个人数据范文10篇

【摘要】：随着我国入世后政府职能的进一步转变和信息化水平的不断提高，公共事务管理机构的许多运作对于个人数据的依赖已经达到了空前的程度。如何能使这些花费巨额成本收集的个人数据发挥出最大的社会效应，已经成为当前各公共事务管理机构作为个人数据拥有者所热衷探讨的课题。然而伴随这一课题同时值得重视的又极易被忽视的，就是如何在收集、加工、使用这些个人数据的过程中保护数据提供者个人隐私不受侵害。对公共事务管理机构的个人信息数据作进一步开发利用是必然的趋势，对个人隐私的保护也必须同时提到一个新的高度加以重视。如何在这二者之间寻求利益的平衡点，一方面使得公共事务管理机构的现代信息化手段得以充分利用，另一方面又能使作为其管理和服务对象的个人隐私得到切实的保护，已是我们迫切需要研究的一个问题。然而当前我国对于这个问题的立法和制度建设都几乎是一片空白，本文写作的目的也仅仅是抛砖引玉，为这一问题的深入探讨做一块铺路石，为立法者与制度建设者提供一些参考意见。

【主题词】：公共事务管理个人数据隐私保护

在当今信息化社会中，个人数据的运用对公共事务管理机构的运行所产生的重要作用已日益彰显。公共事务管理机构对个人数据运用所产生的影响与结果不仅关系到老百姓方方面面的利益，同时也关系到老百姓个人隐私的保护。在相当长的一段时期内，如何使收集的个人数据发挥出最大的社会效应成为管理机构努力探求的方向，即个人数据的充分利用成为热衷的焦点，而个人数据的保护则并未提高到其应有的高度。经过了长期的实践，个人数据的有效利用确实为政府部门的管理、社会事业的发展起到了相当积极的作用，但与此同时，由于最初对个人数据保护的缺乏重视，由此也引发了诸多棘手的法律问题。本文试图从公共事务管理机构对个人数据的收集、加工及使用的整个流程中可能产生的问题作为切入点，有针对性地提出一些对策和参考意见。这里首先需要明确的一点是，本文所讨论的公共事务管理机构的范围包括政府及其职能部门、公共服务机构、公共教育机构、公共医疗机构、事业单位和某些特殊的企业单位（如水、电、煤、电信等公司）。我们认为，个人数据在这些机构和单位中的运用将会影响到个人隐私的保护。

一、个人数据流程中的问题探讨

1、个人数据的收集

个人数据的收集大致可分为无条件的收集和有条件的收集两种。前者目前只有通过人口普查这一种途径得以实现；而后者则主要是通过老百姓到各公共事务管理机构办理各种相关业务等多种方式来获得个人数据，即以业务为。例如我们熟悉的居民去公安局申报户口、办理户口的变迁，办理身份证，办理暂住证等业务就需要填报多项个人数据，而公安局就将这些个人数据输入电脑，汇总到它的数据库中。

【摘要】：随着我国入世后政府职能的进一步转变和信息化水平的不断提高，公共事务管理机构的许多运作对于个人数据的依赖已经达到了空前的程度。如何能使这些花费巨额成本收集的个人数据发挥出最大的社会效应，已经成为当前各公共事务管理机构作为个人数据拥有者所热衷探讨的课题。然而伴随这一课题同时值得重视的又极易被忽视的，就是如何在收集、加工、使用这些个人数据的过程中保护数据提供者个人隐私不受侵害。对公共事务管理机构的个人信息数据作进一步开发利用是必然的趋势，对个人隐私的保护也必须同时提到一个新的高度加以重视。如何在这二者之间寻求利益的平衡点，一方面使得公共事务管理机构的现代信息化手段得以充分利用，另一方面又能使作为其管理和服务对象的个人隐私得到切实的保护，已是我们迫切需要研究的一个问题。然而当前我国对于这个问题的立法和制度建设都几乎是一片空白，本文写作的目的也仅仅是抛砖引玉，为这一问题的深入探讨做一块铺路石，为立法者与制度建设者提供一些参考意见。

【主题词】：公共事务管理个人数据隐私保护

在当今信息化社会中，个人数据的运用对公共事务管理机构的运行所产生的重要作用已日益彰显。公共事务管理机构对个人数据运用所产生的影响与结果不仅关系到老百姓方方面面的利益，同时也关系到老百姓个人隐私的保护。在相当长的一段时期内，如何使收集的个人数据发挥出最大的社会效应成为管理机构努力探求的方向，即个人数据的充分利用成为热衷的焦点，而个人数据的保护则并未提高到其应有的高度。经过了长期的实践，个人数据的有效利用确实为政府部门的管理、社会事业的发展起到了相当积极的作用，但与此同时，由于最初对个人数据保护的缺乏重视，由此也引发了诸多棘手的法律问题。本文试图从公共事务管理机构对个人数据的收集、加工及使用的整个流程中可能产生的问题作为切入点，有针对性地提出一些对策和参考意见。这里首先需要明确的一点是，本文所讨论的公共事务管理机构的范围包括政府及其职能部门、公共服务机构、公共教育机构、公共医疗机构、事业单位和某些特殊的企业单位（如水、电、煤、电信等公司）。我们认为，个人数据在这些机构和单位中的运用将会影响到个人隐私的保护。

一、个人数据流程中的问题探讨

1、个人数据的收集

个人数据的收集大致可分为无条件的收集和有条件的收集两种。前者目前只有通过人口普查这一种途径得以实现；而后者则主要是通过老百姓到各公共事务管理机构办理各种相关业务等多种方式来获得个人数据，即以业务为。例如我们熟悉的居民去公安局申报户口、办理户口的变迁，办理身份证，办理暂住证等业务就需要填报多项个人数据，而公安局就将这些个人数据输入电脑，汇总到它的数据库中。

【摘要】：随着我国入世后政府职能的进一步转变和信息化水平的不断提高，公共事务管理机构的许多运作对于个人数据的依赖已经达到了空前的程度。如何能使这些花费巨额成本收集的个人数据发挥出最大的社会效应，已经成为当前各公共事务管理机构作为个人数据拥有者所热衷探讨的课题。然而伴随这一课题同时值得重视的又极易被忽视的，就是如何在收集、加工、使用这些个人数据的过程中保护数据提供者个人隐私不受侵害。对公共事务管理机构的个人信息数据作进一步开发利用是必然的趋势，对个人隐私的保护也必须同时提到一个新的高度加以重视。如何在这二者之间寻求利益的平衡点，一方面使得公共事务管理机构的现代信息化手段得以充分利用，另一方面又能使作为其管理和服务对象的个人隐私得到切实的保护，已是我们迫切需要研究的一个问题。然而当前我国对于这个问题的立法和制度建设都几乎是一片空白，本文写作的目的也仅仅是抛砖引玉，为这一问题的深入探讨做一块铺路石，为立法者与制度建设者提供一些参考意见。

