义务|个人信息保护法实施中应引入尽职减责激励_提供商|互联网时代|防沉迷|游

□ 王玥
近日，十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》。该法规定了个人信息处理与跨境的基本规则、个人信息处理活动中相关主体的权利义务以及个人信息保护监督管理等个人信息保护基本制度，为我国的个人信息保护工作搭建了基本框架，标志着我国个人信息保护法治建设进入了崭新阶段。
放眼全球，近期多个国家和地区的个人信息保护立法和修订活动频繁，不断加强对个人信息的保护，但是值得注意的是，大规模数据泄露等侵害个人信息的行为却还呈现大幅增长的趋势。根据Kroll公司2021年发布的数据，从2019年到2020年，全球范围内数据泄露事件增幅达到140％，且伴随着新冠疫情带来的远程办公的增加，不断由互联网等新兴领域向其他传统领域扩散。而波耐蒙研究所发布的报告则显示，在数据泄露中，个人可识别信息是最常受到破坏的记录类型，其损害也最高。另据统计，在我国，仅2020年公安机关就侦办侵犯公民个人信息类案件6524起，抓获犯罪嫌疑人1.3万名。
在当今个人信息保护立法越来越完备的背景下，个人信息保护仍显不足，主要是由于两方面原因：
一方面，个人信息内涵范围广、种类多，以同一个原则或措施针对一类个人信息进行保护可能很合适，但处理另一类个人信息则不然。以敏感个人信息中的生物识别信息为例，尽管人脸和指纹信息都能较好地服务于身份识别的功能，但两者在收集利用方式上存在明显区别：指纹信息的收集和识别需要专业设备和个人的主动配合，个人能够比较明显地感知到指纹信息的被获取和利用。相反，在目前高清视频设备普及的状况下，人脸信息则每天都在被披露，再配合已经在网络上公开的照片、视频等，其被获取和利用都不容易被个人感知。因此，传统的以个人知情同意为基础的个人信息保护措施，在指纹信息的场景下相对而言能够起到保护作用，个人对自己指纹信息的获取和使用还有较好的控制权；而在人脸信息的场景下，对人脸信息获取的控制则不太容易通过知情同意方式来实现。因此，对两者采用同一套措施来保护，就难以实现对人脸信息的有效保护。
另一方面，个人信息利用场景差异大，同种个人信息在不同场景下面临的风险也可能极为不同。例如，个人基因信息在医疗场景下的主要风险是患者的个人信息安全和隐私，而个人基因信息一旦被应用在保险、教育等场景，其主要风险则是歧视等问题，可能被侵害的对象也会从个人扩展到其近亲属，由此产生的风险无法被传统的个人信息保护措施所消解。
因此，在个人信息保护法已经对我国个人信息处理规则和各方主体权利义务搭建好基本框架的基础上，想要实现较好的保护效果，立法的实施应着力于将个人信息处理者从被动应对转变为主动应对的状态。只有负有个人信息保护义务的机构结合自身的个人信息收集和使用，实际积极主动地履行自身义务，承担对个人信息保护实践方面的责任，才能有效扭转个人信息保护中不断产生的法定义务加重而保护效果欠佳的被动状态，达到最大程度地消解个人信息利用过程中对个人可能造成的消极影响、切实保护个人信息相关权益的目的。这就需要在个人信息保护法的实施中引入问责制。
问责制要求主体对其自身遵守法律法规的情况能够作出具体的、可追溯的记录和回应，并能够为这些行为承担责任。在个人信息保护的语境下，问责制的核心在于个人信息处理者有义务向监管机构报告并证明对个人信息的收集利用的合理性，且有义务减轻个人信息利用可能带来的负面影响或者潜在危害。