作者简介:潘宇,男,河北沧州人,中国人民大学法学院博士研究生,研究方向:个人信息保护法、侵权法。
摘要:对《个人信息保护法》第57条的解释应以区分通知对象展开。对个人进行的通知对信息泄露的下游损害的预防能力有限,为平衡个人知情权与事故处理需要,对个人进行的通知决策实际由公权力机关作出。在通知次序上,应先通知公权力机关再通知个人。对个人进行的通知,通知事项以有利于个人预防为导向,形式上应考虑降低个人筛选信息成本,期限上受制于公权力机关的决策时长难以统一规定。对公权力机关进行的通知,通知事项以确定事故类型和是否通知个人的决策为导向,形式上可以分阶段作出通知,可以确定统一期限。在涉及信息泄露的下游损害案件中,运用《个人信息保护法》第57条确立的通知义务标准,可以协助判断违法行为要件的成立,为确认不作为的个人信息处理者的责任提供规范依据。
关键词:《个人信息保护法》第57条;通知;损害预防;协同治理;侵权责任
引言
在大数据技术广泛应用于各行业的背景下,公民的个人信息已经成为饱含安全效益、经济效益的重要资源。对个人信息的侵害行为,可能损害公民个人的人格、财产利益乃至危及国家安全。个人信息泄露是信息时代个人作为信息主体所面对的主要风险之一。个人信息是信息时代个人的识别符,一旦为他人所窃取,针对信息主体的信用卡诈骗、价格歧视等下游损害便会接踵而至。为避免信息主体因错判个人信息安全形势蒙受损害,信息处理者及时通知泄露事实尤为必要;但个人信息泄露一旦形成规模,对信息主体的通知不但有损信息处理者的声誉,也会对公共秩序构成现实挑战。为克服信息处理者的瞒报倾向,平衡信息主体的权益保护与公共秩序的稳定价值,信息泄露后的通知规则应运而生。可以说,信息泄露后的通知规则是直接应对个人信息泄露这一风险的法律制度。域外的信息泄露通知法早已发展为平衡信息主体权利和个人信息处理者的合规成本的最活跃的个人信息保护制度之一。然而,尽管信息泄露后的通知规则在比较法上获得了较高评价,但在我国长期未能展现其制度效果。早在《个人信息保护法》第57条出台前,我国就有关于个人信息泄露后的通知义务的规定,但其推行效果乏善可陈。这一方面表现为,在一些信息泄露后的通知义务可以明显发挥作用的场合,个人信息处理者的通知缺位,未能有效预防相应损害的发生。另一方面,从实际裁判来看,法院几乎不以此规定作为裁判规则,几乎未见有个人信息处理者因不向个人发出信息泄露的通知而承担责任。法院多忽略对这一义务履行情况的考察,转而诉诸于降低个案的证明标准或适用举证责任的倒置。
信息泄露通知制度是饱含价值选择和技术要素的法律制度,期望其展现实践效果,需要结合其规范目的和借助法律解释增强规范的针对性和可操作性。为此,本文拟基于对域外相关制度的考察、结合我国的司法实践明确这一制度需要回应的本土问题,在明确规范解释方向的基础上依托《个人信息保护法》第57条阐释我国的信息泄露通知制度,并尝试探讨将其纳入侵权案件中违法行为判断的可行性。
一、我国信息泄露后通知规则的规范与实践
(一)信息泄露后通知规则的规范演变
1.从《电信和互联网用户个人信息保护规定》到《民法典》:信息泄露通知规则的私法属性凸显
信息泄露后的通知义务,在我国最早见于2013年工信部出台的《电信和互联网用户个人信息保护规定》。该规定第14条第1款规定了当用户的个人信息泄露等信息安全事件可能产生严重后果的,电信业务经营者有向电信监管部门报告的义务。2017年,《网络安全法》第42条第2款将这一义务的主体从“电信业务经营者”扩大到了“网络运营者”,并增加了向个人进行通知的规定。《网络安全法》对不同主体的通知义务作出规定,表明个人知情权的价值和个人在应对信息泄露事件中的作用得到立法确认。但同时,《网络安全法》并未对向不同主体进行通知的规则进行细化或区分,而是借助“按照规定”的引致用词为未来具体制度的构建预留了空间。
《民法典》第1038条第2款再次对信息泄露后的通知义务作出规定,在义务内容的表述上基本延续了《网络安全法》的规定,但仍具有两个层次的重要意义。其一,从规范含义出发,二者虽然在义务内容的表述上相近,但其各自规范的主体不同。《网络安全法》条文所规范的主体是处理个人信息的网络经营者,限定为私主体;而《民法典》使用“信息处理者”一词,在文义上并不排除为公益目的处理个人信息的国家机关。这一差异也反映了两部法律在处理个人信息关系上的不同侧重。《网络安全法》作为领域法,重在通过对处理个人信息的主体的管制保障国家网络安全利益,其更多关注的是国家机关对私主体处理个人信息活动的管理,对同样处理个人信息的公法主体关注较少。实践中,虽然有法院将处理个人信息的公法主体纳入《网络安全法》(2017)第42条第2款所规定的负担信息安全义务的主体范围内,但也仅是将这种信息安全义务作为政务不公开的合法性依据所使用。其二,从规范出处出发,从《网络安全法》到《民法典》人格权编,这一自公法机关的报告义务演变而来的制度具有了私法色彩。相比于信息处理者主体含义的扩张,在《民法典》确认这一通知义务具有更重要的意义。毕竟,对于违反人格权编规定的通知义务给信息主体造成损失的,基于《民法典》的体系效应,适用侵权责任制度对受害人进行民事保护就顺理成章,这充实了信息泄露通知义务的法律责任。至此,似乎这一通知义务已有在民事案件中适用的空间。
2.《个人信息保护法》第57条的回应
较之《电信和互联网用户个人信息保护规定》《网络安全法》的有关规定,《个人信息保护法》第57条对信息泄露通知制度的部分基本问题作出了回应,为进一步细化通知制度留下了解释空间。
(1)对具体制度的回应
以《网络安全法》《民法典》的有关规定为参照,《个人信息保护法》第57条在以下方面完善了信息泄露通知义务的规定。
其一,特别规定了这一通知义务的发生时间。《个人信息保护法》第57条将个人信息处理者需要发出通知的情形规定为“发生或者可能发生个人信息泄露、篡改、丢失的”。《个人信息保护法草案(二审稿)》第56条将通知义务的发生时间规定为“发现个人信息泄露的”,和现规定相比,没有将可能发生个人信息泄露的情形包含其中。这表明在这次立法过程中,通知义务的发生时间是一个经过了讨论修改的问题,体现了立法者对这一问题持有的谨慎态度,不会在短时间内发生改变。
