【网络安全】数据安全：个人信息保护

1. 全球数据保护立法聚焦个人信息保护

据联合国贸易和发展会议（UNCTAD）统计，截至目前全球有107个国家通过了数据保护相关的专门立法，其中有66个是发展中国家。从上述国家的立法内容来看，所有立法均针对个人信息保护。其法律要求超越了传统信息安全强调的CIA三性——保障数据完整性、保密性、可用性，更多强调了个人对其信息的控制权利，以及国家为保护个人控制权利应当采取的制度和措施。

虽然全球在数据保护方面已有丰富的立法实践，但法律的具体实施一直存在很大的困难，导致纯粹通过政府立法、传统式执法及个人投诉举报等方式难以有效保护个人信息。

一是个人信息的收集及使用行为无处不在。目前，数字经济主要依赖个人信息的处理，几乎没有哪一项生产、销售、消费活动不涉及个人信息。法律往往对个人信息的处理做出了详细规定，但实际的落实取决于处理个人信息的一方。政府有限的执法资源难以对各个接触、掌握个人信息的组织实施有效的监督，即传统的一家监管部门面对多家监管对象的模式难以奏效。例如，GDPR生效后，即使各成员国对其数据保护部门大幅增加了预算和人员，仍然难以应对监管需要。

二是个人信息的收集、使用行为具有很强的隐蔽性。目前，大量的个人信息收集行为难以被个人感知，组织对个人信息的使用更是处于“黑盒子”的状态。这两个特点造成的结果是个人（包括消费者组织）难以对处理其个人信息的组织进行有效监督，进一步导致了投诉、举报的片面或不完整，即传统的发动社会各界主动检举揭发的模式难以充分发挥作用。例如，是媒体调查爆料，而不是受影响用户的主动举报，才导致Facebook与剑桥分析公司共享数据的行为得以曝光。

三是个人信息的收集、使用正在融入组织运营的方方面面，成为组织赖以生存和发展的命脉。因此，当政府开展对某个具体问题的执法检查时，要摸清组织的个人信息处理行为的全貌，就需要耗费大量的人力、物力和时间；组织也需要花费巨大的成本配合监管。而且，目前数字经济的竞争越来越依赖个人信息的积累和开发。面对政府的监管时，组织自然会产生很强的抵触心理，采取各种手段掩盖和逃避。这些情况导致政府开展具体执法时需要耗费大量的资源。

个人信息收集和使用的这些特点造成了一系列的监督执法障碍，还进一步导致执法不均、不公的局面。执法机关为了克服上述障碍，很自然会进行选择性执法，即挑选具有典型示范意义的案件入手，现实中往往表现为“抓大放小”。该做法会导致大量中小企业的违法违规行为无人监管，同时造成大企业应付一轮轮监管的疲劳和抵触心理。所以，传统的执法监督模式已经难以适应目前个人信息保护的监管工作，急需从“技术对技术”的角度入手，创新监管手段。

2. 美国方案：从《隐私法案》到《加州消费者隐私法》

在联邦层面，美国拥有近40部关于个人信息保护的法律。1973年，美国卫生、教育与福利部的《录音、计算机与公民权利》（Records, Computers, and the Rights of Citizens）报告提出“公平信息实践法则”（Fair Information Practice Principles,FIPPs），确定了美国个人信息保护的基本原则。1974年《隐私法案》是美国个人信息保护的综合性法律，明确规范了联邦政府机构处理个人信息行为。同时，美国根据不同领域的特点制定了各个领域的个人信息保护规范，如表1所示。

表1  美国联邦层面个人信息保护的重要规范

在州层面，大多数州都制定了关于个人隐私保护的法律。其中，加利福尼亚州因互联网公司集聚在隐私立法方面而一直走在前列。2018年通过的《加州消费者隐私法》（California Consumer Privacy Act,CCPA），赋予了消费者更完整的个人信息控制权。

美国的数据保护监管机构是联邦贸易委员会（FTC），其消费者保护局主要承担保护个人数据的职责。大多数涉及网络隐私权的诉讼主要由《联邦贸易委员会法》第5节 “商业诈欺”的规则来判决。美国更注重发挥互联网行业协会的作用，通过自我管理和指引，达到个人信息保护和行业发展的平衡。

