今天，互联网似乎成了最“懂”我们的人。在社交网络填写网络问卷，被要求标注真实身份信息；领礼品扫码，可能自动跳转钓鱼网站；连接公共场所WiFi时，需要通过身份认证；在网上投递简历，个人信息几乎一览无遗。个人的地理位置、通信情况、征信信息、交易记录等各类信息不断被收集和存储。2017年3月，公安部开展了打击整治黑客攻击破坏和网络侵犯公民个人信息犯罪专项行动，仅4个月时间就侦破相关案件1800余起，查获各类被非法倒卖公民个人信息500余亿条，这样的数字令人触目惊心。

　　在网络上的一举一动都能被数据化，这不得不令人对个人信息的安全感到忧虑。个人信息保护问题是信息社会发展中所要应对的基础性问题，是网络领域立法中的共性问题。随着社会信息化进程的深入，个人信息成为整个网络空间中最为重要的数据类型，不仅关涉公民的私权利保护，也关系到公私领域对于个人信息的利用。如何妥当地安排个人信息保护与利用的利益衡量，会影响到我国信息化的进程和众多产业的发展。虽然我国在相关领域对个人信息的保护取得了一定进展，但保护现状仍然不容乐观。综合分析世界各国的保护经验与我国的实践，目前个人信息的法律保障应当沿以下方向继续完善。

　　从碎片化保护走向系统化保护。《民法总则》第111条规定，自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。这一条文体现了个人信息保护的实质内容，但并没有就“个人信息权”作出法律定义。《网络安全法》第76条第5项规定：“个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”《个人信息保护法（草案）》第3条对个人信息的界定也沿用了这一定义。从上述立法之中，可以看出在对个人信息的判断上，法律是将能够单独识别的“直接型可识别信息”扩张到了能够与其他信息结合后可识别的“间接型可识别信息”。但是目前的立法只是对个人信息进行了原则性立法，并未提出系统性的保护方案。

　　因此，就现在的立法而言，应该对个人的信息形成系统性的保护，并在厘清背后理论问题的前提下，适当加快个人信息保护领域的立法进程。现有法律法规在保护个人信息方面已发挥很大作用，但它们基本都是末端治理的制裁性规范，而非源头治理的引导性规范。《网络安全法》对网络上信息的收集和保管制定了较多的管理性内容，但是从个人信息保护的角度看，该法的适用范围是有限的，它的立法目的是网络安全，缺乏对个人信息保护的针对性；《刑法》规定了信息犯罪与惩罚的规则，在打击信息犯罪方面确实发挥了极大作用，但主要是从制裁性的角度进行规范，呈现典型的命令控制式特点，在实践中可能导致刑法制裁与其他法律手段脱节、责任规范与行为规范脱节等现象，刑事责任虽然严格，但起到的实际效果却非常有限。虽然《信息保护法（草案）》已经公布并在社会中征求意见，但是该项立法目前还存在较多难点尚未攻克，如个人信息与隐私的区分问题、个人信息属于所有权客体还是人格权客体的问题、信息占有者和信息主之间的权利和义务问题、个人信息的领导监管体制问题等，这些都还需要借助于各个法律学科共同的力量来攻关解决，进一步达成共识，在细节划分、应对新技术及落地实施方面加以完善。

　　建立四方主体共同协作的保护体系。就目前世界保护个人信息的经验来看，主要存在三种典型的保护模式。一是行业自律模式。采用该模式的美国并未将对个人信息的保护寄托于立法规定，而是主张通过“各个行业制定标准、建设相关的行业规范”等措施实现对个人信息的保护。二是立法保护模式。采用这一模式的欧盟主要通过出台一系列的规范性文件，如《欧盟个人资料保护指令》《信息高速公路上个人数据收集、处理过程中个人权利的保护指南》等对个人信息形成了全方位的立法保护。三是复合型的保护模式。一方面，通过一系列的立法对个人信息的保护做到有法可依；另一方面，对于非公共职权部门的机构，政府鼓励其制定相应的行业标准的方式来实现自律，从而实现对个人信息的保护。前两种保护模式存在不同程度的弊端：过度依赖行业自律的保护模式未将保护个人信息上升到立法的高度，存在明显的强制执行力不足的问题；而单纯的立法保护模式尽管权威性和强制执行力较强，但立法的滞后性也不可避免地影响到相关产业的发展，可能成为制约科技发展的“绊脚石”。相对而言，复合型保护模式更具有可取性。

　　具体到我国，在当前社会环境下，个人信息保护立法势在必行，但也应给予行业发展一定的时间，摸索出一条可行的平衡方案，可以建立“法律、市场、行业、技术”四方主体共同协作的保护体系。就法律保护体系而言，主要是尽快出台相关的法律规范，并将非公共职权部门对个人信息的保护和依法掌握个人信息的公共职权部门对个人信息的保护进行科学区分；就市场而言，要建立健全市场监督体系，对因技术发展不当侵犯个人信息的行为做到及时查处；就行业而言，应当统一制定行业标准来进行自律；就技术而言，在产业发展的过程中，应当自觉利用技术优势，对可能侵犯他人个人信息的行为进行必要的过滤。通过全方面立法体系、自上而下的市场监管、自我规制的行业自律、由里及外的技术控制，来实现科技发展与个人信息保护的平衡协调。