聂婴智，陶梦秋

(东北农业大学 公共管理与法学院，黑龙江 哈尔滨 150036)

随着移动电子设备的普及，以手机、电脑为载体的智能应用程序(以下简称为应用程序)得到了井喷式的发展，但也面临着应用程序市场鱼龙混杂的局面。越来越多的应用程序开发者为了赶在科技红利还未消退之时实现资本的快速积累，不惜将用户的个人信息置于危险之中，更有甚者直接违背相关法律将用户个人信息进行买卖或者变相买卖，使得用户的合法权益得不到保障。

2021年8月20日，第十三届全国人大常委会第三十次会议表决通过了《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)，自2021年11月1日起施行，该法中明确定义了个人信息：个人信息是以电子或者其他方式记录的，与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。由该定义可见，个人信息是直接关乎信息主体自身权益的信息，一旦泄露或者被用于非法用途，对于信息主体自身乃至整个社会的安全都是一种巨大的威胁。与此同时，互联网是个新兴行业，如何正确解决其产生的负面影响，对于社会、对于政府来说，也是一种前所未有的挑战，故保护个人信息势在必行。

一、个人信息的权益属性

我国《个人信息保护法》将个人信息明确为一种权益而非权利，并规定了对个人信息权益的保护，即个人信息权益主体享有受法律保护的权利和利益，任何组织和个人不得违反法律侵害信息主体的合法权益。我国《民法典》明确对于个人信息中的私密信息适用有关隐私权的规定，即任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害信息主体的私密信息，否则承担相应法律责任。除此之外，信息主体享有非私密信息产生的利益，该利益同样受法律保护。

在信息处理活动中主要包含三个主体：提供个人信息的主体即信息主体；对个人信息进行收集和处理的主体即信息处理者；对信息处理行为的监督管理主体即相关政府部门。《个人信息保护法》第十条规定：任何组织、个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。从该条款可以看出，个人信息权益是一种“对世权益”，即除权利人以外的其他任何主体都有不侵害信息主体权益的义务，并对违法侵害行为承当相应的法律责任。《个人信息保护法》第十一条规定：国家建立健全个人信息保护制度，预防和惩治侵害个人信息权益的行为。故相关政府部门肩负义务和责任主动降低信息处理者对信息主体的侵害风险，以确保我国《个人信息保护法》得以有效落实，信息主体权益得到保障。个人信息权益的保护，不仅需要除权益主体以外的其他主体履行不侵害他人个人信息权益的义务，也需要相关政府部门依法主动对个人信息权益进行保护，所以个人信息权益，既受私法保护也受公法保护。

二、目前个人信息保护面临的困境

信息主体享有个人信息权益并不意味着对个人信息的绝对私有化。个人信息源于具体的信息主体，信息主体对个人信息本应具有绝对的权利，但是从本质而言，个人信息是人与人在日常交往过程中的必要工具，仍属于信息范畴，其价值依靠人与人之间的交流而存在。社会主体依靠信息传递从事社会活动，信息主体在社会生活中不能避免向他人披露自己的个人信息，也不能阻止他人获取和使用其公共领域的个人信息，而且信息主体希望并且需要通过个人信息的交换来获得某种利益，故信息主体是无法绝对控制其个人信息的。[1]

随着科技的发展，个人信息逐渐成为一种炙手可热的资源。对个人信息的收集和处理，也逐步成为推动科学技术发展的动力之一，若信息主体对其个人信息享有绝对权利并对其个人信息进行封锁就不利于信息在社会中流动，从而导致信息处理者对个人信息的收集和处理举步维艰。故只因为社会公共领域中流动的个人信息可能描绘出具体的个人而赋予信息主体以绝对排他性权利，显然违背了法律服务于人的宗旨，也不利于文明社会的发展。