美国对个人信息的保护具有以下特点。

第一，采取分散的立法保护模式。美国没有制定一部统一的个人信息法律，以避免立法过于集中。相反，它强调个人信息保护的灵活性，由此形成了三层保护策略：议会以立法的形式明确个人信息保护的基本准则与理念；不同的行政部门在执行个人信息保护法律的过程中，以制定行政规则或决定等方式解释法律所规定的准则；法院则通过个案以判例的形式，拓展个人信息保护的领域与力度。

第二，根据个人信息的具体内容进行分业监管，既有专门针对隐私的法律，也有在调整某事项时涉及隐私的法律；既有规范政府行为的法律，也有调整商业主体或医疗、教育机构等特定主体的法律。所涉及的范围极广，包括金融、医疗、教育、税务及通信等多个领域。

第三，专门保护特殊数据主体。对不同的数据主体进行有针对性的法律保护，是美国个人数据保护立法的一大特色。早在20世纪90年代，美国就相继出台了《健康保险携带和责任法》（1996年）、《儿童网上隐私保护法》（1998年）、《金融服务现代化法案》（1999年）等多部专门性法律，分别针对病人、儿童和金融个人数据展开全面保护。

第四，坚持以隐私权为中心的保护理念。在权利保护方面，美国以隐私权保护为基础。隐私权是宪法层面的基本权利，各类个人信息保护成文法对个人信息保护的规定也大多以隐私权的形式存在。联邦最高法院通过一系列判例确立并发展了公民隐私权，隐私权保护的权利形态与范围也在不断地扩大并发生变化：从沃伦和布兰代斯式消极的“不受干扰的权利”，逐渐演进至具有积极意义的“信息隐私权”；从强调个人信息免于不当公开，到对自身信息被收集、处理以及使用等行为进行控制的权利。

美国的隐私权保护是以个人自由为理论基础的。美国在建国之初就把维护个人自由确立为宪法的核心价值，其在设计隐私权制度时主要平衡的是隐私权主体的隐私利益与他人的言论表达自由、知情权等利益的冲突。调整这种利益关系的主要手段就是公共利益规则的适用：凡是不涉及公共利益的个人隐私，受到保护；凡是涉及公共利益的隐私，或者不予保护，或者受到限制。这种基于个人自由对隐私权保护的理念，使对个人信息的保护本就是各种利益之间衡量后的妥协性保护。尤其是当隐私权与自由权产生冲突时，隐私权的价值就会被抵扣，权利范围就会被缩小。在美国的隐私权观念中，对于不能物理控制的隐私利益，如公共场合的隐私利益一直给予比较弱的保护。

这个理念集中体现在被遗忘权方面。不同于被遗忘权在欧洲蓬勃发展的局面，该权利在作为互联网大国的美国却举步维艰。究其原因，欧洲普遍认为个人信息控制是基本人权，增设被遗忘权恰好是加强个人信息保护的有效手段。但在美国，被遗忘权赋予公民删除网络上个人信息的权利，被认为是与美国宪法第一修正案第1条关于“国会不得制定剥夺言论自由或出版自由的法律”相违背的。同时，美国最高法院也认为，只要某一信息是合法取得的，国家就不能通过法律限制媒体传播该信息；即使信息主体因此而不适，否则便是对言论自由与新闻自由的严重践踏。

第五，偏重对信息使用的规制。纵观美国个人信息保护法，可知美国在个人信息保护理念上更加注重对个人信息的利用，而非收集。美国的《大数据与隐私报告》指出：“虽然确实有一类数据信息对于社会来说是如此敏感，即使占有这些数据信息便可以构成犯罪（如儿童色情），但是大数据中所包含的信息可能引起的隐私顾虑越来越与一般商业活动、政府行政或来自公共场合的大量数据无法分开。信息的这种双重特征使规制这些信息的使用比规制收集更合适。”

