征信宝官网
国际个人信息保护立法最新动向与趋势
来源:《中国征信》杂志2015年第3期 作者: 王融 感谢原创
当前,互联网新技术新业务正前所未有地改变着个人信息的收集和使用方式,对现有的个人信息保护制度带来巨大挑战。激进的观点认为,当前的网络环境下,隐私已经消亡,个人信息保护政策已到了退出历史舞台的时刻。然而从各国政策实践而看,个人信息保护政策非但没有消亡,其重要性反而得到提升。正如2013年世界经济论坛所指出:当前的个人信息保护政策受到了技术发展的极大冲击,但其存在的必要性和重要性丝毫没有减弱,当务之急是应对挑战,对现有政策加以完善。在此形势下,欧美等发达国家个人信息保护立法持续升温,推动着个人信息保护政策的不断完善。
欧委会推动欧盟个人数据保护立法重大改革
2012年1月25日,欧委会出台了《有关“涉及个人数据的处理及自由流动的个人数据保护指令(简称1995年数据保护指令)”的立法建议》,提出了个人数据保护立法一揽子改革计划。2013年6月,在“棱镜”事件曝光后,原本富有争议的欧盟个人数据保护立法改革进程大为加快。力倡立法改革的欧盟委员会主席雷丁表示:棱镜事件为欧洲人敲响了警钟。包括德国总理默克尔在内多位成员国首脑表示支持立法改革。2013年10月21日,欧洲议会公民自由委员会以绝对多数票通过立法提案。欧盟改革立法中引入的更为严格的数据保护制度让美国公司深感焦虑。新的立法规定:对于违反数据保护法律规定的行为,处罚将提升到公司全球年度收入的2%;超过250人的企业应设立“数据保护负责人”;明确引入“遗忘权”——当用户提出需求时,企业必须删除由其保存的个人数据。这些更为严格的制度将对美国互联网企业带来重大影响。美国互联网巨头,包括谷歌、亚马逊、脸书在内对此极为重视,派出游说人员在布鲁塞尔进行游说。欧洲议会目前已收到4400多份相关修正案意见,为欧盟立法中修正案中最多,而其中大部分出自于美国互联网企业的游说建议,这在欧盟立法史上也属罕见。
个人信息保护法的具体解释和执行规则进一步完善
依托个人信息保护基本立法,结合行业应用实践出台更富有操作性的具体执行规则成为各国普遍做法。2013年9月,新加坡个人数据保护委员会发布了《个人数据保护法关键概念咨询指南》和《个人数据保护法指定主题咨询指南》,在指南中进一步明确了“个人数据”的含义,法律的适用范围、企业获得同意的方式以及应当采取的技术安全措施。对于实践中最令企业困惑的相关问题,如网络之间互联协议(IP)地址是否属于个人信息、存储在用户本地终端上的数据信息(cookie)是否应当适用个人信息保护法等作出了明晰的回答,为企业提供了更为明确的行为指南。澳大利亚于2012年11月29日通过了对1988年《隐私法》的修正案,进一步明晰了隐私保护的原则和具体方针。在欧盟,2013年6月,欧委会制定了有关数据泄露通知制度的具体执行规则,明确了电信运营商以及互联网服务提供商在其用户个人数据丢失、被盗以及以其他方式泄露后,应当采取哪些措施才被认为充分履行了数据泄露通知义务。
针对特定业务的个人信息保护规则逐步建立
各国在已有的个人信息保护立法框架下,积极制定针对云计算、移动应用商店等新业务的个人信息保护规则。法国早在1978年制定了《信息、档案与自由法》,对个人信息保护制度作出了系统规定。2012年6月25日,法国个人信息保护机构——国家信息与自由委员会发布《云计算数据保护指南》,对云计算服务协议应当包含的因素和云计算的安全管理提出全面建议。日本也已制定了《个人信息保护法》、《行政机关所持有之个人信息保护法》、《独立行政法人等所持有之个人信息保护法》、《信息公开与个人信息保护审查会设置法》等多部个人信息保护核心法律。