大數據時代個人信息法律保護制度之重構

王秀哲

(遼寧大學 法學院，遼寧沈陽 110136)

世界范圍內看，個人信息的法律保護伴隨著計算機信息技術的發展而成熟，出現了以美國為代表的行業自律和以歐盟為代表的統一立法保護模式。但是大數據技術改變了個人信息生產、使用的樣態，從而使個人信息法律保護的內容、模式等面臨新的挑戰。近年來，我國網絡信息化技術發展突飛猛進，遺憾的是，我國個人信息的法律保護在理論和實踐上均不成熟，個人信息的有序利用和權利保護越發成為社會的焦點，理論上，學者們始終堅持推進個人信息專門立法保護，實踐中，以刑法為先鋒的分散立法被動應對個人信息無序利用引發的社會亂象，由此導致了我國本就先天不足的個人信息法律保護在大數據時代無所作為。由于大數據之前的信息時代(本文簡稱“前信息時代”*通常認為，信息時代開始于20世紀中期計算機的發明和使用。2012年被看成是大數據的正式啟蒙之年(參見馮海超：《大數據時代正式到來》，載《互聯網周刊》2012年第24期)。大數據時代，信息的收集處理發生了質的變化，為了突出大數據時代特色，本文把大數據之前的信息時代簡稱為“前信息時代”，這一用法也可參見范為：《數據時代個人信息保護的路徑重構》，載《環球法律評論》2016年第5期。)的個人信息法律保護理論無法有效地應對大數據技術浪潮的沖擊，我國個人信息法律保護制度的建構必須擺脫已有理論的慣性制約，直面大數據技術挑戰，從整體制度建構層面進行重構。

一、大數據時代個人信息法律保護面臨的新挑戰

大數據時代是一個網絡生活全覆蓋的時代，網絡用戶是主動的信息和數據生產者，“每天有大量信息被用戶利用自己的剩余時間生產出來，同時吸引更多的用戶，通過網絡效應增加網站的價值?！?胡凌：《網絡法的政治經濟起源》，上海財經大學出版社2016年版，第35頁。信息主體源源不斷生產和輸送的個人信息，通過大數據挖掘技術得到整合利用，也完成了數據人格塑造和現代權力控制。

(一)數據人格塑造

所謂數據人格就是個人被信息化，所有的個人事務和行動都變成了數據，由網絡數據完整描述個人人格。具體而言，大數據時代，網絡已經成為現代人生活的組成部分，隨身佩戴的手表、飾物、手機抑或公共場所安裝的攝像頭都在不斷把個人數據化，每個人都是一堆數據，通過數據和他人、社會溝通，數據取代物理世界的行為成為人格的標識和標簽。不僅個人靜態的身份信息儲存在各種數據庫中，個人的行蹤軌跡、行為痕跡也都留在了網絡上，只要上網，無論是工作、學習還是購物、娛樂，所有的信息都成為各種數據庫收集的素材，而且精準記憶、永不遺忘。學術界有關遺忘權的探討正是對這種網絡記錄永久性的回應，雖然可以在法律和制度設計上提議保護遺忘權，但是，大數據技術的直接后果卻是無法遺忘。[注]參見邵國松：《“被遺忘的權利”：個人信息保護的新問題及對策》，載《南京社會科學》2013年第2期。

大數據時代的數據人格塑造并不是簡單停留在數據記錄和整合上，通過對海量碎片化數據進行挖掘，形成對個人的偏好、性格、行為的精準分析和預測，從而完成數據人格的深度塑造。由此，商家能夠針對數據人格進行精準營銷；而政府則能夠有效進行社會秩序維護和治理，隨著技術的進步，甚至可以做到在預測個體行為的基礎上消滅犯罪于萌芽狀態。數據人格塑造會帶來個人信息泄露、隱私曝光、不平等和歧視待遇、扭曲和異化真實人格等風險，而當數據人格成為大數據時代的生活常態時，無處不在的監控與控制也便形成。

(二)現代權力控制

以權利對抗權力的法律構造是近代以來法治建設的核心內容，對權力先天敏感的美國人早就把計算機信息化發展帶來的社會權力控制比喻為“big brother”，“警察機關與情報機構掌握了個人信息的計算機存儲系統，大大提高了國家機關的監控能力?！盵注]Abb Mowshowitz. “Social Control and the Network Marketplace”, in David Lyon & Elia Zureik eds. Computers, Surveillance, And Privacy 79, 1996, p95-96.但是，大數據時代的權力控制并不僅限于國家公權力，包括私營部門的數據利用帶來了新的權力控制問題。美國學者索洛韋伊利用卡夫卡的小說《審判》作為隱喻，形象表達了現代權力控制帶來的隱憂?！秾徟访鑼懥艘粋€官僚主義、殘酷冷漠、專制武斷、滅絕人性的訴訟過程，這與我們今天面臨的數據庫問題極其相似，人們無法在事實上參與、左右別人收集與使用其信息的行為，因此而感到無助而脆弱。這一隱喻意味著，他人完全無法對已經失控的個人信息使用進行任何控制，即便沒有秘密被揭露、沒有人在監視，隱私權也會受到侵犯。[注]參見[美]丹尼爾·J.索洛韋伊：《隱私權與權力：計算機數據與信息性隱私權隱喻》，孫言譯，載張民安主編：《信息性隱私權研究——信息性隱私權的產生、發展、適用范圍和爭議》，中山大學出版社2014年版，第118-119頁、第159頁。正如“審判”隱喻所昭示的那樣，網絡社會，我們無處可逃，又無法知道厄運什么時候會到來。這種擔心和恐懼比直接的權力侵犯更為可怕。

