上海戎磐網絡科技有限公司首席信息官 Slimming Panda

“很好與優秀只差一點點距離，這段距離叫安全”。8 月 28 日，華住集團被曝大量用戶數據遭泄露，疑似近 5 億條開房記錄被拖庫。華住集團雖在8 月 28 日即通過官方微博聲明表示已經報警并且聘請專業技術公司核查此事，但兩周多時間過去了，華住方面仍無更新事件進展，而數據泄露引發的公眾熱議也逐漸在網上淡去。這很大程度上是因為我國在立法層面問責和監管缺位，受害者或是基于無力應對，或是應對無效后不得不接受現狀，一般會選擇“自認倒霉”。9 月 4 日，在2018 年互聯網安全大會上，一些專家呼吁，對個人信息安全的關注和討論不該停止。

一、國內現狀

根據全國人大網 10 日公布的《十三屆全國人大常委會立法規劃》文件顯示，共有 69 件法律草案列入第一類項目，即條件比較成熟、任期內擬提請審議。其中，個人信息保護法是第 61個項目，這意味著個人信息保護將迎來專門立法。

另一則激動人心的消息是，今年9月 17 日，阿里巴巴等 12 家大數據企業在杭州簽署《個人信息保護倡議書》，承諾保障用戶信息控制權益。倡議書提出，公開透明處理用戶信息；用通俗易懂的語言、簡單直觀的方式，向用戶明示個人信息處理目的、方式、范圍、規則等；一旦發生重大個人信息泄露事件及時告知用戶；不使用“一攬子協議”的方式強迫用戶打包授權對個人信息的收集，為用戶提供個人信息申訴渠道、注銷賬戶或關閉的途徑；建立可訪問、更正、刪除其個人信息處理機制；不超范圍和約定，收集、存儲、使用、共享個人信息；在個人信息處理活動時，對用戶合法權益造成的損害依法承擔責任。

因此來說，在當前個人信息泄露頻繁、大數據頂層設計不到位和第三方監管缺乏的背景下，我國在國家立法和行業軟法規范方面事實上已經邁出了重要步伐。事實上，在中國的法律體系中，并不缺乏關于個人信息保護的相關立法。2012 年全國人大常委會制定的《關于加強網絡信息保護的決定》，2016 年的《網絡安全法》，2017年的《民法總則》，都有涉及個人信息保護的法律規則。在司法解釋的層面上，則有最高人民法院與最高人民檢察院在 2017 年聯合發布的《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》。剛剛經過第三次審議的《電子商務法（草案）》，以及已經進入征求意見階段的《民法典人格權編（草案）》也都有專門涉及個人信息保護的條文。在其他社會規范的層面上，國家標準委員會在 2017 年正式發布了《信息安全技術以及個人信息安全規范》的國家標準。但目前存在的問題是，我國既有的個人信息保護立法存在嚴重的碎片化，同時缺乏實際的可操作性。雖然看上去很多立法都涉及個人信息保護，但往往流于原則宣示，或局限于針對某一特定領域或方面的問題作出規定。由此導致規則之間的不協調，違反規則的責任主體、責任形態含糊不清。亟需國家層面的數據保護法律框架以及配套的信息安全激勵和問責機制。

二、歐美國家主要做法

在個人信息保護方面，歐美國家可以為我們提供很多啟示與借鑒。

以美國為例，美國的策略較為靈活，主要采取行業自律模式，即由公司或行業內部制定行業的行為規章或最佳實踐指南，為行業的隱私保護提供示范和標桿。相對于個人信息保護立法，行業自律模式是一種相對寬松、尊重企業自我選擇的一種保護模式。其弊端也是顯而易見的，如缺乏統一自律標準，對個人信息保護參差不齊；執行機制不夠完善，缺乏有效監督等。不過，美國也以分散立法的形式對該模式予以補充，如《聯邦貿易委員會法》（15 U.S.C. §§41-58）（FTC Act） 是 一 部聯邦消費者保護法案，禁止不公平或欺騙性做法，適用于線下和線上的隱私和數據安全。《消費者網上隱私法》、《兒童網上隱私保護法》、《電子通訊隱私法案》、《計算機欺詐和濫用法》、《金融服務現代化法》（GLB）、《健康保險流通與責任法》（HIPAA）、《公平信用報告法》等行業立法也為特定行業的隱私保護或特定類型的敏感信息保護提供了法律依據。除此之外，截至 2018 年 3 月28 日，美國所有 50 個州、哥倫比亞特區、關島、波多黎各和維爾京群島均頒布了《數據泄露通知法》，要求私人或政府實體及時向受影響客戶通報涉及個人信息泄露的有關事件。此外，在法律救濟方面，除美國聯邦及州級政府提起訴訟外，公司還面臨用戶及投資人提起民事訴訟的風險，以期尋求民事救濟，指控公司違約、疏忽及欺詐。2017 年 6月，美國最大保險公司 Anthem Inc. 在發生8000 萬客戶個人數據泄露事件后，就曾簽署過一份 1.15 億美元的和解協議，同意向每位原告支付 235 美元的賠償，而遭受最大傷害的訴訟集體將獲得高達 10000 美元的賠償。加利福尼亞州在法律實踐方面一直走在美國各州的前面，該州于今年 6月 28 日頒發了一項備受關注的數據隱私法案——“AB 375”法案，直接為集體訴訟開綠燈，同時對“個人信息”進行了更為廣泛的定義，將“生物識別信息”、互聯網瀏覽歷史記錄和購買歷史記錄均納入個人信息保護范疇。

