前言

近十年来，随着信息技术发展，商业模式随之更迭，公民个人信息已成为重要的经济资源，个人信息同为重要的个人权益，个人信息资源的保护不仅关于经济资源的合理配置，也涉及人身权益的保障。在数据信息成为市场要素的大环境下，通过个人信息实现定向投放的商业营销广告、电信诈骗也不断滋生，受其扰者数不胜数，个人信息安全保护已然成为当今社会迫在眉睫的公共问题。《个人信息保护法》也是在这种大环境下应运而生。本文基于威科先行法律数据库检索获取的案件大数据，旨在通过大数据分析、代表性案例解析和法条解读，归纳并阐释个人信息保护相关纠纷案件中的主要特征和常见问题，以此作为《个人信息保护法》实行前夕的前瞻与衔接。

检索数据来源：威科先行法律数据库

检索时间范围：2001年1月1日-2021年10月19日

1.民事

1.1检索条件

由于民事案由中，个人信息保护纠纷为2021年新增案由，在该案由下检索已公开的裁判文书仅有45份，此前的个人信息保护相关案件分散在隐私权、姓名权等案由中，无法直接使用案由检索，因此采用关键词搜索。

关键词“个人信息”，案由选择姓名权纠纷、肖像权纠纷、名誉权纠纷、一般人格权纠纷以及隐私权、个人信息保护纠纷，检索结果为4472件。

1.2各年份案件量

图1.1 各年份案件量

由柱状图可知，案件自2016年后呈现稳步增长趋势，2020年达到单年最大量901件，而2021年截至10月19日止，案件数量仅为325件。这说明2016年至2020年为个人信息保护热潮时期，个人信息保护司法案件逐年递增。

1.3案由分布

图1.2 案由分布

从可视化饼图来看，大部分案件为隐私权、个人信息保护纠纷，共2144件，占比45.61%；其次为名誉权纠纷，共1947件，占比41.42%；姓名权纠纷共321件，占比6.83%；一般人格权纠纷共150件，占比3.19%；肖像权纠纷共131件，占比2.79%。这说明个人信息纠纷最直接相关的案由为隐私权、个人信息保护纠纷，其次为名誉权纠纷。

1.4程序分类

图1.3案件审理程序

根据可视化结果，一审案件共3146件二审案件1035件；再审案件则只有134件，占比3.01%；执行案件90件，占比2.02%。一审案件占比达70.62%，而二审案件仅占23.23%。

1.5裁判结果分析

1.5.1一审案件裁判结果

图1.4一审案件裁判结果

一审裁判结果中，全部或部分支持诉讼请求的达到1481件，占比47.09%；驳回全部诉讼请求的案件占比20.89%，共657件，驳回起诉的仅有55件，占比1.75%；调解、撤诉的则分别占比4.29%和13.29%。

1.5.2 二审案件裁判结果

图1.5二审案件裁判结果

二审裁判结果中，803件案件为维持原判，占比达到颇为惊人的77.66%；改判及发回重审的共130件，合计仅占12.5%。结合二审案件本身数量占比，则可以认为，个人信息纠纷案件中一审裁判的有效率达到了80%以上。