后現代哲學家?？聦ΜF代權力控制的研究頗為深刻，他認為自由主義特色的權利根本無力對抗以規訓為特征的現代權力，反而會淪為后者的附庸。?？略凇兑幱柵c懲罰》中詳述了以規訓為特征的現代權力，強調通過日常生活中的各種細節與習慣重塑來規訓大眾。此舉逐漸演變出一種關注細枝末節的規訓權力( disciplinary power) 。其典型運作方式如監禁，通過對犯人身體的監視、訓練與矯正來制造“馴順的身體”。類似運作遍布于學校、軍隊、工廠、醫院乃至家庭等各種社會場所，最終在古典時期末期促成了一個規訓社會。[注]參見[法]米歇爾·?？拢骸兑幱柵c懲罰》，生活·讀書·新知三聯書店1999年版，第235頁。如果說，?？旅枋龅囊幱柹鐣€依賴行為的矯正和訓練，大數據時代則通過網絡依附實現了福柯所描述的現代權力控制?！巴ㄟ^賬戶，賽博空間和現實世界中的主體被聯系起來，通過網上的活動穩定地積累數據，依據數據對其場景化行為的評價反過來進一步成為影響其未來活動的重要約束力量?！盵注]胡凌：《超越代碼：從賽博空間到物理世界的控制/生產機制》，載《華東政法大學學報》2018年第1期。當一站式服務成功吸附用戶時，用戶對互聯網巨頭的依賴便可以形成；而國家以公權力為后盾對網絡的介入，更可以實現全面的數據獲取和使用。所以，現代社會中的個人不但處于國家權力的虎視眈眈下，更處于現代權力這一“柔性極權主義”之中。[注]參見孫祥：《超越的困境：?？碌臋嗬斡^》，載《求索》2014年第5期。面對無處不在的、不僅僅是國家權力、還包括社會組織通過掌控個人信息實現的現代權力控制，傳統上以明確使用者責任進而保護個人信息權利的做法已經無法適應大數據時代要求，必須進行反思與重構。

二、前信息時代個人信息法律保護的理論缺陷

從計算機儲存和處理個人信息開始，歐美國家就開始對其進行法律保護，形成了可識別性定義、以控制為核心的權利保護以及圍繞知情同意確立利用原則等個人信息法律保護制度模式。但是，在大數據技術面前，前信息時代發展起來的個人信息保護理論明顯不適應時代發展的要求，帶有難以克服的缺陷。

(一)可識別性個人信息界定的困境

界定什么是個人信息，這是前信息時代個人信息法律保護制度建構的起點。早在1980年《OECD委員會關于管理隱私保護和個人數據跨疆界流動的指導原則的建議書》就把“個人數據”[注]歐盟立法中保護的是個人數據，個人數據與個人信息在法律保護的層面具有同等的含義。具體解讀可參見郭瑜：《個人數據保護法研究》，北京大學出版社2012年版，第127頁。界定為“與確定的和可以確定的個人相關的任何信息”，1981年歐洲理事會通過的《有關個人數據自動化處理的個人保護協定》第2條定義“個人數據”為：“指與已識別或可識別的個人(數據主體)相關的任何信息”；歐盟1995年《個人數據保護指南》進一步對識別性做了直接和間接性的區分。美國的《隱私權法》中雖沒有直接界定個人信息，但是，就國家機關保管的個人檔案給出了和個人情況相聯系的識別性定義。[注]參見周漢華主編：《域外個人數據保護法匯編》，法律出版社2006年版，第12、44、308頁。通讀各國已經制定的個人信息保護法，可識別性是定義個人信息(數據)的普遍做法。我國學者在借鑒吸收國外個人信息保護立法的基礎上，也提出了可識別性個人信息定義的方法。[注]參見齊愛民：《個人信息保護法研究》，載《河北法學》2008年第4期。

但是大數據技術帶來了可識別性操作的困境。一方面，可識別性個人信息的范圍不斷擴大。大數據時代，個人日?；顒拥乃泻圹E幾乎都在網絡中被記錄，零散的個人信息記錄看似不相關，但通過數據挖掘技術，原來被認為不能識別到個人或者匿名化不被識別的信息都能夠識別到個人，比如網絡匿名購物記錄不能識別到個人，但是與瀏覽地址、網購地址相連就能識別到個人。另一方面，個人信息權利受侵犯不以可識別性為限。大數據時代，個人信息的價值通過量的積累體現出來，打包處理的某一類個人信息雖然不以識別個人為目的，但是類別化處理后的類型化對待也會造成對個人信息主體權利的侵害，比如根據購物、網頁瀏覽偏好設計的定向營銷廣告、新聞等的推送，會侵犯被推送者生活安寧以及完整獲取信息權等權益。

可識別性界定個人信息的困境已經引起了歐美學者的重視。美國學者Paul Ohm 認為，“識別個人身份的信息”這個概念存在致命的缺陷，必須在信息隱私法領域找出一個新的術語代替這個詞。[注]參見Pauo Ohm. “Broken Promises of Privacy”, 57 UCLA L. REV. 2010, p1701.索洛韋伊對這一問題也有專門的研究，其深入論證了“可以識別個人身份的信息”這一定義在技術面前的困境，并給出了第二版識別性定義，認為“可以識別個人身份的信息”包含“已經被識別個人的”數據和“可以用來識別個人身份”的數據兩部分，對這兩部分應區分對待，關鍵是要將信息和他人身份被識別的風險聯系起來。[注]參見[美]保羅·M.施瓦茨，丹尼爾·J.索洛韋伊：《隱私權和“可以識別個人身份的信息”》，黃淑芳譯，載張民安主編：《信息性隱私權研究——信息性隱私權的產生、發展、適用范圍和爭議》，中山大學出版社2014年版，第438-502頁。索洛韋伊的第二版定義引入了大數據時代個人信息利用的風險要素，實現了從事前的靜態已識別到動態的可識別的突破。與此同時，可識別性個人信息界定也開始在相關立法中做出調整。2015年2月，美國政府正式發布《消費者隱私權利法案(草案)》，[注]參見F．T．C．“Protecting Consumer Privacy in an Era of Rapid Change: A Proposed Framework for Businesses and Policymak-ers-Preliminary FTC Staff Report “,2010. http://www.ftc.gov/os/2010/12/101201privacyreport.pdf. 2018-04-18.其中將個人信息定義為“能夠連結(link)到特定個人或設備的信息”，相較于歐盟指令及《數據保護通用條例》中抽象的“識別性”(identifiable)，更進一步指出個人信息“關聯性”(linkable)的特征，且將范圍拓展到和可識別性毫無關聯的“設備”( device) 的規定，體現了基于大數據時代個人信息范圍擴展的考量，是難能可貴的進步。[注]參見范為：《數據時代個人信息保護的路徑重構》，載《環球法律評論》2016年第5期。

