摘 要：自人类进入大数据时代以来，肇生于小数据时代的传统个人信息保护模式不断受到利益平衡机制失灵、各主体间力量失衡、个人信息秩序失稳的严峻挑战。传统的个人信息保护模式在大数据时代难以为继的原因在于，在大数据时代，社会性取代个人性成为个人信息的主要属性。因此，应当以社会本位为“元理念”，构建一整套以良好秩序构建为首要目标、以多重价值平衡为价值取向、以风险多元治理为立法核心、以社会利益最大化为最终追求的个人信息保护法律体系。理念革新引发制度变革，应当将行为规制模式作为主要立法模式，将个案分析作为主要运行模式，将公力、私力、社会救济并重作为主要救济模式，并与《民法典》中的相关规定共同完成大数据时代个人信息保护的重要任务。

关键词：大数据；个人信息；社会性；个人性；社会本位

引 言

随着人类进入大数据时代，个人信息保护已经成为一种国际潮流。目前，全球已有近90个国家和地区制定了个人信息保护的法律。我国自2003年启动个人信息保护立法研究以来，个人信息保护研究渐成热点。在商业利用领域，个人信息的收集、使用集中在信息主体和信息处理者之间进行。由于二者具有平等的民事主体资格，因此，传统规制思维受个人本位理念影响，将其定位于私法规制范畴。然而，进入大数据时代，个人信息利用场景发生了巨大变化，私法保护模式已难以为个人信息提供充分保护：第一，信息处理者与信息主体强弱悬殊，处于实质不对等状态，致使个人信息权难以发挥应有的保护功能。第二，社会性的强化使个人信息保护与利用充满张力，私权保护模式无力调和其间的利益冲突和紧张状况，造成信息流动失序。第三，个人信息侵害多为损害轻微的社会性侵害，受害人怠于行使诉讼权利，这使得事后救济失灵。因此，个人本位理念及其私法进路难以满足个人信息保护的现实需要，转变保护思维，创新保护模式是当前个人信息保护亟待解决的问题。

基于此，本文结合大数据时代个人信息保护的特点，在反思传统个人信息保护模式的基础上，探讨基于社会本位理念的个人信息保护的必然性与可能性，以期为我国个人信息保护法的功能发挥和目标实现提供助益。

一、大数据时代个人信息保护模式的传统路径

（一）传统个人信息保护模式述评

一般认为，目前世界各国通行的个人信息保护模式主要采用私法进路，“保护方法采用个人赋权，保护目标设定为个人信息权，保护范式适用私人主导的同意权事前预防和民事诉讼事后救济范式，纠纷定位于民事纠纷，采用违约或侵权等民事路径进行救济等”。其主要特点可归纳为：第一，以保护个人信息权为核心。法律保护个人信息是为了维护个人的人格尊严和人格平等，确认个人对其信息享有平等、自主支配的权利。法律保护个人信息权，就要充分尊重个人对其信息的控制权。传统的个人信息保护模式要求构建以信息主体自我控制为基础的个人信息权利体系，并在此之上形成个人信息保护秩序。第二，以对信息主体赋权为保护手段。传统个人信息保护的最佳路径是信息主体自主控制，而权利是实现自主控制的有效工具。因为“法律上的权利是法律赋予权利主体作为或不作为，并要求他人相应作为或不作为的许可、认定及保障”。因此，各国立法例普遍采用赋权模式作为个人信息保护的重要手段。如欧盟《一般数据保护条例》设立了包括知情权、同意权、访问权、删除权（被遗忘权）、修改权、限制处理权、拒绝权、可携带权、自动化决策权等在内的权利体系。我国也确立了包括知情权、同意权、访问权、更正权、删除权、撤回同意权等权利在内的个人信息权利体系。第三，以私人主导的事后诉讼作为主要救济方式。私法认为侵害个人信息是在损害信息主体的个人利益，且施害者和受害者为平等主体，通过私人诉讼既可调动信息主体维护自身利益的积极性，又可通过个人利益的实现完成集体利益的维护，因此，私益诉讼被视为解决个人信息侵权的主要救济模式。

不难看出，传统个人信息保护进路体现出了明显的个人本位特征。作为私法的观念基础，个人本位理念的核心可概括为三点：第一，社会是个人之和，所有的利益最终都可被划归为个人利益。第二，个人是独立的、平等的理性存在，个人是自己利益的最佳判断者，因此，自由是实现个人利益的最佳途径，也是实现社会利益的最佳途径。第三，自发的市场机制可以形成良好的市场秩序。尽管在个人利益的实现过程中可能发生冲突，但冲突的形成主要是权利边界不清导致的。只要明晰各自的权利边界，冲突可以通过市场机制得以化解。具体到个人信息保护，基于“个人信息承载个人尊严，只有本人能够控制自己的个人信息，才可能自由发展个人人格。如果个人无法知晓自己的个人信息在何种程度上、被何人获得并加以利用，则个人将失去作为主体参与的可能性，而沦为他人刻意操纵的信息客体，被沦为客体正是人性尊严被侵害的同义语”，传统个人信息保护模式认为，“所有与你有关的信息都是‘你的’特别宝贵的‘隐私’，所以你应该独占性地‘拥有’或者‘控制’这些个人信息”，并进而主张个人对其个人信息拥有支配权，非经个人同意，他人不得收集、处理和利用其个人信息。

概述之，小数据时代的个人信息以个人性为主要属性，而个人本位理念则较好地迎合了个人信息的个人性特征，这也是传统个人信息保护法律体系在小数据时代无往不利的根本原因。然而，随着大数据时代的到来，传统个人信息保护模式越来越显得捉襟见肘。尽管法律赋予信息主体越来越多的保护性权利，以应对个人信息收集利用的关系日渐复杂、信息主体与信息处理者的地位失衡、信息主体逐渐失去对个人信息的支配力等诸多挑战，但个人信息私法保护模式的失败和域外立法经验表明，基于个人本位理念建构的传统个人信息保护模式难以实现对个人信息的有效保护。

