我國個人信息保護的立法回應與展望

禹 竹 蕊

(中共四川省委黨校 黨史黨建教研部，成都 610072)

在信息社會，信息成為交往互動的第一要素，信息流動是人與人、人與社會相互增進了解、建立良性互動的必要前提。信息在很大程度上不再只是一種資源，更是一種重要的生產力要素。“互聯網+”以及“大數據”的迅速崛起，強勢地改變了傳統的社會治理模式，也豐富了公共管理的方式與技術。(1)2015年，國務院發布的《促進大數據發展行動綱要》指出：“信息技術與經濟社會的交匯融合引發了數據迅猛增長，數據已成為國家基礎性戰略資源，大數據正日益對全球生產、流通、分配、消費活動以及經濟運行機制、社會生活方式和國家治理能力產生重要影響?！彪S著信息共享于社會各個領域，社會治理的整個流程都充斥著信息的傳遞、交換和互動，信息在為人們提供服務的同時也轉化為一種規制方式，諸如強制披露、“黑名單”制度、違法信息的行政公告等，典型的信息規制開始被公權力機關廣泛應用到社會治理中。基于此，信息的收集與利用越來越受到重視，信息的價值尤其是巨大的商業價值越來越得到彰顯。而大數據挖掘技術和算法讓信息的收集和分析變得越來越詳盡，也越來越精準，很多在以往不會進入公眾視野的個人信息開始頻繁出現在各種公共平臺，并成為數據的一種，被運用到各種交往活動和商業往來中。

近年來，我國大數據行業相對處于一種“野蠻生長”的狀態，非法采集、非法使用問題特別嚴重，從數據的采集、流通、交換到應用和交易，幾乎每個環節都存在數據流失和泄露的現象，尤其在個人信息不斷變為數據時，個人往往對于自己的信息失去控制深感無力。而這些包含個人信息的數據一旦流失和泄露，在很大程度上使下游的違法犯罪具備了實現的可能[1]。由此，個人信息安全與個人信息保護成為倍受關注的領域。從微觀層面看，個人信息保護涉及個人信息安全，直接關系到個人的工作和生活；從宏觀層面看，個人信息保護與國家網絡安全相連，直接影響到國家互聯網經濟的未來發展與走向。當前，如何解決個人信息保護與大數據采集、應用之間的矛盾和沖突，已經成為學術界和實務界迫切需要解決的一大難題。2021年1月1日正式實施的《民法典》對此予以積極的回應，從而加大了數據共享中對個人信息的保護力度。

一、個人信息概念的界定標準、時代價值和權利屬性

(一)個人信息概念的界定標準

檢視我國現有立法和司法解釋及相關制度，關于個人信息概念的界定和內容表述存在一定的差別。《網絡安全法》第76條規定：“個人信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等?！薄蛾P于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第1條規定：“刑法第二百五十三條之一規定的‘公民個人信息’，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、身份證件號碼、通信通訊聯系方式、住址、賬號密碼、財產狀況、行蹤軌跡等?！蔽覈讉€關于個人信息保護的國家標準《信息安全技術公共及商用服務信息系統個人信息保護指南》將個人信息定義為：“可為信息系統所處理、與特定自然人相關、能夠單獨或通過與其他信息結合識別該特定自然人的計算機數據。”而我國《民法典》第1034條規定：“個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等?！彪m然上述個人信息規定并不完全一致，但無一例外在對個人信息概念界定時都明確兩大指向：個人可識別和與身份相關聯。

1.個人可識別

所謂個人可識別，是指某項信息本身帶有一定的特殊性，可以通過該項信息識別出特定的自然人。簡而言之，就是通過這一信息可以識別到信息主體。但需要明確的是，不能機械地將“可識別”理解為能夠識別出自然人的整體，只要可以識別自然人的身份或者某一身份要素，甚至能識別出用戶使用的設備標識，也叫做“可識別”。個人信息的內涵比較寬泛，一般認為可識別性是法律所要保護的個人信息的核心要素，不可識別的個人信息并不落在《民法典》個人信息保護的射程之內[2]。亦即個人可識別這一判斷標準，排除將所有與個人相關的信息都納入個人信息的范疇，旨在兼顧促進信息的流動和對個人信息的精準保護。

