大數據時代我國個人信息保護的理念轉變與制度構建

聶琳峰 沈偉健 （北京 房山 102488）

［內容提要］

大數據技術的發展對傳統個人信息法律保護框架提出了挑戰，困境的出現源于傳統個人信息法律保護框架與大數據背景下新興的場景化社會本位保護理念存在錯位。要解決這些困境，應當構建公共利益導向的個人信息保護制度，為維護人格利益保駕護航。

大數據技術 個人信息保護 社會本位理念

大數據時代下，個人信息尤為重要。伴隨著信息流通價值的實現，信息安全問題也日益凸顯。為應對信息安全風險，我國出臺了一系列規范。雖然我國對個人信息的保護力度不斷增強，但信息違規事件卻時常發生。因此，2020年10月，全國人大常委會審議了《個人信息保護法（草案）》（下文簡稱《個保法》）。提出樹立新式信息保護理念、構建新型信息保護制度，以助力數字經濟騰飛發展、推動人格利益充分保障。

一、傳統的個人信息保護框架的理論基礎

當前，我國法學理論和法律制度均以理性人假設作為基礎。該假設強調信息主體自我控制、自主決斷和自己責任，賦予信息主體以個人信息權，將個人信息保護私權化，實現信息主體對個人信息的排他控制。

（一）理性人的理論淵源

理性人假設源于近現代的人本主義思想。上世紀中葉，人本主義在美國興起，它以人為最終目的，強調人的尊嚴、價值，讓人自由表達思想、情感，實現人對自身的控制。所以，通過信息確權方式賦予個人信息自決權，實現人對個人信息的控制，是人本主義在個人信息領域的具體化。若信息主體無法掌握個人信息被何人、何時、何樣獲取并利用，信息主體將淪為他人可操縱的信息客體，人的主體地位將不復存在，人格自由發展將難以保證。

（二）傳統個人信息保護的制度體系

目前，各國在個人信息保護模式上均通過賦予個人信息自決權來構建個人信息保護法律體系，采取知情同意事前預防和民事訴訟事后救濟的雙重保護方式，行政干涉或司法干預僅限于保護個人信息權免受公權力或第三方不法侵害。

1、以知情同意原則為核心，實現事前絕對控制

《個保法》第5條規定了知情同意原則。該原則將信息主體置于信息決策中心，假定個人能獨立、理性地管理個人信息，并以此原則為圓心對信息風險做出了結構性配置，信息保護責任歸于個人。信息處理者的義務就是遵守知情同意原則，一般信息處理者會采取公開隱私政策或提供授權選項的方式來獲取認可。以《京東隱私政策》為例，它將個人信息分為提供服務必需的信息（如賬號、密碼、手機號、收貨人、收貨地址、訂單號）和提供服務非必需但可能影響擴展功能的信息（如地理位置、面部信息、曬單、通訊錄），若信息主體不愿提供前者，只能停止訪問京東；若信息主體不愿提供后者，可以關閉權限、取消授權，但可能影響購物體驗。以知情同意原則為基礎，權責一致原則、目的明確原則、最小必要原則、完整正確原則、公開透明原則、安全原則、主體參與原則也應運而生。為了更具體實現信息主體的自主控制，以上述原則為指引，各國都創立了以信息決定權、保密權、訪問權、更正權、封鎖權、刪除權和被遺忘權等為核心的權利體系。

通過明確知情同意原則和構建具體權利體系，個人信息權實現了私權化，信息主體實現了對個人信息的獨占支配，這體現了傳統信息保護模式堅決維護人格尊嚴、人格自由的立場，極大促進了傳統信息時代的經濟社會發展。