1.5.3 再审案件裁判结果

图1.6再审案件裁判结果

从图像中可以看出，75.57%的再审案件均判决维持原判，同时，仅有13.74%的再审案件改判。这一情况结合再审案件的总数占比来看，再次提高了原审裁判的有效率。

1.5.4 执行案件结果

图1.7执行案件结果

对执行案件结果的可视化分析可以得出，终结本次执行程序的共27件，占比30%；终结执行的案件共10件，占比11.11%；驳回申请的案件仅有1件，占比1.11%。

1.6审理时长

图1.8审理时长

从图像来看，绝大多数案件的审理时长在90日以内，平均审理时长为60天。

1.7主要问题

1.7.1“个人信息”定义范围

（1）案例展示

黄某与被告腾讯科技（深圳）有限公司广州分公司、腾讯科技（北京）有限公司隐私权、个人信息权益网络侵权责任纠纷

审理法院：北京互联网法院

案号：（2019）京0491民初16142号

裁判日期：2020.7.30

案情摘要：原告黄某因使用“微信读书”手机应用过程中，发现该应用自动关注微信好友，并对外公开书籍阅读记录，起诉腾讯公司侵犯其隐私权和个人信息权益，要求腾讯公司立即停止收集并删除已储存的黄某微信好友关系和阅读记录信息。案件主要争议焦点之一为微信好友关系及书籍阅读记录是否属于受法律保护的个人信息。法院一审裁判认定，腾讯公司的行为构成对原告黄某个人信息的侵害，判决其停止收集、删除已储存的黄某微信好友信息，解除微信读书中黄某与其好友的互相关注，停止展示黄某的阅读记录，并向黄某书面赔礼道歉。

（2）裁判要旨

法院认为，判定某项信息是否属于个人信息，应考虑以下两条路径：一是识别，即从信息到个人，由信息本身的特殊性识别出特定自然人；同时，识别个人的信息可以是单独的信息，也可以是信息组合。可识别性需要从信息特征以及信息处理方的角度结合具体场景进行判断。二是关联，即从个人到信息，如已知特定自然人，则在该特定自然人活动中产生的信息即为个人信息。符合上述两种情形之一的信息，即应判定为个人信息。

本案中，原告的微信好友关系能够与其本人社交圈形成对应关系，显然具有可识别性。而阅读记录、阅读时长、读书想法等信息系其本人在日常活动中产生的信息，能够反映原告其本人的个人偏好、性格特点、生活习惯、思维方式等，同样属于个人信息范畴，应当受到法律保护。

（3）关联条文

《中华人民共和国网络安全法》第七十六条第（5）项规定：“个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”

《中华人民共和国民法典》第一千零三十四条第二款，个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。

《信息安全技术个人信息安全规范》（GB/T35273-2017）中对“个人信息”这一术语的定义：“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的信息。”

（4）新法衔接

《中华人民共和国个人信息保护法》第四条第一款：“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。”

可以看到，个人信息保护法中对个人信息的具体定义与现有法规大致相同，其定义标准主要基于可识别性，这是由于目前互联网环境中，个人信息保护主要涉及的是广告营销、电信诈骗等实务问题，而上述这些行为的实现，便是通过个人信息识别到特定自然人，根据其信息中体现的个人特征和活动情况等，定向投放商业广告、诈骗信息。因此，可识别性的评价是个人信息保护中针对社会问题的基本要点。

但《个人信息保护法》中，将“匿名化处理的信息”排除在保护范围之外，此举一定程度上是基于当下疫情防控的长期需求考虑，便于传染病学溯源和行程信息披露，防止不必要的麻烦。

（5）责任承担

本案中，法院认定腾讯公司的行为构成对原告方个人信息权益和隐私权的侵害，而其责任承担也仅按照侵权责任和《网络安全法》、《侵权责任法》等判令腾讯公司承担停止侵权、赔礼道歉和赔偿合理开支的责任，而在即将实施的《个人信息保护法》中，违反相关规定的个人信息处理者除承担侵权责任外，还会被相关主管部门除以责令改正、警告、暂停或终止提供服务、罚款等处罚。

1.7.2个人信息的性质及权利交叉

（1）案例展示

庞某与北京趣拿信息技术有限公司等隐私权纠纷案

审理法院北京市第一中级人民法院

案号：（2017）京01民终509号

案情摘要：原告庞某委托他人通过北京趣拿公司经营的“去哪儿网“订购东方航空公司机票，但在航班起飞前收到诈骗短信，因此原告认为北京趣拿公司和东方航空公司泄露其联系方式及私密行程等个人信息，遂诉至法院。本案争议焦点之一为原告庞某的联系方式和行程信息等个人信息是否属于隐私权的保护范围。二审裁判认定，北京趣拿公司和东方航空公司存在泄露原告个人信息的高度可能，且存在过错，因此应当承担侵权责任，判令两被告对原告公告赔礼道歉。

