隐私、个人信息、数据三元分治的法理逻辑与优化路径

摘 要：从范围上看，隐私、个人信息、数据三者之间存在重合，个人信息的范围最大，数据的范围次之，隐私的范围最小。从属性上看，隐私仅具有人格权属性，数据仅具有财产权属性，而个人信息兼具人格权属性和财产权属性。个人信息保护中存在着不同的利益诉求，应把握好数据开发与信息保护之间的平衡。从世界立法演进历程来看，存在着一条从名誉权到隐私权再到个人信息权最后到数据权的发展轨迹。在个人信息保护立法方面，形成了以美国立法为代表的分散立法保护模式和以欧盟立法为代表的统一立法保护模式。二者各有优劣，分别根植于独特的法治体系。我国隐私保护、个人信息保护、数据保护的三元法律体系已初步形成。应通过逻辑自洽的个人信息保护和数据保护法律制度体系实现信息自由和隐私保护并重，通过出台《数字经济促进法》《个人信息保护法实施条例》等处理好个人信息保护立法体系的内部协调与外部衔接，完善关于数据分级分类、权利体系、救济机制等的具体规范。

关键词：隐私；个人信息；大数据；利益平衡；数字经济促进法

目次

一、问题的提出

二、隐私、个人信息和数据的内在关联与外在区别

三、立法模式的比较选择与逻辑自洽

四、立法体系的内部协调与外部衔接

五、隐私、个人信息和数据保护三元立法的优化路径

结 语

一、问题的提出

现代社会正逐渐从“身份互联”时代迈入“数据互联”时代，加强个人信息保护已成为时代关注焦点和国内外立法重点。欧盟在1995年《数据保护指令》（Data Protection Directive）的基础上于2016年通过了《通用数据保护条例》（General Data Protection Regulation，以下简称GDPR），将个人数据（信息）权视为基本人权。GDPR被称为“史上最严个人数据保护条例”。美国加利福尼亚州于2018年颁布了《消费者隐私法案》（California Consumer Privacy Act of  2018，以下简称CCPA），改变了美国长期以来的个人信息自律保护模式。CCPA被认为是“美国国内最严格的隐私立法”。

近年来，我国的个人信息保护立法进程正在加快。2012年通过的《全国人民代表大会常务委员会关于加强网络信息保护的决定》和2013年修订的《消费者权益保护法》率先明确规定自然人的个人信息受法律保护；2016年通过的《网络安全法》从网络安全角度对个人信息保护作出了专门性规定；2018年通过的《电子商务法》对电子商务中的个人信息保护提出了明确要求；2020年通过的《民法典》在肯定《民法总则》第111条对个人信息进行保护的基础上，将人格权独立成编，扩大了个人信息保护范围；另外，2015年《刑法修正案（九）》、2018年《个人信息安全规范》、2019年《儿童个人信息网络保护规定》、2021年《数据安全法》等也分别从打击侵犯公民个人信息的犯罪、严格个人信息保护标准、加强儿童个人信息保护、加强数据安全等角度对个人信息保护作出了规定。为进一步解决我国个人信息保护立法的碎片化问题，第十三届全国人民代表大会常务委员会第三十次会议于2021年8月20日通过了《中华人民共和国个人信息保护法》（以下简称《个保法》），引发了社会普遍关注和学界广泛热议。

然而，无论是在理论研究层面，还是在立法实践层面，个人信息保护都面临着诸多困境。在理论研究层面，不仅存在着个人信息、隐私与数据等术语的概念模糊、个人信息权法律属性不清等微观问题，而且存在着关于个人信息权利保护模式、实现路径等方面的宏观问题。在立法实践层面，不仅存在着关于个人信息保护的篇章布局、条文表述等技术问题，而且存在着关于目的导向、价值取舍等方面的理念问题。在数字经济时代，如何处理个人信息、隐私与数据之间的关系？如何构建具有中国特色的个人信息保护法律体系？这些问题值得深入研究。

基于此，本文以数字经济时代背景下的个人信息保护为着眼点，以《个保法》相关条文为切入点，以完善我国隐私、个人信息、数据保护的法治路径为落脚点，研究当今社会个人信息保护中的利益平衡问题。具体研究从以下四个层面依次展开：首先，从厘定隐私、个人信息与数据的概念出发，探讨三者在利益范围、利益属性、利益主体等方面的内在关联和本质区别；而后，梳理学界关于个人信息权益属性的理论观点和分歧焦点，总结域外相关先进立法经验和成熟做法，论证隐私、个人信息和数据三元分治法律体系的内在逻辑；继而，基于法律规范体系化要求，探讨个人信息保护立法的内部协调和外部衔接问题；最后，从制度创新角度，就我国的三元法律体系构建问题，从数据分级分类、权利体系构建、救济机制再塑等方面提出具体建议。

二、隐私、个人信息和数据的内在关联与外在区别

在现阶段，对于隐私、个人信息和数据三者概念的使用、表述和界定，无论是在理论上，还是在法律上，都比较模糊、混乱，甚至存在诸多误解。对三者的概念进行界分，勾勒出差异化保护的制度框架和规则体系，厘清三者之间的关系，无疑是事关个人信息保护立法理念和立法模式的基础性工作。

（一）利益范围的重合

GDPR把“个人数据”（personal data）界定为“与已识别或可识别的自然人相关的任何信息”。德国《联邦数据保护法》把“个人数据”界定为“所有与已识别或可识别的自然人有关的信息”。在美国法中，广泛使用“个人可识别信息”和“大隐私权”概念，这两个概念与“个人数据”概念可以被互换使用，由此，个人信息及数据都被纳入隐私保护法的调整范围。

在我国法律中，隐私、个人信息和数据各有独特的内涵。《民法典》在其第四编“人格权编”中设专章即第六章规定了“隐私权和个人信息保护”问题。其中，第1032条对“隐私”作出界定，把“隐私”定义为“自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息”。第1034条对“个人信息”作出界定，把“个人信息”定义为“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息”。《网络安全法》第76条关于“个人信息”的定义与《民法典》第1034条的规定相类似，而《个保法》第4条把“个人信息”界定为“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息”。《数据安全法》对“数据”和“信息”作出了区别对待，在第3条中对“数据”作出界定，即“任何以电子或者其他方式对信息的记录”。同时，我国《民法典》第1034条第3款规定，“个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定”。

