楊婕

(中國信息通信研究院政策與經(jīng)濟研究所，北京100191)

0 引言

大數(shù)據(jù)、人工智能、云計算等數(shù)字技術(shù)正在推動社會快速步入數(shù)字經(jīng)濟時代，數(shù)據(jù)已經(jīng)成為數(shù)字經(jīng)濟時代的關(guān)鍵生產(chǎn)要素，不斷爆炸式增長，成為經(jīng)濟發(fā)展的新引擎、產(chǎn)業(yè)創(chuàng)新的新動力以及便捷生活的助推劑。與此同時，由于個人信息處理者業(yè)務(wù)上云的普及，云端數(shù)據(jù)存儲量增大，特別是新冠肺炎疫情期間，線上業(yè)務(wù)持續(xù)增長，線上教育、遠程辦公等場景加大了數(shù)據(jù)泄漏的風(fēng)險。據(jù)市場調(diào)研公司Canalys統(tǒng)計，2020年全球個人信息泄露事件超過去15年總和[1]。在所有個人信息泄露事件中，個人信息泄漏問題尤為突出，占數(shù)據(jù)泄漏事件的60%，成為影響個人權(quán)益、企業(yè)發(fā)展甚至國家安全的重要因素。

1 個人信息泄露事件層出不窮，安全威脅日益嚴峻

個人信息泄露是指個人信息處理者喪失對其掌握的個人信息的控制力，造成個人信息范圍的擴散和用途的不可控。

1.1 全球個人信息泄露呈現(xiàn)出泄露規(guī)模大、行業(yè)廣、時間久、原因雜等特點

近年來，個人信息泄露呈現(xiàn)出個人信息泄露規(guī)模體量增大、涉及行業(yè)增多、持續(xù)時間較長、引發(fā)原因多樣等趨勢。

一是個人信息泄露規(guī)模體量增大。當(dāng)前，受個人信息泄露影響的個體數(shù)量不斷擴大。2020年3月，5.38億條新浪微博用戶個人信息在暗網(wǎng)非法出售，包括1.72億條含用戶ID、地理位置等賬戶基本信息。

二是個人信息泄露涉及行業(yè)增多。隨著越來越多的設(shè)備、平臺相互聯(lián)通，以及云計算、物聯(lián)網(wǎng)的不斷融合，個人信息泄露涉及的行業(yè)越來越廣泛，已滲透互聯(lián)網(wǎng)、物流、金融、教育、醫(yī)療、酒店、娛樂等行業(yè)。其中，互聯(lián)網(wǎng)、金融行業(yè)作為信息化、數(shù)字化發(fā)展程度最高的行業(yè)，已成為個人信息泄露的重災(zāi)區(qū)[2]。

三是個人信息泄露持續(xù)時間較長。由于大部分個人信息處理者并沒有應(yīng)對個人信息泄露的響應(yīng)機制，無法迅速發(fā)現(xiàn)個人信息遭到泄露。《2020年數(shù)據(jù)泄露成本報告》[3]顯示，個人信息處理者發(fā)現(xiàn)并控制數(shù)據(jù)泄露的平均時間為280天。

四是個人信息泄露引發(fā)原因多樣。個人信息泄露原因多種多樣，既有黑客利用系統(tǒng)漏洞進行攻擊，又有數(shù)據(jù)庫配置錯誤、企業(yè)人員非授權(quán)訪問、第三方維護人員錯誤操作、“內(nèi)鬼”主動泄露以及辦公網(wǎng)絡(luò)邊界不再固定等諸多原因[4]。

1.2 個人信息泄露引發(fā)國家、企業(yè)、個人不同維度的安全風(fēng)險

當(dāng)前，個人信息泄露安全風(fēng)險日益成為影響個人權(quán)益、企業(yè)發(fā)展甚至國家安全的重要因素。

一是威脅個人人身財產(chǎn)安全。一方面，個人信息泄露可能威脅個人人身安全。新冠肺炎疫情暴發(fā)初期，部分涉疫人員的個人信息被泄露，引發(fā)污名化、惡意騷擾、暴力恐嚇等行為，給當(dāng)事人造成極大困擾。另一方面，個人信息泄露極大危害個人財產(chǎn)安全。個人信息泄露一直以來都是騷擾電話、網(wǎng)絡(luò)詐騙、敲詐勒索等違法活動的罪魁禍?zhǔn)住?/p>

