基于法律逻辑下的个人信息保护模式研究,法律逻辑论文.docx

《基于法律逻辑下的个人信息保护模式研究,法律逻辑论文.docx》由会员分享，可在线阅读，更多相关《基于法律逻辑下的个人信息保护模式研究,法律逻辑论文.docx（19页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、基于法律逻辑下的个人信息保护模式研究,法律逻辑论文内容摘要： 个人信息在大数据时代具有 公共性 , 但对个人信息的利用可能导致对个人信息权益的损害。传统个人信息保卫形式着眼于确保信息主体对有关其个人信息收集和处理行为的控制, 但网络大数据时代的一些新变化使得信息主体对其个人信息进行有效控制几无可能。我们国家将来应当在实现个人信息收集和处理全经过透明、区别敏感个人信息与一般个人信息进行差异化保卫的基础上, 建立个人信息风险管理机制。 本文关键词语： 个人信息; 透明度; 敏感个人信息; 风险管理; 网络技术的发展在给我们的生产生活带来革新和便利的同时, 也在急剧放大整个社会的风险。近年来, 个人

2、信息泄露 (1) 频发, 已严重危及公民的隐私和财产安全。中国青年政治学院互联网法治研究中心和封面智库于2021年11月21日发布的(中国个人信息安全和隐私保卫报告显示:多达81%的人收到过对方知道自个姓名或单位等个人信息的陌生来电;53%的人因网页搜索、阅读后泄露个人信息;在租房、购房、购车、考试和升学等个人信息泄露后, 遭到营销骚扰或诈骗的高达36%。另据12321举报中心在2021年6月发布的(中国网民权益保卫调查报告2021, 身份信息、网上活动信息和通讯信息是信息泄露的重灾区。由于个人信息泄露导致的诈骗案件屡见不鲜, 公安部自2021年4月起部署全国公安机关开展为期半年的打击整治网络

3、侵犯公民个人信息犯罪专项行动。截至2021年7月, 仅三个月间, 全国公安机关累计查破刑事案件750余起, 抓获犯罪嫌疑人1900余名, 缴获信息230余亿条, 清理违法有害信息35.2万余条, 关停网站、栏目610余个。 (2) 面对如此触目惊心的现实, 我们应当反思现有个人信息保卫形式存在如何的问题, 在网络时代, 十分是大数据技术普遍应用的当下, 我们应当怎样从规则角度为个人信息保卫构建合理的途径。 一、个人信息的 公共性 及其利用经过中可能存在的对个人信息权益的损害 个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合辨别自然人个人身份的各种信息。个人信息的范围涵盖较广, 姓

4、名、住址、 号码、社保账号、驾驶证号、金融账户号码、生物数据等都属于个人信息。 (1) 由于个人信息包含丰富的内容, 自有人类社会以来, 个人信息就一直发挥着宏大的作用, 个人信息的价值随着信息利用的频度和深度的加大而愈加突显。进入21世纪以来, 个人信息已然成为数字经济时代的 货币 。在信息时代, 个人信息不仅只对信息主体 (2) 而言是有价值的, 对于全社会而言同样是重要资源。个人信息的价值表如今: (1) 商业价值。个人信息的挖掘和商业使用能够改变营销形式, 建立健全完善的社会信誉体系, 构成各种类型的个人信息库, 为人们提供更好的产品和服务。 (2) 公共管理价值。对个人信息的收集和利

5、用, 能够更好地推进公共管理和公共服务。 (3) 在商业领域, 个人信息的交易已经构成一个宏大的数据市场, 用户的个人信息成为热销商品, 有着宏大的价值。在信息时代, 个人信息不再只作为一种绝对的财产权或人格权对象而出现, 而具有一定的 公共性 , 因此应当允许相关方对个人信息进行充分收集、分析和使用, 提升公共福祉。 (4) 与个人信息利用相伴的是对个人信息利用经过中可能存在个人信息滥用以及对隐私损害的担忧。当下, 个人信息权益遭到损害的一个突出表现是个人信息未经信息主体同意被任意收集并滥用于各种商业用处, 导致信息主体饱受骚扰甚至遭受财产损失。除此之外, 个人信息权益所面临的威胁是个人信息

