当个人信息权益被侵犯时，如何维权一直是公众关注的焦点和难点。

据新华社消息，4月26日，个人信息保护法草案提请全国人大常委会二次审议。南都记者注意到，草案二审稿拟新增规定——当个人信息权益受到侵害时，如果个人信息处理者不能证明自己无过错的应担责。有专家分析认为，此条修改或减轻了个人的举证责任，更有利于个人维权。

自疫情爆发以来，新冠患者信息泄露事件时有发生。而对于被侵害个人信息权益的个人而言，维权的成本高且举证责任大。

天达共和律师事务所合伙人、数据合规团队负责人申晓雨告诉南都记者，以往个人信息权益受到侵犯时，往往采取的是过错责任原则。在“谁主张谁举证”的原则下，证明责任往往是由个人信息主体承担，而非企业。

值得注意的是，草案一审稿规定，因个人信息处理活动侵害个人信息权益，个人信息处理者能够证明自己没有过错的，可以减轻或者免除责任。草案二审稿则修改为，个人信息权益因个人信息处理活动受到侵害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。

申晓雨认为，当个人信息权益被侵害后，此条改动减轻了个人的举证责任，更有利于个人维权。

“这是从现实情况出发作出的规定，因为用户处于弱势一方。”中国信息安全研究院副院长左晓栋强调，此举体现了草案二审稿“加大企业责任”的立法价值取向。同时，如果事后个人信息泄露的责任进一步澄清了，个人信息处理者还可以主张自己的权益，找真正的泄露者索赔。

另外，申晓雨表示，举证责任的倒置可能会“倒逼”企业去做更细致的合规工作，包括合规工作本身的证明记录等。

南都记者注意到，针对广受关注的“撤回同意”，草案二审稿也做出了修改。草案一审稿规定，基于个人同意而进行的个人信息处理活动,个人有权撤回其同意。 而二审稿修改为，个人信息处理者应当为个人提供便捷的撤回同意的方式；个人撤回同意，不影响撤回同意前已进行的个人信息处理活动的效力。

由“有权撤回”变为“便捷的撤回同意”， 申晓雨认为，草案二审稿将“撤回同意”的实操进一步细化——如果企业设置了过于复杂的撤回同意，用户可能会因此而被迫放弃撤回。

采写：南都见习记者 孙朝 南都记者 尤一炜 实习生 樊文扬

编辑：蒋琳

更多报道请看专题：《个人信息保护法》通过