大數據時代可識別性個人信息界定面臨的困境是由個人信息保護客體與個人信息主體關系的變化引起的。在前信息時代，個人信息來自對個人身份的靜態記錄，通過個人信息還原確定個人身份，所以，個人信息的可識別性至關重要；而大數據時代，個人信息是個人行為的動態記錄，通過個人信息的匯聚，進一步豐富和完善數據人格圖像。前信息時代，個人信息是可以與個人相分離的一種客觀存在，通過去除身份就可以實現防止隱私受侵害的風險；而大數據時代個人信息與動態化個人行為緊密相連，無論是否具有身份識別性都能夠產生隱私侵犯風險。例如，不具有身份識別性的“設備序列號”，因其對用戶行為信息的關聯和綁定作用，能夠構建設備持有者人格圖像或對其形成追蹤的可能性，并不能把其絕對排除在個人信息保護的范圍之外。[注]參見范為：《大數據時代個人信息定義的再審視》，載《信息安全與通信保密》2016年第10期。

理論和實踐已經表明，大數據時代，可識別性個人信息界定對個人信息保護和信息的有效利用的阻礙作用越來越明顯，“國際社會在個人信息的界定上基本形成了以可識別性為核心判定標準的共識；但個人信息界定的動態性和場景性不僅帶來了司法認定上的困難，也使企業在匿名化處理問題上無所適從。”[注]齊愛民、張哲：《識別與再識別：個人信息的概念界定與立法選擇》，載《重慶大學學報(社會科學版)》2018年第2期。所以，個人信息法律保護不宜確定僵化的客體，而應適應大數據時代個人信息開發利用的現實需要，確立個人信息動態保護范圍。

(二)以控制為核心的個人信息權利異化

前信息時代個人信息法律保護的核心是個人對其信息的控制，其主要從屬于隱私權，其后在大數據變革中，又擴展納入財產權保護范圍。但是，大數據時代數據人格塑造和現代權力控制導致無論是隱私權還是財產權角度的個人信息控制權均能出現異化。

把個人信息自我控制作為隱私權保護的一個內容是美國的典型做法。在美國，信息性隱私權是指他人所享有的能夠控制其信息流動的權利，[注]參見Ian Goldberg et al. “Trust, Ethics, and Privacy”, 81 B.U.L. REV. 2001. p418.在以權利對抗權力的傳統法律架構下，通過個人信息的自我控制防止政府權力濫用造成對個人隱私的侵害。與美國擴展隱私權保護范圍的做法不同，歐陸國家是通過制定個人數據保護法實現對個人信息的專門保護的，個人數據保護法中明確了個人數據自決權，這是以獨立權利的方式對個人信息自我控制權能的保護。因為個人數據保護法的立法目的指向隱私權，歐陸國家的個人數據自決權是與隱私權保護密切相關的人格權?？傮w上看，美歐國家與隱私權相關聯的個人信息控制權強調的是對個人獨立人格利益的保護，無論這種利益是個人尊嚴還是自由。[注]參見James Q. Whitman. “The Two Western Cultures of Privacy: Dignity Versus Liberty”, 113 ( 6 ) Yale Law Journal 2004, p1221．但是，大數據時代的數據化生活，讓自我控制意義上的隱私期待逐漸消退，“通訊與加強監控的科學技術的普及、政府進一步加強對隱私的監控以及商業化信息收集技術的不斷進步，獲得他人隱私成為一種致富、成名的手段……社會公眾以廉價的方式消費他人的隱私信息、窺視他人私人生活，社會公眾的隱私期待被進一步削弱?！盵注][美]肖恩·B.斯賓塞：《隱私期待與隱私權的消退》，孫言譯，載張民安主編：《美國當代隱私權研究——美國隱私權的界定、類型、基礎以及分析方法》，中山大學出版社2013年版，第482-483頁。當交換與出讓個人信息成為數據化生活的常態時，個人控制意義上的個人信息保護主張試圖轉為強調與依賴財產權實現。

作為人格權的隱私權和個人資訊自決權本來注重保護的是人的自由和尊嚴等精神利益，基于科技的進步和大眾傳媒的發展，人格的很多標志，在很大范圍內可以在經濟上加以利用，個人信息的經濟價值就是其中一種，在這種思路下，個人信息的財產權利主張浮出水面。個人信息財產權保護是從個人信息的資源性特征出發，順應信息社會個人信息自由流通的現實，試圖拯救單純的隱私性個人信息控制無力，旨在恢復主體自主控制權的一種努力。美國學者Alan Westin認為：“被視為涉及個人私人人格的決定權的個人信息，應當被定義為一種財產權。”[注]Westin A. “Privacy and Freedom”. New York: Athe-num.1967, p324.如果個人信息是能夠產生實際價值的物質，那么對于其的控制和支配就超出了人格權的范圍，而應當屬于財產權范疇。我國學者劉德良也認為，“個人信息財產權是主體對其個人信息的商業價值進行支配的一種新型財產權，它能且只能存在于對個人信息進行商業性使用的條件下。在信息時代，個人信息具有潛在的商業價值故而都應該受到財產權的保護。”[注]劉德良：《個人信息的財產權保護》，載《法學研究》2007年第3期。但是，通過財產權實現對個人信息的保護依然面臨現實困境。從大數據時代個人信息收集利用的現實看，由于大數據利用的資源累積效用，個體用戶希望擁有的對自身數據的控制力(例如透明性)和財產權(處分、收益)，事實上價值微不足道，而且個體獲得免費網絡服務的同時，并不在乎對自身數據進行財產權控制，即使設定個體對個人信息的財產權，也只能是限制數據的流通而不會促進個人信息的保護。大數據時代的個人信息財產權更多體現為集體性數據池(data pool)的占有和使用，[注]參見胡凌：《超越代碼：從賽博空間到物理世界的控制/生產機制》，載《華東政法大學學報》2018年第1期。是平臺建構數據庫勞動的結果，財產權的主體是數據收集利用組織，這與事實上平臺需要占有數據庫從而實現商業盈利聯系在一起。[注]參見胡凌：《商業模式視角下的信息/數據產權》，載《上海大學學報(社會科學版)》2017年第6期。因此，大數據時代以個人財產權方式保護數據信息并促進其使用是低效率的，也因此有學者主張個人信息應該作為公共產品進行保護。[注]參見吳偉光：《大數據技術下個人數據信息私權保護論批判》，載《政治與法律》2016年第7期。

