论人格权编撰视野下的个人信息保护

【摘要】个人信息安全问题已经成为国家、社会、公民密切关注的热点之一。对个人信息的法律保护涉及多各法律领域、多种法律手段，因此我国有必要借鉴域外成功经验并结果我国实际国情单独制定个人信息保护法并致力于构建完整的法律保护体系，使其接轨国际规则、适应时代需求又能有效解决现存问题。《中华人民共和国民法典（草案）》人格权编中有关于个人信息的相关规定，同时《个人信息保护法》的单独制定也加快了步伐。这意味着我国个人信息保护立法将实现质的飞跃。在此背景下，本文将以目前《民法典》人格权编的编撰为核心，结合域外个人信息保护立法模式，对我国个人信息保护立法思路进行分析和阐释，并提出实际不足和相关建议，致力于使我国个人信息的保护更加全面、有效。
【关键词】个人信息保护，民法典编撰，人格权编

　　一、个人信息的法律界定及其保护背景

　　（一）个人信息的法律界定

1.个人信息的定义
就我国目前的生效法，对于个人信息做出的相对明确的定义是《网络安全法》第76条第5款：“个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证号码、个人生物识别信息、住址、电话号码等。”2018年颁布的与之配套的《信息安全技术个人信息安全规范》对个人信息做出了更为详细的定义[1][2]，不仅对待识别的主体附加了“特定”的限定，还补充例举了个人信息的表现形式，如通讯记录、财产信息、征信信息、行踪轨迹、交易信息等。《民法典（草案）》第1034条第1款对“个人信息”首先进行总括性描述——“自然人的个人信息受法律保护”，接着第2款以例举方式进行了界定[3][4]。相较于《民法典》人格权编草案的二审稿，三审稿在前基础上增加了“电子邮件”和“行踪信息”两项例举，这是基于上述《网络安全法》作出的定义的修改完善，同时也符合目前国际上相关立法如欧盟GDPR的立势。
2.个人信息的法律特征
（1）主体的专属性：从权利主体的角度来说，依据自然规律出生的人即自然人是个人信息的主体，该自然人即个人信息主体不仅包括在我国的中国公民，还包括在我国领域内进行民事活动的外国人和无国籍人；企业、机构等法人不能作为个人信息的主体，其有对应的企业信息、机构信息。个人信息主体对自己的信息享有排他性，对此需要区分信息主体与信息管理者的概念，后者是基于其工作属性和工作需要才有权保管某些个人信息的，且需经过信息主体的同意后才可以进一步处理、使用他人信息，但并不对这些个人信息享有所有权，并不存在因个人信息产生的人格利益的转移。因此信息管理者在探究个人信息保护的过程中不应当作为信息主体出现，其专属性更是无从谈起的。
（2）可识别性和关联性：
个人信息的可识别性是“由信息到人”的过程，指特定信息可以单独或与其他信息结合直接或间接识别出特定自然人，这不仅是个人信息的功能也是判断个人信息的特征。根据直接识别和间接识别可以将个人信息分为两类，前者如指纹、身份证等，后者如姓名、血型等不具有专门性而需要和其他信息对比、结合才能特定出某个信息主体的个人信息。个人信息的关联性是“由人到信息”的过程，首先特定一个自然人，该自然人在从事各种行为时产生的信息，如行踪轨迹、通话记录、交易信息等即为个人信息。
（3）权利属性的复杂性：从《民法典（草案）》将个人信息与隐私权一起专章放置于人格权编中就可以明确个人信息安全首先一定是一种独立的人格权，保护个人信息就是保护信息主体的人格权益。随着科技进步、经济发展，对个人信息产生需求的主体不断增多、情况日趋复杂，使得个人信息逐渐演变成一种社会资源。经营过程中对个人信息的收集、占有、使用都会产生一定的经济利益，且正是因为经济利益驱动，越来越多的不法分子将他人个人信息作为盈利、谋生的工具，从事非法获取、违法贩卖个人信息的行为，这表明个人信息作为人格权的同时兼具一定的财产性，同时从《民法典》草案的修改中也可以看出被列入个人信息范畴的内容也在不断扩张。
3.个人信息的排除
根据上文对于个人信息的定义和法律特征，应将以下几种类型的信息排除出本文探究的受保护的个人信息的范畴：第一，依照法律法规、规章制度得以依法公开的个人信息，如公开的扶贫救济对象信息、国家奖励信息；第二，权衡之下个人利益为社会公共利益让步而公开的个人信息，如罪行恶劣的犯罪分子的个人信息、失信人格身份信息；第三，特定范围内公开不侵犯个人利益的信息，如亲朋好友之间的信息进行有条件的交换、共享。

