高榮偉

隨著網(wǎng)絡(luò)信息技術(shù)的進(jìn)步和社會(huì)信息化程度的不斷提高，人們?cè)絹?lái)越意識(shí)到個(gè)人信息保護(hù)的重要性。然而，由于管理手段的薄弱，技術(shù)手段的缺失，基于智能技術(shù)分析和利用后的個(gè)人信息經(jīng)常面臨著被濫用或泄露的問題。如何為個(gè)人隱私和信息安全筑起一道保護(hù)屏障，成為信息時(shí)代各國(guó)管理機(jī)構(gòu)的一道必答題。

為了確保個(gè)人信息的便捷流通與安全使用，世界上許多國(guó)家和地區(qū)制定了與個(gè)人信息保護(hù)相關(guān)的法律法規(guī)和政策。

美國(guó)：實(shí)施“分散立法”模式

作為當(dāng)今經(jīng)濟(jì)技術(shù)強(qiáng)國(guó)，美國(guó)是從法律角度開展個(gè)人信息保護(hù)最早的國(guó)家之一。在個(gè)人信息保護(hù)方面，美國(guó)實(shí)施的是“分散立法”模式，主要圍繞美國(guó)憲法規(guī)定的隱私權(quán)保護(hù)展開立法。

1974年，美國(guó)頒布《隱私權(quán)法》（The Privacy Act of 1974）。該法不但明確了個(gè)人信息的概念，還對(duì)舉證責(zé)任、賠償責(zé)任、救濟(jì)途徑等都進(jìn)行了較為全面的規(guī)定。隨著個(gè)人信息保護(hù)的不斷完善，如今，美國(guó)已經(jīng)形成了政府、電子商務(wù)、電信、金融等若干領(lǐng)域的行政法保護(hù)體系，通過(guò)在部分單行立法中針對(duì)一些特定主體行為的方式來(lái)保護(hù)。如《信息自由法》（Freedom of Information Act）、《駕駛員隱私保護(hù)法》（Divers Privacy Protection Act）、《兒童在線隱私保護(hù)法》（Childrens Online Privacy Protection Act）、《消費(fèi)者隱私保護(hù)法案》（California Consumer Protection Act），以及《電子通訊隱私法》（Electronic Communications Privacy Act）等等。

值得注意的是，在立法沒有涉及到的領(lǐng)域，聯(lián)邦政府采用了“行業(yè)自律”的模式來(lái)保護(hù)公民隱私。比如1995年發(fā)布的《個(gè)人隱私與國(guó)家信息基礎(chǔ)結(jié)構(gòu)》白皮書，提出了企業(yè)應(yīng)遵循“告知”與“許可”兩大原則來(lái)保護(hù)消費(fèi)者隱私?！靶袠I(yè)自律”，顧名思義就是行業(yè)的自我監(jiān)督、自我約束、自我管理。這種政府引導(dǎo)與行業(yè)自律的結(jié)合，在實(shí)踐中一定程度上保護(hù)了美國(guó)公民的個(gè)人信息。

美國(guó)對(duì)隱私權(quán)立體式的保護(hù)迄今已經(jīng)成為全球隱私權(quán)立法保護(hù)的典范，不過(guò)，美國(guó)模式仍然存在一定的不足。比如，盡管強(qiáng)調(diào)“行業(yè)自律”，但畢竟缺少?gòu)?qiáng)制力。2018年3月17日，《紐約時(shí)報(bào)》曝光了一家名為“劍橋分析”的數(shù)據(jù)分析公司及其關(guān)聯(lián)公司“戰(zhàn)略通訊實(shí)驗(yàn)室”的相關(guān)丑聞。據(jù)悉，“劍橋分析”曾于2016年美國(guó)總統(tǒng)競(jìng)選期間為現(xiàn)任總統(tǒng)特朗普提供數(shù)據(jù)分析服務(wù)?！都~約時(shí)報(bào)》稱，這兩家公司竊取并私自保留了5000萬(wàn)Facebook用戶數(shù)據(jù)。這則報(bào)道的弦外之音不言而喻：Facebook對(duì)于不正當(dāng)抓取和使用其用戶信息來(lái)操縱總統(tǒng)大選結(jié)果的行為，是持默許態(tài)度的。報(bào)道一出，F(xiàn)acebook這家早已備受指責(zé)的社交媒體巨頭再次陷入聲討之中。

