党振兴

(甘肃省岷县人民法院，甘肃 岷县 748400)

目前，我国互联网用户已超过数十亿，互联网网站超过500余万个，应用小程序、APP更是层出不穷。大数据的迅速发展为社会发展带来巨大的经济价值，给予日常生活便捷高效，但同时个人信息的大规模收集和广泛使用、透明化和网格化趋势，侵蚀着个人信息安全边界，也引发诸多个人信息安全保护的问题。政府监管下的企业自利行为、数据和信息拥有者所处的环境及自我隐私管理存在的盲点，为互联网信息安全的监管增添了不确定性[1]。私密信息的泄露对个人正常的生产生活危害巨大，严重阻碍经济社会的发展进步。作为大数据时代面临的核心任务，加强个人信息安全保护需要社会各个层面的联动机制建设，信息使用主体及个人用户等均需要提高保护认知，从法律规范、行政监管、技术创新、安全意识等方面入手，提高信息保护能力，完善个人信息安全保护体系，逐步构建一个安全有序、健康发展、利用规范的网络环境。《中华人民共和国个人信息保护法》于2021年8月20日通过，并于2021年11月1日起实施。面对个人信息安全保护新的时代契机，学界需要更多理论关注，通过在制度架构、权责清单、监管机制、技术研发、法治宣传等方面建章立制，共同为促进个人信息安全有效利用和保护，加快社会经济发展服务。

一、我国公民个人信息安全保护现状

公民个人信息是指以纸质、电子或者其他方式为载体记录的能直接或者间接反映特定个人身份的标识，包括个人身份信息、电话号码、医疗记录、收入及消费和购买习惯、行动轨迹、婚姻状况等基本信息，IP地址、互联网Cookie、社交账号等账户信息，个人照片、血型、指纹、DNA等涉及个人隐私的全部社会性和生物性信息的总称。其有隐私性和识别性两种，具体可分为可公开与不可公开的个人信息、可识别与不可识别的个人信息、一般信息与敏感信息等[2]。个人信息的内涵和外延丰富，包含与公民衣食住行相关的所有个人信息，包括联系方式、身份号码、在线标识、主观数据等。据中国互联网协会调查结果显示，我国每年网民因个人信息泄露遭受的经济损失高达数百亿元，50%以上的网民认为我国个人信息泄露严重[3]。个人信息的非法收集和泄露行为屡禁不止，信息非法买卖行为愈发猖獗，而且发生频率逐渐增强，且信息泄露后维权困难，此现状严峻，严重影响着公民的信息安全。“个人信息商品化”“个人信息公用化”带来相关领域侵权手段高科技化，侵权可能性增加，侵权后果更为严重，侵权救济更为困难[4]。

(一)个人信息安全保护立法尚不完善

近年来，随着依法治国的推进，我国在个人信息安全保护方面的立法和修法较快，《中华人民共和国刑法》第二百五十三条之一规定了侵犯公民个人信息罪，《中华人民共和国民法典》第一千零三十二条至一千零三十九条整章规定了“隐私权和个人信息保护”，以及《中华人民共和国电子商务法》《中华人民共和国网络安全法》等相继出台，这些法律法规对于保护个人信息安全和公民个人合法权益有着十分重要的意义。但这些法律规定的内容相对宽泛，具有零散性和原则宣示性特征，统一协调性差，尚未形成完整的架构体系，保护力度和范围欠缺，存在实际操作性不强、无法具体适用、侵权举证较难、责任难以认定、赔偿数额较低等问题。许多法律条款虽规定了单位对个人信息具有保密义务，但缺乏违反保密义务后需要承担何种法律责任和对该行为如何处罚的具体内容。长期以来个人信息安全保护以维护基本社会秩序为出发点，重刑事打击和行政处罚，忽视个人信息保护的预防机制和遭受侵害后民事侵权责任的追究，导致即使侵权行为人最终被科处刑罚或行政制裁，但对于受害者而言，其个人财产或非财产的名誉等损失却无法得到相应补偿。

