高榮偉

隨著網(wǎng)絡(luò)信息技術(shù)的進(jìn)步和社會信息化程度的不斷提高，人們越來越意識到個(gè)人信息保護(hù)的重要性。如何為個(gè)人隱私和信息安全筑起一道保護(hù)屏障成為信息時(shí)代各國管理機(jī)構(gòu)的一道必答題。

為了確保個(gè)人信息的便捷流通與安全使用，世界上許多國家和地區(qū)制定了與個(gè)人信息保護(hù)相關(guān)的法律法規(guī)和政策。

美國：實(shí)施“分散立法”模式

美國是從法律角度開展個(gè)人信息保護(hù)最早的國家之一。在個(gè)人信息保護(hù)方面，美國實(shí)施的是“分散立法”模式，主要圍繞美國憲法規(guī)定的隱私權(quán)保護(hù)展開立法。

1974年，美國頒布《隱私權(quán)法》。該法不但明確了個(gè)人信息的概念，還對舉證責(zé)任、賠償責(zé)任、救濟(jì)途徑等都進(jìn)行了較為全面的規(guī)定。隨著個(gè)人信息保護(hù)的不斷完善，如今美國已經(jīng)形成了政府、電子商務(wù)、電信、金融等若干領(lǐng)域的行政法保護(hù)體系，通過在部分單項(xiàng)立法中針對一些特定主體行為的方式來保護(hù)。如《信息自由法》《駕駛員隱私保護(hù)法》《兒童在線隱私保護(hù)法》《消費(fèi)者隱私保護(hù)法案》，以及《電子通信隱私法》等。值得注意的是，在立法沒有涉及的領(lǐng)域，聯(lián)邦政府采用了“行業(yè)自律”的模式來保護(hù)公民隱私。

不過，美國模式仍然存在一定的不足。比如，盡管強(qiáng)調(diào)“行業(yè)自律”，但畢竟缺少強(qiáng)制力。2018年3月17日，《紐約時(shí)報(bào)》曝光了一家名為“劍橋分析”的數(shù)據(jù)分析公司及其關(guān)聯(lián)公司“戰(zhàn)略通信實(shí)驗(yàn)室”的相關(guān)丑聞。據(jù)悉，“劍橋分析”曾于2016年美國總統(tǒng)競選期間為現(xiàn)任總統(tǒng)特朗普提供數(shù)據(jù)分析服務(wù)。《紐約時(shí)報(bào)》稱，這兩家公司竊取并私自保留了5000萬臉書用戶數(shù)據(jù)。這則報(bào)道的弦外之音不言而喻：臉書對于不正當(dāng)抓取和使用其用戶信息是持默許態(tài)度的。報(bào)道一出，臉書這家早已備受指責(zé)的社交媒體巨頭再次陷入聲討之中。

“劍橋分析”事件曝光后，美國聯(lián)邦貿(mào)易委員會（FTC）對臉書罰款50億美元，扎克伯格承諾“對生產(chǎn)產(chǎn)品和運(yùn)營公司的方式進(jìn)行重大結(jié)構(gòu)性改革”，并對APP權(quán)限做了限制。然而幾個(gè)月后，媒體又爆出與之合作的100多個(gè)第三方應(yīng)用可能已經(jīng)通過臉書工程組的編程界面訪問了用戶的個(gè)人數(shù)據(jù)。這些可能涉及泄露的信息包括了用戶姓名和個(gè)人圖片。由此，“行業(yè)自律”模式的弊端再次呈現(xiàn)在世人眼前。

歐盟：出臺“史上最嚴(yán)”的個(gè)人數(shù)據(jù)保護(hù)法案

2018年5月25日，歐盟《一般數(shù)據(jù)保護(hù)條例》（GDPR）正式實(shí)施。GDPR高度重視個(gè)人數(shù)據(jù)保護(hù)與監(jiān)管，為之設(shè)置了一系列的保護(hù)門檻和機(jī)制，被業(yè)界與學(xué)界稱為“史上最嚴(yán)”的個(gè)人數(shù)據(jù)保護(hù)法案。

該條例引入了新的個(gè)人信息保護(hù)原則，加大了對信息侵權(quán)行為的處罰力度。條例規(guī)定，數(shù)據(jù)控制者應(yīng)在72小時(shí)內(nèi)向監(jiān)管機(jī)構(gòu)報(bào)告?zhèn)€人數(shù)據(jù)的泄露情況。當(dāng)數(shù)據(jù)泄露可能會給數(shù)據(jù)主體的權(quán)利或自由帶來巨大風(fēng)險(xiǎn)時(shí)，數(shù)據(jù)控制者必須毫不延誤地通知數(shù)據(jù)主體。對于沒有取得用戶同意等行為，條例罰款上限是1000萬歐元或?qū)ζ髽I(yè)而言上一年度全球營業(yè)收入的2%（兩者中取數(shù)額大者）;對于嚴(yán)重的違法行為，罰款上限是2000萬歐元或?qū)ζ髽I(yè)而言上一年度全球營業(yè)收入的4%（兩者中取數(shù)額大者）。

為加強(qiáng)對歐盟居民個(gè)人數(shù)據(jù)的保護(hù)，GDPR采用了“長臂管轄”原則，將適用范圍擴(kuò)大到設(shè)立在歐盟境外的企業(yè)。條例規(guī)定，如果歐盟境外數(shù)據(jù)控制者或處理者的數(shù)據(jù)處理行為被認(rèn)定與歐盟境內(nèi)經(jīng)營場所開展的業(yè)務(wù)存在“無法割裂的聯(lián)系”，GDPR有權(quán)管轄其行為。2019年1月，法國國家信息與通信委員會以違反GDPR第5、6、13、14條關(guān)于“未向用戶告知其數(shù)據(jù)如何被收集之規(guī)定”為由，對谷歌開出了5000萬歐元的罰單。2019年7月，英國通信管理局以數(shù)據(jù)泄露違反GDPR第32條規(guī)定為由，先后對英國航空和萬豪國際開出1.83億英鎊和9920萬英鎊的巨額罰單。

