The legislative Choice of Personal Information Protection in the Age of Big Data—Positive Using or Negative Limitation

Abstract：There are different reactions for different social groups in the flood current of big data.Economists believe that is a commercial revolution.It broke the traditional business model,and is accumulating wealth by geometric progres-sion.Sociologists believe that big data mining will hurt the human perception of happiness.Big data accurately record the behaviors of people,it has bring the troubles for people to remember and not be forgotten concerns.Two kinds of views for Jurists：one is that using of personal information should be strict controlled in the era of big data,in addition to the traditional privacy protection under the Inter-net environment,people need a“not to be disturbed right”；another view is the development and utilization of big data is the inevitable trend of the Internet econo-my,all countries are competing for the resource data,it will miss the development opportunities if there are restrictions too much for using big data.Network Security Law of our country has just enacted,it gives some limitation for using of personal data and cross-border transmission from the perspective of infrastructure security re-strictions.But In the“Civil Code Draft”last year,had the data as a new type of object in the intellectual property,and then deleted it after next version.This is sufficient to explain the uncertainty of the protection of personal information in the legislation.Should the individual data be a right of active using or should be a right strictly restricted using？Legislators are also swinging.This article analysis the legal property of personal information,the necessity and standardization of in-formation using,explore the appropriate legislation on personal information protection.

Key words：big data,personal information,privacy right

大數據時代太快地向我們走來，以至于人們還沒有認清楚它是“福”是“禍”，就已經完全被大數據的洪流所推動，國家將大數據產業作為新的經濟增長點，企業將大數據作為重要的商業資源。數據，已經滲透到每一個行業中，成為重要的生產因素。個性化精準廣告推送已經成為主流的互聯網廣告模式。國家在大數據產業發展方面的各種利好政策也讓數據產業方興未艾。[4]

然而，作為大數據的主要貢獻者——個人，盡管每天不勝其煩地接到騷擾電話、短信、郵件、莫名的上門服務，也已經接受了這樣的現實，甚至也在享受大數據帶來的好處，在出行、用餐、郵寄、上網搜索方面無不享受著精準服務帶來的便利，而對于信息騷擾帶來的煩惱，在無奈之下也只能期望采用技術措施加以屏蔽。

大數據帶來的社會問題引起學術上的激烈爭論。

經濟學家們認為大數據已然成為國家之間、企業之間競爭的又一重要資源。大數據經濟已經開始，“各種大量的數據進行不斷地融合交匯再產生一些新數據，導致數據邊際成本越來越低，邊際效應越來越大，從而帶來了新的經濟形態?！?span id="3x4ywkr" class="math-super">[5]

社會學家擔心大數據時代人們的幸福觀受到影響。“對于人類而言，遺忘一直是常態，記憶是例外，然而，由于數據技術與全球網絡的發展，這種平衡已經被打破。如今，往事像刺青一樣刺在我們的數字皮膚上，遺忘，已經變成了例外，而記憶卻成了常態?！?span id="ikoagvi" class="math-super">[6]《大數據取舍之道》的作者進一步認為：“沒有忘卻的全息記憶將給人類帶來巨大的負擔，人們必須小心謹慎從事，擔心那些不妥當的行為被永久記錄”，“遺忘并不是令人困擾的缺陷，而是一種足以救命的優勢”，“生物性的遺忘正是這樣一種極為簡單又優雅的忘卻方式”。[7]大數據處理也會讓人類失去學習的動力，人們不需要再努力記憶，任何事情都會在大數據中找到答案，也許有一天，人們不用辛苦地學習，只要選擇需要的可穿戴設備或者生物芯片植入大腦既可以無障礙地運用大數據資料。

法學家從不同側面有不同的觀察，早期更多地是利用個人隱私、基本人權的保護制度來限制大數據應用與跨境數據傳輸，比如：WTO/GATS、OECD、APEC、美國、英國、德國等都通過制定成文法規制互聯網或者電子商務中的隱私保護。近期受技術與產業的影響，意識到大數據的采集和流轉已成不可阻擋之勢，法律的責任是在維護基本權利之上如何促進產業發展，以美國為代表的國家開始把個人信息的利用市場化。

