海外個人信息保護機制

高榮偉

隨著網絡信息技術的進步和社會信息化程度的不斷提高，人們越來越意識到個人信息保護的重要性。如何為個人隱私和信息安全筑起一道保護屏障成為信息時代各國管理機構的一道必答題。

為了確保個人信息的便捷流通與安全使用，世界上許多國家和地區(qū)制定了與個人信息保護相關的法律法規(guī)和政策。

美國：實施“分散立法”模式

美國是從法律角度開展個人信息保護最早的國家之一。在個人信息保護方面，美國實施的是“分散立法”模式，主要圍繞美國憲法規(guī)定的隱私權保護展開立法。

1974年，美國頒布《隱私權法》。該法不但明確了個人信息的概念，還對舉證責任、賠償責任、救濟途徑等都進行了較為全面的規(guī)定。隨著個人信息保護的不斷完善，如今美國已經形成了政府、電子商務、電信、金融等若干領域的行政法保護體系，通過在部分單項立法中針對一些特定主體行為的方式來保護。如《信息自由法》《駕駛員隱私保護法》《兒童在線隱私保護法》《消費者隱私保護法案》，以及《電子通信隱私法》等。值得注意的是，在立法沒有涉及的領域，聯(lián)邦政府采用了“行業(yè)自律”的模式來保護公民隱私。

不過，美國模式仍然存在一定的不足。比如，盡管強調“行業(yè)自律”，但畢竟缺少強制力。2018年3月17日，《紐約時報》曝光了一家名為“劍橋分析”的數(shù)據分析公司及其關聯(lián)公司“戰(zhàn)略通信實驗室”的相關丑聞。據悉，“劍橋分析”曾于2016年美國總統(tǒng)競選期間為現(xiàn)任總統(tǒng)特朗普提供數(shù)據分析服務。《紐約時報》稱，這兩家公司竊取并私自保留了5000萬臉書用戶數(shù)據。這則報道的弦外之音不言而喻：臉書對于不正當抓取和使用其用戶信息是持默許態(tài)度的。報道一出，臉書這家早已備受指責的社交媒體巨頭再次陷入聲討之中。

“劍橋分析”事件曝光后，美國聯(lián)邦貿易委員會（FTC）對臉書罰款50億美元，扎克伯格承諾“對生產產品和運營公司的方式進行重大結構性改革”，并對APP權限做了限制。然而幾個月后，媒體又爆出與之合作的100多個第三方應用可能已經通過臉書工程組的編程界面訪問了用戶的個人數(shù)據。這些可能涉及泄露的信息包括了用戶姓名和個人圖片。由此，“行業(yè)自律”模式的弊端再次呈現(xiàn)在世人眼前。

歐盟：出臺“史上最嚴”的個人數(shù)據保護法案

2018年5月25日，歐盟《一般數(shù)據保護條例》（GDPR）正式實施。GDPR高度重視個人數(shù)據保護與監(jiān)管，為之設置了一系列的保護門檻和機制，被業(yè)界與學界稱為“史上最嚴”的個人數(shù)據保護法案。

該條例引入了新的個人信息保護原則，加大了對信息侵權行為的處罰力度。條例規(guī)定，數(shù)據控制者應在72小時內向監(jiān)管機構報告?zhèn)€人數(shù)據的泄露情況。當數(shù)據泄露可能會給數(shù)據主體的權利或自由帶來巨大風險時，數(shù)據控制者必須毫不延誤地通知數(shù)據主體。對于沒有取得用戶同意等行為，條例罰款上限是1000萬歐元或對企業(yè)而言上一年度全球營業(yè)收入的2%（兩者中取數(shù)額大者）;對于嚴重的違法行為，罰款上限是2000萬歐元或對企業(yè)而言上一年度全球營業(yè)收入的4%（兩者中取數(shù)額大者）。