二是影響企業(yè)日常經(jīng)濟利益。一方面，當(dāng)企業(yè)發(fā)生個人信息泄露時，會造成用戶信任度喪失、企業(yè)形象產(chǎn)生負面影響等無形資產(chǎn)的損失。另一方面，企業(yè)在發(fā)現(xiàn)泄露和立即響應(yīng)個人信息泄露等活動上需要承擔(dān)不小的支出和精力，《2020年數(shù)據(jù)泄露成本報告》[3]顯示，目前企業(yè)單次個人信息泄露事件的平均財產(chǎn)損失為386萬美元。

三是甚至可能威脅國家安全。大規(guī)模、群體性以及重點行業(yè)的個人信息被泄露后，可能被他國用來分析國計民生情況，影響國家發(fā)展和安全利益。例如，2020年國家互聯(lián)網(wǎng)應(yīng)急中心共監(jiān)測發(fā)現(xiàn)我國境內(nèi)被植入后門的網(wǎng)站數(shù)量達到了61 948個，涉及大量來自境外的針對我國工業(yè)云平臺的網(wǎng)絡(luò)攻擊和惡意嗅探事件。

2 國外治理個人信息泄露的經(jīng)驗做法

個人信息泄露不分國界，全球都在飽受個人信息泄露問題的困擾。國外對此高度重視，并采取了一系列法律行動。

2.1 健全立法保障體系，制度設(shè)計多管齊下

國外將個人信息泄露通知制度作為立法體系的重點環(huán)節(jié)，發(fā)揮著提升監(jiān)管效率以及減少個人損失的作用。但個人信息泄露通知并非孤立的制度，各國往往將登記注冊制度和安全保障規(guī)則作為配套制度，構(gòu)建起完整的個人信息保護立法保障體系，以有效應(yīng)對個人信息泄露問題。

一是以個人信息泄露通知制度作為主要制度抓手。個人信息泄露通知制度，是指可能或者已經(jīng)發(fā)生個人信息泄露、損毀、丟失等情形時，企業(yè)及時通知監(jiān)管機構(gòu)及個人，讓各方盡快了解情況以采取保護措施。目前，美國各州、歐盟、澳大利亞、英國、韓國、新加坡等國家/地區(qū)都已經(jīng)在立法中對個人信息泄露通知制度進行了規(guī)定，主要包括實施主體、通知對象、觸發(fā)條件、通知事項、通知時限等內(nèi)容。關(guān)于實施主體，一般而言，對個人信息享有控制權(quán)的主體是義務(wù)主體。例如，歐盟《通用數(shù)據(jù)保護條例》(以下簡稱GDPR)將個人信息控制者作為義務(wù)主體。關(guān)于通知對象，一般包括監(jiān)管機構(gòu)和個人。例如，GDPR還規(guī)定了告知個人的豁免情形，在個人信息控制者采取數(shù)據(jù)加密等措施，使他人無法理解被泄露的個人信息或者個人信息控制者采取措施確保不會出現(xiàn)個人權(quán)利和自由受到高風(fēng)險侵犯等情形下，個人信息控制者可以不告知個人。關(guān)于觸發(fā)條件，是指啟動個人信息泄露通知制度的門檻要求。例如，美國加州規(guī)定在同時滿足特定信息(社會保險號、信用卡賬號、醫(yī)療信息等個人信息)和條數(shù)要求(500條以上)的情況下，才觸發(fā)個人信息泄露通知義務(wù)。關(guān)于通知事項，是指對監(jiān)管機構(gòu)和個人通知書中的具體內(nèi)容，包含泄露個人信息類型和數(shù)量、泄露時間、數(shù)據(jù)保護官聯(lián)系方式、可能后果、補救措施等內(nèi)容。關(guān)于通知時限，是指在發(fā)現(xiàn)個人信息泄露后應(yīng)當(dāng)在多長時間內(nèi)通知個人和監(jiān)管機構(gòu)。例如，GDPR規(guī)定個人信息控制者應(yīng)在知道之時起72 h內(nèi)向監(jiān)管機構(gòu)報告，如果沒有在72 h內(nèi)報告的，需要對遲誤原因進行說明。但GDPR沒有規(guī)定告知個人的具體時間，只是要求盡快告知[5]。

