數據企業(yè)的個人信息保護責任：從GDPR到中國

戴正

摘 要：大數據技術的沖擊使得原有的個人信息保護方式已無法保障個人信息安全。歐盟近年頒布的《通用數據保護條例》摒棄了傳統(tǒng)告知同意機制，在提供多樣化個人控制手段的同時，從事前防范、事后告知、數據管理架構三方面對數據企業(yè)的個人信息保護責任做出了系統(tǒng)性規(guī)定。我國現行法律體系中對數據企業(yè)的個人信息保護責任僅有原則性規(guī)定，相關國家標準也存在不少局限，這些問題在將來的個人信息單獨立法中應加以完善。

關鍵詞：個人信息;隱私保護;企業(yè)責任

中圖分類號：D912.8? ? ? ? 文獻標志碼：A? ? ? 文章編號：1673-291X（2018）36-0017-03

一、問題的提出

大數據經濟可堪為當前最為火熱的經濟領域之一，特別是在2015年兩會上李克強總理提出“互聯(lián)網+”戰(zhàn)略后，大數據一時風頭無兩。然而在提高商業(yè)及服務水平的同時，大數據也導致了嚴重的個人信息泄露風險，為個人信息安全帶來巨大的威脅。有學者通過對大數據特點進行分析后指出，大數據技術在數據應用領域的創(chuàng)新已對告知同意產生了極大破壞[1]。告知同意機制作為傳統(tǒng)個人信息保護體系中最為重要的，甚至幾乎是唯一的手段，是指在收集或處理個人信息前，應當告知信息主體收集處理其個人信息的相關信息并請求其同意。該機制最大的特點在于重視個人信息收集過程中個人在知情基礎上對信息的控制與選擇。自1980年由經濟與合作組織（OECD）在《隱私保護與個人數據流通指南》中作為處理個人信息的前置條件設立起，告知同意機制在個人信息保護體系中一直發(fā)揮著舉足輕重的作用。但在幾十年后的今天，傳統(tǒng)告知同意機制的失靈已是不爭的事實，公眾及學界對個人信息保護體系改革的呼聲不斷高漲。

在世界范圍內，對傳統(tǒng)保護體系進行革新的努力已經持續(xù)數年，且已取得了不少成果。目前而言，最具代表性的立法成果當屬歐盟于2016年發(fā)布的《通用數據保護條例》（以下簡稱GDPR）。自2012年該條例草案出臺以來，為保證其不落后于大數據時代的發(fā)展，GDPR歷時四年修改，于2016年正式頒布，并于2018年5月正式生效。GDPR取代了歐盟原先實施的《隱私保護指令》（95/46/EC），其最大的特點在于摒棄了單一的告知同意的規(guī)制手段，對個人信息采取了更為靈活且全面的保護方式。相比而言，GDPR在原有的信息主體同意權外增設了數據可攜權、刪除權等其他權利，并對同意的適用條件進行嚴格限定以強化數據主體對自身信息的控制力;更具開創(chuàng)性的是，GDPR對數據企業(yè)增設了大量個人信息保護方面的義務，凸顯出歐盟立法機構加強數據企業(yè)責任的個人信息保護體系改革思路。在數據全球化的時代，滿足GDPR要求是我國數據行業(yè)走向國際化無法繞開的必要環(huán)節(jié)。同時，GDPR作為個人信息領域的代表性立法，我們有必要對GDPR對數據企業(yè)個人信息保護責任進行梳理，以期在我國未來的個人信息保護單獨立法中能夠加以合理借鑒，對數據企業(yè)形成良好的規(guī)制。

