摘要:数字时代应有效回应信息科技引发的新型信息风险。日益广泛的个人信息处理行为不仅可能会给个人带来多种风险,影响个人人格的全面自由发展,而且可能会对社会与国家造成重大安全隐患。有效保护个人信息,既需要公私主体消极不侵犯个人信息,又需要国家通过不断完善体制机制积极治理信息风险。在风险治理组织上,宜吸收大部制机构改革的历史经验,设立统一的个人信息保护专门机构实施“一站式监管”。在风险预防措施上,应对个人信息进行科学的分类分级以进行不同安全等级的信息风险预防,并以安全与效率的平衡为理念设计个人信息保护影响评估、个人信息出境安全评估等制度。由于个人信息保护执法裁量空间巨大,有必要努力制定个人信息保护处罚裁量基准,并探索执法和解机制以促进企业合规。为了更全面有效地进行信息风险治理,应逐步放宽个人信息保护民事公益诉讼,强化个人信息保护行政公益诉讼。
关键词:信息风险;个人信息保护影响评估;个人信息出境安全评估;风险治理
在传统的自然灾害风险和工业科技风险之外,信息风险成为了数字时代危害最大的新型风险。无论是个人进行日常的工作和生活娱乐,还是数字经济企业开展商业活动,抑或是数字政府提供政务服务或实施行政规制,都无法完全摆脱日益广泛的个人信息处理。信息科技的突飞猛进发展为个人生活带来了极大的便利性,为经济发展赋予了新动能,为国家治理提供了新手段,但同时也给人类带来了新的不确定性。数字时代的信息风险与日俱增,风险治理面临新挑战;如果不采取有效的应对和防范措施,则随时可能对个人、社会和国家造成严重损害。
现今,风险已成为世界各国和地区保护个人信息的新边界和关键指标。在实定法上,欧盟《通用数据保护条例》中“风险”一词多达75次。《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”)第11条明确要求“预防和惩治侵害个人信息权益的行为”,整部法律4处使用“风险”,5处使用“安全评估”,3处使用“影响评估”。2022年12月中共中央、国务院发布的《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》要求“积极有效防范和化解各种数据风险”,建立“安全风险可防范的数据可信流通体系”。“风险和风险管理理念在数据保护领域的重要性呈爆炸性增长”,通过风险治理实现个信息保护的范式转换,可以“帮助社会创建响应系统”。风险治理的方法论可以为信息保护提供“有力的理论工具和切实可行的解决方案”,避免不必要的、可预防的损害,并有助于提高技术创新带来的社会收益。
一、数字时代的新挑战:信息风险
信息风险是由信息处理行为造成的不确定性威胁,也称为信息安全风险。智能科技的广泛应用、大规模监控系统的普遍设立,使得个人信息被收集的范围日益扩张,被处理的频率不断提高。无论是数字经济发展,还是数字政府和数字社会建设,都需要大量个人信息。个人信息主体同个人信息处理者的身份分离已成为常态,几乎每个人都无法完全摆脱自身信息被随时处理的境地。“在发达现代性中,财富的社会化生产与风险的社会化生产系统相伴。”个人信息处理在产生大量社会财富的同时,也引发了日益普遍的信息风险。不适当的个人信息处理不仅可能对个人造成灾难性后果,而且还可能对社会和国家带来重大安全隐患。
(一)个人信息处理对个人的多重风险
不适当的个人信息处理行为可能会给个人带来多种风险,不仅可能对隐私权、人身权、财产权、平等权等大量权利造成不可逆的损害,而且还可能使个人终身处于“信息安全惶恐”的不安状态,阻碍个人健全人格的自由形成。
首先,个人隐私被侵犯的风险。信息科技的快速发展在给人类带来便利性的同时,也使得个人隐私变得岌岌可危。网站运营者收集和处理用户个人信息的实践,在很大程度上处于不为外人所知的“黑箱”状态。移动互联网应用程序强制、频繁、过度索取权限,非法读取照片、窃听谈话、获取地理位置等现象较为常见。数字化使得原本不会留痕的即时沟通,可随时随地留下痕迹而被违法收集。未经同意的拍照、截屏、视频,私人场合的言论,经常被随意发布到网络空间,给当事人造成重大影响。无处不在的个人信息处理行为导致大量的个人私密信息被刺探、侵扰、泄露、公开,从而不仅会破坏个人私生活的安宁,而且还可能导致个人的社会评价降低。