二是以登記注冊制度和安全保障規(guī)則作為配套制度。登記注冊制度是指開展個人信息處理活動的企業(yè)，應(yīng)當(dāng)向監(jiān)管機構(gòu)就其處理個人信息的相關(guān)情況事先提交登記注冊申請。登記事項包括個人信息處理者基本情況、處理個人信息的類型和規(guī)模、個人信息處理目的、個人信息跨境情況以及安全保護措施等內(nèi)容。這項制度能夠讓監(jiān)管機構(gòu)事先掌握從事個人信息處理企業(yè)的數(shù)量、規(guī)模、處理目的等基本信息，避免因信息缺失而導(dǎo)致出現(xiàn)個人信息泄露事件發(fā)生后無法及時監(jiān)管的情形。安全保障規(guī)則是指企業(yè)需要采取技術(shù)、物理、管理等措施，以防范個人信息泄露、毀損、丟失等風(fēng)險。這項制度通過規(guī)定企業(yè)日常運營中，在保障個人信息安全方面所應(yīng)采取的各項措施，以降低個人信息泄露事件發(fā)生的風(fēng)險。各國立法普遍要求企業(yè)采取加密等技術(shù)措施、加強人員監(jiān)督管理和培訓(xùn)、設(shè)立個人信息保護專員、定期進行安全評估、記錄個人信息處理使用行為以及向監(jiān)管機構(gòu)進行合規(guī)報告等[6]。

2.2 個人信息泄露執(zhí)法力度加大，大額罰單數(shù)量激增

各國監(jiān)管機構(gòu)對于個人信息泄露事件執(zhí)法力度不斷加大。從執(zhí)法案例來看，2019年GDPR的處罰案例中個人信息泄露案件最多，占比達到1/3以上。大額罰單出現(xiàn)的概率明顯增加，例如，英國航空公司遭受了2.3億美元罰款，美國信貸機構(gòu)艾可飛支付了5.75億美元罰款，臉書的50億美元罰單更是創(chuàng)下了美國聯(lián)邦貿(mào)易委員會歷史上對科技公司的最高罰單記錄。各國監(jiān)管機構(gòu)在決定對個人信息泄露企業(yè)處以罰款時會考慮多重因素，包括個人信息安全保障措施是否充分、個人信息泄露的性質(zhì)、嚴重性與持續(xù)時間、減輕個人損失所采取的行動、是否主動告知監(jiān)管機構(gòu)及與監(jiān)管機構(gòu)的配合程度，因此各個人信息泄露案件的罰款不一。整體上來看，各國持續(xù)加大執(zhí)法力度已發(fā)揮出積極效果，以萬豪國際酒店兩次個人信息泄露事件為例。2018年11月，萬豪國際酒店泄露5億客戶信息，因缺乏安全保障措施，也未盡到通知義務(wù)，被英國監(jiān)管機構(gòu)處以1.1億歐元罰款。2020年，萬豪國際酒店在再次發(fā)生個人信息泄露事件后，便立刻向監(jiān)管機構(gòu)報告并配合調(diào)查，以電子郵件的形式通知了可能受影響的個人，還專門建立了一個自助服務(wù)網(wǎng)站。同時，萬豪國際酒店還采取了禁用密碼或要求更改密碼、啟用多因素身份驗證等補救措施。

