工作”。《个人信息保护法》规定了“国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。”故笔者提出在我国构建和完善“1+X”的数据保护机构体系，即由国家网信部门与其他监管部门形成有效的协同配合监管体系[26]。“1+X”的数据保护机构体系体现了统一与分散相结合，综合与专业相结合，全方位与多主体相结合[27]，是具有中国特色的数据保护机构体系。

4.2强化国家网信部门统筹协调，其他部门和机构协同配合《数据安全法》第6条详细列举了具有数据安全监管职责的多个部门和机构，对数据的监管实施分行业、分领域，这样的规定使不同的数据保护机构在各自领域内发挥专业性的监管作用，能够最快识别个人数据存在的隐患和风险，体现数据安全监管的高效性。然而，目前我国的实践中暴露出分行业、分领域进行数据监管的界限模糊问题，这样容易导致数据监管机构在执法过程中出现重复监管、多重监管、监管盲区、监管失灵等后果[23]。因此，我国数据监管机构的运行机制可以借鉴欧盟在明确的且具有强制性的“一致性”原则之下，最为推崇的DPAs之间的合作机制——“一站式”结构化合作，并结合我国的立法和执法情况，构建由国家网信部门统筹协调，相关职责部门和机构协同配合的改良版“九龙治水”监管格局。2018年通过的《中共中央关于深化党和国家机构改革的决定》中提出“坚持一类事项原则上由一个部门统筹、一件事情原则上由一个部门负责”，这为数据监管中存在的问题提供了方向性的解决思路，体现了在一个监管事项中，不同部门之间除了有职责范围的区分外，还在协同配合过程中发挥着程度不同的作用。例如，2020年4月15日，公安部和中央网信办牵头，联合最高人民法院、最高人民检察院、工业和信息化部、国家市场监督管理总局等建立跨部委打击危害公民个人信息和数据安全违法犯罪长效机制，从源头消除危害公民个人信息和数据安全的隐患[28]。2020年7月中央网信办、工业和信息化部、公安部、国家市场监管总局四部门联合启动App违法违规收集使用个人信息治理工作，启动会上提出对违法违规收集使用个人信息行为加大发现力度、曝光力度、处罚力度。由不同部门对同一事情联合监管，集中解决某一项存在数据安全隐患的问题，这样可以统一不同部门的监管方式和监管标准，加强不同数据监管机构之间的信息共享，形成专项执法的监管合力；另一方面也有利于企业采取有效措施进行整改，减轻企业开展数据合规的负担。

4.3创新监管方式，提高企业和公众参与度GDPR实施以后，DPAs最主要的监管方式是对数据控制者或处理者采取严厉程度不同的制裁措施，我国也有类似的制裁措施。数据监管部门通过约谈涉事企业，根据改正情况及情节、造成的后果等，依法依规对企业或者相关责任人员予以警告、罚款，甚至暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照，构成犯罪的，依法追究刑事责任。在事后处罚的基础上，我国逐步重视“事前审查+事后处罚”的监管方式，事前审查即为数据控制者或者数据处理者主动向监管部门报送数据管理情况。例如2021年10月1日起施行的《汽车数据安全管理若干规定(试行)》第13、14条分别规定了汽车数据处理者开展重要的数据处理活动，应当每年向监管部门主动报送数据管理情况，若要向境外提供重要数据，还应当主动报送其他补充情况。发挥“事前审查+事后处罚”的联动作用，通过运用大数据分析等技术手段，数据监管机构不定期的对互联网平台企业、小微企业就个人信息保护、数据安全等工作进行审查，对存在数据风险的企业尽快主动进行约谈，并要求企业做出实质性的整改方案，在规定的期限内按照整改方案的要求，积极完成整改，并接受监管机构的核验。如果不能有效整改，则依法予以处置。在此过程中，企业应当主动报送数据，做好数据合规管理，发现存在数据安全隐患时积极主动采取有效整改措施。另外，无救济则无权利，投诉是公民进行法律救济的手段之一。上文提到欧盟及其成员国处理与数据相关案件的来源主要是接受投诉，公民重视个人数据权利保护的意识越来越强，在我国部分地区亦是如此。我国数据监管机构在创新监管方式时，应当注重提高企业和公众参与程度，畅通参与平台，提高监管水平，改善监管效果，将数据监管的关注点放在维护个人信息数据权利和社会公共利益方面[29]。