2018年，Facebook数据泄露事件发生后，个人信息管理的缺失使美国两党、民众以及主要科技公司针对在联邦层面制定统一隐私保护立法达成共识。CCPA就是在此背景下出台，并将于2020年1月1日起生效。CCPA明显借鉴了《通用数据保护条例》的立法模式，顺应了世界个人信息保护立法潮流，将企业收集、储存、销售和分享消费者信息的若干控制权利授予消费者。但是，CCPA依然保留了美国特有的个人信息保护特色，高度重视产业利益，进行权益衡量，探索美国的个人信息保护路径，其主要特点如下。

第一，CCPA体现了美国建立个人信息保护统一标准的趋势。该法确立了适用各领域的统一规则和框架，明确了个人信息、数据主体、数据控制者等核心概念，统一授予数据主体权利，保障了数据主体对本人信息流转的控制。

第二，CCPA强调了个人对个人信息的控制权。CCPA明确指出，《加利福尼亚州宪法》将隐私权确定为全体人民“不可剥夺”的权利之一，赋予每位加利福尼亚州人法定且可执行的隐私权。个人掌握其个人信息的使用、出售的控制权利，对于保护隐私权具有基础性意义。CCPA创建了一系列消费者个人信息权利：访问权，即消费者有权要求企业披露其收集的信息类别和具体内容；删除权，即消费者有权要求企业删除其所收集的任何个人信息；知情权，即消费者有权知道其个人信息被转移到何处，企业必须发布有关消费者的个人信息出售或披露的范围、流向、方式等。企业应尊重消费者选择不出售个人数据的权利，不得通过拒绝给消费者提供商品或服务，以及对商品或服务采取不同的价格、费率等方式歧视消费者。

第三，CCPA对违规行为设定了较重的处罚。CCPA规定，由于企业未履行个人信息保护义务，从而使个人信息遭受未经授权的访问和泄露、盗窃或披露，则消费者可以提起民事诉讼，企业会面临支付给每位消费者最高750美元的赔偿金，以及最高7500美元的损害赔偿金或实际损害赔偿金，以数额较大者为准。

3. 欧盟方案：从若干指令到《通用数据保护条例》

尊重个人隐私保护是欧盟的传统。第二次世界大战期间，个人数据曾被纳粹用来清洗犹太人和迫害反纳粹人士，因此，欧洲人民对数据收集保持着高度的警惕。早在1980年，经济合作与发展组织就颁布了《保护个人信息跨国传送及隐私权指导纲领》，为个人信息保护及数据跨境流动提供了基本原则框架。1981年，欧洲理事会各成员国签署了《有关个人数据自动化处理之个人保护公约》（108号公约），旨在保护个人基本权利和自由，尊重个人隐私，促进数据自由流动。

各国法律要求的差异对欧洲互联网市场的发展构成了障碍。1995年，欧洲议会及欧盟理事会通过了《关于个人数据处理及自由流通个人保护指令》（95/46/EC）（95指令），为欧盟成员国个人数据保护确立了统一的最低标准，并成立了个人数据保护工作组（29条工作组）。近年来，欧盟一直在不断完善个人信息保护方面的法律法规。在电信领域，欧盟于1997年通过了《电信业隐私权指令》, 2002年颁布了新的《电子通信隐私指令》，要求电信和互联网运营商采取措施，确保用户个人数据安全。

随着欧盟数字经济的发展，构建统一的欧盟数据市场，消除立法分歧带来的数据流动障碍，进一步加强个人信息保护，成为欧盟数据保护立法的迫切需求。但是，因各国需将95指令转化为国内法使用，其中留给欧盟各国较大的立法空间，导致各国数据保护依然存在诸多立法分歧。而且，各国法律程序和文化传统不同，欧盟内部并未形成统一的数据保护制度体系。

