11月1日起，《中华人民共和国个人信息保护法》正式实施。值此重大节点，记者以“侵犯公民个人信息”、“买卖公民个人信息”等关键词，在裁判文书网上获取了8602份判决书，以此观察2016年至今，相关案件的数量分布、涉案信息量、涉案金额和量刑趋势等，分析结果显示，相关文书数量在2019年达到顶峰，其中超半数个人信息从行业内部工作人员处泄露。（11月1日《南方都市报》）

公民个人信息的泄露与买卖多与“内鬼”有关，这是内在的客观规律，毕竟谁掌握了信息才具备了泄露与买卖的可能。从近些年一些被交易的公民个人隐私信息案件来看，所涉类别基本是公共管理、公用服务、商业服务信息，这些信息被对应的机构所掌握，但被机构相关从业人员所窃取、泄露和交易。这些都说明了公民个人信息源头保护的重要性。

一直以来，针对公民个人信息的保护，停留在个体违法犯罪惩治未端治理格局，并未明确成为机构的法定责任，以及机构从业人员的职业操守，从而缺少前置性的保护。正因如此，由于泄露公民个人信息的隐蔽性，从而使得个人信息“监守自盗”、泄露交易多发频发，沦为侵权的破窗。

日前正式实施的《个人信息保护法》，针对上述问题，设置了“个人信息处理者的义务”专门一章加以明确，其中就规定个人信息处理者应当防止未经授权的访问以及个人信息泄露、篡改、丢失，对个人信息采取相应的加密、去标识化等安全技术措施，并合理确定个人信息处理的操作权限。同时，还相应明确了个人信息处理者未尽保护义务所需承担的法律责任。这些都为个人信息的源头保护扎下了篱笆。

当然，从源头上保护个人信息，还是需要强化法的执行，使得责任落实。一方面是技术防范责任。当下的信息安全形势之所以严峻，很大程度也是互联网技术带来的负面产物，加强信息安全技术防护应与互联网技术的运用同步发展。涉及到公民隐私信息的数据管理，应建立完善的授权凭证与操作监管备案等技术手段，提高信息数据查询获取的门槛，同时，实现防护与监管在技术手段上的内置，让信息数据每一次的操作都有记录，谁操作的、怎么操作的等在系统后台备案，做到清晰可查，大幅度消除信息窃取的隐蔽程度，遏制泄露违法的冲动。

另一方面是行政与民事责任。机构应对公民个人信息安全承担起确切的责任，给信息数据装上安全锁，因技术防护与管理不力，出现比较严重的泄密事件，应当被严查重处，同时，因管理不力导致个人权利受到严重损害的，还应承担相应的民事赔偿责任。某种程度来说，确切的信息安全责任，也是信息采集与管理机构权利与义务的匹配。如此，才能倒逼形成信息防护的动力，改变个人信息“裸奔”的困局。

文/木须虫

图源/视觉中国

编辑/王涵