“风险社会”的概念由来已久,对社会风险的政府规制研究近年来也已有颇为丰厚的成果。然而,过去风险行政法领域的学者们着重关注食品、药品、环境保护、核安全等社会风险的规制,个人信息保护领域的社会风险则甚少有人提及,研究成果更是稀缺。随着科技的高速发展,社会的主要风险随之发生改变。在大数据时代,个人信息较之过去有着更加重要的作用与价值,被全面数据化的个人信息一旦遭受侵害将对公民的财产利益和人格利益造成损害,甚至可能引发大范围的社会动荡。在传统的个人信息保护方式已无法满足大数据时代需求的情况下,本文试图运用风险规制的理论构建一种新的个人信息保护机制。文章共分为四个部分:第一部分:大数据时代的个人信息保护风险。首先分析了大数据的概念及特征,得出大数据作为一种信息资产具备真实性和价值性等重要特点,为个人信息的数据化作铺垫。其次分析个人信息的定义和法律属性,厘清个人信息和个人隐私的区别,论证个人信息具备财产权客体和人格权客体的双重属性,从而强调大数据时代对个人信息进行保护的重要性。最后简要分析风险及风险社会的变迁,从风险的概念及特征出发,说明风险的不确定性、复合性和广泛性等重要特征,同时,从风险社会变迁的角度说明社会的主要风险是不断变化的,如今在大数据时代,个人信息保护领域的风险已渐渐成为社会的主要风险。第二部分:因应风险社会——风险规制的兴起。为了应对大数据时代的个人信息保护风险,该部分引出了风险规制理论。之所以采用风险规制原理来应对社会风险,是基于理论和现实两方面依据。首先,风险的不确定性使以法的明确性为前提的部分传统行政法原理陷入了适用困境,法的明确性与风险的不确定性是一对天然的矛盾,而比例原则和法律保留原理都以法的明确性为基础,这使二者在规制社会风险时陷入被动。其次,风险规制的兴起在理论上受到行政任务理论和基本权利理论的支撑,施密特·阿斯曼倡导的行政任务理论认为政府在不同时期具有不同的行政任务,在风险社会中政府的行政任务是有效地规制风险。同时,从德国基本权利理论的保护义务出发,国家具有主动保护人民基本权利不受侵犯的义务,在风险社会中公民的各项基本权利遭受社会风险的威胁,政府有义务提前对风险进行规制。最后,从现实角度出发,传统以追究个人责任为主的风险预防方式已经无法满足当下风险社会的需求,一种集体性风险治理模式的出现有其必然性。第三部分:传统个人信息保护方式及其局限。该部分从三种较具代表性的传统个人信息保护方式:分别是当前我国的个人信息保护方式,德国作为大陆法系国家的代表对个人信息进行保护的方式,以及美国作为信息产业较为发达的国家对个人信息实施保护的方式,展开论述。说明在大数据时代,面对个人信息保护风险的不确定性,传统的个人信息保护方式都存在不足。因此,有必要探索一种风险规制视角下的个人信息保护机制。第四部分:风险规制视角下的个人信息保护机制建构。该部分以风险规制理论为基础,结合大数据时代的个人信息保护风险,从风险规制主体、信息风险评估、信息风险交流以及信息风险决策的形成四个方面,完整阐述个人信息保护的风险规制机制。首先提出应当建立独立、权威的个人信息保护风险规制机构,主导风险规制的过程;其次从个人信息保护风险的特殊性分析,概括风险评估的各项要素并形成示意图;然后主张风险规制机构主动搭建个人信息保护风险的交流平台,推动相关主体相互交换风险信息,从而尽可能促进公众认知与专家知识之间的对称性;最后,为了确保风险规制机构作出的信息风险决策尽可能合法合理,在程序上赋予公众及相关利益主体广泛的参与权,以权利制约权力的滥用。