李慈强：个人信息保护重在防治结合

加强个人信息保护是网络安全建设的重要议题，也是老百姓关心关注的话题。个人信息涵盖姓名、身份识别代码、联络方式、财产状况、行踪轨迹等内容，具备极强的私密性与人身依附性，直接关系公民的生活安宁与权益保障。

现实生活中，手机APP过度索权、平台违规收集信息、数据泄露事件频发，个人信息被违规收集或泄露，极易诱发电信诈骗、网络盗刷、恶意骚扰等违法犯罪行为，威胁群众人身与财产安全。此外，复杂的隐私政策和维权的高门槛，使得普通人在面对平台时常处弱势。造成个人信息侵权频发的原因是多方面的。例如，公民缺乏应有的信息安全防范意识，易遭遇钓鱼诈骗；企业为牟取不当商业利益违规超范围收集或处理个人信息，导致用户信息被不当披露或者泄露；大数据平台未尽安全保障义务，由此产生的信息安全风险，在平台“风险积聚效应”和“风险涟漪效应”的加持下被无限放大。

保护个人信息，是守护公民合法权益、维护社会秩序稳定的重要举措。于个体而言，防范个人信息侵权能够有效保护个人隐私与人格尊严，避免生活轨迹、消费习惯等被过度采集和滥用，遏制大数据杀熟等乱象。同时，还可防止他人冒名顶替进行违法犯罪活动，避免卷入不必要的法律纠纷。于社会而言，规范网络运营主体的信息处理行为可以遏制信息倒卖黑色产业链的滋生蔓延，净化网络空间生态，促进数字产业的健康发展与社会长治久安。

个人信息保护重在防治结合。为应对频发侵权事件，不能仅依赖特定主体、单一手段来加强个人信息保护，必须树立整体性思维，从防范与治理两方面着手，为个人信息保护筑起法治防线。

从防范的角度来看，公民要强化个人信息保护意识，主动学习侵权防范技巧，警惕各类主体以业务需要为名违规超范围收集个人信息，提升风险识别能力，筑牢自我防护屏障。企业应坚持合法、正当、必要、诚信的原则，遵守个人信息收集与处理的法定边界，依法公示隐私政策及权限授权规则，健全内部信息管控与流程约束机制，从源头上规避个人信息泄露、篡改及毁损风险。大数据平台需建立完备的个人信息分级分类管理体系，严格落实加密存储、去标识化等技术性防护措施，建立常态化合规管理与动态风险排查机制，落实个人信息全生命周期安全防护。国家机关尤其是网信部门应履行法定监管职责，积极开展个人信息保护法治宣传教育，提升全社会信息安全防护素养；严厉打击违规收集、非法处置及不当披露个人信息等违法行为，通过加强监管来确保个人信息安全。

从治理的角度来看，当前个人信息侵权行为呈现出隐蔽化、规模化、产业化的特征，传统的单一规制模式难以满足复合型风险治理需求，需要确立多元协同的系统治理理念，构建企业自治、行业自律、行政监管与司法救济相结合的共治格局。

在企业自治层面，企业在依法享有数据持有、使用和经营权益的同时，也要自觉承担起信息保护的主体责任，健全内部风险排查、权限管控与应急处置机制，从事前防范、事中管控到事后救济，全流程筑牢个人信息安全防线。

在行业自律层面，可借鉴上海市互联网行业个人信息保护自律联盟的有益经验，由行业联盟牵头制定统一的自律公约，形成行业内部自我约束、自我规范、自我监督的治理体系。

在行政监管层面，针对监管职权分散、权责交叉等问题，可依托专项治理统筹机制，组建跨部门的个人信息保护专项工作组，统一执法尺度、协同处置跨领域案件。对大量或高频处理敏感个人信息的主体实行备案准入，强化过程管理，从源头上压实主体责任。

在司法救济层面，针对算法黑箱导致的举证困难，应适度推行举证责任倒置，权利人初步证明损害事实即可推定因果关系，信息处理者则需举证免责事由；完善公益诉讼机制，规范个人信息保护公益诉讼案件办理，履行好公益诉讼检察的法定职责，弥补个体维权乏力的短板。

未来，亟须加强风险预防、健全多元主体协同共治体系，推动个人信息保护向事前防范、事中管控到事后救济全流程发展。在守住个人信息安全底线的同时，统筹兼顾数据要素合规流通与价值释放，实现权利保障、安全规制与产业发展的深度耦合与动态均衡。

（作者系华东政法大学经济法学院副教授）