個人信息保護國際比較研究(第二版)
個人信息保護課題組 著
中國金融出版社 2021年4月出版
內(nèi)容簡介
本書橫向比較歐盟��、美國和亞洲等國家和地區(qū)個人信息保護的園園���、理念、原則��、方法及其演變����,從中總結(jié)出了一些共同的原則和做法,并嘗試梳理我國個人信息保護的問題�,立法和保護現(xiàn)狀,提出我國保護個人信息的立法和政策建議���。本書為上海新金融研究院課題《個人信息保護問題國際比較研究及啟示》的研究成果��。
目錄
第一章 個人信息保護概述
一��、個人信息事關(guān)個人隱私安全�����、財產(chǎn)利益和發(fā)展機會
(一)個人信息保護問題的淵源
(二)大數(shù)據(jù)時代個人信息保護的緊迫性
二���、個人信息保護的對象
(一)數(shù)據(jù)與信息
(二)個人數(shù)據(jù)、個人信息和隱私
(三)保護與特定個人相關(guān)的信息
(四)確立“誰的信息誰做主”的保護理念
三����、個人信息保護與行業(yè)發(fā)展、國家競爭力
(一)大數(shù)據(jù)時代的數(shù)據(jù)資源
(二)個人信息保護是互聯(lián)網(wǎng)行業(yè)發(fā)展的基礎(chǔ)
(三)個人信息保護有利于我國占領(lǐng)全球經(jīng)濟制高點
第二章 個人信息公平實踐和保護原則
一���、個人信息保護基本原則的演變
(一)個人數(shù)據(jù)保護基本原則的初次提出
(二)信息社會的個人信息保護基本原則
(三)大數(shù)據(jù)時代個人信息保護基本原則
(四)美國加州的個人數(shù)據(jù)保護立法
二�����、大數(shù)據(jù)時代對個人信息保護原則的再思考
三����、關(guān)于個人信息公平實踐和保護原則的最低要求
(一)個人信息保護原則的國際應(yīng)用
(二)個人信息保護最低原則
第三章 各國(地區(qū))個人信息保護的立法實踐
一、美國:個人信息保護的分散立法實踐
(一)美國個人信息保護目標(biāo)與原則
(二)公平信息實踐原則在立法實踐中的體現(xiàn)
二��、歐盟:個人信息保護的統(tǒng)一立法實踐
(一)對涉及個人信息的所有領(lǐng)域統(tǒng)一立法
(二)建立統(tǒng)一的個人信息處理標(biāo)準(zhǔn)
三�、亞洲:個人信息保護立法實踐
(一)亞洲國家和地區(qū)的統(tǒng)一立法保護日漸完善
(二)韓國:信息自決下的個人信息保護立法
(三)日本:保障個人權(quán)利的個人信息保護立法
(四)中國臺灣:以保障人格權(quán)為核心的個人信息保護立法
四、部分金磚國家個人信息保護立法實踐
(一)印度個人信息保護法律框架
(二)巴西個人信息保護立法進展
第四章 各國個人信息保護的監(jiān)管實踐
一�、全球個人信息保護監(jiān)管概況
二、個人信息保護法律的實施
(一)專門統(tǒng)一監(jiān)管下的個人信息法律實施
(二)各領(lǐng)域分散監(jiān)管下的個人信息法律實施
(三)行業(yè)自律下的個人信息法律實施
(四)司法訴訟下的個人信息保護法律實施
三��、個人信息保護的宣傳教育實踐
(一)面向公眾的宣傳教育實踐
(二)面向信息處理機構(gòu)和工作人員的培訓(xùn)
第五章 征信與個人信息保護
一����、征信與信貸市場
二、征信的本質(zhì)和主要特征
(一)征信的不同定義和實質(zhì)
(二)征信活動的特征
(三)兩個平衡
三����、征信與個人信息保護
(一)歐洲信貸登記系統(tǒng)的發(fā)展
(二)美國市場化征信模式的發(fā)展
(三)新興市場征信行業(yè)的發(fā)展
四、個人信息保護原則在征信業(yè)的應(yīng)用
五、征信業(yè)個人信息保護面臨的挑戰(zhàn)
(一)全球征信業(yè)的新發(fā)展趨勢
(二)加強信息保護的立法趨勢
(三)我國征信業(yè)發(fā)展面臨的挑戰(zhàn)
第六章 數(shù)據(jù)跨境流動規(guī)則
一��、數(shù)據(jù)跨境流動典型政策
(一)經(jīng)合組織《關(guān)于隱私保護和個人數(shù)據(jù)跨境流動指南》
(二)亞太經(jīng)合組織《隱私保護框架》與跨境數(shù)據(jù)流動規(guī)則
(三)歐盟跨境數(shù)據(jù)流動政策
(四)美歐安全港框架
二����、近年來數(shù)據(jù)本地化政策趨勢
(一)典型國家的數(shù)據(jù)本地化政策
(二)跨境數(shù)據(jù)流動展望
第七章 我國個人信息保護的現(xiàn)狀及分析
一����、我國個人信息保護的立法現(xiàn)狀
(一)個人信息保護立法概述
(二)現(xiàn)行個人信息保護法律體系概況
二、我國個人信息保護的實踐狀況
(一)個人信息收集環(huán)節(jié)
(二)個人信息加工處理環(huán)節(jié)
(三)個人信息輸出環(huán)節(jié)
(四)中國個人信息保護的國際評價
(五)落實個人信息保護原則不能僅靠專項打擊
三�、個人信息保護不足的原因分析
(一)市場對個人信息利用存在合法需求
(二)背離合法需求的原因分析
第八章 我國個人信息保護的立法和政策建議
一、個人信息立法保護是大數(shù)據(jù)發(fā)展的基本保證
二���、個人信息保護的立法和政策建議
(一)借鑒國際經(jīng)驗樹立“以人為本”的個人信息保護理念
(二)推動出臺統(tǒng)一專門的《個人信息保護法》
