行業(yè)動態(tài)

《個人信息與隱私保護法律法規(guī)現(xiàn)狀》報告

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2017-07-02    瀏覽次數(shù):
 

信息來源:安全牛


前言

隨著我國信息化建設(shè)的不斷推進和互聯(lián)網(wǎng)應(yīng)用的日趨普及,在推動社會發(fā)展和技術(shù)變革的同時,也為企業(yè)和個人信息保護帶來了新的挑戰(zhàn)。特別是近些年,個人信息在被各類主體挖掘和利用的同時,因個人信息泄露所引發(fā)的侵權(quán)、欺詐等信息犯罪行為日益嚴重,已為全社會造成了巨大損失,嚴重影響了社會安定。

對此,國家陸續(xù)頒布、實施了一系列法律、規(guī)范。特別是將于2017年6月1日正式實施的《中華人民共和國網(wǎng)絡(luò)安全法》,強調(diào)了中國境內(nèi)網(wǎng)絡(luò)運營者對所收集到的個人信息所應(yīng)承擔(dān)的保護責(zé)任和違規(guī)處罰措施。

相較國內(nèi)而言,歐美、日本和香港地區(qū)個人信息與隱私保護立法、實踐較為完善,內(nèi)容較為全面,特別是美國相關(guān)的立法原則成為了全球大多數(shù)國家、地區(qū)和國際組織個人信息與隱私保護法律、規(guī)則的參考原則。盡管我國已制定或修訂了包含個人信息保護的多項法律、法規(guī)及行業(yè)規(guī)范,但是,專項個人信息保護法律制定的重要性和緊迫性仍不言而喻。因此,我們應(yīng)立足國情,從實際情況出發(fā),學(xué)習(xí)和借鑒國外及港澳臺地區(qū)立法與實踐經(jīng)驗,制定符合自身發(fā)展需要的個人信息保護法律,完善法律體系。

關(guān)鍵發(fā)現(xiàn)

 國際個人信息與隱私保護典型的法律模式以歐盟、美國和日本為代表。歐盟采用統(tǒng)一立法模式,通過制定綜合性的個人信息保護法律對個人信息全生命周期進行管理;美國采用分散立法和行業(yè)自律相結(jié)合的模式,對個人隱私保護進行分散立法;日本則以專項保護法律為核心,同其他法律共同構(gòu)成個人隱私保護法律體系。

 國際通行的個人信息保護原則以美國《公平信息實踐》(FIPs)為參考,最終形成公開性原則、限制性原則、數(shù)據(jù)質(zhì)量原則、責(zé)任與安全原則和個人信息權(quán)利保護原則等五大原則。

√國內(nèi)對于個人信息保護的法律目前由具體的法律、行政法規(guī)、地方性法規(guī)和規(guī)章、各類規(guī)范性文件和部門規(guī)章等共同組成,形成多層次、多領(lǐng)域、內(nèi)容分散、體系龐雜的個人信息保護模式,但尚未制定專項的《個人信息保護法》,立法工作進程有待快速推進。

√ 個人信息在網(wǎng)絡(luò)日趨普及、云計算和大數(shù)據(jù)背景之下,特別是由于信息安全技術(shù)漏洞的出現(xiàn)和管理不當(dāng)造成個人信息泄露和非法使用,個人信息犯罪案件頻發(fā)。

引言

在當(dāng)前信息社會,個人信息已成為一種重要的社會資源。隨著數(shù)字時代的到來,數(shù)字化信息處理日趨普遍。對于個人信息處理而言,人們在享受數(shù)字化所帶來的諸多便利同時,也面臨著由個人信息數(shù)字化所帶來的風(fēng)險。特別云計算、大數(shù)據(jù)等高新技術(shù)的發(fā)展,如何保護個人信息已成為現(xiàn)代社會所面臨的挑戰(zhàn),并成為一個全球性的法律問題。因此,個人信息保護立法工作成為各國的主要立法運動之一對于引導(dǎo)公民權(quán)利意識,規(guī)范政府和社會行為,明確不法侵害,保護個人權(quán)益都具有重要意義和作用。

一、個人信息與隱私的關(guān)系

1. 個人信息的概念與分類

1.1 個人信息的概念

個人信息是指與特定個人相關(guān)聯(lián)的、反映個體特征的具有可識別性的符號系統(tǒng),包括個人身份、工作、家庭、財產(chǎn)、健康等各方面的信息。

從各國立法看,學(xué)界目前比較一致的看法是,個人信息的概念始于1968年聯(lián)合國“國際人權(quán)會議”中提出的“資料保護”。

目前,世界各國立法主要使用三種概念:個人數(shù)據(jù)、個人隱私與個人信息。以“個人數(shù)據(jù)”稱謂的主要以歐盟成員國及受其影響較大的國家,如1978年法國《資料保護法》、挪威《資料登錄法》和2016 年歐盟新通過的數(shù)據(jù)保護法案《通用數(shù)據(jù)保護指令》(General Data Protection Regulation,GDPR);以“個人隱私”稱謂的主要有普通法國家,如1974年美國《隱私權(quán)法》、1987年加拿大《隱私權(quán)法》和1988年澳大利亞《隱私權(quán)法》;使用“個人信息”概念的,如1978年奧地利《信息保護法》、1999年韓國《公共機構(gòu)之個人信息保護法》,以及1999年俄羅斯《俄羅斯聯(lián)邦信息、信息化和信息保護法》等;也有將個人信息與個人數(shù)據(jù)共同使用的國家,如日本2005年4實施的《個人信息保護法》,而1980年9月由經(jīng)濟合作與發(fā)展組織(OECD)理事會通過的《關(guān)于隱私保護與個人數(shù)據(jù)跨國流通指南》則同時使用了“隱私”和“個人數(shù)據(jù)”兩種概念,2010 年 4 月 27 日,我國臺灣地區(qū)出臺的《個人資料保護法》則用“個人資料”來定義個人信息,我國香港地區(qū)實施的《個人資料(隱私)條例》,則以資料、隱私來概括個人信息。

由我國社會科學(xué)院法學(xué)研究所周漢華研究員牽頭負責(zé)的個人數(shù)據(jù)保護法研究課題組所起草的《中華人民共和國個人信息保護法(專家建議稿)》以及由廣西大學(xué)法學(xué)院齊愛民教授所擬定的《中華人民共和國個人信息保護法示范草案學(xué)者建議稿》所使用的概念均為“個人信息”。

國內(nèi)學(xué)界有觀點認為“個人信息”是指一切可以識別本人的信息的總和,也有觀點認為個人信息包括所有與個人有關(guān)的信息,具體包括:身體物理特征;感情、思想與觀點;經(jīng)濟與財產(chǎn)狀況;生活方式;身份信息;家庭與社會關(guān)系;職業(yè)經(jīng)歷、簡歷和個人檔案資料;健康狀況與病歷;個人通信、日記和其他私人文件;其他所有純屬私人內(nèi)容的個人數(shù)據(jù)資料。還有觀點認為個人信息則是指那些能夠據(jù)此直接或間接識別出特定自然人身份的信息,在現(xiàn)實生活中它往往需要通過諸如姓名、肖像、聲音(聲紋)、指紋、基因編碼、身份證號碼、各種與特定主體身份緊密相關(guān)的通信號碼等各種符號、標(biāo)識和載體而表現(xiàn)出來。

總體而言,個人信息涵蓋內(nèi)容非常廣泛。

依據(jù)《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第一條規(guī)定,“刑法第二百五十三條之一規(guī)定的‘公民個人信息’,是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息,包括姓名、身份證件號碼、通信通訊聯(lián)系方式、住址、賬號密碼、財產(chǎn)狀況、行蹤軌跡等?!?/span>

1.2 個人信息的分類

根據(jù)不同的標(biāo)準(zhǔn),個人信息可以劃分為不同的類別:

  • 以能否直接識別本人為標(biāo)準(zhǔn),個人信息可以分為直接個人信息和間接個人信息。直接個人信息,是指可以單獨識別本人的個人信息,如身份證號碼、基因等;間接個人信息,是指不能單獨識別本人,但和其他信息結(jié)合可以識別本人的個人信息。
  • 以個人信息是否涉及個人隱私為標(biāo)準(zhǔn),個人信息可以分為敏感個人信息和瑣細個人信息(trivial data)。敏感個人信息,是涉及個人隱私的信息。根據(jù)英國1998年《資料保護條例》的規(guī)定,敏感個人信息是“由資料客體的種族或道德起源,政治觀點,宗教信仰或與此類似的其他信仰,工會所屬關(guān)系,生理或心理狀況,性生活代理或宣稱的代理關(guān)系,或與此有關(guān)的訴訟等諸如此類的信息組成的個人資料”?,嵓殏€人信息是指不涉及個人隱私的信息。根據(jù)瑞典《資料法》的規(guī)定,瑣細信息是指“很明顯的沒有導(dǎo)致被記錄者的隱私權(quán)受到不當(dāng)侵害的資料”。這點同我國《信息安全技術(shù) 公共及商用服務(wù)信息系統(tǒng) 個人信息保護指南》中對于個人信息的劃分基本一致,即分為個人敏感信息和個人一般信息。
  • 以個人信息的處理技術(shù)為標(biāo)準(zhǔn),可以將個人信息劃分為電腦處理個人信息與非電腦處理個人信息。
  • 以個人信息是否公開為標(biāo)準(zhǔn),可以分為公開個人信息和隱秘個人信息。公開個人信息,是指通過特定、合法的途徑可以了解和掌握的個人信息。隱秘個人信息和公開個人信息對應(yīng),是指不公開的個人信息。這種分類的法律意義在于,公開個人信息無論是否屬于敏感個人信息,都已經(jīng)喪失了隱私利益,不能取得敏感個人信息的特殊保護。
  • 除此之外,以個人信息的內(nèi)容為標(biāo)準(zhǔn),個人信息還可以分為屬人的個人信息和屬事的個人信息。屬人的個人信息反映的是個人信息本人的自然屬性和自然關(guān)系,它主要包括本人的生物信息。屬事的個人信息反映的是本人的社會屬性和社會關(guān)系,它反映出信息主體在社會中所處的地位和扮演的角色。
  • 個人信息還可以分為納稅信息、福利信息、醫(yī)療信息、刑事信息、人事信息和戶籍信息等,不同信息的具體保護方式亦不相同。

2. 個人信息與個人數(shù)據(jù)和隱私的關(guān)系

2.1 個人信息與個人數(shù)據(jù)的關(guān)系

與個人信息在概念上最為接近的是“個人數(shù)據(jù)”。如前所述,個人數(shù)據(jù)概念使用的較多的主要是歐盟成員國以及其他受1995年歐盟《個人數(shù)據(jù)保護指令》影響而立法的其他大多數(shù)國家。在普通法國家(英國作為歐盟成員國除外),如美國、澳大利亞、新西蘭、加拿大等,以及受美國影響較大的亞太經(jīng)濟合作組織(APEC),則大多使用隱私法概念。在日本、韓國、俄羅斯等國,則使用“個人信息法”概念。所以,從個人數(shù)據(jù)較為統(tǒng)一的概念上理解,個人信息與個人數(shù)據(jù)兩個概念的基本內(nèi)涵是相同的,區(qū)別在于表述的不同,在國內(nèi)一般習(xí)慣將其概括為個人信息(personal information),而西方國家或者說國際立法上則更習(xí)慣于稱其為個人數(shù)據(jù)(personal data)。

2.2 個人信息與隱私的關(guān)系

與個人信息在內(nèi)容上有較多重合之處的另一個概念是隱私。

所謂隱私權(quán),通常是指“私生活不受干涉的權(quán)利”,“或個人私事未經(jīng)允許不得公開的權(quán)利”。也就是說,每一個人均有“不受旁人干涉攪擾的權(quán)利”。隱私權(quán)的實質(zhì)在于,個人自由決定何時、何地以何種方式與外界溝通。就此而言,隱私權(quán)表現(xiàn)為個人對自身的支配權(quán)。

從個人信息和隱私的權(quán)利角度來看,個人信息權(quán)和隱私權(quán)都是人格權(quán)的一種,它們之間存在密切的關(guān)聯(lián)性,在權(quán)利內(nèi)容等方面存在一定的交叉,其相似性體現(xiàn)在以下幾點:

第一,二者的權(quán)利主體都僅限于自然人,而不包括法人。從隱私權(quán)的權(quán)利功能來看,其主要是為了保護個人私人生活的安寧與私密性,因此,隱私權(quán)的主體應(yīng)當(dāng)限于自然人,法人不享有隱私權(quán);個人信息因具有可識別性,即能直接或間接指向某個特定的個人,所以個人信息的權(quán)利主體限于自然人,而法人的信息資料不具有人格屬性,法人不宜對其享有具有人格權(quán)性質(zhì)的個人信息權(quán),侵害法人信息資料應(yīng)當(dāng)通過知識產(chǎn)權(quán)法或反不正當(dāng)競爭法予以保護。

第二,二者都體現(xiàn)了個人對其私人生活的自主決定。 無論是個人隱私還是個人信息,都是專屬自然人享有的權(quán)利,而且都彰顯了一種個人的人格尊嚴和個人自由。

第三,二者在客體上具有交錯性。 隱私和個人信息的聯(lián)系在于: 一方面,許多未公開的個人信息本身就屬于隱私的范疇。事實上,很多個人信息都是人們不愿對外公布的私人信息,是個人不愿他人介入的私人空間,不論其是否具有經(jīng)濟價值,都體現(xiàn)了一種人格利益。一方面,部分隱私權(quán)保護客體也屬于個人信息的范疇。尤其應(yīng)當(dāng)看到,數(shù)字化技術(shù)的發(fā)展使得許多隱私同時具有個人信息的特征,如個人通訊,都可以通過技術(shù)的處理而被數(shù)字化進而被納入個人信息的范疇;同樣,某些隱私因基于公共利益而受到一定的限制被查閱或紕漏,但并不意味著這些信息不再屬于個人信息。

雖然二者都屬于人格權(quán),但是從保護內(nèi)容、法律屬性、權(quán)利角度、防范角度和保護方式來看,二者又存在區(qū)別。

第一 , 從內(nèi)容來看,隱私強調(diào)對于個人的私密信息和活動、空間等不為外人所知曉、不被擅自公開,包含的內(nèi)容大多是具有私密性的個人信息,對隱私的侵害主要是非法的披露和騷擾。個人信息權(quán)主要是指對個人信息的支配和自主決定,其內(nèi)容包括個人對信息被收集、利用等的知情權(quán),以及自己利用或者授權(quán)他人利用的決定權(quán)等內(nèi)容,即便對于可以公開且必須公開的個人信息,個人應(yīng)當(dāng)也有一定的控制權(quán)。

第二,從法律屬性上來看,隱私權(quán)主要是一種精神性的人格權(quán),隱私主要體現(xiàn)的是人格利益,侵害隱私權(quán)也主要導(dǎo)致的是精神損害。而個人信息權(quán)在性質(zhì)上屬于一種集人格利益與財產(chǎn)利益于一體的綜合性權(quán)利,并不完全是精神性的人格權(quán),其既包括了精神價值,也包括了財產(chǎn)價值。另外,隱私權(quán)是一種消極的、防御性的權(quán)利,在該權(quán)利遭受侵害之前,個人無法積極主動地行使權(quán)利,而只能在遭受侵害的情況下請求他人排除妨害、賠償損失等。個人信息權(quán)并不完全是一種消極地排除他人使用的權(quán)利。權(quán)利人除了被動防御第三人的侵害之外,還可以對其進行積極利用。

第三, 從防范角度來看,隱私權(quán)制度的重心在于防范個人秘密不被非法披露,而并不在于保護這種秘密的控制與利用,這顯然并不屬于個人信息自決的問題;而對個人信息權(quán)的侵害主要體現(xiàn)為未經(jīng)許可而收集和利用個人信息、侵害個人信息,主要表現(xiàn)為非法搜集、非法利用、非法存儲、非法加工或非法倒賣個人信息等行為形態(tài)。其中,大量侵害個人信息的行為都表現(xiàn)為非法篡改、加工個人信息的行為。

第四,從保護方式來看,對個隱私的保護注重事后救濟,隱私權(quán)保護主要采用法律保護的方式;而對人信息的保護則注重預(yù)防,保護方式則呈現(xiàn)多樣性和綜合性,尤其是可以通過行政手段對其加以保護,例如,對非法儲存、利用他人個人信息的行為,政府有權(quán)進行制止,并采用行政處罰等方式。

因此,只要不涉及到公共利益,個人信息的私密性應(yīng)該被尊重和保護,而法律保護個人信息在很大程度上就是維護個人信息不被非法公開和披露等; 另一方面,私密的個人信息被非法公開則可能會對個人生活安寧造成破壞。在這種緊密的關(guān)聯(lián)下,如何界分個人信息權(quán)和隱私權(quán),反而顯得更加必要。

