個(gè)人信息泄露通知制度中自由裁量的規(guī)制研究

唐 林，張玲玲

(上海交通大學(xué) 法學(xué)院，上海 200030)

一、問題的提出

伴隨著我國(guó)當(dāng)下個(gè)人信息泄露事件的頻發(fā)，個(gè)人信息保護(hù)引發(fā)社會(huì)各界廣泛關(guān)注，成為網(wǎng)絡(luò)空間法治建設(shè)的重要議題。2021年8月20日，全國(guó)人大常委會(huì)發(fā)布《中華人民共和國(guó)個(gè)人信息保護(hù)法》(以下簡(jiǎn)稱“個(gè)保法”)，其中第57條首次確立了我國(guó)個(gè)人信息泄露通知制度，明確了個(gè)人信息處理者在個(gè)人信息泄露后向有關(guān)部門與個(gè)人履行通知的義務(wù)(1)我國(guó)《個(gè)人發(fā)信息保護(hù)法》第57條，“發(fā)生或者可能發(fā)生個(gè)人信息泄露、篡改、丟失的，個(gè)人信息處理者應(yīng)當(dāng)立即采取補(bǔ)救措施，并通知履行個(gè)人信息保護(hù)職責(zé)的部門和個(gè)人。通知應(yīng)當(dāng)包括下列事項(xiàng)：(一)發(fā)生或者可能發(fā)生個(gè)人信息泄露、篡改、丟失的信息種類、原因和可能造成的危害；(二)個(gè)人信息處理者采取的補(bǔ)救措施和個(gè)人可以采取的減輕危害的措施；(三)個(gè)人信息處理者的聯(lián)系方式。個(gè)人信息處理者采取措施能夠有效避免信息泄露、篡改、丟失造成危害的，個(gè)人信息處理者可以不通知個(gè)人；履行個(gè)人信息保護(hù)職責(zé)的部門認(rèn)為可能造成危害的，有權(quán)要求個(gè)人信息處理者通知個(gè)人” 。。本質(zhì)上，個(gè)人信息泄露通知機(jī)制的主要目的在于保護(hù)公民免于受到由于個(gè)人信息泄露可能帶來的持續(xù)性危害，包括但不限于身份冒用、財(cái)產(chǎn)損失、精神損害，以及社會(huì)生活中的其他負(fù)面影響(2)歐盟《通用數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation), Recital 85.。個(gè)人信息泄露通知制度是我國(guó)個(gè)人信息法律保護(hù)之路上的里程碑事件，但在具體細(xì)節(jié)規(guī)定方面尚顯不足，質(zhì)言之，我國(guó)“個(gè)保法”第57條所構(gòu)建的泄露通知制度主要面臨兩大挑戰(zhàn)：其一，如何規(guī)制在個(gè)人信息泄露通知方面的自由裁量，激勵(lì)信息處理者第一時(shí)間將信息泄露事件通知到職責(zé)部門與個(gè)人；其二，如何完善監(jiān)管部門與商業(yè)組織的協(xié)調(diào)機(jī)制，打破監(jiān)管職責(zé)部門與商業(yè)組織之間因在長(zhǎng)期監(jiān)管互動(dòng)過程中形成的共識(shí)而造成流于形式的監(jiān)管審查，以期最大程度地降低信息泄露后對(duì)于個(gè)人的持續(xù)性危害。

(一)自由裁量與聲譽(yù)制裁之間的悖論

本質(zhì)上，泄露通知制度主要通過對(duì)涉事個(gè)人信息處理者進(jìn)行聲譽(yù)打擊、降低社會(huì)評(píng)價(jià)的方式來激勵(lì)相關(guān)行業(yè)在個(gè)人信息保護(hù)上的治理與投入。聲譽(yù)制裁的有效性就在于，無論是個(gè)人、企業(yè)還是其他社會(huì)組織，都較大程度受制于其自身先前行為的信息披露帶來的社會(huì)影響[1]。在當(dāng)下金融資本高度發(fā)達(dá)的社會(huì)中，尤其對(duì)于上市企業(yè)而言，信息泄露事件的曝光導(dǎo)致的聲譽(yù)受損，可能會(huì)給其股價(jià)帶來嚴(yán)重挫折[2]，以及大量現(xiàn)有、潛在客戶的快速流失[3]。而關(guān)鍵行業(yè)領(lǐng)域中的信息泄露，甚至?xí)：?guó)家安全，影響社會(huì)穩(wěn)定與發(fā)展[4]?！皞€(gè)保法”第57條第二款規(guī)定在“有效避免危害”的基礎(chǔ)上，賦予個(gè)人信息處理者不予履行通知的自由裁量空間。一方面，對(duì)于以企業(yè)為代表的個(gè)人信息處理者來說，履行泄露通知意味著承擔(dān)經(jīng)濟(jì)損失、潛在的商業(yè)訴訟以及政府的嚴(yán)格審查。由此，企業(yè)在被賦予自由裁量空間之后，預(yù)見到潛在的巨大商業(yè)風(fēng)險(xiǎn)與社會(huì)責(zé)任，往往選擇在內(nèi)部“消化”處理已經(jīng)發(fā)生的信息泄露事件，且信息泄露事件本身往往牽扯到一系列企業(yè)組織，很難追溯信息泄露的源頭[5]。發(fā)生在產(chǎn)業(yè)鏈下游企業(yè)的核心信息泄露傳導(dǎo)到產(chǎn)業(yè)上游，繼而引發(fā)更大規(guī)模的信息泄露事件。信息泄露的源頭一旦保持沉默，信息泄露的壓力最終全部由上游頭部企業(yè)承擔(dān)，以此形成惡性循環(huán)，嚴(yán)重挫傷企業(yè)履行泄露通知義務(wù)的積極性[4]。另一方面，聲譽(yù)制裁的潛在理論假設(shè)是，商業(yè)組織是經(jīng)濟(jì)理性的，追求利潤(rùn)最大化，需要在信息安全建設(shè)投入與信息泄露通知帶來的經(jīng)濟(jì)損失之間衡量成本與收益[6]。故而聲譽(yù)制裁帶來的負(fù)面影響越大，信息安全的投入也就需要相應(yīng)的加強(qiáng)。但事實(shí)上，企業(yè)背后的決策者、管理者在謀求經(jīng)濟(jì)利潤(rùn)時(shí)的瘋狂與短視常常顛覆了理性經(jīng)濟(jì)人的假設(shè)。一項(xiàng)涉及企業(yè)環(huán)境保護(hù)方面的社會(huì)調(diào)查統(tǒng)計(jì)表明，200多家企業(yè)中合規(guī)部門負(fù)責(zé)人對(duì)于企業(yè)在環(huán)境污染方面將會(huì)面臨的具體處罰一無所知，絕大多數(shù)是依靠粗略的估算和日常經(jīng)驗(yàn)[7]。

