近年來，隨著互聯網領域的技術進步與資本擴張，個人信息安全問題的嚴重程度和出現頻率均有顯著提升。大規模的個人信息安全風險事件陸續爆發，2019年2月，國內某公司發生了大規模的數據泄露，預估泄露包括姓名、身份證號碼、性別、家庭住址在內700萬條個人信息；小規模的個人信息安全侵害行為數不勝數，僅2016全年由于個人信息泄露造成的經濟損失已達百億元。個人在網絡空間上的零散信息基于物聯網的智能識別和計算能力可以被輕易拼湊成完整的、足以反映具體人格表征的數字身份，一旦處理不當，不僅僅對個人造成危害，還將給城市治理、社會穩定、國家安全帶來影響。

《個人信息保護法》已于11月1日正式實施，但由于個人信息案件具有專業性高、溯源困難、涉及商業機密的復雜性，行政監管具有專職部門缺失、管轄范圍過寬、脫離一線用戶的局限性，司法救濟由于案件特性和私益訴訟機制特性具有局限性，種種因素還是對個人信息保護形成了阻礙。因個人信息保護在行政監管、司法救濟等層面上仍存在諸多困境，要將治理決心落實到行動上，還需要改革現有行政部門和司法機制。

筆者建議：以行政監管為主，即設置個人信息保護行政監管專職部門；以公益訴訟為輔，即從專家輔助人制度、懲罰性賠償規則、專項賠償基金三個方面改革現有公益訴訟制度；將行政監管和公益訴訟有機結合，筑牢個人信息保護防線。 

個人信息保護困境成因剖析

1. 案件本身復雜性。個人信息安全案件通常具有以下特點，因此為個人信息的保護帶來困難：

一是專業性高。互聯網企業廣泛應用尖端高新技術，形成技術壁壘，而大多數用戶并不具備相關專業知識，一方面在防范對自身信息權益的侵害上具有先天劣勢，另一方面在個人信息權益被侵害后難以有效維權，長期處于被動地位；同時也給行政監管部門和司法人員造成困難，常常出現“技術人員不懂法，司法人員不懂技術”的割裂現象，對專業人才培養、跨領域多部門合作提出更高要求。

二是溯源困難。一方面，個人信息數據提供商存在層層轉包現象，數據中介數量眾多，時常難以確定個人信息侵害行為的確切來源，為執法帶來技術難題；另一方面，個人信息泄露案件存在“多因一果”特征，責任主體分散。一樁個人信息泄露案件可能有前端信息泄露問題，也有后端侵害人的手段問題，還有末端受害人的注意義務問題。以典型的行程信息泄露遭遇詐騙的案件為例，信息泄露的主要原因包括訂票方的惡意泄露、黑客的攻擊，還有可能是受害者自身不慎泄露。在有效溯源機制沒有建立、事實難以完全查清的情況下，完全歸咎于信息保存方并不公平。

三是可能涉及商業機密。許多互聯網企業的商業運作模式包括使用自有算法對個人信息數據進行處理，而算法存在“黑箱”技術特性，無法得知數據輸入到輸出的處理過程，同時算法是企業商業競爭力核心所在，屬于不可隨意展示的商業機密，進行監管和司法部門必須審慎考慮公權力的界限，在個人信息安全和企業商業利益之間找到穩固平衡點。

2. 行政監管局限性。專項行政監管部門的缺位、行政管理實務的繁雜性及行政執法的局限性一定程度上限制了對個人信息的行政保護。

一是中國專門負責個人信息監管的行政部門暫缺。橫向對比其他國家可以發現，不少國家設置了專門的個人信息保護監管機構，而中國長期缺乏一個類似部門行使對個人信息的監管職能，根據《網絡安全法》和《刑法》的相關司法解釋，由網信部和公安機關代理；