从广泛意义上看，个人信息中包含了隐私，侵犯隐私的行为必然侵犯个人信息权益。隐私在本质上是信息性的，对于“将隐私视为信息”的观点，理论上应无异议。从侧重点上看，隐私强调“私密性”，个人信息强调“身份识别性”；从表现形态看，个人信息的形态是“信息”，而隐私的形态则不限于信息形态；从利益相关者角度看，隐私仅具有个体性，与他人利益或公共利益无关，而个人信息与国家利益、公共利益密切相关。作为隐私权客体的隐私，与个人生存、自由、尊严密不可分；作为个人信息权益客体的信息，已经从隐私中独立出来，成为了一种独立的法律保护对象。因此，从范围上看，隐私、个人信息与数据三者之间虽然存在着某种重合，但整体而言，个人信息的范围最大，数据的范围次之，隐私的范围最小。一方面，个人信息与隐私存在交叉重合之处，个人信息中的敏感信息通常是隐私权保护的客体，隐私中的私人信息也往往属于个人信息范畴。另一方面，数据是表达信息的一种方式，是以二进制代码所表现出来的信息内容，属于信息的一部分。从法学规范意义角度讲，我们有必要厘清隐私、个人信息、数据三者概念的内涵和外延，奠定法律赋权的基础。但也必须认识到，三者之间不是非此即彼的关系，由于个体的差异性和主体的主观性，欲在实践层面对三者进行严格界分，实属不易，理论上的区分更多地具有描述性意义。着眼于未来，我们仍应在理论层面和立法层面厘清隐私、个人信息、数据这三种法律关系客体的概念，进而确定相关权利体系、权利内容和权利属性，为司法实践提供具体指引。

（二）利益属性的差异

隐私权属于人格权，对此观点，学界并无争议。然而，关于个人信息权的本质属性，学界争论已久，形成了以下几种代表性观点：一是基本人权说。该学说主要来源于欧盟。其认为个人信息权具有宪法属性，属于“公民的人格尊严不受侵犯”的范畴。“不论个人信息由何人收集，其本质上还是有关信息主体的信息记录，是公民个人的基本权利。”二是隐私权说。该学说主要来源于美国。其认为个人信息属于传统隐私范畴，基于场景理论的隐私判断模式是个人信息保护的基础。三是新型人格权说。该学说主要来源于德国。其认为个人信息权以人格利益为保护对象和权利内容，具有传统人格权的本质特征，但又不同于传统人格权，是一种新型的人格权。四是新型民事权利说。该学说认为，个人信息权并非传统私法中的人格权、财产权或知识产权，而是互联网时代的一种新型民事权利。五是公共物品说。该学说认为，个人信息具有公共物品属性，故应弱化自然人对个人信息的占有，强化个人信息的公共利益价值，允许相关主体对个人信息进行收集、分析和使用。上述各学说均有一定的道理，只是着眼点和侧重点不同。整体而言，隐私仅具有人格属性，数据仅具有财产权属性，而个人信息兼具人格权属性和财产权属性。“在我国法上，自然人就其个人信息所享有的民事权益是一项新型人格权益，其与隐私权在权利性质、许可使用、侵害行为以及处理规则等方面存在差异。”而“数据的价值及其对于经济发展的潜在重要性，尤其是它对社会生活方方面面的影响，将推动决策者寻找更好的解决方案”。根据个人信息保护的要求，个人信息只有在经过“去识别化”之后，方能被使用，而在“去识别化”后形成的数据已不再与自然人人格权属性相关，因此，数据仅具有财产权属性，不具有人格权属性。总之，隐私和个人信息更多地涉及人格权和受宪法保护的自由、尊严和安全，数据则不然，尤其是经过匿名化处理、不再具备可识别性特征的个人信息，更多地体现出财产价值。

关于数据权利的法律属性，存在物权说、新型财产权说、经营权说、资产权说等多种观点。当然，也有学者认为，关于数据，存在个人数据、企业数据和国家数据之分，个人数据所承载的是纯正的新兴法益，而企业数据和国家数据所承载的则是不纯正的新兴法益，数据法益可以分为原始价值性利益和派生工具性利益。笔者认为，将数据权利作为一种新型财产权，是比较合理的。一方面，数据蕴含着重要的财产价值，数据财产是信息社会的基础性资源，数据控制者可以利用数据获得经济利益，因而数据权利是一种财产权。另一方面，数据不同于传统的“物”，不能将其作为绝对权保护对象，因而数据权利是一种新型的财产权利。随着数据价值的不断增强以及数字经济的不断发展，数据权利问题正日益凸显。“在信息时代，信息作为战略性资源，其自由流动具有重要的基础性意义。”笔者认为，将此处的“信息”理解为“数据”，更为恰当。当前，数据已成为重要的生产要素，数字经济已成为国家重要的经济业态，数据竞争已成为国际竞争的重要领域。

由此可见，隐私、个人信息和数据这三种法律关系客体既有联系，也有区别，三者的指向可能具有同一性，需要根据法律关系客体之于权利主体的私密程度以及二者在外在表征上的紧密程度进行具体判断。隐私、个人信息与数据三者的敏感性不同，法律对它们的保护力度亦不相同。虽然“并不存在绝对受到保护的、无需利益衡量即可推定出侵害行为违法性的核心领域（即隐秘领域）”，但是，隐私、个人信息、数据三者所蕴含的信息的敏感度明显不同，因此，对它们进行区别对待，是各国立法的通行做法。隐私权与个人信息权在权利性质、侵权行为类型、能否许可他人使用、处理规则等方面存在诸多差异。通过回顾我国关于隐私权的立法进路，不难发现，我国相关立法经历了从“通过名誉权保护隐私”，到“将隐私权作为独立人格利益”，再到“明确承认隐私权”三个阶段。综上所述，隐私属于严格意义上的人格利益，且不具有任何财产权属性，而信息利益主要应被归属于法律上的人格利益，具有一定的财产权属性，数据则仅具有财产权属性，无人格权属性，转让和利用的自由程度最高。

（三）利益主体的多元

在个人信息保护法律关系中，存在着不同的利益主体，不同的利益主体代表着不同的利益单元。自然人是个人信息的首要主体，其关于个人信息的人格利益诉求是个人信息保护的基本出发点。虽然法人以及非法人组织依法可以享有商誉、名誉等人格权益，但从严格意义上讲，个人信息所蕴含的人格权益应当由自然人所独享。甚至有学者认为：“法律对个人信息加以保护，本质上是保护人格利益（人的尊严和自由），而自然人对其个人信息，无论是单一的还是集合的，其直接经济价值都是可以忽略不计的。”

