论个人信息安全事件通知义务_王玎.pdf
蜗牛文库
-高品质阅读,高比例分成-
下载文档
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,汇文网负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。
网站客服:3074922707
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,汇文网负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。
网站客服:3074922707
个人信息
安全
事件
通知
义务
王玎
论个人信息安全事件通知义务王王 玎玎(北京电子科技学院,北京 讲师)摘 要:个人信息安全事件通知是个人信息处理者履行信息安全保护义务的重要环节,能够促使信息主体和监管机构在发生个人信息安全事件后及时采取行动,防范次生损害。网络安全法 数据安全法 个人信息保护法 均规定了个人信息安全事件通知义务,但内容不一、详略有别。从“个人信息”的范畴来看,只有发生安全事件的“个人信息”可能影响信息主体实际权益时,才有必要通知信息主体;从通知内容来看,应当对通知监管机构和信息主体的内容作出区别规定;从通知的理论基础来看,由侵权责任和合同附随义务产生的私法责任是信息处理者向信息主体履行通知义务的理论基础,向监管机构履行通知义务则是公法要求;从通知的条件来看,对个人信息采用加密等技术手段后可不向信息主体履行通知义务,只有发生安全事件的个人信息达到一定规模体量才有必要通知监管机构;从通知的法律责任来看,更宜适用作为特别法的 个人信息保护法 的法律责任规定,同时限缩私法层面的赔偿责任,强调公法层面的处罚责任。关键词:个人信息;数据安全;数据泄露;通知义务一、问题的提出个人信息安全事件通知义务,是个人信息未经授权访问或获取后,个人信息处理者通知信息主体和报告主管机构的法定义务。中华人民共和国网络安全法(以下简称 网络安全法)第 条第 款规定,在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当及时告知用户并向有关主管部门报告;中华人民共和国个人信息保护法(以下简称 个人信息保护法)第 条规定,发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当通知履行个人信息保护职责的部门和个人;中华人民共和国数据安全法(以下简称 数据安全法)第 条规定,发生数据安全事件时,应当及时告知用户并向有关主管部门报告。在域外,欧盟 一般数据保护条例 第、条专门规定了“”条款,美国华盛顿哥伦比亚特区和 个州均制定有“”。域外立法所指的“”就是我国立法中“泄露、毁损、篡改、丢失”等情形,其特征为个人信息未经授权访问或获取,使个人信息的完整性、保密性、可用性受到损害。因此,文章拟采用接近 数据安全法 中“数据安全事件”的表述,用“个人信息安全事件”作为“”的对应翻译和国内立法所指的泄露、毁损、篡改、丢失行政法学研究 年第 期 基金项目:国家保密局 年度保密科研项目(项目编号:)。中国科协 年“高端科技创新智库青年项目 智能算法在社会治理中的挑战、机遇与发展对策研究”(项目编号:)。等情形的统称。明确个人信息安全事件通知义务,是为了让信息主体和监管机构及时采取行动,防范次生损害,保障信息主体财产安全和其他利益。根据 发布的 年数据安全事件成本报告,在每起数据安全事件中,个人信息处理者履行通知义务所投入的平均成本为 万美元,同时对个人信息处理者声誉来说也是“一种非常真实的公开羞辱”。履行通知义务为个人信息处理者带来的经济成本和声誉影响,在客观上也能够督促个人信息处理者在事前依法充分履行安全保护义务。因此,“构建合理的数据安全事件通知制度,既可以有效防止数据安全事件发生,还能够为个人提供充分的补救措施”。年全国人民代表大会常务委员会发布 关于加强网络信息保护的决定,首次在法律层面规定发生或者可能发生信息泄露、毁损、丢失的情况时,应当立即采取补救措施,但并未进一步说明应当采取何种补救措施。年 月工业和信息化部 电信和互联网用户个人信息保护规定(工业和信息化部令第 号)进一步明确,对于用户个人信息发生或者可能发生泄露、毁损、丢失,并造成或者可能造成严重后果的,应当立即向准予其许可或者备案的电信管理机构报告。这是我国首次以部门规章形式对个人信息处理者向主管机关履行通知义务作出规定。首次正式规定个人信息处理者在发生数据安全事件后应当通知个人的法律规范是 年 网络安全法。网络安全法 第 条第 款规定:“在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。”近年来 中华人民共和国民法典(以下简称 民法典)、个人信息保护法 等法律,中国人民银行金融消费者权益保护实施办法 等规章,以及 信息安全技术个人信息安全规范 等国家标准相继明确个人信息安全事件通知义务。上述法律规范均对个人信息安全事件通知义务予以规定,但在内容上并不完全一致。民法典 第 条第 款规定:“发生或者可能发生个人信息泄露、篡改、丢失的,应当及时采取补救措施,按照规定告知自然人并向有关主管部门报告。”在 民法典 的基础上,个人信息保护法 第 条还规定了通知应当包括的事项,以及可以不予通知的豁免情形。而中国人民银行 年发布规章 中国人民银行金融消费者权益保护实施办法 将危及金融消费者人身、财产安全或者产生其他不利影响,作为通知消费者和监管机构的前提。年公开征求意见的 网络数据安全管理条例(征求意见稿)第 条将通知对象的范围扩大到利害关系人,分别明确了通知利害关系人和通知监管机构的条件,还具体规定了通知的内容、时间、方式。就上述法律规范对个人信息处理者履行安全事件通知义务的规定,有以下问题需要探讨:第一,应当履行通知义务的“个人信息”的范畴应如何确定,具体而言,数据处理者是否需要对所有个人信息安全事件履行通知义务?第二,通知个人和监管机构的内容是否应当作出区别规定,通知个人和监管机构是否应当设定一定门槛条件?第三,网络安全法 数据安全法 个人信息保护法 对未依法履行通知义务设定了不同的行政法律责任,在法律竞合中应当如何选择适用,王玎:论个人信息安全事件通知义务 ,:.