市場化應用個人信息使其保護更趨復雜化，電子商務利益之爭的表象背后，尚存國家安全、信息安全、經濟安全等多個深層次問題，也正是在這樣的背景下，各國在這一問題上的態度不盡相同，每個國家都站在本國立場上進行立法選擇，尤以美國和歐盟之間的利益博弈最為激烈和突出。

一、歐、美個人信息保護模式的分析

在個人信息利用上，歐盟與美國可謂是消極限制和積極利用的典型，二者采取不同的立法保護模式。

歐盟對個人信息的保護比較保守，從價值屬性上看，更注重個人數據隱私的人權特性與社會價值，以人格保護為重點，采取的是一種全方位國家立法模式。從橫向上看，其范圍包括一般性使用和特殊性使用，基本上涵蓋了所有數據主體，包括公務機關和非公務機關的使用行為都納入了監管范圍內；從縱向看，其行為包括數據的收集、使用、儲存和刪除等各個環節，從主體到行為的橫縱結合保證了數據的全方位保護。在執行體制上，歐盟采取了以國家公權力監督為主導的自上而下的模式，設立國家數據保護機構——歐盟數據保護委員會（European Data Protection Board,EDPB），負責對企業或組織對數據處理的監督，對違法數據收集行為進行審計、調查、處罰和制裁，要求處理數據的企業或組織有專門的數據保護專員（Data Protection Officer,DPO），接受歐盟數據保護委員會管理，在企業或組織發生個人數據操作違規時承擔相應的責任。在跨境數據傳輸問題上，歐盟強調“No privacy,No trade”，在國際貿易中特別強調隱私權保護。

美國對個人信息采取了積極利用的態勢，無論是學界還是實務界都有市場化的取向。美國更關注個人數據的經濟特性和個人價值，采取分散立法模式，按照行業進行聯邦立法（如通信、金融、教育、保險和兒童上網隱私等），沒有專門的法典就該問題進行規制。在監管上采取行業自律的模式，這種做法更符合高效、便捷、與時俱進的市場需求。美國是信息技術最為發達的國家，其電子商務的發展居世界首位，在資料收集、信息處理上具有強大的優勢，其在數據跨國流通中獲益最大，是全球最大的數據進口國與數據出口國，故而從產業利益出發采取較為寬松的立法保護。在執行機制上，美國奉行數據使用者自律與個人自力救濟相結合原則，以市場為主導、以行業自治為中心的數據隱私政策，盡量減少政府的干預，但是近年來，聯邦貿易委員會（FTC）以及聯邦通信委員會（FCC）也進行了大量的涉及個人信息保護的行政查處。由此，能看出其在鼓勵自律自治前提下，政府也可以適當的介入。

正是由于上述差別，歐盟與美國在個人數據保護和利用上不斷產生分歧。1998年，美國開始與歐盟就隱私保護的“安全港”原則（Safe Harbor Principles）進行協商，以保證數據的跨界流動。2000年7月，歐盟正式同意了美國商務部提出的“國際安全港隱私權原則”，雙方簽訂了所謂的“安全港”協議，該協議旨在達到歐盟所規定的個人數據信息保護的“適當性”程度，使公司或組織在滿足“適當保護”標準時暢通數據信息的傳輸。該協議包括通知、選擇、轉送、安全、資料完整、渠道和執行等7項原則，在內容上比1998年公布的原則更為嚴格，充分體現了美歐在數據保護和數據傳輸方面的斗爭與妥協。

“安全港”協議要求所有簽字的公司或組織對其收集信息的種類、使用的目的以及可能透露給第三方信息時應當向“個人”提供“清晰和明顯”的通知。如果信息準備披露給第三方或者用于不相關的目的，應當有渠道使得“個人”可以明示選擇是否拒絕對其信息的收集。對于敏感信息的收集，必須經過“個人”明確表示同意。只有那些參加“安全港”或者簽署保護數據合同的第三方，才可以接收傳輸的數據。參加的公司或組織必須保證“個人”可以獲知有關他們的任何信息，并有機會改正、修改或者刪除不準確的信息。[8]“安全港”協議折衷處理了美國和歐盟之間隱私保護利益平衡，有利于美國公司一攬子解決在歐洲的數據業務，加入“安全港”協議的美國公司可不用逐個經“個人”授權而進行數據轉移。