(三)對個人信息保護立法重點問題的建議
(四)明確個人信息保護的執(zhí)法監(jiān)管體制
(五)加強司法救濟���,拓寬個人信息保護渠道
(六)開展公眾教育,提升個人信息保護意識
三�、關(guān)于大數(shù)據(jù)時代個人信息保護的建議
(一)重視大數(shù)據(jù)及其技術(shù)對個人信息保護的深刻沖擊
(二)提高公民對個人信息控制力是各國普遍共識
(三)我國大數(shù)據(jù)的立法監(jiān)管建議
再版序
《個人信息保護國際比較研究》于2017年7月首次出版。三年多來�����,社會經(jīng)濟生活數(shù)字化�����、線上化趨勢日益明顯,數(shù)字經(jīng)濟進一步發(fā)展�,數(shù)據(jù)逐漸成為新的生產(chǎn)要素。與此同時���,世界各國繼續(xù)加強個人信息保護立法和監(jiān)管:2018年5月���,歐盟 《通用數(shù)據(jù)保護條例》正式生效;2018年6月�����,美國加利福尼亞州通過了 《加利福尼亞州消費者隱私法案》(CCPA)��;2018年7月�,印度公布了《個人數(shù)據(jù)保護法(草案)》。2020年���,中國發(fā)布《民法典》和 《個人信息保護法 (草案)》����,日本�����、韓國等也修訂了個人信息保護相關(guān)法律。
在應(yīng)對2020年突如其來的新冠肺炎疫情中����,采集和使用公民出行、健康等信息進行大數(shù)據(jù)防控成效顯著��,但如何在公共衛(wèi)生安全領(lǐng)域明晰個人信息保護和使用的邊界�����,如何平衡好保護和應(yīng)用間的關(guān)系���,越來越成為社會各界廣泛關(guān)注的問題。
承蒙讀者厚愛��,本書首次出版后很快售罄��。為了更好地滿足讀者了解世界各國的變化��,相互借鑒從而制定出更適合我國個人信息保護法及相關(guān)法律法規(guī)�����,促進數(shù)字時代數(shù)字經(jīng)濟更好發(fā)展,我們嘗試更新了本書的相關(guān)內(nèi)容����。
在個人信息保護概述、原則和各國 (地區(qū))立法實踐部分�����,結(jié)合新的保護原則的引入和美國����、歐盟、日本���、新加坡���、韓國等國家和地區(qū)個人信息保護進展,更新了各國 (地區(qū))保護的立法實踐部分內(nèi)容����;在個人征信領(lǐng)域部分,更新了2017年以后全球征信業(yè)發(fā)展變化�����、一些新出臺征信業(yè)條例的國家情況、歐盟 《通用數(shù)據(jù)保護條例》對征信行業(yè)帶來的變化等����;在數(shù)據(jù)跨境流動部分,更新了數(shù)字經(jīng)濟中跨境數(shù)據(jù)流動對經(jīng)濟的影響和美歐跨境數(shù)據(jù)流動機制的最新情況���,特別是最新的隱私盾失效判決���;在我國個人信息保護現(xiàn)狀及建議部分,增加了 《個人信息保護法 (草案)》 《民法典》《兒童個人信息網(wǎng)絡(luò)保護規(guī)定》等相關(guān)立法內(nèi)容�,個人信息安全規(guī)范等標(biāo)準(zhǔn)、執(zhí)法案例�����、媒體報道和數(shù)據(jù)��,以及數(shù)據(jù)爬取�、人臉識別等新型問題�����。
當(dāng)然���,盡管我們努力全面準(zhǔn)確反映三年多來的變化�,但難免會有認(rèn)識上的不足,本次內(nèi)容更新可能存在不全面���、不準(zhǔn)確之處����,文責(zé)自負(fù)����。同時,歡迎讀者批評指正���。
個人信息保護課題組
2020年12月
前言
大數(shù)據(jù)時代����,如何在保護個人隱私和權(quán)利的情況下��,充分利用大數(shù)據(jù)發(fā)展生產(chǎn)力����,提高人類福祉,不僅關(guān)系到當(dāng)下每個人的切身利益和安全�����,也關(guān)系到國家的未來和發(fā)展。為此����,近年來世界各國在制定大數(shù)據(jù)發(fā)展戰(zhàn)略的同時,亦從促進互聯(lián)網(wǎng)��、信息行業(yè)發(fā)展和整體競爭力等角度�,進一步加強對個人信息的保護,力求在制度�、技術(shù)和監(jiān)管等方面創(chuàng)新保護手段、完善保護框架���、提升保護效力�����。在此背景下,從國際視角審視個人信息保護問題和進展���,從源頭���、實踐和理論上進一步加強個人信息保護問題研究���,對于我們這一正在崛起的大國而言顯得非常必要。為此�,2015年 4月起,我們承擔(dān)了上海新金融研究院的個人信息保護問題研究課題����。在一年多時間里,我們組建了專門的研究團隊����,邀請了立法、監(jiān)管�、學(xué)界、業(yè)界等專家共同研究��。經(jīng)過課題組反復(fù)研討�����、修改����,形成目前呈現(xiàn)在讀者面前的課題研究報告。
一���、本書的主要研究內(nèi)容和結(jié)論