2、以民事訴訟為主要途徑，保障事后有效救濟

個人信息侵權指侵權人未取得信息主體知情同意，擅自收集、處理或利用個人信息。傳統保護模式認為，信息法益為個人利益，個人是自身利益的最佳決策者，并且侵權者與信息主體處于同等法律地位，因此由信息主體決定是否提起訴訟，既能直接維護個人利益，又能間接提升社會效益。例如，在羅某訴某保險公司隱私權糾紛案中，法院認為被告保險公司非法收集、利用原告個人信息，多次致電原告推銷車輛保險，侵擾了原告正常生活，侵犯了原告隱私權益，造成了精神損害，支持原告要求被告賠償損失及1元精神損害撫慰金的訴訟請求。《個保法》第40條規定，國家機關違反本法規定造成信息主體人身或財產損失的，依據本法或國家賠償法承擔民事責任；非國家機關信息處理主體造成信息主體損失的，依據本法或其他民事規范承擔民事責任。第41條規定，信息主體可以對非物質損失請求精神損害賠償。

不過，由于信息侵權中潛在受害人存在不確定性、廣泛性，單個受害人可能難以證明存在針對可識別性信息的侵權行為、損害結果、因果關系，從而敗訴。例如，在朱燁與北京百度網訊科技公司隱私權糾紛上訴案中，法院認為網絡精準廣告使用cookie技術收集、利用的匿名偏好信息雖具備隱私屬性，但無法對應識別用戶身份，網絡服務提供者和社會公眾無法確定該偏好信息的歸屬主體，不符合個人信息“可識別性”要求，因而未侵犯隱私權。只有在少數情形下，法院可能會按“獲利視為損失”原則推定賠償金額。

二、傳統個人信息保護框架的現實困境

隨著大數據的蓬勃發展，數據存儲模式由硬件存儲轉為了云端備份，典型特征是信息體量大、種類多樣化、價值密度低、處理速度快。盡管法律不斷對信息主體的權利進行加碼，但由于個人信息利用關系日趨復雜、信息處理者與信息主體地位日漸懸殊、信息主體控制力日益喪失，傳統信息保護機制已無法應對新型信息風險。

（一）利益平衡困境

在法治化市場經濟社會中，個人信息既是一種人格具象物，也是一種生產資料。個人信息承載著多重價值，一種是人格尊嚴和自由價值，具有個人屬性；另一種是商業流通和公共管理價值，具有社會屬性。

在傳統信息時代，信息收集主要依托問卷統計、檔案登記、局域網錄入等方式；信息處理一般依靠手動歸口管理、人工計量分析、數據篩選加工、信息交互傳遞等方法；信息利用通常包括信息檢索、信息選擇、確定對象、對口宣傳等途徑。傳統信息模式下，信息體量小、實時性差、單一性強、價值密度高、結構化明顯、離線采集居多，以紙面或硬盤存儲為主，個人可控性強、人格屬性強。傳統信息保護模式以個人本位理念構建起了法律體系，符合小數據時代個人信息的個體化特性，實現了人格利益與信息自由之間的利益平衡，促進了社會經濟的均衡發展。

隨著大數據技術的落地推廣、應用場景的不斷拓展，個人信息保護領域迎來了顛覆性變化。信息收集呈現出多樣化、規模化、即時化趨勢；信息存儲以無形載體為主；信息處理展現出自動化、智能化、精細化特征；信息利用顯現出精準化、互動化、可視化特質。一來信息的商業流通價值愈發重要。商家可以實現廣告精準化投放和服務個性化提供，消費者的體驗感得到了極致滿足，經濟運行形式和社會生活方式有了質的提升。二是信息的公共管理價值更加明顯。政府通過大數據可以掌握人口、教育、醫療、旅游等信息，從而優化社會政策、提升管理效益，實現精細化、網格化管理。例如，在新冠肺炎疫情防控期間，我國政府借助健康碼等數據技術，實現了對疫情的實時監測、重點篩查、有效防控，取得了重大抗疫成效。

當然，若過于強調個人信息的個體屬性，嚴格限制信息流通，將致使海量的信息積壓、沉淀，形成一座座封閉的信息孤島，最終降低消費者體驗感、阻礙公共政策落實、遏制智能產業發展；若過分突出個人信息的社會屬性，肆意傳播、利用個人信息，可能導致信息泄漏事件頻繁發生，最后扼殺個體間信任感、妨礙人格自由發展；降低政府公信力、形成社會裂痕；引發市場惡意競爭、阻撓智能產業發展。

