解析我国规制个人信息泄露问题的法律路径

杨婕

(中国信息通信研究院政策与经济研究所，北京100191)

0 引言

大数据、人工智能、云计算等数字技术正在推动社会快速步入数字经济时代，数据已经成为数字经济时代的关键生产要素，不断爆炸式增长，成为经济发展的新引擎、产业创新的新动力以及便捷生活的助推剂。与此同时，由于个人信息处理者业务上云的普及，云端数据存储量增大，特别是新冠肺炎疫情期间，线上业务持续增长，线上教育、远程办公等场景加大了数据泄漏的风险。据市场调研公司Canalys统计，2020年全球个人信息泄露事件超过去15年总和[1]。在所有个人信息泄露事件中，个人信息泄漏问题尤为突出，占数据泄漏事件的60%，成为影响个人权益、企业发展甚至国家安全的重要因素。

1 个人信息泄露事件层出不穷，安全威胁日益严峻

个人信息泄露是指个人信息处理者丧失对其掌握的个人信息的控制力，造成个人信息范围的扩散和用途的不可控。

1.1 全球个人信息泄露呈现出泄露规模大、行业广、时间久、原因杂等特点

近年来，个人信息泄露呈现出个人信息泄露规模体量增大、涉及行业增多、持续时间较长、引发原因多样等趋势。

一是个人信息泄露规模体量增大。当前，受个人信息泄露影响的个体数量不断扩大。2020年3月，5.38亿条新浪微博用户个人信息在暗网非法出售，包括1.72亿条含用户ID、地理位置等账户基本信息。

二是个人信息泄露涉及行业增多。随着越来越多的设备、平台相互联通，以及云计算、物联网的不断融合，个人信息泄露涉及的行业越来越广泛，已渗透互联网、物流、金融、教育、医疗、酒店、娱乐等行业。其中，互联网、金融行业作为信息化、数字化发展程度最高的行业，已成为个人信息泄露的重灾区[2]。

三是个人信息泄露持续时间较长。由于大部分个人信息处理者并没有应对个人信息泄露的响应机制，无法迅速发现个人信息遭到泄露。《2020年数据泄露成本报告》[3]显示，个人信息处理者发现并控制数据泄露的平均时间为280天。

四是个人信息泄露引发原因多样。个人信息泄露原因多种多样，既有黑客利用系统漏洞进行攻击，又有数据库配置错误、企业人员非授权访问、第三方维护人员错误操作、“内鬼”主动泄露以及办公网络边界不再固定等诸多原因[4]。

1.2 个人信息泄露引发国家、企业、个人不同维度的安全风险

当前，个人信息泄露安全风险日益成为影响个人权益、企业发展甚至国家安全的重要因素。

一是威胁个人人身财产安全。一方面，个人信息泄露可能威胁个人人身安全。新冠肺炎疫情暴发初期，部分涉疫人员的个人信息被泄露，引发污名化、恶意骚扰、暴力恐吓等行为，给当事人造成极大困扰。另一方面，个人信息泄露极大危害个人财产安全。个人信息泄露一直以来都是骚扰电话、网络诈骗、敲诈勒索等违法活动的罪魁祸首。

二是影响企业日常经济利益。一方面，当企业发生个人信息泄露时，会造成用户信任度丧失、企业形象产生负面影响等无形资产的损失。另一方面，企业在发现泄露和立即响应个人信息泄露等活动上需要承担不小的支出和精力，《2020年数据泄露成本报告》[3]显示，目前企业单次个人信息泄露事件的平均财产损失为386万美元。

三是甚至可能威胁国家安全。大规模、群体性以及重点行业的个人信息被泄露后，可能被他国用来分析国计民生情况，影响国家发展和安全利益。例如，2020年国家互联网应急中心共监测发现我国境内被植入后门的网站数量达到了61 948个，涉及大量来自境外的针对我国工业云平台的网络攻击和恶意嗅探事件。