（二）大数据时代个人信息保护模式面临的新挑战

1.利益平衡机制失灵

个人信息是一个多元价值的集合体，包含了信息主体的人格尊严和自由价值、商业价值和公共管理价值。随着大数据时代的到来，个人信息的资源属性和商业价值显得愈发重要，大量互联网新兴产业将个人信息作为最重要的生产资料之一，收集、利用用户的个人信息成为许多企业的经营战略。作为大数据时代标志性技术的大数据分析，其有效运行依赖于由海量信息汇聚而成的“大数据”，“数据的流通作为数据再利用的重要形式之一，数据的可流通性与可获取性对于行业来说至关重要。个人数据无法流通、无法获取，大数据产业就会成为无水之源”。但个人信息商业利用导致的大量个人信息的收集、处理、分享、利用必然与知情同意权、删除权（被遗忘权）等个人信息保护权利相抵触。由此，信息主体对个人信息的保护需求与信息处理者对个人信息的利用需求之间产生尖锐冲突：如果个人信息保护过于严格，将使大量信息沉淀而加剧信息孤岛效应，制约大数据产业发展。而过度的商业利用甚至违法收集、使用个人信息，又会严重侵害信息主体的个人信息权益。采用基于个人本位理念的个人信息保护模式的国家和地区，显然也意识到了这对矛盾并试图作出修正，例如，欧盟《一般数据保护条例》将保护数据自由流动作为与保护个人信息同等重要的立法目的，但由于其对个人数据权利的认知仍未突破个人本位模式下过分强调个人信息的个人属性的窠臼，导致在具体规则的设计上显著倒向个人信息保护，立法目标显著失衡。

2.各主体间力量失衡

在大数据时代，由于信息获取、技术应用和创新能力的差异，在信息化、数字化进程中，社会群体之间出现明显的数字鸿沟（digital gap），这进一步加大了强弱之间的差距。美国《大数据报告》指出，“大数据分析可能导致非常迥异的不公平的对峙，特别是对一些弱势群体，或者产生不透明的决策环境，使得个人的自治丧失在一系列无法理解和预知的算法之中”。专业的信息技术企业作为信息处理者，具有强大的信息、技术、诉讼优势，伴随资本、技术和数据等生产要素高度集中化，其无疑成为了时代“巨人”和强者，与之相对的信息主体则处于明显的弱势地位，双方力量明显失衡。第一，信息不对等。信息处理者较之信息主体拥有更多的数据信息和技术优势，为追求利益最大化，信息处理者往往通过设置障碍来固化甚至扩大信息不对称程度。比如，通过隐蔽隐私政策，使信息主体难以顺畅发现隐私协议。又如，通过在隐私协议中不当设置用户的阅读能力标准、过度使用专业语言、充斥非实质性内容、将告知事项分散于其它内容中等来增大阅读难度和理解难度，使信息主体的阅读意愿降低。第二，市场地位不对等。在我国，BAT三大互联网巨头基本垄断了互联网市场，大多数信息主体使用三大互联网公司提供的服务。经济地位和市场地位的悬殊，造成“店大欺客”现象极为普遍，如软件或平台使用中的“二选一”、不合理的格式合同等。许多以互联网为依托的服务本身具有重大的垄断性影响力，信息主体为了使用其产品或服务，除了“同意”别无选择。第三，诉讼能力不对等。与信息主体相比，信息处理者拥有专业的法律团队，在法律知识、诉讼技能等诸多方面具有无可比拟的优势。尤其在发生个人信息侵权后，取证和举证成为制约信息主体诉讼的关键。首先，证明信息泄露需要具备一定的专业知识和技能。其次，由于网络空间的特殊性和隐蔽性，非法收集、泄露、买卖等滥用个人信息行为的记录均由侵权人控制且上述证据很容易被销毁，信息主体举证难度大。再次，个人信息收集途径多，环节复杂，信息主体无法知晓是谁、在哪个环节、以什么方式泄露了个人信息，取证更是无从谈起。在这种情况下，很难认为信息主体仍有能力维护自身权益，将保护个人信息的期望完全寄托于信息主体与信息处理者处于平等地位下的对抗更是不切实际。

3.个人信息秩序失稳

由于大数据时代个人信息利益平衡机制失灵、各主体间力量失衡，而既有制度难以针对上述问题设计解决措施或疏导机制，导致的结果就是个人信息秩序失稳。这主要体现在两方面：一是个人信息保护失灵，二是个人信息利用失序。

就个人信息保护而言，小数据时代构建的个人信息保护规则正在面临全面失效。以知情同意机制为例，受限于“有限理性”“框架效应”“重复效应”“可得性启发”“自我催眠”“认可偏见”等效应，信息主体被“告知”而不知情，不知情而“同意”，“同意”而不置可否的情形普遍存在。即便知情同意原则在各国个人信息保护法中几经更迭，加入了种种制度设计以降低信息主体的理解成本和理解障碍，但仍收效甚微。在现有法律框架下，知情同意由信息主体控制个人信息的途径异化为信息处理者开脱责任的借口。自主控制模式下的其他子制度，如个人信息的范围界定、目的限定与信息最小化原则、用户控制与透明度原则、第三方责任界定规则、个人信息的跨境传输规则等，在大数据时代无一不受到严峻挑战。

个人信息是大数据和人工智能的原材料，如同黄金一样珍贵，信息处理者收集、利用个人信息的激励十分强烈，但传统的个人信息保护制度并未给个人信息利用预留足够的制度空间。在这种情况下，有很多收集和处理行为在短期内无法通过正常和合理途径得以完成。面对巨大的利益诱惑，非法窃取个人信息的现象可能将更加严重，甚至催生出有关个人信息交易的“黑市”。对此，传统个人信息保护模式给出的解药通常是通过进一步给信息主体赋权来强化个人控制，较为典型的如欧盟《一般数据保护条例》给信息主体增加了可携带权、被遗忘权等一系列权利并匹配以媲美执行反垄断法的执法力度。不得不承认，上述举措确实对提升个人信息保护水平有一定效果，但代价是牺牲欧盟数字经济的发展和国际科技竞争力，这在大数据时代实在难言明智。

由此可以看出，传统的个人信息保护模式难以应对大数据时代给个人信息保护带来的挑战：从个人信息保护的角度考察，由于大数据时代信息主体和信息处理者地位的实质不平等和私法救济失灵等原因，无论是在微观层面还是在宏观层面，该模式的效果都不尽如人意。从个人信息利用的角度考察，该模式并未给信息处理者利用个人信息预留充分空间，而信息处理者在大数据时代处于显著优势地位，二者结合给信息处理者合规造成了巨大的负激励，使其更加倾向于逃避规制而非主动加强个人信息保护，从而迫使立法者对个人信息利用进行更多的限制，非合作博弈的结果是个人信息保护与利用的双输。在个人信息保护与利用的技术基础和社会形势发生深刻变革的前提下，必须基于大数据时代个人信息的新特征，重新思考个人信息保护的理论基础。

