从Facebook数据滥用事件谈个人信息法律保护*

张 欢，文 铭，汪友海

(重庆邮电大学 网络社会发展问题研究中心，重庆 400065)

2018年3月，美国知名社交网站Facebook(脸书)爆出史上最大数据滥用事件。事件源于其关联的两家公司：SCL(Strategic Communication Laboratories)和剑桥分析公司(Cambridge Analytica)被指滥用个人数据信息，并且将数据分析运用于政治选举。其事件的本质已不单纯局限于科技事件，而是演变成重大的政治事件。虽然Facebook并不认为这是数据滥用事件，而仅仅是第三方公司没有遵循数据协议所造成的违约行为。但是该事件造成的实际影响是可能涉及的8 700万Facebook用户数据已经被不当使用。美国联邦贸易委员会(FTC)已经开始对此事件进行调查，如果Facebook违反了2011年的和解令，理论上其将会面临2万亿美元的罚款。该事件的曝光，希望能唤起业界对公民隐私权的尊重以及公民对个人信息保护的法律意识。本文将以Facebook数据滥用事件为切入点，对个人信息保护基本原则、大数据时代面临的典型技术风险进行分析，力求有益于我国个人信息保护实践与立法的借鉴。

一、Facebook数据滥用事件可能涉及违反的个人信息保护基本原则

个人信息保护的基本原则在效力上是贯穿个人信息保护法始终的，它不仅彰显了个人信息保护的本质和规律，也集中反映了立法者在个人信息保护领域所采取的政策与措施[1]。美国“公平信息实践法则”是当代信息保护制度的奠基石，而这一法则最具影响力的阐释是经济合作与发展组织(OECD)于1980年通过的《隐私保护与个人信息跨国流通指南》，并于2013年进行了修订。该指南成为当今各国信息保护立法的重要参考，其确立的原则体系最为各国称道[2]。其将个人信息保护的基本原则概括为：限制收集原则、信息质量原则、目的特定原则、使用限制原则、安全保障原则、公开原则、个人参与原则、责任原则、自由流通与合法限制原则。纵观Facebook数据滥用事件可能涉及违反的原则如下。

(一)限制收集原则

限制收集原则是指对收集个人信息的行为应当予以限制，信息的获取应当通过公平与合法的形式。除法律规定的情形外，采集行为应得到信息主体的同意与授权。

Facebook作为用户自理的社交平台，注册用户会主动提交、公开以及授权使用一些个人信息。同时，自2007年Facebook平台上线，其允许第三方通过API(application programming interface，应用程序编程接口)交互使用用户信息，不仅进一步增强了用户黏度，还极大提升了数据传输效率与收集信息体量。海量的用户和第三方所累积的大数据，构成了Facebook的商业模式核心竞争，也让其以及第三方在用户信息采集过程中可能超出限制要求。正因为如此，Facebook一直饱受诟病。2017年12月，知名互联网分析公司CB Insights发布的报告显示，最近十年以来负面评价最多的高科技巨头中，Facebook高居榜首，有近六成的被访者对Facebook作负面评价，而第二名亚马逊只有11%[3]。限制收集原则的核心并不是对数据的限制。数据本没有害，只是收集的方式是否合法合规，是否征得信息主体的同意。而按Facebook的规则，只需要注册用户同意，便可收集该用户的关联信息，包括其关注的亲人、朋友等。SCL/Cambridge Analytica之所以能够从27万注册用户中采集到8 700万相关用户信息，就得益于该规则。

