《个人信息与隐私保护法律法规现状》报告 |
来源:聚铭网络 发布时间:2017-07-02 浏览次数: |
信息来源:安全牛
前言 随着我国信息化建设的不断推进和互联网应用的日趋普及,在推动社会发展和技术变革的同时,也为企业和个人信息保护带来了新的挑战。特别是近些年,个人信息在被各类主体挖掘和利用的同时,因个人信息泄露所引发的侵权、欺诈等信息犯罪行为日益严重,已为全社会造成了巨大损失,严重影响了社会安定。 对此,国家陆续颁布、实施了一系列法律、规范。特别是将于2017年6月1日正式实施的《中华人民共和国网络安全法》,强调了中国境内网络运营者对所收集到的个人信息所应承担的保护责任和违规处罚措施。 相较国内而言,欧美、日本和香港地区个人信息与隐私保护立法、实践较为完善,内容较为全面,特别是美国相关的立法原则成为了全球大多数国家、地区和国际组织个人信息与隐私保护法律、规则的参考原则。尽管我国已制定或修订了包含个人信息保护的多项法律、法规及行业规范,但是,专项个人信息保护法律制定的重要性和紧迫性仍不言而喻。因此,我们应立足国情,从实际情况出发,学习和借鉴国外及港澳台地区立法与实践经验,制定符合自身发展需要的个人信息保护法律,完善法律体系。 关键发现 √ 国际个人信息与隐私保护典型的法律模式以欧盟、美国和日本为代表。欧盟采用统一立法模式,通过制定综合性的个人信息保护法律对个人信息全生命周期进行管理;美国采用分散立法和行业自律相结合的模式,对个人隐私保护进行分散立法;日本则以专项保护法律为核心,同其他法律共同构成个人隐私保护法律体系。 √ 国际通行的个人信息保护原则以美国《公平信息实践》(FIPs)为参考,最终形成公开性原则、限制性原则、数据质量原则、责任与安全原则和个人信息权利保护原则等五大原则。 √国内对于个人信息保护的法律目前由具体的法律、行政法规、地方性法规和规章、各类规范性文件和部门规章等共同组成,形成多层次、多领域、内容分散、体系庞杂的个人信息保护模式,但尚未制定专项的《个人信息保护法》,立法工作进程有待快速推进。 √ 个人信息在网络日趋普及、云计算和大数据背景之下,特别是由于信息安全技术漏洞的出现和管理不当造成个人信息泄露和非法使用,个人信息犯罪案件频发。 引言 在当前信息社会,个人信息已成为一种重要的社会资源。随着数字时代的到来,数字化信息处理日趋普遍。对于个人信息处理而言,人们在享受数字化所带来的诸多便利同时,也面临着由个人信息数字化所带来的风险。特别云计算、大数据等高新技术的发展,如何保护个人信息已成为现代社会所面临的挑战,并成为一个全球性的法律问题。因此,个人信息保护立法工作成为各国的主要立法运动之一对于引导公民权利意识,规范政府和社会行为,明确不法侵害,保护个人权益都具有重要意义和作用。 一、个人信息与隐私的关系 1. 个人信息的概念与分类 1.1 个人信息的概念 个人信息是指与特定个人相关联的、反映个体特征的具有可识别性的符号系统,包括个人身份、工作、家庭、财产、健康等各方面的信息。 从各国立法看,学界目前比较一致的看法是,个人信息的概念始于1968年联合国“国际人权会议”中提出的“资料保护”。 目前,世界各国立法主要使用三种概念:个人数据、个人隐私与个人信息。以“个人数据”称谓的主要以欧盟成员国及受其影响较大的国家,如1978年法国《资料保护法》、挪威《资料登录法》和2016 年欧盟新通过的数据保护法案《通用数据保护指令》(General Data Protection Regulation,GDPR);以“个人隐私”称谓的主要有普通法国家,如1974年美国《隐私权法》、1987年加拿大《隐私权法》和1988年澳大利亚《隐私权法》;使用“个人信息”概念的,如1978年奥地利《信息保护法》、1999年韩国《公共机构之个人信息保护法》,以及1999年俄罗斯《俄罗斯联邦信息、信息化和信息保护法》等;也有将个人信息与个人数据共同使用的国家,如日本2005年4实施的《个人信息保护法》,而1980年9月由经济合作与发展组织(OECD)理事会通过的《关于隐私保护与个人数据跨国流通指南》则同时使用了“隐私”和“个人数据”两种概念,2010 年 4 月 27 日,我国台湾地区出台的《个人资料保护法》则用“个人资料”来定义个人信息,我国香港地区实施的《个人资料(隐私)条例》,则以资料、隐私来概括个人信息。 由我国社会科学院法学研究所周汉华研究员牵头负责的个人数据保护法研究课题组所起草的《中华人民共和国个人信息保护法(专家建议稿)》以及由广西大学法学院齐爱民教授所拟定的《中华人民共和国个人信息保护法示范草案学者建议稿》所使用的概念均为“个人信息”。 国内学界有观点认为“个人信息”是指一切可以识别本人的信息的总和,也有观点认为个人信息包括所有与个人有关的信息,具体包括:身体物理特征;感情、思想与观点;经济与财产状况;生活方式;身份信息;家庭与社会关系;职业经历、简历和个人档案资料;健康状况与病历;个人通信、日记和其他私人文件;其他所有纯属私人内容的个人数据资料。还有观点认为个人信息则是指那些能够据此直接或间接识别出特定自然人身份的信息,在现实生活中它往往需要通过诸如姓名、肖像、声音(声纹)、指纹、基因编码、身份证号码、各种与特定主体身份紧密相关的通信号码等各种符号、标识和载体而表现出来。 总体而言,个人信息涵盖内容非常广泛。 依据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条规定,“刑法第二百五十三条之一规定的‘公民个人信息’,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。” 1.2 个人信息的分类 根据不同的标准,个人信息可以划分为不同的类别:
