首先是设立个人信息使用者和收益者对个人信息来源进行性审查的合理谨慎义务。即要求使用个人信息进行商业宣传或者其他推广的机构和个人应当对信息来源性进行合理谨慎的注意,为避免企业通过子公司或者第三方规避此义务,因而有必要加上受益人也负有此责任,包括广告主和实际受益人,不限于广告经营者或者直接发布者。只有建立了此制度,才能杜绝正规企业采购营销服务不审查个人信息的性,从而在客观上助长个人信息泄露与的现象。同时,如果能够较好执行本制度,等于打击和消灭了非法采集和个人信息的销售、变现渠道,使其失去违法的经济驱动力。
其次是建立递进式惩罚性赔偿制度。我国立法已经确立了企业对个人信息和隐私的义务,可以在此基础上扩展为企业对个人信息的安全保障义务。对于违反企业信息安全保障义务的,确立递进式惩罚性赔偿制度。我国侵权责任法已经有惩罚性赔偿制度的,但由于法院在确定赔偿时过于审慎,迄今为止没有看到有影响力的适用侵权责任法关于惩罚性赔偿的民事判决案件。消费者权益保自立法之初即确立了对欺诈的惩罚性赔偿制度,二十年来,通过典型案例的报道,在社会上有广泛的影响,是我国民事法律中发挥了较好引导作用的法律规范。而且,我国的惩罚性赔偿限于欺诈或者主观恶意,消法修改后,欺诈的惩罚性赔偿额限于实际损失三倍以下,也规避了美国司法制度中赔偿过于庞大的负面作用。因而,在个人信息侵权行为的民事赔偿方面,有必要继承前述法律已经有的。鉴于个人信息侵权行为往往难以证明损害后果,如果法律不赔偿标准或者计算方法,由于我国法院填平式赔偿原则,实际诉讼中赔偿将延续目前较低局面而不会具有威慑力,仍然无法改变在利益下泄露个人信息的局面。因而,比较现实可行的是建立递进式的惩罚性赔偿制度,即对于三次以上个人信息权,或者经行政处罚或者诉讼判决侵权成立,仍然拒不改正的,法律应设定较大的赔偿责任,或者在按照普通民事侵权三倍以下予以赔偿,或者经由消费者组织起诉的,可以设定较大额赔偿,由消费者组织在者中予以分配。只有违法行为人了解一旦实施违法行为其法律责任将超过其获得的收益时,才可能根本上扭转个人信息过度收集,随意泄露和普遍的混乱局面。
第三是建立个人信息规范、合理使用的制度。在大数据应用前景极为广阔的今天,应该为企业大数据应用留下空间,引导企业规范使用,而不能因噎废食,因过严导致企业无法开展大数据应用,也无法享受网络技术发展带来的便捷与进步。因而,确立在满足下面三个条件的前提下,允许企业采集、应用、存储、管理并个人信息: