個人信息保護國際比較研究(第二版)
個人信息保護課題組 著
中國金融出版社 2021年4月出版
內容簡介
本書橫向比較歐盟、美國和亞洲等國家和地區個人信息保護的園園、理念、原則、方法及其演變,從中總結出了一些共同的原則和做法,并嘗試梳理我國個人信息保護的問題,立法和保護現狀,提出我國保護個人信息的立法和政策建議。本書為上海新金融研究院課題《個人信息保護問題國際比較研究及啟示》的研究成果。
目錄
第一章 個人信息保護概述
一、個人信息事關個人隱私安全、財產利益和發展機會
(一)個人信息保護問題的淵源
(二)大數據時代個人信息保護的緊迫性
二、個人信息保護的對象
(一)數據與信息
(二)個人數據、個人信息和隱私
(三)保護與特定個人相關的信息
(四)確立“誰的信息誰做主”的保護理念
三、個人信息保護與行業發展、國家競爭力
(一)大數據時代的數據資源
(二)個人信息保護是互聯網行業發展的基礎
(三)個人信息保護有利于我國占領全球經濟制高點
第二章 個人信息公平實踐和保護原則
一、個人信息保護基本原則的演變
(一)個人數據保護基本原則的初次提出
(二)信息社會的個人信息保護基本原則
(三)大數據時代個人信息保護基本原則
(四)美國加州的個人數據保護立法
二、大數據時代對個人信息保護原則的再思考
三、關于個人信息公平實踐和保護原則的最低要求
(一)個人信息保護原則的國際應用
(二)個人信息保護最低原則
第三章 各國(地區)個人信息保護的立法實踐
一、美國:個人信息保護的分散立法實踐
(一)美國個人信息保護目標與原則
(二)公平信息實踐原則在立法實踐中的體現
二、歐盟:個人信息保護的統一立法實踐
(一)對涉及個人信息的所有領域統一立法
(二)建立統一的個人信息處理標準
三、亞洲:個人信息保護立法實踐
(一)亞洲國家和地區的統一立法保護日漸完善
(二)韓國:信息自決下的個人信息保護立法
(三)日本:保障個人權利的個人信息保護立法
(四)中國臺灣:以保障人格權為核心的個人信息保護立法
四、部分金磚國家個人信息保護立法實踐
(一)印度個人信息保護法律框架
(二)巴西個人信息保護立法進展
第四章 各國個人信息保護的監管實踐
一、全球個人信息保護監管概況
二、個人信息保護法律的實施
(一)專門統一監管下的個人信息法律實施
(二)各領域分散監管下的個人信息法律實施
(三)行業自律下的個人信息法律實施
(四)司法訴訟下的個人信息保護法律實施
三、個人信息保護的宣傳教育實踐
(一)面向公眾的宣傳教育實踐
(二)面向信息處理機構和工作人員的培訓
第五章 征信與個人信息保護
一、征信與信貸市場
二、征信的本質和主要特征
(一)征信的不同定義和實質
(二)征信活動的特征
(三)兩個平衡
三、征信與個人信息保護
(一)歐洲信貸登記系統的發展
(二)美國市場化征信模式的發展
(三)新興市場征信行業的發展
四、個人信息保護原則在征信業的應用
五、征信業個人信息保護面臨的挑戰
(一)全球征信業的新發展趨勢
(二)加強信息保護的立法趨勢
(三)我國征信業發展面臨的挑戰
第六章 數據跨境流動規則
一、數據跨境流動典型政策
(一)經合組織《關于隱私保護和個人數據跨境流動指南》
(二)亞太經合組織《隱私保護框架》與跨境數據流動規則
(三)歐盟跨境數據流動政策
(四)美歐安全港框架
二、近年來數據本地化政策趨勢
(一)典型國家的數據本地化政策
(二)跨境數據流動展望
第七章 我國個人信息保護的現狀及分析
一、我國個人信息保護的立法現狀
(一)個人信息保護立法概述
(二)現行個人信息保護法律體系概況
二、我國個人信息保護的實踐狀況
(一)個人信息收集環節
(二)個人信息加工處理環節
(三)個人信息輸出環節
(四)中國個人信息保護的國際評價
(五)落實個人信息保護原則不能僅靠專項打擊
三、個人信息保護不足的原因分析
(一)市場對個人信息利用存在合法需求
(二)背離合法需求的原因分析
第八章 我國個人信息保護的立法和政策建議
一、個人信息立法保護是大數據發展的基本保證
二、個人信息保護的立法和政策建議
(一)借鑒國際經驗樹立“以人為本”的個人信息保護理念
(二)推動出臺統一專門的《個人信息保護法》
(三)對個人信息保護立法重點問題的建議
(四)明確個人信息保護的執法監管體制
(五)加強司法救濟,拓寬個人信息保護渠道
(六)開展公眾教育,提升個人信息保護意識
三、關于大數據時代個人信息保護的建議
(一)重視大數據及其技術對個人信息保護的深刻沖擊
(二)提高公民對個人信息控制力是各國普遍共識
(三)我國大數據的立法監管建議
再版序
《個人信息保護國際比較研究》于2017年7月首次出版。三年多來,社會經濟生活數字化、線上化趨勢日益明顯,數字經濟進一步發展,數據逐漸成為新的生產要素。與此同時,世界各國繼續加強個人信息保護立法和監管:2018年5月,歐盟 《通用數據保護條例》正式生效;2018年6月,美國加利福尼亞州通過了 《加利福尼亞州消費者隱私法案》(CCPA);2018年7月,印度公布了《個人數據保護法(草案)》。2020年,中國發布《民法典》和 《個人信息保護法 (草案)》,日本、韓國等也修訂了個人信息保護相關法律。
在應對2020年突如其來的新冠肺炎疫情中,采集和使用公民出行、健康等信息進行大數據防控成效顯著,但如何在公共衛生安全領域明晰個人信息保護和使用的邊界,如何平衡好保護和應用間的關系,越來越成為社會各界廣泛關注的問題。
承蒙讀者厚愛,本書首次出版后很快售罄。為了更好地滿足讀者了解世界各國的變化,相互借鑒從而制定出更適合我國個人信息保護法及相關法律法規,促進數字時代數字經濟更好發展,我們嘗試更新了本書的相關內容。
在個人信息保護概述、原則和各國 (地區)立法實踐部分,結合新的保護原則的引入和美國、歐盟、日本、新加坡、韓國等國家和地區個人信息保護進展,更新了各國 (地區)保護的立法實踐部分內容;在個人征信領域部分,更新了2017年以后全球征信業發展變化、一些新出臺征信業條例的國家情況、歐盟 《通用數據保護條例》對征信行業帶來的變化等;在數據跨境流動部分,更新了數字經濟中跨境數據流動對經濟的影響和美歐跨境數據流動機制的最新情況,特別是最新的隱私盾失效判決;在我國個人信息保護現狀及建議部分,增加了 《個人信息保護法 (草案)》 《民法典》《兒童個人信息網絡保護規定》等相關立法內容,個人信息安全規范等標準、執法案例、媒體報道和數據,以及數據爬取、人臉識別等新型問題。
當然,盡管我們努力全面準確反映三年多來的變化,但難免會有認識上的不足,本次內容更新可能存在不全面、不準確之處,文責自負。同時,歡迎讀者批評指正。
個人信息保護課題組
2020年12月
前言
大數據時代,如何在保護個人隱私和權利的情況下,充分利用大數據發展生產力,提高人類福祉,不僅關系到當下每個人的切身利益和安全,也關系到國家的未來和發展。為此,近年來世界各國在制定大數據發展戰略的同時,亦從促進互聯網、信息行業發展和整體競爭力等角度,進一步加強對個人信息的保護,力求在制度、技術和監管等方面創新保護手段、完善保護框架、提升保護效力。在此背景下,從國際視角審視個人信息保護問題和進展,從源頭、實踐和理論上進一步加強個人信息保護問題研究,對于我們這一正在崛起的大國而言顯得非常必要。為此,2015年 4月起,我們承擔了上海新金融研究院的個人信息保護問題研究課題。在一年多時間里,我們組建了專門的研究團隊,邀請了立法、監管、學界、業界等專家共同研究。經過課題組反復研討、修改,形成目前呈現在讀者面前的課題研究報告。
一、本書的主要研究內容和結論
當前,個人信息不僅僅是個人隱私的載體,還塑造了個人的虛擬形象,更帶有明顯的財產和資源屬性,在個人隱私、信息安全、財產利益和經濟發展等諸多方面都產生了深刻的影響。作為互聯網大國,面對我們個人信息保護落后的現實,要站在促進經濟發展、提高國際競爭力的高度,深刻認識個人信息保護在促進個人信息有序利用、互聯網和信息產業發展等方面的重要性,在理念培育、原則落地、立法立規、強化監管、宣傳教育等。方面,盡快構建個人信息保護的綜合治理體系。
(一)個人信息廣泛使用已經沖擊個人隱私和安全
在信息技術和互聯網大數據快速發展的今天,通過數據挖掘手段,可以借助個人信息對用戶的各種行為表現進行評價和預測,形成客戶在不同場景下數字化的虛擬形象,即 “虛擬我”。商家和企業可據此研究消費者行為、優化商品和服務。虛擬形象的存在有利于克服市場中的信息不對稱問題,在信貸、就業、經商和公共服務等各個方面給人們帶來了諸多便捷。
但是,目前對個人信息的廣泛使用已經沖擊到個人隱私和安全。首先,個人信息不規范采集、不安全處理和無約束使用,導致公眾的個人信息滿天飛,營銷性短信、郵件和電話騷擾越來越多,更有根據用戶特征設計實施類似徐玉玉案件的精準詐騙,威脅公眾的財產和人身安全。在2016年,公安機關偵破的侵犯公民個人信息犯罪的案件達1800余起,獲犯罪嫌疑人4200余人,查獲各類公民個人信息300余億條。
其次,由于目前法律對個人信息的財產屬性尚未界定,互聯網企業和商家利用服務客戶過程中積累的用戶數據,在客戶不知情的情況下進行了數據交易和轉讓,也侵害了個人財產權益。此外,個人對其虛擬形象的存在不完全知情或不知情,因此,對虛擬形象在多大程度上影響諸如信貸、就業、經商、享受社會福利的機會等重大事項,個人亦不完全知情或不知情,當然也就無法談及個人權益的保護了。
(二)個人信息保護不足也會給企業和國家帶來不利影響
對于互聯網和信息行業而言,個人信息保護不力會影響該行業的健康可持續發展。分散的個人信息保護法規規定不清晰、不統一,缺乏確定的個人信息權屬、流動和使用規則,導致個人信息孤島和信息濫用并存,個人信息和大數據流通暗流涌動、秘而不宣,既沖擊公眾對互聯網及信息行業的信任和信心,還阻礙了政府和商業領域個人信息的開放流通。相反,那些沒有底線的企業打著改革創新的旗號行 “倒賣數據”之實,因 “劣幣驅逐良幣”而獲得了競爭優勢,這對信息行業的健康發展實際上是有百害而無一利。
進一步來看,個人信息保護不足還會對國家經濟發展和國家安全帶來不利影響。一方面,由于我國個人信息保護力度不及歐美等國,在國際經貿往來中我國公司不得在境內處理歐美個人客戶信息,在華外資金融機構選擇將境內客戶的個人信息轉移到新加坡、歐盟處理已成慣例,甚至至今也沒有一家外國大型互聯網企業將服務器設在中國境內。同時,一國落后的個人信息保護,將成為他國對其實行貿易壁壘的新依據,該國企業在 “走出去”過程中會受到歧視性對待,個人信息流動的 “逆差”狀態會影響其國際競爭力和國際地位。另一方面,在個人信息保護不健全的情況下,與國內機構一樣,國外機構也通過合法或不合法的渠道獲得規?;膫€人信息,對我國網民進行心理和行為特征分析,并基于此進行精準的政治營銷和意識形態滲透,操控我國網民認知,威脅政治穩定和國家安全。媒體報道的大數據分析助力英國脫歐和2016年特朗普贏得美國大選即是大數據干預政治的兩個例子。
(三)全球已經形成個人信息保護的通用原則
