前言
隨著我國信息化建設的不斷推進和互聯網應用的日趨普及,在推動社會發展和技術變革的同時,也為企業和個人信息保護帶來了新的挑戰。特別是近些年,個人信息在被各類主體挖掘和利用的同時,因個人信息泄露所引發的侵權、欺詐等信息犯罪行為日益嚴重,已為全社會造成了巨大損失,嚴重影響了社會安定。
對此,國家陸續頒布、實施了一系列法律、規范。特別是將于2017年6月1日正式實施的《中華人民共和國網絡安全法》,強調了中國境內網絡運營者對所收集到的個人信息所應承擔的保護責任和違規處罰措施。
相較國內而言,歐美、日本和香港地區個人信息與隱私保護立法、實踐較為完善,內容較為全面,特別是美國相關的立法原則成為了全球大多數國家、地區和國際組織個人信息與隱私保護法律、規則的參考原則。盡管我國已制定或修訂了包含個人信息保護的多項法律、法規及行業規范,但是,專項個人信息保護法律制定的重要性和緊迫性仍不言而喻。因此,我們應立足國情,從實際情況出發,學習和借鑒國外及港澳臺地區立法與實踐經驗,制定符合自身發展需要的個人信息保護法律,完善法律體系。
關鍵發現
√ 國際個人信息與隱私保護典型的法律模式以歐盟、美國和日本為代表。歐盟采用統一立法模式,通過制定綜合性的個人信息保護法律對個人信息全生命周期進行管理;美國采用分散立法和行業自律相結合的模式,對個人隱私保護進行分散立法;日本則以專項保護法律為核心,同其他法律共同構成個人隱私保護法律體系。
√ 國際通行的個人信息保護原則以美國《公平信息實踐》(FIPs)為參考,最終形成公開性原則、限制性原則、數據質量原則、責任與安全原則和個人信息權利保護原則等五大原則。
√國內對于個人信息保護的法律目前由具體的法律、行政法規、地方性法規和規章、各類規范性文件和部門規章等共同組成,形成多層次、多領域、內容分散、體系龐雜的個人信息保護模式,但尚未制定專項的《個人信息保護法》,立法工作進程有待快速推進。
√ 個人信息在網絡日趨普及、云計算和大數據背景之下,特別是由于信息安全技術漏洞的出現和管理不當造成個人信息泄露和非法使用,個人信息犯罪案件頻發。
引言
在當前信息社會,個人信息已成為一種重要的社會資源。隨著數字時代的到來,數字化信息處理日趨普遍。對于個人信息處理而言,人們在享受數字化所帶來的諸多便利同時,也面臨著由個人信息數字化所帶來的風險。特別云計算、大數據等高新技術的發展,如何保護個人信息已成為現代社會所面臨的挑戰,并成為一個全球性的法律問題。因此,個人信息保護立法工作成為各國的主要立法運動之一對于引導公民權利意識,規范政府和社會行為,明確不法侵害,保護個人權益都具有重要意義和作用。
一、個人信息與隱私的關系
1. 個人信息的概念與分類
1.1 個人信息的概念
個人信息是指與特定個人相關聯的、反映個體特征的具有可識別性的符號系統,包括個人身份、工作、家庭、財產、健康等各方面的信息。
從各國立法看,學界目前比較一致的看法是,個人信息的概念始于1968年聯合國“國際人權會議”中提出的“資料保護”。
目前,世界各國立法主要使用三種概念:個人數據、個人隱私與個人信息。以“個人數據”稱謂的主要以歐盟成員國及受其影響較大的國家,如1978年法國《資料保護法》、挪威《資料登錄法》和2016 年歐盟新通過的數據保護法案《通用數據保護指令》(General Data Protection Regulation,GDPR);以“個人隱私”稱謂的主要有普通法國家,如1974年美國《隱私權法》、1987年加拿大《隱私權法》和1988年澳大利亞《隱私權法》;使用“個人信息”概念的,如1978年奧地利《信息保護法》、1999年韓國《公共機構之個人信息保護法》,以及1999年俄羅斯《俄羅斯聯邦信息、信息化和信息保護法》等;也有將個人信息與個人數據共同使用的國家,如日本2005年4實施的《個人信息保護法》,而1980年9月由經濟合作與發展組織(OECD)理事會通過的《關于隱私保護與個人數據跨國流通指南》則同時使用了“隱私”和“個人數據”兩種概念,2010 年 4 月 27 日,我國臺灣地區出臺的《個人資料保護法》則用“個人資料”來定義個人信息,我國香港地區實施的《個人資料(隱私)條例》,則以資料、隱私來概括個人信息。
由我國社會科學院法學研究所周漢華研究員牽頭負責的個人數據保護法研究課題組所起草的《中華人民共和國個人信息保護法(專家建議稿)》以及由廣西大學法學院齊愛民教授所擬定的《中華人民共和國個人信息保護法示范草案學者建議稿》所使用的概念均為“個人信息”。
國內學界有觀點認為“個人信息”是指一切可以識別本人的信息的總和,也有觀點認為個人信息包括所有與個人有關的信息,具體包括:身體物理特征;感情、思想與觀點;經濟與財產狀況;生活方式;身份信息;家庭與社會關系;職業經歷、簡歷和個人檔案資料;健康狀況與病歷;個人通信、日記和其他私人文件;其他所有純屬私人內容的個人數據資料。還有觀點認為個人信息則是指那些能夠據此直接或間接識別出特定自然人身份的信息,在現實生活中它往往需要通過諸如姓名、肖像、聲音(聲紋)、指紋、基因編碼、身份證號碼、各種與特定主體身份緊密相關的通信號碼等各種符號、標識和載體而表現出來。
總體而言,個人信息涵蓋內容非常廣泛。
依據《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第一條規定,“刑法第二百五十三條之一規定的‘公民個人信息’,是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息,包括姓名、身份證件號碼、通信通訊聯系方式、住址、賬號密碼、財產狀況、行蹤軌跡等。”
1.2 個人信息的分類
根據不同的標準,個人信息可以劃分為不同的類別:
以能否直接識別本人為標準,個人信息可以分為直接個人信息和間接個人信息。直接個人信息,是指可以單獨識別本人的個人信息,如身份證號碼、基因等;間接個人信息,是指不能單獨識別本人,但和其他信息結合可以識別本人的個人信息。
