(北京电子科技学院讲师)
摘要:
个人信息安全事件通知是个人信息处理者履行信息安全保护义务的重要环节,能够促使信息主体和监管机构在发生个人信息安全事件后及时采取行动,防范次生损害。《网络安全法》《数据安全法》《个人信息保护法》均规定了个人信息安全事件通知义务,但内容不一、详略有别。从“个人信息”的范畴来看,只有发生安全事件的“个人信息”可能影响信息主体实际权益时,才有必要通知信息主体;从通知内容来看,应当对通知监管机构和信息主体的内容作出区别规定;从通知的理论基础来看,由侵权责任和合同附随义务产生的私法责任是信息处理者向信息主体履行通知义务的理论基础,向监管机构履行通知义务则是公法要求;从通知的条件来看,对个人信息采用加密等技术手段后可不向信息主体履行通知义务,只有发生安全事件的个人信息达到一定规模体量才有必要通知监管机构;从通知的法律责任来看,更宜适用作为特别法的《个人信息保护法》的法律责任规定,同时限缩私法层面的赔偿责任,强调公法层面的处罚责任。
关键词:
个人信息;数据安全;数据泄露;通知义务
一、问题的提出
个人信息安全事件通知义务,是个人信息未经授权访问或获取后,个人信息处理者通知信息主体和报告主管机构的法定义务。《中华人民共和国网络安全法》(以下简称《网络安全法》)第
42
条第
2
款规定,在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当及时告知用户并向有关主管部门报告;《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)第
57
条规定,发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当通知履行个人信息保护职责的部门和个人;《中华人民共和国数据安全法》(以下简称《数据安全法》)第
29
条规定,发生数据安全事件时,应当及时告知用户并向有关主管部门报告。在域外,欧盟《一般数据保护条例》第
33
、
34
条专门规定了
“data breach”
条款,美国华盛顿哥伦比亚特区和
50
个州均制定有
“Data Breach Notification Act”
。域外立法所指的
“data breach”
就是我国立法中
“
泄露、毁损、篡改、丢失
”
等情形,其特征为个人信息未经授权访问或获取,使个人信息的完整性、保密性、可用性受到损害。因此,文章拟采用接近《数据安全法》中
“
数据安全事件
”
的表述,用
“
个人信息安全事件
”
作为
“data breach”
的对应翻译和国内立法所指的泄露、毁损、篡改、丢失等情形的统称。
明确个人信息安全事件通知义务,是为了让信息主体和监管机构及时采取行动,防范次生损害,保障信息主体财产安全和其他利益。根据
IBM
发布的《
2021
年数据安全事件成本报告》,在每起数据安全事件中,个人信息处理者履行通知义务所投入的平均成本为
27
万美元,同时对个人信息处理者声誉来说也是
“
一种非常真实的公开羞辱
”
。履行通知义务为个人信息处理者带来的经济成本和声誉影响,在客观上也能够督促个人信息处理者在事前依法充分履行安全保护义务。因此,
“
构建合理的数据安全事件通知制度,既可以有效防止数据安全事件发生,还能够为个人提供充分的补救措施”。
2012
年全国人民代表大会常务委员会发布《关于加强网络信息保护的决定》,首次在法律层面规定发生或者可能发生信息泄露、毁损、丢失的情况时,应当立即采取补救措施,但并未进一步说明应当采取何种补救措施。
2013
年
6
月工业和信息化部《电信和互联网用户个人信息保护规定》(工业和信息化部令第
24
号)进一步明确,对于用户个人信息发生或者可能发生泄露、毁损、丢失,并造成或者可能造成严重后果的,应当立即向准予其许可或者备案的电信管理机构报告。这是我国首次以部门规章形式对个人信息处理者向主管机关履行通知义务作出规定。首次正式规定个人信息处理者在发生数据安全事件后应当通知个人的法律规范是
2016
年《网络安全法》。《网络安全法》第
42
条第
2
款规定:
“
在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
”
近年来《中华人民共和国民法典》(以下简称《民法典》)、《个人信息保护法》等法律,《中国人民银行金融消费者权益保护实施办法》等规章,以及《信息安全技术个人信息安全规范》等国家标准相继明确个人信息安全事件通知义务。上述法律规范均对个人信息安全事件通知义务予以规定,但在内容上并不完全一致。《民法典》第
1038
条第
2
款规定:
“
