摘要

在大数据时代,个人信息保护面临新的威胁和挑战。当前的个人信息保护主要依赖“基于权利的方法”,假定信息主体具有完全理性,赋予信息主体一系列权利,并以“告知—同意”和侵权损害赔偿作为主要的保障机制。实践证明,基于权利的个人信息保护法律制度在大数据时代面临认知和结构困境,个人信息保护需要进行路径重构。“基于风险的方法”承认信息主体的有限理性,将关注点从个体权利的建构转移到信息安全风险的合理分配,已经广泛嵌入新近的个人信息保护法制中。为了在个人信息保护中实施“基于风险的方法”,在自我规制层面,信息处理者应当将“基于风险的方法”融入个人信息保护合规制度体系中,形成“基于风险的合规”;在行政规制层面,个人信息保护专责机关应当通过标准设定、信息收集和行为调节三个方面完善风险规制体系,形成“基于风险的规制”;在司法救济层面,法院可以通过建立风险性损害的识别和评估机制,革新侵权“损害”概念,形成“基于风险的损害”。