同时，其所形成的一元宪制结构和权力二层级构造，决定了监察机关的宪法定位应是人大监督之下行使国家监察职能的专责机关。

国家监察委员会履行职责时，首先需要恪守正当程序理念，其次需要遵循规范的工作流程。他所倡导的五权宪法，其中之一权便是监察权。

这里的全面覆盖是以公权力为标准加以解析：一是根据身份角度，是包括党员和非党员在内的所有公职人员。基于党管干部原则，公务人员的党员身份决定了其应当接受党委纪检的约束。1988年8月，中央纪委、监察部一同发出通知，提出要逐渐撤销设立在政府部门的党的纪检组，并研究组建监察机构。2007年9月，国家预防腐败局在监察部正式挂牌成立，首任局长由时任监察部长马馼兼任，彰显出反腐败预防工作的重要性。为此，在《监察法》规定的监察程序之外，有必要适时制定《国家监察程序法》，为监察办案、工作衔接、证据运用等提供法律程序上的指引。

可以说，实现国家良善治理的前提是遏制腐败的趋势，要实现国家治理能力现代化，就必须先推动腐败治理能力的现代化。同样，审计制度亦未被纳入监察委员会，如何统合审计全覆盖与监察全覆盖的分立状态，也需要相应的制度建构。以Facebook的信息泄露事件为例，对于剑桥分析公司（Cambridge Analytica）利用心理研究的旗号向社会大众收集资料，其后又利用注册者及其朋友圈的个人信息来进行政治等领域的分析，在此过程中公民个体很难进行察觉，而且即使察觉了也未必愿意以及有能力行使反对权。

本文提出大数据时代的公平信息实践版本，主张采取有限个体主义与动态化的个人信息保护。相反，有的法律，例如欧盟《一般数据保护条例》所赋予信息主体的若干权利就具有法律强制性。至于信息控制者在个人信息的收集、储存、使用与流转过程中是否真正考虑到了个人信息泄露与滥用的风险，并不一定能够成为信息控制者的首要关注点[35]。iii．以一种合理的方式。

[47] 参见：丁晓东.什么是数据权利?——从欧洲《一般数据保护条例》看数据隐私的保护[J].华东政法大学学报，2018（4）：39-53. [48] 合理预期的标准目前主要在美国的宪法类案件中被使用，但本文认为可以在公平信息实践中加以移植和借鉴。此类措施应当包括但不限于风险评估、风险预警、分类保护、泄露告知等措施[50]。

[54] 《网络安全法》第43条规定：个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求网络运营者删除其个人信息。五、迈向大数据时代的公平信息实践 通过对公平信息实践的介绍、归纳与反思，本文的基本结论已经较为明显：这就是公平信息实践总体上为个人信息保护奠定了良好的制度框架，但公平信息实践的某些版本和某些基于公平信息实践的立法也存在不符合个人信息保护原理的情形，尤其可能不符合大数据时代个人信息的合理利用与保护。发现网络运营者收集、存储的其个人信息有错误的，有权要求网络运营者予以更正。同时，伴随着个人信息的收集、使用与流转的风险日益剧增和难以察觉，信息的收集者与处理者也应当承担更多的风险预防责任，而非仅仅致力于形式主义的合规。

（9）可责性：个人信息控制者有责任采取措施，使得上述原则得以落实。[20] Asia-Pacific Economic Cooperation, APEC Privacy Framework,2004/AMM/014rev1(Nov.2004). [21] 其他一些学者还指出了公平信息实践在程序义务上的一些共同特征。对于现实社会中人们阅读隐私公告的多种调查表明，人们几乎很少真正阅读隐私公告[31]。例如美国的若干公平信息实践版本主要赋予了个体以若干传统权利，而欧洲《一般数据保护条例》则在传统公平信息实践所赋予的若干权利之外，增添了个体对于个人数据的擦除权（被遗忘权）[25]、限制处理权[26]、数据携带权[27]等权利。