(二)個(gè)人信息處理者自由裁量的監(jiān)管困境

此外，面對(duì)信息泄露事件，個(gè)人信息處理者在作出不予通知個(gè)人的決定時(shí)，必然會(huì)在其組織內(nèi)部形成一系列流程化制度，用來正當(dāng)化“個(gè)保法”第57條第二款規(guī)定“采取措施能夠有效避免信息泄露、篡改、丟失造成危害”的要求，以此應(yīng)對(duì)行政機(jī)關(guān)的事后審查。盡管“個(gè)保法”第57條第二款同時(shí)也賦予了行政機(jī)關(guān)對(duì)于個(gè)人信息處理者自由裁量的最終決定權(quán)，但現(xiàn)實(shí)情況是，個(gè)人信息處理者往往掌控著大規(guī)模的信息存儲(chǔ)基礎(chǔ)設(shè)施、網(wǎng)絡(luò)平臺(tái)的實(shí)際運(yùn)維等，涉及個(gè)人信息收集、存儲(chǔ)、傳輸、使用、銷毀等全生命流程[8]。相較于行政監(jiān)管機(jī)關(guān)，個(gè)人信息處理者近乎處于知識(shí)、信息的絕對(duì)壟斷地位。一方面，以互聯(lián)網(wǎng)企業(yè)為代表的個(gè)人信息處理者利用信息不對(duì)稱的優(yōu)勢(shì)以最容易實(shí)現(xiàn)合法外觀的方式來滿足行政監(jiān)管，降低企業(yè)合規(guī)成本。表面上受監(jiān)管的互聯(lián)網(wǎng)企業(yè)作出的合規(guī)調(diào)整似乎優(yōu)先考慮個(gè)人信息保護(hù)問題，但實(shí)際上對(duì)其內(nèi)部工作方式?jīng)]有什么改變；另一方面，迫于大型互聯(lián)網(wǎng)企業(yè)的絕對(duì)影響力，行政機(jī)關(guān)的顯性監(jiān)管指標(biāo)在長(zhǎng)期監(jiān)管互動(dòng)的過程中，易被其“捕獲”，即被吸收進(jìn)企業(yè)的例行公事化信息，融入日常合規(guī)流程，最終造成浮于表面的形式化事后審查。

因此，本文擬從分析借鑒歐美等國(guó)個(gè)人信息泄露通知制度中關(guān)于觸發(fā)標(biāo)準(zhǔn)、閾值分布等立法政策出發(fā)，同時(shí)結(jié)合我國(guó)行政法中第三方義務(wù)的自由裁量與聲譽(yù)制裁，探討我國(guó)個(gè)人信息泄露通知制度的完善和細(xì)化方案，以期促進(jìn)我國(guó)網(wǎng)絡(luò)空間法治建設(shè)的健康、有序發(fā)展。

二、歐美國(guó)家的泄露通知制度梳理與分析

(一)加州《數(shù)據(jù)安全泄露通知法》

加州的信息泄露通知制度源于2002年頒布的《數(shù)據(jù)安全泄露通知法》(Data Security Breach Notification Law)。該法案規(guī)定，在加州開展業(yè)務(wù)的個(gè)人或企業(yè)，如果擁有或被許可使用包括個(gè)人信息在內(nèi)的未加密、計(jì)算機(jī)存儲(chǔ)的信息，則在其發(fā)現(xiàn)信息泄露后，應(yīng)向加州居民披露信息泄露的情況[9]。一般而言，加州的信息泄露通知閾值較低，其只要求客觀上或有理由相信發(fā)生了個(gè)人信息泄露事件，那么擁有該信息的組織就必須向個(gè)人發(fā)出通知，并且沒有任何內(nèi)部協(xié)調(diào)機(jī)制來減少泄露事件發(fā)生后可能對(duì)個(gè)人帶來的后續(xù)危害風(fēng)險(xiǎn)。且個(gè)人信息泄露帶來的一個(gè)較為嚴(yán)重的危害就是身份盜竊，并可能因此造成巨大的經(jīng)濟(jì)損失。相較于個(gè)人信息泄露的事后補(bǔ)救，加州更多地強(qiáng)調(diào)企業(yè)履行泄露通知義務(wù)，以聲譽(yù)制裁的方式迫使商業(yè)組織投入更多的資源用于信息安全的防護(hù)。此外，加州的泄露通知法案同時(shí)也針對(duì)一些特殊情況設(shè)置了泄露通知的替代性方案：當(dāng)提供信息泄露通知到個(gè)人的成本高于25萬美元時(shí)，或者遭遇信息泄露的群體數(shù)量超過50萬人時(shí)，并且該組織缺乏相應(yīng)的聯(lián)系方式，則其有義務(wù)采取替代性通知方案[10]。替代性通知方案主要包含以下三種：其一，給個(gè)人信息遭遇泄露的用戶發(fā)送電子郵件；其二，在其企業(yè)運(yùn)營(yíng)的官方網(wǎng)站上發(fā)布通知；其三，通知所在州內(nèi)的新聞媒體[10]。替代性通知方案的主要問題在于其只是向社會(huì)提供泄露事件的宏觀描述，用戶無法知曉自己的個(gè)人信息是否被泄露。然而據(jù)統(tǒng)計(jì)，該法案導(dǎo)致總部設(shè)在加州，且使用的網(wǎng)絡(luò)服務(wù)器軟件保持更新到最近版本的公司只占1.8%～2.8%。盡管加州的個(gè)人信息泄露通知法案近年來受到了相當(dāng)大的關(guān)注，但其對(duì)州內(nèi)的企業(yè)在網(wǎng)絡(luò)服務(wù)器安全方面的投資影響卻收效甚微[11]。