相关争论在于，企业、社会组织、政府机构对在自身收集、加工大量个人信息过程中形成的数据是否享有权利？享有什么权利？当前，数据已经与资本、技术、土地、劳动等一并成为重要的生产要素和稀缺资源，但始终存在着关于个人信息权属的争议，即个人信息权益是归自然人所有，还是归信息收集利用者（企业、社会组织、政府机构）所有？只有在产权清晰的制度框架内，企业才能合理、合法地收集、利用数据，关于个人信息保护的诉求才具备法理基础。这里主要涉及两个问题：其一，用户在使用互联网平台时所产生的数据，是归个人所有，还是归企业所有？其二，企业可否收集网络留言、用户点赞等公开信息，进而进行“数据识人”？我国《民法典》第127条承继了《民法总则》第127条之规定，确立了对个人信息和数据的二元保护体系，经过匿名化处理的个人信息所形成的数据可以成为财产权益的客体，被法人或非法人组织享有。在现代社会，建立在大量个人信息基础上的数据，无论是对于企业发展和行业进步，还是对于社会治理，都具有重要意义，数据和信息的所有权应当归收集者所有，因为其关涉企业利益、国家利益和公共利益。譬如，依据大数据，相关部门可以有效地防控疫情、打击犯罪、预警危机，这正是“个人信息的公共管理价值”所在。尤其值得注意的是，对于个人敏感信息以及脆弱群体的个人信息的保护，已经超越了个体层面，具有了特殊的公共利益价值。譬如，对未成年人的个人信息进行特殊保护，已是国内外立法的普遍做法。GDPR明确规定，儿童的个人数据需要得到特殊保护。我国香港地区2013年《个人资料（隐私）保护条例》强化和细化了对未成年人等弱势群体的个人信息的保护措施。我国《网络安全法》第13条特别规定了未成年人个人信息保护问题，而《儿童个人信息网络保护规定》也专门规定了未满十四周岁未成年人个人信息安全问题。总之，在大数据时代，个人信息保护问题十分复杂，涉及不同的利益主体、不同的立场以及不同的诉求，不仅关涉技术问题和法律问题，而且事关商业模式和经济发展问题。

但问题在于，在大数据时代，算法为王，如果对算法以及数据驱动型企业缺乏有效监管，则不仅极易对个人信息权造成侵害，还有可能引发社会治理危机。大规模的信息采集和数据处理大大增加了数据被滥用、权利被侵害的风险，使公民的人身财产安全受到严重威胁。如今，完善个人信息保护立法已成为社会共识，但对于如何在保护个人信息安全与促进数字经济发展之间寻求平衡，尚未形成共识。具言之，对于个人信息保护立法，到底是以保护自然人人格利益为主要价值取向，还是以促进数据产业发展为主要价值取向，抑或是以实现政府公共管理职能为主要价值取向？对于这一问题，不同的回答将导致不同的立法取向，进而导致不同的制度设计。事实上，我国的个人信息保护立法确实面临着两难境地：若采取过严的个人信息保护策略，则可能影响企业的创新，乃至对数字经济发展产生不利影响；而若采取过松的个人信息保护策略，则必然会侵犯公民私权，进而影响法治建设进程。质言之，若个人信息保护范围过窄，则权利有受到侵害的风险；而若保护范围过宽，则会影响信息的自由流动，阻碍数据产业的发展。

隐私权的主体只能是自然人，企业、社会组织和政府机构等其他主体都不能成为隐私权的主体；而个人信息权的主体则不仅包括自然人，还包括法人、非法人组织等个人信息的控制者。在某些情况下，虽然企业、社会组织、政府机构等法人或非法人组织也享有信息保护权，但这种信息保护权与个人信息保护权有着本质区别，将其定位为信息财产权即数据权更为合适。换言之，经过收集、加工和处理的个人信息，不再是个人信息，而是“公共数据”或“企业数据”，其利益主体不再是自然人，而是数据的生产者或控制者。因此，在我国的司法实践中，当“个人”作为主体时，我们往往使用“信息”这一概念，强调个人的知情权、控制权、处理权等，而当“企业”等作为主体时，我们往往使用“数据”这一概念，强调数据的经济价值或管理价值。

三、立法模式的比较选择与逻辑自洽

数字经济的发展壮大，需要法治保驾护航。“一般人格权的主要问题在于它的不确定性，因为对一个人的保护，往往是以牺牲另一个人的权利或利益为代价的。因此在发生争议时，必须进行利益衡量。”学界已经认识到了个人信息安全与数字经济发展之间的兼容性问题。有学者提出，应建立以“三方平衡”为基础的“两头强化”方案，即“强化对个人敏感信息的保护”，“强化对个人一般信息的利用”，以期最大限度地调和个人信息保护与企业信息利用之间的矛盾。

（一）个人信息保护立法模式的学界争议

关于个人信息保护的必要性和紧迫性，社会各界已无异议，但关于个人信息保护的具体路径和立法模式，则存在一定分歧。学界的分歧主要体现为两个层面：其一，对于个人信息所蕴含的精神利益和经济利益，是采取一元保护模式，还是采取二元保护模式？其二，对于个人信息，是采取私法保护模式，还是采取公法保护模式，抑或采取其他保护模式？

就第一个层面而言，主要存在一元保护模式和二元保护模式之间的分歧。所谓一元保护模式，是指通过人格权来实现对自然人等民事主体的精神利益与经济利益的保护。该观点从我国民事立法实际和司法实践出发，认为我国《民法典》允许人格权主体对姓名、名称、肖像、个人信息等人格要素进行商业化利用，当人格权受到侵害并产生精神损害和财产损害时，人格权主体可以请求损害赔偿，因此，只要明确了自然人对其个人信息享有人格权益，即可承认自然人同时享有人格权益中的精神利益和经济利益，而无需分别设立单独的人格权和财产权。所谓二元保护模式，是指对于人格权益中的精神利益与经济利益，采取分别立法保护的模式。该观点认为，精神利益的保护模式与经济利益的保护模式之间存在着重大差异，一元保护模式不符合人格权的内在逻辑。具体而言，有学者主张，应在人格权、财产权之外设立商事人格权，以涵摄具有经济利益的人格权；也有学者主张，应通过创设商品化权或形象权等新型无形财产权，实现对人格权益中的各种经济利益的保护；还有学者认为，具有人格要素的商品化权益属于一种独立的民事利益，而非人格权，我国通过民法、商标法、反不正当竞争法等法律法规已形成了二元保护的立法格局；当然，也有学者认为，对人格权的商品化利用并非创设了一种新的独立权利，而是人格权的利用权能发生了扩张，否则，难以将所谓的新的权利与原有的人格权区分开来。

