随着经济社会发展进入信息化时代，信息的重要性越来越得到彰显，并且成为了不可忽视的经济社会发展的重要资源。然而，由于这场数据革命来得过于猛烈，以至于人们还没有充分的准备来迎接信息到来的高潮，再加上相应的法律法规没有建立健全起来应对使得个人信息泄露和不当使用等问题日趋严重，进而引发了全社会关于信息安全的担忧。

收集的个人信息一般包括个人的基本信息、网络活动信息、储存的个人信息。许多企业或个人基于商业利用角度，超出使用目的之外而过度收集消费者的个人信息，肆意扩大消费者个人的信息获取授权。并且，在个人不知情或者未充分知情、利用他人的信息保护意识淡薄等情形，收集个人信息。目前，多数企业或者组织的信息意识不强，未建设完善的安全保障系统，甚至未采取任何技术防范措施，也容易导致信息泄露和不适当使用。

信息的收集者经常通过对所掌握的个人信息进行二次加工继续使用，但我国对个人信息的二次开发利用行为缺乏规范，界限模糊，个人信息二次加工使用容易引发侵权纠纷，甚至引起行政责任的承担。同时，信息处理者也会在未经信息主体同意的情况下直接销售或者互相交换双方所掌握的个人信息，以获取利益。而且网络信息中介公司虽然收集、处理信息是经过授权，但交易行为往往未经本人同意，甚至通过信息能够清晰识别个人身份。某些组织或个人通过不正当渠道获取的个人信息，寻找目标人进行推销，甚至传销或者电信诈骗。

随着经济全球化的发展以及改革开放的不断深入，越来越多的跨国企业来到中国，也有许多中国企业走出国门，信息跨国、跨境流动已是常态化，并随着时间的推移，其范围扩大，规模增加，内容亦愈加丰富，给个人、社会、国家和世界皆造成极为深刻的影响。同时，信息的跨国、跨境流动削弱了个人对自身信息的控制，自身合法权益也难以维护。而且，无数个人的信息组成国民整体的信息，是国家核心的数据资源之一，该数据资源的流失直接威胁国家主权和国家信息安全。我国在信息收集、处理、分析和储存技术方面仍有一定差距，极易导致原始信息流向国外，使我国对发达国家信息类产品产生依赖，影响我国在经贸往来和国际交往中的话语权以及发展自主权。

个人信息的收集和利用关系到人民的根本利益，关系到国家安全的基础，所以一定要规范各类主体对个人信息的收集和使用。

似乎我们每个人都面临个人信息被泄露的问题

明确个人数据的边界范围。个人隐私与个人信息是交叉关系，隐私权的内容主要包括维护个人的私生活安宁、个人私密不被公开、个人私生活自主决定等；而个人信息权主要是指对个人信息的控制和决定。因此，应清晰地区分个人信息权和隐私权，界定个人信息的内容和范围。要对个人敏感信息和个人一般信息的区分应当予以界定，并在法律保护上区别对待。个人敏感信息应限定为个人敏感隐私信息，对此应实施高强度保护，限制收集、加工、流动，及时删除。个人一般信息应强化利用，最大程度地发挥促进其商业和公共管理的作用，但也应防止不当使用。此外，个人信息立法的保护主体不是法人和其他非法人组织，而仅包括自然人。法人以及其他非法人组织的信息应由知识产权法和商业秘密等制度规范。

明确相关数据保护执法机构。设立独立的行政执法机构或者明确行政执法机构及其职责。刑事、民事救济手段对个人信息保护都有滞后性和局限性，无法迅速、有效地制止恶意侵权事件。世界主要国家的个人信息保护体系中，行政监管体制皆发挥着不可替代的作用，如美国联邦贸易委员会(FTC)、欧盟的数据保护委员会、日本的个人数据保护委员会，韩国也专门设置了纠纷调解委员会等等。我国也应设立独立的行政机关，从而不仅能够监督个人信息保护的全部过程，也可以有效地解决纠纷、维护市场的正常发展。

赋予个人对个人信息的控制权。在信息时代,自然人对个人信息的支配和控制越来越多地表现为对其个人信息的各种利用。因此，在个人数据使用遵循合法、正当和必要的总体原则外，应给予信息主体对个人信息的控制权。个人信息主体的控制权应主要包括对个人信息的使用、修改或删除等权利。控制权是个人信息保护的重要手段之一，既可以保证个人信息的收集获得信息主体的授权，也可以更全面地保证个人信息的安全。

厘清个人信息在民事、刑事、行政范围内的界限。目前，刑法已经对危害个人信息活动的行为进行入罪，且规定了较为详细的刑事责任。建议《民法总则》和其他民事规范在规定对自然人信息保护的基础上，进一步明晰侵害个人信息的民事责任，个人信息立法应当予以明确。除此之外，对于不宜入刑的侵害个人信息的行为，应当规定具体、明确的行政责任，由行政机关给与相关企业、负责人行政处罚。

建立个人信息保护官制度。个人信息风险不仅仅是产生于收集个人信息之时，而是在与信息有关的全过程中，因此监管制度的建设，既要从行政层面入手，也不能忽视企业自身的作用和重要性。在美国，很多大型公司都设立首席隐私执行官，德国也要求其企业设立数据保护顾问，评估企业的隐私、数据保护政策和执行情况。建议研究推行个人信息保护官制度的可行性，其主要起到内部监管作用，但同时接受相应行政机关的监督。

关注跨国、跨境信息流动。鉴于不同国家的个人信息保护立法存在明显差异，侧重点也有不同，应在《网络安全法》的基础上，重视个人信息的国际间流动，与其他国家进行协商和谈判，切实保护我国数据安全。为促进区域间个人信息的流动，应加强我国的信息跨境流动制度与国际框架，加强我国与其他国家相应行政机构的合作。

加强未成年人的信息保护。我国目前青少年网民数量已愈3亿，未成年人的成长伴随着是网络的发展和时代的前进，网络是未成年人生活的重要内容，其生活方式甚至思想意识都与互联网息息相关。因此，在个人信息保护立法中，针对未成年人心智尚未成熟，缺乏足够的认识能力和控制能力等问题，必须为未成年人提供特殊且全面的保护，防止其信息权益受到侵害。