2. 个人信息与个人数据和隐私的关系 2.1 个人信息与个人数据的关系 与个人信息在概念上最为接近的是“个人数据”。如前所述,个人数据概念使用的较多的主要是欧盟成员国以及其他受1995年欧盟《个人数据保护指令》影响而立法的其他大多数国家。在普通法国家(英国作为欧盟成员国除外),如美国、澳大利亚、新西兰、加拿大等,以及受美国影响较大的亚太经济合作组织(APEC),则大多使用隐私法概念。在日本、韩国、俄罗斯等国,则使用“个人信息法”概念。所以,从个人数据较为统一的概念上理解,个人信息与个人数据两个概念的基本内涵是相同的,区别在于表述的不同,在国内一般习惯将其概括为个人信息(personal information),而西方国家或者说国际立法上则更习惯于称其为个人数据(personal data)。 2.2 个人信息与隐私的关系 与个人信息在内容上有较多重合之处的另一个概念是隐私。 所谓隐私权,通常是指“私生活不受干涉的权利”,“或个人私事未经允许不得公开的权利”。也就是说,每一个人均有“不受旁人干涉搅扰的权利”。隐私权的实质在于,个人自由决定何时、何地以何种方式与外界沟通。就此而言,隐私权表现为个人对自身的支配权。 从个人信息和隐私的权利角度来看,个人信息权和隐私权都是人格权的一种,它们之间存在密切的关联性,在权利内容等方面存在一定的交叉,其相似性体现在以下几点: 第一,二者的权利主体都仅限于自然人,而不包括法人。从隐私权的权利功能来看,其主要是为了保护个人私人生活的安宁与私密性,因此,隐私权的主体应当限于自然人,法人不享有隐私权;个人信息因具有可识别性,即能直接或间接指向某个特定的个人,所以个人信息的权利主体限于自然人,而法人的信息资料不具有人格属性,法人不宜对其享有具有人格权性质的个人信息权,侵害法人信息资料应当通过知识产权法或反不正当竞争法予以保护。 第二,二者都体现了个人对其私人生活的自主决定。 无论是个人隐私还是个人信息,都是专属自然人享有的权利,而且都彰显了一种个人的人格尊严和个人自由。 第三,二者在客体上具有交错性。 隐私和个人信息的联系在于: 一方面,许多未公开的个人信息本身就属于隐私的范畴。事实上,很多个人信息都是人们不愿对外公布的私人信息,是个人不愿他人介入的私人空间,不论其是否具有经济价值,都体现了一种人格利益。一方面,部分隐私权保护客体也属于个人信息的范畴。尤其应当看到,数字化技术的发展使得许多隐私同时具有个人信息的特征,如个人通讯,都可以通过技术的处理而被数字化进而被纳入个人信息的范畴;同样,某些隐私因基于公共利益而受到一定的限制被查阅或纰漏,但并不意味着这些信息不再属于个人信息。 虽然二者都属于人格权,但是从保护内容、法律属性、权利角度、防范角度和保护方式来看,二者又存在区别。 第一 , 从内容来看,隐私强调对于个人的私密信息和活动、空间等不为外人所知晓、不被擅自公开,包含的内容大多是具有私密性的个人信息,对隐私的侵害主要是非法的披露和骚扰。个人信息权主要是指对个人信息的支配和自主决定,其内容包括个人对信息被收集、利用等的知情权,以及自己利用或者授权他人利用的决定权等内容,即便对于可以公开且必须公开的个人信息,个人应当也有一定的控制权。 第二,从法律属性上来看,隐私权主要是一种精神性的人格权,隐私主要体现的是人格利益,侵害隐私权也主要导致的是精神损害。而个人信息权在性质上属于一种集人格利益与财产利益于一体的综合性权利,并不完全是精神性的人格权,其既包括了精神价值,也包括了财产价值。另外,隐私权是一种消极的、防御性的权利,在该权利遭受侵害之前,个人无法积极主动地行使权利,而只能在遭受侵害的情况下请求他人排除妨害、赔偿损失等。个人信息权并不完全是一种消极地排除他人使用的权利。权利人除了被动防御第三人的侵害之外,还可以对其进行积极利用。 第三, 从防范角度来看,隐私权制度的重心在于防范个人秘密不被非法披露,而并不在于保护这种秘密的控制与利用,这显然并不属于个人信息自决的问题;而对个人信息权的侵害主要体现为未经许可而收集和利用个人信息、侵害个人信息,主要表现为非法搜集、非法利用、非法存储、非法加工或非法倒卖个人信息等行为形态。其中,大量侵害个人信息的行为都表现为非法篡改、加工个人信息的行为。 第四,从保护方式来看,对个隐私的保护注重事后救济,隐私权保护主要采用法律保护的方式;而对人信息的保护则注重预防,保护方式则呈现多样性和综合性,尤其是可以通过行政手段对其加以保护,例如,对非法储存、利用他人个人信息的行为,政府有权进行制止,并采用行政处罚等方式。 因此,只要不涉及到公共利益,个人信息的私密性应该被尊重和保护,而法律保护个人信息在很大程度上就是维护个人信息不被非法公开和披露等; 另一方面,私密的个人信息被非法公开则可能会对个人生活安宁造成破坏。在这种紧密的关联下,如何界分个人信息权和隐私权,反而显得更加必要。 二、国外个人信息与隐私保护实践 1. 个人信息保护法律模式与立法原则 1.1 个人信息保护的法律模式 目前,世界范围内有关个人信息保护比较好的模式主要有三种,即欧盟模式、美国模式和日本模式。 在欧洲,以德国为代表的大陆法系国家,将个人信息视作公民人格和人权的一部分,认为个人信息是自然人人格的载体,沿着一般人格权的保护思路引入“信息自决权”。以美国为代表的英美法系国家,则将个人信息视作公民隐私和自由的一部分,沿着隐私保护的思路提出“信息隐私权”概念。