二、GDPR中的數據企業(yè)個人信息保護責任

原有同意機制的崩潰使歐美監(jiān)管機構意識到僅靠賦予個人控制很難有效保障其個人信息。美國總統(tǒng)行政辦公室報告就曾指出，（在大數據時代）重點對個人信息的收集和保留加以控制，已不再足以保護個人信息。在互聯(lián)網時代，數據企業(yè)所提供的服務往往在數據主體的工作或生活中發(fā)揮重要作用，因此導致數據企業(yè)與數據主體間的地位顯著不平等化。同時，數據實踐逐漸滲透至生活的方方面面，個人難以全面掌控其信息如何被收集及使用。如果僅停留在加強個人控制手段的層面而不對數據實踐的流程做出規(guī)制，那么數據控制者利用其優(yōu)勢地位繞過同意機制的后果是可以預見的。基于以上原因，歐美監(jiān)管機構在改革立法中都考慮到在個人控制外大幅增加數據企業(yè)責任。歐盟的數據監(jiān)管機構便是基于此，在GDPR開篇提出，“為有效保護整個歐盟的個人數據，需要在加強信息主體權利的同時詳細制定信息處理者的義務。”同時，GDPR條文中也對數據企業(yè)在收集處理個人信息過程應承擔的數據保護責任進行了系統(tǒng)化規(guī)定，以防企業(yè)獲取個人同意后的數據濫用。無論是總體規(guī)定數據企業(yè)責任的第24條，還是其后的具體條款，無不滲透著歐盟數據監(jiān)管機構以“風險”為導向的全新立法理念。風險是對個人信息安全事件及其后果的嚴重程度及可能性的預測，而“風險導向”則意味著根據個人數據處理、利用的場景、目的及可能引發(fā)的風險程度向數據企業(yè)施以義務和責任[2]。具體而言，GDPR中對數據企業(yè)的個人信息保護責任設置主要體現在以下三部分內容。

1.構建事前防范機制。過去的告知同意機制雖要求數據企業(yè)在收集、處理個人信息前向信息主體進行告知，但該流程顯然是在數據實踐過程中進行的。GDPR將企業(yè)的信息安全治理責任從此前的個人信息收集時及之后向前擴張至數據實踐的設計準備階段，有助于從源頭上改善個人信息被濫用的窘境。其中，最為重要的制度是“數據保護影響評估”（data protection impact assessment，DPIA）。數據保護影響評估是一個評估個人信息收集處理的必要性以及是否成比例，并通過確定解決措施來幫助管控因收集或處理而對個人的權利和自由造成的風險的過程。GDPR要求數據企業(yè)認為處理行為可能導致對自然人權利或自由的高度風險時，有責任對風險來源、性質、特殊性與嚴重性進行評估，并在評估結果的基礎上決定采取適當措施。同時，實施的措施應確保適當的數據安全水平，并將技術發(fā)展水平、實施成本與所保護的個人信息的性質與風險納入考量。對于何為高度風險，GDPR在其數據保護影響評估指南中指出，通過對個人信息自動處理對信息主體做出具有顯著影響的決策、處理大量個人敏感信息及對公開數據的大范圍監(jiān)測都毫無疑問的屬于此范疇內。但值得注意的是，數據影響評估并非在每次數據時間前處理都是必須的，只有在處理“可能對自然人的權利和自由造成高風險”時，才需要進行評估。然而，沒有達到高風險這一觸發(fā)條件并不意味著減少數據企業(yè)執(zhí)行適當管理風險控制措施的一般義務。這意味著，數據企業(yè)不僅應當在數據實踐前考慮風險因素，且在其處理活動也必須不斷監(jiān)測并防止風險，以便確定其何時“可能對自然人的權利和自由造成高風險”。因此，開展數據保護影響評估的目的，在于督促數據控制者主動考慮風險，主動提出降低風險的方案[3]。最后，如果數據企業(yè)無法找到足以使風險降低至可接受的水平的措施或實施措施后殘存風險依然較高時，GDPR要求數據企業(yè)應當盡快告知相關數據監(jiān)管機構并進行協(xié)商。