二、个人信息的认识转换与法律保护的理念嬗变

（一）个人信息属性的再认识：从个人性到社会性

如果说小数据时代的个人信息以个人性为主要属性，那么进入大数据时代，社会性则取代个人性成为了个人信息的主要属性。上述转变可以从三个角度来理解。

第一，个人信息本身即兼具个人性和社会性。从产生方式看，个人信息可分为个人固有信息和个人衍生信息。前者指那些不与他人发生直接联系的信息，如基因、血型、特殊体质、姓名、性别、出生年月等。此类信息大多是基于个体的独特性产生的，往往自出生或初始设置后就具有一定的稳定性和固定性。在通常情况下，此类信息的设置和产生具有较强的内部指向，更多的表现为信息主体的个体性。个人衍生信息更多地建立在社群中，是在社会关系中生成的个人信息。这类个人信息通常是在信息主体与他人或机构交互中产生的，如上网信息是信息主体访问网站留下的上网痕迹，消费信息为信息主体网上购物留下的交易记录，银行交易信息则是信息主体存贷款在银行或其设备上留下的交易记录等。个人衍生信息产生于社会交互中，具有明显的社会性和公共性，其不只受限于信息主体的控制和支配，还受到信息交互中相对方和社会公共利益的限制。从属性看，个人信息是对信息主体状态和行为的记录，属于一种具有有限排他性的准公共物品。准公共物品的特征决定了个人信息兼具个人性和社会性。从功能看，个人信息是信息主体的自我反映、自我表达，是个人在社会中标识自己、建立联系的工具，也是社会了解和识别每一个个体并开展活动的依据。一个人要进入社会或参加社会活动，就需要向他人披露、公开身份，封闭个人信息则意味着与世隔绝。而社会也需要利用个人提供的个人信息和散落于各处、可被搜集掌握到的个人信息来了解、判断某个人。这两个方面构成个人信息应用的基本场景。所以，就本质属性而言，个人信息兼具个人性和公共性，只是何者为个人信息的主要属性则随时代而异。

第二，个人信息保护由个人性转向社会性。个人信息保护特性的转化主要是由个人信息侵害的特征转变导致的。小数据时代的个人信息侵害事件具有孤立性、个体性、静态性，基本可以还原为信息处理者对某一信息主体的单独侵权。而大数据时代的个人信息侵权以社会性侵权为主。以个人信息泄露事件为例，2018年的 Facebook 8000万美国居民个人信息泄露事件、华住酒店集团5亿客户个人信息泄露事件均引发了社会广泛关注。上述事件具有以下共同特点：一是受害人数众多。在牛顿网络整理的2018年上半年全球互联网十大数据泄露事件中，泄露个人信息数量最多的 Aadhaa 和圆通泄露的个人信息数量均为10亿条，泄露个人信息量最少的 AcFun 泄露的个人信息数量也有800万条。尽管不能确定每条个人信息对应一个信息主体，但涉及的信息主体数量众多是可以肯定的。二是单一受害人所受的损害具有轻微性。由于个人信息的隐私利益和使用价值难以被评估，加之潜在损害需长期累积方可显现，确定信息泄露所造成的直接损失尚属难题。需要指出的是，尽管个人信息侵权的直接损害轻微，但由于个人信息（尤其是敏感信息）泄露可能导致的违法犯罪却不容小觑。三是侵害具有发散性特征。“所谓发散性侵害，即某一违法或不正当行为发散性地对归属特定集体的所有成员的权利或法益形成了一致性侵害。”如果 Facebook 个人信息泄露被认定为社会侵害，则8000万美国居民即形成一个特定集体，与 Facebook 形成“群对一”的社会权益（集体权益）对抗关系。在华住酒店集团个人信息泄露事件中，5亿客户紧密结合为一个特定集体，与该集团形成“群对一”的社会权益（集体权益）对抗关系，发散性特征明显。受害者的广泛性、单一损失的轻微性、侵害行为的发散性使得大数据时代的个人信息侵权具有社会性特征，而这又决定了大数据时代个人信息保护必须具有社会性。保护个人信息不仅会给信息处理者带来收益，更是信息处理者应当履行的社会责任。因此，个人信息保护属于一种社会性事务。

第三，个人信息利用由个人性转向社会性。小数据时代的个人信息的商业价值难以被充分开发，个人信息价值主要由信息主体占有。即便信息处理者利用个人信息，也主要是针对有限数量样本进行收集、处理、分析，个人信息利用关系主要是特定信息主体与信息处理者间的个别、静态关系。大数据时代的个人信息利用则具有鲜明的社会性特征。党的十九届四中全会提出“健全劳动、资本、土地、知识、技术、管理、数据等生产要素由市场评价贡献、按贡献决定报酬的机制”，从事实上肯定了个人信息的资源价值。2000年，世界范围内四分之三的数据是以模拟形式记录的，而2013年98%以上的信息以数字形式存在，因此对数据的收集、存储和分析更加容易。随着大数据、云计算技术的日渐成熟，物联网、大数据的应用已经越来越受到人们的青睐，个人信息的商业价值不断显现。据统计，2016年，全球大数据及其分析市场收入达到1300亿美元，预计2020年可超过2030亿美元。个人信息被收集后与来自其他主体的海量个人信息聚合形成大数据，是大数据时代个人信息利用的典型方式。可以说，个人信息是大数据的重要来源。由于少量个人信息无法形成大数据聚合效应以及个人信息开发、利用的高门槛，信息主体往往无法自行开发、利用蕴含于其个人信息中的价值。“除非被收集后与其他来自相近社会经济类别的个人资料汇总在一起加以利用，否则无名之辈的个人资料并不值钱”。来自数以亿计的信息主体的海量个人信息汇集成大数据，而大数据开发、利用的成果又反过来惠及每一个个体。商业主体通过对大数据的开发利用为消费者提供更加精准、人性化的服务，使人们得以享受大数据带来的种种便利和红利。政府在公共管理、公共服务、公共安全等方面对个人信息的利用，更是直接服务于社会所有成员。可见，无论是收集个人信息形成大数据还是大数据红利分享都带有明显的社会性特征。

（二）个人信息保护的理念转变：从个人本位到社会本位

在传统个人信息保护模式下，个人信息被视为纯粹的私人“物品”或“领域”。从历史的维度观之，此认知在小数据时代有一定合理性。首先，小数据时代的个人信息主要体现为个体性，社会性较弱，使用目的多为对信息主体的识别，侵权一般发生在自然人之间，采取基于个人本位理念的私法保护具有应然性。其次，形式上个人信息的商业利用属于平等主体之间的交易行为，即信息处理者提供产品或服务，信息主体以个人信息作为对价换取其产品或服务，交易确属私人之间的买卖关系，个人本位理念指导下的个人信息的私法保护有其合理性。再次，在比较法上，美国、欧盟对隐私权益的保护经历了从隐私权到个人信息权的演进，并且都被认为采取了私法的保护模式。正是这种“合理性”阻碍了人们对基于个人本位的个人信息保护模式的基本认识的进一步质疑与反思，个人本位作为个人信息保护的“通说”得以延续。