目前，我國個人信息相關法律法規、制度標準已經出現了倒向社會本位的趨勢，但仍未打破個人本位的陳舊觀念，整體設計上依然明顯傾向于個人本位，利益位階顯著失衡。《個保法》、《信息安全技術個人信息安全規范》、《數據安全法（草案）》的規定，除關乎國家安全、公共安全、司法程序、新聞報道、學術研究及重大生命、財產利益等情形收集、使用個人信息不必征得信息主體的授權外，其他情況都需經過信息主體授權。但智能時代早已來臨，信息收集、存儲、利用已遠超法律、政府、個人的預期，個人信息真實保護力度遠不如法律預設保護力度，過度流通、利用現象層出不窮，知情同意原則、目的明確原則、限制利用原則、安全原則等成為了擺設，信息決定權、保密權、更正權、刪除權等被侵犯的情況層見迭出，信息主體對個人信息的控制利益與信息處理者對個人信息的利用利益之間產生了價值沖突，易出現個人信息保護不足或保護過度的情形。

（二）信息決策困境

理性人假設認為信息主體是理性的，能做出對自身利益最優的決策。但大數據時代下，由于信息獲取、分析、處理、利用能力的差異，不同主體之間的數字鴻溝愈發明顯，理性人假設的前提正在被侵蝕，信息主體理性進行信息決策的實際水準遠低于傳統信息模式所假設的程度，知情同意原則逐漸形式化。

1、主觀決策困境

主觀決策困境主要源于信息主體的有限理性，信息保護效果與信息主體對信息利用、保護的理解程度息息相關。

（1）即時處理困境

為規避法律風險，信息處理者常制定紛繁復雜且專業化的隱私政策。而由于沒有充裕時間閱讀隱私政策、難以理解隱私政策內容、缺乏足夠風險規避意識，多數信息主體只能依據即時、簡單的利益分析做出信息決策。形式上，知情同意原則和隱私政策中的“告知選擇”條款仿佛賦予了信息主體自由選擇權；事實上，信息主體的決策往往是盲目沖動或漫不經心的，知情同意原則逐漸成為擺設，陷入形式化困境。

（2）短視困境

一方面信息風險具有潛在性、累積性、廣泛性和不可逆性，對于單個主體來說多數損害的程度輕、可識別性弱。另一方面信息主體往往存在認識偏差，易低估風險可能性危害，高估自身風險預見、控制能力。因此，信息主體為了眼前利益，經過簡單利弊衡量，常以個人信息為對價向信息處理者換取服務，同意個人信息利用、處理條款，而漠視信息泄露可能引發的長遠影響。

據統計，僅《美團隱私政策》正文就共計9章14758字，同時針對美團打車、美團金融等特定服務還有單獨的隱私政策，并且全文不乏應用程序接口（API）、SSL加密保護技術等專業術語。根據《高德隱私權政策》，“您撤回同意或授權的決定，不會影響此前基于您的同意或授權而開展的個人信息處理”，“本政策將根據業務模式的調整或更新不定期進行修訂，該修訂構成本隱私權政策的一部分”。換言之，隱私政策專業性強、理解難度大，信息主體易陷入短期決策困境；前期授權無法撤回、隱私政策不斷修改，信息主體易陷入長期決策困境。

2、客觀決策困境

客觀決策困境主要表現為雙方地位、能力逐步失衡，客觀因素嚴重干涉信息主體決策結果。

（1）選擇困境

隨著大數據的普及，個體為了更好適應現代智能生活，不得不出讓個人信息以換取智能服務，共享信息往往是無奈之舉。例如，為了更好地享受網約車服務，信息主體就不得不同意“滴滴出行”的隱私政策，允許滴滴平臺收集、保存、使用、共享自身的個人信息。

