义务|个人信息保护法实施中应引入尽职减责激励( 二 )_提供商|互联网时代|防沉迷|游

问责制的具体机制包含如下几个层次：第一，处理者向内落实主动履责。个人信息保护问责制要求个人信息处理者在个人信息处理活动前和活动中为实现个人信息保护目的而主动构建机制，确保自己遵循了相关法律的规定，即机构内履责。按照我国个人信息保护法的要求，这些措施大体包括以下几种类型：一是建立透明的内部个人信息保护和隐私政策，由组织的管理层通过并积极推动执行。二是为落实上述政策采取适当且有效的内部程序和机制，其可用于确保对个人信息保护原则和义务的遵守，个人免受个人信息处理活动所产生的风险影响。三是就如何落实上述政策为组织中的所有成员提供相关信息和培训。四是监督和评估上述措施落实的责任应该是最高级别。五是落实纠正个人信息保护违规和其他不合规问题的程序。目前，我国社会面临各行各业的数字化转型，这意味着个人信息保护法也要落实到各传统行业，问责制鼓励个人信息处理者在监管机构个人信息保护合规清单的基础上，根据自己的业务模式对个人信息保护措施进行创新，以适应不同的个人信息保护场景和技术的快速发展，这也有利于保持个人信息保护法的弹性和活力。同时，也要求监管机构的合规清单不能过细，避免带来创新天花板和合规僵化。
【义务|个人信息保护法实施中应引入尽职减责激励】第二，监管机构问责时处理者应向外自证尽职。个人信息处理者对自己采取的个人信息保护措施和过程进行记录，并在必要的情形下向监管机构公开，证明相关措施的落实情况，接受监管机构的外部问责。一旦发生个人信息侵害事件，个人信息保护监管机构需要对个人信息处理者违反法律规定行为进行深入的调查取证，证明其没有履行法律法规所规定的个人信息保护义务，进而作出执法决定。数字经济时代，一旦发生数据泄露等严重侵害个人信息的事件，监管机构的调查工作会涉及对于个人信息处理者各项个人信息保护义务的具体调查，由于个人信息处理者所采用的内部个人信息保护措施、收集利用个人信息的技术手段、机构内的组织结构等都存在重大差异，调查取证本身的技术难度较高且工作量巨大。此外，相当部分的个人信息处理者所提供的服务涉及关键基础设施领域，一旦停止服务会影响社会的正常运转，如通信、金融、电子商务等，不能够停止服务接受长时间的调查取证。自证尽职这一措施能够有效缓解个人信息保护监管机构的执法压力。这样的尽职自证，也可以通过政府引入第三方认证、企业主动参与认证来实现。
第三，监管机构酌定尽职减责激励。通过上述机制的主动落实和记录公开，当发生个人信息侵害事件时，负有义务的个人信息处理者自证尽职合规，一旦监管机构确认个人信息处理者已经根据相关规定履行了法律义务，尽管出现个人信息保护被侵害的情况，但个人信息处理者可以证明其积极考虑了相应活动的个人信息侵害风险，并采取了相应措施，则应当通过减轻责任、从轻处罚、适用简易程序等措施，达成激励个人信息处理者尽可能地主动履行其个人信息保护措施的目标，减轻可能面临的严重法律责任和声誉受损的负面影响。
综上，在我国个人信息保护法即将实施的当下，在具体监管执法实践中引入个人信息保护问责制，能够让个人信息处理者更加关注个人信息能否得到有效保护这一结果，而不是具体的个人信息保护要求，更有利于引导和鼓励个人信息处理者制定超越法律义务的个人信息保护措施，由此能够为个人处理者提供探索降低个人信息利用风险和负面影响措施的制度激励，最大程度地激发个人信息处理者主动进行个人信息保护具体机制建设与创新探索的积极性，为个人信息提供更为有效的保护，切实提升人民群众数字生活的幸福感、获得感。