（2）裁判要旨

二审法院认为：原告庞某被泄露的各种信息中，姓名和手机号码虽然属于个人信息，但在日常生活中因社交需求，需要频繁被使用、公开，因此不属于隐私权保护的隐私信息，但庞某的航班行程显然属于法律规定的私密活动，因而属于隐私信息，而在庞某的行程信息被一起泄露的前提下，庞某的姓名、手机号码就能够与行程信息结合，一方面，能够与庞某形成对应关系，具有充分可识别性，并且与庞某的人身安全直接相关，属于敏感个人信息；另一方面，个人信息与隐私信息结合后，整体上成为了隐私信息，也属于隐私权保护的范围内。

由上述观点可以得出，个人信息首先属于法律规定的人格权益，但其更深层次的性质需要结合整体情况，从可识别性、敏感程度等方面进行评价。而视其深层性质不同，个人信息与隐私权保护的隐私信息存在一定程度的交叉，如本案中原告的行程信息，既属于隐私信息中的私密活动，也属于敏感个人信息中的行踪轨迹。

（3）关联法条

《中华人民共和国民法典》第一千零三十二条第二款：“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。”

（4）新法衔接

《中华人民共和国个人信息保护法》第二十八条：“敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。“

可以看到个人信息保护法将个人活动轨迹等一部分受到隐私权保护的私密信息定义为“敏感个人信息”，受到更高级别的特殊保护。而对于不满十四周岁的未成年人，其任何个人信息都属于敏感个人信息。

隐私权保护的私密信息与个人信息保护法定义的个人信息、敏感个人信息存在一定交叉，但又有所差异。从《个人信息保护法》来看，个人信息的主要特征在于可识别性，以及由实际识别到特定自然人带来的经济价值，而敏感个人信息主要是与特定自然人财产、人身安全密切相关的，具有实际价值的个人信息；隐私权保护的私密信息则主要体现的是特定自然人的人格利益、精神利益，因此私密信息与个人信息、敏感个人信息在涵盖范围上虽然存在一定程度的交叉，但其保护利益的侧重点完全不同。

1.7.3个人信息保护的义务主体和义务类型

（1）案例展示

同前文“庞某与北京趣拿信息技术有限公司等隐私权纠纷案”。

（2）裁判要旨

二审法院裁判认为：东航和趣拿公司作为各自行业的知名企业，一方面因其经营性质掌握了大量的个人信息，另一方面亦有相应的能力保护好消费者的个人信息免受泄露，因此两公司应当履行其法定的作为义务，保障其掌握的消费者个人信息安全。根据原告提交证据，东航和趣拿公司在被媒体多次报道涉嫌泄露乘客隐私后，即应知晓其在信息安全管理方面存在漏洞，但两家公司却并未举证证明其在媒体报道后迅速采取了专门的、有针对性的有效措施，以加强其信息安全保护。因而可以认定趣拿公司和东航未尽法定积极义务，对本案中原告具有过错，理应承担侵权责任。

由法院观点可知，在其经营、服务活动中获取、使用个人信息的民事主体，也即所谓的“个人信息处理者”，就是承担个人信息保护义务的主体。而根据《消费者保护法》、《网络安全法》等现有法规，个人信息处理者需要承担的义务包括两部分，其一为消极义务，不得泄露、篡改、毁损、向他人提供其收集、使用的个人信息或为其他侵害个人信息权益的行为；其二为积极义务，即采取技术手段等必要措施，建立并完善保护机制。

本案中，虽然不能证明趣拿公司和东方航空违反其消极义务，主动向第三方提供了其掌握的原告个人信息，但由原告提交的相关证据，足以证明二被告未能做到完善保护机制，致使原告个人信息泄露，违反了法定的积极义务，因而需要承担侵权责任。

（3）相关条文

《中华人民共和国民法典》第一千零三十八条：“信息处理者不得泄露或者篡改其收集、存储的个人信息；未经自然人同意，不得向他人非法提供其个人信息，但是经过加工无法识别特定个人且不能复原的除外。

信息处理者应当采取技术措施和其他必要措施，确保其收集、存储的个人信息安全，防止信息泄露、篡改、丢失；发生或者可能发生个人信息泄露、篡改、丢失的，应当及时采取补救措施，按照规定告知自然人并向有关主管部门报告。”

