个人信息保护法草案中的惩罚与赔偿

最近网络安全圈儿刷屏的热点莫过于个人信息保护法草案即将出台了，该草案于10月13日至17日在十三届全国人大常委会第二十二次会议中初次审议。据说个人信息保护法草案共有八章七十条，我在网上只找到了2017年版本，并没有找到最新“八章七十条”版本的内容。

不过这也没什么关系，相信这次审议完后，最新版本很快就能在网上找得到的。既然最新版本没有找到，就根据网上相关文章中的内容，来看看个人信息保护草案中惩罚与赔偿的条款。为什么要看惩罚与赔偿呢？因为无论从监管的角度，还是合规的角度，惩罚与赔偿都是最为关键核心的部分。

01.关于组织机构的违法处罚

违反规定的行为，情节严重的，由履行个人信息保护职责的部门责令改正，没收违法所得，并处5000万元以下或者上一年度营业额5%以下罚款，并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照。

这个处罚力度号称是超过了以严格著称的欧盟《通用数据保护条例》（GDPR），相对于业务规模非常大的组织来讲，这个整体营业额的5%的处罚是比较有震慑力的，但是对于单一业务规模的小型组织来讲，营业额的5%并没有多少，相对来讲吊销业务许可和营业执照作用会更大些，或者根据刑法中的侵犯公民个人信息罪更具威慑性。

02.关于负责人的违法处罚

在对组织机构处罚的基础上，法案规定对直接负责的主管人员和其他责任人员处10万元以上100万元以下罚款。对于个人的处罚力度，100万元的上限在安全处罚里算是比较高了，各组织机构的安全负责人压力会越来越大了。不过也可以从好的方面理解，承担着处罚100万的压力，根据风险与收益成正比的原则，安全从业人员的待遇看来还得涨。

除了这最高100万的罚款外，如果是违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

说直白点，如果只是履行个人信息保护职责不到位罚款就可以了，如果触犯了刑法中的侵犯公民个人信息罪，就会判刑或拘役，并处罚金。

03.关于受害人的民事赔偿

对侵害个人信息权益的民事赔偿，按照个人所受损失或者个人信息处理者所获利益确定数额，上述数额无法确定的，由人民法院根据实际情况确定赔偿数额。

个人信息泄露对于个人的损失在大多数情况下是很难衡量的，而如果个人信息被非法出售的话，个人信息处理者获得了收益，否则个人信息处理者可能也没有获得利益。那么这个赔偿的依据就很难量化了，大多数情况下可能不是很好执行。

关于民事赔偿，应该基于惩罚性的量化计算方法，并且确保每一个被泄露的个人都应获得赔偿。

04.日本个人信息泄露赔偿处罚

最后我们来看下日本关于个人信息泄露损害赔偿的计算方法，这个计算方法是一个在日企的安全负责人在2008年的时候介绍的，十几年过去了不确定有没有过变化，姑且对其中的思路进行一个借鉴吧。

第一步，先计算个人信息泄露事故的评价点数。计算公式是五个计算项的乘积，即：根据泄露信息的内容确定的赔偿额*是否同意提供个人信息*与信息提供者的关系*信息泄露发生企业的社会信用度*事件后的对应态度。每个计算项的评价点数参见下图：

第二步，根据个人信息泄露事故的评价点数，确定每个人的赔偿额。不同评价点数等级对应的赔偿额参见下图：

第三步，根据个人信息泄露的数量，计算总体赔偿金额。假设泄露了100万个用户个人信息，被处以向每用户支付1万日元的赔偿处罚，那总体赔偿额就是100万*1万（没算错的话是100亿）日元。

如果泄露个人信息的数量比较大，泄露的个人信息又比较敏感的话，那赔偿处罚将是天文数字的。

这样的处罚力度，哪个机构敢不重视呢？！

声明：本文来自微言晓意，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。