(二)依靠行业自律建立的管理体系缺乏有效运行

目前，我国对个人信息安全保护尚没有建立专门的监管机构和长效管理机制。长期以来，部分企业对收集的个人信息随意共享和交易，甚至买卖个人信息。寄予厚望的行业协会由于信息不对称、自律意识欠缺和法律未授予强制执法权，无法承担有效保护个人信息安全的权责之重。仅仅依靠政府、企业等组织内部自我口号式或倡导性条款，缺乏具体实施细则和制裁措施，没有强制力做后盾，自律机制往往陷入失灵困局，无法起到应有的保障作用。大数据时代个人信息不可避免地会被收集和利用，而这些信息的使用会涉及正当与不当的问题。大数据尚未高度发达时期，企业对数据的收集主要依靠人力采集和录入原始资料，需要对用户的告知和得到权利主体的许可，否则无法实现数据收集，其数据的收集和共享也仅限于一定区域内，传播范围不广，相对安全。大数据时代，个人信息的收集已经不需要经过信息权利主体的许可，也不需要提交相关记录个人信息的原始载体，电话号码、身份证号码，甚至是一次网络行为的使用、一个网站的访问等就可以将个体所有的信息联结，在无法察觉的情形下，个人信息被悄无声息地收集和滥用。如果管理机制失灵，仅仅依靠行业自律或个人自我保护，势必会造成个人信息的滥用。

(三)行政监督管理机制在个人信息保护中缺位

面对个人信息大量滥用、网络黑灰产盛行的现实语境下，政府执法部门应当承担起对个人信息安全保护的切实义务。但目前我国尚未建立明确的个人信息保护专门机构。对于大数据的行政监管职能一直由公安、工信、市场监督管理等不同部门行使。管理职责分散于不同执法部门，没有明确的职责分工，造成都有管理权，但都不愿意履行职责的现象时有发生，遇事互相推诿，监管职责无法有效履行。对个人、企业等私权利主体收集个人信息的管理缺位，以及对公权力机关诸如公安、政府等部门，更是缺失收集储存个人隐私信息的相关法律规范，处于无人监管态势，使个人信息安全岌岌可危。

(四)大数据时代人脸识别等智能技术的滥用，对个人信息安全形成冲击

人脸识别技术在便利生活、发挥技术潜力的同时，也引发了用户个人隐私信息被过度采集和滥用的风险[5]。大数据时代，个人之间的交流沟通，民众日常生产生活等大部分社交活动都无法避开大数据的适用，常常需要通过虚拟网络进行，大数据资源成为联系个人社交活动不可或缺的纽带。人与人之间的社会生活、经济交往等都依托个人标志信息，如QQ、微信、支付宝等网络APP。这些即时聊天、支付工具都捆绑着个人姓名、银行账户、密码等基本数据信息。其中人脸识别是智能技术的代表，最为普及，“刷脸”一度成为社会热词，其作为个人特有的生物识别信息，正不断渗入社会生活的各个领域，包括购物、社交、交通旅游、工作考勤等，与个人隐私和财产账号紧密相连，一旦滥用，将给公民造成巨大损失。新京报《人脸识别技术滥用行为报告》指出，半数以上APP收集人脸信息时不会征求用户意见，个人应有的知情权丧失。通过密码输入、人脸识别、指纹解码等便捷了人们的生活，但同时这些技术受制于保密意识、管理手段、技术水平等不足，也为个人信息安全埋下隐患，违法者可以通过密码破解、人脸生物特征伪造等技术手段随时复制并窃取个人信息，如果缺乏有效的法律规制，会导致侵权行为频发，造成公民个人人身和财产损失。

(五)个人信息泄露维权频频出现“举证难、成本高”的尴尬困境

随着法治意识的提高，民众在遭遇个人信息不当泄露之后，往往会选择诉诸法律，但在维权过程中，从公民证据收集、技术依赖、权利维护等方面来看，个人举证和维权能力十分有限，与信息泄露者很难在同一层面平等抗衡。由于个人信息被滥用的举证对证据意识和技术要求相对较高，根据“谁主张谁举证”的原则，常常出现如何证明自己是受侵害者，以及证据搜集难、投入成本高，但收效甚微的尴尬境地。即便有个案胜诉，但维权者往往付出巨大的时间和精力等，与企业等侵权者的赔偿责任相比，难以形成正比关系，使受害者得不偿失，甚至出现自我放弃寻求法律救济的现象。