2 国外治理个人信息泄露的经验做法

个人信息泄露不分国界，全球都在饱受个人信息泄露问题的困扰。国外对此高度重视，并采取了一系列法律行动。

2.1 健全立法保障体系，制度设计多管齐下

国外将个人信息泄露通知制度作为立法体系的重点环节，发挥着提升监管效率以及减少个人损失的作用。但个人信息泄露通知并非孤立的制度，各国往往将登记注册制度和安全保障规则作为配套制度，构建起完整的个人信息保护立法保障体系，以有效应对个人信息泄露问题。

一是以个人信息泄露通知制度作为主要制度抓手。个人信息泄露通知制度，是指可能或者已经发生个人信息泄露、损毁、丢失等情形时，企业及时通知监管机构及个人，让各方尽快了解情况以采取保护措施。目前，美国各州、欧盟、澳大利亚、英国、韩国、新加坡等国家/地区都已经在立法中对个人信息泄露通知制度进行了规定，主要包括实施主体、通知对象、触发条件、通知事项、通知时限等内容。关于实施主体，一般而言，对个人信息享有控制权的主体是义务主体。例如，欧盟《通用数据保护条例》(以下简称GDPR)将个人信息控制者作为义务主体。关于通知对象，一般包括监管机构和个人。例如，GDPR还规定了告知个人的豁免情形，在个人信息控制者采取数据加密等措施，使他人无法理解被泄露的个人信息或者个人信息控制者采取措施确保不会出现个人权利和自由受到高风险侵犯等情形下，个人信息控制者可以不告知个人。关于触发条件，是指启动个人信息泄露通知制度的门槛要求。例如，美国加州规定在同时满足特定信息(社会保险号、信用卡账号、医疗信息等个人信息)和条数要求(500条以上)的情况下，才触发个人信息泄露通知义务。关于通知事项，是指对监管机构和个人通知书中的具体内容，包含泄露个人信息类型和数量、泄露时间、数据保护官联系方式、可能后果、补救措施等内容。关于通知时限，是指在发现个人信息泄露后应当在多长时间内通知个人和监管机构。例如，GDPR规定个人信息控制者应在知道之时起72 h内向监管机构报告，如果没有在72 h内报告的，需要对迟误原因进行说明。但GDPR没有规定告知个人的具体时间，只是要求尽快告知[5]。

二是以登记注册制度和安全保障规则作为配套制度。登记注册制度是指开展个人信息处理活动的企业，应当向监管机构就其处理个人信息的相关情况事先提交登记注册申请。登记事项包括个人信息处理者基本情况、处理个人信息的类型和规模、个人信息处理目的、个人信息跨境情况以及安全保护措施等内容。这项制度能够让监管机构事先掌握从事个人信息处理企业的数量、规模、处理目的等基本信息，避免因信息缺失而导致出现个人信息泄露事件发生后无法及时监管的情形。安全保障规则是指企业需要采取技术、物理、管理等措施，以防范个人信息泄露、毁损、丢失等风险。这项制度通过规定企业日常运营中，在保障个人信息安全方面所应采取的各项措施，以降低个人信息泄露事件发生的风险。各国立法普遍要求企业采取加密等技术措施、加强人员监督管理和培训、设立个人信息保护专员、定期进行安全评估、记录个人信息处理使用行为以及向监管机构进行合规报告等[6]。

