唐 林，張玲玲

(上海交通大學(xué) 法學(xué)院，上海 200030)

一、問題的提出

伴隨著我國當(dāng)下個人信息泄露事件的頻發(fā)，個人信息保護(hù)引發(fā)社會各界廣泛關(guān)注，成為網(wǎng)絡(luò)空間法治建設(shè)的重要議題。2021年8月20日，全國人大常委會發(fā)布《中華人民共和國個人信息保護(hù)法》(以下簡稱“個保法”)，其中第57條首次確立了我國個人信息泄露通知制度，明確了個人信息處理者在個人信息泄露后向有關(guān)部門與個人履行通知的義務(wù)(1)我國《個人發(fā)信息保護(hù)法》第57條，“發(fā)生或者可能發(fā)生個人信息泄露、篡改、丟失的，個人信息處理者應(yīng)當(dāng)立即采取補救措施，并通知履行個人信息保護(hù)職責(zé)的部門和個人。通知應(yīng)當(dāng)包括下列事項：(一)發(fā)生或者可能發(fā)生個人信息泄露、篡改、丟失的信息種類、原因和可能造成的危害；(二)個人信息處理者采取的補救措施和個人可以采取的減輕危害的措施；(三)個人信息處理者的聯(lián)系方式。個人信息處理者采取措施能夠有效避免信息泄露、篡改、丟失造成危害的，個人信息處理者可以不通知個人；履行個人信息保護(hù)職責(zé)的部門認(rèn)為可能造成危害的，有權(quán)要求個人信息處理者通知個人” 。。本質(zhì)上，個人信息泄露通知機制的主要目的在于保護(hù)公民免于受到由于個人信息泄露可能帶來的持續(xù)性危害，包括但不限于身份冒用、財產(chǎn)損失、精神損害，以及社會生活中的其他負(fù)面影響(2)歐盟《通用數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation), Recital 85.。個人信息泄露通知制度是我國個人信息法律保護(hù)之路上的里程碑事件，但在具體細(xì)節(jié)規(guī)定方面尚顯不足，質(zhì)言之，我國“個保法”第57條所構(gòu)建的泄露通知制度主要面臨兩大挑戰(zhàn)：其一，如何規(guī)制在個人信息泄露通知方面的自由裁量，激勵信息處理者第一時間將信息泄露事件通知到職責(zé)部門與個人；其二，如何完善監(jiān)管部門與商業(yè)組織的協(xié)調(diào)機制，打破監(jiān)管職責(zé)部門與商業(yè)組織之間因在長期監(jiān)管互動過程中形成的共識而造成流于形式的監(jiān)管審查，以期最大程度地降低信息泄露后對于個人的持續(xù)性危害。

(一)自由裁量與聲譽制裁之間的悖論

本質(zhì)上，泄露通知制度主要通過對涉事個人信息處理者進(jìn)行聲譽打擊、降低社會評價的方式來激勵相關(guān)行業(yè)在個人信息保護(hù)上的治理與投入。聲譽制裁的有效性就在于，無論是個人、企業(yè)還是其他社會組織，都較大程度受制于其自身先前行為的信息披露帶來的社會影響[1]。在當(dāng)下金融資本高度發(fā)達(dá)的社會中，尤其對于上市企業(yè)而言，信息泄露事件的曝光導(dǎo)致的聲譽受損，可能會給其股價帶來嚴(yán)重挫折[2]，以及大量現(xiàn)有、潛在客戶的快速流失[3]。而關(guān)鍵行業(yè)領(lǐng)域中的信息泄露，甚至?xí)：野踩?，影響社會穩(wěn)定與發(fā)展[4]。“個保法”第57條第二款規(guī)定在“有效避免危害”的基礎(chǔ)上，賦予個人信息處理者不予履行通知的自由裁量空間。一方面，對于以企業(yè)為代表的個人信息處理者來說，履行泄露通知意味著承擔(dān)經(jīng)濟(jì)損失、潛在的商業(yè)訴訟以及政府的嚴(yán)格審查。由此，企業(yè)在被賦予自由裁量空間之后，預(yù)見到潛在的巨大商業(yè)風(fēng)險與社會責(zé)任，往往選擇在內(nèi)部“消化”處理已經(jīng)發(fā)生的信息泄露事件，且信息泄露事件本身往往牽扯到一系列企業(yè)組織，很難追溯信息泄露的源頭[5]。發(fā)生在產(chǎn)業(yè)鏈下游企業(yè)的核心信息泄露傳導(dǎo)到產(chǎn)業(yè)上游，繼而引發(fā)更大規(guī)模的信息泄露事件。信息泄露的源頭一旦保持沉默，信息泄露的壓力最終全部由上游頭部企業(yè)承擔(dān)，以此形成惡性循環(huán)，嚴(yán)重挫傷企業(yè)履行泄露通知義務(wù)的積極性[4]。另一方面，聲譽制裁的潛在理論假設(shè)是，商業(yè)組織是經(jīng)濟(jì)理性的，追求利潤最大化，需要在信息安全建設(shè)投入與信息泄露通知帶來的經(jīng)濟(jì)損失之間衡量成本與收益[6]。故而聲譽制裁帶來的負(fù)面影響越大，信息安全的投入也就需要相應(yīng)的加強。但事實上，企業(yè)背后的決策者、管理者在謀求經(jīng)濟(jì)利潤時的瘋狂與短視常常顛覆了理性經(jīng)濟(jì)人的假設(shè)。一項涉及企業(yè)環(huán)境保護(hù)方面的社會調(diào)查統(tǒng)計表明，200多家企業(yè)中合規(guī)部門負(fù)責(zé)人對于企業(yè)在環(huán)境污染方面將會面臨的具體處罰一無所知，絕大多數(shù)是依靠粗略的估算和日常經(jīng)驗[7]。