2.與身份相關聯

大數據技術和算法日新月異，通過處理每一個網絡用戶在使用互聯網服務時產生的海量操作數據，便能抽離出與用戶個人相關的各種信息。這些信息中有一些信息直接與個人身份相關聯，如個人的通話記錄、出行記錄、位置信息、網絡ID、瀏覽記錄等，都是特定的自然人在特定的活動當中產生的與其身份相關聯的信息，通過它們可以輕松識別出特定的信息主體，當然屬于個人信息[3]。

總之，在信息社會，信息的大量和過度開發，導致個人信息特別是網絡環境中的個人信息往往不再是“個人 + 信息”的簡單組合，而是表現為一種集合性信息，是與大數據發生勾連的信息集合體。當我們判斷某個信息是否屬于法律所保護的個人信息時，要以上述兩個標準進行界定，不能任意擴大個人信息保護的范疇，否則不利于信息的流動。

(二)個人信息的時代價值

在信息社會，信息技術和信息產業在社會發展中的比重大幅增加，并逐漸在經濟發展中占據主導地位，信息的生產、應用和保障不斷加強，從根本上改變了人們的價值觀念、行為模式和生活方式?；诖?，個人信息凸顯出鮮明的時代價值。

1.商業價值

個人信息的挖掘和商業使用改變了傳統的營銷模式，大數據通過收集用戶的年齡、性別、興趣愛好、消費習慣、滿意測評等個人信息形成各種類型的個人信息庫，加以算法分析并定向廣告投放，為人們提供更好的產品和服務[4]。一些商家和網絡平臺利用大數據挖掘瀏覽記錄、網購記錄等個人信息，經過算法分析后，不斷向網絡用戶推送其可能感興趣的商品，以增加交易機會。挖掘個人信息進行定向銷售和精準服務，已經成為一種非常普遍的現象。可以說，挖掘個人信息在一定程度上意味著挖掘潛在的巨大商機，以至于近年來信息業者和企業都在竭力開發和利用個人信息創造商業價值。

2.公共管理價值

在信息社會，隨著數據共享的日漸廣泛化，個人信息表現出一定的 “公共性”，政府本著公共福利默認和允許對個人信息進行充分收集、分析和使用[5]。致力于公共管理、提升公共安全、提高公共福祉，是政府必須承擔的職責，而這一切都離不開對公民個人信息的掌握。尤其是治安防控、風險評估與預防、違法調查和犯罪偵查、反恐防暴、應急處突等公共管理活動的順利進行，都需要海量的個人信息作為支撐。借助現代信息技術，政府可以更加充分地發掘個人信息的公共管理價值，通過統計學、數據分析，更為及時和準確地了解社情民意，提高科學決策的水平，提高行政效率，更好地推進公共管理和公共服務[6]。因此，個人信息的公共管理價值日漸顯著。

(三)個人信息的權利屬性

1.個人信息與經濟利益掛鉤

在信息社會，信息是一種資源，也是一種新的生產要素，可以創造巨大的利潤。個人信息也蘊含著巨大的商業價值，因而被信息業者和相關企業爭先收集和利用。即便個人信息沒有直接表現為一項財產，也在很大程度上與經濟利益掛鉤，呈現出財產的屬性，這與信息主體是否意識到或者是否真正將其當作財產無關。

2.個人信息體現一定的意志支配力量

個人信息內涵豐富，與個人的財產、健康、名譽等相連。嚴格意義上說，個人信息并不具備排他性和獨占性，信息主體在一定條件下可以與他人共享個人信息，即便是隱私，信息主體也可以自由決定是否告訴他人。但根據《民法典》規定，對個人信息的處理需要征得信息主體或者其監護人(如果信息主體不是完全民事行為能力人)的同意；(2)參見《民法典》第1035條、第1038條。而信息主體除了可以查閱、復制自己的信息外，也可以要求信息處理者及時刪除其個人信息，還可以提出異議并要求更正錯誤信息。(3)參見《民法典》第1037條。這充分說明信息主體對于自己的個人信息具有意志支配的力量。

綜上所述，個人信息具有權利屬性，此權利的核心在于信息主體對其個人信息的意志支配，包括決定個人信息的占有和使用，進而使個人信息呈現出一定的自主價值和使用價值[7]。而《民法典》之所以采用個人信息保護而非個人信息權的表述，是為了避免對個人信息形成絕對權利的誤解。如果將個人信息作為一種人格權，這種保護顯得過于嚴格，不符合信息社會對信息合理流通與交換共享的要求。(4)2020年10月，黨的十九屆五中全會通過的《中共中央關于制定國民經濟和社會發展第十四個五年規劃和二〇三五年遠景目標的建議》明確提出：“擴大基礎公共信息數據有序開放，建設國家數據統一共享開放平臺?！敝挥猩婕半[私的個人信息被侵犯，才涉嫌侵犯人格權。信息社會的發展要求信息主體的利益與信息共享利用之間的關系平衡，單純只考慮個人信息保護而忽視大數據產業的發展不僅有違社會現實，而且也不利于社會進步。

