政策汇总:各国个人信息安全立法进度一览
2019-04-19
自2012年起,315晚会已连续7年提及信息安全隐患问题:手机app要求的种种不合理授权、暗网上被不断兜售的个人信息、层出不穷的数据泄露事件,还有今年315晚会上被点名曝光的高科技灰色产业链——通过“探针盒子”收集附近用户的电话;利用智能机器人打出大量骚扰电话;从app中获取用户隐私信息……
围绕数据所形成的产业发展和个人信息隐私权之间必然存在某种程度上的分歧。目前,世界各国都已经开始通过修订或增加法律法规中关于个人信息保护边界和内容的界定,积极寻找开发数据经济价值与保护个人信息安全之间的平衡点。
1、 中国保护个人信息安全的相关政策
2016年11月7日,全国人大常委会颁布《中华人民共和国网络安全法》,首次定义了从立法层面对个人信息进行了定义和不完全列举:
个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
此前,我国对个人信息安全的规定主要散见于《民法》、《刑法》、《消费者权益保护法》、《征信业管理条例》等法律条文中,《网络安全法》是首次对网络运营者的职责、违规使用个人信息需承担的法律责任做出了集中性规定的法律文件,弥补了我国法律体系中的一大空白。
尽管目前我国尚未针对个人信息安全进行专门立法,但对个人信息安全保护法的探索早已开始。
经过企业方(包括阿里、腾讯、华为等企业代表)、学术界和监管部门三方漫长的博弈,2017年12月29日,全国信息安全标准化技术委员会发布了《信息安全技术 个人信息安全规范》,并于2018年5月1日正式实施。
该规范类属于推荐性标准,不强制执行,也不属于法律体系,是对个人信息安全立法的一次重要尝试。标准中按照信息的敏感程度划分了个人信息和个人敏感信息,分别规定了不同的收集、保存、使用以及处理等流转环节的方法和原则,并要求个人信息控制者收集个人信息后,个人信息控制者宜立即进行去标识化处理,并采取技术和管理方面的措施,将去标识化后的信息与可用于恢复识别个人的信息分开存储。
此外,该标准还对用户画像的定义及使用做出了规范:
直接使用特定自然人的个人信息,形成该自然人的特征模型,称为直接用户画像,直接用户画像的信息可以识别某一特定自然人。使用来源于特定自然人以外的个人信息,如其所在群体的数据,形成该自然人的特征模型,称为间接用户画像,间接用户画像的信息无法识别某一特定自然人。除为达到个人信息主体授权同意的使用目的所必需外,使用个人信息时应消除明确身份指向性,避免精确定位到特定个人。例如,为准确评价个人信用状况,可使用直接用户画像,而用于推送商业广告目的时,则宜使用间接用户画像。
2019年1月30日,全国信息安全标准化技术委员会对《信息安全技术 个人信息安全规范》进行了修订,并向社会各界发起意见征询,新草案的主要变化是增加“个性化展示及推出”和“第三方接入管理”两大内容,进一步保障了个人信息主体对个人信息使用的主动权。
全国人大常委会在2019年两会上表示,已将制定个人信息保护法列入本届立法规划。从两次发布的《信息安全技术 个人信息安全规范》来看,我国对个人信息安全监管的态度渐近趋严。
2、 欧盟保护个人信息安全的相关政策
工信部发布的《2018年大数据白皮书》中指出,epd 指令与gdpr 共同构成了欧盟数据保护法律框架的两大支柱,赋予数据主体包括访问权、纠错权、被遗忘权、限制处理权、反对权、拒绝权和自决权等权利,为欧盟各国的个人信息隐私权保护提供了法律依据。
2019年1月21日,谷歌被曝因违反gdpr被法国国家数据保护委员会处以5000万欧元的罚款。这并不是gdpr开出的第一张罚单,早在欧盟刚刚发布gdpr时就宣布,只有3%的企业符合该条例,facebook、谷歌、苹果等巨头都被纳入重点监管的名单。
埃森哲形容gdpr为“近二十年来数据隐私规则领域发生的最重要变化”。其指出,在过去,只有收集和使用数据的数据拥有者需要对数据保护负责。如今,gdpr史无前例地规定了数据处理者也需要直接承担合规风险和义务。在数据保护上,数据供应链自上而下的各方都会被问责。埃森哲指出,gdpr大大增加了数据保护的强制性和责任性,对违规的处罚金额提高到2000万欧元或企业全球年营业额的4%,二者取较高值。
作为与gdpr相辅相承的补充,epd指令主要针对的是通信领域的数据保护,其针对的主体既包括传统电信业务,也包括新兴电信服务提供者,如whatsapp、facebook messenger、skype等。epd指令规定了电信业务中数据业务的开展边界、元数据和用户通信内容的处理、cookies的使用规则、垃圾函件,如骚扰电话、营销短信等的规定,并明确了gdpr的实施部门为各国数据保护机构。
3、 美国保护个人信息安全的相关政策
早在1974年,美国联邦就制定了《隐私法》,后续有关个人信息安全的法律规范都是在这一法律前提下进行立法。2015年10月,美国联邦通过《网络安全信息共享法》进一步规定了个人隐私、自由等私权利的保护。
美国的法律体系与欧盟大不相同,主要以行业作为划分,针对金融、医疗、电信、教育、娱乐、消费者保护和儿童隐私保护等领域制定了有关个人信息安全保护的细则。相比于欧盟而言,美国联邦显然更加关注数据产业所带来的经济效益,因此给个人信息使用者们提供了更为宽松的环境,但随着gdpr的推行,留住用户的心,还是留住企业的心也许是美国联邦政府需要重新考量的问题。
此外,在联邦法的基础上,各州也推出了自己的信息安全保护政策。其中,加州于2018年7月通过的《2018加州消费者隐私法案》借鉴了多条gdpr的核心内容,被称为美国迄今“最严厉、最全面”的个人数据隐私保护法案。不过,这法案2020年1月1日才会正式实施。
世界各国都在加快探索个人数据使用边界的进程:在gdpr的基础上,欧洲各国纷纷开始完善个人信息保护法,如2019年3月14日,荷兰发布gdpr惩罚细则,对罚款金额进行了具体分类;美国如德州、加州等发出了加强个人信息保护立法的声音,苹果ceo库克亦提议制定联邦法,向欧盟gdpr靠拢;澳大利亚近年来一直致力于修改联邦法案,增加对个人信息隐私权保护;2018年7月,印度政府关于《个人数据保护法案》草案的研究也提上了日程……
针对个人信息安全保护的立法是数字经济发展到一定阶段的必然产物,而在保护个人信息安全和保护合规企业的竞争力,引导市场“良币战胜劣币”的权衡上,我国显然更为谨慎。