中共苏州市委政法委员会、苏州市社会治安综合治理委员会办公室、苏州市依法治市领导小组办公室主办
当前位置: 首页 > 文化:文化动态 > 域外个人信息保护制度
当前位置: 首页 > 文化:文化动态 > 正文
域外个人信息保护制度
时间:2018-02-28 15:01:43
来源:人民法院报
字号:

  编者按:自2017年6月1日起,我国的网络安全法正式实施,其中专门规定任何个人和组织不得窃取或者以其他方式获取个人信息,不得非法出售或者向他人提供个人信息,“情节严重”的行为,构成犯罪。今天,本版特介绍域外关于个人信息保护的相关做法,敬请关注。

  基本特征及立法模式

  20世纪后期,西方各国在制定宪法或修改宪法时,将个人信息保护或类似的表述直接写入宪法,而后又以统一或分散立法的形式制定个人信息保护法。

  个人信息,通常是指行政机关根据公民的姓名或其他标识而记载的一项或一组信息。包括别名、相片、指纹、音纹、社会保障号码、护照号码、汽车执照号码以及其他一切能够用于识别某一特定个人的标识。

  个人信息有两个显著特征:一是可识别性。即通过对一些数据的分析判断,可以确定某个特定的个人信息主体。二是价值性。即其他组织和自然人可以很方便地了解个人信息主体的生活规律,从而创造获利机会。

  信息工作的开展包括三个步骤:一是收集,即为建立个人信息档案而取得自然人个人信息的行为;二是处理。即通过自动或非自动方式对个人信息进行的任何操作;三是利用。是对个人信息的使用或披露。

  20世纪80年代,经济合作开发组织理事会从协调各国法律规定的角度出发,颁布了《关于保护隐私和个人数据国际流通的指南》。各国积极响应,迅速制定和完善本国法律。综合各国的情况,个人信息保护立法模式主要有以下四种:

  统一立法,将公权力主体与私权利主体同时纳入调整范围,将两者适用区别对待,主要以德国为代表。德国目前适用的《联邦个人信息保护法》,无论是公务机关,还是非公务机关,在处理个人信息时所遵循的规则大体一致,只是在适用上有所区别。

  统一立法,将公权力主体与私权利主体一并纳入调整范围,对两者适用不作区别,主要以英国为代表。1998年,英国颁布《数据保护法》,在国内统一实施,不作区别。

  分散立法,公务机关和非公务机关在个人信息处理上遵循不同的规则,主要以美国为代表。美国将个人信息保护分散在不同法律和司法案例当中。现行的1974年《联邦隐私保护法》,主要以政府为规范对象,对来自企业和个人的侵害仅作个别性的规范。

  分散立法,重视行政领域个人信息保护与私权领域个人信息保护,主要以日本为代表。2003年5月,日本国会通过《个人信息保护法》等5部法律,其基本思想就是在确保个人信息有效利用的同时保护个人信息的安全。

  实行行业自律“安全港”制度

  安全港制度为美国《儿童在线隐私保护法》所首创。《儿童在线隐私保护法》由联邦委员会提出,在1988年被国会批准并生效。如果一个企业遵循了自律规范,则应当被看作是遵守了法律规定,享受安全港制度保护。

  美国安全港制度具有四个特点:一是凡有争执,优先适用行业规范;二是促使行业单位自觉制订行业规范;三是行业监督和联邦贸易委员会监督并重;四是仍以联邦贸易委员会为最终裁决机关。

  欧盟1995年制定的《个人数据保护指令》规定,除非非成员国对数据及其相关个人有适当的保护,否则成员国不能向非成员国传播个人数据。这使得对隐私权保护一贯崇尚自律的美国与欧盟在跨国数据传输问题上产生了严重分歧。双方于2000年2月达成新的跨区域安全港协议。协议要求美国企业首先要向欧盟安全港监视机构提出进行网络数据传输活动的申请,经批准后方可与欧盟成员国的个人和企业进行网上交易。

  建立个人信息保护机构

  建立专门的个人信息保护机构的思路首先由欧盟提出。按照这个思路,英国、德国、日本率先做出了榜样。

  集信息公开监督与信息保护职能于一身的英国信息专员。英国信息专员以女皇颁发专利特许证的方式任命,信息专员办事处属于国家的公共机关。对于违反个人数据保护法的行为,信息专员可以对其进行行政处罚;对于执意不改,甚至情节严重触犯刑律者,转交信息法庭审理。

  享有公共官员地位的德国数据保护专员。德国数据保护专员根据联邦政府提名,由联邦议会选举,超过联邦议会法定人数一半始得当选,并由总统任命。数据保护专员任期5年,可以连任一次。免职条件比照终身任职法官的免职规定。数据保护专员可以要求违法主体在规定日期内提交陈述,也可以就联邦公共机关的数据保护问题和事件展开调查,并可以随时咨询联邦议会。

  常设为内阁咨询机关的日本个人信息保护审查会。日本2005年生效的个人信息保护法规定,在内阁设立信息公开与个人信息保护审查会。审查会由15名委员组成,委员由内阁总理大臣任命,任期为3年,可以连任。公民对个人信息开示决定、个人信息订正决定不服的可以提出不服申请,而对该不服申请进行裁决的长官应当向个人信息保护审查会咨询。

  规定个人信息保护职责

  各国法律制度清晰地规定了国家机关及其他单位部门保护个人信息的职责。

  美国法律对采集个人信息作了限制性的规定。一是行政机关必须用正当合法的手段和程序保有和使用个人记录;二是行政机关要求提供个人信息时,必须对提供信息者说明理由;三是行政机关所保有的个人记录,在诉讼程序中,由于法院的命令而对其他人强制公开时,有义务通知被记录人。

  同样, 出于维护公共利益的考虑,美国法律也对个人信息保护作了例外规定:一是向国家档案局提供具有历史价值的个人记录;二是为了执法目的向其他机关提供个人记录;三是在紧急情况下,为了某人的健康或安全而使用个人记录;四是根据法院的命令提供个人记录等。

  美国法律还规定了信息保护的司法救济途径与程序。

  四种情形下个人可以提起对行政机关的民事诉讼:一是不服行政机关拒绝修改与其自身相关的记录的;二是不服行政机关拒绝提供与其自身相关的记录的;三是因未能确保与其相关记录的准确性而导致对该个人不利决定的;四是因未能遵循法律而对个人产生不利影响的。

  三种情形下个人对于违法行为可以提起刑事诉讼:一是故意或过失地将不应当公开的个人记录泄露的;二是没有履行在联邦公报上登记有关告知义务的;三是故意或过失地利用虚假身份与陈述而获取个人记录的。刑事制裁的责任一般被判处轻罪并处5000美元以下的罚金。(邓金凤 作者单位:重庆市江北区人民法院)