欧盟模式又可称为统一立法模式,即制定一个综合性的个人信息保护法来规范个人信息的收集、处理和利用,该法统一适用于公共部门和非公共部门,并设置一个综合监管部门集中监管。1995年,欧盟通过经典的《个人数据保护指令》,这部在全欧洲范围内实行的个人信息保护立法,涉及范围广,执行机制清晰。欧盟凭借此法律,对进入欧盟的外企在信息保护方面,使欧洲成为全球个人信息保护的典范。
美国模式以隐私权为基础,是分散立法和行业自律相结合的模式。在公共领域,美国以隐私权作为宪法和行政法的基础,采取分散立法模式逐一立法。在私人领域,美国依靠自律机制(包括企业的行为准则,民间认证制度以及替代争议解决机制)实现对个人信息的保护,根据个人信息的具体内容,由相应的监管部门监管。
在借鉴欧洲和美国的信息保护模式下,日本在2005年通过《个人信息保护法》,通过这部法律全方面地实现个人信息保护。同时日本也注重行业自律和社团参与,从而形成独特的日本个人信息保护模式。 1.2 个人信息保护的立法原则 1973年,美国健康、教育和社会福利部(HEW)首次提出了《公平信息实践》(Fair Information Practices, FIPs) 并处于美国1974《隐私法案》的核心位置。 后期,在此基础之上逐渐完善,1980年,经济合作与发展组织(OECD)在《关于保护隐私和个人信息跨国流通指导原则》中揭示了个人信息保护八大原则,即:收集限制原则(Collection Limitation Principle)、数据质量原则(Data Quality Principle)、目的明确原则(Purpose Specification Principle)、使用限制原则(Use Limitation Principle)、安全保障原则(Security Safeguards Principle)、公开性原则(Openness Principle)、个人参与原则(Individual Participation Principle)和问责制原则(Accountability Principle)。这些指导原则对全球各国的立法产生了巨大的影响,有“已经成为制定个人信息保护文件的国际标准”之称。 自上世纪七十年代初个人信息保护问题提出以来,经过40余年的发展演变和提炼,目前基本形成了以下五大国际原则,作为各国和国际组织制定个人信息保护政策的基础:
即个人信息处理机构应公开关于个人信息处理的一切政策、流程和处理实践,禁止个人信息被秘密的处理;
包括个人信息的所有处理行为要坚持合法原则,个人信息数据库要坚持服务特定目的,在最少必须原则下收集和处理,信息的收集和使用范围、保存期限和销毁应受到限制;
即个人信息应当准确、完整和适时更新,机构对此责无旁贷;
即在个人信息保护问题上,作为数据控制者的机构必须承担个人信息保护的主要责任,要将个人信息保护内化于其业务流程和技术设计中,同时采取必要的安全防范措施保护个人信息,防止数据丢失或未经授权的访问、销毁、使用、修改或泄漏,并承担相应的责任;
充分保障信息主体的知情权、查询权、异议与纠错权,甚至是可携带权等。 2. 美国个人隐私保护法律实践 美国对于个人隐私的保护通过对于个人可识别信息(Personally Identifiable Information,PII)和相关的立法来实现。迄今为止,全球有超过80个国家和地区制定了专门保障个人隐私或个人信息(数据)的法律,包括公共和私有实体对个人信息进行信息收集、使用在内的各项活动。 1974 年12 月31 日, 美国参众两院通过的《隐私权法》(Privacy Act)后经国会修订后编入《美国法典》, 是美国行政法中保护公民隐私权和了解权的一项重要法律,并就“行政机关”,包括联邦政府的行政各部、军事部门、政府公司、政府控制的公司, 以及行政部门的其他机构等(如隐私保护研究委员会、管理与预算办公室)对个人信息的采集、使用、公开和保密问题做出详细规定, 以此规范联邦政府处理个人信息的行为, 平衡公共利益与个人隐私权之间的矛盾,但国会、隶属于国会的机关和法院、州和地方政府的行政机关不适用该法。 《隐私权法》§552a中对涉及个人可识别信息的“记录”进行了定义, 即关于个人的一项或一组信息,其由一个机构进行维护。个人记录包括,但不限于其教育、经济活动、医疗史、工作履历或犯罪记录以及其包括姓名、社会保障号码以及其他一切能够用于识别某一特定个人的标识,如指纹、音纹或相片等。此外,还对系统记录、统计记录和日常使用进行了定义。