（2）數字鴻溝困境

一是信息存量不均衡。信息處理者技術優勢明顯、市場地位壟斷、專業人員齊全，通過大數據挖掘技術，信息存量呈指數級增加；通過大數據分析技術，可以勾勒出信息主體人格畫像，了解、掌握其愛好習性，監測、預判個體行為。二是信息增量不對等。為了追求利益最大化，信息處理者通常會設置信息壁壘以鞏固、擴大其信息優勢，比如強行推出格式條款、全部接受或全部拒絕條款、過度運用專業術語等。

據統計，2020年9月，新浪微博月獨立設備數為581.9萬臺，所占綜合社交APP月獨立設備總數比例約為74%；2018年12月，短視頻行業人均單日使用時長為32.2分鐘，前四大短視頻APP時長占比88.9%。可以發現，部分互聯網巨頭頭部集聚效應顯著、市場優勢地位明顯。一方面巨頭具備先發優勢，可以利用技術優勢和海量信息，智能推送與用戶習性相匹配的精品服務，給用戶帶來更好的互動體驗，提高用戶粘性。另一方面頭部集聚效應也導致店大欺客現象屢見不鮮，在大數據技術面前，信息主體可以說是赤身裸體、任人宰割，一旦個人信息遭受侵害，信息主體要么無能為力、要么毫不知情。

（三）系統性保護困境

當前，個人信息保護方式主要有兩類。一是人格權請求權。根據我國《民法典》編撰體例，個人信息保護編排在第四編人格權中，按照體系解釋，應將個人信息權定性為人格權。因此，當個人信息權遭受侵害的，受害人享有停止侵害、排除妨害、消除影響、恢復名譽、賠禮道歉請求權，不適用訴訟時效規定。二是侵權責任請求權。如果行為人由于主觀過錯實施了個人信息侵權行為，造成了損害結果，同時行為和損害之間存在因果關系，應承擔損害賠償責任。不過，僅依靠雙重請求權救濟，難以實現個人信息保護全閉環，易引發系統性風險。

1、民事責任制度效果欠佳

當受侵害的信息主體提起民事訴訟進行維權時，現有民事責任制度難以真正保障個人信息權。

（1）雙方訴訟能力差距懸殊、平等對抗不合實際

信息處理者領有專業的法律團隊、擁有豐富的信息證據，可以控制、更改、銷毀個人信息記錄，處于強勢地位；信息主體通常法律素養匱乏、舉證能力缺乏、數據信息閉塞，居于劣勢地位。

（2）個體損害不明顯、訴訟程序啟動難

一是個人信息權利是社會公眾的權利集合，權利主體具備抽象性，權利行使存在先天障礙。或言之，信息侵權涉及面較廣，受害人不特定，單個受害人難以知曉侵權行為的發生。

二是信息侵權以非物質損害為主且單次損害較輕，難以計量受損金額且維權成本與收益不成正比，同時基于“搭便車”心理，個體維權主動性差。

（3）民事救濟滯后性強、權利維護有效性差

信息侵權往往持續時間長、單次損害小、累計損害大。信息主體若行使阻卻型權利，雖體現了事中保護理念，但是信息主體事中難以發現且不易證明侵權行為，阻卻型責任保護力度有限。若行使填補型權利或加重型權利，盡管能有效懲罰侵權人，但權利行使時間肯定晚于侵權行為發生時間，特別是針對敏感信息，一旦公開將無法彌補，同時訴訟程序也較繁瑣。

（4）民事責任覆蓋面小、公共利益維護性差。民事救濟個別化和信息利益公共化之間錯位明顯。民事救濟僅局限于提出訴訟請求的信息主體，而無法彌補同一侵權行為給不特定社會公眾造成的損害。公益訴訟雖能緩解民事責任個別化難題，但以司法機關為主導的公益訴訟被動性明顯，并且滯后性更加顯著。

