当下数字经济时代,数据体量之大、范围之广、价值之高,已成为公认事实,大数据发展与个人数据保护的平衡成为这个时代的最大挑战之一。作为生产数据主要来源的消费者,虽然享受数据时代的便利,但同时面临更严重的隐私风险和合法权益的侵犯。在立法层面,我国虽已有民事、刑事、行政法律对个人数据保护已经有了原则性规定或相关意见指导,但其保护的法律条款数量有限、适用范围相对狭窄,有的规定缺乏可操作性。在法理层面,以人格权为基础,使用侵权救济的方法对广泛信息主体所应享有的权利难以提供充分的保护;刑法特有的重责任追究、轻过程规范,并且着重于信息权益被侵害后的惩罚的保护特点,让其无法根据自然人个人数据的特性进行预先防御。通过对域外立法经验的考察以及结合我国国情,要实现对个人数据的有效保护首要解决对个人数据的界定问题,革新传统对个人数据脱离具体场景进行抽象、类型化的界定标准,而采用动态的、因人因事、因时而异、基于场景的判断方式。本文认为,要实现促进对个人数据的利用同时防止对个人数据的滥用问题,适宜将消费者个人数据放在风险规制与消费者保护的框架下进行保护,利用消费者权益保护法特有的知悉同意原则、公平交易原则和利用消费者权益组织进行保护外,同时建立相应独立的数据监管机构,对风险进行评定和对企业数据利用行为进行监督。这样的数据保护体系的构建才能较好的实现个人数据保护以及数据合理利用的双重目的。