以個人信息是否涉及個人隱私為標準,個人信息可以分為敏感個人信息和瑣細個人信息(trivial data)。敏感個人信息,是涉及個人隱私的信息。根據英國1998年《資料保護條例》的規定,敏感個人信息是“由資料客體的種族或道德起源,政治觀點,宗教信仰或與此類似的其他信仰,工會所屬關系,生理或心理狀況,性生活代理或宣稱的代理關系,或與此有關的訴訟等諸如此類的信息組成的個人資料”。瑣細個人信息是指不涉及個人隱私的信息。根據瑞典《資料法》的規定,瑣細信息是指“很明顯的沒有導致被記錄者的隱私權受到不當侵害的資料”。這點同我國《信息安全技術 公共及商用服務信息系統 個人信息保護指南》中對于個人信息的劃分基本一致,即分為個人敏感信息和個人一般信息。
以個人信息的處理技術為標準,可以將個人信息劃分為電腦處理個人信息與非電腦處理個人信息。
以個人信息是否公開為標準,可以分為公開個人信息和隱秘個人信息。公開個人信息,是指通過特定、合法的途徑可以了解和掌握的個人信息。隱秘個人信息和公開個人信息對應,是指不公開的個人信息。這種分類的法律意義在于,公開個人信息無論是否屬于敏感個人信息,都已經喪失了隱私利益,不能取得敏感個人信息的特殊保護。
除此之外,以個人信息的內容為標準,個人信息還可以分為屬人的個人信息和屬事的個人信息。屬人的個人信息反映的是個人信息本人的自然屬性和自然關系,它主要包括本人的生物信息。屬事的個人信息反映的是本人的社會屬性和社會關系,它反映出信息主體在社會中所處的地位和扮演的角色。
個人信息還可以分為納稅信息、福利信息、醫療信息、刑事信息、人事信息和戶籍信息等,不同信息的具體保護方式亦不相同。
2. 個人信息與個人數據和隱私的關系
2.1 個人信息與個人數據的關系
與個人信息在概念上最為接近的是“個人數據”。如前所述,個人數據概念使用的較多的主要是歐盟成員國以及其他受1995年歐盟《個人數據保護指令》影響而立法的其他大多數國家。在普通法國家(英國作為歐盟成員國除外),如美國、澳大利亞、新西蘭、加拿大等,以及受美國影響較大的亞太經濟合作組織(APEC),則大多使用隱私法概念。在日本、韓國、俄羅斯等國,則使用“個人信息法”概念。所以,從個人數據較為統一的概念上理解,個人信息與個人數據兩個概念的基本內涵是相同的,區別在于表述的不同,在國內一般習慣將其概括為個人信息(personal information),而西方國家或者說國際立法上則更習慣于稱其為個人數據(personal data)。
2.2 個人信息與隱私的關系
與個人信息在內容上有較多重合之處的另一個概念是隱私。
所謂隱私權,通常是指“私生活不受干涉的權利”,“或個人私事未經允許不得公開的權利”。也就是說,每一個人均有“不受旁人干涉攪擾的權利”。隱私權的實質在于,個人自由決定何時、何地以何種方式與外界溝通。就此而言,隱私權表現為個人對自身的支配權。
從個人信息和隱私的權利角度來看,個人信息權和隱私權都是人格權的一種,它們之間存在密切的關聯性,在權利內容等方面存在一定的交叉,其相似性體現在以下幾點:
第一,二者的權利主體都僅限于自然人,而不包括法人。從隱私權的權利功能來看,其主要是為了保護個人私人生活的安寧與私密性,因此,隱私權的主體應當限于自然人,法人不享有隱私權;個人信息因具有可識別性,即能直接或間接指向某個特定的個人,所以個人信息的權利主體限于自然人,而法人的信息資料不具有人格屬性,法人不宜對其享有具有人格權性質的個人信息權,侵害法人信息資料應當通過知識產權法或反不正當競爭法予以保護。
第二,二者都體現了個人對其私人生活的自主決定。 無論是個人隱私還是個人信息,都是專屬自然人享有的權利,而且都彰顯了一種個人的人格尊嚴和個人自由。
第三,二者在客體上具有交錯性。 隱私和個人信息的聯系在于: 一方面,許多未公開的個人信息本身就屬于隱私的范疇。事實上,很多個人信息都是人們不愿對外公布的私人信息,是個人不愿他人介入的私人空間,不論其是否具有經濟價值,都體現了一種人格利益。一方面,部分隱私權保護客體也屬于個人信息的范疇。尤其應當看到,數字化技術的發展使得許多隱私同時具有個人信息的特征,如個人通訊,都可以通過技術的處理而被數字化進而被納入個人信息的范疇;同樣,某些隱私因基于公共利益而受到一定的限制被查閱或紕漏,但并不意味著這些信息不再屬于個人信息。
雖然二者都屬于人格權,但是從保護內容、法律屬性、權利角度、防范角度和保護方式來看,二者又存在區別。
第一 , 從內容來看,隱私強調對于個人的私密信息和活動、空間等不為外人所知曉、不被擅自公開,包含的內容大多是具有私密性的個人信息,對隱私的侵害主要是非法的披露和騷擾。個人信息權主要是指對個人信息的支配和自主決定,其內容包括個人對信息被收集、利用等的知情權,以及自己利用或者授權他人利用的決定權等內容,即便對于可以公開且必須公開的個人信息,個人應當也有一定的控制權。
第二,從法律屬性上來看,隱私權主要是一種精神性的人格權,隱私主要體現的是人格利益,侵害隱私權也主要導致的是精神損害。而個人信息權在性質上屬于一種集人格利益與財產利益于一體的綜合性權利,并不完全是精神性的人格權,其既包括了精神價值,也包括了財產價值。另外,隱私權是一種消極的、防御性的權利,在該權利遭受侵害之前,個人無法積極主動地行使權利,而只能在遭受侵害的情況下請求他人排除妨害、賠償損失等。個人信息權并不完全是一種消極地排除他人使用的權利。權利人除了被動防御第三人的侵害之外,還可以對其進行積極利用。
第三, 從防范角度來看,隱私權制度的重心在于防范個人秘密不被非法披露,而并不在于保護這種秘密的控制與利用,這顯然并不屬于個人信息自決的問題;而對個人信息權的侵害主要體現為未經許可而收集和利用個人信息、侵害個人信息,主要表現為非法搜集、非法利用、非法存儲、非法加工或非法倒賣個人信息等行為形態。其中,大量侵害個人信息的行為都表現為非法篡改、加工個人信息的行為。
第四,從保護方式來看,對個隱私的保護注重事后救濟,隱私權保護主要采用法律保護的方式;而對人信息的保護則注重預防,保護方式則呈現多樣性和綜合性,尤其是可以通過行政手段對其加以保護,例如,對非法儲存、利用他人個人信息的行為,政府有權進行制止,并采用行政處罰等方式。
