中心解读 | 《个人信息保护法》以闭环管理机制，规制个人信息泄露问题

归纳起来，《个人信息保护法》主要解决个人信息滥用和个人信息泄露两大问题。通过个人信息处理规则、个人在个人信息处理活动中的权利、个人信息处理者的义务等制度设计，《个人信息保护法》对个人信息滥用问题进行了全面的规制。而个人信息泄露问题具有一定特殊性，主要通过个人信息安全保障义务的履行（防范源头）以及设立个人信息泄露通知制度（控制末端）予以应对，形成闭环管理机制。

之所以设立个人信息泄露通知制度是因为网络安全领域具有高专业性，安全攻击行为具有隐蔽性和多变性。《数据安全法》将“数据安全”界定为“通过采取必要措施,保障数据得到有效保护和合法利用,并持续处于安全状态的能力”，体现出了安全是动态的安全能力维持，而非仅仅是静态的确定性结果这一理念。为此，实践中个人信息处理者即使已充分履行个人信息安全保障义务，也很难将个人信息泄露等安全事件发生率降低至零。从多元治理和资源配置的角度来看，发生个人信息安全事件（个人信息泄露、篡改、丢失）或具有个人信息安全风险（可能发生个人信息泄露、篡改、丢失）时，构建个人信息泄露通知制度，通过触发监管资源的及时介入，以及启动个人主体的防御举措，形成个人信息处理者与履行个人信息保护职责的部门以及个人之间有效联动的机制，能够极大程度减轻个人信息泄露事件的影响。一方面，个人信息泄露通知制度能够提升监管效率。个人信息泄露往往与数据非法交易相关，贩卖者通常将个人信息在“暗网”上兜售，有些只接受比特币进行隐蔽交易，监管机构很难及时发现。个人信息泄露通知制度能够帮助监管机构及时了解泄露的具体情况，进而制定相应的应急监管方案。另一方面，个人信息泄露通知制度能够减少个人损失。发生个人信息泄露事件时，如果能够及时通知个人，个人就有机会通过采取更改密码等措施，或者警惕欺诈或者诈骗等行为，来最小化个人信息泄露带来的损失。

我国高度关注个人信息泄露问题，不断完善规制个人信息泄露的制度规则。2012年，《关于加强网络信息保护的决定》首次从法律层面对个人信息泄露问题进行了规定，作出了两项要求：安全防范（采取技术和其他措施确保安全）以及补救措施（在发生或者可能发生个人信息泄露、毁损、丢失时进行补救）。2013年，《电信和互联网用户个人信息保护规定》（工信部24号令）中除了延续安全防范和补救措施两项要求外，首次提出了报告义务（造成或者可能造成严重后果的，应当立即向准予其许可或者备案的电信管理机构报告，配合相关部门进行的调查处理）。2016年，《网络安全法》在工信部24号令的基础上，将报告义务进一步扩展，既要向相关主管部门报告，也要及时告知用户，体现了对用户知情权的尊重。此外，《消费者权益保护法》《电子商务法》等立法中也对个人信息泄露问题进行了规定。

个人信息泄露问题在世界范围内广受关注，主要国家和地区普遍以泄露通知制度为切入应对泄露问题。目前，美国各州、欧盟、澳大利亚、英国、韩国、新加坡等都已经在立法中对个人信息泄露通知制度进行了规定，主要包括实施主体、通知对象、触发条件、通知事项、通知时限等内容。关于实施主体，一般而言，对个人信息享有控制权的主体（《通用数据保护条例》（以下简称GDPR）使用个人信息控制者这一概念）是义务主体。关于通知对象，一般包括监管机构和个人。GDPR还规定了告知个人的豁免情形，在个人信息控制者采取数据加密等措施，使他人无法理解被泄露的个人信息或者个人信息控制者采取措施确保不会出现个人权利和自由受到高风险侵犯等情形下，个人信息控制者可以不告知个人。关于触发条件，是指启动个人信息泄露通知制度的门槛要求。例如，美国加州规定在同时满足特定信息（社会保险号、信用卡账号、医疗信息等特定的个人信息）和条数要求（500条以上）的情况下，才触发个人信息泄露通知义务。关于通知事项，是指对监管机构和个人通知书中的具体内容，包含泄露个人信息类型和数量、泄露时间、数据保护官联系方式、可能后果、补救措施等内容。关于通知时限，是指在发现个人信息泄露后应当在多长时间内通知个人和监管机构。例如，GDPR规定个人信息控制者应在知道之时起72小时内向监管机构报告，如果没有在72小时内报告的，需要对迟误原因进行说明。但GDPR没有规定告知个人的具体时间，只是要求尽快告知。

此次，《个人信息保护法》进一步完善了个人信息泄露通知制度的各项具体要求。一是明确个人和履行个人信息保护职责的部门属于通知对象。此前，《网络安全法》规定应及时告知用户并向有关主管部门报告，但并未明确具体的主管部门。工信部24号令作为电信和互联网领域的个人信息保护规范，规定向准予其许可或者备案的电信管理机构报告，但适用范围有限。此次，《个人信息保护法》将通知对象明确规定为个人和履行个人信息保护职责的部门。二是规定通知个人的豁免情形。并非所有的个人信息泄露事件，都要启动个人信息泄露制度向个人进行通知。《个人信息保护法》规定，个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的，个人信息处理者可以不通知个人；履行个人信息保护职责的部门认为可能造成危害的，有权要求个人信息处理者通知个人。因为如果补救措施可以有效防止个人遭受伤害或者个人信息泄露事件本身不会对个人造成危害，则无需触发对于个人的通知机制，避免个人信息处理者负担不必要的通知成本。三是细化通知事项。《个人信息保护法》规定通知事项包括：发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害；个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施；个人信息处理者的联系方式。详细的通知事项既可以能够帮助履行个人信息保护职责的部门快速了解个人信息泄露事件的全貌，也有助于帮助个人及时减轻个人信息泄露对自身的影响。此外，《个人信息保护法》并没有限定通知的具体方式，此举给通知个人的方式留下了灵活的操作空间。个人信息处理者可以根据实际情况采用不同的通知方式，一种是通过邮件、电话等方式一对一通知个人；另一种是通过替代性公告的方式一对多通知个人。例如，当通知费用过高、受影响主体数量过多或者个人更换联系方式时，可以采用在网站、广播、报纸等公开渠道上进行公告。四是设置区分化的法律责任。按照《个人信息保护法》的规定，对未履行个人信息泄露通知义务的处罚规定较为刚性和严格，最高可以处五千万元以下或者上一年度营业额百分之五以下罚款，起到倒逼个人信息处理者履行通知义务的作用。因为个人信息处理者对个人信息泄露采取补救措施、通知个人、与履行个人信息保护职责的部门进行沟通不但会增加运营成本，而且个人信息处理者往往担忧披露泄露事件会影响商业信誉，如果没有强有力的处罚机制，个人信息处理者就没有足够的动力落实泄漏通知要求。但也应注意到，个人信息安全保障义务与个人信息泄露通知是两项独立的制度设计，个人信息泄露通知义务的履行并不意味着个人信息安全保障义务的豁免。个人信息泄露发生后，当个人信息处理者履行通知义务告知履行个人信息保护职责的部门后，该部门会启动个人信息安全保障义务的检查机制，判断个人信息泄露的发生是否由于个人信息安全保障义务履行不到位所致。如果个人信息处理者未履行充分的个人信息安全保障义务，即使已履行通知义务，也仍需承担相应的法律责任。

个人信息泄露通知并非孤立的制度，如前文所述，《个人信息保护法》还通过规定个人信息安全保障义务，包括内部安全管理要求、事前影响评估以及设立个人信息保护负责人等规则，以有效应对个人信息泄露问题。一是细化内部安全管理要求，《个人信息保护法》要求个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，采取下列措施确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失。具体措施包括：制定内部管理制度和操作规程，对个人信息实行分级分类管理，采取相应的加密、去标识化等安全技术措施，合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训，制定并组织实施个人信息安全事件应急预案等内容。如果个人信息处理者能够根据个人信息的处理目的、处理方式、个人信息的种类以及对个人的影响、可能存在的安全风险等方面综合评估和判断，严格落实内部安全管理要求，设好保护屏障，则能够在一定程度上降低个人信息泄露发生的可能。二是《个人信息保护法》规定事前个人信息保护影响评估机制，即个人信息处理者在开展对个人有重大影响的个人信息处理活动时，应当进行事前个人信息保护影响评估,并对处理情况进行记录。《个人信息保护法》还明确了个人信息保护影响评估的具体事项：个人信息的处理目的、处理方式等是否合法、正当、必要；对个人权益的影响及安全风险；所采取的安全保护措施是否合法、有效并与风险程度相适应。通过事前的个人信息保护影响评估机制，个人信息处理者能够对自身的个人信息安全风险有一个精确的认识，较为准确把握自身的安全水平和安全需求，识别出具有高风险和存在安全漏洞的个人信息处理活动，从而防范个人信息泄露事件的发生。同时，《个人信息保护法》要求个人信息保护影响评估报告和处理情况记录应当至少保存三年，这些记录可以作为履行个人信息保护职责的部门在事后调查个人信息泄露事件时的线索指引，用以评估个人信息处理者的安全保障义务的履行情况，即为防范个人信息泄露风险是否做出了必要的努力，帮助履行个人信息保护职责的部门在处罚时，做到罚当其罪。三是《个人信息保护法》设立了个人信息保护负责人制度，规定处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。此外，个人信息处理者应当公开个人信息保护负责人的联系方式，并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。这项制度有助于明确个人信息处理者在发生个人信息泄露事件时与履行个人信息保护职责的部门进行对接的人员，避免因信息缺失，出现无法及时监管的情形。