此外,该法还规定了行政机关对于“记录”的收集、登记、公开、保存等方面应遵守的准则。 以美国管理与预算办公室(OMB)为例,其针对个人隐私保护制定了一系列相关隐私指引。首部指引是针对1974《隐私权法》制定的《隐私权法实施 指引与职责》。该指引定义了为实施《隐私权法》的相关职责,从而确保美国联邦机构对于个人信息的收集在赋予的权限范围之内且遵守必须原则,并确保对个人信息的维护不会触犯个人隐私。该法律涉及的机构参照《隐私权法》§552e中的定义(参见上文“行政机关”定义),对于记录的定义参照《隐私权法》§552a中的定义。 部分OMB隐私管理指引 其他行业性法律对涉及个人信息的保护也以《隐私权法》为基础并进行更为详细的规定。以征信监管法律体系中的《公平信用报告法》(Fair Credit Reporting Act,FCRA)为例,该法律旨在保护影响消费者的信誉和地位信息的机密性,详细规定了征信机构和用户的责任与义务、信用报告的使用目的以及消费者的相关法律权利和责任。
总体而言,美国已形成针对政府和征信、医疗、电信等若干具体行业的个人隐私保护立法体系:
此外,美国还建立了发达的司法救济系统,在行政监管领域也建立了高效的执法机制,但对于买卖个人信息的行为,从其现有法律上很难找到有效的法律适用,并且没有建立包含对个人数据获取、存储和使用进行监管的专项法律,对跨境数据传输也未做特殊限制。 3. 欧盟个人信息保护法律实践 在欧盟,典型的个人信息保护法律是1995年的《个人数据保护指令》(Data Protection Directive)。该指令源于美国早期的FIPs原则,从法系上讲受德国和法国影响较大,所以,欧盟强调的个人信息保护,从民法上讲就是信息自主、信息控制和信息自决,其对国内的学者影响较大。 为应对云计算、大数据、移动互联网及跨境数据处理等应用场景所带来的新挑战,2016 年,欧盟通过了新的数据保护法案《通用数据保护指令》(又称《一般数据保护条例》)(General Data Protection Regulation,GDPR)并于 2018 年生效,取代先前制定的《个人数据保护指令》,旨在为加强欧盟区居民的数据保护,特别是指令对儿童信息使用和准许的保护,提供更加坚实的框架,指导跨欧盟个人数据的商业使用而设计的。其对于国际间的数据流动引入了新的职责和限制。此外,该指令还包括广泛的与隐私相关的要求,将对组织的立法、合规、信息安全、市场、工程和人力资源管理产生巨大的影响。 指令第一章第四条对 “个人数据”做出了明确定义,即与自然人相关的识别信息或可识别的信息;“可识别的自然人”是指能通过直接或间接方式,特别是通过参考姓名、身份证号、位置信息或通过物理、生物、遗传、精神、经济、文化或社会身份中一种或几种方式能够识别的个体。 不论是早期的《个人数据保护指令》还是新颁布的《通用数据保护指令》,均体现了欧洲大陆法系国家在个人信息保护领域统一化、标准化和一体化的立法和执法特点。总体上,欧盟基本上是把个人信息等同于个人隐私,然后各国设立隐私官行政主管机构,用公权力来进行介入。 以谷歌为例,2010年5月20日美国《纽约时报》网站报道,西班牙、法国和捷克官员宣布,计划就谷歌从本国无线网络用户那里搜集数据一事展开调查,因为谷歌的行为违反了当地的隐私保护法律,从而增加了谷歌公司在欧洲遭受制裁的可能性,而事情的起因则是谷歌公司在5天前表示,该公司无意间从全世界未加密的无线网络用户那里搜集到600 G的数据,据称这些数据属于电子邮件等个人信息。 2015年,法国数据保护机构国家信息与自由委员会(CNIL)拒绝了谷歌不执行“被遗忘权”的请求,距离制裁谷歌又迈进一步。 起因是欧盟最高法院去年5月裁定,允许用户从搜索引擎结果页面中删除自己的名字或相关历史事件,即所谓的“被遗忘的权”。根据该裁决,用户可以要求搜索引擎在搜索结果中隐藏特定条目。但是,谷歌拒绝CNIL的要求删除包括Google.com在内所有搜索网站中的内容。对此,CNIL发言人称,谷歌已被要求立即执行“被遗忘的权”,允许法国民众要求谷歌删除其所有网站上的敏感信息。如果谷歌拒绝执行,则CNIL在未来两个月内会准备制裁谷歌,最高可能被罚款15万欧元(约合16.9万美元)。如果再犯,将被罚款30万欧元。同时,美国消费者权利组织Consumer Watchdog隐私主管约翰·辛普森(John Simpson)也曾致信美国联邦贸易委员会(FTC),敦促FTC要求谷歌在美国执行“被遗忘权”。 无独有偶,2014年8月,著名社交媒体Facebook在欧洲也遭遇了类似的起诉。奥地利隐私保护人士马克西米利安·施雷姆斯(Maximilian Schrems)指控Facebook违背了欧洲数据保护法律,理由是Facebook包括参与美国国家安全局的“棱镜”项目,收集公共互联网的个人数据,违背欧洲数据保护法律,侵权用户隐私等。同时,施雷姆斯还指出,Facebook还通过“赞”按钮追踪第三方网站上的用户。另外,根据Facebook的数据使用政策和做法,他们会通过“大数据系统”监视用户在网上的行为,施雷姆斯表示此举违背了欧洲数据保护法律。该诉讼到了2.5万人的原告人数上限,另外3.5万名签名者都是表达自己对这起隐私诉讼的支持。大多数原告来自德国和奥地利这样的德语国家,他们对Facebook的隐私政策感到不满。荷兰、芬兰和英国也有大量用户参与其中。 在当前网络时代,个人信息的收集、存储、加工无时不有、无处不在。纵观欧盟的《通用数据保护指令》,其对个体权利、数据擦除等要求却难以实现,如数据主体应收到其个人数据是否正在被处理的确认,数据主体可以访问到与自身相关的数据,个人数据不再满足早期数据收集或处理目的时应对其进行擦除。此外,对于个人信息曾被哪些主体存储过、存储的地方也无法准确获知。 即便如此,欧盟在个人信息保护和立法方面还是值得学习和借鉴。其从个人信息的采集,到信息的使用和交流,一直到信息的销毁,整个信息的全流程、全周期都有很明确的行为规范要求。
