作者：马方飞（上海市人民检察院检察官）

　　当前，个人信息保护是社会公众最关注的现实问题之一。4月26日，《中华人民共和国个人信息保护法（草案）》（下称《草案》）提请第十三届全国人大常委会二审。从《草案》内容看，立法拟由国家网信部门统筹协调个人信息保护工作，并推动构建多维度的法律责任体系，力求加大个人信息保护力度。笔者认为，从完善立法考虑，还可以从以下方面加以探讨和研究。

　　进一步细化保护对象及保护信息的范围

　　个人信息的敏感性与个人的年龄、职业、性别、文化教育程度、阅历、心理等因素相关，立法要对一些特殊类型的主体制定专门的规定。比如，从民事行为能力情况及保护未成年人的角度，未成年人保护法中规定：“处理不满十四周岁未成年人个人信息的，应当征得未成年人的父母或者其他监护人同意，但法律、行政法规另有规定的除外。”为与民法典同向而行，考虑现实性、可行性等因素，建议《草案》内容在自然人个人信息保护的基础上，可以增加涉及胎儿、死者、英雄烈士等信息保护规定。

　　一是个人信息有很强的关联性和权益延展性。通过若干信息的组合研析，可以对个人和具有一定关系的人进行识别或预判。现实中，死者的遗传特征、重大遗传学疾病、性生活信息、个人癖好等具有高度敏感性。对死者延伸保护，实际上更多的是保护活人的权益，符合逝者安息、活者安宁的正向价值。特别是，通过死者信息，可以识别其相关家属信息，基于公序良俗等考虑也应该进行保护。

　　二是要考虑立法的前瞻性。现有规定不明确易引发实践中的争议。个人信息权益具有精神价值与财产价值，假若对胎儿、死者包括英雄烈士的个人信息不加以保护的情况下，则不便于权利救济。胎儿也有可识别信息，比如胎儿的影像、性别、疾病、身体特征等。胎儿信息与父母信息一起在医院等机构大量储存，需要一同加以保护。另外，一些父母或机构在网络上晒胎儿信息实有不妥。对胎儿信息的侵害亦应该加以禁止，以稳预期、利长远，不应还未出生就“透明化”。为保护数据的开发、司法的资源与效率、学术言论的自由等，对于死者信息区分敏感信息与否规定一段不同的保护期，而非长期永久保护。此外，个人信息的范围随着时代发展不断拓展，内容将更加丰富，储存载体和具体表现形式也将更加多元，需要不断延展保护。故《草案》可规定，涉及胎儿信息权益保护的，胎儿视为具有民事权利能力。但是，胎儿娩出时为死体的，其信息权益可视为父母个人信息权益加以保护。涉及死者信息权益保护的，其配偶、子女、父母有权依法请求行为人承担民事责任；死者没有配偶、子女且父母已经死亡的，其他近亲属有权依法请求行为人承担民事责任。死者的一般个人信息保护期为三年，敏感个人信息保护期为五十年，但无保护必要的信息除外。涉及私密信息的，适用法律有关隐私权的规定。涉及英雄烈士个人信息的，适用英雄烈士保护法等有关法律的规定，但适用本法更有利的除外。

　　进一步优化公益诉讼的架构设置

　　个人信息保护工作需要综合治理。《草案》规定了行政处罚、信用公示、行政内部管理和纪律处分、赔偿损失、公益诉讼、治安处罚或刑事制裁，非常全面。在国家机关中，行政职能部门是维护公益第一顺位的代表，立法也详细规定了行政机关在个人信息保护中的重要职能作用，下一步有必要对相关职能和措施进行细化，促进落地落实。《草案》规定了公益诉讼制度，指出检察院、履行个人信息保护职责的部门和国家网信部门确定的组织可以提起公益诉讼。而根据检察公益诉讼制度的定位，检察公益诉讼在维护公益方面具有协同性、督促性、补充性、兜底性等特点，参考已有检察公益诉讼的法律条文，建议《草案》进行适当修改。

　　一是坚持检察公益诉讼定位，保持立法的延续性和个人信息保护工作的体系性、层次性。检察职权具有监督性、程序性、有限性、兜底性和协同性等特征，检察公益诉讼亦是如此。在个人信息保护方面，要发挥职能部门行政管理优势，继续赋予行政机关第一顺位维护公益的地位。为保障法律的统一正确实施，应坚持检察公益诉讼定位，由检察公益诉讼兜底，发挥补充性优势，而不是代替执法。即使在行政机关不履职或履职不到位的情况下，检察公益诉讼针对侵害众多个人信息的情况制发检察建议，提起公益诉讼，具有鲶鱼效应，但本质仍是协同共治。

　　二是借鉴个人信息保护实践，考虑检察公益诉讼的便利性。检察院办理案件比如刑事案件时，对于侵害众多个人信息权益的行为，一并提起刑事附带民事公益诉讼更容易操作。对于职能部门未办理，检察院主动履职的个人信息保护案件，可以单独提起民事公益诉讼，有利于发挥检察机关主动履职的积极性。上海、河北、河南、湖北、云南、广西、陕西、辽宁等多地的地方性法规已将个人信息安全纳入检察公益诉讼范围。