總之，以個人控制為核心的個人信息權利保護，經歷了依賴隱私合理期待和個人財產保護的發展歷程，但面對大數據技術下個人信息全方位收集和無限次利用，個人信息早已脫離了信息主體的實際控制，個人控制這種核心權能已經無法發揮作用，個人信息的控制主體已經從個人變為社會組織和政府機構，控制權能也已經從個人實際掌控變為組織責任承擔。大數據時代，當個人信息實際上由個人不間斷的生產而又脫離個人控制時，個人信息的社會資源性特征越發明顯，對于個人信息權利的保護必須在時代背景下，在促進個人信息有效利用和安全、秩序維護的過程中，重新思考個人信息的權利保護問題。

(三)個人信息處理原則適用的無力

1980年經濟發展合作組織(OECD)制定的個人信息保護指南(OECD Guidelines)中明確規定了個人信息處理的八項原則：收集限制、信息質量、目的限定、利用限制、安全維護、公開透明、個人參與、責任明確原則。[注]參見周漢華主編：《域外個人數據保護法匯編》，法律出版社2006年版，第12-13頁。OECD 指南構成了國際上現行個人信息保護法的原則基礎，代表了前信息時代個人信息法律保護的核心架構。這八項原則的核心是個人信息主體知情同意(明示或默示)、個人信息使用目的限制(目的明確、最小化使用)以及個人對信息的控制(公開透明、參與、修改、刪除權等)，體現了以個人控制權能實現為核心的保護制度建構。這些原則的出臺和使用建立在實際上個人信息有限和可控的前信息時代，數據庫的使用邏輯是必須尊重提供信息的個人。但大數據技術下的個人信息與主體是一種幾乎完全分離的狀態，不僅無處不在的隱形監控使得個人無法控制個人信息，而且個人信息處理鏈條拉長為遠離個人控制，從而使原有的個人信息處理原則根本無法適用。

首先，知情同意原則的尷尬境地。知情同意原則要求，除非例外排除規定，個人數據的獲得要經過數據主體的明示或默示同意。歐盟1995年《數據保護指令》便規定了數據主體明確表示同意這一原則，并在此基礎上規定了詳細的默示同意的類型。[注]參見周漢華主編：《域外個人數據保護法匯編》，法律出版社2006年版，第46頁。在此原則下，網絡平臺和機構在收集個人信息之前需要發布隱私聲明，告知用戶個人信息收集利用的目的、范圍，個人需同意隱私聲明，對收集和利用行為進行合法授權。大數據時代，網絡的全覆蓋導致隱私聲明成為加重機構和個人負擔的設置，一方面，網絡平臺并不認真對待隱私聲明，另一方面用戶不選擇同意就不享受網絡服務，而用戶一般也不會費神閱讀冗長的隱私聲明，只是形式主義地點擊同意，用戶的知情同意權被架空。更重要的是，在個人信息密集收集與多方流轉的生態系統中，用戶在很多情況下對其信息的收集并不知情，難以對第一方收集者行使權利，更遑論向缺乏直接聯系的第三方機構行使控制權。[注]參見范為：《大數據時代個人信息定義的再審視》，載《信息安全與通信保密》2016年第10期。由此，知情同意原則變成了一種擺設。

其次，個人控制原則的無效。個人控制原則是落實個人信息權利的設置，即個人對數據控制者使用其個人信息有全程參與、知情了解并能夠要求刪除、糾正、補充的權利。前信息時代，個人信息主體與數據處理者的聯系基本上是單方的、一元的，主張個人對其信息進行控制是可以操作的，個人實際上在進入數據處理之初就能選擇數據處理的主體。但是大數據技術突破了這種一元單方聯系，用戶面臨的不再僅僅是與服務提供商直接、單一的聯系，還要同時面對與數據中間商和數據后續利用者等多重主體的關聯。[注]參見E.g. “The White House，Consumer Data Privacy in a Networked World: A Framework for Protecting Privacy andPromoting Innovation in the Global Digital Economy”, J.of Priv. and Confidentiality 2, 2012, p95-142 . http: //www.whitehouse.gov/sites/default/files/privacy-final.pdf. 2018-04-18.另外，個人信息作為個人行為的痕跡記錄，每天都在大量生產，這種生產成為個人的一種社會生活常態，即便面對第一方收集機構，個人業已逐漸喪失控制權。2012年歐盟數據保護指令修改，增加了對“被遺忘的權利或刪除的權利”的保護，[注]參見邵國松：《“被遺忘的權利”：個人信息保護的新問題及對策》，載《南京社會科學》2013年第2期。但實際上，強調遺忘權或者刪除權正是個人信息控制權不再起作用的表現。

最后，目的限制原則的空置。OECD指南明確規定“收集個人數據的目的應該在數據收集之前列明，并且隨后的使用應限于實現這些目的，或者那些和前述目的并非不相容的目的，這些情況應當在其目的改變時列明。”[注]周漢華主編：《域外個人數據保護法匯編》，法律出版社2006年版，第13頁。列明收集個人信息的目的并且不能超出這一目的使用個人信息，這一限制可以保證個人信息主體事先知道個人信息利用的目的和范圍，并能夠控制數據收集在事先約定的范圍內進行。但是，大數據時代的信息挖掘恰是突破目的限制的技術，通過數據挖掘開發出信息利用的潛在價值并創造更大的社會價值。簡單來說，大數據技術通過海量數據匯總與挖掘，使得信息作為資源在社會經濟、秩序管理等方面發揮越來越大的作用和價值，這樣一來，所謂的個人信息使用目的事前列明已經是不可能的事情，也不符合大數據技術和時代的要求，在該原則下引申出的信息最小化使用也無法落實。

由此可見，個人信息法律保護雖然在世界范圍內已有成熟的制度建構，但是如果不能及時適應大數據時代要求，已有的法律保護將阻礙信息資源的有效利用。在我國，個人信息的法律保護尚未建立，大數據技術變革已經撲面而來，學習已有的個人信息法律保護制度經驗固然重要，但是如果不能跳出前信息時代的制度藩籬，個人信息的法律保護就會始終面臨實踐困境。

三、我國個人信息法律保護的實踐困境

我國并沒有經歷前信息時代個人信息法律保護的充分發展，由于受國外已有的成熟理論的影響，基本上還是用前信息時代的個人信息法律保護思維應對實踐問題，這導致了大數據時代我國并不完整的個人信息法律資源一直滯后，無法滿足實踐需要。