2.2 个人信息泄露执法力度加大，大额罚单数量激增

各国监管机构对于个人信息泄露事件执法力度不断加大。从执法案例来看，2019年GDPR的处罚案例中个人信息泄露案件最多，占比达到1/3以上。大额罚单出现的概率明显增加，例如，英国航空公司遭受了2.3亿美元罚款，美国信贷机构艾可飞支付了5.75亿美元罚款，脸书的50亿美元罚单更是创下了美国联邦贸易委员会历史上对科技公司的最高罚单记录。各国监管机构在决定对个人信息泄露企业处以罚款时会考虑多重因素，包括个人信息安全保障措施是否充分、个人信息泄露的性质、严重性与持续时间、减轻个人损失所采取的行动、是否主动告知监管机构及与监管机构的配合程度，因此各个人信息泄露案件的罚款不一。整体上来看，各国持续加大执法力度已发挥出积极效果，以万豪国际酒店两次个人信息泄露事件为例。2018年11月，万豪国际酒店泄露5亿客户信息，因缺乏安全保障措施，也未尽到通知义务，被英国监管机构处以1.1亿欧元罚款。2020年，万豪国际酒店在再次发生个人信息泄露事件后，便立刻向监管机构报告并配合调查，以电子邮件的形式通知了可能受影响的个人，还专门建立了一个自助服务网站。同时，万豪国际酒店还采取了禁用密码或要求更改密码、启用多因素身份验证等补救措施。

2.3 启动集体诉讼集中赔偿受害者损失

一些国家个人信息保护立法规定，个人可以向个人信息泄露企业提出损害赔偿，但由于个人信息泄露涉及主体数量众多，且人数无法确定。出于处理的便利和经济合理性考虑，部分主体可以作为原告，代表受害者出庭参加诉讼，对企业提出赔偿请求，以提高效率。根据一份关于美国个人信息侵权诉讼的实证分析报告，该类案件中集体诉讼比非集体诉讼多30%。例如，美国最大保险公司Anthem Inc.，在发生8000 万客户个人信息泄露事件后被提起集体诉讼，于2017年6月签署了一份1.15 亿美元的和解协议，同意向每位原告支付赔偿。

3 我国立法以闭环管理机制，规制个人信息泄露问题

一直以来，我国高度关注个人信息泄露问题，立法层面主要通过规定个人信息安全保障义务(防范源头)以及设立个人信息泄露通知制度(控制末端)予以应对，形成闭环管理机制。

3.1 规定个人信息安全保障义务以防范源头

2021年8月20日，《个人信息保护法》经十三届全国人大常委会第三十次会议通过并正式发布，并将于2021年11月1日起施行。作为个人信息保护领域的基础性、专门性法律，《个人信息保护法》通过规定个人信息安全保障义务，包括内部安全管理要求、事前影响评估以及设立个人信息保护负责人等规则，从源头上有效应对个人信息泄露问题。

一是细化内部安全管理要求，《个人信息保护法》要求个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，采取下列措施确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失。具体措施包括：制定内部管理制度和操作规程，对个人信息实行分级分类管理，采取相应的加密、去标识化等安全技术措施，合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训，制定并组织实施个人信息安全事件应急预案等内容。如果个人信息处理者能够根据个人信息的处理目的、处理方式、个人信息的种类以及对个人的影响、可能存在的安全风险等方面综合评估和判断，严格落实内部安全管理要求，设好保护屏障，则能够在一定程度上降低个人信息泄露发生的可能。

二是《个人信息保护法》规定事前个人信息保护影响评估机制，即个人信息处理者在开展对个人有重大影响的个人信息处理活动时，应当进行事前个人信息保护影响评估,并对处理情况进行记录。《个人信息保护法》还明确了个人信息保护影响评估的具体事项：个人信息的处理目的、处理方式等是否合法、正当、必要；对个人权益的影响及安全风险；所采取的安全保护措施是否合法、有效并与风险程度相适应。通过事前的个人信息保护影响评估机制，个人信息处理者能够对自身的个人信息安全风险有一个精确的认识，较为准确地把握自身的安全水平和安全需求，识别出具有高风险和存在安全漏洞的个人信息处理活动，从而防范个人信息泄露事件的发生。同时，《个人信息保护法》要求个人信息保护影响评估报告和处理情况记录应当至少保存三年，这些记录可以作为履行个人信息保护职责的部门在事后调查个人信息泄露事件时的线索指引，用以评估个人信息处理者的安全保障义务的履行情况，即为防范个人信息泄露风险是否做出了必要的努力，帮助履行个人信息保护职责的部门在处罚时，做到罚当其罪。