其二,列举规定了通知应包含的事项。《个人信息保护法》第57条第1款将通知应包含的事项进行了列举式规定,一改以往缺乏对通知内容的规定的局面。域外司法实践的一个重要经验是“信息泄露通知法的标准足够明确商业主体才能有效遵循”,个人信息泄露通知的标准明确能够有效推动信息泄露通知法的治理效果。
其三,增加规定了个人信息处理者向个人发出通知的豁免条款。第57条第2款规定,个人信息处理者在采取必要补救措施之后,认为可能不会对个人造成损害的,可以不通知个人。这一规定的意义首先在于完善了我国信息泄露通知规则的体系。从比较法上观察,不论是早年美国加州的数据泄露通知立法,还是近来欧盟的《通用数据保护条例》都有关于豁免通知的规定,通知的豁免条款已然成为数据泄露通知立法的重要构成部分。这一规定的另一重要意义在于,其能够结合第57条第1款关于通知发生时间的规定进行解释,得出我国《个人信息保护法》确立的个人信息处理者对履行个人信息保护职责的部门、对信息主体进行通知的条件的水平区分。
(2)立法观念的转变
《个人信息保护法》第57条体现了我国在信息泄露通知立法中的两个重要观念转变。
第一个转变,是在信息泄露的补救措施和通知的关系上的认识发生了转变。实际上,2012年全国人大常委会《关于加强网络信息保护的决定》就针对公民电子个人信息发生泄露的情况作出了规定,只是并未规定向相关部门或个人进行通知的义务。《电信和互联网用户个人信息保护规定》第14条的规定正是在此基础上增加了严重个人信息安全事件的报告义务。之后的立法长期保持着将个人信息泄露的通知义务与个人信息处理者的补救义务一并规定的做法。从立法语言的篇幅上看,这一通知义务也往往是一笔带过。立法上对通知义务的忽视演变到司法过程中,其结果就是这一通知义务既没有对个人信息处理者提供有效的行为指引,也没有发挥裁判依据的作用。而从《个人信息保护法》第57条的规定看,关于通知义务的规定占据了该条的主要篇幅。
第二个转变,体现为对部门与个人在信息泄露通知制度中的不同作用的深化认识。较之《网络安全法》《民法典》的相关规定,《个人信息保护法》第57条有一个值得注意的轻微调整,就是在公法部门和个人的顺序表述上发生了改变。在个人信息泄露通知立法中,履行个人信息保护职责的部门是有权最终决定是否要通知个人的主体。为实现这一立法安排,就应在解释上明确向部门与个人发出通知应该有固定的先后次序。而本条第2款又规定了履行个人信息保护职责的部门有权强制个人信息处理者对个人发出通知,可见这一调整绝非偶然。
(二)我国信息泄露后通知规则的实践困境
信息泄露通知制度在实践中极少被适用,其不论是在行政执法还是民事司法中都很少作为规范依据被独立援引。然而,网络经营者有没有就信息泄露的事实向个人发出通知,较之其是否采取了防止个人信息泄露的必要措施,对于判断个人信息处理者的违法性而言,明显更加容易证明。为何裁判者忽视了这一更为简明的标准,而更加偏爱对概括性的保障信息安全的义务进行判断呢?笔者认为,其原因在于,我国的个人信息泄露后通知义务的制度供给长期不足,对这一需求可操作性的规范未进行明确、统一的规定。
从我国信息泄露通知立法的发展历程看,对于何时发生个人信息处理者对个人、对公法机关的通知义务,立法层面尚未作出明确规定。依照《电信和互联网用户个人信息保护规定》第14条第1款的规定,电信业务经营者仅需在发生个人信息泄露、且可能引发严重后果的情形下向公法机关进行报告。而依据《网络安全法》(2017)第42条第2款的表述,在发生或可能发生个人信息泄露的情况时,就应该在采取补救措施后告知个人和有关机关。《网络安全法》的表述看似降低了《电信和互联网用户个人信息保护规定》确立的通知条件。按照《网络安全法》的规定,似乎不必再考虑信息泄露事件的危害性,但《网络安全法》同时要求“按照规定及时告知用户并向有关主管部门报告”。这是否应理解为,对于有关部门的报告和对用户的告知应该采取不同的标准?告知用户为何需要增加“按照规定”的条件?这里的规定,究竟是关于细化告知内容、程序的规定还是可能延误、取消这一通知义务的规定?对此问题不加以明确,在个案中个人信息处理者是否承担这一义务尚不确定,就难以据此认定个人信息处理者的违法性。
在确认责任主体承担通知义务后,通知的事项和形式与责任之间的关联不明确。作为信息处理活动的规范,对其的违反行为是否具备成立民事责任的可能,需要考察该规范是否具备民法上的保护目的。信息泄露的通知规范兼具公法上的管理目的和私法上的保护目的,并非对该规范的任何违反都能指向民事责任的成立。立法和学理上均未澄清这一规则的违反与责任构成的关联,实践中对个人信息处理者的通知行为疏于考察也就不奇怪了。
好在《个人信息保护法》第57条展现了我国个人信息泄露立法在具体制度和理念上的进步,有望改善以往实践中因制度供给不足、制度理念不清引发的一系列问题。《个人信息保护法》第57条可以作为建构我国个人信息泄露通知法的规范基础。但同时也应当看到,第57条规定的通知条件、通知事项还存有进一步明确的空间,这一规定同样没有解决对通知形式的要求问题。对此,有必要趁热打铁,通过对第57条的规定进行解释完善,明确我国信息泄露通知义务规则的基本框架。
二、信息泄露后通知规则的解释方法:区分对象与明确争点
(一)解释思路:区分通知对象建构通知规则的必要性
通知对象大体可以分为作为公法主体的监管方和私法主体的信息主体个人,我国过往立法和《个人信息保护法》第57条均未对两种通知作出规则上的区分,是一种历史的偶然。在部分国家,信息泄露通知义务的立法常在某一领域率先出现,其后才有一般性的规定。如比利时在2005年的《电子通信法》中即有电子通信服务商向行业监管机构报告信息泄露事件的规定,而直到2013年比利时隐私委员会才提出一项设立信息泄露通知义务的一般规定的行政建议。我国的情况与此类似,《电信和互联网用户个人信息保护规定》先规定了向电信监管部门报告的义务,而此规定未要求对个人进行通知。而后《网络安全法》《民法典》《个人信息保护法》均循次沿袭了先前的规定思路,实践中这一规定又常被前款概括性的信息安全义务所包含,适用情况较少,缺乏需要具体判断该规则履行情况的案型,立法就未再继续细化相关规则。作为一项技术性较强的规范,不对其进行具体标准的讨论就难有适用空间,这就需要借助学理上的规范分析与解释。