【主题词】：公共事务管理个人数据隐私保护

在当今信息化社会中，个人数据的运用对公共事务管理机构的运行所产生的重要作用已日益彰显。公共事务管理机构对个人数据运用所产生的影响与结果不仅关系到老百姓方方面面的利益，同时也关系到老百姓个人隐私的保护。在相当长的一段时期内，如何使收集的个人数据发挥出最大的社会效应成为管理机构努力探求的方向，即个人数据的充分利用成为热衷的焦点，而个人数据的保护则并未提高到其应有的高度。经过了长期的实践，个人数据的有效利用确实为政府部门的管理、社会事业的发展起到了相当积极的作用，但与此同时，由于最初对个人数据保护的缺乏重视，由此也引发了诸多棘手的法律问题。本文试图从公共事务管理机构对个人数据的收集、加工及使用的整个流程中可能产生的问题作为切入点，有针对性地提出一些对策和参考意见。这里首先需要明确的一点是，本文所讨论的公共事务管理机构的范围包括政府及其职能部门、公共服务机构、公共教育机构、公共医疗机构、事业单位和某些特殊的企业单位（如水、电、煤、电信等公司）。我们认为，个人数据在这些机构和单位中的运用将会影响到个人隐私的保护。

一、个人数据流程中的问题探讨

1、个人数据的收集

个人数据的收集大致可分为无条件的收集和有条件的收集两种。前者目前只有通过人口普查这一种途径得以实现；而后者则主要是通过老百姓到各公共事务管理机构办理各种相关业务等多种方式来获得个人数据，即以业务为。例如我们熟悉的居民去公安局申报户口、办理户口的变迁，办理身份证，办理暂住证等业务就需要填报多项个人数据，而公安局就将这些个人数据输入电脑，汇总到它的数据库中。

摘要：个人信息保护法的客体是个人信息，个人信息体现的是一种基本人权。个人信息法律保护应遵循一定的原则，对特殊行业和领域应制定特别的法律规范，并实行行业自律。

关键词：个人信息；个人信息权；立法

一、个人信息的界定

目前全球已经有50个国家或地区制定和颁布了个人信息保护法。各国或是地区在法律中对个人信息的称谓有所不同，如“个人数据”、“个人资料”、“个人隐私”、“个人信息”。采用“个人数据”称谓的。如Directive95／46／ECoftheEuropeanParliamentandoftheCouncilof24October1995ontheProtectionofIndividualswithRegardtotheProcessingofPersonalDataandontheFreeMovementofsuchData。简称欧盟95指令。采用“个人资料”称谓的，如1977年德国的《联邦资料保护法》。采用“个人隐私”称谓的，如1974年美国的《隐私权法》。采用“个人信息”称谓的，如2003年日本的《个人信息保护法》。

“个人数据”和“个人资料”的英文均为“PersonData”，两个称谓只是中文的翻译不同而已。“个人数据”指与已识别或可识别的与个人(自然人，又称数据主体)相关的任何资料。“个人信息”指自然人的姓名、出生年月日、身份证号码、户籍、遗传特征、指纹、婚姻、家庭、教育、职业、健康、病历、财务情况、社会活动及其他可以识别该个人的信息。

个人数据(资料)与个人信息的区别如下：首先。个人数据(资料)侧重于客观形式，而个人信息偏重于数据或是资料所反映的内容。从资料和信息的内在关系看，资料是信息的载体，信息是资料表现的内容。从这个角度理解，数据(资料)是信息的表现形式，信息是数据(资料)所体现的内容。其次，个人信息的表现形式是多种多样，并不一定表现为个人数据(资料)形式，不以个人数据(资料)的物化形式存在的个人信息是大量的。最后，数据是一个偏技术性的概念，一般认为个人数据是指与个人相关的任何资料，也包括家庭的一些相关情况等。信息则是指经过处理后得到的数据。其与数据最大的区别在于它经过了处理过程。

摘要加强网络环境下消费者隐私权保护是促进电子商务发展的必然要求。在电子商务环境中，消费者隐私权既体现为人格权，又体现为信息财产权，其受侵害的主要形式是个人信息被任意收集、被再次开发利用和非法转让。针对我国消费者隐私权保护现状，提出建立收集个人信息的主体许可制度、确立个人数据收集使用的基本原则、科学设置免责条款等六点建议。

关键词电子商务消费者隐私权保护

在当前信息时代，个人信息己经成为一种与人才、资金、原料等类似甚至更重要的资源。然而随着电子商务的迅猛发展，消费者对于缺乏在线隐私保护的烦恼已随着因特网的使用而逐渐增加。互联网一方面为个人信息的收集与传播带来了前所未见的快捷，为个人信息的商业利用创造了极大空间，但这把双刃剑也同时使得我们的隐私处于被凯觑的境地。

一、电子商务环境中的隐私权范围及属性的界定

在对隐私权的已有研究中，学者多从纯粹思辨的法哲学层面对隐私权进行权利证成，主要关注的是隐私权的正当性问题，而对隐私权的实证分析关注不够。电子商务是一种追求效率最大化的商务形式，传统的缺乏效率意识的隐私权权利证成很明显已不能适应电子商务的发展。传统观点认为隐私权即指私人生活安宁不受他人非法搜集、刺探和公开等[1]，属于人格权的范畴，其客体是个人秘密。关于隐私和隐私权的范围学界一直都在争讨，有的学者甚至认为“试图给隐私下一个一般的定义比找到一个大家都能接受的自由的定义更难”[2]。笔者无意于给已有的各种隐私权理论妄下断语，将集中关注适应电子商务环境的“信息控制理论”[3]。美国有的学者也认为，无论是在普通法上还是从隐私的字面理解，隐私权都包含了个人对关于他(她)本人的信息的控制[4]。笔者认为，电子商务环境下的隐私权带有信息、身体、财产和决定等方面的含义，至少涵盖对于个人资料支配权、利用权和维护权、个人私事或私生活的隐蔽或隐瞒权和保持个人生活和领域不受干扰和侵犯的权利，并且在电子商务运行中，易受侵害的消费者的隐私主要涉及个人资料的支配利用权和个人生活安宁不受侵犯权。

在网络环境下，个人资料并不仅仅局限于民法隐私范畴的信息，可以说它是以是否能够识别某个主体为标准的，而不再是以不宜公开为标准。英国1998年《数据保护法》作了一个较全面的界定：“个人数据指与可识别的活着的个人的数据组合，包括数据控制者占有或可能占有的其他信息，任何关于该个人观点的表述、数据控制者或与该个人有关的其他人意图的表示。”[5]在网络环境下，个人资料不仅可以自己用于商业目的，而且有时被作为“信息产品”进行买卖。笔者认为，消费者被纳入保护范围的个人资料主要包括：特定个人信息(姓名、性别、出生日期、身份证编号)、敏感性信息(宗教信仰、婚姻、家庭、职业、病历、收入、经历)、E-mail地址、IP地址、Username与Password。这些个人资料属于消费者个人所有，这也意味着消费者对其个人资料拥有民法的权利，即控制权、收回权、知悉权、修改权和请求司法救济权。上述五种权利既是法律对个人资料保护而赋予的个人权利，也是个人资料隐私权的主要内容。

摘要加强网络环境下消费者隐私权保护是促进电子商务发展的必然要求。在电子商务环境中，消费者隐私权既体现为人格权，又体现为信息财产权，其受侵害的主要形式是个人信息被任意收集、被再次开发利用和非法转让。针对我国消费者隐私权保护现状，提出建立收集个人信息的主体许可制度、确立个人数据收集使用的基本原则、科学设置免责条款等六点建议。

关键词电子商务消费者隐私权保护

在当前信息时代，个人信息己经成为一种与人才、资金、原料等类似甚至更重要的资源。然而随着电子商务的迅猛发展，消费者对于缺乏在线隐私保护的烦恼已随着因特网的使用而逐渐增加。互联网一方面为个人信息的收集与传播带来了前所未见的快捷，为个人信息的商业利用创造了极大空间，但这把双刃剑也同时使得我们的隐私处于被凯觑的境地。

一、电子商务环境中的隐私权范围及属性的界定

在对隐私权的已有研究中，学者多从纯粹思辨的法哲学层面对隐私权进行权利证成，主要关注的是隐私权的正当性问题，而对隐私权的实证分析关注不够。电子商务是一种追求效率最大化的商务形式，传统的缺乏效率意识的隐私权权利证成很明显已不能适应电子商务的发展。传统观点认为隐私权即指私人生活安宁不受他人非法搜集、刺探和公开等[1]，属于人格权的范畴，其客体是个人秘密。关于隐私和隐私权的范围学界一直都在争讨，有的学者甚至认为“试图给隐私下一个一般的定义比找到一个大家都能接受的自由的定义更难”[2]。笔者无意于给已有的各种隐私权理论妄下断语，将集中关注适应电子商务环境的“信息控制理论”[3]。美国有的学者也认为，无论是在普通法上还是从隐私的字面理解，隐私权都包含了个人对关于他(她)本人的信息的控制[4]。笔者认为，电子商务环境下的隐私权带有信息、身体、财产和决定等方面的含义，至少涵盖对于个人资料支配权、利用权和维护权、个人私事或私生活的隐蔽或隐瞒权和保持个人生活和领域不受干扰和侵犯的权利，并且在电子商务运行中，易受侵害的消费者的隐私主要涉及个人资料的支配利用权和个人生活安宁不受侵犯权。

在网络环境下，个人资料并不仅仅局限于民法隐私范畴的信息，可以说它是以是否能够识别某个主体为标准的，而不再是以不宜公开为标准。英国1998年《数据保护法》作了一个较全面的界定：“个人数据指与可识别的活着的个人的数据组合，包括数据控制者占有或可能占有的其他信息，任何关于该个人观点的表述、数据控制者或与该个人有关的其他人意图的表示。”[5]在网络环境下，个人资料不仅可以自己用于商业目的，而且有时被作为“信息产品”进行买卖。笔者认为，消费者被纳入保护范围的个人资料主要包括：特定个人信息(姓名、性别、出生日期、身份证编号)、敏感性信息(宗教信仰、婚姻、家庭、职业、病历、收入、经历)、E-mail地址、IP地址、Username与Password。这些个人资料属于消费者个人所有，这也意味着消费者对其个人资料拥有民法的权利，即控制权、收回权、知悉权、修改权和请求司法救济权。上述五种权利既是法律对个人资料保护而赋予的个人权利，也是个人资料隐私权的主要内容。

