個人數據保護的法治難題與治理路徑探析

劉學濤

摘要：信息時代的來臨在給人類社會帶來深刻變革的同時，也在法律領域蘊藏著一場深刻的革命。信息技術的迅速發展在為我們生活提供便利的同時也在使得公民個人權益遭受損害，究其原因主要在于個人數據保護的相關法律問題還有待解決。為了更好地保護個人數據，我們需要從個人數據保護面臨的形勢、界定標準及主要范疇、原則、價值四個層面作為邏輯理論起點，進一步分析可以發現個人數據保護主要面臨著數據權屬不明、專項立法滯后、監管機構缺失、合作交流較少、自律機制不夠五大法治難題。為了更好解決這一問題，需要從明確數據權屬、加快制定《個人數據保護法》、設立監管機構、加強國際合作、建立自我規制路徑入手，以期對我國個人數據保護機制的建構有所裨益。使得個人數據保護將持續發展。

關鍵詞：個人數據;泄露;數據權屬;監管;規制

中圖分類號：D923 文獻標志碼：A 文章編號：1003-9945（2019）02-0019-09

引言

“互聯網+大數據+人工智能+”時代已經悄然來臨，伴隨著中國經濟的飛速發展和科技的巨大進步，信息時代真正地來到我們的身邊，信息的含金量及其對日常生活的影響日益彰顯。信息化時代，數據收集和數據共享的規模急劇增長，數據已經成為經濟增長和社會價值創造的源泉，其實早在2011年世界經濟論壇就已經將個人數據定義為新的資產類型，數據成為商業創新的源動力。在“軟件定義一切”的智能時代中，無處不計算，萬物皆互聯，而計算和互聯的基本要素是數據。數據在我國的發展日新月異，其越來越成為人們學習、工作、生活的新空間，越來越成為獲取公共服務的新平臺。數據充分激活了人的能動性，并將其置于社會發展的嶄新地位，相應的社會運作方式也開始發生了嶄新的變化，“共享”、“平臺”等概念開始迅速被安裝進人的思維和行動邏輯中。數據的不斷更新便利了人們的生活，但同時也帶來了困擾，從最近熱議的谷歌數據泄露到國內攜程的“大數據殺熟”，數字時代的技術善惡論被推到了風口浪尖。數據的使用、共享和流通正在成為必須和必然，圍繞數據所有、使用、定價、交易等的討論一直是業界的熱點，尤其是對個人數據如何進行保護，找到適合中國國情的數據保護模式，是產業界和學術界都亟需解決的問題之一。

面對著數據時代日益蓬勃發展的大環境之下，如何通過法治治理保護個人數據這一核心問題思想，值得我們關注與思考的幾個重要問題分別是：首先，個人數據保護的理論基礎主要包括哪些？其次，個人數據保護面臨的法治難題分別有哪些？最后，個人數據保護的治理路徑有哪些？本文將對以上幾個問題進行初步分析與嘗試性回答。

一、個人數據保護的理論基礎

“任何一個法律部門和法學體系都必須有深厚而堅實的理論基礎和科學的理論邏輯的建構，否則這個法律部門的存在就缺乏合理性基礎，這一法學理論體系就不能稱之為現代科學。”所以，一套成熟的理論猶如構建社會制度大廈的基石，而且任何一種社會制度的形成和發展離不開一定成熟理論的指導。個人數據保護作為一項新興法律制度亦不例外，同樣需要有極為深厚的理論基礎。正是在這種理論基礎的指導和推動之下，個人數據才得以產生、發展并不斷完善。個人數據保護的理論基礎主要需要明晰以下幾個問題：首先，需要清楚個人數據保護面臨的嚴峻態勢;其次，應該明確個人數據的界定標準及主要包括的范疇;再次，總結出現行個人數據保護所遵循的原則;最后，分析出個人數據保護的兩大法治價值。通過對此四個基礎性問題的探討與分析，將為下文的法治難題解決與治理路徑建立起到很好的鋪墊作用。