区分通知对象进行解释的原因是不同主体在信息泄露中承担的角色差异。对个人进行通知主要是为了减轻下游损害的产生,对监管部门进行通知则有更丰富的制度目标。依照《个人信息保护法》第57条第2款规定,之所以将公法机关写为最终决定通知与否的主体,是立法者在考虑到个人信息处理者通知个人需耗费人力物力的基础上,希望防止部分个人信息处理者过失或故意地误判形势给个人带来不利。如此看来,通知个人或机关均致力于推动个人的知情权实现。但从有效预防信息泄露风险的规范目标考察,仅确保个人能够收到通知内容远没有“万事大吉”。实践中,个人所能应对的信息泄露事件十分有限。一旦风险超出个人的应对范围,收到这则通知的个人也只是一名明知损害将要发生却无能为力的受害者。他的境遇甚至比不知情的信息主体更糟,因为他不但要经受损害来袭的精神痛苦,而且个人信息处理者、履行个人信息保护职责的部门各自履行了通知义务,除他以外没有人会为损失负责了。
显然,这不是第57条理想的运行逻辑,公法部门在第57条下还应负有其他职责。具体来说,除确保个人的知情权以外,通知公法部门还有以下制度目标:(1)公法部门具有应对部分损害的独特作用。信息主体、一般的个人信息处理者无法应对全部的信息泄露损害,某些类型的信息泄露事件没有公法部门参与就无法进行应对处理。信息主体通过调整个人行为,采取谨慎的行为模式规避部分损害;个人信息处理者通过信息披露、遏制信息泄露源头减轻损害;而在潜在受害人的范围不确定、危害公共利益等情况下,公法机关必须作为信息损害的治理者而非监督者发挥作用。(2)发挥信息泄露通知制度的声誉制裁功能。个人信息处理者先前的行为所带来的负面社会评价,会表现为股价降低、用户缩减的经营颓势,间接影响其经济效益,称之为声誉制裁。笔者认为,特定的个人信息处理者发生信息泄露事件只是一种事实,而不等同于一种负面评价。对于难以避免的信息泄露事件及损害的发生,要求个人信息处理者承担声誉责任,无疑会打击其通报信息泄露事实的积极性。实际上,履行个人信息保护职责的部门在发现个人信息安全事件时,并不会立刻将其对外披露,而可以先进行行政约谈、强制合规审计,根据个人信息处理者应对个人信息泄露事件的表现,决定披露方式。除了接受举报、投诉后进行调查外,由个人信息处理者主动对个人信息泄露事件进行报告无疑是触发公法部门对个人信息处理者进行评估的重要信息来源。从这个角度来说,提高对公法机关的通知要求,使我国信息泄露后的通知制度一定程度上发挥了声誉制裁功能。(3)实现公私法的协同治理。在个人信息保护领域,长期履行个人信息保护职责的部门对个人信息风险的特点、规律具有敏感性,借助本条可以实现行政部门对个人信息处理活动的风险前协同管控。现代社会是高度分工的社会,公法机关对专门领域治理的参与度逐步提高,已有论者指出,行政规章可以通过影响合同效力参与行业治理。个人信息法律制度是个人权利和国家安全的交织地带,行政监管部门兼具维护国家利益和保护公民权利的职责,已经在部分制度中以多种形式高度参与重要决策,如参与个人信息出境标准合同的效力认定。个人信息泄露风险同样包含危害国家安全的可能性,有必要将公法机关纳入关键决策的中心位置。
综上所述,履行个人信息保护职责的部门与个人对这一通知的利用方式有所不同,履行个人信息保护职责的部门接受这一通知,除确保作为信息主体的个人的知情权外,还具有独立预防损害、激励个人信息处理者的独特作用。因此,对第57条规定的通知制度应区分通知对象进行解释。
(二)解释对象:对照比较法明确可能的争议点
我国关于信息泄露后通知制度的规定起步较晚,哪些制度细节是可能的争议点,需要作出解释或进一步规定,可以从比较法上汲取经验。平衡信息处理者的商业声誉、信息主体的知情权利与公共秩序是各国设立信息泄露后通知规则的共通需求,域外的不同立法虽然在制度功能、具体制度的构建上存在分歧,但也形成了基本共识。域外针对信息泄露通知制度的构建和讨论,主要分为两个层次:一关乎规范目的,特别是在尚未建立起强制性的信息泄露通知制度的阶段,围绕信息泄露通知制度能否、如何发挥对身份盗窃行为的规制作用所展开的对制度功能的讨论。二关乎运行效果,通过对已有的信息泄露通知制度进行反思,围绕如何更好地发挥信息泄露通知义务的制度效果,对需要通知的情形、通知的事项、通知的时间、通知的方式等具体制度展开的讨论。
1.规范目的
从《美国数据泄露通知法》的兴起看,这一制度的初衷是补足传统侵权法应对身份盗窃的短板,为数据消费者提供新的维权途径。21世纪初是美国身份盗窃犯罪愈加严重的时期,在盗取消费者个人信息的黑客被抓获前,消费者只能向疏于保护其个人信息的公司主张责任。此时,传统的侵权诉讼表现出了对受害人保护的无力。美国学者认为,传统侵权诉讼的失灵表现为两个方面:一是由于无法证明公司的安全政策与消费者的损失存在因果关系,消费者常常在侵权诉讼中败诉;二是消费者在实际感知到损害发生前,甚至对信息泄露本身也不知情,更无法主张任何赔偿。
基于此,2003年的美国《加利福尼亚民法典》规定了数据存储实体向消费者告知数据泄露情况的法定义务,引发了美国其余各州纷纷开展数据泄露通知立法。美国各州先后对存储个人信息的主体施加强制性的信息披露义务,意图使个人能够通过修改账户密码、谨慎识别企业身份等方式预防身份盗窃犯罪可能带来的损害。另外,存储个人信息的商业主体对信息泄露的情况进行披露,将导致消费者对其评价降低,客观上也能督促商业主体在客户的个人信息保护上投入更多的成本,提高行业信息保护水平。域外立法希望通过发挥信息泄露通知制度在风险预防和声誉制裁两方面的作用,对传统侵权制度的不足进行弥补。但域外实践表明,在具体制度的构建中,两项制度目标常难以两全。