(二)美國(guó)《機(jī)構(gòu)間應(yīng)急方案指南》

美國(guó)財(cái)政部貨幣監(jiān)理署(Office of the Comptroller of the Currency，Treasury)，美聯(lián)儲(chǔ)(Board of Governors of the Federal Reserve System)，美國(guó)聯(lián)邦存款保險(xiǎn)公司(Federal Deposit Insurance Corporation)以及美國(guó)財(cái)政部?jī)?chǔ)蓄機(jī)構(gòu)管理局(Office of Thrift Supervision，Treasury)四大機(jī)構(gòu)，依據(jù)Gramm-Leach-Bliley Act第501條，針對(duì)金融機(jī)構(gòu)監(jiān)管制定了《機(jī)構(gòu)間應(yīng)急方案指南》(以下簡(jiǎn)稱“指南”)[12]15736。相較于加州，該“指南”提供的信息泄露通知制度賦予了受監(jiān)管的金融機(jī)構(gòu)更多的自由裁量空間，但同時(shí)針對(duì)泄露通知的閾值采取兩級(jí)分層機(jī)制：第一層低閾值要求，當(dāng)機(jī)構(gòu)發(fā)生了個(gè)人信息泄露事件，則應(yīng)當(dāng)通知到監(jiān)管部門；第二層高閾值要求，僅當(dāng)發(fā)現(xiàn)存在被泄露的個(gè)人信息有被濫用的可能性時(shí)，金融機(jī)構(gòu)才須向個(gè)人發(fā)出通知[12]15736。該閾值分層制度的核心在于通過賦予金融機(jī)構(gòu)在高閾值情況下的自由裁量權(quán)來化解信息過載的問題。正如“指南”在序言中表述到，監(jiān)管機(jī)構(gòu)不希望用戶接收到對(duì)其毫無意義的泄露通知[12]15743。換言之，由金融機(jī)構(gòu)來判斷信息泄露事件是否觸發(fā)高閾值，即存在相應(yīng)的事實(shí)表明被泄露的個(gè)人信息存在被濫用可能性。否則只需要即時(shí)向監(jiān)管機(jī)構(gòu)告知信息泄露事件，無需承受潛在的聲譽(yù)制裁。相比于加州強(qiáng)制通知模式，指南提供的制度方案在于通過賦予有條件的自由裁量權(quán)來平衡聲譽(yù)制裁造成的寒蟬效應(yīng)。

(三)歐盟《通用數(shù)據(jù)條例》

歐盟的泄露通知制度，首先在《電子隱私指令》(e-Privacy Directive)中確立，其后被《通用數(shù)據(jù)條例》(以下簡(jiǎn)稱“條例”)所修訂取代(3)《電子隱私指令》(Directive 2009/136/EC)為歐洲議會(huì)和歐盟理事會(huì)關(guān)于對(duì)有關(guān)電子通訊網(wǎng)絡(luò)通用服務(wù)和用戶權(quán)利的2002/22/EC號(hào)指令，有關(guān)電子通訊方面的個(gè)人數(shù)據(jù)處理和隱私保護(hù)的2002/58/EC號(hào)指令，以及有關(guān)負(fù)責(zé)消費(fèi)者保護(hù)法律執(zhí)法方面的國(guó)家有關(guān)機(jī)構(gòu)間合作的(EC) No. 2006/2004號(hào)條例進(jìn)行修訂的指令。。條例第33條和第34條分別規(guī)定了面向監(jiān)管機(jī)構(gòu)的泄露通知與面向個(gè)人信息主體的泄露通知：在監(jiān)管機(jī)構(gòu)層面，個(gè)人信息控制者(controller)應(yīng)當(dāng)在知曉泄露事件(至遲在72小時(shí)之內(nèi))后向監(jiān)管機(jī)構(gòu)報(bào)告；在個(gè)人信息主體層面，當(dāng)泄露事件很可能給自然人的權(quán)利和自由帶來高風(fēng)險(xiǎn)時(shí)，個(gè)人信息控制者應(yīng)當(dāng)及時(shí)向個(gè)人信息主體發(fā)出泄露通知(4)參見General Data Protection Regulation, Article 33, Notification of a personal data breach to the supervisory authority; Article 34, Communication of a personal data breach to the data subject.。由此觀之，歐盟采取了與美國(guó)的《機(jī)構(gòu)間應(yīng)急方案指南》同樣的兩級(jí)分層機(jī)制，二者之間判斷標(biāo)準(zhǔn)只是存在表述上的差異，即歐盟的標(biāo)準(zhǔn)是“泄露事件給自然人的權(quán)利和自由帶來高風(fēng)險(xiǎn)”，而美國(guó)的標(biāo)準(zhǔn)是“被泄露的個(gè)人信息有被濫用的可能性”，但本質(zhì)上都是以泄露事件是否會(huì)給個(gè)人信息主體帶來潛在的高風(fēng)險(xiǎn)傷害為判斷依據(jù)。

