[目的/意义]通过对大数据时代个人信息保护的既有研究成果进行梳理和分析,个人信息保护的基础理论与保护路径还有探讨的空间。[方法/过程]从理论困境入手,主要分析个人信息与数据、隐私的概念界分以及个人信息的法律属性辨析;从保护路径入手,主要分析个人信息保护立法、个人信息保护技术、行政监管、行业自律以及自我保护意识。[结果/结论]在理论层面,个人信息的概念,应从闭合的"可识别性"到开放的"伤害风险"把握;个人信息的法律属性,应从单一的私有化到复合的两面性理解。在保护路径层面,个人信息保护的立法趋势,应实现由"碎片化"到"体系化"、"宏观思维"到"微观思维"的转变;个人信息保护的技术着力点,应基于"资金、手段、规范"三位一体的具体展开;个人信息保护的行政监管,应变革"政府参与"模式;个人信息保护中行业自律理念,应实现由原则性的指导到具体性的实践;个人信息自我保护意识,应拓宽"事前保护"+"事后保护"的认知视野。