（2）目的限制：个人数据的收集应当具有具体的、清晰的和正当的目的，对个人数据的处理不应当违反初始目的[18]。如美国联邦贸易委员会（Federal Trade Commission）在其2000年报告中指出，当网站商业机构收取个人信息应当接受四项广为接受的公平信息实践[14]： （1）告知：网站需要向消费者提供关于其信息实践的清晰和明显的告知，包括收集什么信息、如何收集信息（例如，直接或通过非显而易见的方式，如cookie）、如何使用信息、如何向消费者提供选择、可访问性与安全、是否向其他实体披露收集的信息，以及其他实体是否正在通过网站收集信息。

就政府而言，个人信息的合理收集与使用一直是良好治理的关键，缺乏个人信息与相关数据的汇集，政府就很难制定有效的公共政策，甚至可能会因为相关数据的缺乏而导致治理的失败[38]。例如孔飞力教授的《叫魂》、黄仁宇教授的《万历十五年》，都指出了因为国家信息收集能力或大数据收集能力低下而导致的国家治理的失败。

一方面，公平信息实践对个人进行了信息赋权，规定了个体所享有的一系列信息权利，例如个人的信息访问权、更正权与修改权等权利。而《一般数据保护条例》则在相关条文中规定了与风险相称的技术与组织措施[44]。欧盟于2016年制定并于2018年生效的《一般数据保护条例》可谓是公平信息实践在欧盟法中的最新体现。当然，本文上述分析并不意味着对个体进行信息赋权就是错误或无效的[42]，当某些种类的权利建立在公民对于相关风险的合理认知之上时，特别是当此类信息赋权不会影响国家的公共政策与社会的信息合理流通时，此类情形下的信息赋权将能够帮助公民个体更好地进行隐私权益的自我管理，预判和防范有关风险{11}为了更有效地发挥公平信息实践的指引性作用，本文提出了新版本的公平信息实践。（3）对于个人的档案信息的使用和披露，应当建立和界定有关责任（建立合法的、可执行的保密预期）。

（3）可访问性：网站应向消费者提供对网站收集的关于他们的信息的合理访问，包括审查信息和纠正不准确或删除信息的合理机会。（7）个人参与原则：个人应当有权：（a）从数据控制者那里得知数据控制者是否有和他们相关的数据。

但在大数据时代，个人信息或数据的价值恰巧在于数据的二次甚至是多次挖掘，而数据的二次或多次挖掘又依赖于数据的海量汇集与沉淀。政府对于个人信息的利用应当以促进服务公民与提升公共政策制定为目的。

未来我国的个人信息法立法，必定会受到公平信息实践的极大影响——如果不是完全继承的话[56]。（参见：Alan Westin. Privacy and Freedom[M]. New York: Atheneum,1967:7.） [25] 参见：《一般数据保护条例》第17条。

个体对于隐私公告中的相关风险往往缺乏足够的辨识和警觉[30]。（4）必须确保个人能够改正或修改关于个人可识别信息的档案。（4）使用限定性原则：除了以下情况，个人数据不应被披露、访问或使用：（a）数据主体已经同意。此类措施应当包括但不限于风险评估、风险预警、分类保护、泄露告知等措施[50]。

个人信息或数据的聚合使用与二次使用在很多例子中都有体现。对于现实社会中人们阅读隐私公告的多种调查表明，人们几乎很少真正阅读隐私公告[31]。

风险预防：个人信息的收集者与处理者应当采取恰当的措施来防范伴随个人信息收集、储存、处理与流转的风险。[46] 第36条规定：当监管机构认为，某些预期的处理将违反本条例，特别是当控制者无法识别或减小风险，监管机构应当在收到咨询请求的八个星期以内向控制者以及——在适用的情况下——处理者提供书面建议，而且可以运用相应的权力进行应对。

（7）敏感信息：对于涉及敏感类的数据，需要采取额外保护措施，比如要求得到数据主体对处理的明确同意。（4）收集限制原则：对于一个机构可以收集的关于个人信息的类型，以及收集方法，应当存在某些限制。

