个人信息安全事件的通知义务的建议

个人信息安全事件的危害具有社会性，其处置和危害的消除仅凭个人信息处理者的能力可能很难实现，需要有关主管部门和个人采取必要措施防止危害的发生和扩散。据此，本条要求在发生或可能发生信息安全事件时，应及时通知履行个人信息保护职责的部门和个人，使得部门能够及时了解情况并及时准确有效采取相应的处置监管措施，使得个人及时采取措施降低对自己的不利影响。通知方式上，个人信息处理者可以根据事件紧急和重要情况，采取邮件、信函、电话、推送通知等方式，及时通知个人。难以逐一告知的，应采取合理、有效的方式发布与公众有关的警示信息。

通知的事项包括：一是发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害。即哪些个人信息已经或者可能泄露、篡改或丢失，个人信息安全事件对个人权益已造成或者可能造成哪些危害，个人信息安全事件的发生是因个人信息处理者内部原因还是网络攻击、网络入侵等外部原因。二是个人信息处理者采取补救措施的情况和个人可以采取的减轻危害的措施。通常个人信息处理者采取的措施包括更改系统密码、调整访问权限、修补系统漏洞、提升安全防护措施，通知有关机构对被泄露的个人信息采取删除、阻断传播措施等。个人信息处理者还应当为个人提供可由个人实施的应对措施，如更改账户密码、防范可能出现的非法利用等。三是个人信息处理者的联系方式。向有关主管部门提供联系方式，有助于有关主管部门了解相关情况并及时采取必要措施；向个人告知联系方式，有助于个人了解相关情况并向个人信息处理者寻求相关帮助。

本条对个人信息处理者应在个人信息安全事件发生后多长时间内履行通知义务未作规定，但要求个人信息处理者及时通知，具体时限应根据个人信息安全事件的实际情况以及行业通行做法确定。法律、行政法规对通知时限有规定的，按照其规定执行。欧盟《通用数据保护条例》规定进行报告的时限为知道个人数据泄露时起72小时内。

考虑到个人信息泄露、篡改、丢失的情况各有不同，有些对个人可能造成的危害较轻，个人信息处理者只要及时采取必要措施就能够避免对个人造成损害，在此情况下通知的成本和效益不匹配，还可能因频繁通知带来负面影响。据此，本条第二款规定，个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的，个人信息处理者可以不通知个人。同时，为了避免随意性以及个人信息处理者因自身原因不具备识别危害的能力从而产生危害扩大等后果，本条要求在这种情形下个人信息处理者也应当通知履行个人信息保护职责的部门，履行个人信息保护职责的部门认为可能造成危害的，有权要求个人信息处理者通知个人。

第五十八条　提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当履行下列义务：

（一）按照国家规定建立健全个人信息保护合规制度体系，成立主要由外部成员组成的独立机构对个人信息保护情况进行监督；

（二）遵循公开、公平、公正的原则，制定平台规则，明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务；

（三）对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者，停止提供服务；

（四）定期发布个人信息保护社会责任报告，接受社会监督。

［释义］本条是关于大型互联网平台个人信息保护特别义务的规定。

互联网平台服务是数字经济区别于传统经济的显著特征。互联网平台为商品和服务的交易提供技术支持、交易场所、信息发布和交易撮合等服务。在个人信息处理方面，互联网平台为平台内经营者处理个人信息提供基础技术服务、设定基本处理规则，是个人信息保护的关键环节。提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者对平台内的交易和个人信息处理活动具有强大的控制力和支配力，因此在个人信息保护方面应当承担更多的法律义务。近年来，欧盟提出《数字服务法》和《数字市场法》草案，要求大型互联网平台作为“守门人”，在市场竞争、违法信息处置等方面承担更大责任。本条从个人信息保护方面对大型互联网平台提出更多要求，在其他国家的立法中是没有过的。(www.xing528.com)

根据本条规定，提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者在个人信息保护方面的特别义务包括：

1.成立主要由外部成员组成的独立机构对个人信息保护情况进行监督。这里的“外部成员”，应当是除在该组织担任个人信息保护监督职务外不担任其他任何职务，且不存在其他可能影响其独立判断和执行职务的因素的人员，可类比上市公司的独立监事、外部董事。同时，外部成员应当具备相应的专业知识、能力和经验。由外部成员组成的机构应当独立于组织的经营管理机构以及监督机构，其职责是对个人信息处理者的个人信息保护情况进行监督，不承担个人信息保护的具体事务。

2.遵循公开、公平、公正的原则，制定平台规则，明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务。提供互联网平台服务的个人信息处理者，通常与平台内的商业用户通过制定平台协议的方式，明确平台内商业用户处理个人信息的相关事项以及平台与平台内商业用户共享交换个人信息的相关事项。本项要求大型互联网平台应当遵循公开、公平、公正的原则，制定平台规则，合理确定双方的权利义务和责任，并通过平台规则明确监督平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务，并监督平台内产品或者服务提供者遵守平台规则，履行个人信息保护义务。

3.对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者，停止提供服务。网络安全法等法律要求互联网平台采取必要措施处置利用其平台服务进行的违法信息传播，与此精神一致，本条要求大型互联网平台发挥监督作用，对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者，停止提供服务。

4.定期发布个人信息保护社会责任报告，接受社会监督。企业社会责任是企业在严格履行法定义务的基础上，自愿承担的对利益相关者以及社会公共利益的责任。个人信息处理者依照本法和有关法律法规的规定，负有个人信息保护法定义务，同时也应当在法定义务和标准的基础上为企业持续健康发展和维护社会公共利益的最大化不断提高个人信息保护水平。为推动形成全社会共同努力提高个人信息保护水平的良好氛围，本条要求大型互联网平台定期发布个人信息保护社会责任报告，接受社会监督。

第五十九条　接受委托处理个人信息的受托人，应当依照本法和有关法律、行政法规的规定，采取必要措施保障所处理的个人信息的安全，并协助个人信息处理者履行本法规定的义务。

［释义］本条是关于个人信息处理受托人的个人信息保护义务的规定。

本法没有如欧盟《通用数据保护条例》等国外立法那样使用个人信息控制者与处理者的用语，而是将个人信息处理者界定为在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。同时，本法第二十一条对个人信息处理者委托处理个人信息作出了规定。关于个人信息处理者的个人信息保护义务，本章作出了详细的规定，受托人虽然是按照个人信息处理者的委托处理个人信息，其处理个人信息的活动同样对个人权益有重大影响，应承担相应的义务。

根据本条规定，个人信息处理受托人的义务包括两个方面：一是保护个人信息安全的义务，主要是指本法和网络安全法等法律规定的采取必要组织措施和技术措施，保障所处理个人信息的完整性、保密性、可用性的义务，根据本法第二十一条的规定，在委托处理个人信息的活动中，个人信息处理者应当对个人信息的合法合规性以及个人信息处理的后果承担责任，因此本条没有将个人信息处理的合规保障义务赋予受托人；二是协助个人信息处理者履行个人信息保护义务，主要包括协助个人信息处理者履行合规保障的义务、保障个人信息安全的义务、响应个人行使权利请求的义务、进行个人信息安全事件处置和报告的义务等。