为了抓住数字革命带来的发展机遇，2015年5月6日，欧盟委员会启动了单一数字市场战略（Digital Single Market Strategy），旨在通过一系列举措革除法律和监管障碍，将28个成员国市场打造成一个统一的数字市场，以繁荣欧洲数字经济。欧盟认为，隔离的市场对于抓住数字经济发展机遇不利，打造统一数字市场是增加欧盟国际竞争力的关键，而建立欧盟内部统一的数字市场需要以统一的数字立法为保障。2016年，欧盟通过了《通用数据保护条例》，一方面加强对个人信息保护，另一方面通过条例的形式建立数字时代欧盟统一的数据保护规则，消除因欧盟各国数据保护的差异而对数据流动造成的阻碍，努力实现个人信息保护与数据自由流动之间的平衡。2017年1月10日，欧盟委员会发布政策文件《打造欧盟数字经济》（Building a European data economy），启动“打造欧盟数字经济”计划。2018年4月25日，欧盟委员会发布政策文件《建立一个共同的欧盟数据空间》（Towards a common European data space），以促进公共部门和私营部门的数据开放共享等。2018年4月，NTT DATA旗下的咨询公司EVERIS发布《欧洲企业间数据共享的研究报告》，通过对欧洲31个国家6大行业的不同规模企业进行网上调查、现场采访、案例分析、召开研讨会等，找出欧洲企业间数据共享与再利用面临的障碍。

总体来看，欧盟的个人信息保护具有以下特点。

第一，统一立法模式。在立法模式方面，欧盟采用统一立法模式，即制定一个综合性的个人信息保护法来规范个人信息收集使用行为，统一适用于公共部门和非公共部门，并设置一个综合监管部门集中监管。

第二，人格权保护模式。在权利保护方面，欧盟采取人格权保护模式，将个人信息视为公民人格和人权的一部分，上升到基本权利高度，按照一般人格权的保护路径进行严格保护，赋予用户知情权、查阅权、被遗忘权、删除权等一系列权利，严格规范网络运营者在信息收集、存储、使用、更改、流动、消灭等全生命周期的行为界限。

第三，采用公法路径。欧洲各国采取消费者法与公法规制进路为个人数据提供保护，而未创设一种私法上的个人信息权或个人数据权，更没有主张公民个体可以凭借个人信息权或个人数据权对抗不特定的第三人。从司法实践来看，欧盟也没有将个人数据得到保护的权利泛化为一般性的私法权利。例如，在2003年的一起案件中，针对奥地利立法机关做出的高级政府官员必须将其薪资告知审计机关的规定，欧盟法院并没有将高级官员的个人信息视为私法权利的客体，没有认为获取该个人信息的主体必须给予信息提供者补偿。相反，法院直接援引了《欧洲人权公约》第8条的隐私权规定，分析了相关当事人的权利是否受到侵犯。

2018年5月25日，GDPR正式实施，在诸多方面做出了重大变革，如赋予个人数据删除权和携带权、限制数据分析活动等，给予公民更多对个人数据的控制权，并要求企业承担更多数据保护责任，集中体现了欧盟的最新数据保护理念，其特点如下。

第一，首次增加“域外适用”情形。与95指令相比，GDPR首次增加了“域外适用”情形，主要体现为两种情况。一是在欧盟境内设立机构。如果数据控制者或处理者在欧盟境内存在设立机构，则无论其设立机构还是数据控制者或处理者本身，实施的任何与数据处理相关的行为都须符合条款规定。二是为欧盟境内数据主体提供商品或服务，以及监控其行为。这个规定包括两层内涵：一方面，数据控制者或处理者为欧盟境内数据主体提供商品或服务，无论这种行为是否涉及费用问题，都将受到GDPR规定的约束；另一方面，如果数据控制者或处理者的行为涉及对数据主体在欧盟境内公民行为的监控，则也须遵守GDPR规定。该条款大大拓展了GDPR的适用范围，使GDPR的影响辐射全球。

第二，采用“原则指引+高额罚款”的策略。GDPR对个人信息的保护及监管达到了前所未有的高度，对个人信息设置了严格的保护标准。但是， GDPR未通过详尽的规则指南明确具体的行为标准，进行数据管控，而是通过“原则指引+高额罚款”的策略促使网络运营商不断自我完善，最终真正承担起主体责任。一方面，GDPR的规则多以“原则、要求及其所达致的效果”为主，而非如何落实规则的详尽步骤和规范，如“采取措施确保……”为主体完善自身数据保护体系留下了许多行动空间。因此，企业可以根据业务特征和组织架构构建适合自身发展的数据保护体系。另一方面，GDPR设置了最高处以2000万欧元或上一财年全球营业额4%的高额行政处罚，给予网络运营商以真正触及痛点甚至关乎生死存亡的强烈威慑力和震慑力，增强其紧迫感。