自20世紀70年代初個人信息保護問題提出以來,經過40余年的發展演變,目前基本形成了以下五大國際原則,作為各國和國際組織制定個人信息保護政策的基礎:一是公開性原則,即個人信息處理機構應公開關于個人信息處理的一切政策、流程和處理實踐,禁止個人信息被秘密地處理;二是限制性原則,包括個人信息的所有處理行為要堅持合法原則,個人信息數據庫要堅持服務特定目的,在最少必須原則下收集和處理個人信息,個人信息的收集和使用范圍、保存期限和銷毀應受到限制;三是數據質量原則,即個人信息應當準確、完整和適時更新,作為信息控制者的機構對此責無旁貸;四是責任與安全原則,信息控制機構必須承擔個人信息保護的主要責任,要將個人信息保護內化于其業務流程和技術設計中,同時采取必要的安全防范措施保護個人信息,防止數據丟失或未經授權的訪問、銷毀、使用、修改或泄露,并承擔相應的責任;五是個人信息權利保護原則,充分保障信息主體的知情權、查詢權、異議權與糾錯權,甚至是可攜帶權等。
進入21世紀,大數據時代個人信息的內涵、處理方式、技術手段和侵權形式已發生巨大的變化,對個人信息保護的基本原則帶來了諸多挑戰,但是,無論是從歐盟 2016年新制定的 《通用數據保護條例 (以下簡稱《歐盟條例》)、2013年經合組織 (OECD)對 《1980年個人信息保護指南》(以下簡稱 《經合組織指南》)的修改,還是近年來美國對個人信息保護的立法和監管實踐來看,以上個人信息保護的基本原則不但沒有任何放松,相反,在一些原則的具體落實措施和監管手段上還有所加強。
?。ㄋ模┰诹⒎ê捅O管中落實保護原則是有益的國際實踐
從全球來看,從1973年全球第一部個人信息保護國內法律 《瑞典個人信息保護法》在2015年出現到2015年末,全球共有111個立法體建立了個人信息保護法律、法規,且呈加速趨勢。在地域分布上,歐洲國家和地區律、法規,且呈加速趨勢。在地域分布上,歐洲國家和地區53個,非洲17個,一周18個,每周19個,大洋洲2個。在剩余的國家和地區中,21個已經形成了相關的法律草案,91個尚無相關的法律或草案??偨y上,各立法體已經和正在建立的個人信息保護法律、法規,基本上都貫徹了以上保護原則。以歐美、亞洲和金磚國家為例,這些國家和地區正結合各自的文化、歷史、社會和經濟等方面的特征,選擇不同的方法和路徑因地制宜地踐行個人信息保護的五大國際原則。
歐盟作為全球個人信息保護的重要參照系,對包括政府部門、各商業領域個人信息處理實施統一的信息保護和監管標準。例如,20世紀70年代的瑞典、德國,以及后來的其他歐洲國家,都建立了同時適用于本國政府與非政府機構、適用于各行業統一的個人信息保護法律。在歐盟層面,從1995年歐盟 《個人信息保護指令》(以下簡稱《歐盟指令》)階段各成員國在個人信息保護上求同存異,發展到2009年在歐盟憲法中確立個人信息保護的基本人權地位,再到2016年出臺、2018年在歐盟成員國強制實施的《歐盟條例》,均體現了歐洲國家在個人信息保護領域統一化、標準化和一體化的立法和執法特點,已將個人信息保護原則落實到立法和監管實踐中。
美國則針對政府部門和商業領域個人信息分別立法,并建立強有力的監督執法機制。例如,針對聯邦政府機構有 《隱私法案》 (1974年),針對征信醫療金融電信等若干行業,有以 《公平信用報告法》 (1970年)為代表的數十部信息保護特別法。相關法律在各自領域貫徹 “目的特定、公開透明、保障權益”等基本保護原則,借助其發達的司法救濟系統,特別是以聯邦貿易委員會、聯邦通信委員會、證券交易委員會、消費者金融保護局等為代表的監管機構強力執法,從督促機構守法、保障個人權益、規范個人信息處理等方面,有效地實現了對個人信息的保護。
亞洲國家和地區、新興市場國家的統一立法和統一保護也日漸完善。出于對個人隱私訴求進行保護的客觀需要,以及融入經濟全球化的戰略考慮,加強個人信息保護是亞洲國家和地區與印度、巴西等新興市場國家的一致性選擇。以日本、韓國、新加坡等為代表的發達國家,緊跟歐美步伐逐步完善本國的保護體系,統一立法、統一監管的個人信息保護框架已經非常成熟,印度、巴西等新興市場國家,也已經形成或正在形成專門的個人信息保護法,設置統一的個人信息監管機構,加緊推動個人信息保護國際原則在本國落地,并緊跟歐美步伐不斷完善本國的法律和監管。