再次,被歧视的风险。无论是人为的信息处理还是自动化决策,都可能产生新的不平等,引发被歧视的风险。“谁拥有了足够的数据,谁就可能占领市场的主导地位。”基于大数据技术的推论分析可以用于推定用户偏好,判断敏感性特征(如种族、性别、性取向),识别观点(如政治立场),有利于实行个性化推荐、提供差异化服务,从而实现商业决策的智能化。然而,“算法黑箱”普遍存在,决定过程的透明度较低,个人信息处理“可用于助推或操纵用户”。数字时代个人的知情权、平等权随时可能被侵犯,多种多样的歧视决定不断产生。
(二)大规模处理个人信息容易引发公共风险
个人信息处理行为还可能引发系统性公共风险。某些个人信息尤其是敏感个人信息、特殊群体的个人信息,事关国家安全等重大利益,“已经超越个体层面而具有特殊的公共利益价值”。大规模处理个人信息,已不只是会对个人造成风险,最终必然给社会和国家造成重大安全隐患。近年来,全球数字贸易呈爆炸式增长,数字经济发展的国际化使得个人信息出境日趋频繁。个人信息出境极易带来不可预测、不可控制的安全风险,不仅可能严重威胁个人的人身、财产、生命安全,甚至还会对一国的经济安全、政治安全、国家安全带来重大威胁。数字时代信息处理的广泛性、互联性和复杂性,增加了个体风险的系统性,进而产生了“去届分化”的社会风险。个人信息的不当利用会影响国家的基本秩序,如选民被操纵、国家秘密被泄露、群体歧视加剧。超级平台对个人信息的垄断会使其利用优势地位攫取垄断租金,压制新创企业的成长和发展,导致经济结构失衡。
一旦大规模个人信息违法跨境流动,将可能对国家公共安全造成重大威胁。如“滴滴出行”上市被罚80.26亿元事件,充分表明个人信息出境的公共风险。2022年2月15日施行的《网络安全审查办法》第7条明确要求:“掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。”互联网企业尤其是关键信息基础设施运营者在境外上市,可能导致大量个人信息被外国政府控制和恶意利用,从而可能带来国家安全风险。
综上,数字时代的信息风险具有极大的未知危害性,可能会对个人、社会和国家造成不可控、不可逆的巨大灾难。我国在线上线下多领域全方位实行实名制,“信息产业野蛮生长,信息买卖畸形繁荣”。由于个人信息处理的普遍性和瞬时性,信息网络传播的广泛性和难控性,强化信息风险治理至关重要。在数字时代,信息风险治理不仅涉及个人权利和人格尊严,关系数字经济的发展壮大,更涉及社会公共安全乃至国家安全。违法处理个人信息的直接后果是使权利被侵害的风险升高,其侵犯的利益是安全,而安全是一种包含人格、财产与公共利益的复合型利益。在信息风险社会,积极构建新型的风险治理体制机制已刻不容缓。
二、风险治理视角下个人信息保护机构的科学设置
组织设置是否科学,直接决定着信息风险治理的效果。我国个人信息保护法确立了个人信息保护分散执法体制,即网信部门“负责统筹协调”,政府部门“在各自职责范围内负责”。虽然个人信息保护分散执法体制有利于发挥不同部门的专业优势,但其存在一些难以克服的弊端。有效治理数字时代无处不在的信息风险,需要吸收我国大部制机构改革的历史经验,借鉴域外的有效做法,设立统一的个人信息保护专门机构,并完善个人信息保护负责人制度。
(一)个人信息保护分散执法体制的弊端
其一,难以消除个人信息保护的部门本位主义。个人信息保护监管权限较为分散,有利于发挥各自的专业优势,但却存在监管标准不统一、协同合作困难等弊端,最终不利于保护个人信息。长期以来,“因分工过细造成部门林立、职责交叉和多头指挥”,部门权力本位主义盛行,将部门利益置于公共利益之上,甚至对其他部门采取不合作、不支持、不协助的消极对策,导致执法效率低下。一些部门更是通过制定规则、标准,将部门利益法制化。《个人信息保护法》第62条规定,国家网信部门统筹协调制定个人信息保护具体规则与标准、推进网络身份认证公共服务建设、推进个人信息保护社会化服务体系建设、完善个人信息保护投诉与举报工作机制。但网信部门的“统筹协调”实际效果究竟如何有待观察。此外,地方网信部门易受地方政府意志的支配,可能产生一定的执法偏差,影响法律效果。