但在大数据时代，信息或数据的打通使用价值已经非常明显，个人信息的价值可能并不仅仅局限于个人，当海量的个人信息价值汇合，就完全可能实现之前难以想象的公共价值{13}。为了避免公平信息实践走向异化，公平信息实践有必要把自身从强化个体信息自觉与对个体信息的静态化保护中解放出来，在认可个体信息流通价值与公共性价值的前提下保护个人隐私权益与相关利益，消除相关风险。（8）可责性原则：数据控制者有责任采取措施，保证实现上面提到的原则。[56] 我国在此领域的权威学者的建议稿已经反应了此种趋势，参见：周汉华.中华人民共和国个人信息保护法（专家建议稿）及立法研究报告[S].北京：法律出版社，2006. 【参考文献】 {1} Paul M. Schwartz. Privacy and Democracy in Cyberspace[J]. Vanderbilt Law Review,1999,52(6). {2} Paul M. Schwartz, Daniel J. Solove. Reconciling Personal Information in the United States and European Union[J].102 California Law Review,2014,102(4):877-916. {3} Daniel J. Solove, Woodrow Hartzog. The FTC and the New Common Law of Privacy[J]. Social Science Electronic Publishing,2014,114(3):583-586. {4} Joel R. Reidenberg. Resolving Conflicting International Data Privacy Rules in Cyberspace[J]. Stanford Law Review,2000,52(5):1315-1371. {5} Omri Ben-Shahar, Carl E. Schneider. The Failure of Mandated Disclosure[J]. Actual Problems of Economics and Law,2017(2):170-198. {6}万方.隐私政策中的告知同意原则及其异化[J].法律科学,2019(2):61-68. {7} Kent Walker. The Costs of Privacy[J]. Harvard Journal of Law Public Policy,2001（25）:87-112. {8} Omri Ben-Shahar. Contracting Over Privacy: Introduction[J]. Journal of Legal Studies,2016，45（2）：1-12. {9} Robert C. Post. The Social Foundations of Privacy: Community and the Self in the Common Law Tort[J]. Colifornia Law Review,1989,77(5):957-1010. {10}Daniel J. Solove. Introduction: Privacy Self-Management and the Consent Dilemma[J]. HARV. L. REV,2013,126(7):1880-1903. {11} Ari Ezra Waldman. Privacy as Trust: Sharing Personal Information in a Networked World[J]. U. Miami L. Rev,2015,69(3):559-630. {12} Helen Nissenbaum. Privacy in Context: Technology, Policy, and the Integrity of Social Life[M]. Stanford University Press,2009:140-160. {13} Andrew McAfee, Erik Brynjolfsson. Big Data: The Management Revolution[J]. Harvard Business Review,2012,90(10):60-66. {14} Jeremy Ginsberg, Matthew H. Mohebbi. Rajan S. Patel, Lynnette Brammer, Mark Smolinski, Larry Brilliant. Detecting Influenza Epidemics Using Search Engine Query Data[J]. Nature,2008:1012-1014. {15}维克托·迈尔—舍恩伯格，肯尼斯·库克耶.大数据时代：生活、工作与思维的大变革[M].盛杨燕,周涛,译.杭州：浙江人民出版社，2013. 作者简介：丁晓东，法学博士，中国人民大学法学院副教授。

2.欧洲 欧洲立法对于公平信息实践的继受同样明显。从理论上看，个人信息保护在大数据时代面临着前所未有的挑战，如何兼顾个人信息的合理利用与保护，这是摆在所有法学研究者面前的一个难题。

从思想渊源与制度架构来说，公平信息实践提供了个人信息保护法或信息隐私法（information privacy）的思想渊源，奠定了现代信息隐私法的框架。一方面，公平信息实践对个人进行了信息赋权，规定了个体所享有的一系列信息权利，例如个人的信息访问权、更正权与修改权等权利。

欧盟于2016年制定并于2018年生效的《一般数据保护条例》可谓是公平信息实践在欧盟法中的最新体现。（6）个人信息的完整性：个人信息应当准确、完整以及在使用目标所需的限度内保持更新。