?。ㄎ澹﹤€人信息保護事關大局,推動國際通用原則落地尤為迫切
橫向比較,當前我國在個人信息保護領域的理念、原則、立法和實踐,較歐盟、美國、日本、韓國、加拿大等落后。概括而言,導致我國個人信息保護嚴重不足的原因主要有:一是社會各界對個人信息保護有意識無認識,對為何要保護、要保護到什么程度和如何保護等沒有概念,錯誤地認為只要 “本人同意”就行,對機構處理個人信息沒有 “在什么時間內、為何目的、要最小化處理”等約束。二是在2020年10月 《個人信息保護法(草案)》公開征求意見之前相關法律以宣示性條款散落在 《民法典》(2020年)、《民法總則》 (2017年)、 《全國人大關于加強網絡信息保護的決定》 《刑法修正案 (九)》 《國家網絡安全法》等中,缺乏專門的個人信息保護法對保護理念、原則、各方權責等做一致性約定,高度分散的法律文本停留在紙面上難以落實。三是分散監管下各部門職責未定、個人權利不明、機構責任不清,主要依賴公檢法部門針對侵害公民個人信息犯罪不定期專項打擊行動,沒有專門的個人信息保護部門實施常規性行政執法、處罰和保護。為此,完善我國個人信息保護的政策和立法十分迫切。
一是個人信息保護問題事關互聯網行業的健康發展和國家競爭力,我們要站在促進經濟發展和國家間競爭的高度看待個人信息保護問題,深刻認識個人信息保護對國家發展戰略和占領全球制高點的戰略意義,從對個人信息保護的研究、認識、理念、立法和監管等方面奮勇直追,緊跟個人信息保護全球步伐不掉隊。
二是要推動 “以人為本”的個人信息保護理念落地。數據由人而產生,如果個人的權利得不到恰當的保護,就會動搖大數據產生和價值挖掘的基礎。建立個人信息保護理念,根本目的就是要讓個人信息有序流動起來。在這個過程中,企業不僅需要確立相應的保護理念,作為信息保護監管主體和個人信息處理機構的政府部門,更應帶頭凝聚尊重和保護個人信息的理念。
三是要確立 “我的信息我做主”原則,強化機構責任,建立國際通行規則。要強化網絡運營者主體責任,將個人信息保護架構建立在機構責任基礎上。除落實 “本人同意”規則之外,還要制定明確的信息采集、加工和使用規則,嚴格規范企業、機構在我國境內收集用戶數據活動,讓國際社會已經普遍接受的個人信息處理公開原則、限制性原則、數據質量原則、安全與責任原則、個人權益保護原則等,盡快在我國落到實處。
四是出臺統一的 《個人信息保護法》和配套立法,建立專門的個人信息保護機構,加強對公眾的宣傳教育和對信息主體的司法救濟。要建立統一、專門的個人信息保護機構,集中擔負個人信息保護的立法落地、督促相關機構落實執法監管責任,采取切實有效的技術和管理措施,防止泄露、損害、違法使用個人信息。同時,提高對信息處理違規行為的處罰和賠償標準,嚴厲打擊非法竊取、收集、買賣、轉移個人信息的行為。此外,利用市場機制鼓勵大型互聯網企業間建立信息保護聯盟和行業自律機制,推動企業從保護商業利益、企業商譽和競爭力角度加強個人信息保護,形成競爭性隱私保護和信息安全商業環境。
二、本書的內容安排
本書分為兩大部分,第一部分為本書正文,即主報告,共八章,第二部分為附錄,即副報告,共七章。其中,主報告主要研究了個人信息保護問題的淵源、個人信息保護相關原則的演進,當前世界主要經濟體個人信息保護的立法與監管實踐,并選擇了與個人信息保護關系密切的個人征信和跨境數據流動兩個專題進行研究,分析了當前我國個人信息保護的現狀、不利影響和原因,并結合國際經驗提出我們的政策和立法建議。副報告則比較研究了美國、歐盟、日本、韓國、新加坡和我國臺灣、香港地區的個人信息保護的基本情況,特別是立法、監管實踐和最新趨勢等。
?。ㄒ唬┲鲌蟾娓髡鹿潈热莺喗?
