您好,欢迎来到中国成都在线
设为首页 | 加入收藏 | 网站地图 | 手机版
您当前的位置: 首页 > 法治 > 法律讲堂

法律讲堂

马志刚|各国数据隐私保护普遍实践研究

发布日期:2016-05-03信息来源: 马博士权利计算服务

迄今为止,以欧盟、英国、美国、日本、韩国等为代表的诸多发达地区或国家,已经通过立法,建立了公民个人数据在线保护的较为完整的法律制度,有的甚至制定、实施了公民个人数据在线保护国家战略,其中部分地区或国家的隐私权保护法律体系率先垂范,为当今世界尚未建立个人数据在线保护法律制度的国家起到了标杆和导航的作用。

一、数据隐私侵权行为

根据目前的有关资料,世界各国相关立法已经明确规定,未经法定许可或授权,擅自拦截、披露、使用或许可他人使用、转卖他人个人数据的行为,属于侵权行为,应向权利人依法承担法律责任。所谓法定许可或授权,是指相关执法机关为侦查案件或搜集情报,依法申请获取的信息拦截使用正当授权文件,或者经向隐私权人声明相关需求以后,由隐私权人授予的书面同意文件。

(一)未授权拦截

未授权拦截行为包括未授权收集、拦截、购买、获取个人数据的任何行为,包括要求他人提供访问权限并获取受保护计算机信息系统中的个人数据信息。未授权拦截行为是侵害个人数据的初始行为,也是各国立法所禁止的重要个人数据侵害行为之一。如《1997年欧盟电信行业数据保护指南》(第97/66/EC号指南,欧洲议会和欧洲委员会1997年12月15日通过)第5条规定,各成员国应该通过国内立法,以确保利用公共电信网络和公共电信服务所进行的通信的机密性,特别应当禁止在没有获得用户同意的情况下,对用户通信信息进行收听、窃听、存储或其它形式的监听或监视。

(二)未授权披露和使用

未授权披露使用行为包括未授权披露、销售或要约销售、未履行法定注册登记程序擅自进行数据加工处理等任何行为。在某些场景,未授权拦截行为可能是未授权披露使用行为的原因,而未授权披露使用行为则可能构成未授权拦截行为的结果,两者同时构成违法,依据某些国家的立法,需要分别并处。《1998年英国数据保护法》(Data Protection Act 1998)规定,未经数据控制人同意,任何自然人、法人或其他组织不得获取或披露个人数据信息,不得许可他人向第三方披露个人数据信息;《1986年美国电子通信隐私法》(ECPA, the Electronic Communications Privacy Act)也规定,除发信人、收信人或其代理人之外,电子通信服务提供者不得向任何第三人披露其通信内容。

需要指出,除数据隐私民事侵权行为以外,各国还规定了数据隐私的违警治罪行为或刑事犯罪行为。例如2015年12月15日,欧洲议会、欧盟理事会、欧洲委员会制定发布《一般数据保护指令》(GDPR),规定无论是否取得用户同意,针对下列数据实施的任何数据分析活动均属于法律所规定的禁止性行为甚至是刑事违法行为:一是数据分析结果可以直接识别儿童二是数据分析结果可能导致对用户本人产生社会性歧视(如种族、民族、政治立场、宗教信仰、商业团体资格、性取向、性别等类型的数据分析);三是自动化数据分析结果对数据本人产生法律影响或者其他重大影响

二、企业组织的数据隐私保护责任

1980年9月23日,经济合作与发展组织(OECD)发表了《关于保护隐私与垮境个人数据流动的指南》(Guidelines Governing the Protection of  Privacy and Transborder Flows of Personnal Data),提出了“收集限制原则”、“收集目的明确化原则”、“符合利用目的原则”、“使用须经正当授权原则”、“采取安全保护措施原则”、“信息权利主体参与管理原则”等个人数据保护的基本原则,基本上概括了相关组织和企业在个人数据保护方面应负的责任和义务。纵观世界各国立法,大体上均按照经济合作与发展组织(OECD)提出的原则,为相关组织和企业设定了个人数据保护的义务和责任。

(一)未经授权不得拦截的义务

各国立法一般规定,个人数据的收集应采取合法且正当的手段,并需通知本人或取得本人同意;未经本人同意或者未经法定授权,不得收集、拦截、购买、获取个人数据,不得要求他人提供访问权限并获取受保护计算机信息系统中的个人数据信息。如《1996年美国通信法》第229条“《通信执法援助法法》(the Communications Assistance for Law Enforcement Act)之遵守”规定,公共电信运营商的职员或其他工作人员从事截取通信信息以及接入呼叫识别信息(call-identifying information)时应当具有正当授权,无正当授权者不得从事该类截取或接入活动。公共电信运营商的职员或其他工作人员,无论其是否具有该类正当授权,均须保证该类截取或接入活动的安全性,并须保存其从事该类截取或接入活动的纪录。