（一）個人數據保護面臨的嚴峻態勢

隨著信息通信技術的應用普及，網絡數據流轉通道逐漸擴大，網絡上流通的個人數據愈加廣泛，全球個人數據安全問題日益凸顯，盜取數據資源謀求商業利益的行為日益增多，形成了明顯的黑色或灰色產業鏈。這類行為與用戶權益聯系緊密，輕則導致公民財產損失，重則危害行業發展，挑戰監管底線。在過去的2018年，外媒統計已經確認的數據泄露事件高達2，216起。去年3月發生的Faeebook事件，超過8700萬條數據被泄露和濫用;4月，國外廣受歡迎的三明治連鎖店Panera Bread因網站漏洞泄露顧客信息;8月，華住旗下多個連鎖酒店開房信息數據在暗網出售，總量近5億;11月，萬豪酒店發布公告稱旗下喜達屋5億房客信息泄露，被索賠125億美元;12月底，國民購票軟件12306的470萬條用戶數據因第三方平臺而遭到泄露。美國電信運營商Verizon發布的《2018年數據泄露調查報告》顯示，網絡犯罪所竊取的個人信息主要有支付細節、醫療記錄、憑證等，這類事件主要集中在健康醫療、住宿和餐飲業、公共服務等領域。2018年是數據泄露的灰色之年。頻頻發生的數據泄露事件原因可能包括：1.個人數據外延的擴大。技術發展讓個人數據的外延擴大，一切能識別、關聯和反映到特定個人的信息都納入個人數據范疇。海量數據的流轉往往裹挾著大量的個人信息，使其邊界日益模糊，增加了保護難度;2.技術發展的負外部性。人工智能、云計算等新技術的發展在更加依賴于數據資源的同時，不可避免地帶來了負外部性，加大了個人數據的安全風險，沖擊了個人信息保護體系。例如，勒索軟件和惡意代碼通過電子郵件、入侵服務器、攻擊供應鏈、掛馬網頁、系統漏洞傳播等方式盜取個人數據;3.監管模式的滯后。產業鏈的延長、市場主體的增加讓個人數據的多向流動成為常態，使得個人數據安全的監管牽扯到多個行業、多個領域，導致監管目標和監管任務難以區分，沖擊了傳統監管體系，提升了監管難度。

（二）個人數據的界定標準及主要范疇

個人數據與公共數據是一組相對的概念，在當前時代背景下，有必要明確其定義。截止2018年，全球近120個國家和獨立的司法管轄區已采用全面的數據保護或隱私法律來保護個人數據，另有近40個國家和司法管轄區有待批準此類法案或倡議翻。據不完全統計，當前世界上擁有個人信息保護法的國家有近90個。“General Data Protection Regulation”（簡稱GDPR），翻譯成《通用數據保護條例》/《一般數據保護條例》，是歐盟議會于2016年4月通過的關于個人數據保護的新法規，該法規完全更新了歐盟成員國以及任何與歐盟各國進行交易或擁有歐盟成員國公民數據的公司安全處理個人數據以及保證個人數據自由流動的規定，已于2018年5月25日正式生效，且是在28個歐盟成員國統一實施生效的。GDPR中對“個人數據”的概念做了明確規定。按照經濟合作與發展組織forganization for Economic Co-operation andDevelopment，OECD）理事會在1980年頒布的《關于規制個人隱私保護與跨境個人數據流通的建議》中的規定，所謂的個人數據，是指任何與可以或能夠辨別出來某一個人有關的信息。《信息安全技術—個人數據保護指南》（GB/Z28828-2012）將個人數據定義為：可為信息系統所處理、與特定自然人相關、能夠單獨或通過與其他信息結合識別該特定自然人的計算機數據。從上述相關的定義可以發現對于個人數據主要是圍繞可識別性來界定。