摘要加强网络环境下消费者隐私权保护是促进电子商务发展的必然要求。在电子商务环境中，消费者隐私权既体现为人格权，又体现为信息财产权，其受侵害的主要形式是个人信息被任意收集、被再次开发利用和非法转让。针对我国消费者隐私权保护现状，提出建立收集个人信息的主体许可制度、确立个人数据收集使用的基本原则、科学设置免责条款等六点建议。关键词电子商务消费者隐私权保护在当前信息时代，个人信息己经成为一种与人才、资金、原料等类似甚至更重要的资源。然而随着电子商务的迅猛发展，消费者对于缺乏在线隐私保护的烦恼已随着因特网的使用而逐渐增加。互联网一方面为个人信息的收集与传播带来了前所未见的快捷，为个人信息的商业利用创造了极大空间，但这把双刃剑也同时使得我们的隐私处于被凯觑的境地。一、电子商务环境中的隐私权范围及属性的界定在对隐私权的已有研究中，学者多从纯粹思辨的法哲学层面对隐私权进行权利证成，主要关注的是隐私权的正当性问题，而对隐私权的实证分析关注不够。电子商务是一种追求效率最大化的商务形式，传统的缺乏效率意识的隐私权权利证成很明显已不能适应电子商务的发展。传统观点认为隐私权即指私人生活安宁不受他人非法搜集、刺探和公开等[1]，属于人格权的范畴，其客体是个人秘密。关于隐私和隐私权的范围学界一直都在争讨，有的学者甚至认为“试图给隐私下一个一般的定义比找到一个大家都能接受的自由的定义更难”[2]。笔者无意于给已有的各种隐私权理论妄下断语，将集中关注适应电子商务环境的“信息控制理论”[3]。美国有的学者也认为，无论是在普通法上还是从隐私的字面理解，隐私权都包含了个人对关于他(她)本人的信息的控制[4]。笔者认为，电子商务环境下的隐私权带有信息、身体、财产和决定等方面的含义，至少涵盖对于个人资料支配权、利用权和维护权、个人私事或私生活的隐蔽或隐瞒权和保持个人生活和领域不受干扰和侵犯的权利，并且在电子商务运行中，易受侵害的消费者的隐私主要涉及个人资料的支配利用权和个人生活安宁不受侵犯权。在网络环境下，个人资料并不仅仅局限于民法隐私范畴的信息，可以说它是以是否能够识别某个主体为标准的，而不再是以不宜公开为标准。英国1998年《数据保护法》作了一个较全面的界定：“个人数据指与可识别的活着的个人的数据组合，包括数据控制者占有或可能占有的其他信息，任何关于该个人观点的表述、数据控制者或与该个人有关的其他人意图的表示。”[5]在网络环境下，个人资料不仅可以自己用于商业目的，而且有时被作为“信息产品”进行买卖。笔者认为，消费者被纳入保护范围的个人资料主要包括：特定个人信息(姓名、性别、出生日期、身份证编号)、敏感性信息(宗教信仰、婚姻、家庭、职业、病历、收入、经历)、E-mail地址、IP地址、Username与Password。这些个人资料属于消费者个人所有，这也意味着消费者对其个人资料拥有民法的权利，即控制权、收回权、知悉权、修改权和请求司法救济权。上述五种权利既是法律对个人资料保护而赋予的个人权利，也是个人资料隐私权的主要内容。在我国目前的法律实践层面上，隐私权仅仅囿于人格权的范畴，“寄生”于名誉权下给予保护的。笔者认为，在电子商务环境中，隐私权应该向其财产权性质方面着力发挥。在电子商务中，网络运营商利用消费者个人信息进行广告宣传，或其他营利操作而侵害消费者权益。可以说，随着网络技术的发展，个人信息已经具备了商品交换价值。故笔者认为，将私人信息的权利配置给个人，个人就能够控制其私人信息从而形成对其私人信息的财产权。隐私权必须被视为一种财产权，只有这样它才能够被转让并最终能由受让人予以利用[6]。私人信息财产权允许将私人信息的收益内化，任何其他人都不得无偿使用该权利资源，他们必须支付对价后，才能使用该权利资源，这样既能促进电子商务的繁荣发展，又能最大限度地保护消费者合法权益。二、电子商务中消费者隐私权受侵害的主要形式根据上文论述，在电子商务环境中，消费者隐私权主要内含个人信息控制权、个人私事隐蔽权和个人生活安宁权，其中个人信息控制权最易受到侵害，本文主要涉及个人信息控制权受侵害的形式。(一)任意收集个人数据。当前电子商务经营者为自身经营目的或其他特定目的，经常任意收集和使用消费者个人信息。电子商务经营者收集消费者个人信息的主要方式是IP跟踪。在互联网上，每个用户都会被分配给一个唯一的IP地址。每一个被访问的站点都会得到该用户的IP地址。这些地址可被用来产生出一份该用户的记录，服务商可以根据该记录，清楚地了解到用户网上的行踪。网络服务商还可以通过“网络小甜饼”(cookies)之类的追踪软件来追踪用户在网上的行为，收集其兴趣或者其他个人可识别信息，然后根据这些信息，向消费者有针对性地发送广告，或者把这些信息出售给他人。这样，我们在任何时间登录任何一家网站，浏览任何一条新闻，选择、比较任何一种商品，都会被网络服务商详细记录在册。更为可怕的是，通过网上病毒程序非法收集个人资料。2004年8月18日，江民科技公司截取一款“黑洞”病毒，该病毒能够自动搜索用户客户端，并且能够绕过部分防火墙直接“植入”用户电脑当中。它不但能够像“蜜蜂大盗”那样自动开启用户的摄像头偷窥隐私，盗取用户所有密码，掌控用户电脑的所有资料，而且还具有录音功能，能够偷录下用户语音、视频聊天的一切隐私。收集个人数据的另一种常用方法是，当消费者在上网浏览或者购物的时候，被要求填写含有个人数据的表格。还有的经营者以市场调查、会员注册的方式收集个人数据。通过病毒程序或者窃听程序等消费者个人不知情的情况下收集个人信息很明显侵害了消费者的隐私权，不再赘述。即使在消费者个人知息的情况下收集其个人信息也可能构成侵权，是否构成侵权关键取决于网络服务商再次使用所收集的个人数据是否超过必要的范围，是否经过消费者本人的授权。(二)深层次开发利用个人数据。消费者享有个人信息控制权，除非经消费者特别授权或公共机关为公共管理需要而使用个人信息以外，均构成侵权。在电子消费或交易中，消费者提供必要信息只允许用于其本身的目的，而不能用于其他目的，更不能被散发或任意传播甚至被出卖。未经当事人同意，个人资料被用于与收集的个人资料事由无关的目的即为不正当的利用。当前，许多网络服务商都不公布其所收集的个人信息的使用政策，也不承诺不将这些信息用于规定目的、范围之外的活动，经常将收集到的个人数据进行再次开发利用，建立起种种类型的资料库。实际上，电子商务中的个人数据不但具有价值，更有成为商品的可能。现实中，个人数据已经成为商品在网络上买卖，甚至出现了专门的公司公开在网站上推销个人数据[7]。(三)非法转让个人数据。个人数据被不当利用还表现为个人数据被擅自非法转让。个人数据在电子商务中的流转主要有两种形式，一种是商家之间相互交换各自收集的信息，或者是与合作伙伴共享信息。这种共享使个人数据用于交易以外的目的，使个人数据有可能被更多的商家知晓和利用，无异于变相侵害个人隐私。另一种是将个人数据作为“信息产品”销售于第三人或转让给他人使用。由于这种方式将个人资料商品化却没有向消费者个人支付任何对价，所以笔者认为这是对个人隐私侵犯最为严重的一种侵权行为。美国最大的网络广告商Doubleclick公司就因不当获取及销售网络个人材料而曾受到指控。在传统的商务模式中，公民的隐私权虽然也会受到不法商人的侵害，但其侵害的范围和程度都远远不能与电子商务相比。IP地址被跟踪，隐私信息被非法出售，账户密码的泄露，邮件炸弹的肆虐，给个人带来难以想象的后果和网络秩序的混乱。