(二)征得数据本人同意的义务

所谓“征得同意的义务”,是指除经本人同意或者法律授权之外,个人数据不得被擅自披露或者公开使用;互联网服务提供商在其业务经营过程中,需要收集、使用、披露用户个人数据的,应当事先征得用户的同意。“征得同意的义务”是一条刚性约束规范,也是保护用户个人隐私的第一道防线,因此,在许多国家的隐私权保护立法中,都对这一基本义务进行了强制规范。2015年9月9日日本内阁官房修订通过的《个人数据保护法修正案》规定,数据控制者将个人数据转移到日本境外的,必须征得用户本人同意。2015年12月15日欧盟通过的《一般数据保护指令》(GDPR)也规定,合法有效的同意必须是明示的同意,任何推定或默示的同意均不是合法有效的同意;利用大数据分析技术描绘用户个人“数据图谱”(data profile),必须具有法定依据或者获得用户明示同意,获得用户明示同意时,必须明确告知用户将要描绘的“数据图谱”(data profile)的详细技术细节和用途说明,由用户本人在明白无误地充分知情下做出同意的意思表示。

(三)告知义务

与“征得同意的义务”一样,告知义务也是一项刚性约束义务,要求个人数据的收集、披露、使用应当事先通知本人,或者个人数据控制人应当告知信息权利人其是否持有信息权利人的个人数据。告知义务旨在维护信息权利人的知情权,在某些场景,告知义务是征得同意义务的前置义务,两者往往需要合并运行。如《1998年英国数据保护法》(Data Protection Act 1998)规定,任何数据主体(data subject)均有权要求数据控制人(data controller)告知,其个人数据信息是否已被数据控制人所获取、持有、使用或披露,或是否与数据控制人有任何利害关系,并有权要求数据控制人告知,该个人数据信息的主体是否为提出告知要求的数据主体,数据控制人获取、持有、使用或披露该个人数据信息的目的,该个人数据信息被披露后获取其内容的主体或主体类型。

(四)免费提供接入义务

根据经济合作与发展组织(OECD)《关于保护隐私与垮境个人数据流动的指南》,“免费提供接入义务”可以是“信息权利人参与管理的原则”的延伸,系指个人数据控制人应当向信息权利人提供个人数据存储处理系统(relevant filing system)的免费接入服务,以便信息权利人能够参与其个人数据的管理,并及时向信息控制人提出关于其个人数据的删除、修订等要求。如《1997年美国数据隐私法》(the Data Privacy Act of 1997)第2条规定,应用户要求,交互式计算机服务提供者应当向用户提供其个人身份信息的免费接入服务,并允许用户对该类信息进行辨别和修改;第6条规定,交互式计算机服务提供者应当向父母或其他监护人提供其子女个人身份信息的免费接入服务,并允许父母或其他监护人对该类信息进行辨别、修改或永久性删除。

(五)中断持续收集、披露和使用的义务

根据经济合作与发展组织(OECD)《关于保护隐私与垮境个人数据流动的指南》“收集目的明确化原则”,个人数据的收集目的至迟于收集之时就应当加以明确,之后的信息利用不得与最初的收集目的相矛盾、相违背。依据这一原则,有的国家立法规定,如果与原初的收集目的相矛盾、相违背,信息控制人应当立即停止继续收集、披露和使用个人数据,信息主体有权阻止信息控制人继续收集、披露和使用个人数据。如《1998年美国儿童在线隐私保护法》(the Children’s On-line Privacy Protection Act of 1998)规定,父母或其他监护人有权拒绝互联网服务提供者以检索形式继续收集、使用、持有儿童个人身份信息。互联网服务提供者不得利用限制儿童参加网络游戏、网上购物或其他活动的机会,无限制地披露儿童个人身份信息。

(六)限制扩大使用的义务

与“收集目的明确化原则”紧密相连,如果与最初的收集目的相矛盾、相违背,信息控制人在立即停止继续收集、披露、使用的同时,还应当立即停止与原初收集目的不一致的所有利用、使用行为,信息权利人可以要求信息控制人立即停止与原初收集目的不一致的所有扩大利用、扩大使用行为。例如《1998年美国儿童在线隐私保护法》(the Children’s On-line Privacy Protection Act of 1998)规定,为了下列目的,经父母或其他监护人同意而收集到的儿童个人身份信息,互联网服务提供者不得继续使用或持有,或者将之用于父母或其他监护人许可使用途径之外的其他途径:(一)一次性回复儿童提出的在线请求;(二)向家长或儿童询问其姓名或其他在线联络信息;(三)多次回复儿童提出的特定在线请求;(四)向家长通知有关其子女的特定事项。

(七)采取匿名化等安全保密措施的义务

经济合作与发展组织(OECD)《关于保护隐私与跨境个人数据流动的指南》中 “采取安全保护措施原则”,经各国立法确认为信息控制人的一项基本义务,即信息控制人应当采取相应的安全保护措施,防止个人数据遭到丢失、泄露、破坏等威胁。根据日本2015年9月9日新修的《个人数据保护法修正案》,数据控制人应当采取适当的技术措施,对用户个人数据实施去身份化、匿名化处理等安全保护措施。2015年12月15日欧盟通过的《一般数据保护指令》(GDPR)也规定,利用大数据分析技术针对用户个人描绘“数据图谱”(data profile),应当事先对数据采取匿名化处理,业务实践中确实无法匿名化的,则应当以假名代替真名;匿名化必须按照比例原则,即匿名化之后,即使投入相同时间和成本依然无法恢复用户真实身份属性。

