注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

美丽心情

 
 
 

日志

 
 

美国欧盟日本个人信息保护模式  

2013-03-09 17:09:28|  分类: EC动态 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
本文转载自个人信息保护《各国个人信息保护情况》
     个人信息安全是随着社会的进步和科技的发展逐渐走进人们的视野。特别是信息技术的发展,使个人信息安全问题日渐凸显。如何保护个人信息和个人隐私,采用何种方式保护,已经成为个人信息安全需要首先考虑的问题。
    由于欧盟、美国在国际政治、经济中的重要地位和作用,并因此在个人信息安全领域中对其它国家的影响,它们的个人信息安全保护模式可以称之为两种不同的范本。

1  美国保护模式
    行业自律模式的肇始,是一种民间的、保护网络隐私权的个人信息安全保护模式。通过行业内部的行为规则、规范、标准和行业协会的监督,实现行业内个人信息安全的自我规范、约束和完善。行业自律模式是在充分保证个人信息自由流动的基础上,保护个人信息,从而保护行业利益。
    美国是行业自律模式的倡导者,它采取政府引导下的行业自律,规范行业内个人信息处理行为,同时通过分散立法,辅助行业自律的实施。为了鼓励、促进信息产业的发展,对网络服务商采取比较宽松的政策,通过商业机构的自我规范、自我约束和行业协会的监督,实现个人信息的安全,并在隐私保护和促进信息产业发展之间寻求平衡,以保证网络秩序的安全、稳定。
    美国早于1995年正式提出个人信息保护原则,美国政府信息基础设施特别工作组(IITF)下设的个人隐私工作组公布了《个人隐私和国家信息基础设施:个人信息的使用和提供原则》报告,提出了有关个人信息收集、加工、处理、再利用的基本原则。但报告仅仅表明政府保护个人信息的态度,并不具备法律效力。
    随后于1997年,美国政府发布了《全球电子商务政策框架》。报告中关于个人隐私部分占有很大比重,强调私营企业在保护网络隐私权中的主导作用,支持私营企业为此进行的自我规范的努力。
 在线隐私联盟根据网上在线收集信息的不同情况,分别制定了自我规范的原则,并提出第三方机构监督执行机制,即网络隐私认证计划。网络隐私认证计划是私人行业实体为实现网络隐私保护采取的一种自律形式。

      比较著名的有美国商务网络财团(Commerce.net)和电子前线基金会(EFF Electronic Frontier Foundation)共同发起的非营利性网络隐私认证机构TRUSTe、美国(Council of Better Business Bureaus)子公司BBBonline(Better Business Bureaus online)实行的网络隐私认证计划(BBBonline privacy seal program 4)。
    TRUSTe以OPA行业指导原则为基础,制定个人隐私保护基本原则,主要包括:制定经TRUSTe审查认可的隐私保护政策、可识别个人信息主体的个人信息的收集和利用必须告知个人信息主体、个人信息主体有个人信息的控制权等。BBBonline制定了同样的原则,同时,也涵盖了潜在(间接收集)的个人信息。
    美国政府既要保护个人隐私,又不希望切断信息的自由流动。通过适宜的相应立法,配合自律机制,有效实现个人隐私保护。
    美国于1974年通过的《隐私权法》,可以视为美国保护隐私权的基本法,是美国行政法中保护个人隐私的重要法律。《隐私权法》对政府机构收集、使用、公开个人信息和个人信息保密制定了详细的规范,明确“隐私权为联邦宪法所保障的基本人权”。
    美国国会在一些比较敏感的领域,如儿童信息、医疗档案、金融数据等,采取分散立法形式保护个人信息。如《消费者网上隐私法》、《儿童网上隐私保护法》、《电子通讯隐私法案》等。
    1998年,美国联邦贸易委员会(FTC)抽查了1400个网站,只有14%的网站告知用户采集的个人信息将被如何使用。造成这一现象的主要原因是缺乏有力的法律约束。FTC据此认为有必要立法以确保网络隐私权得到保护,并提出四项公平信息原则:
    美国联邦贸易委员会提出了四项基本原则:
    1.知会原则:收集和处理个人信息时,应将收集、利用的目的、用途、内容,明确告知个人信息主体。
    2.选择权原则:个人信息主体对被收集个人信息的使用目的、使用方式、二次开发等享有完全的决定和选择权利。
    这两条原则与《全球电子商务政策框架》中提出的原则相似。
    3.通道与参与原则:个人信息主体有权查看所收集的本人的个人信息,并有权质疑个人信息的准确性和完整性。
    4.完全与完整性原则:应采取足够的管理、技术措施,防止未经授权的查看、损毁、使用、披露个人信息。
作为实施自律模式保护个人信息时的指导原则,以便与采取立法模式的国家和地区保持一致。
     FTC立法模式构想,遭到以OPA为代表的美国业界的强烈反对。尽管如此,行业自律模式的局限性和在实践中遭遇的不可避免的缺陷,使美国国内越来越多的人倾向采用立法模式保护个人隐私。
     美国采取的隐私灵活保护政策要通过欧盟“充分性”保护标准,实现个人信息跨境自由流动,需要建立新的协商机制。美国与欧盟经过两年的协商,于2000年签署了个人数据保护协议,即安全港协议。
     安全港协议由美国企业自愿参加,并承诺遵守美国和欧盟制定的个人隐私保护原则,欧盟则认为这些企业达到欧盟充分性保护标准,可以接受来自欧盟的个人数据。
    根据美国和欧盟的隐私保护原则,安全港协议要求在安全港内的企业,应对其收集个人信息的种类、使用的目的、可能提供的第三方等,提前“清晰和明显的”通知个人信息主体;进行网上数据传输时,应向欧盟安全港监督机构提出申请,获得批准后可与欧盟成员国的企业、个人进行网上交易;美国企业应同时遵守美国的隐私保护政策,遵守行业自律的自我约束原则。
     自律模式的自我约束机制,在保护网络隐私权中发挥了一定作用。但是,自律模式也存在一些明显的缺陷:获得隐私认证,并不能保证不会侵犯个人隐私;当个人信息主体与网络经营者利益不一致,特别是个人信息用于商业用途可获得丰厚的商业利益时,很难保证会遵守认证协议;没有加入隐私认证计划的大多数公司,不会受到认证规则的约束和规范等。