“劍橋分析”事件曝光后，美國(guó)聯(lián)邦貿(mào)易委員會(huì)（FTC）對(duì)Facebook罰款50億美元，扎克伯格承諾“對(duì)我們生產(chǎn)產(chǎn)品和運(yùn)營(yíng)公司的方式進(jìn)行重大結(jié)構(gòu)性改革”，并對(duì)APP權(quán)限做了限制。然而幾個(gè)月后，媒體又爆出與之合作的100多個(gè)第三方應(yīng)用可能已經(jīng)通過(guò)Facebook工程組的編程界面訪問了用戶的個(gè)人數(shù)據(jù)。這些可能涉及泄漏的信息包括了用戶姓名和個(gè)人圖片。由此，聯(lián)邦政府“行業(yè)自律”模式的弊端再次呈現(xiàn)在世人眼前。

歐盟：出臺(tái)“史上最嚴(yán)”的個(gè)人數(shù)據(jù)保護(hù)法案

2018年5月25日，歐盟《一般數(shù)據(jù)保護(hù)條例》（GDPR）正式實(shí)施。GDPR高度重視個(gè)人數(shù)據(jù)保護(hù)與監(jiān)管，為之設(shè)置了一系列的保護(hù)門檻和機(jī)制，被業(yè)界與學(xué)界稱為“史上最嚴(yán)”的個(gè)人數(shù)據(jù)保護(hù)法案。

該條例引入了新的個(gè)人信息保護(hù)原則，加大了對(duì)信息侵權(quán)行為的處罰力度。條例規(guī)定，數(shù)據(jù)控制者應(yīng)在72小時(shí)內(nèi)向監(jiān)管機(jī)構(gòu)報(bào)告?zhèn)€人數(shù)據(jù)的泄露情況。當(dāng)數(shù)據(jù)泄露可能會(huì)給數(shù)據(jù)主體的權(quán)利或自由帶來(lái)巨大風(fēng)險(xiǎn)時(shí)，數(shù)據(jù)控制者必須毫不延誤地通知數(shù)據(jù)主體。對(duì)于沒有取得用戶同意等行為，條例罰款上限是1000萬(wàn)歐元或?qū)ζ髽I(yè)而言上一年度全球營(yíng)業(yè)收入的2%（兩者中取數(shù)額大者）;對(duì)于嚴(yán)重的違法行為，罰款上限是2000萬(wàn)歐元或?qū)ζ髽I(yè)而言上一年度全球營(yíng)業(yè)收入的4%（兩者中取數(shù)額大者）。

為加強(qiáng)對(duì)歐盟居民個(gè)人數(shù)據(jù)的保護(hù)，GDPR采用了“長(zhǎng)臂管轄”原則，將適用范圍擴(kuò)大到設(shè)立在歐盟境外的企業(yè)。條例規(guī)定，如果歐盟境外數(shù)據(jù)控制者或處理者的數(shù)據(jù)處理行為被認(rèn)定與歐盟境內(nèi)經(jīng)營(yíng)場(chǎng)所開展的業(yè)務(wù)存在“無(wú)法割裂的聯(lián)系”，GDPR有權(quán)管轄其行為。2019年1月，法國(guó)國(guó)家信息與通信委員會(huì)以違反GDPR第5～6條，第13～14條關(guān)于“未向用戶告知其數(shù)據(jù)如何被收集之規(guī)定”為由，對(duì)Google開出了5000萬(wàn)歐元的罰單。2019年7月，英國(guó)信息管理局以數(shù)據(jù)泄露違反GDPR第32條規(guī)定為由，先后對(duì)英國(guó)航空和萬(wàn)豪國(guó)際開出1.83億英鎊和9920萬(wàn)英鎊的巨額罰單。

日本：采用“統(tǒng)分結(jié)合”的立法模式

日本是一個(gè)信息化程度非常高的國(guó)家，近年來(lái)濫用甚至盜用個(gè)人信息給消費(fèi)者造成財(cái)產(chǎn)或個(gè)人隱私損失的惡性案件時(shí)常見諸報(bào)端。在日本，包含企業(yè)或政府等團(tuán)體的住址在內(nèi)，泄露的個(gè)人信息數(shù)量超過(guò)了1000萬(wàn)件。

