“在我国个人信息保护法的起草过程中，立法机关认为，应当在民法典、网络安全法等法律规定的基础上，进一步充实完善个人信息处理的基本原则，并将它们贯穿于个人信息处理的全过程、各环节。”清华大学法学院教授程啸说。

从网络安全法到民法典，从数据安全法到个人信息保护法，在数字经济发展和法治建设进程中，我国个人信息保护法律制度逐步建立并不断发展完善。

数据属于谁？

从个人信息权益的本质在于保护自然人及其个人利益、个人信息权益处理主体的义务以及民法典中对于个人信息保护的规定来看，程啸认为个人信息权益应属民事权益。

根据词频统计，“个人信息处理者”作为个人信息保护法的规制对象，在法条中出现频次最高，这表明个人信息保护主要通过规制个人信息处理者的个人信息处理活动来保障个人信息安全。

《法治日报》记者注意到，个人信息保护法既规定了个人信息处理者有告知、安全保障、合规审计、安全评估、个人信息泄露通知等义务，又规定了大型互联网平台指定个人信息保护负责人、平台内部管理、接受外部监督等特殊义务，形成事前事中事后全链条的个人信息安全风险防范机制。

程啸指出，在规范主体方面，“个人信息处理者”是主要义务人，为确保个人信息处理活动的合法合规，防止出现未经授权的访问以及个人信息泄露等安全问题，有义务采取必要的措施，如完善个人信息全生命周期管理制度、对个人信息进行分类管理等。