(二)個人信息處理者自由裁量的監(jiān)管困境

此外，面對信息泄露事件，個人信息處理者在作出不予通知個人的決定時，必然會在其組織內(nèi)部形成一系列流程化制度，用來正當(dāng)化“個保法”第57條第二款規(guī)定“采取措施能夠有效避免信息泄露、篡改、丟失造成危害”的要求，以此應(yīng)對行政機關(guān)的事后審查。盡管“個保法”第57條第二款同時也賦予了行政機關(guān)對于個人信息處理者自由裁量的最終決定權(quán)，但現(xiàn)實情況是，個人信息處理者往往掌控著大規(guī)模的信息存儲基礎(chǔ)設(shè)施、網(wǎng)絡(luò)平臺的實際運維等，涉及個人信息收集、存儲、傳輸、使用、銷毀等全生命流程[8]。相較于行政監(jiān)管機關(guān)，個人信息處理者近乎處于知識、信息的絕對壟斷地位。一方面，以互聯(lián)網(wǎng)企業(yè)為代表的個人信息處理者利用信息不對稱的優(yōu)勢以最容易實現(xiàn)合法外觀的方式來滿足行政監(jiān)管，降低企業(yè)合規(guī)成本。表面上受監(jiān)管的互聯(lián)網(wǎng)企業(yè)作出的合規(guī)調(diào)整似乎優(yōu)先考慮個人信息保護(hù)問題，但實際上對其內(nèi)部工作方式?jīng)]有什么改變；另一方面，迫于大型互聯(lián)網(wǎng)企業(yè)的絕對影響力，行政機關(guān)的顯性監(jiān)管指標(biāo)在長期監(jiān)管互動的過程中，易被其“捕獲”，即被吸收進(jìn)企業(yè)的例行公事化信息，融入日常合規(guī)流程，最終造成浮于表面的形式化事后審查。

因此，本文擬從分析借鑒歐美等國個人信息泄露通知制度中關(guān)于觸發(fā)標(biāo)準(zhǔn)、閾值分布等立法政策出發(fā)，同時結(jié)合我國行政法中第三方義務(wù)的自由裁量與聲譽制裁，探討我國個人信息泄露通知制度的完善和細(xì)化方案，以期促進(jìn)我國網(wǎng)絡(luò)空間法治建設(shè)的健康、有序發(fā)展。

二、歐美國家的泄露通知制度梳理與分析

(一)加州《數(shù)據(jù)安全泄露通知法》

加州的信息泄露通知制度源于2002年頒布的《數(shù)據(jù)安全泄露通知法》(Data Security Breach Notification Law)。該法案規(guī)定，在加州開展業(yè)務(wù)的個人或企業(yè)，如果擁有或被許可使用包括個人信息在內(nèi)的未加密、計算機存儲的信息，則在其發(fā)現(xiàn)信息泄露后，應(yīng)向加州居民披露信息泄露的情況[9]。一般而言，加州的信息泄露通知閾值較低，其只要求客觀上或有理由相信發(fā)生了個人信息泄露事件，那么擁有該信息的組織就必須向個人發(fā)出通知，并且沒有任何內(nèi)部協(xié)調(diào)機制來減少泄露事件發(fā)生后可能對個人帶來的后續(xù)危害風(fēng)險。且個人信息泄露帶來的一個較為嚴(yán)重的危害就是身份盜竊，并可能因此造成巨大的經(jīng)濟(jì)損失。相較于個人信息泄露的事后補救，加州更多地強調(diào)企業(yè)履行泄露通知義務(wù)，以聲譽制裁的方式迫使商業(yè)組織投入更多的資源用于信息安全的防護(hù)。此外，加州的泄露通知法案同時也針對一些特殊情況設(shè)置了泄露通知的替代性方案：當(dāng)提供信息泄露通知到個人的成本高于25萬美元時，或者遭遇信息泄露的群體數(shù)量超過50萬人時，并且該組織缺乏相應(yīng)的聯(lián)系方式，則其有義務(wù)采取替代性通知方案[10]。替代性通知方案主要包含以下三種：其一，給個人信息遭遇泄露的用戶發(fā)送電子郵件；其二，在其企業(yè)運營的官方網(wǎng)站上發(fā)布通知；其三，通知所在州內(nèi)的新聞媒體[10]。替代性通知方案的主要問題在于其只是向社會提供泄露事件的宏觀描述，用戶無法知曉自己的個人信息是否被泄露。然而據(jù)統(tǒng)計，該法案導(dǎo)致總部設(shè)在加州，且使用的網(wǎng)絡(luò)服務(wù)器軟件保持更新到最近版本的公司只占1.8%～2.8%。盡管加州的個人信息泄露通知法案近年來受到了相當(dāng)大的關(guān)注，但其對州內(nèi)的企業(yè)在網(wǎng)絡(luò)服務(wù)器安全方面的投資影響卻收效甚微[11]。

