传统的个人信息权保护模式难以应对大数据时代带来的种种风险,“知情同意”机制、对个人信息进行二分法的“识别型”定义、目的限定原则等传统制度难以发挥实质作用。社会这台巨型机器的运作需要数据的石油为其提供动力,公民对个人信息权、隐私权的保护需求日益增加。为缓和个人信息利用及保护之间的矛盾,本文结合尼森鲍姆教授提出的“场景完整性理论”从新的角度审视传统个人信息保护制度,提出了传统制度存在的不足,并将场景理论贯穿于个人信息保护制度中,试图提出一些新的观点。本文首先介绍了个人信息权保护的几个理论。由于本文主要探讨的是场景理论下的个人信息权保护制度,因此,文章详细介绍了场景完整性理论的概念、构成要素及规范构成。接着,文章通过实证分析的方法指出我国个人信息权保护的立法及司法现状,并用图表的方式使结果更加立体地呈现给读者。就立法而言,我国已取得部分立法成果,但较为分散,各个领域的法律规定之间会出现交叉甚至矛盾的现象。最为致命的是信息从产生到被利用的过程是一个链条,而许多法律法规只是规定了其中的个别环节并未覆盖个人信息利用的全部关键环节,造成个人信息保护漏洞。而在具体的制度设计方面,首先,在个人信息权的客体界定方面,我国采用的是“识别型定义”,但对数据进行简单的二分法难以满足大数据时代的要求,许多在“二分法”下的非识别型定义通过交叉验证、不断连接的方式仍然可以识别个人信息。其次,传统的个人信息保护制度建立在“知情同意”机制之上,但作为基础的“知情同意”机制在大数据时代下却愈来愈力不从心。繁重的阅读负担,剥夺用户的实际选择权等使得该机制难以发挥实际功效。再次,在“目的限定”原则方面,数据流转之快,用途之广使得目的限定原则与大数据时代格格不入,但为满足该原则的要求,信息处理机构须制定晦涩难懂且冗长的隐私政策,不仅加重用户的负担还降低了信息利用的效率。最后,在用户控制与透明度方面,传统的个人信息保护制度用户控制过于前置,因此,每次超出用户同意范围内的数据处理行为都需要用户重新授权,不仅增加用户的负担也加大了企业的运营成本。关于我国个人信息权保护的司法现状,自2013年进入大数据时代以来,我国关于个人信息权维权的案件数量呈直线式上升,个人信息权的救济需求急剧增长。然而,我国目前对于个人信息权的救济力度远远不足,主要救济手段为刑事救济。而刑事救济往往是事后救济,且需要达到情节严重,侵犯单个个体的个人信息权难以入刑。在民事救济的案件中,其案由也很少是侵犯个人信息。长此以往,造成个人信息权被其他权利所湮灭。之后,文章对比分析了场景理论在欧盟与美国运用的不足及值得借鉴之处。对比而言,美国的《消费者隐私权利法案(草案)》基本是以场景理论贯穿整个法案,而欧盟的《一般数据保护条例》仍然主要以传统的保护架构为基础,但在部分具体制度中也加入了场景理论的因素。通过对比欧盟与美国的具体制度设计,分析其不足与值得借鉴之处以为我国个人信息权保护制度的构建提出些许建议。最后,文章从立法与司法两个角度对我国场景理论下个人信息权保护制度的构建提出一些建议。立法方面,建立统一立法为主,分散立法为辅的法律体系。在具体制度方面,首先,构建“场景与风险导向”的理论模型,根据个人信息收集时的场景评估用户期待的风险水平,对于超出用户授权范围外的信息利用行为要进行风险评估。凡是不高于该风险水平的信息利用行为都属于“合理使用”行为,无须用户的再次授权,对于高于该风险水平的信息利用行为,则须要告知用户,为用户提供择入机制。如用户选择继续进入则须要为用户提供降低风险的措施。其次,将规制的重点从对个人信息的界定转为对个人信息使用行为的管理,并对个人信息使用行为进行层级化界定,重点聚焦非合理的个人信息使用行为。再次,以“风险限定原则”取代“目的限定原则”,传统保护框架下的“目的限定原则”已不能适应大数据时代的要求,不仅会增加用户的负担还会增大企业的运营成本。而“风险限定原则”是对场景理论下“合理使用”的具体化,其对个人信息权保护的关注指标从“数量”转变为“风险”,即不要求机构对于信息的收集、开发限定在实现目的的最小数量,而是限定在数据使用的风险最小化上。再次,在用户控制与透明度方面,区别于传统的“知情同意”框架,用户控制后置要求用户只须对超出预期风险的个人信息处理行为进行控制。司法方面,建立以民事救济为主的个人信息权救济路径,主要的救济方式包括违约与侵权。其次,要明确个人信息权与隐私权及一般人格权的关系,考虑到新时代下对个人信息权保护的强烈需要,给予个人信息权独立的法律地位可能是更佳的选择。