二、信息社會個人信息保護的難題

在信息社會，個人信息的價值愈發凸顯，其應用領域越來越廣泛，大數據分析、算法也越來越精準，以往建立在“事先同意、目的明確、有限使用”原則上的個人信息保護制度，在實踐中不斷遭遇困境，從而使個人信息的安全與保護變得越來越重要。可以說，在信息社會，各國個人信息保護普遍存在“現象級”難題。

首先，現代社會社會交往的廣泛性和便利性以及交往空間的不斷轉換，使得個人信息復雜多元和變化難測，呈現出多維度的特點。加之大數據技術的采集和處理，使得個人信息從原始態到再加工態，其信息形態更加模糊、數據控制者可追溯性難度加大[8]。而且個人信息作為一種權利，不但折射出財產屬性，也與個人意志支配相連，其中涉及隱私的那部分個人信息還牽扯到人格權的問題，所以厘清權利保護問題絕非易事。其次，信息社會需要信息流動交換，整合大量信息作為大數據推動信息產業發展，個人信息在社會發展的趨勢下，勢必在權利領域有一定的縮限。其中，不能忽視的是個人信息與數據、政府信息的耦合疊加難題。

(一)個人信息與數據的耦合

在大數據模式下，信息產業主要依靠數據挖掘創造價值，個人信息在信息主體與各種信息收集系統的互動之間逐步被開發、挖掘。個人信息經由大數據技術被采集處理后往往會與數據耦合，其聚合效應遠遠高于單純的個人信息的價值。當數據成為個人信息的重要載體且兩者之間的耦合呈現動態變化時，個人信息保護便增添了很多不確定性。無法否認，數字經濟有著完全異于傳統經濟的發展路徑和邏輯，大數據模式的迅猛發展并不以明晰的產權界定和權利確認為前提，而是以法律關系的模糊性和法律措施的權宜性為代價。數據歸屬這個最基本的權利問題沒有得到解決，建立其上的其他權利問題就更難厘清?，F實是全世界都在規避這個難題[9]，各國關于個人信息保護的理論也難以統一。目前，人格權說、基本權利說、私人生活權說、數據保護說、信息自決權說、信息保密性和系統完整性權利說等理論爭鳴層出不窮，盡管這些理論都贊同對個人信息進行保護，但它們的保護目的顯然并不一致，保護的強度和廣度也有差別。鑒于個人信息保護的基礎理論尚未完全明晰，各國都傾向采取簡單的“全面預防”態度[10]。正是因為個人信息與數據的耦合，使得個人信息的傳播途徑和傳播過程愈加紛繁駁雜，很多傳統的規制方式在網絡虛擬空間或電商環境中難以真正落地貫徹，其結果就是立法很難作出及時回應，要么凌亂不成體系，要么大而全過于籠統不夠精細，我國“個人信息保護法”也因此遲遲不能出臺。

(二)個人信息與政府信息的耦合

政府及其職能部門在行政管理過程中，因為履職需要會大量采集個人信息并制作、記錄或保存，進入這一管理流程的個人信息也就同時轉化為了政府信息。(5)《政府信息公開條例》第2條規定：“本條例所稱政府信息，是指行政機關在履行行政管理職能過程中制作或者獲取的，以一定形式記錄、保存的信息?！辟|言之，某些成為政府信息的信息對于自然人而言依舊是個人信息，不可避免具有雙重屬性，且存在矛盾與沖突。首先，很多時候政府及其職能部門收集個人信息并不需要遵循所謂“知情同意”的前提，無須向個人公開其收集和使用規則，也無須明示收集、使用個人信息的目的、方式和范圍，這與個人信息的“信息自決權”沖突，與個人信息保護的邏輯相悖[11]。其次，政府信息公開旨在發揮政府信息的服務功能，遵循“公開是常態，不公開是例外”的原則，除非個人信息涉及隱私，否則都要公開。但自然人的個人信息內涵相當豐富，隱私只是其中很小的一部分，沒有誰希望自己的個人信息被公諸于眾，這又形成一對悖論。必須承認，個人信息不僅應該得到其他民事主體的尊重，也應該得到國家公權力機構的尊重[12]。當同一個信息既是政府信息又是個人信息時，如何在公共管理與私權保障之間尋求平衡，如何合理地實施個人信息保護，絕非易事。