反觀我國國內學術界，關于個人數據的稱謂一直爭論不休（與個人數據稱謂相同的主要有個人資料、個人信息、個人隱私等，本文對其不做以刻意區分，主要采用個人數據這一稱謂）。隨著關于個人數據本身討論的不斷深入，可識別性逐漸成為判斷是否屬于個人數據的核心元素，圍繞可識別性界定個人數據也逐漸被廣泛接受。同時，現行的法律法規確定了個人數據的具體內容一種為定義加列舉式，如工信部出臺的《電信和互聯網用戶個人信息保護規定》《電信和互聯網服務用戶個人信息保護定義和分類》、中國科學技術法學會與北京大學互聯網法律中心出臺的《互聯網企業個人信息保護測評標準》、中國互聯網協會出臺的《互聯網終端安全服務自律公約》《互聯網終端軟件服務行業自律公約》、中國廣告協會互動網絡分會出臺的《中國互聯網定向廣告用戶信息保護框架標準釋義和基本指引》等均采取此種界定模式，即除了給出個人數據的一般定義外，還列舉典型的個人數據類型以及排除類型。另一種則為單純定義模式，如工信部出臺的《規范互聯網信息服務市場秩序若干規定》、國家質檢總局與國家標準委出臺的《信息安全技術公共及商用服務信息系統個人信息保護指南》、中國廣告協會互動網絡分會出臺的《互聯網定向廣告個人信息保護聲明》、國家質檢總局與國家標準委出臺的《健康信息學推動個人健康信息跨國流動的數據保護指南》、中國人民銀行出臺的《中國金融移動支付檢測規范第8部分：個人信息保護》等均使用了單純定義的方式，并未列舉典型的個人數據類型。而上述兩種模式其共同點在于都運用了定義的方式，而在定義之中都強調了可識別性對于判別個人數據的重要性。

結合目前的立法態勢，不難發現全球立法對個人數據的定義逐漸呈現趨同性的趨勢，個人數據的“識別性”構成了國際公認的一般特征。具體到我國，2012年全國人大《關于加強網絡信息保護的決定》第一條就明確規定“國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息”。因此，“一切與個人身份及行為有關的內容都可以相繼納入個人數據的范疇”。上文提及到數據泄露的原因之一可能包括個人數據外延的擴大，因此，為了使得數據泄露事件減少發生，我們有必要對其予以嚴格限定化。本文認為個人數據主要范疇將其歸納整理主要可以包括（具體參見如下圖1）：（1）身份信息，如：姓名、年齡、居住地、ID號碼、國籍、種族、民族、政治面貌等;（2）偏好信息，如：生活習慣、飲食習慣、業余愛好、行為模式、個人好惡、消費習慣;（3）網絡信息，如：網絡賬戶（昵稱）和密碼、位置、IP地址、Cookie數據和RFID標簽等;（4）社交信息，如：家庭、朋友、社會關系、成長經歷、社團組織、通訊記錄等;（5）生物識別，如：人臉、指紋、虹膜、聲音、遺傳信息等;（6）職業信息，如：職務、工作單位、收入、工作經驗、社會保險、公積金等;（7）健康信息，如：醫療、保健、運動數據等;（8）經濟信息，如：儲蓄、投資、理財、資產、負債、房產、租金等;（9）其他信息，如：性取向、宗教信仰、犯罪記錄等。

（三）個人數據保護的原則

有關個人數據保護的原則最重要的是經濟合作與發展組織在1980年頒布的《關于保護隱私和個人數據跨國流通指導原則》中有關個人數據保護的8項原則，將其可以概括為開放性、個人參與、責任、使用限制、數據質量、收集限制、特殊目的與安全（具體見表1）。

資料來源：經濟合作與發展組織

隨著8項原則的公布，許多國家以此8項核心原則為依據制定本國的個人數據保護法，并在此基礎上不斷進行補充和完善。早在1995年，歐盟就出臺了涵蓋廣泛并極具前瞻性的《個人數據保護指令》;1998年6月，美國電子工業協會、美國工商協會和AOL、IBM、Bank of America等100多家主要團體和企業成立了在線隱私聯盟（Online Privacy Alliances，OPA），發布了《在線隱私指導》;中國臺灣地區于1995年出臺了“電腦處理個人資料保護法”;次年中國香港出臺《個人資料私隱條例》。在中國大陸，2006年大連市推出針對個人數據保護的地區性規定一《大連軟件及信息服務業個人信息保護規范》;深圳于2010年提出了個人數據保護的立法起草;2019年全國兩會期間，個人數據保護再次成為熱點，在3月4日十三屆全國人大二次會議新聞發布會上，大會發言人張業遂透露，“全國人大常委會已將制定個人信息保護法列入本屆立法規劃，相關部門正在抓緊研究和起草，爭取早日出臺”。個人數據保護原則的出臺促進了相關國家法律法規制度的陸續建立，雖然我國目前尚沒有一部完整的關于個人數據保護的法律制度，但是下一步在制定具體法律法規時可以借鑒現行的規定并且將該原則貫徹到法律法規具體條文之中。