日本保護(hù)個(gè)人信息的立法起步早，且特色鮮明。對(duì)于個(gè)人信息的保護(hù)，日本采取的是“統(tǒng)分結(jié)合”的立法模式。2017年5月30日，日本最新修訂的《個(gè)人信息保護(hù)法》正式實(shí)施。該法規(guī)定，“在向第三方提供時(shí)，應(yīng)事先征得本人的同意”;“員工以非法獲利為目的提供竊取個(gè)人信息數(shù)據(jù)庫(kù)時(shí)，處以1年以下有期徒刑或50萬(wàn)日元以下的罰款（同時(shí)對(duì)公司課以罰款）?！?/p>

根據(jù)《個(gè)人信息保護(hù)法》，個(gè)別的政府主體或者民間主體針對(duì)特定的領(lǐng)域可以制定個(gè)別法或特殊法。如日本信息處理系統(tǒng)中心制定的《關(guān)于金融機(jī)構(gòu)等保護(hù)個(gè)人數(shù)據(jù)的指針》，日本信息處理開發(fā)協(xié)會(huì)制定的《關(guān)于民間部門個(gè)人信息保護(hù)指導(dǎo)方針》。在此基礎(chǔ)上，除了有通產(chǎn)省、郵政省的制定方針及JIS（日本工業(yè)規(guī)格）以外，經(jīng)濟(jì)產(chǎn)業(yè)省制定了《關(guān)于民間部門電子計(jì)算機(jī)處理和保護(hù)個(gè)人信息的指導(dǎo)方針》，總務(wù)省制定了《關(guān)于電氣通信事業(yè)保護(hù)個(gè)人信息的指導(dǎo)方針》等。

印度：在收集目的和范圍內(nèi)使用

2018年7月27日，印度電子和信息技術(shù)部發(fā)布《個(gè)人數(shù)據(jù)保護(hù)法案》，其中的多數(shù)關(guān)鍵內(nèi)容與GDPR相同或相似。

法案中確認(rèn)了三個(gè)類型的個(gè)人數(shù)據(jù)：個(gè)人數(shù)據(jù)、關(guān)鍵個(gè)人數(shù)據(jù)、個(gè)人敏感數(shù)據(jù)，并規(guī)定了不同的出境方案。該法案第九章、第十一章和第十二章就建立數(shù)據(jù)保護(hù)機(jī)制，并對(duì)財(cái)政審計(jì)進(jìn)行了設(shè)定。法案規(guī)定，“需要在獲得被收集者的合法同意之前，才能開始收集個(gè)人信息，并且在收集前，企業(yè)需要向被收集者發(fā)出對(duì)應(yīng)的通知”;“企業(yè)在收集了信息后只能在設(shè)定的收集目的和范圍內(nèi)進(jìn)行使用，不得超出該授權(quán)范圍和授權(quán)目的”;“如果信息的使用規(guī)定了對(duì)應(yīng)的使用期限，則不能超出該使用期限對(duì)信息進(jìn)行保留?！?/p>

第十章和第十三章規(guī)定了處罰和罪行，對(duì)于不符合要求的情況，提出了最嚴(yán)厲的處罰措施。根據(jù)該法案，任何未經(jīng)客戶同意共享客戶數(shù)據(jù)的組織將被處以1.5億盧比的罰款或占其全球營(yíng)業(yè)額4%的罰款;任何個(gè)人數(shù)據(jù)被侵犯的懲罰最高可達(dá)5億盧比，或該實(shí)體上一財(cái)政年度全球營(yíng)業(yè)額的2%，以二者中較高的為準(zhǔn);數(shù)據(jù)泄露的處理、報(bào)告延遲將處以5千萬(wàn)盧比的罰款或占全球營(yíng)業(yè)額2%的罰款。

新加坡：應(yīng)告知收集、使用或披露的目的

新加坡2012年頒布《個(gè)人數(shù)據(jù)保護(hù)法令》，確保公民在個(gè)人數(shù)據(jù)受到侵害時(shí)可尋求法律保護(hù)。該法令第三部至第六部詳細(xì)規(guī)定了各類機(jī)構(gòu)關(guān)于收集、使用或披露個(gè)人數(shù)據(jù)的范圍、條件或要求。

