数据安全①《个保法》如何实施是关键，还需改革司法机制

近年来，随着互联网领域的技术进步与资本扩张，个人信息安全问题的严重程度和出现频率均有显著提升。大规模的个人信息安全风险事件陆续爆发，2019年2月，国内某公司发生了大规模的数据泄露，预估泄露包括姓名、身份证号码、性别、家庭住址在内700万条个人信息；小规模的个人信息安全侵害行为数不胜数，仅2016全年由于个人信息泄露造成的经济损失已达百亿元。个人在网络空间上的零散信息基于物联网的智能识别和计算能力可以被轻易拼凑成完整的、足以反映具体人格表征的数字身份，一旦处理不当，不仅仅对个人造成危害，还将给城市治理、社会稳定、国家安全带来影响。

《个人信息保护法》已于11月1日正式实施，但由于个人信息案件具有专业性高、溯源困难、涉及商业机密的复杂性，行政监管具有专职部门缺失、管辖范围过宽、脱离一线用户的局限性，司法救济由于案件特性和私益诉讼机制特性具有局限性，种种因素还是对个人信息保护形成了阻碍。因个人信息保护在行政监管、司法救济等层面上仍存在诸多困境，要将治理决心落实到行动上，还需要改革现有行政部门和司法机制。

笔者建议：以行政监管为主，即设置个人信息保护行政监管专职部门；以公益诉讼为辅，即从专家辅助人制度、惩罚性赔偿规则、专项赔偿基金三个方面改革现有公益诉讼制度；将行政监管和公益诉讼有机结合，筑牢个人信息保护防线。 

个人信息保护困境成因剖析

1. 案件本身复杂性。个人信息安全案件通常具有以下特点，因此为个人信息的保护带来困难：

一是专业性高。互联网企业广泛应用尖端高新技术，形成技术壁垒，而大多数用户并不具备相关专业知识，一方面在防范对自身信息权益的侵害上具有先天劣势，另一方面在个人信息权益被侵害后难以有效维权，长期处于被动地位；同时也给行政监管部门和司法人员造成困难，常常出现“技术人员不懂法，司法人员不懂技术”的割裂现象，对专业人才培养、跨领域多部门合作提出更高要求。

二是溯源困难。一方面，个人信息数据提供商存在层层转包现象，数据中介数量众多，时常难以确定个人信息侵害行为的确切来源，为执法带来技术难题；另一方面，个人信息泄露案件存在“多因一果”特征，责任主体分散。一桩个人信息泄露案件可能有前端信息泄露问题，也有后端侵害人的手段问题，还有末端受害人的注意义务问题。以典型的行程信息泄露遭遇诈骗的案件为例，信息泄露的主要原因包括订票方的恶意泄露、黑客的攻击，还有可能是受害者自身不慎泄露。在有效溯源机制没有建立、事实难以完全查清的情况下，完全归咎于信息保存方并不公平。

三是可能涉及商业机密。许多互联网企业的商业运作模式包括使用自有算法对个人信息数据进行处理，而算法存在“黑箱”技术特性，无法得知数据输入到输出的处理过程，同时算法是企业商业竞争力核心所在，属于不可随意展示的商业机密，进行监管和司法部门必须审慎考虑公权力的界限，在个人信息安全和企业商业利益之间找到稳固平衡点。

2. 行政监管局限性。专项行政监管部门的缺位、行政管理实务的繁杂性及行政执法的局限性一定程度上限制了对个人信息的行政保护。

一是中国专门负责个人信息监管的行政部门暂缺。横向对比其他国家可以发现，不少国家设置了专门的个人信息保护监管机构，而中国长期缺乏一个类似部门行使对个人信息的监管职能，根据《网络安全法》和《刑法》的相关司法解释，由网信部和公安机关代理；

二是行政管理部门管辖范围宽泛，分散了对个人信息领域的注意力。现行网络行政管理机关负责网络安全的方方面面，由于资源有限，往往更侧重于国家和重大安全网络事件的监管，对个人信息安全监管有所忽视；

三是行政机关与用户存在一定距离，导致行政机关执法受到限制。因监管部门并非个人信息的权利主体，且个人信息的侵权范围不易确定，行政机关在执法中往往不易发现或不易判断公民个人信息是否被侵犯，故在公民个人信息保护上往往克制使用行政处罚权，甚至存在监管缺位的情况。

3. 立法保护局限性。个人信息安全尚属新兴领域，与日新月异的技术发展相比，有关立法进展滞后，表现为：

一是碎片化严重，缺乏整体性和协同性。与个人信息有关的各条款分散在数部等级各异的成文法律、司法解释、安全规范、部门要求中，一定程度上阻碍了执法部门依法治理，这一问题，随着2021年11月1日《个人信息保护法》正式实施，将得到解决。

二是覆盖面不广。现有条款主要集中于银行、保险、电信等传统领域，对新兴领域个人信息的法律保护不足，司法实践中时常出现需要上溯至上级法条的情况。

三是侵害个人信息行为所应承担的法律责任较为模糊。

4. 私益诉讼局限性。囿于个人信息案件特性、私益诉讼程序特性等原因，个人一般不会选择私益诉讼。个人信息案件一方面涉及用户数量众多，单一个体损失较小，进行私益诉讼的动机不足；另一方面存在隐蔽性，受害者既难以确定侵害主体，也难以有效举证证明侵害行为确实存在。同时，现有私益诉讼程序存在启动难、流程长，成本高的特点，能够坚持完成整个诉讼流程的受害者寥寥无几，最终胜诉的更是少之又少。种种因素结合，个人信息私益诉讼难以成为有效的司法救济手段。 