2016年5月，歐盟實施更為嚴格的《一般數據保護法》（The EU General Data Pro-tection Regulation,GDPR）。這部法律中規定：獲取、處理他人的個人信息的“控制者”需要得到“個人”的明確同意，這種同意必須是自愿并且隨時可以撤回。這部法律落實了之前由司法判例確立的“被遺忘權”的合法性。[9]“被遺忘權”的判例曾經引起許多爭議，最大的爭議點在于這一判決可能會嚴重影響數據產業的發展。美國作為數據產業的強國以及互聯網基礎技術的控制者，不希望被歐洲法律所牽制，更不希望看到其他國家效仿歐盟法律。在歐盟率先廢除了實施多年的美歐數據傳輸“安全港協議”之后，美國不得不再與歐盟簽訂新的“隱私盾協議”（Privacy Shield）[10]，以企業自愿的方式與歐洲妥協。隱私盾協議將歐美雙方產業利益的爭議掩蓋在了協議之下，對其他國家則另當別論。“隱私盾協議”與之前的“安全港協議”最重要的差別是更加嚴格了個人信息再次轉移給第三方的責任，對于在“隱私盾協議”下認證的那些機構再把數據轉移給第三方時，無論第三方是否也是“隱私盾協議”認證的機構，必須把數據處理活動限制在數據主體同意的條款范圍內，并使第三方遵守“隱私盾協議”認證機構要求承諾遵守的標準。

美國與歐盟在個人數據保護與跨境傳輸上的規則充分體現了國家利益和產業利益之爭，其他國家無法完全效仿其協議內容，我們看到的是日本、韓國和我國的港澳臺地區都小心翼翼地采取貿易保護主義的做法，防止個人信息無限制地傳輸到境外。

二、我國個人信息保護的法律追溯

我國對個人信息的保護散見于不同法律中，多以間接保護方式加以規定。我國《憲法》規定：“國家尊重和保障人權”“公民的人格尊嚴不受侵犯”“公民享有通信自由和通信秘密的權利”“公民住宅不受侵犯”等；《民法通則》在人身權部分規定：“公民的人格尊嚴受法律保護”；《刑法》規定：“非法搜查他人身體、住宅，或者非法侵入他人住宅”“侵犯公民通信自由”等為犯罪行為；《民事訴訟法》規定：“對涉及個人隱私的案件應當不公開審理”；《刑事訴訟法》規定“涉及個人隱私的案件不公開審理”。此外，在《婦女權益保護法》《執業醫師法》《郵政法》《商業銀行法》《律師法》《檔案法》等也有間接規定。

我國法律中也有對個人信息保護問題進行的直接規定?！缎谭ā沸拚福ň牛┑?86條之一：“網絡服務提供者不履行法律、行政法規規定的信息網絡安全管理義務，經監管部門責令采取改正措施而拒不改正，有下列情形之一的，處3年以下有期徒刑、拘役或者管制，并處或者單處罰金：（1）致使違法信息大量傳播的；（2）致使用戶信息泄露，造成嚴重后果的；（3）致使刑事案件證據滅失，情節嚴重的；（4）有其他嚴重情節的。

單位犯前款罪的，對單位判處罰金，并對其直接負責的主管人員和其他直接責任人員，依照前款的規定處罰。

有前兩款行為，同時構成其他犯罪的，依照處罰較重的規定定罪處罰。”

我國《護照法》《身份證法》《消費者權益保護法》都有對“個人信息”保護的明確規定。2012年12月28日全國人民代表大會常務委員會頒布了《關于加強網絡信息保護的決定》。該《決定》提出：主管機關、網絡服務提供者和其他企事業單位應當采取有效措施保護個人數據，該《決定》還確定了收集、使用個人數據的基本原則，要求相關主體明示收集、使用信息的目的、方式和范圍，并經被收集者同意。[11]2013年7月16日工信部《電信和互聯網用戶個人信息保護規定》，強調電信業務經營者、互聯網信息服務提供者在收集數據時必須遵守“知情同意原則”，強化了有關機構的數據安全保障義務，并明確了相應的責任形態。[12]

