個人信息保護國際比較研究
個人信息保護課題組 著
中國金融出版社 2017年7月
內容簡介:
本文橫向比較歐盟�、美國和亞洲等國家和地區(qū)個人信息保護的淵源��、理念、原則��、方法及其演變�����,從中總結出一些共同的原則和做法�,并嘗試樹立我國個人信息保護的問題、立法和保護現狀�,提出我國保護個人信息的立法和政策建議。
個人信息保護課題組
課題負責人:
王曉蕾 中國人民銀行征信中心副主任
課題組成員:
曹亞廷 中國人民銀行征信中心
李 銘 中國人民銀行征信中心
楊 淵 中國人民銀行征信中心
王 融 中國信息通信研究院
王新銳 北京安理律師事務所
董 瀟 君合律師事務所
葛 鑫 中國人民大學法學院
丁安平 中國人民銀行征信中心
朱宣燁 北京安理律師事務所
朱蕓陽 中央民族大學
目錄
第一章 個人信息保護概述
一�、個人信息與隱私安全、財產利益和發(fā)展機會
(一)個人信息保護問題的淵源
(二)大數據時代個人信息保護的緊迫性
二���、個人信息保護的對象
(一)數據與信息
(二)個人數據��、個人信息和隱私
(三)保護與特定個人相關的信息
(四)確立“誰的信息誰做主”的保護理念
三��、個人信息保護與行業(yè)發(fā)展����、國家競爭力
(一)大數據時代的數據資源
(二)個人信息保護是互聯網行業(yè)發(fā)展的基礎
(三)個人信息保護有利于我國占領全球經濟制高點
第二章 個人信息公平實踐和保護原則
一、個人信息保護基本原則的演變
(一)個人數據保護基本原則的初次提出
(二)信息社會的個人信息保護基本原則
(三)大數據時代個人信息保護基本原則
二��、大數據時代對個人信息保護原則的再思考
三��、關于個人信息公平實踐和保護原則的最低要求
(一)個人信息保護原則的國際應用
(二)個人信息保護最低原則
第三章 各國(地區(qū))個人信息保護的立法實踐
一���、美國:個人信息保護的分散立法實踐
(一)美國個人信息保護目標與原則
(二)公平信息實踐原則在立法實踐中的體現
二、歐盟:個人信息保護的統(tǒng)一立法實踐
(一)對涉及個人信息的所有領域統(tǒng)一立法
(二)建立統(tǒng)一的個人信息處理標準
三��、亞洲:個人信息保護立法實踐
(一)亞洲國家和地區(qū)的統(tǒng)一立法保護日漸完善
(二)韓國:信息自決下的個人信息保護立法
(三)日本:保障個人權利的個人信息保護立法
(四)中國臺灣:以保障人格權為核心的個人信息保護立法
四�����、部分金磚國家個人信息保護立法實踐
(一)印度個人信息保護法律框架
(二)巴西個人信息保護立法進展
第四章 各國(地區(qū))個人信息保護的監(jiān)管實踐
一����、全球個人信息保護監(jiān)管概況
二、個人信息保護法律的實施
(一)專門統(tǒng)一監(jiān)管下的個人信息法律實施
(二)各領域分散監(jiān)管下的個人信息法律實施
(三)行業(yè)自律下的個人信息法律實施
(四)司法訴訟下的個人信息保護法律實施
三����、個人信息保護的宣傳教育實踐
(一)面向公眾的宣傳教育實踐
(二)面向信息處理機構和工作人員的培訓
第五章 征信與個人信息保護
一、征信與信貸市場
二�、征信的本質和主要特征
(一)征信的不同定義和實質
(二)征信活動的特征
(三)兩個平衡
三、征信與個人信息保護
(一)歐洲信貸登記系統(tǒng)的發(fā)展
(二)美國市場化征信模式的發(fā)展
(三)新興市場征信行業(yè)的發(fā)展
四�、個人信息保護原則在征信業(yè)的應用
五、征信業(yè)個人信息保護面臨的挑戰(zhàn)
(一)全球征信業(yè)的新發(fā)展趨勢
(二)加強信息保護的立法趨勢
(三)我國征信業(yè)發(fā)展面臨的挑戰(zhàn)
第六章 數據跨境流動規(guī)則
一、數據跨境流動典型政策
(一)經合組織《關于隱私保護和個人數據跨境流動指南》
(二)亞太經合組織《隱私保護框架》與跨境數據流動規(guī)則
(三)歐盟跨境數據流動政策
(四)美歐安全港框架
二����、近年來數據本地化政策趨勢
(一)典型國家的數據本地化政策
(二)跨境數據流動展望
第七章 我國個人信息保護的現狀及分析
一、我國個人信息保護的立法現狀
(一)個人信息保護立法概述
(二)現行個人信息保護法律體系概況
二�����、我國個人信息保護的實踐狀況
(一)個人信息收集環(huán)節(jié)
(二)個人信息加工處理環(huán)節(jié)
(三)個人信息輸出環(huán)節(jié)
(四)中國個人信息保護的國際評價
(五)落實個人信息保護原則不能僅靠專項打擊
三���、個人信息保護不足的原因分析
(一)市場對個人信息利用存在合法需求
(二)背離合法需求的原因分析
第八章 我國個人信息保護的立法和政策建議