在大数据背景下，一方面为社会的发展要摒弃个人信息的“绝对私有化”，一方面又难以解决信息主体对抗信息处理者力量孱弱的问题，出现利益指向信息处理者而侵害指向信息主体的局面。这种局面导致在信息处理过程中发生权益侵害时，被侵害的信息主体无私力救济途径，公权力又难以介入，使得信息主体权益得不到保障。[2]以下列举信息主体在个人信息权益保护中所面临的困境：

(一)信息主体被告知的效果不佳

任何信息主体对于其个人信息的加工和流向都有知情权，知情是信息主体授权的前提条件和必要条件。个人信息处理者对于信息主体有告知义务，且该义务必须在处理个人信息之前进行。

目前，应用程序通常采用提前向用户索取权限，或者直接让用户勾选同意隐私政策、用户协议的方法来取得相关权限。但是隐私政策、用户协议的专业化程度高，理解难度大，且字数大多超万字，这不但要求用户花费时间成本去阅读相关政策和协议，还要求用户必须具有一定专业知识储备以了解相关政策和协议的内容，很大程度上促成用户放弃了阅读、理解相关政策和协议而盲目将其个人信息授权给信息处理者。更有甚者直接“帮助”用户勾选相关协议，同时利用一些醒目的同意授权按键吸引用户点击，最后导致用户在不完全知情的情况下将个人信息授权给个人信息处理者进行处理。

隐私政策、用户协议的初衷就是为了保护信息主体的知情权，并且它也是信息主体了解个人信息用途和去向的主要途径。但就目前的实际操作上来看，由于隐私政策、用户协议的冗长、晦涩以及信息处理者利用电子技术诱导用户同意授权的行为，并没有完全实现隐私政策和用户协议该有的目的，反而成为信息处理者脱责的避风港。

(二)信息主体的个人信息被过度收集

《个人信息保护法》第六条明确规定：处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。该法条中，两个“最小”是实现个人信息保护的关键。“实现处理目的的最小范围”要求信息处理者不得从事超出用户同意范围，或者与服务场景无关的个人信息处理活动，“采取对个人信息权益影响最小的方式”，要求信息处理者在个人信息处理活动中应当将信息主体的权益纳入考虑范畴，不得只考虑自身利益而不顾信息主体权益。这两个“最小”之间不是割裂的，而是具有紧密联系的，因为信息处理者收集信息的范围决定了信息主体的个人信息是否全部用于处理目的，一旦信息处理者超过处理目的收集个人信息，就意味着超出用于处理目的范围的个人信息可能处于被随意处理的危险之中，故只有以信息处理者在信息处理活动中严格履行最小范围收集个人信息的义务为前提，才能实现信息处理者在信息收集过程中采用的方式是对信息主体权益影响最小的。

许多应用程序在用户使用之前就向用户索取了一揽子权限，看似是为用户后续使用提供更多便利，以避免频繁向用户索取权限的麻烦，但实际操作中常常存在着过度向用户索取个人信息的情况，这明显违反了最小必要原则的限制。例如，很多应用程序在没有合理业务场景时，超过必要限度对短信、存储、录音等内容进行分类收集；对于用户位置进行精准定位；对应用列表、通讯录频繁获取等。[3]信息主体和信息处理者之间存在着能力和信息的巨大不对称性，往往信息主体将个人信息授权给信息处理者之后就丧失了对个人信息的控制能力，且信息主体对于被侵害的权益目前暂无有力的救济途径，故必须将信息处理者对个人信息的收集限制在可以实现目的的最小范围内，以保障信息主体的个人信息权益不受侵害。

理论上讲，任何单位收集个人信息都应当以自身需求为限，本着保护个人隐私和最小干预的原则进行收集。[4]然而，目前的相关法律法规并没有对收集个人信息的标准进行清楚的刚性界定，这就必然导致收集何人信息、何种信息都是由信息处理者决定的。在通常情况下，信息处理者都是根据其市场份额、盈利状况来划定的，这就导致信息处理者权力过大使其很难做到从用户的角度出发进行自我约束。