(二)目的特定原则

目的特定原则是指个人信息的收集目的应在收集之前明确，且后期的使用应与原目的相一致。如后期的使用需要突破原目的，应该重新予以明确与说明，并不得与原目的相抵触。

Facebook事件的始作俑者Aleksandr Koran与SCL/Cambridge Analytica就违背了目的特定原则。Koran开发的测试应用“this is your digital life”的Facebook应用，共有27万用户下载，通过用户授权获取了这27万用户的PII(personal identifiable information，个人可识别信息)，同时还通过公开途径收集到这27万用户延伸的8 700万用户数据。该应用程序开发的最初目的为“研究”使用，而Koran却在未经用户同意的情况下，将数据另作他用，提供给SCL/Cambridge Analytica用作推送竞选广告，导致其用户提供数据的初衷与其实际使用的目的发生了改变。目的特定原则是个人信息保护原则的核心。大数据时代下，对数据的二次利用现象普遍存在，是否突破目的特定？新目的是否会对信息主体造成损害？是否符合用户的预期目的？针对上述问题，有学者指出，大数据环境下，应将“目的特定”“使用限制”原则修订为信息使用的“情景一致”原则。“情景一致”原则是指个人有权期望企业收集、使用、披露信息的方式与其提供信息时的情形保持一致[4]。

(三)使用限制原则

笔者认为，使用限制原则是限制收集原则与目的特定原则的延伸。它指在目的范围之外的领域，个人信息不应当被使用与公开，除非法律另有规定或信息主体同意授权。

Facebook坚称未遭受任何攻击或系统渗透，不应认定为数据滥用。Facebook收集用户个人信息是合法的，第三方应用“This is your digital life”也是通过协议规则合法共享数据。但症结在于：第三方对个人数据使用已经明显超出其目的范围，未经用户允许，对个人信息进行挖掘与分析，提炼成带有政治倾向的“敏感数据”，并精确定位获取经济与政治利益，而用户却毫不知情。

使用限制原则是保障信息使用在目的特定之外，引导互联网企业除了合法收集信息，还应妥善使用个人信息。如果合法收集的信息被不当使用，用户应享有删除权。但是在大数据时代，数据就是资源，删除权能否被有效发挥没有肯定答案。互联网企业对于数据的保存通常采用多介质和异地备份，用户删除个人信息，通常仅仅删除用户收集生成的数据，而记录日志可能并未删除，或者即使删除了，存在多种数据交互的第三方对于数据的控制，企业是否有能力或有权利删除？用户不得而知。就连Facebook CEO马克·扎克伯格在接受CNN专访时也曾表示，如果像Cambridge Analytica一样偷偷收集用户数据，由于数据并不是在Facebook服务器上，需要对数万个应用进行数据保护分析。而最大的问题是，这个世界上是否有足够多的受过专业培训的审计员在如此短的时间内对数量如此大的应用进行审计[5]。

(四)安全保障原则

安全保障原则是指信息处理主体应对个人信息保护采取必要安全保障，防止信息丢失、损毁或未经授权的非法访问、使用、修改和披露。

对于用户个人信息的安全保障不仅应有技术层面的，而且应包括管理政策层面的。该事件中，Facebook已发现第三方应用“This is your digital life”在大规模收集用户数据，并也采取过询问措施，对于第三方简单回复“用于研究”之后，便没有继续追查，不难看出Facebook缺乏监管与问责机制。Facebook的创始人扎克伯格也在2018年4月10日出席的美国国会参众两院听证会上承认“脸书”管理不善以及“太理想化”，就数据外泄事件向公众道歉[6]。同时，Facebook事件也暴露出该公司欠缺网络安全事件的信息公开和应急处理经验。该事件发生在2015年，如果当时就能采取诸如追查来源、限制API、允许用户删除自己数据等措施，显然会大幅度减少事件危害程度。

Facebook在知晓第三方应用向Cambridge Analytica提供用户个人数据后，曾要求其删除数据。但是，应用开发者是否真正删除？是否留有备份？作为世界知名互联网公司Facebook本有技术和能力对其进行监督与审查，然而却形同虚设。2018年4月9日，Facebook宣布将通知那些个人数据被错误地分享给了剑桥分析公司的用户，允许他们删除相关信息。同时，这家社交媒体巨头即日起将在每个用户的News Feed顶部显示一个“保护你的信息”的链接。用户点击该链接后将被引导到网站上的某个专属页面，他们可以在该页面上看到他们使用Facebook账户登陆过的应用程序和其他网站，并且删除他们不再想要关联的账户信息[7]。足以可见，通过技术手段能够在一定程度上保障用户的知情权，防止数据被滥用。