(二)美國《機構(gòu)間應(yīng)急方案指南》

美國財政部貨幣監(jiān)理署(Office of the Comptroller of the Currency，Treasury)，美聯(lián)儲(Board of Governors of the Federal Reserve System)，美國聯(lián)邦存款保險公司(Federal Deposit Insurance Corporation)以及美國財政部儲蓄機構(gòu)管理局(Office of Thrift Supervision，Treasury)四大機構(gòu)，依據(jù)Gramm-Leach-Bliley Act第501條，針對金融機構(gòu)監(jiān)管制定了《機構(gòu)間應(yīng)急方案指南》(以下簡稱“指南”)[12]15736。相較于加州，該“指南”提供的信息泄露通知制度賦予了受監(jiān)管的金融機構(gòu)更多的自由裁量空間，但同時針對泄露通知的閾值采取兩級分層機制：第一層低閾值要求，當(dāng)機構(gòu)發(fā)生了個人信息泄露事件，則應(yīng)當(dāng)通知到監(jiān)管部門；第二層高閾值要求，僅當(dāng)發(fā)現(xiàn)存在被泄露的個人信息有被濫用的可能性時，金融機構(gòu)才須向個人發(fā)出通知[12]15736。該閾值分層制度的核心在于通過賦予金融機構(gòu)在高閾值情況下的自由裁量權(quán)來化解信息過載的問題。正如“指南”在序言中表述到，監(jiān)管機構(gòu)不希望用戶接收到對其毫無意義的泄露通知[12]15743。換言之，由金融機構(gòu)來判斷信息泄露事件是否觸發(fā)高閾值，即存在相應(yīng)的事實表明被泄露的個人信息存在被濫用可能性。否則只需要即時向監(jiān)管機構(gòu)告知信息泄露事件，無需承受潛在的聲譽制裁。相比于加州強制通知模式，指南提供的制度方案在于通過賦予有條件的自由裁量權(quán)來平衡聲譽制裁造成的寒蟬效應(yīng)。

(三)歐盟《通用數(shù)據(jù)條例》

歐盟的泄露通知制度，首先在《電子隱私指令》(e-Privacy Directive)中確立，其后被《通用數(shù)據(jù)條例》(以下簡稱“條例”)所修訂取代(3)《電子隱私指令》(Directive 2009/136/EC)為歐洲議會和歐盟理事會關(guān)于對有關(guān)電子通訊網(wǎng)絡(luò)通用服務(wù)和用戶權(quán)利的2002/22/EC號指令，有關(guān)電子通訊方面的個人數(shù)據(jù)處理和隱私保護(hù)的2002/58/EC號指令，以及有關(guān)負(fù)責(zé)消費者保護(hù)法律執(zhí)法方面的國家有關(guān)機構(gòu)間合作的(EC) No. 2006/2004號條例進(jìn)行修訂的指令。。條例第33條和第34條分別規(guī)定了面向監(jiān)管機構(gòu)的泄露通知與面向個人信息主體的泄露通知：在監(jiān)管機構(gòu)層面，個人信息控制者(controller)應(yīng)當(dāng)在知曉泄露事件(至遲在72小時之內(nèi))后向監(jiān)管機構(gòu)報告；在個人信息主體層面，當(dāng)泄露事件很可能給自然人的權(quán)利和自由帶來高風(fēng)險時，個人信息控制者應(yīng)當(dāng)及時向個人信息主體發(fā)出泄露通知(4)參見General Data Protection Regulation, Article 33, Notification of a personal data breach to the supervisory authority; Article 34, Communication of a personal data breach to the data subject.。由此觀之，歐盟采取了與美國的《機構(gòu)間應(yīng)急方案指南》同樣的兩級分層機制，二者之間判斷標(biāo)準(zhǔn)只是存在表述上的差異，即歐盟的標(biāo)準(zhǔn)是“泄露事件給自然人的權(quán)利和自由帶來高風(fēng)險”，而美國的標(biāo)準(zhǔn)是“被泄露的個人信息有被濫用的可能性”，但本質(zhì)上都是以泄露事件是否會給個人信息主體帶來潛在的高風(fēng)險傷害為判斷依據(jù)。