(三)个人信息权益的公权力保护不足

从《个人信息保护法》面世以来，我们不难看出，国家对于人格权的重视态度，这也进一步增强了信息主体保护个人信息的意愿。但由于该法的面世时间过短，对于个人信息权益的保护仍然面临诸多挑战，其中较为明显且不易解决的问题，就是海量应用程序和相关政府部门审查能力有限之间的冲突。为了迎合用户的需求，应用程序开发企业都争相将各种应用程序投放入应用市场，应用程序的质量难以保障。并且相关政府部门对于应用程序的审核能力是有限的，不能做到及时发现、及时查处，从而无法自上而下完全净化应用程序市场，从而形成管理难，维权难的局面。另外，相关政府部门对信息处理者授予收集许可时，通常采用“一刀切”式的授予模式，并没有对不同的使用场景和目的进行区分，使得合理使用个人信息的界限模糊。实现不同处理目的所需要的个人信息范围不同，如果仅使用一种许可标准，既不能满足经济社会活动的需求，也不能保证信息处理者收集个人信息的有效性和安全性。

三、个人信息保护不利带来的问题

(一)个人信息的不当收集和处理侵害个人自决权

1.强制收集个人信息损害同意自决权

在目前的同意授权过程中，用户往往处于被迫做出同意的意思表示和放弃使用相关服务而左右为难的境地。尽管用户作为个人信息拥有者的主体地位，其相对于个人信息处理者的能力也是有限的。接受“一揽子”协议就意味着将个人信息一次性授权给信息处理者处理，以享受应用程序提供的服务。反之，若不同意隐私政策或者用户协议，就意味着无法享受相关服务。在实际操作中，大部分用户为尽快享受相关服务会主动忽略隐私政策或者用户协议中冗长、晦涩的内容。用户在这种“强迫”之下做出的意思表示是不完全真实的、是有瑕疵的。

《个人信息保护法》第十四条明确规定：基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出。在告知同意规则中，自决是核心一环，应当由用户自主决定是否将自己的个人信息授权给他人处理，而不能将信息主体置于完全被动处境。信息处理者在信息主体不完全知情的情况下对其个人信息进行收集和处理的做法，无视了信息主体的个人信息权益，也是对信息主体自决权的侵害。

2.“个性化推荐”损害内容选择自决权

“个性化推荐”一方面便于用户更快地找到自己想了解的信息，但另一方面，随着众多应用程序相继推出“可能喜欢”的功能，信息的区别推送使得用户可能看到的内容种类越来越少，逐步形成了“信息茧房”，用户被迫局限于算法推送的内容。也正是因为各种应用程序制造的“信息茧房”，让用户无法选择其接触的内容，无形中产生信息误差。“信息茧房”使得每个人看到的内容都不同，但是很多内容都是被“刻意精修”过的，这样就导致用户容易通过碎片化的内容去推断事情或者事物全貌，长此以往，即使真相“失真”又磨灭了广大用户探索真相的耐心。所以，相比于“个性化推荐”带来的益处，其导致的弊端也是显而易见的。从长远来看，此种负面效应还有可能不断累积并导致连锁反应,对个人生活及其人格的自我发展产生持久的影响。[7]

自决权被侵害的现象在我国普遍存在，我国大部分人对于这种侵害通常是麻木的。主要是因为个人信息权益被侵害的事实往往不足以引起用户的关注，即使引起了关注，多数用户也认为没有必要耗时耗力去追究信息处理者的责任。一些应用程序开发企业正是利用这一点才更加“肆无忌惮”。

(二)精准信息推演导致社会隐形歧视愈演愈烈

《民法典》第一千零三十四条规定：“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息。”个人信息本身就带有人身指代性，就大数据及云计算的发展程度来看，现如今的计算推演能力完全可以通过对个人信息的推断得知某个人或者某个群体的喜好、习惯、生活方式等。可想而知，应用程序开发者为实现其盈利的目的，通过对个人信息的处理，不断向不同的个人用户或者群体推送不同的内容，从而实现精准对标，提高用户的关注度或者使用率。