　　（二）个人信息保护的背景

1.社会需求增长
当今社会存在类型繁多、数量巨大的个人信息权的侵害现象。首先，个人信息的不恰当获取，如商家为了追求经济利润的最大化过多获取个人信息，以及以不合法的获取信息目标用监听、监视、电脑病毒等高科技方式在当事人并不知情的情况下非法获取个人信息的行为。其次，个人信息的不恰当处理，如信息的合法控制者在未获得信息主体允许的情况下出于额外盈利等目的或因工作失误、技术纰漏将个人信息泄露给第三人的行为；某些组织基于非法目的改变信息主体的个人信息并恶意传递给他人的行为等。这些侵害个人信息权的行为对公民个人、社会甚至国家安全都造成了巨大的隐患，因此因社会需求的增长个人信息权的法律保护工作十分必要。
2.传统私法保护不足
从传统私法看，我国有多部[5][6][7][8]关于个人信息保护的法律法规，但这些分散的法律法规并没有形成严谨的法律框架、完整的法律体系。制定主体、法律地位的差异和着重涉及的领域不同导致个人信息保护相关法律法规呈现出分散化、碎片化的特征；且很多条文的司法操作性不强，难以有效执行而只能流于形式；还存在内容重复、交叉的现象和多头执法、多头管理的局面，导致司法资源的浪费。

　　二、中国个人信息保护制度的改革现状

　　（一）改革成效

1.明确个人信息属受保护的人格权
要用法律的武器严厉打击任何组织违法收集、存储、保管、使用个人信息的行为，若有违反者要对其进行严格的制裁。
2.规定个人信息保护的基本原则
《民法典》第1035条规定“收集、处理自然人个人信息的，应当遵循合法、正当、必要原则”，该基本原则对法制改革具有引导作用，直接决定了个人信息保护法律制度的基本性质、内容和价值取向，有利于构建一个科学、合理的个人信息保护法律体系。
3.规定相关主体的基本义务
除了规定个人信息主体和收集者的基本权利义务以外，还规定了国家机关及其工作人员要依法保存、保密履职过程中知悉的个人信息，不得私自告知他人。

　　（二）改革不足

1.个人信息保护没有单独成章
《民法典》草案将个人信息和隐私权规定在一起组成人格权编的第六章，且将隐私权置于个人信息之前。个人信息和隐私权存在很多共性，如主体均限定为自然人；权利客体都包括信息主体不愿对外公布的私人信息；对两项权利的侵害产生的后果会发生竞合：某些侵害隐私权的行为可能会导致对个人信息权益的侵害，反之亦然。但个人信息和隐私权还是有很多实质性差异的：第一，隐私权更多保护的是精神层面的人格权，对其侵害主要导致的是精神损失；而个人信息是兼具人格利益和财产利益的综合性权利，对其侵害造成的损害结果包括精神损失和财产损失。第二，隐私权是一种被动的防御性权利，只有在侵权行为发生后权利人才能行使排除妨害、赔偿损失等权利来维护个人隐私；而个人信息权不仅包括事后防御，而包括对本人个人信息排他性的利用、行使权利和事前预防。第三，救济方式层面，个人隐私的披露具有不可逆性，一旦被公开就不再属于“隐私”，且损害结果具有不可恢复性；但个人信息收到侵害的损害结果具有可救济性，例如信息主体、特定组织、国家公权力等都可以要求侵权人停止对个人信息的不当收集、存储和利用等行为，并要求侵权人消除违法行为带来的不利影响。个人信息和隐私权的密切联系和区别导致将两者放在《民法典》人格权编中合并规定在一张容易混淆两者的性质和法律保护方法，进而导致在司法实践中抹杀两者的不同而给与两者同等程度的保护。
2.尚缺完善的保护救济制度和相应的惩罚制度
《民法典》人格权编草案的重点在于确权，原则性条款较多，明确个人信息属于受法律保护的人格权益，却没有直接规定相关的责任条件，而将其都规定在侵权责任编中；明确对个人信息进行保密的基本义务，却没有设置违反该义务带来的具体法律后果。这使得司法实务中关于保护个人信息的法律条文的操作性较低，进而导致个人信息保护的审判较混乱，无法使信息主体得到实际损失的赔偿，更不用说精神损害赔偿。另外，现有的救济手段具有滞后性，只注重侵权行为发生、实际损害发生后的事后救济，而不从源头入手，保护个人信息的保存和处理，降低侵权个人信息安全违法行为的发生概率。
3.尚未构建满足国情需求的个人信息保护机制
相对于实际存在的较为严重的个人信息侵权现象，目前我国现存的个人信息保护机制并不能有效保护个人信息安全。不足之处体现在没有对执行制度和执行负责机构进行统一规定，导致不能明确划分、充分落实个人信息保护的职责，个人信息收集、处理和共享过程中缺少技术手段和监督人员，没有相应的法律条文的颁行使得个人信息保护立法不全面、不完善。对比域外，如X、欧洲等国家都建立了满足国情需求的独特的个人信息保护模式。并有具体的法律条文予以支撑。在新形势下，我国也同样需要构建符合实际国情的个人信息保护机制，为个人信息的保护提供依据和保障。
4.个人信息保护范围相对狭窄
在信息技术产生并逐渐成熟之前，个人信息的收集者和保管者多为XX、企业等组织，获取个人信息的渠道、方法、手段都非常单一。但随着人工智能、“互联网+”等信息科学技术的发展，个人信息的存储更加便捷高效，同时衍生除了许多新型个人信息，如网上交易记录、实时定位、网页浏览痕迹记录等，所以个人信息的保护范围也在逐渐扩大。然而《民法典》中例举的具体个人信息虽有所增加仍然不能满足互联网时代大量新型个人信息被收集和保存的动态。