就第二个层面的分歧而言，主要有三种观点：一是私法保护为主说。该观点认为，个人信息具有人格权属性，故应通过侵权责任法等私法强化自然人对其个人信息的控制，可借鉴欧美场景理论下的风险控制模式，建立差异化损害赔偿制度，甚至可采用赋权保护方式，提升大数据时代下自然人的弱势地位，调动个体维护个人利益的积极性，从而实现权利保护、信息利用和公共利益之间的平衡。二是公法保护为主说。该观点认为，在大数据时代，个人信息保护面临着系统性风险，自然人对个人信息的控制遭到弱化，私法保护模式下的个人信息自决权往往流于形式，这不利于信息流通，加重了企业负担，阻碍了信息产业发展，因此，应从公共产品角度肯定个人信息流通的公共价值，从公法保护角度进行风险控制，并通过专门机构对个人信息的收集、使用与控制进行监管，以达到促进个人信息的共享与使用之目的。换言之，“个人信息控制权是需要通过个人信息保护法来确立的一项新型公法权利”。政府机构对数据这种公共物品享有信息管理权，有利于发挥政府在维护公共利益方面的能动作用。三是综合保护说。该观点认为，当今的个人信息保护立法模式已经超越了传统的公私法二分的立法模式，故应采用综合立法模式，即融合公法、私法、社会法保护模式，既确认个人信息权利，又确保个人信息安全。

在大数据时代，个人信息的利益主体多元化，利益诉求多样化，利益冲突加剧化，因此，无论是传统的公法保护模式，还是传统的私法保护模式，都不能因应个人信息保护的复杂形势。个人信息不仅对于自然人的人格尊严意义重大，而且对于经济发展、犯罪预防、社会管理、疫情应对、国家安全等具有重要价值。多元的利益格局决定了保护个人信息的方式不是单一的，而是综合的。个人信息所蕴含的人格权属性和财产价值属于侵权责任法等传统民法的保护对象，然而，在大数据时代，由于信息主体与信息控制者之间地位悬殊，故需引入消费者权益保护法等经济法规范，对违反禁止性规定的经营者作出惩罚。尤为值得注意的是，在当今社会，公权力部门是个人信息的控制者，其极有可能以维护公共利益之名，侵害个人信息权益。因此，需要引入行政法等公法，防范公权力部门在社会治理过程中滥用个人信息。笔者认为，即使在制定了统一的个人信息保护法的背景下，仍应采取公私法协同推进的多元化法治路径，充分发挥部门法的功能，建立综合治理模式，实现个人信息保护法律体系内部的统一和协调。《个保法》除了规定了在平等主体之间处理个人信息问题的具体规则之外，还直接规定了国家机关处理个人信息的基本规范，这是公法关系在个人信息保护领域的延伸和体现。因此，个人信息保护法并非单纯的私法或公法，而是具有社会法的属性。

（二）个人信息保护域外立法模式

从世界范围来看，关于个人信息保护立法，主要形成了以美国立法为代表的分散立法保护模式和以欧盟立法为代表的统一立法保护模式。

美国的分散立法保护模式也可被称为隐私权保护模式或行业自律保护模式，是指在隐私保护法的基础上，针对特定行业或领域的个人信息保护问题，制定单行法。所谓“分散立法保护”，一方面体现为美国缺乏统一的适用于各个州、各个行业、各个领域的个人信息保护立法，另一方面体现为美国没有统一的个人信息保护执法机构和监管机构。在美国，有关个人信息保护的法律主要有1966年的《信息自由法案》和1974年的《隐私法案》。1974年的《隐私法案》可以说是一部专门性的个人隐私保护法，其为特定行业或领域的隐私保护立法提供了基本原则和方针，相关单独立法包括《公平信用报告》《录像带隐私保护法》《美国儿童在线隐私保护法》《金融服务现代法》等。在互联网时代，美国法律对隐私权的范畴和保护范围均有所扩张。整体而言，美国立法倾向于鼓励信息自由流通，因此，除商业秘密及一些明显涉及公民隐私的政府记录之外，任何人都有权获取相关信息。可见，美国对于个人信息保护的立法较为分散，更多地强调商业利益之间的平衡，着重解决个人信息与商业利益之间的矛盾，强调各行业内信息控制者、信息处理者以及信息服务商的行业自律。质言之，美国并未采取“以私权对抗公权”的立法模式为个人信息提供强有力保护，而是通过“自我规制”模式即行业自律模式来保护个人信息。

欧盟的统一立法保护模式，是指通过制定统一的法律制度来对个人信息进行保护。所谓“统一立法保护”，一方面体现为GDPR是适用于各行各业且贯穿于个人信息保护各环节的系统法律规范，另一方面体现为欧盟要求其各成员国建立统一、独立、权威的数据监管机构。欧盟关于个人信息保护的法律集中体现在GDPR中，其从公民的基本权利与自由出发，确定了较为严格的监督管理标准和措施，并对被遗忘权这一新兴权利作出了正式规定。通观欧盟相关立法，不难发现，欧盟采取了“私权至上”的立法模式，即在对保护个人信息权和促进信息自由流通进行价值衡量时，更倾向于前者。

上述两种模式各有优劣，不存在所谓的“最佳选择”，两种模式与各自的文化传统、政治制度、法治体系密不可分。美国的分散立法保护模式反映出对个人信息保护范围的限缩，而欧盟的统一立法保护模式则反映出对个人信息保护范围的扩张，这一差异源于根深蒂固的法律文化差异。可见，欧盟国家不十分重视大数据技术的发展，这阻碍了科技的创新和进步,而美国则过于重视经济发展，忽略了对个人隐私的保护。美国的个人信息保护模式有利于数据开发，是推动美国数据产业发展的制度性因素，而欧盟的个人信息保护模式强调人格尊严的优先地位，彰显了法律制度的本源性价值。

就我国而言，个人信息保护立法的路径应建立于社会主义法律体系框架之内和法治传统基础之上。我国个人信息保护立法的时代背景与欧美国家的立法背景显著不同，大数据技术的飞速发展和广泛应用极大地改变了个人信息的应用场景和表现形态，个人信息保护立法进程中的利益衡量和制度选择都面临着新的挑战。无论是欧盟的以统一立法规制为主导的保护模式，还是美国的以市场自我规制为主导的保护模式，都不能完全适应我国当下的市场经济发展现状。因此，我们需要建立多元的治理框架，实现个人信息保护与数据开发利用的二元价值平衡。综合考量我国独特的文化传统背景、行政管理体制和数字经济发展需要，笔者建议开辟第三条立法道路，即综合借鉴美国和欧盟的两种立法保护模式，采取体系性法律保护模式，建立逻辑自洽的个人信息保护法律制度体系，实现信息自由和私权保护的并重，在充分保护个人信息控制权的同时，鼓励信息自由流通。