(八)通知删除的义务

在美国,《健康保险可携带和责任法》(HIPAA)规定,依据《2003年隐私规则》(the Privacy Rule of 2003),医疗健康服务提供者必须删除包括出生日期、车辆序列号码、互联网域名和资源定位系统(URLs)、语音打印等不明显身份信息在内的18类公民个人身份信息。在韩国,立法规定了类似于《2010年英国数字经济法》规定的关于保护著作权人知识产权的“原生义务”制度,信息通信服务提供者不仅须对利用其信息通信网实施侵权行为的加害人承担共同连带责任,而且应受害人通知或请求具有删除涉嫌侵权信息或采取其他临时措施以阻断涉嫌侵权信息传播的义务(英国法称之为“原生义务”),以保护用户在线隐私权、名誉权、个人数据等私权利;同时,对于已尽法定义务的信息通信服务提供者,法律规定了免除共同连带责任的“安全港”制度(参见《韩国信息通信网促进利用与信息保护法》(法律第9637号,2009年4月22日部分修订)第44条“信息的删除要求等”)。

(九)指定隐私保护责任人的义务

为加强对个人数据的保护,部分国家立法还要求信息控制人应当在其内部指定相应的隐私权保护责任人,负责监督本企业内部落实、履行隐私权管理和保护相关法律规定。《1998年英国数据保护法》(Data Protection Act 1998)第23条“数据保护监督员(data protection supervisors)的任命”规定,英国国务大臣(the Secretary of State)应当制定相应的法规或条例,要求相关数据控制人(data controller)在其内部必须指定一名数据保护监督员(data protection supervisors),负责通过某种独立的方式监督数据控制人(data controller)遵守、履行本法规定相关个人数据保护责任和义务的情况。2015年12月15日欧盟通过的《一般数据保护指令》(GDPR)规定,雇员在250人以上的大型企业必须设立“数据保护官”(data protection officer);跨国企业在跨境提供商品或服务过程中,收集、处理欧盟供民个人数据的,自动适用欧盟数据保护法律,并须在欧盟境内指派特定代表负责数据处理的合规性自查事务。

三、数据跨境流动的安全港制度

所谓安全港制度,就是指目的地国达到出口地国法定最低保护要求并履行出口地国法律规定的审核认定程序以后,目的地国企业组织即可合法地将出口地国数据转移到目的地国。迄今为止,美欧日韩等国规定了较为明确的数据跨境流动安全港制度,如《1995 年欧洲议会、欧盟委员会关于保护通过通信网络传输、处理的个人数据并促进个人数据自由流动的指令》(第95/ 46/ EC 号指令)曾经规定,成员国政府应当保证,欧盟居民的个人数据被传送到欧盟以外的地区或者在欧盟境外进行处理时,也能得到同等水平的保护;对于不能有效保护个人数据的国家,成员国有权限制向该国的个人数据流动。2015年9月9日日本内阁官房修订通过的《个人数据保护法修正案》规定,数据控制者将个人数据转移到日本境外的,转移目的地国必须具有日本个人数据保护委员会认定为与日本标准相当的数据保护体系,或者符合日本个人数据保护委员会规定的数据保护标准。

国际上在隐私权保护方面,欧盟的规定严于美国的规定。依据欧盟指令的规定,欧盟成员国不得向个人数据保护立法未达到欧盟委员会(EC)判定为“充分的保护标准”的第三国传输任何个人数据,这条规定直接引起美欧之间长达2年之久(自1998年至2000年)的“安全港谈判”,2000年7月26日,美欧之间达成《2000/520号充分保护决定》(下称“安全港协定”)最终获得了欧盟委员会(EC)的批准并得以正式生效,美国的公司企业必须作出承诺,表明遵守由美国商务部和欧盟委员会(EC)内部市场司共同制定的一系列隐私权保护原则,之后,这些公司企业即推定达到了欧盟委员会(EC)的“充分性保护标准”,可以继续接受来自欧盟及其成员国的个人数据。2015年10月6日,欧盟法院就奥地利公民Schrems诉Facebook跨境转移个人数据一案作出判决,指出美国国家安全机构、情报执法机构长期凌驾于美欧安全港之上,可以对跨境转移到美国的欧盟公民个人数据采取监控、拦截、获取等措施,“安全港协定”其实并未达到《1995年数据保护指令》所要求的充分保护标准,因此判决无效。2016年2月2日,美欧达成的“欧盟-美国隐私盾协定”(EU-US Privacy Shield)一是对美国企业规定了更严的数据隐私保护义务。美国企业一旦提交参加隐私盾的自我确认书,就应当完全遵守隐私盾的所有隐私保护原则。二是赋予欧洲公民数据可携权、被遗忘权等新的数据权利。《一般数据保护指令》(GDPR)已经赋予欧洲公民数据可携权、被遗忘权等新的数据权利,并以隐私保护原则形式自动适用于“欧盟-美国隐私盾协定”(EU-US Privacy Shield),成为美国企业必须遵守的隐私保护原则之一。三是为欧盟公民提供了数据隐私跨境保护的多种救济渠道。欧盟公民有权向美国企业直接提出请求和投诉,美国企业必须向欧洲公民提供免费的替代性纠纷解决机制(ADR);欧洲公民有权向其本国数据保护机构进行直接投诉,本国数据保护机构将投诉移送美国商务部或美国联邦贸易委员会(FTC),美国商务部或美国联邦贸易委员会(FTC)必须在规定时限内结案并将结案报告投诉人和投诉人本国数据保护机构;投诉人对前述解决机制的处理结果不服,有权向由双方遴选的数据隐私专家组成的“隐私盾裁判小组”(Privacy Shield Panel)提出申诉,由“隐私盾裁判小组”(Privacy Shield Panel)按照双方认可的仲裁程序作出终审裁决(参见腾讯研究院:《美欧个人数据跨境流动20年政策变迁:从“安全港”到“隐私护盾”》)。