随之而来的问题也越发明显，正是因为社会中存在众多差异，这些差异或多或少的会产生各种歧视。例如，同一款打车软件，相同路程情况下，苹果用户的打车费用普遍高于安卓用户的打车费用。这样的做法一来侵害了苹果用户的平等交易权；二来，这样的做法使得用户明显感受到了价格歧视；[8]再如，一些社交应用程序以外貌和身材较好的女性用户为宣传点吸引男性用户下载使用，甚至将受到男性用户送花数量多的女性用户进行排名，这完全是对女性用户的不尊重和歧视。通常来说，就个体而言的内在偏见和就社会而言的分配不均都会诱导歧视的产生，这种歧视伴随着否定个人价值、社会价值，其潜移默化的泯灭着整个社会关于公平、平等的认知以及对公平、平等的维护。[9]在现如今的大数据时代下，我们很难察觉自己的权益正在遭受侵害，即使已经发现，也因很难证明侵害的存在而不能维护自己的合法权益。这完全违背了科技发展是为人所用，为人便利的初衷，反而演变成了一种侵害用户权益的工具。我们应该让其回归到法律治理的轨道之上，防止其恣意而为。

(三)泄露个人信息危害信息主体人身财产安全

个人信息是人与人交往的媒介，单从此方面来看，个人信息不具有直接的人身财产危害性，但是个人信息又具有特定的人身指向性，故一旦其被用于违法犯罪活动，就会成为危害人身财产安全的利刃。[10]在应用程序的开发和投入使用中会面临着两种危害用户个人信息的情况：一是应用程序开发企业主动泄露用户信息，靠变卖用户信息盈利。通常情况下，这种企业严重缺乏自律性，为自身盈利不惜将用户的个人信息置于危险之中，其应是法律应该严厉打击的对象。二是因应用程序开发企业保护不当，导致用户个人信息被泄露。应用程序在使用过程中收集的个人信息往往由信息处理者保存和处理，但是由于我国人口众多，且智能电子设备得到大规模普及，就目前我国国内互联网企业对于信息保存和处理技术的发展程度而言，是否每个应用程序开发企业都足以应对泄露的风险还有待观察。在此过程中，一旦出现信息保存保护系统自我崩溃或者被恶意击穿，都将面临大量用户个人信息被泄露的巨大风险。

使学生受另一个角度看问题的视角的影响，并使学生加深对本族文化和他族文化的理解。Coyle（2007）指出“文化是CLILL的核心内容”，学生需要对居住在其他地区或国家的人有所了解。因此教师有必要通过CLIL课程，培养学生跨文化交际的能力，使之对其他文化持积极包容的态度。

近些年来，不法分子购买个人信息用于诈骗的案例屡见不鲜。如不法分子通过获取用户的快递信息冒充卖家，以商品有质量问题为借口请求买家退货并要求买家下载一系列的不正规的软件实施诈骗。除此之外，不法分子通过个人信息了解受害者的基本情况，冒充“学校教务处”“教育局”工作人员，以获取国家教育补贴为由，诱骗学生家长持银行卡到ATM机或者直接在网上银行转账给不法分子的案件也时常发生。这表明一旦不法分子掌握足够具体的个人信息，就可能促成不法分子实施精准诈骗或者其他不法行为。[11]

四、个人信息保护困境的出路

我国《个人信息保护法》从个人信息保护、个人信息处理中各方主体之间的权利义务关系、违法处理个人信息后应承担的法律责任三个方面确立了较为健全的个人信息保护的规制体系。[7]该体系以个人信息权益为中心，明确了在个人信息处理活动中权益的保护以及权益被侵害后的救济可能。信息主体、个人信息处理者以及国家政府是个人信息处理环节中的三个主体。三者之间，信息主体相对处于弱势地位，其权益易被侵害且获得救济较为困难，故在权益配置方面，应主要以信息主体的人格尊严以及人身财产安全为核心，从而保证在合理条件下最大限度地保障弱势一方利益。