6、利用经过中对个人隐私的损害。隐私包括生活安定和私人机密两个部分。生活安定指自然人对于自个的正常生活所享有的不受别人打搅、阻碍的权利, 而私人机密是指个人的重要隐私, 涵盖的范围比拟广泛。 (5) 个人信息与隐私在客体上具有交织性。一方面, 很多未公开的个人信息属于隐私的范畴。另一方面, 数字化技术的发展使得很多隐私同时具有个人信息的特征, 部分隐私权保卫客体也属于个人信息的范畴。 (6) 由于个人信息和隐私在存在穿插, 大规模地收集和处理 (7) 个人信息难免会损害到信息主体的隐私权益, 因而必须关注到个人信息利用经过中的隐私保卫问题。 二、基于控制理论的传统个人信息保卫形式及其缺乏 由于个人

7、信息只是与隐私存在一定穿插, 但个人信息权 (8) 与隐私权本质上属于两种不同的权利, 因此不能完全套用隐私保卫的法律制度实现对个人信息的全面保卫。为保障个人信息不被滥用, 在利用个人信息的经过中不损害信息主体的隐私权益, 一种有效的方式是要求收集和处理个人信息经过信息主体的同意, 信息主体有权选择收集和处理有关其个人信息的种类和范围, 个人信息的后续利用应当告知信息主体。传统个人信息立法正是构建在这一逻辑基础之上, 衍生出基于控制理论的个人信息保卫形式。 (一) 传统个人信息保卫法律形式 控制理论是主导当下个人信息立法的基础理论。控制理论源于美国, 强调选择和个人自我决定在个人信息保卫中的作

8、用, 可概括为基于主观管理和个人偏好表示出实现控制的信息管理理论。在控制理论之下, 个人被假定为是理性的, 因而有权控制有关其个人信息的收集和处理。控制理论的核心是信息主体的 同意 使收集、使用、披露和交易个人信息合法化。欧洲大陆与控制理论特别类似的是个人信息自决权论。个人信息自决权论源于德国法, 根据该理论, 任何违背当事人意志的信息收集、处理或者利用的行为都侵犯了信息主体的自决权。 (1) 个人信息自决权论在本质上与控制理论并无区别。基于控制理论衍生出的 公平信息行为准则 (Fair Information Practice Principles (FIPP) , (2) 将传统个人信息保

9、卫形式的精华真髓展露无遗。当前最为通行的 公平信息行为准则 主要包括如下规则: (1) 目的限定。在收集个人信息前必须先披露收集的目的, 个人信息的后续利用必须与该目的相符; (2) 信息最小化。个人信息收集及利用应以实现特定目的的最小必要为限; (3) 披露和使用限定。除非基于当事人同意或有法定理由, 个人信息不能被任意披露或用于其他目的; (4) 信息质量原则。收集的个人信息应当准确、完好和最新; (5) 个人介入。信息主体拥有收集个人信息的知情权、获取该信息权、要求修改权等; (6) 透明度。个人信息的收集者和处理者应当告知社会公众隐私政策和安全保障措施; (7) 信息安全。应当采取合理

10、安全措施保卫个人信息免于泄露、毁坏、使用和修改等风险; (8) 责任原则。控制个人信息收集和处理的主体有责任采取措施确保前述规则的施行, 否则应当承当相应责任。 当下我们国家有关个人信息保卫的规定散见于各种法律文件中。(全国人民代表大会常务委员会关于加强网络信息保卫的决定(消费者权益保卫法(民法总则(网络安全法中均有关于个人信息保卫的规定, 仔细梳理这些法律文件中的相关规定, 我们国家的个人信息保卫可总结为:一是要求个人信息收集必须经信息主体同意, 公开收集、使用信息的目的、方式和范围。二是信息收集者收集的个人信息必须严格保密, 不得泄露、篡改、毁损, 不得出售或者非法向别人提供。三是信息收集

11、者和处理者应当采取技术措施保卫个人信息安全。四是赋予信息主体对于损害其个人信息合法权益的行为, 有要求制止的权利。 (3) 从这些规定能够看出, 我们国家当前采取的也是基于控制理论的个人信息保卫形式。 由以上分析可见, 传统个人信息保卫形式的核心在于确保信息主体对有关其个人信息收集和处理行为的控制。这种形式有效性的前提在于个人能够有效行使对其个人信息的控制, 并在理性判定基础上行使自个的各项权利, 对个人信息的保卫侧重于信息主体的主观意愿。 (二) 大数据时代传统个人信息保卫形式之缺乏 传统个人信息保卫法强调信息主体对其个人信息的 控制 。当前欧美仍在使用的个人信息保卫法大多制定于上世纪90年