同時， 美國目前的立法也是存在條塊分割、相互交叉甚至是矛盾等問題，缺乏全面性的綜合隱私法。 在數月前曝出的臉書和劍橋數據分析公司丑聞之后，特朗普總統的特別助理蓋爾·斯萊特與信息技術行業委員會的首席執行官們會面，討論聯邦層面網絡數據隱私法規的雛形。國會議員也呼吁制定新的法律法規，加強美國數據隱私保護體系，并可能借鑒歐盟的《通用數據保護條例》(GDPR)。

歐洲方面，歐盟在個人信息保護方面要嚴格得多，它對互聯網環境下個人信息的隱私權保護算得上是世界上最為全面和嚴格的。歐盟保護模式是由國家主導的立法模式。國家通過立法的形式，明確保證個人信息安全的各項基本原則和具體的法律規定等。而剛生效不久的歐盟《通用數據保護條例》(GDPR)，更是被媒體認為是大數據監管新時代的標志。該法案對數據泄露的定義較為寬泛，包括“違反安全規定導致所傳輸、存儲或以其他方式處理的個人數據遭受意外或非法毀壞、丟失、篡改、未經授權披露或訪問”。因此，數據泄露的定義不限于黑客訪問 IT 系統，還包括智能手機、筆記本電腦 或 U 盤丟失或被盜、惡意軟件感染和數據丟失（如數據被意外刪除且沒有備份可用）。法案還規定了數據控制者和數據處理者在泄露事件中的義務，如通知監管機構和數據主體，記錄包括與數據泄露相關的事實、數據泄露的影響以及所采取的任何補救措施等的所有有關數據泄露的情況。其懲罰措施也是全球最嚴格的，“不遵守上述通知義務可能面臨高達一千萬歐元或相當于全球年營業總額百分之二的罰款（以其中較高者為準）。不遵守監管機構的命令可能會面臨高達兩千萬歐元或相當于全球年營業總額百分之四的罰款（以較高者為準）。”

三、幾點啟示

一是數據保護不僅是數字時代企業社會責任的一部分，對于收集、使用或共享個人信息或其他潛在敏感消費者數據的任何組織而言，數據保護既是一種風險管理，也應是最基本的合規性功能。就公司而言，可將其視為“信息受托人”，用對個人信息的保護責任，換取法律的確定性和安全港保護。（“安全港規則”，即有限合伙企業中的有限合伙人（LP）的行為如果被認定為對合伙 企 業的控制性行為，則該 LP 就可能與普通合伙人（GP）一樣，對合伙企業的對外債務承擔無限連帶責任。作為有限合伙企業的一項基本法律制度，安 全港規則是通過對 LP 不參與合伙事務為隔離條件，而賦予其有限責任保護的一種價值平衡安排。）

二是在國家立法方面，可參考歐盟的 GDPR，出臺全面的個人數據隱私保護框架，對個人信息的定義要結合大數據發展趨勢進行重新定義，法律的約束和監管對象應該是所有機構，包括政府部門，而不只是企業。

三是立法的效果主要取決于 2 個方面：一是自下而上的民意倒逼，對立法具有重要推動作用。個人維權意識提升、企業通過行業軟法踐行“社會責任感”，形成巨大的“民意”氛圍，可以推動國家立法，使得法律更有活力和生命力； 二是可供選擇的法律救濟措施， 如通過集體訴訟尋求補償，使公司承擔責任，幫助公司成為負責任的個人信息管理者。同時，應建立以行政救濟為主，民事救濟、刑事救濟相結合的多途徑救濟機制，全面保障個人信息主體的權利。

四是個人信息保護立法應有配套的信息安全激勵機制，不能僅僅是“亡羊補牢”式的事件應急處置，而應向事件預防傾斜。應鼓勵公司升級管理模式，做好完整可靠的數據安全措施。

五是對于個人信息保護議題的討論，無疑是一個法律問題，同時也是一個技術問題。所以，我們不僅要進行法學思考，而且要進行技術方面的思考。如何實現技術規律、技術程序與法治規律和法律程序的有效連接，是我們需要面臨和思考的新問題。