App过度收集个人信息、“大数据杀熟”、个人信息泄露事件频发……近年来，数据在成为数字经济时代关键生产要素的同时，也引发了诸多令人担忧的问题。《中华人民共和国个人信息保护法》（下称“个保法”）的正式出台，标志着我国有了首部针对个人信息保护的专门性立法，也对上述问题做出了规制。

9月10日，南都个人信息保护研究中心举办数字经济治理论坛第七期——“个人信息保护法解读与展望”，并发布《个人信息保护法立法之媒体观察报告》。

中国信息通信研究院互联网法律研究中心高级研究员杨婕在会上表示，个保法重点解决了信息滥用及泄露两大问题，其中在应对个人信息泄露方面已形成一个闭环管理机制，即通过履行个人信息安全保障义务防范个人信息泄露源头，同时设立个人信息泄露通知制度对末端进行控制。

她还认为，个保法中新增的个人信息可携带权体现了立法的前瞻性，能打破平台数据垄断，构建用户主导型个人信息跨平台流通机制；而区别大小型个人信息处理者的规则标准体现出差异化、体系化的制度设计理念。

“个人信息保护问题并非这个时代独有，如今逐渐重视起来有两方面原因：一是顺应时代呼声，二是基于我国特殊国情。”在杨婕看来，随着信息技术水平提升，信息的存储运用形式从传统纸本转变为低成本的数据；而我国网民人数众多，线上线下的信息收集手段多样，个人信息保护问题复杂多变，更易引发信息泄露及滥用问题。

据她统计，2020年全球数据泄露量超过了过去15年的总和，个人信息泄露占所有数据泄露事件的60%。在这样的背景下，个人信息保护法重点解决了两大问题——个人信息滥用及泄露。

在个人信息滥用方面，个保法规定的个人信息处理规则、个人在个人信息处理活动中的权利等都针对滥用问题制定了较为普遍的规制。而在信息泄露方面，杨婕认为已“形成了一个闭环管理机制”——通过履行个人信息安全保障义务防范个人信息泄露源头，同时设立个人信息泄露通知制度对末端进行控制。

个保法第五十七条规定，“发生或者可能发生个人信息泄露、篡改、丢失的，个人信息处理者应当立即采取补救措施，并通知履行个人信息保护职责的部门和个人。”

谈及设立个人信息泄露通知制度的原因，杨婕表示，网络安全领域不是一个绝对安全领域，而是一个相对安全领域，它具有很强的专业性，攻击行为具有隐蔽性、多变性。“安全是动态安全能力的维持，而不只是静态的确定性结果。因此，即使个人信息处理者充分履行了安全保障义务，也很难保证绝对安全。”

她在会上指出，从多元治理和资源配置的角度来看，发生个人信息泄露、篡改、丢失等个人信息安全事件或可能产生个人信息泄露、篡改、丢失等个人信息安全风险时，构建个人信息泄露通知制度，通过触发监管资源及时介入，以及启动个人主体的防御举措，形成个人信息处理者、履行个人信息保护职责的部门以及个人之间的有效联动机制，能够极大地减轻个人信息泄露事件的影响。

“一方面，个人信息泄露通知制度能够提升监管效率。个人信息泄露往往与数据非法交易相关，贩卖者通常将个人信息在‘暗网’上兜售，有些只接受比特币进行隐蔽交易，监管机构很难及时发现。个人信息泄露通知制度能够帮助监管机构及时了解泄露的具体情况，进而制定相应的应急监管方案。”

“另一方面，个人信息泄露通知制度能够减少个人损失。发生个人信息泄露事件时，如果能够及时通知个人，个人就有机会通过采取更改密码等措施，或者提高对诈骗等行为的警惕，将个人信息泄露带来的损失最小化。”杨婕说。

