歐美國家關于個人信息保護的立法實踐

◎上海戎磐網(wǎng)絡科技有限公司首席信息官 Slimming Panda

“很好與優(yōu)秀只差一點點距離，這段距離叫安全”。8月28日，華住集團被曝大量用戶數(shù)據(jù)遭泄露，疑似近5億條開房記錄被拖庫。華住集團雖在8月28日即通過官方微博聲明表示已經(jīng)報警并且聘請專業(yè)技術公司核查此事，但兩周多時間過去了，華住方面仍無更新事件進展，而數(shù)據(jù)泄露引發(fā)的公眾熱議也逐漸在網(wǎng)上淡去。這很大程度上是因為我國在立法層面問責和監(jiān)管缺位，受害者或是基于無力應對，或是應對無效后不得不接受現(xiàn)狀，一般會選擇“自認倒霉”。 9月4日，在2018年互聯(lián)網(wǎng)安全大會上，一些專家呼吁，對個人信息安全的關注和討論不該停止。

一、國內(nèi)現(xiàn)狀

根據(jù)全國人大網(wǎng)10日公布的《十三屆全國人大常委會立法規(guī)劃》文件顯示，共有69件法律草案列入第一類項目，即條件比較成熟、任期內(nèi)擬提請審議。其中，個人信息保護法是第61個項目，這意味著個人信息保護將迎來專門立法。

另一則激動人心的消息是，今年9月17日，阿里巴巴等12家大數(shù)據(jù)企業(yè)在杭州簽署《個人信息保護倡議書》，承諾保障用戶信息控制權益。倡議書提出，公開透明處理用戶信息；用通俗易懂的語言、簡單直觀的方式，向用戶明示個人信息處理目的、方式、范圍、規(guī)則等；一旦發(fā)生重大個人信息泄露事件及時告知用戶；不使用“一攬子協(xié)議”的方式強迫用戶打包授權對個人信息的收集，為用戶提供個人信息申訴渠道、注銷賬戶或關閉的途徑；建立可訪問、更正、刪除其個人信息處理機制；不超范圍和約定，收集、存儲、使用、共享個人信息；在個人信息處理活動時，對用戶合法權益造成的損害依法承擔責任。

因此來說，在當前個人信息泄露頻繁、大數(shù)據(jù)頂層設計不到位和第三方監(jiān)管缺乏的背景下，我國在國家立法和行業(yè)軟法規(guī)范方面事實上已經(jīng)邁出了重要步伐。事實上，在中國的法律體系中，并不缺乏關于個人信息保護的相關立法。2012年全國人大常委會制定的《關于加強網(wǎng)絡信息保護的決定》，2016年的《網(wǎng)絡安全法》，2017年的《民法總則》，都有涉及個人信息保護的法律規(guī)則。在司法解釋的層面上，則有最高人民法院與最高人民檢察院在2017年聯(lián)合發(fā)布的《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》。剛剛經(jīng)過第三次審議的《電子商務法（草案）》，以及已經(jīng)進入征求意見階段的《民法典人格權編（草案）》也都有專門涉及個人信息保護的條文。在其他社會規(guī)范的層面上，國家標準委員會在2017年正式發(fā)布了《信息安全技術以及個人信息安全規(guī)范》的國家標準。但目前存在的問題是，我國既有的個人信息保護立法存在嚴重的碎片化，同時缺乏實際的可操作性。雖然看上去很多立法都涉及個人信息保護，但往往流于原則宣示，或局限于針對某一特定領域或方面的問題作出規(guī)定。由此導致規(guī)則之間的不協(xié)調(diào)，違反規(guī)則的責任主體、責任形態(tài)含糊不清。亟需國家層面的數(shù)據(jù)保護法律框架以及配套的信息安全激勵和問責機制。

二、歐美國家主要做法

在個人信息保護方面，歐美國家可以為我們提供很多啟示與借鑒。

以美國為例，美國的策略較為靈活，主要采取行業(yè)自律模式，即由公司或行業(yè)內(nèi)部制定行業(yè)的行為規(guī)章或最佳實踐指南，為行業(yè)的隱私保護提供示范和標桿。相對于個人信息保護立法，行業(yè)自律模式是一種相對寬松、尊重企業(yè)自我選擇的一種保護模式。其弊端也是顯而易見的，如缺乏統(tǒng)一自律標準，對個人信息保護參差不齊；執(zhí)行機制不夠完善，缺乏有效監(jiān)督等。不過，美國也以分散立法的形式對該模式予以補充，如《聯(lián)邦貿(mào)易委員會法》（15 U.S.C. §§41-58）（FTC Act） 是 一 部聯(lián)邦消費者保護法案，禁止不公平或欺騙性做法，適用于線下和線上的隱私和數(shù)據(jù)安全?！断M者網(wǎng)上隱私法》、《兒童網(wǎng)上隱私保護法》、《電子通訊隱私法案》、《計算機欺詐和濫用法》、《金融服務現(xiàn)代化法》（GLB）、《健康保險流通與責任法》（HIPAA）、《公平信用報告法》等行業(yè)立法也為特定行業(yè)的隱私保護或特定類型的敏感信息保護提供了法律依據(jù)。除此之外，截至2018年3月28日，美國所有50個州、哥倫比亞特區(qū)、關島、波多黎各和維爾京群島均頒布了《數(shù)據(jù)泄露通知法》，要求私人或政府實體及時向受影響客戶通報涉及個人信息泄露的有關事件。此外，在法律救濟方面，除美國聯(lián)邦及州級政府提起訴訟外，公司還面臨用戶及投資人提起民事訴訟的風險，以期尋求民事救濟，指控公司違約、疏忽及欺詐。2017年6月，美國最大保險公司Anthem Inc.在發(fā)生8000萬客戶個人數(shù)據(jù)泄露事件后，就曾簽署過一份1.15億美元的和解協(xié)議，同意向每位原告支付235美元的賠償，而遭受最大傷害的訴訟集體將獲得高達10000美元的賠償。加利福尼亞州在法律實踐方面一直走在美國各州的前面，該州于今年6月28日頒發(fā)了一項備受關注的數(shù)據(jù)隱私法案——“AB 375”法案，直接為集體訴訟開綠燈，同時對“個人信息”進行了更為廣泛的定義，將“生物識別信息”、互聯(lián)網(wǎng)瀏覽歷史記錄和購買歷史記錄均納入個人信息保護范疇。

