□ 田 雄
大数据时代的个人信息保护和监管,是世界性的难题。目前全球已有近90个国家和地区制定了个人信息保护法律,个人信息保护专项立法已成为国际惯例。随着互联网等新兴通信方式的挑战,这些法规和标准也在不断完善。
“欧盟指令”实现无间隙保护
在国际组织方面,以欧盟委员会于1995年通过的《关于个人资料处理及自由流通的保护指令》(又称为“欧盟指令”)最为出名。欧盟指令提供的基本框架直接影响欧陆立法。
在保护范围上,欧盟指令将通过非自动方法与自动方法获得的全部与部分个人信息数据都纳入了保护范围之内,做到了无间隙保护。
在数据收集、处理上,欧盟指令严格遵循个人信息主体对信息处理自愿原则,规定没有合法根据,不得处理个人数据;个人数据仅能用于数据主体同意的目的,或者数据收集时数据主体应该合理知悉的目的;处理敏感个人数据时必须得到数据主体的明确同意;数据处理与数据收集目的之间应该具有相关性、合适性;数据处理机构应该采取适当的技术和组织安全措施,以防止处理过程中的风险。
在个人信息主体所享有的权利上,欧盟指令做出了明确规定,具体包括:知情权、进入权、反对权、不受约束权。这些权利保证了信息主体对数据使用者处理数据的用途、目的等具体情况的及时掌握,防止了个人信息被第三方数据使用者恶意篡改、非法使用,能有效杜绝第三方基于商品化目的而加工其个人信息对个人所造成的财产、精神等不良影响。
在司法救济途径上,使得数据主体在权利受到侵害时可以得到司法救济。欧盟指令要求成员国立法除了规定行政救济措施外,还规定了私法救济措施,从而使个人信息主体在权利受到侵害时可以得到更为广泛的救济。
另外,各欧盟国家也分别制定国内的相关法律,如德国的《联邦资料保护法》,法国的《法国自由、档案、信息法》,以及英国的《数据保护法》等。值得一提的是,英国1998年修订了《数据保护法》,它详细规定了在保护个人数据方面的八项基本原则。《数据保护法》通过后,又陆续通过了《通信管理条例》《调查权法》等一系列旨在保护公民个人信息的法律,英国对个人信息管理与规定融入了社会的很多方面。
目前,欧盟已发布全球最严格的个人数据保护法规《一般数据保护条例》(2018年5月25日生效),具有全球适用性,适用于所有为欧盟居民提供商品服务的境外数据处理商,也包括服务于欧洲客户的中国公司。另外,2016年8月1日,欧盟和美国签署的“隐私盾”协议已正式生效,替代了此前的“安全港”协议,提高了个人数据保护水平。根据“隐私盾”协议,用于商业目的的个人数据从欧洲传输到美国后,将适用与在欧盟境内同样的数据保护标准。
美国用多项法规构筑“防火墙”
在基础性立法上,美国早在1974年就已通过生效的《隐私法》对个人信息保护影响最大。该法案对政府部门收集、使用和披露个人信息的方式,以及信息主体的权利都做出了详细规定。其确立的个人信息权利包括:个人信息决定权,即信息主体个人享有决定其个人信息是否被收集、储存和利用的权利;个人信息知情权,即信息主体享有知道政府部门是否保有其个人信息并取得个人信息副本的权利;个人信息更正修改权,即信息主体享有更正自己错误个人信息的权利。但《隐私法》只规范美国公权力机关,不适用于企业。由于规范对象受限,无形中大大减弱了《隐私法》的功能。所以,之后美国逐年将《财务隐私权法》《联邦电子通信隐私权法》《家庭教育权利及隐私权法》等不断补充进来,各州还制定了一些保护本州公民隐私的细化法律。