四、主要国家数据隐私保护行政体制

纵观世界各国有关公民个人数据、隐私权保护的立法和行政保护体制,根据拥有职能和发挥作用的大小,可以将隐私权管理体制区分为“政府主导型保护体制”和“行业自律组织主导型保护体制”两类。

(一)政府主导型保护体制

在欧盟及其主导下的成员国范围内,不仅主张以立法形式将个人数据相关权利宣布为受法律保护的公民基本权利,而且注重政府职能在个人数据保护中的主导作用,并且在政府内部特设一个行使个人数据保护职能的专门机构,负责公民个人数据或其他隐私权问题的保护管理。

1、个人数据保护机关

根据各国负责个人数据保护的行政机关系由立法所专门特设,还是指定由某个传统的行政机关代行个人数据保护相关职能,可以将个人数据保护机关区分为“专门特设保护机关”和“非专门特设保护机关”两种类型。

(1)专门特设保护机关

欧盟成员国范围内,大多采取立法方式,专门特设一个独立的监管机构或者行政机构,负责个人数据的行政保护工作。在法国,“国家信息和自由委员会(CNIL)”是负责公民个人数据保护工作的专门政府机关。在德国,“联邦数据保护委员会”(the Federal Commissioner for Data Protection)是负责公民个人数据保护工作的专门政府机关(参见《2003年德国联邦数据保护法》(2003年1月1日德国联邦议会通过)第三章“联邦数据保护委员会”(the Federal Commissioner for Data Protection))。在英国,英国信息委员会办公室(ICO)既是负责公民个人数据保护工作的专门政府机关,又是英国政府负责个人隐私权保护和政务信息公开工作的独立监管机构(independent authority),负责执行《1998年英国数据保护法》(Data Protection Act 1998)和《信息自由法》(Freedom of Information Act 2000)两部法律,在北爱尔兰、苏格兰和威尔士分别设有地方办公室。根据日本2015年9月9日新修的《个人数据保护法修正案》,内阁官房专设个人数据保护委员会,由首相任命并经国会批准的8位委员和1名主席组成,独立行使个人数据安全保护的行政职能。

(2)非专门特设保护机关

韩国等国家并没有像欧盟国家那样特设一个负责个人数据保护的专门机构,而是立法制定由某个传统行政机关大型个人数据保护相关政府保护职能。在韩国,对于个人数据的保护实行韩国行政安全部(MPAS)、韩国通信委员会(KCC)共同负责的“双线行政保护体制”,但在实际工作中,主要以韩国通信委员会(KCC)韩国互联网与安全局(KISA)为主导,行使着互联网上个人隐私权的保护职能;韩国行政安全部(MPAS)必要时“可依《国家公务员法》向韩国互联网与安全局(KISA)派遣所属公务员”,以便检查信息通信服务提供商保护个人隐私权的政策措施执行情况(参见《韩国信息通信网促进利用与信息保护法实施细则》(总统令第22003号,2010年1月27日发布施行)第66条“个人数据侵害投诉中心的运行”第2款)。

2、个人数据处理的行政审查

(1)注册登记制

在政府主导型的个人数据保护体制下,要求所有的个人数据处理活动均须按照政府专门特设的个人数据保护机构要求的格式和内容,向其提交正式、书面的通报文件,将其准备从事个人数据处理活动的相关情况告知个人数据保护机关,由个人数据保护机关建立一个有关个人数据处理机构及其他相关情况的名册列表,以便对个人数据处理活动进行适当的行政监督和行政保护。《1998年英国数据保护法》(Data Protection Act 1998)第17条“禁止未经注册登记的数据处理活动”规定,英国信息委员会办公室(ICO)负责建立、维护一个组织机构名册清单(register of organisations),要求该名册清单中的所有组织机构将其信息处理活动相关详细情况向英国信息委员会办公室(ICO)予以通知(notification)。《2004年法国数据处理、数据文件及个人自由法》(2004年8月6日法国议会通过)第22条规定,除有关政治、哲学、医疗、性生活、遗传、犯罪、社会保障、生物检测等个人数据的处理活动以外,对其他类型个人数据进行自动化处理活动的,在处理前应当正式通知法国国家信息和自由委员会(CNIL)。

(2)审核批准制

在法国、德国等国家,特定类型的个人数据处理活动,甚至需要取得个人数据保护机关的审查批准。《2004年法国数据处理、数据文件集个人自由法》(2004年8月6日法国议会通过)第25条规定,从事针对有关政治、哲学、医疗、性生活、遗传、犯罪、社会保障、生物检测等个人数据的处理活动,应当向法国国家信息和自由委员会(CNIL)提出申请,取得法国国家信息和自由委员会(CNIL)的批准以后才能进行。从事与公共安全、国防安全、国家安全以及犯罪和税收有关的个人数据的处理活动,应当向法国国家信息和自由委员会(CNIL)提出申请,由法国国家信息和自由委员会(CNIL)提出评估意见后,报有权的相关行政机关审核批准后才能进行。日本在2015年9月9日修法以前,由内阁首相指定的主管部长(competent ministers)对所有个人数据的处理活动行使着前置审批职能。《2003年日本个人数据法》(the Personalized Information Protection Law)(2005年4月1日日本议会正式颁布生效)第37条“审查批准”规定,公司法人意欲从事个人数据处理活动的,应向日本内阁官房令(Cabinet Order)中公布的、具有相应行政管辖权的内阁部长(competent ministers)提出申请,内阁部长(the competent ministers)经审查认定其隐私权保护措施符合法律法规的相关规定,即可给予个人数据处理批准文件(Authorization)。根据法条判断,法德等国以注册登记制为基础、以审核批准制为补充,而在日本,基本上实行单一的审核批准制。

