大数据时代,个人信息的价值堪比“石油和黄金”,蕴含着巨大的经济价值和社会价值,成为企业竞争的核心资产。个人信息的采集、分析、存储与共享已成为常态。在给公权力机关管理带来便利、私营机构带来巨额利润、人们生活带来高效便利的同时,个人信息的过度采集、非法滥用、大量泄露等行为带来的个人财产及人身安全隐患等问题也日益突出。个人信息保护问题因此成为国内外社会各界高度关注的热点问题和亟待解决的难题。正文的第一部分介绍了个人信息的定义,识别型定义已经不再是大数据时代个人信息界定的必备要件,许多不可识别的信息进行关联、比对,仍能识别到具体个人。因此,将个人信息的定义区分为识别路径和关联路径。同时,分析了个人信息的人格属性、财产属性、社会性与公共性,并对个人信息现有的隐私权理论、财产权理论、具体人格权理论进行分析后,认为由于个人信息的社会性与公共性,个人对其信息不享有绝对的排他支配权,个人信息是一项具有多重属性的法益。正文的第二部分分析了我国个人信息保护的现状与不足,指出传统知情同意模式面临的挑战,如隐私政策冗长晦涩,给用户、企业带来沉重负担;用户要么同意、要么退出,并无自由选择的权利;用户对个人信息的二次利用毫不知情等等。此外,匿名化信息也面临被重新识别的挑战。针对上述挑战,对传统的个人信息保护模式进行了反思。传统的个人信息保护模式以个人控制为核心,建立在个人信息有限与可控的时代,而大数据时代,信息脱离信息主体的控制,转而由实际的接收人如企业、政府等组织掌握实际的控制权。个人信息保护的本质是法益保护,不是简单依靠赋权实现的,而是应当对个人信息处理行为进行规制。正文的第三部分首先介绍了美国的行业自律模式与《消费者隐私权利法案(草案)》的场景与风险理念,同时由联邦贸易委员会负责个人信息的监管工作。其次介绍了欧盟的统一立法模式与《通用数据保护条例》对数据控制者和数据处理者的各种行为规范,同时设立统一的个人信息监管机构,并在企业内部设立数据保护官。将二者进行对比分析,总结出对我国个人信息保护模式的启示。正文的第四部分首先对知情同意模式进行了初步的完善,随后提出了个人信息保护的风险管理路径,将关注的重心由收集阶段转移至使用阶段,列举合理使用的场景,引入隐私风险评估机制,在具体的场景中对个人信息处理行为可能给信息主体带来的风险进行评估,并针对评估后的风险等级采取不同的措施以降低风险。对匿名化信息也应进行风险评估,贯彻隐私设计理念,建立使用者责任制,谁使用谁负责。同时,建议在国家互联网信息办公室的基础上,整合其他部门的职权,形成专门统一的监管机构,并在企业内部设立个人信息保护官。最后,完善行业自律机制。建立行业自律组织,制定完善的行业自律公约,构建个人信息安全认证制度等等。