三、基于第三方義務(wù)理論的泄露通知制度

(一)傳統(tǒng)領(lǐng)域中企業(yè)聲譽制裁體系及其影響

當(dāng)下，我國針對企業(yè)的違法行為已經(jīng)建立起以政府網(wǎng)站常態(tài)化公開，信用檔案歸集以及企業(yè)既往表現(xiàn)的負(fù)面標(biāo)簽化三位一體的聲譽制裁體系[13]。一方面，公權(quán)力主體在執(zhí)法過程中，依據(jù)《行政處罰法》《政府信息公開條例》以及《企業(yè)信息公示暫行條例》，需主動公開行政處罰等相關(guān)信息(5)2021年1月22日修訂通過的《行政處罰法》第48條，“具有一定社會影響的行政處罰決定應(yīng)當(dāng)依法公開”；2019年4月3日修訂的《政府信息公開條例》第20條，“行政機關(guān)應(yīng)當(dāng)依照本條例第十九條的規(guī)定，主動公開本行政機關(guān)的下列政府信息：……(六)實施行政處罰、行政強制的依據(jù)、條件、程序以及本行政機關(guān)認(rèn)為具有一定社會影響的行政處罰決定”；《企業(yè)信息公開暫行條例》第6條、第7條、第8條分別規(guī)定工商行政管理部門、其他政府部門以及企業(yè)應(yīng)當(dāng)在行政處罰等信息產(chǎn)生之日起20個工作日內(nèi)予以公開。；另一方面，通過企業(yè)信用信息公示系統(tǒng)、行業(yè)領(lǐng)域內(nèi)的信用檔案和國家公共信用信息平臺形成完整的企業(yè)信用檔案數(shù)據(jù)庫，同時依據(jù)前述企業(yè)信用檔案信息，以“經(jīng)營異常目錄”“嚴(yán)重違法失信企業(yè)名單”“失信聯(lián)合懲戒對象名單”等負(fù)面標(biāo)簽方式，深化聲譽制裁力度[14]。本質(zhì)上，目前針對企業(yè)的聲譽制裁體系是建立在政務(wù)信息公開、企業(yè)信息公示和社會信用體系基礎(chǔ)之上的。由做出負(fù)面評價的公權(quán)力主體通過既有的社會信用信息平臺，將企業(yè)的聲譽信息廣泛傳播至相關(guān)市場領(lǐng)域及社會之中，這是理解聲譽制裁運行機制的關(guān)鍵。根據(jù)信用風(fēng)險分類監(jiān)管理論，行使市場監(jiān)督職能的行政主體、提供信貸的金融機構(gòu)以及消費者群體對于企業(yè)的聲譽信息有著極高的依賴性[15]。建立在企業(yè)信息公示、社會信用信息體系之上的企業(yè)聲譽信息，直接反映了企業(yè)的合規(guī)風(fēng)險和經(jīng)營狀態(tài)，從而能夠促進(jìn)市場的信息流通，以及社會公眾對于交易穩(wěn)定性的預(yù)期[16]。企業(yè)聲譽制裁體系的負(fù)面影響在于制裁效果可能過重。負(fù)面標(biāo)簽等方式能夠作為其他行政活動的直接依據(jù)，即只要企業(yè)被納入負(fù)面標(biāo)簽序列，共享社會信用信息平臺的所有相關(guān)政府部門都將對其采取相應(yīng)的限制措施，沒有任何的自由裁量余地。

(二)第三方義務(wù)模式下聲譽制裁的正當(dāng)性

“個保法”第57條規(guī)定的泄露通知制度，意在通過向職責(zé)部門與個人履行通知義務(wù)，從而實現(xiàn)對泄露信息的個人信息處理者進(jìn)行聲譽制裁。實質(zhì)上，該泄露通知義務(wù)屬于公法上的通知義務(wù)，即個人信息處理者以私主體的身份，對其收集、保有的個人信息承擔(dān)泄露通知義務(wù)。從法律性質(zhì)觀之，該公法通知義務(wù)是行政法上的第三方義務(wù)，個人信息處理者作為私主體，以參與行政過程的方式履行法律強制要求的通知義務(wù)[17]。行政法中第三方義務(wù)的一個主要特征是違法行為人與該違法行為的責(zé)任主體是割裂的[18]，即在泄露通知制度的語境下，非法獲取個人信息的行為人與該違法行為的責(zé)任主體分離。換言之，第三方義務(wù)要求私權(quán)利主體參與到行政過程中扮演“守門人”的角色。按照“守門人”理論，衡量是否賦予私主體“守門人”的角色，主要從私主體的阻止違法行為的能力、成本收益分析、現(xiàn)有的激勵機制，以及行政執(zhí)法的缺位等因素來進(jìn)行評判[11]。在個人信息保護(hù)領(lǐng)域，以企業(yè)為代表的個人信息處理者往往收集了大量的個人信息，無論是從阻止信息泄露的能力，還是阻止違法行為的成本上分析，其無疑是作為“守門人”的最佳方案。一方面，當(dāng)下人們的生活對互聯(lián)網(wǎng)的依賴程度越來越高，開啟了信息空間中的“網(wǎng)絡(luò)化生存方式”；另一方面，伴隨著大數(shù)據(jù)分析技術(shù)的快速發(fā)展，商業(yè)組織通過結(jié)合結(jié)構(gòu)化與非結(jié)構(gòu)化數(shù)據(jù)，更加精準(zhǔn)地發(fā)掘消費者的潛在需求與市場趨勢，其對于個人信息的需求量也呈現(xiàn)指數(shù)級增長[19]。與之相較，面對種類繁多的被監(jiān)管實體，行政機關(guān)無法針對大規(guī)模匯集個人信息的市場風(fēng)險形成統(tǒng)一的監(jiān)管規(guī)則，一刀切的方式更是難以應(yīng)對多樣化的風(fēng)險[20]；加之，監(jiān)管機構(gòu)無法比從事生產(chǎn)活動的商業(yè)組織掌握更多的信息，其將注意力轉(zhuǎn)移到事先的預(yù)防，不再著重強調(diào)結(jié)果導(dǎo)向的監(jiān)管細(xì)節(jié)。監(jiān)管機構(gòu)很大程度上將落實公共管理目標(biāo)具體細(xì)節(jié)的自由裁量權(quán)交給被監(jiān)管主體，利用被監(jiān)管方自身的專業(yè)知識和判斷力來決定實現(xiàn)監(jiān)管目標(biāo)的手段，以及在特定情況下這些目標(biāo)的定義和對實現(xiàn)管理目標(biāo)的監(jiān)督。此外，不同于傳統(tǒng)領(lǐng)域中基于社會信用信息系統(tǒng)構(gòu)建的聲譽制裁體系，泄露通知制度保留了相當(dāng)?shù)淖杂刹昧坑嗟兀o個人信息處理者采取措施避免危害，豁免其遭受聲譽制裁的機會空間。觸發(fā)該自由裁量的條件是“個人信息處理者采取措施能夠有效避免信息泄露、篡改、丟失造成的危害”，此時個人信息處理者可以不通知有關(guān)職責(zé)部門與個人。同時，作為對自由裁量的控制和制約，履行保護(hù)職責(zé)的部門認(rèn)為信息泄露可能對個人造成危害的，亦有權(quán)要求個人信息處理者履行通知義務(wù)。