3、个人数据处理活动的行政评估

在实行政府主导型的国家,个人数据保护机关针对个人数据处理活动还行使着相应的安全风险评估职能,以期实现个人数据处理的事中监督和保护。例如,在英国,英国数据保护委员会办公室(the office of Data Protection Commissioner)对个人数据的处理活动可以进行“合理性评估”、“合法性评估”两种不同性质的风险评估活动。《1998年英国数据保护法》(Data Protection Act 1998)第42条“请求评估”规定,英国信息委员会办公室(ICO)有权对相关组织或其他主体的数据处理活动进行“合理性评估(good practice assessment)”,以确定其数据处理活动是否符合通行的惯常做法(good practice),并将评估结果报告提交于被评估的组织或主体。目前,只有在被评估人同意接受评估的情况下,英国信息委员会办公室(ICO)才能对其进行“合理性评估(good practice assessment)”。英国信息委员会办公室(ICO)负责受理公众关于个人隐私权问题的投诉和举报。任何公民或其他组织,当其认为其自己或他人的数据处理活动可能影响其自己或他人的个人隐私权时,均可申请英国信息委员会办公室(ICO)予以“合法性评估”(compliance assessment),即对该数据处理活动是否符合《1998年英国数据保护法》(Data Protection Act 1998)做出分析和判断。经评估不符合者,英国信息委员会办公室(ICO)可以发出“强制遵守令”(compliance order),要求相关主体必须遵守并履行《1998年英国数据保护法》(Data Protection Act 1998)规定的信息保护责任和义务。英国信息委员会办公室(ICO)有权发出“评估通知(assessment notices)”,对相关政府部门或其他特定组织进行检查,以判定其是否遵守、履行相关法定数据保护原则(data protection principles )。依据“评估通知(assessment notices)”,在举行评估前,英国信息委员会办公室(ICO)无需征得被评估人的同意(参见http://www.ico.gov.uk/)。2015年12月15日欧盟通过的《一般数据保护指令》(GDPR),规定利用大数据技术针对用户个人财产、位置、健康、偏好、信用、行为模式等属性特征描绘“数据图谱”(data profile)时,应当按照《一般数据保护指令》(GDPR)规定的评估程序,事前开展隐私影响评估(Privacy Impact Assessment)。

4、个人数据的行政保护

个人数据的行政保护主要表现为强有力的行政干预和行政措施。在韩国,由韩国行政安全部(MPAS)、韩国通信委员会(KCC)共同负责制定个人数据保护政策指南,开发、推广个人数据保护相关技术措施,要求相关信息控制人采取紧急处置措施以避免个人数据侵害事件的扩大和蔓延,对侵害个人数据的行为实行相应的奖励和惩罚等。

在英国,英国信息委员会办公室(ICO)利用发出“陈述通知(information notification)”、强制执行通知(enforcement notice)或法律禁止令(legal sanctions)等高强度的行政干预手段,对个人数据侵权行为实施强有力的行政矫正;利用现场调查、发出违法通知(Failure to comply with notice)并实施行政处罚(financial penalty)、提起司法诉讼等措施,对个人数据侵权行为提供强有力的行政救济。如《1998年英国数据保护法》(Data Protection Act 1998)规定,英国信息委员会办公室(ICO)有权向任何主体发出“陈述通知(information notification)”,要求其在指定的期限内向英国信息委员会办公室(ICO)提交指定的资料或信息,以便英国信息委员会办公室(ICO)判定其是否遵守或履行相关法定个人数据保护原则(data protection principles)。在“合法性评估(compliance assessment)”评估程序中,英国信息委员会办公室(ICO)也可以向特定主体发出“陈述通知(information notification)”。英国信息委员会办公室(ICO)有权向故意或过失拒不履行法定责任和义务的主体发出法律禁止令(legal sanctions),或采取其他适当措施纠正隐私权侵权行为和其他违法行为。如果英国信息委员会办公室(ICO)发现相关主体违反或正在违反相关数据保护原则(data protection principles),且该违法行为已经对其他第三人造成损害或危难,可以向其发出“强制执行通知(enforcement notice)”,要求相关主体采取或不得采取相关措施,确保法定数据保护原则(data protection principles )能够得到遵守;或者要求其不得对所有个人数据或特定个人数据进行相关处理,或不得为特定目的、采用特定手段对所有个人数据或特定个人数据进行相关处理。当相关组织或其他主体涉嫌违反法定数据保护原则(data protection principles )或者《1998年英国数据保护法》(Data Protection Act 1998),英国信息委员会办公室(ICO)有权向巡回法官(circuit judge)或苏格兰治安法官(sheriff)申请取得强制调查令(warrant),进入嫌疑人住所或其他任何场所进行调查取证。在获得强制调查令(warrant)后、进入相关住所或其他场所前7天,英国信息委员会办公室(ICO)会向相关主体发出调查通知(inspetion notification),但是,案情紧急或者发出调查通知(inspetion notification)或阻碍调查取证的除外;被调查主体无正当理由不得故意阻拦或拒不配合调查取证。