(六)对侵犯公民个人信息安全的犯罪行为惩罚力度不够

个人信息安全与隐私保护已然成为一种社会性问题，如处理不当，轻则损害人们的个人隐私权，重则伤及人们的生命财产安全[6]。侵犯个人信息安全行为具有较强的隐蔽性，大多发生于虚拟网络世界中，交易过程隐秘、迅速，点对面的传播方式使侵权后果以几何倍数递增，危害巨大，且不易被侵权人发现和举证困难，与之相对的是侵犯个人信息安全违法行为却能够获得巨额的经济利益。我国现有法律法规对侵犯个人信息安全的行为处罚散见于《中华人民共和国民法典》《中华人民共和国网络安全法》《中华人民共和国刑法》等法律规范和司法解释中，但保护范围较窄，处罚模式单一，惩戒力度不够。如《中华人民共和国民法典》人格权编规定了隐私权和个人信息保护，对个人信息进行界定和原则性规定不得非法侵犯，但对侵害行为如何处罚没有具体规定。《中华人民共和国网络安全法》规定了网络运营者对用户信息的保密义务和责任，并规定对违法行为的警告、罚款等处罚措施，但与数以亿计的信息泄露给企业带来巨额获利相比，最高一百万元的罚款数额较低，加之非法所得收缴规定缺失，低廉的违法成本使企业往往铤而走险，个人信息泄露屡禁不绝。甚至最为严厉的刑罚规范《中华人民共和国刑法》第二百五十三条之一规定了侵犯公民个人信息罪，但较高的入罪要求和举证标准，以及最高刑罚为有期徒刑三年以上七年以下，也难以对潜在侵害个人信息的犯罪行为形成有效抑制。同时，简单的刑罚打击虽然能够对个案的侵权行为起到惩戒作用，但这种仅仅依靠刑罚保护的方式相对单一，缺乏相应民事法律保护、侵权赔偿的现实境况下，刑法保护势单力薄，无法实现全面保护个人信息安全的作用，且容易造成刑罚权的滥用，过分干扰经济自由。惩戒措施力度不够、模式单一，使违法犯罪者敢于铤而走险、一犯再犯，导致侵犯个人信息安全的行为愈演愈烈。在法律法规的震慑力尚不足以制裁高额利润诱导下的违法犯罪时，越来越多的个人和组织就会参与其中，使个人信息安全的保护更加步履维艰。

二、域外对个人信息安全的立法保护

个人信息安全保护已经成为全世界共同关注的焦点，世界各国均从立法规范、技术研发、公民个人安全意识的培育等层面着手，针对自身国情，出台了一系列各具特色的认定标准、法律规范和保护模式，致力于个人信息安全保障。

(一)欧盟对个人信息的全方位保护

欧盟是个人信息安全保护的先驱，1995年《数据保护指令》出台，成为第一个在国家层面为个人信息安全立法的主体。经过不断修正和完善，2018年5月欧盟制定《一般数据保护条例(GDPR)》(以下简称《条例》)，规定了72小时毫不迟疑报告义务，即信息管理者必须在自己所保管使用的个人信息泄露后的72小时内向行政管理部门报告，否则，将视情节对信息管理者进行处罚。《条例》增加个人信息所有者的遗忘权和信息携带权，强化个人对自我信息的控制保护权能。在公民个人信息保护和权利救济层面，加强信息保护的监管主体责任，对违反条例的行为加重惩罚力度。《条例》还引入具体场景下个人信息安全风险防范原则，即在评估个人信息“合理使用”的阈值时摒弃传统的目的评估方式，以隐私风险评估为手段，动态管理个人信息是否被“合理使用”[7]。在权利受损后的司法救济上，强调行政救济和私法救济的双重保障，全面保护公民个人的信息安全。统一立法模式、综合保护成为欧盟对个人信息保护的一大特点，这对于传统单一的权利保护机制而言是一种值得借鉴的模式，保障范围也更加广泛。