2.3 啟動集體訴訟集中賠償受害者損失

一些國家個人信息保護立法規(guī)定，個人可以向個人信息泄露企業(yè)提出損害賠償，但由于個人信息泄露涉及主體數(shù)量眾多，且人數(shù)無法確定。出于處理的便利和經(jīng)濟合理性考慮，部分主體可以作為原告，代表受害者出庭參加訴訟，對企業(yè)提出賠償請求，以提高效率。根據(jù)一份關(guān)于美國個人信息侵權(quán)訴訟的實證分析報告，該類案件中集體訴訟比非集體訴訟多30%。例如，美國最大保險公司Anthem Inc.，在發(fā)生8000 萬客戶個人信息泄露事件后被提起集體訴訟，于2017年6月簽署了一份1.15 億美元的和解協(xié)議，同意向每位原告支付賠償。

3 我國立法以閉環(huán)管理機制，規(guī)制個人信息泄露問題

一直以來，我國高度關(guān)注個人信息泄露問題，立法層面主要通過規(guī)定個人信息安全保障義務(wù)(防范源頭)以及設(shè)立個人信息泄露通知制度(控制末端)予以應(yīng)對，形成閉環(huán)管理機制。

3.1 規(guī)定個人信息安全保障義務(wù)以防范源頭

2021年8月20日，《個人信息保護法》經(jīng)十三屆全國人大常委會第三十次會議通過并正式發(fā)布，并將于2021年11月1日起施行。作為個人信息保護領(lǐng)域的基礎(chǔ)性、專門性法律，《個人信息保護法》通過規(guī)定個人信息安全保障義務(wù)，包括內(nèi)部安全管理要求、事前影響評估以及設(shè)立個人信息保護負責(zé)人等規(guī)則，從源頭上有效應(yīng)對個人信息泄露問題。

一是細化內(nèi)部安全管理要求，《個人信息保護法》要求個人信息處理者應(yīng)當(dāng)根據(jù)個人信息的處理目的、處理方式、個人信息的種類以及對個人權(quán)益的影響、可能存在的安全風(fēng)險等，采取下列措施確保個人信息處理活動符合法律、行政法規(guī)的規(guī)定，并防止未經(jīng)授權(quán)的訪問以及個人信息泄露、篡改、丟失。具體措施包括：制定內(nèi)部管理制度和操作規(guī)程，對個人信息實行分級分類管理，采取相應(yīng)的加密、去標(biāo)識化等安全技術(shù)措施，合理確定個人信息處理的操作權(quán)限,并定期對從業(yè)人員進行安全教育和培訓(xùn)，制定并組織實施個人信息安全事件應(yīng)急預(yù)案等內(nèi)容。如果個人信息處理者能夠根據(jù)個人信息的處理目的、處理方式、個人信息的種類以及對個人的影響、可能存在的安全風(fēng)險等方面綜合評估和判斷，嚴格落實內(nèi)部安全管理要求，設(shè)好保護屏障，則能夠在一定程度上降低個人信息泄露發(fā)生的可能。

二是《個人信息保護法》規(guī)定事前個人信息保護影響評估機制，即個人信息處理者在開展對個人有重大影響的個人信息處理活動時，應(yīng)當(dāng)進行事前個人信息保護影響評估,并對處理情況進行記錄?！秱€人信息保護法》還明確了個人信息保護影響評估的具體事項：個人信息的處理目的、處理方式等是否合法、正當(dāng)、必要；對個人權(quán)益的影響及安全風(fēng)險；所采取的安全保護措施是否合法、有效并與風(fēng)險程度相適應(yīng)。通過事前的個人信息保護影響評估機制，個人信息處理者能夠?qū)ψ陨淼膫€人信息安全風(fēng)險有一個精確的認識，較為準(zhǔn)確地把握自身的安全水平和安全需求，識別出具有高風(fēng)險和存在安全漏洞的個人信息處理活動，從而防范個人信息泄露事件的發(fā)生。同時，《個人信息保護法》要求個人信息保護影響評估報告和處理情況記錄應(yīng)當(dāng)至少保存三年，這些記錄可以作為履行個人信息保護職責(zé)的部門在事后調(diào)查個人信息泄露事件時的線索指引，用以評估個人信息處理者的安全保障義務(wù)的履行情況，即為防范個人信息泄露風(fēng)險是否做出了必要的努力，幫助履行個人信息保護職責(zé)的部門在處罰時，做到罰當(dāng)其罪。