同時，美國目前的立法也是存在條塊分割、相互交叉甚至是矛盾等問題，缺乏全面性的綜合隱私法。在數(shù)月前曝出的臉書和劍橋數(shù)據(jù)分析公司丑聞之后，特朗普總統(tǒng)的特別助理蓋爾·斯萊特與信息技術行業(yè)委員會的首席執(zhí)行官們會面，討論聯(lián)邦層面網(wǎng)絡數(shù)據(jù)隱私法規(guī)的雛形。國會議員也呼吁制定新的法律法規(guī)，加強美國數(shù)據(jù)隱私保護體系，并可能借鑒歐盟的《通用數(shù)據(jù)保護條例》(GDPR)。

歐洲方面，歐盟在個人信息保護方面要嚴格得多，它對互聯(lián)網(wǎng)環(huán)境下個人信息的隱私權保護算得上是世界上最為全面和嚴格的。歐盟保護模式是由國家主導的立法模式。國家通過立法的形式，明確保證個人信息安全的各項基本原則和具體的法律規(guī)定等。而剛生效不久的歐盟《通用數(shù)據(jù)保護條例》(GDPR)，更是被媒體認為是大數(shù)據(jù)監(jiān)管新時代的標志。該法案對數(shù)據(jù)泄露的定義較為寬泛，包括“違反安全規(guī)定導致所傳輸、存儲或以其他方式處理的個人數(shù)據(jù)遭受意外或非法毀壞、丟失、篡改、未經(jīng)授權披露或訪問”。因此，數(shù)據(jù)泄露的定義不限于黑客訪問IT系統(tǒng)，還包括智能手機、筆記本電腦或U盤丟失或被盜、惡意軟件感染和數(shù)據(jù)丟失（如數(shù)據(jù)被意外刪除且沒有備份可用）。法案還規(guī)定了數(shù)據(jù)控制者和數(shù)據(jù)處理者在泄露事件中的義務，如通知監(jiān)管機構和數(shù)據(jù)主體，記錄包括與數(shù)據(jù)泄露相關的事實、數(shù)據(jù)泄露的影響以及所采取的任何補救措施等的所有有關數(shù)據(jù)泄露的情況。其懲罰措施也是全球最嚴格的，“不遵守上述通知義務可能面臨高達一千萬歐元或相當于全球年營業(yè)總額百分之二的罰款（以其中較高者為準）。不遵守監(jiān)管機構的命令可能會面臨高達兩千萬歐元或相當于全球年營業(yè)總額百分之四的罰款（以較高者為準）?！?/p>

三、幾點啟示

一是數(shù)據(jù)保護不僅是數(shù)字時代企業(yè)社會責任的一部分，對于收集、使用或共享個人信息或其他潛在敏感消費者數(shù)據(jù)的任何組織而言，數(shù)據(jù)保護既是一種風險管理，也應是最基本的合規(guī)性功能。就公司而言，可將其視為“信息受托人”，用對個人信息的保護責任，換取法律的確定性和安全港保護。（“安全港規(guī)則”，即有限合伙企業(yè)中的有限合伙人（LP）的行為如果被認定為對合伙企業(yè)的控制性行為，則該LP就可能與普通合伙人（GP）一樣，對合伙企業(yè)的對外債務承擔無限連帶責任。作為有限合伙企業(yè)的一項基本法律制度，安全港規(guī)則是通過對LP不參與合伙事務為隔離條件，而賦予其有限責任保護的一種價值平衡安排。）

二是在國家立法方面，可參考歐盟的GDPR，出臺全面的個人數(shù)據(jù)隱私保護框架，對個人信息的定義要結合大數(shù)據(jù)發(fā)展趨勢進行重新定義，法律的約束和監(jiān)管對象應該是所有機構，包括政府部門，而不只是企業(yè)。

三是立法的效果主要取決于2個方面：一是自下而上的民意倒逼，對立法具有重要推動作用。個人維權意識提升、企業(yè)通過行業(yè)軟法踐行“社會責任感”，形成巨大的“民意”氛圍，可以推動國家立法，使得法律更有活力和生命力；二是可供選擇的法律救濟措施，如通過集體訴訟尋求補償，使公司承擔責任，幫助公司成為負責任的個人信息管理者。同時，應建立以行政救濟為主，民事救濟、刑事救濟相結合的多途徑救濟機制，全面保障個人信息主體的權利。

四是個人信息保護立法應有配套的信息安全激勵機制，不能僅僅是東窗事發(fā)后的事件應急處置，而應向事件預防傾斜。應鼓勵公司升級管理模式，做好完整可靠的數(shù)據(jù)安全措施。

五是對于個人信息保護議題的討論，無疑是一個法律問題，同時也是一個技術問題。所以，我們不僅要進行法學思考，而且要進行技術方面的思考。如何實現(xiàn)技術規(guī)律、技術程序與法治規(guī)律和法律程序的有效連接，是我們需要面臨和思考的新問題。