(三)自由裁量的觸發(fā)條件與“加密避風(fēng)港原則”

1.自由裁量的觸發(fā)條件

“個保法”第57條第二款規(guī)定了在公法通知義務(wù)下的豁免規(guī)則，即“個人信息處理者采取措施能夠有效避免信息泄露、篡改、丟失造成危害的”，其可以不通知到個人，換言之，這是個人信息處理者在基于公法義務(wù)的豁免規(guī)則設(shè)定，獲得了選擇“不通知”的自由裁量空間。在傳統(tǒng)領(lǐng)域下的聲譽制裁體系中，負(fù)面標(biāo)簽作為核心打擊手段“結(jié)構(gòu)性”壓縮了自由裁量空間；依托于社會信用基礎(chǔ)上的信息交換，以普遍、自動化的方式將聲譽制裁的影響擴展至一系列公權(quán)力主體、相關(guān)市場以及社會群體中。但類似于“經(jīng)營異常名錄”“嚴(yán)重違法失信企業(yè)名單”的負(fù)面標(biāo)簽是存在移出機制的(6)參見《嚴(yán)重違法失信企業(yè)名單管理暫行辦法》第9條：“企業(yè)自被列入嚴(yán)重違法失信企業(yè)名單之日起滿5年未再發(fā)生第五條規(guī)定情形的，由有管轄權(quán)的工商行政管理部門移出嚴(yán)重違法失信企業(yè)名單。工商行政管理部門依照前款規(guī)定將企業(yè)移出嚴(yán)重違法失信企業(yè)名單的，應(yīng)當(dāng)作出移出決定，并通過企業(yè)信用信息公示系統(tǒng)向社會公示。移出決定應(yīng)當(dāng)包括企業(yè)名稱、統(tǒng)一社會信用代碼/注冊號、移出日期、移出事由、作出決定機關(guān)?！?，其保留了一定程度的激勵、寬容空間。而在泄露通知制度中，個人信息處理者一旦履行了信息泄露通知義務(wù)，網(wǎng)絡(luò)的“記憶”是無法被抹去的，其消除負(fù)面影響、挽回社會聲譽的可能性微乎其微。因此“個保法”考量到聲譽制裁的嚴(yán)厲性和不可修復(fù)性，在公法通知義務(wù)的基礎(chǔ)上設(shè)定了豁免規(guī)則，給予個人信息處理者一定條件下“不通知”的自由。

