第九条 【个人信息处理者负责原则】
个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。
【释义】
本条是关于个人信息处理者负责原则的规定。
在目前的技术条件下,个人信息经以数据或其他形式为其他主体记录、获取后,信息主体很难对其个人信息的传播、利用继续保持强有力的实际控制。个人信息处理者因技术、市场、资本等优势,往往在个人信息的利用和安全保护中占据主导地位。个人信息能否得到合理利用,信息主体的合法权益能否得到有效保护,在较大程度上取决于个人信息处理者对个人信息的收集、存储、使用、加工、传输、提供、公开等处理活动是否规范、严谨。而以近年来频发的个人信息泄露、价格歧视等问题来看,民事主体个人信息权益甚至社会公共利益的损害则大多与信息处理者不规范、不合理的处理行为密切相关。
当前,强化个人信息处理者责任,要求其对个人信息处理活动负责已成为共识。[35]以域外立法来看,欧盟《一般数据保护条例》第24条明确规定,考量处理的性质、范围、背景和目的以及给自然人的权利和自由带来的不同可能性和严重程度的风险,数据控制者应当采取适当技术性和组织性措施以确保并证明处理符合本条例规定。在我国,全国人大常委会《关于加强网络信息保护的决定》第4条、《网络安全法》第42条第2款和《民法典》第1038条第2款等皆对信息处理者对个人信息承担的义务作出了明确的规定,即信息处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失;发生或者可能发生个人信息泄露、篡改、丢失的,应当及时采取补救措施,按照规定告知自然人并向有关主管部门报告。并且,上述法律的相关条文也对信息处理者违反义务的责任作出了明确的规定。工业和信息化部《电信和互联网用户个人信息保护规定》第6条也明确规定,电信业务经营者、互联网信息服务提供者对其在提供服务过程中收集、使用的用户个人信息的安全负责。本条延续既有法律法规的规定,以一般条款的形式再次重申了个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全原则。
对于本条规定,应着重从以下几个方面理解:
其一,关于个人信息处理者的范围,有别于欧盟《一般数据保护条例》(GDPR)将数据处理主体划分为数据控制者和数据处理者,以及其第30.5条将个人信息控制者责任范围限制在雇员大于250人的经济主体或组织的做法,本条统一采用了“个人信息处理”的概念,并且未对个人信息处理者的范围作出明显的限定。依文义解释,凡是实际从事本法第4条第2款所规定的个人信息处理活动的主体皆可被认定为“个人信息处理者”。同时,鉴于《个人信息保护法》公、私法兼具的立法定位和实践中国家机关等广泛存在收集、使用、传输和公开个人信息的事实,除民事主体外,本条规定的个人信息处理者同时还应当包括实际从事个人信息处理活动的各类公共机构。而且,虽然在数字时代,个人信息的线上处理已成为当前的主流方式,但是仍存在大量线下非网络平台主体收集、利用个人信息等情况,这些主体也应系个人信息处理者。[36]当然,有别于本法第21条规定的受托进行个人信息处理的主体,“信息处理者”主要是指为自己利益从事个人信息处理的处理者。根据本法第21条和本条的规定以及委托关系的基本法理,信息处理者委托他人处理个人信息的,对受托人的个人信息处理活动进行监督,也应对受托者的信息处理行为和处理结果负责。
其二,关于本条所谓“采取必要措施”,应当包括管理措施和技术措施。例如,按照《信息安全技术 公共及商用服务信息系统个人信息保护指南》(GB/Z 28828—2012)第4.2条第f款的规定,个人信息处理者应当采取适当的、与个人信息遭受损害的可能性和严重性相适应的管理措施和技术手段,保护个人信息安全,防止未经个人信息管理者授权的检索、披露及丢失、泄露、损毁和篡改个人信息。而以近年来发生的个人信息损害事件来看,相较于技术措施,个人信息处理者疏于管理甚至是故意的不当处理行为则往往是引发损害的主要原因。实践中,个人信息处理应以所处理的个人信息的安全为考虑,严格按照相关法律法规和技术标准的要求,建立健全相关管理制度和管理措施,避免因管理不善而使个人信息主体和社会公共利益造成不应有的损害。同时,值得注意的是,在信息技术日新月异的今天,“必要措施”本身系一个开放性的动态概念,个人信息处理者应当结合信息处理技术及其应用发展的实际情况,不断更新、完善其个人信息处理和保护相关的技术手段和管理措施,以合理应对信息科技高速发展带来的挑战,切实保障所处理的个人信息的安全。
其三,关于个人信息处理主体的责任范围和责任方式,本条并未作详细的规定。作为一般条款,本条旨在对个人信息处理者对其所处理的个人信息负责的原则作出宣示性规定,以凸显个人信息处理者的主体责任,要求个人信息处理者以更加谨慎、合理和规范的方式处理个人信息,保障个人信息的安全。从司法实践的角度,本条不应直接用以作为确定个人信息损害责任的规范依据。在因个人信息处理活动危害个人信息安全,导致信息主体合法权益或社会公共利益遭受损害时,个人信息处理者是否需要承担责任以及承担何种形式和范围的责任,则应根据《刑法》、《民法典》、《网络安全法》、 《数据安全法》以及本法等法律的相关规定加以具体确定。
【关联规定】
《关于加强网络信息保护的决定》第4条,《中华人民共和国网络安全法》第42条,《中华人民共和国民法典》第1038条第2款
(撰稿人:雷震文)