相比于其他國家和我國港澳臺地區，我國內地尚沒有一部對個人信息保護的專門立法和行政執法機構，在個人信息被嚴重侵害的時候，借助于《刑法》不足以及時制裁侵害人和有效補償被侵害人。面對個人數據泄露、濫用堪憂的情況，最高人民法院發布了《關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規定》司法解釋，力爭彌補成文法的滯后性。[13]

三、個人信息的法律屬性討論

我國現階段涉及個人信息保護的法律淵源基本上來自對隱私權的保護。但是隱私和個人信息在概念上有很大不同。隱私的范圍相對比較明確，凡是個人不愿意公開披露且不涉及公共利益的部分都可以成為個人隱私，出于對人格利益特殊保護的需要，隱私權是一種消極的、防御性的權利，其屬性更是一種精神權利，盡管販賣他人隱私內容同樣可以營利（不論是本人還是他人），隱私的財產屬性還是不被認可。

個人信息保護較于隱私權保護而言需要考慮的價值維度更為多元，包括人格權、數據經濟的發展、國家安全等。現代意義上的個人信息保護本質屬于個人信息數據庫的保護，其包含資金投入、信息處理的全過程（包含事前、事中、與事后）數據及數據庫的利用規則、利益分配等。在大數據時代，隱私權與個人信息保護之間有著不同的保護內涵以及法律定位，但是，在一些國際組織規則和國家立法名稱上仍然將“隱私”與“個人信息”通用，在全球電子商務環境下，實務界多以隱私政策合規來考量個人信息的保護水平，網站上的隱私保護協議以及各類隱私認證機構也都包含個人信息保護的內容，從廣義上說，特別是涉及電子商務數據處理時兩者有同一所指的傾向。

目前對個人信息的定義有諸多爭議，但基本共識是：個人信息是指能夠單一或者組合之后識別特定個人的一切信息，包括姓名、年齡、體重、檔案、醫療記錄、收入、家庭住址、電話號碼、汽車發動機號、電腦序列號，甚至是行走路線、消費習慣、上網瀏覽記錄等。個人信息最基本的特征是具有識別性，不論是直接的還是間接的、單一信息抑或組合信息，只要能夠判斷出特定個人的信息即認為屬于個人信息；個人信息的主體為個人，即為自然人，社會組織、法人的數據信息不屬于個人信息范疇；個人信息包含個人隱私，兼有人格權與財產權雙重屬性。

關于個人信息的法律屬性目前學界有三種主流學說：

一是隱私權客體說，該學說認為個人信息即“數據隱私”（data privacy）屬于隱私利益中的內容，數據隱私強調對個人數據的控制與利用。此種保護模式主要是基于美國法語境下的“隱私”概念，其將“隱私”作為“隱私權”進行保護，這一觀念也為我國一些學者所支持。[14]

二是人格權客體說，該學說主要為大陸法系國家如德國、法國所采用，認為在人格權框架下對個人信息進行保護是有效的。[15]“個人信息的收集、處理或利用直接關系到個人信息本人的人格尊嚴”[16]，主張個人信息置在人格權框架下進行保護比較合適。

三是所有權客體說，該學說認為個人信息是一種財產利益，個人對數據享有占有、使用、收益、處分的權利。[17]該學說以美國波斯納法官的隱私經濟學理論為主要代表，也被我國一些學者所主張，認為應當對個人信息采取財產權保護。[18]

除此之外，還有資料權客體說[19]、法益說[20]等。

筆者認為上述幾種學說均有其合理性，個人信息本質上是人格主體的自由表達，個人信息雖有直接和間接之分，但固定指向具體的個人使得信息具有特定的人格屬性在學界并無爭議。個人信息所具有的財產屬性也已成為現實，信息在特定的情形下進行交易并流通是未來大數據產業的基礎。但是上述學說中也有其局限性，即他們都將個人信息的財產權與個人信息數據庫的財產權混同為一個概念，實際上大數據產業基于的數據是海量數據的集合，絕非單個個人的幾條信息，單純的個人信息不足以稱為資源（名人的信息除外），只有大數據才有可挖掘的價值和不斷衍生出新的商業服務模式的可能。所以，筆者認為，個人信息的屬性應當以人格屬性為主導地位，其財產價值依附于人格屬性之下，保護人格權是第一位的，財產權是第二位的；而個人信息數據庫則應當以財產權屬性為主導，經過收集、加工、處理之后的個人信息數據庫其權利屬性發生了變化，無論是政府、社會組織還是商人收集到的個人信息在經過去識別化后即讓這些數據庫轉變為具有財產屬性的數據財富，應當鼓勵數據庫的市場化運行，而這些數據庫的主體也發生了變化，由個體數據主體變為投資人數據主體。