三、《民法典》對個人信息保護的進路

快捷的生活節奏、便利的交往方式，是個人“心甘情愿”讓渡信息使用權的重要原因。一方面，我們期待更便捷、性價比更高的服務；另一方面，在大數據技術和算法面前，我們變得越來越透明，有時候甚至毫無隱私可言。不論是公共部門還是私營部門，一旦掌握大量的個人信息，就都存在濫用或侵犯個人權利的可能[13]。切實保護個人信息，不僅是自然人在信息社會的現實需求，也是國家信息產業良性發展的必然要求?！睹穹ǖ洹穼Υ擞枰曰貞?。

(一)《民法典》的立法思路

盡管數據與個人信息之間不能劃等號，但個人信息轉化為數據繼而實現共享已經成為一種常態。如何在互聯網經濟和信息產業飛速發展及數據共享從區域走向全球化的今天加強個人信息的法律保護，是當今世界各國高度關注的問題。畢竟，個人、信息業者、網絡營運商和政府針對個人信息各有訴求，商業價值和公共管理價值在個人信息上交織雜糅。個人信息保護的立法應該是認識利益、表達利益的過程，以及妥善處理個人、信息業者、網絡營運商和政府的關系，其核心是既保障個人自由全面的發展，又順應信息社會對大數據、信息技術發展的需求，從而實現個人信息商業價值與公共管理價值之間的平衡。簡言之，個人信息保護制度本質上要建立起一套有關個人信息正當利用的規則，既保護個人信息主體權利，又保護信息主體的信息自決權，同時承認信息控制者合法利用個人信息的權利，通過協調和解決利益沖突促進合作。

黨的十九屆四中全會、十九屆五中全會對大數據、信息產業發展以及個人信息保護提出明確要求。(6)黨的十九屆四中全會明確要求：“建立健全運用互聯網、大數據、人工智能等技術手段進行行政管理的制度規則。推進數字政府建設，加強數據有序共享，依法保護個人信息?！秉h的十九屆五中全會通過《中共中央關于制定國民經濟和社會發展第十四個五年規劃和二〇三五年遠景目標的建議》，一方面強調“推動互聯網、大數據、人工智能等同各產業深度融合”，另一方面也強調“保障國家數據安全，加強個人信息保護”。可見，我國正積極探索通過制度創設，為個人信息在當前信息技術和經濟社會發展大背景下找準落腳點，認清個人在信息社會的位置，讓個人有效參與到發展中，形成良性互動，從而避免淪為各種營運商攫取利潤的工具。正是從“立足個人信息保護與數據流動之間的平衡”這一思路出發，《民法典》首先將個人信息保護與隱私權進行劃分，兩者雖然同屬“人格權”編，但個人信息保護具有獨立性，并未附屬在隱私權下?！睹穹ǖ洹烦姓J個人信息與隱私之間的勾連甚至一定程度的競合，但基于兩者權利屬性、權利客體、權利內容、保護方式等的差異，采取不同的制度安排，以期更好地對兩者分別予以保護。(7)負責主持《民法典》編纂工作的王利明教授曾在起草期間撰文專門論述這個問題，參見王利明：《論個人信息權的法律保護——以個人信息權與隱私權的界分為中心》，《現代法學》2013年第4期。

(二)《民法典》的具體設置

《民法典》關于個人信息保護規定主要集中在三個部分：(1)在總則編第五章“民事權利”部分，規定民事主體對數據(8)由于個人信息與數據有一定的交叉，這里的數據包括轉化為數據的個人信息。和虛擬財產享有合法權益；(9)參見《民法典》第127條。(2)在人格權編第六章“隱私權和個人信息保護”部分，規定個人信息與隱私受法律保護，并對個人信息的定義、內涵、收集、更改和刪除等作出規定；(10)參見《民法典》第1034～1039條。(3)在侵權責任編第三章“責任主體的特殊規定”部分，規定網絡侵權責任，包括刪除有關信息。(11)參見《民法典》第1194～1197條。上述規定明確個人信息的定義和內涵、處理個人信息的原則、信息主體的信息自決權，也明確信息控制者(12)信息控制者是指實際獲取信息、控制信息、處理信息的主體，包括信息業者、網絡營運商和政府。的責任，對個人信息形成了比較體系化的保護。