　　三、域外个人信息保护制度的亮点分析

个人信息在国内外的称谓各不相同，例如X等采取分散式立法的国家的立法文本中将其定义为“个人身份信息”（personallyidentifiableinformation）；欧盟等采取统一立法的国家和地区的立法文本中多数称之为“个人数据”（personallydata）。但究其实质，个人信息就是与其他信息结合用于识别个人，且与每个个体的人身、财产安全息息相关的信息。该实质也决定了不同的国家制度、立法体系都愈加关注对个人信息的保护。本文选择将X、英国这两个国家作为域外制度研究对象的主要原因是：近几年国内取得研究成果，不管是理论界还是实务界，大多以立法为切入点研究对我国国内个人信息的立法保护以及探究实际的个人信息保护情况，但很少会从政策法规、机构设置和个人信息保护的违规通知等制度建设层面对域外个人信息保护进行研究。且从X、英国的实践成果来看，这两个国家能够做好个人信息保护工作的一个重要原因就是有较完善的政策法规制度作为支撑。因此，下文将从政策法规建设角度出发，分析域外个人信息保护制度的亮点，为我国推进个人信息成体系化的立法保护提供借鉴价值。

　　（一）完善的政策法规概况

1.X
X最早颁行的有关个人信息保护的政策法规是1934年的《通信法》，而最主要的法律还是1974年国会颁行的《隐私法》，其中一个条款明确规定“隐私权是一项受X宪法保护的个人基本权利”，该法主要对信息收集、处理、利用的过程进行了统一的规。除此以外，X联邦还颁布了一系列专门法，如保护个体特定的《驾驶员隐私保护法》（1994）、《儿童在线隐私保护法》（1998），保护内容特定的《视频隐私保护法》（1988）、《健康信息携带和责任法》（1996）、有关家庭教育的《家庭教育权利和隐私法》（1974）和有关银行、保险公司、信用等金融服务行业的《金融服务现代化法》（1999）等政策法规。所有法律构成了一个较为完整的个人信息保护法律体系。
2.英国
英国数据保护法经历过一次改革，1998年颁布并在两年后生效，持续指导、规范数据保护行为近二十年载的重要法律《数据保护法》于2008年被《数据保护法（2018）》所取代，虽然两部法律的名称相同，但内容却存在很大差异，这是因为互联网、媒体等技术的发展产生了大量新数据，且数据收集、存储、处理的成本逐渐降低，使得数据成为了重要的原材料，随之带来的还有商业、消费服务等活动对数据造成的新成本、高风险的安全威胁，所以个人数据的保护法律也应当与时俱进。此外，还有涉及管理直接营销领域的隐私的《隐私和电子通信条例》（2003）、各种执法部门和情报部门可以监管电信运营商的《调查权力法》（IPA）（2016）、《数据保护（收费和信息）条例》（2018）。