2  欧盟保护模式
     欧盟保护模式是由国家主导的立法模式。国家通过立法确定保证个人信息安全的各项基本原则和具体的法律规定等。
     与美国实行的行业自律模式不同,欧盟各国普遍认为,人格权是法律赋予自然人的基本权利,个人信息体现了自然人的人格利益,应当采取相应的法律手段加以保护。
      欧盟采用立法模式保护个人信息,是基于保障基本的人格权益。早于1980年,当时的欧洲议会为在各成员国间保护经自动化处理的个人数据,通过了《保护自动化处理个人数据公约》(Council of Europe:Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data)。
      1995年,欧洲联盟通过了《关于与个人数据处理相关的个人数据保护及此类数据自由流动的指令》即《个人数据保护指令》(Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data)。指令几乎涵盖了个人数据保护的所有领域,包括个人数据处理形式、个人数据收集、记录、储存、修改、使用或销毁,以及基于网络的个人数据收集、记录、传播等,规定欧盟各成员国必须根据这个指令,制定本国的个人数据保护法,以保障个人数据资料在成员国间的自由流动。
       欧盟制定了一系列严格、完善、规范的个人信息保护法律框架,包括《关于与个人数据处理相关的个人数据保护及此类数据自由流动的指令》即《个人数据保护指令》、《电子通讯数据保护指令》、《私有数据保密法》、《互联网上个人隐私权保护的一般原则》、《关于互联网上软件、硬件进行的不可见的和自动化的个人数据处理的建议》、《信息公路上个人数据收集、处理过程中个人权利保护指南》、《关于与欧共体机构和组织的个人数据处理相关的个人数据保护及此类数据自由流动的规章》等一系列的相关法律、法规,提供清晰的、可遵循的保护个人数据安全的基本原则,规范个人数据收集、处理、利用的行为。
      欧盟采用两个层次的立法模式:欧盟统一立法和欧盟成员国国内立法。通过指令、原则、准则、指南等立法规制,欧盟要求各成员国建立统一的个人隐私保护法律、法规体系,保证个人数据在成员国之间自由流通,在欧盟各成员国内建立统一的个人数据安全法律体系。
      欧盟立法模式覆盖面广,明确了义务主体(个人信息管理者,如网络服务商等)的法定义务,相对于个人信息主体,更加透明,更易于保护个人信息安全,适于各种个人数据的相关行为。同时对向第三国跨境传输个人数据进行限制,要求必须通过欧盟的“充分性”保护标准(The Member States shall provide that the transfer to a third country of personal data which are undergoing processing or are intended for processing after transfer may take place only if, without prejudice to compliance with the national provisions adopted pursuant to the other provisions of this Directive, the third country in question ensures an adequate level of protection)。这一限制引发许多非欧盟国家纷纷制定个人信息安全相关法规,以适应欧盟的要求。
      欧盟与美国的两种保护模式的价值取向不同,必然导致冲突。《个人数据保护指令》关于“除非非成员国适当保护个人数据及其相关个人,否则成员国不能向非成员国传播数据”的规定,使欧盟与美国产生了严重的分歧。
为了调和美国和欧盟之间的矛盾,促进各国间的个人信息自由交流,经过双方长时间的磋商和谈判,达成了建立“安全港机制”的协议。协议规定,在网络交易中,美国企业应向欧盟“安全港”监督机构提出网络数据传输申请,经批准后,方可与欧盟成员国个人或企业进行交易。