當(dāng)前��,個人信息不僅僅是個人隱私的載體�,還塑造了個人的虛擬形象,更帶有明顯的財產(chǎn)和資源屬性�,在個人隱私、信息安全�����、財產(chǎn)利益和經(jīng)濟發(fā)展等諸多方面都產(chǎn)生了深刻的影響���。作為互聯(lián)網(wǎng)大國���,面對我們個人信息保護落后的現(xiàn)實,要站在促進經(jīng)濟發(fā)展��、提高國際競爭力的高度�����,深刻認(rèn)識個人信息保護在促進個人信息有序利用�����、互聯(lián)網(wǎng)和信息產(chǎn)業(yè)發(fā)展等方面的重要性���,在理念培育���、原則落地、立法立規(guī)�、強化監(jiān)管、宣傳教育等���。方面��,盡快構(gòu)建個人信息保護的綜合治理體系���。
(一)個人信息廣泛使用已經(jīng)沖擊個人隱私和安全
在信息技術(shù)和互聯(lián)網(wǎng)大數(shù)據(jù)快速發(fā)展的今天���,通過數(shù)據(jù)挖掘手段���,可以借助個人信息對用戶的各種行為表現(xiàn)進行評價和預(yù)測,形成客戶在不同場景下數(shù)字化的虛擬形象��,即 “虛擬我”。商家和企業(yè)可據(jù)此研究消費者行為�����、優(yōu)化商品和服務(wù)�。虛擬形象的存在有利于克服市場中的信息不對稱問題,在信貸�、就業(yè)、經(jīng)商和公共服務(wù)等各個方面給人們帶來了諸多便捷����。
但是,目前對個人信息的廣泛使用已經(jīng)沖擊到個人隱私和安全��。首先����,個人信息不規(guī)范采集、不安全處理和無約束使用�����,導(dǎo)致公眾的個人信息滿天飛��,營銷性短信�����、郵件和電話騷擾越來越多���,更有根據(jù)用戶特征設(shè)計實施類似徐玉玉案件的精準(zhǔn)詐騙�,威脅公眾的財產(chǎn)和人身安全�����。在2016年�,公安機關(guān)偵破的侵犯公民個人信息犯罪的案件達1800余起,獲犯罪嫌疑人4200余人���,查獲各類公民個人信息300余億條�。
其次����,由于目前法律對個人信息的財產(chǎn)屬性尚未界定,互聯(lián)網(wǎng)企業(yè)和商家利用服務(wù)客戶過程中積累的用戶數(shù)據(jù)��,在客戶不知情的情況下進行了數(shù)據(jù)交易和轉(zhuǎn)讓����,也侵害了個人財產(chǎn)權(quán)益。此外,個人對其虛擬形象的存在不完全知情或不知情����,因此,對虛擬形象在多大程度上影響諸如信貸����、就業(yè)、經(jīng)商��、享受社會福利的機會等重大事項���,個人亦不完全知情或不知情���,當(dāng)然也就無法談及個人權(quán)益的保護了。
?�。ǘ﹤€人信息保護不足也會給企業(yè)和國家?guī)聿焕绊?
對于互聯(lián)網(wǎng)和信息行業(yè)而言�����,個人信息保護不力會影響該行業(yè)的健康可持續(xù)發(fā)展����。分散的個人信息保護法規(guī)規(guī)定不清晰����、不統(tǒng)一�,缺乏確定的個人信息權(quán)屬、流動和使用規(guī)則��,導(dǎo)致個人信息孤島和信息濫用并存����,個人信息和大數(shù)據(jù)流通暗流涌動����、秘而不宣,既沖擊公眾對互聯(lián)網(wǎng)及信息行業(yè)的信任和信心���,還阻礙了政府和商業(yè)領(lǐng)域個人信息的開放流通�。相反�����,那些沒有底線的企業(yè)打著改革創(chuàng)新的旗號行 “倒賣數(shù)據(jù)”之實����,因 “劣幣驅(qū)逐良幣”而獲得了競爭優(yōu)勢����,這對信息行業(yè)的健康發(fā)展實際上是有百害而無一利��。
進一步來看��,個人信息保護不足還會對國家經(jīng)濟發(fā)展和國家安全帶來不利影響���。一方面���,由于我國個人信息保護力度不及歐美等國,在國際經(jīng)貿(mào)往來中我國公司不得在境內(nèi)處理歐美個人客戶信息�����,在華外資金融機構(gòu)選擇將境內(nèi)客戶的個人信息轉(zhuǎn)移到新加坡��、歐盟處理已成慣例���,甚至至今也沒有一家外國大型互聯(lián)網(wǎng)企業(yè)將服務(wù)器設(shè)在中國境內(nèi)���。同時,一國落后的個人信息保護���,將成為他國對其實行貿(mào)易壁壘的新依據(jù)����,該國企業(yè)在 “走出去”過程中會受到歧視性對待,個人信息流動的 “逆差”狀態(tài)會影響其國際競爭力和國際地位�����。另一方面��,在個人信息保護不健全的情況下��,與國內(nèi)機構(gòu)一樣��,國外機構(gòu)也通過合法或不合法的渠道獲得規(guī)?;膫€人信息���,對我國網(wǎng)民進行心理和行為特征分析����,并基于此進行精準(zhǔn)的政治營銷和意識形態(tài)滲透��,操控我國網(wǎng)民認(rèn)知�����,威脅政治穩(wěn)定和國家安全。媒體報道的大數(shù)據(jù)分析助力英國脫歐和2016年特朗普贏得美國大選即是大數(shù)據(jù)干預(yù)政治的兩個例子�。
(三)全球已經(jīng)形成個人信息保護的通用原則
