國外個人信息防護機制?

高榮偉

隨著網絡信息技術的進步和社會信息化程度的不斷提高，人們越來越意識到個人信息保護的重要性。然而，由于管理手段的薄弱，技術手段的缺失，基于智能技術分析和利用后的個人信息經常面臨著被濫用或泄露的問題。如何為個人隱私和信息安全筑起一道保護屏障，成為信息時代各國管理機構的一道必答題。

為了確保個人信息的便捷流通與安全使用，世界上許多國家和地區制定了與個人信息保護相關的法律法規和政策。

美國：實施“分散立法”模式

作為當今經濟技術強國，美國是從法律角度開展個人信息保護最早的國家之一。在個人信息保護方面，美國實施的是“分散立法”模式，主要圍繞美國憲法規定的隱私權保護展開立法。

1974年，美國頒布《隱私權法》（The Privacy Act of 1974）。該法不但明確了個人信息的概念，還對舉證責任、賠償責任、救濟途徑等都進行了較為全面的規定。隨著個人信息保護的不斷完善，如今，美國已經形成了政府、電子商務、電信、金融等若干領域的行政法保護體系，通過在部分單行立法中針對一些特定主體行為的方式來保護。如《信息自由法》（Freedom of Information Act）、《駕駛員隱私保護法》（Divers Privacy Protection Act）、《兒童在線隱私保護法》（Childrens Online Privacy Protection Act）、《消費者隱私保護法案》（California Consumer Protection Act），以及《電子通訊隱私法》（Electronic Communications Privacy Act）等等。

值得注意的是，在立法沒有涉及到的領域，聯邦政府采用了“行業自律”的模式來保護公民隱私。比如1995年發布的《個人隱私與國家信息基礎結構》白皮書，提出了企業應遵循“告知”與“許可”兩大原則來保護消費者隱私。“行業自律”，顧名思義就是行業的自我監督、自我約束、自我管理。這種政府引導與行業自律的結合，在實踐中一定程度上保護了美國公民的個人信息。

美國對隱私權立體式的保護迄今已經成為全球隱私權立法保護的典范，不過，美國模式仍然存在一定的不足。比如，盡管強調“行業自律”，但畢竟缺少強制力。2018年3月17日，《紐約時報》曝光了一家名為“劍橋分析”的數據分析公司及其關聯公司“戰略通訊實驗室”的相關丑聞。據悉，“劍橋分析”曾于2016年美國總統競選期間為現任總統特朗普提供數據分析服務。《紐約時報》稱，這兩家公司竊取并私自保留了5000萬Facebook用戶數據。這則報道的弦外之音不言而喻：Facebook對于不正當抓取和使用其用戶信息來操縱總統大選結果的行為，是持默許態度的。報道一出，Facebook這家早已備受指責的社交媒體巨頭再次陷入聲討之中。

“劍橋分析”事件曝光后，美國聯邦貿易委員會（FTC）對Facebook罰款50億美元，扎克伯格承諾“對我們生產產品和運營公司的方式進行重大結構性改革”，并對APP權限做了限制。然而幾個月后，媒體又爆出與之合作的100多個第三方應用可能已經通過Facebook工程組的編程界面訪問了用戶的個人數據。這些可能涉及泄漏的信息包括了用戶姓名和個人圖片。由此，聯邦政府“行業自律”模式的弊端再次呈現在世人眼前。

歐盟：出臺“史上最嚴”的個人數據保護法案

2018年5月25日，歐盟《一般數據保護條例》（GDPR）正式實施。GDPR高度重視個人數據保護與監管，為之設置了一系列的保護門檻和機制，被業界與學界稱為“史上最嚴”的個人數據保護法案。

該條例引入了新的個人信息保護原則，加大了對信息侵權行為的處罰力度。條例規定，數據控制者應在72小時內向監管機構報告個人數據的泄露情況。當數據泄露可能會給數據主體的權利或自由帶來巨大風險時，數據控制者必須毫不延誤地通知數據主體。對于沒有取得用戶同意等行為，條例罰款上限是1000萬歐元或對企業而言上一年度全球營業收入的2%（兩者中取數額大者）;對于嚴重的違法行為，罰款上限是2000萬歐元或對企業而言上一年度全球營業收入的4%（兩者中取數額大者）。

為加強對歐盟居民個人數據的保護，GDPR采用了“長臂管轄”原則，將適用范圍擴大到設立在歐盟境外的企業。條例規定，如果歐盟境外數據控制者或處理者的數據處理行為被認定與歐盟境內經營場所開展的業務存在“無法割裂的聯系”，GDPR有權管轄其行為。2019年1月，法國國家信息與通信委員會以違反GDPR第5～6條，第13～14條關于“未向用戶告知其數據如何被收集之規定”為由，對Google開出了5000萬歐元的罰單。2019年7月，英國信息管理局以數據泄露違反GDPR第32條規定為由，先后對英國航空和萬豪國際開出1.83億英鎊和9920萬英鎊的巨額罰單。