　　（二）保护个人信息的机构设置

1.X
X没有设置国家级个人信息保护机构进行统一的管辖，而是设置了分散在不同领域的保护机构。X联邦贸易委员会虽然不是国家级专门性的个人信息保护监管机构，但其管辖权限较大，其不仅有权在一些特定领域如电话营销、商业邮件和儿童隐私信息颁布和实施隐私法规，而且有权采取执法行动规范欺骗性贸易行为使消费者的权益不受侵害，另外X许多州检察长也对侵犯消费者隐私权或未能采取安全措施保护消费者隐私的行为具有执法权。X还有针对行业划分的各种监管机构，如医疗保健、金融服务、电信和保险行业的监管机构有权在其管辖范围内直接颁布和实施相关隐私安全法规。其他没有执法权的机构也会通过制定部门法律来规范个人信息的保护，包括X联邦通信委员会、证券交易委员会、卫生与公众服务部、货币监理署、商务部、消费者金融保护局。
2.英国
英国《1998年数据保护法》第6条第1款规定：就达到本法和《信息自由法2000》的目的而言，应当设立“信息专员”；第6条第2款规定：“信息专员”是由女王亲自任命。英国信息专员负责享有监督要求公平、准确和非歧视性地使用个人资料的立法和审计的权限以及命令纠正错误行为并实施罚款的权限。由信息专员组成的信息专员办公室（ICO）是一个由英国司法部主办，直接向英国议会提出建议的非XX部门公共机构，是一个独立的监管办公室，作为英国国家级数据保护机构，其主要职责是确保隐私数据得到妥善保护和处理，使个人隐私得到有效保护；通过对XX部门的监督，使各部门持有的个人数据和个人数据权益保护的法律规范透明化，便于公民实时确认。ICO根据2018年5月在欧盟正式实施的《通用数据保护条例（GDPR）》，实施了隐私保护和认证计划，提升了个人数据适用的标准。2019年8月5日，ICO还发布了“关于Libra网络全球隐私情况”的联合声明，该声明面向Facebook等Libra和Calibra项目背后的28各公司，要求他们解释根据《数据保护法》收集和处理用户的个人信息的计划。

　　（三）个人信息保护的违规通知制度

1.X
X华盛顿特区、所有州和大多数X领土都颁布了强制要求违法通知的的法律，即必须在涉及更敏感的个人信息[9][10][11]的违规行为发生后及时通知当地居民。另外，根据X一些州法律，如果某项违规事件的影响规模扩大到500人及以上，还必须通知信用局2；一些州法律要求专门向州检察长等其他官员通知数据泄露事件，甚至还有部分细化规定了进行通知的内容和时间要求。在联邦层面，也有法律规定在发生类似医疗保健信息、财务信息、电信信息、XX机构信息泄露等违规行为时必须发出通知。例如著名的“X国税局的数据泄露事件”，该事件中，有一位匿名黑客利用一个可以帮助公民轻松获取到之前的纳税记录的名为“GetTranscript”的应用，非法访问了众多纳税人的纳税申报数据。X国税局在事发后立即正式对外公布了此次数据泄露事件，说明事件概况，且后续的多次报道中受害纳税人的人数也根据具体的调查情况进行了实时更新，由首次公布的10万人变为三个月后报道的32万人到六个月后最终明确公布此次入侵事件的总受害人数为72.4万人。从此次事件中反映出来的是X违规通知制度的实际实施达到了一定的预期效果，公民也可以从披露的数据泄露事件中感受到个人信息保护的重要性和必要性，从而震慑违规行为，激励各主体加强个人信息保护。
2.英国
根据英国信息专员办公室的相关规定，凡是涉及大量个人数据的违规行为，或是虽然涉及的个人数据量较小但个人遭受重大伤害的风险概率却很高的行为，都应当及时向信息专员办公室报告。数据泄露违规行为的报告内容除了行为概况还包括受影响的具体人数、个人数据的类型、对数据主体造成的潜在隐患、数据控制者已经采取的和计划采取的补救措施和类似防范措施等。一般情况下，数据控制者应当在违规行为发生的72小时内报告；若超时，还应当附带说明延迟的正当原因。报告方式包括通过信息专员办公室的专用违规热线和以书面形式或电子邮件形式发送。信息专员办公室还可以根据违规行为的性质要求数据控制者将泄漏情况另行通知给数据主体。