其四,不利于个人信息保护的国际交流与合作。网络具有无界性,个人信息跨境流动日益普遍,单靠本国或本地区的力量越发难以有效保护个人信息。《个人信息保护法》第12条规定:“国家积极参与个人信息保护国际规则的制定,促进个人信息保护方面的国际交流与合作,推动与其他国家、地区、国际组织之间的个人信息保护规则、标准等互认。”在数字贸易蓬勃发展的背景下,个人信息保护机构较为分散,不仅无法形成统一的力量与声音,而且由于缺乏同域外的个人信息保护专门机构相对应的组织,必然导致个人信息保护国际交流与合作效果较差。
综上,个人信息保护分散执法体制,难以消除个人信息保护的部门本位主义,极易导致执法争议和权责不一致,容易诱发执法腐败,不利于个人信息保护的国际交流与合作。个人信息保护执法成效不彰,一些行政执法部门在不作为与运动式执法两个极端之间来回摇摆,缺乏确定性与可预期性。“分散式的监管主体缺乏统一性和独立性,无法有效地统领个人信息保护监管的大局。”
(二)基于风险治理设立统一的个人信息保护机构
设立统一的个人信息保护机构,实施“一站式监管”,可以更有效地进行信息风险治理。通过配备专业的执法人员,可以有效消除多头管理、打破行业藩篱、统一监管标准、形成执法合力。集中化的行政组织通过创设“风险议程”有助于合理确定规制的优先次序,可以更好地配置规制资源,有利于汲取科学知识而不受政治与民意的过度干扰。统一的个人信息保护机构还可以对处理个人信息的国家机关进行有效监督,可以克服政企不分、政事不分带来的个人信息保护不力的弊端。
设立统一的个人信息保护机构,既符合我国多次机构改革的历史实践,也顺应世界趋势。我国一直存在“九龙治水”、多头执法等监管困境,探索多年的大部制机构改革取得了很好的成效,如设立城市管理综合执法部门、行政审批局、国家金融监督管理总局、国家市场监督管理总局。从最初的行政处罚权相对集中到行政许可权相对集中,再到市场监管权的相对集中,都表明监管机构的统一设置可以在某种程度上提高行政效率,消除多头监管、执法扰民等顽疾。从全球范围来看,设立统一的个人信息保护机构已成为世界潮流。如欧盟、英国、日本、韩国等都成立了专门的个人信息保护机构。欧盟《通用数据保护条例》特别要求各成员国建立一个或多个独立的数据保护机构(DPAs),其第六章专门规定“独立监管机构”,对监管机构的独立性、成员任命、规则设立、管辖权限、职责、权力等事项提出了具体要求。
三、信息风险治理措施:效率与安全平衡
(一)作为个人信息保护者的政府:积极预防信息风险
个人信息保护的关键在于信息风险预防。《个人信息保护法》74处使用“应当”,16处使用“不得”,为个人信息处理者设定了大量的义务。政府不仅需要通过制定规则明确个人信息处理者“应当”干什么、“不得”干什么,更应当积极主动作为,努力预防风险。个人信息最终关涉人格尊严,有效保护个人信息,是政府不可推卸的宪法义务。不同于传统的食品药品安全、地震、洪水等风险具有区域性、一次性特征,信息风险呈现无界性、反复性特征,对个人、社会和国家的影响更大。个人信息一旦违法公开即可瞬间在全球广泛持久扩散,潜在危害往往具有不可知性、不可控性和不可逆性。例如,具有直接识别性、不可更改性、不可匿名性等特征的人脸信息,一旦滥用就可能带来“不可小觑甚至是难以估量的”终身风险。如果信息风险转化为现实,就可能导致无法弥补的巨大灾难。《民法典》人格权编注重事先防范和事前预防,是人格权独立成编的重要价值。预防重大风险是当代中国治国理政“底线思维”的要求。在数字时代,政府应当采取多样化措施预防信息风险。