3  日本保护模式
    欧盟和美国在国际政治、经济中的重要地位和作用,为个人信息安全提供了保护模式范本。与美国保护个人隐私的发生、发展类似,日本个人信息保护的发生、发展亦自地方公共团体和非政府的民间团体始。在现今日本相对完善的个人信息安全保障体系中,个人信息保护模式,参考了欧盟的立法模式,更多采纳了美国的保护规制,通过政府立法和行业自律实现个人信息安全。
    日本的个人信息保护源于电子政府推进过程。实施电子政府,建立政府信息公开机制,必然涉及个人信息的收集、存储、处理和交换,因而存在潜在的侵害个人信息主体权益的风险。根据OECD确定的个人信息保护八项原则,1988年,日本政府制定了《有关行政机关电子计算机自动化处理个人信息保护法》(行政機関の保有する電子計算機処理に係わる個人情報の保護に関する法律),并于1989年10月开始实施,主要规范国家行政机关利用计算机处理个人信息的行为。
    在政府制定相关法令之前,日本地方公共团体(依日本地方自治法的划分,日本地方公共团体是指都、道、府、县、市、町、村)已经认识到保护个人信息的必要性。自1975年日本东京都国立市制定第一个个人信息保护条例以来,许多地方公共团体相继制定了涉及个人信息保护的相关规范。据日本总务省调查统计,截至2000年4月1日,共有1748个地方公共团体制定了相关个人信息保护条例;截至2003年,大多数地方政府均制定了《个人信息保护条例》。
    日本非政府的民间团体企业没有专门的个人信息保护相关法律,主要通过行政指导、行业自律或个别法的某些规则自我规范、自主规制。如日本信息处理开发协会(JIPDEC)制定的《关于民间部门个人信息保护指导方针》等。通产省在此基础上制定了《关于民间部门电子计算机处理和保护个人信息的指导方针》,为非政府民间团体个人信息保护提供指南。
    依据通产省的指导方针,日本信息处理开发协会(JIPDEC)1999年3月制定了日本工业标准(JIS)《个人信息保护管理体系要求事项》(個人情報保護マネヅメントツステム—要求事項)(JIS Q 15001),开始实施个人信息保护标识机制。1999年4月,根据JIS Q 15001,JIPDEC开始进行个人信息保护审核、认证工作(P—MARK认证)。P—MARK(PrivacyMark)认证是JIPDEC对日本民间企业的个人信息保护状况进行评估和认定,其所颁发的个人信息保护标识,表明该企业遵守个人信息保护的相关法规和标准,遵守个人信息使用、处理的承诺,以提高企业的可信赖性。
    但是,个人信息保护标识不具有法律效力。借助行政指导、行业自律及认证等措施,并不能约束使用、处理个人信息的行为,恶意收集、使用或泄漏个人信息的事件,屡有发生,而且事后救济和制裁措施不完善。
    经过长期的实践和讨论,日本确定了确立适用于公共部门和非公共部门个人信息保护的基本原则,制定特殊领域的个别法,鼓励非公共部门实施行业自律的个人信息保护机制。并于2003年通过了《个人信息保护法》。
    2005年开始实施的《个人信息保护法》(個人情報の保護に関する法律),是日本实施个人信息保护的基本法。以个人信息有效利用,同时加以保护为宗旨,确立了个人信息保护的基本方针和应采取的措施,明确了国家、地方公共团体的责任和义务,以及处理、使用个人信息的个人信息处理业者的义务等。法律共分六章,包括总则(目的和基本理念)、国家和地方公共团体的责任和义务、个人信息保护方针和政策、个人信息处理业者的责任、法律例外和处罚。
    除《个人信息保护法》外,还分别制定了国家行政机关、地方公共团体、行政法人等的相关法规,如《关于行政机关持有的个人信息保护的法律》、《关于独立行政法人持有的个人信息保护的法律》等。意味着日本已经构建了相对完善的个人信息保护法律体系。
    同时,日本为推进个人信息保护体系的实施和完善,借鉴美国的行业自律模式,采用P—MARK认证机制,替代争端解决机制,配合《个人信息保护法》的实施。
    日本工业标准(JIS)《个人信息保护管理体系要求事项》(JIS Q 15001)是可操作的行业自律标准。与《个人信息保护法》比较,JIS Q 15001制定了详细的、构建企业个人信息保护管理体系的规则,具有独特的特点:
    1.个人信息保护方针。个人信息管理体系必须遵循和执行的规则和措施。包括在特定的目的和范围内收集、利用和提供个人信息的措施、个人信息泄漏、损毁、丢失的预防、遵守个人信息保护相关法律、法规、个人信息保护管理体系的持续改进等。
    2.风险分析和风险管理措施。识别、分析个人信息处理中可能出现的各种风险,采取必要的管理措施。
    3.管理规章。个人信息保护管理体系应制定相应的各类管理规章,保证个人信息管理的规范化。《个人信息保护管理体系要求事项》列举了应制定的主要规章。
    4.个人信息保护管理体系实施的监察。《个人信息保护管理体系要求事项》要求制定监察计划,定期监察个人信息保护管理体系的运行,编制监察报告。对个人信息保护不当、失误,应采取相应的预防和处罚措施。
    5.个人信息保护管理体系文档管理。
    6.个人信息收集、利用、提供的例外等。

