破解新时代公民个人信息保护难题，需要从根本上运用法治思维和法治方式，构建全生命周期的法律法规体系和执法司法机制。2020年颁布实施的《民法典》“人格权编”，专门设立第六章“隐私权和个人信息保护”，对公民个人信息保护做出总体性规定，为化解个人信息数据侵害风险提供了事前预防、事中控制、事后救济的系统性解决方案。

一、事前预防：保障数据安全降低个人信息泄露风险

隐私权是《中华人民共和国宪法》保护的重要人格权利。其第38条、第40条明确规定：“中华人民共和国公民的人格尊严不受侵犯”“公民的通信自由和通信秘密受法律的保护”。

大数据时代，公民个人信息安全风险显著增加。因此，《民法典》对隐私权进行了更详尽的规定和解释，第1032条明确规定“自然人享有隐私权”，且“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息”。在网络空间，国家公权力领域、公共领域、私人领域高度叠加，“公共领域私人化”和“私人领域公共化”的公私领域相互融合，公民的私密空间、私密活动、私密信息被侵犯的风险显著增高。甚至有人戏称，在大数据时代，每个网民都在互联网上“裸奔”，公民的私人网络生活安宁和幸福感、安全感受到严重影响。

在风险社会，法益保护前置是有效应对网络犯罪和违法行为的方式。应当说明的是，法益保护前置不仅仅是刑事法益保护前置，通过刑事立法采用“抽象危险犯”的方式惩治犯罪，也包括民事法益保护前置和行政法益保护前置。特别是网络信息传播类违法违规现象，由于移动互联网的高传播速度和裂变式传播特征，一旦个人信息泄露，控制二次传播和消除负面影响的难度激增，因此，非常有必要在审慎稳妥的前提下将法律保护的关口前置。

《民法典》第127条规定：“法律对数据、网络虚拟财产的保护有规定的，依照其规定。”因此，建议将数据安全保护作为公民个人信息安全的前置环节，主要有三方面理由。

其一，数据是公民个人信息的主要载体。为防止对数据保护的专门性法律处于真空状态，2020年7月，《中华人民共和国数据安全法（草案）》（以下简称“《数据安全法（草案）》”）发布，其中，第3条第1款明确规定“数据，是指任何以电子或者非电子形式对信息的记录”，以法律的形式明确了数据和信息的关系。从某种角度讲，对含有个人信息的数据进行有效保护，是个人信息保护的必要条件，有利于大幅降低公民个人信息泄露风险。

其二，数据安全是一种可持续的安全状态。数据安全并不是静态意义的安全，而是动态的全生命周期的安全。《数据安全法（草案）》第3条第3款规定：“数据安全，是指通过采取必要措施，保障数据得到有效保护和合法利用，并持续处于安全状态的能力。”如果承载公民个人信息的数据安全得到有效保护和合法利用，就可以将个人信息泄露规模从群体性泄露，控制并限制在个体性影响范围，最大程度减少信息泄露危害。

其三，数据安全更有利于压实网络服务商的责任。相比信息安全的个性化保护，数据安全提供了一种普遍性的法律约束。《数据安全法（草案）》第四章明确规定了“数据安全保护义务”，其中，第25条规定：“开展数据活动应当依照法律、行政法规的规定和国家标准的强制性要求，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。”对于重要数据的处理，更要“设立数据安全负责人和管理机构，落实数据安全保护责任”。

二、事中控制：个人信息处理应得到全方位保护

数据安全保护可以化解和降低大部分个人信息泄露风险，但是，数据的收集、存储、流转、加工是发展IT产业特别是大数据产业的必经环节，在此过程中，仍然无法避免个人信息不当使用。

《民法典》和《中华人民共和国个人信息保护法（草案）》进一步强化了个人信息保护的法律义务。《民法典》第111条和第1035条对个人信息保护进行总体规定，即“自然人的个人信息受法律保护”，而“处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理”。

所谓“合法”，就是要求信息收集应该具有合法目的、合法方式与合法内容，“不违反法律、行政法规的规定”。例如，《民法典》第1033条的禁止性规定：“除法律另有规定或者权利人明确同意外，任何组织或者个人不得实施”侵扰他人的私人生活安宁的行为，以及“拍摄、窥视他人的私密空间、私密活动、私密部位，处理他人的私密信息”。