四、積極利用抑或消極限制的考量

當前對個人信息的保護，呈現出積極利用與消極保護互為補充的態勢，其表現如下：

1.公法與私法的共同作用

在法學公私二元區分的背景下，學者對二者的側重點有所差異。從公法角度出發的歐盟學者們多關注大數據對法律制度本身所帶來沖擊，以及數據制度對公權力行使及私權利保護所帶來的影響。正如有學者提到“大數據技術的廣泛應用實際上正重塑著整個法律體系運作于其中的社會空間，改變著大數據掌控者（包括國家和商業機構）與公民個人之間的權力關系，并創造出許多無需借助法律的社會控制方式，大數據技術使個人變得越來越透明，而權力行使者卻變得越來越隱秘”[21]?？梢?，公法角度下的個人信息保護立法上多側重于對政府、公共機構收集公民的個人信息的限制問題。

從私法角度來看，美國學者們更多關注數據信息的權利屬性，傾向于人格權屬性的觀點要求限制數據處理者對個人信息的無節制利用，傾向于財產權屬性的觀點強化個人信息的商業化利用及人格權商業化利用的財產收益。

世界上多數國家以隱私權保護為原點展開其個人信息的法律保護，其救濟路徑由純粹的事后救濟（司法救濟）轉變為事前（行政救濟與行業測評等）與事后配合的二元救濟模式，其中反映出公法與私法共同作用的趨勢。

2.人身權與財產權雙元保護

美國哈佛大學的Lawrence Lessig教授早在20世紀末就提出了數據市場化的主張，他認為純粹的合同路徑與侵權路徑并不符合數據經濟的需求，應當賦權解決。一旦數據作為財產被承認，數據使用者就會有動力與數據主體議價，在一定程度上會改變用戶在數據市場持續被忽視的境地，使得所有者獲得動力。[22]

觀察最新的司法判決，目前涉及數據利用的司法判決仍多聚焦于是否侵犯隱私權問題上，數據財產化僅僅作為一種理論被提及。[23]分別強調人格權與財產權爭議的背后所反映的是以人格尊嚴為核心的隱私權保護模式抑或是以實現經濟目為起點的財產權保護模式的選擇問題。我國同樣有學者建議針對個人信息的自我利用，提倡個人信息財產權，將個人對信息的處分取得利益的可能性予以權利化，以此與人身權相區分，并納入民法財產權利體系予以調整。[24]但是在諸多按照財產利益處理的案件中均無法有效分配所有被侵害個人的賠償費用，商業機構利用個人數據獲得的所謂“非法利益”具體到每一個人所得到的賠償數額少得可憐（幾條信息的價值），以至于“個人”少有動力通過司法途徑主張財產權，倒是消費者權益保護機構或者是行政監督機構在接到投訴之后提起的訴訟很多，但多以對非法利用者處以罰款為最后的結果。[25]可見，簡單的設計個人信息財產權保護制度很有可能形同虛設，而根據具體情況，分別予以個人信息人格權與個人信息數據庫財產權雙元保護更為符合價值取向和市場規律。

3.產業利益之爭

歐美在個人信息保護的立法分歧本質上是一種產業利益之爭。正因為歐洲沒有發達的互聯網服務產業，故而以設立嚴格的隱私權或者個人信息保護為由限制美國的互聯網企業（谷歌在歐洲法院敗訴，讓谷歌在提供搜索引擎服務時承擔更嚴格的審查義務）。[26]

