高榮偉

隨著網(wǎng)絡(luò)信息技術(shù)的進步和社會信息化程度的不斷提高，人們越來越意識到個人信息保護的重要性。然而，由于管理手段的薄弱，技術(shù)手段的缺失，基于智能技術(shù)分析和利用后的個人信息經(jīng)常面臨著被濫用或泄露的問題。如何為個人隱私和信息安全筑起一道保護屏障，成為信息時代各國管理機構(gòu)的一道必答題。

為了確保個人信息的便捷流通與安全使用，世界上許多國家和地區(qū)制定了與個人信息保護相關(guān)的法律法規(guī)和政策。

美國：實施“分散立法”模式

作為當今經(jīng)濟技術(shù)強國，美國是從法律角度開展個人信息保護最早的國家之一。在個人信息保護方面，美國實施的是“分散立法”模式，主要圍繞美國憲法規(guī)定的隱私權(quán)保護展開立法。

1974年，美國頒布《隱私權(quán)法》（The Privacy Act of 1974）。該法不但明確了個人信息的概念，還對舉證責任、賠償責任、救濟途徑等都進行了較為全面的規(guī)定。隨著個人信息保護的不斷完善，如今，美國已經(jīng)形成了政府、電子商務(wù)、電信、金融等若干領(lǐng)域的行政法保護體系，通過在部分單行立法中針對一些特定主體行為的方式來保護。如《信息自由法》（Freedom of Information Act）、《駕駛員隱私保護法》（Divers Privacy Protection Act）、《兒童在線隱私保護法》（Childrens Online Privacy Protection Act）、《消費者隱私保護法案》（California Consumer Protection Act），以及《電子通訊隱私法》（Electronic Communications Privacy Act）等等。

值得注意的是，在立法沒有涉及到的領(lǐng)域，聯(lián)邦政府采用了“行業(yè)自律”的模式來保護公民隱私。比如1995年發(fā)布的《個人隱私與國家信息基礎(chǔ)結(jié)構(gòu)》白皮書，提出了企業(yè)應(yīng)遵循“告知”與“許可”兩大原則來保護消費者隱私?！靶袠I(yè)自律”，顧名思義就是行業(yè)的自我監(jiān)督、自我約束、自我管理。這種政府引導(dǎo)與行業(yè)自律的結(jié)合，在實踐中一定程度上保護了美國公民的個人信息。

美國對隱私權(quán)立體式的保護迄今已經(jīng)成為全球隱私權(quán)立法保護的典范，不過，美國模式仍然存在一定的不足。比如，盡管強調(diào)“行業(yè)自律”，但畢竟缺少強制力。2018年3月17日，《紐約時報》曝光了一家名為“劍橋分析”的數(shù)據(jù)分析公司及其關(guān)聯(lián)公司“戰(zhàn)略通訊實驗室”的相關(guān)丑聞。據(jù)悉，“劍橋分析”曾于2016年美國總統(tǒng)競選期間為現(xiàn)任總統(tǒng)特朗普提供數(shù)據(jù)分析服務(wù)?！都~約時報》稱，這兩家公司竊取并私自保留了5000萬Facebook用戶數(shù)據(jù)。這則報道的弦外之音不言而喻：Facebook對于不正當抓取和使用其用戶信息來操縱總統(tǒng)大選結(jié)果的行為，是持默許態(tài)度的。報道一出，F(xiàn)acebook這家早已備受指責的社交媒體巨頭再次陷入聲討之中。

“劍橋分析”事件曝光后，美國聯(lián)邦貿(mào)易委員會（FTC）對Facebook罰款50億美元，扎克伯格承諾“對我們生產(chǎn)產(chǎn)品和運營公司的方式進行重大結(jié)構(gòu)性改革”，并對APP權(quán)限做了限制。然而幾個月后，媒體又爆出與之合作的100多個第三方應(yīng)用可能已經(jīng)通過Facebook工程組的編程界面訪問了用戶的個人數(shù)據(jù)。這些可能涉及泄漏的信息包括了用戶姓名和個人圖片。由此，聯(lián)邦政府“行業(yè)自律”模式的弊端再次呈現(xiàn)在世人眼前。

歐盟：出臺“史上最嚴”的個人數(shù)據(jù)保護法案

2018年5月25日，歐盟《一般數(shù)據(jù)保護條例》（GDPR）正式實施。GDPR高度重視個人數(shù)據(jù)保護與監(jiān)管，為之設(shè)置了一系列的保護門檻和機制，被業(yè)界與學(xué)界稱為“史上最嚴”的個人數(shù)據(jù)保護法案。