5、举报投诉的行政处理

对于个人数据的行政保护还表现为侵权事件举报投诉案件的行政处理。在韩国,在韩国通信委员会(KCC)和韩国行政部(MPAS)的“双线行政保护体制”下,由韩国互联网与安全局(KISA)个人数据侵害举报中心具体受理个人数据侵权案件的举报和投诉,由韩国行政安全部(MPAS)个人数据调解委员会具体负责个人数据侵权案件的审理、调解和裁决。

在英国,专门特设的行政治安法庭——英国数据保护仲裁法庭(Data Protection Tribunal)负责受理公民及其他组织关于个人数据侵权事件的举报和投诉,依据法定成做出裁决,对于查证属实的,还可以依法做出损害赔偿的裁决。《1998年英国数据保护法》(Data Protection Act 1998,1998年7月16日英国议会制定并通过实施)第49条“上诉的审理”规定,违反“陈述通知(information notification)”或“强制执行通知(enforcement notice)”中相关要求的行为属于刑事违法行为,收到“陈述通知(information notification)”或“强制执行通知(enforcement notice)”的主体可以依法向英国数据保护仲裁法庭(Data Protection Tribunal)提起上诉。英国信息委员会办公室(ICO)无权要求信息保护义务主体向信息权利主体给付金钱赔偿,只有英国数据保护仲裁法庭(Data Protection Tribunal)才拥有这样的权力。

(二)行业自律组织主导型保护体制

在美国,立法通常采取授权行业自律组织制定行业自律规范的方式,强调行业自律组织在个人数据保护方面的重要性,突出行业自律组织在个人数据保护方面的作用和职能,可以称之为“行业自律组织主导型保护体制”。所谓“行业自律组织主导型保护体制”,是指通过鼓励行业自律组织制定、实施行业自律规范的方式,为个人数据保护提供行业自律的示范规则,采取以行业自律组织为主体的“行业认证制度”代替官方性质的个人数据处理注册登记制度和争议解决机制,以期达到有效保护个人数据的目的。

但是,美国并非实行单一的“行业自律组织主导型保护体制”。在发挥行业自律组织主导作用的同时,在儿童身份信息、医疗档案数据、金融数据、社会保障信息等高度敏感的数据领域,美国政府也主张通过适当的国家立法行动,引入以美国联邦贸易委员会(FTC)等国家机关为主体的行政保护机制,以便有效防止身份信息失窃、发送垃圾邮件以及未经授权使用社会保障信息等侵权行为。

1、传统行政机关代行保护职能

以美国为代表,尽管建立了非常发达的个人数据保护法律体系,但是不主张政府在个人数据保护方面发挥主导作用。美国在首倡行业自律模式的同时,也重视行政保护的作用,立法指定美国联邦贸易委员会(FTC)是专门负责个人数据保护的联邦政府机关。如《1997年数据隐私权法》第4条“自律性规范的实施,投诉举报的调解与仲裁”规定,美国联邦贸易委员会(FTC)负责公民个人隐私保护相关义务和责任履行情况的监督和检查。

除此之外,美国商务部、国土安全部分别行使着个人数据保护政策制定、咨询、协调和国际合作等方面的职能。如《1999年国家标准技术局法》(the National Institute of Standards and Technology Act of 1999,NISTA)第21条决定在国家电信和信息管理局(NTIA)设立“信息安全与隐私权咨询理事会(the Information Security and Privacy Advisory Board)”;《2002年联邦信息安全管理法》(FISMA)通过对《国家标准技术局法》(NISTA)第21条的修订,在国家标准与技术研究所(NIST)增设“信息安全与隐私权咨询理事会(the Information Security and Privacy Advisory Board,ISPAB)”,具体负责向国家标准与技术研究所(NIST)、美国商务部(the Department of Commerce)、白宫管理与预算办公室(OMB)提供与联邦政府信息系统有关的信息安全和隐私权问题的咨询服务。

2、个人数据的行政保护

根据美国相关立法和迄今为止发生的大多数行政案例,美国联邦贸易委员会(FTC)无疑是个人数据保护的强有力的行政执法机关,依据《联邦贸易委员会法》及其他个人隐私权保护相关法律规定,负责接受社会公众的投诉和举报,对于涉嫌侵害个人隐私的侵权案件进行民事执法,并代表国家向有管辖权的法院提起民事赔偿之诉。《1997年数据隐私权法》第4条“自律性规范的实施,投诉举报的调解与仲裁”规定,在隐私权保护执法调查过程中,美国联邦贸易委员会(FTC)有权要求隐私权保护相关行业自律组织提交被调查对象履行、遵守法定保护责任和义务以及隐私权保护行业自律规范情况的报告,依法做出被调查对象是否遵守本法规定隐私权保护义务和责任的终局裁决。在裁决过程中,美国联邦贸易委员会(FTC)应当对隐私权保护行业自律组织提交的报告给予充分重视。

当然,公民个人认为公司、企业或其他组织侵害了其隐私权的,有权向有管辖权的法院独立提起民事损害赔偿之诉。例如,早在2009年,美国一对夫妇即向宾夕法尼亚州地区法院提起诉讼,称谷歌公司街景地图服务侵犯其个人隐私。同年,宾夕法尼亚州地区法院做出裁定,称原告未能提出任何足以证明被告侵权的相关证据,也未能依据任何侵权事实提出任何赔偿主张,因此,驳回原告的诉讼(参见News.cnet)。