《中华人民共和国网络安全法》第四十条：“网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度。”

第四十一条：“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。

网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。“

第四十二条：“网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。

网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。”

《中华人民共和国消费者权益保护法》第二十九条：“经营者收集、使用消费者个人信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经消费者同意。经营者收集、使用消费者个人信息，应当公开其收集、使用规则，不得违反法律、法规的规定和双方的约定收集、使用信息。

经营者及其工作人员对收集的消费者个人信息必须严格保密，不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施，确保信息安全，防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时，应当立即采取补救措施。

经营者未经消费者同意或者请求，或者消费者明确表示拒绝的，不得向其发送商业性信息。”

（4）新法衔接

《中华人民共和国个人信息保护法》第四条第二款：“个人信息的处理包括个人信息的收集、储存、使用、加工、传输、提供、公开、删除等。”

第九条：“个人信息处理者应当对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全。”

第十条：“任何组织、个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息；不得从事危害国家安全、公共利益的个人信息处理活动。”

第五十一条：“个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，采取下列措施确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失：

（一）制定内部管理制度和操作规程；

（二）对个人信息实行分类管理；

（三）采取相应的加密、去标识化等安全技术措施；

（四）合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训；

（五）制定并组织实施个人信息安全事件应急预案；

（六）法律、行政法规规定的其他措施。”

第六十九条：“处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。

第七十三条第（一）项：“个人信息处理者，是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。”

《个人信息保护法》中对个人信息处理主体的定义大致沿用了《民法典》中的表述，但在“处理”一词的列举定义中增加了“删除”一词，明确删除信息的行为也属于处理个人信息的行为之一。而对于义务类别，《个人信息保护法》同样将此外，《个人信息保护法》还对信息处理者应当用以履行的积极义务措施做出了明确的列举规定，包括内部操作规程、分类管理、安全技术措施、应急预案等。

此外，本次《个人信息保护法》中的一大亮点在于，将以往裁判中对个人信息处理者的归责原则，由过错责任原则改为了过错推定责任原则，个人信息处理者必须证明自己对个人信息权益损害的发生没有过错，才能免于承担侵权责任，此举无疑加重了个人信息保护纠纷中个人信息处理者的证明责任，偏向保护公民的合法权益。

2.刑事

2.1检索条件

设置案由侵犯公民个人信息罪，出售、非法提供公民个人信息罪，非法获取个人信息罪，检索结果为5689件

2.2各年案件量

图2.1 各年案件量

由如上图表可知，在2018年之前，个人信息犯罪案件数量逐年上升，并在2018年达到顶峰，数量高达1279件。2018年之后数量逐年降低，2021年截止至10月19日，个人信息犯罪案件数量仅为257件，不到上一年度的三分之一。

2.3案由分布

图2.2 案由分布

根据可视化结果，侵犯公民个人信息罪共4501件，占比78.88%；出售、非法提供公民个人信息罪1080件，占比18.93%；非法获取个人信息罪120件，占比2.10%。

2.4程序分类

图2.3 程序分类

根据可视化图像可知，个人信息相关刑事案件中，一审案件占比达80.8%，共4565件，占据此类案件的主要地位，二审案件及再审案件则分别占比12.65%和0.18%。可见，个人信息保护相关刑事案件，在程序分类上呈现出与前述民事案件相近的特征，即一审案件占比较大，二审、再审案件占比小。

2.5 裁判结果分析

2.5.1一审裁判结果

图2.4 一审裁判结果

通过对一审案件裁判结果的可视化分析可以发现，个人信息犯罪案件中一审裁判结果为全部或部分支持诉讼请求的占比达到96.98%，共4427件。此外，一审案件中仅有0.26%，合12件案件为撤诉处理。

2.5.2二审裁判结果

图2.5 二审裁判结果

由二审裁判结果分类图像可知，715件个人信息犯罪刑事案件中，391件案件维持原判，占比达到54.68%，撤诉和二审改判案件分别为90件和142件，占二审案件中的19.86%和12.59%。