2.設置事后處理措施。第29條工作組在《個人信息泄露告知指南》中指出，GDPR所設置的數據安全策略的關鍵因素是，一方面盡可能防止發(fā)生數據泄露造成個人信息風險，另一方面在發(fā)生泄露的情況下，能夠及時地對其做出有效反應。因而GDPR在對數據企業(yè)構建了數據實踐前風控制度的同時，也為數據企業(yè)在個人信息泄露事件發(fā)生后的行動以立法方式做出了規(guī)制。GDPR條款規(guī)定了何時及向誰進行泄露告知，以及告知中應當包含哪些內容。GDPR第33條規(guī)定，發(fā)生數據泄露的數據處理者應當立即告知數據控制者，數據控制者則應當在至遲72小時內向相關監(jiān)管機構報告。報告內容不但應當包含數據泄露的性質、涉及的數據類型及大致數量等常規(guī)內容，還應當對泄露后果進行預判并提出補救措施。同時，數據控制者還應當立即對受影響的數據主體進行告知，除非泄露不會對個人信息安全產生較高風險或其補救措施能夠避免該風險。從條文規(guī)定來看，GDPR設置的數據企業(yè)向監(jiān)管機構的告知是強制性的，除非數據泄露事件對個人的權利和自由造成風險的可能性足夠低。而如果該泄露可能對個人的權利和自由造成高風險，就必須告知個人。因此，向個人進行告知的條件高于告知監(jiān)管機構的，這一設置意在使個人免于不必要的通知造成的煩瑣。但同時也意味著，一旦意識到出現數據泄露事件，GDPR要求數據企業(yè)不僅應設法進行控制，而且應同步評估由此可能造成的風險。一方面，這將有助于控制者采取有效措施遏制和處理違約行為;另一方面，數據企業(yè)將以此確定是否需要向監(jiān)管機構或個人進行告知。此外，對于數據控制者與數據處理者分離的情況，GDPR在泄露告知方面采取了更為靈活的策略。例如第33條第2款明確規(guī)定，如果數據處理者意識到其從數據控制者處獲得的個人信息發(fā)生泄露，它必須“無延遲”地通知數據控制者。與上文所述規(guī)定不同的是，在通知前，數據處理者不需要首先評估泄露引起的風險的可能性，而只需要確定是否發(fā)生了違規(guī)，然后通知數據控制者。此外，如果數據控制者已經給予數據處理者適當的授權，那么數據處理中可以代表數據控制者發(fā)出告知，但告知所發(fā)生的法律責任仍然在于數據控制者。

3.優(yōu)化企業(yè)數據管理架構。傳統(tǒng)個人信息保護規(guī)定僅就企業(yè)整體應負的義務進行規(guī)制，對于企業(yè)內部如何自主防控，將個人信息風險防患于未然則未有涉及，因此要求企業(yè)內部設立專門的數據監(jiān)督專員是GDPR在增強數據企業(yè)責任的一系列規(guī)定中的又一大亮點。在GDPR條文中將這一職位稱為“數據保護官”（data protection officer，DPO），并明確規(guī)定數據保護官應當獨立開展工作，直接向數據企業(yè)的最高管理層報告，履行職責不受企業(yè)干涉。有關數據保護官的職責，GDPR第35條第2款規(guī)定，數據企業(yè)在進行數據保護影響評估時，應征求其數據保護官的意見。此外，還應當監(jiān)測企業(yè)數據合規(guī)情況，同時對參與數據實踐的工作人員進行培訓。當個人信息泄露時，數據保護官的強制性任務包括向數據控制者或數據處理者提供數據保護建議和信息，以及提供進行數據影響評估的建議。數據保護官還必須與監(jiān)管機構合作，并承擔起與監(jiān)管機構及所涉信息主體聯(lián)絡的職責。例如，第33條第3款就要求，數據控制者在向監(jiān)管機構告知泄露情況時提供其數據保護官的名稱和聯(lián)絡方式。在記錄泄露的情況方面，數據企業(yè)能夠從數據保護官處獲得對該記載的結構、設置及管理方面的意見，這表示數據保護官可能額外負擔維護這些記錄的任務。以上職責意味著，數據保護官通過提供咨詢和監(jiān)測合規(guī)情況，不但能夠在協(xié)助防止泄露及為泄露做好準備方面，同時也應在向監(jiān)管機構告知泄露情況及在監(jiān)管機構隨后進行的任何調查期間發(fā)揮關鍵作用。基于此，第29條工作組建議數據企業(yè)將數據泄露的情況及時告知數據保護官，并使其參與整個數據實踐過程。