建议：个人信息保护应以行政监管为主，公益诉讼为辅

1. 设置个人信息保护行政监管专职部门

从个人信息保护的方式来看，目前行政监管仍然是最有效的手段，也是平衡个人权利和产业发展的最佳方式。行政监管机构更具有专业性，掌握更多的监管资源，能够更为及时有效地处置纠纷。《个人信息保护法》规定了履行个人信息保护职责部门的具体职责，建立了比较完备的风险防范和损失救济机制，故应充分发挥行政监管的力量。

从域外比较来看，欧美国家采取的是将严格的政府执法、公共压力之下的行业自律与法院的诉讼机制相结合的模式，个人信息的实际损害赔偿的诉讼门槛较高，一般都选择了以行政执法监管处罚为主的规制模式，私人诉权受到某种程度的限制和弱化，以避免产生过度诉讼。在行政救济方面，如欧盟《一般数据保护》规定的救济途径之一为每个数据主体都有向监管机构进行申诉的权利。而美国在程序性机制上设置了改正期制度，将之作为行政罚款和民事诉讼的前置程序，以提高个人信息保护违规行为的纠正效率。

从个人信息保护效果来看，诉讼程序是最后一道防线，法院应审慎对待此类纠纷。行政监管机关既有权限对违法者的行为进行规制，促进行业健康发展，也有途径为受害者提供必要的保护和救济，而对于法院来说，最优的做法是针对行政监管或救济中的争议问题树立规则、引领导向，而不是对个人信息保护案件无原则敞开口子。

一方面，司法权应当保持克制和自律，司法不是解决纠纷的唯一途径，行政上的救济可能更有效，对个人信息保护更有效率。当前全国法院正开展的多元调解工作也为此类纠纷的诉前化解提供了契机。个人信息保护群体性的特征也容易引起当事人的滥诉，给司法带来不可承受之重，政府信息公开滥诉问题就是一个典型的前车之鉴。另一方面，就将来多发的未发生实质损害的情况而言，个人精神或心理波动程度难以统一量化，既容易产生裁判风险，也容易对相关产业或从业主体造成严重冲击。实践中，不同文化程度、性格脾气和生活背景的人对个人信息的认知、感受不同，在法律上追求保护的程度和强度也不一致，而不同裁判者对个人信息也有着不同的裁判偏好，因此不同的裁判者对民事主体个人信息被侵犯后所遭受的精神损害大小以及法律能提供的保护程度认识也有差异。

因此，有必要对纠纷处理方式选择与衔接，将行政监管和公益诉讼有机结合，建立更加符合中国国情的个人信息保护联动机制和权利救济机制。

2. 改革个人信息保护公益诉讼制度

一是将专家辅助人制度引入个人信息保护公益诉讼。个人信息保护公益诉讼往往涉及网络信息安全的相关知识，数据信息存储平台作为个人信息的保有者是否存在安全隐患或操作漏洞致使个人信息泄露是关键事实，但个人往往并不具备相关专业知识，法官亦难以作出判断。因此，在个人信息保护公益诉讼中应引入专家辅助人制度。当前，专家辅助人制度已被中国民事诉讼程序所采用。在个人信息保护公益诉讼中，专家辅助人程序的启动应先由当事人申请，再经人民法院准许，二者缺一不可。庭审过程中，专家辅助人有发表意见、协助询问、参与质证和进行辩论的权利，可以围绕案件中涉及网络信息安全专业的问题提出意见。确有必要，人民法院可准许专家辅助人进入相关平台系统进行了解和查勘，以便准确掌握系统平台的安全隐患或操作漏洞。

二是确立惩罚性赔偿规则。目前，在个人信息侵权诉讼中，个人信息被侵犯往往难以确定具体损失，致使“赔偿损失”的诉求因缺乏事实依据难以被人民法院支持。即便能够确定损失，因个人信息的商业价值被挖掘后不断释放呈现出叠加式的价值增值，而根据现有的损害赔偿计算规则，人民法院只计算直接损失，故判决无法达到震慑违法行为人的效果。笔者认为，应构建惩罚性赔偿制度，使侵害个人信息权利的违法成本高于收益。

三是建立专项赔偿基金。公益诉讼主体为人民检察院、有关社会组织，诉讼主体与权利主体之间断裂；即使取得胜诉判决，权利主体也难以真正享有“胜诉权”。破解个人信息保护公益诉讼案件的“执行困局”，是构建个人信息保护公益诉讼制度时应重点关注的问题。目前，公益诉讼制度较为发达的国家普遍采取设立专项赔偿基金制度来解决受害群众广泛、救济成本高、难以实现公平受偿的问题。

笔者认为，可将专项赔偿基金制度应用于个人信息保护公益诉讼，专项基金的设立及运营交由工信部等相关行政部门负责，使用范围包括但不限于：在一定范围内对相对确定的受害人予以赔偿，实现公益救济向私益赔偿的转化；通过行政管理的方式监管督促被执行人使用专项基金修复维护系统漏洞，完善网络平台的安全治理。检察机关可通过发送检查建议函等方式督促相关行政机关管理并运营专项基金，确保专项基金用于满足社会公共利益。若相关行政机关存在违规行为且不予改正，检察机关可提起行政公益诉讼。

作者朱泳晔来自复旦-炜衡数据安全联合报告课题组。本文选自江天骄、姚旭主编的《复旦-炜衡数据安全联合报告》，课题组其他成员还有：王蕾、陆滨、金代文、 赵越等。该报告由复旦发展研究院开设的咨政实践类课程研究成果转化而来，调研过程中得到北京炜衡(上海)律师事务所的大力支持。复旦大学网络空间国际治理研究基地主任、发展研究院教授沈逸与北京炜衡（上海）律师事务所高级合伙人顾靖担任课题研究顾问。

来源 | 澎湃新闻

排版 | 悦悦

往期回顾