发生或者可能发生个人信息泄露、篡改、丢失的,应当及时采取补救措施,按照规定告知自然人并向有关主管部门报告。
”
在《民法典》的基础上,《个人信息保护法》第
57
条还规定了通知应当包括的事项,以及可以不予通知的豁免情形。而中国人民银行
2020
年发布规章《中国人民银行金融消费者权益保护实施办法》将危及金融消费者人身、财产安全或者产生其他不利影响,作为通知消费者和监管机构的前提。
2021
年公开征求意见的《网络数据安全管理条例》(征求意见稿)第
11
条将通知对象的范围扩大到利害关系人,分别明确了通知利害关系人和通知监管机构的条件,还具体规定了通知的内容、时间、方式。
就上述法律规范对个人信息处理者履行安全事件通知义务的规定,有以下问题需要探讨:第一,应当履行通知义务的“个人信息”的范畴应如何确定,具体而言,数据处理者是否需要对所有个人信息安全事件履行通知义务?第二,通知个人和监管机构的内容是否应当作出区别规定,通知个人和监管机构是否应当设定一定门槛条件?第三,《网络安全法》《数据安全法》《个人信息保护法》对未依法履行通知义务设定了不同的行政法律责任,在法律竞合中应当如何选择适用,未依法履行通知义务的私法和公法责任如何衔接?本文的讨论将围绕上述问题展开。
二、应履行通知义务的“个人信息”范畴
何种类型的个人信息发生安全事件需要通知,是构建通知义务制度的先决问题。根据现行立法,凡个人信息发生安全事件,均应履行通知义务。然而,部分个人信息即使发生安全事件,也不会影响信息主体实际权益。立法一律要求个人信息处理者履行通知义务,难免会为个人信息处理者施予不必要的负担。因此,有必要对应履行通知义务的“个人信息”范畴作出精细化规定。
(一)法定通知义务中“个人信息”范畴的扩展
我国《网络安全法》《民法典》《个人信息保护法》等法律对“个人信息”作出不同界定,“个人信息”的认定标准也由“识别说”转向“关联说”。《网络安全法》和《民法典》对“个人信息”的认定均采用“识别说”,认为“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息”。然而,《个人信息保护法》对个人信息的认定通过采用
“
关联说
”
扩大了
“
个人信息
”
的范畴,将
“
个人信息
”
界定为
“
与已识别或者可识别的自然人有关的各种信息
”
。此外,推荐性国家标准《信息安全技术 个人信息安全规范》第
3.1
条将个人信息界定为“能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息”,并在附录
A
中进一步阐明:
“
由信息本身能够识别出特定自然人的信息和由特定自然人在其活动中产生的信息,均应判定为个人信息。
”
《个人信息保护法》和《信息安全技术个人信息安全规范》实现了由
“
识别说
”
到
“
关联说
”
的转向,这与欧盟《一般数据保护条例》一致,在很大程度上有助于对个人信息权益的保护。
“
个人信息
”
外延之广泛,从《信息安全技术 个人信息安全规范》附录对
“
个人信息
”
的列举来看,包括个人基本资料、个人身份信息、个人上网记录、个人位置信息等
13
种类别。
但凡发生上述个人信息安全事件,个人信息处理者是否皆应履行通知义务?目前《网络安全法》《民法典》《个人信息保护法》并未对发生安全事件后应履行通知义务的“个人信息”加以区别界定。《网络安全法》第
42
条第
2
款规定:
“
在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
”
《民法典》第
1038
条第
2
款规定:
“
信息处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失;发生或者可能发生个人信息泄露、篡改、丢失的,应当及时采取补救措施,按照规定告知自然人并向有关主管部门报告。”《个人信息保护法》第
57
条第
1
款规定:
“
发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。
”
因此,《网络安全法》《民法典》《个人信息保护法》所界定的
“
个人信息
”
发生安全事件,个人信息处理者均应履行通知义务。
