歐美國家關於個人資訊保護的立法實踐
【編者按】華住酒店資料洩露事件引發的公眾熱議逐漸在網上淡去,這很大程度上是因為我國在立法層面問責和監管缺位。在當前個人資訊洩露頻繁、大資料頂層設計不到位和第三方監管缺乏的背景下,在個人資訊保護方面,歐美國家的立法實踐可以為我們提供一些啟示。
歐美國家關於個人資訊保護的立法實踐
上海戎磐網路科技有限公司資訊長
Slimming Panda
“很好與優秀只差一點點距離,這段距離叫安全”。8 月 28 日,華住集團被曝大量使用者資料遭洩露,疑似近 5 億條開房記錄被拖庫。華住集團雖在8 月 28 日即通過官方微博宣告表示已經報警並且聘請專業技術公司核查此事,但兩週多時間過去了,華住方面仍無更新事件進展,而資料洩露引發的公眾熱議也逐漸在網上淡去。這很大程度上是因為我國在立法層面問責和監管缺位,受害者或是基於無力應對,或是應對無效後不得不接受現狀,一般會選擇“自認倒黴”。9 月 4 日,在2018 年網際網路安全大會上,一些專家呼籲,對個人資訊保安的關注和討論不該停止。
一、國內現狀
根據全國人大網 10 日公佈的《十三屆全國人大常委會立法規劃》檔案顯示,共有 69 件法律草案列入第一類專案,即條件比較成熟、任期內擬提請審議。其中,個人資訊保護法是第 61個專案,這意味著個人資訊保護將迎來專門立法。
另一則激動人心的訊息是,今年9月 17 日,阿里巴巴等 12 家大資料企業在杭州簽署《個人資訊保護倡議書》,承諾保障使用者資訊控制權益。倡議書提出,公開透明處理使用者資訊;用通俗易懂的語言、簡單直觀的方式,向用戶明示個人資訊處理目的、方式、範圍、規則等;一旦發生重大個人資訊洩露事件及時告知使用者;不使用“一攬子協議”的方式強迫使用者打包授權對個人資訊的收集,為使用者提供個人資訊申訴渠道、登出賬戶或關閉的途徑;建立可訪問、更正、刪除其個人資訊處理機制;不超範圍和約定,收集、儲存、使用、共享個人資訊;在個人資訊處理活動時,對使用者合法權益造成的損害依法承擔責任。
因此來說,在當前個人資訊洩露頻繁、大資料頂層設計不到位和第三方監管缺乏的背景下,我國在國家立法和行業軟法規範方面事實上已經邁出了重要步伐。事實上,在中國的法律體系中,並不缺乏關於個人資訊保護的相關立法。2012 年全國人大常委會制定的《關於加強網路資訊保護的決定》,2016 年的《網路安全法》,2017年的《民法總則》,都有涉及個人資訊保護的法律規則。在司法解釋的層面上,則有最高人民法院與最高人民檢察院在 2017 年聯合釋出的《關於辦理侵犯公民個人資訊刑事案件適用法律若干問題的解釋》。剛剛經過第三次審議的《電子商務法(草案)》,以及已經進入徵求意見階段的《民法典人格權編(草案)》也都有專門涉及個人資訊保護的條文。在其他社會規範的層面上,國家標準委員會在 2017 年正式釋出了《資訊保安技術以及個人資訊保安規範》的國家標準。但目前存在的問題是,我國既有的個人資訊保護立法存在嚴重的碎片化,同時缺乏實際的可操作性。雖然看上去很多立法都涉及個人資訊保護,但往往流於原則宣示,或侷限於針對某一特定領域或方面的問題作出規定。由此導致規則之間的不協調,違反規則的責任主體、責任形態含糊不清。亟需國家層面的資料保護法律框架以及配套的資訊保安激勵和問責機制。
二、歐美國家主要做法
在個人資訊保護方面,歐美國家可以為我們提供很多啟示與借鑑。
以美國為例, 美國的策略較為靈活,主要採取行業自律模式, 即由公司或行業內部制定行業的行為規章或最佳實踐指南,為行業的隱私保護提供示範和標杆。相對於個人資訊保護立法,行業自律模式是一種相對寬鬆、尊重企業自我選擇的一種保護模式。其弊端也是顯而易見的,如缺乏統一自律標準,對個人資訊保護參差不齊;執行機制不夠完善,缺乏有效監督等。不過,美國也以分散立法的形式對該模式予以補充,如《聯邦貿易委員會法》(15 U.S.C. §§41-58)(FTC Act) 是 一 部聯邦消費者保護法案,禁止不公平或欺騙性做法,適用於線下和線上的隱私和資料安全。《消費者網上隱私法》、《兒童網上隱私保護法》、《電子通訊隱私法案》、《計算機欺詐和濫用法》、《金融服務現代化法》(GLB)、《健康保險流通與責任法》(HIPAA)、《公平信用報告法》等行業立法也為特定行業的隱私保護或特定型別的敏感資訊保護提供了法律依據。除此之外,截至 2018 年 3 月28 日,美國所有 50 個州、哥倫比亞特區、關島、波多黎各和維爾京群島均頒佈了《資料洩露通知法》,要求私人或政府實體及時向受影響客戶通報涉及個人資訊洩露的有關事件。