[ 王融 ]——(2013-9-23) / 已閱8383次
近年來,云計算、物聯網、移動互聯網等新技術新業務的快速發展,給現有的個人信息保護法律制度帶來了新的挑戰,各國修訂、立法活動頻繁。總體來看,表現為三大類型:
一是對現有的個人信息保護統一立法進行修訂。主要代表是歐盟。歐盟1995年制定了《關于個人數據處理保護與自由流動指令(95/46/EC)》(簡稱1995年個人數據保護指令),該指令是歐盟區域內個人信息保護的基礎性立法。歐盟各成員國依據該指令,分別出臺了本國的個人信息保護法。然而日新月異的信息技術使得指令的主要原則及制度適用變得非常不確定,并導致歐盟各成員國對個人數據保護指令的理解與執行上出現了較大的差異。2012年1月25日,歐盟委員會發布了《有關“1995年個人數據保護指令”的立法建議》(簡稱《數據保護框架法規》草案),對1995年數據保護指令著手進行全面修訂。
二是在已有的個人信息保護立法框架下,積極制定云計算、移動互聯網等新業務的個人信息保護規則。2012年6月25日,法國個人信息保護機構——國家信息與自由委員會發布《云計算數據保護指南》,對云計算服務協議應當包含的因素和云計算的安全管理提出了建議。2012年2月,美國白宮發布《網絡世界中的消費者數據隱私報告》,該報告提出要在全球數字經濟發展過程中,構建保護隱私和促進創新的基本架構,并致力于推動《消費者隱私權利法案(草案)》的出臺。同年6月,美國電信與信息管理局(NTIA)宣布要出臺手持移動設備的數據保護執行準則。
三是繼續完善現有的個人信息保護立法框架體系。2011年3月29日,韓國頒布《個人信息保護法》,廢除了1999年《公共機關個人信息保護法》,新法適用范圍涵蓋公共與私人部門管理的所有個人數據信息。新加坡則在現有的公共機構個人信息保護法的基礎上,于2012年10月繼續補充出臺了針對私營機構的個人信息保護法。
最新立法趨勢
(一)信息主體的權利不斷強化
近年來,已經制定個人信息保護法的國家或地區,正在根據新的形勢和需要,對法律中原有的信息主體權利進行補充、擴展和完善,加強個人對其自身信息的控制和保護能力。
韓國2012年修訂后的《信息通信網絡的促進利用與信息保護法》增加了信息主體的遺忘權。該法要求:用戶在一定期間未使用信息與通信服務的,服務提供商應完全刪除其所使用的個人信息。歐盟《數據保護框架法規》增加了信息主體的“信息可攜權”,即用戶可以將個人信息從一個信息控制者處轉移到另一信息控制者,信息控制者無權干涉信息主體的此項權利。信息可攜權的出現不僅強化了用戶對個人信息的管理、控制,更有利于用戶充分實現對信息服務的選擇權。
(二)信息控制者的責任更加明晰
在大力發展云計算業務的背景下,個人信息保護立法進一步明確了信息控制者及信息處理者的義務和責任。
第一,明確了負有個人信息保護義務的服務提供商范圍。歐盟委員會《數據保護框架法規》要求:在信息安全和保護責任上,即使未與信息主體本人訂立合同,只要實際處理了個人信息,信息控制者或處理者就有義務保護個人信息的安全。這一規定將云服務提供商納入個人信息保護法規制。
第二,要求服務提供商設置個人信息保護專職崗位,在組織機構上加強企業的個人信息保護責任。韓國新修訂的《信息通信網絡的促進利用與信息保護法》增設“信息與通信服務提供商可任命企業高層管理人員擔任首席隱私官員”,以加強企業內部對用戶數據的管理。
第三,增加了服務提供商對侵權行為的通知義務,便于用戶采取預防和減損措施。歐盟《數據保護框架法規》草案中引入了“侵權通知義務”,即:當服務提供商發現其所掌握和控制的個人信息遭受丟失、攻擊、泄漏等侵害行為時,應當通知信息主體本人和相關的數據保護機構。韓國立法也增加了類似要求。
(三)位置信息納入立法保護視野
隨著移動互聯網的發展,對個人位置信息的不當收集與濫用問題逐步凸顯。蘋果、谷歌等公司通過智能手機操作系統收集用戶位置信息,用于建設其智能手機定位數據庫,在很多國家引起了廣泛關注。為此,一些國家已經開展了專門立法進行規范。2011年11月,日本總務省對《電信業個人信息保護條例》第26條“位置信息”進行了修訂。新法對個人位置信息的收集、使用、提供給第三方的情形作出了詳細規定。
啟示
(一)加強個人信息保護立法已成為國際共識。
從近年來持續升溫的立法活動看,個人信息保護立法的重要性得到不斷提升。各國已深刻認識到:制定個人信息保護法不僅是保護公民個人權利的需要,更是提高信息資源利用率,保證本國信息自由流動,促進信息化發展,參與全球化競爭的戰略需要。在此形勢下,各國不僅出臺國內的個人信息保護法,并且積極參與相關國際規則的制定,在國際舞臺上推行符合本國利益訴求的個人信息保護與跨境流動的國際規則。
2012年12月28日,我國全國人大常委會通過《關于加強網絡信息保護的決定》,標志著我國在個人信息保護立法領域的重大突破,但作為一部非常原則的法律文件,其主要意義在于國家以法律形式宣示對個人信息提供法律保護,對于個人信息保護的具體規則,還有賴于各行業、各部門針對實際情況制定。
(二)科學平衡保護個人權利與促進業務創新之間的矛盾
當前,互聯網新技術新業務對個人信息保護帶來前所未有的沖擊,成為當前個人信息保護法立法的核心命題:一是云計算、移動互聯網等新業務在提高了信息資源利用率的同時,也在不斷加大個人信息受到侵害的風險;二是互聯網創新對用戶個人信息高度依賴,業務創新與個人信息保護的矛盾日趨緊張;三是云計算分布式存儲等新技術特征,使得傳統的個人信息保護法所確立的信息主體的權利難以實現;四是隨著云計算、移動互聯網的加速發展,跨境數據流動的管理問題日益突出。近年來各國個人信息保護立法正是圍繞上述挑戰與問題積極探求法律解決路徑。
互聯網新技術與業務的繁榮并不能以犧牲公民個人基本權利為代價,但如果對個人信息保護實施過于煩瑣和嚴厲的行政管理及法律干預,也會使互聯網企業不堪重負,阻礙技術創新。
(作者單位:工信部電信研究院政策與經濟所)