一����、個人信息立法保護是大數據發(fā)展的基本保證
二��、個人信息保護的立法和政策建議
(一)借鑒國際經驗樹立“以人為本”的個人信息保護理念
(二)推動出臺統(tǒng)一專門的《個人信息保護法》
(三)對個人信息保護立法重點問題的建議
(四)明確個人信息保護的執(zhí)法監(jiān)管體制
(五)加強司法救濟���,拓寬個人信息保護渠道
(六)開展公眾教育�,提升個人信息保護意識
三��、關于大數據時代個人信息保護的建議
(一)重視大數據及其技術對個人信息保護的深刻沖擊
(二)提高公民對個人信息控制力是各國普遍共識
(三)我國大數據的立法監(jiān)管建議
術語對照表
附錄
部分國家和地區(qū)個人信息保護研究
第一章 美國個人信息保護研究
一���、美國個人信息保護概述
(一)隱私權在美國的歷史發(fā)展
(二)二美國個人信息保護的規(guī)范框架
二����、美國個人信息隱私保護的立法
(一)對個人信息的定義
(二)公平信息實踐原則
(三)個人信息保護立法
三、美國個人信息領域的執(zhí)法
(一)行政監(jiān)管
(二)私人訴訟
四����、特殊領域個人信息的保護
(一)征信領域
(二)金融領域
(三)醫(yī)療領域
(四)通信領域
五、互聯網時代隱私權面臨的新挑戰(zhàn)
(一)定向廣告
(二)數據經紀
(三)最新發(fā)展
第二章 歐盟個人信息保護研究
一���、個人信息保護在成員國的發(fā)展——以德國為例
(一)起源:“私領域”理論
(二)發(fā)展:“信息自決權”理論
(三)個人信息保護專項立法
二���、個人信息保護在歐盟層面的立法演進
(一)基本規(guī)范:《歐盟指令》
(二)通訊領域:《歐盟通信指令》
(三)犯罪領域:《數據存留指令》
三�、最新立法:《歐洲信息保護通用條例》
(一)修訂原因
(二)主要修訂內容
(三)尚待明確的相關規(guī)定
(四)修訂的影響
第三章 日本個人信息保護研究
一、日本個人信息保護概況
(一)日本個人信息保護的早期發(fā)展
(二)個人信息保護相關法律制定階段
二����、日本個人信息保護立法與監(jiān)管
(一)日本《個人信息保護法》立法原則
(二)日本《個人信息保護法》的主要內容
(三)日本個人信息保護的監(jiān)管
(四)行業(yè)自律標準和評價體系
三、日本《個人信息保護法》新修訂
(一)主要修訂內容
(二)《個人信息保護法》的新特點
第四章 韓國個人信息保護研究
一���、韓國個人信息保護概況
二����、韓國個人信息保護的主要內容
(一)個人信息保護“由分到合”的歷史演進
(二)韓國個人信息保護的創(chuàng)新與特點
(三)個人信息處理流程的立法保護
(四)公共領域個人信息立法保護
三�、個人信息保護的監(jiān)管和救濟
(一)個人信息保護監(jiān)管執(zhí)法
(二)個人信息保護的事后救濟制度
(三)個人信息保護的監(jiān)管案例及趨勢
第五章 新加坡個人信息保護研究
一��、新加坡個人信息保護立法演進
(一)前統(tǒng)一立法階段個人信息保護規(guī)范體系
(二)統(tǒng)一綜合性立法的基本結構及生效前的窗口期
二��、新加坡現行個人信息保護規(guī)范體系
(一)針對私主體收集處理個人信息的規(guī)范體系
(二)針對公權力機構收集處理個人信息的規(guī)范體系
三��、個人信息保護的主要制度
(一)個人信息的界定
(二)《個人信息保護法案》規(guī)制主體
(三)機構的個人信息保護義務
四��、《個人信息保護法案》的實施和監(jiān)管
(一)個人信息保護委員會為法律實施主體
(二)責任追究和救濟
第六章 臺灣地區(qū)個人信息保護研究
一���、“個人信息法”歷史變遷
(一)起源:“電腦處理個人信息保護法”
(二)發(fā)展:“個人信息保護法”
二、我國臺灣地區(qū)個人信息保護立法概況
(一)立法目的和理念
(二)“個資法”規(guī)范對象
(三)現行“個資法”的框架結構
(四)當事人權利的內涵
三����、“個資法”的監(jiān)管與執(zhí)法
(一)損害賠償追責
(二)刑事追責
(三)行政追責
第七章 香港地區(qū)個人信息保護研究
一、香港《個人信息(私隱)條例》簡介
(一)來自英國的影響
(二)立法背景與理論基礎
(三)法條及實務守則
(四)基本概念
(五)六項保障信息原則
(六)《條例》對包括政府在內的公營部門的適用
二��、香港個人信息(私隱)監(jiān)管與執(zhí)法
(一)個人信息(私隱)專員及職能
(二)個人信息(私隱)專員公署的地位
(三)罪行及補償
(四)豁免事項
三����、網絡技術發(fā)展的沖擊及應對
(一)對互聯網渠道個人信息的指引
(二)對應用程序的監(jiān)管指引