因此,只要不涉及到公共利益,個人信息的私密性應該被尊重和保護,而法律保護個人信息在很大程度上就是維護個人信息不被非法公開和披露等; 另一方面,私密的個人信息被非法公開則可能會對個人生活安寧造成破壞。在這種緊密的關聯下,如何界分個人信息權和隱私權,反而顯得更加必要。
二、國外個人信息與隱私保護實踐
1. 個人信息保護法律模式與立法原則
1.1 個人信息保護的法律模式
目前,世界范圍內有關個人信息保護比較好的模式主要有三種,即歐盟模式、美國模式和日本模式。
在歐洲,以德國為代表的大陸法系國家,將個人信息視作公民人格和人權的一部分,認為個人信息是自然人人格的載體,沿著一般人格權的保護思路引入“信息自決權”。以美國為代表的英美法系國家,則將個人信息視作公民隱私和自由的一部分,沿著隱私保護的思路提出“信息隱私權”概念。
歐盟模式
歐盟模式又可稱為統一立法模式,即制定一個綜合性的個人信息保護法來規范個人信息的收集、處理和利用,該法統一適用于公共部門和非公共部門,并設置一個綜合監管部門集中監管。1995年,歐盟通過經典的《個人數據保護指令》,這部在全歐洲范圍內實行的個人信息保護立法,涉及范圍廣,執行機制清晰。歐盟憑借此法律,對進入歐盟的外企在信息保護方面,使歐洲成為全球個人信息保護的典范。
美國模式
美國模式以隱私權為基礎,是分散立法和行業自律相結合的模式。在公共領域,美國以隱私權作為憲法和行政法的基礎,采取分散立法模式逐一立法。在私人領域,美國依靠自律機制(包括企業的行為準則,民間認證制度以及替代爭議解決機制)實現對個人信息的保護,根據個人信息的具體內容,由相應的監管部門監管。
日本模式
在借鑒歐洲和美國的信息保護模式下,日本在2005年通過《個人信息保護法》,通過這部法律全方面地實現個人信息保護。同時日本也注重行業自律和社團參與,從而形成獨特的日本個人信息保護模式。
1.2 個人信息保護的立法原則
1973年,美國健康、教育和社會福利部(HEW)首次提出了《公平信息實踐》(Fair Information Practices, FIPs) 并處于美國1974《隱私法案》的核心位置。
后期,在此基礎之上逐漸完善,1980年,經濟合作與發展組織(OECD)在《關于保護隱私和個人信息跨國流通指導原則》中揭示了個人信息保護八大原則,即:收集限制原則(Collection Limitation Principle)、數據質量原則(Data Quality Principle)、目的明確原則(Purpose Specification Principle)、使用限制原則(Use Limitation Principle)、安全保障原則(Security Safeguards Principle)、公開性原則(Openness Principle)、個人參與原則(Individual Participation Principle)和問責制原則(Accountability Principle)。這些指導原則對全球各國的立法產生了巨大的影響,有“已經成為制定個人信息保護文件的國際標準”之稱。
自上世紀七十年代初個人信息保護問題提出以來,經過40余年的發展演變和提煉,目前基本形成了以下五大國際原則,作為各國和國際組織制定個人信息保護政策的基礎:
公開性原則
即個人信息處理機構應公開關于個人信息處理的一切政策、流程和處理實踐,禁止個人信息被秘密的處理;
限制性原則
包括個人信息的所有處理行為要堅持合法原則,個人信息數據庫要堅持服務特定目的,在最少必須原則下收集和處理,信息的收集和使用范圍、保存期限和銷毀應受到限制;
數據質量原則
即個人信息應當準確、完整和適時更新,機構對此責無旁貸;
責任與安全原則
即在個人信息保護問題上,作為數據控制者的機構必須承擔個人信息保護的主要責任,要將個人信息保護內化于其業務流程和技術設計中,同時采取必要的安全防范措施保護個人信息,防止數據丟失或未經授權的訪問、銷毀、使用、修改或泄漏,并承擔相應的責任;
個人信息權利保護原則
充分保障信息主體的知情權、查詢權、異議與糾錯權,甚至是可攜帶權等。
2. 美國個人隱私保護法律實踐
美國對于個人隱私的保護通過對于個人可識別信息(Personally Identifiable Information,PII)和相關的立法來實現。迄今為止,全球有超過80個國家和地區制定了專門保障個人隱私或個人信息(數據)的法律,包括公共和私有實體對個人信息進行信息收集、使用在內的各項活動。
1974 年12 月31 日, 美國參眾兩院通過的《隱私權法》(Privacy Act)后經國會修訂后編入《美國法典》, 是美國行政法中保護公民隱私權和了解權的一項重要法律,并就“行政機關”,包括聯邦政府的行政各部、軍事部門、政府公司、政府控制的公司, 以及行政部門的其他機構等(如隱私保護研究委員會、管理與預算辦公室)對個人信息的采集、使用、公開和保密問題做出詳細規定, 以此規范聯邦政府處理個人信息的行為, 平衡公共利益與個人隱私權之間的矛盾,但國會、隸屬于國會的機關和法院、州和地方政府的行政機關不適用該法。
《隱私權法》§552a中對涉及個人可識別信息的“記錄”進行了定義, 即關于個人的一項或一組信息,其由一個機構進行維護。個人記錄包括,但不限于其教育、經濟活動、醫療史、工作履歷或犯罪記錄以及其包括姓名、社會保障號碼以及其他一切能夠用于識別某一特定個人的標識,如指紋、音紋或相片等。此外,還對系統記錄、統計記錄和日常使用進行了定義。此外,該法還規定了行政機關對于“記錄”的收集、登記、公開、保存等方面應遵守的準則。
以美國管理與預算辦公室(OMB)為例,其針對個人隱私保護制定了一系列相關隱私指引。首部指引是針對1974《隱私權法》制定的《隱私權法實施 指引與職責》。該指引定義了為實施《隱私權法》的相關職責,從而確保美國聯邦機構對于個人信息的收集在賦予的權限范圍之內且遵守必須原則,并確保對個人信息的維護不會觸犯個人隱私。該法律涉及的機構參照《隱私權法》§552e中的定義(參見上文“行政機關”定義),對于記錄的定義參照《隱私權法》§552a中的定義。