作为个人信息的最大拥有者——政府机构,也同样和其他私有主体一样受到法律监管。欧盟设立的独立信息保护机构可对政府机关的个人信息泄露采取法律制裁。信息保护机构还可对企业的个人信息泄露行为进行检查、要求整改和定期报告,并追究法律责任。此外,该法律对于进入欧洲市场的企业也同样具有法律约束力,特别是向第三方进行个人信息转移。 除上述保护法规之外,欧盟还制定了防范用户在通信服务过程中潜在风险的《隐私与电子通讯指令》(Privacy and Electronic Communications Directive)、对成员国在人类使用医疗产品最佳临床实践进行监管的《临床试验指令》和用于金融数据管理的“Convention 108”等相关法律、法规。 4. 日本个人信息保护法律实践 自19 世纪 70 年代中期开始,日本法开始走上全面西方化的道路,以欧洲大陆,尤其德国法律为模式,其法律制度以欧陆法系德国及法国为蓝本进行设计。 早期的日本个人信息保护体系,主要由针对国家行政机关的立法、地方自治团体的立法、个别专门性法律中的相关规定以及行业自律机制构成。另外,日本一些信息保护方面的行政法规也对隐私权做出了相应的保护,如《建立高度信息通信网络社会基本法》、《电子签名法》、《禁止非法接入法》、《个人信息保护法》、《行政机关保存的个人信息保护法》、《独立公共事业法人等保存的个人信息保护法》、《信息公开、个人信息保护审查会设置法》等法律中都包含有对公民个人隐私性信息的保护的规范性条款。 2005年4月1日生效实施的《个人信息保护法》,由于其基本思想是为正确处理个人信息保护和利用之间的关系,确保个人信息有效利用的同时保护个人信息的安全,约束和防范滥用个人信息等不法行为,从而在日本隐私权行政法规保护方面居于绝对的核心地位,对日本国民隐私起到重要的保护作用。 5. 中国香港地区个人信息保护法律实践 我国香港地区在个人信息与隐私保护方面具有良好的社会和法制环境。除香港居民具有很强的个人信息保护意识外,香港还设有亚洲国家和地区唯一的个人信息保护机构——香港个人隐私专员公署,并颁布了《个人资料(隐私)条例》。 针对部分香港商业机构在未经客户同意下将客户个人信息转卖给第三方的现象,2013年4月1日,香港正式实施有关保护个人信息安全的新条例。根据新条例,任何商业机构如果将客户个人信息用作促销等商业行为,必须事先得到客户的明确同意,否则属于违法。负责执行相关条例的香港个人资料私隐专员公署表示,任何人如不遵守这一条例,滥用个人信息,或者为了获利将客户信息提供给第三方,均属刑事犯罪,最高处以一百万元港币的罚款并监禁五年。 香港个人隐私专员公署成立于1996年8月1日,其地位特殊性主要体现在其独立性方面,即不需要向最高行政长官负责和报告,也不受相关任何机构的管制。它的职责是《个人资料(隐私)条例》的施行,其目标只是确保个人和公司(其他机构)认识自己在个人信息保护领域的权利和义务。 作为香港个人信息保护的主要法规,《个人资料(隐私)条例》规定了个人信息的收集、持有、处理和使用的规则,适用于所有产业和所有类型的个人信息,但不适用于法人隐私。其立法原则主要包括:个人信息的收集原则、准确性及保留期限原则、个人信息使用原则、个人信息的安全性原则、信息公开原则和信息获取原则。 虽然香港制定专项的个人信息保护法律,但民众仍遭受因个人信息泄露和买卖而带来的个人利益损失。曾经轰动一时的“艳照门”成为个人隐私严重泄露的典型代表;对此,香港九龙城裁判法院对传播者判处入狱两个月,缓刑两年的裁决。2008年6月,香港公立医院发生数次因遗失USB等可携电子储存装置造成数万名病人数据外泄的信息泄露事件。2014年7月,香港前汇丰银行副经理涉嫌泄露客户信息而被立案审查。该副经理于去年12月离职当天,将1045个属于汇丰的客户数据传送到自己的个人电子邮箱,并于同日再把资料转发至新公司的邮箱账户。 6. 部分国家和地区个人信息/隐私保护法律概述 除欧盟、美国和日本之外,其他国家和地区也紧跟欧美步伐逐步完善本国的信息保护体系,个人信息保护立法和监管也非常成熟,落实个人信息保护的国际共识性原则,正成为个人信息保护的国际趋势。