2.发出通知的情形
发出通知的情形,比较法上称之为通知的“触发阈值(trigger)” ,指的是信息处理者什么情形下应向信息主体通知信息泄露的情况。对触发阈值的规定,直接关联到这一通知制度的适用频次,值得特别讨论。
早期立法模式采取的是“基于信息泄露发生(unauthorized acquisition-based trigger)”的标准,即有可能发生个人信息泄露的,不论这种泄露是否会对信息主体造成实际损害,信息处理者都应当向个人发出通知,2003年《加利福尼亚民法典》的规定是这一标准的代表。另一具有代表性的规定是“基于风险(risk-based trigger)”的标准,即允许在可能发生信息泄露的情况下先进行风险评估,经评估信息泄露可能引发对信息主体的损害的,才需要对个人进行通知,欧盟《通用数据保护条例》在对个人的通知上亦采取了这一标准。
早期信息泄露通知立法试图通过对个人信息处理者处以强制性的通知义务,使其在声誉责任的压力下提高对客户的信息保护水平。支持者认为,较低的触发阈值意味着这一通知被更多地适用,反映了对信息主体较高的保护水平。但更多的反对者指出,较低的触发阈值造成了此类通知的大量泛滥,进而削弱了信息泄露后的通知整体的风险预防作用。批评者们常用“狼来了”的寓言来描述低触发阈值在实践中的缺陷,“正如伊索的著名寓言所说的那样,当人们收到太多的通知时,他们很快就学会了忽视它们,即使在真正危险的情况下也是如此”。这一观点得到了后继立法的支持,美国2015年的《数据安全与泄露通知法》、欧盟《通用数据保护条例》在规定对个人的通知的触发阈值时,都将信息泄露对个人的风险纳入考量。
不过,“可能发生信息泄露”这一事实要素虽然不再成为向个人发出通知的法律要件,但并未在向个人进行信息泄露通知的立法中销声匿迹。从法律督促数据企业为这一通知的有效性来看,支持者们的理由是值得考虑的:在法律有强制性规定要求通知个人的情况下,数据企业也会尝试逃避通知义务;如果采取风险性这种模棱两可的标准,数据企业会更加缺乏主动通知的动机。以美国2015年《数据安全与泄露通知法》和欧盟《通用数据保护条例》作为观察对象,“可能发生信息泄露”的事实仍然被赋予了法律意义,个人信息处理者必须对“可能发生信息泄露”的事实进行应对。美国《数据安全与泄露通知法》将“可能发生信息泄露”规定为数据企业及时开展风险调查的条件,而欧盟《通用数据保护条例》则将其规定为向监管机构进行通知的条件。
总之,比较法经验表明,“基于风险”标准的不确定需要被填补,这种填补方式表现为个人信息处理者即刻开展的风险调查,或者是监管部门的即时介入。
3.信息泄露通知义务的通知方式
(1)通知的事项
为给商业主体提供行为遵循,信息泄露通知规则的建构特别要求标准的明确。不同国家和地区的信息泄露通知法对具体的通知事项的规定不同,但基本依据通知对象为监管机构或个人对通知事项进行了区分。
受通知的主体借助获悉的事实来预防、减轻或避免风险成就所带来的损失,是通知规则发挥价值的方式。在同一事件类型下,个人和监管部门对信息的利用效率和方式显然不同,通知的事项也应有所区别。同时也应注意到,信息披露需要披露方付出成本,也会增加信息接收方在信息市场筛选特定信息的成本。因此,为了确保特定群体在信息市场更容易获得、利用有价值的信息,通知事项应该因人而异,“急人之所急”。
(2)通知的形式
与传统私法领域的通知不同,信息处理者和信息主体通过特定线上服务联结,通常无法进行线下的口头通知。因此,这里的通知通常是线上的、书面的通知。针对通知形式的分歧,主要在于通知是个别发出还是公告发出。
信息主体通常并不是一个专门应对个人信息泄露的人,在实际损害发生前,他对信息泄露事件并不敏感,也不知道会发生个人信息泄露事件。在个人信息处理者的运营网站上发布信息泄露情况、向个人单独发送电子邮件等方式,都无法独立实现有效地向主体传达这一信息的功能。为了确保个人能看到这一通知且引起足够的注意,两种方式通常需要结合进行,如欧盟第29条工作组认为,个人信息处理者有必要在向消费者进行个别通知之外、再借助有影响力的公共媒体提醒潜在的受害人查看这一通知。
提高对通知方式的要求,无疑会抬高数据企业的合规成本。当个人信息泄露事件是由于遭受黑客攻击引起时,适用高成本的通知方式显得缺乏正当性。有学者指出,在第三方侵入数据系统引发信息泄露的情况下,对通知的方式提出过高要求,不过是选择让个人信息处理者这个“受害者”来承担第三方的违法行为造成的损害而已。因此,有立法例规定,当通知的成本过高时,个人信息处理者可以采取替代方式完成通知。
(3)通知的期限
信息泄露后的通知义务主要对损害预防发生作用,比较理想的情况是一经确定有必要向个人发出通知,就立即向个人发出通知。但从域外立法情况看,法律通常难以确定一个短期的、具体的期限。
是否明确规定限制向个人进行通知的时间,存在不同立法模式。《通用数据保护条例》区分规定了向监管机构的通知和向个人的告知,两者的区别在时间要素上体现得很明显:向监管机构发出的通知,原则上应在72小时内作出;而对向个人发出的通知,并未规定明确的时间要求,而是规定了“及时”“毫不迟延”的概括性标准。2015年的美国《数据安全和泄露通知法》对向个人发出的通知规定了明确的时间限制,但也规定了不少例外情况。依其规定,自数据泄露事件发生起算,向个人发出的通知应在三十日内作出,但发出通知会妨害民事或刑事调查、危害国家安全或其他有必要理由的,执法机构可以通过提出书面请求延迟这一通知。《数据安全和泄露通知法》已经规定了三十日的最长期限,又规定了合法延迟向个人进行通知的程序,这从侧面表明关于通知义务的一般立法很难对个人进行通知提出一个明确的时间要求。这种立法现象背后的理由是,过早地对个人进行通知可能会对执法部门履行职责带来阻碍,而执法部门所代表的公共利益应该优于个案中的信息主体的利益得到考虑。
三、《个人信息保护法》第57条的解释方案
