□特约撰稿 杨尚东

据《南方都市报》等媒体报道，因用户查询接口被恶意调用导致App数据泄露问题，工业和信息化部网络安全管理局近日对新浪微博相关负责人进行了问询约谈，要求尽快完善隐私政策，规范用户个人信息收集使用行为，进一步采取有效措施，消除数据安全隐患。这并非孤例，类似个人信息受到非法侵害的案件近年来屡屡发生。大数据时代，以数据为载体的个人信息带来了创富机会，是大数据新经济产业链条的重要基础资源，个人信息的商业价值、管理功能与日俱增，与此同时，侵害个人信息权益的范围与规模也日益扩大。因此个人信息保护的问题已经成为社会各界关注的焦点。但需注意的是，在现有法律体系框架下，个人信息的保护并不能仅由信息权利人自己独立完成，而是主要借助数据企业、国家等信息持有和管理人的行为而实现。因此，除加强国家管理责任外，也应同时强化个人信息的控制者和处理者的责任。

首先，应制定专门的个人数据保护法。虽然2019年1月，中央网信办、工业和信息化部、公安部、市场监管总局发布《关于开展App违法违规收集使用个人信息专项治理的公告》，决定自2019年1月至12月，在全国范围组织开展App违法违规收集使用个人信息专项治理。但这种“运动式”执法活动难治本，要想彻底杜绝个人信息受到非法侵害的行为，必须制定专门的法律予以规范。比如欧盟发布、实施个人数据保护新规后，效果非常好。

其次，应设置专门的数据保护部门。为加大执行有关个人信息法令的力度，可考虑设置专门的数据保护部门，配置一定执法人员，以此实现对个人信息控制者和处理者行为监督的常态化。类似做法在国外已被广泛采用。例如，澳大利亚、加拿大、新西兰等国设有隐私专员，韩国、新加坡、乌克兰、菲律宾、乌拉圭等国有数据保护官。同时，建立与之配套的制度，如有意保护与默示保护制度、采取数据保护影响评估机制等。通过专门执法，个人信息保护力度将空前加强。

再次，建立严格的处罚机制。对主观恶意违法且造成严重后果的，进行严惩。为此，世界各地都在探索建立严格的处罚机制，以惩戒个人信息控制者和处理者较严重违法行为。比如，《欧盟数据管理条例》（GDPR）规定，当数据控制者实施了严重侵害个人信息安全的行为时将会面临最高达2000万欧元或上一年度全球营业额4%的行政处罚（以较高者为准）。再如美国《加州消费者隐私法》（CCPA）规定，如果由于数据控制者未采取合理有效的措施以保障个人信息的安全，从而导致个人信息被访问和泄露、盗窃或披露，消费者可据此提起民事诉讼，数据控制者将可能支付给每位消费者最高750美元的赔偿金以及最高7500美金的精神赔偿金。大数据环境下，消费者数量众多，其赔偿金的数目总额应该十分惊人。

事实上，个人信息的控制者和处理者大多是资本雄厚的商业团体，他们通过优势的市场地位，能够以低廉的成本占有大量数据。而普通民众因受教育程度、经济水平等方面原因，在信息活动中参与度低，获取数据的意愿也不是特别强烈，因此，法律规范的主要对象应瞄准获取数据意愿强、机会多的商业团体，通过完善的行为规范机制，增大非法侵犯个人信息的成本，从而杜绝类似新浪微博App数据泄露情形的再次发生。

（作者系西南政法大学行政法学院程序法治研究中心研究员）