三是《个人信息保护法》设立了个人信息保护负责人制度，规定处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。此外，个人信息处理者应当公开个人信息保护负责人的联系方式，并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。这项制度有助于明确个人信息处理者在发生个人信息泄露事件时与履行个人信息保护职责的部门的对接人。

3.2 设立个人信息泄露通知制度以控制末端

设立个人信息泄露通知制度是因为网络安全领域具有高专业性，安全攻击行为具有隐蔽性和多变性。《数据安全法》将“数据安全”界定为“通过采取必要措施,保障数据得到有效保护和合法利用,并持续处于安全状态的能力”，体现出了安全是动态的安全能力维持，而非仅仅是静态的确定性结果这一理念。为此，实践中个人信息处理者即使已充分履行个人信息安全保障义务，也很难将个人信息泄露等安全事件发生率降低至零。从多元治理和资源配置的角度来看，发生个人信息安全事件(个人信息泄露、篡改、丢失)或具有个人信息安全风险(可能发生个人信息泄露、篡改、丢失)时，构建个人信息泄露通知制度，通过触发监管资源的及时介入，以及启动个人主体的防御举措，形成个人信息处理者与履行个人信息保护职责的部门以及个人之间有效联动的机制，能够极大程度减轻个人信息泄露事件的影响。

我国的个人信息泄露通知制度设计具有分阶段渐进式的特点。第一阶段为立法回应期，2012年，《关于加强网络信息保护的决定》首次从法律层面对个人信息泄露问题进行了规定，作出了两项要求：安全防范(采取技术和其他措施确保安全)以及补救措施(在发生或者可能发生个人信息泄露、毁损、丢失时进行补救)。第二阶段为立法探索期，2013年，《电信和互联网用户个人信息保护规定》(以下简称工信部24号令)中除了延续安全防范和补救措施两项要求外，首次提出了报告义务(造成或者可能造成严重后果的，应当立即向准予其许可或者备案的电信管理机构报告，配合相关部门进行的调查处理)。2016年，《网络安全法》在工信部24号令的基础上，将报告义务进一步扩展，既要向相关主管部门报告，也要及时告知用户，体现了对用户知情权的尊重。[7]此外，《消费者权益保护法》《电子商务法》等立法中也对个人信息泄露问题进行了规定。第三阶段为立法的成熟期，《个人信息保护法》进一步完善了个人信息泄露通知制度的各项具体要求。

一是明确个人和履行个人信息保护职责的部门属于通知对象。此前，《网络安全法》规定应及时告知用户并向有关主管部门报告，但并未明确具体的主管部门。工信部24号令作为电信和互联网领域的个人信息保护规范，规定向准予其许可或者备案的电信管理机构报告，但适用范围有限。此次，《个人信息保护法》将通知对象明确规定为个人和履行个人信息保护职责的部门。二是规定通知个人的豁免情形。并非所有的个人信息泄露事件，都要启动个人信息泄露制度向个人进行通知。《个人信息保护法》规定，个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的，个人信息处理者可以不通知个人；履行个人信息保护职责的部门认为可能造成危害的，有权要求个人信息处理者通知个人。因为，如果补救措施可以有效防止个人遭受伤害或者个人信息泄露事件本身不会对个人造成危害，则无需触发对于个人的通知机制，避免个人信息处理者负担不必要的通知成本。三是细化通知事项。《个人信息保护法》规定通知事项包括：发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害；个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施；个人信息处理者的联系方式。详细的通知事项既可以能够帮助履行个人信息保护职责的部门快速了解个人信息泄露事件的全貌，也有助于帮助个人及时减轻个人信息泄露对自身的影响。此外，《个人信息保护法》并没有限定通知的具体方式，此举给通知个人的方式留下了灵活的操作空间。个人信息处理者可以根据实际情况采用不同的通知方式，一种是通过邮件、电话等方式一对一通知个人；另一种是通过替代性公告的方式一对多通知个人。例如，当通知费用过高、受影响主体数量过多或者个人更换联系方式时，可以采用在网站、广播、报纸等公开渠道上进行公告。四是设置区分化的法律责任。按照《个人信息保护法》的规定，对未履行个人信息泄露通知义务的处罚规定较为刚性和严格，最高可以处5千万元以下或者上一年度营业额5%以下罚款，起到倒逼个人信息处理者履行通知义务的作用。因为个人信息处理者对个人信息泄露采取补救措施、通知个人、与履行个人信息保护职责的部门进行沟通不但会增加运营成本，而且个人信息处理者往往担忧披露泄露事件会影响商业信誉，如果没有强有力的处罚机制，个人信息处理者就没有足够的动力落实泄漏通知要求。但也应注意到，个人信息安全保障义务与个人信息泄露通知是两项独立的制度设计，个人信息泄露通知义务的履行并不意味着个人信息安全保障义务的豁免。个人信息泄露发生后，当个人信息处理者履行通知义务告知履行个人信息保护职责的部门后，该部门会启动个人信息安全保障义务的检查机制，判断个人信息泄露的发生是否由于个人信息安全保障义务履行不到位所致。如果个人信息处理者未履行充分的个人信息安全保障义务，即使已履行通知义务，也仍需承担相应的法律责任。

