近日，我國“人臉識別第一案”隨著二審的宣判落下帷幕，但個人信息保護還有很長的路要走。如何在科學技術進步和個人信息安全間找到合理的平衡點，需要法律提供相應的解決方法。我國民法典雖然將個人信息作為人格權益進行保護，并將“人臉識別”等生物識別信息作為個人信息的典型，但由于其調整對象和調整方式等原因，關于個人信息保護的規定還需要其他法律進行細化和專門保護。能起到這一作用的專門法律，主要是個人信息保護法。今年4月26日，我國個人信息保護法（草案）提請十三屆全國人大常委會二審。結合草案的規定和我國相關領域的實踐情況，我國的個人信息保護，還需要進一步織密法網、厘清邊界。

構建多層次個人信息規制體系。大數據時代，“人臉識別”技術等個人信息采集用途廣泛。個人信息保護法律制度應當是全方位的、動態的保護制度，既要亡羊補牢、事后追懲，更要未雨綢繆、防患于未然，發揮多方合力。針對使用相關技術的主體，草案做了原則性的區分，但還需在實踐中進一步深化細化。對于個人信息的保護應遵循實事求是、因事制宜的原則，根據不同行業、不同領域、不同情形的技術應用，圍繞法律的原則性規定，制定符合實際情況的規章制度，從而建構以個人信息保護法為基本法、以行業規章為配套法規、以司法解釋為適用指引、以其他法律為輔助調整的多層次個人信息規制體系，發揮不同制定主體、不同效力位階、不同規制方式的優勢，對個人信息進行全方位的法律規制。

加強對于個人信息范疇的解釋。明確個人信息范疇是個人信息保護法的立法重點和難點，決定著一項個人信息能否落入該法規制的范疇。此次草案規定，個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息。這一概括性規定還需要在有關配套法規中對其進行更為詳細的列舉，草案中的“可識別”和“已識別”也有待解釋說明，可將之解釋為“以普通人的判斷力或理解力能夠識別生存的具體個人與信息之間的同一性”，以一般人的觀念而非更高的技術標準作為“可識別”或“已識別”的標準，降低個人信息保護的“門檻”。

完善處理個人信息的條件規定。個人信息處理的前提條件是個人信息保護立法所必備的內容，其核心是“知情—同意”規則。也就是說，一般情況下，在遵循合法、正當、必要原則的前提下，如果本人知情且同意，則可收集、處理該自然人的個人信息。但出于利益衡量和現實考量，通常會對該規則作出例外的限制，即無需通過本人知情同意就可以對個人信息進行處理。此次草案采取了“列舉+兜底條款”的方式，列舉了六種合法處理個人信息的前提條件。在此基礎上，還可考慮通過司法解釋、發布典型案例，進一步明確處理個人信息的條件，防止出現信息收集、使用規則不透明及過度收集、使用等問題。

細化個人信息“通知—刪除”規則。“通知—刪除”規則是個人信息保護立法中常用的立法技術和規則類型，指在滿足一定條件后，主體有權通知個人信息處理者刪除其個人信息。草案列舉了五種情形，構建了“通知—刪除”規則。但刪除義務的履行標準還應當細化，例如，可以在“通知—刪除”規則中增加“毫不遲延地停止使用”的履行標準，即在查明請求成立時，應在必要的限度內糾正違規行為且毫不遲延地停止使用其持有的個人信息。細化“通知—刪除”規則的標準和例外規定有利于平等保護雙方權益，豐富矛盾糾紛解決方式，節約個人信息保護成本。

強化對敏感個人信息的特別保護。對敏感個人信息的特別保護是此次草案的一大特色。“人臉識別”技術所涉的自然人面部的生物特征信息就屬于敏感個人信息。敏感個人信息泄露具有更嚴重的危害性，因此較一般個人信息而言應得到更為全面的嚴格保護。接下來，在有關配套法規中，應對敏感個人信息處理者的義務進行更加詳細的規定，將“特別保護”體現在更嚴格的獲取前提、更嚴格的向第三方提供的條件、更嚴格的違法責任、更嚴格的合法證明標準等內容上。

完備違法處理個人信息的法律責任。無救濟則無權利。檢驗信息保護規則有效性的關鍵在于，違法行為是否能夠得到及時查處，權利受損者能否得到及時、充分的法律救濟。這里涉及多個主體、多種責任，對于侵害個人信息的違法犯罪行為，采取的是刑事責任、行政責任與民事責任并重，私人訴訟與公益訴訟兼采的綜合法律責任體系。一方面，法律責任的規定必須具有足夠的震懾力，即法律通過大幅提高罰款金額，增加企業的違法違規成本，促使企業建立良好的內部數據合規體系。另一方面，不能給司法留有過大的自由裁量空間，否則可能導致“同案不同判”。因此，在完善有關法律責任的規定的同時，要及時出臺相應的法律解釋，為實踐提供具體指引，確保司法執法公平公正。

注重刑法、民法典、訴訟法同個人信息保護法的互動。出于立法傳統的考量，草案主要規定違反個人信息保護的行政處罰，有關犯罪規定在刑法中，有關民事法律責任主要規定在民法典中，有關個人信息訴訟程序則規定在訴訟法中。采取這種立法例必須要注重刑法、民法典及有關訴訟法同個人信息保護法之間的互動，及時進行有關規范的立、改、釋、廢工作，發揮不同法律規范的特點，良性互動協力促進個人信息保護。個人信息保護法是特別法，根據特別法優于一般法的法理，當有關個人信息保護的事項在個人信息保護法和其他法律之間發生沖突時，應優先適用個人信息保護法，從而使各部法律既各司其職，又有效銜接。