什么是個人信息?個人信息為何要保護?個人信息保護問題因何而起、在大數據時代如何發展?對此,主報告第一章探討了個人信息保護的起源和大數據時代個人信息保護問題的緊迫性和國際趨勢,對比研究了個人信息、數據和隱私等基礎性概念,發現個人信息保護不僅是個人隱私安全層面的問題,還事關公民的財產利益、發展機會和互聯網行業發展與國家競爭力。國際上,面對個人信息這一新型資源,世界各國不但沒有放松,而是進一步強化了以人為本的個人信息保護制度,這既是個人全面發展的需要,更是保護互聯網行業發展和國家經濟發展的戰略考量。
在認識個人信息保護的迫切、重要性的基礎上,我們在第二章中從個人信息的基本原則發展演變出發,研究近四十年來歐美等國如何凝聚個人信息保護的共識,形成個人信息保護的基本原則。分為原則的初次提出、信息社會和大數據時代三個階段,從歐洲和美國兩條線出發,系統梳理了個人信息保護基本原則的國際演進和變化,總結形成了當前關于個人信息保護五大國際底線原則。發現即使在大數據的今天,這些原則也被世界各國普遍使用,并在保護個人權益方面得到進一步加強。
個人信息保護原則的落地首先體現在各國個人信息保護立法中,為此,在第三章中,我們對比研究了美國和歐盟個人信息保護的立法實踐情況,以及部分亞洲國家、地區和新興市場國家個人信息保護立法進程。發現各國、地區盡管路徑和方法有所不同,既有以美國為代表的各領域分散立法保護,也有歐盟、日本、韓國、我國臺灣地區,以及部分新興市場國家逐漸形成的統一的個人信息保護立法,但是總體上都在各自的框架內讓個人信息保護國際原則成為法律條文和基本制度。
緊接著,在主報告第四章中,我們從各個國家、地區的監管實踐中研究個人信息保護原則的落地情況。總體上,在各自的立法模式下各個國家、地區逐漸形成了或專門統一或各領域分散的個人信息保護監管格局,重視信息服務行業自律和司法訴訟下個人信息保護法律實施,特別是加強面向公眾、信息處理機構工作人員的個人信息保護宣傳教育和培訓工作。總體上,完善的個人信息保護立法、設置專門的個人信息保護監管部門,確保嚴格的侵權究責與個人信息主體有效的維權與救濟渠道等,越來越成為個人信息保護的國際趨勢。
第五章為征信與個人信息保護的專題研究。從本質功能上講,征信是為緩解信貸市場的信息不對稱問題而產生的。對此,為獲得信貸融資機會,借款人必須讓渡部分個人信息,供放貸人評估其還款能力、意愿和風險定價。同時,由于借款人未來履約與否,間接影響他人的信貸消費機會和金融穩定這一公共利益,所以強制采集、共享借款人負債信息已成為世界征信業的普遍做法。但即便如此,從個人信息保護的角度來看,個人借款人也并非完全放棄個人信息權利,征信業在評價信用風險時仍要遵循基本的公平和個人信息保護原則,個人對其征信數據擁有知情權、查閱訪問權、異議權和糾錯權,這也是世界各國發展征信業時的共識和普遍做法。
第六章為數據跨境流動規則,主要介紹了經合組織 (OECD)、亞太經合組織 (APEC)、歐盟以及美歐間的數據跨境流動政策,并特別補充了近年來部分國家數據本地化的政策趨勢??傮w上,目前數據的國際流動規則還沒有相應的國際協調機制,這已經不適應以互聯網為基礎的世界經濟的發展,為此,在形成跨境數據流動政策的國際共識和協調中需要各國的共同努力。在此過程中,對于個人信息保護不足的國家而言,及時跟上個人信息保護的國際步伐,補齊個人信息保護的短板,避免因個人信息保護不力而在國際服務貿易中成為他國對其實行貿易壁壘的新依據,是其首要解決的問題。