二、Facebook所使用技术可能导致的个人信息保护风险

究其本质，Facebook就是“数据”，其核心竞争力便是挖掘用户的数据价值。以Facebook为代表的社交网络率先进入了“大数据时代”，并驱动着“大数据”产业链的发展。“大数据时代”是一个关于信息的海量生成、分享、挖掘、分析、应用的数据时代，其正以排山倒海之势推动着科学门类的深刻变化，进而影响着人们的知识体系、思维方式和生活方式的转变。

海量数据在不同主体之间流转甚至跨境传输是大数据时代发展的必然，Facebook从其社交网络每秒钟产生的海量非结构化数据(文本、应用、定位、图片、视频等)生成“大数据”系统，通过筛选、比对、加工之后，形成富有价值的“数据画像”。对于数据，Facebook除了直接收集、存储和分析用户显性信息之外，还可以通过Cookies、人脸识别、分析用户喜好以及VR虚拟现实等技术来确定或影响用户行为。然而信息技术带来的便捷性与舒适性，又将对个人信息安全产生何种风险？

(一)网上行为追踪Cookies

Cookies是基于HTTP协议，由Web服务器保存在用户浏览器上的小文本文件，它涵盖了用户的上网浏览信息。Facebook可以通过使用追踪Cookies来知晓用户浏览Web的行为。Cookies引发的最大问题，是可以在用户完全不知情的情况下，对用户网上行为进行追踪。即使用户在第三方网站上不触碰任何插件，不点赞，也不登录Facebook账户，Facebook依然可以通过Cookies知道用户上网行为。信息的运用往往会导致诸如行为广告商的第三方介入，实现广告植入的精确定位。而用户对于这种商业应用多数是不知情的，这就容易造成对个人信息的侵犯与滥用。

随着信息科技的发展，网上行为追踪新方式如Flash Cookies、Beacons、HTML5 Canvas Fingerprinting等技术日新月异，它们深入、持续地窥视着用户的网络浏览信息与习惯。虽然网络公司坚称自己对于采集的信息实现了匿名化操作，不具有身份可识别性。但是，在大数据时代，只要通过足够多的信息，就能分析交叉比对出用户的个人信息。所以，通过技术手段想真正切断追踪链条是不太现实的，只有从法律规则的角度建立一套机制，保障用户知情权，限制网站过度采集，才能实现网络广告业所产生的巨额利润与个人信息保护的社会效应之间的共赢平衡。目前，欧盟、美国在不同程度上均承认Cookies的个人信息属性。在欧盟，Cookies的收集与使用需遵循严格的知情同意原则，在采集前必须告知用户信息收集的目的，且经过用户明示或特别同意。虽然规定过于严格，但是欧盟法律对于Cookies属性的认定，促使互联网行业与企业必须提升保护标准用于Cookies的采集和使用。在美国，由于个人信息保护的立法与执法较欧盟有很大区别，虽然其并没有在立法中将Cookies的性质定义为个人信息属性，但是在执法实践中，Cookies却被认定为具有个人信息属性，并将其纳入PII保护范围。在我国，就Cookies的定性在司法实践中认识分歧颇大。如2015年5月，南京市中级人民法院对“北京百度网讯科技有限公司与朱烨隐私权纠纷案”作出终审判决，撤销南京市鼓楼区人民法院一审判决，认定“百度的个性化推荐行为不构成侵犯朱烨的隐私权”。从一审判决“隐私权侵权”到二审认定“不侵权”，针对同一事实，两级法院得出了截然相反的法律判决，堪称我国Cookies隐私第一案[8]。