作為自由裁量的觸發(fā)條件，“有效避免信息泄露、篡改、丟失造成危害”中“有效”的邊界是在監(jiān)管機構(gòu)與企業(yè)互動過程中逐步發(fā)現(xiàn)的，是一個長期的實踐過程，即監(jiān)管機構(gòu)利用監(jiān)管過程中企業(yè)的信息披露來獲取知識，進(jìn)而提供可客觀衡量“有效”的標(biāo)準(zhǔn)。然而在泄露通知制度創(chuàng)立初期，將一種需要長期實踐檢驗才能夠發(fā)現(xiàn)的標(biāo)準(zhǔn)作為個人信息處理者自由裁量的觸發(fā)條件，無異于架空其公法通知義務(wù)。即使“有效”的標(biāo)準(zhǔn)是能夠被公權(quán)力主體準(zhǔn)確認(rèn)知的，信息泄露造成的危害也依然是未知的，客觀上無法被準(zhǔn)確認(rèn)知。大規(guī)模的個人信息泄露之后，通常是流入地下市場，亦即暗網(wǎng)，進(jìn)行流通買賣，之后再被轉(zhuǎn)手用作他途，如金融信貸催收、營銷等領(lǐng)域[21]。這意味著從個人信息泄露到實際危害發(fā)生之間存在一個時間差。在這段時間內(nèi)，信息泄露造成的危害是未知的，客觀上是無法被評估衡量的。故而，我國泄露通知制度需要設(shè)定具有可操作性的自由裁量觸發(fā)條件。由美國財政部聯(lián)合美聯(lián)儲、美國聯(lián)邦存款保險公司制定的《機構(gòu)間應(yīng)急方案指南》提出，僅當(dāng)發(fā)現(xiàn)存在被泄露的個人信息有被濫用的可能性，金融機構(gòu)才須向個人發(fā)出泄露通知。發(fā)現(xiàn)個人信息有被濫用的可能性之標(biāo)準(zhǔn)在現(xiàn)實中是具備可操作性的，譬如，金融機構(gòu)監(jiān)測到被泄露的個人信息開設(shè)了偽造賬戶。

2.加密避風(fēng)港原則

加密避風(fēng)港原則意指，作為個人信息處理者的組織機構(gòu)，其遭遇泄露的信息若已經(jīng)過加密處理，則免于履行泄露通知義務(wù)[22]。在制度實踐層面，該原則在美國以三種形式存在：豁免規(guī)則，可反駁的推定(rebuttable presumption)，以及損害的分析要素[23]。豁免規(guī)則源于加州2002年頒布的《數(shù)據(jù)安全泄露通知法》，其規(guī)定：如果加州的商業(yè)組織被未經(jīng)授權(quán)的第三方獲取了沒有加密且由計算機存儲的個人信息，則必須發(fā)出泄露通知[9]。但該法案沒有對“加密”進(jìn)行定義，而是由加州隱私保護(hù)辦公室(California Office of Privacy Protection)制定了進(jìn)一步的政策指引，解釋何為可接受的加密技術(shù)和其他信息安全措施。可反駁的推定意指，該避風(fēng)港原則建立了一種推定，即如果泄露的是加密數(shù)據(jù)，就不存在風(fēng)險；如果發(fā)現(xiàn)相反的證據(jù)，就可以推翻這種假設(shè)，無需發(fā)出泄露通知[24]。例如美國國會在2009年頒布的《數(shù)據(jù)問責(zé)與信任法案》(Data Accountability and Trust Act)第三章信息安全泄露通知中規(guī)定，如果一個組織能夠證明已對所泄露的個人數(shù)據(jù)進(jìn)行了有效的加密，那么就可以推定，泄露事件不會觸發(fā)身份盜用的重大風(fēng)險。這一明確的推定可以通過證明“加密方法已經(jīng)或可能遭到破壞”而被推翻；而作為危害的分析要素，加密只是“用于確定破壞行為是否為造成危害的因素”[25]。由此觀之，加密避風(fēng)港原則作為合理降低泄露通知數(shù)量，減少信息過載與企業(yè)合規(guī)成本的一種方式，具有直觀的可操作性與衡量性。加密避風(fēng)港可視為泄露通知制度中自由裁量的一種技術(shù)化表現(xiàn)形式，但具有強烈的場景適用限制性。面對海量的個人信息存儲量，所有應(yīng)用場景進(jìn)行數(shù)據(jù)加密在時間與資源成本上都是不現(xiàn)實的。

四、我國個人信息泄露通知制度的結(jié)構(gòu)化完善

(一)常態(tài)化監(jiān)督的自由裁量

首先，常態(tài)化監(jiān)督下的自由裁量權(quán)應(yīng)當(dāng)建立在具有操作性、可衡量的標(biāo)準(zhǔn)之上，即不僅僅要求個人信息處理者去判斷其采取的措施是否能夠“有效”避免信息泄露造成的危害，更需要借鑒是否存在“濫用泄露的個人信息的風(fēng)險”的標(biāo)準(zhǔn)。例如以金融系統(tǒng)為起點，將被泄露個人信息的主體列入“監(jiān)管”名單，監(jiān)控個人信息被“濫用”的活動，以此作為探索在其他生活領(lǐng)域監(jiān)控個人信息“濫用”活動的藍(lán)本。其次，常態(tài)化監(jiān)督要求職責(zé)部門持續(xù)介入個人信息處理者在自由裁量方面的審核。以企業(yè)為代表的個人信息處理者，在面對行政監(jiān)管與公司目標(biāo)之間的沖突時，企業(yè)內(nèi)部既定的慣例和思維方式促使其以最容易實現(xiàn)合法外觀的方式來進(jìn)行合規(guī)調(diào)整，同時盡量減少企業(yè)因合規(guī)調(diào)整帶來的負(fù)外部性[26]。因此，監(jiān)管機構(gòu)需要常態(tài)化介入企業(yè)關(guān)于泄露通知方面自由裁量的決定過程，讓企業(yè)知曉職責(zé)部門始終在監(jiān)督，并將嚴(yán)格審查其作出關(guān)于泄露通知的決定。常態(tài)化介入方式可以借鑒《薩班斯奧克斯利法案》第302條與第404條，分別關(guān)于上市公司在年報中提供內(nèi)部控制與程序報告，與內(nèi)部控制程序存在的缺陷(7)參見Sarbanes-Oxley Act § 302 §404, 15 U.S.C. § 7262.盡管該法案主要是規(guī)制上市企業(yè)，但其提供的監(jiān)管方式，即內(nèi)部控制和程序報告以及內(nèi)部控制程序存在的缺陷，依然能夠為如何有效審查一般企業(yè)作出自由裁量決定提供借鑒。。個人信息處理者也應(yīng)當(dāng)就其作出自由裁量決定過程中涉及的相關(guān)程序、人員職責(zé)分配,以及可能帶來的誤判風(fēng)險提供詳細(xì)的說明，并以周期性的方式向職責(zé)部門進(jìn)行匯報。此外，個人信息處理者還應(yīng)當(dāng)就“不同周期的自由裁量決定報告中類似的信息泄露事件作出不同的處理方式”提供詳細(xì)的說明，從而迫使企業(yè)面對信息泄露事件作出的自由裁量決定是經(jīng)過有效的評估決策，而非流于形式的合規(guī)。