三、国内个人信息保护法律实践 1. 个人信息保护法律现状 目前,我国尚未制定关于个人信息保护的专项法律,个人信息保护由具体的法律、行政法规、地方性法规和规章、各类规范性文件和部门规章等共同组成,形成多层次、多领域、内容分散、体系庞杂的个人信息保护模式。 《中华人民共和国宪法》第33条、第38条、第39条和第40条关于保障人权、人格尊严、通信和住宅隐私的有关规定,是中国个人信息权利的宪法来源。《中华人民共和国民法通则》、《中华人民共和国侵权责任法》等关于人格权保护与侵权救济条款,奠定了个人信息保护的民事制度基础,但内容相对缺乏针对性。 2009年《中华人民共和国刑法修正案(七)》第7条针对个人信息犯罪做了规定;2015 年 11 月,《刑法修正案(九)》增加的第 286 条之一,针对网络服务提供者不履行网络安全管理义务造成危害后果,构成犯罪的有关情况做了明确规定。2016 年最高人民法院完成了《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(送审稿)。 2012年12月28日全国人大常委会表决通过《关于加强网络信息保护的决定》首次在法律层面确立了网络信息规范;2016年11月7日全国人大常委会通过《中华人民共和国网络安全法》(2017年6月1日实施),进一步明确规范网络空间用户个人信息安全;《中华人民共和国消费者权益保护法》、《中华人民共和国居民身份证法》、《中华人民共和国统计法(2009年修正)》、《中华人民共和国商业银行法(2003年修正)》等一系列法律法规,对于个人信息的保护也均有体现。 部分国内个人信息/隐私保护法律与规定 针对早期关于公民个人信息范围界定和侵害个人信息量刑标准不一致等方面存在的问题,在最高人民法院、最高人民检察院首次就打击侵犯个人信息犯罪出台的司法解释中有了明确规定。
但是,对于列举之外的个人信息还有很多。如我国台湾地区出台的《个人资料保护法》对“个人信息”的定义,不仅包含了常见的自然人姓名、出生年月日、身份证统一编号、护照号码、婚姻、家庭、教育、职业、病历、医疗、联络方式、财务情况、社会活动、健康检查等常见的个人信息,还包括了特征、指纹、基因、性生活、犯罪前科等其他个人信息。因此,个人信息的保护范围可予以扩大。 此外,虽然个人信息权和隐私权之间存在密切联系,但仍需要在法律上明确个人信息权的性质和内容,界分与隐私权的关系,进而使得个人信息获得全面充分的保护,增强全社会对于个人信息权利保护的观念。 另外,我国目前还未成立专门的个人数据信息的监督保护机构,这也会造成了个人数据信息安全保护的缺失和遭受侵害时的救济缺失。 2. 个人信息保护现状 个人信息权利是信息社会中公民基本权利的一部分,保护个人信息权利也是维护国家安全和公共安全的基础。对此,国家也不遗余力,大力整治个人信息犯罪。 2016年7月20日,公安部官网以《公安机关打击整治网络侵犯公民个人信息犯罪成效显著》为题报道了公安部门打击侵犯公民个人信息犯罪的努力。截止发稿时,全国公安机关累计查破刑事案件750余起,抓获犯罪嫌疑人1,900余名,缴获信息230余亿条,清理违法有害信息35.2万余条,关停网站、栏目610余个。 但是,国内对于个人信息的保护仍存在不足之处,主要体现在以下几方面:
当前,因个人信息在收集、存储和使用过程中管理不善所造成的危害已经严重冲击到了个人权益甚至社会稳定。 《2015中国网民权益保护调查报告》显示,近一年来,有82.3%的网民亲身感受到由于个人信息泄露对日常生活造成的影响,网民人均蒙受实际经济损失124 元,总体损失约 805 亿元(我国网民数量 6.49 亿 x 网民平均经济损失 124 元=804.76 亿元);高达 7%的网民(估算约 4500 万)近一年由于各类权益侵害造成的经济损失在 1000 元 以上。 此外,个人信息的泄露不仅造成用户数据在互联网平台非法交易,还由此滋生了大量的电信、网络诈骗等下游违法犯罪行为,造成社会巨大损失,严重影响社会安定,成为社会公害,更严重还会出现根据用户特征设计实施的“精准式”诈骗,威胁公众财产和人身安全。 2016年2月,江苏省淮安市有人利用互联网大肆倒卖车主、车牌号、车辆类型等公民个人信息。经淮安公安机关缜密侦查抓获犯罪嫌疑人并当场查获公民信息1,500余万条,另据犯罪嫌疑人交代,自2015年以来,其非法售卖、提供公民个人信息1,177万余条,牟利3,000余元。“徐玉玉案”的发生不仅折射出了“个人信息泄露-非法交易/获取“的黑色产业链,同时也引发了全社会对个人信息泄露现状的高度关注和热议,再次将个人信息保护和相关立法工作再次推向的大众视野。
近些年,航空售票系统、医疗卫生系统个人信息系统由于遭受黑客攻击或由于内部管理不善,导致个人信息泄露事件发生,降低相关企业甚至行业的公信力,影响其健康和可持续发展。 2014年3月,国内知名旅游网——携程旅行网被报道,其支付日志存在漏洞,用户银行卡信息可被黑客任意读取。黑客可通过用户的手机号码、银行卡号和信用卡验证码注册第三方支付账号,从而跳过用户和银行绑定的手机,进行盗刷。这些数据可以用来创建或关联第三方支付,国内第三方支付公司多达几百家,可以利用的点很多。受害者很容易出现资金被盗的情况。显然,携程网的做法已经明显违反了中国银联风险管理委员会2008年发布的《银联卡收单机构账户信息安全管理标准》。一时间,公众对于隐私安全的敏感神经再一次被挑动。而互联网大数据应用的信息安全问题也被推至风口浪尖。 同年12月2日,作为国内知名航空公司的东方航空也被报道大量用户订单信息遭到泄露。