自20世紀(jì)70年代初個人信息保護問題提出以來�,經(jīng)過40余年的發(fā)展演變,目前基本形成了以下五大國際原則�,作為各國和國際組織制定個人信息保護政策的基礎(chǔ):一是公開性原則,即個人信息處理機構(gòu)應(yīng)公開關(guān)于個人信息處理的一切政策����、流程和處理實踐,禁止個人信息被秘密地處理��;二是限制性原則��,包括個人信息的所有處理行為要堅持合法原則��,個人信息數(shù)據(jù)庫要堅持服務(wù)特定目的�����,在最少必須原則下收集和處理個人信息��,個人信息的收集和使用范圍����、保存期限和銷毀應(yīng)受到限制����;三是數(shù)據(jù)質(zhì)量原則�,即個人信息應(yīng)當(dāng)準(zhǔn)確、完整和適時更新�,作為信息控制者的機構(gòu)對此責(zé)無旁貸;四是責(zé)任與安全原則�����,信息控制機構(gòu)必須承擔(dān)個人信息保護的主要責(zé)任�����,要將個人信息保護內(nèi)化于其業(yè)務(wù)流程和技術(shù)設(shè)計中���,同時采取必要的安全防范措施保護個人信息,防止數(shù)據(jù)丟失或未經(jīng)授權(quán)的訪問�、銷毀、使用����、修改或泄露����,并承擔(dān)相應(yīng)的責(zé)任�;五是個人信息權(quán)利保護原則,充分保障信息主體的知情權(quán)�����、查詢權(quán)����、異議權(quán)與糾錯權(quán),甚至是可攜帶權(quán)等�。
進入21世紀(jì),大數(shù)據(jù)時代個人信息的內(nèi)涵��、處理方式�、技術(shù)手段和侵權(quán)形式已發(fā)生巨大的變化��,對個人信息保護的基本原則帶來了諸多挑戰(zhàn)���,但是,無論是從歐盟 2016年新制定的 《通用數(shù)據(jù)保護條例 (以下簡稱《歐盟條例》)、2013年經(jīng)合組織 (OECD)對 《1980年個人信息保護指南》(以下簡稱 《經(jīng)合組織指南》)的修改�,還是近年來美國對個人信息保護的立法和監(jiān)管實踐來看��,以上個人信息保護的基本原則不但沒有任何放松����,相反��,在一些原則的具體落實措施和監(jiān)管手段上還有所加強��。
?��。ㄋ模┰诹⒎ê捅O(jiān)管中落實保護原則是有益的國際實踐
從全球來看,從1973年全球第一部個人信息保護國內(nèi)法律 《瑞典個人信息保護法》在2015年出現(xiàn)到2015年末���,全球共有111個立法體建立了個人信息保護法律����、法規(guī)���,且呈加速趨勢。在地域分布上,歐洲國家和地區(qū)律��、法規(guī)�����,且呈加速趨勢�����。在地域分布上�����,歐洲國家和地區(qū)53個����,非洲17個���,一周18個�,每周19個����,大洋洲2個��。在剩余的國家和地區(qū)中���,21個已經(jīng)形成了相關(guān)的法律草案,91個尚無相關(guān)的法律或草案�����?����?偨y(tǒng)上��,各立法體已經(jīng)和正在建立的個人信息保護法律�、法規(guī),基本上都貫徹了以上保護原則����。以歐美、亞洲和金磚國家為例��,這些國家和地區(qū)正結(jié)合各自的文化����、歷史、社會和經(jīng)濟等方面的特征���,選擇不同的方法和路徑因地制宜地踐行個人信息保護的五大國際原則���。
歐盟作為全球個人信息保護的重要參照系,對包括政府部門��、各商業(yè)領(lǐng)域個人信息處理實施統(tǒng)一的信息保護和監(jiān)管標(biāo)準(zhǔn)��。例如���,20世紀(jì)70年代的瑞典����、德國��,以及后來的其他歐洲國家��,都建立了同時適用于本國政府與非政府機構(gòu)��、適用于各行業(yè)統(tǒng)一的個人信息保護法律��。在歐盟層面�����,從1995年歐盟 《個人信息保護指令》(以下簡稱《歐盟指令》)階段各成員國在個人信息保護上求同存異,發(fā)展到2009年在歐盟憲法中確立個人信息保護的基本人權(quán)地位��,再到2016年出臺�����、2018年在歐盟成員國強制實施的《歐盟條例》���,均體現(xiàn)了歐洲國家在個人信息保護領(lǐng)域統(tǒng)一化����、標(biāo)準(zhǔn)化和一體化的立法和執(zhí)法特點����,已將個人信息保護原則落實到立法和監(jiān)管實踐中。
美國則針對政府部門和商業(yè)領(lǐng)域個人信息分別立法�,并建立強有力的監(jiān)督執(zhí)法機制。例如�����,針對聯(lián)邦政府機構(gòu)有 《隱私法案》 (1974年)���,針對征信醫(yī)療金融電信等若干行業(yè)��,有以 《公平信用報告法》 (1970年)為代表的數(shù)十部信息保護特別法�。相關(guān)法律在各自領(lǐng)域貫徹 “目的特定�����、公開透明����、保障權(quán)益”等基本保護原則,借助其發(fā)達的司法救濟系統(tǒng)�����,特別是以聯(lián)邦貿(mào)易委員會���、聯(lián)邦通信委員會���、證券交易委員會、消費者金融保護局等為代表的監(jiān)管機構(gòu)強力執(zhí)法���,從督促機構(gòu)守法�、保障個人權(quán)益、規(guī)范個人信息處理等方面�����,有效地實現(xiàn)了對個人信息的保護�����。
亞洲國家和地區(qū)��、新興市場國家的統(tǒng)一立法和統(tǒng)一保護也日漸完善����。出于對個人隱私訴求進行保護的客觀需要,以及融入經(jīng)濟全球化的戰(zhàn)略考慮�����,加強個人信息保護是亞洲國家和地區(qū)與印度��、巴西等新興市場國家的一致性選擇���。以日本�、韓國、新加坡等為代表的發(fā)達國家��,緊跟歐美步伐逐步完善本國的保護體系���,統(tǒng)一立法�����、統(tǒng)一監(jiān)管的個人信息保護框架已經(jīng)非常成熟,印度���、巴西等新興市場國家��,也已經(jīng)形成或正在形成專門的個人信息保護法����,設(shè)置統(tǒng)一的個人信息監(jiān)管機構(gòu)�,加緊推動個人信息保護國際原則在本國落地,并緊跟歐美步伐不斷完善本國的法律和監(jiān)管���。