日本：采用“統(tǒng)分結(jié)合”的立法模式

日本是一個(gè)信息化程度非常高的國家，近年來濫用甚至盜用個(gè)人信息給消費(fèi)者造成財(cái)產(chǎn)或個(gè)人隱私損失的惡性案件時(shí)常見諸報(bào)端。在日本，包含企業(yè)或政府等團(tuán)體的住址在內(nèi)，泄露的個(gè)人信息數(shù)量超過了1000萬件。

日本保護(hù)個(gè)人信息的立法起步早，且特色鮮明。對于個(gè)人信息的保護(hù)，日本采取的是“統(tǒng)分結(jié)合”的立法模式。2017年5月30日，日本最新修訂的《個(gè)人信息保護(hù)法》正式實(shí)施。該法規(guī)定，“在向第三方提供時(shí)，應(yīng)事先征得本人的同意”;“員工以非法獲利為目的提供竊取個(gè)人信息數(shù)據(jù)庫時(shí)，處以1年以下有期徒刑或50萬日元以下的罰款（同時(shí)對公司課以罰款）”。

根據(jù)《個(gè)人信息保護(hù)法》，個(gè)別的政府主體或者民間主體針對特定的領(lǐng)域可以制定個(gè)別法或特殊法。如日本信息處理系統(tǒng)中心制定的《關(guān)于金融機(jī)構(gòu)等保護(hù)個(gè)人數(shù)據(jù)的指導(dǎo)方針》，日本信息處理開發(fā)協(xié)會制定的《關(guān)于民間部門個(gè)人信息保護(hù)指導(dǎo)方針》。在此基礎(chǔ)上，經(jīng)濟(jì)產(chǎn)業(yè)省制定了《關(guān)于民間部門電子計(jì)算機(jī)處理和保護(hù)個(gè)人信息的指導(dǎo)方針》，總務(wù)省制定了《關(guān)于電氣通信事業(yè)保護(hù)個(gè)人信息的指導(dǎo)方針》等。

新加坡：應(yīng)告知收集、使用或披露的目的

新加坡2012年頒布《個(gè)人數(shù)據(jù)保護(hù)法令》，確保公民在個(gè)人數(shù)據(jù)受到侵害時(shí)可尋求法律保護(hù)。該法令第三部至第六部詳細(xì)規(guī)定了各類機(jī)構(gòu)關(guān)于收集、使用或披露個(gè)人數(shù)據(jù)的范圍、條件或要求。

法令規(guī)定，機(jī)構(gòu)應(yīng)當(dāng)在收集個(gè)人數(shù)據(jù)之時(shí)或之前，告知個(gè)體收集、使用或披露其個(gè)人數(shù)據(jù)的目的;在個(gè)體需要的情形下，告知其收集、使用或披露個(gè)人數(shù)據(jù)相關(guān)人的業(yè)務(wù)聯(lián)系方式。機(jī)構(gòu)未經(jīng)個(gè)體同意自其他機(jī)構(gòu)收集個(gè)人數(shù)據(jù)之時(shí)或之前，應(yīng)當(dāng)向其他機(jī)構(gòu)提供關(guān)于收集目的的充分信息，使對方確定披露是否符合本法。

法令生效以來，新加坡已對未盡到保護(hù)個(gè)人數(shù)據(jù)義務(wù)或侵犯個(gè)人數(shù)據(jù)的多家機(jī)構(gòu)作出了處罰。其中，處罰最重同時(shí)也是影響最大的個(gè)人數(shù)據(jù)遭泄露的案例，是2019年的新康集團(tuán)集群案。

韓國：允許不可識別的個(gè)人信息作為大數(shù)據(jù)使用

目前，在個(gè)人信息及數(shù)據(jù)保護(hù)法領(lǐng)域，韓國形成了《個(gè)人信息保護(hù)法》《信息通信網(wǎng)利用促進(jìn)及信息保護(hù)法》及《信用信息的利用及保護(hù)法》三法分立的局面。

根據(jù)2016年3月韓國修訂的《個(gè)人信息保護(hù)法》第15條至23條，“收集或利用或向第三者提供個(gè)人信息時(shí)， 必須征得信息主體的同意， 不必要保留個(gè)人信息時(shí)， 應(yīng)及時(shí)刪除”。2016年4月，韓國公布了《信用信息的利用及保護(hù)法》的修改草案，規(guī)定“經(jīng)過不可識別處理的個(gè)人信息可以無須信息主體的同意而加以利用或向第三者提供”，即經(jīng)過不可識別處理的個(gè)人信息被允許在當(dāng)初收集和使用目的范圍以外使用。同年6月，包括行政自治部在內(nèi)的韓國政府6大機(jī)構(gòu)共同公布了“個(gè)人信息不可識別處理指南”，規(guī)定允許不可識別的個(gè)人信息作為大數(shù)據(jù)使用。

對于違反規(guī)定的個(gè)人信息跨境轉(zhuǎn)移與再轉(zhuǎn)移行為，可能造成用戶權(quán)利嚴(yán)重侵害的，修正案規(guī)定，廣播通信委員會可以命令中斷轉(zhuǎn)移或再轉(zhuǎn)移，并可以對不履行中斷命令的個(gè)人信息處理者處以2年以下的有期徒刑或2000萬韓元以下的罰款。

編輯：薛華? icexue0321@163.com