二、國外個人信息與隱私保護實踐

1. 個人信息保護法律模式與立法原則

1.1 個人信息保護的法律模式

目前,世界范圍內(nèi)有關(guān)個人信息保護比較好的模式主要有三種,即歐盟模式、美國模式和日本模式。

在歐洲,以德國為代表的大陸法系國家,將個人信息視作公民人格和人權(quán)的一部分,認為個人信息是自然人人格的載體,沿著一般人格權(quán)的保護思路引入“信息自決權(quán)”。以美國為代表的英美法系國家,則將個人信息視作公民隱私和自由的一部分,沿著隱私保護的思路提出“信息隱私權(quán)”概念。

  • 歐盟模式

歐盟模式又可稱為統(tǒng)一立法模式,即制定一個綜合性的個人信息保護法來規(guī)范個人信息的收集、處理和利用,該法統(tǒng)一適用于公共部門和非公共部門,并設(shè)置一個綜合監(jiān)管部門集中監(jiān)管。1995年,歐盟通過經(jīng)典的《個人數(shù)據(jù)保護指令》,這部在全歐洲范圍內(nèi)實行的個人信息保護立法,涉及范圍廣,執(zhí)行機制清晰。歐盟憑借此法律,對進入歐盟的外企在信息保護方面,使歐洲成為全球個人信息保護的典范。

  • 美國模式

美國模式以隱私權(quán)為基礎(chǔ),是分散立法和行業(yè)自律相結(jié)合的模式。在公共領(lǐng)域,美國以隱私權(quán)作為憲法和行政法的基礎(chǔ),采取分散立法模式逐一立法。在私人領(lǐng)域,美國依靠自律機制(包括企業(yè)的行為準(zhǔn)則,民間認證制度以及替代爭議解決機制)實現(xiàn)對個人信息的保護,根據(jù)個人信息的具體內(nèi)容,由相應(yīng)的監(jiān)管部門監(jiān)管。

  • 日本模式

在借鑒歐洲和美國的信息保護模式下,日本在2005年通過《個人信息保護法》,通過這部法律全方面地實現(xiàn)個人信息保護。同時日本也注重行業(yè)自律和社團參與,從而形成獨特的日本個人信息保護模式。

1.2 個人信息保護的立法原則

1973年,美國健康、教育和社會福利部(HEW)首次提出了《公平信息實踐》(Fair Information Practices, FIPs) 并處于美國1974《隱私法案》的核心位置。

后期,在此基礎(chǔ)之上逐漸完善,1980年,經(jīng)濟合作與發(fā)展組織(OECD)在《關(guān)于保護隱私和個人信息跨國流通指導(dǎo)原則》中揭示了個人信息保護八大原則,即:收集限制原則(Collection Limitation Principle)、數(shù)據(jù)質(zhì)量原則(Data Quality Principle)、目的明確原則(Purpose Specification Principle)、使用限制原則(Use Limitation Principle)、安全保障原則(Security Safeguards Principle)、公開性原則(Openness Principle)、個人參與原則(Individual Participation Principle)和問責(zé)制原則(Accountability Principle)。這些指導(dǎo)原則對全球各國的立法產(chǎn)生了巨大的影響,有“已經(jīng)成為制定個人信息保護文件的國際標(biāo)準(zhǔn)”之稱。

自上世紀(jì)七十年代初個人信息保護問題提出以來,經(jīng)過40余年的發(fā)展演變和提煉,目前基本形成了以下五大國際原則,作為各國和國際組織制定個人信息保護政策的基礎(chǔ):

  • 公開性原則

即個人信息處理機構(gòu)應(yīng)公開關(guān)于個人信息處理的一切政策、流程和處理實踐,禁止個人信息被秘密的處理;

  • 限制性原則

包括個人信息的所有處理行為要堅持合法原則,個人信息數(shù)據(jù)庫要堅持服務(wù)特定目的,在最少必須原則下收集和處理,信息的收集和使用范圍、保存期限和銷毀應(yīng)受到限制;

  • 數(shù)據(jù)質(zhì)量原則

即個人信息應(yīng)當(dāng)準(zhǔn)確、完整和適時更新,機構(gòu)對此責(zé)無旁貸;

  • 責(zé)任與安全原則

即在個人信息保護問題上,作為數(shù)據(jù)控制者的機構(gòu)必須承擔(dān)個人信息保護的主要責(zé)任,要將個人信息保護內(nèi)化于其業(yè)務(wù)流程和技術(shù)設(shè)計中,同時采取必要的安全防范措施保護個人信息,防止數(shù)據(jù)丟失或未經(jīng)授權(quán)的訪問、銷毀、使用、修改或泄漏,并承擔(dān)相應(yīng)的責(zé)任;

  • 個人信息權(quán)利保護原則

充分保障信息主體的知情權(quán)、查詢權(quán)、異議與糾錯權(quán),甚至是可攜帶權(quán)等。

2. 美國個人隱私保護法律實踐

美國對于個人隱私的保護通過對于個人可識別信息(Personally Identifiable Information,PII)和相關(guān)的立法來實現(xiàn)。迄今為止,全球有超過80個國家和地區(qū)制定了專門保障個人隱私或個人信息(數(shù)據(jù))的法律,包括公共和私有實體對個人信息進行信息收集、使用在內(nèi)的各項活動。

1974 年12 月31 日, 美國參眾兩院通過的《隱私權(quán)法》(Privacy Act)后經(jīng)國會修訂后編入《美國法典》, 是美國行政法中保護公民隱私權(quán)和了解權(quán)的一項重要法律,并就“行政機關(guān)”,包括聯(lián)邦政府的行政各部、軍事部門、政府公司、政府控制的公司, 以及行政部門的其他機構(gòu)等(如隱私保護研究委員會、管理與預(yù)算辦公室)對個人信息的采集、使用、公開和保密問題做出詳細規(guī)定, 以此規(guī)范聯(lián)邦政府處理個人信息的行為, 平衡公共利益與個人隱私權(quán)之間的矛盾,但國會、隸屬于國會的機關(guān)和法院、州和地方政府的行政機關(guān)不適用該法。

《隱私權(quán)法》§552a中對涉及個人可識別信息的“記錄”進行了定義, 即關(guān)于個人的一項或一組信息,其由一個機構(gòu)進行維護。個人記錄包括,但不限于其教育、經(jīng)濟活動、醫(yī)療史、工作履歷或犯罪記錄以及其包括姓名、社會保障號碼以及其他一切能夠用于識別某一特定個人的標(biāo)識,如指紋、音紋或相片等。此外,還對系統(tǒng)記錄、統(tǒng)計記錄和日常使用進行了定義。此外,該法還規(guī)定了行政機關(guān)對于“記錄”的收集、登記、公開、保存等方面應(yīng)遵守的準(zhǔn)則。

以美國管理與預(yù)算辦公室(OMB)為例,其針對個人隱私保護制定了一系列相關(guān)隱私指引。首部指引是針對1974《隱私權(quán)法》制定的《隱私權(quán)法實施 指引與職責(zé)》。該指引定義了為實施《隱私權(quán)法》的相關(guān)職責(zé),從而確保美國聯(lián)邦機構(gòu)對于個人信息的收集在賦予的權(quán)限范圍之內(nèi)且遵守必須原則,并確保對個人信息的維護不會觸犯個人隱私。該法律涉及的機構(gòu)參照《隱私權(quán)法》§552e中的定義(參見上文“行政機關(guān)”定義),對于記錄的定義參照《隱私權(quán)法》§552a中的定義。

部分OMB隱私管理指引

其他行業(yè)性法律對涉及個人信息的保護也以《隱私權(quán)法》為基礎(chǔ)并進行更為詳細的規(guī)定。以征信監(jiān)管法律體系中的《公平信用報告法》(Fair Credit Reporting Act,F(xiàn)CRA)為例,該法律旨在保護影響消費者的信譽和地位信息的機密性,詳細規(guī)定了征信機構(gòu)和用戶的責(zé)任與義務(wù)、信用報告的使用目的以及消費者的相關(guān)法律權(quán)利和責(zé)任。

