前文已经讲到，个人数据并不是一个确定的概念，任何数据都不是完全能够识别的个人数据，任何数据也都可以成为可识别的个人数据。这个观念让我们推翻了通常认为的个人数据的定义，这就是一个很好的学术命题和学术推进。因此，我们应思考个人数据保护的原理与方式。

我们知道，个人数据保护的方法中，常常认为收集个人数据的前提在于获得个人的同意，即个人同意是收集个人数据的前提。那么这个观念是不是普遍性的呢？比如，同学之间收集对方的个人信息，需不需要同学的同意？

这个问题，我们第一反应是，可能都需要获取同意，没有获得同意而收集他人信息，就是侵犯他人权利。但是我们再一想，就会发现这个逻辑是不能成立的。比如，我们在日常生活中，一看到对方的时候，相貌信息其实马上就传递给彼此了。有人可能会说这里面有一个同意的推定，或者说默示同意，但即使对方默示甚至明示不同意，我们也很难说违背他人意志而获取个人信息违法。

可以举一个很常见的例子，我们在背后获取其他人信息也非常普遍。比如，打听消息或者去“打探”别人的时候，被“打探”的对象很多情况下不会希望他的信息被人知晓，因为你没有获取对方同意。但这时候法律并不会评价“打探”如何。“打探”可能会让某些人感到很烦恼，但“打探”无疑是合法的，而且可能会有很大的正面价值。比如，通过“打探”，我们会了解很多很有用的信息，我们知道哪些老师举止不当，哪些老师表里如一，这些信息对于同学们来说就很有用。(www.daowen.com)

所以，这里的问题在于保护个人数据或者保护个人信息并不一定是理所当然的，不能因为现在很多人说个人数据保护很重要，大家马上站在保护个人数据这一方。但我们细想一下，在保护个人数据领域，不保护是常规，保护是例外。在这个意义上，个人数据很多时候也属于“公共产品”。虽然是个人数据，看起来是属于个人的，但其实给社会提供了相互交往、给市场提供了一种信息的沟通机制。

那么为什么要保护个人数据？最重要的原因是整个科学技术或者科技发展导致信息流通和获取方式发生了很大变化。比如，媒体信息，很多媒体远距离偷拍个人，于是对个人产生一些侵扰。在现代信息技术兴起后，这种情况变得更加普遍。比如，互联网公司可以对海量的数据进行分析、掌控，这个时候你在信息主体收集里很难和互联网公司形成一个合理或者公平的信息关系。刚开始保护个人的数据或信息，其实就是在合理信息实践或者公平信息实践的框架里面进行、发展起来的。我们保护个人数据，是因为这些企业特别是互联网公司和大型企业对我们的信息收集已经严重影响了公平实践和合理实践。甚至在有的情况下对我们的信息进行收集之后，如果处理不当发生泄露，特别是在陌生群里泄露就会带来很多风险。比如，数据泄露转到黑产，某一天会给在校学生打电话，说同学你叫什么名字，你在学校的贷款是不是没有还等，这样会产生很多风险。所以，这个意义上有一点非常重要，保护个人数据并不是保护个人数据本身，因为此时个人数据不像一个“物”。目前，我们是以私有为原则，以公有为例外。例如，这个手机是我的，你拿走了，一般来说都会认为侵权甚至有可能犯罪。但个人信息并不是，个人信息保护的并不是个人信息本身，个人信息有流通价值，在社会中促进我们相互之间沟通，帮助市场实现信息的对称。所以，保护个人数据是要保护个人数据背后的很多权益。当然什么是权益、权益是什么，在个人数据保护当中可能还存在很多争议。

理解了这个问题之后，就能理解如何保护个人数据和个人信息。美国和欧洲个人数据保护措施都非常多重，欧洲采取的是比较统一的、严格一致的，把个人数据当作一种权利来保护。美国认为个人数据应强调流通价值，在风险比较高的领域强制规制，在其他领域则是由企业进行自我规制。如果从价值立场上看很难说，每个人可以有自己的判断，到底是走美国道路还是欧洲道路，或者走中国自己独特的道路。但有一点是肯定的，那就是确定哪些是法律上需要进行保护的个人数据，哪些是需要根据目的来界定个人数据或个人信息的范围。换句话说，对于个人数据而言，首先是场景化的保护，需要结合具体场景去看，个人数据的范围并不能按照语义上的定义确定，并不能说这是个人数据保护，这并没有那么简单，里面所涉及的问题非常复杂。比如，一般“用户画像”，法律可能不应该介入太多，因为这时候“用户画像”在一般商品领域的应用并不会给个体带来太多风险，反而有利于商家和消费者利益。但如果涉及“朱烨案”中的敏感信息，可能就需要法律进行保护，因为在两种场景下涉及的权利不太一样，给个人带来的风险也不太一样。从这个角度上来说，前面讲到的但没有特别仔细去讲的，包括数据主体的权利，比如，访问权、更正权和擦除权等，我们对各种权利也可以进行重新思考。如果大家仔细分析这些权利，就会发现这个权利并不一定都是绝对的权利，必须要结合保护个人数据的目的手段重新进行分析。