(一)立法保護的滯后

面對世界范圍內個人信息專門立法保護的潮流，我國早就有學者提出制定個人信息保護法的建議，并且制定了學者建議版的個人信息保護法。[注]參見周漢華：《〈中華人民共和國個人信息保護法〉(專家建議稿) 及立法研究報告》，法律出版社2006年版；齊愛民：《中華人民共和國個人信息保護法示范法草案學者建議稿》，載《河北法學》2005年第6期；《個人信息保護法》(專家建議稿)即將發布，http://mp.weixin.qq.com/s/vT7EK3QdRGzovkr5ibDBDg，2018年3月28日訪問。但我國個人信息保護專門立法一直難產，實踐中確立了個人信息分散立法保護的模式。到目前為止，實質規定個人信息保護內容的法律主要有：2009年2月28日實施的《刑法修正案(七)》、全國人民代表大會常務委員會2012年12月28日實施的《關于加強網絡信息保護的決定》(簡稱《決定》)、2014年1月1日施行的《消費者權益保護法》、2015年11月1日施行的《刑法修正案(九)》、2017年6月1日施行的《網絡安全法》和2017年10月1日施行的《民法總則》。其中，《民法總則》和刑法的規定下文專門討論，這里暫且不論。

總體上看，個人信息分散立法保護主要包括以下內容：第一，個人信息的界定?！稕Q定》給出了個人電子信息的界定，采用的是識別個人身份+涉及個人隱私的定義方式；《網絡安全法》則把個人信息擴展為“以電子或其他方式記錄的”、“能夠單獨或者與其他信息結合識別自然人個人身份的各種信息”，是直接識別與間接識別相結合的定義，并列舉了“姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等”具體個人信息。第二，明確了個人信息處理原則?！稕Q定》中明確了合法、正當、必要的原則，明示收集、使用信息的目的、方式、范圍原則，經被收集者同意原則，以及不得違法、違規、違約收集使用信息原則。這些原則也規定在了《消費者權益保護法》和《網絡安全法》中。第三，信息主體的權利?！稕Q定》規定了刪除權，《網絡安全法》則在此基礎上規定了刪除或者更正權。第四，處罰措施。上述法律規定了常規的民事、行政和刑事處罰措施，除此之外，《決定》增加規定了“記入社會信用檔案并予以公布”這一處罰。第五，其他規定《決定》明確規定了網絡實名制，《網絡安全法》則對經過處理無法識別特定個人且不能復原的個人信息做了信息主體同意提供的例外規定。

上述立法中的個人信息保護，內容雖然簡略，但基本上涵蓋了前信息時代個人信息法律保護的核心內容，包括可識別性個人信息界定、個人控制權的保護以及以知情同意為核心的原則設定。但我國個人信息分散立法保護的缺陷十分明顯，主要體現為保護對象不明確、信息主體權利不完整、權利義務不完善和法律責任不到位等，[注]參見王秀哲：《我國個人信息立法保護實證研究》，載《東方法學》2016年第3期。學者們一直倡導通過制定專門的個人信息保護法解決以上分散立法保護的弊端，通過專門立法實現完整的個人信息法律保護。[注]參見張新寶：《從隱私到個人信息：利益再衡量的理論與制度安排》，載《中國法學》2015年第3期；周漢華：《探索激勵相容的個人數據治理之道——中國個人信息保護法的立法方向》，載《法學研究》2018年第2期。但是，值得注意的是，在大數據技術挑戰面前，如果不能跳出前信息時代的舊有思維，依然圍繞可識別性界定個人信息和個人控制權能進行立法，根本無法應對大數據時代個人信息保護范圍、權利內涵、保護原則的變化。其實，立法追求嚴謹與內容明確的特點并不適應大數據技術之下個人信息利用的變動性，通過立法保護個人信息通常會滯后于大數據技術要求，這也正是歐美國家近年來不斷修改已有的個人信息保護法的原因。[注]參見范為：《數據時代個人信息保護的路徑重構》，載《環球法律評論》2016年第5期。大數據時代，個人信息法律保護不是單純的權利實現，而是要在個人信息有效利用與權利行使之間尋找平衡，由此決定了個人信息立法保護必須轉換思路并重構內容。

(二)刑法保護的被動

在法律不完善的前提下，針對個人信息濫用導致嚴重社會危害，只能由刑法出面進行滅火，這就是我國個人信息立法保護不完善，但是刑法保護先行的原因。《刑法修正案(七)》增加規定了出售、非法提供公民個人信息罪和非法獲取公民個人信息罪，前一罪名主要規范國家機關和金融、電信、交通、教育、醫療等公共服務機關及其工作人員?！缎谭ㄐ拚?九)》取消了特定主體限定，針對不特定對象規定了“侵犯公民個人信息罪”。為了應對刑法修正案中侵犯公民個人信息罪的規定過于抽象、無法準確定罪量刑以及法律適用分歧大等諸多問題，2017年6月1日最高人民法院和最高人民檢察院聯合發布了《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(以下簡稱《解釋》)。從而形成了比較完整的個人信息刑法保護規定。

侵犯公民個人信息罪的刑法規定，是從維護社會秩序出發，對于侵犯個人信息導致的公民人身財產權損害進行的刑法救濟，在打擊利用個人信息犯罪方面作用巨大。但由于個人信息保護的前置法律貧乏，刑法的個人信息犯罪規定必須解決許多不屬于刑法規定的內容，由此導致刑法救濟的被動性。目前，侵犯公民個人信息罪的具體適用必須仰賴《解釋》正是這一被動救濟的體現，而《解釋》在實踐應用中并不能起到應有的作用。例如，由于沒有權威發揮作用的個人信息定義，司法解釋只能從打擊犯罪的功利主義出發，采取“形式上的廣義可識別性+活動情況”對個人信息進行界定，[注]參見于志剛：《“公民個人信息”的權利屬性與刑法保護思路》，載《浙江社會科學》2017年第10期。這一界定強調對“行蹤軌跡”信息的重點保護。但懲處“獲取、提供、出售行蹤軌跡”信息的行為，無非是從預防嚴重犯罪的角度對犯罪的預備或手段行為的一種制裁，由于后續的嚴重犯罪行為有獨立的刑法制裁，過于強調手段或預備行為的刑法制裁會模糊刑法保護個人信息的應有法益，實際上體現了一種屈從于現實的權宜之計或無奈之舉。再比如，對“違反國家有關規定”的解釋，擴大個人信息違法性范圍的努力，與實踐中幾乎沒有規章規定個人信息保護的實際相違背，根本無法適用。