三是《個人信息保護法》設(shè)立了個人信息保護負責(zé)人制度，規(guī)定處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者應(yīng)當(dāng)指定個人信息保護負責(zé)人,負責(zé)對個人信息處理活動以及采取的保護措施等進行監(jiān)督。此外，個人信息處理者應(yīng)當(dāng)公開個人信息保護負責(zé)人的聯(lián)系方式，并將個人信息保護負責(zé)人的姓名、聯(lián)系方式等報送履行個人信息保護職責(zé)的部門。這項制度有助于明確個人信息處理者在發(fā)生個人信息泄露事件時與履行個人信息保護職責(zé)的部門的對接人。

3.2 設(shè)立個人信息泄露通知制度以控制末端

設(shè)立個人信息泄露通知制度是因為網(wǎng)絡(luò)安全領(lǐng)域具有高專業(yè)性，安全攻擊行為具有隱蔽性和多變性?！稊?shù)據(jù)安全法》將“數(shù)據(jù)安全”界定為“通過采取必要措施,保障數(shù)據(jù)得到有效保護和合法利用,并持續(xù)處于安全狀態(tài)的能力”，體現(xiàn)出了安全是動態(tài)的安全能力維持，而非僅僅是靜態(tài)的確定性結(jié)果這一理念。為此，實踐中個人信息處理者即使已充分履行個人信息安全保障義務(wù)，也很難將個人信息泄露等安全事件發(fā)生率降低至零。從多元治理和資源配置的角度來看，發(fā)生個人信息安全事件(個人信息泄露、篡改、丟失)或具有個人信息安全風(fēng)險(可能發(fā)生個人信息泄露、篡改、丟失)時，構(gòu)建個人信息泄露通知制度，通過觸發(fā)監(jiān)管資源的及時介入，以及啟動個人主體的防御舉措，形成個人信息處理者與履行個人信息保護職責(zé)的部門以及個人之間有效聯(lián)動的機制，能夠極大程度減輕個人信息泄露事件的影響。

我國的個人信息泄露通知制度設(shè)計具有分階段漸進式的特點。第一階段為立法回應(yīng)期，2012年，《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》首次從法律層面對個人信息泄露問題進行了規(guī)定，作出了兩項要求：安全防范(采取技術(shù)和其他措施確保安全)以及補救措施(在發(fā)生或者可能發(fā)生個人信息泄露、毀損、丟失時進行補救)。第二階段為立法探索期，2013年，《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》(以下簡稱工信部24號令)中除了延續(xù)安全防范和補救措施兩項要求外，首次提出了報告義務(wù)(造成或者可能造成嚴重后果的，應(yīng)當(dāng)立即向準(zhǔn)予其許可或者備案的電信管理機構(gòu)報告，配合相關(guān)部門進行的調(diào)查處理)。2016年，《網(wǎng)絡(luò)安全法》在工信部24號令的基礎(chǔ)上，將報告義務(wù)進一步擴展，既要向相關(guān)主管部門報告，也要及時告知用戶，體現(xiàn)了對用戶知情權(quán)的尊重。[7]此外，《消費者權(quán)益保護法》《電子商務(wù)法》等立法中也對個人信息泄露問題進行了規(guī)定。第三階段為立法的成熟期，《個人信息保護法》進一步完善了個人信息泄露通知制度的各項具體要求。