日本：采用“統分結合”的立法模式

日本是一個信息化程度非常高的國家，近年來濫用甚至盜用個人信息給消費者造成財產或個人隱私損失的惡性案件時常見諸報端。在日本，包含企業或政府等團體的住址在內，泄露的個人信息數量超過了1000萬件。

日本保護個人信息的立法起步早，且特色鮮明。對于個人信息的保護，日本采取的是“統分結合”的立法模式。2017年5月30日，日本最新修訂的《個人信息保護法》正式實施。該法規定，“在向第三方提供時，應事先征得本人的同意”;“員工以非法獲利為目的提供竊取個人信息數據庫時，處以1年以下有期徒刑或50萬日元以下的罰款（同時對公司課以罰款）。”

根據《個人信息保護法》，個別的政府主體或者民間主體針對特定的領域可以制定個別法或特殊法。如日本信息處理系統中心制定的《關于金融機構等保護個人數據的指針》，日本信息處理開發協會制定的《關于民間部門個人信息保護指導方針》。在此基礎上，除了有通產省、郵政省的制定方針及JIS（日本工業規格）以外，經濟產業省制定了《關于民間部門電子計算機處理和保護個人信息的指導方針》，總務省制定了《關于電氣通信事業保護個人信息的指導方針》等。

印度：在收集目的和范圍內使用

2018年7月27日，印度電子和信息技術部發布《個人數據保護法案》，其中的多數關鍵內容與GDPR相同或相似。

法案中確認了三個類型的個人數據：個人數據、關鍵個人數據、個人敏感數據，并規定了不同的出境方案。該法案第九章、第十一章和第十二章就建立數據保護機制，并對財政審計進行了設定。法案規定，“需要在獲得被收集者的合法同意之前，才能開始收集個人信息，并且在收集前，企業需要向被收集者發出對應的通知”;“企業在收集了信息后只能在設定的收集目的和范圍內進行使用，不得超出該授權范圍和授權目的”;“如果信息的使用規定了對應的使用期限，則不能超出該使用期限對信息進行保留。”

第十章和第十三章規定了處罰和罪行，對于不符合要求的情況，提出了最嚴厲的處罰措施。根據該法案，任何未經客戶同意共享客戶數據的組織將被處以1.5億盧比的罰款或占其全球營業額4%的罰款;任何個人數據被侵犯的懲罰最高可達5億盧比，或該實體上一財政年度全球營業額的2%，以二者中較高的為準;數據泄露的處理、報告延遲將處以5千萬盧比的罰款或占全球營業額2%的罰款。

新加坡：應告知收集、使用或披露的目的

新加坡2012年頒布《個人數據保護法令》，確保公民在個人數據受到侵害時可尋求法律保護。該法令第三部至第六部詳細規定了各類機構關于收集、使用或披露個人數據的范圍、條件或要求。

法令規定，機構應當在收集個人數據之時或之前，告知個體收集、使用或披露其個人數據的目的;在個體需要的情形下，告知其收集、使用或披露個人數據問題之人的業務聯系方式。機構未經個體同意自其他機構收集個人數據之時或之前，應當向其他機構提供關于收集目的的充分信息，使該其他機構確定披露是否符合本法。

法令生效以來，新加坡已對未盡到保護個人數據義務或侵犯個人數據的多家機構作出了處罰。其中，處罰最重同時也是影響最大的個人數據遭泄露的案例，是2019年的新康集團集群案。

2018年6月27日至7月4日期間，新加坡健康服務私人有限公司的病例數據庫系統遭到網絡攻擊，黑客從公司數據庫中非法訪問和復制近150萬病人的個人數據和近160萬門診病人的處方記錄，導致大規模的病人數據泄露。這是新加坡歷史上個人信息泄露最為嚴重的案件。依據《個人數據保護法令》第24條，新加坡對新康集團下屬新康公司和綜合健康信息系統公司分別作出了25萬新加坡元（約127萬元人民幣）和75萬新加坡元（約380萬元人民幣）罰款指令。

韓國：允許不可識別的個人信息作為大數據使用

目前，在個人信息及數據保護法律領域，韓國形成了《個人信息保護法》、《信息通信網利用促進及信息保護法》及《信用信息的利用及保護法》三法分立的局面。

根據2016年3月韓國修訂的《個人信息保護法》第15條至23條，“收集或利用或向第三者提供個人信息時， 必須征得信息主體的同意， 不必要保留個人信息時， 應及時刪除”。2016年4月，韓國公布了《信用信息的利用及保護法》的修改草案，規定“經過不可識別處理的個人信息可以無需信息主體的同意而加以利用或向第三者提供”，即，經過不可識別處理的個人信息被允許在當初收集和使用目的范圍以外使用。同年6月，包括行政自治部在內的韓國政府6大機構共同公布了《個人信息不可識別處理指南》，規定允許不可識別的個人信息作為大數據使用。

對于違反規定的個人信息跨境轉移與再轉移行為，可能造成用戶權利嚴重侵害的，修正案規定，廣播通信委員會可以命令中斷轉移或再轉移，并可以對不履行中斷命令的個人信息處理者處以2年以下的有期徒刑或2000萬韓元以下的罰款。