论文部分内容阅读
随着网络信息技术的进步和社会信息化程度的不断提高,人们越来越意识到个人信息保护的重要性。如何为个人隐私和信息安全筑起一道保护屏障成为信息时代各国管理机构的一道必答题。
为了确保个人信息的便捷流通与安全使用,世界上许多国家和地区制定了与个人信息保护相关的法律法规和政策。
美国是从法律角度开展个人信息保护最早的国家之一。在个人信息保护方面,美国实施的是“分散立法”模式,主要围绕美国宪法规定的隐私权保护展开立法。
1974年,美国颁布《隐私权法》。该法不但明确了个人信息的概念,还对举证责任、赔偿责任、救济途径等都进行了较为全面的规定。随着个人信息保护的不断完善,如今美国已经形成了政府、电子商务、电信、金融等若干领域的行政法保护体系,通过在部分单项立法中针对一些特定主体行为的方式来保护。如《信息自由法》《驾驶员隐私保护法》《儿童在线隐私保护法》《消费者隐私保护法案》,以及《电子通信隐私法》等。值得注意的是,在立法没有涉及的领域,联邦政府采用了“行业自律”的模式来保护公民隐私。
不过,美国模式仍然存在一定的不足。比如,尽管强调“行业自律”,但毕竟缺少强制力。2018年3月17日,《纽约时报》曝光了一家名为“剑桥分析”的数据分析公司及其关联公司“战略通信实验室”的相关丑闻。据悉,“剑桥分析”曾于2016年美国总统竞选期间为现任总统特朗普提供数据分析服务。《紐约时报》称,这两家公司窃取并私自保留了5000万脸书用户数据。这则报道的弦外之音不言而喻:脸书对于不正当抓取和使用其用户信息是持默许态度的。报道一出,脸书这家早已备受指责的社交媒体巨头再次陷入声讨之中。
“剑桥分析”事件曝光后,美国联邦贸易委员会(FTC)对脸书罚款50亿美元,扎克伯格承诺“对生产产品和运营公司的方式进行重大结构性改革”,并对APP权限做了限制。然而几个月后,媒体又爆出与之合作的100多个第三方应用可能已经通过脸书工程组的编程界面访问了用户的个人数据。这些可能涉及泄露的信息包括了用户姓名和个人图片。由此,“行业自律”模式的弊端再次呈现在世人眼前。
2018年5月25日,欧盟《一般数据保护条例》(GDPR)正式实施。GDPR高度重视个人数据保护与监管,为之设置了一系列的保护门槛和机制,被业界与学界称为“史上最严”的个人数据保护法案。
该条例引入了新的个人信息保护原则,加大了对信息侵权行为的处罚力度。条例规定,数据控制者应在72小时内向监管机构报告个人数据的泄露情况。当数据泄露可能会给数据主体的权利或自由带来巨大风险时,数据控制者必须毫不延误地通知数据主体。对于没有取得用户同意等行为,条例罚款上限是1000万欧元或对企业而言上一年度全球营业收入的2%(两者中取数额大者);对于严重的违法行为,罚款上限是2000万欧元或对企业而言上一年度全球营业收入的4%(两者中取数额大者)。
为加强对欧盟居民个人数据的保护,GDPR采用了“长臂管辖”原则,将适用范围扩大到设立在欧盟境外的企业。条例规定,如果欧盟境外数据控制者或处理者的数据处理行为被认定与欧盟境内经营场所开展的业务存在“无法割裂的联系”,GDPR有权管辖其行为。2019年1月,法国国家信息与通信委员会以违反GDPR第5、6、13、14条关于“未向用户告知其数据如何被收集之规定”为由,对谷歌开出了5000万欧元的罚单。2019年7月,英国通信管理局以数据泄露违反GDPR第32条规定为由,先后对英国航空和万豪国际开出1.83亿英镑和9920万英镑的巨额罚单。
日本是一个信息化程度非常高的国家,近年来滥用甚至盗用个人信息给消费者造成财产或个人隐私损失的恶性案件时常见诸报端。在日本,包含企业或政府等团体的住址在内,泄露的个人信息数量超过了1000万件。
日本保护个人信息的立法起步早,且特色鲜明。对于个人信息的保护,日本采取的是“统分结合”的立法模式。2017年5月30日,日本最新修订的《个人信息保护法》正式实施。该法规定,“在向第三方提供时,应事先征得本人的同意”;“员工以非法获利为目的提供窃取个人信息数据库时,处以1年以下有期徒刑或50万日元以下的罚款(同时对公司课以罚款)”。