2011年4月,日本政府出台《云服务信息安全管理指南》,对云客户和云服务提供商在个人信息保护方面应当注意的事项做出了规定。同年8月,日本总务省发布了《智能手机用户信息处理措施”(草案)》,从保护智能手机用户个人隐私的角度,规定了智能手机用户信息保护措施。韩国由于意识到云计算对电子商务、电子政务、娱乐、教育、卫生等领域的发展提供极大的支持和便利,以及现有法律的滞后性,2012年6月韩国通信委员会(KCC)着手起草,并于7月10日立法预告了《云计算发展与用户保护法》(提案),以进一步明晰云计算业务中的个人信息保护规则,促进云计算产业的发展和对用户信息和数据进行保护。
儿童等特殊敏感信息受到更为严格的法律保护
个人信息保护立法通常将个人信息区分为敏感信息和一般信息,并对前者采取更为严格的保护制度。美国联邦。2013年7月1日,美国联邦贸易委员会(FTC)修订后的“《儿童在线隐私保护法案》(COPPA)规则”正式施行。此次规则修订的目标是确保父母能够全方位参与到儿童的在线活动过程中,并且能够对任何人收集儿童信息的行为有所知晓,同时,保护网络创新,保障互联网上能够提供越来越多的在线内容供儿童使用。规则要求:在儿童父母未知、未获得其同意的情况下,对于那些专门针对儿童的应用软件和网址,不允许第三方通过加入插件(plug-ins)来获得儿童信息。2013年9月23日,美国加州通过州《商业和专业条例》,明确18岁以下未成年有权要求网络服务提供商删除个人信息。澳大利亚修订后的《隐私权法》明确了对于敏感信息的收集和处理必须获得数据主体的明确同意,并对个人健康医疗信息以及基因信息的收集和使用制定了更为具体的规范。2012年7月25日英国司法部发布了《2012数据保护(敏感个人数据)法令》,明确了按照1998数据保护法处理敏感个人数据的情况。
数据泄露通知制度被更广泛地引入个人信息保护立法
数据泄露通知制度是指在用户个人数据丢失、被盗以及以其他方式泄露后,数据控制者应当及时通知主管机构及当事用户。该制度为美国隐私保护立法首创,但近两年来被各国广泛采纳。欧盟2011年修订通过的《电子通信行业隐私保护指令》引入了该项制度,2013年欧委会制定了数据泄露通知制度的具体执行规则,并将其上升为条例层级,这意味着该制度将直接在欧盟28个成员国得到适用。欧盟的数据泄露通知制度与美国相比更为严格,它要求在发现泄露事件的24小时内,应当通知主管机构。如果在24小时之内不可能完成披露,则应当在24时效之内提供一份初始的信息,其后在三天内补充其他信息。2013年5月29日,澳大利亚司法部向国会提交了隐私法(隐私警告)的修正草案。作为对2012年隐私法修正案的再次修正,此草案对强制通知制度(Mandatory Notification)进行了要求,要求信息管理者在发生严重的数据泄露时,必须及时通知澳大利亚信息委员会以及受影响用户。
信息跨境流动规则进一步明晰
社交网络、云计算等跨越国界的互联网应用推动着数据跨境流动急速膨胀,各国个人信息保护立法对信息跨境流动规则作出更多回应。2013年欧盟个人数据保护立法中将简化欧盟委员会对其他国家个人信息保护立法水平的评估程序;简化和明确用于指导企业实施个人信息跨境流动的标准合同和有约束力的公司规则。此外,为应对“棱镜事件”中美国互联网公司将欧盟公民个人信息跨境提供给美国情报机构的做法,欧盟在新立法中规定:如果美国政府要求雅虎、谷歌等美国公司提供位于欧盟境内的欧盟公民的个人数据,美国公司应当首先获得欧盟主管机构的许可。2013年新加坡正式实施的《个人资料保护法》明确规定机构不得将个人数据转移至境外除非依据本法的相关要求,确保机构能够提供符合本法要求的个人数据保护水平。但个人资料保护委员会可以通过发布书面通知,豁免相关机构遵守前述义务。澳大利亚新修订的《隐私保护法》中对于数据跨境转移问题给予了更多的关注,专门针对跨国个人信息转移问题作出了详细规定,要求数据的海外接收者应海外接受者收到法律或相关计划的约束等。
