|
近年来,云计算、物联网、移动互联网等新技术新业务的快速发展,给现有的个人信息保护法律制度带来了新的挑战,各国修订、立法活动频繁。总体来看,表现为三大类型: 一是对现有的个人信息保护统一立法进行修订。主要代表是欧盟。欧盟1995年制定了《关于个人数据处理保护与自由流动指令(95/46/EC)》(简称1995年个人数据保护指令),该指令是欧盟区域内个人信息保护的基础性立法。欧盟各成员国依据该指令,分别出台了本国的个人信息保护法。然而日新月异的信息技术使得指令的主要原则及制度适用变得非常不确定,并导致欧盟各成员国对个人数据保护指令的理解与执行上出现了较大的差异。2012年1月25日,欧盟委员会发布了《有关“1995年个人数据保护指令”的立法建议》(简称《数据保护框架法规》草案),对1995年数据保护指令着手进行全面修订。 二是在已有的个人信息保护立法框架下,积极制定云计算、移动互联网等新业务的个人信息保护规则。2012年6月25日,法国个人信息保护机构——国家信息与自由委员会发布《云计算数据保护指南》,对云计算服务协议应当包含的因素和云计算的安全管理提出了建议。2012年2月,美国白宫发布《网络世界中的消费者数据隐私报告》,该报告提出要在全球数字经济发展过程中,构建保护隐私和促进创新的基本架构,并致力于推动《消费者隐私权利法案(草案)》的出台。同年6月,美国电信与信息管理局(NTIA)宣布要出台手持移动设备的数据保护执行准则。 三是继续完善现有的个人信息保护立法框架体系。2011年3月29日,韩国颁布《个人信息保护法》,废除了1999年《公共机关个人信息保护法》,新法适用范围涵盖公共与私人部门管理的所有个人数据信息。新加坡则在现有的公共机构个人信息保护法的基础上,于2012年10月继续补充出台了针对私营机构的个人信息保护法。 最新立法趋势 (一)信息主体的权利不断强化 近年来,已经制定个人信息保护法的国家或地区,正在根据新的形势和需要,对法律中原有的信息主体权利进行补充、扩展和完善,加强个人对其自身信息的控制和保护能力。 韩国2012年修订后的《信息通信网络的促进利用与信息保护法》增加了信息主体的遗忘权。该法要求:用户在一定期间未使用信息与通信服务的,服务提供商应完全删除其所使用的个人信息。欧盟《数据保护框架法规》增加了信息主体的“信息可携权”,即用户可以将个人信息从一个信息控制者处转移到另一信息控制者,信息控制者无权干涉信息主体的此项权利。信息可携权的出现不仅强化了用户对个人信息的管理、控制,更有利于用户充分实现对信息服务的选择权。 (二)信息控制者的责任更加明晰 在大力发展云计算业务的背景下,个人信息保护立法进一步明确了信息控制者及信息处理者的义务和责任。 第一,明确了负有个人信息保护义务的服务提供商范围。欧盟委员会《数据保护框架法规》要求:在信息安全和保护责任上,即使未与信息主体本人订立合同,只要实际处理了个人信息,信息控制者或处理者就有义务保护个人信息的安全。这一规定将云服务提供商纳入个人信息保护法规制。 第二,要求服务提供商设置个人信息保护专职岗位,在组织机构上加强企业的个人信息保护责任。韩国新修订的《信息通信网络的促进利用与信息保护法》增设“信息与通信服务提供商可任命企业高层管理人员担任首席隐私官员”,以加强企业内部对用户数据的管理。 第三,增加了服务提供商对侵权行为的通知义务,便于用户采取预防和减损措施。欧盟《数据保护框架法规》草案中引入了“侵权通知义务”,即:当服务提供商发现其所掌握和控制的个人信息遭受丢失、攻击、泄漏等侵害行为时,应当通知信息主体本人和相关的数据保护机构。韩国立法也增加了类似要求。 (三)位置信息纳入立法保护视野 随着移动互联网的发展,对个人位置信息的不当收集与滥用问题逐步凸显。苹果、谷歌等公司通过智能手机操作系统收集用户位置信息,用于建设其智能手机定位数据库,在很多国家引起了广泛关注。为此,一些国家已经开展了专门立法进行规范。2011年11月,日本总务省对《电信业个人信息保护条例》第26条“位置信息”进行了修订。新法对个人位置信息的收集、使用、提供给第三方的情形作出了详细规定。 启示 (一)加强个人信息保护立法已成为国际共识。 从近年来持续升温的立法活动看,个人信息保护立法的重要性得到不断提升。各国已深刻认识到:制定个人信息保护法不仅是保护公民个人权利的需要,更是提高信息资源利用率,保证本国信息自由流动,促进信息化发展,参与全球化竞争的战略需要。在此形势下,各国不仅出台国内的个人信息保护法,并且积极参与相关国际规则的制定,在国际舞台上推行符合本国利益诉求的个人信息保护与跨境流动的国际规则。 2012年12月28日,我国全国人大常委会通过《关于加强网络信息保护的决定》,标志着我国在个人信息保护立法领域的重大突破,但作为一部非常原则的法律文件,其主要意义在于国家以法律形式宣示对个人信息提供法律保护,对于个人信息保护的具体规则,还有赖于各行业、各部门针对实际情况制定。 (二)科学平衡保护个人权利与促进业务创新之间的矛盾 当前,互联网新技术新业务对个人信息保护带来前所未有的冲击,成为当前个人信息保护法立法的核心命题:一是云计算、移动互联网等新业务在提高了信息资源利用率的同时,也在不断加大个人信息受到侵害的风险;二是互联网创新对用户个人信息高度依赖,业务创新与个人信息保护的矛盾日趋紧张;三是云计算分布式存储等新技术特征,使得传统的个人信息保护法所确立的信息主体的权利难以实现;四是随着云计算、移动互联网的加速发展,跨境数据流动的管理问题日益突出。近年来各国个人信息保护立法正是围绕上述挑战与问题积极探求法律解决路径。 互联网新技术与业务的繁荣并不能以牺牲公民个人基本权利为代价,但如果对个人信息保护实施过于烦琐和严厉的行政管理及法律干预,也会使互联网企业不堪重负,阻碍技术创新。 (作者单位:工信部电信研究院政策与经济所) |