一是明確個人和履行個人信息保護職責(zé)的部門屬于通知對象。此前，《網(wǎng)絡(luò)安全法》規(guī)定應(yīng)及時告知用戶并向有關(guān)主管部門報告，但并未明確具體的主管部門。工信部24號令作為電信和互聯(lián)網(wǎng)領(lǐng)域的個人信息保護規(guī)范，規(guī)定向準(zhǔn)予其許可或者備案的電信管理機構(gòu)報告，但適用范圍有限。此次，《個人信息保護法》將通知對象明確規(guī)定為個人和履行個人信息保護職責(zé)的部門。二是規(guī)定通知個人的豁免情形。并非所有的個人信息泄露事件，都要啟動個人信息泄露制度向個人進行通知?！秱€人信息保護法》規(guī)定，個人信息處理者采取措施能夠有效避免信息泄露、篡改、丟失造成危害的，個人信息處理者可以不通知個人；履行個人信息保護職責(zé)的部門認為可能造成危害的，有權(quán)要求個人信息處理者通知個人。因為，如果補救措施可以有效防止個人遭受傷害或者個人信息泄露事件本身不會對個人造成危害，則無需觸發(fā)對于個人的通知機制，避免個人信息處理者負擔(dān)不必要的通知成本。三是細化通知事項?！秱€人信息保護法》規(guī)定通知事項包括：發(fā)生或者可能發(fā)生個人信息泄露、篡改、丟失的信息種類、原因和可能造成的危害；個人信息處理者采取的補救措施和個人可以采取的減輕危害的措施；個人信息處理者的聯(lián)系方式。詳細的通知事項既可以能夠幫助履行個人信息保護職責(zé)的部門快速了解個人信息泄露事件的全貌，也有助于幫助個人及時減輕個人信息泄露對自身的影響。此外，《個人信息保護法》并沒有限定通知的具體方式，此舉給通知個人的方式留下了靈活的操作空間。個人信息處理者可以根據(jù)實際情況采用不同的通知方式，一種是通過郵件、電話等方式一對一通知個人；另一種是通過替代性公告的方式一對多通知個人。例如，當(dāng)通知費用過高、受影響主體數(shù)量過多或者個人更換聯(lián)系方式時，可以采用在網(wǎng)站、廣播、報紙等公開渠道上進行公告。四是設(shè)置區(qū)分化的法律責(zé)任。按照《個人信息保護法》的規(guī)定，對未履行個人信息泄露通知義務(wù)的處罰規(guī)定較為剛性和嚴格，最高可以處5千萬元以下或者上一年度營業(yè)額5%以下罰款，起到倒逼個人信息處理者履行通知義務(wù)的作用。因為個人信息處理者對個人信息泄露采取補救措施、通知個人、與履行個人信息保護職責(zé)的部門進行溝通不但會增加運營成本，而且個人信息處理者往往擔(dān)憂披露泄露事件會影響商業(yè)信譽，如果沒有強有力的處罰機制，個人信息處理者就沒有足夠的動力落實泄漏通知要求。但也應(yīng)注意到，個人信息安全保障義務(wù)與個人信息泄露通知是兩項獨立的制度設(shè)計，個人信息泄露通知義務(wù)的履行并不意味著個人信息安全保障義務(wù)的豁免。個人信息泄露發(fā)生后，當(dāng)個人信息處理者履行通知義務(wù)告知履行個人信息保護職責(zé)的部門后，該部門會啟動個人信息安全保障義務(wù)的檢查機制，判斷個人信息泄露的發(fā)生是否由于個人信息安全保障義務(wù)履行不到位所致。如果個人信息處理者未履行充分的個人信息安全保障義務(wù)，即使已履行通知義務(wù)，也仍需承擔(dān)相應(yīng)的法律責(zé)任。

4 我國個人信息泄露治理已見成效，但仍存在一定風(fēng)險挑戰(zhàn)

《網(wǎng)絡(luò)安全法》實施后，我國個人信息泄露相關(guān)治理工作逐步鋪開，治理工作取得積極效果。一方面，監(jiān)管機構(gòu)積極開展個人信息安全合規(guī)性評估、專項治理和監(jiān)督檢查，督促企業(yè)強化個人信息安全全流程管理，及時整改消除重大個人信息泄露安全隱患，指導(dǎo)企業(yè)健全完善企業(yè)內(nèi)部個人信息全生命周期安全管理，全面提升個人信息安全管理及保障水平。另一方面，監(jiān)管機構(gòu)對于爆出的個人信息泄露事件及時回應(yīng)、迅速處理。2020年2月，針對疫情期間個人信息泄露問題，國家互聯(lián)網(wǎng)信息辦公室發(fā)布《關(guān)于做好個人信息保護利用大數(shù)據(jù)支撐聯(lián)防聯(lián)控工作的通知》，強調(diào)收集或掌握個人信息的機構(gòu)要對個人信息的安全保護負責(zé)，采取嚴格的管理和技術(shù)防護措施，防止被竊取、被泄露。2020年3月，針對新浪微博個人信息泄露問題，工業(yè)和信息化部及時對新浪微博進行了約談，要求其進一步采取有效措施，加強企業(yè)內(nèi)部個人信息安全管理，消除個人信息安全隱患，在發(fā)生重大個人信息安全事件時，及時告知個人并向主管部門報告。雖然我國個人信息泄露治理已見成效，但仍存在執(zhí)法弱以及維權(quán)難的痛點。