　　三是凝聚个人信息保护工作合力。个人信息保护工作靠一家行政机关单打独斗无法完成重任，需要个人积极维权，行业加强自律，司法严厉制裁，国际同向合作等。就检察机关发挥公益诉讼职能角度看，需要明确检察院督促、支持起诉的职权，健全检察机关履行法律监督的工作抓手，从而发挥检察机关的法律工作优势，彰显检察官作为公共利益的代表价值。故建议《草案》规定，个人信息处理者违反本法规定处理个人信息，侵害众多个人信息权益的，履行个人信息保护职责的部门和国家网信部门确定的组织可以依法向法院提起诉讼。前款规定的机关和组织未提起诉讼的情况下，检察院可以督促、支持其提起诉讼。人民检察院依据职权办理侵害众多个人信息权益的案件中，可以一并向人民法院提起刑事附带民事公益诉讼或单独提起民事公益诉讼。

　　进一步明确法律后果特别是民事法律责任

　　贯彻落实好民法典，需要加大个人信息保护的民事法律保护。《草案》设置了很多公法方面的保护措施，但私法保护不能弱，特别是法律责任中的民事责任只明确赔偿损失是一大缺漏。

　　一是法律责任的创设与落实是法律实施的重要保障机制。民法、行政法、刑法等法律的协同保护已是社会共识，而《草案》的现有规定让自然人个人难以实现私力救济，需要在民法典的基础上补强民事保护措施。此次立法需要明确民事责任内容而不能仅有赔偿一项内容。

　　二是个人信息保护领域的公益诉讼诉请不限于赔偿损失，如立法明确消除危险、惩罚性赔偿等将具有重要意义。公益诉讼在个人信息保护工作中可以发挥预防性功能和惩罚性功能。比如，对于传统扣押犯罪工具如电脑、手机等，可以消除相应载体内的个人信息，但并不能消除储存在邮箱、网盘、聊天工具、云端等网络上的个人信息，尚有重复侵害的较大可能，可以通过公益诉讼提出恢复原状、消除危险等诉请。具体可以考虑进行规定或者创设禁止令加以保护。现有刑法对个人信息犯罪规定较为严格，实践中对售卖型行为打击较多，对提供给他人（企业）使用等的非法行为的打击较为谨慎，比如很多App不合规甚至可能涉罪。惩罚性赔偿具有惩罚和遏制不法行为等多重功能，可以在刑事司法制裁、行政管理规制之外加以适用，既可以推动刑法谦抑又符合实践，也可以实现不同法律阶梯型多层次治理个人信息侵害问题。

　　三是与个人信息有关的私益诉讼请求不限于赔偿损失，现有规定不明确易引发实践中的争议。囿于法律责任不明确和现有举证规则，被侵权人依照《草案》设计的条文不能实现充分救济，将会延续私益诉讼不活跃的现状。在私益诉讼难以提起或者无私益诉讼的情况下，则支持起诉制度等作用也将弱化。另，被侵权人的一些敏感信息泄露还可能对被侵权人造成严重精神伤害，立法还应赋予被侵权人提出精神损害赔偿的权利。建议《草案》规定，违反本法规定，侵犯个人信息权益的，依照民法典和其他法律规定承担民事责任。认定行为人相应民事责任，应当考虑行为人和受害人的职业、影响范围、过错程度，以及行为的目的、方式、后果等因素。受害人及本法规定的有关机关和组织的停止侵害、排除妨碍、消除危险、消除影响、赔礼道歉等请求权，不适用诉讼时效的规定。

　　因个人信息处理活动侵害个人信息权益的，按照个人因此受到的损失或者个人信息处理者因此获得的利益承担赔偿责任；个人因此受到的损失和个人信息处理者因此获得的利益难以确定的，由法院根据实际情况确定赔偿数额。个人信息处理者能够证明自己没有过错的，可以减轻或者免除责任。

　　有关机关和组织依照本法规定提起诉讼的，可以根据侵害众多个人信息的过错程度和影响后果等因素，提出三至十倍的惩罚性赔偿等诉讼请求。个人信息处理者已被判处罚金或者行政罚款等经济类惩罚措施的，惩罚性赔偿数额可以适当减少。惩罚性赔偿可以用于个人信息保护工作等公益事业。

　　个人信息保护立法备受关注、功在当下、利在长远。下一步，建议借鉴软件技术的研发测试，由立法部门、职能行政机关、司法机关等对历史上和现实正在发生的个案，在适当考虑前瞻性基础上，进行模拟审查处置。考虑到个人信息除了可识别性、可复制性等特征被大众逐渐认知外，还有公开与保密交叉、不变与变化共存等特征需要深化基础研究；而一些涉及跨国企业的管辖、信息的跨境流动等法律问题也有待结合实践细化措施，个人信息保护立法也不可能毕其功于一役，要抓紧制定出来加以实施，并随时代发展不断修正完善。