第三，赋予公民广泛的个人信息权利，以实现数据全生命周期的可控。GDPR从个人权益出发，赋予用户查阅权、拒绝权、删除权、更正权、携带权及获得救济权等对数据全权控制的一系列权利，并要求各成员国将其提升到保护自然人基本人权和自由的高度，强调公民对个人信息从数据收集到删除全流程的控制权和决定权。一方面，扩展和完善原有权利。例如，扩大个人数据的范围，数字指纹（如IP地址和Cookie）也包含在内；知情同意权，“同意”必须是明确的同意，一般情况下是“声明或明确的肯定行动”，而且可随时撤销；要求数据控制者向数据主体提供更详细的与数据处理相关的信息。另一方面，赋予了数据主体以新的权利——数据删除权和可携带权，增强数据主体对个人数据的控制。同时，GDPR还赋予个人针对数据分析活动的一些特定权利，包括不受自动化数据处理结果约束的权利、反对数据分析的权利。

第四，由隐私权保护升级为个人数据保护权。95指令主要保护隐私权，而GDPR主要规制个人数据保护权，包括知情权、访问权、修正权、被遗忘权（删除权）、限制处理权、可携带权和拒绝权七个方面。其中，被遗忘权和可携带权是95指令所没有的。相对于传统隐私权保护，个人数据保护权提供的保护更全面，不仅限于个人不愿公开的私密信息，还包括年龄、职业等非私密信息；对隐私权的侵害一般采取事后救济，而对个人数据权的保护需要事前事后相结合。

第五，首次增设“被遗忘权”提法。GDPR第17条提出了“被遗忘权”，其核心含义是指数据主体认为其个人数据没有必要被处理，或以非法的方式被处理时有权要求数据控制者删除其数据，并不得有不合理的延迟。被遗忘权赋予了数据主体更多的个人信息自决权，实实在在地扩展了数据主体的权利。

这个概念最初引发了很大的争议，美国和欧盟存在严重的分歧。直到2014年，西班牙公民冈萨雷斯向谷歌西班牙公司提起诉讼，要求删去谷歌搜索结果中关于自己欠钱的两篇新闻报道，理由是自己已经还清了欠款。经过多方上诉和多轮讨论后，欧盟法院最终裁决称，被遗忘权是人权的一部分，要求谷歌删除冈萨雷斯的新闻。从此，被遗忘权的重要性得到了确立。但是，删除数据不像电脑上按一下删除键那么简单，整个过程并不清晰且易于执行。尤其是对于一家大型公司来说，用户信息往往分布在营销、销售、客服乃至财务和供应链等多个系统中，甚至还会存在于一些本地文件中。一旦需要把某个用户的数据完全删除，就必须要依靠一套数据同步机制以确保删除没有遗漏。从目前来看，这是非常困难且成本高昂的操作，也是科技巨头们非常抗拒GDPR的原因之一。

第六，设立完善的数据保护监管机制。一是独立的监管机构。欧盟要求每个成员国都应建立一个或多个负责监督数据保护规则执行情况的独立行政机构，以便保护数据主体在数据处理方面的基本权利与自由，并促进个人数据在欧盟内部的自由流动；如建立多个监督机构，则应指定一个作为在欧盟数据保护委员会的代表机构。每个监督机构行使权力应不受任何外界影响，保障独立的人事任命权和财产权，配备有效执行任务和行使权力所必需的人力、技术和财务资源、场地和基础设施，并有能力在本成员国的国土内执行分配的任务，行使欧盟赋予的数据保护权力。二是一站式监管机制。对于向欧盟不同成员国提供业务的企业或在不同成员国设立机构的企业，主要办公机构或唯一营业机构的监管机构为主监督机构，对企业的所有数据活动负有监管责任，其效力辐射于全欧盟境内。同时，主导监管机构的监管决定要最大程度上反映其他成员国监管机构的意见。如果不能达成一致意见，则交由欧盟数据保护委员会来处理。三是组建欧盟数据保护委员会，作为具有法人资格的欧盟机构。委员会由每个成员国的一个监督机构的主管、欧盟数据保护监督组织的主管或其各自的代表构成。欧盟委员会应指定一位代表参与数据保护委员会的活动，并列席数据保护委员会会议。欧盟数据保护委员会通过明确数据保护规则执行程序、标准，审查成员国或组织的违法违规行为，促进监管机构合作等，确保欧盟数据保护规则的一致性和有效执行。