(二)应用程序编程接口API

通俗地讲，API就是一个通道或接口，负责程序与软件之间沟通与融合。2007年5月，Facebook为增强用户黏性，推出了应用编程接口(API)，被称为Facebook Platform，实现了第三方软件开发者可以开发在Facebook网站运行的应用程序，用户也可以通过这一平台使用大量衍生应用程序。但是，在用户使用程序的过程中，其个人信息数据将会被读取，这些数据包括Facebook上原有数据，也包括进程中的新兴信息。虽然平台大受欢迎，但就当时而言，Facebook并没有足够的能力与技术对平台数据共享与交叉使用进行严格审核与管理，成为日后数据滥用事件的隐患之一。随后，扎克伯格又在2010年提出Open Graph概论并推出了Graph API。通过此接口，Facebook为获取其他网站和应用程序的数据，愿意提供用户数据作为交换。通过大开方便之门，Facebook获得了大量数据，公司市值在扶摇直上的同时却留下了用户信息泄露的隐患。

就风险而言，API既有技术安全隐患，也有制度管理缺失。首先，API的滥用可能导致黑客攻击，泄露用户隐私数据。虽然Facebook安全团队可能会很快进行检测，但是在此之前，攻击者有足够的时间获取他们想要的信息。据图片聚合服务Trove对《黑客新闻》(HackerNews)的读者进行的调查显示，Facebook与“其他”(other)并列第一为最烂的API[9]。其次，种类繁多的API，也难以确保Facebook对其数据流向尽到审慎监督的职责。Facebook的责任是在开放API之后跟踪数据流向，确保数据不会遭到滥用。但这本身很难做到，所以Facebook在2014年后关闭了一系列API接口。在“剑桥分析”事件之后，Facebook推出了针对数据滥用的“捉虫”悬赏计划，以定位那些与安全漏洞无关的数据滥用。同时，扎克伯克在危机应对公关中也宣布停止从第三方购买数据用于广告营销，并不再向任何第三方提供Facebook拥有的用户数据。从以上措施不难看出，Facebook对其开放众多API的高风险也深感忧虑。

(三)虚拟现实VR(virtual reality)

如果说Cookies仅限于收集用户浏览习惯，GPS可以追查用户行踪，那么沉浸式体验的VR技术则能够从第一人称视角让用户感知与多源信息虚拟世界的融合、交互。它可以收集用户包括个人爱好、健康状况、行为习惯等众多个人信息甚至个人隐私。

VR的实现需要依托虚拟现实产业链条，包括硬件制造、软件研发和平台应用等诸多领域。用户操作一般需要通过硬件输入设备(如游戏手柄等)传导指令，然后经主机处理后，由硬件输出设备(如头戴设备)反馈给用户。所以，VR产品在用户与系统的交互过程中，会对用户指令进行分析与转换，驱动虚拟世界中的场景随之转换，从而带来更好的沉浸式体验。同时，VR产品也会对用户的生理状况(如脉搏、血压、肺活量等)、行为习惯(如左右惯用手等)以及性格特征(如稳健型或激进型)进行记录，以便形成良好的人机交流与产品依赖。由此不难看出，VR产品的软硬件升级革命使用户信息的采集与使用成为了可能。VR收集个人信息的途径，除了用户主动提交的注册信息，还包括操作过程的所有交互信息以及对其进行的分析与挖掘。2014年，Facebook耗资近20亿美元收购了Oculus(VR初创公司)，并迅即推出了VR社交平台Facebook Spaces。该平台不仅丰富了虚拟社交体验，还拓展了Facebook采集用户信息的渠道。但是有用户发现，在Oculus Rift上安装Oculus Home软件后，名为OVRServer_x64.exe具有完全系统权限的进程探测到虚拟现实头盔处于开机状态时，会向Facebook服务器发送数据。一名Reddit用户发现，即使关闭Oculus Home软件，OVRServer_x64.exe进程发送数据的速度也能达到最高7MB/s[10]。这意味着，用户以为自己已经阻挡了信息流出，但它还在偷偷传输，并且还不知道这些信息是否已被利用。其实，从Oculus Rift隐私政策也可以知晓Facebook对于收集用户信息是心知肚明的。其声称“根据用户使用其服务的方式”，Facebook可能收集与游戏、内容、应用和用户使用的其他服务有关的信息。同时，Facebook还表示“第三方也可能通过服务收集用户的信息”。