3、行业自律组织

在个人数据的保护方面,美国政府的一贯主张是,既要在国际范围内保护个人隐私,又不应阻碍个人数据的跨境流动,因此,个人数据保护政策应当更加注重防止个人数据滥用所造成的实际危害,确保行业自律组织在最大限度内的自主参与。在这一思想的主导下,美国形成了非常发达的个人数据保护行业自律组织体系。依据《1997年数据隐私权法》第7条“定义”,本法所称“行业自律组织(Industry Working Group)”,是指交互式计算机服务行业推选的代表组成的为该行业提供各种服务的下列组织:(1)美国直销协会(the Direct Marketing Association);(2)美国互动服务协会(the Interactive Services Association);(3)美国互联网隐私权工作组(the Internet Privacy Working Group);(4)TRUSTe组织成员(the various members of TRUSTe);(5)商用互联网互联交换协会(the Commercial Internet eXchange Association);(6)美国广告协会(the American Association of Advertisers);(7)国家广告协会;(8)个人参考咨询服务中心(the Individual Reference Services)。

(1)美国电子隐私信息中心(EPIC)

美国电子隐私信息中心(EPIC)成立于1994年,工作地点位于美国华盛顿,是美国从事公民言论自由、隐私权保护活动的行业自律组织,负责编辑、出版、更新、维护“EPIC警示录(the EPIC Alert)”,通过网站面向社会发布各种隐私权保护方面的在线指南和布告;发表、出版有关隐私权、政务公开、言论自由等公民自由权方面的报告或书籍;就美国公司企业违反隐私权保护法律法规、侵害公民个人隐私权等问题,向美国联邦贸易委员会(FTC)进行投诉和举报。

(2)美国在线隐私联盟(OPA)

美国在线隐私联盟(OPA,Online Privacy Alliance)成立于1998年,其会员一共包括80多家国际跨国公司和行业自律组织。美国在线隐私联盟(OPA)为各行各业的电子商务企业提供了一个隐私权保护方面的公共论坛,旨在为商业活动创造诚信的交易环境,实现对个人网络隐私权的有效保护。1986年6 月,在吸收联邦贸易委员会(FTC)的建议原则基础上,美国在线隐私联盟(OPA)发布了著名的“OPA隐私权保护指南”,旨在为通过互联网直接收集他人个人数据提供广为接受的规范指引。

(3)美国TRUSTe组织

美国TRUSTe组织系由“美国电子前沿基金会(the Electronic Frontier Foundation(EFF))”执行董事罗里·费纳(Lori Fena)和软件企业家查尔斯·詹宁斯(Charles Jennings)于1997年设立的非营利性组织,是美国首家从事互联网隐私权保护认证活动的行业自律组织,旨在通过建立健全互联网在线隐私权的自我监管机制,培育并发展网上电子商务。目前,“TRUSTe组织”已发展为美国著名的隐私权保护第三方认证机构之一。根据“美国网络隐私认证计划(the Privacy Seal Program)”,作为私营行业组织进行互联网隐私权保护的自律形式,由“TRUSTe组织”向遵守特定信息收集规则并服从特定形式的监督管理的民间组织、私营机构颁发“隐私权保护认证标志”,督促相关组织和机构加强个人数据的保护。对于未能遵守相关信息收集规则、侵害他人隐私权的组织和机构,“TRUSTe组织”可以吊销“隐私权保护认证标志”。除此之外,美国还存在着TRUSTe、BBBOn-Line、WebTrust等一批专门从事网络隐私权认证活动的行业自律组织。

(4)国际互联网联盟(W3C)

1994年10月,由万维网发明者蒂姆·伯纳斯·李(Tim Berners Lee)在麻省理工学院计算机科学实验室成立,是制定互联网标准的一个非营利组织。在美国,国际互联网联盟(W3C)负责开发、设计了“个人隐私选择平台(P3P,Platform for Privacy Preferences)”。“个人隐私选择平台(P3P)”是一项个人隐私权保护策略的推荐技术标准,包括“服务器端”和“客户端”两个组件。当用户登录网站时,服务器端的组件会根据网站的要求自动生成XML语言格式的用户个人数据处理策略,客户端的组件负责将用户个人数据处理策略提供给用户,以供用户选择是否公布其个人数据、公布哪些个人数据以及在多大程度上公布其个人数据等。

五、大数据时代各国普遍实践的共同理念原则

国际社会大体采用两种网络个人数据安全保护的法律框架体系,一种是以美国为代表的“网络隐私保护框架”,立法形式多为单行法,强调个人敏感信息的安全保护,“通知-选择”程序规定为个人隐私保护的关键轴心,侧重于行业自律组织的安全认证另一种是以欧盟及其成员国为代表的“网络数据保护框架”,立法形式多为法典法,强调个人身份识别信息的安全保护,规定本人同意是合法数据处理程序的根本基础,侧重于行政保护机构的政府职能运行。