根据《个人信息保护法》,个别的政府主体或者民间主体针对特定的领域可以制定个别法或特殊法。如日本信息处理系统中心制定的《关于金融机构等保护个人数据的指导方针》,日本信息处理开发协会制定的《关于民间部门个人信息保护指导方针》。在此基础上,经济产业省制定了《关于民间部门电子计算机处理和保护个人信息的指导方针》,总务省制定了《关于电气通信事业保护个人信息的指导方针》等。
新加坡2012年颁布《个人数据保护法令》,确保公民在个人数据受到侵害时可寻求法律保护。该法令第三部至第六部详细规定了各类机构关于收集、使用或披露个人数据的范围、条件或要求。
法令规定,机构应当在收集个人数据之时或之前,告知个体收集、使用或披露其个人数据的目的;在个体需要的情形下,告知其收集、使用或披露个人数据相关人的业务联系方式。机构未经个体同意自其他机构收集个人数据之时或之前,应当向其他机构提供关于收集目的的充分信息,使对方确定披露是否符合本法。
法令生效以来,新加坡已对未尽到保护个人数据义务或侵犯个人数据的多家机构作出了处罚。其中,处罚最重同时也是影响最大的个人数据遭泄露的案例,是2019年的新康集团集群案。
目前,在个人信息及数据保护法领域,韩国形成了《个人信息保护法》《信息通信网利用促进及信息保护法》及《信用信息的利用及保护法》三法分立的局面。
根据2016年3月韩国修订的《个人信息保护法》第15条至23条,“收集或利用或向第三者提供个人信息时, 必须征得信息主体的同意, 不必要保留个人信息时, 应及时删除”。2016年4月,韩国公布了《信用信息的利用及保护法》的修改草案,规定“经过不可识别处理的个人信息可以无须信息主体的同意而加以利用或向第三者提供”,即经过不可识别处理的个人信息被允许在当初收集和使用目的范围以外使用。同年6月,包括行政自治部在内的韩国政府6大机构共同公布了“个人信息不可识别处理指南”,规定允许不可识别的个人信息作为大数据使用。
对于违反规定的个人信息跨境转移与再转移行为,可能造成用户权利严重侵害的,修正案规定,广播通信委员会可以命令中断转移或再转移,并可以对不履行中断命令的个人信息处理者处以2年以下的有期徒刑或2000万韩元以下的罚款。
编辑:薛华
为了确保个人信息的便捷流通与安全使用,世界上许多国家和地区制定了与个人信息保护相关的法律法规和政策。
美国:实施“分散立法”模式
美国是从法律角度开展个人信息保护最早的国家之一。在个人信息保护方面,美国实施的是“分散立法”模式,主要围绕美国宪法规定的隐私权保护展开立法。
1974年,美国颁布《隐私权法》。该法不但明确了个人信息的概念,还对举证责任、赔偿责任、救济途径等都进行了较为全面的规定。随着个人信息保护的不断完善,如今美国已经形成了政府、电子商务、电信、金融等若干领域的行政法保护体系,通过在部分单项立法中针对一些特定主体行为的方式来保护。如《信息自由法》《驾驶员隐私保护法》《儿童在线隐私保护法》《消费者隐私保护法案》,以及《电子通信隐私法》等。值得注意的是,在立法没有涉及的领域,联邦政府采用了“行业自律”的模式来保护公民隐私。
不过,美国模式仍然存在一定的不足。比如,尽管强调“行业自律”,但毕竟缺少强制力。2018年3月17日,《纽约时报》曝光了一家名为“剑桥分析”的数据分析公司及其关联公司“战略通信实验室”的相关丑闻。据悉,“剑桥分析”曾于2016年美国总统竞选期间为现任总统特朗普提供数据分析服务。《紐约时报》称,这两家公司窃取并私自保留了5000万脸书用户数据。这则报道的弦外之音不言而喻:脸书对于不正当抓取和使用其用户信息是持默许态度的。报道一出,脸书这家早已备受指责的社交媒体巨头再次陷入声讨之中。
“剑桥分析”事件曝光后,美国联邦贸易委员会(FTC)对脸书罚款50亿美元,扎克伯格承诺“对生产产品和运营公司的方式进行重大结构性改革”,并对APP权限做了限制。然而几个月后,媒体又爆出与之合作的100多个第三方应用可能已经通过脸书工程组的编程界面访问了用户的个人数据。这些可能涉及泄露的信息包括了用户姓名和个人图片。由此,“行业自律”模式的弊端再次呈现在世人眼前。
欧盟:出台“史上最严”的个人数据保护法案
2018年5月25日,欧盟《一般数据保护条例》(GDPR)正式实施。GDPR高度重视个人数据保护与监管,为之设置了一系列的保护门槛和机制,被业界与学界称为“史上最严”的个人数据保护法案。