三、基于第三方義務(wù)理論的泄露通知制度

(一)傳統(tǒng)領(lǐng)域中企業(yè)聲譽(yù)制裁體系及其影響

當(dāng)下，我國(guó)針對(duì)企業(yè)的違法行為已經(jīng)建立起以政府網(wǎng)站常態(tài)化公開，信用檔案歸集以及企業(yè)既往表現(xiàn)的負(fù)面標(biāo)簽化三位一體的聲譽(yù)制裁體系[13]。一方面，公權(quán)力主體在執(zhí)法過程中，依據(jù)《行政處罰法》《政府信息公開條例》以及《企業(yè)信息公示暫行條例》，需主動(dòng)公開行政處罰等相關(guān)信息(5)2021年1月22日修訂通過的《行政處罰法》第48條，“具有一定社會(huì)影響的行政處罰決定應(yīng)當(dāng)依法公開”；2019年4月3日修訂的《政府信息公開條例》第20條，“行政機(jī)關(guān)應(yīng)當(dāng)依照本條例第十九條的規(guī)定，主動(dòng)公開本行政機(jī)關(guān)的下列政府信息：……(六)實(shí)施行政處罰、行政強(qiáng)制的依據(jù)、條件、程序以及本行政機(jī)關(guān)認(rèn)為具有一定社會(huì)影響的行政處罰決定”；《企業(yè)信息公開暫行條例》第6條、第7條、第8條分別規(guī)定工商行政管理部門、其他政府部門以及企業(yè)應(yīng)當(dāng)在行政處罰等信息產(chǎn)生之日起20個(gè)工作日內(nèi)予以公開。；另一方面，通過企業(yè)信用信息公示系統(tǒng)、行業(yè)領(lǐng)域內(nèi)的信用檔案和國(guó)家公共信用信息平臺(tái)形成完整的企業(yè)信用檔案數(shù)據(jù)庫(kù)，同時(shí)依據(jù)前述企業(yè)信用檔案信息，以“經(jīng)營(yíng)異常目錄”“嚴(yán)重違法失信企業(yè)名單”“失信聯(lián)合懲戒對(duì)象名單”等負(fù)面標(biāo)簽方式，深化聲譽(yù)制裁力度[14]。本質(zhì)上，目前針對(duì)企業(yè)的聲譽(yù)制裁體系是建立在政務(wù)信息公開、企業(yè)信息公示和社會(huì)信用體系基礎(chǔ)之上的。由做出負(fù)面評(píng)價(jià)的公權(quán)力主體通過既有的社會(huì)信用信息平臺(tái)，將企業(yè)的聲譽(yù)信息廣泛傳播至相關(guān)市場(chǎng)領(lǐng)域及社會(huì)之中，這是理解聲譽(yù)制裁運(yùn)行機(jī)制的關(guān)鍵。根據(jù)信用風(fēng)險(xiǎn)分類監(jiān)管理論，行使市場(chǎng)監(jiān)督職能的行政主體、提供信貸的金融機(jī)構(gòu)以及消費(fèi)者群體對(duì)于企業(yè)的聲譽(yù)信息有著極高的依賴性[15]。建立在企業(yè)信息公示、社會(huì)信用信息體系之上的企業(yè)聲譽(yù)信息，直接反映了企業(yè)的合規(guī)風(fēng)險(xiǎn)和經(jīng)營(yíng)狀態(tài)，從而能夠促進(jìn)市場(chǎng)的信息流通，以及社會(huì)公眾對(duì)于交易穩(wěn)定性的預(yù)期[16]。企業(yè)聲譽(yù)制裁體系的負(fù)面影響在于制裁效果可能過重。負(fù)面標(biāo)簽等方式能夠作為其他行政活動(dòng)的直接依據(jù)，即只要企業(yè)被納入負(fù)面標(biāo)簽序列，共享社會(huì)信用信息平臺(tái)的所有相關(guān)政府部門都將對(duì)其采取相應(yīng)的限制措施，沒有任何的自由裁量余地。