(一)相应政府部门规范个人信息的收集和处理

1.综合判断授予许可

对于个人信息的保护不应该是固定化的、僵化的，而应该是受多重因素影响而变化的，故对于个人信息的保护应该因需求的不同而不同。《个人信息保护法》第二十八条第一款规定：敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。第二十九条规定:“处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。”对于敏感个人信息的处理是应该更谨慎于一般个人信息的。并且在普遍的商业活动中，对个人信息的收集也是有不同需求的。比如，购物应用仅需要知道用户大概所处位置，精确到省或市即可。这种情况下，用户的位置信息可以归为一般个人信息，它不会直接侵害用户权益。而类似于导航等需要知道用户具体位置的应用程序，就应该对其权限授予有更高的要求。所以，相关政府部门在对开发企业授予许可时，应该摒弃“一刀切”式的做法，而应当结合个人信息的用途、个人信息的敏感程度、开发企业收集和保存个人信息的能力、提供技术支持的相关公司等进行综合判断。

2.完善检查体系

就目前的发展情况而言，在企业自律性提升方面还有很大的空间。但是在实际操作中，常常出现资格审查时完全符合规定，但在应用程序后续推广使用时出现违规现象。信息收集的合法合理并不能保证信息使用环节不出现疏漏，两者一个是前期信息收集的权限问题，另一个是中期过程中信息管理的规范问题。[12]维护个人信息安全，不仅需要信息处理者及时发现并解决自身存在的问题，还需要借助外力监督以提高信息处理者的自律性。建立常态化的检查体系提高企业自律性的有效手段。除此之外，常态化检查体系还可以帮助相关部门筛选出经常出现违规收集个人信息情况的不良企业，对于这样的企业，相关部门在日后审查过程中可以适当加大审查检查力度，使这些企业在一定程度上因畏惧成为“失信企业”而做到主动发现自身问题并及时改正。

3.区分紧急情况下个人信息的政府收集

政府部门不仅作为监督者和管理者，其更是个人信息最大的收集者和处理者，其肩负维护人民利益的使命。通常情况下，政府部门收集个人信息用于公益用途，主要从事维护社会良好治安环境、明确我国人口发展情况、应对疫情下的国民安全危机等。但是，由于政府部门身份的特殊性，信息主体对政府部门的高度信任，政府在收集个人信息过程中往往无视信息主体是否有同意授权处理的意思表示，甚至随时收集和处理。而在实际操作中，许多个人信息的收集行为往往不具备紧迫性，不需要立刻收集以维护公共利益，这完全与保护公民利益相悖。故应该根据紧急程度的高低，对政府收集个人信息的难度有不同的要求，即紧急情况下获得公民个人信息较容易于非紧急情况下公民个人信息的收集。

在公共利益的“考验”之下，个人利益应当适当让步于公共利益。目前，新冠疫情肆虐的大背景之下，政府部门有为疫情防控、疫情防治而强制收集个人信息的权力，公民也有义务积极配合。在面对类似疫情等具有紧迫性的情况时，出于对全体人民安全的保护，强制收集公民个人信息是公共利益大于个人利益的体现。例如，出于疫情防控的需要，我国政府通过通信大数据行程卡(微信小程序)来追踪患者动态，以实现密切接触者的精准范围，实现有效隔离。

个人利益让步于公共利益应当是有限的，合理的。信息主体仍然对其个人信息流向和用途具有知情权。紧急状态下，政府部门在对个人信息进行收集时，应该明确告知信息主体收集个人信息的范围、处理方式、保存方式以及保存时长。