欧委会推动欧盟个人数据保护立法重大改革
2012年1月25日,欧委会出台了《有关“涉及个人数据的处理及自由流动的个人数据保护指令(简称1995年数据保护指令)”的立法建议》,提出了个人数据保护立法一揽子改革计划。2013年6月,在“棱镜”事件曝光后,原本富有争议的欧盟个人数据保护立法改革进程大为加快。力倡立法改革的欧盟委员会主席雷丁表示:棱镜事件为欧洲人敲响了警钟。包括德国总理默克尔在内多位成员国首脑表示支持立法改革。2013年10月21日,欧洲议会公民自由委员会以绝对多数票通过立法提案。欧盟改革立法中引入的更为严格的数据保护制度让美国公司深感焦虑。新的立法规定:对于违反数据保护法律规定的行为,处罚将提升到公司全球年度收入的2%;超过250人的企业应设立“数据保护负责人”;明确引入“遗忘权”——当用户提出需求时,企业必须删除由其保存的个人数据。这些更为严格的制度将对美国互联网企业带来重大影响。美国互联网巨头,包括谷歌、亚马逊、脸书在内对此极为重视,派出游说人员在布鲁塞尔进行游说。欧洲议会目前已收到4400多份相关修正案意见,为欧盟立法中修正案中最多,而其中大部分出自于美国互联网企业的游说建议,这在欧盟立法史上也属罕见。
个人信息保护法的具体解释和执行规则进一步完善
依托个人信息保护基本立法,结合行业应用实践出台更富有操作性的具体执行规则成为各国普遍做法。2013年9月,新加坡个人数据保护委员会发布了《个人数据保护法关键概念咨询指南》和《个人数据保护法指定主题咨询指南》,在指南中进一步明确了“个人数据”的含义,法律的适用范围、企业获得同意的方式以及应当采取的技术安全措施。对于实践中最令企业困惑的相关问题,如网络之间互联协议(IP)地址是否属于个人信息、存储在用户本地终端上的数据信息(cookie)是否应当适用个人信息保护法等作出了明晰的回答,为企业提供了更为明确的行为指南。澳大利亚于2012年11月29日通过了对1988年《隐私法》的修正案,进一步明晰了隐私保护的原则和具体方针。在欧盟,2013年6月,欧委会制定了有关数据泄露通知制度的具体执行规则,明确了电信运营商以及互联网服务提供商在其用户个人数据丢失、被盗以及以其他方式泄露后,应当采取哪些措施才被认为充分履行了数据泄露通知义务。
针对特定业务的个人信息保护规则逐步建立
各国在已有的个人信息保护立法框架下,积极制定针对云计算、移动应用商店等新业务的个人信息保护规则。法国早在1978年制定了《信息、档案与自由法》,对个人信息保护制度作出了系统规定。2012年6月25日,法国个人信息保护机构——国家信息与自由委员会发布《云计算数据保护指南》,对云计算服务协议应当包含的因素和云计算的安全管理提出全面建议。日本也已制定了《个人信息保护法》、《行政机关所持有之个人信息保护法》、《独立行政法人等所持有之个人信息保护法》、《信息公开与个人信息保护审查会设置法》等多部个人信息保护核心法律。2011年4月,日本政府出台《云服务信息安全管理指南》,对云客户和云服务提供商在个人信息保护方面应当注意的事项做出了规定。同年8月,日本总务省发布了《智能手机用户信息处理措施”(草案)》,从保护智能手机用户个人隐私的角度,规定了智能手机用户信息保护措施。韩国由于意识到云计算对电子商务、电子政务、娱乐、教育、卫生等领域的发展提供极大的支持和便利,以及现有法律的滞后性,2012年6月韩国通信委员会(KCC)着手起草,并于7月10日立法预告了《云计算发展与用户保护法》(提案),以进一步明晰云计算业务中的个人信息保护规则,促进云计算产业的发展和对用户信息和数据进行保护。