2、合同法保護欠缺

外觀上，在個人信息收集環節，信息主體往往不必給付金錢即可享受信息處理者“免費”的商品或服務，因此交易屬于無償合同。而實質上，信息主體提供的信息應被視作貨幣等價物，雙方主體在交易中互負給付義務，形成雙務有償合同，例如一些企業根據消費者個人信息的數量、重要性不同，提供差別化服務，即信息和服務實現了等價交換。

然而，我國對個人信息交易卻缺少法律規范。雖然《民法典》第467條規定了無名合同，但個人信息交易與無名合同不同，隨著大數據技術的成熟，經營者刻畫的消費者人格畫像越發精準，并通過精準化營銷對消費者決策產生決定性影響。表面上消費者決策源于自由意志，而事實上自由意志可能遭受嚴重侵蝕，消費者成為“意思自由”的“牽線木偶”。個人信息交易涉及人格自由與尊嚴，不可能全盤照搬無名合同的規定，但基于信息與服務對價化交易這一基礎，又必須得從合同法角度進行規制。因此，構筑符合智能時代的個人信息交易準則對實現保護全閉環、降低系統性風險而言十分關鍵。

3、公法保護不足

隨著智能時代的來臨，雙重請求權保護機制已無法應對新型信息風險。對信息主體而言，鑒于個體認識很有限、信息風險較復雜、隱私條款太晦澀，常無法預見、避免、克服侵權行為，難以有效行使請求權。對信息處理者來說，逐一取得授權需耗費大量人力、物力，可能阻礙商業信息流通、影響公共治理效果。究其根本，在于智能時代中個人與社會組織在信息能力上差距巨大，這與突出意思自治、主體平等的私法理念大相徑庭。因此，為了更好發揮私法的個人信息保護作用，需構建公法與私法二元保護體系。

縱觀我國相關公法規范，《刑法》第253條規定了侵犯公民個人信息罪、兩高《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》細化了刑事責任，《個保法》、《網絡安全法》及《數據安全法（草案）》等規范對個人信息違法行為規定了行政責任。

不過，現有公法規范依舊存在不足。刑法只約束性質嚴重的犯罪行為，大部分信息侵權行為難以納入刑法管轄范疇。其他規范雖然強調了行政責任，但一是法條表述含糊，僅規定非法行為需承擔行政責任，責任內容不細致；二是信息主體責任缺少規范，只以信息處理者責任為主，對責任主體包括網絡運營者、數據交易中介機構、國家機關等，責任內容包括罰款、沒收違法所得、責令暫停業務、關閉網站、撤銷執照等。公法保護以事后責任為主，事前預防不足、事中監管欠缺，并未實現信息完整生命周期的動態保護。

三、樹立新式信息保護理念、構建新型信息保護制度

如今，智能時代方興未艾，個人信息成為經濟發展的關鍵動力。應結合我國國情，樹立個人信息的社會本位保護理念，形成多元共治、多方受益、保護到位、利用合理的個人信息治理體系，推動個人信息治理能力現代化，實現數字經濟健康發展、人格利益充分保障。

（一）樹立個人信息的社會本位保護理念

當社會本位理念確立后，利益平衡困境、信息決策困境和系統性保護困境將迎刃而解。這三大困境根源在于多重利益沖突、個體有限理性和私法保護不足，而社會本位的社會利益導向、公法保護模式有效填補了個體本位的缺位。

1、個人信息的社會化趨勢

（1）屬性社會化

個人信息可分為原始信息和派生信息。前者指血型、指紋等生物識別信息，產生后恒定性高、個人性強；后者指社會交互中產生的社群信息，如購物記錄、信用評級，屬于準公共物品，社會屬性強。個人信息兼具個體性與社會性，只是智能時代下社會性成為了首要屬性。

（2）保護社會化

小數據時代信息侵權具備個體性、一次性、靜態性，常表現為一對一簡單侵權。大數據時代信息侵權具有廣泛性、長期性、潛在性，常呈現為多對多復雜侵權。例如，2019年3月中國跨境大賣旗下Gearbest網站因疏忽泄露了數百萬用戶的訂單信息；2020年5月建設銀行員工販賣5萬多條銀行卡持卡人身份信息、賬戶信息，涉案金額達2000余萬元。正是由于侵權行為的潛在性、受害主體的廣泛性、單次損失的細微性，決定了個人信息保護必須堅持社會本位。

