个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。个人信息不仅具有人格利益和自由价值，同时，它还具有一定的财产价值。对个人信息保护不足，将会导致信息的泄露，造成人身损害与财产损失。但是，对个人信息过度保护，又将会导致信息的闭塞与不流通，阻碍信息社会的经济发展，背离个人信息保护的初衷。

　　如何合理使用个人信息？笔者认为，应遵循以下五项原则：

　　第一，个人信息使用应当遵循合法、正当、必要原则。消费者权益保护法第29条与网络安全法第41条、第44条均有明确规定，在收集、使用个人信息时，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意，非法收集、使用个人信息必然会受到法律的追责。2016年8月1日，美国和欧盟签署的“隐私盾”协议要求用于商业目的收集的个人数据必须有许可、目的受限、必要且数据最小化，并限制数据保留时间。

　　第二，个人信息使用者应做到收集告知、内容正确、安全保护、及时补救。微信、淘宝等为用户提供了个人信息在线注销删除功能。百度地图给用户提供了可以选择记录“打开地图时的位置”“导航结束时的位置”，也有“清空所有足迹”的设置。

　　第三，区别个人敏感隐私信息、可直接识别个人信息与一般个人信息，对于个人隐私以及直接可识别信息，使用者在使用过程中需承担更严格的保护责任，必要时做到匿名化处理。美国、日本、欧盟等国家和地区均采用个人敏感隐私信息的概念，将个人信息进行区分，采用不同的保护规则。国内多个快递物流企业开始试用快递“隐私面单”，只保留基本地址信息，不仅提高行业的安全系数，减少消费者的顾虑，也进一步推动快递实名制的落实。

　　第四，建立个人信息收集使用登记制度以及追踪机制。建立个人信息数据库的同时，也应该成立个人信息收集登记与追踪机制，方便信息主体对于个人信息进行更改与补充，确保信息的完整性与真实性。

　　第五，健全信息主体维护个人信息权利的机制。网络安全法第43条以及第49条赋予信息主体删除或者更正权，并且要求运营者及时受理并处理有关网络信息安全的投诉和举报。对于个人信息泄露时，信息主体维权过程中产生的“小额多数”的情况，传统单独诉讼不仅浪费司法资源，也加大了维权成本，我国当前代表人诉讼制度则有利于很好地保障信息主体的权利，符合诉讼制度效率性及经济性。个人信息侵权行为的归责原则可以借鉴德国《个人资料保护法》中规定的非公务机关个人资料侵权行为适用过错归责原则，并适用举证责任倒置。

　　（作者单位：首都经济贸易大学法学院）