事实上，“并非所有的个人信息都与人格有关，而那些无涉人格的、无关紧要的个人信息则属于公共领域，个人无权阻止他人收集、处理以及利用”。换言之，任何个人信息都具有个人性和社会性，不能因为个人性关涉人格就忽视其社会性，而对个人信息进行绝对控制。“人……无论如何也天生是社会动物”。作为能够识别自然人的信息，个人信息存在的首要价值便是帮助自然人实现社会交往，因此，信息主体不能也不可能对自己的个人信息进行绝对控制和保护。如果所有的个人信息都值得保护，所有的个人信息处理行为都被预先推定为违法，只会将个人信息保护的法秩序从信息自由导向严格的信息限制甚至是信息禁止。基于个人本位的个人信息保护模式将个人信息保护视作信息主体与外界的对抗，一味地强调个人对个人信息的“保护”和“控制”。由于个人本位认为“只有像细胞核一样分别存在的单个人，没有多数细胞聚合而成的组织器官”，以此为基础的个人信息保护体系也就不会将信息主体视为一个群体而作宏观考虑，更无法充分考虑到其他群体对个人信息的合理利益和个人信息流动的客观需求。因此，个人信息自主控制模式事实上保护的是单向度的信息主体的个人信息权，属一种微观的、孤立的、静态的个人信息保护观。基于个人本位的个人信息保护体系在理论上存在先天缺陷，这是其无法满足大数据时代个人信息保护与利用需求的根本原因。

将社会本位引入个人信息保护是个人信息社会性的必然要求。作为对个人本位的反思，社会本位早在一个多世纪之前被提出并融入法律体系。社会本位是以社会整体为中心和起点，要求在个人与社会之间重新安排权利和义务的思想原则。它是个人主义或个人本位发展到极致的产物，是对个人本位的颠覆和反动。不过，社会本位并非完全否定个人本位，它承认个人相对于社会的独立地位，反对将个人当作唯一目的而社会仅仅作为手段的个人本位观。它要求承认社会和社会公共利益的独立地位，并将法律的重心适当向社会公共利益倾斜，从而使个人与社会之间的关系趋向和谐。由此可见，社会本位是与个人本位相对应的一个概念，是处理个人与社会之间关系的一项原则和价值选择。在大数据时代，个人信息保护与利用很难再被看作是私人事务，而是更多地进入到了公共领域。参与个人信息保护与利用的不再是个别的、独立的、平等的主体，而是数量庞大、实力悬殊且呈现出鲜明群体性特征的信息主体和信息处理者。被收集、利用的不再是特定信息主体的某一条或某几条个人信息，而是来自不特定主体的海量数据。关涉的利益不仅是信息主体的人格尊严和信息处理者的商业利益，更有数字经济的发展和大数据红利的分享。“法的关系正像国家的形式一样，既不能从它本身来理解，也不能从所谓人类精神的一般来理解，相反，它们根源于物质的生活关系。”“这些生产关系的总和构成社会的经济结构，即有法律的和政治的上层建筑竖立其上并有一定的社会意识形态与之相适应的现实基础。”个人信息保护法必须依据个人信息的新特性，研判个人信息保护的新样式并对其作出能动回应。故而，大数据时代个人信息保护面临的多方利益冲突、各主体实力相差悬殊以及发散性侵权的复杂形势，呼唤具有统合思维和多样化手段的新的个人信息保护模式，而个人信息的社会性和资源性则要求这种新的个人信息保护模式将社会本位作为其基本理念。

三、社会本位理念下个人信息保护的总体思路

基于社会本位理念的个人信息保护的总体思路是，以良好秩序构建为首要目标，以多重价值平衡为价值取向，以风险多元治理为立法核心，最终达至社会利益最大化。

（一）以良好秩序构建为首要目标

个人本位的个人信息保护观往往呈现出明显的自然权利主义特征，认为保护个人信息是维护信息主体尊严、自由、人格自治等基本权利的需要，并以此主张信息主体对个人信息的自治。如果上述观念正确，一个合理的推论是：个人信息保护的尺度应该具有某种普遍性和一致性。但从实践的角度看，个人信息保护并非“四海一系”，而更多的体现为一种“地方性知识”，一种在特定社群的历史背景、社会生活、文化传统、法治实践等“本土资源”之上形成的秩序。例如，各国立法对个人敏感信息内涵和外延的规定存在重大差别，无疑说明不同国家和地区的人民对“何为敏感信息”的认识大相径庭。有学者就此指出，试图以权利话语探讨个人信息保护并将之普遍化，具有浓厚的伦理哲学式直觉主义色彩，而这正是其难以回答实践中个人信息保护多样性标准和尺度问题的原因。

一些更加晚近的研究表明，个人信息“必须放在社群的语境中才能被充分理解，因为个人的合理空间或个人人格都是由社会构成的，只有在社群共同体中，个人的合理空间或人格才具有实现的可能”。决定个人信息保护尺度的并非某些“中立的”或“客观的”事实，而是一种固有的规范性社会实践。是否侵犯个人信息权益也并非取决于信息主体的主观感受（例如被冒犯带来的愤怒或羞辱感），而是对特定社会秩序的违反。可见，个人信息保护的目标与其说是某种放之四海而皆准的权益，毋宁说是一种在特定社群中约定俗成的社会秩序。认为“维护自然人合法权益是个人信息保护的首要目标”的观点只有在“一切法律皆为人法”的层面才能成立。

需要指出的是，将构建良好的个人信息秩序作为个人信息保护法的首要目标并非质疑信息主体权益的重要性或优先性，更不代表取消或减损对个人信息权益的保护。维护个人信息秩序与保护个人信息权益具有一致性，“对于个人数据来说，如果一个社群具有较为合理的信息与数据流通机制，那么侵犯隐私的情形就会大大降低。因为在这种社会中，信息的流通机制将会大致符合人们的日常预期”。这也解答了，为何作为当前世界各国个人信息保护制度源头的美国的“公平信息实践原则”，以实现信息收集者、处理者与个人之间的公平或合理的信息关系为宗旨，而非以实现对信息主体的权利赋予和权利保护为宗旨。当前个人信息保护乱象频仍，信息主体权益屡屡失守，一个重要原因正是，在既有个人信息流通方式改变的同时，适应大数据时代、具有“语境公道性”（contextualized integrity）的个人信息新秩序尚未形成。所不同者在于，以良好秩序构建为首要目标的个人信息保护制度不承认孤立、绝对的个人信息权益，而主张将个人信息权益维护视为维护个人信息秩序的一部分，并在此意义上展开讨论。这也正是社会本位的基本观点和要求。

