大数据时代的个人信息保护和管，是个全球性难题。

欧盟已发布全球最严格的个人数据保护法规《通用数据保护条例》（2018 年 5 月生效），具有全球适用性，适用于所有为欧盟居民商品服务的境外数据处理商，也包括服务于欧洲客户的中国公司。

美国 2012 年颁布的《消费者隐私权利法案》，集中体现了美国政府应对大数据时代隐私保护问题的做法。另外，2016 年 8 月 1 日，美国和欧盟签署的 " 隐私盾 " 协议已正式生效，替代了此前的 " 安全港 " 协议，提高了个人数据保护水平。根据 " 隐私盾 " 协议，用于商业目的的个人数据从欧洲传输到美国后，将适用与在欧盟境内同样的数据保护标准。

欧美等发达国家在个人信息保护方面的共性是：合法、有许可、目的受限、必要且数据最小化（仅收集必要的数据并尽可能不收集不必要的数据，并限制数据保留时间）。

近几年，中国已陆续出台与个人信息保护相关的诸多法律规定，但基本散落在效力层次不一的各种法律法规乃至规范性文件中。业界一直呼吁，应对相应法律进行系统化梳理和整合，尽快出台统一的个人信息保护法规。

全国人大财经委副主任委员吴晓灵在今年 4 月的 " 个人信息保护与征信管理 " 国际研讨会上呼吁尽快制定专门的《个人信息保护法》。" 目前全球已有近 90 个国家和地区制定了个人信息保护的法律，个人信息保护专项立法已成为国际惯例。"

在立法的基础上，更重要的是加强管和执法力度。去年底中国青年政治学院互联网法治研究中心发布的《中国个人信息安全和隐私保护报告》指出，尽管当前针对个人信息的非法获取与利用的司法判决为数不少，但与个人信息泄露的普遍状况相比，并不成比例，起不到威慑作用。

相形之下，国外多家知名互联网巨头曾因个人信息处置不当遭受巨额罚款或管部门审查，甚至陷入诉讼。

最新的例子是，今年 7 月初，美国联邦贸易委员会称，其已与亚利桑那州公司 Blue Global Media，就该公司涉嫌违法售卖提交在线借款申请的用户个人信息的行为达成和解，和解金额 1.04 亿美元；德国联邦企业联合管理局正在审查一项关于 Facebook 欺压用户的指控，即 Facebook 胁迫用户在其未必了解具体方法的情况下， 同意让其收集用户自己上网活动的相关数据，并且以此为依据推送个人化的广告、视频推荐及搜索结果。

吴晓灵认为，中国对于个人数据保护尚未构建类似的专业性管机构和相应的组织体系，不仅降低了政府的治理效能，也使数据保护管业务处于真空状态，最终造成了某些机构往往以拥有海量数据大肆炫耀、却拒绝履行保护责任的现状。

她建议，设立国家层面的个人信息保护委员会，专门负责个人信息保护，推动个人信息保护法律完善和实施、开展个人信息保护行政执法等。同时，由政府的相关部门按照法律法规的规定在自己的职责范围内负责个人信息保护和督管理工作，如人民银行管金融类数据、工信部管电信类数据，卫生部管医疗类数据等。

此外，从个人层面提高隐私保护意识是基石。世界银行集团全球金融基础设施建设技术援助负责人 Tony Lythgoe 表示，社交媒体很难保护个人隐私，信息可能会被用于其他目的。管不仅仅要针对使用信息的机构，还 " 需要从机制上来解决这一问题，不仅要改善内嵌于这些系统上的数据质量，还要去教育公众树立个人隐私信息保护意识 "。■