政策匯總:各國個人信息安全立法進度一覽
2019-04-18
自2012年起,315晚會已連續7年提及信息安全隱患問題:手機APP要求的種種不合理授權、暗網上被不斷兜售的個人信息、層出不窮的數據泄露事件,還有今年315晚會上被點名曝光的高科技灰色產業鏈——通過“探針盒子”收集附近用戶的電話;利用智能機器人打出大量騷擾電話;從APP中獲取用戶隱私信息……
圍繞數據所形成的產業發展和個人信息隱私權之間必然存在某種程度上的分歧。目前,世界各國都已經開始通過修訂或增加法律法規中關于個人信息保護邊界和內容的界定,積極尋找開發數據經濟價值與保護個人信息安全之間的平衡點。
1、 中國保護個人信息安全的相關政策
2016年11月7日,全國人大常委會頒布《中華人民共和國網絡安全法》,首次定義了從立法層面對個人信息進行了定義和不完全列舉:
個人信息,是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息,包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。
此前,我國對個人信息安全的規定主要散見于《民法》、《刑法》、《消費者權益保護法》、《征信業管理條例》等法律條文中,《網絡安全法》是首次對網絡運營者的職責、違規使用個人信息需承擔的法律責任做出了集中性規定的法律文件,彌補了我國法律體系中的一大空白。
盡管目前我國尚未針對個人信息安全進行專門立法,但對個人信息安全保護法的探索早已開始。
經過企業方(包括阿里、騰訊、華為等企業代表)、學術界和監管部門三方漫長的博弈,2017年12月29日,全國信息安全標準化技術委員會發布了《信息安全技術 個人信息安全規范》,并于2018年5月1日正式實施。
該規范類屬于推薦性標準,不強制執行,也不屬于法律體系,是對個人信息安全立法的一次重要嘗試。標準中按照信息的敏感程度劃分了個人信息和個人敏感信息,分別規定了不同的收集、保存、使用以及處理等流轉環節的方法和原則,并要求個人信息控制者收集個人信息后,個人信息控制者宜立即進行去標識化處理,并采取技術和管理方面的措施,將去標識化后的信息與可用于恢復識別個人的信息分開存儲。
此外,該標準還對用戶畫像的定義及使用做出了規范:
直接使用特定自然人的個人信息,形成該自然人的特征模型,稱為直接用戶畫像,直接用戶畫像的信息可以識別某一特定自然人。使用來源于特定自然人以外的個人信息,如其所在群體的數據,形成該自然人的特征模型,稱為間接用戶畫像,間接用戶畫像的信息無法識別某一特定自然人。除為達到個人信息主體授權同意的使用目的所必需外,使用個人信息時應消除明確身份指向性,避免精確定位到特定個人。例如,為準確評價個人信用狀況,可使用直接用戶畫像,而用于推送商業廣告目的時,則宜使用間接用戶畫像。
2019年1月30日,全國信息安全標準化技術委員會對《信息安全技術 個人信息安全規范》進行了修訂,并向社會各界發起意見征詢,新草案的主要變化是增加“個性化展示及推出”和“第三方接入管理”兩大內容,進一步保障了個人信息主體對個人信息使用的主動權。
全國人大常委會在2019年兩會上表示,已將制定個人信息保護法列入本屆立法規劃。從兩次發布的《信息安全技術 個人信息安全規范》來看,我國對個人信息安全監管的態度漸近趨嚴。
2、 歐盟保護個人信息安全的相關政策
工信部發布的《2018年大數據白皮書》中指出,ePD 指令與GDPR 共同構成了歐盟數據保護法律框架的兩大支柱,賦予數據主體包括訪問權、糾錯權、被遺忘權、限制處理權、反對權、拒絕權和自決權等權利,為歐盟各國的個人信息隱私權保護提供了法律依據。
2019年1月21日,谷歌被曝因違反GDPR被法國國家數據保護委員會處以5000萬歐元的罰款。這并不是GDPR開出的第一張罰單,早在歐盟剛剛發布GDPR時就宣布,只有3%的企業符合該條例,Facebook、谷歌、蘋果等巨頭都被納入重點監管的名單。
埃森哲形容GDPR為“近二十年來數據隱私規則領域發生的最重要變化”。其指出,在過去,只有收集和使用數據的數據擁有者需要對數據保護負責。如今,GDPR史無前例地規定了數據處理者也需要直接承擔合規風險和義務。在數據保護上,數據供應鏈自上而下的各方都會被問責。埃森哲指出,GDPR大大增加了數據保護的強制性和責任性,對違規的處罰金額提高到2000萬歐元或企業全球年營業額的4%,二者取較高值。
作為與GDPR相輔相承的補充,ePD指令主要針對的是通信領域的數據保護,其針對的主體既包括傳統電信業務,也包括新興電信服務提供者,如WhatsAPP、Facebook Messenger、Skype等。ePD指令規定了電信業務中數據業務的開展邊界、元數據和用戶通信內容的處理、cookies的使用規則、垃圾函件,如騷擾電話、營銷短信等的規定,并明確了GDPR的實施部門為各國數據保護機構。
3、 美國保護個人信息安全的相關政策
早在1974年,美國聯邦就制定了《隱私法》,后續有關個人信息安全的法律規范都是在這一法律前提下進行立法。2015年10月,美國聯邦通過《網絡安全信息共享法》進一步規定了個人隱私、自由等私權利的保護。
美國的法律體系與歐盟大不相同,主要以行業作為劃分,針對金融、醫療、電信、教育、娛樂、消費者保護和兒童隱私保護等領域制定了有關個人信息安全保護的細則。相比于歐盟而言,美國聯邦顯然更加關注數據產業所帶來的經濟效益,因此給個人信息使用者們提供了更為寬松的環境,但隨著GDPR的推行,留住用戶的心,還是留住企業的心也許是美國聯邦政府需要重新考量的問題。
此外,在聯邦法的基礎上,各州也推出了自己的信息安全保護政策。其中,加州于2018年7月通過的《2018加州消費者隱私法案》借鑒了多條GDPR的核心內容,被稱為美國迄今“最嚴厲、最全面”的個人數據隱私保護法案。不過,這法案2020年1月1日才會正式實施。
世界各國都在加快探索個人數據使用邊界的進程:在GDPR的基礎上,歐洲各國紛紛開始完善個人信息保護法,如2019年3月14日,荷蘭發布GDPR懲罰細則,對罰款金額進行了具體分類;美國如德州、加州等發出了加強個人信息保護立法的聲音,蘋果CEO庫克亦提議制定聯邦法,向歐盟GDPR靠攏;澳大利亞近年來一直致力于修改聯邦法案,增加對個人信息隱私權保護;2018年7月,印度政府關于《個人數據保護法案》草案的研究也提上了日程……
針對個人信息安全保護的立法是數字經濟發展到一定階段的必然產物,而在保護個人信息安全和保護合規企業的競爭力,引導市場“良幣戰勝劣幣”的權衡上,我國顯然更為謹慎。