近日因徐玉玉被電信詐騙案一審宣判，個人信息保護再次受到社會高度關注。

　　有人呼吁我國加強個人信息保護立法，其實據專家統計，目前我國已有相關立法100多部。個人信息是個人的，個人是個人信息的權利主體，保護個人信息，理所當然就應當保護權利主體的權利。但是我國目前相關立法多著眼于禁止掌握個人信息的機關、企事業單位泄密，而缺乏維護具體個人的具體信息權利。禁止性規定和打擊相關犯罪，是對個人信息隱私權利的間接保護，但不是直接保護具體權利主體的合法權利。

　　以刑法第二百五十三條對侵犯公民個人信息罪的規定為例，違反國家有關規定，向他人出售或者提供公民個人信息，情節嚴重的，就是犯罪。按照最高法、最高檢的司法解釋，有十種情形屬于“情節嚴重”，大致就是：把個人信息賣給犯罪分子并被利用了，泄密個人信息達數百條、數千條之多。除非像徐玉玉那樣成了詐騙等案的受害者，一般個人不會成為個人信息泄密案的真正侵權對象。個人必須“打包”成數百、數千之眾，才有可能觸發刑事調查。

　　從世界范圍看，目前對個人信息的保護無非是刑事追究、行政監管與民事侵權歸責三個方面。而就民事而言，很多國家將個人信息保護納入企業對個人的服務合同，從而將侵權責任轉化成合同責任。在我國的民法體系中，《侵權責任法》沒有規定非法獲取、出售個人信息的侵權責任，國家也未強制企業將保護個人信息納入服務合同范疇。企業泄密之后，被侵權者只能徒嘆奈何。

　　個人信息很瑣屑，這就注定了只有他本人才知道是不是被泄密了，這也注定了保護個人信息是一項“個人的事業”。由政府將保護的責任大包大攬，實際上是將個人忽略。現在到處是個人信息泄密，但全國罕有人訴諸法庭，已經證明了此點。

　　這不是說，通過政府行業監管起不到個人信息保護的作用，但這是一種間接的效果，在強化政府監管的同時，要加快權利落實到“人”本身。保護個人信息就要保護到人，關鍵是兩條：在監管層面，強制企業將個人信息保護列為服務合同條款，作出侵權賠償承諾；在侵權責任法上，將個人信息權視同財產權，凡侵權即給予損失賠償。有侵權就有賠償，這才是真正的保護個人信息。