(二)第三方義務(wù)模式下聲譽(yù)制裁的正當(dāng)性

“個(gè)保法”第57條規(guī)定的泄露通知制度，意在通過向職責(zé)部門與個(gè)人履行通知義務(wù)，從而實(shí)現(xiàn)對(duì)泄露信息的個(gè)人信息處理者進(jìn)行聲譽(yù)制裁。實(shí)質(zhì)上，該泄露通知義務(wù)屬于公法上的通知義務(wù)，即個(gè)人信息處理者以私主體的身份，對(duì)其收集、保有的個(gè)人信息承擔(dān)泄露通知義務(wù)。從法律性質(zhì)觀之，該公法通知義務(wù)是行政法上的第三方義務(wù)，個(gè)人信息處理者作為私主體，以參與行政過程的方式履行法律強(qiáng)制要求的通知義務(wù)[17]。行政法中第三方義務(wù)的一個(gè)主要特征是違法行為人與該違法行為的責(zé)任主體是割裂的[18]，即在泄露通知制度的語境下，非法獲取個(gè)人信息的行為人與該違法行為的責(zé)任主體分離。換言之，第三方義務(wù)要求私權(quán)利主體參與到行政過程中扮演“守門人”的角色。按照“守門人”理論，衡量是否賦予私主體“守門人”的角色，主要從私主體的阻止違法行為的能力、成本收益分析、現(xiàn)有的激勵(lì)機(jī)制，以及行政執(zhí)法的缺位等因素來進(jìn)行評(píng)判[11]。在個(gè)人信息保護(hù)領(lǐng)域，以企業(yè)為代表的個(gè)人信息處理者往往收集了大量的個(gè)人信息，無論是從阻止信息泄露的能力，還是阻止違法行為的成本上分析，其無疑是作為“守門人”的最佳方案。一方面，當(dāng)下人們的生活對(duì)互聯(lián)網(wǎng)的依賴程度越來越高，開啟了信息空間中的“網(wǎng)絡(luò)化生存方式”；另一方面，伴隨著大數(shù)據(jù)分析技術(shù)的快速發(fā)展，商業(yè)組織通過結(jié)合結(jié)構(gòu)化與非結(jié)構(gòu)化數(shù)據(jù)，更加精準(zhǔn)地發(fā)掘消費(fèi)者的潛在需求與市場(chǎng)趨勢(shì)，其對(duì)于個(gè)人信息的需求量也呈現(xiàn)指數(shù)級(jí)增長(zhǎng)[19]。與之相較，面對(duì)種類繁多的被監(jiān)管實(shí)體，行政機(jī)關(guān)無法針對(duì)大規(guī)模匯集個(gè)人信息的市場(chǎng)風(fēng)險(xiǎn)形成統(tǒng)一的監(jiān)管規(guī)則，一刀切的方式更是難以應(yīng)對(duì)多樣化的風(fēng)險(xiǎn)[20]；加之，監(jiān)管機(jī)構(gòu)無法比從事生產(chǎn)活動(dòng)的商業(yè)組織掌握更多的信息，其將注意力轉(zhuǎn)移到事先的預(yù)防，不再著重強(qiáng)調(diào)結(jié)果導(dǎo)向的監(jiān)管細(xì)節(jié)。監(jiān)管機(jī)構(gòu)很大程度上將落實(shí)公共管理目標(biāo)具體細(xì)節(jié)的自由裁量權(quán)交給被監(jiān)管主體，利用被監(jiān)管方自身的專業(yè)知識(shí)和判斷力來決定實(shí)現(xiàn)監(jiān)管目標(biāo)的手段，以及在特定情況下這些目標(biāo)的定義和對(duì)實(shí)現(xiàn)管理目標(biāo)的監(jiān)督。此外，不同于傳統(tǒng)領(lǐng)域中基于社會(huì)信用信息系統(tǒng)構(gòu)建的聲譽(yù)制裁體系，泄露通知制度保留了相當(dāng)?shù)淖杂刹昧坑嗟?，給個(gè)人信息處理者采取措施避免危害，豁免其遭受聲譽(yù)制裁的機(jī)會(huì)空間。觸發(fā)該自由裁量的條件是“個(gè)人信息處理者采取措施能夠有效避免信息泄露、篡改、丟失造成的危害”，此時(shí)個(gè)人信息處理者可以不通知有關(guān)職責(zé)部門與個(gè)人。同時(shí)，作為對(duì)自由裁量的控制和制約，履行保護(hù)職責(zé)的部門認(rèn)為信息泄露可能對(duì)個(gè)人造成危害的，亦有權(quán)要求個(gè)人信息處理者履行通知義務(wù)。

(三)自由裁量的觸發(fā)條件與“加密避風(fēng)港原則”

1.自由裁量的觸發(fā)條件

“個(gè)保法”第57條第二款規(guī)定了在公法通知義務(wù)下的豁免規(guī)則，即“個(gè)人信息處理者采取措施能夠有效避免信息泄露、篡改、丟失造成危害的”，其可以不通知到個(gè)人，換言之，這是個(gè)人信息處理者在基于公法義務(wù)的豁免規(guī)則設(shè)定，獲得了選擇“不通知”的自由裁量空間。在傳統(tǒng)領(lǐng)域下的聲譽(yù)制裁體系中，負(fù)面標(biāo)簽作為核心打擊手段“結(jié)構(gòu)性”壓縮了自由裁量空間；依托于社會(huì)信用基礎(chǔ)上的信息交換，以普遍、自動(dòng)化的方式將聲譽(yù)制裁的影響擴(kuò)展至一系列公權(quán)力主體、相關(guān)市場(chǎng)以及社會(huì)群體中。但類似于“經(jīng)營(yíng)異常名錄”“嚴(yán)重違法失信企業(yè)名單”的負(fù)面標(biāo)簽是存在移出機(jī)制的(6)參見《嚴(yán)重違法失信企業(yè)名單管理暫行辦法》第9條：“企業(yè)自被列入嚴(yán)重違法失信企業(yè)名單之日起滿5年未再發(fā)生第五條規(guī)定情形的，由有管轄權(quán)的工商行政管理部門移出嚴(yán)重違法失信企業(yè)名單。工商行政管理部門依照前款規(guī)定將企業(yè)移出嚴(yán)重違法失信企業(yè)名單的，應(yīng)當(dāng)作出移出決定，并通過企業(yè)信用信息公示系統(tǒng)向社會(huì)公示。移出決定應(yīng)當(dāng)包括企業(yè)名稱、統(tǒng)一社會(huì)信用代碼/注冊(cè)號(hào)、移出日期、移出事由、作出決定機(jī)關(guān)。”，其保留了一定程度的激勵(lì)、寬容空間。而在泄露通知制度中，個(gè)人信息處理者一旦履行了信息泄露通知義務(wù)，網(wǎng)絡(luò)的“記憶”是無法被抹去的，其消除負(fù)面影響、挽回社會(huì)聲譽(yù)的可能性微乎其微。因此“個(gè)保法”考量到聲譽(yù)制裁的嚴(yán)厲性和不可修復(fù)性，在公法通知義務(wù)的基礎(chǔ)上設(shè)定了豁免規(guī)則，給予個(gè)人信息處理者一定條件下“不通知”的自由。