(二)雙層泄露通知制度

根據(jù)“個保法”第57條第一款，我國個人信息保護(hù)領(lǐng)域采取的是單一泄露通知制度，即原則上對于監(jiān)管機構(gòu)與個人信息主體，不加以區(qū)分地履行通知義務(wù)。通過對美國《機構(gòu)間應(yīng)急方案指南》與歐盟《通用數(shù)據(jù)保護(hù)條例》中雙層泄露通知制度的梳理，可以發(fā)現(xiàn)監(jiān)管機構(gòu)與個人信息主體的通知閾值是有差別的。換言之，監(jiān)管機構(gòu)與個人信息主體在接受、處理信息能力上有巨大的差異。監(jiān)管機構(gòu)有強大的人力資源和信息加工處理能力，故而原則上只要發(fā)生了或有跡象表明發(fā)生了信息的泄露、篡改、丟失，個人信息處理者就應(yīng)當(dāng)向監(jiān)管機構(gòu)履行通知義務(wù)；而個人信息主體，其背后是信息接受、處理能力參差不齊的社會公民、消費者，其時時刻刻面臨著嚴(yán)重的信息過載，將直接導(dǎo)致泄露通知被信息主體選擇性忽略。鑒于監(jiān)管機構(gòu)與個人信息主體在信息接受、處理能力上的差異，我國個人信息泄露通知制度建議采取分層機制，即原則上，個人信息處理者發(fā)現(xiàn)信息泄露，立即采取補救措施之后，應(yīng)當(dāng)通知監(jiān)管機構(gòu)；而對于個人信息主體的通知應(yīng)當(dāng)設(shè)定較高觸發(fā)閾值。

(三)顯性監(jiān)管指標(biāo)的弱化

當(dāng)下互聯(lián)網(wǎng)企業(yè)依托平臺和技術(shù)優(yōu)勢，已經(jīng)成為個人信息的主要存儲與管理組織。面對市場上占據(jù)優(yōu)勢地位的互聯(lián)網(wǎng)企業(yè)，地方職責(zé)部門往往在與其監(jiān)管互動過程中形成共識，導(dǎo)致企業(yè)合規(guī)流于形式。因為企業(yè)在接收職責(zé)部門的監(jiān)管過程中，逐漸了解如何能夠滿足具體監(jiān)管指標(biāo)，并將這些例行公事化的信息融入企業(yè)的日常合規(guī)流程，加劇了形式化監(jiān)管的現(xiàn)狀[27]。“個保法”第57條以“履行個人信息保護(hù)職責(zé)的部門”負(fù)責(zé)監(jiān)督審核個人信息處理者的自由裁量決定，在一定程度上為日后弱化顯性監(jiān)管指標(biāo)留下制度空間。以企業(yè)為代表的個人信息處理者，在作出自由裁量決定，選擇不履行通知義務(wù)后，應(yīng)當(dāng)就其決定涉及的內(nèi)部程序、考量的相關(guān)因素作出報告，提供給主要職責(zé)部門以備監(jiān)管審查。由于被監(jiān)管主體的形式多樣，審查眾多企業(yè)的自由裁量決定涉及的專業(yè)知識往往超出單一職責(zé)部門的監(jiān)管能力。因此，建議主要職責(zé)部門在收到自由裁量決定后與其他相關(guān)部門共享，就個人信息處理者的自由裁量決定協(xié)同審查，弱化顯性監(jiān)管指標(biāo)概念。換言之，正是由于多部門的協(xié)同審查使得以企業(yè)為代表的個人信息處理者無法在監(jiān)管互動過程中摸清職責(zé)部門的監(jiān)管傾向。尤其是考慮到需要就自由裁量決定過程中涉及的相關(guān)內(nèi)部程序和潛在的風(fēng)險評估向職責(zé)部門進(jìn)行闡述和解釋時，企業(yè)將會考慮雙邊的論點和證據(jù)，以便為來自各方的批判意見做好準(zhǔn)備。弱化外在監(jiān)管指標(biāo)促使企業(yè)管理層在面對不同的信息泄露事件削弱對既有的“知識結(jié)構(gòu)”的依賴，使其根據(jù)不斷變化的社會現(xiàn)狀改善、提升企業(yè)在個人信息保護(hù)方面的制度措施。