  • 信息收集方面,該法案強調(diào)信息收集應(yīng)該具備的完整性,關(guān)于個人信用的正面信息和負面信息都應(yīng)該被包含在內(nèi)。
  • 信息使用方面,消費者信用信息只能夠用于與信用交易有關(guān)的、判斷消費者是否有資格獲得信貸的、(個人及家庭)保險承做、雇傭或其他法律許可的目的。在信息的共享方面,銀行、企業(yè)與其他第三方之間可以共享非隱私的個人信息,但是必須將共享的信息內(nèi)容和對象告知消費者。同時,根據(jù)相關(guān)法律規(guī)定,征信機構(gòu)在向使用方提供個人信用信息之前,必須最大限度的驗證使用者的身份和使用目的,只有在確認其使用目的的合法性的前提下才可以將信息提供給對方。
  • 信息披露方面,該法§608要求關(guān)于對聯(lián)邦機構(gòu)進行的個人可識別信息披露僅局限 于個人姓名、地址、前地址、工作地點或前工作地點。

總體而言,美國已形成針對政府和征信、醫(yī)療、電信等若干具體行業(yè)的個人隱私保護立法體系:

  • 《金融服務(wù)現(xiàn)代化法案》(正式簡稱為《格雷姆-里奇-比利雷法》,Gramm-Leach-Bliley Act,GLB),用于管理企業(yè)如何遵守非公開的個人信息的收集、使用和披露。該法案是 1999 年克林頓政府頒布的一項以金融混業(yè)經(jīng)營為核心的美國聯(lián)邦法案。
  • 《健康保險可移動性和責(zé)任法案》(Health Insurance Portability and Accountability Act,HIPAA),該法案針對醫(yī)療信息中的交易規(guī)則、醫(yī)療服務(wù)機構(gòu)的識別、從業(yè)人員的識別、醫(yī)療信息安全、醫(yī)療隱私、患者身份識別等問題,制定了詳細的法律規(guī)定。
  • 《兒童網(wǎng)上隱私保護法》(Children’s Online Privacy Protection Act,COPPA),該法案要求網(wǎng)絡(luò)從業(yè)者要確實告知其網(wǎng)站的隱私權(quán)政策;面向 13 歲以下兒童、或向兒童收集信息之前,必須首先獲得其家長的同意;要求網(wǎng)站保證父母有可能修改和更正這些信息。除了保護兒童隱私外,該法還保證兒童在言論、信息搜索和發(fā)表的權(quán)利不受到負面影響。
  • 《電子通信隱私法》(Electronic Communications Privacy Act,ECPA),延伸原先針對電話有線監(jiān)聽的相關(guān)管制(包含透過電腦的電子數(shù)據(jù)傳遞),主要是防止政府未經(jīng)許可監(jiān)控私人的電子通信。但是,于針對雇員被雇主的設(shè)備監(jiān)聽通訊的情況,ECPA 卻不會保障其隱私權(quán)。

此外,美國還建立了發(fā)達的司法救濟系統(tǒng),在行政監(jiān)管領(lǐng)域也建立了高效的執(zhí)法機制,但對于買賣個人信息的行為,從其現(xiàn)有法律上很難找到有效的法律適用,并且沒有建立包含對個人數(shù)據(jù)獲取、存儲和使用進行監(jiān)管的專項法律,對跨境數(shù)據(jù)傳輸也未做特殊限制。

3. 歐盟個人信息保護法律實踐

在歐盟,典型的個人信息保護法律是1995年的《個人數(shù)據(jù)保護指令》(Data Protection Directive)。該指令源于美國早期的FIPs原則,從法系上講受德國和法國影響較大,所以,歐盟強調(diào)的個人信息保護,從民法上講就是信息自主、信息控制和信息自決,其對國內(nèi)的學(xué)者影響較大。

為應(yīng)對云計算、大數(shù)據(jù)、移動互聯(lián)網(wǎng)及跨境數(shù)據(jù)處理等應(yīng)用場景所帶來的新挑戰(zhàn),2016 年,歐盟通過了新的數(shù)據(jù)保護法案《通用數(shù)據(jù)保護指令》(又稱《一般數(shù)據(jù)保護條例》)(General Data Protection Regulation,GDPR)并于 2018 年生效,取代先前制定的《個人數(shù)據(jù)保護指令》,旨在為加強歐盟區(qū)居民的數(shù)據(jù)保護,特別是指令對兒童信息使用和準(zhǔn)許的保護,提供更加堅實的框架,指導(dǎo)跨歐盟個人數(shù)據(jù)的商業(yè)使用而設(shè)計的。其對于國際間的數(shù)據(jù)流動引入了新的職責(zé)和限制。此外,該指令還包括廣泛的與隱私相關(guān)的要求,將對組織的立法、合規(guī)、信息安全、市場、工程和人力資源管理產(chǎn)生巨大的影響。

指令第一章第四條對 “個人數(shù)據(jù)”做出了明確定義,即與自然人相關(guān)的識別信息或可識別的信息;“可識別的自然人”是指能通過直接或間接方式,特別是通過參考姓名、身份證號、位置信息或通過物理、生物、遺傳、精神、經(jīng)濟、文化或社會身份中一種或幾種方式能夠識別的個體。

不論是早期的《個人數(shù)據(jù)保護指令》還是新頒布的《通用數(shù)據(jù)保護指令》,均體現(xiàn)了歐洲大陸法系國家在個人信息保護領(lǐng)域統(tǒng)一化、標(biāo)準(zhǔn)化和一體化的立法和執(zhí)法特點??傮w上,歐盟基本上是把個人信息等同于個人隱私,然后各國設(shè)立隱私官行政主管機構(gòu),用公權(quán)力來進行介入。

以谷歌為例,2010年5月20日美國《紐約時報》網(wǎng)站報道,西班牙、法國和捷克官員宣布,計劃就谷歌從本國無線網(wǎng)絡(luò)用戶那里搜集數(shù)據(jù)一事展開調(diào)查,因為谷歌的行為違反了當(dāng)?shù)氐碾[私保護法律,從而增加了谷歌公司在歐洲遭受制裁的可能性,而事情的起因則是谷歌公司在5天前表示,該公司無意間從全世界未加密的無線網(wǎng)絡(luò)用戶那里搜集到600 G的數(shù)據(jù),據(jù)稱這些數(shù)據(jù)屬于電子郵件等個人信息。

2015年,法國數(shù)據(jù)保護機構(gòu)國家信息與自由委員會(CNIL)拒絕了谷歌不執(zhí)行“被遺忘權(quán)”的請求,距離制裁谷歌又邁進一步。 起因是歐盟最高法院去年5月裁定,允許用戶從搜索引擎結(jié)果頁面中刪除自己的名字或相關(guān)歷史事件,即所謂的“被遺忘的權(quán)”。根據(jù)該裁決,用戶可以要求搜索引擎在搜索結(jié)果中隱藏特定條目。但是,谷歌拒絕CNIL的要求刪除包括Google.com在內(nèi)所有搜索網(wǎng)站中的內(nèi)容。對此,CNIL發(fā)言人稱,谷歌已被要求立即執(zhí)行“被遺忘的權(quán)”,允許法國民眾要求谷歌刪除其所有網(wǎng)站上的敏感信息。如果谷歌拒絕執(zhí)行,則CNIL在未來兩個月內(nèi)會準(zhǔn)備制裁谷歌,最高可能被罰款15萬歐元(約合16.9萬美元)。如果再犯,將被罰款30萬歐元。同時,美國消費者權(quán)利組織Consumer Watchdog隱私主管約翰·辛普森(John Simpson)也曾致信美國聯(lián)邦貿(mào)易委員會(FTC),敦促FTC要求谷歌在美國執(zhí)行“被遺忘權(quán)”。

無獨有偶,2014年8月,著名社交媒體Facebook在歐洲也遭遇了類似的起訴。奧地利隱私保護人士馬克西米利安·施雷姆斯(Maximilian Schrems)指控Facebook違背了歐洲數(shù)據(jù)保護法律,理由是Facebook包括參與美國國家安全局的“棱鏡”項目,收集公共互聯(lián)網(wǎng)的個人數(shù)據(jù),違背歐洲數(shù)據(jù)保護法律,侵權(quán)用戶隱私等。同時,施雷姆斯還指出,F(xiàn)acebook還通過“贊”按鈕追蹤第三方網(wǎng)站上的用戶。另外,根據(jù)Facebook的數(shù)據(jù)使用政策和做法,他們會通過“大數(shù)據(jù)系統(tǒng)”監(jiān)視用戶在網(wǎng)上的行為,施雷姆斯表示此舉違背了歐洲數(shù)據(jù)保護法律。該訴訟到了2.5萬人的原告人數(shù)上限,另外3.5萬名簽名者都是表達自己對這起隱私訴訟的支持。大多數(shù)原告來自德國和奧地利這樣的德語國家,他們對Facebook的隱私政策感到不滿。荷蘭、芬蘭和英國也有大量用戶參與其中。