在國際個人信息保護的競技場上,我國個人信息保護現狀如何、原因何在等是第七章研究的重點。該章結合實際案例分析指出,雖然我國的一些法律規范也零星涉及了國際個人信息保護領域普遍接受的基本原則,但是認識不到位、立法不完善、保護框架失衡、行政監管缺位、違法懲戒不足等,導致我國個人信息保護嚴重不足、落后于全球步伐:個人信息不規范采集、不安全處理和無約束使用,導致公眾的個人信息滿天飛,營銷性短信,郵件、騷擾電話和精準詐騙越來越多,嚴重威脅個人的隱私、安全、財產和發展機會,并對我國互聯網行業發展和國家經濟發展與國際競爭力都帶來了不利的影響。
第八章為我國個人信息保護的立法和政策建議。該章綜合我國個人信息保護領域的問題和國際經驗,研究認為個人信息保護與大數據價值挖掘并不沖突,清晰的個人信息、隱私監管規則和基于此的公眾信任,有助于互聯網行業和信息科技的蓬勃發展。為此,我國應樹立 “以人為本”的個人信息保護理念,盡快推動出臺統一的個人信息保護法律,明確個人信息保護的執法監管機制并成立專門的監管機構,加強對個人信息保護的日常監管,同時,加強司法救濟和公眾教育,形成個人信息保護的綜合治理體系。
(二)副報告各章節內容簡介
在國際比較研究報告中,我們系統研究了美國、歐盟、日本、韓國、新加坡和我國臺灣、香港等在個人信息保護上的立法和監管實踐,分析大數據時代各經濟體個人信息保護最新進展情況。
一章從美國個人信息保護的立法、監管實施和最新趨勢的角度介紹美國個人信息保護的情況??傮w上,美國采取分散的立法和監管模式,在公法領域以成文法建立了政府機構數據保護標準,在私法領域對涉及金融、醫療、電子通信、兒童隱私、背景調查以及征信等領域,對個人信息的處理進行了立法規范。在個人信息保護監管和執法上,主要是聯邦貿易委員會、聯邦通信委員會、消費者金融保護局等監管機構,以及司法系統和隱私權訴訟的原告來推動實施。整體上,美國對個人信息隱私的保護,更依賴監管部門的執法以及私人訴訟,以威懾 “不公正或欺騙性的”商業行為或者侵犯隱私權的行為。
在第二章中,我們以德國為例研究個人信息保護在歐盟成員國的發展,并梳理歐盟層面個人信息保護的歷史發展和最新進展情況??傮w上,歐洲將個人信息視為公民人格和人權的一部分,認為人格的自由發展要求個人有權對抗其個人信息無限制地被收集、存儲、使用和傳送。在實踐中,歐洲對包括政府部門、各商業領域的所有個人信息處理,制定了統一的個人信息保護立法,實施統一的個人信息保護標準,并在監管機構和公民救助上,形成了一套獨特的個人信息保護體系。2016年歐盟個人信息保護的最新條例,更是在加強對信息主體保護、強化機構的責任等方面又向前邁出
了一大步。
第三章是對日本情況的介紹。日本借鑒了歐盟個人信息保護立法經驗和法律外殼,以保障公民隱私權在內的人格權和財產權為核心,最終形成了一部規制政府部門、私營企業個人信息處理行為的綜合性個人信息保護基本法。與此同時,日本也采用美國實用主義的立法方式,在個人信息保護基本法基礎上,更加重視重點行業的特別立法、行業自律和第三方監督等,以追求個人信息權益保護和信息應用之間的平衡。
在第四章的韓國研究中,我們梳理了韓國個人信息保護的歷史演變和最新進展情況??傮w上,韓國以 “保障每個人都有權決定是否將個人信息交付并提供給他人利用的權利”為核心,確保信息主體對其個人信息及產生影響的知情、控制。目前形成了以 《個人信息保護法》為核心,以 《信息通信促進法》 《信用信息使用與保護法》等法律為補充的完整法律體系,搭建了以個人信息保護委員會為指導、韓國內政部牽頭的個人信息保護綜合執法體系,建立了被稱為 “亞洲最嚴厲的個人信息保護制度”。