(二)美国对个人信息安全保护的无缝衔接

美国的隐私权具有很大的外延，包括身体权、名誉权、肖像权、姓名权、信用权等具体人格权的内容。对于个人信息保护强调立法层面和行业自律双重保障。政府引导下的行业自律机制是美国个人信息保护的显著特点[8]。美国重视个人信息安全的“防火墙”建设，注重个人信息安全保护，公民隐私意识培养。2015年10月制定了《网络安全信息共享法》，明确规定对个人隐私、自由等私权利的保护。1974年制定了最为典型的《隐私法案》，该法案以建立动态信息保护机制为核心，对政府机构收集、使用、披露个人信息都做了较详细的规定，为公民个人财产信息、健康信息等提供相应的安全性保护。2000年施行的《儿童网上隐私保护法》对网络从业者如实告知义务，以及收集13岁以下儿童个人信息前获得家长同意的义务等均进行严格规定。首创行业自律安全港模式，制定行业行为规范和价值指引，以信息使用主体的自我管理为核心，使信息保护更加灵活高效，同时也实现了与其他法律规范的无缝衔接。

(三)英国对个人信息安全保护独树一帜

英国于1984年制定了《数据保护法》，该法对个人信息规定了差异化保护，注重精细化保护个人敏感信息，建立了完善的个人信息安全保障措施，对个人信息的获取、利用、保存、给第三方提供等方面进行严格的规定：对信息主体的明确同意，信息使用者依法处理，政府基于公益活动对个人信息的合法利用，权利受损后诉讼救济的程序等都有严格而细致的规定，对公民个人信息作出全面保护。《数据保护法》设立信息保护专员制度，同时设立信息专员办公室(ICO)，集信息保护和信息公开监督职能于一体，规定任何未经信息被收集者同意，企业不得收集个人信息，并必须保证收集到的信息在合理范围内使用。

(四)法国对个人信息安全保护注重权利本位

法国于1970年修订《法国民法典》，在民法中增加了自然人私生活受尊重，防止隐私泄露的私权利条款，注重个人数据保护和市场秩序维护之间的平衡，明确指出信息技术应该为公众服务，不得侵犯公民的尊严和隐私权，也不得妨碍自由权利的享有。2016年10月，法国《数字共和国法》(DigitalRepublicLaw)颁布，规定个人能够自行决定和控制其个人数据的用途，强化个人权利。同时，法国还制定了《法国数据保护法》《消费法典》等多个相关法案，对与个人信息保护相关的领域均有详细规范，规定了公民的数据便携权、被遗忘权、死后隐私权等，强化了个人权利，增强了通信的保密性。同时，对个人信息安全的侵权行为处罚较重，规定了高额罚金。法国的这些法案都以公民个人的权利本位为出发点，注重对权利主体信息安全保护的引导和意识培育，尽力在权利保障和经济自由上寻求平衡。

国外对数据隐私的保护给予相当的重视，希望可以通过立法来打击数据隐私侵害行为[9]。纵观世界各国对个人信息安全的保护机制，个人信息安全保护和经济发展的平衡是普遍关注的核心。注重全面保护原则和侵权赔偿规则的适用，建立完善的法律法规，贯穿于人们的日常生活之中，都强调多模态下的个人私密信息安全保护。美国采取以市场为主导、以行业自治为中心的策略，通过分散立法的方式，奉行行业自律和用户个人救济相结合的保护模式[10]。借鉴“隐私的合理性期待”“毫不迟疑报告义务”，以及个人信息所有者享有的“遗忘权和信息携带权”等域外经验，进行国际合作，满足数据流通国际化趋势，保障数据互惠流通、对等保护。推进个人信息安全保护在我国的本土化应用，要注重立法指引，细化法律规范，关注司法应用，严格落实规章制度，加大自我权利保护法治宣传教育，对侵权行为惩戒和损害赔偿等，这些措施的配合使用是构建完善个人信息安全保障体系的基础。

三、完善公民个人信息安全保护的应然路径

个人信息权作为具体人格权，是绝对权，权利人以外的其他任何主体都是其义务人，对个人信息权人负有不可侵犯的义务[11]。完善个人信息安全保护体系建设，需要在立法、执法、技术研发和法治宣传等各个层面着手，不断完善立法规范，引导行业自律建设，加强行政监督管理和违法行为打击力度，优化技术手段，强化法制宣传，提升公民安全意识，多措并举，共同保障个人私密信息不受非法侵害。