第七，建立了完善的救济机制。一是企业内部问责制度。欧盟要求企业建立内部问责机制，履行数据保护义务。二是行政投诉机制。各成员国数据监管机构建立了数据主体的投诉渠道，如果任何数据主体认为与其相关的个人数据的处理违反了本条例的规定，则该数据主体有权向其常住地、工作地或违规行为所在的成员国监督机构进行申诉。实施“一站式”投诉服务，以便处理数据主体在欧盟内的跨境投诉，欧盟数据保护委员会协调处理消费者的投诉。三是司法救济。如果不服监管机构做出的决定或对监管机构的不作为不满，数据主体可寻求司法救济。司法救济的权利可以由消费者机构代表数据主体行使。如果一个以上的数据控制者或处理者涉及侵权，则共同承担连带责任，除非其能证明自己对损害的产生没有责任。

GDPR的实施将会使企业经营业务受到一定限制，举例说明如下。

（1）限制企业之间的合作形式。对于云计算业务，GDPR规定了云服务商和云客户之间的权利义务配置。为了实现对数据安全的全面保障，GDPR要求数据控制者（云客户）和数据处理者（云服务商）承担同等数据保障责任；如果没有数据控制者授权，数据处理者不应再委托其他数据处理者；对于涉及补充或替换其他数据处理者的变动，数据处理者都应当告知数据控制者，数据控制者有权反对变更。在此要求下，目前市场上云服务的集成、转售业态都将面临业务风险。同时，这意味着得不到上层应用的书面通知，底层的基础设施和平台就不能对数据进行处理。例如，PaaS平台发展任何一个用户，开发任何一个应用，都必须事先征得IaaS厂商的同意。这条规定在目前云服务场景中很难实现。

（2）挑战企业的运营模式。利用收集和掌握的大量用户个人信息，通过对用户行为的分析产生直接（如精准广告投放）或间接（如根据行为进行画像来提供一些更精准、个性化的服务）的收益，这是目前很多国内互联网企业的盈利模式。GDPR赋予了欧洲公民可以拒绝企业利用收集到的个人信息进行自动判断和决策的权利。这种拒绝权可能导致企业在欧盟不能利用个人信息进行用户画像和自动推荐等，给很多强调用户体验和个性化服务的大数据企业及互联网企业带来了商业模式上的冲击。

（3）导致技术发展资源的获取更困难。对于人工智能，作为其核心技术的深度学习需要通过收集海量数据才能不断成熟，进而智能分析并得出结论。根据GDPR，网络运营者收集用户数据需满足严格的条件，并且必须满足用户删除数据的要求。没有用户数据信息或收集的用户信息不全面，势必影响到人工智能的分析结果。

4. 对我国的启示

近年来，违法违规收集使用个人信息的问题频发，网络运营者以“一揽子协议”强迫用户同意、隐秘收集、诱骗收集及非法出售个人信息的行为十分猖獗。2017年全国人大常委会的“一法一决定”执法检查“万人调查报告”显示，有49.6%的受访者曾遇到过度收集用户信息的现象。许多受访者反映，当前免费应用程序普遍存在过度收集用户信息、侵犯个人隐私的问题，但几乎没有受到任何监管和依法惩处。

目前，我国个人信息保护制度还不健全，而美国模式和欧盟模式作为全球个人信息保护的两大方案，为我国个人信息保护提供了可参照的范本。因此，我国应结合实际，充分借鉴美国模式和欧盟模式的制度优点，构建完善的个人信息保护体系。