歐盟對侵犯個人數據的行為處罰措施十分嚴格，包括禁令救濟，對公司工作場所和數據處理設施的稽查和調查，數額巨大的罰款，以及對于特大違法行為的刑事責任處罰等。除此之外，歐盟數據保護機構對侵犯個人數據的公司予以曝光，增大懲戒力度。近年來，歐盟官方認為美國谷歌公司、蘋果公司等搜索引擎與移動設備服務供應商通過提供服務非法獲取、侵犯公民個人數據，曾多次表態要加強對有關企業的監管。而谷歌、蘋果等企業也在對歐盟立法機構開展游說公關，以減輕可能面臨的執法壓力[27]，美國政府亦出面為其企業進行整體談判以獲得歐洲市場，在美國國內則通過出臺一系列文件[28]，系統闡述了美國政府大數據戰略，以政策與相關法案構建了其隱私權保護的基本框架，保持美國在大數據經濟中處于領先地位。

4.國家安全之爭

法國大法官路易·儒瓦內在1977年經濟合作與發展組織（OECD）隱私大會上提到，“信息是一種實力，經濟信息是經濟實力的代表。信息具有經濟價值，一國對于某些類別數據的存儲和處理的能力能夠賦予一國相對于他國的政治和技術上的優勢。反過來，跨國數據轉移卻會導致一國國家主權的喪失”[29]。當前各國有關個人信息保護的立法盡管都在私法范圍之內，但是涉及跨境數據傳輸時都必然要考慮到國家安全問題，各國都試圖在跨境數據傳輸上采取雙重標準，一方面自己盡可能抓取他國的數據，但又盡可能避免自己的數據外流，跨境數據傳輸問題看似是私法問題，其實涉及數據主權與數據資源的爭奪，過分開放的數據流動政策顯然不利于國家安全，這也是為何歐盟一直竭力主導跨歐美跨境數據流動的各類協議。歐美在個人數據保護方面的矛盾是歐美企業間的矛盾，歸根到底還是國家數據主權與經濟實力的斗爭。這場較量將是一個持久戰，誰在經濟上最終戰勝對方，誰就獲得了主動權和更多的回旋余地。

五、個人信息保護的中國路徑

（一）區分個人信息人格權與個人信息數據庫財產權

在過分側重人格化的歐洲保護模式以及強調個人信息商業化利用的美國模式之間，我國在立法取向上應當綜合借鑒，特別是應當看到互聯網產業和人工智能技術的發展，大數據應用無時無處不在，商業機構在將數據去識別化之后的再應用已不可控制，單個個人對其數據提出保護要求幾乎不可能獲得有效的財產權救濟，在這種情況下，對個人信息的立法保護重點應放在“個人”基本人格權的保護以及加工過的個人信息數據庫財產權的保護。個人信息保護的消極限制（僅限于人格權保護）與積極利用（鼓勵財產權行使）本質上是多重因素作用的選擇問題。當前大數據時代的個人信息生態系統及流轉方式，顯然無法適應新業態的發展需求，我們應當重新審視個人信息保護的規則及秩序，構建平衡產業發展與個人信息保護的新思路。借鑒歐盟和美國的經驗，無論是采取信息財產權的積極利用還是人格權消極保護，這場戰爭背后的制度邏輯在于如何更好地將個人信息保護置于一部國家的法律體系中且需要與國家的政治、經濟需求相契合，個人信息保護的立法初衷應當是：為避免大規模數據處理對個人的權益及自主性造成損害，首先應當保證個人的基本人格權，之后應當順應技術與產業發展趨勢，在個人信息去識別化后允許數據的再加工和利用，對于去識別化后的數據庫給予財產權保護。

（二）禁止溯源制度

在個人信息的分類模式上應當重新考量。傳統意義上的敏感與非敏感數據保護模式顯然不符合大數據時代需求，個人信息應當區分為三個層次。第一項是私人隱私信息，這部分因彰顯自然人人格屬性應當得到格外的關注和重視，例如犯罪記錄、指紋信息，人臉識別等；第二項是個人間接信息，需要經過分析加工后可定位到個人，例如：購物信息、聊天記錄、行走路線等。第三項是加工信息[30]，這部分信息經過加工后很難識別出個人的信息，例如：大數據分析報告中將大量的原始信息脫敏處理形成的分類數據庫，這部分信息很難與信息原始主體形成一一對應的關系，事實上，數據財產化與人格化爭議的核心就在此類數據庫上，數據庫加工過程中原始數據主體多不知情，企業完全可以自我操控，但這些經過去識別化的數據企業也有技術能力還原，一旦還原又很容易識別出“個人”，所以，法律應當對這類數據庫加工者苛以較為嚴苛的限制，禁止任意溯源。最新修訂的《日本個人信息保護法》以匿名化為起點進行保護，匿名加工信息是指對不能識別特定個人的信息進行加工而且該加工過的個人信息也不能復原并追溯到個人。[31]我國個人信息保護應當以信息處理匿名化為基點重新構造，以數據的不可追溯為核心。