（二）以多重价值平衡为价值取向

个人信息作为一种重要的社会存在，必然蕴含着多种价值，各价值相互勾连不可分割，共同描绘单个自然人及由单个自然人构成之社会整体的人格利益样态和财产利益样态。依不同标准，对个人信息所附价值可进行多种划分：根据类型不同，可得出个人信息的人身价值和财产价值；根据诉求不同，可得出个人信息的保护价值和利用价值；根据产生方式不同，可得出个人信息的人格尊严与自由价值、商业价值和公共管理价值，等等。个人信息的人身价值、保护价值、个人尊严、自由价值多与信息主体相关，可统称为个人信息的信息主体价值（以下简称为信息主体价值）；而财产价值、利用价值和商业价值、公共管理价值的主张者主要是信息处理者，这些价值可统称为个人信息的信息处理者价值（以下简称为信息处理者价值）。可以发现，基于个人本位的个人信息保护制度并未对多重价值的平衡机制进行精心设计，而是在不断赋权于信息主体、加责于信息处理者的基础上构建起一套以维护信息主体价值为主要价值取向的个人信息保护机制。在此机制下，信息主体价值被置于价值系统中的优先位置，信息处理者价值则以信息主体价值的边界为界限与之进行被动平衡。

传统的个人信息保护法律体系将维护信息主体价值作为主要价值取向的原因可概括为三点：第一，在小数据时代，个人信息的社会属性尚未充分显露，个人属性更贴近个人信息的本质，这种认识惯性一直延续到了大数据时代。第二，个人本位理念下的“人”是一切价值观念和价值活动的主体，与信息主体利益相关的价值理所应当地被置于更高的位置。第三，信息处理者相对于信息主体通常更强势，并且个人信息的生产、利用和交易无需激励，因而没有必要对信息处理者利益作出特殊考虑和安排。关于前两点，前文已有讨论，此处主要针对第三点展开讨论。必须承认，在大数据时代，信息主体与信息处理者之间的地位不对等确实存在，而且相较于小数据时代更加明显，问题在于，这种地位不对等带来的不良后果是否能够通过个人信息保护法价值设置的倾斜和取舍得到改善或解决。一方面，为实现对处于优位的信息主体价值的有力、圆满保护，往往需要采取对信息主体赋权的形式。然而在大数据时代，信息主体在信息获取能力、专业知识储备和谈判议价能力等方面的局限更加突出，使得实践中信息主体的权利往往被架空。另一方面，个人信息是数字经济的命脉，信息处理者有收集、利用个人信息的强烈冲动。开发、利用个人信息固然不需要激励，但需要为信息处理者对个人信息的合理需求留出足够空间和渠道。如若不然，信息处理者与信息主体间的利益博弈将从立法转移到司法和执法，造成的结果是：外部监管过于严格，抑制大数据开发利用；缺乏监管或者监管要求普遍不被遵守，大数据利用以牺牲个人信息保护为代价；监管游移不定，忽左忽右，陷入既没有大数据利用也难以保护个人信息的双输格局。

面对大数据时代如洪水般的个人信息开发、利用需求，“大禹治水”的隐喻启发我们“堵不如疏”，必须改变此前个人信息保护机制中以信息主体价值为重、忽略信息处理者价值的倾向，转而在社会本位理念的指引下，将多重价值平衡作为基本价值取向。具体而言，在立法中，不应一味地加强信息主体对个人信息的控制，而应在保障个人信息保护强度和信息主体合法权益的同时肯定和保障信息处理者的价值，“既不能仅仅为了保护自然人的权益，无限度地扩张自然人对个人数据的权利边界，从而妨害数据的流动、分享与利用。也不能无视数据企业对其付出成本而合法地收集、存储和利用个人数据的权利”，并通过制度设计保障这种价值平衡的实现。在司法、执法中，应当通过基于场景和语境的个案裁量代替规则之治作为主要裁判方式，在个案中平衡人身价值和财产价值、保护价值和利用价值、个人尊严与自由价值和商业价值与公共管理价值。

（三）以风险多元治理为立法核心

所谓以风险治理为核心，即将个人信息保护法律体系构建在对个人信息风险的管理和控制之上。大数据时代的个人信息保护和利用秩序还有待发现，而风险如何治理、如何分配则为发现秩序的重要线索和构建秩序的重要依据，二者具有内在同一性。风险控制是法律中的普遍性思维，“从广义上说，整个法律制度都是旨在解决风险问题的风险防控制度”。具体到个人信息保护法，美国学者詹姆斯·惠特曼指出，其“既非逻辑的产物，也非所有现代社会共享的‘经验’或所谓‘情感需求’的产物，而是当地社会焦虑和理想主义的产物”。可见，风险治理本就是个人信息保护法的题中之义。在比较法上，2004年的APEC隐私框架将预防损害作为了个人信息保护的首要原则，欧盟《一般数据保护条例》和美国《消费者隐私权利法案》也给予风险防控以重要地位。在大数据时代，个人信息具有强烈的社会性特征，多元主体均可合理主张个人信息权益，因此，个人信息保护制度显然不宜再以维护信息主体的控制权作为核心，也不应以维护任何主体对个人信息的控制作为核心。在个人信息保护法中强调风险治理，既可摆脱对“何人控制个人信息”的争论，又能够通过风险防控和治理维护各方合法权益，还契合了个人信息保护法的“保护法”定位，因此，对个人信息保护的探讨应当重新回到风险治理上来。

个人信息风险多元治理中的具体权责划分是一项复杂的系统工程，本文无意详述，但不妨对其大致轮廓作一番勾勒。其中，国家作为社会风险的宏观预防和管理主体当无疑义，关键在于信息主体和信息处理者间的权责划分。总的来看，个人信息风险治理应当以信息处理者作为主要的责任主体，而将权利向信息主体倾斜。这主要基于以下两个理由：一方面，个人信息开发利用的主要和直接受惠者是信息处理者，但个人信息被泄露、滥用造成的风险则主要作用于信息主体。另一方面，由于在个人信息开发利用中的被动角色和大数据时代带来的信息、知识、资源鸿沟，信息主体像小数据时代那样承担风险防控主要责任的成本非常高昂。基于传统的“受益者负担”原则，若某合法行为产生的风险不可避免，则防范风险的责任应主要由受益者承担，而根据卡拉布雷西的事故责任分配原则，防范风险的责任应当加诸防范成本最低的主体。信息处理者既是受益较多的一方，又是防范风险成本较低的一方，因此，个人信息风险治理中信息处理者应当成为主要的责任主体。而信息主体作为个人信息的源头和个人信息收集、利用中的弱势一方，应当更多享受权利而较少配置责任。可以看出，在以风险治理为核心的个人信息保护法律体系中，信息主体的利益同样可以得到优先、充分的保护，而其他主体的利益亦能得到较好兼顾。这也是基于社会本位理念、以风险治理为核心的个人信息保护法律体系对基于个人本位理念、以自主控制为核心的个人信息保护法律体系的扬弃。