“个人信息”由《民法典》采用的“识别说”到《个人信息保护法》采用的“关联说”的转向扩大了保护个人信息权益的范畴,但就履行个人信息安全事件通知义务而言,事实上为个人信息处理者施加了诸多非必要负担。相对“识别”标准的“从信息推及个人”而言,“关联”标准是从“个人推及信息”,如已知特定自然人,由该特定自然人在其活动中产生的信息(如个人位置信息、个人通话记录、个人浏览记录等)即视为个人信息。这就意味着凡个人在其活动中产生的一切有个人信息处理者所掌握的信息在发生安全事件后,个人信息处理者均应履行通知义务。在“北京百度网讯科技有限公司与朱某隐私权纠纷案”中,南京市中级人民法院认为:“网络用户通过使用搜索引擎形成的检索关键词记录,虽然反映了网络用户的网络活动轨迹及上网偏好,具有隐私属性,但这种网络活动轨迹及上网偏好一旦与网络用户身份相分离,便无法确定具体的信息归属主体,不再属于个人信息范畴”。但在《个人信息保护法》
“
关联说
”
场景下,
“
即便设备标示符本身并不能识别出使用者,但如果该使用者是明确而特定的,则该设备标示符因与使用者存在关联性(曾经使用过),也会被认定为个人信息
”
。可见,即使能够识别到个人的信息发生安全事件,也并非有必要一律履行通知义务。
(二)比较法上通知义务中“个人信息”范畴的限缩
究竟什么样的个人信息发生安全事件,个人信息处理者才需要履行通知义务?在比较法上,发生个人信息安全事件后并非一律要求个人信息处理者履行通知义务,只有发生特定的个人信息安全事件,个人信息处理者才应履行通知义务。欧盟《一般数据保护条例》在第
33
条和第
34
条分别规定了发生个人信息安全事件后,个人信息处理者向监管机构和个人的通知义务,将安全事件对自然人权利和自由造成风险明确作为个人信息处理者通知监管机构和个人的前提条件。而且,只有在个人信息安全事件将给个人造成很高的风险时,才有必要通知个人。
目前,美国联邦层面并没有一部统一的安全事件通知立法。但至
2018
年,美国华盛顿哥伦比亚特区和
50
个州均完成了数据安全事件通知法(
Data Breach Notification Act
)的制定。虽然各州数据安全事件通知立法在
“
个人信息
”
的界定上体现出一定差异,但从立法模式来看,各州均对应当履行通知义务的
“
个人信息
”
范畴进行了具体描述,并非所有的个人信息发生安全事件后均需要履行通知义务。例如,
2018
年颁布的《阿拉巴马州数据安全事件通知法》将发生安全事件后需要履行通知义务的个人信息明确界定为
“
对个人造成实质损害的敏感个人信息”。首先,明确发生安全事件后需要履行通知义务的个人信息必须是敏感个人信息,而非一般个人信息。如果是非敏感个人信息的发生安全事件,个人信息处理者则不需要履行通知义务。其次,只有在敏感个人信息安全事件将给个人造成实质损害时,才需要履行通知义务。如果敏感个人信息安全事件不会给个人造成实质损害,个人信息处理者也无需履行通知义务。此外,阿拉巴马州还对需要履行安全事件通知义务的
“
敏感个人信息
”
进行列举规定,只有所列举
“
敏感个人信息
”
发生安全事件时,个人信息处理者才需要履行通知义务。美国还有亚利桑那、特拉华、伊利诺伊等
14
个州的《数据安全事件通知法》将指纹、语音识别或视网膜扫描等独特的生物特征数据作为受保护的数据元素。
2017
年制定的澳大利亚《隐私法修订案(数据安全事件)》(
Privacy Amendment (Notifiable Data Breaches) Bill
)明确了个人信息安全事件通知制度的主体、程序、通知对象等内容,将信息安全事件可能对信息相关个人造成严重损害作为履行通知义务的前提条件。
2016
年生效的《荷兰数据保护法》
(Dutch Data Protection Act)
对个人信息安全事件通知义务作出更多限缩规定:并非所有的信息安全事件都必须通知监管机构和个人。只有信息安全事件实际导致或极有可能导致对被保护个人造成不利后果,信息处理者才必须履行通知义务;只有信息安全事件可能会对个人隐私产生不利影响,信息处理者才需要将数据安全事件通知相关个人。
综上,欧盟《一般数据保护条例》和美国各州《数据安全事件通知法》均对应当履行通知义务的“个人信息”范畴予以限缩。只有个人信息安全事件将对自然人权利和自由造成很高的风险,或者发生安全事件的个人信息属于特定的敏感个人信息且将对个人造成实质损害时,数据处理者才有通知义务。
(三)以“可能影响实际权益”作为履行通知义务“个人信息”范畴的标准
我国现行《网络安全法》《民法典》《个人信息保护依法》等法律规定的个人信息处理者应当履行通知义务的“个人信息”范畴并未区别于一般“个人信息”的范畴。在比较法上,欧盟和美国各州对通知义务中“个人信息”范畴进行限缩,意义在于不会对个人造成任何风险和损害就无需通知。对履行通知义务中“个人信息”范畴的限缩规定,能够在很大程度上为个人信息处理者减轻不必要的成本负担,也能够减少个人因被通知信息安全事件而受到的焦虑和困扰。