网络隐私所能带来的巨大经济利益和黑客技术的发展，使得消费者的隐私保护之战将长期存在。三、我国网上消费者隐私权保护现状当前，世界各国对隐私权保护方式存在明显差异。美国、法国、德国等国家采取直接保护方式，承认隐私权为一项独立的人格权，当个人隐私受到侵害时，受害人得以侵犯隐私权为由提起诉讼。而我国采取间接保护方式不承认隐私权为一种独立的民事权利，而是把其当作人格权下的某种利益，当个人隐私受到侵害时，只能借助于名誉权或其他人格权请求法律救济。《民法通则》第101条规定，公民和法人享有名誉权，公民的人格尊严受法律保护。可见，在《民法通则》中并未明确规定要保护隐私权。《宪法》第38条规定：“中华人民共和国公民的人格尊严不受侵犯。禁止用任何方式对公民进行侮辱、诽谤和诬告陷害。”但隐私权概念比“人格尊严”要广泛得多，《宪法》所保护的并非普遍意义上的“隐私权”。个别单行的法律法规里涉及到网络隐私或网络隐私权，如信息产业部2000年10月8日通过的《互联网电子公告服务管理规定》第12条就规定：电子公告服务提供者应当对上网用户的个人信息保密，未经上网用户同意不得向他人泄露，法律另有规定的除外。从总体上来说，我国法律不但没有明确规定保护隐私权，而且对人格尊严的保护，也仅仅停留在禁止损害公民、法人的名誉权的程度。我国关于网络隐私的保护，基本处于一种无法可依的状态。所以对我国的网上消费者而言，在法律上既没有新的网络隐私保护的规定可供适用，也不能求助于传统隐私权的保护手段来保护个人的网络隐私。四、完善我国网上消费者隐私权保护的建议针对电子合同缔结和履行过程中引起的隐私权保护问题，可以实行法律规制和行业自律并重原则。基于网络的国际性特征，采取国际通行的规则，明确界定信息收集者与信息被收集者之间的权利义务关系。(一)确定网上收集个人资料的主体资格。当前我国公民隐私权没有允分法律保障，网上个人数据保护措施严重滞后的情况下，笔者认为，首先应当从主体资格上规范个人资料的收集。电子商务领域通行的规则是，在线经营者可以为了其本身开展的特定服务或交易的需要而自行收集客户或消费者的个人资料。但是，对于一些特殊的行业，特别是与个人资料密切相联系的行业，是否可以自由收集，各国做法存在较大差异，笔者认为台湾地区的做法值得我们学习。根据台湾地区制定的《电脑处理个人资料保护法》规定，将收集处理个人资料的主体分为公务机关和非公务机关两种，非公务机关中专门收集个人信息资料的资信业收集个人资料必须事先取得许可，而其他行业实行核准登记，未经事业主管机关依法登记并发给执照者，不得为个人资料之收集，电脑处理或国际传递及利用。我国尚未有个人资料收集管制方面的规定，我们建议对于专门收集个人资信信息的专业公司实行许可制度，而对于一般个人资料收集只要在收集和利用方面做出规定即可，不必实行登记管制。(二)确立电子商务环境下个人数据保护的基本原则。电子商务的发展依赖于用户对个人数据安全的信任。尤其是，当前我国电子商务刚刚起步，网上个人数据保护措施严重滞后的情况下，既要强调信息自由流动，又必须强调对互联网隐私权的保护。在立法上，我们可以参照其他国家及国际组织的做法，确立个人资料保护的原则。笔者认为，使用消费者个人信息应遵循以下几个基本原则：①依法收集和使用个人信息。如法律对于个人信息的收集和使用有明确规定，经营者应当依照该规定收集和使用个人信息。如无明确规定，经营者在收集和使用消费者个人信息时也不得侵害消费者合法的权益；②最低限度原则。经营者为某种合法的目的收集、使用消费者个人信息，应在实现其目的的前提下，最低限度地收集和使用消费者个人信息。如超出必要的限度使用消费者个人信息，即为个人信息的滥用，经营者应承担相应责任；③向消费者说明及告知原则。经营者在收集和使用消费者个人信息前，应就其收集和使用的目的向消费者进行说明。在收集和使用之后，应告知消费者有关情况；④保证消费者个人信息安全保护原则。经营者有义务对所收集的资料采取合理的安全保护措施，确保消费者个人信息不受第三方干扰。(三)科学设置例外或免责条款。互联网的发展离不开对个人数据的合理使用。“保护隐私”和“保障信息流通”之间，既有矛盾，又相辅相成。由此决定，既要保证公民的基本人权不受侵犯，又不能使保护隐私成为信息自由流通从而发挥其经济价值的障碍，法律惟有平衡地协调两者利益，才能最大限度地实现“双赢”。因此，在确立个人数据收集使用基本原则的同电，必须科学设置免责条款。例如，在以下情况中，网站可以免除可能的侵权责任：为了免除当事人在生命、身体或财产方面的紧急危险；为了增进公共利益；为了防止他人权益的重大危害，且不会损害当事方的重大利益；根据执法机关的要求或者为公共安全目的向相关有权单位提供个人资料；因为消费者的过错导致个人资料泄露；因为政府管制造成的暂时性关闭等影响网络正常运行的不可抗力所造成的个人资料泄露、丢失、被盗或者被篡改，等等。(四)确定隐私权作为一项独立的人格权。世界各国越来越重视对个人隐私权的保护，在理论上对隐私权进行研究和在立法、司法上对稳私权保护呈专门化、国际一体化的趋势[8]。隐私权作为人们的一项基本权利，理应作为独立的人格权的组成部分，成为法律保护的对象。尤其是在互联网日益普及、人们越来越多地利用互联网作为信息传送和信息交流的今天，这一问题更应当引起政府、网络服务提供商和广大网民的重视，并在全社会形成一整套保护网上隐私权的法律及其执行机制。唯其如此，才能使人们的人身权具有完整性、彻底性。(五)行业自律组织应作出相应的规定，以引导行业自律。加强网上信用体系的培育，行为自律组织具有不可推卸的责任。尤其在当前网络个人隐私缺乏有效的立法规制的情况下，行业自律不失为一种有效的规则模式，即使在制定相关的法律后，行业自律仍然具有重要的价值和意义。(六)加强国际间协调。由于互联网具有超国界性，因此保护网络与电子商务中的隐私权需要国际间协调，让本国的法律给本国及外国用户以完善的隐私权保护的同时，也需要其他国家的法律与机构来保护本国用户的隐私权，这就要求要尽快完善隐私权保护体系，与一些相应国家进行协调，提出大家都认可的网上隐私权保护的要求与标准。隐私权是人类文明发展的标志，是实现个人和社会基木和谐，达到整个社会安定有序的必然要求。尤其是在互联网日益普及的今天，只有在人们的隐私权得到充分尊重和保护的情况下，才能使人们的人格得到健康发展，也才能从根本上实现整个社会人际关系的和谐。参考文献[1]张新宝.隐私权的法律保护[M].北京：群众出版社，1997.161[2][美]阿丽塔·L·艾伦，理查德·C·托克音顿.美国隐私法：学说、判例与立法[M].冯建妹等译.北京：中国民主法制出版社，2004.13[3]张莉.论隐私权[A].徐显明.人权研究：第三卷.济南：山东人民出版社，2003.388[4][美]阿丽塔·L·艾伦，理查德?C?托克音顿.美国隐私法：学说、判例与立法[M].冯建妹等译.北京：中国民主法制出版社，2004.254[5]高富平.个人信息与隐私[J].http：///nopass.asp.2007-02-06[6][美]阿丽塔·L·艾伦，理查德?C?托克音顿.美国隐私法：学说、判例与立法[M].冯建妹等译.北京：中国民主法制出版社，2004.290[7]李双元，王海浪.电子商务法若干问题研究[M].北京：北京大学出版社，2003.222[8]梅绍祖.电子商务法律规范[M].北京：清华大学出版社，2000.104