（3）利用社會化。小數據時代個人信息被視作個人私有財產，所以采取個人本位理念符合個人信息利用實際。但大數據時代下，一是信息主體無法控制個人信息，二是信息自由流通價值凸顯，因此社會本位理念進入法律視野。社會本位要求法律重心適當向公共利益傾斜，個人權益與社會利益達成良性動態平衡，信息的利用既要考慮信息主體的人格利益，還要考量信息處理者的商業利益和數字經濟的發展前景。

2、社會本位保護理念的樹立

社會本位保護理念的大體框架是，以多重價值均衡為首要目的，以多元風險治理為制度核心，以良好秩序建立為最高宗旨。

（1）實現多重價值均衡

個人本位理念不斷賦權于信息主體、加責于信息處理者，以構建起個人信息保護法律體系。在該體系中，信息主體居于價值核心，信息處理者位于價值邊緣。而社會本位理念兼顧信息主體的個體權益和信息處理者的流通利益。立法既保障信息主體的合法權利，又肯定信息處理者的利用價值，避免信息主體權利的無限擴張。執法、司法以場景理論為基礎，以個案裁量為手段，實現每次人身自由與人格尊嚴價值和商業流通與公共管理價值、保護利益和利用利益之間的平衡。

（2）完善多元風險治理

風險治理是法律制度的應有之義，基于個人信息關系的主體多樣性、利益多元性、價值多重性，個人信息保護不宜將信息主體控制權作為核心，應進行結構化權責分配。國家作為社會管理者、利益平衡者，應扮演風險宏觀治理、微觀調控的角色。宏觀上，堅持總體國家數據安全觀、制定國家數據安全戰略、建立數據安全治理體系；微觀上，實行數據分級分類保護，承擔數據安全監管職責，建設數據安全風險評估、共享、監測、處置機制。其他信息處理者作為數據控制者、信息收益者，應承擔風險防控主體責任。其一，基于實際控制原則，信息處理者應第一時間辨識風險的發生、運用風險管理工具、控制風險的損失；其二，基于風險收益對等原則，信息處理者享受了主要信息紅利，應肩負起主要信息責任。信息主體作為數據生產者、信息弱勢者，應學習數據安全知識、提升法律知識水平、增強主動維權意識。

（3）建立良好社會秩序

社會秩序的本質是利益分配關系，個人本位或社會本位只影響不同主體之間的利益分配比例。社會利益不是個體利益的機械相加，它體現著具有相對獨立性的社會整體意志，獨立于個體又深刻影響著個體。堅持社會本位理念有助于建立良好社會秩序。堅持社會本位理念可以劃定合理的權利義務關系、促進信息健康有序流動、發揮數據的基礎性資源作用。建立良好社會秩序有利于實現多重價值均衡。良好的社會秩序一定以社會利益最大化為向導，統籌兼顧各方利益、實現多重價值均衡，而不會以或肯或否的二分思維進行價值位階排序。完善多元風險治理是建立良好社會秩序的必由之路。良好的社會秩序要求信息的收集合法、流動有序、利用高效，風險治理價值就在于降低、消除信息流通中可能產生的負外部性。

（二）構建公共利益導向的個人信息保護制度

社會本位理念強調信息有序流動，這牽涉信息主體、信息處理者、數據經濟多重利益，因此應根據具體場景、信息關系勾勒動態的、相對的權利界限，構建公共利益導向的個人信息保護制度。