(三)對網上行為追蹤的監(jiān)管
(四)對直接促銷的監(jiān)管規(guī)定
(五)對公共領域個人信息的監(jiān)管
前言
大數據時代,如何在保護個人隱私和權利的情況下����,充分利用大數據發(fā)展生產力、提高人類福祉����,不僅關系到當下每個人的切身利益和安全�,也關系到國家的未來和發(fā)展����。為此,近年來世界各國在制定大數據發(fā)展戰(zhàn)略的同時����,亦從促進互聯網、信息行業(yè)發(fā)展和整體競爭力等角度�,進一步加強對個人信息的保護,力求在制度�、技術和監(jiān)管等方面創(chuàng)新保護手段、完善保護框架�����、提升保護效力����。在此背景下���,從國際視角審視個人信息保護問題和進展�����,從源頭��、實踐和理論上進一步加強個人信息保護問題研究�,對于我們這一正在崛起的大國而言顯得非常必要。為此����,2015年4月起,我們承擔了上海新金融研究院的個人信息保護問題研究課題�����。在一年多時間里�,我們組建了專門的研究團隊,邀請了立法��、監(jiān)管����、學界、業(yè)界等專家共同研究�。經過課題組反復研討、修改�,形成目前呈現在讀者面前的課題研究報告�。?
一��、本書的主要研究內容和結論
當前�,個人信息不僅僅是個人隱私的載體,還塑造了個人的虛擬形象�,更帶有明顯的財產和資源屬性,在個人隱私�����、信息安全�����、財產利益和經濟發(fā)展等諸多方面都產生了深刻的影響����。作為互聯網大國,面對我們個人信息保護落后的現實��,? 要站在促進經濟發(fā)展�、提高國際競爭力的高度�,深刻認識個人信息保護在促進個人信息有序利用、互聯網和信息產業(yè)發(fā)展等方面的重要性����,在理念培育����、原則落地�����、立法立規(guī)�、強化監(jiān)管、宣傳教育等方面�����,盡快構建個人信息保護的綜合治理體系����。
(一) 個人信息廣泛使用已經沖擊個人隱私和安全
在信息技術和互聯網大數據快速發(fā)展的今天,通過數據挖掘手段����,可以借助個人信息對用戶的各種行為表現進行評價和預測,形成客戶在不同場景下數字化的虛擬形象�����,即“虛擬我”。商家和企業(yè)可據此研究消費者行為���、優(yōu)化商品和服務�����,虛擬形象的存在有利于克服市場中的信息不對稱問題�,在信貸����、就業(yè)、經商和公共服務等各個方面給人們帶來了諸多便捷��。
但是�,目前對個人信息的廣泛使用已經沖擊到個人隱私和安全。首先���,個人信息不規(guī)范采集��、不安全處理和無約束使用����,導致公眾的個人信息滿天飛�,營銷性短信、郵件和電話騷擾越來越多�����,更有根據用戶特征設計實施類似徐玉玉案件的精準詐騙����,威脅公眾的財產和人身安全。在2016年�����,僅公安機關偵破的侵犯公民個人信息犯罪的案件達1800余起��,抓獲犯罪嫌疑人4200余人��,查獲各類公民個人信息300余億條����。
其次,由于目前法律對個人信息的財產屬性尚未界定���,互聯網企業(yè)和商家利用服務客戶過程中積累的用戶數據���,在客戶不知情的情況下進行了數據交易和轉讓��,也侵害了個人財產權益�。此外�����,個人對其虛擬形象的存在不完全知情或不知情����,因此,對虛擬形象在多大程度上影響諸如信貸����、就業(yè)、經商�����、享受社會福利的機會等重大事項���,個人亦不完全知情或不知情�����,當然也就無法談及個人權益的保護了���。
(二) 個人信息保護不足也會給企業(yè)和國家?guī)聿焕绊?/strong>
對于互聯網和信息行業(yè)而言�����,個人信息保護不力會影響該行業(yè)的健康可持續(xù)發(fā)展。分散的個人信息保護法規(guī)規(guī)定不清晰�����、不統(tǒng)一�,缺乏確定的個人信息權屬、流動和使用規(guī)則���,導致個人信息孤島和信息濫用并存���,個人信息和大數據流通暗流涌動、秘而不宣�,既沖擊公眾對互聯網及信息行業(yè)的信任和信心,還阻礙了政府和商業(yè)領域個人信息的開放流通����。相反���,那些沒有底線的企業(yè)打著改革創(chuàng)新的旗號行“倒賣數據”之實,因 “劣幣驅逐良幣” 而獲得了競爭優(yōu)勢��,這對信息行業(yè)的健康發(fā)展實際上是有百害而無一利����。
