【条文主旨】
本条是关于个人信息处理者主体责任原则及安全保障原则的规定。
【条文理解】
本法将主体责任原则及安全保障原则规定在第1章总则,凸显其作为基本原则的重要地位。本条属原则性条款,对本法第5章“个人信息处理者的义务”和第7章“法律责任”相关内容具有指导意义。
一、本条的立法沿革和起草过程
(一)立法沿革
从我国现行立法的角度考察,《
民法典》《
数据安全法》《
网络安全法》《
消费者权益保护法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》等
法律法规中均有关于个人信息处理者负有保障信息安全义务的内容。《全国人民代表大会常务委员会关于加强网络信息保护的决定》第4条规定:“网络服务提供者和其他企业事业单位应当采取技术措施和其他必要措施,确保信息安全,防止在业务活动中收集的公民个人电子信息泄露、毁损、丢失。”此后,《消费者权益保护法》《网络安全法》中也均有类似规定。2021年1月实施的《民法典》第1038条第2款规定:“信息处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失。”与本法立法时间相近的《数据安全法》第27条亦规定:“开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。”
从比较法的角度考察,GDPR在个人数据处理活动的基本原则项下,要求应确保个人数据处理活动的安全性,并采取适当的技术和管理措施防止个人数据遗失、毁损或遭非法处理,数据控制者对个人数据处理活动负责,并承担履行上述原则的证明责任;同时依据该条例第83条规定,对违反上述原则的数据控制者,可以处以1000万欧元的罚款,如果控制者是企业,最高罚款应为上一财务年度全球总营业额的2%,以金额较高者为准。
由此可见,一方面,本条借鉴了GDPR的相关规定,首次在法律层面提出个人信息处理者的主体责任原则,又将该原则与安全保障原则整合在一个法律条文中。这是因为,个人信息处理者对其个人信息处理活动负责,当然包含了对个人信息处理的安全负责,强调安全保障原则,是为了凸显个人信息安全是个人信息保护的重要内容,个人信息处理者在处理个人信息时应对此特别予以关注。另一方面,本条在沿用现行法律相关规定的基础上,对安全保障原则予以概括和明确。本条以“必要措施”代替了以往“技术措施和其他必要措施”的表述,并删除了“防止信息泄露、毁损、丢失”等类似目的性描述的语句,不仅用语上更加精炼,符合原则性条款的定位,而且进一步拓展了个人信息安全的内涵范围。
(二)起草过程
本条争议较小,在历次审议过程中均未作修改。立法过程中,曾有委员建议在本条最后增加“维护个人信息权益”,也有地方提出将“必要措施”改为“技术、管理措施”,但本法最终未采纳上述建议。
二、关于主体责任原则的理解
随着大数据、云计算、人工智能等现代科技的发展,个人信息以前所未有的速度和广度被开发利用,个人信息处理活动不可避免地会产生新的社会风险,并可能导致信息主体的权益受到威胁和侵害。为此,本法概括性要求个人信息处理者对其个人信息处理活动负责,以满足保障个人信息权益和安全的客观要求。之所以强化个人信息处理者的主体责任,主要理由在于:其一,基于控制力理论,个人信息处理者是个人信息处理活动的决策者、控制者,当然要为处理活动负责,相较于信息主体,其具有明显的技术与资本优势,对处理行为的目的、方式、所采用的技术等各项情况更为了解,且有足够的技术能力去对处理行为的风险进行评估和控制,由其履行相关责任和义务,更具操作性,亦更能节约社会整体成本。其二,根据权利义务相一致原则,个人信息处理者是个人信息处理活动的受益者,既然其从个人信息中直接或间接获取利益,那么理应承担相应的社会责任,这也有利于建立个人信息处理者与信息主体之间的信任关系,提升信息主体对个人信息安全的信心,进而促进个人信息的良性流转与合理利用。
个人信息处理者对其个人信息处理活动负责,强调的是个人信息处理者处理个人信息应当符合法律和行政法规的规定。首先,个人信息处理者需要遵守本法所明确的“合法、正当、必要、诚信原则”(第5条)、“目的限制原则”“数据最小化原则”(第6条)、“公开透明原则”(第7条)、“保证个人信息质量原则”(第8条)等各项法律原则。其次,个人信息处理者需要遵守本法第5章关于个人信息处理者的义务之相关细化规定。即:应当按照规定制定内部管理制度和操作规程,采取相应的安全技术措施,并指定负责人对其个人信息处理活动进行监督(第51条、第52条);应当定期对其个人信息处理活动进行合规审计(第54条);在涉及敏感个人信息、自动化决策、向境外提供个人信息等情形时应当在事前进行个人信息保护影响评估(第55条);发生或可能发生个人信息泄露、篡改、丢失时,应当履行通知和补救义务(第57条);提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者还应当履行更高水平的保护义务(第58条)。再次,个人信息处理者需要按照本法其他章节的规定建立个人行使权利的申请受理和处理机制(第50条)。最后,考虑到经济社会生活的复杂性和个人信息处理的不同情况,如其他法律、行政法规有涉及个人信息处理者责任的特别规定,亦应当一并予以遵守。