大數據背景下，以刑法一己之力并不能完成個人信息法律保護的任務，我國《刑法》中的“侵犯公民個人信息罪”不過是面對危害后果的應急反應，雖然刑法的社會危害防治會暫時發揮作用，但也會引發更多實踐中的問題。由此也決定了《解釋》的內容越細化、規定的越具體，就會暴露出越多的問題，越解釋越無力幾乎就是《解釋》的宿命。所以，只有把個人信息的刑法保護放置到個人信息法律制度建構的整體框架下，才能對《刑法》及其《解釋》的局限性進行突破。

(三)民事侵權司法救濟的無力

總體上看，我國個人信息民法保護相當貧乏，民事侵權的司法救濟也幾乎無所作為。新制訂的《民法總則》雖然在第111條規定了“自然人的個人信息受法律保護”，但這一條文規定的“個人信息”，究竟是個人信息法益，抑或個人信息權，學者有不同的解讀。雖然有學者做了個人信息權的論證，[注]參見楊立新：《個人信息：法益抑或民事權利——對〈民法總則〉第 111 條規定的“個人信息”之解讀》，載《法學論壇》2018年第1期；郝思洋：《個人信息權確立的雙重價值———兼評〈民法總則〉第 111 條》，載《河北法學》2017年第10期。但是由于《民法總則》的規定比較概括，還無法直接適用保護個人信息。另外，《民法總則》第110條對隱私保護的單獨規定，也引發了隱私與個人信息保護如何協調的問題。[注]參見李永軍：《論〈民法總則〉中個人隱私與信息的“二元制”保護及請求權基礎》，載《浙江工商大學學報》2017年第3期。

民事領域的侵犯公民個人信息的糾紛解決主要還是依靠2014年6月23日最高人民法院發布的《關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規定》，其第12條專門針對網絡用戶或者網絡服務提供者利用網絡公開個人信息的侵權行為做了規定，列舉了自然人基因信息、病歷資料、健康檢查資料、犯罪記錄、家庭住址、私人活動等需保密的個人隱私，并做了約定公開、社會公共利益、科研、自行公開、合法渠道獲取、法律或者行政法規另有規定的例外排除。這一規定成為法院審理侵犯個人信息民事案件的直接依據。但實踐中，個人信息侵權的民事判決并不多。筆者以侵犯公民個人信息為案由搜索中國裁判文書網，民事案由只有8個判決[注]中國裁判文書網，http://wenshu.court.gov.cn/，2018年4月18日訪問。，除了2個是從個人隱私的角度保護個人信息的外，只有2個涉及個人信息侵權，一是毛志剛合同糾紛二審民事判決書((2017)渝01民終4750號)；二是黃啟紅與深圳市恒波商業連鎖股份有限公司一般人格權糾紛一審判決((2013)深羅法民一初字第1962號)。按照個人隱私、個人信息為案由搜索，則有民事案由317個，時間跨度從2010年到2018年，而根據判決內容，基本上是對個人隱私侵權的救濟。在個人信息、隱私權民法保護均不完善的前提下，我國司法機關采取了將個人信息附屬于隱私權進行保護的方式。“然而伴隨著隱私權的現代性轉向，司法實踐中個人信息的附屬保護模式卻遭遇了困境。無論從權利配置還是從個人信息保護機構的運作來看，個案裁決的救濟方式都無法建構完整的個人信息保護框架?！盵注]張建文、高完成：《司法實踐中個人信息的保護模式及其反思———以隱私權的轉型為視角》，載《重慶郵電大學學報(社會科學版)》2016年第3期。

司法實踐中直接侵犯個人信息的民事糾紛案件并不多，一方面表明我國個人信息民法保護先天不足，另一方面也不能忽視大數據時代單個個人信息的民事侵權已被量化的數據庫侵權所吞沒的現實。由于大數據時代個人信息權利的異化，個人信息的資源性利用遠大于其保密價值，所以，著眼于個體性權利的民事侵權救濟并不能有效發揮作用，必須針對平臺企業和國家機構的數據庫開發利用重新設定民事責任。而從司法裁決多強調隱私權保護來看，個人信息的隱私權屬性有重要價值，尤其是在數字化人格發展的今天，注重個體性地位的最好體現仍然是隱私權保護。

四、大數據時代個人信息法律保護的制度重建

個人信息法律保護的制度重建是大數據時代世界各國共同面對的問題。當個人信息法律保護制度面臨變革時，作為后起國家，我們應主動適應大數據的時代要求，不要簡單照搬或受制于國外制度，而要立基于解決實踐困境，從大數據信息有效利用的視角出發，重新思考和定位我國個人信息法律保護制度建構。

(一)個人信息標準的立法替代

我國個人信息保護專門立法一直難產，一定程度上暴露出了無法通過簡單的立法解決個人信息法律保護的現實困境，尤其是面對大數據技術的飛速發展，立法保護的學術觀點越發需要關注多方利益，趨向于解決復雜的社會關系。繼張新寶教授提出我國個人信息保護法應以“兩頭強化，三方平衡”理論為基礎進行制度設計的方案后；[注]參見張新寶：《從隱私到個人信息：利益再衡量的理論與制度安排》，載《中國法學》2015年第3期。周漢華教授進一步提出了激勵相容的個人信息立法方向，認為通過激勵信息控制者主動保護個人信息安全，實現對個人信息權利的保護，立法需要改變原來的命令控制式，而尋求多元互動。[注]參見周漢華：《探索激勵相容的個人數據治理之道——中國個人信息保護法的立法方向》，載《法學研究》2018年第2期。多方利益平衡以及多元互動的立法導向是對大數據時代個人信息利用的復雜特征的應對，但是，立法本身的技術性要求以及嚴密論證、漫長民主程序等都不適應這一重任，與大數據相適應的立法期待展現了相當的難度。其實，多元互動的激勵相容機制恰恰表明需要采取多元制度建構，并不只有立法一途。