(四)AI人脸识别技术

人脸面部识别是基于生物特征识别技术，是人工智能AI(artificial intelligence)的重要应用。随着人工智能技术的发展，人脸识别不仅被广泛运用于安防领域，而且在社交娱乐中互联网巨头也频频出手。2010年，Facebook率先在美国推出人脸识别技术“Tag Suggestions”，实现在好友相册中自动寻找目标照片并进行分类。2014年，Facebook的DeepFace技术脸部识别率的准确度就能够达到97.25%[11]。人脸识别技术的应用对于Facebook而言获益匪浅，它能够通过深度学习算法，追踪用户在社交网络上的行为习惯和兴趣爱好，从而精确推送信息。

2018年，Facebook在照片推送上又发布了新功能，如果Facebook通过算法找到你的照片时，你将会收到通知，并且这一功能也适用于已设置具有隐私属性的照片。这一算法除了遭到个人信息保护严苛的欧盟与加拿大的抵制外，在美国国内也饱受争议。继数据滥用事件纠纷缠身后，Facebook又被美国电子隐私信息中心(Electronic Privacy Information Center，EPIC)消费者组织联盟起诉，认为其照片“标签”功能需要将脸部信息与海量的面部信息模板作对比，会使用用户信息来提高面部识别的精确度。Facebook还在未经信息主体同意的情况下，定期对照片进行扫描作生物特征匹配，造成的个人信息最大隐患就是它还能对非Facebook用户进行标记。

同时，人脸识别主要通过人脸检测、特征提取、人脸分类等三个过程来实现，它需要存储海量信息完成比对，所以面对这么庞大的数据库，信息安全保障尤为重要。在GeekPwn 2017国际安全极客大赛[注]GeekPwn是全球最大关注智能生活的安全极客(黑客)大赛，也是全球首个探索人工智能与专业安全的前沿平台，与Pwn2Own、Defcon并称为世界三大黑客赛事。上，一位黑客仅用2分半钟便破解了人脸识别系统。同时，高模仿性也具有破解人脸识别的能力。2016年，美国北卡罗来纳大学的技术团队依靠照片进行技术处理之后，建成了人脸3D模型，然后利用该模型去测试人脸识别系统。结果让人惊骇：80%的人类3D模型骗过了系统的检测[12]。所以对于AI时代的产物，人脸信息的采集、保存、使用都需要强大的信息安全技术支持。

三、防范类似数据滥用事件对我国个人信息法律保护的启示

中国互联网络信息中心(CNNIC)发布的第41次《中国互联网络发展状况统计报告》显示，截至2017年12月，我国网民规模达7.72亿，普及率达到55.8%[13]。在数字时代，个人信息已成为大数据时代最重要的资源。根据《中国网民权益保护调查报告(2016)》显示,我国54%的网民认为个人信息严重泄露，84%的网民则亲身感受到个人信息泄露所产生的不良影响[14]。Facebook事件是滥用个人数据信息典型案例，如何有效防范该事件的发生，笔者认为应从提升用户自我保护意识、促进互联网行业自律以及加快个人信息保护立法等多路径出发，共同构建我国个人信息保护体系。