在金融领域,只有个人财产信息、 账户信息、 金融交易信息和信用信息等个人财务信息才是个人金融信息的核心。
2020
年《中国人民银行金融消费者权益保护实施办法》第
34
条第
2
款明确将
“
对金融消费者产生不利影响
”
作为个人金融信息安全事件发生后通知金融消费者的前提条件,只有信息泄露、毁损、丢失可能对金融消费者产生其他不利影响的,才应履行通知义务。同样,
2021
年公开征求意见的《网络数据安全管理条例》(征求意见稿)对信息安全事件通知义务作出细化规定,将
“
造成危害
”
作为发生安全事件后履行通知义务的必要条件:安全事件对个人、组织造成危害的,数据处理者应当在
3
个工作日内将安全事件和风险情况、危害后果、已经采取的补救措施等通知利害关系人。依据《网络数据安全管理条例》(征求意见稿)的规定,发生个人信息安全事件,只有在对个人、组织造成危害时,数据处理者才需要履行通知义务。然而,《中国人民银行金融消费者权益保护实施办法》仅能够适用于金融消费领域;《网络数据安全管理条例》(征求意见稿)作为《网络安全法》《数据安全法》《个人信息保护法》的下位行政法规,虽然对发生个人信息安全事件后个人信息处理者履行通知义务范畴作出更加精细的规定,但无助于从本质上对现行法律制度进行完善,反而还会使个人信息处理者在上下位法的选择适用中感到无所适从。
综上,发生安全事件后应当履行通知义务的“个人信息”的外延,不应等同于法律规范中一般认定“个人信息”的外延,并非所有“个人信息”安全事件发生后必然要求个人信息处理者履行通知义务,只有在符合特定条件时个人信息处理者才应当履行通知义务。具体而言,个人信息处理者履行通知义务应当考量“个人信息”的具体内容及其可能造成的损害风险,只有发生安全事件的“个人信息”内容可能影响信息主体实际权益时,才有必要通知信息主体。可能影响的实际权益既可能是“身体、心理、情感、经济等方面的损失,也可能是包括对声誉以及其他任何方面造成的实质损失”。而其他不会影响信息主体实际权益的
“
个人信息
”
发生安全事件,则不会触发个人信息处理者通知义务。这样作出制度安排,也有助于降低个人信息处理者的义务成本。
三、通知内容与条件的对象适配
明确发生个人信息安全事件后向信息主体和监管机构履行通知义务,是为了让信息主体和监管机构及时采取行动,防范次生损害,保障信息主体财产安全和其他利益。因此,在发生个人信息安全事件后,法律要求个人信息处理者履行通知义务所包含的内容至关重要,关系到监管机构和信息主体决定进一步采取何种措施。目前,《个人信息保护法》对发生个人信息安全事件后应当通知的内容进行了规定,但存在着通知内容与对象混同和未明确通知不同对象条件的问题。因此,有必要厘清通知信息主体和监管机构在内容和条件上的区别,做好不同对象的适配。
(一)向信息主体和监管机构履行通知义务的不同法律基础及条件
国内外立法均要求信息处理者在发生个人信息安全事件后分别通知信息主体和监管机构,但通知信息主体和监管机构的理论基础并不相同,通知信息主体和监管机构的条件也应存在差异。履行个人信息安全事件通知义务是信息安全保护义务的重要内容,而信息安全保护义务具有私法和公法两方面渊源,私法从个人信息所适用的场合出发,确定个人信息所对应的具体法益内容,公法则主要针对个人信息处理过程予以规制,它们决定了个人信息安全事件通知义务的法律基础以及向信息主体和监管机构履行通知义务的不同条件要求。
1.
向信息主体履行通知义务的法律基础和条件
通知信息主体是信息处理者基于民事和行政双重法律关系所负有的义务。
2018
年,由北京市互联网法院作出判决的何小飞诉北京密境和风科技有限公司网络侵权责任纠纷案,已经明确了侵权责任法所赋予的物理空间管理人的安全保障义务能够转介到虚拟空间。由此,网络服务提供者完全可能因未尽到安全保障义务而产生网络侵权责任。个人信息安全事件通知是信息安全保障义务的重要内容,若信息处理者在发生个人信息安全事件后未履行通知义务给信息主体造成了次生损害,信息处理者就应为次生损害承担侵权责任。同时,维护他方当事人人身或财产上利益的合同附随义务赋予了信息处理者在提供其他服务的同时履行数据安全保护义务的责任。信息处理者在发生个人信息安全事件后如未履行通知义务且给信息主体造成了次生损害,信息主体可根据《民法典》第
509
条所规定的附随义务追究合同相对方违约责任。因此,由侵权责任和合同附随义务产生的私法责任是信息处理者向信息主体履行通知义务最根源的理论基础。现行立法明确要求信息处理者向信息主体履行通知义务,则是在此基础上为信息处理者履行通知义务增加了公法属性。