12、代或本世纪初, 当时互联网的发展方兴未艾, 大数据、电子商务、社交网络、搜索引擎等还未充分发展。近期十多年网络的迅猛发展和相关信息处理技术的大量出现正在逐步毁坏信息主体对其个人信息的控制能力, 基于控制理论的个人信息保卫面临着 失灵 的危险。 首先, 信息不对称和网络运营者的 霸王政策 正侵蚀着基于控制理论的个人信息保卫形式的合法性基础。基于控制理论的个人信息保卫形式的法律假设是信息主体作为理性经济人, 有能力实现对个人信息的有效控制, 只要经过信息主体同意的个人信息收集和处理即是合法的。然而事实上, 对于大多数人而言, 无法把握与个人信息风险有关的充分信息, 并不了解分享和交换个人信息的潜在

13、后果。另外, 网络运营者向消费者提供的隐私政策过于冗长且晦涩难懂, 很多消费者根本无法理解这些隐私政策, 不少网络运营者也未严格按照隐私承诺保卫消费者的个人信息。更有甚者, 有一些网络服务必须以用户接受对其个人信息的收集为前提, 假如用户拒绝对其个人信息的收集, 就无法享受相应的服务。在这种 霸王政策 之下, 用户的 同意 已非其真实意志的表示出, 用户也不可能实现对其个人信息的 控制 。 其次, 个人信息流转经过中信息主体很难实现对个人信息处理的 全经过控制 。假使信息主体能够把握充分信息, 理解网络运营者的隐私政策并做出符合理性的决策, 也并不意味着信息主体就能够实现对其个人信息的有效控制

14、。网络时代, 信息收集的主体多元化, 很多情况下个人信息经过某一网络运营者收集或处理后还有可能流转到其他网络运营者处, 在个人信息经多方流转之后, 信息主体很难知晓有关其个人信息的后续处理, 更无法向第三方行使 控制 。十分是当个人信息已由信息收集方转移到专以个人信息处理为业的中间商时, 信息中间商在处理个人信息时很少寻求信息主体的同意, 信息主体已完全失去对其个人信息的控制。 最后, 一些新技术的应用, 正在颠覆传统个人信息的收集和处理方式, 使得信息主体对个人信息的控制根本无从谈起。以基于三维空间的拟真交互体验式地图阅读 (如谷歌街景和百度全景地图) 为例, 该技术的核心是通过专业相机将现

15、实世界的空间场景捕捉下来, 利用软件将多幅屏幕照片拼接合成, 并模拟成三维空间的360度全景景观。街景的拍摄通过捕获人物或附近街道、车牌以及其他图像会产生交互的视觉地图, 不经意间导致对个人信息的收集、使用和披露。固然全景地图开发者已经通过打码等方式对地图中的人脸、车牌号等进行模糊处理, 但是根据收入地图中的其他景观、标志、符号、体型等仍有可能辨别出特定个人。于此情形下的信息主体根本无法行使传统意义上对其个人信息的有效控制, 无法执行基于同意为基础的个人信息保卫规则。 面对这样一些变化, 信息主体的 知情同意 遭到毁坏, 个人信息的决定自由难以实现, 传统基于控制理论的个人信息保卫规则已无法实

16、现预定目的。以FIPP为例, 在目的限定原则方面, 与传统对个人信息的收集和简单利用相比, 网络时代个人信息的后续比对挖掘和价值开发成为创造价值的主要来源, 收集的个人信息用于超出原初收集的、无法预知的目的特别常见。与此同时, 个人信息日益成为重要生产资料, 个人信息资源的有效利用, 能够提升社会福祉, 传统 信息最小化 原则的合理性被逐步削弱。透明度原则是FIPP的核心要求之一, 然而在大数据背景下, 信息主体很难知道其个人信息的收集、分析与利用能否基于已被告知的特定目的。 基于以上原因, 网络大数据时代, 依靠信息主体对其个人信息进行有效控制几无可能。面对网络大数据时代个人信息保卫的新挑战