(一)加强风险教育，提升个人信息安全意识

根据中国青年政治学院互联网法治研究中心发布的《中国个人信息安全和隐私保护报告》显示，个人信息安全已成为社会普遍焦虑的问题，个人信息泄露引发的骚扰密度与社会经济和信息化发展程度成正比，公民个人信息遭侵害程度触目惊心。而与这些相对应的是民众防范意识不强，保护意识薄弱，维权动力不足[15]。当大多数网民在享受网络服务时，却忽视了信息泄露风险。这既有缺乏该方面教育培训的原因，也与自身无知、漠视风险或抱有侥幸的心理有关。如有网民在浏览网页时，对个人信息保护寄托于互联网企业技术力量，但当发现其隐私被泄露时，就单方面质疑企业的网络攻击抵御能力。笔者认为，个人信息泄露是多渠道、多因素共同作用的结果，个人信息自我保护意识不强也是其高发的主要诱因。如个人用户在安装某款手机应用时，该应用可能会申请访问用户的个人通讯录或者获取实时地址定位，很多用户为了快捷享受应用服务便会盲目地点击“同意”，其实这是具有高风险的操作。因为大数据时代，手机号码不仅是通讯符号而已，它绑定了包括生日、邮箱甚至住址等在内的许多个人信息；又如个人用户在浏览网页或者调用应用程序时，应仔细阅读企业的隐私保护政策。虽然大多时候，隐私保护政策长篇累牍、晦涩难懂，但是对于有明显瑕疵的网站或程序，用户应该慎之又慎。同时，个人用户还应知晓个人信息与个人敏感信息的区分，以便在处理个人相关信息时，有侧重性地加以选择[注]根据国家标准GB/T 35273-2017《信息安全技术 个人信息安全规范》，个人信息是指：以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，如个人姓名、出生日期等；个人敏感信息是指：一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息，如身份证号码、健康生理信息等。。Facebook事件就足以暴露出用户对于个人信息保护意识不强。2014年以前，对于用户隐私选项，Facebook默认设置为“公开”。如果用户缺乏对个人隐私安全保护的意识，就会为第三方随意抓取用户信息提供可乘之机。

加强用户个人信息自我保护意识培养，是信息保护实践的初始。除此之外，用户还应善于用好法律赋予的权利。如发现网络运营者违反法律、行政法规规定或者双方约定收集、使用其个人信息的，可以根据《中华人民共和国网络安全法》(以下简称《网络安全法》)第四十三条赋予的权利，要求网络运营者纠正或删除其个人信息。删除权与更正权类似于欧盟个人信息立法中的“被遗忘权”，它的引入是我国提高个人隐私管控程度，提升网民信息保护意识的有力保障。

(二)加强行业自律，净化网络信息安全环境

目前，我国互联网行业自律机构主要是中国互联网协会，其先后制定发布了《中国互联网行业自律公约》《互联网搜索引擎公约》《互联网企业生活服务平台服务自律规范》等一系列自律规范，促进了互联网健康发展。但是，行业自律还存在政府色彩浓厚、对行业自律放权不够，企业参与不足、缺乏强制规范性，互联网立法单薄、自律合法性存疑等问题。

反观美国，其是世界上互联网企业最集中、最发达的国家，它在个人信息保护方面采取的模式除了加强立法，就是行业自律。与欧盟国家严格的自上而下立法保护不同，以行业自律为先导更能在隐私保护与促进商业贸易之间寻求平衡。美国没有一部完整的、系统的关于保护个人信息的法律，主要在政策引导下依托行业指导、技术保护和企业自省等形式完成自律。虽然它也存在缺乏执行强制力、企业参与度不够以及规定相悖等弊端，但是行业自律的实践极大地促进了美国互联网产业发展，为行业创新留下了空间，值得我国借鉴。强化行业自律，笔者建议从如下几方面着重加以完善。

首先，大力革新我国行业自律形式，变“条件型的行业自律”为“纯粹型的行业自律”[注]“条件型的行业自律”的特点是政府意志与企业意志的集中体现，其中政府监督和管理占主导地位；“纯粹型的行业自律”的特点是只要符合公序良俗，不违背基本社会规范，政府就不会过度干涉。自律规范的创设权是由行业内部的人员自由行使。。增强行业协会规范强制力，强化监管机构，拓展救济途径，完善互联网行业自律机制。因为强化行业自律，其最显著的优势是行业协会、消费者组织不仅了解市场，而且还熟悉产业特点与需求，能够有的放矢出台行业自律指引或者规范标准，既贴近行业发展最新趋势，又避免冗长繁琐的立法程序。