从通知信息主体的角度来看,根据私法上侵权责任和合同责任的要求,只要发生个人信息安全事件,信息处理者原则上应当通知信息主体。但《个人信息保护法》在公法层面赋予了信息处理者在发生个人信息安全事件后豁免履行通知义务的条件,即履行通知义务的例外:“个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的,个人信息处理者可以不通知个人……”这意味着即使发生个人信息安全事件,只要个人信息处理者采取措施能够有效避免信息安全事件造成危害,就可以不通知信息主体。域外相关立法均有类似规定,如欧盟《一般数据保护条例》第
34
条第
1
款规定:
“
当个人信息安全事件可能对自然人权利和自由造成较高风险时,信息处理者应当及时通知信息主体
”
;澳大利亚《隐私法修订案(数据安全事件)》明确规定:
“
个人信息处理者在通知前已采取补救措施使信息安全事件不会对信息主体造成严重伤害,即可不通知个人。
”
究竟个人信息安全事件在何种情况下不会对个人造成危害或风险?欧盟《一般数据保护条例》第
34
条第
3
款规定,对于已经采用数据加密等保护措施,能够确保不会对自然人权利和自由造成较高风险时,即可不适用通知信息主体的规定。从美国各州的数据安全事件通知立法来看,对个人信息采用加密技术后,即使发生安全事件,也不会对个人信息造成影响。美国
50
个州的数据安全事件通知立法均规定有加密安全港规则,这意味着如果个人信息已被加密,信息处理者就不必通知信息主体。例如,加利福尼亚州立法明确,个人信息安全事件通知义务不适用于被加密并且密钥并未被他人获取的个人信息;科罗拉多州立法规定,数据安全事件通知法律不适用于被加密、编辑或通过其他方式得到保护而使他人不可读或不可用的信息。
“
加密
”
所指的
“
密码
”
(
cryptograph
)并非日常生活中登录电脑、手机等设备或操作系统、电子邮箱等服务器时使用的“口令”(
password
)。
“
加密
”
所指的
“
密码
”
是指
“
采用特定变换的方法对信息等进行加密保护、安全认证的技术
”
。将个人信息的
“
明文
”
通过加密技术处理后就成为了
“
密文
”
,即使发生安全事件,他人所获取的也是作为
“
密文
”
的个人信息。只要他人不掌握密钥,就无法将作为
“
密文
”
的个人信息还原为作为
“
明文
”
的个人信息。因此,密码技术是保护信息机密性、完整性、可用性的重要手段。美国各州联邦法律通过豁免个人信息处理者在加密数据发生安全事件时履行通知义务,来鼓励个人信息处理者在处理个人信息时广泛采用加密技术。但是,在数据安全保护中使用商用密码的成本较高,美国科罗拉多等州法律规定采用混淆、标记化或掩蔽等措施的个人信息发生安全事件,也无需履行通知义务。综上,个人信息处理者在对个人信息采用加密等技术手段后,即使发生个人信息安全事件,也不会对个人造成任何损害,在这种情况下,个人信息处理者即可不履行通知义务。
2.
向监管机构履行报告义务的法律基础和条件
报告监管机构是信息处理者基于行政法律关系所负有的基本义务。较之通知信息主体,通知监管机构是在公法关系基础上国家赋予个人信息处理者的数据安全保护义务。赋予个人信息处理者通知监管机构的法定义务是由个人信息的公共安全属性决定的。我国近年出台的网络安全和数据安全法律规范将个人信息汇聚后的体量作为界定数据重要程度的考量因素,充分说明当个人数据汇聚形成一定规模后,就达到了关涉公共安全和国家安全的程度。因此,对于达到一定规模的个人信息发生安全事件,个人信息处理者就有必要及时通知监管机构。《网络数据安全管理条例》(征求意见稿)明确规定,发生
10
万人以上个人信息泄露、毁损、丢失等数据安全事件时,数据处理者应当通知设区的市级网信部门等监管机构。
向监管机构履行通知义务是法律赋予个人信息处理者的公法义务。根据《个人信息保护法》第
57
条规定,发生个人信息安全事件,个人信息处理者应当通知履行个人信息保护职责的部门和个人;个人信息处理者采取措施能够有效避免造成危害的,个人信息处理者可以不通知个人。由上,在采取措施能够有效避免个人信息安全事件造成危害时,即可豁免通知信息主体,但并未豁免通知监管机构。这一制度设计并不符合向信息主体和监管机构履行通知义务的理论逻辑。具体来说,发生个人信息安全事件后,个人信息处理者向信息主体履行通知义务同时具有私法和公法的要求。其中,依据私法上侵权责任和合同责任,只要发生个人信息安全事件,信息处理者原则上应当通知信息主体。《个人信息保护法》对个人信息处理者履行通知义务的要求是将私法义务公法化的确认和重申。因此,从通知义务的私法和公法性质关系来看,私法属性具有基础性,公法属性具有附加性。《个人信息保护法》明确,通过采取措施能够有效避免信息泄露、篡改、丢失造成危害的可以不履行通知义务,本质上属于通过公法规定减免个人信息处理者的私法义务。个人信息安全事件直接影响信息主体的安全和利益,当个人信息汇聚形成一定规模后,其危害才具有社会性,达到关涉公共安全和国家安全的程度。因此,从理论逻辑来看,法律应当优先免除公法赋予的通知义务,而不宜越过公法上的通知义务直接免除私法上的通知义务。这意味着法律在赋予个人信息处理者豁免通知信息主体条件之前,需要优先明确豁免通知监管机构的条件。