進一步來看,個人信息保護不足還會對國家經濟發(fā)展和國家安全帶來不利影響�����。一方面�����,由于我國個人信息保護力度不及歐美等國��,在國際經貿往來中我國公司不得在境內處理歐美個人客戶信息�����,在華外資金融機構選擇將境內客戶的個人信息轉移到新加坡���、歐盟處理已成慣例�,甚至至今也沒有一家外國大型互聯網企業(yè)將服務器設在中國境內。同時��,一國落后的個人信息保護�����,將成為他國對其實行貿易壁壘的新依據���,該國企業(yè)在“走出去”過程中會受到歧視性對待,個人信息流動的“逆差”狀態(tài)會影響其國際競爭力和國際地位��。另一方面�,在個人信息保護不健全的情況下,與國內機構一樣�����,國外機構也通過合法或不合法的渠道獲得規(guī)?��;膫€人信息���,對我國網民進行心理和行為特征分析,并基于此進行精準的政治營銷和意識形態(tài)滲透�����,操控我國網民認知,威脅政治穩(wěn)定和國家安全��。媒體報道的大數據分析助力英國脫歐和特朗普贏得美國大選即是大數據干預政治的兩個例子�。
(三) 全球已經形成個人信息保護的通用原則
自20世紀70年代初個人信息保護問題提出以來,經過40余年的發(fā)展演變�����,目前基本形成了以下五大國際原則�����,作為各國和國際組織制定個人信息保護政策的基礎: 一是公開性原則��,即個人信息處理機構應公開關于個人信息處理的一切政策��、流程和處理實踐����,禁止個人信息被秘密地處理;二是限制性原則���,包括個人信息的所有處理行為要堅持合法原則����,個人信息數據庫要堅持服務特定目的,在最少必須原則下收集和處理個人信息����,個人信息的收集和使用范圍、保存期限和銷毀應受到限制����;三是數據質量原則,即個人信息應當準確�����、完整和適時更新? 作為信息控制者的機構對此責無旁貸�����;四是責任與安全原則�����,信息控制機構必須承擔個人信息保護的主要責任�����,要將個人信息保護內化于其業(yè)務流程和技術設計中�,同時采取必要的安全防范措施保護個人信息,防止數據丟失或未經授權的訪問���、銷毀����、使用�、修改或泄露,并承擔相應的責任�����;五是個人信息權利保護原則����,充分保障信息主體的知情權、 查詢權����、 異議權與糾錯權,甚至是可攜帶權等����。
進入21世紀����,大數據時代個人信息的內涵�����、處理方式�、技術手段和侵權形式已發(fā)生巨大的變化,對個人信息保護的基本原則帶來了諸多挑戰(zhàn)�����,但是����,無論是從歐盟2016年新制定的 《信息保護通用條例》 (以下簡稱《歐盟條例》)、2013年經合組織(OECD)對《1980年個人信息保護指南》(以下簡稱 《經合組織指南》) 的修改���,還是近年來美國對個人信息保護的立法和監(jiān)管實踐來看,以上個人信息保護的基本原則不但沒有任何放松�����,相反,在一些原則的具體落實措施和監(jiān)管手段上還有所加強���。
(四) 在立法和監(jiān)管中落實保護原則是有益的國際實踐
從全球來看��,從1973年全球第一部個人信息保護國內法律 《瑞典個人信息法》出現到2015年末�,全球共有111個立法體建立了個人信息保護法律����、 法規(guī),且呈加速趨勢�。在地域分布上,歐洲國家和地區(qū)53個��,非洲17個���, 亞洲18個�,美洲19個����,大洋洲2個。在剩余的國家和地區(qū)中����,21個已經形成了相關的法律草案,91個尚無相關的法律或草案?���?傮w上,各立法體已經建立和正在建立的個人信息保護法律���、法規(guī)����,基本上都貫徹了以上保護原則�。以歐美、亞洲和金磚國家為例���,這些國家和地區(qū)正結合各自的文化�����、歷史����、社會和經濟等方面的特征�,選擇不同的方法和路徑因地制宜地踐行個人信息保護的五大國際原則���。
歐盟作為全球個人信息保護的重要參照系��,對包括政府部門����、各商業(yè)領域個人信息處理實施統(tǒng)一的信息保護和監(jiān)管標準。例如��,20世紀70年代的瑞典��、德國����,以及后來的其他歐洲國家,都建立了同時適用于本國政府與非政府機構���、適用于各行業(yè)統(tǒng)一的個人信息保護法律����。在歐盟層面��,從1995年歐盟 《個人信息保護指令》(以下簡稱《歐盟指令》)階段各成員國在個人信息保護上求同存異����,發(fā)展到2009年在歐盟憲法中確立個人信息保護的基本人權地位���,再到2016年出臺、2018年在歐盟成員國強制實施的《歐盟條例》均體現了歐洲國家在個人信息保護領域統(tǒng)一化���、標準化和一體化的立法和執(zhí)法特點��,已將個人信息保護原則落實到立法和監(jiān)管實踐中�����。