部分OMB隱私管理指引
其他行業性法律對涉及個人信息的保護也以《隱私權法》為基礎并進行更為詳細的規定。以征信監管法律體系中的《公平信用報告法》(Fair Credit Reporting Act,FCRA)為例,該法律旨在保護影響消費者的信譽和地位信息的機密性,詳細規定了征信機構和用戶的責任與義務、信用報告的使用目的以及消費者的相關法律權利和責任。
信息收集方面,該法案強調信息收集應該具備的完整性,關于個人信用的正面信息和負面信息都應該被包含在內。
信息使用方面,消費者信用信息只能夠用于與信用交易有關的、判斷消費者是否有資格獲得信貸的、(個人及家庭)保險承做、雇傭或其他法律許可的目的。在信息的共享方面,銀行、企業與其他第三方之間可以共享非隱私的個人信息,但是必須將共享的信息內容和對象告知消費者。同時,根據相關法律規定,征信機構在向使用方提供個人信用信息之前,必須最大限度的驗證使用者的身份和使用目的,只有在確認其使用目的的合法性的前提下才可以將信息提供給對方。
信息披露方面,該法§608要求關于對聯邦機構進行的個人可識別信息披露僅局限 于個人姓名、地址、前地址、工作地點或前工作地點。
總體而言,美國已形成針對政府和征信、醫療、電信等若干具體行業的個人隱私保護立法體系:
《金融服務現代化法案》(正式簡稱為《格雷姆-里奇-比利雷法》,Gramm-Leach-Bliley Act,GLB),用于管理企業如何遵守非公開的個人信息的收集、使用和披露。該法案是 1999 年克林頓政府頒布的一項以金融混業經營為核心的美國聯邦法案。
《健康保險可移動性和責任法案》(Health Insurance Portability and Accountability Act,HIPAA),該法案針對醫療信息中的交易規則、醫療服務機構的識別、從業人員的識別、醫療信息安全、醫療隱私、患者身份識別等問題,制定了詳細的法律規定。
《兒童網上隱私保護法》(Children’s Online Privacy Protection Act,COPPA),該法案要求網絡從業者要確實告知其網站的隱私權政策;面向 13 歲以下兒童、或向兒童收集信息之前,必須首先獲得其家長的同意;要求網站保證父母有可能修改和更正這些信息。除了保護兒童隱私外,該法還保證兒童在言論、信息搜索和發表的權利不受到負面影響。
《電子通信隱私法》(Electronic Communications Privacy Act,ECPA),延伸原先針對電話有線監聽的相關管制(包含透過電腦的電子數據傳遞),主要是防止政府未經許可監控私人的電子通信。但是,于針對雇員被雇主的設備監聽通訊的情況,ECPA 卻不會保障其隱私權。
此外,美國還建立了發達的司法救濟系統,在行政監管領域也建立了高效的執法機制,但對于買賣個人信息的行為,從其現有法律上很難找到有效的法律適用,并且沒有建立包含對個人數據獲取、存儲和使用進行監管的專項法律,對跨境數據傳輸也未做特殊限制。
3. 歐盟個人信息保護法律實踐
在歐盟,典型的個人信息保護法律是1995年的《個人數據保護指令》(Data Protection Directive)。該指令源于美國早期的FIPs原則,從法系上講受德國和法國影響較大,所以,歐盟強調的個人信息保護,從民法上講就是信息自主、信息控制和信息自決,其對國內的學者影響較大。
為應對云計算、大數據、移動互聯網及跨境數據處理等應用場景所帶來的新挑戰,2016 年,歐盟通過了新的數據保護法案《通用數據保護指令》(又稱《一般數據保護條例》)(General Data Protection Regulation,GDPR)并于 2018 年生效,取代先前制定的《個人數據保護指令》,旨在為加強歐盟區居民的數據保護,特別是指令對兒童信息使用和準許的保護,提供更加堅實的框架,指導跨歐盟個人數據的商業使用而設計的。其對于國際間的數據流動引入了新的職責和限制。此外,該指令還包括廣泛的與隱私相關的要求,將對組織的立法、合規、信息安全、市場、工程和人力資源管理產生巨大的影響。
指令第一章第四條對 “個人數據”做出了明確定義,即與自然人相關的識別信息或可識別的信息;“可識別的自然人”是指能通過直接或間接方式,特別是通過參考姓名、身份證號、位置信息或通過物理、生物、遺傳、精神、經濟、文化或社會身份中一種或幾種方式能夠識別的個體。
不論是早期的《個人數據保護指令》還是新頒布的《通用數據保護指令》,均體現了歐洲大陸法系國家在個人信息保護領域統一化、標準化和一體化的立法和執法特點。總體上,歐盟基本上是把個人信息等同于個人隱私,然后各國設立隱私官行政主管機構,用公權力來進行介入。
以谷歌為例,2010年5月20日美國《紐約時報》網站報道,西班牙、法國和捷克官員宣布,計劃就谷歌從本國無線網絡用戶那里搜集數據一事展開調查,因為谷歌的行為違反了當地的隱私保護法律,從而增加了谷歌公司在歐洲遭受制裁的可能性,而事情的起因則是谷歌公司在5天前表示,該公司無意間從全世界未加密的無線網絡用戶那里搜集到600 G的數據,據稱這些數據屬于電子郵件等個人信息。
2015年,法國數據保護機構國家信息與自由委員會(CNIL)拒絕了谷歌不執行“被遺忘權”的請求,距離制裁谷歌又邁進一步。 起因是歐盟最高法院去年5月裁定,允許用戶從搜索引擎結果頁面中刪除自己的名字或相關歷史事件,即所謂的“被遺忘的權”。根據該裁決,用戶可以要求搜索引擎在搜索結果中隱藏特定條目。但是,谷歌拒絕CNIL的要求刪除包括Google.com在內所有搜索網站中的內容。對此,CNIL發言人稱,谷歌已被要求立即執行“被遺忘的權”,允許法國民眾要求谷歌刪除其所有網站上的敏感信息。如果谷歌拒絕執行,則CNIL在未來兩個月內會準備制裁谷歌,最高可能被罰款15萬歐元(約合16.9萬美元)。如果再犯,將被罰款30萬歐元。同時,美國消費者權利組織Consumer Watchdog隱私主管約翰·辛普森(John Simpson)也曾致信美國聯邦貿易委員會(FTC),敦促FTC要求谷歌在美國執行“被遺忘權”。