（四）工人數據保護的法治價值

近年來，隨著科技的進步與發展，尤其是網絡技術的突飛猛進，一些機構或個人無視職業道德或保密義務，不當搜集、惡意使用、出售牟利、任意泄露居民的個人數據資料，嚴重侵犯了居民依法享有的人身、財產、隱私等基本權利，破壞了正常的社會管理秩序。法治在國家治理現代化中的功能是多維度和結構性的，其最重要的功能是在于提供正當性、合法性和權威性的基礎，發揮權力規制和人權保障的功能。個人數據保護的法治價值對于個人數據保護有著深遠的影響與意義，本文將其歸納整理認為其法治價值主要在于：

1.建設法治政府的時代要求

《法治政府建設實施綱要（2015-2020年）》提出到2020年基本建成職能科學、權責法定、執法嚴明、公開公正、廉潔高效、守法誠信的法治政府。法治政府建設是現代國家政治文明的重要標志，是實現治理體系、治理能力現代化的必由之路，是全面推進依法治國的關鍵，是推進全面深化改革的重要支撐和保障，更是贏得人民信賴、鞏固黨的執政基礎的必然要求。從法治政府的建設上來看，高效的法治實施體系和嚴密的法治監督體系必須建立在法治數據的多樣化及公開、透明、互通的基礎上，而個人數據的相互疊加會組成龐大豐富的數據庫。因此，個人數據保護不僅可以使得公民權利得到不斷保障，而且也是建設社會主義現代化法治政府的時代要求。

2.改進行政服務的必然選擇

隨著公民公共利益和公共服務意識的加強，法國學者萊昂·狄冀提出“公共服務”的概念，認為“公共服務”是現代國家的基礎，主張以為公民服務為核心，強調“公民優先”，政府的職能既不是“掌舵”，也不是“劃槳”，而是“服務”，民主價值和公共利益才應該是政府及其工作人員應該關注的重點。從黨的十八大“建設職能科學、結構優化、廉潔高效、人民滿意的服務型政府”到黨的十九大“轉變政府職能，深化簡政放權，創新監管方式，增強政府公信力和執行力，建設人民滿意的服務型政府”，我國政府建設和治理已經由傳統的偏重管理演化為服務與管理并重。個人數據保護促使政府為社會經濟活動提供充分的公共安全，這是服務型政府履行公共服務職能的應有之義，也是服務型政府不斷改進服務行政的必然選擇。

二、個人數據保護的法治難題

現代信息技術構建的龐大數據庫儲藏著海量信息，我們每個人都是龐大數據的貢獻者與所有者。通過對數據的存儲、加工、分析，每一個個體的需求偏好、生活軌跡都變得有跡可循，可以為每個人量身定做私人化的方案，用戶參與度和用戶體驗得到了極大提高。利之所在，弊之所存，互聯網在解放人類生產的同時，亦帶來一些負面影響。海量個人的隱私信息被有意無意泄露，無用信息無孔不入，垃圾郵件鋪天蓋地，騷擾電話瘋狂轟炸，如何利用好這把雙刃劍，成為實現國家治理現代化繞不過去的一個重要課題。造成此種亂像的法治難題主要在于：

