【条文主旨】
本条是关于发生或者可能发生个人信息泄露、篡改、丢失时个人信息处理者负有的采取补救措施并通知义务的规定。
【条文理解】
一、规范的目的和立法背景
《个人信息保护法(草案)》和《个人信息保护法(草案二次审议稿)》对于该条的规定没有变化,均为:“个人信息处理者发现个人信息泄露的,应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项:(一)个人信息泄露的原因;(二)泄露的个人信息种类和可能造成的危害;(三)已采取的补救措施;(四)个人可以采取的减轻危害的措施;(五)个人信息处理者的联系方式。个人信息处理者采取措施能够有效避免信息泄露造成损害的,个人信息处理者可以不通知个人;但是,履行个人信息保护职责的部门认为个人信息泄露可能对个人造成损害的,有权要求个人信息处理者通知个人。”只不过一审稿是第55条,二审稿是第56条,三审稿时,一些常委会组成人员和地方、部门、企业、专家建议,建议将第56条中的“个人信息泄露”修改为“个人信息泄露、篡改、丢失”。最终稿采纳了上述建议,进行了适用范围的扩充,且不需要实际发生,并且整合了原来的五项应通知事项,调整为三项,在立法语言上也予以了完善。
个人信息处理者负有对个人信息进行保护的责任,根据《个人信息保护法》第9条规定,“个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全”。如果发生或者可能发生个人信息的泄露、篡改、丢失的,个人信息处理者也应当负责,并应采取补救措施,尽到通知义务。
二、国内外立法的相关规定
(一)欧美国家泄露通知制度的梳理
目前,欧美国家个人信息泄露通知制度主要有两种路径选择,一种是强化对企业的声誉制裁,另一种是降低信息泄露所造成的危害。当下,美国与欧盟都已经建立了较为成熟的个人信息泄露通知制度,其围绕个人信息处理者对监管机构和个人信息主体的通知义务,制定了细致的分层机制,发挥了泄露通知制度对于个人信息的保护作用。例如,美国加州2002年颁布的《数据安全泄露通知法》(Data?Security?Breach?Notification?Law)。该法案规定:在加州开展业务的个人或企业,如果拥有或被许可使用包括个人信息在内的未加密、计算机存储的信息,则在其发现信息泄露后,应向加州居民披露信息泄露的情况。[1]另外,GDPR第33条、第34条分别规定了个人数据泄露时,数据控制者向监管机构报告和通知数据主体的义务。欧盟规定,数据控制者在发现个人数据泄露后,除非有特殊理由,否则应当于72小时之内通知监管机构;当个人数据泄露事件可能导致对信息主体权利和自由的高度风险时,数据控制者应当及时告知数据主体。[2]
(二)我国立法规定
在《个人信息保护法》颁布前,《
民法典》《
网络安全法》对个人信息泄露,信息处理者的补救义务也有规定。《网络安全法》第42条第2款规定:“网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。”《民法典》第1038条第2款规定:“信息处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失;发生或者可能发生个人信息泄露、篡改、丢失的,应当及时采取补救措施,按照规定告知自然人并向有关主管部门报告。”我国立法没有采用72小时之内的通知义务,我们考虑可能是因为我国处于个人信息保护起步阶段,太过严格的时限规定,不符合我国现阶段国情。
三、个人信息泄露、篡改、丢失
个人信息泄露、篡改、丢失是并列的三个方面。其一,个人信息泄露。无论国内还是国外,近年来,个人信息泄露的事件时有发生,有些事件甚至造成严重损害后果。造成个人信息泄露的原因也很多,有个人信息处理者的内部原因,有单纯的外部原因。IBM公司的《2020年度数据泄露报告》将数据泄露的原因分为系统故障、人为失误和恶意攻击。[3]《个人信息保护法》未定义个人信息泄露的概念。GDPR第4条第12款将个人数据泄露定义为:违反安全所导致的意外的或非法的销毁、丢失、篡改,未经授权的披露或取得被传输、存储或以其他方式处理的个人数据。如前所述,我国将个人信息泄露、篡改、丢失并列,因此泄露仅指个人信息处理者因违反安全措施导致他人未经授权取得或知悉个人信息的各种情况。其二,个人信息的篡改。篡改个人信息是指未经个人同意而擅自改动个人信息。《民法典》和《网络安全法》均规定了个人信息处理者不得篡改个人信息的义务。《民法典》第1038条第1款规定:“信息处理者不得泄露或者篡改其收集、存储的个人信息。”《网络安全法》第42条第1款规定:“网络运营者不得泄露、篡改、毁损其收集的个人信息。”因为个人信息被篡改可能是个人信息处理者的内部行为,也可能是黑客攻击等外部行为,所以《个人信息保护法》第51条明确要求个人信息处理者要采取措施防止出现个人信息被篡改。其三,个人信息的丢失。个人信息的丢失是指因为人为原因或非人为原因导致个人信息的遗失。例如,存放个人信息的媒介,电脑硬盘、光盘、U盘等被损害或者窃取。在司法实践中,个人信息丢失引发的诉讼多表现为用人单位人事部门或者人力资源部门将工作人员的档案丢失或者医疗机构保管不当将病人病例丢失等情况。