無獨有偶,2014年8月,著名社交媒體Facebook在歐洲也遭遇了類似的起訴。奧地利隱私保護人士馬克西米利安·施雷姆斯(Maximilian Schrems)指控Facebook違背了歐洲數據保護法律,理由是Facebook包括參與美國國家安全局的“棱鏡”項目,收集公共互聯網的個人數據,違背歐洲數據保護法律,侵權用戶隱私等。同時,施雷姆斯還指出,Facebook還通過“贊”按鈕追蹤第三方網站上的用戶。另外,根據Facebook的數據使用政策和做法,他們會通過“大數據系統”監視用戶在網上的行為,施雷姆斯表示此舉違背了歐洲數據保護法律。該訴訟到了2.5萬人的原告人數上限,另外3.5萬名簽名者都是表達自己對這起隱私訴訟的支持。大多數原告來自德國和奧地利這樣的德語國家,他們對Facebook的隱私政策感到不滿。荷蘭、芬蘭和英國也有大量用戶參與其中。
在當前網絡時代,個人信息的收集、存儲、加工無時不有、無處不在。縱觀歐盟的《通用數據保護指令》,其對個體權利、數據擦除等要求卻難以實現,如數據主體應收到其個人數據是否正在被處理的確認,數據主體可以訪問到與自身相關的數據,個人數據不再滿足早期數據收集或處理目的時應對其進行擦除。此外,對于個人信息曾被哪些主體存儲過、存儲的地方也無法準確獲知。
即便如此,歐盟在個人信息保護和立法方面還是值得學習和借鑒。其從個人信息的采集,到信息的使用和交流,一直到信息的銷毀,整個信息的全流程、全周期都有很明確的行為規范要求。
事前,在個人信息的采集環節,要正當合法地獲取和處理,實行“最少采集”原則,要盡量少地采集個人信息,采集之后只能用于特定目的,不能用于非采集的目的。相關機構采集到個人信息后,要建立一套安全保護制度,采集信息的目的達到后,要在一定期限之后予以銷毀。同時,歐盟很多國家都建立了個人信息處理的許可或登記制度,經過許可才能進行信息收集。
事中,歐盟實行了獨立的個人信息保護執法機制,專設有信息專員。
事后,有相應的法律責任的追究和法律救濟渠道。除了進行罰款,很多國家對違反法律泄漏個人信息是可以處以刑事責任。
作為個人信息的最大擁有者——政府機構,也同樣和其他私有主體一樣受到法律監管。歐盟設立的獨立信息保護機構可對政府機關的個人信息泄露采取法律制裁。信息保護機構還可對企業的個人信息泄露行為進行檢查、要求整改和定期報告,并追究法律責任。此外,該法律對于進入歐洲市場的企業也同樣具有法律約束力,特別是向第三方進行個人信息轉移。
除上述保護法規之外,歐盟還制定了防范用戶在通信服務過程中潛在風險的《隱私與電子通訊指令》(Privacy and Electronic Communications Directive)、對成員國在人類使用醫療產品最佳臨床實踐進行監管的《臨床試驗指令》和用于金融數據管理的“Convention 108”等相關法律、法規。
4. 日本個人信息保護法律實踐
自19 世紀 70 年代中期開始,日本法開始走上全面西方化的道路,以歐洲大陸,尤其德國法律為模式,其法律制度以歐陸法系德國及法國為藍本進行設計。
早期的日本個人信息保護體系,主要由針對國家行政機關的立法、地方自治團體的立法、個別專門性法律中的相關規定以及行業自律機制構成。另外,日本一些信息保護方面的行政法規也對隱私權做出了相應的保護,如《建立高度信息通信網絡社會基本法》、《電子簽名法》、《禁止非法接入法》、《個人信息保護法》、《行政機關保存的個人信息保護法》、《獨立公共事業法人等保存的個人信息保護法》、《信息公開、個人信息保護審查會設置法》等法律中都包含有對公民個人隱私性信息的保護的規范性條款。
2005年4月1日生效實施的《個人信息保護法》,由于其基本思想是為正確處理個人信息保護和利用之間的關系,確保個人信息有效利用的同時保護個人信息的安全,約束和防范濫用個人信息等不法行為,從而在日本隱私權行政法規保護方面居于絕對的核心地位,對日本國民隱私起到重要的保護作用。
5. 中國香港地區個人信息保護法律實踐
我國香港地區在個人信息與隱私保護方面具有良好的社會和法制環境。除香港居民具有很強的個人信息保護意識外,香港還設有亞洲國家和地區唯一的個人信息保護機構——香港個人隱私專員公署,并頒布了《個人資料(隱私)條例》。
針對部分香港商業機構在未經客戶同意下將客戶個人信息轉賣給第三方的現象,2013年4月1日,香港正式實施有關保護個人信息安全的新條例。根據新條例,任何商業機構如果將客戶個人信息用作促銷等商業行為,必須事先得到客戶的明確同意,否則屬于違法。負責執行相關條例的香港個人資料私隱專員公署表示,任何人如不遵守這一條例,濫用個人信息,或者為了獲利將客戶信息提供給第三方,均屬刑事犯罪,最高處以一百萬元港幣的罰款并監禁五年。
香港個人隱私專員公署成立于1996年8月1日,其地位特殊性主要體現在其獨立性方面,即不需要向最高行政長官負責和報告,也不受相關任何機構的管制。它的職責是《個人資料(隱私)條例》的施行,其目標只是確保個人和公司(其他機構)認識自己在個人信息保護領域的權利和義務。
作為香港個人信息保護的主要法規,《個人資料(隱私)條例》規定了個人信息的收集、持有、處理和使用的規則,適用于所有產業和所有類型的個人信息,但不適用于法人隱私。其立法原則主要包括:個人信息的收集原則、準確性及保留期限原則、個人信息使用原則、個人信息的安全性原則、信息公開原則和信息獲取原則。
雖然香港制定專項的個人信息保護法律,但民眾仍遭受因個人信息泄露和買賣而帶來的個人利益損失。曾經轟動一時的“艷照門”成為個人隱私嚴重泄露的典型代表;對此,香港九龍城裁判法院對傳播者判處入獄兩個月,緩刑兩年的裁決。2008年6月,香港公立醫院發生數次因遺失USB等可攜電子儲存裝置造成數萬名病人數據外泄的信息泄露事件。2014年7月,香港前匯豐銀行副經理涉嫌泄露客戶信息而被立案審查。該副經理于去年12月離職當天,將1045個屬于匯豐的客戶數據傳送到自己的個人電子郵箱,并于同日再把資料轉發至新公司的郵箱賬戶。