在當(dāng)前網(wǎng)絡(luò)時代,個人信息的收集、存儲、加工無時不有、無處不在??v觀歐盟的《通用數(shù)據(jù)保護指令》,其對個體權(quán)利、數(shù)據(jù)擦除等要求卻難以實現(xiàn),如數(shù)據(jù)主體應(yīng)收到其個人數(shù)據(jù)是否正在被處理的確認,數(shù)據(jù)主體可以訪問到與自身相關(guān)的數(shù)據(jù),個人數(shù)據(jù)不再滿足早期數(shù)據(jù)收集或處理目的時應(yīng)對其進行擦除。此外,對于個人信息曾被哪些主體存儲過、存儲的地方也無法準(zhǔn)確獲知。

即便如此,歐盟在個人信息保護和立法方面還是值得學(xué)習(xí)和借鑒。其從個人信息的采集,到信息的使用和交流,一直到信息的銷毀,整個信息的全流程、全周期都有很明確的行為規(guī)范要求。

  • 事前,在個人信息的采集環(huán)節(jié),要正當(dāng)合法地獲取和處理,實行“最少采集”原則,要盡量少地采集個人信息,采集之后只能用于特定目的,不能用于非采集的目的。相關(guān)機構(gòu)采集到個人信息后,要建立一套安全保護制度,采集信息的目的達到后,要在一定期限之后予以銷毀。同時,歐盟很多國家都建立了個人信息處理的許可或登記制度,經(jīng)過許可才能進行信息收集。
  • 事中,歐盟實行了獨立的個人信息保護執(zhí)法機制,專設(shè)有信息專員。
  • 事后,有相應(yīng)的法律責(zé)任的追究和法律救濟渠道。除了進行罰款,很多國家對違反法律泄漏個人信息是可以處以刑事責(zé)任。

作為個人信息的最大擁有者——政府機構(gòu),也同樣和其他私有主體一樣受到法律監(jiān)管。歐盟設(shè)立的獨立信息保護機構(gòu)可對政府機關(guān)的個人信息泄露采取法律制裁。信息保護機構(gòu)還可對企業(yè)的個人信息泄露行為進行檢查、要求整改和定期報告,并追究法律責(zé)任。此外,該法律對于進入歐洲市場的企業(yè)也同樣具有法律約束力,特別是向第三方進行個人信息轉(zhuǎn)移。

除上述保護法規(guī)之外,歐盟還制定了防范用戶在通信服務(wù)過程中潛在風(fēng)險的《隱私與電子通訊指令》(Privacy and Electronic Communications Directive)、對成員國在人類使用醫(yī)療產(chǎn)品最佳臨床實踐進行監(jiān)管的《臨床試驗指令》和用于金融數(shù)據(jù)管理的“Convention 108”等相關(guān)法律、法規(guī)。

4. 日本個人信息保護法律實踐

自19 世紀(jì) 70 年代中期開始,日本法開始走上全面西方化的道路,以歐洲大陸,尤其德國法律為模式,其法律制度以歐陸法系德國及法國為藍本進行設(shè)計。

早期的日本個人信息保護體系,主要由針對國家行政機關(guān)的立法、地方自治團體的立法、個別專門性法律中的相關(guān)規(guī)定以及行業(yè)自律機制構(gòu)成。另外,日本一些信息保護方面的行政法規(guī)也對隱私權(quán)做出了相應(yīng)的保護,如《建立高度信息通信網(wǎng)絡(luò)社會基本法》、《電子簽名法》、《禁止非法接入法》、《個人信息保護法》、《行政機關(guān)保存的個人信息保護法》、《獨立公共事業(yè)法人等保存的個人信息保護法》、《信息公開、個人信息保護審查會設(shè)置法》等法律中都包含有對公民個人隱私性信息的保護的規(guī)范性條款。

2005年4月1日生效實施的《個人信息保護法》,由于其基本思想是為正確處理個人信息保護和利用之間的關(guān)系,確保個人信息有效利用的同時保護個人信息的安全,約束和防范濫用個人信息等不法行為,從而在日本隱私權(quán)行政法規(guī)保護方面居于絕對的核心地位,對日本國民隱私起到重要的保護作用。

5. 中國香港地區(qū)個人信息保護法律實踐

我國香港地區(qū)在個人信息與隱私保護方面具有良好的社會和法制環(huán)境。除香港居民具有很強的個人信息保護意識外,香港還設(shè)有亞洲國家和地區(qū)唯一的個人信息保護機構(gòu)——香港個人隱私專員公署,并頒布了《個人資料(隱私)條例》。

針對部分香港商業(yè)機構(gòu)在未經(jīng)客戶同意下將客戶個人信息轉(zhuǎn)賣給第三方的現(xiàn)象,2013年4月1日,香港正式實施有關(guān)保護個人信息安全的新條例。根據(jù)新條例,任何商業(yè)機構(gòu)如果將客戶個人信息用作促銷等商業(yè)行為,必須事先得到客戶的明確同意,否則屬于違法。負責(zé)執(zhí)行相關(guān)條例的香港個人資料私隱專員公署表示,任何人如不遵守這一條例,濫用個人信息,或者為了獲利將客戶信息提供給第三方,均屬刑事犯罪,最高處以一百萬元港幣的罰款并監(jiān)禁五年。

香港個人隱私專員公署成立于1996年8月1日,其地位特殊性主要體現(xiàn)在其獨立性方面,即不需要向最高行政長官負責(zé)和報告,也不受相關(guān)任何機構(gòu)的管制。它的職責(zé)是《個人資料(隱私)條例》的施行,其目標(biāo)只是確保個人和公司(其他機構(gòu))認識自己在個人信息保護領(lǐng)域的權(quán)利和義務(wù)。

作為香港個人信息保護的主要法規(guī),《個人資料(隱私)條例》規(guī)定了個人信息的收集、持有、處理和使用的規(guī)則,適用于所有產(chǎn)業(yè)和所有類型的個人信息,但不適用于法人隱私。其立法原則主要包括:個人信息的收集原則、準(zhǔn)確性及保留期限原則、個人信息使用原則、個人信息的安全性原則、信息公開原則和信息獲取原則。

雖然香港制定專項的個人信息保護法律,但民眾仍遭受因個人信息泄露和買賣而帶來的個人利益損失。曾經(jīng)轟動一時的“艷照門”成為個人隱私嚴重泄露的典型代表;對此,香港九龍城裁判法院對傳播者判處入獄兩個月,緩刑兩年的裁決。2008年6月,香港公立醫(yī)院發(fā)生數(shù)次因遺失USB等可攜電子儲存裝置造成數(shù)萬名病人數(shù)據(jù)外泄的信息泄露事件。2014年7月,香港前匯豐銀行副經(jīng)理涉嫌泄露客戶信息而被立案審查。該副經(jīng)理于去年12月離職當(dāng)天,將1045個屬于匯豐的客戶數(shù)據(jù)傳送到自己的個人電子郵箱,并于同日再把資料轉(zhuǎn)發(fā)至新公司的郵箱賬戶。

6. 部分國家和地區(qū)個人信息/隱私保護法律概述

除歐盟、美國和日本之外,其他國家和地區(qū)也緊跟歐美步伐逐步完善本國的信息保護體系,個人信息保護立法和監(jiān)管也非常成熟,落實個人信息保護的國際共識性原則,正成為個人信息保護的國際趨勢。

  • 韓國政府于 2014 年 2 月發(fā)布了《金融領(lǐng)域安全違犯防止的全面措施》。同時,韓國國會了修訂一系列與信息保護相關(guān)的法律,包括《信息通信網(wǎng)絡(luò)的利用促進與信息保護等相關(guān)法》、《個人信息保護法》、《信用信息的使用與保護法》及《電子金融交易法》等。
  • 2014 年 3 月 20 日,澳大利亞參議院通過立法,作為對 2012 年隱私法修正案的再次修正,要求信息管理者在發(fā)生嚴重的數(shù)據(jù)泄露時,必須及時通知澳大利亞信息委員會以及受到影響的用戶。
  • 2014 年 7 月 4 日,俄羅斯議會通過聯(lián)邦《信息、信息技術(shù)及信息保護法》以及和聯(lián)邦《個人數(shù)據(jù)法》等一攬子修正案(《個人數(shù)據(jù)保護法》修正案),要求網(wǎng)站存儲的俄羅斯公民的個人數(shù)據(jù),必須存在俄羅斯國內(nèi)的服務(wù)器上。
  • 2010 年 4 月 27 日,我國臺灣地區(qū)出臺了《個人資料保護法》取代之前的《電腦處理個人資料保護法》,來對公民的個人信息安全實行全方位的保護。
  • 我國澳門特別行政區(qū)于2005年制定了《個人資料保護法》,該法于2006年2月正式生效。