资深航空从业人士指出,这样的漏洞会导致关于旅客姓名、手机号以及航班信息等资料外泄,部分乘客接到恶意诈骗短信的通知而遭受大量经济损失,给消费者造成伤害已经显而易见。东航系统漏洞的存在更是相当于将旅客信息赤裸裸地暴露在犯罪分子的目光之下,而作为个人信息的持有者和管理者则未尽到所应承担的责任和义务。 同年12月25日,作为国内权威的铁路售票系统网站——12306网站的大量用户数据在网络疯狂传播。本次泄露事件被泄露的数据达131,653 条,包括用户账号、明文密码、身份证和邮箱等多种信息,共约14M数据。这不是12306网站第一次发生用户信息泄露事件,但是最大的一次。这些账号信息以明文方式传播,一旦被不发分子利用,试图登陆相关账号的其他平台账号,可能会造成涉案人员的经济损失;另外,已经有利用泄露信息非法登陆其他人12306账号并退票的相关报道,对相关的人员造成一些损失。
由于中国个人信息保护力度不及欧美等国,在国际经贸往来中,在华外资金融机构选择将境内客户个人信息转移到境外处理已成惯例。此外,在互联网信息化时代和大数据背景下基于规模化个体信息的加工分析,可形成对国家安全的细微洞察,公民个体信息失去保护,中长期看国家安全也难以得到切实保障。 3. 个人信息保护立法的必要性与合理性 3.1 个人信息保护立法保障国家战略顺利实施 宏观层面上来看,包括国家大数据战略在内的“互联网+”行动计划和“走出去”战略以及“一带一路”等国家宏伟蓝图的实现,其中必然伴随着对个人敏感信息和跨境数据的处理。 如何尽快制定相关个人信息保护的法律,使得相关方对个人数据在国家法律框架之下得到合规操作,妥善保护个人信息,促进大数据产业发展,实现大数据战略,落实“互联网+”行动计划就成为当务之急。特别是在当前云技术和移动互联迅猛发展的大背景下,其所带来的挑战更不容小觑,同时也会影响国家形象和国际竞争的参与。 3.2 个人信息保护立法是完善国家法律体系的必然需要 由于目前我国没有统一的个人信息保护法,个人信息保护方面的工作通过特定法律、一般性规范和具体规定来保障,侵害个人信息需要承担民事、行政乃至刑事责任。但是,这些规范在形式上过于分散,对于普通民众和商家来说都难以形成直观的认知,应尽快制定统一的个人信息保护法,对其进行系统化梳理和整合,无论是从立法资源的节省、立法技术的提高、规则体系的优化,还是向民众普及个人信息法律,保护的常识和意识来看,都存在必要性和合理性。 ”互联网+“时代,个人信息保护的漏洞与风险被进一步放大,加强个人信息保护的重心,其实已经转移到网络。虽然《网络安全法》作为我国网络领域的基础性法律将个人信息保护列入其中,既是出于国家网络空间主权和网络安全考虑,也是对当前个人网络信息安全严峻现实的直接回应,但远不能全方位地保护个人信息安全,也存在个人信息保护的法律漏洞。一方面,它侧重于网络安全,而非针对个人信息保护的专门性法规;另一方面,当前涉及个人信息保护的法律条款仍多散见于相关法规中,在权威和效力上都有待提升。 所以,应通过制定个人信息保护法,明确国家对于个人信息保护的决心,树立其法律地位。同时,在法律层面上明确线上、线下及跨境数据传输过程中的各类个人信息采集及使用的方式、范围及标准,并严格规范各类数据采集及使用主体在信息处理方面的细则,完善个人信息安全方面的保障要求与信息披露义务,以及针对个人信息权层面的相关权益保障要求,充分保障用户在信息层面的知情权、选择权、受尊重权及信息安全权在内的各项基础性权利。 3.3 个人信息保护立法是依法执法的基础 目前在国内,不同政府部门和社会机构掌握着不同的个人信息,如公安部门掌握着公民的户籍身份、家庭成员及住址信息,金融部门和机构掌握着公民的账户信息、财产信息、交易信息和信用信息,教育部门和学校掌握着公民的就学及考试成绩信息,税务部门掌握着公民的纳税信息,劳动人事部门掌握着公民的人事档案信息,电信部门和机构掌握着公民的通信信息,铁路、公路和民航部门和企业掌握着公民的出行信息,医疗卫生部门和医院掌握着公民的疾病信息、就医信息,司法部门掌握着公民的诉讼信息等等,而互联网公司掌握着公民全部的上网搜索、浏览、购物、社交等网络信息。 各相关部门和商业机构在对个人信息进行收集、加工等过程中,势必会发生信息收集不当、滥用和泄露的事件,从而导致个人权利和利益频遭侵害。2016年发生的高考学生遭电信诈骗后自杀等恶性事件,就是因为学生个人信息遭到泄露引发。此外,任由外国组织收集中国公民个人信息,还可能使危及国家安全的情形扩大蔓延,尤其是伴随互联网传播而导致对个人权益的危害快速扩大并且不易消除。 这些就迫使国家必需尽快制定个人信息保护法律,使得公民在个人信息权益遭到侵害进行法律诉讼时有法可寻、有法可依,社会公共机构和商业机构在公民个人信息收集和处理过程中做到有法必依,司法部门在执法过程中做到有法可依、违法必究。 3.4 公众观念改变促使立法工作更为迫切 据中国互联网络信息中心第39次《中国互联网络发展状况统计报告》显示,截至2016年12月,中国网民规模达7.31亿,互联网普及率达到53.2%,互联网已经成为我们生活的一部分,而伴随互联网普及所带来的个人信息和商业秘密的泄露也就日趋常见。 