(一)平衡个人信息保护与利用之间的价值利益

个人隐私与个人信息保护面临更多的威胁，解决问题的核心在于对信息主体的保护和信息利用的利益平衡[12]。信息隐私保护的重点已不是保密或不发布，而是在数据自由流动与合理利用的过程中对数据主体的权益进行全方位保护[13]。要完善规范体系建设，通过制定统一的安全标准和规范，对个人数据信息的收集、利用、保密等进行区别保护，促使政府、企业信息公开共享的合法化与规范化，才能实现便利个人生活与个人信息保护相互协调、统筹兼顾。完善“个人数据采集与使用许可”制度，在政府、企业收集使用个人信息时，应充分保障公民的知情权、同意权，使个人明确、清楚地了解自己的信息被用于何处，会产生何种结果，效益如何。同时作为服务提供者的政府、企业，要确保收集个人信息的目的与利用的正当性，防止信息滥用，损害个人利益。对经营领域的个人信息收集、处理者，基于利益平衡的理由，赋予严格的个人信息安全保障义务，更有利于保障个人信息主体的相关权益，更利于推动数字经济发展[14]。简言之，为了实现某一特定目的和用途，在数字经济时代必须收集和利用个人信息，这是必然，但要坚持目的限定、利用适度和最小扩散原则，平衡好个人信息利用与保护的关系，全面衡量二者的价值利益后，明确个人信息的收集范围和利用限度。如为了重大疫情防控的需要，收集个人姓名、身份证号码、家庭住址、电话号码等，这是为了公共安全和联防联控的需要，其利用具有正当性，符合社会公共价值和公民个人利益，但该信息的收集应仅限于疫情防控和疾病救治，不能另外用作他途。同时，对外公布时，要对个人私密信息进行脱敏处理。如网络购物时，为了完成共同获益的交易行为，商家必须获取个人地址、电话号码、支付账户等隐私信息，这就需要商家在个人提交数据信息时妥善保管、利用，避免过度采集、数据泄露和大数据杀熟等行为。

(二)健全行政监管，明确信息使用者的权利，划定权责清单，规范个人信息安全保护职责

《中华人民共和国个人信息保护法(草案)》对个人信息的保护作出了明确规定，个人信息使用者收集个人信息必须坚持合法、正当、必要的原则，不得收集与其服务无关的信息。对其在提供服务过程中收集到的自然人姓名、电话、家庭住址等个人信息必须严格保管，慎防泄露，因个人信息不当泄露造成他人损害的，应承担侵权责任。信息权利人允许信息收集并不等于允许信息分享[15]。个人信息保护应加强权利主体对其享有的知情权、同意权等基本性权能的获知和明示，将个人信息权利的收集和利用以权责清单的方式列举呈现，赋予个人对其关键信息享有的被遗忘权和拒绝权。应当制定隐私协议的强制性国家标准来设置隐私保护的底线[16]。严格规定信息使用者的责任，明确信息处理流程，制定相应的制度，以完善和加强对个人信息的保护能力。加强和完善公民信息私密权利被不当侵害后的司法保障和权利救济措施，以及其他行政救济手段的适用。制定完善信息主体申诉的权利和渠道，以保障个人信息权益被不当侵害后及时获得私力救济的同时获得公力救济。大数据时代，只有依法保障信息主体对其个人信息享有的知情权和遗忘权，透明数据信息，明确了解个人信息被使用的全部过程，规范使用者的利用行为，才能切实保护个人信息权利不被滥用。

企业在对收集的个人信息进行商业化利用过程中，为了追求利润最大化，极有可能会超范围利用个人信息，造成用户的信息泄露和形成侵害后果，需要政府行政监管机制的大力监督。一是建立专门的监督管理机构。应剥离各部门都有管理权而又无人管理的交叉监管空白，建立以工业和信息化部为主的监管机制，积极整合执法资源，专门监管个人信息的规范化使用。二是制定严格规范的监管流程，规范信息掌握者的使用行为。应当建立健全个人信息数据库管理制度，明确不同层级、不同类别的工作人员接触个人信息的权限范围，实时监控组织或个人使用数据的行为，保证个人信息得到有效保护。三是通过行政机关建立“违法黑名单”数据库、“一票否决”制度等方式，彻底防范侵犯个人信息安全的违法行为。只有法律规范和技术规范同步实施、相互补充，构建良好的大数据环境，才能更好地保护个人信息安全。