其一,对个人信息进行科学的分类分级,实施不同安全等级的信息风险预防。同一主体不同的个人信息,有着不同的重要性需要差别对待。即使是同一或同类个人信息在多元场景中被处理,也可能引发不同程度的信息风险。“不同类型个人信息的法益属性和保护重心是不一样的,个人信息分类分级具有重要的法益识别和风险防范功能。”为了既能基于场景将信息风险控制在可接受的安全等级水平,又可以促进个人信息的流通利用,应对个人信息进行科学合理的分类分级管理。实行个人信息分类分级管理,是实现个人信息保护和数字经济发展平衡的必然要求。我国网络安全法第21条要求网络运营者“采取数据分类”措施,我国数据安全法第21条明确规定“国家建立数据分类分级保护制度”。《个人信息保护法》第51条只是要求“对个人信息实行分类管理”,删除了《个人信息保护法(草案)》一审稿第50条“对个人信息实行分级分类管理”中的“分级”一词。
在产业数字化、数字产业化的新背景下,只有对个人信息既分类又分级,才更有利于采取同风险程度相适应的风险预防措施。当前对个人信息分级的规定相对匮乏,主要侧重于分类。《民法典》将个人信息分为私密信息和一般个人信息。我国数据安全法区分了重要数据和一般数据。《信息安全技术个人信息安全规范》区分了个人敏感信息和一般个人信息。《个人信息保护法》在一般个人信息之外提出了敏感个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满14周岁未成年人的个人信息。即使同样属于敏感个人信息,但对个人的价值也存在差别,如生物识别信息,相比于金融账户信息,一般更具有重要性。不同类信息和同类信息都可以分为不同等级。
尽管对于个人信息分级存在难度,但个人信息关涉的人格尊严无大小,在个人信息分类的基础上进行分级是必要的。《法治政府建设实施纲要(2021—2025年)》要求根据“风险程度确定监管内容、方式和频次”。为了更好地预防信息风险,除了国家层面应积极探索个人信息的分类分级,还应推动不同部门、行业、地区,结合场景对个人信息进行具体的分类分级。如《金融数据安全数据安全分级指南》《证券期货业数据分类分级指引》《工业数据分类分级指南(试行)》,对数据的分类分级作了较好的尝试。“数据分级分类与开发开放,亦事关数字法治政府建设的成败,理应予以高度重视。”
其三,合理发挥标准对个人信息风险治理的指引功能。标准可以为信息处理行为提供可操作的具体方案,有利于弥补法律之治的缺陷与空白,减少信息风险。如《信息安全技术个人信息安全规范》《App违法违规收集使用个人信息自评估指南》等标准规范,在《个人信息保护法》颁布前,对个人信息保护起到了不可忽略的积极作用。《个人信息保护法》第62条明确要求国家网信部门统筹协调有关部门“制定个人信息保护具体规则、标准”。然而,脱胎于计划经济的标准化体制,受政府影响过大,个人信息保护标准发生了异化,如标准内容法律化、推荐性标准实施过程中被变相强制化、团体标准未经验证而被行业标准吸纳。政府应当抛弃工具主义的管制思维,保障国家标准、行业标准、地方标准等标准制定的科学性与民主性,实现个人信息风险预防法律之治与标准之治的有机结合。
综上,有效保护个人信息需要政府主动作为,积极采取切实可行的措施预防信息风险。然而,强调对信息风险的事前预防,并不等同于应过度运用事前许可手段。信息风险预防需要遵守比例原则、平等对待原则等要求,应当说明理由,保障公众的参与机会,并根据情况变化及时进行评估与调整。在信息风险预防理念上,既不应放任个人信息处理造成的潜在风险而消极不作为,也不能夸大个人信息处理导致的危害而追求零信息风险。为了更好地采取风险治理措施,科学合理的信息风险评估必不可少。
(二)信息风险评估的科学合理展开
1.个人信息保护影响评估的范围不宜过宽
个人信息保护影响评估制度对于信息风险治理具有重要的时代价值。个人信息保护影响评估既有助于全面发现个人信息处理中的风险,以主动及时采取预防措施,也有利于对外展示保护个人信息的努力。然而,我国的个人信息保护影响评估适用范围过于宽泛,这既会给个人信息处理者造成较大的评估成本,同时也会导致评估流于形式。《个人信息保护法》第55条规定了应当事前进行个人信息保护影响评估的五大类情形,不仅涉及面较广,而且也缺乏必要的限定条件。欧盟《通用数据保护条例》在隐私影响评估基础上确立的数据保护影响评估制度,要求如果数据处理行为尤其是在运用新技术可能带来高风险时,应评估可能带来的不利影响。数据保护影响评估所涉及的范围有限,从数据类型、处理数量、处理范围等方面进行了条件限定。我国应不断完善个人信息保护影响评估的范围,注重安全与效率的平衡。