作為自由裁量的觸發(fā)條件，“有效避免信息泄露、篡改、丟失造成危害”中“有效”的邊界是在監(jiān)管機(jī)構(gòu)與企業(yè)互動(dòng)過程中逐步發(fā)現(xiàn)的，是一個(gè)長(zhǎng)期的實(shí)踐過程，即監(jiān)管機(jī)構(gòu)利用監(jiān)管過程中企業(yè)的信息披露來獲取知識(shí)，進(jìn)而提供可客觀衡量“有效”的標(biāo)準(zhǔn)。然而在泄露通知制度創(chuàng)立初期，將一種需要長(zhǎng)期實(shí)踐檢驗(yàn)才能夠發(fā)現(xiàn)的標(biāo)準(zhǔn)作為個(gè)人信息處理者自由裁量的觸發(fā)條件，無異于架空其公法通知義務(wù)。即使“有效”的標(biāo)準(zhǔn)是能夠被公權(quán)力主體準(zhǔn)確認(rèn)知的，信息泄露造成的危害也依然是未知的，客觀上無法被準(zhǔn)確認(rèn)知。大規(guī)模的個(gè)人信息泄露之后，通常是流入地下市場(chǎng)，亦即暗網(wǎng)，進(jìn)行流通買賣，之后再被轉(zhuǎn)手用作他途，如金融信貸催收、營(yíng)銷等領(lǐng)域[21]。這意味著從個(gè)人信息泄露到實(shí)際危害發(fā)生之間存在一個(gè)時(shí)間差。在這段時(shí)間內(nèi)，信息泄露造成的危害是未知的，客觀上是無法被評(píng)估衡量的。故而，我國(guó)泄露通知制度需要設(shè)定具有可操作性的自由裁量觸發(fā)條件。由美國(guó)財(cái)政部聯(lián)合美聯(lián)儲(chǔ)、美國(guó)聯(lián)邦存款保險(xiǎn)公司制定的《機(jī)構(gòu)間應(yīng)急方案指南》提出，僅當(dāng)發(fā)現(xiàn)存在被泄露的個(gè)人信息有被濫用的可能性，金融機(jī)構(gòu)才須向個(gè)人發(fā)出泄露通知。發(fā)現(xiàn)個(gè)人信息有被濫用的可能性之標(biāo)準(zhǔn)在現(xiàn)實(shí)中是具備可操作性的，譬如，金融機(jī)構(gòu)監(jiān)測(cè)到被泄露的個(gè)人信息開設(shè)了偽造賬戶。

2.加密避風(fēng)港原則

加密避風(fēng)港原則意指，作為個(gè)人信息處理者的組織機(jī)構(gòu)，其遭遇泄露的信息若已經(jīng)過加密處理，則免于履行泄露通知義務(wù)[22]。在制度實(shí)踐層面，該原則在美國(guó)以三種形式存在：豁免規(guī)則，可反駁的推定(rebuttable presumption)，以及損害的分析要素[23]?；砻庖?guī)則源于加州2002年頒布的《數(shù)據(jù)安全泄露通知法》，其規(guī)定：如果加州的商業(yè)組織被未經(jīng)授權(quán)的第三方獲取了沒有加密且由計(jì)算機(jī)存儲(chǔ)的個(gè)人信息，則必須發(fā)出泄露通知[9]。但該法案沒有對(duì)“加密”進(jìn)行定義，而是由加州隱私保護(hù)辦公室(California Office of Privacy Protection)制定了進(jìn)一步的政策指引，解釋何為可接受的加密技術(shù)和其他信息安全措施?？煞瘩g的推定意指，該避風(fēng)港原則建立了一種推定，即如果泄露的是加密數(shù)據(jù)，就不存在風(fēng)險(xiǎn)；如果發(fā)現(xiàn)相反的證據(jù)，就可以推翻這種假設(shè)，無需發(fā)出泄露通知[24]。例如美國(guó)國(guó)會(huì)在2009年頒布的《數(shù)據(jù)問責(zé)與信任法案》(Data Accountability and Trust Act)第三章信息安全泄露通知中規(guī)定，如果一個(gè)組織能夠證明已對(duì)所泄露的個(gè)人數(shù)據(jù)進(jìn)行了有效的加密，那么就可以推定，泄露事件不會(huì)觸發(fā)身份盜用的重大風(fēng)險(xiǎn)。這一明確的推定可以通過證明“加密方法已經(jīng)或可能遭到破壞”而被推翻；而作為危害的分析要素，加密只是“用于確定破壞行為是否為造成危害的因素”[25]。由此觀之，加密避風(fēng)港原則作為合理降低泄露通知數(shù)量，減少信息過載與企業(yè)合規(guī)成本的一種方式，具有直觀的可操作性與衡量性。加密避風(fēng)港可視為泄露通知制度中自由裁量的一種技術(shù)化表現(xiàn)形式，但具有強(qiáng)烈的場(chǎng)景適用限制性。面對(duì)海量的個(gè)人信息存儲(chǔ)量，所有應(yīng)用場(chǎng)景進(jìn)行數(shù)據(jù)加密在時(shí)間與資源成本上都是不現(xiàn)實(shí)的。