第五章是對新加坡個人信息保護法律情況的介紹。目前在個人信息保護領域,新加坡逐步發展出了國家機構和商業機構分治,僅對商業機構的個人信息處理建立了統一立法的法律保護體系。在法律實施中,設置了個人信息保護委員會作為個人信息保護法律的執行機構,通過制定具體標準進行立法實施??傮w上,新加坡有針對性地選擇不同領域適用個人信息保護法律,體現了新加坡個人信息保護規范體系務實、兼顧個人利益保護和數據經濟利用的特點。
第六章介紹了我國臺灣地區個人信息保護的基本情況。臺灣地區的個人信息保護立法經歷了從專門規范特定產業的部門立法到全面統一立法的兩大階段,目前統一的 “個人信息保護法”同時規范公務機關和非公務機關的個人信息處理行為。臺灣地區的各行業監管部門擔負個人信息保護監管職責,對違規行為苛以民事責任、刑事責任和行政責任。針對公務機關的違規行為采取無過錯原則承擔損害賠償責任,針對非公務機關的違規行為則采取過錯推定原則承擔損害賠償責任,是臺灣地區損害賠償的一大特點。
在第七章我國香港地區的情況介紹中,梳理了英國個人信息保護制度的發展歷程以及對香港地區個人信息保護制度的影響,總結了香港個人信息保護的法律制度和監管框架,介紹了大數據背景下網絡技術對個人信息保護的挑戰及香港的應對措施??傮w上,香港個人信息保護的 “歐洲特征” 明顯,歐洲個人信息保護的基本原則、對信息主體的權益保護在香港得到有效實踐,統一的個人信息保護法律和特設的隱私保護專員公署,負責對政府機關和私營機關個人信息處理行為的規范。近年來,我國香港還在互聯網渠道和公共渠道個人信息采集、應用程序、網上追蹤、直接促銷等領域,對個人信息處理行為制定了針對性監管指引。
三、致謝與說明
參加此次課題研究的同志主要包括:課題執行負責人、中國人民銀行征信中心原副主任王曉蕾 (總撰稿、統稿工作和報告審閱),中國人民銀行征信中心曹亞廷 (第一章、第三章、第四章,附錄第四章),北京大數據研究院李銘 (第二章),中國人民銀行征信中心楊淵 (第五章),騰訊研究院王融 (第六章、第八章),北京市安理律師事務所王新銳 (第七章和附錄第七章),北京市君合律師事務所董瀟 (附錄第一章),中國信息通信研究院葛鑫 (附錄第二章),中國人民銀行征信中心丁安平 (附錄第三章),北京市天元律師事務所朱宣燁 (附錄第五章),中央民族大學朱蕓陽 (附錄第六章)。中國人民大學法學院楊東、中國人民銀行中關村中心支行夏楠和北京理工大學孟兆平亦有貢獻。
同時,要特別感謝在中期評審會上,全國人大財經委副主任委員吳曉靈、中國工商銀行原行長楊凱生、中國人民銀行征信管理局局長萬存知對本課題的評審,為本課題的進一步完善提供了有力的指導。同時,在課題研究中,各界專家學者為我們提供了真知灼見,主要有全國人大法工委楊合慶、最高人民法院姜強、中國人民銀行金融消費權益保護局孫天琦、中國人民銀行條法司張念念、工信部石玉春、中信銀行袁東寧、中國聯通范濟安、瑞銀中國彭彥杰等。此外,中國金融四十人論壇秘書長王海明、廉薇等對課題的申請、寫作、討論和評審都給予了很多關心和支持,中國人民銀行征信中心前后三任領導王曉明、王煜和陳建華同志對課題研究給予了大力支持和指導,在此表示衷心的感謝。
需要特別指出,在課題的研究過程中,我們雖然盡了最大的努力,盡可能全地搜集文獻、報告,與國內外相關領域的專家進行各種專題研討、交流,但是由于當前信息科技快速發展,大數據時代個人信息處理和應用日新月異,在汗牛充棟的個人信息保護研究中,本書只是一家之言,受時間和能力限制,疏漏和不足之處在所難免。歡迎各位專家、讀者批評指正,通過共同探討和多方交流,使相關研究更加深入、成果更加豐碩。
個人信息保護課題組
2020年12月