互联网平台保护个人信息安全的路径

　　近日，有媒体报道，学生学习软件“超星学习通”软件数据库信息被公开售卖，超1.7亿条信息疑遭泄露。“学习通”官方微博随后发布声明回应，到目前为止还未发现明确的用户信息泄露证据。鉴于案情重大，已向公安机关报案，警方已介入调查。这为互联网依法保护个人信息安全敲响了警钟。作为个人信息处理的重要主体，互联网平台不仅要依法合规处理个人信息，更应该完善内部相关管理制度和操作规程，全面保护个人信息安全。

　　制定内部管理制度和操作规程。平台应该建立严格的内部管理制度和科学合理的操作规程，将个人信息处理活动纳入法律法规的规定范围。根据《中华人民共和国个人信息保护法》第四条第二款规定，平台的内部管理制度和操作规程，应该覆盖个人信息的收集、存储、使用、加工、传输、提供等全过程。互联网平台应当妥善管理已经收集到的个人信息，应当采取有效措施防止信息泄露，且不得篡改、毁损其收集的个人信息。一旦发生或者可能发生上述情况时，网络平台应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。《信息安全技术 个人信息安全规定》对内部管理制度和操作规程也有相关细化规定，这值得互联网平台借鉴吸收。例如，制定本单位个人信息保护的总体方针和安全策略、相关规章制度和文件，制定本单位工作人员对个人信息日常管理的操作规程等。

　　对个人信息实行分类管理。根据个人信息类别的不同而采取相应的管理制度和管理方法。个人信息保护法对于“敏感个人信息”和“非敏感个人信息”进行分类，要求处理者基于自身业务实践，对个人信息采取不同强度、不同形式的保护。个人信息保护法第二十八条第一款规定：“敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。”该规定明确了敏感个人信息的基本分类，也为敏感个人信息的处理提供了法律依据。敏感信息和非敏感信息的区分，使得处理者应遵循的个人信息处理规则和义务不同，相较于非敏感个人信息而言，敏感个人信息处理者承担着更严格的法律要求。互联网平台作为个人信息处理的重要载体，对于敏感个人信息的处理，应采取更为严密的安全保护措施。为确保信息处理规则的稳定性与可预期性，平台应当明确个人信息的分类保护机制。

　　合理确定个人信息处理操作权限。个人信息的处理者大多数以“组织”形式存在，互联网平台企业也是如此，其运转必须依赖工作人员开展相关工作。如果互联网平台未制定科学、合理、严格的操作权限，其员工处理个人信息时，就容易出现个人信息的非法窃取和泄露。因此，互联网平台必须明确涉及个人信息处理岗位人员的安全管理职责和操作权限。对批量导出、复制、销毁信息进行审查，并采取防止泄密的措施。同时，妥善保管记录用户个人信息的载体，并采取相应的安全储存措施。同时，互联网平台对员工应坚持“最小授权原则”，即被授权访问个人信息的员工只能访问其职责所需的最小和必要的个人信息，且仅具备完成职责所需的最小数据操作权限，从而在最大程度上保护个人信息安全。

　　定期对从业人员进行安全教育和培训。网络信息技术的不断发展以及个人信息保护法律法规的完善，要求信息处理者应定期组织安全教育培训。就互联网平台而言，应结合网络安全法、数据安全法、个人信息保护法等法律法规，对工作人员从法律规定、隐私政策和内部管理等层面进行教育培训，提高个人信息处理活动从业人员的信息安全知识和岗位操作规程水平，切实提升个人信息保护的广度和深度。

　　（作者单位：华东政法大学法律学院）