美国诸多州数据安全事件立法即采用通知信息主体优先于通知监管机构的做法。例如,美国佛罗里达州立法规定,如果超过
500
人受到信息安全事件影响,信息处理者必须在
30
天内通知佛罗里达州法律事务部;佐治亚州要求,如果超过
1
万名消费者受到个人信息安全事件的影响,信息处理者必须立即通知全国所有的消费者征信机构;科罗拉多州立法明确,只有超过
1000
名科罗拉多居民的信息发生安全事件,才需要通知所有全国消费者信用报告机构等监管机构。综上,
“
各州法律通常要求达到一个门槛才需要通知司法部长或消费者征信机构,最常见的是有超过
1000
名受影响的居民
”
。事实上,《网络数据安全管理条例》(征求意见稿)也采用了通知信息主体优先于通知监管机构的立法思路,第
11
条在规定通知信息主体的基础上明确,发生
10
万人以上个人信息泄露、毁损、丢失等数据安全事件时,还应当向设区的市级网信部门和有关主管部门进行报告。根据这一规定,并非发生个人信息安全事件一律需要向监管机构进行报告,只有规模达到
10
万人以上才需要报告。较之《个人信息保护法》第
57
条的规定,《网络数据安全管理条例》(征求意见稿)第
11
条确定通知监管机构的条件符合履行个人信息安全事件通知义务的理论逻辑,未来审议稿宜坚持通知信息主体优先于通知监管机构的立法思路。
(二)对监管机构和信息主体的通知内容作出区别规定
《民法典》第
1038
条规定了发生或者可能发生个人信息安全事件的,应当及时采取补救措施,按照规定告知自然人并向有关主管部门报告,但并未就告知自然人和报告有关主管部门的内容加以详细规定。《个人信息保护法》则对发生个人信息安全事件后个人信息处理者应当通知的内容作出较为详细规定,在第
57
条第
1
款明确了个人信息处理者对监管机构和个人作出通知的内容应当包括下列事项:第一,发生或者可能发生个人信息安全事件的信息种类、原因和可能造成的危害;第二,个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施;第三,个人信息处理者的联系方式。《个人信息保护法》将发生个人信息安全事件后的通知内容归纳为个人信息安全事件的基本情况、已经采取和未来可以采取的措施、联系方式等
3
个方面,具有一定的合理性。但这一规定的问题在于将通知数据主体和监管机构的内容混同规定,导致通知有关对象的内容欠缺针对性。《个人信息保护法》规定将以上三类事项同时通知监管机构和个人,但监管机构和信息主体需要获知的信息有所区别。
对监管机构而言,发生个人信息安全事件后,需要从整体上掌握相关信息的种类、体量、原因,以及个人信息处理者采取的相关措施。向监管机构告知相关信息的种类,如个人医疗健康信息、行动轨迹信息,有助于监管机构集中资源对个人信息处理者采取补救措施和开展有针对性的指导;告知发生安全事件信息的体量,有助于监管机构对安全事件的影响范围和风险大小作出准确评估;告知发生安全事件的原因,有助于监管机构尽快找到风险源头并及时作出处置、展开执法;告知已经和准备采取的相关措施,是为了让监管机构对相关措施的必要性、有效性作出评估,并对个人信息处理者采取的补救行动进行监督和指导。总体而言,通知监管机构一方面有利于对信息安全事件的处置工作,另一方面能够“识别经常受到网络攻击的目标,暴露数据安全基础设施漏洞,明确未来增强数据安全保护措施的方向”。
对信息主体而言,发生个人信息安全事件后,有必要及时掌握与自身相关信息的内容、可能造成的损害、未来应采取的防范措施。例如,建议信息主体及时修改相关服务器密码。国家标准《信息安全技术个人信息安全规范》专门对发生个人信息安全事件后通知信息主体的内容作出规定,包括
5
个方面:安全事件的内容和影响、已采取或将要采取的处置措施、个人信息主体自主防范和降低风险的建议、针对个人信息主体提供的补救措施、个人信息保护负责人和个人信息保护工作机构的联系方式。要求个人信息处理者及时告知信息主体安全事件,是为了让信息主体知晓相关信息的具体内容,及时采取相关措施防范未来可能面临的财产、声誉等方面的次生损害。