美國則針對政府部門和商業(yè)領域個人信息分別立法�,并建立強有力的監(jiān)督執(zhí)法機制�。例如,針對聯邦政府機構有《隱私法案》(1974年)針對征信醫(yī)療金融電信等若干行業(yè)���,有以《公平信用報告法》(1970年)為代表的數十部信息保護特別法�。相關法律在各自領域貫徹“目的特定��、 公開透明��、 保障權益”等基本保護原則�,借助其發(fā)達的司法救濟系統(tǒng),特別是以聯邦貿易委員會�、聯邦通信委員會��、證券交易委員會、消費者金融保護局等為代表的監(jiān)管機構強力執(zhí)法���,從督促機構守法�、保障個人權益����、規(guī)范個人信息處理等方面,有效地實現了對個人信息的保護�����。
亞洲國家和地區(qū)���、新興市場國家的統(tǒng)一立法和統(tǒng)一保護也日漸完善�。出于對個人隱私訴求進行保護的客觀需要���,以及融入經濟全球化的戰(zhàn)略考慮��,加強個人信息保護是亞洲國家和地區(qū)與印度��、巴西等新興市場國家的一致性選擇�����。以日本��、韓國��、新加坡等為代表的發(fā)達國家��,緊跟歐美步伐逐步完善本國的保護體系����,統(tǒng)一立法、統(tǒng)一監(jiān)管的個人信息保護框架已經非常成熟����,印度、巴西等新興市場國家�,也已經形成或正在形成專門的個人信息保護法,設置統(tǒng)一的個人信息監(jiān)管機構���,加緊推動個人信息保護國際原則在本國落地�,并緊跟歐美步伐不斷完善本國的法律和監(jiān)管��。
(五) 個人信息保護事關大局? 推動國際通用原則落地尤為迫切
橫向比較��,當前我國在個人信息保護領域的理念、原則���、立法和實踐���,較歐盟�、美國、日本����、韓國、加拿大等落后���。概括而言��,導致我國個人信息保護嚴重不足的原因主要有:一是社會各界對個人信息保護有意識無認識���,對為何要保護、要保護到什么程度和如何保護等沒有概念�,錯誤地認為只要“本人同意”就行,對機構處理個人信息沒有“在什么時間內�����、為何目的、要最小化處理”等約束�����。二是相關法律以宣誓性條款散落在《全國人大關于加強網絡信息保護的決定》���、 《刑法修正案(九)》�����、《國家網絡安全法》等中��,沒有一部專門的個人信息保護法對保護理念���、原則、各方權責等做一致性約定�����,高度分散的法律文本停留在紙面上難以落實���。三是分散監(jiān)管下各部門職責未定����、個人權利不明、機構責任不清��,主要依賴公檢法部門針對侵害公民個人信息犯罪不定期專項打擊行動��,沒有專門的個人信息保護部門實施常規(guī)性行政執(zhí)法����、處罰和保護。為此����,完善我國個人信息保護的政策和立法十分迫切�����。
一是個人信息保護問題事關互聯網行業(yè)的健康發(fā)展和國家競爭力��,我們要站在促進經濟發(fā)展和國家間競爭的高度看待個人信息保護問題��,深刻認識個人信息保護對國家發(fā)展戰(zhàn)略和占領全球制高點的戰(zhàn)略意義���,從對個人信息保護的研究�、認識、理念����、立法和監(jiān)管等方面奮勇直追,緊跟個人信息保護全球步伐不掉隊����。
二是要推動“以人為本”的個人信息保護理念落地。數據由人而產生����,如果個人的權利得不到恰當的保護,就會動搖大數據產生和價值挖掘的基礎�����。建立個人信息保護理念����,根本目的就是要讓個人信息有序流動起來。在這個過程中�����,不僅僅企業(yè)需要確立相應的保護理念�,作為信息保護監(jiān)管主體和個人信息處理機構的政府部門�����,更應帶頭凝聚尊重和保護個人信息的理念�����。
三是要確立“我的信息我做主”原則�,強化機構責任���,建立國際通行規(guī)則���。要強化網絡運營者主體責任,將個人信息保護架構建立在機構責任基礎上�。除落實“本人同意”規(guī)則之外����,還要制定明確的信息采集、加工和使用規(guī)則�,嚴格規(guī)范企業(yè)、機構在我國境內收集用戶數據活動���,讓國際社會已經普遍接受的個人信息處理公開原則��、限制性原則�、數據質量原則、安全與責任原則����、個人權益保護原則等,盡快在我國落到實處���。
四是出臺統(tǒng)一的《個人信息保護法》和配套立法���,建立專門的個人信息保護機構,加強對公眾的宣傳教育和對信息主體的司法救濟�。要建立統(tǒng)一、專門的個人信息保護機構����,集中擔負個人信息保護的立法落地、督促相關機構落實執(zhí)法監(jiān)管責任��,采取切實有效的技術和管理措施�����,防止泄露���、損害����、違法使用個人信息。同時��,提高對信息處理違規(guī)行為的處罰和賠償標準�,嚴厲打擊非法竊取、收集�����、買賣���、轉移個人信息的行為���。此外,利用市場機制鼓勵大型互聯網企業(yè)間建立信息保護聯盟和行業(yè)自律機制�,推動企業(yè)從保護商業(yè)利益�、企業(yè)商譽和競爭力角度加強個人信息保護,形成競爭性隱私保護和信息安全商業(yè)環(huán)境�。