1.個人信息的定義和內涵

如上文所述，《民法典》第 1034 條明確個人信息的定義和內涵，與隱私有所區分。

2.處理個人信息的原則

《民法典》第 1035 條明確處理個人信息的基本原則：個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等。(1)合法正當。這一原則要求信息控制者對個人信息處理無論是目的還是行為都要遵守法律政策、尊重社會公德、遵守商業道德，符合服務經營的正當性。(2)明確用途。對于待處理的個人信息，除非法律法規另有規定，信息控制者原則上應該明確告知信息主體處理目的、方式和范圍以及處理的規則，以便信息主體作出同意與否的選擇。即便得到信息主體的同意，信息控制者也不得違反法律規定或約定，擅自對個人信息進行其他方面處理。

3.信息主體的信息自決權

實際上，大部分自然人不了解大數據挖掘技術和算法，面對信息控制者給出的選擇，并不能作出專業的判斷，以至于讓渡個人信息使用權后，也不知道個人信息在流轉過程中是否得到有效保護。為避免信息主體合法權益遭受不必要的損害，《民法典》第1035 條、第1037條規定了信息主體的信息自決權。(1)知情權。知情同意是信息主體的核心利益，不可讓渡。知情權是確認自然人對個人信息享有意志支配權(信息自決權)，即誰收集我的個人信息、這些個人信息儲存在哪里、未來因何目的用在何處或與誰分享，信息主體應當有權知道。這要求信息控制者事先必須以清晰、準確、易懂的用語，及時、全面、明確地告知信息主體處理其個人信息的目的、方式、范圍和處理規則，確保信息主體知情權得以實現。(2)同意權。信息主體享有的信息自決權實質上是個人信息自主價值的體現，但這種自主價值的實現本身存在悖論。一方面，個人為自身發展和生活便捷渴望得到更多信息；另一方面，卻又不愿意自己的個人信息被別人輕易獲取。要解決這對矛盾，關鍵是賦予信息主體同意權，即明確告知信息控制者，信息主體有權選擇同意或者不同意。只有信息主體通過明確的意思表示或行為選擇“同意”，信息控制者才能處理其個人信息。如果沒有經過信息主體同意，不得以欺騙、誤導或者脅迫等方式處理其個人信息，也不得以違法或者違約的方式處理其個人信息。(3)要求更正權。信息主體有權查閱自己的個人信息，發現錯誤可以要求信息控制者修改，發現缺失可以要求其補充。(4)被遺忘權。被遺忘權發肇于歐盟的 《數據保護指令》(DPR)，(13)2012年11月歐盟出臺《數據保護指令》(DPR) 修正案，首次確立“被遺忘權”，規定“信息主體有權要求數據控制者刪除與其個人相關的資料信息，數據控制者除有合理正當理由外，必須進行刪除”。是指信息主體在特定條件下有權要求信息控制者刪除其個人信息，從而避免這些信息被進一步傳播[14]。被遺忘權充分體現信息主體對信息的自決權，信息主體在特定情況下可以要求刪除一切能夠識別其身份的個人信息(包括隱性數據和顯性數據)，確保自主收回個人信息或終止享有便捷服務的機會[15]。

4.信息控制者的責任

有人認為技術本身沒有對錯，網站只是傳播介質，因而主張“技術中立、平臺無責”。然而，不論是信息業者還是網絡營運商，相當一部分人利用大數據挖掘技術和算法獲取和處理個人信息是為謀取利益?！睹穹ǖ洹房隙ā兑苿踊ヂ摼W應用程序信息服務管理規定》的相關要求，(14)2016 年6月，國家互聯網信息辦公室發布的《移動互聯網應用程序信息服務管理規定》明確指出，要明示收集使用信息的目的、方式和范圍，并經用戶同意；依法保障用戶在安裝或使用過程中的知情權和選擇權；未向用戶明示并經用戶同意，不得開啟收集地理位置、讀取通訊錄、使用攝像頭、啟用錄音等功能，不得開啟與服務無關的功能，不得捆綁安裝無關應用程序等。通過第1038條、第1039條、第1194～1197條對信息控制者的責任予以明確，排除他們用“技術中立”“傳播介質”“算法無錯”作為拒絕承擔責任的借口。(1)告知義務。信息控制者承擔的告知義務對應的是信息主體的知情權，信息控制者必須如實告知收集原因、收集方式、儲存方式、使用目的、使用范圍、使用期限、分享對象等，從而確保信息主體知情權的實現。即便已經得到信息主體明確同意，信息控制者因故要改變使用目的、使用范圍、分享對象等，也需要及時告知信息主體，重新征得其同意。此外，當網絡侵權發生時，信息控制者還承擔“雙向通知”義務，即將權利人提交的遭受侵權的通知轉送網絡用戶，同時也將網絡用戶提交的不存在侵權行為的聲明轉送發出通知的權利人，以便權利人進一步采取維權措施。(2)安全保密義務。對依法收集的個人信息，信息控制者必須嚴格保密，防止泄露、毀損、丟失，確保信息安全。信息控制者不得隨意篡改收集的個人信息，未經信息主體同意，也不得向他人非法提供個人信息。政府機構及其工作人員對于履職中知悉的個人信息應當予以保密，不得泄露或非法向他人提供。(3)侵權責任。如果信息控制者沒有依法履行安全保密義務，或者已知信息主體的個人信息受到安全威脅(包括信息主體以通知的方式主動告知)卻沒有及時采取法定措施阻止侵權行為的，信息控制者要承擔相應的侵權責任。