二是行政管理部門管轄范圍寬泛，分散了對個人信息領域的注意力。現行網絡行政管理機關負責網絡安全的方方面面，由于資源有限，往往更側重于國家和重大安全網絡事件的監管，對個人信息安全監管有所忽視；

三是行政機關與用戶存在一定距離，導致行政機關執法受到限制。因監管部門并非個人信息的權利主體，且個人信息的侵權范圍不易確定，行政機關在執法中往往不易發現或不易判斷公民個人信息是否被侵犯，故在公民個人信息保護上往往克制使用行政處罰權，甚至存在監管缺位的情況。

3. 立法保護局限性。個人信息安全尚屬新興領域，與日新月異的技術發展相比，有關立法進展滯后，表現為：

一是碎片化嚴重，缺乏整體性和協同性。與個人信息有關的各條款分散在數部等級各異的成文法律、司法解釋、安全規范、部門要求中，一定程度上阻礙了執法部門依法治理，這一問題，隨著2021年11月1日《個人信息保護法》正式實施，將得到解決。

二是覆蓋面不廣。現有條款主要集中于銀行、保險、電信等傳統領域，對新興領域個人信息的法律保護不足，司法實踐中時常出現需要上溯至上級法條的情況。

三是侵害個人信息行為所應承擔的法律責任較為模糊。

4. 私益訴訟局限性。囿于個人信息案件特性、私益訴訟程序特性等原因，個人一般不會選擇私益訴訟。個人信息案件一方面涉及用戶數量眾多，單一個體損失較小，進行私益訴訟的動機不足；另一方面存在隱蔽性，受害者既難以確定侵害主體，也難以有效舉證證明侵害行為確實存在。同時，現有私益訴訟程序存在啟動難、流程長，成本高的特點，能夠堅持完成整個訴訟流程的受害者寥寥無幾，最終勝訴的更是少之又少。種種因素結合，個人信息私益訴訟難以成為有效的司法救濟手段。 

建議：個人信息保護應以行政監管為主，公益訴訟為輔

1. 設置個人信息保護行政監管專職部門

從個人信息保護的方式來看，目前行政監管仍然是最有效的手段，也是平衡個人權利和產業發展的最佳方式。行政監管機構更具有專業性，掌握更多的監管資源，能夠更為及時有效地處置糾紛。《個人信息保護法》規定了履行個人信息保護職責部門的具體職責，建立了比較完備的風險防范和損失救濟機制，故應充分發揮行政監管的力量。

從域外比較來看，歐美國家采取的是將嚴格的政府執法、公共壓力之下的行業自律與法院的訴訟機制相結合的模式，個人信息的實際損害賠償的訴訟門檻較高，一般都選擇了以行政執法監管處罰為主的規制模式，私人訴權受到某種程度的限制和弱化，以避免產生過度訴訟。在行政救濟方面，如歐盟《一般數據保護》規定的救濟途徑之一為每個數據主體都有向監管機構進行申訴的權利。而美國在程序性機制上設置了改正期制度，將之作為行政罰款和民事訴訟的前置程序，以提高個人信息保護違規行為的糾正效率。

從個人信息保護效果來看，訴訟程序是最后一道防線，法院應審慎對待此類糾紛。行政監管機關既有權限對違法者的行為進行規制，促進行業健康發展，也有途徑為受害者提供必要的保護和救濟，而對于法院來說，最優的做法是針對行政監管或救濟中的爭議問題樹立規則、引領導向，而不是對個人信息保護案件無原則敞開口子。

一方面，司法權應當保持克制和自律，司法不是解決糾紛的唯一途徑，行政上的救濟可能更有效，對個人信息保護更有效率。當前全國法院正開展的多元調解工作也為此類糾紛的訴前化解提供了契機。個人信息保護群體性的特征也容易引起當事人的濫訴，給司法帶來不可承受之重，政府信息公開濫訴問題就是一個典型的前車之鑒。另一方面，就將來多發的未發生實質損害的情況而言，個人精神或心理波動程度難以統一量化，既容易產生裁判風險，也容易對相關產業或從業主體造成嚴重沖擊。實踐中，不同文化程度、性格脾氣和生活背景的人對個人信息的認知、感受不同，在法律上追求保護的程度和強度也不一致，而不同裁判者對個人信息也有著不同的裁判偏好，因此不同的裁判者對民事主體個人信息被侵犯后所遭受的精神損害大小以及法律能提供的保護程度認識也有差異。