摘要：学生数据是教育数据的重要组成部分，在支撑教育决策、改进课堂管理、推送个性化路径等方面得到了广泛应用。然而，实践中出现了很多侵害学生数据隐私的问题，造成了不良社会影响，急需政府从立法层面加强保护。在此领域，欧美发达国家已经有数十年的经验，法律和制度都较为健全。针对美国和欧盟学生数据隐私保护立法和实践情况的分析发现，欧美已经建立了相对全面的学生数据隐私保护法律体系，形成了较为完善的隐私保护框架原则，其强调行业自律、全民参与的经验值得借鉴。但是也暴露出一些问题，例如，法律仍旧滞后于实践的需要，数据所有权不明确、处理过程不规范，学生、监护人及其他相关方的数据隐私保护意识薄弱，隐私保护和开放教育数据、学习分析之间存在矛盾等。我国尚处于数据隐私保护的起步阶段，应在汲取欧美国家的经验与教训基础上，提高认识，切实增强全民的法律意识；加快立法，尽快建立完善相关法律制度；加强行业自律，规范市场行为；营造隐私保护的社会大环境，构建多方参与的治理体系。

关键词：欧美；教育数据；数据隐私；隐私保护；立法与实践

一、问题的提出

随着教育信息化特别是智慧学习环境建设工作的推进，教育数据在支撑教育决策、改进课堂管理、提供个性化学习服务等方面得到了广泛应用。然而，各种隐私信息的泄露随之而来，隐私侵权问题成为新挑战。比如，某培训机构收集了14万条学生个人信息，在未取得学生、家长同意的情况下，拨打电话推销教育培训服务（国家市场监督管理总局，2020）。又如，某大学泄露了50余名本校学生的个人信息，这些信息均被一家企业所利用，伪装成在这家企业兼职的大学生，利用大学生的身份来达成偷逃税款的目的（陈禹潜，2020）。这类事件屡见不鲜，几乎成为常态。而大多数学生仍旧是未成年人，隐私数据的泄露可能会对他们后几十年的成长、就业和生活产生重大影响。因此，对学生个人数据隐私的保护非常重要，也十分必要。当前，我国在个人信息/隐私保护方面的法律法规正在逐步完善。宪法第38条、第40条规定，“公民的人格尊严、通信自由和通信秘密受法律的保护”。2009年的《侵权责任法》第36条规定，“网络用户、网络服务提供者利用网络侵害他人民事权益的，应当承担侵权责任”。2015年颁布的刑法修正案（九）第253条、第286条规定了对向他人出售、窃取或者以其他方法非法获取公民个人信息，以及网络服务者致使用户信息泄露等行为的刑罚处置。2016年通过的《网络安全法》规定了网络上的数据收集、使用及保留的处理方式。2020年出台的《民法典》对隐私权和个人信息保护进行了明确界定。第1032条第2款规定，“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息”。第1034条第2款和第3款规定：“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息。”“个人信息中的私密信息，同时适用隐私权保护的有关规定。”然而，我国至今尚未形成一个完整的数据隐私保护体系，许多条文规定的内容过于抽象，难以有效执行，且存在重复、交叉，形成了多头执法和多头管理的局面（张彤，2020）。专门法《个人信息保护法》虽然已经公布草案，并提请13届全国人大常委会第22次会议审议，但还未正式颁布。如何协调个人信息保护与促进信息自由流动的关系、保护个人信息和维护公共利益的冲突等法理障碍尚未解决（毛牧然，2020）。从全球范围来看，欧美发达国家在该领域已经有数十年的经验，法律和制度较为健全。美国将个人信息保护纳入隐私权的涵射范围内，其基本立场是反对滥用。从个人权益保护的角度，自然人有权选择披露的信息都在隐私保护范围之内（汤敏，2018）。欧盟明确界定了私密信息标准，原则上禁止对个人私密信息的收集和处理。种族、宗教信仰、犯罪记录、政治观点等均属于禁止收集的私密数据（张新宝，2019）。和欧美相比，我国对隐私权的保护才刚刚起步，保护范围有限，相关政策法律的制定远落后于实践。与此密切相关的学生数据隐私保护，更是从立法到实践都不完善。在此背景下，本研究旨在调查国外学生数据隐私保护立法和实践现状，梳理欧美学生数据隐私保护的法律法规及其适用范围、立法产生的影响、实践中的原则和方法，以及其治理体系的建构过程等，为推进我国的学生数据隐私保护工作提供参考。具体研究问题如下：（1）欧美国家学生数据隐私研究现状；（2）欧美国家学生数据隐私保护的立法和实践经验与教训；（3）对我国相关工作的启示。研究主要从文献和案例两个方面进行：文献研究以WebofScience核心集SSCI数据库为文献来源，以“Student”“Data”“Privacy”为关键词组合检索，获得相关度较高的外文文献30篇作为样本，总结国外学生数据隐私保护研究及实践现状；案例分析则基于立法模式的差异，分别选取美国和欧盟的代表性案例，介绍各国在保护学生数据隐私方面的成熟经验，讨论其中存在的问题。为了方便讨论，本文使用国际通行的术语“数据隐私”作为核心概念，对“信息”和“数据”不作刻意区分，私密信息约等同于私密数据；当自然人为学生时，即为本研究的对象“学生数据隐私”。