(一)对个人发出的通知
1.需要对个人通知的情形
针对通知情形的解释,需要说明两方面内容:其一,第57条规定的通知情形的法定标准;其二,在具体事件中,第57条规定的作出通知判断的程序或法定主体。
《个人信息保护法》第57条第1款没有单独规定通知个人的标准,而对个人或履行个人信息保护职责的部门发出通知的情形统一规定为“发生或者可能发生个人信息泄露篡改、丢失的”。如前所述,比较法上关于通知情形的规定大致分为两类:较为严格的“基于信息泄露发生的标准”和相对宽松的“基于风险的标准”。从本条文义表述来看,我国《个人信息保护法》更偏向于后者,即可能经过个人信息处理者采取必要措施后,信息泄露事件仍然可能对个人造成现实的损害的,才需要通知个人。
为探明第57条规定情形的法定标准,首先应说明什么样的信息泄露对个人是有现实的危害性的。判断信息泄露对个人的危害性是“包含信息泄露对信息主体造成危害的严重性与这种危害实现的可能性在内的综合判断”,需要结合具体的侵权场景进行考虑。本文认为,一个判断信息泄露事件危害性的框架性标准至少应该包含以下要素:(1)泄露的个人信息具有可识别性。这是认定信息泄露事件可能对个人造成损害的一个普遍的、前提性的标准。(2)泄露的个人信息的内容属于敏感个人信息。信息泄露后的通知制度是对个人信息的事后保护,而敏感个人信息的判断“指向法律规制的高反应度”,即“需要特别保护的个人信息”。但需要说明的是,敏感个人信息只能作为认定通知发出的标准,不能认为某信息不属于敏感个人信息,其泄露就不必发出通知。(3)泄露信息的规模,即涉及信息主体的数量而非泄露信息的条目。这是判断事件性质的重要因素。同种类别的个人信息泄露规模的大小不同,可能预示着完全不同的损害类型,某类信息的大规模泄露通常指向对公共利益的侵害,如基因信息的大规模泄露通常被界定为国家网络生物安全事件。通过考察涉及信息主体多寡来对事件进行定性,可以排除某些大规模信息泄露事件中侵害个体的可能性,避免对大量信息主体发出缺乏针对性的通知。(4)信息主体的个体特征,如其应对信息安全风险的能力、社会关系的特殊性等。信息主体对信息安全风险的应对能力越弱,实际损害越有可能发生。相较于神智正常的青壮年人,未成年人、精神病人和老年人应对信息安全风险的能力较弱。当这些群体作为发生信息泄露的信息主体时,不仅有必要对信息主体方进行通知,甚至有必要采取对信息主体本人以外的其他人如监护人进行通知、调整通知的用语使之更加简明等针对这些群体的特别保护措施。此外,欧盟第29条工作组的研究表明,信息主体的个体特征还可以在更加个性化的个人通知场景中发挥作用,如通常情形下,个人姓名、住址信息的泄露不至于构成对信息主体的现实危害,但如果是向某人的亲生父母透露其养父母的姓名及住址就需要特别处理了。(5)个人信息处理者的个体特征,如业务范围、信息处理方式等。在无法查清泄露个人信息的具体内容时,可以通过个人信息处理者的业务范围推断泄露情况。特定类型的个人信息处理者遭遇个人信息泄露事件,通常都会引发对个人权益的损害。例如,在医疗机构的日常诊疗活动中,“患者倾向于持续表达涉及隐私的个人生活细节,从一则诊疗记录中可以找到包括从患者个人的生活习惯到其家庭成员的健康状况等诸多信息”。即便无法查明数据泄露情况,医疗机构遭受个人信息泄露事件本身通常也足以证成对个人的危害性。
仅存在现实的危害性不足以证成强制向个人发出通知的正当性,个人还应有通过个人预防规避此风险的可能。对此,可能有反对观点认为,依据个人信息处理活动的公开透明原则,即便个人无力处理信息泄露事件,也有权对此知情。笔者不持此观点,主要是基于实用主义的考量:脱离了对信息主体具体的人身、财产利益的影响,个人的知情权不应优先保护;再考虑到发生信息泄露事件时,若对每个涉及的信息主体都进行通知,反而引起不必要的社会恐慌,拖累有关部门对信息泄露事件的应对处理,这实际上有悖知情权推动实现的个人信息权益。从通知个人的预防效果考虑,也应该限制对个人无法有效预防的信息泄露事件发出通知。信息主体对个人信息泄露事件的理解能力、处理能力本就较弱,如果不区分个人的预防效果,凡涉及信息主体利益的个人信息泄露事件都对个人进行告知,意味着个人需要筛选、区分自己需要作出应对的事件与仅知情的事件,降低事故应对的效率。这也与第57条第1款关于通知事项的规定不符。依照第57条第1款规定,通知事项包括“个人可以采取的减轻危害的措施”,这表明分析得出个人能否进行有效预防、如何进行有效预防是个人信息处理者而非信息主体承担的义务。如果不考虑个人预防的有效性,可能会复现域外“狼来了”的教训,即信息主体受到了过多自己无能为力的冗杂通知,而对自己可以采取行动减轻损害的通知疏于关注,进而损害了这一通知的风险预防效果。
以上分析表明,判断是否应对个人发出信息泄露的通知,应当判断信息泄露事件是否可能给个人带来损害以及个人是否能有效预防这一损害。实践中,应由谁作出前述判断?这涉及到对第57条第2款的理解。
第57条第2款确立的判断主体规则是,个人信息处理者进行初步判断,履行个人信息保护职责的部门认为个人信息处理者将有危害性的误判为没有危害性的,可以进行更正。反之,实践中是否可能出现个人信息处理者认为应当通知个人,而履行个人信息保护职责的部门认为不应当通知个人的情形?本条第2款仅对个人信息处理者误认为没有必要通知个人的情形规定公法机关可以进行纠正,是考虑到实践中个人信息处理者有隐瞒信息泄露事件的动机、倾向。一项2021年的商业调查显示,以信息泄露数量在20 000条至101 000条的信息泄露事件为统计对象,涉事公司因信息泄露遭受的业务损失表现为客户周转率增加、系统宕机导致的收入损失以及声誉下降导致的获取新业务的成本增加,这部分事故损失平均为161万美元/起。这种声誉压力深刻影响着个人信息处理者面对信息泄露事件的行为逻辑,在信息泄露事件被其他方面公开、出现紧迫、现实的风险之前,个人信息处理者多倾向于不报、漏报,甚至在有法律明确规定未报告的法律责任时也无法扭转这一局面。“这(民权办公室有权对违反HIPAA的行为进行罚款或起诉)并不意味着被入侵组织一定会通知公众,而只是意味着它比其他不适用HIPPA的情况更有动力这么做。”因此,为了避免个人信息处理者这种趋利避害的倾向给个人知情带来阻碍,必须有第三方参与到是否发出通知的决策环节中。