（一）個人數據保護數據權屬不明

“數據浪潮，洶涌來襲，與互聯網的發明一樣，這絕不僅僅是信息技術領域的革命，更是在全球范圍啟動透明政府、加速企業創新、引領社會變革的利器。”㈣關于個人數據保護是否為數據主體創設了權利，一直存在兩種對立的觀點：一種觀點認為，個人數據保護，保護的是公民既有的權利免受信息時代產生的新威脅。另一種觀點則認為，個人數據保護，保護的是公民在信息時代的新權利。在數據時代，數據已逐步產生出巨大的應用價值，個人數據保護開始被重視，但無論從理論還是實務上都還處于起步探索階段，從現階段實踐來看，在法律上關于數據權屬仍沒有明確定論，在制度設計層面上缺乏確權的過程，信息保護也就沒有了生存的基礎和靈魂。

（二）個人數據保護專項立法滯后

現代社會是信息社會，離開各種數據，人們甚至無法在現代社會中生存，更遑論發展。更重要的是，現代社會中每個成員自身的情況也已經是社會數據庫中不可分割的部分。關于個人數據的保護，我國沒有相關法律規定。與此相關的是個人信息的保護，我國已有多部法律法規涉及個人信息保護，如《刑法》《民法總則》《消費者權益保護法》《網絡安全法》《電子商務法》等都作了相關規定。但是從總體上看，相關的法律法規規定較為零散，呈現出分散立法的狀態，沒有形成體系化，這很難與高度發展的信息社會對個人數據保護要求相適應，缺乏法律保護體系成為制約我國個人數據保護的最大瓶頸。

（三）個人數據保護監管機構缺失

自提出對個人數據立法保護以來，就有設立獨立專門的機構保護個人數據的訴求，1973年瑞典《數據保護法》與法國《信息、檔案與自由法》都提出建立專門的數據保護機構。同時，歐美日等域外國家都有關于數據保護實施監管的機構。要想適當地制約行政權力、保障公民權利，其中非常重要的一個舉措就是設立一個獨立的個人數據保護機構，既能實現對市場經濟領域的監督，也能獨立地監督國家行政機關的數據使用行為。我國目前尚未搭建起專業性的監管平臺，這一組織體系的缺失導致法治政府治理效能的降低，使得數據保護處于監管真空狀態，最終導致個人數據不能為社會創造更大的價值財富。

（四）個人數據保護合作國際交流較少

當今世界，數據正被高速低成本地復制、傳播與共享，個人數據被廣泛地開發利用，個人數據安全面臨著前所未有的沖擊和威脅。互聯網給人類社會發展帶來巨大變革，讓世界真正變成了“地球村”。信息流通無國界，個人數據保護也成為了跨國界的全球性問題，任何國家都不可能置身事外、獨善其身。信息流通過程有跨界的性質，只有在統一的國際法律基礎存在的情況下，在一個國家之內開展的保護個人數據的實際措施，才能保證盡可能實施有效。歐美之間關于數據跨境安全流通已有了成文的《安全港協議》或一系列的協商合作機制，而我國在國際數據交流使用中缺少國際合作機制，導致數據在使用過程中障礙重重。

（五）個人數據保護自律機制不夠

我國非公共領域在談及個人數據保護時，大多強調自律，但考慮到網絡化時代個人數據侵權行為的隱秘性與個人因技術壁壘限制難以取證等因素，專門機關監督管理的“他律”行為不能完全實現對個人數據處理行為的有效監督。在個人通常不知個人數據侵權事實存在，也難以確定侵害個人數據權主體的情況下，我們應該意識到他律的嚴重不足，適當引入企業機關的“自律”進行監督管理。通過企業的監督管理，讓其認識到自身對于個人數據保護的重要地位，督促企業重視個人數據權的地位，杜絕過分追求經濟利益而侵害個人數據權。

三、個人數據保護的治理路徑

眾所周知，今天的人類社會已經邁入了信息化的網絡時代。在計算機與通信信息技術的推動下，個人數據的收集、運用及其儲存，也已擺脫了紙質的陳舊束縛而走向嶄新的數據庫控制模式。個人數據數字化就像一把雙刃劍，它既為人們的日常生活創造了種種便利，帶來了諸多實惠，但也為不法分子侵犯居民個人隱私打開了一扇方便之門，致使個人數據被不當收集、惡意使用、非法監控、肆意傳播的現象層出不窮，日益嚴重。一個現代化強國必然是法治強國，一個現代化的國家必然是法治現代化的國家。任何一種新型權利在法律制度上的生成、保護及其不斷發展，都是人性尊嚴得到進一步尊重和法治不斷完善的體現。面對個人數據保護所帶來的挑戰，如何從法律的層面去有效地保護，這是一個無法回避的現實問題，必須認真研究。