二、本書的內容安排
本書分為兩大部分�����,第一部分為本書正文,即主報告���,共八章��,第二部分為附件����,即副報告����,共七章。其中�����,主報告主要研究了個人信息保護問題的淵源�、個人信息保護相關原則的演進,當前世界主要經濟體個人信息保護的立法與監(jiān)管實踐�����,并選擇了與個人信息保護關系密切的個人征信和跨境數據流動兩個專題進行研究����,分析了當前我國個人信息保護的現狀�����、不利影響和原因���,并結合國際經驗提出我們的政策和立法建議。副報告則比較研究了美國����、歐盟、日本����、韓國、新加坡和我國臺灣���、香港地區(qū)的個人信息保護的基本情況�,特別是立法�、監(jiān)管實踐和最新趨勢等。
(一) 主報告各章節(jié)內容簡介
什么是個人信息���?個人信息為何要保護個人信息����?保護問題因何而起����、在大數據時代如何發(fā)展?對此����,主報告第一章探討了個人信息保護的起源和大數據時代個人信息保護問題的緊迫性和國際趨勢,對比研究了個人信息�����、數據和隱私等基礎性概念�,發(fā)現個人信息保護不僅僅是個人隱私安全層面的問題,還事關公民的財產利益����、發(fā)展機會和互聯網行業(yè)發(fā)展與國家競爭力。國際上����,面對個人信息這一新型資源,世界各國不但沒有放松�����,而是進一步強化了以人為本的個人信息保護制度,這既是個人全面發(fā)展的需要��,更是保護互聯網行業(yè)發(fā)展和國家經濟發(fā)展的戰(zhàn)略考量����。
在認識個人信息保護的迫切、重要性的基礎上�����,我們在第二章中從個人信息的基本原則發(fā)展演變出發(fā)����,研究近四十年來歐美等國如何凝聚個人信息保護的共識,形成個人信息保護的基本原則�。分為原則的初次提出、信息社會和大數據時代三個階段�,從歐洲和美國兩條線出發(fā),系統(tǒng)梳理個人信息保護基本原則的國際演進和變化�����,總結形成了當前關于個人信息保護五大國際底線原則。發(fā)現即使在大數據的今天��,這些原則也被世界各國普遍使用�,并在保護個人權益方面得到進一步加強��。?
個人信息保護原則的落地首先體現在各國個人信息保護立法中�����,為此���,在第三章中��,我們對比研究了美國和歐盟個人信息保護的立法實踐情況�,以及部分亞洲國家�、地區(qū)和新興市場國家個人信息保護立法進程,發(fā)現各國����、地區(qū)盡管路徑和方法有所不同,既有以美國為代表的各領域分散立法保護�,也有歐盟、日本��、韓國、我國臺灣地區(qū)以及部分新興市場國家逐漸形成的統(tǒng)一的個人信息保護立法�����,但是總體上都在各自的框架內讓個人信息保護國際原則成為法律條文和基本制度�。
緊接著,在主報告第四章中�����,我們從各個國家��、地區(qū)的監(jiān)管實踐中研究個人信息保護原則的落地情況�。總體上��,在各自的立法模式下各個國家��、地區(qū)逐漸形成了或專門統(tǒng)一或各領域分散的個人信息保護監(jiān)管格局�,重視信息服務行業(yè)自律和司法訴訟下個人信息保護法律實施,特別是加強面向公眾�����、信息處理機構工作人員的個人信息保護宣傳教育和培訓工作���?�?傮w上�,完善的個人信息保護立法、設置專門的個人信息保護監(jiān)管部門����,確保嚴格的侵權究責與個人信息主體有效的維權與救濟渠道等����,越來越成為個人信息保護的國際趨勢。
第五章為征信與個人信息保護的專題研究�,從本質功能上講,征信是為緩解信貸市場的信息不對稱問題而產生的���。對此��,為獲得信貸融資機會�,借款人必須讓渡部分個人信息���,供放貸人評估其還款能力����、意愿和風險定價。同時�����,由于借款人未來履約與否���,間接影響他人的信貸消費機會和金融穩(wěn)定這一公共利益���,所以強制采集、共享借款人負債信息已成為世界征信業(yè)的普遍做法���。但即便如此����,從個人信息保護的角度來看����,個人借款人也并非完全放棄個人信息權利,征信業(yè)在評價信用風險時仍要遵循基本的公平和個人信息保護原則�,個人對其征信數據擁有知情權、查閱訪問權�����、異議權和糾錯權,這也是世界各國發(fā)展征信業(yè)時的共識和普遍做法����。