（四）以社会利益最大化为最终追求

无论是权利本位和义务本位，还是个人本位和社会本位，从本质意义上来看，潜藏在各种法本位背后的依然是永恒不变的利益关系。正是各种纷繁复杂的利益关系的分化与组合决定了与此相适应的法本位的选择与划分，利益基点的差异才是区别不同法本位之间关系的根本标志。不同于个人本位下独立、个别存在的个人利益，社会利益是作为具有实质意志、独立存在的有机整体的社会的利益，它是在社会互动的历史过程中形成的，独立于个体但又同时为处于该社会中的每一个个体成员需求，并在一定程度上给予这些需求以满足的存在。个人信息的社会性决定了诸多社会成员都有权对作为整体的个人信息主张权利和利益，而社会利益最大化既是“以良好秩序构建为首要目标”“以多重价值平衡为价值取向”“以风险多元治理为立法核心”所欲达至的终极目的，又是社会本位理念下个人信息保护的最终追求。

首先，良好的个人信息秩序与社会公共利益最大化具有某种同构性。从制度经济学角度看，秩序为人们的日常生活提供规则从而减少了不确定性，而在信息与计算能力有限的情况下，秩序有助于降低交易成本。易言之，即使不同秩序对效率的影响千差万别，秩序的存在本身就意味着成本的降低和效率的提升，而良好的秩序无疑意味着社会利益的实现。在法学层面，“正是由于社会整体利益事关人类社会整体的生存和发展，故而在各种形态的利益中，它更是成为所有法律共同关注和维护的对象”，而法律对社会利益的关注和维护正是通过秩序供给的方式实现的。可见，合理有序的个人信息秩序的构建有助于最终实现社会利益的最大化。

其次，多重价值平衡是实现社会利益最大化的必然要求。由于社会利益具有整体性和公共性，因此不能简单将之化约为各主体利益的加总，更不能简单将之等同于某一群体的利益或是多数人的利益。多重价值平衡要求从全局高度对各主体利益作出总体考虑和统筹安排。在处理利益冲突时，不再仅基于价值位阶对其进行自然法式的排序和取舍，而将是否有利于实现社会利益最大化作为衡量尺度。高位阶的利益也不再当然地对位阶较低的利益享有优先性，所有利益均须在实现社会利益最大化这一目标下进行平衡。由此，信息主体和信息处理者的利益均能够得到充分主张和合理分配，这事实上既维护了信息主体的个人信息利益，又肯定了信息处理者利用个人信息的诉求，社会利益也就由此实现。

再次，以风险多元治理为立法核心是实现社会利益最大化的必要途径。从宏观角度看，如果将个人信息的合理、有序流通和利用视作个人信息价值实现的过程，那么，个人信息风险就是个人信息收集、利用过程中产生的负效率。若能防止这种负效率产生或将其控制在最低限度，无疑都有利于社会利益的更好实现。从微观角度看，基于个人信息的无形性、可分享性和公共性特征，对于个人信息的任何确权尝试都面临着难以避免的理论困境。跳出“个人信息由谁所有”的争议，转而追问“如何避免个人信息风险”既可保障信息主体权益不受侵害，又使得信息处理者在不造成预期之外风险的前提下利用个人信息的自由度大大提高，兼顾了信息主体利益与信息处理者利益，有利于实现社会利益最大化的最终目的。

四、大数据时代个人信息保护的制度变革

在确立了社会本位理念在个人信息保护法律体系中“元理念”的地位后，个人信息保护制度设计的轮廓变得大致清晰了。总体而言，基于社会本位理念的个人信息保护法将以行为规制模式为主要立法模式，以个案分析为主要运行模式，以公力、私力、社会救济并重作为主要救济模式。需要注意的是，大数据时代的到来并非意味着小数据时代的终结，二者目前并将长期处于叠加状态。大数据时代并非不存在具有小数据时代特征的个人信息问题，生活中最常遇到的电话诈骗、垃圾邮件、盗取账号密码等现象其实恰恰属于典型的小数据时代的个人信息侵权。但大数据时代个人信息保护与利用关系是目前个人信息关系的主流和立法需解决的主要矛盾，具有大数据时代特征的个人信息侵害行为无论是范围还是后果都远高于小数据时代的个人信息侵害行为。因应大数据时代的个人信息保护的新特征和新需要是各国个人信息保护法的立法趋势，我国个人信息保护法律体系亦应当将侧重点放在对大数据时代的个人信息侵害行为作出制度回应上。

（一）立法模式：由积极确权模式主导转向行为规制模式主导

各国的个人信息保护法通常采用的立法模式包括积极确权模式和行为规制模式两种。前者通过正面界定权利来划定个人信息主体的权益范围，作为反推效果，在权益保护范围之外的领域均属他人的行为自由。后者直接规定信息开发利用之行为规范，以此来反推并间接保护个人信息主体的权益。我国现行个人信息保护法律体系将信息主体同意作为了个人信息利用的唯一的合法性依据，并通过一系列规范意图加强信息主体对个人信息的支配和控制，这属于积极确权模式。大数据时代的个人信息具有鲜明的社会性特征，社会本位理念下的个人信息保护是多主体参与、多价值并存，旨在构建合理有序的个人信息秩序并最终实现社会利益最大化的保护模式。在此理念指导下，构建个人信息保护法律体系的首要要求就是将立法模式由当前的积极确权模式为主转向行为规制模式为主，或者如一些研究者所主张的，由财产规则主导转向责任规则主导。