但是,这两种法律框架体系却有着相通的特点,适用于网络个人数据安全保护的法律规则自成体系、细密完整;具有一揽子相互配套、完善有力的民事执法、行政执法措施,以及民事、行政司法救济体制和机制。近年以来,随着网络空间个人数据跨境流动日益频繁以及个人数据安全保护国际合作日益加强,国际社会日益广泛地采用了“数据隐私(data privacy)”的概念,更加显现了两种法律保护框架的融合态势。面对大数据快速发展,尽管出现了美欧安全港协定遭否、欧盟通过发布了更严的数据保护指令等最新情况,但是由OECD、APEC等国际组织倡议建立、两种法律框架体系之间普遍存在的基本共同理念原则并没有遭到否定,相反,许多跨美欧学者和研究机构还在此基础上提出了一系列的新型共性原则主张,一是要建立以用户为中心的数据治理模式。用户应当被赋予明确的权利,以便其能够以可行、机器可读的方式接入用户个人数据;企业组织应当向用户提供能够鉴真个人数据的稳健机制和弥补数据缺漏的安全通道,只有当用户能够接入其个人数据,数据才能不断被鉴真,并且足以消除其隐私顾虑。二是采取类似于脱敏措施的各种去身份化措施。在不影响大数据有益使用的同时,企业组织应当最大程度上采取去身份化措施,包括匿名化、假匿名化、加密、密码编程、数据共享等具体措施,被认为既能让企业组织从大数据分析中获取利益、又能保障用户个人隐私安全的创新性技术。同时,放弃将数据区分为“身份识别数据”和“非身份识别数据”的二分法,将数据的身份可识别性视为数据的整体功能,在法律框架内对数据进行分类分级,利用数据进行身份识别时需要支付相对高昂的费用。三是数据最小化和数据合理使用同时并行适用。所谓数据最小化,是指公司或其他组织应当在满足其合法使用目的的最小限度以内收集用户个人数据。但是应当设计一种法律机制,当数据使用前景意义重大而隐私泄露风险相对较小,即使用户拒绝公司或组织使用其个人数据,也应当以合理使用为由允许其个人数据被公司或组织正当使用;法律有时应当超越隐私限制而对数据使用做出具体考量,政策制定者应当充分考虑数据使用的具体情况而对本人同意原则划出标准选项,有些情况下本人同意应当作为刚性选项并赋予本人删除权,有些情况下则不一定非得要求本人同意,特定情况下本人同意原则应当让步于数据的合法使用。四是接入、可携和数据红利共享三驾马车并行不悖。为了对宽松数据收集和最低收集限制环境下的用户进行补偿,企业组织应当与用户共享其从用户个人数据中获取的收益,这就需要向用户提供其个人数据的接入功能,以便用户能够以可用格式获取其个人数据,允许用户使用第三方评价工具对其个人数据进行价值评估并提出自己的数据红利共享方案,从而实现利用个人数据为其本人创造价值的目的。如2010年奥巴马政府发布了《“蓝色按钮”倡议书》( Blue Button Initiative ),要求医疗服务机构向用户提供基于网络的应用工具(蓝色按钮),以便患者能够以可用的格式便捷地下载其健康信息,并将其共享于其他医疗服务机构以及可信第三方;推动应用软件开发者在蓝色按钮上开发各种应用程序,帮助用户利用其个人数据管理其个人健康。2011年9月美国商务部国家标准技术研究院(NIST)发布的《“绿色按钮”倡议书》(Green Button Initiative)规定,电力公司应当向用户提供在线接入条件,以便用户能够以可下载、标准化、易使用的电子格式获取其个人用电信息。五是增强数据使用、流通的透明性。为了防止对大数据的滥用,需要修订并完善数据使用的透明化要求,数据的任何使用和流动均须在阳光下进行,并且保持阳光和清洁。这就要求公司组织既要公开承认其拥有哪些数据库,同时也应当公开其隐私政策制定程序和隐私保护标准。公司组织应当依据正当程序原则向用户本人提供足以影响其个人生活的隐私制定标准,计算机根据模糊规则生成的各种隐私保护标准尤其应当向用户明确提供并作出特别说明。六是“安全港原则”依然是处理数据跨境流动的普遍共性原则。目前来看,在处理数据跨境流动问题上,尽管规则框架有别、宽严尺度不一,在流出流入的双边多边之间寻求彼此互认的最低安全保护标准和要求,几乎成为美欧隐私盾、亚太经合组织(APEC)、跨太平洋伙伴关系协定(TPP)、“跨大西洋贸易与投资伙伴协议”(TTIP)等国际贸易谈判实践的集体共同认知和选择。2016年2月2日,美欧达成的“欧盟-美国隐私盾协定”(EU-US Privacy Shield)规定,美国企业一旦提交参加隐私盾的自我确认书,即被视为必须达到隐私盾规定的数据隐私安全保护最低标准和要求。2011年9月APEC部长会议终于达成的《APEC跨境隐私规则体系(CBPR)》规定,APEC范围内跨境流动的数据及个人数据应当遵守基于APEC法律原则框架的评估和保护规则框架,并致力于使得国内隐私政策和做法符合APEC隐私框架中的相关规定,经济体可以自主选择加入这一规则体系,但是申请加入方国内必须设有独立的个人数据安全保护专门行政机关。APEC对愿意加入这一框架体系的成员国提供基于APEC隐私框架的自愿认证体系。

相关阅读

分享到:

网友评论:

表情:

  • 字体加粗
验证码: 验证码,看不清楚?请点击刷新验证码
网友评论仅供网友表达个人看法,并不表明本网站同意其观点或证实其描述