如果个人信息处理者冒着声誉受损的风险决定通知个人,说明经个人信息处理者认定,信息泄露对个人的危害性已经十分紧迫。但这不意味着履行个人信息保护职责的部门无法纠正个人信息处理者作出错误的或不必要的通知的决定。错误判断危害性发出的通知、对个人无法预防的损害发出的通知,都会使通知制度的可信度降低。只有确保个人收到的通知都是与个人利益相关且个人能够有所行动的,作为信息主体的个人才会重视这一通知,而不是将信息泄露的通知遗忘在各类信息的汪洋大海中。
2.通知个人的事项与形式
向个人通知的事项应在第57条第1款的基础上进行限缩解释。第57条采取的是不区分对个人与对履行个人信息保护职责的部门的通知的立法模式,在第57条第1款规定的通知事项也是如此。部分事项仅需要通知相应的公法部门、不必通知个人也是这一立法模式的应有之义。考虑到信息主体应对个人信息泄露的经验不足,应该避免让信息主体在诸多信息中进行筛选和分析。基于此,向个人进行通知的事项为:发生或可能发生信息泄露的种类、对可能造成的危害的说明、个人可以采取的措施和个人信息处理者的联系方式。实际上,将本该在向部门发出的通知中包含的事项传达给个人,反而会起到多不如少、画蛇添足的作用。例如,要求将信息泄露的原因通知给个人,不但会损害通知的可阅读性,还可能会导致信息产业链上下游企业相互推诿、掩盖事故发生的真正原因。
向个人通知的形式应采取个别通知和公告通知相结合的形式。信息主体通常并不是一个专门应对个人信息泄露的人,在实际损害发生前,他对信息泄露事件并不敏感,也不知道会发生信息泄露事件,这一通知很可能被信息主体忽视。从最大化地引起信息主体的注意的角度出发,应考虑如何提高这一通知与其他信息的可区分性。为此,首先考虑的是对信息主体发出个别的通知,以确保信息主体能够看到这一信息。这种方式的不足在于:其一,信息泄露通常不是一两个人的信息泄露,当发生大规模的信息泄露时,这种个别通知难免趋于格式化,从而极大损害通知的可阅读性;其二,规模化的信息泄露难免要采取短信、邮件等非对话形式的通知方式,个人缺乏留意此类通知的契机。为此,在个别的通知之外,个人信息处理者还需要通过更加正式、传播力更强的途径,提醒潜在的受害人查看这一信息。欧盟第29条工作组认为,为了有效将信息泄露的情况传达给最多数的信息主体,个人信息处理者应结合适用“显著的网站横幅、邮政通信和在印刷媒体上投放显著广告”等方式。这种公告通知与个别通知相结合的方式值得借鉴。在我国,可以考虑由履行个人信息保护职责的部门参与到对个人的公告通知过程中,再向个人信息处理者收取通知因此支出的费用即可。相比于个人信息处理者通过网站横幅、邮政和分发印刷广告,官方通告更能引起公众注意。
3.通知个人的期限
向个人作出通知的期限涉及对第57条规定的“立即通知”的解释。如前所述,比较法上也曾规定“毫不迟延”的通知标准,并尝试规定统一的操作时间,但其规范效果不佳。其原因有两方面:(1)从实践情况看,在发现个人信息泄露情况以后,个人信息处理者认定信息泄露原因、采取补救措施的时间在不同事件中差别很大。在不同的个人信息泄露原因、规模下,个人信息处理者的响应时间可能存在很大差别。(2)从制度设计看,是否向个人作出通知的最终决定权在履行个人信息保护职责的部门。国内的理论研究抑或国外的长期实践都表明,个人信息处理者向个人发出通知实际上需要取得相关部门授权。在这种权力分配模式下,通知部门与个人存在确定的先后次序,即先通知履行个人信息保护职责的部门,再通知个人。
鉴于能否、何时取得公法机关的授权往往是制约个人信息处理者对个人发出通知的一个重要因素,域外立法常规定公法部门有权力要求个人信息处理者延迟向个人发出通知。例如,在早期加利福尼亚州的个人信息泄露通知立法中,“有利于刑事侦查”就成为一个要求个人信息处理者延迟通知的法定理由;《通用数据保护条例》的说明中同样指出,判断向个人发出通知的时间时,需要考虑执法部门的利益。如果延误这一通知的例外情形本就难以完成周延的列举,在《个人信息保护法》中规定一个统一确定的时间要求显然意义不大。再考虑到,与个人信息处理者不同,履行个人信息保护职责的部门并没有隐瞒、漏报、迟报信息泄露事件的动机,就更没有必要在《个人信息保护法》中对向个人发出通知的时间作出强制性的规定。
那么,第57条规范文本中的“立即”是否没有对实际操作的指导意义呢?这取决于是将“立即”理解为一个客观的时间界限的规定,还是提示个人信息处理者通知流程的规定。如果是前者,由于个人信息处理者作出通知受到权力机关的制约,这一时间限制实际主要约束权力机关——履行个人信息保护职责的部门多久作出通知或不通知个人的决定,实际影响通知作出的时间。笔者认为,该条的规范目的在于规制个人信息处理者瞒报、迟报个人信息泄露事件的倾向,而不在于对公法机关对个人信息泄露事件进行分析、定性划定时间。因此,“立即”应理解为提示个人信息处理者通知流程,即个人信息处理者在取得履行个人信息保护职责的部门授权后,应毫不迟延地向个人发送通知。
(二)对部门进行的通知
1.通知部门的情形
在对个人的通知规则的解释中,触发通知的标准上采取的是风险标准(risk-based trigger),即信息泄露事件有对个人造成损害的危险性的,才有必要结合个人的预防空间考虑是否向个人进行通知。在向履行个人信息保护职责的部门进行通知时,应采取泄露发生可能性的标准(acquisition-based trigger),即不论是否有损害个人权益的风险,个人信息处理者都应当对履行个人信息保护职责的部门发出通知。