在個人信息保護立法空缺的情況下，與技術相連的個人信息保護標準起到了部分立法替代作用。由工業和信息化部起草2013年2月1日起實施的《信息安全技術公共及商用服務信息系統個人信息保護指南》是我國關于個人信息保護的第一個國家標準。[注]《信息安全技術公共及商用服務信息系統個人信息保護指南》http://baike.baidu.com/link?url=iPlrAXvQ_OtDMQyNBJdNnjohK7XervxdJQ1OB7fGJVRmJIPtfYBGg6w8Zseg7Z_B3F_wsbOlNyX1bDzmPE61hq，2018年4月12日訪問。2014年3月15日中國科學技術法學會、北京大學互聯網法律中心聯合發布了《互聯網企業個人信息保護測評標準》，這是我國首部互聯網領域由獨立第三方學術機構倡議的個人信息保護測評行業標準。[注]《互聯網企業個人信息保護測評標準發布》，http://tech.sina.com.cn/other/2014-03-17/11409247350.shtml；《互聯網企業個人信息保護測評標準》http://vip.chinalawinfo.com/newlaw2002/slc/slc.asp?gid=220993，2018年4月12日訪問。2018年1月，國家標準《個人信息安全規范(GB/T 35273-2017)》(以下簡稱《規范》)正式發布，盡管這是一部推薦性的國家標準，不具有強制力，但仍引起了學界與實務界的廣泛關注。在關于《規范》的各類解讀中，有聲音認為規范的發布及時地填補了現今個人信息保護中諸多技術細節與實操領域的規范空白；也有聲音認為，這部國家標準比歐洲與美國對于個人信息保護的要求更為嚴格，可能會影響行業的發展。[注]《個人信息安全規范》史上最內行解讀，http://news.163.com/18/0206/02/D9U7CB32000187VE.html，2018年4月16日訪問?？傮w上看，在網絡安全法治框架下，《規范》立足信息安全的維度，厘定、闡明了個人信息安全保護領域的諸多重要問題，如“個人信息”的基本定義、個人信息安全的基本要求等；并突出了個人信息全生命周期動態調節的機制特色，為提升公民意識、企業合規和國家監管水平提供了新的業務參照和行為指引。[注]同④。

技術標準因其沒有直接的立法效力，其效用往往被忽視，但是，其可因企業自愿遵守而產生約束力；行政機關可參照做出行政決定、采取非正式監管措施，法院也可以援引作為裁判說理依據；而規范一旦被法律、法規、規章、強制性標準援引，便可在相應規范中產生與之同等的法律效力。[注]參見許可：《試論〈個人信息安全規范〉的法律效力》，http://mp.weixin.qq.com/s/ZxadBeYTW9Idm0neWwhk8Q，2018年4月16日訪問。大數據技術的特征，決定了對個人信息的利用是一種可以用技術標準框定的規范性操作，這在維護個人信息利用秩序和安全方面意義重大。由于標準的技術性、中立性、客觀性，以及隨著技術進步的變動性，用標準來確定個人信息法律保護的基本問題更為恰當。個人信息保護標準不僅更能靈活應對大數據技術不斷發展的要求，解決立法的滯后性；而且標準本身的靈活性更有利于大數據時代的個人信息安全、利用以及保護的需要。在標準替代立法的局面下，并不是用標準完全取代立法，而是把能夠技術規范、標準化的內容拿到標準中來，或者明確已經被標準確定的內容，以技術解決技術帶來的變動性問題，在此基礎上，放棄制定大而全的個人信息保護專門法律的做法，重點制定適應大數據時代要求的特別保護法。

(二)多方互動的隱私風險評估機制建構

如前所述，以個人控制為核心的個人信息權利保護已經在大數據技術面前發生異化，脫離個人掌控的個人信息利用決定了事后侵權責任無法發揮作用?！半[私風險評估”( Privacy Impact Assessment，PIA) 是衡量隱私風險的有效工具，實踐中已發展為標準化操作流程，成為國際上日益認同的理念與最佳實務。場景與風險導向的新思路認識到，大數據時代紛繁復雜的個人信息處理場景中，前端的、靜態的遵循知情同意的框架已經不足以應對嚴峻的隱私挑戰，必須及時扭轉思路，在個人信息處理所處的具體場景中進行動態的風險控制，即變僵化的合規遵循為靈活的風險管理，促進個人信息的“合理使用”，重點規制個人信息的“不合理使用”行為。[注]參見范為：《數據時代個人信息保護的路徑重構》，載《環球法律評論》2016年第5期。

隱私風險評估的理論基礎是承認個人信息法律保護的隱私權價值，雖然個人信息的財產權保護[注]參見劉德良：《個人信息的財產權保護》，載《法學研究》2007年第3期。以及個人信息權利[注]參見王利明：《論個人信息權的法律保護——以個人信息權與隱私權的界分為中心》，載《現代法學》2013年第4期。保護的主張都有很好的論證，但是，在大數據帶來的現代權力控制局面下，個體獨立與尊嚴保護的人格利益更為重要，而對于這一人格利益的保護必須借助于信息性隱私權保護實現。[注]參見王學輝、趙昕：《隱私權之公私法整合保護探索———以“大數據時代”個人信息隱私為分析視點》，載《河北法學》2015年第5期；李延舜：《個人信息財產權理論及其檢討》，載《學習與探索》2017年第5期。如前文所述，我國隱私權價值取向的個人信息保護已經在司法實踐中有了一定的積累，但由于我國隱私權的法律保護也不發達，如何整合個人信息與隱私權保護的關系，還需要進一步深入研究。而隱私風險評估作為動態的機制，能夠在法律不完善時借助多元社會力量實現，這在我國已經有了一定的基礎。

早在2010年奇虎360與騰訊網絡大戰(業界稱為“3Q”大戰)爆發時，就引發了企業主動承擔保護個人信息隱私責任的爭議。[注]參見王秀哲：《信息社會個人隱私權的公法保護研究》，中國民主法制出版社2017年版，第242頁。在越來越激烈的互聯網平臺競爭中，攻擊對手侵犯個人隱私確實可以起到爭奪用戶的目的，也引發了互聯網企業主動保護個人隱私的自覺性。3Q大戰后，騰訊公司和360公司都適時修改了自己網站的隱私聲明(政策)，其中，由于主動挑起騰訊不保護個人隱私的爭端，在保護個人隱私這個問題上，360似乎想做出業界的榜樣。2018年3月1日最新版《360用戶隱私保護白皮書3.0》發布，在白皮書中，360自述對自身的安全產品提出了更高的要求，尤其指出，360是國內首家設置首席隱私官(CPO，Chief Privacy Officer)一職的公司，并提出“四不三必須”行為規范，且呼吁互聯網同業者加以補充和完善。[注]《360用戶隱私白皮書》，http://www.360.cn/privacy/v3/bpsxy.html，2018年4月18日訪問。面對360公司亮出的隱私保護大旗，業內企業認為360是在以隱私保護為由進行不正當競爭，曾經引發了眾多網絡平臺對360的聯手抵制，但是事件的發展讓用戶看到了平臺保護個人信息隱私責任的重要性，反過來促使各個網絡平臺制定和完善自家的隱私聲明。