（三）隐私、个人信息、数据三元分治的内在逻辑

个人信息保护制度与隐私权制度有着重大差别。其中，最重要的表现是，经过去识别化处理的个人信息可以得到合理利用乃至商业化利用，而隐私无论如何都不能被商业化利用。换言之，隐私权作为人格权，具有纯粹的人格权属性，不能被自由交易和处分。但个人信息已经具有了相当强的社会属性，其兼具人格权和财产权的特点。因此，对隐私的保护，完全是基于个人利益的，而在保护个人信息时，则需要考虑个人、企业、政府等多方主体的利益。质言之，个人信息权的主体是自然人，客体是个人信息，具有人格权和财产权双重属性；而数据权的主体是数据的处理者即法人或非法人组织，客体是数据，仅具有财产权属性。笔者认为，个人信息权无论是一种“权利”，还是一种“权益”，其虽然包含着一定的财产利益，但仍应将其主要作为人格权益对待，不能使其直接被他人利用。详言之，他人只有在征得个人信息权利主体的同意后，方可利用和转让个人信息并取得财产利益。从这个角度看，隐私权的保护对象是自然人不愿意被他人所知的信息，而个人信息权的保护对象是自然人愿意被他人所知但不愿意被他人滥用的信息。可见，对隐私权和个人信息权进行法律保护的进路完全不同。保护隐私权的目标在于禁止他人侵入及公开隐私，而保护个人信息权的目标在于保护个人的意愿及个人控制自己信息的权利。

数据保护更具特殊性。在个人层面，数据可以等同于信息，个人信息即个人数据。单一的个人信息或数据没有经济价值，通过隐私保护法和个人信息保护法对其加以保护即可。只有当大量承载个人信息的数据汇聚在一起并成为数据集合时，相关数据才具有经济价值，才存在对其进行单独保护的必要，即将其视为一种新的权利客体来保护。经过收集、整理、加工、脱敏等技术和手段处理的海量数据，凝聚着加工者的劳动和智慧，其与原来的个人信息主体之间的关系已经被切断，成为应在法律上单独受到保护的对象。在信息时代，大数据具有大量、高速、多样、低价值密度等特点，这决定了大数据具有极为重要的商业价值、经济价值和社会价值，是企业、政府机构、社会组织竞相获取的重要资源。详言之，从个人角度看，个人信息兼具人格权和财产权双重属性；从社会角度看，个人信息是社会管理系统得以高效运行的工具，早已溢出私人法益范畴，具备公共权利属性；从企业角度看，个人信息是开发和运营数据产业的重要资源，是市场竞争的重要因素。“在信息时代，信息作为战略性资源，其自由流动具有重要的基础性意义。”因此，利用大数据，是在信息时代发展经济的必然要求，是提升政府治理能力的必由之路。

诚然，赋权保护模式与我国传统的权利保护模式即权利法定模式相吻合，也有利于防止在司法审判中出现同案异判的情况，但是，赋权保护模式忽略了个人信息所具有的公共属性，权利的绝对性会妨碍对个人信息的充分利用。正因如此，《民法典》和《个保法》都采用了“权益”而非“权利”概念。不可否认，民法在个人信息保护中具有基础性地位，但是，网络、电信、金融、医疗、征信、电子商务等领域的个人信息保护问题亦不可忽视，而关于这些领域的立法多属于公法或社会法，且这些法律规范对于打击违法犯罪、保障网络安全、维护公共利益等意义重大。因此，任何单一路径都无法为个人信息提供完整的法律保护，个人信息保护法体系是一个涉及宪法、民法、刑法、行政法、经济法等多个部门法的综合法律体系，应当建立诸部门法相互衔接与配合的综合治理体系。事实上，个人信息保护立法已日益显示出其综合性。笔者赞同这样一种观点，即“对隐私权益必须进行场景化的理解，个人信息流通具有公共性价值。法律保护个人信息的目的在于防范相关风险，促进个人信息在具体场景中的合理流通”。由此可见，宜“通过‘消费者法化’，重新激发个人信息私法保护的活力；同时，采取公法框架进行风险规制，保护个人信息”。详言之，由于建立在主体平等、客体排他、意思自治基础之上的传统私法保护模式日益面临着困境，故应从风险控制的角度出发，将个人信息保护问题纳入消费者权益保护法框架，确定具体场景，并对个人进行倾斜性保护，实现从以私法保护为主导向公私法保护相结合的转变。

四、立法体系的内部协调与外部衔接

在数字经济时代，构建隐私保护、个人信息保护、数据保护的三元法律体系具有必然性，然而，这种三元法律体系的构建在当下中国呈现出复杂的现实图景。一方面，加强隐私保护和个人信息保护的呼声日益高涨，这对中国传统文化和法律制度提出了严峻考验；另一方面，加强信息自由流通和数据开发利用的需求日益旺盛，个人信息保护面临着内外两方面法律衔接问题。

（一）三元法律体系的基本形成

我国《民法典》第127条规定：“法律对数据、网络虚拟财产的保护有规定的，依照其规定。”这说明，我国《民法典》中存在着对隐私、个人信息、数据分别进行保护的法治构想，这一构想随着2021年《个保法》和《数据安全法》的出台而基本实现。特别是《个保法》的出台，有效地解决了我国个人信息保护领域专门性、综合性的立法问题。《个保法》超越了传统的公法和私法的简单二元划分格局，坚持了个人信息与隐私相区分的基本立场，并对敏感个人信息作出了明确界定。

在此背景下，我国的个人信息保护理论研究亦应当转向，即从立法论转向解释论。申言之，在隐私保护和个人信息保护方面，应从法教义学入手，分析《民法典》和《个保法》中的具体规则的立法背景、含义指向及实施建议，为正确落实《民法典》和《个保法》提供理论支撑。特别是针对实践中出现的隐私保护和个人信息保护所面临的知情同意机制弱化以及公共数据和公共利益对个人信息造成限制等突出难题，应梳理分歧焦点、基本法理和法律依据，为司法裁决提供理论指引。在数据保护方面，仍应当以制度创新为导向，从企业数据规则、公共数据规则和公共利益规则等方面，提出优化建议，推动《数字经济促进法》和《个人信息保护法实施条例》的出台，为进一步完善我国的数字经济立法提供智力支持。