通过“徐玉玉案”等一系列恶性案件给社会带来的不良影响,也使人们充分意识到了个人信息泄露和滥用所带来的严重社会危害,个人信息保护重要性意识更加强烈,需求更加迫切,这就出现了民众对个人信息法律保护的需求与个人信息保护法律缺位之间的矛盾。 4. 对于个人信息保护的建议 4.1 采取统一立法模式,系统确立原则和规范 充分吸收、借鉴欧盟、美国、日本和我国香港、澳门及台湾地区个人信息保护立法的成功经验,采取统一立法的模式,制定《个人信息保护法》并完善相关法律体系,明确规定个人信息的涵义,确立个人信息权,明确国家机关信息处理主体和非国家机关信息处理主体收集、利用和处理个人信息的基本原则和规范,特别是立法原则应体现五大国际原则和所提交的《信息安全技术 公共及商用服务信息系统个人信息保护指南》(征求意见稿)中确立的个人信息安全基本原则。 4.2 明确个人信息分类保护 凡涉及到与个人身份识别相关各个方面的信息,在其收集、存储、利用过程当中应当符合“目的明确原则”、“最少够用原则”、和“合法必要原则”。 以2013年1月21日国务院公布的行政法规《征信业管理条例》为例,第二十条规定:“信息使用者应当按照与个人信息主体约定的用途使用个人信息,不得用作约定以外的用途,不得未经个人信息主体同意向第三方提供”。 第十四条规定:“禁止征信机构采集个人的宗教信仰、基因、指纹、血型、疾病和病史信息以及法律、行政法规规定禁止采集的其他个人信息。征信机构不得采集个人的收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息。” 4.3 全面落实用户授权和公开透明机制 个人信息的收集和处理过程应满足“同意和选择原则”,即经过信息主体的授权。以《征信业管理条例》为例,第十三条规定,“采集个人信息应当经信息主体本人同意,未经本人同意不得采集。但是,依照法律、行政法规规定公开的信息除外。” 第十八条规定:“向征信机构查询个人信息的,应当取得信息主体本人的书面同意并约定用途。但是,法律规定可以不经同意查询的除外。 征信机构不得违反前款规定提供个人信息。 第十九条规定:“征信机构或者信息提供者、信息使用者采用格式合同条款取得个人信息主体同意的,应当在合同中做出足以引起信息主体注意的提示,并按照信息主体的要求做出明确说明。” 4.4 规范个人信息管理机构对个人信息的安全管理 确保我国公民个人信息安全不仅是各管理机构所应承担的法律责任和义务,同时也关系到国家安全。所以,应在个人信息保护法律中明确对涉及个人信息采集、加工、存储、使用及删除等全数据生命周期过程提出对相关机构的法律约束,并要求其建立并制定相应的内部管控流程和制度,确保在我国境内的个人信息安全。 《征信业管理条例》第二十四条规定的“征信机构在中国境内采集的信息的整理、保存和加工,应当在中国境内进行。征信机构向境外组织或者个人提供信息,应遵守法律、行政法规和国务院征信业监督管理部门的有关规定。” 2014年5月由国家卫生计生委发布的《人口健康信息管理办法(试行)》和2016年6月21日,由国务院办公厅发布的《国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见》。前者第十条规定“不得将人口健康信息在境外的服务器中存储,不得托管、租赁在境外的服务器”;后者则要求“在健康医疗大数据保障体系建设方面要加强大数据安全监测和预警,建立安全信息通报和应急处置联动机制,建立健全‘互联网+健康’医疗服务安全工作机制,完善风险隐患化解和应对工作措施,加强对涉及国家利益、公共安全、患者隐私、商业秘密等重要信息的保护,加强医学院、科研机构等方面的安全防范。” 4.5 完善信息泄露应急预案 尽管现行法律、法规没有对个人信息泄露的应对措施作具体规定,但是出于个人信息管理者所应承担社会责任的需要,并参考《网络安全法》 “监测预警和应急处置”的相关内容,可对信息泄露应急处置提出要求,制定应急预案并不定期进行应急演练,从而保证在极端情况下发生信息泄露时,可以准确定位到信息泄露的原因及问题所在,并在最短时间内进行处置与控制信息安全风险,以争取将信息泄露风险控制在最低程度。 此外,鉴于大规模个人信息泄露发生时会对公共社会稳定性造成巨大影响,所以还应对舆情监测和涉及公共关系管理等内容提出要求。 版权声明 《个人信息与隐私保护法律法规现状报告》(以下简称为“报告”)为安全牛研究成果,版权为安全牛独家拥有,其性质是供安全牛客户内部参考的资料,其数据和结论仅代表安全牛的观点。 报告仅限于安全牛使用。未经安全牛审核、确认及书面授权,购买报告的客户不得以任何方式,在任何媒体上(包括互联网)公开引用本报告的观点和数据,不得以任何方式将报告的内容提供给其他单位或个人。否则引起的一切法律后果由该客户自行承担,同时安全牛亦认为其行为侵犯了安全牛的著作权,安全牛有权依法追究其法律责任。 报告中未注明来源的所有图片、表格及文字内容的版权归安全牛所有。有侵权行为的个人、法人或其它组织,必须立即停止侵权并对其因侵权造成的一切后果承担全部责任和相应赔偿。否则安全牛将依据中华人民共和国《著作权法》、《计算机软件保护条例》等相关法律、法规追究其经济和法律责任。 本声明未涉及的问题参见国家有关法律法规,当本声明与国家法律法规冲突时,以国家法律法规为准。 作者:段振华
|