国外个人信息防护机制?
2020-11-17高荣伟
高荣伟
随着网络信息技术的进步和社会信息化程度的不断提高,人们越来越意识到个人信息保护的重要性。然而,由于管理手段的薄弱,技术手段的缺失,基于智能技术分析和利用后的个人信息经常面临着被滥用或泄露的问题。如何为个人隐私和信息安全筑起一道保护屏障,成为信息时代各国管理机构的一道必答题。
为了确保个人信息的便捷流通与安全使用,世界上许多国家和地区制定了与个人信息保护相关的法律法规和政策。
美国:实施“分散立法”模式
作为当今经济技术强国,美国是从法律角度开展个人信息保护最早的国家之一。在个人信息保护方面,美国实施的是“分散立法”模式,主要围绕美国宪法规定的隐私权保护展开立法。
1974年,美国颁布《隐私权法》(The Privacy Act of 1974)。该法不但明确了个人信息的概念,还对举证责任、赔偿责任、救济途径等都进行了較为全面的规定。随着个人信息保护的不断完善,如今,美国已经形成了政府、电子商务、电信、金融等若干领域的行政法保护体系,通过在部分单行立法中针对一些特定主体行为的方式来保护。如《信息自由法》(Freedom of Information Act)、《驾驶员隐私保护法》(Divers Privacy Protection Act)、《儿童在线隐私保护法》(Childrens Online Privacy Protection Act)、《消费者隐私保护法案》(California Consumer Protection Act),以及《电子通讯隐私法》(Electronic Communications Privacy Act)等等。
值得注意的是,在立法没有涉及到的领域,联邦政府采用了“行业自律”的模式来保护公民隐私。比如1995年发布的《个人隐私与国家信息基础结构》白皮书,提出了企业应遵循“告知”与“许可”两大原则来保护消费者隐私。“行业自律”,顾名思义就是行业的自我监督、自我约束、自我管理。这种政府引导与行业自律的结合,在实践中一定程度上保护了美国公民的个人信息。
美国对隐私权立体式的保护迄今已经成为全球隐私权立法保护的典范,不过,美国模式仍然存在一定的不足。比如,尽管强调“行业自律”,但毕竟缺少强制力。2018年3月17日,《纽约时报》曝光了一家名为“剑桥分析”的数据分析公司及其关联公司“战略通讯实验室”的相关丑闻。据悉,“剑桥分析”曾于2016年美国总统竞选期间为现任总统特朗普提供数据分析服务。《纽约时报》称,这两家公司窃取并私自保留了5000万Facebook用户数据。这则报道的弦外之音不言而喻:Facebook对于不正当抓取和使用其用户信息来操纵总统大选结果的行为,是持默许态度的。报道一出,Facebook这家早已备受指责的社交媒体巨头再次陷入声讨之中。
“剑桥分析”事件曝光后,美国联邦贸易委员会(FTC)对Facebook罚款50亿美元,扎克伯格承诺“对我们生产产品和运营公司的方式进行重大结构性改革”,并对APP权限做了限制。然而几个月后,媒体又爆出与之合作的100多个第三方应用可能已经通过Facebook工程组的编程界面访问了用户的个人数据。这些可能涉及泄漏的信息包括了用户姓名和个人图片。由此,联邦政府“行业自律”模式的弊端再次呈现在世人眼前。
欧盟:出台“史上最严”的个人数据保护法案
2018年5月25日,欧盟《一般数据保护条例》(GDPR)正式实施。GDPR高度重视个人数据保护与监管,为之设置了一系列的保护门槛和机制,被业界与学界称为“史上最严”的个人数据保护法案。
该条例引入了新的个人信息保护原则,加大了对信息侵权行为的处罚力度。条例规定,数据控制者应在72小时内向监管机构报告个人数据的泄露情况。当数据泄露可能会给数据主体的权利或自由带来巨大风险时,数据控制者必须毫不延误地通知数据主体。对于没有取得用户同意等行为,条例罚款上限是1000万欧元或对企业而言上一年度全球营业收入的2%(两者中取数额大者);对于严重的违法行为,罚款上限是2000万欧元或对企业而言上一年度全球营业收入的4%(两者中取数额大者)。
为加强对欧盟居民个人数据的保护,GDPR采用了“长臂管辖”原则,将适用范围扩大到设立在欧盟境外的企业。条例规定,如果欧盟境外数据控制者或处理者的数据处理行为被认定与欧盟境内经营场所开展的业务存在“无法割裂的联系”,GDPR有权管辖其行为。2019年1月,法国国家信息与通信委员会以违反GDPR第5~6条,第13~14条关于“未向用户告知其数据如何被收集之规定”为由,对Google开出了5000万欧元的罚单。2019年7月,英国信息管理局以数据泄露违反GDPR第32条规定为由,先后对英国航空和万豪国际开出1.83亿英镑和9920万英镑的巨额罚单。
