◆李严 杨向东

（陕西省网络与信息安全测评中心 陕西 710065）

数据收集作为数据处理活动的首个环节，对于所收集信息的安全保障没有明确要求，导致近年来因为个人信息泄漏而造成的安全事件日渐频发，产生的社会不良影响越来越大，群众对于个人信息保护的呼声也是愈发强烈。本文意在讨论在数据收集过程中个人信息所面临的风险隐患以及各国对于个人信息保护方面的政策措施。

1 数据收集过程的个人信息泄漏问题

（1）数据收集者的恶意采集

个人信息的泄漏主要存在于企业或者机构在未经许可、模糊认证或者恶意捆绑的情况下进行的数据收集行为，以及数据控制者以营利为目的故意泄漏或者非法买卖个人信息的行为。

（2）数据主体安全防范意识不强

虽然近年来对个人信息的保障力度在逐渐加大，但是由于目前社会大众的个人信息保护意识还不强，在对自身没有实质性伤害或者个人利益损失的情况下对于这种恶意的个人信息收集行为防备意识依然薄弱。

（3）安全事件发生后责任难以界定

目前出现的因为个人信息泄漏而产生的利益损害存在着损失界定困难的问题，个人信息的泄漏所产生的连带损失非常严重，损失经常存在于经济利益，但是更为严重的是个人信息泄漏对于人格尊严和心理健康的影响。

（4）缺乏专职的安全监管部门

个人信息保护工作不仅仅体现在通过立法对个人信息保护规范、保护范围、处罚方式等进行统一进行明确，还体现在个人信息保护工作的组织机构的保障。欧洲各国已经明确成立了类似于数据保护局和数据保护专员的专职数据保护部门，而我国在这方面还没有成立类似的政府专职监管部门。

2 国内外个人信息保护措施

（1）欧盟制定出台《通用数据保护条例》（GDPR）

欧盟个人信息保护工作早在1980 年就已开始，各成员国陆续颁布了各自国家的个人数据保护法。不过，欧盟内各成员国所制定的不同法律也带来了不利后果，一是各个成员国的公民个人信息保障的水平并不一致，二是企业或机构在欧盟区域内开展数据商业活动时，必须符合各个国家的个人信息保护法。为了克服这些负面影响，欧盟在2016 年正式通过了《通用数据保护条例》，由此也在真正意义上统一了欧盟各国的个人信息安全保障体系规则，确保了执行标准的一致性。

《通用数据保护条例》中关于个人信息保护提出了明确要求，第一是数据确权，明确数据主体的七项有效权利，知情权、访问权、反对权、限制处理权、反自动化决策权、被遗忘权、可携带权。第二是对数据控制者做出严格要求，要求数据控制者设置数据安全保护岗位，并需要制定完善的个人数据保护措施和管理规范。第三是明确设置个人信息保护专职研究机构和行政机构。第四是加大违法收集、处理个人信息行为的处罚力度，截至2020 年因违反《通用数据保护条例》而产生的罚金已累计到4.67 亿欧元。

（2）我国《个人信息保护法》正式施行

为进一步加强个人信息保护法制保障、维护网络空间良好生态，2021 年8 月20 日第十三届全国人民代表大会第三十次会议通过了《中华人民共和国个人信息保护法》（以下简称《个保法》），并于2021年11 月1 日起开始正式施行。《个保法》是中国大陆境内首部完整的关于个人信息保护的法规，即保障了中国大陆境内互联网络快速发展，又与国际个人信息保护政策接轨，是维护国家利益的重要手段。

《个保法》对于数据权利者的各项权利做出了具体规定，“数据权利者有权拒绝、知悉、修正数据处理者对其数据的处理；有权删除存储在数据处理者处的数据；有权要求数据处理者阐明对其数据的处理规则，且数据处理者需要建立有效的机制保障数据主体实现其权利”。同时明确规定了信息处理者的安全保障义务，个人信息处理者必须建立信息保护机制，建立信息保障部门，确定信息保障联系人等。定期对数据合法性进行审核，并针对特殊的个人信息管理活动开展风险评估，在出现重大信息泄漏事件时，应及时履行通知义务。《个保法》也同样对于违规收集、处理个人信息的行为给予极大力度的处罚，除了机构所承担的大额罚款外，对于具体责任人员也有处罚措施，而且还可能面临暂停或者终止提供服务的处罚。

《个保法》规定“国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定，在各自职责范围内负责个人信息保护和监督管理工作。”虽然并没有设置专职个人数据保护管理部门，但是通过各职能部门进行管理更有利于了解各行业现状，并能快速做出正确处置，而且还可以针对各行业特点进行个人信息保护的宣传教育，提升个人、企业机构和政府部门的个人信息保护意识。