?��。ㄎ澹﹤€人信息保護事關(guān)大局,推動國際通用原則落地尤為迫切
橫向比較��,當(dāng)前我國在個人信息保護領(lǐng)域的理念、原則�、立法和實踐,較歐盟�����、美國��、日本�、韓國、加拿大等落后���。概括而言�,導(dǎo)致我國個人信息保護嚴(yán)重不足的原因主要有:一是社會各界對個人信息保護有意識無認(rèn)識�,對為何要保護、要保護到什么程度和如何保護等沒有概念�,錯誤地認(rèn)為只要 “本人同意”就行,對機構(gòu)處理個人信息沒有 “在什么時間內(nèi)�、為何目的、要最小化處理”等約束����。二是在2020年10月 《個人信息保護法(草案)》公開征求意見之前相關(guān)法律以宣示性條款散落在 《民法典》(2020年)、《民法總則》 (2017年)、 《全國人大關(guān)于加強網(wǎng)絡(luò)信息保護的決定》 《刑法修正案 (九)》 《國家網(wǎng)絡(luò)安全法》等中����,缺乏專門的個人信息保護法對保護理念、原則����、各方權(quán)責(zé)等做一致性約定�,高度分散的法律文本停留在紙面上難以落實。三是分散監(jiān)管下各部門職責(zé)未定�、個人權(quán)利不明�����、機構(gòu)責(zé)任不清,主要依賴公檢法部門針對侵害公民個人信息犯罪不定期專項打擊行動�,沒有專門的個人信息保護部門實施常規(guī)性行政執(zhí)法、處罰和保護���。為此�����,完善我國個人信息保護的政策和立法十分迫切��。
一是個人信息保護問題事關(guān)互聯(lián)網(wǎng)行業(yè)的健康發(fā)展和國家競爭力����,我們要站在促進經(jīng)濟發(fā)展和國家間競爭的高度看待個人信息保護問題,深刻認(rèn)識個人信息保護對國家發(fā)展戰(zhàn)略和占領(lǐng)全球制高點的戰(zhàn)略意義���,從對個人信息保護的研究�、認(rèn)識�����、理念����、立法和監(jiān)管等方面奮勇直追,緊跟個人信息保護全球步伐不掉隊���。
二是要推動 “以人為本”的個人信息保護理念落地�����。數(shù)據(jù)由人而產(chǎn)生����,如果個人的權(quán)利得不到恰當(dāng)?shù)谋Wo,就會動搖大數(shù)據(jù)產(chǎn)生和價值挖掘的基礎(chǔ)���。建立個人信息保護理念���,根本目的就是要讓個人信息有序流動起來。在這個過程中�,企業(yè)不僅需要確立相應(yīng)的保護理念,作為信息保護監(jiān)管主體和個人信息處理機構(gòu)的政府部門�����,更應(yīng)帶頭凝聚尊重和保護個人信息的理念�����。
三是要確立 “我的信息我做主”原則����,強化機構(gòu)責(zé)任�����,建立國際通行規(guī)則���。要強化網(wǎng)絡(luò)運營者主體責(zé)任�,將個人信息保護架構(gòu)建立在機構(gòu)責(zé)任基礎(chǔ)上。除落實 “本人同意”規(guī)則之外����,還要制定明確的信息采集、加工和使用規(guī)則��,嚴(yán)格規(guī)范企業(yè)����、機構(gòu)在我國境內(nèi)收集用戶數(shù)據(jù)活動,讓國際社會已經(jīng)普遍接受的個人信息處理公開原則��、限制性原則�、數(shù)據(jù)質(zhì)量原則、安全與責(zé)任原則��、個人權(quán)益保護原則等�����,盡快在我國落到實處�����。
四是出臺統(tǒng)一的 《個人信息保護法》和配套立法,建立專門的個人信息保護機構(gòu)����,加強對公眾的宣傳教育和對信息主體的司法救濟。要建立統(tǒng)一�����、專門的個人信息保護機構(gòu)�,集中擔(dān)負(fù)個人信息保護的立法落地、督促相關(guān)機構(gòu)落實執(zhí)法監(jiān)管責(zé)任�����,采取切實有效的技術(shù)和管理措施��,防止泄露�����、損害�����、違法使用個人信息�����。同時��,提高對信息處理違規(guī)行為的處罰和賠償標(biāo)準(zhǔn)��,嚴(yán)厲打擊非法竊取��、收集�����、買賣�����、轉(zhuǎn)移個人信息的行為����。此外,利用市場機制鼓勵大型互聯(lián)網(wǎng)企業(yè)間建立信息保護聯(lián)盟和行業(yè)自律機制�����,推動企業(yè)從保護商業(yè)利益��、企業(yè)商譽和競爭力角度加強個人信息保護,形成競爭性隱私保護和信息安全商業(yè)環(huán)境���。
二����、本書的內(nèi)容安排
本書分為兩大部分���,第一部分為本書正文�,即主報告����,共八章,第二部分為附錄�,即副報告,共七章��。其中��,主報告主要研究了個人信息保護問題的淵源�、個人信息保護相關(guān)原則的演進,當(dāng)前世界主要經(jīng)濟體個人信息保護的立法與監(jiān)管實踐�����,并選擇了與個人信息保護關(guān)系密切的個人征信和跨境數(shù)據(jù)流動兩個專題進行研究��,分析了當(dāng)前我國個人信息保護的現(xiàn)狀�����、不利影響和原因����,并結(jié)合國際經(jīng)驗提出我們的政策和立法建議。副報告則比較研究了美國���、歐盟�、日本����、韓國�����、新加坡和我國臺灣��、香港地區(qū)的個人信息保護的基本情況,特別是立法����、監(jiān)管實踐和最新趨勢等。