17、, 除维持现有对信息主体的权利保卫外, 必须通过强化网络运营者义务和责任的方式。我们以为, 改革传统个人信息保卫形式的核心在于建立网络运营者有关个人信息收集和处理的风险管理法律规则 (简称 个人信息风险管理法律规则 ) 。 三、个人信息风险管理法律规则的建构 网络大数据时代, 网络信息具有数据量宏大、数据类型繁多、数据处理速度快等特点。伴随着大数据技术愈加全面、深切进入的应用, 单纯限制个人信息收集和利用已不合时宜。从根本上讲, 网络大数据时代, 信息主体固然是其个人信息的权利人, 但却并非个人信息利用经过中的 主角 , 无法对个人信息效用的发挥产生决定性影响, 而牵涉个人信息收集和处理的网络

18、运营者才是网络大数据时代的 主角 , 因此对个人信息保卫规制的重心应当放在对网络运营者行为的规制上。大数据时代对于个人信息的保卫虽不再着眼于限制个人信息的收集和利用, 但防止个人信息被滥用于不正当目的, 给信息主体造成财产和隐私上的损害却是重中之重, 这就要求尽可能化解个人信息收集和处理经过中存在的各种风险。因而, 我们提出建立以网络运营者个人信息风险管理为核心的保卫架构, 改变当前主要依靠信息主体个人控制的传统形式。 (一) 个人信息风险管理机制施行的前提 建立网络运营者个人信息风险管理机制的目的在于防备个人信息收集和处理经过中的可能存在的各种风险, 并在发生风险时及时、有效地化解风险或尽可

19、能较少对信息主体的权益损害。因而, 只要在确保个人信息收集和处理对信息主体全经过透明的基础上, 才能及时辨别信息处理经过中的各种风险, 并使信息主体及时行使各项权利成为可能。除此之外, 个人信息利用经过中所面临的最大风险是隐私泄露, 因此有必要区别敏感个人信息和一般个人信息的保卫。网络运营者个人信息风险管理机制的构建必须建立在这两个前提条件基础上。 1. 实现个人信息收集和处理全经过透明。 在大数据时代, 实现个人信息收集和处理的全经过透明是欧美个人信息保卫立法改革的重点。欧盟(通用数据保卫条例第12条规定, 有关个人信息的收集、使用和处理对于信息主体必须是透明的, 与个人信息处理有关的任何信

20、息都应当容易获得且容易理解, 信息主体应当了解有关其个人信息处理的风险、规则、安全措施、权利以及怎样行使权利。为解决金融领域个人信息处理不透明问题, 1999年美国公布了格雷姆-里奇-比利雷法 (Gramm Leach Bliley Act) , 法案要求金融机构向消费者提供隐私通知, 解释金融机构收集消费者个人信息的种类、使用目的、信息分享以及对信息的保卫。当前我们国家信息收集和处理透明度主要方式是 隐私声明 , 即事先公开收集、使用信息的目的、方式和范围。然而传统透明度机制日渐沦为 摆设 , 语言晦涩难懂, 隐私声明 中的关键信息也不显着标明, 导致用户通常既不仔细阅读详细声明内容, 也无

21、法理解其内涵。为提高信息收集与处理的透明度, 应当要求信息收集者或处理者以尽可能粗浅的语言描绘叙述其 隐私政策 , 并对华而不实的关键内容通过加粗、斜体、加着重号等方式显着标明。另外, 针对当前透明度机制主要适用于事前收集的状况, 将来制定个人信息保卫法时应当将透明度机制贯穿到个人信息处理的全经过, 使信息主体能及时了解有关其个人信息处理的风险、安全措施以及享有的权利。十分是考虑到在大数据时代传统架构无法解决信息主体与信息中间商联络缺失的问题, 当信息经过信息中间商处理时, 应当要求信息中间商主动向信息主体披露信息处理状况并提供权利行使机制。 2. 区别敏感个人信息与一般个人信息进行差异化保卫

22、。 在信息网络时代, 对个人信息的收集利用已成为常态。但是, 个人信息中牵涉隐私的部分进行大量商业化使用并不适宜。因而, 在收集利用个人信息时必须将牵涉高度隐私的部分剥离出来, 设置更严格的保卫规则, 个人信息中有关个人高度隐私的信息称为 敏感个人信息 。通常以为, 敏感个人信息是指关涉个人隐私核心领域、具有高度私密性、对其公开或利用将会对个人造成重大影响的个人信息。针对个人健康信息多方流转、使用泛滥的状况, 在保险领域, 美国于1996年通过了(健康保险携带及责任法案 (The Health Insurance Portability and Accountability Act of 19