因此,将通知监管机构和信息主体的内容混同规定,不利于监管机构和信息主体有针对性地获取信息,进而影响监管机构和信息主体对信息安全事件风险的评估和进一步采取防范、补救措施。欧盟《一般数据保护条例》对通知信息主体和监管机构的内容作出不同规定,在第
33
条和第
34
条分别规定了在发生个人信息安全事件后个人信息处理者通知监管机构和信息主体的不同内容。尤其明确了应当通知监管机构相关信息主体、信息记录的种类、信息的大致数量等内容,而以上内容无需通知信息主体。美国各州相关数据安全事件立法同样就通知监管机构和信息主体的内容作出区别规定。例如,《阿拉巴马州数据安全事件通知法案》规定,通知信息主体的内容主要包括发生安全事件信息的具体情况等
5
项内容,通知监管机构的内容包括信息安全事件的情况概要等
4
项内容。
《网络数据安全管理条例》(征求意见稿)对信息主体和监管机构的通知内容作出了区别规定。明确通知利害关系人的内容包括安全事件和风险情况、危害后果、已经采取的补救措施通知;通知监管机构的内容包括安全事件涉及的数据数量、类型、可能的影响、已经或拟采取的处置措施等事件基本信息和事件原因、危害后果、责任处理、改进措施等情况的调查评估报告。上述规定较为合理地对通知信息主体和监管机构的内容作出细化区分处理,未来审议稿宜坚持这一思路。
四、未履行通知义务的法律责任
《网络安全法》《数据安全法》《个人信息保护法》等法律规范已经为数据安全保护义务构建起行政、民事、刑事为一体的综合责任体系。个人信息安全事件通知义务是信息安全保护义务的重要组成部分,违反通知义务在行政、民事、刑事责任方面具有不同的功能定位和责任标准。具体而言,在刑事责任领域,未履行个人信息安全事件通知义务的行为本身,并不涉及刑事责任问题;在行政责任领域,不同法律所规定的个人信息处理者未履行通知义务的责任并不一致;在民事责任领域,民事赔偿的方式和标准尚不明确。个人信息安全事件通知义务的行政责任和民事责任亟待进一步厘清释明。
(一)行政法律责任的竞合
《网络安全法》第
42
条第
2
款规定了个人信息处理者通知义务,同时在第
64
条规定了未履行相关义务的法律责任。《数据安全法》第
29
条规定,发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告;同时在第
45
条规定了不履行通知义务的行政法律责任。《网络数据安全管理条例》(征求意见稿)在第
11
条详细规定了通知信息主体和监管机构的义务,同时在第
60
条规定了不履行通知义务的行政法律责任,具体内容与《数据安全法》第
45
条的规定完全一致。《个人信息保护法》作为保护个人信息的专门法律,在第
57
条专门对个人信息安全事件通知义务作出详细规定,同时在第
66
条规定了不履行通知义务的行政法律责任。
然而,《网络安全法》《数据安全法》《个人信息保护法》对通知义务行政法律责任的规定并不一致,为法律适用造成了困惑和分歧,具体体现在三个方面:第一,未履行通知义务的一般行政法律责任。对于未履行通知义务的一般情形,《网络安全法》和《数据安全法》均规定了对个人信息处理者和主管人员较高额度的罚款和没收违法所得等责任,而《个人信息保护法》仅规定了责令改正和警告两类处罚。第二,未履行通知义务且拒不改正的行政法律责任。未履行通知义务属于个人信息处理者对行政法律义务的不作为,法律所规定的“拒不改正”可以被广义解释为拒不履行行政法律义务。个人信息处理者未履行通知义务,监管机构责令改正其拒不改正的,将承担更为严重的行政法律责任。对于拒不改正的责任,《网络安全法》并未作出规定,《数据安全法》规定的责任要重于《个人信息保护法》。《数据安全法》规定,可处
50
万元以上
200
万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;而《个人信息保护法》仅规定并处
100
万元以下罚款。第三,未履行通知义务且造成严重后果的行政法律责任。对于加重行政处罚的情形,《网络安全法》《数据安全法》《个人信息保护法》均规定可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。但在对个人信息处理者罚款方面,《网络安全法》未作出规定,《数据安全法》规定的处
50
万元以上
200
万元以下罚款,要明显轻于《个人信息保护法》规定的
5000
万元以下或者上一年度营业额
5%
以下罚款。