其次，对于企业在用户信息采集、传输、存储以及使用等合规合法性自省自律方面，除数据取得应用户知情同意外，还应加强对个人信息传输尤其是跨境流动的安全性评估，以及数据传输过程中的监管与审计。

最后，行业及企业还应提升危机公关能力，有效应对互联网突发事件。Facebook数据滥用事件发生在2015年，如其能在第一时间采取措施遏制危害结果扩散，显然能够大大降低事件本身的危害程度。然而该事件却在2018年以“曝光”的形式为公众所知晓，错过了控制事态恶化的最佳时机。我国的《网络安全法》《公共互联网网络安全突发事件应急预案》对于网络安全突发事件都有相关规定，互联网行业及企业应在法律框架下，自律自省其网络安全事件应急体系是否完善，分级、预警、处置、预防等规定是否详尽。

(三)加强顶层设计，推动个人信息保护立法

随着依法治国的快速推进，关于个人信息保护法律规定系统化渐入佳境。2012年年底，全国人大常委会通过了《关于加强网络信息保护的决定》，首次以法律的形式明确规定保护公民个人及法人信息安全。此外，2013年9月，工业和信息化部施行的《电信和互联网用户个人信息保护规定》(工业和信息化部令第24号)、国家标准GB/T 35273-2017《信息安全技术 个人信息安全规范》(2018)、《中华人民共和国刑法修正案(九)》(2015)等也分别从行业监管立法、国家技术标准、刑事立法、民事立法等方面进一步补充健全了我国的个人信息法律保护体系。同时，2017年6月实施的《网络安全法》是我国第一部全面规范网络空间安全管理方面问题的基础性法律。虽然法规林林总总，但是针对公民个人信息保护的专门立法尚未出台。笔者认为，推动立法进程，加强法律保护，既需积极探索，也应有效借鉴。

一方面，个人信息保护立法应以“习近平网络强国战略思想”为指引[16]，加强顶层设计，推动《信息公开法》和《个人信息保护法》等立法进程，完善信息网络安全法律保障体系。同时，还需完善具体领域的单行法与配套法建设。如根据《大数据发展行动纲要》和《大数据产业发展规划(2016-2020年)》，目前需要修改和制定的法律法规主要涉及公共信息资源保护和开放、政府信息资源管理、个人信息保护、基础信息网络和关键行业领域重要信息系统保护、数据流通特别是重要敏感数据跨境流动等方面[17]。

另一方面，还应勇于突破传统的个人信息保护机制，积极借鉴欧盟、美日等国家的有效做法，构建信息保护新秩序。如2015年2月，美国政府发布《消费者隐私权法案》(讨论稿)的新思路值得我国积极借鉴。大数据时代，信息体量、流转速度、利用方式都发生彻底变化，以“用户知晓”为核心的传统个人信息保护模式已经不能适应社会发展需要，而该法案跳出了固有框架，率先引入以“场景”为核心的新理念，以风险评估的形式来确定企业的差别化义务，并加强了企业在信息使用具体场景中的事中、事后监管，以“相应场景合理”取代用户同意，更加符合大数据时代产业创新发展需求。又如2018年5月，即将施行的欧盟《一般数据保护条例》对个人信息保护达到前所未有的高度，号称史上最严数据保护条例。其管辖范围不仅适用于住所在欧盟境内的数据控制者与处理者，同样也适用于住所虽不在欧盟，但在向欧盟内数据主体提供服务或商品的过程中，处理了欧盟境内数据主体的个人数据或对数据主体进行了监测的数据控制者和处理者。面向欧洲用户提供服务的Facebook显然在适用管辖范围之列。同时，它还赋予用户更多的自我保护权利(如被遗忘权、可携带权等)，引入了包括人脸信息在内的生物信息使用须经本人同意等原则，进一步强化了个人数据保护力度；并开设了“一站式”投诉服务，方便了用户在欧盟内跨境投诉，加重了对违法企业的巨额罚款，威慑企业不越雷池。这为我国树立了一个高标准严要求的个人数据保护法律模板。