（一）立法應明確數據權屬

今年兩會期間，多名全國政協委員對數字經濟時代個人數據保護存在法律缺位問題提出意見建議，焦點在于數據的權屬方面。全國政協委員、公安部原副部長陳智敏對新京報記者表示，在數字經濟時代，無數公民無償提供的數據，被極少數人在無形中控制，這很危險，現在急需要在立法上明確數據的權屬問題。學界提出的所謂的“人格/財產”路徑之爭（dignity/property approach）也被有的學者批評為純形式上的，實質上并無重大區別。本文認為，個人數據應具有雙重權利屬性。就法理權利屬性而言，個人數據權具有類似肖像權、姓名權、名譽權等人格權的特征。隨著社會發展，也逐漸具備了類似所有權、收益權、處分權等財產權的屬性。數據權屬的進一步明細化將會助力物聯網、智慧城市、以及工業互聯網等數據處理生態的繁榮。在立法過程中，要把握好個人數據權屬問題，目前許多學者指出個人數據不僅是私人物品，也是公共物品，具有公共質⑤。那么在立法中也需要平衡兩者的關系。一些學者提出了“資源準入”的模式，有些學者主張利用行政法上的公物法概念加以解決。還有如特定領域的個人數據（如基因信息、生物信息），如何保護也需要在未來進一步深入研究。

（二）加快制定《個人數據保護法》

在數據時代，個人數據泄露的情況極為復雜，需要綜合運用刑事、民事、行政及科技等手段予以保護，也需要各有關方面齊抓共促。考慮到各自的行業特點與所保護法益的差異，允許特定行業存在變通條款是合理的，但前提是存在一部普遍適用的保護個人數據的成文法律文本，通過統一、規范、系統立法，協調對個人數據的保護與開發利用，避免各部門規章之間存在的法律沖突與漏洞，建立對個人數據的法律保護體系。2018年9月10日，全國人大公布十三屆全國人大常委會立法規劃，其中《個人信息保護法》《數據安全法》一并列入第一類項目立法項目，集中代表了我國法律體系對于數據保護問題的關注。當然，我國制定《個人數據保護法》時應結合自身情況將上文提到的八項原則貫穿其中。同時，由于網絡和信息技術的快速發展，加之人工智能、大數據分析等應用不斷普及，可能會面臨著許多事情均可以被數據化或者信息化，任何信息均可以合理地被認為是“個人的”。這種現象導致現實和虛擬世界、人和機器及自然界彼此間區分并不那么明顯，實現了從信息稀缺到信息豐富的逆轉，更為重要的是導致個人或者事物之間原本的獨立性、或者屬性和二元關系轉變為以互動、過程和網絡化（interactions，processes and networks）的主要關系在這樣的情況下，有學者指出歐盟的數據保護法正在面臨著成為“萬物之法”（the law of everything）的風險，從立法來看，意味著任何情況下均能夠提供最高的法律保護，但在實踐中法律規范很難得到遵守，可能會因權利濫用或者不合理使用等情況導致個人信息保護的目標落空。個人信息范圍的擴張目前已被個人信息保護研究者和實務者所認可，帶來的問題則是個人信息的概念變得過于寬泛。主流的文獻尤其關注個人信息概念的重要要素，即能否識別個人。另外，為回應科技發展，亦同時關注再識別、匿名化的算法（re-identification and de-anonymisation algorithms）等問題。如一些學者指出鑒于數據處理技術的進步和可用于分析的數據的總量巨大，絕對和不可逆轉的匿名早已不再可能。還有學者利用大數據分析得出結論認為識別和非識別信息之間的二元區分已無意義㈣。法律應當與時俱進，永葆時代性，這些問題成為我國制定《個人數據保護法》時必須要解決的問題。