三、國內(nèi)個人信息保護法律實踐

1. 個人信息保護法律現(xiàn)狀

目前,我國尚未制定關(guān)于個人信息保護的專項法律,個人信息保護由具體的法律、行政法規(guī)、地方性法規(guī)和規(guī)章、各類規(guī)范性文件和部門規(guī)章等共同組成,形成多層次、多領(lǐng)域、內(nèi)容分散、體系龐雜的個人信息保護模式。

《中華人民共和國憲法》第33條、第38條、第39條和第40條關(guān)于保障人權(quán)、人格尊嚴、通信和住宅隱私的有關(guān)規(guī)定,是中國個人信息權(quán)利的憲法來源?!吨腥A人民共和國民法通則》、《中華人民共和國侵權(quán)責(zé)任法》等關(guān)于人格權(quán)保護與侵權(quán)救濟條款,奠定了個人信息保護的民事制度基礎(chǔ),但內(nèi)容相對缺乏針對性。

2009年《中華人民共和國刑法修正案(七)》第7條針對個人信息犯罪做了規(guī)定;2015 年 11 月,《刑法修正案(九)》增加的第 286 條之一,針對網(wǎng)絡(luò)服務(wù)提供者不履行網(wǎng)絡(luò)安全管理義務(wù)造成危害后果,構(gòu)成犯罪的有關(guān)情況做了明確規(guī)定。2016 年最高人民法院完成了《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(送審稿)。

2012年12月28日全國人大常委會表決通過《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》首次在法律層面確立了網(wǎng)絡(luò)信息規(guī)范;2016年11月7日全國人大常委會通過《中華人民共和國網(wǎng)絡(luò)安全法》(2017年6月1日實施),進一步明確規(guī)范網(wǎng)絡(luò)空間用戶個人信息安全;《中華人民共和國消費者權(quán)益保護法》、《中華人民共和國居民身份證法》、《中華人民共和國統(tǒng)計法(2009年修正)》、《中華人民共和國商業(yè)銀行法(2003年修正)》等一系列法律法規(guī),對于個人信息的保護也均有體現(xiàn)。

部分國內(nèi)個人信息/隱私保護法律與規(guī)定

針對早期關(guān)于公民個人信息范圍界定和侵害個人信息量刑標(biāo)準(zhǔn)不一致等方面存在的問題,在最高人民法院、最高人民檢察院首次就打擊侵犯個人信息犯罪出臺的司法解釋中有了明確規(guī)定。

  • 實踐中對于“公民個人信息”范圍所存在的爭議,這次發(fā)布的司法解釋予以明確規(guī)定:刑法相關(guān)規(guī)定中的“公民個人信息”,是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息,包括姓名、身份證件號碼、通信通訊聯(lián)系方式、住址、賬號密碼、財產(chǎn)狀況、行蹤軌跡等。
  • 根據(jù)不同類型公民個人信息的重要程度,司法解釋設(shè)置了不同的數(shù)量標(biāo)準(zhǔn)。對于行蹤軌跡信息、通信內(nèi)容、征信信息、財產(chǎn)信息,非法獲取、出售或者提供50條以上即算“情節(jié)嚴重”;對于住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財產(chǎn)安全的公民個人信息,標(biāo)準(zhǔn)則是500條以上;對于其他公民個人信息,標(biāo)準(zhǔn)為5000條以上。

但是,對于列舉之外的個人信息還有很多。如我國臺灣地區(qū)出臺的《個人資料保護法》對“個人信息”的定義,不僅包含了常見的自然人姓名、出生年月日、身份證統(tǒng)一編號、護照號碼、婚姻、家庭、教育、職業(yè)、病歷、醫(yī)療、聯(lián)絡(luò)方式、財務(wù)情況、社會活動、健康檢查等常見的個人信息,還包括了特征、指紋、基因、性生活、犯罪前科等其他個人信息。因此,個人信息的保護范圍可予以擴大。

此外,雖然個人信息權(quán)和隱私權(quán)之間存在密切聯(lián)系,但仍需要在法律上明確個人信息權(quán)的性質(zhì)和內(nèi)容,界分與隱私權(quán)的關(guān)系,進而使得個人信息獲得全面充分的保護,增強全社會對于個人信息權(quán)利保護的觀念。

另外,我國目前還未成立專門的個人數(shù)據(jù)信息的監(jiān)督保護機構(gòu),這也會造成了個人數(shù)據(jù)信息安全保護的缺失和遭受侵害時的救濟缺失。

2. 個人信息保護現(xiàn)狀

個人信息權(quán)利是信息社會中公民基本權(quán)利的一部分,保護個人信息權(quán)利也是維護國家安全和公共安全的基礎(chǔ)。對此,國家也不遺余力,大力整治個人信息犯罪。

2016年7月20日,公安部官網(wǎng)以《公安機關(guān)打擊整治網(wǎng)絡(luò)侵犯公民個人信息犯罪成效顯著》為題報道了公安部門打擊侵犯公民個人信息犯罪的努力。截止發(fā)稿時,全國公安機關(guān)累計查破刑事案件750余起,抓獲犯罪嫌疑人1,900余名,繳獲信息230余億條,清理違法有害信息35.2萬余條,關(guān)停網(wǎng)站、欄目610余個。

但是,國內(nèi)對于個人信息的保護仍存在不足之處,主要體現(xiàn)在以下幾方面:

  • 個人信息保護不足導(dǎo)致個人權(quán)益受到侵害

當(dāng)前,因個人信息在收集、存儲和使用過程中管理不善所造成的危害已經(jīng)嚴重沖擊到了個人權(quán)益甚至社會穩(wěn)定。

《2015中國網(wǎng)民權(quán)益保護調(diào)查報告》顯示,近一年來,有82.3%的網(wǎng)民親身感受到由于個人信息泄露對日常生活造成的影響,網(wǎng)民人均蒙受實際經(jīng)濟損失124 元,總體損失約 805 億元(我國網(wǎng)民數(shù)量 6.49 億 x 網(wǎng)民平均經(jīng)濟損失 124 元=804.76 億元);高達 7%的網(wǎng)民(估算約 4500 萬)近一年由于各類權(quán)益侵害造成的經(jīng)濟損失在 1000 元 以上。

此外,個人信息的泄露不僅造成用戶數(shù)據(jù)在互聯(lián)網(wǎng)平臺非法交易,還由此滋生了大量的電信、網(wǎng)絡(luò)詐騙等下游違法犯罪行為,造成社會巨大損失,嚴重影響社會安定,成為社會公害,更嚴重還會出現(xiàn)根據(jù)用戶特征設(shè)計實施的“精準(zhǔn)式”詐騙,威脅公眾財產(chǎn)和人身安全。

2016年2月,江蘇省淮安市有人利用互聯(lián)網(wǎng)大肆倒賣車主、車牌號、車輛類型等公民個人信息。經(jīng)淮安公安機關(guān)縝密偵查抓獲犯罪嫌疑人并當(dāng)場查獲公民信息1,500余萬條,另據(jù)犯罪嫌疑人交代,自2015年以來,其非法售賣、提供公民個人信息1,177萬余條,牟利3,000余元。“徐玉玉案”的發(fā)生不僅折射出了“個人信息泄露-非法交易/獲取“的黑色產(chǎn)業(yè)鏈,同時也引發(fā)了全社會對個人信息泄露現(xiàn)狀的高度關(guān)注和熱議,再次將個人信息保護和相關(guān)立法工作再次推向的大眾視野。

  • 個人信息保護不足影響企業(yè)和行業(yè)健康與可持續(xù)發(fā)展

近些年,航空售票系統(tǒng)、醫(yī)療衛(wèi)生系統(tǒng)個人信息系統(tǒng)由于遭受黑客攻擊或由于內(nèi)部管理不善,導(dǎo)致個人信息泄露事件發(fā)生,降低相關(guān)企業(yè)甚至行業(yè)的公信力,影響其健康和可持續(xù)發(fā)展。