行为规制规则与权利规则一样，同样具有利益分配的功能，并且所分配利益也具有排除功能。行为规制方式相当于在整体利益空间之中，通过行为控制切割出利益享有者的利益空间，使其成为受法律保护的法益。其有限的保护格局是基于对冲突利益的权衡，行为控制的实际效果是将部分利益划归利益享有者，同时对行为人的自由给以适度的保障，为行为人留下的自由空间比权利化模式更为宽广一些。我国个人信息保护法应以行为规制模式作为主要立法模式的原因有三：第一，个人信息确权难以成立，前已论及，此处不再赘述。第二，由于行为规制模式下“法不禁止即可为”，事实上给个人信息多元价值的实现和多主体利益的兼顾留下了更大的空间，从而有利于个人信息秩序的形成和社会利益的最大化。第三，以卡-梅框架为理论模型对两种立法模式进行分析，积极确权模式所对应的财产规则的效率和可行性显著低于行为规制模式对应的责任规则。第四，就域外经验而言，采用以行为规制模式为主的个人信息保护立法模式已经成为美欧等国家和地区的共同选择。具体到我国，信息主体的人格尊严权、隐私权等已在《民法典》等法律中做确权化处理，不宜再由个人信息保护法提供重叠保护。因此就立法技术而言，我国个人信息保护法也应采用以行为规制模式为主的立法模式。

在制度设计上，个人信息保护法可依收集、处理、分析、使用、传输、删除等周期对信息处理者的行为进行限制。如在信息收集阶段，信息处理者必须明示其收集个人信息的目的、方式、范围、期限等，符合国家规定或行业认定的个人信息保护标准，在收集敏感个人信息时还应当取得信息主体同意。在信息处理、分析和使用阶段，应采取适当措施（如去识别化等）防止信息主体受到歧视或不公平对待。在信息传输阶段，信息处理者应保障接收方具有与其同等的保护个人信息的能力和资质，若出现个人信息泄露、滥用，接收方还应与其承担连带责任。在信息删除阶段，信息处理者应彻底删除超过使用期限或已经失去价值的个人信息。需要注意的是，出于个人信息保护、利用关系中的利益多元性和分配复杂性，个人信息保护法对信息处理者行为的规制宜粗不宜细，只应覆盖那些具有高度风险盖然性的收集、利用行为，微观层面的信息主体与信息处理者的利益界分则应在具体语境中进行个案分析与裁量。此外，信息处理者遵守法定的行为规范只代表其良好履行了个人信息保护义务，并不当然地表明其个人信息收集、利用行为未侵害信息主体的合法权益。个人信息保护法防范的是一种因个人信息被滥用而可能产生的抽象危险，这一危险可能现实化为隐私受侵害、名誉受损或者财产受损，遵守个人信息保护规则有助于避免这种危险。若已履行个人信息保护义务的信息处理者的个人信息收集、利用行为致使信息主体人格权、财产权等其他合法权益受到侵害，信息主体仍可以此要求信息处理者进行赔偿。

（二）运行模式：由规范之治为主转为个案分析为主

受传统的法治观念影响，当前个人信息保护法主要建立在规范之治的基础上，通过在法律文本中对既有规则的理解和适用来划定信息主体与信息处理者的权利边界，确定性和可预测性贯穿其始终。但前文关于个人信息保护法保护对象的讨论表明，个人信息保护的目的是维护一种或一系列秩序而非某种权利，而秩序所具有的原则性和模糊性则决定了信息处理者在个人信息收集、利用活动中的行为边界必须在个案中、场景中、语境中方得确定。这意味着基于社会本位理念的个人信息保护法运行模式需要从以规范之治为主转向以个案分析为主。事实上，个案分析的思维和方法在现代法中屡见不鲜。无论是作为现代法代表的经济法、社会法，还是民法、行政法等传统部门法，无不体现出由重稳定性向稳定性、灵活性兼具转变的特征，“与个人信息权利保护类似，这些法律部门所遇到的问题更难以标准化，更依赖于具体情境中的相关因素，也因此更需要在场景与具体关系中进行判断。一旦脱离具体场景与信息关系，相关的个人信息权利主张就可能丧失正当性基础，蜕变为形式主义”。

就个人信息保护而言，采用个案分析为主的运行模式的优势是明显的。一方面，传统的个人信息保护法通常会导致在实践中出现信息主体对个人信息的控制权不断扩张的现象，这并非由于其不重视个人信息自由流通和数字产业发展（事实上，呈现扩张现象的欧盟《一般数据保护条例》恰恰将保护自然人的自然数据权利和设定个人数据自由流动规则作为并列的两大立法目的），而是因为个人本位理念下信息主体个人信息权的位阶较高而在实践中又极易被架空，因此在规则之治的思路下，法律被迫不断为信息主体赋权。在以个案分析为主的个人信息保护模式中，对信息主体赋权无需面面俱到，信息主体可以对信息处理者的某个具体行为提出诉求，由信息处理者、第三方机构或是行政监管机关、法院决定其诉请是否应得到支持。因此，信息主体权利扩张的现象大大改善，多重价值平衡得以更好的实现。进一步地，由于强化个人信息保护不再依赖于对信息主体的过度赋权，包括知情同意在内的个人信息自主控制机制的体系性地位被降低，范围被压缩，信息处理者可以运用合理成本使用个人信息而无需投入大量成本用于合规，这对信息处理者遵守个人信息保护法、在法律设定的秩序和规则下合法收集、利用个人信息提供了正向激励，反而有助于改善个人信息保护状况。另一方面，个案裁量容易被人诟病的裁判尺度不一和成本较高的问题，其实在个人信息保护法上也并不严重。在大数据时代，社会性侵权是个人信息侵权的典型方式，通常表现为掌握天量数据的实体大规模泄露、滥用个人信息，而这种具有一定数据垄断地位和大数据处理能力、需要被特殊监管的主体数量其实并不多，这与反垄断法面对的情况十分类似。因此在实践中，行政主管部门和司法部门完全可以通过发布指南和指导性案例的方式将规范之治的优势与个案裁量结合起来，大幅缓解执法尺度不一的问题。基于对象集中的特性，其实施成本其实未必显著高于规则之治。也正是因此，欧盟和美国都在不同程度上将个案裁量作为个人信息保护的重要实施机制。

个案分析在实践中的具体实施方式是“隐私风险评估”（Privacy Impact Assessment，PIA），其核心意涵是评估技术或行为对隐私权的影响，并采取适当的措施防止或最小化这些影响。这一机制作为确定具体场景中信息处理者义务及其边界的有效工具，在实践中已发展为标准化操作流程，成为国际上日益认同的理念与最佳实务。引入隐私风险评估后，信息处理者对个人信息的使用权不再来自于信息主体授权，信息处理者的义务也不再由规范之治下信息主体的权利派生，而将在具体场景和语境中依风险确定。若信息处理者的行为不会给信息主体带来不合理风险，即被认为“合理使用”，原则上可以自由开发、利用个人信息，而信息主体对个人信息的“控制权”将被降格为“影响权”，与其他主体一道参与个人信息治理。