(三)完善个人信息保护的相关法律规范，从立法层面完善个人信息安全保障体系

我国个人信息立法还属于法律法规分散立法和征信业、互联网行业有限专门立法保护的状态，仍然存在保护对象不明确、信息主体权利缺失、权利义务不完善和法律责任不到位等[17]。要实现个人信息安全，织牢防护网，国家层面的体系化立法规范不可或缺。个人数据保护立法的核心是权利保障与救济[18]。首先需要完善刑事立法。刑罚是最严厉也是最直接有效的打击保护手段，要制定完备的法律条文，严格法律适用，只要实施了侵犯公民个人信息安全的行为，达到一定情节的都要处罚。同时应从泄露信息类型、行为次数、损害后果等明确规定具体违法情节的判断标准，根据不同犯罪情节科处不同刑罚，以实现罚当其责。要完善侵权责任的举证规则，采取过错推定和举证责任倒置规则，由侵权人举证自己不存在过错或者没有泄露个人信息，如果无法举证，则推定其具有过错。要在完善一般法律法规的同时，完善部门规章制度，细化法律法规，坚持完善《中华人民共和国个人信息安全保护法》等法律规范对个人信息安全的事前预防与事后保护机制。事前预防以明确个人享有的信息安全权利为基础， 通过权力建构、法制宣传，引导社会民众对该项权能的认可度和保护力，从源头防止个人信息被非法收集、利用和买卖。

(四)强化行业自律意识，提升行业道德观念，负责任地使用个人信息

在个人信息安全保障方面，部分人员缺乏自律意识，以权谋私，利用职务之便将客户的个人信息贩卖，这是个人信息泄露的源头。要制止个人信息的不当泄露，除了法律法规的严厉打击之外，加强行业自律也是关键。在个人信息保护法尚未出台的情况下，行业自律是改变大数据收集与利用默认规则的最有力路径[19]。国家应积极引导，处理好政府与协会之间管制与支持的关系，为行业协会提供适当的资金和政策支持，促进企业的自我约束和互相监督，努力实现对用户数据的“负责任使用”[20]。首先，要加强宣传，树立单位、个人规则意识和社会责任感，在对个人信息进行必要利用时应事先得到用户允许，并严格限制使用范围。其次，建立行业内责任追究机制，采取企业和个人双罚制。一旦出现私自收集个人信息或造成个人信息泄露的，无论故意或过失，都应当承担相应的责任。最后，建立健全行业内部专门的自我监督管理机构，通过制度建设，有效防止个人信息泄露。政府、企业收集管理的个人信息需要提取时，要严格审批流程，非工作需要不得存储、拷贝、传送个人私密信息。督促企业制定相应的行业自律规范，引导重点行业对个人信息保护的监管和教育，采取警示、黑名单、退出机制等措施处罚违法行为，规范个人信息的使用范围和流程，促使行业健康发展。

(五)强化技术研发，从技术制度层面确保个人信息安全

大数据时代对个人信息安全的保护，制度保障是基础，强化技术研发，提高物理层面的技术防护手段是关键。应将个人隐私信息保护纳入国家战略资源的保护和规划范畴[21]。要投入专门的人力、物力，加强技术研发，提升个人信息安全保护的科技手段。通过多层防火墙设置、量子密码技术、数据库算法编译、云存储加密、数据获取权限分层设置、区块链技术应用等高科技手段，让窃密者无法撬动个人信息防护之门，全面堵住个人信息遭泄露的漏洞，避免黑客攻击等非人为的隐私泄露，从技术层面确保个人信息安全得到有效防护。

(六)提高个人信息自我保护安全守护意识，从源头防止个人信息的不当泄露

个人信息保护意识薄弱，反个人信息侵害能力低下，以及企业的干扰使得我国公民个人信息控制能力总体较低，制约了法律在维护公民个人信息安全方面发挥重要效用[22]。要加强法制宣传教育和个人信息安全教育，提高用户安全防范和隐私保护意识，引导民众养成良好的使用个人信息习惯，不随意泄露自己的个人信息，从源头保护个人信息安全。同时对于第三人侵害自己信息安全的行为及时制止、举报，要求对方删除、屏蔽、断开链接等。非经法定程序，非因法定事由，对不当获取公民个人信息的行为，公民和信息掌握者应当拒绝告知。在利用网络的过程中，不贪图便宜，不随意扫码、登录不明链接，及时删除利用过的个人信息等，提高警惕，防止被蒙骗掉入他人设置的陷阱。对于必须提供自己个人信息的事项，要明确知悉收集利用者的主体资格、使用范围、保密责任、利用限度等。对于个人信息泄露的，公民个人要及时向工商行政部门、网络监管部门、消费者协会等职责部门投诉举报，造成严重损害的，向公安机关及时报案，并树立证据意识，及时收集保存证据材料，维护自身合法权益。