（三）國家設立行政監管機構以及商業機構設立隱私官制度

在監管體制上我國需要設立相應的行政執法機構。采用刑法、民法對個人信息保護都有時間上的局限性，對惡意侵權事件不能有效快速地制止，縱觀各國立法，都有較強的行政監管體制發揮作用。日本設立個人數據保護委員會，韓國個人數據保護法中專門設置了糾紛調解委員會：通過簡單的調解程序，可以采取停止侵害行為、恢復原狀等相關措施。韓國個人信息糾紛調解委員會也可以解決損害賠償問題，在一定程度上保證了糾紛解決的高效便捷。[32]美國的FTC有權制止企業的不公正和欺瞞行為，可以發出禁止、排除命令，制裁罰款等，歐盟的數據保護委員會，作為獨立的行政機關監督個人信息保護的全過程。

商業機構的隱私風險并非產生于個人信息收集之初，多集中在使用環節，即使類似的信息因為使用場景的差異也會帶來完全不同的結果，因此未來的信息立法應當更加重視信息使用階段的監管。隱私保護官的設立對于商業機構非常必要。美國多數大型公司都設立首席隱私執行官，對公司的隱私保護執行政策進行評估。德國法律要求對其商業機構設立數據保護顧問。數據保護顧問的職責包括：對隱私事項檢查、數據信息登記、監督數據處理活動等內容，數據保護顧問起到內部監管作用，同時德國聯邦設立了數據監管機構，其主要監督《德國聯邦數據保護法》以及其他涉及個人數據的使用和處理的法規的執行，并對數據保護顧問進行監督，在必要的時候提供援助。我國應當考慮設立個人信息保護官（隱私官）制度，完善商業機構的數據問責制。

（四）完善行業自律

在法律尚不完善之時，倡導行業自律有助于創造基本有序的產業環境，即使法律已經健全，倡導自律自治也非常便捷和高效。美國的非營利性網絡隱私認證機構TRUSTe、BBB online（Better Business Bureaus online）實行網絡隱私認證計劃，對企業的隱私保護隨時進行測評。我國尚沒有專門的行業自律規范，即使在《中國互聯網行業自律公約》中也沒有明確約定。為了增強我國互聯網企業保護個人信息的意識，促進互聯網企業遵守基本的法律規范和商業道德，引導互聯網企業制定更加規范的個人信息保護政策，2014年，北京大學法學院互聯網法律中心以獨立的民間學術機構發布了《互聯網企業個人信息保護測評標準》（雙語版），確立了互聯網企業在個人信息處理（收集、使用、轉移和刪除）上應當遵循的基本原則：（1）知情同意原則（Principle of in-formed consent）；（2）合法必要原則（Principle of legality and necessity）；（3）目的正當原則（Principle of valid purposes）；（4）質量保證原則（Principle of quality assurance）；（5）用戶參與原則（Principle of user participation）；（6）安全保障原則（Principle of se-curity）。[33]2015年，互聯網法律中心根據測評標準對50家國內外互聯網企業的個人信息保護狀況進行了產品體驗和測評。從測評結果看，我國互聯網企業對個人信息的整體保護處于中下水平，個別企業有政策無保護，有些企業甚至完全空白，連形式上的隱私政策也沒有。個人信息保護是前所未有的新的法律概念，在立法不完善之時，行業自律的作用不可忽視。希望我國的行業機構盡早建立民間的監管機制。

大數據應用的立法規制遠不是當年隱私保護的初衷，到了一個形式上是產業利益競爭、實質上是國家安全控制的新階段。每個國家在立法上都“各揣心腹事”，立法者在個人信息保護和自由高效發展大數據產業之間必須做出智慧的選擇。