这种把硬法作为判断行政行为合法的唯一依据，实践表明硬法事实上很难独自实现裁量的授权与控权的平衡，在硬法规制模式中存在太多的规制盲区和死角。

根据《行政处罚法》的规定，只有在同时符合两个条件时，才可以当场作出行政处罚决定，即适用简易程序。进入专题： 违法所得 没收 行政处罚 。

（4）不应当收费而收取的费用。因此，应在修改后的《行政处罚法》中规定，在行政相对人有违法行为但又不能作为被处罚对象的情形下，有违法所得的，应当依法予以没收。成本收益分析是一项务实的（pragmatic）工具，可以帮助人们在多重相关情况中做出综合判断。[68]因此，应当在未来《行政处罚法》的修改中统一我国的违法所得认定标准，明确违法所得是违法行为所获取的收益，将获得非法利益的合理支出等予以扣除。[25]但是，并非所有对相对人不利的行为均可归类为行政处罚。

[67] 工商公字[1999]313号，1999年12月1日公布。（二）没收违法所得与行政处罚关系之调整 针对没收违法所得并处罚款的制度设计所存在的弊端，可以考虑从以下两个方面着手，对没收违法所得与行政处罚的关系进行调整。过去不能被识别的信息，在新技术下就可能被识别。

2018 年9 月26日，美国联邦国家电信和信息管理局（NTIA）代表商务部公开征集发展消费者隐私管理办法的意见。尽管学界多以个人信息描述大数据隐私，但除刑事法律规范外，以个人为身份定位的规范通常都只是宣示或原则规范。尽管目前确立自然人单一网络身份的条件尚不成熟。[24]即便是《民法总则》颁布后，个人提起的隐私权纠纷案件仍呈现侵害规模大、胜诉比例低、诉讼动力不足的特点。

尽管消费者和个人信息是连用的，但《消费者权益保护法》第29条规定的关键身份无疑是消费者，其指向的也是消费者的数据和隐私。欧盟本身的实践证明强硬地推行会造成经济和法律层面的负面效果。

个人信息主体地位当然需要一系列权利的支撑才能成立。但此类宣示除了引来叫好外，既不能改变现实，更不能改变规范。法院的判决直接改变了搜索引擎企业的法律地位，课予其更多的法律责任，变相地促使其主动调整了自己的隐私政策和数据处理流程。严格来讲，用户并不实际拥有其在网络上的各种身份。

有从权利属性角度出发，对数据权利的法律特征进行了概括。欧盟做法具有明显的理想性和前瞻性。除此以外，FTC还有权执行一些比较具体的与隐私相关的法律，例如《反垃圾邮件法》《儿童在线隐私保护法》《电话营销与消费欺诈滥用防治法》等。美国在联邦层面没有对信息隐私保护进行统一立法的计划，其信息隐私保护规则分散在各个传统法律部门中。

[4]2013年雅虎10亿用户个人信息被盗。但这并没有解决大数据隐私保护的身份难题。

柔是指继续加强国家标准等规范性文件的制订和适用，综合运用警示约谈、行政指导、劝导示范、行政检查、行政奖励等柔性执法方式保护信息隐私。数据主体概念暗含的自然人控制其个人数据的观念是难以落实的。

无疑，印度和巴西延续了欧盟在个人数据保护领域的理想主义。设定个人信息主体身份未必就会产生欧盟数据主体权利导致的负面后果。第111条规定自然人的个人信息受法律保护。所以我国应该在信息隐私身份设定上有所创建。欧盟抓住了互联网应用层高度集中这一特征，重点规制大企业的数据处理。到底是他人的个人信息，还是涉及他人的个人信息，或是涉及他人人格的个人信息？语焉不详。

这是因为用户与互联网之间并没有独立的安全协议，其信息安全与隐私都由应用层决定。用户须提供一系列数据并经过以上三个层次的身份确认才能获得某种网络应用或服务。

更关注政策和市场的研究者更重视企业间的数据分享和再利用以及自动化生成的匿名化数据的财产属性等较为紧迫的实际问题。其次，我国应加强刚性有执行力的法律机制的发展与建设。

这种身份悖谬限制了隐私保护的主动性和实效性，则更需在法律上对信息隐私进行准确身份定位，才有可能保护隐私。互联网的分层架构是一个数据移动、处理、呈现的过程，这一分层系统至少包括底部的实体层（Physical Layer）和顶部的应用层（Application Layer），还有夹在二者之间的链接层（Link Layer）、网络层（Network Layer）和传输层（Transport Layer）。

我国信息隐私主体的现有法律定位模糊。需要注意的是，该章其他条文大多使用的是个人这种表述。王融、余春芳：2018年数据保护政策年度观察：趋势展望，《信息安全与通信保密》2019年04期。对此欧盟和美国分别选择了不同的路径。

大数据隐私的身份悖谬在第4条两项规定的对照中显得非常清晰。首先，仍然通过消费者身份保护信息隐私。

（二）信息隐私身份的法律实效性分析 我国现有各类信息隐私身份的法律实效性存在明显差异。个人信息与客观数据间的界限更加模糊，信息隐私的保护也更加困难。

消费者身份也一直是美国联邦层面统一隐私保护立法规划依赖的法律身份。2018 年8 月14 日，巴西《通用数据保护法》（Lei Geral de Proteção de Dados，简称LGPD）获得通过并将于2020年2月正式生效。

但在该法中并未规定这些原则的执行机制。参见李爱君：数据权利属性与法律特征，《东方法学》2018年第3期。2018年实施的《个人信息安全规范》（GB/T 35273—2017）沿用了 个人信息（Personal information）这个术语，并以一种非常接近GDPR的方式将其界定为以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。隐私是高度人格性的利益。

参见程啸：论大数据时代的个人数据权利，《中国社会科学》2018年第3期。二是不干预互联网自身发展，从既有法律规范中选取相应机制进行规范。

（三）身份设定差异对欧美隐私监管逻辑的影响 综上，欧美信息隐私的法律身份设定存在明显差异。我国未来立法也应尊重大数据的刚性架构，在充分借鉴欧美经验教训的基础上，探寻出化解信息隐私身份悖谬的规制路径。

对某些违反隐私法令和规则的行为，FTC还可以直接主张获得民事罚款的支持。主导权仍然在企业或者服务提供商手中。