2.5.3再审案件裁判结果

图2.6 再审裁判结果

从该可视化图像以及检索结果中可知，10件再审案件中，“其他”一项实际指再审维持原判以及驳回再审申请，该项占比达80%，说明此类案件中原审裁判具有较高的准确度。再审改判以及提审、指令审理案件均只有一件，分别占10%。

2.5.4执行案件结果

图2.7 执行案件结果

由执行案件结果可视化图像中可以看出，终结本次执行程序的结果占比达到46.23%，共98件。同时从检索结果中发现，可视化图像中“其他执行裁判结果”一项实际包括执行完毕、终结本次执行程序等执行结果，因而可以认定，终结本次执行程序为实际占比最大的执行结果。

此外，财产执行和执行完毕的结果占比在8.96%，而驳回申请和解除财产执行两项占比不到1%。

2.6 入罪标准

根据《中华人民共和国刑法典》第二百五十三条规定：“违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。

窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。

单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。”

此外，根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条规定：“非法获取、出售或者提供公民个人信息，具有下列情形之一的，应当认定为刑法第二百五十三条之一规定的“情节严重”：

（一）出售或者提供行踪轨迹信息，被他人用于犯罪的；

（二）知道或者应当知道他人利用公民个人信息实施犯罪，向其出售或者提供的；

（三）非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的；

（四）非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的；

（五）非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的；

（六）数量未达到第三项至第五项规定标准，但是按相应比例合计达到有关数量标准的；

（七）违法所得五千元以上的；

（八）将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人，数量或者数额达到第三项至第七项规定标准一半以上的；

（九）曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚，又非法获取、出售或者提供公民个人信息的；

（十）其他情节严重的情形。

实施前款规定的行为，具有下列情形之一的，应当认定为刑法第二百五十三条之一第一款规定的“情节特别严重”：

（一）造成被害人死亡、重伤、精神失常或者被绑架等严重后果的；

（二）造成重大经济损失或者恶劣社会影响的；

（三）数量或者数额达到前款第三项至第八项规定标准十倍以上的；

（四）其他情节特别严重的情形。”

2.7 新法衔接

《中华人民共和国个人信息保护法》第七十一条：“违反本法规定，构成违反治安管理行为的，依法给予治安管理处罚；构成犯罪的，依法追究刑事责任。”

3.行政

3.1检索条件

行政法案件中，个人信息保护相关案件的分布存在与民事案件类似的问题，即缺乏对应的统一案由，多数案件分散在各类案由中。因此同样采用关键词检索，关键词设置为“个人信息”，案由设置为“信息电讯行政管理”和“行政行为”，发现检索结果中有部分无关案件，因此设置排除关键词为“治安行政处罚”，最终检索得到个人信息保护相关行政案件共计2039件。

3.2各年案件量

图3.1 各年案件量

由上个人信息保护相关行政案件各年数量图表可知，案件数量在2018年前呈现增长趋势并在2018年达到最高峰的391件，此后逐年下降。

可以发现，这一趋势与前文中个人信息犯罪刑事案件数量的逐年变化趋势相同。因此可以得出一个结论：近五年来，随着各领域科技发展，个人信息安全问题逐渐成为热潮，并在2018年达到顶峰，自2018年后，个人信息安全问题被正式纳入重点规制，相关立法、政策逐渐完善之下，相应案件数量的增长势头得到有效抑制。

3.3案由分布

图3.2 案由分布（1）

图3.3 案由分布（2）

图3.4 案由分布（3）

对检索结果进行可视化分析，可以看到，行政行为相关案由共1661件，占比63.76%，而在行政行为中，行政处罚案件占比最大，达到22.03%；行政复议案件紧随其后，占比也达到了21.33%。而在占据总数36.24%的行政管理案件中，信息电讯行政管理雄踞榜首，占比为31.48%，公安行政管理占比27.94%紧随其后。

3.4程序分类

图3.5 案件审理程序

从上图可以看到，个人信息保护相关行政案件中，一审案件占比60.1%，共1223件；二审案件占比35.38%，共720件；再审案件和执行案件则各自仅有47件和2件，分别占比2.31%和0.1%。