综上,《网络安全法》和《数据安全法》所规定的未履行通知义务的一般责任要重于《个人信息保护法》的规定;《网络安全法》未对拒不改正责任作出规定,《数据安全法》对拒不改正的责任规定要重于《个人信息保护法》的规定;但在造成严重后果的责任方面,《网络安全法》和《数据安全法》又显著轻于《个人信息保护法》的规定。由此产生了法律责任适用竞合问题。从法律责任规定体例来看,《个人信息保护法》对所有未履行该法规定的个人信息保护义务的行政法律责任集中在一个条文中作出规定,即未履行个人信息保护义务的适用情形均适用统一的法律责任规定;《网络安全法》将未履行涉及信息主体相关义务的法律责任规定在同一个条款之中;而《数据安全法》将数据处理者未履行数据安全保护义务的法律责任规定在同一条款当中。囿于三部法律规制侧重点的不同,对未履行个人信息泄露通知义务的责任作出了不同规定。
从《网络安全法》《数据安全法》《个人信息保护法》三部法律的关系来看,在个人信息保护领域,《个人信息保护法》属于《网络安全法》和《数据安全法》的特别法。因此,在未履行个人信息安全事件通知义务的行政法律责任竞合时,更适宜优先适用《个人信息保护法》的规定。此外,履行不同的个人信息保护义务或数据安全保护义务对保护个人信息的效果、作用有着显著区别,需要针对具体情形作出裁量判断。总体来看,较之《个人信息保护法》规定的个人信息跨境提供前应履行的安全评估,采取相应的加密、去标识化等安全技术措施,进行个人信息保护影响评估等义务而言,个人信息安全事件通知义务作为事后补救措施,对保护个人信息所发挥的效果和对个人信息权益的影响要略逊一筹,这意味着个人信息处理者违反个人信息安全事件通知义务的法律责任较之同一条款中涉及违反其他法定义务的责任而言应作出从轻处理。
(二)未履行通知义务的民事与行政责任衔接
从个人信息安全事件通知义务的私法和公法性质关系来看,私法属性具有基础性。在发生个人信息安全事件后,个人信息处理者应当首先承担私法上的侵权和违约责任。在此基础上,法律之所以又赋予个人信息处理者公法上的义务和责任,一方面是因为个人数据汇聚形成一定规模后不仅关乎个人利益,还涉及公共安全和国家安全,个人信息处理者应当承担公法上的义务;另一方面是因为民事责任的实施效果不佳,难以发挥民事赔偿的救济功能。对于后者,具体而言,虽然《个人信息保护法》明确在信息主体权益受到损害时,由个人信息处理者承担过错推定责任,同时授权人民检察院、法律规定的消费者组织和由国家网信部门确定的组织,在众多个人权益受到侵害时,可以依法向人民法院提起诉讼,但信息主体的受损权益依然难以得到有效弥补。个人信息处理者需要对全体被侵权人承担高昂的赔偿总额,但对于庞大体量中的每一个信息权益主体来说,其获得的赔偿却微不足道。例如,在美国依可菲公司数据泄露案中,依可菲(
Equifax
)公司是美国最大的财务健康状况的信用报告机构之一,客户范围几乎涵盖全体美国人。
2017
年,有
1.43
亿份客户记录被盗取,信息涉及姓名、地址、出生日期、社保号码、驾照号码,其中还包括约
20
万人的信用卡号码。最终依可菲公司总共支付的赔偿金高达约
6.5
亿美元,而信息权益受到损害的个体所获得的赔偿金额却不足
5
美元。依可菲案中因个人信息泄露而引发的赔偿属于实体损害。举重以明轻,个人信息处理者因未履行个人信息安全事件通知这一程序性义务而承担的违约或侵权责任,则更加难以量化测算,且对信息主体的补偿意义更加微不足道。在政务数据领域,如果国家机关发生个人信息安全事件,侵权责任更加难以认定。
此外,《个人信息保护法》中“采取措施能够有效避免信息泄露、篡改、丢失造成危害的即可不通知个人”这一规定,不仅豁免了个人信息处理者私法层面的通知义务,也相应免除了私法层面的侵权和违约责任。可见,在未履行个人信息安全事件通知义务的责任中,民事赔偿的救济功能基本处于失灵状态。《个人信息保护法》等法律从公法层面要求个人信息处理者履行个人信息安全事件通知义务,在很大程度上补足了民事责任的缺陷。由此,在未履行通知义务的法律责任中,应当限缩私法层面的赔偿责任,更多适用行政法中的处罚责任。
个人信息安全事件通知义务是信息安全保护义务的重要环节。从美国数据安全立法来看,不同的数据安全制度散见于各个单行法律或各州法律中。唯独在个人信息安全事件领域,各州都步调一致地专门制定有个人信息安全事件通知法,尤其可见个人信息安全事件通知义务在整个数据安全制度中的重要地位。我国《数据安全法》和《个人信息保护法》虽然规定有个人信息安全事件通知义务,但目前还存在未对履行通知义务的“个人信息”范畴进行特别界定,通知内容与对象混同,通知信息主体与监管机构条件不明,未履行通知义务的法律责任未能细化等问题。对上述问题作出回应,不仅能够对个人信息安全事件通知制度作出整体改进,还能够减轻个人信息处理者无必要的义务负担,在激励个人信息处理者为社会提供优质数字服务和督促个人信息处理者依法履行数据安全保护义务之间找到更为优化的平衡点。