第六章為數據跨境流動規(guī)則,主要介紹了經合組織(OECD)����、亞太經合組織(APEC)、歐盟以及美歐間的數據跨境流動政策��,并特別補充了近年來部分國家數據本地化的政策趨勢�����?��?傮w上�,目前數據的國際流動規(guī)則還沒有相應的國際協調機制,這已經不適應以互聯網為基礎的世界經濟的發(fā)展��,為此,在形成跨境數據流動政策的國際共識和協調中需要各國的共同努力���。在此過程中��,對于個人信息保護不足的國家而言����,及時跟上個人信息保護的國際步伐,補齊個人信息保護的短板�����,避免因個人信息保護不力而在國際服務貿易中成為他國對其實行貿易壁壘的新依據����,是其首要解決的問題。
在國際個人信息保護的競技場上�,我國個人信息保護現狀如何、原因何在等是第七章研究的重點���,該章結合實際案例分析指出�,雖然我國的一些法律規(guī)范也零星涉及了國際個人信息保護領域普遍接受的基本原則��,但是認識不到位���、立法不完善��、保護框架失衡����、行政監(jiān)管缺位、違法懲戒不足等�,導致我國個人信息保護嚴重不足、落后于全球步伐:個人信息不規(guī)范采集��、不安全處理和無約束使用? 導致公眾的個人信息滿天飛�,營銷性短信,郵件���、騷擾電話和精準詐騙越來越多�,嚴重威脅個人的隱私�����、安全����、財產和發(fā)展機會�����,并對我國互聯網行業(yè)發(fā)展和國家經濟發(fā)展與國際競爭力都帶來了不利的影響����。
第八章為我國個人信息保護的立法和政策建議����。該章綜合我國個人信息保護領域的問題和國際經驗�,研究認為個人信息保護與大數據價值挖掘并不沖突,清晰的個人信息�����、隱私監(jiān)管規(guī)則和基于此的公眾信任����,有助于互聯網行業(yè)和信息科技的蓬勃發(fā)展。為此���,我國應樹立“以人為本”的個人信息保護理念�����,盡快推動出臺統(tǒng)一的個人信息保護法律����,明確個人信息保護的執(zhí)法監(jiān)管機制并成立專門的監(jiān)管機構,加強對個人信息保護的日常監(jiān)管����,同時,加強司法救濟和公眾教育�����,形成個人信息保護的綜合治理體系���。
(二) 副報告各章節(jié)內容簡介
在國際比較研究報告中��,我們系統(tǒng)研究了美國����、歐盟����、日本、韓國����、新加坡和我國臺灣��、香港等在個人信息保護上的立法和監(jiān)管實踐,分析大數據時代各經濟體個人信息保護最新進展情況�。
第一章從美國個人信息保護的立法、監(jiān)管實施和最新趨勢的角度介紹美國個人信息保護的情況�����??傮w上,美國采取分散的立法和監(jiān)管模式��,在公法領域以成文法建立了政府機構數據保護標準����,在私法領域對涉及金融、醫(yī)療�����、電子通信��、兒童隱私��、背景調查以及征信等領域���,對個人信息的處理進行了立法規(guī)范�。在個人信息保護監(jiān)管和執(zhí)法上,主要是聯邦貿易委員會��、聯邦通信委員會����、消費者金融保護局等監(jiān)管機構,以及司法系統(tǒng)和隱私權訴訟的原告來推動實施�����。整體上���,美國對個人信息隱私的保護�����,更依賴于監(jiān)管部門的執(zhí)法以及私人訴訟����,以威懾“不公正或欺騙性的”商業(yè)行為或者侵犯隱私權的行為�����。
在第二章中���,我們以德國為例研究個人信息保護在歐盟成員國的發(fā)展����,并梳理歐盟層面?zhèn)€人信息保護的歷史發(fā)展和最新進展情況����。總體上��,歐洲將個人信息視作公民人格和人權的一部分�,認為人格的自由發(fā)展要求個人有權對抗對其個人信息無限制的收集、存儲�����、使用和傳送�。在實踐中,歐洲對包括政府部門��、各商業(yè)領域的所有個人信息處理����,制定了統(tǒng)一的個人信息保護立法,實施統(tǒng)一的個人信息保護標準���,并在監(jiān)管機構和公民救助上���,形成了一套獨特的個人信息保護體系�����。2016年歐盟個人信息保護的最新條例�����,更是在加強對信息主體保護���、強化機構的責任等方面又向前邁出了一大步。
第三章是對日本情況的介紹�。日本借鑒了歐盟個人信息保護立法經驗和法律外殼,以保障公民隱私權在內的人格權和財產權為核心��,最終形成了一部規(guī)制政府部門����、 私營企業(yè)個人信息處理行為的綜合性個人信息保護基本法。與此同時�,日本也采用美國實用主義的立法方式,在個人信息保護基本法基礎上��,更加重視重點行業(yè)的特別立法、行業(yè)自律和第三方監(jiān)督等���,以追求個人信息權益保護和信息應用之間的平衡�。
