近日,南都记者独家报道江苏淮安一家足浴店因电脑未设置密码、未建立数据安全管理制度,被当地派出所予以“责令整改和警告”的行政处罚,此事引起多方热议。对此,南都记者采访多位专家,有人点赞支持江苏公安的做法,称执法是最好的普法,一些商户由于缺乏数据安全保护意识,更容易泄露顾客个人信息。也有人持反对意见,认为行政处罚可能给小微企业带来“信用污点”,数据安全监管应当“抓大放小”,避免过度执法,增加合规压力。同时,针对这类小型个人信息处理者的情况,多位专家呼吁尽快制定、出台专门的个人信息保护规则或标准。(9月2日南方都市报)
事实上,相比人们对大厂收集信息的敏感度,小微企业泄露顾客信息更容易被忽视。但由此造成的后果,对个体来说,和大厂泄露用户信息是一样的。南都大数据研究院于2023年8月21日至29日发起的网络问卷调查结果显示:近半数受访者表示自身数据安全意识有所提升,近半受访者对单位学校公开收集个人数据不敏感,近三成受访者未注意公共设备数据安全问题,52.41%的受访者认为维权难度较大。49.43%希望监管部门强化数据安全实时监测和通报预警,呼声最高。超三成半受访者希望增设更多举报渠道、进一步加强数据安全的培训和宣传、推进落实数据分类分级保护制度。由此可见,民意对数据安全执法检查上街头,支持的力量并不小。
最好的办法自然是尽快制定、出台专门的个人信息保护规则或标准,但法规的出台需要一个过程,这个过程中,必须尽量获得个人信息保护治理的足够样本,以使得法规出台后,有一个相对稳定的阶段,而不是朝令夕改。但个人信息保护却等不及。今年5月份以来,江苏公安执法公示平台披露过上百起类似“未履行数据安全义务”的执法案例,处罚对象包括拥有较多敏感数据的物业、房产公司、酒店、医院等。这波执法还走到街边商店,多家超市、理发店、水果店、宠物店、蛋糕店、网吧等也被纳入检查范围。这样“日拱一卒”,尽管很花费力气,但是,如果能规范一家商户,则意味着解决多个家庭的烦恼,可以说功莫大焉。
至于这是否存在过度执法问题从而增加小微企业合规压力,似乎也不用过于担心。从江苏的从处罚结果看,据南都记者统计,绝大多数涉事单位被警方给予警告、责令限期改正的行政处罚,整改期限3天到10天不等。南都记者统计的60起执法案例中,仅有两起开出罚金。其中一起是针对个人,另一起与快递公司有关。
至于一些街边小店和商铺并不清楚“买卖客户信息”的法律风险,不懂设置电脑开机密码、告知用户收集信息行为等,这也不要紧。一方面,监管部门可以发挥社区网格员的作用,先对商户进行上门普法。另一方面,可征集民间电脑高手,经过培训后,让他们作为志愿者指导商户如何通过技术手段来实现加密处理。当然,有专家表示的“其应基于风险规制和分类分级原则,对于不同类型、不同规模的企业设定不同的合规要求,不能简单地将数据安全法个人信息保护法的规定普遍性地适用于所有的小型企业。”确实很有道理,但是饭要一口口吃,只有先从最简单的做起,才能逐步达到分类分级。
当前,新业态、新场景、新现象、新矛盾不断,不管是个人信息保护治理,还是其他的社会治理,基于人民生活更美好需求,不能坐等法律完善了再去治理,而要在不断的治理创新中,为完善法律打下基础。对此,政府和社会要以审慎包容的态度,让参与治理的各方事不避难、义不逃责,敢闯敢试敢为人先,能马上办的就马上办,不能马上办的,通过“有事多商量,有事好商量,有事会商量”尽快办。比如“枫桥经验”,并非一蹴而就的,而是经历了从社会管制经验到社会管理经验,再到社会治理经验的两次历史性飞跃,使“枫桥经验”从浙江的“传家宝”“金名片”上升为全国可复制可推广的社会治理典范。我们也期待江苏这种数据安全执法检查走上街头,通过“日拱一卒”,治理一个规范一个,先实现一个小目标,进而逐步实现大目标的做法,也能成为全国可复制可推广的社会治理典范。
(责任编辑:年巍)