通过对《个人信息保护法》第57条第2款进行解释可以得出这一结论。一方面,第57条第2款将对个人不具有危害性作为豁免向个人进行通知的事由,但未将其作为豁免向履行个人信息保护职责的部门进行通知的事由。另一方面,如前文所述,履行个人信息保护职责的部门实际上是最终决定是否向个人发出通知的主体。这意味,履行个人信息保护职责的部门应当参与对信息泄露事件的个人危害性的判断。个人信息处理者显然不能只报告他认为没有危害性的信息泄露事件,这与第57条确立的规则相违背。
从履行个人信息保护职责的部门的职责角度展开,也可以为这一解释结论提供支撑。履行个人信息保护职责的部门扮演着对个人信息处理者进行声誉评价的角色,个人信息处理者遭受的信息泄露情况直接反映了其在个人信息保护制度上投入的成本。为惩前毖后,敦促个人信息处理者健全预防措施、完善应急预案,即便没有个人可能因此受到损害,履行个人信息保护职责的部门也应对此知情。另外,正如前段讨论的,部分信息泄露事件不会给特定个人带来损害,但可能危及国家公共利益、影响社会安全稳定,此类事件更有向履行个人信息保护职责的部门进行通报的必要。也有论者从我国个人信息保护机构的功能定位出发,指出为确保公权力机关实现对个人信息处理活动的有效监督,《个人信息保护法》第57条的“通知”不是一种形式备案,而是应接受实质指导。因此,不论从公权力机关对个人信息处理者的评价抑或监督功能来说,第57条对部门发出通知的条件都应当采取泄露发生的可能性标准。
2.通知部门的事项
较之作为信息主体的个人,履行个人信息保护职责的部门利用、处理信息的能力更强,利用这一通知实现的利益类型更加丰富。因此,对向履行个人信息保护职责的部门发出的通知应在通知事项上有更多要求,第57条第1款所规定的通知事项,都应在这一通知中得到体现。在以下方面,应与对个人的通知作出区别。
其一,信息泄露的原因。在讨论对个人发出的通知包含的事项时,信息泄露的原因被排除在外,其原因主要是“监控和解决问题的责任属于企业而不是客户”,个人无法也不应借助信息泄露的原因对事件性质、应对方法进行分析。依据第57条第2款,履行个人信息保护职责的部门实际上承担着判断是否有必要通知个人的责任,而个人信息是偶然丢失还是人为窃取对判断信息泄露事件的危害性具有重要影响。
其二,信息泄露的数量。信息泄露的数量可以有两种解释。一是对特定信息主体而言,其个人信息的泄露数量;二是就信息泄露事件整体而言,涉及的信息主体规模。在向个人发出通知时,显然不必告知其有多少人的信息同样受损。而在向履行个人信息保护职责的部门发出通知时,涉及到的信息主体数量同样应该报告。原因在于涉及信息主体的多寡对于信息泄露事件危害性的判断有重要作用。
其三,信息主体、个人信息处理者的特征信息。虽然第57条第1款没有对信息主体、个人信息处理者的特征信息进行规定,但这两类信息也对信息泄露事件危害性的判断有重要作用,应当在向履行个人信息保护职责的部门发出的通知中有所体现。此外,根据《个人信息保护法》第31条第2款的规定,个人信息处理者应当制定处理不满14周岁的未成年人的个人信息的专门规则。当不满14周岁的未成年人的个人信息遭受泄露时,应当将此专门规则一并通知。如果个人信息处理者已经对其采取了较高的保护水平,仍然遭遇了信息泄露事件,表明这次个人信息泄露事件可能具有较高的危害性。
3.通知部门的期限
(1)“立即”向部门发出首次通知
考虑到个人信息处理者具备倾向于不报、瞒报信息泄露事件的行为动机,如果其意图延迟信息泄露事件对外披露的时间,相比于已经取得履行个人信息保护职责的部门的明确授权之后按下不表,其更有可能以事实尚未查清等理由推迟向履行个人信息保护职责的部门发出通知。因此,对于向履行个人信息保护职责的部门发出通知,有必要设置一个明确的时间要求。欧盟《通用数据保护条例》第33条将个人信息处理者向监管机构报告的时间规定为72小时,我国以后也可以在总结实践经验的基础上制定具体实施细则,统一规定向履行个人信息保护职责的部门发出通知的时间。
较之个人信息处理者,公法部门也并不会因为畏惧声誉压力而刻意推迟通知时间,《个人信息保护法》没有必要对公法部门作出决定设置统一的时间要求,交由部门规章进行单独规定是比较合适的做法。
(2)随调查阶段进行补充通知
一方面,个人信息处理者掌握关于信息泄露事件的信息越精确,根据其提供的信息所能得出的防范建议就越可能发挥效果。另一方面,个人越早收到来自个人信息处理者的通知,越有可能赶在实际损害发生前采取有效的预防措施。但实际情况表明,个人信息处理者对信息泄露事件的调查是逐步推进的,为了缓和信息的准确性与时间的紧迫性的矛盾,应当允许个人信息处理者在完成一个阶段的调查后就将其调查结果报告给履行个人信息保护职责的部门。
此外,为了避免试图迟报信息泄露情况的个人信息处理者以事实尚未查清等类似理由推迟向履行个人信息保护职责的部门发出通知,也应明确分阶段作出通知的合法性。
四、个人信息泄露后的通知义务与侵害个人信息的侵权责任
该通知义务是个人信息处理者所负安全保障义务的具体类型。基于个人信息处理者对信息泄露下游损害的可预见性,因未及时履行该义务导致受害人损失发生或扩大,相应主体应承担侵权法上的损害赔偿责任。司法实践中,完成对个人信息处理环节发生信息泄露这一事实的证明对于原告方有较大难度。从第57条的解释结论出发,即便信息泄露未实际发生,个人信息处理者仍负有一定的义务。因此,欲证明侵权责任构成中的违法行为要件,可以围绕第57条考察个人信息处理者的义务履行情况,通过论证个人信息处理者存在第57条规定的作为义务、结合其履行瑕疵的事实,证成侵权责任构成中的违法行为要件,结合责任成立的其他要素确认相关主体的侵权责任。
(一)违法行为的替代证明:从“个人信息处理环节发生信息泄露”到“未依法履行通知义务”
在因个人信息泄露导致的信息主体遭受精准诈骗等财产侵害类案件中,个人信息处理者的责任缺位是司法审判中的一个难点问题。数字社会的一个重要特点是,个人与数据处理者之间存在巨大的“权利鸿沟”,数字诉讼能力的差距是此类“鸿沟”的一个重要表现。实践中原告难以证明“个人信息处理环节发生信息泄露”,法院无法据此认定个人信息处理者的违法行为,进而无法确定其承担损害赔偿责任。然而,证明违法行为不一定要否定个人信息处理活动整体的合法性,其中某个环节存在履行瑕疵也可以说明个人信息处理者存在违法行为,这当然包括第57条规定的通知义务。