政府部门在不必立即收集个人信息以维护公共利益的非紧急情况下，收集个人信息的，应当严格依照相关法律，充分尊重信息主体意愿，不得侵害信息主体的知情权，使信息主体在完全知情且同意的前提下将其个人信息授权给相关政府部门处理，以保证政府部门取得个人信息的合法性。

(二)信息处理者尽快弥补不足和漏洞

1.增加再次同意和撤销同意通道

针对应用程序在使用过程中超允许范围收集用户个人信息的情况，手机、电脑等电子设备后台应及时告知用户并询问用户是否再次同意(或者取消同意)。例如，苹果手机在应用程序后台使用录音机或者麦克风时，会在手机顶部状态栏的右侧显示一个橙色小圆点，用来提示用户后台麦克风或者录音机正在运行，这种做法很大程度提高了后台运行程序的透明度，但仍存在的不足是其并没有再次询问用户是否同意该程序在后台使用麦克风或者录音机。这对于找不到关闭通道的用户来说只停留在“知道”的阶段，无法及时关闭后台应用程序。

除此之外，还需要增加便捷的“撤销同意”通道。《个人信息保护法》第十五条规定：基于个人同意处理个人信息的，个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。在信息主体不想或者不再需要应用程序继续通过处理其个人信息来获得相关服务时，就可以通过“撤销同意”通道即时停止应用程序对个人信息的收集。且撤销同意之后应用程序不但不能再次进行收集和处理，也不得继续处理之前收集的个人信息，也不得限制信息主体使用该应用程序的其他功能，以最大限度的保护信息主体的个人信息及自决权。

2.告知信息主体个人信息用途及流向

现在许多应用程序仅告知信息主体其需要使用何种权限，而不告知其取得该权限后获得信息的用途，导致信息主体对于自身权益受到的侵害常常后知后觉。在应用程序为收集个人信息向信息主体进行询问时，应该注明收集个人信息的用途，方便信息主体对于该应用程序是否存在违反最小必要收集原则进行初步判断。这也进一步赋予信息主体自决权，而不是完全将信息主体置于被动状态。

个人信息被处理之后的流向对于信息主体来说也是至关重要的。就目前的应用程序而言，信息主体一般都基于基本信任将自己的个人信息授权给应用程序处理，但是信息主体对于个人信息的流向通常是一概不知的。这种完全不透明的信息处理方法不免使信息主体对自己个人信息的安全产生担忧。信息处理者在处理个人信息时可以采用“保留使用痕迹，删除用户个人信息”的方法。所谓“保留使用痕迹”即为在信息处理者处理个人信息之后要留有使用痕迹，并且信息处理者对于该使用痕迹是无权删除的；所谓“删除用户个人信息”是指，在信息处理者处理个人信息之后及时进行删除，以防止个人信息在保存过程中发生泄露等。该种方法不仅有利于相关部门在进行检查工作中有据可查，还可以在一定程度上降低用户个人信息泄露的风险。

3.落实信息主体请求删除权利的行使

作为信息处理活动中三个主体之一的信息主体，其不应该仅仅作为一个信息提供者。我国《个人信息保护法》规定了信息主体在个人信息处理者未主动删除有关信息时有权请求删除的条件，这也证明了该法赋予了信息主体有条件的删除权利，使其参与到个人信息处理活动之中。

请求信息处理者删除的权利是个人信息权益被侵害后可以行使的一种救济性权利，即当个人信息被个人信息处理者违反法律、行政法规或者违反约定处理时，信息主体可以请求个人信息处理者将相关信息删除或者屏蔽，使得其他主体无法看见、搜索、转发相关信息。信息主体行使请求删除的权利有效地降低了继续处理该信息的可能性，进而保障了用户的权益。