該條例引入了新的個人信息保護原則，加大了對信息侵權(quán)行為的處罰力度。條例規(guī)定，數(shù)據(jù)控制者應(yīng)在72小時內(nèi)向監(jiān)管機構(gòu)報告?zhèn)€人數(shù)據(jù)的泄露情況。當數(shù)據(jù)泄露可能會給數(shù)據(jù)主體的權(quán)利或自由帶來巨大風險時，數(shù)據(jù)控制者必須毫不延誤地通知數(shù)據(jù)主體。對于沒有取得用戶同意等行為，條例罰款上限是1000萬歐元或?qū)ζ髽I(yè)而言上一年度全球營業(yè)收入的2%（兩者中取數(shù)額大者）;對于嚴重的違法行為，罰款上限是2000萬歐元或?qū)ζ髽I(yè)而言上一年度全球營業(yè)收入的4%（兩者中取數(shù)額大者）。

為加強對歐盟居民個人數(shù)據(jù)的保護，GDPR采用了“長臂管轄”原則，將適用范圍擴大到設(shè)立在歐盟境外的企業(yè)。條例規(guī)定，如果歐盟境外數(shù)據(jù)控制者或處理者的數(shù)據(jù)處理行為被認定與歐盟境內(nèi)經(jīng)營場所開展的業(yè)務(wù)存在“無法割裂的聯(lián)系”，GDPR有權(quán)管轄其行為。2019年1月，法國國家信息與通信委員會以違反GDPR第5～6條，第13～14條關(guān)于“未向用戶告知其數(shù)據(jù)如何被收集之規(guī)定”為由，對Google開出了5000萬歐元的罰單。2019年7月，英國信息管理局以數(shù)據(jù)泄露違反GDPR第32條規(guī)定為由，先后對英國航空和萬豪國際開出1.83億英鎊和9920萬英鎊的巨額罰單。

日本：采用“統(tǒng)分結(jié)合”的立法模式

日本是一個信息化程度非常高的國家，近年來濫用甚至盜用個人信息給消費者造成財產(chǎn)或個人隱私損失的惡性案件時常見諸報端。在日本，包含企業(yè)或政府等團體的住址在內(nèi)，泄露的個人信息數(shù)量超過了1000萬件。

日本保護個人信息的立法起步早，且特色鮮明。對于個人信息的保護，日本采取的是“統(tǒng)分結(jié)合”的立法模式。2017年5月30日，日本最新修訂的《個人信息保護法》正式實施。該法規(guī)定，“在向第三方提供時，應(yīng)事先征得本人的同意”;“員工以非法獲利為目的提供竊取個人信息數(shù)據(jù)庫時，處以1年以下有期徒刑或50萬日元以下的罰款（同時對公司課以罰款）?！?/p>

根據(jù)《個人信息保護法》，個別的政府主體或者民間主體針對特定的領(lǐng)域可以制定個別法或特殊法。如日本信息處理系統(tǒng)中心制定的《關(guān)于金融機構(gòu)等保護個人數(shù)據(jù)的指針》，日本信息處理開發(fā)協(xié)會制定的《關(guān)于民間部門個人信息保護指導(dǎo)方針》。在此基礎(chǔ)上，除了有通產(chǎn)省、郵政省的制定方針及JIS（日本工業(yè)規(guī)格）以外，經(jīng)濟產(chǎn)業(yè)省制定了《關(guān)于民間部門電子計算機處理和保護個人信息的指導(dǎo)方針》，總務(wù)省制定了《關(guān)于電氣通信事業(yè)保護個人信息的指導(dǎo)方針》等。

印度：在收集目的和范圍內(nèi)使用

2018年7月27日，印度電子和信息技術(shù)部發(fā)布《個人數(shù)據(jù)保護法案》，其中的多數(shù)關(guān)鍵內(nèi)容與GDPR相同或相似。

法案中確認了三個類型的個人數(shù)據(jù)：個人數(shù)據(jù)、關(guān)鍵個人數(shù)據(jù)、個人敏感數(shù)據(jù)，并規(guī)定了不同的出境方案。該法案第九章、第十一章和第十二章就建立數(shù)據(jù)保護機制，并對財政審計進行了設(shè)定。法案規(guī)定，“需要在獲得被收集者的合法同意之前，才能開始收集個人信息，并且在收集前，企業(yè)需要向被收集者發(fā)出對應(yīng)的通知”;“企業(yè)在收集了信息后只能在設(shè)定的收集目的和范圍內(nèi)進行使用，不得超出該授權(quán)范圍和授權(quán)目的”;“如果信息的使用規(guī)定了對應(yīng)的使用期限，則不能超出該使用期限對信息進行保留?！?/p>