2014年3月,國內(nèi)知名旅游網(wǎng)——攜程旅行網(wǎng)被報道,其支付日志存在漏洞,用戶銀行卡信息可被黑客任意讀取。黑客可通過用戶的手機號碼、銀行卡號和信用卡驗證碼注冊第三方支付賬號,從而跳過用戶和銀行綁定的手機,進行盜刷。這些數(shù)據(jù)可以用來創(chuàng)建或關(guān)聯(lián)第三方支付,國內(nèi)第三方支付公司多達幾百家,可以利用的點很多。受害者很容易出現(xiàn)資金被盜的情況。顯然,攜程網(wǎng)的做法已經(jīng)明顯違反了中國銀聯(lián)風(fēng)險管理委員會2008年發(fā)布的《銀聯(lián)卡收單機構(gòu)賬戶信息安全管理標(biāo)準(zhǔn)》。一時間,公眾對于隱私安全的敏感神經(jīng)再一次被挑動。而互聯(lián)網(wǎng)大數(shù)據(jù)應(yīng)用的信息安全問題也被推至風(fēng)口浪尖。

同年12月2日,作為國內(nèi)知名航空公司的東方航空也被報道大量用戶訂單信息遭到泄露。資深航空從業(yè)人士指出,這樣的漏洞會導(dǎo)致關(guān)于旅客姓名、手機號以及航班信息等資料外泄,部分乘客接到惡意詐騙短信的通知而遭受大量經(jīng)濟損失,給消費者造成傷害已經(jīng)顯而易見。東航系統(tǒng)漏洞的存在更是相當(dāng)于將旅客信息赤裸裸地暴露在犯罪分子的目光之下,而作為個人信息的持有者和管理者則未盡到所應(yīng)承擔(dān)的責(zé)任和義務(wù)。

同年12月25日,作為國內(nèi)權(quán)威的鐵路售票系統(tǒng)網(wǎng)站——12306網(wǎng)站的大量用戶數(shù)據(jù)在網(wǎng)絡(luò)瘋狂傳播。本次泄露事件被泄露的數(shù)據(jù)達131,653 條,包括用戶賬號、明文密碼、身份證和郵箱等多種信息,共約14M數(shù)據(jù)。這不是12306網(wǎng)站第一次發(fā)生用戶信息泄露事件,但是最大的一次。這些賬號信息以明文方式傳播,一旦被不發(fā)分子利用,試圖登陸相關(guān)賬號的其他平臺賬號,可能會造成涉案人員的經(jīng)濟損失;另外,已經(jīng)有利用泄露信息非法登陸其他人12306賬號并退票的相關(guān)報道,對相關(guān)的人員造成一些損失。

  • 個人信息保護不足影響國家信息安全和國際競爭力

由于中國個人信息保護力度不及歐美等國,在國際經(jīng)貿(mào)往來中,在華外資金融機構(gòu)選擇將境內(nèi)客戶個人信息轉(zhuǎn)移到境外處理已成慣例。此外,在互聯(lián)網(wǎng)信息化時代和大數(shù)據(jù)背景下基于規(guī)?;瘋€體信息的加工分析,可形成對國家安全的細微洞察,公民個體信息失去保護,中長期看國家安全也難以得到切實保障。

3. 個人信息保護立法的必要性與合理性

3.1 個人信息保護立法保障國家戰(zhàn)略順利實施

宏觀層面上來看,包括國家大數(shù)據(jù)戰(zhàn)略在內(nèi)的“互聯(lián)網(wǎng)+”行動計劃和“走出去”戰(zhàn)略以及“一帶一路”等國家宏偉藍圖的實現(xiàn),其中必然伴隨著對個人敏感信息和跨境數(shù)據(jù)的處理。

如何盡快制定相關(guān)個人信息保護的法律,使得相關(guān)方對個人數(shù)據(jù)在國家法律框架之下得到合規(guī)操作,妥善保護個人信息,促進大數(shù)據(jù)產(chǎn)業(yè)發(fā)展,實現(xiàn)大數(shù)據(jù)戰(zhàn)略,落實“互聯(lián)網(wǎng)+”行動計劃就成為當(dāng)務(wù)之急。特別是在當(dāng)前云技術(shù)和移動互聯(lián)迅猛發(fā)展的大背景下,其所帶來的挑戰(zhàn)更不容小覷,同時也會影響國家形象和國際競爭的參與。

3.2 個人信息保護立法是完善國家法律體系的必然需要

由于目前我國沒有統(tǒng)一的個人信息保護法,個人信息保護方面的工作通過特定法律、一般性規(guī)范和具體規(guī)定來保障,侵害個人信息需要承擔(dān)民事、行政乃至刑事責(zé)任。但是,這些規(guī)范在形式上過于分散,對于普通民眾和商家來說都難以形成直觀的認知,應(yīng)盡快制定統(tǒng)一的個人信息保護法,對其進行系統(tǒng)化梳理和整合,無論是從立法資源的節(jié)省、立法技術(shù)的提高、規(guī)則體系的優(yōu)化,還是向民眾普及個人信息法律,保護的常識和意識來看,都存在必要性和合理性。

”互聯(lián)網(wǎng)+“時代,個人信息保護的漏洞與風(fēng)險被進一步放大,加強個人信息保護的重心,其實已經(jīng)轉(zhuǎn)移到網(wǎng)絡(luò)。雖然《網(wǎng)絡(luò)安全法》作為我國網(wǎng)絡(luò)領(lǐng)域的基礎(chǔ)性法律將個人信息保護列入其中,既是出于國家網(wǎng)絡(luò)空間主權(quán)和網(wǎng)絡(luò)安全考慮,也是對當(dāng)前個人網(wǎng)絡(luò)信息安全嚴峻現(xiàn)實的直接回應(yīng),但遠不能全方位地保護個人信息安全,也存在個人信息保護的法律漏洞。一方面,它側(cè)重于網(wǎng)絡(luò)安全,而非針對個人信息保護的專門性法規(guī);另一方面,當(dāng)前涉及個人信息保護的法律條款仍多散見于相關(guān)法規(guī)中,在權(quán)威和效力上都有待提升。

所以,應(yīng)通過制定個人信息保護法,明確國家對于個人信息保護的決心,樹立其法律地位。同時,在法律層面上明確線上、線下及跨境數(shù)據(jù)傳輸過程中的各類個人信息采集及使用的方式、范圍及標(biāo)準(zhǔn),并嚴格規(guī)范各類數(shù)據(jù)采集及使用主體在信息處理方面的細則,完善個人信息安全方面的保障要求與信息披露義務(wù),以及針對個人信息權(quán)層面的相關(guān)權(quán)益保障要求,充分保障用戶在信息層面的知情權(quán)、選擇權(quán)、受尊重權(quán)及信息安全權(quán)在內(nèi)的各項基礎(chǔ)性權(quán)利。

3.3 個人信息保護立法是依法執(zhí)法的基礎(chǔ)

目前在國內(nèi),不同政府部門和社會機構(gòu)掌握著不同的個人信息,如公安部門掌握著公民的戶籍身份、家庭成員及住址信息,金融部門和機構(gòu)掌握著公民的賬戶信息、財產(chǎn)信息、交易信息和信用信息,教育部門和學(xué)校掌握著公民的就學(xué)及考試成績信息,稅務(wù)部門掌握著公民的納稅信息,勞動人事部門掌握著公民的人事檔案信息,電信部門和機構(gòu)掌握著公民的通信信息,鐵路、公路和民航部門和企業(yè)掌握著公民的出行信息,醫(yī)療衛(wèi)生部門和醫(yī)院掌握著公民的疾病信息、就醫(yī)信息,司法部門掌握著公民的訴訟信息等等,而互聯(lián)網(wǎng)公司掌握著公民全部的上網(wǎng)搜索、瀏覽、購物、社交等網(wǎng)絡(luò)信息。

各相關(guān)部門和商業(yè)機構(gòu)在對個人信息進行收集、加工等過程中,勢必會發(fā)生信息收集不當(dāng)、濫用和泄露的事件,從而導(dǎo)致個人權(quán)利和利益頻遭侵害。2016年發(fā)生的高考學(xué)生遭電信詐騙后自殺等惡性事件,就是因為學(xué)生個人信息遭到泄露引發(fā)。此外,任由外國組織收集中國公民個人信息,還可能使危及國家安全的情形擴大蔓延,尤其是伴隨互聯(lián)網(wǎng)傳播而導(dǎo)致對個人權(quán)益的危害快速擴大并且不易消除。

這些就迫使國家必需盡快制定個人信息保護法律,使得公民在個人信息權(quán)益遭到侵害進行法律訴訟時有法可尋、有法可依,社會公共機構(gòu)和商業(yè)機構(gòu)在公民個人信息收集和處理過程中做到有法必依,司法部門在執(zhí)法過程中做到有法可依、違法必究。