（二）法律体系的内部协调

我国立法已经确立了对隐私与个人信息分别进行保护的二元立法体系。《网络安全法》第76条通过“概括定义+列举”的方式界定了个人信息的内涵，即“能够单独或者与其他信息结合而识别自然人身份的各种信息”。《民法总则》在其第五章“民事权利”中，首先肯定了自然人的“隐私权”（第110条），而后明确了“自然人的个人信息受法律保护”（第111条），同时开放性地认可了“数据权”，即“法律对数据、网络虚拟财产的保护有规定的，依照其规定”（第127条）。《民法典》在其“人格权编”第六章“隐私权和个人信息保护”中，不仅明确规定了自然人享有隐私权、个人信息权益，而且明确界定了“隐私”概念（第1032条）和“个人信息”概念（第1034条），同时对隐私权保护和个人信息保护的法律适用冲突问题作出了规定，即“个人信息中的私密信息，适用有关隐私权的规定，没有规定的，适用有关个人信息保护的规定”，具有开创性意义。同时，为了回应互联网时代信息科技的发展要求，《民法典》初步规定了数据权属等问题，因应了在大数据时代对隐私、个人信息和数据进行三元分治的立法模式。需要注意的是，我国法律使用的是“数据”这一概念，而非“个人数据”这一概念，且对“数据”这一概念的界定较为模糊。同时，在法律体系中，《民法典》将“个人信息”视为“人身权”的一部分，置于“民事权利”范畴，而将“数据”与“虚拟财产”一并进行规制，相关保护依赖于其他法律的规定。由于“个人信息权利是正在兴起并不断发展的信息社会中凸显的一项新型权利”，因此，在制定个人信息保护法时，面临着诸多新情况、新问题。

第一，个人信息保护立法应对自动化决策的说明义务作出更加明确的规定，进一步明确接受委托的个人数据处理者的义务和责任，细化合法收集个人信息的依据和标准，明确知情同意机制的例外情形，增加风险评估中的社会伦理维度。

第二，对于某些问题，可以留待后续制定的实施细则或司法解释去解决，需要研究的只是如何对这些问题作出取舍，即将哪些问题交由后续的实施细则和司法解释来解决。

第三，在责任条款的设定、请求权条款的设置方面，应进一步作出完善性规定。涉第三方信息处理者的侵害个人信息案件具有以下特点，即主体具有不平等性与不可互换性，侵害事实难以被查清，损害结果具有潜伏性、持续性和放大性，故现有法律规范不足以应对相关个人信息保护困境。因此，应以实现个人信息保护与产业发展之间的平衡为出发点和立足点，完善相关法律责任规则。其一，在侵权责任类型方面，应单独设立关于个人信息的特殊侵权责任类型；其二，在归责原则方面，应适用无过错责任原则；其三，在举证责任方面，应设立“有限”的举证责任倒置制度；其四，在证明标准方面，应采用高度盖然性证明标准；其五，在赔偿数额方面，如果无法证明受害人遭受的财产损失，则应适用法定数额。其六，在责任承担方面，应确立信息控制者和信息处理者之间的连带责任以及免除连带责任的条件。

（三）法律体系的外部衔接

为了进一步规范和引领数字经济的发展，在强化隐私保护、个人信息保护与促进经济发展之间保持平衡，我国需要构建以公法为依托、以私法为主干、以社会法为补充的个人信息保护权利话语体系。然而，个人信息保护法律体系是一个跨部门的综合性立法体系，在该体系中，不仅存在一些共通的原则、制度和规则，亦会产生不同法律规范之间的排异反应。我国的个人信息保护立法，既要坚持立足国情与借鉴国际经验相结合，建立健全适应我国个人信息保护和数字经济发展需要的法律制度，又要坚持问题导向性和立法前瞻性相结合，体现法律的包容性和适度超前性，还要处理好《个保法》与其他相关法律之间的关系，注意《个保法》与《民法典》《网络安全法》《数据安全法》等法律法规的衔接问题，细化和充实关于个人信息保护的制度和规则。

处理好《个保法》与其他法律的衔接问题，既包括处理好《个保法》与《民法典》《消费者权益保护法》《网络安全法》《数据安全法》等已经出台的法律之间的关系，也包括处理好《个保法》与《数字经济促进法》等尚未出台的法律之间的关系。近年来，我国数字经济立法的步伐明显加快，《数据安全管理办法（征求意见稿）》已由国家互联网信息办公室于2019年5月28日发布。《数据安全法》对网络直播、即时通信、搜索引擎等典型数字经济新业态中的个人信息保护问题作出了规定，但对于自动驾驶、公共数据、人工智能等问题，尚显规制不足。因此，在未来，还应当出台《数字经济促进法》《电信法》《算法法》《政府数据开放法》等法律法规。

首先，关于个人信息保护，应处理好民事保护、行政保护与刑事保护三者之间的关系，实现并重保护和均衡保护。尽管应加大对违法行为的行政处罚力度，让涉事违法主体望而生畏，但是，除了注重行政机关对个人信息的行政保护外，还必须注重司法机关对个人信息的民事保护和刑事保护。民事保护能够为个人信息主体实现人格权益与财产权益提供保障，而刑事保护能够通过追究严重侵犯个人信息的违法主体的刑事责任来发挥警示作用。

其次，应明确《个保法》与《民法典》之间的关系，这实则是明确隐私保护与个人信息保护之间的差别。《个保法》在个人信息的定义、处理个人信息的基本原则等方面的规定，都体现了《个保法》与《民法典》相分离的思路，比如，《个保法》没有提及“隐私”这一概念。《民法典》与《个保法》之间的关系是一般法与特别法之间的关系，二者对于个人信息在调整范围上基本一致，而当出现不一致时，则应适用《个保法》中的规定。

最后，应将《个保法》与《数据安全法》置于同一法律体系内，加以综合考虑，坚持安全与发展并重的原则，兼顾个人信息保护与数据共享的双重立法目的，既做到有效保护权利，合理使用个人信息，鼓励创新，又做到审慎监管，确保数据安全，保持风险可控。对数据应当进行多层次控制，不同的立法的侧重点可以有所不同。而在保护强度上，对隐私、个人信息、数据三者的法律保护等级和保护力度应呈现逐渐减弱状态。

五、隐私、个人信息和数据保护三元立法的优化路径

着眼于未来，我国应健全对隐私、个人信息、数据进行分别保护的三元法律体系，不宜混用隐私、个人信息和数据的概念。目前，个人信息与隐私之间存在区别，且应对二者分别进行立法保护，已成学界共识，而将个人信息区分为敏感信息与一般信息，并予以不同力度的法律保护，也已成为学界的主流观点。在相应的立法设计中，应当区分个人信息保护与数据保护，确立个人信息主体对个人信息的自主控制权。事实上，随着《数据安全法》和《个保法》的出台，我国立法正朝着对隐私、个人信息、数据进行三元分治的格局迈进。

