第166页_中国民法典释评·人格权编第166章

    处理者没有采取技术措施和其他必要措施确保其收集、存储的个人信息安全，以致信息泄露、篡改、丢失的，应当依法承担法律责任。例如，在“赵某与北京链家房地产有限公司等一般人格权纠纷案”中，法院明确指出：“链家公司要求经纪人必须将客户的身份证、房产证及合同信息拍照后上传至公司内网。链家公司可以预见，在这样的处理方式下会极大地增加侵犯客户个人信息行为发生的可能性和危险性，而链家公司对此没有采取任何实际有效的操作规程等防范措施予以风险的防控，公司员工可以轻易将业主个人信息泄露用于非法目的。因此，本案侵权事实的发生与链家公司内部对客户个人信息的保护存在监管漏洞直接相关。因链家公司的管理存在过错，其亦应对赵某的个人信息被侵害的损害后果承担侵权责任。”[7]
    （二）采取补救措施的义务
    《民法典》第1038条第2款第2句和《网络安全法》第42条第2款规定，发生或者可能发生个人信息泄露、毁损、丢失的，应当及时采取补救措施，依照规定告知自然人并向有关主管部门报告。这就是所谓的采取补救措施的义务。关于该义务，需要注意以下几点。
    首先，只要发生或者可能发生个人信息泄露、篡改、丢失，处理者就应当及时采取补救措施，至于导致个人信息泄露、篡改或丢失的原因是否可归责于处理者，在所不问。也就是说，即便处理者完全没有任何过错可言，即完全是第三人的行为如黑客攻击造成的，只要发生或者可能发生个人信息的泄露、篡改、丢失，处理者就应当采取补救措施，同时按照规定告知被收集者和向有关主管部门报告。所谓及时，我国法律没有确定具体的时间，欧盟《一般数据保护条例》第32条规定的是72小时。
    其次，及时采取补救措施并不免除处理者的侵权责任。申言之，只要个人信息泄露、篡改、丢失，给自然人造成了损害，处理者即便及时采取了补救措施，那么也只是对于采取补救措施之后基于自然人自身的原因而导致的扩大的损失不承担责任，而对于采取补救措施之前已经造成的损害，依然要承担赔偿责任。处理者如果没有及时采取补救措施或者根本就不采取补救措施，则对扩大的损害也要承担赔偿责任。
    再次，处理者应当依照规定及时告知被收集者，从而促使被收集者提前采取措施避免因为个人信息泄露、篡改、丢失而遭受损害。告知的方式可以是逐一通知，也可以是采取显著的可获知的公告的方式。例如，欧盟《一般数据保护条例》第34条第1、2款规定：“若个人数据泄露可能给自然人权利和自由造成高风险，控制者应当及时向数据主体告知个人数据泄露。本条第1款所述的告知数据主体，应当至少包括本条例第33条第（3）款（b）（c）（d）项所述的信息和措施，并且用清晰易懂的语言描述个人数据泄露的性质。”至于通知的内容，通常应当包括：（1）对个人信息泄露、篡改或丢失的描述，如泄露的原因，被泄露的个人信息的种类等；（2）已经采取的补救措施；（3）可能对自然人造成的危险或损害以及可以采取的预防或减少损害的措施；（4）处理者负责此次事件的人员及联系方式等。
    最后，出现个人信息泄露等事件后，处理者应当向有关主管机关报告。我国没有设立专门的个人信息保护机构，而是依据不同类型的个人信息由不同的部门主管。《网络安全法》第8条第1款规定：国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定，在各自职责范围内负责网络安全保护和监督管理工作。”之所以在出现个人信息泄露等事件后，处理者要向有关主管机关报告，是因为：一方面，个人信息的泄露等事件往往是大规模的，涉及广大人民群众的人身财产安全[8]，主管机关作为个人信息的保护监管机构，应当了解相应的情况，从而采取相应的措施。例如，对出现泄露的处理者要求整改，作出处罚，涉嫌犯罪的，移送犯罪线索给公安机关进行侦查。另一方面，通过掌握每一起个人信息泄露事件，有关个人信息保护机关也可以进一步完善相应的监管措施，包括在将来修订完善的相应的法律法规。
    （撰稿人：程啸）

    * * *

    [1]吴伟光.大数据技术下个人数据信息私权保护论批判.政治与法律，2016（7）.
    [2]该观点是被称为硅谷精神教父、科技商业预言家的凯文·凯利在斯坦福大学的一次讲演中提出的。凯文·凯利斯坦福演讲：现在只是分享时代的早期（2016-01-03）［2017-09-17］.http：//news.cnfol/it/20160103/22046845.shtml.
    [3]个人信息或个人数据的匿名化不同于“假名化”，后者是指对个人数据处理后，在没有特定信息参考（该特定信息被安全地单独保存）的情况下，不能指向特定个人。假名化数据与匿名化数据最大的不同是，前者仍然属于个人数据，仍要适用个人数据保护法。王融.数据匿名化的法律规制.中国征信，2017（3）.
    [4]杨合庆.中华人民共和国网络安全法解读.北京：中国法制出版社，2017：95-96.
    [5]Paul Ohm，Broken Promises of Privacy，57 UCLA Law Review，1701（2010）.
    [6]同①1718.
    [7]北京市朝阳区人民法院（2018）京0105民初9840号民事判决书。
    [8]例如，仅仅在2019年我国就发生多起涉及人数极为众多的个人信息泄露事件，如2019年7月，智能家居公司欧瑞博（Orvibo）的数据库泄露涉及超过20亿条IoT日志；2019年4月，国内多家企业的MongoDB和ElasticSearch服务器因暴露泄露5.9亿份简历；2019年2月，深网视界（AI安防）泄露250万人的人脸数据。2019年国内外数据泄露事件盘点——个人信息保护刻不容缓.http：//blog.nsfocus/inventory-of-data-breaches-at-home-and-abroad-in-2019/.

&n