日本:采用“统分结合”的立法模式
日本是一个信息化程度非常高的国家,近年来滥用甚至盗用个人信息给消费者造成财产或个人隐私损失的恶性案件时常见诸报端。在日本,包含企业或政府等团体的住址在内,泄露的个人信息数量超过了1000万件。
日本保护个人信息的立法起步早,且特色鲜明。对于个人信息的保护,日本采取的是“统分结合”的立法模式。2017年5月30日,日本最新修订的《个人信息保护法》正式实施。该法规定,“在向第三方提供时,应事先征得本人的同意”;“员工以非法获利为目的提供窃取个人信息数据库时,处以1年以下有期徒刑或50万日元以下的罚款(同时对公司课以罚款)。”
根据《个人信息保护法》,个别的政府主体或者民间主体针对特定的领域可以制定个别法或特殊法。如日本信息处理系统中心制定的《关于金融机构等保护个人数据的指针》,日本信息处理开发协会制定的《关于民间部门个人信息保护指导方针》。在此基础上,除了有通产省、邮政省的制定方针及JIS(日本工业规格)以外,经济产业省制定了《关于民间部门电子计算机处理和保护个人信息的指导方针》,总务省制定了《关于电气通信事业保护个人信息的指导方针》等。
印度:在收集目的和范围内使用
2018年7月27日,印度电子和信息技术部发布《个人数据保护法案》,其中的多数关键内容与GDPR相同或相似。
法案中确认了三个类型的个人数据:个人数据、关键个人数据、个人敏感数据,并规定了不同的出境方案。该法案第九章、第十一章和第十二章就建立数据保护机制,并对财政审计进行了设定。法案规定,“需要在获得被收集者的合法同意之前,才能开始收集个人信息,并且在收集前,企业需要向被收集者发出对应的通知”;“企业在收集了信息后只能在設定的收集目的和范围内进行使用,不得超出该授权范围和授权目的”;“如果信息的使用规定了对应的使用期限,则不能超出该使用期限对信息进行保留。”
第十章和第十三章规定了处罚和罪行,对于不符合要求的情况,提出了最严厉的处罚措施。根据该法案,任何未经客户同意共享客户数据的组织将被处以1.5亿卢比的罚款或占其全球营业额4%的罚款;任何个人数据被侵犯的惩罚最高可达5亿卢比,或该实体上一财政年度全球营业额的2%,以二者中较高的为准;数据泄露的处理、报告延迟将处以5千万卢比的罚款或占全球营业额2%的罚款。
新加坡:应告知收集、使用或披露的目的
新加坡2012年颁布《个人数据保护法令》,确保公民在个人数据受到侵害时可寻求法律保护。该法令第三部至第六部详细规定了各类机构关于收集、使用或披露个人数据的范围、条件或要求。
法令规定,机构应当在收集个人数据之时或之前,告知个体收集、使用或披露其个人数据的目的;在个体需要的情形下,告知其收集、使用或披露个人数据问题之人的业务联系方式。机构未经个体同意自其他机构收集个人数据之时或之前,应当向其他机构提供关于收集目的的充分信息,使该其他机构确定披露是否符合本法。
法令生效以来,新加坡已对未尽到保护个人数据义务或侵犯个人数据的多家机构作出了处罚。其中,处罚最重同时也是影响最大的个人数据遭泄露的案例,是2019年的新康集团集群案。
2018年6月27日至7月4日期间,新加坡健康服务私人有限公司的病例数据库系统遭到网络攻击,黑客从公司数据库中非法访问和复制近150万病人的个人数据和近160万门诊病人的处方记录,导致大规模的病人数据泄露。这是新加坡历史上个人信息泄露最为严重的案件。依据《个人数据保护法令》第24条,新加坡对新康集团下属新康公司和综合健康信息系统公司分别作出了25万新加坡元(约127万元人民币)和75万新加坡元(约380万元人民币)罚款指令。
韩国:允许不可识别的个人信息作为大数据使用
目前,在个人信息及数据保护法律领域,韩国形成了《个人信息保护法》、《信息通信网利用促进及信息保护法》及《信用信息的利用及保护法》三法分立的局面。
根据2016年3月韩国修订的《个人信息保护法》第15条至23条,“收集或利用或向第三者提供个人信息时, 必须征得信息主体的同意, 不必要保留个人信息时, 应及时删除”。2016年4月,韩国公布了《信用信息的利用及保护法》的修改草案,规定“经过不可识别处理的个人信息可以无需信息主体的同意而加以利用或向第三者提供”,即,经过不可识别处理的个人信息被允许在当初收集和使用目的范围以外使用。同年6月,包括行政自治部在内的韩国政府6大机构共同公布了《个人信息不可识别处理指南》,规定允许不可识别的个人信息作为大数据使用。
对于违反规定的个人信息跨境转移与再转移行为,可能造成用户权利严重侵害的,修正案规定,广播通信委员会可以命令中断转移或再转移,并可以对不履行中断命令的个人信息处理者处以2年以下的有期徒刑或2000万韩元以下的罚款。