6. 部分國家和地區個人信息/隱私保護法律概述
除歐盟、美國和日本之外,其他國家和地區也緊跟歐美步伐逐步完善本國的信息保護體系,個人信息保護立法和監管也非常成熟,落實個人信息保護的國際共識性原則,正成為個人信息保護的國際趨勢。
韓國政府于 2014 年 2 月發布了《金融領域安全違犯防止的全面措施》。同時,韓國國會了修訂一系列與信息保護相關的法律,包括《信息通信網絡的利用促進與信息保護等相關法》、《個人信息保護法》、《信用信息的使用與保護法》及《電子金融交易法》等。
2014 年 3 月 20 日,澳大利亞參議院通過立法,作為對 2012 年隱私法修正案的再次修正,要求信息管理者在發生嚴重的數據泄露時,必須及時通知澳大利亞信息委員會以及受到影響的用戶。
2014 年 7 月 4 日,俄羅斯議會通過聯邦《信息、信息技術及信息保護法》以及和聯邦《個人數據法》等一攬子修正案(《個人數據保護法》修正案),要求網站存儲的俄羅斯公民的個人數據,必須存在俄羅斯國內的服務器上。
2010 年 4 月 27 日,我國臺灣地區出臺了《個人資料保護法》取代之前的《電腦處理個人資料保護法》,來對公民的個人信息安全實行全方位的保護。
我國澳門特別行政區于2005年制定了《個人資料保護法》,該法于2006年2月正式生效。
三、國內個人信息保護法律實踐
1. 個人信息保護法律現狀
目前,我國尚未制定關于個人信息保護的專項法律,個人信息保護由具體的法律、行政法規、地方性法規和規章、各類規范性文件和部門規章等共同組成,形成多層次、多領域、內容分散、體系龐雜的個人信息保護模式。
《中華人民共和國憲法》第33條、第38條、第39條和第40條關于保障人權、人格尊嚴、通信和住宅隱私的有關規定,是中國個人信息權利的憲法來源。《中華人民共和國民法通則》、《中華人民共和國侵權責任法》等關于人格權保護與侵權救濟條款,奠定了個人信息保護的民事制度基礎,但內容相對缺乏針對性。
2009年《中華人民共和國刑法修正案(七)》第7條針對個人信息犯罪做了規定;2015 年 11 月,《刑法修正案(九)》增加的第 286 條之一,針對網絡服務提供者不履行網絡安全管理義務造成危害后果,構成犯罪的有關情況做了明確規定。2016 年最高人民法院完成了《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(送審稿)。
2012年12月28日全國人大常委會表決通過《關于加強網絡信息保護的決定》首次在法律層面確立了網絡信息規范;2016年11月7日全國人大常委會通過《中華人民共和國網絡安全法》(2017年6月1日實施),進一步明確規范網絡空間用戶個人信息安全;《中華人民共和國消費者權益保護法》、《中華人民共和國居民身份證法》、《中華人民共和國統計法(2009年修正)》、《中華人民共和國商業銀行法(2003年修正)》等一系列法律法規,對于個人信息的保護也均有體現。
部分國內個人信息/隱私保護法律與規定
針對早期關于公民個人信息范圍界定和侵害個人信息量刑標準不一致等方面存在的問題,在最高人民法院、最高人民檢察院首次就打擊侵犯個人信息犯罪出臺的司法解釋中有了明確規定。
實踐中對于“公民個人信息”范圍所存在的爭議,這次發布的司法解釋予以明確規定:刑法相關規定中的“公民個人信息”,是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息,包括姓名、身份證件號碼、通信通訊聯系方式、住址、賬號密碼、財產狀況、行蹤軌跡等。
根據不同類型公民個人信息的重要程度,司法解釋設置了不同的數量標準。對于行蹤軌跡信息、通信內容、征信信息、財產信息,非法獲取、出售或者提供50條以上即算“情節嚴重”;對于住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財產安全的公民個人信息,標準則是500條以上;對于其他公民個人信息,標準為5000條以上。
但是,對于列舉之外的個人信息還有很多。如我國臺灣地區出臺的《個人資料保護法》對“個人信息”的定義,不僅包含了常見的自然人姓名、出生年月日、身份證統一編號、護照號碼、婚姻、家庭、教育、職業、病歷、醫療、聯絡方式、財務情況、社會活動、健康檢查等常見的個人信息,還包括了特征、指紋、基因、性生活、犯罪前科等其他個人信息。因此,個人信息的保護范圍可予以擴大。
此外,雖然個人信息權和隱私權之間存在密切聯系,但仍需要在法律上明確個人信息權的性質和內容,界分與隱私權的關系,進而使得個人信息獲得全面充分的保護,增強全社會對于個人信息權利保護的觀念。
另外,我國目前還未成立專門的個人數據信息的監督保護機構,這也會造成了個人數據信息安全保護的缺失和遭受侵害時的救濟缺失。
2. 個人信息保護現狀
個人信息權利是信息社會中公民基本權利的一部分,保護個人信息權利也是維護國家安全和公共安全的基礎。對此,國家也不遺余力,大力整治個人信息犯罪。
2016年7月20日,公安部官網以《公安機關打擊整治網絡侵犯公民個人信息犯罪成效顯著》為題報道了公安部門打擊侵犯公民個人信息犯罪的努力。截止發稿時,全國公安機關累計查破刑事案件750余起,抓獲犯罪嫌疑人1,900余名,繳獲信息230余億條,清理違法有害信息35.2萬余條,關停網站、欄目610余個。
但是,國內對于個人信息的保護仍存在不足之處,主要體現在以下幾方面:
個人信息保護不足導致個人權益受到侵害
當前,因個人信息在收集、存儲和使用過程中管理不善所造成的危害已經嚴重沖擊到了個人權益甚至社會穩定。
《2015中國網民權益保護調查報告》顯示,近一年來,有82.3%的網民親身感受到由于個人信息泄露對日常生活造成的影響,網民人均蒙受實際經濟損失124 元,總體損失約 805 億元(我國網民數量 6.49 億 x 網民平均經濟損失 124 元=804.76 億元);高達 7%的網民(估算約 4500 萬)近一年由于各類權益侵害造成的經濟損失在 1000 元 以上。