【条文适用】
一、采取补救措施
如果发生个人信息泄露、篡改、丢失,可能直接给个人造成严重损害,为了避免个人权益处于危险境地或者给个人造成损害,所以需要采取补救措施。换句话说,采取补救措施的目的是防止损失的进一步扩大。因为个人信息处理者既是法定的责任主体,也是直接控制人,所以相较于其他主体,可以开展最直接、具体、高效及时的补救措施,所以法律规定应当“立即”采取有针对性的补救措施。例如,如果是黑客攻击,个人信息处理者应立即修复安全系统,清除病毒与恶意软件,更改密码;如果是内部工作人员泄露,应当立即取消该人员的访问权限。个人信息处理者采取的补救措施类型应当与个人信息泄露可能给个人造成损害的危险程度相适应。危险程度越高,补救措施应越充分。至于危险程度的高低,可以从泄露、篡改、丢失个人信息的数量、性质和敏感度、个人信息类型和对个人造成损害的影响综合考虑予以判断。例如,如果泄露的是医疗健康信息、生物识别信息、金融账户等敏感个人信息,造成的损害可能性比非敏感信息大,风险也更高,采取的措施就应更充分。
二、通知义务
我国并未如欧盟那样区分数据控制者和数据处理者,GDPR规定,数据处理者在知道个人信息泄露时应当立即通知数据控制者,再由数据控制者向监管机构报告和通知个人主体。在我国,个人信息处理者是通知义务人,个人信息处理者要通知履行个人信息保护职责的部门和个人。履行个人信息保护职责的部门,根据《个人信息保护法》第60条规定,是指国家网信部门、各自职责范围内负责个人信息保护和监督管理工作的国务院有关部门、依法确定的履行个人信息保护和监督管理职责的县级以上地方人民政府有关部门。本条设置了三种应当通知的事项,分别是:(1)发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害。通知信息的种类、原因和可能造成的危害是必需的。通知信息的种类,有利于相关部门和个人按照分类处理的原则,集中优势资源开展针对性处理。通知信息泄露、篡改、丢失的原因,具体告知是个人信息处理者自身内部原因,还是黑客攻击等外部原因,有利于帮助相关部门和个人尽快找到事件产生的源头,健全完善风险发生的机制。通知可能造成的危害,包括现实发生的和潜在的危害,便于相关部门和个人按照危害程度高低采取相对应的措施,合理调整预期。(2)个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施。通知个人信息处理者采取的补救措施,比如设置新的密码,更改、变更访问权限等措施,有利于防止资源重复利用,提高补救效率,也便于外部监督,促进补救措施合法。通知个人可以采取的减轻危害的措施,有利于个人尽快开展自救,及时行使法律赋予的更正、删除等权利,减轻对个人的损害。(3)个人信息处理者的联系方式。个人信息处理者和个人通过虚拟网络产生联系,往往具有不能直接接触的天然屏障,尤其在合作处理、委托处理个人信息的情况下,更容易发生个人不知晓个人信息处理者联系方式的情况,这时及时告知联系方式,可以帮助个人在有疑问、有困难时能快速和处理者取得联系。
三、允许个人信息处理者在特定情况下不通知个人
需要注意的是,根据本条规定,无论发生或者可能发生个人信息泄露、篡改、丢失时,个人信息处理者所采取的措施能否有效避免个人信息泄露、篡改、丢失造成的危害,个人信息处理者都必须通知履行个人信息保护职责的部门。只有当个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的,个人信息处理者可以免除通知个人的义务。换言之,履行个人信息保护职责的部门是一定要通知的。而个人信息处理者在采取措施能够有效避免危害的情况下,可以自行决定通知或者不通知个人,法律赋予了特殊情况下的选择权。个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的,个人信息处理者可以不通知个人,具有了通知义务的豁免权。