据了解，美国各州、欧盟、澳大利亚等国都曾从建立个人信息泄露通知制度入手来解决个人信息泄露难题。杨婕认为，一直以来，我国都在不断推进个人信息泄露通知制度，而此次个保法进一步完善了该制度。

首先，个保法明确了个人和履行个人信息保护职责的部门属于通知对象，解决了此前的网络安全法、《电信和互联网用户个人信息保护规定》在确定通知对象方面存在的指向不明与适用范围有限的问题。

其次，个保法规定了通知个人的豁免情形。并非所有个人信息泄露事件都要启动通知制度，如果采取了补救措施阻止伤害或泄露事件本身未对个人造成危害，则无需通知个人，以避免使个人信息处理者增加不必要的通知成本。

再者，个保法立法的整体理念是设置了一种区分化的法律责任。“个人信息泄露通知制度并不代表个人信息安全保障义务的免除。在信息泄露事件发生后，企业通知个人及监管机构，机构将针对其开展个人信息安全检查，判断个人信息泄露事件是否与个人信息安全保障义务履行不到位有关。若有关，即使履行了相关通知义务，仍需为泄露事件承担法律责任。”杨婕强调。

个保法第四十五条规定，“个人请求将其个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径”，明确提出了个人信息可携带权。

杨婕分析，这是个保法立法具有前瞻性的体现。当下，许多占据市场先发地位的大型平台凭借其在早期积累的大量用户个人信息获得了不可撼动的行业地位，并因此肆意调整隐私政策迫使用户接受不公平隐私条款，而个人信息可携权可有效打破大型平台数据垄断的局面。

此外，可携权的设立可以强化用户的自主权，有效破除个人信息流通障碍，以用户权益为出发点，构建用户主导型的个人信息跨平台流通机制，起到防止个人信息锁定，降低市场准入门槛以及增强平台间竞争的效果。

“目前，个保法中针对可携权的规定是原则性的，要求‘符合国家网信部门规定条件’为制定该权利的执行形式保留了立法空白，也为国家网信部门制定配套性立法提供了空间。”杨婕直言，接下来需从个人信息类型、处理方式及目的、对第三方权益的影响等方面对可携权进行限缩，避免企业因此增加不合理成本。

此外，杨婕还十分关注对大型及小型个人信息处理者规则、标准的区别制定，体现出制度设计的差异化和体系化。

个保法规定，针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用，制定专门的个人信息保护规则、标准；而提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当成立主要由外部成员组成的独立机构对个人信息保护情况进行监督。

她认为，不同个人信息处理者在处理模式及相关风险上都存在很大差异，比如头部互联网平台用户数量巨大，在信息处理活动中具备极强的控制力和支配力，因此需在保护层面承担更重的法律义务。小型个人信息处理者凭借其技术水平、风险等级，应当豁免其部分义务。

2016年的徐玉玉被骗猝死案、2020年的人脸识别第一案、2021年的大数据杀熟第一案……随着数字经济时代的到来，信息安全愈加受到重视。个人信息保护是一个综合性、系统性、全面性的工程，需要社会各界的合力形成共同治理，为此，杨婕肯定了媒体在宣传个人信息保护方面的重要性，并给出了三条建议。

“一是强化对个保法的专业解读，引导社会各界关注个保法，促进个保法的宣传和落地。二是注重宣传方式的创新化，媒体宣传应适应社会信息化发展新状况，可采取线上线下相结合的方式多加交流、交换资源，积极运用短视频、微电影、公众号等新媒体传播方式。三是力求宣传机制的有效性，针对不同群体在个人信息保护不同层面的实际需求，以贴近生活、通俗易懂的方式宣传相关规定，有利于增强吸引力和合力。”她说。

出品：南都个人信息保护研究中心

采写：南都个人信息保护课题组研究员 樊文扬

编辑：蒋琳

更多报道请看专题：第七期数字经济治理论坛—个人信息保护法解读与展望

本文作者

樊文扬

3772W

南方都市报记者