此外,個人信息的泄露不僅造成用戶數據在互聯網平臺非法交易,還由此滋生了大量的電信、網絡詐騙等下游違法犯罪行為,造成社會巨大損失,嚴重影響社會安定,成為社會公害,更嚴重還會出現根據用戶特征設計實施的“精準式”詐騙,威脅公眾財產和人身安全。
2016年2月,江蘇省淮安市有人利用互聯網大肆倒賣車主、車牌號、車輛類型等公民個人信息。經淮安公安機關縝密偵查抓獲犯罪嫌疑人并當場查獲公民信息1,500余萬條,另據犯罪嫌疑人交代,自2015年以來,其非法售賣、提供公民個人信息1,177萬余條,牟利3,000余元。“徐玉玉案”的發生不僅折射出了“個人信息泄露-非法交易/獲取“的黑色產業鏈,同時也引發了全社會對個人信息泄露現狀的高度關注和熱議,再次將個人信息保護和相關立法工作再次推向的大眾視野。
個人信息保護不足影響企業和行業健康與可持續發展
近些年,航空售票系統、醫療衛生系統個人信息系統由于遭受黑客攻擊或由于內部管理不善,導致個人信息泄露事件發生,降低相關企業甚至行業的公信力,影響其健康和可持續發展。
2014年3月,國內知名旅游網——攜程旅行網被報道,其支付日志存在漏洞,用戶銀行卡信息可被黑客任意讀取。黑客可通過用戶的手機號碼、銀行卡號和信用卡驗證碼注冊第三方支付賬號,從而跳過用戶和銀行綁定的手機,進行盜刷。這些數據可以用來創建或關聯第三方支付,國內第三方支付公司多達幾百家,可以利用的點很多。受害者很容易出現資金被盜的情況。顯然,攜程網的做法已經明顯違反了中國銀聯風險管理委員會2008年發布的《銀聯卡收單機構賬戶信息安全管理標準》。一時間,公眾對于隱私安全的敏感神經再一次被挑動。而互聯網大數據應用的信息安全問題也被推至風口浪尖。
同年12月2日,作為國內知名航空公司的東方航空也被報道大量用戶訂單信息遭到泄露。資深航空從業人士指出,這樣的漏洞會導致關于旅客姓名、手機號以及航班信息等資料外泄,部分乘客接到惡意詐騙短信的通知而遭受大量經濟損失,給消費者造成傷害已經顯而易見。東航系統漏洞的存在更是相當于將旅客信息赤裸裸地暴露在犯罪分子的目光之下,而作為個人信息的持有者和管理者則未盡到所應承擔的責任和義務。
同年12月25日,作為國內權威的鐵路售票系統網站——12306網站的大量用戶數據在網絡瘋狂傳播。本次泄露事件被泄露的數據達131,653 條,包括用戶賬號、明文密碼、身份證和郵箱等多種信息,共約14M數據。這不是12306網站第一次發生用戶信息泄露事件,但是最大的一次。這些賬號信息以明文方式傳播,一旦被不發分子利用,試圖登陸相關賬號的其他平臺賬號,可能會造成涉案人員的經濟損失;另外,已經有利用泄露信息非法登陸其他人12306賬號并退票的相關報道,對相關的人員造成一些損失。
個人信息保護不足影響國家信息安全和國際競爭力
由于中國個人信息保護力度不及歐美等國,在國際經貿往來中,在華外資金融機構選擇將境內客戶個人信息轉移到境外處理已成慣例。此外,在互聯網信息化時代和大數據背景下基于規模化個體信息的加工分析,可形成對國家安全的細微洞察,公民個體信息失去保護,中長期看國家安全也難以得到切實保障。
3. 個人信息保護立法的必要性與合理性
3.1 個人信息保護立法保障國家戰略順利實施
宏觀層面上來看,包括國家大數據戰略在內的“互聯網+”行動計劃和“走出去”戰略以及“一帶一路”等國家宏偉藍圖的實現,其中必然伴隨著對個人敏感信息和跨境數據的處理。
如何盡快制定相關個人信息保護的法律,使得相關方對個人數據在國家法律框架之下得到合規操作,妥善保護個人信息,促進大數據產業發展,實現大數據戰略,落實“互聯網+”行動計劃就成為當務之急。特別是在當前云技術和移動互聯迅猛發展的大背景下,其所帶來的挑戰更不容小覷,同時也會影響國家形象和國際競爭的參與。
3.2 個人信息保護立法是完善國家法律體系的必然需要
由于目前我國沒有統一的個人信息保護法,個人信息保護方面的工作通過特定法律、一般性規范和具體規定來保障,侵害個人信息需要承擔民事、行政乃至刑事責任。但是,這些規范在形式上過于分散,對于普通民眾和商家來說都難以形成直觀的認知,應盡快制定統一的個人信息保護法,對其進行系統化梳理和整合,無論是從立法資源的節省、立法技術的提高、規則體系的優化,還是向民眾普及個人信息法律,保護的常識和意識來看,都存在必要性和合理性。
”互聯網+“時代,個人信息保護的漏洞與風險被進一步放大,加強個人信息保護的重心,其實已經轉移到網絡。雖然《網絡安全法》作為我國網絡領域的基礎性法律將個人信息保護列入其中,既是出于國家網絡空間主權和網絡安全考慮,也是對當前個人網絡信息安全嚴峻現實的直接回應,但遠不能全方位地保護個人信息安全,也存在個人信息保護的法律漏洞。一方面,它側重于網絡安全,而非針對個人信息保護的專門性法規;另一方面,當前涉及個人信息保護的法律條款仍多散見于相關法規中,在權威和效力上都有待提升。
所以,應通過制定個人信息保護法,明確國家對于個人信息保護的決心,樹立其法律地位。同時,在法律層面上明確線上、線下及跨境數據傳輸過程中的各類個人信息采集及使用的方式、范圍及標準,并嚴格規范各類數據采集及使用主體在信息處理方面的細則,完善個人信息安全方面的保障要求與信息披露義務,以及針對個人信息權層面的相關權益保障要求,充分保障用戶在信息層面的知情權、選擇權、受尊重權及信息安全權在內的各項基礎性權利。
3.3 個人信息保護立法是依法執法的基礎
目前在國內,不同政府部門和社會機構掌握著不同的個人信息,如公安部門掌握著公民的戶籍身份、家庭成員及住址信息,金融部門和機構掌握著公民的賬戶信息、財產信息、交易信息和信用信息,教育部門和學校掌握著公民的就學及考試成績信息,稅務部門掌握著公民的納稅信息,勞動人事部門掌握著公民的人事檔案信息,電信部門和機構掌握著公民的通信信息,鐵路、公路和民航部門和企業掌握著公民的出行信息,醫療衛生部門和醫院掌握著公民的疾病信息、就醫信息,司法部門掌握著公民的訴訟信息等等,而互聯網公司掌握著公民全部的上網搜索、瀏覽、購物、社交等網絡信息。
