姚楚楚

大数据时代，个人信息呈现出多样化形式及多重价值。数字技术在带来高效、便利生活的同时，也对个人信息安全保护提出了更高的要求。当前个人信息的快速流通和频繁使用已是常态，海量的个人信息经过技术分析和处理，就能够为信息控制者提供帮助，成为决策依据，实现经济效益和社会效益的双丰收。但掩盖在蓬勃盛景下的是个人信息安全问题，公民的个人信息时常游离在危险边缘，种种信息伦理问题的出现，使传统的法律和道德规范遭受冲击，也加重了公民在个人信息方面的不安全感，个人信息保护面临严峻挑战。如何在数字时代实现对公民个人信息安全的保护，成为当下刻不容缓的现实问题。

保护个人信息必须实现两个平衡。一是在个人信息的安全价值与数据流通的效率价值之间实现平衡。个人信息不仅与信息主体的人身和财产权益关系密切，其经济价值、公共管理与服务价值也备受关注。立法和实践既不能过于强调个人信息使用、流转的效率价值和商业利用，而忽视个人信息的安全价值，也不能对个人信息进行过度保护，从而产生“数据壁垒”，阻碍数字经济等新经济和社会的发展。二是在个人利益与社会公共利益之间取得平衡。一方面，个人信息本质上属于人格权益，表征着自然人的人格尊严与人身自由，承载着自然人的个体特征和精神利益。对个人信息的保护也意味着对人格尊严等价值的保护。但另一方面，人生活在社会中，势必要让渡一部分个人利益以获得各种权益和便利。如在新冠肺炎疫情等突发公共卫生事件中，个人信息所体现的个体隐私利益相较于社会公共利益，往往要在一定程度上让位于具有优先性的后者。

加强宣传教育，提高保护意识。全社会应加大宣传力度，打造“政府主导、社会助力、企业参与、个人配合”的个人信息安全宣传教育新模式。要多形式、多渠道地宣传个人信息安全知识，普及相关法律法规，强化个人信息安全保护责任意识和技能，进行事前的风险预防，尽可能防止个人信息泄露。如通过媒体等多种平台曝光相关违法违规行为、发布典型案例、开展警示教育等，强化公众个人信息保护的敏感度，引导公众了解应当如何开展救济。同时，要加强对企业和政府机关的宣传教育，对个人信息应当依法依规采集、规范妥善处理，杜绝滥采滥用个人信息的行为。

完善法律制度，构建配套规则。系统、完善的《个人信息保护法》及配套的法规、制度能够有效降低个人信息受侵害的风险。可考虑借鉴美国、日本、欧盟等国家和地区的立法和实践经验，建立健全“基本法+专门法”的双重规制架构来保护个人信息安全，制定用于解决具体痛点、难点问题的可操作性强的专项法律法规，加强针对性。例如，针对一些重点领域（如医疗、互联网、金融等）的个人信息保护问题进行单独立法，根据不同行业特点，分别构建有针对性的保护机制，加强保护力度。

加大惩罚力度，提高违法成本。应当建立民事救济、行政责任以及刑事责任相结合的惩罚机制，适当提高个人信息侵权行为的违法成本，加大惩罚力度，以保障相关法律的切实落地执行。例如，一旦发生个人信息泄露事件，政府部门可以根据泄露的规模、信息控制者采取的防范及补救措施、是否积极配合调查、个人信息泄露造成的损害程度等多个维度，作出不同程度的行政处罚，从而敦促信息控制者履行个人信息保护的义务，承担相应的法律责任，将信息保护的外部压力传导至信息控制者内部。

加强行业规范，加大监管力度。首先，政府对企业等信息控制者的有效监管是市场竞争秩序的重要保障，也是解决它们之间“囚徒困境”的有效力量。政府应当设立专门的监管机构，明确监管职责，加大监管力度，真正将监管职责落到实处。其次，应当加强行业自律及互相监督，鼓励和支持由行业协会或其他组织在监管部门的指导下，结合自身特点制定和修改行业行为准则，进行行业内部的自我约束和管理。行业所制定的内部规则相比于法律更具灵活性和执行力。最后，个人信息保护的公共利益特性为社会舆论监督提供了可能性。社会舆论的监督可以起到提示、补充的作用，甚至有时比政府监督更加迅捷、有效。因此应当在全社会建立起多元、畅通的监督渠道，充分发挥媒体、群众等各方的监督作用。

大数据时代改变了人们的生活，也带来了新的风险和考验。个人信息保护之路任重道远，需要多方协同开展，构建体系化的保护方案，从具体事实和场景出发，制定配套法规、完善协同治理等，才能完善法律法规，并将纸面上的法律落到实处。织密个人信息保护的法治之网，才能避免个人信息保护在大数据时代的数据流通迷雾中迷失方向，才能从法治层面保障数字化建设的顺利推进，切实维护好广大人民群众的网络空间合法权益，使人民群众在数字时代拥有更多的幸福感、安全感。