4.1 監(jiān)管機構(gòu)缺乏執(zhí)法抓手，懲處力度較弱

個人信息泄露往往與數(shù)據(jù)非法交易相關(guān)，販賣者通常將數(shù)據(jù)在“暗網(wǎng)”上兜售，有的只接受比特幣進行隱蔽交易，監(jiān)管機構(gòu)很難及時發(fā)現(xiàn)。即使發(fā)現(xiàn)個人信息泄露，由于導(dǎo)致泄露的原因很多，包括黑客入侵、網(wǎng)站漏洞、非授權(quán)訪問、“內(nèi)鬼”等，監(jiān)管機構(gòu)調(diào)查取證難度大，責(zé)任認定較為困難。而且，此前部分個人信息泄露事件被媒體報道出來后，相較于國外監(jiān)管機構(gòu)大力整治個人信息泄露企業(yè)，屢屢開出的天價罰單，我國監(jiān)管機構(gòu)對于問題企業(yè)往往采取約談、限期整治、APP下架等措施，很少有經(jīng)濟類的處罰，震懾力不足。事實上，對個人信息泄露者可以進行嚴厲的處罰，包括沒收違法所得、處以高額罰款、責(zé)令暫停業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照等。

4.2 個人提起訴訟成本過高，維權(quán)困難重重

技術(shù)的發(fā)展促進了海量信息的產(chǎn)生，與傳統(tǒng)線下場景不同的是，個人信息泄露行為具備技術(shù)性、虛擬性和迅速性等特性，因為技術(shù)能力，個人很難了解其個人信息如何被處理和利用，個人信息遭到泄露后，本人可能并知曉，即使知曉，一般也很難查到泄露源頭，追溯到具體的責(zé)任主體[8]。而且，司法救濟存在效率上的缺陷，司法程序非常繁瑣，舉證艱難，個人需要付出大量的時間和精力，維權(quán)成本比較高，因而極少出現(xiàn)個人提起訴訟維權(quán)的情況[9]。而我國的公益訴訟、共同訴訟更多地在環(huán)境保護、消費者權(quán)益保護等案件中得以應(yīng)用，個人信息泄露領(lǐng)域則較少出現(xiàn)。而且，規(guī)模較大的共同訴訟也很少見，司法機關(guān)對人數(shù)眾多的訴訟仍然保持謹慎態(tài)度。

5 多措并舉解決我國個人信息泄露難題

為了更好地保障個人信息安全避免相關(guān)個人信息泄露事件發(fā)生，需要多維度舉措來實現(xiàn)個人信息泄露的有效治理，雖然，《個人信息保護法》已經(jīng)從立法層面對個人信息泄露問題作出了較為全面的閉環(huán)式制度體系，但規(guī)則落地時，還需要行政監(jiān)管和司法體系的配合。

5.1 行業(yè)領(lǐng)域推進個人信息泄露安全管理工作

在監(jiān)管層面，履行個人信息保護職責(zé)的部門需要全面提升與個人信息泄露有關(guān)的安全管理及保障水平。

一是事前開展個人信息安全風(fēng)險監(jiān)督檢查。履行個人信息保護職責(zé)的部門可以通過日常監(jiān)督、隨機抽查、專項執(zhí)法等形式，加大對相關(guān)企業(yè)個人信息安全防范、日志留存和審計等方面的檢查力度，監(jiān)督企業(yè)是否嚴格落實個人信息安全保障義務(wù)，是否做好信息系統(tǒng)的安全防護工作。及時公示檢查結(jié)果，督促企業(yè)加強個人信息安全管理，防范個人信息泄露事件的發(fā)生。