1、明確場景化個人信息權利邊界

我國目前的個人信息權利邊界依然是粗線條的，提取了各場景的最大公約數。若想兼顧多重利益，應細分運用場景，設置矩陣式權利邊界。

（1）橫向邊界

根據信息的不同生命周期，實行差異化規制。信息收集階段。可選用寬松規制戰略，畢竟信息收集是后續信息生命周期的前置階段。同時，信息處理者應遵循選擇同意原則、公開透明原則、最小必要原則，提供多項業務功能的自主選擇權限。信息處理階段。可選擇適度規制戰略，因為信息處理直接影響他人利益。信息處理者應遵從目的限制原則、最小必要原則，實施訪問控制策略、設置內部審批流程、建立職務分離制度、定期開展安全評估。信息保存、刪除、公開階段。應選定嚴苛規制戰略，因為數據庫存儲著海量信息，一旦泄露將引發系統性風險。信息處理者應遵守確保安全原則、最小必要原則。信息的保存確保時間最短、去標識化、加密化；信息的刪除保證不可逆化、便捷化；信息的公開需事前授權同意、事中安全評估、事后有效管制。

（2）縱向邊界

根據主體類型、行業領域，推行類型化規制。主體分類規制據《互聯網企業個人信息保護測評標準》，信息處理者可分為初始方、關聯方、第三方，初始方向用戶收集信息，關聯方與初始方存在控制關系，第三方從初始方或關聯方處獲取信息；信息主體可分為一般人與未成年人，收集、處理未成年人信息應堅持未成年人利益優先原則、監護人同意原則。考慮到不同主體的差異化信息保護預期，還可細分公職人員、教師、患者等群體。信息分級規則根據《個人信息保護技術指引》依據信息風險等級，將信息分為四等。一、重要信息：泄漏后可能使個人財產遭受嚴重損失，如銀行賬戶信息；二、一般信息：泄漏后可能使個人財產遭受損失，如身份證號；三、其他信息：泄漏后可能使個人財產受到影響，如健康生理信息；四、非敏感信息：公開后無影響，如出生日期。前三者即為敏感信息，一旦泄露、濫用易導致個人名譽、身心健康遭受損害或歧視性待遇。信息處理者在傳輸、存儲敏感信息時，應采取不可逆算法加密存儲，應進行數據漂白、脫敏。信息主體對敏感信息享有刪除權、攜帶權、被遺忘權。行業分治規則，央行《金融消費者權益保護實施辦法》明確金融機構收集個人金融信息時應遵循合法、合理、必要原則，要采取保密措施，需建立數據庫分級授權管理制度，應制定個人金融信息使用管理制度。《征信機構信息安全規范》規定了征信機構信息采集、處理的接口、非接口方式，信息加工形成的信用報告、信用評分應遵循客觀性原則，信息保存應可追溯、去標識、超期刪除，信息查詢應設置校驗規則、加密或專線查詢等。其他場景區分規則，根據信息處理者信息能力、公益程度的差異，加減義務配置。若信息能力強、公益程度高，則加重義務內容，如要求不相容職務分離設置；對信息違規行為，要求及時換口令、斷連接、封賬號。若信息能力弱、公益程度低，則適當減輕義務內容，如降低安全審計頻率、簡化安全應急預案。

2、建立系統性個人信息保護法律體系

我國現有個人信息保護規定集中于私法領域，但單純依靠私法保護已無法適應智能時代。“場景化權利設置+系統性法律保障”有望成為今后個人信息保護領域的主流模式，形成公力救濟、私力救濟、社會救助多方參與的治理格局，實行預防優先、風險控制、全程管理、多元共治的保護機制，推動個人信息完整生命周期的保護。

（1）完善風險管理法律制度

提供公法保護。社會本位理念勢必要求公法保護優位，公力救濟成為個人信息保護首要環節。考慮到不同主體在信息能力上的巨大差距，應以集體保護原則、傾斜保護原則、個體公平原則為核心架構起公法保護框架，由國家為信息主體提供信息安全這一公共產品，建立信息風險管理機制、解決個體有限理性困境。