3.4 公眾觀念改變促使立法工作更為迫切

據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心第39次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告》顯示,截至2016年12月,中國網(wǎng)民規(guī)模達7.31億,互聯(lián)網(wǎng)普及率達到53.2%,互聯(lián)網(wǎng)已經(jīng)成為我們生活的一部分,而伴隨互聯(lián)網(wǎng)普及所帶來的個人信息和商業(yè)秘密的泄露也就日趨常見。

通過“徐玉玉案”等一系列惡性案件給社會帶來的不良影響,也使人們充分意識到了個人信息泄露和濫用所帶來的嚴重社會危害,個人信息保護重要性意識更加強烈,需求更加迫切,這就出現(xiàn)了民眾對個人信息法律保護的需求與個人信息保護法律缺位之間的矛盾。

4. 對于個人信息保護的建議

4.1 采取統(tǒng)一立法模式,系統(tǒng)確立原則和規(guī)范

充分吸收、借鑒歐盟、美國、日本和我國香港、澳門及臺灣地區(qū)個人信息保護立法的成功經(jīng)驗,采取統(tǒng)一立法的模式,制定《個人信息保護法》并完善相關(guān)法律體系,明確規(guī)定個人信息的涵義,確立個人信息權(quán),明確國家機關(guān)信息處理主體和非國家機關(guān)信息處理主體收集、利用和處理個人信息的基本原則和規(guī)范,特別是立法原則應(yīng)體現(xiàn)五大國際原則和所提交的《信息安全技術(shù) 公共及商用服務(wù)信息系統(tǒng)個人信息保護指南》(征求意見稿)中確立的個人信息安全基本原則。

4.2 明確個人信息分類保護

凡涉及到與個人身份識別相關(guān)各個方面的信息,在其收集、存儲、利用過程當(dāng)中應(yīng)當(dāng)符合“目的明確原則”、“最少夠用原則”、和“合法必要原則”。

以2013年1月21日國務(wù)院公布的行政法規(guī)《征信業(yè)管理條例》為例,第二十條規(guī)定:“信息使用者應(yīng)當(dāng)按照與個人信息主體約定的用途使用個人信息,不得用作約定以外的用途,不得未經(jīng)個人信息主體同意向第三方提供”。

第十四條規(guī)定:“禁止征信機構(gòu)采集個人的宗教信仰、基因、指紋、血型、疾病和病史信息以及法律、行政法規(guī)規(guī)定禁止采集的其他個人信息。征信機構(gòu)不得采集個人的收入、存款、有價證券、商業(yè)保險、不動產(chǎn)的信息和納稅數(shù)額信息?!?/span>

4.3 全面落實用戶授權(quán)和公開透明機制

個人信息的收集和處理過程應(yīng)滿足“同意和選擇原則”,即經(jīng)過信息主體的授權(quán)。以《征信業(yè)管理條例》為例,第十三條規(guī)定,“采集個人信息應(yīng)當(dāng)經(jīng)信息主體本人同意,未經(jīng)本人同意不得采集。但是,依照法律、行政法規(guī)規(guī)定公開的信息除外?!?/span>

第十八條規(guī)定:“向征信機構(gòu)查詢個人信息的,應(yīng)當(dāng)取得信息主體本人的書面同意并約定用途。但是,法律規(guī)定可以不經(jīng)同意查詢的除外。 征信機構(gòu)不得違反前款規(guī)定提供個人信息。

第十九條規(guī)定:“征信機構(gòu)或者信息提供者、信息使用者采用格式合同條款取得個人信息主體同意的,應(yīng)當(dāng)在合同中做出足以引起信息主體注意的提示,并按照信息主體的要求做出明確說明?!?/span>

4.4 規(guī)范個人信息管理機構(gòu)對個人信息的安全管理

確保我國公民個人信息安全不僅是各管理機構(gòu)所應(yīng)承擔(dān)的法律責(zé)任和義務(wù),同時也關(guān)系到國家安全。所以,應(yīng)在個人信息保護法律中明確對涉及個人信息采集、加工、存儲、使用及刪除等全數(shù)據(jù)生命周期過程提出對相關(guān)機構(gòu)的法律約束,并要求其建立并制定相應(yīng)的內(nèi)部管控流程和制度,確保在我國境內(nèi)的個人信息安全。

《征信業(yè)管理條例》第二十四條規(guī)定的“征信機構(gòu)在中國境內(nèi)采集的信息的整理、保存和加工,應(yīng)當(dāng)在中國境內(nèi)進行。征信機構(gòu)向境外組織或者個人提供信息,應(yīng)遵守法律、行政法規(guī)和國務(wù)院征信業(yè)監(jiān)督管理部門的有關(guān)規(guī)定?!?/span>

2014年5月由國家衛(wèi)生計生委發(fā)布的《人口健康信息管理辦法(試行)》和2016年6月21日,由國務(wù)院辦公廳發(fā)布的《國務(wù)院辦公廳關(guān)于促進和規(guī)范健康醫(yī)療大數(shù)據(jù)應(yīng)用發(fā)展的指導(dǎo)意見》。前者第十條規(guī)定“不得將人口健康信息在境外的服務(wù)器中存儲,不得托管、租賃在境外的服務(wù)器”;后者則要求“在健康醫(yī)療大數(shù)據(jù)保障體系建設(shè)方面要加強大數(shù)據(jù)安全監(jiān)測和預(yù)警,建立安全信息通報和應(yīng)急處置聯(lián)動機制,建立健全‘互聯(lián)網(wǎng)+健康’醫(yī)療服務(wù)安全工作機制,完善風(fēng)險隱患化解和應(yīng)對工作措施,加強對涉及國家利益、公共安全、患者隱私、商業(yè)秘密等重要信息的保護,加強醫(yī)學(xué)院、科研機構(gòu)等方面的安全防范。”

4.5 完善信息泄露應(yīng)急預(yù)案

盡管現(xiàn)行法律、法規(guī)沒有對個人信息泄露的應(yīng)對措施作具體規(guī)定,但是出于個人信息管理者所應(yīng)承擔(dān)社會責(zé)任的需要,并參考《網(wǎng)絡(luò)安全法》 “監(jiān)測預(yù)警和應(yīng)急處置”的相關(guān)內(nèi)容,可對信息泄露應(yīng)急處置提出要求,制定應(yīng)急預(yù)案并不定期進行應(yīng)急演練,從而保證在極端情況下發(fā)生信息泄露時,可以準(zhǔn)確定位到信息泄露的原因及問題所在,并在最短時間內(nèi)進行處置與控制信息安全風(fēng)險,以爭取將信息泄露風(fēng)險控制在最低程度。

此外,鑒于大規(guī)模個人信息泄露發(fā)生時會對公共社會穩(wěn)定性造成巨大影響,所以還應(yīng)對輿情監(jiān)測和涉及公共關(guān)系管理等內(nèi)容提出要求。

版權(quán)聲明

《個人信息與隱私保護法律法規(guī)現(xiàn)狀報告》(以下簡稱為“報告”)為安全牛研究成果,版權(quán)為安全牛獨家擁有,其性質(zhì)是供安全??蛻魞?nèi)部參考的資料,其數(shù)據(jù)和結(jié)論僅代表安全牛的觀點。

報告僅限于安全牛使用。未經(jīng)安全牛審核、確認及書面授權(quán),購買報告的客戶不得以任何方式,在任何媒體上(包括互聯(lián)網(wǎng))公開引用本報告的觀點和數(shù)據(jù),不得以任何方式將報告的內(nèi)容提供給其他單位或個人。否則引起的一切法律后果由該客戶自行承擔(dān),同時安全牛亦認為其行為侵犯了安全牛的著作權(quán),安全牛有權(quán)依法追究其法律責(zé)任。

報告中未注明來源的所有圖片、表格及文字內(nèi)容的版權(quán)歸安全牛所有。有侵權(quán)行為的個人、法人或其它組織,必須立即停止侵權(quán)并對其因侵權(quán)造成的一切后果承擔(dān)全部責(zé)任和相應(yīng)賠償。否則安全牛將依據(jù)中華人民共和國《著作權(quán)法》、《計算機軟件保護條例》等相關(guān)法律、法規(guī)追究其經(jīng)濟和法律責(zé)任。

本聲明未涉及的問題參見國家有關(guān)法律法規(guī),當(dāng)本聲明與國家法律法規(guī)沖突時,以國家法律法規(guī)為準(zhǔn)。

作者:段振華


 
 

上一篇:2017年06月30日 聚銘安全速遞

下一篇:烏克蘭再遭第二波網(wǎng)絡(luò)襲擊,病毒與本周初不同