因此，有必要對糾紛處理方式選擇與銜接，將行政監管和公益訴訟有機結合，建立更加符合中國國情的個人信息保護聯動機制和權利救濟機制。

2. 改革個人信息保護公益訴訟制度

一是將專家輔助人制度引入個人信息保護公益訴訟。個人信息保護公益訴訟往往涉及網絡信息安全的相關知識，數據信息存儲平臺作為個人信息的保有者是否存在安全隱患或操作漏洞致使個人信息泄露是關鍵事實，但個人往往并不具備相關專業知識，法官亦難以作出判斷。因此，在個人信息保護公益訴訟中應引入專家輔助人制度。當前，專家輔助人制度已被中國民事訴訟程序所采用。在個人信息保護公益訴訟中，專家輔助人程序的啟動應先由當事人申請，再經人民法院準許，二者缺一不可。庭審過程中，專家輔助人有發表意見、協助詢問、參與質證和進行辯論的權利，可以圍繞案件中涉及網絡信息安全專業的問題提出意見。確有必要，人民法院可準許專家輔助人進入相關平臺系統進行了解和查勘，以便準確掌握系統平臺的安全隱患或操作漏洞。

二是確立懲罰性賠償規則。目前，在個人信息侵權訴訟中，個人信息被侵犯往往難以確定具體損失，致使“賠償損失”的訴求因缺乏事實依據難以被人民法院支持。即便能夠確定損失，因個人信息的商業價值被挖掘后不斷釋放呈現出疊加式的價值增值，而根據現有的損害賠償計算規則，人民法院只計算直接損失，故判決無法達到震懾違法行為人的效果。筆者認為，應構建懲罰性賠償制度，使侵害個人信息權利的違法成本高于收益。

三是建立專項賠償基金。公益訴訟主體為人民檢察院、有關社會組織，訴訟主體與權利主體之間斷裂；即使取得勝訴判決，權利主體也難以真正享有“勝訴權”。破解個人信息保護公益訴訟案件的“執行困局”，是構建個人信息保護公益訴訟制度時應重點關注的問題。目前，公益訴訟制度較為發達的國家普遍采取設立專項賠償基金制度來解決受害群眾廣泛、救濟成本高、難以實現公平受償的問題。

筆者認為，可將專項賠償基金制度應用于個人信息保護公益訴訟，專項基金的設立及運營交由工信部等相關行政部門負責，使用范圍包括但不限于：在一定范圍內對相對確定的受害人予以賠償，實現公益救濟向私益賠償的轉化；通過行政管理的方式監管督促被執行人使用專項基金修復維護系統漏洞，完善網絡平臺的安全治理。檢察機關可通過發送檢查建議函等方式督促相關行政機關管理并運營專項基金，確保專項基金用于滿足社會公共利益。若相關行政機關存在違規行為且不予改正，檢察機關可提起行政公益訴訟。 

[作者朱泳曄來自復旦-煒衡數據安全聯合報告課題組。本文選自江天驕、姚旭主編的《復旦-煒衡數據安全聯合報告》，課題組其他成員還有：王蕾、陸濱、金代文、 趙越等。該報告由復旦發展研究院開設的咨政實踐類課程研究成果轉化而來，調研過程中得到北京煒衡(上海)律師事務所的大力支持。復旦大學網絡空間國際治理研究基地主任、發展研究院教授沈逸與北京煒衡（上海）律師事務所高級合伙人顧靖擔任課題研究顧問。]