完善合同法保護。基于對價交易基礎，信息主體與信息處理者事實上成立了契約。現代社會中，人格尊嚴的內涵得以延伸，人格權中經濟價值逐步得到認同，個人信息逐漸成為商業利用對象。可以類推適用肖像權商業利用模式，推動個人信息經濟價值的商業化利用。首先，肯定個人信息權許可使用合同的法律效力。擅自使用他人信息的，需承擔財產型、精神型賠償責任，這體現了個人信息財產利益與人格利益的雙重屬性。其次，賦予信息主體具有人格權效力的債權。基于人格權效力，信息主體享有任意解除權，一旦行使，信息處理者將喪失個人信息處理權限，同時個人信息權可突破合同相對性，具備對世效力。

（2）建設多元主體保護機制

由國家健全個人信息安全協同治理體系，推進政府部門、行業協會、企業、個人多元參與信息安全治理工作。由國家網信部門統籌個人信息保護監管工作，建立安全標準體系、組建信息交易市場、開展信息安全評估、培養信息安全人才，對信息安全負主體責任。建立個人信息保護社會服務體系，籌建行業協會、制定行業準則、建立獎懲機制、推廣風險評估服務、開展信息保護認證、受理信息主體投訴。由信息從業者建立信息風險內部控制制度、信息檔案管理系統、信息分級授權管理體系、信息安全事件應急處理機制、信息安全事件通知制度。加強新聞監督，展開個人信息保護法律規范和安全知識的公益宣傳，及時曝光信息違法行為；強化社會監督，組織行業協會開展信息安全教育工作、參與制定信息安全標準；引導公民參與，公民個體需增強安全意識、政府機構要健全投訴渠道、行業協會應立足公民權益、標準制定當聽取公民意見。

（3）打通信息保護最后一公里

拓寬多元救濟渠道。探索組建政府部門、檢察機關、公益組織、集體訴訟四位一體的救濟途徑。以消費者信息侵權為例，市場監管部門可依職權或依申請對信息違法行為開展調查、組織聽證、做出處罰，涉嫌犯罪的移送公安機關；檢察院可依職權或依申請向法院提起公益訴訟，消費者協會或受害人可作為共同原告或有獨立請求權的第三人參與訴訟；消協可以自身名義直接向法院起訴，也可請求檢察院啟動公益訴訟程序，又可請求市場監管部門運用行政執法權；消費者群體可以全體名義提起集體訴訟，選取訴訟代表人參與訴訟，訴訟后果由全體共同承擔。

援用舉證責任倒置規則。訴訟雙方往往技術水平懸殊大、信息能力不對等，個人舉證難度大，若想平衡雙方訴訟地位，需舉證責任倒置。歐盟《通用數據保護條例》采用了舉證責任倒置規則，若信息處理者能證明對損害結果無過錯，不承擔賠償責任。更甚者，還可參考我國產品責任、環境污染責任，對信息責任適用無過錯責任原則，他們共同點在于侵權行為均會損害不特定對象的利益。

建立法定賠償制度。信息侵權通常持續時間長、單次損害小，信息處理者經常肆意收集、公開、利用個人信息，第三人非法盜取、泄露、販賣個人信息的情況也屢見不鮮。應設定最低賠償金額，實際賠付金額以最低賠償金額與實際損失兩者孰高為準。另外可設置懲罰性賠償，懲罰性賠償屬于加重型民事責任，目的在于維護公平正義、遏制不法行為。業無信不興、國無信不寧，若信息侵權行為性質嚴重，可將信息處理者違法情況記入社會誠信檔案，增加違法成本。

大數據技術對我國個人信息保護法律體系而言，既是沖擊、更是機遇。我國應當借助此次機遇，結合大數據獨特的內生結構，處理好信息利用與信息保護兩者的關系，樹立新式保護理念、構建新型法律制度，實現國家治理能力、治理體系現代化。正如古人云：“立治有體，施治有序”。未來，我國應當繼續深化對大數據技術和個人信息法律制度的研究，堅持立法先行、填補立法空白、加速立法更新、回應立法急需、突破立法難關，進一步完善我國個人信息法律體系，走穩依法治國的每一步。