（三）救济模式：由私力救济为主转向公力、私力、社会救济并用

在个人本位的影响下，现行个人信息保护法通常将私力救济作为保护个人信息及其救济相关权益的基本途径。尽管也承认“个人信息保护方式呈现多样性和综合性，尤其是可以通过行政手段对其加以保护”，但通常认为主要还是以私权保护为主。例如，王成教授认为，“个人信息的救济应主要依靠民事机制来实现。个人信息遭受侵害后，第一要务是通过侵权责任等私法规定对受害人的损害进行填补，行政手段和刑事处罚只具备补充性”。齐爱民教授最新发布的《中华人民共和国个人信息保护法学者建议稿》没有设置专门的个人信息保护机构，也是这一观点的体现。出于个人信息与信息主体的紧密关系，私力救济确应在个人信息事后救济制度中占有一席之地，但无论是理论依据还是现实情况均不支持私力救济成为个人信息权益和公共利益救济的唯一途径。面对大数据时代个人信息社会性的凸显和个人信息保护面临的错综复杂的新形势，只有在社会本位理念指导下，综合运用公力救济、私力救济、社会救济手段才能有效保护个人信息承载的个人权益和公共利益。

社会本位下的个人信息保护法有必要规定设立个人信息行政监管机构，以公权力为个人信息保驾护航。个人信息行政监管机构的主要职能应包括规则制定、主体监管、行为监督等方面。在规则制定方面，由于我国现行法律中关于个人信息保护的规定较为原则，具体事项通过大量国家标准确定，导致的结果是关于这些事项的规定的效力层级过低，体系散乱。可能的解决方案是由个人信息行政监管机构作为主管部门统一制定规则，将不宜规定于个人信息保护法但又较为重要的事项通过部门规章的形式固定下来，现有的国家标准经实践证明运行良好的也可以上升为部门规章。在主体监管方面，应允许个人信息行政监管机构对信息处理者进行资质审查以确定其能够充分保护所收集的个人信息，对于个人信息收集、利用数量巨大或需频繁使用特定敏感个人信息的信息处理者，还应考虑设置适当的备案或准入机制。在行为监督方面，个人信息行政监管机构应采取主动监管和被动监管相结合的方式，在个人信息收集、处理、分析、使用、传输、删除等全生命周期对信息处理者进行行为监督。对于信息处理者的违法违规行为，个人信息行政监管机构可对其施以警示、惩戒、禁令、行政罚款等行政处罚措施。

然而，公权力在个人信息保护中存在缺少理论上的正当性、难以调动信息主体积极性、难以查处所有个人信息侵权案件等问题，并不能“包打天下”。公力救济与私力救济的结合也难以解决所有个人信息问题，如对于大数据时代具有轻微性和发散性的个人信息侵权事件，这种二者结合的救济方式就显得束手无策。因此，为实现对大数据时代个人信息侵权的全面、有效救济，尚需引入社会救济。所谓社会救济是指，社会组织和个人为实现及维护社会权益（集体公益），通过行使社会（集体）权利来实施法律，较为典型的如得到法律授权的社会组织和个人依法为维护社会权益而提起集团性公益诉讼，以及不通过诉讼程序进行救济的一系列方式。如在法国，消费者组织通过发起消费者集体“罢买”行动来“抵制”有损广大消费者权益的产品或服务。社会救济能够有效应对大数据时代较为普遍的个人信息侵权，填补公力救济和私力救济二元化分带来的个人信息保护盲区。同时，“社会救济”与个人信息保护的社会性相呼应，强调个人信息的社会救济有助于凸显社会本位在个人信息保护中“元理念”的地位。因此，社会救济与公力救济、私力救济一道作为个人信息的重要救济途径，共同实现对个人信息的周密保护，可谓意义重大。

我国学界和实务界尚未广泛认可“社会救济”概念，实定法中也未将社会救济与私力救济、公力救济作明确区分，但这并不意味着事实上的社会救济不存在。目前，《消费者权益保护法》设置了保护消费者个人信息的条款，我国消费者协会的半官方性质使其依职能对损害消费者权益行为的揭露和批评具有广泛的公信力和影响力，从效果上近似于上文提到的有组织“罢买”。与此同时，《消费者权益保护法》也赋予了消费者协会代表权益受损害的消费者提起消费民事公益诉讼的职能。因此，信息主体个人信息的社会救济或可暂时寄于《消费者权益保护法》之下，俟时机成熟再独立而为单独的救济途径。

五、余论

面对大数据时代个人信息社会性凸显的新形势、新特点，传统的个人信息保护已经难以适应需要，应将社会本位作为元理念，并在此基础上形成一整套以良好秩序构建为首要目标、以多重价值平衡为价值取向、以风险多元治理为立法核心，以社会利益最大化为最终追求的个人信息保护法律体系。在具体制度上，通过将行为规制模式作为主要立法模式，将个案裁判作为主要运行模式，将公力、私力、社会救济并重作为主要救济模式，缓解个人信息保护与信息自由流动之间的张力，平衡好个人利益、商业利益和公共利益之间的关系，实现个人信息保护与利用的双赢。

本文即将完成之际，恰逢第十三届全国人民代表大会第三次会议召开。全国人大常委会委员长栗战书在关于全国人民代表大会常务委员会的工作报告中提出，个人信息保护法制定工作将于2020年内完成。同时，我国《民法典》已经由全国人大审议通过并将于2021年1月1日生效，其中总则编和人格权编以若干条文规定了个人信息保护的基本原则。《民法典》个人信息保护条款秉持的个人本位理念与个人信息保护法律体系的社会本位理念如何统合，成为个人信息保护法律体系建构亟待解决的重大基础问题。本文认为，就理念统合而言，社会本位理念并非对个人本位理念的否定，而是以一个更加整体、宏观的视角审视群己关系，是对个人本位理念的演进和拓展。个人信息保护法律体系应在延续目前所持个人本位理念的基础上，转换思维、拓宽视野、改造内涵，将“个人”视为“社会中的个人”，进而将个人本位理念延伸入社会本位理念中。就规范衔接而言，新的个人信息保护法律体系应当以《个人信息保护法》为基本法，并在此基础上与既有个人信息规范体系实现良好融合。个人本位理念下的个人信息保护制度继续调整具有小数据时代特征的个人信息保护与利用关系，社会本位理念下的个人信息保护制度则聚焦于大数据时代个人信息良好秩序的构建，二者各有侧重、相互配合，共同担负起大数据时代个人信息保护的重任。