二、美国的立法和实践

1.联邦和州层面的立法情况。美国的政治和法律结构较为特殊，在联邦和州两级均有涉及隐私的法律和法规颁布。整个体系比较完善，但又庞杂和交叠。早在1974年，联邦政府就颁布了《隐私法案》（PrivacyAct），保护个人信息不受侵犯。在教育领域，为了适应社会快速发展和技术不断更新的需要，联邦政府又颁布了《家庭教育权利和隐私权法》（FamilyEducationalRightsandPrivacyAct，FERPA），并于2008年和2011年两次修订。该法案赋予家长诸多权利，如，在学生数据的收集和使用中，家长有权审核、修改、删除数据等；学校学生个人信息需得到家长同意；使用方仅可将学生数据用于授权用途（U.S.DepartmentofEducation，2011）。该法案通过家长的介入保护了学生数据隐私，减少了信息泄露和滥用。另一个联邦机构——联邦贸易委员会（FederalTradeCommission，FTC）颁布了《儿童互联网保护法》（Children’sInternetProtectAct，CIPA）和《儿童在线隐私权保护法》（Children’sOnlinePri-vacyProtectionAct，COPPA），以保护儿童在互联网上的个人信息安全，减少网上不良内容对儿童的影响。这两项法案规定了儿童数据的收集范围、收集方式和家长的监管权利，对教育机构和儿童主题的商业网站提出了硬性要求。进入大数据时代后，2015年FTC又颁布了《学生数字隐私和家长权利法》（StudentDigitalPrivacyandParentsRightsAct，SDPPRA），规定了第三方供应商应当遵守的数据保护标准，而且要求在收集和使用（未满18岁或未进入大学的）学生数据前必须获得家长（学生）同意，并禁止利用学生数据从事任何广告或商业活动。美国各州也颁布了州内的学生数据隐私保护法案，如密苏里州的1873号法案（HCSHB1873）、弗吉尼亚州的2350号法案（HouseBill2350）等。加利福尼亚州在2014年通过《加州电子通信隐私法》（CaliforniaElectronicCommunicationsPrivacyAct，CECPA），明确禁止科技公司收集学生信息用于广告和宣传（唐亮，2016），同年，又颁布《学生在线个人信息保护法》（StudentOnlinePersonalInformationProtectionAct，SOPIPA），将学生在社交媒体、互联网站点、在线服务、移动软件上生成的内容列为数据隐私，要求在线服务运营商在一定时限内删除未成年人在网页上的信息（王正青，2016）。从2013年到2019年，美国共有45个州颁布了128部与学生数据隐私相关的法律（DQC，2019），此领域的立法工作趋于完备。2.隐私保护的基本原则。1973年，美国联邦政府健康、教育和社会福利部（DepartmentofHealth,Education,andWel-fare，HEW）首次提出了《公平信息实践》（FairInformationPractices，FIPs）。在此基础上，美国逐渐形成了个人信息保护的五大基本原则：（1）公开性原则，即个人信息处理机构应公开关于个人信息处理的一切政策、流程和处理实践；（2）限制性原则，即个人信息在最少必须原则下收集和处理，信息的收集和使用范围、保存期限和销毁应受到限制；（3）数据质量原则，即机构对个人信息应当准确、完整和适时更新；（4）责任与安全原则，作为数据控制者的机构必须承担个人信息保护的主要责任，要将个人信息保护内化于其业务流程和技术设计中；（5）个人信息权利保护原则，充分保障信息主体的知情权、查询权、异议与纠错权、可转移权等。1997年，联邦政府在《全球电子商务政策框架》中提出了个人隐私保护的原则：告知和许可，即数据采集者应当告知消费者他们在收集什么信息，以及他们如何使用这些数据；数据采集者应向消费者提供限制使用和再利用个人信息的有效手段。美国的数据保护制度立足于保障数据自由市场，经过多年发展，形成了多方平衡的数据保护准则。美国教育界在学生数据隐私保护方面基本取得了共识。除了关注学生隐私数据的保护，还强调数据利用的价值和数据开放的意义，提倡在合理合法的前提下，尽可能发挥数据本身的价值。卓越教育基金会（FoundationforExcellenceinEdu-cation，ExcelinEd）是美国的一个专注提高教育机会、教育创新和教育质量的非营利组织。该组织建议应从数据价值、数据开放、有限存储和使用、准确性和可访问、安全性以及问责制等方面入手推进学生数据隐私保护（ExcelinEd，2017）。致力于推进教育数据应用的民间组织“数据质量运动”（Da-taQualityCampaign，DQC）和“学校网络联盟”（ConsortiumforSchoolNetworking，CoSN）合作，共同了“使用和保护学生个人信息的10项基本原则”（DQC&CoSN，2015），从透明度、治理和数据保护程序等方面对收集和使用学生数据的过程进行了规范。3.行业协会积极参与。除了法律保障，行业自律是学生数据隐私保护的另一种重要方式。一些行业协会自愿加入保护学生数据隐私的活动中。比如美国软件和信息业协会（Software&InformationIndustryAssociation,SIIA）联合“未来隐私论坛”（FutureofPrivacyForum,FPF）发出了《学生隐私倡议书》，详细解释了有关收集和处理学生数据的现行法律和法规，呼吁会员（服务供应商）签署倡议书，遵守“在教育机构、教师或父母/学生授权下，收集、使用、共享和保留学生的个人信息，支持学生/父母访问和更正学生的个人身份信息”等相关规定。截至2020年6月，以谷歌、Coursera等为代表，共有426家美国企业和机构在此倡议书上签名。4.构建多方共治的体系。美国数据隐私方面治理体系最鲜明的特点就是由联邦、州、行业协会及民间组织共同参与。在行政组织架构方面，联邦教育部设立了首席隐私保护官，成立了“隐私保护技术中心”（PrivacyTech-nicalAssistanceCenter，PTAC）等专业机构，向学区学生在线隐私保护指南，为州和地方提供隐私保护咨询和技术支持。大多数州也成立了具有数据隐私治理职能的机构，监督和管理学生数据，如华盛顿州“教育研究和数据中心”（EducationRe-searchandDataCenter，ERDC）、肯塔基州教育和劳动力统计中心（KentuckyCenterforEducationandWorkforceStatistics，KCEWS）、马里兰州纵向数据系统中心（MarylandLongitudinalDataSystemCenter，MLDSC）等，成为美国教育大数据战略的重要组成部分（DQC，2015）。政府以外的协会和民间团体在学生数据隐私保护方面也非常活跃。全美州教育委员会协会（NationalAssociationofStateBoardsofEducation，NASBE）提供服务，帮助各州的教育委员会成员了解数据隐私法规和教育数据的潜在价值，支持教育创新和发展（Gradyetal.，2014）。“未来隐私论坛”（FPF）了《家长保护学生数据隐私手册》，美国软件和信息业协会（SIIA）编制了《学校服务供应商保护学生信息隐私和安全的实践案例》，均依据学生数据隐私保护的法律条款，向家长、学生、服务供应商等相关人员，阐释每个角色应该承担的责任和应有的权利。数据质量运动（DQC）和全国家长教师协会（NationalParentTeacherAssociation，NPTA）合作编制了《家长教育数据指南》，向父母、教育者、决策者解释学校收集教育数据的类型及收集数据的目的。

【摘要】目的本次试验探究通过列举手术室各个护理过程的应用类型，并有效探究患者满意程度与其中的关系影响。方法选取我院2016年1月～2018年1月诊治的300名患者以及150名参与诊治过程中的护士。采用问卷调查的数据统计形式对其手术室护理质量评价与患者满意度维度间的关系予以有效探究。结果在本次试验统计过程中患者对护理质量的评分处于4.66，护士对护理质量评分处于4.30，患者对于护理质量的满意程度在一定程度上取决于自身的恢复效率以及护理质量。结论在今后的临床诊治过程中，医护人员要以提升自身的护理质量为首要标准，由此提升患者的康复效率，有利于建设维护医患之间的相处关系，从而有效提升患者的治疗满意评价。

【关键词】手术室护理质量评价；患者满意度；维度通过运用

GPNCS调查数据表的统计分析方式，依照不同的调查角度，对最终护理质量评价的影响因素予以统计分析，由此有效提升今后手术室护理的应用质量，现具体内容分析如下。

1资料与方法

1.1一般资料。本次试验对象选取于我院2016年1月～2018年1月诊治的300名患者以及150名参与诊治过程中的护士。采用问卷调查的数据统计形式对其手术室护理质量评价与患者满意度维度间的关系予以有效探究。1.2纳入标准。本次受参与调查的角度不同，由此选择了300名患者和150名护士共同参与此次试验探究。其中护士的选择标准需要满足三个条件，分别是护士取得专业的执业证书，所属于医院手术室内部管理，且在本次试验探究过程中对于所有参与调查的内容具有一定的知情权并自愿予以试验的参加。其中患者的选择标准需满足四个条件，分别是患者在治疗过程中通过手术的治疗形式予以进行，患者自身年龄范围在18～80岁的区间范围内，患者自身具有独立思考能力，能对本次参与调查的问卷予以实际情况的有效答复，且患者以及患者家属均具有试验探究的知情权。1.3排查标准。参与本次试验探究的护士人员需具有一年及以上的手术室工作经验，本次试验探究排除实习护士。患者在试验探究期间如若思维意识出现紊乱或具有其他并发功能障碍者，以及手术过后没有返回到常规病房予以恢复的患者，均排除于此次试验调查之外。1.4方法。本次试验探究对数据的统计计量采用问卷调查法的方式予以实行，对患者以及参与本次试验探究的护士进行相关护理质量的调查分析，并对数据予以整合分析。GPNCS调查温度的应用需要依照不同阶段的评分对手术护理的满意程度予以评价，分别处于非常不满意、不满意、一般、满意以及非常满意等评分阶段。1.5统计学处理。本次试验探究选用SPSS20.0予以数据的记录与分析，数据的统计采用x2予以验证。