第一，统一立法与分业监管相结合，充分发挥各自的优势。目前，个人信息保护的相关规定主要散布在网络安全法律法规和各个部门法之中，主要规定还停留在“知情-同意”基本要求的原则性规定上。《网络安全法》也仅搭建了基本制度框架，具体实施细则和落地措施规定不明，给执法守法留下了很大的模糊地带和灰色空间。《电信和互联网用户个人信息保护规定》等部门规章和规范性文件的层级较低，且停留在某一个行业和领域，缺乏整体设计和系统规范，导致各行业领域、数据保护各阶段制度建设发展不平衡，甚至要求标准不一致。我国应顺应国际趋势和惯例，尽快制定专门的个人信息保护法，以明确规定个人信息的含义，进一步确立个人信息权，确立国家机关和非国家机关等各类数据控制和处理主体收集、利用和处理个人信息的基本原则，明确线上线下及数据跨境传输过程中的各类个人信息采集和使用的方式、范围与标准，理清各主体之间的数据权属关系和交易规则，为个人信息保护提供明确的救济途径、保护程序，与有关法律法规做好制度衔接，构建完整、动态、协调的制度体系，有效平衡安全与发展的关系，为我国个人信息的利用和保护构建系统化、整体化的解决方案；同时，吸收分业监管的优势，各行业主管部门根据本行业的特征，在特定领域和特定情形中赋予个体以具体的个人信息权益，明确个人信息保护要求。

第二，建立个人信息保护集体诉讼机制，为个人提供更多的救济渠道。现代信息社会中个人与网络运营者的技术能力差距很大，造成公民个人信息保护举证困难、维权困难。单一个体或消费者很难对信息收集者与处理者进行监督，而各类公益组织和政府机构可以成为消费者集体或公民集体的代言人，对个人信息保护进行有效监督。我国的个人信息法律保护不仅应当推动公法制定进程，还应当重视消费者权益保护。一是修订《消费者权益保护法》，明确个人可通过集体诉讼方式向侵犯其个人信息权益的网络运营者索要赔偿。二是成立个人信息保护委员会，对网络运营者的个人信息保护工作进行社会监督，统一受理个人信息保护侵权投诉，针对企业在个人信息保护方面的一些不当行为提起公益诉讼。

第三，加强源头治理，提升行政执法能力。近年来，对个人信息保护的举措主要集中在对相关犯罪的刑事打击，《刑法修正案（七）》和《刑法修正案（九）》不断加重对个人信息违法犯罪的打击力度，但是民事和行政保护力度严重不足，重末端治理、轻源头治理，仅以威慑力压制，而无规则指引，导致违法犯罪依然屡禁不止，良好的秩序和生态环境难以形成。一是强化对数据收集、存储、使用等行为的监督检查力度，督促指导企业加强数据安全管理。二是建立以风险控制为导向的监管方式，采取“多元化策略+外部认证监督”的方式，由网络运营者根据保护用户信息安全的需要设定多元化的权利保障政策或措施，政府根据评估认证结果对内部政策及制度是否合规进行外部监督。三是培养企业对数据安全保护的战略意识，将数据安全保护作为企业占有市场和增强用户粘性的战略举措，把数据安全融入业务发展的各个环节，同步设计、同步建设、同步更新，变被动为主动，逐步培养起安全与发展并重的良性大数据产业生态环境。

第四，设立专门的网络个人信息保护监管机构。GDPR充分发挥监管机构在数据保护中的作用的做法非常值得我国借鉴。我国也可以单独设立一个网络个人信息监管机构，统一对个人信息保护进行统筹协调，统一行使执法权限。尤其需要明确监管机构在个人信息保护各个环节所拥有的职责权利和义务划分，并严格执法流程。机构和企业也应该设立数据保护官，按照“谁管理谁负责”的原则，专门负责本单位的数据保护工作。同时，我国也可考虑对违规企业采取高金额处罚的方式，增加违规成本，促使机构和企业能自觉自愿地加强对个人信息的保护。

来源：计算机与网络安全