23、96) , 规定个人健康信息只能被特定的、法案中明确的主体使用并披露。欧盟(通用数据保卫条例第9条和第10条规定, 敏感个人信息包括能够表示清楚个人的种族、政治主张、宗教和哲学信仰、工会会员资格、基因数据、生物数据、关于个人健康或者性生活的数据以及有关个人犯罪和违法的数据。敏感个人信息一般禁止处理, 除非特定的例外条件能够知足。 我们国家立法层面有关个人信息保卫的各项规定尚未区分敏感个人信息和一般个人信息。最高人民法院和最高人民检察院公布的司法解释尝试对敏感个人信息作了列举性规定, 主要包括基因信息、健康检查资料、犯罪记录、家庭住址、私人活动、轨迹信息、通信内容、征信信息、财产信息、住宿信息、

24、通信记录、交易信息等。 (1) 明确区分敏感个人信息和一般个人信息并不容易。随着信息技术的发展, 尤其是再辨别技术和手段的进步, 敏感个人信息和一般个人信息的界线也越来越模糊, 假如数据足够庞大, 并有有效机制在这些数据之间构成联络, 一般个人信息也有可能转化为敏感个人信息。因而, 有关 敏感个人信息 的定义应充分反映科学技术和实践操作的发展与变化。 (2) 将来制定(个人信息保卫法时, 我们国家同样应确定敏感个人信息禁止收集处理, 除非基于信息主体明示同意、保卫公共利益、信息已合法公开、科学研究或统计需要等法定情形。除此之外, 敏感个人信息的收集和处理只能由特定机构经合法程序施行。网络运营者

25、在对敏感个人信息进行商业利用时, 必须去除信息主体的身份辨别要素, 假如保存身份辨别要素是必要的, 必须经过信息主体的明示同意。明示同意的应当通过 选入 机制实现, 即由信息主体逐一选择其能够被收集和处理的敏感个人信息, 而非通过 一键同意 (1) 的方式一揽子决定。 (二) 网络运营者个人信息风险管理机制 在网络大数据时代信息主体对其个人信息难以进行有效控制的情况下, 将来制定个人信息保卫法的重心是改变当下立法单纯依靠信息主体 权利中心 的 静态 控制形式, 构建网络运营者 义务中心 的 动态 监管。在实现个人信息收集和处理全经过透明并区别敏感个人信息与一般个人信息进行差异化保卫的基础上,

26、我们能够尝试构建以安全保障措施、个人信息处理风险评估、个人信息泄露报告为核心的风险管理机制。 1. 安全保障措施。 个人信息风险管理规则首先应当明确网络运营者有义务构建完善的个人信息安全保障措施。对于个人信息的安全保障措施, (电信和互联网用户个人信息保卫规定 (部令第24号) 第三章从防止用户个人信息泄露、毁损、篡改或者丢失, 加强对从业者个人信息保卫相关知识、技能和安全责任培训, 例行自查等方面进行了规范, 这些规定初步搭建了网络运营者安全保障措施的框架, 但还不够全面, 并且没有强调安全保障措施应当根据个人信息处理的风险水平和业务类型做出区分。在制定个人信息保卫法时, 可借鉴欧盟(通用数

27、据保卫条例第32条规定, 要求网络运营者执行恰当的技术和管理上的措施以确保与风险相匹配的安全保障水平。这些安全处理措施包括:个人信息的假名化和加密;确保持久的机密性、完好性、可用性和数据处理系统可恢复性的能力;当发生物理或者技术事故时及时修复数据可用性、可访问性的能力;定期测试、评定、评估技术和管理措施有效性。对于怎样判定网络运营者的安全保障措施能否到位, 应当根据在当时条件下为保卫个人信息广为接受的管理上的、技术上的或物理上的安保措施, 对个人信息安全威胁的可预见性, 网络运营者所采取的技术措施有效性, 执行及定期评估安全措施的成本, 黑客使用的技术及防备的可能性等综合断定网络运营者的安全保

28、障措施能否合理。 2. 个人信息处理风险评估。 假如对个人信息的处理有可能会对信息主体的隐私构成损害, 应当事先对个人信息处理进行风险评估, 并根据评估出的风险等级采取相应程度的保卫措施, 对个人信息处理进行动态控制。对此, 欧盟(通用数据保卫条例第35条的规定, 在对个人信息进行处理时, 假如某种信息处理方式, 考虑四处理方式的本质、范围、情境和目的, 有可能给信息主体权利和自由带来很高的风险, 在处理之前, 数据控制者应当进行处理行为对个人信息保卫的影响评估。假如评估显示数据处理行为是高风险的, 且数据控制者没有降低风险的措施, 欧盟(通用数据保卫条例第36条要求, 数据控制者应当向监管机