?�。ㄒ唬┲鲌蟾娓髡鹿?jié)內(nèi)容簡介
什么是個人信息���?個人信息為何要保護�����?個人信息保護問題因何而起����、在大數(shù)據(jù)時代如何發(fā)展��?對此�,主報告第一章探討了個人信息保護的起源和大數(shù)據(jù)時代個人信息保護問題的緊迫性和國際趨勢,對比研究了個人信息����、數(shù)據(jù)和隱私等基礎(chǔ)性概念,發(fā)現(xiàn)個人信息保護不僅是個人隱私安全層面的問題�����,還事關(guān)公民的財產(chǎn)利益、發(fā)展機會和互聯(lián)網(wǎng)行業(yè)發(fā)展與國家競爭力��。國際上���,面對個人信息這一新型資源,世界各國不但沒有放松��,而是進一步強化了以人為本的個人信息保護制度��,這既是個人全面發(fā)展的需要�,更是保護互聯(lián)網(wǎng)行業(yè)發(fā)展和國家經(jīng)濟發(fā)展的戰(zhàn)略考量�����。
在認(rèn)識個人信息保護的迫切、重要性的基礎(chǔ)上,我們在第二章中從個人信息的基本原則發(fā)展演變出發(fā)�����,研究近四十年來歐美等國如何凝聚個人信息保護的共識�,形成個人信息保護的基本原則�。分為原則的初次提出、信息社會和大數(shù)據(jù)時代三個階段�����,從歐洲和美國兩條線出發(fā)���,系統(tǒng)梳理了個人信息保護基本原則的國際演進和變化��,總結(jié)形成了當(dāng)前關(guān)于個人信息保護五大國際底線原則。發(fā)現(xiàn)即使在大數(shù)據(jù)的今天��,這些原則也被世界各國普遍使用�,并在保護個人權(quán)益方面得到進一步加強�����。
個人信息保護原則的落地首先體現(xiàn)在各國個人信息保護立法中����,為此���,在第三章中�����,我們對比研究了美國和歐盟個人信息保護的立法實踐情況,以及部分亞洲國家���、地區(qū)和新興市場國家個人信息保護立法進程。發(fā)現(xiàn)各國��、地區(qū)盡管路徑和方法有所不同,既有以美國為代表的各領(lǐng)域分散立法保護�����,也有歐盟、日本�����、韓國、我國臺灣地區(qū)�,以及部分新興市場國家逐漸形成的統(tǒng)一的個人信息保護立法��,但是總體上都在各自的框架內(nèi)讓個人信息保護國際原則成為法律條文和基本制度��。
緊接著,在主報告第四章中�����,我們從各個國家�、地區(qū)的監(jiān)管實踐中研究個人信息保護原則的落地情況??傮w上�����,在各自的立法模式下各個國家��、地區(qū)逐漸形成了或?qū)iT統(tǒng)一或各領(lǐng)域分散的個人信息保護監(jiān)管格局�����,重視信息服務(wù)行業(yè)自律和司法訴訟下個人信息保護法律實施��,特別是加強面向公眾�����、信息處理機構(gòu)工作人員的個人信息保護宣傳教育和培訓(xùn)工作��?�?傮w上����,完善的個人信息保護立法���、設(shè)置專門的個人信息保護監(jiān)管部門�����,確保嚴(yán)格的侵權(quán)究責(zé)與個人信息主體有效的維權(quán)與救濟渠道等,越來越成為個人信息保護的國際趨勢���。
第五章為征信與個人信息保護的專題研究�����。從本質(zhì)功能上講��,征信是為緩解信貸市場的信息不對稱問題而產(chǎn)生的���。對此���,為獲得信貸融資機會,借款人必須讓渡部分個人信息��,供放貸人評估其還款能力、意愿和風(fēng)險定價�。同時����,由于借款人未來履約與否��,間接影響他人的信貸消費機會和金融穩(wěn)定這一公共利益�����,所以強制采集�����、共享借款人負(fù)債信息已成為世界征信業(yè)的普遍做法�。但即便如此,從個人信息保護的角度來看��,個人借款人也并非完全放棄個人信息權(quán)利����,征信業(yè)在評價信用風(fēng)險時仍要遵循基本的公平和個人信息保護原則,個人對其征信數(shù)據(jù)擁有知情權(quán)�����、查閱訪問權(quán)�、異議權(quán)和糾錯權(quán),這也是世界各國發(fā)展征信業(yè)時的共識和普遍做法�����。
第六章為數(shù)據(jù)跨境流動規(guī)則,主要介紹了經(jīng)合組織 (OECD)��、亞太經(jīng)合組織 (APEC)����、歐盟以及美歐間的數(shù)據(jù)跨境流動政策���,并特別補充了近年來部分國家數(shù)據(jù)本地化的政策趨勢��??傮w上��,目前數(shù)據(jù)的國際流動規(guī)則還沒有相應(yīng)的國際協(xié)調(diào)機制�,這已經(jīng)不適應(yīng)以互聯(lián)網(wǎng)為基礎(chǔ)的世界經(jīng)濟的發(fā)展��,為此�����,在形成跨境數(shù)據(jù)流動政策的國際共識和協(xié)調(diào)中需要各國的共同努力�。在此過程中����,對于個人信息保護不足的國家而言��,及時跟上個人信息保護的國際步伐�,補齊個人信息保護的短板,避免因個人信息保護不力而在國際服務(wù)貿(mào)易中成為他國對其實行貿(mào)易壁壘的新依據(jù)����,是其首要解決的問題。