（一）信息数据的分级

“传统个人信息立法立足于单向利益保护，形成‘一刀切’的个人信息保护模式，造成了利益失衡的现实困境。”在大数据时代，个人信息具有财产权属性和公共属性，相应地，个人信息保护立法的价值目标应具有多元性，即应根据个人信息的生命周期进行分类保护和综合考量。换言之，公民的个人信息关涉整个社会的公共利益、国家的安全，甚至关涉国家的信息主权，在理解和把握个人信息时，需从公民、社会、国家的角度进行解释，个人信息保护具有超个人法益的性质。

《民法典》将个人信息区分为个人普通信息和个人私密信息，《个保法》则明确区分了普通个人信息和敏感个人信息。但在《个保法》中，缺少关于个人信息分级分类标准的规定，这导致在司法实践中易对敏感个人信息进行扩大解释，可能导致对个人信息进行分类保护的制度设计被架空。从域外立法经验来看，GDPR第9条对敏感个人信息进行了列举，而美国的《隐私法案》则列举了判断敏感个人信息的12项标准。以此为鉴，我国需要建立健全个人信息分级分类保护目录或保护清单制度，对个人信息尤其是敏感个人信息进行分级分类。另外，《个保法》对个人信息采用了可识别性和可关联性双重标准，但在实践中，可识别性标准和可关联性标准难以被准确把握，故需要由法律规定作出总体性指引。笔者建议在《个保法》第11条中增加一款，作为该条的第2款，即“国家推行个人信息分级分类保护，目录由履行个人信息保护职责的部门制定，并根据个人信息保护的实践状况动态调整”。

实际上，对于个人信息或者数据，存在更多的分级分类方法。譬如，可将数据区分为“个人数据”和“非个人数据”，或者可将其区分为“数据隐私”和“数据财产”，或者可将其区分为“用户数据”和“企业数据”。在现代数据安全语境下，应改变传统的静态保护模式，转而采用动态保护模式，即根据具体场景，确保数据安全和数据共享自由。具体场景不同，数据安全所面临的风险便不同，相应保护措施和风险管理技术方案也随之不同。在构建我国的数据分级分类法律制度时，应制定数据分级分类目录、数据分级分类规则、数据分级分类技术标准等。具体而言，数据分级就是对数据的安全等级进行划分，并采取不同的管理措施，即根据数据对国家、个人、企业、社会公众等不同主体的不同价值意义和作用影响，分别采取严格保密、限制监管、鼓励流动、主动公开等强度不同的规制方法和利用规则，并分别适用不同的授权范围规则、保护义务规则和责任救济规则等。数据分类就是按照不同标准对应用过程中涉及的数据进行类型化，并采取不同的处理规则。譬如，按照来源不同，可以把数据分为个人数据、企业数据、公共数据等；按照公开程度不同，可以把数据分为公开数据、有限公开数据、秘密保护数据等；按照敏感性不同，可以把数据分为一般数据、敏感数据、高度敏感数据等。需要强调的是，数据的分级分类应当是动态的、相对的，在不同场景下，数据的分级分类可能会有所差异。

（二）权利体系的构建

鉴于传统的隐私保护模式和个人信息保护模式无法解决大数据时代的信息控制、利用和处理问题，有学者提出，可以通过个人信息赋权保护模式，明确相关主体的权利、义务和责任，从而克服利益衡量方法的不稳定性，为司法裁判提供具体、明确的法律指引。笔者建议，可以从以下几个方面构建关于个人信息保护和数据保护的权利体系：

其一，应明确规定个人信息权。《民法典》第1034条并未使用“个人信息权”这一概念，导致理论界对个人信息的属性问题存在很大争议。在大数据时代，以数据为载体的个人信息既具有独立的人格权属性，亦具有鲜明的财产权属性，即同时具有“信息自决权”和“数据财产权”两个面向。换言之，在大数据时代，私权保护与数据共享应并行不悖，应将数据财产权与个人信息自决权相区分，以“场景”或“情境”为核心，对个人信息权益进行个别化保护。应进一步明确个人信息主体所享有的权利，具体而言，我国的个人信息权利束包括但不限于个人信息主体在信息收集、保存、利用中的知情权、同意权、决定权、查询权、访问权、删除权、拒绝权、更正权、知情权、选择权、反对权、复制权、被遗忘权、可携带权、自动化处理拒绝权、自主决定权、救济权。

其二，应赋予个人和企业公共数据利用权，引导公共数据的共享和开放。公共数据具有公共属性。公共数据的共享，既可以在政府部门与企业组织之间实现，也可以在政府部门与政府部门之间实现。为此，我国需要进一步完善公共数据的共享与公开规则，促进公共数据效用的最大发挥。

其三，应赋予企业数据权，推动企业数据的利用和流转。企业数据是企业通过合法形式收集和取得的各类数据，其权属性质既有可能是完全权属，也有可能是有限权属，还有可能是无权属。权属性质的不同会导致管理和使用数据的目的和方式不同。在信息社会，数据的价值骤升，已经成为与资本、技术、劳动力、土地等同等重要的生产要素。因此，我国应进一步明确关于数据的权属规则、分配规则、交易规则、安全规则、监管规则等。

其四，应赋予个人被遗忘权，强化新技术运用中的个人信息安全。在当今社会，自动化决策、个性化推荐、人脸识别、用户画像、深度伪造、数据挖掘等新技术不断涌现。这些新技术在提高了数据利用效率的同时，亦带来了算法黑箱、信息泄露、数据滥用、隐私侵犯等问题。因此，应当对数据安全进行风险评估，完善数据的场景化利用规则，确保信息安全。在这一背景下，GDPR中的“被遗忘权”制度进入我国学界视野。有学者认为，被遗忘权呈现出适用情形与责任主体的双重扩张趋势，其更适合被解释为信息化时代利益冲突的解决框架，即应被作为中立性的利益权衡规则引入我国的法律制度体系。而有学者认为，被遗忘权是互联网时代多种价值不平衡发展的产物，我国不必在被遗忘权的建构问题上亦步亦趋，而应当选择更为妥当的方法实现对相关法益的保护。笔者认为，我国有必要赋予个人被遗忘权。譬如，在突发公共卫生事件结束以后，为了个人信息主体的生活安宁，个人信息主体有权要求数据控制者删除相关个人信息，具体可以参考GDPR中的限期存储规定，即“为了控制传染病而收集的个人信息的存储时间不得超过12个月”。对于不具有可识别性的个人信息，基于研究等合理使用之目的，可由相关部门予以封存，确保个人信息的安全性。

