党的十九届四中全会强调，推进数字政府建设，加强数据有序共享，依法保护个人信息。对于个人信息的保护，绝不仅仅是制定个人信息保护法那么简单。真正的挑战在于，如何通过科学立法和制度设计，理顺立法要求与信息控制者内在激励之间的关系，使个人信息保护成为信息控制者的内在需要。新时代依法保护个人信息，应当围绕赋权主体和赋责主体，抓住谁来保护和如何保护的根本问题，从主体规制、立法规范、过程管控、救济保护“四位一体”推进个人信息保护，实现个人信息有效保护与合理利用的价值平衡，不断满足人民群众对美好生活的新期待。

　　建立数据使用责任机制，推进主体规制时代化。技术的发展历来是引起法学理论和法律制度变革的重要因素之一。随着移动互联网、大数据、人工智能等技术的蓬勃发展，大数据时代的个人信息呈现数量大、价值密度低、信息获取与使用结果相关性弱等新特征。应对时代挑战，个人信息依法保护在主体规制上应当因事而化、因时而进、因势而新。在规制对象上，由个人信息所有者保护转向个人信息利用者规制，以数据使用者规制为中心来构建个人信息保护机制。在规制内容上，由个人信息可识别性转向风险可控制性，形成数据使用者承担责任制度，将个人信息依法保护的义务和责任转移到数据收集与使用者身上。在规制举措上，采用场景化的风险评估机制，倒逼数据使用者为避免责任承担而加强风险管理，尽可能去测评个人信息采集、处理、分析、挖掘的风险并采取相应避险措施，在事前预防中强化个人信息依法保护。

　　完善统一立法机制，推进立法规范体系化。世界主要国家都高度重视个人信息的保护与监管，个人信息逐渐由传统的自然人身份识别符号，转变成为具有重要市场价值的基础性战略资源，被称为现代经济活动“未来的新石油”。目前全球已有近90个国家和地区制定了专门针对个人信息保护的法律，个人信息保护专项立法逐渐成为国际惯例。根据坚持科学立法、民主立法、依法立法的要求，个人信息依法保护的立法规范应当注重顶层设计的体系化、科学化。在国家层面，尽快制定《个人信息保护法》，形成个人信息统一立法制度，由过去碎片化的立法规范转向体系化的规范框架。在行业层面，针对不同领域出台相应规章制度，规范电信、银行、金融、交通、教育、医疗等公共服务企事业单位的信息严格保护，明确网络运营商、网络服务商的信息安全保障义务。

　　健全安全管理机制，推进过程管控科学化。当前个人信息彰显的财产利益和商业价值备受关注，有意无意被侵害也越来越经常化、频繁化，强化国家监管、增强行业自律、提升安全管理已成为各界的广泛共识。在行政监管上，既要明晰国家统一的监管机构，强化监管执行，规范个人信息采集、处理、分析、挖掘、利用与保管各环节的国家标准；也要推进专门测评机构建设，推动个人信息保护第三方服务市场发展；还要及时开展行政惩处，以举报制、曝光制、黑名单制等敦促企业自律。在行业自律上，形成以银行业、电信业、工商业及重要网站、社交平台、技术公司为主要代表的自律组织，制定数据收集和使用的自律规范，健全惩罚机制，设置和配备固定的监督管理机构与人员，保证行业规范有效遵守。在安全管理上，既要形成内部数据信息保护与数据信息风险控制制度，让漏洞核查与应急跟进常态化；也要形成个人信息安全传输与利用制度，保证数据信息在传输和利用过程中的机密性、完整性；还要形成个人信息安全技术防护制度，采取数据发布匿名保护技术、社交网络匿名保护技术、数据水印技术、数据溯源技术等大数据安全关键技术确保技术上的个人信息安全。

　　建立网络审判机制，推进司法救济网络化。随着数字经济的发展，权利主体与侵权主体往往在地域上分离，既可以发生在网络空间，也可以同时跨越网络空间和现实社会。个人信息依法保护的司法救济应当借鉴设立互联网法院的经验，建立高效、便捷、低成本的网络审判机制。在诉讼管辖上，采用约定管辖模式，由专门法院予以集中管辖，破解个人信息纠纷因跨地区、跨国界、跨空域侵害而无法受理的窘境。在诉讼流程上，运用电子证据数据保全技术、信息通信技术等，探索符合互联网审判规律的身份认证、电子送达、举证责任等诉讼规则，实现网上立案与网上咨询、在线调解与在线审理，既提高审判效率，又节省诉讼成本。此外，在证据采信上采用过错推定原则，在侵权处罚上建立惩罚性赔偿机制，切实保证个人信息依法得到妥善有效维护。

　　（作者单位：重庆市中国特色社会主义理论体系研究中心重庆邮电大学分中心）