在國際個人信息保護的競技場上�,我國個人信息保護現(xiàn)狀如何、原因何在等是第七章研究的重點��。該章結(jié)合實際案例分析指出����,雖然我國的一些法律規(guī)范也零星涉及了國際個人信息保護領(lǐng)域普遍接受的基本原則,但是認(rèn)識不到位���、立法不完善�、保護框架失衡、行政監(jiān)管缺位����、違法懲戒不足等���,導(dǎo)致我國個人信息保護嚴(yán)重不足����、落后于全球步伐:個人信息不規(guī)范采集�����、不安全處理和無約束使用�,導(dǎo)致公眾的個人信息滿天飛,營銷性短信�����,郵件���、騷擾電話和精準(zhǔn)詐騙越來越多���,嚴(yán)重威脅個人的隱私���、安全、財產(chǎn)和發(fā)展機會�,并對我國互聯(lián)網(wǎng)行業(yè)發(fā)展和國家經(jīng)濟發(fā)展與國際競爭力都帶來了不利的影響。
第八章為我國個人信息保護的立法和政策建議����。該章綜合我國個人信息保護領(lǐng)域的問題和國際經(jīng)驗,研究認(rèn)為個人信息保護與大數(shù)據(jù)價值挖掘并不沖突����,清晰的個人信息、隱私監(jiān)管規(guī)則和基于此的公眾信任�,有助于互聯(lián)網(wǎng)行業(yè)和信息科技的蓬勃發(fā)展。為此��,我國應(yīng)樹立 “以人為本”的個人信息保護理念�,盡快推動出臺統(tǒng)一的個人信息保護法律,明確個人信息保護的執(zhí)法監(jiān)管機制并成立專門的監(jiān)管機構(gòu)��,加強對個人信息保護的日常監(jiān)管����,同時����,加強司法救濟和公眾教育�,形成個人信息保護的綜合治理體系。
?����。ǘ└眻蟾娓髡鹿?jié)內(nèi)容簡介
在國際比較研究報告中�,我們系統(tǒng)研究了美國、歐盟����、日本�、韓國、新加坡和我國臺灣�����、香港等在個人信息保護上的立法和監(jiān)管實踐����,分析大數(shù)據(jù)時代各經(jīng)濟體個人信息保護最新進展情況。
一章從美國個人信息保護的立法����、監(jiān)管實施和最新趨勢的角度介紹美國個人信息保護的情況�����?����?傮w上�,美國采取分散的立法和監(jiān)管模式��,在公法領(lǐng)域以成文法建立了政府機構(gòu)數(shù)據(jù)保護標(biāo)準(zhǔn)�����,在私法領(lǐng)域?qū)ι婕敖鹑?��、醫(yī)療����、電子通信�、兒童隱私、背景調(diào)查以及征信等領(lǐng)域,對個人信息的處理進行了立法規(guī)范�。在個人信息保護監(jiān)管和執(zhí)法上,主要是聯(lián)邦貿(mào)易委員會��、聯(lián)邦通信委員會����、消費者金融保護局等監(jiān)管機構(gòu),以及司法系統(tǒng)和隱私權(quán)訴訟的原告來推動實施�����。整體上�����,美國對個人信息隱私的保護��,更依賴監(jiān)管部門的執(zhí)法以及私人訴訟�,以威懾 “不公正或欺騙性的”商業(yè)行為或者侵犯隱私權(quán)的行為����。
在第二章中,我們以德國為例研究個人信息保護在歐盟成員國的發(fā)展���,并梳理歐盟層面?zhèn)€人信息保護的歷史發(fā)展和最新進展情況����。總體上����,歐洲將個人信息視為公民人格和人權(quán)的一部分,認(rèn)為人格的自由發(fā)展要求個人有權(quán)對抗其個人信息無限制地被收集����、存儲、使用和傳送�����。在實踐中��,歐洲對包括政府部門���、各商業(yè)領(lǐng)域的所有個人信息處理��,制定了統(tǒng)一的個人信息保護立法���,實施統(tǒng)一的個人信息保護標(biāo)準(zhǔn)��,并在監(jiān)管機構(gòu)和公民救助上��,形成了一套獨特的個人信息保護體系�����。2016年歐盟個人信息保護的最新條例����,更是在加強對信息主體保護��、強化機構(gòu)的責(zé)任等方面又向前邁出
了一大步����。
第三章是對日本情況的介紹。日本借鑒了歐盟個人信息保護立法經(jīng)驗和法律外殼��,以保障公民隱私權(quán)在內(nèi)的人格權(quán)和財產(chǎn)權(quán)為核心�,最終形成了一部規(guī)制政府部門、私營企業(yè)個人信息處理行為的綜合性個人信息保護基本法���。與此同時,日本也采用美國實用主義的立法方式��,在個人信息保護基本法基礎(chǔ)上,更加重視重點行業(yè)的特別立法����、行業(yè)自律和第三方監(jiān)督等,以追求個人信息權(quán)益保護和信息應(yīng)用之間的平衡����。
在第四章的韓國研究中,我們梳理了韓國個人信息保護的歷史演變和最新進展情況�����?���?傮w上,韓國以 “保障每個人都有權(quán)決定是否將個人信息交付并提供給他人利用的權(quán)利”為核心�����,確保信息主體對其個人信息及產(chǎn)生影響的知情����、控制。目前形成了以 《個人信息保護法》為核心��,以 《信息通信促進法》 《信用信息使用與保護法》等法律為補充的完整法律體系,搭建了以個人信息保護委員會為指導(dǎo)�、韓國內(nèi)政部牽頭的個人信息保護綜合執(zhí)法體系,建立了被稱為 “亞洲最嚴(yán)厲的個人信息保護制度”���。