此外,在法律救濟方面,除美國聯邦及州級政府提起訴訟外,公司還面臨使用者及投資人提起民事訴訟的風險,以期尋求民事救濟,指控公司違約、疏忽及欺詐。2017 年 6月,美國最大保險公司 Anthem Inc. 在發生8000 萬客戶個人資料洩露事件後,就曾簽署過一份 1.15 億美元的和解協議,同意向每位原告支付 235 美元的賠償,而遭受最大傷害的訴訟集體將獲得高達 10000 美元的賠償。加利福尼亞州在法律實踐方面一直走在美國各州的前面,該州於今年 6月 28 日頒發了一項備受關注的資料隱私法案——“AB 375”法案,直接為集體訴訟開綠燈,同時對“個人資訊”進行了更為廣泛的定義,將“生物識別資訊”、網際網路瀏覽歷史記錄和購買歷史記錄均納入個人資訊保護範疇。
同時, 美國目前的立法也是存在條塊分割、相互交叉甚至是矛盾等問題,缺乏全面性的綜合隱私法。 在數月前曝出的臉書和劍橋資料分析公司醜聞之後,特朗普總統的特別助理蓋爾·斯萊特與資訊科技行業委員會的執行長們會面,討論聯邦層面網路資料隱私法規的雛形。國會議員也呼籲制定新的法律法規,加強美國資料隱私保護體系,並可能借鑑歐盟的《通用資料保護條例》(GDPR)。
歐洲方面,歐盟在個人資訊保護方面要嚴格得多,它對網際網路環境下個人資訊的隱私權保護算得上是世界上最為全面和嚴格的。歐盟保護模式是由國家主導的立法模式。國家通過立法的形式,明確保證個人資訊保安的各項基本原則和具體的法律規定等。而剛生效不久的歐盟《通用資料保護條例》(GDPR),更是被媒體認為是大資料監管新時代的標誌。該法案對資料洩露的定義較為寬泛,包括“違反安全規定導致所傳輸、儲存或以其他方式處理的個人資料遭受意外或非法毀壞、丟失、篡改、未經授權披露或訪問”。因此,資料洩露的定義不限於黑客訪問 IT 系統,還包括智慧手機、筆記本電腦 或 U 盤丟失或被盜、惡意軟體感染和資料丟失(如資料被意外刪除且沒有備份可用)。法案還規定了資料控制者和資料處理者在洩露事件中的義務,如通知監管機構和資料主體,記錄包括與資料洩露相關的事實、資料洩露的影響以及所採取的任何補救措施等的所有有關資料洩露的情況。其懲罰措施也是全球最嚴格的,“不遵守上述通知義務可能面臨高達一千萬歐元或相當於全球年營業總額百分之二的罰款(以其中較高者為準)。不遵守監管機構的命令可能會面臨高達兩千萬歐元或相當於全球年營業總額百分之四的罰款(以較高者為準)。”
三、幾點啟示
一是資料保護不僅是數字時代企業社會責任的一部分,對於收集、使用或共享個人資訊或其他潛在敏感消費者資料的任何組織而言,資料保護既是一種風險管理,也應是最基本的合規性功能。就公司而言,可將其視為“資訊受託人”,用對個人資訊的保護責任,換取法律的確定性和安全港保護。(“安全港規則”,即有限合夥企業中的有限合夥人(LP)的行為如果被認定為對合夥 企 業的控制性行為,則該 LP 就可能與普通合夥人(GP)一樣,對合夥企業的對外債務承擔無限連帶責任。作為有限合夥企業的一項基本法律制度,安 全港規則是通過對 LP 不參與合夥事務為隔離條件,而賦予其有限責任保護的一種價值平衡安排。)
二是在國家立法方面,可參考歐盟的 GDPR,出臺全面的個人資料隱私保護框架,對個人資訊的定義要結合大資料發展趨勢進行重新定義,法律的約束和監管物件應該是所有機構,包括政府部門,而不只是企業。
三是立法的效果主要取決於 2 個方面:一是自下而上的民意倒逼,對立法具有重要推動作用。個人維權意識提升、企業通過行業軟法踐行“社會責任感”,形成巨大的“民意”氛圍,可以推動國家立法,使得法律更有活力和生命力; 二是可供選擇的法律救濟措施, 如通過集體訴訟尋求補償,使公司承擔責任,幫助公司成為負責任的個人資訊管理者。同時,應建立以行政救濟為主,民事救濟、刑事救濟相結合的多途徑救濟機制,全面保障個人資訊主體的權利。
四是個人資訊保護立法應有配套的資訊保安激勵機制,不能僅僅是“亡羊補牢”式的事件應急處置,而應向事件預防傾斜。應鼓勵公司升級管理模式,做好完整可靠的資料安全措施。
五是對於個人資訊保護議題的討論,無疑是一個法律問題,同時也是一個技術問題。所以,我們不僅要進行法學思考,而且要進行技術方面的思考。如何實現技術規律、技術程式與法治規律和法律程式的有效連線,是我們需要面臨和思考的新問題。
本文刊登於《網信軍民融合》雜誌2018年10月刊
宣告:本文來自網信軍民融合,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。