為加強對歐盟居民個人數(shù)據的保護，GDPR采用了“長臂管轄”原則，將適用范圍擴大到設立在歐盟境外的企業(yè)。條例規(guī)定，如果歐盟境外數(shù)據控制者或處理者的數(shù)據處理行為被認定與歐盟境內經營場所開展的業(yè)務存在“無法割裂的聯(lián)系”，GDPR有權管轄其行為。2019年1月，法國國家信息與通信委員會以違反GDPR第5、6、13、14條關于“未向用戶告知其數(shù)據如何被收集之規(guī)定”為由，對谷歌開出了5000萬歐元的罰單。2019年7月，英國通信管理局以數(shù)據泄露違反GDPR第32條規(guī)定為由，先后對英國航空和萬豪國際開出1.83億英鎊和9920萬英鎊的巨額罰單。

日本：采用“統(tǒng)分結合”的立法模式

日本是一個信息化程度非常高的國家，近年來濫用甚至盜用個人信息給消費者造成財產或個人隱私損失的惡性案件時常見諸報端。在日本，包含企業(yè)或政府等團體的住址在內，泄露的個人信息數(shù)量超過了1000萬件。

日本保護個人信息的立法起步早，且特色鮮明。對于個人信息的保護，日本采取的是“統(tǒng)分結合”的立法模式。2017年5月30日，日本最新修訂的《個人信息保護法》正式實施。該法規(guī)定，“在向第三方提供時，應事先征得本人的同意”;“員工以非法獲利為目的提供竊取個人信息數(shù)據庫時，處以1年以下有期徒刑或50萬日元以下的罰款（同時對公司課以罰款）”。

根據《個人信息保護法》，個別的政府主體或者民間主體針對特定的領域可以制定個別法或特殊法。如日本信息處理系統(tǒng)中心制定的《關于金融機構等保護個人數(shù)據的指導方針》，日本信息處理開發(fā)協(xié)會制定的《關于民間部門個人信息保護指導方針》。在此基礎上，經濟產業(yè)省制定了《關于民間部門電子計算機處理和保護個人信息的指導方針》，總務省制定了《關于電氣通信事業(yè)保護個人信息的指導方針》等。

新加坡：應告知收集、使用或披露的目的

新加坡2012年頒布《個人數(shù)據保護法令》，確保公民在個人數(shù)據受到侵害時可尋求法律保護。該法令第三部至第六部詳細規(guī)定了各類機構關于收集、使用或披露個人數(shù)據的范圍、條件或要求。

法令規(guī)定，機構應當在收集個人數(shù)據之時或之前，告知個體收集、使用或披露其個人數(shù)據的目的;在個體需要的情形下，告知其收集、使用或披露個人數(shù)據相關人的業(yè)務聯(lián)系方式。機構未經個體同意自其他機構收集個人數(shù)據之時或之前，應當向其他機構提供關于收集目的的充分信息，使對方確定披露是否符合本法。

法令生效以來，新加坡已對未盡到保護個人數(shù)據義務或侵犯個人數(shù)據的多家機構作出了處罰。其中，處罰最重同時也是影響最大的個人數(shù)據遭泄露的案例，是2019年的新康集團集群案。

韓國：允許不可識別的個人信息作為大數(shù)據使用

目前，在個人信息及數(shù)據保護法領域，韓國形成了《個人信息保護法》《信息通信網利用促進及信息保護法》及《信用信息的利用及保護法》三法分立的局面。

根據2016年3月韓國修訂的《個人信息保護法》第15條至23條，“收集或利用或向第三者提供個人信息時， 必須征得信息主體的同意， 不必要保留個人信息時， 應及時刪除”。2016年4月，韓國公布了《信用信息的利用及保護法》的修改草案，規(guī)定“經過不可識別處理的個人信息可以無須信息主體的同意而加以利用或向第三者提供”，即經過不可識別處理的個人信息被允許在當初收集和使用目的范圍以外使用。同年6月，包括行政自治部在內的韓國政府6大機構共同公布了“個人信息不可識別處理指南”，規(guī)定允許不可識別的個人信息作為大數(shù)據使用。

對于違反規(guī)定的個人信息跨境轉移與再轉移行為，可能造成用戶權利嚴重侵害的，修正案規(guī)定，廣播通信委員會可以命令中斷轉移或再轉移，并可以對不履行中斷命令的個人信息處理者處以2年以下的有期徒刑或2000萬韓元以下的罰款。

編輯：薛華? icexue0321@163.com