三、我國數據企業(yè)責任制度審視與完善

我國現行法律法規(guī)中有關個人信息保護的條文并不鮮見，但從條文規(guī)定看，我國現行法律仍以傳統(tǒng)告知同意的保護機制為主，對數據企業(yè)的個人信息保護責任規(guī)定不多。盡管《網絡安全法》首次以法律形式對網絡經營者的數據責任作出了規(guī)定，包括網絡運營者采取必要措施防止信息泄露的義務，以及信息泄露發(fā)生后進行補救、及時告知用戶及監(jiān)管機構等義務，但這些規(guī)定都并非深入具體的進行規(guī)定，而僅是原則性、概括性條款。面對大數據時代的浪潮，僅靠《網絡安全法》顯得獨木難支。因此，在《民法總則》將個人信息權認定為獨立的民事權利后，各界對個人信息保護單獨立法呼聲較高。

目前，我國雖未對個人信息保護進行單獨立法，但對個人信息實踐影響密切的個人信息安全國家標準業(yè)已制訂，即《信息安全技術個人信息安全規(guī)范》（以下簡稱《規(guī)范》）。《規(guī)范》首次較為系統(tǒng)的規(guī)定了數據企業(yè)的個人信息保護責任，對信息安全事件處置及告知進行了指引。在應急預案、應急演練等事前防范措施之外，《規(guī)范》要求數據控制者在個人信息安全事件發(fā)生后，需要采取記錄、評估、上報、告知等四大類措施以確保將風險控制在盡可能小的范圍內。值得一提的是，《規(guī)范》設置個人信息安全影響評估的目的與GDPR相同，均是“使風險降低到可接受的水平”，這反映出《規(guī)范》在設置數據控制者責任時的風險導向。此外，《規(guī)范》還根據我國國情做出了一些創(chuàng)新性指引，例如在人員管理培訓方面，《規(guī)范》要求數據企業(yè)與涉數據人員簽訂保密協(xié)議、明確職責與懲罰機制。

《規(guī)范》也存在著一些明顯的局限。首當其沖的是《規(guī)范》的效力問題。《規(guī)范》作為國家標準，其效力弱于法律及行政法規(guī)等。不僅如此，《規(guī)范》也并非國家強制性標準，而是國家推薦性標準，其對于相關企業(yè)的約束力很難得到保證，這將導致《規(guī)范》無法起到預想的規(guī)制數據企業(yè)的效果。對此，有兩種解決方式。一是通過立法程序，將《規(guī)范》內容加以凝練和擴充，成為我國個人信息單獨立法的一部分;二是在指令性文件中對《規(guī)范》的有關內容進行引用，根據我國《標準化法條文解釋》的規(guī)定，推薦性標準一旦納入指令性文件，將具有相應的行政約束力。通過以上方法，我國對數據企業(yè)個人信息責任的規(guī)制效力才能得到真正提升。此外，目前我國在這方面規(guī)制還存在著僅有規(guī)定而無制裁的缺陷，限于《規(guī)范》推薦性標準的形式，其雖有規(guī)定卻無法對違反的數據企業(yè)進行懲罰。這一問題同樣體現在《網絡安全法》中，我國《網絡安全法》規(guī)定，數據企業(yè)泄露個人信息最高可處違法所得1倍以上10倍以下罰款，無違法所得的處100萬元罰款，但對于企業(yè)個人信息安全措施不到位的問題因未規(guī)定而無法制裁。且在數額上，相較于GDPR最高1 000歐元或上年度全球營業(yè)額4%的罰款，《網絡安全法》也存在較大差距，這顯示出我國對數據企業(yè)個人信息安全責任的規(guī)制力度還有待進一步加大。

保護個人信息安全是一項長期性、系統(tǒng)性工程，是大數據行業(yè)健康發(fā)展的基礎。我國對個人信息安全的法制建設正處于關鍵時期，從《規(guī)范》的經驗看，我國的個人信息規(guī)制應當在結合我國數據行業(yè)實踐與信息主體權利意識程度的前提下對國際上的其他方案進行取長補短，不斷探索適合中國的個人信息安全規(guī)制道路。