就不作为侵权而言,证成违法行为的关键是作为义务的存在。第57条的解释结论说明,个人信息处理者的通知义务先从对履行个人信息保护职责的部门的通知开始;是否对个人进行通知,则包含受通知部门的判断。因此,以确认个人信息处理者是否负有对个人信息泄露的下游损害的赔偿责任为目的,考察个人信息处理者是否履行该义务,应着重考察其是否在法律规定的情形向部门发出通知。在向部门作出的通知的解释中,我们得出结论:如果将第57条的“立即”理解为确定的时间要求,则该时间主要约束个人信息处理者向公法机关发出的首次通知,其具体期限可由未来的规范性文件具体确定。理论上可以继续讨论的问题是该义务的发生时间,即这一期限的起算时间,同时也是个人信息处理者负担作为义务的时间。
从第57条的规范文本出发,该义务产生时为“发生或者可能发生个人信息泄露”。该判断发生在公法部门介入之前,是个人信息处理者独立进行的判断;换言之,判断该义务的产生需要借助部分事实对个人信息处理者的主观状态进行推断。欧盟《通用数据保护条例》第33条将这一义务的产生时间表述为“意识到信息泄露的可能(become aware of it)”时。通常以下事实被认为可以证明个人信息处理者对信息泄露事件具有合理程度的确定性,应当开始起算报告义务的时间:第一,存储个人信息的设备丢失的,不论该设备是否被第三人获取。第二,第三方披露其获取了部分来自个人信息处理者的个人信息,且未获得信息主体同意的。第三,个人信息处理者检测到对其包含个人信息的系统的攻击的。第四,个人信息处理者已经收到来自黑客的威胁的。此外,个人信息处理者收到来自个人、媒体或其他途径的有关信息泄露的投诉或报道的,虽然不会被认定为其已经“意识到信息泄露的可能”,但其应当尽快开展短期调查。否则,也会构成对第33条的违反。
诚如欧盟第29条工作组所言,个人信息处理者何时被认为是“意识到信息泄露的可能”,取决于个人信息泄露的具体情况,难以确定统一的标准。即便如此,证成个人信息处理者对信息泄露知情的主要事实仍可以分为两类:一类是直接证明个人信息处理者知情的,如存储个人信息的设备或系统发生异常,如丢失或受到攻击;另一类是个人信息泄露的情况已经通过其他主体使个人信息处理者知情的,如个人信息处理者接到来自客户的投诉或媒体已经进行相关新闻报道的。只要存在上述事实,就说明个人信息处理者负担一定的作为义务,即便未通知个人,也应该已经通知了负责个人信息保护职责的部门或者开启了与此相关的调查工作。
(二)在侵害个人信息类案件中引入第57条的意义
《个人信息保护法》第57条的解释结论说明,在可能(而非实际存在)存在信息泄露情况的,个人信息处理者也需要履行通知义务;基于此,引用第57条证明个人信息处理者的不作为侵权,就能不再将证明的对象锁定在“存在信息泄露的事实”上,避免法院为在个案中保护受害人承担过重的论证负担。考察我国的司法实践可以发现,前述证成个人信息处理者的通知义务产生的事实在侵害个人信息权益案件中的裁判作用已经得到法院的关注。如“庞理鹏案”中,除双方当事人提交的证据外,二审法院据以认定被告方东航公司等泄露原告的行程身份信息的一个重要依据是,案发前“趣拿公司和东航都被媒体多次质疑存在泄露乘客隐私的情况”。这一做法虽然在个案中保护了信息主体,但备受质疑。有学者指出,这实际上是降低了《最高人民法院关于适用〈中华人民共和国民事诉讼法〉的解释》第108条规定的“高度可能性”标准,而这种证明标准的降低隐含的前提是将两被告人视为一个整体,而在裁判中这一预设的合理性并未得到说明。
假设本案发生在《个人信息保护法》生效以后,法院完全可以借助第57条的规定认定被告的过错。结合多家媒体对被告泄露客户隐私信息的报道、涉案个人信息与被告业务的高度关联性,至少可以认为东航公司已经对可能发生信息泄露知情。如果其既没有向履行个人信息保护职责的部门报告这一情况,也没有及时开展短期调查,显然构成对第57条规定的违反。从证明“存在信息泄露的事实”转为证明“存在违反个人信息处理规则的行为”,就能够回避关键事实的不确定性,实现在个案中保护被害人的裁判效果。
结语
本文围绕《个人信息保护法》第57条确立的个人信息泄露后的通知规则展开论述,主要观点如下。
其一,第57条并未针对通知对象为公法机关抑或个人规定不同的通知规则,但从通知的目的和有效性出发,应当在解释时作出区分。个人对信息的利用能力较弱,为了实现个人风险预防的目标,应当考虑其进行信息筛选的成本对通知的内容、形式进行调整。公法机关具有专门化的优势,除在个人预防的角度承担监督职责外,还需要履行风险研判、联合预防等功能,应基于此提供尽可能完整的信息泄露情况。
其二,在解释上,通知的时间和通知的次序相关联。在部分信息泄露事件中,向个人发出通知不但难以期待个人进行有效预防,反而会增长公众的不安情绪、影响个人信息处理者及公法机关的功能实现。第57条将是否存在这种可能的判断权力交由履行个人信息保护职责的部门,因此在通知次序上应当先向公权力机关发出通知,再向个人发出通知。基于此,对于个人信息处理者而言,第57条规定的通知期限主要约束其向公权力机关发出通知的时间。
其三,第57条确立的通知义务是个人信息处理活动中的一环,对该义务的违反直接与个人遭受信息泄露引发的下游损害相关。在存在信息泄露情节的侵害个人信息权益类案件中,要确定个人信息处理者的责任,相比“个人信息处理环节发生信息泄露”,“对该通知义务的不适当履行”是更精确、也更容易证明的违法行为要件。将第57条引入此类案件的裁判中,既能降低原告的证明难度、有效保护受害人,也可以不突破“高度可能性”的证明标准、减轻法院的论证难度。
因篇幅限制,已省略注释及参考文献。
引注:潘宇:《论信息泄露通知义务及责任——以<个人信息保护法>第57条为中心》,载《河北法学》2026年第4期,第175页-197页。