　　四、对人格权编草案中个人信息保护制度的完善建议

　　（一）完善个人信息保护法律体系

《宪法》作为具有最高法律效力的我国根本大法，将个人信息权规定为一种人格权，对个人信息的宪法保护为其他法律保护提供了前提和依据，但其中并不具有专门的隐私权保护相关规定，就专门性的法律而言，我国也还没有完整的《个人信息保护法》，而是分散于各个法律中对个人信息进行直接或间接的保护。相较于民法关于个人信息保护作出的一般规定，专门法将更具针对性和可操作性。专门法的有效性也决定了制定一部统一的个人信息保护法并不简单，例如英国经历了数十年的探索、研究才最终制定出了《数据保护法》。作为立法参考，早在2015年7月的国家社科基金重大项目“互联网安全主要立法研究”论证会上，以首席专家张新宝教授为代表的多位评议专家们就提出了以“两头强化、三方平衡[12][13]”为基础理论的《个人信息保护法（专家建议稿）》，该专家稿对个人信息保护的基本规定、基本原则和基本制度，信息业者和XX部门的个人信息处理规则，监督管理、争议解决、法律责任等事项作出了统一规定。同时我们还可以专门制定涉及特定领域的规章制度，在金融、通讯、电子商务、教育、医疗等重点领域的行政法规、部门规章等。
综上，在《民法典》人格权编中与个人信息相关的内容编撰以及单独的个人信息保护法立法的过程中，应当以X英国的立法实践为指导，建立一个以宪法为统领，以民法为基础，以专门法《个人信息保护法》为核心，以刑法为最后保障的分层次、全方位的公民个人信息保护法律体系。

　　（二）构建多元归责原则，明确损害赔偿范围

实践表明，收集、分析和适用信息的主体是多元的，如公共权力机关、信息从业人员和普通民事主体，不同主体的能力、违法成本也是不同的，适用单独的归责原则在具体处理侵害个人信息案件时是有缺陷的。首先，公权力机关出于公共管理的需要强制采集了大量个人信息，是最大的收集者和使用者，该公权力也决定了它需要承担最重的保护个人信息安全的责任，所以对其应当适用无过错责任原则；其次，邮政通信业、电信业、互联网业等信息行业因行业性质在信息技术、人力财力等方面有显著的优势，且因信息收集主体多，大多数个人信息收集行为是公民不知情的情况下发生的，信息主体在通过诉讼维权的过程中将面临被告不明确、诉讼请求不具体且没有事实依据的困境，侵权行为和因果关系也将举证不能，这会使得受害人的胜诉概率极低，为了平衡利益，应当适用过错推定责任原则，即将举证责任倒置给信息行业的从业者，从而减轻受害人的举证责任；最后，普通公民之间的侵害个人信息侵权纠纷则只需适用一般过错责任原则处理即可。总之，之后的立法有必要区分不同主体构建多元的归责原则。为了更好解决赔偿责任问题，除了构建多元归责原则，还应当进一步明确侵害个人信息的损害赔偿范围。我国《侵权责任法》的相关规定是，侵害个人信息的，应当赔偿权利人的财产损失和精神损失，但精神损失财产性赔偿的成立要件之一是权利人的人格权收到侵害且造成了严重的精神损害，这使得实践中权利人因收到的损害后果较轻而往往无法获得财产性的精神损害赔偿，而只是停止侵害、赔礼道歉等非财产性赔偿。本文认为，财产权和财产损失、人身权和精神损害并不是一一对应的关系，应当赋予权利人自由选择侵权主体承担责任的形式，凡是个人信息受到损害的信息主体都有权向侵权人主张损害赔偿，赔偿的具体数额由损害的严重程度、带来的损害结果大小来决定。如X规定了新大数据时代针对信息违法利用的法定赔偿制度。另外，为了加大非法采集、利用个人信息的违法成本，还可以在损害赔偿责任承担形式的基础上增加惩罚性，加大力度打击侵害个人信息安全的不法行为，提高被侵权人诉讼的积极性，从而达到对其他人产生威慑和遏制此类违法行为的效果。关于惩罚性赔偿数额标准的确定，为了防止出现滥诉的反作用，可以尝试以补偿性赔偿金为基数，再结合具体情况根据个案的侵权类型和损害结果规定具体惩罚性赔偿数额。