第十章和第十三章規(guī)定了處罰和罪行，對于不符合要求的情況，提出了最嚴厲的處罰措施。根據(jù)該法案，任何未經(jīng)客戶同意共享客戶數(shù)據(jù)的組織將被處以1.5億盧比的罰款或占其全球營業(yè)額4%的罰款;任何個人數(shù)據(jù)被侵犯的懲罰最高可達5億盧比，或該實體上一財政年度全球營業(yè)額的2%，以二者中較高的為準;數(shù)據(jù)泄露的處理、報告延遲將處以5千萬盧比的罰款或占全球營業(yè)額2%的罰款。

新加坡：應(yīng)告知收集、使用或披露的目的

新加坡2012年頒布《個人數(shù)據(jù)保護法令》，確保公民在個人數(shù)據(jù)受到侵害時可尋求法律保護。該法令第三部至第六部詳細規(guī)定了各類機構(gòu)關(guān)于收集、使用或披露個人數(shù)據(jù)的范圍、條件或要求。

法令規(guī)定，機構(gòu)應(yīng)當在收集個人數(shù)據(jù)之時或之前，告知個體收集、使用或披露其個人數(shù)據(jù)的目的;在個體需要的情形下，告知其收集、使用或披露個人數(shù)據(jù)問題之人的業(yè)務(wù)聯(lián)系方式。機構(gòu)未經(jīng)個體同意自其他機構(gòu)收集個人數(shù)據(jù)之時或之前，應(yīng)當向其他機構(gòu)提供關(guān)于收集目的的充分信息，使該其他機構(gòu)確定披露是否符合本法。

法令生效以來，新加坡已對未盡到保護個人數(shù)據(jù)義務(wù)或侵犯個人數(shù)據(jù)的多家機構(gòu)作出了處罰。其中，處罰最重同時也是影響最大的個人數(shù)據(jù)遭泄露的案例，是2019年的新康集團集群案。

2018年6月27日至7月4日期間，新加坡健康服務(wù)私人有限公司的病例數(shù)據(jù)庫系統(tǒng)遭到網(wǎng)絡(luò)攻擊，黑客從公司數(shù)據(jù)庫中非法訪問和復(fù)制近150萬病人的個人數(shù)據(jù)和近160萬門診病人的處方記錄，導(dǎo)致大規(guī)模的病人數(shù)據(jù)泄露。這是新加坡歷史上個人信息泄露最為嚴重的案件。依據(jù)《個人數(shù)據(jù)保護法令》第24條，新加坡對新康集團下屬新康公司和綜合健康信息系統(tǒng)公司分別作出了25萬新加坡元（約127萬元人民幣）和75萬新加坡元（約380萬元人民幣）罰款指令。

韓國：允許不可識別的個人信息作為大數(shù)據(jù)使用

目前，在個人信息及數(shù)據(jù)保護法律領(lǐng)域，韓國形成了《個人信息保護法》、《信息通信網(wǎng)利用促進及信息保護法》及《信用信息的利用及保護法》三法分立的局面。

根據(jù)2016年3月韓國修訂的《個人信息保護法》第15條至23條，“收集或利用或向第三者提供個人信息時， 必須征得信息主體的同意， 不必要保留個人信息時， 應(yīng)及時刪除”。2016年4月，韓國公布了《信用信息的利用及保護法》的修改草案，規(guī)定“經(jīng)過不可識別處理的個人信息可以無需信息主體的同意而加以利用或向第三者提供”，即，經(jīng)過不可識別處理的個人信息被允許在當初收集和使用目的范圍以外使用。同年6月，包括行政自治部在內(nèi)的韓國政府6大機構(gòu)共同公布了《個人信息不可識別處理指南》，規(guī)定允許不可識別的個人信息作為大數(shù)據(jù)使用。

對于違反規(guī)定的個人信息跨境轉(zhuǎn)移與再轉(zhuǎn)移行為，可能造成用戶權(quán)利嚴重侵害的，修正案規(guī)定，廣播通信委員會可以命令中斷轉(zhuǎn)移或再轉(zhuǎn)移，并可以對不履行中斷命令的個人信息處理者處以2年以下的有期徒刑或2000萬韓元以下的罰款。