2.保障个人信息出境安全评估的独立性与科学性
个人信息出境安全评估必不可少,但不宜过度强调公共安全。个人信息出境,关涉数据主权。欧盟对数据出境的限制规定,实际上“有利于建立以欧盟规则为蓝本的全球数据治理规则体系,使欧盟成为全球数字经济秩序的引领者”。然而,如果无限泛化公共安全尤其是国家安全,必将导致个人信息出境安全评估被滥用,最终不利于数字经济的全球一体化发展。国家安全概念的不确定性、国家安全审查标准的模糊性、国家安全审查结论的裁量性等原因,使得国家安全审查面临泛政治化的质疑。完善个人信息出境安全评估机制,还需要注意以下几方面问题:一是应防止安全评估流于形式,不断完善评估内容与程序,保障评估的独立性与科学性。对于国家机关向境外提供个人信息的评估,应克服知识局限,积极寻求有关部门的支持与协助;对于私主体向境外提供个人信息的评估,应防止安全评估组织被“俘获”。二是贯彻发展的眼光,风险具有动态性,信息安全保障义务应当贯穿个人信息出境全过程。三是避免造成过大的安全评估负担,合理设定安全评估的具体适用条件,注重用户利益、产业利益、国家安全等多元利益平衡,注重国内市场与国际市场的平衡,注重国内立法与国际规则的平衡。
四、惩治:信息风险损害责任体系的完善
仅靠事前、事中的风险治理措施,还不足以有效保护个人信息,严密的信息风险损害责任体系必不可少。私法责任和刑法责任对信息风险预防存在限度,科学合理的行政处罚责任制度有利于预防信息风险。《个人信息保护法》第11条要求“惩治侵害个人信息权益的行为”,第66条确立了重罚机制,并赋予了行政机关巨大的处罚裁量权。为了防止个人信息保护执法腐败,有必要努力制定个人信息保护处罚裁量基准,并探索执法和解机制。为了更全面、有效地进行信息风险治理,应逐步放宽个人信息保护民事公益诉讼,强化个人信息保护行政公益诉讼。在责任主体上,既要惩治侵害个人信息的私主体,又应惩治违法行使职权或不作为的国家机关公职人员。
(一)信息风险治理中私法责任和刑法责任的限度
我国民法典对个人信息权益保护的私法救济作了较为系统的规定,个人可以根据合同请求权、侵权责任请求权、人格权请求权等,要求个人信息处理者承担私法责任。我国刑法设立了侵犯公民个人信息罪、非法获取计算机信息系统数据罪等罪名,惩治严重的个人信息处理违法行为。然而,通过追究个人信息处理违法行为的私法责任和刑法责任,难以完全达到有效预防信息风险的作用。
二是过度运用刑罚可能会对数字产业的发展造成毁灭性打击。依赖风险刑法虽然可以回应信息风险社会安全之需求,但“又一并带来刑法风险”。当前刑法学界对于“个人信息”的法益属性存在较大争议,对于侵犯个人信息的定罪,涉及侵犯公民个人信息罪、非法获取计算机信息系统数据罪、盗窃罪、职务侵占罪甚至侵犯著作权罪等多种罪名。个人信息犯罪日益“口袋化”,数据法益定位不清,内涵和外延极其模糊。刑法应保持谦抑性,过度运用刑罚可能会对新兴信息科技甚至数字产业造成毁灭性打击。在信息风险治理中,应慎用刑罚。
(二)努力制定个人信息保护处罚裁量基准并探索执法和解机制
为了有效实现过罚相当,应当积极探索个人信息保护处罚裁量基准。裁量基准将法律预先规定的宽泛裁量幅度具体化,将执法的标准客观化,可以降低实际操作的难度系数,有效抵抗“人情风”。近年来,我国已在城市管理执法、道路交通运输、食品药品安全、生态环境保护等多个领域制定了裁量基准,有效地规范了处罚裁量。我国2021年修订的行政处罚法首次将“行政处罚裁量基准”写入中央立法文本,虽然只是“挂了一个名”,但必将“成为发展方向”。尽管我国行政处罚法第34条并未设定强制义务,而是规定“行政机关可以依法制定行政处罚裁量基准”,但为了防止行政机关怠于制定裁量基准,应当借鉴比较法上的经验,将“可以”解释成为一种“法定的努力义务”,要求行政机关就不制定裁量基准作出理由说明。