（三）救济机制的再塑

《个保法》大幅度提高了对侵犯个人信息权益的行为的处罚力度，尤其是其“按照营业额百分比进行罚款”的规定，被视为《个保法》的一大亮点，大大提高了对违法企业的威慑力，大大增加了企业的违法成本。同时，为了解决司法实践中长期存在的诉讼动力不足、获赔金额过低、举证困难等问题，《个保法》确立了个人信息保护公益诉讼制度。具体而言，对于侵害众多个人信息权益的行为，人民检察院、履行个人信息保护职责的部门和由国家网信部门确定的组织可以依法向人民法院提起诉讼。然而，数据保护专门机构的缺位往往导致相关法律的执行不到位，救济机制的滞后更导致我国的个人信息保护面临诸多困境。为此，笔者建议从以下几个方面完善我国的个人信息权益救济机制：

第一，应建立统一、权威的个人信息保护机构。关于个人信息保护机构，《个保法》提出了“网信部门统筹协调+有关部门各自监管”的模式。这一模式比较贴近于我国传统的行业主管部门专门监管模式，比较符合我国行政机关设置和职能划分的传统，有利于各行业主管部门提高本行业内的个人信息保护水平。总之，对于个人信息保护，我们倡导的是一种“外部监管+行业自律”的双重保护模式。就行业自律而言，需完善内部管理规范和技术保护措施；就外部监管而言，市场监管部门应主动与信息保护部门和司法机关进行有效对接，健全个人信息司法保护机制。

第二，应健全诉讼救济制度。其一，应确立个人信息保护领域的集团诉讼制度，扩大个人信息保护范围，尤其是加强对不知情的潜在受害人的全面保护。其二，应确立行政公益诉讼制度。近年来，我国的公益诉讼立法逐步完善，公益诉讼制度逐步确立，公益诉讼实践日益丰富。在《消费者权益保护法》《环境保护法》《民事诉讼法》确认了消费者权益保护领域和环境资源保护领域的民事公益诉讼制度后，2017年的《行政诉讼法》创造性地确立了行政公益诉讼制度。然而，无论是《民事诉讼法》第55条所列举的民事公益诉讼类型，还是《行政诉讼法》第25条所列举的行政公益诉讼类型，均未穷尽公益诉讼的所有类型，相反，二者均以规定兜底条款的形式表明，其他侵犯公共利益的行为亦具有被纳入公益诉讼的可能。实际上，依法构建专门的个人信息保护公益诉讼制度，是破解个人信息保护困局的有益措施。因此，我国需要进一步深化司法体制改革，拓展行政公益诉讼的受案范围，在个人信息保护领域建立健全行政公益诉讼制度。具体而言，针对行政机关的侵犯公民个人信息权益的行为，应赋予检察机关提出检察建议的权力，敦促相关行政机关履行法定职责，否则，检察机关有权向人民法院提起行政公益诉讼。就具体建构路径而言，应当进一步拓展行政公益诉讼制度的适用范围，明确行政公益诉讼的起诉条件，优化行政公益诉讼的诉前程序规则，完善检察机关的调查取证举措，建立检察机关与个人信息保护组织之间的双向互动机制。详言之，在构建个人信息行政公益诉讼制度时，需在线索来源、起诉节点和起诉标准等方面作出明确规定。应参照侦诉机关之间的线索移送规定，进一步完善检察机关与行政机关之间的线索移送机制，确保检察建议的科学性、客观性和实效性，并依托证据理论，适当实行举证责任倒置，保障检察机关的调查取证权充分实现。其三，应完善民事公益诉讼制度，取消国家网信部门对提起民事公益诉讼的主体的确定权，增加关于“消费者协会等消费者权益保护组织可以作为原告提起个人信息保护民事公益诉讼”的规定。

第三，应完善个人信息侵权法律责任制度。“基于交易成本、估价成本、行为模式预期等经济效率的综合考量，应当重构我国个人信息保护的救济规则”，即“对自然性个人信息适用财产规则，对社会性个人信息与复合性个人信息适用责任规则，并结合行业规则的逐步完善，建立去身份化的行为指引，实现理论构想、法律规范与社会实践的逐步统一”。其一，应坚持对敏感个人信息和非敏感个人信息进行区别化对待的基本立场，对侵犯敏感个人信息的行为，施以更重的法律责任。其二，应确立个人信息保护领域的惩罚性赔偿责任制度，从而弥补传统侵权责任机制中损害填补责任的不足。其三，应确定个人信息保护领域的侵权举证责任倒置原则，督促个人信息控制者及处理者尽其所能采取一些新的措施，不断研发一些新的技术，以确保个人信息处理活动的合法性与合规性。其四，应建立三元归责体系，即针对使用自动数据处理系统的公务机关、非公务机关以及未使用自动数据处理系统的其他主体的侵害行为，分别适用无过错责任原则、过错推定原则以及一般过错责任原则，追究严重侵犯个人信息权益的单位及其直接负责人的刑事责任。

结语

大数据的发展不仅是技术的变革，亦是思维方式的变革，更是治理规则的变革。任何国家的立法都与具体的政治制度、文化背景、法治传统等密不可分，个人信息保护立法亦不例外。在大数据时代，我国的个人信息保护立法应当兼具权利保护、产业促进、权力规制等综合立法目的。隐私、个人信息与数据三者之间，既有区别，又有联系。对于隐私权益，应主要交由民法进行保护；对于个人信息权益，应主要交由个人信息保护法进行保护；对于数据权益，应主要交由数据产业促进法进行保护。从实践情况来看，我国的数字经济发展已经走在了世界前列，但在个人信息保护方面，仍存在治理效果亟待提升等诸多问题。究其原因，我国的个人信息保护法的科学性有待提高，可操作性有待加强。我国颁布了《个保法》，这标志着我国的个人信息保护法治建设迈入了新阶段，但是，个人信息保护立法中的诸多问题仍有待得到进一步研究和解决，具体包括法律名称、立法模式、适用范围、敏感信息、主体权利、执行机构、自律机制等方面的问题，尤其应关注个人信息保护与信息流通促进之间的关系协调问题。实际上，在大数据时代，在进行个人信息保护制度设计时，应从注重传统的静态、单向的保护政策，转向建构现代的动态、多维的数据治理框架，从而平衡个人、企业、国家等不同主体的利益诉求，实现权利保护、行业发展与数据主权之间的良性互动。