个人信息处理者对其个人信息处理活动负责,也意味着个人信息处理者要为其违法处理个人信息的行为承担相应的法律责任。本法第66条、第67条、第71条可作为确定相关行政责任甚至刑事责任的规范依据,第69条可作为确定相关民事责任的规范依据。
三、关于安全保障原则的理解
(一)安全保障原则的内涵界定
安全保障义务,是指采取积极措施保护他人利益免受危险侵害,或在侵害发生时采取积极救助措施的义务。安全保障义务在大陆法系通常被称为“一般安全注意义务”,在英美法系则大致对应过失侵权中的“有限义务”。具体到个人信息处理活动中,所谓安全保障原则,是指个人信息处理者应当根据个人信息的类别、处理目的、处理方式、约定处理范围,并充分考虑该处理活动对个人权益的影响以及其中可能存在的安全风险等,采取必要措施保障个人信息的安全。
实际上,对个人信息的安全保障,更多的是一种法律上的保护手段,而不是保护的最终目标。个人信息安全保障义务的对象,既包括个人信息本身即个人信息财产价值的保护,又包括以预防第三人非法获取个人信息进而导致信息主体财产权或人身权受损为目的的保护。前者系针对技术角度的个人信息安全,参照《信息安全技术个人信息安全规范》,具体指向个人信息的完整性、保密性与可用性,一般与个人信息处理者的公法责任相联系。后者系针对民事权益角度的个人信息安全,即个人信息主体的民事权益不因个人信息处理活动而遭到损害,一般与个人信息处理者的民事责任相联系。[1]因此,个人信息处理者只有既做到防止个人信息未经授权或非法处理以及意外丢失、破坏或损坏,又做到防止信息主体的民事权益因个人信息处理遭受损害,才能真正达到保障个人信息安全的要求。
(二)安全保障原则的具体要求
采取必要措施是保障个人信息安全的事前预防性手段。所谓必要措施,是指个人信息处理者应积极预防个人信息安全风险,在合理的成本范围内,采取切实有效的组织与技术措施,最大程度保障个人信息安全。至于如何判断是否采取了最大有效性的必要措施,实际上需要进行利益权衡,应结合均衡性原则,即狭义比例原则进行分析。如果某项安全保障措施有效性很强但成本太高,个人信息处理者负担的成本同对个人信息安全保障产生的收益不成比例,就不应当被采取。倘若该项措施有效性很强,成本与收益之间成比例,个人信息处理者就有义务采取该项措施。判断个人信息处理者是否采取了必要的安全保障措施,“应当在比例原则语境下考量成本”。[2]
本条规定的“必要措施”,既包括本法、其他法律、行政法规所明确的技术措施、组织措施,也包括个人信息处理者基于信息技术发展现状、信息处理实际等客观情况,为达到保护个人信息安全目标应当采取的法律规定之外的其他措施。本法第51条明确列举了比较典型的必要措施,包括:(1)制定内部管理制度和操作规程;(2)对个人信息实行分类管理;(3)采取相应的加密、去标识化等安全技术措施;(4)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;(5)制定并组织实施个人信息安全事件应急预案。同时,考虑到个人信息处理活动的复杂性与多样性,将“法律、行政法规规定的其他措施”作为兜底性规定,留有弹性空间。
【条文适用】
对于本条的适用,应注意以下问题:
第一,举证责任问题。依据本法第69条的规定,处理个人信息侵害个人信息权益造成损害的,适用过错推定原则,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。故此,个人信息处理者对其遵守法律规定的情况负有举证责任。这不仅有助于推动个人信息处理者更为主动地遵守本法及其他法律法规规定,也符合个人信息保护责任从个人向个人信息处理者转变的国际趋势。
第二,责任主体问题。在立法过程中,关于接受委托处理个人信息的受托方是否属于本法规定的个人信息处理者范畴问题曾发生争议,有的委员和部门、专家提出,接受委托处理个人信息的受托方,不属于本法规定的个人信息处理者,但仍应履行相应的个人信息安全保护义务,主要是考虑到个人信息受托处理者接受个人信息处理者的委托从事个人信息处理活动,实际控制着海量的个人信息,是可能导致个人信息被泄露、滥用,进而侵害信息主体权益的重要危险源。鉴于此,二审稿增加规定“接受委托处理个人信息的受托方,应当履行本章规定的相关义务,采取必要措施保障所处理的个人信息的安全”,最终审议时又对部分表述予以修改完善,实质上确立了接受委托处理个人信息的受托人作为信息处理辅助人,承担一定范围内的个人信息安全保障义务。当然,基于“责权利相统一”的原则,受托人所承担的安全保障义务应当低于个人信息处理者对信息主体应承担的主体责任。
第三,责任程度问题。首先,对于不同类型的个人信息处理者,其主体责任义务和安全保障义务的履行要求不同。就一般的个人信息处理者而言,仅需在常规意义上遵守相关法律、行政法规的规定;就提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者而言,由于其掌握了海量个人信息,一旦在处理活动中出现违法违规行为,将带来巨大的风险和挑战,故对此类主体应当强化其责任。其次,对于不同的信息类型,应根据信息分级分类的结果,采取不同的安全保障措施。就一般个人信息而言,根据安全保障需要和自身技术能力水平采取相应的保护措施即可;就敏感个人信息而言,个人信息处理者应当尽到更高的注意义务,采取更为充分的保护措施,例如,在处理生物识别信息时,需要采取加密等安全措施,并将生物识别信息与个人身份信息分开储存,原则上不应储存原始样本或图像等。