四、個人信息保護立法的展望

大數據發展關系到個人權益的保障，深刻影響數字產業、信息產業的發展模式與方向，涉及國家產業政策的調整和法律制度的架構。遺憾的是，迄今為止我國針對個人信息保護尚未建構起完整、系統、條理清晰的法制體系。在個人信息保護立法長期缺位的情況下，《民法典》努力根據信息社會的發展和要求作出回應，積極填補立法空白，為立法的發展留下空間，具有一定的進步意義。然而，盡管《民法典》搭建起一定的制度框架，使得個人信息保護的指向性明確，但在法律制度設計上卻有明顯的缺陷：操作性不強，在實踐運用中甚至會陷入一定的制度困境。

首先，相對自然人，信息業者和網絡營運商享有天然的技術資源優勢，他們在信息交換互動過程中往往會選擇對自己最有利的技術手段，并且將“take it or leave it contracts”(要么接受服務，要么離開)作為網絡合同的模式。很多時候，為享有所謂的便捷服務，信息主體不得不違心地讓渡個人信息使用權，知情同意顯得格外蒼白。其次，即便信息控制者告知信息采集的目的、用途等，自然人卻往往囿于各種因素，無法對其個人信息的具體處理情況進行核實，對于那些隱藏在暗處的侵權活動幾乎一無所知。最后，盡管《民法典》對網絡侵權責任予以規定，但對于信息主體而言，要舉證證明侵權事實的存在以及證明網絡服務提供者應該承擔連帶責任，顯然并非易事。(15)根據《民法典》第1097條，網絡服務提供者知道或者應當知道網絡用戶利用其網絡服務侵害他人民事權益，未采取必要措施的，與該網絡用戶承擔連帶責任。但實際上，信息主體很難證明網絡服務提供者知道或者應當知道。倘若侵權人并非利用網絡侵犯自然人的個人信息，信息主體很可能會被一直蒙在鼓里，更遑論主張權利。當然，從全球實踐看，還沒有任何一個國家將民事法律作為個人信息保護的主導規范，我國的《民法典》也不可能完全承擔起這樣的重任。畢竟，個人信息保護涉及科技、金融、政治、國家安全等不同領域，涵蓋民法、行政法、刑法、國際法等諸多法律部門，《民法典》無法也不能僭越，只能作出一些比較基礎和原則的規定，要想真正走出制度的困境，還需要完善配套制度，需要科技、民事、行政、刑事等多種手段綜合發力。

個人信息保護的緊迫性呼吁加強相關立法，僅靠一部單一的部門法難以實現有效保護，需要民法、行政法甚至是刑法形成合力[16]。未來，我國學術界和實務界應該攜手共同研究“個人信息保護法”，促進個人信息保護研究更為深入和精細化，力爭早日出臺“個人信息保護法”，體現對公民權利的尊重和保障，對公共利益的強化和推進，以及對新興產業發展的重視和引領[17]。同時，加大對政府利用個人信息的管控，要意識到個人信息法律保護制度的發展始終伴隨著對政府權力的限制，政府不能肆意收集和利用個人信息；即便在應急處突中依據比例原則可以適度放寬，政府對個人信息的利用也要符合比例原則，不能侵犯公民的人格尊嚴；還要建立嚴格的內控制度，防止政府內部人員泄露和違法使用公民的個人信息，一經發現必須嚴懲[18]。