该条例引入了新的个人信息保护原则,加大了对信息侵权行为的处罚力度。条例规定,数据控制者应在72小时内向监管机构报告个人数据的泄露情况。当数据泄露可能会给数据主体的权利或自由带来巨大风险时,数据控制者必须毫不延误地通知数据主体。对于没有取得用户同意等行为,条例罚款上限是1000万欧元或对企业而言上一年度全球营业收入的2%(两者中取数额大者);对于严重的违法行为,罚款上限是2000万欧元或对企业而言上一年度全球营业收入的4%(两者中取数额大者)。
为加强对欧盟居民个人数据的保护,GDPR采用了“长臂管辖”原则,将适用范围扩大到设立在欧盟境外的企业。条例规定,如果欧盟境外数据控制者或处理者的数据处理行为被认定与欧盟境内经营场所开展的业务存在“无法割裂的联系”,GDPR有权管辖其行为。2019年1月,法国国家信息与通信委员会以违反GDPR第5、6、13、14条关于“未向用户告知其数据如何被收集之规定”为由,对谷歌开出了5000万欧元的罚单。2019年7月,英国通信管理局以数据泄露违反GDPR第32条规定为由,先后对英国航空和万豪国际开出1.83亿英镑和9920万英镑的巨额罚单。
日本:采用“统分结合”的立法模式
日本是一个信息化程度非常高的国家,近年来滥用甚至盗用个人信息给消费者造成财产或个人隐私损失的恶性案件时常见诸报端。在日本,包含企业或政府等团体的住址在内,泄露的个人信息数量超过了1000万件。
日本保护个人信息的立法起步早,且特色鲜明。对于个人信息的保护,日本采取的是“统分结合”的立法模式。2017年5月30日,日本最新修订的《个人信息保护法》正式实施。该法规定,“在向第三方提供时,应事先征得本人的同意”;“员工以非法获利为目的提供窃取个人信息数据库时,处以1年以下有期徒刑或50万日元以下的罚款(同时对公司课以罚款)”。
根据《个人信息保护法》,个别的政府主体或者民间主体针对特定的领域可以制定个别法或特殊法。如日本信息处理系统中心制定的《关于金融机构等保护个人数据的指导方针》,日本信息处理开发协会制定的《关于民间部门个人信息保护指导方针》。在此基础上,经济产业省制定了《关于民间部门电子计算机处理和保护个人信息的指导方针》,总务省制定了《关于电气通信事业保护个人信息的指导方针》等。
新加坡:应告知收集、使用或披露的目的
新加坡2012年颁布《个人数据保护法令》,确保公民在个人数据受到侵害时可寻求法律保护。该法令第三部至第六部详细规定了各类机构关于收集、使用或披露个人数据的范围、条件或要求。
法令规定,机构应当在收集个人数据之时或之前,告知个体收集、使用或披露其个人数据的目的;在个体需要的情形下,告知其收集、使用或披露个人数据相关人的业务联系方式。机构未经个体同意自其他机构收集个人数据之时或之前,应当向其他机构提供关于收集目的的充分信息,使对方确定披露是否符合本法。
法令生效以来,新加坡已对未尽到保护个人数据义务或侵犯个人数据的多家机构作出了处罚。其中,处罚最重同时也是影响最大的个人数据遭泄露的案例,是2019年的新康集团集群案。
韩国:允许不可识别的个人信息作为大数据使用
目前,在个人信息及数据保护法领域,韩国形成了《个人信息保护法》《信息通信网利用促进及信息保护法》及《信用信息的利用及保护法》三法分立的局面。
根据2016年3月韩国修订的《个人信息保护法》第15条至23条,“收集或利用或向第三者提供个人信息时, 必须征得信息主体的同意, 不必要保留个人信息时, 应及时删除”。2016年4月,韩国公布了《信用信息的利用及保护法》的修改草案,规定“经过不可识别处理的个人信息可以无须信息主体的同意而加以利用或向第三者提供”,即经过不可识别处理的个人信息被允许在当初收集和使用目的范围以外使用。同年6月,包括行政自治部在内的韩国政府6大机构共同公布了“个人信息不可识别处理指南”,规定允许不可识别的个人信息作为大数据使用。
对于违反规定的个人信息跨境转移与再转移行为,可能造成用户权利严重侵害的,修正案规定,广播通信委员会可以命令中断转移或再转移,并可以对不履行中断命令的个人信息处理者处以2年以下的有期徒刑或2000万韩元以下的罚款。
编辑:薛华