2结果

【摘要】2018年1月3日，晒2017年支付宝账单活动风靡微信朋友圈，支付宝在2017年账单界面嵌入了一段不易发现的服务协议链接，导致全国上亿用户在不知情的情况“被授权”支付宝采集个人信息，消息一出，引发了全体网民、社会媒体及法律界人士的跟进关注，舆论发酵迅速。目前，个人商用服务信息权益保护工作逐渐受到世界各国金融服务机构和监管主体的关注。本文对国外个人商用信息保护和监管方面的经验做法进行了整理，为我国个人商用服务信息保护和监管提供了有益借鉴。

【关键词】信息安全行业监管立法保护

一、我国个人商用信息保护和监管工作存在的不足

一是我国针对个人的信息保护的立法空白。目前，我国并未出台保护个人信息的专门法律。我国的《国侵权责任法》和《民法通则》中的关于个人信息保护与侵权救济条款，奠定了个人信息保护的民事制度基础，但相关条款内容过于宽泛，缺乏针对性和具体执行力。我国的个人信息保护法立法建议从2003年被提上日程，缺一直未能进入正式的立法程序。我国个人商用信息保护的基本法空白，降低了个人信息保护的司法执行力。二是我国对个人商用信息保护范畴的界定过于狭窄。目前，我国关于个人商用信息的规定散见于多部法律法规中，侧重于保护个人信贷信息、通信信息等，对个人信息保护主体的界定主要局限于各行业内部，未能涵盖与行业信息有关联的其他主体。致使如医疗、房产中介、机动车销售、电信运营、网络服务等行业及其相关业务人员有许多机会掌握大量公民个人信息。因此这些行业也往往成为个人信息泄露的“重灾区”。三是信息保护监管机制不完善。现阶段，我国对个人商用信息监管不具备违规行为发生后的问责到底的机制，同时面临重大群体信息违规违法事件的处理机制不健全，监管主体责任不明确，行业监管乏力存在漏洞。如，日前支付宝恶意隐藏信息采集授权条款，导致客户在不知情的情况下“被同意”了《芝麻服务协议》的事件中，支付宝仅仅通过官方微博了道歉说明，但截至目前相关监管机构针对整个事件并未对支付宝进行处罚和开展后续事件调查。四是缺乏具体有效的救济方式。现行对个人金融信息保护的相关规定侧重于规范金融机构的行为，而缺乏对数据主体权利、救济方式和途径的规定。这一现状导致在个人金融保护的实践中，数据主体的权利容易被轻视，同时侵权者违规违法成本低，使得数据主体在遭受侵权行为时往往难以得到民事救济。

二、国外个人商用信息保护和监管的主要做法

（一）明确界定个人信息，增强市场保护和监管的针对性。美国侧重对政府权利的限制，出台的各项法规旨在保护公民的隐私权、财务信息、健康信息保密性和安全性，在美国《隐私法》中，采用“记录”代指“个人信息”，指一个机构所持有的与一个人相关的单项信息活信息集合。欧盟虽然比较注重保护社会公众个人商用信息的隐私权，但同时出台了一系列制度确保成员国不会因为对个人信息的过度保护而阻碍个人数据在成员国之间的正常交流。欧盟将社会公众的商用信息界定为和自然人相关的所有信息，因此欧盟对个人信息的保护内容相对广泛。日本对个人权利和利益的保护显著增强，日本将个人信息定义为与一个自然人相关的，包含姓名、驾照、身份证号、出生日期、军官证和其他所有可以识别出特定对象的任何信息。（二）借助行政手段，统一市场管理。美国通过借助政府统一管理，部门分散立法的模式，实现相关机构行为的自我约束、自我规范，从而保护个人信息的安全，并在个人信息保护和个人信息产业发展之间找到平衡。欧盟明确了个人信息保护的基本原则，欧洲议会出台统一管理框架，各成员国根据联盟统一要求，分别建立自己的个人信息保护法。日本通过行政干预统一了全国个人信息标识，加强个人商用信息的规范化管理手段。（三）进行专门立法，加强司法监督。美国早在上世纪80年代就出台了《美利坚合众国隐私法》，规定了在商业领域的个人信息保护办法，是美国保障公民信息安全的重要法律，该法案提出了公民隐私权为国家宪法必须保障的基本人权。在1997年，美国又出台了《美国互联网商务机构政策框架》，明确了私营企业在互联网领域保护个人信息的主要义务，并鼓励私营企业为此建立内部管理制度，同时提出建立独立的、公正的第三方机构的监督机制。欧盟在个人信息保护方面的工作成绩突出，这与其出台严格个人信息立法环境关系密切。总体上看,欧盟个人信息保护的法律从强调对国家权力的有效控制以及对私权领域的严格限制，执行了集公权领域与私权领域于一体的统一立法标准。欧盟于2016年5月24日通过了《一般数据保护条例》（GeneralDataProtectionRegulation，GDPR），并将于2018年5月25日实施。GDPR的通过意味着欧盟对个人信息保护及其监管达到了前所未有的新高度。此外，各欧盟国家也分别制定国内的相关法律，以加强个人信息在本国的保护和监管。如瑞典于1973年出台了《数据法》，明确了有关个人数据在采集、加工、保管以及公开等方面的具体措施。德国的《个人数据保护法》采用了统一立法的标准，对公民的个人信息采取了统一、规范的立法保护。法国的《自由信息法》，是一部专门约束公权力，保护个人信息的法律。英国的《英格兰个人信息保护法》分别从信息的采集路径、信息用途、保存期限、信息保管平台职责等方面做出了明确的规定，降低了个人信息受非法侵害的风险。而亚洲的韩国、日本、新加坡等国也制定了自己的个人数据保护法。其中日本《公民数据保护法》规定了国家机关、地方及政府以及社会团体在个人信息保护方面的具体职责，为个人信息保护中遇到的法律纠纷提供解决依据。韩国出台的《互联网商务基本法》确保了个人信息在互联网环境下安全传输。新加坡出台的《公民个人信息保护法》对个人信息保护相关问题做了体系化、规范化的梳理与规定，将个人信息保护纳入了正式法律治理范畴。（四）加强行业自律，辅助对个人信息的保护和监管。日本许多民间组织制定了涉及个人信息安全的规范文件，截至2010年年末，日本共有2000多个地方公共团体制定了相关个人信息保护条例。到2017年，日本各级政府均已制定了《个人信息保护办法》。日本民间团体无权立法，主要通过行政指导、行业自律或个别法律的某些具体管理条例实现自我约束、自我管理，如日本个人数据保护办公室制定的《社会团体自然人信息保护办法》等。（五）建立了健全的个人信息主体救济措施欧盟通过的《一般数据保护条例》明确了监督机关救济、司法救济、公益组织救济和损害补偿等具体救济和补救措施，如果数据主体认为与其有关的个人数据处理违反了本条例，有权向常住地、工作所在地、侵权发生地成员国的监督机关、对数据控制者或处理者、非营利性机构、组织或协会及向数据控制者、处理者提起诉讼或索偿。