　　（三）探索个人信息民事公益诉讼制度

公民个人信息被侵犯后，个人维权、单独起诉的可能性很小，因为若该单个权利人的个人信息被泄露且非法利用后没有造成其他人身或财产损失，抛开举证不能、诉讼程序繁琐且持续时间长等固有不利因素，即使最终胜诉，其获得的赔偿也远远比不上诉讼全程消耗的时间、精力、金钱等成本。不仅如此，因大数据技术的发展，几年来个人信息侵害呈现出规模大、受害人群大、社会影响大等特征，所以应当尝试引进救济个人信息侵害行为的民事公益诉讼制度。民事公益诉讼可以合理利用社会资源，借助专家团队的力量调查取证，保护已经被违法行为侵害的个人信息权，更好维护不特定权利人的合法权益和社会公共利益，维护社会良好秩序，具有补救性；另外，民事公益诉讼不仅可以对正在进行的侵害行为提起诉讼，而且可以对将来可能发生的侵害行为提起诉讼，具有预防性；同时，一个民事公益诉讼案件引起的较大社会影响还可以起到普法教育意义，有利于树立公民的法治意识，培养大家利用法律保护自己合法权益的能力；有利于提高公民的公平意识，在积极的自我维权时也不忘尊重他人的合法权益，不在利益驱动下去触犯法律的底线，具有公益性。

　　（四）构建个人信息权保护机制

我国目前对个人信息安全问题的管控职能分散在各个部门中，这些部门由其上级部门或所属机构的性质决定分管特定行业相关的个人信息安全问题，这样的监管模式存在监管内容既交叉重复又遗漏空白等弊端，因此有必要建立一个国家级个人信息保护机构，其主要职责是及时调查、处置个人信息泄露时间的不良问题和隐患，开展专项整改活动，加大对涉及个人隐私等重要数据的保护力度；加强重点领域公共服务平台在收集、公开、管控、利用等各个环节的规范化操作，审核相关机构尤其是电信、互联网商家等对个人信息的使用相对集中的行业保有的个人信息；监督个人信息保护相关法律的宣传以及普及程度。其次，中国目前并没有专门的法律要求公民需要向数据保护机构登记个人信息，而只是某些特定领域有所涉及，如征信机构对经营个人信息的查询和登记。所以有必要构建一个统一的个人信息登记制度，用于记录不同类别个人信息的具体存储位置，并明文规定获取特定信息的主体、方式以及使用的权限、限制等。最后，进一步完善隐私侵犯通知制度，我国目前现有的相关规定如《消费者权益保护法》中的隐私侵犯通知制度只对此进行了原则性规定，但没有真正赋予消费者在具体信息泄露事件发生时知晓事件内容、经营者对此采取的具体补救措施的知情权。因此，隐私侵犯通知制度应当进一步明确侵权行为发生时责任人即数据使用人、保管人应当通知的内容，如受影响的数据主体的类型、数量、内容和违规的影响、已经采取或将要采取的措施、权利人可以自行采取的救济手段等。

　　参考文献

[1]石昕弘.探讨个人信息保护新路径——以《民法总则》第111条[J].法制与社会,2019-10-25
[2]陈彦伊.针对我国个人信息保护的法律实践与检视[J].法制博览,2019-11-25
[3]何波.个人信息保护立法目的、路径与模式[C].中国电信网,2018.
[4]汤庆佳.我国个人信息保护立法的完善[J].梧州学院学报，2019-02-15
[5]杨翱宇.我国个人信息保护的立法实践与路径走向[J].重庆邮电大学学报(社会科学版),2017-11-15
[6]丁国民.我国在个人信息保护模式上的价值选择——以美、德比较法为视角[J].北京邮电大学学报(社会科学版),2019-06-15
[7]陈世朋.个人信息保护立法理念与模式研究[D].硕士学位论文，兰州大学,2019.
[8]陈雅静.大数据时代个人信息法律保护路径研究[D].硕士学位论文，上海师范大学,2019.
[9]徐世杰.韩国大数据应用与个人信息保护法律问题及其启示[C].XXX大数据法治峰会——大数据、新增长点、新动能、新秩序论文集,2017-11-26