(),“:”,.,.,.,“,:”,.,.,.未依法履行通知义务的私法和公法责任如何衔接?本文的讨论将围绕上述问题展开。二、应履行通知义务的“个人信息”范畴何种类型的个人信息发生安全事件需要通知,是构建通知义务制度的先决问题。根据现行立法,凡个人信息发生安全事件,均应履行通知义务。然而,部分个人信息即使发生安全事件,也不会影响信息主体实际权益。立法一律要求个人信息处理者履行通知义务,难免会为个人信息处理者施予不必要的负担。因此,有必要对应履行通知义务的“个人信息”范畴作出精细化规定。(一)法定通知义务中“个人信息”范畴的扩展我国 网络安全法民法典个人信息保护法 等法律对“个人信息”作出不同界定,“个人信息”的认定标准也由“识别说”转向“关联说”。网络安全法 和 民法典 对“个人信息”的认定均采用“识别说”,认为“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息”。然而,个人信息保护法 对个人信息的认定通过采用“关联说”扩大了“个人信息”的范畴,将“个人信息”界定为“与已识别或者可识别的自然人有关的各种信息”。此外,推荐性国家标准 信息安全技术 个人信息安全规范 第.条将个人信息界定为“能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息”,并在附录 中进一步阐明:“由信息本身能够识别出特定自然人的信息和由特定自然人在其活动中产生的信息,均应判定为个人信息。”个人信息保护法 和 信息安全技术个人信息安全规范 实现了由“识别说”到“关联说”的转向,这与欧盟 一般数据保护条例一致,在很大程度上有助于对个人信息权益的保护。“个人信息”外延之广泛,从 信息安全技术 个人信息安全规范 附录对“个人信息”的列举来看,包括个人基本资料、个人身份信息、个人上网记录、个人位置信息等 种类别。但凡发生上述个人信息安全事件,个人信息处理者是否皆应履行通知义务?目前 网络安全法 民法典 个人信息保护法 并未对发生安全事件后应履行通知义务的“个人信息”加以区别界定。网络安全法 第 条第 款规定:“在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。”民法典 第 条第 款规定:“信息处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失;发生或者可能发生个人信息泄露、篡改、丢失的,应当及时采取补救措施,按照规定告知自然人并向有关主管部门报告。”个人信息保护法 第 条第 款规定:“发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。”因此,网络安全法 民法典 个人信行政法学研究 年第 期民法典 第 条第 款规定:“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”网络安全法 第 条第 项规定:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”此外,最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释 也采用“识别说”,并在第 条规定:“刑法第二百五十三条之一规定的 公民个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”参见 信息安全技术 个人信息安全规范 附录。息保护法 所界定的“个人信息”发生安全事件,个人信息处理者均应履行通知义务。“个人信息”由 民法典 采用的“识别说”到 个人信息保护法 采用的“关联说”的转向扩大了保护个人信息权益的范畴,但就履行个人信息安全事件通知义务而言,事实上为个人信息处理者施加了诸多非必要负担。相对“识别”标准的“从信息推及个人”而言,“关联”标准是从“个人推及信息”,如已知特定自然人,由该特定自然人在其活动中产生的信息(如个人位置信息、个人通话记录、个人浏览记录等)即视为个人信息。这就意味着凡个人在其活动中产生的一切有个人信息处理者所掌握的信息在发生安全事件后,个人信息处理者均应履行通知义务。在“北京百度网讯科技有限公司与朱某隐私权纠纷案”中,南京市中级人民法院认为:“网络用户通过使用搜索引擎形成的检索关键词记录,虽然反映了网络用户的网络活动轨迹及上网偏好,具有隐私属性,但这种网络活动轨迹及上网偏好一旦与网络用户身份相分离,便无法确定具体的信息归属主体,不再属于个人信息范畴”。但在 个人信息保护法“关联说”场景下,“即便设备标示符本身并不能识别出使用者,但如果该使用者是明确而特定的,则该设备标示符因与使用者存在关联性(曾经使用过),也会被认定为个人信息”。可见,即使能够识别到个人的信息发生安全事件,也并非有必要一律履行通知义务。(二)比较法上通知义务中“个人信息”范畴的限缩究竟什么样的个人信息发生安全事件,个人信息处理者才需要履行通知义务?在比较法上,发生个人信息安全事件后并非一律要求个人信息处理者履行通知义务,只有发生特定的个人信息安全事件,个人信息处理者才应履行通知义务。欧盟 一般数据保护条例 在第 条和第 条分别规定了发生个人信息安全事件后,个人信息处理者向监管机构和个人的通知义务,将安全事件对自然人权利和自由造成风险明确作为个人信息处理者通知监管机构和个人的前提条件。而且,只有在个人信息安全事件将给个人造成很高的风险时,才有必要通知个人。目前,美国联邦层面并没有一部统一的安全事件通知立法。但至 年,美国华盛顿哥伦比亚特区和 个州均完成了数据安全事件通知法()的制定。虽然各州数据安全事件通知立法在“个人信息”的界定上体现出一定差异,但从立法模式来看,各州均对应当履行通知义务的“个人信息”范畴进行了具体描述,并非所有的个人信息发生安全事件后均需要履行通知义务。例如,年颁布的 阿拉巴马州数据安全事件通知法 将发生安全事件后需要履行通知义务的个人信息明确界定为“对个人造成实质损害的敏感个人信息”。首先,明确发生安全事件后需要履行通知义务的个人信息必须是敏感个人信息,而非一般个人信息。如果是非敏感个人信