4 我国个人信息泄露治理已见成效，但仍存在一定风险挑战

《网络安全法》实施后，我国个人信息泄露相关治理工作逐步铺开，治理工作取得积极效果。一方面，监管机构积极开展个人信息安全合规性评估、专项治理和监督检查，督促企业强化个人信息安全全流程管理，及时整改消除重大个人信息泄露安全隐患，指导企业健全完善企业内部个人信息全生命周期安全管理，全面提升个人信息安全管理及保障水平。另一方面，监管机构对于爆出的个人信息泄露事件及时回应、迅速处理。2020年2月，针对疫情期间个人信息泄露问题，国家互联网信息办公室发布《关于做好个人信息保护利用大数据支撑联防联控工作的通知》，强调收集或掌握个人信息的机构要对个人信息的安全保护负责，采取严格的管理和技术防护措施，防止被窃取、被泄露。2020年3月，针对新浪微博个人信息泄露问题，工业和信息化部及时对新浪微博进行了约谈，要求其进一步采取有效措施，加强企业内部个人信息安全管理，消除个人信息安全隐患，在发生重大个人信息安全事件时，及时告知个人并向主管部门报告。虽然我国个人信息泄露治理已见成效，但仍存在执法弱以及维权难的痛点。

4.1 监管机构缺乏执法抓手，惩处力度较弱

个人信息泄露往往与数据非法交易相关，贩卖者通常将数据在“暗网”上兜售，有的只接受比特币进行隐蔽交易，监管机构很难及时发现。即使发现个人信息泄露，由于导致泄露的原因很多，包括黑客入侵、网站漏洞、非授权访问、“内鬼”等，监管机构调查取证难度大，责任认定较为困难。而且，此前部分个人信息泄露事件被媒体报道出来后，相较于国外监管机构大力整治个人信息泄露企业，屡屡开出的天价罚单，我国监管机构对于问题企业往往采取约谈、限期整治、APP下架等措施，很少有经济类的处罚，震慑力不足。事实上，对个人信息泄露者可以进行严厉的处罚，包括没收违法所得、处以高额罚款、责令暂停业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照等。

4.2 个人提起诉讼成本过高，维权困难重重

技术的发展促进了海量信息的产生，与传统线下场景不同的是，个人信息泄露行为具备技术性、虚拟性和迅速性等特性，因为技术能力，个人很难了解其个人信息如何被处理和利用，个人信息遭到泄露后，本人可能并知晓，即使知晓，一般也很难查到泄露源头，追溯到具体的责任主体[8]。而且，司法救济存在效率上的缺陷，司法程序非常繁琐，举证艰难，个人需要付出大量的时间和精力，维权成本比较高，因而极少出现个人提起诉讼维权的情况[9]。而我国的公益诉讼、共同诉讼更多地在环境保护、消费者权益保护等案件中得以应用，个人信息泄露领域则较少出现。而且，规模较大的共同诉讼也很少见，司法机关对人数众多的诉讼仍然保持谨慎态度。