(七)完善侵害个人信息安全的损害赔偿规则

建立个人信息侵权的民事赔偿制度，在侵权人实施侵权行为后，不仅要追究侵权人的行政责任和刑事责任，还要依据实际情况追究侵权人对受害人的民事赔偿责任[23]。民事赔偿对于公民来说是最直接和有效的损害赔偿方式，能最大限度弥补个人损失，也能使侵权者付出对等补偿，甚至是惩罚性代价。当公民个人信息安全面临不当侵害的危险时，权利人可要求侵权者立即停止侵害并赔偿损失，包括赔礼道歉、金钱赔偿、恢复名誉等财产性和精神抚慰性损害赔偿。对于具体侵权行为，在司法层面，采取物质利益和精神利益相结合的二元救济模式，通过损害赔偿和惩罚性赔偿规则的设置，赋予公民依托监管职能部门或自身收集证据后进行民事损害赔偿诉讼的权利，形成公权力打击和私权利追偿相结合的权利救济模式，是个人权利保障的根本。加强双向打击力度，增加侵权行为人的违法成本，是更好地保障个人信息安全的基础，也是反向引导政府、企业、公民树立规则意识的有效途径。

(八)加快社会诚信体系建设，弘扬社会传统美德

“人无信不立，城无信不兴。”建设新时代中国特色社会主义，离不开科学完善的社会诚信体系[24]。在社会活动中，个人需要基于信任和必要原则，根据服务与被服务的需要，将自己的私密信息提供给一些商家或单位使用。信息享有主体和信息利用者之间是不对称关系，社会个体之间、企业和个人之间、政府和个人之间如果诚信缺失，会束缚经济的自由流通和社会正常秩序的维护，或导致人人自危，不敢出示个人信息，合理利用也会遭到质疑，带来社会发展停滞不前，或个人信息被侵害的行为泛滥，隐私泄露、矛盾丛生。部分人员为了追求、获取眼前的不当利益，违反法律规定，利用工作便利随意泄漏、贩卖公民的个人信息，同时也会产生社会诚信危机。在信息安全领域，道德通过人们内化于心的价值认同自觉规范行为，能够主动避免信息安全风险，及时弥补信息安全可能存在的其他隐患[25]。因此，在加强对侵权者责任追究的同时，要加大诚实守信和责任意识教育，通过开展“道德讲堂”，送法进校园、进社区，制作露天展板等形式，弘扬社会主义核心价值观和“言必行、诺必守”的传统美德。重构社会诚信体系，使信息利用主体和个人都规范自身行为，完善社会信用体系和服务水平，让法治和德治共同保障个人信息的安全。

四、结语

个人信息安全保护与公民的人格权益和财产权益息息相关，与社会发展、经济繁荣昌盛紧密相连。大数据使市域社会治理更加高效便捷，也使得以隐私和识别为基础的个人信息范围大大扩展。同时，大数据与人工智能发展的需要使得数据的二次利用成为必要，对个人信息权利保护中的“目的限制”“信息最小化”等原则形成挑战[26]。越来越多个人信息被不当泄露、滥用、买卖，公民个人在信息“裸奔”下生活。加强个人信息安全保护需要处理好个人权益保护、商业数据利用和政府服务职能实现之间的平衡，明确制度规范和信息使用、管理流程。政府在利用标准开展个人信息安全治理时，应当更多关注服务，而不是执法[27]。要不断完善制度建设，强化行业监管，建立健全社会诚信体系，规范利用数据信息，实现法律与技术共同治理的统一，防止政府和民众因噎废食，对高效便捷的大数据产生抵触心理。通过创建安全可控的信息化发展环境，构筑完善、高效的个人信息保护体系，才能保障公民个人信息的全面安全。