二是事后加大對于個人信息泄露事件處罰力度。未來，一旦發(fā)生個人信息泄露事件，履行個人信息保護職責(zé)的部門可以根據(jù)企業(yè)個人信息泄露的規(guī)模、為防范風(fēng)險所采取的安全保障措施、是否主動告知違法行為以及配合調(diào)查的程度、以及為減輕個人損失而采取的措施等方面，對企業(yè)作出不同程度的行政處罰，采取靈活的處罰方式。

三是積極開展普法宣傳加強公眾安全教育。個人對其個人信息安全的忽視是導(dǎo)致個人信息泄露的原因之一。履行個人信息保護職責(zé)的部門可以采取舉辦宣講活動、法制講座等多種方式，有計劃地開展防范個人信息泄露、提高公眾安全意識的普法教育活動。

四是防范區(qū)塊鏈技術(shù)成為犯罪銷贓手段。個人信息泄露事件中，販賣者往往將數(shù)據(jù)在“暗網(wǎng)”上兜售，且只接受比特幣進行交易。隨著基于虛擬貨幣的犯罪案件持續(xù)發(fā)生，去中心化的區(qū)塊鏈技術(shù)也應(yīng)當(dāng)接受中心化的政府監(jiān)管。

5.2 落實公益訴訟，引入懲罰性賠償機制

在司法層面，將公益訴訟作為解決個人維權(quán)的一項有力武器。《個人信息保護法》已經(jīng)引入了公益訴訟制度，規(guī)定個人信息處理者違反本法規(guī)定處理個人信息，侵害眾多個人的權(quán)益的，人民檢察院、法律規(guī)定的消費者組織和由國家網(wǎng)信部門確定的組織可以依法向人民法院提起訴訟。建議以此為契機，利用法律的賦權(quán)完善個人信息保護公益訴訟制度，為個人信息的公益保護發(fā)揮好司法防線的作用。一方面，科學(xué)審慎地啟動程序，協(xié)調(diào)好各方關(guān)切，避免部門沖突，力爭在民事公益訴訟中將公共利益保護最大化。另一方面，建立健全人才保障隊伍，及時發(fā)現(xiàn)線上、線下案件線索，完善與企業(yè)平臺或其他部門對接機制，此外,還可以引入舉證責(zé)任倒置、懲罰性賠償制度等措施，通過高數(shù)額的賠償，提高企業(yè)違法成本，從而產(chǎn)生示范、警示威懾作用，這對有效遏制個人信息泄露事件，可以起到釜底抽薪的作用[10]。

6 結(jié)束語

個人信息泄露事件頻繁發(fā)生，已經(jīng)對個人權(quán)益、企業(yè)發(fā)展甚至國家安全造成嚴重威脅，我國需要進一步完善個人信息泄露治理工作，應(yīng)當(dāng)通過立法保障、行政監(jiān)管、司法保護等多種手段實現(xiàn)對個人信息泄露的有效治理。立法保障層面，《個人信息保護法》通過明確閉環(huán)管理機制，體系化地規(guī)制了個人信息泄露問題。在監(jiān)管層面，行業(yè)主管部門還需要全面提升與個人信息泄露有關(guān)的安全管理及保障水平，包括事前開展個人信息安全風(fēng)險監(jiān)督檢查，事后加大對于個人信息泄露事件處罰力度，積極開展普法宣傳加強公眾安全教育，防范區(qū)塊鏈技術(shù)成為犯罪銷贓手段。在司法層面，將公益訴訟作為解決個人維權(quán)的一項有力武器，提高企業(yè)違法成本，從而產(chǎn)生示范、警示威懾作用。只有立法、行政、司法方面多措并舉，才能實現(xiàn)對于個人信息泄露的有效治理。