长期以来，我国对个人信息并未在法律层面作出具体规定，相关内容散见于相关规范性文件中。2010年7月1日实施的《侵权责任法》第2条第2款规定了隐私权，但未对其具体内容作出界定。因此，需要依赖学理和判例对其内涵和外延予以把握。2013年工信部颁布的《电信和互联网用户个人信息保护规定》对个人信息保护作出了相对全面的规定，此后几乎所有互联网单行法均对个人信息保护作出规定，如《互联网广告管理暂行办法》《网络出版服务管理规定》《暂行办法》《移动互联网应用程序信息服务管理规定》等。2015年11月1日，《刑法修正案（九）》将“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”两个罪名，合并为“侵犯公民个人信息罪”。《民法总则》第111条规定“个人信息”受法律保护。尽管法律对于个人信息权给予了相对充分的保护，但是实践中鉴于个人信息权的范围极其广泛，难以对其进行列举式描述，从而导致采集、处理和使用个人信息的过程中存在一定的法律适用障碍。[10]

尽管《征信业管理条例》第13条和第14条规定：“采集个人信息应当经信息主体本人同意”“禁止征信机构采集个人的宗教、基因等个人信息”“在未明确告知不良后果并取得书面同意外，不得采集个人的收入、存款等信息”，但实践中由于互联网数据信息来源渠道多、数据量大，难以在采集之前对信息主体进行充分的通知，并获取其同意。此外，很多机构通过采集征信主体的互联网痕迹获取信息并征信。互联网没有边界，相应的信息采集也难以有限度，机构所进行的信息采集很有可能超越合法边界从而构成对个人隐私权的侵犯。如征信机构不仅会采集到个人基本信息、财务信息、交易信息、物流信息等信息，也会采集到个人生活习惯、行为方式、购物偏好等与征信并无直接联系的个人信息。实践中，用户很容易丧失自主权，只能被动接受机构对禁止或限制类信息的采集。许多机构出于成本等考虑未对个人信用信息进行积极保护；此外，还有一些机构在技术上存在漏洞，导致个人信息被泄露；还有一些机构的内控机制不健全，导致内部人员为谋求非法利益而贩卖个人信息。

但无论如何，机构获取个人信息的权利，都要受到被征信人对其信息被征信机构采集的知情权和同意权的约束。当然，信息主体同意必然意味着时间与摩擦成本，为配合我国信用体制的建立并提高征信效率，可以考虑采取美国法律中的“默示同意”与“异议权”制度。在征信机构进行征信活动或者提供征信产品之前，应当首先履行通知征信主体的义务，并征得其同意；如果征信主体未在合理期限内向征信机构提出异议，则视为其同意征信机构的做法。之所以设立“默示同意”制度，主要是出于征信效率的考虑。但是，对于效率的强调可能会在一定程度上损害公平与安全。因此，在“默示同意”的基础上，赋予征信主体“异议权”，对于不准确、不完整或者错误信息有权提出异议。在效率的基础上兼顾公平，正是这种立法模式的初衷。在我国征信立法的进程中，也将面临效率与个人信息安全之间的矛盾，此类规定可以作为我国立法的参考。此外，结合国外立法，同意权的内涵不应限于信息主体的同意，还应包括信息主体拒绝信息处理和退出征信系统的权利。如果信息主体退出征信系统，实际上是对其信用的负面记载，也是一种有效的信用记录。从我国实践来看，被征信人并不享有此类权利，我国征信立法存在不断细化的空间。此外，还应规定征信机构负有保护个人信息安全的义务。一旦违反该义务，则应承担法律责任，从而促使征信机构关注内控与安全系统的建设。(www.daowen.com)

较之于美国更多关注于社会征信体制，欧盟及其成员国则将立法重点置于个人信息和数据保护。鉴于我国社会信用体制尚未充分建立，而这对于经济和社会现代化极为不利，我国更应参照美国立法与实践建立并完善社会信用体制，同时参照欧盟做法加强对个人信息的保护。

个人信用信息法律保护框架的核心体系是调整个人信用信息开放、保护，及其平衡关系的法律构成的体系。[11]对此，应明确个人信息的范畴。但是，个人信息是一个内涵外延都极其广泛的术语，加之各行业对个人信息需求的不同与理解的差异，因此难以对个人信息范围作出统一界定。对此，可以采取本质描述与现象列举的方式，以涵盖各行业对个人信息的理解与需求。