上述事件展示了我國個人信息保護的行業自律發展。大數據技術下個人信息利用的無序呼喚行業自律，行業自律是多元互動治理的一個必要組成部分，雖然企業自發的隱私聲明并沒有發揮保護個人信息的實效，但通過行業自律可以引導隱私聲明與隱私風險評估銜接，促成個人信息隱私保護的實現。此外，第三方平臺的介入能夠起到更為客觀的監控效果。在大數據技術支撐下，我國的第三方監管也有了發展。2017年12月28日，南都個人信息保護研究中心發布了《2017個人信息保護年度報告》。該報告包括1550家網站和APP的隱私政策測評結果、南都在系列隱私調查中發現的問題、年度熱點隱私事件盤點，以及2018年可能出現的新問題預測。據悉，這是國內首份由媒體發布的個人信息保護報告。南方都市報編委虞偉表示，從2016年開始，南都通過多篇調查報道，逐漸深入了個人信息安全領域的話題，我們正在嘗試以新聞報道與第三方評測監督的方式，促進業界對個人信息安全形成共識。[注]南都報告：1550家平臺隱私政策測評結果出爐 超八成透明度低，http://news.163.com/17/1229/09/D6QJ2F8M000187VE.html，2018年4月18日訪問。

總之，大數據技術推動了我國個人信息產業的發展，企業有自律的原始動力，第三方監測體現了數字經濟發展的需求。政府的監管應該關注這一動向，通過引導和介入完善多方互動的隱私風險評估機制建構。

(三)信任關系下的個人信息民法保護完善

社會交易和交往秩序的維護有賴于民法，而民法對個人信息的保護正在接受大數據技術的挑戰。有學者研究指出，現行的個人信息保護法律規范，以“主客體二元對立”思維下的“理性人”理念為指引，通過強調個人信息主體的自主支配、自主決斷和自己責任，來平衡個人信息的使用和保護。但是在大數據時代，個人信息保護的“理性人”理念面臨著諸多困境，“理性人”的構建，抹去了具有“社會性”和“感性”特征的“信賴”，將現實中本來與他人和社會緊密聯系的“完整”的人，塑造為與他人和社會分離和對立的理念人。以此為價值追求的個人信息保護法律規范，忽視信息社會中信賴的日益重要性，內含信息主體與信息控制者間的緊張對立關系，難以有效增進他們之間的互信。[注]參見吳泓：《信賴理念下的個人信息使用與保護》，載《華東政法大學學報》2018年第1期。這一信賴利益的提出與美國學者Helen Nissenbaum教授的隱私的情境脈絡完整性理論的切入點和關切點相同?！扒榫趁}絡完整性”或者“脈絡完整性”這個隱私權理論，將“個人資訊保護”與“在特定情境脈絡下的個人資訊流動規范”兩者互相連接起來，強調資訊的流動方式必須符合特定情境脈絡對于資訊流動的期待，也就是符合特定情境脈絡的社會規范。[注]參見劉靜怡：《社群網路時代的隱私困境：“以Facebook為討論對象”》，載《臺大法學論叢》2012年第3期。

大數據時代，個人信息的產生和利用無處不在，個人信息并不只是標明個人身份的簡單代碼，而是人們傳遞感情、進行社會交往和商業活動的基礎資源和活動記錄。所以需要在具體環境中認識個人信息的保護需求。具體情境中如何處理個人信息的利用和保護？這取決于維系社會交往存在的倫理基礎，即信任責任關系。這種信任關系下，個人信息主體對于超出該情境的個人信息流通具有要求接受者不予擴散的保密義務。美國學者索洛韋伊認為，保密性這一理論是一項對各種各樣的人際關系予以維持都必不可少的理論。美國隱私權法遵從的防止隱私泄露規則注重保護原告的感情與不可侵犯的人格，而與此不同的是，英國信任責任法遵從的防止秘密泄露規則注重保護人與人之間互相信任與互相依靠的社會關系。[注]參見[美]尼爾M. 理查德、丹尼爾J. 索洛韋伊：《隱私權的另一種路徑：信任責任法的復興》，孫言譯，載張民安主編：《隱私權的比較研究——法國、德國、美國及其他國家的隱私權》，中山大學出版社2013年版，第45-47頁，第79-87頁。通過信任責任法確立的信任關系，能夠實現信息利用者負責任地利用個人信息。

我國《民法總則》第111條已經明確寫入保護個人信息，該條內容雖然還有待于具體法律進行細化，但是根據《民法總則》第7條規定的誠信原則，可以通過民事信任責任法的建立保障個人信息安全和不受侵犯。在大數據時代，由于個人信息的廣泛利用性，個人的知情同意已經退位給使用者承擔責任，在個人信息的有效利用中，使用者與個人信息主體之間的信任關系的建立非常重要，也即可以通過信任關系建立良好的個人信息利用秩序。在我國，民法中的誠實信用原則一直面臨現實挑戰，社會信用制度尚沒有建立，信任責任法極其缺乏，如能在個人信息責任制度方面進行突破，不僅有利于個人信息利用秩序的建立，也無疑會為大數據時代社會信用制度的建立奠定基礎。而借助于大數據技術，信息責任法的建立并不困難，在各種網絡平臺推出個人信用評估的當下，利用大數據技術對個人信息控制者即網絡平臺本身的信用進行評估更為重要，當然，這一任務需要借助于媒體、第三方平臺以及政府的推介共同完成。

綜上所述，個人信息的法律保護是隨著大數據技術的發展變動最為劇烈的領域，鑒于大數據帶來的個人信息利用特征的變化，美國和歐盟都在積極通過修法進行應對，我國雖然在個人信息法律保護方面一直落后，但是，大數據技術的發展帶來了迎頭趕上的契機。雖然以權利為核心的前信息時代的個人信息法律保護并沒有完全過時，卻也是必要的積累，我們應在做好補課的同時，適應大數據時代要求，從多元、變動的視角做好個人信息法律保護的整體制度建構。