在普通立法层面,美国则是通过侵权法、合同法或财产法等法律合力,来实现对个人信息的综合保护。在网络信息个人信息保护方面,美国也走在了前端。作为最早对互联网传播内容和网络行为进行监管的国家,美国一直在致力于探索网络时代下个人信息的有效保护。在互联网管理法规的数量上,美国以130多项法规居世界之首,多项法律涉及个人信息保护。比如,《电子通讯隐私法》涵盖了声音、文本、数字化形象传输等所有形式的数字化通讯,该法禁止所有个人、企业和未经授权的政府部门对通讯内容的窃听,禁止对存贮于电脑系统中的通讯信息未经授权的访问及对传输中的信息未经授权的拦截;《金融服务现代化法案》规定了金融机构处理个人私密信息的方式;《金融隐私权法案》对银行雇员披露金融记录,及联邦立法机构获得个人金融记录的方式做出限制;《公平信用报告法-消费者信用保护法标题VI》规范了调查报告机构对报告的制作和传播、对违约记录的处理等事项,明确了消费者信用调查机构的经营方式;《有线通讯隐私权法案》禁止闭路电视经营者在未获得用户事先同意的情况下利用有线系统收集用户的个人信息;《电讯法》规定电信经营者有保守客户财产信息秘密的义务。另外,美国《2009个人隐私与安全法案》建立了风险评估、漏洞检测以及对访问敏感信息的控制和审计标准;《数据泄露事件通报法案》要求联邦政府机构以及业务范围跨州的企业在发生数据泄露事件时必须通知信息可能或已经被访问、获取的所有当事人。
在行业自律层面,美国采取行业自律作为立法外保护网络隐私权的补充,包括:从事网上业务的行业联盟发布本行业网上隐私保护准则;适用于跨行业联盟的网络隐私认证,授权达到其提出的隐私规则的网站张贴其隐私认证标志,以便于用户识别;为鼓励甚至强制推行隐私权保护提供基本的技术支撑。
在司法实践上,美国对于个人信息范围延伸及财产性确认与保护做出了更深、更广的探索,如有些法院已经确认了个人对其医疗信息和测谎记录享有财产权,在个别州的基因立法中已承认个人基因信息是财产权。在加强立法、执法的同时,美国还首创了行业自律模式,即由公司或者产业实体制定行业的行为规章或行为指引,为行业的网络隐私保护提供示范的行为模式。这种行业自律模式更加灵活,对个人信息的保护更具自发性、时效性。
日本探索统分结合的综合性法律体系
日本是电子信息科技高度发达的国家。近10余年,日本探索出统分结合的综合性个人信息保护法律体系,且还在不断改进完善以适应当今大数据时代的需要。
实际上,早在20世纪70年代,日本就开始构筑个人信息保护制度。1975年日本的《关于涉及行政机关等利用电子计算机之隐私保护制度的存在方式的中间报告》指出,行政机关在涉及个人信息的情况下,必须采取适当措施对其进行维持管理。随后出台了《信息公开与个人信息保护审查会设置法》与《关于保护行政机关所持有之个人信息的法律》多部法律。
自2003年以来,日本开始形成一套非常行之有效的个人信息法律体系。该国《个人信息保护法》也在这一年正式实施。这部法典也成为日本保护个人信息安全的核心法律。根据这一法律,日本国家行政机关、独立行政法人和地方公共团体还制定了多项法律和条例,为个人信息保护中遇到的各种具体问题提供法律依据。随着网络技术的不断发展和个人信息外延的不断拓展,日本也对原有的法律进行了修正和优化,《个人信息保护法》也不例外。为了使其更能适应时代的发展需求,日本对这部个人信息保护的核心法律进行了修正,并于2015年5月27日正式颁布实施。
日本政府不但重视法律的健全,还重视提高公民个人信息保护的意识。比如,日本企业对于客户信息管理方面非常严格,从公司发出的邮件,公司管理人员和监管部门都严格审阅。公司的手提电脑一般不允许带出公司,因为一旦存有客户信息的电脑丢失,媒体就会争相报道,给公司带来极其恶劣的影响。个人信息安全意识也渗透到日本人的生活中。例如,日本人在邀请客人参加活动时,主办方会随信附上一张小纸板,并提醒收信人填写完明信片后用纸板覆盖,以此来保护客人的个人信息。