四、我國(guó)個(gè)人信息泄露通知制度的結(jié)構(gòu)化完善

(一)常態(tài)化監(jiān)督的自由裁量

首先，常態(tài)化監(jiān)督下的自由裁量權(quán)應(yīng)當(dāng)建立在具有操作性、可衡量的標(biāo)準(zhǔn)之上，即不僅僅要求個(gè)人信息處理者去判斷其采取的措施是否能夠“有效”避免信息泄露造成的危害，更需要借鑒是否存在“濫用泄露的個(gè)人信息的風(fēng)險(xiǎn)”的標(biāo)準(zhǔn)。例如以金融系統(tǒng)為起點(diǎn)，將被泄露個(gè)人信息的主體列入“監(jiān)管”名單，監(jiān)控個(gè)人信息被“濫用”的活動(dòng)，以此作為探索在其他生活領(lǐng)域監(jiān)控個(gè)人信息“濫用”活動(dòng)的藍(lán)本。其次，常態(tài)化監(jiān)督要求職責(zé)部門持續(xù)介入個(gè)人信息處理者在自由裁量方面的審核。以企業(yè)為代表的個(gè)人信息處理者，在面對(duì)行政監(jiān)管與公司目標(biāo)之間的沖突時(shí)，企業(yè)內(nèi)部既定的慣例和思維方式促使其以最容易實(shí)現(xiàn)合法外觀的方式來進(jìn)行合規(guī)調(diào)整，同時(shí)盡量減少企業(yè)因合規(guī)調(diào)整帶來的負(fù)外部性[26]。因此，監(jiān)管機(jī)構(gòu)需要常態(tài)化介入企業(yè)關(guān)于泄露通知方面自由裁量的決定過程，讓企業(yè)知曉職責(zé)部門始終在監(jiān)督，并將嚴(yán)格審查其作出關(guān)于泄露通知的決定。常態(tài)化介入方式可以借鑒《薩班斯奧克斯利法案》第302條與第404條，分別關(guān)于上市公司在年報(bào)中提供內(nèi)部控制與程序報(bào)告，與內(nèi)部控制程序存在的缺陷(7)參見Sarbanes-Oxley Act § 302 §404, 15 U.S.C. § 7262.盡管該法案主要是規(guī)制上市企業(yè)，但其提供的監(jiān)管方式，即內(nèi)部控制和程序報(bào)告以及內(nèi)部控制程序存在的缺陷，依然能夠?yàn)槿绾斡行彶橐话闫髽I(yè)作出自由裁量決定提供借鑒。。個(gè)人信息處理者也應(yīng)當(dāng)就其作出自由裁量決定過程中涉及的相關(guān)程序、人員職責(zé)分配,以及可能帶來的誤判風(fēng)險(xiǎn)提供詳細(xì)的說明，并以周期性的方式向職責(zé)部門進(jìn)行匯報(bào)。此外，個(gè)人信息處理者還應(yīng)當(dāng)就“不同周期的自由裁量決定報(bào)告中類似的信息泄露事件作出不同的處理方式”提供詳細(xì)的說明，從而迫使企業(yè)面對(duì)信息泄露事件作出的自由裁量決定是經(jīng)過有效的評(píng)估決策，而非流于形式的合規(guī)。

(二)雙層泄露通知制度

根據(jù)“個(gè)保法”第57條第一款，我國(guó)個(gè)人信息保護(hù)領(lǐng)域采取的是單一泄露通知制度，即原則上對(duì)于監(jiān)管機(jī)構(gòu)與個(gè)人信息主體，不加以區(qū)分地履行通知義務(wù)。通過對(duì)美國(guó)《機(jī)構(gòu)間應(yīng)急方案指南》與歐盟《通用數(shù)據(jù)保護(hù)條例》中雙層泄露通知制度的梳理，可以發(fā)現(xiàn)監(jiān)管機(jī)構(gòu)與個(gè)人信息主體的通知閾值是有差別的。換言之，監(jiān)管機(jī)構(gòu)與個(gè)人信息主體在接受、處理信息能力上有巨大的差異。監(jiān)管機(jī)構(gòu)有強(qiáng)大的人力資源和信息加工處理能力，故而原則上只要發(fā)生了或有跡象表明發(fā)生了信息的泄露、篡改、丟失，個(gè)人信息處理者就應(yīng)當(dāng)向監(jiān)管機(jī)構(gòu)履行通知義務(wù)；而個(gè)人信息主體，其背后是信息接受、處理能力參差不齊的社會(huì)公民、消費(fèi)者，其時(shí)時(shí)刻刻面臨著嚴(yán)重的信息過載，將直接導(dǎo)致泄露通知被信息主體選擇性忽略。鑒于監(jiān)管機(jī)構(gòu)與個(gè)人信息主體在信息接受、處理能力上的差異，我國(guó)個(gè)人信息泄露通知制度建議采取分層機(jī)制，即原則上，個(gè)人信息處理者發(fā)現(xiàn)信息泄露，立即采取補(bǔ)救措施之后，應(yīng)當(dāng)通知監(jiān)管機(jī)構(gòu)；而對(duì)于個(gè)人信息主體的通知應(yīng)當(dāng)設(shè)定較高觸發(fā)閾值。

(三)顯性監(jiān)管指標(biāo)的弱化

當(dāng)下互聯(lián)網(wǎng)企業(yè)依托平臺(tái)和技術(shù)優(yōu)勢(shì)，已經(jīng)成為個(gè)人信息的主要存儲(chǔ)與管理組織。面對(duì)市場(chǎng)上占據(jù)優(yōu)勢(shì)地位的互聯(lián)網(wǎng)企業(yè)，地方職責(zé)部門往往在與其監(jiān)管互動(dòng)過程中形成共識(shí)，導(dǎo)致企業(yè)合規(guī)流于形式。因?yàn)槠髽I(yè)在接收職責(zé)部門的監(jiān)管過程中，逐漸了解如何能夠滿足具體監(jiān)管指標(biāo)，并將這些例行公事化的信息融入企業(yè)的日常合規(guī)流程，加劇了形式化監(jiān)管的現(xiàn)狀[27]。“個(gè)保法”第57條以“履行個(gè)人信息保護(hù)職責(zé)的部門”負(fù)責(zé)監(jiān)督審核個(gè)人信息處理者的自由裁量決定，在一定程度上為日后弱化顯性監(jiān)管指標(biāo)留下制度空間。以企業(yè)為代表的個(gè)人信息處理者，在作出自由裁量決定，選擇不履行通知義務(wù)后，應(yīng)當(dāng)就其決定涉及的內(nèi)部程序、考量的相關(guān)因素作出報(bào)告，提供給主要職責(zé)部門以備監(jiān)管審查。由于被監(jiān)管主體的形式多樣，審查眾多企業(yè)的自由裁量決定涉及的專業(yè)知識(shí)往往超出單一職責(zé)部門的監(jiān)管能力。因此，建議主要職責(zé)部門在收到自由裁量決定后與其他相關(guān)部門共享，就個(gè)人信息處理者的自由裁量決定協(xié)同審查，弱化顯性監(jiān)管指標(biāo)概念。換言之，正是由于多部門的協(xié)同審查使得以企業(yè)為代表的個(gè)人信息處理者無法在監(jiān)管互動(dòng)過程中摸清職責(zé)部門的監(jiān)管傾向。尤其是考慮到需要就自由裁量決定過程中涉及的相關(guān)內(nèi)部程序和潛在的風(fēng)險(xiǎn)評(píng)估向職責(zé)部門進(jìn)行闡述和解釋時(shí)，企業(yè)將會(huì)考慮雙邊的論點(diǎn)和證據(jù)，以便為來自各方的批判意見做好準(zhǔn)備。弱化外在監(jiān)管指標(biāo)促使企業(yè)管理層在面對(duì)不同的信息泄露事件削弱對(duì)既有的“知識(shí)結(jié)構(gòu)”的依賴，使其根據(jù)不斷變化的社會(huì)現(xiàn)狀改善、提升企業(yè)在個(gè)人信息保護(hù)方面的制度措施。