第五章是對新加坡個人信息保護法律情況的介紹��。目前在個人信息保護領(lǐng)域��,新加坡逐步發(fā)展出了國家機構(gòu)和商業(yè)機構(gòu)分治����,僅對商業(yè)機構(gòu)的個人信息處理建立了統(tǒng)一立法的法律保護體系�。在法律實施中,設(shè)置了個人信息保護委員會作為個人信息保護法律的執(zhí)行機構(gòu)�����,通過制定具體標(biāo)準(zhǔn)進行立法實施����。總體上����,新加坡有針對性地選擇不同領(lǐng)域適用個人信息保護法律,體現(xiàn)了新加坡個人信息保護規(guī)范體系務(wù)實�����、兼顧個人利益保護和數(shù)據(jù)經(jīng)濟利用的特點�����。
第六章介紹了我國臺灣地區(qū)個人信息保護的基本情況��。臺灣地區(qū)的個人信息保護立法經(jīng)歷了從專門規(guī)范特定產(chǎn)業(yè)的部門立法到全面統(tǒng)一立法的兩大階段�����,目前統(tǒng)一的 “個人信息保護法”同時規(guī)范公務(wù)機關(guān)和非公務(wù)機關(guān)的個人信息處理行為����。臺灣地區(qū)的各行業(yè)監(jiān)管部門擔(dān)負(fù)個人信息保護監(jiān)管職責(zé),對違規(guī)行為苛以民事責(zé)任�����、刑事責(zé)任和行政責(zé)任�。針對公務(wù)機關(guān)的違規(guī)行為采取無過錯原則承擔(dān)損害賠償責(zé)任,針對非公務(wù)機關(guān)的違規(guī)行為則采取過錯推定原則承擔(dān)損害賠償責(zé)任����,是臺灣地區(qū)損害賠償?shù)囊淮筇攸c���。
在第七章我國香港地區(qū)的情況介紹中,梳理了英國個人信息保護制度的發(fā)展歷程以及對香港地區(qū)個人信息保護制度的影響����,總結(jié)了香港個人信息保護的法律制度和監(jiān)管框架,介紹了大數(shù)據(jù)背景下網(wǎng)絡(luò)技術(shù)對個人信息保護的挑戰(zhàn)及香港的應(yīng)對措施���??傮w上��,香港個人信息保護的 “歐洲特征” 明顯�,歐洲個人信息保護的基本原則、對信息主體的權(quán)益保護在香港得到有效實踐��,統(tǒng)一的個人信息保護法律和特設(shè)的隱私保護專員公署��,負(fù)責(zé)對政府機關(guān)和私營機關(guān)個人信息處理行為的規(guī)范���。近年來���,我國香港還在互聯(lián)網(wǎng)渠道和公共渠道個人信息采集�����、應(yīng)用程序、網(wǎng)上追蹤��、直接促銷等領(lǐng)域���,對個人信息處理行為制定了針對性監(jiān)管指引��。
三�����、致謝與說明
參加此次課題研究的同志主要包括:課題執(zhí)行負(fù)責(zé)人�、中國人民銀行征信中心原副主任王曉蕾 (總撰稿���、統(tǒng)稿工作和報告審閱)����,中國人民銀行征信中心曹亞廷 (第一章�、第三章、第四章����,附錄第四章)���,北京大數(shù)據(jù)研究院李銘 (第二章),中國人民銀行征信中心楊淵 (第五章)�����,騰訊研究院王融 (第六章�����、第八章)��,北京市安理律師事務(wù)所王新銳 (第七章和附錄第七章)���,北京市君合律師事務(wù)所董瀟 (附錄第一章)��,中國信息通信研究院葛鑫 (附錄第二章)�,中國人民銀行征信中心丁安平 (附錄第三章)����,北京市天元律師事務(wù)所朱宣燁 (附錄第五章),中央民族大學(xué)朱蕓陽 (附錄第六章)。中國人民大學(xué)法學(xué)院楊東���、中國人民銀行中關(guān)村中心支行夏楠和北京理工大學(xué)孟兆平亦有貢獻��。
同時����,要特別感謝在中期評審會上���,全國人大財經(jīng)委副主任委員吳曉靈、中國工商銀行原行長楊凱生����、中國人民銀行征信管理局局長萬存知對本課題的評審,為本課題的進一步完善提供了有力的指導(dǎo)���。同時����,在課題研究中��,各界專家學(xué)者為我們提供了真知灼見���,主要有全國人大法工委楊合慶����、最高人民法院姜強、中國人民銀行金融消費權(quán)益保護局孫天琦��、中國人民銀行條法司張念念��、工信部石玉春���、中信銀行袁東寧���、中國聯(lián)通范濟安、瑞銀中國彭彥杰等�����。此外���,中國金融四十人論壇秘書長王海明�、廉薇等對課題的申請����、寫作���、討論和評審都給予了很多關(guān)心和支持,中國人民銀行征信中心前后三任領(lǐng)導(dǎo)王曉明���、王煜和陳建華同志對課題研究給予了大力支持和指導(dǎo)�����,在此表示衷心的感謝�����。
需要特別指出,在課題的研究過程中���,我們雖然盡了最大的努力����,盡可能全地搜集文獻���、報告�,與國內(nèi)外相關(guān)領(lǐng)域的專家進行各種專題研討���、交流��,但是由于當(dāng)前信息科技快速發(fā)展�,大數(shù)據(jù)時代個人信息處理和應(yīng)用日新月異,在汗牛充棟的個人信息保護研究中�����,本書只是一家之言�,受時間和能力限制,疏漏和不足之處在所難免���。歡迎各位專家��、讀者批評指正�,通過共同探討和多方交流��,使相關(guān)研究更加深入���、成果更加豐碩����。
個人信息保護課題組
2020年12月
關(guān)于作者