所谓“正当”，原则上要求“征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外”。需要强调的是，“同意”并非概括性同意，例如，公民同意下载安装手机应用App，但并不等同于对该App的所有获取、处理公民个人信息的行为进行一次性授权，否则，“同意”规则就流于形式，实质上丧失了个人信息保护的“安全阀”作用，由公民“信息自决”的法律预期沦落为服务商“信息他决”的实务困境。“正当”原则要求个人信息获取方和个人信息提供方根据意思自治原则订立并遵守“双方的约定”，约定订立的便捷性应当服从于正当性。除非法律、行政法规规定（不包括部门规章和规范性文件），或经当事人同意，其他收集、使用、加工、传输他人个人信息行为，即为非法处理。

所谓“必要”，实际上是对“非必要不收集”“不得过度处理”的高度概括，或称之为公民个人信息处理的“最小比例原则”。在实务中，“过度处理”问题比较普遍，即部分国家机关、商业机构将获取数量更多、样本更全、数据颗粒度更细致的个人信息作为其“数据资产”，并通过数据加工等方式进一步提升数据价值，个别单位或个人还存在数据交易行为，导致公民对于授权提供后的个人信息保护，事实上无法有效监管，其知情权、监督权都无法得到有效保障。

个人信息安全并不仅仅专指违规收集个人信息，《民法典》特别规定了“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等”行为。《民法典》第111条又作出专门性规定，“任何组织或者个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。”实际上，这为个人信息安全的全流程全周期保护奠定了良好的法律基础。个人信息安全的合法、正当、必要原则不仅仅需要应用于个人信息收集安全，也应当包括个人信息存储安全、个人信息使用安全、个人信息加工安全、个人信息传输安全、个人信息提供安全、个人信息公开安全，以及个人信息其他处理环节的安全。

三、事后救济：健全个人信息安全保护的多元机制

“无救济即无权利。”对个人信息保护救济，《民法典》主要通过三个方面进行保护。

一是明确网络侵权责任和救济方式。对侵犯公民个人信息的行为，《民法典》第1194条规定：“网络用户、网络服务提供者利用网络侵害他人民事权益的，应当承担侵权责任。”《民法典》第1197条规定：“网络服务提供者知道或者应当知道网络用户利用其网络服务侵害他人民事权益，未采取必要措施的，与该网络用户承担连带责任。”对侵犯公民个人信息的行为，造成财产消极损害应对侵权导致的损害部分进行追偿，对非财产损害，应根据《最高人民法院关于确定民事侵权精神损害赔偿责任若干问题的解释》，停止侵害、消除影响、赔礼道歉，“造成严重后果的，受害人有权要求侵权人赔偿相应的精神损害抚慰金”。

二是沿用了网络信息传播权“避风港原则”的“通知—删除”义务。《民法典》第1037条第2款规定：“自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的，有权请求信息处理者及时删除”。相比《信息网络传播权保护条例》承担“删除”义务的“网络服务提供者”，《民法典》将个人信息保护的“删除”义务范围扩大到“信息处理者”，不再局限于互联网服务提供商（ISP）。

三是新增了向主管部门的报告义务，有利于重大信息安全事故的国家介入和行政处置。《民法典》第1038条增加了个人信息安全风险事件的报告义务，即“发生或者可能发生个人信息泄露、篡改、丢失的，应当及时采取补救措施，按照规定告知自然人并向有关主管部门报告”，以便主管部门能够及时有效采取应对手段。《民法典》与《网络安全法》相互衔接，根据《网络安全法》第55条规定，发生网络安全事件后，国家网信部门在监测到相关风险时，应协调有关部门“立即启动网络安全事件应急预案，对网络安全事件进行调查和评估，要求网络运营者采取技术措施和其他必要措施，消除安全隐患，防止危害扩大，并及时向社会发布与公众有关的警示信息”，从而形成公民个人信息大规模泄露在内的网络安全事件的国家、企业、公民保护合力。

个人信息安全保护是一个系统工程，保护公民个人信息，需要建立更加高效、便捷的救济和惩治途径，既需要明确规定个人信息安全保护的民事责任、行政责任和刑事责任，还需要明确并建立侵权后的救济途径。在《民法典》和即将颁布的《数据安全法》《个人信息保护法》等实体法做出重大变化后，立法机关也需要对诉讼法和有关配套法律法规及时做出必要调整和补充，更详尽规定救济途径。司法实务部门在“互联网法院”等试点基础上，亟待进一步建立健全侵犯公民个人信息等网络侵权行为的纠纷解决“绿色通道”。