儿童等特殊敏感信息受到更为严格的法律保护
个人信息保护立法通常将个人信息区分为敏感信息和一般信息,并对前者采取更为严格的保护制度。美国联邦。2013年7月1日,美国联邦贸易委员会(FTC)修订后的“《儿童在线隐私保护法案》(COPPA)规则”正式施行。此次规则修订的目标是确保父母能够全方位参与到儿童的在线活动过程中,并且能够对任何人收集儿童信息的行为有所知晓,同时,保护网络创新,保障互联网上能够提供越来越多的在线内容供儿童使用。规则要求:在儿童父母未知、未获得其同意的情况下,对于那些专门针对儿童的应用软件和网址,不允许第三方通过加入插件(plug-ins)来获得儿童信息。2013年9月23日,美国加州通过州《商业和专业条例》,明确18岁以下未成年有权要求网络服务提供商删除个人信息。澳大利亚修订后的《隐私权法》明确了对于敏感信息的收集和处理必须获得数据主体的明确同意,并对个人健康医疗信息以及基因信息的收集和使用制定了更为具体的规范。2012年7月25日英国司法部发布了《2012数据保护(敏感个人数据)法令》,明确了按照1998数据保护法处理敏感个人数据的情况。
数据泄露通知制度被更广泛地引入个人信息保护立法
数据泄露通知制度是指在用户个人数据丢失、被盗以及以其他方式泄露后,数据控制者应当及时通知主管机构及当事用户。该制度为美国隐私保护立法首创,但近两年来被各国广泛采纳。欧盟2011年修订通过的《电子通信行业隐私保护指令》引入了该项制度,2013年欧委会制定了数据泄露通知制度的具体执行规则,并将其上升为条例层级,这意味着该制度将直接在欧盟28个成员国得到适用。欧盟的数据泄露通知制度与美国相比更为严格,它要求在发现泄露事件的24小时内,应当通知主管机构。如果在24小时之内不可能完成披露,则应当在24时效之内提供一份初始的信息,其后在三天内补充其他信息。2013年5月29日,澳大利亚司法部向国会提交了隐私法(隐私警告)的修正草案。作为对2012年隐私法修正案的再次修正,此草案对强制通知制度(Mandatory Notification)进行了要求,要求信息管理者在发生严重的数据泄露时,必须及时通知澳大利亚信息委员会以及受影响用户。
信息跨境流动规则进一步明晰
社交网络、云计算等跨越国界的互联网应用推动着数据跨境流动急速膨胀,各国个人信息保护立法对信息跨境流动规则作出更多回应。2013年欧盟个人数据保护立法中将简化欧盟委员会对其他国家个人信息保护立法水平的评估程序;简化和明确用于指导企业实施个人信息跨境流动的标准合同和有约束力的公司规则。此外,为应对“棱镜事件”中美国互联网公司将欧盟公民个人信息跨境提供给美国情报机构的做法,欧盟在新立法中规定:如果美国政府要求雅虎、谷歌等美国公司提供位于欧盟境内的欧盟公民的个人数据,美国公司应当首先获得欧盟主管机构的许可。2013年新加坡正式实施的《个人资料保护法》明确规定机构不得将个人数据转移至境外除非依据本法的相关要求,确保机构能够提供符合本法要求的个人数据保护水平。但个人资料保护委员会可以通过发布书面通知,豁免相关机构遵守前述义务。澳大利亚新修订的《隐私保护法》中对于数据跨境转移问题给予了更多的关注,专门针对跨国个人信息转移问题作出了详细规定,要求数据的海外接收者应海外接受者收到法律或相关计划的约束等。
征信宝(zhengxinbao.com) 微信号 ixinyong ,关于一切信用和信用的一切.
