近日,十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》。该法规定了个人信息处理与跨境的基本规则、个人信息处理活动中相关主体的权利义务以及个人信息保护监督管理等个人信息保护基本制度,为我国的个人信息保护工作搭建了基本框架,标志着我国个人信息保护法治建设进入了崭新阶段。
放眼全球,近期多个国家和地区的个人信息保护立法和修订活动频繁,不断加强对个人信息的保护,但是值得注意的是,大规模数据泄露等侵害个人信息的行为却还呈现大幅增长的趋势。根据Kroll公司2021年发布的数据,从2019年到2020年,全球范围内数据泄露事件增幅达到140%,且伴随着新冠疫情带来的远程办公的增加,不断由互联网等新兴领域向其他传统领域扩散。而波耐蒙研究所发布的报告则显示,在数据泄露中,个人可识别信息是最常受到破坏的记录类型,其损害也最高。另据统计,在我国,仅2020年公安机关就侦办侵犯公民个人信息类案件6524起,抓获犯罪嫌疑人1.3万名。
在当今个人信息保护立法越来越完备的背景下,个人信息保护仍显不足,主要是由于两方面原因:
一方面,个人信息内涵范围广、种类多,以同一个原则或措施针对一类个人信息进行保护可能很合适,但处理另一类个人信息则不然。以敏感个人信息中的生物识别信息为例,尽管人脸和指纹信息都能较好地服务于身份识别的功能,但两者在收集利用方式上存在明显区别:指纹信息的收集和识别需要专业设备和个人的主动配合,个人能够比较明显地感知到指纹信息的被获取和利用。相反,在目前高清视频设备普及的状况下,人脸信息则每天都在被披露,再配合已经在网络上公开的照片、视频等,其被获取和利用都不容易被个人感知。因此,传统的以个人知情同意为基础的个人信息保护措施,在指纹信息的场景下相对而言能够起到保护作用,个人对自己指纹信息的获取和使用还有较好的控制权;而在人脸信息的场景下,对人脸信息获取的控制则不太容易通过知情同意方式来实现。因此,对两者采用同一套措施来保护,就难以实现对人脸信息的有效保护。
另一方面,个人信息利用场景差异大,同种个人信息在不同场景下面临的风险也可能极为不同。例如,个人基因信息在医疗场景下的主要风险是患者的个人信息安全和隐私,而个人基因信息一旦被应用在保险、教育等场景,其主要风险则是歧视等问题,可能被侵害的对象也会从个人扩展到其近亲属,由此产生的风险无法被传统的个人信息保护措施所消解。
因此,在个人信息保护法已经对我国个人信息处理规则和各方主体权利义务搭建好基本框架的基础上,想要实现较好的保护效果,立法的实施应着力于将个人信息处理者从被动应对转变为主动应对的状态。只有负有个人信息保护义务的机构结合自身的个人信息收集和使用,实际积极主动地履行自身义务,承担对个人信息保护实践方面的责任,才能有效扭转个人信息保护中不断产生的法定义务加重而保护效果欠佳的被动状态,达到最大程度地消解个人信息利用过程中对个人可能造成的消极影响、切实保护个人信息相关权益的目的。这就需要在个人信息保护法的实施中引入问责制。
问责制要求主体对其自身遵守法律法规的情况能够作出具体的、可追溯的记录和回应,并能够为这些行为承担责任。在个人信息保护的语境下,问责制的核心在于个人信息处理者有义务向监管机构报告并证明对个人信息的收集利用的合理性,且有义务减轻个人信息利用可能带来的负面影响或者潜在危害。
问责制的具体机制包含如下几个层次:第一,处理者向内落实主动履责。个人信息保护问责制要求个人信息处理者在个人信息处理活动前和活动中为实现个人信息保护目的而主动构建机制,确保自己遵循了相关法律的规定,即机构内履责。按照我国个人信息保护法的要求,这些措施大体包括以下几种类型:一是建立透明的内部个人信息保护和隐私政策,由组织的管理层通过并积极推动执行。二是为落实上述政策采取适当且有效的内部程序和机制,其可用于确保对个人信息保护原则和义务的遵守,个人免受个人信息处理活动所产生的风险影响。三是就如何落实上述政策为组织中的所有成员提供相关信息和培训。四是监督和评估上述措施落实的责任应该是最高级别。五是落实纠正个人信息保护违规和其他不合规问题的程序。目前,我国社会面临各行各业的数字化转型,这意味着个人信息保护法也要落实到各传统行业,问责制鼓励个人信息处理者在监管机构个人信息保护合规清单的基础上,根据自己的业务模式对个人信息保护措施进行创新,以适应不同的个人信息保护场景和技术的快速发展,这也有利于保持个人信息保护法的弹性和活力。同时,也要求监管机构的合规清单不能过细,避免带来创新天花板和合规僵化。
第二,监管机构问责时处理者应向外自证尽职。个人信息处理者对自己采取的个人信息保护措施和过程进行记录,并在必要的情形下向监管机构公开,证明相关措施的落实情况,接受监管机构的外部问责。一旦发生个人信息侵害事件,个人信息保护监管机构需要对个人信息处理者违反法律规定行为进行深入的调查取证,证明其没有履行法律法规所规定的个人信息保护义务,进而作出执法决定。数字经济时代,一旦发生数据泄露等严重侵害个人信息的事件,监管机构的调查工作会涉及对于个人信息处理者各项个人信息保护义务的具体调查,由于个人信息处理者所采用的内部个人信息保护措施、收集利用个人信息的技术手段、机构内的组织结构等都存在重大差异,调查取证本身的技术难度较高且工作量巨大。此外,相当部分的个人信息处理者所提供的服务涉及关键基础设施领域,一旦停止服务会影响社会的正常运转,如通信、金融、电子商务等,不能够停止服务接受长时间的调查取证。自证尽职这一措施能够有效缓解个人信息保护监管机构的执法压力。这样的尽职自证,也可以通过政府引入第三方认证、企业主动参与认证来实现。
第三,监管机构酌定尽职减责激励。通过上述机制的主动落实和记录公开,当发生个人信息侵害事件时,负有义务的个人信息处理者自证尽职合规,一旦监管机构确认个人信息处理者已经根据相关规定履行了法律义务,尽管出现个人信息保护被侵害的情况,但个人信息处理者可以证明其积极考虑了相应活动的个人信息侵害风险,并采取了相应措施,则应当通过减轻责任、从轻处罚、适用简易程序等措施,达成激励个人信息处理者尽可能地主动履行其个人信息保护措施的目标,减轻可能面临的严重法律责任和声誉受损的负面影响。
综上,在我国个人信息保护法即将实施的当下,在具体监管执法实践中引入个人信息保护问责制,能够让个人信息处理者更加关注个人信息能否得到有效保护这一结果,而不是具体的个人信息保护要求,更有利于引导和鼓励个人信息处理者制定超越法律义务的个人信息保护措施,由此能够为个人处理者提供探索降低个人信息利用风险和负面影响措施的制度激励,最大程度地激发个人信息处理者主动进行个人信息保护具体机制建设与创新探索的积极性,为个人信息提供更为有效的保护,切实提升人民群众数字生活的幸福感、获得感。
(作者系西安交通大学法学院副教授)