(四)個(gè)人信息泄露通知內(nèi)容的有效性

“個(gè)保法”第57條第一款羅列了通知應(yīng)當(dāng)包含的若干事項(xiàng)，包括發(fā)生或可能發(fā)生的個(gè)人信息泄露、篡改、丟失的信息種類、原因以及可能造成的危害，個(gè)人信息處理者采取的補(bǔ)救措施和個(gè)人可以采取的減輕危害的措施，以及個(gè)人信息處理者的聯(lián)系方式。在討論具體通知內(nèi)容之前，有必要強(qiáng)調(diào)接收通知的個(gè)人的受教育水平。職責(zé)部門在規(guī)定通知具體內(nèi)容的事項(xiàng)上，不能僅以監(jiān)管者視角看待通知的組成架構(gòu)，更應(yīng)當(dāng)站在信息遭遇泄露、篡改、丟失的個(gè)人視角上“急人之所急”，充分知曉我國(guó)當(dāng)下依然存在很大一部分群體運(yùn)用智能技術(shù)困難的現(xiàn)狀。泄露通知制度的實(shí)行很大程度上會(huì)被詐騙團(tuán)伙所利用，導(dǎo)致更加不可估量的財(cái)產(chǎn)損失等后果。此外，泄露通知無論是以短信還是電子郵件的方式發(fā)送告知，在當(dāng)下信息過載的時(shí)代，有相當(dāng)一部分群體會(huì)以垃圾短信或者垃圾郵件的方式過濾泄露通知，導(dǎo)致該制度的有效性大打折扣。在泄露通知的具體事項(xiàng)方面，“個(gè)保法”只規(guī)定應(yīng)當(dāng)包含什么，沒有規(guī)定不能額外包含何種事項(xiàng)。這將導(dǎo)致發(fā)送泄露通知的企業(yè)借機(jī)推廣其網(wǎng)絡(luò)安全相關(guān)的商品等，以“夾帶私貨”的方式損害了泄露通知的可閱讀性。關(guān)于泄露通知的第一項(xiàng)內(nèi)容，即個(gè)人信息泄露、篡改、丟失的原因，信息泄露往往牽扯到整個(gè)產(chǎn)業(yè)鏈，下游企業(yè)的安全漏洞可能最終在上游頭部企業(yè)“引爆”巨大的信息泄露事件。簡(jiǎn)單地要求涉事企業(yè)公布個(gè)人信息泄露的原因往往適得其反，掩蓋了問題真正的根源。綜上，在信息泄露通知的具體內(nèi)容設(shè)計(jì)以及發(fā)送通知的方式上，應(yīng)更多地允許企業(yè)以及所在行業(yè)制定準(zhǔn)則，提交給監(jiān)管部門審批，鼓勵(lì)行業(yè)借助信息技術(shù)開發(fā)創(chuàng)新有效的方式來克服既有的通知方面的缺點(diǎn)。還要嚴(yán)格規(guī)范泄露通知所能包含內(nèi)容的范圍，禁止任何商業(yè)推廣危害通知的可閱讀性。

五、結(jié)語

在個(gè)人信息保護(hù)形勢(shì)日趨嚴(yán)峻的當(dāng)下，個(gè)人信息泄露通知制度的細(xì)化和完善顯得極為迫切。我國(guó)《個(gè)人信息保護(hù)法》第57條賦予個(gè)人信息處理者的自由裁量空間在很大程度上影響著泄露通知機(jī)制的有效性。行政法上第三方義務(wù)賦予個(gè)人信息處理者的自由裁量與“結(jié)構(gòu)化自由裁量”在權(quán)力的行使方式上都面臨著如何規(guī)制自由裁量主體在信息和權(quán)力上的壟斷問題。鑒于個(gè)人信息處理者在知識(shí)、信息上的優(yōu)勢(shì)地位，促使其自由裁量權(quán)的行使更加公平、合理的程序性機(jī)制主要集中在信息披露這一維度。據(jù)此，本文提出四點(diǎn)完善細(xì)化建議：在常態(tài)化監(jiān)督方面，進(jìn)一步建立具有操作性、可衡量的觸發(fā)自由裁量的標(biāo)準(zhǔn)，且職責(zé)部門需持續(xù)性介入個(gè)人信息處理者在自由裁量方面的審核；在雙層泄露通知方面，原則上，個(gè)人信息處理者發(fā)現(xiàn)信息泄露、篡改、丟失，立即采取補(bǔ)救措施之后，應(yīng)當(dāng)通知監(jiān)管機(jī)構(gòu)，而對(duì)于個(gè)人信息主體的通知應(yīng)當(dāng)設(shè)定較高通知觸發(fā)閾值，即發(fā)現(xiàn)泄露、篡改、丟失的個(gè)人信息有被濫用的可能性，會(huì)給個(gè)人信息主體帶來潛在的危害；在顯性監(jiān)管指標(biāo)的弱化方面，對(duì)個(gè)人信息處理者的自由裁量決定進(jìn)行多部門的協(xié)同審查；在泄露通知內(nèi)容的有效性方面，鼓勵(lì)行業(yè)準(zhǔn)則的制定，嚴(yán)格規(guī)范泄露通知所能包含內(nèi)容的范圍，提升泄露通知內(nèi)容的可閱讀性。