（三）設立數據保護監管機構

今年兩會期間，周漢民委員建議，政府可參考美國的聯邦貿易委員會、歐盟的數據保護委員會等，也設立統一的執法機構，快速、有效地解決糾紛。經過我國香港地區的實踐檢驗，設立專門獨立的個人信息保護機構是切實可行的。本文認為可以設立國家層面的個人數據保護委員會，專門負責個人數據保護領域的工作，主要承擔推動個人數據保護法律完善和實施、督促相關國家機關遵守個人數據保護法與落實執法監管責任、開展個人數據保護行政執法、宣傳教育和國際交流合作等，個人數據保護委員會向國務院負責。同時，國家要突出個人數據保護委員會地位，健全組織機構，打通政府各個部門機構之間的關系，并配備專門的相關技術性人才，這樣更有利于個人數據的保護。

（四）加強數據保護國際合作制度建設

中華人民共和國首席大檢察官、最高人民檢察院檢察長張軍在第五屆世界互聯網大會的主要分論壇發言中表示，中國愿與各方攜手，深化國際執法司法合作，深化與法學界以及相關管理部門、網絡服務企業的合作，共同開啟大數據時代個人信息保護新的“對話窗”，推動形成個人信息保護新的“共識圈”，為個人信息司法保護、為大數據安全、為全球互聯網發展治理作出應有的貢獻。我國應積極地與相關國家展開雙邊和多邊磋商，簽訂類似于歐美的《安全港協議》或建立協商溝通機制，實現對國際數據流動保護的新突破。通過雙方、多方的共同合作，打破信息孤島，實現更深、更廣地研究。以類似的雙邊多邊渠道開展對話合作，秉承平等、互信、互利的原則，堅持雙贏多贏共贏的理念，共同打擊侵犯公民個人數據等犯罪，強化個人數據法律保護。

（五）引導行業建立自我規制機制

在信息流通無處不在的今天，單純依靠行政機關運用行政權監管個人數據的使用情況是不可能的，政府的資源有限，因而通過引導行業自律機制監督行業內使用個人信息的情況，既能達到保護個人信息安全的目的，又能節約行政資源，同時也能促進社會組織發展與現代管理制度的革新。自治規則的實施主要依賴于行業自治組織采取行動，企業需要建立起與專業網絡安全廠商合作的意識，不斷發現問題、解決問題，保持對數據安全持續和穩定的投入，同時關注網絡安全形勢的發展，不斷為用戶數據加上“安全鎖”。企業需要建立相應的數據保護制度。近年來企業個人數據泄露事件頻繁發生，導致信息主體所享有的合法權益正不斷受到侵害，探討企業和行業的自我規制刻不容緩，有學者建議應當結合企業在個人數據處理各個環節中存在的問題，從企業管理、司法保護以及行政監管幾個層面加以應對，這些應當也是未來法治發展中的重要內容。

結語

總而言之，在當今信息化時代，個人數據既不再是隱私權的客體，也不是人格權衍生出的財產權的組成部分，而成為國家、數據企業和個人共享的寶貴數據資源。因此，關于個人數據的立法不應再狹隘地局限于個人利益或私權保護，應側重規范信息資產合理開發中個人利益和社會公共利益的平衡，應更好地發揮個人數據在促進個人全面發展和推動社會進步中的公共產品作用，這是大勢所趨，也是我國法律適應時代發展需求的必然選擇。未來，數據使用的方法和模式均是過去難以想像的。由人工智能、機器學習驅動的數據分析與信息保護的目的限制原則會發生沖突，這也導致數據驅動的產業的所有信息都會與人有關。機器學習的整合性方式需要提前確定目的，這將為相關的研究設計明確可靠性和效率。問題是很難對機器學習加以提前預設，這導致個人數據的法治建設中面臨著巨大的挑戰。科技的發展，社會的進步，終極目標是讓人類更安全，更自由。通過構建個人數據保護制度，確保數據主體的充分權力，促進個人數據在產權清晰、保障有力的制度框架下發揮更大的價值，協力維護個人數據安全，共筑網絡強國之夢，從而使我國能夠緊跟數據信息時代的發展潮流。