法令規(guī)定，機(jī)構(gòu)應(yīng)當(dāng)在收集個(gè)人數(shù)據(jù)之時(shí)或之前，告知個(gè)體收集、使用或披露其個(gè)人數(shù)據(jù)的目的;在個(gè)體需要的情形下，告知其收集、使用或披露個(gè)人數(shù)據(jù)問題之人的業(yè)務(wù)聯(lián)系方式。機(jī)構(gòu)未經(jīng)個(gè)體同意自其他機(jī)構(gòu)收集個(gè)人數(shù)據(jù)之時(shí)或之前，應(yīng)當(dāng)向其他機(jī)構(gòu)提供關(guān)于收集目的的充分信息，使該其他機(jī)構(gòu)確定披露是否符合本法。

法令生效以來(lái)，新加坡已對(duì)未盡到保護(hù)個(gè)人數(shù)據(jù)義務(wù)或侵犯?jìng)€(gè)人數(shù)據(jù)的多家機(jī)構(gòu)作出了處罰。其中，處罰最重同時(shí)也是影響最大的個(gè)人數(shù)據(jù)遭泄露的案例，是2019年的新康集團(tuán)集群案。

2018年6月27日至7月4日期間，新加坡健康服務(wù)私人有限公司的病例數(shù)據(jù)庫(kù)系統(tǒng)遭到網(wǎng)絡(luò)攻擊，黑客從公司數(shù)據(jù)庫(kù)中非法訪問和復(fù)制近150萬(wàn)病人的個(gè)人數(shù)據(jù)和近160萬(wàn)門診病人的處方記錄，導(dǎo)致大規(guī)模的病人數(shù)據(jù)泄露。這是新加坡歷史上個(gè)人信息泄露最為嚴(yán)重的案件。依據(jù)《個(gè)人數(shù)據(jù)保護(hù)法令》第24條，新加坡對(duì)新康集團(tuán)下屬新康公司和綜合健康信息系統(tǒng)公司分別作出了25萬(wàn)新加坡元（約127萬(wàn)元人民幣）和75萬(wàn)新加坡元（約380萬(wàn)元人民幣）罰款指令。

韓國(guó)：允許不可識(shí)別的個(gè)人信息作為大數(shù)據(jù)使用

目前，在個(gè)人信息及數(shù)據(jù)保護(hù)法律領(lǐng)域，韓國(guó)形成了《個(gè)人信息保護(hù)法》、《信息通信網(wǎng)利用促進(jìn)及信息保護(hù)法》及《信用信息的利用及保護(hù)法》三法分立的局面。

根據(jù)2016年3月韓國(guó)修訂的《個(gè)人信息保護(hù)法》第15條至23條，“收集或利用或向第三者提供個(gè)人信息時(shí)， 必須征得信息主體的同意， 不必要保留個(gè)人信息時(shí)， 應(yīng)及時(shí)刪除”。2016年4月，韓國(guó)公布了《信用信息的利用及保護(hù)法》的修改草案，規(guī)定“經(jīng)過(guò)不可識(shí)別處理的個(gè)人信息可以無(wú)需信息主體的同意而加以利用或向第三者提供”，即，經(jīng)過(guò)不可識(shí)別處理的個(gè)人信息被允許在當(dāng)初收集和使用目的范圍以外使用。同年6月，包括行政自治部在內(nèi)的韓國(guó)政府6大機(jī)構(gòu)共同公布了《個(gè)人信息不可識(shí)別處理指南》，規(guī)定允許不可識(shí)別的個(gè)人信息作為大數(shù)據(jù)使用。

對(duì)于違反規(guī)定的個(gè)人信息跨境轉(zhuǎn)移與再轉(zhuǎn)移行為，可能造成用戶權(quán)利嚴(yán)重侵害的，修正案規(guī)定，廣播通信委員會(huì)可以命令中斷轉(zhuǎn)移或再轉(zhuǎn)移，并可以對(duì)不履行中斷命令的個(gè)人信息處理者處以2年以下的有期徒刑或2000萬(wàn)韓元以下的罰款。