各相關部門和商業機構在對個人信息進行收集、加工等過程中,勢必會發生信息收集不當、濫用和泄露的事件,從而導致個人權利和利益頻遭侵害。2016年發生的高考學生遭電信詐騙后自殺等惡性事件,就是因為學生個人信息遭到泄露引發。此外,任由外國組織收集中國公民個人信息,還可能使危及國家安全的情形擴大蔓延,尤其是伴隨互聯網傳播而導致對個人權益的危害快速擴大并且不易消除。
這些就迫使國家必需盡快制定個人信息保護法律,使得公民在個人信息權益遭到侵害進行法律訴訟時有法可尋、有法可依,社會公共機構和商業機構在公民個人信息收集和處理過程中做到有法必依,司法部門在執法過程中做到有法可依、違法必究。
3.4 公眾觀念改變促使立法工作更為迫切
據中國互聯網絡信息中心第39次《中國互聯網絡發展狀況統計報告》顯示,截至2016年12月,中國網民規模達7.31億,互聯網普及率達到53.2%,互聯網已經成為我們生活的一部分,而伴隨互聯網普及所帶來的個人信息和商業秘密的泄露也就日趨常見。
通過“徐玉玉案”等一系列惡性案件給社會帶來的不良影響,也使人們充分意識到了個人信息泄露和濫用所帶來的嚴重社會危害,個人信息保護重要性意識更加強烈,需求更加迫切,這就出現了民眾對個人信息法律保護的需求與個人信息保護法律缺位之間的矛盾。
4. 對于個人信息保護的建議
4.1 采取統一立法模式,系統確立原則和規范
充分吸收、借鑒歐盟、美國、日本和我國香港、澳門及臺灣地區個人信息保護立法的成功經驗,采取統一立法的模式,制定《個人信息保護法》并完善相關法律體系,明確規定個人信息的涵義,確立個人信息權,明確國家機關信息處理主體和非國家機關信息處理主體收集、利用和處理個人信息的基本原則和規范,特別是立法原則應體現五大國際原則和所提交的《信息安全技術 公共及商用服務信息系統個人信息保護指南》(征求意見稿)中確立的個人信息安全基本原則。
4.2 明確個人信息分類保護
凡涉及到與個人身份識別相關各個方面的信息,在其收集、存儲、利用過程當中應當符合“目的明確原則”、“最少夠用原則”、和“合法必要原則”。
以2013年1月21日國務院公布的行政法規《征信業管理條例》為例,第二十條規定:“信息使用者應當按照與個人信息主體約定的用途使用個人信息,不得用作約定以外的用途,不得未經個人信息主體同意向第三方提供”。
第十四條規定:“禁止征信機構采集個人的宗教信仰、基因、指紋、血型、疾病和病史信息以及法律、行政法規規定禁止采集的其他個人信息。征信機構不得采集個人的收入、存款、有價證券、商業保險、不動產的信息和納稅數額信息。”
4.3 全面落實用戶授權和公開透明機制
個人信息的收集和處理過程應滿足“同意和選擇原則”,即經過信息主體的授權。以《征信業管理條例》為例,第十三條規定,“采集個人信息應當經信息主體本人同意,未經本人同意不得采集。但是,依照法律、行政法規規定公開的信息除外。”
第十八條規定:“向征信機構查詢個人信息的,應當取得信息主體本人的書面同意并約定用途。但是,法律規定可以不經同意查詢的除外。 征信機構不得違反前款規定提供個人信息。
第十九條規定:“征信機構或者信息提供者、信息使用者采用格式合同條款取得個人信息主體同意的,應當在合同中做出足以引起信息主體注意的提示,并按照信息主體的要求做出明確說明。”
4.4 規范個人信息管理機構對個人信息的安全管理
確保我國公民個人信息安全不僅是各管理機構所應承擔的法律責任和義務,同時也關系到國家安全。所以,應在個人信息保護法律中明確對涉及個人信息采集、加工、存儲、使用及刪除等全數據生命周期過程提出對相關機構的法律約束,并要求其建立并制定相應的內部管控流程和制度,確保在我國境內的個人信息安全。
《征信業管理條例》第二十四條規定的“征信機構在中國境內采集的信息的整理、保存和加工,應當在中國境內進行。征信機構向境外組織或者個人提供信息,應遵守法律、行政法規和國務院征信業監督管理部門的有關規定。”
2014年5月由國家衛生計生委發布的《人口健康信息管理辦法(試行)》和2016年6月21日,由國務院辦公廳發布的《國務院辦公廳關于促進和規范健康醫療大數據應用發展的指導意見》。前者第十條規定“不得將人口健康信息在境外的服務器中存儲,不得托管、租賃在境外的服務器”;后者則要求“在健康醫療大數據保障體系建設方面要加強大數據安全監測和預警,建立安全信息通報和應急處置聯動機制,建立健全‘互聯網+健康’醫療服務安全工作機制,完善風險隱患化解和應對工作措施,加強對涉及國家利益、公共安全、患者隱私、商業秘密等重要信息的保護,加強醫學院、科研機構等方面的安全防范。”
4.5 完善信息泄露應急預案
盡管現行法律、法規沒有對個人信息泄露的應對措施作具體規定,但是出于個人信息管理者所應承擔社會責任的需要,并參考《網絡安全法》 “監測預警和應急處置”的相關內容,可對信息泄露應急處置提出要求,制定應急預案并不定期進行應急演練,從而保證在極端情況下發生信息泄露時,可以準確定位到信息泄露的原因及問題所在,并在最短時間內進行處置與控制信息安全風險,以爭取將信息泄露風險控制在最低程度。
此外,鑒于大規模個人信息泄露發生時會對公共社會穩定性造成巨大影響,所以還應對輿情監測和涉及公共關系管理等內容提出要求。
版權聲明
《個人信息與隱私保護法律法規現狀報告》(以下簡稱為“報告”)為安全牛研究成果,版權為安全牛獨家擁有,其性質是供安全牛客戶內部參考的資料,其數據和結論僅代表安全牛的觀點。
報告僅限于安全牛使用。未經安全牛審核、確認及書面授權,購買報告的客戶不得以任何方式,在任何媒體上(包括互聯網)公開引用本報告的觀點和數據,不得以任何方式將報告的內容提供給其他單位或個人。否則引起的一切法律后果由該客戶自行承擔,同時安全牛亦認為其行為侵犯了安全牛的著作權,安全牛有權依法追究其法律責任。
報告中未注明來源的所有圖片、表格及文字內容的版權歸安全牛所有。有侵權行為的個人、法人或其它組織,必須立即停止侵權并對其因侵權造成的一切后果承擔全部責任和相應賠償。否則安全牛將依據中華人民共和國《著作權法》、《計算機軟件保護條例》等相關法律、法規追究其經濟和法律責任。
本聲明未涉及的問題參見國家有關法律法規,當本聲明與國家法律法規沖突時,以國家法律法規為準。
作者:段振華