在第四章的韓國研究中����,我們梳理了韓國個人信息保護的歷史演變和最新進展情況�����??傮w上,韓國以“保障每個人都有權決定是否將個人信息交付并提供給他人利用的權利”為核心�,確保信息主體對其個人信息及產生影響的知情、控制�����。目前形成了以《個人信息保護法》為核心�,以《信息通信促進法》、 《信用信息使用與保護法》等法律為補充的完整法律體系�,搭建了以個人信息保護委員會為指導、韓國內政部牽頭的個人信息保護綜合執(zhí)法體系�,建立了被稱為“亞洲最嚴厲的個人信息保護制度”�����。
第五章是對新加坡個人信息保護法律情況的介紹�。目前在個人信息保護領域�,新加坡逐步發(fā)展出了國家機構和商業(yè)機構分治,僅對商業(yè)機構的個人信息處理建立了統(tǒng)一立法的法律保護體系����。在法律實施中,設置了個人信息保護委員會作為個人信息保護法律的執(zhí)行機構��,通過制定具體標準進行立法實施�����?��?傮w上�����,新加坡有針對性地選擇不同領域適用個人信息保護法律�����,體現了新加坡個人信息保護規(guī)范體系務實����、兼顧個人利益保護和數據經濟利用的特點。
第六章介紹了我國臺灣地區(qū)個人信息保護的基本情況�。臺灣地區(qū)的個人信息保護立法經歷了從專門規(guī)范特定產業(yè)的部門立法到全面統(tǒng)一立法的兩大階段,目前統(tǒng)一的“個人信息保護法”同時規(guī)范公務機關和非公務機關的個人信息處理行為��。臺灣地區(qū)的各行業(yè)監(jiān)管部門擔負個人信息保護監(jiān)管職責����,對違規(guī)行為苛以民事責任��、刑事責任和行政責任���。針對公務機關的違規(guī)行為采取無過錯原則承擔損害賠償責任��,針對非公務機關的違規(guī)行為則采取過錯推定原則承擔損害賠償責任? 是臺灣地區(qū)損害賠償的一大特點�����。
在第七章我國香港地區(qū)的情況介紹中�,梳理了英國個人信息保護制度的發(fā)展歷程以及對香港地區(qū)個人信息保護制度的影響����,總結了香港個人信息保護的法律制度和監(jiān)管框架���,介紹了大數據背景下網絡技術對個人信息保護的挑戰(zhàn)及香港的應對措施?���?傮w上,香港個人信息保護的“歐洲特征”明顯�,歐洲個人信息保護的基本原則、 對信息主體的權益保護在香港得到有效實踐�����,統(tǒng)一的個人信息保護法律和特設的隱私保護專員公署�����,負責對政府機關和私營機關個人信息處理行為的規(guī)范�����。近年來�,我國香港還在互聯網渠道和公共渠道個人信息采集、應用程序、網上追蹤��、直接促銷等領域�����,對個人信息處理行為制定了針對性監(jiān)管指引���。
三�、致謝與說明
參加此次課題研究的同志主要有:課題負責人���、中國人民銀行征信中心副主任王曉蕾 (總撰稿����、 統(tǒng)稿工作和報告審閱)�,征信中心曹亞廷(主報告第一章����、第三章、第四章�,副報告第四章)、李銘(主報告第二章)�����、楊淵(主報告第五章),中國信息通信研究院王融 (主報告第六章����、 第八章),北京安理律師事務所王新銳(主報告第七章和副報告第七章)����,君合律師事務所董瀟(副報告第一章),中國人民大學法學院葛鑫(副報告第二章)�����,征信中心丁安平(副報告第三章)����,北京安理律師事務所朱宣燁(副報告第五章),中央民族大學朱蕓陽(副報告第六章)�����,中國人民大學法學院楊東��、中國人民銀行中關村支行夏楠和北京理工大學孟兆平亦有貢獻��。
同時,要特別感謝在中期評審會上���,全國人大財經委副主任委員吳曉靈���、中國工商銀行原行長楊凱生、中國人民銀行征信管理局局長萬存知對本課題的評審? 為本課題的進一步完善提供了有力的指導�。同時,在課題研究中�����,各界專家學者為我們提供了真知灼見���,主要有全國人大法工委楊合慶�����、最高人民法院姜強、中國人民銀行金融消費權益保護局孫天琦��、中國人民銀行條法司張念念�、工信部石玉春、中信銀行袁東寧�����、中國聯通范濟安、瑞銀中國彭彥杰等����。此外,中國金融四十人論壇秘書長王海明�����、馬冬冬等對課題的申請����、寫作、討論和評審都給予了很多關心和支持���,中國人民銀行征信中心前后兩任領導王曉明和王煜同志���,對課題研究給予了大力支持和指導,在此表示衷心的感謝���。
需要特別指出���,在課題的研究過程中���,我們雖然盡了最大的努力,盡可能全地搜集文獻���、報告����,與國內外相關領域的專家進行各種專題研討����、交流,但是由于當前信息科技快速發(fā)展�����,大數據時代個人信息處理和應用日新月異����,在汗牛充棟的個人信息保護研究中,本書只是一家之言��,受時間和能力限制�,疏漏和不足之處在所難免���。歡迎各位專家����、讀者批評指正,通過共同探討和多方交流�,使相關研究更加深入、成果更加豐碩��。
關于作者