    行业自律模式和法律保护模式,各有所长。行业自律是一种有效的个人信息保护机制,但是,单纯的自律模式,并不能完全有效的保护个人信息,与法律保护模式结合,立法个人信息安全的基本原则和规范,可以更好地发挥行业内个人信息保护自律机制的作用。

4  其它国家和地区立法模式
    德国个人数据保护法是比较有代表性的,采取统一立法模式,以信息自决权为宪法基础,以人格权为民法基础,统一规范、保护所有个人数据。
    德国个人数据保护法规范了立法原则、监督机构、损害赔偿等机制,已经成为个人数据保护的一种立法范本。
    完备的个人数据保护立法原则是个人数据保护的核心。德国个人数据保护法的个人数据保护原则体现了信息自决权的内涵,包括:
    a.直接原则:原则上应直接向个人数据主体收集个人数据;
    b.更正原则:为了保护个人数据的内容完整与正确,个人数据主体有权修改个人数据,以使个人数据在特定目的范围内保持完整、正确、及时更新。
    c.目的明确原则:收集个人数据必须基于明确的目的,禁止公务机关和非公务机关超目的范围非法收集、储存个人数据。
    d.安全保护原则:应采取安全措施保护个人数据,避免可能发生的个人数据泄漏、意外灭失和不当使用。
    e.公开原则:个人数据收集、处理与利用,一般应保持公开,个人数据主体有权知悉相应的收集、处理、利用情况。
    f.限制利用原则:利用个人数据时应严格限定在收集目的范围内,不应作收集目的之外使用。
    有效的监督救济机制是保障个人数据主体权利的关键。德国个人数据保护法对个人数据处理进行监督制定了严格、系统的规定,对监督机构的组成、人员素质等提出具体要求。
    德国个人信息保护法的权利救济措施采取损害赔偿机制。在德国个人数据保护法中,将个人数据的侵权行为分为行政侵权行为和民事侵权行为。所谓侵权行为,即非法收集、利用和处理个人数据的行为。法律明确区分两种侵权行为发生的损害赔偿,分别规定了不同的责任原则和赔偿范围。


    我国香港地区1996年十二月二十日开始实施《个人资料私隐条例》。条例倾向于欧盟的《个人数据保护指令》,符合该指令关于向第三国传送数据的规定。
    《个人资料私隐条例》将个人资料客观的定义为:“个人数据”(personal data)指符合以下说明的任何资料:
    (a)直接或间接与一名在世的个人有关的;
    (b)从该资料直接或间接地确定有关的个人的身份是切实可行的;
    (c)该资料的存在形式令予以查阅及处理均是切实可行的。
    条例规定了保障资料的6项原则:
    1.收集个人资料的目的及方式;
    2.个人资料的准确性及保留时间;
    3.个人资料的使用;
    4.个人资料的保安;
    5.资讯须在一般情况下可提供;
    6.查阅个人资料。
    并对每项原则作了详细说明,作为个人资料收集、处理的具体指导。条例也对损害赔偿规定了相应的处罚机制。

 

 

  评论这张
 
阅读(531)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017