5 多措并举解决我国个人信息泄露难题

为了更好地保障个人信息安全避免相关个人信息泄露事件发生，需要多维度举措来实现个人信息泄露的有效治理，虽然，《个人信息保护法》已经从立法层面对个人信息泄露问题作出了较为全面的闭环式制度体系，但规则落地时，还需要行政监管和司法体系的配合。

5.1 行业领域推进个人信息泄露安全管理工作

在监管层面，履行个人信息保护职责的部门需要全面提升与个人信息泄露有关的安全管理及保障水平。

一是事前开展个人信息安全风险监督检查。履行个人信息保护职责的部门可以通过日常监督、随机抽查、专项执法等形式，加大对相关企业个人信息安全防范、日志留存和审计等方面的检查力度，监督企业是否严格落实个人信息安全保障义务，是否做好信息系统的安全防护工作。及时公示检查结果，督促企业加强个人信息安全管理，防范个人信息泄露事件的发生。

二是事后加大对于个人信息泄露事件处罚力度。未来，一旦发生个人信息泄露事件，履行个人信息保护职责的部门可以根据企业个人信息泄露的规模、为防范风险所采取的安全保障措施、是否主动告知违法行为以及配合调查的程度、以及为减轻个人损失而采取的措施等方面，对企业作出不同程度的行政处罚，采取灵活的处罚方式。

三是积极开展普法宣传加强公众安全教育。个人对其个人信息安全的忽视是导致个人信息泄露的原因之一。履行个人信息保护职责的部门可以采取举办宣讲活动、法制讲座等多种方式，有计划地开展防范个人信息泄露、提高公众安全意识的普法教育活动。

四是防范区块链技术成为犯罪销赃手段。个人信息泄露事件中，贩卖者往往将数据在“暗网”上兜售，且只接受比特币进行交易。随着基于虚拟货币的犯罪案件持续发生，去中心化的区块链技术也应当接受中心化的政府监管。

5.2 落实公益诉讼，引入惩罚性赔偿机制

在司法层面，将公益诉讼作为解决个人维权的一项有力武器。《个人信息保护法》已经引入了公益诉讼制度，规定个人信息处理者违反本法规定处理个人信息，侵害众多个人的权益的，人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。建议以此为契机，利用法律的赋权完善个人信息保护公益诉讼制度，为个人信息的公益保护发挥好司法防线的作用。一方面，科学审慎地启动程序，协调好各方关切，避免部门冲突，力争在民事公益诉讼中将公共利益保护最大化。另一方面，建立健全人才保障队伍，及时发现线上、线下案件线索，完善与企业平台或其他部门对接机制，此外,还可以引入举证责任倒置、惩罚性赔偿制度等措施，通过高数额的赔偿，提高企业违法成本，从而产生示范、警示威慑作用，这对有效遏制个人信息泄露事件，可以起到釜底抽薪的作用[10]。

6 结束语

个人信息泄露事件频繁发生，已经对个人权益、企业发展甚至国家安全造成严重威胁，我国需要进一步完善个人信息泄露治理工作，应当通过立法保障、行政监管、司法保护等多种手段实现对个人信息泄露的有效治理。立法保障层面，《个人信息保护法》通过明确闭环管理机制，体系化地规制了个人信息泄露问题。在监管层面，行业主管部门还需要全面提升与个人信息泄露有关的安全管理及保障水平，包括事前开展个人信息安全风险监督检查，事后加大对于个人信息泄露事件处罚力度，积极开展普法宣传加强公众安全教育，防范区块链技术成为犯罪销赃手段。在司法层面，将公益诉讼作为解决个人维权的一项有力武器，提高企业违法成本，从而产生示范、警示威慑作用。只有立法、行政、司法方面多措并举，才能实现对于个人信息泄露的有效治理。