(三)完善公益诉讼以有力监督个人信息处理者和保护者
个人通过民事私益诉讼保护自身信息存在力量薄弱、诉讼动力不足、集团诉讼缺失等问题,而且个人信息处理违法行为一般具有规模性,涉及社会公共利益,个人信息处理最终可能引发系统性公共风险,个人信息保护公益诉讼必不可少。当前的个人信息保护公益诉讼制度设计没有很好地体现风险预防功能,一是侧重纠正违法行为,二是没有明确规定行政公益诉讼。
《个人信息保护法》第70条规定,个人信息处理者违法“侵害众多个人的权益的”,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以提起诉讼。由此可知,提起个人信息保护公益诉讼的条件是已经发生损害,并且必须涉及众多个人。对于没有发生现实损害但有证据表明“即将侵害众多个人的权益”,或涉及人数较少的违法行为,根据现行规定均无法提起个人信息保护公益诉讼。最高人民检察院发布的《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》,要求对教育、医疗、就业、养老、消费等重点领域处理的个人信息,以及处理100万人以上的大规模个人信息应当重点保护。在判断是否“侵害众多个人的权益的”,不应简单从字面上理解人数“众多”,而应综合考虑受害人数、个人信息种类、受害群体类型、社会危害性等多种因素。
个人信息保护行政公益诉讼必不可少,可以结合我国行政诉讼法第25条第4款的规定大力推进个人信息保护行政公益诉讼:“人民检察院在履行职责中发现生态环境和资源保护、食品药品安全、国有财产保护、国有土地使用权出让等领域负有监督管理职责的行政机关违法行使职权或者不作为”,检察院依法向法院提起诉讼,个人信息保护属于“等领域”。在个人信息保护领域负有监督管理职责的行政机关违法行使职权或者不作为,致使国家利益或者社会公共利益受到侵害的,检察院应当先向行政机关提出检察建议,行政机关仍不依法履行职责的,应当向法院提起诉讼。行政机关在个人信息保护中违法行使职权,包括超出履行法定职责所必需的范围和限度处理个人信息、违法进行安全评估、处罚不公正、滥用职权、徇私舞弊等情形;不作为包括不采取必要措施保障所控制的个人信息安全、不积极制定必要的个人信息处理规则与标准、不及时惩治个人信息处理违法行为、玩忽职守等情形。应对“履行职责中”作扩大解释以突破被动发现、刑民之间内部转化的线索困局、优化诉前程序规则、完善检察机关调查取证举措、强化同个人信息保护组织之间的双向互动机制,不断完善个人信息保护行政公益诉讼。
五、结语
当前方兴未艾的信息科技革命既给人类创造了重大机遇,同时也带来了巨大的不确定性。无处不在的个人信息处理行为,不仅可能引发隐私被窥探、人身与财产等权利受侵犯、身份被歧视等多种风险,最终可能影响个人人格的全面自由发展,而且还会对社会公共安全、国家安全造成重大隐患。科技理性存在“经济短视”,过于盲目追求生产力优势,无法应对不断增长的风险威胁。数字时代的信息风险亟待法治进行有效回应,不断完善以风险治理为路径的个人信息保护体制机制至关重要。
信息风险治理是国家治理的重要组成部分。《国民经济和社会发展第十四个五年规划和2035年远景目标纲要》明确提出,“把安全发展贯穿国家发展各领域和全过程,防范和化解影响我国现代化进程的各种风险”。在当下我国正加速推进国家治理现代化的背景下,一个不可忽视的重要方面就是推进风险治理现代化,全面提升防范应对各类风险挑战的治理能力迫在眉睫。在信息风险社会,只有以风险治理理念积极构建科学合理的个人信息保护体制机制,才能更有力地保护个人信息,才能更有效地推进国家治理体系和治理能力现代化。然而,在信息风险治理目标上,不应追求零风险,而应将信息风险控制在社会公众可接受的水平上,以实现安全与发展、监管与创新的平衡。虽然《个人信息保护法》已经体现了风险治理理念,但在体制机制方面还存在很大的优化空间。未来如何不断健全个人信息保护的风险治理制度,以有效实现《个人信息保护法》明确规定的“预防和惩治”的总体要求,需要理论界与实务界不懈努力。