(四)個人信息泄露通知內(nèi)容的有效性

“個保法”第57條第一款羅列了通知應(yīng)當(dāng)包含的若干事項，包括發(fā)生或可能發(fā)生的個人信息泄露、篡改、丟失的信息種類、原因以及可能造成的危害，個人信息處理者采取的補救措施和個人可以采取的減輕危害的措施，以及個人信息處理者的聯(lián)系方式。在討論具體通知內(nèi)容之前，有必要強調(diào)接收通知的個人的受教育水平。職責(zé)部門在規(guī)定通知具體內(nèi)容的事項上，不能僅以監(jiān)管者視角看待通知的組成架構(gòu)，更應(yīng)當(dāng)站在信息遭遇泄露、篡改、丟失的個人視角上“急人之所急”，充分知曉我國當(dāng)下依然存在很大一部分群體運用智能技術(shù)困難的現(xiàn)狀。泄露通知制度的實行很大程度上會被詐騙團(tuán)伙所利用，導(dǎo)致更加不可估量的財產(chǎn)損失等后果。此外，泄露通知無論是以短信還是電子郵件的方式發(fā)送告知，在當(dāng)下信息過載的時代，有相當(dāng)一部分群體會以垃圾短信或者垃圾郵件的方式過濾泄露通知，導(dǎo)致該制度的有效性大打折扣。在泄露通知的具體事項方面，“個保法”只規(guī)定應(yīng)當(dāng)包含什么，沒有規(guī)定不能額外包含何種事項。這將導(dǎo)致發(fā)送泄露通知的企業(yè)借機推廣其網(wǎng)絡(luò)安全相關(guān)的商品等，以“夾帶私貨”的方式損害了泄露通知的可閱讀性。關(guān)于泄露通知的第一項內(nèi)容，即個人信息泄露、篡改、丟失的原因，信息泄露往往牽扯到整個產(chǎn)業(yè)鏈，下游企業(yè)的安全漏洞可能最終在上游頭部企業(yè)“引爆”巨大的信息泄露事件。簡單地要求涉事企業(yè)公布個人信息泄露的原因往往適得其反，掩蓋了問題真正的根源。綜上，在信息泄露通知的具體內(nèi)容設(shè)計以及發(fā)送通知的方式上，應(yīng)更多地允許企業(yè)以及所在行業(yè)制定準(zhǔn)則，提交給監(jiān)管部門審批，鼓勵行業(yè)借助信息技術(shù)開發(fā)創(chuàng)新有效的方式來克服既有的通知方面的缺點。還要嚴(yán)格規(guī)范泄露通知所能包含內(nèi)容的范圍，禁止任何商業(yè)推廣危害通知的可閱讀性。

五、結(jié)語

在個人信息保護(hù)形勢日趨嚴(yán)峻的當(dāng)下，個人信息泄露通知制度的細(xì)化和完善顯得極為迫切。我國《個人信息保護(hù)法》第57條賦予個人信息處理者的自由裁量空間在很大程度上影響著泄露通知機制的有效性。行政法上第三方義務(wù)賦予個人信息處理者的自由裁量與“結(jié)構(gòu)化自由裁量”在權(quán)力的行使方式上都面臨著如何規(guī)制自由裁量主體在信息和權(quán)力上的壟斷問題。鑒于個人信息處理者在知識、信息上的優(yōu)勢地位，促使其自由裁量權(quán)的行使更加公平、合理的程序性機制主要集中在信息披露這一維度。據(jù)此，本文提出四點完善細(xì)化建議：在常態(tài)化監(jiān)督方面，進(jìn)一步建立具有操作性、可衡量的觸發(fā)自由裁量的標(biāo)準(zhǔn)，且職責(zé)部門需持續(xù)性介入個人信息處理者在自由裁量方面的審核；在雙層泄露通知方面，原則上，個人信息處理者發(fā)現(xiàn)信息泄露、篡改、丟失，立即采取補救措施之后，應(yīng)當(dāng)通知監(jiān)管機構(gòu)，而對于個人信息主體的通知應(yīng)當(dāng)設(shè)定較高通知觸發(fā)閾值，即發(fā)現(xiàn)泄露、篡改、丟失的個人信息有被濫用的可能性，會給個人信息主體帶來潛在的危害；在顯性監(jiān)管指標(biāo)的弱化方面，對個人信息處理者的自由裁量決定進(jìn)行多部門的協(xié)同審查；在泄露通知內(nèi)容的有效性方面，鼓勵行業(yè)準(zhǔn)則的制定，嚴(yán)格規(guī)范泄露通知所能包含內(nèi)容的范圍，提升泄露通知內(nèi)容的可閱讀性。