29、构进行事先协商, 由监管机构提出书面处理意见或措施。我们国家同样有必要引入个人信息处理风险评估制度, 对于可能损害个人隐私的信息处理行为, 必须事先进行个人信息处理风险评估, 区别隐私损害的风险程度, 根据评估结果, 划分个人信息处理的风险等级, 例如采取欧盟(通用数据保卫条例的途径将风险程度划分为高、中、低三级, 并根据详细场景中评估出的风险等级, 设计信息主体控制机制及风险处置措施。例如, 风险等级为低时, 网络运营者无需向信息主体主动披露并提供控制机制;风险等级为中时, 网络运营者可向信息主体披露高风险因素让信息主体选择哪些个人信息不纳入处理范畴;当风险等级为高时, 网络运营者应当向信息

30、主体及时披露相关风险, 主动采取措施降低风险, 甚至有必要要求向监管机构汇报。 (1) 当个人信息用于统计分析、提升服务等 无辨识特定个人必要 的用处时, 应当采取匿名化或假名化处理等合理方式, 尽量降低对用户带来的隐私风险。将来, 还可考虑设立鼓励机制, 鼓励网络运营者定期向社会颁布个人信息处理风险评估报告。报告的内容包括信息处理可能造成影响的分析、预测和评估, 预防或者降低风险的对策和措施等, 使社会公众充分了解个人信息处理经过中所牵涉的相关风险, 以便于今后在牵涉个人信息处理事务上做出合理的选择。 3. 个人信息泄露报告。 网络时代, 个人信息的存储方式多样, 个人信息处理的频度和范围都

31、比以往大大增加。大规模、多元化的信息处理方式难免会导致信息泄露。一旦有个人信息泄露发生, 必须及时向监管机构和权利人报告, 以便采取相应措施。我们国家尚未建立个人信息泄露报告制度, 而当下个人信息泄露问题特别严重, 个人信息泄露的主要渠道是互联网, 建立网络运营者个人信息泄露报告制度迫在眉睫。可仿照欧盟(通用数据保卫条例第33条、第34条的规定, 要求网络运营者在有个人信息泄露情况发生, 且该泄露可能给信息主体造成一定损害时, 向监管机构履行报告义务。由于网络传播信息特别迅速, 网络运营者在发现信息泄露后应当毫不迟延地 (最多不超过72小时) 向监管机构报告。同时, 假如个人信息泄露有可能对信

32、息主体的权利造成极大风险时, 除非网络运营者已经采取诸如加密等技术保卫措施, 或采取后续措施确保消除可能对信息主体的权利和自由造成的风险以外, 网络运营者还应当毫不迟延地将个人信息泄露的事实告知信息主体。网络运营者报告的内容应当包括泄露个人信息的种类和数量、有关个人信息泄露处理的联络方式、个人信息泄露的可能后果、为应对个人信息泄露所采取的措施等。 四、结束语 (民法总则(网络安全法及相关法律法规已初步搭建了个人信息保卫的基本框架, 但由于仍采控制理论的个人信息保卫形式, 很难有效应对大数据时代个人信息保卫的迫切需要。基于此, 我们提出构建以个人信息风险管理为核心的个人信息保卫形式。在网络大数据

33、时代, 怎样平衡个人信息的正当使用和隐私保卫无疑是个人信息立法的重中之重。我们国家将来制定(个人信息保卫法时, 必须关注到网络大数据时代传统个人信息保卫形式的缺乏, 从风险管理角度尽可能化解个人信息处理给信息主体造成的损害。信息时代, 唯有确保个人信息安全, 才能使人们更好地享受技术进步带来的便利, 更有获得感。 注释 1 指对个人信息进行非法的毁坏、修改、未经受权的披露、访问、传播、存储或其他处理等。 2 参见(公安机关打击整治网络侵犯公民个人信息犯罪成效显着, 公安部官网, . (最后访问时间:2021年5月20日) 。 3 (网络安全法第76条第5项。 4 即个人信息所指向的特定自然人, 个人信息的权利人。 5 张新宝:(从隐私到个人信息:利益再衡量的理论与制度布置, 载(中国法学2021年第3期。