3.5裁判结果分析

3.5.1一审裁判结果

图3.6 一审裁判结果

对一审裁判结果进行可视化分析，可以发现，个人信息保护相关一审行政案件中，驳回全部诉讼请求的案件有444件，驳回起诉的案件有174件，全部、部分支持诉讼请求的案件则有491件。虽然“全部或部分支持诉讼请求”这一结果的案件占比最大，达到了一审案件总数的40.15%，但同时，足有过半案件被驳回起诉或驳回全部诉讼请求，这与个人信息保护相关民事、刑事一审案件中“全部或部分支持诉讼请求”这一结果占据绝大部分比例的特征存在明显差异。

3.5.2二审裁判结果

图3.7 二审裁判结果

由该可视化图像可以得出，二审维持原判的案件占据绝大部分比例，达到87.08%，共计627件。二审改判或发回重审的案件合计仅有74件，共占比10.28%。可以发现，个人信息保护相关行政二审案件裁判结果所表现出的特征，与此类民事、刑事二审案件相近，均为改判率低、维持原判概率高。

3.5.3再审裁判结果

图3.8 再审裁判结果

此类行政案件的再审裁判结果同样表现出改判率较低的特征，49件再审案件中，仅有3例为再审改判，占据再审案件总数的6.38%。

3.6审理时长

图3.9 审理时长

在个人信息保护相关行政案件中，多数案件的审理时长为91日-180日，占案件总数的40%。而此类案件的平均审理时长为60天。

3.7行政监管

在我国现行法规中，只有《网络安全法》对有关部门的监管措施、侵害个人信息权益的主体应承担的行政责任做出了具体规定。其他法规通常仅有一条笼统规定，要求相关行政机关工作人员对其工作中掌握的个人信息严格保密。

根据《中华人民共和国网络安全法》第六十四条：“网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定，侵害个人信息依法得到保护的权利的，由有关主管部门责令改正，可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款；情节严重的，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。

违反本法第四十四条规定，窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息，尚不构成犯罪的，由公安机关没收违法所得，并处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款。”

3.8 新法衔接

《个人信息保护法》中不仅规定了违反法律规定的个人信息处理者应承担的行政责任，还列举式规定了相关部门应当采取的监管措施以及保密义务。

根据《中华人民共和国个人信息保护法》第六十一条：“履行个人信息保护职责的部门履行下列个人信息保护职责：

（一）开展个人信息保护宣传教育，指导、监督个人信息处理者开展个人信息保护工作；

（二）接受、处理与个人信息保护有关的投诉、举报；

（三）组织对应用程序等个人信息保护情况进行测评，并公布测评结果；

（四）调查、处理违法个人信息处理活动；

（五）法律、行政法规规定的其他职责。”

第六十二条：“国家网信部门统筹协调有关部门依据本法推进下列个人信息保护工作：

（一）制定个人信息保护具体规则、标准；

（二）针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用，制定专门的个人信息保护规则、标准；

（三）支持研究开发和推广应用安全、方便的电子身份认证技术，推进网络身份认证公共服务建设；

（四）推进个人信息保护社会化服务体系建设，支持有关机构开展个人信息保护评估、认证服务；

（五）完善个人信息保护投诉、举报工作机制。”

第六十三条：“履行个人信息保护职责的部门履行个人信息保护职责，可以采取下列措施：

（一）询问有关当事人，调查与个人信息处理活动有关的情况；

（二）查阅、复制当事人与个人信息处理活动有关的合同、记录、账簿以及其他有关资料；

（三）实施现场检查，对涉嫌违法的个人信息处理活动进行调查；

（四）检查与个人信息处理活动有关的设备、物品；对有证据证明是用于违法个人信息处理活动的设备、物品，向本部门主要负责人书面报告并经批准，可以查封或者扣押。

履行个人信息保护职责的部门依法履行职责，当事人应当予以协助、配合，不得拒绝、阻挠。”

第六十六条：“违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

有前款规定的违法行为，情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。”