为了落实该项权利的行使，信息处理者应当在其开发的应用程序中增加便捷的请求删除通道。当个人信息存在被侵害风险或者已经被侵害时，信息主体可以通过请求删除通道要求信息处理者对相关信息进行删除。在信息主体已经提交删除请求后，信息处理者还应及时采取措施，尽可能对被转发的个人信息进行删除、屏蔽、禁止转发，以确保最大限度降低对信息主体的侵害风险或者实际侵害。

4.履行风险告知义务

信息主体与信息处理者之间是不平等的“交易关系”，该“交易关系”是指信息主体向信息处理者提供个人信息，信息处理者给予信息主体一定的服务。在个人信息处理活动中，必须在信息主体完全知情并且做出同意的意思表示之后，信息处理者才有权对其收集的信息进行处理，此处的知情应当包括信息主体对信息处理活动中可能存在的风险具有清晰的认识。隐私政策或者用户协议利用格式条款拟定的合同，在该合同订立时信息处理者仍然处于优势地位，那么出于保护弱势一方利益的原则，信息处理者应当遵循公平原则积极做到告知义务。

解决隐私政策和用户协议冗长、晦涩的问题是提高用户对授权之后风险认识的重中之重。对于在信息处理过程中可能对信息主体造成侵害的风险，信息处理者应当使用便于理解的文字以及足够引起注意的方式进行告知，使信息主体对于授权后的风险有足够的了解，以保障信息主体是在充分知情之下做出同意的意思表示。该种做法一来缓解了信息主体在超万字的隐私政策中找到相关侵害条款以及了解侵害风险的困难；二来，尽管无法明确了解信息主体内心的真实想法，但通过明确告知可以一定程度上保证信息主体同意意思表示的有效性。

(三)信息主体积极提高个人信息保护意识

《个人信息保护法》的颁布对于我国法治建设具有里程碑式的意义，其针对个人信息处理进行的系统性的规制，对于个人信息权益进行全方位保障，有效平衡个人信息权益保护和个人信息处理之间的关系，促进网络环境整体向好，为个人信息保护提供强有力的支持。信息主体应该积极学习该法，对自身所拥有的权利、应尽的义务以及权益受到侵害时的救济途径有清晰的了解，进一步提升个人信息保护意识。在使用应用程序中，信息主体应摒弃“个人信息不重要、随便用”的思想，仔细阅读隐私政策或者用户协议，明确信息处理者处理个人信息的目的和范围，对信息处理者收集个人信息的必要性有一定的判断，尽量做到“非必要不授权”。信息主体对于明显侵害个人信息权益的行为应该及时取证并向有关部门反映，拿起法律的武器，主动保护自身合法权益，实现对信息处理者的社会监督。

总之，随着大数据时代的发展，一些互联网企业对于用户个人信息的渴望愈发强烈，以往的个人信息权益保护模式逐渐失去作用，甚至成为侵害用户个人信息权益免责的避风港，这有悖于保护用户个人信息权益的初衷，所以急需要对此做出改变。但是在优化个人信息保护规则中，仍然面临着信息主体和信息处理者地位不平等、促进数字经济发展和保障个人信息权益之间有较大冲突以及信息处理活动中各主体利益分配不均等问题，这些问题一方面使得信息主体的权益得不到保障，被侵害的权益得不到救济；一方面使得对信息处理者的监管不到位，进一步促进其违法违规向信息主体索取个人信息。

本文以《个人信息保护法》的出台为背景，以《个人信息保护法》的内容为基础，对个人信息保护面临的困境进行分析，了解问题症结所在，有针对性地找到解决方法。从整体来看，信息主体是个人信息处理活动中，无论是技术层面还是实际应用层面都是处于弱势的一方，其权益一旦被侵害，既无完善私力救济途径又不能及时获得公力救济，故本文主要从信息主体的权益保护出发，明确信息主体权利、增加信息处理者义务以及扩大相关政府部门监管的权利和义务，从而保障信息主体的权益，进一步实现信息主体、信息处理者以及相关政府部门之间的平衡，使得个人信息保护从应然转换为实然。